Monday, December 24, 2012

msfencode กับ shikata_ga_nai 


[22:06:30]  มีใครพอรู้เรื่อง msfencode บ้างไหม?
[22:06:35]  ถามอะไรหน่อย
[22:07:34]  ปรกติ -e สำหรับ badchar มันจะไปใช้ shikata_ga_nai ตลอดเลยหรอ?
[22:28:24]  default มันคือ shikata_ga_nai
[22:28:50]  เลือกเองได้
[22:29:48]  shikata_ga_nai มัน work กับ badchar เกือบทุกอัน
[22:32:14]  แล้วถ้าผมจะไม่ใช้ shikata_ga_nai ได้ไหมอ่ะ? สำหรับ badchar อะนะ
[22:32:39]  เมื่อวานผมเพิ่งคุยกับ นิ๊กมา เค้าเจอ environment ที่ใช้ shikata_ga_nai ไม่ได้
[22:32:59]  msfencode -l
[22:33:12]  เลือกเอาเลย
[22:33:35]  นั่นแหละ ผมก็ตอบนิ๊กไปแบบนั้นเหมอนกัน แต่เค้าบอกว่า ถ้าเป็ฯ badchar มันจะกลับไปใช้ shikata_ga_nai อัตโนมัติ
[22:33:47]  ก็เลยสงสัยว่าจริงไหม
[22:33:57]  มันน่าใช่
[22:34:08]  เป็น bug ของ msfencode แล้วละ
[22:34:16]  - -a อืมอืม
[22:34:41]  ไม่น่าใช่ดิ
[22:34:47]  พิมพ์ผิด
[22:35:57]  พรือไม่ก็ เป็นเพราะมัน encode ไม่ได้
[22:36:04]  เลยกลับไปใช้ default
[22:36:45]  encode ไม่ได้คือ มี badchar ที่ทำให้มัน encode ไม่ได้
[22:37:31]  แต่ที่สงสัยอ่ะ ไอ้พวก xor เพือ encode อ่ะมันใช้ base จาก shikata_ga_nai หมดเลยปะ??
[22:37:46]  หรือว่าไม่เกี่ยว?
[22:38:32]  ไม่เกี่ยวกันเลย
[22:38:47]  อย่างพวก Alphanumeric อย่างนี้อ่ะ ผมเคย debug เล่นดูทีนึง มันใช้ xor loop เพื่อ decode
[22:38:51]  หลักการพวกนี้คล้ายๆ packer อะ
[22:38:55]  อืมอืม
[22:39:08]  แต่เวลา pack แล้วต้องหลบ badchar ให้ได้หมด
[22:39:19]  อาฮะ
[22:39:27]  แล้วก็ใส่ code ที่ unpack มันออกมา
[22:39:40]  แล้วค่อยไป execute shellcode จริงๆ
[22:40:01]  งั้นแสดงว่า msfencode มี default เป็น shikata_ga_nai  ??
[22:40:16]  ใช่
[22:40:25]  อ๋อ คับ
[22:40:29]  มัน polymorphic ด้วย
[22:40:39]  คือ encode แต่ละครั้ง จะได้ไม่เหมือนกัน
[22:40:53]  เข้าใจละ
[22:41:51]  งั้นผมว่านิ๊กต้องเข้าใจอะไรผิดแน่ๆ เพราะเมื่อวาน shell มันแค่ xor กับ shell อีกตัว เพื่อทำอะไรซักอย่างแค่นั้น
[22:42:10]  ไม่น่าจะมีปัญหาเรื่อง encode ไม่ได้ สำหรับ ตัวอื่นๆ
[22:42:45]  คือถ้าใส่ badchar บางตัวเข้าไป อาจทำให้ encoder บางตัว encode ไม่ได้นะ
[22:42:54]  เพราะมันต้องใช้
[22:43:49]  แต่ถ้าจำไม่ผิด มันจะไม่กลับเป็น default นะ
[22:43:54]  มันจะฟ้องว่าไม่ได้
[22:44:41]  เห็นว่า badchar ปรกติเองนะ \x00, \x0a \x0d \x5c
[22:45:08]  - -a ใช่ๆ ผมก็จำได้ว่ามันเป็นแบบนั้นนะ
[22:46:44]  ถ้าแค่นี้ไม่น่ามีปัญหา
[22:47:35]  ใช่ผมก็เข้าใจว่าแบบนั้น แต่นั่นแหละ เค้าบอกมาแบบนั้นผมก็เลยไม่มั่นใจ
Posted by at
Labels: , , , ,

No comments:

Post a Comment

Why You Don't LIKE My FaceBook Fanpage ?
×
blogger