Metas de Diseño del Exploit

De www.metasploit-es.com.ar

Metas de Diseño del Exploit

Al escribir exploits para su uso en el Metasploit Framework, tus metas de diseño deberian ser minimalistas.

  • Descarga del maximo de trabajo posible al Framework.
  • Haz uso, y confia, en las librerias del protocolo Rex.
  • Haz un uso extensivo de los mixins disponibles.

Tan importante como un diseño minimalista, es que los exploits deberian ser confiables.

  • Cualquier BadChars declarado deberia ser 100% exacto.
  • Los pequeños detalles en el desarrollo de exploits importan mucho.

Los exploits deberian utilizar aleatoriedad siempre que sea posible. La distribucion aleatoria ayuda con la evasion IDS, IPS y AV, y tambien sirve como una excelente prueba de fiabilidad.

  • Al generar padding, utiliza Rex::Text.rand_text_* (rand_text_alpha, rand_text_alphanumeric, etc).
  • Añade aleatoriedad a todos los payloads utilizando codificadores (encoders).
  • Si es posible, haz aleatorio el trozo del codificador.
  • Añade aleatoriedad tambien a los nops.

Tan importante como la funcionalidad, es que los exploits deberian ser legibles tambien.

  • Todos los modulos de Metasploit tienen una estructura consistente con tabulaciones.
  • De todas formas el codigo chulo es mas dificil de mantener.
  • Los mixins proveen nombres de opciones consistentes a traves del Framework.

Finalmente, los exploits deberian ser utiles.

  • Las pruebas de concepto se deberian escribir como modulos Auxiliares DoS, no como exploits.
  • La fiabilidad final del exploit deberia ser alta.
  • Las listas de objetivos deben ser inclusivas.


© Offensive Security 2009 

Original de www.offensive-security.com
Traducido por cbk999
Obtenido de «http://www.metasploit-es.com.ar/wiki/index.php/Metas_de_Dise%C3%B1o_del_Exploit»
Herramientas personales