分享
 
 
 

IE7自动完成口令获取

王朝other·作者佚名  2008-11-04
窄屏简体版  字體: |||超大  

IE7自动完成口令获取

作者:grassgrass (kityest_at_163.com)

前一阵子自己邮箱的口令忘记了,为了找回邮箱口令到网上找了好多密码找回的工具,发现在IE7下都不好使,迫于无奈,只好自己研究了,通过Google和 OllyDbg,用了1整天时间终于弄清楚了IE7下的自动完成口令获取方法,不敢独享,特公布如下,希望能对大家有帮助。

自Internet Explorer 7.0开始,微软完全改变了密码保存的方式,将网站的URL保存于历史文件中,将自动完成的密码保存于注册表中的以下位置: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\IntelliForms\Storage2。

要获取IE7的自动完成口令就需要同时获取IE7环境下历史文件夹中的URL记录和注册表HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\IntelliForms\Storage2下的密码信息。

以下是IE7自动完成口令获取的步骤:

1、用ShGetSpecialFolder获取History文件夹路径

2、枚举History文件夹下的index.dat文件,并从index.dat文件中提取访问过的网站URL。

index.dat文件结构:

文件头32字节

从文件的第0x5000地址处开始存放的是访问过的网站信息,网站信息顺序存放,每个网站数据块结构为:

struct Web{

const char Tag[4]; //4个字节的标志,内容为"URL ",可作为数据是否正确的判断。

int LenNumber; //该数据块的长度指数,数据块的长度为LenNumber*128

char unknown[44]; //44字节的未知数据

int DataPos; //Visited:字段相对于该结构块头的偏移值,即&Web+DataPos就指向Visited了

char unknown[]; //不定长度未知数据,不过据观察似乎上述DataPos都是一样的,那这个也应该定长了,算了,不管他,安全起见,就当不定长了

const char Tag1[8]; //"Visited:"

char Data[]; //结构 XXX@????,其中XXX是用户名,???就是URL,可以从Visited处搜索@来定位

char Unknown[]; //长度不定

};

注意,上述结构中的URL是ANSI形式的

3、打开注册表HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\IntelliForms\Storage2,枚举其Values

注册表该位置保存的是IE7自动完成的用户名密码之类,其中ValueName就是经过Hash的网站的URL,ValueData就是加密的用户名密码之类了。

4、对第2步获取的URL依次进行Hash,然后用其Hash值依次与第三步中获取的ValueName进行比较,一致的就是该URL的信息

如果一致,就对ValueData进行解密。

ValueData解密后数据结构

struct ValueData{

int HeadLen;//4字节,用来表示该数据结构的头部长度。

int DataPos;//真正的数据相对于数据结构头部的偏移,即:&ValueData+HeadLen+DataPos就指向有效数据了

int DataLen;//有效数据的长度

char unknown[];

wchar UserName[];

wchar Password[];

};

HeadLen+HeadLen+DataPos=sizeof(ValueData);

注:

1、Hash算法:

//Algorithm=0x8004

//0x8004=ALG_CLASS_HASH | ALG_TYPE_ANY | ALG_SID_SHA1=CALG_SHA1,原来采用的是CALG_SHA1算法

//注意:此处这个DataLen是带Unicode的结尾的0的

BOOL HashData(WCHAR *pData,int DataLen, char *pHashData,int *pHashLen,int Algorithm)

{

BOOL bResult = TRUE;

HCRYPTPROV hProv = NULL;

HCRYPTHASH hHash = NULL;

DWORD dwLength;

// Get handle to user default provider.

if (CryptAcquireContext(&hProv, NULL, NULL, PROV_RSA_FULL, 0))//0xF0000000)) //两个都行,不知道最后一个参数是干什么的

{

// Create hash object.

if (CryptCreateHash(hProv, Algorithm, 0, 0, &hHash))

{

// Hash password string.

if (CryptHashData(hHash, (BYTE *)pData, DataLen, 0))

{

CryptGetHashParam(hHash,2,(BYTE*)pHashData,(DWORD*)pHashLen,0);

}

else

{

// Error during CryptHashData!

bResult = FALSE;

}

CryptDestroyHash(hHash); // Destroy session key.

}

else

{

// Error during CryptCreateHash!

bResult = FALSE;

}

CryptReleaseContext(hProv, 0);

}

return bResult;

}

2、解密算法:

unsigned char pcryptdata[]={ //注册表中提取出来的ValueData,即加密过的用户名密码等信息

0x01,0x00,0x00,0x00,0xD0,0x8C,0x9D,0xDF,0x01,0x15,0xD1,0x11,0x8C,0x7A,0x00,0xC0,0x4F,0xC2,0x97,0xEB,0x01,0x00,0x00,0x00,0x58,0x26,0xE4,0x1A,0x81,0x86,0x2F,0x4D,

0xA9,0x19,0x95,0xED,0x94,0x6F,0xC5,0x2A,0x00,0x00,0x00,0x00,0x02,0x00,0x00,0x00,0x00,0x00,0x03,0x66,0x00,0x00,0xA8,0x00,0x00,0x00,0x10,0x00,0x00,0x00,0xB5,0x67,

0x51,0xE5,0x1A,0x73,0x67,0x75,0x0F,0x84,0xF2,0x97,0xCE,0x07,0x21,0x31,0x00,0x00,0x00,0x00,0x04,0x80,0x00,0x00,0xA0,0x00,0x00,0x00,0x10,0x00,0x00,0x00,0x75,0xFB,

0x3F,0xC8,0x4C,0x7F,0xDB,0xBA,0xC8,0x27,0xD9,0xC0,0x64,0xD8,0x05,0xEF,0x68,0x00,0x00,0x00,0x50,0x63,0x0F,0x8B,0x7B,0xBC,0xDF,0x96,0xFD,0xE4,0x11,0xEB,0x97,0x43,

0xD8,0x4E,0x7C,0xB6,0x96,0x55,0xA6,0xB5,0x50,0x41,0x5D,0xD5,0xA7,0x4B,0xFA,0x16,0x4E,0x65,0xF5,0xB6,0x0D,0xC5,0xC1,0xCE,0xEB,0x3D,0x28,0x79,0xA2,0xBD,0xAA,0x97,

0x9D,0x31,0xE8,0x84,0xBD,0xC5,0x49,0x74,0x64,0x40,0xFA,0x09,0xE5,0x2C,0x0F,0x27,0xD7,0x65,0x9D,0xAF,0x39,0x80,0x89,0x70,0x4C,0x43,0x65,0x5F,0xDC,0x0A,0xF1,0x7E,

0x8E,0x35,0x61,0x4F,0xDB,0x84,0xFC,0x50,0xE7,0x96,0x1A,0xAE,0x12,0x82,0x2D,0xE6,0x3A,0x0A,0x86,0xA7,0xA7,0x60,0x30,0x99,0x54,0xA7,0x14,0x00,0x00,0x00,0x5B,0xA4,

0x89,0xFF,0xE6,0x48,0x4B,0x05,0x28,0xCF,0xFF,0x28,0xDC,0x11,0x46,0xCB,0x26,0x5D,0x9A,0x0F

};

WCHAR Test[]=L"http://www.devdao.com0"; //通过对URL进行HASH并与ValueName进行比对获取的URL地址

DATA_BLOB DataOut;

if(Decrypt(Test,74,pcryptdata,0xf2,&DataOut))

{

for(int i=0;i<DataOut.cbData;i++)

{

printf("%c",DataOut.pbData);

}

printf("\r\nOver\r\n");

}

bool Decrypt(WCHAR *pURL,int URLLen,unsigned char * pCryptedData,int CryptedLen,DATA_BLOB *pDataOut)//解密用

{

DATA_BLOB DataIn;

//DATA_BLOB DataOut;

DATA_BLOB DescrOut;

DataIn.pbData=pCryptedData;

DataIn.cbData=CryptedLen;

DescrOut.cbData=URLLen;

DescrOut.pbData=(unsigned char *)pURL;

if(CryptUnprotectData(&DataIn,NULL,&DescrOut,NULL,NULL,0,pDataOut))

{

//pBuffer=DataOut.pbData;

return true;

}

else

return false;

}

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有