15 ago 2012

Robando contraseñas FTP de FileZilla con Flu

Buenas a todos, hace algunos meses Pablo nos comentaba desde su post FileZilla: seguro fuera, inseguro en casa el agujero de seguridad que tenía el famoso cliente ftp, que almacenaba las contraseñas de los sitios almacenados en un fichero XML en texto plano en la ruta %SystemDrive%\Users\Usuario\AppData\Roaming\sitemanager.xml.

El fichero tiene el siguiente aspecto:
<?xml version="1.0" encoding="UTF-8" standalone="yes" ?><FileZilla3><Servers><Server><Host>miweb.com</Host><Port>21</Port><Protocol>0</Protocol><Type>0</Type><User>Usuario_FALSO</User><Pass>Password_FALSA</Pass><Logontype>1</Logontype><TimezoneOffset>0</TimezoneOffset><PasvMode>MODE_DEFAULT</PasvMode><MaximumMultipleConnections>0</MaximumMultipleConnections><EncodingType>Auto</EncodingType><BypassProxy>0</BypassProxy><Name>Mi web</Name><Comments></Comments><LocalDir></LocalDir><RemoteDir></RemoteDir><SyncBrowsing>0</SyncBrowsing>Mi web</Server></Servers></FileZilla3>
Como véis almacena todos los datos de los ftps que tenemos almacenados en filezilla.También almacenaban en el archivo recentservers.xml, en la misma carpeta, todas las conexiones realizadas.Filezilla sabe desde hace tiempo este tema y por el momento ha decidido no tomar cartas en el asunto para mejorar la seguridad de nuestras contraseñas.Hoy veremos lo sencillo que es recuperar el contenido de estos ficheros XML de una máquina infectada con Flu.1.- En primer lugar, suponiendo que tenemos todo el entorno configurado (sino es así, echad un vistazo a éste video) deberemos infectar la máquina.2.- Una vez infectada accederemos al panel de administración de Flu3.- Ahora abriremos una shell dirigida hacia la máquina infectada4.- A continuación ejecutaremos la siguiente instrucción (si se trata de un equipo con powershell), sustituyendo MIUSUARIO, por el nombre del usuario de la victima, para recuperar el archivo sitemanager.xml. Hay otras maneras de mostrar este archivo, incluso podríamos traernoslos al servidor con la funcionalidad de Flu de recuperación de archivos :)
powershell cat 'C:\Users\MIUSUARIO\AppData\Roaming\FileZilla\sitemanager.xml'

 5.- Haremos lo mismo con el archivo "recentservers.xml":
powershell cat 'C:\Users\MIUSUARIO\AppData\Roaming\FileZilla\recentservers.xml'

Cuidado con esos filezillas, y cuidado con Flu, saludos!

4 comentarios:

  1. Valla valla valla..... Ya me toca cambiar de cliente ftp. Ahora me toca buscar otro "Bueno"

    ResponderEliminar
  2. J4cObO en realidad con evitar guardar las contraseñas en el cliente ya es suficiente (aunque no sea cómodo), porque con otros puede suceder algo similar :D

    ResponderEliminar
  3. Pura curiosidad. ¿Que más dá tener las contraseñas en claro si se pueden averiguar haciendo una captura de paquetes?

    ResponderEliminar
  4. En el caso de no encontrarse en la misma red, la captura de paquetes queda anulada. Si es cierto, que con otro tipo de malware, incluso con un meterpreter de Metasploit se podría realizar una captura de paquetes y conseguir esas credenciales. También decir que, en una captura de paquetes debemos estar justo en el momento adecuado... es decir, cuando la victima o la aplicación esta autenticandose... Cualquier cosa @dracco nos comentas! ;)Saludos!

    ResponderEliminar