SecurityCode

X86 Opcode map

codexb — Wed, 04 Nov 2009 00:32:44 GMT

http://ref.x86asm.net/geek32.html

Javascript unicode encoded shellcode to hex(\x type)

codexb — Sun, 09 Aug 2009 14:15:29 GMT

encodedShell = '%u10EB%u4B5B%uC933%uB966%u03B8%u3480%uBD0B%uFAE2%u05EB%uEBE8%uFFFF'
x = encodedShell.replace('%u','')
length = len(x)/4
sh = ''
for i in range(length):
sh = sh + r'\x' + x[2:4] + r'\x' + x[:2]
x = x[4:]
print sh

Black Hat USA 2009 papers

codexb — Thu, 30 Jul 2009 01:12:04 GMT

http://www.blackhat.com/html/bh-usa-09/bh-usa-09-archives.html

GeoIP in WireShark 1.2 - interesting update

codexb — Mon, 20 Jul 2009 05:28:22 GMT

WireShark 가 얼마전 1.2 로 업데이트 되면서 새로운 기능을 선보였다.

바로 GeoIP를 지원하는 것이다.

GeoIP는 특정 IP 주소가 어느 지역의 IP 인지 데이터베이스화 하고 있는 파일로
이번 WireShark에 해당 기능이 삽입됨으로써 캡쳐된 파일의 IP 주소를 GeoIP 로 먼저 검색한 후 검색된 지역을

http://openstreetmap.org 의 맵 서비스를 이용하여 찾는다.

Setting...

1. GeoIP 데이터 베이스 다운로드

http://geolite.maxmind.com/download/geoip/database/GeoLiteCountry/GeoIP.dat.gz
http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz
http://geolite.maxmind.com/download/geoip/database/asnum/GeoIPASNum.dat.gz

다운받은 파일을 압축을 풀어 C:\GeoIP 에 넣는다.

Edit -> Preferences -> Name Resolution -> GeoIP database directory 를 클릭하여 edit 에서 C:\GeoIP 폴더를 추가

2. WireShark restart
3. 캡쳐
4. Statistics -> Endpoints List -> IPv4 Click
5. Map Click

reference site:
http://www.wireshark.org/lists/wireshark-dev/200902/msg00154.html

http://www.lovemytool.com/blog/2009/07/joke_snelders2.html

defcon ctf 2009 bin100

codexb — Sun, 28 Jun 2009 13:19:49 GMT

defcon ctf 2009 prequal 에서 Binary Leetness 100 을 분석한 주요 내용이다.

Unix 및 Linux 계열의 OS에서 binary file를 분석할 때 해당 파일이 어떠한 정보를 가지고 있는지
확인해볼 필요가 있는데 file command를 이용하여 바이너리에 대한 파일 타입정보를 얻어 오면,,,

function이 statically linked되어 있고 symbol information이 stripped 되어 있는걸 알 수 있다. -ㅁ-;;

binary 의 strings 결과 이다.

# strings -a f414376cc2322d4ad4c5cd364e89fd34

UPX 라는 ASCII문자열이 보인다.

binary가 stripped 되어 있기 때문에 IDA를 이용하여 원격 디버깅으로 팩을 풀어보았다.

This is remote debugging using IDA pro.... if you execute this command port 6002 open... :)

upx의 특정 signature인 popa retn 까지 커서를 이동시켜 파일을 실행한 후 이후의 코드를 step over하여 팩을 풀면 original binary를 0x8048000 주소에 위치시킨다.

scroll down 시키면 answer가 나오고 밑에 answer를 비교하는 루틴을 탄다.

computer security video

codexb — Tue, 28 Apr 2009 04:29:39 GMT

http://securitytube.net/

바이너리 수정

codexb — Fri, 24 Apr 2009 05:11:57 GMT

유닉스 계열(유분투, 센트, etc...) 시스템의 콘솔에서 바이너리 헥스 값 수정

vi 에디터와 hexdump인 xxd 를 사용한다.

# vi binary

:%!xxd

수정 후

:%!xxd -r

:wq

IPligence - 위치 정보 검색

codexb — Fri, 27 Mar 2009 01:25:28 GMT

구글맵을 이용하여 검색할 IP 및 URL의 위치 정보를 찾아주는 기능을 하는 사이트이다.

http://www.ipligence.com/geolocation/?lang=en

최근 웜을 보면 Geoip 와 같은 데이터베이스를 이용하여

위치정보를 검색하는 넘이 등장하고 있다.

해당지역을 필터링 시키기 위해서다.

backtrack 4 beta released

codexb — Thu, 12 Feb 2009 01:32:35 GMT

backtrack 4 베타 버전이 릴리즈 되었다.

주목할만한 점은 이번 베타 버전에 GPU computing을 할 수 있게 CUDA 를 지원한다는 것이고

pyrit 라는 파이썬 코드를 이용해 워드파일에 대한 wpa, wpa2-psk 의 해쉬 테이블을 gpu로 빠르게 생성할 수 있다.

aircrack-ng는 해당 해쉬테이블을 이용하여 대입속도를 높일 것이다.

CUDA를 지원하는 그래픽 카드: http://en.wikipedia.org/wiki/CUDA#Supported_GPUs

ref: http://www.remote-exploit.org/backtrack_download.html

POC2008 Reversing Mission 2

codexb — Sun, 23 Nov 2008 03:25:44 GMT

POC 2008의 Hacker's Dream -> Reversing Mission 2

POC2008_reversing2_solution.pdf