Auteur Sujet: Question shellcoding  (Lu 2300 fois)

0 Membres et 1 Invité sur ce sujet

Hors ligne Nop_nop

  • Nouvel inscrit
  • Messages: 1
  • +0/-0
Question shellcoding
« le: 18 juin 2019 à 12:54:23 »
Bonjour, j'ai quelques questions sur le shellcoding et l'exploitation de programmes auxquelles je n'arrive pas à trouver de réponses, j'espère que vous pourrez m'aider.

Tout d'abord, pourquoi crée un shellcode + un template pour le lancer, plutôt que de faire un programme qui ne fait qu'exécuter un shell ?

Quand un antivirus détecte un code malveillant qu'est-ce qu'il détecte concrètement ? Le lancement d'un shell ? La mise en mémoire dans la pile de "bin/bash" ?

Les attaques stack-based overflow et les attaques ROP ne servent-elle qu'à exploiter un binaire ou bien peuvent-elle être utilisée dans d'autres cas ?

Si je crée mon propre template et mon propre shellcode mon attaque sera-t-elle indétectable ?


En ligne ZeR0-@bSoLu

  • Administrateur
  • Membre Elite
  • *****
  • Messages: 2844
  • +162/-5
  • Pentest - Arch - Python - Kali
    • Kali-fr
Re : Question shellcoding
« Réponse #1 le: 18 juin 2019 à 13:12:58 »
Salut,
Tu n'a même pas pris le temps de faire une présentation c'est dommage.
-Ta première question trouvera une réponse si tu lis la définition d'un shellcode.
-les méthodes de détections sont diverses mais la plus souvent cela viens de la signature de ton programme.
-Tout ce qui touche à la pile ou au valeur de retour object oriented par définition.
-Non sauf si tu sais ce que tu fais
Mess  with the bests.
Die like the rest.

En ligne Snk

  • Modérateur
  • Membre Elite
  • *****
  • Messages: 1561
  • +110/-1
  • Multiboot Linux - Kali en Amateur - python(A)
Re : Question shellcoding
« Réponse #2 le: 18 juin 2019 à 22:38:32 »
Salut   :)

Moi, je voulais préciser au sujet des AVs.
Soit ils font soit une détection par signature, soit une détection par heuristique ou comportemental. (les deux sont valables pour quasiment tout les av sur le marché).
Donc dans le premier cas, il cherche a reconnaître la signature. (la signature de shellcode de Metasploit est connu, en encryptant la charge avec un encoders pas trop connu peu aider un peu, cf bf_xor qui a de meilleur résultat que les autres en se servant d'un exe (avec -x) comme putty et en exe-only, c'est pas trop mal, mais pas fud a 100%...)
Pour le deuxiéme cas, l'analyse heuristique, quand un logiciel inconnu s'exécute, il va l'isoler (sandbox) et regarder ce qu'il se passe (des appels système dangereux? ou es-ce qu'il essaie de se connecter vers l'exterieur?...) Là, c'est plus chaud, on peut aussi essayé de mettre une super tempo pour tenté passer ce stade...
En écrivant ton code, comme ZéR0 disait, si tu connais C et que tu sais ce que tu fais, oui, tu peux facilement le rendre indétectable.

Sur ce tchao  8)
Snk
« Modifié: 18 juin 2019 à 22:40:10 par Snk »
A l'époque c'était système_D (Comme démerdes-toi!)
On ne gagne pas sa Liberté , On choisi de la prendre!
Membre du P.L.F, Bill Gate$ suck'$.
Anti GAFAM - Brûlons les tous!

En ligne ZeR0-@bSoLu

  • Administrateur
  • Membre Elite
  • *****
  • Messages: 2844
  • +162/-5
  • Pentest - Arch - Python - Kali
    • Kali-fr
Re : Question shellcoding
« Réponse #3 le: 19 juin 2019 à 08:37:24 »
Merci pour les précisions :)
Mess  with the bests.
Die like the rest.