ByJJoon's Lab

[작성자:] ByJJoon

  • 교묘하게 숨기는 악성코드

    외국에서 Autorun 계열 악성코드가 시작프로그램에 등록하는 과정에서 교묘하게 사용자의 눈을 속이는 방식으로 숨기고 있다고 하여 한국어로 재구성을 해보았습니다. 그럼 아래 그림을 먼저 보도록 하겠습니다.<img src=" http://jjoon.net/wp-content/uploads/2009/12/1183243082.png” class=”aligncenter” width=”577″ height=”325″ alt=”사용자 삽입 이미지” />위 화면에서 무언가 이상한점을 발견하셨나요? 얼핏봐서는 아무리 봐도 이상한 점을 찾을 수 없을 겁니다. 그럼 아래 그림을 보도록 하죠. 이제 이해가 되시는가요? 그렇습니다. […]

  • Snort 룰 추가

    Snort 룰 추가하는 방법에 대해 알아보도록 하자. 우선 스노트 룰 작성법은 이후에 다시 설명하도록 하고 간단하게 아래의 룰을 추가해 보도록 하자. 일단 룰이 위치할 경로는 C:\Snort\rules 폴더 이하이다. 해당 폴더 이하에 smb2.rules 라는 이름으로 파일을 새로 만든 후 아래의 내용으로 파일을 저장하자. alert tcp any any -> any any (msg:"SMB2_DOS_EXPLOIT"; content:"|ff 53 4d 42 72 […]

  • Snort (Windows) 설치 및 설정

    1. 프로그램 다운로드Snort : http://www.snort.org/WinPcap : http://www.winpcap.org/2. 프로그램 설치다운로드 받은 스노트 설치파일을 실행하여 설치한다.설치 시 나오는 DB 설정 관련은 그냥 무시하고 제일 상단 옵션으로 설치한다.그리고 설치경로는 이후 설정하기 편하게 기본설정인 “C:\Snort” 경로에 설치한다.설치 후 Winpcap 설치를 하라는 메세지가 나온다. 확인 후 다운로드 받은 Winpcap 설치한다.3. Snort 설정Snort 설정파일은 C:\Snort\etc\snort.conf 이다.이 파일을 수정하는데 기존 설정은 리눅스 […]

  • Internet Explorer 6/7 CSS Handling Denial of Service

    Offensive Security 사이트에 익스플로러 관련 취약점이 올라왔다. 올라온 POC 코드는 쉘코드 부분이 계산기를 실행하는 쉘코드로 보이나 수정을 해야 할 것으로 보인다. 아래는 수정한 POC 코드이다. 음.. 이제 다음은 얘인가? <!– securitylab.ir K4mr4n_st (at) yahoo (dot) com [email concealed] –> <!DOCTYPE HTML PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <HTML xmlns="http://www.w3.org/1999/xhtml"> <HEAD> <script> function load(){ var e; […]

  • The Python Challenge – Level 20

    http://www.pythonchallenge.com/pc/hex/idiot2.html 첫 페이지에 접속하면 이미지만 하나 달랑 주어진다. 이 이미지를 살펴보면 파일명이 unreal.jpg 이다. 이미지 파일에 무언가 있을듯하여 살펴보면 다음과 같다. 우선 해당 파일일 요청 시 헤더를 살펴보면 Range가 특이한 걸 알 수 있다. 따라서 Range를 변경시켜 가다보면 특정 메세지를 받을 수 있고 최종 파일을 다운로드 할 수 있게 된다. 아래는 특정 메세지 및 최종 […]

  • The Python Challenge – Level 19

    http://www.pythonchallenge.com/pc/hex/bin.html 소스를 보면 왠 Base64로 인코딩된 데이터들이 있다. 이 데이터들을 디코딩 하여 wav 파일로 만들어 보면 “Sorry” 라는 말만 나올뿐 어떤 메세지도 들을 수 없었다. 이것저것 해보다 해당 wav 파일의 width 값을 변경하니 들리지 않던 메세지가 나왔다… 그 메세지는 직접 들어보시길 -_- #!c:\python26\python.exe import urllib, base64, wave url = urllib.urlopen('http://butter:[email protected]/pc/hex/bin.html') data = url.readlines() url.close() data […]

  • Windows 7 , Server 2008R2 Remote Kernel Crash

    ============================================= – Release date: November 11th, 2009 – Discovered by: Laurent Gaffie – Severity: Medium/High ============================================= I. VULNERABILITY ————————- Windows 7 * , Server 2008R2 Remote Kernel Crash II. BACKGROUND ————————- #FAIL,#FAIL,#FAIL SDL FAIL, 'Most Secure Os Ever' –> Remote Kernel in 2 mn. #FAIL,#FAIL,#FAIL III. DESCRIPTION ————————- See : http://g-laurent.blogspot.com/ for much more details […]

  • The Python Challenge – Level 18

    http://www.pythonchallenge.com/pc/return/balloons.html 비슷한 두개의 그림이 보이며 소스를 보면 “it is more obvious that what you might think” 라는 메세지가 있다. 두 그림의 확실한 차이점은 밝기 이다. 따라서 밝기를 영어로 bright 이니 bright.html 로 접속해 보니 ness 라는 메시지가 나왔다. 따라서 아래 페이지를 확인할 수 있었다. http://www.pythonchallenge.com/pc/return/brightness.html 이 페이지 소스에는 deltas.gz 파일이 소스에 들어 있었다. deltas.gz 파일 […]

  • The Python Challenge – Level 17

    http://www.pythonchallenge.com/pc/return/romance.html 이미지를 보면 쿠키 그림이 있다. cookies.html 페이지가 존재 함을 알 수 있었고 chocolate.html 그리고 play.html이 존재한다. 하지만 마지막에 가보면 되돌아가라는 메세지 뿐이다. 다시 한번 이미지 그림을 살펴 보면 왼쪽 하단에 이전에 보았던 이미지가 있다. Level 4에서의 이미지이며 Level 4로 되돌아 가면 쿠키가 셋팅된다. you should have followed busynothing… busynothing의 이미지를 한참 생각하다 Level 4의 […]

  • The Python Challenge – Level 16

    http://www.pythonchallenge.com/pc/return/mozart.html 접속하면 이상한 이미지가 하나 있고 제목으론 “let me get this straight” 라는 말이 있다. 뭘 어찌 하란건가 한참을 고민하다 이미지의 보라석 선이 일정하여 세로로 직선으로 이으면 이어질거 같았다. #!c:\python26\python.exe import Image, ImageDraw im = Image.open('mozart.gif') size = im.size tmp = Image.new('RGB', size, 'black') def gogo(posX, posY): for x in range(size[0]): pos = posX + […]