Like Goseungduk

#iOS #ipa #IDA #어플 IDA 로 iOS ipa 파일 원격디버깅 붙는 법을 서술하겠습니다. 1. 준비물 탈옥 된 아이폰 (작성자 기준 iPhone 7, iOS 14.4.2) USB 8핀 케이블 (컴퓨터랑 연결할 용도) Decrypt 된 ipa 어플 파일 (Decrypt 과정은 생략. EASY 함) 2. 순서 2-1. PC 와 iPhone usb 로 연결 2-2. iPhone Wi-Fi 연결 이 부분에서 ip 알아내어 ssh 연결을 해야한다. 2-3. iPhone ssh 연결 후, debugserver 로 포트오픈 우선 cydia 에서 debugserver-10 을 설치 한다. 그리고 ssh 로 iPhone 에 접속해서 위와 같이 23946 포트를 열어 통신 대기를 한다. 물론 이 때도 USB ..

#피싱 #어플 #악성코드 #리버싱 #안드로이드 #스파이웨어 우리은행 피싱어플이다. 자매품으로 IBK, KB 도 있으나 대표격으로 한 번 분석해보기로! 앱 UI 와 아이콘 부터 정말 그럴싸하게 해놓았다. 그러나 계좌개설, 금융상품 등등의 버튼은 아예 기능이 없고 대출신청 버튼에만 귀신같이 사용자 정보 form 이 뜬다. 아마 당연히도 추측컨대 이 정보들을 어딘가로 빼가는 것 같다. 일단 어플을 까보았다. 파일 구성은 이렇다. assets : 웹페이지, webview 를 담당하는 파일들이 담겨있다. (html 같은거) lib : 어플에서 쓰이는 함수가 담긴 여러 라이브러리 파일(.so) 들을 담고있음. res : 이미지, 텍스트, 등의 여러 리소스 정보가 .xml 형태로 담겨있음. 버튼에 담기는 글자도 여기..

#악성코드분석 #중국 #문서형 악성코드 MD5 HASH Dropper : 59e08d42ce495f290c4dfd7be9614f786cdfed3ebdd7d6e68accbb630c051083 Core Malware : fa1f9f5deac24c735baa77eb5b76b9057b3fea6c2bc7f2bf7f16420a8b48f00c 주요 사용기법 Document Template Injection, Universial Shellcode Drop URL http://xiaodi8.com/1.dotm?raw=true (현재폐쇄) 문서형 악성코드이다. 이전에 설명한 Template Injection 이 아주 잘 이용된 표본이라고 할 수 있다. 악성 매크로가 있는 dotm 템플릿 매크로 파일을 http://xiao..

다운로드 링크 최근에 해당 워크샵의 oledump 를 이용하여 vba 를 분석해보았는데 굉장히 성능이 좋다. 추가적인 참고자료도 첨부한다. Quick Extract VBA Code From document Analysis Encrypted document

HeyImAB #Android #ab file 원본WriteUp - https://github.com/goseungduk/CTF_WriteUp/tree/master/Tamil_2021/rev/HeyImAB 안드로이드 백업파일 문제이다. .ab 파일확장자는 처음 보았는데 안드로이드 백업파일이라고 한다. adbextractor 링크 위의 extractor 를 이용하여 안의 파일을 추출할 수 있다. java -jar abp.jar unpack backup.ab res.tar 해당 명령어로 추출을 하면, tar 파일 하나가 나온다. 그 파일안에 아래와 같은 경로의 파일을 살펴보다 플래그를 발견했다. apps\com.example.devpack\r\app_flutter\flutter_assets\kernel_bl..

Guesser #reversing #DotNet #IL Spy #z3 원본WriteUp - https://github.com/goseungduk/CTF_WriteUp/tree/master/Tamil_2021/rev/Guesser 처음에 바이너리를 IDA로 열어보니 .Net 바이너리로 인식하길래 바로 IL Spy 툴로 열어보았다. 소스가 매우 정직하게 잘 나오는 것을 확인할 수 있다. Main 함수를 보면 처음에 Login 을 진행하는 것을 알 수 있는데, check 로직은 생각보다 매우 간단하다. 생각보다 어려운 로직이 없어서 실제로 풀때는 눈으로 그냥 보고 풀었지만, 소스 첨부도 해본다. from z3 import * s=Solver() username=[BitVec('user_%i'%i..

digital_play #논리회로 #digital 원본WriteUp - https://github.com/goseungduk/CTF_WriteUp/tree/master/Tamil_2021/rev/digital_play misc 에 가까운 문제가 아닐런지...? 어렵지 않아서 장황한 설명은 하지 않는다. 우선 주어진 .dig 파일은 아래의 프로그램에서 열린다. Digital - 논리회로 설계 프로그램 digital.dig 파일을 Digital 프로그램에서 로드하면 위와 같이 나온다. // enc.txt 00110110111111100000011000101 100001000000100000011000010101 001001111110101001110011001011 11111000001010100001101..

foolme #z3 #reversing 원본WriteUp - https://github.com/goseungduk/CTF_WriteUp/tree/master/Tamil_2021/rev/foolme 우선 main 함수가 디컴파일 된 모습은 이러한데... sub_5611AE2071A5 함수가 exit(0) 로 통하는 함수이다 보니 분명 다른 로직이 있다고 판단하였고... 어셈블리로 보면, 해당 함수 호출 이후에 추가 로직이 존재했다. 이 부분은 풀면서 적당히 우회 했다. 그리고 이후 로직은 s 변수에 문자열 입력하고, 해당 문자열에 대해서 first, second, final 함수를 통과해야된다. 1. first 함수 first 함수는 처음에 s 값을 받아서 26바이트 문자열을 갖고있는지 확인한다. 그리고 ..

Ransomware #crack me #custom crypto 오랜만에 reversing.kr 을 풀어보았다. 랜섬웨어라고 하는데... key를 알맞게 입력하면 압축파일로 같이 준 file을 올바르게 복호화 해주나보다. (키 값의 옳고 그름에 관계없이 일단 어떤 연산을 거쳐 복호화 해주긴한다.) 일단 처음 바이너리는 UPX로 패킹되어있다는 것을 알 수 있다. upx 언패커로 패킹을 해제하고... IDA에 올려보면 hex ray를 방해하기 위한 용도인지 쓸데없는 쓰레기 코드들이 있다. 그래서인지 main함수가 너무 크다며, 디컴파일이 안된다. 고민을 하다가 idc 함수를 이용해서 다 nop 처리 후, main함수 프롤로그를 옮기기로 하였다. 아래는 패치코드이다. addr=0x4135F4 end_addr=..

GhidraServer Ghidra-Server 지난 게시글에서는 직접 내 컴퓨터에 Ghidra 서버 구성 하는 법을 작성해보았다. https://goseungduk.tistory.com/33 하지만, Ghidra-Server 기관에서는 현재 더 나은 Ghidra-Server를 위해 피드백도 받고 업데이트도 지속적으로 할 목적으로 자체 공식 서버를 파놓았다. 또한 서버 구축이 어렵거나 안정적인 서버를 원하는 단체에게는 이만한 안성맞춤이 없다. 아무래도 이번 게시글은 기술적인 글보다는 Ghidra-Server에 컨택할 수 있는 방법론에 대해 적으려고 한다. https://twitter.com/Ghidra_Server Ghidra-Server Twitter 우선 Ghidra-Server는 이메일 또는 트위터..