Publicado el 28 de Julio del 2018
443 visualizaciones desde el 28 de Julio del 2018
600,0 KB
22 paginas
Creado hace 10a (12/08/2013)
Explotando Add-On's
de Mozilla Firefox
Richard Villca Apaza
SixP4ck3r
Hackmeeting 2013
Santa Cruz - Bolivia
Acerca de mi
Acerca de mi
● Estudiante de 2do. año de sistemas.
● Amante de la tecnología y el Software Libre.
● Programador... me encanta programar en el viejo C,
Java, PHP, node.js, .NET y Python.
● Uno poco mas de 5 años en el mundo del Hacking
● Escritor de pappers.
● Me encanta compartir conocimientos.
● Un autodidacta mas en la red!
Lo que veremos...
Lo que veremos...
● Intro
● Complementos, Ad-Ons, Plugins ...
● Seguridad en los Complementos de Mozilla Firefox
● Debilidades... y explotando...
● Demos (Keylogger, MiTM-GET-POST,remoteExec,
Botnet)
● Add-OnFirefox + Beef = Botnet
● Entonces como puedo protegerme!
● Conclusión
Introduccíon
Introduccíon
● Mozilla Firefox es el tercer navegador mas usado!
¿Complementos ó Plugins?
¿Complementos ó Plugins?
Los plug-in's son pequeños programas auxiliares o
dispositivos de hardware que permiten a sistemas
mayores extender sus capacidades normales o
aportar una función, generalmente muy específica.
Gracias a sus miles de add-ons hacen a Mozilla
Firefox un navegador potente.
Todos usamos plugins
Todos usamos plugins
● Plataformas Web, CMS's
● Joomla, WordPress, Drupal, SMF y otros
● Plugins, Complementos
● Y otros...
● Aplicaciones de Escritorio
● Plugins para Photoshop
● Complementos para MS-Power Point
● Y muchos mas.
●
Complementos en Firefox
Complementos en Firefox
Complementos en Firefox
Complementos en Firefox
Esctructura de un Add-On
Esctructura de un Add-On
Soporta:
● JavaScript
● HTML5
● Ajax
● XUL -> GUI
● XML
● Y una variedad mas.
Esctructura de un Add-On
Esctructura de un Add-On
● chrome.manifest: Encargado de manejar la
ubicacion de los ficheros del componente.
● install.rdf: Encargado de gestionar los nombres del
desarollador, nombre del Add-On, Descripción,
Version.
● Overlay.js: Los scripts que hacen posible el
funcionamiento de un Add-On.
● Overlay.xul: GUI -> Encargado de manejar toda la
interfaz grafica del Add-On.
Seguridad en los Add-On's
Seguridad en los Add-On's
● No hay mecanismos para restringir los privilegios de
un Add-On.
● Los codigos de un Add-On no son verificados.
● Ninguna restricción para comunicarse desde un
Add-On hacia Internet.
● XPConnect con privilegios, haces todo lo que
quieres.
● Cuestion de creatividad e imaginación.
Pensando como atacante!
Pensando como atacante!
● Leer ficheros del S.O.
● Keylogger Local, Remoto y robo de Cookies.
● MiTM control sobre el trafico POST y GET
● Reddireccion a otros sitos, control total sobre el
contenido de una web.
● Distributed Denial of Service Attack (DDoS)
● Creando una BotNET con Beef
● En todos los S.O. Donde Mozilla Firefox este
corriendo.
DEMO: Keylogger Remoto
DEMO: Keylogger Remoto
● PHP
● Ajax
● Una Base de Datos
● Y a divertirse!
DEMO: MiTM Control POST GET
DEMO: MiTM Control POST GET
DEMO: Ejecución de un *.EXE
DEMO: Ejecución de un *.EXE
DEMO: Add-On + Beef = BotNET
DEMO: Add-On + Beef = BotNET
Y que dicen los AV's
Y que dicen los AV's
Recomendaciones
Recomendaciones
● Jamas instales Add-Ons desde sitios dudosos.
● Cierra cualquier session que hayas iniciado, elimina
tus cookies.
● Mirar en el panel de complementos de Firefox, que
complementos tienes intalados, algun complemento
desconocido dale en ELIMINAR.
● Mantener Firefox actualizado.
● Solo Instalar solo componentes que conoscais.
Recomendaciones
Recomendaciones
● Usa Linux!
● Usa Lykan-OS
Conclusiones
Conclusiones
● A pesar de que Mozilla Firefox es un navegador
potente igual tiene sus debilidades.
● Si alquien te instalo un Add-On y tu no sabes ni como
funciona ni donde estan ubicados para poder
desinstalarlo, tienes todas las de perder.
● Como el codigo no es examinado puede venir
camuflado en un Add-On valido, por ejemplo dentro
del Firebug.
● Que los Add-Ons para Mozilla Firefox pueden
convertirse potencialmente en Malware.
Preguntas y Despedida
Preguntas y Despedida
● En la Informatíca y el AMOR nada es imposible!
“Han podido acceder a nuestros servidores y han obtenido
todas los datos.“ Los Administradores de DropBOX
Contacto
Contacto
E-Mail -> SixP4ck3r AT Bolivia DOT com
Blog -> http://sixp4ck3r.blogspot.com/
Twitter -> @SixP4ck3r
Comentarios de: Explotando Add-On's de Mozilla Firefox (0)
No hay comentarios