[HaBo]

Dom_g · 19.10.08, 22:06

Hallo leute...

ich habe in den letzten Tagen mich mal ein wenig mit Cain und Abel auseinander gesetzt und nun mehr fragen als Antworten ;)

Wie kommt es das dieses Prog manche Passwörter aus dem Internetexplorer auslesen kann und z.B nicht die von gmx oder studievz?

Lassen diese sich allgemein nicht mehr auslesen oder mache ich da etwas falsch?

Mfg

**Elderan** · 19.10.08, 22:34

Hallo,
der IE, also auch Firefox oder Opera, müssen die PWs irgendwo abspeichern, wenn man die Passwort Speichern Funktion verwendet. Diese lassen sich ganz simpel auslesen (stehen oft in irgendeinem File in deinem Anwendungsdatenverzeichnis).

Wenn man das PW von z.B. gmx nicht im Browser speichert, kann man es dementsprechend nicht auslesen

Heinzelotto · 19.10.08, 22:55

Zitat:

Original von Elderan
der IE, also auch Firefox oder Opera, müssen die PWs irgendwo abspeichern, wenn man die Passwort Speichern Funktion verwendet. Diese lassen sich ganz simpel auslesen (stehen oft in irgendeinem File in deinem Anwendungsdatenverzeichnis).

Nicht, wenn man ein masterpasswort setzt. Dann wird nämlich die eigentliche passwortdatei nochmal mit diesem Passwort verschlüsselt.

Dom_g · 20.10.08, 13:27

Also ist es nicht möglich (mal abgesehn von Keylogger oder sonstigen Programmen die vorher installiert sein müssen) mein z.B. gmx Passwort zu bekommen auch wenn ich es schon öfter an diesem PC eingegeben habe, allerdings nicht gespeichert ist?

Virus · 21.10.08, 17:12

Nö ist es nicht. Da die passwörter ja nirgends stehen/gespeichert sind und somit auch nirgends ausgelesen werden können.

gruß virus

nookstar · 23.10.08, 17:52

Es kann aber direkt nach der Eingabe abgefangen werden mit z.B. Wireshark.
Ich glaube dann musste beim HTTP Port nach den POST Methoden suchen.

**lightsaver** · 23.10.08, 18:04

Zitat:

Original von nookstar
Es kann aber direkt nach der Eingabe abgefangen werden mit z.B. Wireshark.
Ich glaube dann musste beim HTTP Port nach den POST Methoden suchen.

Die Frage ging aber in Richtung auslesen und nicht abfangen

Außerdem geht deine Variante nur bei http, nicht aber bei https. Kannst es also auch nicht so allgemein sagen

prEs · 21.11.08, 23:53

man kann auch per MITM attack eine SSL verbindung sniffen, indem man
gefälschte Zertifikate verwendet (zb mit ettercap)

Woodchopper · 23.11.08, 17:10

Gibt es in der Wildnis Programme die den Prozess-Speicher auslesen um an die PW zu kommen nachdem der Masterschlüssel eingegeben wurde?

prEs · 23.11.08, 20:15

Zuerst einmal muss die Postion im Speicher bekannt sein.
Dann muss das Passwort auch noch im Speicher sein ^^

also zum Beispiel hier:

#include blablabl

int check_pass(){
char pass[32]="Passwort", answer[32];
scanf("%s\n", answer);
return (strcmp(pass, answer));
}

int main(){
int auth;
if((auth = check_pass()) == 0)
printf("Access granted\n");
else
exit(0);
}

Stark vereinfacht, aber reicht zur Veranschaulichung (hoffentlich

)

hier würde beim Aufruf von check_pass() ein Stack-Frame auf den Stack gepusht werden,
d.h Speicher für Return Addresse, Safed Framepointer, Argumente und auch für die lokalen Variablen.
Wenn die Funktion durchgelaufen ist, wird der Frame wieder vom Stack gepopt(also quasi zerstört)
danach wär das Passwort nichtmehr im Speicher .

Aber wie das bei Masterschlüsseln aussieht weis ich nicht ^^.

Woodchopper · 24.11.08, 11:38

Hmm.
Ich meinte, ob heutige Trojaner ne Funktion "MemoryDumpPasses/Masterpass from Current Browser" serienmäßig drinn haben...
---
Also ich hab mal eben geguckt, wie sich bei mir Seamonkey verhält. Die Passwörter sind verschlüsselt. Wenn ich mit Winhex den Speicher von Seamonkey durchsuche finde ich erstmal keines meiner Passwörter. Erst wenn ich auf eine Website gehe, wo automatisch ein Passwort eingetragen wird kann ich auch noch nach schließen des Tabs das Passwort im Plaintext wiederfinden.
Allerdings ist hier das Finden auch einfach, weil man das Passwort schon kennt...

19.10.08, 22:06	#1 (permalink)
Dom_g Registriert seit: 12.09.04 Karma: 11	Cain & Abel Hallo leute... ich habe in den letzten Tagen mich mal ein wenig mit Cain und Abel auseinander gesetzt und nun mehr fragen als Antworten ;) Wie kommt es das dieses Prog manche Passwörter aus dem Internetexplorer auslesen kann und z.B nicht die von gmx oder studievz? Lassen diese sich allgemein nicht mehr auslesen oder mache ich da etwas falsch? Mfg

Themen-Optionen	Thema durchsuchen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen	Thema durchsuchen: Erweiterte Suche
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Cain & Abel	steven85	Virenschutz · Tools & Aggressive Software	3	09.08.06 16:17
cain&abel	Gaarder	Downloads	5	02.06.05 10:27
Cain & Abel	qwertz123	Downloads	19	23.03.05 23:49
Cain & Abel	qwertz123	Hardware Mods	1	14.01.05 18:56
Cain & Abel	neophis	Cryptography & Encryption	1	08.11.04 16:54

19.10.08, 22:34	#2 (permalink)
Elderan Moderator Registriert seit: 30.03.04 Karma: 29	Hallo, der IE, also auch Firefox oder Opera, müssen die PWs irgendwo abspeichern, wenn man die Passwort Speichern Funktion verwendet. Diese lassen sich ganz simpel auslesen (stehen oft in irgendeinem File in deinem Anwendungsdatenverzeichnis). Wenn man das PW von z.B. gmx nicht im Browser speichert, kann man es dementsprechend nicht auslesen

20.10.08, 13:27	#4 (permalink)
Dom_g Themenstarter Registriert seit: 12.09.04 Karma: 11	Also ist es nicht möglich (mal abgesehn von Keylogger oder sonstigen Programmen die vorher installiert sein müssen) mein z.B. gmx Passwort zu bekommen auch wenn ich es schon öfter an diesem PC eingegeben habe, allerdings nicht gespeichert ist?

21.10.08, 17:12	#5 (permalink)
Virus Registriert seit: 16.11.06 Karma: 7	Nö ist es nicht. Da die passwörter ja nirgends stehen/gespeichert sind und somit auch nirgends ausgelesen werden können. gruß virus

23.10.08, 17:52	#6 (permalink)
nookstar Registriert seit: 02.12.07 Karma: 5	Es kann aber direkt nach der Eingabe abgefangen werden mit z.B. Wireshark. Ich glaube dann musste beim HTTP Port nach den POST Methoden suchen.

21.11.08, 23:53	#8 (permalink)
prEs Registriert seit: 20.11.08 Karma: 3	man kann auch per MITM attack eine SSL verbindung sniffen, indem man gefälschte Zertifikate verwendet (zb mit ettercap)

23.11.08, 17:10	#9 (permalink)
Woodchopper Registriert seit: 06.05.06 Karma: 8	Gibt es in der Wildnis Programme die den Prozess-Speicher auslesen um an die PW zu kommen nachdem der Masterschlüssel eingegeben wurde?

23.11.08, 20:15	#10 (permalink)
prEs Registriert seit: 20.11.08 Karma: 3	Zuerst einmal muss die Postion im Speicher bekannt sein. Dann muss das Passwort auch noch im Speicher sein ^^ also zum Beispiel hier: #include blablabl int check_pass(){ char pass[32]="Passwort", answer[32]; scanf("%s\n", answer); return (strcmp(pass, answer)); } int main(){ int auth; if((auth = check_pass()) == 0) printf("Access granted\n"); else exit(0); } Stark vereinfacht, aber reicht zur Veranschaulichung (hoffentlich ) hier würde beim Aufruf von check_pass() ein Stack-Frame auf den Stack gepusht werden, d.h Speicher für Return Addresse, Safed Framepointer, Argumente und auch für die lokalen Variablen. Wenn die Funktion durchgelaufen ist, wird der Frame wieder vom Stack gepopt(also quasi zerstört) danach wär das Passwort nichtmehr im Speicher . Aber wie das bei Masterschlüsseln aussieht weis ich nicht ^^.

24.11.08, 11:38	#11 (permalink)
Woodchopper Registriert seit: 06.05.06 Karma: 8	Hmm. Ich meinte, ob heutige Trojaner ne Funktion "MemoryDumpPasses/Masterpass from Current Browser" serienmäßig drinn haben... --- Also ich hab mal eben geguckt, wie sich bei mir Seamonkey verhält. Die Passwörter sind verschlüsselt. Wenn ich mit Winhex den Speicher von Seamonkey durchsuche finde ich erstmal keines meiner Passwörter. Erst wenn ich auf eine Website gehe, wo automatisch ein Passwort eingetragen wird kann ich auch noch nach schließen des Tabs das Passwort im Plaintext wiederfinden. Allerdings ist hier das Finden auch einfach, weil man das Passwort schon kennt...