Metasploit框架中enum_chrome模块解密Chrome登录数据问题分析

问题背景

Metasploit框架中的post/windows/gather/enum_chrome.rb模块用于从Windows系统中提取和解密Chrome浏览器的用户数据，包括登录凭证、历史记录、书签等信息。近期发现该模块在处理某些Chrome版本的登录数据时出现解密失败的情况。

技术分析

解密机制原理

该模块的工作原理是通过Windows DPAPI(数据保护API)获取主密钥(masterkey)，然后使用AES-256-GCM算法解密Chrome存储的加密数据。正常情况下，加密数据应包含：

1. 3字节的版本标识("v10")
2. 12字节的初始化向量(IV)
3. 加密内容
4. 16字节的认证标签

问题表现

模块运行时会出现以下错误：

Post failed: ArgumentError data must not be empty

通过调试发现，某些加密数据长度异常，仅有31字节，远低于正常解密所需的最小长度(32字节)。

根本原因

问题出在数据切片处理逻辑上。模块中以下代码试图从加密数据中提取密文：

ciphertext = enc_data[15..-17]

当输入数据过短时(如31字节)，这会导致切片结果为负数范围(如15..14)，产生空数据，进而引发解密错误。

解决方案

临时解决方案

对于数据长度不足的情况，可以跳过该条记录：

if enc_data.length < 32
  next
end

更健壮的改进方案

更完善的解决方案应包括：

1. 增加数据长度验证
2. 改进错误处理机制
3. 支持更灵活的加密数据格式

技术建议

1. 数据验证：在解密前应严格验证数据长度和格式
2. 日志记录：增加调试日志，记录解密过程中的关键数据
3. 兼容性处理：考虑不同Chrome版本可能的数据格式差异

总结

Metasploit框架的Chrome数据解密功能在遇到异常数据格式时会出现问题。开发人员应增强模块的健壮性，而安全研究人员在使用时应注意检查输出结果，必要时手动验证解密数据。

该问题反映了在逆向工程和密码学应用中常见的数据边界条件问题，提醒我们在处理加密数据时要特别注意输入验证和异常处理。