Browser Artifacts
Last updated
Last updated
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Gebruik Trickest om maklik te bou en werkvloei te outomatiseer wat deur die wêreld se mees gevorderde gemeenskap gereedskap aangedryf word. Kry Toegang Vandag:
Blaaier artefakte sluit verskeie tipes data in wat deur webblaaiers gestoor word, soos navigasiegeskiedenis, boekmerke en kasdata. Hierdie artefakte word in spesifieke vouers binne die bedryfstelsel gehou, wat verskil in ligging en naam oor blaaiers, maar oor die algemeen soortgelyke datatipes stoor.
Hier is 'n opsomming van die mees algemene blaaier artefakte:
Navigasiegeskiedenis: Volg gebruikersbesoeke aan webwerwe, nuttig om besoeke aan kwaadwillige webwerwe te identifiseer.
Outomatiese Voltooiing Data: Voorstelle gebaseer op gereelde soektogte, wat insigte bied wanneer dit gekombineer word met navigasiegeskiedenis.
Boekmerke: Webwerwe wat deur die gebruiker gestoor is vir vinnige toegang.
Uitbreidings en Byvoegings: Blaaier uitbreidings of byvoegings wat deur die gebruiker geïnstalleer is.
Kas: Stoor webinhoud (bv. beelde, JavaScript-lêers) om webwerf laaitye te verbeter, waardevol vir forensiese analise.
Aanmeldings: Gestoor aanmeldbesonderhede.
Favicons: Ikone wat met webwerwe geassosieer word, wat in oortjies en boekmerke verskyn, nuttig vir addisionele inligting oor gebruikersbesoeke.
Blaaier Sessies: Data verwant aan oop blaaier sessies.
Aflaaie: Rekords van lêers wat deur die blaaier afgelaai is.
Vormdata: Inligting wat in webvorms ingevoer is, gestoor vir toekomstige outomatiese voltooiingsvoorstelle.
Miniatuurbeelde: Voorvertoning beelde van webwerwe.
Custom Dictionary.txt: Woorde wat deur die gebruiker aan die blaaier se woordeskat bygevoeg is.
Firefox organiseer gebruikersdata binne profiele, gestoor in spesifieke plekke gebaseer op die bedryfstelsel:
Linux: ~/.mozilla/firefox/
MacOS: /Users/$USER/Library/Application Support/Firefox/Profiles/
Windows: %userprofile%\AppData\Roaming\Mozilla\Firefox\Profiles\
'n profiles.ini
lêer binne hierdie gidse lys die gebruikersprofiele. Elke profiel se data word in 'n vouer gestoor wat in die Path
veranderlike binne profiles.ini
genoem word, geleë in dieselfde gids as profiles.ini
self. As 'n profiel se vouer ontbreek, mag dit verwyder gewees het.
Binne elke profiel vouer, kan jy verskeie belangrike lêers vind:
places.sqlite: Stoor geskiedenis, boekmerke, en aflaaie. Gereedskap soos BrowsingHistoryView op Windows kan toegang tot die geskiedenisdata verkry.
Gebruik spesifieke SQL navrae om geskiedenis en aflaaie inligting te onttrek.
bookmarkbackups: Bevat rugsteun van boekmerke.
formhistory.sqlite: Stoor webvormdata.
handlers.json: Bestuur protokolhanterings.
persdict.dat: Aangepaste woordeskat woorde.
addons.json en extensions.sqlite: Inligting oor geïnstalleerde byvoegings en uitbreidings.
cookies.sqlite: Koekie stoor, met MZCookiesView beskikbaar vir inspeksie op Windows.
cache2/entries of startupCache: Kasdata, toeganklik deur gereedskap soos MozillaCacheView.
favicons.sqlite: Stoor favicons.
prefs.js: Gebruikerinstellings en voorkeure.
downloads.sqlite: Ouere aflaaie databasis, nou geïntegreer in places.sqlite.
thumbnails: Webwerf miniatuurbeelde.
logins.json: Geënkripteerde aanmeldinligting.
key4.db of key3.db: Stoor enkripsiesleutels om sensitiewe inligting te beveilig.
Boonop kan jy die blaaier se anti-phishing instellings nagaan deur te soek na browser.safebrowsing
inskrywings in prefs.js
, wat aandui of veilige blaai funksies geaktiveer of gedeaktiveer is.
Om te probeer om die meesterwagwoord te ontsleutel, kan jy https://github.com/unode/firefox_decrypt gebruik Met die volgende skrip en oproep kan jy 'n wagwoord lêer spesifiseer om te brute force:
Google Chrome stoor gebruikersprofiele in spesifieke plekke gebaseer op die bedryfstelsel:
Linux: ~/.config/google-chrome/
Windows: C:\Users\XXX\AppData\Local\Google\Chrome\User Data\
MacOS: /Users/$USER/Library/Application Support/Google/Chrome/
Binne hierdie gidse kan die meeste gebruikersdata in die Default/ of ChromeDefaultData/ vouers gevind word. Die volgende lêers hou belangrike data:
History: Bevat URL's, aflaaie, en soek sleutelwoorde. Op Windows kan ChromeHistoryView gebruik word om die geskiedenis te lees. Die "Transition Type" kolom het verskeie betekenisse, insluitend gebruikersklieks op skakels, getypte URL's, vormindienings, en bladsy herlaai.
Cookies: Stoor koekies. Vir inspeksie is ChromeCookiesView beskikbaar.
Cache: Hou gekapte data. Om te inspekteer, kan Windows gebruikers ChromeCacheView gebruik.
Bookmarks: Gebruikersboekmerke.
Web Data: Bevat vormgeskiedenis.
Favicons: Stoor webwerf favicons.
Login Data: Sluit aanmeldbesonderhede soos gebruikersname en wagwoorde in.
Current Session/Current Tabs: Data oor die huidige blaai sessie en oop oortjies.
Last Session/Last Tabs: Inligting oor die webwerwe wat aktief was tydens die laaste sessie voordat Chrome gesluit is.
Extensions: Gidse vir blaaiers uitbreidings en addons.
Thumbnails: Stoor webwerf duimnaels.
Preferences: 'n Lêer ryk aan inligting, insluitend instellings vir plugins, uitbreidings, pop-ups, kennisgewings, en meer.
Browser’s built-in anti-phishing: Om te kontroleer of anti-phishing en malware beskerming geaktiveer is, voer grep 'safebrowsing' ~/Library/Application Support/Google/Chrome/Default/Preferences
uit. Soek na {"enabled: true,"}
in die uitvoer.
Soos jy in die vorige afdelings kan sien, gebruik beide Chrome en Firefox SQLite databasisse om die data te stoor. Dit is moontlik om verwyderde inskrywings te herstel met die hulpmiddel sqlparse of sqlparse_gui.
Internet Explorer 11 bestuur sy data en metadata oor verskeie plekke, wat help om gestoor inligting en sy ooreenstemmende besonderhede te skei vir maklike toegang en bestuur.
Metadata vir Internet Explorer word gestoor in %userprofile%\Appdata\Local\Microsoft\Windows\WebCache\WebcacheVX.data
(met VX wat V01, V16, of V24 is). Saam met hierdie, kan die V01.log
lêer wys op wysigings tyd verskille met WebcacheVX.data
, wat 'n behoefte aan herstel aandui met esentutl /r V01 /d
. Hierdie metadata, wat in 'n ESE databasis gehuisves word, kan herstel en ondersoek word met hulpmiddels soos photorec en ESEDatabaseView, onderskeidelik. Binne die Containers tabel, kan 'n mens die spesifieke tabelle of houers waar elke datasegment gestoor is, onderskei, insluitend cache besonderhede vir ander Microsoft gereedskap soos Skype.
Die IECacheView hulpmiddel laat vir cache inspeksie toe, wat die cache data ekstraksie vouer ligging vereis. Metadata vir cache sluit lêernaam, gids, toegang telling, URL oorsprong, en tydstempels in wat die cache skepping, toegang, wysiging, en vervaldatums aandui.
Koekies kan ondersoek word met IECookiesView, met metadata wat name, URL's, toegang tellings, en verskeie tyd-verwante besonderhede insluit. Volhoubare koekies word gestoor in %userprofile%\Appdata\Roaming\Microsoft\Windows\Cookies
, met sessie koekies wat in geheue woon.
Aflaai metadata is toeganklik via ESEDatabaseView, met spesifieke houers wat data soos URL, lêer tipe, en aflaai ligging hou. Fisiese lêers kan onder %userprofile%\Appdata\Roaming\Microsoft\Windows\IEDownloadHistory
gevind word.
Om blaai geskiedenis te hersien, kan BrowsingHistoryView gebruik word, wat die ligging van ekstrakte geskiedenis lêers en konfigurasie vir Internet Explorer vereis. Metadata hier sluit wysigings en toegang tye in, saam met toegang tellings. Geskiedenis lêers is geleë in %userprofile%\Appdata\Local\Microsoft\Windows\History
.
Getypte URL's en hul gebruik tyds is gestoor binne die register onder NTUSER.DAT
by Software\Microsoft\InternetExplorer\TypedURLs
en Software\Microsoft\InternetExplorer\TypedURLsTime
, wat die laaste 50 URL's wat deur die gebruiker ingevoer is en hul laaste invoer tye volg.
Microsoft Edge stoor gebruikersdata in %userprofile%\Appdata\Local\Packages
. Die paaie vir verskeie datatipes is:
Profile Path: C:\Users\XX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC
History, Cookies, and Downloads: C:\Users\XX\AppData\Local\Microsoft\Windows\WebCache\WebCacheV01.dat
Settings, Bookmarks, and Reading List: C:\Users\XX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC\MicrosoftEdge\User\Default\DataStore\Data\nouser1\XXX\DBStore\spartan.edb
Cache: C:\Users\XXX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC#!XXX\MicrosoftEdge\Cache
Last Active Sessions: C:\Users\XX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC\MicrosoftEdge\User\Default\Recovery\Active
Safari data word gestoor by /Users/$User/Library/Safari
. Sleutel lêers sluit in:
History.db: Bevat history_visits
en history_items
tabelle met URL's en besoek tydstempels. Gebruik sqlite3
om te vra.
Downloads.plist: Inligting oor afgelaaide lêers.
Bookmarks.plist: Stoor geboekmerkte URL's.
TopSites.plist: Meest besoekte webwerwe.
Extensions.plist: Lys van Safari blaaiers uitbreidings. Gebruik plutil
of pluginkit
om te verkry.
UserNotificationPermissions.plist: Domeine wat toegelaat word om kennisgewings te stuur. Gebruik plutil
om te parse.
LastSession.plist: Oortjies van die laaste sessie. Gebruik plutil
om te parse.
Browser’s built-in anti-phishing: Kontroleer met defaults read com.apple.Safari WarnAboutFraudulentWebsites
. 'n Antwoord van 1 dui aan dat die funksie aktief is.
Opera se data is geleë in /Users/$USER/Library/Application Support/com.operasoftware.Opera
en deel Chrome se formaat vir geskiedenis en aflaaie.
Browser’s built-in anti-phishing: Verifieer deur te kontroleer of fraud_protection_enabled
in die Voorkeurlêer op true
gestel is met behulp van grep
.
Hierdie paaie en opdragte is noodsaaklik vir toegang tot en begrip van die blaai data wat deur verskillende webblaaiers gestoor word.
Book: OS X Incident Response: Scripting and Analysis By Jaron Bradley pag 123
Gebruik Trickest om maklik te bou en werkvloei te outomatiseer wat deur die wêreld se mees gevorderde gemeenskap gereedskap aangedryf word. Kry Toegang Vandag:
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)