전체 글
![[ASC 스터디] 5주차 - 연습문제 풀이, GDB, IDA, Pwntools 사용법](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FboCxwp%2FbtrGEJKS1fk%2Fc5ZgdX6srNjxkdPkmB0BBK%2Fimg.png)
[ASC 스터디] 5주차 - 연습문제 풀이, GDB, IDA, Pwntools 사용법
👉 지난 차시 2022.06.27 - [System-hacking/📖] - [ASC 스터디] 4주차 - 레지스터, 어셈블리, 연습문제, GDB 사용법 1. 연습문제 풀이 & 복습 결과 확인 방법 => nasm, gdb sudo apt-get install nasm vi ex1.asm nasm -f elf64 ex1.asm -o ex1.o && ld ex1.o -o ex1.elf ./ex1.elf pwndbg, Pwngdb 사용 방법: git clone 해서 다운 받는다 => pwndbg/ 들어가서 ./setup.sh 해준다 => .gdbinit 파일 수정해준다. => gdb 실행해보기 source ~/pwndbg/gdbinit.py source ~/Pwngdb/pwngdb.py source ~/Pwngd..
화이트햇투게더 대학생 봉사단 합격
대학생 봉사단에 최종 선정되었다 !!! 면접 때 했던 답변들이 취약점 분석 쪽이어서 정보보호 컨설팅과 방향이 달랐던 것 같은데 어찌 합격하게 되었다.. 면접 질문은 지원서 바탕으로 대부분 나왔다. 정보보호관련 경험으로는 작년 HDCON대회에서 작성했던 보고서 내용을 지원서에 적었고 어떤 아이디어를 냈었는지 설명드렸다. 프로젝트 경험으로는 나는 아직 제대로 된 프로젝트를 해본 경험이 없어서 편의점 점장을 했던 것을 적었다.. ㅋㅋ 면접관분들이 편의점 점장으로 무슨 일했는지를 물어보셔서 깐깐하게 알바생들 관리한 거랑 재고 차이나면 cctv 뒤져서 범인 찾아낸거 등 말씀드렸는데 아주 웃으셨다.. 마지막에 정보보호관련 깜짝 퀴즈가 있었는데 법 쪽은 무지했기에 당욘히 답변을 하지 못하였다.. 편의점 점장 경험이 ..
20회 해킹보안세미나
2022-06-29 국회도서관 소회의실에서 열린 20회 해킹보안세미나에 다녀왔다. 세미나에서 필기했던 내용들로만 적겠다 ! 1. 해킹 보안과 안전한 메타코리아 전략 큰 기업일수록 정보보호 중요성 인식이 높다. 약 90%. 그러나 정보보호정책을 보유한 기업은 약 27%에 불과하다. 약 73%의 기업들은 침해사고가 발생해도 별다른 대응/활동을 하지 않는다. 침해사고에는 랜섬웨어가 가장 많고, 그다음 악성 코드이다. * 가버넌스 문제 국가 차원의 control tower 정립이 필요하고, 어떻게 기존의 보안 관련 기관들이 역할을 분담할지 정해야한다. * 제로 트러스트 사람이 위협이 될 수 있다. 2. 랜섬웨어 공격과 복구 가능성 분석 현황 랜섬웨어는 요즘 공격 트렌드는 RaaS로 해커그룹이 랜섬웨어 툴을 만들..
![[ASC 스터디] 4주차 - 레지스터, 어셈블리, 연습문제, GDB 사용법](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FKBG0b%2FbtrFTNmq9GD%2F5dV8aEkxRa9RS7MwoA4Sk0%2Fimg.png)
[ASC 스터디] 4주차 - 레지스터, 어셈블리, 연습문제, GDB 사용법
👉 지난 차시 2022.06.19 - [System-hacking/📖] - [ASC 스터디] 3주차 - 기초이론, 환경세팅, 메모리구조 ( x86-64 아키텍처 기반 ) 1. 레지스터(Register) CPU가 데이터를 빠르게 저장하고 사용할 때 이용하는 보관소이다. 메모리나 보조 기억 장치보다 빠르다. 1.1. 32비트 레지스터 ✨ E로 시작한다. ex) 32bit EAX > 16bit AX > 8bit AH + 8bit AL - 데이터 레지스터 (1) EAX(Accumulator) 연산 결과를 저장하고 함수 반환 값을 담는다. (2) ECX(Counter) 주로 카운팅할 때 사용한다. ( for문의 i 같이 ) (3) EBX(Base) 주로 주소의 기본 값을 저장한다. (4) EDX(Data) 주로 ..
인코딩
1. 문자 인코딩 컴퓨터는 'a', '가'와 같은 우리의 문자를 인식할 수 없다. 우리의 문자를 컴퓨터가 인식할 수 있는 0과 1로 바꿔주는 것을 인코딩, 부호화 한다고 한다. 'a' 는 1이다. 'b'는 2이다. 같은 규칙을 정해놓고 바꿔주는데, 이렇게 문자와 숫자를 매핑시켜준 테이블을 문자셋(charset)이라고 한다. 문자 인코딩 : 컴퓨터가 인식할 수 있는 바이너리를 생성하는 것 문자 셋 : 인코딩을 위해 정해놓은 규칙 국제적으로 정해놓은 표준이 있다. - 아스키(Ascii) - 유니코드(Unicode) 1.1. 아스키코드 1바이트로 알파벳과 특수 문자 등을 표현한다. 7비트를 사용하여 2^7 = 128 개의 문자를 표현할 수 있다. 첫 비트는 패리티 비트로 데이터의 에러를 탐지하기 위해 사용한다..
2022 세계신안보포럼 요약 ( DAY1 )
강연자랑 강의 내용이 잘 매치 안되었을 수도 있다! 실시간으로 들으면서 적은 거라 중간중간 놓친게 있다. DAY1 주제 : 신흥안보 위협의 과거와 현재, 그리고 미래 - 신뢰에 기반한 국제 협력으로의 길 19:00 - 19:40 : 개회사 및 축사 박진 대한민국 외교부장관 에후드 올메르트 전 이스라엘 총리 에릭 슈미트 전 구글 회장 쉬 부 중국국제문제연구소 소장 100년 전과는 달리 21세기인 지금 우리는 전 세계에 쉽게 접근할 수 있다. 이러한 특성 때문에 코로나 펜데믹이 어느때보다 더 빨리 확산되었다. 가장 중요한 것, 전세계적으로 가장 부재한 것은 리더쉽이다. 함께 커뮤니케이션을 함으로써 우리는 질서를 구축할 수 있다. 질서를 통해서 위험에 안전하게 대처할 수 있다. 국제 수준의 리더십이 없다. 강..
다크웹 모니터링 서비스
1. 다크웹이란 : 토르 같은 특정 브라우저 소프트웨어로만 접근할 수 있는 인터넷 영역 : 주로 불법 및 범죄에 악용될 수 있는 것들이 거래되는 black market이다. ( 마약, 무기, 해킹 도구, 기업 기밀 정보, 개인정보 등) : 모두 악의적인 목적으로 사용되는 것은 아니다. ( 특징 ) - IP 주소 없음 - 완전한 익명 - 추적 불가 2. 다크웹 모니터링 솔루션 - 다크웹에서 클라이언트의 개인 정보를 검색하고 추적하는 것 - 매일 여러 웹사이트를 모니터링하여 인터넷 또는 다크웹에서 개인 정보가 노출되어 유통되고 있는지 모니터링한다. 2.1. 검색하는 개인 정보 종류 은행 계좌 자격 증명 신용 카드 정보 전화번호 이메일 주소 운전면허증 여권번호 2.2. 다크웹 모니터링의 이점 (개인) 신원 사..
20220616 보안뉴스
1. 정보보호산업 인력난 코로나로 인해 사이버 보안 위협이 크게 증가함에 따라 정보보안 산업의 투자가 더욱 필요하다.우주, 자동차, 등등 다양한 분야에서 보안이 필요하다. 더보기 보안 미래가 밝구나 더 흥해라 라고 하기에는 그만큼 위협이 커졌다는 거니까 좋은게 아닐 수 있겠다.. 2. 글로벌 보안 트렌드에 따라가야한다 클라우드보안, 가상화폐, NFT 미국과 공조하고, 새로운 시장에 뛰어들어라. 더보기 클라우드, 메타버스, 블록체인.. (+영어) 새로운 기술 의 발전과 함께 새로운 보안 위협에 대응해서 항상 공부하고 공부하고 공부해야하는 것 같다. 웹해킹 하나를 마스터하려해도 시간이 굉장히 오래 걸리는데 시스템해킹, 리버싱, 암호학 언제 다하고 블록체인 공부는 언제..?공부할 게 너무 많은거 아닌가요!! ..
![[n00bzCTF - WEB] Curl as a Service](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FbCVeiA%2FbtrEoajbL9L%2FZYuDulHg68qHukw5PAde50%2Fimg.png)
[n00bzCTF - WEB] Curl as a Service
n00bzCTF에서는 공식 writeup을 제공한다..!😄😆 롸업 정리하면서 공부해보자 ! https://github.com/n00bzUnit3d/n00bzCTF-OfficialWriteups/tree/main/web/CaaS 1. 문제설명 remote: https://challs.n00bzunit3d.xyz:30533/ challenge: https://ctf.n00bzunit3d.xyz/attachments/CaaS/challenge_redacted.py 2. 웹서비스 분석 드림핵에 비슷한 문제가 있었다. blind command 였나??? 그때는 입력칸에 들어가는 값이 curl 명령어의 인자로 들어갔는데 이 문제에서는 curl command라고 써져있긴 한데 동작이 좀 다른 것 같다. from fl..
20220607 보안뉴스
1. 밀리의서재 해킹으로 고객 정보 유출... 밀리의 서재 플랫폼이 해킹을 당해서 만여명의 고객 정보가 유출되었다. 유출된 정보는 이메일과 암호화된 전화번호와 비밀번호다. 더보기 안돼...........내 아이디 유출되었나.. 흑흑 이메일 정보만으로 무엇을 할 수 있을까? 암호화되어있다고 하는데 복호화할 수 있지 않나? 얼른 다른 웹사이트에서 쓰는 비밀번호를 바꾸자..! 보안을 위해서 자주 비밀번호 바꾸라고 하는데 솔직히 귀찮다. 기억하기도 힘들고.. 이거 자동으로 해주는 도구 없나? ㅋㅋ 내가 쓰는 모든 웹사이트 계정을 데이터베이스에 저장해놓고 한달에 한번씩 비밀번호를 특정한 알고리즘에 따라 조금씩 변경해주는 도구.. 함 만들어봐????????? 각 사이트마다 인증 방법들이 달라서 힘들지 않을까..? ..
네트워크관리사2급 1차 필기
1. 시험 접수 이유 웹해킹 하면서 네트워크 공부의 필요성을 느꼈습니다. 먼저 가볍게 읽을 수 있는 네트워크 책을 한 권 읽었는데, 이왕 네트워크 자격증 취득하면 좋을 것 같아서 접수하게 되었습니다. CCNA랑 네트워크관리사2급이랑 고민하다가.. CCNA 비싸서..... 😅 2. 시험 정보 (사)한국정보통신자격협회 (사)한국정보통신자격협회 개요 및 검정기준 네트워크관리사란 서버를 구축하고 보안 설정, 시스템 최적화 등 네트워크구축 및 이를 효과적으로 관리할 수 있는 인터넷 관련 기술력에 대한 자격이다. 자격명칭 검정기준 www.icqa.or.kr 1차 - 필기 2차 - 실기 3. 준비 방법 리눅스마스터2급에서 네트워크 부분이 있어서 겹치긴 하더라구요. 그래서 확실히 리마보다 쉬웠습니다. 공부 시작하기 전..
리눅스마스터2급
1. 시험 접수 이유 리눅스마스터 2급 자격증을 취득해야겠다고 생각한 이유는, 침투테스트 공부를 하면서 칼리 리눅스를 많이 다루게 되었고 리눅스를 전반적으로 한번 공부해보고 싶어서입니다! 침투테스트에서 타겟 머신(리눅스)의 쉘을 획득한 후에 유용한 정보를 찾아봐야 하는데요. 이때 필요한 리눅스 명령어나 시스템 파일들이 어떤 것들이 있는지 자격증을 취득하면서 공부해보고 싶었습니다. 2. 시험 정보 KAIT 자격검정 정기검정 일정 정기검정 일정 종목 등급 회차 차수 접수일자 시험일자 합격자 발표 리눅스마스터 1급 2201회 1차 01.25.(화) ~ 02.04.(금) 03.12.(토) 04.01.(금) 2차 04.11(월) ~ 04.22.(금) 05.21(토) 06.10.(금) 2202 www.ihd.or...
20220517 보안뉴스
1. 경찰청-문체부-인터폴, 웹툰·한류 콘텐츠 불법유통 저작권 침해 사이트 34곳 폐쇄...207명 검거 경찰청-문체부-인터폴, 웹툰·한류 콘텐츠 불법유통 저작권 침해 사이트 34곳 폐쇄...207명 경찰청-문체부-국제형사경찰기구(인터폴)가 공조해 온라인 저작권 침해 사범 207명을 검거했다. 이는 3개 기관이 ‘온라인 저작권 침해 대응 프로젝트(I-SOP)’ 업무협약을 체결하고 공동으로 저 www.dailysecu.com 더보기 이전에 웹툰 불법 사이트인 밤토끼 운영자가 구속된 기사를 봤는데, 구속되고 나서도 계속 사이트가 운영되는 것을 보고 왜 안 닫히는지 궁금했다. 다른 불법 사이트들도 URL 숫자를 바꿔가면서 계속 사이트를 운영하고 있는 것 같다. 왜 차단이 어려울까? 불법 사이트에 접근하는 것도..
20220510 보안뉴스
1. 윤석열 정부 "국가사이버안보위 설치하고...보안산업, 20조원 시장으로 육성" 윤석열 정부 "국가사이버안보위 설치하고...보안산업, 20조원 시장으로 육성" - 데일리시큐 제20대 대통령직인수위원회는 오는 5월 10일 출범하는 윤석열정부의 국정비전과 목표를 설정하고, 이를 구현하기 위한 ‘국민께 드리는 20개 약속’과 ‘110대 국정과제’를 3일 발표했다.인수위 www.dailysecu.com 기사를 읽고.. 더보기 앞으로 보안 산업에 투자를 더 늘린다고 한다!! 지금 우리나라는 국정원, 국방부, 과기정통부 등으로 나눠져 있어서 통합적인 대응을 할 수 없는데, 컨트롤 센터 역할을 하는 (미정)사이버보안청이 생길 수도 있다고..!! 사이버보안청 생기면 첫 기수?로 들어가고 싶다 ㅎㅎ 저번달에 갔던 경..
Log4j 프로젝트 0. 진행 계획
1. java 사용해보기 > 동빈나 JSP 게시판 만들기 + 게시판에 여러 기능 추가해보기 2. log4j 사용해보기 > 이클립스에서 log4j 사용하는 방법 3. 익스플로잇 코드 실습 4. log4 shell 취약점 이해하기 & PoC 분석 QnA 형식으로 알아보는 Apache Log4j 취약점 대응 가이드.pdf Apache Log4j 2 - Remote Code Execution (RCE) Apache Log4j 2 - Remote Code Execution (RCE) EDB-ID: 50592 CVE: 2021-44228 Date: 2021-12-14 www.exploit-db.com 5. 다양한 문제 풀면서 적용해보기 TryHackMe | Solar, exploiting log4j hacktheb..
strcmp함수
두 문자열이 같은지 비교하는 함수이다. strcmp 원형 int strcmp(const *_Str1, char const *_Str2); strcmp 반환값 - 아스키코드 기준 str1 > str2 : 1반환 str1 < str2 : -1반환 str1 = str2 : 0반환 예제코드 #include #include #include int main() { char password[] = "aaaa"; char user[] = "b"; int result = strcmp(password, user); if ( result == 0) { printf("\nFlag is \"Welcome\"\n"); } else if (result < 0) { printf("\nResult : %d\n", result); } ..