0. 前言

1.参考文献

2.分析

3.流程

4.代码

4.1 代码结构

4.2 aesgcm.py

4.3 chromeCookieJar.py

4.4 decrypt.py

4.5 main.py

5.结果

0. 前言

上篇博客写了用scrapy去爬取微博的评论，里面说到了不带cookie值去爬，微博可能会把你当成游客，无法正确爬取数据

Cookie（百度百科）：Cookie，有时也用其复数形式 Cookies。类型为“小型文本文件”，是某些网站为了辨别用户身份，进行Session跟踪而储存在用户本地终端上的数据（通常经过加密），由用户客户端计算机暂时或永久保存的信息

其实就是带cookie发起请求，让服务器识别到你的身份，这样他就不会当成游客处理了

本来之前一直很反感微博乱点赞，乱关注别人这样的现象

没想到，在写完博客之后，这样的情况再次又双叕降临到了我自己头上，好家伙我直接好家伙

本来想着忍他几天，结果几天之后还是在给奇怪的人点赞，气的我直接给他来了一手改密码，成功制止了这样的现象继续发生

1.参考文献

首先参考文献写在前面，表示尊重

其次，在这次之前，本人对于算法这一类的东西是十分头疼的，经过这一次学习之后，其实也是知其然而不知其所以然，所以将更好、更有用的参考的链接放在前面，要是想学到更多的同学可以直接点击链接学习

我的代码主要参考Chrome 80.X版本如何解密Cookies文件

其实我只是简化了他的代码，删除了一些我不需要用到的代码，方便学习

原理类的文章可以看

渗透技巧——导出Chrome浏览器中保存的密码

手把手用C++解密Chrome80版本数据库

CSRF攻击与防御（写得非常好）

2.分析

我个人喜欢将这一类问题归到CSRF下，

CSRF跨站点请求伪造(Cross—Site Request Forgery)，跟XSS攻击一样，存在巨大的危害性，你可以这样来理解：攻击者盗用了你的身份，以你的名义发送恶意请求，对服务器来说这个请求是完全合法的，但是却完成了攻击者所期望的一个操作，比如以你的名义发送邮件、发消息，盗取你的账号，添加系统管理员，甚至于购买商品、虚拟货币转账等

实际上归属于哪一类的问题还得看大家是怎么定义的

这一篇文章不打算具体分析是怎么完成攻击的

因为在试图溯源的时候，看了有没有可疑进程在后台运行，没有发现

然后想起了这台电脑一开始chrome浏览器首页都是一些奇怪的360导航之类的，恢复正常之后，不记得怎么让他打开这些导航了，这样就不好复现了

但是个人猜测可能是由于这些恶意程序造成的，可能加载了一些恶意dll啊、或者启动了一些与恶意服务器通讯的后门，获取了浏览器保存的cookie值

然后拿去给别人点赞

这里就不多猜测了

所以本文主要学习、记录的内容是，假如别人获得了保存在你本地的cookie文件的内容，怎么解密还原出cookie值，并加以利用

3.流程

chrome本地cookie以sqlite的形式保存，用Navicat查看是这样的

其中encrypted_value就是加密后的值

分析一下chrome保存的cookie的加解密流程，结合文献和代码来看

首先在今年（2020年）更新之前，chrome的cookie可以通过dpapi直接解密

今年改版更新之后的解密流程：

以上截图引用来自参考文献中

关于详细的算法说明我没有找到详细的文章，有兴趣的同学也许可以查找一下源码，进一步学习

4.代码

4.1 代码结构

4.2 aesgcm.py

from cryptography.hazmat.backends import default_backend
from cryptography.hazmat.primitives.ciphers import (
Cipher, algorithms, modes
)
NONCE_BYTE_SIZE = 12
def encrypt(cipher, plaintext, nonce):
cipher.mode = modes.GCM(nonce)
encryptor = cipher.encryptor()
ciphertext = encryptor.update(plaintext)
return (cipher, ciphertext, nonce)
def decrypt(cipher, ciphertext, nonce):
cipher.mode = modes.GCM(nonce)
decryptor = cipher.decryptor()
return decryptor.update(ciphertext)
def get_cipher(key):
cipher = Cipher(
algorithms.AES(key),
None,
backend=default_backend()
)
return cipher

`4.3 chromeCookieJar.py`

import http.cookiejar as cookiejar
import os
import sqlite3
from decrypt import chrome_decrypt
from decrypt import to_epoch
class chromeCookieJar(cookiejar.FileCookieJar):
# 重写__init__方法
def __init__(self, fileName=None, delayload=False, policy=None):
if fileName is None:
fileName = os.path.join(
os.environ['USERPROFILE'],
r'AppData\Local\Google\Chrome\User Data\default\Cookies')
if not os.path.exists(fileName):
fileName = None
cookiejar.FileCookieJar.__init__(self, fileName, delayload, policy)
def printCookie(self, name, value, host, path):
print(name + '\t' + value + '\t' + host + '\t' + path + '\t')
# 重写_really_load方法
# ignore_discard: save even cookies set to be discarded.
# ignore_expires: save even cookies that have expired.The file is overwritten if it already exists
def _really_load(self, f, filename, ignore_discard, ignore_expires):
con = sqlite3.connect(filename)
con.row_factory = sqlite3.Row
con.create_function('decrypt', 1, chrome_decrypt)
con.create_function('to_epoch', 1, to_epoch)
cur = con.cursor()
# 这个sql我只查了weibo相关的，如果有其他需要可以修改
sql = """
SELECT
host_key, name, path,encrypted_value as value
FROM
cookies
where host_key like '%weibo%'
"""
cur.execute(sql)
for row in cur:
if row['value'] is not None:
name = str(row['name'])
value = str(chrome_decrypt(row['value']))
host = str(row['host_key'])
path = str(row['path'])
self.printCookie(name, value, host, path)
cur.close()

`4.4 decrypt.py`

import os
import sys
import json, base64
import aesgcm
def get_key_from_local_state():
jsn = None
with open(os.path.join(os.environ['LOCALAPPDATA'],
r"Google\Chrome\User Data\Local State"), encoding='utf-8', mode="r") as f:
jsn = json.loads(str(f.readline()))
return jsn["os_crypt"]["encrypted_key"]
def dpapi_decrypt(encrypted):
import ctypes
from ctypes import wintypes
class DATA_BLOB(ctypes.Structure):
_fields_ = [('cbData', wintypes.DWORD),
('pbData', ctypes.POINTER(ctypes.c_char))]
p = ctypes.create_string_buffer(encrypted, len(encrypted))
blobin = DATA_BLOB(ctypes.sizeof(p), p)
blobout = DATA_BLOB()
retval = ctypes.windll.crypt32.CryptUnprotectData(
ctypes.byref(blobin), # pDataIn 输入，一个指向存有加密内容DATA_BLOB的指针，
None, # ppszDataDescr
None, # pOptionalEntropy
None, # pvReversed 这个保留参数must be set to NULL
None, # pPromptStruct
0, # dwFlags 一个DWORD值指定此函数特定的选项
ctypes.byref(blobout) # 输出
)
if not retval:
raise ctypes.WinError()
result = ctypes.string_at(blobout.pbData, blobout.cbData)
ctypes.windll.kernel32.LocalFree(blobout.pbData)
return result
def aes_decrypt(encrypted_txt):
#获得encode_key
encode_key = get_key_from_local_state()
#解码
encrypted_key = base64.b64decode(encode_key.encode())
#去除前五个字符
encrypted_key = encrypted_key[5:]
#dpapi解密，得到key
key = dpapi_decrypt(encrypted_key)
#截取Nonce
nonce = encrypted_txt[3:15]
#关于aesgcm加密算法，没有找到合适详细的文章
#这里不多展开，有兴趣的同学可以自己找一下
#解密key
cipher = aesgcm.get_cipher(key)
return aesgcm.decrypt(cipher, encrypted_txt[15:], nonce)
def chrome_decrypt(encrypted_txt):
try:
if encrypted_txt[:3] == b'v10':
decrypted_txt = aes_decrypt(encrypted_txt)
return decrypted_txt[:-16].decode()
except Exception as e:
print("chrome_decrypt error :" + e)
return None
def to_epoch(chrome_ts):
if chrome_ts:
return chrome_ts - 11644473600 * 000 * 1000
else:
return None

`4.5 main.py`

from chromeCookieJar import chromeCookieJar
if __name__ == '__main__':
jar = chromeCookieJar()
jar.load()
for cookie in jar:
print(vars(cookie))

`5.结果`

经过对比，结果一致

Windows下用Python3解密Chrome的Cookie值

0. 前言

1.参考文献

2.分析

3.流程

4.代码

4.1 代码结构

4.2 aesgcm.py

4.3 chromeCookieJar.py

4.4 decrypt.py

4.5 main.py

5.结果

相关推荐

`4.3 chromeCookieJar.py`

`4.4 decrypt.py`

`4.5 main.py`

`5.结果`