点击上方蓝字关注我们
建议大家把公众号“TeamSecret安全团队”设为星标,否则可能就看不到啦!因为公众号现在只对常读和星标的公众号才能展示大图推送。操作方法:点击右上角的【...】,然后点击【设为星标】即可。
免责申明
"本文档所提供的信息旨在帮助网络安全专业人员更好地理解并维护他们负责的网站和服务器等系统。我们鼓励在获得适当授权的情况下使用这些信息。请注意,任何未经授权的使用或由此产生的直接或间接后果和损失,均由使用者自行承担。我们提供的资源和工具仅供学习和研究之用,我们不鼓励也不支持任何非法活动。"
"我们创建这个社区是为了促进技术交流和知识分享。我们希望每位成员都能在遵守法律法规的前提下参与讨论和学习。如果使用本文档中的信息导致任何直接或间接的后果和损失,我们提醒您,这将由您个人承担。我们不承担由此产生的任何责任。如果有任何内容侵犯了您的权益,请随时告知我们,我们将立即采取行动并表示诚挚的歉意。我们感谢您的理解和支持。"
工具介绍
SharpWeb 是一个浏览器数据(密码|历史记录|Cookie|书签|下载记录)的导出工具,支持主流浏览器。
工具使用
-all Obtain all browser data-b Available browsers: chromium/firefox/ie-p Custom profile dir path or the path of Cookies-s Specify the path of Local State-show Output the results on the command line-zip Compress result to zip (default: false)-format Export to CSV (default) or JSON formatUsage:SharpWeb.exe -allSharpWeb.exe -all -zipSharpWeb.exe -all -showSharpWeb.exe -all -format jsonSharpWeb.exe -b firefoxSharpWeb.exe -b chromium -p "C:UserstestAppDataLocalGoogleChromeUser DataDefault"SharpWeb.exe -b chromium -p "C:UserstestAppDataLocalGoogleChromeUser DataDefaultNetworkCookies" -s "C:UserstestAppDataLocalGoogleChromeUser DataLocal State"
代码分析
打开代码到Main()函数,在接收用户参数后定位到GetIE()函数。
在GetIE()中调用了GetLogins(),IE_books(),IE_history(),开始对登录密码,书签,历史浏览数据进行爬取。
GetLogins()
先来看看GetLogins()函数,首先通过检查系统环境判断使用的那种凭据类型,再枚举凭据存储, 然后将Windows 凭据管理器中的凭据存储类型 GUID 映射成可读的名称,然后循环处理每个凭据存储,获取凭据。
在GetLogins()中,杀软主要在查杀定义的凭据存储类型GUID(凭据存储类型 GUID 映射成可读的名称)对这段代码进行编码再调用。
IE_books()
再来看一下IE_books()函数,此函数使用Environment.GetFolderPath(Environment.SpecialFolder.Favorites)函数获取用户的“收藏夹”文件夹路径,这个文件夹用于存储用户的书签和链接。获取这个文件夹下的所有.url后缀的文件,再检查获取的文件是否存在,存在的话就读取时间文件的全部再用正则匹配数据,再将URL和文件路径添加到数据列表中,进行存储JSON或者CSV文件。
IE_history()
再来看一下IE_history()函数,此函数主要是通过HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerTypedURLs注册来实现获取历史记录,这个注册表是存储用户手动输入的 URL。然后在注册表中获取每个 URL 的值,并将其转换为字符串之后进行存储。
免杀效果
-
Kaspersky
-
Microsoft Defender
-
ESET
原文始发于微信公众号(TeamSecret安全团队):【免杀】SharpWeb浏览器抓取工具 -IE篇
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论