분류 전체보기
[1-day] CVE-2023-0386(OverlayFS) 분석
OverlayFS [Linux] Overlayfs 개념 및 사용 방법Overlayfs란? overlayfs는 파일시스템의 한 종류로 union mount의 한 구현 방식으로 따라서, 여러 디렉터리를 하나의 디렉터리처럼 사용할 수 있다. 2010년에 개발된 파일 시스템이며, 2014년에 리눅스 커널she11.tistory.com CVE-2023-0386CVE-2023-0386은 리눅스 커널의 OverlayFS 시스템에서 setuid 매핑 버그로 인한 권한 상승 취약점이다. 취약점이 발생하는 커널 버전은 다음과 같다. 📌 분석에 앞서 SUID, FUSE, namespace가 뭔지 알고 있어야 한다. SUID/GUID리눅스는 사용자마다 고유한 ID(User ID) 값을 가지고 있다. 이때, SUID는 프..
[Linux] Overlayfs 개념 및 사용 방법
Overlayfs란? overlayfs는 파일시스템의 한 종류로 union mount의 한 구현 방식으로 따라서, 여러 디렉터리를 하나의 디렉터리처럼 사용할 수 있다. 2010년에 개발된 파일 시스템이며, 2014년에 리눅스 커널(커널 v3.18 부터)에 통합되어 별도로 설치하지 않아도 사용할 수 있다.해당 파일 시스템을 사용하면 원본 파일 시스템을 변경하지 않고, 임시적인 변경이 가능하다. 즉, 스냅샷과 롤백 기능으로 사용 가능하다. 또한, 컨테이너 환경에서 동일하게 사용되는 파일이 있을 경우 각 컨테이너에서 특정 디렉터리를 레이어로 설정해서 여러 컨테이너가 특정 디렉터리를 효율적으로 사용할 수 있게 된다.결론적으로 우리가 흔히 사용하는 도커와 같은 컨테이너화 기술에서 효율적인 관리를 할 수 있어 널리..
[Embedded] SPI 펌웨어 추출
임베디드 기기를 분석하고자 할때, 가장 먼저 펌웨어를 얻어야 한다.제조사에서 펌웨어를 제공하는 경우도 있겠지만, 그렇지 않다면 물리적인 접근을 통해 펌웨어를 추출해야 한다.대표적으로 UART를 연결해서 펌웨어를 추출하기도 하지만, ROM 자체에 SPI 통신을 통해 펌웨어를 추출할 수도 있다.SPI 통신으로 펌웨어를 추출하는 과정을 정리하고자 한다. 라즈베리파이 SPI 활성화라즈베리파이는 기본적으로 SPI가 활성화 되어 있지 않다.따라서, 펌웨어 추출전에 SPI를 활성화 시켜주는 작업이 필요하다. $ sudo raspi-config전원을 키고 위 명령어를 치면, 다음과 같은 창이 뜬다. Advanced Options - Network Interface Names 를 선택하면 위와 같은 창이 나온다.SPI를..
[1-day] dact-0.8.42 취약점 분석
실습 환경 구축 dact-0.8.42 프로그램은 압축 및 압축 해제 프로그램이다. 해당 버전의 프로그램은 압축 해제 과정에서 stack overflow가 발생한다. 따라서, AFL 퍼저를 이용해서 취약점을 발견하고 분석을 통해 익스까지 할 것이다. Install dact-0.8.42 $ wget https://fossies.org/linux/privat/old/dact-0.8.42.tar.gz $ tar xvf dact-0.8.42.tar.gz && cd dact-0.8.42 $ make clean $ ./configure 취약한 dact-0.8.42를 다운받아준다. Mitigation # vim Makefile CC = gcc -z execstack -fno-stack-protector -z norel..