专栏名称: 白帽子左一
零基础也能学渗透!关注我,跟我一启开启渗透测试工程师成长计划.专注分享网络安全知识技能.
TodayRss-海外RSS稳定源
目录
今天看啥  ›  专栏  ›  白帽子左一

红队安全研究之浏览器存储的凭证

白帽子左一  · 公众号  · 科技自媒体  · 2025-11-18 12:00
    

主要观点总结

本文介绍了在Windows环境中,微软引入的数据保护应用程序接口(DPAPI)如何用于加密和解密敏感数据,如凭证。文章还涉及了红队行动中使用DPAPI攻击的情况,以及一些工具如Mimikatz、SharpDPAPI、CredentialKatz等如何操作DPAPI来提取或解密存储在浏览器中的凭证。此外,文章还讨论了非域加入系统中远程执行DPAPI操作的一些方法。

关键观点总结

关键观点1: 微软在Windows环境中引入DPAPI进行敏感数据加解密。

微软在Windows环境中引入了数据保护应用程序接口(DPAPI),用于通过 CryptProtectData 和 CryptUnprotectData 函数对敏感数据(如凭证)进行加密和解密。Chrome和Edge等浏览器在存储凭证前会使用DPAPI进行加密。

关键观点2: 主密钥在系统中的位置和提取方法。

主密钥本地存储,可以通过用户密码解密,用于解密DPAPI的数据块。提取到的加密密钥可以导入Mimikatz的dpapi::chrome模块中,用于解密“Login Data”的内容。

关键观点3: 红队行动中使用DPAPI的攻击方式和工具的使用。

在红队行动中,凭证存储的位置是重点目标,容易受到 CryptUnprotectData API滥用的攻击。Mimikatz、SharpDPAPI等是常用的攻击工具。

关键观点4: 非域加入系统中远程执行DPAPI操作的方法和工具。

在非域加入系统中,可以使用lsassy、dploot等工具远程执行DPAPI操作,获取并解密存储在浏览器中的凭证。

关键观点5: 工具的特定操作流程和行为差异。

大多数工具遵循特定的操作流程,从Local State文件中提取AES密钥,然后解密存储在Login Data中的密码。CredentialKatz等少数工具采用不同方法,直接从Chrome或Edge的凭证管理器中导出凭证。


免责声明:本文内容摘要由平台算法生成,仅为信息导航参考,不代表原文立场或观点。 原文内容版权归原作者所有,如您为原作者并希望删除该摘要或链接,请通过 【版权申诉通道】联系我们处理。

原文地址: 访问原文地址 (快捷配置)
总结与预览地址:访问文章预览/总结
文章地址: 访问文章快照