当前位置：首页 > news >正文

Cookie-Monster：一款针对Web浏览器的安全分析与数据提取工具

news 2025/7/28 21:27:07

关于Cookie-Monster

Cookie-Monster是一款针对常见Web浏览器的安全分析与数据提取工具，该工具可以帮助广大研究人员提取并分析Edge、Chrome和Firefox浏览器中的Cookie数据。

Cookie-Monster适用于红队和蓝队成员，能够提取WebKit主密钥，找到具有Cookie和登录数据文件句柄的浏览器进程，然后复制句柄，并将相关数据下载并保存至本地。下载 Cookies/登录数据文件后，工具提供的Python解密脚本可以帮助提取并解密这些数据，而Firefox模块将负责解析profiles.ini并找到logins.json和key4.db文件所在的位置并下载它们。

工具要求

Mingw-w64

pycryptodome

pyasn1_modules

工具安装

由于该工具基于Python 3开发，因此我们首先需要在本地设备上安装并配置好最新版本的Python 3环境。

接下来，广大研究人员可以直接使用下列命令将该项目源码克隆至本地：

git clone https://github.com/KingOfTheNOPs/cookie-monster.git

然后切换到项目目录中，使用pip3命令和项目提供的requirements.txt安装该工具所需的其他依赖组件：

cd cookie-monsterpip3 install -r requirements.txt

Linux平台下运行下列命令完成项目代码编译：

make

Windows平台下运行下列命令编译exe：

gcc .\cookie-monster.c -o cookie-monster.exe -lshlwapi -lcrypt32 -lntdll

工具使用

BOF使用

Usage: cookie-monster [ --chrome || --edge || --firefox || --chromeCookiePID <pid> || --chromeLoginDataPID <PID> || --edgeCookiePID <pid> || --edgeLoginDataPID <pid>]cookie-monster Example:cookie-monster --chromecookie-monster --edgecookie-moster --firefoxcookie-monster --chromeCookiePID 1337cookie-monster --chromeLoginDataPID 1337cookie-monster --edgeCookiePID 4444cookie-monster --edgeLoginDataPID 4444cookie-monster Options:--chrome  会查看所有正在运行的进程和句柄，如果其中一个与chrome.exe匹配，它会将句柄复制到Cookies/Login Data，然后将文件复制到CWD；--edge  会查看所有正在运行的进程和句柄，如果其中一个与msedge.exe匹配，它会将句柄复制到Cookies/Login Data，然后将文件复制到CWD；--firefox 查找profiles.ini并定位key4.db和logins.json文件；--chromeCookiePID 如果提供了chromePID，请查找具有cookie句柄的指定进程。如果已知cookie句柄，请指定PID以复制其句柄和文件；--chromeLoginDataPID  如果提供了chrome PID，请查找具有登录数据句柄的指定进程，指定PID以复制其句柄和文件；--edgeCookiePID 如果提供了Edge PID，请查找具有cookie句柄的指定进程。如果已知cookie句柄，请指定PID以复制其句柄和文件；--edgeLoginDataPID  如果提供了Edge PID，请查找具有登录数据句柄的指定进程。如果已知登录数据，请指定PID以复制其句柄和文件；

EXE使用

Cookie Monster Example:cookie-monster.exe --allCookie Monster Options:-h, --help                     显示帮助信息和退出--all                          运行chrome, edge, 和firefox方法--edge                       提取Edge密钥并下载Cookies/Login数据至PWD--chrome                     提取Chrome密钥并下载Cookies/Login数据至PWD  --firefox                      定位Firefox密钥和Cookie，不拷贝文件

解密脚本

解密Chrome/Edge Cookie文件：

python .\decrypt.py "\xec\xfc...." --cookies ChromeCookie.dbResults Example:-----------------------------------Host: .github.comPath: /Name: dotcom_userCookie: KingOfTheNOPsExpires: Oct 28 2024 21:25:22Host: github.comPath: /Name: user_sessionCookie: x123.....Expires: Nov 11 2023 21:25:22

解密Chrome/Edge密码文件：

python .\decrypt.py "\xec\xfc...." --passwords ChromePasswords.dbResults Example:-----------------------------------URL: https://test.com/Username: testerPassword: McTesty

许可证协议

本项目的开发与发布遵循GPL-3.0开源许可协议。

项目地址

Cookie-Monster：【GitHub传送门】

参考资料

GitHub - lclevy/firepwd: firepwd.py, an open source tool to decrypt Mozilla protected passwords

GitHub - Mr-Un1k0d3r/Cookie-and-Handle-Stealer: C or BOF file to extract WebKit master key to decrypt user cookie

GitHub - fortra/nanodump: The swiss army knife of LSASS dumping

GitHub - login-securite/DonPAPI: Dumping DPAPI credz remotely

查看全文

http://www.lryc.cn/news/410292.html