- 분류 전체보기 (446)
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | ||||||
| 2 | 3 | 4 | 5 | 6 | 7 | 8 |
| 9 | 10 | 11 | 12 | 13 | 14 | 15 |
| 16 | 17 | 18 | 19 | 20 | 21 | 22 |
| 23 | 24 | 25 | 26 | 27 | 28 | 29 |
| 30 |
- Suninatas
- Docker
- lord of sql injection
- CTF-d
- ESXi
- base64
- diva
- kibana
- dreamhack
- frida
- MFT
- elasticsearch
- beebox
- InsecureBank
- 인시큐어뱅크
- foremost
- 2018
- XSS
- 안드로이드
- Volatility
- vulnhub
- SQL Injection
- ctf
- Openstack
- logstash
- Strings
- Reflected XSS
- binwalk
- igoat
- otter
- Today
- Total
목록전체 글 (446)
Information Security
Stuxnet 분석
Stuxnet 2008년 발견 이란 등 국가의 가스 파이프라인이나 발전소 같은 특정 산업 제어 시스템 위협 그들이 원하는 의도를 수행하게끔 PLC(Prgramming Logic Contoller)를 재구성함으로써 기능을 방해 Stuxnet 특징 네트워크 쉐어를 통하여 원격 컴퓨터로 복사 및 실행 LAN 구간을 통하여 업데이트 MS 취약점을 통한 권한 상승 윈도우 루트킷 포함 보안 제품 우회 시도 PLC 조작 ① configuration data의 유효성을 검사한다. ② 다음 레지스트리 키의 NTVDM TRACE 값을 검사한다. HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ MS-DOS Emulation. 이 값은 감염 여부를 기록하는 값으로 값이 1..
Docker 명령어
docker nginx를 다운로드하였다. nginx의 이름을 nx로 만들어진 프로세스를 확인했다. start 옵션으로 name nx로 구동시켜도 되고 CONTAINER ID로 지정하여도 된다. 다시 ps 명령어로 확인하면 Create에서 UP로 되어 있는 것을 알 수 있다. nginx가 구동되어 있어 접속하면 기본 페이지를 확인할 수 있다. port와 name을 동일하지 않게 만든 후 프로세스를 확인하면 바로 UP이 되어 있는 것을 알 수 있다. rm 명령어로 삭제가 된 것을 알 수 있다. 동작중인 docker는 삭제되지 않는 것을 알 수 있다. nx를 정지 후 삭제를 하면 삭제된 것을 알 수 있다. nginx 프로세스를 전부 삭제 후 images를 확인 후 nginx 이미지를 삭제했다.
Volatility BlackEnergy 분석
BlackEnergy DDoS 트로이 악성코드 2008년 러시아와 조지아의 갈등 관계에서 조지아로의 사어비 공격에 사용 현대적 루트킷과 프로세스 인젝션 기술, 강한 암호화, 현대적 구조를 가짐. imageinfo를 해보면 2010-08-15 Local time은 15:22 세계시간으로는 19:22이라는 것을 알 수 있다. WinXPSP2x86 서비스 팩 설정 후 pstree 내용을 확인했다. 파일 이름이 이상한 프로세스를 확인할 수 있다. psscan 내용을 확인했다. 악성코드의 시작과 종료 시간을 알 수 있다. psxview를 통해서 숨겨진 프로세스를 확인했다. pslist와 pscan 값이 다르면 의심해야 한다. (logonui.exe는 값이 다르지만 제외) Pid 1260번은 검출되지 않아서 exp..
도커 레지스트리
도커 레지스트리 도커 레지스트리에는 사용자가 사용할 수 있도록 데이터베이스를 통해 Image를 제공해주고 있음 누구나 이미지를 만들어 푸시할 수 있으며 푸시된 이미지는 다른 사람들에게 공유 가능 도커 퍼블릭 레지스트리 검색 및 확인 https://hub.docker.com/ Docker Hub Build and Ship any Application Anywhere Docker Hub is the world's easiest way to create, manage, and deliver your teams' container applications. hub.docker.com 경로가 있는 것은 일반 사용자가 업로드한 것이고 경로가 없이 이름만 있는 것은 official image라는 것을 알 수 있다. 이..
스타워즈 시간이 돌아왔다!
문제를 다운로드하면 아래와 같은 이미지를 볼 수 있다. * piet 언어 : 도트로 그림을 그리면 점의 위치와 RGB 값이 코드 역할을 하는 언어 (https://www.bertnase.de/npiet/npiet-execute.php) 해당 문자열의 끝을 보면 다음과 같이 == 인 것으로 보아 base64 encoding 된 문자열인 것 같습니다. 알 수 없는 문자열이 출력되었다. 해당 파일의 이름인 "eighth circle of hell"을 구글에 쳐보았다. 검색을 해보니 프로그래밍 언어 male bolge 라는 것을 알게 되었다. (http://www.malbolge.doleczek.pl/) Flag : dafuck_how_did_you_find_this!
Tomcat 설치
우분투에 docker를 설치했다. docker 명령어를 통해 옵션들을 확인했다. search 옵션을 통해 tomcat을 확인했다. run 명령어를 통해 consol/tomcat-7.0을 불러왔다. tomcat-7.0이 설치가 완료된 것을 알 수 있다. 8080 포트로 접속하면 tocmat 기본 페이지를 확인할 수 있다.
보호되어 있는 글입니다.
패킹
패커? 실행 파일 압축기 사용목적 PE 파일의 크기를 줄이고자 하는 목적 PE 파일 내부 코드와 리소스(string, API)를 감추기 위한 목적 프로텍터? 패킹 기술 리버싱을 막기 위한 다양한 기법 추가 원본 파일보다 크기가 커질 수 있음 패킹을 하기 전에는 Original excutable before packing의 상태로 실행파일이 존재한다. text seciton에는 어셈블리언어가 실행될 수 있는 코드가 들어가 있는 부분으로 일반적으로 text section에 EP가 지정된다. 패킹을 하면 해당 형태는 사라지고 Packed original code, Unpacking stub의 형태로 변하게 된다. Unpacking stub는 프로그램이 실행될 때 Packed original code의 압축을 ..