Incident Response, Security and Forensics"

.

jueves, 30 de octubre de 2008

CEREGUMIL concentrado

En la memoria esta todo. (o casi de todo).

Se nos puede dar el caso de que un usuario quiera recuperar las contraseñas de acceso a una aplicación o sitio web de un PC que anteriormente ha iniciado la sesión. Depende de la aplicación o del navegador las puede almacenar en disco, cifrando el contenido de las contraseñas, por lo cual este método de recuperación no es valido. (se entiende que el usuario no recuerda la contraseña)

Para ello utilizamos la siguiente 'tool': pd, disponible en la web 'http://www.trapkit.de'

pd es una utilidad que permite extraer de la memoria un determinado proceso basándose en el identificador de proceso (PID) que el sistema le asigna y poder volcarlo a disco. De esta forma no tenemos que 'dumpear' toda la memoria para hacer lo mismo.

En este caso necesito recuperar las contraseñas de acceso a la web de movistar para el envío de mensajes por SMS (desde un puesto de trabajo Linux y con navegador Firefox).



Si vemos el código fuente de la página nos encontramos con las posibles variables a buscar entre ellas (TM_LOGIN, TM_PASSWORD, TM_ACTION)



Manos a la obra:

LINUX:
pd -p 19323 > firefox.dump (donde 19323 es el PID de firefox)

Extraigo el texto del fichero binario a otro fichero más humano (txt)

strings -el firefox.dump> memorystrings.txt

Editamos el fichero TXT y buscamos las cadenas anteriormente citadas

Nos encontramos que la cadena TM_LOGIN, lleva asociado un número (deducimos que es un teléfono), mientras que las demas cadenas no muestran nada coherente.

Curiosamente si buscamos por el número de teléfono, nos da muchisima información, agendas, otros números de contacto, etc. y sobre todo la posible contraseña.

Este procedimiento es identico para Windows con la misma herramienta.

Saludos

0 comentarios: