這個(gè)工具將從Google Chrome瀏覽器中提取Cookie，是一個(gè).NET程序集，可以在C2中通過(guò)工具如PoshC2使用或CobaltStrike的命令。

run-exe execute-assembly

項(xiàng)目地址是SharpCookieMonster。

用法

只需將站點(diǎn)輸入即可。

SharpCookieMonster.exe [https://sitename.com] [chrome-debugging-port] [user data dir]

可選的第一個(gè)參數(shù)分隔chrome啟動(dòng)時(shí)最初連接的網(wǎng)站(默認(rèn)為https://www.google.com)。

第二個(gè)可選參數(shù)指定用于啟動(dòng)chrome調(diào)試器的端口(默認(rèn)為9142)。

最后，可選的第三個(gè)參數(shù)指定用戶數(shù)據(jù)目錄的路徑，可以覆蓋該路徑以訪問(wèn)不同的配置文件(默認(rèn)為%APPDATALOCAL%\ Google \ Chrome \ User Data)。

如您所見(jiàn)，它可用于提取session，httpOnly并通過(guò)C2傳輸cookie。它還已作為模塊添加到PoshC2中，并設(shè)置了自動(dòng)加載和別名功能，因此可以使用來(lái)簡(jiǎn)單地運(yùn)行它sharpcookiemonster。

這也適用于CobaltStrike的，可以使用execute-assembly。

還值得注意的是，您不需要任何特權(quán)訪問(wèn)權(quán)限即可執(zhí)行此操作，只需在存儲(chǔ)會(huì)話的計(jì)算機(jī)上在該用戶上下文中執(zhí)行代碼即可。

它是如何工作的?

在后臺(tái)，這是通過(guò)首先啟動(dòng)Google Chrome來(lái)實(shí)現(xiàn)的。我們首先枚舉任何正在運(yùn)行的chrome.exe進(jìn)程以提取其鏡像路徑，但是如果失敗，則默認(rèn)為C：\ Program Files(x86)\ Google \ Chrome \ Application \ chrome.exe。然后，我們啟動(dòng)該可執(zhí)行文件，設(shè)置適當(dāng)?shù)臉?biāo)志并將該進(jìn)程的輸出重定向到我們的stdout，以便即使在C2通道上運(yùn)行它時(shí)也可以查看它是否出錯(cuò)。

該--headless標(biāo)志意味著chrome.exe實(shí)際上將在沒(méi)有任何用戶界面的情況下運(yùn)行，但可以使用其API進(jìn)行交互。對(duì)于紅隊(duì)成員而言，這是完美的選擇，因?yàn)樗鼘H作為另一個(gè)chrome.exe進(jìn)程出現(xiàn)，而不會(huì)向用戶顯示任何內(nèi)容。然后，通過(guò)--remote-debugging-port標(biāo)記為此過(guò)程啟用遠(yuǎn)程調(diào)試，然后使用將數(shù)據(jù)目錄指向用戶的現(xiàn)有數(shù)據(jù)目錄--user-data-dir。

啟動(dòng)

啟動(dòng)后，我們將檢查進(jìn)程是否正在運(yùn)行，并等待調(diào)試器端口打開(kāi)。

然后，我們可以在該端口上與API交互以獲取websocket調(diào)試器URL。該URL允許程序通過(guò)websockets上的API與Chrome的devtools進(jìn)行交互，從而為我們提供了這些devtools的全部功能。所有這些操作都是在受害人的計(jì)算機(jī)上本地完成的，因?yàn)樵摱M(jìn)制文件正在運(yùn)行，而無(wú)界面的Chrome進(jìn)程正在運(yùn)行。

然后，我們可以發(fā)出請(qǐng)求以檢索該配置文件的緩存中的所有cookie，并將其返回給操作員。

編譯

如果您想自己構(gòu)建二進(jìn)制文件，只需克隆它并在Visual Studio中構(gòu)建它即可。

該項(xiàng)目已設(shè)置為與.NET 3.5兼容，以便與安裝較舊版本.NET的受害人兼容。但是，為了使用WebSockets與Chrome進(jìn)行通信，添加了WebSocket4Net程序包。

如果要在C2上運(yùn)行此命令(例如使用PoshC2的sharpcookiemonster命令或通過(guò)CobaltStrike的命令)，請(qǐng)execute-assembly使用ILMerge將生成的可執(zhí)行文件與依賴庫(kù)合并。

例如，首先重命名原始二進(jìn)制文件，然后運(yùn)行：

ILMerge.exe /targetplatform:"v2,C:\Windows\Microsoft.NET\Framework\v2.0.50727" /out:SharpCookieMonster.exe SharpCookieMonsterOriginal.exe WebSocket4Net.dll SuperSocket.ClientEngine.dll