通过 DPAPI 获取当前帐号保存的 MSN Messenger 密码

最新推荐文章于 2022-04-08 15:20:16 发布
最新推荐文章于 2022-04-08 15:20:16 发布
阅读量1.6k 收藏
点赞数
分类专栏: 程序 文章标签: null 加密 解密 attributes string domain
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/onefish/article/details/311325
版权

通过 DPAPI 获取当前帐号保存的 MSN Messenger 密码

tomekeeper 在水木BBS上贴了一个通过 DPAPI 获取保存的 MSN 密码的代码。其核心思想是从 MSN 加密保存在注册表中的键里,把加密后字符串抠出来,然后使用 DPAPI 的函数 CryptUnprotectData 解密之。关键代码如下:

//...
ret = RegOpenKeyEx
(
HKEY_CURRENT_USER,
"Software//Microsoft//MSNMessenger",
0,
KEY_READ,
&hKey
);
//...
ret = RegQueryValueEx
(
hKey,
"Password.NET Messenger Service",
//...
);

DataIn.pbData = Data + 2; //口令密文从第二位开始
DataIn.cbData = dwSize-2;

CryptUnprotectData
(
&DataIn,
NULL,
NULL,
NULL,
NULL,
1,
&DataOut
);

base64_decode (DataOut.pbData, Data, strlen(DataOut.pbData));
printf ( "MSN PassWord: %s/n", Data);

不过这种方法针对 XP/2003 环境下的新版本 MSN 没有效果,因为最新版本的 MSN 已经不再将加密后的密码直接保存在注册表键里。于是我安装类似思路,使用 Windbg 和 IDA Pro 大概分析了一下新版本的保存密码方法。得出结论是 MSN 使用了 XP/2003 新增的对当前用户凭据集 (credential set) 管理的函数,将加密后密码放到这个里面统一管理。
可以使用新增的 CredReadDomainCredentials 函数,给定读取目标来获得加密凭据,如:

typedef struct _CREDENTIAL_TARGET_INFORMATIONW {
LPWSTR TargetName;
LPWSTR NetbiosServerName;
LPWSTR DnsServerName;
LPWSTR NetbiosDomainName;
LPWSTR DnsDomainName;
LPWSTR DnsTreeName;
LPWSTR PackageName;
ULONG Flags;
DWORD CredTypeCount;
LPDWORD CredTypes;
} CREDENTIAL_TARGET_INFORMATIONW, *PCREDENTIAL_TARGET_INFORMATIONW;

DWORD CredTypes = CRED_TYPE_DOMAIN_VISIBLE_PASSWORD;

CREDENTIAL_TARGET_INFORMATIONW target =
{ L"messenger.hotmail.com", NULL, NULL, NULL,
L"Passport.Net", NULL, L"Passport1.4", 0, 1, &CredTypes };

DWORD dwCount = 0;
PCREDENTIALW*creds;

Win32Check(CredReadDomainCredentialsW(
&target, CRED_CACHE_TARGET_INFORMATION, &dwCount, &creds),
"Cannot read user/'s domain credential, maybe you are not save your password");

这里的 CREDENTIAL_TARGET_INFORMATIONW 结构指定要获取凭据的来源和包名称;CredReadDomainCredentialsW 则根据此信息,通过 NdrClientCall2 函数发送 RPC 调用,完成实际功能。
读取出来的凭据包括此凭据的用户名 (UserName) 和凭据内容 (CredentialBlob):

typedef struct _CREDENTIALW {
DWORD Flags;
DWORD Type;
LPWSTR TargetName;
LPWSTR Comment;
FILETIME LastWritten;
DWORD CredentialBlobSize;
LPBYTE CredentialBlob;
DWORD Persist;
DWORD AttributeCount;
PCREDENTIAL_ATTRIBUTEW Attributes;
LPWSTR TargetAlias;
LPWSTR UserName;
} CREDENTIALW, *PCREDENTIALW;

PCREDENTIALW cred = creds[0];

对 MSN Messenger 来说,CREDENTIALW::UserName 中就是登陆帐号了。MSN Messenger 每次显示文件菜单时,都会从凭据集中获取当前帐号名称用于显示。而每次登陆时,则进一步将凭据集的内容使用 CryptUnprotectData 函数进行解密,代码如下:

static unsigned char entropyData[] = {
0xe0, 0x00, 0xc8, 0x00, 0x08, 0x01, 0x10, 0x01,
0xc0, 0x00, 0x14, 0x01, 0xd8, 0x00, 0xdc, 0x00,
0xb4, 0x00, 0xe4, 0x00, 0x18, 0x01, 0x14, 0x01,
0x04, 0x01, 0xb4, 0x00, 0xd0, 0x00, 0xdc, 0x00,
0xd0, 0x00, 0xe0, 0x00, 0xb4, 0x00, 0xe0, 0x00,
0xd8, 0x00, 0xdc, 0x00, 0xc8, 0x00, 0xb4, 0x00,
0x10, 0x01, 0xd4, 0x00, 0x14, 0x01, 0x18, 0x01,
0x14, 0x01, 0xd4, 0x00, 0x08, 0x01, 0xdc, 0x00,
0xdc, 0x00, 0xe4, 0x00, 0x08, 0x01, 0xc0, 0x00, 0x00, 0x00 };

PCREDENTIALW cred = creds[0];
DATA_BLOB data = { cred->CredentialBlobSize, cred->CredentialBlob },
entropy = { sizeof(entropyData), entropyData }, pass = { 0, NULL };

BOOL ret = CryptUnprotectData(&data, NULL, &entropy, NULL, NULL, CRYPTPROTECT_UI_FORBIDDEN, &pass);

这里 entropyData 保存着通过 WinDbg 直接从 MSN Messenger 代码中抠取出来的内部使用固定加密密钥,以后有可能根据版本不同发生变化。因为新版 MSN Messenger 不在直接加密密码,而是使用此密钥加密,因此与 tomekeeper 那种处理稍有不同。解密后的 pass中保存的就是明文的当前 MSN Messenger 帐号的密码了,呵呵。

static const std::string toString(LPCWSTR lpStr, DWORD cbStr)
{
std::string str;

str.resize(WideCharToMultiByte(CP_ACP, 0, lpStr, cbStr, NULL, 0, NULL, NULL));
WideCharToMultiByte(CP_ACP, 0, lpStr, cbStr, (char *)str.c_str(), str.size(), NULL, NULL);

return str;
}

static const std::string toString(LPCWSTR lpStr)
{
return toString(lpStr, wcslen(lpStr));
}

m_username = toString(cred->UserName);

m_fCredFree(creds);

Win32Check(ret, "Cannot decrypt credential");

m_password = toString((LPCWSTR)pass.pbData, pass.cbData / sizeof(wchar_t));

::LocalFree(pass.pbData);


看起来这样保存密码似乎很不安全,其实也还好了,呵呵。因为 CredReadDomainCredentials 和 CryptUnprotectData 等系列函数,缺省都是使用的当前帐号的安全上下文进行加密解密,哪怕换了台机器这些加密后的数据都不再有意义。因此除非你机器被人搞到当前帐号或者 Administrator 帐号权限,否则密码都还是安全的;反过来说,如果这两个帐号被别人搞到,随便装个键盘记录程序也能够达到类似的效果。因此总体上来说还是比较安全的,这个代码也只能作为忘记自动记录的 MSN 密码时的恢复工具 :P 其实这个才是我们俩研究此问题的主要目的,呵呵

此外 XP/2003 有一个新增命令行命令 cmdkey,使用其 /list 参数可以列出当前用户凭据集中所有保存的凭据信息,如你在其他机器上网络连接的登陆信息、.NET passport 的帐号信息等等。可以通过本文方法略做修改,获取所有这些帐号中保存的密码。

onefish
关注
专栏目录
拦截LPC监控服务加载和启动
Returns' Station
06-06 5186
SSDT上hook NtSetSystemInformation NtLoadDriver,可以拦截应用层装载驱动的操作.如果怕不保险,还可以PsSetLoadImageNotifyRoutine或者hook NtCreateSection。但是常规通过服务API加载驱动时却不能找到加载驱动的源程序,PsGetCurrentProcess程序已经是services.exe了.
windows ALPC简单研究
weixin_43787608的博客
11-26 9298
0x00 本文是对ALPC的简单研究,由于时间有限,还有很多细节没有搞清楚,还有很多疏漏。希望能起到抛砖引玉的作用,能找到高手讨论学习。 ALPC(Advanced/Asynchronous Local Procedure Call),是微软发展出来替代LPC,用于本机RPC的一种C/S模型技术。但是对用户来说,能看到只有RPC概念,很少能看到ALPC。 我们看一个典型的ALPC同步调用堆栈: ...
WIN7X64代码禁止应用层创建、枚举服务
瞎捣鼓
05-16 589
WIN7代码禁止应用层创建、枚举服务 WIN7的系统服务遍历,是通过RPC远程调用,最后调用NdrClientCall2 进入内核 通知services.exe,services.exe中有张全局的服务表,这张表在WIN7 X64中俺不知道定义,如果要隐藏系统服务,可以对这张表进行修改,但是俺不知道呀咋办!于是有了这个办法。 应用层遍历服务,都要打开SC管理器,而我就是打开SC管理器上面做文章。...
win7系统口令登录过程调试方法图解
ayang1986的专栏
04-18 1075
转载自:http://www.jb51.net/os/windows/81155.htmlWindows7以后Winlogon进程是动态的,有用户登录就会创建一个 Winlogon 进程,因此系统中完全可能存在多个登录进程,注销后Winlogon 进程也会随之结束,下面为大家介绍下登录过程的调试首先介绍Windows 7系统基本原理  Windows7 以后 Winlogon 进程是动态的,有用户...
RPC总结
研究源码的最底层,只持有正确的仓位
01-15 3271
http://andylin02.iteye.com/blog/457411win32 rpc编程系列四篇 已看 http://www.ibm.com/developerworks/cn/aix/library/au-rpc_programming/rpc编程 已看 sudami的sandbox代码 http://bbs.pediy.com/showthread.php?t=1722...
IE密码查看器,通过该工具查看本机IE浏览网站时保存的用户名和密码
11-16
**IE密码查看器详解** IE密码查看器是一款实用的小型软件,主要针对Windows操作系统中的Internet ...同时,对于个人而言,定期更换密码、启用双因素认证以及不轻易在公共设备上保存密码是保持在线安全的重要措施。
Java DPAPI-开源
05-13
Java DPAPI是一个开源项目,它实现了对Microsoft Data Protection APIDPAPI)的Java接口封装,使得Java开发者可以方便地在Windows环境下利用DPAPI的功能。DPAPI是微软提供的一种安全服务,用于加密解密敏感数据...
c# 登录保存密码 自动登录
06-20
在C#编程中,实现登录保存密码和自动登录功能是一项常见的需求,特别是在开发桌面应用程序或者Web应用程序时。这个实例化保存方式通常涉及到用户凭据的安全存储,以便在用户下次启动应用时能自动填充登录信息,提供...
DPAPI加密解密
04-22
DPAPI(Data Protection API)是Windows操作系统内建的一种安全服务,用于保护本地系统中的敏感数据,如用户密码、证书私钥等。DPAPI提供了一种简单的方法来加密数据,使得只有拥有相应上下文(通常是当前用户或系统...
DPAPI与RSA混合加密算法
05-06
为了应对软件被恶意复制及非法利用等相关问题, 对具有知识产权的软件进行安全授权是保障软件安全的有效手段. 在软件授权过程中, 对授权... 通过对该混合加密算法的验证可知, 该算法在软件授权过程中具有一定的可行性.
Visual C++编程例子源代码
08-02
Visual C++编程例子源代码,一共有几十个
浅浅认识之VBS脚本访问接口与COMODO拦截COM接口
weixin_30652491的博客
08-10 937
这2天测试了一个使用了WMI提供ASEC后门,里面使用了JS脚本往外请求http获取执行命令。但我的分析系统却没抓到这个行为,可在真机中确实抓到有HTTP请求。相当奇怪。 最后无奈windbg出手,内核断点afd 发送函数。最后发现是scrcons.exe进程,自然就google后,最后晓得是脚本宿主神马的。 最后了解了下这块,多谢EVA大侠的《深入挖掘Windows脚本技术》系统文章。加深了...
遍历系统服务和创建服务
weixin_34289454的博客
01-25 231
/Files/tt_mc/catchser.rar这段代码是遍历系统中的服务,看里面是否有“HOOK”这个服务,如果没有就创建:#include "StdAfx.h"#include <string>#include "ServConfig.h"using namespace std;int CatchSer(){        SC_HANDLE hSCM = OpenSCManag...
加载驱动时获得加载驱动的进程
Sunny_wwc的专栏
06-15 1599
这些大部分都是通过NdrClientCall来发送RPC请求给 Services.exe实现的RPC通讯在各个平台上依赖的API各不相同,基本上win2000:NtFsControlFilexp,2003:NtRequestWaitReplyPortvista,2008.win7 :NtAlpcSendWaitReceivePort你需要拦截这些通讯并分析其通讯协议Head
解决:Error in the RPC receive loop
weixin_33795743的博客
11-18 277
摘要: 云计算、虚拟化是近几年信息化领域比较流行的概念。随着国内对于这些理念的深入,新一代虚拟机、虚拟化环境已经越来越出现在我们日常环境中。虚拟机灵活和快捷的部署管理方式,也逐渐被运维领域所接受。 在实践领域中,我们在使用虚拟化环境同样面对一些新的问题和故障,需要我们...云计算、虚拟化是近几年信息化领域比较流行的概念。随着国内对于这些理念的深入,新一代虚拟机、虚拟化环境已经...
Short Message LPC机理分析
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
05-03 1620
Short Message LPC机理分析进程间通信(IPC)是在多任务操作系统或联网的计算机之间运行的程序和进程所用的通信技术。有两种类型的进程间通信。本地过程调用(LPC)和远程过程调用(RPC)。出于未知的原因,微软没有公开 LPC 的接口。微软为机器间的客户机服务器通讯提供了一套 RPC。Windows NT优化了RPC,将其转为了LPC,只不过是客户机服务器全在同一台机器上罢了。
win本地credentials收集
ATpiu的博客
04-08 4311
内网渗透,内网信息收集,win本地credentials收集,DPAPI,masterkey
域渗透中的关键:DPAPI与Kerberos加密策略
1.3 利用DPAPI获取敏感信息 攻击者可能会尝试获取Chrome浏览器的登录数据,这通常存储在%LOCALAPPDATA%\Google\Chrome\UserData\Default\LoginData文件中。通过导出域key并利用它解密MasterKeyFile,如在%APPDATA%\...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值