• B правой части каждого сообщения есть стрелки и . Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок в правой части сообщения.

Расшифровка кук (на примере хром винда)

imperatorinterneta

New member
30.03.2021
2
0
BIT
20
Всем привет, декодирую мастер ключ, расшифровываю им куки, получаю такой результат


Код:
('.youtube.com', 'LOGIN_INFO', 'Не удалось расшифровать'),
 ('.yandex.com', 'receive-cookie-deprecation', 'Не удалось расшифровать'),
 ('.youtube.com', 'VISITOR_INFO1_LIVE', 'Не удалось расшифровать'),
 ('.youtube.com', 'VISITOR_PRIVACY_METADATA', 'Не удалось расшифровать'),
 ('.yandex.ru', 'receive-cookie-deprecation', 'Не удалось расшифровать'),

в чем моя ошибка, или недочет?
 

Exited3n

Red Team
10.05.2022
736
259
BIT
688
Всем привет, декодирую мастер ключ, расшифровываю им куки, получаю такой результат


Код:
('.youtube.com', 'LOGIN_INFO', 'Не удалось расшифровать'),
 ('.yandex.com', 'receive-cookie-deprecation', 'Не удалось расшифровать'),
 ('.youtube.com', 'VISITOR_INFO1_LIVE', 'Не удалось расшифровать'),
 ('.youtube.com', 'VISITOR_PRIVACY_METADATA', 'Не удалось расшифровать'),
 ('.yandex.ru', 'receive-cookie-deprecation', 'Не удалось расшифровать'),

в чем моя ошибка, или недочет?
Может стоит написать как и чем ты это делаешь ?
 

imperatorinterneta

New member
30.03.2021
2
0
BIT
20
Может стоит написать как и чем ты это делаешь ?

win10, chrome 125(последний)


Конечно, я объясню весь процесс декодирования мастер-ключа и расшифровки куки.

Процесс декодирования мастер-ключа и расшифровки куки​

Шаг 1: Получение мастер-ключа​

  1. Чтение файла Local State:
    • Этот файл находится в директории пользовательских данных Chrome и содержит зашифрованный мастер-ключ.
    • Файл Local State читается как JSON-объект.
  2. Извлечение зашифрованного ключа:
    • В JSON-объекте Local State есть ключ "os_crypt" с подклучом "encrypted_key".
    • Этот подклуч содержит зашифрованный мастер-ключ в формате Base64.
  3. Декодирование из Base64:
    • Зашифрованный мастер-ключ декодируется из формата Base64.
  4. Удаление префикса DPAPI:
    • После декодирования первые 5 байтов удаляются, так как они представляют собой префикс DPAPI.
  5. Расшифровка мастер-ключа:
    • Оставшийся зашифрованный ключ расшифровывается с использованием системной функции CryptUnprotectData (в Windows).
    • Эта функция расшифровывает данные с использованием учетных данных текущего пользователя.

Шаг 2: Чтение зашифрованных значений куки​

  1. Чтение файла Cookies:
    • Файл Cookies находится в директории пользовательских данных Chrome и представляет собой базу данных SQLite.
    • База данных SQLite открывается и читается, извлекая зашифрованные значения куки.
  2. Извлечение зашифрованных значений:
    • Каждая строка в таблице куки содержит имя хоста, имя куки и зашифрованное значение куки.

Шаг 3: Расшифровка значений куки​

  1. Проверка формата зашифрованного значения:
    • Зашифрованные значения куки могут начинаться с префикса v10, который указывает на использование AES-GCM для шифрования.
    • Если значение начинается с v10, этот префикс удаляется.
  2. Извлечение вектора инициализации (IV) и тега:
    • Вектор инициализации (IV) находится сразу после префикса v10 и имеет длину 12 байтов.
    • Тег находится в конце зашифрованного значения и имеет длину 16 байтов.
    • Оставшаяся часть между IV и тегом является зашифрованным текстом.
  3. Расшифровка значения:
    • Создается объект шифра AES в режиме GCM, используя мастер-ключ и IV.
    • С помощью этого объекта зашифрованный текст расшифровывается и проверяется с использованием тега.
    • Расшифрованное значение декодируется в текстовый формат UTF-8 или другой подходящий формат.

Проблемы и ошибки​

  • Ошибки Base64: Некоторые значения могут не быть закодированными в Base64, что приводит к ошибке при попытке их декодирования.
  • Ошибки декодирования UTF-8: Некоторые значения могут содержать бинарные данные или данные, закодированные в другом формате, что приводит к ошибкам при декодировании в UTF-8.
Таким образом, весь процесс включает извлечение и расшифровку мастер-ключа, чтение зашифрованных значений куки и их расшифровку с использованием мастер-ключа.

Решено, оказалось что забыл удалить префикс dpapi и получал не корректную расшифровку
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!