Metasploit Unleashed en Espanol (6/17)

Escribiendo un simple Fuzzer

Los Fuzzers son herramientas usadas por los profecionales de seguridad para proporcionar datos invalidos e inesperados a las entrada de un programa. Las tipicos fuzzer prueban una aplicacion para buffer overflows (desbordamiento de buffer), cadenas de caracteres, ataques transversales, vulnerabilidades de ejecucion de comandos, inyeccion de SQL, XSS y mas. Metasploit provee una completa variedad de librerias para profecionales de seguridad de manipulacion de datos y protocolos de red, el framework es un buen candidato para un rapido desarrollo rapido de un simple fuzzer.

El modulo Rex::Text ofrece muchos metodos practicos para tratar con textos como:

• Conversion de bufer
• Codificacion (html, url, etc)
• Verificar checksum (Checksumming)
• Generacion de cadena aleatoria

El ultimo punto es obviamente muy util para escribir fuzzers secillos. Para masinformacion, consulte la documentacion API en http://metasploit.com/documents/api/rex/classes/Rex/Text.html. Aqui se muestra algunas funciones que puede conseguir en Rex::Text :

root@bt4:~/docs# grep "def self.rand" /pentest/exploits/framework3/lib/rex/text.rb
def self.rand_char(bad, chars = AllChars)
def self.rand_base(len, bad, *foo)
def self.rand_text(len, bad='', chars = AllChars)
def self.rand_text_alpha(len, bad='')
def self.rand_text_alpha_lower(len, bad='')
def self.rand_text_alpha_upper(len, bad='')
def self.rand_text_alphanumeric(len, bad='')
def self.rand_text_numeric(len, bad='')
def self.rand_text_english(len, bad='')
def self.rand_text_highascii(len, bad='')
def self.randomize_space(str)
def self.rand_hostname
def self.rand_state()

© Offensive Security 2009

• Original by www.offensive-security.com

• Traslated by Jhyx