Извлечение всех паролей (веб-браузеры, почтовые программы и пр.) в Windows и Linux


Сегодня хочу поделиться информацией о программе, работа которой меня поразила и заставила задуматься: как же много может обо мне (и большинстве из нас) узнать злоумышленник, получив доступ к моему (или вашему) компьютеру буквально на несколько минут.

Даже если вы не собираетесь собирать пароли на чужих компьютерах, такие программы как LaZagne – это очень хороший способ задуматься, как уязвима наша конфиденциальность, когда наши компьютеры не под нашим контролем: в аэропортах, когда они сдаются в багаж, в ремонтных мастерских, после продажи и т.п.

А если вы собираетесь взламывать чужие пароли, то обращу внимание, что LaZagne – это утилита командной строки, и можно придумать разные интересные варианты её скрытого использования на удалённых для вас машинах для извлечения паролей цели…

Программы для восстановления паролей

Думаю, вы уже поняли, что я буду говорить о LaZagne.

В качестве хороших альтернатив, можно вспомнить программы от NirSoft: WebBrowserPassView, Mail PassView, MessenPass и другие. У программ вполне говорящие названия (первая извлекает пароли из веб-браузеров, вторая – из почтовых клиентов, треть – из клиентов для обмена мгновенными сообщениями).

Это абсолютно бесплатные программы, без рекламы и мусора, у многих из них есть интерфейс командной строки, они очень нетребовательны к ресурсам. Но они работают только под Windows и у них закрыт исходный код. Если у программы закрыт исходный код, то это оставляет простор для мысли: она просто извлекает пароли, или она извлекает пароли И передаёт их кому надо…

У LaZagne открытый исходный код, программа написана на Python 2, т.е. если вы знаете, как настроить среду выполнения Python и установите необходимые зависимости, то сможете запускать прямо исходные скрипты (как это делается на Linux). Для тех, кто это не умеет / не хочет разбираться, собраны исполнимые файлы, которые также содержат все необходимые зависимости.

Кстати про Linux. Версия для этой ОС отличается от версии под Windows тем, что поддерживает меньшее количество программ, для которых умеет восстанавливать пароли.

Кстати: кто знает другие подобные функциональные программы с открытым исходным кодом – пишите о них в комментариях, будет интересно их посмотреть.

Инструкция по использованию LaZagne в Windows

Программа весьма проста в использовании. Если вы хотите воспользоваться готовым исполнимым файлом, то перейдите на страницу релизов: https://github.com/AlessandroZ/LaZagne/releases и выберите последнюю версию для Windows (файл Windows.zip).

Разархивируйте скаченный файл. Откройте командную строку в Windows (Win+x) и выберите там «Командная строка» или «Командная строка (администратор)». По идее, как это описано в официальной документации, при запуске программы от администратора, она должна находить пароли для всех пользователей, плюс пароль для Wi-Fi. У меня напротив, в командной строке от имени администратора программа совсем не работает (ничего не находит). Возможно, нужно запускать другим образом, например:


C:\> runas /user:<localmachinename>\administrator cmd

или

C:\> runas /user:<DomainName>\<AdministratorAccountName> cmd

Но у меня это также не получилось (поскольку учётная запись у меня без пароля, а для такого запуска она должна быть с паролем). Я не стал с этим особо разбираться, а просто запустил в командной строке от обычного пользователя. Давайте сразу перейдём к тому месту, где у меня заработало)))

В открывшееся окно командной строки можно перетащить исполнимый файл (чтобы не набирать его расположение руками). Через пробел допишите all, чтобы получилось примерно так:

01

Вот мой результат:

02

617 паролей!

Чтобы сохранить данные в файл добавьте опцию -oN:

laZagne.exe all -oN

Файл сохраняется не относительно расположения запущенной программы, а относительно текущей рабочей директории (ту, которую видно в приглашении командной строки). Например, в моём случае это C:\Users\Alex\, значит файл с найденными паролями сохранён в C:\Users\Alex\results\


Ещё можно использовать опцию -oJ для сохранения в формате Json или опцию -oA – для сохранения сразу в двух форматах. Кстати, у меня, в Json сохраняет нормально, а при выборе сохранения в виде обычного текста, сохраняются всего несколько паролей.

Если у вас тоже с этим проблемы, то можно воспользоваться банальным перенаправлением вывода:

laZagne.exe all > logons.txt

Если хотите искать пароли только для браузеров:

laZagne.exe browsers

Можно даже запустить поиск только для определённых браузеров, например, для Firefox’а:

laZagne.exe browsers -f

Полный список доступных опций и поддерживаемое ПО смотрите в справке по программе.

Заключение

Программа LaZagne очень проста в использовании и весьма хорошо справляется с задачей по поиску паролей в компьютере. Программа продолжает активно развиваться и регулярно добавляются новые скрипты, которые позволяют искать и восстанавливать пароли для ещё большего количества программ.

Вы можете в некоторой степени обезопасить себя от этой программы, если, например, будете использовать мастер пароль для браузеров (которые это поддерживают).

О таких программах всегда следует помнить, если пользуетесь компьютерами общего пользования (например, в Интернет-кафе) или ваш компьютер хотя бы на некоторое время выпадает из вашего владения (при сдаче в багаж, сдаче в ремонт, продаже).

При продаже не стоит надеяться на простое удаление или форматирование жёсткого диска. Криминалистические инструменты (вроде Autopsy), способны восстанавливать данные. Кстати, Autopsy в дополнение к паролям, сможет показать историю, кукиз веб-браузеров, посещённые сайты, информацию о времени пользования компьютера (формируемую по многим фактором) и ещё об очень многом.


Рекомендуется Вам:

19 комментариев to Извлечение всех паролей (веб-браузеры, почтовые программы и пр.) в Windows и Linux

  1. freeman:

    Выдаёт ошибку "Traceback (most recent call last):
      File "laZagne.py", line 17, in <module>
      File "C:\Users\joe\Desktop\pyinstaller-develop\PyInstaller\loader\pyimod03_imp
    orters.py", line 389, in load_module
      File "site-packages\psutil\__init__.py", line 124, in <module>
      File "C:\Users\joe\Desktop\pyinstaller-develop\PyInstaller\loader\pyimod03_imp
    orters.py", line 389, in load_module
      File "site-packages\psutil\_pswindows.py", line 15, in <module>
      File "C:\Users\joe\Desktop\pyinstaller-develop\PyInstaller\loader\pyimod03_imp
    orters.py", line 546, in load_module
    ImportError: DLL load failed: ═х эрщфхэр єърчрээр  яЁюЎхфєЁр.
    Failed to execute script laZagne"

  2. Alexey:

    Кстати, идея запускать .py файл LaZagne на Windows мне нравится. Наверняка же кто-то из разбирающихся в Python прочитает. Думаю, не только от меня, будет огромная благодарность тому, кто распишет как установить зависимости и правильно запустить. Инструкция для тех, кто совсем не работал с Python на Windows. Т.е. начиная с того, что мы скачиваем Python.

    Страничка проекта на гитхабе: https://github.com/AlessandroZ/LaZagne (там же перечислены зависимости).

    На Kali Linux всё получилось «как 2 пальца…»:

    sudo apt-get install python-argh python-crypto python-dbus python-pyasn1 python-kde4 python-gnomekeyring
    git clone https://github.com/AlessandroZ/LaZagne.git
    cd LaZagne/Linux/src/
    python2 ./LaZagne.py

    А так в BlackArch:

    sudo pacman -S python2-argh python2-crypto python2-dbus python2-pyasn1 kdebindings-python2 python2-gnomekeyring
    git clone https://github.com/AlessandroZ/LaZagne.git
    cd LaZagne/Linux/src/
    python2 ./LaZagne.py
    
    • freeman:

      На компе жертвы ещё и Питон ставить? нужен автономный экзешник!

    • Donkan:

      Привет! Идея так себе, поскольку запуск скрипта будет возможен только при наличии всех модулей, которые импортируются в LaZagne.py.

      Эффективнее будет собрать билд при помощи cx_freeze или pyinstaller и запускать как исполнительный файл.

      • Alexey:

        Я согласен с мнениями, что бинарник почти во всех ситуациях лучше.

        Но ещё лучше бинарник, который собран своими руками, – параноикам так спокойнее )))

  3. Тёма:

    Хм. Запускал с бинарника, нашел только пароли от удалённой фаилзиллы. ссиды вафли и хеши учёток винды.

    w7 x64 домен, права локального админа.

    Слабовато.

  4. Дима:

    Можно на флешку вместе с LaZagne портативный WinPython поставить и запускать LaZagne через него.

  5. Алексей:

    А что делать если такая ошибка http://screencast.com/t/sIoks6eTbW?

  6. Juice:

    LaZagne в PenTest Box "искаропки" работает.

  7. Сергей:

    Антивирус сообщает, что внутри троян.

     

    это нормальное явление?

    • Alexey:

      Вас кто-то заставляет её запускать? Не уверены — не запускайте. Для полной уверенности проведите аудит исходного кода (он открыт) и соберите исполнимый файл из исходников самостоятельно.

      • Сергей:

        Не такой уж я и специалист, чтобы собирать из исходников. 

        В других программах авторы предупреждают, что антивирус может "ругаться".

        Но вы мол не бойтесь

        О как

        • Alexey:

          У меня к вам другой вопрос — а почему вы им верите? Я вот им не верю. Здесь я тоже могу написать разное — но мне верить тоже не надо. Хотя бы по той причине, что я тоже не исследовал код данной программы и «тянуть мазу» за них не собираюсь.

           

          С другой стороны, тот факт, что код программы открыт, резко уменьшает возможность злоупотреблений. Я программы с открытым исходным кодом, которые имеют определённую популярность, запускаю без особых опасений.

           

          Что касается файлов с форумов и из любых неофициальных источников, я такие файлы вообще не запускаю, даже если антивирус не выдаёт предупреждений. И верить что «антивирус выдаёт предупреждение просто так» это небезопасно и очень наивно. Хотя нужно смотреть что именно пишет антивирус — для некоторых программ может написать «hacking tool» или «cracking tool» или «miner» - в этом случае если вы именно такое и скачивали, то можно проигнорировать предупреждение антивируса. В других случаях, такая доверчивость чревата.

  8. Аноним:

    Незнаю с чем связано, но после запуска не показывает пароли от Google Chrome

     

  9. Михаил:

    http://skrinshoter.ru/s/301018/3X59M9d2

    выдает ошибку, что сделать? 

  10. TooGooD:

    ЛЮБАЯ программа которая будет юзить тело установленных программ будет индентифицированна как вирусняк.Это даже не специалисту понятно. Если вы к соседям зайдёте взять соль без спроса наверное антисосед будет против

Добавить комментарий для Alexey Отменить ответ

Ваш адрес email не будет опубликован. Обязательные поля помечены *