[网络安全自学篇] 二.Chrome浏览器保留密码功能渗透解析及登录加密入门笔记

最新推荐文章于 2024-05-25 16:11:52 发布
最新推荐文章于 2024-05-25 16:11:52 发布
阅读量2.3w 收藏 231
点赞数 94
分类专栏: 网络安全自学篇 文章标签: 网络安全 浏览器 Chrome 渗透 漏洞挖掘
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Eastmount/article/details/98340074
版权
网络安全自学篇 专栏收录该内容
120 篇文章 3344 订阅 ¥49.90 ¥99.00
订阅专栏

最近开始学习网络安全相关知识,接触了好多新术语,感觉自己要学习的东西太多,真是学无止境,也发现了好几个默默无闻写着博客、做着开源的大神。接下来系统分享一些网络安全的自学笔记,希望读者们喜欢。
上一篇文章分享了看雪Web安全总结知识和一个异或解密的示例,本篇文章着重讲解Chrome浏览器保留密码功能渗透解析及登录加密入门笔记,结合实际例子一步步实现浏览器漏洞的挖掘。非常基础的文章,希望对入门的博友们有帮助,大神请飘过,谢谢各位看官!

下载地址:https://github.com/eastmountyxz/NetworkSecuritySelf-study
百度网盘:https://pan.baidu.com/s/1dsunH8EmOB_tlHYXXguOeA 提取码:izeb

前文学习:
[网络安全自学篇] 一.入门笔记之看雪Web安全学习及异或解密示例

前文欣赏:
[渗透&攻防] 一.从数据库原理学习网络攻防及防止SQL注入
[渗透&攻防] 二.SQL MAP工具从零解读数据库及基础用法
[渗透&攻防] 三.数据库之差异备份及Caidao利器
[渗透&攻防] 四.详解MySQL数据库攻防及Fiddler神器分析数据包

补充学习资料:
TK13大神Windows PE专栏 https://blog.csdn.net/u013761036/article/category/6401236
TK13大神Windows对抗专栏 https://blog.csdn.net/u013761036/article/category/6365454
鬼手56大神六个专栏 https://blog.csdn.net/qq_38474570/article/details/87707942
whatiwhere大神逆

了解本专栏 订阅专栏 解锁全文
Eastmount
关注
  • 94
    点赞
  • 231
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 54
    评论
专栏目录
订阅专栏
chrome-password-decrypt:解密Google Chrome浏览器的“登录数据”文件
04-06
chrome-password-decrypt 合法使用;)
Chrome-PasswordDecrypt:适用于Win32的Java Chrome密码解密
05-13
Chrome-PasswordDecrypt 适用于Win32的Java Chrome密码解密器 这是一个CLI工具,用于提取本地密码并使用Windows Data Protection API对其进行解密。 该工具仅适用于最初加密密码的系统,不能按原样远程使用。 用法:“ java -jar CompiledJar.jar” 标志是-q,-o和-s,有关更多信息,请参见-help标志。 需要JDBC和JNA / JNA平台库!
Chromepass:轻松解密Chrome保存的密码和饼干
gitblog_00075的博客
05-17 406
Chromepass:轻松解密Chrome保存的密码和饼干 项目地址:https://gitcode.com/darkarp/chromepass Chromepass是一个基于Python的命令行工具,专为Windows设计,用于解密Google Chrome、Chromium、Edge、Brave、Opera和Vivaldi浏览器中存储的密码和饼干。它的强大功能包括远程发送数据以及高度定制的选...
一秒就被盗走密码Chrome的安全措施就是摆设
IT界那些事儿
11-09 170
或者你对大厂们的服务不放心的话,也可以选择一些本地的第三方密码本软件,比如付费的 1Password 可以选择本地密码保存,或者自己搭建免费开源的 Bitwarden 服务。大家可以回忆一下咱们用 Chrome 的样子,每次自动填充密码的时候,是不是都非常 “ 无感 ” 的直接把咱们的账号和密码都填进去了。这黑客是 “ 来势汹汹 ” 啊,不但自称骇入了我的电脑设备,而且我的麦克风啊,键盘,显示器这些硬件有一个算一个,都在他的控制之下。再结合这次被朋友提醒我是邮箱的问题,于是也顺藤摸瓜的找了一下自己的邮箱。
提取 Chrome、Firefox 中储存的用户密码用于凭据发现
最新发布
CuiXY's Blog
05-25 248
【代码】提取 Chrome 中储存的用户密码用于信息发现和收集。
Chrome开发者工具(F12)分析前端加密(AES)实战
weixin_43853965的博客
07-07 6574
背景: 平时在渗透测试过程中,经常会遇到前端提交的数据是经过加密的,用burp等工具截断后无法解密,不能进行fuzz或者爆破测试(不严谨,爆破好像也算FUZZ,能看懂就行了,大佬勿笑)。今天就带来一个实战案例,用谷歌浏览器分析(逆向)前端加密过程。以便编写脚本模拟加密进行相关测试任务。如下: 登录操作–burp抓包: 分析: 1、查找绑定事件: 既然是点“登录”后前端(JS)将加密数据发送到了后端,那么这个加密行为一定是绑定在“登录”按钮的“点击事件”上的。使用元素选择器选择“登录”按钮,查找出“登录
利用google进行入侵与渗透(来自吴鲁加)
web开发自学
08-30 227
http://risker.org/tech/GoogleHacking/index.html 在google已经成为搜索引擎代名词的今天,聪明的人们不断发掘google的新用途,2004年在拉斯维加斯举行的BlackHat大会上,有两位安全专家分别作了名为You found that on google ? 和google attacks 的主题演讲。个人觉得颇为精彩,因此编译整理,简单介绍,...
chrome浏览器是如何存储密码
weixin_34273481的博客
09-26 426
Chrome浏览器获得密码难易程度:简单我们从Chrome浏览器开始。令人失望的是,chrome浏览器是最容易被提取密码的。加密后的密钥存储于%APPDATA%\..\Local\Google\Chrome\User Data\Default\Login Data"下的一个SQLite数据库中。但是是如何获转存并加密的呢?我从《谷歌Chrome浏览器是如何存储密码的》这文章...
使用Python破解谷歌Chrome浏览器存储密码
箭鱼13的CSDN空间
05-11 2237
使用Python破解谷歌Chrome浏览器存储密码 目前,谷歌浏览器80以后版本改进了用户存储在本机密码加密方式,以往的破解密码方法不可行了!以下是博主测试可行的破解方法。 采用Python,安装两个包pywin32和cryptography,可以使用pip installpywin32,pip install cryptography。具体破解代码如下: import os,json,base64,sqlite3 from win32crypt import CryptUnprotectDat..
02.Chrome浏览器保留密码功能渗透解析登录加密入门笔记pdf1
08-03
Chrome浏览器保留密码功能渗透解析登录加密入门笔记】 这笔记主要探讨了浏览器,特别是Chrome浏览器在处理用户登录时的密码保存和加密机制,以及相关的安全问题。文章以网络安全自学的角度出发,通过实例来...
TD网络优化自学笔记1.doc
06-20
TD 网络优化自学笔记 这是 TD 网络优化自学笔记的第一部分,涵盖了 TD 网络优化的基本原理、电磁场和电磁波的概念、调制方式、TD 网络结构和接口等内容。 电磁场和电磁波是 TD 网络优化的基础概念。电磁场是变化...
[网络安全自学] 六十.Cracer第八期——(2)五万字总结Linux基础知识和常用渗透命令
01-09
安全领域通常分为网络安全(Web渗透)和系统安全(PWN逆向)两个方向。Web安全想要入门容易,想成为大佬难,通常分为三个阶段,第一个阶段是脚本小子,通过弱口令等操作拿权;第个阶段是代码审计或自己写代码进行...
[网络安全自学] 六十一.PE文件逆向之数字签名详细解析及Signcode、PEView、010Editor、Asn1View等工具用法(
01-03
前文 “[网络安全自学] 五十七.PE文件逆向之什么是数字签名及Signtool签名工具详解(一)” 分享了数字签名的原理知识,这文章将详细解析数字签名,采用Signtool工具对EXE文件进行签名,接着利用Asn1View、PEVie...
Eastmount网络安全博客之各种工具及代码资源(IDA、BP、Nmap、Wireshark等)
10-11
[网络安全自学] .Chrome浏览器保留密码功能渗透解析登录加密入门笔记 [网络安全自学] 三.Burp Suite工具安装配置、Proxy基础用法及暴库示例 [网络安全自学] 四.实验吧CTF实战之WEB渗透和隐写术解密 [网络...
电子取证中Chrome各版本解密Cookies、LoginData账号密码、历史记录
toto的博客
12-13 4315
本文主要分析总结了Chrome各版本对于Cookies、LoginData登录信息以及历史记录的加解密过程,使用masterkey解密80.X以前的版本的DPAPI加密以及使用 LocalState文件对于80.X以后的版本的AES-256-GCM进行解密
Chrome之Login Data
ALakers的博客
08-25 7081
Chrome最基本的私密数据 登录记住用户名密码 登录后保存的Cookie信息 chrome浏览器的数据应该都是在:C:\Users\XXXX\AppData\Local\Google\Chrome\User Data\Default下的,里面有很多数据,最基本的就是Login Data和Cookies文件,保存了一些敏感信息(sqllite),用db工具打开就能查看,cookie文件没有加密,login data中的密码加密了,不过也可以解析 Login Data密码解析 Chromium是开源的,其
通过chrome分析知乎的登录过程学习cookie原理
aipei1887的博客
10-27 252
1.首先退出知乎登录,点击右上角的安全按钮 chrome的地址栏前面的按钮是网站信息查看按钮,可以查看网站信息,包括cookie什么的,上图已经写的很详细 点最下面的网站设置 点第一项,然后查看所有网站的cookie信息,可以在cookie搜索栏搜“zhihu” 登录之后再刷新,点13个cookie的那个,经过一段时间的摸索, 当删除z_c0这一项的...
Chrome浏览器密码数据
OKAXINA的博客
04-09 2106
昨天听同学说,在浏览器中检查,将密码所在标签的type属性值从password改为input,密码就明文出现了。我一想,也是哦,另外自己支付宝密码也保存了,突然觉得这样很不安全。于是回到宿舍第一件事情就是把浏览器保存的密码全部删除掉…… 我就纳闷了,这么严重的错误,谷歌不采取措施?出于好奇,我上网查找了Chrome密码就保存在一个文件中: %UserProfile%\AppData\Local\
chrome 定位加密
07-28
引用\[1\]:作者想继续修改input密码的属性,看看能不能显示密码。如下图所示:再次幸运,Chrome应该已经解决了该漏洞,显示空白。接着,作者尝试获取本地Chrome浏览器登录的账户信息。找到密码存储的位置,文件或者是注册表,这个时候需要开启监控工具,打开注册表和文件操作信息。然后到chrome密码管理界面,随便删除一条记录,然后看看chrome本身对哪些文件或者注册表进行了修改,推荐 TK13 大神文章。也可以直接寻找文件,通常用户名文件的存储路径为: C:\Users…\AppData\Local\Google\Chrome\User Data\Default找到下图所示的文件,Login Data。\[1\] 引用\[2\]:浏览器本机保留密码功能是非常不安全的,不推荐大家使用,不过如果你想找回密码用这种方式倒是不错。首先,在需要登录的页面上选择浏览器自动保留用户名和密码,并提交登录。接着,退出重新登录Chrome浏览器审查元素,定位密码位置。最后,将输入框input元素的type属性,从“password”修改为“text”,显示结果如下所示。\[2\] 引用\[3\]:第一步,新建连接。第步,输入连接名如“test0803”,并导入本地的“Login Data”数据。第三步,打开之后在“main”数据库中包含了三张表,其中logins为登录表。第四步,打开如下所示,比如163邮箱的用户名为我的电话,密码加密的。第五步,破解思想。想要破解一个加密算法是很难的。这学习TK13大神的文章,了解到Chrome开源的加密函数CryptProtectData和CryptUnprotectData。这对加解密函数非常特别,调用的时候会去验证本地登录身份,这也就是为什么别人的那个密码文档不能直接拷贝到我们自己chrome相关文件夹下去看的原因了。接下来是代码实现,找到开源的Sqllite3库,把数据库解析出来,然后得到密码加密数据,用CryptUnprotectData解密。注意,如果chrome开启的时候直接对这个数据库文件操作会失败,建议每次操作先把文件拷贝出来再处理。\[3\] 问题:chrome 定位加密密码的位置和破解方法是什么? 回答: 要定位Chrome浏览器加密密码的位置,可以通过找到存储密码的文件来实现。通常,用户名文件的存储路径为:C:\Users…\AppData\Local\Google\Chrome\User Data\Default,其中包含一个名为Login Data的文件。\[1\]另外,可以通过在需要登录的页面上选择浏览器自动保留用户名和密码,并提交登录,然后在Chrome浏览器审查元素中定位密码位置。将输入框input元素的type属性从"password"修改为"text",即可显示密码。\[2\] 至于破解加密密码的方法,可以参考TK13大神的文章。首先,需要新建连接并导入本地的"Login Data"数据。然后,在数据库中找到登录表(logins),其中存储了加密密码信息。破解思想是使用Chrome开源的加密函数CryptProtectData和CryptUnprotectData,这些函数在调用时会验证本地登录身份。通过解析数据库并使用Sqllite3库,可以获取到密码加密数据,然后使用CryptUnprotectData函数进行解密。需要注意的是,如果直接对Chrome的数据库文件进行操作可能会失败,建议在每次操作之前先将文件拷贝出来再进行处理。\[3\] #### 引用[.reference_title] - *1* *2* *3* [[网络安全自学] .Chrome浏览器保留密码功能渗透解析登录加密入门笔记](https://blog.csdn.net/weixin_42529890/article/details/107085623)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 54
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Eastmount

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值