Swahili - Ht
HackTricks Training Twitter Linkedin Sponsor

Browser Artifacts

Jifunze AWS hacking kutoka sifuri hadi shujaa na htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)!

Njia nyingine za kusaidia HackTricks:

Tumia Trickest kujenga na kutumia mifumo ya kazi iliyosukumwa na zana za jamii za juu zaidi duniani. Pata Ufikiaji Leo:

Vifaa vya Kivinjari

Vifaa vya kivinjari ni pamoja na aina mbalimbali za data zilizohifadhiwa na vivinjari vya wavuti, kama historia ya urambazaji, alamisho, na data ya cache. Vifaa hivi vinafanyiwa kazi katika folda maalum ndani ya mfumo wa uendeshaji, tofauti katika eneo na jina kati ya vivinjari, lakini kwa ujumla vinahifadhi aina sawa za data.

Hapa kuna muhtasari wa vifaa vya kivinjari vya kawaida:

  • Historia ya Urambazi: Inachunguza ziara za mtumiaji kwenye tovuti, muhimu kwa kutambua ziara kwenye tovuti zenye nia mbaya.

  • Data ya Kiotomatiki: Mapendekezo kulingana na utafutaji wa mara kwa mara, kutoa ufahamu unapounganishwa na historia ya urambazaji.

  • Alamisho: Tovuti zilizohifadhiwa na mtumiaji kwa ufikio wa haraka.

  • Vifaa vya Nyongeza na Ongeza: Vifaa vya kivinjari au ongeza zilizowekwa na mtumiaji.

  • Cache: Inahifadhi maudhui ya wavuti (k.m., picha, faili za JavaScript) kuboresha nyakati za kupakia wavuti, muhimu kwa uchambuzi wa kiforensiki.

  • Kuingia: Anuwai ya vibali vya kuingia.

  • Favicons: Picha za alama zinazohusishwa na tovuti, zinazoonekana kwenye vichupo na alamisho, muhimu kwa habari zaidi kuhusu ziara za mtumiaji.

  • Vikao vya Kivinjari: Data inayohusiana na vikao vya kivinjari vilivyofunguliwa.

  • Upakuaji: Rekodi za faili zilizopakuliwa kupitia kivinjari.

  • Data ya Fomu: Taarifa zilizoingizwa kwenye fomu za wavuti, zilizohifadhiwa kwa mapendekezo ya kiotomatiki ya baadaye.

  • Vielelezo: Picha za hakikisho za wavuti.

  • Custom Dictionary.txt: Maneno yaliyoongezwa na mtumiaji kwenye kamusi ya kivinjari.

Firefox

Firefox inaandaa data ya mtumiaji ndani ya maelezo, yaliyohifadhiwa katika maeneo maalum kulingana na mfumo wa uendeshaji:

  • Linux: ~/.mozilla/firefox/

  • MacOS: /Users/$USER/Library/Application Support/Firefox/Profiles/

  • Windows: %userprofile%\AppData\Roaming/Mozilla/Firefox/Profiles/

Faili ya profiles.ini ndani ya maelezo haya inaorodhesha maelezo ya mtumiaji. Data ya kila maelezo imehifadhiwa katika folda iliyoitwa katika kipengele cha Path ndani ya profiles.ini, iliyoko katika saraka ile ile kama profiles.ini yenyewe. Ikiwa saraka ya maelezo imekosekana, inaweza kuwa imefutwa.

Ndani ya kila saraka ya maelezo, unaweza kupata faili muhimu kadhaa:

  • places.sqlite: Inahifadhi historia, alamisho, na upakuaji. Zana kama BrowsingHistoryView kwenye Windows inaweza kupata data ya historia.

  • Tumia matakwa maalum ya SQL kutoa habari ya historia na upakuaji.

  • bookmarkbackups: Ina nakala rudufu za alamisho.

  • formhistory.sqlite: Inahifadhi data ya fomu za wavuti.

  • handlers.json: Inasimamia wakala wa itifaki.

  • persdict.dat: Maneno ya kamusi ya kawaida.

  • addons.json na extensions.sqlite: Taarifa kuhusu vifaa vya nyongeza na ongeza vilivyowekwa.

  • cookies.sqlite: Uhifadhi wa kuki, na MZCookiesView inapatikana kwa ukaguzi kwenye Windows.

  • cache2/entries au startupCache: Data ya cache, inayopatikana kupitia zana kama MozillaCacheView.

  • favicons.sqlite: Inahifadhi favicons.

  • prefs.js: Mipangilio na mapendeleo ya mtumiaji.

  • downloads.sqlite: Hifadhidata ya upakuaji wa zamani, sasa imejumuishwa ndani ya places.sqlite.

  • thumbnails: Vielelezo vya wavuti.

  • logins.json: Taarifa za kuingia zilizofichwa.

  • key4.db au key3.db: Inahifadhi funguo za kufichua habari nyeti.

Kwa kuongezea, kuangalia mipangilio ya kuzuia udukuzi wa kivinjari kunaweza kufanywa kwa kutafuta viingilio vya browser.safebrowsing katika prefs.js, ikionyesha ikiwa vipengele vya kivinjari salama vimeanzishwa au havijaanzishwa.

Kujaribu kufichua nywila kuu, unaweza kutumia https://github.com/unode/firefox_decrypt Kwa skripti ifuatayo na wito unaweza kufafanua faili ya nywila ya kufanya nguvu ya nguvu:

brute.sh
#!/bin/bash

#./brute.sh top-passwords.txt 2>/dev/null | grep -A2 -B2 "chrome:"
passfile=$1
while read pass; do
echo "Trying $pass"
echo "$pass" | python firefox_decrypt.py
done < $passfile

Google Chrome

Google Chrome hifadhi maelezo ya mtumiaji katika maeneo maalum kulingana na mfumo wa uendeshaji:

  • Linux: ~/.config/google-chrome/

  • Windows: C:\Users\XXX\AppData\Local\Google\Chrome\User Data\

  • MacOS: /Users/$USER/Library/Application Support/Google/Chrome/

Katika mabano haya, data nyingi ya mtumiaji inaweza kupatikana katika folda za Default/ au ChromeDefaultData/. Faili zifuatazo zina data muhimu:

  • History: Ina URL, vipakuliwa, na maneno muhimu ya utafutaji. Kwenye Windows, ChromeHistoryView inaweza kutumika kusoma historia. Safu ya "Transition Type" ina maana mbalimbali, ikiwa ni pamoja na bonyeza za mtumiaji kwenye viungo, URL zilizotyped, maingizo ya fomu, na upyaishaji wa ukurasa.

  • Cookies: Hifadhi vidakuzi. Kwa ukaguzi, ChromeCookiesView inapatikana.

  • Cache: Inashikilia data iliyohifadhiwa. Kwa ukaguzi, watumiaji wa Windows wanaweza kutumia ChromeCacheView.

  • Bookmarks: Alama za mtumiaji.

  • Web Data: Ina historia ya fomu.

  • Favicons: Hifadhi alama za tovuti.

  • Login Data: Inajumuisha vitambulisho vya kuingia kama majina ya mtumiaji na nywila.

  • Current Session/Current Tabs: Data kuhusu kikao cha kuvinjari cha sasa na vichupo vilivyofunguliwa.

  • Last Session/Last Tabs: Taarifa kuhusu tovuti zilizokuwa zinaendeshwa wakati wa kikao cha mwisho kabla ya Chrome kufungwa.

  • Extensions: Mafaili kwa ajili ya nyongeza na vifaa vya kivinjari.

  • Thumbnails: Hifadhi picha ndogo za tovuti.

  • Preferences: Faili tajiri kwa maelezo, ikiwa ni pamoja na mipangilio kwa ajili ya programu-jalizi, nyongeza, pop-ups, taarifa, na zaidi.

  • Kuzuia zisizo za kivinjari: Ili kuchunguza kama kuzuia zisizo za kivinjari na ulinzi wa programu hasidi umewezeshwa, endesha grep 'safebrowsing' ~/Library/Application Support/Google/Chrome/Default/Preferences. Tafuta {"enabled: true,"} kwenye matokeo.

Uokoaji wa Data ya SQLite DB

Kama unavyoweza kuona katika sehemu zilizopita, Chrome na Firefox hutumia SQLite databases kuhifadhi data. Ni rahisi kuokoa vipande vilivyofutwa kwa kutumia zana sqlparse au sqlparse_gui.

Internet Explorer 11

Internet Explorer 11 inasimamia data yake na metadata katika maeneo mbalimbali, ikisaidia katika kutenganisha maelezo yaliyohifadhiwa na maelezo yanayohusiana kwa ajili ya ufikiaji na usimamizi rahisi.

Uhifadhi wa Metadata

Metadata ya Internet Explorer inahifadhiwa katika %userprofile%\Appdata\Local\Microsoft\Windows\WebCache\WebcacheVX.data (na VX ikiwa V01, V16, au V24). Pamoja na hili, faili ya V01.log inaweza kuonyesha tofauti za muda wa marekebisho na WebcacheVX.data, ikionyesha haja ya marekebisho kwa kutumia esentutl /r V01 /d. Metadata hii, iliyohifadhiwa katika database ya ESE, inaweza kuokolewa na kukaguliwa kwa kutumia zana kama photorec na ESEDatabaseView, mtawalia. Ndani ya jedwali la Containers, mtu anaweza kutofautisha jedwali au kontena maalum ambapo kila sehemu ya data inahifadhiwa, ikiwa ni pamoja na maelezo ya cache kwa zana zingine za Microsoft kama vile Skype.

Ukaguzi wa Cache

Zana ya IECacheView inaruhusu ukaguzi wa cache, ikihitaji eneo la folda ya uchimbaji wa data ya cache. Metadata kwa ajili ya cache inajumuisha jina la faili, saraka, idadi ya ufikiaji, asili ya URL, na alama za muda zinazoonyesha uundaji wa cache, ufikiaji, marekebisho, na nyakati za kumalizika.

Usimamizi wa Vidakuzi

Vidakuzi vinaweza kuchunguzwa kwa kutumia IECookiesView, na metadata inajumuisha majina, URL, idadi ya ufikiaji, na maelezo mbalimbali yanayohusiana na muda. Vidakuzi endelevu hifadhiwa katika %userprofile%\Appdata\Roaming\Microsoft\Windows\Cookies, na vidakuzi vya kikao vinaishi kwenye kumbukumbu.

Maelezo ya Vipakuliwa

Metadata ya vipakuliwa inapatikana kupitia ESEDatabaseView, na kontena maalum zikishikilia data kama URL, aina ya faili, na eneo la kupakua. Faili za kimwili zinaweza kupatikana chini ya %userprofile%\Appdata\Roaming\Microsoft\Windows\IEDownloadHistory.

Historia ya Uvinjari

Ili kupitia historia ya uvinjari, BrowsingHistoryView inaweza kutumika, ikihitaji eneo la faili za historia zilizochimbuliwa na usanidi kwa Internet Explorer. Metadata hapa inajumuisha muda wa marekebisho na ufikiaji, pamoja na idadi ya ufikiaji. Faili za historia zinapatikana katika %userprofile%\Appdata\Local\Microsoft\Windows\History.

URL Zilizotyped

URL zilizotyped na nyakati zao za matumizi zinahifadhiwa ndani ya usajili chini ya NTUSER.DAT kwenye Software\Microsoft\InternetExplorer\TypedURLs na Software\Microsoft\InternetExplorer\TypedURLsTime, ikifuatilia URL 50 za mwisho zilizoingizwa na mtumiaji na nyakati zao za mwisho za kuingizwa.

Microsoft Edge

Microsoft Edge inahifadhi data ya mtumiaji katika %userprofile%\Appdata\Local\Packages. Njia za aina mbalimbali za data ni:

  • Njia ya Wasifu: C:\Users\XX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC

  • Historia, Vidakuzi, na Vipakuliwa: C:\Users\XX\AppData\Local\Microsoft\Windows\WebCache\WebCacheV01.dat

  • Mipangilio, Alama za Kumbukumbu, na Orodha ya Kusoma: C:\Users\XX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC\MicrosoftEdge\User\Default\DataStore\Data\nouser1\XXX\DBStore\spartan.edb

  • Cache: C:\Users\XXX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC#!XXX\MicrosoftEdge\Cache

  • Vikao Vilivyokuwa Vinaendeshwa Mwisho: C:\Users\XX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC\MicrosoftEdge\User\Default\Recovery\Active

Safari

Data ya Safari inahifadhiwa katika /Users/$User/Library/Safari. Faili muhimu ni pamoja na:

  • History.db: Ina history_visits na jedwali la history_items na URL na alama za muda wa ziara. Tumia sqlite3 kufanya utafutaji.

  • Downloads.plist: Maelezo kuhusu faili zilizopakuliwa.

  • Bookmarks.plist: Hifadhi URL zilizopangwa.

  • TopSites.plist: Tovuti zilizotembelewa mara nyingi.

  • Extensions.plist: Orodha ya nyongeza za kivinjari cha Safari. Tumia plutil au pluginkit kufikia.

  • UserNotificationPermissions.plist: Vipengele vilivyoidhinishwa kutoa taarifa. Tumia plutil kuchambua.

  • LastSession.plist: Vichupo kutoka kikao cha mwisho. Tumia plutil kuchambua.

  • Kuzuia zisizo za kivinjari: Angalia kwa kutumia defaults read com.apple.Safari WarnAboutFraudulentWebsites. Majibu ya 1 inaonyesha kipengele kinafanya kazi.

Opera

Data ya Opera iko katika /Users/$USER/Library/Application Support/com.operasoftware.Opera na inashiriki muundo wa Chrome kwa historia na vipakuliwa.

  • Kuzuia zisizo za kivinjari: Thibitisha kwa kuangalia kama fraud_protection_enabled katika faili ya Mapendeleo imeelekezwa kwa true kwa kutumia grep.

Njia hizi na amri ni muhimu kwa ajili ya kupata na kuelewa data ya uvinjari iliyohifadhiwa na vivinjari tofauti vya wavuti.

Marejeo

Tumia Trickest kujenga na kutumia taratibu za kiotomatiki zilizotengenezwa na zana za jamii za juu zaidi duniani. Pata Ufikiaji Leo:

Jifunze kuhusu kuvamia AWS kutoka mwanzo hadi kuwa shujaa na htARTE (HackTricks AWS Red Team Expert)!

Njia nyingine za kusaidia HackTricks:

PreviousDecompile compiled python binaries (exe, elf) - Retreive from .pycNextDeofuscation vbs (cscript.exe)

Last updated