Limelee

AOS frida 패치 - Anti Frida 우회

LimeLee — Mon, 12 May 2025 18:37:12 +0900

모바일 앱 진단을 하기 위해선 보안 솔루션 우회가 필요한 경우도 있다.

규모가 크거나 난독화가 되어 있는 앱들은 정적 분석만으로 보기 힘들어서 동적 분석도 겸한다. 이 때 자주 사용하는 게 frida

frida로 메모리 덤프도 뜨고 로직도 우회하고 별 걸 다하니까 요즘에는 Anti Frida가 적용된 앱들이 많아졌다.

결국 이것도 우회를 할 수 있다면 할 수 있는데 문제는 날이 갈수록 탐지 로직들이 괴랄해진다.

에러 메세지도 안 띄워주고 칼같이 죽여버리는가하면 동적으로 클래스를 호출하기도 하고 .so파일이 앱 실행할 때 생성되고 지워져 라이브러리 분석을 하기 어렵게 하기도 한다.

frida 탐지의 기본적인 탐지 원리

https://hackcatml.tistory.com/96

Frida Detection Bypass(Android)

최근 들어 프리다를 탐지하여 앱을 종료시키는 솔루션들이 꽤 많습니다. 이렇게 되면, 진단하는 입장에서는 애를 먹을 수 밖에 없습니다. 그래서, AOS에서 몇몇 기본적인 프리다 탐지원리 및 우

hackcatml.tistory.com

frida를 앱에 attach 하게 되면 앱에 여러 흔적이 남는데 /proc/<pid>/ 하위의 파일들을 fopen 함수나 java.io.File 클래스로 읽어오거나 혹은 그 외의 방법을 이용해서 그 흔적들을 확인한다는 것.

탐지 로직이 괴랄해서 무슨 Native API를 후킹해야하는지 몇 개의 탐지로직을 제껴야하는지 도저히 파악이 안되니 그냥 frida라는 문자열이 찍히지 않으면 되겠구나 싶었다.

https://github.com/AsenOsen/frida-stealth

GitHub - AsenOsen/frida-stealth: Stealth patch for Frida, stealth knowledge collection

Stealth patch for Frida, stealth knowledge collection - AsenOsen/frida-stealth

github.com

https://github.com/JsHookApp/Frida-Patchs

GitHub - JsHookApp/Frida-Patchs: Simple frida anti-detection patch

Simple frida anti-detection patch. Contribute to JsHookApp/Frida-Patchs development by creating an account on GitHub.

github.com

위의 두 레포를 참고했다. 위 레포에서 추가로 더 수정을 해서 빌드를 한다.

frida-core와 gum에서 frida, gmain 등 탐지 문자열을 다 변경했다.

빌드를 하면 몇가지 파일이 생성되는데 frida-server는 실행은 되지만 심볼 명 등이 변경되서 그런지 python-frida에서 앱에 attach를 못한다.
python-frida도 패치된 frida-core로 빌드해주면 되는데 그냥 대안으로 frida-inject 를 이용했다. spawn 기능은 없지만 Termux 등을 통해 단말기 내부에서 attach가 가능하니 USB 디버깅 탐지도 그냥 옵션을 끄는 것으로 우회 가능하다.

frida가 안 죽으니 마음껏 후킹 할 수 있다.

Burp Suite에서 Custom 필터링: Bambdas 사용하기

LimeLee — Thu, 20 Jun 2024 17:57:06 +0900

Burp Suite의 History 및 Logger 탭에서는 다양한 필터링 기능을 제공하지만, 문자열 검색 범위를 response로 제한하거나, 특정 헤더가 포함된 request로 필터링하고 싶을 때 아쉬운 부분이 있다.

이런 경우에 유용한 기능이 Bambdas. Fiddler Classic의 커스텀 스크립트와 같이 정교한 필터링을 구현이 가능하다.

Bambdas 예시

Proxy > HTTP history > Filter settings에서 Bambda mode 를 선택하면 커스텀 필터를 작성할 수 있다.

Montoya API를 기반으로 작성하고, 메소드 등은 공식 홈페이지 문서 페이지에서 확인 가능하다.

예시로 response에서만 특정 문자열을 검색하려면 다음과 같은 코드를 작성할 수 있다.

if (requestResponse.hasResponse()) {
    var response = requestResponse.response();
    return response.contains("---찾고자 하는 문자열---", true);
}
return false;

해당 코드를 작성한 후 Bambdas에 적용하면, response 내에서만 특정 문자열을 포함하는 항목들로 필터링이 가능하다.

참고

SFTP Chroot 감옥 사용자 생성

LimeLee — Mon, 1 Apr 2024 19:23:36 +0900

일부 사용자끼리 특정 디렉터리 내 읽기/쓰기 권한을 주어 파일을 공유하고 싶다.

공유 계정은 아래의 조건을 만족해야 한다.

공유 계정은 SSH 접근 불가능
지정된 공유 디렉터리 상위로 이동 불가

SSH 서버의 sshd_config 설정을 통해 어렵지 않게 구현할 수 있다.

1. 사용자 생성

먼저 공유할 계정을 생성한다.

쉘 접근이 불필요한 계정일 경우 nologin으로 설정한다.

$ useradd share
$ passwd share
$ vi /etc/passwd

share:x:1010:1010::/home/share:/usr/sbin/nologin

2. sftp & Chroot 적용

아래의 sshd_config 설정을 적용하면 ssh로 쉘에 접근 할 수 없다.

$ vi /etc/ssh/sshd_config

Subsystem sftp internal-sftp

Match User share
	ChrootDirectory /home/share
	ForceCommand internal-sftp

$ service ssh restart

3. 디렉터리 설정

SSH 재시작 후 share 계정으로 SSH 쉘 접근이 불가능해지고, sftp로만 접근할 수 있게 된다.

만약 SSH가 연결이 반복적으로 끊어지는 문제가 발생한다면, Chroot 디렉터리의 권한 설정이 잘못된 경우일 수 있다.

아래와 같이 Chroot 디렉터리와 상위 디렉터리의 권한을 설정한다.

Chroot 디렉터리 및 상위 디렉터리 권한: root 소유자, 755 권한
Chroot 디렉터리의 그룹: share

예시로 /home/directory/share를 ChrootDirectory 라면 권한은 다음과 같이 되어야한다.

drwxr-xr-x root:root home/

drwxr-xr-x root:root directory/

drwxr-xr-x root:share share/

만약 상위 디렉터리의 권한을 변경할 수 없는 상황이라면, 심볼릭 링크를 사용할 수 있다.

Chroot 디렉터리로 사용하고 싶은 디렉터리의 상위 경로(/test/direc/tory/) 권한을 변경할 수 없고, /home/share는 Chroot 권한 조건을 만족할 수 있는 경우 다음과 같이 설정할 수 있다.

$ ln -s /test/direc/tory/share /home/share

그 후, sshd_config에서 Chroot 경로를 /home/share로 지정하고 SSH 서비스를 재시작하면 Chroot가 정상 작동한다.

eval()과 Function 생성자의 Scope

LimeLee — Fri, 12 Jan 2024 19:26:55 +0900

eval을 절대 사용하지 말 것!

eval() - JavaScript | MDN

**eval()**은 문자로 표현된 JavaScript 코드를 실행하는 함수입니다.

developer.mozilla.org

eval()은 인자로 받은 코드를 caller의 권한으로 수행하는 위험한 함수입니다. Function으로는 실현할 수 없는 공격이 가능합니다.
라고 작성되어있는데 정확히 이게 무슨 소린가 싶다. 그래서 좀 찾아봤다.

자바스크립트에는 스코프(Scope)라는게 있는데 전역 스코프, 블록 스코프, 함수 스코프가 존재한다.

JavaScript Scope

W3Schools offers free online tutorials, references and exercises in all the major languages of the web. Covering popular subjects like HTML, CSS, JavaScript, Python, SQL, Java, and many, many more.

www.w3schools.com

	let	const	var
유효범위	Block Scope	Block Scope	Function Scope
값 재정의	O	X	O
재선언	X	X	O

출처: https://joooing.tistory.com/entry/Scope

function func() {
    var a = 1;
}

console.log(a);

예로 들면 var a는 func의 함수 스코프에서 유효하므로 func 함수 밖에서 a 변수에 접근할 수 없다.

Function 생성자나 eval 함수를 통해 생성된 함수에도 이런 스코프가 존재한다.
Function 생성자는 전역 스코프에서만 실행되는 함수를 만들게 된다.

반면 eval()는 caller 권한 즉, 함수 자신을 호출한 함수에 따라 전역 함수가 될 지 내부 함수가 될지 달라진다.

예시로 사용자의 입력 값이 func()이라는 함수 내 반영되고 eval 또는 Function 생성자를 통해 스크립트를 실행한다면 이런 차이가 발생하게 된다.

eval은 func의 a변수에 접근할 수 있지만 Function은 a변수에 접근할 수 없다.

eval("console.log(a)")의 Scope

Function("console.log(a)")()의 Scope

Function 생성자로 실현할 수 없는 특수한 상황이 뭔지는 알겠는데

사용자의 입력 값이

함수 내에 반영되고
스크립트를 임의 실행이 가능하고
함수 내 공격자 관점에서 유의미하게 활용할 수 있는 데이터가 존재하는 경우

같은 제한적인 상황이라서 Function 생성자에 비해 엄청나게 위험한 것 처럼 작성된 이유도 모르겠고 (eval을 절대 사용하지 않아야한다기보다 사용자 입력 값이 스크립트로 해석되지 않는 게 중요한게 아닌지) 자주 써먹을 수 있을지도 잘 모르겠다.

https://dreamhack.io/wargame/challenges/1578

JS is the best

JavaScript is the best programming language :)

dreamhack.io

Funtion 생성자로는 실현할 수 없고 유의미하게 활용될 수 있는 데이터를 조작 가능한 상황과 관련된 wargame
정확히 말하면 출제자의 인텐대로라면 Function 생성자로도 가능하지만 언인텐은 Function 생성자로는 불가능하다.

해당 문제를 풀면서 추가로 알게된 지식은

1. node.js 은 파일마다 모듈 스코프를 가지고 있음
node server.js 로 실행했더라도 server.js 안에서 정의된 변수들은 전역 스코프에 해당하지 않는다.
html에서 <script> 태그의 최상위에 정의하면 전역 스코프에 속했지만 node.js 는 그게 아닌가봄

2. eval을 간접 호출 시 전역 스코프에서 실행됨
eval을 직접 호출하면 자신을 호출한 함수의 스코프에서 실행되지만 z=eval; z(...) 와 같이 간접 호출로 할 시 전역 스코프에서 실행된다.

<script>
function y(s) {

  const c = 3;
  function x() {
     eval('console.log(`직접 호출 : ${c}`)');
     eval('z=eval;e="console.log(`간접 호출 : ${c}`)";z(e);');
  };

  x();
}
</script>

// eval('console.log(`직접 호출 : ${c}`)');
직접 호출 : 3
// eval('z=eval;e="console.log(`간접 호출 : ${c}`)";z(e);');
VM985:1 Uncaught ReferenceError: c is not defined
    at eval (eval at <anonymous> (eval at x (file:///***/test.html:7:4)), <anonymous>:1:24)
    at eval (<anonymous>)
    at eval (eval at x (file:///***/test.html:7:4), <anonymous>:1:40)
    at x (file:///***/test.html:8:4)
    at y (file:///***/test.html:11:3)
    at <anonymous>:1:1

그래서 wargame 문제의 소스코드를 직관적으로 봤을 때 조작하고 싶게끔 생긴 변수는 실제 조작이 어려울 것이다.

언인텐으로 풀고 나선 다른 변수를 조작할 수 있었으니 같은 Scope에 있는 그 변수 역시 조작이 가능한게 아닌가 쉽게 생각했지만 위의 2가지 지식을 알고 나서 왜 안되었는지 이해했음.

Github Actions로 push 이벤트 발생 시 내 서버로 배포 자동화하기

LimeLee — Tue, 5 Sep 2023 19:58:29 +0900

GitHub 리포지토리의 Actions 탭에서 CI/CD 플랫폼을 이용해 빌드, 테스트, 배포 등을 자동화할 수 있다. 공식 문서

이 GitHub Actions를 이용해 특정 브랜치에 push 이벤트가 발생할 때 설정된 서버로 자동 배포를 구현해보기로 한다.

1. GitHub Actions 설정

리포지토리의 Actions 탭을 클릭하면 자동화된 워크플로우를 설정할 수 있다.

리포지토리마다 Actions 탭이 존재함

"Set up a workflow yourself" 옵션을 선택하여 직접 작성할 수 있다.

직접 작성할 거기 때문에 "set up a workflow yourself" 선택

GitHub Actions의 워크플로우는 YAML 파일로 작성되며, 공식 문서를 참고하여 문법을 확인할 수 있다.

Workflow syntax for GitHub Actions - GitHub Docs

A workflow is a configurable automated process made up of one or more jobs. You must create a YAML file to define your workflow configuration.

docs.github.com

예시 워크플로우 설정

아래는 main 브랜치에 push 이벤트가 발생할 때 서버에 자동으로 배포하는 간단한 예시이다.

name: GitHub Actions - Test

on: 
  push:
    branches:
      - main
    
jobs:
  build:
    runs-on: ubuntu-latest
    steps:
    - name: Executing remote SSH commands using password
      uses: appleboy/ssh-action@v1.0.0
      with:
        host: ${{ secrets.HOST }}
        username: ${{ secrets.USERNAME }}
        password: ${{ secrets.PASSWORD }}
        port: ${{ secrets.PORT }}
        script: |
          cd ${{ secrets.PATH }}
          git pull origin main

on: 워크플로를 트리거하기 위한 이벤트를 정의
main 브랜치에 push 이벤트가 발생할 때 워크플로우가 실행된다.
jobs: 이벤트가 발생했을 경우 수행할 작업을 정의
build라는 이름의 작업이 정의했고, GitHub가 호스팅하는 최신 Ubuntu 머신에서 실행된다.
steps: 실행할 명령, 설정 작업
서버에 자동 배포하는 명령을 수행한다. SSH 접근 후 git pull 명령어를 실행하는 식으로 구현했고 SSH 접근은 appleboy/ssh-action 을 사용하였다.

해당 yml 파일을 레포에 추가한 후 이벤트가 발생하면 자동 배포가 된다.

2. Actions Secrets 설정

위 YAML 파일에서 ${{ secret.~~~ }} 으로 되어있는 부분은 원래라면 내 서버와 게정 정보들이 들어갈텐데 그렇게 되면 내 서버의 계정 정보가 노출되는 문제가 발생한다. 이를 방지하기 위해 Actions Secrets이라는 기능을 이용한다.

Actions Secrets 설정 방법

1. 리포지토리의 Settings로 이동한다.

2. Security 섹션에서 Secrets and variables > Actions로 이동한다.

3. New repository secret을 클릭한다.

4. 아래와 같이 필요한 정보를 입력한다.

HOST: 서버의 IP 주소
USERNAME: SSH 사용자명
PASSWORD: SSH 비밀번호
PORT: SSH 포트 번호
PATH: 배포할 서버 경로

이렇게 설정하면, YAML 파일 내에서 ${{ secrets.HOST }} 같은 형태로 해당 정보를 안전하게 호출할 수 있다.

3. 자동 배포 테스트

설정이 완료되면, main 브랜치에 임의의 push를 발생시켜 자동 배포가 정상적으로 작동하는지 테스트한다.

"자동 배포 테스트"라는 문구 추가 후 커밋

서버에 있던 README.md 파일도 수정된 것을 확인할 수 있다.

String, Number형 변수를 이용한 XSS Bypass

LimeLee — Tue, 8 Aug 2023 11:05:04 +0900

1. 문제

사용자의 입력 값을 script 태그 안의 변수에 선언하는 경우가 있다.

// Request https://test_page.xyz/test?code=CODE&mode=ACD&value=test&count=1&dept=0&name=%ED%85%8C%EC%8A%A4%ED%8A%B8

// Response
<html>
    <body>
<script>
var code = "CODE";
var mode = "ACD";
var value = "test";
var count = 1;
var dept = 0;
var name = "테스트";
</script>
    </body>
</html>

필터링이 미흡할 경우 사용자 입력 값에 악의적인 스크립트를 넣어 실행할 수 있다.

그래서 필터링을 적용해보았다. 탐지하는 문자는 다음과 같고 탐지하는 문자를 사용 시 페이지 자체가 차단되도록 했다.

' " `
%0d %0a ; %20
() [] {} . < >
+ - 
string href concat document script
alert confirm prompt console.log 
eval

URL Encoding 우회 불가 
ex) ev%61l ev%2561l 등등

구분자가 필터링되어 있으므로 code, mode, value, name는 더블 쿼터를 나갈 수 없다.

count, dept는 Number형으로 변수를 받고 있어 구분자를 사용할 필요가 없다.

count, dept 파라미터에 스크립트를 삽입하면 가능성이 있어보이지만 여러 함수들이 막혀있다. alert 및 alert를 대체할 수 있는 함수 모두 사용할 수 없다.

문자열을 스크립트로 실행할 수 있다면 alert 함수에 대한 필터링을 우회할 수 있다. Unicode escape sequence나 문자열 합치기 등이 있다. +나 concat이 필터링되어있어 문자열 합치기는 힘들 수 있지만 \xZZ 인코딩 형태를 사용함으로써 우회가 가능해보인다. 다만 어느 형태의 변수이건 구분자는 차단되어 있다.

=> 문자열 합치기
var a="al";var b="ert(1)";
"a".concat("lert(1)");
"al"+"ert(1)";

=> Unicode escape sequence
"ale\x72t(1)"

또한 문자열로 스크립트를 만들었다해도 문자열을 스크립트로 실행해야 하는 문제가 남아있다.

eval 함수는 차단되어 있고 이전 게시물에서 썼던 페이로드도 사용할 수 없다. 점 표기법, 대괄호 표기법으로 constructor에 접근하지 못하고, 소괄호가 막혀있어 생성자의 다른 문법 Function() 등을 사용할 수 없다.

JSFuck과 Function 객체 생성자를 이용한 XSS Bypass

0. 서론 스크립트 태그 영역 안에서 별도의 태그나 이벤트 핸들러를 사용하지 않고 XSS 취약점을 터트리는 경우 서버에서 XSS 스크립트 실행에 사용해야 할 함수(여기서는 'alert' 를 예시로 든다.)

blog.limelee.xyz

eval 함수는 우회할 수는 있지만 조건이 있다. 예로 들어 서버에서 사용자 입력 값에 document라는 문자열이 들어올 경우 공백으로 치환하는 필터링이 적용되어 있다면 evdcoumental 를 입력할 시 서버에서 공백처리하고 최종적으로 응답 값으로 넘어올 때는 eval이므로 함수를 사용할 수 있다. 하지만 공백 치환 필터링은 구현해두지 않았다.

이렇게 꽤나 빡빡하게 필터링되어 있으나 우회가 가능하다.

아래 우회 방법을 적어두었지만 보기 전에 한번 스스로 고민해봐도 좋을 듯 하다.

2. 우회

해당 우회에는 조건이 있다.

1. 사용자 입력 값이 반영되는 Number 형 변수와 String형 변수가 존재할 것

2. String형 변수는 반드시 Number 형 변수보다 위에 선언될 것.

위 페이지는 2가지 조건을 만족하는 value 파라미터와 count 파라미터를 이용한다.

value 파라미터는 더블쿼터 밖으로 나가 원하는 스크립트를 실행할 수 없다. 스크립트를 실행하는 구문은 count 파라미터에 입력해야한다. ; 를 사용할 수 없으므로 count 변수 선언 시 스크립트가 실행될 수 있어야 한다.

그래서 location을 사용한다.

href, ., [, ] 가 필터링되어 있지만 location.href='a' 와 location='a' 는 동일한 동작을 한다.

XSS Bypass in window.location

사용자의 입력 값이 window.location의 속성이나 메소드에 반영되는 서비스들이 종종 있다. 보통 XSS가 발생하는 공격 벡터인데 XSS 방지를 위해 싱글쿼터 또는 더블쿼터를 escape 처리를 해두기도 한다

blog.limelee.xyz

만약에 필터링이 없다 가정하고 count 파라미터에 location='javascript:alert(1)' 을 삽입하면

응답 값에는 var count = location='javascript:alert(1)' 이런 식으로 반영이 될 것이다.

그렇게 되면 count 변수에 location='javascript:alert(1)'의 결과 값인 'javascript:alert(1)'를 저장하기 위해 location='javascript:alert(1)'를 실행할 수 있게 된다.

하지만 구분자를 사용할 수 없다. 이 점을 String 형 변수 value를 이용해 우회한다.

value 파라미터에 javascript:alert(1)을 입력한다. script와 alert, (, ) 의 경우 필터링 되어 있으므로 Unicode escape sequence를 이용하여 우회한다.

응답 값에는 var value = "javasc\x72ipt:ale\x72t\x281\x29" 가 되어 value 변수에는 실행하고픈 스크립트가 선언된다.

그리고 count 파라미터에서 value 변수를 호출함으로 구분자를 사용하지 않고 스크립트를 사용할 수 있게된다.

이를 종합하여 다음과 같은 페이로드를 만든다.

value=javasc\x72ipt:ale\x72t\x281\x29&count=location=value

사용자 입력 값이 반영되는 Number 형 변수가 드물긴 하지만 사용할 시에는 유효성 검증(count 파라미터에 숫자만 받는다던지)은 반드시 필요하겠다.

JSFuck과 Function 객체 생성자를 이용한 XSS Bypass

LimeLee — Wed, 19 Jul 2023 18:16:43 +0900

0. 서론

스크립트 태그 영역 안에서 별도의 태그나 이벤트 핸들러를 사용하지 않고 XSS 취약점을 터트리는 경우 서버에서 XSS 스크립트 실행에 사용해야 할 함수(여기서는 'alert' 를 예시로 든다.) 값 자체를 필터링하고 있다면 이를 우회하기가 쉽지가 않다. 필터링되어 있지 않은 비슷한 함수 confirm, prompt 등으로 대체하거나 서비스 자체의 필터링을 이용한 방법*을 이용하는게 아니라면 alert 자체를 우회하긴 어렵다.

* 페이지를 불러오기 전 백엔드에서 "abc"를 공백으로 치환하는 서비스 자체의 시큐어코딩이 되어있을 경우 "alabcert"를 입력하여 우회 등등

그러나 해당 스크립트를 문자열을 실행할 수 있다면 이런 제한에서 비교적 자유로워 질 수 있다.

우회 예시
=> 문자열 합치기
var a="al";var b="ert(1)";
"a".concat("lert(1)");
"al"+"ert(1)";

=> Unicode escape sequence
"ale\x72t(1)"

문자열을 스크립트로 실행하는데 eval이라는 함수를 자주 사용한다.
그러나 eval 함수도 필터링 되어 있는 경우엔 어떻게 우회할 수 있을까.

상황 예시 

<script>
var a = "사용자의 입력 값";
</script>

필터링되는 문자열
String, fromCharcode, console.log, eval, alert,', prompt, confirm, location, document

JSFuck 이라는 프로그래밍 스타일을 통해 우회가 가능하다.
대략적인 원리는 [, ], (, ), +, ! 6개의 문자로 문자열로 갖가지 트릭을 이용해 모든 문자을 만들어내는 일종의 식을 짠다.

(![]+[[]])[+!+[]] = "a"

"a"+"l" = "al" = (![]+[[]])[+!+[]]+(![]+[[]])[!+[]+!+[]]
(![]+[[]])[+!+[]]+(![]+[[]])[!+[]+!+[]]+(!![]+[[]])[!+[]+!+[]+!+[]]+(!![]+[[]])[+!+[]]+(!![]+[[]])[+[]] = "alert"

이런식으로 문자열 "alert(1)" 을 실행하는 함수를 생성한 것이다.

JSFuck 사이트에서 원하는 문자열을 스크립트로 실행하는 페이로드를 자동으로 생성해주며 해당 페이로드를 삽입할 수 있다면 실행이 가능하다.

간단한 "alert(1)"을 실행시키는 페이로드를 생성하여 콘솔에 입력해보니 스크립트가 실행된다.

하지만 한계점이라면 있다. 간단한 "alert(1)"을 실행시키는 페이로드조차 이정도의 길이를 가진다. "alert("xss")"정도만 되어도 엄청난 길이의 페이로드를 자랑하며, 이정도의 길이의 get 파라미터를 수용할 수 없는 서비스에서는 이런 공격이 성공하지 않을 것이다.

페이로드를 보면 eval을 사용하지 않고 문자열을 스크립트로 실행하였다.

JSFuck 이 동작하는 원리를 이해한다면 JSFuck의 실제로 사용하기 힘든 페이로드 길이를 해결하면서 eval이 필터링 되어있는 환경에서 페이로드를 짜는데 도움이 될 것이다.

JSFuck github 페이지에 가면 이렇게 되어있다 Run => []["filter"]["constructor"]( CODE )()
"alert(1)"을 실행하는 페이로드를 보기 편하게 치환하면 []["flat"]["constructor"]("return eval")()("alert(1)") 이다.

두 코드를 분석하여 어떻게 문자열을 실행시킬 수 있었는지 확인해보도록 한다.

1. 프로토타입

Javascript는 객체지향 프로토타입 기반 언어이다.

객체지향 언어의 특징 중 하나로는 '상속'이 있다. 기존 클래스의 프로퍼티, 메소드를 사용할 수 있는 것을 의미하는데 Javascript 같은 프로토타입 기반 언어는 이 상속의 개념을 원형 객체로 부터 복제하여 새로운 객체를 만들어내는 것으로 구현했다. 이 원형 객체를 "프로토타입" 이라고 한다.

JSFuck 페이지에서 만든 페이로드 "[]["flat"]["constructor"]("return eval")()("alert(1)")"의 가장 앞부분 "[]" 는 빈 배열이다.

Javascript에서 별도의 정의 없이 배열을 생성할 수 있는 건 Javascript 에 내장되어 있는 Built in Object인 Array 객체를 프로토타입 삼아 새로운 배열 객체를 생성했기 때문이다.

Built in Object는 ECMAScript 명세에 정의된 객체를 말하며, Linux 환경의 서버에서는 당연하게 'cd' 명령어를 사용하듯 Javascript를 사용하는 환경에서는 언제나 사용할 수 있는 것이 특징이다.

Array라고 하는 전역 객체를 기반으로 만들어진 빈 배열 "[]" 프로토타입 기반 언어의 특징에 따라 원형 객체 Array의 프로퍼티나 메소드에 접근할 수 있다.

빈 배열 뒤에 나오는 ["flat"]이나 ["filter"]나 전부 Array 전역 객체 안에 있는 메소드에 접근한 것이다.

자세한 것은 Array 객체의 문서에서 확인할 수 있다.

2. 생성자

[]["flat"] 까지 Array 객체의 flat 메소드에 접근한 것까지 이해를 했다면 그 뒤의 ["constructor"] 부분도 확인을 해보자. 위의 문서를 확인해보면 메소드 외 Constructor 항목이 존재하는 것을 확인할 수 있다.

Constructor는 생성자로 새로운 객체를 생성하는 함수로 빈 배열의 경우에도 Array 객체 안에 있는 constructor 생성자를 통해 만들어진 것이다.

[]["flat"]["constructor"] 는 어느 객체의 생성자에 접근한 것일까?

모든 Javascript 의 함수는 Function 객체라고 한다. 이는 Function 객체의 문서에서 확인 가능하다.

즉, Array 안에 있는 flat(), filter() 메소드 또한 Function 객체를 원형으로 하여 만들어진 객체라는 것을 알 수 있다.

[]["flat"]을 통해 flat 메소드의 원형이 되는 Function 객체에 접근할 수 있고 그 객체 안에 있는 constructor 생성자에 접근하여 새로운 Function 객체를 생성할 수 있다.

[]["flat"]["constructor"]("alert(1)")() alert(1)이라는 함수를 생성하여 실행한 것이고

[]["flat"]["constructor"]("return eval")()("alert(1)") eval을 반환하는 함수를 생성하여 실행한 후 eval("alert(1)") 를 또 실행한 것이다.

Built in Object의 생성자와 Javascript 언어의 특징인 프로토타입을 활용한 방법이므로 Javascript를 지원하는 환경이면 사용가능한 우회 방법이다.

3. 활용

프로토타입과 constructor 개념을 알았다면 여러가지로 활용 가능하다.

- 표기법을 이용한 우회

Javascript에서 객체 내 데이터에 접근하는 방법으로 점 표기법(Dot notation) 또는 대괄호 표기법(Bracket notation)을 사용하여 호출할 수 있다.

[]["flat"]["constructor"]("alert(1)")() 같은 경우는 대괄호 표기법을 이용했다고 볼 수 있다.

만약에 [, ] 대괄호를 필터링하는 서비스가 있다면 점 표기법을 이용하여 "a".concat 등으로 우회할 수 있다.

이미 정의되어진 객체에 접근해도 좋다.

"a".concat.constructor(...)()
Array.fill.constructor(...)()
Function.constructor(...)()

- 생성자의 문법을 이용한 우회

대괄호와 점(.) 모두 제한당했다면 생성자의 다른 문법을 사용해도 된다.

생성자 문서를 Syntax 부분을 확인하면

new Function(functionBody)
new Function(arg0, functionBody)
new Function(arg0, arg1, functionBody)
new Function(arg0, arg1, /* … ,*/ argN, functionBody)

Function(functionBody)
Function(arg0, functionBody)
Function(arg0, arg1, functionBody)
Function(arg0, arg1, /* … ,*/ argN, functionBody)

익숙한 형태의 예시가 보인다.

그리고 "Function() can be called with orwithout new. Both create a new Function instance." 라는 문구를 찾을 수 있다.

var test = new Function(1);
var test = Function(1);

뭔 말이냐 하면, 위의 두 코드는 동일한 동작을 한다. new를 생략해서 쓸 수 있다.

이 형태를 사용하면 굳이 빈 배열을 생성하고 객체 프로토타입의 메소드에 접근해서 생성자에 접근할 필요없이 Function 객체의 생성자를 호출하여 함수를 실행할 수 있다.

new Function("alert(1)")()
Function("alert(1)")()

Raspberry Pi 3 안전하게 종료하기

LimeLee — Mon, 17 Apr 2023 22:54:41 +0900

라즈베리파이는 전원 소켓에 플러그를 꽂으면 자동으로 부팅된다. 하지만 종료할 때 전원 소켓을 그냥 뽑으면, 부트 영역이 손상되어 부팅이 되지 않을 위험이 있다.

안전하게 종료하려면 아래 명령어를 사용해야 한다.

$ sudo poweroff

플러그 뽑았다가 주말 내내 작업하던 데이터를 모두 날려버렸다.

기존에도 라즈베리파이 플러그를 바로 뽑아 종료했었는데, 그동안 운이 좋았던 것 같다.

반드시 안전하게 종료하도록 하자.

Raspberry Pi 3 메일서버(sendmail) 구축

LimeLee — Mon, 25 Jul 2022 19:37:57 +0900

1. Sendmail 설치

먼저, 아래 명령어를 통해 sendmail과 관련 패키지를 설치한다.

apt-get install sendmail sendmail-cf

설치 도중 "Creating SSL certificates for sendmail." 단계에서 설치가 멈춘다면, Ctrl+C로 설치를 중단한 뒤 아래 명령어를 실행한다.

cd /etc/mail/tls
sudo openssl dsaparam -out sendmail-common.prm 2048
sudo chown root:smmsp sendmail-common.prm
sudo chmod 0640 sendmail-common.prm
sudo dpkg --configure -a

https://askubuntu.com/questions/937666/ubuntu-16-04-command-line-sendmail-installation-hanged

Ubuntu 16.04 command line sendmail installation hanged

I was trying to install sendmail but it is hanging while trying to generate ssl certificates. I have canceled the installation process and later killed processes that was locking any new packages f...

askubuntu.com

위 명령어를 실행한 후 다시 설치를 시도하면, "Updating /etc/mail/aliases..." 단계에서 약간의 시간이 걸리지만 설치가 완료된다.

2. Sendmail 설정 파일 수정

설치가 완료되었으면, 외부에서 sendmail을 이용해 메일을 발신하려면 설정 파일을 수정해야 한다.

vi /etc/mail/sendmail.mc

다음과 같이 기존 설정을 변경한다:

DAEMON_OPTIONS(`Family=inet,  Name=MTA-v4, Port=smtp, Addr=127.0.0.1')dnl
DAEMON_OPTIONS(`Family=inet,  Name=MSP-v4, Port=submission, M=Ea, Addr=127.0.0.1')dnl

이 부분을 아래와 같이 수정한다:

DAEMON_OPTIONS(`Family=inet,  Name=MTA-v4, Port=smtp, Addr=0.0.0.0')dnl
DAEMON_OPTIONS(`Family=inet,  Name=MSP-v4, Port=submission, M=Ea, Addr=0.0.0.0')dnl

sendmail.mc 설정파일 수정

수정 후에는 m4 명령어를 사용해 sendmail.cf 파일을 생성한다:

m4 /etc/mail/sendmail.mc > /etc/mail/sendmail.cf

3. hosts 파일 수정

hosts 파일에서 도메인을 추가한다:

vi /etc/hosts

필요한 도메인 정보를 추가해준다.

hosts 파일 수정

4. Sendmail 재시작

설정이 완료되었으면 sendmail을 재시작한다. 동작 상태와 에러 메시지를 확인하려면 status 명령어를 사용한다.

service sendmail restart
service sendmail status

5. 메일 발송 테스트

sendmail이 정상적으로 실행되었다면, telnet을 통해 테스트 메일을 발송할 수 있다:

telnet 127.0.0.1 25

helo localhost
mail from: test@localhostdomain
rcpt to: test@gmail.com
data
subject: Test Mail Send
hello, world!
sendmail
.

메일 발송

6. 메일 확인

메일 수신자의 메일함을 확인하면, 정상적으로 메일이 발송된 것을 확인할 수 있다. 단, 스팸메일 처리 된다.

해당 글에서 다루진 않지만 스팸메일로 처리되고 싶지 않으면 SPF, DMARC, DKIM 등의 설정을 따로 해주어야 한다.

메일확인

Raspberry Pi 3 하드디스크 마운트 및 파일 서버 구축

LimeLee — Fri, 27 May 2022 19:16:18 +0900

로컬이나 용량이 작은 여러 usb에 분산해서 저장해놓으니까 막상 원하는 파일이 어디에 있는지 몰라서 이 usb, 저 usb 뒤적거리다 결국은 못찾는 경우가 여럿있었다.
그래서 어차피 라즈베리파이는 웹 서버 때문에 24시간 구동도 하겠다. 파일서버 하나 구축하면 접근성도 쉽고 어떤 파일을 찾고 있는지도 용이할 것 같다.

라즈베리파이 3 에서 부팅을 위한 sd card는 아무래도 용량이 기대한 만큼 크지가 않기에 하드디스크를 하나 구매한 뒤 마운트 해서 사용해보자.

라즈베리파이 3는 이동을 자주하는게 아니므로 외장용 하드디스크 말고 그냥 일반 하드디스크를 구매했다.

용량은 4TB.
SATA-USB 변환 케이블로 하드디스크에 전력 공급 및 라즈베리 파이에 연결 시켜줬다.

$ sudo lsblk

lsblk를 이용하여 sda라는 명으로 디스크가 추가된 것이 보인다.

$ sudo mkfs.ext4 /dev/sda

하드디스크를 ext4로 포맷시켜준다.

이 때 UUID도 같이 출력된다. 자동마운트를 설정해줄거라면 기억해두자.

마운트를 할 디렉터리를 생성해준다. /home/storage라는 디렉터리를 생성해주었다.

$ mount /dev/sda /home/storage/

mount 명령어를 통해 /home/storage에 하드디스크가 정상적으로 마운트 된 것을 확인 할 수 있다.

ln -s [마운트 된 디렉터리 경로] private

웹 서버에 마운트 된 디렉터리의 경로로 심볼릭 링크를 생성해준다.
이전에 생성해둔 심볼릭링크에 경로를 덮어씌워서 -Tf 옵션을 사용했고 새로 만드는거라면 -s 옵션만 사용하면 된다.

웹 서버에서 심볼릭 링크를 설정한 경로에 접근하면 하드디스크에 업로드한 파일들을 열람할 수 있다.

/files/ 와 하위디렉터리 내부에 존재하는 파일이 보이는 이유는 Options +Indexes +FollowSymLinks 옵션을 설정해두었기 때문이다.

AllowOverride all은 HTTP 인증을 위해 추가한 것이고 인증을 할 것이 아니라면 삭제해도 된다.

라즈베리파이가 리부트되면 재마운트를 해주어야하는데 자동으로 마운트 되게하는 옵션을 설정한다.

UUID는 하드디스크 포맷 때 확인한 UUID를 입력해주면 된다.

$ sudo vi /etc/fstab

UUID='[하드디스크의 UUID]' /home/storage ext4 defaults,noatime 0 0

이제 리부트되도 하드디스크가 연결되어있다면 자동으로 연결된다.

$ sudo blkid

하드디스크 포맷할 때 UUID 확인을 못했다면 blkid 를 통해 확인 가능하다.