Snort 规则无法提醒日志
Snort rule failing to alert to log
我正在为以下漏洞编写自定义规则:http://www.exploit-db.com/exploits/36100/
我有 运行 这个漏洞,我正在编写规则的数据包可以在这里看到:http://txt.do/cxgb
这是我当前使用的规则:
alert tcp any any -> any any (msg:"X360 VideoPlayer ActiveX Control Buffer Overflow"; flow:to_server,established; content:"\x64\xa1\x18\x00\x00\x00\x83\xc0\x08\x8b\x20\x81\xc4\x30\xf8\xff\xff"; fast_pattern; http_client_body; metadata: service http; sid:1000007; rev:1;)
但是,Snort 未能对此发出警报。谁能明白为什么?提前致谢。
正如您在评论中提到的,由于您没有指定端口,snort 不会将流量视为 http,因此不会填充 http 缓冲区。由于是这种情况,您需要删除 http 内容修饰符,因为它永远不会匹配。取出"http_client_body"。
要匹配文字字符 \,您需要使用 \ 对其进行转义,例如“\\x64”
此外,此内容从服务器传输到客户端(它提供一个 http 页面)。您需要将流程更改为 "flow: to_client, established"
我正在为以下漏洞编写自定义规则:http://www.exploit-db.com/exploits/36100/
我有 运行 这个漏洞,我正在编写规则的数据包可以在这里看到:http://txt.do/cxgb
这是我当前使用的规则:
alert tcp any any -> any any (msg:"X360 VideoPlayer ActiveX Control Buffer Overflow"; flow:to_server,established; content:"\x64\xa1\x18\x00\x00\x00\x83\xc0\x08\x8b\x20\x81\xc4\x30\xf8\xff\xff"; fast_pattern; http_client_body; metadata: service http; sid:1000007; rev:1;)
但是,Snort 未能对此发出警报。谁能明白为什么?提前致谢。
正如您在评论中提到的,由于您没有指定端口,snort 不会将流量视为 http,因此不会填充 http 缓冲区。由于是这种情况,您需要删除 http 内容修饰符,因为它永远不会匹配。取出"http_client_body"。
要匹配文字字符 \,您需要使用 \ 对其进行转义,例如“\\x64”
此外,此内容从服务器传输到客户端(它提供一个 http 页面)。您需要将流程更改为 "flow: to_client, established"