annyoung

항상 sourcemap 관련해서 글을 쓰게 되는데, 오늘은 모의해킹하면서 신기한 서비스를 하나 발견했다. 대부분의 sourcemap은 asset들 가장 최하단에 //# sourceMappingURL=/hashed-assets/2189-fba78f1fdbd912f4.js.map 이렇게 붙게 되고, 크롬에서는 이를 파싱해서 sourcemap 파일과 매핑해서 원본 소스코드를 보여준다. ms teams에서는 sourcemap에 대한 민감도를 인지하고 있는지, 내부(로컬)에서만 사용할 수 있도록 URL을 구성해놨다. 이런 경우엔 외부에서 local.teams.office.com엔 접속이 불가능하지만, 내부에서는 DNS던 hosts 파일이던 해당 도메인의 IP를 받아올 수 있고 접근할 수 있다. 도메인이 dev가 ..

RN 동작 방식 및 디버깅React Native는 컴파일(빌드)을 통해 모든 코드들이 *.bundle로 번들링된다. 개발자마다 bundle의 이름을 다르게 설정하기도 하는데, 기본적으로 index.ios.bundle와 index.android.bundle인 것으로 알고 있다.(또는 버전에 따라 main.jsbundle로 보여지기도 한다.)이러한 bundle은 Android의 경우 V8 Engine에서 돌아가고, iOS의 경우 JavascriptCore Engine를 이용해 구동된다. 여기서 debug 모드가 enable 되어 있는 경우 Android는 chrome remote debugging을 통해 디버깅이 가능하고, 또는 Frida를 이용해 webview의 debug 모드를 강제로 활성화 시킬 수 있..

VBScript로 테두리 넣으려니 자꾸 에러가 난다.. 게다가 웹에서 보고서 뽑을때 Table 셀들을 Merge해서 다운로드하고 있는데, VBScript로 후처리를 해주는 것보다 보고서 생성하면서 테두리를 넣는게 좋지 않을까 싶어서 삽질을 좀 했다. python docx-template 모듈을 사용중인데, 이미지 넣는것만 지원하고 border는 지원하지 않더라. 결국 docx xml 객체를 구현해야 하는데.. 우선 테두리가 없는 버전과 있는 버전의 xml을 비교했다.  이건 테두리 없는 이미지의 xml  ..

지금은 공개해도 되지 않을까 싶어 공익 차원으로 글을 작성해본다. 안전결제 관리자 페이지 사이트 내 기능들은 관리자정보수정, 사이트설정, 카페관리, 상품관리, 주문관리, 접속위치관리로 나눠져 있으며 나름 체계적으로 운영된다. 그리고 우측 상단의 만료날짜를 볼 수 있는데, 사이트 제작자가 타 사기꾼에게 대여하는 식으로 운영을 하고 있는것으로 보여진다. 그런데 본지가 받은 제보에 따르면 다 비슷한 이유가 있다. 바로 가짜 안전거래 사이트를 만들어 호스팅하는 업체가 있다는 사실이다. 쉽게 말하면, 서비스형 랜섬웨어처럼 서비스형 가짜 안전거래 사이트가 있다는 얘기다. 즉, 1명 혹은 1개의 조직이 가짜 안전거래 사이트를 만든 후, 이를 또 다른 사기꾼에게 대여해 사기를 칠 수 있도록 한다. 중고나라 안전결제 ..

가끔 하는데 하다보니 헷갈려서 대충 정리해본다.환경Ubuntu 24.04 LTS (GNU/Linux 6.8.0-1009-aws x86_64) 계정 추가sudo suuseradd -m -s /bin/bash [계정명]passwd [계정명] # 새계정 비밀번호 변경passwd ubuntu # default user 비밀번호 변경passwd # root 비밀번호 변경 sudoers 설정sudo vi /etc/sudoerssudoers 열고 다음 내용 추가[계정명] ALL=(ALL:ALL) ALL그래야 sudo 사용할 수 있다. ssh 설정sudo vi /etc/ssh/sshd_configsshd_config 수정 PasswordAuthentication yesKbdInteractiveAuthenti..

거의 대다수가 대기열을 접속할 때 NetFunnel를 사용하고 있는데, URL이 노출되서 우회해서 접속하기 쉬운 서비스가 있는 반면에.. 일반 사용자들은 하나하나 분석하기가 힘들다. 구글링하다가 좋은 스크립트를 찾아서 조금 수정해서 올려본다. typeof NetFunnel?.gControl?.next?.success === 'function' ? NetFunnel.gControl.next.success({}, {data:{}}) : console.error('NetFunnel not found');

gname(NamePoolData) 구하기NamePoolData를 얻는 방법은 버전에 따라 다르긴한데 FNamePool을 역추적해서 호출하는 녀석을 확인해야 한다. 대표적으로 하나를 확인해보면 FNamePool을 호출하면서 byte_D0DD440을 파라미터로 넘겨주는데(원래는 unk_D0DD440), 이게 NamePoolData라고 보면된다. 이렇게 NamePoolData의 offset은 0xD0DD440이다. guobj(GUObjectArray) 구하기Strings에서 GUObjectArray 검색해서 더블 클릭 여기서 xrefs로 참조하는 곳으로 간다음에 Export해서 사용하는걸 볼 수 있는데, 이거 다시 더블 클릭해서 들어가면 GUObjectArray의 offset을 구할 수 있고 0xD12192..

보호되어 있는 글입니다.

대중적으로 사용되는 웹쉘들이 업로드가 아예 안됐는데 앞단에 WAF가 존재했고, IIS 서버에서는 안랩 랜섬웨어 관련 백신이 돌고 있었다. 안올라가는 이유를 모르겠으나.. ModSecurity가 돌고 있는것 같기도하고.. 확실하진 않다. Set, Let과 같은 지시어를 사용해 변수 선언이 아예 불가능해서 하나 하나 테스트하면서 결국 찾았다.. Upload 되는 디렉토리에서는 실행 권한이 빠져있는 것 같아서 최상위 디렉토리로 올려서 실행했다. 아무튼 사용 방법은 /shell.aspx?x=dir로 사용하면 된다.

사실 본인은 그냥 안전결제 사기가 어떻게 이어지는지 궁금했다. 그냥 계좌이체 해주면 답장안하고 먹튀하는줄 알았는데 이번에 답장이 또 왔다.  어차피 사기꾼은 이체내역을 확인하지 못한다고 판단했다. 왜냐면 타인의 통장이기 때문에 이체내역을 확인할 수 없기 때문이다. 첫 번째 링크에 접속해보면 위와 같이 보여지는걸 알 수 있었고, 되었습니다를 되였습니다로 표현하고 있고, 결제해주세요를 결제헤주세요 라고 표기하고 있는 것으로 보아 틀리는 걸로 보아서는 한국인보다는 중국/조선족인 것 같다. 여기서 조심해야할 것은 내 계좌번호가 사기꾼에게 넘어가는 순간 내 계좌에 이와 같은 보이스피싱 피해액들이 나에게 이체될 가능성이 높다는거다. 따라서 내 계좌번호가 노출되지 않도록 조심해야한다. 내 계좌로 피해자의 금액이 이체..