• Hallo liebe Userinnen und User,

    nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.

    Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
    Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.

    Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.


    Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.

Suche Möglichkeiten - außer diesen 3 - um gespeicherte Passwörter aus dem Browser aus

Unfriendly Solution

Ēxperte für Illegales

Unfriendly Solution
Registriert
2 Apr. 2014
Beiträge
73
Ort
2°21'2" S, 15°20'
Also mir sind folgende drei bis dato bekannt:

1.) Aus den Browser Optionen/Einstellungen auslesen bzw. gespeicherte Passwörter anzeigen lassen.

2.) Diesen Code benutzen.
http://justpaste.it/erfe

Dazu muss man ein Lesezeichen erstellen und den Code da einfügen. Oder den Code markieren und es direkt auf die Browserleiste ziehen zu den anderen Lesezeichen. Dann nur noch auf das Lesezeichen klicken. (Wenn man es in die URL Leiste tippt und dann auf Enter drückt passiert nix - geht nur mit Lesezeichen.)

3.) Man markiert das Passwortfeld und drückt mit der rechten Maustaste auf Element untersuchen. Daraufhin erscheint folgendes Fenster

http://i.imgur.com/5BrCV6W.png

Ihr seht dann in der ersten grauen Zeile das Feld password. Da klickt ihr doppelt drauf oder markiert es manuell und ersetzt password durch das Wort text. Danach Enter drücken und das zuvor markierte Passwort mit Sternchen wird aufgedeckt und als klare Zahlen angezeigt - siehe hier

http://i.imgur.com/sSEX5b9.png

Wer kennt noch mehr Möglichkeiten ? Bitte auch mit praktischen Anleitungen und nicht Tipps oder Ratschlägen oder Querverweisen wo man sich erst selber durchwursteln muss.
 

Anhänge

  • 5BrCV6W.png
    5BrCV6W.png
    112,3 KB · Aufrufe: 169

p3Eq

zu nichts zu gebrauchen

P
Registriert
15 Juli 2013
Beiträge
358
Re: Suche Möglichkeiten - außer diesen 3 - um gespeicherte Passwörter aus dem Browser

Naja, du liest ja bei den letzten zwei Möglichkeiten nicht wirklich die Kennwörter aus dem Browser aus, sondern eher aus dem Eingabeformular einer Seite, wo der Browser die Daten ausgefüllt hat. Das entspräche dann schlicht und einfach XSS.

Sofern du aber nicht die Seite, bzw. die Anfragen an diese, angreifen willst (XSS, CSRF, ...), ist es natürlich browserabhängig, was für Schwachstellen es da bezüglich gespeicherter Kennwörter gibt.
 

Kugelfisch

Nerd

Kugelfisch
Registriert
12 Juli 2013
Beiträge
2.342
Ort
Im Ozean
Re: Suche Möglichkeiten - außer diesen 3 - um gespeicherte Passwörter aus dem Browser

Eine weitere Möglichkeit wäre, die Zugangsdaten direkt aus dem RAM des Browser-Prozesses oder vom Speicherort (abhängig von Browser und Betriebssystem z.B. die Keychain des angemeldeten Benutzers, der Data-Protection-API-Store oder eine lokale Datei oder die Registry) auszulesen. Letzteres tut z.B. diverse Malware, um Zugangsdaten von den infizierten Systemen zu sammeln und damit ggf. weitere Systeme über Spam-E-Mails, Spam-Nachrichten in `sozialen` Netzwerken oder über kompromittierte Websites zu infizieren. Das lässt sich auch nicht verhindern - schliesslich müssen der Browser und andere Anwendungen wie z.B. ein FTP-Client die Möglichkeit haben, auf die Daten zuzugreifen, demnach hat sie auch Malware, welche unter demselben Benutzerkonto läuft oder ihre Privilegien sogar eskaliert hat.

Die von dir beschriebenen Methoden 2 und 3 stellen eine Schwachstelle in vielen Browser-Passwortmanagern dar - unter bestimmten Umständen werden die Zugangsdaten ohne weitere Benutzerinteraktion in ein input-Element eingetragen, wo sie über JavaScript ausgelesen werden können. Das ist, wie p3Eq erwähnte, hoch kritisch, wenn die betreffende Website eine XSS-Schwachstelle aufweist. Deshalb trägt z.B. der Passwort-Manager von Opera die Zugangsdaten erst nach einem Klick ein.

Grundsätzlich gilt, dass ein lokaler Benutzer seine eigenen Kennwörter immer auslesen kann - das lässt sich nicht verhindern, und einige Browser wie z.B. Firefox bieten inzwischen sogar offiziell eine Möglichkeit, die gespeicherten Zugangsdaten einzusehen - deine erste vorgeschlagene Methode.
 

UltimaTOR

Neu angemeldet

U
Registriert
19 Juli 2013
Beiträge
21
Re: Suche Möglichkeiten - außer diesen 3 - um gespeicherte Passwörter aus dem Browser

Wie von Kugelfisch schon erwähnt, kannst du den RAM bzw. Teile des RAM dumpen, also auslesen. Dies machst du am Besten mit dem Programm "pwdump". Anschließend nutzt du das Tool "Strings", um enstprechende Parameter zu setzen. Diese "Lücke" ist bei - soweit mir bekannt - allen Browsern ein Problem. Zumindest war es das noch, als ich selbst Tests durchgeführt habe. Tutorial zu oben beschriebener Vorgehensweise findest du hier.
 

Unfriendly Solution

Ēxperte für Illegales

Unfriendly Solution
Registriert
2 Apr. 2014
Beiträge
73
Ort
2°21'2" S, 15°20'
  • Thread Starter Thread Starter
  • #5
Re: Suche Möglichkeiten - außer diesen 3 - um gespeicherte Passwörter aus dem Browser

Das mit pwdump werde ich mal näher anschauen. Gibt es auch ein deutsches Cross Site Scripting Tutorial ? Also in 1. Linie gehts mir darum dass es benutzerfreundlich ist weil ich es auch Leuten zeigen will die sich nicht so mit Computern auskennen. Am besten irgendwas automatisiertes
 

Kugelfisch

Nerd

Kugelfisch
Registriert
12 Juli 2013
Beiträge
2.342
Ort
Im Ozean
Re: Suche Möglichkeiten - außer diesen 3 - um gespeicherte Passwörter aus dem Browser

Die Frage ist, was genau du zeigen möchtest. Zur Demonstration, dass sich gespeicherte Passwörter über eine lokal ausgeführte Software auslesen lassen, könnte http://www.nirsoft.net/utils/chromepass.html oder allgemein auch http://www.nirsoft.net/password_recovery_tools.html dienen - Windows-GUI-Tools, welche lokal gespeicherte Passwörter anzeigen. Wichtig ist jedoch zu erwähnen, dass das grundsätzlich zu erwarten ist, technisch nicht verhindert werden kann (zumindest solange der Browser läuft und ein eventuelles Master-Passwort im Speicher liegt) und nur dann eine Gefahr darstellt, wenn das System kompromittiert wird.

Zur Problematik, dass Passwörter automatisiert in Formularfelder eingetragen werden, siehe http://www.heise.de/security/meldun...chtert-Phishern-die-Arbeit-Update-120113.html und http://www.heise.de/security/meldung/Loechriger-Firefox-Passwort-Manager-Update-153130.html (am Beispiel von Firefox - andere Browser mit demselben Verhalten dürften aber ebenfalls betroffen sein).
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben