目录
0. 前言
上篇博客写了用scrapy去爬取微博的评论,里面说到了不带cookie值去爬,微博可能会把你当成游客,无法正确爬取数据
Cookie(百度百科):Cookie,有时也用其复数形式 Cookies。类型为“小型文本文件”,是某些网站为了辨别用户身份,进行Session跟踪而储存在用户本地终端上的数据(通常经过加密),由用户客户端计算机暂时或永久保存的信息
其实就是带cookie发起请求,让服务器识别到你的身份,这样他就不会当成游客处理了
本来之前一直很反感微博乱点赞,乱关注别人这样的现象
没想到,在写完博客之后,这样的情况再次又双叕降临到了我自己头上,好家伙我直接好家伙
本来想着忍他几天,结果几天之后还是在给奇怪的人点赞,气的我直接给他来了一手改密码,成功制止了这样的现象继续发生
1.参考文献
首先参考文献写在前面,表示尊重
其次,在这次之前,本人对于算法这一类的东西是十分头疼的,经过这一次学习之后,其实也是知其然而不知其所以然,所以将更好、更有用的参考的链接放在前面,要是想学到更多的同学可以直接点击链接学习
我的代码主要参考Chrome 80.X版本如何解密Cookies文件
其实我只是简化了他的代码,删除了一些我不需要用到的代码,方便学习
原理类的文章可以看
2.分析
我个人喜欢将这一类问题归到CSRF下,
CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解:攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等
实际上归属于哪一类的问题还得看大家是怎么定义的
这一篇文章不打算具体分析是怎么完成攻击的
因为在试图溯源的时候,看了有没有可疑进程在后台运行,没有发现
然后想起了这台电脑一开始chrome浏览器首页都是一些奇怪的360导航之类的,恢复正常之后,不记得怎么让他打开这些导航了,这样就不好复现了
但是个人猜测可能是由于这些恶意程序造成的,可能加载了一些恶意dll啊、或者启动了一些与恶意服务器通讯的后门,获取了浏览器保存的cookie值
然后拿去给别人点赞
这里就不多猜测了
所以本文主要学习、记录的内容是,假如别人获得了保存在你本地的cookie文件的内容,怎么解密还原出cookie值,并加以利用
3.流程
chrome本地cookie以sqlite的形式保存,用Navicat查看是这样的
其中encrypted_value就是加密后的值
分析一下chrome保存的cookie的加解密流程,结合文献和代码来看
首先在今年(2020年)更新之前,chrome的cookie可以通过dpapi直接解密
今年改版更新之后的解密流程:
以上截图引用来自参考文献中
关于详细的算法说明我没有找到详细的文章,有兴趣的同学也许可以查找一下源码,进一步学习
4.代码
4.1 代码结构
4.2 aesgcm.py
from cryptography.hazmat.backends import default_backend
from cryptography.hazmat.primitives.ciphers import (
Cipher, algorithms, modes
)
NONCE_BYTE_SIZE = 12
def encrypt(cipher, plaintext, nonce):
cipher.mode = modes.GCM(nonce)
encryptor = cipher.encryptor()
ciphertext = encryptor.update(plaintext)
return (cipher, ciphertext, nonce)
def decrypt(cipher, ciphertext, nonce):
cipher.mode = modes.GCM(nonce)
decryptor = cipher.decryptor()
return decryptor.update(ciphertext)
def get_cipher(key):
cipher = Cipher(
algorithms.AES(key),
None,
backend=default_backend()
)
return cipher
4.3 chromeCookieJar.py
import http.cookiejar as cookiejar
import os
import sqlite3
from decrypt import chrome_decrypt
from decrypt import to_epoch
class chromeCookieJar(cookiejar.FileCookieJar):
# 重写__init__方法
def __init__(self, fileName=None, delayload=False, policy=None):
if fileName is None:
fileName = os.path.join(
os.environ['USERPROFILE'],
r'AppData\Local\Google\Chrome\User Data\default\Cookies')
if not os.path.exists(fileName):
fileName = None
cookiejar.FileCookieJar.__init__(self, fileName, delayload, policy)
def printCookie(self, name, value, host, path):
print(name + '\t' + value + '\t' + host + '\t' + path + '\t')
# 重写_really_load方法
# ignore_discard: save even cookies set to be discarded.
# ignore_expires: save even cookies that have expired.The file is overwritten if it already exists
def _really_load(self, f, filename, ignore_discard, ignore_expires):
con = sqlite3.connect(filename)
con.row_factory = sqlite3.Row
con.create_function('decrypt', 1, chrome_decrypt)
con.create_function('to_epoch', 1, to_epoch)
cur = con.cursor()
# 这个sql我只查了weibo相关的,如果有其他需要可以修改
sql = """
SELECT
host_key, name, path,encrypted_value as value
FROM
cookies
where host_key like '%weibo%'
"""
cur.execute(sql)
for row in cur:
if row['value'] is not None:
name = str(row['name'])
value = str(chrome_decrypt(row['value']))
host = str(row['host_key'])
path = str(row['path'])
self.printCookie(name, value, host, path)
cur.close()
4.4 decrypt.py
import os
import sys
import json, base64
import aesgcm
def get_key_from_local_state():
jsn = None
with open(os.path.join(os.environ['LOCALAPPDATA'],
r"Google\Chrome\User Data\Local State"), encoding='utf-8', mode="r") as f:
jsn = json.loads(str(f.readline()))
return jsn["os_crypt"]["encrypted_key"]
def dpapi_decrypt(encrypted):
import ctypes
from ctypes import wintypes
class DATA_BLOB(ctypes.Structure):
_fields_ = [('cbData', wintypes.DWORD),
('pbData', ctypes.POINTER(ctypes.c_char))]
p = ctypes.create_string_buffer(encrypted, len(encrypted))
blobin = DATA_BLOB(ctypes.sizeof(p), p)
blobout = DATA_BLOB()
retval = ctypes.windll.crypt32.CryptUnprotectData(
ctypes.byref(blobin), # pDataIn 输入,一个指向存有加密内容DATA_BLOB的指针,
None, # ppszDataDescr
None, # pOptionalEntropy
None, # pvReversed 这个保留参数must be set to NULL
None, # pPromptStruct
0, # dwFlags 一个DWORD值指定此函数特定的选项
ctypes.byref(blobout) # 输出
)
if not retval:
raise ctypes.WinError()
result = ctypes.string_at(blobout.pbData, blobout.cbData)
ctypes.windll.kernel32.LocalFree(blobout.pbData)
return result
def aes_decrypt(encrypted_txt):
#获得encode_key
encode_key = get_key_from_local_state()
#解码
encrypted_key = base64.b64decode(encode_key.encode())
#去除前五个字符
encrypted_key = encrypted_key[5:]
#dpapi解密,得到key
key = dpapi_decrypt(encrypted_key)
#截取Nonce
nonce = encrypted_txt[3:15]
#关于aesgcm加密算法,没有找到合适详细的文章
#这里不多展开,有兴趣的同学可以自己找一下
#解密key
cipher = aesgcm.get_cipher(key)
return aesgcm.decrypt(cipher, encrypted_txt[15:], nonce)
def chrome_decrypt(encrypted_txt):
try:
if encrypted_txt[:3] == b'v10':
decrypted_txt = aes_decrypt(encrypted_txt)
return decrypted_txt[:-16].decode()
except Exception as e:
print("chrome_decrypt error :" + e)
return None
def to_epoch(chrome_ts):
if chrome_ts:
return chrome_ts - 11644473600 * 000 * 1000
else:
return None
4.5 main.py
from chromeCookieJar import chromeCookieJar
if __name__ == '__main__':
jar = chromeCookieJar()
jar.load()
for cookie in jar:
print(vars(cookie))
5.结果
经过对比,结果一致
399
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
