Browser Artifacts
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Use Trickest to easily build and automate workflows powered by the world's most advanced community tools. Get Access Today:
Browser artifacts include various types of data stored by web browsers, such as navigation history, bookmarks, and cache data. These artifacts are kept in specific folders within the operating system, differing in location and name across browsers, yet generally storing similar data types.
Here's a summary of the most common browser artifacts:
Navigation History: उपयोगकर्ता द्वारा वेबसाइटों पर जाने का ट्रैक रखता है, जो दुर्भावनापूर्ण साइटों पर जाने की पहचान करने के लिए उपयोगी है।
Autocomplete Data: बार-बार किए गए खोजों के आधार पर सुझाव, जो नेविगेशन इतिहास के साथ मिलाकर अंतर्दृष्टि प्रदान करते हैं।
Bookmarks: उपयोगकर्ता द्वारा त्वरित पहुँच के लिए सहेजे गए साइटें।
Extensions and Add-ons: उपयोगकर्ता द्वारा स्थापित ब्राउज़र एक्सटेंशन या ऐड-ऑन।
Cache: वेबसाइट लोडिंग समय में सुधार के लिए वेब सामग्री (जैसे, चित्र, जावास्क्रिप्ट फ़ाइलें) को संग्रहीत करता है, फोरेंसिक विश्लेषण के लिए मूल्यवान।
Logins: संग्रहीत लॉगिन क्रेडेंशियल्स।
Favicons: वेबसाइटों से जुड़े आइकन, जो टैब और बुकमार्क में दिखाई देते हैं, उपयोगकर्ता की विज़िट पर अतिरिक्त जानकारी के लिए उपयोगी।
Browser Sessions: खुले ब्राउज़र सत्रों से संबंधित डेटा।
Downloads: ब्राउज़र के माध्यम से डाउनलोड की गई फ़ाइलों का रिकॉर्ड।
Form Data: वेब फ़ॉर्म में दर्ज की गई जानकारी, भविष्य के ऑटोफिल सुझावों के लिए सहेजी गई।
Thumbnails: वेबसाइटों के पूर्वावलोकन चित्र।
Custom Dictionary.txt: ब्राउज़र के शब्दकोश में उपयोगकर्ता द्वारा जोड़े गए शब्द।
Firefox उपयोगकर्ता डेटा को प्रोफाइल में व्यवस्थित करता है, जो ऑपरेटिंग सिस्टम के आधार पर विशिष्ट स्थानों में संग्रहीत होता है:
Linux: ~/.mozilla/firefox/
MacOS: /Users/$USER/Library/Application Support/Firefox/Profiles/
Windows: %userprofile%\AppData\Roaming\Mozilla\Firefox\Profiles\
इन निर्देशिकाओं में एक profiles.ini
फ़ाइल उपयोगकर्ता प्रोफाइल की सूची बनाती है। प्रत्येक प्रोफाइल का डेटा profiles.ini
में Path
वेरिएबल में नामित फ़ोल्डर में संग्रहीत होता है, जो profiles.ini
के समान निर्देशिका में स्थित होता है। यदि किसी प्रोफाइल का फ़ोल्डर गायब है, तो इसे हटाया जा सकता है।
प्रत्येक प्रोफाइल फ़ोल्डर के भीतर, आप कई महत्वपूर्ण फ़ाइलें पा सकते हैं:
places.sqlite: इतिहास, बुकमार्क और डाउनलोड संग्रहीत करता है। Windows पर BrowsingHistoryView जैसे उपकरण इतिहास डेटा तक पहुँच सकते हैं।
इतिहास और डाउनलोड जानकारी निकालने के लिए विशिष्ट SQL क्वेरी का उपयोग करें।
bookmarkbackups: बुकमार्क के बैकअप को शामिल करता है।
formhistory.sqlite: वेब फ़ॉर्म डेटा संग्रहीत करता है।
handlers.json: प्रोटोकॉल हैंडलर्स का प्रबंधन करता है।
persdict.dat: कस्टम शब्दकोश के शब्द।
addons.json और extensions.sqlite: स्थापित ऐड-ऑन और एक्सटेंशन की जानकारी।
cookies.sqlite: कुकी संग्रहण, Windows पर निरीक्षण के लिए MZCookiesView उपलब्ध है।
cache2/entries या startupCache: कैश डेटा, MozillaCacheView जैसे उपकरणों के माध्यम से पहुँच योग्य।
favicons.sqlite: फेविकॉन्स संग्रहीत करता है।
prefs.js: उपयोगकर्ता सेटिंग्स और प्राथमिकताएँ।
downloads.sqlite: पुरानी डाउनलोड डेटाबेस, अब places.sqlite में एकीकृत।
thumbnails: वेबसाइट थंबनेल।
logins.json: एन्क्रिप्टेड लॉगिन जानकारी।
key4.db या key3.db: संवेदनशील जानकारी को सुरक्षित करने के लिए एन्क्रिप्शन कुंजी संग्रहीत करता है।
अतिरिक्त रूप से, ब्राउज़र के एंटी-फिशिंग सेटिंग्स की जाँच prefs.js
में browser.safebrowsing
प्रविष्टियों की खोज करके की जा सकती है, जो यह संकेत करती है कि सुरक्षित ब्राउज़िंग सुविधाएँ सक्षम या अक्षम हैं।
मास्टर पासवर्ड को डिक्रिप्ट करने के लिए, आप https://github.com/unode/firefox_decrypt का उपयोग कर सकते हैं। निम्नलिखित स्क्रिप्ट और कॉल के साथ आप ब्रूट फोर्स करने के लिए एक पासवर्ड फ़ाइल निर्दिष्ट कर सकते हैं:
Google Chrome उपयोगकर्ता प्रोफाइल को ऑपरेटिंग सिस्टम के आधार पर विशिष्ट स्थानों में संग्रहीत करता है:
Linux: ~/.config/google-chrome/
Windows: C:\Users\XXX\AppData\Local\Google\Chrome\User Data\
MacOS: /Users/$USER/Library/Application Support/Google/Chrome/
इन निर्देशिकाओं के भीतर, अधिकांश उपयोगकर्ता डेटा Default/ या ChromeDefaultData/ फ़ोल्डरों में पाया जा सकता है। निम्नलिखित फ़ाइलें महत्वपूर्ण डेटा रखती हैं:
History: URLs, डाउनलोड और खोज कीवर्ड शामिल हैं। Windows पर, ChromeHistoryView का उपयोग इतिहास पढ़ने के लिए किया जा सकता है। "Transition Type" कॉलम में विभिन्न अर्थ होते हैं, जिसमें उपयोगकर्ता द्वारा लिंक पर क्लिक करना, टाइप किए गए URLs, फ़ॉर्म सबमिशन और पृष्ठ पुनः लोड करना शामिल है।
Cookies: कुकीज़ संग्रहीत करता है। निरीक्षण के लिए, ChromeCookiesView उपलब्ध है।
Cache: कैश डेटा रखता है। निरीक्षण के लिए, Windows उपयोगकर्ता ChromeCacheView का उपयोग कर सकते हैं।
Bookmarks: उपयोगकर्ता बुकमार्क।
Web Data: फ़ॉर्म इतिहास शामिल है।
Favicons: वेबसाइट के फ़ेविकॉन संग्रहीत करता है।
Login Data: उपयोगकर्ता नाम और पासवर्ड जैसे लॉगिन क्रेडेंशियल्स शामिल हैं।
Current Session/Current Tabs: वर्तमान ब्राउज़िंग सत्र और खुले टैब के बारे में डेटा।
Last Session/Last Tabs: Chrome बंद होने से पहले अंतिम सत्र के दौरान सक्रिय साइटों के बारे में जानकारी।
Extensions: ब्राउज़र एक्सटेंशन और ऐड-ऑन के लिए निर्देशिकाएँ।
Thumbnails: वेबसाइट के थंबनेल संग्रहीत करता है।
Preferences: एक फ़ाइल जो जानकारी से भरपूर है, जिसमें प्लगइन्स, एक्सटेंशन, पॉप-अप, सूचनाएँ और अधिक के लिए सेटिंग्स शामिल हैं।
Browser’s built-in anti-phishing: यह जांचने के लिए कि क्या एंटी-फिशिंग और मैलवेयर सुरक्षा सक्षम है, grep 'safebrowsing' ~/Library/Application Support/Google/Chrome/Default/Preferences
चलाएँ। आउटपुट में {"enabled: true,"}
देखें।
जैसा कि आप पिछले अनुभागों में देख सकते हैं, Chrome और Firefox दोनों SQLite डेटाबेस का उपयोग डेटा संग्रहीत करने के लिए करते हैं। टूल का उपयोग करके हटाए गए प्रविष्टियों को पुनर्प्राप्त करना संभव है sqlparse या sqlparse_gui।
Internet Explorer 11 अपने डेटा और मेटाडेटा को विभिन्न स्थानों में प्रबंधित करता है, संग्रहीत जानकारी और इसके संबंधित विवरणों को अलग करने में मदद करता है ताकि आसानी से पहुँच और प्रबंधन किया जा सके।
Internet Explorer के लिए मेटाडेटा %userprofile%\Appdata\Local\Microsoft\Windows\WebCache\WebcacheVX.data
में संग्रहीत होता है (जहाँ VX V01, V16, या V24 हो सकता है)। इसके साथ, V01.log
फ़ाइल में WebcacheVX.data
के साथ संशोधन समय में असमानताएँ दिखाई दे सकती हैं, जो esentutl /r V01 /d
का उपयोग करके मरम्मत की आवश्यकता को इंगित करती हैं। यह मेटाडेटा, जो एक ESE डेटाबेस में स्थित है, को photorec और ESEDatabaseView जैसे टूल का उपयोग करके पुनर्प्राप्त और निरीक्षण किया जा सकता है। Containers तालिका के भीतर, कोई यह पहचान सकता है कि प्रत्येक डेटा खंड कहाँ संग्रहीत है, जिसमें अन्य Microsoft टूल जैसे Skype के लिए कैश विवरण शामिल हैं।
IECacheView टूल कैश निरीक्षण की अनुमति देता है, जिसके लिए कैश डेटा निष्कर्षण फ़ोल्डर स्थान की आवश्यकता होती है। कैश के लिए मेटाडेटा में फ़ाइल नाम, निर्देशिका, पहुँच गणना, URL मूल, और कैश निर्माण, पहुँच, संशोधन, और समाप्ति समय को इंगित करने वाले टाइमस्टैम्प शामिल हैं।
कुकीज़ को IECookiesView का उपयोग करके खोजा जा सकता है, जिसमें मेटाडेटा नाम, URLs, पहुँच गणना, और विभिन्न समय-संबंधित विवरण शामिल हैं। स्थायी कुकीज़ %userprofile%\Appdata\Roaming\Microsoft\Windows\Cookies
में संग्रहीत होती हैं, जबकि सत्र कुकीज़ मेमोरी में रहती हैं।
डाउनलोड मेटाडेटा ESEDatabaseView के माध्यम से सुलभ है, जिसमें विशिष्ट कंटेनर डेटा जैसे URL, फ़ाइल प्रकार, और डाउनलोड स्थान रखता है। भौतिक फ़ाइलें %userprofile%\Appdata\Roaming\Microsoft\Windows\IEDownloadHistory
के अंतर्गत पाई जा सकती हैं।
ब्राउज़िंग इतिहास की समीक्षा करने के लिए, BrowsingHistoryView का उपयोग किया जा सकता है, जिसमें निकाले गए इतिहास फ़ाइलों का स्थान और Internet Explorer के लिए कॉन्फ़िगरेशन की आवश्यकता होती है। यहाँ मेटाडेटा में संशोधन और पहुँच समय, साथ ही पहुँच गणना शामिल है। इतिहास फ़ाइलें %userprofile%\Appdata\Local\Microsoft\Windows\History
में स्थित हैं।
टाइप किए गए URLs और उनके उपयोग समय को रजिस्ट्री में NTUSER.DAT
के अंतर्गत Software\Microsoft\InternetExplorer\TypedURLs
और Software\Microsoft\InternetExplorer\TypedURLsTime
में संग्रहीत किया जाता है, जो उपयोगकर्ता द्वारा दर्ज किए गए अंतिम 50 URLs और उनके अंतिम इनपुट समय को ट्रैक करता है।
Microsoft Edge उपयोगकर्ता डेटा को %userprofile%\Appdata\Local\Packages
में संग्रहीत करता है। विभिन्न डेटा प्रकारों के लिए पथ हैं:
Profile Path: C:\Users\XX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC
History, Cookies, and Downloads: C:\Users\XX\AppData\Local\Microsoft\Windows\WebCache\WebCacheV01.dat
Settings, Bookmarks, and Reading List: C:\Users\XX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC\MicrosoftEdge\User\Default\DataStore\Data\nouser1\XXX\DBStore\spartan.edb
Cache: C:\Users\XXX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC#!XXX\MicrosoftEdge\Cache
Last Active Sessions: C:\Users\XX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC\MicrosoftEdge\User\Default\Recovery\Active
Safari डेटा /Users/$User/Library/Safari
में संग्रहीत होता है। प्रमुख फ़ाइलें शामिल हैं:
History.db: history_visits
और history_items
तालिकाएँ URLs और यात्रा के टाइमस्टैम्प के साथ। क्वेरी करने के लिए sqlite3
का उपयोग करें।
Downloads.plist: डाउनलोड की गई फ़ाइलों के बारे में जानकारी।
Bookmarks.plist: बुकमार्क किए गए URLs संग्रहीत करता है।
TopSites.plist: सबसे अधिक देखी जाने वाली साइटें।
Extensions.plist: Safari ब्राउज़र एक्सटेंशन की सूची। पुनर्प्राप्त करने के लिए plutil
या pluginkit
का उपयोग करें।
UserNotificationPermissions.plist: डोमेन जो सूचनाएँ भेजने की अनुमति देते हैं। पार्स करने के लिए plutil
का उपयोग करें।
LastSession.plist: अंतिम सत्र से टैब। पार्स करने के लिए plutil
का उपयोग करें।
Browser’s built-in anti-phishing: जांचें कि defaults read com.apple.Safari WarnAboutFraudulentWebsites
का उपयोग करके। 1 का उत्तर संकेत करता है कि यह सुविधा सक्रिय है।
Opera का डेटा /Users/$USER/Library/Application Support/com.operasoftware.Opera
में स्थित है और इतिहास और डाउनलोड के लिए Chrome के प्रारूप को साझा करता है।
Browser’s built-in anti-phishing: यह सत्यापित करें कि क्या Preferences फ़ाइल में fraud_protection_enabled
को true
पर सेट किया गया है, grep
का उपयोग करके।
ये पथ और कमांड विभिन्न वेब ब्राउज़रों द्वारा संग्रहीत ब्राउज़िंग डेटा तक पहुँचने और समझने के लिए महत्वपूर्ण हैं।
Book: OS X Incident Response: Scripting and Analysis By Jaron Bradley pag 123
Use Trickest to easily build and automate workflows powered by the world's most advanced community tools. Get Access Today:
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)