앵하니의 더 나은 보안

금융권에서 ahnlab safe transaction을 웹 보안솔루션으로 많이 사용들한다. 이 솔루션이 필수 설치프로그램으로 있다면, 웹 서버에 접근하고 거의 동시에 프록시 프로그램과 브라우저 개발자 도구를 사용할 수 없게 종료된다. 예로, 한국투자증권 웹 서비스를 진단하기위해 크롬 개발자도구와 burp suite를 실행했을때, 브라우저에서 웹 서버에 접근함과 거의 동시에 크롬 개발자도구와 burp suite가 강제로 종료된다. 가만히 있는데 어떻게 Ahnlab Safe Transaction이 실행되는지 궁금해서 process hacker로 확인해보니 애초에 솔루션이 백그라운드에서 SYSTEM권한으로 실행돼 있음을 확인했다. administrator 권한도 아니고 어떻게 sysetm권한으로 실행했는지 모..

무선 랜 공유 단말기 관련 시나리오 모의해킹 중, 무선랜의 mac주소를 화이트리스트 기반의로그인 등록된 mac주소로 변경하려하니 윈도우 os에서는 mac주소 12자리 중 두번째 자리가 2, 6, A, E인 mac주소로만 변경되는걸 확인했다. 왜 그런고 하니 어쨋든 mac주소는 48자리의 비트로 이루어져있는데, 왼쪽에서 7번째 8번째에 위치한 비트가 각각 1, 0으로 존재해야 한단다. 이건 또 왜 그런고 하니 7번째에 위치한 비트를 로컬 비트라고 칭하는데, 이 로컬비트는 사용자가 임의 맥주소 지정 유무를 뜻하는 비트로 1로 존재하면 사용자 로컬(임의의) 맥주소, 0으로 존재하면 랜카드 본디 고유의 맥주소라고 판단한단다. 특히 802.11x(와이파이)에서는 이 로컬비트가 1로, 그 다음비트가 0으로 세팅된 ..

AWS 관련 CTF 문제를 풀 수 있는 사이트가 있어 소개하고, level 1 write up을 작성한다. http://flaws.cloud

모 금융 어플리케이션의 취약점 진단을 위해 루팅탐지를 우회 해야했는데, 그럴려면 native 소스를 확인해야했다. 그래서 base.apk에서 so파일들을 추출하려 했더니 그 안에는 lib 폴더가 없었다. 근데 또 마침 이상황에서 apktool을 사용한 디패키징도 assets의 이상한 dex파일 때문에 에러났다. 뭐 smali 버전 때문이라나 뭐라나 그래서 그냥 단말기의 /data/app 경로에서 lib폴더를 꺼내야겠다 싶어 단말기에서 lib 폴더에도 접근해봤더니, 거기에도 마찬가지로 so 파일들이 없었다. 그러곤 여차저차 삽질하다 어쨋든 단말기에 so파일이 있겠거니싶어 /data/app/어플리케이션/ 경로로 접근해 하위에 존재하는 모든 파일들을 adb pull로 추출하기로 했다. 그랬더니 그냥 4개 ap..