حل مشكلة توليد msfpayload لـ Null Byte

بالأمس كنت بحاجة الى الحصول على كود لـ bind_tcp من خلال metasploit وحصلت عليه وكل شيء تمام … بعد إستعماله في الثغرة التي أود إستغلالها لم أتمكن من الحصول على الـ shell وقمت بفحص أمور الجدار الناري وما الى ذلك خوفاً أن يكون هو السبب وأنه يقوم بحجب الإتصال ولكن لم يكن هو السبب … ولهذا قمت بجلب نسخة من الخادم الذي أود إختراقه للتجربة، وقمت بتشغيله من خلال OllyDbg ومتابعة الأوامر التي ينفهذا المعالج خطوة خطوة … وضعت Break Point على الـ JMP ESP الموجود في المكتبة SHELL32.dll وذلك لانها على ما يبدو غير موجودة في Windows XP SP3 في مكتبة USER32.dll كالسابق والذي أغلب الناس كانت تستعمله من هناك … المهم قمت بما ذكرت ونفذت الإستغلال ووصلت الى الـ Break Point … لكن حين أكملت التنفيذ (خطوة خطوة) البرنامج كان ينفذ أوامر غريبة أخرى ليس لها علاقة بالأوامر التي أريدها أنا (الشل كود) !! بعد التدقيق تبيين بإنه الـ msfpayload عندي كان قد ولد Shell Code لي فيه Null Byte أو بنظام الهيكسا x00 !!! ولهذا كان الـ Buffer عندي يقطع في منتصف الطريق بسبب هذا الخلل !

الحل ليس صعب ولكنه أخذ مني بعض الوقت للأمانة وكان على النحو التالي (أفترض إنك بداخل مجلد الميتاسبلويت):

./msfpayload windows/shell_bind_tcp R > /root/rawfile

هكذا عملنا الـ Shell Code ولكن الناتج على شكل RAW وليس على شكل كود C كما هو معتاد … وبعد ذلك قمت بعمل أنكود له:

./msfencode -i /root/rawfile -t c -b '\x00'

لاحظ آخر خيار أضفته الى الأمر … الخيار b استعملته لكي أخبر Metasploit أن تعامل الذي بين ‘ و ‘ على أنها تحاول أن تتجاوزهما ولا تظهرهما في الكود وهذا بالفعل ما حصل … بعد ذلك أخذت الكود ووضعته في الثغرة وتم تنفيذ الثغرة مع مراقبة ما يحدث في الـ Debugger وكله طلع تمام التمام …

أحببت ذكر هذه المسألة وكيف تجاوزتها لأنه الكثير من الناس يظن بإن الـ Metasploit لا يولد في الـ Shell Code أي Null Byte وهذه فكرة خاطئة لانها بالفعل حصلت …

ملاحظة:
إن كنت بحاجة عزيزي القاريء الى معرفة عنوان وجود الـ JMP ESP في مكتبة SHELL32.dll على نظام Windows XP SP3، فهو موجود بالعنوان التالي:

"\x65\x82\xA5\x7C"

أو

6582A57C