Cómo extraer cookies de Chrome en Python

 cómo extraer las cookies guardadas del navegador Google Chrome y descifrarlas en su máquina Windows en Python.

Como ya sabrá, el navegador Chrome guarda una gran cantidad de datos de navegación localmente en su máquina. Sin duda, lo más peligroso es poder extraer contraseñas y descifrar contraseñas de Chrome. Además, uno de los datos almacenados interesantes son las cookies. Sin embargo, la mayoría de los valores de las cookies están encriptados.

En este tutorial, aprenderá cómo extraer cookies de Chrome y descifrarlas también en su máquina Windows con Python..

Para comenzar, instalemos las bibliotecas requeridas:

$ pip3 install pycryptodome pypiwin32




Abra un nuevo archivo de Python e importe los módulos necesarios:




import os
import json
import base64
import sqlite3
import shutil
from datetime import datetime, timedelta
import win32crypt # pip install pypiwin32
from Crypto.Cipher import AES # pip install pycryptodome
def get_chrome_datetime(chromedate):
    """Return a `datetime.datetime` object from a chrome format datetime
    Since `chromedate` is formatted as the number of microseconds since January, 1601"""
    if chromedate != 86400000000 and chromedate:
        try:
            return datetime(1601, 1, 1) + timedelta(microseconds=chromedate)
        except Exception as e:
            print(f"Error: {e}, chromedate: {chromedate}")
            return chromedate
    else:
        return ""

def get_encryption_key():
    local_state_path = os.path.join(os.environ["USERPROFILE"],
                                    "AppData", "Local", "Google", "Chrome",
                                    "User Data", "Local State")
    with open(local_state_path, "r", encoding="utf-8") as f:
        local_state = f.read()
        local_state = json.loads(local_state)

    # decode the encryption key from Base64
    key = base64.b64decode(local_state["os_crypt"]["encrypted_key"])
    # remove 'DPAPI' str
    key = key[5:]
    # return decrypted key that was originally encrypted
    # using a session key derived from current user's logon credentials
    # doc: http://timgolden.me.uk/pywin32-docs/win32crypt.html
    return win32crypt.CryptUnprotectData(key, None, None, None, 0)[1]



get_chrome_datetime() function converts the datetimes of chrome format into a Python datetime format.

get_encryption_key() extracts and decodes the AES key that was used to encrypt the cookies, which is stored in "%USERPROFILE%\AppData\Local\Google\Chrome\User Data\Local State" file in JSON format.
def decrypt_data(data, key):
    try:
        # get the initialization vector
        iv = data[3:15]
        data = data[15:]
        # generate cipher
        cipher = AES.new(key, AES.MODE_GCM, iv)
        # decrypt password
        return cipher.decrypt(data)[:-16].decode()
    except:
        try:
            return str(win32crypt.CryptUnprotectData(data, None, None, None, 0)[1])
        except:
            # not supported
            return ""


La función anterior acepta los datos y la clave AES como parámetros y usa la clave para descifrar los datos para devolverlos.

Ahora que tenemos todo lo que necesitamos, profundicemos en la función principal

def main():
    # local sqlite Chrome cookie database path
    db_path = os.path.join(os.environ["USERPROFILE"], "AppData", "Local",
                            "Google", "Chrome", "User Data", "Default", "Network", "Cookies")
    # copy the file to current directory
    # as the database will be locked if chrome is currently open
    filename = "Cookies.db"
    if not os.path.isfile(filename):
        # copy file when does not exist in the current directory
        shutil.copyfile(db_path, filename)
El archivo que contiene los datos de las cookies se encuentra como se define en la variable db_path, debemos copiarlo en el directorio actual, ya que la base de datos se bloqueará cuando el navegador Chrome esté abierto actualmente.

Conexión a la base de datos SQLite:
   # connect to the database
    db = sqlite3.connect(filename)
    # ignore decoding errors
    db.text_factory = lambda b: b.decode(errors="ignore")
    cursor = db.cursor()
    # get the cookies from `cookies` table
    cursor.execute("""
    SELECT host_key, name, value, creation_utc, last_access_utc, expires_utc, encrypted_value 
    FROM cookies""")
    # you can also search by domain, e.g thepythoncode.com
    # cursor.execute("""
    # SELECT host_key, name, value, creation_utc, last_access_utc, expires_utc, encrypted_value
    # FROM cookies
    # WHERE host_key like '%thepythoncode.com%'""")

Después de conectarnos a la base de datos, ignoramos los errores de decodificación en caso de que haya alguno, luego consultamos la tabla de cookies con la función cursor.execute() para obtener todas las cookies almacenadas en este archivo. También puede filtrar las cookies por un nombre de dominio como se muestra en el código comentado.

Ahora obtengamos la clave AES e iteremos sobre las filas de la tabla de cookies y descifremos todos los datos cifrados:

    # get the AES key
    key = get_encryption_key()
    for host_key, name, value, creation_utc, last_access_utc, expires_utc, encrypted_value in cursor.fetchall():
        if not value:
            decrypted_value = decrypt_data(encrypted_value, key)
        else:
            # already decrypted
            decrypted_value = value
        print(f"""
        Host: {host_key}
        Cookie name: {name}
        Cookie value (decrypted): {decrypted_value}
        Creation datetime (UTC): {get_chrome_datetime(creation_utc)}
        Last access datetime (UTC): {get_chrome_datetime(last_access_utc)}
        Expires datetime (UTC): {get_chrome_datetime(expires_utc)}
        ===============================================================
        """)
        # update the cookies table with the decrypted value
        # and make session cookie persistent
        cursor.execute("""
        UPDATE cookies SET value = ?, has_expires = 1, expires_utc = 99999999999999999, is_persistent = 1, is_secure = 0
        WHERE host_key = ?
        AND name = ?""", (decrypted_value, host_key, name))
    # commit changes
    db.commit()
    # close connection
    db.close()

Usamos nuestra función decrypt_data() previamente definida para descifrar la columna de valor_cifrado, imprimimos los resultados y establecemos la columna de valor en los datos descifrados. También hacemos que la cookie sea persistente configurando is_persistent en 1 y también is_secure en 0 para indicar que ya no está encriptada.

Finalmente, llamemos a la función principal

if __name__ == "__main__":
    main()

Una vez que ejecute el script, imprimirá todas las cookies almacenadas en su navegador Chrome, incluidas las cifradas, aquí hay una muestra de los resultados:



        ===============================================================
        Host: www.example.com
        Cookie name: _fakecookiename
        Cookie value (decrypted): jLzIxkuEGJbygTHWAsNQRXUaieDFplZP
        Creation datetime (UTC): 2021-01-16 04:52:35.794367
        Last access datetime (UTC): 2021-03-21 10:05:41.312598
        Expires datetime (UTC): 2022-03-21 09:55:48.758558
        ===============================================================





























Comentarios

Publicar un comentario

Entradas populares de este blog

Cómo hacer un ransomware en Python

Imagen
Cómo hacer un ransomware en Python Aprenda a crear un ransomware mediante el cifrado simétrico (algoritmo AES) con la ayuda de la biblioteca de criptografía en Python. El ransomware es un tipo de malware que cifra los archivos de un sistema y los descifra solo después de que se paga una suma de dinero al atacante. El cifrado es el proceso de convertir texto sin formato, que son datos que pueden leer los humanos, en texto cifrado, que es una versión codificada de los datos que es imposible de leer para los humanos. El proceso de convertir el texto cifrado en texto sin formato se conoce como descifrado. El cifrado se utiliza para proteger los datos durante la transmisión, el almacenamiento y el procesamiento. Es una herramienta fundamental para proteger la información del acceso no autorizado y es esencial para mantener la confidencialidad e integridad de los datos. El cifrado se utiliza en una variedad de aplicaciones, incluidas las comunicaciones seguras, la banca y las compras en líne...
Leer más

Cómo geolocalizar direcciones IP en Python

Imagen
 Cómo geolocalizar direcciones IP en Python Para usar ipinfo.io en Python, primero debemos instalar su contenedor: Abra un nuevo archivo de Python llamado get_ip_info.py y agregue el siguiente código: import ipinfo import sys # get the ip address from the command line try : ip_address = sys . argv [ 1 ] except IndexError : ip_address = None # access token for ipinfo.io access_token = '<put_your_access_token_here>' # create a client object with the access token handler = ipinfo . getHandler ( access_token ) # get the ip info details = handler . getDetails ( ip_address ) # print the ip info for key , value in details . all . items ( ) : print ( f" { key } : { value } " ) creamos el controlador con el token de acceso y luego usamos el método getDetails( ) para obtener la ubicación de la dirección IP. Asegúrese de reemplazar access_token con el token de acceso que encuentra en su tablero. Puede hacer clic en Copiar al portapapel...
Leer más

Análisis forense de Oracle VM VirtualBox en Windows

Imagen
 Las máquinas virtuales utilizan un entorno portátil e independiente del hardware para realizar esencialmente el mismo papel que una computadora real. Las actividades realizadas bajo el paraguas virtual dejan rastros principalmente en los archivos de imagen de VM y no en la computadora host. La capacidad de analizar máquinas virtuales se vuelve esencial cuando se realizan investigaciones digitales. VBoxManage es la interfaz de línea de comandos para Oracle VM VirtualBox. Con él, puede controlar completamente Oracle VM VirtualBox desde la línea de comandos de su sistema operativo host. Admite todas las funciones a las que la GUI le da acceso, pero admite mucho más que eso. Expone todas las funciones del motor de virtualización, incluso aquellas a las que no se puede acceder desde la GUI. La utilidad VBoxManage se puede encontrar en la siguiente ubicación: <%SYSTEMROOT%>\Program Files\Oracle\VirtualBox\VBoxManage.exe Para enumerar todas las máquinas virtuales disponibles en el ...
Leer más