• [Request] IE 10,11 Stealer en Delphi

 #453699  por broly7
 22 Ago 2014, 10:27
Hola compañeros.

Como sabrán hay mucha información de VB.Net, y códigos fuente y tal en internet, pero en cuanto a Delphi no encuentro ninguna Unit con el método de desencriptación de contraseñas del Internet Explorer.

Si alguien fuese tan amable de postear su Unit o mandarla por privado, (escrita en Delphi) por favor se lo pido.

Se lo agradecería mucho y ante todo quiero aprender.

Un saludo.
 #453827  por joselin
 24 Ago 2014, 02:12
mira voy a intentar crear una herramienta a base de estos 2 links

[ Debe registrarse para ver este enlace ]
[ Debe registrarse para ver este enlace ]

ya tenes los datos para empezar despues es cosa de leer mucho y razonar
(o tener la suerte de que la busqueda en ggoogle te tire una unit salvadora)
es complicado hay que hacer comprobaciones por las distintas versiones
o quedarse solo con las ultimas ,
si logro hacerlo, publico la herramienta no el source y estaria en condicion de ayudarte para que puedas crear tu stealer.
saludos y en los proximos dias publico la tool.
 #454016  por joselin
 25 Ago 2014, 17:16
como solo tengo internet explorer 8
te expongo lo que encontre en la web

valido solo desde ie7 hasta ie9

las contraseñas de autocompletar
se decifran desde el registro
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\IntelliForms\Storage2
¿como trabaja?
se encripta sacando el hash de la url y encriptando user y password
entonces cuando se visita la url se compara el hash y si es correcto
se desencripta user y pass y se autocompleta el formulario de login

de esta manera si no se conoce la url original no se puede desencriptar
pero podemos saber las url mas usadas y crear una herramienta
ejemplo
comparar el hash de
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\IntelliForms\Storage2

con hash de esta direccion

[ Debe registrarse para ver este enlace ]
y si son iguales
entonces desencriptar

generalmente las aplicaciones que encontre recoren el historial comparando hash
con el del registro
pero este programa:
[ Debe registrarse para ver este enlace ]
parece que lo tiene predefinido
ya que aunque borremos el historial sige desencriptando el pass.
 #454195  por broly7
 27 Ago 2014, 17:24
Te agradezco Mogollón que te hallas interestad/preocupado por esto. Y es verdad encontré lo mismo que tu, sobre analizar todo el historial para buscar un match en el HASH de la password. Pero me parece una manera fea, por posibles fallos.

Gracias de todo corazón, el de Securityxploded se guardará el secreto a la tumba me parece :D