CookieKatz 技术文档
项目地址: https://gitcode.com/gh_mirrors/ch/ChromeKatz CookieKatz 是一个专为从Chrome、Edge或Msedgewebview2浏览器进程内存中导出cookies设计的工具。该项目利用了Chromium基浏览器在启动时加载所有cookie至内存的特性,提供了一种不触及磁盘数据库文件的解密并获取cookies的方法。
安装指南
下载预编译版本
您可以通过访问 GitHub 发布页面 下载CookieKatz-BOF的最新发布版。该压缩包包含了即用的Beacon对象文件(BOFs)以及运行它们所需的CNA脚本。
自行构建
对于希望自建版本的用户,需要具备Visual Studio环境,并设置为Release或Debug配置以及x64平台。对于BOF版本,推荐使用Cobalt Strike提供的bof-vs模板进行开发。通过x64 Native Tools Command Prompt for VS 2022,运行以下命令即可编译:
nmake all
使用说明
CookieKatz 执行示例
- 默认执行
.\CookieKatz.exe将目标定位到第一个可使用的Chrome进程。 - 使用
/edge参数,如.\CookieKatz.exe /edge转向Edge浏览器。 - 指定PID操作,例如
.\CookieKatz.exe /pid:<具体PID>针对特定进程。 - 处理Webview进程,利用
/webview结合PID或列表查看,比如.\CookieKatz.exe /webview /pid:<pid>或者.\CookieKatz.exe /list /webview列出可用的webview进程。
CookieKatz-BOF 在Cobalt Strike中的用法
在Cobalt Strike的Beacon中,你可以通过以下命令来调用:
cookie-katz chrome导出Chrome浏览器的cookies。cookie-katz-find edge查找Edge相关进程以便后续操作。
CookieKatzMinidump 使用方法
若要从minidump文件解析cookies,执行如下命令:
.\CookieKatzMinidump.exe <路径\msedge.DMP>
并且,为了准确创建minidump,可以使用PowerShell命令识别目标进程:
Get-WmiObject Win32_Process | where {$_.CommandLine -match 'network.mojom.NetworkService'} | select -Property Name,ProcessId
API使用文档
请注意,CookieKatz作为一个命令行工具,其“API”体现在命令参数上,上述的使用说明即为其“接口”。对于开发者集成或自动化需求,理解这些命令参数是关键,无传统意义上的API调用。
总结
CookieKatz项目提供了灵活且强大的方式来处理浏览器的cookie,适用于安全研究、渗透测试等多种场景。然而,由于其依赖于内存偏移,未来的浏览器更新可能会导致失效。开发者和使用者应当关注项目的更新,以确保功能持续有效。此文档旨在简化用户的理解和应用过程,帮助您更好地利用CookieKatz。
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
