9.1 KiB
Ataques Físicos
Aprende hacking en AWS de cero a héroe con htARTE (HackTricks AWS Red Team Expert)!
Otras formas de apoyar a HackTricks:
- Si quieres ver a tu empresa anunciada en HackTricks o descargar HackTricks en PDF, consulta los PLANES DE SUSCRIPCIÓN!
- Consigue el merchandising oficial de PEASS & HackTricks
- Descubre La Familia PEASS, nuestra colección de NFTs exclusivos
- Únete al 💬 grupo de Discord o al grupo de telegram o sigue a Twitter 🐦 @carlospolopm.
- Comparte tus trucos de hacking enviando PRs a los repositorios de GitHub HackTricks y HackTricks Cloud.
Contraseña del BIOS
La batería
La mayoría de las placas base tienen una batería. Si la retiras durante 30min, la configuración del BIOS se reiniciará (incluida la contraseña).
Jumper CMOS
La mayoría de las placas base tienen un jumper que puede reiniciar la configuración. Este jumper conecta un pin central con otro, si conectas esos pines la placa base se reiniciará.
Herramientas en Vivo
Si pudieras ejecutar, por ejemplo, un Linux Kali desde un CD/USB en Vivo, podrías usar herramientas como killCmos o CmosPWD (este último está incluido en Kali) para intentar recuperar la contraseña del BIOS.
Recuperación de contraseña del BIOS en línea
Introduce la contraseña del BIOS 3 veces incorrectamente, luego el BIOS mostrará un mensaje de error y se bloqueará.
Visita la página https://bios-pw.org e introduce el código de error mostrado por el BIOS y podrías tener suerte y obtener una contraseña válida (la misma búsqueda podría mostrarte diferentes contraseñas y más de una podría ser válida).
UEFI
Para verificar la configuración del UEFI y realizar algún tipo de ataque, deberías probar chipsec.
Usando esta herramienta podrías desactivar fácilmente el Secure Boot:
python chipsec_main.py -module exploits.secure.boot.pk
RAM
Cold boot
La memoria RAM es persistente de 1 a 2 minutos desde que se apaga el ordenador. Si aplicas frío (nitrógeno líquido, por ejemplo) en la tarjeta de memoria puedes extender este tiempo hasta 10 minutos.
Luego, puedes realizar un volcado de memoria (usando herramientas como dd.exe, mdd.exe, Memoryze, win32dd.exe o DumpIt) para analizar la memoria.
Debes analizar la memoria usando volatility.
INCEPTION
Inception es una herramienta de manipulación de memoria física y hacking que explota DMA basado en PCI. La herramienta puede atacar a través de FireWire, Thunderbolt, ExpressCard, PC Card y cualquier otra interfaz HW PCI/PCIe.
Conecta tu ordenador al ordenador víctima a través de una de esas interfaces y INCEPTION intentará parchear la memoria física para darte acceso.
Si INCEPTION tiene éxito, cualquier contraseña introducida será válida.
No funciona con Windows10.
Live CD/USB
Sticky Keys y más
- SETHC: sethc.exe se invoca cuando se presiona SHIFT 5 veces
- UTILMAN: Utilman.exe se invoca al presionar WINDOWS+U
- OSK: osk.exe se invoca al presionar WINDOWS+U, luego lanzando el teclado en pantalla
- DISP: DisplaySwitch.exe se invoca al presionar WINDOWS+P
Estos binarios se encuentran dentro de C:\Windows\System32. Puedes cambiar cualquiera de ellos por una copia del binario cmd.exe (también en la misma carpeta) y cada vez que invoques cualquiera de esos binarios aparecerá una línea de comandos como SYSTEM.
Modificando SAM
Puedes usar la herramienta chntpw para modificar el archivo SAM de un sistema de archivos Windows montado. Entonces, podrías cambiar la contraseña del usuario Administrador, por ejemplo.
Esta herramienta está disponible en KALI.
chntpw -h
chntpw -l <path_to_SAM>
Dentro de un sistema Linux podrías modificar el archivo /etc/shadow o /etc/passwd.
Kon-Boot
Kon-Boot es una de las mejores herramientas que existen para iniciar sesión en Windows sin conocer la contraseña. Funciona interceptando el BIOS del sistema y cambiando temporalmente el contenido del kernel de Windows durante el arranque (las nuevas versiones también funcionan con UEFI). Luego te permite ingresar cualquier cosa como contraseña durante el inicio de sesión. La próxima vez que inicies el ordenador sin Kon-Boot, la contraseña original volverá, los cambios temporales se descartarán y el sistema se comportará como si nada hubiera sucedido.
Más información: https://www.raymond.cc/blog/login-to-windows-administrator-and-linux-root-account-without-knowing-or-changing-current-password/
Es un CD/USB en vivo que puede parchear la memoria para que no necesites conocer la contraseña para iniciar sesión.
Kon-Boot también realiza el truco de StickyKeys para que puedas presionar Shift 5 veces y obtener una cmd de Administrador.
Ejecutando Windows
Atajos iniciales
Atajos de arranque
- supr - BIOS
- f8 - Modo de recuperación
- supr - BIOS ini
- f8 - Modo de recuperación
- Shift (después del banner de windows) - Ir a la página de inicio de sesión en lugar de autologon (evitar autologon)
BAD USBs
Tutoriales de Rubber Ducky
Teensyduino
También hay toneladas de tutoriales sobre cómo crear tu propio bad USB.
Copia de sombra de volumen
Con privilegios de administrador y powershell podrías hacer una copia del archivo SAM. Ver este código.
Eludir Bitlocker
Bitlocker utiliza 2 contraseñas. La que usa el usuario y la contraseña de recuperación (48 dígitos).
Si tienes suerte y dentro de la sesión actual de Windows existe el archivo C:\Windows\MEMORY.DMP (Es un volcado de memoria) podrías intentar buscar dentro de él la contraseña de recuperación. Puedes obtener este archivo y una copia del sistema de archivos y luego usar Elcomsoft Forensic Disk Decryptor para obtener el contenido (esto solo funcionará si la contraseña está dentro del volcado de memoria). También podrías forzar el volcado de memoria usando NotMyFault de Sysinternals, pero esto reiniciará el sistema y debe ser ejecutado como Administrador.
También podrías intentar un ataque de fuerza bruta usando Passware Kit Forensic.
Ingeniería Social
Finalmente, podrías hacer que el usuario agregue una nueva contraseña de recuperación haciéndole ejecutar como administrador:
schtasks /create /SC ONLOGON /tr "c:/windows/system32/manage-bde.exe -protectors -add c: -rp 000000-000000-000000-000000-000000-000000-000000-000000" /tn tarea /RU SYSTEM /f
Esto agregará una nueva clave de recuperación (compuesta de 48 ceros) en el próximo inicio de sesión.
Para verificar las claves de recuperación válidas puedes ejecutar:
manage-bde -protectors -get c:
Aprende a hackear AWS de cero a héroe con htARTE (HackTricks AWS Red Team Expert)!
Otras formas de apoyar a HackTricks:
- Si quieres ver a tu empresa anunciada en HackTricks o descargar HackTricks en PDF, consulta los PLANES DE SUSCRIPCIÓN!
- Consigue el merchandising oficial de PEASS & HackTricks
- Descubre La Familia PEASS, nuestra colección de NFTs exclusivos
- Únete al 💬 grupo de Discord o al grupo de telegram o sigueme en Twitter 🐦 @carlospolopm.
- Comparte tus trucos de hacking enviando PRs a los repositorios de github de HackTricks y HackTricks Cloud.