استخراج credential های مرورگر firefox قربانی

تاریخ انتشار : 2020/12/09 | نویسنده : kernel-panic

استخراج credential های مرورگر firefox قربانی

در این سناریو قصد داریم به بررسی یکی از Post Exploit ها بپردازیم که نتیجه ی آن شامل بدست آوردن Credential های ذخیره شده در مرورگر Firefox سیستم قربانی می باشد.

قبل از تشریح حمله، به نکاتی در رابطه با مرورگر Firefox می پردازیم:

- هر حساب کاربری در سیستم عامل Windows دارای یک پوشه ی پروفایل مرورگر Firefox می باشد.

- ابتدای نام هر پوشه با مقداری تصادفی نام گذاری می شود. (مثل: 54bi20a1.default-release)

- پروفایل (پوشه) مذکور در مسیر "C:\Users\<username>\AppData\Roaming\Mozilla\Firefox\Profiles"  می باشد.

- در پروفایل های مذکور، اطلاعات مرورگر Firefox هر شخص اعم از مقدار Hash شده ی Credential ها وجود دارد.

- فایل هایی که Credential های ذخیره شده در مرورگر را در خود نگهداری می کنند، فایل هایی با اسامی key3.db، key4.db، signons.sqlite، logins.json و ... می باشند که در ادامه به تفکیک تغییرات به وجود آمده در نسخه های مرورگر Firefox، به طور دقیق آورده شده اند.

  • Firefox <32 (key3.db, signons.sqlite)
  • Firefox >=32 (key3.db, logins.json)
  • Firefox >=58.0.2 (key4.db, logins.json)
  • Firefox >=75.0 (sha1 pbkdf2 sha256 aes256 cbc used by key4.db, logins.json)
  • at least Thunderbird 68.7.0, likely other versions

حال با توجه به توضیحات فوق می توان به سناریوی مذکور بپردازیم. در ابتدا فرض می کنیم که بر روی سیستم قربانی، دسترسی Meterpreter گرفته شده است.

مهاجم با بهره گیری از دسترسی Meterpreter می تواند پروفایل مرورگر Firefox سیستم قربانی را، توسط دستور download بر روی سیستم خود منتقل کند.

 

  • یکی از نکات مثبت این حمله، این است که نیازی به ارتقا سطح دسترسی نیست و بعد از دانلود پروفایل مذکور، مابقی حمله به صورت Offline می باشد.

 

یکی از ابزارهای موجود برای استخراج رمزهای عبور پروفایل مرورگر Firefox، ابزار firepwd می باشد که از آدرس زیر در دسترس می باشد.

https://github.com/lclevy/firepwd

حال مهاجم ابزار مذکور را به منظور استخراج نمودن رمزهای عبور موجود در پروفایل دانلود شده، اجرا می کند. همانطور که در  تصویر زیر قابل مشاهده می باشد، برای استخراج رمز های عبور، مطابق دستور زیر می توان اقدام نمود.

python3 firepwd.py -d <Directory’s Name>

- می بایست به این نکته توجه نمود که حتما "/" در انتهای نام پروفایل اضافه شود.

  • - هم چنین d- بیانگر Directory می باشد.

 

همان طور که در تصویر فوق ملاحظه شد، مقدار Username و Password ذخیره شده در مرورگر Firefox قربانی که مرتبط با آدرس https://192.168.2.2 می باشد، قابل کشف است.