Post-Explotació: Extracció de credencials de FireFox o Thunderbird

En la fase de post-explotació d’un pentesting podem intentar recuperar les credencials emmagatzemades en FireFox o Thunderbird per a emprar-les en atacs de enginyeria social, tenir accés a aplicacions web (internes o externes) o simplement per veure si coincideixen amb credencials del sistema.

Per fer-ho necessitarem primer de tot aconseguir els arxius key3.db, signons.sqlite i cert8.db continguts en els perfils d’usuari d’aquestes aplicacions de Mozilla.  Aquest arxius els trobarem en diferents directoris del disc dur, depenent del sistema operatiu, o podem realitzar una cerca molt senzilla a Google per trobar llistats de directoris que continguin els arxius objectiu:

key3.db signons.sqlite cert8.db intitle:”index of” site:domini_objectiu.cat

Un cop obtinguts tan sols necessitarem desencriptar les contrasenyes.  Per fer-ho podem utilitzar un petit script de Python com per exemple ffpassdecrypt d’en Pradeep Nayak.  Per desencriptar els password tan sols haurem de fer:

python ffpassdecrypt <carpeta_arxius>

El resultat és un llistat de host/usuari/password que hi ha emmagatzemats en els arxius.

Resultats en recuperar credencials de ThunderBird i/o FireFox.

Resultats en recuperar credencials de ThunderBird i/o FireFox.

Com podem veure, en qüestió de minuts es poden recol·lectar un bon grapat de credencials si aconseguim accedir a aquesta informació.  Per tant ull a aquests directoris!!

Advertisements

~ per madyyelf a 22 gener 2015.