해킹공주의 일상

1. BPFdoor 악성코드 요약1.1 공격 개요리눅스 환경에서 포트를 열지 않고도 외부 연결을 대기하는 백도어 악성코드 1.2 공격 방식- 위협 행위자가 보내는 매직 패킷(Magic Packet) 수신 시, 리버스 셸 혹은 다이렉트 모드(바인드 셸)로 원격(Remote)과 셸 연결을 시도함- BPF (Berkeley Packet Filter)를 사용해 네트워크 트래픽을 감시하고 특정 패킷을 필터링 필터 대상 : TCP, UDP, ICMP 프로토콜감염 시스템에 합법적으로 열린 포트(정상 서비스) 대상 매직 패킷 전송 요약하자면 아래와 같다. 1) BPF를 이용해 TCP,UDP,ICMP 프로토콜로 들어오는 모든 패킷을 감시2) 자신만이 알아볼 수 있는 매직 패킷(Magic Packet)을 기다림3) 매..

보호되어 있는 글입니다.

Outline CVE-2022-1252는 인기 있는 포럼 플랫폼인 gnuboard5에서 발견된 취약점이다. 이 취약점은 사용자의 이메일 주소를 난독화하는 알고리즘에 취약점이 있어서, 이메일 주소를 추출하는 악성 코드에 노출될 가능성이 있다. 발생 원인 취약점의 발생원인은 gnuboard5의 str_encrypt 클래스의 난독화 알고리즘의 미흡이다. 이에따라 이메일 주소가 프론트 엔드로 전송될 때 쉽게 해독될 수 있고, 이로 인해, 악의적인 사용자는 이메일 주소를 추출하여 스팸 메일 등의 악성 행위를 할 수 있다. 또한, 이 취약점으로 인해 웹 서버의 SMTP 기능에 대한 제한 없는 전체 액세스를 획득할 수 있다. 공격 환경 - 그누보드 5 버전을 사용하고 있음 - 암호화 된 타인의 이메일 및 본인의 이메..

1. 취약점 개요 Gymshark 가 가지고 있는 서브 도메인 중에 de-headless.staging.gymshark.com 라는 도메인이 주인없는 Shopify 를 가리키고 있었다. Shopify : 스토어를 공급해주는 사이트같은데 도메인을 판매하고 호스팅하는 업체 추측하기로는 Gymshark 가 Shopify 도메인을 구매하여 사용하다가 안쓰게 되서 서비스만 제거하고 CNAME 제거 처리를 안해서 Subdomain takeover 취약점이 발생한듯 하다 제보자는 주인이 없는 해당 서브도메인을 자신이 만든 사이트로 뜨게끔 PoC를 했다. 2. 파급 효과 공격자가 주인이 없는 서브 도메인을 Shopify를 이용해 자신의 악성사이트로 연결한 뒤, 맬웨어, 도메인 변조, 피싱 캠페인 등과 같은 악성 콘텐츠..