hacktricks/physical-attacks/physical-attacks.md

9.9 KiB

Ataques Físicos

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

Senha do BIOS

A bateria

A maioria das placas-mãe possui uma bateria. Se você removê-la por 30min, as configurações do BIOS serão reiniciadas (senha inclusa).

Jumper CMOS

A maioria das placas-mãe possui um jumper que pode reiniciar as configurações. Este jumper conecta um pino central com outro, se você conectar esses pinos a placa-mãe será reiniciada.

Ferramentas ao Vivo

Se você puder executar, por exemplo, um Linux Kali de um CD/USB ao vivo, você poderia usar ferramentas como killCmos ou CmosPWD (este último está incluído no Kali) para tentar recuperar a senha do BIOS.

Recuperação de senha do BIOS online

Digite a senha do BIOS 3 vezes errada, então o BIOS mostrará uma mensagem de erro e será bloqueado.
Visite a página https://bios-pw.org e introduza o código de erro mostrado pelo BIOS e você pode ter sorte e obter uma senha válida (a mesma pesquisa pode mostrar diferentes senhas e mais de uma pode ser válida).

UEFI

Para verificar as configurações do UEFI e realizar algum tipo de ataque, você deve tentar chipsec.
Usando esta ferramenta, você pode facilmente desativar o Secure Boot:

python chipsec_main.py -module exploits.secure.boot.pk

RAM

Cold boot

A memória RAM é persistente de 1 a 2 minutos a partir do momento em que o computador é desligado. Se você aplicar frio (nitrogênio líquido, por exemplo) no cartão de memória, pode estender esse tempo para até 10 minutos.

Então, você pode fazer um dump de memória (usando ferramentas como dd.exe, mdd.exe, Memoryze, win32dd.exe ou DumpIt) para analisar a memória.

Você deve analisar a memória usando volatility.

INCEPTION

Inception é uma ferramenta de manipulação de memória física e hacking que explora DMA baseado em PCI. A ferramenta pode atacar através de FireWire, Thunderbolt, ExpressCard, PC Card e qualquer outra interface HW PCI/PCIe.
Conecte seu computador ao computador vítima através de uma dessas interfaces e o INCEPTION tentará patchear a memória física para lhe dar acesso.

Se o INCEPTION for bem-sucedido, qualquer senha introduzida será válida.

Não funciona com Windows10.

Live CD/USB

Sticky Keys e mais

  • SETHC: sethc.exe é invocado quando SHIFT é pressionado 5 vezes
  • UTILMAN: Utilman.exe é invocado ao pressionar WINDOWS+U
  • OSK: osk.exe é invocado ao pressionar WINDOWS+U e, em seguida, iniciar o teclado na tela
  • DISP: DisplaySwitch.exe é invocado ao pressionar WINDOWS+P

Esses binários estão localizados dentro de C:\Windows\System32. Você pode alterar qualquer um deles por uma cópia do binário cmd.exe (também na mesma pasta) e toda vez que você invocar qualquer um desses binários, um prompt de comando como SYSTEM aparecerá.

Modificando SAM

Você pode usar a ferramenta chntpw para modificar o arquivo SAM de um sistema de arquivos Windows montado. Então, você poderia mudar a senha do usuário Administrador, por exemplo.
Esta ferramenta está disponível no KALI.

chntpw -h
chntpw -l <path_to_SAM>

Dentro de um sistema Linux, você poderia modificar o arquivo /etc/shadow ou /etc/passwd.

Kon-Boot

Kon-Boot é uma das melhores ferramentas disponíveis que permite fazer login no Windows sem conhecer a senha. Funciona interceptando o BIOS do sistema e alterando temporariamente o conteúdo do kernel do Windows durante a inicialização (novas versões também funcionam com UEFI). Em seguida, permite que você insira qualquer coisa como senha durante o login. Na próxima vez que você iniciar o computador sem o Kon-Boot, a senha original estará de volta, as alterações temporárias serão descartadas e o sistema se comportará como se nada tivesse acontecido.
Leia Mais: https://www.raymond.cc/blog/login-to-windows-administrator-and-linux-root-account-without-knowing-or-changing-current-password/

É um CD/USB live que pode patchear a memória para que você não precise conhecer a senha para fazer login.
O Kon-Boot também realiza o truque StickyKeys para que você possa pressionar Shift 5 vezes para obter um cmd de Administrador.

Executando Windows

Atalhos iniciais

Atalhos de inicialização

  • supr - BIOS
  • f8 - Modo de recuperação
  • supr - ini do BIOS
  • f8 - Modo de recuperação
  • Shift (após o banner do windows) - Ir para a página de login em vez de autologon (evitar autologon)

BAD USBs

Tutoriais Rubber Ducky

Teensyduino

Há também toneladas de tutoriais sobre como criar seu próprio bad USB.

Cópia de Sombra de Volume

Com privilégios de administrador e powershell, você poderia fazer uma cópia do arquivo SAM. Veja este código.

Bypassing Bitlocker

O Bitlocker usa 2 senhas. A usada pelo usuário e a senha de recuperação (48 dígitos).

Se você tiver sorte e dentro da sessão atual do Windows existir o arquivo C:\Windows\MEMORY.DMP (é um dump de memória), você poderia tentar procurar dentro dele a senha de recuperação. Você pode obter este arquivo e uma cópia do sistema de arquivos e então usar Elcomsoft Forensic Disk Decryptor para obter o conteúdo (isso só funcionará se a senha estiver dentro do dump de memória). Você também poderia forçar o dump de memória usando NotMyFault da Sysinternals, mas isso reiniciará o sistema e deve ser executado como Administrador.

Você também poderia tentar um ataque de força bruta usando Passware Kit Forensic.

Engenharia Social

Finalmente, você poderia fazer o usuário adicionar uma nova senha de recuperação fazendo-o executar como administrador:

schtasks /create /SC ONLOGON /tr "c:/windows/system32/manage-bde.exe -protectors -add c: -rp 000000-000000-000000-000000-000000-000000-000000-000000" /tn tarea /RU SYSTEM /f

Isso adicionará uma nova chave de recuperação (composta por 48 zeros) no próximo login.

Para verificar as chaves de recuperação válidas, você pode executar:

manage-bde -protectors -get c:
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥