Browser Artifacts
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Use Trickest to easily build and automate workflows powered by the world's most advanced community tools. Get Access Today:
Τα αρχεία του προγράμματος περιήγησης περιλαμβάνουν διάφορους τύπους δεδομένων που αποθηκεύονται από τους προγράμματα περιήγησης ιστού, όπως το ιστορικό πλοήγησης, τα σελιδοδείκτες και τα δεδομένα cache. Αυτά τα αρχεία διατηρούνται σε συγκεκριμένους φακέλους εντός του λειτουργικού συστήματος, διαφέροντας σε τοποθεσία και όνομα μεταξύ των προγραμμάτων περιήγησης, αλλά γενικά αποθηκεύουν παρόμοιους τύπους δεδομένων.
Ακολουθεί μια περίληψη των πιο κοινών αρχείων του προγράμματος περιήγησης:
Ιστορικό Πλοήγησης: Παρακολουθεί τις επισκέψεις του χρήστη σε ιστότοπους, χρήσιμο για την αναγνώριση επισκέψεων σε κακόβουλους ιστότοπους.
Δεδομένα Αυτόματης Συμπλήρωσης: Προτάσεις βασισμένες σε συχνές αναζητήσεις, προσφέροντας πληροφορίες όταν συνδυάζονται με το ιστορικό πλοήγησης.
Σελιδοδείκτες: Ιστότοποι που αποθηκεύει ο χρήστης για γρήγορη πρόσβαση.
Επεκτάσεις και Πρόσθετα: Επεκτάσεις ή πρόσθετα του προγράμματος περιήγησης που έχει εγκαταστήσει ο χρήστης.
Cache: Αποθηκεύει περιεχόμενο ιστού (π.χ., εικόνες, αρχεία JavaScript) για να βελτιώσει τους χρόνους φόρτωσης των ιστότοπων, πολύτιμο για την εγκληματολογική ανάλυση.
Συνδέσεις: Αποθηκευμένα διαπιστευτήρια σύνδεσης.
Favicons: Εικονίδια που σχετίζονται με ιστότοπους, που εμφανίζονται σε καρτέλες και σελιδοδείκτες, χρήσιμα για επιπλέον πληροφορίες σχετικά με τις επισκέψεις του χρήστη.
Συνεδρίες Προγράμματος Περιήγησης: Δεδομένα που σχετίζονται με ανοιχτές συνεδρίες προγράμματος περιήγησης.
Λήψεις: Καταγραφές αρχείων που έχουν ληφθεί μέσω του προγράμματος περιήγησης.
Δεδομένα Φόρμας: Πληροφορίες που εισάγονται σε φόρμες ιστού, αποθηκευμένες για μελλοντικές προτάσεις αυτόματης συμπλήρωσης.
Μικρογραφίες: Εικόνες προεπισκόπησης ιστότοπων.
Custom Dictionary.txt: Λέξεις που προστίθενται από τον χρήστη στο λεξικό του προγράμματος περιήγησης.
Ο Firefox οργανώνει τα δεδομένα του χρήστη εντός προφίλ, αποθηκευμένα σε συγκεκριμένες τοποθεσίες ανάλογα με το λειτουργικό σύστημα:
Linux: ~/.mozilla/firefox/
MacOS: /Users/$USER/Library/Application Support/Firefox/Profiles/
Windows: %userprofile%\AppData\Roaming\Mozilla\Firefox\Profiles\
Ένα αρχείο profiles.ini
εντός αυτών των καταλόγων καταγράφει τα προφίλ χρηστών. Τα δεδομένα κάθε προφίλ αποθηκεύονται σε έναν φάκελο που ονομάζεται στη μεταβλητή Path
εντός του profiles.ini
, που βρίσκεται στον ίδιο κατάλογο με το profiles.ini
αυτό καθαυτό. Εάν λείπει ο φάκελος ενός προφίλ, μπορεί να έχει διαγραφεί.
Μέσα σε κάθε φάκελο προφίλ, μπορείτε να βρείτε αρκετά σημαντικά αρχεία:
places.sqlite: Αποθηκεύει ιστορικό, σελιδοδείκτες και λήψεις. Εργαλεία όπως το BrowsingHistoryView στα Windows μπορούν να έχουν πρόσβαση στα δεδομένα ιστορικού.
Χρησιμοποιήστε συγκεκριμένα SQL queries για να εξαγάγετε πληροφορίες ιστορικού και λήψεων.
bookmarkbackups: Περιέχει αντίγραφα ασφαλείας των σελιδοδεικτών.
formhistory.sqlite: Αποθηκεύει δεδομένα φόρμας ιστού.
handlers.json: Διαχειρίζεται τους χειριστές πρωτοκόλλων.
persdict.dat: Λέξεις προσαρμοσμένου λεξικού.
addons.json και extensions.sqlite: Πληροφορίες σχετικά με εγκατεστημένα πρόσθετα και επεκτάσεις.
cookies.sqlite: Αποθήκευση cookies, με το MZCookiesView διαθέσιμο για επιθεώρηση στα Windows.
cache2/entries ή startupCache: Δεδομένα cache, προσβάσιμα μέσω εργαλείων όπως το MozillaCacheView.
favicons.sqlite: Αποθηκεύει favicons.
prefs.js: Ρυθμίσεις και προτιμήσεις χρήστη.
downloads.sqlite: Παλιότερη βάση δεδομένων λήψεων, τώρα ενσωματωμένη στο places.sqlite.
thumbnails: Μικρογραφίες ιστότοπων.
logins.json: Κρυπτογραφημένες πληροφορίες σύνδεσης.
key4.db ή key3.db: Αποθηκεύει κλειδιά κρυπτογράφησης για την ασφάλεια ευαίσθητων πληροφοριών.
Επιπλέον, η έρευνα για τις ρυθμίσεις κατά της απάτης του προγράμματος περιήγησης μπορεί να γίνει αναζητώντας τις εγγραφές browser.safebrowsing
στο prefs.js
, υποδεικνύοντας εάν οι δυνατότητες ασφαλούς πλοήγησης είναι ενεργοποιημένες ή απενεργοποιημένες.
Για να προσπαθήσετε να αποκρυπτογραφήσετε τον κύριο κωδικό πρόσβασης, μπορείτε να χρησιμοποιήσετε https://github.com/unode/firefox_decrypt Με το παρακάτω σενάριο και κλήση μπορείτε να καθορίσετε ένα αρχείο κωδικών πρόσβασης για brute force:
Ο Google Chrome αποθηκεύει τα προφίλ χρηστών σε συγκεκριμένες τοποθεσίες ανάλογα με το λειτουργικό σύστημα:
Linux: ~/.config/google-chrome/
Windows: C:\Users\XXX\AppData\Local\Google\Chrome\User Data\
MacOS: /Users/$USER/Library/Application Support/Google/Chrome/
Μέσα σε αυτούς τους καταλόγους, τα περισσότερα δεδομένα χρηστών μπορούν να βρεθούν στους φακέλους Default/ ή ChromeDefaultData/. Τα παρακάτω αρχεία περιέχουν σημαντικά δεδομένα:
History: Περιέχει URLs, λήψεις και λέξεις-κλειδιά αναζήτησης. Στα Windows, μπορεί να χρησιμοποιηθεί το ChromeHistoryView για να διαβαστεί το ιστορικό. Η στήλη "Transition Type" έχει διάφορες σημασίες, συμπεριλαμβανομένων των κλικ χρηστών σε συνδέσμους, πληκτρολογημένων URLs, υποβολών φορμών και ανανεώσεων σελίδων.
Cookies: Αποθηκεύει cookies. Για επιθεώρηση, είναι διαθέσιμο το ChromeCookiesView.
Cache: Περιέχει δεδομένα cache. Για επιθεώρηση, οι χρήστες Windows μπορούν να χρησιμοποιήσουν το ChromeCacheView.
Bookmarks: Σελιδοδείκτες χρηστών.
Web Data: Περιέχει ιστορικό φορμών.
Favicons: Αποθηκεύει τα favicons ιστοσελίδων.
Login Data: Περιλαμβάνει διαπιστευτήρια σύνδεσης όπως ονόματα χρηστών και κωδικούς πρόσβασης.
Current Session/Current Tabs: Δεδομένα σχετικά με την τρέχουσα συνεδρία περιήγησης και τις ανοιχτές καρτέλες.
Last Session/Last Tabs: Πληροφορίες σχετικά με τους ιστότοπους που ήταν ενεργοί κατά την τελευταία συνεδρία πριν κλείσει ο Chrome.
Extensions: Κατάλογοι για επεκτάσεις και πρόσθετα του προγράμματος περιήγησης.
Thumbnails: Αποθηκεύει μικρογραφίες ιστοσελίδων.
Preferences: Ένα αρχείο πλούσιο σε πληροφορίες, συμπεριλαμβανομένων ρυθμίσεων για πρόσθετα, επεκτάσεις, αναδυόμενα παράθυρα, ειδοποιήσεις και άλλα.
Browser’s built-in anti-phishing: Για να ελέγξετε αν είναι ενεργοποιημένη η προστασία κατά του phishing και του κακόβουλου λογισμικού, εκτελέστε grep 'safebrowsing' ~/Library/Application Support/Google/Chrome/Default/Preferences
. Αναζητήστε {"enabled: true,"}
στην έξοδο.
Όπως μπορείτε να παρατηρήσετε στις προηγούμενες ενότητες, τόσο ο Chrome όσο και ο Firefox χρησιμοποιούν βάσεις δεδομένων SQLite για να αποθηκεύσουν τα δεδομένα. Είναι δυνατή η ανάκτηση διαγραμμένων εγγραφών χρησιμοποιώντας το εργαλείο sqlparse ή sqlparse_gui.
Ο Internet Explorer 11 διαχειρίζεται τα δεδομένα και τα μεταδεδομένα του σε διάφορες τοποθεσίες, διευκολύνοντας τη διαχωριστική αποθήκευση πληροφοριών και των αντίστοιχων λεπτομερειών για εύκολη πρόσβαση και διαχείριση.
Τα μεταδεδομένα για τον Internet Explorer αποθηκεύονται στο %userprofile%\Appdata\Local\Microsoft\Windows\WebCache\WebcacheVX.data
(με το VX να είναι V01, V16 ή V24). Μαζί με αυτό, το αρχείο V01.log
μπορεί να δείξει διαφορές χρόνου τροποποίησης με το WebcacheVX.data
, υποδεικνύοντας την ανάγκη επισκευής χρησιμοποιώντας esentutl /r V01 /d
. Αυτά τα μεταδεδομένα, που φιλοξενούνται σε μια βάση δεδομένων ESE, μπορούν να ανακτηθούν και να επιθεωρηθούν χρησιμοποιώντας εργαλεία όπως το photorec και το ESEDatabaseView, αντίστοιχα. Μέσα στον πίνακα Containers, μπορεί κανείς να διακρίνει τους συγκεκριμένους πίνακες ή κοντέινερ όπου αποθηκεύεται κάθε τμήμα δεδομένων, συμπεριλαμβανομένων των λεπτομερειών cache για άλλα εργαλεία της Microsoft όπως το Skype.
Το εργαλείο IECacheView επιτρέπει την επιθεώρηση της cache, απαιτώντας την τοποθεσία του φακέλου εξαγωγής δεδομένων cache. Τα μεταδεδομένα για την cache περιλαμβάνουν το όνομα αρχείου, τον κατάλογο, τον αριθμό πρόσβασης, την προέλευση URL και χρονικές σφραγίδες που υποδεικνύουν τους χρόνους δημιουργίας, πρόσβασης, τροποποίησης και λήξης της cache.
Τα cookies μπορούν να εξερευνηθούν χρησιμοποιώντας το IECookiesView, με τα μεταδεδομένα να περιλαμβάνουν ονόματα, URLs, αριθμούς πρόσβασης και διάφορες λεπτομέρειες σχετικές με τον χρόνο. Τα μόνιμα cookies αποθηκεύονται στο %userprofile%\Appdata\Roaming\Microsoft\Windows\Cookies
, με τα session cookies να βρίσκονται στη μνήμη.
Τα μεταδεδομένα λήψεων είναι προσβάσιμα μέσω του ESEDatabaseView, με συγκεκριμένα κοντέινερ να περιέχουν δεδομένα όπως URL, τύπο αρχείου και τοποθεσία λήψης. Τα φυσικά αρχεία μπορούν να βρεθούν κάτω από %userprofile%\Appdata\Roaming\Microsoft\Windows\IEDownloadHistory
.
Για να αναθεωρήσετε το ιστορικό περιήγησης, μπορεί να χρησιμοποιηθεί το BrowsingHistoryView, απαιτώντας την τοποθεσία των εξαγόμενων αρχείων ιστορικού και τη ρύθμιση για τον Internet Explorer. Τα μεταδεδομένα εδώ περιλαμβάνουν χρόνους τροποποίησης και πρόσβασης, μαζί με αριθμούς πρόσβασης. Τα αρχεία ιστορικού βρίσκονται στο %userprofile%\Appdata\Local\Microsoft\Windows\History
.
Τα πληκτρολογημένα URLs και οι χρόνοι χρήσης τους αποθηκεύονται στο μητρώο κάτω από το NTUSER.DAT
στο Software\Microsoft\InternetExplorer\TypedURLs
και Software\Microsoft\InternetExplorer\TypedURLsTime
, παρακολουθώντας τα τελευταία 50 URLs που εισήγαγε ο χρήστης και τους τελευταίους χρόνους εισόδου τους.
Ο Microsoft Edge αποθηκεύει τα δεδομένα χρηστών στο %userprofile%\Appdata\Local\Packages
. Οι διαδρομές για διάφορους τύπους δεδομένων είναι:
Profile Path: C:\Users\XX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC
History, Cookies, and Downloads: C:\Users\XX\AppData\Local\Microsoft\Windows\WebCache\WebCacheV01.dat
Settings, Bookmarks, and Reading List: C:\Users\XX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC\MicrosoftEdge\User\Default\DataStore\Data\nouser1\XXX\DBStore\spartan.edb
Cache: C:\Users\XXX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC#!XXX\MicrosoftEdge\Cache
Last Active Sessions: C:\Users\XX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC\MicrosoftEdge\User\Default\Recovery\Active
Τα δεδομένα του Safari αποθηκεύονται στο /Users/$User/Library/Safari
. Τα κύρια αρχεία περιλαμβάνουν:
History.db: Περιέχει τους πίνακες history_visits
και history_items
με URLs και χρονικές σφραγίδες επισκέψεων. Χρησιμοποιήστε το sqlite3
για να κάνετε ερωτήσεις.
Downloads.plist: Πληροφορίες σχετικά με τα ληφθέντα αρχεία.
Bookmarks.plist: Αποθηκεύει τα URLs που έχουν προστεθεί στους σελιδοδείκτες.
TopSites.plist: Οι πιο συχνά επισκεπτόμενοι ιστότοποι.
Extensions.plist: Λίστα με τις επεκτάσεις του προγράμματος περιήγησης Safari. Χρησιμοποιήστε το plutil
ή το pluginkit
για να ανακτήσετε.
UserNotificationPermissions.plist: Τομείς που επιτρέπεται να στέλνουν ειδοποιήσεις. Χρησιμοποιήστε το plutil
για να αναλύσετε.
LastSession.plist: Καρτέλες από την τελευταία συνεδρία. Χρησιμοποιήστε το plutil
για να αναλύσετε.
Browser’s built-in anti-phishing: Ελέγξτε χρησιμοποιώντας defaults read com.apple.Safari WarnAboutFraudulentWebsites
. Μια απάντηση 1 υποδεικνύει ότι η δυνατότητα είναι ενεργή.
Τα δεδομένα του Opera βρίσκονται στο /Users/$USER/Library/Application Support/com.operasoftware.Opera
και μοιράζονται τη μορφή του Chrome για ιστορικό και λήψεις.
Browser’s built-in anti-phishing: Επαληθεύστε ελέγχοντας αν το fraud_protection_enabled
στο αρχείο Preferences είναι ρυθμισμένο σε true
χρησιμοποιώντας grep
.
Αυτές οι διαδρομές και οι εντολές είναι κρίσιμες για την πρόσβαση και την κατανόηση των δεδομένων περιήγησης που αποθηκεύονται από διάφορους ιστότοπους.
Book: OS X Incident Response: Scripting and Analysis By Jaron Bradley pag 123
Χρησιμοποιήστε Trickest για να δημιουργήσετε και να αυτοματοποιήσετε ροές εργασίας που υποστηρίζονται από τα πιο προηγμένα εργαλεία της κοινότητας. Αποκτήστε πρόσβαση σήμερα:
Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)