Pidgin Password Recovery (GPL)

Iniciado por oPen syLar, 11 Abril 2012, 08:55 AM

0 Miembros y 1 Visitante están viendo este tema.

oPen syLar

Hola nenecos.. Esta es una app basada en libxml bastante simple =) solo fue testeada sobre plataformas GNU/Linux aunque no dudo que trabaje en otro SO Unix-Like

Ya todos sabemos que es Pidgin es maravilloso.. Hace de todo y que es bien feo.. No digo que haga mal su trabajo de hecho lo hace muy bien.. Es eficiente.. Pero tiene un pequeño defecto (Si.. Defecto no bug) es que guarda los passwords y los logins en plaintext .__. yeah en texto plano... FAIL

Dicho defecto... por defecto se guarda en.. $HOME/.purple/accounts.xml

Obviamente es un fichero XML con arboles/nodos con configuracion referente a la configuracion a las cuentas creadas (incluyendo su user/pass) ...


Y como automatizamos esto.? Pues simple con Pidgin Password Recovery Tiene soporte para enumerar todas las cuentas... Busca la ruta por defecto... Aunque también puede especificarse por parámetros





El código esta (como todos o casi todos mis proyectos) en Github así que con un clone bastara


#Instalamos las depencencias.. Aunque seguro ya las tengas instaladas
yaour -S libxml


#Cloning
git clone git://github.com/oPensyLar/Pidgin-Password-Dumper.git

cd Pidgin-Password-Dumper

#Compila y ejecuta
gcc -o ppd main.c `xml2-config --libs`; ./ppd accounts.xml




A pesar de esto... Existe un parche basado en el Keyring de Gnome http://code.google.com/p/pidgin-gnome-keyri .. Aunque la gran mayoría de las distribuciones no lo utiliza..

Esto es una pequeña prueba del hecho de que las app sean creadas bajo un entorno Unix o un Unix-Like pueden ser tan inseguras como las app hechas para MS Windows... Y créanme.. No es la única app que e visto con este problema... Saludos y que les rinda =)
Siempre habra 2 verdades, la que quieres creer y la que no aceptaras

el-brujo


Foxy Rider

#2
Si mal no recuerdo pidgin usa gnome-keyring ... así que serviría cualquier aplicación que permita usar gnome-keyring, asumiendo que este esté abierto y el usuario sea un poco bobo ... para emesene 1.x era así : http://pastebin.com/jBD7aCkj
Para emesene 2.x era similar, una database por ahí en sqlite3 en base64 si mal no recuerdo (había armado un script también para esta versión, pero no sé donde lo tiré, há )

Saludos.

P.S → con xmlstarlet y un script podés sacar users y pass, sin necesidad de C y libxml