분류 전체보기359 Beebox[HTML Injection - Reflected (URL)] ❓ 반사 : 입력한 내용을 페이지에 띄우는 것! 1. LOW (1) 입력 현재 URL을 보여주고 있네요. 여기에 스크립트를 적용해 볼게요. URL의 파라미터입력하는 부분에 스크립트를 넣으면 URL을 보여주는 곳에서 스크립트를 실행한 후 보여주겠죠❓ 스크립트에서 출력한 쿠키는 PHPSESSID와 security level 2개가 있네요❗ 참고로 HOST필드에는 구지 호스트를 작성하지 않아도 요청을 하더라고요❓ 이번에 알게 되었는데 그냥 확인용인 것 같습니다. 그래서 저 부분에 호스트를 지우고 태그를 넣어보았죠❗❗ 과연❗❗ 쿠키에 태그가 적용된 후 출력이 될지..❓ (2) 공격 태그도 정상적으로 실행되고 쿠키2개도 출력된 것을 확인할 수 있네요!! 2. Medium (1) 소스코드 확인 Low와 동일하게 입.. 2021. 3. 29. Beebox[HTML Injection - Reflected (POST)] 1. LOW 는 HTML Injection - Reflected (GET)와 동일하기 때문에 링크만 남겨놓는거로 할게요! ccurity.tistory.com/410 2. Medium (1) 입력 URL인코딩을 한 후 입력한 결과를 버프스위트로 잡아보려고 합니다 URL인코딩 후 위와 같이 요청했을 때! [그림2] 요청에 대한 응답을 보면 HTML 인코딩이 되어있는 것을 확인할 수 있네요. "%3ch1%3eABCD%3c/h1%3e"가 서버에 도착하면 ABCD로 변경되고 [그림4]의 연두색 박스인 str_replace함수에 의해 로 치환되는 것으로 보이네요. 그래서 보낼 때 부분만 더블인코딩을 해보려고 합니다. 인코딩할 때 %를 %25로 인코딩해서 보내면 서버가 해석할 때 %25를 %로 해석할 것이고 .. 2021. 3. 27. Beebox[HTML Injection - Reflected (GET)] ❓ 반사 : 입력한 내용을 페이지에 띄우는 것! 1. LOW (1) 입력 First name에 ABCD, Last name에 EFGH를 넣으면 Welcome ABCD EFGH로 출력되는 것을 확인할 수 있어요 (2) 공격 ①과 ②에 입력한태그가 실행된 것을 확인할 수 있어요 2. Medium (1) 입력 동일하게 입력해 보았더니 정상적으로 실행되지 않는 것을 확인할 수 있어요 /var/www/bWAPP/htmli_get.php파일에서 xss_check_1함수를 호출하고, xss_check_1함수는 /var/www/bWAPP/functions_external.php파일에 있어요 str_replace("변경 전 문자", "변경 할 문자", "찾을 문자열") str_replace함수를 이용해 기호를 >로 치환.. 2021. 3. 27. 백도어 제작 우선, 이 글에 적혀있는 내용은 악의적으로 이용시 처벌받을 수 있음을 알려드립니다!! 저는 책임이 없습니다! 안녕하세요..!! 오랜만에 그것도 엄청엄청 오랜만에 글쓰기를 눌렀네요.. "귀찮아하면 소중한걸 잃게된다"는 말이 있죠,, 지식도.. 마찬가지겠죠? 그래서 아무거나라도 해보기위해 글쓰기를 눌렀습니다. 이 글의 제목은 아직까지 정하지 못했습니다. 음.. 그냥 어려운걸 찾아봅시다!! 세상에서 두 번째로 어려운 일은 남의 지갑에서 돈을 뺏어오는 일이고, 세상에서 가장가장 어려운 일은 다른사람 머리속에 내 생각을 넣는 일이라고 하네요. 원하는 것을 뺏아오고 원하는 것을 넣기 위해.. 오늘은 백도어를 공부해봅시다! 백도어란? 뒷문이겠죠? 즉, 방화벽과 보안장비를 우회해서 서버의 자원을 통제하는 기술..?정도.. 2021. 3. 11. IP별 국가코드 매칭(feat.오프라인) 안녕하세요!! 오랜만에 노트북에 앉아있는 베짱이입니다. 오늘은 IP를 입력해서 국가코드를 조회해볼까합니다 그! 러! 나! 귀차니즘이 살그음살그음 다가오고 있네요 호다닥 해보도록 하지요 Q. IP에 해당하는 국가코드를 얻어오는 방법은? A1. IP주소를 입력하면 국가코드를 알려주는 사이트도 있고 A2. API를 통해 온라인상에서 얻어올수도 있고 A3. 라이브러리도 있네요 Q. 그렇다면 이 세가지의 공통점은? 전부 서버에 요청해서 결과를 얻어오는 온라인 방식..!! 그래서 폐쇄망에서는 사용할 수 없다는 치명적인 단점이 있지여.. Sol. 단점 해결방법(오프라인)!! IP대역별 국가테이블을 만들어놓고 반복문으로 대역을 비교해서 얻어오려고 합니다. Start!! 먼저 이 첨부파일은 IP대역별 국가테이블인데 KI.. 2021. 1. 20. 토크나이징(Tokenizing)이란? 안녕하세요!! 나른나른한 탓인지 굉장히 오랜만에 들어왔어요. 최근에 노션을 하다보니 블로그에 접속을 덜하게 되었는데 오늘은 크리스마스 이브니까! 그런데 나는 할게 없으니까,, 키보드 타닥타닥하고 있는거겠죠? Q. 본론으로 돌아와서 토크나이징이 뭘까요? A. 우리가 일상에서 사용하는 언어(자연어)를 컴퓨터에게 이해시키기 위해 의미가 있는 가장 작은 단어(토큰)로 나누는 것! 입니다. 토크나이징한 토큰은 주로 텍스트 전처리과정에서 사용됩니다. 나무위키에 한국어의 9품사(명사, 대명사, 수사, 동사, 형용사, 관형사, 부사, 조사, 감탄사)에 대한 자세한 설명이 나와있습니다. (너무 어려워요ㅠㅜㅡ,./) 한국어의 5언 9품사 - 나무위키 문장에서 주어나 목적어가 되는 낱말. 그래서 체언(體言)이다. 명사, 대.. 2020. 12. 24. Defenit CTF - Find Tangential Cipher 안녕하세요. 포렌식 CTF는 자주 겪기 힘들고 문제를 구하기도 힘들기 때문에 공부하기 어려웠지만 이번기회에 기회가 생겨서 공부도 할 겸 정리해볼까합니다. 그 전에 스포하나만 하려구 합니다!! 더보기 Windows에서 파일을 삭제하면 파일의 메타데이터만 삭제하기 때문에 실제 데이터는 남아있습니다. 하드디스크는 덮어쓰기(overwrite)가 가능하므로 데이터하나하나까지 지우지 않는 것이지요.. 언젠가는 덮어질거라는 생각으로요! 우리가 파일에 엑세스하기 위해서는 파일의 메타데이터(파일정보)가 있어야하는데 그 부분만 지운다는 말입니다. 여기서 말하는 메타데이터는 이미지파일이라면 카메라정보, 활영시간, 해상도, 크기, MAC시간, 경로 등이 있겠죠? 문서파일에는 지은이(만든이)도 있을거구요 이 데이터만 가지고도 .. 2020. 9. 8. saturn 랜섬웨어 분석 안녕하세요! 매주 수요일이 코로나 감염수가 가장 많은 날인데 생각보다 그렇게 많이 늘지는 않았네요. 다행이에요! 왜 수요일에 코로나확진자가 늘어나냐구요? 주말에는 제대로 검사를 하기 힘들고 보통 하루에서 이틀정도 걸리기 때문입니다. 오랜만에 글을 쓰게 되었는데 요즘들어 이것저것 관심있는 것도 많고 하다보니.. 다른공부를 하다보니 한 달이 지나갔네요! 본론으로 돌아와서 saturn 랜섬웨어를 분석하려고합니다. 먼저 정적분석으로 한걸음 가까이 다가가볼까요? 시작주소가 0x4151bc이고, 5개의 섹션이 존재하며, C++로 제작되어 있는 32비트 실행파일이네요! 5개의 섹션 중 .reloc섹션이 존재하는 것을 확인할 수 있네요. 아마도 재배치 되겠죠? relocation에 대한 정보는 아래 링크를 참고하세요!.. 2020. 9. 3. 데이터3법 정리 및 관련회사정리(이슈) 안녕하세요!! 정신없이 7월이 다 가버렸네요. 정신없는 와중에도 여러가지 이슈가 있었습니다. 그 중에 하나가 데이터 3법이죠?! 1. 데이터 3법이란? 정부가 4차 산업혁명(빅데이터, AI, 로봇공학, 양자암호, IOT, 드론, 클라우드 3D프린팅 등의 기술) 시대를 주도하고 있죠? 4차 산업혁명 시대에는 데이터가 핵심자원으로 보입니다. 이러한 데이터를 안전하게 이용할 수 있도록 사회적 제도(법)를 만들기 위해 데이터 3법 개정안이 발의가 되었습니다. 이 데이터 3법에는 개인정보보호법, 정보통신망법, 신용정보법이 포함됩니다. 2. 데이터 3법 개정안 (1) 개인정보보호법 개정안(3법 중 핵심법안) 개인정보보호법 개정안은 개인정보의 개념을 명확히하여 혼선을 줄이는데 있다. 그 외 데이터를 기반으로한 개발/.. 2020. 7. 28. Windows 부트로깅 1. 부트로깅이란? 시스템이 부팅 중 발생하는 이벤트를 모니터링하고 로그에 남기는 것! 2. 분석방법 Injection, Launcher의 기능을 하는 프로세스 식별 자동실행 된 프로세스 식별 특정 프로세스를 실행 중 접근된 자원 실별 프로세스 상관관계 분석(Parent-Child Relationship) TCP/UDP Traffic을 발생시킨 프로세스 식별 이후 재부팅 !! 두구두구두구 로그를 이용해서 라이프타임이 짧은 걸 확인하고 프로세스트리를 확인하여 상관관계를 분석한다. [ex)부모프로세스와 자식프로세스 등 다른프로세스에 의해 생성된 것] 2020. 6. 13. Windows 주요프로세스 분석 1. lass.exe(Local Security Authority Subsystem Services) (1) 프로세스 목적 및 기능 ▶ 보안정책적용을 담당하는 프로세스 ▶ 패스워드 변경, Access Tokens 생성, 사용자 인증 ▶ 악성코드가 자주 사용하는 이름 중 하나 (2) 이상할 때 ▶ 실행경로가 %systemroot%\system32가 아닐 때 ▶ 자식 process를 소유할 때 ▶ 프로세스 시작시간이 시스템 부팅시간과 많이 차이날 때 ▶ CPU점유율이 과도하게 높을 때 2. svchost.exe(Service host) (1) 프로세스 목적 및 기능 ▶ 동적라이브러리(DLL)에서 실행되는 윈도우의 서비스를 제어 ▶ 윈도우 부팅 시 레지스트리의 서비스를 검사 ▶ 로드해야 할 서비스의 대상, 위.. 2020. 6. 10. Windows 이벤트 로그 분석 이벤트로그 확장자 ▶ Windows XP, Server2003 : .evt ▶ Windows 7, Server2007(비스타 이후) : .evtx 저장장소 ▶ C:\Windows\System32\Winevt\logs Windows 이벤트로그를 분석하는 이유? 1) 해킹징후 파악 ▶ 이벤트로그 변조흔적을 조사(관리자권한으로 삭제가능) 2) 시스템에서 발생한 사건 ▶ 로그를 분석하여 침해대응자료 및 포렌식 증거자료로 활용가능 ▶ 이벤트로그로 공격자의 행위를 분석 ▶ 이벤트로그 분석 후 피해 입은 부분을 복구 내 PC에서 원격데스크톱, VPN 접속이력 확인방법 1) LogParser 설치 https://www.microsoft.com/en-us/download/details.aspx?id=24659 Log P.. 2020. 6. 10. 이전 1 2 3 4 5 ··· 30 다음