Проблема с перехватами функций

Jurddox · 11.03.2021

Всем привет. Решил написать формграббер для хрома через перехват функции WSASend из либы ws2_32.dll. Короче хуки я поставил, но буфер из LPWSABUF оказывается постоянно пустым(вывожу через MessageBoxA). В чем может быть проблема?

DildoFagins · 11.03.2021

Jurddox сказал(а):

Короче хуки я поставил, но буфер из LPWSABUF оказывается постоянно пустым(вывожу через MessageBoxA)

Всмысле пустым? Указатель на структуру нулевой, или в самой структуре указатель buf нулевой, или чего? Выводить с помощью MessageBoxA такой себе вариант потому, что в буффере могут быть данные, которые начинаются с нулевого байта например, да и сама функция не выведет тебе буффер с непечатаемыми символами. И потом мне кажется (я не тестил, но мне кажется), что на уровне send/WSASend данные уже давно должны быть в зашифрованном виде, если только ты не пытаешься перехватывать HTTP, а не HTTPS.

Exfazo · 11.03.2021

DildoFagins сказал(а):

Всмысле пустым? Указатель на структуру нулевой, или в самой структуре указатель buf нулевой, или чего? Выводить с помощью MessageBoxA такой себе вариант потому, что в буффере могут быть данные, которые начинаются с нулевого байта например, да и сама функция не выведет тебе буффер с непечатаемыми символами. И потом мне кажется (я не тестил, но мне кажется), что на уровне send/WSASend данные уже давно должны быть в зашифрованном виде, если только ты не пытаешься перехватывать HTTP, а не HTTPS.

Какой самый эффективный способ расшифровать?

DildoFagins · 11.03.2021

Exfazo сказал(а):

Какие есть способы расшифровки кста?

Эмм, ну обычно просто перехватывают на более высоком уровне, когда данные еще не зашифрованы. Вроде у хрома эти функции (что-то типа ssl_write/ssl_read они называются) не экспортируются, но их можно найти по сигнатурам скорее всего. Альтернатива видется куда сложнее, разобрать все протоколы от SSL до TLS 1.3, перехватить хендшейки, сертификаты и тд, я уже не помню конкретных деталей конкретных протоколов. Ну и с помощью перехваченных сертификатов и ключей расшифровывать.

Exfazo · 21.03.2021

DildoFagins сказал(а):

Эмм, ну обычно просто перехватывают на более высоком уровне, когда данные еще не зашифрованы. Вроде у хрома эти функции (что-то типа ssl_write/ssl_read они называются) не экспортируются, но их можно найти по сигнатурам скорее всего. Альтернатива видется куда сложнее, разобрать все протоколы от SSL до TLS 1.3, перехватить хендшейки, сертификаты и тд, я уже не помню конкретных деталей конкретных протоколов. Ну и с помощью перехваченных сертификатов и ключей расшифровывать.

Я пытался найти функцию ssl_write, ничего не получилось. Можете подсказать каким способом ее можно найти?

evilcore · 22.03.2021

Exfazo сказал(а):

каким способом ее можно найти?

Hooking Chrome’s SSL functions

The purpose of NetRipper is to capture functions that encrypt or decrypt data and send them through the network. This can be easily achieved for applications such as Firefox, where it is enough to …

nytrosecurity.com

Exfazo · 24.03.2021

evilcore сказал(а):

Hooking Chrome’s SSL functions

The purpose of NetRipper is to capture functions that encrypt or decrypt data and send them through the network. This can be easily achieved for applications such as Firefox, where it is enough to …

nytrosecurity.com

Этот способ не работает под новый хром, везде в функциях где используются стоки пути к ssl_lib.cc я ставил брекпоинты, в итоге не было нужных данных в стеках

Dead Since · 29.03.2021

Я знаю способ получать данные функции ssl_write через новый Chrome
Пишите в ПМ или Jabber deadsince@xabber.org

Проблема с перехватами функций

Jurddox

RAID-массив

DildoFagins

TPU unit

Exfazo

(L3) cache

DildoFagins

TPU unit

Exfazo

(L3) cache

evilcore

(L3) cache

Hooking Chrome’s SSL functions

Exfazo

(L3) cache

Hooking Chrome’s SSL functions

Dead Since

ripper