annyoung

폴더 정리하다가 찾은 코드인데 나름 재밌었던 취약점이었다. example.com의 서버가 이미지 다운로드를 지원하고 있었고, 아마도 example.com이 DMZ에 있던거 같은데 이로 인해서 내부 git에 접근할 수 있던 취약점이었다. 물론 git commit date가 최소 2 years ago 이러다보니.. 버려진 사이트 같았고 인증 절차가 없다보니 git에 업로드된 소스코드들을 볼 수 있었다.import requestsfrom flask import Flask, requestapp = Flask(__name__)@app.route('/gitweb')def index(): return requests.get('https://example.com/v1/download/image', dict( ..

2024년 7월 25일에 추가된 WebAPI oncontentvisibilityautostatechange 덕분에 input type이 hidden인 경우에도 XSS를 트리거할 수 있게 되었다.  * 페이로드 출처: https://x.com/kinugawamasato/status/1816234368714871185

항상 sourcemap 관련해서 글을 쓰게 되는데, 오늘은 모의해킹하면서 신기한 서비스를 하나 발견했다. 대부분의 sourcemap은 asset들 가장 최하단에 //# sourceMappingURL=/hashed-assets/2189-fba78f1fdbd912f4.js.map 이렇게 붙게 되고, 크롬에서는 이를 파싱해서 sourcemap 파일과 매핑해서 원본 소스코드를 보여준다. ms teams에서는 sourcemap에 대한 민감도를 인지하고 있는지, 내부(로컬)에서만 사용할 수 있도록 URL을 구성해놨다. 이런 경우엔 외부에서 local.teams.office.com엔 접속이 불가능하지만, 내부에서는 DNS던 hosts 파일이던 해당 도메인의 IP를 받아올 수 있고 접근할 수 있다. 도메인이 dev가 ..

RN 동작 방식 및 디버깅React Native는 컴파일(빌드)을 통해 모든 코드들이 *.bundle로 번들링된다. 개발자마다 bundle의 이름을 다르게 설정하기도 하는데, 기본적으로 index.ios.bundle와 index.android.bundle인 것으로 알고 있다.(또는 버전에 따라 main.jsbundle로 보여지기도 한다.)이러한 bundle은 Android의 경우 V8 Engine에서 돌아가고, iOS의 경우 JavascriptCore Engine를 이용해 구동된다. 여기서 debug 모드가 enable 되어 있는 경우 Android는 chrome remote debugging을 통해 디버깅이 가능하고, 또는 Frida를 이용해 webview의 debug 모드를 강제로 활성화 시킬 수 있..

gname(NamePoolData) 구하기NamePoolData를 얻는 방법은 버전에 따라 다르긴한데 FNamePool을 역추적해서 호출하는 녀석을 확인해야 한다. 대표적으로 하나를 확인해보면 FNamePool을 호출하면서 byte_D0DD440을 파라미터로 넘겨주는데(원래는 unk_D0DD440), 이게 NamePoolData라고 보면된다. 이렇게 NamePoolData의 offset은 0xD0DD440이다. guobj(GUObjectArray) 구하기Strings에서 GUObjectArray 검색해서 더블 클릭 여기서 xrefs로 참조하는 곳으로 간다음에 Export해서 사용하는걸 볼 수 있는데, 이거 다시 더블 클릭해서 들어가면 GUObjectArray의 offset을 구할 수 있고 0xD12192..

보호되어 있는 글입니다.

대중적으로 사용되는 웹쉘들이 업로드가 아예 안됐는데 앞단에 WAF가 존재했고, IIS 서버에서는 안랩 랜섬웨어 관련 백신이 돌고 있었다. 안올라가는 이유를 모르겠으나.. ModSecurity가 돌고 있는것 같기도하고.. 확실하진 않다. Set, Let과 같은 지시어를 사용해 변수 선언이 아예 불가능해서 하나 하나 테스트하면서 결국 찾았다.. Upload 되는 디렉토리에서는 실행 권한이 빠져있는 것 같아서 최상위 디렉토리로 올려서 실행했다. 아무튼 사용 방법은 /shell.aspx?x=dir로 사용하면 된다.

버프슈트를 껐다 켰다할 때마다 프록시 설정을 On/Off 해줘야 하는데 무척이나 번거롭다. alias proxy_enable="networksetup -setwebproxy wi-fi 127.0.0.1 8080; networksetup -setsecurewebproxy wi-fi 127.0.0.1 8080"alias proxy_disable="networksetup -setwebproxystate wi-fi off; networksetup -setsecurewebproxystate wi-fi off"위 커맨드를 .zshrc 또는 .bashrc 아니면 /etc/profile에 넣어주고 터미널 껐다 키면 설정이 저장된다. 해당 커맨드를 통해 현재 연결된 와이파이에 HTTP/HTTPS 프록시 설정을 127.0..

개인적으로 느끼는게 SSRF가 pdf generator에서 많이 발생하곤 한다. pdf 파일을 vi나 xxd로 확인해보면 Chromium이거나, Skia/PDF인 경우 chromedriver에서 렌더링하기 때문에 XSS로 인해 SSRF가 많이 발생한다. 사이트 기능중에 pdf generator가 있다면 한번쯤 테스트 해보는걸 추천한다. 테스트 하는 방법은 다음과 같다. pdf generator에서 필요한 값에 위처럼 입력하면 fetch로 공격자 서버에 요청보내게 되어 SSRF가 발생하는걸 볼 수 있다.

이 글을 쓰는 이유는 모의해킹 하다보면 여러가지 프레임워크나 라이브러리 등을 만날 수 있는데, 번들링으로 인해 소스코드 디버깅이 힘든 경우가 매우 많다. vanilajs의 경우 그냥 Event Listeners에서 click 이벤트만 확인하면 끝이 나겠지만, 프레임워크나 라이브러리의 경우 Event Listeners에서 확인해도 번들링 되어 엉뚱한 곳으로 안내하기 때문에 디버깅이 힘든 경우가 대다수다. 그래서 생각해낸게 API context를 확인하여 Sources 패널에서 검색하면 이처럼 디버깅이 가능하다. 아무리 번들링이 되었더라도 API 전송할 때 브레이크 포인트 설정만 잘 해놓는다면 react의 redux던 vue의 vuex던 내 상태관리에 들어가는 값들을 맘대로 수정할 수 있다. 위 이미지를 예..