基于IElevatorCOM接口与DPAPI/App-Bound加密:DumpBrowserSecrets技术原理探析

admin
admin
admin
0
文章
0
评论
2026-01-11 01:09:16 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: DumpBrowserSecrets是提取Chromium及Firefox浏览器数据的工具。其利用IElevatorCOM接口与DLL注入,通过App-Bound或DPAPI机制解密Cookie及凭证等敏感信息。该工具支持命令行解析SQLite与JSON文件,适用于后渗透阶段的数据窃取与取证分析。 综合评分: 91 文章分类: 安全工具,渗透测试,红队,内网渗透,数据安全

cover_image

基于 IElevator COM 接口与 DPAPI/App-Bound 加密:DumpBrowserSecrets 技术原理探析

原创

qwe

实战攻防安全

2026年1月10日 11:09 广东

一、项目核心功能

该项目是一款浏览器数据提取工具,可从现代 Chromium 内核(Chrome、Microsoft Edge、Brave、Opera、Opera GX、Vivaldi)和 Gecko 内核(Firefox)浏览器中,提取存储的各类敏感数据及浏览相关信息,包括刷新令牌、Cookie、保存的登录凭证、信用卡信息、自动填充条目、浏览历史和书签等。

二、支持的浏览器

  • Chromium 内核:Chrome、Microsoft Edge、Brave、Opera、Opera GX、Vivaldi
  • Gecko 内核:Firefox

三、工作原理

基于 DumpChromeSecrets 改进,由两大组件协同工作,且数据提取核心逻辑集中在可执行文件中,DLL 仅负责 Chromium 内核浏览器的密钥获取:

  1. 可执行文件(DumpBrowserSecrets.exe
  • 针对 Chromium 内核浏览器:创建无头 Chromium 进程,通过 Early Bird APC 注入 DLL,获取 App-Bound 密钥(Chrome、Brave、Edge)或 DPAPI 密钥(Opera、Opera GX、Vivaldi);后续解析浏览器的 SQLite 数据库和 JSON 文件,解密并提取凭证、Cookie、令牌等数据。
  • 针对 Firefox(非 Chromium 内核):无需 DLL 注入,直接完成数据提取与解密的全流程。
  1. DLL 文件(DllExtractChromiumSecrets.dll
  • 仅运行于 Chromium 内核浏览器中,通过 IElevator COM 接口解密 App-Bound 加密密钥,从浏览器的 Local State 文件中获取 app_bound_encrypted_key 和 encrypted_key 的解密值,并返回给可执行文件。

四、使用方式

1. 命令行选项

  • /b:<browser>:指定目标浏览器(可选值:chrome、edge、brave、opera、operagx、vivaldi、firefox、all,默认:系统默认浏览器)
  • /o <file>:指定输出 JSON 文件路径(默认:<browser>Data.json
  • /all:导出所有条目(默认:每个类别最多 16 条)
  • /?:显示帮助信息

2. 示例命令

  • 从默认浏览器提取 16 条数据:DumpBrowserSecrets.exe
  • 从 Chrome 提取 16 条数据:DumpBrowserSecrets.exe /b:chrome
  • 导出 Firefox 所有数据:DumpBrowserSecrets.exe /b:firefox /all
  • 从 Brave 提取 16 条数据并保存到指定文件:DumpBrowserSecrets.exe /b:brave /o Output.json
  • 从所有已安装浏览器提取全部数据:DumpBrowserSecrets.exe /b:all /all

五、数据提取详情(关键信息)

不同浏览器的各类数据存储路径、格式及加密方式存在差异,核心要点如下:

| | | | | | — | — | — | — | | 浏览器 | 加密类型 | 主要数据格式 | 部分关键数据存储路径 | | Chrome/Edge/Brave | App-Bound | SQLite、JSON | Cookies:%LOCALAPPDATA%\[浏览器目录]\User Data\Default\Network\Cookies | | Opera/Opera GX/Vivaldi | DPAPI | SQLite、JSON | Logins:%APPDATA%/Opera Software/[浏览器目录]/Default/Login Data (Opera 系列) | | Firefox | NSS(登录信息加密) | SQLite、JSON | Logins:%APPDATA%\Mozilla\Firefox\Profiles\<profile>\logins.json |

注:自动填充、浏览历史、书签等数据多为未加密状态,存储格式以 SQLite 或 JSON 为主。

项目地址

https://github.com/Maldev-Academy/DumpBrowserSecrets

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:实战攻防安全 qwe《基于 IElevator COM 接口与 DPAPI/App-Bound 加密:DumpBrowserSecrets 技术原理探析》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0