概述
在Windows系统中,Google Chrome的配置文件存放在%LocalAppData%目录下。只有一个账号的数据存储目录:
C:\Users\xxxxx\AppData\Local\Google\Chrome\User Data\Default
该路径下的主要文件:
Bookmarks Cookies History Login Data QuotaManager Shortcuts Top Sites Web Data
用winhex打开,其中,Bookmarks(书签) 是JSON文件,而且是明文存储。
{
"checksum": "483389db8b8adcb356227e06ee6d533a",
"roots": {
"bookmark_bar": {
"children": [ {
"date_added": "13286008493612852",
"guid": "50589c41-c552-4e29-a407-8e8a401ec4ff",
"id": "5",
"name": "Site administration | Django site admin",
"type": "url",
"url": "http://127.0.0.1:8000/admin/"
} ],
"date_added": "13285924453837021",
"date_modified": "13286008493612852",
"guid": "00000000-0000-4000-A000-000000000002",
"id": "1",
"name": "书签栏",
"type": "folder"
},
"other": {
"children": [ ],
"date_added": "13285924453837056",
"date_modified": "0",
"guid": "00000000-0000-4000-A000-000000000003",
"id": "2",
"name": "其他书签",
"type": "folder"
},
"synced": {
"children": [ ],
"date_added": "13285924453837072",
"date_modified": "0",
"guid": "00000000-0000-4000-A000-000000000004",
"id": "3",
"name": "移动设备书签",
"type": "folder"
}
},
"version": 1
}
除了 Bookmark 是JSON文件外,其他都是SQLite3文件。
历史记录分析
History 是SQLite3 文件,可以用Python脚本读取,也可以直接用 Navicat 直接打开,Python脚本:
import sqlite3 db_file_path = './History' sql = 'select name from sqlite_master where type="table" order by name' # 查询所有表格 sql = 'pragma table_info(downloads)' # 查询表格字段 conn = sqlite3.connect(db_file_path) cursor = conn.cursor() cursor.execute(sql) # 接收全部返回结果 for data in cursor.fetchall(): print(data)
-
表格
('downloads',) ('downloads_slices',) ('downloads_url_chains',) ('keyword_search_terms',) ('meta',) ('segment_usage',) ('segments',) ('sqlite_sequence',) ('typed_url_sync_metadata',) ('urls',) ('visit_source',) ('visits',) -
downloads 表
文件下载记录
主要字段:
其中 start_time 和end_time 都是微秒级别的时间戳,转化是需要先除以10^6
>>> import time >>> start_time = 13286256367986952 >>> time.strftime("%Y-%m-%d %X",time.localtime((start_time / 1000000) - 11644473600)) '2022-01-10 10:46:07' -
urls表
记录所有访问过的链接的地址、页面标题、访问次数以及最后访问时间
通过 History 文件分析,可以获取到用户的浏览记录、下载记录,甚至可以进一步分析出用户的喜好。
登录信息分析
主流浏览器都有记住密码到本地的功能,该功能方便用户管理不同网站的密码,无需记忆,可以保存到本地,甚至通过账号可以实现多设备同步。
存储登录信息的文件为Login Data,是 SQLite3 文件,用Python脚本读取
import sqlite3 db_file_path = './Login Data' conn = sqlite3.connect(db_file_path) cursor = conn.cursor() cursor.execute( 'select username_value, password_value, signon_realm from logins') # 接收全部返回结果 for data in cursor.fetchall(): print(data)
('Hillstone', b'\x01\x00\x00\x00\xd0\x8c\x9d\xdf\x01\x15\xd1\x11\x8cz\x00\xc0O\xc2\x97\xeb\x01\x00\x00\x00\xdc\x8cEq;\x07!H\xba+8\xaaF0\xe3\xe2\x00\x00\x00\x00\x02\x00\x00\x00\x00\x00\x10f\x00\x00\x00\x01\x00\x00 \x00\x00\x00P\xa86x\x97\x82!U\xbbS\xe6\x85\xc3\xc8\x87\xff@\x1e\xdd\x93\xf8\x9c\x16\x91\xdc\x9b&\xac\xc0\x0b\xfb&\x00\x00\x00\x00\x0e\x80\x00\x00\x00\x02\x00\x00 \x00\x00\x00\xbaf\x18\xbe\xc0_S\xe7\xa8\xd9@\xbf\xb9\x89\xd6nV\xdc\x1c,\xd3\xdf\xbb\xfc\x00\x8c\x80\xb6\x94\x15\x0f\xf1\x10\x00\x00\x00"P\xd5\xb9\xaeA\x994f\xad\xf5aJ\x07f\x0c@\x00\x00\x00\x13\xf9\xf2\xe5s\x07\xf1nla\xd9#W\xdbE\x8b{g\xb4\xe7\xd6e\x1f\x1em\x1d\x81\x7f3c\xf5\x14\xbc\x8b\xbfH\xad\x9a\xbe\\\xa4\xe8\x80\x04\x8f~F\xdb\xbe.\xbf%\xdb\xc0\xa3\xc1\xcb,\x17\x03\x99\x98D^', 'http://127.0.0.1:8000/')
其中 password_value 字段被加密,使用的是 Microsoft的数据保护API(DPAPI)
引用的知识点
从Windows 2000开始,Microsoft随操作系统一起提供了一种特殊的数据保护接口,称为Data Protection Application Programming Interface(DPAPI)。其分别提供了加密函数CryptProtectData 与解密函数 CryptUnprotectData 以用作敏感信息的加密解密。
其用作范围包括且不限于:
IE、Chrome的登录表单自动完成
Powershell加密函数
Outlook, Windows Mail等邮箱客户端的用户密码。
FTP管理账户密码
共享资源文件夹的访问密码
无线网络帐户密钥和密码
远程桌面身份凭证
EFS
EAP/TLS 和 802.1x的身份凭证
Credential Manager中的数据
以及各种调用了CryptProtectData函数加密数据的第三方应用,如Skype, Windows Rights Management Services, Windows Media, MSN messenger, Google Talk等。
DPAPI 采用的加密类型为对称加密,所以只要找到了密钥,就能解开物理存储的加密信息了。
chrome version 80(80.0.3987.163) 版本前可以直接通过 DPAPI 中的解密函数 CryptUnprotectData来进行解密的。
实验版本:79.0.3945.117,需要关掉 Chrome 的自动更新服务,否则回自动更新的最新版
python -m pip install pypiwin32
import sqlite3
from win32 import win32crypt
db_file_path = './Login Data'
conn = sqlite3.connect(db_file_path)
cursor = conn.cursor()
cursor.execute(
'select username_value, password_value, signon_realm from logins')
# 接收全部返回结果
for data in cursor.fetchall():
passwd = win32crypt.CryptUnprotectData(data[1], None, None, None, 0)
# print(passwd)
if passwd:
print('-------------------------')
print('[+]用户名: ' + data[0])
print('[+]密码: ' + str(passwd[1]))
print('[+]网站URL: ' + str(data[2]))
# print(data)
------------------------- [+]用户名: Hillstone [+]密码: b'admin' [+]网站URL: http://127.0.0.1:8000/
chrome version 80 (80.0.3987.163)版本后,password_value使用AES-GCM加密算法加密,加密使用的主密钥用 DPAPI 的加密函数 CryptProtectData 加密存放在Local State文件中。
Local State 实际上是一个 JSON文件,被加密的密钥存储在 os_crypt 下的 encrypted_key ,文件位置
C:\Users\xxxxx\AppData\Local\Google\Chrome\User Data\Local State
解密步骤
打开 Local State 的 encrypted_key ,解 Base64,再调用 CryptUnprotectData 解密得到 主密钥的明文,其中前五个字符为DPAPI
打开 Login Data 数据库文件,查询 password_value 字段
使用 aes-gcm 解密 password_value 字段
python -m pip install -i https://pypi.douban.com/simple/ pycryptodome
import json
from win32 import win32crypt
import base64
import sqlite3
from Crypto.Cipher import AES
# --- 文件路径配置 ---
local_state_path = './Local State'
login_data_path = './Login Data'
# --- end ---
# 获取解密后的主密钥
def get_master_key():
with open(local_state_path, 'r') as f:
local_state = json.load(f)
master_key = local_state['os_crypt']['encrypted_key']
# print(key)
master_key = base64.b64decode(master_key)
master_key = master_key[5:] # removing DPAPI
master_key = win32crypt.CryptUnprotectData(master_key, None, None, None, 0)[1]
return master_key
# 调用解密方法
def decrypt_payload(cipher, payload):
return cipher.decrypt(payload)
# 实例化解密器
def generate_cipher(aes_key, iv):
return AES.new(aes_key, AES.MODE_GCM, iv)
# 解密密码字段,参数是密码的密文和主密钥
def decrypt_password(encrypted_password, master_key):
# 密文的3-15是iv,剩下的是密文
iv = encrypted_password[3:15]
payload = encrypted_password[15:]
try:
cipher = generate_cipher(master_key, iv) # 实例化解密器
decrypted_pass = decrypt_payload(cipher, payload) # 调用解密方法
decrypted_pass = decrypted_pass[:-16].decode() # 去掉后缀字节
# print(decrypted_pass)
return decrypted_pass
except :
return "Chrome version < 80.0.3987.163"
if __name__ == '__main__':
# 1.获取主密钥
master_key = get_master_key()
print(master_key)
# 2.打开 Login Data 数据库文件,查询 password_value 字段
conn = sqlite3.connect(login_data_path)
cursor = conn.cursor()
try:
cursor.execute('select username_value, password_value, signon_realm from logins')
for data in cursor.fetchall():
# print(data)
encrypted_password = data[1]
# 3. 解密密码字段
decrypted_password = decrypt_password(encrypted_password, master_key)
# print(decrypted_password)
print("Username:" + data[0])
print("Password:" + decrypted_password)
print("Username:" + data[2])
print("------------------------------")
except:
print("Fail: 数据库查询失败!")
# 关闭连接
cursor.close()
conn.close()
无痕模式
现代网络浏览器,大多数都增加了隐私浏览模式来浏览网页,其目的在于保护用户隐私。在Chrome浏览器中,称之为无痕模式.
简而言之,无痕模式只是在本地不会保存浏览记录、Cookie、表单中填写的信息。同时,还有阻止第三方 Cookie功能。
第三方Cookie
第三方Cookie是由用户当时所访问的域以外的域创建的Cookie,主要用于跟踪和在线广告目的。
隐私功能的局限性:
-
关闭窗口时,并不会删除无痕模式下载的文件
-
添加的书签正常保存
-
不会阻止服务端获取定位
-
ISP (Internet 服务提供商)和出口(如学校、公司)可以获取上网活动,即无痕模式连IP都无法屏蔽
在无痕模式下,用户不登陆访问网站,服务端还能否区分不同的用户?
实验:
正常模式下访问 nothing private,输入表示字段
使用无痕模式再次访问网站,输出标识字段
抓包分析:
在提交标识字段的时候,还提交了另一个 finger 参数
使用无痕模式访问时,会带着 finger 参数,也就能识别出用户
像常见的MAC地址等,一般都需要特殊权限才能访问,而Server一般可控的只有前端代码。
finger 参数是根据什么生成的?它是否能作为唯一的用户标识?
浏览器指纹
浏览器指纹是指仅通过浏览器的各种信息,如 CPU 核心数、显卡信息、系统字体、屏幕分辨率、浏览器插件等组合成的一个字符串,就能近乎绝对定位一个用户,就算使用浏览器的隐私窗口模式,也无法避免。
这是一个被动的识别方式。也就是说,理论上你访问了某一个网站,那么这个网站就能识别到你,虽然不知道你是谁,但你有一个唯一的指纹,将来无论是广告投放、精准推送、安全防范,还是其他一些关于隐私的事情,都非常方便。
Nothing Private 使用 ClientJS(用纯 JavaScript 编写的设备信息和数字指纹)的浏览器指纹识别功能来获取 Web 浏览器的指纹,通过 getFingerprint 方法,获取 UA、cookie、本地存储、canvas 指纹等信息,再经过Murmur Hash算法进行加密。
MurmurHash 是一种非加密型哈希函数,适用于一般的哈希检索操作。
无痕模式检测
在 Chrome76之前,由于 FileSystem API 在无痕模式下被禁用,而正常访问时存在,利用此差异可以用来检测用户是否使用无痕模式浏览网站,有些网站还会阻止这类用户的访问。检测 Javascript:
const fs = window.RequestFileSystem || window.webkitRequestFileSystem;
if (!fs) {
console.log('check failed?');
} else {
fs(
window.TEMPORARY,
100,
console.log.bind(console, 'not in incognito mode'),
console.log.bind(console, 'incognito mode')
);
}
后来 Google 修复了该漏洞,但是导致了另外两种检测方法:
-
基于文件系统大小
安全研究人员 Vikas Mishra发现,Chrome 隐身模式和非隐身模式之间存储配额存在区别,如果临时存储配额<= 120MB,那么可以肯定地说它是一个隐身窗口。
实验版本:79
if ('storage' in navigator && 'estimate' in navigator.storage) {
const { usage, quota } = await navigator.storage.estimate();
console.log(`Using ${usage} out of ${quota} bytes.`);
if (quota < 120000000) {
console.log('Incognito');
} else {
console.log('Not Incognito');
}
} else {
console.log('Can not detect');
}
-
通过访问时间检
在读取和写入数据时,内存文件系统总是比磁盘文件系统快。在无痕模式下,Chrome 会将写入 API 的数据存储在内存中,而不是像在正常模式下那样将数据持久化到磁盘。
在 2018 年 3 月的设计文档中,Chrome 确定了基于时间和文件系统大小检测隐私模式的风险,并进行了替代实现:只将元数据保存在内存中,并加密磁盘上的文件。这将解决网站使用时间来区分内存和磁盘存储的风险,并消除基于文件系统大小和文件系统类型(临时与持久)的差异。
虽然它可以抵御隐私模式检测,但它会留下元数据:即使数据本身无法解密,但是也能作为使用无痕模式的判断依据。
题外话
初入计算机行业的人或者大学计算机相关专业毕业生,很多因缺少实战经验,就业处处碰壁。下面我们来看两组数据:
- 2023届全国高校毕业生预计达到1158万人,就业形势严峻;
- 国家网络安全宣传周公布的数据显示,到2027年我国网络安全人员缺口将达327万。
一方面是每年应届毕业生就业形势严峻,一方面是网络安全人才百万缺口。
6月9日,麦可思研究2023年版就业蓝皮书(包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》)正式发布。
2022届大学毕业生月收入较高的前10个专业
本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中,本科计算机类专业起薪与2021届基本持平,高职自动化类月收入增长明显,2022届反超铁道运输类专业(5295元)排在第一位。
具体看专业,2022届本科月收入较高的专业是信息安全(7579元)。对比2018届,电子科学与技术、自动化等与人工智能相关的本科专业表现不俗,较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼,已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。
“没有网络安全就没有国家安全”。当前,网络安全已被提升到国家战略的高度,成为影响国家安全、社会稳定至关重要的因素之一。
网络安全行业特点
1、就业薪资非常高,涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万!
2、人才缺口大,就业机会多
2019年9月18日《中华人民共和国中央人民政府》官方网站发表:我国网络空间安全人才 需求140万人,而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W,现在从事网络安全行业的从业人员只有10W人。
行业发展空间大,岗位非常多
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…
职业增值潜力大
网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。
随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图 
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
(都打包成一块的了,不能一一展开,总共300多集)
因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取
2142
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
