La herramienta gratuita MimiPenguin nos va a permitir recuperar los credenciales de usuario incluyendo contraseñas de diferentes sesiones activas que tengamos en nuestro servidor web como Apache2, en nuestro servidor FTP con VSFTPD e incluso también en la sesión establecida con el servidor SSH. Para poder ejecutar esta herramienta, es necesario permisos de root en la máquina Linux donde lo vayamos a ejecutar.

MimiPenguin aprovecha los credenciales en texto plano que se almacena en la memoria RAM del sistema, es decir, hace un dump de la memoria y extrae las líneas donde cree que hay una gran probabilidad de contener las contraseñas en texto plano. Una vez recuperadas las claves, las compara con el hash que hay en /etc/shadow, los hashes que hay en memoria y también realiza búsquedas con expresiones regulares.

Finalmente, cuando ha comprobado que lo “capturado” son los credenciales, se los mostrará al usuario en formato usuario:contraseña. Algo muy importante es que es necesario permisos de root para poder ejecutar esta herramienta, sino no será capaz de leer por ejemplo /etc/shadow. El autor de esta herramienta ha probado MimiPenguin en los siguientes sistemas operativos:

Kali Linux 4.3.0 x64
Ubuntu Desktop 12.04 LTS x64
Ubuntu Desktop 16.04 LTS x64
XUbuntu Desktop 16.04 x64
Archlinux x64 Gnome 3

Respecto a los servicios que soporta actualmente esta herramienta, son los siguientes:

VSFTPd 3.0.3-8+b1 (Solo conexiones FTP activas)
Apache2 2.4.25-3 (Conexiones HTTP activas y antiguas)
openssh-server 1:7.3p1-1 (Solo conexiones SSH activas)
Actualmente MimiPenguin está disponible en lenguaje Bash y también en Python. Gracias al uso de dos lenguajes diferentes podremos integrar fácilmente esta herramienta con otros proyectos de cara a realizar auditorías de seguridad.

El autor ha señalado que seguirá mejorando esta herramienta, aumentando la compatibilidad de sistemas operativos y también de servicios, además, al ser un proyecto de código abierto se puede participar y colaborar con el proyecto. Os recomendamos visitar el proyecto oficial de MimiPenguin donde encontraréis la herramienta para descargar.

Demostración de MimiPenguin en Debian 8

Nosotros hemos probado esta herramienta MimiPenguin en Debian 8, donde se supone que no tiene “soporte” oficial, ya que no está en el listado de distribuciones probadas por el desarrollador. En Debian 8 hemos instalado la última versión disponible de VSFTPD, y sin realizar ninguna configuración nos hemos conectado con Filezilla desde otro equipo, al ejecutar MimiPenguin con permisos de root nos ha aparecido los credenciales de acceso utilizados por VSFTP de la conexión FTP activa en ese mismo momento.

Tal y como podéis ver, esta herramienta funciona bastante bien, en nuestro caso no teníamos ningún otro servicio activo, únicamente VSFTPD para las pruebas de esta herramienta.

 

Fuente: msaffirio | somoslibres

¿Quién está en línea?

Hay 22888 invitados y ningún miembro en línea