분류 전체보기 (596) 썸네일형 리스트형 [25.05.22] 웹 떠봐요 6주차 활동 Command Injection 정의인젝션은 악의적인 데이터를 프로그램에 입력하여 이를 시스템 명령어, 코드, 데이터베이스 쿼리 등으로 실행되게 하는 기법이다. 이 중, 이용자의 입력을 시스템 명령어로 실행하개 하는 취약점을 뜻함. Command Injection의 실행 조건명령어를 실행하는 함수에 이용자가 임의의 인자를 전달할 수 있을 때 발생한다. 시스템 함수를 사용하면 이용자의 입력을 소프트웨어의 인자로 전달 가능하다. 그러나 이러한 함수를 사용할 때, 이용자의 입력을 제대로 검사하지 않으면 임의 명령어가 실행될 수도 있다. 이는 리눅스 셸 프로그램이 지원하는 다양한 메타 문자 때문이다. 시스템 함수는 셸 프로그램에 명령어를 전달하여 실명하는데, 셸 프로그램은 다양한 메타문자를 지원함. 메타 문자들.. [2025.05.17]리버싱난다_5주차 활동 참고강의- 유튜브 Fin 리버싱 강의 (18-23강), EAT(1,2), 프로그램 압축, 빠르게 OEP찾기, Relocation [IAT] 실행파일이 다른 모듈에서 사용하는 함수를 가르키는 포인터 함수로 모든 함수의 리스트이다. txt파일로 정리하며 여러 배열이 존재한다. PE파일이 다른 DLL파일에서 사용하는 함수 참조할 때 사용하며 PE파일내 참조하고싶은 모든 함수의 주소로 채워짐 이후 프로그램이 함수를 호출할 때 IAT에 저장된 함수를 호출한다 [Library] 다른 프로그램에서 호출하도록 관련 함수와 기능을 모아둔 파일이다. [EAT] 라이브러리 파일에서 제공하는 함수를 다른 프로그램에 가져다 사용하게하는 핵심 메커니즘이다. EAT를 통해서만 library가 내보내는 시작 주소를 알 수있다. PE.. [버툴킷] 5주차 환경 구성 종류 : Linux버전 : Other Linux (32-bit)메모리 : 1GB가상 하드 디스크를 추가하지 않음 머신 생성후 설정-저장소에서 Kioptix Level 1.vmdk 추가네트워크, 오디오 활성화 해제가상 머신 실행 후 Hardware Removed에서 Remove Conf iguration 선택Hardware Added에서 Do Nathing 선택가상머신 종료 후 네트워크 설정 다시 가상 머신 실행 후 Configure, Do Nathing, Do Nathing 모든 설정 완료 한 후 스냅샷 촬영 정보 수집 단계 칼리와 Kioptix 모두 실행 후 칼리의 ip 주소 확인 -> 192.168.0.5 Kioptix가 할당 받은 ip 주소 확인 모든 포트 대상으로 192.168.0.4.. [6주차] pwnable.kr 문제 풀이_pwnabless pwnable.kr/play.php https://pwnable.kr/play.php pwnable.kr1. random 문제 풀이(1)문제에서 제시한 ssh random@pwnable.kr -p2222 로 접속 / pw 입력 (2)ls 명령어와 ls -l 명령어를 통해 파일 목록 및 권한 확인 (3)cat random.c 명령어를 입력해 C코드 확인#include int main(){ unsigned int random; random = rand(); // random value! unsigned int key=0; scanf("%d", &key); if( (key ^ random) == 0xcafebabe ){ printf("Good!\n"); setregid(getegid(), getegid().. [2025.05.16] 포렌시크 7주차 활동 02 MUICache• Windows에서 다중 언어를 지원하기 위해 존재하는 캐시 • MUI(Multilingual User Interface) • 실행 파일 별로, 유저 언어(한국어) 이름을 별도로 저장하고 있음 • 응용프로그램을 실행하면 캐시에 기록이 남음 • 실행 파일 경로, 이름 • 실행 파일이 삭제되거나, 경로가 변경된 경우에도 기록이 지워지지 않음 • MUICache 경로 • HKCU\Software\Classes\Local Settings\MuiCache • HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache • MUICache View 이용하여 분석 • https://www.nirsoft.net/ut.. [버툴킷] 4주차 보호되어 있는 글입니다. [2025.05.16] 뭉게뭉게_4주차 활동 4주차에는 인프런 강의 섹션 7, 8(일부)을 공부했다.https://inf.run/5quxH AWS 클라우드 서비스 인프라 구축 이해와 해킹, 보안 강의 | 보안프로젝트 - 인프런보안프로젝트 | , 보안 실무에 꼭 필요한 기초를 완성하세요! 👨🔧 Cloud Security? [사진] IT 서비스가 클라우드 환경으로 전환되면서클라우드 환경 보안의 중요성이점점 더 커지고 있습니다. 우www.inflearn.com 1. 인프라별 진단 ( 서버, 네트워크, 데이터베이스, WAS, 컨테이너 환경 등 )2. 웹 애플리케이션 취약점 진단 3. 모바일 서비스 취약점 진단4. API 서비스 취약점 진단 5. 애플리케이션 소스코드 진단 ( 시큐어코딩 ) Penetration Testing Framework .. [25.05.16] 웹 떠봐요 5주차 활동 XSS 정의XSS는 Cross Site Scripting의 약자로, 웹 페이지 이용자를 대상으로 공격할 수 있는 취약점이다. 공격자가 웹 페이지에 악성 스크립트를 삽입하여 이용자의 세션 정보 등을 탈취하고 임의의 기능을 수행할 수 있다. XSS 종류Stored XSS악성스크립트가 서버에 저장되고, 서버 응답에 담겨오는 XSSReflected XSS악성스크립트가 URL에 삽입되고, 서버 응답에 담겨오는 XSSDOM-based XSS악성스크립트가 URL Fragment에 삽입되는 XSSUniversal XSS브라우저 안에 악성 스크립트를 실행하는 XSS. SOP 정책을 우회하기도 한다. XSS 공격 방법자바스크립트는 웹 문서의 동작을 정의하며, 이용자와의 상호 작용 없이 이용자의 권한으로 정보를 조회하거나.. 이전 1 2 3 4 5 ··· 75 다음
