[Frida] Binary Hooking 2

[Frida] Binary Hooking 2

[분석환경] Ubuntu 18.04 [분석도구] Frida Frida는 바이너리 내 어떤 함수가 호출되는지 보여주고, 조작이 가능하도록 한다. 동적 바이너리 조사(DBI, Dynamic Binary Instrumentation)를 가능하게 해주는 프레임워크이다. 다양한 운영체제를 지원하고 있으며 파이썬 기반의 프레임워크로 다양한 API를 지원한다. Frida Tutorial Frida를 사용하여 호출된 함수를 검사하고, 인수를 수정하고, 대상 프로세스 내의 함수에 대한 사용자 지정 호출을 수행하는 방법을 보여준다 https://frida.re/docs/quickstart/ Quick-start guide Inject JavaScript to explore native apps on Windows, mac..

  • format_list_bulleted Reversing
  • · 2022. 5. 3.
  • textsms
[Frida] Binary Hooking 1

[Frida] Binary Hooking 1

[실습환경] Ubuntu 18.04 LTS [도구] Frida Frida는 바이너리 내 어떤 함수가 호출되는지 보여주고, 조작이 가능하도록 한다. 동적 바이너리 조사(DBI, Dynamic Binary Instrumentation)를 가능하게 해주는 프레임워크이다. 다양한 운영체제를 지원하고 있으며 파이썬 기반의 프레임워크로 다양한 API를 지원한다. Frida Tutorial Frida를 사용하여 호출된 함수를 검사하고, 인수를 수정하고, 대상 프로세스 내의 함수에 대한 사용자 지정 호출을 수행하는 방법을 보여준다 https://frida.re/docs/quickstart/ Quick-start guide Inject JavaScript to explore native apps on Windows, m..

  • format_list_bulleted Reversing
  • · 2022. 4. 28.
  • textsms
Android aab파일 설치하기 / apk파일로 변환하기

Android aab파일 설치하기 / apk파일로 변환하기

Android aab 파일 설치를 위한 과정을 소개한다. AAB(Android App Bundle) 안드로이드 앱 번들은 앱 개발, 출시 단계에서 설치 파일의 최적화(용량, 속도)등을 위해 제안된 새로운 파일 형식이다. 기존 APK파일의 경우 다국어 지원을 위한 언어정보, CPU 정보, 해상도 별 리소스 파일이 apk 파일 내에 전부 존재했다면 AAB는 이러한 정보들을 플레이스토어에서 관리하여 사용자가 앱 다운로드 요청 시에 리소스 파일들을 재조합하여 구글플레이의 서명키로 서명한 다음 APK 파일 형태로 제공한다. 자세한 내용은 안드로이드 개발자 공식 홈페이지에서 소개하고 있다.(https://developer.android.com/platform/technology/app-bundle?hl=ko) 하지..

  • format_list_bulleted Security/Mobile
  • · 2022. 4. 13.
  • textsms
[Nox] 안드로이드 버프 인증서 설치(Android 7.0+)

[Nox] 안드로이드 버프 인증서 설치(Android 7.0+)

1. Nox 안드로이드 모의해킹에서 녹스는 앱의 에뮬레이팅을 통한 동적 분석, 루트(Root)권한 설정 및 해제가 용이하여 자주 활용한다. 다만 에뮬레이터 환경에서 동작하는 만큼 에뮬레이터 탐지가 적용된 앱의 경우 실행이 어렵다는 단점이 있다. 하지만 진단기기 준비의 어려움 물리적으로 다른 기기에서의 교차진단이 필요할 경우 사용할 수 있는 대안이 될 수 있다. 2. 환경 녹스(Nox) 플레이어 7.0.2.1(설치 : kr.bignox.com/) Burp Suite(Community Edition 2022.5.1) 3. 권장 설정(옵션) 필수 설정은 아니지만 모의해킹 수행을 위한 Nox 설정을 안내한다. (필수) 시스템 설정 > 일반 > 시작항목 > ROOT켜기 (옵션) 시스템 설정 > 성능 > 그래픽 모..

  • format_list_bulleted Security/Mobile
  • · 2022. 3. 31.
  • textsms
[Pentest] 배너 그래빙(Banner Grabbing) 도구

[Pentest] 배너 그래빙(Banner Grabbing) 도구

배너 그래빙(Banner Grabbing) 대상 서버나 시스템의 운영체제를 탐지하기 위한 기술에 대해 설명한다. 배너그래빙은 서버로부터 서비스 또는 애플리케이션 정보, 운영체제 정보를 수집한다. 애플리케이션 버전 탐지 등에 활용된다. 대상과 직접 네트워크 연결을 맺어서 운영체제 정보나 서비스 및 애플리케이션 정보를 담고 있는 배너를 받아오는 방법이다. 배너에서 필요한 부분만을 파싱한 결과에 관련 정보가 담겨있는 경우, 간단하게 버전을 확인할 수 있다. 배너그래빙은 포트에서 실행 중인 운영 체제 정보 및 서비스를 해당 버전을 획득하기 위한 작업이다. 실행 중인 서비스의 버전이 취약하고 모든 사용자가 볼 수 있는 경우 공격자가 원격 호스트 시스템 전체를 처리할 수 있기 때문에 원격 호스트 시스템에 침투할 수..

  • format_list_bulleted Security/WEB
  • · 2022. 3. 28.
  • textsms

[linux] C, C++에서 동작중인 pid 가져오기

1. 사용법 #include #include pid_t getpid(void); 2. 예제 #include #include #include int main() { pid_t pid = getpid(); printf("pid: %lun", pid); } 3. Build & Run $ gcc getpid.c -o s && ./s pid: 7108

  • format_list_bulleted Linux
  • · 2022. 3. 11.
  • textsms
[Cheat Engine] Step8. Multiple Pointers

[Cheat Engine] Step8. Multiple Pointers

들어가며 Cheat Engine을 이용한 Code Injection 실습을 진행한다. 실습 환경 [분석환경] Windows 10 Pro [분석도구] Cheat Engine 7.3 Multiple Pointers Step 6. 와 유사한 동작을 하지만 단일 포인터가 아닌 여러번 참조하는 Pointer를 다룬다. 그림처럼 Player를 참조하기 위해서 게임 객체 -> Map -> Player 순서로 참조하여 값을 가져올 수 있다. 각 객체별로 가지고 있는 속성 값이 다르며, 다른 주소를 참조할 경우 해당하는 멤버는 다음 객체의 포인터 주소를 가지고 있다. 따라서 그림의 예시에서 Player Stat을 참조하기 위한 주소는 [[[Game.exe+202c]+8]+10]이 된다. 실습 실습은 Cheat Engin..

  • format_list_bulleted Reversing/Assembly
  • · 2021. 11. 29.
  • textsms
[Cheat Engine] Step7. Code Injection

[Cheat Engine] Step7. Code Injection

들어가며 Cheat Engine을 이용한 Code Injection 실습을 진행한다. 실습 환경 [분석환경] Windows 10 Pro [분석도구] Cheat Engine 7.3 Code Injection 코드 인젝션은 단독 실행 중인 프로세스에 코드(dll, 쉘코드) 등을 삽입하여 정상 프로세스의 컨텍스트 안에서 코드를 실행하는 기법이다. 주로 악성코드를 삽입하여 악성행위를 하도록 하는 목적으로 사용되기도 한다. 실습 실습은 Cheat Engine 내 튜토리얼로 진행한다. 간단하며, 따라하기 쉬운 예제이다. 이 단계에서는 'Hit me' 버튼을 눌렀을 때 1씩 감소하는 값을 가지고 있다. Code Injection을 통해서 버튼을 눌렀을 때 2씩 증가하도록 하면 된다. 1. Scan 값을 참조하는 부분..

  • format_list_bulleted Reversing/Assembly
  • · 2021. 11. 21.
  • textsms
[Tools] Echo Mirage 사용법

[Tools] Echo Mirage 사용법

1. 개요 C/S 진단을 위한 네트워크 프록시 도구인 Echo Mirage에 대해 설명한다. Echo Mirage는 애플리케이션 프로세스에 연결하여 동작하는 네트워크 통신을 모니터링할 수 있는 프리웨어이다. 네트워크 프록시 도구로 HTTP 패킷이 아닌 TCP 패킷 또한 캡처가 가능하며 로컬에서 데이터를 보거나 수정이 가능하다. Open SSL을 사용하는 경우에도 연결하여 평문으로 데이터를 볼 수 있다. Echo Mirage는 실행중인 프로세스에 Attach되거나 새롭게 프로세스를 실행(Spawn)할 수 있다. 이러한 유형의 보안 테스트는 C/S 응용 프로그램 보안 테스트에 유용하다. 2. 다운로드 https://echo-mirage.software.informer.com/download/ Download..

  • format_list_bulleted Security/Network
  • · 2021. 11. 15.
  • textsms
[AWS] IAM 취약점, 권한 평가 도구 분석

[AWS] IAM 취약점, 권한 평가 도구 분석

IAM Policy 구조 { "Statement":[{ "Effect":"effect", "Principal":"principal", "Action":"action", "Resource":"arn", "Condition":{ "condition":{ "key":"value"} } } ] } Principal : 허용하거나 거부할 속성(entity)이다. Action : 접근을 허용(allow)하거나 거부(Deny)할지 여부를 명시한다. Resource : AWS에서 자원이 위치한 경로이다. arn으로 명시한다. Condition : 정책을 적용할 조건이다. 문자열 일치, IP주소 일치여부 등을 나열할 수 있다. AWS가 IAM 권한 부여를 하는 과정은 매우 복잡하며 여러 단계가 있다. 특정 권한을 관리하..

  • format_list_bulleted Security/Cloud Computing
  • · 2021. 10. 3.
  • textsms