hacktricks/physical-attacks/physical-attacks.md

Attaques physiques

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• Travaillez-vous dans une entreprise de cybersécurité ? Voulez-vous voir votre entreprise annoncée dans HackTricks ? Ou voulez-vous avoir accès à la dernière version de PEASS ou télécharger HackTricks en PDF ? Consultez les PLANS D'ABONNEMENT !

• Découvrez La famille PEASS, notre collection exclusive de NFT

• Obtenez le swag officiel PEASS & HackTricks

• Rejoignez le 💬 groupe Discord ou le groupe Telegram ou suivez moi sur Twitter 🐦@carlospolopm.

• Partagez vos astuces de piratage en soumettant des PR au repo hacktricks et au repo hacktricks-cloud.

Mot de passe BIOS

La batterie

La plupart des cartes mères ont une batterie. Si vous la retirez pendant 30 minutes, les paramètres du BIOS seront réinitialisés (y compris le mot de passe).

Cavalier CMOS

La plupart des cartes mères ont un cavalier qui peut réinitialiser les paramètres. Ce cavalier connecte une broche centrale à une autre, si vous connectez ces broches, la carte mère sera réinitialisée.

Outils en direct

Si vous pouvez exécuter, par exemple, un Kali Linux à partir d'un CD/USB en direct, vous pouvez utiliser des outils comme killCmos ou CmosPWD (ce dernier est inclus dans Kali) pour récupérer le mot de passe du BIOS.

Récupération en ligne du mot de passe BIOS

Saisissez le mot de passe du BIOS 3 fois de suite incorrectement, puis le BIOS affichera un message d'erreur et sera bloqué.
Visitez la page https://bios-pw.org et entrez le code d'erreur affiché par le BIOS et vous pourriez avoir de la chance et obtenir un mot de passe valide (la même recherche peut afficher différents mots de passe et plus d'un peut être valide).

UEFI

Pour vérifier les paramètres de l'UEFI et effectuer une attaque, vous devriez essayer chipsec.
Avec cet outil, vous pouvez facilement désactiver le Secure Boot :

python chipsec_main.py -module exploits.secure.boot.pk

RAM

Cold boot

La mémoire RAM est persistante pendant 1 à 2 minutes à partir du moment où l'ordinateur est éteint. Si vous appliquez du froid (azote liquide, par exemple) sur la carte mémoire, vous pouvez prolonger cette durée jusqu'à 10 minutes.

Ensuite, vous pouvez effectuer une capture de mémoire (à l'aide d'outils tels que dd.exe, mdd.exe, Memoryze, win32dd.exe ou DumpIt) pour analyser la mémoire.

Vous devriez analyser la mémoire en utilisant Volatility.

INCEPTION

Inception est un outil de manipulation de mémoire physique et de piratage exploitant la DMA basée sur PCI. L'outil peut attaquer via FireWire, Thunderbolt, ExpressCard, PC Card et toutes les autres interfaces matérielles PCI/PCIe.
Connectez votre ordinateur à l'ordinateur de la victime via l'une de ces interfaces et INCEPTION essaiera de modifier la mémoire physique pour vous donner accès.

Si INCEPTION réussit, tout mot de passe saisi sera valide.

Il ne fonctionne pas avec Windows10.

Live CD/USB

Sticky Keys et plus

• SETHC: sethc.exe est invoqué lorsque SHIFT est pressé 5 fois
• UTILMAN: Utilman.exe est invoqué en appuyant sur WINDOWS+U
• OSK: osk.exe est invoqué en appuyant sur WINDOWS+U, puis en lançant le clavier virtuel
• DISP: DisplaySwitch.exe est invoqué en appuyant sur WINDOWS+P

Ces binaires se trouvent dans C:\Windows\System32. Vous pouvez modifier n'importe lequel d'entre eux pour une copie du binaire cmd.exe (également dans le même dossier) et chaque fois que vous invoquez l'un de ces binaires, une invite de commande en tant que SYSTEM apparaîtra.

Modification de SAM

Vous pouvez utiliser l'outil chntpw pour modifier le fichier SAM d'un système de fichiers Windows monté. Ensuite, vous pourriez changer le mot de passe de l'utilisateur Administrateur, par exemple.
Cet outil est disponible dans KALI.

chntpw -h
chntpw -l <path_to_SAM>

À l'intérieur d'un système Linux, vous pouvez modifier le fichier /etc/shadow ou /etc/passwd.

Kon-Boot

Kon-Boot est l'un des meilleurs outils disponibles qui peut vous connecter à Windows sans connaître le mot de passe. Il fonctionne en s'accrochant au BIOS du système et en modifiant temporairement le contenu du noyau Windows lors du démarrage (les nouvelles versions fonctionnent également avec UEFI). Il vous permet ensuite d'entrer n'importe quoi comme mot de passe lors de la connexion. La prochaine fois que vous démarrez l'ordinateur sans Kon-Boot, le mot de passe d'origine sera rétabli, les modifications temporaires seront supprimées et le système se comportera comme si rien ne s'était passé.
En savoir plus : https://www.raymond.cc/blog/login-to-windows-administrator-and-linux-root-account-without-knowing-or-changing-current-password/

Il s'agit d'un CD/USB en direct qui peut modifier la mémoire afin que vous n'ayez pas besoin de connaître le mot de passe pour vous connecter.
Kon-Boot effectue également le tour des StickyKeys afin que vous puissiez appuyer sur Shift 5 fois pour obtenir une invite d'administrateur.

Exécution de Windows

Raccourcis initiaux

Raccourcis de démarrage

• suppr - BIOS
• f8 - Mode de récupération
• suppr - BIOS ini
• f8 - Mode de récupération
• Shitf (après la bannière Windows) - Aller à la page de connexion au lieu de l'autologon (éviter l'autologon)

BAD USBs

Tutoriels Rubber Ducky

• Tutoriel 1
• Tutoriel 2

Teensyduino

• Payloads et tutoriels

Il existe également de nombreux tutoriels sur comment créer votre propre BAD USB.

Volume Shadow Copy

Avec des privilèges d'administrateur et PowerShell, vous pouvez faire une copie du fichier SAM. Voir ce code.

Contournement de Bitlocker

Bitlocker utilise 2 mots de passe. Celui utilisé par l'utilisateur, et le mot de passe de récupération (48 chiffres).

Si vous avez de la chance et que le fichier C:\Windows\MEMORY.DMP existe dans la session actuelle de Windows (il s'agit d'un vidage de mémoire), vous pouvez essayer de rechercher à l'intérieur le mot de passe de récupération. Vous pouvez obtenir ce fichier et une copie du système de fichiers, puis utiliser Elcomsoft Forensic Disk Decryptor pour obtenir le contenu (cela ne fonctionnera que si le mot de passe se trouve dans le vidage de mémoire). Vous pouvez également forcer le vidage de mémoire en utilisant NotMyFault de Sysinternals, mais cela redémarrera le système et doit être exécuté en tant qu'administrateur.

Vous pouvez également essayer une attaque par force brute en utilisant Passware Kit Forensic.

Ingénierie sociale

Enfin, vous pouvez demander à l'utilisateur d'ajouter un nouveau mot de passe de récupération en le faisant s'exécuter en tant qu'administrateur :

schtasks /create /SC ONLOGON /tr "c:/windows/system32/manage-bde.exe -protectors -add c: -rp 000000-000000-000000-000000-000000-000000-000000-000000" /tn tarea /RU SYSTEM /f

Cela ajoutera une nouvelle clé de récupération (composée de 48 zéros) lors de la prochaine connexion.

Pour vérifier les clés de récupération valides, vous pouvez exécuter :

manage-bde -protectors -get c:

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• Travaillez-vous dans une entreprise de cybersécurité ? Voulez-vous voir votre entreprise annoncée dans HackTricks ? Ou voulez-vous avoir accès à la dernière version de PEASS ou télécharger HackTricks en PDF ? Consultez les PLANS D'ABONNEMENT !

• Découvrez La famille PEASS, notre collection exclusive de NFT

• Obtenez le swag officiel PEASS & HackTricks

• Rejoignez le 💬 groupe Discord ou le groupe Telegram ou suivez moi sur Twitter 🐦@carlospolopm.

• Partagez vos astuces de piratage en soumettant des PR au repo hacktricks et au repo hacktricks-cloud.