这个工具将从Google Chrome浏览器中提取cookie,是一个.NET程序集,可以在C2中通过工具如PoshC2使用或CobaltStrike的命令。
项目地址是SharpcookieMonster。
用法
只需将站点输入即可。
可选的第一个参数分隔chrome启动时最初连接的网站(默认为https://www.google.com)。
第二个可选参数指定用于启动chrome调试器的端口(默认为9142)。
最后,可选的第三个参数指定用户数据目录的路径,可以覆盖该路径以访问不同的配置文件(默认为%APPDATALOCAL% Google Chrome User Data)。
启动
启动后,我们将检查进程是否正在运行,并等待调试器端口打开。
然后,我们可以在该端口上与API交互以获取websocket调试器URL。该URL允许程序通过websockets上的API与Chrome的devtools进行交互,从而为我们提供了这些devtools的全部功能。所有这些操作都是在受害人的计算机上本地完成的,因为该二进制文件正在运行,而无界面的Chrome进程正在运行。
然后,我们可以发出请求以检索该配置文件的缓存中的所有cookie,并将其返回给操作员。
编译
如果您想自己构建二进制文件,只需克隆它并在Visual Studio中构建它即可。
该项目已设置为与.NET 3.5兼容,以便与安装较旧版本.NET的受害人兼容。但是,为了使用WebSockets与Chrome进行通信,添加了WebSocket4Net程序包。
如果要在C2上运行此命令(例如使用PoshC2的sharpcookiemonster命令或通过CobaltStrike的命令),请execute-assembly使用ILMerge将生成的可执行文件与依赖库合并。
例如,首先重命名原始二进制文件,然后运行: