Cain & Abel

Dom_g · Okt 19, 2008

Hallo leute...

ich habe in den letzten Tagen mich mal ein wenig mit Cain und Abel auseinander gesetzt und nun mehr fragen als Antworten

Wie kommt es das dieses Prog manche Passwörter aus dem Internetexplorer auslesen kann und z.B nicht die von gmx oder studievz?

Lassen diese sich allgemein nicht mehr auslesen oder mache ich da etwas falsch?

Mfg

Elderan · Okt 19, 2008

Hallo,
der IE, also auch Firefox oder Opera, müssen die PWs irgendwo abspeichern, wenn man die Passwort Speichern Funktion verwendet. Diese lassen sich ganz simpel auslesen (stehen oft in irgendeinem File in deinem Anwendungsdatenverzeichnis).

Wenn man das PW von z.B. gmx nicht im Browser speichert, kann man es dementsprechend nicht auslesen

Heinzelotto · Okt 19, 2008

Original von Elderan
der IE, also auch Firefox oder Opera, müssen die PWs irgendwo abspeichern, wenn man die Passwort Speichern Funktion verwendet. Diese lassen sich ganz simpel auslesen (stehen oft in irgendeinem File in deinem Anwendungsdatenverzeichnis).

Nicht, wenn man ein masterpasswort setzt. Dann wird nämlich die eigentliche passwortdatei nochmal mit diesem Passwort verschlüsselt.

Dom_g · Okt 20, 2008

Also ist es nicht möglich (mal abgesehn von Keylogger oder sonstigen Programmen die vorher installiert sein müssen) mein z.B. gmx Passwort zu bekommen auch wenn ich es schon öfter an diesem PC eingegeben habe, allerdings nicht gespeichert ist?

Virus · Okt 21, 2008

Nö ist es nicht. Da die passwörter ja nirgends stehen/gespeichert sind und somit auch nirgends ausgelesen werden können.

gruß virus

nookstar · Okt 23, 2008

Es kann aber direkt nach der Eingabe abgefangen werden mit z.B. Wireshark.
Ich glaube dann musste beim HTTP Port nach den POST Methoden suchen.

lightsaver · Okt 23, 2008

Original von nookstar
Es kann aber direkt nach der Eingabe abgefangen werden mit z.B. Wireshark.
Ich glaube dann musste beim HTTP Port nach den POST Methoden suchen.

Die Frage ging aber in Richtung auslesen und nicht abfangen

Außerdem geht deine Variante nur bei http, nicht aber bei https. Kannst es also auch nicht so allgemein sagen

prEs · Nov 21, 2008

man kann auch per MITM attack eine SSL verbindung sniffen, indem man
gefälschte Zertifikate verwendet (zb mit ettercap)

Woodchopper · Nov 23, 2008

Gibt es in der Wildnis Programme die den Prozess-Speicher auslesen um an die PW zu kommen nachdem der Masterschlüssel eingegeben wurde?

prEs · Nov 23, 2008

Zuerst einmal muss die Postion im Speicher bekannt sein.
Dann muss das Passwort auch noch im Speicher sein ^^

also zum Beispiel hier:

#include blablabl

int check_pass(){
char pass[32]="Passwort", answer[32];
scanf("%s\n", answer);
return (strcmp(pass, answer));
}

int main(){
int auth;
if((auth = check_pass()) == 0)
printf("Access granted\n");
else
exit(0);
}

Stark vereinfacht, aber reicht zur Veranschaulichung (hoffentlich

)

hier würde beim Aufruf von check_pass() ein Stack-Frame auf den Stack gepusht werden,
d.h Speicher für Return Addresse, Safed Framepointer, Argumente und auch für die lokalen Variablen.
Wenn die Funktion durchgelaufen ist, wird der Frame wieder vom Stack gepopt(also quasi zerstört)
danach wär das Passwort nichtmehr im Speicher .

Aber wie das bei Masterschlüsseln aussieht weis ich nicht ^^.

Woodchopper · Nov 24, 2008

Hmm.
Ich meinte, ob heutige Trojaner ne Funktion "MemoryDumpPasses/Masterpass from Current Browser" serienmäßig drinn haben...
---
Also ich hab mal eben geguckt, wie sich bei mir Seamonkey verhält. Die Passwörter sind verschlüsselt. Wenn ich mit Winhex den Speicher von Seamonkey durchsuche finde ich erstmal keines meiner Passwörter. Erst wenn ich auf eine Website gehe, wo automatisch ein Passwort eingetragen wird kann ich auch noch nach schließen des Tabs das Passwort im Plaintext wiederfinden.
Allerdings ist hier das Finden auch einfach, weil man das Passwort schon kennt...