Web存储凭据

简介

微软在Windows操作系统中引入了数据保护应用程序编程接口(DPAPI)，旨在通过CryptProtectData和CryptUnprotectData函数为敏感数据（例如用户凭据）提供加密和解密机制。包括Chrome和Edge在内的现代浏览器，均采用DPAPI对存储的凭据进行加密保护。其底层机制依赖于存储在本地的主密钥，该密钥本身由用户的密码保护。解锁后的主密钥将被用于解密DPAPI加密的数据块。

查看存储凭据

在红队演练和实际攻击场景中，存储凭据的位置始终是高价值目标，因为成功攻破这些区域将可能导致对其他应用程序的访问权限提升，并促进横向渗透。因此，部署Microsoft Edge或Google Chrome浏览器存储用户凭据的组织，面临着因CryptUnprotectData API的滥用而导致的安全风险。

值得注意的是，未经授权读取浏览器存储的凭据通常不需要任何形式的提权操作，这进一步加剧了风险。此外，由于此类操作可能产生大量的系统事件，防御团队在监测和检测方面面临挑战。

用于保护DPAPI数据的关键主密钥位于C:Users[user]AppDataRoamingMicrosoftProtect[SID][MasterKey]路径中。出于安全考虑，这些文件默认情况下被标记为受保护的操作系统文件，因此通常处于隐藏状态。

攻击者可以从PowerShell控制台中执行(gc "$env:LOCALAPPDATAGoogleChromeUser DataLocal State" | ConvertFrom-Json).os_crypt.encrypted_key命令，从“Local State”文件中提取加密的密钥。

加密的密钥可以被输入到Mimikatz的dpapi::chrome模块中，以解密"Login Data"文件的内容。例如，执行dpapi::chrome /in:"%LOCALAPPDATA%GoogleChromeUser DataDefaultLogin Data" /encryptedkey:[EncryptedKey] /unprotect命令，即可解密Web存储的登录凭据内容。

SharpDPAPI

https://github.com/GhostPack/SharpDPAPI/

SharpDPAPI是一个由C#编写的开源工具，旨在操作和分析与Microsoft数据保护应用程序编程接口（DPAPI）相关的数据。它是Mimikatz的DPAPI功能的移植版本，专注于帮助用户理解和利用DPAPI的工作原理，主要用于安全审计和研究。

SharpDPAPI提供了丰富的命令行工具，涵盖用户级和系统级的DPAPI数据操作：

1.用户级操作：

• masterkeys：提取用户的主密钥。
• credentials：解析存储的凭据文件。
• vaults：解密Windows密码库。
• rdg：处理远程桌面连接文件。
• keepass：解密KeePass数据。
• certificates：提取和处理证书私钥。
• triage：综合扫描用户级DPAPI数据。

2.系统级操作：

• machinemasterkeys：检索系统主密钥。
• machinecredentials：解析系统级凭据。
• machinevaults：解密系统密码库。
• machinetriage：全面扫描系统级DPAPI数据。

3.其他功能：

• blob：解密二进制DPAPI数据块。
• backupkey：提取域控制器的DPAPI备份密钥。
• search：搜索潜在的DPAPI数据文件。

攻击者可以执行SharpDPAPI.exe masterkeys /rpc命令从域控制器解密目标用户的主密钥。

还可以使用/hashes选项以HASH格式转储主密钥的HASH值。

此外，SharpDPAPI还包含一个子项目SharpChrome，专门用于处理基于Chromium的浏览器（如Chrome和Edge）的数据提取，包括登录信息、Cookie和本地状态密钥。攻击者可以通过执行SharpChrome.exe logins命令，搜索Chrome“Login Data”文件并解密已保存的登录密码。

结语

除此之外，还有更多方法可供使用，我们将在后续提供。