NSA DoublePulsar --help
restituisce quanto segue:
Doublepulsar 1.3.1
Options:
--NetworkTimeout S16 (default: 60)
Timeout for blocking network calls (in seconds). Use -1 for no timeout.
--TargetIp IPv4
Target IP Address
--TargetPort TcpPort (default: 445)
Port used by the Double Pulsar back door
[--LogFile String]
Where to write log file
--OutConfig String (default: stdout)
Where to write output parameters file
--ValidateOnly Boolean (default: false)
Stop execution after parameter validation
--Protocol Choice (default: SMB)
Protocol for the backdoor to speak
SMB
Ring 0 SMB (TCP 445) backdoor
RDP
Ring 0 RDP (TCP 3389) backdoor
--Architecture Choice (default: x86)
Architecture of the target OS
x86
x86 32-bits
x64
x64 64-bits
--Function Choice (default: OutputInstall)
Operation for backdoor to perform
OutputInstall
Only output the install shellcode to a binary file on disk.
--OutputFile String
Full path to the output file
Ping
Test for presence of backdoor
RunDLL
Use an APC to inject a DLL into a user mode process.
--DllPayload LocalFile
DLL to inject into user mode
--DllOrdinal U32 (default: 1)
The exported ordinal number of the DLL being injected to call
--ProcessName String (default: lsass.exe)
Name of process to inject into
--ProcessCommandLine String (default: )
Command line of process to inject into
RunShellcode
Run raw shellcode
--ShellcodeFile LocalFile
Full path to the file containing shellcode
--ShellcodeData LocalFile
Full path to the file containing shellcode to run
Uninstall
Remove's backdoor from system
Quindi non capisco perché la funzione RunShellcode
prende due argomenti che sembrano essere identici, Sono entrambi obbligatori Ho provato a fornire un codice shell -fbin
nasificato ( che esegue calc.exe e threadexit ) per entrambi gli argomenti, ma la destinazione si è bloccata, quindi l'ho unita con questo kernel per usermode shellcode anche il target si è bloccato, lo shellcode unito funziona bene con quel exploit python anche lo shellcode pure è testato localmente e funziona bene, quindi è DoublePulsar che esegue lo shellcode in ring0 e il kernel in usermode shellcode non funziona con DoublePulsar o sto usando DoublePulsar nel modo sbagliato quindi che cos'è?
Non ho potuto aggiungere il tag DoublePulsar perché non ho abbastanza rep