Hacking

오랜만에 글을 쓰는것 같다. 한동안 귀찮아서 미루어놓았었는데, 갑자기 글을 쓰고싶은 주제가 생겨 노트북을 열었다. 사고 분석을 하다보면, 또는 분석 보고서를 읽다보면 터널링(tunnelling), 리버스쉘(reverse shell), 피봇팅(pivotting) 같은 용어들을 자주 접할 수 있다. 아마 얼추 직감적으로 아 이게 어떤 의미고 무슨 기능이구나 하는 감각은 다들 가지고 있겠지만, 명확하게 정리된 글이 많이 없는 것 같아 필자가 준비 해 보았다. 순서대로 가 보자면, 피봇팅, 터널링, 리버스 쉘 순서로 가는게 맞는 것 같은데 사실 순서는 크게 상관없기 때문에 제목 순서대로 터널링 부터 얘기해보자. ...

최신 윈도우 운영체제에는 기본적으로 Defender라는 AV(Anti Virus)가 설치되어 있다. 또한 이 백신의 성능이 생각보다 출중한 편인데, 필자의 생각은 다음과 같다. 장점 다양한 샘플 많은 공격자들이 End Point를 대상으로 공격을 시도한다. Initial Access가 되었든, Lateral Movement가 되었든 말이다. 그런데 이 Endpoint란 전 세계에 컴퓨터를 사용하는 모든 사람이 대상이 될 수 있다.(물론 노출되어있는 서버도 포함된다) 그런데 개인 사용자용 운영체제로 리눅스를 사용하는 경우가 얼마나 되겠는가? 일반적으로 윈도우 아니면 MacOS를 사용한다. 따라서 MS는 정말 다양한 샘플들을 확보할 수 있고, 이러한 양적 공세로 다양한 인사이트를 확보할 수 있을 것이라는 생각이 든다. AI의 발전 단순히 샘플만 많다면 큰 의미가 없을 수 있다. 마소가 정보보안 전문 기업이 아니기 때문이다. 하지만 최근 급속도로 발전한 인공지능 모델에 이러한 말웨어 데이터를 때려넣는다면 어떻게 될 것인가? (실제로 AI를 쓰는지는 모르겠지만 아마 쓰지않을까?) 단점 ...

윈도우 프린트 스풀러에는 다양한 취약점이 존재한다. 프린트 스풀러는 윈도우 운영체제에서 서비스로 동작하며, SYSTEM 권한을 갖는다. 자 항상 윈도우 운영체제에서는 이 SYSTEM 권한이 문제다. 예전에 이 프린트 스풀러를 악용하는 print nightmare라는 취약점이 있었다.(현재도 보안 패치를 적용하지 않으면 동작한다.) Juicy Potato가 막히자 다른 보안 연구자들은 이 프린트 스풀러 서비스로 눈을 돌렸다. 이번 글에서는 이 Print Spoofer를 다뤄보고자 한다. 1. 개요

서론 필자가 침해사고 분석 업무를 수행하던 시절, 윈도우 서버에서는 거의 무조건 등장하던 녀석들이 바로 이놈들이다. 흔히 포테이토 하고 하는데, 주로 웹이나 MSSQL로 침투한 후 권한 상승(LPE) 를 위해 사용되었다. 아무런 권한이 없는 서비스 계정도 이 exploit 하나면 마법처럼 SYSTEM 권한이 뿅 하고 나타나니, 귀신이 곡할 노릇이 아닐 수 없었다. 당시 이 exploit을 분석해봐야지 하고 생각은 하고있었는데, 필자의 이해도가 너무 낮았기 떄문에 후일로 미뤄놓았다가 이번에 꺼내들었다. 🥔 권한 상승 PoC 툴 계보 윈도우 운영체제의 권한상승에는 다양한 방법이 사용될 수 있는데, 그 중 Potato계열의 계보를 정리해보자면 다음과 같다.(틀릴 수 있음, GPT가 해준거라) ...

1. 개요 어제 보안뉴스를 보다가 또 뭔가 난리났다는 기사를 봤다. 또 언제나처럼 호들갑이 아닌가 싶었는데, 그정도는 아닌 것 같고 어느 정도 심각한 것 같기는하다. 그래도 아직까지는 좀 호들갑이 아닐까 하는데.. 또 이런 새로운 공격 기법이 나오면 분석해줘야하는 것이 보안쟁이 아니던가 거침없이 나의 맥북 에어를 펼쳐 들었는데, 샘플을 다운로드 받을 곳이 없다.. 우리회사도 바토좀 사주세요.. 아무튼 그러면 없는대로 한번 맨땅에 머리를 박아보겠다. 2. 리눅스 사용자 인증 과정 리눅스 시스템에서는 사용자 인증을 처리하기위해 PAM, Polkit 등 프로세스를 활용한다. ...

dirty cow 포스팅을 수정하려고 dirty cow가 터지는 배포판을 찾던 중에 우분투 홈페이지에서 봇이 말을걸어왔다. 대답해줬더니 진짜 사람이 나타나서 응답 해 주는것이 아닌가?! 그러면서 최근 발견된 LPE CVE를 하나 알려주고 갔다. 테스트를 안해볼수가 없지 않은가? 그래서 CVE-2025-34263 포스팅을 시작하겠다. 1. CVE-2025-32463 이 취약점은 Local Privilege Escalation(LPE) 취약점이고, sudo 1.9.14 ~ 1.9.17 버전에서 터진다. 2. 테스트 자 다음 사진을 보자. 여러분 보기 편하라고 마지막에 whoami 도 한번 해줬다. 우선 현재 sudo 버전은 1.9.15 로 취약점이 터지는 버전이다. ...

1. 시작하며 개발이나 정보 보안을 공부하다 보면 서버 사이드 & 클라이언트 사이드 라는 용어를 자주 사용한다. 가장 대표적인 예시를 들어보자면 PHP는 서버 사이드에서 동작하는 언어이고, javascript는 클라이언트 사이드에서 동작하는 언어다. 필자가 가르치는 학생들 중에서도 이러한 차이를 구분하지 못하는 친구들이 많았는데, 이러한 개념을 정화하게 짚고 넘어가는것이 굉장히 중요하다. 2. 개념잡기 서버 사이드란 서버에서 동작한다는 뜻이고, 클라이언트 사이드란 클라이언트에서 동작한다는 의미다. 여기서 우리는 서버와 클라이언트의 차이가 무엇인지부터 이해해야 더 나아갈 수 있다. ...

지난 포스팅에 이어 권한 상승 2편이다. 필자는 MITRE ATT&CK 페이지를 살펴보는게 취미다. 아직 실력에 자신이 없어서이기도 하고, 새로운 기술들을 살펴보는게 재밌기 때문이기도 하다. 현대 발생하는 취약점 중 가장 위험한 것 몇가지를 꼽아보라면 필자는 다음 세 개를 들어보고싶다. LPE, RCE, SQLI 각각 Local Privilege Escalation, Remote Code Execution, SQL Injection 이다. 특히 RCE와 LPE가 합쳐진다면 그 파괴력은 가히 무시무시해진다. 그래서 항상 이런 LPE나 RCE 취약점이 발견되면 소프트웨어나 운영체제는 hot fix를 내놓는다. 여러분들도 보안패치는 바로바로 수행하길 바란다. ...

지금은 2025년이다. DirtyCOW취약점이 아마.. CVE-2016으로 시작했으니 거의 10년쯤.. 된 취약점이다. 지금와서 무슨 DirtyCOW 취약점 분석이냐 라고 할 수도있지만, 여긴 내블로그니까 내맘대로 할거다 :P 이번 포스팅에서는 더티카우 취약점과 race condition 그리고 쓰레드의 특징에 대해서 한번 얘기해보려고 한다. 우선은.. race condition부터다. 1. Race Condition 레이스 컨디션은 경합 조건이라고도 한다. 이는 서로 다른 두 작업이 하나의 결과물을 공유할때 서로의 결과물에 영향을 미칠 수 있는 상태를 의미한다. 예를 들어보자. result 파일의 초기 값은 10이다. A는 result 라는 파일을 열어 값을 확인한 후 +1을 계산한 값을 결과에 저장한다. B는 result 라는 파일을 열어 값을 확인한 후 +5를 계산한 값을 결과에 저장한다. 자 이때 어떤 문제가 발생하는가? ...

시작하며 권한 이라는것은 운영체제가 시스템을 안전하게 운용하고, 또 사용자에게 제한된 안전한 기능만을 제공하기 위한 필수적인 안전장치다. 예를 들어보자. 리눅스 시스템에서 일반 사용자에게 root권한이 부여되면 어떻게 될까? 리눅스 시스템에서 root이란 무불소위의 권력을 의미한다. 즉 이 시스템에서 나는 왕이며 황제가 되는것이다. 행여나 실수로 중요한 설정 파일을 변경하거나, 삭제하기라도 한다면? 또는 rm -rf 명령을 엉뚱한 경로에서 수행한다면? 심각한 문제가 아닐 수 없다. 윈도우 운영체제에서 한번 생각해보자. 윈도우 운영체제에도 root과 비슷한 레벨의 권한이 있다. ...