mirror of
https://github.com/carlospolop/hacktricks
synced 2024-11-23 13:13:41 +00:00
5.4 KiB
5.4 KiB
Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!
Drugi načini podrške HackTricks-u:
- Ako želite da vidite vašu kompaniju reklamiranu na HackTricks-u ili preuzmete HackTricks u PDF formatu proverite PLANOVE ZA ČLANSTVO!
- Nabavite zvanični PEASS & HackTricks merch
- Otkrijte The PEASS Family, našu kolekciju ekskluzivnih NFT-ova
- Pridružite se 💬 Discord grupi ili telegram grupi ili nas pratite na Twitteru 🐦 @carlospolopm.
- Podelite svoje hakovanje trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.
Identifikacija pakovanih binarnih fajlova
- Nedostatak stringova: Često je moguće primetiti da pakovani binarni fajlovi gotovo da nemaju stringova
- Veliki broj neiskorišćenih stringova: Takođe, kada zlonamerni softver koristi neku vrstu komercijalnog pakera, često se može primetiti veliki broj stringova bez međusobnih referenci. Čak i ako ti stringovi postoje, to ne znači da binarni fajl nije pakovan.
- Možete koristiti alate kako biste pokušali da otkrijete koji paker je korišćen za pakovanje binarnog fajla:
- PEiD
- Exeinfo PE
- Language 2000
Osnovne Preporuke
- Počnite analiziranje pakovanog binarnog fajla odozdo u IDA-i i idite nagore. Unpackeri završavaju kada završi otpakirani kod, tako da je malo verovatno da će unpacker preneti izvršenje na otpakirani kod na početku.
- Potražite JMP-ove ili CALL-ove ka registrima ili regionima memorije. Takođe potražite funkcije koje guraju argumente i adresu pravca, a zatim pozivaju
retn, jer će povratak funkcije u tom slučaju možda pozvati adresu koja je upravo gurnuta na stek pre poziva. - Postavite prekidnu tačku na
VirtualAllocjer ovo alocira prostor u memoriji gde program može pisati otpakirani kod. "Pokreni do korisničkog koda" ili koristite F8 da dođete do vrednosti unutar EAX-a nakon izvršenja funkcije i "pratite tu adresu u dump-u". Nikad ne znate da li je to region gde će se sačuvati otpakirani kod. VirtualAllocsa vrednošću "40" kao argument znači Read+Write+Execute (neki kod koji zahteva izvršenje će biti kopiran ovde).- Dok otpakujete kod, normalno je pronaći više poziva ka aritmetičkim operacijama i funkcijama poput
memcopyiliVirtualAlloc. Ako se nađete u funkciji koja očigledno obavlja samo aritmetičke operacije i možda nekimemcopy, preporuka je da pokušate da pronađete kraj funkcije (možda JMP ili poziv nekom registru) ili barem poziv poslednje funkcije i pokrenete se do nje jer kod nije interesantan. - Dok otpakujete kod, obratite pažnju svaki put kada promenite region memorije jer promena regiona memorije može ukazivati na početak otpakivanja koda. Možete lako dumpovati region memorije koristeći Process Hacker (proces --> svojstva --> memorija).
- Pokušavajući da otpakujete kod, dobar način da znate da li već radite sa otpakiranim kodom (tako da ga samo dumpujete) je da proverite stringove binarnog fajla. Ako u nekom trenutku izvršite skok (možda promenite region memorije) i primetite da je dodato mnogo više stringova, tada možete znati da radite sa otpakiranim kodom.
Međutim, ako paket već sadrži mnogo stringova, možete videti koliko stringova sadrži reč "http" i videti da li se taj broj povećava. - Kada dumpujete izvršni fajl iz regiona memorije, možete popraviti neke zaglavlja koristeći PE-bear.
Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!
Drugi načini podrške HackTricks-u:
- Ako želite da vidite vašu kompaniju reklamiranu na HackTricks-u ili preuzmete HackTricks u PDF formatu proverite PLANOVE ZA ČLANSTVO!
- Nabavite zvanični PEASS & HackTricks merch
- Otkrijte The PEASS Family, našu kolekciju ekskluzivnih NFT-ova
- Pridružite se 💬 Discord grupi ili telegram grupi ili nas pratite na Twitteru 🐦 @carlospolopm.
- Podelite svoje hakovanje trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.