親記事 → CTFにおけるフォレンジック入門とまとめ - はまやんはまやんはまやん
ブラウザフォレンジック
IE
Chrome
- ログ
- 保存されている認証情報
C:¥Users¥【ユーザー名】¥AppData¥Local¥Google¥Chrome¥User Data¥Default¥Login Data
をDB Browser for SQLiteで開いて確認- nirsoftにも解析ツールはあるが、パスワードが暗号化されていると見れなくなる
- パスワードが暗号化されている場合はDPAPIが使われている
- mimikatzを起動して
dpapi::chrome /in:"C:\Users\eric\Downloads\Seized\AppData\Local\Google\Chrome\User Data\Default\Login Data" /masterkey:138f089556f32b87e53c5337c47f5f34746162db7fe9ef47f13a92c74897bf67e890bcf9c6a1d1f4cc5454f13fcecc1f9f910afb8e2441d8d3dbc3997794c630
みたいに復号- 副産物にAESキーが得られる
Local State
というファイルも持っている場合は、追加でstate:"Local Stateへのパス"
を追加すると別の情報が得られるかも
- mimikatzを起動して
FireFox
- Firefox 32.0以降
.mozilla
にfirefoxの情報が入ってる- メモリから認証情報が抜けるかも
ps
でPIDを手に入れてprocdump64.exe
を被害者環境に入れて.\procdump64.exe -accepteula -ma [PID]
で持ってくる。- stringsで文字列を探して
grep password
で認証情報っぽいもが無いか探してみよう
- 解析ツール
- https://github.com/Busindre/dumpzilla
python3 dumpzilla.py ./Firefox/Profiles/br873ssy.default-release/
- 履歴情報などを抜く
- https://github.com/Busindre/dumpzilla