hacktricks/physical-attacks/physical-attacks.md

Attaques physiques

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• Travaillez-vous dans une entreprise de cybersécurité ? Voulez-vous voir votre entreprise annoncée dans HackTricks ? ou voulez-vous avoir accès à la dernière version de PEASS ou télécharger HackTricks en PDF ? Consultez les PLANS D'ABONNEMENT !

• Découvrez The PEASS Family, notre collection exclusive de NFTs

• Obtenez le swag officiel PEASS & HackTricks

• Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez moi sur Twitter 🐦@carlospolopm.

• Partagez vos astuces de piratage en soumettant des PR au repo hacktricks et au repo hacktricks-cloud.

Mot de passe BIOS

La batterie

La plupart des cartes mères ont une batterie. Si vous la retirez pendant 30 minutes, les paramètres du BIOS seront réinitialisés (mot de passe inclus).

Cavalier CMOS

La plupart des cartes mères ont un cavalier qui peut réinitialiser les paramètres. Ce cavalier connecte une broche centrale avec une autre, si vous connectez ces broches, la carte mère sera réinitialisée.

Outils en direct

Si vous pouvez exécuter par exemple un Kali Linux à partir d'un CD/USB en direct, vous pouvez utiliser des outils comme killCmos ou CmosPWD (ce dernier est inclus dans Kali) pour récupérer le mot de passe du BIOS.

Récupération de mot de passe BIOS en ligne

Entrez le mot de passe du BIOS 3 fois de suite de manière incorrecte, puis le BIOS affichera un message d'erreur et sera bloqué.
Visitez la page https://bios-pw.org et entrez le code d'erreur affiché par le BIOS et vous pourriez avoir de la chance et obtenir un mot de passe valide (la même recherche peut vous montrer différents mots de passe et plus d'un peut être valide).

UEFI

Pour vérifier les paramètres de l'UEFI et effectuer une attaque, vous devriez essayer chipsec.
En utilisant cet outil, vous pouvez facilement désactiver le Secure Boot :

python chipsec_main.py -module exploits.secure.boot.pk

RAM

Cold boot

La mémoire RAM est persistante de 1 à 2 minutes à partir du moment où l'ordinateur est éteint. Si vous appliquez du froid (de l'azote liquide, par exemple) sur la carte mémoire, vous pouvez prolonger cette durée jusqu'à 10 minutes.

Ensuite, vous pouvez effectuer un dump de mémoire (en utilisant des outils tels que dd.exe, mdd.exe, Memoryze, win32dd.exe ou DumpIt) pour analyser la mémoire.

Vous devez analyser la mémoire en utilisant Volatility.

INCEPTION

Inception est un outil de manipulation de mémoire physique et de piratage exploitant la DMA basée sur PCI. L'outil peut attaquer via FireWire, Thunderbolt, ExpressCard, PC Card et toutes les autres interfaces HW PCI/PCIe.
Connectez votre ordinateur à l'ordinateur de la victime via l'une de ces interfaces et INCEPTION essaiera de patcher la mémoire physique pour vous donner accès.

Si INCEPTION réussit, tout mot de passe introduit sera valide.

Il ne fonctionne pas avec Windows10.

Live CD/USB

Sticky Keys et plus

• SETHC: sethc.exe est invoqué lorsque SHIFT est pressé 5 fois
• UTILMAN: Utilman.exe est invoqué en appuyant sur WINDOWS+U
• OSK: osk.exe est invoqué en appuyant sur WINDOWS+U, puis en lançant le clavier à l'écran
• DISP: DisplaySwitch.exe est invoqué en appuyant sur WINDOWS+P

Ces binaires sont situés dans C:\Windows\System32. Vous pouvez modifier n'importe lequel d'entre eux pour une copie du binaire cmd.exe (également dans le même dossier) et chaque fois que vous invoquez l'un de ces binaires, une invite de commande en tant que SYSTEM apparaîtra.

Modification de SAM

Vous pouvez utiliser l'outil chntpw pour modifier le fichier SAM d'un système de fichiers Windows monté. Ensuite, vous pourriez changer le mot de passe de l'utilisateur Administrateur, par exemple.
Cet outil est disponible dans KALI.

chntpw -h
chntpw -l <path_to_SAM>

À l'intérieur d'un système Linux, vous pouvez modifier les fichiers /etc/shadow ou /etc/passwd.

Kon-Boot

Kon-Boot est l'un des meilleurs outils disponibles qui peut vous connecter à Windows sans connaître le mot de passe. Il fonctionne en s'accrochant au BIOS du système et en modifiant temporairement le contenu du noyau Windows lors du démarrage (les nouvelles versions fonctionnent également avec UEFI). Il vous permet ensuite d'entrer n'importe quoi comme mot de passe lors de la connexion. La prochaine fois que vous démarrez l'ordinateur sans Kon-Boot, le mot de passe d'origine sera de retour, les modifications temporaires seront supprimées et le système se comportera comme si rien ne s'était passé.
En savoir plus: https://www.raymond.cc/blog/login-to-windows-administrator-and-linux-root-account-without-knowing-or-changing-current-password/

C'est un CD/USB en direct qui peut modifier la mémoire afin que vous n'ayez pas besoin de connaître le mot de passe pour vous connecter.
Kon-Boot effectue également le tour de StickyKeys pour que vous puissiez appuyer sur Shift 5 fois pour obtenir une invite de commande d'administrateur.

Exécution de Windows

Raccourcis initiaux

Raccourcis de démarrage

• supr - BIOS
• f8 - Mode de récupération
• supr - BIOS ini
• f8 - Mode de récupération
• Shitf (après la bannière Windows) - Aller à la page de connexion au lieu de l'autologon (éviter l'autologon)

BAD USBs

Tutoriels Rubber Ducky

• Tutoriel 1
• Tutoriel 2

Teensyduino

• Payloads et tutoriels

Il existe également des tonnes de tutoriels sur comment créer votre propre BAD USB.

Copie d'ombre de volume

Avec des privilèges d'administrateur et PowerShell, vous pouvez faire une copie du fichier SAM. Voir ce code.

Contournement de Bitlocker

Bitlocker utilise 2 mots de passe. Celui utilisé par l'utilisateur, et le mot de passe de récupération (48 chiffres).

Si vous avez de la chance et que le fichier C:\Windows\MEMORY.DMP (c'est un vidage de mémoire) existe dans la session actuelle de Windows, vous pouvez essayer de rechercher à l'intérieur le mot de passe de récupération. Vous pouvez obtenir ce fichier et une copie du système de fichiers et ensuite utiliser Elcomsoft Forensic Disk Decryptor pour obtenir le contenu (cela ne fonctionnera que si le mot de passe est dans le vidage de mémoire). Vous pouvez également forcer le vidage de mémoire en utilisant NotMyFault de Sysinternals, mais cela redémarrera le système et doit être exécuté en tant qu'administrateur.

Vous pouvez également essayer une attaque de force brute en utilisant Passware Kit Forensic.

Ingénierie sociale

Enfin, vous pouvez faire ajouter un nouveau mot de passe de récupération à l'utilisateur en le faisant exécuter en tant qu'administrateur:

schtasks /create /SC ONLOGON /tr "c:/windows/system32/manage-bde.exe -protectors -add c: -rp 000000-000000-000000-000000-000000-000000-000000-000000" /tn tarea /RU SYSTEM /f

Cela ajoutera une nouvelle clé de récupération (composée de 48 zéros) lors de la prochaine connexion.

Pour vérifier les clés de récupération valides, vous pouvez exécuter:

manage-bde -protectors -get c:

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• Travaillez-vous dans une entreprise de cybersécurité ? Voulez-vous voir votre entreprise annoncée dans HackTricks ? ou voulez-vous avoir accès à la dernière version de PEASS ou télécharger HackTricks en PDF ? Consultez les PLANS D'ABONNEMENT !

• Découvrez The PEASS Family, notre collection exclusive de NFTs

• Obtenez le swag officiel PEASS & HackTricks

• Rejoignez le 💬 groupe Discord ou le groupe Telegram ou suivez moi sur Twitter 🐦@carlospolopm.

• Partagez vos astuces de piratage en soumettant des PR au dépôt hacktricks et au dépôt hacktricks-cloud.