앞 포스팅에서 CVE-2017-11610취약점이 무엇인지, 침투 사례와 xml payload를 구체적으로 살펴보았습니다. 이번에는 가상환경(docker)에서 Supervisor 3.3.2환경을 구성하고 네트워크 패킷을 확인, poc파일을 분석해 보았습니다. https://github.com/Revivekirin/whitehat-school-vulhub/tree/main/CVE-2017-11610

CVE-2017-11610 취약점인 Supervised 원격명령 취약점에 대하여 정리해 보았다. 원본과 poc파일은 아래 깃허브를 참고했다. https://github.com/vulhub/vulhub/tree/master/supervisor/CVE-2017-11610 https://nvd.nist.gov/vuln/detail/CVE-2017-11610 Supervior자체는 사용자가 Unix 운영체제에서 클라이언트/서버 프로그램을 다룰 수 있게 해 준다. 하지만 3.0a1 부터 3.3.2버전에 발견된 취약점인 CVE-2017-116010은 원격의 공격자 XML-RPC 커맨드를 조작하여 대상 컴퓨터를 임의로 조작할 수 있게 해 주었다. CVE-2017-11610 취약성을 통해 원격 공격자는 역직렬화를 위해..

아래 Top_Secret_Schedule.pdf를 보면 pdf파일이 여느 pdf파일과 내용과 pdf크기가 다른 것을 볼 수 있다. 문서포렌식 기법을 통해 아래 pdf파일의 원문을 알아가는 실습을 진행해 보려 한다. 포렌식을 진행하기 앞서 pdf파일을 hex editor로 열어보았다. 맨 첫번쨰 줄을 통해 pdf 파일이라는 것은 알겠지만 pdf문서구조를 잘 몰라서 그런지 잘 읽히지 않는다. 문서포렌식에 있어서 문서의 구조는 굉장히 중요하다고 한다. 정형화된 문서구조와 다른 입력값이 있을수록 임의로 변형되었을 확률이 높기 때문이다. 이번 기회를 통해 pdf문서구조를 공부해보자! Header Body Cross Reference Table Trailer 1. Header PDF 시그니처와 문서버전 정보를 가지..

보호되어 있는 글입니다.

ENC = 0 DEC = 0 def parsekey(key): tmp = [] key.upper() for i, k in enumerate(key): tmp.append((i,k)) #키:인덱스, 값:알파벳 tmp = sorted(tmp, key=lambda x:x[1]) #tmp 알파벳 순서에 따라 정렬 enc_table = {} dec_table = {} for i, r in enumerate(tmp): #i:알파벳 순서에 따른 인덱스, r[0]:처음 인덱스 enc_table[r[0]] = i dec_table[i] = r[0] return enc_table, dec_table 위 parsekey 함수는 키값을 전달받아 1차로 열 번호로 인덱스를 매겨주고, 2차로 알파벳 순서에 따라 인덱스를 매겨줍니..

0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 A B C D E F G H I J K L M N O P Q R S T 11번쨰 의 알파벳 'L'은 $$11\ mod\ 5\ =\ 1$$ 에 따라 키 'TRACE'의 5열 중 1번쨰 열에 들어가게 됩니다. 1번쨰 열 R은 알파벳 수서상 'TRACE'에서 3번쨰 철자이기 때문에 해당 열의 알파벳들은 버퍼3으로 이동되어 3번째로 읽혀집니다. 키 T R A C E 열 번호 0 1 2 3 4 순서 4 3 0 1 2 버퍼0 C H 버퍼1 D I 버퍼2 E J 버퍼3 B G L 버퍼4 A F K 버퍼0 = [(1, 'C'), (2, 'H'), (3, 'M'), (4, 'R')] 버퍼1 = [(1, 'D'), (2, 'I'), ..