Paso previo: Conocer y utilizar PD
Descarguen la siguiente herramienta: PD
PD es una utilidad que permite extraer de la memoria un determinado
procesobasándose en el identificador de proceso (PID) y poder
volcarlo al disco. De esta forma no tenemos que 'dumpear' toda la
memoria para hacer lo mismo.
En este caso necesito recuperar las contraseñas de acceso a la web de Claro para el envío de mensajes por SMS (desde un equipo con Linux y Firefox).
Si vemos el código fuente de la página nos encontramos con las posibles variables a buscar entre ellas
TM_LOGIN, TM_PASSWORD, TM_ACTION
A lo nuestro!
pd -p 19323 firefox.dump (donde 19323 es el PID de firefox)
Extraigo el texto del fichero binario a otro fichero más comprensible
strings -el firefox.dump memorystrings.txt
Editamos el fichero TXT y buscamos las cadenas anteriormente citadas
Nos encontramos que la cadena TM_LOGIN, lleva asociado un número (deducimos que es un teléfono), mientras que las demas cadenas no muestran nada útil.
Curiosamente si buscamos por el número de teléfono, nos da muchisima información, agendas, otros números de contacto, etc. y sobre todo la posible contraseña.
Comprendido este paso previo, pasemos al grueso de este post...
Se me ocurrió jugar con mi cuenta de GMAIL y una utilidad que se llama 'pdgmail' que esta programada en 'python'.
En todos los casos que probé con la utilidad fui capaz de recuperar datos de contacto, el último inicio de sesión , las direcciones IP, cabeceras de correo electrónico, e incluso aun desconectando de gmail comprobe, que aún retenía todos estos datos. Es decir carga todo en memoria.
¿Como se usa?
El primer paso es volcar la memoria del navegador. luego extraemos 'el texto' del proceso y lo mandamos a un TXT
strings -el 11515.dump | python pgdmail.py | datos.txt
Editamos el fichero y empezamos a ver:
* último acceso registros
* Nombres de cuenta de Gmail
* contactos
* cuerpos de mensaje
* las cabeceras de los mensajes
Los contactos se muestran como:
contact: name: NechuZ S email: [email protected]
El último acceso más reciente muestran los inicios de sesión y aparecerá como:
last access: 14 hours ago from IP 10.15.26.8, most recent access Tue JAN 14 10:57:53 2012 from IP 12.9.4.238
Los mensajes de correo electrónico son los que peores resultado dan ya que la mayoría de ellos no siempre se ajustan a las normas API y algunos se descuadran
Los encabezados se muestran como:
message header: [ms,113b0d734737dec4,,4,Gmail Team ,Gmail Team,[email protected],1184082900000,Did you know that GMail was voted #2 in PC World's Top 100 products,[^all,^i]
En definitiva, una muy buena herramienta para la obtención de aplicaciones y en el caso en concreto de GMAIL.
Saludos!
