从内存中提取浏览器和ToDesk用户凭证

0x01 工具介绍

        GhostWolf 是一个强大的内存数据提取工具，专门设计用于从浏览器和远程控制软件中提取敏感信息。本项目基于 CookieKatz 项目开发，在其基础上扩展了更多功能。

0x02 工具内容

• 浏览器 Cookie 提取

  • 支持 Chrome、Edge、Firefox 最新版本
  • 支持隐私模式下的 Cookie 提取
  • 直接从内存中读取数据，无需文件系统访问

• 浏览器密码提取

  • 支持 Edge最新版本账户密码获取

• ToDesk 信息提取

  • 支持读取 ToDesk 账户密码
  • 支持获取设备列表
  • 支持读取已保存的远程连接密码

0x03 使用方法和测试环境

测试系统

• Windows 11
• 最新版本的 Chrome、Edge、Firefox 浏览器
• 最新版本的 ToDesk

使用方式

基本用法

.GhostWolf.exe

命令行参数

浏览器相关：    /edge       获取Edge浏览器的Cookie      /pass   获取Edge浏览器保存的所有密码    /chrome     获取Chrome浏览器的Cookie    /firefox    获取Firefox浏览器的CookieToDesk相关：    /todesk     获取ToDesk凭据信息        /list   列出所有设备        /pass   列出所有设备密码其他：    /help       显示帮助信息（-h 同样可用）

注意事项

更新：

• 添加最新版Edge浏览器密码获取 135.0.3179.73 (正式版本) (64 位)

使用方式：

• GhostWolf.exe /edge /pass

注意：
账号密码如果有中文会乱码
测试环境Win11，环境不同内存结构可能有变化
如内存结构不一致（说明环境，版本号），或想添加其他版本（附对应版本应用获取链接）

0x01 工具地址

https://github.com/SickleSec/GhostWolf

原文始发于微信公众号（海底天上月）：从内存中提取浏览器和ToDesk用户凭证