Pwnbit.kr = )

보안 업체인 시만텍은 지난 23일, 적어도 2008년부터 러시아, 사우디아라비아 등 10개 이상의 국가에 침입하여 정부 기관, 인터넷 사업자, 이동통신사 등을 대상으로 정보를 수집한 은닉형 악성코드 '레진(Regin)'을 발견했다고 한다. 이 악성코드는 분석을 어렵게 하기 위해 안티 포렌식 기능과 함께 잘 사용되지 않는 RC5 암호, 암호화된 가상 파일 시스템(EVFS)를 사용하고 있다. 현재 침투 경로나 방법은 밝혀지지 않았으나, 침투 후 마이크로소프트 이메일 서버와 주요 이통사의 휴대전화를 해킹하는 것으로 밝혀졌다. 아주 정교한 코드를 사용하고 있어 발견이 어려웠으며, 지난 2010년 이란 핵시설을 타깃으로 하던 '스턱스넷(Stuxnet)'보다 뛰어난 기술을 사용하고 있어, 미국의 정보기관이 운영하고..

드디어 기다리던 베가 R3에 킷캣이 업데이트 되었습니다. 10월 21일 업데이트가 되었고 현재 각 통신사마다 차이는 있지만 SK와 KT가 올라온 상태입니다. 관련 공지(KT) : http://www.ivega.co.kr/notice/noticeView.do?intseq=2061 관련 공지(SK) : http://www.ivega.co.kr/notice/noticeView.do?intseq=2060 하지만 기존에 베가에서 업데이트에 사용하던 VEGA 스테이션 앱에는 아직 서버에 등록된 S/W가 없다고 나옵니다. 따라서 베가 홈페이지를 통해 휴대폰을 컴퓨터에 연결하셔서 킷캣 업그레이드를 받으실 수 있습니다. 셀프 업그레이드 : http://www.vegaservice.co.kr/down/self/main.s..

저는 주로 알패스와 즐겨찾기 저장 기능 때문에 알툴바를 쓰고 있는데요. Shift키를 두 번 누르거나 마우스 우클릭을 두 번 하시면 빠른 검색창이 뜨게 됩니다. 위와 같은 창이 뜨고 바로 검색할 수 있게 해주는데요. 여기에 입력한 결과들이 레지스트리에 등록되게 됩니다. 알툴바 기능에 대한 레지스트리들을 찾다가 발견했는데요. 이전 검색기록을 보여주는 것도 아니면서 이 기록들을 왜 남기는지 모르겠습니다. 검색 기록 저장 위치는 다음과 같습니다. 시작 -> 실행 -> Regedit -> HKCU(HKEY_CURRENT_USER) -> Software -> AppDataLow -> Software -> ESTsoft -> ALToolBar -> TypedHistory 혹은 자신이 찾아봤던 단어로 검색을 해보시면..

Codegate 2014 예선전 리버싱 200점 문제 dodoCrackme의 Writeup입니다. 우선 Exeinfo를 통해 파일의 정보를 봅니다. 파일은 64비트 환경의 리눅스 실행파일임을 알 수 있습니다. 파일 실행을 위해 64비트 리눅스를 설치했습니다. Ubuntu Install : ftp://ftp.kaist.ac.kr/ubuntu-cdimage/ubuntu-gnome/releases/13.04/release/ 리눅스에서 파일을 실행시켜봤습니다. 하드코딩된 패스워드를 찾아서 입력하면 풀릴 것 같네요. 리눅스 툴 중 strace를 통해 파일에서 사용하는 시스템콜 함수를 찾아봅니다. strace Joinc : http://www.joinc.co.kr/modules/moniwiki/wiki.php/ma..

Codegate 2014 예선전 포렌식 150점 문제 WeirdShark의 Writeup입니다. 다음과 같이 확장자가 제거된 파일을 다운 받았습니다. 우선 내용을 보기위해 EditPlus로 파일을 열어봅니다. 위 내용 중 Dumpcap 1.10.5와 패킷정보가 보이는 것으로 보아 패킷 파일임을 유추할 수 있으며, 사실 위 내용이 아니더라도 문제 이름이나 파일명을 봐도 유추가 가능합니다. 하지만 파일을 열려고 하니 다음과 같은 에러가 발생합니다. Total block의 길이가 패킷 데이터의 길이(4270407998 byte)보다 작다고 합니다. 오류 내용 중 pcapng라고 보이는 것으로 보아 pcap이 아닌 pcapng 파일이며 NetworkMiner로 열리지 않는 것을 확인했습니다. PCAP-NG 구조..

Webhacking.kr - Prob 49 - 300 - SQL Injection 문제의 첫 화면이다.46번과 같은 화면을 볼 수 있지만 필터링 되는 부분에서 차이가 있다. 바로 소스보기 화면으로 들어가면 다음과 같이 index.phps라는 힌트가 적혀있다. 하지만 소스보기를 통해 들어가면 다음과 같이 복잡한 소스로 적혀있다.이것을 html 페이지를 하나 만들어서 변환 시켜 보았다. 위와 같이 필터링하는 문자들을 확인할 수 있으며 q[0]에 admin을 넣게 되면 문제를 풀 수 있다. 우선 1을 입력해보았다. zzibong이라는 id가 출력되며 level 2는 admin이 아닐까하는 추측을 할 수 있다. 이번 문제는 or, and, limit 등 지금까지 하던 문자열들을 모두 필터링 하고 있는 것을 볼 ..

Socket을 이용하는 Remote BOF 공격에서 대게 Bind Shell Code를 사용하게 된다. 이 쉘코드가 어떻게 구성되어있고, 왜 Remote BOF에서는 Bind Shell Code를 써야하는지 알아보았다. 1. Bind Shell Code의 구성 우선 통신을 위해 TCP와 같이 구성이 된다. Socket() -> Bind() -> Listen() -> Accept() 또한 표준입출력을 위해 dup2함수와 쉘을 띄우기 위한 execve함수로 구성할 수 있다. 2. Bind Shell Code의 목적 Remote 환경에서는 쉘이 소켓이 종료된 뒤에 떨어지기 때문에 이 통신을 유지시켜줄 필요가 있다. 따라서 Bind Shell Code를 이용하여 포트를 열고 쉘을 받아오는 것이다. 하지만 소켓을..