-
나중에 작업 환경이 리눅스로 바뀐다면 Malzilla 같은 툴 없이 분석을 쉽게 하기 위해 노가다로 스크립트를 작성해서 한번 찬찬히 분석을 진행해 보았습니다. 제가 작성한 스크립트들이 거지같더라도 이해해 주시길 바라며 분석할 대상 URL은 hxxp://202.133.245.100/exam.asp 입니다. (주의! 함부로 접속하지 마세요.) 먼저 wget을 이용하여 해당 스크립트를 다운로드 하여 살펴보도록 하겠습니다. [byjjoon@ByJJoon Script Analysis]$ wget http://211.234.118.207/main.html –2010-05-09 19:15:35– http://211.234.118.207/main.html Connecting […]
-
악성 스크립트 분석 시 그냥 수정 후 웹브라우져에서 확인을 해도 되지만 혹시 모를 위험 때문에 SpiderMonkey를 이용할 수 있다. 리눅스 환경에서는 yum install js-devel 명령어 하나로 간단하게 설치하여 사용할 수 있다. 윈도우 환경에서 사용할 방법을 찾다보니 cygwin 에서 컴파일 하여 사용이 가능함을 알 수 있었다. Install Cygwin with gcc and standard C libraries. Download and […]
-
얼마전 주말에 찾은 CSRF 취약점에 대해 개발자분께 알려 드렸드니 금일 패치가 되었네요.. http://www.xpressengine.com/18838863생각보다 패치가 빨리 나와…. 놀랐습니다.보통 취약점 포스팅 하면 엄청 늦게 패치가 되거나…이런걸 왜 제보하느냐 등 안좋은 소릴 들을수도 있다던데….제로보드는 국내 대표 CMS 답게 괜찮은거 같습니다.앞으로도 계속 꾸준히 제로보드를 이용할거 같네요…제로보드 최고! -____-)b http://null2root.tistory.com/entry/Zeroboard-XE-CSRF-%EC%B7%A8%EC%95%BD%EC%A0%90
-
재미난 취약점이 올라왔네요..아래 첨부한 파일을 열어보면 코드는 아래와 같습니다. <html> <head> <title>IE/Opera source code viewer Null Character Handling </title> </head> <body> <h1>IE/Opera source code viewer Null Character Handling</h1> </body> </html> <script>alert('Can u see me?');</script> 파일 : poc.zip 그런데 익스플로러 8 버전에서 열어 소스보기를 통해 보면 alert 창은 뜨나… <script>alert('Can u see me?');</script> 코드는 확인할 수 […]
-
Java Deployment Toolkit Performs Insufficient Validation of Parameters Java Web Start (henceforth, jws) provides java developers with a way to let users launch and install their applications using a URL to a Java Networking Launching Protocol (.jnlp) file (essentially some xml describing the program). Since Java 6 Update 10, Sun has distributed an NPAPI plugin […]
-
XOR로 인코딩 하여 내부적으로 혹은 다른 모듈로 복호화를 진행하는 악성코드들이 발견되고 있습니다. 따라서 XOR로 인코딩 된 파일 확보 시 XOR 키를 찾아서 다시 디코딩 작업을 거쳐야 하는데 이런 과정을 자동화 해주는 스크립트를 작성해 보았습니다. 간단하게 https://jjoon.net/page/?p=149 글에 나왔던 파일에 대해 자동으로 디코딩 해주는 스크립트라 보면 될 거 같습니다. #!/usr/bin/python import operator, sys def find_key(filename): file […]
-
http://www.vnsecurity.net/2010/03/codegate-2010-online-ctf-challenge-4-5-writeup/ 위 페이지를 참고하여 문제를 다시 한번 풀고 정리한 내용 입니다. RTL을 이해하는데 도움이 될 거 같네요… hugh@codegate-desktop:/tmp/by$ gdb -q easy Reading symbols from /tmp/by/easy…done. (gdb) b main Breakpoint 1 at 0x804850e (gdb) r Starting program: /tmp/by/easy Breakpoint 1, 0x0804850e in main () (gdb) x/x execl 0x1ea0c0 <execl>: 0x53565755 (gdb) q execl 주소를 확인하여 보면 […]
-
http://coma.0x3f.net/uncategorized/codegate2010-ctf-level-4/ 위 사이트에 올라온 풀이를 보고 다시 한번 풀어 정리를 하여 보았다. 해당 문제를 통해 msfelfscan의 사용법과 core 파일 생성 및 디버깅 방법을 확인할 수 있었다. \xcc를 이용하여 흐름을 파악하는 과정은 정말 도움이 많이 될 거 같다. [byjjoon@ByJJoon CODEGATE]$ ulimit -c 50000 [byjjoon@ByJJoon CODEGATE]$ python -c "print 'A'*272" | ./easy Input: Segmentation fault (core dumped) […]
-
현재 악성코드 유포로 이용될 가능성이 있는 인터넷 익스플로러 취약점 입니다. Metasploit 모듈로 올라왔네요.. ## # ie_iepeers_pointer.rb # # Microsoft Internet Explorer iepeers.dll use-after-free exploit for the Metasploit Framework # # Tested successfully on the following platforms: # – Microsoft Internet Explorer 7, Windows Vista SP2 # – Microsoft Internet Explorer 7, Windows XP SP3 # […]
-
금일 인터넷 익스플로러에 대한 새로운 0-Day 취약점이 발표되었네요. 해당 취약점은 VBScript를 이용하여 Internet Explorer 6, 7, 8의 Windows Help(.hlp)를 호출할 수 있다고 합니다. 이러한 취약점을 이용하여 공격자는 원격지에서 원하는 코드를 실행할 수 있습니다. 게다가 Windows Help 에 대한 오버플로우 취약점 역시 존재 한다고 합니다. 현재 해당 취약점을 이용하여 실제 공격으로 이루어진 사례는 발견되지 않았지만 웹사이트 […]