Χρησιμοποιήστε το Trickest για να δημιουργήσετε εύκολα και να αυτοματοποιήσετε ροές εργασίας με τα πιο προηγμένα εργαλεία της κοινότητας. Αποκτήστε πρόσβαση σήμερα:

Αποτυπώματα Περιηγητών

Τα αποτυπώματα των περιηγητών περιλαμβάνουν διάφορους τύπους δεδομένων που αποθηκεύονται από τους περιηγητές ιστού, όπως ιστορικό πλοήγησης, σελιδοδείκτες και δεδομένα cache. Αυτά τα αποτυπώματα αποθηκεύονται σε συγκεκριμένους φακέλους εντός του λειτουργικού συστήματος, διαφέροντας σε τοποθεσία και όνομα ανάμεσα στους περιηγητές, αλλά γενικά αποθηκεύοντας παρόμοιους τύπους δεδομένων.

Εδώ υπάρχει ένα σύνοψη των πιο κοινών αποτυπωμάτων περιηγητών:

• Ιστορικό Πλοήγησης: Καταγράφει τις επισκέψεις του χρήστη σε ιστότοπους, χρήσιμο για την αναγνώριση επισκέψεων σε κακόβουλους ιστότοπους.

• Δεδομένα Αυτόματης Συμπλήρωσης: Προτάσεις βασισμένες σε συχνές αναζητήσεις, προσφέροντας εισαγωγές όταν συνδυαστούν με το ιστορικό πλοήγησης.

• Σελιδοδείκτες: Ιστότοποι που έχουν αποθηκευτεί από τον χρήστη για γρήγορη πρόσβαση.

• Επεκτάσεις και Πρόσθετα: Επεκτάσεις περιηγητή ή πρόσθετα που έχουν εγκατασταθεί από τον χρήστη.

• Cache: Αποθηκεύει περιεχόμενο ιστού (π.χ. εικόνες, αρχεία JavaScript) για βελτίωση των χρόνων φόρτωσης του ιστότοπου, πολύτιμο για ανάλυση ψηφιακών αποτυπωμάτων.

• Συνδρομές: Αποθηκευμένα διαπιστευτήρια σύνδεσης.

• Εικονίδια Αγαπημένων: Εικονίδια που σχετίζονται με ιστότοπους, εμφανίζονται σε καρτέλες και σελιδοδείκτες, χρήσιμα για επιπλέον πληροφορίες σχετικά με τις επισκέψεις του χρήστη.

• Συνεδρίες Περιηγητή: Δεδομένα που σχετίζονται με ανοιχτές συνεδρίες περιηγητή.

• Λήψεις: Εγγραφές αρχείων που κατέβηκαν μέσω του περιηγητή.

• Δεδομένα Φόρμας: Πληροφορίες που εισήχθησαν σε φόρμες ιστού, αποθηκευμένες για μελλοντικές προτάσεις αυτόματης συμπλήρωσης.

• Εικόνες Προεπισκόπησης: Προεπισκόπηση ιστοτόπων.

• Custom Dictionary.txt: Λέξεις που προστέθηκαν από τον χρήστη στο λεξικό του περιηγητή.

Firefox

Ο Firefox οργανώνει τα δεδομένα του χρήστη μέσα σε προφίλ, τα οποία αποθηκεύονται σε συγκεκριμένες τοποθεσίες ανάλογα με το λειτουργικό σύστημα:

• Linux: ~/.mozilla/firefox/

• MacOS: /Users/$USER/Library/Application Support/Firefox/Profiles/

• Windows: %userprofile%\AppData\Roaming\Mozilla\Firefox\Profiles\

Ένα αρχείο profiles.ini μέσα σε αυτούς τους καταλόγους καταχωρεί τα προφίλ του χρήστη. Τα δεδομένα κάθε προφίλ αποθηκεύονται σε ένα φάκελο με το όνομα που αναφέρεται στη μεταβλητή Path μέσα στο profiles.ini, το οποίο βρίσκεται στον ίδιο κατάλογο με το profiles.ini ίδιο του. Αν ένας φάκελος προφίλ είναι απουσιάζει, μπορεί να έχει διαγραφεί.

Μέσα σε κάθε φάκελο προφίλ, μπορείτε να βρείτε αρκετά σημαντικά αρχεία:

• places.sqlite: Αποθηκεύει ιστορικό, σελιδοδείκτες και λήψεις. Εργαλεία όπως το BrowsingHistoryView στα Windows μπορούν να έχουν πρόσβαση στα δεδομένα ιστορικού.

• Χρησιμοποιήστε συγκεκριμένες ερωτήσεις SQL για να εξάγετε πληροφορίες ιστορικού και λήψεων.

• bookmarkbackups: Περιέχει αντίγραφα ασφαλείας των σελιδοδεικτών.

• formhistory.sqlite: Αποθηκεύει δεδομένα φορμών ιστού.

• handlers.json: Διαχειρίζεται τους χειριστές πρωτοκόλλων.

• persdict.dat: Λέξεις προσαρμοσμένου λεξικού.

• addons.json και extensions.sqlite: Πληροφορίες για εγκατεστημένα πρόσθετα και επεκτάσεις.

• cookies.sqlite: Αποθήκευση cookie, με το MZCookiesView διαθέσιμο για επιθεώρηση στα Windows.

• cache2/entries ή startupCache: Δεδομένα cache, προσβάσιμα μέσω εργαλείων όπως το MozillaCacheView.

• favicons.sqlite: Αποθηκεύει εικονίδια αγαπημένων.

• prefs.js: Ρυθμίσεις και προτιμήσεις χρήστη.

• downloads.sqlite: Παλαιότερη βάση δεδομένων λήψεων, πλέον ενσωματωμένη στο places.sqlite.

• thumbnails: Εικόνες προεπισκόπησης ιστοτόπων.

• logins.json: Κρυπτογραφημένες πληροφορίες σύνδεσης.

• key4.db ή key3.db: Αποθηκεύει κλειδιά κρυπτογράφησης για την προστασία ευαίσθητων πληροφοριών.

Επιπλέον, η έλεγχος των ρυθμίσεων αντι-φισικών του περιηγητή μπορεί να γίνει αναζητώντας τις καταχωρήσεις browser.safebrowsing στο prefs.js, που υποδηλώνουν εάν οι λειτουργίες ασφαλούς περιήγησης είναι ενεργοποιημένες ή απενεργοποιημένες.

Για να δοκ

#!/bin/bash

#./brute.sh top-passwords.txt 2>/dev/null | grep -A2 -B2 "chrome:"
passfile=$1
while read pass; do
echo "Trying $pass"
echo "$pass" | python firefox_decrypt.py
done < $passfile

Google Chrome

Ο Google Chrome αποθηκεύει τα προφίλ χρηστών σε συγκεκριμένες τοποθεσίες βάσει του λειτουργικού συστήματος:

• Linux: ~/.config/google-chrome/

• Windows: C:\Users\XXX\AppData\Local\Google\Chrome\User Data\

• MacOS: /Users/$USER/Library/Application Support/Google/Chrome/

Μέσα σε αυτούς τους καταλόγους, η πλειονότητα των δεδομένων του χρήστη μπορεί να βρεθεί στους φακέλους Default/ ή ChromeDefaultData/. Τα ακόλουθα αρχεία περιέχουν σημαντικά δεδομένα:

• History: Περιέχει διευθύνσεις URL, λήψεις και λέξεις-κλειδιά αναζήτησης. Στα Windows, μπορεί να χρησιμοποιηθεί το ChromeHistoryView για την ανάγνωση του ιστορικού. Η στήλη "Transition Type" έχει διάφορες σημασίες, συμπεριλαμβανομένων των κλικ του χρήστη σε συνδέσμους, την πληκτρολόγηση διευθύνσεων URL, τις υποβολές φόρμας και τις ανανεώσεις σελίδων.

• Cookies: Αποθηκεύει τα cookies. Για επιθεώρηση, είναι διαθέσιμο το ChromeCookiesView.

• Cache: Κρατά τα αποθηκευμένα δεδομένα. Για επιθεώρηση, οι χρήστες των Windows μπορούν να χρησιμοποιήσουν το ChromeCacheView.

• Bookmarks: Σελιδοδείκτες του χρήστη.

• Web Data: Περιέχει το ιστορικό φόρμας.

• Favicons: Αποθηκεύει τα εικονίδια ιστότοπων.

• Login Data: Περιλαμβάνει διαπιστευτήρια σύνδεσης όπως ονόματα χρηστών και κωδικούς πρόσβασης.

• Current Session/Current Tabs: Δεδομένα σχετικά με την τρέχουσα συνεδρία περιήγησης και τις ανοιχτές καρτέλες.

• Last Session/Last Tabs: Πληροφορίες σχετικά με τις ιστοσελίδες που ήταν ενεργές κατά την τελευταία συνεδρία πριν το κλείσιμο του Chrome.

• Extensions: Κατάλογοι για πρόσθετα και επεκτάσεις περιήγησης.

• Thumbnails: Αποθηκεύει μικρογραφίες ιστοσελίδων.

• Preferences: Ένα αρχείο πλούσιο σε πληροφορίες, συμπεριλαμβανομένων ρυθμίσεων για πρόσθετα, επεκτάσεις, αναδυόμενα παράθυρα, ειδοποιήσεις και άλλα.

• Ενσωματωμένο αντι-φισικά του προγράμματος περιήγησης: Για να ελέγξετε αν η αντι-φισικά και η προστασία από κακόβουλο λογισμικό είναι ενεργοποιημένες, εκτελέστε grep 'safebrowsing' ~/Library/Application Support/Google/Chrome/Default/Preferences. Αναζητήστε το {"enabled: true,"} στην έξοδο.

Ανάκτηση Δεδομένων Βάσης Δεδομένων SQLite

Όπως μπορείτε να παρατηρήσετε στις προηγούμενες ενότητες, τόσο ο Chrome όσο και ο Firefox χρησιμοποιούν βάσεις δεδομένων SQLite για την αποθήκευση των δεδομένων. Είναι δυνατή η ανάκτηση διαγραμμένων καταχωρήσεων χρησιμοποιώντας το εργαλείο sqlparse ή sqlparse_gui.

Internet Explorer 11

Ο Internet Explorer 11 διαχειρίζεται τα δεδομένα και τα μεταδεδομένα του σε διάφορες τοποθεσίες, βοηθώντας στον διαχωρισμό των αποθηκευμένων πληροφοριών και των αντίστοιχων λεπτομερειών για εύκολη πρόσβαση και διαχείριση.

Αποθήκευση Μεταδεδομένων

Τα μεταδεδομένα για τον Internet Explorer αποθηκεύονται στο %userprofile%\Appdata\Local\Microsoft\Windows\WebCache\WebcacheVX.data (όπου το VX είναι V01, V16 ή V24). Συνοδευόμενο από αυτό, το αρχείο V01.log μπορεί να εμφανίσει αντιφάσεις στον χρόνο τροποποίησης με το WebcacheVX.data, υποδεικνύοντας την ανάγκη επισκευής χρησιμοποιώντας το esentutl /r V01 /d. Αυτά τα μεταδεδομένα, που φιλοξενούνται σε μια βάση δεδομένων ESE, μπορούν να ανακτηθούν και να επιθεωρηθούν χρησιμοποιώντας εργαλεία όπως το photorec και το ESEDatabaseView, αντίστοιχα. Μέσα στον πίνακα Containers, μπορεί κανείς να διακρίνει τους συγκεκριμένους πίνακες ή δοχεία όπου αποθηκεύεται κάθε τμήμα δεδομένων, συμπεριλαμβανομένων λεπτομερειών cache για άλλα εργαλεία της Microsoft, όπως το Skype.

Επιθεώρηση Cache

Το εργαλείο IECacheView επιτρέπει την επιθεώρηση της μνήμης cache, απαιτώντας την τοποθεσία φακέλου εξαγωγής δεδομένων cache. Τα μεταδεδομένα για την cache περιλαμβάνουν όνομα αρχείου, κατάλογο, αριθμό πρόσβασης, προέλευση URL και χρονικά σημεία που υποδεικνύουν τη δημιουργία, την πρόσβαση, την τροποποίηση και τους χρόνους λήξης της cache.

Διαχείριση Cookies

Τα cookies μπορούν να εξερευνηθούν χρησιμοποιώντας το IECookiesView, με μεταδεδομένα που περιλαμβάνουν ονόματα, διευθύνσεις URL, αριθμούς πρόσβασης και διάφορες λεπτομέρειες σχετικές με το χρόνο. Τα μόνιμα cookies αποθηκεύονται στο %userprofile%\Appdata\Roaming\Microsoft\Windows\Cookies, με τα session cookies να βρίσκονται στη μνήμη.

Λεπτομέρειες Λήψης

Τα μεταδεδομένα λήψης είναι προσβάσιμα μέσω του ESEDatabaseView, με συγκεκριμένα δοχεία που κρατούν δεδομένα όπως URL, τύπο αρχείου και τοποθεσία λήψης. Τα φυσικά αρχεία μπορούν να βρεθούν στο %userprofile%\Appdata\Roaming\Microsoft\Windows\IEDownloadHistory.

Ιστορικό Περιήγησης

Για να ελέγξετε το ιστορικό περιήγησης, μπορεί να χρησιμοποιηθεί το BrowsingHistoryView, απαιτώντας την τοποθεσία των εξαγόμενων αρχείων ιστορικού και τη διαμόρφωση για τον Internet Explorer. Τα μεταδεδομένα εδώ περιλαμβάνουν χρόνους τροποποίησης και πρόσβασης, μαζί με αριθμούς πρόσβασης. Τα αρχεία ιστορικού βρίσκονται στο %userprofile%\Appdata\Local\Microsoft\Windows\History.

Καταχωρημένες Διευθύνσεις URL

Οι καταχωρημένες διευθύνσεις URL και οι χρόνοι χρήσης τους αποθηκεύονται στο μητρώο στο NTUSER.DAT στις διαδρομές Software\Microsoft\InternetExplorer\TypedURLs και Software\Microsoft\InternetExplorer\TypedURLsTime, παρακολουθώντας τις τελευταίες 50 διευθύνσεις URL που εισήγαγε ο χρήστης και τους τελευταίους χρόνους εισαγωγής τους.

Microsoft Edge

Τα δεδομένα του χρήστη στο Microsoft Edge αποθηκεύονται στο %userprofile%\Appdata\Local\Packages. Οι διαδρομές για διάφορους τύπους δεδομένων είναι:

• Διαδρομή Προφίλ: `C:\Users\XX

• Εάν θέλετε να δείτε την εταιρεία σας να διαφημίζεται στο HackTricks ή να κατεβάσετε το HackTricks σε μορφή PDF ελέγξτε τα ΣΧΕΔΙΑ ΣΥΝΔΡΟΜΗΣ!

• Αποκτήστε το επίσημο PEASS & HackTricks swag

• Ανακαλύψτε Την Οικογένεια PEASS, τη συλλογή μας από αποκλειστικά NFTs

• Εγγραφείτε στη 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.

• Μοιραστείτε τα κόλπα σας στο χάκινγκ υποβάλλοντας PRs στα HackTricks και HackTricks Cloud αποθετήρια του github.