Browser Artifacts
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)
Usa Trickest para construir y automatizar flujos de trabajo fácilmente, impulsados por las herramientas comunitarias más avanzadas del mundo. Obtén acceso hoy:
Artefactos del Navegador
Los artefactos del navegador incluyen varios tipos de datos almacenados por los navegadores web, como el historial de navegación, marcadores y datos de caché. Estos artefactos se mantienen en carpetas específicas dentro del sistema operativo, variando en ubicación y nombre entre navegadores, pero generalmente almacenando tipos de datos similares.
Aquí hay un resumen de los artefactos de navegador más comunes:
Historial de Navegación: Registra las visitas del usuario a sitios web, útil para identificar visitas a sitios maliciosos.
Datos de Autocompletar: Sugerencias basadas en búsquedas frecuentes, ofreciendo información cuando se combinan con el historial de navegación.
Marcadores: Sitios guardados por el usuario para acceso rápido.
Extensiones y Complementos: Extensiones del navegador o complementos instalados por el usuario.
Caché: Almacena contenido web (por ejemplo, imágenes, archivos JavaScript) para mejorar los tiempos de carga de los sitios web, valioso para el análisis forense.
Inicios de Sesión: Credenciales de inicio de sesión almacenadas.
Favicons: Iconos asociados con sitios web, que aparecen en pestañas y marcadores, útiles para información adicional sobre las visitas del usuario.
Sesiones del Navegador: Datos relacionados con las sesiones abiertas del navegador.
Descargas: Registros de archivos descargados a través del navegador.
Datos de Formularios: Información ingresada en formularios web, guardada para futuras sugerencias de autocompletar.
Miniaturas: Imágenes de vista previa de sitios web.
Custom Dictionary.txt: Palabras añadidas por el usuario al diccionario del navegador.
Firefox
Firefox organiza los datos del usuario dentro de perfiles, almacenados en ubicaciones específicas según el sistema operativo:
Linux:
~/.mozilla/firefox/
MacOS:
/Users/$USER/Library/Application Support/Firefox/Profiles/
Windows:
%userprofile%\AppData\Roaming\Mozilla\Firefox\Profiles\
Un archivo profiles.ini
dentro de estos directorios lista los perfiles de usuario. Los datos de cada perfil se almacenan en una carpeta nombrada en la variable Path
dentro de profiles.ini
, ubicada en el mismo directorio que profiles.ini
mismo. Si falta la carpeta de un perfil, puede haber sido eliminada.
Dentro de cada carpeta de perfil, puedes encontrar varios archivos importantes:
places.sqlite: Almacena historial, marcadores y descargas. Herramientas como BrowsingHistoryView en Windows pueden acceder a los datos del historial.
Usa consultas SQL específicas para extraer información de historial y descargas.
bookmarkbackups: Contiene copias de seguridad de marcadores.
formhistory.sqlite: Almacena datos de formularios web.
handlers.json: Gestiona los controladores de protocolo.
persdict.dat: Palabras del diccionario personalizado.
addons.json y extensions.sqlite: Información sobre complementos y extensiones instalados.
cookies.sqlite: Almacenamiento de cookies, con MZCookiesView disponible para inspección en Windows.
cache2/entries o startupCache: Datos de caché, accesibles a través de herramientas como MozillaCacheView.
favicons.sqlite: Almacena favicons.
prefs.js: Configuraciones y preferencias del usuario.
downloads.sqlite: Base de datos de descargas antiguas, ahora integrada en places.sqlite.
thumbnails: Miniaturas de sitios web.
logins.json: Información de inicio de sesión encriptada.
key4.db o key3.db: Almacena claves de encriptación para asegurar información sensible.
Además, verificar la configuración de anti-phishing del navegador se puede hacer buscando entradas browser.safebrowsing
en prefs.js
, indicando si las funciones de navegación segura están habilitadas o deshabilitadas.
Para intentar descifrar la contraseña maestra, puedes usar https://github.com/unode/firefox_decrypt Con el siguiente script y llamada puedes especificar un archivo de contraseña para hacer fuerza bruta:
Google Chrome
Google Chrome almacena perfiles de usuario en ubicaciones específicas según el sistema operativo:
Linux:
~/.config/google-chrome/
Windows:
C:\Users\XXX\AppData\Local\Google\Chrome\User Data\
MacOS:
/Users/$USER/Library/Application Support/Google/Chrome/
Dentro de estos directorios, la mayoría de los datos del usuario se pueden encontrar en las carpetas Default/ o ChromeDefaultData/. Los siguientes archivos contienen datos significativos:
History: Contiene URLs, descargas y palabras clave de búsqueda. En Windows, se puede usar ChromeHistoryView para leer el historial. La columna "Transition Type" tiene varios significados, incluyendo clics del usuario en enlaces, URLs escritas, envíos de formularios y recargas de página.
Cookies: Almacena cookies. Para inspección, está disponible ChromeCookiesView.
Cache: Contiene datos en caché. Para inspeccionar, los usuarios de Windows pueden utilizar ChromeCacheView.
Bookmarks: Marcadores del usuario.
Web Data: Contiene el historial de formularios.
Favicons: Almacena favicons de sitios web.
Login Data: Incluye credenciales de inicio de sesión como nombres de usuario y contraseñas.
Current Session/Current Tabs: Datos sobre la sesión de navegación actual y las pestañas abiertas.
Last Session/Last Tabs: Información sobre los sitios activos durante la última sesión antes de que se cerrara Chrome.
Extensions: Directorios para extensiones y complementos del navegador.
Thumbnails: Almacena miniaturas de sitios web.
Preferences: Un archivo rico en información, incluyendo configuraciones para complementos, extensiones, ventanas emergentes, notificaciones y más.
Browser’s built-in anti-phishing: Para verificar si la protección contra phishing y malware está habilitada, ejecute
grep 'safebrowsing' ~/Library/Application Support/Google/Chrome/Default/Preferences
. Busque{"enabled: true,"}
en la salida.
Recuperación de Datos de SQLite DB
Como se puede observar en las secciones anteriores, tanto Chrome como Firefox utilizan bases de datos SQLite para almacenar los datos. Es posible recuperar entradas eliminadas utilizando la herramienta sqlparse o sqlparse_gui.
Internet Explorer 11
Internet Explorer 11 gestiona sus datos y metadatos en varias ubicaciones, ayudando a separar la información almacenada y sus detalles correspondientes para un fácil acceso y gestión.
Almacenamiento de Metadatos
Los metadatos para Internet Explorer se almacenan en %userprofile%\Appdata\Local\Microsoft\Windows\WebCache\WebcacheVX.data
(siendo VX V01, V16 o V24). Acompañando esto, el archivo V01.log
puede mostrar discrepancias en el tiempo de modificación con WebcacheVX.data
, indicando la necesidad de reparación usando esentutl /r V01 /d
. Este metadato, alojado en una base de datos ESE, puede ser recuperado e inspeccionado utilizando herramientas como photorec y ESEDatabaseView, respectivamente. Dentro de la tabla Containers, se puede discernir las tablas o contenedores específicos donde se almacena cada segmento de datos, incluyendo detalles de caché para otras herramientas de Microsoft como Skype.
Inspección de Caché
La herramienta IECacheView permite la inspección de caché, requiriendo la ubicación de la carpeta de extracción de datos de caché. Los metadatos de caché incluyen nombre de archivo, directorio, conteo de accesos, origen de URL y marcas de tiempo que indican los tiempos de creación, acceso, modificación y expiración de la caché.
Gestión de Cookies
Las cookies se pueden explorar utilizando IECookiesView, con metadatos que abarcan nombres, URLs, conteos de acceso y varios detalles relacionados con el tiempo. Las cookies persistentes se almacenan en %userprofile%\Appdata\Roaming\Microsoft\Windows\Cookies
, mientras que las cookies de sesión residen en la memoria.
Detalles de Descargas
Los metadatos de descargas son accesibles a través de ESEDatabaseView, con contenedores específicos que contienen datos como URL, tipo de archivo y ubicación de descarga. Los archivos físicos se pueden encontrar en %userprofile%\Appdata\Roaming\Microsoft\Windows\IEDownloadHistory
.
Historial de Navegación
Para revisar el historial de navegación, se puede usar BrowsingHistoryView, requiriendo la ubicación de los archivos de historial extraídos y la configuración para Internet Explorer. Los metadatos aquí incluyen tiempos de modificación y acceso, junto con conteos de acceso. Los archivos de historial se encuentran en %userprofile%\Appdata\Local\Microsoft\Windows\History
.
URLs Escritas
Las URLs escritas y sus tiempos de uso se almacenan en el registro bajo NTUSER.DAT
en Software\Microsoft\InternetExplorer\TypedURLs
y Software\Microsoft\InternetExplorer\TypedURLsTime
, rastreando las últimas 50 URLs ingresadas por el usuario y sus últimos tiempos de entrada.
Microsoft Edge
Microsoft Edge almacena datos de usuario en %userprofile%\Appdata\Local\Packages
. Las rutas para varios tipos de datos son:
Profile Path:
C:\Users\XX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC
History, Cookies, and Downloads:
C:\Users\XX\AppData\Local\Microsoft\Windows\WebCache\WebCacheV01.dat
Settings, Bookmarks, and Reading List:
C:\Users\XX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC\MicrosoftEdge\User\Default\DataStore\Data\nouser1\XXX\DBStore\spartan.edb
Cache:
C:\Users\XXX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC#!XXX\MicrosoftEdge\Cache
Last Active Sessions:
C:\Users\XX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC\MicrosoftEdge\User\Default\Recovery\Active
Safari
Los datos de Safari se almacenan en /Users/$User/Library/Safari
. Los archivos clave incluyen:
History.db: Contiene tablas
history_visits
yhistory_items
con URLs y marcas de tiempo de visitas. Usesqlite3
para consultar.Downloads.plist: Información sobre archivos descargados.
Bookmarks.plist: Almacena URLs marcadas.
TopSites.plist: Sitios más visitados.
Extensions.plist: Lista de extensiones del navegador Safari. Use
plutil
opluginkit
para recuperar.UserNotificationPermissions.plist: Dominios permitidos para enviar notificaciones. Use
plutil
para analizar.LastSession.plist: Pestañas de la última sesión. Use
plutil
para analizar.Browser’s built-in anti-phishing: Verifique usando
defaults read com.apple.Safari WarnAboutFraudulentWebsites
. Una respuesta de 1 indica que la función está activa.
Opera
Los datos de Opera residen en /Users/$USER/Library/Application Support/com.operasoftware.Opera
y comparte el formato de Chrome para historial y descargas.
Browser’s built-in anti-phishing: Verifique comprobando si
fraud_protection_enabled
en el archivo de preferencias está configurado comotrue
usandogrep
.
Estas rutas y comandos son cruciales para acceder y comprender los datos de navegación almacenados por diferentes navegadores web.
Referencias
Libro: OS X Incident Response: Scripting and Analysis By Jaron Bradley pag 123
Use Trickest para construir y automatizar flujos de trabajo fácilmente impulsados por las herramientas comunitarias más avanzadas del mundo. Obtén acceso hoy:
Aprende y practica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Last updated