PE파일의 악성 및 비정상 여부 식별 방법 이론
·
악성코드 분석
침해사고 대응 단계에서 피해 시스템 내에 정상적인 파일/비정상 징후 파일을 식별해야분석과 후속 대처 단계로 넘어갈 수 있다실행파일 PE 파일의 악성여부를 판별하는 방법을 알아보자 섹션의 엔트로피 분석 파일 엔트로피: 악성코드 여부 식별 역할→ 악성 파일의 경우 노출되지 않기 위해 인코딩, 암호화를 거쳐 엔트로피가 높다→ 엔트로피 값을 계산해보면 0~8에서 7 이상인 경우도구는 PEScanner, PE studio  엔트리 포인트 분석 EXE파일을 실행하면 로더가 EXE파일과 추가적인 DLL 파일들을 링킹 해주고, 일을 마치면 실행파일 내에서 가장 먼저 실행되어야 하는 곳(엔트리포인트)으로 흐름을 바꾼다 → 주로 .text, .code → 다른 곳에 속하면 악성코드 가능성 O 엔트리 포인트는 실행파일의 헤..
[웹해킹] Lab: Stored DOM XSS Writeup
·
웹해킹
DOM XSS클라이언트, 즉 브라우저에서 자바스크립트 부분에서 잘못처리해서 악성스크립트가 실행되는 경우다.공격자가 입력한 데이터가 직접 DOM을 조작해서 스크립트가 실행되고, 자바스크립트 코드에서 필터링을 철저하지 않게 반영해서 발생하는 문제임   블로그 사이트인데 각 포스트 아래에는 댓글을 작성할 수 있는 인풋 섹션이 있다이름, 메일 등의 섹션은 중요하지 않고 comment 내용 부분을 사용해서 xss 공격을 하면 되겠다  testt라고 치고 개발자도구에서 살펴보니까 내부에 입력값이 저장된다 이걸 어떻게 빠져나오면 될 것 같아서 DOM XSS payload 중에서 하나를 시도해 봤다 > 이거 하나만 넣어서 빠져나오려고 했는데 효과가 없음자바스크립트 소스코드를 살펴보자  function escapeHT..
[웹해킹] XSS 공격의 원리와 종류 | Reflected XSS 실습
·
웹해킹
XSS란?XSS (Cross-Site Scripting)는 웹 애플리케이션의 취약점을 악용하여 악성 스크립트를 다른 사용자의 브라우저에서 반환해 실행하게 만드는 공격 기법이다. XSS는 웹 페이지에 신뢰할 수 없는 입력을 포함시키고 이를 제대로 검증하거나 필터링하지 못하는 경우 발생한다. 공격의 기능은 사용자의 쿠키, 세션 토큰, 또는 기타 민감한 정보를 탈취하거나, 페이지의 콘텐츠를 변조하는 것이다. XSS 공격의 종류에는 3가지가 있는데 Stored XSSReflected XSSDOM-based XSS각각에 대해 더 알아보자 Stored XSS공격자가 악성 스크립트를 서버에 저장하고 다른 유저가 해당 페이지에 접속하면 스크립트가 되는 공격이다. 신뢰할 수 없는 악의적 데이터를 받아 이후의 HTTP 응..
가상주소공간의 스택메모리 - 호출된 함수의 복귀주소와 분석
·
리버싱
복귀주소 개념을 이해하기 위한 선행 개념스택: LIFO 구조의 자료구조로 함수 호출 시 로컬 변수와 복귀 주소를 저장함스택 프레임: 함수 호출마다 생성되는 메모리 블록, 반환되면 프레임이 제거됨프로그램 카운터: 다음에 실행될 명령어의 주소를 저장하는 레지스터스택 포인터: 스택의 가장 마지막, 위쪽 데이터 위치를 나타내는 포인터프레임 포인터: 스택 프레임의 시작 위치를 가리키는 포인터 호출하는 호출자 Caller 함수는 호출대상 Callee 함수를 호출할 때 되돌아올 주소값을 스택에 백업함1. 복귀주소 Return Address란?함수가 끝난 후 다시 돌아갈 주소를 복귀주소라고 한다. 함수명() 명령이 호출되고 실행될 때 복귀주소가 스택에 저장되고 함수 실행이 끝나면 원래 프로그램으로 돌아가야 함. 인텔 ..
[웹해킹] Lab: Basic SSRF against another back-end system Writeup
·
Writeup
저번 ssrf 포스팅: https://eggsmong.tistory.com/85 웹해킹 :: SSRF 취약점/ Lab: Basic SSRF against the local serverSSRF이란? 공격자가 서버사이드에서 의도하지 않은 지점으로 요청을 하도록 만드는 행위이다.일반적으로 서버가 조직의 인프라 내에 내부망 서비스에 연결을 하도록 하거나, 외부 시스템에 연eggsmong.tistory.com   이전의 ssrf 랩과 마찬가지로 재고 확인 기능이 있고,백엔드에 쿼리 하는 파켓을 이용해서 ssrf 공격을 하면 된다이번 랩에서는 ip 주소와 포트가 추가되었음 일단 burpsuite으로 재고확인하는 파켓부터 인터셉트해보자   재고확인하는 파켓의 경우 HTTP POST 메소드를 사용하고 있다이 파켓을 수..
웹해킹 :: SSRF 취약점/ Lab: Basic SSRF against the local server
·
웹해킹
SSRF이란? 공격자가 서버사이드에서 의도하지 않은 지점으로 요청을 하도록 만드는 행위이다.일반적으로 서버가 조직의 인프라 내에 내부망 서비스에 연결을 하도록 하거나, 외부 시스템에 연결해서 중요한 데이터 유출등이 일어날 수 있음.SSRF 공격이 성공한다면 조직의 허가되지 않은 행위나 데이터 액세스가 발생할 수 있음. 애플리케이션이 연결되어 있는 백엔드 시스템 같은 취약한 시스템을 이용한다.   SSRF 공격의 예시서버로 ssrf 공격을 할떄 공격자는 주로 HTTP 요청을 호스팅 서버에 보내는데 여기서 URL을 사용할 수 있다.예를 들어서 유저가 특정 상품의 재고를 확인해야 할 때, 앱에서는 백엔드의 API 쿼리를 해야 한다. 백엔드에서 받은 쿼리 결과를 브라우저에 전달해서 유저에게 보일 텐데 이 API..

티스토리툴바