导语:目前Chrome浏览器均可在Windows和Mac电脑,iPhone和Android智能手机上使用,根据StatCounter的统计,Chrome在全球的市场份额约为47%,是目前世界上最流行的网络浏览器。

360截图16400303387866.jpg

目前Chrome浏览器均可在Windows和Mac电脑,iPhone和Android智能手机上使用,根据StatCounter的统计,Chrome在全球的市场份额约为47%,是目前世界上最流行的网络浏览器。

本文我会给你介绍一些如何从本地计算机和Google帐户提取Google Chrome密码的方法,顺带举一些常见的和少见的使用案例,以帮助安全管理员对提取的密码进行合理的使用,例如解密外部NAS存储,解锁BitLocker驱动器和暴力破解密码。让我们来看看如何从多个本地和云端来源(例如用户的Mac或Windows计算机及其Google帐户)获取Google Chrome密码。

不知你是否知道使用Chrome密码解密BitLocker驱动器,下载iCloud备份,从而破解强大的加密功能或访问用户详细位置记录的方法。如果不知道,请参考以下步骤:

从本地计算机实时提取Chrome密码(以Windows为例)

为了从Windows计算机中提取Chrome密码,我将使用密码恢复软件(Elcomsoft Internet PasswordBreaker  EINPB)。请注意仅适用于你将用要提取的密码进行帐户登录的系统。

为什么要在正在登录的系统上执行提取呢?因为Windows系统具有保护机制。虽然技术上可以从脱机系统或磁盘映像中提取密码,但如果用户未登录,则所需的加密密钥难以访问和提取。

先准备好提取条件:

1.自生系统(live system)或虚拟系统;

2.以提取密码的用户身份登录;

3.Elcomsoft Internet Password Breaker提前下载安装好;

使用Elcomsoft Internet Password Breaker来提取Chrome密码的步骤:

1.启动Elcomsoft Internet Password Breaker:

1.png

2.点击Web密码—— Google Chrome:

2.png

3.几分钟后,就将打开一个包含帐户和密码列表的窗口。

3.png

4.你可以查看个人密码或将帐户和密码列表导出到文本文件中,但是,我建议使用“导出密码”来创建在用户计算机上发现的所有密码的过滤字典。此字典可能被如 ElcomSoft Distributed Password Recovery (一款强大的分布式密码暴力破解工具),Advanced Office Password Recovery((可以破解恢复word、ppt、excel等office格式加密文档,是一款多功能的Office密码破解工具,功能强大,兼容office所有版本)或其它密码破解工具用来暴力破解密码。

4.png

5.系统将提示你输入包含密码的文本文件的名称和位置:

5.png

从Google帐户中提取Chrome密码

Google账户可以收集,存储和处理大量信息,这其中就包括谷歌浏览器中使用的帐户和密码。密码存储在用户的Google帐户中,并自动同步到已登录到同一帐户的设备和Chrome实例( Chrome instances)中。

需要使用Elcomsoft Cloud Explorer 1.30或更高版本才能从Google帐户中提取文本消息,为了下载文本信息,请执行以下步骤:

1.启动Elcomsoft Cloud Explorer 1.30(或更新版本)

2.点击文件, 添加Google快照

3.通过提供用户名和密码验证Google帐户

6.png

4.如果用户启用双因素身份验证,则系统会提示你输入相关的身份验证代码。 Elcomsoft Cloud Explorer 会自动检测用户帐户上的双因素身份验证的类型。例如,如果某个帐户受到Google提示的保护,系统会要求你在其中一个受信任的设备上确认交互式提示。如果没有可用的可信设备,则会自动选择“尝试其他方法”。在这种情况下,你将能够使用由Authenticator应用程序生成的8位备份代码或6位TOTP代码。

7.png

5.验证完成后,选择Chrome。

8.png

6.Elcomsoft Cloud Explorer 将从Google帐户下载Chrome数据,这可能需要几分钟时间,具体取决于该Google帐户中存储的数据量大小。

9.png

7.下载完成后,你就可以访问Chrome数据了。

10.png

8.点击Chrome,密码将显示在打开的窗口中。

11.png

9.你可以使用“导出”按钮将Chrome帐户和密码导出到Excel兼容的电子表格中。如果你需要构建过滤密码字典以使用Elcomsoft Distributed Password Recovery,则可以从Excel电子表格中直接将密码复制过来,它会过滤掉重复的条目并将其保存到文本文件中。

Chrome密码同步保护

如果从用户的Google帐户中提取密码很容易的话,那是否意味着它们的保护不到位吗?也不完全是。默认情况下,登录名和密码会受用户的Google凭据保护。但是,用户还可以通过设置他们自己的密码来另外保护密码。

12.png

Google的官方文档介绍了这两种保护的方法以及它们之间的区别。

值得注意的是,如果用户忘记密码,则无法访问密码。 Google建议禁用并重新启用密码同步,这将从用户的帐户中删除以前存储的所有密码。

13.png

如果Elcomsoft Cloud Explorer 检测到有额外的密码保护策略,它就会在下载数据之前提示输入同步密码。

从macOS提取Chrome密码

与iOS设备类似,macOS提供了对系统内存储的帐户凭证,密码和其他敏感信息进行了区别于其它系统的保护,所以每次我总要单独拿出来说。除此之外,macOS钥匙串包含Google Chrome使用的密码。通过提取和分析macOS钥匙串,你就可以访问存储在Mac电脑上的Chrome密码。

与Windows类似,钥匙串提取仅在当前用户的自生系统(live system)中进行时才有效。

先准备好提取条件:

1. 创建一个自生系统(live system)或虚拟系统;

2. 以提取密码的用户身份登录(密码必须已知或已恢复);

3. 如果提取不同用户的钥匙串,管理密码和用户密码都要是已知或恢复的。

4. 提前下载安装好Elcomsoft Password Digger

从Mac中提取Chrome密码的步骤如下:

1. 在Mac上制作钥匙串数据库文件的本地副本:

1.1 创建一个新文件夹(例如桌面上的“KEYCHAINS”);

1.2 打开终端并将当前文件夹更改为刚刚创建的文件夹,例如cd Desktop/KEYCHAINS;

1.3 将cp/Users/<username>/Library/Keychains/login.keychain-db文件复制到当前文件夹中;

1.4 此步骤是可选步骤:

cp /Library/Keychains/System.keychain .
sudo cp /private/var/db/SystemKey .

注意:尾随点“ . “是必需的,因为它代表当前文件夹。

如下所示第一个命令负责复制主钥匙串(用户钥匙串)。在macOS 11.12(Sierra)和11.13(High Sierra)中,文件名是“login.keychain-db”。

注意:在旧版本的macOS中,文件名是“login.keychain”。

14.png

为了解密文件,必需用到用户的密码。为了访问当前登录用户的钥匙串数据库,必须首先输入sudo命令。

第二个命令负责复制系统钥匙串。这个钥匙串是全部的Mac系统都能使用,对于所有的用户都是一样的。此步骤是可选的,因为系统钥匙串除了Wi-Fi密码之外,也没有什么有用的数据。为了解密这个钥匙串,需要一个系统密钥,这时你将用到第三个命令进行复制。

第三个命令负责复制系统密钥(不过前提是需要sudo和管理员密码)。

2. 将文件复制到安装了Elcomsoft Password Digger的Windows计算机;

3. 接下来的事情就简单多了,启动Elcomsoft Password Digger并指定你提取的文件路径,不过前提是,你需要指定用户的密码来解密用户钥匙串。

以下是macOS Sierra和High Sierra的情况:

15.png

对于旧版本的macOS,情况如下:

16.png

重要提示:默认情况下,钥匙串密码与用户的登录密码相同。但是,macOS有一个允许用户手动更改钥匙串密码的选项。另外,如果帐号密码被重置,那钥匙串密码可能与用户的帐号密码不同。如果是这种情况,你需要提供就是正确的钥匙串密码而不是用户的登录密码。详细过程请看以下两个链接:

https://support.apple.com/kb/PH20094

https://support.apple.com/en-us/HT201609

4. 几分钟后,钥匙串将被解密。然后,你可以将钥匙串的全部内容保存到一个XML文件中,或者创建一个过滤后的文本字典,以便与Elcomsoft Distributed Password Recovery或其他密码恢复工具一起使用。

17.png

你现在就可以访问Chrome密码以及其它存储在用户的macOS钥匙串中的所有密码。

如果你不知道正确的用户密码或钥匙串密码,可以使用Elcomsoft Distributed Password Recovery进行恢复。虽然可能会发生暴力破解密码的事情,但请注意,由于macOS使用的是较弱的加密方式来保护钥匙串,而不是用户帐户方式。因此,我建议对钥匙串密码进行暴力破解的成功性最大(而不是破解用户帐户密码)。与破解macOS账户密码相比,钥匙串密码的恢复速度快了近100倍。

如果启用FileVault 2加密

如果Mac已加密(FileVault 2),则需要先解密卷,然后才能复制钥匙串数据库。如果你知道用户的登录密码,则可以轻松解密卷,但如果密码未知,你可能仍然需要暴力破解密码。 Elcomsoft Distributed Password Recovery支持FileVault 2密码。

实例探究

现在你已经拥有了用户存储的密码,那么接下来就是如何正确地使用它们了,比如,你可以访问用户的社交网络、聊天、在线购物账户,以下就是有一些你可能从未碰到过的用例。

解密加密档案,文件和磁盘卷

通过将用户的Chrome密码合并到一个过滤的文本文件中(通过使用的账户数量来删除重复和排序密码),你将创建最有针对性的自定义词典来暴力破解用户的其它密码。你可以使用此字典来破解具有高度加密保护的数据,不会这需要花费数年的时间来进行暴力破解。你可以使用Elcomsoft Distributed Password Recovery或类似的工具来使用这本字典来暴力破解受密码保护的Microsoft Office文档,ZIP / RAR归档文件,加密卷等。

Microsoft帐户和BitLocker

你知道吗,在很多情况下,Microsoft会自动将BitLocker恢复密钥备份到用户的Microsoft帐户中。这尤其适用于大多数使用BitLocker进行加密的设备。 Windows BitLocker驱动器加密通过加密Windows操作系统卷上存储的所有数据可以更好地保护计算机中的数据。BitLocker使用TPM帮助保护Windows操作系统和用户数据,并帮助确保计算机即使在无人参与、丢失或被盗的情况下也不会被篡改。 BitLocker还可以在没有TPM的情况下使用。用户甚至不会意识到他们的设备是加密的,如果满足以下4个条件:

1.BitLocker运行在Windows 8,8.1,Windows RT或Windows 10环境下;

2.BitLocker符合所有连接的条件,如固态存储和不可移动内存;

3. BitLocker配有一个TPM2.0模块;

4.用户登录他们的计算机时,使用他们的微软账户凭证,而不是使用本地的Windows帐户。

如果满足上述所有条件,则BitLocker将在用户使用他们的Microsoft帐户凭据(具有管理权限)后立即开始加密磁盘。 

通过分析Chrome密码,你可以获得用户的Microsoft帐户密码。这个密码可以live.com、hotmail.com、microsoft.com等网站上进行缓存。点击以下链接,你可以检索到Microsoft帐户下注册的所有设备的BitLocker恢复密钥:

https://account.microsoft.com/devices/recoverykey

然后你可以使用Elcomsoft Forensic Disk Decryptor安装或解密加密卷。

有关BitLocker恢复密钥的更多信息,请点击以下链接:

https://support.microsoft.com/en-us/help/4026181/windows-find-my-bitlocker-recovery-key

iCloud:iOS备份

如果用户使用Apple ID登录到Apple提供的任何服务中,则可以通过在Chrome密码中查找诸如“icloud.com”或“apple.com”等内容访问其Apple ID密码。获得用户的Apple ID密码后,你就可以使用Elcomsoft Phone Breaker访问用户的iCloud备份,同步数据(如通话记录,日历和备忘录)以及其iCloud照片库。如果用户启用了双因素身份验证,则仍然需要访问附加的身份验证。

Google帐户和位置记录

借助Elcomsoft Cloud Explorer,你可以直接从用户的Google帐户中提取详细的位置记录,文本信息,以及其它更多信息。你可以通过在Chrome密码中查找“google”来检索用户的Google帐户密码。如果用户启用了双因素身份验证,则仍然需要访问附加的身份验证。

源链接

Hacking more

...