31 oct 2011

Recuperando cookies de Internet Explorer con Flub0.4

 

Buenas a todos, en el post de hoy me gustaría mostraros una posible manera para recuperar las cookies almacenadas por Internet Explorer en una máquina infectada con la última versión pública de Flu, la b0.4, y que podéis descargar desde aquí.

En nuestro blog ya hemos hablado otras veces del tema de la suplantación de cookies como en los artículos Hijacking en TuentiHijacking en Twitter o en Cookie Monster: automatizando el hijacking, por lo que omitiremos el paso de suplantar la cookie, y nos limitaremos a recuperarla.

En primer lugar accederemos a la consola CMD remota de la máquina de la que queramos recuperar las cookies de Internet Explorer:

 

 

Deberíamos saber la carpeta en la que se almacenan las cookies de IE para poder recuperarlas. Tal información la podéis obtener navegando por la máquina, o consultando la siguiente clave del registro: "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\LowRegistry\IEShims\NormalizedPaths". Por ejemplo para el caso de Windows 7 sería la siguiente:

 

 

Desde la consola mostraremos el contenido de dicha carpeta, para ver todas las cookies que hay almacenadas en ficheros de texto plano. Como la máquina infectada es un Windows 7 podemos valernos de powershell:

 

 

Ahora recuperaremos las que nos interesen con el comando "getfile":

 

 

Si vamos finalmente a nuestro servidor Web, en la carpeta "descargas" que contiene el panel de control de Flu, tendremos una copia del fichero, y podremos ver la cookie solicitada:

 

Espero que os haya gustado el post, de vez en cuanto os iremos contando trucos como este para explotar todas las funcionalidades de la nueva versión de Flu.

 

Saludos!

4 comentarios:

  1. Genial truco, gracias y si en evz de IE usamos Firefox o Chrome? Saludos

    ResponderEliminar
  2. En Firefox por ejemplo se almacenan en una BBDD SQLite cifrada que utiliza el propio navegador para almacenar información, así que habría que añadir una funcionalidad para recuperar la información de ahí.En Chrome, idem, se podrían recuperar en Win7 de aquí C:\Users\TU USUARIO\AppData\Local\Google\Chrome\User Data\Default\ y dentro de la carpeta en el archivo cookiessaludos!

    ResponderEliminar
  3. [...] Os proponemos un posible ataque con Flu b0.4: Recuperando cookies de Internet Explorer con Flub0.4 [...]

    ResponderEliminar
  4. Y si ya tengo las cookies que hago con ellas :-D

    ResponderEliminar