-
http://www.pythonchallenge.com/pc/hex/bonus.html 문제 페이지 접속 후 해당 문제 소스를 보면 아래와 같다. <!– TODO: do you owe someone an apology? now it is a good time to tell him that you are sorry. Please show good manners although it has nothing to do with this level. –> <html> <head> <title>what is this module?</title> <link rel="stylesheet" type="text/css" […]
-
최근에 Nginx 관련 취약점이 몇가지가 올라와 기록해 둡니다. BlackHat SEO Attack 관련한 사이트들이 대부분 Nginx 로 구성되어 있던데 이러한 취약점들이 먹힐려나 모르겠네요 XD ################################################################# # Securitylab.ir ################################################################# # Application Info: # Name: Nginx # Tested on nginx 0.8.35 # Nginx 0.8.36 and higher is not vulnerable ################################################################# # Vulnerability Info: # Type: Remote File Disclosure […]
-
얼마전 sophos 사이트에 올라온 Decodeme 문제에 대한 풀이를 기록 합니다. http://www.sophos.com/blogs/duck/g/2010/05/15/sophos-auscert-decodeme/ http://www.sophos.com/blogs/duck/g/2010/05/16/decodeme-t-shirt-tex/ 문제를 보면 아래와 같은 로고가 주어지고 디코딩을 하라고 합니다. %~~~~~~~~~~~~~~~~~~~~~~~~% |H4sIAAAAAAACA3P3dLOwTOxh| |YGF4zsBg7tHJMApGwYgE////| |V/zJwsjF8I9BB8QH5QkGjhYG| |xj/MD' gULH| |JrY' BbVi| |Tlx| Y4NgmoOxWoxH4yL5d| |VDR| oTseHh8f6WK359lQU| |qJy\ \YJOGt| |xhN5I\ \dlr| |qoJvnIznRDXvHjPWZ |SY7| |Lz31nKtYPklkV0F6w |AKr| |1E17 ,Vk5| |afng ,hp63R| |VsvNzy8u9qpU670lon11hvnS| |KNWuSS+vrvNf3HV05beU0NXB| |p71kJQQYrAFt8kQCpwMAAA==| %~~~~~~~~~~~~~~~~~~~~~~~~% D E C O D E […]
-
최근 허니팟 관련 스크립트를 작성하여 서버가 재부팅 되는 경우 서버 로그인 전에 자동으로 실행이 되도록 하기 위해 해당 스크립트를 서비스로 등록하는 작업을 진행하여 보았습니다. 1. Resource Kit Tools 설치 Windows Server 2003 용 : http://www.microsoft.com/downloads/details.aspx?FamilyID=9d467a69-57ff-4ae7-96ee-b18c4790cffd&displaylang=en 2. Batch 파일 작성 서비스로 등록시킬 스크립트 파일을 아래와 같이 작성한다. C:\Python25\python.exe C:\Service\test.py > c:\Service\log.txt 3. 서비스 등록 아래 명령어로 […]
-
2010년 5월 14, 15일 양일간에 거쳐 KISA 주최 해킹방어대회 예선전이 있었습니다. 저는 sqrt0 팀으로 참가를 했었는데 다행이 올해는 본선 진출에 성공하였네요. 본선은 6월 10일인데 좋은 결과가 있길 기원해야 겠네요. 흐흐 😀
-
리눅스에서 백그라운드로 실행을 하려면 명령어의 맨뒤에 & 를 붙이면 된다. 다만 쉘이 종료되면 백그라운드로 실행했던 프로세스도 같이 종료되게 된다. 따라서 쉘이 종료 되었을때도 계속해서 실행이 되게 하려면 아래와 같이 할 수 있다. nohup 명령어 & 이렇게 했을때 표준 출력값은 nohup.out 파일에 저장된다.
-
최근에 확장자는 DOC 였지만 RTF(Rich Text Format) 포맷의 문서에 포함된 악성코드가 확인이 되어 문서내에서 EXE 파일을 뽑아내는 방법에 대해 연구한 내용을 기록 합니다. 우선 대상 샘플은 주말에 근무하다 발견한 doc 확장자를 가진 RTF 파일 입니다. 파일을 실행하면 아래와 같이 나오게 됩니다. PDF 파일 아이콘이 있으며 더블클릭을 하면 가운데 내용처럼 경고창이 나타나게 됩니다. [확인] 버튼을 누르면 […]
-
이번에는 조금 형태가 다른 악성 스크립트를 확인해 보도록 하겠습니다. [byjjoon@ByJJoon Script Analysis]$ wget http://61.100.7.171/css/lib.asp –2010-05-09 19:33:23– http://61.100.7.171/css/lib.asp Connecting to 61.100.7.171:80… connected. HTTP request sent, awaiting response… 200 OK Length: 5851 (5.7K) [text/html] Saving to: `lib.asp' 100%[===============================================================================================================>] 5,851 –.-K/s in 0.008s 2010-05-09 19:33:23 (749 KB/s) – `lib.asp' saved [5851/5851] [byjjoon@ByJJoon Script Analysis]$ cat lib.asp <SCRIPT LANGUAGE="JavaScript" […]
-
나중에 작업 환경이 리눅스로 바뀐다면 Malzilla 같은 툴 없이 분석을 쉽게 하기 위해 노가다로 스크립트를 작성해서 한번 찬찬히 분석을 진행해 보았습니다. 제가 작성한 스크립트들이 거지같더라도 이해해 주시길 바라며 분석할 대상 URL은 hxxp://202.133.245.100/exam.asp 입니다. (주의! 함부로 접속하지 마세요.) 먼저 wget을 이용하여 해당 스크립트를 다운로드 하여 살펴보도록 하겠습니다. [byjjoon@ByJJoon Script Analysis]$ wget http://211.234.118.207/main.html –2010-05-09 19:15:35– http://211.234.118.207/main.html Connecting […]
-
악성 스크립트 분석 시 그냥 수정 후 웹브라우져에서 확인을 해도 되지만 혹시 모를 위험 때문에 SpiderMonkey를 이용할 수 있다. 리눅스 환경에서는 yum install js-devel 명령어 하나로 간단하게 설치하여 사용할 수 있다. 윈도우 환경에서 사용할 방법을 찾다보니 cygwin 에서 컴파일 하여 사용이 가능함을 알 수 있었다. Install Cygwin with gcc and standard C libraries. Download and […]