Get Adobe Flash playerPlugin by wpburn.com wordpress themes

Posts Tagged “firefox”

Sep 07 2009

Obtenir les credentials de Firefox 3

Posted by Deimos in Développement, Sécurité, tags: , , , ,

      Firefox stocke depuis quelques versions les mots de passe enregistrés dans une base de données SQLite dont le nom est signons.sqlite, plutôt que dans un fichier au format texte, comme précédemment (signons2.txt, signons3.txt). En ce qui concerne le chiffrement, il s’agit de 3DES en mode EDE, et la clé se trouve dans le fichier key3.db.

      Bref, pour déchiffrement et obtenir tout ça, il nous faut utiliser l’API PKCS#11 ainsi que NSS (Network Security Services), une bibliothèque cryptographique développée par Mozilla et bien évidemment utilisée par Firefox. Rapidement, en commençant le développement de ce petit bout de code qui me semblait trivial au départ, j’ai remarqué que la difficulté … ne venait étrangement pas du code en lui même, mais de l’API NSS de Mozilla qui est très peu documenté (second lien avec comme mot clé “nss api” sur Google : “NSS API is lack of doc | Linux Developer Network” …). Au final j’ai donc préféré sortir Ollydbg et faire un peu de reverse engineering sur un outil closed source qui récupérait ces identifiants à des fins malicieuses. En dehors de ces bibliothèques pour le côté crypto, il nous faudra utiliser SQLite afin de lire le fichier signons.sqlite.

Voici le schéma de la table moz_logins qui nous intéresse :

  1.  
  2. CREATE TABLE moz_logins (id INTEGER PRIMARY KEY,
  3.                          hostname TEXT NOT NULL,
  4.                          httpRealm TEXT,
  5.                          formSubmitURL TEXT,
  6.                          usernameField TEXT NOT NULL,
  7.                          passwordField  TEXT NOT NULL,
  8.                          encryptedUsername TEXT NOT NULL,
  9.                          encryptedPassword TEXT NOT NULL,
  10.                          guid TEXT,
  11.                          encType INTEGER);
  12.  

Et voici le code C (avec une légère utilisation de l’API Win32) permettant de récupérer tous ces jolis identifiants :
Read the rest of this entry »

Comments 2 Comments »

Jan 29 2009

Rkfox : un rootkit basé sur Firefox avec XPCOM et JavaScript

Posted by Deimos in Sécurité, tags: , , , ,

      Voilà plusieurs mois que cette idée me trottait dans la tête : une extension malicieuse pour Firefox développée avec XUL, XPCOM et JavaScript. Durant mon mois de vacances intersemestre, j’ai enfin eu un peu de temps pour me pencher sur la question … Voici donc la table des matières de l’article que je vous propose :

  1. Introduction
  2. Architecture d’une extension Firefox
    1. Composition d’un fichier XPI
    2. Présentation des technologies utilisées
      1. XUL
      2. XPCOM
    3. Fonctionnement d’une extension
  3. Développement d’un rootkit
    1. Architecture du rootkit
    2. Masquer l’extension au sein de Firefox
    3. Récupération des identifiants stockés dans Firefox
    4. Mise à jour relative à la sécurité dans Firefox 3
  4. Conclusion

    5. Lien vers l’article en PDF

    Un aperçu de l’article en HTML viendra sous peu.

    Deimos

Comments 2 Comments »