Browser Artifacts
Last updated
Last updated
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Trickest kullanarak dünyanın en gelişmiş topluluk araçlarıyla desteklenen iş akışlarını kolayca oluşturun ve otomatikleştirin. Bugün Erişim Alın:
Tarayıcı artifaktları, web tarayıcıları tarafından saklanan çeşitli veri türlerini içerir; bunlar arasında gezinme geçmişi, yer imleri ve önbellek verileri bulunur. Bu artifaktlar, işletim sistemi içinde belirli klasörlerde saklanır, konum ve isim açısından tarayıcılar arasında farklılık gösterir, ancak genellikle benzer veri türlerini depolar.
En yaygın tarayıcı artifaktlarının bir özeti:
Geçmiş: Kullanıcıların web sitelerine yaptığı ziyaretleri takip eder, kötü niyetli sitelere yapılan ziyaretleri belirlemek için faydalıdır.
Otomatik Tamamlama Verileri: Sık yapılan aramalara dayalı öneriler, gezinme geçmişi ile birleştirildiğinde içgörüler sunar.
Yer İmleri: Kullanıcı tarafından hızlı erişim için kaydedilen siteler.
Uzantılar ve Eklentiler: Kullanıcı tarafından yüklenen tarayıcı uzantıları veya eklentileri.
Önbellek: Web içeriğini (örneğin, resimler, JavaScript dosyaları) saklar, web sitesi yükleme sürelerini iyileştirir, adli analiz için değerlidir.
Girişler: Saklanan giriş kimlik bilgileri.
Favikonlar: Web siteleriyle ilişkili simgeler, sekmelerde ve yer imlerinde görünür, kullanıcı ziyaretleri hakkında ek bilgi sağlar.
Tarayıcı Oturumları: Açık tarayıcı oturumlarıyla ilgili veriler.
İndirmeler: Tarayıcı aracılığıyla indirilen dosyaların kayıtları.
Form Verileri: Web formlarına girilen bilgiler, gelecekteki otomatik doldurma önerileri için saklanır.
Küçük Resimler: Web sitelerinin önizleme resimleri.
Özel Dictionary.txt: Kullanıcı tarafından tarayıcının sözlüğüne eklenen kelimeler.
Firefox, kullanıcı verilerini profiller içinde düzenler, bu profiller işletim sistemine bağlı olarak belirli konumlarda saklanır:
Linux: ~/.mozilla/firefox/
MacOS: /Users/$USER/Library/Application Support/Firefox/Profiles/
Windows: %userprofile%\AppData\Roaming\Mozilla\Firefox\Profiles\
Bu dizinlerdeki profiles.ini
dosyası, kullanıcı profillerini listeler. Her profilin verileri, profiles.ini
içindeki Path
değişkeninde belirtilen bir klasörde saklanır ve bu klasör profiles.ini
ile aynı dizindedir. Eğer bir profilin klasörü eksikse, silinmiş olabilir.
Her profil klasöründe, birkaç önemli dosya bulabilirsiniz:
places.sqlite: Geçmiş, yer imleri ve indirmeleri saklar. Windows'ta BrowsingHistoryView gibi araçlar geçmiş verilerine erişebilir.
Geçmiş ve indirme bilgilerini çıkarmak için belirli SQL sorguları kullanın.
bookmarkbackups: Yer imlerinin yedeklerini içerir.
formhistory.sqlite: Web form verilerini saklar.
handlers.json: Protokol yöneticilerini yönetir.
persdict.dat: Özel sözlük kelimeleri.
addons.json ve extensions.sqlite: Yüklenen eklentiler ve uzantılar hakkında bilgi.
cookies.sqlite: Çerez depolama, Windows'ta inceleme için MZCookiesView mevcuttur.
cache2/entries veya startupCache: Önbellek verileri, MozillaCacheView gibi araçlarla erişilebilir.
favicons.sqlite: Favikonları saklar.
prefs.js: Kullanıcı ayarları ve tercihleri.
downloads.sqlite: Eski indirme veritabanı, artık places.sqlite içine entegre edilmiştir.
thumbnails: Web sitesi küçük resimleri.
logins.json: Şifrelenmiş giriş bilgileri.
key4.db veya key3.db: Hassas bilgileri güvence altına almak için şifreleme anahtarlarını saklar.
Ayrıca, tarayıcının anti-fishing ayarlarını kontrol etmek için prefs.js
içinde browser.safebrowsing
girişlerini arayarak güvenli tarama özelliklerinin etkin veya devre dışı olup olmadığını belirleyebilirsiniz.
Ana şifreyi çözmeye çalışmak için https://github.com/unode/firefox_decrypt kullanabilirsiniz. Aşağıdaki script ve çağrı ile bir şifre dosyasını brute force yapmak için belirtebilirsiniz:
Google Chrome, işletim sistemine bağlı olarak kullanıcı profillerini belirli konumlarda saklar:
Linux: ~/.config/google-chrome/
Windows: C:\Users\XXX\AppData\Local\Google\Chrome\User Data\
MacOS: /Users/$USER/Library/Application Support/Google/Chrome/
Bu dizinler içinde, çoğu kullanıcı verisi Default/ veya ChromeDefaultData/ klasörlerinde bulunabilir. Aşağıdaki dosyalar önemli veriler içerir:
History: URL'ler, indirmeler ve arama anahtar kelimelerini içerir. Windows'ta, ChromeHistoryView kullanılarak geçmiş okunabilir. "Transition Type" sütunu, kullanıcıların bağlantılara tıklamaları, yazılan URL'ler, form gönderimleri ve sayfa yenilemeleri gibi çeşitli anlamlar taşır.
Cookies: Çerezleri saklar. İnceleme için ChromeCookiesView mevcuttur.
Cache: Önbelleğe alınmış verileri tutar. İncelemek için Windows kullanıcıları ChromeCacheView kullanabilir.
Bookmarks: Kullanıcı yer imleri.
Web Data: Form geçmişini içerir.
Favicons: Web sitesi favikonlarını saklar.
Login Data: Kullanıcı adları ve şifreler gibi giriş bilgilerini içerir.
Current Session/Current Tabs: Mevcut tarayıcı oturumu ve açık sekmeler hakkında veriler.
Last Session/Last Tabs: Chrome kapatılmadan önceki son oturumda aktif olan siteler hakkında bilgiler.
Extensions: Tarayıcı uzantıları ve eklentileri için dizinler.
Thumbnails: Web sitesi küçük resimlerini saklar.
Preferences: Eklentiler, uzantılar, açılır pencereler, bildirimler ve daha fazlası için ayarları içeren bilgi açısından zengin bir dosya.
Tarayıcının yerleşik anti-phishing: Anti-phishing ve kötü amaçlı yazılım korumasının etkin olup olmadığını kontrol etmek için grep 'safebrowsing' ~/Library/Application Support/Google/Chrome/Default/Preferences
komutunu çalıştırın. Çıktıda {"enabled: true,"}
arayın.
Önceki bölümlerde gözlemleyebileceğiniz gibi, hem Chrome hem de Firefox verileri saklamak için SQLite veritabanları kullanır. Silinmiş girişleri kurtarmak için sqlparse veya sqlparse_gui aracını kullanmak mümkündür.
Internet Explorer 11, verilerini ve meta verilerini çeşitli konumlarda yönetir, bu da saklanan bilgilerin ve ilgili detayların kolay erişim ve yönetim için ayrılmasına yardımcı olur.
Internet Explorer için meta veriler %userprofile%\Appdata\Local\Microsoft\Windows\WebCache\WebcacheVX.data
içinde saklanır (VX V01, V16 veya V24 olabilir). Bununla birlikte, V01.log
dosyası WebcacheVX.data
ile değişiklik zamanı tutarsızlıklarını gösterebilir ve bu, esentutl /r V01 /d
kullanarak onarım gerektirdiğini gösterir. Bu meta veriler, bir ESE veritabanında yer alır ve photorec ve ESEDatabaseView gibi araçlar kullanılarak kurtarılabilir ve incelenebilir. Containers tablosunda, her veri segmentinin saklandığı belirli tablolar veya konteynerler, diğer Microsoft araçları için önbellek detayları da dahil olmak üzere, ayırt edilebilir.
IECacheView aracı, önbellek incelemesi için kullanılabilir ve önbellek verisi çıkarma klasör konumunu gerektirir. Önbellek için meta veriler dosya adı, dizin, erişim sayısı, URL kaynağı ve önbellek oluşturma, erişim, değiştirme ve sona erme zamanlarını gösteren zaman damgalarını içerir.
Çerezler IECookiesView kullanılarak incelenebilir ve meta veriler isimler, URL'ler, erişim sayıları ve çeşitli zamanla ilgili detayları kapsar. Kalıcı çerezler %userprofile%\Appdata\Roaming\Microsoft\Windows\Cookies
içinde saklanırken, oturum çerezleri bellekte bulunur.
İndirme meta verileri ESEDatabaseView aracılığıyla erişilebilir ve belirli konteynerler URL, dosya türü ve indirme konumu gibi verileri tutar. Fiziksel dosyalar %userprofile%\Appdata\Roaming\Microsoft\Windows\IEDownloadHistory
altında bulunabilir.
Tarayıcı geçmişini gözden geçirmek için BrowsingHistoryView kullanılabilir ve çıkarılan geçmiş dosyalarının konumunu ve Internet Explorer için yapılandırmayı gerektirir. Buradaki meta veriler, değiştirme ve erişim zamanlarını, ayrıca erişim sayısını içerir. Geçmiş dosyaları %userprofile%\Appdata\Local\Microsoft\Windows\History
içinde yer alır.
Yazılan URL'ler ve kullanım zamanları, NTUSER.DAT
içinde Software\Microsoft\InternetExplorer\TypedURLs
ve Software\Microsoft\InternetExplorer\TypedURLsTime
altında saklanır ve kullanıcının girdiği son 50 URL'yi ve son giriş zamanlarını takip eder.
Microsoft Edge, kullanıcı verilerini %userprofile%\Appdata\Local\Packages
içinde saklar. Çeşitli veri türleri için yollar şunlardır:
Profil Yolu: C:\Users\XX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC
Geçmiş, Çerezler ve İndirmeler: C:\Users\XX\AppData\Local\Microsoft\Windows\WebCache\WebCacheV01.dat
Ayarlar, Yer İmleri ve Okuma Listesi: C:\Users\XX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC\MicrosoftEdge\User\Default\DataStore\Data\nouser1\XXX\DBStore\spartan.edb
Önbellek: C:\Users\XXX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC#!XXX\MicrosoftEdge\Cache
Son Aktif Oturumlar: C:\Users\XX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC\MicrosoftEdge\User\Default\Recovery\Active
Safari verileri /Users/$User/Library/Safari
içinde saklanır. Ana dosyalar şunlardır:
History.db: history_visits
ve history_items
tablolarını içerir ve URL'ler ile ziyaret zaman damgalarını tutar. Sorgulamak için sqlite3
kullanın.
Downloads.plist: İndirilen dosyalar hakkında bilgi.
Bookmarks.plist: Yerleştirilen URL'leri saklar.
TopSites.plist: En sık ziyaret edilen siteler.
Extensions.plist: Safari tarayıcı uzantılarının listesi. Almak için plutil
veya pluginkit
kullanın.
UserNotificationPermissions.plist: Bildirim göndermeye izin verilen alanlar. Ayrıştırmak için plutil
kullanın.
LastSession.plist: Son oturumdan sekmeler. Ayrıştırmak için plutil
kullanın.
Tarayıcının yerleşik anti-phishing: defaults read com.apple.Safari WarnAboutFraudulentWebsites
kullanarak kontrol edin. 1 yanıtı, özelliğin aktif olduğunu gösterir.
Opera'nın verileri /Users/$USER/Library/Application Support/com.operasoftware.Opera
içinde yer alır ve geçmiş ile indirmeler için Chrome'un formatını paylaşır.
Tarayıcının yerleşik anti-phishing: Preferences
dosyasında fraud_protection_enabled
değerinin true
olarak ayarlandığını kontrol ederek doğrulayın.
Bu yollar ve komutlar, farklı web tarayıcıları tarafından saklanan tarayıcı verilerine erişim ve anlama açısından kritik öneme sahiptir.
Kitap: OS X Incident Response: Scripting and Analysis By Jaron Bradley sayfa 123
Trickest kullanarak dünyanın en gelişmiş topluluk araçlarıyla iş akışlarını kolayca oluşturun ve otomatikleştirin. Bugün Erişim Alın:
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)