'IT'에 해당되는 글 82건

Link : http://www.exploit-db.com/exploits/15498/

FireFox버전(3.6.12)에 취약한 0-Day Remote Denial Of Service 취약점입니다.


Source Code

제 컴퓨터는 파일정리를 참 깔끔하게 해놓았습니다. 파티션도 잘 나누고 폴더도 카테고리를 잘 나눠서 찾기 쉽게해놨죠.

그러나.. 파일이 쌓이고 쌓이고 상위폴더 아래에 하위폴더가 수십개씩 불어나면서 아무리 정리를 잘해도 더블클릭을 도대체 몇번을 해야 목표지점의 파일에 접근할 수 있는건지… 점점 귀차니즘이 생기더군요.

그래서 웹을 뒤적뒤적하다가 발견한 툴입니다.

심플하면서 사용하기 편하고, 좋더군요.

먼저 실행을 시키면 아래와 같이 빈 화면이 나옵니다. 컴퓨터사양, PC에 있는 파일 개수에 따라 다르겠지만.. 아주 빠른속도록 PC의 모든 파일을 스캔합니다.

스캔이 끝나면 Everything.db 라는 파일을 생성시킵니다.   

스캔이 끝나면 바로 모든 파일을 화면에 뿌려줍니다.
그리고 찾고 싶은 파일이름을 맨 위의 검색창에다가 치시면 바로 검색이 됩니다.
(한번 직접 사용해보시면 검색속도에 깜짝 놀라실겁니다ㅋ)

그리고 이 프로그램의 특징중 하나는 정규식 검색이 됩니다.

Ex 1) 5글자인 파일을 찾고 싶다. 검색창에 어떻게 치면 될까?

=> ????? (?는 한글자를 의미합니다. 물음표만 5개 치면 되요)

Ex 2) 확장자가 exe인 파일을 찾고 싶다.

=> *.exe (*는 글자길이에 제한이 없는 모든 글자를 의미합니다, .exe로 끝나는 모든파일 검색)

Ex 3) 확장자가 avi, txt, dll 3가지 확장자를 한번에 다 찾고 싶다

=> *.avi | *.txt | *.doc

이런식으로 검색활용 할 수 있습니다.
출력한 목록을 정리할 때는 아래와 같은 항목으로 정리가 가능합니다.

단, 검색된 항목이 너무 많았을 때 정렬을 시키면 시간이 오래걸릴 수 있습니다. 
그리고 프로그램 기능들이 많은데, 너무 많아서 다 적기는 힘들고(귀차니즘 시작) 
제가 자주쓰는 괜찮은 기능 하나만 소개하겠습니다.

장점중 하나는 HTTP서버를 열어서 다른 PC에서 웹으로 접속하여 파일검색도 가능합니다.

메뉴중에 Tools에 보면 Start HTTP Server 메뉴가 있습니다.이 메뉴를 체크하시면 다른 PC에서 웹으로 접속이 가능합니다.
물론 Option 메뉴에 들어가서 HTTP탭에 보시면 암호와 패스워드 설정을 할 수 있습니다.
(사용환경에 따라 변수가 많으므로 IP관련, Port관련 부분 설명은 안하겠습니다. 궁금하면 댓글로…)

   
Option부분에 들어가시면 설정할 수 있는 부분이 많습니다. 직접 한번씩 해보세요.

그리고 프로그램 X눌러서 닫으면 기본적으로 Tray로 들어갑니다.

유용하게 쓰세요 : )

다운로드 Link
http://www.voidtools.com/download.php

Tor라는 프로그램을 이용하면 자신의 IP를 변경하여 웹이나 메신저등을 이용할 수 있습니다.

이 프로그램은 전세계에 있는 Tor중계서버를 이용하여 트래픽을 분할하도록 하는 방식으로 방법은 아래그림과 같습니다. 

원본 위치 <http://www.torproject.org/overview.html>    

 
원본 위치 <http://www.torproject.org/overview.html>   

 
원본 위치 <http://www.torproject.org/overview.html>

설치방법입니다.    

일단 http://www.torproject.org/download.html.ko 사이트에 들어가 알맞은 OS의 프로그램을
다운받습니다.

 다운받으신 후 그냥 NEXT버튼만 눌러서 설치를 완료합니다.

 설치중에 Select List가 있는데 각각의 내용은 아래와 같습니다.

 설치후에 FireFox사용자 경우에는 다른 설정없이 아래그림과 같은 버튼 또는 텍스트 를 이용하여

바로 실행해서 사용할 수 있습니다.

 아이콘에서 텍스트로 바꾸는 방법은 아래 Tor부분에 마우스 우클릭 한 후 Preferences에 들어가 Display Settings Tab에서 State bar display format부분을 변경하시면 됩니다.

만약 Internet Explorer사용자일 경우에는
도구->인터넷 옵션->연결->Lan설정
에 들어가셔서 아래와 같이 설정하시면 됩니다.

Tor안쓰실때는 프록시 서버 사용하시면 인터넷 접속 안됩니다.

IE에서 프록시 서버 바꾸는게 귀찮으신 분은 cooxie라는 툴을 이용하시면 좀 더 편리하게 변경가능합니다. http://www.diodia.com/cooxietoolbar.htm

파일구해서 설치하신 후에 Cooxie옆에 버튼 눌러 Proxy Servers…로 들어가서 Add하신 후
원하시는 프록시 주소를 추가하시면 됩니다.

 


설치가 완료되었으면 자신의IP주소를 알아보는 사이트에 접속해보길 바랍니다.
설치하시기 전에 자신의 IP와 설치 후 자신의 IP를 비교해보세요.

자신의IP알아보는 사이트 : http://www.ip-adress.com/

Lots of new updates in the exploit-db arena. Barabas whipped up a quick browser search bar plugin. See how to get it installed here.

We got a massive CVE / OSVDB entry update from Steve Tornio which was added to our DB. Our "perfect" exploit template now has links to the exploit code, vulnerable app , CVE and OSVDB entries. See this example. You can now search for exploits via CVE or OSVDB.

We've added a new column to the database – "V". We attempt to verify submitted code in a testing environment. Exploits that we manage to verify will be marked accordingly. It will take us a LONG time to get the list updated, bear with us.

The Exploit Database can now be downloaded via SVN. We figured it would be easier to download and track exploits this way, rather than re-downloading the whole archive. We will be adding the exploit-db archive as a package in BackTrack4, but for now you can:

원본 위치 <http://www.offensive-security.com/backtrack/exploit-db-updates/>

Forensicscontest.com의 Puzzle #2 풀이 (스토리 살짝 변경~)

Link : http://forensicscontest.com/2009/10/10/puzzle-2-ann-skips-bail

Pcap Download : http://forensicscontest.com/contest02/evidence02.pcap

MD5 (evidence02.pcap) = cfac149a49175ac8e89d5b5b5d69bad3

1. What is Ann's email address?

2. What is Ann's email password?

3. What is Ann's secret lover's email address?

4. What two items did Ann tell her secret lover to bring?

5. What is the NAME of the attachment Ann sent to her secret lover?

6. What is the MD5sum of the attachment Ann sent to her secret lover?

7. In what CITY and COUNTRY is their rendez-vous point?

8. What is the MD5sum of the image embedded in the document?

1. What is Ann's email address?

: Ann's의 E-Mail 주소는 무엇일까요? 일단 다운받은 pcap파일을 열어서 확인해 보도록 하겠습니다.

E-Mali주소에 대해서 물었으니 패킷 모두 볼 필요 없이 SMTP Protocol만 필터링 해서 보면 되겠죠?

이렇게 smtp적어주시고 엔터!

그리고 아래처럼 나온 그림에서 맨 위에 나온 결과에 마우스 우클릭을 하여 Follow TCP Stream 기능을 사용합니다.

열어보면 위와 같은 내용을 확인할 수 있습니다. 우리는 문제를 풀기 위해 내용을 살펴보죠. 조금 내려가다 보니 AUTH LOGIN 이라는 로그인 인증 관련말이 있네요. 그리고 그 밑에는 알 수 없는 내용이 나오다가 AUTHENTICATION SUCCESSFUL 이라면서 인증이 완료되었다고 말이 나옵니다. 좀 더 읽어보니 From과 To의 E-Mail 주소가 나와있네요.

일단 1번문제는 가볍게 확인되었습니다.

Answer : sneakyg33k@aol.com

2. What is Ann's email password?

E-Mail주소는 알았는데 Password까지 알아야 하니 AUTH LOGIN 아래부분의 내용을 살펴봐야겠군요.

일단 내용을 보니 문자로만 표시되어있고 마지막에 = 이 있네요. 이정도로 BASE64로 인코딩 되었겠구나 생각하고 디코딩 시켜보겠습니다.

필요한 결과가 나왔네요.

Answer : 558r00lz

3. What is Ann's secret lover's email address?

Follow TCP Stream 내용을 내려가다 보면 아래와 같은 메일 내용을 찾을 수 있습니다.

대충보니 약속을 취소하는 내용 같네요. 이게 과연 secet lover's 메일의 내용일까요?

의심스러워 SMTP로 Filter한 내용을 살펴봅니다.

NO.85번 라인에 보면 SERVICE CLOSING CHANNEL이라는 말이 있네요. 그아래에 있는 패킷의 Follow TCP Stream 내용을 살펴봅시다.

To의 메일 주소가 다른게 있네요. 내용을 살펴보니. "Hi sweetheart!..."라는 달콤한 말로 시작하는군요. 이게 secret lover's 메일이겠네요.

Answer : mistersecretx@aol.com

4. What two items did Ann tell her secret lover to bring?

2개의 아이템이라.. 숨겨놓은 애인(?)에게 보낸 메일 내용을 다시 봐야겠네요.

"Hi sweetheart! Bring your fake passport and bathing suit. Address attached. love, Ann"

Answer : fake passport, bathing suit

5. What is the NAME of the attachment Ann sent to her secret lover?

이번에는 첨부파일 이름을 물어보네요. 두 번째 편지내용이 있었던 부분에서 좀 더 내려보면 아래와 같은 부분이 있습니다. 바로 보이네요.

Answer : secretrendezvous.docx

6. What is the MD5sum of the attachment Ann sent to her secret lover?

첨부파일의 MD5sum을 알아내라고 하네요. 그럼 secretrendezvous.docx파일을 얻어야겠네요. Follow TCP Stream 내용중에 아래와 같은 부분이 있습니다.

.filename="secretrendezvous.docx" 아래에 있으니 이부분이 첨부파일 내용같은데

Content-Transfer-Encoding: base64 라고 되어있는 부분을 참고하니 BASE64인코딩으로 되어있는걸 알겠네요. 이 부분을 다 복사하여 메모장에 붙여넣고 저장합시다.

이제 이 부분을 BASE64 디코딩을 하여 secretrendezvous.docx 파일로 만들어야 할테니 간단한 코딩을 하도록 하겠습니다.

일단 Python으로 작성하였습니다. 괜히 깔끔하게 만들려다가 코드만 더 길어졌네요.(능력부족-전 코더가 아님) 뭐, 암튼 프로그램을 실행시켜 디코딩 하도록 하겠습니다.

디코딩할거니 2번선택하고 파일명 적고, 생성될 확장자 docx적어주면 파일이 생성이 완료되었습니다.

생성된 파일을 열어보도록 하겠습니다.

제대로 열린 것 같군요. 그럼 md5값을 구해보도록 하겠습니다.

md5sum프로그램을 받아서 돌려보니 아래와 같은 결과가 나오는군요.

Answer : 9e423e11db88f01bbff81172839e1923

7. In what CITY and COUNTRY is their rendezvous point?

만날약속 장소를 묻네요. docx파일을 열었을 때 지도가 나왔었는데 point지점이 Mexico에 있는 Playa del Carmen이네요.

Answer : Playa del Carmen, Mexico

8. What is the MD5sum of the image embedded in the document?

docx문서에서 이미지파일의 MD5sum값을 구하라고 하네요. 이 문제를 풀기위한 방법은 여러 가지가 있습니다. 가장 쉽게 해결하는 방법은 docx파일을 빵집등으로 압축해제 하시면 이미지 파일을 추출하실 수 있습니다.

word폴더안에 media폴더안에 들어가면 image.png파일이 있네요. 이 파일의 MD5sum값을 구하면 정답이 됩니다.

압축을 못 푼다는 가정하에 문제를 풀어보겠습니다.

먼저 docx파일 속에 삽인된 이미지의 확장자를 파악합니다. bmp,jpg,gif,png등의 확장자 마다 각각의 매직넘버(각 파일의 고유 헤더값)가 있기 때문에 이 매직넘버를 조사하여 docx파일안에서 이미지를 나타내는 시작점을 찾습니다. png파일을 하나 만들어 winhex로 매직넘버를 확인한 결과 89 50 이라는 hex값이였습니다.

이 값과 같은 부분을 docx에서 찾으면 아래와 같이 찾을 수 있습니다.

마찬가지 방법으로 이미지가 끝나는 부분을 찾아 이 부분의 값만 따로 저장합니다.

 .
 .
 .
 

그리고 추려낸 부분에 대해서 다른 이름으로 png 파일로 저장 후 MD5sum값을 구하면 같은 결과를 얻을 수 있습니다.

Answer : aadeace50997b1ba24b09ac2ef1940b7

#startx -> X-window로 접속(안해도 됨)

Xwindow화면

#ifconfig -> 현재 IP설정 확인

#start-network를 통해 network 서비스 실행

#setup-sshd 명령어로 ssh데몬 자동 설정

#ifconfig 명령어 다시 쳐보면 IP가 설정된 것을 확인할 수 있다. 그리고 ssh서비스도 실행

된다. 혹시 안되면 #stop-sshd로 데몬을 내리고 #start-sshd 명령어로 재시작 한다

#X-window에서 명령어 치기 싫으면 아래와 같이 메뉴를 통해서도 가능하다.

BackTrack includes the Metasploit Framework, but not always the latest version. To install the latest version of Metasploit in BackTrack:

$ sudo bash
# cd /pentest/svn
# rm -rf framework3
# svn co https://www.metasploit.com/svn/framework3/trunk framework3

In order to use the raw socket modules, the pcaprub extension must be installed:

# cd /pentest/svn/framework3/external/pcaprub
# ruby extconf.rb
# make && make install

In order to use the WiFi modues, the lorcon2 extension must be installed:

# cd /pentest/svn
# svn co https://802.11ninja.net/svn/lorcon/trunk lorcon2
# cd lorcon2
# ./configure --prefix=/usr && make && make install
# cd /pentest/svn/framework3/external/ruby-lorcon2
# ruby extconf.rb
# make && make install

Once a fresh Subversion snapshot has been installed, it can be updated with the following command:

# svn update /pentest/svn/framework3/

원본 위치 <http://www.metasploit.com/redmine/projects/framework/wiki/Install_BackTrack>

ICOFormat.8bi