Learning Through It - 2

AVAYA 음성사서함 시스템 RCE 취약점

ww0jeff — Wed, 23 Sep 2009 00:04:28 GMT

AVAYA Intuity Audix LX 1.1 버전에 RCE, XSS 취약점 - GNUCITIZEN

산업스파이나 진정 뭔가를 찾는 이들에게는 많은 관심을 받을만한 장비입니다.

국내에도 많지 않지만 이 장비를 쓰는 곳이 있습니다.

로그인이 필요하지만 큰 제약은 안되겠죠?

언제나 GNUCITIZEN 의 이미지는 마음에 듭니다..

listview, treeview 등의 데이터 추출 (Sys Explorer)

ww0jeff — Tue, 22 Sep 2009 02:13:36 GMT

1년에 한두번 쓰다보니 자꾸 잊어먹습니다.

listbox, listview, syslistview, treeview 등.

윈도우 기본컨트를을 써서 리스트 형태로 보여지는 데이터는

Sys Explorer 로 추출해낼 수 있습니다.

오랜만에 개발 - 2

ww0jeff — Mon, 10 Aug 2009 14:54:28 GMT

4일간 휴가기간에 개발일은 잘 끝났습니다.

웹서버로 tinyweb 을 사용했는데, 퍼포먼스도 좋고, 안정적이고 기본기능이 충실하니 좋네요.
소스코드도 공개되어 있습니다.

클라이언트는 서비스로 만들었는데 데스크탑과 연동하는데 좀 골치를 썩었습니다.
짧은 기간이라 그냥 일반 어플 하나 더 만들어서 필요한건 어플이 구해다 서비스에게 건네주는 노가다 방식을 사용했습니다.ㅋ

통신도 쉽게, 파싱도 쉽게, UI도 마음비우고 대충 .. ㅋㅋ

오랜만에 즐거운 여행이었습니다.

기본적인 엔진을 만들었으니 여기저기 활용해야겠습니다.
휴가는 8/4일 끝났는데... 벌써 10일이네요..

* 기억나는 시행착오
- XP 이상에서 워크그룹명, User 명 구하는게 쉽지 않아 해결하는데 시간이 T_T;;
- tinyweb 이 uri stem 을 로그에 기록하지 않아 ? 없이 그냥 주욱~ 전송해서 기록
- 웹로그 전송량을 최소화하기 위해 웹서버에 sleep 과 gawk 등을 활용해 일정기간마다 필요데이터만 추출 저장하도록 구현
- OutputDebugString 을 못찾고 OutputDebugMessage 로 한참 헤매다.. (너무 오랜만이라..)
- 경과시간 구하는 편한 방법이 없어 ElaspedSecs 로 Seconds 값을 구해 그냥 산수로 직접 계산하여 __h __m __s 로
- 엑셀저장은 컴포넌트나 Shell API 등 안쓰고.. 꽁수로 , 로 구분지어 확장자만 CSV 로 저장

.

오랜만에 개발..

ww0jeff — Thu, 30 Jul 2009 14:23:19 GMT

몇년만에 개발일 하고 있다.

일이 재미있고 흥미있어 무료로 하는데, 2004년 12월에 손놓고 공식적으로는 처음이다.

작년이맘때 알바 차원에서 1개월 손대긴 했지만 그건 옛날에 했던 일 수정한거라

새롭게 한 느낌은 없고.. 여튼,,

Delphi Explorer, GExpert, DelForEx 정도만 갖추고 고고씽~

- 며칠만에 개발하는거라 C/S 기반으로 개발하지 않고 웹서버 한대 놓고
- 말단의 정보는 웹서버로 넘겨서 웹로그에 기록되도록 하고
- 말단들이 보낸 정보를 웹로그를 통해 파싱해서 가볍게 리스팅해서 CSV 로 출력만
- 웹로그 읽어오는 서버부분도 시간 단축 차원에서.. ㅋㅋ Web Document Root 에 저장하게 해놓고 읽어오기..
- 웹로그는 실시간 사용중이라 꽁수로 2분에 한번꼴로 복사시켜놓고 이 녀석을 읽어오는 것으로..
- 통신량이나 횟수가 극히 적긴 하지만 속도 차원에서 송신량은 아주 적게

가능하면 인증부분도 넣으면 좋으련만.. 나중에~

ps.
휴가는 1~2개월 안에 다시 가는 걸로~

tag : 개발, 재미, 휴가

MPEG2TuneRequest Killbit 45개 설정해야..

ww0jeff — Tue, 07 Jul 2009 00:27:00 GMT

MPEG2TuneRequest ActiveX(CLSID: 0955AC62-BF2E-4CBA-A2B9-A63F772D46CF)
하나만 죽이지 말고

msvidctl.dll 에 포함된 44개 ActiveX 에 대해서도 Killbit 설정할 것을 권고하고
http://go.microsoft.com/?linkid=9672398

전체 마흔다섯개 CLSID 에 Killbit 설정하는 프로그램도 만들어서 배포하고 있습니다.
- 프로그램 다운로드:

tag : 0day

FCKEditor 패치버전 발표(2.6.4.1)

ww0jeff — Mon, 06 Jul 2009 22:03:13 GMT

예정대로 FCKEditor 패치버전이 발표됐습니다.
마이너 업데이트인데요. (2.6.4.0 -> 2.6.4.1 )

파급효과를 생각했는지 변경내역을 공개하지 않네요.

디핑해보니 파일네임에 특수문자 처리(. , / \ |등) 와 저장폴더 확인사살 루틴이 추가되었습니다.
특이사항으로 perl 만 config 파일(config.pl)을 제거해버리고 connector.cgi 에서
자체 처리를 하네요. 뭔가 이유가 있겠지요.

이제 서버쪽을 막으셨으니 또 클라이언트쪽 0day 를 해결하셔야겠습니다. ㅋㅋ
"울지않는벌새"님이 미리 글을 올려주셨네요.

언제나 그렇듯 마음만 먹으면 대박 0day 가 될 수 있습니다.
이미 중국에선 필요한 만큼 다 써먹고 발표했을거 같은데요..
여튼, kill bit 설정이라도 해놓는 것이 좋겠습니다.

tag : FCKEditor

FCKEditor 신규취약점 발표(0day)

ww0jeff — Mon, 06 Jul 2009 01:53:23 GMT

지난 토요일 새벽, FCKEditor 신규 취약점이 발표됐습니다.

파일업로드와 디렉토리 리스팅인데요.

패치 버전이 한국시간으로 내일 새벽 발표된다고 합니다. (7/7 01:00)

언더에서 발표된건 아닙니다만 공격이 활발하게 이루어지고 있습니다.

7월 2일, 5일 알려진 콜드퓨전 취약점도 다 이녀석때문에 발생된 것들입니다.

FCKEditor/CKEditor는 정부기관에서도 많이들 사용하고 있는데요..

안구에 습기가 차오릅니다.

기존 버전 취약점은 대부분 디폴트 업로드 디렉토리에만 업로드가 됐는데

이번 취약점은 아무 디렉토리에나 업로드 가능하다고 합니다.

자료실 디렉토리에 스크립트 실행 제한 걸어놓는걸로는 대응이 되지 않겠습니다.

가급적 파일업로드 기능을 제한(파일첨부 금지)하는게 안전할 것 같습니다.

/editor/filemanager/connectors 나
/editor/filemanager/upload 디렉토리의

모든 config.* 파일의 설정을 아래처럼 변경해서 업로드 기능을 당분간 중지할 수 있습니다.

$Config['Enabled'] = false ;

콜드퓨전을 공격하는 녀석의 공통점이 있다고 하는데요.

사용하는 웹셸의 파라미터로 action=seraph 가 쓰인다고 하는군요.

뭐 완벽하진 않지만 당분간이라도 이런 패턴으로 공격을 탐지하는 것 괜찮아 보입니다.

".cfm?action=seraph"

HPP로 파라미터를 이렇게 자를 수도 있겠네요 -.-

".cfm?action=s&action=er&action=aph"

그나저나 xeraph 님과 닉네임이 비슷한데요..
의심(?)스럽습니다. ^^a 크크

.

tag : FCKEditor

보안뉴스의 김정완 기자는 제가 아닙니다. :-)

ww0jeff — Fri, 03 Jul 2009 00:24:31 GMT

가끔 보안뉴스의 김정완 기자가 저냐고 물으시는 분들이 계신데요.

저는 아니고 동명이인입니다.

참고해주세요~

tag : 중요, 해명

WebShell 한국어 표기에 대해

ww0jeff — Thu, 02 Jul 2009 03:50:00 GMT

근래들어 WebShell 관련한 인터넷 기사가 눈에 많이 들어옵니다.

보안뉴스, 디지털타임스, 전자신문을 비롯해서

Webshell 표기를 웹셀로 하고 있는데요.

이 용어에 딴지를 걸고 싶습니다.

NCSC나 KISA 에서도 줄곧 웹쉘로 하다가 웹셀로 표기하는 문서가 종종 있기는 합니다만

최대한 원래 발음에 가깝게 표기할 수 있는 것들은 그렇게 하는 것이 자연스러워 보입니다.

웹셀이라고 하면 WebSell 이나 WebCell 이란 단어가 연상됩니다.

최소한 웹쉘이라고 해야 그나마 Webshell 이 연상되긴 합니다만

쉘이란 발음도 정확하지 않아보이죠.

셸이란 표기가 한글표기로는 Shell 의 "esh" 발음()을 정확히 표현하는 것 같습니다.

장난삼아 아래 단어를 모두 녹음해서 YouTube 에 올려 링크를 걸어볼까요 ^^??

sell, cell, shell
셀, 셸, 쉘, 쎌 등의 발음을

PS.
정보통신용어사전에 이미 웹셸로 등재가 되어 있네요 :-)

FTP 계정 노출된 것 없는지 검사해보시죠

ww0jeff — Wed, 01 Jul 2009 02:23:54 GMT

유럽 유명 보안업체인 Prevx 에서
최근 사고조사중에 중국의 한 서버에서 8만건이 넘는 ftp id/pw 를 찾아냈다고 합니다.

Prevx 경쟁업체인 시만텍, 맥아피는 물론이고 Cisco, Bank of America 계정도 포함되어있다고 하는데요
대부분 zbot 에 감염되서 내부에 있는 ftp 서버 계정정보가 탈취된 것이라고 합니다.

요즘 사고분석해보면 꼭 로컬 도청을 하지 않고도
유명 FTP Client 프로그램의 주소록만 신속하게(?) 뒤져서 가져가는 애들도 있더군요.
AlFTP 주소록 위치도 귀신같이 한번에 접근해서 바로 집어가더군요.

여튼,
prevx 사이트에 가면 노출된 정보를 조회해볼 수 있습니다.

http://www.prevx.com/ftplogons.asp

다행이 국내 정부기관이나 일부 대기업은 노출된게 없는 걸로 나오네요.

go.kr 처럼 일부 도메인으로도 검색이 가능합니다.

co.kr 은 몇건인지는 모르겠습니다만 있습니다.

자사 ftp 서버 계정이 노출됐는지 여부를 확인해보세요~

※ 관련 글
SANS News Bites

:

--Stolen FTP Login Information Found on Server
(June 26 & 29, 2009)
Researchers have discovered a server hosted in China that contains more
than 68,000 FTP passwords, including a number for well-known sites such
as the BBC, Cisco, Amazon and Bank of America. Some of the login
information appears to have been stolen within the last two weeks, which
suggests that the data are still valid. Possession of this information
could allow attackers to upload malware to the vulnerable sites. The
stolen information is being uploaded to the server by the zbot Trojan
Horse program.
http://www.theregister.co.uk/2009/06/26/ftp_malware_hack/
http://www.eweek.com/c/a/Security/Trojan-Swipes-FTP-Credentials-for-Major-Companies-in-Malware-Attack-340752/

:

급히 쓰려니 영 꽝이네요 ㅡ.,ㅡa 그냥 편하게.. ㅎㅎ~

tag : incident, ftp