Bestanden extraheren uit een .DS_Store-bestand

Ik ben totaal geen MacOS native, dus dit vond ik wel een leuk leerpuntje van vandaag; de .DS_Store file.

Een .DS_Store-bestand (Desktop Services Store) is een verborgen bestand dat automatisch wordt aangemaakt door macOS. Finder gebruikt dit bestand om map-specifieke instellingen op te slaan, zoals de positie van iconen, gekozen achtergrondafbeeldingen en andere weergave-opties. In principe kan elke map op macOS zijn eigen .DS_Store hebben.

Waarom bestaat dit bestand?
Het bestand is puur bedoeld voor lokaal gebruik door macOS en heeft geen functionele waarde voor websites of servers.

Waarom kan een .DS_Store-bestand op een website terechtkomen?
Dit gebeurt meestal doordat ontwikkelaars die op macOS werken vergeten dit bestand te verwijderen. Bij het deployen van de website wordt het bestand dan onbedoeld meegeüpload naar de webserver.

Na wat onderzoek kwam ik erachter dat dit bestand interessante informatie kan bevatten over de website zelf, met name over de structuur en inhoud ervan. Met de tool DS_Walk is het mogelijk om een .DS_Store-bestand uit te lezen en deze informatie inzichtelijk te maken.

Hieronder het stappenplan om de tool te gebruiken:

python3 -m venv venv #Virtual environment voor als er extra libraries gedownload moeten worden
source venv/bin/active

git clone https://github.com/Keramas/DS_Walk.git
cd DS_Walk
chmod +x ds_walk.py
python3 ds_walk.py -u http://<ip>

De volgende stap is om de submappen te controleren op 'juicy' info. Welke tool je daarvoor moet gebruiken is afhankelijk van het type webserver die je tegenkomt. In mijn geval kwam ik een IIS webserver tegen. Ik heb deze webserver verder kunnen enumereren met IIS shortname scanfunctie van metasploit.