一、基于谷歌內核瀏覽器的cookie文件保存位置 以目前流行的三款基于Chrominum內核的瀏覽器為例���,Cookie文件保存在當前用戶的AppData目錄下�����,注意該文件沒有擴展名����。
1、谷歌的Chrome
2�、奇虎的360se
3、微軟的Edge
注意360的保存位置略有不同��。
二�����、Cookie文件的格式和加密方式 該Cookie文件是sqlite格式的數據庫文件���,可以用sqlite數據庫瀏覽工具打開查看���,如下圖:
打開觀察發(fā)現cookie值是被加密的,采用的加密算法是AES��,確切的說是GCM算法��。要進行解密則需要知道秘鑰key和向量iv��。那么key和iv保存在哪�?
三、秘鑰key在哪 秘鑰文件在“Local State”文件中�,注意這是一個json文件,不是目錄�,所在位置在Cookies文件的上兩層目錄中。對應上述三款瀏覽器分別如下:
C:\Users\當前用戶\AppData\Local\Google\Chrome\User Data\Local State
該文件是一個json文件�����,其中的“os_crypt/encrypted_key”鍵值是以base64的編碼保存的加密后的key���。base64解碼后是一個二進制數據塊��。前5個字符是"DPAPI"�����,是加密算法標記��,可以忽略��,后面才是被加密后的key���。
DPAPI(Data Protection Application Programming Programming Interface)是Windows操作系統(tǒng)內置的數據加密接口?����,主要用于保護敏感信息(如密鑰�����、用戶憑據等)��。這是windows特有的加密算法�����,不在openssl算法庫中��,只能使用windows自帶的API函數CryptUnprotectData對加密后的key進行解密�,其它語言應該有對API的封裝或實現。
為何要采用DPAPI的方式對key進行加密呢�?
它的好處是,只有在本機調用CryptUnprotectData函數對本機的key進行解密才能成功�,如果將“Local State”拷貝到其它機器進行解密則會失敗。也就是說DPAPI在加密的過程中加入了當前用戶的“身份”和“機器”信息�,解密時會進行校驗。這種設計就確保了你無法通過“偷竊”的方式對key值進行解密(比如拷貝到自己的機器上慢慢研究)�����,只能在“案發(fā)現場”進行解密�����,從而在某種程度上保護了cookie的安全�。
四、向量iv在哪 iv就在cookie加密的數據中����,cookies數據庫文件的“encryped_value”字段中。其編碼格式為:3字節(jié)的標志符+12字節(jié)iv+真正的AES加密數據���。
該值的前三個字符是“v10”���,可忽略,從第3個字符(以0為起始值)開始的后12個字節(jié)是iv�。AES加密數據從第15個字節(jié)開始到最后。
到此為止我們已經得到了key��、iv以及待解密的AES數據�。接下來就可以調用AES解密函數對加密數據進行解密了。
五����、CookieReader工具介紹 由于谷歌的Chromium內核在運行時會以“完全獨占”的方式(其它程序無法共享讀?。┐蜷_cookies數據庫文件��,因此使用該工具前要關閉對應的瀏覽器����,否則將無法讀取到該瀏覽器的cookie數據。當然也可以將cookies文件拷貝出來進行讀取����。即使以這種方式也要先關閉對應的瀏覽器,否則拷貝出來的cookies文件是空文件�����。強烈建議拷貝出來后進行讀取����。
同樣,在該工具讀取Cookies文件時��,對應的瀏覽器也無法正常讀取到Cookie數據��,因為無法獨占打開數據庫了���。點擊下載CookieReader工具
下拉框有四種模式:
1�����、自選擇cookie文件
該方式下����,用戶可以自己指定需要打開的Cookie文件�, 比如將Cookies文件拷貝到本機的其它地方進行讀取。
2�、谷歌Cookie文件
該方式下,用戶無需選擇Cookie文件�,該工具直接讀取當前谷歌瀏覽器的Cookie目錄所在的文件,此時務必要關閉谷歌瀏覽器��。
3���、360 Cookie文件
同上�,讀取360瀏覽器的Cookie��。
4��、Edge Cookie文件
同上���,讀取微軟Edge瀏覽器的Cookie文件��。
點擊下載CookieReader工具 ?
轉自https://www.cnblogs.com/softlee/p/18915269
400 186 1886
