Pillager开发记录-2

本文最后更新于:2024年1月2日 晚上

Chrome系列浏览器的信息提取

Chrome浏览器的数据默认保存在 %LocalAppdata%\Google\Chrome\User Data内,此目录中 Local State文件保存了 MasterKey信息,Default目录保存了默认配置信息,如有更多配置,则保存于 Profile 数字的文件夹中

历史记录

对于每一个配置文件夹,其中的 History文件即为保存为Sqlite数据库格式的历史记录信息

img

直接读取数据库中需要的部分即可

密码

对于每一个配置文件夹,其中的 Login Data文件即为保存为Sqlite数据库格式的密码信息

img

其中,password_value列为加密数据,对于Chrome 80之前的版本,可以直接使用DPAPI解密,对于80之后的版本,则修改为AES-256-GCM加密,加密过程可以参考os_crypt_win.cc,解密时可以根据开头为v10或v11判断为新版本加密,对于新版本,password_value的开头版本号为3位,其后12位为IV。AES加密使用的key来自浏览器数据目录的Local State文件,此文件内容为json,其中encrypted_key是base64编码的key。

Cookies

对于每一个配置文件夹,其中的 Cookies文件即为保存为Sqlite数据库格式的Cookies信息,对于较新的版本,文件在 Network\Cookies路径

img

其中,encrypted_value列为加密数据,加密解密方式与上文密码部分相同,直接读取数据库中需要的部分并解密Cookies值即可。

书签

对于每一个配置文件夹,其中的 Bookmarks文件即为保存为Json数据库格式的书签信息,直接读取文件中需要的部分或直接读取全部文件内容即可。

扩展

对于每一个配置文件夹,其中的 Extensions文件夹保存了扩展程序的信息,其中可以找到 扩展ID\版本号\manifest.json文件,读取文件中name对应的值,即可获得各个ID对应的插件名。

各个扩展的数据主要保存于 Local Extension SettingsSync Extension Settings,如有需要可以直接复制文件夹并替换回本地即可(需要本地安装该插件)

Local Storage

对于每一个配置文件夹,其中的 Local Storage文件夹保存了本地存储的信息,有时只获取Cookies不足以登录网站,可以复制此文件夹替换本地文件夹即可。

项目地址

此工具开源于 https://github.com/qwqdanchun/Pillager ,欢迎大家关注和使用


Pillager开发记录-2
https://blog.qwqdanchun.com/Pillager_Forensics_2/
作者
qwqdanchun
发布于
2024年1月2日
更新于
2024年1月2日
许可协议