lunes, 30 de mayo de 2016

SHELL CODE Extractor un pequeño vistazo

 SHELL CODE EXTRACTOR




Muchos de ustedes se preguntarán de que me sirve una utilería que me extraiga el code Shell, pero antes que todo explicaré que es una SHELLCODE.


Que es una ShellCOde?

Como su nombre lo dice es un listado de órdenes que en su conjunto y programadas en ensamblador pero transferidas a un conjunto de valores hexadecimales llamadas OPCODE.

Pero se preguntarán por qué se hace este procedimiento de programarlas en ASM de ahí pasarlas a Hexadecimal? 

Uno de los propósitos es el de poder inyectar el código en la pila también llamado Stack que pertenece a un proceso de un programa para poder conseguir que en la maquina inyectada se corra la shellcode  sin ningún problema y no sea detectada por virus normalmente y podamos  ejecutar, saltar o copiar los datos en el sistema y poder por ejemplo tomar control de root, etc...

Como se ejecuta una shellcode?

Su funcionamiento básico de ejecución es el de simplemente decir que cuando se produzca el
desbordamiento y el salto el código inyectado de la shell se ejecutara por ejemplo:


-- En Windows abrir un ventana cmd.
-- Instalar algún troyano en la máquina.
-- Añadir un nombre de usuario con privilegios de administrador.
-- Ejecutar un programa específico y muchas cosas más.
-- Instalar un KEyLOOGER


Cabe mencionar que hay shellcodes para todo sistema operativo WINDOWS, LINUX (señalándoles que las shellcodes de Linux se ejecutan de una forma diferente a las de Windows.

Ejemplo de una shellcode para windows:



Ejemplo tomado de aquí:  shellcode


Con la cual podemos hacer un NULL FREE SHELLCODE - FUNCIONAL KEYLOOGER.


Recuerden una cosa muy importante siempre cuando se programe una shellcode debe de ser corta, ya que el espacio donde se inyecta normalmente es reducido que es dentro de la pila.

Ya despues de esta breve explicación aquí les dejo un link de un programa muy útil que es llamado:


SHELLCODE EXTRACTOR.




Con el cual podremos extraer los opcodes de la cabecera (seccion) .text y desplegarlo en diferentes formatos de codigo hexadecimal para poder usarlo en diferentes sintaxis.

Recuerden que este shell extractor solo trabaja en archivos PE validos y que esta codificada en C++.

Donde existen:
  1. Encabezado MZ
  2. Encabezado MS-DOS Stub
  3. Encabezado PE
  4. Encabezado Opcional
  5. Encabezados de Sección
  6. Secciones

Pero es será explicado en próximos articulos.

 y la pueden descargr de aqui la tool SHELLCODE EXTRACTOR:

Download: https://github.com/OsandaMalith/ShellCode-Extractor/releases

No hay comentarios:

Publicar un comentario

Crowdstrike -> Solución de errores de actualización de CrowdStrike con BitLocker habilitado

En este pequeño articulo ver como componer el problema de CROWDSTRIKE cuando esta habilitado el BITLOCKER, cabe resaltar que puede ser una e...