hacktricks/physical-attacks/physical-attacks.md

10 KiB

Attaques Physiques

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

Mot de passe BIOS

La batterie

La plupart des cartes mères ont une batterie. Si vous la retirez pendant 30 minutes, les paramètres du BIOS seront réinitialisés (mot de passe inclus).

Cavalier CMOS

La plupart des cartes mères ont un cavalier qui peut réinitialiser les paramètres. Ce cavalier connecte une broche centrale à une autre, si vous connectez ces broches, la carte mère sera réinitialisée.

Outils en direct

Si vous pouviez exécuter par exemple un Linux Kali depuis un CD/USB Live, vous pourriez utiliser des outils comme killCmos ou CmosPWD (ce dernier est inclus dans Kali) pour essayer de récupérer le mot de passe du BIOS.

Récupération de mot de passe BIOS en ligne

Entrez le mot de passe du BIOS 3 fois incorrectement, puis le BIOS affichera un message d'erreur et sera bloqué.
Visitez la page https://bios-pw.org et introduisez le code d'erreur affiché par le BIOS et vous pourriez avoir de la chance et obtenir un mot de passe valide (la même recherche pourrait vous montrer différents mots de passe et plus d'un pourrait être valide).

UEFI

Pour vérifier les paramètres de l'UEFI et effectuer une sorte d'attaque, vous devriez essayer chipsec.
En utilisant cet outil, vous pourriez facilement désactiver le Secure Boot :

python chipsec_main.py -module exploits.secure.boot.pk

RAM

Cold boot

La mémoire RAM est persistante de 1 à 2 minutes à partir du moment où l'ordinateur est éteint. Si vous appliquez du froid (azote liquide, par exemple) sur la carte mémoire, vous pouvez prolonger ce temps jusqu'à 10 minutes.

Ensuite, vous pouvez faire un dump de la mémoire (en utilisant des outils comme dd.exe, mdd.exe, Memoryze, win32dd.exe ou DumpIt) pour analyser la mémoire.

Vous devriez analyser la mémoire avec volatility.

INCEPTION

Inception est un outil de manipulation de la mémoire physique et de hacking exploitant le DMA basé sur PCI. L'outil peut attaquer via FireWire, Thunderbolt, ExpressCard, PC Card et tout autre interface HW PCI/PCIe.
Connectez votre ordinateur à l'ordinateur victime via l'une de ces interfaces et INCEPTION essaiera de patcher la mémoire physique pour vous donner accès.

Si INCEPTION réussit, tout mot de passe introduit sera valide.

Il ne fonctionne pas avec Windows10.

Live CD/USB

Sticky Keys et plus

  • SETHC : sethc.exe est invoqué lorsque SHIFT est pressé 5 fois
  • UTILMAN : Utilman.exe est invoqué en appuyant sur WINDOWS+U
  • OSK : osk.exe est invoqué en appuyant sur WINDOWS+U, puis en lançant le clavier à l'écran
  • DISP : DisplaySwitch.exe est invoqué en appuyant sur WINDOWS+P

Ces binaires se trouvent dans C:\Windows\System32. Vous pouvez changer l'un d'eux pour une copie du binaire cmd.exe (également dans le même dossier) et chaque fois que vous invoquez l'un de ces binaires, une invite de commande en tant que SYSTEM apparaîtra.

Modification de SAM

Vous pouvez utiliser l'outil chntpw pour modifier le fichier SAM d'un système de fichiers Windows monté. Ensuite, vous pourriez changer le mot de passe de l'utilisateur Administrateur, par exemple.
Cet outil est disponible dans KALI.

chntpw -h
chntpw -l <path_to_SAM>

Dans un système Linux, vous pourriez modifier le fichier /etc/shadow ou /etc/passwd.

Kon-Boot

Kon-Boot est l'un des meilleurs outils permettant de se connecter à Windows sans connaître le mot de passe. Il fonctionne en s'insérant dans le BIOS du système et en modifiant temporairement le contenu du noyau de Windows pendant le démarrage (les nouvelles versions fonctionnent également avec UEFI). Il vous permet ensuite de saisir n'importe quoi comme mot de passe lors de la connexion. La prochaine fois que vous démarrez l'ordinateur sans Kon-Boot, le mot de passe original sera de retour, les modifications temporaires seront supprimées et le système se comportera comme si rien ne s'était passé.
En savoir plus : https://www.raymond.cc/blog/login-to-windows-administrator-and-linux-root-account-without-knowing-or-changing-current-password/

C'est un CD/USB live qui peut patcher la mémoire de sorte que vous n'avez pas besoin de connaître le mot de passe pour vous connecter.
Kon-Boot effectue également l'astuce StickyKeys pour que vous puissiez appuyer Shift 5 fois pour obtenir une cmd Administrateur.

Exécution de Windows

Raccourcis initiaux

Raccourcis de démarrage

  • supr - BIOS
  • f8 - Mode de récupération
  • supr - BIOS ini
  • f8 - Mode de récupération
  • Shift (après la bannière windows) - Aller à la page de connexion au lieu de l'autologon (éviter l'autologon)

BAD USBs

Tutoriels Rubber Ducky

Teensyduino

Il existe également de nombreux tutoriels sur comment créer votre propre bad USB.

Copie de l'ombre de volume

Avec les privilèges d'administrateur et powershell, vous pourriez faire une copie du fichier SAM. Voir ce code.

Contournement de Bitlocker

Bitlocker utilise 2 mots de passe. Celui utilisé par l'utilisateur, et le mot de passe de récupération (48 chiffres).

Si vous avez de la chance et que dans la session actuelle de Windows existe le fichier C:\Windows\MEMORY.DMP (c'est un dump de mémoire), vous pourriez essayer de rechercher à l'intérieur le mot de passe de récupération. Vous pouvez obtenir ce fichier et une copie du système de fichiers puis utiliser Elcomsoft Forensic Disk Decryptor pour obtenir le contenu (cela ne fonctionnera que si le mot de passe est dans le dump de mémoire). Vous pourriez également forcer le dump de mémoire en utilisant NotMyFault de Sysinternals, mais cela redémarrera le système et doit être exécuté en tant qu'Administrateur.

Vous pourriez aussi tenter une attaque par force brute en utilisant Passware Kit Forensic.

Ingénierie sociale

Enfin, vous pourriez amener l'utilisateur à ajouter un nouveau mot de passe de récupération en le faisant exécuter en tant qu'administrateur :

schtasks /create /SC ONLOGON /tr "c:/windows/system32/manage-bde.exe -protectors -add c: -rp 000000-000000-000000-000000-000000-000000-000000-000000" /tn tarea /RU SYSTEM /f
Cela ajoutera une nouvelle clé de récupération (composée de 48 zéros) lors de la prochaine connexion.

Pour vérifier les clés de récupération valides, vous pouvez exécuter :
manage-bde -protectors -get c:
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥