Browser Artifacts
PreviousDecompile compiled python binaries (exe, elf) - Retreive from .pycNextDeofuscation vbs (cscript.exe)
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Use Trickest to easily build and automate workflows powered by the world's most advanced community tools. Get Access Today:
Артефакти браузера включають різні типи даних, збережених веб-браузерами, такі як історія навігації, закладки та кешовані дані. Ці артефакти зберігаються в специфічних папках в операційній системі, які відрізняються за місцем розташування та назвою в різних браузерах, але зазвичай зберігають подібні типи даних.
Ось короткий огляд найпоширеніших артефактів браузера:
Історія навігації: Відстежує відвідування користувачем веб-сайтів, корисно для ідентифікації відвідувань шкідливих сайтів.
Дані автозаповнення: Пропозиції на основі частих пошуків, що надають інформацію в поєднанні з історією навігації.
Закладки: Сайти, збережені користувачем для швидкого доступу.
Розширення та додатки: Розширення браузера або додатки, встановлені користувачем.
Кеш: Зберігає веб-контент (наприклад, зображення, файли JavaScript), щоб покращити час завантаження веб-сайтів, цінно для судово-медичної експертизи.
Логіни: Збережені облікові дані для входу.
Фавіконки: Іконки, пов'язані з веб-сайтами, що з'являються на вкладках і в закладках, корисні для додаткової інформації про відвідування користувача.
Сесії браузера: Дані, пов'язані з відкритими сесіями браузера.
Завантаження: Записи файлів, завантажених через браузер.
Дані форм: Інформація, введена у веб-форму, збережена для майбутніх пропозицій автозаповнення.
Ескізи: Попередні зображення веб-сайтів.
Custom Dictionary.txt: Слова, додані користувачем до словника браузера.
Firefox організовує дані користувача в профілях, які зберігаються в специфічних місцях залежно від операційної системи:
Linux: ~/.mozilla/firefox/
MacOS: /Users/$USER/Library/Application Support/Firefox/Profiles/
Windows: %userprofile%\AppData\Roaming\Mozilla\Firefox\Profiles\
Файл profiles.ini в цих каталогах містить список профілів користувача. Дані кожного профілю зберігаються в папці, назва якої вказана в змінній Path у profiles.ini, розташованій в тому ж каталозі, що й profiles.ini. Якщо папка профілю відсутня, вона могла бути видалена.
У кожній папці профілю ви можете знайти кілька важливих файлів:
places.sqlite: Зберігає історію, закладки та завантаження. Інструменти, такі як BrowsingHistoryView на Windows, можуть отримати доступ до даних історії.
Використовуйте специфічні SQL-запити для витягування інформації про історію та завантаження.
bookmarkbackups: Містить резервні копії закладок.
formhistory.sqlite: Зберігає дані веб-форм.
handlers.json: Керує обробниками протоколів.
persdict.dat: Слова з користувацького словника.
addons.json та extensions.sqlite: Інформація про встановлені додатки та розширення.
cookies.sqlite: Зберігання куків, з MZCookiesView доступним для перевірки на Windows.
cache2/entries або startupCache: Дані кешу, доступні через інструменти, такі як MozillaCacheView.
favicons.sqlite: Зберігає фавіконки.
prefs.js: Налаштування та переваги користувача.
downloads.sqlite: Стара база даних завантажень, тепер інтегрована в places.sqlite.
thumbnails: Ескізи веб-сайтів.
logins.json: Зашифрована інформація для входу.
key4.db або key3.db: Зберігає ключі шифрування для захисту чутливої інформації.
Крім того, перевірити налаштування антифішингу браузера можна, шукаючи записи browser.safebrowsing у prefs.js, що вказує, чи увімкнено або вимкнено функції безпечного перегляду.
Щоб спробувати розшифрувати майстер-пароль, ви можете використовувати https://github.com/unode/firefox_decrypt З наступним скриптом і викликом ви можете вказати файл паролів для брутфорсу:
Google Chrome зберігає профілі користувачів у специфічних місцях залежно від операційної системи:
Linux: ~/.config/google-chrome/
Windows: C:\Users\XXX\AppData\Local\Google\Chrome\User Data\
MacOS: /Users/$USER/Library/Application Support/Google/Chrome/
У цих каталогах більшість даних користувача можна знайти у папках Default/ або ChromeDefaultData/. Наступні файли містять значні дані:
History: Містить URL-адреси, завантаження та ключові слова пошуку. На Windows можна використовувати ChromeHistoryView для читання історії. Стовпець "Transition Type" має різні значення, включаючи кліки користувача на посилання, введені URL-адреси, відправлення форм та перезавантаження сторінок.
Cookies: Зберігає куки. Для перевірки доступний ChromeCookiesView.
Cache: Містить кешовані дані. Для перевірки користувачі Windows можуть використовувати ChromeCacheView.
Bookmarks: Закладки користувача.
Web Data: Містить історію форм.
Favicons: Зберігає фавіконки веб-сайтів.
Login Data: Включає облікові дані для входу, такі як імена користувачів та паролі.
Current Session/Current Tabs: Дані про поточну сесію перегляду та відкриті вкладки.
Last Session/Last Tabs: Інформація про сайти, активні під час останньої сесії перед закриттям Chrome.
Extensions: Каталоги для розширень браузера та аддонів.
Thumbnails: Зберігає ескізи веб-сайтів.
Preferences: Файл, багатий на інформацію, включаючи налаштування для плагінів, розширень, спливаючих вікон, сповіщень та інше.
Browser’s built-in anti-phishing: Щоб перевірити, чи увімкнено захист від фішингу та шкідливого ПЗ, виконайте grep 'safebrowsing' ~/Library/Application Support/Google/Chrome/Default/Preferences. Шукайте {"enabled: true,"} у виході.
Як ви можете спостерігати в попередніх розділах, як Chrome, так і Firefox використовують SQLite бази даних для зберігання даних. Можливо відновити видалені записи за допомогою інструменту sqlparse або sqlparse_gui.
Internet Explorer 11 управляє своїми даними та метаданими в різних місцях, що допомагає розділити збережену інформацію та відповідні деталі для легкого доступу та управління.
Метадані для Internet Explorer зберігаються в %userprofile%\Appdata\Local\Microsoft\Windows\WebCache\WebcacheVX.data (з VX, що є V01, V16 або V24). У супроводі цього файл V01.log може показувати розбіжності в часі модифікації з WebcacheVX.data, що вказує на необхідність ремонту за допомогою esentutl /r V01 /d. Ці метадані, що містяться в базі даних ESE, можна відновити та перевірити за допомогою таких інструментів, як photorec та ESEDatabaseView. У таблиці Containers можна розрізнити конкретні таблиці або контейнери, де зберігається кожен сегмент даних, включаючи деталі кешу для інших інструментів Microsoft, таких як Skype.
Інструмент IECacheView дозволяє перевіряти кеш, вимагаючи місцезнаходження папки для витягування даних кешу. Метадані для кешу включають ім'я файлу, каталог, кількість доступів, URL-адресу походження та часові мітки, що вказують на час створення, доступу, модифікації та закінчення терміну дії кешу.
Куки можна досліджувати за допомогою IECookiesView, з метаданими, що охоплюють імена, URL-адреси, кількість доступів та різні часові деталі. Постійні куки зберігаються в %userprofile%\Appdata\Roaming\Microsoft\Windows\Cookies, а сесійні куки знаходяться в пам'яті.
Метадані завантажень доступні через ESEDatabaseView, з конкретними контейнерами, що містять дані, такі як URL, тип файлу та місце завантаження. Фізичні файли можна знайти в %userprofile%\Appdata\Roaming\Microsoft\Windows\IEDownloadHistory.
Щоб переглянути історію перегляду, можна використовувати BrowsingHistoryView, вимагаючи місцезнаходження витягнутих файлів історії та конфігурації для Internet Explorer. Метадані тут включають час модифікації та доступу, а також кількість доступів. Файли історії розташовані в %userprofile%\Appdata\Local\Microsoft\Windows\History.
Введені URL-адреси та їх час використання зберігаються в реєстрі під NTUSER.DAT за адресами Software\Microsoft\InternetExplorer\TypedURLs та Software\Microsoft\InternetExplorer\TypedURLsTime, відстежуючи останні 50 URL-адрес, введених користувачем, та їх останні часи введення.
Microsoft Edge зберігає дані користувачів у %userprofile%\Appdata\Local\Packages. Шляхи для різних типів даних:
Profile Path: C:\Users\XX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC
History, Cookies, and Downloads: C:\Users\XX\AppData\Local\Microsoft\Windows\WebCache\WebCacheV01.dat
Settings, Bookmarks, and Reading List: C:\Users\XX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC\MicrosoftEdge\User\Default\DataStore\Data\nouser1\XXX\DBStore\spartan.edb
Cache: C:\Users\XXX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC#!XXX\MicrosoftEdge\Cache
Last Active Sessions: C:\Users\XX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC\MicrosoftEdge\User\Default\Recovery\Active
Дані Safari зберігаються за адресою /Users/$User/Library/Safari. Ключові файли включають:
History.db: Містить таблиці history_visits та history_items з URL-адресами та часовими мітками відвідувань. Використовуйте sqlite3 для запитів.
Downloads.plist: Інформація про завантажені файли.
Bookmarks.plist: Зберігає закладені URL-адреси.
TopSites.plist: Найчастіше відвідувані сайти.
Extensions.plist: Список розширень браузера Safari. Використовуйте plutil або pluginkit для отримання.
UserNotificationPermissions.plist: Доменні імена, яким дозволено надсилати сповіщення. Використовуйте plutil для парсингу.
LastSession.plist: Вкладки з останньої сесії. Використовуйте plutil для парсингу.
Browser’s built-in anti-phishing: Перевірте за допомогою defaults read com.apple.Safari WarnAboutFraudulentWebsites. Відповідь 1 вказує на те, що функція активна.
Дані Opera знаходяться в /Users/$USER/Library/Application Support/com.operasoftware.Opera і використовують формат Chrome для історії та завантажень.
Browser’s built-in anti-phishing: Перевірте, чи fraud_protection_enabled у файлі Preferences встановлено на true, використовуючи grep.
Ці шляхи та команди є важливими для доступу та розуміння даних перегляду, збережених різними веб-браузерами.
Книга: OS X Incident Response: Scripting and Analysis By Jaron Bradley сторінка 123
Використовуйте Trickest, щоб легко створювати та автоматизувати робочі процеси, що працюють на основі найсучасніших інструментів спільноти. Отримайте доступ сьогодні:
Вчіться та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Вчіться та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
