전체 글 74

DNS 리바인딩으로 웹사이트에서 Wi-Fi 비밀번호 탈취하기 [번역]

원제: The power of DNS rebinding: stealing WiFi passwords with a website DNS 리바인딩 요약 DNS 리바인딩 공격은 오래 전부터 공격자들에게 Same-origin policy를 우회하는 쓸만한 공격 기법으로 알려져있었어요. 이 공격은 DNS의 기능을 악용해서, 페이지의 내용을 전송한 다음 웹 사이트의 IP를 바꿔치기합니다. 보통은 추가적으로 자바스크립트를 이용해서, DNS 캐시가 효과가 떨어질때까지 기다린 다음 같은 호스트로 요청을 보내게 해요. 그러면 브라우저는 당연하게도 같은 호스트로 요청을 보내는 줄 알겠죠. 사실은 공격자가 IP를 바꿔버렸지만요. 따라서 공격자는 내부 인터넷 서비스에 접근한다던지, 그걸 또 외부에 보낸다던지, 아니면 생각나는 ..

카테고리 없음 2016.03.15

Lord of Bof bugbear to giant 야매풀이

일단 소스는 이렇습니다. 네. 의도대로라면 execve를 이용해서 풀어야겠지만, 풀이가 꼭 하나일 필요는 없으니까요! 한번 따져보죠.execve는 일단 user mode에서는 별다른 메모리 연산을 안하고 커널로 넘어갑니다.대충 소스가 이렇단말이죠.int execve(char *path, char **argv, char **envp) { syscall(__NR_execve, path, argv, envp); // go to kernel! }커널에서 메모리 에러가 날 경우라도 일반적으로는 EBADADDR을 리턴하기만 하고, 딱히 크래시가 나거나 그렇진 않죠. (난다면 커널 버그로 신고하거나 공격코드까지 만들어서 버그를 요란하게 제보해봅시다) 그렇기 때문에!1. execve의 인자는 아예 신경쓰지 않고2. 어..

카테고리 없음 2015.07.31 (10)

yamyam (explanation, code)

서버에 netcat으로 TCP연결을 하면 x64면서 인텔 문법으로 되어있는 어셈블리를 줍니다.그 다음 RAX값이 뭐냐고 물어봅니다. 그 명령들을 실행한 후의 RAX값을 물어보고 있죠.그냥 앞 뒤에 적당한 코드를 붙인 후 직접 컴파일하고 실행하도록 했습니다. 아 참, 그리고 요청이 이렇게 와요. (stage)Eunji Say: yam yamSTAGE 1mov QWORD PTR [rbp-0x8],0x306mov DWORD PTR [rbp-0x14],0x372mov DWORD PTR [rbp-0x10],0x317mov DWORD PTR [rbp-0xc],0x10dmov eax,DWORD PTR [rbp-0x14]imul edx,eax,0x79mov eax,DWORD PTR [rbp-0x10]imul eax,D..

writeup/JFF 시즌 3 2015.07.28 (1)