대학생활 하면서 블로그 포스팅이 뜸해졌다.. -_-;;

이번에 애플리케이션을 분석해야하는 일이 생겨 분석하려던 참 apkmanager가 기억나 찾아보았는데 웃음투자 님께서 아예 2017. 1. 2. 12:32 일 이후로 수정이 없으신듯 하여 간단하게 수정하는 방법만 알려주기로 한다.

저작권 때문에 남의 작품을 여기에다가 무단수정해서 올리는건 일단 저작권 문제도 있기에.. (출처 밝히면 될 수도 있는데 아무문제 일으키기 싫다..)

간단하게 apktool만 업데이트 시키는 방식이며 다른 baksmali 툴이라던지 그런게 업데이트 되어있으면 이 방법과 똑같은 방법으로 해결하면 된다.

일단 apk-manager 현 최신버전을 받는다.

http://softdx.kr/220900550710

이곳에서 받을 수 있으며 웃음투자 님께서 포스팅 해주신 글이다. 다운받으려면 여기서 처리하길..

다운받고 압축은 풀어둘 것..!

다운이 완료되면 

https://ibotpeaches.github.io/Apktool/install/

이곳을 들어가 Current Version 을 누른다. (18.10.10기준 2.3.4 버전이다.)

누를 경우 apktool_[version].jar 이 다운로드 된다. 적당히 apkmanager에 맞춰서 넣으면 되기에 받은 apktool의 이름을 apktool.jar로 바꾸고 apk-manager/other 내에 apktool.jar 을 넣으면 apktool 최신버전이 적용된다. 정말 간단하다.

앱 분석 중 잠시 막혀서 간단하게 이 글만 쓰기로 한다.

Login & Register

첫 페이지이며 로그인을 하라는 창이 있지만 아무리 찾아봐도 회원가입 창이 존재하지 않습니다. 일단 아무 내용이나 ID칸과 Password칸에 넣어도 반응이 없습니다. 이럴 경우 페이지 소스를 봐야합니다.

페이지 소스를 보니 회원 가입 창에 대한 정보가 주석처리 되어있습니다. 저 주소로 들어가 보기로 합니다.

들어와 보니 회원가입창이 나옵니다. 내용은 ID, PW, EMAIL, decode me 라는 칸이 있습니다.

일단은 아무것도 모르겠으니 보이는 내용부터 입력해보고 보내기를 눌러봅니다.

그러면 틀렸다는 창이 반겨줍니다. 아마 decode me를 해결하지 않아서 그런 것 같네요.

하지만 저걸 뭐로 디코드 하라는지 모르니 일단 검색을 해봅니다.

첫 번째 창으로 나오는 디코드 페이지는 base64를 디코드 해주는 페이지라고 합니다. 첫 페이지에서 보이는 만큼 암호화 방식에 base64를 많이 사용하니 일단 시도를 해봅니다.

decode me 라는 칸에 있는 내용을 입력하고 디코드 해봤는데 다른 값이 나왔습니다.

일단 다시 한번 해봅니다. 하지만 또 다른 값이 나옵니다. 한번 더 해보니 값이 나왔습니다. 어디선가 본 듯한 IP주소처럼 생긴 것이 나옵니다.

확인해보니 저의 아이피가 맞습니다. 아마 이걸 입력하면 되는거 같네요.

일단 decode me 페이지에 디코드된 값을 입력하고 제출을 누릅니다.

이전과 다르게 환영한다는 페이지를 보여줍니다. 아마 해결된거 같네요.

아까 입력한데로 입력을 해보니 접속에 성공하였습니다! 드디어 회원가입이 완료되었습니다.

국내에서는 포트 스캐닝 사용 자체가 불법으로 되어있긴 하는데.. 해외에서는 아닌지라 해외 아이피로 포트 스캐닝 때리고 포트에 적당히 대입공격하기도 할것이다.

(아마 내가 ssh 포트를 잠궈두었을때는 아이피 밴리스트에 아무것도 없었는데 어찌 포트 연 이후로 아이피밴리스트가 하루에 12개 오기도 한다...)

그래서 포트 스캐닝을 방지하도록 해야하니..

대충 저번에 배운걸로는 Ping과 nmap 을 이용하여 했던 기억이 있긴한데...

정보보안이라는게 취약점이 많다 보니 이것저것 다 고쳐나가야 하는듯 하다..

잠만... 분명 책에서 포트 스캐닝 방지 배운거 같은데 기억이 안난다..

대충 검색좀 하다 보니 scanlogd 라는게 보인다..

아마 TCP 포트 스캔시 로그를 남기는것 같다.

흠.. 아직은 기억이 나지않아 다음에 쓰겠다.

요즘알게 된것이지만 헤놀로지 서버를 운영중인데 SSH 포트를 열고 SSH 활성화를 일반포트에 해놨더니 무작위 대입이 자주 들어온다..(물론 시놀로지 기능덕에 1분에 10번 이상 대입 들어오면 바로 ip 밴인지라..) 대부분 vpn 우회인듯 하지만 어찌 vpn 우회를 막을수는 없으니..(설령 막는다해도 우리들이 사용 불가능 할수도 있을거같다..)

그래서 SSH 포트를 바꿀까 생각중이였지만 일단 냅두기로 했다. (비번 강화가 가장 중요하니 비번에 특문까지 넣어주기로 하였다.)

또한 내 라즈베리파이 서버에서도 ssh 서버 접속이 그렇게 많이 들어오는것같다. (아직 확실하지는 않다.)

다행이 아직까진 별 이상없는거 보면 괜찮기는 하지만.. 일단은 무작위 대입이라도 막아봐야할거 같으니 한번 글을 찾아와서 이렇게 써본다.

-----------------------------------------------------------------------------------------------------------------------------------------------------------------

운영되는 서버에서 접속하는 IP를 확인해보면 알수없는 IP에서 접속을 시도하는 경우가 많다.

특히나 해외에서 패스워드를 뚫기위해 해킹프로그램을 사용하여 무작위로 대입을 시도하는 경우가 있다.

이럴경우 관리자 IP만을 접속가능하게 하여 해결할 수 있지만, 서버의 특성상 아무나 접속이 가능해야 할 때가 있다. 

그럴경우 하나의 IP만을 접속 허용할 수 없기 때문에 무작위 대입공격을 방어할 수 있는 fail2ban을 설치하여 예방을 할 수 있다.

1. fail2ban 설치

 - http://www.fail2ban.org에 접속하여 Lastest Version 중 stable version 을 다운로드

 - 다운로드 받은 파일을 해당 서버로 이동

 - 아니면 apt-get 으로 설치가 가능하다 간단하게 apt-get install fail2ban 을 쳐주자.

<저는 /usr/local/src 로 파일을 이동 시켰습니다.>

 - 설치 명령 실행

   [root@octomall src] tar zxvf fail2ban-0.8.14.tar.gz

   [root@octomall src] cd fail2ban-0.8.14

   [root@octomall src] python setup.py install

 - 설정

    [root@octomall /] vi /etc/fail2ban/jail.conf 

< jail.conf > 을 열어 자신에게 맞게 설정을 변경합니다.

ignoreip : 127.0.0.1/8         -- 체크대상에서 제외할 IP(관리자 IP)

 - 부팅시 자동 실행

  [root@octomall /] chkconfig --add fail2ban

  [root@octomall /] chkconfig fail2ban on

 - fail2ban 시작

  [root@octomall /] service fail2ban start

출처 : http://blog.naver.com/gihyunkwak/220282154566

대충 이렇게 막을수 있을거 같기는 하지만 다른 방법도 더 찾아봐야할거 같다.

분명 사람들이 fan2ban 으로 부르던데 fail2ban 이 아닌가..?

glances 라는 패키지 이다.

간단하게 이렇게 나타내 주는 얘이다. 혹시몰라 계정은 가렸지만 뭐 딱히 있다해도 상관은 없겠지 ..

sudo apt-get install glances 

혹시나 모르는 사람은 없겠지...

정말 간단했다.

https://github.com/sktjdgns1189/android_kernel_samsung_superiorskt

모든 커밋은 여길 보고 따라했더니 부팅뿐만 아니라 센서를 포함하지 않고 다른 애들은 모두 작동하는 마술을 보았다.

저 링크를 외울정도로 나는 저 링크와 친숙해졌지만 개발능력이라 해야하나.. 그 능력은 길러지지 않는다.

당연하겠지만 남에 것만 보고 분석을 해야지 따라하기만 하면 실력이 늘어나지도 않는다.

아 물론 지금 커널 버전이 3.0.101로 업스트림 되서 그런지 모르겠지만 데프컨픽 수정하고 별짓을 다해봐도 터치반전 걸리고 이것저것 화나는 일이 많이 일어난다.

결국 나는 이렇게 포기해야하는것일까? 

기저대역의 경우 램디스크에서 sbin/cbd 를 수정하면 대부분 통신 오류는 고쳐진다. (i9300기반일경우 해외 갤삼이므로 국내갤삼 기반으로 기저대역은 잡기가 쉽다.)

뭐 몇번의 실패를 거쳐서 지금은 해결한 상태이나...

결국 active mode보다는 passvie mode가 더 맞는거 같기도 하다..

이상하게 listen=YES를 할때 listen_ipv6와 같이 겹쳐 ipv6를 주석처리거나 사용안함으로 처리하였다.

또한 skb에서 포트를 아직 열어주지 않았기 때문에 listen_port=포트 를 이용하여 21포트가 아닌 다른 포트로 대체하였으며

여기서 패시브 모드를 작동시키기 위하여 

pasv_enable=YES
pasv_promiscuous=YES
pasv_min_port=20000
pasv_max_port=20010

뻐꾸기.zip

먼저 액티비티를 투명하게 만들어주는 테마를 정의하는 내용을 다음과 같이 해줍니다.

/res/values/styles.xml 파일을 추가하여 다음과 같이 내용을 입력합니다.

<resources>
    <!-- Base application theme is the default theme. -->
    <style name="Theme" parent="android:Theme">
    </style>

    <style name="Theme.Transparent">
        <item name="android:windowIsTranslucent">true</item>
        <item name="android:windowAnimationStyle">@android:style/Animation.Translucent</item>
        <item name="android:windowBackground">@drawable/transparent_background</item>
        <item name="android:windowNoTitle">true</item>
        <item name="android:colorForeground">#fff</item>
    </style>
</resources>

그리고 투명,반투명 색상을 정의하는 xml 파일을 다음과 같이 추가해줍니다.

/res/values/colors.xml 파일을 추가하여 다음과 같이 입력해줍니다.

<resources>
    <drawable name="translucent_background">#e0000000</drawable>
    <drawable name="transparent_background">#00000000</drawable>
</resources>

AndroidManifest.xml 파일을 열어서, activity 태그의 테마속성을, 다음과 같이 추가해줍니다.

<activity ... 
 android:theme="@style/Theme.Transparent">
 ...
</activity>

그리고 액티비티.java 파일에서, onCreate 메소드에서 setContentView 함수를 호출하기 전에,

블러효과를 주는 코드를 다음과 같이 추가해 줍니다.

    @Override
    protected void onCreate(Bundle icicle) {
        super.onCreate(icicle);

        //액티비티에 블러효과를 주는 플래그 셋팅 함수입니다.
        getWindow().setFlags(WindowManager.LayoutParams.FLAG_BLUR_BEHIND,
                WindowManager.LayoutParams.FLAG_BLUR_BEHIND);
        
        setContentView(...);
    }

원문 : http://blog.naver.com/nanababo007/100126586333

ls -a 나 root 권한으로 찾는 법도 있지만 GUI 에서 편하게 보는 방법이라면 Ctrl+H를 하면 바로 보인다.

역시 직접 명령어 쳐서 하는거 보다는 GUI에서 보는게 더 낫다.