Seite 2 von 3 ErsteErste 123 LetzteLetzte
Ergebnis 11 bis 20 von 23
  1. #11
    Tron Avatar von gORDon_vdLg
    Registriert seit
    23.07.2007
    Beiträge
    801

    Standard AW: Unauffindbar backdoor auf EP datei

    Zitat Zitat von mx1238 Beitrag anzeigen
    Was meinst mit....Restore Execution Flow ? , er meist das ich Ausführung Wiederstellen werde , aber was meinst mit das ??
    Du hast am Einstiegspunkt des Programms einen Jump zu deinem Shellcode eingefügt, dieser Jump ist fünf Byte lang. Die Instruktionen welche dadruch überschrieben werden müssen am Ende des Shellcodes wieder eingefügt werden und dann ein Jump zurück hinter den Jump am Einstiegspunkt damit das Programm weiter laufen kann.


    Ob das Call EBP da ist weiß ich nicht, poste mal den Shellcode.

  2. #12
    Anfänger
    Registriert seit
    16.09.2017
    Beiträge
    20

    Standard AW: Unauffindbar backdoor auf EP datei

    Sorry die ich nicht Frühe die Bilder nicht geschickt , aber die zweite Seite habe nicht gesehen..... , Erste Bild , wo ich meine Codec Anfang , Zweite Bild , wo meine Codec Ende...

  3. #13
    Tron Avatar von gORDon_vdLg
    Registriert seit
    23.07.2007
    Beiträge
    801

    Standard AW: Unauffindbar backdoor auf EP datei

    4630F7 CALL DWORD PTR DS:[EBX]
    Hier ist ein CALL EBX, vielleicht hat er sich verschrieben, setze darauf mal einen Breakpoint, lass dann das Programm laufen und gucke was in EBX steht.

    Und vertausche bitte mal das POPFD mit dem POPAD, das hat der im Tutorial falsch geschrieben, ich auch weil ich Copy/Paste benutzt habe Aber das muss immer in umgekehrter Reihenfolge wie PUSHAD und PUSHFD passieren. PUSHAD kopiert alle Register auf den Stack und POPAD kopiert sie zurück. PUSHFD/POPFD macht das gleiche mit den Flags. Ich habe das mal in meinem alten Post korrigiert.

  4. #14
    Anfänger
    Registriert seit
    16.09.2017
    Beiträge
    20

    Standard AW: Unauffindbar backdoor auf EP datei

    so , ich have alles neue gemacht , ich have wie ich glaube dir Verstand habe.... , Dieses mal habe Anfang nur PUSHFD gegeben und an Ende nur POPFD , und wie das Bild zeigt , habe die CALL EBP bekommen , aber wenn versuche sie zu Speichen , Rechte Maus + copy to executable , bekomme nur Selection...., so habe gemacht wie Früher , ich habe mit dem Maus alles auswählen , dann wenn das andere Fenster geöffnet hat , habe es gespeicher ....
    Geändert von mx1238 (24.03.2018 um 15:14 Uhr)

  5. #15
    Tron Avatar von gORDon_vdLg
    Registriert seit
    23.07.2007
    Beiträge
    801

    Standard AW: Unauffindbar backdoor auf EP datei

    Du brauchst schon PUSHAD und PUSHFD, wichtig ist nur dass dann am Ende POPFD und PUSHAD in umgekehrter Reihenfolge steht.

    Du hast diese zwei Möglichkeiten:

    Entweder:
    PUSHAD
    PUSHFD
    shellcode...
    POPFD
    POPAD

    Oder so rum:
    PUSHFD
    PUSHAD
    shellcode...
    POPAD
    POPFD

    Weißt du was PUSH und POP machen?

  6. #16
    Anfänger
    Registriert seit
    16.09.2017
    Beiträge
    20

    Standard AW: Unauffindbar backdoor auf EP datei

    Weißt du was PUSH und POP machen?

    Eine Stack ist wie einer Schichtenweise Sandwich , mit PUSH wird eine neue "Brot" Scheibe gelegt , und mit POP entfernt dieser Scheibe....

    Meine einzige Stack Erfahrung habe mit dem Buch Penetration Testing: A Hands-On Introduction to Hacking von georgia Weidman gehabt...

    Ich weiss warum du mir fragst.... , hast du Recht , ich weiss das ich vielllll Lerne soll... ,Es gibt Menschen das Erste Anfang mit Theorie und dann mit Praxis , ich brauche Praxis um Theorie zu Lernen , aber am Besten Theorie und Praxis Gleichzeit ......


    Zurück zu meine Probleme.... ich habe bemerke wenn ich der Codec von Msfvenom nicht umkehren , bekomme CALL EBP.....
    Das Probleme ist das mit beiden bekomme keine DEC INC .......

    ich habe bemerke das du x64dbg benutzt , meine Rechner ist ein x64 Bits , meine Host ein Linux wo ein Windows 7 64 Bits in VirtualBox installiert habe , ich arbeite mit Ollydbg die nur für 32 Bits ist , vielleicht kann der Grund sein , warum ich diese Ergebnis bekomme ?
    Geändert von mx1238 (25.03.2018 um 16:53 Uhr)

  7. #17
    Anfänger
    Registriert seit
    16.09.2017
    Beiträge
    20

    Standard AW: Unauffindbar backdoor auf EP datei

    Kann jemand hilf mit diese Codec... , das Codec kommt vom Buch Penetration Testing: A Hands-On Introduction to Hacking von Georgia Weidman sie hast geschrieben so:


    void overflowed() {
    printf("%s\n", "Execution Hijacked");
    }
    void function1(char *str){
    char buffer[5];
    strcpy(buffer, str);
    }
    void main(int argc, char *argv[])
    {
    function1(argv[1]);
    printf("%s\n", "Executed normally");
    }

    ich habe keine Ahnung über C , aber wie ich in Forums gelesen habe , man soll bei main eine int .

    Sie hat so geschrieben : void main(int argc, char *argv[])

    aber soll so : int main(int argc, char *argv[])

    aber wenn schreibe so , bekomme auch Fehler....
    Geändert von mx1238 (26.03.2018 um 18:59 Uhr)

  8. #18
    Anfänger Avatar von Hemelinger
    Registriert seit
    18.04.2017
    Beiträge
    19

    Standard AW: Unauffindbar backdoor auf EP datei

    Zitat Zitat von mx1238 Beitrag anzeigen
    Wenn ich in Assemble schreibe CLD E8 820000 , sagst; Unknown Identifier , sorryyyyyyy , ich habe Falsch verstandet mit AB dem CLD , Vielleicht ist nach CLD ?..... , sorry ist AB... . Beim Dritte Spaltung Rechte Maus + Binary + Edit , dann habe meine Codec von Msfvenom Eingefügen ...

    Was meinst mit....Restore Execution Flow ? , er meist das ich Ausführung Wiederstellen werde , aber was meinst mit das ??

    Bei Speichen habe auch Probleme ...wenn ich gebe Rechte Maus + copy to executable , bekomme nur Selection , nicht All Changes .Deshalb kann nur Speichen eine Adresse......ich habe eine Lösung gefunden , ich habe mit dem Maus alles auswählen , dann wenn das andere Fenster geöffnet hat , habe alles dort ....

    Aber als ich wieder Öffnet der 7zFMAddedSectionHijacked.exe Datei , kann nicht finde , At the end of the shellcode we see an opcode CALL EBP which terminates the execution of the program after shellcode is executed
    Are you using a translator or something? Maybe you should try to post english if you are familiar with it. Most of the people here understand english better than auto translated text.
    ~ Reflinks sind nicht erlaubt - sn0w ~

  9. Folgende Benutzer haben sich für diesen Beitrag bedankt:

    mx1238 (28.03.2018)

  10. #19
    Anfänger
    Registriert seit
    16.09.2017
    Beiträge
    20

    Standard AW: Unauffindbar backdoor auf EP datei

    Danke für deine Antwort! , ich benutze keine Translator...., mein Englisch ist noch schlimmer als meine deutsch... versuche wieder meine frage zu stellen .....
    Entschuldigung warum habe nicht früher antwortet , aber ich soll arbeite....

    ich habe das Code wie vom Buch, und ich habe es so compile , gcc -g -fno-stack-protector -z execstack -o overflowtest overflowtest.c ,
    mit , file overflowtest bekomme das:
    overflowtest: ELF 64-bit LSB shared object, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 2.6.32, BuildID[sha1]=b7a7b04fac85afb46312b97a86fe040bddff288f, not stripped
    ich versuche diese Übung mit GDB zu machen , wenn ich schreibe break 14 , break 10 , break 11 , bekomme ein Hex die nur Drei Ziffer , dann wenn schreibe run AAAA und x/16xw $esp , bekomme das .....
    Auch anstatt schreib void main(int argc, char *argv[]) , schreibe int main(int argc, char *argv[]) , bekomme das gleiche....
    Geändert von mx1238 (28.03.2018 um 18:20 Uhr)

  11. #20
    Anfänger
    Registriert seit
    16.09.2017
    Beiträge
    20

    Standard AW: Unauffindbar backdoor auf EP datei

    Danke für deine Antwort! , ich benutze keine Translator...., mein Englisch ist noch schlimmer als meine deutsch... versuche wieder meine frage zu stellen .....
    Entschuldigung warum habe nicht früher antwortet , aber ich soll arbeite....

    ich habe das Code wie vom Buch, und ich habe es so compile , gcc -g -fno-stack-protector -z execstack -o overflowtest overflowtest.c ,
    mit , file overflowtest bekomme das:
    overflowtest: ELF 64-bit LSB shared object, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 2.6.32, BuildID[sha1]=b7a7b04fac85afb46312b97a86fe040bddff288f, not stripped
    ich versuche eines Übung die auf dieses Buch mit GDB zu machen , wenn ich schreibe break 14 , break 10 , break 11 , bekomme ein Hex die nur Drei Ziffer , dann wenn schreibe run AAAA und x/16xw $esp , bekomme das .....
    Auch anstatt schreib void main(int argc, char *argv[]) , schreibe int main(int argc, char *argv[]) , bekomme das gleiche....

    So, wie ich Verstehe , meine Probleme bekomme weil GDB für x86_64 Bits gedacht ist... und ich x64 habe.....
    weil die Ausgabe für 32 Bits gedacht ist , habe dieses Probleme , aber wie hier steht , anstatt esp ich soll rsp schreibe ....

    Danke für eure hilfe
    Geändert von mx1238 (28.03.2018 um 20:02 Uhr)

Seite 2 von 3 ErsteErste 123 LetzteLetzte

Ähnliche Themen

  1. Aptra XFS unauffindbar?
    Von micha! im Forum Netzwerke
    Antworten: 0
    Letzter Beitrag: 03.08.2010, 16:22

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •