home

Security TechLab

CV News Security TechLab DEV

🥷

0x03 Security TechLab

ALL

WEB

MOBILE

SYSTEM

IoT

REVERSE ENGINEERING

Kali

CVE

Search

모바일 분석을 진행하다 보면 apk파일을 쉽게 디컴파일할 수 없게 multidex와 같은 형태로

만들어 배포하는 경우가 있다.

위 그림과 같이 apk 파일을 디컴파일하려고 하면 로드하지 못하였다는 에러가 발생한다.

가장먼저 해볼 수 있는 방법으로 dex2jar를 설치하고 apk파일 안에 있는 dex파일을 jar형태로 변환하여 분석하는 방법이 있다.

d2j-dex2jar classes3.dex

위 명령 수행 시 처음 이미지에서 보는것과 같이 jar파일로 변환되며 jadx-gui로 분석할 수 있게 된다.

하지만 이 방법으로도 디컴파일이 되지 않는 경우 Dalvik 머신에서 돌아가는 odex파일을 추출해 변환하면 된다.

odex → smali → dex → jar

[Android] DEX TO jar

참고영상 : https://youtu.be/en4LKt7m47A

commix는 커멘드 인젝션 테스트 자동화 도구이다.

사용방법은 아래와 같다

명령문 수행 시 커멘드 쉘을 획득하는 것을 확인할 수 있으며 —level 옵션을 통해 난이도를 설정할 수 있다. (Default level 1)

[Kali] Commix Command Injection

참고 영상 : https://www.youtube.com/watch?v=Ii_fOIVl1wc

fping은 일반 ping명령어와 동일하게 ICMP를 이용해 ping테스트를 진행하지만 ping과 다른점은 하번에 여러 대역을 동시에 테스트할 수 있다는 점이다.

fping -g 옵션을 이용하여 대역을 설정하고 에러메시지가 노출되지 않도록 2> /dev/null 명령을 수행한다. -g 옵션은 서브넷 마스크 형태로 사용하거나 직접 대역을 입력하여 사용할 수 있다.

[Kali] fping IP Scan

hashcat은 해시 데이터의 크랙을 지원하는 강력한 도구이다.

*hashcat을 VM에서 사용 시 메모리 3GB이상 권장.

-m : 해시 타입 설정

-a : 공격 모드 설정

hashcat은 수많은 해시 알고리즘을 지원하며 해당 번호로 지정하여 사용할 수 있다.

공격모드 중 3번이 무작위 대입 공격이며, 무작위 대입 시 글자수를 지정해 줘야 한다.

ex) test = ?a?a?a?a

[Kali] hashcat 사용법

참고영상 : https://www.youtube.com/watch?v=9C9VI3ULn28

[결과 화면 설명]

DNS-Loadbalancing, HTTP-Loadbalancing [Server] : NOT FOUND DNS와 HTTP 서버의 로드 밸런싱은 발견하지 못함 HTTP-Loadbalancing[Diff] : FOUND – 2개를 찾음

[Kali] lbd를 활용한 로드벨런싱 탐지

참고영상 : https://www.youtube.com/watch?v=N5tLvld6jZU

masscan은 대표적인 스캔 도구 nmap과 유사한 결과가 도출되는 스캔 도구이다.

아래 예시와 같이 사용이 가능하며 포트는 단일, 범위 등으로 지정이 가능하다. masscan -p [Port] [TargetIP]

참고영상 : https://www.youtube.com/watch?v=id3OcogSWRY&t=13

Nmap에서 스캔 시 oX명령을 이용하여 결과를 XML로 저장한다.

XML파일을 CSV로 변환해주는 파이썬 코드를 아래 github에서 다운받는다.

Nmap-Scan-to-CSV

칼리 리눅스의 경우 git clone명령으로 설치

git clone https://github.com/laconicwolf/Nmap-Scan-to-CSV.git

xml파일을 다음과 같은 명령어로 변환한다.

python3 ./nmap_xml_parser.py -f test.xml -csv test.csv

•

f [대상xml파일]

[Kali] Nmap 스캔 결과 엑셀 변환

Kali

참고 영상 : https://www.youtube.com/watch?v=rulnO3GYqLg

nmap NSE Script

/usr/share/nmap/scripts/http-csrf.nse

http-csrf 스크립트를 활용하여 csrf 활용이 가능한 페이지를 스캔

[Kali] nmap을 활용한 CSRF취약점 스캔

참고 영상 : https://www.youtube.com/watch?v=CciLwGm1Mvw

nmap NSE Script

/usr/share/nmap/scripts/http-comments-displayer.nse

http-comments-displayer 스크립트를 활용하여 script영역의 주석 스캔이 가능하다.

소스코드 내 패턴을 수정하여 커스텀이 가능하다.

[Kali] nmap을 활용한 http 주석 스캔

NOP Slide는 실행할 코드의 주소를 정확하게 알아내기 힘든 경우 메모리 영역에 프로그램에 실행에 영향을 주지 않는 NOP을 삽입하여 오차 범위를 줄이기 위해 사용하는 기법이다.

해당 파일은 root의 쉘을 획득하기 위해 SetUID 설정이 되어있다. (chmod 4755 ./bof)

gdb를 이용하여 디컴파일 시 버퍼의 크기가 0x208(520)Byte만큼 할당되어 있다.

버퍼에 NOP을 가득 채운 후 나머지 영역에 Shell Code를 삽입한다. 삽입 후 RET값이 스택의 최상단을 가리키도록 ESP의 주소를 넣어 스택의 최상단으로 점프시킨 후 다시 버퍼가 실행될 때 NOP을 만나 아무런 행위 없이 계속해서 아래로 흐르게 되며 마지막 Shell Code에 접근해 해당 코드를 실행하게 된다.

버퍼를 463(NOP) + 61(ShellCode) = 524만큼 채운 후 마지막에 esp 주소를 삽입한다. esp의 주소는 gdb에서 x/ $esp 명령을 이용하여 구한다.

32Bit NOP Slide

해당 코드에서 func함수가 호출되지 않고 있으며 해당 func함수를 BOF를 통해 호출하는 것이 목적이다,.

프로그램 실행 시 1개의 인자값을 받으며 전달받은 인자값을 그대로 출력한다.

gdb 명령을 이용하여 디컴파일 시 0x208(520)byte 만큼 버퍼가 할당된 것을 확인

info functions 명령을 이용하여 func함수의 주소를 구한다.

해당 문제를 스택으로 나타낼 경우 위 그림과 같으며 RET가 가리키는 값이 func의 주소(0x080483a7)가 되도록 buffer와 EBP를 다른 값으로 채워 넣어야 한다. 520 + 4 = 524 Byte

32Bit Stack Buffer Overflow

ROP(Return Oriented Programming)는 스택에서의 실행권한이 없는 경우 쉘명령어를 실행할 수 없기 때문에 실행권한이 있는 시스템영역으로 접근하여 쉘명령어를 실행하기위한 기법이며 연속적으로 함수를 호출하거나 ESP의 크기를 증가시켜 임의의 코드를 실행할 수 있다.

64bit 운영체제에서는 인자값을 스택이 아닌 레지스터에 저장하기 때문에 레지스터 gadget을 사용해야 하며 사용하고자 하는 함수의 인자값과 gadget의 인자값이 같아야 한다.

rdi : 첫번째인자rsi: 두번째인자 rdx: 세번째인자 rcx: 네번째인자 r8: 다섯번째인자 r9: 여섯번째인자

ex) read(int fd, void *buf, size_t count) → pop pop pop ret

puts(char *str) → pop ret

진행하기 전 사전 지식으로 함수가 호출되는 형태를 알아야 한다. puts함수를 예로 들면 호출은 pust@plt가 got를 호출하며 실제 함수의 주소는 got가 가지고 있다는 것을 알아야 한다.

본 문제에서는 puts함수가 사용되고 있어 puts함수를 이용하였으며 공격 플로우는 위 그림과 같다. 먼저 main함수에서 puts함수를 호출하게 되면 buf + SFP를 임의의 값으로 채우고 RET가 rdi 레지스터의 주소를 가리키게 한다. 다음 rdi는 인자값을 1개를 받는 pop rdi, ret 형태이므로 pust의 실제 주소(got)를 넣고 plt값을 넣어 실행하게 한 후 메인으로 리턴시켜 프로그램을 재 실행한다.

해당 문제는 HackCTF의 Simple_size_buf문제 풀이이다.

해당 문제는 버퍼(32) 입력 후 read함수로 512만큼 읽어들일 수 있다는 점을 이용하여 canary의 값을 추출하여 func함수를 실행하는 것이 목적이다.

해당 코드를 컴파일 시 pie옵션을 제거한 상태로 컴파일을 진행한다. 해당 문제풀이 진행 시 gdb에 pwntools를 설치하여 진행하였다.

gdb를 이용하여 디버깅 시 read함수가 실행되도록 하위주소인 main+240 주소에 브레이크 포인트를 적용하고 실행한다.

정상 실행되도록 임의의 값을 넣고 진행한다.

실행 후 rsp값을 확인해 보면 40Byte 만큼 버퍼가 존재하고 다음 Canary가 8Byte만큼 존재하는것을 확인할 수 있다. Canary의 특징은 첫 1Byte가 00(null)값으로 시작하기 때문에 바로 확인이 가능하다. Canary가 00으로 시작하는 이유는 문자열 출력의 끝이 00이기 때문에 출력되지 못하게 00으로 시작한다.

64Bit Stack Canary

adb : failed to installresigned.apk : Failure [INSTALL_FAILED_VERIFICATION_FAILURE]

구글 플레이 서비스의 apk 설치 정책에 의해서 블록된 것으로 아래와 같이명령어를

입력해주면 해결된다.

# settings put global package_verifier_enable 0

adb install 설치에러

AFL fuzzer는 대상이 되는 프로그램에 무작위로 에러 대입공격을 통해 크래시를 유발하고 해당 프로그램에서 어떤 메모리 취약점이 존재하는지 알려주는 도구이다.

먼저 afl-latest 파일을 다운로드 후 압축을 해제한다.

wget http://lcamtuf.coredump.cx/afl/releases/afl-latest.tgz

tar -xvf afl-latest.tgz

다음 afl폴더로 이동하여 make, make install 명령을 입력하여 설치하고 ASAN을 사용하기 위해 afl-clang-fest를 설치한다.

apt-get install afl-clang

분석 테스트 대상은 dact로 진행

dact를 설치하고 압축을 해제한다.

AFL fuzz 사용 하는건 어렵지 않다. 다만 이 이후에 분석하는게 문제가 된다.

정답을 알지 못한 채 진행한다는건 어려운 일이다.

퍼저를 실행하고 나면 지정한 output/crashes 폴더 하위에 크래시 로그 파일들이 생성된다.

크래시 파일들을 확인해 보면 어디서 크래시가 발생했고 어떤 메모리 취약점이 존재하는지 상세히 알려준다. 하지만, 어디서부터 어떻게 접근해야 하는지 또는 알려주고 있는 곳이 오탐인지 아닌지 판단하는것도 쉽지 않다.

크래시 파일의 내용이 궁금하다면 hexdump를 이용하여 확인하면 되고, 먼저 gdb로 dact를 실행한다.

이제 어느 부분에 브레이크 포인트를 걸고 실행할것인지가 중요한데, 다행스럽게도 c파일의 라인에 브레이크 포인트를 걸 수 있다. 퍼저에서 알려준 c파일의 해당 라인에 브레이크 포인트를 건다. b dact_common.c:176

안드로이드 컴포넌트 취약점 진단 시 am 명령을 이용하거나 툴을 이용하여 액티비티를 강제 호출하게 된다.

주로 대응 방안으로 AndroidManifest.xml 에 해당 액티비티의 하위 옵션으로 android:exported="false" 옵션을 주어 외부에서 컴포넌트에 접근하지 못하도록 조치 한다. 라고 가이드 문서 또는 검색 시 권장하고 있다.

하지만 주의해야 할 점은 해당 옵션은 일반사용자 권한을 제어하는 것이고 루트 권한을 가지고 있다면 exported="false" 설정이 되어있어도 액티비티는 강제 호출 된다.

이러한 이유때문에 루팅 및 탈옥 기기에서 앱이 실행되지 않도록 루팅탐지 로직이 필요한 것이다.

다른 방법은 없는가?

Java 클래스 파일 내에서 세션이나 특정 데이터 값을 넘겨 해당 데이터가 존재하지 않는다면 액티비티를 종료하는 로직을 추가하여 조치 하였다.

Android Activity 컴포넌트 취약점 대응 방안

프리다 안드로이드 액티비티 호출 코드

Android Call Activity

모든 앱이 동일하진 않지만 주요 기능은 네이티브 파일에서 동작하는 경우가 많기 때문에 네이티브 파일, 또는 jadx와 같은 툴로 분석하면서 해당 앱이 어떤 언어 또는 오픈소스로 개발되었는지 확인해야 한다.

일반적인 경우 네이티브 파일은(.so) IDA를 이용하여 분석이 가능하지만 .NET, C#, C++의 경우 용량이 너무 크거나 복호화가 잘 되지 않는 이유로 분석에 어려움을 겪는다.

파일 구조 검색 시 유니티브 라이브러리 C# 계열로 개발된 것을 확인할 수 있다.

분석하기 위해 먼저 libil2cpp.so파일에서 주요 DLL을 추출해야 한다. .NET 파일 추출을 위해 Il2CppDumper 툴을 다운받아 사용한다.

DLL을 추출하기 전에 apk파일에서 global-metadata.dat파일을 추출한다. apk파일을 zip확장자로 변경 후 /assets/bin/Data/Managed/Metadata 경로에서 추출한다.

Android dnspy Debug

Windos 10 64bit

Samsung Galaxy Note 8 (N950N, arm64)

초기화

루팅을 시작 하기 전 정품 펌웨어로 공장 초기화를 해주는 것이 좋다.

필요없다고 판단 될 경우 제외하고 진행 하여도 무관하다.

초기화 하기전 기본적으로 USB 디버깅 모드를 실행해 주어야 한다.

1. 설정 > 휴대전화 정보 > 소프트웨어 정보 > 빌드번호 7번 클릭

2. 설정 > 개발자 옵션 > USB 디버깅 활성화

순정 펌웨어 다운로드는 SamFirm을 이용하여 다운로드 한다. (SamFirm은 인터넷 검색하여 다운로드)

Android Rooting&Frida setup

1번 memcpy 스캔

2번 Java String 스캔

3번 NSString 스캔

검색 문자열은 필수로 입력 *

변조 문자는 없을 경우 공백 입력

Android,iOS Memory,String Scanner

APK 매니저 컴파일 에러 시 script.cmd 파일을 메모장으로 열어

디컴파일 옵션에 아래와 같이 추가한다.

apktool.jar --no-res d

해당 방법은 임시방편으로 리소스를 제외하고 컴파일 하는 방법이다.

APK manager Compile error

Reverse Engineering 지식을 습득하기 위해서는 어셈블리와 레지스터에 대한 지식이 필요하다.

레지스터

64bit 레지스터의 경우엔 E대신 R을 붙여 사용하며(RAX,RBX 등) 레지스터의 크기는 8Byte를 가진다.

레지스터의 종류와 기능은 위 표와 같으며 각각 4Byte의 크기를 가지고 있다.

2Byte가 필요할 경우에 해당 레지스터를 나누어 사용하기도 하며(EAX → AX) 1Byte가 필요할 경우 나누어진 레지스터를 기준으로 (AL, AH)표현한다.

Eflags : AF CF OF PF SF ZF

Eflags는 상태 레지스터이며 0과 1의 값을 가진다. 0값은 clear로 표현하고, 1값은 set로 표현한다. ZF는 zero flags의 약자이며, 산술연산시 결과가 0이면 1로 (set)표현된다.

결과가 0이 아닌 값이라면 0값으로 표현된다.

명령어

REVERSE ENGINEERING

BlueKeep (CVE-2019-0708)

BurpSuit에는 다양하고 유용한 기능들이 존재한다. 이 기능들에 대해 알아보자.

Scope

사용 도중 원하지 않는 도메인이 같이 노출되어 HTTP history가 다소 지저분하게 보이며 분석에 어려움을 주는 경우가 있다.

먼저 원하는 도메인을 선택 후 [ 마우스 우클릭 → Add to scope ] 를 선택한다.

스코프를 추가하게 되면 [ Target → Scope ] 탭에 도메인이 추가되어 있는 것을 확인할 수 있다.Edit 버튼을 눌러 편집하거나 Add 버튼을 이용해 직접 추가할 수 있다.

Scope 탭에 추가되어 있는 도메인만 HTTP history 탭에 저장되는 것을 확인할 수 있다.

BrupSuit 사용법 #2

Repeater

프록시 도구를 사용 중 패킷을 단순 변조하여 반복하거나 패킷을 따로 저장해 두고 싶을 때가 있다.이때 원하는 패킷을 마우스 우클릭 후 Send to Repeater 메뉴를 클릭한다.

Repeater 탭으로 이동하면 해당 요청 패킷이 복사되어 있는것을 확인할 수 있다. 원할때 마다 Send 버튼을 클릭 하여 해당 요청을 재 사용할 수 있으며 이에 따른 응답 값 확인도 가능하다. Send 버튼의 단축키는 Ctrl + Space 이다.

이때 Render 옵션으로 변경하여 페이지를 Burp에서 미리 보기도 가능하다.

Decoder

BurpSuite에는 간단하게 인코딩/디코딩이 즉시 가능하도록 Decoder 탭이 존재 한다.

BrupSuit 사용법 #3

CORS(Cross-Origin Resource Sharing)

CORS는 교차 출처 리소스 공유 쉽게 말해 서버간 리소스 공유를 하기위한 메커니즘이다.

요청은 cross-origin HTTP에 의해 요청되지만

동일 출처 정책(same-origin policy)때문에 기본적으로 외부 서버에 대한 요청은 보안

목적으로 차단된다.

워드프레스 5.2.4 이하 버전에서 허용되지 않은 CORS가 발생하였고 이 취약점은

2019년 10월 29일 Exploit-db.com에 공식 기재 되었다.

상세 설명에서는 /wp-json 파일이 리소스가 된다 라고 설명 되어있다.

앞서 설명하듯 CORS는 동일출처 정책에 의해 스크립트로부터의 데이터 접근을 차단하고 공유 되어서는 안된다.

XSS

공격자가 악의적으로 동작하는 스크립트를 서버에서 발견하고, 해당 스크립트를 서버에 업로드 하거나 사용자에게 전달하여 사용자의 세션탈취, 피싱사이트 접근 유도, 악성코드 배포 등이 가능한 취약점 이다. XSS의 특징은 공격 대상이 서버가 아닌 사용자라는 점에 있다.

그럼 스크립트는 무엇인가? 스크립트는 자바 스크립트를 의미한다.

자바 스크립트는 HTML에서 사용이 가능한 프로그래밍 언어이다.

번외로 Cross-Site-Scripting 인데 왜 CSS가 아니고 XSS라고 불리는지 궁금할 수도 있다. 이는 이미 Cascading Style Sheets(CSS)가 있어 이름이 중복 되고 교차형태 사이트 스크립팅 이라는 의미에서 앞글자를 X로 바꾸기로 하여 XSS가 되었다고 한다.

XSS를 큰 틀에서 보면 두가지로 나눌 수 있다.

저장형 XSS (Stored-XSS)

반사형 XSS (Reflected-XSS)

Stored XSS

이 아이콘의 저작권은 Freepik에 있습니다.

1. 공격자는 홈페이지(서버)로 부터 스크립트를 조작할 수 있는 취약점을 발견하고 스크립트를 서버에 저장한다.

Cross-Site-Script #1

위는 실무환경에서 마주치게 되는 상황을 예제로 만들어 본 코드이다. 검색창에 XSS라고 입력하고 검색 후 소스코드를 확인해 보면 value값에 내가 입력한 문자열이 기록되어 있음을 확인할 수 있다.

XSS의 기본 구문을 입력 시 <script>alert(1)</script> 아무런 반응이 없다. 먼저 위 스크립트가 동작하는 원리에 대해서 알고 있어야 한다.

alert은 간단하게 팝업창을 노출시키는 함수이고 <script> 영역 안에서 사용할 수 있기 때문에<script>alert(1)</script> 코드를 사용하게 되는 것이다.

동작하지 않는 이유를 살펴 보면 해당 페이지의 소스코드를 자세히 보면 "(더블쿼트)안에 명령문이 들어가있는걸 확인할 수 있다.

"<script>alert(1)</script>" 더블쿼트 안에 있으면 이 스크립트가 명령문이 아니라 문자열로 인식이 되어 동작하지 않는다.

Cross-Site-Script #2

이번에는 스크립트 영역 내에서 발생하는 XSS에 대해서 정리하고자 한다.

스크립트 영역 내에서 발생한다는게 무슨 말일까?

위 그림처럼 내가 입력하는 값이 자바스크립트 영역에 입력되는 경우가 자주 있다.

이런 경우엔 어떻게 해야할까? 우선 자바스크립트 영역 내에 있으니 <script>alert(1)</script> 이렇게 기본 구문을 넣을 필요가 없다. 이미 스크립트 영역 내에 있으니 alert만 써주면 되는 것이다.

하지만 alert(1);을 입력해도 아무런 반응이 없다.

이유는 뒤에 오는 "; 때문에 구문 오류가 발생 해 스크립트 전체가 동작을 하지 않게 된다. 원본 소스코드에서는 invalid=""; 라고 되어있었던 것을 alert을 삽입함으로써 invalid=""; alert(1); ";와 같은 형태로 변형 되었기 때문이다.

이번엔 뒤쪽에 구문오류가 발생하는 부분을 주석처리를 해주어 오류가 발생하지 않게 만들었다. 하지만 여전히 동작하지 않는다. 이유가 뭘까?

Cross-Site-Script #3

에디터는 여러가지가 존재한다.

Smart Editor, CK Editor, Cross Editor, Namo Editor, dext5 등등

진단자 입장에서는 에디터의 존재를 파악해야 하며 에디터에서 여러가지 취약점을 발생시킬 수 있기때문에 에디터에서 많은 공격 테스트를 진행하게 된다.

여러 에디터 중 스마트 에디터를 대표적으로 다뤄보려 한다. 에디터들의 버전별로 각종 취약점이 존재하기 때문에 버전을 파악하는 것도 중요하다.

에디터의 우측 하단을 보면 Editor 모드와 HTML 모드가 존재한다. 먼저 해당 모드의 차이점이 무엇인지 알고 있어야 한다.

먼저 일반 Editor모드로 테스트 스크립트를 입력할 시 특수문자가 HTML인코딩 되어 입력되는 것을 확인할 수 있다. 따라서 Editor모드에서는 HTML을 사용할 수 없도록 제한되어 있는 모드임을 알 수 있다.

Cross-Site-Script #4

이번에는 < , >와 같은 특수문자를 사용할 수 없는 상태이다. 잘 생각해보면 < , >를 사용할 수 없는 상태이면 에디터의 기본 기능인 글자색 변경, 이미지, 링크 등의 기능 또한 사용이 불가능 할텐데 그럼 서비스에 문제가 생기는 것이 아닌가? 라고 생각해볼 수 있다.

그래서 글자 색상을 변경해 보면 span style태그는 정상적으로 사용되었고, 글자 색상도 정상적으로 변경된 것을 확인할 수 있다.

에디터의 기본기능은 HTML 태그 사용이 가능하다면 기본 기능을 사용할때 중간 내용만 변경해 주면 된다. <span style="color: rgb(255, 0, 0);">TEST<span> → <span onclick="alert(1)">TEST<span>

게시글에 접근하여 TEST 글자 클릭 시 팝업창이 노출되는 것을 확인할 수 있다. 사실 이 취약점은 CKeditor에서 20년도에 공개된 취약점인데 생각보다 다른 에디터에서도 많이 발생한다.

Cross-Site-Script #5

이번에는 XML XSS에 대해서 정리해 보려고 한다.

검색 기능 이용 시 특수문자를 삽입하여 검색을 시도 해보자.

입력했던 값은 필터되지 않았지만 이번엔 response값을 xml 데이터 형태로 받아오는 것을 확인할 수 있다.

테스트 스크립트 코드를 삽입하여 검색을 시도한다.

Cross-Site-Script #6

User Login Log

User Login Log는 WordPress Plugin으로 ip, 날짜, 시간, 국가, 도시 및 사용자의 이름, agent 등 여러 정보를 수집하여 기록하는 플러그인이다. 2.2.1버전에서는 기록된 로그에서 스크립트가 동작하는 취약점이 발견되었다.

WP Plugin User Login Log 2.2.1의 취약점은 2016년 7월 Summer of Pwnage 해커 이벤트 중에 발견되었다.

공격 코드를 보면 그림과 같이 로그인하는 도중 User-Agent 값을 변조하여 수많은 아스키코드 값을 전달하는 것을 확인할 수 있다.

아스키코드값을 디코딩할 경우 그림과 같이 복원된다. 해당 소스 코드는 관리자가 User Login Log 페이지 접근 시 워드프레스 로그인 화면으로 속여 재로그인 시 ID, PW 값과 쿠키값이 공격자에게 전달되는 소스코드 이다.

하지만 실제 공격 코드를 그대로 시도해 보면 전달 값이 너무 길어 400 에러 코드가 노출되며 정상적으로 공격이 진행되지 않는다.

Cross-Site-Script #7

이번에는 XSS를 이용하여 사용자 계정을 탈취하는 방법에 대해 정리하려고 한다.

보통 XSS 공격은 세션 및 쿠키값 탈취, 피싱 사이트 유도, 악성코드 배포로 많이 알고 있겠지만 로그인 페이지에서 XSS 취약점이 발생할 경우 사용자 ID, PW를 탈취할 수 있다.

대부분의 로그인 기능은 URL Redirect 기능을 가지고 있다. 먼저 이 기능이 왜 필요한지부터 알아야 할 필요가 있다. 로그인 하지 않은 사용자가 마이페이지 메뉴에 접근하게 되면 로그인 페이지로 이동 시킨다. 그리고 사용자가 로그인 하게 되면 어떻게 되는가? 당연히 마이페이지로 이동한다.

그런데 왜.? 마이페이지로 이동할까 로그인 했으니 메인페이지로 가야하는거 아닌가? 이유는 서비스 하는 곳에서 사용자 편의를 위해 마지막으로 접근한 메뉴로 자동으로 이동 시키는 것이다.

위 그림은 해당 기능에서 특수문자 필터가 미흡한 것을 보여주고 있다. 자세히 보면 form태그에 ">XSS가 삽입된 것을 확인할 수 있다.

그렇다면 계정 탈취는 비교적 쉽게 이루어 질 수 있다. 기존에 존재하던 form태그를 닫고 그 뒤에 새로운 form태그를 열어 action값에 공격자의 주소가 담긴 페이지를 삽입하면 된다. 이렇게 되면 로그인 버튼을 눌렀을 때 form태그 안에 있는 모든 데이터들은 공격자의 서버로 넘어가게 된다.

Cross-Site-Script #8

CVE-2021-41773 취약점은 Apahce 2.4.49버전의 취약점으로 Apache HTTP Server에서 경로탐색으로 인해 발생하는 파일 다운로드가 공격과 Null Point 역참조로 인해 발생하는 DoS공격이 가능하다.

아파치에서는 기본적으로 ‘../’ 문자열을 차단하고 있다. 하지만 잘못된 인코딩으로 인하여 “%2e” ( . )을 이용하여 우회할 수 있는 취약점이 발견 되었다.

/cgi-bin 하위 경로에서 . %2e를 사용하게 되면 첫번 째 .은 그대로 인식 되고 두번 째 %2e는 .으로 디코딩되어 상위경로 이동이 가능해 진다.

파일다운로드 취약점이 확인되면 서버 파일에 접근하기 위해 해당 웹 서비스를 구동중인 계정을 passwd파일에서 확인 하여 해당 계정의 .bash_histroy파일을 다운로드 한다.

History 파일을 확인하여 DB접속 정보 또는 민감한 정보들이 포함된 파일을 역추적하여 중요 정보를 탈취한다.

C/S Reversing은 필요한 기술이지만 마땅히 테스트 할 대상이 없어 reversing.kr에 있는 CSHOP.exe를 대상으로 정리하였다.

가장먼저 수행해야될 것은 다운받은 파일을 실행하여 어떤 동작을 수행하는지 확인하는 것이다. 프로그램을 실행하면 빈 페이지만 가득한 채 더이상 진행되지 않는다.

PEiD를 이용하여 대상 파일이 어떤 언어로 구현되어 있는지 확인한다. PEiD로 파일을 열어보면 C# / .NET으로 이루어진 것을 확인할 수있다. .NET은 IDA로 분석이 어려우니 dnspy를 이용하여 분석을 진행한다.

[PEiD 다운로드 주소]

https://softfamous.com/peid/download/

PEiD - Soft Famous This application makes use of three different scanning methods designed to achieve different objectives. The first is the normal scan which scans the Entry Point for all the signatures associated with the PE file specified by the user. The Deep softfamous.com

dnspy reversing

REVERSE ENGINEERING

특정 서비스에서 파일 다운로드 취약점이 발견된 경우

위와 같은 형태로 passwd 파일을 요청하여 passwd 파일 내용을 확인하게 된다. 이후에 서버 내부의 중요 파일에 접근하는 방법에 대해 정리하고자 한다.

passwd 파일을 자세히 보면 해당 서버의 모든 계정의 ID를 확인할 수 있다. 가장 먼저 해당 웹 서비스를 구동중인 계정을 찾는다.

보통은 webtoB, Jeus 등과 같은 계정으로 구동중이나 테스트 서버는 root로 구동되고 있다. 계정을 찾게 되면 해당 계정의 history 파일을 요청한다.

history 파일을 요청하면 해당 계정이 사용한 명령어들의 리스트를 확인할 수 있으며 사용된 명령어들을 역추적 하여 중요 파일의 경로와 파일 이름을 추출해 낸다.

역추적 하는데 시간과 노력이 많이 들지만 성공한다면 데이터베이스의 접속 정보, 또는 관리자 계정, 메일정보 사용자 개인정보 등을 열람할 수 있다.

File Donwload Exploit

이번엔 파일 업로드 우회 방법 중 파일 헤더를 검증하는 경우에 대해서 다뤄본다.

파일 헤더를 검증하는 오픈소스는 CKeditor를 예로 들수 있다.

해당 테스트는 파일 확장자 검증은 하고 있지 않으나 파일 헤더를 검증하는 것을 전재로 한다.

모든 파일에는 파일 구조 헤더가 존재한다. 이미지 파일의 경우 위 그림과 같이 볼 수 있는데 이 파일의 구조를 검증하여 이미지 파일이 아닐 경우 업로드를 차단 하는 형태이다.

PE구조를 잘 알고 있다면 Hex editor 프로그램을 이용하여 수동으로 변조하면 된다.

이번 포스팅에서는 간단하게 이미지 파일 구조에 영향을 미치지 않으면서 쉘코드 삽입을 도와줄

Load more