提取Chrome中Cookie工具分享

這個工具將從Google Chrome瀏覽器中提取Cookie，是一個.NET程序集，可以在C2中通過工具如PoshC2使用或CobaltStrike的命令。

項目地址是 

https://github.com/m0rv4i/SharpCookieMonster

用法  

只需將站點輸入即可。

SharpCookieMonster.exe [https://sitename.com] [chrome-debugging-port] [user data dir]

可選的第一個參數分隔chrome啟動時最初連接的網站

（默認為https://www.google.com）。

第二個可選參數指定用於啟動chrome調試器的埠（默認為9142）。

最後，可選的第三個參數指定用戶數據目錄的路徑，可以覆蓋該路徑以訪問不同的配置文件（默認為％APPDATALOCAL％\ Google \ Chrome \ User Data）。

如您所見，它可用於提取session，httpOnly並通過C2傳輸cookie。它還已作為模塊添加到PoshC2中，並設置了自動加載和別名功能，因此可以使用來簡單地運行它sharpcookiemonster。

這也適用於CobaltStrike的，可以使用execute-assembly。

還值得注意的是，您不需要任何特權訪問權限即可執行此操作，只需在存儲會話的計算機上在該用戶上下文中執行代碼即可。

它是如何工作的？

在後臺，這是通過首先啟動Google Chrome來實現的。我們首先枚舉任何正在運行的chrome.exe進程以提取其鏡像路徑，但是如果失敗，則默認為C：\ Program Files（x86）\ Google \ Chrome \ Application \ chrome.exe。然後，我們啟動該可執行文件，設置適當的標誌並將該進程的輸出重定向到我們的stdout，以便即使在C2通道上運行它時也可以查看它是否出錯。

該--headless標誌意味著chrome.exe實際上將在沒有任何用戶界面的情況下運行，但可以使用其API進行交互。對於紅隊成員而言，這是完美的選擇，因為它將僅作為另一個chrome.exe進程出現，而不會向用戶顯示任何內容。然後，通過--remote-debugging-port標記為此過程啟用遠程調試，然後使用將數據目錄指向用戶的現有數據目錄--user-data-dir。

啟動

啟動後，我們將檢查進程是否正在運行，並等待調試器埠打開。

然後，我們可以在該埠上與API交互以獲取websocket調試器URL。該URL允許程序通過websockets上的API與Chrome的devtools進行交互，從而為我們提供了這些devtools的全部功能。所有這些操作都是在受害人的計算機上本地完成的，因為該二進位文件正在運行，而無界面的Chrome進程正在運行。

然後，我們可以發出請求以檢索該配置文件的緩存中的所有cookie，並將其返回給操作員。

編譯

如果您想自己構建二進位文件，只需克隆它並在Visual Studio中構建它即可。

該項目已設置為與.NET 3.5兼容，以便與安裝較舊版本.NET的受害人兼容。但是，為了使用WebSockets與Chrome進行通信，添加了WebSocket4Net程序包。

如果要在C2上運行此命令（例如使用PoshC2的sharpcookiemonster命令或通過CobaltStrike的命令），請execute-assembly使用ILMerge將生成的可執行文件與依賴庫合併。

例如，首先重命名原始二進位文件，然後運行：

ILMerge.exe /targetplatform:"v2,C:\Windows\Microsoft.NET\Framework\v2.0.50727" /out:SharpCookieMonster.exe SharpCookieMonsterOriginal.exe WebSocket4Net.dll SuperSocket.ClientEngine.dll

【文章來源】：

https://www.freebuf.com/sectool/227149.html