Osori Development Studio

About me

OSOR2 — Sat, 22 Mar 2025 18:45:35 +0900

Interest

Reverse engineering
- GDB, Windbg, Cheat engine, x64dbg, Intel Pin(❤️)
System hacking
Operating system
Motorcycle

Affiliation

Sejong University (2020.3~ )

Member of Security Factorial(2020.3 ~ )

Best of Best 10th (Top 30 ) (2021.7 ~ 2022.3)

ROKA HQ CERT (2022.7 ~ 2024.1)

DeadSec (2024.2 ~ )

HSPACE knights (2024.3 ~)

2022

BOB 10기 취약점 분석트랙 TOP 30

언리얼 엔진 버그바운티 & 취약점 제보 (비공개)

육군사이버작전센터 정보보호병 복무

2023

Found MuseScorevulnerability

2024

KISA 헌팅마스터 2024 멘토

XXXXXX 2024 화이트햇 모의침투 프로젝트

울산 공공기관 협의회 대상 사이버공격 대응훈련 대비교육 강사

2025

Hspace 현장실습

CTF

SSTF 2022 10th

TBTLCTF 1st (Deadsec)

moca ctf 24 QUAL 3rd (Deadsec)

2024 LineCTF 3rd (FMC)

Hacktheon Sejong 24 고급부 Final (바쿠쌉꿀빠)

Defcon 32 Final (FMC)

FIESTA 2024 특별상 (학석박입니다)

hxp 38C3 2nd (FMC)

2024 Hspace 파트너스리그 본선 3rd (SecurityFactorial)

2025 숭실대 해킹 방어대회 일반부 1st (해병대 전우회)

Cyber Apocalypse CTF 2025: Tales from Eldoria 1st (FMC)

ETC

2017 Smarteen App Challenge honorable mention

oneM2M International Hackathon 2024 2nd place

ZDI 겟

OSOR2 — Wed, 5 Apr 2023 22:27:15 +0900

그동안 기다리고 기다렸던 메일이 왔다

이런 듣보는 안받아주는데 보고서 내용이 재밌어서 받아준다는 듯 하다 .

나름 이번 익스는 RCE한다고 루틴 분석해서 힙 스프레이도 하고 그랬다ㅋㅋㅋ

나중에 취약점 공개 되면 익스 관련해서 올려보겠다.

150$라도 받아서 기분이 좋다.

CVE 겟

OSOR2 — Thu, 30 Mar 2023 20:22:03 +0900

CVE-2023-26923를 얻었다. 지금 ZDI 에 들어가서 컨펌받는것도 있는데 잘 됐음 좋겠다!

육군 정보보호병 합격 후기

OSOR2 — Wed, 1 Jun 2022 02:46:13 +0900

2022.07.18일(내 생일!)에 입대하게 되었다.

떨어지면 어떡하지 하고 걱정을 많이 했는데 1등으로 붙었다.

서류

나는 정보보호학과 2학년 1학기까지 하고, BoB 수료를 해서 총 40점을 받았다.자기소개서에는 내가 왜 지원했는지, 그리고 지금까지 한 것(나는 BoB에서 탑30 한걸 적었다), 그리고 뽑혔을 때의 포부등을 적었다.

이번에는 22명을 뽑는데 1차에서는 2배수인 44명을 뽑았고, 커트는 35점이였다. 나는 8등이였다. 보면 알겠지만 내 순위가 높은 것에 비해서 커트와 큰 차이가 없다. 따라서 난 실기준비를 꽤나 열심히 했다.

서류로는 휴학증명서와 BoB 수료증을 제출하였다.

실기

BoB 때문에 한학기 휴학을 했기 때문에, 이번에 꼬이면 답이 없어서 정말 열심히 준비했다.

실기는 정보보호기사 14년치를 한 2회씩 보고, 계속 암기했다. 결과적으로 7 문제 정도 맞은 것 같다. 만약 다른 블로그에서 실기문제의 난이도를 보고 "헉! 하나도 못풀겠다" 생각한 사람들은 걱정 말라. 나도 그랬다.이 기회에 리눅스와 다양한 네트워크 보안을 공부할 수 있다. 근데 공부안하면 못푼다. 진짜 다 찍어야 될 수도 있다.

딱히 정보보호병 기출문제에서 나오는 건 없고, 그냥 정보보호기사 다시 푸는 사이트가서 내가 한것처럼 하면 7문제 정도는 풀 수 있을 것 같다. 내가 푼 문제는 기억이 안나서.. 안올렸는데 엄청 지엽적인 문제가 1~2문제 나왔던 것 같다.

기억나는건 포트스캔 도구 중 다중취약점 탐색 도구, MAC 주소 관련, IDS 순서 문제, 윈도우 net 명령어, chmod 등이 나온 것 같다.

다시한번 강조하지만 실기준비는 기출사이트를 통해서 풀면 충분히 대비가 가능하다! 다들 파이팅~

https://q.fran.kr/%EC%8B%9C%ED%97%98/%EC%A0%95%EB%B3%B4%EB%B3%B4%EC%95%88%EA%B8%B0%EC%82%AC

실기를 보고나서 7문제는 확정적으로 맞은 것을 알았기에, 면접 망치는 것만 아니면 무조건 붙을 거라고 생각했다.

면접

면접은 인적성과 기술면접으로 나뉜다. 사실 좀 허탈했다. 나는 약 20개의 질문을 준비했었는데...

인적성 질문은 다음 3개의 질문이 나왔는데 모두 예상하던 질문이였다.

1. 군대에서 어떻게 생활할 것인가.

기숙사 생활 경험이 있어서 그때의 경험을 살릴 수 있을 것 같다.

2. 갈등이 생겼을 때 해결법은?

서로의 의견을 조율하며 최대한 대화로 해결하려고 노력한다.

3. 스트레스 해소법은?

축구와 같은 공차는 운동으로 해소

그 외에 내가 준비했던 것으로는 우리의 주적, 한미동맹, 상관의 부당한 명령, 남을 도운 경험 등이 있다.

기술면접은 정말 허무하다. 만약 당신이 BoB 수료생이라면 무조건 붙을 것 같다. 참고로 이날 면접을 본 사람중 아는분 2명이 BoB 수료생이였다! 정말 편안한 분위기에서 면접을 볼 수 있다.

1. BoB 프로젝트 설명해주세요.

내가 한 역할(PM)과 우리 팀의 결과를 요약하고 아쉬운 점을 말했다.

2. BoB 멘토님 누군가요?

아쉽게도 모르시는 분인 것 같았다.

3. 정보보호병도 BoB때 결심했나요?

원래부터 생각있다고 하고 + 다른 msg 도 첨가했다.

끝... 도합 3분도 안걸린 것 같다. 다른 사람들은 10~15분 하고 나오던데 나는 엄청 당황했다. 그래서 어.. 진짜 끝난건가요? 를 물어봤고 ㅋㅋㅋ... 면접관님께서 이정도면 더이상 물어볼게 없다고 하셨기에, 합격을 확신했다.

다른 사람이 면접할 때 염탐(?) 한 것으로는 IDS, IPS 차이점과 UTM 등 다양한 네트워크 장비에 관한 질문이 주류였던 것 같다.

근데 이글을 보는 당신이 실전에 강한 타입이라면 실기가 승패를 결정한다고 생각한다.

궁금한건 댓글로 받도록 하겠습니다.

CVE-2019-1215 원데이 분석

OSOR2 — Thu, 27 Jan 2022 20:13:23 +0900

https://www.notion.so/CVE-2019-1215-165f1d720d4f44aba08692d621c30038

마스터 오브 소드5 최초 인증 우회

OSOR2 — Thu, 11 Nov 2021 03:56:59 +0900

내가 정보보호학과에 발을 들이게 된 이유를 간략하게 설명하자면...

이 추억의 게임을 하고 싶었는데, 서버가 닫혀서 플레이가 불가능했다. 앱개발 지식이 있던 때에 저걸 뜯어봤는데, 도저히 안되더라. 그래서 찾아보니까 .so 파일을 수정해야될 것 같은데, 당시에는 이게 뭔지도 몰랐고 이걸 볼려면 ida 가 있는게 좋다고 했다. 근데 ida 는 대학교 동아리에서 준다고 해서...

어쨌든 이 게임을 패치하기 위해서 보안공부를 시작했다고 봐도 된다.

하지만 이제 충분한 지식과 경험이 있다. 시작해보자.

위 그림에서 확인버튼을 눌러도 아무런 반응이 없다. 그리고 내가 몇년전의 삽질로 안것은 java 단에서는 이를 활성화 시킬 수 없다는 것이다.

로그캣 로그를 보면 막 이렇게 로그인 실패라고 뜬다.

하지만 저건 자바단에서 출력하는 로그고 우리는 네이티브에서 출력하는 로그를 집중해서 봐야한다.

Game Start 외의 다른 기능들은 정상작동 하기 때문에 옵션같은 메뉴를 들어가면 이런 로그가 뜬다.

이걸 검색해서 ida 에서 찾고 주변 함수들을 뒤져보니까 이런놈이 있었다.

딱봐도 게임 시작할때 쓰이는 놈 같았다. 그래서 무지성으로 얘를 그냥 호출하게 해줬는데 안되더라.

그래서 좀더 뒤져봤다.

저 dword_26A758 이 0 인경우 start_init 이 호출되는데, 이걸 0으로 하고 호출되면 될거라고 생각했다.

아래 else if 는 도움말 버튼을 눌렀을 때 실행되는 코드인데(동적 디버깅으로 알았다) 저기서 dword_26a758 = 0 으로 세팅하고 start_init 을 호출해봤다. 아래처럼

와 ! 된다!

저 창이 계속 떠서 거슬리긴 한데, 저건 그냥 smali 조금 수정해서 builder 가 build 를 안하게 설정하면 된다.

SSTF 10등

OSOR2 — Sat, 21 Aug 2021 00:16:43 +0900

삼성 SSTF 에서 10등이라는 좋은 성과를 거두었다. 팀원분들이 모두 열심히 하시고 잘하시는 분들이여서 가능한 성과 같다.

파일탐색기를 후킹해서 폴더를 숨겨보자!

OSOR2 — Mon, 9 Aug 2021 17:59:27 +0900

https://oxidized-kileskus-c2d.notion.site/1fb78ce3493e45d2a71cae0ed1bd9f30

숨김폴더 만들기 프로젝트

본 프로젝트는 윈도우 파일탐색기를 후킹해서 특정 폴더를 숨기는 것이 목적이다.

oxidized-kileskus-c2d.notion.site

저 코드는 지금 쓰면 안된다. 오프셋들이 다 바뀌었기 때문.

afl fuzzer를 이용한 dact 익스플로잇 write up

OSOR2 — Mon, 15 Mar 2021 00:45:35 +0900

dact 뭐 파일 압축을 해주는 놈인데 afl fuzzer를 이용해서 fuzzing 을 하고 이 dact를 exploit 해서 쉘을 얻어내는 것이 목표다. 일단 처음 시작은 어디서 어떻게 segmentation fault가 떴는지였다.

input으로 crash_file 을 주었을 때 dact_common.c 의 478번째줄에서 file_extd_urlent++ 가 계속 되면서 접근할 수 없는 주소로 접근을 해버린다. 그리고 file_extd_urls는 char*[256]의 자료형이다. 즉 file_extd_urlent 가 256이 넘어가면 sfp,ret에 접근이 가능해서 원하는 곳으로 점프가 가능하다는 것이다. 저 parse_url_subst 함수가 어떻게 작동하는지는 잘 모르지만, 만약 여기서 ROP가 가능하다면 그냥 exploit이 가능하다는 것이다.

일단 parse_url_subst 함수를 까보자. pasre.c 파일에 정의되어있다.

char *parse_url_subst(const char *src, const char *fname) {
	static struct utsname system_info;
	static int sysinfo_init=0;
	uint32_t cmd=0, x, strsz;
	const char *loc=src, *ploc=loc, *eloc;
	char *ret, *ret_s, found=0, *smbuf;

	if (!strstr((char *) src,"@@")) return(strdup(src));
    ....

우리가 원하는 것을 바로 실행시켜버릴 것만 같은 코드가 등장했다! 첫번째 인자로 문자열을 받는데, 해당 문자열에 @@이 포함되지 않으면 그냥 문자열 자체를 복사해서 리턴해버린다! 일단 이건 익스플로잇을 위한 리버싱이니까, 여기서 분석 종료.

이제 프로그램의 전체 흐름을 볼 필요가 있을 듯 하다. 저 dact_common.c 의 478번째 줄까지 프로그램이 어떠한 과정을 거쳐서 실행되는지를 단순하게 보자. 먼저 dact_common.c 의 478번째 줄은 dact_process_file 함수의 일부분이고 dact_process_file 함수는 dact.c 에서 단 한번 호출된다. 그리고 인자로 여러가지를 받는데, 뭐 일단 우리가 터트릴 때 사용한 프로그램 인자는 -dcf crash_file 였기 때문에, 저 두개의 인자가 어떻게 사용됬는지를 중요하게 보아야 한다.

일단 인자를 보면 대강 알겠지만, 첫번째 인자는 filename 이름의 file을 openat으로 열어서 얻은 fd이다. 두번째 인자는 output으로 생성할 파일의 fd이고, 3번째 인자는 잘 모르겠고 , 5번째 인자는 crc라고 되있는거 보면 체크섬같이 검사하는 용도인 것 같고, 6번째는 blocksize , 7번째는 cipher라니까 암호랑 관련있는건데 어떤 암호알고리즘을 쓸지 정하는 것이라고 대강 유추가 가능하다.

뭐 실제로 코드를 봐도 대강 비슷하다. ciphers가 암호알고리즘들의 함수포인터 배열이다. 사실 익스를 하는데에 이부분을 크게 상관없다.

글쓰다가 티스토리 세션만료되서 날라간 관계로 짧은 write up으로 변경. (다른 곳을 찾던지 해야지..)

먼저 이 취약점의 핵심은 파일의 읽을 크기를 파일헤더에서 가져온다는 것이다. 파일의 24~27부분이 뒷부분의 읽을 크기를 지정한다. 이 뒤부터 while문을 돌면서 계속 읽는다. 따라서 뒷부분에 file_extd_urls 를 return address까지 덮을 수 있을 크기만큼 코드를 구성한다. 여기서 중요한 점은 함수의 인자가 많기 때문에 스택까지 매개변수로 사용되서 문제가 생길 수 있다.

바로 이부분인데, cipher 부분을 저 file_extd_urls가 오버런한 부분이 차지하게 되면 cipher은 힙의 주소를 가르키게 되고 함수포인터 실행에 문제가 생긴다. 따라서 cipher을 반복문에서 마지막으로 -1로 세팅해준다.

이 과정이 끝나면 이렇게 rip 컨트롤을 할 수 있다. 이제 쉘코드를 실행해주면 된다.

우분투에서 C# (.NET) 실행

OSOR2 — Wed, 10 Mar 2021 23:33:52 +0900

.NET은 자바가상머신처럼 플랫폼에 종속되지 않고 동일한 코드를 사용해서 같은 결과를 얻을 수 있게 한다. 그런데 Visual Studio 자체가 Window 플랫폼을 위한 도구다 보니, 리눅스에 대한 빌드 및 배포에 관한 자료가 별로 없어서 글을 작성한다. 정말 애를 먹었다.

원초적으로는 The library 'libhostpolicy.so' required to execute the application was not found in ... 에러의 해결법이다.

또한 본 글은 윈도우에서 빌드 후 dll 파일을 우분투에서 실행시키는 법을 담고 있다.

먼저 윈도우에는 닷넷 프레임워크가 깔려있다는 전제(Visual Studio를 통해서) 하에 아래 글을 읽어주길 바란다.

1. 우분투에 .NET 깔기

msdn에서 친절하게 설명해주고 있으니 깔도록 하자. 나는 ubuntu 18.04(LTS)에 설치를 했다.

sdk로 설치를 하면 된다.

docs.microsoft.com/ko-kr/dotnet/core/install/linux-ubuntu

다 깔고 나면 dotnet --info 명령어를 통해서 잘 깔렸는지 볼 수 있다. 아래 사진에서는 현재 최신버전인 5.0이 설치된 것을 볼 수 있다.

2. 윈도우에서 리눅스용으로 빌드

윈도우 터미널을 열어서 해당 프로젝트의 디렉토리로 이동해주자. csproj 가 있는 폴더로 가주면 된다.

그리고 dotnet publish -r linux-x64 를 입력한다. publish 이후에는 /bin/Debug/net5.0(혹은 다른 버전)/linux-x64 에 publish 폴더가 생긴다. 이 폴더의 내용을 통째로 복사해서 우분투에 넣어준 뒤 ELF를 실행시키면 닷넷이 안깔려있어도 실행이 된다. 그러나 Hello World 출력하는 프로그램이 72mb나 먹는것은 말도 안되기 때문에 우리는 (프로젝트 이름.dll) 과 (프로젝트 이름.runtimeconfig.json) 파일만 우분투로 옮겨주면 된다.

3. 우분투에서 실행

현재까지 과정을 따라했다면 폴더에 다음과 같이 dll과 json 두개의 파일이 남아있을 것이다. 여기서 dotnet Ubuntu\_Dotnet.dll 로 실행을 하면 에러가 뜬다. 따라서 json의 수정이 필요하다.

에러가 난다.

해당 폴더의 json에 아래 내용을 덮어씌워주자.

{
  "runtimeOptions": {
    "tfm": "net5.0",
    "framework": {
      "name": "Microsoft.NETCore.App",
      "version": "5.0.0"
    }
  }
}

이후 dotnet 파일이름.dll 로 실행을 하면 된다.