김승현

XML EXTERNAL ENTITY

kshind — Wed, 7 Aug 2024 17:46:56 +0900

XML이란?

Extensible Markup Language (XML)은 데이터를 저장하고 전송하기 위해 설계된 마크업 언어

개발자가 임의의 데이터 구조를 텍스트 형식으로 정의하고 표현할 수 있도록 하며, HTML과 유사한 트리 구조

<saml:AttributeStatement>
<saml:Attribute Name="username">
<saml:AttributeValue>
vickieli
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

XML은 사용자 정의 태그 이름을 사용하기 때문에 XML 문서를 자유롭게 구조화 가능

-> XML 형식은 웹 애플리케이션의 인증, 파일 전송, 이미지 업로드, HTTP 데이터를

클라이언트와 서버 간에 전송하는 다양한 기능에서 널리 사용

또한 XML은 문서 형식 정의(DTD)를 포함할 수 있음

이러한 DTD는 외부 소스에서 로드하거나 DOCTYPE 태그 내에 문서 자체에 선언 가능함

예시

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE example [
 <!ENTITY file "Hello!">
]>
<example>&file;</example>

XML 엔터티는 프로그래밍 언어의 변수처럼 작동함

이 엔터티를 &file; 구문을 사용하여 참조할 때마다 XML 문서는 그 자리에 file의 값을 로드.

위 경우 XML 문서 내의 &file; 참조는 모두 "Hello!"로 대체됨

XML 문서는 URL을 사용하여 로컬 또는 원격 콘텐츠에 접근하는 외부 엔터티도 사용할 수 있음

엔터티의 값이 SYSTEM 키워드로 시작하면, 해당 엔터티는 외부 엔터티이며, 그 값은 URL에서 로드됨

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE example [
 <!ENTITY file SYSTEM "file:///example.txt">
]>
<example>&file;</example>

예방법

XXE 공격을 예방하는 방법은 XML 파서의 기능을 제한하는 것에 달려있음.

XML 파서에서 DTD 처리를 비활성화해야 함
- DTD 처리가 XXE 공격의 필수 조건이기 때문

만약 DTD를 완전히 비활성화하는 것이 불가능하다면?

외부 엔티티, 매개변수 엔티티, XML 문서에 포함된 인라인 DTD를 비활성화해야 함

+XXE 기반의 DoS를 방지하기 위해, XML 파서의 파싱 시간과 파싱 깊이 제한

+엔티티의 확장을 아예 비활성화

+입력 값 검증

+XML대신 JSON 사용

XXE 헌팅법

XML 데이터 입력 지점을 찾기
- base64로 인코딩된 XML 코드 블록은 'PD94bWw'
- XML은 XML, HTML, DOCX, PPTX, XLSX, GPX, PDF, SVG, RSS 피드와 같은 문서 및 이미지 형식에 작성 가능
  또한, GIF, PNG, JPEG 파일과 같은 이미지 내에 포함된 메타데이터도 모두 XML 기반
- 다른 형식의 입력을 받는 엔드포인트에서 요청의 Content-Type 헤더를 아래의
  - Content-Type: text/xml
  - Content-Type: application/xml
  헤더들로 바꿔본 다음 요청 본문에 XML 데이터를 포함시켜 입력 시도 해보기
전형적인 XXE 테스트
블라인드 XXE 테스트
다른 파일 형식에 XXE 페이로드 삽입

공격 확대

SSRF 공격을 위한 기반 마련
파일 읽기

Bugbounty Boot Camp Chap.10 INSECURE DIRECT OBJECT REFERENCES

kshind — Sun, 28 Jul 2024 01:09:09 +0900

IDOR(Insecure Direct Object References)란?

IDOR는 사용자가 객체 ID, 객체 번호 또는 파일 이름을 직접 참조하여 자신에게 속하지 않은 리소스에 접근 가능한 것과 같이 본질적으로 누락된 접근 제어를 의미함

가상 시나리오

example.com은 채팅 서비스이고 사용자의 아이디 및 비밀번호는 사이트가 저장하고 있음

https://example.com/messages?user_id=1234는 1234라는 아이디를 가진 사용자의 채팅기록을 볼 수 있는 URL임

이때 1234를 1233으로 고칠 수 있는데 이때 따로 접근 제어가 없다면 이는 IDOR 취약점이 존재하는 것임

IDOR 취약점의 영향

접근하면 안 되는 정보 읽기
임의의 정보 수정 및 삭제
데이터베이스 객체 외 리소스 또한 영향을 받을 수 있음

IDOR 취약점 예방법

이 취약점은 애플리케이션이 두 가지 역할을 제대로 하지 못할 때 발생한다고 할 수 있음

사용자 신원에 기반한 접근 제어
사용자의 자원을 참조하기 위해 고유하고 예측 불가능한 키 또는 해시 사용

IDOR 헌팅법

두 개의 계정 생성
특징 발견 및 분석
request 확인
특징값(ID)들 변경

AWS Security Basics - Secure Directory Services

kshind — Sat, 27 Jul 2024 03:56:29 +0900

디렉터리 서비스란?

관리자가 자신의 환경을 논리적, 계층적으로 구성, 관리, 제어 및 액세스할 수 있도록 하는 시스템 소프트웨어이며,

객체에 대한 정보를 객체 유형 및 속성별로 쿼리하고 관리할 수 있는 중앙 집중식 보안 데이터베이스 역할을 함

온프레미스 환경에 대한 리소스 관리 및 거버넌스를 중앙 집중화하는 데 탁월함

→ 다른 시스템/프로그램 작동을 위한 밑바탕이 되곤 함

내부 사용자, 그룹 및 정책을 통해 디렉터리의 개체에 대한 액세스 및 권한을 관리함

→서버, 스토리지 및 네트워크 리소스에 대한 보안 액세스를 제공함

도메인의 ID를 인증 및 승인하고 이를 보호하는 중앙 위치를 제공함

→관리를 단순화하고 추가 보안 계층 및 문제를 제공함

AWS 디렉터리 서비스는 특정 상황 및 환경에 따라 여러 디렉터리 서비스를 제공함

Microsoft Active Directory
- Windows 환경 내 네트워크 리소스의 인증/권한 부여 및 관리를 중앙 집중화하는 디렉터리 서비스
Simple AD
- 클라우드 내 디렉토리 설정 및 관리를 단순화하는 microsft Active Directory 호환 디렉토리 서비스
Use Pools
- 애플리케이션에 대한 사용자 가입, 로그인 및 액세스 제어 기능을 제공하는 완전 관리형 사용자 디렉터리 서비스
Cloud Directory
- 클라우드에서 계층적 데이터를 구성하고 관리하기 위한 사용자 정의 디렉터리 스키마를 생성할 수 있는
  유연하고 확장 가능한 클라우드 네이티브 디렉터리 서비스

Microsoft Active Directory와 Simple AD는 주로 기계를 다루기 위해,

Use Pools와 Cloud Directory는 웹과 애플리케이션을 다루기 위해 주로 사용됨

Microsoft AD Service

관리자가 이를 생성하기 위해선 두 가지 방법이 있음

지원되는 Windows 서버의 EC2 인스턴스를 생성하고 AD 서비스를 수동으로 생성
AWS 디렉터리 서비스를 사용하여 Microsoft AD 서비스를 자동으로 생성

Using AWS Directory Service

AWS Directory Service를 사용할 때, 아래의 방법에 따라 관리가 단순화될 수 있음

가용성을 높이기 위해 다른 두 개의 가용성 집합에 인스턴스들 생성
소프트웨어 설치 및 기본 구성 수행
소프트웨어 및 OS 업데이트 및 유지 보수
Directory Service 서버를 사용할 수 없을 때 관리자가 알 수 있도록 경고 설정
스냅샷 생성 및 모든 서버 저장 및 복원

Microsoft AD 디렉터리 서비스의 경우,

AWS Directory Service는 포털에서 고급 설정에 액세스할 수 있도록 하고 주요 입력을 요청함으로써 단순화함

→ 관리자가 Microsoft AD 툴 및 아키텍처에 대한 이해의 필요성을 없애줌

Creating AWS Managed Microsoft AD Directory

VPC 구성(생성)
- 서로 다른 가용성 집합에 두 개의 서브넷들 생성
DS 생성
- VPC를 업데이트하여 EC2 인스턴스용 DNS 서버를 설정하여 등록 프로세스를 지원할 수 있음
- domain name, Use Previous subnets....
EC2 인스턴스 생성
- 관리자는 DS 생성에 사용된 것과 동일한 서브넷 또는 DS 서브넷에 대한 네트워크 연결이 있는 다른 VPC/서브넷에 생성 가능함
- use Domain name / DS IPs ....
EC2 생성
1. 컴퓨터 등 기계의 도메인 조인

Simplifying Domain Joining

시스템이 디렉토리 서비스와 네트워크 연결을 갖고 있다고 가정한다면,

시스템을 도메인에 가입시키는 것은 간단한 작업이 될 수 있음

-> 관리자가 도메인에 머신을 등록하면 됨

AWS는 아래의 프로세스들을 자동화하여 수행함

최소한의 권한으로 디렉터리에 서비스 계정을 생성 ( 컴퓨터를 도메인에 가입시키는 것만 허용 )
서비스 계정 사용자 이름과 비밀번호를 포함하는 AWS Serect Manager에서 secret 생성
AWS Secret Manager 서비스에 AWS Secret에 대한 읽기 액세스 권한을 부여하는 IAM 정책 생성
IAM 정책을 포함하는 EC2 IAM 역할 생성

Securing Directory Services

Microsoft AD 및 Simple AD 디렉터리 서비스는 컴퓨터 네트워크 자원을 관리하고 중앙 집중화하는 데 핵심임

또한 관리는 디렉터리의 소프트웨어 수준에서 여러 레벨에 따라 수행됨

Network Access
- 도메인에 가입된 서비스의 모든 컴퓨터는 서비스에 연결되어 있어야 하므로 서비스에 접근 가능한 포트를
  제한함
- 원격 콘솔 포트와 같이 서비스에 열려 있는 관리 포트를 허용하지 않고 보안 연결을 적용하여 보호 수행
Privileged Users
- DS에 IP 설정시 서비스에 액세스하고 구성할 수 있는 관리자가 생성되는데, 해당 관리자를 최소한의 권한으로
  설정하여 비상시에만 사용하고 강력한 암호를 설정하여 보호 수행
Policies
- 관리자는 도메인의 사용자 및 컴퓨터에 적용되는 보안 기능을 자동화하여 보호 수행
Trusted Networks
- 다른 도메인 및 페더레이션 서비스와 신뢰 관계를 설정하여 보호 수행

Pros and Cons

장점

선택할 수 있는 다양한 디렉터리 서비스 유형을 제공하기 때문에 환경 내/외부의 시스템이나
서비스를 관리하는 데 사용될 수 있음
관리자는 중앙에서 여러 리소스를 관리하여 시간을 절약하고 해당 리소스에 대한 액세스를 보호할 수 있음
적은 지식 요구로 관리자가 쉽게 세팅할 수 있고 리소스 관리를 중앙 집중화할 수 있으며 디렉터리 환경을
동일하게 설정하기 쉬움

단점

여러 계층의 사용자 권한 액세스 정책 관리 및 모니터링과 같은 다양한 유형의 오버헤드 및 보안 위험 존재
-> 다양한 서비스 유형이 있는데 그렇게 되면 각 유형에 대한 사용자 역할, 정책 관리 및 모니터링 등
각 유형에 대한 유지 보수에 대한 어려움이 증가하며 잘못된 권한 설정 등 보안 위험으로까지 이어질 수 있음
디렉터리와 AWS 간에 신뢰와 액세스가 적용되는 경우 보안 문제가 AWS 리소스로 확장 가능
-> Directory Service와 AWS를 통합하게 되면 간편히 사용할 수 있으나 조직의 DS가 해킹당하면
AWS 리소스에도 접근 가능한 문제가 발생할 수 있음

Bugbounty Boot Camp Chap.7 CLICKJACKING

kshind — Fri, 26 Jul 2024 04:29:01 +0900

클릭재킹이란?

HTML의 <iframe> 태그를 활용하는 공격 기법임

about:blank를 사용한 예시 이미지

iframe태그의 사용 예시

온라인 광고
인터넷 자원 임베디드
- 동영상, 오디오 etc...

위처럼 유용하게 사용할 수 있으나 보안 취약점( ClickJacking)이 존재할 수 있음

-> 이를 방지하기 위해 X-Frame-Options 헤더를 설정하여 특정 사이트에서의 iframe을 제한할 수 있음

클릭재킹 가상 시나리오

example.com은 은행 웹사이트로, 사용자가 돈을 송금할 수 있는 페이지를 가지고 있음
https://www.example.com/transfer_money

https://www.example.com/transfer_money?recipient=RECIPIENT_ACCOUNT&amount=AMOUNT_TO_TRANSFER

파라미터 종류

recipient : 수취인 계좌 ID
amount : 송금 금액

위와 같은 경우 공격자가 아래의 스크립트를 글에 숨겨놓으면 버튼을 누를시 Congratulations!라는 경고창이 뜨며

ATTACKER_ACCOUNT에 1000단위의 돈을 입금하게 됨

<html>
  <body>
    <h1>Click this button to win a prize!</h1>
    <iframe src="https://www.example.com/transfer_money?recipient=ATTACKER_ACCOUNT&amount=1000" style="position:absolute; width:100%; height:100%; top:0; left:0; opacity:0; z-index:999;"></iframe>
    <button onclick="alert('Congratulations!')">Click me!</button>
  </body>
</html>

클릭재킹이 발생하기 위한 두 가지 조건

취약한 페이지가 사용자 대신 상태를 변경할 수 있어야 함
- 이전의 예시처럼 송금을 하는 기능, 비밀번호를 바꾸는 등의 기능이 있어야 함
취약한 페이지가 다른 사이트의 iframe으로 프레임이 될 수 있어야 함
- 다른 악성 페이지가 우리가 공격하고자 하는 사이트에 삽입될 수 있어야 함

예방법

X-Frame-Options

페이지가 iframe에서 렌더링될 수 있는지 여부를 나타내는 헤더

브라우저는 제공된 헤더의 지침을 따르며, 명시되어 있지 않으면 기본적으로 프레임이 가능하게 만듦

옵션

DENY
SAMEORIGIN

Content-Security-Policy

여러 코드 인젝션을 방지하기 위해 도입된 컴퓨터 보안 표준

이 헤더의 frame-ancestors를 통해 프레임 가능한 사이트를 정할 수 있음

none
self

+SameSite 쿠키를 사용하여 클릭재킹을 방지할 수 있음

Set-Cookie라는 헤더를 통해 사용자의 브라우저에 쿠키를 설정하도록 할 수 있음

이때 SameSite=Strict 혹은 Lax로 설정함으로서 서드파티 iframe 내에서 발생한 요청을 처리하지 않게 할 수 있음

클릭재킹 헌팅법

상태 변화 행위 페이지가 있는지 확인
응답 헤더 확인
취약점 확인

클릭재킹 방어 기법 우회

프레임 버스팅 약점 찾기
더블 프레임 기법
엣지 케이스 확

Bugbounty Boot Camp Chap.7 OPEN REDIRECTS

kshind — Thu, 25 Jul 2024 18:23:39 +0900

Open Redirect는 사용자가 기존의 사이트가 아닌 외부의 url에 접근하게 속이는 공격 유형임

https://www.naver.com/login?redirect=https://attacker.com

위와 같이 네이버의 주소로 시작한다면 사용자들은 안심하고 클릭할 가능성 ↑

방지법

리다이렉션을 할 때 악의적인 주소로 접근하는지 확인하도록 해야 함
미리 작성된 피해야 할 목록을 확인하여 접근을 방지
제공된 URL이 기존의 호스트와 동일한지 확인

Open Redirects 찾는 법

Step 1: Look for Redirect Parameters

- 리다이렉션에 사용된 파라미터들 확인하기

Step 2: Use Google Dorks to Find Additional Redirect Parameters

- 구글 검색을 통해 추가적인 파라미터 검색하기 ex) inurl:%3Dhttp site:example.com

Step 3: Test for Parameter-Based Open Redirects

- 파라미터를 기반으로 테스트하기

Step 4: Test for Referer-Based Open Redirects

- referer를 기반으로 테스트하기

우회법

혼합 URL 사용
- URL 구성 요소를 섞어서 우회
URL 인코딩 사용
- URL 내의 특정 문자를 인코딩하여 우회
잘못된 URL 구조 사용
- 잘못된 구조의 URL을 사용하여 우회
변칙적인 포트 사용:
- 비표준 포트를 사용하여 우회

우회법에 대한 방지법

엄격한 URL 검증, 화이트리스트, 상대경로 사용

+ 브라우저 자동 수정 기능을 활용한 우회법

https:attacker.com
https;attacker.com
https:\/\/attacker.com
https:/\/\attacker.com

위의 방법 모두 브라우저가 https://attacker.com으로 인식하는 주소들

https://attacker.com\@example.com

아래 설명에 대한 예시 주소

대부분의 브라우저는 \를 /로 자동 수정한다.

이런 경우,

사용자를 attacker.com으로 리다이렉트하고, @example.com을 URL의 경로 부분으로 간주하여 아래와 같은 주소로 만듦

https://attacker.com/@example.com

그러나 그렇지 않은 경우,

example.com을 호스트 이름으로 해석하고, attacker.com\를 URL의 사용자 이름 부분으로 간주하게 됨

+ 데이터 URL 사용

data:text/plain,hello!

data 스키마를 사용하면 위를 통해 hello!라는 평문을 보낼 수 있다.

data:text/html;base64,PHNjcmlwdD5sb2NhdGlvbj0iaHR0cHM6Ly9leGFtcGxlLmNvbSI8L3NjcmlwdD4=

base64를 활용하면 인코딩 또한 적용한 상태로 보낼 수 있게 된다

https://example.com/login?redir=data:text/html;base64,PHNjcmlwdD5sb2NhdGlvbj0iaHR0cHM6Ly9leGFtcGxlLmNvbSI8L3NjcmlwdD4=

최종적으로 redirect되는 주소에 data 스키마를 통해 원하는 곳으로 리다이렉션 되도록 만들 수 있음

이외 추가적인 방법들

잘못된 논리 검증 부분 우회
- https://example.com/login?redir=http://example.com.attacker.com
url 디코딩 이용하기
- 더블인코딩
  - https://example.com%252f@attacker.com
- 비ASCII 문자
  - https://attacker.com?.example.com
  - https://attacker.com/.example.com

Bugbounty Boot Camp Chap.6 CROSS - SITESCRIPTING

kshind — Wed, 24 Jul 2024 23:30:50 +0900

Blind XSS (블라인드 XSS)

Blind XSS는 서버가 악성 스크립트를 저장하고 이 내용을 애플리케이션의 다른 부분이나 아예 다른 애플리케이션에서 실행되는 방식임

ex) 테슬라 차량 이름에 xss를 넣었을 때 회사 관리 페이지에서 발생한 xss 공격

Self XSS (셀프 XSS)

피해자가 스스로 악성 payload를 입력하도록 유도해야 하는 공격임

ex) "이 코드를 해당 페이지에 붙여넣기 해서 실행하세요" <- 사회공학적 기법과 유사하다고 볼 수 있음 그러나 xss의 한 종류

Bugbounty Boot Camp Chap.5 WEB HACKING RECONNAISSANCE

kshind — Wed, 24 Jul 2024 22:40:02 +0900

버그를 찾아야 할 때 세부적인 디테일들을 조사해야 할 때가 있음. 이럴 때 사용하는 것이 advanced 구글 검색임

site

특정 사이트을 대상으로만 검색할 수 있음

ex)

print() site:"python.org"

- print함수에 대한 내용을 python.org 웹사이트에서만 가져옴

inurl

url에 검색 내용이 포함된 페이지만 검색할 수 있음

inurl: "bbs/test.php"

- bbs/test.php라는 url을 가진 곳에서만 결과를 가져옴

intitle

제목에 검색 문자열이 포함된 내용만 가져옴

intitle:"index of"

index of라는 제목을 가진 것들을 가져옴

link

지정된 링크를 포함하는 내용을 가져옴

link:"www.naver.com"

네이버로 이동하는 링크를 가지고 있는 페이지들을 볼 수 있음

filetype

특정 파일 타입을 가진 것을 보고 다운할 수 있음

filetype:xls

서브도메인 및 서비스 열거

Sublist3r, SubBrute, Amass, Gobuster와 같은 다양한 자동화 도구를 통해 서브도메인들을 죽 나열할 수 있으며 유명한 wordlist들을 활용할 수도 있다. 이후 포트 스캔을 통해 어떤 포트에서 어떤 서비스가 작동 중인지 확인할 수 있다.

능동 스캐닝

서버와 직접적인 상호작용을 통해 스캐닝 하는 방법 - nmap

수동 스캐닝

제 3자의 리소스를 사용하여 서버와 직접 상호작용을 하지 않는 방법 - shodan

디렉토리 무차별 대입

서비스 열거가 끝났으면 해당 사이트에 gobuster와 같은 도구를 통해 디렉토리를 브루트 포스해볼 수 있음

이것 말고도 ZAP의 spider를 사용하거나 버프스위트의 기능을 이용해서 디렉토리들을 알아낼 수 있음

Bugbounty Boot Camp Chap.4 ENVIRONMENTAL SET UP AND TRAFFIC INTERCEPTION

kshind — Mon, 22 Jul 2024 18:32:06 +0900

A Browser and a Proxy

프록시는 클라이언트와 서버 사이에 위치한 소프트웨어임

브라우저랑 웹 서버 사이에 위치하여 상호간 요청 및 응답을 가로채는 역할을 함

책에선 위의 패킷을 예시로 들었는데 이런 경우 burp suite 혹은 ZAP과 같은 웹 프록시 프로그램을 사용하여

쿠키의 user_id를 수정하는 시도를 해볼 수 있음

ex) Cookie : user_id=admin

다양한 기능들

intruder - 요청 자동화 기능
- 3장에서 짧게 나왔던 브루트포스(무차별 대입)용으로도 사용 가능
repeater - 요청을 수정하고 그에 따른 응답을 반복적으로 볼 수 있는 기능
- 동일한 엔드포인트에 여러 시도를 함으로써 취약점이 존재하는지 확인할 때 사용
decoder - 요청 및 응답을 해석하는 기능
- 데이터 인코딩 및 디코딩을 통해 간편하게 요구 조건을 맞출 수 있음
comparer - 요청 및 응답을 비교해서 차이점을 나타내는 기능

intruder

repeater

decoder

comparer

간단하게 프록시 설정하기

open browser 클릭 후 interceop is off를 클릭해서 가로챌 수 있음

response 보기 설정

proxy - proxy settings 클릭

조금 내려서 Response interception rules에 체크하기

아래는 한국어 깨짐 해결방법

settings 클릭

user interface에서 inspector and message editor 클릭 -> HTTP message display에서 change font 클릭 후 한글이 적혀있는 거로 변경 바탕체 14p 추천...

Bugbounty Boot Camp Chap.3 HOW THE INTERNET WORK

kshind — Sun, 21 Jul 2024 18:13:41 +0900

The Client-Server Model

인터넷은 클라이언트와 서버라는 두 종류의 디바이스로 이루어져 있다

웹페이지는 단순한 리소스들, 파일들의 집합일 뿐이다.

-> 예를 들어 간단한 텍스트 파일을 업로드한다면, 이 텍스트 파일은 HTML로 작성되어 있을 것이고

이를 보기 좋게 만들기 위해 CSS가 포함됐을 것이고 이들이 동작하기 위해 JS가 포함되어 있을 것이다.

서버는 클라이언트들에게 웹페이지만 보여주는 게 아니다.

-> 만약 API를 사용한다면 다른 시스템의 데이터들을 요청할 수 있다. 이는 통제된 상황 속 다른 시스템 간 상호작용을

할 수 있게 하는 것을 의미함

The Domain Name System

브라우저들과 웹 클라이언트들은 어디에 리소스들이 있는지 찾을 수 있을까?

-> 장치마다 인터넷 프로토콜이라는 IP가 있는데 이는 서로의 위치를 알 수 있도록 도움을 줌

DNS란, Domain Name System으로 www.naver.com과 같은 도메인을 장치가 이해할 수 있는 IP로 변환하는 것이며

DNS 서버는 전화번호부와 같은 역할을 함

Internet Ports

서비스를 이용하기 위해서 IP에 연결하여 사용할 수 있다고 하자.

만약 한 장치에서 여러 개의 서비스를 제공하고 싶다면 어떻게 해야 할까? => port

포트는 장치의 논리적 구분이라고 할 수 있으며 특정 네트워크 서비스를 식별함

ex) 21번 port는 FTP, 25번 포트는 email service... etc

HTTP Requests and Responses

연결이 수립되면 브라우저와 서버는 HTTP로 통신을 함

HTTP는 인터넷 메시지를 구성하고 하고 해석하는 방법, 그리고 어떻게 둘이 정보를 교환할지에 대한 것을 정의한

일련의 규칙 집합

Internet Security Controls

웹사이트에선 내용이 손상되는 것을 방지하기 위해 특별한 방법을 적용하곤 함 -> 인코딩

Base64는 데이터를 인코딩에 흔한 방법 중 하나이다.

A~Z, a~z, 0~9의 형태를 갖추고 있으며 끝에선 패딩을 위해 ==이 포함되어 있다.

bas64 인코딩 예시

또 다른 방법은 16진수 인코딩이다. 0~F까지의 문자를 사용해서 문자열을 인코딩하는방식

URL encoding

문자나 특수문자를 웹 서버와 브라우저에서 보편적으로 허용되는 형식으로 바꾸는 방식

Session Management and HTTP Cookies

웹사이트는 로그인한 사용자와의 세션을 유지하고 사용자가 로그인할 때 새로운 세션을 수립함

이때 서버가 사용자를 식별하기 위해 길고 예측할 수 없을 만한 세션 아이디 생성하고 이는 로그아웃 할 때 사라진다.

이러한 세션ID를 쿠키라 함

JSON Web Tokens

JWT는 가장 흔히 사용되는 인증 토근 방식 중 하나

JWT의 구성

header
1. 서명을 생성하는 데 사용된 알고리즘이 정의되어 있는 영역
payload
1. 사용자 신원에 대한 정보가 포함된 영역
signature
1. 해당 내용이 변조되어 있는지에 대한 검증을 위한 영역

이러한 JWT를 크랙하는 방법이 있음

그 중 하나는 헤더에서 인코딩하는 데 사용할 알고리즘을 정의하는 alg필드를 변조하는 방법

alg에 들어갈 수 있는 알고리즘을 제한하지 않으면 alg를 NONE으로 정의할시 시그니처를 비워놓아도 토큰을 임의로 수정하여 공격자가 임의로 내용을 수정할 수 있음

KISA Academy - 리버스 코드 엔지니어링 중급 (24~26강)

kshind — Sat, 13 Jul 2024 17:27:50 +0900

24강 [이론] 컴파일된 코드의 패턴 식별 - 순환문 패턴 식별 (For, While)

컴파일된 순환문은 일반적으로 세 개의 영역으로 나눌 수 있음

순환문 탈출조건 점검 영역
순환코드 바디 영역
조건 값 변화 영역

예제 코드 - while

int a = result = 0;

while(a<10) {  // 순환문 탈출조건 점검
	result += a;  //순환코드 바디 영역
    printf("result = %d\n", while loof result);  // 순환코드 바디 영역
    ++a;  //조건 값 변화
}

예제코드 - for

int a = result = 0;

for(; a < 10; a++) {  // 순환조건 탈출 영역 + 순환 조건 변화
	result += a;  // 순환구문 바디 영역
    printf("result = %d\n", for loop result);  // 순환구문 바디 영역
}

gcc의 경우 어셈블리어로 했을 때 for문과 while문의 차이가 나타나지 않음

visual studio의 경우 while일 때 조건 값 변화가 젤 아래에 있지만 for일 때는 조건값이 젤 위로 올라옴

visual studio 컴파일의 경우 gcc의 형태와 비슷한 형태로 컴파일 됨

이런 코드들을 Ghidra같은 디컴파일러 같은 도구를 쓰면 for.c while.c를 컴파일을 각각 해서 Ghidra를 사용해서 디컴파일 해보면 동일한 코드로 보여줌 -> for인지 while인지 중요하지 않기 때문

gcc의 경우
- 순환코드 바디 -> 조건 값 변화 -> 순환문 탈출 조건 점검
visual studio의 경우
- while문
  - 순환문 탈출 조건 점검 -> 순환코드 바디 -> 조건 값 변화
- for문
  - 조건 값 변화 -> 순환문 탈출 조건 점검 -> 순환코드 바디

25강 [실습] 컴파일된 코드의 패턴 식별 - 순환문 패턴 식별 실습 (For, While)

사용 툴

IDA

Ghidra - 디컴파일러

for.c while.c 모두 순환문을 어떤 걸 썼냐만 다르지 내용은 완벽히 동일함

IDA를 통해 확인을 해봐도 for문과 while문 컴파일 결과의 차이가 그렇게 크지 않은 것을 알 수 있음

Ghidra의 경우 MZ가 나타나는 헤더부분들도 보여줌

26강 [실습] 컴파일된 코드의 패턴 식별 -악성코드의 순환문 사용 예제 분석 실습

IDA 사용

악성코드 수행 행위 분석 실습

heap 영역을 할당함 - 무작위로 생성할 파일을 저장할 영역 할당 - eax에 할당한 영역의 포인터를 저장

그 아래에 ebp+Destination을 통해 지역변수 공간에 저장함

memset은 메모리를 세팅하는 것인데 push 0을 통해 0으로 초기화함을 알 수 있음

그 아래 time, srand가 있는데 이는 무작위를 가져오기 위해 실행시마다 다른 시드값을 갖기 위한 코드들임

분기한 후 바로 탈출 조건을 점검함 arg_0은 파라미터 값을 의미

이 부분 더블클릭시 해당 함수를 호출한 caller함수 접근 가능

함수 호출 전 8을 push하는 것을 보아 8로 생각할 수 있는데 callee에서 eax에 1을 add하는 연산이 있었으니

9만큼 malloc을 통해 영역을 할당함 결국 9만큼 반복하는 걸 알 수 있음

요약

malloc을 통해 heap 영역 할당함 일단

16+10= 26인데 이건 알파벳 개수고 이걸 ecx 레지스터에 넣음. 이후 edx엔 61h를 넣는데 이건 a(0x61)

call했던 rand함수의 값은 eax에 보관 (랜덤한 값 120246123처럼 엄청 큰 값일 수도 있는 랜덤 값)

근데 이 값을 idiv ecx를 통해 모듈러 연산 (%) 를 시킴 eax % 26 = 0~25 값이 나옴

이 연산 값을 EDX에 저장하는데 여기에 + 061을 더함 => 61값은 base값이고 기존 값은 offset (a ~ z)

이 연산한 값을 strcat을 통해 이어붙임

Ghidra에선 오른쪽에 가상으로 코드를 짜서 보여줌