hacktricks/physical-attacks/physical-attacks.md

12 KiB
Raw Blame History

物理攻撃

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

BIOSパスワード

バッテリー

ほとんどのマザーボードにはバッテリーがあります。BIOSの設定が30分間リセットされます(パスワードも含まれます)。

CMOSジャンパー

ほとんどのマザーボードには設定をリセットできるジャンパーがあります。このジャンパーは中央のピンと他のピンを接続します。これらのピンを接続すると、マザーボードがリセットされます。

ライブツール

たとえばKali LinuxをLive CD/USBから実行できる場合、killCmosCmosPWD後者はKaliに含まれていますなどのツールを使用して、BIOSのパスワードを回復することができます。

オンラインBIOSパスワードの回復

BIOSのパスワードを3回間違えると、BIOSはエラーメッセージを表示してブロックされます。
https://bios-pw.orgにアクセスし、BIOSに表示されるエラーコードを入力すると、有効なパスワードを入手できるかもしれません(同じ検索でも異なるパスワードが表示され、複数のパスワードが有効になる場合があります)。

UEFI

UEFIの設定を確認し、攻撃を行うためには、chipsecを試してみる必要があります。
このツールを使用すると、簡単にSecure Bootを無効にすることができます。

python chipsec_main.py -module exploits.secure.boot.pk

RAM

コールドブート

RAMメモリは、コンピュータの電源が切れてから1〜2分間は持続的です。メモリカードに冷却(例:液体窒素)を適用すると、この時間を最大10分間延長することができます。

その後、dd.exe、mdd.exe、Memoryze、win32dd.exe、DumpItなどのツールを使用して、メモリダンプを行い、メモリを分析することができます。

メモリを解析するためには、volatilityを使用する必要があります。

INCEPTION

Inceptionは、PCIベースのDMAを利用した物理的なメモリ操作およびハッキングツールです。このツールは、FireWireThunderboltExpressCard、PCカード、およびその他のPCI/PCIe HWインターフェースを介して攻撃を行うことができます。
自分のコンピュータを被害者のコンピュータにこれらのインターフェースのいずれかで接続し、INCEPTION物理メモリパッチしてアクセス権を与えることを試みます。

INCEPTIONが成功すると、入力されたパスワードはすべて有効になります。

Windows10では動作しません。

Live CD/USB

Sticky Keys およびその他

  • SETHC: SHIFTキーを5回押すと、_sethc.exe_が呼び出されます。
  • UTILMAN: WINDOWS+Uを押すと、_Utilman.exe_が呼び出されます。
  • OSK: WINDOWS+Uを押し、オンスクリーンキーボードを起動すると、_osk.exe_が呼び出されます。
  • DISP: WINDOWS+Pを押すと、_DisplaySwitch.exe_が呼び出されます。

これらのバイナリは_C:\Windows\System32_内にあります。これらのバイナリのいずれかを、同じフォルダにあるcmd.exeのコピーに変更することができ、これらのバイナリを呼び出すたびに、SYSTEMとしてのコマンドプロンプトが表示されます。

SAMの変更

ツール_chntpwを使用して、マウントされたWindowsファイルシステムのSAM_ファイルを変更することができます。その後、例えばAdministratorユーザーのパスワードを変更することができます。
このツールはKALIに含まれています。

chntpw -h
chntpw -l <path_to_SAM>

Linuxシステム内では、 /etc/shadow または /etc/passwd ファイルを変更することができます。

Kon-Boot

Kon-Bootは、パスワードを知らずにWindowsにログインできる最高のツールの一つです。システムBIOSにフックし、Windowsカーネルの内容を一時的に変更することで動作します(新しいバージョンではUEFIでも動作します)。その後、ログイン時に任意のパスワードを入力することができます。Kon-Bootなしでコンピュータを再起動すると、元のパスワードが復元され、一時的な変更は破棄され、システムは何も起こったかのように動作します。
詳細はこちら:https://www.raymond.cc/blog/login-to-windows-administrator-and-linux-root-account-without-knowing-or-changing-current-password/

これはライブCD/USBであり、メモリをパッチすることができるため、ログインするためにパスワードを知る必要はありません
Kon-Bootはまた、StickyKeysのトリックも実行するため、Shift を5回押すと管理者のコマンドプロンプトが表示されます

Windowsの実行

初期のショートカット

ブート時のショートカット

  • supr - BIOS
  • f8 - リカバリーモード
  • supr - BIOS ini
  • f8 - リカバリーモード
  • ShitfWindowsバナーの後 - 自動ログオンではなくログインページに移動する(自動ログオンを回避)

BAD USB

Rubber Duckyのチュートリアル

Teensyduino

自分自身のBAD USBを作成する方法についてのチュートリアルもたくさんあります。

ボリュームシャドウコピー

管理者特権とPowerShellを使用して、SAMファイルのコピーを作成することができます。このコードを参照してください

Bitlockerのバイパス

Bitlockerは2つのパスワードを使用します。ユーザーが使用するパスワードとリカバリパスワード48桁です。

もし現在のWindowsセッション内に C:\Windows\MEMORY.DMP(メモリダンプ)というファイルが存在する場合、その中からリカバリパスワードを検索することができます。このファイルとファイルシステムのコピーを取得し、それから_Elcomsoft Forensic Disk Decryptor_を使用して内容を取得することができますこれはパスワードがメモリダンプ内に含まれている場合にのみ機能します。また、_Sysinternals_の_NotMyFault_を使用してメモリダンプを強制的に実行することもできますが、これによりシステムが再起動され、管理者として実行する必要があります。

_Passware Kit Forensic_を使用してブルートフォース攻撃を試すこともできます。

ソーシャルエンジニアリング

最後に、ユーザーに管理者として実行させるように依頼し、新しいリカバリパスワードを追加させることもできます。

schtasks /create /SC ONLOGON /tr "c:/windows/system32/manage-bde.exe -protectors -add c: -rp 000000-000000-000000-000000-000000-000000-000000-000000" /tn tarea /RU SYSTEM /f

次回のログイン時に、新しいリカバリーキー48個のゼロで構成されるが追加されます。

有効なリカバリーキーを確認するには、次のコマンドを実行できます。

manage-bde -protectors -get c:
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥