선릉역 1번 출구

지난 포스팅에서는 clop이 shell code를 복호화하는 것을 보았다. 그럼 복호화한 코드를 실행한다는 것인데 잘 이해가 안가서 flowchart를 작성해보려고 한다. 1. WinMain() sub_401000()으로 이동한다. 2. sub_401000() 왼쪽은 저번에 복호화를 진행한 부분임 정확하게는 hKernel32이 args이라고 볼 수 있음 shellcode의 파라미터로 넣어줌 3. shellcode 진입 shellcode의 주소는 00001407 -> ollydbg에서 00401407로 이동해보자. 해당 부분에 breakpoint를 걸어놓고 실행시킨뒤 해당 함수로 F7을 사용해서 들어가보자. 009C0000이다. 어디서 많이 본 주소같다. 바로 이전 포스팅에서 복호화한 코드를 작성한 ECX..

암호화 된 부분을 복호화하는 방법 IDA code 암호화 시작 부분은 v17 = aK_J이다. 해당 부분의 주소를 확인하면 0010C6이 나오고 해당 주소를 ollydbg(+400000)한 결과인 004010C6으로 이동한다. ollydbg에서 해당 주소로 가보면 MOV [EBP-44] signed.0040831C 명령어가 있다. 해당 명령어는 파라미터에 변수를 넣는 =과 역할이 같다. *MOV is = 0040831C는 앞에 aK_J에 해당한다. 그리고 나서 for문을 도는데 for문은 아래 형광펜으로 표시한 곳에 해당한다. 여기서 > 표시는 loop가 끝났음을 의미한다. 값을 넣어주는 부분을 클릭하면(v26) 아래 0000119C라는 주소가 나온다. ollydbg에서 이 주소는 마지막 JMP위에 MO..

학과 졸업 필수 요건인 정보처리기사 2022 1회 필기 & 1회 실기 합격 후기다. 일단 2022 1회 필기는 이기적으로 공부했고 1회 실기는 책 안사고 이기적 base에다가 저번에 작성해둔 https://choideu.tistory.com/216?category=971241 정처기 실기 요약 사이트 모음집 1. https://nanalike.notion.site/35e0e234d27948afba77f062939f7491?v=af192b75bf474265aa858d688411b7ad [정처기] 서술형 대비 요약정리 A new tool for teams & individuals that blends everyday work apps in.. choideu.tistory.com 을 참고했다.(거의 notio..

보호되어 있는 글입니다.

HTTP parameter pollution 웹 사이트가 HTTP 요청 중 전달받는 파라미터를 처리하는 방식을 조작하는 절차 (공격자가 요청에 추가 파라미터를 삽입하고 대상 웹 사이트가 이를 신뢰해 예기치 않은 동작으로 이어질 때 취약점 발생) -> 공격자가 삽입한 파라미터 값을 서버 측 코드에서 사용하는 방법에 따라 취약점이 결정됨 서버 측 HPP 서버 측 코드에서 예기치 않은 결과를 반환하도록 예상 밖의 정보를 전송함 서버는 웹 페이지를 반환하거나, 전송된 URL에서 수신한 정보를 기반으로 코드를 실행함 but 전송한 정보와 전달받은 결과는 볼 수 있지만 처리를 담당하는 코드는 확인할 수 없기 때문에 추론만이 가능함 클라이언트 HPP HPP취약점을 통해 공격자는 URL에 추가 파라미터를 삽입해 사용자..

Open redirect: 공격 대상이 웹 사이트를 방문했을 때 해당 웹 사이트가 다른 도메인의 URL을 브라우저로 전달하는 공격 -> 특정 도메인의 신뢰 관계를 악용해 공격 대상을 악성 웹 사이트로 유인함 *오픈 리디렉션을 다른 공격과 함께 활용하면 공격자가 악성 사이트에서 멀웨어를 배포하거나 OAuth 토큰을 훔칠 수 있음 그러나 오픈 리디렉션 자체는 영향력이 적은 취약점임(OWASP에서도 오픈 리디렉션을 취약점 목록에서 제외함) 1. 파라미터 기반 공격 예시) 한 사이트(A)에서 다른 사이트(B)로 리디렉션할 수 있는 기능이 있다고 가성 https://www.A.com/?redirect_to=https://www.B.com 여기서 이 URL에 방문하면 구글은 GET HTTP 요청을 수신하고 redi..