文章总结: HackBrowserData是一款开源浏览器数据提取工具,支持Windows、macOS和Linux系统,可从Chrome、Firefox等主流浏览器中解密导出密码、Cookie、历史记录等敏感数据。文章详细介绍了工具的使用方法、导出数据分类及其安全风险,强调该技术仅限合法授权使用,避免触犯隐私法律法规。 综合评分: 72 文章分类: 安全工具,渗透测试,数据安全,隐私保护,逆向分析
只需一行命令,轻松几秒获取你的浏览器所有数据
原创
W不懂安全 W不懂安全
W不懂安全
2026年5月11日 13:21 河北
在小说阅读器读本章
去阅读
这个项目 HackBrowserData 本质上是一个“浏览器本地数据解析 + 解密 + 导出工具”。
它可以从你本机浏览器里提取数据 (包括密码、历史记录、Cookie、书签、信用卡信息、下载历史记录、localStorage、sessionStorage 和浏览器扩展程序)
支持的操作系统有:Windows、macOS、Linux
并且支持扫描市面上大多数的主流浏览器
| Browser | Windows | macOS | Linux | | — | — | — | — | | Chrome | ✅² | ✅ | ✅ | | Chrome Beta | ✅² | ✅ | ✅ | | Chromium | ✅ | ✅ | ✅ | | Edge | ✅² | ✅ | ✅ | | Brave | ✅² | ✅ | ✅ | | Opera | ✅ | ✅ | ✅ | | OperaGX | ✅ | ✅ | – | | Vivaldi | ✅ | ✅ | ✅ | | Yandex | ✅ | ✅ | – | | CocCoc | ✅² | ✅ | – | | Arc | – | ✅ | – | | DuckDuckGo | ✅ | – | – | | QQ | ✅ | – | – | | 360 ChromeX | ✅ | – | – | | 360 Chrome | ✅ | – | – | | DC Browser | ✅ | – | – | | Sogou Explorer | ✅ | – | – | | Firefox | ✅ | ✅ | ✅ | | Safari¹ | – | ✅ | – |
项目地址:
https://github.com/moond4rk/HackBrowserData
项目是完全开源的,如果你想学习源码/改工具,你本地环境需要有 Go 1.18+ 和 Git。
go的作用是负责编译程序,生成exe可执行程序,当然可以不用,用命令行启动也是一个意思。
改完数据之后执行下方命令就能编译:
go build
生成:
hack-browser-data.exe
之后双击程序,或者在命令行执行:
./hack-browser-data -b all -f json --dir results
接下来我详细介绍和解析一下这个项目。
⚠️ 声明
请勿将相关技术用于未授权的数据获取、隐私信息窃取、账号接管、非法渗透或任何违反法律法规的行为。
需要注意的是,Cookie、密码、本地存储等数据本质上都属于用户敏感信息,即便只是“本地读取”,一旦脱离授权范围,也可能涉及隐私与法律风险。
本文更关注的是浏览器数据如何被存储、加密与解析,以及这类工具背后的实现原理。技术本身没有问题,但边界感永远比技术更重要。
本地怎么跑这个项目,有两种方法:
这里我以Windows操作系统为例,需要注意的是,这个文件很有可能会被本地的杀毒软件识别为恶意文件,会被拦截,要下载的话记得允许,如果使用谷歌浏览器下载的文件,谷歌在下载时自动就阻止了文件下载,可以尝试换个浏览器,比如Edge。
从GitHub上下载完文件之后,解压出来,默认就只有这三个文件
第一种使用方法,就是直接双击允许 hack-browser-data.exe 运行。
第二种使用方法,就是通过CMD命令行来进行使用。
常规命令:
扫描所有浏览器:
hack-browser-data.exe -b all -f json --dir results
这个命令扫描你电脑中所有浏览器,然后将所有数据都导出到同一个json文件中,显得比较乱。
你可以指定某个浏览器扫描,比如只导出 Chrome :
hack-browser-data.exe -b chrome -f json --dir results
当然你也可以指定导出某个数据,比如 Cookie :
hack-browser-data.exe -b chrome --cookie
只导出密码:
hack-browser-data.exe -b chrome --password -f csv --dir result
执行完成之后,在输出结果会在项目目录中创建一个名为 results 的文件夹。
简单解析 HackBrowserData 导出的 json 文件,每一个都对应浏览器的一类“行为数据”。
1️⃣ cookie.json
📌 内容是什么?
记录的是浏览器 Cookie 数据,包括:
- 登录状态(session)
- 网站身份标识
- token 信息
- 用户偏好设置
典型结构:
Cookie 本质上是:
“网站用来记住你的钥匙”
Cookie 一旦泄露,可能导致:
- 账号免登录访问
- 会话被接管
- 身份被伪造
👉 因此不要随意导出或传输 cookie 数据
2️⃣ password.json
📌 内容是什么?
浏览器保存的登录密码:
- 网站 URL
- 用户名
- 解密后的密码
这些密码原本是:
- Windows:DPAPI 加密
- Mac:Keychain
工具只是做了“本地解密还原”
这一类数据属于最高敏感级别:
- 直接对应真实账号
- 一旦泄露不可逆
👉 建议只用于自查,不要存储或分享
3️⃣ history.json
📌 内容是什么?
浏览器访问记录:
- URL
- 标题
- 访问时间
- 访问次数
它反映的是:
“你的浏览行为轨迹”
可以用于:
- 数据分析
- 用户行为建模
- 本地取证分析
浏览记录可以还原:
- 兴趣偏好
- 工作内容
- 搜索习惯
👉 属于“行为隐私数据”
4️⃣ download.json
📌 内容是什么?
浏览器下载记录:
- 文件溯源
- 下载行为分析
- 文件路径追踪
下载记录可能暴露:
- 本地文件结构
- 使用习惯
- 工作内容痕迹
5️⃣ localstorage.json
📌 内容是什么?
网站在浏览器本地存储的数据(LocalStorage):
- 网站配置缓存
- 前端状态存储
- 用户偏好记录
这里可能包含:
- token
- 配置密钥
- 临时认证信息
👉 不要误认为“只是缓存”
6️⃣ sessionstorage.json
📌 内容是什么?
与 LocalStorage 类似,但区别是:
只在当前会话有效
6️⃣ sessionstorage.json(补充,我把本地数据清空了一次,所以没有扫出我的session)
📌 内容是什么?
与 LocalStorage 类似,但区别是:
只在当前会话有效
{ "domain": "example.com", "key": "temp_token", "value": "abc123"}
- 浏览器关闭即失效
- 生命周期短
- 常用于临时登录状态
虽然是临时数据,但仍可能包含:
- 登录凭证片段
- API token
- 临时授权信息
7️⃣ extension.json
📌 内容是什么?
记录浏览器已安装扩展(Extension)的相关信息,包括:
- 扩展名称
- 扩展 ID
- 版本号
- 安装路径
- 权限信息(部分浏览器)
典型结构:
浏览器扩展其实并不只是“插件”。
很多扩展拥有:
- 网页读取权限
- Cookie 访问权限
- 网络请求拦截能力
- 本地存储能力
某种意义上:
浏览器扩展本身,就是运行在浏览器里的“小型程序”。
有些浏览器扩展会保存:
- 登录状态
- 钱包缓存
- API Key
- 本地配置
- 用户行为数据
尤其是:
- 密码管理器
- 代理工具
- 加密钱包插件
- 自动化插件
因此不要随意共享扩展目录或导出的扩展数据。
即便只是一个看似普通的插件信息文件,也可能间接暴露你的使用环境与行为习惯。
运行过程中你可能会遇到这些常见问题:
❌ 杀毒报毒
原因:
- 它会读取浏览器密码库
- 会调用系统解密 API(DPAPI)
👉 所以 Windows Defender/本地杀毒软件 经常报
❌ Cookie 为空
#
原因通常是:
- 没在“同一个 Windows 用户”运行
- Chrome 版本不同路径
- 权限不够
如果运行失败,常见原因:
❌ 1. 没数据 / 空文件
#
原因:
- 没用“当前 Windows 用户”运行
- Chrome 没关闭
❌ 2. 权限不足
#
👉 用管理员运行 CMD:
❌ 3. 杀毒软件拦截
#
原因:
- 会访问浏览器密码库
- 会调用 Windows 解密 API(DPAPI)
👉 解决:
- 加入白名单
- 或临时关闭实时防护
浏览器从来不是一个“只负责上网的工具”。
它更像一个持续记录你行为的本地数据库,只是这些数据通常不会被展示出来。
HackBrowserData 所做的事情,就是把这些“默认隐藏的结构”重新还原为可读数据。
但也正因为如此,我们必须清楚它的边界:
技术本身没有善恶,但使用方式决定结果。
在合法授权的前提下,它可以是一个非常强大的分析工具; 但一旦越过边界,就可能涉及隐私与法律风险。
本期内容到此结束。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:W不懂安全 W不懂安全 W不懂安全《只需一行命令,轻松几秒获取你的浏览器所有数据》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论