帮酷LOGO
  • 显示原文与译文双语对照的内容
Fileless web browser information extraction

  • 源代码名称:BrowserGather
  • 源代码网址:http://www.github.com/sekirkity/BrowserGather
  • BrowserGather源代码文档
  • BrowserGather源代码下载
  • Git URL:
    git://www.github.com/sekirkity/BrowserGather.git
  • Git Clone代码到本地:
    git clone http://www.github.com/sekirkity/BrowserGather
  • Subversion代码到本地:
    $ svn co --depth empty http://www.github.com/sekirkity/BrowserGather
    Checked out revision 1.
    $ cd repo
    $ svn up trunk
  • BrowserGather

    用Fileless提取敏感浏览器信息

    这个项目将包括各种 cmdlet,用于从最受欢迎的web浏览器中提取凭证。历史记录和 cookie/会话数据,最受欢迎的网页浏览器。 目标是完全在内存中执行这种提取,而不需要触摸受害者的磁盘。 目前支持 Chrome 凭据和cookie提取。 有关更多信息,请访问我的博客 sekirkity.com 。

    命令行指令

    首先,导入模块:

    import-module. BrowserGather.ps1

    接下来,对要执行的提取使用 cmdlet 。 支持以下功能:

    获取 chromecreds

    从SQLite数据库中提取凭据。 可以指定的可选路径。 例如SQLite数据库可能存储在像"配置文件 1"这样的配置文件文件夹中,而不是"默认值"。

    Get-ChromeCreds"C:UserssekirkityAppDataLocalGoogleChromeUser DataProfile 1Login Data"

    强烈建议对返回到"格式列表"cmdlet的对象进行管道处理:

    Get-ChromeCreds | format-list *

    获取 chromecookies

    从SQLite数据库中提取cookie信息。 可以指定的可选路径。

    Get-ChromeCookies"C:UserssekirkityAppDataLocalGoogleChromeUser DataProfile 1Cookies"

    强烈建议对返回到"格式列表"cmdlet的对象进行管道处理:

    Get-ChromeCookies | format-list *

    已知问题

    • 必须在试图提取它的Chrome 信息的同一用户的上下文下运行这里脚本。 这是由于来自数据保护API的加密blob的解密。 当你将你的特权提升到受害者机器上的系统时,记住espescially是很重要的。 可能有一些方法,但是超出了这个项目的范围。
    • 有可能出现 正规表达式 缺失,espescially用于 Chrome cookie提取。 如果发生这种情况,提取的信息可能会出现顺序错误,或者根本不。 有建立检查以尝试并确定何时发生,请注意错误消息。 如果你认为你遇到了 正规表达式 错误,请给我发送sql埚数据库文件,以便修复( 如果可能的话) 。
    • 对于 Chrome cookie提取,一旦SQLite数据库达到一定数量的Cookies ( 大约 400 ),少量加密的blob将被存储在不连续的数据库中。 这样就不可能通过 正规表达式 来提取它们。 这意味着大约 1%的cookie提取将失败,并且它们的blob将被错误消息替换。 99%的时间不应该是问题。
    • 提取的某些数据需要手动排序。 在 Chrome cookie提取过程中,cookie信息显示为主机名+ NAME + 路径。 遗憾的是,没有简单的方法可以以与 正规表达式 分隔这些信息,但是应该是faily轻松的。

    路线图

    在某个时候,我会考虑合并 Firefox/IE,现在休息一下。

    确认




    Copyright © 2011 HelpLib All rights reserved.    知识分享协议 京ICP备05059198号-3  |  如果智培  |  酷兔英语