악성코드 유포에 이용될수도 있을거 같아 기록해 둡니다. http://www.exploit-db.com/exploits/17575/ <html> <head> <script> /* Abysssec Public Advisory apple killed one of our 0day no point to keep it private anymore 🙁 there is another version of exploit using POPup and thats more reliable but as you know safari block pop up by default so we found a […]
Apache Module mod_rewrite 설정에서 페이지 자동 이동과 관련된 내용을 적어보고자 한다. http://httpd.apache.org/docs/2.0/mod/mod_rewrite.html 간단하게 사용할 수 있는 예제는 아래와 같다. RewriteEngine On RewriteCond %{REMOTE_ADDR} 61.84.203.81 [OR] RewriteCond %{REMOTE_ADDR} 112.167.210.121 RewriteRule .* http://en.wikipedia.org/wiki/Fuck_You [L] 접속한 사용자의 IP가 61.84.203.81 또는 112.167.210.121 인 경우 http://en.wikipedia.org/wiki/Fuck_You 페이지로 이동하도록 설정한 경우이다. 여기서 [OR] 은 또는 이며 [L] 은 위 Cond 여기까지만 […]
이번 문제의 풀이는 이렇다. 우선 로또번호 6 자리를 맞추어야 한다. 그리고 맞추고 나면 argv[7] 값을 strcpy() 함수를 이용하 복사를 하나 이부분에서 오버플로우가 발생한다. 다만 역시 랜덤스택이라 RTL을 이용하여 풀이을 하여야 한다. 우선 로또값을 맞추는 코드부터 작성해 보자. #!/usr/bin/python import os, re p = os.popen('./lotto 1 2 3 4 5 6', 'r', 512) data = p.readlines() […]
gdbserver host:port file 그리고 IDA에서 역시 해당 파일을 열고 아래와 같은 순서로 설정한다. 1) [Debugger] – [Select debugger] 에서 “Remote GDB debugger” 선택 2) [Debugger] – [Process options] 에서 Hostname과 Port를 위에서 설정한 값으로 설정 3) 그리고 실행! Debugging with gdbserver gdbserver is a GDB stub implemented as a separate program. It runs a program […]
최근 웹사이트에서 전파되는 악성코드 중 대부분이 Adobe Flash Player 취약점 (CVE-2011-2110) 을 이용합니다.대부분 “main.swf?info=인자” 형태로 구성되어 있는데 이때 인자를 디코딩 해주는 페이지를 기존 암호화된 PE 파일을 복호화 해주는 페이지에 추가하였습니다.왼쪽 XOR DECODER 링크에서 확인하실 수 있으며 기능은 아래와 같습니다.1) 암호화된 PE 파일 복호화 루틴Stage 1 – ADD&XOR, XOR 로 PE 파일이 암호화 된 경우Stage 2 […]
Wireshark에 포함된 editcap 을 이용하는 방법 C:\Program Files\Wireshark>editcap.exe Editcap 1.6.0 (SVN Rev 37592 from /trunk-1.6) Edit and/or translate the format of capture files. See http://www.wireshark.org for more information. Usage: editcap [options] … <infile> <outfile> [ <packet#>[-<packet#>] … ] <infile> and <outfile> must both be present. A single packet or a range of packets can be […]
일반적으로 Autorun 계열 악성코드가 많으며 난독화 되어있는 경우 아래와 같이 Execute 로 실행하도록 되어 있다. Execute (chr( 659772/8046 ) blahblahblah…… ) 따라서 이부분을 아래와 같이 변경하면 얼랏창으로 확인이 가능하다. wscript.echo (chr( 659772/8046 ) blahblahblah…… ) 또는 아래와 같이 수정하여 사용하여도 무방하다. Dim console Set console = WScript.StdOut console.WriteLine (chr( 659772/8046 ) blahblahblah…… )
2011년 데프콘 포렌직 300번, 그리고 이번 8회 해킹방어대회 예선 1번 문제가 거의 유사했다. 지난 데프콘 때 아쉽게 못푼 문제였는데 그때 좀 더 코드를 다듬어 놓는다는걸 깜빡하고 있다 이번 기회에 작성하게 되었다. #!C:\Python27\Python.exe # -*- coding: utf-8 -*- # Code ByJJoon (2011-06-26) # 해킹방어대회 예선 1번 문제 풀이용 from datetime import datetime import sqlite3, sys # […]
최근 CVE-2011-2110 취약점을 이용하여 악성코드를 유포하는 내용을 살펴보면 악성코드를 다운로드 받는 URL이 이전과는 조금 다르게 암호화 되어 있다. XOR은 기본이며, XOR 후 zlib으로 압축되어 있는데 해당 URL을 찾기 편하게 간단하게 스크립트로 짜보았다. #!/usr/bin/env python # -*- coding: utf-8 -*- import zlib, operator, sys, os # info 변수 인자값에서 URL XOR zlib 키 찾는 함수 def […]
최근 웹사이트에서 전파되는 악성코드 중 대부분이 Adobe Flash Player 취약점 (CVE-2011-2110) 을 이용합니다.대부분 “main.swf?info=인자” 형태로 구성되어 있는데 이때 인자를 디코딩 해주는 페이지를 기존 암호화된 PE 파일을 복호화 해주는 페이지에 추가하였습니다.왼쪽 XOR DECODER 링크에서 확인하실 수 있으며 기능은 아래와 같습니다.1) 암호화된 PE 파일 복호화 루틴Stage 1 – ADD&XOR, XOR 로 PE 파일이 암호화 된 경우Stage 2 […]