C# Tarayıcıdan Şifreleri Çekmek
- Konbuyu başlatan WiseCat
- Başlangıç tarihi
- 2 Ara 2018
- 761
- 3
Merhaba bende c# ile rat yapmak istiyorum iletişime geçermisin özelden nasıl yapııyor?
Ehe ehe eğlenceli konu... Ama sen araştır.. Ben sadece ipucu vereceğim. İkimiz de bire bir aynı kodlarla çekersek ikimizinki birden yakalanır değil mi?
İlk adımımız google amca bunları nerede saklıyor onu bulmak. Saklamıyorlar. %localappdata%\Google\Chrome\User Data\Default içine bakalım. Süper! Cookies, history, her halt için birer dosya var burada değil mi?
Bunlar sqlite veritabanları. Hemen hemen hiç biri şifreli değil göreceğin gibi. Sadece "Login Data" adındaki, şifrelerin saklandığı hariç. E bunu nasıl çözeceğiz?
İçinde logins adındaki tabloyu okuyacaksın. action_url kolonu hangi siteye ait olduğu, username_value kullanıcı adı, password_value ise şifrelenmiş olarak şifre. Şifreleme yöntemi? Standart win32 protect işlemi yapılmış sadece. Aradığın çözme fonksiyonunu crypt32.dll içinde bulacaksın, cryptunprotectdata...
Son ipucu da, chrome hiç bir extra salt, key, IV kullanmıyor. Deneme için kendin rastgele bir şifre kaydedebilirsin.
Şimdi sırada firefox var. Firefox'u bulursan, çok kullanılan bir mail client olan Thunderbird'ü de bulmuş olursun böyle bir artısı var. Onu da sen bul.
Edit: Orada cookies'i gördün değil mi.. Keylogger'ın çalışması için onu truncate edeceksin. Tam hatırlamıyorum şimdi ama sanırım direkt dosyayı silsen bile sorun olmuyordu, Chrome yeniden oluşturuyordu.
İlk adımımız google amca bunları nerede saklıyor onu bulmak. Saklamıyorlar. %localappdata%\Google\Chrome\User Data\Default içine bakalım. Süper! Cookies, history, her halt için birer dosya var burada değil mi?
Bunlar sqlite veritabanları. Hemen hemen hiç biri şifreli değil göreceğin gibi. Sadece "Login Data" adındaki, şifrelerin saklandığı hariç. E bunu nasıl çözeceğiz?
İçinde logins adındaki tabloyu okuyacaksın. action_url kolonu hangi siteye ait olduğu, username_value kullanıcı adı, password_value ise şifrelenmiş olarak şifre. Şifreleme yöntemi? Standart win32 protect işlemi yapılmış sadece. Aradığın çözme fonksiyonunu crypt32.dll içinde bulacaksın, cryptunprotectdata...
Son ipucu da, chrome hiç bir extra salt, key, IV kullanmıyor. Deneme için kendin rastgele bir şifre kaydedebilirsin.
Şimdi sırada firefox var. Firefox'u bulursan, çok kullanılan bir mail client olan Thunderbird'ü de bulmuş olursun böyle bir artısı var. Onu da sen bul.
Edit: Orada cookies'i gördün değil mi.. Keylogger'ın çalışması için onu truncate edeceksin. Tam hatırlamıyorum şimdi ama sanırım direkt dosyayı silsen bile sorun olmuyordu, Chrome yeniden oluşturuyordu.
Son düzenleme:
Bu sefer %appdata% içinde.. %appdata%\mozilla\firefox\profiles\<firefox'un garip profil adı>\
Burada zaten login.json veya logins.json'ı bulacaksın. Burada zaten her site, ftp ve kurulu ise thunderbird mail hesabı için encrypt edilmiş şekilde kullanıcı adı ve şifreleri göreceksin. Gördüğün gibi decrypt etmek için bir anahtar lazım. O da key3.db içinde. Json içinde bulduğun unique identifier hangi anahtar hangi login'e ait onu gösteriyor.
Gerisi kolay zaten.
Şimdi internet explorer veya edge için isteme, vallahi ben kendim de bilmiyorum. Kim kullanıyor ki onları bu devirde?
Hö?
... adamın browser üstünde "şifremi kaydet" dediği her site için kullanıcı adı ve şifresi elinde olacak. Bununla ne yapacağını mı soruyorsun? Hani google+ filan uyarır, "hişş sahip başka yerden de giriş yaptın" diye ama gece 02:30'da bir şeyler yaptığında eleman uyanana kadar çok geç olmuş olur.
Olurum tabii ki. İşim bu.. (Aslında işimin yarısı bu, kalan yarısı trollemek)
Trojan yaparken nerede takıldığını anlatırsan elimden geldiğince anlatırım. Özellikle bu aralar. Siber alemde hintlilerin bir numaralı trojan yapımcıları olarak anılmasından bıktım. Bizim neyimiz eksik?
Moderatör tarafında düzenlendi:
Bir oyunun "save.dat" dosyasını çalmak için birşeyler denemiştim ve çalışmıştı fakat dosya bana geldigin de kullanıcıların şifre yeri boş gözüküyor fakat kendi bilgisayarim uzerınden programı acıp
"save.dat"ı degistirdigim de normal hesaba girebiliyordum. Dedigim bir online oyun, bu dedigim programa kurbanın MAC,IP adresini almak gibi şeyler ekledim fakat sonuçta bana hesapları lazım. nerede hata yaptıgımı bilmiyorum.
Compile edersin. C# dilinde "eval" yoktur. Eğer tamamen dışardan aldığın kod satırlarını kullanan bir trojan yazacaksan, Java'ya dönmeni şiddetle tavsiye ederim. Compile ederken bir "dll" oluşturmuş olacaksın çünkü, oluştuğu anda ESET, AVAST vs. onu tarayacak ve yakalayacaktır.
Ama ne yaparsın? Biraz uzun iş ama mükemmel trojan için biraz uğraşılır;
1. Bir abstract "TemelPayload" class'ı oluşturursun. En basitinden bir "Calis" metodu olmalı. Bunun haricinde yükleyeceğin yeni payload paketleri hangi metodları kullanacaksa bunları kullanırsın. Bu class'ı dll olarak ayrı bir proje halinde yapmalısın.
2. Asıl trojanına bu paketi de reference olarak eklersin.
3. Her yeni "payload" için, bu TemelPayload'u refere eden yeni bir dll projesi başlatırsın. TemelPayload'un çocuğu bir class yazarsın. Neticede oluşan yükü canının istediği şekilde, canının istediği uzantı ile indirilebileceği bir yerde saklarsın.
4. Trojanın byte array olarak bu dosyayı gerektiğinde indirir. ASLA BİR YERE KAYDETMEZ. System.Reflection.Assembly.Load fonksiyonunu kullanarak codedomain'e direkt olarak hafızadan yüklersin. Sonra da istediğin Class (büyük ihtimalle paket adıyla aynı filan yaparsın) TemelPayload'un alt class'ı olduğundan bundan TemelPayload türünde bir instance oluşturur, sonra da istediğin fonksiyonları çalıştırırsın.
