Security Flu

Buenas a todos, en el post de hoy me gustaría mostraros una posible manera para recuperar las cookies almacenadas por Internet Explorer en una máquina infectada con la última versión pública de Flu, la b0.4, y que podéis descargar desde aquí.

En nuestro blog ya hemos hablado otras veces del tema de la suplantación de cookies como en los artículos Hijacking en Tuenti, Hijacking en Twitter o en Cookie Monster: automatizando el hijacking, por lo que omitiremos el paso de suplantar la cookie, y nos limitaremos a recuperarla.

En primer lugar accederemos a la consola CMD remota de la máquina de la que queramos recuperar las cookies de Internet Explorer:

Deberíamos saber la carpeta en la que se almacenan las cookies de IE para poder recuperarlas. Tal información la podéis obtener navegando por la máquina, o consultando la siguiente clave del registro: “HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\LowRegistry\IEShims\NormalizedPaths”. Por ejemplo para el caso de Windows 7 sería la siguiente:

Desde la consola mostraremos el contenido de dicha carpeta, para ver todas las cookies que hay almacenadas en ficheros de texto plano. Como la máquina infectada es un Windows 7 podemos valernos de powershell:

Ahora recuperaremos las que nos interesen con el comando “getfile”:

Si vamos finalmente a nuestro servidor Web, en la carpeta “descargas” que contiene el panel de control de Flu, tendremos una copia del fichero, y podremos ver la cookie solicitada:

Espero que os haya gustado el post, de vez en cuanto os iremos contando trucos como este para explotar todas las funcionalidades de la nueva versión de Flu.

Saludos!