From 11f1a92bcff67ddf42e23bba5a212ad77a979f4e Mon Sep 17 00:00:00 2001 From: Translator Date: Sun, 7 Apr 2024 22:58:31 +0000 Subject: [PATCH] Translated ['binary-exploitation/rop-return-oriented-programing/ret2lib/ --- .../rop-leaking-libc-template.md | 17 +- .../anti-forensic-techniques.md | 61 +++-- .../windows-forensics/README.md | 141 +++++----- .../image-acquisition-and-mount.md | 32 ++- .../glbp-and-hsrp-attacks.md | 80 +++--- .../pentesting-network/nmap-summary-esp.md | 243 ++++++++++++++---- .../phishing-methodology/clone-a-website.md | 20 +- .../sensitive-mounts.md | 38 +-- .../macos-gatekeeper.md | 59 +++-- .../content-protocol.md | 29 ++- .../install-burp-certificate.md | 49 ++-- .../android-app-pentesting/tapjacking.md | 31 ++- .../ios-pentesting/ios-uipasteboard.md | 30 ++- .../11211-memcache/memcache-commands.md | 42 ++- .../4786-cisco-smart-install.md | 20 +- network-services-pentesting/69-udp-tftp.md | 19 +- .../pentesting-rlogin.md | 12 +- .../pentesting-rpcbind.md | 39 ++- network-services-pentesting/pentesting-sap.md | 27 +- .../pentesting-web/drupal.md | 36 ++- .../pentesting-web/rocket-chat.md | 18 +- .../pentesting-web/vmware-esx-vcenter....md | 28 +- pentesting-web/cors-bypass.md | 107 ++++---- pentesting-web/dependency-confusion.md | 25 +- pentesting-web/oauth-to-account-takeover.md | 64 +++-- pentesting-web/parameter-pollution.md | 30 ++- .../proxy-waf-protections-bypass.md | 27 +- todo/more-tools.md | 37 ++- .../flipper-zero/fz-125khz-rfid.md | 40 +-- .../abusing-ad-mssql.md | 40 ++- .../ad-certificates/domain-escalation.md | 138 +++++----- .../kerberos-double-hop-problem.md | 30 ++- .../active-directory-methodology/laps.md | 23 +- .../over-pass-the-hash-pass-the-key.md | 21 +- .../powerview.md | 19 +- 35 files changed, 1084 insertions(+), 588 deletions(-) diff --git a/binary-exploitation/rop-return-oriented-programing/ret2lib/rop-leaking-libc-address/rop-leaking-libc-template.md b/binary-exploitation/rop-return-oriented-programing/ret2lib/rop-leaking-libc-address/rop-leaking-libc-template.md index 943bbb6b8..fa1a3e0b0 100644 --- a/binary-exploitation/rop-return-oriented-programing/ret2lib/rop-leaking-libc-address/rop-leaking-libc-template.md +++ b/binary-exploitation/rop-return-oriented-programing/ret2lib/rop-leaking-libc-address/rop-leaking-libc-template.md @@ -14,6 +14,10 @@ Autres façons de soutenir HackTricks : +
+ +{% embed url="https://websec.nl/" %} + {% code title="template.py" %} ```python from pwn import ELF, process, ROP, remote, ssh, gdb, cyclic, cyclic_find, log, p64, u64 # Import pwntools @@ -226,15 +230,20 @@ Essayez de **soustraire 64 octets à l'adresse de "/bin/sh"** : ```python BINSH = next(libc.search("/bin/sh")) - 64 ``` +
+ +{% embed url="https://websec.nl/" %} + +
-Apprenez le piratage AWS de zéro à héros avec htARTE (Expert en équipe rouge AWS de HackTricks)! +Apprenez le piratage AWS de zéro à héros avec htARTE (HackTricks AWS Red Team Expert)! -D'autres façons de soutenir HackTricks : +D'autres façons de soutenir HackTricks: -* Si vous souhaitez voir votre **entreprise annoncée dans HackTricks** ou **télécharger HackTricks en PDF**, consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop) ! +* Si vous souhaitez voir votre **entreprise annoncée dans HackTricks** ou **télécharger HackTricks en PDF**, consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop)! * Obtenez le [**swag officiel PEASS & HackTricks**](https://peass.creator-spring.com) -* Découvrez [**La famille PEASS**](https://opensea.io/collection/the-peass-family), notre collection exclusive de [**NFT**](https://opensea.io/collection/the-peass-family) +* Découvrez [**La famille PEASS**](https://opensea.io/collection/the-peass-family), notre collection exclusive de [**NFTs**](https://opensea.io/collection/the-peass-family) * **Rejoignez le** 💬 [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe Telegram**](https://t.me/peass) ou **suivez-nous** sur **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.** * **Partagez vos astuces de piratage en soumettant des PR aux** [**HackTricks**](https://github.com/carlospolop/hacktricks) et [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos. diff --git a/forensics/basic-forensic-methodology/anti-forensic-techniques.md b/forensics/basic-forensic-methodology/anti-forensic-techniques.md index 1e28b8508..aaed58375 100644 --- a/forensics/basic-forensic-methodology/anti-forensic-techniques.md +++ b/forensics/basic-forensic-methodology/anti-forensic-techniques.md @@ -12,13 +12,17 @@ Autres façons de soutenir HackTricks :
+
+ +{% embed url="https://websec.nl/" %} + # Horodatage -Un attaquant peut être intéressé par **modifier les horodatages des fichiers** pour éviter d'être détecté.\ +Un attaquant peut être intéressé par **la modification des horodatages des fichiers** pour éviter d'être détecté.\ Il est possible de trouver les horodatages à l'intérieur du MFT dans les attributs `$STANDARD_INFORMATION` __ et __ `$FILE_NAME`. -Les deux attributs ont 4 horodatages : **Modification**, **accès**, **création**, et **modification du registre MFT** (MACE ou MACB). +Les deux attributs ont 4 horodatages : **modification**, **accès**, **création** et **modification du registre MFT** (MACE ou MACB). **L'explorateur Windows** et d'autres outils affichent les informations de **`$STANDARD_INFORMATION`**. @@ -28,7 +32,7 @@ Cet outil **modifie** les informations d'horodatage à l'intérieur de **`$STAND ## Usnjrnl -Le **Journal USN** (Journal de numéro de séquence de mise à jour) est une fonctionnalité du NTFS (système de fichiers Windows NT) qui garde une trace des modifications du volume. L'outil [**UsnJrnl2Csv**](https://github.com/jschicht/UsnJrnl2Csv) permet d'examiner ces changements. +Le **journal USN** (Journal de numéro de séquence de mise à jour) est une fonctionnalité du NTFS (système de fichiers Windows NT) qui garde une trace des modifications du volume. L'outil [**UsnJrnl2Csv**](https://github.com/jschicht/UsnJrnl2Csv) permet d'examiner ces changements. ![](<../../.gitbook/assets/image (449).png>) @@ -36,7 +40,7 @@ L'image précédente est la **sortie** affichée par l'**outil** où l'on peut o ## $LogFile -**Toutes les modifications de métadonnées sur un système de fichiers sont enregistrées** dans un processus appelé [journalisation avant écriture](https://en.wikipedia.org/wiki/Write-ahead_logging). Les métadonnées enregistrées sont conservées dans un fichier nommé `**$LogFile**`, situé dans le répertoire racine d'un système de fichiers NTFS. Des outils tels que [LogFileParser](https://github.com/jschicht/LogFileParser) peuvent être utilisés pour analyser ce fichier et identifier les changements. +**Toutes les modifications de métadonnées sur un système de fichiers sont enregistrées** dans un processus appelé [journalisation en avance](https://en.wikipedia.org/wiki/Write-ahead_logging). Les métadonnées enregistrées sont conservées dans un fichier nommé `**$LogFile**`, situé dans le répertoire racine d'un système de fichiers NTFS. Des outils tels que [LogFileParser](https://github.com/jschicht/LogFileParser) peuvent être utilisés pour analyser ce fichier et identifier les changements. ![](<../../.gitbook/assets/image (450).png>) @@ -53,7 +57,7 @@ En utilisant le même outil, il est possible d'identifier à **quel moment les h ## Comparaison de `$STANDARD_INFORMATION` et `$FILE_NAME` -Une autre façon d'identifier des fichiers modifiés de manière suspecte serait de comparer l'heure sur les deux attributs à la recherche de **discordances**. +Une autre façon d'identifier des fichiers modifiés de manière suspecte serait de comparer l'heure dans les deux attributs à la recherche de **discordances**. ## Nanosecondes @@ -61,11 +65,11 @@ Les horodatages **NTFS** ont une **précision** de **100 nanosecondes**. Ainsi, ## SetMace - Outil anti-forensique -Cet outil peut modifier les deux attributs `$STARNDAR_INFORMATION` et `$FILE_NAME`. Cependant, à partir de Windows Vista, il est nécessaire d'avoir un OS en direct pour modifier ces informations. +Cet outil peut modifier les deux attributs `$STARNDAR_INFORMATION` et `$FILE_NAME`. Cependant, à partir de Windows Vista, il est nécessaire d'avoir un système d'exploitation en direct pour modifier ces informations. # Dissimulation de données -NTFS utilise un cluster et la taille minimale d'information. Cela signifie que si un fichier occupe un cluster et demi, le **demi restant ne sera jamais utilisé** jusqu'à ce que le fichier soit supprimé. Ainsi, il est possible de **cacher des données dans cet espace inutilisé**. +NTFS utilise un cluster et la taille d'information minimale. Cela signifie que si un fichier occupe un cluster et demi, la **moitié restante ne sera jamais utilisée** tant que le fichier n'est pas supprimé. Ainsi, il est possible de **cacher des données dans cet espace inutilisé**. Il existe des outils comme slacker qui permettent de cacher des données dans cet espace "caché". Cependant, une analyse du `$logfile` et du `$usnjrnl` peut montrer qu'une certaine donnée a été ajoutée : @@ -76,7 +80,7 @@ Il est alors possible de récupérer l'espace inutilisé en utilisant des outils # UsbKill C'est un outil qui **éteindra l'ordinateur si un changement dans les ports USB** est détecté.\ -Une façon de découvrir cela serait d'inspecter les processus en cours d'exécution et de **vérifier chaque script Python en cours d'exécution**. +Une façon de découvrir cela serait d'inspecter les processus en cours d'exécution et de **revoir chaque script Python en cours d'exécution**. # Distributions Linux en direct @@ -86,7 +90,7 @@ Ces distributions sont **exécutées dans la mémoire RAM**. La seule façon de [https://github.com/Claudio-C/awesome-data-sanitization](https://github.com/Claudio-C/awesome-data-sanitization) -# Configuration de Windows +# Configuration Windows Il est possible de désactiver plusieurs méthodes de journalisation de Windows pour rendre l'investigation forensique beaucoup plus difficile. @@ -103,62 +107,63 @@ La désactivation de UserAssist nécessite deux étapes : Cela enregistrera des informations sur les applications exécutées dans le but d'améliorer les performances du système Windows. Cependant, cela peut également être utile pour les pratiques forensiques. -* Exécuter `regedit` -* Sélectionner le chemin du fichier `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\Memory Management\PrefetchParameters` -* Clic droit sur à la fois `EnablePrefetcher` et `EnableSuperfetch` -* Sélectionner Modifier sur chacun d'eux pour changer la valeur de 1 (ou 3) à 0 -* Redémarrer +* Exécutez `regedit` +* Sélectionnez le chemin du fichier `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\Memory Management\PrefetchParameters` +* Cliquez avec le bouton droit sur `EnablePrefetcher` et `EnableSuperfetch` +* Sélectionnez Modifier sur chacun d'eux pour changer la valeur de 1 (ou 3) à 0 +* Redémarrez ## Désactiver les horodatages - Heure de dernier accès Chaque fois qu'un dossier est ouvert à partir d'un volume NTFS sur un serveur Windows NT, le système prend le temps de **mettre à jour un champ d'horodatage sur chaque dossier répertorié**, appelé l'heure de dernier accès. Sur un volume NTFS très utilisé, cela peut affecter les performances. -1. Ouvrir l'Éditeur du Registre (Regedit.exe). -2. Naviguer jusqu'à `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem`. -3. Rechercher `NtfsDisableLastAccessUpdate`. S'il n'existe pas, ajouter ce DWORD et définir sa valeur sur 1, ce qui désactivera le processus. -4. Fermer l'Éditeur du Registre et redémarrer le serveur. - +1. Ouvrez l'Éditeur du Registre (Regedit.exe). +2. Accédez à `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem`. +3. Recherchez `NtfsDisableLastAccessUpdate`. S'il n'existe pas, ajoutez ce DWORD et définissez sa valeur sur 1, ce qui désactivera le processus. +4. Fermez l'Éditeur du Registre et redémarrez le serveur. ## Supprimer l'historique USB -Toutes les **entrées de périphériques USB** sont stockées dans le Registre Windows sous la clé de registre **USBSTOR** qui contient des sous-clés créées chaque fois que vous branchez un périphérique USB sur votre PC ou ordinateur portable. Vous pouvez trouver cette clé ici H`KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR`. **En supprimant cela**, vous supprimerez l'historique USB.\ -Vous pouvez également utiliser l'outil [**USBDeview**](https://www.nirsoft.net/utils/usb\_devices\_view.html) pour vous assurer que vous les avez supprimés (et pour les supprimer). +Toutes les **entrées de périphériques USB** sont stockées dans le Registre Windows sous la clé de registre **USBSTOR** qui contient des sous-clés créées chaque fois que vous branchez un périphérique USB sur votre PC ou ordinateur portable. Vous pouvez trouver cette clé ici `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR`. En **supprimant cela**, vous supprimerez l'historique USB.\ +Vous pouvez également utiliser l'outil [**USBDeview**](https://www.nirsoft.net/utils/usb\_devices\_view.html) pour vous assurer de les avoir supprimés (et pour les supprimer). Un autre fichier qui enregistre des informations sur les clés USB est le fichier `setupapi.dev.log` à l'intérieur de `C:\Windows\INF`. Celui-ci devrait également être supprimé. ## Désactiver les copies d'ombre **Listez** les copies d'ombre avec `vssadmin list shadowstorage`\ -**Supprimez**-les en exécutant `vssadmin delete shadow` +**Supprimez** les en exécutant `vssadmin delete shadow` Vous pouvez également les supprimer via l'interface graphique en suivant les étapes proposées dans [https://www.ubackup.com/windows-10/how-to-delete-shadow-copies-windows-10-5740.html](https://www.ubackup.com/windows-10/how-to-delete-shadow-copies-windows-10-5740.html) Pour désactiver les copies d'ombre [étapes à partir d'ici](https://support.waters.com/KB_Inf/Other/WKB15560_How_to_disable_Volume_Shadow_Copy_Service_VSS_in_Windows): -1. Ouvrir le programme Services en tapant "services" dans la zone de recherche de texte après avoir cliqué sur le bouton Démarrer de Windows. -2. Dans la liste, trouvez "Volume Shadow Copy", sélectionnez-le, puis accédez aux Propriétés en cliquant avec le bouton droit. +1. Ouvrez le programme Services en tapant "services" dans la zone de recherche de texte après avoir cliqué sur le bouton Démarrer de Windows. +2. Dans la liste, trouvez "Copie d'ombre de volume", sélectionnez-le, puis accédez aux Propriétés en cliquant avec le bouton droit. 3. Choisissez Désactivé dans le menu déroulant "Type de démarrage", puis confirmez le changement en cliquant sur Appliquer et OK. Il est également possible de modifier la configuration des fichiers qui vont être copiés dans la copie d'ombre dans le registre `HKLM\SYSTEM\CurrentControlSet\Control\BackupRestore\FilesNotToSnapshot` ## Écraser les fichiers supprimés -* Vous pouvez utiliser un **outil Windows** : `cipher /w:C` Cela indiquera à cipher de supprimer toutes les données de l'espace disque inutilisé disponible dans le lecteur C. +* Vous pouvez utiliser un **outil Windows**: `cipher /w:C` Cela indiquera à cipher de supprimer toutes les données de l'espace disque inutilisé disponible dans le lecteur C. * Vous pouvez également utiliser des outils comme [**Eraser**](https://eraser.heidi.ie) ## Supprimer les journaux d'événements Windows -* Windows + R --> eventvwr.msc --> Développer "Journaux Windows" --> Clic droit sur chaque catégorie et sélectionner "Effacer le journal" +* Windows + R --> eventvwr.msc --> Développez "Journaux Windows" --> Cliquez avec le bouton droit sur chaque catégorie et sélectionnez "Effacer le journal" * `for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"` * `Get-EventLog -LogName * | ForEach { Clear-EventLog $_.Log }` ## Désactiver les journaux d'événements Windows * `reg add 'HKLM\SYSTEM\CurrentControlSet\Services\eventlog' /v Start /t REG_DWORD /d 4 /f` -* À l'intérieur de la section des services, désactiver le service "Journal des événements Windows" +* À l'intérieur de la section des services, désactivez le service "Journal des événements Windows" * `WEvtUtil.exec clear-log` ou `WEvtUtil.exe cl` ## Désactiver $UsnJrnl * `fsutil usn deletejournal /d c:` - +
+ +{% embed url="https://websec.nl/" %} diff --git a/forensics/basic-forensic-methodology/windows-forensics/README.md b/forensics/basic-forensic-methodology/windows-forensics/README.md index 69ec89ce2..2b0bbc41b 100644 --- a/forensics/basic-forensic-methodology/windows-forensics/README.md +++ b/forensics/basic-forensic-methodology/windows-forensics/README.md @@ -4,7 +4,7 @@
-Apprenez le piratage AWS de zéro à héros avec htARTE (Expert en équipe rouge AWS HackTricks)! +Apprenez le piratage AWS de zéro à héros avec htARTE (Expert en équipe rouge AWS de HackTricks)! Autres façons de soutenir HackTricks : @@ -12,10 +12,14 @@ Autres façons de soutenir HackTricks : * Obtenez le [**swag officiel PEASS & HackTricks**](https://peass.creator-spring.com) * Découvrez [**La famille PEASS**](https://opensea.io/collection/the-peass-family), notre collection exclusive de [**NFTs**](https://opensea.io/collection/the-peass-family) * **Rejoignez le** 💬 [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe Telegram**](https://t.me/peass) ou **suivez-nous** sur **Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.** -* **Partagez vos astuces de piratage en soumettant des PR aux** [**HackTricks**](https://github.com/carlospolop/hacktricks) et [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos. +* **Partagez vos astuces de piratage en soumettant des PR aux** [**HackTricks**](https://github.com/carlospolop/hacktricks) et [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) dépôts GitHub.
+
+ +{% embed url="https://websec.nl/" %} + ## Artefacts Windows Génériques ### Notifications Windows 10 @@ -30,9 +34,9 @@ La chronologie est une caractéristique de Windows qui fournit un **historique c La base de données se trouve dans le chemin `\Users\\AppData\Local\ConnectedDevicesPlatform\\ActivitiesCache.db`. Cette base de données peut être ouverte avec un outil SQLite ou avec l'outil [**WxTCmd**](https://github.com/EricZimmerman/WxTCmd) **qui génère 2 fichiers pouvant être ouverts avec l'outil** [**TimeLine Explorer**](https://ericzimmerman.github.io/#!index.md). -### Flux de données alternatifs (ADS) +### ADS (Flux de données alternatifs) -Les fichiers téléchargés peuvent contenir la **zone ADS (Alternate Data Streams)** indiquant **comment** il a été **téléchargé** depuis l'intranet, Internet, etc. Certains logiciels (comme les navigateurs) mettent généralement **encore plus** **d'informations** comme l'**URL** à partir de laquelle le fichier a été téléchargé. +Les fichiers téléchargés peuvent contenir la **Zone.Identifier ADS** indiquant **comment** il a été **téléchargé** depuis l'intranet, Internet, etc. Certains logiciels (comme les navigateurs) mettent généralement **encore plus** **d'informations** comme l'**URL** à partir de laquelle le fichier a été téléchargé. ## **Sauvegardes de fichiers** @@ -72,11 +76,11 @@ Le registre `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS` contient ### Fichiers Office AutoSaved -Vous pouvez trouver les fichiers autosauvegardés d'Office dans : `C:\Usuarios\\AppData\Roaming\Microsoft{Excel|Word|Powerpoint}\` +Vous pouvez trouver les fichiers autosauvegardés de bureau dans : `C:\Usuarios\\AppData\Roaming\Microsoft{Excel|Word|Powerpoint}\` ## Éléments de Shell -Un élément de shell est un élément qui contient des informations sur la manière d'accéder à un autre fichier. +Un élément de shell est un élément qui contient des informations sur la façon d'accéder à un autre fichier. ### Documents récents (LNK) @@ -118,7 +122,7 @@ Les **jumplists** créés automatiquement sont stockés dans `C:\Users\{username Les jumplists personnalisés sont stockés dans `C:\Users\{username}\AppData\Roaming\Microsoft\Windows\Recent\CustomDestination\` et sont créés par l'application généralement parce que quelque chose d'**important** s'est produit avec le fichier (peut-être marqué comme favori). -Le **temps de création** de toute jumplist indique **la première fois que le fichier a été consulté** et le **temps de modification la dernière fois**. +L'**heure de création** de toute jumplist indique **la première fois que le fichier a été consulté** et l'**heure de modification la dernière fois**. Vous pouvez inspecter les jumplists en utilisant [**JumplistExplorer**](https://ericzimmerman.github.io/#!index.md). @@ -132,7 +136,7 @@ Vous pouvez inspecter les jumplists en utilisant [**JumplistExplorer**](https:// ## Utilisation des clés USB Windows -Il est possible d'identifier l'utilisation d'un périphérique USB grâce à la création de : +Il est possible d'identifier qu'un périphérique USB a été utilisé grâce à la création de : * Dossier récent de Windows * Dossier récent de Microsoft Office @@ -142,11 +146,11 @@ Notez que certains fichiers LNK, au lieu de pointer vers le chemin d'origine, po ![](<../../../.gitbook/assets/image (476).png>) -Les fichiers dans le dossier WPDNSE sont une copie des fichiers originaux, ils ne survivront donc pas à un redémarrage du PC et le GUID est extrait d'un shellbag. +Les fichiers dans le dossier WPDNSE sont une copie des fichiers originaux, ils ne survivront donc pas à un redémarrage du PC et le GUID est pris à partir d'un shellbag. ### Informations du Registre -[Consultez cette page pour en savoir plus](interesting-windows-registry-keys.md#usb-information) sur les clés de registre contenant des informations intéressantes sur les périphériques USB connectés. +[Vérifiez cette page pour en savoir plus](interesting-windows-registry-keys.md#usb-information) sur les clés de registre contenant des informations intéressantes sur les périphériques USB connectés. ### setupapi @@ -162,28 +166,28 @@ Consultez le fichier `C:\Windows\inf\setupapi.dev.log` pour obtenir les horodata ### Nettoyage Plug and Play -La tâche planifiée connue sous le nom de 'Nettoyage Plug and Play' est principalement conçue pour supprimer les versions obsolètes des pilotes. Contrairement à son objectif spécifié de conserver la dernière version du package de pilotes, des sources en ligne suggèrent qu'elle cible également les pilotes inactifs depuis 30 jours. Par conséquent, les pilotes des périphériques amovibles non connectés au cours des 30 derniers jours peuvent être supprimés. +La tâche planifiée connue sous le nom de 'Nettoyage Plug and Play' est principalement conçue pour la suppression des versions de pilotes obsolètes. Contrairement à son objectif spécifié de conserver la dernière version du package de pilotes, des sources en ligne suggèrent qu'elle cible également les pilotes inactifs depuis 30 jours. Par conséquent, les pilotes des périphériques amovibles non connectés au cours des 30 derniers jours peuvent être supprimés. La tâche est située dans le chemin suivant : `C:\Windows\System32\Tasks\Microsoft\Windows\Plug and Play\Plug and Play Cleanup`. -Une capture d'écran du contenu de la tâche est fournie : +Une capture d'écran illustrant le contenu de la tâche est fournie : ![](https://2.bp.blogspot.com/-wqYubtuR_W8/W19bV5S9XyI/AAAAAAAANhU/OHsBDEvjqmg9ayzdNwJ4y2DKZnhCdwSMgCLcBGAs/s1600/xml.png) **Composants clés et paramètres de la tâche :** - **pnpclean.dll** : Cette DLL est responsable du processus de nettoyage réel. - **UseUnifiedSchedulingEngine** : Défini sur `TRUE`, indiquant l'utilisation du moteur de planification de tâches générique. - **MaintenanceSettings** : -- **Période ('P1M')** : Indique au Planificateur de tâches de lancer la tâche de nettoyage mensuellement pendant la maintenance automatique régulière. -- **Date limite ('P2M')** : Instruit le Planificateur de tâches, si la tâche échoue pendant deux mois consécutifs, d'exécuter la tâche pendant la maintenance automatique d'urgence. +- **Période ('P1M')** : Indique au Planificateur de tâches de lancer la tâche de nettoyage mensuellement lors de la maintenance automatique régulière. +- **Date limite ('P2M')** : Instruit le Planificateur de tâches, si la tâche échoue pendant deux mois consécutifs, d'exécuter la tâche lors de la maintenance automatique d'urgence. -Cette configuration garantit une maintenance régulière et un nettoyage des pilotes, avec des dispositions pour réessayer la tâche en cas d'échecs consécutifs. +Cette configuration garantit une maintenance régulière et un nettoyage des pilotes, avec des dispositions pour retenter la tâche en cas d'échecs consécutifs. **Pour plus d'informations, consultez :** [**https://blog.1234n6.com/2018/07/windows-plug-and-play-cleanup.html**](https://blog.1234n6.com/2018/07/windows-plug-and-play-cleanup.html) ## Emails -Les emails contiennent **2 parties intéressantes : Les en-têtes et le contenu** de l'email. Dans les **en-têtes**, vous pouvez trouver des informations telles que : +Les emails contiennent **2 parties intéressantes : les en-têtes et le contenu** de l'email. Dans les **en-têtes**, vous pouvez trouver des informations telles que : * **Qui** a envoyé les emails (adresse e-mail, IP, serveurs de messagerie ayant redirigé l'e-mail) * **Quand** l'e-mail a été envoyé @@ -219,35 +223,34 @@ Le chemin du registre `HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVer Vous pouvez ouvrir le fichier PST en utilisant l'outil [**Kernel PST Viewer**](https://www.nucleustechnologies.com/es/visor-de-pst.html). ![](<../../../.gitbook/assets/image (485).png>) - ### Fichiers OST de Microsoft Outlook -Un fichier **OST** est généré par Microsoft Outlook lorsqu'il est configuré avec un serveur **IMAP** ou **Exchange**, stockant des informations similaires à un fichier PST. Ce fichier est synchronisé avec le serveur, conservant les données des **12 derniers mois** jusqu'à une **taille maximale de 50 Go**, et est situé dans le même répertoire que le fichier PST. Pour visualiser un fichier OST, le [**Visionneur OST Kernel**](https://www.nucleustechnologies.com/ost-viewer.html) peut être utilisé. +Un fichier **OST** est généré par Microsoft Outlook lorsqu'il est configuré avec un serveur **IMAP** ou **Exchange**, stockant des informations similaires à un fichier PST. Ce fichier est synchronisé avec le serveur, conservant les données des **12 derniers mois** jusqu'à une **taille maximale de 50 Go**, et est situé dans le même répertoire que le fichier PST. Pour visualiser un fichier OST, le [**visualiseur OST Kernel**](https://www.nucleustechnologies.com/ost-viewer.html) peut être utilisé. -### Récupération des Pièces Jointes +### Récupération des pièces jointes -Les pièces jointes perdues peuvent être récupérées à partir de : +Les pièces jointes perdues peuvent être récupérées depuis : - Pour **IE10** : `%APPDATA%\Local\Microsoft\Windows\Temporary Internet Files\Content.Outlook` - Pour **IE11 et versions ultérieures** : `%APPDATA%\Local\Microsoft\InetCache\Content.Outlook` -### Fichiers MBOX de Thunderbird +### Fichiers MBOX Thunderbird **Thunderbird** utilise des fichiers **MBOX** pour stocker des données, situés dans `\Users\%USERNAME%\AppData\Roaming\Thunderbird\Profiles`. -### Miniatures d'Images +### Miniatures d'images -- **Windows XP et 8-8.1** : L'accès à un dossier avec des miniatures génère un fichier `thumbs.db` stockant des aperçus d'images, même après suppression. +- **Windows XP et 8-8.1** : L'accès à un dossier avec des miniatures génère un fichier `thumbs.db` stockant des aperçus d'images, même après leur suppression. - **Windows 7/10** : `thumbs.db` est créé lors de l'accès via un réseau via un chemin UNC. - **Windows Vista et versions ultérieures** : Les aperçus des miniatures sont centralisés dans `%userprofile%\AppData\Local\Microsoft\Windows\Explorer` avec des fichiers nommés **thumbcache\_xxx.db**. [**Thumbsviewer**](https://thumbsviewer.github.io) et [**ThumbCache Viewer**](https://thumbcacheviewer.github.io) sont des outils pour visualiser ces fichiers. ### Informations du Registre Windows -Le Registre Windows, stockant des données étendues sur l'activité du système et de l'utilisateur, est contenu dans des fichiers dans : +Le Registre Windows, stockant des données étendues sur l'activité du système et de l'utilisateur, est contenu dans des fichiers situés dans : - `%windir%\System32\Config` pour diverses sous-clés `HKEY_LOCAL_MACHINE`. - `%UserProfile%{User}\NTUSER.DAT` pour `HKEY_CURRENT_USER`. -- Windows Vista et les versions ultérieures sauvegardent les fichiers de registre `HKEY_LOCAL_MACHINE` dans `%Windir%\System32\Config\RegBack\`. +- Les versions de Windows Vista et ultérieures sauvegardent les fichiers de registre `HKEY_LOCAL_MACHINE` dans `%Windir%\System32\Config\RegBack\`. - De plus, les informations sur l'exécution des programmes sont stockées dans `%UserProfile%\{User}\AppData\Local\Microsoft\Windows\USERCLASS.DAT` à partir de Windows Vista et de Windows 2008 Server. ### Outils @@ -256,42 +259,42 @@ Certains outils sont utiles pour analyser les fichiers de registre : * **Éditeur de Registre** : Il est installé dans Windows. C'est une interface graphique pour naviguer dans le registre Windows de la session en cours. * [**Explorateur de Registre**](https://ericzimmerman.github.io/#!index.md) : Il vous permet de charger le fichier de registre et de naviguer à travers eux avec une interface graphique. Il contient également des signets mettant en évidence les clés contenant des informations intéressantes. -* [**RegRipper**](https://github.com/keydet89/RegRipper3.0) : Encore une fois, il possède une interface graphique qui permet de naviguer dans le registre chargé et contient également des plugins mettant en évidence des informations intéressantes à l'intérieur du registre chargé. -* [**Windows Registry Recovery**](https://www.mitec.cz/wrr.html) : Une autre application GUI capable d'extraire les informations importantes du registre chargé. +* [**RegRipper**](https://github.com/keydet89/RegRipper3.0) : Encore une fois, il dispose d'une interface graphique qui permet de naviguer dans le registre chargé et contient également des plugins mettant en évidence des informations intéressantes dans le registre chargé. +* [**Windows Registry Recovery**](https://www.mitec.cz/wrr.html) : Une autre application graphique capable d'extraire les informations importantes du registre chargé. -### Récupération d'un Élément Supprimé +### Récupération d'un élément supprimé Lorsqu'une clé est supprimée, elle est marquée comme telle, mais tant que l'espace qu'elle occupe n'est pas nécessaire, elle ne sera pas supprimée. Par conséquent, en utilisant des outils comme **Registry Explorer**, il est possible de récupérer ces clés supprimées. -### Dernière Heure d'Écriture +### Heure de dernière écriture -Chaque clé-valeur contient un **horodatage** indiquant la dernière fois qu'elle a été modifiée. +Chaque clé-valeur contient une **horodatage** indiquant la dernière fois qu'elle a été modifiée. ### SAM -Le fichier/base de registre **SAM** contient les **utilisateurs, groupes et mots de passe des utilisateurs** du système. +Le fichier/hive **SAM** contient les **utilisateurs, groupes et mots de passe des utilisateurs** du système. -Dans `SAM\Domains\Account\Users`, vous pouvez obtenir le nom d'utilisateur, le RID, la dernière connexion, la dernière tentative de connexion échouée, le compteur de connexion, la politique de mot de passe et la date de création du compte. Pour obtenir les **hashes**, vous avez également **besoin** du fichier/base de registre **SYSTEM**. +Dans `SAM\Domains\Account\Users`, vous pouvez obtenir le nom d'utilisateur, le RID, la dernière connexion, la dernière tentative de connexion échouée, le compteur de connexion, la politique de mot de passe et la date de création du compte. Pour obtenir les **hashes**, vous avez également **besoin** du fichier/hive **SYSTEM**. -### Entrées Intéressantes dans le Registre Windows +### Entrées intéressantes dans le Registre Windows {% content-ref url="interesting-windows-registry-keys.md" %} [interesting-windows-registry-keys.md](interesting-windows-registry-keys.md) {% endcontent-ref %} -## Programmes Exécutés +## Programmes exécutés -### Processus de Base de Windows +### Processus Windows de base Dans [cet article](https://jonahacks.medium.com/investigating-common-windows-processes-18dee5f97c1d), vous pouvez en apprendre davantage sur les processus Windows courants pour détecter les comportements suspects. -### Applications Récentes Windows +### Applications récentes Windows Dans le registre `NTUSER.DAT` dans le chemin `Software\Microsoft\Current Version\Search\RecentApps`, vous pouvez trouver des sous-clés avec des informations sur l'**application exécutée**, la **dernière fois** qu'elle a été exécutée et le **nombre de fois** qu'elle a été lancée. -### BAM (Modérateur d'Activité en Arrière-Plan) +### BAM (Modérateur d'activité en arrière-plan) -Vous pouvez ouvrir le fichier `SYSTEM` avec un éditeur de registre et à l'intérieur du chemin `SYSTEM\CurrentControlSet\Services\bam\UserSettings\{SID}`, vous pouvez trouver des informations sur les **applications exécutées par chaque utilisateur** (notez le `{SID}` dans le chemin) et à **quelle heure** elles ont été exécutées (l'heure est à l'intérieur de la valeur de données du registre). +Vous pouvez ouvrir le fichier `SYSTEM` avec un éditeur de registre et dans le chemin `SYSTEM\CurrentControlSet\Services\bam\UserSettings\{SID}`, vous pouvez trouver des informations sur les **applications exécutées par chaque utilisateur** (notez le `{SID}` dans le chemin) et à **quelle heure** elles ont été exécutées (l'heure est à l'intérieur de la valeur de données du registre). ### Préchargement Windows @@ -299,9 +302,9 @@ Le préchargement est une technique qui permet à un ordinateur de **récupérer Le préchargement Windows consiste à créer des **caches des programmes exécutés** pour pouvoir les charger plus rapidement. Ces caches sont créés sous forme de fichiers `.pf` dans le chemin : `C:\Windows\Prefetch`. Il y a une limite de 128 fichiers dans XP/VISTA/WIN7 et 1024 fichiers dans Win8/Win10. -Le nom du fichier est créé sous la forme `{nom_du_programme}-{hash}.pf` (le hash est basé sur le chemin et les arguments de l'exécutable). Dans W10, ces fichiers sont compressés. Notez que la seule présence du fichier indique que **le programme a été exécuté** à un moment donné. +Le nom de fichier est créé sous la forme `{nom_du_programme}-{hash}.pf` (le hash est basé sur le chemin et les arguments de l'exécutable). Dans W10, ces fichiers sont compressés. Notez que la seule présence du fichier indique que **le programme a été exécuté** à un moment donné. -Le fichier `C:\Windows\Prefetch\Layout.ini` contient les **noms des dossiers des fichiers préchargés**. Ce fichier contient des informations sur le **nombre d'exécutions**, les **dates** de l'exécution et les **fichiers** **ouverts** par le programme. +Le fichier `C:\Windows\Prefetch\Layout.ini` contient les **noms des dossiers des fichiers préchargés**. Ce fichier contient des **informations sur le nombre d'exécutions**, les **dates** de l'exécution et les **fichiers** **ouverts** par le programme. Pour inspecter ces fichiers, vous pouvez utiliser l'outil [**PEcmd.exe**](https://github.com/EricZimmerman/PECmd): ```bash @@ -314,7 +317,7 @@ Pour inspecter ces fichiers, vous pouvez utiliser l'outil [**PEcmd.exe**](https: **Superprefetch** a le même objectif que prefetch, **charger les programmes plus rapidement** en prédisant ce qui va être chargé ensuite. Cependant, il ne remplace pas le service prefetch.\ Ce service générera des fichiers de base de données dans `C:\Windows\Prefetch\Ag*.db`. -Dans ces bases de données, vous pouvez trouver le **nom** du **programme**, le **nombre** d'**exécutions**, les **fichiers** **ouverts**, le **volume** **accédé**, le **chemin** **complet**, les **plages** **horaires** et les **horodatages**. +Dans ces bases de données, vous pouvez trouver le **nom** du **programme**, le **nombre** d'**exécutions**, les **fichiers** **ouverts**, le **volume** **accédé**, le **chemin** **complet**, les **plages horaires** et les **horodatages**. Vous pouvez accéder à ces informations en utilisant l'outil [**CrowdResponse**](https://www.crowdstrike.com/resources/community-tools/crowdresponse/). @@ -340,7 +343,7 @@ Vous pouvez obtenir les données de ce fichier en utilisant l'outil [**srum\_dum ``` ### AppCompatCache (ShimCache) -Le **AppCompatCache**, également connu sous le nom de **ShimCache**, fait partie de la **Base de données de compatibilité des applications** développée par **Microsoft** pour résoudre les problèmes de compatibilité des applications. Ce composant système enregistre divers éléments de métadonnées de fichiers, qui incluent : +Le **AppCompatCache**, également connu sous le nom de **ShimCache**, fait partie de la **Base de données de compatibilité des applications** développée par **Microsoft** pour résoudre les problèmes de compatibilité des applications. Ce composant système enregistre divers éléments de métadonnées de fichiers, qui comprennent : - Chemin complet du fichier - Taille du fichier @@ -359,7 +362,7 @@ Pour analyser les informations stockées, l'outil [**AppCompatCacheParser**](htt ### Amcache -Le fichier **Amcache.hve** est essentiellement une ruche de registre qui enregistre des détails sur les applications qui ont été exécutées sur un système. Il se trouve généralement à `C:\Windows\AppCompat\Programas\Amcache.hve`. +Le fichier **Amcache.hve** est essentiellement une ruche de registre qui enregistre des détails sur les applications qui ont été exécutées sur un système. Il est généralement situé à `C:\Windows\AppCompat\Programas\Amcache.hve`. Ce fichier est remarquable pour stocker des enregistrements de processus récemment exécutés, y compris les chemins vers les fichiers exécutables et leurs hachages SHA1. Ces informations sont inestimables pour suivre l'activité des applications sur un système. @@ -367,7 +370,7 @@ Pour extraire et analyser les données de **Amcache.hve**, l'outil [**AmcachePar ```bash AmcacheParser.exe -f C:\Users\genericUser\Desktop\Amcache.hve --csv C:\Users\genericUser\Desktop\outputFolder ``` -Parmi les fichiers CSV générés, le fichier `Amcache_Unassociated file entries` est particulièrement remarquable en raison des informations détaillées qu'il fournit sur les entrées de fichiers non associées. +Parmi les fichiers CSV générés, le fichier `Entrées de fichiers non associées Amcache` est particulièrement remarquable en raison des informations détaillées qu'il fournit sur les entrées de fichiers non associées. Le fichier CSV le plus intéressant généré est le `Amcache_Unassociated file entries`. @@ -415,11 +418,11 @@ Ils peuvent être visualisés à partir de l'Observateur d'événements Windows Les événements d'accès sont enregistrés dans le fichier de configuration de sécurité situé à `C:\Windows\System32\winevt\Security.evtx`. La taille de ce fichier est ajustable et lorsque sa capacité est atteinte, les événements plus anciens sont écrasés. Les événements enregistrés incluent les connexions et déconnexions d'utilisateurs, les actions des utilisateurs, les modifications des paramètres de sécurité, ainsi que l'accès aux fichiers, dossiers et ressources partagées. -### Principaux ID d'événements pour l'authentification des utilisateurs : +### Principaux ID d'événement pour l'authentification utilisateur : - **ID d'événement 4624** : Indique qu'un utilisateur s'est authentifié avec succès. - **ID d'événement 4625** : Signale un échec d'authentification. -- **ID d'événements 4634/4647** : Représentent les événements de déconnexion d'utilisateurs. +- **ID d'événements 4634/4647** : Représentent les événements de déconnexion d'utilisateur. - **ID d'événement 4672** : Indique une connexion avec des privilèges administratifs. #### Sous-types dans l'ID d'événement 4634/4647 : @@ -432,7 +435,7 @@ Les événements d'accès sont enregistrés dans le fichier de configuration de - **Déverrouillage (7)** : Écran déverrouillé avec un mot de passe. - **Réseau en clair (8)** : Transmission de mot de passe en clair, souvent depuis IIS. - **Nouvelles informations d'identification (9)** : Utilisation de différentes informations d'identification pour l'accès. -- **Interactif à distance (10)** : Connexion à distance via le bureau à distance ou les services de terminal. +- **Interactif à distance (10)** : Connexion à distance via bureau à distance ou services de terminal. - **Interactif mis en cache (11)** : Connexion avec des informations d'identification mises en cache sans contact avec le contrôleur de domaine. - **Interactif à distance mis en cache (12)** : Connexion à distance avec des informations d'identification mises en cache. - **Déverrouillage mis en cache (13)** : Déverrouillage avec des informations d'identification mises en cache. @@ -440,8 +443,8 @@ Les événements d'accès sont enregistrés dans le fichier de configuration de #### Codes d'état et de sous-état pour l'ID d'événement 4625 : - **0xC0000064** : Le nom d'utilisateur n'existe pas - pourrait indiquer une attaque d'énumération de noms d'utilisateur. -- **0xC000006A** : Nom d'utilisateur correct mais mauvais mot de passe - Tentative de deviner ou de forcer le mot de passe. -- **0xC0000234** : Compte utilisateur verrouillé - Peut suivre une attaque par force brute entraînant plusieurs échecs de connexion. +- **0xC000006A** : Nom d'utilisateur correct mais mauvais mot de passe - Tentative de deviner ou de forcer un mot de passe. +- **0xC0000234** : Compte utilisateur verrouillé - Peut suivre une attaque par force brute entraînant de multiples échecs de connexion. - **0xC0000072** : Compte désactivé - Tentatives non autorisées d'accéder à des comptes désactivés. - **0xC000006F** : Connexion en dehors des heures autorisées - Indique des tentatives d'accès en dehors des heures de connexion définies, un signe possible d'accès non autorisé. - **0xC0000070** : Violation des restrictions de poste de travail - Pourrait être une tentative de connexion depuis un emplacement non autorisé. @@ -449,7 +452,7 @@ Les événements d'accès sont enregistrés dans le fichier de configuration de - **0xC0000071** : Mot de passe expiré - Tentatives de connexion avec des mots de passe obsolètes. - **0xC0000133** : Problèmes de synchronisation de l'heure - De grands écarts de temps entre le client et le serveur peuvent indiquer des attaques plus sophistiquées comme le pass-the-ticket. - **0xC0000224** : Changement de mot de passe obligatoire - Des changements obligatoires fréquents pourraient suggérer une tentative de déstabilisation de la sécurité du compte. -- **0xC0000225** : Indique un bug système plutôt qu'un problème de sécurité. +- **0xC0000225** : Indique un bogue système plutôt qu'un problème de sécurité. - **0xC000015b** : Type de connexion refusé - Tentative d'accès avec un type de connexion non autorisé, comme un utilisateur essayant d'exécuter une connexion de service. #### ID d'événement 4616 : @@ -459,41 +462,35 @@ Les événements d'accès sont enregistrés dans le fichier de configuration de - **Démarrage et arrêt du système** : L'ID d'événement 6005 indique le démarrage du système, tandis que l'ID d'événement 6006 marque son arrêt. #### ID d'événement 1102 : -- **Suppression de journal** : Les journaux de sécurité sont effacés, ce qui est souvent un indicateur pour dissimuler des activités illicites. +- **Suppression de journal** : Les journaux de sécurité sont effacés, ce qui est souvent un indicateur de dissimulation d'activités illicites. #### ID d'événements pour le suivi des périphériques USB : - **20001 / 20003 / 10000** : Première connexion du périphérique USB. - **10100** : Mise à jour du pilote USB. - **ID d'événement 112** : Heure d'insertion du périphérique USB. +#### Événements de mise sous tension du système -Pour des exemples pratiques sur la simulation de ces types de connexion et les opportunités de récupération d'informations d'identification, consultez le guide détaillé d'Altered Security. +L'EventID 6005 indique le démarrage du système, tandis que l'EventID 6006 marque l'arrêt. -Les détails des événements, y compris les codes d'état et de sous-état, fournissent des informations supplémentaires sur les causes des événements, particulièrement remarquables dans l'ID d'événement 4625. +#### Suppression de journaux -### Récupération des événements Windows +L'EventID 1102 de sécurité signale la suppression des journaux, un événement critique pour l'analyse forensique. -Pour augmenter les chances de récupérer des événements Windows supprimés, il est conseillé d'éteindre l'ordinateur suspect en le débranchant directement. **Bulk_extractor**, un outil de récupération spécifiant l'extension `.evtx`, est recommandé pour tenter de récupérer de tels événements. +
-### Identification des attaques courantes via les événements Windows +{% embed url="https://websec.nl/" %} -Pour un guide complet sur l'utilisation des ID d'événements Windows pour identifier les attaques cybernétiques courantes, consultez Red Team Recipe. -#### Attaques par force brute +
-Identifiables par de multiples enregistrements d'ID d'événement 4625, suivis d'un ID d'événement 4624 si l'attaque réussit. +Apprenez le piratage AWS de zéro à héros avec htARTE (HackTricks AWS Red Team Expert)! -#### Changement d'heure +Autres façons de soutenir HackTricks: -Enregistré par l'ID d'événement 4616, les changements d'heure système peuvent compliquer l'analyse forensique. +* Si vous souhaitez voir votre **entreprise annoncée dans HackTricks** ou **télécharger HackTricks en PDF**, consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop)! +* Obtenez le [**swag officiel PEASS & HackTricks**](https://peass.creator-spring.com) +* Découvrez [**The PEASS Family**](https://opensea.io/collection/the-peass-family), notre collection exclusive de [**NFTs**](https://opensea.io/collection/the-peass-family) +* **Rejoignez** 💬 le groupe [**Discord**](https://discord.gg/hRep4RUj7f) ou le groupe [**telegram**](https://t.me/peass) ou **suivez-nous** sur **Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.** +* **Partagez vos astuces de piratage en soumettant des PR aux** [**HackTricks**](https://github.com/carlospolop/hacktricks) et [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos. -#### Suivi des périphériques USB - -Les ID d'événements système utiles pour le suivi des périphériques USB incluent 20001/20003/10000 pour une utilisation initiale, 10100 pour les mises à jour des pilotes, et l'ID d'événement 112 de DeviceSetupManager pour les horodatages d'insertion. - -#### Événements d'alimentation du système - -L'ID d'événement 6005 indique le démarrage du système, tandis que l'ID d'événement 6006 marque l'arrêt. - -#### Suppression de journal - -L'ID d'événement de sécurité 1102 signale la suppression des journaux, un événement critique pour l'analyse forensique. +
diff --git a/generic-methodologies-and-resources/basic-forensic-methodology/image-acquisition-and-mount.md b/generic-methodologies-and-resources/basic-forensic-methodology/image-acquisition-and-mount.md index a35ff1937..57d72d1b7 100644 --- a/generic-methodologies-and-resources/basic-forensic-methodology/image-acquisition-and-mount.md +++ b/generic-methodologies-and-resources/basic-forensic-methodology/image-acquisition-and-mount.md @@ -2,7 +2,7 @@
-Apprenez le piratage AWS de zéro à héros avec htARTE (Expert de l'équipe rouge AWS de HackTricks)! +Apprenez le piratage AWS de zéro à héros avec htARTE (Expert en équipe rouge AWS de HackTricks)! * Travaillez-vous dans une **entreprise de cybersécurité**? Voulez-vous voir votre **entreprise annoncée dans HackTricks**? ou voulez-vous avoir accès à la **dernière version du PEASS ou télécharger HackTricks en PDF**? Consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop)! * Découvrez [**La famille PEASS**](https://opensea.io/collection/the-peass-family), notre collection exclusive de [**NFTs**](https://opensea.io/collection/the-peass-family) @@ -12,6 +12,10 @@
+
+ +{% embed url="https://websec.nl/" %} + ## Acquisition ### DD @@ -27,13 +31,13 @@ dcfldd if=/dev/sdc of=/media/usb/pc.image hash=sha256 hashwindow=1M hashlog=/med ``` ### FTK Imager -Vous pouvez [**télécharger FTK Imager ici**](https://accessdata.com/product-download/debian-and-ubuntu-x64-3-1-1). +Vous pouvez [**télécharger FTK Imager à partir d'ici**](https://accessdata.com/product-download/debian-and-ubuntu-x64-3-1-1). ```bash ftkimager /dev/sdb evidence --e01 --case-number 1 --evidence-number 1 --description 'A description' --examiner 'Your name' ``` ### EWF -Vous pouvez générer une image de disque en utilisant les [**outils ewf**](https://github.com/libyal/libewf). +Vous pouvez générer une image disque en utilisant les [**outils ewf**](https://github.com/libyal/libewf). ```bash ewfacquire /dev/sdb #Name: evidence @@ -67,7 +71,17 @@ mount evidence.img /mnt ``` ### EWF -### EWF +#### Acquisition + +The first step in the forensic process is to acquire the image. This can be done using various tools and methods, such as `dcfldd`, `dc3dd`, `dd`, `dcfldd`, `dc3dd`, `dd`, etc. One of the most common methods is to use the Expert Witness Format (EWF) to acquire the image. EWF is a file format that stores disk images, and it has become a standard in the forensic community. + +To acquire an image using EWF, you can use the `ewfacquire` tool. This tool creates a series of 2GB "segment" files that store the image data. Once the acquisition is complete, you can then use the `ewfmount` tool to mount the EWF image and access its contents. + +#### Mounting + +Mounting the EWF image allows you to access the contents of the image without modifying the original data. This is useful for performing analysis and investigation on the image without altering any evidence. + +To mount an EWF image, you can use the `ewfmount` tool. This tool creates a virtual disk device that represents the EWF image, allowing you to access its contents as if it were a physical disk. Once you have finished your analysis, you can unmount the image using the `ewfumount` tool. ```bash #Get file type file evidence.E01 @@ -102,18 +116,22 @@ Disk identifier: 0x00495395 Device Boot Start End Sectors Size Id Type disk.img1 2048 208895 206848 101M 1 FAT12 ``` -Notez que la taille du secteur est de **512** et le début est de **2048**. Ensuite, montez l'image comme ceci : +Notez que la taille du secteur est de **512** et que le début est de **2048**. Ensuite, montez l'image comme ceci : ```bash mount disk.img /mnt -o ro,offset=$((2048*512)) ``` +
+ +{% embed url="https://websec.nl/" %} +
-Apprenez le piratage AWS de zéro à héros avec htARTE (Expert de l'équipe rouge AWS de HackTricks)! +Apprenez le piratage AWS de zéro à héros avec htARTE (HackTricks AWS Red Team Expert)! * Travaillez-vous dans une **entreprise de cybersécurité**? Voulez-vous voir votre **entreprise annoncée dans HackTricks**? ou voulez-vous avoir accès à la **dernière version du PEASS ou télécharger HackTricks en PDF**? Consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop)! * Découvrez [**La famille PEASS**](https://opensea.io/collection/the-peass-family), notre collection exclusive de [**NFTs**](https://opensea.io/collection/the-peass-family) * Obtenez le [**swag officiel PEASS & HackTricks**](https://peass.creator-spring.com) * **Rejoignez le** [**💬**](https://emojipedia.org/speech-balloon/) [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe Telegram**](https://t.me/peass) ou **suivez** moi sur **Twitter** 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.** -* **Partagez vos astuces de piratage en soumettant des PR aux dépôts [hacktricks](https://github.com/carlospolop/hacktricks) et [hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**. +* **Partagez vos astuces de piratage en soumettant des PR au [dépôt hacktricks](https://github.com/carlospolop/hacktricks) et au [dépôt hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.
diff --git a/generic-methodologies-and-resources/pentesting-network/glbp-and-hsrp-attacks.md b/generic-methodologies-and-resources/pentesting-network/glbp-and-hsrp-attacks.md index 572e246b0..0070cb368 100644 --- a/generic-methodologies-and-resources/pentesting-network/glbp-and-hsrp-attacks.md +++ b/generic-methodologies-and-resources/pentesting-network/glbp-and-hsrp-attacks.md @@ -2,61 +2,65 @@
-Apprenez le piratage AWS de zéro à héros avec htARTE (Expert Red Team AWS de HackTricks)! +Apprenez le piratage AWS de zéro à héros avec htARTE (Expert en équipe rouge AWS de HackTricks)! -Autres façons de soutenir HackTricks: +Autres façons de soutenir HackTricks : -* Si vous souhaitez voir votre **entreprise annoncée dans HackTricks** ou **télécharger HackTricks en PDF** Consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop)! +* Si vous souhaitez voir votre **entreprise annoncée dans HackTricks** ou **télécharger HackTricks en PDF**, consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop) ! * Obtenez le [**swag officiel PEASS & HackTricks**](https://peass.creator-spring.com) -* Découvrez [**La Famille PEASS**](https://opensea.io/collection/the-peass-family), notre collection exclusive de [**NFTs**](https://opensea.io/collection/the-peass-family) -* **Rejoignez le** 💬 [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe telegram**](https://t.me/peass) ou **suivez-nous** sur **Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.** -* **Partagez vos astuces de piratage en soumettant des PR aux** [**HackTricks**](https://github.com/carlospolop/hacktricks) et [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) dépôts github. +* Découvrez [**La famille PEASS**](https://opensea.io/collection/the-peass-family), notre collection exclusive de [**NFTs**](https://opensea.io/collection/the-peass-family) +* **Rejoignez le** 💬 [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe Telegram**](https://t.me/peass) ou **suivez-nous** sur **Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.** +* **Partagez vos astuces de piratage en soumettant des PR aux** [**HackTricks**](https://github.com/carlospolop/hacktricks) et [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
+
-## Aperçu du Détournement FHRP +{% embed url="https://websec.nl/" %} + + +## Aperçu du détournement FHRP ### Informations sur FHRP FHRP est conçu pour fournir une robustesse réseau en fusionnant plusieurs routeurs en une seule unité virtuelle, améliorant ainsi la distribution de charge et la tolérance aux pannes. Cisco Systems a introduit des protocoles importants dans cette suite, tels que GLBP et HSRP. -### Informations sur le Protocole GLBP -La création de Cisco, GLBP, fonctionne sur la pile TCP/IP, utilisant UDP sur le port 3222 pour la communication. Les routeurs dans un groupe GLBP échangent des paquets "hello" à des intervalles de 3 secondes. Si un routeur ne parvient pas à envoyer ces paquets pendant 10 secondes, il est présumé hors ligne. Cependant, ces temporisateurs ne sont pas fixes et peuvent être modifiés. +### Informations sur le protocole GLBP +La création de Cisco, GLBP, fonctionne sur la pile TCP/IP, utilisant UDP sur le port 3222 pour la communication. Les routeurs dans un groupe GLBP échangent des paquets "hello" à des intervalles de 3 secondes. Si un routeur ne parvient pas à envoyer ces paquets pendant 10 secondes, il est présumé hors ligne. Cependant, ces minuteries ne sont pas fixes et peuvent être modifiées. -### Opérations et Distribution de Charge GLBP +### Opérations GLBP et distribution de charge GLBP se distingue en permettant la distribution de charge entre les routeurs en utilisant une seule adresse IP virtuelle couplée à plusieurs adresses MAC virtuelles. Dans un groupe GLBP, chaque routeur participe à la transmission des paquets. Contrairement à HSRP/VRRP, GLBP offre un véritable équilibrage de charge grâce à plusieurs mécanismes : -- **Équilibrage de Charge Dépendant de l'Hôte :** Maintient l'attribution d'adresse MAC AVF cohérente à un hôte, essentiel pour des configurations NAT stables. -- **Équilibrage de Charge Round-Robin :** L'approche par défaut, alternant l'attribution d'adresse MAC AVF parmi les hôtes demandeurs. -- **Équilibrage de Charge Pondéré Round-Robin :** Distribue la charge en fonction de métriques "Poids" prédéfinies. +- **Équilibrage de charge dépendant de l'hôte :** Maintient l'attribution d'adresse MAC AVF cohérente à un hôte, essentiel pour des configurations NAT stables. +- **Équilibrage de charge en round-robin :** L'approche par défaut, alternant l'attribution d'adresse MAC AVF parmi les hôtes demandeurs. +- **Équilibrage de charge pondéré en round-robin :** Distribue la charge en fonction de métriques de "Poids" prédéfinies. -### Composants Clés et Terminologies dans GLBP -- **AVG (Passerelle Virtuelle Active) :** Le routeur principal, responsable de l'attribution des adresses MAC aux routeurs pairs. -- **AVF (Transmetteur Virtuel Actif) :** Un routeur désigné pour gérer le trafic réseau. +### Composants clés et terminologies dans GLBP +- **AVG (Passerelle virtuelle active) :** Le routeur principal, responsable de l'attribution des adresses MAC aux routeurs pairs. +- **AVF (Transmetteur virtuel actif) :** Un routeur désigné pour gérer le trafic réseau. - **Priorité GLBP :** Une métrique qui détermine l'AVG, commençant par une valeur par défaut de 100 et allant de 1 à 255. -- **Poids GLBP :** Reflète la charge actuelle sur un routeur, ajustable manuellement ou via le Suivi d'Objet. -- **Adresse IP Virtuelle GLBP :** Sert de passerelle par défaut du réseau pour tous les appareils connectés. +- **Poids GLBP :** Reflète la charge actuelle sur un routeur, ajustable manuellement ou via le suivi d'objets. +- **Adresse IP virtuelle GLBP :** Sert de passerelle par défaut du réseau pour tous les appareils connectés. Pour les interactions, GLBP utilise l'adresse multicast réservée 224.0.0.102 et le port UDP 3222. Les routeurs transmettent des paquets "hello" à des intervalles de 3 secondes et sont considérés comme non opérationnels si un paquet est manqué pendant une durée de 10 secondes. -### Mécanisme d'Attaque GLBP -Un attaquant peut devenir le routeur principal en envoyant un paquet GLBP avec la valeur de priorité la plus élevée (255). Cela peut entraîner des attaques de DoS ou MITM, permettant l'interception ou la redirection du trafic. +### Mécanisme d'attaque GLBP +Un attaquant peut devenir le routeur principal en envoyant un paquet GLBP avec la valeur de priorité la plus élevée (255). Cela peut entraîner des attaques de déni de service ou de l'homme du milieu, permettant l'interception ou la redirection du trafic. -### Exécution d'une Attaque GLBP avec Loki -[Loki](https://github.com/raizo62/loki_on_kali) peut effectuer une attaque GLBP en injectant un paquet avec une priorité et un poids définis à 255. Les étapes préalables à l'attaque impliquent la collecte d'informations telles que l'adresse IP virtuelle, la présence d'authentification et les valeurs de priorité du routeur en utilisant des outils comme Wireshark. +### Exécution d'une attaque GLBP avec Loki +[Loki](https://github.com/raizo62/loki_on_kali) peut effectuer une attaque GLBP en injectant un paquet avec une priorité et un poids définis à 255. Les étapes préalables à l'attaque consistent à recueillir des informations telles que l'adresse IP virtuelle, la présence d'authentification et les valeurs de priorité du routeur à l'aide d'outils comme Wireshark. -Étapes de l'Attaque : -1. Passer en mode promiscuité et activer le transfert IP. +Étapes de l'attaque : +1. Passer en mode promiscuous et activer le transfert IP. 2. Identifier le routeur cible et récupérer son IP. -3. Générer une ARP Gratuite. +3. Générer une ARP gratuit. 4. Injecter un paquet GLBP malveillant, en se faisant passer pour l'AVG. 5. Attribuer une adresse IP secondaire à l'interface réseau de l'attaquant, reflétant l'adresse IP virtuelle GLBP. -6. Mettre en place SNAT pour une visibilité totale du trafic. -7. Ajuster le routage pour garantir un accès internet continu via le routeur AVG d'origine. +6. Mettre en œuvre SNAT pour une visibilité totale du trafic. +7. Ajuster le routage pour garantir un accès continu à Internet via le routeur AVG d'origine. -En suivant ces étapes, l'attaquant se positionne en tant que "homme du milieu", capable d'intercepter et d'analyser le trafic réseau, y compris les données non chiffrées ou sensibles. +En suivant ces étapes, l'attaquant se positionne en tant qu'"homme du milieu", capable d'intercepter et d'analyser le trafic réseau, y compris les données non chiffrées ou sensibles. -Pour une démonstration, voici les extraits de commandes requis: +Pour la démonstration, voici les extraits de commandes requis: ```bash # Enable promiscuous mode and IP forwarding sudo ip link set eth0 promisc on @@ -70,23 +74,23 @@ sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE sudo route del default sudo route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.10.100.100 ``` -### Explication passive du détournement de HSRP avec détails des commandes +### Explication passive du détournement de HSRP avec Détails des Commandes #### Aperçu de HSRP (Protocole de redondance/de routeur en veille active) HSRP est un protocole propriétaire de Cisco conçu pour la redondance de passerelle réseau. Il permet la configuration de plusieurs routeurs physiques en une seule unité logique avec une adresse IP partagée. Cette unité logique est gérée par un routeur principal responsable de la direction du trafic. Contrairement à GLBP, qui utilise des métriques comme la priorité et le poids pour l'équilibrage de charge, HSRP repose sur un seul routeur actif pour la gestion du trafic. -#### Rôles et terminologie dans HSRP -- **Routeur actif HSRP**: Le dispositif agissant en tant que passerelle, gérant le flux de trafic. -- **Routeur en veille HSRP**: Un routeur de secours, prêt à prendre le relais si le routeur actif tombe en panne. +#### Rôles et Terminologie dans HSRP +- **Routeur Actif HSRP**: Le dispositif agissant en tant que passerelle, gérant le flux de trafic. +- **Routeur Standby HSRP**: Un routeur de secours, prêt à prendre le relais si le routeur actif échoue. - **Groupe HSRP**: Un ensemble de routeurs collaborant pour former un seul routeur virtuel résilient. - **Adresse MAC HSRP**: Une adresse MAC virtuelle attribuée au routeur logique dans la configuration HSRP. -- **Adresse IP virtuelle HSRP**: L'adresse IP virtuelle du groupe HSRP, agissant en tant que passerelle par défaut pour les appareils connectés. +- **Adresse IP Virtuelle HSRP**: L'adresse IP virtuelle du groupe HSRP, agissant en tant que passerelle par défaut pour les appareils connectés. #### Versions de HSRP HSRP existe en deux versions, HSRPv1 et HSRPv2, différant principalement en capacité de groupe, utilisation d'IP multicast et structure d'adresse MAC virtuelle. Le protocole utilise des adresses IP multicast spécifiques pour l'échange d'informations de service, avec des paquets Hello envoyés toutes les 3 secondes. Un routeur est considéré comme inactif s'il ne reçoit aucun paquet dans un intervalle de 10 secondes. #### Mécanisme d'attaque HSRP -Les attaques HSRP impliquent de prendre de force le rôle du routeur actif en injectant une valeur de priorité maximale. Cela peut entraîner une attaque de l'homme du milieu (MITM). Les étapes essentielles avant l'attaque incluent la collecte de données sur la configuration HSRP, ce qui peut être fait en utilisant Wireshark pour l'analyse du trafic. +Les attaques HSRP impliquent de prendre de force le rôle du Routeur Actif en injectant une valeur de priorité maximale. Cela peut entraîner une attaque de l'Homme du Milieu (MITM). Les étapes essentielles préalables à l'attaque incluent la collecte de données sur la configuration HSRP, ce qui peut être fait en utilisant Wireshark pour l'analyse du trafic. #### Étapes pour contourner l'authentification HSRP 1. Enregistrer le trafic réseau contenant des données HSRP dans un fichier .pcap. @@ -110,13 +114,13 @@ john --wordlist=mywordlist.txt hsrp_hashes sudo ip link set eth0 promisc on sudo sysctl -w net.ipv4.ip_forward=1 ``` -3. Utiliser Loki pour cibler le routeur spécifique, entrer le mot de passe HSRP cassé et effectuer les configurations nécessaires pour se faire passer pour le routeur actif. -4. Après avoir obtenu le rôle de routeur actif, configurer votre interface réseau et les tables IP pour intercepter le trafic légitime. +3. Utiliser Loki pour cibler le routeur spécifique, entrer le mot de passe HSRP cassé et effectuer les configurations nécessaires pour se faire passer pour le Routeur Actif. +4. Après avoir obtenu le rôle de Routeur Actif, configurer votre interface réseau et les tables IP pour intercepter le trafic légitime. ```shell sudo ifconfig eth0:1 10.10.100.254 netmask 255.255.255.0 sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE ``` -5. Modifier la table de routage pour router le trafic à travers l'ancien routeur actif. +5. Modifier la table de routage pour router le trafic à travers l'ancien Routeur Actif. ```shell sudo route del default sudo route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.10.100.100 diff --git a/generic-methodologies-and-resources/pentesting-network/nmap-summary-esp.md b/generic-methodologies-and-resources/pentesting-network/nmap-summary-esp.md index 2cb1c1a5a..0d41e588f 100644 --- a/generic-methodologies-and-resources/pentesting-network/nmap-summary-esp.md +++ b/generic-methodologies-and-resources/pentesting-network/nmap-summary-esp.md @@ -4,15 +4,19 @@ Apprenez le piratage AWS de zéro à héros avec htARTE (HackTricks AWS Red Team Expert)! -Autres façons de soutenir HackTricks: +Autres façons de soutenir HackTricks : -* Si vous souhaitez voir votre **entreprise annoncée dans HackTricks** ou **télécharger HackTricks en PDF**, consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop)! +* Si vous souhaitez voir votre **entreprise annoncée dans HackTricks** ou **télécharger HackTricks en PDF**, consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop) ! * Obtenez le [**swag officiel PEASS & HackTricks**](https://peass.creator-spring.com) -* Découvrez [**La famille PEASS**](https://opensea.io/collection/the-peass-family), notre collection exclusive de [**NFT**](https://opensea.io/collection/the-peass-family) +* Découvrez [**La famille PEASS**](https://opensea.io/collection/the-peass-family), notre collection exclusive de [**NFTs**](https://opensea.io/collection/the-peass-family) * **Rejoignez le** 💬 [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe Telegram**](https://t.me/peass) ou **suivez-nous** sur **Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.** * **Partagez vos astuces de piratage en soumettant des PR aux** [**HackTricks**](https://github.com/carlospolop/hacktricks) et [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) dépôts GitHub. + +
+ +{% embed url="https://websec.nl/" %} ``` nmap -sV -sC -O -n -oA nmapscan 192.168.0.1/24 ``` @@ -21,80 +25,79 @@ nmap -sV -sC -O -n -oA nmapscan 192.168.0.1/24 ### Adresses IP à scanner * **`,`:** Indique les adresses IP directement -* **`-iL `:** liste_IPs +* **`-iL `:** list\_IPs * **`-iR `**: Nombre d'adresses IP aléatoires, vous pouvez exclure des adresses IP possibles avec `--exclude ` ou `--excludefile `. -### Découverte d'équipements +### Découverte d'équipement Par défaut, Nmap lance une phase de découverte composée de: `-PA80 -PS443 -PE -PP` -* **`-sL`**: Non invasif, liste les cibles en effectuant des requêtes **DNS** pour résoudre les noms. Utile pour savoir, par exemple, si www.prueba.es/24 toutes les adresses IP sont nos cibles. -* **`-Pn`**: **Pas de ping**. Utile si vous savez qu'elles sont toutes actives (sinon, vous pourriez perdre beaucoup de temps, mais cette option produit également des faux négatifs en indiquant qu'elles ne sont pas actives), cela empêche la phase de découverte. +* **`-sL`**: Non invasif, liste les cibles en effectuant des requêtes **DNS** pour résoudre les noms. Utile pour savoir, par exemple, si www.prueba.es/24 contient toutes les adresses IP de nos cibles. +* **`-Pn`**: **Pas de ping**. Utile si vous savez qu'elles sont toutes actives (sinon, vous pourriez perdre beaucoup de temps, mais cette option peut également produire des faux négatifs en indiquant qu'elles ne sont pas actives), cela empêche la phase de découverte. * **`-sn`** : **Pas de scan de port**. Après avoir terminé la phase de reconnaissance, il ne scanne pas les ports. C'est relativement discret et permet un petit scan réseau. Avec des privilèges, il envoie un ACK (-PA) à 80, un SYN(-PS) à 443 et une demande d'écho et une demande de timestamp, sans privilèges, il termine toujours les connexions. Si la cible est le réseau, il utilise uniquement ARP(-PR). S'il est utilisé avec une autre option, seuls les paquets de l'autre option sont abandonnés. -* **`-PR`**: **Ping ARP**. Utilisé par défaut lors de l'analyse des ordinateurs de notre réseau, c'est plus rapide que d'utiliser des pings. Si vous ne voulez pas utiliser de paquets ARP, utilisez `--send-ip`. -* **`-PS `**: Envoie des paquets SYN auxquels s'il répond SYN/ACK, il est ouvert (s'il répond avec RST pour ne pas terminer la connexion), s'il répond RST, il est fermé et s'il ne répond pas, il est injoignable. En cas de manque de privilèges, une connexion totale est automatiquement utilisée. Si aucun port n'est donné, il l'envoie à 80. +* **`-PR`**: **Ping ARP**. Utilisé par défaut lors de l'analyse des ordinateurs de notre réseau, plus rapide que d'utiliser des pings. Si vous ne voulez pas utiliser de paquets ARP, utilisez `--send-ip`. +* **`-PS `**: Envoie des paquets SYN auxquels s'il répond SYN/ACK, le port est ouvert (s'il répond avec RST pour ne pas terminer la connexion), s'il répond RST, le port est fermé et s'il ne répond pas, il est injoignable. En cas de manque de privilèges, une connexion totale est automatiquement utilisée. S'il n'y a pas de ports donnés, il les envoie à 80. * **`-PA `**: Comme le précédent mais avec ACK, la combinaison des deux donne de meilleurs résultats. -* **`-PU `**: L'objectif est inverse, ils sont envoyés aux ports qui sont censés être fermés. Certains pare-feu ne vérifient que les connexions TCP. S'il est fermé, il répond avec un port injoignable, s'il répond avec un autre icmp ou s'il ne répond pas, il est laissé comme destination injoignable. +* **`-PU `**: L'objectif est inverse, ils sont envoyés à des ports censés être fermés. Certains pare-feu ne vérifient que les connexions TCP. S'il est fermé, il répond avec port inaccessible, s'il répond avec un autre icmp ou ne répond pas, il est laissé comme inaccessible. * **`-PE, -PP, -PM`** : PINGS ICMP: réponse d'écho, timestamp et masque d'adresse. Ils sont lancés pour savoir si la cible est active. -* **`-PY`**: Envoie des sondes SCTP INIT à 80 par défaut, INIT-ACK(ouvert) ou ABORT(fermé) ou rien ou ICMP injoignable(inactif) peuvent être répondu. -* **`-PO `**: Un protocole est indiqué dans les en-têtes, par défaut 1(ICMP), 2(IGMP) et 4(Encap IP). Pour les protocoles ICMP, IGMP, TCP (6) et UDP (17), les en-têtes de protocole sont envoyés, pour le reste seul l'en-tête IP est envoyé. Le but de ceci est que en raison de la malformation des en-têtes, le protocole injoignable ou les réponses du même protocole sont répondues pour savoir s'il est actif. +* **`-PY`**: Envoie des sondes SCTP INIT à 80 par défaut, INIT-ACK(ouvert) ou ABORT(fermé) ou rien ou ICMP injoignable(inactif) peuvent être renvoyés. +* **`-PO `**: Un protocole est indiqué dans les en-têtes, par défaut 1(ICMP), 2(IGMP) et 4(Encap IP). Pour les protocoles ICMP, IGMP, TCP (6) et UDP (17), les en-têtes de protocole sont envoyés, pour le reste seul l'en-tête IP est envoyé. Le but est que en raison de la malformation des en-têtes, une réponse de Protocole injoignable ou des réponses du même protocole sont renvoyées pour savoir s'il est actif. * **`-n`**: Pas de DNS * **`-R`**: Toujours DNS -### Techniques de scan de ports +### Techniques de scan de port * **`-sS`**: Ne complète pas la connexion donc ne laisse aucune trace, très bon s'il peut être utilisé. (privilèges) C'est celui utilisé par défaut. * **`-sT`**: Complète la connexion, donc laisse une trace, mais peut être utilisé en toute sécurité. Par défaut sans privilèges. -* **`-sU`**: Plus lent, pour UDP. Principalement: DNS(53), SNMP(161,162), DHCP(67 et 68), (-sU53,161,162,67,68): ouvert(réponse), fermé(port injoignable), filtré (autre ICMP), ouvert/filtré (rien). En cas d'ouvert/filtré, -sV envoie de nombreuses requêtes pour détecter l'une des versions prises en charge par nmap et peut détecter le véritable état. Cela augmente considérablement le temps. +* **`-sU`**: Plus lent, pour l'UDP. Principalement: DNS(53), SNMP(161,162), DHCP(67 et 68), (-sU53,161,162,67,68): ouvert(réponse), fermé(port injoignable), filtré (un autre ICMP), ouvert/filtré (rien). En cas d'ouvert/filtré, -sV envoie de nombreuses requêtes pour détecter l'une des versions prises en charge par nmap et peut détecter le véritable état. Cela augmente considérablement le temps. * **`-sY`**: Le protocole SCTP échoue à établir la connexion, donc il n'y a pas de journaux, fonctionne comme -PY -* **`-sN,-sX,-sF`:** Null, Fin, Xmas, ils peuvent pénétrer certains pare-feu et extraire des informations. Ils sont basés sur le fait que les machines conformes aux normes doivent répondre avec RST à toutes les demandes qui n'ont pas de drapeaux SYN, RST ou ACK levés: ouvert/filtré(rien), fermé(RST), filtré (ICMP injoignable). Peu fiable sur Windows, CIsco, BSDI et OS/400. Sur Unix oui. +* **`-sN,-sX,-sF`:** Null, Fin, Xmas, ils peuvent pénétrer certains pare-feu et extraire des informations. Ils sont basés sur le fait que les machines conformes aux normes devraient répondre avec RST à toutes les demandes qui n'ont pas de drapeaux SYN, RST ou ACK levés: ouvert/filtré(rien), fermé(RST), filtré (ICMP injoignable). Peu fiable sur Windows, Cisco, BSDI et OS/400. Sur Unix oui. * **`-sM`**: Scan Maimon: Envoie des drapeaux FIN et ACK, utilisé pour BSD, actuellement renverra tout comme fermé. -* **`-sA, sW`**: ACK et Window, est utilisé pour détecter les pare-feu, pour savoir si les ports sont filtrés ou non. Le -sW distingue entre ouvert/fermé car les ouverts répondent avec une valeur de fenêtre différente: ouvert (RST avec une fenêtre différente de 0), fermé (RST fenêtre = 0), filtré (ICMP injoignable ou rien). Tous les ordinateurs ne fonctionnent pas de cette manière, donc s'ils sont tous fermés, cela ne fonctionne pas, s'il y en a quelques-uns d'ouverts, cela fonctionne bien, et s'il y en a beaucoup d'ouverts et peu de fermés, cela fonctionne à l'envers. -* **`-sI`:** Scan en veille. Pour les cas où il y a un pare-feu actif mais que nous savons qu'il ne filtre pas vers une certaine adresse IP (ou lorsque nous voulons simplement rester anonymes), nous pouvons utiliser le scanner zombie (il fonctionne pour tous les ports), pour rechercher des zombies potentiels, nous pouvons utiliser le script ipidseq ou l'exploit auxiliary/scanner/ip/ipidseq. Ce scanner est basé sur le numéro IPID des paquets IP. +* **`-sA, sW`**: ACK et Window, est utilisé pour détecter les pare-feu, pour savoir si les ports sont filtrés ou non. Le -sW distingue entre ouvert/fermé car les ouverts répondent avec une valeur de fenêtre différente: ouvert (RST avec une fenêtre différente de 0), fermé (RST fenêtre = 0), filtré (ICMP injoignable ou rien). Tous les ordinateurs ne fonctionnent pas de cette manière, donc s'ils sont tous fermés, cela ne fonctionne pas, s'il y en a quelques-uns d'ouverts, cela fonctionne bien, et s'il y en a beaucoup d'ouverts et peu de fermés, cela fonctionne dans l'autre sens. +* **`-sI`:** Scan en veille. Pour les cas où il y a un pare-feu actif mais que nous savons qu'il ne filtre pas vers une certaine IP (ou lorsque nous voulons simplement rester anonymes), nous pouvons utiliser le scanner zombie (il fonctionne pour tous les ports), pour rechercher d'éventuels zombies, nous pouvons utiliser le script ipidseq ou l'exploit auxiliary/scanner/ip/ipidseq. Ce scanner est basé sur le numéro IPID des paquets IP. * **`--badsum`:** Il envoie la somme incorrecte, les ordinateurs rejetteraient les paquets, mais les pare-feu pourraient répondre quelque chose, il est utilisé pour détecter les pare-feu. -* **`-sZ`:** Scanner SCTP "bizarre", lors de l'envoi de sondes avec des fragments d'écho de cookie, ils devraient être abandonnés s'ils sont ouverts ou répondus avec ABORT s'ils sont fermés. Il peut passer à travers les pare-feu que l'init ne peut pas passer, le mauvais côté est qu'il ne distingue pas entre filtré et ouvert. -* **`-sO`:** Scan de protocole Ip. Envoie des en-têtes incorrects et vides dans lesquels parfois même le protocole ne peut pas être distingué. Si le protocole ICMP injoignable arrive, il est fermé, si le port injoignable arrive, il est ouvert, si une autre erreur arrive, filtré, s'il n'arrive rien, ouvert|filtré. -* **`-b `:** FTPhost--> Il est utilisé pour scanner un hôte à partir d'un autre, cela se fait en se connectant au ftp d'une autre machine et en lui demandant d'envoyer des fichiers aux ports que vous souhaitez scanner à partir d'une autre machine, selon les réponses, nous saurons s'ils sont ouverts ou non. \[\:\@]\\[:\] Presque tous les serveurs ftp ne vous permettent plus de le faire et donc c'est de peu d'utilité pratique. +* **`-sZ`:** Scanner SCTP "bizarre", lors de l'envoi de sondes avec des fragments d'écho de cookie, ils devraient être abandonnés s'ils sont ouverts ou répondus avec ABORT s'ils sont fermés. Il peut passer à travers les pare-feu que l'init ne peut pas traverser, le problème est qu'il ne distingue pas entre filtré et ouvert. +* **`-sO`:** Scan de protocole Ip. Envoie des en-têtes incorrects et vides dans lesquels parfois même le protocole ne peut pas être distingué. Si un protocole ICMP injoignable arrive, il est fermé, si un port injoignable arrive, il est ouvert, si une autre erreur arrive, filtré, si rien n'arrive, ouvert|filtré. +* **`-b `:** FTPhost--> Il est utilisé pour scanner un hôte à partir d'un autre, cela se fait en se connectant au ftp d'une autre machine et en lui demandant d'envoyer des fichiers aux ports que vous souhaitez scanner à partir d'une autre machine, selon les réponses, nous saurons s'ils sont ouverts ou non. \[\:\@]\\[:\] Presque tous les serveurs ftp ne vous permettent plus de le faire et donc il est de peu d'utilité pratique. -### **Analyse centrée** +### **Analyse centrale** -**-p:** Utilisé pour spécifier les ports à scanner. Pour sélectionner les 65335: **-p-** ou **-p all**. Nmap a une classification interne en fonction de sa popularité. Par défaut, il utilise les 1000 principaux. Avec **-F** (scan rapide), il analyse les 100 principaux. Avec **--top-ports \** Il analyse ce nombre de principaux (de 1 à 65335). Il vérifie les ports dans un ordre aléatoire, pour éviter cela **-r**. Vous pouvez également sélectionner des ports: 20-30,80,443,1024- Cela signifie qu'il regarde au-delà de 1024. Vous pouvez également regrouper les ports par protocoles: U:53,T:21-25,80,139,S:9. Vous pouvez également choisir une plage parmi les ports populaires de nmap: -p \[-1024] analyse jusqu'au 1024 inclus dans nmap-services. **--port-ratio \** Analyse les ports les plus courants selon un ratio qui doit être compris entre 0 et 1 +**-p:** Utilisé pour spécifier les ports à scanner. Pour sélectionner les 65335: **-p-** ou **-p all**. Nmap a une classification interne en fonction de sa popularité. Par défaut, il utilise les 1000 principaux. Avec **-F** (scan rapide), il analyse les 100 principaux. Avec **--top-ports \** Il analyse ce nombre de principaux (de 1 à 65335). Il vérifie les ports dans un ordre aléatoire, pour éviter cela **-r**. Vous pouvez également sélectionner des ports: 20-30,80,443,1024- Cela signifie qu'il vérifie à partir de 1024. Vous pouvez également regrouper les ports par protocoles: U:53,T:21-25,80,139,S:9. Vous pouvez également choisir une plage parmi les ports populaires de nmap: -p \[-1024] vérifie jusqu'au 1024 inclus dans nmap-services. **--port-ratio \** Analyse les ports les plus courants selon un ratio qui doit être compris entre 0 et 1 -**-sV** Analyse de version, l'intensité peut être réglée de 0 à 9, par défaut 7. +**-sV** Scan de version, l'intensité peut être réglée de 0 à 9, par défaut 7. -**--version-intensity \** Réglez l'intensité, de sorte que plus bas il ne lancera que les sondes les plus probables, mais pas toutes. Cela peut considérablement raccourcir le temps de scan UDP +**--version-intensity \** Réglez l'intensité, de sorte que plus elle est basse, plus elle ne lancera que les sondes les plus probables, mais pas toutes. Cela peut considérablement raccourcir le temps de scan UDP **-O** Détection d'OS -**--osscan-limit** Pour bien scanner un hôte, il faut au moins un port ouvert et un autre fermé, si cette condition n'est pas remplie et que vous avez activé ceci, il n'essaie pas de prédire l'OS (économise du temps) - -**--osscan-guess** Lorsque la détection d'OS n'est pas parfaite, cela le force à faire plus d'efforts +**--osscan-limit** Pour bien scanner un hôte, il faut qu'au moins un port soit ouvert et un autre fermé, si cette condition n'est pas remplie et que nous avons activé ceci, il n'essaie pas de prédire l'OS (économise du temps) +**--osscan-guess** Lorsque la détection d'OS n'est pas parfaite, cela force une analyse plus approfondie. **Scripts** \--script _\_|_\_|_\_|_\_\[,...] -Pour utiliser les scripts par défaut, il suffit de faire -sC ou --script=default +Pour utiliser ceux par défaut, utilisez -sC ou --script=default -Les types disponibles sont: auth, broadcast, default, discovery, dos, exploit, external, fuzzer, intrusive, malware, safe, version, et vuln +Les types disponibles sont : auth, broadcast, default, discovery, dos, exploit, external, fuzzer, intrusive, malware, safe, version, et vuln -* **Auth:** exécute tous ses _scripts_ disponibles pour l'authentification -* **Default:** exécute les _scripts_ de base par défaut de l'outil -* **Discovery:** récupère des informations sur la cible ou la victime -* **External:** _script_ pour utiliser des ressources externes -* **Intrusive:** utilise des _scripts_ considérés comme intrusifs pour la victime ou la cible -* **Malware:** vérifie s'il y a des connexions ouvertes par des codes malveillants ou des _backdoors_ -* **Safe:** exécute des _scripts_ qui ne sont pas intrusifs -* **Vuln:** découvre les vulnérabilités les plus connues -* **All:** exécute tous les _scripts_ avec l'extension NSE disponibles +* **Auth :** exécute tous les scripts disponibles pour l'authentification +* **Default :** exécute les scripts de base par défaut de l'outil +* **Discovery :** récupère des informations sur la cible +* **External :** scripts utilisant des ressources externes +* **Intrusive :** utilise des scripts considérés comme intrusifs pour la cible +* **Malware :** vérifie les connexions ouvertes pour les codes malveillants ou les backdoors +* **Safe :** exécute des scripts non intrusifs +* **Vuln :** découvre les vulnérabilités les plus connues +* **All :** exécute tous les scripts NSE disponibles -Pour rechercher des scripts: +Pour rechercher des scripts : **nmap --script-help="http-\*" -> Ceux commençant par http-** **nmap --script-help="not intrusive" -> Tous sauf ceux-là** -**nmap --script-help="default or safe" -> Ceux qui sont dans l'un ou l'autre ou dans les deux** +**nmap --script-help="default or safe" -> Ceux qui sont dans l'un ou l'autre ou les deux** **nmap --script-help="default and safe" --> Ceux qui sont dans les deux** @@ -106,41 +109,41 @@ Pour rechercher des scripts: \--script-help _\_|_\_|_\_|_\_|all\[,...] -\--script-trace ---> Fournit des informations sur le fonctionnement du script +\--script-trace ---> Fournit des informations sur l'exécution du script \--script-updatedb -**Pour utiliser un script, il suffit de taper: namp --script Nom_du_script cible** --> En spécifiant le script, le script et le scanner seront exécutés, vous pouvez donc également ajouter **“safe=1”** pour exécuter uniquement les scripts sûrs. +**Pour utiliser un script, il suffit de taper : nmap --script Nom_du_script cible** --> En spécifiant le script, à la fois le script et le scanner seront exécutés, donc des options du scanner peuvent également être ajoutées, on peut ajouter **"safe=1"** pour exécuter uniquement les scripts sûrs. **Contrôle du temps** -**Nmap peut modifier le temps en secondes, minutes, ms:** --host-timeout arguments 900000ms, 900, 900s, et 15m font tous la même chose. +**Nmap peut modifier le temps en secondes, minutes, ms :** --host-timeout arguments 900000ms, 900, 900s, et 15m font la même chose. -Nmap divise le nombre total d'hôtes à scanner en groupes et analyse ces groupes par blocs de sorte que tant que tous les hôtes n'ont pas été analysés, il ne passe pas au bloc suivant (et l'utilisateur ne reçoit aucune mise à jour tant que le bloc n'a pas été analysé) de cette manière, il est plus optimal pour nmap d'utiliser de grands groupes. Par défaut en classe C, il utilise 256. +Nmap divise le nombre total d'hôtes à scanner en groupes et analyse ces groupes par blocs, de sorte qu'il ne passe pas au bloc suivant (et l'utilisateur ne reçoit aucune mise à jour tant que le bloc n'a pas été analysé) avant que tous les hôtes n'aient été analysés, ce qui est plus efficace pour Nmap en utilisant de grands groupes. Par défaut, en classe C, il utilise 256. -Cela peut être modifié avec\*\*--min-hostgroup\*\* _**\**_**;** **--max-hostgroup** _**\**_ (Ajuster les tailles de groupe de scan parallèle) +Cela peut être modifié avec **--min-hostgroup** _**\**_**;** **--max-hostgroup** _**\**_ (Ajuster les tailles de groupe de scan parallèle) -Vous pouvez contrôler le nombre de scanners en parallèle mais il est préférable de ne pas le faire (nmap intègre déjà un contrôle automatique en fonction de l'état du réseau): **--min-parallelism** _**\**_**;** **--max-parallelism** _**\**_ +Le nombre de scanners parallèles peut être contrôlé mais il est préférable de ne pas le faire (Nmap intègre déjà un contrôle automatique en fonction de l'état du réseau) : **--min-parallelism** _**\**_**;** **--max-parallelism** _**\**_ -Vous pouvez contrôler le délai d'attente rtt, mais ce n'est généralement pas nécessaire: **--min-rtt-timeout** _**\