Browser Artifacts
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Use Trickest to easily build and automate workflows powered by the world's most advanced community tools. Get Access Today:
Browser artifacts include various types of data stored by web browsers, such as navigation history, bookmarks, and cache data. These artifacts are kept in specific folders within the operating system, differing in location and name across browsers, yet generally storing similar data types.
Here's a summary of the most common browser artifacts:
Navigation History: Prati posete korisnika veb sajtovima, korisno za identifikaciju poseta zlonamernim sajtovima.
Autocomplete Data: Predlozi zasnovani na čestim pretragama, nude uvid kada se kombinuju sa istorijom navigacije.
Bookmarks: Sajtovi koje je korisnik sačuvao za brzi pristup.
Extensions and Add-ons: Ekstenzije ili dodaci koje je korisnik instalirao.
Cache: Čuva veb sadržaj (npr. slike, JavaScript datoteke) kako bi poboljšao vreme učitavanja veb sajtova, vredno za forenzičku analizu.
Logins: Sačuvane prijavne informacije.
Favicons: Ikone povezane sa veb sajtovima, pojavljuju se u karticama i oznakama, korisne za dodatne informacije o posetama korisnika.
Browser Sessions: Podaci vezani za otvorene sesije pretraživača.
Downloads: Zapisnici datoteka preuzetih putem pretraživača.
Form Data: Informacije unesene u veb forme, sačuvane za buduće predloge za automatsko popunjavanje.
Thumbnails: Pregledne slike veb sajtova.
Custom Dictionary.txt: Reči koje je korisnik dodao rečniku pretraživača.
Firefox organizuje korisničke podatke unutar profila, koji se čuvaju na specifičnim mestima u zavisnosti od operativnog sistema:
Linux: ~/.mozilla/firefox/
MacOS: /Users/$USER/Library/Application Support/Firefox/Profiles/
Windows: %userprofile%\AppData\Roaming\Mozilla\Firefox\Profiles\
Datoteka profiles.ini
unutar ovih direktorijuma sadrži listu korisničkih profila. Podaci svakog profila se čuvaju u fascikli nazvanoj u Path
varijabli unutar profiles.ini
, koja se nalazi u istom direktorijumu kao i profiles.ini
. Ako nedostaje fascikla profila, možda je obrisana.
Unutar svake fascikle profila možete pronaći nekoliko važnih datoteka:
places.sqlite: Čuva istoriju, oznake i preuzimanja. Alati poput BrowsingHistoryView na Windows-u mogu pristupiti podacima o istoriji.
Koristite specifične SQL upite za ekstrakciju informacija o istoriji i preuzimanjima.
bookmarkbackups: Sadrži rezervne kopije oznaka.
formhistory.sqlite: Čuva podatke o veb formama.
handlers.json: Upravljanje protokolima.
persdict.dat: Reči iz prilagođenog rečnika.
addons.json i extensions.sqlite: Informacije o instaliranim dodacima i ekstenzijama.
cookies.sqlite: Skladištenje kolačića, uz MZCookiesView dostupno za inspekciju na Windows-u.
cache2/entries ili startupCache: Podaci o kešu, dostupni putem alata kao što je MozillaCacheView.
favicons.sqlite: Čuva favicone.
prefs.js: Korisničke postavke i preferencije.
downloads.sqlite: Starija baza podataka preuzimanja, sada integrisana u places.sqlite.
thumbnails: Mini slike veb sajtova.
logins.json: Enkriptovane prijavne informacije.
key4.db ili key3.db: Čuva ključeve za enkripciju osetljivih informacija.
Pored toga, proveru postavki pretraživača za zaštitu od phishing-a možete izvršiti pretraživanjem browser.safebrowsing
unosa u prefs.js
, što ukazuje na to da li su funkcije bezbednog pretraživanja omogućene ili onemogućene.
Da biste pokušali da dekriptujete glavnu lozinku, možete koristiti https://github.com/unode/firefox_decrypt Sa sledećim skriptom i pozivom možete odrediti datoteku lozinki za brute force:
Google Chrome čuva korisničke profile na specifičnim lokacijama u zavisnosti od operativnog sistema:
Linux: ~/.config/google-chrome/
Windows: C:\Users\XXX\AppData\Local\Google\Chrome\User Data\
MacOS: /Users/$USER/Library/Application Support/Google/Chrome/
Unutar ovih direktorijuma, većina korisničkih podataka može se naći u Default/ ili ChromeDefaultData/ folderima. Sledeće datoteke sadrže značajne podatke:
History: Sadrži URL-ove, preuzimanja i ključne reči pretrage. Na Windows-u, ChromeHistoryView može se koristiti za čitanje istorije. Kolona "Transition Type" ima različita značenja, uključujući klikove korisnika na linkove, otkucane URL-ove, slanje obrazaca i ponovna učitavanja stranica.
Cookies: Čuva kolačiće. Za inspekciju, dostupna je ChromeCookiesView.
Cache: Drži keširane podatke. Za inspekciju, korisnici Windows-a mogu koristiti ChromeCacheView.
Bookmarks: Korisničke oznake.
Web Data: Sadrži istoriju obrazaca.
Favicons: Čuva favicon-e veb sajtova.
Login Data: Uključuje podatke za prijavu kao što su korisnička imena i lozinke.
Current Session/Current Tabs: Podaci o trenutnoj sesiji pretraživanja i otvorenim karticama.
Last Session/Last Tabs: Informacije o sajtovima aktivnim tokom poslednje sesije pre nego što je Chrome zatvoren.
Extensions: Direktorijumi za ekstenzije i dodatke pretraživača.
Thumbnails: Čuva sličice veb sajtova.
Preferences: Datoteka bogata informacijama, uključujući podešavanja za dodatke, ekstenzije, iskačuće prozore, obaveštenja i još mnogo toga.
Browser’s built-in anti-phishing: Da biste proverili da li su zaštita od phishing-a i zaštita od malvera omogućene, pokrenite grep 'safebrowsing' ~/Library/Application Support/Google/Chrome/Default/Preferences
. Potražite {"enabled: true,"}
u izlazu.
Kao što možete primetiti u prethodnim sekcijama, i Chrome i Firefox koriste SQLite baze podataka za čuvanje podataka. Moguće je oporaviti obrisane unose koristeći alat sqlparse ili sqlparse_gui.
Internet Explorer 11 upravlja svojim podacima i metapodacima na različitim lokacijama, pomažući u razdvajanju sačuvanih informacija i njihovih odgovarajućih detalja radi lakšeg pristupa i upravljanja.
Metapodaci za Internet Explorer čuvaju se u %userprofile%\Appdata\Local\Microsoft\Windows\WebCache\WebcacheVX.data
(gde je VX V01, V16 ili V24). Uz to, datoteka V01.log
može pokazati razlike u vremenu modifikacije sa WebcacheVX.data
, što ukazuje na potrebu za popravkom koristeći esentutl /r V01 /d
. Ovi metapodaci, smešteni u ESE bazi podataka, mogu se oporaviti i pregledati koristeći alate kao što su photorec i ESEDatabaseView, redom. Unutar tabele Containers, može se razaznati specifične tabele ili kontejneri gde je svaki segment podataka smešten, uključujući detalje o kešu za druge Microsoft alate kao što je Skype.
Alat IECacheView omogućava inspekciju keša, zahtevajući lokaciju foldera za ekstrakciju podataka iz keša. Metapodaci za keš uključuju ime datoteke, direktorijum, broj pristupa, URL izvor i vremenske oznake koje označavaju vreme kreiranja, pristupa, modifikacije i isteka keša.
Kolačići se mogu istraživati koristeći IECookiesView, sa metapodacima koji obuhvataju imena, URL-ove, brojeve pristupa i razne vremenske detalje. Trajni kolačići se čuvaju u %userprofile%\Appdata\Roaming\Microsoft\Windows\Cookies
, dok se sesijski kolačići nalaze u memoriji.
Metapodaci o preuzimanjima su dostupni putem ESEDatabaseView, sa specifičnim kontejnerima koji sadrže podatke kao što su URL, tip datoteke i lokacija preuzimanja. Fizičke datoteke se mogu naći pod %userprofile%\Appdata\Roaming\Microsoft\Windows\IEDownloadHistory
.
Za pregled istorije pretraživanja, može se koristiti BrowsingHistoryView, zahtevajući lokaciju ekstraktovanih datoteka istorije i konfiguraciju za Internet Explorer. Metapodaci ovde uključuju vremena modifikacije i pristupa, zajedno sa brojevima pristupa. Datoteke istorije se nalaze u %userprofile%\Appdata\Local\Microsoft\Windows\History
.
Otucani URL-ovi i njihova vremena korišćenja čuvaju se u registru pod NTUSER.DAT
na Software\Microsoft\InternetExplorer\TypedURLs
i Software\Microsoft\InternetExplorer\TypedURLsTime
, prateći poslednjih 50 URL-ova koje je korisnik uneo i njihova poslednja vremena unosa.
Microsoft Edge čuva korisničke podatke u %userprofile%\Appdata\Local\Packages
. Putanje za različite tipove podataka su:
Profile Path: C:\Users\XX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC
History, Cookies, and Downloads: C:\Users\XX\AppData\Local\Microsoft\Windows\WebCache\WebCacheV01.dat
Settings, Bookmarks, and Reading List: C:\Users\XX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC\MicrosoftEdge\User\Default\DataStore\Data\nouser1\XXX\DBStore\spartan.edb
Cache: C:\Users\XXX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC#!XXX\MicrosoftEdge\Cache
Last Active Sessions: C:\Users\XX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC\MicrosoftEdge\User\Default\Recovery\Active
Safari podaci se čuvaju na /Users/$User/Library/Safari
. Ključne datoteke uključuju:
History.db: Sadrži tabele history_visits
i history_items
sa URL-ovima i vremenskim oznakama poseta. Koristite sqlite3
za upite.
Downloads.plist: Informacije o preuzetim datotekama.
Bookmarks.plist: Čuva URL-ove oznaka.
TopSites.plist: Najčešće posećeni sajtovi.
Extensions.plist: Lista ekstenzija pretraživača Safari. Koristite plutil
ili pluginkit
za preuzimanje.
UserNotificationPermissions.plist: Domeni kojima je dozvoljeno slanje obaveštenja. Koristite plutil
za analizu.
LastSession.plist: Kartice iz poslednje sesije. Koristite plutil
za analizu.
Browser’s built-in anti-phishing: Proverite koristeći defaults read com.apple.Safari WarnAboutFraudulentWebsites
. Odgovor 1 označava da je funkcija aktivna.
Opera podaci se nalaze u /Users/$USER/Library/Application Support/com.operasoftware.Opera
i deli format Chrome-a za istoriju i preuzimanja.
Browser’s built-in anti-phishing: Proverite tako što ćete proveriti da li je fraud_protection_enabled
u datoteci Preferences postavljeno na true
koristeći grep
.
Ove putanje i komande su ključne za pristup i razumevanje podataka o pretraživanju koje čuvaju različiti veb pretraživači.
Book: OS X Incident Response: Scripting and Analysis By Jaron Bradley pag 123
Koristite Trickest za lako kreiranje i automatizaciju radnih tokova pokretanih najnaprednijim alatom zajednice. Pribavite pristup danas:
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)