不会停的雨的确存在,但是撑起伞来就行了,接下来抬起头前进,这样一来,偶尔会出现下着太阳雨的日子,经过阳光的反射闪闪发亮的雨滴,一定非常美丽。 收藏本站
登陆 / 注册 搜索

阅读: 76   回复: 6

分享一个提取Chrome中Cookie工具,Cookie重要性就不多说了吧

回复 发新帖
testnull龙战于野 2020-3-19 02:09 |显示全部楼层

这个用户很懒,还没有填写自我介绍呢~

本帖最后由 testnull 于 2020-3-19 02:15 编辑 1 l  ~) g- p( x1 J" E8 }, x0 j
# F3 {- v0 S( C% U

这个工具将从Google Chrome浏览器中提取Cookie,是一个.NET程序集,可以在C2中通过工具如PoshC2使用或CobaltStrike的命令。

项目地址是SharpCookieMonster

用法

只需将站点输入即可。

' `7 R' o! Z: `! l( ?/ z
SharpCookieMonster.exe [https://sitename.com] [chrome-debugging-port] [user data dir]
# b3 r7 v: i" v* ~" G

可选的第一个参数分隔chrome启动时最初连接的网站(默认为https://www.google.com)。

第二个可选参数指定用于启动chrome调试器的端口(默认为9142)。

最后,可选的第三个参数指定用户数据目录的路径,可以覆盖该路径以访问不同的配置文件(默认为%APPDATALOCAL%\ Google \ Chrome \ User Data)。

分享一个提取Chrome中Cookie工具,Cookie重要性就不多说了吧 1.png

分享一个提取Chrome中Cookie工具,Cookie重要性就不多说了吧 2.png

如您所见,它可用于提取session,httpOnly并通过C2传输cookie。它还已作为模块添加到PoshC2中,并设置了自动加载和别名功能,因此可以使用来简单地运行它sharpcookiemonster。

这也适用于CobaltStrike的,可以使用execute-assembly。

还值得注意的是,您不需要任何特权访问权限即可执行此操作,只需在存储会话的计算机上在该用户上下文中执行代码即可。

它是如何工作的?

在后台,这是通过首先启动Google Chrome来实现的。我们首先枚举任何正在运行的chrome.exe进程以提取其镜像路径,但是如果失败,则默认为C:\ Program Files(x86)\ Google \ Chrome \ Application \ chrome.exe。然后,我们启动该可执行文件,设置适当的标志并将该进程的输出重定向到我们的stdout,以便即使在C2通道上运行它时也可以查看它是否出错。

该--headless标志意味着chrome.exe实际上将在没有任何用户界面的情况下运行,但可以使用其API进行交互。对于红队成员而言,这是完美的选择,因为它将仅作为另一个chrome.exe进程出现,而不会向用户显示任何内容。然后,通过--remote-debugging-port标记为此过程启用远程调试,然后使用将数据目录指向用户的现有数据目录--user-data-dir。

分享一个提取Chrome中Cookie工具,Cookie重要性就不多说了吧 3.png

启动

启动后,我们将检查进程是否正在运行,并等待调试器端口打开。

然后,我们可以在该端口上与API交互以获取websocket调试器URL。该URL允许程序通过websockets上的API与Chrome的devtools进行交互,从而为我们提供了这些devtools的全部功能。所有这些操作都是在受害人的计算机上本地完成的,因为该二进制文件正在运行,而无界面的Chrome进程正在运行。

分享一个提取Chrome中Cookie工具,Cookie重要性就不多说了吧 4.png

然后,我们可以发出请求以检索该配置文件的缓存中的所有cookie,并将其返回给操作员。

编译

如果您想自己构建二进制文件,只需克隆它并在Visual Studio中构建它即可。

该项目已设置为与.NET 3.5兼容,以便与安装较旧版本.NET的受害人兼容。但是,为了使用WebSockets与Chrome进行通信,添加了WebSocket4Net程序包。

如果要在C2上运行此命令(例如使用PoshC2的sharpcookiemonster命令或通过CobaltStrike的命令),请execute-assembly使用ILMerge将生成的可执行文件与依赖库合并。

例如,首先重命名原始二进制文件,然后运行:


' h4 m( ]( z2 W/ W9 [2 D- ^ILMerge.exe /targetplatform:"v2,C:\Windows\Microsoft.NET\Framework\v2.0.50727" /out:SharpCookieMonster.exe SharpCookieMonsterOriginal.exe WebSocket4Net.dll SuperSocket.ClientEngine.dll


舵神之歌「初入古黑」 2020-3-19 02:09 |显示全部楼层

这个用户很懒,还没有填写自我介绍呢~

1、我来公布答案,请看5  [$ R" k8 I* D. {
2、答案请看11  U5 r; H8 t5 ]' l2 h
3、不要生气,请看15  w. y  r8 B/ l6 }
4、冷静,不要生气,请看13$ J) W9 Z8 p2 l) K$ ]
5、首先请看2
  m: R8 Z2 F9 K, m6 w% [4 L8 B! m+ k. }: H9 T, ~/ f" V
6、不要生气,请看126 C& L" \4 P* R/ Z4 f2 ~! {" X
7、我只想告诉你,1会让你知道答案
/ y+ H& @  n5 p0 i5 g  j8、我想告诉你的是答案在14* G. F5 z1 b0 F, o' }" D- v
9、请耐心的看45 _8 R. i% i3 G1 T" _, ^5 ^  p
10、这是我最后一次这样做了请看76 I. K2 n5 f' v- u. p+ `4 c4 c/ L
11、当我让你看6时,我希望你不要生气- [& ?7 G/ V; N# d; X% K
12、抱歉,请看8
# U4 B( I- [5 ?+ i7 W. a; D13、不要生气,请看10
9 y3 j  \. _& d* W0 K, b+ Z6 z14、我不知道怎麽说,但请看3
& k, b8 @; |% D# B9 @; e; q15、你一定十分生气,但请看98 l( j  C* Y8 z
楼主| testnull龙战于野 2020-3-19 02:10 |显示全部楼层

这个用户很懒,还没有填写自我介绍呢~

这个确实值得好好看看。
空谷幽兰仗剑天涯 2020-3-19 10:28 来自手机 |显示全部楼层

从前车马很慢,书信很远,一生只够爱一个人,但是可以纳很多妾啊!

精华达人 主题破百 以坛为家
不明觉厉。0 I  f/ B+ X. i, Y4 n
如果是自己要拿cookie,浏览器上点几次就可以,为什么要第三方软件?
 
收起(3)
testnull 发表于 2020-03-19 11:18 
那需要批量化操作的时候还不累死,你爬虫每次手工复制cookie试试?
您需要登录后才可以回帖 登录 | 注册账号  

本版积分规则

关于本站|小黑屋|古黑论 网站统计

GMT+8, 2020-4-1 02:42 , Processed in 0.039371 second(s), 27 queries , Redis On.

© 2015-2020 GuHei.Net

Powered by Discuz! X3.4

快速回复 返回列表