Shellcodeexec,sendo do conhecimento de todos os que trabalham com testes de invasão, ferramentas de segurança e realizam atividades afins,pode ser classificado comoum pequeno script para executar na memória uma seqüência de opcodes. O que ele faz é gerar um novo segmento onde o shellcode seja executado em um Structure Exception Handler (SEH).
O Syringe, de quem vamos falar neste texto, é um utilitário de propósito geral para a plataforma Windows. Ele suporta injeção de DLLs, e shellcode em processos de execução remota, e de shellcode (através do mesmo método de shellcodeexec). Pode ser muito útil para executar Metasploit payloads enquanto ignora muitas implementações populares de anti-vírus, além de executar DLLs personalizadas.
A técnica implementada por Syringe ocorre da seguinte forma: é aberto um identificador para o processo remoto, há a uitilização do VirtualAllocEx para alocar a memória no processo de controle remoto com as permissões necessárias para ler, escrever e executar. Dessa forma, Então é utilizado o WriteProcessMemory para copiar o shellcode para o buffer remoto. A partir daí, é necessário utilizar novamente o VirtualAllocEx para a alocação de memória com o esboço de montagem.
A utilização de Syringe é muito fácil: Injeção de uma DLL
syringe.exe -1 [ dll ] [ pid ]
Injetando ShellCode:
syringe.exe -2 [ shellcode ] [ pid ]
Executando ShellCode:
syringe.exe -3 [shellcode]
Lembrando que o Syringe é uma ferramenta de código aberto. Façam bom proveito.
Saiba mais em:
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
O Syringe, de quem vamos falar neste texto, é um utilitário de propósito geral para a plataforma Windows. Ele suporta injeção de DLLs, e shellcode em processos de execução remota, e de shellcode (através do mesmo método de shellcodeexec). Pode ser muito útil para executar Metasploit payloads enquanto ignora muitas implementações populares de anti-vírus, além de executar DLLs personalizadas.
A técnica implementada por Syringe ocorre da seguinte forma: é aberto um identificador para o processo remoto, há a uitilização do VirtualAllocEx para alocar a memória no processo de controle remoto com as permissões necessárias para ler, escrever e executar. Dessa forma, Então é utilizado o WriteProcessMemory para copiar o shellcode para o buffer remoto. A partir daí, é necessário utilizar novamente o VirtualAllocEx para a alocação de memória com o esboço de montagem.
A utilização de Syringe é muito fácil: Injeção de uma DLL
syringe.exe -1 [ dll ] [ pid ]
Injetando ShellCode:
syringe.exe -2 [ shellcode ] [ pid ]
Executando ShellCode:
syringe.exe -3 [shellcode]
Lembrando que o Syringe é uma ferramenta de código aberto. Façam bom proveito.
Saiba mais em:
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Comment