В общем то вопрос в шапке, надеюсь тут найдется человек который подскажет ответ
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Посмотри реализацию в StormKitty.
Куки хранятся в cookies.sqlite в таблице - moz_cookies, пароли - logins.json
- Автор темы
- Добавить закладку
- #4
Всем спасибо
+ signos.sqlite пассы если мне память не изменяет
это старый файрфокс. 2012 года вроде
*да. Вроде щас там ничего нету. Из ласт тестов, все сохраненные пасс были только в logins.json
GitHub - gourk/FirePwd.Net: Password reader for Mozilla Firefox and Thunderbird
Password reader for Mozilla Firefox and Thunderbird - gourk/FirePwd.Net
github.com
Кастомная реализация без подгрузки длл мозиллы, на последних версиях не работает.
Чуть точнее signons.sqlite использовался до 20 версии файрфокса, которая была выпущена 2 апреля 2013 года
Актуальная реализация без подгрузки длл вроде была с Lazagne, но она на Питоне написана и алгоритм теперь не особо тривиальный, чтобы его с пол пинка портировать.
На самом деле всё не так сложно, изменился лишь алгоритм шифрования privatKey, который используется в 3DES.
Однажды с лазаньи пытался переписать. На сижку. Было сложно, норм получалось, но руки не дошли до конца довести. А так, если посидеть, то вполне реализуемо. Но оно надо ли? Когда можно без гемора на гейте.
Да не надо в общем случае.
- Автор темы
- Добавить закладку
- #14
У меня складывается такое мнение что можно забить на всё что не хромиум
по своей стате, около 60-80% логов это хромиум (1. Хром, 2. Опера, 3. Эдж на хроме), а после около 20-30% (это только ff. Я еще не встречал другой браузер в логах на геко. Онли ff). А после 10-20% (эксплорер, эдж).
Кажется, что даже юзая хромиум можно норм логи собирать. Но селлеры стилеров для красоты делают +100500 браузеров, про которых узнаешь читая описание стилера.
Ну там много ума не надо, из хромовских браузеров разве что у яндекса был какой-то модифицированный алгоритм хранения паролей (если мне память не изменяет), для остальных: сделал хромиум и все оперы, брейвы, вивальди и тд автоматом работают. Только надо пути хранения профилей забить, как это например в лазанье сделано. В принципе тоже справедливо для браузеров на базе лисы, но их существенно меньше.
- Автор темы
- Добавить закладку
- #17
Все эти паблик стилеры херня для бирж и другому низшему виду трафа. Когда начинаешь копать дальше чем скрипт-кидс узнаешь очень много подводных камней на которых несешь убытки
согласен. У яндекса хрень какая-то. Нужно что-то доставать. Ключ, хеш. Помню копался, после забил. Т.к. в снг работа не одобряется, а за бугором яндекса нету вообще.
С путями хромиума согласен. Есть одно но.
В опере сейчас (в новой версии, где по идеи должна быть поддержка aes), пассы dpapi, куки (в старом dpapi) в новом aes. И еще в опере ключ к aes в файле Local State хранится немного в другом json ключе. Из-за этого у меня был херовый отстук.
На базе лисы только ff попадался. И то не часто) Смотря какая страна)
я не понял тебя. Какие подовдные камни? Проблемы с софтом или отстуком?
Умные люди не покупают задроченный паб стиллер за 100$ и не льют за 50$ микс мира 1к инсталов (это же смешно
)- Автор темы
- Добавить закладку
- #19
Проблему можно отнести к отстуку так-как все люди у кого имеется хороший ав просто не могут его запустить (под криптом)я не понял тебя. Какие подовдные камни? Проблемы с софтом или отстуком?
Умные люди не покупают задроченный паб стиллер за 100$ и не льют за 50$ микс мира 1к инсталов (это же смешно
Лично я заметил то что во всех логах нет ав вообще. Потом я решил проверить нескольких крипторов, протестить на вм: Вывод почти всегда если есть ав палит на рантайме
И про умных людей: Почти всех кого я знаю и кто лил траф юзали всякий шлак. Умные это наверное те кто сам их пишет
Крипт убирает только сигнаутрый детект. При запуске, его спалит сразу же. Крипторы сейчас не особо эффективны. Т.к. рескан памяти криптора покажет нашу малварь в чистом виде. Тем более мас малварь, которую юзает около 500 чел в день это пиздец одним словом.Проблему можно отнести к отстуку так-как все люди у кого имеется хороший ав просто не могут его запустить (под криптом)
Лично я заметил то что во всех логах нет ав вообще. Потом я решил проверить нескольких крипторов, протестить на вм: Вывод почти всегда если есть ав палит на рантайме
И про умных людей: Почти всех кого я знаю и кто лил траф юзали всякий шлак. Умные это наверное те кто сам их пишет
Я тоже замечал то, что в логах аверов не было (были лишь дефендеры и все). Это когда я с товарищем юзал паблик стилеры. Когда юзали приват, то в логах смотрели установленные проги и были мощные аверы (каспер, веб ect), но за счет малой известности малвари детекты медленно набирались.
Всегда)
Да, инсталы идут в овер дохера руки. Логи бывают отработанными. Инсталы с биржи. А те, кто в инсталах шарят и делают норм инсталы - люди на вес золота)И про умных людей: Почти всех кого я знаю и кто лил траф юзали всякий шлак. Умные это наверное те кто сам их пишет