음 제목을 어떻게 정할지 몰라서 일단 저렇게 짓긴 했는데, gdb에서 got value를 출력하는 방법에 대해서 쓰려고 한다. 예전부터 알고 있긴 했지만, 이것이 정확히 어떤 역할을 하는지는 정확히 몰라서 적는다. ROP 공격을 통해 GOT를 Overwrite 할 때, 쓰인다. gdb 로 바이너리를 attach하고 start로 실행시킨다. 그리고 나서 got 값을 확인하고 싶은 함수를 p로 출력한다. 이렇게 출력된 값을 GOT에 있는 값이다. 다음은 GOT Leak을 하고 나서 system의 주소를 출력하는 것이다. 이렇게 나온 $3 값을 offset이라고 말하고, read@got 값을 leak 했다면, read_got_value - offset 을 하면 system_got_value로 바뀐다.
최근에 어떤 블로그를 보다가 재밌는 글을 하나 발견했다. PDF to XSS. PDF로 XSS를 로드할 수 있다고? 사실 XSS를 로드할 수 있는 것이 아니고, alert()같은 자바스크립트를 실행할 수 있는 것이다. 근데 이게 또 크롬 PDF Viewer만 되는거라서 나는 내가 크롬 취약점을 찾은 줄 알았다. 그래서 요새 계속 싱글벙글 지내면서 계속 어떻게 익스플로잇할 수가 있을까 생각해보면서 기분 좋았는데,,, 오늘에서야 그 꿈이 깨졌다. 페이스북에 이렇게 글을 올렸었다. 근데 결론은 일부러 만들었다는 것이다. 준오형이 "Expected Behaviour"라고 한다. 더 개쩌는건 예전에 Adobe PDF에서 제공하는 File 관련 자바스크립트 중에서 Vulnerable한 것을 찾았다고 한다...ㄷ \..
요즘 본의아니게 1일 1취약점 찾기를 하고 있다,,,ㅋㅋ어제는 서울여대 영재교육원에서 미림여자정보과학고등학교에 재학 중이신 누나가 학교 사이트를 동아리 선생님께서 만드셔서 굉장히 취약할 것이라고 하면서, 사이트의 취약점을 한 번 찾아보라고 하셨다. 그래서 그냥 쭉 둘러보다가 3분만에 취약점을 찾았다. 취약점 유형 취약점 유형은 'SQL Injection' 이다. 해당 취약점으로 DB 안의 값들을 볼 수 있다. DB안에 회원 정보도 있는 만큼 상당히 위험한 취약점이다. 빨리 고치는 것이 답이다. 뉴스에서 소개되는 DB 정보 유출 취약점은 거의 모두 SQL Injection 취약점이다. (이와 더해서 Reflected XSS 취약점도 발견했다.) 공격 벡터(Vector) 공격 벡터는 '회원가입'이었다. 회원..
어제 6반에서 칠판에 http://apply.itq.or.kr 적혀 있었다. 그냥 재미삼아 친구한테 "이 사이트 취약점 내가 오늘안에 찾는다"라고 말했는데, 그게 사실이 되었다. Reflected XSS(Cross Site Scripting) 취약점을 찾았고, 현재는 완벽히 패치된 상태이다. 로그인 창에서 발견한 취약점인데, 로그인 후 이동하는 url을 purl이라는 GET 파라미터를 이용해서 로그인 후 purl 대로 이동하는 방식이었다. 하지만, ">로 태그를 탈출할 수 있었고, , 등 여러가지 태그를 사용할 수 있었다. 하지만, , javascript: , 등등 거의 모든 태그들이 막혀있어서 불가능할거라 생각하고 어제 탐구하던 것을 그만두었다. 오늘 아침에 다시 보니, 태그를 깜빡하고 있었다는 것을 ..
JEB로 DriveX.apk 를 깠을 때 나오는 클래스들이다. 거의 모든 클래스들이 Obd라는 것을 사용한다. 여기서 Obd에 대한 자세한(?) 설명을 볼 수 있다. 근데 이 Obd의 문제점이 기능이 너무 많다는 것이다. PoC 2014에서 발표된 Obd 해킹에 관련된 자료이다. (http://www.dailysecu.com/?mod=news&act=articleView&idxno=8115)Obd의 패킷 규격도 잘 정의되어있다. 만약 com.bluepoint.obd 패키지를 사용할 수 있다면 자동차를 원격에서 조종할 수 있지 않을까라는 생각이 든다.그럼 X1 Dash 내에 해당 패키지를 사용하는 apk를 넣고 조종하면 될 것 같은데... 블루본이나 DriveX.apk에서 RCE로 특정 메소드를 실행 가능..
PHP preg_replace RCE vuln.written by ch4n3 [at] BoB 6th, team Demon & H3X0R 머 물론,, 이 취약점이 CTF에서도 안나오고 리얼월드에서도 거의 나올 수 없는 취약점이긴 하지만, 그래도 RCE 취약점이 있다는 것을 알 것이다. 취약점이 일어날 수 있는 코드는 다음 url을 예시로 참고하십셔 ( https://github.com/chaneyoon/webhacking-practice/blob/master/rce/preg_match1.php ) preg_replace에서 pattern에서 /./e 를 사용하고 replacement 인자를 넘겨줄 때 PHP의 function을 집어넣으면 그 함수가 실행된다는 트릭이다. 여기서 system($_GET['cm..
PHP preg_replace() RCE Vuln.H3X0R팀 소속 BoB 6기 ch4n3. preg_replace() function. preg_replace() 함수는 정규식을 이용해서 찾은 문자열을 특정 문자열로 치환해주는 함수이다. 이 함수에 대한 더 자세한 정보는 http://php.net/manual/kr/function.preg-replace.php 여기서 확인해주길 바란다. Vuln. 이 함수에서 쓸 수 있는 변경자 중 하나가 /e이다. 이 변경자는 replacement 인수에 php 함수를 쓸 수 있도록 허용한다. 그럼 만약에 사용자가 preg_replace() 함수의 인자를 모두 수정할 수 있다면 어떻게 될까. 이런 PHP 코드가 있다고 하자. 여기서 RCE 취약점을 할 수 있다. 무려..
취약점 터진 곳 네이버 블로그에서 터졌다. object 태그를 제대로 막지 않아서 생긴 Stored XSS 취약점이었다. object 태그는 iframe, frame 태그와 굉장히 비슷한 태그이다. 보통은 Media나 ActiveX를 불러올 때 사용된다. 이 때문에 후에, 취약한 ActiveX와 연동하여 익스플로잇해보려고 했지만 그 전에 패치되었다,,.. 공략 data 태그를 BeEF 코드가 실행되고 있는 웹사이트의 url 로 지정하게 되면, 사용자는 악성코드에 감염되어 안전한 컴퓨터 사용을 하지 못하게 된다. 하지만, 나는 BeEF까지 해서 exploit 하는 것을 귀찮게 여겨서 그냥 PoC만 보여주고 네이버 보안팀에 이메일을 보냈다. 이메일을 보내고 거의 한달(?) 그 정도 만에 이메일이 왔었다. 스..
베네듀 XSS 취약점H3X0R 팀 소속 ch4n3 어제 베네듀(https://benedu.co.kr)에서 발생하는 XSS 취약점을 발견했고, 어제 저녁 8시 쯤에 XSS 취약점을 신고하였다. 시험지 목록에서 발생했던 취약점이었고, 필터링의 미숙으로 발생한 취약점이었다. 다음은 페이로드이다. 굉장히 간단하지만, 이걸 익스플로잇하는 데에는 1시간 반 정도가 걸렸다. XSS 취약점을 다룬 워게임이 많지 않아서 미숙해서 그렇다ㅠㅠinvalid22")' onmouseover='alert("xss")' b='
그누보드 5.0.0 버전 보안 취약점H3X0R 팀 소속 ch4n3 최근 구구콘 컨퍼런스에 다녀오게 되었는데, 이 때 adm1nkyj님의 발표를 들으면서 나도 버그 헌터가 되고 싶다고 생각하게 되었다. 그래서 취약하다고 생각되는 그누보드 5.0.0 버전부터 취약점을 연구해보게 되었다. 3일동안 찾았던 것 같다. 기숙사에서도 찾으면서 쉬는 시간 밥먹는 시간 야자시간까지 할애했다. 생각보다 공략하기 쉬운 곳에 취약점에 존재했다. 바로 1:1 문의 부분,, 다음 코드는 1:1 문의 부분의 코드이다. 이 부분에서 아무 여과 없이 사용자가 입력한 정보를 받는다. 카테고리, 제목, 내용, 이름에서는 특정 함수로 사용자가 입력한 정보를 안전하게 처리하는데 qa_hp(전화번호), qa_email(이메일)은 아무런 여과를..