文章讲述了:
1.浏览器加密数据具体的文件位置
homeDir + "/AppData/Local/Google/Chrome/User Data/"
用户的默认profile文件为Default,该目录下存储着浏览器的各种数据库文件。
其中主密钥文件位于数据目录下的Local State文件中,password和cookie两个数据库被该密钥加密,history无需解密可明文读取,各文件具体位置可以在本项目的item文件夹下查看。
2.浏览器加密数据使用的一些算法
windows平台下密码和cookie的加密并非直接的aes或rsa等加密,而是使用了DPAPI,DPAPI实现了用户层面的加密,即只有同一个用户调用该api时可以恢复对应的数据。而chrome这里的主密钥是经过dpapi加密的,因此只能在目标机器以对应用户的身份还原。将文件外带后本地还原是行不通的。
这也是部分情况下攻击者获取了system权限后,HackBrowserData无法还原数据的原因(另一个原因是其默认情况下是根据用户家目录搜寻数据的,system的家目录下自然没有东西)。
当然,dpapi的加密依赖于用户口令,如果攻击者直接是administrator及以上层级,能够mimikatz一把梭恢复出用户口令hash的话,也可以进行本地还原。
这句话就是说:如果只有任意文件读取的话,虽然能下载下来文件,但是无法解密。
3.如何绕过EDR的防护去导出数据
这里使用了chrome的devtools去实现的操作:让浏览器自己把自己的这些东西弄下来,具体的操作看原文。
https://mp.weixin.qq.com/s/cwA4yBqvp_uf2nudtTLIaw