Encoding the shellcode three times using the x64 xor EncoderMSFvenom(xor x64)のシェルコードをデコードしていますか?
私はエクスプロイト自分を書いていると私は私のプログラムでそれを追加したり、すでにシェルコードの内部デコーダスタブあるときにシェルコードをデコードする必要がある場合、私は不思議に思っていましたか?私がデコードする必要がある場合、どうすればいいですか?キーはありません。
いいえ。シェルコードを復号化する必要はありません。私は、同じコマンドを実行し、この
0: 48 31 c9 xor rcx, rcx
3: 48 81 e9 b6 ff ff ff sub rcx, 0xffffffffffffffb6
a: 48 8d 05 ef ff ff ff lea rax, [rip+0xffffffffffffffef] # 0x0
11: 48 bb af cc c5 c0 90 movabs rbx, 0x29153c90c0c5ccaf
18: 3c 15 29
1b: 48 31 58 27 xor QWORD PTR [rax+0x27], rbx
1f: 48 2d f8 ff ff ff sub rax, 0xfffffffffffffff8
25: e2 f4 loop 0x1b
これはXOR演算第二の反復ペイロードが続くシェルコードの開始部分だったように見えた何かを得ました。復号化すると、私はそれに似たスタブが付いていることがわかりました。だからあなたは解読する必要はありません。実行をバッファの先頭にポイントするだけです。
はい、シェルコードをメモリに注入して実行しましたが、デコードせずに動作しました。デコーダのスタブはシェルコードの内部にあります。なぜなら、各繰り返しでそれが大きくなる理由です。ご協力いただきありがとうございます –
すべての反復で40バイト増分は、おそらく次の反復のペイロードを復号化するスタブを指しています。シェルコードを貼り付けると、私はあなたを助けることができます。 – sudhackar