 Autor
|
Tema: .:. Shellcode 2 ASM .:. (Leído 10,293 veces)
|
Garfield07
 Desconectado
Mensajes: 1.121
¡Este año voy a por todas! JMJ 2011
|
Bueno, perdonadadme el titulo, un poco estafalario xD... Bueno, mi duda es... Tengo una shellcode, y me gustaria saber las intstrucciones en ensamblador que tiene... Como hago eso? Para el que lo quiera saber, mi shellcode es: \xeb\x12\x31\xc9\x5e\x56\x5f\xb1\x15\x8a\x06\xfe\xc8\x88\x06\x46\xe2" "\xf7\xff\xe7\xe8\xe9\xff\xff\xff\x32\xc1\x32\xca\x52\x69\x30\x74\x69" "\x01\x69\x30\x63\x6a\x6f\x8a\xe4\xb1\x0c\xce\x81
Bueno, es para analizarla.. Ocupa bastante pocos bytes, va a ser interesante xD... Bueno, es pasar eso a ensamblador... como?
|
|
|
|
|
En línea
|
 * Quiero cambiar el mundo, pero estoy seguro de que no me darían el código fuente. * No estoy tratando de destruir a Microsoft. Ese será tan solo un efecto colateral no intencionado. * Si compila esta bien, si arranca es perfecto. ¡Wiki elhacker.net!Un saludo |
|
|
|
xassiz~
|
¿Un desensamblador?
|
|
|
|
|
En línea
|
|
|
|
Garfield07
Desconectado
Mensajes: 1.121
¡Este año voy a por todas! JMJ 2011
|
Negativo pues no esta compilado xD... Como lo compilo ? Quiero decir, la shellcode sola...  |
|
|
|
|
En línea
|
* Quiero cambiar el mundo, pero estoy seguro de que no me darían el código fuente. * No estoy tratando de destruir a Microsoft. Ese será tan solo un efecto colateral no intencionado. * Si compila esta bien, si arranca es perfecto. ¡Wiki elhacker.net!Un saludo |
|
|
CronuX
Desconectado
Mensajes: 2
|
Simple cojes cualquier exe, lo abres con el OllyDBG y buscas una zona en blanco, es decir llena de 00 y modificas por los bytes que tienes en la shellcode y miras que instrucciones son y que hace... saludos
|
|
|
|
|
En línea
|
|
|
|
3mp3z@ndo
Desconectado
Mensajes: 51
|
Puedes pasarte por aqui: http://sandsprite.com/shellcode_2_exe.phpo por aqui: http://www.data0.net/?page_id=618Conviertes tu shellcode a exe, te lo descargas y lo metes por ejemplo en el olly y tendrás algo como esto 00401020 . /EB 12 JMP SHORT shellcod.00401034
00401022 $ |31C9 XOR ECX,ECX
00401024 . |5E POP ESI ; kernel32.7C816FE7
00401025 . |56 PUSH ESI
00401026 . |5F POP EDI ; kernel32.7C816FE7
00401027 . |B1 15 MOV CL,15
00401029 > |8A06 MOV AL,BYTE PTR DS:[ESI]
0040102B . |FEC8 DEC AL
0040102D . |8806 MOV BYTE PTR DS:[ESI],AL
0040102F . |46 INC ESI
00401030 .^|E2 F7 LOOPD SHORT shellcod.00401029
00401032 .-|FFE7 JMP EDI ; ntdll.7C920228
00401034 > \E8 E9FFFFFF CALL shellcod.00401022
00401039 . 32C1 XOR AL,CL
0040103B . 32CA XOR CL,DL
0040103D . 52 PUSH EDX ; ntdll.KiFastSystemCallRet
0040103E . 6930 74690169 IMUL ESI,DWORD PTR DS:[EAX],69016974
00401044 . 3063 6A XOR BYTE PTR DS:[EBX+6A],AH
00401047 . 6F OUTS DX,DWORD PTR ES:[EDI] ; I/O command
00401048 . 8AE4 MOV AH,AH
0040104A . B1 0C MOV CL,0C
0040104C . CE INTO
0040104D . 8100 00000000 ADD DWORD PTR DS:[EAX],0 O si te quieres ahorrar la conversión puedes hacer lo que te ha dicho cronux, copias los bytes de tu shellcode directamente en un ejecutable y después lo metes en el olly. También puedes descargar el Malcode Analysis Pack de idefense donde entre otras herramientas tienes el shellcode2exe para montartelo en local y no depender de ninguna web, te dejo el enlace: http://labs.idefense.com/software/malcode.php#more_malcode+analysis+packSaludos |
|
|
|
« Última modificación: 3 Enero 2011, 00:59 am por 3mp3z@ndo »
|
En línea
|
|
|
|
Garfield07
Desconectado
Mensajes: 1.121
¡Este año voy a por todas! JMJ 2011
|
Bueno, gracias por las respuestas, pero el sistema que uso es linux y me convierte a un Windows. Y Wine no puede hacer nada  Alguna idea? |
|
|
|
|
En línea
|
* Quiero cambiar el mundo, pero estoy seguro de que no me darían el código fuente. * No estoy tratando de destruir a Microsoft. Ese será tan solo un efecto colateral no intencionado. * Si compila esta bien, si arranca es perfecto. ¡Wiki elhacker.net!Un saludo |
|
|
|
SnakingMax
|
Debes reemplazar los '\' con '0' y ensamblarlo con FASM que está disponible para Linux tambien: |
|
|
|
|
En línea
|
|
|
|
|
|
|
|
Garfield07
Desconectado
Mensajes: 1.121
¡Este año voy a por todas! JMJ 2011
|
Comento que no me fue  El fasm no me compila xD... me echas una manita ? lo modifique pero nada ... Y mi metodo no me va. Cosa curiosa: http://blogs.udp.cl/obtener-c%C3%B3digo-assembler-de-un-shellcode-desde-el-terminalecho -ne "\x0c\xb0\x0b\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80" | x86dis -e 0 -s intel OK, code de acuerdo... echo -ne "\xeb\x12\x31\xc9\x5e\x56\x5f\xb1\x15\x8a\x06\xfe\xc8\x88\x06\x46\xe2\xf7\xff\xe7\xe8\xe9\xff\xff\xff\x32\xc1\x32\xca\x52\x69\x30\x74\x69\x01\x69\x30\x63\x6a\x6f\x8a\xe4\xb1\x0c\xce\x81" | x86dis -e 0 -s intel Pum pum pum... Que hago? Muchas gracias de todos modos. Alguna idea? |
|
|
|
|
En línea
|
* Quiero cambiar el mundo, pero estoy seguro de que no me darían el código fuente. * No estoy tratando de destruir a Microsoft. Ese será tan solo un efecto colateral no intencionado. * Si compila esta bien, si arranca es perfecto. ¡Wiki elhacker.net!Un saludo |
|
|
|
| Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
|
Vb6 shellcode help ayuda :(
Análisis y Diseño de Malware
|
Harmmy
|
9
|
7,427
|
7 Agosto 2012, 18:44 pm
por Harmmy
|
|
|
|
Programar mi propio shellcode
Hacking
|
Borito30
|
0
|
1,918
|
30 Diciembre 2016, 02:14 am
por Borito30
|
|
|
|
Shellcode to HEX (BOF)
ASM
|
GGZ
|
5
|
5,411
|
28 Enero 2017, 20:49 pm
por xv0
|
|
|
|
Ejecutar shellcode en C
Programación C/C++
|
mester
|
3
|
2,602
|
4 Marzo 2017, 13:51 pm
por integeroverflow
|
|
|
|
[MSF] Modificar un shellcode
Análisis y Diseño de Malware
|
4v1dy4
|
8
|
7,575
|
15 Enero 2023, 00:28 am
por 4v1dy4
|
 |
