CodeEngn Malware Analysis Level2

이번 문제는 소스코드를 보고 어떠한 것을 공격해야 될지 맞추는 문제..

네트워크 관련해서 큰 지식이 없기 때문에 자세하게는 분석하기 힘들고.. 또한 문제에 쉘코드 정보가 없기 때문에 분석을 할 순 없다.. 그래서 소스코드를 보고 대충 유추하는 형식으로 해야했다. 소스코드를 봐보겠습니다.

처음 부분입니다. ( 잘 안보이시면 클릭 )

여기에 있는 문자열들 가지고 대충 유추를 해야되므로 처음 부분을 본 결과 xml버전이 나와있고.. DAV라는 문자열도 있습니다.

DAV란 Distributed Authoring and Versioning의 약자입니다.

DAV가 들어간 말 중에는 제가 아는건 WebDav밖에 없습니다. 그러면 WebDav가 무엇인지 알아보겠습니다.

구글에서 설명을 찾아보니 텀즈에 자세한 설명이 있었습니다.

http://www.terms.co.kr/WebDAV.htm

WebDAV (World Wide Web Distributed Authoring and Versioning)

WebDAV[웹답]은 웹상의 공동 저작활동을 지원하기 위한 IETF 표준으로서, 멀리 떨어져 있는 사용자들 간에 인터넷을 통해 파일을 공동 편집하고 관리할 수 있도록 해주는 일련의 HTTP확장이다. WebDAV은 원격 그룹들 간에 새로운 방식으로 공동 작업을 가능하게 함으로써, 가상 기업의 개발 효과를 가질 것으로 기대된다. 예를 들면, 비즈니스 계획을 개발하고, 소프트웨어를 창작하거나 정보를 생산하기 위해 가상 조직들이 WebDAV에 해당하는 여러 도구들을 사용할 수 있을 것이다. WebDAV 작업그룹은 W3C 응용 부문의 일부로서, 이 그룹의 설립 취지는 "사용자 요구를 지원하는 동시에 광범위한 공동 이용이 가능한 분산 웹 저작도구를 가능케 하는 HTTP 확장판을 정의하기 위한 목적을 가지고 있다"고 한다. WebDAV은 HTTP가 기본적으로 가지고 있는 읽기 속성에다가 쓰기 속성을 추가함으로써, 웹을 통한 공동 저작에 대한 초기 예상치를 충족시킬 것으로 기대되고 있다. WebDAV은 기업의 인트라넷 상에서 하는 것과 동일한 방식으로, 사용자들이 웹 상에서 공동 작업을 할 수 있도록 해줄 것이다. WebDAV의 특질에는 다음과 같은 것들이 있다. 흔히 동시성 제어라고 불리는 파일 잠금 기능 : 파일에 내용이 겹치기로 쓰여지는 것을 예방한다. 메타데이터 상의 저장 및 검색 연산을 촉진하기 위한 XML 속성 : 다른 데이터에 관한 데이터가 조직화 될 수 있도록 해 준다. DAV 프로토콜 : 속성의 설정, 삭제 및 검색을 가능하게 해준다. DASL 프로토콜 : 웹상의 자원을 찾을 때 속성 값에 기반 하여 검색할 수 있게 해준다. 이름공간 처리 : 복사 및 이동 연산을 지원한다. 파일 시스템 디렉토리와 비슷한 콜렉션이 만들어지고 목록화될 수 있다.

일단 이것을 읽어본 결과 해당 소스의 body만 봐도 무엇을 공격하려고 하는지는 아마 알 수 있을 것입니다. 나머지 소스코드를 봐보겠습니다.

그 아래를 보니 해당 IP주소의 80번 포트를 스캔하고 있는거 같습니다. 스캔이 성공했다면 

해당 주소를 인자로 Exploit함수를 호출하고 있네요.

Exploit함수는 쉘코드를 웹에 보낼 형태로 다듬고 보내는 과정인거 같습니다. 쉘코드에 대한 정보는 없으니 더 이상 분석은 할 필요가 없습니다.

간단히 body부분을 보고 알수 있었던 문제입니다.

심심할 때 한문제씩 하니 재미있군요. 이런쪽은 공격기법을 잘 모르는데 하나하나 지식을 넓혀가는게 좋습니다 ㅜㅜ