Like Goseungduk

최근 CVE 신청할 일이 있었어서 정리해봄. 우선 CVE 를 등록해주는 기관선정을 해야하는데 본인이 찾은 취약점이 트리거 되는 프로그램의 벤더가 아래 링크에 있는 240개(2022.10.09 기준) 기관(통칭 CNA 라고 함) 중에 존재하면 해당 CNA 로 가서 먼저 제보하도록 권고 하고 있다. CNA Lists 링크 ex) visual studio code 에서 취약점을 찾았으면 CNA 역할을 하고있는 Microsoft Corperation 에 먼저 제보를 하면 빠르고 정확하게 CVE 를 발급받을 수 있다 일반적으로는 mitre corperation 에 제보하는 편이라고 한다. 기관선정을 했으면, 기관에 가서 신청을 해야하는데 필자같은 경우는 mitre 사이트에 가서 신청하였다. 신청 form 은 mi..

보호되어 있는 글입니다.

보호되어 있는 글입니다.

#퍼징 #AFL-FUZZ #Win-AFL 리눅스에서는 AFL-FUZZ 를 사용했듯이 윈도우 환경에서도 Win-AFL 을 통해 퍼징을 진행할 수 있다. GUI 바이너리에도 가능하고, 커스텀해서 퍼징도 가능한듯..? 하다. 무엇보다도 단순 AFL-FUZZ 보다 확장된 기능이 있는데, Syzygy 를 통한 정적 명령어 삽입, DynamoRIO 를 이용한 동적분석 시 명령어 삽입, 하드웨어 트레이싱 등등... 이 있다고 한다. 일단은 빌드 부터 해보기로! 매우 쉽다. 1. CMAKE 설치 Win-AFL 을 빌드하는데에는 CMAKE 가 필요하다. DynamoRIO 기능을 cmake 를 통해 넣어주는 부분에서 필요한 것 같다. https://cmake.org/download/ 위 링크에 가서 자기한테 맞는 걸로 다..

보호되어 있는 글입니다.

#iOS #ipa #IDA #어플 IDA 로 iOS ipa 파일 원격디버깅 붙는 법을 서술하겠습니다. 1. 준비물 탈옥 된 아이폰 (작성자 기준 iPhone 7, iOS 14.4.2) USB 8핀 케이블 (컴퓨터랑 연결할 용도) Decrypt 된 ipa 어플 파일 (Decrypt 과정은 생략. EASY 함) 2. 순서 2-1. PC 와 iPhone usb 로 연결 2-2. iPhone Wi-Fi 연결 이 부분에서 ip 알아내어 ssh 연결을 해야한다. 2-3. iPhone ssh 연결 후, debugserver 로 포트오픈 우선 cydia 에서 debugserver-10 을 설치 한다. 그리고 ssh 로 iPhone 에 접속해서 위와 같이 23946 포트를 열어 통신 대기를 한다. 물론 이 때도 USB ..

패키지 설치 도중에 이런 에러가 뜬다. error: 사실 frida-tools 말고라도 다른 python 패키지 설치 때 같은 SSL 오류가 뜬다면 시도해볼만 하다. SSL 인증서를 업데이트 하는 코드이다. sudo apt install ca-certificates sudo update-ca-certificates --fresh export SSL_CERT_DIR=/etc/ssl/certs

#피싱 #어플 #악성코드 #리버싱 #안드로이드 #스파이웨어 우리은행 피싱어플이다. 자매품으로 IBK, KB 도 있으나 대표격으로 한 번 분석해보기로! 앱 UI 와 아이콘 부터 정말 그럴싸하게 해놓았다. 그러나 계좌개설, 금융상품 등등의 버튼은 아예 기능이 없고 대출신청 버튼에만 귀신같이 사용자 정보 form 이 뜬다. 아마 당연히도 추측컨대 이 정보들을 어딘가로 빼가는 것 같다. 일단 어플을 까보았다. 파일 구성은 이렇다. assets : 웹페이지, webview 를 담당하는 파일들이 담겨있다. (html 같은거) lib : 어플에서 쓰이는 함수가 담긴 여러 라이브러리 파일(.so) 들을 담고있음. res : 이미지, 텍스트, 등의 여러 리소스 정보가 .xml 형태로 담겨있음. 버튼에 담기는 글자도 여기..

#안드로이드 #리소스 #리버싱 대단한 지식은 아닙니다. 가끔 디컴파일러로 보면 위처럼 string 을 가져오는데 뭔지 궁금할 때가 있다. 함수 원형에 따르면 string 인자가 아닌 int 값이 올 경우 리소스 id 를 가리킨다고 하는데 어디에 있는지 찾아보면 해당 넘버가 있는 곳이 있다. C와 R 사이에 이상한 넘버가 적혀있는 클래스 파일인데, 해당 클래스는 어플에서 쓰는 모든 리소스에 대한 id 가 적혀있는 파일이다. 보통 안드로이드 어플 코딩을 할 때, R 이라는 객체를 선언 후, 참조를 하면서 리소스를 다룬다고 한다. 그래서 이처럼 디컴파일러에서 R 객체를 참조하는 구문을 잘 보여줄 때도 있지만, 맨 처음 사진 처럼 리소스 id 만 딱 보여주고 알아맞혀봐라는 식의 dex 난독화가 걸려있는 경우에는..

#악성코드분석 #중국 #문서형 악성코드 MD5 HASH Dropper: 59e08d42ce495f290c4dfd7be9614f786cdfed3ebdd7d6e68accbb630c051083 Core Malware: fa1f9f5deac24c735baa77eb5b76b9057b3fea6c2bc7f2bf7f16420a8b48f00c 주요 사용기법 Document Template Injection, Universial Shellcode Drop URL http://xiaodi8.com/1.dotm?raw=true (현재폐쇄) 지난 글 에 이어서 쓴다. 중국발 문서형 이력서 악성코드 - 1. 드로퍼&매크로편 #악성코드분석 #중국 #문서형 악성코드 MD5 HASH Dropper : 59e08d42ce495f290c..