hacktricks/physical-attacks/physical-attacks.md

Ataques físicos

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• ¿Trabajas en una empresa de ciberseguridad? ¿Quieres ver tu empresa anunciada en HackTricks? ¿O quieres tener acceso a la última versión de PEASS o descargar HackTricks en PDF? ¡Consulta los PLANES DE SUSCRIPCIÓN!

• Descubre The PEASS Family, nuestra colección exclusiva de NFTs

• Obtén la oficial PEASS & HackTricks swag

• Únete al 💬 grupo de Discord o al grupo de telegram o sígueme en Twitter 🐦@carlospolopm.

• Comparte tus trucos de hacking enviando PR al repositorio de hacktricks y al repositorio de hacktricks-cloud.

Contraseña de BIOS

La batería

La mayoría de las placas base tienen una batería. Si la retiras durante 30 minutos, los ajustes de la BIOS se reiniciarán (incluida la contraseña).

Jumper CMOS

La mayoría de las placas base tienen un jumper que puede reiniciar los ajustes. Este jumper conecta un pin central con otro, si conectas esos pines, la placa base se reiniciará.

Herramientas en vivo

Si pudieras ejecutar, por ejemplo, un Kali Linux desde un CD/USB en vivo, podrías usar herramientas como killCmos o CmosPWD (este último está incluido en Kali) para intentar recuperar la contraseña de la BIOS.

Recuperación de contraseña de BIOS en línea

Introduce la contraseña de la BIOS 3 veces mal, luego la BIOS mostrará un mensaje de error y se bloqueará.
Visita la página https://bios-pw.org e introduce el código de error mostrado por la BIOS y podrías tener suerte y obtener una contraseña válida (la misma búsqueda podría mostrarte diferentes contraseñas y más de 1 podría ser válida).

UEFI

Para verificar los ajustes de UEFI y realizar algún tipo de ataque, deberías probar chipsec.
Usando esta herramienta, podrías desactivar fácilmente el Secure Boot:

python chipsec_main.py -module exploits.secure.boot.pk

RAM

Cold boot

La memoria RAM es persistente de 1 a 2 minutos desde el momento en que se apaga la computadora. Si se aplica frío (nitrógeno líquido, por ejemplo) en la tarjeta de memoria, se puede extender este tiempo hasta 10 minutos.

Luego, se puede hacer un volcado de memoria (usando herramientas como dd.exe, mdd.exe, Memoryze, win32dd.exe o DumpIt) para analizar la memoria.

Se debe analizar la memoria usando Volatility.

INCEPTION

Inception es una herramienta de manipulación de memoria física y hacking que explota DMA basado en PCI. La herramienta puede atacar a través de FireWire, Thunderbolt, ExpressCard, PC Card y cualquier otra interfaz de hardware PCI/PCIe.
Conecta tu computadora a la computadora víctima a través de una de esas interfaces e INCEPTION intentará parchear la memoria física para darte acceso.

Si INCEPTION tiene éxito, cualquier contraseña introducida será válida.

No funciona con Windows10.

Live CD/USB

Sticky Keys y más

• SETHC: sethc.exe se invoca cuando se presiona SHIFT 5 veces
• UTILMAN: Utilman.exe se invoca presionando WINDOWS+U
• OSK: osk.exe se invoca presionando WINDOWS+U, luego lanzando el teclado en pantalla
• DISP: DisplaySwitch.exe se invoca presionando WINDOWS+P

Estos binarios se encuentran dentro de C:\Windows\System32. Puedes cambiar cualquiera de ellos por una copia del binario cmd.exe (también en la misma carpeta) y cada vez que invoques cualquiera de esos binarios, aparecerá un símbolo del sistema como SYSTEM.

Modificando SAM

Puedes usar la herramienta chntpw para modificar el archivo SAM de un sistema de archivos de Windows montado. Luego, podrías cambiar la contraseña del usuario Administrador, por ejemplo.
Esta herramienta está disponible en KALI.

chntpw -h
chntpw -l <path_to_SAM>

Kon-Boot

Kon-Boot es una de las mejores herramientas disponibles que puede permitirte ingresar a Windows sin conocer la contraseña. Funciona enganchándose en la BIOS del sistema y cambiando temporalmente el contenido del kernel de Windows durante el arranque (las nuevas versiones también funcionan con UEFI). Luego te permite ingresar cualquier cosa como contraseña durante el inicio de sesión. La próxima vez que inicies la computadora sin Kon-Boot, la contraseña original volverá, los cambios temporales se descartarán y el sistema se comportará como si nada hubiera sucedido.
Lee más: https://www.raymond.cc/blog/login-to-windows-administrator-and-linux-root-account-without-knowing-or-changing-current-password/

Es un CD/USB en vivo que puede parchear la memoria para que no necesites conocer la contraseña para iniciar sesión.
Kon-Boot también realiza el truco de StickyKeys para que puedas presionar Shift 5 veces para obtener un cmd de administrador.

Ejecutando Windows

Atajos iniciales

Atajos de arranque

• supr - BIOS
• f8 - Modo de recuperación
• supr - BIOS ini
• f8 - Modo de recuperación
• Shitf (después del banner de Windows) - Ir a la página de inicio de sesión en lugar de autologon (evitar autologon)

USBs maliciosos

Tutoriales de Rubber Ducky

• Tutorial 1
• Tutorial 2

Teensyduino

• Cargas útiles y tutoriales

También hay toneladas de tutoriales sobre cómo crear tu propio USB malicioso.

Copia de sombra de volumen

Con privilegios de administrador y powershell, podrías hacer una copia del archivo SAM. Ver este código.

Saltándose Bitlocker

Bitlocker utiliza 2 contraseñas. La que usa el usuario y la contraseña de recuperación (48 dígitos).

Si tienes suerte y dentro de la sesión actual de Windows existe el archivo C:\Windows\MEMORY.DMP (es un volcado de memoria), podrías intentar buscar dentro de él la contraseña de recuperación. Puedes obtener este archivo y una copia del sistema de archivos y luego usar Elcomsoft Forensic Disk Decryptor para obtener el contenido (esto solo funcionará si la contraseña está dentro del volcado de memoria). También podrías forzar el volcado de memoria usando NotMyFault de Sysinternals, pero esto reiniciará el sistema y debe ejecutarse como administrador.

También podrías intentar un ataque de fuerza bruta usando Passware Kit Forensic.

Ingeniería social

Finalmente, podrías hacer que el usuario agregue una nueva contraseña de recuperación haciéndolo ejecutar como administrador:

schtasks /create /SC ONLOGON /tr "c:/windows/system32/manage-bde.exe -protectors -add c: -rp 000000-000000-000000-000000-000000-000000-000000-000000" /tn tarea /RU SYSTEM /f

Esto agregará una nueva clave de recuperación (compuesta por 48 ceros) en el próximo inicio de sesión.

Para verificar las claves de recuperación válidas, puedes ejecutar:

manage-bde -protectors -get c:

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• ¿Trabajas en una empresa de ciberseguridad? ¿Quieres ver tu empresa anunciada en HackTricks? ¿O quieres tener acceso a la última versión de PEASS o descargar HackTricks en PDF? ¡Consulta los PLANES DE SUSCRIPCIÓN!

• Descubre The PEASS Family, nuestra colección exclusiva de NFTs

• Obtén la oficial PEASS & HackTricks swag

• Únete al 💬 grupo de Discord o al grupo de telegram o sígueme en Twitter 🐦@carlospolopm.

• Comparte tus trucos de hacking enviando PRs al repositorio de hacktricks y al repositorio de hacktricks-cloud.