攻防演练中浏览器信息收集方法记录

攻防演练中浏览器信息收集方法记录
2020-01-03 12:40:19 Author: mp.weixin.qq.com(查看原文) 阅读量:87 收藏

0x00 背景

在攻防演练或红队评估项目中，项目成果往往依赖红队队员综合渗透技能和优良的自动化工具。信息收集贯穿整个项目生命周期，如果攻方通过获取办公网终端权限，并以此为跳板突破目标单位互联网侧防线，进而对该终端浏览器程序进行信息收集的意义非常重大。攻方可从浏览器程序中可获取内网核心系统访问地址、用户名、口令、历史访问记录等敏感信息，对以上信息进行分析后，可大大提高渗透效率。

0x01 获取浏览器安装信息

获取终端或服务器权限后进行浏览器信息收集在后渗透阶段是非常有价值的，收集的信息越全面，越有助于项目进展。以下列举了Chrome、Firefox和360比较主流的浏览器安装信息，对其注册表进行分析。

Chrome

Registry KEY : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\chrome.exeName : PathType : REG_SZData : C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

Registry KEY : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Google ChromeName : InstallLocationType : REG_SZData : C:\Program Files (x86)\Google\Chrome\Application

Firefox

Registry KEY : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\firefox.exeName : PathType : REG_SZData : C:\Program Files (x86)\Mozilla Firefox

360

Registry KEY : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\360ChromeName : InstallLocationType : REG_SZData : C:\Users\Administrator\AppData\Local\360Chrome\Chrome\Application

浏览器枚举

根据以上常见浏览器安装信息，通过查询各浏览器对应的注册表项可获取浏览器安装信息，从而读取对应的可用数据，如浏览器保存的密码、浏览器历史记录等。

chrome	HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\chrome.exe
firefox	HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\firefox.exe
360	HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\360Chrome

0x02 获取浏览器保存密码

Chrome浏览器保存密码方式

测试环境：Windows Server 2008 R2 Datacenter

Chrome 版本：79.0.3945.88（正式版本）

Chrome浏览器密码默认存储路径

C:\Users\`user`\Local Settings\Application Data\Google\Chrome\User Data\Default\Login Data

Chrome浏览器密码获取

Firefox浏览器保存密码获取

Firefox的密码通过 nss3.dll 模块进行加密，使用了3DES(CBC)算法。加密后的秘钥存储在key4.db数据库和logins.json文件中。

测试环境：Windows Server 2008 R2 Datacenter

Firefox 版本：71.0

Firefox浏览器密码默认存储路径

C:\Users\`user`\AppData\Roaming\Mozilla\Firefox\Profiles\

Firefox浏览器密码获取

360浏览器保存密码方式

测试环境：Windows Server 2008 R2 Datacenter

内核版本：78.0.3904.108

360浏览器密码默认存储路径

C:\Users\`user`\Local Settings\Application Data\360Chrome\Chrome\User Data\Default\Login Data

360浏览器密码获取

0x03 浏览器历史记录获取

Chrome浏览器历史记录

测试环境：Windows Server 2008 R2 Datacenter

Chrome 版本：79.0.3945.88（正式版本）

Chrome浏览器历史记录存储路径

C:\Users\`user`\Local Settings\Application Data\Google\Chrome\User Data\Default\History

Chrome浏览器历史记录获取

360浏览器历史记录

测试环境：Windows Server 2008 R2 Datacenter

内核版本：78.0.3904.108

360浏览器历史记录存储路径

C:\Users\`user`\Local Settings\Application Data\360Chrome\Chrome\User Data\Default\History

360浏览器历史记录获取

参考文章

https://www.codeproject.com/Articles/1167954/The-Secrets-of-Firefox-Credentials

http://ftp.icm.edu.pl/packages/Hacked%20Team.git/soldier-win/Soldier/ffox_password.cpp

文章来源: http://mp.weixin.qq.com/s?__biz=MzUyNTk1NDQ3Ng==&mid=2247484884&idx=2&sn=3dc6ecc2a3847e83d320a4351619838d&chksm=fa177917cd60f00173cff1003bd74767252ebf32693854784c9a993726baef2197f98f82f027#rd
如有侵权请联系:admin#unsafe.sh