Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Kívánságműsor: Hol tárolja az Internet Explorer a jelszavakat?

2007.09.04. 15:41 | buherator | 10 komment

Mivel uborkaszezon van, úgy döntöttem, hogy szemezgetek kicsit azokból a keresőkifejezésekből, amelyekkel a blogra találtak emberek. Kiszűrtem a nem a témába vágó, illetve az olyan kereséseket, amelyekkel kapcsolatban már született poszt (nyilván ezeket találták meg), és így maradt néhány viszonylag nagy érdeklődésre számot tartó, de kevésbé érdekes kérdés. Innentől wannabe rész következik, az überhackerek most fogják be a szemüket!

"Hol tárolja az Internet Explorer a jelszavakat"?

Imádom, amikor azt hiszik az emberek, hogy jobb eredményt érnek el a Google-lel, ha természetes nyelven kérdezik :) A fennti kérdés többször felmerült ebben a formában is, de állandó slágernek számít, következzék tehát a válasz:

Az InternetExplorer a jelszavakat az ún. Microsoft Protected Storage-ban tárolja.

Eleget segítettem? Nem? Na jó:

A Microsoft Protected Storage nem más, mint egy sima Registry kulcs:

HKEY_CURRENT_USER\Software\Microsoft\Protected Storage System Provider


de itt még nem látszanak a jelszavak, mivel titkosítva vannak. A titkosítást a CryptoAPI végzi, az algoritmus operációs rendszerenként és javítócsomagonként változik (pl. Windows 2000-nél az RC2, RC4 és a DES az alapértelmezett, Windows CE esetében PKCS #5+3DES vagy RC4 kombinációt használnak). Ha meg akarod nézni a jelszavakat használd a Protected Storage PassView-t! Update: Mint azt a hivatalos oldalon is említik, ezt a programot néhány vírusírtó kártevőként ismeri fel. Ez valószínüleg nem jelent semmi veszélyeset, de ha valakit ez zavar, a Cain (ami egyébként nagyon jó cucc!) emlékezetem szerint nem produkált anno ilyen figyelmeztetést. Persze a mellé járó Abel trójai miatt szoktak sírni az AV-k, de anélkül is elmegy a program.

Az Internet Explorer 7-nél már kicsit más a helyzet: A különböző jelszavakat a rendszer három helyen tárolja:

A HTTP autentikációhoz tartozó jelszavak a Documents and Settings\Application Data\Microsoft\Credentials\ alatt, az ún. Microsoft Credential file-ban találhatók egy csomó más finomsággal együtt.

A megjegyzett jelszavak, még mindig a Registryben vannak, csak máshol:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\IntelliForms\Storage2

Ezeknek a jelszavaknak a kinyeréséhez az IE PassView használható (béta változatokon tesztelve).

A fennti információk nem feltétlenül pontosak, nem ellenőriztem őket, de kiindulási alapnak mindenképpen jók. Én is úgy gugliztam össze, nincs itt varázslat, csak meg kéne tanulni angolul, ha már az ember hackernek akar állni!

Címkék: internet explorer kívánságműsor

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

kisosz 2007.09.04. 18:24:46

"übehackerek", csak meg kéne tanulni németül ha már...

bly 2007.09.04. 18:30:52

Ez legyen a legkevesebb :)
Köszi az infót!

solesz 2007.09.04. 18:56:57

Szia,

Az általad hivatkozott Protected Storage PassView Comodo által PSWTool.Win32.PassView.b-nak felismert vírust tartalmaz.

Mindenesetre az ingyenes pass visszafejtők, és egyéb nyalánkságok pont a felhasználó olthatalan "feltörési" vágyának kielégítését felhasználva terjesztik a jobbnál jobb férgeket, mailware, riskware, trojan, downloader és egyéb dolgokat.

buherator · http://buhera.blog.hu 2007.09.05. 09:07:07

@kisosz
Gratulálok a hozzászóláshoz! Te gondolom még az életben nem gépeltél el semmit...

@solesz
A hivatalos oldal ezt is külön említi. Nem kell tőle betojni, szvsz azért került be a program a vírusadatbázisokba, mert meg lehet vele nézni a jelszavaidat (a nevében sem utal semmi káros tevékenységre). Ha ezt egy idegen teszi meg ugyanezzel a progival az tényleg gáz, viszont ha te használod, hogy "visszaállítsd" a jelszavaidat, akkor valószínűleg nem fog semmi bajt csinálni. Egyébként a PrevX (www.prevx.com) és valami rendes tűzfal használatát tudom ajánlani ha biztosra akarsz menni (én még nem használtam ezt a toolt...)!

Egyébként a DES nem az egyetlen titkosítási algoritmus amit az Explorer használ, mindjárt javítom - az überhackerel együtt :P

buherator · http://buhera.blog.hu 2007.09.05. 12:31:03

én már rég óta gondolkoztam egy ilyen poszton, de ez adta meg a végső löketet:

www.ld50.hu/article/ld50/blog/akulcsszavak

Ironhide 2008.08.28. 16:07:38

Üdvözlet!

Ha jól értem,akkor azok a jelszavak,melyek nincsenek megjegyeztetve,a Documents and Settings\Application Data\Microsoft\Credentials\ mappában vannak kódolva.
Ez minden újra indításnál elvesznek?
Akkor itt található azon jelszavak is,melyek az IE netre való csatlakozásához kell?
Vagy ezeket,melyek nincsenek megjegyeztetve,merre kell keresni?

mikimaus (törölt) 2008.08.29. 00:59:34

"kisosz 2007.09.04. 18:24:46
"übehackerek", csak meg kéne tanulni németül ha már... "

Ehhez képest, úgy látom, jól írta a szerző: über-hackerek (->über-hekkerek) --- v.ö. "über-mensch" [A szóképzés miatt tettem kötőjelet! Nem így, hanem egybe írandóak, természetesen.]

Ugyan egy év eltelt, látom, de fennakadtam rajta :-)

Szép csendes őszt mindenkinek:
Robi

mikimaus (törölt) 2008.08.29. 01:02:26

"Egyébként a DES nem az egyetlen titkosítási algoritmus amit az Explorer használ, mindjárt javítom - az überhackerel együtt :P "

Elnézést - ezt nem láttam.

R.

mikimaus (törölt) 2008.08.29. 01:11:39

"Ironhide 2008.08.28. 16:07:38
Üdvözlet!

Ha jól értem,akkor azok a jelszavak,melyek nincsenek megjegyeztetve,..... [..] Vagy ezeket,melyek nincsenek megjegyeztetve,merre kell keresni? "


Szervusz!

Ami NINCS megjegyeztetva, az nemes egyszerűséggel nincs megjegyezve, így nem kerül sehova - természetesen.

A "HTTP autentikáció" kifejezés itt számomra nem egyértelmű - mentségemre: nem ez a szakterületem! -, azt gondolom azonban, hogy semiképp nem az IOSP bejelentkezési azonosítóra gondolt a T. Szerző, hiszen az eleve nem, vagy nem feltétlenül HTTP (vö. kapcsolt vonalon vagy ISDN-en még nem IP protokoll van a kapcoslódás előtt, illetve pl. ADSL PP over Ethernet-et használ).

Amire Te gondolsz, az szvsz a "Telefonos kapcsolatok" (vagy: Kapcsolatok) részhez tartozzik, legjobb tudomásom szerint az IE és mások által használt ún. közös adat-erőforrásból táplálkozik.

Üdv:
Maus Robi
.