Sto utilizzando un exploit Flash da metasploit, exploit/multi/browser/adobe_flash_hacking_team_uaf .
I servizi di Cisco FirePOWER notano queste firme e rilasciano i pacchetti.
Mi stavo chiedendo la funzione msfencode, che codifica il tuo payload. È possibile utilizzare questa funzione per codificare il tuo exploit?
Non è possibile codificare l'exploit come codificare un payload. Il motivo è che i dati che fanno parte di un exploit vengono elaborati direttamente dall'applicazione vulnerabile (in questo caso Flash). La funzione all'interno del binario Flash che elabora i dati di exploit non la decodificherà prima. In caso di payload possiamo codificarlo perché quando il payload viene eseguito, abbiamo già i privilegi di esecuzione del codice sulla scatola in modo che possiamo prima decodificare il carico utile e poi eseguirlo.
Ci sono molti modi attraverso i quali è possibile aggirare le regole IDS basate sulla firma. Non sono sicuro che tu abbia accesso al codice della firma reale (molto probabilmente la regex) ma se lo hai, puoi studiarlo e vedere cosa sta cercando. Nella mia passata esperienza con Cisco ASA IDS, le firme erano così discoste che puoi praticamente sostituire ' OR '1'='1' -- con ' OR '1000'='1000' -- e funzionerebbe.
Leggi altre domande sui tag obfuscation flash exploit metasploit