myria's place

• 명령어 삽입 공격
  
• 레이스 컨디션
• 메모리 오염 공격

파일업로드

• 웹 쉘 제작
  

- r57shell

=> 시그니처 기반 백신탐지 우회 위해 간단히 base64로 인코딩되어있음

- c99shell

=> r57shell을 더 발전시킨 웹 쉘

- 최근 eval($_POST['q']) 같은 코드에 'q' 파라미터에 웹 쉘과 명령어를 전송시키는 방법이 많이 사용

=> 대부분의 POST 메소드를 이용해 시스템 명령이나 코드를 실행하는데, 아파치의 로그 파일은 POST 전송 데이터를 기록하지 않기 때문

• PHP에서 웹쉘에 이용되는 함수 (지기접적으로 시스템 명령을 실행하는 함수)

• PHP코드 실행시키거나 callback을 사용하는 함수

eval, preg_replace(/e option) ...

• 파일 업로드 취약점 공격

- 게시판에 웹 쉘 파일을 업로드 후 해당 웹쉘을 요청하면 php코드 실행

- 많은 게시판들이 이미지를 업로드하면 해당 이미지 출력

=> 이미지 속성값을 이용해 업로드 경로 탐색 가능

=>       /board/data/image1.jpg  >> 웹쉘 요청으로 php 파일 실행

• 파일 업로드 우회기법

상당히 많은 기법이 있지만 이 절에서는 간단히 3가지 소개

• php.kr 우회기법

아파치의 AddLanguage 옵션에 의해 발생하는것으로, 파일명이 vuln.php.kr일 경우에도 php파일이 실행된다.

해당 취약점은 확장자가 php가 아니므로 필터링을 우회할 수 있다.

• htaccess 업로드 취약점

• 환경취약점

• 파일 업로드 방어기법

php, htm 등 php실행권한을 가진 확장자 필터링

- 1. "php_value engine off" 내용의 .htaccess 파일 업로드 폴더에 생성한다.

- 2. .htaccess 파일을 사용자가 업로드하지 못하도록 필터링한다.

- 3. 데이터베이스와 연동해 download.php?fileno=3 과 같은 방식으로 파일을 다운로드시켜 파일경로를 알 수 없게 하는 방법

등 다양한 방어기법 존재

• XSS (크로스 사이트 스크립팅)

• 쿠키공격 → 쿠키탈취 → 쿠키정보 등록

• 자바스크립트 이용 ('javascript:document.cookie="쿠키값") + F5

• DB 해킹

SQL 삽입 자동화 프로그램

대표적 : pangolin, sql map, Havji

방어기법 : php의 경우 magic_quotes_gpc 라는 옵션이 존재

-> GPC는 GET, POST, COOKIE

해당 옵션은 GPC로 들어오는 ',",\, 널바이트가 존재하는 경우 해당 문장 앞에 역슬래쉬를 붙여준다.

(위 4문자 모두 문자열 처리, 그리고 작음따옴표나 큰 따옴표로 항상 감싸주도록 하자)

구글해킹

• 구글의 검색 연산자

구글해킹

• Vi editor : .{파일명}.{확장자}.swp
• EditPlus, Ultra Edit : {파일명}.{확장자}.bak
• 기타 : {파일명}.{확장자}.back , .backup 등

웹해킹

사례

• 7.7 DDos, 3.4 DDos

 : 분산 서비스 공격을 말한다. 여러대의 컴퓨터를 악성코드에 감염시켜 좀비 PC로 만든 뒤,

   C&C(명령제어) 서버의 명령을 받아 일제히 특정 서버에 대량의 패킷을 전송하는 기법

과정. 

1. 웹하드(P2P) 사이트 해킹
2. 업데이트 서버 장악
3. 업데이트 파일에 악성코드 삽입
4. 웹하드 사이트 사용자 악성코드 감염
5. 공격날짜, 시간에 맞춰 공격 게시

( DDos 공격특성상 동일 시간 일제히 공격하므로 좀비 PC 1만대만 되도 정상적으로 운영할 서버는 드물다. )

• EBS 해킹

• 현대 캐피탈 해킹

홈페이지 해킹 후 웹쉘 설치, 트래픽 관제를 피해 148만명 개인정보를 유출

웹 서버 백도어 웹쉘 (Web shell)

※ 백도어(Back Door) : 관리자 인증 등 정상적인 절차를 거치지 않고 시스템에 접근할 수 있는 '뒷 문'

• 구글 해킹

환경구축

APM : 아파치(Apache), PHP, MySQL ... 합쳐서 APM

툴설치

• 웹 프록시(Web Proxy) 툴

----------------------------------------------------------------

              USER PC                  

Web Browser               Port 8080                               Sever

□□□□□   →     □□□              →        □□□

□□□□□   ←     □□□              ←        □□□

paros

----------------------------------------------------------------

대표적인 툴 : 파로스 (Paros)

해커의 정확한 의미

해커 : '컴퓨터를 능숙하게 다루는 전문가', '시스템 프로그래밍을 잘하는 사람'

핵티비스트 : 해킹을 수단으로 사회적, 사상적, 종교적, 정치적 메세지를 설파하는 해커

ex) 어나니머스 (Anonymous)

교류를 통한 배움

• 컨퍼런스
• 해킹대회
• 커뮤니티 활동
• 소셜 네트워크 서비스(SNS)

해킹대회

해킹대회의 이점

• 자신의 실력을 경쟁을 통해 직간접으로 평가 가능
• 정해진 시간 내 공격에 성공해야하는 환경으로 인한 단기간 상당한 학습효과
• 합법적인 해킹 실습 가능
• 수상했을 때의 명예와 상금

CTF(Capture The Flag)

• 데프콘 (DEFCON) //데프콘 CTF는 최초라는 상징과 더불어 세계에서 가장 큰 해킹대회
• 코드게이트( Codegate) 국제해킹방어대회 //세계적인 해킹대회 중 하나, 한국에서 개최
• 기타 등등...
  

가상환경

해킹실습의 정석, 가상환경을 구축하고 해킹실습 (리눅스, 윈도으, 네트워크)

가상 머신 프로그램

• VMware (데모 or 기간무료, 유료)
  
• Virtual Box (무료) (https://www.virtualbox.org/)

취약한 환경구축

• 웹해킹 실습을 위한 게시판 구축
  
• 악성코드 분석을 위한 윈도우 환경구축
• 버퍼 오버플로우 해킹 실습을 위한 운영체제의 종류별/버전별 구축
• etc...

취약점 마켓

사용자 익명성 보장을 위한 IP 주소...

=> 대표적 : 프록시(Proxy) 서버, 토르(Tor) 브라우저

cmd에서 ipconfig로 볼 수 있는 IP는  (IPv4 등) 공유기 등을 통해 NAT(Network Address Translation) 환경을 구성한 경우

하나의 공인 IP를 다수의 호스트가 공유하고 각각의 호스트를 사설 IP를 사용하도록 네트워크를 구성한다.

그러므로 NAT환경에서 ipconfig로 확인한 IP주소는 사설 IP주소다.

공인 IP 확인을 위한 간단한 서비스 : https://www.whatismyip.com/

프록시 서버를 구글검색 등을 통해 알아내서 (검색 : Free Web Proxy)

인터넷 익스플로러  도구 → 인터넷 옵션 → 연결 탭 , LAN 설정 → 프록시서버 사용, 고급 

   → 모든 프로토콜에 같은 프록시 서버 사용 → HTTP, Secure 선택

프록시 서버 셋팅 완료...

토르 브라우저 → 설치 → 접속 (끝)

블랙 마켓

ㅁㄴㅇㄹ 유용한 정보가 많다.

컴퓨팅 페이지, 프로그래밍, 해킹 등 여러 좋은 정보를 얻기 쉬움

무료 해킹툴 구할수도 있음 ( 물론 성능, 질로서는 ↓)

게임페이지도 있다. (허허...)

다양한 공격 툴...

       R               G              B

1비트 LSB   01010111    11010101    1011010     =>  101

2비트 LSB   01010111    11010101    1011010     =>  110110

랜덤한 색상을 선별해 기밀 메세지를 숨기는 기법

• Pseudo-random LSB 기법

• 원본 그림이 없을 경우 일반적인 분석기법으로는 탐지가 어려움

• Selected LSB
• RGB 중 하나를 선택하여 해당 색상에 기밀 메세지를 숨기는 방법

=> 은닉할 메세지가 어느정도 왜곡되어 전달되나 내용파악에 큰 문제가 없고, 

     커버미디어 용량의 거의 절반에 가까운 크기의 기밀 메세지를 은닉할수 있는 장점이 있다.

(그러나 의심받기 쉬워 자주 이용 X)

LSB 필터링

Enhanced LSB => 각 픽셀의 LSB가 1이면 255, 0이면 0으로 하는 기법

필터링 바이트 분포가 매우 랜덤하면 (0:1 = 50:50 / 0과 1의 비율 50:50)

특정파일을 삽이했다고 유추가능

Gray bit  :  각 픽셀의 RGB 색상이 같을 경우 검정색, 다른 경우 흰색으로 변환하는 GrayBit 기법

그 외에 특정색상(RGB)만 추출하는 기법, 색반전 기법 등이 존재

LSB 중 특정 오프넷 뒤에 파일을 숨겨놓은 스테가노그래피

=> 'LSB Slide 기법'

겉보기에는 같은 2개의 그림파일에서 Diffing을 통해 변조된 LSB값을 찾는 기법

=> 'Random LSB 기법'

디지털 포렌식 툴

• WinHex : 강력한 Hex 에디터 기능뿐만 아니라 디스크 분석, 파일시스템 템플릿, 파일 카빙 등을 제공하는 도구

• Photorec : 250개 이상의 매우 다양한 파일 시그니처를 가지고 있는 파일 카빙 도구 (이름 유추해볼때... 왠지 이미지파일에 해당되는듯)

• TrueCrypt :  가상의 디스크 이미지를 생성해주는 도구로, 다양한 암호화 옵션을 지원하며 모든 플랫폼에서 사용할 수 있다.

• FTK Imager : 디스크 / 메모리 이미징을 지원하는 디스크 분석 도구다.

• Volatility : 메모리 덤프 분석에 사용되는 파이썬 프레임워크로, 매우 다양한 플러그인을 지원해 현재 가장 널리 쓰이는 메모리 분석 도구

1. #include <stdio.h>
2. #include <string.h>
3.  
4. void encrypt(char* P, char* C,char* table)
5. {
6. int len;
7. int i,j;
8.  
9. len=strlen(P);
10.  
11. for(i=0; i<len; i++){
12. if(P[i]>='A' && P[i]<='Z')
13. C[i]=table[P[i]-'A']-('a'-'A');
14. else if(P[i]>='a' && P[i]<='z')
15. C[i]=table[P[i]-'a'];
16. else
17. C[i]=P[i];
18. }
19. }
20.  
21. void decrypt(char* C, char* D, char* table)
22. {
23. int len;
24. int i,j;
25.  
26. len=strlen(C);
27.  
28. for(i=0; i<len; i++){
29. if(C[i]>='A' && C[i]<='Z')
30. {
31. for(j=0; j<26; j++)
32. if((table[j]-('a'-'A'))==C[i])
33. D[i]='A'+j;
34. }
35. else if(C[i]>='a' && C[i]<='z')
36. {
37. for(j=0; j<26; j++)
38. if(table[j]==C[i])
39. D[i]='a'+j;
40. }
41. else
42. D[i]=C[i];
43. }
44. }
45.  
46.  
47. int main()
48. {
49. char plain[50]="HelloWorld!MyNameisArgos";
50. char crypt[50];
51. char d_crypt[50];
52. char replace_table[27]="lqkrmnedvwxaopbghifstucjyz";
53.  
54. strcpy(crypt,plain);
55. printf("replace table : %s\n",replace_table);
56.  
57. encrypt(plain,crypt,replace_table);
58. printf("encrypt message : %s\n",crypt);
59.  
60. strcpy(d_crypt,crypt);
61. decrypt(crypt,d_crypt,replace_table);
62. printf("decrypt message : %s\n",d_crypt);
63.  
64. return 0;
65. }