Ya vimos hace tiempo que Metasploit había añadido un módulo de post-explotación para extraer desde una sesión los ficheros de un backup de un terminal iOS en un sistema operativo comprometido. Cuando se ejecuta el módulo apple_ios_backup, éste va a buscar en los directorios por defecto de Apple iTunes si existe algún backup de usuario y si no es así devolverá un mensaje de No users found with an iTunes backup directory’.
Sin embargo, como explican en SecurityLearn, si existe un backup pero es de versión iOS 5.X entonces dará una excepción y no extraerá ningún fichero. Para solucionarlo, han parcheado el módulo para que funcione también con los backups de iOS 5, y para que este funcione hay que descargar los ficheros del módulo adaptado y situarlos como sigue:
Sin embargo, como explican en SecurityLearn, si existe un backup pero es de versión iOS 5.X entonces dará una excepción y no extraerá ningún fichero. Para solucionarlo, han parcheado el módulo para que funcione también con los backups de iOS 5, y para que este funcione hay que descargar los ficheros del módulo adaptado y situarlos como sigue:
1. Descargar apple_ios_backup.rb y ponerlo en el directorio:
/opt/metasploit/msf3/modules/post/multi/gather/
2. Descargar apple_backup_manifestdb.rb y ponerlo en el directorio:
/opt/metasploit/msf3/lib/rex/parser/
El siguiente vídeo muestra todo el proceso de instalación y uso para buscar backups iOS 5.x.
Cuando el módulo encuentra un backup de Apple iTunes, extrae todos los ficheros y los situa en la ruta ~/.msf4/loot/ como ficheros de base de datos .db. Sin embargo, si el backup del usuario está cifrado todos los ficheros serán volcados de manera cifrada, por lo que si quieres sacar los datos antes deberás crackear el backup de iTunes.
No hay comentarios:
Publicar un comentario