Cookie-Monster:一款针对Web浏览器的安全分析与数据提取工具

于 2024-07-29 15:53:27 发布
阅读量240 收藏 3
点赞数 2
分类专栏: 工具 文章标签: 前端 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/FreeBuf_/article/details/140773232
版权

关于Cookie-Monster

Cookie-Monster是一款针对常见Web浏览器的安全分析与数据提取工具,该工具可以帮助广大研究人员提取并分析Edge、Chrome和Firefox浏览器中的Cookie数据。

Cookie-Monster适用于红队和蓝队成员,能够提取WebKit主密钥,找到具有Cookie和登录数据文件句柄的浏览器进程,然后复制句柄,并将相关数据下载并保存至本地。下载 Cookies/登录数据文件后,工具提供的Python解密脚本可以帮助提取并解密这些数据,而Firefox模块将负责解析profiles.ini并找到logins.json和key4.db文件所在的位置并下载它们。

工具要求

Mingw-w64

pycryptodome

pyasn1_modules

工具安装

由于该工具基于Python 3开发,因此我们首先需要在本地设备上安装并配置好最新版本的Python 3环境。

接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地:

git clone https://github.com/KingOfTheNOPs/cookie-monster.git

然后切换到项目目录中,使用pip3命令和项目提供的requirements.txt安装该工具所需的其他依赖组件:

cd cookie-monster

pip3 install -r requirements.txt

Linux平台下运行下列命令完成项目代码编译:

make

Windows平台下运行下列命令编译exe:

gcc .\cookie-monster.c -o cookie-monster.exe -lshlwapi -lcrypt32 -lntdll

工具使用

BOF使用

Usage: cookie-monster [ --chrome || --edge || --firefox || --chromeCookiePID <pid> || --chromeLoginDataPID <PID> || --edgeCookiePID <pid> || --edgeLoginDataPID <pid>]

cookie-monster Example:

   cookie-monster --chrome

   cookie-monster --edge

   cookie-moster --firefox

   cookie-monster --chromeCookiePID 1337

   cookie-monster --chromeLoginDataPID 1337

   cookie-monster --edgeCookiePID 4444

   cookie-monster --edgeLoginDataPID 4444

cookie-monster Options:

    --chrome  会查看所有正在运行的进程和句柄,如果其中一个与chrome.exe匹配,它会将句柄复制到Cookies/Login Data,然后将文件复制到CWD;

    --edge  会查看所有正在运行的进程和句柄,如果其中一个与msedge.exe匹配,它会将句柄复制到Cookies/Login Data,然后将文件复制到CWD;

    --firefox 查找profiles.ini并定位key4.db和logins.json文件;

    --chromeCookiePID 如果提供了chromePID,请查找具有cookie句柄的指定进程。如果已知cookie句柄,请指定PID以复制其句柄和文件;

    --chromeLoginDataPID  如果提供了chrome PID,请查找具有登录数据句柄的指定进程,指定PID以复制其句柄和文件;

    --edgeCookiePID 如果提供了Edge PID,请查找具有cookie句柄的指定进程。如果已知cookie句柄,请指定PID以复制其句柄和文件;

    --edgeLoginDataPID  如果提供了Edge PID,请查找具有登录数据句柄的指定进程。如果已知登录数据,请指定PID以复制其句柄和文件;

EXE使用

Cookie Monster Example:

  cookie-monster.exe --all

Cookie Monster Options:

  -h, --help                     显示帮助信息和退出

  --all                          运行chrome, edge, 和firefox方法

  --edge                       提取Edge密钥并下载Cookies/Login数据至PWD

  --chrome                     提取Chrome密钥并下载Cookies/Login数据至PWD  

  --firefox                      定位Firefox密钥和Cookie,不拷贝文件

解密脚本

解密Chrome/Edge Cookie文件:

python .\decrypt.py "\xec\xfc...." --cookies ChromeCookie.db

 

Results Example:

-----------------------------------

Host: .github.com

Path: /

Name: dotcom_user

Cookie: KingOfTheNOPs

Expires: Oct 28 2024 21:25:22

 

Host: github.com

Path: /

Name: user_session

Cookie: x123.....

Expires: Nov 11 2023 21:25:22

解密Chrome/Edge密码文件:

python .\decrypt.py "\xec\xfc...." --passwords ChromePasswords.db

 

Results Example:

-----------------------------------

URL: https://test.com/

Username: tester

Password: McTesty

许可证协议

本项目的开发与发布遵循GPL-3.0开源许可协议。

项目地址

Cookie-Monster:【GitHub传送门

参考资料

GitHub - lclevy/firepwd: firepwd.py, an open source tool to decrypt Mozilla protected passwords

GitHub - Mr-Un1k0d3r/Cookie-and-Handle-Stealer: C or BOF file to extract WebKit master key to decrypt user cookie

GitHub - fortra/nanodump: The swiss army knife of LSASS dumping

GitHub - login-securite/DonPAPI: Dumping DPAPI credz remotely

FreeBuf-
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
博客
“PKFail”漏洞威胁:数百万设备安全启动机制遭绕过风险
07-29 226
darkreading网站消息,攻击者可以绕过数百万基于英特尔和ARM微处理器的计算系统(来自多家厂商)的安全启动过程,因为它们共享了一个在设备启动过程中使用的、之前已经泄露的加密密钥。美国AMI公司提供的所谓平台密钥PK (Platform Key)在安全启动的个人电脑启动链中扮演信任根的角色,用于验证设备固件和启动软件的真实性和完整性。不幸的是,固件安全供应商Binarly的研究人员发现,该密钥已在2018年的一次数据泄露事件中被曝光。
博客
NimScan:一款运行效率极高的端口扫描工具
07-26 794
NimScan是一款运行效率极高的网络安全工具,该工具基于Nim语言开发,集网络扫描、端口扫描和主机发现等功能于一身,支持快速扫描目标网络的活动主机,识别开放端口和服务信息,为渗透测试和网络安全评估提供支持。-a, --all 使用原始套接字扫描已过滤/关闭/打开的端口。-p, --ports 要扫描的端口 [默认: 1-65,535]-t, --threads 每次扫描所使用的线程数量。~3 秒(Linux)~8 秒(Linux)
博客
LangChain曝关键漏洞,数百万AI应用面临攻击风险
07-26 338
LangChain是一个流行的开源生成式人工智能框架,其官网介绍,有超过一百万名开发者使用LangChain框架来开发大型语言模型(LLM)应用程序。LangChain的合作伙伴包括云计算、人工智能、数据库和其他技术开发领域的许多知名企业。近日,来自Palo Alto Networks的研究人员详细描述了LangChain中的两个重大安全漏洞。这些漏洞被识别为CVE-2023-46229和CVE-2023-44467,它们有可能允许攻击者执行任意代码和访问敏感数据。
博客
JAW:一款针对客户端JavaScript的图形化安全分析框架
07-25 1658
JAW是一款针对客户端JavaScript的图形化安全分析框架,该工具基于esprima解析器和EsTree SpiderMonkey Spec实现其功能,广大研究人员可以使用该工具分析Web应用程序和基于JavaScript的客户端程序的安全性。7、设计并执行定制的安全相关程序分析,包括预定义 JavaScript 源和接收器之间的数据流分析、控制流和可达性分析、利用 DOM 快照解析 DOM 查询选择器、通过抽象语法树 (AST) 进行模式匹配等;5、支持交互式检测或自动检测不安全的程序行为;
博客
这家网络公司开始聘用黑客?
07-25 584
KnowBe4不是要聘用黑客,而是黑客策划了一场精密的钓鱼计划。今天(7月25日),网络安全公司KnowBe4透露,一名朝鲜黑客伪装成IT专家精心地策划了一个复杂的网络钓鱼计划。攻击者设法通过了KnowBe4严格的招聘流程,最终在数据泄露之前被识别并阻止。事件的起因是KnowBe4聘用了一名远程软件工程师,该工程师通过了多轮面试和背景调查。然而,当该工程师收到公司配发的Mac电脑后,设备立即开始加载恶意软件,触发了KnowBe4的机载安全软件。
博客
Hakuin:一款自动化SQL盲注(BSQLI)安全检测工具
07-24 2046
Hakuin是一款功能强大的SQL盲注漏洞安全检测工具,该工具专门针对BSQLi设计,可以帮助广大研究人员优化BSQLi测试用例,并以自动化的形式完成针对目标Web应用程序的漏洞扫描与检测任务。该工具允许用户以轻松高效的形式对目标Web应用程序执行BSQLi安全检测,并采用了多种优化方法,包括预训练和自适应语言模型、机会性猜测和并行性机制等。由于该工具基于Python 3开发,因此我们首先需要在本地设备上安装并配置好最新版本的Python 3环境。本项目的开发与发布遵循。
博客
Wiz 拒绝谷歌 230 亿美元的收购要约
07-24 339
根据最新一期《财富》杂志周一披露,Wiz已向公司1200名员工发了一份内部说明,称Wiz是一家价值120美元的云安全初创公司,正在与谷歌母公司Alphabet进行收购谈判,公司已决定不推进这笔交易,并将继续是一家独立的公司。他进一步概述了该公司的雄心勃勃的目标,包括达到10亿美元的年度经常性收入并最终IPO上市。一位知情人士向《财富》杂志证实,Wiz的投资者完全支持公司继续保持独立的决定,该决定基于一个简单的计算:Wiz已经足够大,可以瞄准IPO,这仍然是公司的最终目标。
博客
Domainim:一款高效的企业级网络安全扫描工具
07-23 1065
当前版本的Domainim支持下列功能:1、子域名枚举(2个引擎 + 暴力破解);2、用户友好的输出结果;3、支持解析A记录(IPv4);4、虚拟主机枚举;5、反向DNS查询;6、检测通配符子域名(用于暴力破解);7、接受子域名作为输入;8、支持将结果导出到JSON文件;
博客
Telegram曝零日漏洞,可伪装成视频攻击安卓用户
07-23 917
近日, ESET研究人员发现了一个针对Android Telegram的零日漏洞,该漏洞名为“EvilVideo”,从今年6月开始在一个地下论坛出售,价格不详。在帖子中,卖家展示了在公共Telegram频道中测试该漏洞的截图和视频。”这是在合法的Android Telegram应用程序源代码中发现的原始Telegram警告,而不是由恶意负载设计和推送的。ESET将该漏洞命名为“EvilVideo”,并将其报告给Telegram,Telegram于7月11日更新了该应用程序。发布在地下论坛的帖子。
博客
Windows蓝屏事件后,虚假CrowdStrike开始钓鱼
07-22 429
涉及分发的名为“crowdstrike-hotfix.zip”的 ZIP 存档文件中包含一个名为 Hijack Loader(又名 DOILoader 或 IDAT Loader)的恶意软件加载程序,该加载程序反过来启动 Remcos RAT 有效载荷。这些电子邮件包括一份虚假更新的PDF说明,以及从文件托管服务下载恶意ZIP存档的链接。此ZIP文件包含一个名为“Crowdstrike.exe”的可执行文件,该文件一旦执行,数据擦除器将被提取到 %Temp% 下的文件夹,并启动执行数据擦除操作。
博客
MasterParser:针对Linux日志的数字取证与事件响应DFIR工具
07-22 886
MasterParser专为加快Linux系统上安全事件的调查过程而设计,能够快速地扫描支持的日志(例如auth.log),提取关键详细信息,包括SSH登录、用户创建、事件名称、IP地址等。除了适用于DFIR团队之外,MasterParser对更广泛的信息安全和IT社区也具有不可估量的价值,旨在为快速全面评估Linux平台上的安全事件做出了重大贡献。MasterParser是一款强大的数字取证和事件响应工具,可以帮助广大研究人员轻松分析var/log目录中的Linux日志。本项目的开发与发布遵循。
博客
lse:一款专为渗透测试和CTF设计的Linux枚举工具
07-19 923
它可以监控进程以发现重复的程序执行,并且能够在执行所有其他测试时持续进行监控,并为我们节省一些时间。默认情况下,它会监控1分钟,但我们可以使用-p参数选择监控的持续时间。linux-smart-enumeration是一款专为渗透测试和CTF设计的Linux枚举工具,该工具可以帮助广大研究人员收集与本地Linux系统安全相关的信息。默认情况下,该工具还会询问当前系统的用户名和密码,输入之后该工具还将执行一些额外的安全测试。3、级别2( ./lse.sh -l2) 将转储它收集的有关目标系统的所有信息;
博客
当“广撒网”遇上“精准定点”的鱼叉式网络钓鱼
07-19 798
如今,攻击者正在其大规模网络钓鱼活动中越来越多地采用鱼叉式网络钓鱼方法和技术:他们发送的电子邮件越来越个性化,他们的欺骗技术和策略的范围也在扩大。这些具备“鱼叉式网络钓鱼”特征的大规模电子邮件活动构成了独特的威胁。这就要求组织采取与技术发展步伐同步的安全防护措施,同时结合各种方法和服务来打击各种类型的网络钓鱼。注意发件人的地址和实际的电子邮件域:在官方的公司电子邮件中,这些必须匹配。如果某些东西看起来很可疑,请向发件人证实,但不要回复电子邮件,而是采取其他沟通渠道(如打电话、发短信等)。
博客
IOCTLance:一款针对x64 WDM驱动程序的漏洞检测工具
07-18 687
1、映射物理内存2、可控进程句柄3、缓冲区溢出4、空指针引用5、读/写可控地址6、任意shellcode执行7、任意wrmsr8、任意输出9、危险文件操作1、长度限制2、循环界限3、总超时4、IoControlCode 超时5、递归6、符号化数据部分。
博客
探索编译的V8 JavaScript在恶意软件中的应用
07-18 1357
最近几个月,CheckPoint Research(CPR)一直在调查编译后的V8 JavaScript在恶意软件中的使用情况。编译V8 JavaScript是V8(Google的JavaScript引擎)中一个不太为人所知的特性,它可以将JavaScript编译成低级字节码。这种技术可以帮助攻击者避开静态检测并隐藏其原始源代码,使其几乎不可能进行静态分析。为了静态分析编译后的JavaScript文件,研究人员使用了一个新开发的定制工具“View8”,专门用于将V8字节码反编译为高级可读语言。
博客
HardeningMeter:一款针对二进制文件和系统安全强度的开源工具
07-17 1296
其强大的功能包括全面检查各种二进制利用保护机制,包括 Stack Canary、RELRO、随机化(ASLR、PIC、PIE)、None Exec Stack、Fortify、ASAN、NX bit。HardeningMeter是一款针对二进制文件和系统安全强度的开源工具,该工具基于纯Python开发,经过了开发人员的精心设计,可以帮助广大研究人员全面评估二进制文件和系统的安全强化程度。-d --directory:指定要扫描的目录,该参数检索一个目录并递归扫描所有 ELF 文件;本项目的开发与发布遵循。
博客
用户密码强度分析:59%的密码可以在一小时内被猜出
07-17 753
现代GPU能够以惊人的速度破解用户密码。最简单的暴力破解算法可以在不到一天的时间内破解任何八个字符以内的密码。智能黑客算法甚至可以快速猜出更长的密码。许多用户的密码不够强:59%的密码可以在一小时内被猜出。使用有意义的单词、名称和标准字符组合可以显著减少猜测密码所需的时间。最不安全的密码是完全由数字或单词组成的密码。记住,最好的密码是随机的,由计算机生成的。许多密码管理器都能够生成密码。使用助记词,而不是有意义的短语。检查您的密码是否能抵御黑客攻击。
博客
GitHub 令牌泄漏, Python 核心资源库面临潜在攻击
07-16 835
TheHackerNews网站消息,软件供应链安全公司 JFrog 的网络安全研究人员称,他们发现了一个意外泄露的 GitHub 令牌,可授予 Python 语言 GitHub 存储库、Python 软件包索引(PyPI)和 Python 软件基金会(PSF)存储库的高级访问权限。该令牌属于 Python 软件基金会的基础设施主管,并且意外地包含在一个编译的二进制文件中,该文件作为容器镜像的一部分发布在 Docker Hub 上。
博客
SQLMC:一款高性能大规模SQL注入安全扫描工具
07-16 810
1、扫描目标域名中是否存在SQL注入漏洞;2、针对给定URL地址爬取指定深度;3、检查每个链接的所有GET参数是否存在 SQL 注入漏洞;4、生成详细报告以及目标服务器和连接信息;
博客
PingRAT:一款基于ICMP的隐蔽型C2流量转发工具
07-15 561
当前版本的PingRAT具备以下功能特性:1、使用ICMP Payload实现命令和控制;2、隐蔽性极强,不会被轻易检测到;3、基于纯Go语言开发;
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值