Buenas a todos, en el post de hoy vamos a hablaros del exploit "android_stock_browser_uxss" que ha desarrollado Rafay Baloch para Metasploit y que explota el CVE-2014-6041. Podéis descargarlo desde el sitio web de Rapid7:
Este módulo se aprovecha de la la vulnerabilidad UXSS presente en todas las versiones del navegador Webkit incluido en los sistemas Android anteriores a la 4.4.
Si tiene éxito, podríamos aprovechar este fallo para recolectar los dos datos de las cookies y de los contenidos de la página visitada en una ventana vulnerable del navegador.
A continuación os dejamos con la descripción del autor:
This module exploits a Universal Cross-Site Scripting (UXSS) vulnerability present in all versions of Android's open source stock browser before 4.4, and Android apps running on < 4.4 that embed the WebView component. If successful, an attacker can leverage this bug to scrape both cookie data and page contents from a vulnerable browser window. If your target URLs use X-Frame-Options, you can enable the "BYPASS_XFO" option, which will cause a popup window to be used. This requires a click from the user and is much less stealthy, but is generally harmless-looking. By supplying a CUSTOM_JS paramter and ensuring CLOSE_POPUP is set to false, this module also allows running aribrary javascript in the context of the targeted URL. Some sample UXSS scripts are provided in data/exploits/uxss.
Para probarlo, lo primero será descargarnos el exploit, que alojaremos en:
- auxiliary/gather/android_stock_browser_uxss:
Ahora arrancaremos msfconsole y cargaremos el exploit con el comando "use":
Ahora veremos las opciones disponibles del exploit con la instrucción "show options":
Configuraremos los parámetros TARGET_URLS y URIPATH, indicándole los sitios web a los que queremos robar las cookies:
Y lo lanzaremos con el comando "run":
Cuando la víctima visite la página con el exploit cargado en http://192.168.1.43:8080, se nos almacenará en nuestro disco un fichero de texto con las cookies de las páginas que le hemos indicado:
Ahora, si el usuario no ha cerrado sesión y las cookies siguen siendo validas, podemos utilizarlas para suplantar su identidad mediante un hijacking de sesión.
¿Sencillo verdad? :)
Eso es todo por hoy, nos vemos en el próximo post!
Saludos!