Sunnyday's Free talk

특정 솔루션에 한해서 먹히긴하지만.......
SQL 인젝션.. 이라고 말하기도 부끄럽다..
아직도 이런게 먹힐 줄이야..

URI에 ' 도 없이 SQL 쿼리를 날렸는데.. 먹히네..

select * from usr

하하..

정리 좀 하고.. 나중에 공개~
우연하게 얻어걸리긴했지만.. 취약점 연구는 재밌는 것~

작년 1월 경, 휘슬 패턴을 추출한적이 있습니다.
지인이 해보라고 해서.. 했던거고.. 그땐 그걸 어떤식으로 사용할 수 있을지를 몰랐더랬죠..
1년이 지난 얼마전에 다시 한번 휘슬 패턴을 추출하였습니다.
역시.. 이번 추출도 공부 목적!!
(단, 저번에는 뚫는데 목적이 있었으나.. 이번엔 웹쉘 탐지패턴을 이해하고자 하는 바램에서.. ^^;)

근데 저번이랑 똑같은 프로그램인데도.. 작년이랑 틀리게.. 너무 쉽게 풀어버렸습니다;;
작년엔 왜 코드의 흐름을 그렇게 생각했을까요? ^^;;

암튼.. 아래가 휘슬 패턴의 일부분 입니다.

너무 작나요? ^^; 클릭하면 크게 보일지도 모르겠네요..

좌측이 작년버전.. 우측이 얼마전에 추출한 버전입니다.
뭔가 이상한게 보이시나요?

네. 패턴 넘버는 똑같은데 패턴이 조금 변경된 것들이 다수 있네요.
네. 패턴이 삭제된 것들이 있네요.
네. 패턴이 추가된 것들이 있네요.

홈페이지에도 패턴 업데이트 관련 공지사항이 없어 언제 업데이트가 된건진 모르겠으나..
업데이트가 되고있고
업데이트 시, 패턴 파일 전체가 업데이트 되는 듯 싶으며..
꾸준히 관리하면서 오탐나는 패턴은 수정/삭제가 이루어지는 듯한 모습이네요.

올해 추출한 패턴은 1144개.
구체적으로 추가/변경/삭제 된 패턴은 비교분석해봐야 알겠지만.. 이 또한 공부가 많이 되겠네요 ^^

출처 : http://malwarelab.tistory.com/147

웹은 딱히 내 취향은 아니지만.. 공부공부!!
웹쉘 100개..
시간날때 하나씩 구해서 해봐야지..
언젠간 도움이 되거찌~~~~ +_+;;
(근데 어서 구하지? -_-ㅋㅋ)

C99Shell v. 1.0 beta (5.02.2005)  PHP   
Cyber Shell  PHP   
GFS Web-Shell  PHP   
NFM 1.8  PHP   
r57shell  PHP   
Small Web Shell by ZaCo  PHP   
nsTView v2.1  PHP   
DxShell v1.0  PHP   
C99madShell v. 2.0 madnet edition  PHP   
CTT Shell  PHP   
GRP WebShell 2.0 release build 2018 (C)2006,Great  PHP   
Crystal shell  PHP   
Loaderz WEB Shell  PHP   
NIX REMOTE WEB SHELL  PHP   
Antichat Shell  PHP   
CasuS 1.5  PHP   
Sincap 1.0  PHP   
C99Shell v. 1.0 pre-release build(safe-mode)  PHP   
hiddens shell v1  PHP   
Web-shell (c)ShAnKaR  PHP   
Predator  PHP   
KA_uShell 0.1.6  PHP   
NGH  PHP   
C2007Shell v. 1.0 pre-release build #16 Modded by Adora & u9 h4c93r  PHP   
Antichat Shell. Modified by Go0o$E  PHP   
c0derz shell [csh] v. 0.1.1 release  PHP   
iMHaBiRLiGi Php FTP  PHP   
PHVayv  PHP   
phpRemoteView  PHP   
STNC WebShell v0.8  PHP   
MyShell  PHP   
ZyklonShell  PHP   
AK-74 Security Team Web Shell Beta Version PHP   
Gamma Web Shell  Perl-Cgi   
go-shell  Perl-Cgi   
PhpSpy Ver 2006 Perl-Cgi   
CmdAsp.asp.txt  ASP   
CyberSpy5.Asp.txt  ASP   
klasvayv.asp.txt  ASP   
indexer.asp.txt  ASP   
NTDaddy v1.9  ASP   
reader.asp.txt  ASP   
RemExp.asp.txt  ASP   
zehir4.asp.txt  ASP   
Elmaliseker.txt  ASP   
EFSO_2.txt  ASP   
accept_language  PHP   
Ajax_PHP Command Shell  PHP   
Antichat Shell v1.3  PHP   
Ayyildiz Tim -AYT- Shell v 2.1 Biz  PHP   
aZRaiLPhp v1.0  PHP   
backupsql  PHP   
c99  PHP   
c99_locus7s  PHP   
c99_madnet  PHP   
c99_PSych0  PHP   
c99_w4cking  PHP   
Crystal  PHP   
ctt_sh  PHP   
cybershell  PHP   
dC3 Security Crew Shell PRiV  PHP   
Dive Shell 1.0 - Emperor Hacking Team  PHP   
DTool Pro  PHP   
Dx  PHP   
GFS web-shell ver 3.1.7 - PRiV8  PHP   
gfs_sh  PHP   
h4ntu shell [powered by tsoi]  PHP   
iMHaPFtp  PHP   
ironshell  PHP   
JspWebshell 1.2  PHP   
KAdot Universal Shell v0.1.6  PHP   
lamashell  PHP   
Liz0ziM Private Safe Mode Command Execuriton Bypass Exploit  PHP   
load_shell  PHP   
matamu  PHP   
Moroccan Spamers Ma-EditioN By GhOsT  PHP   
myshell  PHP   
Mysql interface v1.0  PHP   
MySQL Web Interface Version 0.8  PHP   
mysql  PHP   
mysql_tool  PHP   
NCC-Shell  PHP   
NetworkFileManagerPHP  PHP   
NIX REMOTE WEB-SHELL v.0.5 alpha Lite Public Version  PHP   
nshell  PHP   
nstview  PHP   
PH Vayv  PHP   
PHANTASMA  PHP   
PHP Shell  PHP   
php-backdoor  PHP   
php-include-w-shell  PHP   
pHpINJ  PHP   
PHPJackal  PHP   
PHPRemoteView  PHP   
Private-i3lue  PHP   
pws  PHP   
r57  PHP   
r57_iFX  PHP   
r57_kartal  PHP   
r57_Mohajer22  PHP   
rootshell  PHP   
ru24_post_sh  PHP   
s72 Shell v1.1 Coding  PHP   
Safe0ver Shell -Safe Mod Bypass By Evilc0der  PHP   
Safe_Mode Bypass PHP 4.4.2 and PHP 5.1.2  PHP   
SimAttacker - Vrsion 1.0.0 - priv8 4 My friend  PHP   
simple_cmd  PHP   
simple-backdoor  PHP   
SimShell 1.0 - Simorgh Security MGZ  PHP   
SnIpEr_SA Shell  PHP   
Uploader  PHP   
WinX Shell  PHP   
Worse Linux Shell  PHP   
zacosmall PHP   
Antichat Shell v1.3 PHP   
Ayyildiz Tim -AYT- Shell v 2.1 Biz PHP   
aZRaiLPhp v1.0 PHP   
CrystalShell v.1 PHP   
Cyber Shell (v 1.0) PHP   
dC3 Security Crew Shell PRiV PHP   
Dive Shell 1.0 - Emperor Hacking Team PHP   
DxShell.1.0 PHP   
ELMALISEKER Backd00r ASP   
GFS web-shell ver 3.1.7 - PRiV8 PHP   
h4ntu shell [powered by tsoi] PHP   
JspWebshell 1.2 JSP   
KAdot Universal Shell v0.1.6 PHP   
Liz0ziM Private Safe Mode Command Execuriton Bypass Exploit PHP   
Macker's Private PHPShell PHP   
Mysql interface v1.0 PHP   
MySQL Web Interface Version 0.8 PHP   
NIX REMOTE WEB-SHELL v.0.5 alpha Lite Public Version PHP   
Perl Web Shell by RST-GHC PL   
Private-i3lue PHP   
RedhatC99 [login=redhat-pass=root] PHP   
Rootshell.v.1.0 PHP   
s72 Shell v1.1 Coding PHP   
Safe0ver Shell -Safe Mod Bypass By Evilc0der PHP   
Safe_Mode Bypass PHP 4.4.2 and PHP 5.1.2 PHP   
SimAttacker - Vrsion 1.0.0 - priv8 4 My friend PHP   
SimShell 1.0 - Simorgh Security MGZs PHP   
WinX Shell PHP   
Worse Linux Shell PHP

KISA 에서 Web Hacking Inspection Security Tool라는.. 줄여서 WHISTL..
휘슬이라는 툴을 민간에 배포하여 WebShell과 Malware Domain URL을 탐지하는 솔루션이다.

해당 툴을 받아서 으샤으샤!! 하면 툴안에 있는 다양한 패턴들을 확인할 수 있다.

별로 어렵진 않으니 휘슬을 구할 수 있게되면 한번정도씩 패턴이 어떤게 들어있는지 보면서 공부하는 것도 좋을 것 같다.

패턴은 암호화되어있어서 그냥은 볼 수 없으니 디버깅을 해서 보면 된다.



휘슬이란게 존재한다는 것만 알았지, 한번도 쓸 생각을 안해봤었는데
개인적으로 안타까운 점은 아래와 같다.
1. Not use packer.
2. Not use Anti-Reverse technic.
3. Decode code Locate to code head.
4. Not use decoding to need

영어를 못하는지라.. 당연히 문법에 맞지 않았을테지만.. 아쉬운건 저런 부분?
(알아서 해석? ^^;;)
4번의 경우는 속도면에서 당연히 뺀거겠지만.. 확장자를 지정해서 Search 하는데.. 굳이 저랬어야되었을까.. 라는 생각이 =_=;

2년전 취업준비 중일때, 알바로 국가영어시험 프로그램 설치 및 시험감독을 했던적이 있었는데.. 그 프로그램만 보더라도 요다로 패킹되어있어서 쉽게 언패킹을 할 수 있었는다.. 대부분의 프로그램들을 보면 보안쪽에 신경써서 설계된 모습들은 대부분 보기 힘들다는... =_=;