home

Security TechLab

CV News Security TechLab DEV

🥷

0x03 Security TechLab

ALL

WEB

MOBILE

SYSTEM

IoT

REVERSE ENGINEERING

Kali

CVE

Search

모바일 분석을 진행하다 보면 apk파일을 쉽게 디컴파일할 수 없게 multidex와 같은 형태로

만들어 배포하는 경우가 있다.

위 그림과 같이 apk 파일을 디컴파일하려고 하면 로드하지 못하였다는 에러가 발생한다.

가장먼저 해볼 수 있는 방법으로 dex2jar를 설치하고 apk파일 안에 있는 dex파일을 jar형태로 변환하여 분석하는 방법이 있다.

d2j-dex2jar classes3.dex

위 명령 수행 시 처음 이미지에서 보는것과 같이 jar파일로 변환되며 jadx-gui로 분석할 수 있게 된다.

하지만 이 방법으로도 디컴파일이 되지 않는 경우 Dalvik 머신에서 돌아가는 odex파일을 추출해 변환하면 된다.

odex → smali → dex → jar

[Android] DEX TO jar

참고영상 : https://youtu.be/en4LKt7m47A

commix는 커멘드 인젝션 테스트 자동화 도구이다.

사용방법은 아래와 같다

명령문 수행 시 커멘드 쉘을 획득하는 것을 확인할 수 있으며 —level 옵션을 통해 난이도를 설정할 수 있다. (Default level 1)

[Kali] Commix Command Injection

참고 영상 : https://www.youtube.com/watch?v=Ii_fOIVl1wc

fping은 일반 ping명령어와 동일하게 ICMP를 이용해 ping테스트를 진행하지만 ping과 다른점은 하번에 여러 대역을 동시에 테스트할 수 있다는 점이다.

fping -g 옵션을 이용하여 대역을 설정하고 에러메시지가 노출되지 않도록 2> /dev/null 명령을 수행한다. -g 옵션은 서브넷 마스크 형태로 사용하거나 직접 대역을 입력하여 사용할 수 있다.

[Kali] fping IP Scan

hashcat은 해시 데이터의 크랙을 지원하는 강력한 도구이다.

*hashcat을 VM에서 사용 시 메모리 3GB이상 권장.

-m : 해시 타입 설정

-a : 공격 모드 설정

hashcat은 수많은 해시 알고리즘을 지원하며 해당 번호로 지정하여 사용할 수 있다.

공격모드 중 3번이 무작위 대입 공격이며, 무작위 대입 시 글자수를 지정해 줘야 한다.

ex) test = ?a?a?a?a

[Kali] hashcat 사용법

참고영상 : https://www.youtube.com/watch?v=9C9VI3ULn28

[결과 화면 설명]

DNS-Loadbalancing, HTTP-Loadbalancing [Server] : NOT FOUND DNS와 HTTP 서버의 로드 밸런싱은 발견하지 못함 HTTP-Loadbalancing[Diff] : FOUND – 2개를 찾음

[Kali] lbd를 활용한 로드벨런싱 탐지

참고영상 : https://www.youtube.com/watch?v=N5tLvld6jZU

masscan은 대표적인 스캔 도구 nmap과 유사한 결과가 도출되는 스캔 도구이다.

아래 예시와 같이 사용이 가능하며 포트는 단일, 범위 등으로 지정이 가능하다. masscan -p [Port] [TargetIP]

참고영상 : https://www.youtube.com/watch?v=id3OcogSWRY&t=13

Nmap에서 스캔 시 oX명령을 이용하여 결과를 XML로 저장한다.

XML파일을 CSV로 변환해주는 파이썬 코드를 아래 github에서 다운받는다.

Nmap-Scan-to-CSV

칼리 리눅스의 경우 git clone명령으로 설치

git clone https://github.com/laconicwolf/Nmap-Scan-to-CSV.git

xml파일을 다음과 같은 명령어로 변환한다.

python3 ./nmap_xml_parser.py -f test.xml -csv test.csv

•

f [대상xml파일]

[Kali] Nmap 스캔 결과 엑셀 변환

Kali

참고 영상 : https://www.youtube.com/watch?v=rulnO3GYqLg

nmap NSE Script

/usr/share/nmap/scripts/http-csrf.nse

http-csrf 스크립트를 활용하여 csrf 활용이 가능한 페이지를 스캔

[Kali] nmap을 활용한 CSRF취약점 스캔

참고 영상 : https://www.youtube.com/watch?v=CciLwGm1Mvw

nmap NSE Script

/usr/share/nmap/scripts/http-comments-displayer.nse

http-comments-displayer 스크립트를 활용하여 script영역의 주석 스캔이 가능하다.

소스코드 내 패턴을 수정하여 커스텀이 가능하다.

[Kali] nmap을 활용한 http 주석 스캔

NOP Slide는 실행할 코드의 주소를 정확하게 알아내기 힘든 경우 메모리 영역에 프로그램에 실행에 영향을 주지 않는 NOP을 삽입하여 오차 범위를 줄이기 위해 사용하는 기법이다.

해당 파일은 root의 쉘을 획득하기 위해 SetUID 설정이 되어있다. (chmod 4755 ./bof)

gdb를 이용하여 디컴파일 시 버퍼의 크기가 0x208(520)Byte만큼 할당되어 있다.

버퍼에 NOP을 가득 채운 후 나머지 영역에 Shell Code를 삽입한다. 삽입 후 RET값이 스택의 최상단을 가리키도록 ESP의 주소를 넣어 스택의 최상단으로 점프시킨 후 다시 버퍼가 실행될 때 NOP을 만나 아무런 행위 없이 계속해서 아래로 흐르게 되며 마지막 Shell Code에 접근해 해당 코드를 실행하게 된다.

버퍼를 463(NOP) + 61(ShellCode) = 524만큼 채운 후 마지막에 esp 주소를 삽입한다. esp의 주소는 gdb에서 x/ $esp 명령을 이용하여 구한다.

32Bit NOP Slide

해당 코드에서 func함수가 호출되지 않고 있으며 해당 func함수를 BOF를 통해 호출하는 것이 목적이다,.

프로그램 실행 시 1개의 인자값을 받으며 전달받은 인자값을 그대로 출력한다.

gdb 명령을 이용하여 디컴파일 시 0x208(520)byte 만큼 버퍼가 할당된 것을 확인

info functions 명령을 이용하여 func함수의 주소를 구한다.

해당 문제를 스택으로 나타낼 경우 위 그림과 같으며 RET가 가리키는 값이 func의 주소(0x080483a7)가 되도록 buffer와 EBP를 다른 값으로 채워 넣어야 한다. 520 + 4 = 524 Byte

32Bit Stack Buffer Overflow

ROP(Return Oriented Programming)는 스택에서의 실행권한이 없는 경우 쉘명령어를 실행할 수 없기 때문에 실행권한이 있는 시스템영역으로 접근하여 쉘명령어를 실행하기위한 기법이며 연속적으로 함수를 호출하거나 ESP의 크기를 증가시켜 임의의 코드를 실행할 수 있다.

64bit 운영체제에서는 인자값을 스택이 아닌 레지스터에 저장하기 때문에 레지스터 gadget을 사용해야 하며 사용하고자 하는 함수의 인자값과 gadget의 인자값이 같아야 한다.

rdi : 첫번째인자rsi: 두번째인자 rdx: 세번째인자 rcx: 네번째인자 r8: 다섯번째인자 r9: 여섯번째인자

ex) read(int fd, void *buf, size_t count) → pop pop pop ret

puts(char *str) → pop ret

진행하기 전 사전 지식으로 함수가 호출되는 형태를 알아야 한다. puts함수를 예로 들면 호출은 pust@plt가 got를 호출하며 실제 함수의 주소는 got가 가지고 있다는 것을 알아야 한다.

본 문제에서는 puts함수가 사용되고 있어 puts함수를 이용하였으며 공격 플로우는 위 그림과 같다. 먼저 main함수에서 puts함수를 호출하게 되면 buf + SFP를 임의의 값으로 채우고 RET가 rdi 레지스터의 주소를 가리키게 한다. 다음 rdi는 인자값을 1개를 받는 pop rdi, ret 형태이므로 pust의 실제 주소(got)를 넣고 plt값을 넣어 실행하게 한 후 메인으로 리턴시켜 프로그램을 재 실행한다.

해당 문제는 HackCTF의 Simple_size_buf문제 풀이이다.

해당 문제는 버퍼(32) 입력 후 read함수로 512만큼 읽어들일 수 있다는 점을 이용하여 canary의 값을 추출하여 func함수를 실행하는 것이 목적이다.

해당 코드를 컴파일 시 pie옵션을 제거한 상태로 컴파일을 진행한다. 해당 문제풀이 진행 시 gdb에 pwntools를 설치하여 진행하였다.

gdb를 이용하여 디버깅 시 read함수가 실행되도록 하위주소인 main+240 주소에 브레이크 포인트를 적용하고 실행한다.

정상 실행되도록 임의의 값을 넣고 진행한다.

실행 후 rsp값을 확인해 보면 40Byte 만큼 버퍼가 존재하고 다음 Canary가 8Byte만큼 존재하는것을 확인할 수 있다. Canary의 특징은 첫 1Byte가 00(null)값으로 시작하기 때문에 바로 확인이 가능하다. Canary가 00으로 시작하는 이유는 문자열 출력의 끝이 00이기 때문에 출력되지 못하게 00으로 시작한다.

64Bit Stack Canary

adb : failed to installresigned.apk : Failure [INSTALL_FAILED_VERIFICATION_FAILURE]

구글 플레이 서비스의 apk 설치 정책에 의해서 블록된 것으로 아래와 같이명령어를

입력해주면 해결된다.

# settings put global package_verifier_enable 0

adb install 설치에러

AFL fuzzer는 대상이 되는 프로그램에 무작위로 에러 대입공격을 통해 크래시를 유발하고 해당 프로그램에서 어떤 메모리 취약점이 존재하는지 알려주는 도구이다.

먼저 afl-latest 파일을 다운로드 후 압축을 해제한다.

wget http://lcamtuf.coredump.cx/afl/releases/afl-latest.tgz

tar -xvf afl-latest.tgz

다음 afl폴더로 이동하여 make, make install 명령을 입력하여 설치하고 ASAN을 사용하기 위해 afl-clang-fest를 설치한다.

apt-get install afl-clang

분석 테스트 대상은 dact로 진행

dact를 설치하고 압축을 해제한다.

AFL fuzz 사용 하는건 어렵지 않다. 다만 이 이후에 분석하는게 문제가 된다.

정답을 알지 못한 채 진행한다는건 어려운 일이다.

퍼저를 실행하고 나면 지정한 output/crashes 폴더 하위에 크래시 로그 파일들이 생성된다.

크래시 파일들을 확인해 보면 어디서 크래시가 발생했고 어떤 메모리 취약점이 존재하는지 상세히 알려준다. 하지만, 어디서부터 어떻게 접근해야 하는지 또는 알려주고 있는 곳이 오탐인지 아닌지 판단하는것도 쉽지 않다.

크래시 파일의 내용이 궁금하다면 hexdump를 이용하여 확인하면 되고, 먼저 gdb로 dact를 실행한다.

이제 어느 부분에 브레이크 포인트를 걸고 실행할것인지가 중요한데, 다행스럽게도 c파일의 라인에 브레이크 포인트를 걸 수 있다. 퍼저에서 알려준 c파일의 해당 라인에 브레이크 포인트를 건다. b dact_common.c:176

Load more