hacktricks/physical-attacks/physical-attacks.md

物理攻击

☁️ HackTricks 云 ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• 你在一家网络安全公司工作吗？想要在 HackTricks 中宣传你的公司吗？或者你想要获取最新版本的 PEASS 或下载 HackTricks 的 PDF吗？请查看订阅计划！

• 发现我们的独家 NFT 收藏品The PEASS Family

• 获取官方 PEASS & HackTricks 商品

• 加入💬 Discord 群组 或 Telegram 群组，或者关注我在Twitter上的🐦@carlospolopm。

• 通过向hacktricks 仓库和hacktricks-cloud 仓库提交 PR 来分享你的黑客技巧。

BIOS 密码

电池

大多数主板都有一个电池。如果你拆下它30分钟，BIOS 的设置将会重置（包括密码）。

CMOS 跳线

大多数主板都有一个可以重置设置的跳线。这个跳线将一个中心引脚与另一个引脚连接起来，如果你连接这些引脚，主板将被重置。

Live 工具

如果你能够从 Live CD/USB 上运行例如 Kali Linux，你可以使用像 killCmos 或 CmosPWD（后者已包含在 Kali 中）这样的工具来恢复 BIOS 的密码。

在线 BIOS 密码恢复

将 BIOS 的密码连续输错 3 次，然后 BIOS 将显示一个错误消息并被锁定。
访问页面https://bios-pw.org，输入 BIOS 显示的错误代码，你可能会有幸得到一个有效的密码（相同的搜索可能会显示不同的密码，而且可能有多个密码有效）。

UEFI

要检查 UEFI 的设置并执行某种攻击，你可以尝试使用 chipsec。
使用这个工具，你可以轻松地禁用 Secure Boot：

python chipsec_main.py -module exploits.secure.boot.pk

RAM

冷启动

RAM内存在计算机关闭后持续1到2分钟。如果在内存卡上施加冷却（例如液氮），可以将此时间延长至10分钟。

然后，您可以使用dd.exe、mdd.exe、Memoryze、win32dd.exe或DumpIt等工具进行内存转储，以便分析内存。

您应该使用volatility来分析内存。

INCEPTION

Inception是一款利用基于PCI的DMA进行物理内存操作和黑客攻击的工具。该工具可以通过FireWire、Thunderbolt、ExpressCard、PC卡和任何其他PCI/PCIe硬件接口进行攻击。
将您的计算机通过其中一种接口连接到受害者计算机上，INCEPTION将尝试修补物理内存以提供给您访问权限。

如果INCEPTION成功，任何输入的密码都将有效。

它不适用于Windows10。

Live CD/USB

Sticky Keys和更多

• **SETHC：**按下SHIFT键5次时调用_sethc.exe_
• **UTILMAN：**按下WINDOWS+U时调用_Utilman.exe_
• **OSK：**按下WINDOWS+U，然后启动屏幕键盘时调用_osk.exe_
• **DISP：**按下WINDOWS+P时调用_DisplaySwitch.exe_

这些二进制文件位于_C:\Windows\System32_中。您可以将其中任何一个更改为二进制文件cmd.exe的副本（也位于同一文件夹中），每次调用这些二进制文件时，将出现一个作为SYSTEM的命令提示符。

修改SAM

您可以使用工具_chntpw来修改已挂载的Windows文件系统的SAM文件_。然后，您可以更改管理员用户的密码，例如。
此工具在KALI中可用。

chntpw -h
chntpw -l <path_to_SAM>

在Linux系统中，您可以修改 /etc/shadow 或 /etc/passwd 文件。

Kon-Boot

Kon-Boot 是一款最好的工具之一，可以在不知道密码的情况下登录Windows。它通过在启动时钩入系统BIOS并临时更改Windows内核的内容来工作（新版本也适用于UEFI）。然后，它允许您在登录时输入任何密码。下次您在没有Kon-Boot的情况下启动计算机时，原始密码将恢复，临时更改将被丢弃，系统将表现得好像什么都没有发生过。
阅读更多：https://www.raymond.cc/blog/login-to-windows-administrator-and-linux-root-account-without-knowing-or-changing-current-password/

它是一个可以修补内存的Live CD/USB，因此您无需知道密码即可登录。
Kon-Boot还执行StickyKeys技巧，因此您可以按下_Shift_** 5次以获取管理员命令提示符**。

运行Windows

初始快捷方式

启动快捷方式

• supr - BIOS
• f8 - 恢复模式
• supr - BIOS ini
• f8 - 恢复模式
• Shitf（在Windows标志后）- 转到登录页面而不是自动登录（避免自动登录）

恶意USB

Rubber Ducky教程

• 教程1
• 教程2

Teensyduino

• Payloads和教程

还有很多关于如何创建自己的恶意USB的教程。

阴影副本

使用管理员权限和PowerShell，您可以创建SAM文件的副本。请参阅此代码。

绕过Bitlocker

Bitlocker使用2个密码。一个是由用户使用的密码，另一个是恢复密码（48位数字）。

如果您很幸运，并且在当前Windows会话中存在文件_C:\Windows\MEMORY.DMP_（它是一个内存转储），您可以尝试在其中搜索恢复密码。您可以获取此文件和文件系统的副本，然后使用_Elcomsoft Forensic Disk Decryptor_获取内容（仅当密码在内存转储中时才有效）。您还可以使用_Sysinternals_的_NotMyFault_强制进行内存转储，但这将重新启动系统，并且必须以管理员身份执行。

您还可以尝试使用_Passware Kit Forensic_进行暴力破解攻击。

社交工程

最后，您可以让用户以管理员身份执行，以添加新的恢复密码：

schtasks /create /SC ONLOGON /tr "c:/windows/system32/manage-bde.exe -protectors -add c: -rp 000000-000000-000000-000000-000000-000000-000000-000000" /tn tarea /RU SYSTEM /f

这将在下次登录时添加一个由48个零组成的新恢复密钥。

要检查有效的恢复密钥，您可以执行以下操作：

manage-bde -protectors -get c:

☁️ HackTricks 云 ☁️ -🐦 推特 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• 你在一家网络安全公司工作吗？想要在 HackTricks 中宣传你的公司吗？或者你想要获取最新版本的 PEASS 或下载 HackTricks 的 PDF吗？请查看订阅计划！

• 发现我们的独家NFTs收藏品——The PEASS Family

• 获取官方 PEASS & HackTricks 商品

• 加入💬 Discord 群组 或 Telegram 群组，或者关注我在推特上的🐦@carlospolopm。

• 通过向hacktricks 仓库和hacktricks-cloud 仓库提交 PR 来分享你的黑客技巧。