窃密ps1脚本

biue

腾讯电脑管家 1X

munsimli

BD解壓殺

fdsax

best miss

LeeHS

cortex 运行失败，自动退出，也有可能是miss

略略略12138

BD

图钉鱼

wywt123 发表于 2025-6-1 10:34
https://www.virustotal.com/gui/f ... 1182e7db1912d19ecf6
https://www.virustotal.com/gui/f ... 2a8 ...

pass.py（密码提取脚本）​​：

该脚本专注于从Chromium浏览器中提取保存的密码。
支持的浏览器包括Chrome、Edge、Opera和Brave。
它首先获取每个浏览器的解密主密钥，然后读取登录数据数据库（Login Data），并解密其中的密码。
提取的密码被保存到两个文件中：一个包含所有提取到的密码（包括URL、用户名和密码），另一个只包含唯一的密码（去重后）。
输出目录可以通过命令行参数指定，默认为C:/Temp/CollectedData。



​exts.py（扩展数据收集脚本）​​：

该脚本用于收集多种浏览器中特定扩展（主要是加密货币钱包）的本地数据。
支持的浏览器包括Chrome、Edge、Opera、Brave、Vivaldi和Yandex。
它遍历每个浏览器的每个配置文件（Profile），查找目标扩展的本地存储数据（位于"Local Extension Settings"目录下）。
对于每个找到的扩展，将其整个文件夹复制到输出目录下的Extensions子目录中，并按照浏览器名、配置文件名和扩展名进行命名。
输出目录由命令行参数指定。

图钉鱼

攻击链
攻击者通过某种方式在目标机器上执行此PowerShell脚本（例如，通过钓鱼邮件诱导用户运行，或利用漏洞）。
步骤1：环境准备

选择驱动器：获取系统中可用的文件系统驱动器，并选择第一个字母驱动器（如C:\）。
创建临时目录：在选定的驱动器上创建Temp目录（例如：C:\Temp）。
设置锁文件：在临时目录下创建锁文件（script.lock），如果锁文件已存在则退出（避免重复运行）。

步骤2：获取受害者标识（公网IP）

通过访问hxxp://ifconfig.me/ip获取公网IP地址，用于标识受害者。如果获取失败则使用"unknown-ip"。
对IP地址进行安全化处理（替换特殊字符），用于后续的压缩文件名。

步骤3：设置路径和下载资源

定义相关路径：包括压缩文件路径、收集数据临时目录、便携Python目录、两个Python脚本的路径。
创建收集数据临时目录（CollectedData）。

步骤4：部署便携Python环境

从Python官网下载嵌入式Python（3.11.8）的ZIP包到系统的临时目录。
解压到指定的便携Python目录（PortablePython）。
修改Python的配置文件（python311._pth），取消注释import site，以启用site模块。
下载get-pip.py脚本并执行，安装pip。
使用pip安装必要的库：pycryptodome（用于AES解密）和pypiwin32（用于调用Windows API解密）。

步骤5：下载并执行收集脚本

从C2服务器（sdfwer234.com）下载两个Python脚本：pass.py（提取密码）和exts.py（收集扩展数据）。
执行这两个脚本，并将收集的数据保存到临时目录（CollectedData）中。

步骤6：压缩并上传收集的数据

将CollectedData目录下的所有文件压缩成ZIP文件（以处理后的IP地址命名）。
使用curl.exe将ZIP文件上传到C2服务器的upload.php接口。
如果上传成功，打印成功消息（俄语）；否则打印错误。

步骤7：清理痕迹

删除收集数据的临时目录（CollectedData）。
删除压缩文件（ZIP）。
删除两个Python脚本（pass.py和exts.py）。
删除便携Python环境目录（PortablePython）。

图钉鱼

wywt123 发表于 2025-6-1 10:34
https://www.virustotal.com/gui/f ... 1182e7db1912d19ecf6
https://www.virustotal.com/gui/f ... 2a8 ...

来了灌浆吧，打出500了