[ Vojislav Milunovic @ 25.07.2001. 11:57 ] @
Do sada je bilo reci na ovu temu na www.hack.co.za.Zapravo bio je text koji jaze da se koristi jmp 0x2 sto je jednako 2 instrukcije i uvek postoji sansa da se pogodi sredina i da exploit ne uspe.

Najcesci vid napada su buffer overflow napadi koji MORAJU da sadrze ogromnu kolicinu padinga (NOP instrukcije) kako bi sansa za upad bila povecana.Svaki IDS koji testira za vise od 100 NOPova moze lako da nadje vas attack string.Poenta ovog je da se ne koriste NOPovi vec neke druge instrukcije od 1 byte.

Moja ideja je da se umesto NOPa koristi recimo:
Code:

inc %eax
inc %ebx
inc %ecx
inc %edx
xchg %ebx,%eax


push i pop se takodje mogu koristiti ali mora se biti oprezan jer se moze doci do kraja stacka tako da bi izvrsna kombinacija bila

10 push 10 pop 10 push 10 pop ;o)

Nadam se da je neko razumeo sta sam ovim hteo reci ? ;o)

pozdrav
[ StYx @ 25.07.2001. 13:09 ] @
jel si probao ovo:
Code:
Replace this :
0x90
With this :
0xeb0x02

to ti je isto iz jednog teksta sa hack.co.za ... ne znam dali radi nikad nisam probao ... a ima jos jedna tehnika za anti-ids ... polymorphic code ... isto nikad nisam probao ali pogledaj

www.ktwo.ca/c/ADMmutate-0.8.1.tar.gz

probaj to :>

pozdrav
[ StYx @ 25.07.2001. 13:31 ] @
uppssss malo sam zdrkao post :> nisam procitao do kraja :> btw imas ICQ ? ako imas daj vamo broj :>
[ Vojislav Milunovic @ 25.07.2001. 15:47 ] @
moj I seek you = 46043882
[ slash @ 25.07.2001. 20:18 ] @
dali je itko probao napisati kakav exploit koristeci ADMmutate API ?
[ StYx @ 25.07.2001. 20:43 ] @
nope ... ja nisam
nego dajte mi neki url od nekog dobrog IDS-a ucu da ga probam sa ADImutate ... dal sa apijem dal sa progie
[ Vojislav Milunovic @ 25.07.2001. 22:21 ] @
Pa ubacis ove instrukcije na smenu od po 10 recimo i xor-ujes shellcode i cik da provali