0

我正在为以下漏洞编写自定义规则:http ://www.exploit-db.com/exploits/36100/

我已经运行了漏洞利用程序,我正在编写规则的数据包可以在这里看到:http: //txt.do/cxgb

这是我正在使用的当前规则:

alert tcp any any -> any any (msg:"X360 VideoPlayer ActiveX Control Buffer Overflow"; flow:to_server,established; content:"\x64\xa1\x18\x00\x00\x00\x83\xc0\x08\x8b\x20\x81\xc4\x30\xf8\xff\xff"; fast_pattern; http_client_body; metadata: service http; sid:1000007; rev:1;)

但是,Snort 没有对此提出警告。有人能看出为什么吗?提前致谢。

4

1 回答 1

1

正如您在评论中提到的,由于您没有指定端口,snort 不会将流量视为 http,因此不会填充 http 缓冲区。既然是这种情况,您需要删除 http 内容修饰符,因为这永远不会匹配。取出“http_client_body”。

要匹配文字字符 \,您需要使用 \ 对其进行转义,例如“\\x64”

此外,此内容正在从服务器传输到客户端(它提供一个 http 页面)。您需要将流程更改为“流程:to_client,已建立”

于 2015-03-11T14:02:42.933 回答