Argomenti del codice shell DoublePulsar

1

NSA DoublePulsar --help restituisce quanto segue:

Doublepulsar 1.3.1
Options:
--NetworkTimeout S16 (default: 60)
      Timeout for blocking network calls (in seconds).  Use -1 for no timeout.
--TargetIp IPv4
      Target IP Address
--TargetPort TcpPort (default: 445)
      Port used by the Double Pulsar back door
[--LogFile String]
      Where to write log file
--OutConfig String (default: stdout)
      Where to write output parameters file
--ValidateOnly Boolean (default: false)
      Stop execution after parameter validation
--Protocol Choice (default: SMB)
      Protocol for the backdoor to speak
   SMB
         Ring 0 SMB (TCP 445) backdoor
   RDP
         Ring 0 RDP (TCP 3389) backdoor
--Architecture Choice (default: x86)
      Architecture of the target OS
   x86
         x86 32-bits
   x64
         x64 64-bits
--Function Choice (default: OutputInstall)
      Operation for backdoor to perform
   OutputInstall
         Only output the install shellcode to a binary file on disk.
      --OutputFile String
            Full path to the output file
   Ping
         Test for presence of backdoor
   RunDLL
         Use an APC to inject a DLL into a user mode process.
      --DllPayload LocalFile
            DLL to inject into user mode
      --DllOrdinal U32 (default: 1)
            The exported ordinal number of the DLL being injected to call
      --ProcessName String (default: lsass.exe)
            Name of process to inject into
      --ProcessCommandLine String (default: )
            Command line of process to inject into
   RunShellcode
         Run raw shellcode
      --ShellcodeFile LocalFile
            Full path to the file containing shellcode
      --ShellcodeData LocalFile
            Full path to the file containing shellcode to run
   Uninstall
         Remove's backdoor from system

Quindi non capisco perché la funzione RunShellcode prende due argomenti che sembrano essere identici, Sono entrambi obbligatori Ho provato a fornire un codice shell -fbin nasificato ( che esegue calc.exe e threadexit ) per entrambi gli argomenti, ma la destinazione si è bloccata, quindi l'ho unita con questo kernel per usermode shellcode anche il target si è bloccato, lo shellcode unito funziona bene con quel exploit python anche lo shellcode pure è testato localmente e funziona bene, quindi è DoublePulsar che esegue lo shellcode in ring0 e il kernel in usermode shellcode non funziona con DoublePulsar o sto usando DoublePulsar nel modo sbagliato quindi che cos'è?

Non ho potuto aggiungere il tag DoublePulsar perché non ho abbastanza rep

    
posta 0x3h 24.03.2018 - 02:38
fonte

0 risposte

Leggi altre domande sui tag