Qual è la differenza tra un carico utile e uno shellcode?

Quando si sfrutta un'applicazione, il payload è il codice che l'utente malintenzionato desidera effettivamente eseguire. È la parte che non serve solo allo scopo di sfruttare la vulnerabilità stessa, ma fa qualsiasi cosa l'utente malintenzionato ritenga utile.

Quando si sceglie un payload, un utente malintenzionato di solito desidera il codice che avvia una shell . Una shell è il programma con cui interagisci sulla riga di comando per controllare il tuo sistema operativo (su Linux potresti avere familiarità con la shell Bourne o Bash ).

Un payload che avvia una shell viene definito shellcode . Notate che alla fine troverete anche dei payload che non avviano una shell chiamata anche shellcode.

Una shell di collegamento è un programma che si collega a una porta e ascolta le connessioni in entrata. Poiché l'apertura di un porto attira l'attenzione e poiché l'attaccante spesso non è in grado di raggiungere la porta dall'esterno della rete, esiste un concetto opposto: una shell inversa non attende connessioni in entrata ma si connette a un indirizzo e una porta specificati. Cioè, l'attaccante attende una connessione in entrata dal server compromesso invece di iniziare la connessione stessa.

Lo shellcode viene iniettato con il payload o anche a volte indicato come payload in generale. Il payload d'altra parte non deve necessariamente essere shellcode (codice che genera una shell), ma potrebbe essere codice che esegue qualsiasi azione di tua scelta, ad esempio generare una calcolatrice, riavviare il sistema, ... Il payload di solito non include solo il codice da iniettato ed eseguito ma comprende anche indirizzi di ritorno, slitte NOP, nuovi SEH, dati di stub che riparano lo stack, decodificatore, egghunter, ...