如何提取Google Chrome中的密碼?
目前Chrome瀏覽器均可在Windows和Mac電腦,iPhone和Android智能手機上使用,根據StatCounter的統計,Chrome在全球的市場份額約為47%,是目前世界上最流行的網路瀏覽器。
本文我會給你介紹一些如何從本地計算機和Google帳戶提取Google Chrome密碼的方法,順帶舉一些常見的和少見的使用案例,以幫助安全管理員對提取的密碼進行合理的使用,例如解密外部NAS存儲,解鎖BitLocker驅動器和暴力破解密碼。讓我們來看看如何從多個本地和雲端來源(例如用戶的Mac或Windows計算機及其Google帳戶)獲取Google Chrome密碼。
不知你是否知道使用Chrome密碼解密BitLocker驅動器,下載iCloud備份,從而破解強大的加密功能或訪問用戶詳細位置記錄的方法。如果不知道,請參考以下步驟:
從本地計算機實時提取Chrome密碼(以Windows為例)
為了從Windows計算機中提取Chrome密碼,我將使用密碼恢復軟體(Elcomsoft Internet PasswordBreaker EINPB)。請注意僅適用於你將用要提取的密碼進行帳戶登錄的系統。
為什麼要在正在登錄的系統上執行提取呢?因為Windows系統具有保護機制。雖然技術上可以從離線系統或磁碟映像中提取密碼,但如果用戶未登錄,則所需的加密密鑰難以訪問和提取。
先準備好提取條件:
1.自生系統(live system)或虛擬系統;
2.以提取密碼的用戶身份登錄;
3.Elcomsoft Internet Password Breaker提前下載安裝好;
使用Elcomsoft Internet Password Breaker來提取Chrome密碼的步驟:
1.啟動Elcomsoft Internet Password Breaker:
2.點擊Web密碼—— Google Chrome:
3.幾分鐘後,就將打開一個包含帳戶和密碼列表的窗口。
4.你可以查看個人密碼或將帳戶和密碼列表導出到文本文件中,但是,我建議使用「導出密碼」來創建在用戶計算機上發現的所有密碼的過濾字典。此字典可能被如 ElcomSoft Distributed Password Recovery (一款強大的分散式密碼暴力破解工具),Advanced Office Password Recovery((可以破解恢復word、ppt、excel等office格式加密文檔,是一款多功能的Office密碼破解工具,功能強大,兼容office所有版本)或其它密碼破解工具用來暴力破解密碼。
5.系統將提示你輸入包含密碼的文本文件的名稱和位置:
從Google帳戶中提取Chrome密碼
Google賬戶可以收集,存儲和處理大量信息,這其中就包括谷歌瀏覽器中使用的帳戶和密碼。密碼存儲在用戶的Google帳戶中,並自動同步到已登錄到同一帳戶的設備和Chrome實例( Chrome instances)中。
需要使用Elcomsoft Cloud Explorer 1.30或更高版本才能從Google帳戶中提取文本消息,為了下載文本信息,請執行以下步驟:
1.啟動Elcomsoft Cloud Explorer 1.30(或更新版本)
2.點擊文件, 添加Google快照
3.通過提供用戶名和密碼驗證Google帳戶
4.如果用戶啟用雙因素身份驗證,則系統會提示你輸入相關的身份驗證代碼。 Elcomsoft Cloud Explorer 會自動檢測用戶帳戶上的雙因素身份驗證的類型。例如,如果某個帳戶受到Google提示的保護,系統會要求你在其中一個受信任的設備上確認互動式提示。如果沒有可用的可信設備,則會自動選擇「嘗試其他方法」。在這種情況下,你將能夠使用由Authenticator應用程序生成的8位備份代碼或6位TOTP代碼。
5.驗證完成後,選擇Chrome。
6.Elcomsoft Cloud Explorer 將從Google帳戶下載Chrome數據,這可能需要幾分鐘時間,具體取決於該Google帳戶中存儲的數據量大小。
7.下載完成後,你就可以訪問Chrome數據了。
8.點擊Chrome,密碼將顯示在打開的窗口中。
9.你可以使用「導出」按鈕將Chrome帳戶和密碼導出到Excel兼容的電子表格中。如果你需要構建過濾密碼字典以使用Elcomsoft Distributed Password Recovery,則可以從Excel電子表格中直接將密碼複製過來,它會過濾掉重複的條目並將其保存到文本文件中。
Chrome密碼同步保護
如果從用戶的Google帳戶中提取密碼很容易的話,那是否意味著它們的保護不到位嗎?也不完全是。默認情況下,登錄名和密碼會受用戶的Google憑據保護。但是,用戶還可以通過設置他們自己的密碼來另外保護密碼。
Google的官方文檔介紹了這兩種保護的方法以及它們之間的區別。
值得注意的是,如果用戶忘記密碼,則無法訪問密碼。 Google建議禁用並重新啟用密碼同步,這將從用戶的帳戶中刪除以前存儲的所有密碼。
如果Elcomsoft Cloud Explorer 檢測到有額外的密碼保護策略,它就會在下載數據之前提示輸入同步密碼。
從macOS提取Chrome密碼
與iOS設備類似,macOS提供了對系統內存儲的帳戶憑證,密碼和其他敏感信息進行了區別於其它系統的保護,所以每次我總要單獨拿出來說。除此之外,macOS鑰匙串包含Google Chrome使用的密碼。通過提取和分析macOS鑰匙串,你就可以訪問存儲在Mac電腦上的Chrome密碼。
與Windows類似,鑰匙串提取僅在當前用戶的自生系統(live system)中進行時才有效。
先準備好提取條件:
1. 創建一個自生系統(live system)或虛擬系統;
2. 以提取密碼的用戶身份登錄(密碼必須已知或已恢復);
3. 如果提取不同用戶的鑰匙串,管理密碼和用戶密碼都要是已知或恢復的。
4. 提前下載安裝好Elcomsoft Password Digger
從Mac中提取Chrome密碼的步驟如下:
1. 在Mac上製作鑰匙串資料庫文件的本地副本:
1.1 創建一個新文件夾(例如桌面上的「KEYCHAINS」);
1.2 打開終端並將當前文件夾更改為剛剛創建的文件夾,例如cd Desktop/KEYCHAINS;
1.3 將cp/Users/<username>/Library/Keychains/login.keychain-db文件複製到當前文件夾中;
1.4 此步驟是可選步驟:
cp /Library/Keychains/System.keychain .nsudo cp /private/var/db/SystemKey .n
注意:尾隨點「 . 「是必需的,因為它代表當前文件夾。
如下所示第一個命令負責複製主鑰匙串(用戶鑰匙串)。在macOS 11.12(Sierra)和11.13(High Sierra)中,文件名是「login.keychain-db」。
注意:在舊版本的macOS中,文件名是「login.keychain」。
為了解密文件,必需用到用戶的密碼。為了訪問當前登錄用戶的鑰匙串資料庫,必須首先輸入sudo命令。
第二個命令負責複製系統鑰匙串。這個鑰匙串是全部的Mac系統都能使用,對於所有的用戶都是一樣的。此步驟是可選的,因為系統鑰匙串除了Wi-Fi密碼之外,也沒有什麼有用的數據。為了解密這個鑰匙串,需要一個系統密鑰,這時你將用到第三個命令進行複製。
第三個命令負責複製系統密鑰(不過前提是需要sudo和管理員密碼)。
2. 將文件複製到安裝了Elcomsoft Password Digger的Windows計算機;
3. 接下來的事情就簡單多了,啟動Elcomsoft Password Digger並指定你提取的文件路徑,不過前提是,你需要指定用戶的密碼來解密用戶鑰匙串。
以下是macOS Sierra和High Sierra的情況:
對於舊版本的macOS,情況如下:
重要提示:默認情況下,鑰匙串密碼與用戶的登錄密碼相同。但是,macOS有一個允許用戶手動更改鑰匙串密碼的選項。另外,如果帳號密碼被重置,那鑰匙串密碼可能與用戶的帳號密碼不同。如果是這種情況,你需要提供就是正確的鑰匙串密碼而不是用戶的登錄密碼。詳細過程請看以下兩個鏈接:
https://support.apple.com/kb/PH20094
https://support.apple.com/en-us/HT201609
4. 幾分鐘後,鑰匙串將被解密。然後,你可以將鑰匙串的全部內容保存到一個XML文件中,或者創建一個過濾後的文本字典,以便與Elcomsoft Distributed Password Recovery或其他密碼恢復工具一起使用。
你現在就可以訪問Chrome密碼以及其它存儲在用戶的macOS鑰匙串中的所有密碼。
如果你不知道正確的用戶密碼或鑰匙串密碼,可以使用Elcomsoft Distributed Password Recovery進行恢復。雖然可能會發生暴力破解密碼的事情,但請注意,由於macOS使用的是較弱的加密方式來保護鑰匙串,而不是用戶帳戶方式。因此,我建議對鑰匙串密碼進行暴力破解的成功性最大(而不是破解用戶帳戶密碼)。與破解macOS賬戶密碼相比,鑰匙串密碼的恢復速度快了近100倍。
如果啟用FileVault 2加密
如果Mac已加密(FileVault 2),則需要先解密卷,然後才能複製鑰匙串資料庫。如果你知道用戶的登錄密碼,則可以輕鬆解密卷,但如果密碼未知,你可能仍然需要暴力破解密碼。 Elcomsoft Distributed Password Recovery支持FileVault 2密碼。
實例探究
現在你已經擁有了用戶存儲的密碼,那麼接下來就是如何正確地使用它們了,比如,你可以訪問用戶的社交網路、聊天、在線購物賬戶,以下就是有一些你可能從未碰到過的用例。
解密加密檔案,文件和磁碟卷
通過將用戶的Chrome密碼合併到一個過濾的文本文件中(通過使用的賬戶數量來刪除重複和排序密碼),你將創建最有針對性的自定義詞典來暴力破解用戶的其它密碼。你可以使用此字典來破解具有高度加密保護的數據,不會這需要花費數年的時間來進行暴力破解。你可以使用Elcomsoft Distributed Password Recovery或類似的工具來使用這本字典來暴力破解受密碼保護的Microsoft Office文檔,ZIP / RAR歸檔文件,加密卷等。
Microsoft帳戶和BitLocker
你知道嗎,在很多情況下,Microsoft會自動將BitLocker恢復密鑰備份到用戶的Microsoft帳戶中。這尤其適用於大多數使用BitLocker進行加密的設備。 Windows BitLocker驅動器加密通過加密Windows操作系統卷上存儲的所有數據可以更好地保護計算機中的數據。BitLocker使用TPM幫助保護Windows操作系統和用戶數據,並幫助確保計算機即使在無人參與、丟失或被盜的情況下也不會被篡改。 BitLocker還可以在沒有TPM的情況下使用。用戶甚至不會意識到他們的設備是加密的,如果滿足以下4個條件:
1.BitLocker運行在Windows 8,8.1,Windows RT或Windows 10環境下;
2.BitLocker符合所有連接的條件,如固態存儲和不可移動內存;
3. BitLocker配有一個TPM2.0模塊;
4.用戶登錄他們的計算機時,使用他們的微軟賬戶憑證,而不是使用本地的Windows帳戶。
如果滿足上述所有條件,則BitLocker將在用戶使用他們的Microsoft帳戶憑據(具有管理許可權)後立即開始加密磁碟。
通過分析Chrome密碼,你可以獲得用戶的Microsoft帳戶密碼。這個密碼可以http://live.com、http://hotmail.com、http://microsoft.com等網站上進行緩存。點擊以下鏈接,你可以檢索到Microsoft帳戶下註冊的所有設備的BitLocker恢復密鑰:
https://account.microsoft.com/devices/recoverykey
然後你可以使用Elcomsoft Forensic Disk Decryptor安裝或解密加密卷。
有關BitLocker恢復密鑰的更多信息,請點擊以下鏈接:
https://support.microsoft.com/en-us/help/4026181/windows-find-my-bitlocker-recovery-key
iCloud:iOS備份
如果用戶使用Apple ID登錄到Apple提供的任何服務中,則可以通過在Chrome密碼中查找諸如「icloud.com」或「apple.com」等內容訪問其Apple ID密碼。獲得用戶的Apple ID密碼後,你就可以使用Elcomsoft Phone Breaker訪問用戶的iCloud備份,同步數據(如通話記錄,日曆和備忘錄)以及其iCloud照片庫。如果用戶啟用了雙因素身份驗證,則仍然需要訪問附加的身份驗證。
Google帳戶和位置記錄
藉助Elcomsoft Cloud Explorer,你可以直接從用戶的Google帳戶中提取詳細的位置記錄,文本信息,以及其它更多信息。你可以通過在Chrome密碼中查找「google」來檢索用戶的Google帳戶密碼。如果用戶啟用了雙因素身份驗證,則仍然需要訪問附加的身份驗證。
本文翻譯自:https://blog.elcomsoft.com/2018/01/extracting-and-making-use-of-chrome-passwords/ ,如若轉載,請註明原文地址: http://www.4hou.com/mobile/9944.html 更多內容請關注「嘶吼專業版」——Pro4hou
推薦閱讀:
※記一次720度托馬斯迴旋過狗!
※Opera伺服器已被黑,並已公開承認
※APT攻擊中會使用合法程序嗎?
※3個步驟實現簡單語言解釋器(自製簡易編程語言)
TAG:信息安全 |