Buenas a todos, hace algunos meses Pablo nos comentaba desde su post FileZilla: seguro fuera, inseguro en casa el agujero de seguridad que tenía el famoso cliente ftp, que almacenaba las contraseñas de los sitios almacenados en un fichero XML en texto plano en la ruta %SystemDrive%\Users\Usuario\AppData\Roaming\sitemanager.xml.
El fichero tiene el siguiente aspecto:<?xml version="1.0" encoding="UTF-8" standalone="yes" ?><FileZilla3><Servers><Server><Host>miweb.com</Host><Port>21</Port><Protocol>0</Protocol><Type>0</Type><User>Usuario_FALSO</User><Pass>Password_FALSA</Pass><Logontype>1</Logontype><TimezoneOffset>0</TimezoneOffset><PasvMode>MODE_DEFAULT</PasvMode><MaximumMultipleConnections>0</MaximumMultipleConnections><EncodingType>Auto</EncodingType><BypassProxy>0</BypassProxy><Name>Mi web</Name><Comments></Comments><LocalDir></LocalDir><RemoteDir></RemoteDir><SyncBrowsing>0</SyncBrowsing>Mi web</Server></Servers></FileZilla3>Como véis almacena todos los datos de los ftps que tenemos almacenados en filezilla.También almacenaban en el archivo recentservers.xml, en la misma carpeta, todas las conexiones realizadas.Filezilla sabe desde hace tiempo este tema y por el momento ha decidido no tomar cartas en el asunto para mejorar la seguridad de nuestras contraseñas.Hoy veremos lo sencillo que es recuperar el contenido de estos ficheros XML de una máquina infectada con Flu.1.- En primer lugar, suponiendo que tenemos todo el entorno configurado (sino es así, echad un vistazo a éste video) deberemos infectar la máquina.2.- Una vez infectada accederemos al panel de administración de Flu3.- Ahora abriremos una shell dirigida hacia la máquina infectada4.- A continuación ejecutaremos la siguiente instrucción (si se trata de un equipo con powershell), sustituyendo MIUSUARIO, por el nombre del usuario de la victima, para recuperar el archivo sitemanager.xml. Hay otras maneras de mostrar este archivo, incluso podríamos traernoslos al servidor con la funcionalidad de Flu de recuperación de archivos :)
powershell cat 'C:\Users\MIUSUARIO\AppData\Roaming\FileZilla\sitemanager.xml'5.- Haremos lo mismo con el archivo "recentservers.xml":
powershell cat 'C:\Users\MIUSUARIO\AppData\Roaming\FileZilla\recentservers.xml'
Cuidado con esos filezillas, y cuidado con Flu, saludos!