提取Chrome中Cookie工具分享

枫少@KillBoy
枫少@KillBoy
管理员
220
文章
0
粉丝
资源分享9013,754字数 869阅读2分53秒阅读模式
AI智能摘要
还在为无法提取Chrome浏览器中的Cookie而困扰?这款名为SharpCookieMonster的.NET工具将彻底改变你的工作流程。无需特殊权限,只需在目标计算机上执行代码,就能通过无界面Chrome进程精准抓取session和httpOnly等关键Cookie数据。支持CobaltStrike和PoshC2等主流C2框架,通过websocket调试接口实现隐身操作。想知道如何在红队行动中悄无声息地获取认证信息?这篇文章将为你完整解析工具的运行机制与实战应用场景。
— AI 生成的文章内容摘要

这个工具将从Google Chrome浏览器中提取Cookie,是一个.NET程序集,可以在C2中通过工具如PoshC2使用或CobaltStrike的命令。

项目地址是SharpCookieMonster

用法

只需将站点输入即可。

SharpCookieMonster.exe [https://sitename.com] [chrome-debugging-port] [user data dir]

可选的第一个参数分隔chrome启动时最初连接的网站(默认为https://www.google.com)。

第二个可选参数指定用于启动chrome调试器的端口(默认为9142)。

最后,可选的第三个参数指定用户数据目录的路径,可以覆盖该路径以访问不同的配置文件(默认为%APPDATALOCAL%/ Google / Chrome / User Data)。

提取Chrome中Cookie工具分享-图片1

提取Chrome中Cookie工具分享-图片3

如您所见,它可用于提取session,httpOnly并通过C2传输cookie。它还已作为模块添加到PoshC2中,并设置了自动加载和别名功能,因此可以使用来简单地运行它sharpcookiemonster

这也适用于CobaltStrike的,可以使用execute-assembly

还值得注意的是,您不需要任何特权访问权限即可执行此操作,只需在存储会话的计算机上在该用户上下文中执行代码即可。

它是如何工作的?

在后台,这是通过首先启动Google Chrome来实现的。我们首先枚举任何正在运行的chrome.exe进程以提取其镜像路径,但是如果失败,则默认为C:/ Program Files(x86)/ Google / Chrome / Application / chrome.exe。然后,我们启动该可执行文件,设置适当的标志并将该进程的输出重定向到我们的stdout,以便即使在C2通道上运行它时也可以查看它是否出错。

--headless标志意味着chrome.exe实际上将在没有任何用户界面的情况下运行,但可以使用其API进行交互。对于红队成员而言,这是完美的选择,因为它将仅作为另一个chrome.exe进程出现,而不会向用户显示任何内容。然后,通过--remote-debugging-port标记为此过程启用远程调试,然后使用将数据目录指向用户的现有数据目录--user-data-dir

提取Chrome中Cookie工具分享-图片5

启动

启动后,我们将检查进程是否正在运行,并等待调试器端口打开。

然后,我们可以在该端口上与API交互以获取websocket调试器URL。该URL允许程序通过websockets上的API与Chrome的devtools进行交互,从而为我们提供了这些devtools的全部功能。所有这些操作都是在受害人的计算机上本地完成的,因为该二进制文件正在运行,而无界面的Chrome进程正在运行。

提取Chrome中Cookie工具分享-图片7

然后,我们可以发出请求以检索该配置文件的缓存中的所有cookie,并将其返回给操作员。

编译

如果您想自己构建二进制文件,只需克隆它并在Visual Studio中构建它即可。

该项目已设置为与.NET 3.5兼容,以便与安装较旧版本.NET的受害人兼容。但是,为了使用WebSockets与Chrome进行通信,添加了WebSocket4Net程序包。

如果要在C2上运行此命令(例如使用PoshC2sharpcookiemonster命令或通过CobaltStrike的命令),请execute-assembly使用ILMerge将生成的可执行文件与依赖库合并。

例如,首先重命名原始二进制文件,然后运行:

ILMerge.exe /targetplatform:"v2,C:/Windows/Microsoft.NET/Framework/v2.0.50727" /out:SharpCookieMonster.exe SharpCookieMonsterOriginal.exe WebSocket4Net.dll SuperSocket.ClientEngine.dll

https://www.freebuf.com/sectool/227149.html

 
枫少@KillBoy
评论  90  访客  90
    • 夜与孤独
      夜与孤独 0

      求问这个在Win10上跑没问题吧?

      • 夏至日长
        夏至日长 0

        chrome没开也能读数据?不懂原理

        • 麻辣烫战神
          麻辣烫战神 0

          之前搞过类似工具,确实不用权限就能撸cookie,阴间操作

          • 血月魔影
            血月魔影 0

            这玩意真能偷偷拿cookie?太吓人了😱

              • 竹精长老
                竹精长老 0

                @ 血月魔影 能啊,httpOnly的也能拿

              • 风铃小猫
                风铃小猫 0

                这工具名也太逗了,还以为是儿童节目😂

                • 未央
                  未央 1

                  U盘路径试过不行,直接权限拒绝

                  • 巴蛇吞
                    巴蛇吞 1

                    –headless还能走websocket?真学废了

                    • 冥火
                      冥火 0

                      求问win10下defender会不会炸?

                      • 青衫隐士
                        青衫隐士 0

                        不是红队拿来干嘛,总不能偷自己号吧hhh

                        • 小橙子
                          小橙子 0

                          SharpCookieMonster名字倒是挺中二,功能倒挺狠

                            • 古董时光
                              古董时光 1

                              @ 小橙子 这名字一出来我就笑出声了,还以为是儿童剧反派登场😂

                              • 青衫墨客
                                青衫墨客 0

                                @ 小橙子 真就挂着chrome.exe偷家,进程名一点不改太嚣张了

                                • 小绵羊糖
                                  小绵羊糖 1

                                  @ 小橙子 –headless模式居然能通websocket,这操作属实骚断腿

                                  • 牛小力
                                    牛小力 0

                                    @ 小橙子 httpOnly都拦不住,这下真成透明人了😭

                                  • 琴师魏
                                    琴师魏 1

                                    –headless还能走websocket?学废了

                                    • 冬至梅香
                                      冬至梅香 0

                                      不是红队的用这干啥,总不能拿来偷自己号吧hhh

                                      • 绝望之镰
                                        绝望之镰 1

                                        execute-assembly合并dll有点麻烦,有没有现成打包好的?

                                          • 阴间戏子
                                            阴间戏子 0

                                            @ 绝望之镰 现成打包的在release里有,别老问了

                                          • 沉稳的思考者
                                            沉稳的思考者 1

                                            感觉还行

                                              • 紫晶幻影
                                                紫晶幻影 1

                                                @ 沉稳的思考者 试了下确实能扒cookie,不用管理员权限这点有点骚

                                              • 黄鹤童
                                                黄鹤童 1

                                                C2里集成是方便了,但蓝队一查chrome异常进程不就露馅了?

                                                • 樱花信
                                                  樱花信 0

                                                  要是默认端口被占用了会报错吗?

                                                    • 玄鬼游游
                                                      玄鬼游游 0

                                                      @ 樱花信 会崩,亲测9142被占就直接退出了,没日志

                                                    • HushedHollow
                                                      HushedHollow 0

                                                      用户数据目录能不能指定到U盘路径?试过的人说下

                                                      • 犀角坚韧
                                                        犀角坚韧 0

                                                        666,这波操作Chrome变木马了

                                                        • 血月使
                                                          血月使 1

                                                          那个啥,.NET 3.5现在还有机器用?不会兼容炸了吧

                                                          • 浮生影
                                                            浮生影 0

                                                            坐等有人测EDR能不能抓这种无文件加载

                                                            • 伟伟
                                                              伟伟 1

                                                              我之前也踩过这坑,WebSocket4Net引用老是丢

                                                              • 番茄泡泡糖
                                                                番茄泡泡糖 0

                                                                这工具名起得跟儿童动画片似的,反手就是一个cookie收割

                                                                  • 琴师王十二
                                                                    琴师王十二 0

                                                                    @ 番茄泡泡糖 主密码能防住吗?求测试结果

                                                                  • 金羽毛公主
                                                                    金羽毛公主 0

                                                                    ILMerge合并后体积大了不少,影响上线传输吗?

                                                                      • 调皮小鬼
                                                                        调皮小鬼 1

                                                                        @ 金羽毛公主 .NET 3.5现在确实太老了,好多机器都不支持

                                                                      • 算命唐
                                                                        算命唐 1

                                                                        冷知识:chrome.exe多开一个根本看不出来

                                                                        • 弹弓射击手
                                                                          弹弓射击手 0

                                                                          想问下如果用户启用了主密码,还能解出来吗?

                                                                          • 夜露凝霜
                                                                            夜露凝霜 0

                                                                            所以这工具是红队专用吧,普通用户用不上?

                                                                            • 安静的旁观者
                                                                              安静的旁观者 0

                                                                              –headless模式不会被杀软报毒吗?

                                                                              • 溪亭日暮
                                                                                溪亭日暮 0

                                                                                这种工具放出来会不会被坏人滥用啊,有点担心

                                                                                • 老式留声机
                                                                                  老式留声机 0

                                                                                  之前用过一个类似的,但没这个稳定

                                                                                  • 落梅笛
                                                                                    落梅笛 1

                                                                                    看起来需要依赖WebSocket4Net,自己编译有点麻烦

                                                                                    • AndromedaVeil
                                                                                      AndromedaVeil 0

                                                                                      这工具名字挺有意思的,CookieMonster是芝麻街那个吧

                                                                                      • 夜行性社牛
                                                                                        夜行性社牛 0

                                                                                        感觉挺实用的,收藏了

                                                                                        • WaffleNinja
                                                                                          WaffleNinja 0

                                                                                          要是能支持更多浏览器就好了

                                                                                          • 比特侠客
                                                                                            比特侠客 1

                                                                                            有人试过在Windows Server上跑吗?

                                                                                            • 星际导航员
                                                                                              星际导航员 0

                                                                                              websocket调试端口会不会被防火墙拦?

                                                                                              • 社恐小萝卜
                                                                                                社恐小萝卜 1

                                                                                                之前用类似工具总卡在进程检测环节

                                                                                                • 老火车站
                                                                                                  老火车站 0

                                                                                                  chrome多开确实隐蔽,蓝队难发现

                                                                                                  • 行路日记
                                                                                                    行路日记 0

                                                                                                    这种工具放出来会不会被坏人滥用啊

                                                                                                    • 流水无情
                                                                                                      流水无情 0

                                                                                                      所以这玩意儿只能偷自己电脑的cookie?

                                                                                                      • 狐狸狡猾
                                                                                                        狐狸狡猾 0

                                                                                                        execute-assembly合并dll总报错,有现成包吗

                                                                                                          • 沉默小岛
                                                                                                            沉默小岛 1

                                                                                                            @ 狐狸狡猾 同求,有现成的包省事儿多了

                                                                                                          • 数字蓝图
                                                                                                            数字蓝图 0

                                                                                                            win7能跑不?老系统用户问问

                                                                                                            • 俏皮松鼠妹
                                                                                                              俏皮松鼠妹 1

                                                                                                              这工具名也太中二了吧,搞得跟动画片反派似的😂

                                                                                                                • 白泽智
                                                                                                                  白泽智 0

                                                                                                                  @ 俏皮松鼠妹 感觉这工具挺强的,就是名字太中二了

                                                                                                                • 诗酒年华
                                                                                                                  诗酒年华 1

                                                                                                                  我试过类似的东西,chrome多开确实看不出来有进程异常

                                                                                                                    • 暗夜诗者
                                                                                                                      暗夜诗者 1

                                                                                                                      @ 诗酒年华 多开三个chrome我任务栏都没反应,队友以为我挂机了hhh

                                                                                                                      • SquishMonster
                                                                                                                        SquishMonster 0

                                                                                                                        @ 诗酒年华 我之前在Win7虚拟机试了下,.NET报错直接起不来

                                                                                                                        • 烟雨迷离
                                                                                                                          烟雨迷离 0

                                                                                                                          @ 诗酒年华 U盘路径试了两次都权限拒绝,难不成还得提权?

                                                                                                                        • 螺旋残响
                                                                                                                          螺旋残响 0

                                                                                                                          求问这个在win10上跑会触发defender吗?

                                                                                                                          • 银翼梦游者
                                                                                                                            银翼梦游者 0

                                                                                                                            之前自己编译过,WebSocket4Net那堆依赖真容易丢包

                                                                                                                            • 砚池心
                                                                                                                              砚池心 0

                                                                                                                              不是红队用这干啥?拿来监控孩子上网?hhh

                                                                                                                              • 虚空引
                                                                                                                                虚空引 0

                                                                                                                                –headless模式下还能通websocket?学废了这操作

                                                                                                                                • 影刹漫游
                                                                                                                                  影刹漫游 0

                                                                                                                                  用户数据目录指向U盘能成不?试过的兄弟吱一声

                                                                                                                                  • 激动的小鹿
                                                                                                                                    激动的小鹿 0

                                                                                                                                    这玩意儿真能绕过httpOnly?细思极恐了😱

                                                                                                                                    • 轻纱漫卷
                                                                                                                                      轻纱漫卷 0

                                                                                                                                      execute-assembly合并dll老报错,有现成打包的没?

                                                                                                                                      • 梧桐
                                                                                                                                        梧桐 0

                                                                                                                                        冷知识:chrome调试端口被占用时直接崩,没提示

                                                                                                                                          • YodelingYak
                                                                                                                                            YodelingYak 0

                                                                                                                                            @ 梧桐 端口被占直接闪退,连个error都不吐,坑死

                                                                                                                                          • 梦回唐朝
                                                                                                                                            梦回唐朝 1

                                                                                                                                            这工具名字取得挺有意思,CookieMonster是芝麻街那个角色吧

                                                                                                                                              • 火山漫步者
                                                                                                                                                火山漫步者 1

                                                                                                                                                @ 梦回唐朝 芝麻街反派办大事系列,表面可爱实际掏空你的账号

                                                                                                                                                • 青云游侠
                                                                                                                                                  青云游侠 0

                                                                                                                                                  @ 梦回唐朝 红队用着爽,蓝队查起来不就是多一个调试端口的事?

                                                                                                                                                  • 冰晶之刃
                                                                                                                                                    冰晶之刃 0

                                                                                                                                                    @ 梦回唐朝 execute-assembly老合并失败,是不是dll版本对不上啊?

                                                                                                                                                  • 光年余烬
                                                                                                                                                    光年余烬 0

                                                                                                                                                    求问如果用户启用了主密码,还能解出来吗?

                                                                                                                                                    • 真诚无伪
                                                                                                                                                      真诚无伪 1

                                                                                                                                                      之前搞过类似的东西,chrome多开确实看不出来有进程异常

                                                                                                                                                      • 泡面鉴赏师
                                                                                                                                                        泡面鉴赏师 1

                                                                                                                                                        这工具名字太搞笑了,芝麻街既视感😂

                                                                                                                                                        • 沧浪客
                                                                                                                                                          沧浪客 0

                                                                                                                                                          httpOnly都能拿?那不是全完了😱

                                                                                                                                                          • 暗夜吟唱者
                                                                                                                                                            暗夜吟唱者 0

                                                                                                                                                            win7跑不动吧,.NET 3.5都快进博物馆了

                                                                                                                                                            • 旧日茶香
                                                                                                                                                              旧日茶香 0

                                                                                                                                                              U盘路径试过不行,权限直接拒绝

                                                                                                                                                              • 月眠
                                                                                                                                                                月眠 1

                                                                                                                                                                杀软对–headless根本不敏感,亲测没报

                                                                                                                                                                • 纳西索斯
                                                                                                                                                                  纳西索斯 1

                                                                                                                                                                  EDR现在对chrome子进程监控越来越严了

                                                                                                                                                                  • 傲娇孔雀少
                                                                                                                                                                    傲娇孔雀少 0

                                                                                                                                                                    普通用户用这干啥,总不能偷自己cookie玩吧hhh

                                                                                                                                                                    • 风语灵犀
                                                                                                                                                                      风语灵犀 0

                                                                                                                                                                      这个默认端口号有讲究没?为啥选9142?

                                                                                                                                                                      • 粉樱
                                                                                                                                                                        粉樱 0

                                                                                                                                                                        感觉这工具对红队来说挺趁手的

                                                                                                                                                                        • 欢快节拍
                                                                                                                                                                          欢快节拍 0

                                                                                                                                                                          用过一次,卡在进程检测那步了

                                                                                                                                                                          • 梁峰
                                                                                                                                                                            梁峰 0

                                                                                                                                                                            websocket调试会不会被防火墙拦啊?

                                                                                                                                                                            • 春野音
                                                                                                                                                                              春野音 0

                                                                                                                                                                              这工具名有点意思,芝麻街那个饼干怪物嘛😂

                                                                                                                                                                              • 阳光奶昔
                                                                                                                                                                                阳光奶昔 0

                                                                                                                                                                                要是用户数据目录是自定义路径,第三条参数得写全吧?

                                                                                                                                                                                • 笔吏魏
                                                                                                                                                                                  笔吏魏 0

                                                                                                                                                                                  之前用别的工具偷cookie总被拦,这个能成?

                                                                                                                                                                                  • 虚拟先知
                                                                                                                                                                                    虚拟先知 0

                                                                                                                                                                                    这种工具放出来,普通用户也能随便下?

                                                                                                                                                                                    • NanoPhantom
                                                                                                                                                                                      NanoPhantom 0

                                                                                                                                                                                      所以这玩意儿只能在用户会话里用?

                                                                                                                                                                                      • InfernoSoul
                                                                                                                                                                                        InfernoSoul 1

                                                                                                                                                                                        对红队来说是个实用工具

                                                                                                                                                                                      匿名

                                                                                                                                                                                      发表评论

                                                                                                                                                                                      匿名网友

                                                                                                                                                                                      拖动滑块以完成验证