From 9ed15d4da5785c6914fe249dc781dfa294f7a0bd Mon Sep 17 00:00:00 2001 From: Translator Date: Thu, 2 May 2024 16:10:18 +0000 Subject: [PATCH] Translated ['binary-exploitation/rop-return-oriented-programing/ret2lib/ --- .../rop-leaking-libc-template.md | 33 +- .../anti-forensic-techniques.md | 95 +++- .../windows-forensics/README.md | 308 ++++++++++--- .../image-acquisition-and-mount.md | 46 +- .../glbp-and-hsrp-attacks.md | 54 +-- .../pentesting-network/nmap-summary-esp.md | 241 ++++++++++- .../phishing-methodology/clone-a-website.md | 34 +- .../sensitive-mounts.md | 77 ++-- .../macos-gatekeeper.md | 258 +++++------ .../content-protocol.md | 39 +- .../install-burp-certificate.md | 67 +-- .../android-app-pentesting/tapjacking.md | 52 ++- .../ios-pentesting/ios-uipasteboard.md | 62 +-- .../11211-memcache/memcache-commands.md | 91 ++-- .../4786-cisco-smart-install.md | 48 ++- network-services-pentesting/69-udp-tftp.md | 37 +- .../pentesting-rpcbind.md | 67 +-- network-services-pentesting/pentesting-sap.md | 91 ++-- .../pentesting-web/drupal.md | 88 ++-- .../pentesting-web/php-tricks-esp/README.md | 169 ++++---- .../pentesting-web/rocket-chat.md | 46 +- .../pentesting-web/vmware-esx-vcenter....md | 36 +- pentesting-web/cors-bypass.md | 180 ++++---- pentesting-web/dependency-confusion.md | 72 +++- pentesting-web/oauth-to-account-takeover.md | 123 +++--- pentesting-web/parameter-pollution.md | 56 ++- .../proxy-waf-protections-bypass.md | 31 +- pentesting-web/xxe-xee-xml-external-entity.md | 222 +++++----- todo/more-tools.md | 93 +++- .../flipper-zero/fz-125khz-rfid.md | 50 ++- .../abusing-ad-mssql.md | 69 ++- .../ad-certificates/domain-escalation.md | 405 ++++++++++++------ .../kerberos-double-hop-problem.md | 66 +-- .../active-directory-methodology/laps.md | 49 ++- .../over-pass-the-hash-pass-the-key.md | 41 +- .../resource-based-constrained-delegation.md | 70 +-- .../powerview.md | 39 +- 37 files changed, 2323 insertions(+), 1282 deletions(-) diff --git a/binary-exploitation/rop-return-oriented-programing/ret2lib/rop-leaking-libc-address/rop-leaking-libc-template.md b/binary-exploitation/rop-return-oriented-programing/ret2lib/rop-leaking-libc-address/rop-leaking-libc-template.md index 66a56f825..f57a565b7 100644 --- a/binary-exploitation/rop-return-oriented-programing/ret2lib/rop-leaking-libc-address/rop-leaking-libc-template.md +++ b/binary-exploitation/rop-return-oriented-programing/ret2lib/rop-leaking-libc-address/rop-leaking-libc-template.md @@ -2,18 +2,22 @@
-जानें AWS हैकिंग को शून्य से हीरो तक htARTE (HackTricks AWS Red Team Expert) के साथ! +जानें AWS हैकिंग को शून्य से हीरो तक htARTE (HackTricks AWS Red Team Expert) के साथ! HackTricks का समर्थन करने के अन्य तरीके: -* यदि आप अपनी **कंपनी का विज्ञापन HackTricks में देखना चाहते हैं** या **HackTricks को PDF में डाउनलोड करना चाहते हैं** तो [**सब्सक्रिप्शन प्लान्स**](https://github.com/sponsors/carlospolop) की जांच करें! -* [**आधिकारिक PEASS & HackTricks स्वैग**](https://peass.creator-spring.com) प्राप्त करें +* यदि आप चाहते हैं कि आपकी **कंपनी HackTricks में विज्ञापित हो** या **HackTricks को PDF में डाउनलोड करें** तो [**सब्सक्रिप्शन प्लान्स**](https://github.com/sponsors/carlospolop) देखें! +* [**आधिकारिक PEASS और HackTricks स्वैग**](https://peass.creator-spring.com) प्राप्त करें * हमारे विशेष [**NFTs**](https://opensea.io/collection/the-peass-family) कलेक्शन, [**The PEASS Family**](https://opensea.io/collection/the-peass-family) खोजें * **शामिल हों** 💬 [**डिस्कॉर्ड समूह**](https://discord.gg/hRep4RUj7f) या [**टेलीग्राम समूह**](https://t.me/peass) या हमें **ट्विटर** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)** पर फॉलो** करें। -* **हैकिंग ट्रिक्स साझा करें और PRs सबमिट करके** [**HackTricks**](https://github.com/carlospolop/hacktricks) और [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos में। +* **अपने हैकिंग ट्रिक्स साझा करें, PRs सबमिट करके** [**HackTricks**](https://github.com/carlospolop/hacktricks) और [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos में।
+
+ +{% embed url="https://websec.nl/" %} + {% code title="template.py" %} ```python from pwn import ELF, process, ROP, remote, ssh, gdb, cyclic, cyclic_find, log, p64, u64 # Import pwntools @@ -200,11 +204,11 @@ P.interactive() #Interact with your shell :) ``` {% endcode %} -## सामान्य समस्याएं +## सामान्य समस्याएँ -### MAIN_PLT = elf.symbols\['main'] नहीं मिला +### MAIN\_PLT = elf.symbols\['main'] नहीं मिला -यदि "main" प्रतीक मौजूद नहीं है (संभावना यह कि यह एक स्ट्रिप्ट बाइनरी है)। तो आप सीधे मुख्य कोड का पता लगा सकते हैं: +यदि "main" प्रतीक मौजूद नहीं है (संभावना ऐसा है क्योंकि यह एक स्ट्रिप्ट बाइनरी है)। तो आप बस यहाँ प्रमुख कोड कहाँ है वह खोज सकते हैं: ```python objdump -d vuln_binary | grep "\.text" Disassembly of section .text: @@ -216,26 +220,31 @@ MAIN_PLT = 0x401080 ``` ### Puts नहीं मिला -यदि बाइनरी Puts का उपयोग नहीं कर रहा है तो आपको **जांचना चाहिए कि क्या यह इस्तेमाल कर रहा है** +यदि बाइनरी Puts का उपयोग नहीं कर रहा है तो आपको **जांचना चाहिए कि क्या यह उपयोग कर रहा है** ### `sh: 1: %s%s%s%s%s%s%s%s: not found` यदि आप इस **त्रुटि** को पाते हैं जब आप **सभी** एक्सप्लॉइट बनाने के बाद: `sh: 1: %s%s%s%s%s%s%s%s: not found` -तो कोशिश करें कि आप **"/bin/sh" के पते में 64 बाइट कम करें**: +तो कोशिश करें कि **"/bin/sh" के पते में 64 बाइट कम करें**: ```python BINSH = next(libc.search("/bin/sh")) - 64 ``` +
+ +{% embed url="https://websec.nl/" %} + +
जानें AWS हैकिंग को शून्य से हीरो तक htARTE (HackTricks AWS Red Team Expert)! दूसरे तरीके HackTricks का समर्थन करने के लिए: -* अगर आप अपनी **कंपनी का विज्ञापन HackTricks में देखना चाहते हैं** या **HackTricks को PDF में डाउनलोड करना चाहते हैं** तो [**सब्सक्रिप्शन प्लान्स**](https://github.com/sponsors/carlospolop) देखें! +* अगर आप चाहते हैं कि आपकी **कंपनी HackTricks में विज्ञापित हो** या **HackTricks को PDF में डाउनलोड करें** तो [**सब्सक्रिप्शन प्लान्स**](https://github.com/sponsors/carlospolop) देखें! * [**आधिकारिक PEASS & HackTricks स्वैग**](https://peass.creator-spring.com) प्राप्त करें * हमारे विशेष [**NFTs**](https://opensea.io/collection/the-peass-family) कलेक्शन, [**The PEASS Family**](https://opensea.io/collection/the-peass-family) खोजें -* **शामिल हों** 💬 [**डिस्कॉर्ड समूह**](https://discord.gg/hRep4RUj7f) या [**टेलीग्राम समूह**](https://t.me/peass) या हमें **ट्विटर** पर **फॉलो** करें 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.** -* **अपने हैकिंग ट्रिक्स साझा करें, PRs सबमिट करके** [**HackTricks**](https://github.com/carlospolop/hacktricks) और [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos में। +* **शामिल हों** 💬 [**डिस्कॉर्ड समूह**](https://discord.gg/hRep4RUj7f) या [**टेलीग्राम समूह**](https://t.me/peass) या हमें **ट्विटर** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)** पर फॉलो** करें। +* **अपने हैकिंग ट्रिक्स साझा करें, HackTricks** और [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos में PRs सबमिट करके।
diff --git a/forensics/basic-forensic-methodology/anti-forensic-techniques.md b/forensics/basic-forensic-methodology/anti-forensic-techniques.md index e3f31c5a7..b9340c3c1 100644 --- a/forensics/basic-forensic-methodology/anti-forensic-techniques.md +++ b/forensics/basic-forensic-methodology/anti-forensic-techniques.md @@ -1,34 +1,38 @@
-जानें AWS हैकिंग को शून्य से हीरो तक htARTE (HackTricks AWS Red Team Expert)! +जानें AWS हैकिंग को शून्य से हीरो तक htARTE (HackTricks AWS Red Team Expert) के साथ! HackTricks का समर्थन करने के अन्य तरीके: -* यदि आप चाहते हैं कि आपकी **कंपनी HackTricks में विज्ञापित हो** या **HackTricks को PDF में डाउनलोड** करें तो [**सब्सक्रिप्शन प्लान**](https://github.com/sponsors/carlospolop) देखें! +* अगर आप अपनी कंपनी का विज्ञापन **HackTricks** में देखना चाहते हैं या **HackTricks को PDF में डाउनलोड** करना चाहते हैं तो [**सब्सक्रिप्शन प्लान**](https://github.com/sponsors/carlospolop) देखें! * [**आधिकारिक PEASS और HackTricks स्वैग**](https://peass.creator-spring.com) प्राप्त करें -* [**The PEASS Family**](https://opensea.io/collection/the-peass-family) की खोज करें, हमारा विशेष [**NFTs**](https://opensea.io/collection/the-peass-family) संग्रह -* **शामिल हों** 💬 [**डिस्कॉर्ड समूह**](https://discord.gg/hRep4RUj7f) या [**टेलीग्राम समूह**](https://t.me/peass) या हमें **ट्विटर** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)** पर **फॉलो** करें। -* **हैकिंग ट्रिक्स साझा करें द्वारा PRs सबमिट करके** [**HackTricks**](https://github.com/carlospolop/hacktricks) और [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos। +* हमारा संग्रह [**The PEASS Family**](https://opensea.io/collection/the-peass-family) खोजें, हमारा विशेष [**NFTs**](https://opensea.io/collection/the-peass-family) संग्रह +* **शामिल हों** 💬 [**डिस्कॉर्ड समूह**](https://discord.gg/hRep4RUj7f) या [**टेलीग्राम समूह**](https://t.me/peass) और हमें **ट्विटर** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)** पर फॉलो** करें। +* **हैकिंग ट्रिक्स साझा करें द्वारा PRs सबमिट करके** [**HackTricks**](https://github.com/carlospolop/hacktricks) और [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos में।
+
+ +{% embed url="https://websec.nl/" %} + # समय-चिह्न किसी हमलावर को **फ़ाइलों के समय-चिह्नों को बदलने** में दिलचस्पी हो सकती है।\ -एमएफटी में समय-चिह्नों को खोजना संभव है जो गुणों `$STANDARD_INFORMATION` __ और __ `$FILE_NAME` में हैं। +एमएफटी में समय-चिह्न ढूंढना संभव है जो गुणों `$STANDARD_INFORMATION` __ और __ `$FILE_NAME` में हैं। -दोनों गुणों में 4 समय-चिह्न होते हैं: **संशोधन**, **पहुंच**, **निर्माण**, और **MFT रजिस्ट्री संशोधन** (MACE या MACB)। +दोनों गुणों में 4 समय-चिह्न होते हैं: **संशोधन**, **पहुंच**, **निर्माण**, और **एमएफटी रजिस्ट्री संशोधन** (MACE या MACB)। **Windows एक्सप्लोरर** और अन्य उपकरण **`$STANDARD_INFORMATION`** से जानकारी दिखाते हैं। ## टाइमस्टॉम्प - एंटी-फोरेंसिक टूल -यह उपकरण **`$STANDARD_INFORMATION`** के भीतर समय-चिह्न जानकारी को **संशोधित** करता है **लेकिन** **`$FILE_NAME`** के भीतर जानकारी को **नहीं**। इसलिए, यह संदेहास्पद गतिविधि की पहचान करना संभव है। +यह उपकरण **`$STANDARD_INFORMATION`** के भीतर समय-चिह्न जानकारी को **संशोधित करता है** **लेकिन** **`$FILE_NAME`** के भीतर की जानकारी को **नहीं**। इसलिए, यह संदेहास्पद गतिविधि की पहचान करना संभव है। ## Usnjrnl -**USN जर्नल** (अपडेट सीक्वेंस नंबर जर्नल) NTFS (Windows NT फ़ाइल सिस्टम) की एक विशेषता है जो वॉल्यूम परिवर्तनों का पता रखता है। [**UsnJrnl2Csv**](https://github.com/jschicht/UsnJrnl2Csv) उपकरण इन परिवर्तनों का परीक्षण करने की अनुमति देता है। +**USN Journal** (अपडेट सीक्वेंस नंबर जर्नल) NTFS (Windows NT फ़ाइल सिस्टम) का एक विशेषता है जो वॉल्यूम परिवर्तनों का पता लगाता है। [**UsnJrnl2Csv**](https://github.com/jschicht/UsnJrnl2Csv) उपकरण इन परिवर्तनों का परीक्षण करने की अनुमति देता है। ![](<../../.gitbook/assets/image (449).png>) @@ -40,9 +44,9 @@ HackTricks का समर्थन करने के अन्य तरी ![](<../../.gitbook/assets/image (450).png>) -फिर, उपकरण के आउटपुट में देखा जा सकता है कि **कुछ परिवर्तन किए गए थे**। +फिर से, उपकरण के आउटपुट में देखा जा सकता है कि **कुछ परिवर्तन किए गए थे**। -एक ही उपकरण का उपयोग करके समय-चिह्नों को **किस समय संशोधित किया गया था** इसे पहचानना संभव है: +इसी उपकरण का उपयोग करके समय-चिह्नों को **किस समय संशोधित किया गया था** की पहचान करना संभव है: ![](<../../.gitbook/assets/image (451).png>) @@ -53,34 +57,34 @@ HackTricks का समर्थन करने के अन्य तरी ## `$STANDARD_INFORMATION` और `$FILE_NAME` तुलना -संदेहास्पद संशोधित फ़ाइलों की पहचान करने के लिए एक और तरीका हो सकता है जो दोनों गुणों पर समय की तुलना करता है और **असंगतियों** की तलाश करता है। +संदेहास्पद संशोधित फ़ाइलों की पहचान करने के लिए एक और तरीका होगा कि दोनों गुणों पर समय की तुलना करें और **मिलान** के लिए देखें **असंगतियाँ**। ## नैनोसेकंड **NTFS** समय-चिह्नों का एक **प्रेसिजन** है **100 नैनोसेकंड**। फिर, 2010-10-10 10:10:**00.000:0000 जैसे समय-चिह्न वाली फ़ाइलें खोजना बहुत संदेहास्पद है। -## SetMace - एंटी-फोरेंसिक उपकरण +## SetMace - एंटी-फोरेंसिक टूल -यह उपकरण दोनों गुणों `$STARNDAR_INFORMATION` और `$FILE_NAME` को संशोधित कर सकता है। हालांकि, Windows Vista से, इस जानकारी को संशोधित करने के लिए एक लाइव ओएस की आवश्यकता है। +यह उपकरण दोनों गुणों `$STARNDAR_INFORMATION` और `$FILE_NAME` को संशोधित कर सकता है। हालांकि, Windows Vista से, इस जानकारी को संशोधित करने के लिए लाइव ओएस की आवश्यकता है। # डेटा छुपाना -NFTS एक क्लस्टर और न्यूनतम जानकारी आकार का उपयोग करता है। इसका मतलब है कि यदि एक फ़ाइल एक क्लस्टर और आधा उपयोग करती है, तो **शेष आधा कभी भी उपयोग नहीं होगा** जब तक फ़ाइल हटाई नहीं जाती। फिर, इस "छुपी" जगह में डेटा छुपाना संभव है। +NFTS एक क्लस्टर और न्यूनतम जानकारी आकार का उपयोग करता है। इसका मतलब है कि यदि एक फ़ाइल एक क्लस्टर और आधा उपयोग करती है, तो **शेष आधा कभी भी उपयोग नहीं होगा** जब तक फ़ाइल हटाई नहीं जाती। फिर, इस "छिपी" जगह में डेटा छुपाना संभव है। -इस तरह के "छुपे" स्थान में डेटा छुपाने की अनुमति देने वाले उपकरण जैसे slacker हैं। हालांकि, `$logfile` और `$usnjrnl` का विश्लेषण दिखा सकता है कि कुछ डेटा जोड़ा गया था: +इस तरह के "छिपी" जगह में डेटा छुपाने की अनुमति देने वाले उपकरण जैसे slacker हैं। हालांकि, `$logfile` और `$usnjrnl` का विश्लेषण दिखा सकता है कि कुछ डेटा जोड़ा गया था: ![](<../../.gitbook/assets/image (452).png>) -फिर, FTK Imager जैसे उपकरण का उपयोग करके छुपे स्थान को पुनः प्राप्त किया जा सकता है। ध्यान दें कि इस प्रकार के उपकरण सामग्री को अस्पष्ट या यहाँ तक कि एन्क्रिप्ट कर सकते हैं। +फिर, FTK Imager जैसे उपकरण का उपयोग करके छिपी जगह पुनः प्राप्त किया जा सकता है। ध्यान दें कि इस प्रकार के उपकरण सामग्री को अंधाकृत या यहाँ तक कि एन्क्रिप्टेड भी सहेज सकते हैं। # UsbKill -यह एक उपकरण है जो कंप्यूटर को **USB** पोर्ट में किसी भी परिवर्तन को डिटेक्ट करते ही **बंद कर देगा**।\ -इसे खोजने का एक तरीका यह हो सकता है कि चल रहे प्रक्रियाओं की जांच करें और **प्रत्येक पायथन स्क्रिप्ट की जांच करें**। +यह एक उपकरण है जो **USB** पोर्ट में किसी भी परिवर्तन को डिटेक्ट करता है तो कंप्यूटर को **बंद कर देगा**।\ +इसे खोजने का एक तरीका है कि चल रहे प्रक्रियाओं की जांच करें और **प्रत्येक पायथन स्क्रिप्ट की जांच** करें। # लाइव लिनक्स वितरण -ये डिस्ट्रो **रैम मेमोरी के अंदर चलाई जाती हैं**। इन्हें पहचानने का एकमात्र तरीका है **यदि NTFS फाइल-सिस्टम को लेखन अनुमतियों के साथ माउंट किया गया है**। यदि यह केवल पढ़ने की अनुमतियों के साथ माउंट किया गया है तो उपद्रव का पता लगाना संभव नहीं होगा। +ये डिस्ट्रो **रैम मेमोरी के अंदर चलाए जाते हैं**। इन्हें पहचानने का एकमात्र तरीका है **यदि NTFS फाइल-सिस्टम को लेखन अनुमतियों के साथ माउंट किया गया है**। यदि यह केवल पढ़ने की अनुमतियों के साथ माउंट किया गया है तो उपद्रव का पता लगाना संभव नहीं होगा। # सुरक्षित मिटाना @@ -92,9 +96,54 @@ NFTS एक क्लस्टर और न्यूनतम जानका ## समय-चिह्नों को अक्षम करें - UserAssist -यह एक रजिस्ट्री कुंजी है जो प्रत्येक क्रियाकलाप को चलाया गया था जब प्रत्येक क्रियाकलाप को चलाया गया था। +यह एक रजिस्ट्री कुंजी है जो प्रत्येक क्रियाशील द्वारा चलाई गई प्रत्येक कार्यक्रम के दिनांक और घंटे को बनाए रखती है। UserAssist को अक्षम करने के लिए दो कदम हैं: -1. दो रजिस्ट्री कुंजियों को सेट करें, `HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_TrackProgs` और `HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_TrackEnabled`, दोनों को शून्य में सेट करें ताकि हमें संकेत मिले कि हमें UserAssist अक्षम करना है। -2. `H +1. दो रजिस्ट्री कुंजियों को सेट करें, `HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_TrackProgs` और `HKEY_CURRENT_USER\SOFTWARE +## हटाएं USB इतिहास + +सभी **USB डिवाइस एंट्रीज** Windows रजिस्ट्री में **USBSTOR** रजिस्ट्री कुंजी के तहत संग्रहीत होती हैं जो उपकंजी शामिल करती हैं जो जब भी आप अपने PC या लैपटॉप में एक USB डिवाइस प्लग करते हैं। आप इस कुंजी को यहाँ पा सकते हैं `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR`। **इसे हटाने** से आप USB इतिहास को हटा देंगे।\ +आप इसे हटाने के लिए उपकरण [**USBDeview**](https://www.nirsoft.net/utils/usb_devices_view.html) का भी उपयोग कर सकते हैं (और इन्हें हटाने के लिए)। + +एक और फ़ाइल जो USBs के बारे में जानकारी सहेजती है, वह है फ़ाइल `setupapi.dev.log` `C:\Windows\INF` के अंदर। इसे भी हटाया जाना चाहिए। + +## शैडो कॉपियों को अक्षम करें + +`vssadmin list shadowstorage` के साथ शैडो कॉपियों की **सूची** बनाएं\ +उन्हें रन करके हटाएं `vssadmin delete shadow` + +आप GUI के माध्यम से भी उन्हें हटा सकते हैं जिसके लिए [यहाँ प्रस्तावित चरणों](https://www.ubackup.com/windows-10/how-to-delete-shadow-copies-windows-10-5740.html) का पालन करें। + +शैडो कॉपियों को अक्षम करने के लिए [यहाँ से चरण](https://support.waters.com/KB_Inf/Other/WKB15560_How_to_disable_Volume_Shadow_Copy_Service_VSS_in_Windows): + +1. "सेवाएं" कार्यक्रम खोलें जिसे विंडोज स्टार्ट बटन पर क्लिक करने के बाद "सेवाएं" लिखकर टेक्स्ट खोज बॉक्स में टाइप करके। +2. सूची से "वॉल्यूम शैडो कॉपी" ढूंढें, इसे चुनें, और फिर राइट-क्लिक करके प्रॉपर्टीज़ तक पहुँचें। +3. "स्टार्टअप प्रकार" ड्रॉप-डाउन मेनू से "डिसेबल्ड" चुनें, और फिर बदलाव की पुष्टि करने के लिए "एप्लाई" और "ओके" पर क्लिक करें। + +यह भी संभव है कि रजिस्ट्री में `HKLM\SYSTEM\CurrentControlSet\Control\BackupRestore\FilesNotToSnapshot` में कौन सी फ़ाइलें शैडो कॉपी में कॉपी की जाएंगी, उसकी विन्यास को संशोधित किया जा सकता है। + +## हटाएं हटाए गए फ़ाइलें + +* आप एक **Windows उपकरण** का उपयोग कर सकते हैं: `cipher /w:C` यह cipher को सी ड्राइव के उपलब्ध अप्रयुक्त डिस्क स्थान से किसी भी डेटा को हटाने के लिए संकेत देगा। +* आप [**Eraser**](https://eraser.heidi.ie) जैसे उपकरण भी उपयोग कर सकते हैं + +## हटाएं Windows घटना लॉग + +* Windows + R --> eventvwr.msc --> "Windows Logs" को विस्तारित करें --> प्रत्येक श्रेणी पर राइट क्लिक करें और "क्लियर लॉग" चुनें +* `for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"` +* `Get-EventLog -LogName * | ForEach { Clear-EventLog $_.Log }` + +## Windows घटना लॉग को अक्षम करें + +* `reg add 'HKLM\SYSTEM\CurrentControlSet\Services\eventlog' /v Start /t REG_DWORD /d 4 /f` +* सेवाओं खंड के अंदर सेवा "Windows Event Log" को अक्षम करें +* `WEvtUtil.exec clear-log` या `WEvtUtil.exe cl` + +## $UsnJrnl को अक्षम करें + +* `fsutil usn deletejournal /d c:` + +
+ +{% embed url="https://websec.nl/" %} diff --git a/forensics/basic-forensic-methodology/windows-forensics/README.md b/forensics/basic-forensic-methodology/windows-forensics/README.md index e5343e9d9..f51a5e102 100644 --- a/forensics/basic-forensic-methodology/windows-forensics/README.md +++ b/forensics/basic-forensic-methodology/windows-forensics/README.md @@ -9,44 +9,48 @@ HackTricks का समर्थन करने के अन्य तरीके: * यदि आप अपनी **कंपनी का विज्ञापन HackTricks में देखना चाहते हैं** या **HackTricks को PDF में डाउनलोड करना चाहते हैं** तो [**सब्सक्रिप्शन प्लान्स**](https://github.com/sponsors/carlospolop) देखें! -* [**आधिकारिक PEASS और HackTricks स्वैग**](https://peass.creator-spring.com) प्राप्त करें +* [**आधिकारिक PEASS & HackTricks स्वैग**](https://peass.creator-spring.com) प्राप्त करें * हमारा विशेष [**NFTs**](https://opensea.io/collection/the-peass-family) संग्रह, [**The PEASS Family**](https://opensea.io/collection/the-peass-family) खोजें * **शामिल हों** 💬 [**डिस्कॉर्ड समूह**](https://discord.gg/hRep4RUj7f) या [**टेलीग्राम समूह**](https://t.me/peass) या हमें **ट्विटर** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)** पर फॉलो** करें। -* **हैकिंग ट्रिक्स साझा करें** द्वारा **पीआर जमा करके** [**HackTricks**](https://github.com/carlospolop/hacktricks) और [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github रेपो में। +* **हैकिंग ट्रिक्स साझा करें द्वारा PRs सबमिट करके** [**HackTricks**](https://github.com/carlospolop/hacktricks) और [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos में। +
+ +{% embed url="https://websec.nl/" %} + ## सामान्य Windows आर्टिफैक्ट्स -### Windows 10 सूचनाएं +### Windows 10 सूचनाएँ पथ `\Users\\AppData\Local\Microsoft\Windows\Notifications` में आपको डेटाबेस `appdb.dat` (Windows anniversary से पहले) या `wpndatabase.db` (Windows Anniversary के बाद) मिल सकता है। -इस SQLite डेटाबेस में, आप `Notification` तालिका पाएंगे जिसमें सभी सूचनाएं (XML प्रारूप में) हो सकती हैं जो दिलचस्प डेटा शामिल कर सकती हैं। +इस SQLite डेटाबेस में, आप `Notification` तालिका पा सकते हैं जिसमें सभी सूचनाएँ (XML प्रारूप में) हो सकती हैं जो दिलचस्प डेटा शामिल कर सकती हैं। ### टाइमलाइन -टाइमलाइन एक Windows विशेषता है जो वेब पेज, संपादित दस्तावेज़ और चलाए गए एप्लिकेशनों का **कालांकिक इतिहास** प्रदान करता है। +टाइमलाइन एक Windows विशेषता है जो वेब पेजों के यातायात, संपादित दस्तावेज़ और चलाए गए एप्लिकेशनों का **कालांतरिक इतिहास** प्रदान करता है। डेटाबेस पथ `\Users\\AppData\Local\ConnectedDevicesPlatform\\ActivitiesCache.db` में स्थित है। इस डेटाबेस को एक SQLite उपकरण के साथ खोला जा सकता है या उपकरण [**WxTCmd**](https://github.com/EricZimmerman/WxTCmd) के साथ जो 2 फ़ाइलें उत्पन्न करता है जो उपकरण [**TimeLine Explorer**](https://ericzimmerman.github.io/#!index.md) के साथ खोली जा सकती हैं। ### ADS (वैकल्पिक डेटा स्ट्रीम्स) -डाउनलोड की गई फ़ाइलें **ADS Zone.Identifier** शामिल कर सकती हैं जो इसे इंट्रानेट, इंटरनेट आदि से **कैसे** डाउनलोड किया गया था का संकेत देती है। कुछ सॉफ़्टवेयर (जैसे ब्राउज़र) आम तौर पर फ़ाइल को डाउनलोड किए गए URL जैसी **अधिक जानकारी** भी डालते हैं। +डाउनलोड की गई फ़ाइलें **ADS Zone.Identifier** शामिल कर सकती हैं जो इसे इंट्रानेट, इंटरनेट से कैसे डाउनलोड किया गया था का संकेत देता है। कुछ सॉफ़्टवेयर (जैसे ब्राउज़र) आम तौर पर फ़ाइल को डाउनलोड किये गए URL जैसी **अधिक जानकारी** भी डालते हैं। ## **फ़ाइल बैकअप्स** ### रीसाइकल बिन Vista/Win7/Win8/Win10 में **रीसाइकल बिन** ड्राइव की रूट में फ़ोल्डर **`$Recycle.bin`** में पाया जा सकता है (`C:\$Recycle.bin`)।\ -जब इस फ़ोल्डर में एक फ़ाइल हटाई जाती है, तो 2 विशिष्ट फ़ाइलें बनाई जाती हैं: +जब इस फ़ोल्डर में एक फ़ाइल हटाई जाती है तो 2 विशिष्ट फ़ाइलें बनाई जाती हैं: -* `$I{id}`: फ़ाइल की जानकारी (जब यह हटाई गई थी की तारीख} +* `$I{id}`: फ़ाइल सूचना (जब यह हटाई गई थी की तारीख} * `$R{id}`: फ़ाइल की सामग्री ![](<../../../.gitbook/assets/image (486).png>) -इन फ़ाइलों के साथ आप उपकरण [**Rifiuti**](https://github.com/abelcheung/rifiuti2) का उपयोग करके हटाई गई फ़ाइलों का मूल पता और हटाई गई तारीख प्राप्त कर सकते हैं (Vista - Win10 के लिए `rifiuti-vista.exe` का उपयोग करें)। +इन फ़ाइलों के साथ आप उपकरण [**Rifiuti**](https://github.com/abelcheung/rifiuti2) का उपयोग करके हटाई गई फ़ाइलों का मूल पता और हटाई गई तारीख प्राप्त कर सकते हैं (Vista – Win10 के लिए `rifiuti-vista.exe` का उपयोग करें)। ``` .\rifiuti-vista.exe C:\Users\student\Desktop\Recycle ``` @@ -64,7 +68,7 @@ Vista/Win7/Win8/Win10 में **रीसाइकल बिन** ड्रा ![](<../../../.gitbook/assets/image (521).png>) -रजिस्ट्री एंट्री `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BackupRestore` फ़ाइलें और कुंजियों को शामिल करती है **जिन्हें बैकअप न करें**: +रजिस्ट्री एंट्री `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BackupRestore` फ़ाइलें और कुंजीयों को शामिल करती है **जिन्हें बैकअप न करें**: ![](<../../../.gitbook/assets/image (522).png>) @@ -78,18 +82,18 @@ Vista/Win7/Win8/Win10 में **रीसाइकल बिन** ड्रा एक शैल आइटम एक आइटम है जो दूसरी फ़ाइल तक पहुँचने के बारे में जानकारी रखता है। -### हाल के दस्तावेज़ (LNK) +### हाल की दस्तावेज़ (LNK) -विंडोज **स्वचालित रूप से** ये **शॉर्टकट** बनाता है जब उपयोगकर्ता **फ़ाइल खोलता है, उपयोग करता है या बनाता है**: +विंडोज **स्वचालित रूप से** ये **शॉर्टकट** बनाता है जब उपयोगकर्ता एक फ़ाइल **खोलता है, उपयोग करता है या बनाता है**: * Win7-Win10: `C:\Users\\AppData\Roaming\Microsoft\Windows\Recent\` * Office: `C:\Users\\AppData\Roaming\Microsoft\Office\Recent\` -जब एक फ़ोल्डर बनाया जाता है, तो एक लिंक फ़ाइल बनाई जाती है, माता-पिता फ़ोल्डर के लिए और परदादी फ़ोल्डर के लिए भी। +जब एक फ़ोल्डर बनाया जाता है, तो एक लिंक फ़ाइल फ़ोल्डर, माता-पिता फ़ोल्डर और परदादी फ़ोल्डर का भी बनाया जाता है। -ये स्वचालित रूप से बनाए गए लिंक फ़ाइलें **मूल के बारे में जानकारी रखती हैं** जैसे कि यह एक **फ़ाइल है** **या** एक **फ़ोल्डर**, उस फ़ाइल के **MAC समय**, जहाँ फ़ाइल संग्रहित है और **लक्षित फ़ाइल का फ़ोल्डर**। यह जानकारी उन फ़ाइलों को पुनः प्राप्त करने में सहायक हो सकती है जो हटा दी गई थीं। +ये स्वचालित रूप से बनाए गए लिंक फ़ाइलें **मूल के बारे में जानकारी रखती हैं** जैसे कि यह कोई **फ़ाइल है** या एक **फ़ोल्डर**, उस फ़ाइल के **MAC समय**, जहाँ फ़ाइल संग्रहित है और **लक्षित फ़ाइल का फ़ोल्डर**। यह जानकारी उन फ़ाइलों को पुनः प्राप्त करने के लिए उपयोगी हो सकती है जिन्हें हटा दिया गया था। -इसके अलावा, लिंक फ़ाइल का **निर्माण तिथि** वह समय है जब मूल फ़ाइल **पहली बार उपयोग** की गई थी और लिंक फ़ाइल का **संशोधित तिथि** वह **अंतिम समय** है जब मूल फ़ाइल का उपयोग हुआ था। +इसके अलावा, लिंक फ़ाइल की **निर्मित तिथि** वह **समय** है जब मूल फ़ाइल का **पहली बार उपयोग** किया गया था और लिंक फ़ाइल का **संशोधित तिथि** वह **समय** है जब मूल फ़ाइल का **अंतिम बार उपयोग** किया गया था। इन फ़ाइलों की जांच करने के लिए आप [**LinkParser**](http://4discovery.com/our-tools/) का उपयोग कर सकते हैं। @@ -104,7 +108,7 @@ Vista/Win7/Win8/Win10 में **रीसाइकल बिन** ड्रा 2. लिंक एक्सेस तिथि 3. लिंक निर्माण तिथि। -पहले सेट का टाइमस्टैम्प फ़ाइल इसल्फ के **टाइमस्टैम्प्स** को संदर्भित करता है। दूसरा सेट लिंक की फ़ाइल के **टाइमस्टैम्प्स** को संदर्भित करता है। +पहले सेट का टाइमस्टैम्प **फ़ाइल इसल्फ के टाइमस्टैम्प्स** को संदर्भित करता है। दूसरा सेट **लिंक की फ़ाइल के टाइमस्टैम्प्स** को संदर्भित करता है। आप विंडोज CLI उपकरण चलाकर इसी जानकारी को प्राप्त कर सकते हैं: [**LECmd.exe**](https://github.com/EricZimmerman/LECmd) ``` @@ -112,19 +116,184 @@ LECmd.exe -d C:\Users\student\Desktop\LNKs --csv C:\Users\student\Desktop\LNKs ``` ### जम्पलिस्ट्स -ये हाल के फ़ाइलें हैं जो प्रत्येक एप्लिकेशन के लिए दर्शाई जाती हैं। यह एक ऐसी **सूची है जिसमें एक एप्लिकेशन द्वारा उपयोग की गई हाल की फ़ाइलें** हैं जिसे आप प्रत्येक एप्लिकेशन पर पहुँच सकते हैं। ये **स्वचालित रूप से बनाई जा सकती हैं या कस्टम भी हो सकती हैं**। +ये हाल के फ़ाइलें हैं जो प्रति एप्लिकेशन द्वारा दर्शाई जाती हैं। यह एक ऐसी **सूची है जिसमें एक एप्लिकेशन द्वारा उपयोग की गई हाल की फ़ाइलें** हैं जिसे आप प्रत्येक एप्लिकेशन पर एक्सेस कर सकते हैं। ये **स्वचालित रूप से बनाई जा सकती हैं या कस्टम** हो सकती हैं। -**जम्पलिस्ट्स** जो स्वचालित रूप से बनाई गई हैं, उन्हें `C:\Users\{username}\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations\` में संग्रहित किया जाता है। जम्पलिस्ट्स का नामकरण `{id}.autmaticDestinations-ms` नामक प्रारूप का होता है जहाँ प्रारंभिक आईडी एप्लिकेशन का आईडी होता है। +**स्वचालित रूप से बनाए गए जम्पलिस्ट्स** `C:\Users\{username}\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations\` में संग्रहित होते हैं। जम्पलिस्ट्स का नाम इस प्रारूप का होता है `{id}.autmaticDestinations-ms` जहां प्रारंभिक आईडी एप्लिकेशन की आईडी होती है। -कस्टम जम्पलिस्ट्स `C:\Users\{username}\AppData\Roaming\Microsoft\Windows\Recent\CustomDestination\` में संग्रहित की जाती हैं और उन्हें एप्लिकेशन द्वारा सामान्यत: कुछ **महत्वपूर्ण** होने के कारण बनाया जाता है (शायद पसंदीदा के रूप में चिह्नित किया गया हो) +कस्टम जम्पलिस्ट्स `C:\Users\{username}\AppData\Roaming\Microsoft\Windows\Recent\CustomDestination\` में संग्रहित होती हैं और इन्हें एप्लिकेशन द्वारा सामान्यत: कुछ **महत्वपूर्ण** घटना होने के कारण बनाया जाता है (शायद पसंदीदा के रूप में चिह्नित किया गया हो) -किसी भी जम्पलिस्ट का **निर्माण समय** दर्शाता है **फ़ाइल का पहली बार उपयोग किया गया था** और **संशोधित समय अंतिम बार**। +किसी भी जम्पलिस्ट का **निर्माण समय** दर्शाता है **फ़ाइल तक पहुँचने का पहला समय** और **संशोधित समय** अंतिम बार। आप [**JumplistExplorer**](https://ericzimmerman.github.io/#!index.md) का उपयोग करके जम्पलिस्ट्स की जांच कर सकते हैं। ![](<../../../.gitbook/assets/image (474).png>) (_कृपया ध्यान दें कि JumplistExplorer द्वारा प्रदान की गई समय चिह्नित जम्पलिस्ट फ़ाइल से संबंधित हैं_) + +### शेलबैग्स + +[**इस लिंक पर जाएं और जानें कि शेलबैग्स क्या हैं।**](interesting-windows-registry-keys.md#shellbags) + +## Windows USB का उपयोग + +एक USB डिवाइस का उपयोग किया गया था यह पहचानना संभव है धन्यवाद है: + +* Windows हाल की फ़ोल्डर +* Microsoft Office हाल की फ़ोल्डर +* जम्पलिस्ट्स + +ध्यान दें कि कुछ LNK फ़ाइल मूल पथ की बजाय WPDNSE फ़ोल्डर को इंगित करती हैं: + +![](<../../../.gitbook/assets/image (476).png>) + +फ़ोल्डर WPDNSE में फ़ाइलें मूल वालों की प्रतिलिपि होती हैं, फिर वे PC की पुनरारंभी नहीं होंगी और GUID एक शेलबैग से लिया गया है। + +### रजिस्ट्री सूचना + +[जानने के लिए इस पृष्ठ की जाँच करें](interesting-windows-registry-keys.md#usb-information) कि कौन सी रजिस्ट्री कुंजीयाँ USB कनेक्टेड डिवाइस के बारे में दिलचस्प जानकारी रखती हैं। + +### setupapi + +USB कनेक्शन किया गया था कब हुआ यह जानने के लिए फ़ाइल `C:\Windows\inf\setupapi.dev.log` की जाँच करें (खोज करें `Section start`). + +![](<../../../.gitbook/assets/image (477) (2) (2) (2) (2) (2) (2) (2) (3) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (14).png>) + +### USB डिटेक्टिव + +[**USBDetective**](https://usbdetective.com) का उपयोग एक छवि में कनेक्ट किए गए USB डिवाइस के बारे में जानकारी प्राप्त करने के लिए किया जा सकता है। + +![](<../../../.gitbook/assets/image (483).png>) + +### प्लग और प्ले सफाई + +'प्लग और प्ले सफाई' नामक निर्धारित कार्य को पुराने ड्राइवर संस्करणों को हटाने के लिए प्राथमिक रूप से डिज़ाइन किया गया है। नवीनतम ड्राइवर पैकेज संस्करण को बनाए रखने के उसके निर्दिष्ट उद्देश्य के विपरीत, ऑनलाइन स्रोत सुझाव देते हैं कि यह 30 दिनों के लिए निष्क्रिय रहे ड्राइवर्स पर भी निशाना साधता है। इस परिणामस्वरूप, पिछले 30 दिनों में कनेक्ट नहीं किए गए हटाए जा सकते हैं। + +कार्य से संबंधित निम्नलिखित पथ पर स्थित है: +`C:\Windows\System32\Tasks\Microsoft\Windows\Plug and Play\Plug and Play Cleanup`. + +कार्य की सामग्री का चित्र प्रदर्शित किया गया है: +![](https://2.bp.blogspot.com/-wqYubtuR_W8/W19bV5S9XyI/AAAAAAAANhU/OHsBDEvjqmg9ayzdNwJ4y2DKZnhCdwSMgCLcBGAs/s1600/xml.png) + +**कार्य के मुख्य घटक और सेटिंग्स:** +- **pnpclean.dll**: यह DLL वास्तविक सफाई प्रक्रिया के लिए जिम्मेदार है। +- **UseUnifiedSchedulingEngine**: `TRUE` पर सेट किया गया है, जो सामान्य कार्य निर्धारण इंजन का उपयोग करने की संकेत करता है। +- **MaintenanceSettings**: +- **अवधि ('P1M')**: कार्य सूचीकरणकर्ता को नियमित स्वचालित रूप से मासिक सफाई कार्य आरंभ करने के लिए निर्देशित करता है। +- **समयसीमा ('P2M')**: यदि कार्य दो लगातार महीनों के लिए विफल हो जाता है, तो टास्क स्केड्यूलर को आपातकालीन स्वचालित रूप से मासिक सफाई कार्य को करने के लिए निर्देशित करता है। + +यह विन्यास ड्राइवरों की नियमित रखरखाव और सफाई सुनिश्चित करता है, जो लगातार विफलताओं के मामले में कार्य को पुनः प्रयास करने के लिए प्रावधान करता है। + +**अधिक जानकारी के लिए देखें:** [**https://blog.1234n6.com/2018/07/windows-plug-and-play-cleanup.html**](https://blog.1234n6.com/2018/07/windows-plug-and-play-cleanup.html) + +## ईमेल + +ईमेल में **2 दिलचस्प भाग होते हैं: हेडर्स और सामग्री**। **हेडर्स** में आप जानकारी पा सकते हैं जैसे: + +* **कौन** ईमेल भेजा (ईमेल पता, आईपी, ईमेल को पुनर्निर्देशित करने वाले मेल सर्वर) +* **कब** ईमेल भेजा गया था + +इसके अलावा, `References` और `In-Reply-To` हेडर्स में आप मेसेज की आईडी पा सकते हैं: + +![](<../../../.gitbook/assets/image (484).png>) + +### Windows मेल ऐप + +यह एप्लिकेशन ईमेल को HTML या पाठ में सहेजता है। आप ईमेल को नीचे उपफ़ोल्डर में पा सकते हैं `\Users\\AppData\Local\Comms\Unistore\data\3\`। ईमेल `.dat` एक्सटेंशन के साथ सहेजे जाते हैं। + +ईमेलों की **मेटाडेटा** और **संपर्क** को **EDB डेटाबेस** में पाया जा सकता है: `\Users\\AppData\Local\Comms\UnistoreDB\store.vol` + +फ़ाइल का एक्सटेंशन **बदलें** `.vol` से `.edb` और आप इसे खोलने के लिए उपकरण [ESEDatabaseView](https://www.nirsoft.net/utils/ese\_database\_view.html) का उपयोग कर सकते हैं। `Message` टेबल के अंदर आप ईमेल देख सकते हैं। + +### Microsoft Outlook + +जब Exchange सर्वर या Outlook क्लाइंट का उपयोग किया जाता है तो कुछ MAPI हेडर्स होते हैं: + +* `Mapi-Client-Submit-Time`: ईमेल भेजे जाने का समय +* `Mapi-Conversation-Index`: थ्रेड के बच्चों की संख्या और हर मेसेज के समय का चिन्हांक +* `Mapi-Entry-ID`: मेसेज पहचानकर्ता। +* `Mappi-Message-Flags` और `Pr_last_Verb-Executed`: MAPI क्लाइंट के बारे में जानकारी (मेसेज पढ़ा गया? पढ़ा नहीं गया? प्रतिक्रिया दी गई? पुनर्निर्देशित किया गया? बाहर ऑफिस?) + +Microsoft Outlook क्लाइंट में +### Microsoft Outlook OST Files + +एक **OST फ़ाइल** Microsoft Outlook द्वारा उत्पन्न की जाती है जब यह **IMAP** या **Exchange** सर्वर के साथ कॉन्फ़िगर किया जाता है, जो एक PST फ़ाइल के समान जानकारी संग्रहित करती है। यह फ़ाइल सर्वर के साथ समकलीन होती है, **पिछले 12 महीने** तक के डेटा को **अधिकतम 50GB** आकार तक रखती है, और PST फ़ाइल के समान निर्देशिका में स्थित है। एक OST फ़ाइल देखने के लिए, [**Kernel OST viewer**](https://www.nucleustechnologies.com/ost-viewer.html) का उपयोग किया जा सकता है। + +### अटैचमेंट पुनः प्राप्त करना + +खो गए अटैचमेंट को निम्नलिखित से पुनः प्राप्त किया जा सकता है: + +- **IE10 के लिए**: `%APPDATA%\Local\Microsoft\Windows\Temporary Internet Files\Content.Outlook` +- **IE11 और ऊपर के लिए**: `%APPDATA%\Local\Microsoft\InetCache\Content.Outlook` + +### Thunderbird MBOX Files + +**Thunderbird** डेटा संग्रहित करने के लिए **MBOX फ़ाइलें** का उपयोग करता है, जो `\Users\%USERNAME%\AppData\Roaming\Thunderbird\Profiles` में स्थित है। + +### छवि थंबनेल्स + +- **Windows XP और 8-8.1**: थंबनेल्स के साथ एक फ़ोल्डर तक पहुँचने पर `thumbs.db` फ़ाइल उत्पन्न होती है जो छवि पूर्वावलोकन संग्रहित करती है, भले ही उसके हटाने के बाद भी। +- **Windows 7/10**: `thumbs.db` उत्पन्न होती है जब UNC पथ के माध्यम से नेटवर्क के माध्यम से पहुँचा जाता है। +- **Windows Vista और नएरे**: थंबनेल पूर्वावलोकन `%userprofile%\AppData\Local\Microsoft\Windows\Explorer` में केंद्रीकृत है जिसमें फ़ाइलें **thumbcache\_xxx.db** नाम से होती हैं। [**Thumbsviewer**](https://thumbsviewer.github.io) और [**ThumbCache Viewer**](https://thumbcacheviewer.github.io) इन फ़ाइलों को देखने के लिए उपकरण हैं। + +### Windows रजिस्ट्री सूचना + +Windows रजिस्ट्री, विभिन्न `HKEY_LOCAL_MACHINE` उपकीजों के लिए फ़ाइलों में संग्रहित व्यापक सिस्टम और उपयोगकर्ता गतिविधि डेटा संग्रहित करता है: + +- विभिन्न `HKEY_LOCAL_MACHINE` उपकीजों के लिए `%windir%\System32\Config` में। +- `HKEY_CURRENT_USER` के लिए `%UserProfile%{User}\NTUSER.DAT` में। +- Windows Vista और उसके बाद के संस्करण `%Windir%\System32\Config\RegBack\` में `HKEY_LOCAL_MACHINE` रजिस्ट्री फ़ाइलें बैकअप करते हैं। +- इसके अतिरिक्त, कार्यक्रम निष्पादन सूचना `%UserProfile%\{User}\AppData\Local\Microsoft\Windows\USERCLASS.DAT` में संग्रहित है Windows Vista और Windows 2008 सर्वर के बाद से। + +### उपकरण + +कुछ उपकरण रजिस्ट्री फ़ाइलों का विश्लेषण करने के लिए उपयोगी हैं: + +* **रजिस्ट्री संपादक**: यह Windows में स्थापित है। यह वर्तमान सत्र की Windows रजिस्ट्री में नेविगेट करने के लिए एक GUI है। +* [**रजिस्ट्री एक्सप्लोरर**](https://ericzimmerman.github.io/#!index.md): यह आपको रजिस्ट्री फ़ाइल लोड करने और उनमें नेविगेट करने की अनुमति देता है एक GUI के साथ। यह बुकमार्क्स शामिल करता है जो दिलचस्प जानकारी वाले कुंजियों को हाइलाइट करता है। +* [**RegRipper**](https://github.com/keydet89/RegRipper3.0): फिर से, इसमें एक GUI है जो लोड किए गए रजिस्ट्री में नेविगेट करने की अनुमति देता है और लोड किए गए रजिस्ट्री में दिलचस्प जानकारी को हाइलाइट करने वाले प्लगइन्स भी शामिल हैं। +* [**Windows रजिस्ट्री रिकवरी**](https://www.mitec.cz/wrr.html): एक और GUI एप्लिकेशन जो रजिस्ट्री से महत्वपूर्ण जानकारी निकालने की क्षमता रखता है। + +### हटाए गए तत्व को पुनः प्राप्त करना + +जब एक कुंजी हटाई जाती है तो उसे ऐसा चिह्नित किया जाता है, लेकिन जब तक वह जगह जिसे वह धारण कर रही है आवश्यक नहीं होती, तब तक वह हटाया नहीं जाएगा। इसलिए, **रजिस्ट्री एक्सप्लोरर** जैसे उपकरण का उपयोग करके इन हटाए गए कुंजियों को पुनः प्राप्त किया जा सकता है। + +### अंतिम लेखन समय + +प्रत्येक कुंजी-मान में एक **समय चिह्नांक** होता है जो दर्शाता है कि आखिरी बार यह संशोधित किया गया था। + +### SAM + +फ़ाइल/हाइव **SAM** में सिस्टम के **उपयोगकर्ता, समूह और उपयोगकर्ता पासवर्ड** हैश संग्रहित होते हैं। + +`SAM\Domains\Account\Users` में आप उपयोगकर्ता नाम, RID, अंतिम लॉगिन, अंतिम विफल लॉगिन, लॉगिन काउंटर, पासवर्ड नीति और खाता बनाया गया था की जानकारी प्राप्त कर सकते हैं। **हैश** प्राप्त करने के लिए आपको फ़ाइल/हाइव **SYSTEM** की भी **आवश्यकता** है। + +### Windows रजिस्ट्री में दिलचस्प प्रविष्टियाँ + +{% content-ref url="interesting-windows-registry-keys.md" %} +[interesting-windows-registry-keys.md](interesting-windows-registry-keys.md) +{% endcontent-ref %} + +## निष्पादित कार्यक्रम + +### मौलिक Windows प्रक्रियाएँ + +[इस पोस्ट](https://jonahacks.medium.com/investigating-common-windows-processes-18dee5f97c1d) में आप संदेहात्मक व्यवहार का पता लगाने के लिए सामान्य Windows प्रक्रियाओं के बारे में सीख सकते हैं। + +### Windows हाल के APPs + +रजिस्ट्री `NTUSER.DAT` में पथ `Software\Microsoft\Current Version\Search\RecentApps` में आप **निष्पादित एप्लिकेशन**, **अंतिम समय** जब यह निष्पादित किया गया था, और **कितनी बार** यह चलाया गया था के बारे में जानकारी संग्रहित करने वाली सबकीज हो सकती है। + +### BAM (पृष्ठभूमि गतिविधि नियंत्रक) + +आप रजिस्ट्री संपादक के साथ `SYSTEM` फ़ाइल खोल सकते हैं और पथ `SYSTEM\CurrentControlSet\Services\bam\UserSettings\{SID}` में आप प्रत्येक उपयोगकर्ता द्वारा निष्पादित **एप्लिकेशन की जानकारी** (पथ में `{SID}` ध्यान दें) और **कब** वे निष्पादित किए गए थे (समय रजिस्ट्री के डेटा मान में होता है) प्राप्त कर सकते हैं। + +### Windows Prefetch + +प्रीफेचिंग एक तकनीक है जो एक कंप्यूटर को चुपचाप **उसे आवश्यक संसाधन लाने की अनुमति देती है जो एक उपयोगकर्ता निकट भविष्य में पहुँच सकता है** ताकि संसाधन तेजी से पहुँचे जा सकें। + +Windows प्रीफेच में **निष्पादित कार्यक्रमों के कैश** बनाने से उन्हें तेजी से लोड करने की क्षमता होती है। ये कैशेज `.pf` फ़ाइलें बनाते हैं पथ में: `C:\Windows\Prefetch`। XP/VISTA/WIN7 में 128 फ़ाइलों की सीमा होती है और Win8/Win10 में 1024 फ़ाइलें होती हैं। + +फ़ाइल नाम `{प्रोग्राम_नाम}-{हैश}.pf` के रूप में बनाई जाती है (हैश पथ और कार्यक्रम के तर्कों पर आधारित है)। W10 में ये फ़ाइलें संकुचित होती हैं। ध्यान दें कि फ़ाइल की केवल मौज ```bash .\PECmd.exe -d C:\Users\student\Desktop\Prefetch --html "C:\Users\student\Desktop\out_folder" ``` @@ -135,13 +304,13 @@ LECmd.exe -d C:\Users\student\Desktop\LNKs --csv C:\Users\student\Desktop\LNKs **सुपरप्रीफेच** का उसी लक्ष्य है जैसे प्रीफेच, **प्रोग्राम्स को तेजी से लोड करना** अगले क्या लोड होने वाला है का पूर्वानुमान करके। हालांकि, यह प्रीफेच सेवा की जगह नहीं लेता है।\ यह सेवा डेटाबेस फ़ाइल्स उत्पन्न करेगी `C:\Windows\Prefetch\Ag*.db` में। -इन डेटाबेस में आप **प्रोग्राम** का **नाम**, **एक्जीक्यूशन्स** की **संख्या**, **फ़ाइलें** **ओपन** की गईं, **वॉल्यूम** **एक्सेस** किया गया, **पूरा** **पथ**, **समयअंतर** और **टाइमस्टैम्प्स** देख सकते हैं। +इन डेटाबेस में आप **प्रोग्राम** का **नाम**, **एक्जीक्यूशन्स** की **संख्या**, **फ़ाइलें खोली गई**, **वॉल्यूम एक्सेस**, **पूरा पथ**, **समयअंतर** और **टाइमस्टैम्प्स** देख सकते हैं। आप इस जानकारी तक पहुंच सकते हैं उपकरण [**CrowdResponse**](https://www.crowdstrike.com/resources/community-tools/crowdresponse/) का उपयोग करके। ### SRUM -**सिस्टम रिसोर्स यूजेज मॉनिटर** (SRUM) **प्रक्रिया द्वारा उपयोग किए गए संसाधनों** का **निगरानी** करता है। यह W8 में प्रकट हुआ और यह डेटा को `C:\Windows\System32\sru\SRUDB.dat` में स्थित एक ESE डेटाबेस में संग्रहित करता है। +**सिस्टम रिसोर्स यूज़ेज मॉनिटर** (SRUM) **प्रक्रिया द्वारा उपयोग किए गए संसाधनों** का **निगरानी** करता है। यह W8 में प्रकट हुआ और डेटा को `C:\Windows\System32\sru\SRUDB.dat` में स्थित एक ESE डेटाबेस में संग्रहित करता है। यह निम्नलिखित जानकारी प्रदान करता है: @@ -165,16 +334,38 @@ LECmd.exe -d C:\Users\student\Desktop\LNKs --csv C:\Users\student\Desktop\LNKs - फ़ाइल का पूरा पथ - फ़ाइल का आकार -- **$Standard\_Information** (SI) के तहत अंतिम संशोधित समय -- ShimCache का अंतिम अपड +- Last Modified time under **$Standard\_Information** (SI) +- Last Updated time of the ShimCache +- Process Execution Flag + +Such data is stored within the registry at specific locations based on the version of the operating system: + +- For XP, the data is stored under `SYSTEM\CurrentControlSet\Control\SessionManager\Appcompatibility\AppcompatCache` with a capacity for 96 entries. +- उपसर्वर 2003 के लिए, साथ ही Windows संस्करण 2008, 2012, 2016, 7, 8, और 10 के लिए, स्टोरेज पथ `SYSTEM\CurrentControlSet\Control\SessionManager\AppcompatCache\AppCompatCache` है, जिसमें 512 और 1024 एंट्री को समाहित किया गया है। + +संग्रहित जानकारी को पार्स करने के लिए, [**AppCompatCacheParser** टूल](https://github.com/EricZimmerman/AppCompatCacheParser) का उपयोग करना सुझावित है। + +![](<../../../.gitbook/assets/image (488).png>) + +### Amcache + +**Amcache.hve** फ़ाइल मुख्य रूप से एक रजिस्ट्री हाइव है जो एक सिस्टम पर निष्पादित की गई एप्लिकेशनों के विवरण को लॉग करता है। आमतौर पर यह `C:\Windows\AppCompat\Programas\Amcache.hve` पर पाया जाता है। + +यह फ़ाइल हाल ही में निष्पादित प्रक्रियाओं के रिकॉर्ड संग्रहित करने के लिए महत्वपूर्ण है, जिसमें निष्पादनीय फ़ाइलों के पथ और उनके SHA1 हैश शामिल हैं। यह जानकारी सिस्टम पर एप्लिकेशनों की गतिविधि का ट्रैकिंग करने के लिए अमूल्य है। + +**Amcache.hve** से डेटा निकालने और विश्लेषण करने के लिए, [**AmcacheParser**](https://github.com/EricZimmerman/AmcacheParser) टूल का उपयोग किया जा सकता है। निम्नलिखित कमांड एक उदाहरण है कि AmcacheParser का उपयोग कैसे किया जाए **Amcache.hve** फ़ाइल की सामग्री को पार्स करने और परिणामों को CSV प्रारूप में निकालने के लिए: ```bash AmcacheParser.exe -f C:\Users\genericUser\Desktop\Amcache.hve --csv C:\Users\genericUser\Desktop\outputFolder ``` -### नवीनतम फ़ाइल कैश +में उत्पन्न CSV फ़ाइलों में, `Amcache_Unassociated file entries` विशेष रूप से महत्वपूर्ण है क्योंकि यह असंबद्ध फ़ाइल प्रविष्टियों के बारे में विविध जानकारी प्रदान करता है। -यह आर्टिफैक्ट केवल W7 में `C:\Windows\AppCompat\Programs\RecentFileCache.bcf` में पाया जा सकता है और यह कुछ बाइनरी के हाल ही में निष्पादन के बारे में जानकारी रखता है। +सबसे दिलचस्प CVS फ़ाइल जो उत्पन्न होती है, वह है `Amcache_Unassociated file entries`। -आप फ़ाइल को पार्स करने के लिए उपकरण [**RecentFileCacheParse**](https://github.com/EricZimmerman/RecentFileCacheParser) का उपयोग कर सकते हैं। +### RecentFileCache + +इस आर्टिफैक्ट को केवल W7 में `C:\Windows\AppCompat\Programs\RecentFileCache.bcf` में पाया जा सकता है और यह कुछ बाइनरी के हाल ही में निष्पादन के बारे में जानकारी रखता है। + +आप उपकरण [**RecentFileCacheParse**](https://github.com/EricZimmerman/RecentFileCacheParser) का उपयोग फ़ाइल को पार्स करने के लिए कर सकते हैं। ### निर्धारित कार्य @@ -187,66 +378,47 @@ AmcacheParser.exe -f C:\Users\genericUser\Desktop\Amcache.hve --csv C:\Users\gen ### **Windows Store** स्थापित एप्लिकेशन `\ProgramData\Microsoft\Windows\AppRepository\` में पाए जा सकते हैं। -इस भंडार में एक **लॉग** है जिसमें प्रत्येक एप्लिकेशन की स्थापना की गई है जो डेटाबेस **`StateRepository-Machine.srd`** के अंदर है। +इस भंडार में एक **लॉग** है जिसमें प्रत्येक एप्लिकेशन की स्थापना की गई है जो तंत्र में है डेटाबेस **`StateRepository-Machine.srd`**। -इस डेटाबेस के एप्लिकेशन तालिका में, "एप्लिकेशन आईडी", "पैकेज नंबर", और "प्रदर्शन नाम" मिल सकते हैं। ये स्तंभ पूर्व स्थापित और स्थापित एप्लिकेशनों के बारे में जानकारी रखते हैं और यह पता लगाया जा सकता है कि क्या कुछ एप्लिकेशन अनइंस्टॉल किए गए थे क्योंकि स्थापित एप्लिकेशनों के आईडी सारणीक होना चाहिए। +इस डेटाबेस के एप्लिकेशन तालिका में, "एप्लिकेशन आईडी", "पैकेज नंबर", और "प्रदर्शन नाम" मिल सकते हैं। ये स्तंभ पूर्व स्थापित और स्थापित एप्लिकेशनों के बारे में जानकारी रखते हैं और यह पता लगाया जा सकता है कि क्या कुछ एप्लिकेशन अनइंस्टॉल किए गए थे क्योंकि स्थापित एप्लिकेशनों के आईडी सतत होने चाहिए। -रजिस्ट्री पथ `Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Applications\` में स्थापित एप्लिकेशन भी **पाए जा सकते हैं**\ +रजिस्ट्री पथ में भी स्थापित एप्लिकेशन पाए जा सकते हैं: `Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Applications\`\ और **अनइंस्टॉल** **एप्लिकेशन** में: `Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Deleted\` ## Windows घटनाएँ -Windows घटनाओं के अंदर जो जानकारी आती है: +Windows घटनाओं में जो जानकारी दिखाई देती है: * क्या हुआ * टाइमस्टैम्प (UTC + 0) * शामिल हुए उपयोगकर्ता * शामिल हुए होस्ट (होस्टनाम, आईपी) -* एसेट्स तक पहुंचा गया (फ़ाइलें, फ़ोल्डर, प्रिंटर, सेवाएं) +* पहुंचे गए संपत्तियाँ (फ़ाइलें, फ़ोल्डर, प्रिंटर, सेवाएँ) -लॉग `C:\Windows\System32\config` में पहले Windows Vista से पहले और `C:\Windows\System32\winevt\Logs` में Windows Vista के बाद स्थित हैं। Windows Vista से पहले, घटना लॉग बाइनरी प्रारूप में थे और इसके बाद, वे **XML प्रारूप** में हैं और **.evtx** एक्सटेंशन का उपयोग करते हैं। +लॉग `C:\Windows\System32\config` में पहले Windows Vista से पहले और `C:\Windows\System32\winevt\Logs` में Windows Vista के बाद स्थित हैं। Windows Vista से पहले, इवेंट लॉग बाइनरी प्रारूप में थे और इसके बाद, वे **XML प्रारूप** में हैं और **.evtx** एक्सटेंशन का उपयोग करते हैं। -घटना फ़ाइलों की स्थिति को **`HKLM\SYSTEM\CurrentControlSet\services\EventLog\{Application|System|Security}`** में पाया जा सकता है। +इवेंट फ़ाइलों की स्थिति सिस्टम रजिस्ट्री में मिल सकती है **`HKLM\SYSTEM\CurrentControlSet\services\EventLog\{Application|System|Security}`** -इन्हें Windows घटना दर्शक (**`eventvwr.msc`**) से या [**Event Log Explorer**](https://eventlogxp.com) जैसे अन्य उपकरणों के साथ देखा जा सकता है **या** [**Evtx Explorer/EvtxECmd**](https://ericzimmerman.github.io/#!index.md)** के साथ।** +इन्हें Windows इवेंट व्यूअर (**`eventvwr.msc`**) से देखा जा सकता है या [**इवेंट लॉग एक्सप्लोरर**](https://eventlogxp.com) **या** [**Evtx एक्सप्लोरर/EvtxECmd**](https://ericzimmerman.github.io/#!index.md)** जैसे अन्य उपकरणों के साथ।** -## Windows सुरक्षा घटना लॉगिंग को समझना +## Windows सुरक्षा इवेंट लॉगिंग को समझना -सुरक्षा विन्यास फ़ाइल में एक्सेस घटनाएँ रिकॉर्ड की जाती हैं जो `C:\Windows\System32\winevt\Security.evtx` में स्थित है। इस फ़ाइल का आकार समायोज्य है, और जब इसकी क्षमता पूरी हो जाती है, पुरानी घटनाएँ ओवरराइट हो जाती हैं। रिकॉर्ड की गई घटनाएँ उपयोगकर्ता लॉगिन और लॉगआउट, उपयोगकर्ता क्रियाएँ, और सुरक्षा सेटिंग्स में परिवर्तनों के साथ, साथ ही फ़ाइल, फ़ोल्डर, और साझा संपत्ति एक्सेस शामिल हैं। +सुरक्षा विन्यास फ़ाइल में एक्सेस इवेंट रिकॉर्ड किए जाते हैं जो `C:\Windows\System32\winevt\Security.evtx` में स्थित है। इस फ़ाइल का आकार समायोज्य है, और जब इसकी क्षमता पूरी हो जाती है, पुराने इवेंट ओवरराइट हो जाते हैं। रिकॉर्ड किए गए इवेंट में उपयोगकर्ता लॉगिन और लॉगऑफ, उपयोगकर्ता क्रियाएँ, और सुरक्षा सेटिंग्स में परिवर्तनों के साथ, साथ ही फ़ाइल, फ़ोल्डर, और साझा संपत्ति एक्सेस भी शामिल हैं। -### उपयोगकर्ता प्रमाणीकरण के लिए मुख्य घटना आईडी: +### उपयोगकर्ता प्रमाणीकरण के लिए मुख्य इवेंट आईडी: -- **घटना आईडी 4624**: उपयोगकर्ता सफलतापूर्वक प्रमाणीकृत करता है। -- **घटना आईडी 4625**: प्रमाणीकरण विफलता की संकेत देता है। -- **घटना आईडी 4634/4647**: उपयोगकर्ता लॉगआउट घटनाएँ को प्रस्तुत करता है। -- **घटना आईडी 4672**: प्रशासनिक विशेषाधिकारों के साथ लॉगिन को दर्शाता है। +- **EventID 4624**: उपयोगकर्ता सफलतापूर्वक प्रमाणीकृत है। +- **EventID 4625**: प्रमाणीकरण विफलता की संकेत देता है। +- **EventIDs 4634/4647**: उपयोगकर्ता लॉगऑफ इवेंट को प्रस्तुत करता है। +- **EventID 4672**: प्रबंधनीय विशेषाधिकारों के साथ लॉगिन को दर्शाता है। +#### सिस्टम पावर इवेंट्स -#### घटना आईडी 4634/4647 के अंदर उप-प्रकार: +इवेंटआईडी 6005 सिस्टम स्टार्टअप को दर्शाता है, जबकि इवेंटआईडी 6006 शटडाउन को चिह्नित करता है। -- **इंटरैक्टिव (2)**: सीधे उपयोगकर्ता लॉगिन। -- **नेटवर्क (3)**: साझा फ़ोल्डरों तक पहुंच। -- **बैच (4)**: बैच प्रक्रियाओं का निष्पादन। -- **सेवा (5)**: सेवा लॉन्च। -- **प्रॉक्सी (6)**: प्रॉक्सी प्रमाणीकरण। -- **अनलॉक (7)**: पासवर्ड के साथ स्क्रीन अनलॉक। -- **नेटवर्क क्लियरटेक्स्ट (8)**: क्लियर टेक्स्ट पासवर्ड प्रसारण, अक्सर IIS से। -- **नए प्रमाणीकरण (9)**: एक्सेस के लिए विभिन्न प्रमाणीकरण का उपयोग। -- **रिमोट इंटरैक्टिव (10)**: रिमोट डेस्कटॉप या टर्मिनल सेवाओं लॉगिन। -- **कैश इंटरैक्टिव (11)**: डोमेन कंट्रोलर से संपर्क के बिना कैश उपयोगकर्ता पहुंच। -- **कैश रिमोट इंटरैक्टिव (12)**: कैश उपयोगकर्ता पहुंच के साथ रिमोट लॉगिन। -- **कैश अनलॉक (13)**: कैश उपयोगकर्ता पहुंच के साथ अनलॉक। +#### लॉग हटाना -#### घटना आईडी 4625 के लिए स्थिति और उप-स्थिति कोड: +सिक्योरिटी इवेंटआईडी 1102 लॉग को हटाने की सूचना देता है, जो फोरेंसिक विश्लेषण के लिए एक महत्वपूर्ण इवेंट है। -- **0xC0000064**: उपयोगकर्ता नाम मौजूद नहीं है - उपयोगकर्ता नाम जांच आक्रमण का संकेत हो सकता है। -- **0xC000006A**: सही उपयोगकर्ता नाम लेकिन गलत पासवर्ड - संभावित पासवर्ड अनुमान या ब्रूट-फोर्स प्रयास। -- **0xC0000234**: उपयोगकर्ता खाता लॉकआउट - एक से अधिक विफल लॉगिन के परिणामस्वरूप ब्रूट-फोर्स हमले का परिणाम हो सकता है। -- **0xC0000072**: खाता निषेधित - निषेधित खातों तक पहुंच के अनधिकृत प्रयास। -- **0xC000006F**: अनुमत समय के बाहर लॉगिन - निर्धारित लॉगिन समय के बाहर पहुंच के प्रयास, अनधिकृत पहुंच के संभावित संकेत। -- **0xC0000070**: वर्कस्टेशन प्रतिबंधों का उल्लंघन - अनधिकृत स्थान से लॉगिन का प्रयास। -- **0xC0000193**: खाता समाप्ति - समाप्त हो चुके उपयोगकर्ता खातों के साथ पहुंच के प्रयास। -- **0xC0000071**: समाप्त पासवर्ड - पुराने पासवर्ड के साथ लॉगिन के प्रयास। -- **0xC0000133**: समय सिंक समस्याएँ - क्लाइंट और सर्वर के बीच बड़े समय अंतर का संकेत हो सकता है जो पास-द-टिकट जैसे अधिक विकल्पित हमलों का संकेत हो सकता है। -- **0xC0000224**: अनिवार्य पासवर्ड परिवर्तन आवश्यक - नियमित पासवर्ड परिवर्तन खाता सुरक्षा को अस्थिर करने का प्रयास सुझा सकता है। -- **0xC0000225**: एक सिस्टम बग का संकेत है न कि सुरक्षा समस्या। -- **0xC000015b**: अनधिकृत लॉगिन प्रकार के साथ अधिकृत पहुंच का प्र +
+ +{% embed url="https://websec.nl/" %} diff --git a/generic-methodologies-and-resources/basic-forensic-methodology/image-acquisition-and-mount.md b/generic-methodologies-and-resources/basic-forensic-methodology/image-acquisition-and-mount.md index fa223c95d..3b1969f8b 100644 --- a/generic-methodologies-and-resources/basic-forensic-methodology/image-acquisition-and-mount.md +++ b/generic-methodologies-and-resources/basic-forensic-methodology/image-acquisition-and-mount.md @@ -4,14 +4,18 @@ जानें AWS हैकिंग को शून्य से हीरो तक htARTE (HackTricks AWS Red Team Expert)! -* क्या आप **साइबर सुरक्षा कंपनी** में काम करते हैं? क्या आप अपनी **कंपनी का हैकट्रिक्स में विज्ञापन देखना चाहते हैं**? या क्या आप **PEASS के नवीनतम संस्करण या हैकट्रिक्स को पीडीएफ में डाउनलोड करना चाहते हैं**? [**सब्सक्रिप्शन प्लान्स**](https://github.com/sponsors/carlospolop) की जाँच करें! -* [**द पीएस फैमिली**](https://opensea.io/collection/the-peass-family) की खोज करें, हमारा विशेष [**एनएफटी**](https://opensea.io/collection/the-peass-family) संग्रह -* [**आधिकारिक PEASS और हैकट्रिक्स स्वैग**](https://peass.creator-spring.com) प्राप्त करें -* **शामिल हों** [**💬**](https://emojipedia.org/speech-balloon/) [**डिस्कॉर्ड समूह**](https://discord.gg/hRep4RUj7f) या [**टेलीग्राम समूह**](https://t.me/peass) या **मुझे** **ट्विटर** 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)** पर फॉलो** करें। -* **अपने हैकिंग ट्रिक्स साझा करें, [हैकट्रिक्स रेपो](https://github.com/carlospolop/hacktricks) और [हैकट्रिक्स-क्लाउड रेपो](https://github.com/carlospolop/hacktricks-cloud) में पीआर जमा करके**। +* क्या आप **साइबर सुरक्षा कंपनी** में काम करते हैं? क्या आप अपनी **कंपनी को HackTricks में विज्ञापित देखना चाहते हैं**? या क्या आप **PEASS के नवीनतम संस्करण देखना चाहते हैं या HackTricks को PDF में डाउनलोड करना चाहते हैं**? [**सब्सक्रिप्शन प्लान्स**](https://github.com/sponsors/carlospolop) की जाँच करें! +* [**द पीएस फैमिली**](https://opensea.io/collection/the-peass-family) की खोज करें, हमारा विशेष [**एनएफटीज़**](https://opensea.io/collection/the-peass-family) संग्रह +* [**आधिकारिक PEASS और HackTricks स्वैग**](https://peass.creator-spring.com) प्राप्त करें +* **शामिल हों** [**💬**](https://emojipedia.org/speech-balloon/) [**डिस्कॉर्ड समूह**](https://discord.gg/hRep4RUj7f) या [**टेलीग्राम समूह**](https://t.me/peass) या **मुझे** **ट्विटर** 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.** +* **अपने हैकिंग ट्रिक्स साझा करें, [hacktricks रेपो](https://github.com/carlospolop/hacktricks) और [hacktricks-cloud रेपो](https://github.com/carlospolop/hacktricks-cloud) पर पीआर जमा करके**। +
+ +{% embed url="https://websec.nl/" %} + ## प्राप्ति ### DD @@ -19,7 +23,7 @@ #This will generate a raw copy of the disk dd if=/dev/sdb of=disk.img ``` -### dcfldd +### डीसीएफएलडी ```bash #Raw copy with hashes along the way (more secur as it checks hashes while it's copying the data) dcfldd if= of= bs=512 hash= hashwindow= hashlog= @@ -33,7 +37,7 @@ ftkimager /dev/sdb evidence --e01 --case-number 1 --evidence-number 1 --descript ``` ### EWF -आप **ewf tools** का उपयोग करके एक डिस्क छवि उत्पन्न कर सकते हैं। [**ewf tools**](https://github.com/libyal/libewf) +आप **ewf tools** का उपयोग करके एक डिस्क छवि उत्पन्न कर सकते हैं। [**ewf tools**](https://github.com/libyal/libewf)। ```bash ewfacquire /dev/sdb #Name: evidence @@ -54,9 +58,9 @@ ewfacquire /dev/sdb ### कई प्रकार -**Windows** में आप फोरेंसिक्स इमेज को माउंट करने के लिए आर्सेनल इमेज माउंटर का मुफ्त संस्करण ([https://arsenalrecon.com/downloads/](https://arsenalrecon.com/downloads/)) उपयोग कर सकते हैं। +**Windows** में आप फ्री संस्करण का उपयोग कर सकते हैं Arsenal Image Mounter ([https://arsenalrecon.com/downloads/](https://arsenalrecon.com/downloads/)) को **फोरेंसिक्स इमेज को माउंट** करने के लिए। -### रॉः +### Raw ```bash #Get file type file evidence.img @@ -65,8 +69,6 @@ evidence.img: Linux rev 1.0 ext4 filesystem data, UUID=1031571c-f398-4bfb-a414-b #Mount it mount evidence.img /mnt ``` -### EWF - ### EWF ```bash #Get file type @@ -82,11 +84,11 @@ output/ewf1: Linux rev 1.0 ext4 filesystem data, UUID=05acca66-d042-4ab2-9e9c-be #Mount mount output/ewf1 -o ro,norecovery /mnt ``` -### ArsenalImageMounter +### आर्सेनल इमेज माउंटर -यह एक Windows एप्लिकेशन है जिसका उपयोग वॉल्यूम माउंट करने के लिए किया जा सकता है। आप इसे यहाँ से डाउनलोड कर सकते हैं [https://arsenalrecon.com/downloads/](https://arsenalrecon.com/downloads/) +यह एक Windows एप्लिकेशन है जो वॉल्यूम को माउंट करने के लिए है। आप इसे यहाँ से डाउनलोड कर सकते हैं [https://arsenalrecon.com/downloads/](https://arsenalrecon.com/downloads/) -### Errors +### त्रुटियाँ * **`/dev/loop0 को केवल पढ़ने के लिए माउंट नहीं किया जा सकता`** इस मामले में आपको फ्लैग **`-o ro,norecovery`** का उपयोग करना होगा। * **`गलत एफएस प्रकार, बुरा विकल्प, /dev/loop0 पर बुरा सुपरब्लॉक, कोडपेज या हेल्पर प्रोग्राम गायब है, या अन्य त्रुटि।`** इस मामले में माउंट विफल हुआ क्योंकि फाइलसिस्टम का ऑफसेट डिस्क इमेज के ऑफसेट से भिन्न है। आपको सेक्टर साइज और स्टार्ट सेक्टर खोजने की आवश्यकता है: @@ -102,18 +104,22 @@ Disk identifier: 0x00495395 Device Boot Start End Sectors Size Id Type disk.img1 2048 208895 206848 101M 1 FAT12 ``` -नोट करें कि सेक्टर का आकार **512** है और प्रारंभ **2048** है। फिर छवि को इस प्रकार माउंट करें: +नोट करें कि सेक्टर का आकार **512** है और प्रारंभ **2048** है। फिर छवि को इस तरह माउंट करें: ```bash mount disk.img /mnt -o ro,offset=$((2048*512)) ``` +
+ +{% embed url="https://websec.nl/" %} +
जानें AWS हैकिंग को शून्य से हीरो तक htARTE (HackTricks AWS Red Team Expert)! -* क्या आप **साइबर सुरक्षा कंपनी** में काम करते हैं? क्या आप अपनी **कंपनी को HackTricks में विज्ञापित देखना चाहते हैं**? या क्या आप **PEASS के नवीनतम संस्करण या HackTricks को PDF में डाउनलोड करना चाहते हैं**? [**सब्सक्रिप्शन प्लान्स**](https://github.com/sponsors/carlospolop) की जाँच करें! -* [**द पीएस फैमिली**](https://opensea.io/collection/the-peass-family) की खोज करें, हमारा विशेष [**एनएफटी**](https://opensea.io/collection/the-peass-family) संग्रह -* [**आधिकारिक PEASS और HackTricks स्वैग**](https://peass.creator-spring.com) प्राप्त करें -* **शामिल हों** [**💬**](https://emojipedia.org/speech-balloon/) [**डिस्कॉर्ड ग्रुप**](https://discord.gg/hRep4RUj7f) या [**टेलीग्राम ग्रुप**](https://t.me/peass) या मुझे **ट्विटर** पर फॉलो करें 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.** -* **अपने हैकिंग ट्रिक्स साझा करें, [hacktricks रेपो](https://github.com/carlospolop/hacktricks) और [hacktricks-cloud रेपो](https://github.com/carlospolop/hacktricks-cloud) पर पीआर जमा करके**। +* क्या आप **साइबर सुरक्षा कंपनी** में काम करते हैं? क्या आप अपनी **कंपनी को HackTricks में विज्ञापित देखना चाहते हैं**? या क्या आपको **PEASS के नवीनतम संस्करण देखना है या HackTricks को PDF में डाउनलोड करना है**? [**सब्सक्रिप्शन प्लान्स**](https://github.com/sponsors/carlospolop) की जाँच करें! +* [**The PEASS Family**](https://opensea.io/collection/the-peass-family) की खोज करें, हमारा विशेष [**NFTs**](https://opensea.io/collection/the-peass-family) संग्रह +* [**आधिकारिक PEASS & HackTricks स्वैग**](https://peass.creator-spring.com) प्राप्त करें +* **शामिल हों** [**💬**](https://emojipedia.org/speech-balloon/) [**डिस्कॉर्ड समूह**](https://discord.gg/hRep4RUj7f) या [**टेलीग्राम समूह**](https://t.me/peass) या मुझे **ट्विटर** पर फॉलो करें 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.** +* **अपने हैकिंग ट्रिक्स साझा करें, [hacktricks रेपो](https://github.com/carlospolop/hacktricks) और [hacktricks-cloud रेपो](https://github.com/carlospolop/hacktricks-cloud) पर PR जमा करके**.
diff --git a/generic-methodologies-and-resources/pentesting-network/glbp-and-hsrp-attacks.md b/generic-methodologies-and-resources/pentesting-network/glbp-and-hsrp-attacks.md index bfc0a4729..8e70ba6ca 100644 --- a/generic-methodologies-and-resources/pentesting-network/glbp-and-hsrp-attacks.md +++ b/generic-methodologies-and-resources/pentesting-network/glbp-and-hsrp-attacks.md @@ -6,55 +6,59 @@ HackTricks का समर्थन करने के अन्य तरीके: -* अगर आप चाहते हैं कि आपकी **कंपनी HackTricks में विज्ञापित हो** या **HackTricks को PDF में डाउनलोड करें** तो [**सब्सक्रिप्शन प्लान्स देखें**](https://github.com/sponsors/carlospolop)! +* अगर आप अपनी **कंपनी का विज्ञापन HackTricks में देखना चाहते हैं** या **HackTricks को PDF में डाउनलोड करना चाहते हैं** तो [**सब्सक्रिप्शन प्लान्स देखें**](https://github.com/sponsors/carlospolop)! * [**आधिकारिक PEASS और HackTricks स्वैग**](https://peass.creator-spring.com) प्राप्त करें * हमारे विशेष [**NFTs**](https://opensea.io/collection/the-peass-family) कलेक्शन [**The PEASS Family**](https://opensea.io/collection/the-peass-family) खोजें -* **शामिल हों** 💬 [**डिस्कॉर्ड ग्रुप**](https://discord.gg/hRep4RUj7f) या [**टेलीग्राम ग्रुप**](https://t.me/peass) या हमें **ट्विटर** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)** पर फॉलो** करें। -* **अपने हैकिंग ट्रिक्स साझा करें** द्वारा PRs सबमिट करके [**HackTricks**](https://github.com/carlospolop/hacktricks) और [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos में। +* **शामिल हों** 💬 [**डिस्कॉर्ड समूह**](https://discord.gg/hRep4RUj7f) या [**टेलीग्राम समूह**](https://t.me/peass) या हमें **ट्विटर** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)** पर फॉलो** करें। +* **HackTricks** और [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos में PRs सबमिट करके अपने हैकिंग ट्रिक्स साझा करें। +
+ +{% embed url="https://websec.nl/" %} + ## FHRP हाइजैकिंग अवलोकन ### FHRP में अंदरूनी दृष्टि -FHRP का उद्देश्य नेटवर्क को मजबूती प्रदान करना है जिसे कई राउटरों को एक एकल आभासी इकाई में मिलाकर सुधारा जाता है, जिससे लोड वितरण और त्रुटि सहनशीलता में सुधार होता है। Cisco Systems ने इस सुइट में प्रमुख प्रोटोकॉल जैसे GLBP और HSRP पेश किए हैं। +FHRP को नेटवर्क की मजबूती प्रदान करने के लिए डिज़ाइन किया गया है जिसमें कई राउटर्स को एक एकल आभासी इकाई में मिलाया जाता है, जिससे लोड वितरण और विफलता सहनशीलता में सुधार होता है। सिस्को सिस्टम्स ने इस सुइट में प्रमुख प्रोटोकॉल जैसे GLBP और HSRP पेश किए हैं। -### GLBP प्रोटोकॉल अंदरूनी दृष्टि -सिस्को का निर्माण, GLBP, TCP/IP स्टैक पर काम करता है, संचार के लिए UDP का उपयोग करता है। GLBP समूह में राउटर "हैलो" पैकेट्स को 3-सेकंड के अंतराल पर आदान-प्रदान करते हैं। यदि किसी राउटर ने 10 सेकंड के लिए इन पैकेट्स को नहीं भेजा, तो उसे ऑफलाइन माना जाता है। हालांकि, ये टाइमर निर्धारित नहीं हैं और संशोधित किए जा सकते हैं। +### GLBP प्रोटोकॉल की अंदरूनी दृष्टि +सिस्को का निर्माण, GLBP, TCP/IP स्टैक पर काम करता है, संचार के लिए UDP का उपयोग करता है जो पोर्ट 3222 पर होता है। GLBP समूह में राउटर "हैलो" पैकेट्स को 3-सेकंड के अंतराल पर आपस में विनिमय करते हैं। यदि किसी राउटर ने 10 सेकंड के लिए इन पैकेट्स को नहीं भेजा, तो उसे ऑफलाइन माना जाता है। हालांकि, ये टाइमर निर्धारित नहीं हैं और संशोधित किए जा सकते हैं। ### GLBP कार्य और लोड वितरण -GLBP एकल आभासी आईपी के साथ कई आभासी मैक पते का उपयोग करके राउटरों के बीच लोड वितरण को संभालता है। GLBP समूह में हर राउटर पैकेट फॉरवर्डिंग में शामिल है। HSRP/VRRP के विपरीत, GLBP कई तरीकों से वास्तविक लोड वितरण प्रदान करता है: +GLBP एकल आभासी आईपी के साथ कई आभासी मैक पते का उपयोग करके राउटर्स के बीच लोड वितरण को संभालता है। GLBP समूह में हर राउटर पैकेट फॉरवर्डिंग में शामिल है। HSRP/VRRP की तुलना में, GLBP कई तरीकों के माध्यम से वास्तविक लोड बैलेंसिंग प्रदान करता है: -- **होस्ट-डिपेंडेंट लोड बैलेंसिंग:** एक होस्ट को स्थिर एवीएफ मैक पता कार्यान्वित करना, स्थिर एनएटी कॉन्फ़िगरेशन के लिए आवश्यक है। -- **राउंड-रॉबिन लोड बैलेंसिंग:** डिफ़ॉल्ट दृष्टिकोण, अनुरोध करने वाले होस्टों के बीच एवीएफ मैक पता कार्यान्वित करना। -- **वेटेड राउंड-रॉबिन लोड बैलेंसिंग:** पूर्वनिर्धारित "वेट" मैट्रिक्स के आधार पर लोड वितरण करना। +- **होस्ट-डिपेंडेंट लोड बैलेंसिंग:** एक होस्ट को स्थिर एवीएफ़ मैक पता का निर्धारण रखता है, जो स्थिर एनएटी कॉन्फ़िगरेशन के लिए आवश्यक है। +- **राउंड-रॉबिन लोड बैलेंसिंग:** डिफ़ॉल्ट दृष्टिकोण, अनुरोध करने वाले होस्टों के बीच एवीएफ़ मैक पता का निर्धारण बारी-बारी से करता है। +- **वेटेड राउंड-रॉबिन लोड बैलेंसिंग:** पूर्वनिर्धारित "वेट" मैट्रिक्स के आधार पर लोड वितरण करता है। ### GLBP में मुख्य घटक और शब्दावली -- **AVG (सक्रिय आभासी गेटवे):** मुख्य राउटर, सहपी राउटरों को मैक पते आवंटित करने के लिए जिम्मेदार। +- **AVG (सक्रिय आभासी गेटवे):** मुख्य राउटर, पीयर राउटर्स को मैक पते आवंटित करने के लिए जिम्मेदार। - **AVF (सक्रिय आभासी फ़ोरवर्डर):** नेटवर्क ट्रैफ़िक प्रबंधित करने के लिए निर्धारित एक राउटर। - **GLBP प्राथमिकता:** AVG को निर्धारित करने वाला मैट्रिक्स, जो डिफ़ॉल्ट रूप से 100 से शुरू होता है और 1 से 255 तक होता है। - **GLBP वेट:** एक राउटर पर वर्तमान लोड को प्रतिबिंबित करता है, जिसे मैन्युअल रूप से या ऑब्जेक्ट ट्रैकिंग के माध्यम से समायोजित किया जा सकता है। - **GLBP आभासी आईपी पता:** सभी कनेक्टेड उपकरणों के लिए नेटवर्क का डिफ़ॉल्ट गेटवे के रूप में काम करता है। -संवाद के लिए, GLBP आरक्षित मल्टीकास्ट पता 224.0.0.102 और UDP पोर्ट 3222 का उपयोग करता है। राउटर 3-सेकंड के अंतराल पर "हैलो" पैकेट्स भेजते हैं, और यदि 10-सेकंड की अवधि के दौरान कोई पैकेट छूट जाता है, तो वे गैर-परिचालनीय माने जाते हैं। +संवाद के लिए, GLBP ने आरक्षित मल्टीकास्ट पता 224.0.0.102 और UDP पोर्ट 3222 का उपयोग किया है। राउटर 3-सेकंड के अंतराल पर "हैलो" पैकेट्स भेजते हैं, और यदि 10-सेकंड की अवधि में कोई पैकेट छूट जाता है, तो वे गैर-परिचालनीय माने जाते हैं। ### GLBP हमले की विधि -एक हमलावता GLBP पैकेट भेजकर हमलावता प्राथमिक राउटर बन सकता है जिसमें सर्वोच्च प्राथमिकता मान (255) होता है। यह DoS या MITM हमलों का कारण बन सकता है, जिससे ट्रैफिक अंशग्रहण या पुनर्निर्देशन संभव हो। +एक हमलावता GLBP पैकेट भेजकर एक हमलावता राउटर बन सकता है जिसमें सर्वोच्च प्राथमिकता मान (255) होता है। इससे DoS या MITM हमले हो सकते हैं, जिससे ट्रैफ़िक अंतरग्रहण या पुनर्निर्देशन हो सकता है। -### Loki के साथ GLBP हमले का कार्यान्वयन -[Loki](https://github.com/raizo62/loki_on_kali) एक GLBP हमला कर सकता है जिसमें प्राथमिकता और वेट सेट किए गए 255 के साथ एक पैकेट डालकर। पूर्व-हमले कदम उपकरणों का उपयोग करके वर्चुअल आईपी पता, प्रमाणीकरण की उपस्थिति, और राउटर प्राथमिकता मूल्यों जैसी जानकारी इकट्ठा करने की शामिल है। +### Loki के साथ एक GLBP हमला करना +[Loki](https://github.com/raizo62/loki_on_kali) एक GLBP हमला कर सकता है जिसमें प्राथमिकता और वेट सेट किए गए होते हैं। पूर्व-हमले कदम उपकरणों का उपयोग करके वायरशार्क का उपयोग करके वर्चुअल आईपी पता, प्रमाणीकरण की उपस्थिति, और राउटर प्राथमिकता मूल्यों जैसी जानकारी इकट्ठा करने की आवश्यकता होती है। हमले कदम: 1. प्रोमिस्क्यूअस मोड पर स्विच करें और आईपी फॉरवर्डिंग सक्षम करें। 2. लक्षित राउटर की पहचान करें और उसका आईपी प्राप्त करें। 3. एक ग्रेट्यूटस ARP उत्पन्न करें। 4. AVG का अनुकरण करते हुए एक दुर्भाग्यपूर्ण GLBP पैकेट डालें। -5. हमलावता के नेटवर्क इंटरफेस पर एक सेकेंडरी आईपी पता का निर्धारण करें, GLBP वर्चुअल आईपी का अभिकरण करते हुए। -6. पूर्ण ट्रैफ़िक दृश्यता के लिए एसएनएटी का अमल करें। +5. हमलावता नेटवर्क इंटरफेस को एक सेकेंडरी आईपी पता सौंपें, GLBP वर्चुअल आईपी का अभिकरण करते हुए। +6. पूर्ण ट्रैफ़िक दृश्यता के लिए एसएनएटी को लागू करें। 7. मूल AVG राउटर के माध्यम से निरंतर इंटरनेट एक्सेस सुनिश्चित करने के लिए रूटिंग समायोजित करें। -इन कदमों का पालन करके, हमलावता खुद को "मैन इन द मिडिल" के रूप में स्थापित करता है, जो नेटवर्क ट्रैफ़िक, सहित अनएन्क्रिप्टेड या संवेदनशील डेटा को अंशग्रहण और विश्लेषण करने में सक्षम होता है। +इन कदमों का पालन करके, हमलावता खुद को "मध्य में व्यक्ति" के रूप में स्थापित करता है, जो नेटवर्क ट्रैफ़िक, अक्रिप्ट या संवेदनशील डेटा सहित, को अंतरग्रहण और विश्लेषण करने में सक्षम होता है। प्रदर्शन के लिए, यहाँ आवश्यक कमांड स्निपेट्स हैं: ```bash @@ -70,20 +74,20 @@ sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE sudo route del default sudo route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.10.100.100 ``` -### HSRP हाइजैकिंग का पैशिव विवरण और कमांड विवरण +### HSRP हाइजैकिंग का पैशिव विवरण कमांड विवरण के साथ -#### HSRP का अवलोकन (हॉट स्टैंडबाई राउटर/पुनरावर्तन प्रोटोकॉल) -HSRP एक सिस्को प्रोप्राइटरी प्रोटोकॉल है जो नेटवर्क गेटवे पुनरावर्तन के लिए डिज़ाइन किया गया है। इसकी मदद से कई भौतिक राउटर्स को एक एकल तार्किक इकाई में कॉन्फ़िगर किया जा सकता है जिसमें एक साझा आईपी पता होता है। यह तार्किक इकाई प्रमुख राउटर द्वारा प्रबंधित की जाती है जो ट्रैफ़िक को निर्देशित करने के लिए जिम्मेदार होता है। GLBP की तरह, जो लोड बैलेंसिंग के लिए प्राथमिकता और वज़न जैसी मैट्रिक्स का उपयोग करता है, HSRP ट्रैफ़िक प्रबंधन के लिए एक ही सक्रिय राउटर पर निर्भर है। +#### HSRP का अवलोकन (हॉट स्टैंडबाई राउटर/पुनरावृत्ति प्रोटोकॉल) +HSRP एक सिस्को प्रोप्राइटरी प्रोटोकॉल है जो नेटवर्क गेटवे पुनरावृत्ति के लिए डिज़ाइन किया गया है। इसकी मदद से कई भौतिक राउटर्स को एक एकल तार्किक इकाई में कॉन्फ़िगर किया जा सकता है जिसमें एक साझा आईपी पता होता है। यह तार्किक इकाई प्रमुख राउटर द्वारा प्रबंधित की जाती है जो ट्रैफ़िक को निर्देशित करने के लिए जिम्मेदार होता है। GLBP की तरह, जो लोड बैलेंसिंग के लिए प्राथमिकता और वज़न जैसी मैट्रिक्स का उपयोग करता है, HSRP ट्रैफ़िक प्रबंधन के लिए एक ही सक्रिय राउटर पर निर्भर है। #### HSRP में भूमिकाएँ और शब्दावली - **HSRP सक्रिय राउटर**: गेटवे के रूप में कार्य करने वाली डिवाइस, ट्रैफ़िक फ्लो का प्रबंधन करना। - **HSRP स्टैंडबाई राउटर**: एक बैकअप राउटर, जो सक्रिय राउटर की विफलता के मामले में कार्रवाई करने के लिए तैयार है। -- **HSRP समूह**: एक एकल सहायक वर्चुअल राउटर बनाने के लिए सहयोग करने वाले राउटरों का समूह। +- **HSRP समूह**: एक एकल सहायक वर्चुअल राउटर बनाने के लिए सहयोग करने वाले राउटरों का एक सेट। - **HSRP MAC पता**: HSRP सेटअप में तार्किक राउटर को निर्धारित किया गया वर्चुअल MAC पता। -- **HSRP वर्चुअल आईपी पता**: HSRP समूह का वर्चुअल आईपी पता, जो कनेक्टेड डिवाइसेज के लिए डिफ़ॉल्ट गेटवे के रूप में कार्य करता है। +- **HSRP वर्चुअल आईपी पता**: HSRP समूह का वर्चुअल आईपी पता, जो कनेक्टेड डिवाइस के लिए डिफ़ॉल्ट गेटवे के रूप में कार्य करता है। #### HSRP संस्करण -HSRP दो संस्करणों में आता है, HSRPv1 और HSRPv2, जिनमें समूह क्षमता, मल्टीकास्ट आईपी उपयोग, और वर्चुअल MAC पता संरचना में मुख्य रूप से अंतर है। प्रोटोकॉल विशेष मल्टीकास्ट आईपी पते का उपयोग सेवा सूचना विनिमय के लिए करता है, हेलो पैकेट्स हर 3 सेकंड में भेजे जाते हैं। एक राउटर को अव्याक्त माना जाता है अगर 10 सेकंड के अंतराल में कोई पैकेट प्राप्त नहीं होता है। +HSRP दो संस्करणों में आता है, HSRPv1 और HSRPv2, जिनमें समूह क्षमता, मल्टीकास्ट आईपी उपयोग, और वर्चुअल MAC पता संरचना में मुख्य रूप से अंतर है। प्रोटोकॉल विशेष मल्टीकास्ट आईपी पते का उपयोग सेवा सूचना विनिमय के लिए करता है, हैलो पैकेट्स हर 3 सेकंड में भेजे जाते हैं। एक राउटर को अव्याक्त माना जाता है अगर 10 सेकंड के अंतराल में कोई पैकेट प्राप्त नहीं होता है। #### HSRP हमले की तंत्रिका -HSRP हमले में सक्रिय राउटर की भूमिका को ज़बरदस्ती अधिकतम प्राथमिकता मान कर लेना शामिल है। यह एक मैन-इन-द-मिडल (MITM) हमले की ओर ले जा सकता है। महत्वपूर्ण पूर्व-हमले कदमों में HSRP सेटअप के बारे में डेटा इकट्ठा करना शामिल है, जो ट्रैफ़िक विश्लेषण के लिए Wireshark का उपयोग करके किया जा सकता है। +HSRP हमले में सक्रिय राउटर की भूमिका को ज़बरदस्ती से अधिक प्राथमिकता मान कर लेना शामिल है। यह एक मैन-इन-द-मिडिल (MITM) हमले की ओर ले जा सकता है। महत्वपूर्ण पूर्व-हमले कदमों में HSRP सेटअप के बारे में डेटा जुटाना शामिल है, जो ट्रैफ़िक विश्लेषण के लिए वायरशार्क का उपयोग करके किया जा सकता है। diff --git a/generic-methodologies-and-resources/pentesting-network/nmap-summary-esp.md b/generic-methodologies-and-resources/pentesting-network/nmap-summary-esp.md index 7788721a4..3718f5610 100644 --- a/generic-methodologies-and-resources/pentesting-network/nmap-summary-esp.md +++ b/generic-methodologies-and-resources/pentesting-network/nmap-summary-esp.md @@ -2,17 +2,21 @@
-जानें AWS हैकिंग को शून्य से हीरो तक htARTE (HackTricks AWS Red Team Expert) के साथ! +जानें AWS हैकिंग को शून्य से हीरो तक htARTE (HackTricks AWS Red Team Expert)! HackTricks का समर्थन करने के अन्य तरीके: -* अगर आप अपनी **कंपनी का विज्ञापन HackTricks में देखना चाहते हैं** या **HackTricks को PDF में डाउनलोड करना चाहते हैं** तो [**सब्सक्रिप्शन प्लान्स**](https://github.com/sponsors/carlospolop) देखें! -* [**आधिकारिक PEASS & HackTricks स्वैग**](https://peass.creator-spring.com) प्राप्त करें +* अगर आप अपनी **कंपनी का विज्ञापन HackTricks में देखना चाहते हैं** या **HackTricks को PDF में डाउनलोड करना चाहते हैं** तो [**सब्सक्रिप्शन प्लान्स देखें**](https://github.com/sponsors/carlospolop)! +* [**आधिकारिक PEASS और HackTricks स्वैग**](https://peass.creator-spring.com) प्राप्त करें * हमारे विशेष [**NFTs**](https://opensea.io/collection/the-peass-family) कलेक्शन, [**The PEASS Family**](https://opensea.io/collection/the-peass-family) खोजें * **शामिल हों** 💬 [**डिस्कॉर्ड समूह**](https://discord.gg/hRep4RUj7f) या [**टेलीग्राम समूह**](https://t.me/peass) या हमें **ट्विटर** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)** पर फॉलो** करें। -* **अपने हैकिंग ट्रिक्स साझा करें, HackTricks** और [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos में PRs सबमिट करके। +* **हैकिंग ट्रिक्स साझा करें और PRs सबमिट करके** [**HackTricks**](https://github.com/carlospolop/hacktricks) और [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos में।
+ +
+ +{% embed url="https://websec.nl/" %} ``` nmap -sV -sC -O -n -oA nmapscan 192.168.0.1/24 ``` @@ -22,31 +26,224 @@ nmap -sV -sC -O -n -oA nmapscan 192.168.0.1/24 * **`,`:** IPs को सीधे इंडिकेट करें * **`-iL `:** सूची_IPs -* **`-iR `**: यादृच्छिक Ips की संख्या, आप `--exclude ` या `--excludefile ` के साथ संभावित Ips को छोड़ सकते हैं। +* **`-iR `**: रैंडम IPs की संख्या, आप `--exclude ` या `--excludefile ` के साथ संभावित IPs को बाहर कर सकते हैं। ### उपकरण खोज -निम्नलिखित डिस्कवरी चरण को लॉन्च करने के लिए Nmap डिफ़ॉल्ट रूप से एक डिस्कवरी चरण शुरू करता है: `-PA80 -PS443 -PE -PP` +निम्नलिखित डिस्कवरी फेज को लॉन्च करता है Nmap: `-PA80 -PS443 -PE -PP` -* **`-sL`**: यह अत्यधिक आक्रामक नहीं है, यह लक्ष्यों की सूची बनाता है जो नामों को हल करने के लिए **DNS** अनुरोध करते हैं। यह उपयोगी है यदि आप जानना चाहते हैं कि क्या उदाहरण के लिए www.prueba.es/24 सभी Ips हमारे लक्ष्य हैं। -* **`-Pn`**: **कोई पिंग नहीं**। यह उपयोगी है अगर आप जानते हैं कि सभी वे सक्रिय हैं (अगर नहीं, तो आप बहुत समय खो सकते हैं, लेकिन यह विकल्प भी गलत नकारात्मक उत्तर देता है कि वे सक्रिय नहीं हैं), यह डिस्कवरी चरण को रोकता है। -* **`-sn`** : **कोई पोर्ट स्कैन नहीं**। जासूसी चरण पूरा करने के बाद, यह पोर्ट स्कैन नहीं करता है। यह अपेक्षाकृत छिपकली है, और एक छोटे नेटवर्क स्कैन करने देता है। विशेषाधिकारों के साथ यह 80 को ACK (-PA) भेजता है, 443 को SYN(-PS) भेजता है और एक इको अनुरोध और एक समयचिह्न अनुरोध भेजता है, विशेषाधिकारों के बिना यह हमेशा कनेक्शन पूरा करता है। यदि लक्ष्य नेटवर्क है, तो यह केवल ARP(-PR) का उपयोग करता है। यदि इसे किसी अन्य विकल्प के साथ उपयोग किया जाता है, तो केवल दूसरे विकल्प के पैकेट ड्रॉप किए जाते हैं। +* **`-sL`**: यह अत्यधिक आक्रामक नहीं है, यह लक्ष्यों की सूची बनाता है जिसमें नामों को हल करने के लिए **DNS** अनुरोध किए जाते हैं। यह उपयोगी है यदि आप जानना चाहते हैं कि क्या उदाहरण के लिए www.prueba.es/24 सभी IPs हमारे लक्ष्य हैं। +* **`-Pn`**: **कोई पिंग नहीं**। यह उपयोगी है अगर आप जानते हैं कि सभी वे सक्रिय हैं (अगर नहीं, तो आप बहुत समय खो सकते हैं, लेकिन यह विकल्प भी गलत नकारात्मक परिणाम देता है कि वे सक्रिय नहीं हैं), यह डिस्कवरी फेज को रोकता है। +* **`-sn`** : **कोई पोर्ट स्कैन नहीं**। अनुसंधान फेज पूरा करने के बाद, यह पोर्ट स्कैन नहीं करता है। यह अपेक्षाकृत छिपकली है, और एक छोटे नेटवर्क स्कैन करने की अनुमति देता है। विशेषाधिकारों के साथ, यह 80 को ACK (-PA) भेजता है, 443 को SYN(-PS) भेजता है और एक इको अनुरोध और एक समयचिह्न अनुरोध भेजता है, बिना विशेषाधिकारों के हमेशा कनेक्शन पूरा होता है। यदि लक्ष्य नेटवर्क है, तो केवल ARP(-PR) का उपयोग किया जाता है। यदि दूसरे विकल्प के साथ उपयोग किया जाता है, तो केवल दूसरे विकल्प के पैकेट ड्रॉप किए जाते हैं। * **`-PR`**: **पिंग ARP**। यह डिफ़ॉल्ट रूप से हमारे नेटवर्क में कंप्यूटरों का विश्लेषण करते समय उपयोग किया जाता है, यह पिंग का उपयोग करने से तेज है। यदि आप ARP पैकेट का उपयोग नहीं करना चाहते हैं तो `--send-ip` का उपयोग करें। -* **`-PS `**: यह SYN पैकेट भेजता है जिसे यदि यह SYN/ACK के साथ जवाब देता है तो खुला है (जिसे यह RST के साथ जवाब देता है ताकि कनेक्शन समाप्त न हो), यदि यह RST के साथ जवाब देता है तो बंद है और यदि यह जवाब नहीं देता है तो अपरिहार्य है। यदि विशेषाधिकार नहीं हैं, तो समूर्ण कनेक्शन स्वचालित रूप से उपयोग किया जाता है। यदि कोई पोर्ट नहीं दिया गया है, तो यह 80 पर फेंक देता है। -* **`-PA `**: पिछले वाले के समान लेकिन ACK के साथ, दोनों को मिलाकर बेहतर परिणाम मिलते हैं। -* **`-PU `**: उद्देश्य उल्टा है, वे पोर्ट्स पर भेजे जाते हैं जिनका अपेक्षित है कि वे बंद हों। कुछ फ़ायरवॉल केवल TCP कनेक्शन की जांच करते हैं। यदि यह बंद है तो यह पोर्ट अपरिहार्य के साथ जवाब देता है, यदि यह किसी अन्य icmp के साथ जवाब देता है या जवाब नहीं देता है तो यह गंतव्य अपरिहार्य रूप से छोड़ दिया जाता है। -* **`-PE, -PP, -PM`** : ICMP PINGS: इको प्रतिद्वंद्वी, समयचिह्न और एड्रेसमास्क। यह जानने के लिए लॉन्च किया जाता है कि लक्ष्य सक्रिय है या नहीं। -* **`-PY`**: 80 के लिए SCTP INIT प्रोब्स भेजता है, INIT-ACK(खुला) या ABORT(बंद) या कुछ नहीं या ICMP अपरिहार्य(निष्क्रिय) का जवाब दिया जा सकता है। -* **`-PO `**: हेडर्स में एक प्रोटोकॉल निर्दिष्ट किया जाता है, डिफ़ॉल्ट रूप से 1(ICMP), 2(IGMP) और 4(Encap IP)। ICMP, IGMP, TCP (6) और UDP (17) प्रोटोकॉल के लिए प्रोटोकॉल हेडर भेजे जाते हैं, बाकी के लिए केवल IP हेडर भेजा जाता है। इसका उद्देश्य है कि हेडर्स के अविनाशितता के कारण प्रोटोकॉल अपरिहार्य या उसी प्रोटोकॉल के प्रतिसाद दिए जाते हैं ताकि पता चले कि यह ऊपर है। +* **`-PS `**: यह SYN पैकेट भेजता है जिसे यदि यह SYN/ACK के साथ जवाब देता है तो खुला है (जिसे यह RST के साथ जवाब देता है ताकि कनेक्शन समाप्त न हो), यदि यह RST के साथ जवाब देता है तो बंद है और यदि यह जवाब नहीं देता है तो अगम्य है। यदि विशेषाधिकार नहीं हैं, तो सम्पूर्ण कनेक्शन स्वचालित रूप से उपयोग किया जाता है। यदि कोई पोर्ट नहीं दिया गया है, तो यह 80 पर फेंक देता है। +* **`-PA `**: पिछले वाले की तरह लेकिन ACK के साथ, दोनों को मिलाकर बेहतर परिणाम मिलते हैं। +* **`-PU `**: उद्देश्य उल्टा है, यह बंद होने की उम्मीद है। कुछ फ़ायरवॉल केवल TCP कनेक्शन की जांच करते हैं। यदि यह बंद है तो यह पोर्ट अप्राप्य है, यदि यह किसी अन्य icmp के साथ जवाब देता है या जवाब नहीं देता है तो यह गंतव्य अप्राप्य छोड़ दिया जाता है। +* **`-PE, -PP, -PM`** : ICMP PINGS: इको प्रतिद्वंद्वी, समयचिह्न और एड्रेसमास्क। यह लॉन्च किया जाता है ताकि पता चले कि लक्ष्य सक्रिय है या नहीं। +* **`-PY`**: 80 के लिए SCTP INIT प्रोब भेजता है, INIT-ACK(खुला) या ABORT(बंद) या कुछ नहीं या ICMP अप्राप्य(निष्क्रिय) जवाब दिया जा सकता है। +* **`-PO `**: हेडर में एक प्रोटोकॉल निर्दिष्ट किया जाता है, डिफ़ॉल्ट रूप से 1(ICMP), 2(IGMP) और 4(Encap IP)। ICMP, IGMP, TCP (6) और UDP (17) प्रोटोकॉल के लिए प्रोटोकॉल हेडर भेजे जाते हैं, बाकी के लिए केवल IP हेडर भेजा जाता है। इसका उद्देश्य है कि हेडर्स की गलत बनावट के कारण प्रोटोकॉल अप्राप्य या उसी प्रोटोकॉल के जवाब दिए जाते हैं ताकि पता चले कि यह ऊपर है या नहीं। * **`-n`**: कोई DNS नहीं * **`-R`**: हमेशा DNS ### पोर्ट स्कैनिंग तकनीकें -* **`-sS`**: कनेक्शन को पूरा नहीं करता है इसलिए कोई पता नहीं छोड़ता, यदि उपयोग किया जा सकता है तो बहुत अच्छा है।(विशेषाधिकार) यह डिफ़ॉल्ट रूप से उपयोग किया जाता है। -* **`-sT`**: कनेक्शन पूरा करता है, इसलिए कोई पता छोड़ता है, लेकिन यह सुनिश्चित करने के लिए उपयोग किया जा सकता है। डिफ़ॉल्ट रूप से विशेषाधिकारों के बिना। -* **`-sU`**: धीमा, UDP के लिए। अधिकांश: DNS(53), SNMP(161,162), DHCP(67 और 68), (-sU53,161,162,67,68): खुला(जवाब), बंद(पोर्ट अपरिहार्य), फ़िल्टर (एक और ICMP), खुला/फ़िल्टर (कुछ नहीं)। खुला/फ़िल्टर के मामले में, -sV नम्बरों को पहचानने के लिए कई अनुरोध भेजता है जिनमें से कोई भी नम्बरों को पहचान सकता है और सच्ची स्थिति को पहचान सकता है। यह समय को बहुत बढ़ा देता है। -* **`-sY`**: SCTP प्रोटोकॉल कनेक्शन स्थापित करने में विफल होता है, इसलिए कोई लॉग नहीं होता है, -PY की तरह काम करता है -* **`-sN,-sX,-sF`:** नल, फिन, ज़मास, वे कुछ फ़ायरवॉल में प्रवेश कर सकते हैं और जानकारी निकाल सकते हैं। यह उस तथ्य पर आधारित है कि मानक अनुरूप मशीनें उन सभी अनुरोधों के साथ RST के साथ प्रतिसाद देना चाहिए जिनमें SYN, RST या ACK लैग उठाए गए हैं: खुला/फ़िल्टर(कुछ नहीं), बंद(RST), फ़िल्टर (ICMP अपरिहार्य)। यह Windows, CIsco, BSDI और OS/400 पर अविश्वसनीय है। Unix पर हां। -* **`-sM`**: Maimon स्कैन: FIN और ACK लैग भेजता है, वर्तमान में सभी को बंद दिखाएगा। -* **`-sA, sW`**: ACK और विंडो, फ़ायरवॉल का पता लगाने के लिए उपयोग किया जाता है, यह जानने के लिए कि पोर्ट फ़िल्टर हैं या नहीं। -sW खुले/बंद के बीच भेद करता है क्योंकि खुले वाले अलग विंडो मान देते हैं +* **`-sS`**: कनेक्शन को पूरा नहीं करता है इसलिए कोई पता नहीं छोड़ता, अगर उपयोग किया जा सकता है तो बहुत अच्छा है।(विशेषाधिकार) यह डिफ़ॉल्ट रूप से उपयोग किया जाता है। +* **`-sT`**: कनेक्शन पूरा करता है, इसलिए यह पता छोड़ता है, लेकिन यह सुनिश्चित करने के लिए उपयोग किया जा सकता है। डिफ़ॉल्ट रूप से विशेषाधिकार नहीं है। +* **`-sU`**: धीमा, UDP के लिए। अधिकांश: DNS(53), SNMP(161,162), DHCP(67 और 68), (-sU53,161,162,67,68): खुला(जवाब), बंद(पोर्ट अप्राप्य), फ़िल्टर(अन्य ICMP), खुला/फ़िल्टर(कुछ नहीं)। खुला/फ़िल्टर के मामले में, -sV न्यूनतम संभावनाओं को जानने के लिए कई अनुरोध भेजता है और nmap समर्थित किसी भी संस्करण का पता लगा सकता है और वास्तविक स्थिति का पता लगा सकता है। यह समय को बहुत बढ़ा देता है। +* **`-sY`**: SCTP प्रोटोकॉल कनेक्शन स्थापित करने में विफल होता है, इसलिए कोई लॉग नहीं होता, -PY की तरह काम करता है +* **`-sN,-sX,-sF`:** नल, फिन, ख्रिसमस, वे कुछ फ़ायरवॉल में प्रवेश कर सकते हैं और जानकारी निकाल सकते हैं। यह उस तथ्य पर आधारित है कि मानक अनुरूप मशीनें उन सभी अनुरोधों के साथ RST देना चाहिए जिनमें SYN, RST या ACK लैग उठाए नहीं हैं: खुला/फ़िल्टर(कुछ नहीं), बंद(RST), फ़िल्टर(अन्य ICMP)। विंडोज, सिस्को, बीएसडीआई और ओएस/400 पर अविश्वसनीय है। यूनिक्स पर हां। +* **`-sM`**: मैमन स्कैन: FIN और ACK फ्लैग भेजता है, वर्तमान में सभी को बंद के रूप में लौटाएगा। +* **`-sA, sW`**: ACK और विंडो, फ़ायरवॉल का पता लगाने के लिए उपयोग किया जाता है, यह जानने के लिए कि पोर्ट फ़िल्टर हैं या नहीं। -sW खुला/बंद के बीच भेद करता है क्योंकि खुले वाले अलग विंडो मान देते हैं: खुला (जवाब विंडो 0 के अलावा), बंद (बंद विंडो = 0), फ़िल्टर (ICMP अप +**--osscan-guess** जब ऑपरेटिंग सिस्टम की पहचान पूरी तरह से सही नहीं होती है तो यह अधिक प्रयास करता है। + +**Scripts** + +\--script _\<नाम>_|_\<श्रेणी>_|_\<निर्देशिका>_|_\<अभिव्यक्ति>_\[,...] + +डिफ़ॉल्ट के लिए उपयोग करने के लिए -sC या --script=default काफी है। + +उपलब्ध श्रेणियाँ हैं: auth, broadcast, default, discovery, dos, exploit, external, fuzzer, intrusive, malware, safe, version, और vuln + +* **Auth:** प्रमाणीकरण के लिए उपलब्ध सभी अपने _स्क्रिप्ट_ को चलाता है +* **Default:** उपकरण के डिफ़ॉल्ट बुनियादी _स्क्रिप्ट_ को चलाता है +* **Discovery:** _target_ या पीड़िता से जानकारी प्राप्त करता है +* **External:** बाह्य संसाधनों का उपयोग करने के लिए _स्क्रिप्ट_ +* **Intrusive:** पीड़ित या _target_ के लिए अभिमानी माने जाने वाले _स्क्रिप्ट_ का उपयोग करता है +* **Malware:** क्या खुले हैं कोड या _backdoors_ (पिछले दरवाजे) द्वारा कोई जुड़ाव है या नहीं जांचता है +* **Safe:** अभिमानी नहीं हैं _स्क्रिप्ट_ को चलाता है +* **Vuln:** सबसे अधिक जानी जाने वाली कमियों का पता लगाता है +* **All:** उपलब्ध NSE विस्तार वाले सभी _स्क्रिप्ट_ को चलाता है + +स्क्रिप्ट खोजने के लिए: + +**nmap --script-help="http-\*" -> जो http- से शुरू होते हैं** + +**nmap --script-help="not intrusive" -> उनमें से सभी जो नहीं हैं** + +**nmap --script-help="default or safe" -> जो एक में हैं या दूसरे में या दोनों में** + +**nmap --script-help="default and safe" --> जो दोनों में हैं** + +**nmap --script-help="(default or safe or intrusive) and not http-\*"** + +\--script-args _\_=_\_,_\_={_\_=_\_},_\_={_\_,_\_} + +\--script-args-file _\<नाम फ़ाइल>_ + +\--script-help _\<नाम>_|_\<श्रेणी>_|_\<निर्देशिका>_|_\<अभिव्यक्ति>_|all\[,...] + +\--script-trace ---> स्क्रिप्ट का प्रगति देता है + +\--script-updatedb + +**स्क्रिप्ट का उपयोग करने के लिए केवल नाम दर्ज करें: namp --script नाम_देना_है\_स्क्रिप्ट लक्ष्य** --> स्क्रिप्ट और स्कैनर दोनों को चलाने के लिए स्क्रिप्ट दर्ज करने पर, इसलिए स्कैनर के विकल्प भी दर्ज किए जा सकते हैं, हम **“safe=1”** जोड़ सकते हैं ताकि केवल सुरक्षित वाले ही चलें। + +**समय नियंत्रण** + +**Nmap सेकंड, मिनट, ms में समय को संशोधित कर सकता है:** --host-timeout arguments 900000ms, 900, 900s, और 15m सभी एक ही चीज करते हैं। + +Nmap होस्ट की कुल संख्या को समूहों में विभाजित करता है और उन समूहों का विश्लेषण ब्लॉक में करता है, जिसका मतलब है कि जब तक सभी विश्लेषित नहीं हो जाते हैं, तब तक यह अगले ब्लॉक पर नहीं जाता है (और उपयोगकर्ता को तब तक कोई अद्यतन नहीं मिलता है जब तक ब्लॉक का विश्लेषण नहीं हो जाता है) इस तरह, nmap के लिए बड़े समूहों का उपयोग करना अधिक उपयुक्त है। डिफ़ॉल्ट रूप से कक्षा C में 256 का उपयोग करता है। + +इसे बदल सकते हैं\*\*--min-hostgroup\*\* _**\**_**;** **--max-hostgroup** _**\**_ (समानकालिक स्कैन समूह आकारों को समायोजित करें) + +समानकालिक स्कैनरों की संख्या को नियंत्रित किया जा सकता है लेकिन यह बेहतर है कि न करें (nmpa में पहले से ही नेटवर्क की स्थिति के आधार पर स्वचालित नियंत्रण शामिल है): **--min-parallelism** _**\**_**;** **--max-parallelism** _**\**_ + +हम rtt टाइमआउट को संशोधित कर सकते हैं, लेकिन आम तौर पर यह आवश्यक नहीं होता: **--min-rtt-timeout** _**\