- 분류 전체보기 (444)
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | ||||||
| 2 | 3 | 4 | 5 | 6 | 7 | 8 |
| 9 | 10 | 11 | 12 | 13 | 14 | 15 |
| 16 | 17 | 18 | 19 | 20 | 21 | 22 |
| 23 | 24 | 25 | 26 | 27 | 28 | 29 |
| 30 |
- vulnhub
- Strings
- ESXi
- NTFS
- 2018
- Docker
- Openstack
- InsecureBank
- otter
- SQL Injection
- Reflected XSS
- logstash
- frida
- foremost
- kibana
- XSS
- Suninatas
- binwalk
- Volatility
- base64
- MFT
- CTF-d
- elasticsearch
- igoat
- 인시큐어뱅크
- beebox
- 안드로이드
- ctf
- lord of sql injection
- diva
- Today
- Total
목록전체 글 (444)
Information Security
Security.evtx를 보면 4672 관리자 권한 상승 탐지 이벤트가 많은 것을 알 수 있다. Windows PowerShell.evtx PowerShell 이벤트 로그에서 Event ID 600은 PowerShell의 시작을 의미합니다. 해당 이벤트는 PowerShell이 실행될 때 기록되며, PowerShell 세션이 열릴 때마다 자동으로 생성됩니다. Event ID 600 용도: PowerShell 사용 시작 시점을 기록하여, 누가 언제 PowerShell을 사용했는지 추적하는 데 도움이 됩니다.상세 정보: 이 로그에는 시작된 PowerShell 버전 및 호스트 정보, 실행된 사용자 정보 등이 포함될 수 있습니다./Windows/System32/winvet/Logs 경로에서 Windows Pow..
System 로그의 Event ID 6005:의미: Windows 시스템의 시작을 알리는 이벤트입니다.상세 설명: 이 이벤트는 Windows 운영 체제가 부팅될 때 시스템 로그 서비스가 시작되었음을 기록합니다. 보통 시스템이 정상적으로 부팅되었는지 확인하기 위해 사용되며, “이벤트 로그 서비스가 시작되었습니다”라는 메시지와 함께 나타납니다.용도: 주로 시스템의 시작 시간과 운영 상태를 파악할 때 사용됩니다.Security 로그의 Event ID 4608:의미: Windows 시스템의 보안 로그 초기화를 알리는 이벤트입니다.상세 설명: 시스템 부팅 후 보안 설정이 초기화되는 시점을 기록합니다. 이는 보안 관련 이벤트 로깅이 시작된다는 의미로, 시스템이 부팅되거나 재시작될 때 나타납니다.용도: 보안 측면에서..
Silky-CTF: 0x01
해당 서버를 실행 시 아래와 같이 Silky 로그인 화면을 보여주는 것을 확인 칼리 리눅스에서 IP 주소 확인 nmap 스캔 프로그램을 이용하여 호스트만을 스캔하는 -sn 옵션을 통해 진행하여 Silky 서버의 IP 주소가 192.168.116.141 확인 IP 주소 192.168.116.141을 스캔하여 ssh, http 프로세스 확인 HTTP 홈페이지 접속 시 Apache2 Default 페이지를 확인 홈페이지에 /robots.tx 크롤링하는 페이지를 확인 시 /notes.txt 페이지가 존재하는 것을 확인 /notes.txt에 접근하면 외국어로 작성된 문장을 확인번역 : 페이지에서 비밀번호를 꼭 삭제해야 합니다. 마지막 두 글자가 빠졌거든요. 어쨌든요. 홈페이지에 소스코드를 보면 script.js..
basic_pentesting_1
해당 서버 실행 시 우분투로 실행되는 것을 확인 공격자에 칼리리눅스 네트워크 대역 확인 nmap 프로그램을 이용해 192.168.116.0/24 대역 스캔하여 서버의 IP 주소 192.168.116.135 확인 192.168.116.135 서버에서 FTP 서버, SSH 서버, HTTP 프로세스가 동작하는 것을 확인 FTP 서버 버전이 1.3.3c라는 것을 확인 Metasploit에서 proftpd 해당 버전의 backdoor 취약점 확인 해당 공격에 대한 reverse 페이로드 선택 공격에 필요한 정보들을 options 명령어로 확인 RHOSTS는 공격할 서버의 IP 주소, LHOST는 칼리리눅스의 IP 주소 입력 exploit 공격을 수행하면 세션이 연결되는 것을 확인 /etc/shadow 파일에서..
FindUSB문제에서 사용했던 파일 중에서 Registry Explorer로 NTUSER 하이브 파일을 열어준다. SOFTWARE\Microsoft\Windows\CurrentVersion\Run 레지스트리에서 자동으로 시작하는 프로그램들을 확인할 수 있다. 자동으로 실행되고 있는 파일들을 확인할 수 있다. 해당 경로에 malware.exe 파일을 확인 malware.exe 파일을 MD5 해시값으로 계산
주어진 이미지 파일(DiskImage.E01)에서 아래 경로의 레이지스트리 파일들을 수집한다. [root]\Windows\Users\victim\NTUSER.DAT [root]\Windows\System32\config\DEFAULT[root]\Windows\System32\config\SAM[root]\Windows\System32\config\SECURITY[root]\Windows\System32\config\SOFTWARE[root]\Windows\System32\config\SYSTEMRLA 도구를 이용해 레지스트들을 dirty 상태에서 clean 상태로 만든다. FTK Imager를 이용하여 DiskImage 이미지 파일에서 Users\victim\NTUSER.DAT 파일을 추출한다. Di..
참고 해당 소스코드를 아래와 같이 컴파일한다. shell_basic 실행 후 AAAAA 문자열 입력했는데 Segmentation Fault를 보여주면서 메모리 접근 오류가 발생하였다. Flag는 /home/shell_basic/flag_name_is_loooooong 경로에 있는 것을 알 수 있다. 위에 코드 설명0x3016진수 30 = 48(10진수)보통 flag 길이 이하read(fd, buf, 0x30)fd에서 최대 48바이트 읽기읽은 크기 반환write(1, buf, 0x30)stdout에 48바이트 출력실제 읽은 크기만큼 써야 안전 write(1, buf, 0x30) 설명0STDIN_FILENO표준 입력키보드1STDOUT_FILENO표준 출력화면(콘솔)2STDERR_FILENO표준 에러화면(..
요약"GUI에서 인증되지 않은 SQL 주입 - FortiWeb의 SQL 명령('SQL 주입') 취약점[CWE-89]에 사용된 특수 요소의 부적절한 무력화로 인해 인증되지 않은 공격자가 조작된 HTTP 또는 HTTPs 요청을 통해 인증되지 않은 SQL 코드나 명령을 실행할 수 있습니다. 버전버전영향받는 버전해결FortiWeb 7.6FortiWeb 7.6.0 ~ 7.6.3Upgrade to 7.6.4FortiWeb 7.4FortiWeb 7.4.0 ~ 7.4.7Upgrade to 7.4.8FortiWeb 7.2FortiWeb 7.2.0 ~ 7.2.10Upgrade to 7.2.11FortiWeb 7.0FortiWeb 7.0.0 ~ 7.0.10Upgrade to 7.0.11 실습config system inte..