這個工具將從Google Chrome瀏覽器中提取Cookie，是一個.NET程序集，可以在C2中通過工具如PoshC2使用或CobaltStrike的命令。

run-exe execute-assembly

項目地址是SharpCookieMonster。

用法

只需將站點輸入即可。

SharpCookieMonster.exe [https://sitename.com] [chrome-debugging-port] [user data dir]

可選的第一個參數分隔chrome啟動時最初連接的網站(默認為https://www.google.com)。

第二個可選參數指定用于啟動chrome調試器的端口(默認為9142)。

最后，可選的第三個參數指定用戶數據目錄的路徑，可以覆蓋該路徑以訪問不同的配置文件(默認為%APPDATALOCAL%\ Google \ Chrome \ User Data)。

如您所見，它可用于提取session，httpOnly并通過C2傳輸cookie。它還已作為模塊添加到PoshC2中，并設置了自動加載和別名功能，因此可以使用來簡單地運行它sharpcookiemonster。

這也適用于CobaltStrike的，可以使用execute-assembly。

還值得注意的是，您不需要任何特權訪問權限即可執行此操作，只需在存儲會話的計算機上在該用戶上下文中執行代碼即可。

它是如何工作的?

在后臺，這是通過首先啟動Google Chrome來實現的。我們首先枚舉任何正在運行的chrome.exe進程以提取其鏡像路徑，但是如果失敗，則默認為C：\ Program Files(x86)\ Google \ Chrome \ Application \ chrome.exe。然后，我們啟動該可執行文件，設置適當的標志并將該進程的輸出重定向到我們的stdout，以便即使在C2通道上運行它時也可以查看它是否出錯。

該--headless標志意味著chrome.exe實際上將在沒有任何用戶界面的情況下運行，但可以使用其API進行交互。對于紅隊成員而言，這是完美的選擇，因為它將僅作為另一個chrome.exe進程出現，而不會向用戶顯示任何內容。然后，通過--remote-debugging-port標記為此過程啟用遠程調試，然后使用將數據目錄指向用戶的現有數據目錄--user-data-dir。

啟動

啟動后，我們將檢查進程是否正在運行，并等待調試器端口打開。

然后，我們可以在該端口上與API交互以獲取websocket調試器URL。該URL允許程序通過websockets上的API與Chrome的devtools進行交互，從而為我們提供了這些devtools的全部功能。所有這些操作都是在受害人的計算機上本地完成的，因為該二進制文件正在運行，而無界面的Chrome進程正在運行。

然后，我們可以發出請求以檢索該配置文件的緩存中的所有cookie，并將其返回給操作員。

編譯

如果您想自己構建二進制文件，只需克隆它并在Visual Studio中構建它即可。

該項目已設置為與.NET 3.5兼容，以便與安裝較舊版本.NET的受害人兼容。但是，為了使用WebSockets與Chrome進行通信，添加了WebSocket4Net程序包。

如果要在C2上運行此命令(例如使用PoshC2的sharpcookiemonster命令或通過CobaltStrike的命令)，請execute-assembly使用ILMerge將生成的可執行文件與依賴庫合并。

例如，首先重命名原始二進制文件，然后運行：

ILMerge.exe /targetplatform:"v2,C:\Windows\Microsoft.NET\Framework\v2.0.50727" /out:SharpCookieMonster.exe SharpCookieMonsterOriginal.exe WebSocket4Net.dll SuperSocket.ClientEngine.dll