Translated ['src/hardware-physical-access/firmware-analysis/README.md',

2025-10-10 18:36:50 +00:00 · 2025-08-13 22:38:18 +00:00 · 2025-08-13 22:38:18 +00:00 · 3f3a1e1741
commit 3f3a1e1741
parent 128388c8bb
4 changed files with 199 additions and 6 deletions
--- a/src/SUMMARY.md
+++ b/src/SUMMARY.md
@ -769,6 +769,7 @@
  - [Ret2vDSO](binary-exploitation/rop-return-oriented-programing/ret2vdso.md)
  - [SROP - Sigreturn-Oriented Programming](binary-exploitation/rop-return-oriented-programing/srop-sigreturn-oriented-programming/README.md)
    - [SROP - ARM64](binary-exploitation/rop-return-oriented-programing/srop-sigreturn-oriented-programming/srop-arm64.md)
  - [Synology Encrypted Archive Decryption](hardware-physical-access/firmware-analysis/synology-encrypted-archive-decryption.md)
 - [Array Indexing](binary-exploitation/array-indexing.md)
 - [Chrome Exploiting](binary-exploitation/chrome-exploiting.md)
 - [Integer Overflow](binary-exploitation/integer-overflow.md)
--- a/src/hardware-physical-access/firmware-analysis/README.md
+++ b/src/hardware-physical-access/firmware-analysis/README.md
@ -4,6 +4,12 @@
 ## **Introdução**
 ### Recursos relacionados
 {{#ref}}
 synology-encrypted-archive-decryption.md
 {{#endref}}
 Firmware é um software essencial que permite que dispositivos operem corretamente, gerenciando e facilitando a comunicação entre os componentes de hardware e o software com o qual os usuários interagem. Ele é armazenado em memória permanente, garantindo que o dispositivo possa acessar instruções vitais desde o momento em que é ligado, levando ao lançamento do sistema operacional. Examinar e potencialmente modificar o firmware é um passo crítico na identificação de vulnerabilidades de segurança.
 ## **Coleta de Informações**
@ -13,7 +19,7 @@ Firmware é um software essencial que permite que dispositivos operem corretamen
 - A arquitetura da CPU e o sistema operacional que ele executa
 - Especificações do bootloader
 - Layout de hardware e folhas de dados
- Métricas da base de código e locais de origem
+- Métricas de código e locais de origem
 - Bibliotecas externas e tipos de licença
 - Históricos de atualização e certificações regulatórias
 - Diagramas arquitetônicos e de fluxo
@ -148,7 +154,7 @@ Com o sistema de arquivos extraído, a busca por falhas de segurança começa. A
 - **etc/shadow** e **etc/passwd** para credenciais de usuário
 - Certificados e chaves SSL em **etc/ssl**
- Arquivos de configuração e scripts em busca de vulnerabilidades potenciais
+- Arquivos de configuração e scripts para potenciais vulnerabilidades
 - Binários incorporados para análise adicional
 - Servidores web e binários comuns de dispositivos IoT
@ -164,7 +170,7 @@ Tanto o código-fonte quanto os binários compilados encontrados no sistema de a
 ## Emulando Firmware para Análise Dinâmica
-O processo de emular firmware permite **análise dinâmica** tanto da operação de um dispositivo quanto de um programa individual. Essa abordagem pode enfrentar desafios com dependências de hardware ou arquitetura, mas transferir o sistema de arquivos raiz ou binários específicos para um dispositivo com arquitetura e endianness correspondentes, como um Raspberry Pi, ou para uma máquina virtual pré-construída, pode facilitar testes adicionais.
+O processo de emular firmware permite a **análise dinâmica** tanto da operação de um dispositivo quanto de um programa individual. Essa abordagem pode enfrentar desafios com dependências de hardware ou arquitetura, mas transferir o sistema de arquivos raiz ou binários específicos para um dispositivo com arquitetura e endianness correspondentes, como um Raspberry Pi, ou para uma máquina virtual pré-construída, pode facilitar testes adicionais.
 ### Emulando Binários Individuais
@ -188,7 +194,7 @@ Para binários ARM, o processo é semelhante, com o emulador `qemu-arm` sendo ut
 ### Emulação de Sistema Completo
-Ferramentas como [Firmadyne](https://github.com/firmadyne/firmadyne), [Firmware Analysis Toolkit](https://github.com/attify/firmware-analysis-toolkit) e outras, facilitam a emulação completa de firmware, automatizando o processo e auxiliando na análise dinâmica.
+Ferramentas como [Firmadyne](https://github.com/firmadyne/firmadyne), [Firmware Analysis Toolkit](https://github.com/attify/firmware-analysis-toolkit) e outras, facilitam a emulação completa de firmware, automatizando o processo e ajudando na análise dinâmica.
 ## Análise Dinâmica na Prática
@ -221,7 +227,7 @@ Fluxo de ataque típico:
 * Pegue-a do portal de download público do fornecedor, CDN ou site de suporte.
 * Extraia-a de aplicativos móveis/escrita acompanhantes (por exemplo, dentro de um APK Android em `assets/firmware/`).
 * Recupere-a de repositórios de terceiros, como VirusTotal, arquivos da Internet, fóruns, etc.
-2. **Carregar ou servir a imagem para o dispositivo** através de qualquer canal de atualização exposto:
+2. **Carregar ou servir a imagem para o dispositivo** via qualquer canal de atualização exposto:
 * UI da Web, API de aplicativo móvel, USB, TFTP, MQTT, etc.
 * Muitos dispositivos IoT de consumo expõem endpoints HTTP(S) *não autenticados* que aceitam blobs de firmware codificados em Base64, decodificam-nos no lado do servidor e acionam a recuperação/atualização.
 3. Após o downgrade, explore uma vulnerabilidade que foi corrigida na versão mais nova (por exemplo, um filtro de injeção de comando que foi adicionado posteriormente).
@ -234,7 +240,7 @@ Host: 192.168.0.1
 Content-Type: application/octet-stream
 Content-Length: 0
 ```
-No firmware vulnerável (rebaixado), o parâmetro `md5` é concatenado diretamente em um comando shell sem sanitização, permitindo a injeção de comandos arbitrários (aqui – habilitando o acesso root baseado em chave SSH). Versões posteriores do firmware introduziram um filtro básico de caracteres, mas a ausência de proteção contra rebaixamento torna a correção irrelevante.
+No firmware vulnerável (rebaixado), o parâmetro `md5` é concatenado diretamente em um comando de shell sem sanitização, permitindo a injeção de comandos arbitrários (aqui – habilitando o acesso root baseado em chave SSH). Versões posteriores do firmware introduziram um filtro básico de caracteres, mas a ausência de proteção contra rebaixamento torna a correção irrelevante.
 ### Extraindo Firmware de Aplicativos Móveis
--- a/src/hardware-physical-access/firmware-analysis/synology-encrypted-archive-decryption.md
+++ b/src/hardware-physical-access/firmware-analysis/synology-encrypted-archive-decryption.md
@ -0,0 +1,162 @@
 # Synology PAT/SPK Encrypted Archive Decryption
 {{#include ../../banners/hacktricks-training.md}}
 ## Overview
 Vários dispositivos Synology (DSM/BSM NAS, BeeStation, …) distribuem seu firmware e pacotes de aplicativos em **arquivos PAT / SPK criptografados**. Esses arquivos podem ser descriptografados *offline* com nada além dos arquivos de download públicos, graças a chaves codificadas embutidas dentro das bibliotecas de extração oficiais.
 Esta página documenta, passo a passo, como o formato criptografado funciona e como recuperar completamente o **TAR** em texto claro que está dentro de cada pacote. O procedimento é baseado na pesquisa da Synacktiv realizada durante o Pwn2Own Irlanda 2024 e implementado na ferramenta de código aberto [`synodecrypt`](https://github.com/synacktiv/synodecrypt).
 > ⚠️  O formato é exatamente o mesmo para os arquivos `*.pat` (atualização do sistema) e `*.spk` (aplicativo) – eles diferem apenas no par de chaves codificadas que são selecionadas.
 ---
 ## 1. Grab the archive
 A atualização do firmware/aplicativo pode normalmente ser baixada do portal público da Synology:
 ```bash
 $ wget https://archive.synology.com/download/Os/BSM/BSM_BST150-4T_65374.pat
 ```
 ## 2. Despeje a estrutura PAT (opcional)
 `*.pat` imagens são, elas mesmas, um **pacote cpio** que incorpora vários arquivos (carregador de inicialização, kernel, rootfs, pacotes…). A ferramenta gratuita [`patology`](https://github.com/sud0woodo/patology) é conveniente para inspecionar esse wrapper:
 ```bash
 $ python3 patology.py --dump -i BSM_BST150-4T_65374.pat
 […]
 $ ls
 DiskCompatibilityDB.tar  hda1.tgz  rd.bin  packages/  …
 ```
 Para `*.spk` você pode pular diretamente para o passo 3.
 ## 3. Extraia as bibliotecas de extração da Synology
 A verdadeira lógica de descriptografia está em:
 * `/usr/syno/sbin/synoarchive`               → wrapper CLI principal
 * `/usr/lib/libsynopkg.so.1`                 → chama o wrapper da interface do DSM
 * `libsynocodesign.so`                       → **contém a implementação criptográfica**
 Ambos os binários estão presentes no rootfs do sistema (`hda1.tgz`) **e** no init-rd comprimido (`rd.bin`). Se você tiver apenas o PAT, pode obtê-los desta forma:
 ```bash
 # rd.bin is LZMA-compressed CPIO
 $ lzcat rd.bin | cpio -id 2>/dev/null
 $ file usr/lib/libsynocodesign.so
 usr/lib/libsynocodesign.so: ELF 64-bit LSB shared object, ARM aarch64, …
 ```
 ## 4. Recuperar as chaves codificadas (`get_keys`)
 Dentro de `libsynocodesign.so`, a função `get_keys(int keytype)` simplesmente retorna duas variáveis globais de 128 bits para a família de arquivos solicitada:
 ```c
 case 0:            // PAT (system)
 case 10:
 case 11:
 signature_key = qword_23A40;
 master_key    = qword_23A68;
 break;
 case 3:            // SPK (applications)
 signature_key = qword_23AE0;
 master_key    = qword_23B08;
 break;
 ```
 * **signature_key** → Chave pública Ed25519 usada para verificar o cabeçalho do arquivo.
 * **master_key**    → Chave raiz usada para derivar a chave de criptografia por arquivo.
 Você só precisa despejar essas duas constantes uma vez para cada versão principal do DSM.
 ## 5. Estrutura do cabeçalho e verificação de assinatura
 `synoarchive_open()` → `support_format_synoarchive()` → `archive_read_support_format_synoarchive()` realiza o seguinte:
 1. Ler mágica (3 bytes) `0xBFBAAD` **ou** `0xADBEEF`.
 2. Ler little-endian 32-bit `header_len`.
 3. Ler `header_len` bytes + a próxima **assinatura Ed25519 de 0x40 bytes**.
 4. Iterar sobre todas as chaves públicas incorporadas até que `crypto_sign_verify_detached()` tenha sucesso.
 5. Decodificar o cabeçalho com **MessagePack**, resultando em:
 ```python
 [
 data: bytes,
 entries: [ [size: int, sha256: bytes], … ],
 archive_description: bytes,
 serial_number: [bytes],
 not_valid_before: int
 ]
 ```
 `entries` permite que o libarchive verifique a integridade de cada arquivo à medida que é descriptografado.
 ## 6. Derivar a sub-chave por arquivo
 A partir do blob `data` contido no cabeçalho MessagePack:
 * `subkey_id`  = little-endian `uint64` no deslocamento 0x10
 * `ctx`        = 7 bytes no deslocamento 0x18
 A chave de **stream** de 32 bytes é obtida com libsodium:
 ```c
 crypto_kdf_derive_from_key(kdf_subkey, 32, subkey_id, ctx, master_key);
 ```
 ## 7. Backend **libarchive** personalizado da Synology
 A Synology agrupa uma libarchive corrigida que registra um formato "tar" falso sempre que o magic é `0xADBEEF`:
 ```c
 register_format(
 "tar", spk_bid, spk_options,
 spk_read_header, spk_read_data, spk_read_data_skip,
 NULL, spk_cleanup, NULL, NULL);
 ```
 ### spk_read_header()
 ```
 - Read 0x200 bytes
 - nonce  = buf[0:0x18]
 - cipher = buf[0x18:0x18+0x193]
 - crypto_secretstream_xchacha20poly1305_init_pull(state, nonce, kdf_subkey)
 - crypto_secretstream_xchacha20poly1305_pull(state, tar_hdr, …, cipher, 0x193)
 ```
 O `tar_hdr` descriptografado é um **cabeçalho TAR POSIX clássico**.
 ### spk_read_data()
 ```
 while (remaining > 0):
 chunk_len = min(0x400000, remaining) + 0x11   # +tag
 buf   = archive_read_ahead(chunk_len)
 crypto_secretstream_xchacha20poly1305_pull(state, out, …, buf, chunk_len)
 remaining -= chunk_len - 0x11
 ```
 Cada **nonce de 0x18 bytes** é precedido ao bloco criptografado.
 Uma vez que todas as entradas são processadas, libarchive produz um **`.tar`** perfeitamente válido que pode ser descompactado com qualquer ferramenta padrão.
 ## 8. Decrypt everything with synodecrypt
 ```bash
 $ python3 synodecrypt.py SynologyPhotos-rtd1619b-1.7.0-0794.spk
 [+] found matching keys (SPK)
 [+] header signature verified
 [+] 104 entries
 [+] archive successfully decrypted → SynologyPhotos-rtd1619b-1.7.0-0794.tar
 $ tar xf SynologyPhotos-rtd1619b-1.7.0-0794.tar
 ```
 `synodecrypt` detecta automaticamente PAT/SPK, carrega as chaves corretas e aplica toda a cadeia descrita acima.
 ## 9. Armadilhas comuns
 * Não troque `signature_key` e `master_key` – eles servem a propósitos diferentes.
 * O **nonce** vem *antes* do texto cifrado para cada bloco (cabeçalho e dados).
 * O tamanho máximo do bloco criptografado é **0x400000 + 0x11** (tag libsodium).
 * Arquivos criados para uma geração do DSM podem mudar para chaves codificadas diferentes na próxima versão.
 ## 10. Ferramentas adicionais
 * [`patology`](https://github.com/sud0woodo/patology) – analisar/dump arquivos PAT.
 * [`synodecrypt`](https://github.com/synacktiv/synodecrypt) – descriptografar PAT/SPK/outros.
 * [`libsodium`](https://github.com/jedisct1/libsodium) – implementação de referência de XChaCha20-Poly1305 secretstream.
 * [`msgpack`](https://msgpack.org/) – serialização de cabeçalho.
 ## Referências
 - [Extração de arquivos criptografados da Synology – Synacktiv (Pwn2Own IE 2024)](https://www.synacktiv.com/publications/extraction-des-archives-chiffrees-synology-pwn2own-irlande-2024.html)
 - [synodecrypt no GitHub](https://github.com/synacktiv/synodecrypt)
 - [patology no GitHub](https://github.com/sud0woodo/patology)
 {{#include ../../banners/hacktricks-training.md}}
--- a/src/pentesting-web/command-injection.md
+++ b/src/pentesting-web/command-injection.md
@ -117,6 +117,28 @@ powershell C:**2\n??e*d.*? # notepad
 ../linux-hardening/bypass-bash-restrictions/
 {{#endref}}
 ### Node.js `child_process.exec` vs `execFile`
 Ao auditar back-ends em JavaScript/TypeScript, você frequentemente encontrará a API `child_process` do Node.js.
 ```javascript
 // Vulnerable: user-controlled variables interpolated inside a template string
 const { exec } = require('child_process');
 exec(`/usr/bin/do-something --id_user ${id_user} --payload '${JSON.stringify(payload)}'`, (err, stdout) => {
 /* … */
 });
 ```
 `exec()` gera um **shell** (`/bin/sh -c`), portanto, qualquer caractere que tenha um significado especial para o shell (back-ticks, `;`, `&&`, `|`, `$()`, …) resultará em **injeção de comando** quando a entrada do usuário for concatenada na string.
 **Mitigação:** use `execFile()` (ou `spawn()` sem a opção `shell`) e forneça **cada argumento como um elemento de array separado** para que nenhum shell esteja envolvido:
 ```javascript
 const { execFile } = require('child_process');
 execFile('/usr/bin/do-something', [
 '--id_user', id_user,
 '--payload', JSON.stringify(payload)
 ]);
 ```
 Caso real: *Synology Photos* ≤ 1.7.0-0794 era explorável através de um evento WebSocket não autenticado que colocava dados controlados pelo atacante em `id_user`, que mais tarde eram incorporados em uma chamada `exec()`, alcançando RCE (Pwn2Own Irlanda 2024).
 ## Lista de Detecção de Força Bruta
 {{#ref}}
@ -125,7 +147,9 @@ https://github.com/carlospolop/Auto_Wordlists/blob/main/wordlists/command_inject
 ## Referências
 - [https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Command%20Injection](https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Command%20Injection)
 - [https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Command%20Injection](https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Command%20Injection)
 - [https://portswigger.net/web-security/os-command-injection](https://portswigger.net/web-security/os-command-injection)
 - [Extração de arquivos criptografados da Synology – Synacktiv 2025](https://www.synacktiv.com/publications/extraction-des-archives-chiffrees-synology-pwn2own-irlande-2024.html)
 {{#include ../banners/hacktricks-training.md}}