home

Security TechLab

CV News Security TechLab DEV

🥷

0x03 Security TechLab

ALL

WEB

MOBILE

SYSTEM

IoT

REVERSE ENGINEERING

Kali

CVE

Search

모바일 분석을 진행하다 보면 apk파일을 쉽게 디컴파일할 수 없게 multidex와 같은 형태로

만들어 배포하는 경우가 있다.

위 그림과 같이 apk 파일을 디컴파일하려고 하면 로드하지 못하였다는 에러가 발생한다.

가장먼저 해볼 수 있는 방법으로 dex2jar를 설치하고 apk파일 안에 있는 dex파일을 jar형태로 변환하여 분석하는 방법이 있다.

[Android] DEX TO jar

참고영상 : https://youtu.be/Qj4SmgkNJ2w

Arping은 ping의 변형으로 ICMP 패킷 대신 ARP 요청과 응답으로 테스트를 진행할 때 사용된다.

arping -h 옵션

- c : arping의 개수를 지정

- I : 이더넷 장치를 지정

참고영상 : https://youtu.be/en4LKt7m47A

commix는 커멘드 인젝션 테스트 자동화 도구이다.

사용방법은 아래와 같다

[Kali] Commix Command Injection

참고 영상 : https://www.youtube.com/watch?v=Ii_fOIVl1wc

fping은 일반 ping명령어와 동일하게 ICMP를 이용해 ping테스트를 진행하지만 ping과 다른점은 하번에 여러 대역을 동시에 테스트할 수 있다는 점이다.

fping -g 옵션을 이용하여 대역을 설정하고 에러메시지가 노출되지 않도록 2> /dev/null 명령을 수행한다. -g 옵션은 서브넷 마스크 형태로 사용하거나 직접 대역을 입력하여 사용할 수 있다.

[Kali] fping IP Scan

hashcat은 해시 데이터의 크랙을 지원하는 강력한 도구이다.

*hashcat을 VM에서 사용 시 메모리 3GB이상 권장.

-m : 해시 타입 설정

-a : 공격 모드 설정

[Kali] hashcat 사용법

참고영상 : https://www.youtube.com/watch?v=ByTIAmhw6Wg

heHarvester는 검색 엔진을 이용하여 이메일 정보를 수집할 수 있는 도구이다.

-d : 도메인 정보 입력

-l : 리스트 갯수 지정

-b : 검색 엔진 입력

[Kali] heHarvester를 활용한 이메일 정보수집

참고 영상 : https://www.youtube.com/watch?v=_v_1gwxaq2U

hping –help 명령어 입력 시 hping3의 옵션에 대한 설명을 확인할 수 있다.

사용법은 아래 예시와 같이 옵션을 부여하여 Land Attack을 수행할 수 있다.

마지막 -1 옵션은 ICMP모드로의 동작을 의미하며 제거 시 Default TCP 모드로 동작한다.

예시)hping3 [target IP] -a [spoof IP] -c [count]

[Kali] hping3 Land Attack

참고영상 : https://www.youtube.com/watch?v=9C9VI3ULn28

[결과 화면 설명]

DNS-Loadbalancing, HTTP-Loadbalancing [Server] : NOT FOUND DNS와 HTTP 서버의 로드 밸런싱은 발견하지 못함 HTTP-Loadbalancing[Diff] : FOUND – 2개를 찾음

[Kali] lbd를 활용한 로드벨런싱 탐지

참고영상 : https://www.youtube.com/watch?v=N5tLvld6jZU

masscan은 대표적인 스캔 도구 nmap과 유사한 결과가 도출되는 스캔 도구이다.

아래 예시와 같이 사용이 가능하며 포트는 단일, 범위 등으로 지정이 가능하다. masscan -p [Port] [TargetIP]

참고영상 : https://www.youtube.com/watch?v=id3OcogSWRY&t=13

Nmap에서 스캔 시 oX명령을 이용하여 결과를 XML로 저장한다.

XML파일을 CSV로 변환해주는 파이썬 코드를 아래 github에서 다운받는다.

Nmap-Scan-to-CSV

[Kali] Nmap 스캔 결과 엑셀 변환

Kali

참고 영상 : https://www.youtube.com/watch?v=rulnO3GYqLg

nmap NSE Script

/usr/share/nmap/scripts/http-csrf.nse

http-csrf 스크립트를 활용하여 csrf 활용이 가능한 페이지를 스캔

[Kali] nmap을 활용한 CSRF취약점 스캔

참고 영상 : https://www.youtube.com/watch?v=CciLwGm1Mvw

nmap NSE Script

/usr/share/nmap/scripts/http-comments-displayer.nse

http-comments-displayer 스크립트를 활용하여 script영역의 주석 스캔이 가능하다.

소스코드 내 패턴을 수정하여 커스텀이 가능하다.

[Kali] nmap을 활용한 http 주석 스캔

참고영상 : https://www.youtube.com/watch?v=VP7NoSO2w90

nmap NSE Script

/usr/share/nmap/scripts/http-apache-server-status.nse

http-apache-server-status 스크립트를 활용하여 아파치 서비스의 정보를 수집

[Kali] nmap을 활용한 정보수집

참고영상 : https://www.youtube.com/watch?v=GaSE3v-NUwk

spiderfoot을 사용하기 위해 -l 옵션을 이용하여 WEB UI로 실행한다.

spiderfoot -l [IP]:[PORT]

[Kali] spiderfoot을 활용한 정보수집

참고 영상 : https://www.youtube.com/watch?v=Dymd9jhsLFs

sqlmap 옵션 중 file-read, os-shell 기능을 이용하여 시스템 파일에 접근하거나, 쉘을 획득할 수 있다.

sqlmap -u [target] —file-read=[file name]

[Kali] sqlmap 시스템 파일, 권한 탈취(/etc/passwd)

참고영상 : https://www.youtube.com/watch?v=08cX4RTVy2g

sqlmap 사용 시 패킷 분석이 필요하거나 과도한 공격으로 인해 서비스 장애가 발생할 수 있다.

—proxy 옵션을 이용하여 패킷을 분석하거나, 강제적으로 공격에 딜레이를 줄 수 있다.

sqlmap -u [target] —dbs —proxy=”http://server:port”

[Kali] sqlmap 실무 사용 옵션 (proxy, delay, level)

참고영상 : https://www.youtube.com/watch?v=vRMCNGN4yCg

- c : 결과 콘솔 출력

- z : payload file

- d : POST data

[Kali] wfuzz를 활용한 SQL Injection

참고영상 : https://youtu.be/w9SdZJd07OA

sqlmap은 SQL Injection 자동화 도구 중 가장 대표적인 도구이다.

GET 데이터의 경우 -u 옵션을 활용하여 타겟을 지정할 수 있으며

POST 데이터의 경우 -u 옵션 뒤 —data 옵션을 이용하여 파라미터를 지정할 수 있다.

sqlmap -u “target” —dbs 명령을 이용하여 데이터베이스 이름을 조회

[Kali]sqlmap을 활용한 데이터 탈취

NOP Slide는 실행할 코드의 주소를 정확하게 알아내기 힘든 경우 메모리 영역에 프로그램에 실행에 영향을 주지 않는 NOP을 삽입하여 오차 범위를 줄이기 위해 사용하는 기법이다.

해당 파일은 root의 쉘을 획득하기 위해 SetUID 설정이 되어있다. (chmod 4755 ./bof)

32Bit NOP Slide

해당 코드에서 func함수가 호출되지 않고 있으며 해당 func함수를 BOF를 통해 호출하는 것이 목적이다,.

프로그램 실행 시 1개의 인자값을 받으며 전달받은 인자값을 그대로 출력한다.

gdb 명령을 이용하여 디컴파일 시 0x208(520)byte 만큼 버퍼가 할당된 것을 확인

32Bit Stack Buffer Overflow

ROP(Return Oriented Programming)는 스택에서의 실행권한이 없는 경우 쉘명령어를 실행할 수 없기 때문에 실행권한이 있는 시스템영역으로 접근하여 쉘명령어를 실행하기위한 기법이며 연속적으로 함수를 호출하거나 ESP의 크기를 증가시켜 임의의 코드를 실행할 수 있다.

64bit 운영체제에서는 인자값을 스택이 아닌 레지스터에 저장하기 때문에 레지스터 gadget을 사용해야 하며 사용하고자 하는 함수의 인자값과 gadget의 인자값이 같아야 한다.

rdi : 첫번째인자rsi: 두번째인자 rdx: 세번째인자 rcx: 네번째인자 r8: 다섯번째인자 r9: 여섯번째인자

ex) read(int fd, void *buf, size_t count) → pop pop pop ret

puts(char *str) → pop ret

해당 문제는 버퍼(32) 입력 후 read함수로 512만큼 읽어들일 수 있다는 점을 이용하여 canary의 값을 추출하여 func함수를 실행하는 것이 목적이다.

해당 코드를 컴파일 시 pie옵션을 제거한 상태로 컴파일을 진행한다. 해당 문제풀이 진행 시 gdb에 pwntools를 설치하여 진행하였다.

gdb를 이용하여 디버깅 시 read함수가 실행되도록 하위주소인 main+240 주소에 브레이크 포인트를 적용하고 실행한다.

64Bit Stack Canary

adb : failed to installresigned.apk : Failure [INSTALL_FAILED_VERIFICATION_FAILURE]

구글 플레이 서비스의 apk 설치 정책에 의해서 블록된 것으로 아래와 같이명령어를

입력해주면 해결된다.

# settings put global package_verifier_enable 0

adb install 설치에러

AFL fuzzer는 대상이 되는 프로그램에 무작위로 에러 대입공격을 통해 크래시를 유발하고 해당 프로그램에서 어떤 메모리 취약점이 존재하는지 알려주는 도구이다.

먼저 afl-latest 파일을 다운로드 후 압축을 해제한다.

wget http://lcamtuf.coredump.cx/afl/releases/afl-latest.tgz

tar -xvf afl-latest.tgz

AFL fuzz 사용 하는건 어렵지 않다. 다만 이 이후에 분석하는게 문제가 된다.

정답을 알지 못한 채 진행한다는건 어려운 일이다.

퍼저를 실행하고 나면 지정한 output/crashes 폴더 하위에 크래시 로그 파일들이 생성된다.

Load more