Bazinga!

기사 출처 : https://www.boannews.com/media/view.asp?idx=133810&direct=mobile# 비교적 안전했던 맥OS 생태계에서도 랜섬웨어라는 지옥문이 열리나지난 주 보안 업체 트렌드마이크로(Trend Micro)가 맥OS 생태계에서 활동 가능한 위협적인 랜섬웨어를 발견해 세상에 알렸다. 그러자 센티넬원(SentinelOne) 등 여러 다른 보안 업체들도 추적을 시작하www.boannews.com 요약맥OS에서는 그동안 이렇다 할 랜섬웨어가 없었지만 빠른 속도록 제대론 된 랜섬웨어가 개발되고 있다. 낫 록빗- 고언어로 작성 - x86_64 바이너리로 유포 => 인텔 기반의 맥 컴퓨터, 또는 로제타(Resetta)라는 에뮬레이션 소프트웨어가 설치된 맥 컴퓨터 에서만 실..

기사 출처 : https://www.boannews.com/media/view.asp?idx=133490&page=17&kind=1 신용카드 정보 빼가는 새로운 스키머 캠페인, 난독화가 독특해서 봤더니수주 전 신용카드 정보를 스키밍하는 캠페인이 새롭게 발견됐다. 처음 발견한 건 보안 업체 제이스크램블러(Jscrambler)였다. 이 캠페인에 제이스크램블러가 주목한 건 난독화 기술이 독특했기 때www.boannews.com

보호되어 있는 글입니다.

보호되어 있는 글입니다.

보호되어 있는 글입니다.

보호되어 있는 글입니다.

해당 웹사이트는 이미지 파일은 게시글에 보이도록, 이미지 형식이 아닌 파일은 다운로드 받을 수 있도록 만들어졌다.이 PHP 코드는 서버에서 원격 명령을 실행할 수 있는 단순한 웹 셸이다. shell.jpg.php의 이름으로 .jpg 같은 확장자와 .php를 조합하여 업로드 하였더니 이미지가 아닌 파일 형식으로 게시글에 업로드 되었다. Uploads파일에 php파일이 저장된 것을 확인가능 whoami 명령어가 실행되고 서버에서 반환되는 결과로 사용자 계정(www-data)이 출력되었다.이는 서버가 PHP 파일을 정상적으로 실행하고 있는 것이며, 악성 코드가 실행될 수 있는 상태이다.  위와 같은 공격을 통해 공격자는 서버에 대한 완전한 제어권을 획득할 수 있게 된다. 업로드 관련 취약점을 방어하기 위해서는..

base64로 인코딩 된 쉘 명령어를 받는 php코드를 위와 같이 작성하였다.Content-Type은 이미지 파일이지만사진과 같이 웹 페이지에서 파일로 업로드 되었다. ls 를 base64인코딩을 하면 bHM= 이다. 해당 사이트의 업로드 파일들은 /var/www/html/uploads 경로로 저장된다.아래와 같이 base64 디코딩된 값을 'cmd=' 뒤에 입력해보았다.  같은 방식으로 /etc/passwd 파일을 확인해본다.다음과 같이 /etc/passwd 내용이 서버에서 출력된다.

파일명: cmd.php;.jpg는 PHP 코드를 포함한 파일로,이름을 cmd.php;.jpg로 설정하여 서버가 이를 이미지로 처리하도록 우회하려는 시도  cmd명령을 이용하여 파일 생성해보기  steal 이란 파일명으로 웹 루트 안에 있는 모든 파일을 압축해보았다.   파일명 앞에 .을 붙히면?touch .mysock uploads의 디렉토리 에서는 확인가능하지만 클라이언트 입장에서는 숨김파일은 보이지 않는다. 파일명 앞에 . 을 붙히면 숨김파일로 만들어진다.=> 공격 victim 시스템에 텍스트로 얻을 수 있는 정보들( etc/passwd, 해당 IP., 운영체제 커널 정보, os정보 등등)을 숨김 파일 안에 저장 시킬 수 있다.이걸 한번에 모아서 업로드하면 공격자는 피해당한 시스템의 정보를 한번에 얻..

보호되어 있는 글입니다.