La scrittura di shellcode è ancora un'abilità valida per avere / imparare?

4

Seguito da questa domanda: Dovrei preoccuparmi del buffer di insegnamento overflow altro?

Sono un ricercatore di informatica e anche istruttore di corsi di sicurezza. Recentemente sono state poste domande sulla validità dell'overflow del buffer, sulle tecniche di overflow del buffer e simili, dato che il soggetto stesso è coinvolto durante l'anno (nuove contromisure, nuove tecniche, ecc.). La domanda che ho collegato ha razionalizzato l'apprendimento del concetto di overflow del buffer nel suo complesso, ma vorrei chiedere un'area più specifica.

Quindi, in breve, scrivere shellcode è ancora utile? Altre tecniche come egghunting, NOP sled, ecc.

    
posta Pham Trung Nghia 08.05.2013 - 19:31
fonte

3 risposte

3

Sì, vale ancora la pena di imparare. Le persone che si trovano nelle prime fasi dell'apprendimento sviluppano lo sviluppo non uscendo dalla porta sapendo tutto. È utile utilizzare l'overflow del buffer, che si fa riferimento e scrivere codice shell per ottenere l'interesse di ppl e utilizzarlo come trampolino di lancio per diventare uno sviluppatore di exploit professionale. Non si sa mai, potresti insegnare il prossimo genio degli sviluppatori di exploit e imparare a conoscere lo sviluppo del codice shell potrebbe innescare una nuova innovazione. Quindi sì continua ad insegnarlo. Inoltre è ancora usato.

    
risposta data 08.05.2013 - 19:39
fonte
3

Finora le risposte hanno menzionato solo la parte di conoscenza che si ricava dall'imparare a codice shell. Tuttavia, la conoscenza del codice shell è necessaria per l'esecuzione di attacchi nel mondo reale e la conoscenza viene utilizzata dagli attaccanti per rimanere nascosti e per eseguire un'attività specifica per un particolare ambiente.

Per fare un esempio, guarda Backstage tecnico APT di iTrust Consulting documento. Fornisce un dettaglio dettagliato di come i ricercatori sono stati in grado di compromettere il server utilizzato dagli aggressori. A pagina 11, forniscono dettagli su come hanno sviluppato il proprio codice shell personalizzato perché sia il codice della shell sia il codice della shell sono visibili nel netstat. Per coprire le loro comunicazioni, hanno dovuto personalizzare il codice della shell di bind e collegarlo tramite il server proxy. Se non si dispone della conoscenza del codice shell, non è possibile personalizzare il codice shell per requisiti specifici.

    
risposta data 09.05.2013 - 06:39
fonte
1

Ci sono diversi motivi per cui la codifica della shell è ancora interessante, in primo luogo ti impara come funziona il sistema operativo a basso livello. Avere una buona comprensione di come funzionano queste cose è ancora importante.

Inoltre, se si guardano i numeri, le vulnerabilità del bufferoverflow sono ancora in fase di definizione, quindi è ancora pertinente, anche se in questi giorni potrebbe essere molto più difficile ottenere effettivamente un exploit funzionante.

    
risposta data 08.05.2013 - 20:17
fonte