🏰 🏰

SECURITY

• Webhacking.kr :: old-16번

  SECURITY/Webhacking 2021. 1. 25. 08:57

  들어가면 다음과 같다. a d w s 로 움직일 수 있다. script 를 보자. 100,97,119,115 를 방향키로 해서 움직이는 함수가 구현되어 있다. 이걸 보고 난 그냥 console 에 mv(124) 를 해서 풀어버렸는데 (...) 124 아스키 코드가 | (파이프) 이거라서 첫 화면에서 | 을 해주면 문제가 풀리는 간단한 거였다.

  Read More
• Webhacking.kr :: old-1번

  SECURITY/Webhacking 2021. 1. 24. 23:53

  간단한 cookie 변조 문제. 문제 사이트는 다음과 같다. view-source 를 하면 이렇게 뜨는데 결국 user_lv 값에 따라 solve(1) 가 출력됨을 볼 수 있다. solve(1) 이 뜨려면 user_lv 이 5 이상 6 미만 이어야 하니.. 대충 5.5 정도로 바꿔본다. (Crome 에서는 F12 -> Application -> cookies 로 들어가면 cookie 확인 및 값 변경이 가능하다) 그럼 풀렸다는 alert 와 함께 point 를 받을 수 있다 ~

  Read More
• linux 에서 생성한 메모리 덤프 파일을 volatility 로 분석하기 :: profile 만들기, KASLR

  SECURITY/FORENSICS 2020. 12. 26. 18:00

  이 글은 volatility 로 linux 파일 분석 시도 - linux 프로파일 만들기 - 그럼에도 생기는 문제[KASLR] 를 소개하며 해결하는 순서로 이루어진다. volatility 로 메모리 덤프 파일을 분석하려면 해당 메모리 덤프 파일의 운영체제에 대한 프로파일이 있어야 한다. volatility 에는 기본적으로 windows 에 대한 프로파일이 포함되어 있고, windows 에 사용할 수 있는 플러그인들이 많기 때문에 기본적으로 메모리 덤프 파일 분석을 위해서라면 windows 가 더 수월할 수 있다. 그런데 나는 VMware 에 만든 가상머신이 Ubuntu 라서 그냥 그 머신의 메모리 덤프를 땄고, 분석하려고 시도하였다. (그리고 매우 후회하였다) 해당 파일 이름은 file.vmem 이고 v..

  Read More
• vmware 를 활용하여 메모리 덤프파일 만드는 방법

  SECURITY/FORENSICS 2020. 11. 3. 16:10

  VMWare가 가지고 있는 위와 같은 주요 확장자 파일들 중 VMWare 소프트웨어에서 게스트 운영체제 상태로 가동 중인 시스템의 메모리 분석 대상은 .VMEM 확장자를 가진 파일이다. 게스트 운영체제에서 .VMEM 확장자 파일을 추출하기 위해서는 실행 중인 게스트 운영체제를 일시 중지 시켜 현재 메모리 상태를 저장해야 한다. 그러면 VMWare 에서는 별다른 작업 없더라도, 가상머신을 일시정지(suspend)하게되면 자동적으로 해당 머신이 위치한 폴더에 vmem파일이 생성된다. 이 파일을 바로 volatility 에서 열어서 분석할 수 있다. 지금부터 VMWare 로 Ubuntu 18.01 64bit 를 설치하고, 사용한 다음에 메모리 덤프 파일을 만드는 과정을 설명하겠다. (매우 간단하다) VMwar..

  Read More
• Volatility 설치 및 사용법 (Windows)

  SECURITY/FORENSICS 2020. 11. 3. 16:10

  1. Volatility 설치 Volatility 설치하는 방법에는 크게 두 가지가 있다. 1.1 vol.py 1.2 standalone 으로 설치 코드를 다운받아서 설정하거나, 실행파일을 다운해서 사용하는 방법이다. 1.2 가 설정하는 게 적어서 더 편리할 수 있지만,, 다양한 기능과 수정을 위해선 1.1 로 하는 것이 편리하다. (나도 1.2 로 했다가 불편해서 결국 1.1 로 설치하였다) 1.1 vol.py 코드로 다운받아서 설정. 1) Python 2.7.x 설치 Python 홈페이지에서 2.7.x 를 다운받아주면 된다. (www.python.org/downloads/release/python-2718/) 이때 Add pyton.exe to Path 를 설정해줘서 cmd 에서 바로 python 을..

  Read More
• 메모리 덤프파일 분석 도구 :: Volatility, Redline

  SECURITY/FORENSICS 2020. 11. 3. 16:10

  1. Volatility : Python 으로 제작된 CLI 기반 메모리 분석 공개 소프트웨어. 현재 가장 많이 사용되고 있다. 오픈 소스 프로그램으로, 메모리 분석과 관련된 다양한 기능을 가진 플러그인(Plugin) 들이 개발 및 배포되고 있다. 자신이 직접 플러그인을 만들어서 사용 가능하고, 메모리 덤프 파일(img, raw, dmp 등), 하이버네이션 파일(hiber), 가상 머신 메모리(vmem) 를 분석할 수 있다. 트리 형태의 프로세스 리스트, 프로세스가 로드한 DLL과 핸들, 프로세스 환경변수와 Import, Export하는 함수, 네트워크 정보, 시스템에서 로드했던 드라이버 목록, 실행 중이거나 종료 또는 루트킷으로 은닉된 프로세스의 오프셋, SID(보안 식별자), PID, 스레드 수, 핸..

  Read More
• 메모리 포렌식이란? :: 메모리 덤프 파일, 확장자 종류

  SECURITY/FORENSICS 2020. 11. 3. 16:09

  1. 메모리 포렌식이란? : 컴퓨터 하드웨어 중 주 기억장치(RAM)에 남아있는 데이터 흔적을 분석하는 기법이다. RAM 은 휘발성이 강하지만 프로세스 정보, 네트워크 연결 정보, 악성코드 파일 정보, 시스템 관련 데이터 구조, 사용자 활동 정보 등의 고유의 독특한 정보가 남아있다. (컴퓨터 시스템은 구조적으로 중앙처리장치(CPU, Central Processing Unit)에 의해 연산이 이루어지는데, 여기서 어떠한 소프트웨어라도 메모리인 RAM에 그 데이터와 코드가 적재되어야만 중앙처리장치에서 연산이 가능하기 때문) 따라서 메모리 포렌식의 주 목적은 악성코드와 관련있는 데이터를 추출하고, 어떻게, 어떤 이벤트가 발생했는지 등의 RAM 에 남아있는 악성코드 감염과 관련된 다양한 흔적을 분석하여 침해 사..

  Read More
• 새볼륨 디스크 이미지 덤프

  SECURITY/FORENSICS 2020. 10. 30. 15:56

  Read More