본문 바로가기

분류 전체보기

 (550)
[HackCTF] Hidden HackCTF 사이트의 Hidden 문제 Write Up 입니다😁 문제에 주어진 링크로 들어가면 위와 같은 화면을 확인할 수 있습니다. 5번 파일에 플래그가 있다고 언급하였지만, 실제로는 5번 파일이 보이지 않네요..! 그래서 우선 F12 개발자 도구로 내용을 확인해보았습니다. 1~4번 버튼이 get 방식으로 전달되고 있음을 알 수 있습니다. 실제로 1번 버튼을 클릭했을 때의 모습입니다. 위의 url 부분을 보시면 ?id=1 과 같이 get방식으로 전달되고 있는 걸 확인할 수 있네요. 1번 파일은 id=1, 2번 파일은 id=2 와 같은 형식이므로 5번 파일을 확인하기 위해서는 ?id=5를 url에 추가해주면 될 것이라고 추측해볼 수 있습니다. ?id=5 를 추가해주었더니 예상대로 플래그 값이 나타났네요!🎉
[ 2021.09.04 ] 01. 리버싱을 위한 기초 지식 1. 리버싱을 위한 프로그램 실행구조 컴퓨터의 구성 3요소 : CPU, 메모리, 하드디스크 실행파일 = PE파일 { 헤더 - 중요정보 저장 (기본정보와 { 보디 - 코드와 데이터 저장 배치정보를 담고있음) 로더가 헤더의 중요정보를 분석하고 보디에 있는 코드와 데이터들을 메모리에 배치한다. 메모리 - 코드 영역 : 프로그래 코드 저장 - 데이터 영역 : 정적 변수, 전역 변수 - 스택 영억 : 매개 변수, 지역 변수 - 히프 영역 : 동적 메모리 할당 코드 영역과 데이터 영역은 프로그램 로딩시 사용되고 스택 영역과 히프영역은 프로그램 실행시 사용된다. C언어는 MAIN()함수부터 프로그램을 실행하는 것처럼 PE 파일은 엔트리 포인트 위치부터 프로그램을 실행한다. 명령어 실행 : CPU에 있는 제어장치, 연..
[2021.09.04] SQL Injection이란?(1) 보호되어 있는 글입니다.
[2021.09.04] 메모리포렌식 개요/운영체제 보호되어 있는 글입니다.
[2021. 09. 04] 해커스쿨 F.T.Z를 통한 리눅스 기초 명령어 습득 팀명 : 파이브(5)너블 활동 일시 : 2021.09.04 14:00 ~ 15:00 1주차 활동 계획 : 해커스쿨 F.T.Z 리눅스 공부(1) 학습 내용: 해커스쿨 F.T.Z를 통한 리눅스 기초 명령어 습득 파이브(5)너블팀의 본격적인 스터디가 시작되었습니다! 첫 스터디로 해커스쿨 F.T.Z를 통해 리눅스 기초 명령어를 습득 하는 시간을 가졌으며, FTZ 트레이닝 과정: trainer 1단계부터 10단계까지 진행하였습니다. FTZ trainer1 프롬포트는 항상 대기상태에서 어떤 명령을 내리기 만을 기다린다. 리눅스의 가장 기초적인 명령어 ls​ ls : 파일,디렉토리 리스트 출력 ls -l : 파일, 디렉토리 리스트 상세하게 출력 ls -a : 숨겨진 파일,디렉토리 리스트 출력 ls -al: 숨겨진 파..
CTF 자료 조사 및 학습 계획 해킹의 종류및 CTF 개념 및 참고 사이트 ------------------------------------------------------------------------------------------------------------------------------- [ 웹 해킹 ] 정의 : 웹 사이트의 취약점을 공격하는 기술적 위협으로, 웹 페이지를 통하여 권한이 없는 시스템에 접근하거나 데이터 유출 및 파괴와 같은 행위 종류 : SQL Injection, Command Injection, XPath Injection, XXE Injection, XSS, CSRF, File Upload, File Download 등 [ 리버싱 ] 정의 : 이미 만들어진 물건이나 기계장치 혹은 시스템 구조, 기능, ..
[2021.09.04] OWASP TOP 10 Injection 1) 코드 주입은 공격자가 응용 프로그램이 설계/프로그래밍하지 않은 작업을 수행하도록 하기 위해 잘못된 데이터를 웹 응용 프로그램에 보낼 때 발생합니다. 코드 주입 취약성의 핵심은 웹 응용 프로그램에서 사용하는 데이터의 유효성 검사 및 검사 부족이며, 이는 웹 사이트와 관련된 거의 모든 유형의 기술에 이 취약성이 존재할 수 있음을 의미합니다. 매개 변수를 입력으로 받아들이는 모든 항목은 잠재적으로 코드 주입 공격에 취약할 수 있습니다. 대표적인 예시로 OS injection(command injection), SQL Injection 등이 있습니다. String query = “SELECT * FROM accounts WHERE custID = ‘” + request.getParamet..
[2021.09.04]안드로이드 조사 및 커리큘럼 정하기 안드로이드 강의 인프런 미리보기 안드로이드 시대 별 버전 (디저트 이름) 4.1 정도부터 보안안에 다룸. JellyBean인데, 이건 갤럭시 노트 2랑 맞는 현재는 Android 11.0 하지만 최신만 맞출 수 없고, 노트 2 아직도 쓰는 사람 있어서 여기부터 일단.. 안드로이드 운영체제 소개 구글에서 개발한 리눅스 (커널) 기반 오픈 소스 플랫폼으로, 모바일 운영체제 역할 환경 구축할 때 녹스 에뮬레이터 사용 구글 플레이 스토어 및 기타 마켓 플레이스를 통한 타사 앱 설치를 지원함 오늘날 플랫폼은 휴대전화, 태블릿, 웨어러블 기술, TV 및 기타 스마트 디바이스와 같은 다양한 최신 기술의 토대 안드로이드 운영체제 구조 Linux Kernel Drivers(Audio, Keypad, Shared Memo..

티스토리툴바