본문 바로가기

Hakawati Lab

JSDetox JSDetox는 Javascript를 수동으로 분석하는 프로그램이다. 자세한 내용은 다음 사이트에서 참고 http://www.relentless-coding.com/projects/jsdetox 다음 영상들은 JSDetox를 이용하여 분석하는 모습들을 담고 있다. [영상1. JSDetox - Analyzing The Blackhole exploit kit] [영상2. JSDetox - Solving the Breaking Point Javascript Obfuscations Contest] JSDetox의 가장 큰 장점은 가독성이라고 생각을 한다. 말도 안되는 장문의 변수난독화나 분석가들 암산공부 시키기 위해 계산을 해야하도록 설정한 메모리 영역 사이즈 또는 for나 while같은 반복구문의 반복 횟수들..
멋진 한국의 해커 [그림1. 변조에 변조된 웹페이지] 1200개의 악성 URL로 판명된 웹 페이지를 보다가 이것을 발견하게 되었다. 악성코드를 유포하는 서버를 사용자들이 자주 접속하는 웹 서버에 박을려면 사용자들이 자주 접속하는 웹 서버를 해킹하고 악성코드를 유포하는 코드를 포함하여 재 등록해야하는 방법(물론 이 외 다양한 방법들이 있다.)을 써야하는데 이를 다시 해킹하여 위와 같은 문구를 남긴 것이다. 아무런 보상을 바라는 것이 없어 보이는 관계로 화이트 해커인 것 같고(존댓말 쓰잖아 >_
NOP Sled에 대한 고찰 NOP Sled NOP는 No-OPeration의 약자로 즉 실행을 해도 실행할 명령어가 없기에 실행포인터가 다음 흐름으로 넘어간다고 생각하면 된다. 여기에 Sled(썰매)를 붙임으로써 고의적으로 실행흐름을 아래로 흘러 보내는 느낌으로 설명할 수 있다. 보통 Heap Spray 형태의 공격 코드들에는 반복구문과 NOP Sled를 많이 쓴다. 이유는 다음과 같다. 임의의 메모리를 참조하게 되면 해당 위치에 무조건 악의적인 행위를 실행 하는 코드가 있을 수만은 없다. 그래서 NOP Sled를 이용하여 참조한 위치에 악의적인 행위 코드가 없으면 자연스럽게 실행흐름을 타고 내려가 코드를 포함하고 있는 위치로 가게 되는 것이다. (참조라는 개념이 맞는지는 잘 모르겠다.) [그림 1. NOP sled가 포함된 ex..
BackTrack5 R2(R3) + postgresql postgresql 설치 기본적으로 repository의 postgresql은 8.4버전으로 설치가 된다. apt-get install postgresql postgresql GUI 프로그램 설치 apt-get install pgadmin3 설치가 거부 된 경우 apt-get update로 저장소들을 활성화 시켜준다. pgadmin3로 DB로 접근 Name은 Default로 postgres이며, Host는 localhost로 설정한다. Password는 설정한 기억이 없으므로 비워둔다. 그러면 다음과 같은 오류가 나온다. 패스워드를 설정하지 않아서 나오는 문제이다. command로 password를 설정한다. su postgres -c psql could not change directory to "/r..
Exploit ToolKit blackhole exploit toolkit phoenix exploit toolkit CrimePack 취약점 관련 검색을 하다보면 흔하게 볼 수 있는 exploit kit에 대한 정보들을 모으는 중 언더그라운드에서 판매되는 툴킷이 아닌가 싶다. Redkit Neo SploitCool PackBlack holePrivate no nameNuclearCrimeBossGrandsoftSweet OrangePhoenixNucSoftSakuraAssocAID Blackhole Exploit Toolkit 가격 분기당 라이센스 비용 700달러반년 라이센스 비용 1000달러년간 라이센스 비용 1500달러 툴킷 임대료1일 50달러 1주 200달러 2주 300달러3주 400달러 1달 500달러도메인 주소 변경 비용..
BackTrack R2 5 sources.list 수정하여 최신패치 적용 BackTrack을 쓰다보면 때로는 설치할 수 없는 것들이 있다. 예를 들면 KVM에서 libvirt-bin 같은 경우이다. 이런 것들을 해결하기 위한 편한 방법은 해당 버전에 맞은 다운로드 위치를 추가해주는 것이다. BackTrack R2 5는 Lucid(Ubuntu 10.04)이니 그에 맞는 sources.list를 수정해주면 된다. # vim /etc/apt/sources.list deb-src http://archive.ubuntu.com/ubuntu lucid main restricted deb http://id.archive.ubuntu.com/ubuntu/ lucid main restricted deb-src http://id.archive.ubuntu.com/ubuntu/ lucid res..
BackTrack R2 5에 VirtualBox 설치 vim /etc/apt/sources.list deb http://download.virtualbox.org/virtualbox/debian lucid contrib non-free # wget -q http://download.virtualbox.org/virtualbox/debian/oracle_vbox.asc -O- | apt-key add - ("OK"가 뜰때까지 기다린다.) apt-get update apt-get install virtualbox apt-get install virtualbox-4.1
Exploit Reference Website http://cve.mitre.org/index.html http://osvdb.org/ http://www.cvedetails.com/