关于Cookie-Monster
Cookie-Monster是一款针对常见Web浏览器的安全分析与数据提取工具,该工具可以帮助广大研究人员提取并分析Edge、Chrome和Firefox浏览器中的Cookie数据。
Cookie-Monster适用于红队和蓝队成员,能够提取WebKit主密钥,找到具有Cookie和登录数据文件句柄的浏览器进程,然后复制句柄,并将相关数据下载并保存至本地。下载 Cookies/登录数据文件后,工具提供的Python解密脚本可以帮助提取并解密这些数据,而Firefox模块将负责解析profiles.ini并找到logins.json和key4.db文件所在的位置并下载它们。
工具要求
Mingw-w64
pycryptodome
pyasn1_modules
工具安装
由于该工具基于Python 3开发,因此我们首先需要在本地设备上安装并配置好最新版本的Python 3环境。
接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地:
git clone https://github.com/KingOfTheNOPs/cookie-monster.git
然后切换到项目目录中,使用pip3命令和项目提供的requirements.txt安装该工具所需的其他依赖组件:
cd cookie-monster pip3 install -r requirements.txt
Linux平台下运行下列命令完成项目代码编译:
make
Windows平台下运行下列命令编译exe:
gcc .\cookie-monster.c -o cookie-monster.exe -lshlwapi -lcrypt32 -lntdll
工具使用
BOF使用
Usage: cookie-monster [ --chrome || --edge || --firefox || --chromeCookiePID <pid> || --chromeLoginDataPID <PID> || --edgeCookiePID <pid> || --edgeLoginDataPID <pid>] cookie-monster Example: cookie-monster --chrome cookie-monster --edge cookie-moster --firefox cookie-monster --chromeCookiePID 1337 cookie-monster --chromeLoginDataPID 1337 cookie-monster --edgeCookiePID 4444 cookie-monster --edgeLoginDataPID 4444 cookie-monster Options: --chrome 会查看所有正在运行的进程和句柄,如果其中一个与chrome.exe匹配,它会将句柄复制到Cookies/Login Data,然后将文件复制到CWD; --edge 会查看所有正在运行的进程和句柄,如果其中一个与msedge.exe匹配,它会将句柄复制到Cookies/Login Data,然后将文件复制到CWD; --firefox 查找profiles.ini并定位key4.db和logins.json文件; --chromeCookiePID 如果提供了chromePID,请查找具有cookie句柄的指定进程。如果已知cookie句柄,请指定PID以复制其句柄和文件; --chromeLoginDataPID 如果提供了chrome PID,请查找具有登录数据句柄的指定进程,指定PID以复制其句柄和文件; --edgeCookiePID 如果提供了Edge PID,请查找具有cookie句柄的指定进程。如果已知cookie句柄,请指定PID以复制其句柄和文件; --edgeLoginDataPID 如果提供了Edge PID,请查找具有登录数据句柄的指定进程。如果已知登录数据,请指定PID以复制其句柄和文件;
EXE使用
Cookie Monster Example: cookie-monster.exe --all Cookie Monster Options: -h, --help 显示帮助信息和退出 --all 运行chrome, edge, 和firefox方法 --edge 提取Edge密钥并下载Cookies/Login数据至PWD --chrome 提取Chrome密钥并下载Cookies/Login数据至PWD --firefox 定位Firefox密钥和Cookie,不拷贝文件
解密脚本
解密Chrome/Edge Cookie文件:
python .\decrypt.py "\xec\xfc...." --cookies ChromeCookie.db Results Example: ----------------------------------- Host: .github.com Path: / Name: dotcom_user Cookie: KingOfTheNOPs Expires: Oct 28 2024 21:25:22 Host: github.com Path: / Name: user_session Cookie: x123..... Expires: Nov 11 2023 21:25:22
解密Chrome/Edge密码文件:
python .\decrypt.py "\xec\xfc...." --passwords ChromePasswords.db Results Example: ----------------------------------- URL: https://test.com/ Username: tester Password: McTesty
许可证协议
本项目的开发与发布遵循GPL-3.0开源许可协议。
项目地址
Cookie-Monster:【GitHub传送门】
参考资料
GitHub - lclevy/firepwd: firepwd.py, an open source tool to decrypt Mozilla protected passwords
GitHub - Mr-Un1k0d3r/Cookie-and-Handle-Stealer: C or BOF file to extract WebKit master key to decrypt user cookie
GitHub - fortra/nanodump: The swiss army knife of LSASS dumping
GitHub - login-securite/DonPAPI: Dumping DPAPI credz remotely