분류 전체보기 74

Unmasking Kernel Exploits 번역

원문 링크: http://labs.lastline.com/unmasking-kernel-exploits 커널 익스플로잇 정체 알아내기 (Unmasking Kernel Exploits)저자: Roman Vasilenko 많은 수의 알려진 APT 공격과 국가 수준의 공격이 정교한 말웨어(Turla, Duqu, Equation Group, Duqu2, 등등)을 사용한다. 이 말웨어들은 Microsoft Windows 운영체제의 커널 안에서 돌아가는 하나 이상의 구성요소를 가지고 사용한다. 그 말웨어들은 보안 솔루션들로부터 숨겨진 상태를 유지하며, 공격자의 악의적인 목표를 성취하기 위해 컴퓨터 시스템의 가장 높은 권한을 탈취할 수 있다. OS 커널 안에서 실행될 수 있는 능력을 이용해서, 악의적인 코드들은 자동..

카테고리 없음 2015.07.18

Nuit du hack 2k15 private CTF 후기

음.. 일단 제목을 정정하겠습니다. private CTF보다는 semi-private CTF가 낫겠네요. 운영상 상당히 아쉬운점이었습니다. 뒤에서 다시 언급하겠습니다. 이번 Nuit du Hack CTF는 예선, 본선으로 나뉘어 대회가 진행되었었는데요, 저는 한국인이라서 한국팀으로 나갔습니다. 예선이 4월 4일부터 4월 5일까지 24시간동안 진행되었구요, 저희 팀은 본선에 진출해서 6월 20일부터 21날에 있는 Nuit du Hack 2015의 private CTF(본선)에 참가하게 되었습니다. 예선은 퀴즈 형식으로 진행되었는데요, 이건 그럭저럭 작년이나 재작년이랑 형식이 같고 딱히 특징적인 부분은 없었습니다. 음.. 하나 특징적인 부분이라면 문제에 게싱, 그러니까 좋게말하면 추리문제가 조금 있었는데....

카테고리 없음 2015.06.24

simavr로 UART <-> stdin/out 연결

simavr에는 이미 UART랑 pty랑 연결시켜주는 기능이 있..어요! examples/parts 폴더에 있어요.하지만 이걸 소스코드에서 따로 안쓰고 있답니다! (예제에는 이걸 어떻게 쓰는 지 나와있어요.) 이걸 쓰는 방법은 examples/board_simduino의 simduino.c에 있었어요. 분석해봅시다! examples/board_simduino/simduino.c42:#include "uart_pty.h"48:uart_pty_t uart_pty;188:uart_pty_stop(&uart_pty);242:uart_pty_init(avr, &uart_pty);243:uart_pty_connect(&uart_pty, '0'); 오! 짱쉽네요! 이것만 해주면 되는거였어요! (uart_pty_con..

카테고리 없음 2015.04.27

메모리릭 일어날 때 심볼 위치 알아내는 라이브러리

던진다! 사용법:elf = elfleak(leak=특정 메모리를 몇 사이즈만큼 leak해서 str 형식으로 리턴해주는 함수) import struct p4 = lambda x: struct.pack(">L", x)u4 = lambda x: struct.unpack(">L", x)[0] class elfleak:leak = lambda x: xelf_got_dynamic = Falseelf_dynamic = -1base = -1sections = {}def __init__(self, *args, **kwargs):print kwargsif 'leak' in kwargs:self.leak = kwargs['leak']def get_elf(self, start):pages = 0; start &= 0xffff..

카테고리 없음 2014.11.24

스택의 auxv leak을 통해서 libc 주소 쉽게 알아내거나 쉽게 브포하기

넵사실 ld.so의 주소를 leak하는거구요.하지만 간격은 거의 같으니까요, 아니면 0x1000 단위로 브포해도 되구요. ELF의 엔트리포인트의 스택을 보면 이렇습니다. argc argv + envp 포인터들 auxv 키-값 배열 argv, envp 문자열 값 요렇습니다.주목할 건 auxv입니다. auxv는 Auxiliary Vectors의 줄임말이구요.http://articles.manugarg.com/aboutelfauxiliaryvectors.html 보시면 됩니다. 나중에 보셔도 되여. /proc/[PID]/auxv 파일을 xxd 파일로 보죠.32비트 프로세스입니다. bob_121@ubuntu:~$ xxd /proc/$$/auxv0000000: 2000 0000 14d4 fdb7 2100 0000..

카테고리 없음 2014.08.26