[Snort-users] Snort Sig 4135 IE JPEG heap overflow problem

Alex Kirk alex.kirk at ...1935...
Wed Aug 24 12:57:07 EDT 2005


The byte tests are the important piece of detection here. Before I can 
explain what they're doing, though, I need to give people quick overview 
of how JPEGs are structured (this is not necessarily perfect or 
complete, but it's at least usable).

* Start-of-Image marker (0xFF 0xD8), JPEG marker
* Quantization Tables (each marked by 0xFF 0xDB)
* Frame
* Start-of-Frame marker (0xFF 0xC[^4])
* Size of frame header (2 bytes)
* Precision (1 byte)
* Number of lines (2 bytes)
* Samples/line (2 bytes)
* Number of components (1 byte)
* For each component, the following:
* ID (1 byte)
* Sampling Factors (1 byte)
* Quantization Table selector (1 byte)
* Huffman Tables or Arithmetic Coding Tables (0xFF 0xC4 or 0xFF 0xCC)
* Scan
* Start-of-Scan marker (0xFF 0xDA)
* Size of scan header (2 bytes)
* Number of components in scan (1 byte -- can only be 1-4)
* For each component, the following:
* Component ID (1 byte -- corresponds to frame components defined above)
* Entropy coding table selector (1 byte)
...

The vulnerability arises when the order of the scan components does not 
match up with the order of the frame components. For example, if in the 
frame header the component IDs were defined as

1, 2, 3

but in the scan header, the component ID selectors were defined as

3, 2, 1

the problem would occur. Note that the issue is heap corruption, so this 
does not necessarily cause an immediate crash (my testing showed that it 
took some random number of loads of a malicious image between 1 and 
about 10 lto cause a crash).

The VRT's research indicated that there were only two acceptable 
sequences of scan components when 3 were present:

1, 2, 3
1, 4, 5

However, your false positives prove otherwise -- especially since the 
image you sent me (FP #2 below) does render correctly. Thus, we need to 
further research the possible combinations (and indeed whether there 
really is a fixed set of possible combinations) and revise the rule 
accordingly. Since this could take some time, I would recommend 
disabling the rule for now if it's causing you trouble.

Alex Kirk
Research Analyst
Sourcefire, Inc.

> Help, this new signature keeps giving me FP’s and I can’t figure out 
> what the code is looking for.
>
> Here is the signature:
>
> alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:"WEB-CLIENT 
> IE JPEG heap overflow single packet attempt"; 
> flow:to_client,established; content:"image/";
>
> nocase; pcre:"/^Content-Type\s*\x3a\s*image\x2fp?jpe?g/smi";
>
> content:"|FF DA|";
>
> content:"|03|";
>
> within:1;
>
> distance:2;
>
> byte_test:1,!=,1,0,relative;
>
> byte_test:1,!=,2,1,relative;
>
> byte_test:1,!=,4,-1,relative;
>
> byte_test:1,!=,3,1,relative;
>
> byte_test:1,!=,5,-1,relative;
>
> I’m no programmer but it looks like it’s looking for a jpeg that 
> contains the hex FF DA and 03 within 2 byte range? I don’t see the 
> logic behind this or how this looks for these vulnerabilities. Can 
> someone enlighten me, or is this just a poor signature I should 
> exclude for now? Thanks.
>
> A few packets from the FP’s are below.
>
> Jon Scheidell
>
> bugtraq: 14282 <http://www.securityfocus.com/bid/14282>
> bugtraq: 14284 <http://www.securityfocus.com/bid/14284>
> cve: 2005-1988 <http://cve.mitre.org/cgi-bin/cvename.cgi?name=2005-1988>
> url: www.microsoft.com/technet/security/bulletin/MS05-038.mspx 
> <http://www.microsoft.com/technet/security/bulletin/MS05-038.mspx>
>
> Some FP, packets:
>
> 1.)
>
>000 : 48 54 54 50 2F 31 2E 30 20 32 30 30 20 4F 4B 0D   HTTP/1.0 200 OK.
>
>010 : 0A 53 65 72 76 65 72 3A 20 41 70 61 63 68 65 2F   .Server: Apache/
>
>020 : 32 2E 30 2E 35 30 20 28 55 6E 69 78 29 0D 0A 4C   2.0.50 (Unix)..L
>
>030 : 61 73 74 2D 4D 6F 64 69 66 69 65 64 3A 20 4D 6F   ast-Modified: Mo
>
>040 : 6E 2C 20 32 38 20 4D 61 72 20 32 30 30 35 20 31   n, 28 Mar 2005 1
>
>050 : 39 3A 32 31 3A 30 32 20 47 4D 54 0D 0A 45 54 61   9:21:02 GMT..ETa
>
>060 : 67 3A 20 22 37 61 34 64 33 32 2D 31 35 61 38 2D   g: "7a4d32-15a8-
>
>070 : 37 31 64 32 30 33 38 30 22 0D 0A 41 63 63 65 70   71d20380"..Accep
>
>080 : 74 2D 52 61 6E 67 65 73 3A 20 62 79 74 65 73 0D   t-Ranges: bytes.
>
>090 : 0A 43 6F 6E 74 65 6E 74 2D 4C 65 6E 67 74 68 3A   .Content-Length:
>
>0a0 : 20 35 35 34 34 0D 0A 43 6F 6E 74 65 6E 74 2D 54    5544..Content-T
>
>0b0 : 79 70 65 3A 20 69 6D 61 67 65 2F 6A 70 65 67 0D   ype: image/jpeg.
>
>0c0 : 0A 44 61 74 65 3A 20 57 65 64 2C 20 32 34 20 41   .Date: Wed, 24 A
>
>0d0 : 75 67 20 32 30 30 35 20 31 34 3A 34 35 3A 35 38   ug 2005 14:45:58
>
>0e0 : 20 47 4D 54 0D 0A 43 6F 6E 6E 65 63 74 69 6F 6E    GMT..Connection
>
>0f0 : 3A 20 6B 65 65 70 2D 61 6C 69 76 65 0D 0A 0D 0A   : keep-alive....
>
>100 : FF D8 FF E0 00 10 4A 46 49 46 00 01 01 01 00 60   ......JFIF.....`
>
>110 : 00 60 00 00 FF DB 00 43 00 04 03 03 04 03 03 04   .`.....C........
>
>120 : 04 03 04 05 04 04 05 06 0A 07 06 06 06 06 0D 09   ................
>
>130 : 0A 08 0A 0F 0D 10 10 0F 0D 0F 0E 11 13 18 14 11   ................
>
>140 : 12 17 12 0E 0F 15 1C 15 17 19 19 1B 1B 1B 10 14   ................
>
>150 : 1D 1F 1D 1A 1F 18 1A 1B 1A FF DB 00 43 01 04 05   ............C...
>
>160 : 05 06 05 06 0C 07 07 0C 1A 11 0F 11 1A 1A 1A 1A   ................
>
>170 : 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A   ................
>
>180 : 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A   ................
>
>190 : 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A FF C2   ................
>
>1a0 : 00 11 08 00 55 00 82 03 D0 22 00 02 11 01 03 11   ....U...."......
>
>1b0 : 01 FF C4 00 1C 00 00 01 05 01 01 01 00 00 00 00   ................
>
>1c0 : 00 00 00 00 00 00 05 00 03 04 06 07 02 08 01 FF   ................
>
>1d0 : C4 00 1A 01 00 02 03 01 01 00 00 00 00 00 00 00   ................
>
>1e0 : 00 00 00 00 03 04 01 02 05 00 06 FF DA 00 0C 03   ................
>
>1f0 : D0 00 02 10 03 10 00 00 01 C7 64 71 26 BE D2 54   ..........dq&..T
>
>200 : C5 DD 43 DD 94 51 85 10 19 1A F7 4F B1 D9 74 A3   ..C..Q.....O..t.
>
>210 : 26 62 3B D6 53 B5 5A 85 27 41 24 00 D2 88 DA E4   &b;.S.Z.'A$.....
>
>220 : 0D 2F 1D A7 96 9E 73 F2 B6 6D 46 DB FE 5B EB D5   ./....s..mF..[..
>
>230 : 90 06 2F 3D 14 B3 51 B1 F2 F4 17 9D B1 24 38 E4   ../=..Q......$8.
>
>240 : E3 91 65 D1 53 39 6A 97 98 EB F1 8A 27 03 58 86   ..e.S9j.....'.X.
>
>250 : 30 0F 21 2F AB 50 1E C3 1E F6 18 22 F6 62 7D DF   0.!/.P.....".b}.
>
>260 : 23 5A 86 5E F4 CD 45 96 DC 02 8F 7B 2A F7 95 E9   #Z.^..E....{*...
>
>270 : 7E 72 ED 2D 50 9D 2D DC 4D ED 32 68 03 A9 AD 6F   ~r.-P.-.M.2h...o
>
>280 : 8D D9 5D CF 3D E2 44 E2 DC 5F D6 39 D1 CC E4 8B   ..].=.D.._.9....
>
>290 : 5D 89 66 85 F2 DD B9 0D 16 EE 75 E6 FC 8E E8 2A   ].f.......u....*
>
>2a0 : 48 15 6A C5 DE 88 EF 30 5A 41 F2 65 9E BB B6 8C   H.j....0ZA.e....
>
>2b0 : 22 ED AF 41 E5 BC 50 92 72 76 BA 8B 83 40 A1 99   "..A..P.rv... at ...4293...46...
>
>2c0 : 61 65 66 50 B8 B7 20 DF 85 4B FB 3B B5 AC 07 29   aefP.. ..K.;...)
>
>2d0 : A5 DA 6A CC 52 AE 5A 43 27 42 CF AE 23 A9 74 B9   ..j.R.ZC'B..#.t.
>
>2e0 : D0 CF F1 32 F8 B8 D2 9C 4A 27 B9 69 75 24 24 BA   ...2....J'.iu$$.
>
>2f0 : 5B 6D 2A DD 9E D2 8B C9 26 94 C1 89 C9 10 3D 70   [m*.....&.....=p
>
>300 : 97 46 2C 92 8B FF 00 FF C4 00 26 10 00 02 02 02   .F,.......&.....
>
>310 : 01 04 02 02 03 01 00 00 00 00 00 00 02 03 01 04   ................
>
>320 : 00 05 11 06 12 13 14 21 35 15 16 17 22 33 07 FF   .......!5..."3..
>
>330 : DA 00 08 01 D0 00 01 05 02 5A C7 B2 16 18 35 D7   .........Z....5.
>
>340 : 10 15 EB 96 4D 45 01 6A 2A 52 73 5B AA 1A F9 15   ....ME.j*Rs[....
>
>350 : 2B E7 A9 5F 22 9D 7C 8A 55 B2 29 55 CF 4A AE 06   +.._".|.U.)U.J..
>
>360 : BA B3 25 3D 36 B6 4A FA 6A 8E 6D 55 08 D9 AB FC   ..%=6.J.j.mU....
>
>370 : F1 BF 0E 1C 47 07 0A A2 EE CD C9 F9 EA C6 78 C0   ....G.........x.
>
>380 : 10 1F DA 43 4D 74 B2 BE 92 04 8E AD 90 C0 97 26   ...CMt.........&
>
>390 : 3B BC 70 16 08 8F 75 10 3B 85 7F 9C 63 8B 97 8F   ;.p...u.;..c...
>
>3a0 : CE 05 78 80 D3 6C E6 C5 9E 46 E0 D1 D5 82 18 75   ..x..l...F.....u
>
>3b0 : A9 2F 23 B3 D7 08 22 C3 6C B1 14 DB DE 0E EC 53   ./#...".l......S
>
>3c0 : 3F A3 94 CA 5C A3 6F F6 DD 3D D1 D5 99 49 5A 9A   ?...\.o..=...IZ.
>
>3d0 : 09 89 55 64 0B B6 95 AB 86 EC BF 2D 14 FA 6A E2   ..Ud.......-..j.
>
>3e0 : 26 A5 16 84 A3 CE 40 C9 E0 BE 60 A2 C0 48 52 6A   &..... at ...979...`..HRj
>
>3f0 : 7C C6 6B 02 19 99 61 CF 6A FC 87 11 B8 FB 7D 1F   |.k...a.j.....}.
>
>400 : D2 5A EA 7D 55 42 BD D4 3B 1D 99 50 8D 93 F2 8D   .Z.}UB..;..P....
>
>410 : 3D 8E 3F 4D 0F 5E B1 FE 85 DD 1D B9 BA 9D 8A 94   =.?M.^..........
>
>420 : 14 63 60 CB 10 13 F0 B6 C0 44 36 41 75 AE 79 B1   .c`......D6Au.y.
>
>430 : 5C 16 12 7F B6 E6 38 DC 6A A2 0B A7 55 AF 12 5D   \....8.j...U..]
>
>440 : 5D 70 86 54 50 0C 77 2F 1C D1 ED DA D5 53 69 74   ]p.TP.w/.....Sit
>
>450 : B5 FF 00 72 EF 50 55 65 CD 3A C7 89 5F 97 D7 AF   ...r.PUe.:.._...
>
>460 : 3E 6C D7 39 86 BA 40 80 35 77 46 71 9B CF BB D4   >l.9.. at ...13443...
>
>470 : 7D 0F C0 4F 77 72 D6 F9 00 65 A8 8C 2B DC C7 AC   }..Owr...e..+...
>
>480 : DB E1 5B 55 4E 91 DA DB 13 A5 1A CA A9 8E F0 4C   ..[UN..........L
>
>490 : 13 2A B4 E4 44 F2 B5 16 86 56 02 28 9F 8C DE 7D   .*..D....V.(...}
>
>4a0 : D0 EC BD 0E 98 B5 B5 5C 10 6C 20 88 1C F6 40 AC   .......\.l ... at ...979...843...
>
>4b0 : 78 F2 02 64 6D 7C CD D8 1C 85 B2 49 40 E3 18 AE   x..dm|.....I at ...8555...9...
>
>4c0 : CE D3 A1 04 34 EB 47 0B 40 F8 C6 62 62 7E 73 79   ....4.G. at ...13451.....~sy
>
>4d0 : F7 41 3E 4D 07 C6 09 76 E4 4E 77 65 97 71 07 76   .A>M...v.Nwe.q.v
>
>4e0 : 47 29 79 5A 49 18 8C 5F 19 E5 09 36 AE 18 BD 7A   G)yZI.._...6...z
>
>4f0 : 6C 25 CA 3E 63 88 C9 CD E7 DD AF 64 71 AF 17 46   l%.>c......dq..F
>
>500 : 43 06 30 5E 19 0D E7 1D 5E CB F2 35 82 18 0C 91   C.0^....^..5....
>
>510 : 91 7F 24 B7 C4 60 58 8C 5D A1 28 5B 4B BE B7 71   .$..`X.].([K..q
>
>520 : 47 39 33 9B CF BA 56 E3 C6 AF CD 44 E4 6E 55 18   G93...V....D.nU.
>
>530 : 3D 42 03 9F B3 E7 ED 19 FB 2E 4F 51 44 E7 E7 87   =B........OQD...
>
>540 : 23 A8 22 30 7A 94 63 15 D5 EA 5E 2F AF C1 79 1F   #."0z.c...^/..y.
>
>550 : F4 9E 33 F9 2B 3F 92 72 ED 9F 72 EF FF C4 00 29   ..3.+?.r..r....)
>
>560 : 11 00 02 02                                       ....
>
>....
>
>2.)
>
>000 : 48 54 54 50 2F 31 2E 31 20 32 30 30 20 4F 4B 0D   HTTP/1.1 200 OK.
>
>010 : 0A 43 6F 6E 74 65 6E 74 2D 4C 65 6E 67 74 68 3A   .Content-Length:
>
>020 : 20 34 32 36 35 0D 0A 43 6F 6E 74 65 6E 74 2D 54    4265..Content-T
>
>030 : 79 70 65 3A 20 69 6D 61 67 65 2F 6A 70 65 67 0D   ype: image/jpeg.
>
>040 : 0A 43 6F 6E 74 65 6E 74 2D 4C 6F 63 61 74 69 6F   .Content-Locatio
>
>050 : 6E 3A 20 68 74 74 70 3A 2F 2F 77 77 77 2E 70 72   n: http://www.pr
>
>060 : 65 73 73 64 65 6D 6F 63 72 61 74 2E 63 6F 6D 2F   essdemocrat.com/
>
>070 : 66 72 6F 6E 74 5F 70 68 6F 74 6F 73 2F 73 74 61   front_photos/sta
>
>080 : 67 65 2E 6A 70 67 0D 0A 4C 61 73 74 2D 4D 6F 64   ge.jpg..Last-Mod
>
>090 : 69 66 69 65 64 3A 20 54 75 65 2C 20 32 33 20 41   ified: Tue, 23 A
>
>0a0 : 75 67 20 32 30 30 35 20 31 32 3A 34 36 3A 34 38   ug 2005 12:46:48
>
>0b0 : 20 47 4D 54 0D 0A 41 63 63 65 70 74 2D 52 61 6E    GMT..Accept-Ran
>
>0c0 : 67 65 73 3A 20 62 79 74 65 73 0D 0A 45 54 61 67   ges: bytes..ETag
>
>0d0 : 3A 20 22 65 30 62 30 62 61 62 39 65 30 61 37 63   : "e0b0bab9e0a7c
>
>0e0 : 35 31 3A 34 66 32 22 0D 0A 53 65 72 76 65 72 3A   51:4f2"..Server:
>
>0f0 : 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49 53 2F 36    Microsoft-IIS/6
>
>100 : 2E 30 0D 0A 44 61 74 65 3A 20 57 65 64 2C 20 32   .0..Date: Wed, 2
>
>110 : 34 20 41 75 67 20 32 30 30 35 20 31 33 3A 34 39   4 Aug 2005 13:49
>
>120 : 3A 31 38 20 47 4D 54 0D 0A 0D 0A FF D8 FF EE 00   :18 GMT.........
>
>130 : 0E 41 64 6F 62 65 00 64 00 00 00 00 00 FF DB 00   .Adobe.d........
>
>140 : 43 00 08 06 06 07 06 05 08 07 07 07 09 09 08 0A   C...............
>
>150 : 0C 14 0D 0C 0B 0B 0C 19 12 13 0F 14 1D 1A 1F 1E   ................
>
>160 : 1D 1A 1C 1C 20 24 2E 27 20 22 2C 23 1C 1C 28 37   .... $.' ",#..(7
>
>170 : 29 2C 30 31 34 34 34 1F 27 39 3D 38 32 3C 2E 33   ),01444.'9=82<.3
>
>180 : 34 32 FF C0 00 11 08 00 36 00 50 03 52 11 00 47   42......6.P.R..G
>
>190 : 11 00 42 11 00 FF C4 00 1F 00 00 01 05 01 01 01   ..B.............
>
>1a0 : 01 01 01 00 00 00 00 00 00 00 00 01 02 03 04 05   ................
>
>1b0 : 06 07 08 09 0A 0B FF C4 00 B5 10 00 02 01 03 03   ................
>
>1c0 : 02 04 03 05 05 04 04 00 00 01 7D 01 02 03 00 04   ..........}.....
>
>1d0 : 11 05 12 21 31 41 06 13 51 61 07 22 71 14 32 81   ...!1A..Qa."q.2.
>
>1e0 : 91 A1 08 23 42 B1 C1 15 52 D1 F0 24 33 62 72 82   ...#B...R..$3br.
>
>1f0 : 09 0A 16 17 18 19 1A 25 26 27 28 29 2A 34 35 36   .......%&'()*456
>
>200 : 37 38 39 3A 43 44 45 46 47 48 49 4A 53 54 55 56   789:CDEFGHIJSTUV
>
>210 : 57 58 59 5A 63 64 65 66 67 68 69 6A 73 74 75 76   WXYZcdefghijstuv
>
>220 : 77 78 79 7A 83 84 85 86 87 88 89 8A 92 93 94 95   wxyz............
>
>230 : 96 97 98 99 9A A2 A3 A4 A5 A6 A7 A8 A9 AA B2 B3   ................
>
>240 : B4 B5 B6 B7 B8 B9 BA C2 C3 C4 C5 C6 C7 C8 C9 CA   ................
>
>250 : D2 D3 D4 D5 D6 D7 D8 D9 DA E1 E2 E3 E4 E5 E6 E7   ................
>
>260 : E8 E9 EA F1 F2 F3 F4 F5 F6 F7 F8 F9 FA FF DA 00   ................
>
>270 : 0C 03 52 00 47 00 42 00 00 3F 00 D2 6D 7E 48 96   ..R.G.B..?..m~H.
>
>280 : 28 21 F0 A5 A6 D8 E2 40 5D B0 AC C7 1D 72 17 A5   (!.....@]....r..
>
>290 : 69 36 BF 24 49 14 30 F8 52 D3 6C 71 20 2E D8 56   i6.$I.0.R.lq ..V
>
>2a0 : 63 8E B9 0B D2 AF 9F 10 3C 4B 14 10 F8 52 D3 6C   c.......<K...R.l
>
>2b0 : 71 20 2E D8 56 63 8E B9 0B D2 A9 5C F8 86 53 F7   q ..Vc.....\..S.
>
>2c0 : BC 35 02 7F BB 2E 3F F6 5A A5 73 E2 19 4F DE F0   .5...?.Z.s..O..
>
>2d0 : D4 09 FE EC B8 FF 00 D9 6A 9D CF 88 65 3F 7B C3   ........j...e?{.
>
>2e0 : 50 27 FB B2 E3 FF 00 65 AA 6F 7F 69 2D 8C D7 37   P'.....e.oi-..7
>
>2f0 : 3A 44 91 AC 7F 7C 20 0C 3F 3E 2A 9B DF DA 4B 65   :D..| .?>*...Ke
>
>300 : 35 CD CE 91 24 6B 1F DF 08 03 0F CF 8A A5 25 FD   5...$k........%.
>
>310 : A4 B6 13 5C DC E9 12 46 B1 FD F0 80 30 FC F8 A2   ...\...F....0...
>
>320 : 1B 51 AA DC DA A4 96 8B 16 99 2C 2C C9 11 55 0D   .Q........,,..U.
>
>330 : B9 41 C1 27 AD 2C 36 A3 55 B9 B5 49 2D 16 2D 32   .A.'.,6.U..I-.-2
>
>340 : 58 59 92 22 AA 1B 72 83 82 4F 5A 48 2D 97 54 BA   XY."..r..OZH-.T.
>
>350 : B6 49 6D 56 2D 32 58 58 A4 45 57 76 E5 07 04 9E   .ImV-2XX.EWv....
>
>360 : B5 72 D7 4F B3 B7 B6 D2 50 5B C4 42 48 41 25 01   .r.O....P[.BHA%.
>
>370 : CF 2D 57 2D 74 FB 3B 7B 6D 25 05 BC 44 24 84 12   .-W-t.;{m%..D$..
>
>380 : 50 1C F2 D5 72 DA C2 CE 0B 7D 25 04 11 10 92 11   P...r....}%.....
>
>390 : 92 80 E7 96 A8 A7 B7 B5 8F 5A 95 85 BC 38 D9 DD   .........Z...8..
>
>3a0 : 06 3A FA 7E 15 14 F6 F6 B1 EB 52 B0 B7 87 1B 3B   .:.~......R....;
>
>3b0 : A0 C7 5F 4F C2 A1 9E DE DA 3D 6A 56 10 43 8D 9D   .._O.....=jV.C..
>
>3c0 : D0 63 AF A5 30 C3 0B 10 A9 6F 19 C9 2D F7 05 30   .c..0....o..-..0
>
>3d0 : C3 0B 10 A9 6F 19 C9 2D F7 05 30 C3 0B 10 A9 6F   ....o..-..0....o
>
>3e0 : 19 C9 2D F7 05 61 EB 91 E9 F6 96 B2 4B 28 8F 1C   ..-..a......K(..
>
>3f0 : 06 F2 D3 76 06 7D BF CF 5E 6B 13 5B 8F 4F B5 B6   ...v.}..^k.[.O..
>
>400 : 79 25 11 E3 80 DB 17 76 07 5E DF E7 AF 35 89 AD   y%.....v.^...5..
>
>410 : C7 A7 DA DA BC 92 88 F1 C0 6D 8B BB 03 F0 FF 00   .........m......
>
>420 : 3D 79 AA BE 19 B8 83 50 D5 63 68 B4 FC 5B 2A 9C   =y.....P.ch..[*.
>
>430 : 48 E8 39 38 AA 9E 1A 9E 1B FD 56 26 8B 4F C5 B2   H.98......V&.O..
>
>440 : A9 C4 8C 83 93 8A AD E1 8B 88 6F B5 58 DA 3D 3F   ..........o.X.=?
>
>450 : 16 CA A7 12 32 0E 4E 2B 7F 55 B6 81 18 1F B3 C4   ....2.N+U......
>
>460 : 30 3B 20 EF 9A DF D5 6D A0 42 0F D9 E2 18 1D 90   0; ....m.B......
>
>470 : 77 CD 6F 6A B6 F0 2B A9 16 F1 01 EC 83 BE 6B B5   w.oj..+.......k.
>
>480 : B1 8D 27 B5 80 ED 04 F9 68 3A 7F B2 2B B5 B1 8D   ..'.....h:.+...
>
>490 : 27 B5 80 ED 04 F9 68 3A 7F B2 2B B5 B0 8D 27 B6   '.....h:.+...'.
>
>4a0 : 80 ED 04 F9 68 3A 7F B2 2A 2B CB 44 0C 72 8B F9   ....h:.*+.D.r..
>
>4b0 : 54 37 96 88 18 E5 17 F2 A6 5E 5A 20 63 94 5F CA   T7.......^Z c._.
>
>4c0 : B1 F5 48 D5 74 6B A0 17 82 A4 FE 95 91 A9 C6 AB   ..H.tk..........
>
>4d0 : A3 5D 00 BC 15 27 F4 AC 7D 56 35 5D 16 EC 05 E0   .]...'..}V5]....
>
>4e0 : A9 3F A5 3A CC 06 86 C3 B7 EE DF F9 1A 75 98 0D   .?.:.........u..
>
>4f0 : 0D 87 6F DD BF F2 34 96 60 34 36 1D BF 76 FF 00   ..o...4.`46..v..
>
>500 : C8 D2 C6 BF E8 96 5F EC CD E9 FE D9 A5 8D 7F D1   ......_........
>
>510 : 2C BF D9 9B D3 FD B3 4B 1A FF 00 A2 59 7F B3 37   ,......K....Y.7
>
>520 : A7 FB 66 A8 DF BA 41 77 31 39 79 08 24 22 8E 70   ..f...Aw19y.$".p
>
>530 : 3D EA 8D FB A4 17 73 13 97 90 82 42 28 E7 03 DE   =.....s....B(...
>
>540 : A8 DF BA 41 77 31 39 79 08 24 22 8E 70 3D EB 3F   ...Aw19y.$".p=.?
>
>550 : 4E BE 8F 58 B4 9A 4D B2 22 24 9B 3C BE 17 D0 F3   N..X..M."$.<....
>
>560 : D7 D6 B3 F4                                       ....
>
> 
>
> 
>
>3.)
>
>000 : 48 54 54 50 2F 31 2E 31 20 32 30 30 20 4F 4B 0D   HTTP/1.1 200 OK.
>
>010 : 0A 44 61 74 65 3A 20 57 65 64 2C 20 32 34 20 41   .Date: Wed, 24 A
>
>020 : 75 67 20 32 30 30 35 20 31 33 3A 31 30 3A 31 38   ug 2005 13:10:18
>
>030 : 20 47 4D 54 0D 0A 53 65 72 76 65 72 3A 20 41 70    GMT..Server: Ap
>
>040 : 61 63 68 65 2F 32 2E 30 2E 34 36 20 28 52 65 64   ache/2.0.46 (Red
>
>050 : 20 48 61 74 29 0D 0A 4C 61 73 74 2D 4D 6F 64 69    Hat)..Last-Modi
>
>060 : 66 69 65 64 3A 20 46 72 69 2C 20 31 35 20 4F 63   fied: Fri, 15 Oc
>
>070 : 74 20 32 30 30 34 20 30 38 3A 35 36 3A 34 39 20   t 2004 08:56:49 
>
>080 : 47 4D 54 0D 0A 45 54 61 67 3A 20 22 37 32 38 30   GMT..ETag: "7280
>
>090 : 66 64 2D 61 64 34 2D 39 62 37 39 31 36 34 30 22   fd-ad4-9b791640"
>
>0a0 : 0D 0A 41 63 63 65 70 74 2D 52 61 6E 67 65 73 3A   ..Accept-Ranges:
>
>0b0 : 20 62 79 74 65 73 0D 0A 43 6F 6E 74 65 6E 74 2D    bytes..Content-
>
>0c0 : 4C 65 6E 67 74 68 3A 20 32 37 37 32 0D 0A 43 6F   Length: 2772..Co
>
>0d0 : 6E 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D   nnection: close.
>
>0e0 : 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 69   .Content-Type: i
>
>0f0 : 6D 61 67 65 2F 6A 70 65 67 0D 0A 0D 0A FF D8 FF   mage/jpeg.......
>
>100 : E0 00 10 4A 46 49 46 00 01 01 01 00 48 00 48 00   ...JFIF.....H.H.
>
>110 : 00 FF E1 05 11 45 78 69 66 00 00 4D 4D 00 2A 00   .....Exif..MM.*.
>
>120 : 00 00 08 00 05 01 1A 00 05 00 00 00 01 00 00 00   ................
>
>130 : 4A 01 1B 00 05 00 00 00 01 00 00 00 52 01 28 00   J...........R.(.
>
>140 : 03 00 00 00 01 00 02 FF FF 02 13 00 03 00 00 00   ................
>
>150 : 01 00 01 FF FF 87 69 00 04 00 00 00 01 00 00 00   ......i.........
>
>160 : B8 00 00 00 5A 00 00 00 48 00 00 00 01 00 00 00   ....Z...H.......
>
>170 : 48 00 00 00 01 00 06 01 03 00 03 00 00 00 01 00   H...............
>
>180 : 06 FF FF 01 1A 00 05 00 00 00 01 00 00 00 A8 01   ................
>
>190 : 1B 00 05 00 00 00 01 00 00 00 B0 01 28 00 03 00   ............(...
>
>1a0 : 00 00 01 00 02 FF FF 02 01 00 04 00 00 00 01 00   ................
>
>1b0 : 00 01 06 02 02 00 04 00 00 00 01 00 00 04 03 00   ................
>
>1c0 : 00 00 00 00 00 00 48 00 00 00 01 00 00 00 48 00   ......H.......H.
>
>1d0 : 00 00 01 00 06 90 00 00 07 00 00 00 04 30 32 31   .............021
>
>1e0 : 30 91 01 00 07 00 00 00 04 01 02 03 00 A0 00 00   0...............
>
>1f0 : 07 00 00 00 04 00 00 00 00 A0 01 00 03 00 00 00   ................
>
>200 : 01 00 01 FF FF A0 02 00 04 00 00 00 01 00 00 00   ................
>
>210 : A0 A0 03 00 04 00 00 00 01 00 00 00 78 00 00 00   ............x...
>
>220 : 00 FF D8 FF DB 00 43 00 08 08 08 08 08 08 08 08   ......C.........
>
>230 : 08 08 08 08 08 08 08 09 09 09 09 09 09 0A 0A 0A   ................
>
>240 : 0B 0A 0A 0A 0C 0B 0B 0C 0C 0B 0B 0C 0D 0C 0E 0F   ................
>
>250 : 0E 0C 0D 0E 0F 12 12 0F 0E 12 15 17 15 12 19 1C   ................
>
>260 : 1C 19 24 24 24 33 33 3F FF DB 00 43 01 07 07 07   ..$$$33?...C....
>
>270 : 0A 08 0A 13 0A 0A 13 2A 1C 17 1C 2A 2A 2A 2A 2A   .......*...*****
>
>280 : 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A   ****************
>
>290 : 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A   ****************
>
>2a0 : 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A FF C0 00   *************...
>
>2b0 : 11 08 00 29 00 32 03 00 22 00 01 11 01 02 11 01   ...).2..".......
>
>2c0 : FF C4 00 1F 00 00 01 05 01 01 01 01 01 01 00 00   ................
>
>2d0 : 00 00 00 00 00 00 01 02 03 04 05 06 07 08 09 0A   ................
>
>2e0 : 0B FF C4 00 B5 10 00 02 01 03 03 02 04 03 05 05   ................
>
>2f0 : 04 04 00 00 01 7D 01 02 03 00 04 11 05 12 21 31   .....}........!1
>
>300 : 41 06 13 51 61 07 22 71 14 32 81 91 A1 08 23 42   A..Qa."q.2....#B
>
>310 : B1 C1 15 52 D1 F0 24 33 62 72 82 09 0A 16 17 18   ...R..$3br......
>
>320 : 19 1A 25 26 27 28 29 2A 34 35 36 37 38 39 3A 43   ..%&'()*456789:C
>
>330 : 44 45 46 47 48 49 4A 53 54 55 56 57 58 59 5A 63   DEFGHIJSTUVWXYZc
>
>340 : 64 65 66 67 68 69 6A 73 74 75 76 77 78 79 7A 83   defghijstuvwxyz.
>
>350 : 84 85 86 87 88 89 8A 92 93 94 95 96 97 98 99 9A   ................
>
>360 : A2 A3 A4 A5 A6 A7 A8 A9 AA B2 B3 B4 B5 B6 B7 B8   ................
>
>370 : B9 BA C2 C3 C4 C5 C6 C7 C8 C9 CA D2 D3 D4 D5 D6   ................
>
>380 : D7 D8 D9 DA E1 E2 E3 E4 E5 E6 E7 E8 E9 EA F1 F2   ................
>
>390 : F3 F4 F5 F6 F7 F8 F9 FA FF DA 00 0C 03 00 00 01   ................
>
>3a0 : 00 02 00 00 3F 00 E7 BF B3 61 FE F3 FE 9F E1 55   ....?....a.....U
>
>3b0 : EE 2D 12 DE 32 FB FA 74 18 1C D6 C6 6B 1F 52 26   .-..2..t....k.R&
>
>3c0 : 47 86 05 EA CE B8 FF 00 79 8E 05 6C DC DA 41 1C   G.......y..l..A.
>
>3d0 : 65 B1 54 A2 9E 56 6C 66 B6 3C 3D A6 7D AD BC F9   e.T..Vlf.<=.}...
>
>3e0 : 86 EE 7E 51 E9 DE BD 48 68 51 7D 9F 98 A2 C3 20   ..~Q...HhQ}.... 
>
>3f0 : 18 20 67 9F EB 5C AE 8B FE 87 1A 05 48 64 0B 8C   . g..\......Hd..
>
>400 : AF 9A A9 2B 60 E3 E5 0F B5 3D F9 71 5E 89 69 7F   ...+`....=.q^.i
>
>410 : 6B 7B 02 B4 12 F1 D1 94 F0 E8 40 E5 18 76 61 DE   k{........ at ...13452...5...
>
>420 : B9 D2 BB DB 26 B5 C3 79 6B C5 79 37 89 74 51 66   ....&..yk.y7.tQf
>
>430 : 56 78 93 E5 E3 78 51 F5 F4 FC AB 8B 12 C9 1B 13   Vx...xQ.........
>
>440 : 14 8C 8D CA EE 56 20 E3 F0 AF 65 F1 04 F6 6D 14   .....V ...e...m.
>
>450 : B1 BC F0 FC D9 18 2E 33 E9 9C 57 8C CD F2 4A CB   .......3..W...J.
>
>460 : 90 70 DD 7F 3A 92 23 9E 0D 47 38 19 DD 5A 9E 76   .p.:.#..G8..Z.v
>
>470 : AD FF 00 3F 5F F8 F7 FF 00 5A 8F 3B 56 FF 00 9F   ...?_....Z.;V...
>
>480 : AF D7 FF 00 AD 50 2D D2 85 51 CF 00 0A 77 DA D3   .....P-..Q...w..
>
>490 : DF F2 AB 9E 55 BF AD 53 DD 27 A0 A7 7D A8 9F E1   ....U..S.'..}...
>
>4a0 : FD 6A 38 F1 2E A1 67 BB BD CC 42 95 00 DB 55 91   .j8...g...B...U.
>
>4b0 : BF D3 60 F4 FB 5C 07 FE F9 94 54 F7 4E CC 98 34   ..`..\....T.N..4
>
>4c0 : D8 40 0D 5E 94 9E 1A 37 BF E9 11 31 C9 04 60 B1   . at ...843...^...7...1..`.
>
>4d0 : C2 EE 56 5C 8E 0E 38 3D AB 4E 38 FF 00 B2 6C 6E   ..V\..8=.N8...ln
>
>4e0 : 63 FB CE A9 E5 A9 04 FD FC ED EF CF 41 FC 54 B6   c...........A.T.
>
>4f0 : 77 93 08 C4 08 DE 50 2A 37 BF FB 3E 83 DC D4 5A   w.....P*7..>...Z
>
>500 : 8B CA B6 6D 1F D9 BC E5 77 DD E6 89 0A 91 CF 46   ...m....w......F
>
>510 : CE 7F 3E 6B 13 71 23 15 B4 91 8C EE AC 27 B1 D4   .>k.q#......'..
>
>520 : B0 B7 96 86 3F 35 D3 25 D9 37 B0 6F E2 C3 67 E5   ....?5.%.7.o..g.
>
>530 : E3 8C 7E B5 C2 EA A2 E0 5D 16 BA 0A B3 1D A5 F1   ..~.....].......
>
>540 : ED FF 00 EA AF 5B 87 52 4F EC E5 8A 45 09 22 02   .....[.RO...E.".
>
>550 : 33 FE CF 6F D2 BC 97 59 9B CF BE 93 D0 64 0F D7   3..o...Y.....d..
>
>560 : FC 6A 48 CF 35 04 AA 02 D5 1D F4 6F A8 F8 FF 00   .jH.5......o....
>
>570 : 22 8E 3F C8 AB 55 52 B5 59 FB AF 15 95 2E E2 5B   ".?..UR.Y......[
>
>580 : 1C 36 EE 2A F8 AA 6F FE B4 FF 00 BD 52 CE E7 3B   .6.*..o.....R..;
>
>590 : 69 91 2F 19 AF 41 D3 A5 1A DE 9C 13 76 25 5F BD   i./..A......v%_.
>
>5a0 : C7 DD 95 57 A1 53 D4 7B 52 4B 6B A8 46 3C 98 D2   ...W.S.{RKk.F<..
>
>5b0 : EE 21 FE CD                                       .!..
>
> 
>





More information about the Snort-users mailing list