Menú principal

sábado, 6 de octubre de 2012

Módulo de Metasploit para extraer backups de iOS 5.X

Ya vimos hace tiempo que Metasploit había añadido un módulo de post-explotación para extraer desde una sesión los ficheros de un backup de un terminal iOS en un sistema operativo comprometido. Cuando se ejecuta el módulo apple_ios_backup, éste va a buscar en los directorios por defecto de Apple iTunes si existe algún backup de usuario y si no es así devolverá un mensaje de No users found with an iTunes backup directory’.

Sin embargo, como explican en SecurityLearn, si existe un backup pero es de versión iOS 5.X entonces dará una excepción y no extraerá ningún fichero. Para solucionarlo, han parcheado el módulo para que funcione también con los backups de iOS 5, y para que este funcione hay que descargar los ficheros del módulo adaptado y situarlos como sigue:
1. Descargar apple_ios_backup.rb y ponerlo en el directorio:
/opt/metasploit/msf3/modules/post/multi/gather/
2. Descargar apple_backup_manifestdb.rb y ponerlo en el directorio:
/opt/metasploit/msf3/lib/rex/parser/
El siguiente vídeo muestra todo el proceso de instalación y uso para buscar backups iOS 5.x.


Cuando el módulo encuentra un backup de Apple iTunes, extrae todos los ficheros y los situa en la ruta ~/.msf4/loot/ como ficheros de base de datos .db. Sin embargo, si el backup del usuario está cifrado todos los ficheros serán volcados de manera cifrada, por lo que si quieres sacar los datos antes deberás crackear el backup de iTunes.

No hay comentarios:

Publicar un comentario

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares