《2024获取浏览器相关敏感信息.docx》由会员分享,可在线阅读,更多相关《2024获取浏览器相关敏感信息.docx(11页珍藏版)》请在课桌文档上搜索。
1、获取浏览器相关敏感信息当我们获取特定用户的计算机权限后,为了深入分析目标的业务逻辑(浏览器访问行为),从而定位我们感兴趣数据或系统的位置,可以尝试收集该用户常用浏览器的访问书签、访问记录、cookie、保存的密码等敏感信息。0x00获取ChrOme浏览器保存的敏感信息OxOOa获取书签信息chrome浏览器的用书签保存在C:UserstestAppData1.ocalGoogleChromeUserDataDefaultBookmarks,该文件为json格式的文本文件,通过分析用户的书签,可以确定用户常访问的网站,从而找到可能存在关键数据的网站系统。本文均以test用户为例进行讨论OxOOb
2、获取访问记录ChrOme浏览器的用户访问记录保存在C:UserstestAppData1.ocalGoogleChromeUserDataHefauKHistory的UrIS表中,该文件为SQlJte数据库文件,可以使用SQliteStiJdio打开直看。ASQUteStMdio(3.3.J)EurH(toseStaictureVwTOeUHdp0A1ouF-XZ三OC三MW9X3。tB的累触发23IO1.V1Hi*tey(SQUteJ)2,T皿”(12)CrHviwFcrwiBQ-OOOQQiQO.MXM帆IX3T.Ttlr广v*14sUvltitleI1ChgmesoUCSDN-WlbTR
3、*t三ft1typ4a,catAtl*twvisatwtiaHidiM013266137266724072匚3mloU,aict22h*tpspasspo匚knr1.r悟金44hctpsvww.b*idu1.55tppMpoftcdnzwVHA三三401326613753eS42C0066ht*mw.bduxort.burp4ueSP)S停止.三511W10132661M9M872071?7kctpswww.bduQViHMW99hetp1,threatbook.crv5/.-IXW2013266131W60117EfttE1010hnptJMhrtbookWvR一i三11亍In11ktp$y
4、/27.152.ia5.l20/403Forbidden110132661462124918311326614625O16M261212EgUB笈电至同安全!M*.河晦至31U26612921OM7可以使用上网行为分析工具对C:UserstestAppData1.ocalGoogleChromeUserDatamefauRHistory”文件进行分析,研究用户的浏览器使用规律、常访问网站等言息,从而找到可能存在关键数据的网站系统、制定针对该用户的进一步分析利用方案。页面访问停留总时间排名编号停留时间网页地址1250小时2250小时https:/thunlpGNNPapers3230小时http
5、s:/juejin.impost5a672Ibd5125733201c4a24180小时https:/5170小时https:/6170小时7160小时140小时9140小时https:/arxiv.org/abs/1809.0567910130小时https:/11130小时http:/39.106.118.77/12120小时.-.-OxOOc获取保存的密码ChrOme浏览器会将用户保存的密码储存在C:UserstestAppData1.ocalGoogleChromeUserDataXDefauItX1.oginData的IoginS表中,该文件为SQ1.ite数据库文件,可以使用SQI
6、iteStUdiO打开查看。SQUieSiudbo(MJ)1109mDMfQtebmwcr100kPaSSWOr(1.VaIUe字段即为用户保存密码的密文,ChrOme浏览器不同版本的浏览器对应的加密方式不同。在80之前的版本,密码使用DPAPI加密;在80.x之后的版本,使用AES-256-GCM进行加密。也可以通过密文格式来判断加密方式,如果密文以“v10”或“v1T为前缀,则代表对应的加密方式为AES-256GCM.80.x之前在线获取密码可以使用神器mimikatz获取Chrome浏览器保存的密码,需要以test用户权限执行命令:mimikatz.exelogdpapi:chrome/
7、in:C:UserstestAppData1.ocalGoogleChromeUserDataDefaultMoginData/unprotectexit80.X之前离线获取密码ChrOme储存的明文密码时使用WindoWS提供的DPAPI进行对称加密来保证安全性。加解密的密钥称为masterkey有目标用户明文密码的情况首先我们需要定位解密ChrOme数据库对应的MaSterKey文件。使用Python脚本读取1.OginData并保存到文件中,代码如下:fromosimportgetenvimportsqlite3importbinasciiconn=sqlite3.connect(1.o
8、ginData)cursor=conn.cursor()cursor.execute(SE1.ECTaction-url,username_value,password_valueFROMlogins,)forresultincursor.fetchall():print(binascii.b2a_hex(result2)f=open(test.txt,wb,)f.write(result2)f.close()脚本执行后,提取1.oginData中保存的密文,保存为test.txt获得该密文对应的MaSterKeyfile,mimikatz命令如下:mimikatz.exedpapi:blob
9、/in:test.ttexit获彳导又寸应guidMasterkey为alllb0f6-b4d7-40c8-b536-672a8288b958mimikatzttdpapi:blot)/in:c:ltest.txt*B1.OB*dwVersion00000001-1guidProviderdf9d8cd0-1501-lldl-8c7a-00c04fc297eb)dwMasterKeyVersion00000001-1guidMasterKealllb0f6-b4d7-40c8-b536-672a8288b958)dwFlags00000000-0()dwDescription1.en00000
10、002-2SzDescriptionalgCrpt00006610-26128(CA1.G_AES_256)%dwAlgCrypt1.en00010-256dwSalt1.en00000020-32pbSaltC5b242bce8a08ba6e83376b0120fa28e88430a2ccd5e58e3f30665bd0900ebadwHmacKey1.en00000000-0pbHmackKeyalgHash0000800e-32782(CR1.G_SHA_512)dwAlgHash1.en00000200-512dwHmac2Ke1.en00000020-32PbHmdCk2Keyadf
11、c4f753f2flf61dfe6042907dl0937e7db4abfeb407cabfa64f67192a8b95dwData1.en00000010-16pbData790249db2e4a74f755c44a27b5f39f2adwSign1.en00000040-64pbSign6efflc8bd30fl8600b3944e9ba8d31b7512155aea77ad3d4f5f76ec7Cd60535ce4eaeb5ac0b7d53ab99f98b04621ae56f5a6766709a293077730365fb7c05ef即MaSterKeyfile的路径为%APPDATA%
12、MicrosoftProtect%SID%alllb0f6-b4d740c8-b536-672a8288b958MaSterKey保存在MaSterKeyfiie中,使用用户密码的SHAl密文加密(NT1.MhaSh使用MD4力口密),所以获取到用户的NT1.Mhash并不能解密MaSterKeyfile获取MaSterKey。在获取目标用户明文密码的情况下可以使用ChromePaSS离线获取Chrorne保存的密码C解密需要获得三部分内容:1 .加密密钥(即MaSterKey文件),位于appdata%MicrosoftProtect下对应Sid文件夹下的文件2 .数据库文件1.OginDa
13、ta(C:UserstestAppData1.ocalGoogleChromeUserDataXDefauItX1.oginData)3 .用户明文的密码,用于解密加密密钥由于ChrOmePaSS程序的设计问题,以上文件需要组成特定格式,子目录格式如下:AppData1.ocalGoogleChromeUserDataDefault1.oginDataAppDataRoamingMicrosoftProtectsid下保存key文件sid必须同原系统的对应例如子目录格式如下:C:l23di*ZsZb/a:aC:123XAppData1.ocalGoogleChroneUserDataDefau
14、lt1.ogi11DataC:123ppDataRoaningMicrosoftProtectS-l-5-21-3453529135-4164765056-1075703908-1001329c4147-0011-4ad6-829d-e32dcbdlbbd?使用ChrOmePaSS选择该目录,填入用户明文密码,如下图没有目标用户明文密码的情况在没有用户明文密码的情况下,无法从MaSterKeyfile中获取MaSterKey,但是可以从ISaSS进程内存中提取MasterKeyo可以直接使用mimikatz获取MaSterKeymimikatz.exePriVilege:debug(需要管理员
15、权限)sekurlsa:dpapiexit如下图mimikatzWprivilege:debugPrivilege20OKmimikatzHsekurlsa:dpapiAuthenticationSessionUserNameIdIDomain1.ogon1.ogonSIDServerTime00000000-GUID*Time*MasterKey0;18500103(00000000:011a4a07)InteractiMefrom2ba-PCA-PC20182J-.22:43:28S-l-5-21-2884853959-2080156797-250722187-1002alllb0f6-b
16、4d7-40c8-b536-672a8288b958)2018/2/1422:57:14666638cbaea3b7cfldc55688f939e50eal002cded954aldl7d5fe0flJC90b7dd34677acl48aflf32caf828fdf7234bafbel4b39791b3d7e587176576d39c3fa70*Shdl(key):a3328800883339d6206ca972c97fcbe6c09728ee提取出MaSterKey为666638cbaea3b7cfldc55688f939e50eal002cded954aldl7d5fe0fbc90b7dd
17、34677acl48aflf32caf828fdf7234bafbel4b39791b3d7e587176576d39c3fa70如果无法确保在目标环境上运行mimikatz不被发现,也可以使用proCdUmP等工具导出ISaSS进程内存,然后将文件下载回本螃取MaSterKey(与离线获取用户密码的方式一样)o导出ISaSS进程内存同样需要管理员权限:PrOCdUmp.exe-accepteula-maIsass.eelsass.dmp使用mimikatz加载dmp文件,获取MaSterKey:mimikatz.exesekurlsa:minidumplsass.dmpsekurlsa:dp
18、api通过以上两种方式获取到MaSterKey后就可以使用mimikatz离线获取ChrOrne保存的密码。mimikatz.exelogdpapi:chrome/in:,C:UserstestAppData1.ocalGoogleChromeUserDataDefault1.oginData/unprotect/masterkey:666638cbaea3b7cfldc55688f939e50eal002cded954aldl7d5fe0fbc90b7dd34677acl48afIf32caf828fdf7234bafbel4b39791b3d7e587176576d39c3fa70exit
19、80.X之后获取密码如上图所示80以后版本的Chrome使用原始密钥对密码明文进行了AES-256-GCM加密,并将原始密钥经过DPAPl力口密后储?了C:UserstestAppData1.ocalGoogleChromeUserDataX1.ocaIState文件的ebcrypted_key中。该文件为json格式的文本文件。T上elsctE31n:easy_unlock.proximity_requiredn:false),Mhardware_acceleration_mode_previous:true,incompatible_applicationsn:ESETSecurity*:
20、nallow_load*:true,nmessage_urlM:,Mregistry_is_hkcun:false,registry_key_path:,SOFTWAREMicrosoftWwindowswcurrentversionWUninstallWB489BC2D-0079-4631-97BF-CA2378299D43)nrnregistry_wow64_accessn:256,type*:0),legacy:profile:(name11:migrated:true,nnetwork_time:netWortimeapping:,localn:1.624719465750009e+1
21、2,network:1.624719465415e+127nticks:893989786O59Truncertainty:421993.0),origin_trials:(“disabled.features1*:SecurePaymentConfirmation),oscrypt:,encrypted_key,*:RFBBUEkBAAAAOIydSwEV0RGMegDAT8KX6wEAAABMy6F9hR1.tQp4ZoWiw7Nq6ZkAAAAAIAAAAAABBmAAAAAQAAI7kAAAKOEz61.Djli0GsoRlMSftWaRWG5RKkPaymMENqzBznAAAAAA
22、6AAAAAAgAAIAAAACbqxciGgiufICrTunKe3x6nc7mzfJZfHQAhWH0SX4vMAAAAGHMpIKViNbtNnZfSQZ1.HfjqP8Dy9xZOxnCOuChacRmTe8mzyThPwOUSjHQnlloUAAAACQxnwlGylVRCgW1.p8zjKCtCrhiWymY4utWa2g4工gtAkk85fsxk7IMdCECVrXB8H6p3G1.+DDu6nwh+31.y01),password_manager:,我们想要获取密码明文就需要先从json文件中获取ebcryPteC1.key.然后调用DPAPl进行解密获取原始密钥,再通过AES
23、-256-GCM解密获取明文密码。新版mimikatz支持了80.x之后的ChrOme密码的获取,只需要添加/state:1.ocalState文件”即可。例如在线获取保存的密码的命令为:mimikatz.exelogdpapi:chrome/in:C:UserstestAppData1.ocalGoogleChromeUserDataDefaultX1.oginData/state:,C:UserstestAppData1.ocalGoogleChromeUserData1.ocalState/unprotectexitOxOOd获取COokieCOokie通常也叫做网站COokie、浏览器
24、COOkie或httpcookie,保存在浏览器端,它可以用来做用户认证、服务器校验等使用文本数据可以处理的问题。cookie机制可以弥补http协议无状态的缺点,在SeSSion出现之前,很多网站都采用CoOkie来跟踪会话。cookie实际是一段文本信息,当客户端请求服务器时,如果服务器需要记录该用户状态,response就向客户端颁发一个cookie,客户端会把cookie保存起来,浏览器再次请求该网站时,客户端连同该cookief给服务器,服务器检查该Cookie以辨认用户状态。当我们确定用户拥有某个我们感兴趣的网站凭证,但是无法获取到用户保存的密码或者网站使用二次验证,我们就可以尝试
25、窃取用户的cookie来模拟用户的请求行为,此时服务器无法辨别客户端的请求来自用户还是攻击者,我们就获取了目标用户的账号控制权。ChrOme浏览器的COOkie保存在C:UserstestAppData1.ocalGoogleChromeUserDataDefaultCookies,该文件为SQ1.ite数据库文件,可以使用SQliteStUdi。打开有看。三三三ii2tKi*wMtt46*m*riHMJbCCOUMT.tRSS/10t16*S2416M3,-1/nwoooooo001UMlMeU411Wt11T0n*,y/13016HfiOT9MM001WtMM4HWI11.I-NV2DG5
26、-59BJUOUC/0。14tMM24MM11110SfjW7M6/1MM211MMM)001MW1MW241MU111roP.*w)*4E.O.bedGl4Mc-f3,6MWOOooO00IUe6,f11r”./1M97eTM*J000000001UC61M0U41WSOt1Tg*gy-/1U977M*mC000001U1MW41HWI1,70.d.m1.R*.*BOUPO/142?52OM200000000Iea”Gw./nai)6MMco00IUMlMMMUMI1ImJl2z11uq*/八acooo001UM1M0U411M1111ftnX1.,g*QytCOOK.suM/1M7MTOM
27、OOOO001UM1S4M241M11TO1&(-”-Bwnodjo,IuaiMmroooooo001Ue61M6Ul42014t112N6F-MWd.*M291V1CM*TOOOOOO001UC41M0V1W1O11%10*jU.69f-“yM)Cj1THdrmmMencrypteC1.VaIUe即为力密后的COOkie值密文,加花方式同ChrOme保存的密码,可参考上文进行获取。例如在线获取80.x版本之前的ChrOme保存的Cookie信息可以使用mimikatz以test用户权限执行如下命令:mimikatz.exeIogdpapi:chrome/in:C:UserstestAppDa
28、ta1.ocalGoogleChromeUserDataDefaultXCookies/unprotectexit0x01获取firef。X浏览器保存的敏感信息默认情况下,firefox浏览器的用户配置信息保存在C:UserstestAppDataRoamingMozillaFirefoxProfilesxxxxxxxx.default中。其中xxxxxxxx”为8位随机字母和数字的组合,可以进入C:UserstestAppDataRoamingMozillaFirefoxProfiles文件夹进行查看。0x01a查看基本信息命令行下查看firefox版本信息的方法:type,C:Progra
29、mFilesXMozillaFirefOXapplication.inifindstrVer#或者typeC:ProgramFiles(86)MozillaFirefoxXapplication.iniIfindstrVer判断FirefoX浏览器版本:64位FirefoX浏览器的默认安装目录为C:ProgramFilesXMozillaFirefox32位FirefOX浏览器的默认安装目录为C:ProgramFiles(86)MozillaFirefoxOXOlb获取书签信息firefox浏览器的书签储存在PlaCeS.sqlite的moz_bookmarks表中,相关UR1.信息存储在mo
30、z_places表中,该文件为SQ1.ite数据库文件,可以使用SQIiteStUdi。打开查看。WSQ1.XeStudio(13.3)-jF-KKZ:2一二二CS9X编仲新搦n三*aM的发aDO1.P143(SQlitt3)、r-TiM”(三)GridivaaOit4u.ITtdrw*1*4:13I二*.aaattribt,广M.tan1a11tyrparj%tA44lstik4ii4Ki415820348743000016249026933770root(Fajb4S,222N.:10menuNU1.1.1582034874MmOoO1582034874741000menuBK332V.1
31、1toolbarWU1582034874X)60003490283377000toolbar_“Initai(三)J三1.(MJb4tl41c4广.Jkistryvititf1.ttry*I-442WU12togsNUU1203474J0600012034874J06000565662NUU1213Unfiwd4mobile15820347430000158203474727000UMiud_1S8203487449B01582034874727000mobile772M一,20MozM.Firefox15820348747410001582034S74741000IUTJfFSHMdEk88
32、1170IWyWW1582034747410001582034874741000R3y8pnRw_厂*z,rpM10ioIlH1371472-3WU15820348747410001$820348747410TEkYMxPxug15820348747410001S820348747410TuBefevnbIMv匚*zlr*12121530新手上第158203474796000158203474796000Nna1UQdbhQ9H字段g今InxtGJM%3卓ViE13131931Fecebook-logInorSignUp1624902WJ3770001624902695377000plw62v
33、MH7U3VI1M*(fviP&3“m,匚.ttrto.*,CAU*,Cr4rH.ltiCbMBurrriiU匚R*U*F匚3S*.*,ljB4fi*0x01C获取访问记录firefox浏览器的用户访问记录保存在PIaCeS.sqlite的moz_PIaCeS表中,该文件为SQ1.ite数据库文件,可以使用SQIiteStlJdio打开查看。可以使用firefox-history-spy对访问记录进行分析。Sx*ylMt.*ait.4t.41QUKy*oow,WmMMCQ1*09ISM901801K*H9000*aA*M119db251624WWHJOOONMM*M2xU181624e0M7M
34、0JO001CtfNXXwiftNO”124901107110000rWlMOO0x01d获取保存的密码解密流程1 .读取密钥文件(key4db或key3db),获得key和2(初始化矢量)2 .读取记录文件(IoginSJson或SignOnS.sqlite)的内容3 .如果未设置MaSterPassword,使用ke丽iv对记录文件中的加密内容进行3DES-CBC解密。如果设置MaSterPassword,还需要获得明文形式的MaSterPassword,才能进行解密需要获取的文件离线导出firefox保存的凭证需要获取目标计算机上的记录文件以及密钥文件。记录文件: VerSiOn大于等于
35、32.0,保存记录的文件为IOginSJson VerSiOn大于等于3.5,小于32.0,保存记录的文件为SignOnS.sqlite记录文件中,encryptedUsername和encryptedPassword是力口密的内容,解密需要获得密钥文件(key和iv)并作3DES-CBC解密。不同版本的FirefoX密钥文件的位置不同:VerSion小于58.0.2,密钥文件为key3.db-VerSiOn大于等于58.0.2,密钥文件为key4.db未设置MaSterPaSSWOrd时离线导出推荐使用fM离线获取保存的密码:py-2firepwd.py-d记录文件与密钥文件所在文件夹其它的
36、可用工具:1. WebBrowserPassViewexe2. 1.aZaane3. firefoxdecrv”4. 直接使用firefox浏览器加载配置文件firefox.exe-profile记录文件与密钥文件所在文件夹设置了MaSterPaSSWOrd时离线导出为了提高安全性,FirefoX浏览器支持为保存的密码添加额外的保护:设置MaSterPassworde设置了MaSterPaSSWord后,解密流程如下:1 .加载NetWOrkSecuritySerViCeS需要的nss3.dll2 .调用NSSJnitO进行初始化3 .调用PKll_GetlnternaIKeySIot()来获
37、得internalslot(用作iEMaSterPassword)4 .调用PKIl_CheckUserPassword()验证MaSterPassword5 .读取IOginS.json获得加密数据6 .调用PKlISDRDecrypt。进行解密设置了MaSterPaSSWOrd后,使用firefox浏览器直接加载配置文件后输入正确的MaSterPaSSWOrcl也可以获取到保存的凭证。使用工具firefoxdecrypt离线导出保存的凭证,除了需要记录文件和密钥文件外,还需要cert9db,该文件保存在与记录文件相同的文件夹中,该文件并非必须是目标计算机上的,本地的cert9.db文件也可
38、使用。将这三个文件保存在相同文件夹下,然后运行如下命令即可导出保存的凭证:echoMasterPassword,py-2firefox_decrypt.py配置文件保存路径在64位系统下,Python和FirefoX的版本需要保持一致(同为32位或者同为64位),否则会提示ERRoR-Problemsopening,nss3.dlrequiredforpassworddecryption,0x01e获取COOkiefirefox浏览器的用户访问记录保存在COokie.sqlite的moz_cookies表中,该文件为SQ1.ite数据库文件,可以使用SaIiteStIIdio打开查看。0x02其他浏览器&神器推荐出来上面提到的两款浏览器,我们在实战中可能会遇到其他的浏览器,可以在本地安装与目标相同版本的浏览器进行测试分析,制定收集浏览器敏感信息的方案。推荐两款神器:1.aZaqne可以获取二十多个浏览器的相关信息。1.aZagne使用Python编写,有较好的跨平台性,但是有时候如果目标机器上没有Py环境,我们可以把Py转换成exe扔到目标机器上运行。HaCkBrOWSerData是一个解密浏览器数据(密码|历史记录|C。Okiel书签|信用卡|下载记录)的导出工具,支持全平台主流浏览器。HaCkBrOWSerData使用g。开发,我们同样可以生成exe放在目标计算机上执行。
